1.需求分析
隨著企業的信息化建設快速發展,為避免重要信息系統受到可能的病毒、木馬等威脅侵害,因此建立建成能夠整體提升企業業務安全的縱深防御、監測、響應處置的能力,并兼顧實際工作中的安全需求。
2.風險分析
(1)非法訪問,未經授權使用網絡資源,包括非法用戶通過專網進入企業業務內部進行違法操作及合法用戶以未經授權的方式進行操作,非法復制信息等。
(2)系統漏洞,高危漏洞很容易被病毒、木馬、黑客等侵入,導致軟件崩潰或者盜取重要信息、密碼等。
(3)惡意代碼,通過惡意程序,計算機病毒等獲取信息或破壞企業信息系統正常運行。
(4)破壞信息完整性,改變企業系統信息的內容或形式。
(5)破壞網絡的可用性,通過執行命令,發送數據或執行其它操作使系統資源對用戶失效,使合法用戶不能正常訪問企業信息系統網絡資源或使有嚴格時間要求的服務不能及時得到響應。也可能以物理方式盜竊或破壞企業信息系統網絡的設備、設施。
(6)操作失誤,人為操作失誤可能會對企業信息系統造成破壞。
(7)運維無法審計,面對不同廠商或者集成商運維技術人員的調試,可能會造成網絡問題,內部人員的操作等,出現網絡、業務問題時無法追蹤什么樣的操作造成的事件
(8)自然災害和環境事故,地震,火災,水災等自然災害和電磁污染等環境事故會對企業信息系統造成破壞。
3.設計原則
安全保障體系框架將信息網絡及信息系統做為安全保護對象的基礎,制定了標準的安全方針和總體策略,采用“結構化”的分析和控制方法,把控制體系分成安全管理、安全技術、安全服務的控制體系框架,建立的滿足整體安全控制要求的安全保障體系
4.解決思路
安全保障框架所有安全控制都應以安全方針、策略作為安全工作的指導與依據,落實安全管理和安全技術兩大維度的具體實施與維護,以業務系統的安全運營為信息安全保障建設的核心,并輔以安全評估與安全培訓貫穿信息安全保障體系的全過程,形成風險可控的安全保障框架體系。各層面的具體說明如下:、
業務系統:是企業安全保障框架的核心,其實現業務功能的信息系統安全保護等級決定了整體安全保障的強度和力度。
安全策略體系:指導企業信息系統安全設計、建設和維護管理工作的基本依據,所有相關人員應根據工作實際情況履行相關安全策略,制定并遵守相應的安全標準、流程和安全制度實施細則,做好安全體系相關工作。
安全管理體系:落實安全管理機構、人員、建設、運維安全管理等相關要求,指導企業安全職能的落實、崗位設置和相關人員的安全管理,建立覆蓋組織、策略和技術的流程和規范,重點關注系統建設和系統運維管理控制要求,指導企業安全管理、實施和運維的具體實現。
安全技術體系:落實安全技術相關控制要求,實現物理、網絡、主機、應用和數據的所有安全控制項,通常采用安全產品加以實現,輔助安全技術以增強安全控制能力。
安全服務體系:在信息系統的整個生命周期中,通過安全評估、安全加固、應急響應及安全培訓等信息安全技術,對信息系統的各個階段進行檢查、控制與修正,保障信息系統的持續安全運營。
