背景分析:
對(duì)電信運營商而言,高度信息化是企業一切業務、管理和運營活動的基礎。根據電信行業信息安全和風險管理的發(fā)展,随著(zhe)法律法規對(duì)企業内控的嚴格要求,國(guó)家出台了很多信息安全的法律法規,工信部已將(jiāng)信息安全與業務準入挂鈎,随著(zhe)此項工作的深化,對(duì)電信運營商的要求會越來越高。與此同時,國(guó)際資本市場提出強制執行新的監管标準,如薩班斯(SOX)法案,要求電信運營商進(jìn)一步遵守安全内控規範。
需求分析:
Ø 身份及資産的管理
無論内部員工還(hái)是外部用戶,最大的風險就是信息環境中自然人與賬戶的關聯性問題,即虛拟身份與真實身份唯一對(duì)應。同樣(yàng),對(duì)設備和實物資産而言,如果無法將(jiāng)真實身份所對(duì)應的權限分配給相應的用戶,將(jiāng)會導緻整個管理系統的混亂。
Ø 應用系統對(duì)關鍵操作的控制
随著(zhe)SOX法案的出台以及各級主管單位對(duì)信息審計要求的提高,需要信息系統針對(duì)業務層面(miàn)的操作過(guò)程提供有效、嚴格的溯源和追蹤機制,能(néng)夠有效防止抵賴行爲的出現。
Ø 信息安全等級的完善
一個完整的内網安全系統,應該是以身份認證(身份鑒别)爲基礎、以數據安全(數據加密)和授權管理(訪問控制)爲核心,以監控審計(安全審計)爲輔助的完整管理體系,才能(néng)符合信息安全等級保護的思想和要求。
解決方案:
電信運營商内部用戶繁多除了内部人員還(hái)有很多臨時人員和第三方人員,爲了提供對(duì)内網的有效管理,保障上網行爲安全,終端系統的安全,文檔的安全以及其他衆多應用的安全應用,天誠安信提供基于PKI/CA技術的内網綜合安全管控解決方案。由于賬戶/口令不安全性,很難定爲用戶的身份及行爲,因此爲了對(duì)用戶内網行爲進(jìn)行有效的、可信的控制,通過(guò)與證書應用相結合,控制用戶的操作行爲,确保上網用戶身份及行爲的可信。
方案特點:
1、 符合國(guó)家有關法律法規
符合《中華人民共和國(guó)電子簽名法》的要求、遵循《信息安全等級保護管理辦法》和《中華人民共和國(guó)計算機信息系統安全保護條例》等有關規定。
2、 标準化、開(kāi)放性
在設計安全保障體系時,完全遵循國(guó)際、國(guó)内相關技術标準和行業标準。采用開(kāi)放的、标準的協議及接口,實現身份認證、數字加密、時間公正和電子簽名等服務。
3、高效、易用、可互操作
系統所選用的産品容易使用,方便操作員和用戶操作;便于系統兼容,方便和其他系統互聯互通;系統設計遵循模塊化設計的原則,具有良好(hǎo)的可伸縮性。
4、 技術與管理相結合
作爲信息安全的基礎設施,CA系統的設計與實現能(néng)夠在安全技術實現的基礎上配合必要的運行管理機制、安全規章制度的建設。
5、 風險最低化
依據相關的法律法規,CA運營中心采用完備的管理、技術安全保障體系,系統接口設計經(jīng)過(guò)嚴格的滲透測試,將(jiāng)各種(zhǒng)風險降到最低。