中国移动信息安全保障框架.doc

CMCC网管中心安全组信息安全保障评价指标体系课题文档标题信息安全保障评价指标体系课题项目框架操作建议和计划文档编号WLAQ_XMJH_AQ_05053101文档版本Version 1.5文档状态起草项目负责人戴 忠编写日期2005年6月16日项目成员徐海东、刘楠、陈敏时、周智等研发中心部分同志项目周期2005年6月2005年12月制定单位中国移动通信集团公司 网络部 网管中心 阅读范围项目相关人员文档修订记录：日期版本作者说明2005年5月31日Version 1.0陈敏时起草2005年6月1日Version 1.1陈敏时、刘楠、周智、陈欣补充课题的实施方案、课题逻辑框架部分、先决条件、课题风险等部分2005年6月16日Version 1.5陈敏时、刘楠补充保障体系的逻辑框架，据课题的研究内容补充了具体的难点，同时根据课题的研究性质，丰富了需要参与课题研究的人员。中国移动定期自评估建议和计划1 项目背景为了能够客观评价国家信息安全的现状，衡量各单位和行业，特别是国家基础网络设施、重要信息系统等关键部门所建设的信息安全保障体系的有效性，迫切需要针对不同重要行业、业务系统尽快研究建立科学的、可度量的、可操作的信息安全保障评价指标体系。因此，国家信息化专家咨询委员会立项开展信息安全保障评价指标体系课题研究，并委托中国移动承担此课题的研究工作。2 项目目标目标内容检验方式1制定中国移动自评估管理规范专家初评、案例测算、专家评议、实际测算2明确自评估各个阶段的操作规范。3培养一批中国移动的评估人员3 项目难点由于安全涉及到信息系统的方方面面，具有高度的综合性和复杂性，从而形成科学的、合理的、同时又符合我国国情的评价指标体系具有相当大困难。就课题研究内容本身而原，存在以下三个方面的困难：1、 本课题研究的一个前提条件就是确立评价对象国家基础网络（移动通信）信息安全保障体系（保障体系的初步逻辑框架参见附录1），而确立得到国家权威专家认可的保障体系本身就极具挑战性。2、 课题涉及对信息安全保障体系的社会属性，如信息安全策略规范、运行保障、人才、保障资源等管理方面的软属性的评价，而建立软属性的评价指标是十分困难的。3、 由于信息安全保障体系伴随信息化的发展不断变化，要在短期内形成一套科学、合理的评价指标体系必须克服相当大的困难，更何况这些评价指标体系还需要与业务系统本身紧密结合才具有意义。就课题研究的外部环境而言，存在以下两个方面的困难1、 在实践方面，国内和国际都尚无先例可供参照。2、 在理论方面，与本课题相关研究领域主要是风险评估和水平测算，但其现有研究成果和本课题的要求均存在较大距离。因此，从事本课题研究，必须在理论和实践两个方面，进行较大创新，才能真正形成一套“可操作的、实用的、能反映信息系统安全状态的评价指标”。4 项目需求的资源为保证研究课题的质量，需要以下资源：1、课题研究人员：人员工作内容来源国内信息安全领域的权威专家本课题属于国家层面全局性信息安全问题研究，权威专家参与，确保研究方向不出偏差，内容符合要求外部聘请系统科学研究专家本课题研究涉及到对复杂系统的综合评价，此方面的专家参与，以保证评价方法和过程的科学性。外部聘请信息安全专业评估人员参与指标选择，方法设计，指标测算等工作，结合其评估方面的经验，保证课题有较强的可操作性。外部聘请公司内部信息安全专业人员具体组织协调参与课题的各方面研究人员，并结合实际工作经验，保证课题符合移动通信信息安全现状。 集团和省公司移动通信专家本课题研究需要充分结合移动通信行业的技术特色。此方面专家负责提供课题研究必要的背景技术支持。研发中心另外，课题研究需要1-2个曾经开展过安全评估工作的省公司参与，以便充分的总结已有的评估经验，开展评价指标的案例测算。同时，为了保证课题结论的全局性，需要其他运营商配合课题研究，并提供实际测算环境。2、 从课题研究的经费开支种类具体内容预算（万元）研究经费包含检索文献资料，归纳已有研究成果，内部讨论，指标体系及测算方法研究，报告撰写等研究活动的人工开支。根据类似课题，此项工作需要支撑单位人员20个人月的研究时间。 30案例测算及实际测算费用包含本课题研究需要进行的两次案例测算，每次7.5万元，一次实际测算，15万元30实际调研费用对移动通信运营企业，总部和省级分公司信息安全情况从信息安全保障体系角度进行实际调研4文献资料费用购买，查阅，复印相关文献资料引起的费用1评审及会议费需要召开阶段性评审会议一次，结题评审一次 6专家咨询费用需要聘请安全领域权威专家1名，咨询相关信息安全、系统评价等相关理论专家若干名（按3名计算），每人4次参加课题讨论7差旅费已包含到上述开支之中0总计78综上所述，本课题研究需要多方面的人员参与，并且需要完成大量的实际测算任务。为了保证课题研究的效率和质量，在“以我为主”的前提下，需要有一家技术支撑单位协助我方召集相关人员，形成项目组，并协助进行具体的指标测算工作。5 项目时间计划阶段/任务时间参与者成果检验方式项目准备阶段2005.6.12005.7.1明确项目范围、操作方式、任务分工、以及时间计划安排，提出详细的实施方案。项目主管领导审查资料收集和实际调研2005.7.12005.8.1搜集国内外相关标准、理论等文献资料；对省公司、国内其他运营商基础网络安全现状以及风险评估工作现状调研形成研究方案项目主管领导审查研究开发和综合集成阶段2005.8.12004.10.1根据研究方案和调研的结果，归纳出具体的信息安全保障评价指标，形成指标体系以及指标的测算方法。邀请相关专家对指标和测算方法进行初评案例测算阶段2005.10.12004.11.15根据上一阶段形成的测算法和测算指标进行选择一个两个具体的业务系统进行案例检验，输出案例测算报告。并根据案例测算结果，修改指标体系和测算方法，形成提交专家评审的指标体系和测算方法专家评议实际测算2005.11.152005.12.31对当前重要信息系统进行较大范围的实际测算，形成实际测算报告输出研究报告最终研究报告交课题委托方评审6 本课题研究的主要内容本课题研究应首先明确评价对象国家基础网络（移动通信）信息安全保障体系首先需要明确自评估的管理要求，明确自评估的内容、范围以及周期等。确定各个阶段的评估规范，人的因素、确定培训的人选试点，规划本课题研究应根据课题任务书建议的信息安全保障评价指标体系逻辑框架（参见下图），结合移动通信系统的具体情况，确定指标体系的层次结构、各表现要素（如基础设施、安全保障资源、策略规范、运行保障、人才等）以及相互关联的关系，各基本要素应符合课题任务书规定的原则和要求。课题建立的信息安全保障评价指标体系应涵盖信息安全保障的方方面面，同时又反映出个方面的内在关联，既能体现信息安全保障体系的社会属性，又能体现其自然属性。在具体评价指标的选择上，应包括诸如网络和系统脆弱性指标，网络和系统面临的威胁指标，当前防范措施指标，网络运行状态指标，各类安全事件容忍度评价方法（包括增长量、影响力、造成的损失、相对国际社会的损失比值等）等。 课题内容的逻辑框架（参考）：注：信息安全保障活动支信息系统的安全运行维护、安全预警、应急响应、灾难恢复、监控检测等。7 每个阶段的先决条件项目准备阶段：需要明确研究范围，工作计划和项目操作方式得到领导的认可。项目资料收集和实际调研阶段：需要落实课题研究所需的资源支持。8 风险分析风险项优先级可能性影响性处理办法课题研究项目所需资源无法落实高中大整个项目无法开展本课题研究和总体组研究无法保持一致高中大在课题研究的全过程需要与总体组密切沟通。指标体系逻辑框架、评价方法、测算方法和工具以及指标体系的建立