您当前的位置: 关于我们> 解决方案>构建可靠的信息安全管理体系
关于我们
解决方案

近年来,随着棱镜门等信息安全事件的不断被披露,构建可靠的信息安全管理体系又一次成为政府与诸多企业管理者热议的话题。然而,罗马不是一日建成的,无论是基于国际信息安全标准ISO27001,还是基于我国的信息安全等级保护要求,IT管理者都需要深刻理解三分安全,七分管理的含义,这不仅是因为现阶段我国信息系统还有存在诸多安全问题亟待完善,也因为风险规避的本质需要更合理的管理手段来及时发现潜在的风险。因此,今天构建信息安全管理体系的核心归根结底需要建立健全组织机构的安全管理平台,夯实信息系统、安全保障、风险控制的综合能力建设。

2011年,我国的十二五规划纲要明确提出,各组织机构要加强网络与信息安全建设,实施信息安全等级保护、风险评估等制度,加强信息网络监测、管控能力。由此可见,建立满足我国国情需要的安全管理中心,首先需要满足我国等级保护、分级保护的政策要求,其次需要能够实时采集来自各种设备和应用的事件,为用户提供自动、全面、深入的事件分析能力,对潜在风险做到直观、高效的展现。因此,唯有更好的兼容组织机构网络中种类繁多的应用与设备,才能真正做到对各种风险事件的监测与管控。

通常,在建立信息安全管理体系(ISMS)过程中,组织机构会投入很多资源进行资产收集、风险评估、采取种种控制措施降低风险,且制定相关的管理制度规范以降低企业风险,提升员工信息安全意识,从而达到提升企业整体信息安全管理水平。整个过程通常会耗费各职能部门的巨大精力,而IT管理者又不得不疲于应付一年一次或两次的风险评估,突击实施一套看似完备的信息安全管理制度,实际效果参差不齐不说,风险短板也很难被弥补。可见,今天的安全管理体系不仅无法真正提升信息管理的水平,更无法有效避免实际应用中由于信息管理不善而产生各种问题,一旦被攻击者利用将导致非常巨大的经济损失。

如何建立更有效的信息安全管理体系,如何实现全方位、多层次的集安全防护、识别、监测、分析、响应、改进于一体的综合安全管理系统,实现整体安全保障体系的支撑和实现?以等级保护政策要求的第三级系统为例,我们重新认识安全管理平台需要具备哪些关键能力。

首先,安全管理平台需要实时采集组织机构中已部署的各种设备与应用,包括:
        >主机,包括WindowsLinuxUnix等多种操作系统;
        >网络设备,包括路由器、交换机、无线设备、其它网络设备等;
        >安全设备,包括防火墙、VPNIDS/IPS、认证系统、反病毒系统、反垃圾邮件系统、隔离设备、反恶意代码设备、漏洞扫描系统、数据库审计系统、上网行为审计系统、网络行为审计系统、桌面管理系统、网络接入管理系统、域控制系统、补丁管理系统、网页防篡改系统等;
       >数据库,包括OracleMS SQLServerMysqlDB2等数据库;
       >中间件,包括WebSphereWebLogic等多种中间件;
       >应用,包括OAMISMailWeb等组织机构中各种重要的应用系统。

其次,安全管理平台需要遵循等级保护以及ISO27000的策略要求,实现安全设备、安全技术、安全策略、安全人员管理为一体的管理体系。具体目标包括:
       >安管平台作为各级安全管理人员的日常工作平台。实现了日常通报、查处、报警等业务处理和各级人员的工作协同;实现了监测、报警、处置、反馈和考核相结合的安全管理工作方式;支撑安全管理日常化、常态化的工作机制。
       >安管平台作为集中安全监控与综合展示平台。实现了日常安全工作集中的通报展示、安全事件展示和安全专项系统工作状态展示与监控;实现了各类问题的进一步响应和应急处理;实现了安全法规、案例与应急预案等的展示与教育辅助。
       >安管平台作为决策辅助与综合分析评估平台。实现了各类安全数据的加工、存储、分析、挖掘;实现了安全态势的综合分析与评估;辅助安全决策,为安全整改提供依据。

最后,安全管理理念体系还需要围绕等级保护所涉及的物理、网络、主机、应用、数据的五个方面实现涵盖识别、防护、监测、分析、响应、改进完整立体的管理能力建设。

图片8.png 

安全防护:依据安全管理目标能够制订详细的安全策略,实现安全策略的管理和变更控制,能够针对安全设备自动下发安全策略,并监控安全策略、安全配置的变更,实现安全防护的统一管理;
  安全识别:能够对客户计算环境中包括网络设备、安全设备、主机、应用、帐号在内的节点信息的自动识别和统一监控,能够实时获取计算环境中的各类可用性、病毒、攻击、访问、认证、操作、帐号等信息,实现计算环境的安全态势感知;
  安全监测:能够监测IT节点可用性状况,能够依据安全策略要求设定安全分析规则,实现对安全策略执行情况、安全事件告警的监测,依据安全指标的变化评估物理、网络、设备、业务、身份、数据安全防护的状况;
  安全分析:依据安全策略,定义安全事件的级别,依据级别,提取需要安全响应的安全事件和问题,自动发送工单和告警短信,依据流程规范化处理。再者,能够依据安全评估和考核指标,分组织或类别进行评估考核;
  安全响应:通过安全规则,实现安事件与安全策略的联动,自动提升安全防护能力,实现快速的安全自动响应。依据安全策略设定安全保障组织体系,分角色、分流程自动流转安全事件、通告和工作,将人员和技术有效融合,规范自动的实现安全工作的流转和执行。
  安全改进:汇总和分析各级安全管理评估考核指标,由管理者评估安全状况,设定改进目标,制订安全改进计划,通过安全策略管理、项目管理、预算管理、评测管理完成对安全保障体系的迭代式改进;
  

基于以上例举的安全管理关键因素如何在实际应用中落地?下面我们将从实际案例中来找到答案。一套可靠的安全管理平台,需要满足ISO27001以及等级保护的合规性要求,同时兼顾网络和业务安全防护方针、策略的整体管理,保障业务系统的安全的综合需求,因此构建安全管理平台的总体结构从逻辑上可划分为三个层次:集中展示层、核心处理层、接入交换层。以我国公安通信网络的管理需求为例,构建安全管理平台的整体结构图如下所示:

图片9.png