保证企业信息安全从建立体化安全保障体系开始
与个人电脑安全不同,企业安全属于一种集体安全问题。目前,大部分企业都是通过对内网系统进行隔离保护企业互联网安全,一般来说,联入内网系统的电脑中,只要有一台电脑被黑客攻破,那么就有可能造成企业整个内网安全体系的崩溃和商业机密的泄露。也就是说,安全性最差的一台电脑实际上就决定了整个企业内网系统的安全级别,这就是企业安全问题中的“木桶效应”。
云计算和大数据作为互联网发展的趋势,企业互联网预防在未来将呈现不同的状况。随着信息技术的发展,网络安全威胁也越来越多,企业所面临的挑战也将越来越复杂。报告指出,预计到2020年,如果企业与企业之间不对威胁和攻击者的情报进行集体共享,单个企业将无法进行自我防卫。可见未来企业间的联合防御是不可避免的趋势。安全厂商及企业都应为此做出相应的调整。但是在这个过程中,企业需要保护好自己的数据安全,才能抓住防护的根本。必须通过对业务系统安全防护的建模,从安全防护、安全监控、安全运维三个维度,融合人员、流程、平台于一体,构建立体化的安全保障体系,才能够提升企事业单位信息系统安全防护水平,满足业务系统对安全的需求。
设计思路
具体来说,企事业单位需求通过详细的调研,基于现有的安全基础设施,通过为业务系统安全防护建模,整合业务系统自身安全防护、边界安全防护、网络访问控制、动态监控为一体,实现信息系统安全的可管、可视、可信。
其中,可管分为三个方面,第一方面是技术的可管,包括KPI指标的管理、基线的管理等;第二方面是人员的可管,包括人员的调度、绩效等;第三方面是设备的可管。可视主要指系统可用性和安全事件的可视化。可信是指以业务系统安全为单位的一体化安全防护。
实现方法与步骤
企事业单位构建信息系统安全保障体系的核心思想是:基于业务系统安全建模,构建一体化的安全防御体系,实现可信、可视、可管的安全保障体系。具体来说,可以通过以下三个步骤来实现。
第一步:通过对业务系统的梳理,明确业务系统的性质,理清业务系统之间的关系。
清晰描述业务系统的作用、功能、使用单位、使用范围、第一责任人、安全等级。
清晰统计组成业务系统的IT资产,包括:服务器、网络设备、安全设备、操作系统、中间件、数据库等。
清晰描述业务系统物理连接与逻辑连接之间的关系。
清晰描述此业务系统与其他业务系统之间的关系,包括彼此之间的访问关系、资产共用关系等。
第二步:通过对业务系统安全诊断,明确业务系统的安全防护状态与安全监控状态。
业务系统自身安全状况,包括:身份认证、审计、访问控制、保密性、完整性、物理安全。
业务系统边界防护状况,包括:访问控制、安全审计、协议过滤、边界完整性。
网络通信安全状况,包括:通信认证、审计、保密性、完整性。
业务系统安全监控状况,包括:业务系统运行状态监控、业务系统自身安全状况监控、边界安全监控、通信安全监控。
第三步、通过安全运维管控平台,呈现安全防护与监控状态,实现“两个融合”。
构建一体化运维体系,实现两个融合,即构建基于业务的可管、可视、可信的安全保障体系,实现静态防护与动态监控的融合,实现安全管理与安全技术的融合。
1.通过安全运维管控平台,呈现业务系统的安全防护状态
a) 业务系统自身安全防护状态,包括:身份认证、审计、访问控制、保密性、完整性。
b) 业务系统边界安全防护状态,包括:访问控制、安全审计、协议过滤、边界完整性。
c) 网络通信安全状况,包括:通信认证、审计、保密性、完整性.
通过安全运维管控平台,呈现业务系统的安全运行状态:
a) 业务系统安全监控状况,包括:业务系统运行状态监控、业务系统自身安全状况监控、边界安全监控、通信安全 监控。
b) 从另一个角度来衡量,即业务系统可用性监控、业务系统基础设施监控、业务访问行为监控、异常行为监控、运 维行为监控。
更多内容尽在:www.commernet.cn