一種大規模網絡的安全防護方法
【專利摘要】本發明提供了一種能夠使正確的用戶在正確的時間訪問鰲正確的數據的大規模網絡的安全防護方法,包括如下:(1)建立策略體系;(2)建立安全管理體系,所述安全管理體系包括組織機構管理、人員安全管理和建設管理;(3)建立安全運維體系;(4)建立安全技術體系,包括為信息系統的安全管理人員提供信息支持,為綜合管理、風險分析、測試評估、態勢感知、預警響應提供技術支持,為系統配置、信息采集提供技術支持。本發明的一種大規模網絡的安全防護方法,能夠使正確的用戶在正確的時間訪問到正確的數據,在信息系統層面定義了需要支持業務運行的安全能力和需要提供的功能,最終為在辨別、選擇、獲取、設計、實施、部署、運營安全防護系統的決策提供依據。
【專利說明】一種大規模網絡的安全防護方法
【技術領域】
[0001]本發明涉及一種網絡安全防護方法,尤其是一種大規模網絡的安全防護方法。
【背景技術】
[0002]隨著計算機網絡的不斷發展,全球信息化已成為人類發展的大趨勢。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊,所以網上信息的安全和保密是一個至關重要的問題。對于依托計算機網絡的信息系統而言,其網上信息的安全和保密尤為重要,必須配置足夠強的安全措施。
[0003]信息系統的安全風險主要來源于系統自身的脆弱性及其所面臨的各種威脅,無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅:安全威脅利用系統自身的脆弱性使得信息或信息系統受到破壞,物理基礎的支持能力下降或喪失,包括電力供應不足或中斷、電壓波動、自然災難、人為的基礎設施破壞等也是信息系統面臨的安全風險。信息系統的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性。
[0004]目前信息安全建設面臨著大量的供應商所提供的各種各樣的技術可以實現各種復雜的安全控制措施。而各種異構的解決方案的重復建設和低效率將成為安全架構需著手解決的問題。
[0005]所謂的安全體系是指在此體系框架下,系統能夠使正確的用戶在正確的時間訪問到正確的數據,在信息系統層面定義了需要支持業務運行的安全能力和需要提供的功能,最終為在辨別、選擇、獲取、設計、實施、部署、運營安全防護系統的決策提供依據。
【發明內容】
[0006]本發明提供了一種能夠使正確的用戶在正確的時間訪問鰲正確的數據的大規模網絡的安全防護方法。
[0007]實現本發明目的的一種大規模網絡的安全防護方法,包括如下:
[0008](I)建立策略體系
[0009]所述建立策略提下包括建立信息系統安全防護工作的總體方針、策略、規范安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程;
[0010](2)建立安全管理體系
[0011]所述安全管理體系包括組織機構管理、人員安全管理和建設管理;
[0012]所述組織結構管理包括對組織機構內的重要信息安全工作進行授權和審批,對內部相關業務部門和安全管理部門之間的溝通協調,與機構外部各類單位的合作,定期對系統的安全措施落實情況進行檢查,對檢查中發現的問題進行整改等流程;
[0013]所述人員安全管理包括,對內部人員的安全管理和對外部人員的安全管理;
[0014]所述建設管理包括需求分析、風險評估、安全方案設計、產品選型、產品采購和使用、工程實施、測試驗收、系統交付;
[0015](3)建立安全運維體系
[0016]所述安全運維體系包括通過制訂和完善各種流程,制訂階段性工作計劃,開展信息安全風險評估,規范產品與服務采購流程,同時堅持做好日常維護管理、應急計劃和事件響應等方面的工作,以保證安全管理措施和安全技術措施的有效執行;
[0017](4)建立安全技術體系
[0018]所述安全技術體系包括為信息系統的安全管理人員提供信息支持,為綜合管理、風險分析、測試評估、態勢感知、預警響應提供技術支持,為系統配置、信息采集提供技術支持。
[0019]所述操作規程包括物理安全、網絡安全、系統安全、應用安全、安全管理、人員組織、事件管理和資產管理等類型的標準和規范。
[0020]所述組織結構管理還包括執勤保障,完成各種網絡以及各類信息系統安全防護系統的日常維護、值班執勤、演習演練保障以及安全防護,執行安全管理制度,監控安全設備的運行情況,檢測網絡的安全狀態,修改網絡安全策略。
[0021]所述組織結構管理還包括技術支持服務,提供安全防護基礎設施的技術支持、進行有效的應急響應服務以及開展相關技術研究等職能。
[0022]所述對外部人員的安全管理包括外部人員的審查、登記和訪問管理。
[0023]所述對內部人員的安全管理包括信息安全專業人員的錄用、離崗、培訓和考核,以及對非安全專業人員的安全意識教育和培養。
[0024]本發明的一種大規模網絡的安全防護方法的有益效果如下:
[0025]本發明的一種大規模網絡的安全防護方法,能夠使正確的用戶在正確的時間訪問到正確的數據,在信息系統層面定義了需要支持業務運行的安全能力和需要提供的功能,最終為在辨別、選擇、獲取、設計、實施、部署、運營安全防護系統的決策提供依據。
【具體實施方式】
[0026]實施例1
[0027]本實施例的一種大規模網絡的安全防護方法,包括如下:
[0028](I)建立策略體系
[0029]所述建立策略提下包括建立信息系統安全防護工作的總體方針、策略、規范安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程;
[0030]策略體系是安全管理體系的最高指導方針,為信息系統提供安全管理的方向,明確了信息安全工作總體目標,對技術和管理各方面的安全工作具有通用指導性,通過確立明確的政策方向,并且通過在相關組織機構中應用和采用該安全政策,可以有效地支持信息系統中信息的安全性。
[0031]信息安全政策與標準是信息安全管理、運作、技術體系標準化、制度化后形成的一整套對信息安全的管理規定,是安全意識培養的內容來源,是組織管理控制和審計的依據,是技術方案必須遵從的基礎要求。安全策略既包括國家和軍隊信息安全戰略的方針政策、法律法規、管理制度以及技術標準規范等,包括管理標準、技術標準、工作標準,又包括系統運行所依托的準則,包括系統防護策略等,覆蓋信息安全工作的各個方面,對管理、技術、運維體系中的各種安全控制措施和機制的部署提出目標和原則。
[0032](2)建立安全管理體系
[0033]安全管理體系是信息系統安全保障體系的重要組成部分,如果沒有完善的配套管理體系,無論如何完美的網絡安全防護技術方案也無法充分發揮其優勢。
[0034]所述安全管理體系包括組織機構管理、人員安全管理和建設管理;
[0035]所述組織結構管理包括對組織機構內的重要信息安全工作進行授權和審批,對內部相關業務部門和安全管理部門之間的溝通協調,與機構外部各類單位的合作,定期對系統的安全措施落實情況進行檢查,對檢查中發現的問題進行整改等流程;
[0036]所述人員安全管理包括,對內部人員的安全管理和對外部人員的安全管理;
[0037]通過組織和參與各種類型的安全培訓,提高安全設計、安全管理維護人員和普通系統用戶等內部人員的安全意識和安全技能,提高全行業的信息安全意識和人員的安全防護能力,形成一支過硬的信息安全人才隊伍。對于設計人員,應根據系統危險性分析和使用危險性分析的結果,制定相應的安全性培訓計劃,使設計人員掌握必要的安全性設計知識,了解系統危險分析過程及結果,以及應采取的安全性措施,使設計人員熟練掌握設備的安全系統設計與管理方法;對于安全管理維護人員,按照安全性規程制訂培訓計劃并進行培訓,使其了解安全性措施,并熟練掌握設備的安全操作使用規程及故障排除方法;針對普通系統用戶,應采用適當的方式對其進行安全意識和必要的操作方法培訓,提高其執行各種安全管理制度和使用系統中所部署的各種安全手段的自覺性和主動性。
[0038]所述建設管理包括需求分析、風險評估、安全方案設計、產品選型、產品采購和使用、工程實施、測試驗收、系統交付;
[0039](3)建立安全運維體系
[0040]安全運維體系是對安全防護系統運行過程中涉及的相關事務進行管理和控制,其核心是將管理體系中的要求在技術體系中得以有效落實,運維體系是信息安全的重點,也是整個體系建設中的難點。
[0041]為了確保安全裝備運行管理常態化、規范化,建立巡視檢查標準,結合信息系統的實際需求,梳理運維服務管理需求,通過環境管理、資產管理、介質管理、設備管理、監控管理、網絡管理、系統管理、服務管理、檢查測試管理、備份與恢復管理、事件處置流程管理、預案管理、變更管理、安全事件管理等行為,實現對環境、網絡、設備進行統一的自動化集中監測、監管,并嚴謹的工作態度,預防萬一的思想,全方位地作好特殊時期重點信息安全防護工作。
[0042]所述安全運維體系包括通過制訂和完善各種流程,制訂階段性工作計劃,開展信息安全風險評估,規范產品與服務采購流程,同時堅持做好日常維護管理、應急計劃和事件響應等方面的工作,以保證安全管理措施和安全技術措施的有效執行;
[0043](4)建立安全技術體系
[0044]安全技術體系從決策、管理和執行三個層面,完成對信息系統的多層次、全方位、動態、不斷增強的安全保障,確保信息的機密性、完整性、可用性、可控性和抗抵賴性等安全目標的實現。
[0045]所述安全技術體系包括為信息系統的安全管理人員提供信息支持,為綜合管理、風險分析、測試評估、態勢感知、預警響應提供技術支持,為系統配置、信息采集提供技術支持。
[0046]實施例2
[0047]本實施例的一種大規模網絡的安全防護方法,包括如下:
[0048](I)建立策略體系
[0049]所述建立策略提下包括建立信息系統安全防護工作的總體方針、策略、規范安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程;
[0050]所述操作規程包括物理安全、網絡安全、系統安全、應用安全、安全管理、人員組織、事件管理和資產管理等類型的標準和規范。
[0051]策略體系是安全管理體系的最高指導方針,為信息系統提供安全管理的方向,明確了信息安全工作總體目標,對技術和管理各方面的安全工作具有通用指導性,通過確立明確的政策方向,并且通過在相關組織機構中應用和采用該安全政策,可以有效地支持信息系統中信息的安全性。
[0052]信息安全政策與標準是信息安全管理、運作、技術體系標準化、制度化后形成的一整套對信息安全的管理規定,是安全意識培養的內容來源,是組織管理控制和審計的依據,是技術方案必須遵從的基礎要求。安全策略既包括國家和軍隊信息安全戰略的方針政策、法律法規、管理制度以及技術標準規范等,包括管理標準、技術標準、工作標準,又包括系統運行所依托的準則,包括系統防護策略等,覆蓋信息安全工作的各個方面,對管理、技術、運維體系中的各種安全控制措施和機制的部署提出目標和原則。
[0053](2)建立安全管理體系
[0054]安全管理體系是信息系統安全保障體系的重要組成部分,如果沒有完善的配套管理體系,無論如何完美的網絡安全防護技術方案也無法充分發揮其優勢。
[0055]所述安全管理體系包括組織機構管理、人員安全管理和建設管理;
[0056]所述組織結構管理包括對組織機構內的重要信息安全工作進行授權和審批,對內部相關業務部門和安全管理部門之間的溝通協調,與機構外部各類單位的合作,定期對系統的安全措施落實情況進行檢查,對檢查中發現的問題進行整改等流程;
[0057]通過組織和參與各種類型的安全培訓,提高安全設計、安全管理維護人員和普通系統用戶等內部人員的安全意識和安全技能,提高全行業的信息安全意識和人員的安全防護能力,形成一支過硬的信息安全人才隊伍。對于設計人員,應根據系統危險性分析和使用危險性分析的結果,制定相應的安全性培訓計劃,使設計人員掌握必要的安全性設計知識,了解系統危險分析過程及結果,以及應采取的安全性措施,使設計人員熟練掌握設備的安全系統設計與管理方法;對于安全管理維護人員,按照安全性規程制訂培訓計劃并進行培訓,使其了解安全性措施,并熟練掌握設備的安全操作使用規程及故障排除方法;針對普通系統用戶,應采用適當的方式對其進行安全意識和必要的操作方法培訓,提高其執行各種安全管理制度和使用系統中所部署的各種安全手段的自覺性和主動性。
[0058]所述建設管理包括需求分析、風險評估、安全方案設計、產品選型、產品采購和使用、工程實施、測試驗收、系統交付;
[0059](3)建立安全運維體系
[0060]安全運維體系是對安全防護系統運行過程中涉及的相關事務進行管理和控制,其核心是將管理體系中的要求在技術體系中得以有效落實,運維體系是信息安全的重點,也是整個體系建設中的難點。
[0061]為了確保安全裝備運行管理常態化、規范化,建立巡視檢查標準,結合信息系統的實際需求,梳理運維服務管理需求,通過環境管理、資產管理、介質管理、設備管理、監控管理、網絡管理、系統管理、服務管理、檢查測試管理、備份與恢復管理、事件處置流程管理、預案管理、變更管理、安全事件管理等行為,實現對環境、網絡、設備進行統一的自動化集中監測、監管,并嚴謹的工作態度,預防萬一的思想,全方位地作好特殊時期重點信息安全防護工作。
[0062]所述安全運維體系包括通過制訂和完善各種流程,制訂階段性工作計劃,開展信息安全風險評估,規范產品與服務采購流程,同時堅持做好日常維護管理、應急計劃和事件響應等方面的工作,以保證安全管理措施和安全技術措施的有效執行;
[0063](4)建立安全技術體系
[0064]安全技術體系從決策、管理和執行三個層面,完成對信息系統的多層次、全方位、動態、不斷增強的安全保障,確保信息的機密性、完整性、可用性、可控性和抗抵賴性等安全目標的實現。
[0065]所述安全技術體系包括為信息系統的安全管理人員提供信息支持,為綜合管理、風險分析、測試評估、態勢感知、預警響應提供技術支持,為系統配置、信息采集提供技術支持。
[0066]實施例3
[0067]本實施例的一種大規模網絡的安全防護方法,包括如下:
[0068](I)建立策略體系
[0069]所述建立策略提下包括建立信息系統安全防護工作的總體方針、策略、規范安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程;
[0070]所述操作規程包括物理安全、網絡安全、系統安全、應用安全、安全管理、人員組織、事件管理和資產管理等類型的標準和規范。
[0071]策略體系是安全管理體系的最高指導方針,為信息系統提供安全管理的方向,明確了信息安全工作總體目標,對技術和管理各方面的安全工作具有通用指導性,通過確立明確的政策方向,并且通過在相關組織機構中應用和采用該安全政策,可以有效地支持信息系統中信息的安全性。
[0072]信息安全政策與標準是信息安全管理、運作、技術體系標準化、制度化后形成的一整套對信息安全的管理規定,是安全意識培養的內容來源,是組織管理控制和審計的依據,是技術方案必須遵從的基礎要求。安全策略既包括國家和軍隊信息安全戰略的方針政策、法律法規、管理制度以及技術標準規范等,包括管理標準、技術標準、工作標準,又包括系統運行所依托的準則,包括系統防護策略等,覆蓋信息安全工作的各個方面,對管理、技術、運維體系中的各種安全控制措施和機制的部署提出目標和原則。
[0073](2)建立安全管理體系
[0074]安全管理體系是信息系統安全保障體系的重要組成部分,如果沒有完善的配套管理體系,無論如何完美的網絡安全防護技術方案也無法充分發揮其優勢。
[0075]所述安全管理體系包括組織機構管理、人員安全管理和建設管理;
[0076]所述組織結構管理包括對組織機構內的重要信息安全工作進行授權和審批,對內部相關業務部門和安全管理部門之間的溝通協調,與機構外部各類單位的合作,定期對系統的安全措施落實情況進行檢查,對檢查中發現的問題進行整改等流程;
[0077]所述組織結構管理還包括執勤保障,完成各種網絡以及各類信息系統安全防護系統的日常維護、值班執勤、演習演練保障以及安全防護,執行安全管理制度,監控安全設備的運行情況,檢測網絡的安全狀態,修改網絡安全策略。
[0078]通過組織和參與各種類型的安全培訓,提高安全設計、安全管理維護人員和普通系統用戶等內部人員的安全意識和安全技能,提高全行業的信息安全意識和人員的安全防護能力,形成一支過硬的信息安全人才隊伍。對于設計人員,應根據系統危險性分析和使用危險性分析的結果,制定相應的安全性培訓計劃,使設計人員掌握必要的安全性設計知識,了解系統危險分析過程及結果,以及應采取的安全性措施,使設計人員熟練掌握設備的安全系統設計與管理方法;對于安全管理維護人員,按照安全性規程制訂培訓計劃并進行培訓,使其了解安全性措施,并熟練掌握設備的安全操作使用規程及故障排除方法;針對普通系統用戶,應采用適當的方式對其進行安全意識和必要的操作方法培訓,提高其執行各種安全管理制度和使用系統中所部署的各種安全手段的自覺性和主動性。
[0079]所述建設管理包括需求分析、風險評估、安全方案設計、產品選型、產品采購和使用、工程實施、測試驗收、系統交付;
[0080](3)建立安全運維體系
[0081]安全運維體系是對安全防護系統運行過程中涉及的相關事務進行管理和控制,其核心是將管理體系中的要求在技術體系中得以有效落實,運維體系是信息安全的重點,也是整個體系建設中的難點。
[0082]為了確保安全裝備運行管理常態化、規范化,建立巡視檢查標準,結合信息系統的實際需求,梳理運維服務管理需求,通過環境管理、資產管理、介質管理、設備管理、監控管理、網絡管理、系統管理、服務管理、檢查測試管理、備份與恢復管理、事件處置流程管理、預案管理、變更管理、安全事件管理等行為,實現對環境、網絡、設備進行統一的自動化集中監測、監管,并嚴謹的工作態度,預防萬一的思想,全方位地作好特殊時期重點信息安全防護工作。
[0083]所述安全運維體系包括通過制訂和完善各種流程,制訂階段性工作計劃,開展信息安全風險評估,規范產品與服務采購流程,同時堅持做好日常維護管理、應急計劃和事件響應等方面的工作,以保證安全管理措施和安全技術措施的有效執行;
[0084](4)建立安全技術體系
[0085]安全技術體系從決策、管理和執行三個層面,完成對信息系統的多層次、全方位、動態、不斷增強的安全保障,確保信息的機密性、完整性、可用性、可控性和抗抵賴性等安全目標的實現。
[0086]所述安全技術體系包括為信息系統的安全管理人員提供信息支持,為綜合管理、風險分析、測試評估、態勢感知、預警響應提供技術支持,為系統配置、信息采集提供技術支持。
[0087]實施例4
[0088]本實施例的一種大規模網絡的安全防護方法,包括如下:
[0089](I)建立策略體系
[0090]所述建立策略提下包括建立信息系統安全防護工作的總體方針、策略、規范安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程;
[0091]所述操作規程包括物理安全、網絡安全、系統安全、應用安全、安全管理、人員組織、事件管理和資產管理等類型的標準和規范。
[0092]策略體系是安全管理體系的最高指導方針,為信息系統提供安全管理的方向,明確了信息安全工作總體目標,對技術和管理各方面的安全工作具有通用指導性,通過確立明確的政策方向,并且通過在相關組織機構中應用和采用該安全政策,可以有效地支持信息系統中信息的安全性。
[0093]信息安全政策與標準是信息安全管理、運作、技術體系標準化、制度化后形成的一整套對信息安全的管理規定,是安全意識培養的內容來源,是組織管理控制和審計的依據,是技術方案必須遵從的基礎要求。安全策略既包括國家和軍隊信息安全戰略的方針政策、法律法規、管理制度以及技術標準規范等,包括管理標準、技術標準、工作標準,又包括系統運行所依托的準則,包括系統防護策略等,覆蓋信息安全工作的各個方面,對管理、技術、運維體系中的各種安全控制措施和機制的部署提出目標和原則。
[0094](2)建立安全管理體系
[0095]安全管理體系是信息系統安全保障體系的重要組成部分,如果沒有完善的配套管理體系,無論如何完美的網絡安全防護技術方案也無法充分發揮其優勢。
[0096]所述安全管理體系包括組織機構管理、人員安全管理和建設管理;
[0097]所述組織結構管理包括對組織機構內的重要信息安全工作進行授權和審批,對內部相關業務部門和安全管理部門之間的溝通協調,與機構外部各類單位的合作,定期對系統的安全措施落實情況進行檢查,對檢查中發現的問題進行整改等流程;
[0098]所述組織結構管理還包括執勤保障,完成各種網絡以及各類信息系統安全防護系統的日常維護、值班執勤、演習演練保障以及安全防護,執行安全管理制度,監控安全設備的運行情況,檢測網絡的安全狀態,修改網絡安全策略。
[0099]所述組織結構管理還包括技術支持服務,提供安全防護基礎設施的技術支持、進行有效的應急響應服務以及開展相關技術研究等職能。
[0100]所述人員安全管理包括,對內部人員的安全管理和對外部人員的安全管理;
[0101]通過組織和參與各種類型的安全培訓,提高安全設計、安全管理維護人員和普通系統用戶等內部人員的安全意識和安全技能,提高全行業的信息安全意識和人員的安全防護能力,形成一支過硬的信息安全人才隊伍。對于設計人員,應根據系統危險性分析和使用危險性分析的結果,制定相應的安全性培訓計劃,使設計人員掌握必要的安全性設計知識,了解系統危險分析過程及結果,以及應采取的安全性措施,使設計人員熟練掌握設備的安全系統設計與管理方法;對于安全管理維護人員,按照安全性規程制訂培訓計劃并進行培訓,使其了解安全性措施,并熟練掌握設備的安全操作使用規程及故障排除方法;針對普通系統用戶,應采用適當的方式對其進行安全意識和必要的操作方法培訓,提高其執行各種安全管理制度和使用系統中所部署的各種安全手段的自覺性和主動性。
[0102]所述建設管理包括需求分析、風險評估、安全方案設計、產品選型、產品采購和使用、工程實施、測試驗收、系統交付;
[0103](3)建立安全運維體系
[0104]安全運維體系是對安全防護系統運行過程中涉及的相關事務進行管理和控制,其核心是將管理體系中的要求在技術體系中得以有效落實,運維體系是信息安全的重點,也是整個體系建設中的難點。
[0105]為了確保安全裝備運行管理常態化、規范化,建立巡視檢查標準,結合信息系統的實際需求,梳理運維服務管理需求,通過環境管理、資產管理、介質管理、設備管理、監控管理、網絡管理、系統管理、服務管理、檢查測試管理、備份與恢復管理、事件處置流程管理、預案管理、變更管理、安全事件管理等行為,實現對環境、網絡、設備進行統一的自動化集中監測、監管,并嚴謹的工作態度,預防萬一的思想,全方位地作好特殊時期重點信息安全防護工作。
[0106]所述安全運維體系包括通過制訂和完善各種流程,制訂階段性工作計劃,開展信息安全風險評估,規范產品與服務采購流程,同時堅持做好日常維護管理、應急計劃和事件響應等方面的工作,以保證安全管理措施和安全技術措施的有效執行;
[0107](4)建立安全技術體系
[0108]安全技術體系從決策、管理和執行三個層面,完成對信息系統的多層次、全方位、動態、不斷增強的安全保障,確保信息的機密性、完整性、可用性、可控性和抗抵賴性等安全目標的實現。
[0109]所述安全技術體系包括為信息系統的安全管理人員提供信息支持,為綜合管理、風險分析、測試評估、態勢感知、預警響應提供技術支持,為系統配置、信息采集提供技術支持。
[0110]實施例5
[0111]本實施例的一種大規模網絡的安全防護方法,包括如下:
[0112](I)建立策略體系
[0113]所述建立策略提下包括建立信息系統安全防護工作的總體方針、策略、規范安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程;
[0114]所述操作規程包括物理安全、網絡安全、系統安全、應用安全、安全管理、人員組織、事件管理和資產管理等類型的標準和規范。
[0115]策略體系是安全管理體系的最高指導方針,為信息系統提供安全管理的方向,明確了信息安全工作總體目標,對技術和管理各方面的安全工作具有通用指導性,通過確立明確的政策方向,并且通過在相關組織機構中應用和采用該安全政策,可以有效地支持信息系統中信息的安全性。
[0116]信息安全政策與標準是信息安全管理、運作、技術體系標準化、制度化后形成的一整套對信息安全的管理規定,是安全意識培養的內容來源,是組織管理控制和審計的依據,是技術方案必須遵從的基礎要求。安全策略既包括國家和軍隊信息安全戰略的方針政策、法律法規、管理制度以及技術標準規范等,包括管理標準、技術標準、工作標準,又包括系統運行所依托的準則,包括系統防護策略等,覆蓋信息安全工作的各個方面,對管理、技術、運維體系中的各種安全控制措施和機制的部署提出目標和原則。
[0117](2)建立安全管理體系
[0118]安全管理體系是信息系統安全保障體系的重要組成部分,如果沒有完善的配套管理體系,無論如何完美的網絡安全防護技術方案也無法充分發揮其優勢。
[0119]所述安全管理體系包括組織機構管理、人員安全管理和建設管理;
[0120]所述組織結構管理包括對組織機構內的重要信息安全工作進行授權和審批,對內部相關業務部門和安全管理部門之間的溝通協調,與機構外部各類單位的合作,定期對系統的安全措施落實情況進行檢查,對檢查中發現的問題進行整改等流程;
[0121]所述組織結構管理還包括執勤保障,完成各種網絡以及各類信息系統安全防護系統的日常維護、值班執勤、演習演練保障以及安全防護,執行安全管理制度,監控安全設備的運行情況,檢測網絡的安全狀態,修改網絡安全策略。
[0122]所述組織結構管理還包括技術支持服務,提供安全防護基礎設施的技術支持、進行有效的應急響應服務以及開展相關技術研究等職能。
[0123]所述人員安全管理包括,對內部人員的安全管理和對外部人員的安全管理;
[0124]所述對外部人員的安全管理包括外部人員的審查、登記和訪問管理。
[0125]通過組織和參與各種類型的安全培訓,提高安全設計、安全管理維護人員和普通系統用戶等內部人員的安全意識和安全技能,提高全行業的信息安全意識和人員的安全防護能力,形成一支過硬的信息安全人才隊伍。對于設計人員,應根據系統危險性分析和使用危險性分析的結果,制定相應的安全性培訓計劃,使設計人員掌握必要的安全性設計知識,了解系統危險分析過程及結果,以及應采取的安全性措施,使設計人員熟練掌握設備的安全系統設計與管理方法;對于安全管理維護人員,按照安全性規程制訂培訓計劃并進行培訓,使其了解安全性措施,并熟練掌握設備的安全操作使用規程及故障排除方法;針對普通系統用戶,應采用適當的方式對其進行安全意識和必要的操作方法培訓,提高其執行各種安全管理制度和使用系統中所部署的各種安全手段的自覺性和主動性。
[0126]所述建設管理包括需求分析、風險評估、安全方案設計、產品選型、產品采購和使用、工程實施、測試驗收、系統交付;
[0127](3)建立安全運維體系
[0128]安全運維體系是對安全防護系統運行過程中涉及的相關事務進行管理和控制,其核心是將管理體系中的要求在技術體系中得以有效落實,運維體系是信息安全的重點,也是整個體系建設中的難點。
[0129]為了確保安全裝備運行管理常態化、規范化,建立巡視檢查標準,結合信息系統的實際需求,梳理運維服務管理需求,通過環境管理、資產管理、介質管理、設備管理、監控管理、網絡管理、系統管理、服務管理、檢查測試管理、備份與恢復管理、事件處置流程管理、預案管理、變更管理、安全事件管理等行為,實現對環境、網絡、設備進行統一的自動化集中監測、監管,并嚴謹的工作態度,預防萬一的思想,全方位地作好特殊時期重點信息安全防護工作。
[0130]所述安全運維體系包括通過制訂和完善各種流程,制訂階段性工作計劃,開展信息安全風險評估,規范產品與服務采購流程,同時堅持做好日常維護管理、應急計劃和事件響應等方面的工作,以保證安全管理措施和安全技術措施的有效執行;
[0131](4)建立安全技術體系
[0132]安全技術體系從決策、管理和執行三個層面,完成對信息系統的多層次、全方位、動態、不斷增強的安全保障,確保信息的機密性、完整性、可用性、可控性和抗抵賴性等安全目標的實現。
[0133]所述安全技術體系包括為信息系統的安全管理人員提供信息支持,為綜合管理、風險分析、測試評估、態勢感知、預警響應提供技術支持,為系統配置、信息采集提供技術支持。
[0134]實施例6
[0135]本實施例的一種大規模網絡的安全防護方法,包括如下:
[0136](I)建立策略體系
[0137]所述建立策略提下包括建立信息系統安全防護工作的總體方針、策略、規范安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程;
[0138]所述操作規程包括物理安全、網絡安全、系統安全、應用安全、安全管理、人員組織、事件管理和資產管理等類型的標準和規范。
[0139]策略體系是安全管理體系的最高指導方針,為信息系統提供安全管理的方向,明確了信息安全工作總體目標,對技術和管理各方面的安全工作具有通用指導性,通過確立明確的政策方向,并且通過在相關組織機構中應用和采用該安全政策,可以有效地支持信息系統中信息的安全性。
[0140]信息安全政策與標準是信息安全管理、運作、技術體系標準化、制度化后形成的一整套對信息安全的管理規定,是安全意識培養的內容來源,是組織管理控制和審計的依據,是技術方案必須遵從的基礎要求。安全策略既包括國家和軍隊信息安全戰略的方針政策、法律法規、管理制度以及技術標準規范等,包括管理標準、技術標準、工作標準,又包括系統運行所依托的準則,包括系統防護策略等,覆蓋信息安全工作的各個方面,對管理、技術、運維體系中的各種安全控制措施和機制的部署提出目標和原則。
[0141](2)建立安全管理體系
[0142]安全管理體系是信息系統安全保障體系的重要組成部分,如果沒有完善的配套管理體系,無論如何完美的網絡安全防護技術方案也無法充分發揮其優勢。
[0143]所述安全管理體系包括組織機構管理、人員安全管理和建設管理;
[0144]所述組織結構管理包括對組織機構內的重要信息安全工作進行授權和審批,對內部相關業務部門和安全管理部門之間的溝通協調,與機構外部各類單位的合作,定期對系統的安全措施落實情況進行檢查,對檢查中發現的問題進行整改等流程;
[0145]所述組織結構管理還包括執勤保障,完成各種網絡以及各類信息系統安全防護系統的日常維護、值班執勤、演習演練保障以及安全防護,執行安全管理制度,監控安全設備的運行情況,檢測網絡的安全狀態,修改網絡安全策略。
[0146]所述組織結構管理還包括技術支持服務,提供安全防護基礎設施的技術支持、進行有效的應急響應服務以及開展相關技術研究等職能。
[0147]所述人員安全管理包括,對內部人員的安全管理和對外部人員的安全管理;
[0148]所述對外部人員的安全管理包括外部人員的審查、登記和訪問管理。
[0149]所述對內部人員的安全管理包括信息安全專業人員的錄用、離崗、培訓和考核,以及對非安全專業人員的安全意識教育和培養。
[0150]通過組織和參與各種類型的安全培訓,提高安全設計、安全管理維護人員和普通系統用戶等內部人員的安全意識和安全技能,提高全行業的信息安全意識和人員的安全防護能力,形成一支過硬的信息安全人才隊伍。對于設計人員,應根據系統危險性分析和使用危險性分析的結果,制定相應的安全性培訓計劃,使設計人員掌握必要的安全性設計知識,了解系統危險分析過程及結果,以及應采取的安全性措施,使設計人員熟練掌握設備的安全系統設計與管理方法;對于安全管理維護人員,按照安全性規程制訂培訓計劃并進行培訓,使其了解安全性措施,并熟練掌握設備的安全操作使用規程及故障排除方法;針對普通系統用戶,應采用適當的方式對其進行安全意識和必要的操作方法培訓,提高其執行各種安全管理制度和使用系統中所部署的各種安全手段的自覺性和主動性。
[0151]所述建設管理包括需求分析、風險評估、安全方案設計、產品選型、產品采購和使用、工程實施、測試驗收、系統交付;
[0152](3)建立安全運維體系
[0153]安全運維體系是對安全防護系統運行過程中涉及的相關事務進行管理和控制,其核心是將管理體系中的要求在技術體系中得以有效落實,運維體系是信息安全的重點,也是整個體系建設中的難點。
[0154]為了確保安全裝備運行管理常態化、規范化,建立巡視檢查標準,結合信息系統的實際需求,梳理運維服務管理需求,通過環境管理、資產管理、介質管理、設備管理、監控管理、網絡管理、系統管理、服務管理、檢查測試管理、備份與恢復管理、事件處置流程管理、預案管理、變更管理、安全事件管理等行為,實現對環境、網絡、設備進行統一的自動化集中監測、監管,并嚴謹的工作態度,預防萬一的思想,全方位地作好特殊時期重點信息安全防護工作。
[0155]所述安全運維體系包括通過制訂和完善各種流程,制訂階段性工作計劃,開展信息安全風險評估,規范產品與服務采購流程,同時堅持做好日常維護管理、應急計劃和事件響應等方面的工作,以保證安全管理措施和安全技術措施的有效執行;
[0156](4)建立安全技術體系
[0157]安全技術體系從決策、管理和執行三個層面,完成對信息系統的多層次、全方位、動態、不斷增強的安全保障,確保信息的機密性、完整性、可用性、可控性和抗抵賴性等安全目標的實現。
[0158]所述安全技術體系包括為信息系統的安全管理人員提供信息支持,為綜合管理、風險分析、測試評估、態勢感知、預警響應提供技術支持,為系統配置、信息采集提供技術支持。
[0159]上面所述的實施例僅僅是對本發明的優選實施方式進行描述,并非對本發明的范圍進行限定,在不脫離本發明設計精神前提下,本領域普通工程技術人員對本發明技術方案做出的各種變形和改進,均應落入本發明的權利要求書確定的保護范圍內。
【權利要求】
1.一種大規模網絡的安全防護方法,包括如下: (1)建立策略體系 所述建立策略提下包括建立信息系統安全防護工作的總體方針、策略、規范安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程; (2)建立安全管理體系 所述安全管理體系包括組織機構管理、人員安全管理和建設管理; 所述組織結構管理包括對組織機構內的重要信息安全工作進行授權和審批,對內部相關業務部門和安全管理部門之間的溝通協調,與機構外部各類單位的合作,定期對系統的安全措施落實情況進行檢查,對檢查中發現的問題進行整改等流程; 所述人員安全管理包括,對內部人員的安全管理和對外部人員的安全管理; 所述建設管理包括需求分析、風險評估、安全方案設計、產品選型、產品采購和使用、工程實施、測試驗收、系統交付; (3)建立安全運維體系 所述安全運維體系包括通過制訂和完善各種流程,制訂階段性工作計劃,開展信息安全風險評估,規范產品與服務采購流程,同時堅持做好日常維護管理、應急計劃和事件響應等方面的工作,以保證安全管理措施和安全技術措施的有效執行; (4)建立安全技術體系 所述安全技術體系包括為信息系統的安全管理人員提供信息支持,為綜合管理、風險分析、測試評估、態勢感知、預警響應提供技術支持,為系統配置、信息采集提供技術支持。
2.根據權利要求1所述的一種大規模網絡的安全防護方法,其特征在于:所述操作規程包括物理安全、網絡安全、系統安全、應用安全、安全管理、人員組織、事件管理和資產管理等類型的標準和規范。
3.根據權利要求1所述的一種大規模網絡的安全防護方法,其特征在于:所述組織結構管理還包括執勤保障,完成各種網絡以及各類信息系統安全防護系統的日常維護、值班執勤、演習演練保障以及安全防護,執行安全管理制度,監控安全設備的運行情況,檢測網絡的安全狀態,修改網絡安全策略。
4.根據權利要求1所述的一種大規模網絡的安全防護方法,其特征在于:所述組織結構管理還包括技術支持服務,提供安全防護基礎設施的技術支持、進行有效的應急響應服務以及開展相關技術研究等職能。
5.根據權利要求1所述的一種大規模網絡的安全防護方法,其特征在于:所述對外部人員的安全管理包括外部人員的審查、登記和訪問管理。
6.根據權利要求1所述的一種大規模網絡的安全防護方法,其特征在于:所述對內部人員的安全管理包括信息安全專業人員的錄用、離崗、培訓和考核,以及對非安全專業人員的安全意識教育和培養。
【文檔編號】H04L29/06GK104243401SQ201310227492
【公開日】2014年12月24日 申請日期:2013年6月8日 優先權日:2013年6月8日
【發明者】馬琳, 劉福強 申請人:中國人民解放軍91655部隊