|
论信息系统安全“四化”建设
http://www.cww.net.cn 2013年5月20日 13:07
通信世界网讯(CWW) 国内信息化建设起步于上世纪90年代,经过多年的发展,各组织单位信息化建设取得了突破性进展,信息系统顺利完成由局部应用到全面覆盖、由辅助管理到支撑生产经营、由分布处理到数据集中的转变,开始步入成熟阶段。 在信息化建设的过程中,同时也进行了信息系统安全建设。信息系统安全建设一般经过分散建设阶段、系统化建设阶段、一体化建设阶段。在不同的阶段,采取不同的安全技术与解决方案,但无论在哪一个阶段,信息系统安全理念都不会发生根本性的变化。本文通过总结信息系统安全建设的经验,提出了信息系统安全“四化”建设的理念与方法论,即产品方案化、方案业务化、业务透明化、服务产品化。 产品方案化 产品方案化着重强调某个安全产品在整个信息系统安全整体解决方案中的角色,以及所解决的具体问题。 产品方案化以方案提供者的角度提出,让用户明确安全产品不是解决所有的安全问题,而是满足整体解决方案某一个点的问题。如防火墙主要解决内外网安全隔离,或安全域的划分与隔离;网络审计主要对网络行为进行记录与追踪,解决内网合规问题。 产品方案化的前提是让用户对信息系统安全体系框架有一个清晰的认识,知道进行信息系统安全防护需要建设怎样的安全体系架构,而目前现状已经满足哪些要求?还有哪些没有满足?从而明确该产品在安全体系架构中的作用,以及该产品的重要性和紧迫性如何? 对于信息系统安全体系架构,在等级保护制度没有执行之前,一般按照IATF标准通过安全域的划分来构建信息系统安全体系架构,以及等级保护制度的执行,使国内政府、企事业单位进行信息系统安全建设有所依据。等级保护从计算安全环境、边界安全、通信安全、安全管理中心四个方面阐述了如何构建安全体系架构。通过信息系统安全等级保护架构图,可以非常清晰每个产品在等级保护整体解决方案中的角色与作用,从而很容易提供产品方案化的解决方案。 方案业务化 信息系统安全是一个比较宏观的概念,信息系统安全的目的是业务系统安全,保障业务系统的可用性和安全性,是进行信息系统安全建设的最终目标。同时,以业务系统安全为目标,可以使解决方案的工作目标更明确,具体安全措施的粒度更细。 通过多年的信息化建设,业务系统已经成为组织单位中职能部门工作的平台,业务系统产生可用性事件或安全事件,直接关系到组织单位的日常工作,甚至造成经济损失。信息系统安全解决方案,一定是以业务系统为中心,从业务系统的安全防护、业务系统的可用性监控、业务系统的行为审计、业务系统的运维安全、业务系统的安全事件,以及业务系统的流量监控等多维度来解决业务系统的安全问题。 因此,以安全解决方案业务化的角度去解决安全问题,不仅目标明确,而且可以准确的判断业务系统是否是一个独立的安全域,业务系统安全防护是否到位,从而验证安全解决方案是否“落地”。 业务透明化 [1] [2]
来源:通信世界网 编 辑:高娟
猜你还喜欢的内容
文章评论【查看评论()】
|
企业黄页 会议活动 |