|
|
|
1.电信运营商面临的信息安全需求
|
对电信运营商而言,高度信息化是企业一切业务、管理和运营活动的基础。根据电信行业信息安全和风险管理的发展,随着法律法规
规对企业内控的严格要求,国家出台了很多信息安全的法律法规,工信部已将信息安全与业务准入挂钩,随着此项工作的深化,对电
信运营商的要求会越来越高。与此同时,国际资本市场提出强制执行新的监管标准,如萨班斯(SOX)法案,要求电信运营商进一步遵
守安全内控规范。
电信运营商多样化的系统和设备情况,决定了有关身份标识的现状,会成为IT系统运维的重点关注对象。目前各电信运营商均面临着
支撑业务和用户数量的不断增加、网络规模迅速扩大、网上营业厅提供的服务不断增多的现状、而导致信息安全问题愈见突出对系统
系统之间的整合与安全提出了更高的要求。其中主要集中在以下三个方面:
|
◇ 身份及资产的管理
无论内部员工还是外部用户,最大的风险就是信息环境中自然人与账户的关联性问题,即虚拟身份与真实身份唯一对应。同样,对设
备和实物资产而言,如果无法将真实身份所对应的权限分配给相应的用户,将会导致整个管理系统的混乱。
◇应用系统对关键操作的控制
随着SOX法案的出台以及各级主管单位对信息审计要求的提高,需要信息系统针对业务层面的操作过程提供有效、严格的溯源和追踪
机制,能够有效防止抵赖行为的出现。
◇ 信息安全等级的完善
一个完整的内网安全系统,应该是以身份认证(身份鉴别)为基础、以数据安全(数据加密)和授权管理(访问控制)为核心,以监
控审计(安全审计)为辅助的完整管理体系,才能符合信息安全等级保护的思想和要求。
|
|
|
|
2.解决方案特点
|
◇ 符合国家有关法律法规
符合《中华人民共和国电子签名法》的要求、遵循《信息安全等级保护管理办法》和 《中华人民共和国计算机信息系统安全保护条
例》等有关规定。
◇ 标准化、开放性
在设计安全保障体系时,完全遵循国际、国内相关技术标准和行业标准。采用开放的、标准的协议及接口,实现身份认证、数字加密
时间公证和电子签名等服务。
◇ 高效、易用、可互操作
系统所选用的产品容易使用,方便操作员和用户操作;便于系统兼容,方便和其他系统互联互通;系统设计遵循模块化设计的原则具
有良好的可伸缩性。
◇ 技术与管理相结合
为信息安全的基础设施,CA系统的设计与实现能够在安全技术实现的基础上配合必要的运行管理机制、安全规章制度的建设。
◇ 风险最低化
依据相关的法律法规,CA运营中心采用完备的管理、技术安全保障体系,系统接口设计经过严格的渗透测试,将各种风险降到最低。
|
|
|
|
3.内网安全控制解决方案介绍
|
|
|
|
|
|
|
|
|
|
◇ 业务用户通过内网安全控制系统内嵌的(RA)证书注册中心申请用户证书
◇ 业务用户使用数字证书通过内网安全控制系统认证模块进行认证
◇ 业务人员通过内网安全控制系统访问业务支撑平台和网络设备等资源
|
|
|
|