信息安全等級(jí)保護(hù)體系設(shè)計(jì)

1、精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)信息安全等級(jí)保護(hù)體系設(shè)計(jì)《關(guān)于加強(qiáng)信息安全保障工作的意見》指出,實(shí)行等級(jí)保護(hù)是信息安全保障的基本政策,各部門、各單位都要根據(jù)等級(jí)保護(hù)制度的要求,結(jié)合各自的特點(diǎn),建立相應(yīng)的安全保護(hù)策略、計(jì)劃和措施。通過將等級(jí)化方法和安全體系方法有效結(jié)合,設(shè)計(jì)一套等級(jí)化的信息安全保障體系,是適合我國國情、系統(tǒng)化地解決大型組織信息安全問題的一個(gè)非常有效的方法。設(shè)計(jì)思路與原則信息安全保障是一個(gè)極為復(fù)雜、

2、系統(tǒng)性和長期性的工作。設(shè)計(jì)信息系統(tǒng)安全體系及實(shí)施方案時(shí)一般應(yīng)遵循以下四條原則:清晰定義安全模型;合理劃分安全等級(jí);科學(xué)設(shè)計(jì)防護(hù)深度;確?？蓪?shí)施易評(píng)估。具體來說:1. 清晰定義安全模型面對(duì)的難題:政府或大型企業(yè)組織的信息系統(tǒng)結(jié)構(gòu)復(fù)雜,難以描述。政府或大型企業(yè)的信息系統(tǒng)往往覆蓋全國范圍內(nèi)的各省、市、縣和鄉(xiāng)鎮(zhèn),地域遼闊,規(guī)模龐大;各地信息化發(fā)展程度不一,東西部存在較大差別;前期建設(shè)缺乏統(tǒng)一規(guī)劃,各區(qū)域主要業(yè)務(wù)系統(tǒng)和管理模式往往都存在較大的差別

3、。這樣就造成難以準(zhǔn)確、清晰地描述大型信息系統(tǒng)的安全現(xiàn)狀和安全威脅。因此,設(shè)計(jì)保障體系時(shí)也就無的放矢,缺乏針對(duì)性,也不具備實(shí)用性。精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)可綜合平衡安全成本與風(fēng)險(xiǎn),能優(yōu)化信息安全資源配置;可清晰地比對(duì)目標(biāo)與現(xiàn)狀,能準(zhǔn)確、完備地提取安全需求。3. 科學(xué)設(shè)計(jì)防護(hù)深度面對(duì)的難題:現(xiàn)有安全體系大多屬于靜態(tài)的單點(diǎn)技術(shù)防護(hù),缺乏多重深度保障,缺乏抗打擊能力和可控性。信息安全問題包含管理方面問題、技術(shù)方

4、面問題以及兩者的交叉,它從來都不是靜態(tài)的,隨著組織的策略、組織架構(gòu)、業(yè)務(wù)流程和操作流程的改變而改變。現(xiàn)有安全體系大多屬于靜態(tài)的單點(diǎn)技術(shù)防護(hù),單純部署安全產(chǎn)品是一種靜態(tài)的解決辦法,單純防范黑客入侵和病毒感染更是片面的。一旦單點(diǎn)防護(hù)措施被突破、繞過或失效,整個(gè)安全體系將會(huì)失效,從而威脅將影響到整個(gè)信息系統(tǒng),后果是災(zāi)難性的。解決方法:設(shè)計(jì)多重深度保障,增強(qiáng)抗打擊能力。國家相關(guān)指導(dǎo)文件提出“堅(jiān)持積極防御、綜合防范的方針”,《美國國家安全戰(zhàn)略》中

5、也指出,國家的關(guān)鍵基礎(chǔ)設(shè)施的“這些關(guān)鍵功能遭到的任何破壞或操縱必須控制在歷時(shí)短、頻率小、可控、地域上可隔離以及對(duì)美國的利益損害最小這樣一個(gè)規(guī)模上”。兩者都強(qiáng)調(diào)了抗打擊能力和可控性,這就要求采用多層保護(hù)的深度防御策略,實(shí)現(xiàn)安全管理和安全技術(shù)的緊密結(jié)合,防止單點(diǎn)突破。我們?cè)谠O(shè)計(jì)安全體系時(shí),將安全組織、策略和運(yùn)作流程等管理手段和安全技術(shù)緊密結(jié)合,從而形成一個(gè)具有多重深度保障手段的防護(hù)網(wǎng)絡(luò),構(gòu)成一個(gè)具有多重深度保障、抗打擊能力和能把損壞降到最小