|
啟明星辰網(wǎng)絡安全白皮書
資源天下 2019/8/28 18:24:55
(接上頁)建模擬環(huán)境,進行安全外圍測試��。
③自編軟件源代碼級安全風險分析和安全測試��。
5. 安全管理保障體系
實踐一再告訴人們僅有安全技術防范��,而無嚴格的安全管理制度相配套���,是難以保障系統(tǒng)安全的�。我們必須通過制訂完善的安全管理制度并且利用最新的信息安全技術對整個網(wǎng)絡系統(tǒng)進行安全管理���。
管理體系將分為三層結(jié)構(gòu):安全手冊(框架)�����、運作程序文件(包括作業(yè)指導書)����、操作表單(記錄)����。下層文件直接支撐上層文件�。
5.1 安全管理組織架構(gòu)
在網(wǎng)絡總部設立安全管理專職機構(gòu)——安全管理部(組)�,設置安全管理專門負責人——安全總監(jiān),以負責對公司安全進行統(tǒng)一管理(當然也包括網(wǎng)上交易的安全管理)�����。在全國各個分部的電腦部設立安全專員�����,受安全管理部垂直領導���,負責分部日常安全管理工作,負責保持與總部的聯(lián)系��。
安全管理部具有以下職能:
(1)安全資源管理
對各種軟硬件安全資源(包括人員)統(tǒng)一管理��,包括購置��、登錄�����、保管(包括異地備份)����、標識��、分類�、分級等���。
(2)安全監(jiān)察評估
不定期/定期(月末)督查����、測試和評估公司安全狀況(技術和管理兩方面)�����,發(fā)現(xiàn)問題予以解決���。
(3)安全事件響應
對公司發(fā)生的各種安全事件迅速響應��,搶修恢復��,調(diào)查事故原因��,劃分責任�,撰寫事故調(diào)查分析報告�,采取糾正和預防措施��,收集證據(jù)��,為處罰或起訴提供客觀依據(jù)�����。
(4)安全管理體系維護
對公司安全管理體系的動態(tài)變更進行操作和管理�����。
(5)安全設施維修
對公司安全設施(主要是通訊線路、服務器����、防火墻等硬件)進行定期檢修、保養(yǎng)�。
(6)安全課程培訓
組織和協(xié)調(diào)對新、老員工定期開展公司基本安全知識��、技術����、上崗技能等方面的培訓、考核���。
(7)制訂安全策略
協(xié)助安全總監(jiān)制訂公司安全策略���,定義公司的安全事件和審計事件的種類和級別����。
(8)業(yè)界安全動態(tài)跟蹤
對網(wǎng)絡的安全技術和管理方面的最新發(fā)展狀況進行關注和跟蹤���,為更新和增強公司的安全策略提供建議���。
安全總監(jiān)的職責:
(1)制訂安全戰(zhàn)略
負責制訂公司安全戰(zhàn)略和安全策略,推動公司實施安全策略�����,對公司安全負責���。
(2)監(jiān)控安全管理體系
主持建立���、運作和保持安全管理體系工作。
(3)報告公司安全狀況
定期以書面報告向總經(jīng)理匯報公司安全狀況�,并提出相應問題解決方案。
(4)處理最大安全事故
主持處理公司重大安全事故,并解決與客戶的安全糾紛��。
(5)跟蹤信息安全的最新進展
保持對外聯(lián)絡和協(xié)調(diào)工作����,跟蹤信息安全的最新進展,適時向公司總經(jīng)理提出提升公司安全的方案或建議��。
5.2 安全管理體系運行管理
公司對安全管理體系的執(zhí)行情況需要進行定期監(jiān)督審核�,保證體系運行的有效性,主要分為三個層次的活動���。
(1)每月的安全督查
由安全管理部經(jīng)理主持�����,由安全管理部組織實施���,作為日常監(jiān)督活動���,主要以詢問和查看記錄為主����,最后出具督查報告�。
(2)每季的安全審核
由安全總監(jiān)主持�����,組織專門人員成立審核組��,事先發(fā)放審核計劃�,準備書面檢查表���,逐個部門進行審核��。審核結(jié)果必須獲得部門經(jīng)理的認可�。最后形成審核報告�����,經(jīng)安全總監(jiān)審批后予以發(fā)放�。
(3)每年的安全會議
由總經(jīng)理主持,安全總監(jiān)組織策劃�,安全管理部負責會議記錄,會議出席對象是總部部門經(jīng)理�、分部總經(jīng)理以及電腦部經(jīng)理。會議對公司安全管理體系的年度執(zhí)行情況進行報告���,評估�,提出問題和對策。會議最后形成年度安全報告��,經(jīng)總經(jīng)理審批后予以發(fā)放��。
5.3 安全技術管理
為了能使網(wǎng)絡對整個網(wǎng)絡安全狀況有一個全局性把握��,我們建議用戶建立集中的安全技術管理體系�,主要包括兩方面內(nèi)容。
5.3.1 分布式部署���、分級管理���、與集中監(jiān)控
所謂分級管理,是從縱向上加強總部的集中監(jiān)控能力�����,并保持各分部一定的靈活性�,即在總部設立整個網(wǎng)絡的安全管理中心��,在各分部設立安全管理子控制中心��,由總部制定全局安全策略,制定能由計算機��、路由器等設備實施的安全措施的規(guī)則和約束����,不能由計算機等自動實施的安全策略由安全管理制度等手段實施。分部在總部統(tǒng)一安全策略的指導下���,實施符合本地特點的局部可執(zhí)行安全策略�,即分布在各端系統(tǒng)����、中繼系統(tǒng)和應用系統(tǒng)中的安全策略,從而做到牽一發(fā)而動全身的目的�����。
分布式部署���,指網(wǎng)絡為降低風險����,在整個公司所采用的安全措施與安全產(chǎn)品����,(未完���,下一頁)
|
|
|