专业的信息化与通信融合产品选型平台及垂直门户
注册 登陆 设为首页 加入收藏
首页 企业新闻 招标信息 行业应用 厂商专区 活动 商城 中标信息

资讯
中心

新闻中心 人物观点
厂商专区 市场分析
行业
应用
政府机构 能源产业 金融机构
教育科研 医疗卫生 交通运输
应用
分类
统一协作 呼叫客服 IP语音 视频会议 智能管理 数据库
数字监控 信息安全 IP储存 移动应用 云计算 物联网

TOP

建立体化安全保障体系 保证企业信息安全
2013-10-18 16:58:57 来源:eNet硅谷动力 作者:【
关键词:信息安全 安全IT 中间件
 
通过对业务系统安全防护的建模,从安全防护、安全监控、安全运维三个维度,融合人员、流程、平台于一体,构建立体化的安全保障体系,能够提升企事业单位信息系统安全防护水平。

  很多企事业单位已经具备了比较完善的安全基础设施,但各个安全设备之间还是处于一种离散的、独立“作战”的状态,因此必须通过对业务系统安全防护的建模,从安全防护、安全监控、安全运维三个维度,融合人员、流程、平台于一体,构建立体化的安全保障体系,才能够提升企事业单位信息系统安全防护水平,满足业务系统对安全的需求。

    设计思路

    具体来说,企事业单位需求通过详细的调研,基于现有的安全基础设施,通过为业务系统安全防护建模,整合业务系统自身安全防护、边界安全防护、网络访问控制、动态监控为一体,实现信息系统安全的可管、可视、可信。

    其中,可管分为三个方面,第一方面是技术的可管,包括KPI指标的管理、基线的管理等;第二方面是人员的可管,包括人员的调度、绩效等;第三方面是设备的可管。可视主要指系统可用性和安全事件的可视化。可信是指以业务系统安全为单位的一体化安全防护。

    实现方法与步骤

    企事业单位构建信息系统安全保障体系的核心思想是:基于业务系统安全建模,构建一体化的安全防御体系,实现可信、可视、可管的安全保障体系。具体来说,可以通过以下三个步骤来实现。

    第一步:通过对业务系统的梳理,明确业务系统的性质,理清业务系统之间的关系。

    清晰描述业务系统的作用、功能、使用单位、使用范围、第一责任人、安全等级。

    清晰统计组成业务系统的IT资产,包括:服务器、网络设备、安全设备、操作系统、中间件、数据库等。

    清晰描述业务系统物理连接与逻辑连接之间的关系。

    清晰描述此业务系统与其他业务系统之间的关系,包括彼此之间的访问关系、资产共用关系等。

    第二步:通过对业务系统安全诊断,明确业务系统的安全防护状态与安全监控状态。

    业务系统自身安全状况,包括:身份认证、审计、访问控制、保密性、完整性、物理安全。

    业务系统边界防护状况,包括:访问控制、安全审计、协议过滤、边界完整性。

    网络通信安全状况,包括:通信认证、审计、保密性、完整性。

    业务系统安全监控状况,包括:业务系统运行状态监控、业务系统自身安全状况监控、边界安全监控、通信安全监控。

    第三步、通过安全运维管控平台,呈现安全防护与监控状态,实现“两个融合”。

    构建一体化运维体系,实现两个融合,即构建基于业务的可管、可视、可信的安全保障体系,实现静态防护与动态监控的融合,实现安全管理与安全技术的融合。

    1.通过安全运维管控平台,呈现业务系统的安全防护状态

    a) 业务系统自身安全防护状态,包括:身份认证、审计、访问控制、保密性、完整性。

    b) 业务系统边界安全防护状态,包括:访问控制、安全审计、协议过滤、边界完整性。

    c) 网络通信安全状况,包括:通信认证、审计、保密性、完整性。

    通过安全运维管控平台,呈现业务系统的安全运行状态

    a) 业务系统安全监控状况,包括:业务系统运行状态监控、业务系统自身安全状况监控、边界安全监控、通信安全 监控。

    b) 从另一个角度来衡量,即业务系统可用性监控、业务系统基础设施监控、业务访问行为监控、异常行为监控、运 维行为监控。

    通过安全运维管控平台,实现“两个融合”

    a) 实现安全技术与安全管理的融合

    * 安全技术包括安全监控与安全防护技术;

    *安全运维管控平台承载安全运维流程,安全流程由安全管理演变而来;

    *通过安全运维管理平台,响应安全监控事件,触发安全运维流程,执行安全防护策略。

    b) 实现安全监控与安全防护的融合

    *通过数据采集点,对信息系统进行全面监控,将采集数据上传安全运维管控平台,安全运维管控平台将海量数据进行关联分析,实现安全事件准确呈现;

    *安全运维管控平台响应安全监控事件,执行安全运维流程,下发安全防护策略。

    总之,通过为业务系统安全建模,明确业务系统安全防护、安全监控、安全管理的现状,以及它们之间的联系。以安全运维管控平台为载体,呈现业务系统的安全防护、监控、管理的现状,并通过梳理,在平台上构建三者之间的逻辑关系。从而实现PDCA闭环流程,即安全运维管控平台→响应安全监控事件→触发安全运维流程→执行安全防护策略→安全监控→安全运维管控平台,达到业务系统安全防护的持续优化。

      

责任编辑:admin
免责声明:以上内容转载互联网平台或企业单位自行提供,对内容的真实性、准确性和合法性不负责,Voipchina网对此不承担任何法律责任。

】【打印繁体】【投稿】【收藏】 【推荐】【举报】【评论】 【关闭】 【返回顶部

上一篇企业涉密网络信息安全防护模型构..
下一篇瞻博网络推出支持SDN通用边缘路由..

热门文章

图片主题

最新文章

相关文章

广告位

Copyright@2003-2009 网络通信中国(原VoIP中国) 版权所有
联系方式:503927495@qq.com
  京ICP备05067673号-1 京公网安1101111101259