【专家视点】信息安全管理体系才是解决信息安全问题的根本途径

随着我国信息化的飞速发展，各政府部门/企事业单位的网络越来越庞大，网络管理员每天面临着应接不暇的繁重工作量。而且为保障信息网络安全建设的防火墙、IDS/IPS、VPN、终端安全、漏洞扫描、杀病毒软件等种类繁多的软硬件产品都来自不同的安全厂商，这就带来了政府部门/企事业单位管理各家各类不同安全产品的兼容与互通合作的难题。
　　信息安全管理体系才是解决信息安全问题的根本途径
    “体系化技术支撑下的安全管理之道”，能破解当今的信息安全管理困惑与难题。概括来说，就是以“信息网络安全管理技术支撑平台”为依托载体，构建政府和企/事业单位 “人-技术-管理”相互融合、完善、严密的信息安全管理体系，有效提升领导者、管理者、使用者的安全意识和管理方法、技能水平，做到“目标明确、决策科学;规划合理、实施有序;检查及时、监测有效;职责清晰、处置高效”，确保信息安全风险最小化，确保风险、事件产生的危害最小化。
　　具体来说，信息网络安全管理技术支撑体系(以下简称“支撑体系”)，须满足政府/企事业单位在信息安全管理工作中的计划、实施、检查、处置四个阶段的关键技术需求，以支持政府/企事业单位建立、实施、运行、保持和持续改进适合自身安全需求的信息安全管理体系。
信息网络安全管理技术支撑体系针对安全管理工作四个阶段的技术实现：
一、计划阶段(目标明确、决策科学)
　　计划阶段的核心工作目的就是梳理信息安全管理的目标和策略，做到安全管理工作的目标明确、决策科学。“支撑体系”必须提供安全目标和安全策略的相关功能来满足政府/企事业单位在安全管理计划阶段的核心需求。
　　安全目标应依据相关政策法规、标准规范、管理制度、自身生产经营活动的需求来确定。“支撑体系”提供相关政策法规和管理制度等信息维护功能来满足此类需求;
　　安全策略包括实施、检查、响应处置等方面的策略，这些策略可体现实现安全目标的过程中细化和分解的各类管理、监测、防护、检查的需求。“支撑体系”提供各类策略信息维护、策略联动功能来满足此类的需求。
二、实施阶段(规划合理、实施有序)
　　实施阶段的核心工作首先应该明确安全管理的对象和资产，同时采用合理的安全防护、审计、运维、服务类产品来保障政府/企事业单位的信息网络安全。实施阶段要依据计划阶段确定的目标要求合理规划，有序实施安全系统建设。“支撑体系”提供包括对象管理、防护管理、安全审计、运维管理、安全服务等相关功能来支持该阶段核心需求。
　　安全管理的资产对象，包括政府/企事业专网内的硬件、软件、数据这三类资产，以及政府/企事业专网的网络拓扑和应用拓扑等基本信息。“支撑体系”中对象管理子系统需提供包括资产对象的自动发现、注册管理、分级标示等核心功能来满足资产对象的精确化管理需求;
　　安全防护是采用安全技术和管理手段，提供预防性防护措施和方案，防止安全威胁的爆发。“支撑体系”的防护管理功能可以集中管理安全防护类的技术和产品，采集和接收防护类产品的日志信息，满足监测、检查、审计、评估等活动的数据需求，同时提供策略接口支持，以满足响应联动的安全管理需求;
　　安全审计包括对主机、数据库、网络、应用、外设使用、数据输出等类型的审计，以满足信息安全管理目标中不可抵赖性的核心需求。“支撑体系”的安全审计管理提供上述的审计日志数据，并为管理活动提供审计数据支持;
　　安全服务是为资产的管理者和使用者提供规范指引、运维辅助、技术协作、资源下载等服务性质的实用功能，以满足将管理导向服务的安全目标。
三、检查阶段(检查及时、监测有效)
　　检测阶段的主要工作是开展各类安全风险和事件的有效监测，系统建设运行情况监测，以及合规性的安全检查和评估等关键事务。“支撑体系”帮助政府/企事业单位依靠及时地安全检查和有效地安全监测来验证前期的实施成效，找出同安全目标的差距。
　　风险和事件安全监测是这个阶段的重点，主要是对政府/企事业专网内的各类信息安全威胁、风险和事件进行常态化监测。这些安全风险和事件可分为基础设施相关、应用行为相关、信息数据相关以及边界外部相关等，“支撑体系”提供有效的安全技术手段，依据计划阶段的监测策略，对这些风险和事件进行有效监测，并为其它安全管理活动输出监测结果信息。同时，为更好促进安全系统的建设和应用，“支撑体系”能对政府/企事业专网内其它专用安全系统的建设情况、运行情况及其有效性进行监测。
　　安全检查和评估的目的是找出同安全目标和相关规范的差距，“支撑体系”可以对接各类安全检查、评估系统，满足对政府/企事业单位对主机、网络类的安全检查工作;同时也可开展针对主机、数据库、应用等类别的脆弱性识别，提供符合等级保护、分级保护相关标准规范的综合评估信息。
四、处置阶段(职责清晰、处置高效)
　　处置阶段的核心业务就是针对检查阶段的各类风险和事件开展应急响应，包括管理和技术两类，同时采取必要措施对政府/企事业单位当前的信息安全管理体系的进行持续改进。“支撑体系”提供职责清晰，处置高效的应急响应流程和技术来满足该阶段的核心需求。
    “支撑体系”提供包括主机、安全设备和网络设备三类技术响应手段，以满足终端响应控制、网关设备相应控制、服务器相应控制等需求。同时，技术响应还可以通过各类策略和参数接口，来支持包括主机、安全设备和网络设备的联动响应需求。
    “支撑体系”提供包括预警、通报、审查、考核、巡检、签到等协同管理功能，以满足处置阶段的管理响应需求。
    “支撑体系”提供包括决策分析、趋势预判、改进措施等决策辅助类功能，以实现对政府/企事业单位当前信息安全管理体系进行持续改进的决策支持。
　　中培伟业是信息安全方面的专业培训机构，致力于信息安全领域中的高端实用性技术和前沿理念的教育培训。