基于人防、技防、物防要素的网络安全管理体系浅析(安全防范体系,人防,物防,技防)
党的十八大以来,我国网络安全政策法规体系不断健全,相关工作机制日趋完善,政企单位对网络安全工作的重视程度愈发凸显。建设适合政企单位的网络安全管理体系,制定行之有效的运行保障机制和安全管理机制,是做好网络安全工作的基石。
政企单位网络安全现状
近年来,政企单位不断强化信息化对业务的支撑保障能力,不断完善信息化基础设施,信息化赋能工作取得明显成效。但由于缺乏网络安全工作顶层设计和工作规划,重建设、轻运营管理,特别是在网络安全方面主动防御能力还有差距,运维管理人员缺乏对网络安全工作的监督指导,进而引发网络安全隐患。如何构架一套适合政企单位的网络安全管理体系,实现“攻击进不去,数据取不走,事件能追溯,业务能恢复”的安全运营目标,并实现落地和有效运营,是当前面临的重要课题。
政企单位网络安全管理体系框架构建
随着网络安全技术的发展,网络安全管理模型也在不断发生变化,包括早期基于时间防护检测响应的PDR模型与PPDR模型、IATF提出的信息保障技术框架模型、Gartner提出的ASA安全架构模型、美国系统网络安全协会(SANS)发布的网络安全能力滑动标尺模型,以及我国相关信息安全专家组提出的WPDRRC模型等。然而,上述传统、单一的动态模型在执行层面往往缺乏一些抓手,较难做到管理和技术的融合。
基于上述考虑,本文借鉴WPDRRC模型,以人防、技防、物防为纵深防御核心要素,提出政企单位网络安全管理体系框架,以发现问题、解决问题为目标,逐步形成自上而下、纵深防御的管理格局,持续提高网络安全保障和运营能力。
1.基于人防、技防、物防核心要素的网络安全管理体系
基于人防、技防、物防的网络安全管理体系包括三大要素和六大环节。其中,三大要素为人防、技防和物防。六大环节包括预警、保护、检测、响应、恢复和反击。
人防聚焦以人为核心。由人产生的网络安全风险远比技术风险更加难以处理。因此,以管理制度为抓手,牵住人员管理的“牛鼻子”,实现“人能管,能管人”的工作机制,可进一步提高运行保障能力。
技防聚焦以技术为支撑。技术是贯穿于人、产品与六大环节的纽带。网络安全保障工作专业性强、技术性高,需依托专业的服务,以技术为支撑,持续开展监测运行、应急处置、溯源反击、加固整改等工作,实现网络安全保障的闭环。
物防聚焦以产品为抓手。网络安全的管理制度、实施策略、管理手段和技术能力均依靠软、硬件产品实现。因此,需构建适当的网络安全环境架构,充分发挥网络安全产品的效能,做到按需配置,物尽其用。
监测预警、防护、检测、响应、恢复和反击六大环节始终贯穿于“人防、技防、物防”三个核心要素中,环环相扣,互相融合,如图1所示。
图1 网络安全管理体系
2.基于人防、技防、物防核心要素的网络安全管理体系构建实践
“人防”要素如下:
一是制定网络安全管理制度。政企单位在编制网络安全管理制度时,应依据国家法律法规、方针政策以及上级主管单位有关要求,并结合单位业务实际情况制定。这些制度通常可以分为政策方针类文件、规章制度类文件、技术标准类文件,以及流程、表单、记录类文件。其中,第一层为政策方针类文件,它是网络安全的指导性文件,也是指导开展网络安全工作的依据。第二层为规章制度类文件,它是落实政策方针类文件。应当结合本单位具体的业务情况和所需要的安全防护等级制定,通常应包括机房管理、人员管理、账号管理、运维管理及应急管理等内容。第三层为技术标准类文件,它是开展具体网络安全工作的规范性、操作性文件,也是网络安全策略和制度的细化和补充。操作规程的内容应当明确、具体且具备可操作性,不能背离已制定的网络安全策略和管理制度。第四层为流程、表单、记录类文件,此类文件主要是开展网络安全运维工作的记录、表单类文件。
二是实现人与管理的协调统一 。人员管理应包括对内管理与对外管理。对内管理包括网络安全主管部门人员和单位其他员工的管理,对外管理是针对服务外包人员的管理。网络安全主管部门人员需具备相应的网络安全工作经验,同时熟悉网络安全管理的各项规章制度,并能够做好制度落实过程中的有效监督工作。内部员工网络安全教育工作可按照持续开展、长期培养、循序渐进的模式开展。可将网络安全意识培训纳入新员工培训课程,让每一位员工了解到网络安全工作的意义。在员工在职期间,应强化安全意识培训;在员工离职阶段,要做好离职脱敏工作,及时回收账户权限并进行廉洁保密提醒谈话。针对服务外包人员,应按照“事前预防、持续评价、能换能退”原则进行管理。政企单位网络安全主管部门要统筹服务外包人员工作分配和日常管理,明确外包人员的权限范围,要求外包人员所在单位制定适合项目的安全操作规范,明确在工作范围内开展服务工作。
三是建立健全督查机制。根据相关法律法规、外部标准和内部规范,梳理出督查重点内容与检查标准,形成网络安全督导检查闭环(如图2所示),不断降低网络安全风险。通过制定年度检查计划,采用常规检查、专项重点自查,以及定期抽查相结合的方式,围绕制度落实、网络安全意识、业务连续性和应急响应等方面,开展督查整改工作,检查举措落地情况。
图2 监督检查闭环管理流程
“技防”要素如下:
一是风险评估。风险评估工作通常包括资产调研、安全基线检查、漏洞扫描、渗透测试,以及新业务上线前的安全检查。对于信息系统来说,实现安全可靠并不能通过一次评估而一劳永逸,而是需要实行科学、严格的运维工作,持续进行漏洞分析、风险评估和安全加固等工作。
二是网络安全运维。在日常运维工作中,既要监测设备运行状态,更应关注事件审计及日志分析。日志分析应包含安全日志、运维日志和合规类日志,通过对日志进行综合分析,及时发现安全隐患并持续进行安全加固。安全加固包含操作系统、数据库、中间件的安全加固,漏洞补丁升级,账户和口令的加强,以及访问控制策略的增强等。由于加固工作往往需要关闭和重启系统,在执行前,一定要经过必要的测试,做好备份和应急措施准备工作。
“物防”要素如下:
一是合理配置网络安全资产。政企单位应根据具体应用场景和风险进行评估,选择适当的技术与安全产品,并进行适当配置、实施和管理,以提供全面的网络安全防护。
二是充分利用网络安全资产。政企单位应确保防病毒系统、防火墙、IPS(入侵防御系统)、堡垒机、漏扫系统、日志审计,以及态势感知等产品的规则库和病毒库的及时更新与维护,确保具备持续监测或防御最新安全风险的能力。动态调整物理安全策略和人员访问控制权限,不断减少信息系统暴露面。做好数据备份策略,并定期开展备份恢复演练工作。
结语
当前,我国数字化转型、网络化重构、智能化提升、产业化升级加速发展,新基建下的万物互联对网络安全工作提出更严峻挑战。
本文根据政企单位常见的安全问题,通过人防、技防、物防三个要素提出政企单位网络安全管理体系框架,并就人员管理、网络安全督查机制与技防体系给出工作建议,提出工作抓手。只有采取合理的工作机制,才能达到积极作用,希望本文对其他单位的网络安全管理工作带来启发和参考。随着新技术的发展与应用,网络安全漏洞将被持续挖掘,网络安全攻击将不断迭代发展,网络安全保障工作需要常抓不懈。
来源:《网络安全和信息化》杂志
作者:国家知识产权局专利局专利审查协作天津中心 王琳 吕东
『每天智案』提供标准原文件,资料已上传知识星球(78730971),会员可前往下载!
# 免责声明 # 来源:『每天智案』,本平台所载文章为本账号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或因文中所使用的图片、文字、链接等如有侵权,请联系我们删除,谢谢!