1.需求分析
隨著企業(yè)的信息化建設(shè)快速發(fā)展,為避免重要信息系統(tǒng)受到可能的病毒、木馬等威脅侵害,因此建立建成能夠整體提升企業(yè)業(yè)務(wù)安全的縱深防御、監(jiān)測、響應(yīng)處置的能力,并兼顧實際工作中的安全需求。
2.風(fēng)險分析
(1)非法訪問,未經(jīng)授權(quán)使用網(wǎng)絡(luò)資源,包括非法用戶通過專網(wǎng)進入企業(yè)業(yè)務(wù)內(nèi)部進行違法操作及合法用戶以未經(jīng)授權(quán)的方式進行操作,非法復(fù)制信息等。
(2)系統(tǒng)漏洞,高危漏洞很容易被病毒、木馬、黑客等侵入,導(dǎo)致軟件崩潰或者盜取重要信息、密碼等。
(3)惡意代碼,通過惡意程序,計算機病毒等獲取信息或破壞企業(yè)信息系統(tǒng)正常運行。
(4)破壞信息完整性,改變企業(yè)系統(tǒng)信息的內(nèi)容或形式。
(5)破壞網(wǎng)絡(luò)的可用性,通過執(zhí)行命令,發(fā)送數(shù)據(jù)或執(zhí)行其它操作使系統(tǒng)資源對用戶失效,使合法用戶不能正常訪問企業(yè)信息系統(tǒng)網(wǎng)絡(luò)資源或使有嚴(yán)格時間要求的服務(wù)不能及時得到響應(yīng)。也可能以物理方式盜竊或破壞企業(yè)信息系統(tǒng)網(wǎng)絡(luò)的設(shè)備、設(shè)施。
(6)操作失誤,人為操作失誤可能會對企業(yè)信息系統(tǒng)造成破壞。
(7)運維無法審計,面對不同廠商或者集成商運維技術(shù)人員的調(diào)試,可能會造成網(wǎng)絡(luò)問題,內(nèi)部人員的操作等,出現(xiàn)網(wǎng)絡(luò)、業(yè)務(wù)問題時無法追蹤什么樣的操作造成的事件
(8)自然災(zāi)害和環(huán)境事故,地震,火災(zāi),水災(zāi)等自然災(zāi)害和電磁污染等環(huán)境事故會對企業(yè)信息系統(tǒng)造成破壞。
3.設(shè)計原則
安全保障體系框架將信息網(wǎng)絡(luò)及信息系統(tǒng)做為安全保護對象的基礎(chǔ),制定了標(biāo)準(zhǔn)的安全方針和總體策略,采用“結(jié)構(gòu)化”的分析和控制方法,把控制體系分成安全管理、安全技術(shù)、安全服務(wù)的控制體系框架,建立的滿足整體安全控制要求的安全保障體系
4.解決思路
安全保障框架所有安全控制都應(yīng)以安全方針、策略作為安全工作的指導(dǎo)與依據(jù),落實安全管理和安全技術(shù)兩大維度的具體實施與維護,以業(yè)務(wù)系統(tǒng)的安全運營為信息安全保障建設(shè)的核心,并輔以安全評估與安全培訓(xùn)貫穿信息安全保障體系的全過程,形成風(fēng)險可控的安全保障框架體系。各層面的具體說明如下:、
業(yè)務(wù)系統(tǒng):是企業(yè)安全保障框架的核心,其實現(xiàn)業(yè)務(wù)功能的信息系統(tǒng)安全保護等級決定了整體安全保障的強度和力度。
安全策略體系:指導(dǎo)企業(yè)信息系統(tǒng)安全設(shè)計、建設(shè)和維護管理工作的基本依據(jù),所有相關(guān)人員應(yīng)根據(jù)工作實際情況履行相關(guān)安全策略,制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程和安全制度實施細(xì)則,做好安全體系相關(guān)工作。
安全管理體系:落實安全管理機構(gòu)、人員、建設(shè)、運維安全管理等相關(guān)要求,指導(dǎo)企業(yè)安全職能的落實、崗位設(shè)置和相關(guān)人員的安全管理,建立覆蓋組織、策略和技術(shù)的流程和規(guī)范,重點關(guān)注系統(tǒng)建設(shè)和系統(tǒng)運維管理控制要求,指導(dǎo)企業(yè)安全管理、實施和運維的具體實現(xiàn)。
安全技術(shù)體系:落實安全技術(shù)相關(guān)控制要求,實現(xiàn)物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)的所有安全控制項,通常采用安全產(chǎn)品加以實現(xiàn),輔助安全技術(shù)以增強安全控制能力。
安全服務(wù)體系:在信息系統(tǒng)的整個生命周期中,通過安全評估、安全加固、應(yīng)急響應(yīng)及安全培訓(xùn)等信息安全技術(shù),對信息系統(tǒng)的各個階段進行檢查、控制與修正,保障信息系統(tǒng)的持續(xù)安全運營。
