Cloud & Telecom Security

关于印发《企业内部控制基本规范》的通知
【时间：2008年07月10日】

为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。执行中有何问题，请及时反馈我们。 Read more…

坦白说，在LinkedIn上提问之前，就安全度量指标系统而言，我并没有做过更多的学习和研究。在得到大家的热烈指导和响应后，我越来越发现原来有这么多的资源和信息已经在哪里，可以借鉴。写了前面三段关于安全的度量指标体系的帖子后，我开始读Andy的“安全度量”。

Andy(Andrew Jaquith)的“安全度量”(Security Metrics: Replacing Fear, Uncertainty, and Doubt)这本书是一本不错的书。几个星期前从网上找来了PDF的英文版，前几天买了中文版（电子工业出版社，2007年12月）。这两天在深圳出差，抽路上的时间把书读了一遍。下面是点到为止式的一些评论。 Read more…

In recent 2 years in China, the main rhythm in telecom industry is the compliance journey of Sarbanes Oxley Act (SOX). The four major telecom operators – China Mobile, China Telecom, China Netcom, China Unicom, all have public-list at USA stock market. In a similar time schedule, each of them has spent a lot of man power and money on SOX compliance, to organize, to plan, to build up internal control oriented processes, to buy consulting services and tools, to collect operation records.

• Plan and Organize

Typically, inside an operator, a 404 team, headed by a vice general manager level executives, was assigned to lead the compliance activities. Specialists in each of the main IT departments, e.g. Management Information System Department, Billing Department, Network Department, were assigned to be responsible for the implementation and follow-ups. A series of education has been conducted to improve the awareness of compliance.
All provincial operators are required by their HQ to complete the self-assessment and corresponding remediation in the first half year of 2006, so that they can collect enough records for external auditors to testify the effectiveness of internal control measures. Three of the BIG FOUR accounting firms are external auditors of the four operators – KPMG for China Mobile and China Telecom, Deloitte for China Netcom, and PWC for China Unicom.

• Acquire and Implement

In order to improve the effectiveness and efficiency of compliance controls, a series of nationwide security and governance projects are being undertaken, covering IAM (Identity and Access Management), auditing, ITSM (Information Technology Service Management) optimization and etc. Large amount of KPI (Key Performance Indicator) are setup and monitored to reflect the compliance status. Complete auditing systems are under continuous construction and improvement, while periodic and formal auditing processes for the compliance controls are designed and implemented.
We are glad to say that the enterprise governance structure and effectiveness has got unprecedented upgrade inside the four major telecom operators. There is no denying that SOX compliance journey is too expensive for mainland enterprises. The high cost of SOX has had many of enterprises to re-think their IPO plan to Nasdaq.

[Tags]Sox, Security, IAM, BS7799, ITIL [/Tags]

什么是“审计”？

我们知道，审计（Audit）是指检查、验证目标的准确性和完整性，用以检查和防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原 则。各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。审计早年用于财务系统，到现在词典、字典中的“审计”（也包括 Audit）的定义都是针对财务系统。在当今的世界里，几乎所有企业、机构和组织的财务系统都运行在信息系统上面，所以信息手段成为财务审计的一种技术的 同时，财务审计也间接带动了通用信息系统的审计。在美国安然公司（Enron）和世通（WorldCom）财务欺诈案爆发后，在2002年美国紧急出台了 萨班斯法案（SOX, or SOA），赋予了“审计”新的意义，这里也包括了信息系统的审计。“审计”成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。

另据新闻报 导，在最近结束的IATA年会上达成一个重要共识：所有成员航空公司都要进行运行安全审计（IOSA），申请加入IATA的成员在正式加入前必须通过 IOSA审计。目前所有的成员公司要在2007年之前完成审计，否则不予保留会员资格。审计已经逐渐成为越来越多的政府部门、行业分支、大企业等加强治理 的重要手段。

美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源”。

审计系统主要包括两种形态

• 基于主机的审计（主机、网络等各种日志）
• 基于网络的审计（网络会话和行为）

它们分别依赖不同的手段来收集审计信息，面向不同的风险和威胁：

1 前者收集并分析各种日志。这是较早的、较为传统的审计方式，登入、登出、添加、删除、修改、更新等活动，应用日志、操作系统日志、数据库日志、网络设备的 日志等。按照IDC的新定义，SIEM（安全信息和事件管理）类安全产品负责收集安全设备和其它信息系统的日志和事件告警，进行过滤、相关、分析等处理。 一般说来，前两年如火如荼采购中的SOC产品（如果喜欢叫平台也可以）基本上都属于IDC的SIEM类。

2 后者直接查看数据本身。由于各种先进的攻击方法的出现、由于IDS的漏报、由于当前对于内部滥用和误用（这些都很难从安全设备的日志中发现）的担心，对于 网络和应用数据本身的记录、回放、分析等形成了另外一个审计分支。这类产品最早的出处应该是雷神（Raytheon ）公司的SilentRunner（如果大家还记得的话，后来被CA公司收购，现在产品的名字叫Network Forensics），专门用于分析网络流量和海量日志，从中发现IDS等安全设备不能发现的潜在威胁和事件，违反安全策略和规则的行为。另外NAI公司 的Sniffer，或者后来的开源软件TCPDUMP虽然缺少上层的分析层和展现层，也有一部分这方面的功能。NAI公司分家后，Sniffer公司继承 了网络取证分析产品InfiniStream Security Forensics。Niksun公司的NetDetector, NetVCR, NetX等系列产品可以“连续的流量记录和存储”、帮助分析网络中的流量、监控网络行为“网络异常及入侵检测”、以及帮助进行符合性分析和事件取证“网络 审计分析”等。

近两年来，随着对操作行为本身进行审计的需求的提升，于是产生了一种使用应用代理进而建立堡垒主机的方式来控制网络访问活动、并获得操作数据进行记 录并分析的审计系统。这类系统的代表包括Symark公司的PowerBroker，以及Bluecoat公司的ProxySG等。这类审计系统需要客户 端显式地配置代理指向的地址，并可能需要进行二次验证以符合代理的安全策略。

国内已经开始有越来越多的公司开始涉足并推出自己的安全审计产品，除去上述第一种的日志收集产品之外，还出现了相当多的网络镜像方式获得数据，进行 会话重组和协议分析，可以根据安全策略发送Reset包主动中断网络连接（有些还可以进行身份认证和授权验证），这类产品的代表包括清华紫光的ACA、以 及复旦光华的S_Audit等。前者与认证、授权等结合，面向运行维护需求，而后者则加入了很多HTTP、IM等应用的分析展现功能，面向企业内部安全使 用控制。

[待续]

richardong 2006-09-15 评论

zhaol 2006-12-26 评论

Yesterday afternoon, WHY and I worked out a holistic enterprise internal control framework. We named it as 12345678! Pyramid Framework. It help integrate the enterprise execution, IT control and security control methodologies and countermeasures.

1. One Priority: Execution
2. Two Hands: Technology and Management
3. Three Layers: Decision Makers, Managers, and Execution
4. Four Phases: Plan, Do, Check, Act
5. Five Layer Controls: Control Environment, Risk Assessment, Control Activities, Information and Communications, Monitoring
6. Six Risk Elements: Assets, Threats, Vulnerabilities, Safeguards, Risks and Opportunities
7. Seven Information Criteria: Confidentiality, Integrity, Availability, Efficiency, Effectiveness, Compliance, Reliability
8. Eight IT Processes: Planning and Organization, Acquisition & Implementation, Delivery and Support, Monitoring and Evaluation

Do you like it? We know there has been much space left for it to be perfect. But it help guide your thinking ways when you prepare proposals or do planning. Its original form is in Chinese. Click here for more.

If you think it helpful or have any suggestions, just leave me a comment.

[Tags]Security,BS7799,CoBIT,SOX,Audit,PDCA[/Tags]

下面的文章转载自信息产业网，其中关于主要上市公司在时间表的考虑较为详细。

(肖卓 张萍 人民邮电报， 2005-11-10 08:23:43)

近期，在美国上市的国内企业意识到，他们又将面临一个新的考验，考验来自一个棘手而严厉的“美国规则” — 萨班斯法案。

2002年7月30日，美国总统布什在签署“萨班斯法案”的新闻发布会上曾称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。萨班斯究竟何 为？2001年12月，美国最大的能源公司——安然公司，突然申请破产保护；次年6月，美国世界通信爆发会计丑闻事件，诸多上市公司治理结构不平衡和外部 监督缺失，美国资本市场诚信岌岌可危。为此，美国国会和政府加速通过萨班斯法案。它犹如一记重拳，有力地规范了企业的财务制度，并通过加强内部控制，改进 了公司的治理状况。

萨班斯法案是美国自20世纪30年代颁布财务规则以来，最为严厉和企业必须严格遵守的财务法则。事实证明：触犯萨班斯法案，企业高管就有可能面临监禁等法律制裁，公司声誉下跌，投资人失去信心，企业失去再融资能力，最后不得不被迫退市。
Read more…

下面这篇文章转载自中国信息产业网，总结了萨班斯法案对国内海外上市公司带来的影响，其中也讨论了对电信企业的影响。点击下载萨班斯法案的中文全文。

萨班斯法案引发的思考

(□ 撰文/何 霞， 信息产业部电信研究院，2005-06-15 10:31:15)

针对安然、世通等财务欺诈事件，美国国会出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院 银行委员会主席萨班斯联合提出，又被称作《2002年萨班斯—奥克斯利法案》（简称萨班斯法案或SOX法案）。法案对美国《1933年证券法》、 《1934年证券交易法》作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。萨班斯法案的监管对象是在美国上市的公司。根 据该法案，在美国上市的中国电信企业在2006年初将要按照“COSO”的要求，向PCAOB和投资者交出自己的内控报告。这实际上已对在美国上市的中国 电信企业提出了新的要求。
Read more…

赵 粮（冠群电脑有限公司）
裘晓峰（北京邮电大学）
2004-4-29

1 从风险评估到风险管理
网络安全体系的目的是保障关键信息设施的资产和服务，提供适度的安全保护，即根据每种（个）信息资产(Asset)的价值、面临的威胁(Threat)和安全风险（Risk）来确定相应的安全防护措施和力度，做到“重点防护”、“适度安全”。要做到这一点，风险评估是一个重要环节。

风险评估作为成型的技术已经有数年的历史了，同时，风险评估也是安全专业服务中最为成熟的一个内容之一。近年来，国内的知名企业、机构几乎都开展、购买了专业的安全风险评估服务。风险评估的目的是帮助识别信息设施中的资产，分析判断其价值、存在的脆弱性和面临的安全威胁，从而获得该资产或资产组的安全风险情况，继而可以采取针对性的安全防护措施，提高安全体系的投资效率。

我们知道，风险评估本身不是目的，最终的目的是消除风险、控制风险，在保证投入回报的前提下管理安全风险。一般来说，风险评估是风险管理活动的基础，帮助建立起风险管理的基线。定期的评估活动可以用来审计和考核安全风险管理的效果和效率。本文尝试着讨论建设实时的风险管理体系的可行性，提出一种实用模型。

2安全风险

安全风险具有非常广泛的含义，本文中使用较为通用的风险模型：安全风险由资产价值、脆弱性和威胁来决定：
Risk（t） = R(A,T,V,t)
其中，t代表某个时刻，A代表该资产的价值，T代表该资产面临的威胁，V代表该资产存在的脆弱性（安全漏洞）, ?表示对风险管理范围下的资产求和，R代表某种函数关系。通常，在常见的半定量评估过程中，该函数有时采用简单的乘积来计算。

资产价值
信息资产以多种形式存在，无形的、有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，存在的脆弱性、面临的威胁、需要进行的安全保护和安全控制都各不相同。若干具有很强的内在业务关联和依赖关系的资产可以构成一个资产组。

信息资产具有不同的安全属性，包括机密性、完整性、可用性、可控性和不可否认性，分别反映了信息资产在5个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察5种不同的安全属性，可以得出一个能够基本定性地反映资产价值的数值。确定信息资产以及数值的过程称为信息资产的识别和赋值。

实时的风险管理体系需要建立起能够实时发现并监视资产变化和状态的机制，并且能够反映该资产的价值变化。

安全威胁和漏洞
安全威胁是对信息资产引起不期望事件而造成损害的潜在可能性。威胁可能源于对信息资产直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性、可用性、可控性或不可否认性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。通常，收集分析安全事件是获取并计算威胁的主要方式之一。

弱点和资产紧密相连，它可能被威胁（威胁的定义参见威胁一章）利用、引起资产损失或伤害。值得注意的是，弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁方利用而造成资产损失。通常，网络脆弱性扫描、主机和应用的安全审计是获取计算弱点的主要方式。

实时的风险管理体系需要具备实时收集威胁信息和脆弱性信息的能力，并且能够与信息资产相关关联，进行有效性分析。

安全风险
在实时的获取资产、威胁和漏洞的信息基础上，可以计算风险的实时变化：

资产的变化可能来源于新资产的出现，也可能是承载的业务发生的变化。威胁的变化可能是新的安全事件的出现和解决。脆弱性的增加则主要体现在新的脆弱性，而脆弱性的降低主要通过相关的补丁，或者配置策略等的改变或优化。

可以看到，在信息资产保持相对稳定的情况下，降低安全风险的手段主要有两种：其一是通过强化安全策略，减小出现安全事件的机会，并且在出现安全事件的时候，能够及时的发现、定位和分析，消除事件，震慑威胁方；其二是通过及时有效的补丁和安全配置，减少甚至消除资产存在的脆弱性。

3 基于安全总控中心的实时安全风险管理体系

安全总控中心（或称为安全管理中心）是近期非常引人关注的话题。其特点是高度的集成性和自动化，大大减小从发现新的安全风险到完成弥补（风险消除）之间的时间窗口，帮助在与威胁方的时间赛跑中获胜。

安全总控中心的典型结构如下图所示，其关键组件和技术包括：
? 信息资产库及实时资产发现能力
? 实时更新的安全漏洞库和补丁库，预警能力
? 各种安全事件的收集和相关处理，解决安全信息过载问题
? 安全事件与信息资产、安全漏洞的相互关联
? 基于安全知识库的工单和流程管理系统
? 安全补丁的收集、测试和发布等

下图用三个实际场景来介绍基于安全总控中心而构成的实时安全风险管理体系：

通过前面的分析，在安全风险管理活动中，有三种重要的风险“异动”：其一是发生新的安全事件，预示着潜在的安全威胁的变动；其二是新的安全脆弱性（安全漏洞）的出现；其三是新的信息资产上线。下面分别来考察安全总控中心如何来实时处理这三种场景。

新的安全事件
大量的安全事件涌现标志着某种威胁方的活跃。在当前普通的安全体系中，安全管理员很容易被多种安全产品产生的海量安全事件所淹没，没有办法从安全事件中获取背后隐含的安全威胁。而安全总控中心的事件处理模块正是具备了收集、过滤、合并、相关处理海量的、跨产品、跨系统的安全事件的能力。

经过安全总控中心的事件处理，具有高优先级的事件会通过声光、控制台、短信邮件等方式进行集中告警。按照可以配置的既定安全策略，在需要时，安全总控中心会查询内置的资产库以及相应的漏洞库和补丁库，获得事件相关的资产信息，以及相关的漏洞、补丁信息。在获得了相应的资产信息和补丁信息后，总控中心会按照策略通知软件自动分发模块完成自动的补丁分发和安装。对于不能简洁立即处理的告警，将发出工单，呼唤专家介入，进入服务台系统和问题管理流程。

新的安全漏洞
通过实时升级的安全漏洞知识库，获得了最新的安全漏洞信息后，与最新的安全资产库进行相关匹配，如果适用，存在受影响的资产，则查询相关的最新补丁，并且按照策略通知软件自动分发模块完成自动的补丁分发和安装。对于尚没有补丁、却具有高优先级的安全漏洞，发出工单，呼唤专家介入，寻找临时解决方案（Workaround）来处理。

新的资产
某新信息设备上线投入运行，这时，资产自动发现模块发现了这一新的资产，立刻匹配安全漏洞知识库，查看是否具有尚未处理的安全漏洞。如果存在则激活补丁管理模块，进行补丁分发。或者发出工单，呼唤专家介入，对该新资产进行安全加固。

上述三个过程基于策略和规则来自动完成，将发现风险“异动”、产生告警到响应弥补之间的时间窗口减小到最小，将整个过程的人工干预减到最小，大幅节省管理员和主管的精力，使他们可以有时间进行体系规划、策略优化、问题攻关等。

4 综述

层出不穷的安全漏洞和海量的安全事件是当前安全风险管理活动中最具有挑战性的两个领域。如何提高安全风险管理的实时性，减小关键资产面临的脆弱时间窗口是两个重要的课题。安全总控中心提供了大范围的各种主流的第三方安全产品的覆盖，不但包括事件级的集成，还包括多数国际主流安全产品的策略和配置级集成。同时，具备内置的资产发现模块、实时升级的漏洞库和补丁库、安全工单和流程管理系统，能够提供强大的风险控制和管理能力。

本文提出了一种实现实时的安全风险管理的模型和架构，针对典型的安全风险“异动”，从资产、威胁、脆弱性三个方面计算相应的安全风险变化，基于策略的进行实时响应，最大限度地提高安全防御体系的效果和效率。

发表于通信世界，讨论安全管理中心运行过程中流程设计，引入了ITIL
URL= http://www.cww.net.cn/Technique/Article.asp?id=10474

赵 粮
2003-12-26

1 安全事件升级流程
我们已经知道，安全管理中心（SOC），或者说安全总控中心（SCC），是一种安全集中管理的形式，它包含远端安全设备（事件发生）、安全事件收集、事件分析、状态监视、展现报表等重要组件。除技术之外，SOC还有一个重要组成部分就是运行人员、应急小组和专家队伍。所以，SOC与网络管理中心（NOC）一样，需要相应的管理制度和应急处理流程，在应急处理流程中还应该包括明确的事件升级（Escalation）制度。应急处理的每个环节应该定义明确的最大延迟时间，在最大延迟时间内采取有效处理措施。在超过最大延迟时间还没有采取相应措施的情况下，应该立即进行事件升级，进入到更高级别处理。

[separator]
这些制度和流程是整体安全策略的组成部分，应该纳入严格的配置和变更管理之下，并且做好相应的宣传和培训，定期进行演练，使得每个角色和相关人员都明白自己的责任和相关流程。管理和应急流程应该尽可能多地依靠自动化手段实现，并带有质量保证措施和考核措施。

安全事件处理流程的设计是SOC建设的一个重要环节。本文尝试着讨论适用于电信企业的安全事件升级流程的一般内容和形式。

2 安全流程与ITIL
虽然典型类企业在IT系统的结构组织、设备类型、安全风险等方面有许多共同特点，但是各个总部和省公司的IT系统依然有许多不同之处，不同拓扑结构、不同的网络业务架构、不同的网管系统、不同的集成商、不同的安全防护水平。另外，除了上面这些“硬”环境，从IT管理的国际最佳实践库 － IT基础设施库（ITIL）的角度来看，它们还具有不同的能力成熟度。有些省公司已经建设有成熟的帮助台（Service Desk）和流程管理系统，有些系统网管还建立了较为先进的NOC，实现了集中监控和集中的事件管理，而有些电信公司的流程系统和集中监控系统还正在建设或者规划中。

根本上说，SOC的应急处理流程和NOC的原理是共同的，在最高效率处理紧急事件的同时，尽可能少的使用资源，最大限度地发挥各种资源的优势。所以，我们可以分享NOC的许多建设运营经验，以及IT组件。甚至可以说，在事件管理、流量监视等方面，SOC和NOC信息共享的程度越高，安全保护的效果就会越好。

ITIL是当前最为流行、最有权威性的IT管理“标准”。作为一种以流程为基础、以客户为导向的IT服务管理指导框架，它摆脱了传统IT管理以技术管理为焦点的弊端，实现了从技术管理到流程管理，再到服务管理的转化。这种转化具体体现为，ITIL非常强调各服务管理流程与组织业务的整合，以组织业务和客户的需求为出发点来进行IT服务的管理。

下面我们参考IT基础架构库（ITIL）中较为成熟的服务台、事件处理和问题处理最佳实践，并结合NOC运行中的流程制度，设计的一个较为典型的安全应急处理流程框架。

3 安全管理中心的流程设计
从处理方法上来看，安全事件可以分为两种，一是曾经发生过，并且明确知道原因、后果和处理办法的；一种是没有明确的书面记载（问题管理的知识库），没有立即解决办法的。前者可以在网络运行值班层面予以解决，后者则需要按照事件优先级引入临时解决方案，同时进入问题处理流程；在问题处理过程中，安全专家发现了问题的根源，找到了解决方案，则将其进入知识库，同时在适当时机进行发布，更新或者修改安全策略或者配置。

同时，我们知道，事件升级由两种形式，一种是技能性的，平行的，例如普通运行值班人员，到后台技术支持，再到专家队伍，最后到研发实验室等；另一种是管理性的，垂直的，例如运行值班人员，到值班主任，再到负责运维的副总经理，甚至到公司的老总。在事件处理的升级制度中，应该明确定义上述两种事件升级的条件、角色责任、处理方式等，并与工单流程的定义保持一致，保持及时更新。

考察电信企业的实际情况，除SOC所隶属的行政汇报线（垂直升级路线）外，在技能性方面，建议设置三级安全事件响应体系，第一级是安全运行值班人员，可以是网运中心值班人员兼任，负责7×24小时的安全事件监视，按照安全事件的处理手册和知识库处理已知的安全告警事件；第二级是安全应急技术小组，由企业内部安全专家和网络专家组成，负责对第一级发现提交的不明事件（或问题）进行分析判断，完成绝大多数安全事件的处理，对不能及时找到彻底解决方案，需要在将该问题提交第三级以外，还必须及时提出临时解决方案。负责撰写安全问题处理指南，用以指导第一线值班人员的工作；第三级是集团一级的安全实验室和专家小组，负责针对重大安全隐患和网络攻击进行会诊和复现，具备相当的网络对抗能力。同时负责撰写安全问题分析报告，提交安全策略和配置的变更建议。流程框架示意图如下图：

在必要时在第三级可以引入专业安全服务公司的资源。考虑到电信企业信息资产和业务的关键性，笔者不建议在第一级和第二级引入外部资源，而应该自足自我，从集团到省公司一级都能够培养至少2名安全专家。保证可以做到依靠自己的力量可以提出安全建设的需求和规划、总结安全事件和安全问题的处理经验，优化安全策略，能够处理大多数的安全事件。

工单产生后，进入第二级安全技术专家处理的同时，工单系统会通知SOC的运行主任。第二级经过深入分析，根据对业务的影响成都，判定优先级。在规定时间内，没有发现有效解决方案，必须提出临时解决办法，并通知请示运行主任，批准后，与第一级值班人员一起，实施处理办法。实施完毕后，记录工单处理结果。并在规定时间内，撰写报告，呈送公司负责生产运行的副总经理。

在这种情况下，第二级的安全技术专家应该提交安全问题请求，要求第三级安全实验室和其它支持人员、包括服务提供商和国家、地区的计算机事件紧急响应组织等的支持。第三级的安全实验室应该根据问题的严重程度，对安全问题进行模拟和复现，寻求有效问题根源和解决方案。在完成后，更新安全知识库，并负责对第二级和第一级进行知识转移。第二级在接到工单后，经过研究，及时发现了事件根源和解决方案的情况下，也应该及时更新知识库，并对第一级和第三级进行知识转移。

第二级和第三级的安全专家基于安全事件和问题的分析和处理结果，在必要的情况下，需要按照变更管理的制度和流程，提出对受影响的其它类似系统、甚至整体安全体系的安全配置改变，例如策略修改、打补丁等。并保持安全资产库或者配置管理数据库（CMDB）的更新和一致性。

值得注意的是，在第一级值班人员将安全事件向上一级提交后，并不是转移了该事件的所有者（Owner），这里应该遵守“首问负责制”的原则，全程跟踪该事件的处理状态，知道事件和问题解决。事件和问题的移交是交接班的最为重要的内容之一。

知识库是安全管理中心的重要组成部分，它由典型安全事件处理经验、安全问题分析报告、安全脆弱性数据库和补丁库、以及各种技术和管理专题资料等组成。原则上它可以物理上分布在帮助台系统中、也可以是独立的数据库应用。

4 结束语
安全管理中心是当前电信企业安全体系建设过程中的一个热点话题，本文尝试着通过引入国际上成熟的IT服务管理标准和模型，来设计可以用于安全管理中心运行的一种事件升级制度，提高安全事件响应的效率和质量。