现代BOSS系统信息化研究

开篇：润墨网以专业的文秘视角，为您筛选了一篇现代BOSS系统信息化研究范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘 要： 运营支撑平台boss系统是陕西广电网络传媒公司最基本的业务支撑系统，为业务的整体运营和公司经营决策提供支撑保证。BOSS系统的安全建设工作应从风险控制以及安全经济效益的角度，避免来自信息安全方面的风险，实现BOSS系统安全可管理、可运营，增强企业可持续发展的能力，最终最大程度的实现间接安全经济效益的提升。

关键词： BOSS系统；风险评估；广电

中图分类号：F49 文献标识码：A 文章编号：1671－7597（2012）0210099－01

1 项目背景

随着公司整体融资上市，陕西广电确立了“管理架构集团化、产业发展多元化、经营运作市场化”的“三化”战略构想，并在全国率先完成网络整合，实现有线电视业务和数据多业务等全业务运营，公司从传统的有线电视运营商向综合信息服务供应商转型。2010年，伴随三网融合的逐步推进，陕西广电将加大全业务运营的步伐，有线电视数字化、数据业务、高清、互动业务等蓬勃发展。为适应企业业务的转型和业务的飞速发展，陕西广电于08年开始建设自己的运营支撑平台BOSS系统，这是陕西广电业务运营上台阶、管理上品质的一次里程碑式的重要举措，将全面优化陕西广电的业务运营，全面提升企业运营效率，因此，BOSS系统建设的成败、是否安全稳定的运行对于陕西广电至关重要。

根据信息安全与信息系统“同步规划、同步建设、同步运营”的三同步原则，陕西广电决定同步着手构建BOSS系统的信息安全体系。从风险控制以及安全经济效益的角度，“以安全保发展、在发展中求安全”，避免来自信息安全方面的风险，实现BOSS系统安全可管理、可运营，增强企业可持续发展的能力，最大限度实现间接的安全经济效益的提升。

那么，BOSS系统的信息安全如何建设、如何运营管理，依据是什么？信息安全风险评估是企业信息安全建设中关键的第一步，它将明确告诉我们BOSS系统有哪些信息资产，信息资产存在的漏洞、所面临的威胁以及主要的信息安全风险点在哪里，从而为企业的信息安全规划和建设提供最直接的决策依据，使得企业的信息安全建设能够有目标、有重点、有计划、有步骤进行。

2 项目实施

2.1 项目实施范围

本项目属于企业信息化中信息安全领域，陕西广电网络BOSS系统风险评估项目的重点是对BOSS系统的核心区域进行信息安全风险评估，同时，鉴于地市分公司之间在信息安全方面具有较强的共性，因此以抽样的方式，抽取了3个节点进行风险评估。

项目主要内容包括：

1）信息资产的清理和重要性赋值

2）安全技术漏洞和威胁的调研评估

3）安全管理漏洞和威胁的调研评估

4）全面分析BOSS系统存在的信息安全风险

5）提出BOSS系统信息安全管理体系改进建议

6）提出合理的安全技术解决方案建议

7）提出若干重要的信息安全管理制度和规范

2.2 项目实施内容

2.2.1 系统业务调研。业务调研的目的是使评估活动业务密切结合，安全建议能够与企业的业务发展战略相一致，通过调查BOSS系统上运行的所有业务和应用，了解主要业务流程，清楚的掌握支持业务运行的网络系统基本结构和安全现状，收集评估所需的资产属性信息。调研范围包括：评估的业务或应用、信息资产、人员、环境、活动、IP地址信息。

2.2.2 资产识别与估价。在BOSS系统的评估范围内，按照网络安全拓扑结构图的业务系统为主线，列出所有网络上的物理资产、软件资产和数据资产，并为每项资产赋予价值。首先根据调查结果对资产属性进行权值定义，然后对进行影响分析。主要从以下几方面来考虑：违反了有关法律或（和）规章制度、影响了业务执行、造成了信誉、声誉损失、侵犯了个人隐私、造成了人身伤害、对法律实施造成了负面影响、侵犯了商业机密、违反了社会公共准则、造成了经济损失、破坏了业务活动、危害了公共安全。

2.2.3 威胁评估。BOSS系统威胁评估过程中，首先要对组织需要保护的每一项关键资产进行威胁识别。用于威胁评估的信息能够从信息安全管理的有关人员，以及相关的商业过程中获得。

接着要做的是对每种威胁的严重性和发生的可能性进行分析，最终为其赋予相对等级值。评估确定威胁发生的可能性是这一阶段的重要工作。其中，威胁发生的可能性受下列因素影响：资产的吸引力、资产转化成报酬的容易程度、威胁的技术力量、脆弱性被利用的难易程度。

2.2.4 脆弱性评估。针对BOSS系统需要保护的信息资产，找出威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估。脆弱性评估主要从技术、管理和策略三个方面进行。其中在技术方面主要是通过远程和本地两种方式进行系统扫描、对网络设备和主机等进行适当的人工抽查、对关键外网服务主机进行远程渗透测试；管理脆弱性评估方面主要是按照ISO27001的安全管理要求对现有的安全管理制度及其执行情况进行检查；策略脆弱性评估方面主要是从整体网络安全的角度对现有的网络安全策略进行全局性的评估。脆弱性评估所采用的方法主要为：问卷调查、顾问访谈、工具扫描、人工检查、文档审查、渗透测试等。

2.2.5 已有安全措施的确认。BOSS系统安全措施可以分为预防性安全措施和保护性安全措施两种，预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生对资产造成的影响。已有安全措施的确认是对已采取的安全措施的有效性进行确认，防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消，或者用更合适的安全措施替代。

2.2.6 现状与风险的分析管理。首先是对各种数据的汇总和分析，从物理、网络、系统、应用、管理等方面全面分析，得出系统的整体安全现状，输出安全现状和风险报告。根据评估结果进一步完成相关的安全建设方案，明确保护哪些资产，防止哪些威胁，如何才能保证系统达到某一安全级别；所提出的安全方案需要多少技术和费用的消耗等。

3 项目推广情况及前景

3.1 贯彻“同步规划、同步建设、同步运行”原则

此次项目开广电行业之先河，从公司最重要的BOSS系统开展全面信息安全风险评估，真正从业务战略的高度重视并开展信息安全工作。遵循国内和国际标准的同时，充分借鉴信息安全工作先进行业和先进企业的成功经验，高起点、高要求开展评估工作。管理与技术并重，项目的成果从技术和管理两个方面全面展现了陕西广电网络当前阶段面临的主要信息安全问题。同时参考行业先进做法和经验，充分考虑系统和网络的整体性、层次性，提出了《BOSS系统的安全域划分与边界整合管理规范》以及《BOSS

系统的安全域划分与边界整合建议》。