背景分析:
对电信运营商而言,高度信息化是企业一切业务、管理和运营活动的基础。根据电信行业信息安全和风险管理的发展,随着法律法规对企业内控的严格要求,国家出台了很多信息安全的法律法规,工信部已将信息安全与业务准入挂钩,随着此项工作的深化,对电信运营商的要求会越来越高。与此同时,国际资本市场提出强制执行新的监管标准,如萨班斯(SOX)法案,要求电信运营商进一步遵守安全内控规范。
需求分析:
Ø 身份及资产的管理
无论内部员工还是外部用户,最大的风险就是信息环境中自然人与账户的关联性问题,即虚拟身份与真实身份唯一对应。同样,对设备和实物资产而言,如果无法将真实身份所对应的权限分配给相应的用户,将会导致整个管理系统的混乱。
Ø 应用系统对关键操作的控制
随着SOX法案的出台以及各级主管单位对信息审计要求的提高,需要信息系统针对业务层面的操作过程提供有效、严格的溯源和追踪机制,能够有效防止抵赖行为的出现。
Ø 信息安全等级的完善
一个完整的内网安全系统,应该是以身份认证(身份鉴别)为基础、以数据安全(数据加密)和授权管理(访问控制)为核心,以监控审计(安全审计)为辅助的完整管理体系,才能符合信息安全等级保护的思想和要求。
解决方案:
电信运营商内部用户繁多除了内部人员还有很多临时人员和第三方人员,为了提供对内网的有效管理,保障上网行为安全,终端系统的安全,文档的安全以及其他众多应用的安全应用,天诚安信提供基于PKI/CA技术的内网综合安全管控解决方案。由于账户/口令不安全性,很难定为用户的身份及行为,因此为了对用户内网行为进行有效的、可信的控制,通过与证书应用相结合,控制用户的操作行为,确保上网用户身份及行为的可信。
方案特点:
1、 符合国家有关法律法规
符合《中华人民共和国电子签名法》的要求、遵循《信息安全等级保护管理办法》和《中华人民共和国计算机信息系统安全保护条例》等有关规定。
2、 标准化、开放性
在设计安全保障体系时,完全遵循国际、国内相关技术标准和行业标准。采用开放的、标准的协议及接口,实现身份认证、数字加密、时间公正和电子签名等服务。
3、高效、易用、可互操作
系统所选用的产品容易使用,方便操作员和用户操作;便于系统兼容,方便和其他系统互联互通;系统设计遵循模块化设计的原则,具有良好的可伸缩性。
4、 技术与管理相结合
作为信息安全的基础设施,CA系统的设计与实现能够在安全技术实现的基础上配合必要的运行管理机制、安全规章制度的建设。
5、 风险最低化
依据相关的法律法规,CA运营中心采用完备的管理、技术安全保障体系,系统接口设计经过严格的渗透测试,将各种风险降到最低。