咨詢熱線:021-80392549

信息系統(tǒng)安全建設(shè)“四化”趨勢(shì)漸顯

放大字體  縮小字體 發(fā)布日期:2014-10-19     來(lái)源:[標(biāo)簽:出處]     作者:[標(biāo)簽:作者]     瀏覽次數(shù):176
核心提示:

國(guó)內(nèi)信息化建設(shè)起步于上世紀(jì)90年代,經(jīng)過(guò)多年的發(fā)展,各組織單位信息化建設(shè)取得了突破性進(jìn)展,信息系統(tǒng)順利完成由局部應(yīng)用到全面覆蓋、由輔助管理到支撐生產(chǎn)經(jīng)營(yíng)、由分布處理到數(shù)據(jù)集中的轉(zhuǎn)變,開始步入成熟階段。

在信息化建設(shè)的過(guò)程中,同時(shí)也進(jìn)行了信息系統(tǒng)安全建設(shè)。信息系統(tǒng)安全建設(shè)一般經(jīng)過(guò)分散建設(shè)階段、系統(tǒng)化建設(shè)階段、一體化建設(shè)階段。在不同的階段,采取不同的安全技術(shù)與解決方案,但無(wú)論在哪一個(gè)階段,信息系統(tǒng)安全理念都不會(huì)發(fā)生根本性的變化。本文通過(guò)總結(jié)信息系統(tǒng)安全建設(shè)的經(jīng)驗(yàn),提出了信息系統(tǒng)安全“四化”建設(shè)的理念與方法論,即產(chǎn)品方案化、方案業(yè)務(wù)化、業(yè)務(wù)透明化、服務(wù)產(chǎn)品化。

產(chǎn)品方案化

產(chǎn)品方案化著重強(qiáng)調(diào)某個(gè)安全產(chǎn)品在整個(gè)信息系統(tǒng)安全整體解決方案中的角色,以及所解決的具體問(wèn)題。

產(chǎn)品方案化以方案提供者的角度提出,讓用戶明確安全產(chǎn)品不是解決所有的安全問(wèn)題,而是滿足整體解決方案某一個(gè)點(diǎn)的問(wèn)題。如防火墻主要解決內(nèi)外網(wǎng)安全隔離,或安全域的劃分與隔離;網(wǎng)絡(luò)審計(jì)主要對(duì)網(wǎng)絡(luò)行為進(jìn)行記錄與追蹤,解決內(nèi)網(wǎng)合規(guī)問(wèn)題。

產(chǎn)品方案化的前提是讓用戶對(duì)信息系統(tǒng)安全體系框架有一個(gè)清晰的認(rèn)識(shí),知道進(jìn)行信息系統(tǒng)安全防護(hù)需要建設(shè)怎樣的安全體系架構(gòu),而目前現(xiàn)狀已經(jīng)滿足哪些要求?還有哪些沒有滿足?從而明確該產(chǎn)品在安全體系架構(gòu)中的作用,以及該產(chǎn)品的重要性和緊迫性如何?

對(duì)于信息系統(tǒng)安全體系架構(gòu),在等級(jí)保護(hù)制度沒有執(zhí)行之前,一般按照IATF標(biāo)準(zhǔn)通過(guò)安全域的劃分來(lái)構(gòu)建信息系統(tǒng)安全體系架構(gòu),以及等級(jí)保護(hù)制度的執(zhí)行,使國(guó)內(nèi)政府、企事業(yè)單位進(jìn)行信息系統(tǒng)安全建設(shè)有所依據(jù)。等級(jí)保護(hù)從計(jì)算安全環(huán)境、邊界安全、通信安全、安全管理中心四個(gè)方面闡述了如何構(gòu)建安全體系架構(gòu)。通過(guò)信息系統(tǒng)安全等級(jí)保護(hù)架構(gòu)圖,可以非常清晰每個(gè)產(chǎn)品在等級(jí)保護(hù)整體解決方案中的角色與作用,從而很容易提供產(chǎn)品方案化的解決方案。

方案業(yè)務(wù)化

信息系統(tǒng)安全是一個(gè)比較宏觀的概念,信息系統(tǒng)安全的目的是業(yè)務(wù)系統(tǒng)安全,保障業(yè)務(wù)系統(tǒng)的可用性和安全性,是進(jìn)行信息系統(tǒng)安全建設(shè)的最終目標(biāo)。同時(shí),以業(yè)務(wù)系統(tǒng)安全為目標(biāo),可以使解決方案的工作目標(biāo)更明確,具體安全措施的粒度更細(xì)。

通過(guò)多年的信息化建設(shè),業(yè)務(wù)系統(tǒng)已經(jīng)成為組織單位中職能部門工作的平臺(tái),業(yè)務(wù)系統(tǒng)產(chǎn)生可用性事件或安全事件,直接關(guān)系到組織單位的日常工作,甚至造成經(jīng)濟(jì)損失。信息系統(tǒng)安全解決方案,一定是以業(yè)務(wù)系統(tǒng)為中心,從業(yè)務(wù)系統(tǒng)的安全防護(hù)、業(yè)務(wù)系統(tǒng)的可用性監(jiān)控、業(yè)務(wù)系統(tǒng)的行為審計(jì)、業(yè)務(wù)系統(tǒng)的運(yùn)維安全、業(yè)務(wù)系統(tǒng)的安全事件,以及業(yè)務(wù)系統(tǒng)的流量監(jiān)控等多維度來(lái)解決業(yè)務(wù)系統(tǒng)的安全問(wèn)題。

因此,以安全解決方案業(yè)務(wù)化的角度去解決安全問(wèn)題,不僅目標(biāo)明確,而且可以準(zhǔn)確的判斷業(yè)務(wù)系統(tǒng)是否是一個(gè)獨(dú)立的安全域,業(yè)務(wù)系統(tǒng)安全防護(hù)是否到位,從而驗(yàn)證安全解決方案是否“落地”。

業(yè)務(wù)透明化

信息系統(tǒng)安全保障體系作為業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行的基礎(chǔ),服務(wù)于業(yè)務(wù)系統(tǒng),但對(duì)業(yè)務(wù)系統(tǒng)的應(yīng)用需要透明,以不影響業(yè)務(wù)系統(tǒng)用戶使用習(xí)慣和業(yè)務(wù)系統(tǒng)的運(yùn)行效率為原則。

信息系統(tǒng)安全建設(shè)如果做不到業(yè)務(wù)透明化,在安全建設(shè)的過(guò)程中,一定會(huì)遇到重重阻力,難以為繼。即使由于某種原因進(jìn)行了不透明的安全建設(shè),后期也會(huì)導(dǎo)致棄用。同時(shí),業(yè)務(wù)不透明的安全建設(shè),很容易因?yàn)樾畔⑾到y(tǒng)安全建設(shè)而導(dǎo)致業(yè)務(wù)系統(tǒng)的不安全。

服務(wù)產(chǎn)品化

一個(gè)完整的信息系統(tǒng)安全保障體系,由安全產(chǎn)品技術(shù)、安全管理、安全服務(wù)三大方面組成。其中安全服務(wù)包括信息系統(tǒng)安全咨詢服務(wù)、評(píng)估服務(wù)、應(yīng)急服務(wù)、加固服務(wù)、安全運(yùn)維服務(wù)等。

安全服務(wù)需要產(chǎn)品化,才能夠形成標(biāo)準(zhǔn),保證質(zhì)量。安全服務(wù)的產(chǎn)品化集中體現(xiàn)在安全服務(wù)文檔標(biāo)準(zhǔn)化、項(xiàng)目組織標(biāo)準(zhǔn)化、服務(wù)流程標(biāo)準(zhǔn)化。

安全服務(wù)文檔不僅需要標(biāo)準(zhǔn)化,而且根據(jù)客戶的不同要進(jìn)行行業(yè)化,同時(shí)要及時(shí)更新。項(xiàng)目組織標(biāo)準(zhǔn)化體現(xiàn)在安全服務(wù)的過(guò)程中,讓專業(yè)的人做專業(yè)的事情,避免由于人員的不專業(yè)而導(dǎo)致安全服務(wù)風(fēng)險(xiǎn)加大。服務(wù)流程標(biāo)準(zhǔn)化體現(xiàn)在安全服務(wù)要有計(jì)劃、有步驟的進(jìn)行。

總之,安全服務(wù)產(chǎn)品化不僅能夠體現(xiàn)安全服務(wù)的專業(yè)性,而且能夠提高安全服務(wù)的效率,降低安全服務(wù)的風(fēng)險(xiǎn)。

在信息系統(tǒng)安全解決方案中,以安全“四化”建設(shè)為理念,不僅可以使安全解決方案目標(biāo)明確,建立符合用戶使用習(xí)慣和企業(yè)文化、可落地的安全保障體系,而且可以使安全技術(shù)和安全服務(wù)有機(jī)的融合為一體,從而高效的為信息系統(tǒng)安全穩(wěn)定運(yùn)行提供保障能力。

工博士工業(yè)品商城聲明:凡資訊來(lái)源注明為其他媒體來(lái)源的信息,均為轉(zhuǎn)載自其他媒體,并不代表本網(wǎng)站贊同其觀點(diǎn),也不代表本網(wǎng)站對(duì)其真實(shí)性負(fù)責(zé)。您若對(duì)該文章內(nèi)容有任何疑問(wèn)或質(zhì)疑,請(qǐng)立即與商城(headrickconstructioninc.com)聯(lián)系,本網(wǎng)站將迅速給您回應(yīng)并做處理。
聯(lián)系電話:021-31666777
新聞、技術(shù)文章投稿QQ:3267146135  投稿郵箱:syy@gongboshi.com