• 人民的力量——一份大报,与一个大党、一个大国的故事 2019-03-24
  • 为何一个不在城中心的儿童之家成为全省最美? 2019-03-24
  • 中共中央直属机关党校 2019-03-19
  • 英国球迷要在世界杯上搞事情?俄罗斯笑脸相迎:你来啊 2019-03-07
  • 美国三大航空公司为何拒改涉台表述 英媒:是白宫要求死扛 2019-02-28
  • 德国汽车业对美启动进口汽车“232调查”表示忧虑 2019-02-24
  • 德媒:起好中文名,洋品牌入华第一步 2019-01-26
  • 新疆维吾尔自治区交通运输厅 2018-12-18
  • 细数vivo NEX亮点 骁龙8458GB+256GB屏幕指纹 2018-11-30
  • 殷友成.blog的博客—强国博客—人民网 2018-11-29
  • 您好,欢迎访问中保天和!

    今天:2019年03月24日

    咨询热线:010 - 84264757

    首页
    专项服务
    解决方案
    新闻中心
    政策规范
    技术前沿
    专家视角

    我司通过各种资源,力邀行业内的权威专家对时代热点和相关政策法规进行解读,站在信息行业的制高点,描绘行业的宏伟蓝图,促进行业的健康发展。 以专家的视角,用事实说话,力求前瞻性和权威性,为企业和个人的发展提供参考依据

    关于我们

    咨询热线:

    010-84264757

    中保天和1
    中保天和2

    关注中保天和官方微信

    首页 >专项服务 >信息等级测评

    0

    建立安全保障体系 保证企业信息安全

    时时彩开彩结果电脑版 www.wpoa.icu

       很多企事业单位已经具备了比较完善的安全基础设施,但各个安全设备之间还是处于一种离散的、独立“作战”的状态,因此必须通过对业务系统安全防护的建模,从安全防护、安全监控、安全运维三个维度,融合人员、流程、平台于一体,构建立体化的安全保障体系,才能够提升企事业单位信息系统安全防护水平,满足业务系统对安全的需求。

           设计思路

           具体来说,企事业单位需求通过详细的调研,基于现有的安全基础设施,通过为业务系统安全防护建模,整合业务系统自身安全防护、边界安全防护、网络访问控制、动态监控为一体,实现信息系统安全的可管、可视、可信。

           其中,可管分为三个方面,第一方面是技术的可管,包括KPI指标的管理、基线的管理等;第二方面是人员的可管,包括人员的调度、绩效等;第三方面是设备的可管??墒又饕赶低晨捎眯院桶踩录目墒踊???尚攀侵敢砸滴裣低嘲踩ノ坏囊惶寤踩阑?。

           实现方法与步骤

           企事业单位构建信息系统安全保障体系的核心思想是:基于业务系统安全建模,构建一体化的安全防御体系,实现可信、可视、可管的安全保障体系。具体来说,可以通过以下三个步骤来实现。

           第一步:通过对业务系统的梳理,明确业务系统的性质,理清业务系统之间的关系。

           清晰描述业务系统的作用、功能、使用单位、使用范围、第一责任人、安全等级。

           清晰统计组成业务系统的IT资产,包括:服务器、网络设备、安全设备、操作系统、中间件、数据库等。

           清晰描述业务系统物理连接与逻辑连接之间的关系。

           清晰描述此业务系统与其他业务系统之间的关系,包括彼此之间的访问关系、资产共用关系等。

           第二步:通过对业务系统安全诊断,明确业务系统的安全防护状态与安全监控状态。

           业务系统自身安全状况,包括:身份认证、审计、访问控制、保密性、完整性、物理安全。

           业务系统边界防护状况,包括:访问控制、安全审计、协议过滤、边界完整性。

           网络通信安全状况,包括:通信认证、审计、保密性、完整性。

           业务系统安全监控状况,包括:业务系统运行状态监控、业务系统自身安全状况监控、边界安全监控、通信安全监控。

           第三步、通过安全运维管控平台,呈现安全防护与监控状态,实现“两个融合”。

          构建一体化运维体系,实现两个融合,即构建基于业务的可管、可视、可信的安全保障体系,实现静态防护与动态监控的融合,实现安全管理与安全技术的融合。

           1.通过安全运维管控平台,呈现业务系统的安全防护状态

          a) 业务系统自身安全防护状态,包括:身份认证、审计、访问控制、保密性、完整性。

          b) 业务系统边界安全防护状态,包括:访问控制、安全审计、协议过滤、边界完整性。

          c) 网络通信安全状况,包括:通信认证、审计、保密性、完整性。

          通过安全运维管控平台,呈现业务系统的安全运行状态

          a) 业务系统安全监控状况,包括:业务系统运行状态监控、业务系统自身安全状况监控、边界安全监控、通信安全 监控。

          b) 从另一个角度来衡量,即业务系统可用性监控、业务系统基础设施监控、业务访问行为监控、异常行为监控、运 维行为监控。

          通过安全运维管控平台,实现“两个融合”

          a) 实现安全技术与安全管理的融合

          安全技术包括安全监控与安全防护技术;

          安全运维管控平台承载安全运维流程,安全流程由安全管理演变而来;

          通过安全运维管理平台,响应安全监控事件,触发安全运维流程,执行安全防护策略。

          b) 实现安全监控与安全防护的融合

          通过数据采集点,对信息系统进行全面监控,将采集数据上传安全运维管控平台,安全运维管控平台将海量数据进行关联分析,实现安全事件准确呈现;

          安全运维管控平台响应安全监控事件,执行安全运维流程,下发安全防护策略。

          总之,通过为业务系统安全建模,明确业务系统安全防护、安全监控、安全管理的现状,以及它们之间的联系。以安全运维管控平台为载体,呈现业务系统的安全防护、监控、管理的现状,并通过梳理,在平台上构建三者之间的逻辑关系。从而实现PDCA闭环流程,即安全运维管控平台→响应安全监控事件→触发安全运维流程→执行安全防护策略→安全监控→安全运维管控平台,达到业务系统安全防护的持续优化。


  • 人民的力量——一份大报,与一个大党、一个大国的故事 2019-03-24
  • 为何一个不在城中心的儿童之家成为全省最美? 2019-03-24
  • 中共中央直属机关党校 2019-03-19
  • 英国球迷要在世界杯上搞事情?俄罗斯笑脸相迎:你来啊 2019-03-07
  • 美国三大航空公司为何拒改涉台表述 英媒:是白宫要求死扛 2019-02-28
  • 德国汽车业对美启动进口汽车“232调查”表示忧虑 2019-02-24
  • 德媒:起好中文名,洋品牌入华第一步 2019-01-26
  • 新疆维吾尔自治区交通运输厅 2018-12-18
  • 细数vivo NEX亮点 骁龙8458GB+256GB屏幕指纹 2018-11-30
  • 殷友成.blog的博客—强国博客—人民网 2018-11-29