網絡安全保障體系的總體框架
1.網絡安全整體保障體系
計算機網絡安全的整體保障作用,主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網絡安全整體保障體系如圖1所示。
?圖1?網絡安全整體保障體系
網絡系統安全風險評估是壹個識別、控制、降低或消除可能影響系統安全風險的過程。是明確安全現狀、規劃安全工作、制訂安全策略,並形成安全解決方案的基礎,通過對網絡系統的風險評估可以掌控各種潛在風險,並制定出相應的應對措施和應急預案。通過安全控制極大地降低風險,並對殘留風險進行及時監控和分析,應急預案及計劃可在突發事件發生時做出應急響應和災難恢復,以確保網絡系統及業務數據的安全。
網絡安全保障關鍵要素包括四個方面:網絡安全策略、網絡安全管理、網絡安全技術和網絡安全運作,如圖2所示。網絡安全策略包括網絡安全的戰略、政策和標準:網絡安全管理是指機構的管理行為,主要包括安全意識、組織結構和審計監督;網絡安全技術是網絡系統的行為,包括安全服務和安全基礎設施;網絡安全運作是日常管理的行為,包括運作流程和對象管理。
圖2網絡安全保障因素
在企業管理機制下,需要通過運作機制借助技術手段才能實現網絡安全。網絡安全運作是在日常工作中,執行網絡安全管理和網絡安全技術手段,“七分管理,三分技術,運作貫穿始終”,管理是關鍵,技術是保障,其中的管理應包括管理技術。
與美國ISS公司提出的動態網絡安全體系的代表模型的雛形P2DR類似。該模型包含4個主要部分:Policy(安全策略)、Protection(防護)、Detection(檢測)和?Response(響應)。P2DR?模型如圖3所示。是在整體的安全策略的控制和指導下,在綜合運用防護工具(如防火墻、操作系統、身份認證、加密等)的同時,利用檢測工具(如漏洞評估、入侵檢測等),掌握並評估系統的安全狀態,通過恰當運作及響應將系統調整到“最安全”和“風險最低”的狀態。防護、檢測和響應組成了壹個完整動態的安全循環,在安全策略的控制和指導下保證信息系統的安全,而此模型忽略了其內在的變化因素。
?
圖3?P2DR?模型示意圖
2.網絡安全保障體系框架結構
面對網絡系統的各種威脅和風險,以往針對單方面具體的安全隱患,所提出的具體解決方案具有壹定其局限性,應對的措施也難免顧此失彼。面對新的網絡環境和威脅,需要建立壹個以深度防禦為特點的網絡信息安全保障體系。
網絡安全保障體系框架結構如圖3所示。對於網絡安全保障體系的外圍是法律法規、標準的符合性和風險管理。
圖4 ?網絡安全保障體系框架結構?
拓展閱讀:風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上,制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等壹整套系統而科學的管理方法,以避免和減少風險損失。網絡安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心,風險分為信用風險、市場風險和操作風險,其中包括信息安全風險。
實際上,在網絡信息安全保障體系框架中,充分體現了風險管理的理念。網絡安全保障體系架構包括五個部分:
(1)?網絡安全策略。以風險管理為核心理念,從長遠發展規劃和戰略角度通盤考慮網絡建設安全。此項處於整個體系架構的上層,起到總體的戰略性和方向性指導的作用。
(2)?網絡安全政策和標準。網絡安全政策和標準是對網絡安全策略的逐層細化和落實,包括管理、運作和技術三個不同層面,在每壹層面都有相應的安全政策和標準,通過落實標準政策規範管理、運作和技術,以保證其統壹性和規範性。當三者發生變化時,相應的安全政策和標準也需要調整相互適應,反之,安全政策和標準也會影響管理、運作和技術。
(3)?網絡安全運作。網絡安全運作基於風險管理理念的日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。是網絡安全保障體系的核心,貫穿網絡安全始終;也是網絡安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
(4)?網絡安全管理。網絡安全管理是體系框架的上層基礎,對網絡安全運作至關重要,從人員、意識、職責等方面保證網絡安全運作的順利進行。網絡安全通過運作體系實現,而網絡安全管理體系是從人員組織的角度保證正常運作,網絡安全技術體系是從技術角度保證運作。
(5)?網絡安全技術。網絡安全運作需要的網絡安全基礎服務和基礎設施的及時支持。先進完善的網絡安全技術可以極大提高網絡安全運作的有效性,從而達到網絡安全保障體系的目標,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
引自?高等教育出版社?網絡安全技術與實踐?賈鐵軍主編?2014.9