|
啟明星辰網(wǎng)絡(luò)安全白皮書
資源天下 2019/8/28 18:24:55
(接上頁)>
圖1.1 動態(tài)安全體系
從安全體系的可實施����、動態(tài)性角度�,動態(tài)安全體系的設(shè)計充分考慮到風險評估、安全策略的制定�����、防御系統(tǒng)�、安全管理、安全服務(wù)支持體系等各個方面���,并且考慮到各個部分之間的動態(tài)關(guān)系與依賴性��。
進行風險評估和提出安全需求是制定網(wǎng)絡(luò)安全策略的依據(jù)���。風險分析(又稱風險評估、風險管理)����,是指確定網(wǎng)絡(luò)資產(chǎn)的安全威脅和脆弱性、并估計可能由此造成的損失或影響的過程�。風險分析有兩種基本方法:定性分析和定量分析����。在制定網(wǎng)絡(luò)安全策略的時候��,要從全局進行考慮��,基于風險分析的結(jié)果進行決策�,建議公司究竟是加大投入,采取更強有力的保護措施���,還是容忍一些小的損失而不采取措施�。因此�,采取科學的風險分析方法對公司的網(wǎng)絡(luò)進行風險分析是非常關(guān)鍵的���。
一旦確定有關(guān)的安全要求�����,下一步應(yīng)是制定及實施安全策略�����,來保證把風險控制在可接受的范圍之內(nèi)��。安全策略的制定�,可以依據(jù)相關(guān)的國內(nèi)外標準或行業(yè)標準,也可以自己設(shè)計�����。有很多方法可以用于制定安全策略���,但是�����,并不是每一組安全策略都適用于每個信息系統(tǒng)或環(huán)境�,或是所有類型的企業(yè)���。安全策略的制定�,要針對不同的網(wǎng)絡(luò)應(yīng)用�����、不同的安全環(huán)境�����、不同的安全目標而量身定制,各公司應(yīng)該按照自己的要求��,選擇合適的安全體系規(guī)劃網(wǎng)絡(luò)的安全��。制定自己的安全策略應(yīng)考慮以下三點內(nèi)容:(1)評估風險��。(2)企業(yè)與合作伙伴�、供應(yīng)商及服務(wù)提供者共同遵守的法律、法令�、規(guī)例及合約條文。(3)企業(yè)為網(wǎng)絡(luò)安全運作所訂立的原則�、目標及信息處理的規(guī)定。
安全管理貫穿在安全的各個層次實施�����。實踐一再告訴人們僅有安全技術(shù)防范�,而無嚴格的安全管理體系相配套�����,是難以保障網(wǎng)絡(luò)系統(tǒng)安全的��。必須制定一系列安全管理制度�,對安全技術(shù)和安全設(shè)施進行管理���。從全局管理角度來看,要制定全局的安全管理策略�;從技術(shù)管理角度來看,要實現(xiàn)安全的配置和管理��;從人員管理角度來看�����,要實現(xiàn)統(tǒng)一的用戶角色劃分策略��,制定一系列的管理規(guī)范��。實現(xiàn)安全管理應(yīng)遵循以下幾個原則:可操作性原則����;全局性原則;動態(tài)性原則�;管理與技術(shù)的有機結(jié)合;責權(quán)分明原則���;分權(quán)制約原則��;安全管理的制度化�。
2. 動態(tài)風險分析
根據(jù)木桶原理,木桶所能容納水的多少是由木桶壁中最短那塊木頭決定的���,同樣�����,一個網(wǎng)絡(luò)系統(tǒng)中最主要的威脅是由最薄弱的安全漏洞決定的�,往往解決最主要的安全問題可以使系統(tǒng)的安全性有很大提高���。
動態(tài)風險分析主要解決的問題就是系統(tǒng)的從錯綜復雜的用戶環(huán)境中找出被評估系統(tǒng)中的薄弱之處�,評估發(fā)生此類問題造成的損失��,提供最佳的解決方案��,使用戶清楚的知道被評估系統(tǒng)中面臨的威脅是什么��,最主要的問題是什么��,避免在網(wǎng)絡(luò)安全方面的盲目性���,獲得最佳的投資效費比。
2.1 定義范圍
動態(tài)安全風險分析的第一步就是要確定被保護系統(tǒng)的范圍�,即確定我們有什么資源����、要保護什么資源����,如:信息發(fā)布系統(tǒng),WWW系統(tǒng)���、辦公系統(tǒng)��,如Email系統(tǒng)�、總部及分部辦公系統(tǒng)等��。
其次是要定義用戶對選定資源中各系統(tǒng)的關(guān)切順序�,不同系統(tǒng)遭受破壞后帶來的損失是不一樣的,如交易系統(tǒng)中的交易服務(wù)器的重要程度應(yīng)是最高的���。
2.2 威脅評估與分析
確定了風險管理范圍后���,在充分分析系統(tǒng)現(xiàn)狀的基礎(chǔ)上,一方面進一步分析可能存在的安全威脅�����,及其傳播途徑,另一方面通過對網(wǎng)絡(luò)��、系統(tǒng)等各個環(huán)節(jié)的脆弱性分析����,驗證這些威脅對系統(tǒng)的危害程度,找出主要安全問題����。
2.2.1 現(xiàn)狀調(diào)查與分析
現(xiàn)狀調(diào)查是風險管理的基礎(chǔ),根據(jù)用戶的總體要求對用戶環(huán)境和安全現(xiàn)狀進行全面和細致的調(diào)查�����,可以準確理解用戶安全需求�����。
下一步進行的威脅分析及脆弱性分析將針對用戶環(huán)境中的網(wǎng)絡(luò)系統(tǒng)����、服務(wù)器系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)系統(tǒng)等展開安全分析工作�����,因此用戶現(xiàn)狀調(diào)查也必須針對這些方面進行����。用戶現(xiàn)狀調(diào)查的主要內(nèi)容如圖2.1所示。
圖2.1 用戶現(xiàn)狀調(diào)查主要內(nèi)容
最后生成用戶現(xiàn)狀調(diào)查總結(jié)是對用戶現(xiàn)狀調(diào)查過程的總結(jié)報告�。它總結(jié)性描述啟明星辰對用戶現(xiàn)狀及用戶系統(tǒng)安全性的大概印象。包括以下內(nèi)容:
(1)用戶環(huán)境中各個設(shè)備及所含系統(tǒng)的大致情況��,主要針對與安全漏洞有關(guān)的項目��。
(2)用戶對安全策略的要求��。
(3)對用戶系統(tǒng)安全性的初步分析��。
2.2.2 面臨威脅種類
由于政府業(yè)是個開放化����、社會化的行業(yè),其信息系統(tǒng)由封閉式系統(tǒng)逐步轉(zhuǎn)向開放式系統(tǒng)�,勢必存在著諸多不安全風險因素,主要包括:
(1)系統(tǒng)錯誤
主要包括系統(tǒng)設(shè)計缺陷����、系統(tǒng)配置管理問題等�����,如操作系統(tǒng)漏洞(未完��,下一頁)
|
|
相關(guān)專業(yè)論文
|
|
|
推薦專業(yè)論文
|
|
|
|
|
|