建立安全保障體系 保證企業(yè)信息安全
設計思路
具體來說,企事業(yè)單位需求通過詳細的調研,基于現(xiàn)有的安全基礎設施,通過為業(yè)務系統(tǒng)安全防護建模,整合業(yè)務系統(tǒng)自身安全防護、邊界安全防護、網(wǎng)絡訪問控制、動態(tài)監(jiān)控為一體,實現(xiàn)信息系統(tǒng)安全的可管、可視、可信。
其中,可管分為三個方面,第一方面是技術的可管,包括KPI指標的管理、基線的管理等;第二方面是人員的可管,包括人員的調度、績效等;第三方面是設備的可管。可視主要指系統(tǒng)可用性和安全事件的可視化。可信是指以業(yè)務系統(tǒng)安全為單位的一體化安全防護。
實現(xiàn)方法與步驟
企事業(yè)單位構建信息系統(tǒng)安全保障體系的核心思想是:基于業(yè)務系統(tǒng)安全建模,構建一體化的安全防御體系,實現(xiàn)可信、可視、可管的安全保障體系。具體來說,可以通過以下三個步驟來實現(xiàn)。
第一步:通過對業(yè)務系統(tǒng)的梳理,明確業(yè)務系統(tǒng)的性質,理清業(yè)務系統(tǒng)之間的關系。
清晰描述業(yè)務系統(tǒng)的作用、功能、使用單位、使用范圍、第一責任人、安全等級。
清晰描述此業(yè)務系統(tǒng)與其他業(yè)務系統(tǒng)之間的關系,包括彼此之間的訪問關系、資產共用關系等。
第二步:通過對業(yè)務系統(tǒng)安全診斷,明確業(yè)務系統(tǒng)的安全防護狀態(tài)與安全監(jiān)控狀態(tài)。
業(yè)務系統(tǒng)自身安全狀況,包括:身份認證、審計、訪問控制、保密性、完整性、物理安全。
業(yè)務系統(tǒng)邊界防護狀況,包括:訪問控制、安全審計、協(xié)議過濾、邊界完整性。
網(wǎng)絡通信安全狀況,包括:通信認證、審計、保密性、完整性。
業(yè)務系統(tǒng)安全監(jiān)控狀況,包括:業(yè)務系統(tǒng)運行狀態(tài)監(jiān)控、業(yè)務系統(tǒng)自身安全狀況監(jiān)控、邊界安全監(jiān)控、通信安全監(jiān)控。
第三步、通過安全運維管控平臺,呈現(xiàn)安全防護與監(jiān)控狀態(tài),實現(xiàn)“兩個融合”。
構建一體化運維體系,實現(xiàn)兩個融合,即構建基于業(yè)務的可管、可視、可信的安全保障體系,實現(xiàn)靜態(tài)防護與動態(tài)監(jiān)控的融合,實現(xiàn)安全管理與安全技術的融合。
1.通過安全運維管控平臺,呈現(xiàn)業(yè)務系統(tǒng)的安全防護狀態(tài)
a) 業(yè)務系統(tǒng)自身安全防護狀態(tài),包括:身份認證、審計、訪問控制、保密性、完整性。
b) 業(yè)務系統(tǒng)邊界安全防護狀態(tài),包括:訪問控制、安全審計、協(xié)議過濾、邊界完整性。
c) 網(wǎng)絡通信安全狀況,包括:通信認證、審計、保密性、完整性。
通過安全運維管控平臺,呈現(xiàn)業(yè)務系統(tǒng)的安全運行狀態(tài)
a) 業(yè)務系統(tǒng)安全監(jiān)控狀況,包括:業(yè)務系統(tǒng)運行狀態(tài)監(jiān)控、業(yè)務系統(tǒng)自身安全狀況監(jiān)控、邊界安全監(jiān)控、通信安全 監(jiān)控。
b) 從另一個角度來衡量,即業(yè)務系統(tǒng)可用性監(jiān)控、業(yè)務系統(tǒng)基礎設施監(jiān)控、業(yè)務訪問行為監(jiān)控、異常行為監(jiān)控、運 維行為監(jiān)控。
通過安全運維管控平臺,實現(xiàn)“兩個融合”
a) 實現(xiàn)安全技術與安全管理的融合
安全技術包括安全監(jiān)控與安全防護技術;
安全運維管控平臺承載安全運維流程,安全流程由安全管理演變而來;
通過安全運維管理平臺,響應安全監(jiān)控事件,觸發(fā)安全運維流程,執(zhí)行安全防護策略。
b) 實現(xiàn)安全監(jiān)控與安全防護的融合
通過數(shù)據(jù)采集點,對信息系統(tǒng)進行全面監(jiān)控,將采集數(shù)據(jù)上傳安全運維管控平臺,安全運維管控平臺將海量數(shù)據(jù)進行關聯(lián)分析,實現(xiàn)安全事件準確呈現(xiàn);
安全運維管控平臺響應安全監(jiān)控事件,執(zhí)行安全運維流程,下發(fā)安全防護策略。
總之,通過為業(yè)務系統(tǒng)安全建模,明確業(yè)務系統(tǒng)安全防護、安全監(jiān)控、安全管理的現(xiàn)狀,以及它們之間的聯(lián)系。以安全運維管控平臺為載體,呈現(xiàn)業(yè)務系統(tǒng)的安全防護、監(jiān)控、管理的現(xiàn)狀,并通過梳理,在平臺上構建三者之間的邏輯關系。從而實現(xiàn)PDCA閉環(huán)流程,即安全運維管控平臺→響應安全監(jiān)控事件→觸發(fā)安全運維流程→執(zhí)行安全防護策略→安全監(jiān)控→安全運維管控平臺,達到業(yè)務系統(tǒng)安全防護的持續(xù)優(yōu)化。
清晰統(tǒng)計組成業(yè)務系統(tǒng)的IT資產,包括:服務器、網(wǎng)絡設備、安全設備、操作系統(tǒng)、中間件、數(shù)據(jù)庫等。
清晰描述業(yè)務系統(tǒng)物理連接與邏輯連接之間的關系。
責任編輯:黎陽錦
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡何以可能
2017-02-24網(wǎng)絡