随着互联网不断地普及和广泛地应用,通信行业从原来的基于相对封闭的传统电信网承载单一化业务,逐步朝着基于开放的互联网承载多元化业务方向发展,所面临的挑战也随之发生变化,即由传统的物理安全延伸到网络安全和信息安全等问题。
IT基础设施作为移动通信网的一个基础且重要组成部分,任何一个疏忽都可能给移动通信网带来巨大的冲击,以至于对企业、组织造成严重的影响。因此,如何在IT基础设施方面保障电信网安全,已成为通信行业长久且持续的重要课题和任务之一。
IT基础设施保障体系
IT基础设施运作的安全情况由管理维护它的人员所决定,如何管理好IT基础设施的关键在于如何管理好其中活动的人员。而拥有一套完善的体系,是将IT基础设施治理好的基础和前提,这一体系应包含方针、组织、管理、技术、检查等5个方面。以下结合具体事例对这一保障体系进行介绍,该保障体系由一个方针、三个基本面和一个系列检查项所组成(如图1)。
图1 IT基础设施保障体系
一、方针
方针是整个保障体系的核心,是保障体系持续运作的驱动力,它体现了领导层对安全方面工作的态度和决心。在领导层高度重视和积极参与之下,方针制订得越清晰明确,可为后续开展相关工作提供更有力的依据和保障,同时在一定程度上提升全员对安全工作的意识和水平。当然,方针的制订并不是一蹴而就,而是需要通过循序渐进的过程来不断修订和完善。
二、人员组织
人员组织是保障体系的制订和执行者,一个合理的人员组织将促进保障体系的建设和运作。通过建立一个涵盖领导层的组织架构,对相关岗位定义清晰的职责,并由具备相应资格的人员担任,以确保保障体系高效运行;反之,如果人员组织不合理,将可能阻碍保障体系运行,甚至造成保障体系流于形式而达不到实际的效果。不少企业单位因存在无法建设真实组织或人员编制不足等问题,通过建设虚拟组织或兼职的方式解决。但需注意的是在采用虚拟组织或兼职的方式时,应妥善解决多头管理问题,同时配套实施具备激励机制的绩效考核,否则将可能造成组织成员产生消极的观念,从而导致保障体系无法有效实施。