信息系統(tǒng)安全建設(shè)“四化”趨勢漸顯
在信息化建設(shè)的過程中,同時也進行了信息系統(tǒng)安全建設(shè)。信息系統(tǒng)安全建設(shè)一般經(jīng)過分散建設(shè)階段、系統(tǒng)化建設(shè)階段、一體化建設(shè)階段。在不同的階段,采取不同的安全技術(shù)與解決方案,但無論在哪一個階段,信息系統(tǒng)安全理念都不會發(fā)生根本性的變化。本文通過總結(jié)信息系統(tǒng)安全建設(shè)的經(jīng)驗,提出了信息系統(tǒng)安全“四化”建設(shè)的理念與方法論,即產(chǎn)品方案化、方案業(yè)務(wù)化、業(yè)務(wù)透明化、服務(wù)產(chǎn)品化。
產(chǎn)品方案化
產(chǎn)品方案化著重強調(diào)某個安全產(chǎn)品在整個信息系統(tǒng)安全整體解決方案中的角色,以及所解決的具體問題。
產(chǎn)品方案化以方案提供者的角度提出,讓用戶明確安全產(chǎn)品不是解決所有的安全問題,而是滿足整體解決方案某一個點的問題。如防火墻主要解決內(nèi)外網(wǎng)安全隔離,或安全域的劃分與隔離;網(wǎng)絡(luò)審計主要對網(wǎng)絡(luò)行為進行記錄與追蹤,解決內(nèi)網(wǎng)合規(guī)問題。
產(chǎn)品方案化的前提是讓用戶對信息系統(tǒng)安全體系框架有一個清晰的認識,知道進行信息系統(tǒng)安全防護需要建設(shè)怎樣的安全體系架構(gòu),而目前現(xiàn)狀已經(jīng)滿足哪些要求?還有哪些沒有滿足?從而明確該產(chǎn)品在安全體系架構(gòu)中的作用,以及該產(chǎn)品的重要性和緊迫性如何?
對于信息系統(tǒng)安全體系架構(gòu),在等級保護制度沒有執(zhí)行之前,一般按照IATF標準通過安全域的劃分來構(gòu)建信息系統(tǒng)安全體系架構(gòu),以及等級保護制度的執(zhí)行,使國內(nèi)政府、企事業(yè)單位進行信息系統(tǒng)安全建設(shè)有所依據(jù)。等級保護從計算安全環(huán)境、邊界安全、通信安全、安全管理中心四個方面闡述了如何構(gòu)建安全體系架構(gòu)。通過信息系統(tǒng)安全等級保護架構(gòu)圖,可以非常清晰每個產(chǎn)品在等級保護整體解決方案中的角色與作用,從而很容易提供產(chǎn)品方案化的解決方案。
方案業(yè)務(wù)化
信息系統(tǒng)安全是一個比較宏觀的概念,信息系統(tǒng)安全的目的是業(yè)務(wù)系統(tǒng)安全,保障業(yè)務(wù)系統(tǒng)的可用性和安全性,是進行信息系統(tǒng)安全建設(shè)的最終目標。同時,以業(yè)務(wù)系統(tǒng)安全為目標,可以使解決方案的工作目標更明確,具體安全措施的粒度更細。
通過多年的信息化建設(shè),業(yè)務(wù)系統(tǒng)已經(jīng)成為組織單位中職能部門工作的平臺,業(yè)務(wù)系統(tǒng)產(chǎn)生可用性事件或安全事件,直接關(guān)系到組織單位的日常工作,甚至造成經(jīng)濟損失。信息系統(tǒng)安全解決方案,一定是以業(yè)務(wù)系統(tǒng)為中心,從業(yè)務(wù)系統(tǒng)的安全防護、業(yè)務(wù)系統(tǒng)的可用性監(jiān)控、業(yè)務(wù)系統(tǒng)的行為審計、業(yè)務(wù)系統(tǒng)的運維安全、業(yè)務(wù)系統(tǒng)的安全事件,以及業(yè)務(wù)系統(tǒng)的流量監(jiān)控等多維度來解決業(yè)務(wù)系統(tǒng)的安全問題。
因此,以安全解決方案業(yè)務(wù)化的角度去解決安全問題,不僅目標明確,而且可以準確的判斷業(yè)務(wù)系統(tǒng)是否是一個獨立的安全域,業(yè)務(wù)系統(tǒng)安全防護是否到位,從而驗證安全解決方案是否“落地”。
業(yè)務(wù)透明化
信息系統(tǒng)安全保障體系作為業(yè)務(wù)系統(tǒng)安全穩(wěn)定運行的基礎(chǔ),服務(wù)于業(yè)務(wù)系統(tǒng),但對業(yè)務(wù)系統(tǒng)的應(yīng)用需要透明,以不影響業(yè)務(wù)系統(tǒng)用戶使用習(xí)慣和業(yè)務(wù)系統(tǒng)的運行效率為原則。
信息系統(tǒng)安全建設(shè)如果做不到業(yè)務(wù)透明化,在安全建設(shè)的過程中,一定會遇到重重阻力,難以為繼。即使由于某種原因進行了不透明的安全建設(shè),后期也會導(dǎo)致棄用。同時,業(yè)務(wù)不透明的安全建設(shè),很容易因為信息系統(tǒng)安全建設(shè)而導(dǎo)致業(yè)務(wù)系統(tǒng)的不安全。
服務(wù)產(chǎn)品化
一個完整的信息系統(tǒng)安全保障體系,由安全產(chǎn)品技術(shù)、安全管理、安全服務(wù)三大方面組成。其中安全服務(wù)包括信息系統(tǒng)安全咨詢服務(wù)、評估服務(wù)、應(yīng)急服務(wù)、加固服務(wù)、安全運維服務(wù)等。
安全服務(wù)需要產(chǎn)品化,才能夠形成標準,保證質(zhì)量。安全服務(wù)的產(chǎn)品化集中體現(xiàn)在安全服務(wù)文檔標準化、項目組織標準化、服務(wù)流程標準化。
安全服務(wù)文檔不僅需要標準化,而且根據(jù)客戶的不同要進行行業(yè)化,同時要及時更新。項目組織標準化體現(xiàn)在安全服務(wù)的過程中,讓專業(yè)的人做專業(yè)的事情,避免由于人員的不專業(yè)而導(dǎo)致安全服務(wù)風險加大。服務(wù)流程標準化體現(xiàn)在安全服務(wù)要有計劃、有步驟的進行。
總之,安全服務(wù)產(chǎn)品化不僅能夠體現(xiàn)安全服務(wù)的專業(yè)性,而且能夠提高安全服務(wù)的效率,降低安全服務(wù)的風險。
在信息系統(tǒng)安全解決方案中,以安全“四化”建設(shè)為理念,不僅可以使安全解決方案目標明確,建立符合用戶使用習(xí)慣和企業(yè)文化、可落地的安全保障體系,而且可以使安全技術(shù)和安全服務(wù)有機的融合為一體,從而高效的為信息系統(tǒng)安全穩(wěn)定運行提供保障能力。
責任編輯:黎陽錦
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進行時丨陜西電力部署6項重點任務(wù)
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)