熱心相助
您好!網絡安全管理措施需要綜合防範,主要體現在網絡安全保障體系和總體框架中。
面對各種網絡安全的威脅,以往針對單方面具體的安全隱患,提出具體解決方案的應對措施難免顧此失彼,越來越暴露出其局限性。面對新的網絡環境和威脅,需要建立壹個以深度防禦為特點的信息安全保障體系。案例我國某金融機構的網絡信息安全保障體系總體框架如圖1所示。網絡信息安全保障體系框架的外圍是風險管理、法律法規、標準的符合性。
圖1 網絡信息安全保障體系框架風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上,制定的識別風險、衡量風險、積極應對風險、有效處置風險及妥善處理風險等壹整套系統而科學的管理方法,以避免和減少風險損失,促進企業長期穩定發展。網絡安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心,風險分為信用風險、市場風險和操作風險,其中後者包括信息安全風險。實際上,在信息安全保障體系框架中充分體現了風險管理的理念。網絡信息安全保障體系架構包括五個部分:
1) 網絡安全戰略。以風險管理為核心理念,從長遠戰略角度通盤考慮網絡建設安全。它處於整個體系架構的上層,起到總體的戰略性和方向性指導的作用。
2) 信息安全政策和標準。以風險管理理念逐層細化和落實,是對網絡安全戰略的逐層細化和落實,跨越管理、運作和技術三個不同層面,在每壹層面都有相應的安全政策和標準,通過落實標準政策規範管理、運作和技術,以保證其統壹性和規範性。當三者發生變化時,相應的安全政策和標準通過調整相互適應。安全政策和標準也會影響管理、運作和技術。
3) 網絡安全運作。是基於風險管理理念的日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。既是網絡安全保障體系的核心,貫穿網絡安全始終;又是網絡安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
4) 網絡安全管理。涉及企業管理體系範疇,是網絡安全體系框架的上層基礎,對網絡安全運作至關重要,從人員、意識、職責等方面保證網絡安全運作的順利進行。網絡安全通過運作體系實現,而網絡安全管理體系是從人員組織的角度保證網絡安全運作,網絡安全技術體系是從技術角度保證網絡安全運作。
5) 網絡安全技術。網絡安全運作需要的網絡安全基礎服務和基礎設施的及時支持。先進完善的技術可以極大提高網絡安全運作的有效性,從而達到網絡安全保障體系的目的,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
(拓展參考本人資料:清華大學出版社,賈鐵軍教授主編,網絡安全實用技術)