风险挑战

随着电信业务发展对业务支撑系统开放、互联需求的演进,业务支撑系统对集中化的安全合规管理能力提升日益迫切。

行业监管部门对安全合规工作的要求持续加强:对业务支撑系统安全合规工作的指引要求包括:《电信网和互联网安全防护基线配置要求及检测要求》、《增值电信业务系统安全防护定级和评测实施规范》、《电信网和互联网信息服务业务系统安全防护检测要求》、《网上营业厅安全防护要求》等都提出了对电信运营商安全合规管理要求,要求电信企业加强网络、系统和设备的安全合规管理。

为加强中国移动业务支撑网全网安全合规管理能力,贯彻和落实集团关于“加强信息安全技术手段建设,切实提升技术支撑能力”的信息安全工作任务要求,通过本期规范提升全网安全合规管理的能力,规范全网安全合规管理的标准。

本规范围绕“安全合规策略,安全合规项、安全合规模板、安全合规任务”的功能,搭建一二级安全合规管控平台架构,通过技术手段实现合规检查工作的调度、执行、核查、报告功能,建立全网标准化的安全合规检查能力平台。


解决方案

业务支撑网SCCP体系架构,采用一二级平台独立建设,共同协作运行模式,完成全网安全合规管理支撑工作。

【一级安全合规管控平台】:以全网安全合规信息标准体系为基础,以安全合规检查任务为核心,建立全网安全合规管控中心,驱动二级安全合规管控平台,监管和督促全网安全合规管理工作。

【二级安全合规管控平台】:以全网安全合规信息标准体系为基础,以安全合规日常运维管理为核心,建立省分安全合规检查工具集中执行能力,承载一二级安全合规管控平台执行检查任务的工作。

业务支撑网SCCP体系框架,以安全合规检查任务为核心,全网安全合规信息标准体系为基础,驱动二级安全合规管控平台,包含展示层、分析层、功能层、数据层、接口层。

【展示层】:实现全网安全合规展示、分省安全合规展示、专题类合规展示。

【分析层】:为展示层提供各种维度的专题、专项数据综合分析能力支撑。 

【功能层】:实现合规策略管理、合规项管理、合规模板管理、合规任务管理、稽核任务管理、漏洞管理功能模块。

【数据层】:系统内置全网安全合规信息标准数据,包括合规专题模板数据、合规项标准数据等。

【接口层】:提供一二级安全合规管控平台交互接口以及与以及各能力平台交互接口,包括合规项下发接口、模板下发接口、任务管理接口、漏洞信息同步接口、工单接口、单点登录接口、合规结果接口、安全策略报备接口等。


建设效果

业务支撑网SCCP是承载中国移动各省业务支撑网安全合规日常检查工作的集中化支撑平台,平台的建设应满足实现安全合规管理工作,实现“合规架构”、“合规能力”“合规体系”的建设目标。

“合规架构”:搭建安全合规管控平台的一二级平台架构,建立与SMC/SMP的松耦合平台架构体系,加强全网安全合规管理能力,作为安全能力平台,提供IT平台架构体系支撑。

“合规能力”:针对诸如信息安全管理体系标准要求、集团下发的信息安全专项工作要求中的合规检查要求,系统通过技术手段实现合规检查工作的调度、执行、核查、报告功能,建立完善可扩充的安全合规检查能力架构。

“合规体系”:建立统一的合规项数据标准体系,屏蔽由于检查工具不一致情况所带来的合规执行标准差异,为日常安全合规运维提供统一的检查标准。


典型案例
QUICK CONTACT
快捷通道
产品中心
解决方案
安全研究
技术支持
关于我们