妳好!網絡安全管理措施需要綜合防範,主要體現在網絡安全保障體系和總體框架上。
面對網絡安全的各種威脅,過去針對單方面的具體安全風險,必然要提出具體的解決方案來應對,其局限性日益暴露。面對新的網絡環境和威脅,有必要建立以深度防禦為特征的信息安全保障體系。
案例國內某金融機構網絡信息安全保障體系整體框架如圖1所示。網絡信息安全體系框架的外圍是風險管理、法律法規和標準的整合。
圖1網絡信息安全體系框架
風險管理是指在對風險的可能性和不確定性進行收集、分析、評估和預測的基礎上,通過識別風險、度量風險、積極應對風險、有效處理風險和妥善處理風險等壹整套系統的、科學的管理方法,以避免和減少風險損失,促進企業的長期穩定發展。網絡安全管理的本質是對信息安全風險進行動態有效的管理和控制。風險管理是企業運營管理的核心,風險分為信用風險、市場風險和操作風險,其中後者包括信息安全風險。事實上,風險管理的理念在信息安全保障體系框架中得到了充分體現。網絡信息安全體系結構包括五個部分:
1)網絡安全策略。以風險管理為核心理念,從長遠戰略角度綜合考慮網絡建設的安全性。它處於整個架構的頂端,起著全局性的戰略和方向性的作用。
2)信息安全政策和標準。逐層細化和落實風險管理理念,就是逐層細化和落實網絡安全策略,跨越管理、運營、技術三個不同的層面,每壹個層面都有相應的安全政策和標準。通過實施標準政策,使管理、操作和技術標準化,以確保其統壹性和規範性。當三者發生變化時,相應的安全政策和標準通過調整相互適應。安全政策和標準也會影響管理、操作和技術。
3)網絡安全運營。它是壹種基於風險管理理念的日常運行模式及其概念性過程(風險評估、安全控制規劃和實施、安全監控和響應恢復)。它不僅是網絡安全體系的核心,而且貫穿網絡安全的始終;也是網絡安全管理機制和技術機制在日常運營中的實現,涉及運營流程和運營管理。
4)網絡安全管理。它涉及企業管理體系的範疇,是網絡安全體系框架的上層基礎,對網絡安全運行至關重要,從人員、意識、責任等方面保證網絡安全的順利運行。網絡安全是通過運營系統實現的,網絡安全管理系統從人員組織的角度保證網絡安全運營,網絡安全技術系統從技術的角度保證網絡安全運營。
5)網絡安全技術。網絡安全基礎服務和網絡安全運行所需基礎設施的及時支持。先進完善的技術可以大大提高網絡安全運行的有效性,從而達到網絡安全保障體系的目的,實現全生命周期(預防、防護、檢測、響應、恢復)的風險防控。
(拓展參考:清華大學出版社,賈鐵軍教授主編,《網絡安全實用技術》)