首页-> 解决方案-> 安全体系建设解决方案
解决方案
安全体系建设解决方案
行业背景

为了保证网络系统的信息安全,有效地防范系统所面临的安全风险,应遵循国家信息安全领域相关法规、文件、标准及国际标准,结合用户行业标准规范,在对用户进行需求分析的基础上,提出安全建设策略,划分安全区域,采取相应的安全防护措施和手段,并制订有效的安全管理方案,保证对系统安全事件的响应和系统的恢复,提高网络系统的安全性和可用性。

建设目标

从最终使用对象的角度出发,网络安全系统建设的主要目标可概括为以下三点:

  1. 保证网络系统安全、可靠、稳定的运行

  2. 保证网络系统中的信息的保密性、完整性、可用性和抗抵赖性

  3. 保证网络系统中传播内容的合法性。

建设原则

1. 整体性

信息安全是一个复杂的系统工程,安全的问题是任何一种单元技术都无法解决的,必须从一个完整的安全体系结构出发,综合考虑信息网络的各个环节,综合使用各层次的各种安全手段,为网络系统提供全方位安全服务。安全问题不仅仅是技术问题,也是管理问题。各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规和标准规范建设相结合。

2. 合理性

进行安全设计时对网络系统进行实际的研究,并对信息网络系统所面临的威胁、脆弱性及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略,从而采取相应的安全技术措施。确保在以上四个方面找到一个合理的折衷点,在可接受的风险范围内,以最小的投资换取最大的安全性。

3. 一致性

安全管理模式应该尽量与用户行政管理机构设置相一致,以便于实施和管理。制定的安全策略和安全建设内容必须与网络系统的安全需求相一致。在进行网络系统各个组成子系统初步设计、详细设计、实施、验收和运行的整个过程中,需要同步考虑相应的安全内容和措施。

4. 安全分级

针对网络系统,落实等级化保护思想,制定等级化的信息安全保护总体策略,制定等级划分实施指南与保护要求。主要的等级划分方式包括:

  1. 信息保密程度分级

  2. 用户操作权限分级

  3. 网络安全程度分级

  4. 系统结构实现分级

  5. 管理分级

安全建设应针对不同级别的安全对象,提供全面的、可行的安全策略与措施,满足不同层次的安全需求。

5. 易操作性

各种安全技术部署后,需要人去管理和操作,如果有关措施过于复杂,对人的要求过高,本身就降低了安全性。

6. 扩展保证

系统部署的安全只能是相对的和暂时的,随着攻击等安全威胁的技术手段的发展,要求安全系统在被动防护、主动监测方面是一个全动态的过程,需要有良好的可扩展性。随着应用的扩展变化而带来的网络系统的变化,会引起安全需求的变化,安全系统应当对此保证良好的适应性、灵活性和扩展性。

7. 有效管理

网络系统所提供的各种安全服务,涉及到各个层次、多个实体和各种安全技术,只有有效的安全管理才能保证这些安全机制真正有效地发挥作用。

需求分析

1. 系统分析

对网络系统中各种资源和系统服务对象进行分类,并对各自特点进行分析。主要包括硬件资源、软件资源、信息资源、支持保障系统资源及网络用户等。

2. 风险分析

根据系统分析结果,对网络系统各组成部分进行脆弱性和威胁分析。在此基础上,进行系统的安全风险分析和评估。

安全体系建设

1. 总体设计

网络安全体系不仅包括技术层面,还包括管理层面、组织层面和标准层面等一系列内容,因此网络安全体系结构是多层次、多方面、立体的安全构架。针对整体安全性的要求,网络安全体系涉及的各个环节包括:安全策略、安全管理体系、安全技术体系、安全标准体系、安全组织体系等几部分。
在系统建设、运行过程中通过相应安全技术手段与安全技术设施建立的评估、保护、检测、响应和恢复等安全功能构成了安全技术体系。

2. 安全策略

  1. 基本原则:网络系统安全策略应以确保信息的保密性为主,遵循多重保护,最小授权,综合防护等原则。

  2. 安全区域划分:根据网络的结构、协议和管理,将网络划分为不同的子网和安全区域,根据用户类型、应用功能、流量特征、信息内容和保密要求不同,分别确定其安全策略,并在安全区域之间的安全边界部署防护措施与安全技术,实现安全域之间的隔离和访问控制。

3. 安全措施

对于网络系统考虑今后一段时间的使用、维护和管理,针对可能存在的问题和隐患,分为以下几个方面,提出了比较合理且现阶段可实施的安全策略,以及相应的防护措施,在保证信息系统的安全、可靠运行的基础上,保证网络与应用的保密性、完整性和可用性,并为发展保留了充分的扩展能力。

安全管理体系

安全管理是网络信息安全系统的重要组成部分,常说信息安全是“三分技术,七分管理”,在技术上无法完美解决的安全问题,可通过管理手段结合技术措施来实现。完整的安全管理体系是在安全管理制度的指导下,对安全资源、安全技术和人员进行全面的管理 。

安全管理体系,其主要内容涉及到:安全策略管理、安全技术管理、安全标准管理和安全组织管理等方面内容。

安全组织体系

在安全组织体系结构方面,需要在用户单位内部设置安全机构,进行人员分工和培训的工作,还需要定义外部支持机构和相关的协调工作。

安全标准

安全标准由三大部分组成:

  1. 国家信息安全领域相关法规、文件、标准。包括:国家基本法律、行政法规、部门规章及规范性文件、地方性行政规章等。

  2. 用户行业标准、规范、规定和技术方案。

  3. 国际标准。

在进行网络安全系统建设时,应在符合国家规范的前提下,针对不同的适用场合,合理利用相应的安全理论体系架构。

网站地图 | 员工邮箱登录 © 2001-2010 Thunisoft 北京紫光华宇软件股份有限公司 版权所有 京ICP备05037336