1.需求分(fēn)析
随着企業的信息化建設快速發展,為(wèi)避免重要信息系統受到可(kě)能(néng)的病毒、木(mù)馬等威脅侵害,因此建立建成能(néng)夠整體(tǐ)提升企業業務(wù)安(ān)全的縱深防禦、監測、響應處置的能(néng)力,并兼顧實際工(gōng)作(zuò)中(zhōng)的安(ān)全需求。
2.風險分(fēn)析
(1)非法訪問,未經授權使用(yòng)網絡資源,包括非法用(yòng)戶通過專網進入企業業務(wù)内部進行違法操作(zuò)及合法用(yòng)戶以未經授權的方式進行操作(zuò),非法複制信息等。
(2)系統漏洞,高危漏洞很(hěn)容易被病毒、木(mù)馬、黑客等侵入,導緻軟件崩潰或者盜取重要信息、密碼等。
(3)惡意代碼,通過惡意程序,計算機病毒等獲取信息或破壞企業信息系統正常運行。
(4)破壞信息完整性,改變企業系統信息的内容或形式。
(5)破壞網絡的可(kě)用(yòng)性,通過執行命令,發送數據或執行其它操作(zuò)使系統資源對用(yòng)戶失效,使合法用(yòng)戶不能(néng)正常訪問企業信息系統網絡資源或使有(yǒu)嚴格時間要求的服務(wù)不能(néng)及時得到響應。也可(kě)能(néng)以物(wù)理(lǐ)方式盜竊或破壞企業信息系統網絡的設備、設施。
(6)操作(zuò)失誤,人為(wèi)操作(zuò)失誤可(kě)能(néng)會對企業信息系統造成破壞。
(7)運維無法審計,面對不同廠商(shāng)或者集成商(shāng)運維技(jì )術人員的調試,可(kě)能(néng)會造成網絡問題,内部人員的操作(zuò)等,出現網絡、業務(wù)問題時無法追蹤什麽樣的操作(zuò)造成的事件
(8)自然災害和環境事故,地震,火災,水災等自然災害和電(diàn)磁污染等環境事故會對企業信息系統造成破壞。
3.設計原則
安(ān)全保障體(tǐ)系框架将信息網絡及信息系統做為(wèi)安(ān)全保護對象的基礎,制定了标準的安(ān)全方針和總體(tǐ)策略,采用(yòng)“結構化”的分(fēn)析和控制方法,把控制體(tǐ)系分(fēn)成安(ān)全管理(lǐ)、安(ān)全技(jì )術、安(ān)全服務(wù)的控制體(tǐ)系框架,建立的滿足整體(tǐ)安(ān)全控制要求的安(ān)全保障體(tǐ)系
4.解決思路
安(ān)全保障框架所有(yǒu)安(ān)全控制都應以安(ān)全方針、策略作(zuò)為(wèi)安(ān)全工(gōng)作(zuò)的指導與依據,落實安(ān)全管理(lǐ)和安(ān)全技(jì )術兩大維度的具(jù)體(tǐ)實施與維護,以業務(wù)系統的安(ān)全運營為(wèi)信息安(ān)全保障建設的核心,并輔以安(ān)全評估與安(ān)全培訓貫穿信息安(ān)全保障體(tǐ)系的全過程,形成風險可(kě)控的安(ān)全保障框架體(tǐ)系。各層面的具(jù)體(tǐ)說明如下:、
業務(wù)系統:是企業安(ān)全保障框架的核心,其實現業務(wù)功能(néng)的信息系統安(ān)全保護等級決定了整體(tǐ)安(ān)全保障的強度和力度。
安(ān)全策略體(tǐ)系:指導企業信息系統安(ān)全設計、建設和維護管理(lǐ)工(gōng)作(zuò)的基本依據,所有(yǒu)相關人員應根據工(gōng)作(zuò)實際情況履行相關安(ān)全策略,制定并遵守相應的安(ān)全标準、流程和安(ān)全制度實施細則,做好安(ān)全體(tǐ)系相關工(gōng)作(zuò)。
安(ān)全管理(lǐ)體(tǐ)系:落實安(ān)全管理(lǐ)機構、人員、建設、運維安(ān)全管理(lǐ)等相關要求,指導企業安(ān)全職能(néng)的落實、崗位設置和相關人員的安(ān)全管理(lǐ),建立覆蓋組織、策略和技(jì )術的流程和規範,重點關注系統建設和系統運維管理(lǐ)控制要求,指導企業安(ān)全管理(lǐ)、實施和運維的具(jù)體(tǐ)實現。
安(ān)全技(jì )術體(tǐ)系:落實安(ān)全技(jì )術相關控制要求,實現物(wù)理(lǐ)、網絡、主機、應用(yòng)和數據的所有(yǒu)安(ān)全控制項,通常采用(yòng)安(ān)全産(chǎn)品加以實現,輔助安(ān)全技(jì )術以增強安(ān)全控制能(néng)力。
安(ān)全服務(wù)體(tǐ)系:在信息系統的整個生命周期中(zhōng),通過安(ān)全評估、安(ān)全加固、應急響應及安(ān)全培訓等信息安(ān)全技(jì )術,對信息系統的各個階段進行檢查、控制與修正,保障信息系統的持續安(ān)全運營。
