网络安全体系框架包括网络安全法律法规、网络安全策略、网络安全组织、网络安全管理、网络安全基础设施及网络安全服务、网络安全技术、网络信息科技与产业生态、网络安全教育与培训、网络安全标准与规范、网络安全运营与应急响应、网络安全投入与建设等多种要素。
网络安全法律法规用于指导网络安全体系的建设,使相关机构的网络安全行为符合当地的法律规定要求。如《网络安全法》、《密码法》、《数据安全法》等。一般来说,网络安全策略的相关工作主要如下:
• 调查网络安全策略需求,明确其作用范围;
• 网络安全策略实施影响分析;
• 获准上级领导支持网络安全策略工作;
• 制订网络安全策略草案;
• 征求网络安全策略有关意见;
• 网络安全策略风险承担者评估;
• 上级领导审批网络安全策略;
• 网络安全策略发布;
• 网络安全策略效果评估和修订。
一般企事业单位的网络信息系统中,网络安全策略主要有网络资产分级策略、密码管理策略、互联网使用安全策略、网络通信安全策略、远程访问策略、桌面安全策略、服务器安全策略、应用程序安全策略等八类。网络安全策略表现形式通常通过规章制度、操作流程及技术规范体现。
网络安全组织建设内容主要包括网络安全机构设置、网络安全岗位编制、网络安全人才队伍建设、网络安全岗位培训、网络安全资源协同。网络安全组织的建立是网络安全管理工作开展的前提条件,通过建立合适的安全组织机构和组织形式,明确各组织单元在安全方面的工作职责以及组织之间的工作流程,才能确保网络系统安全保障工作健康有序地进行。网络安全组织结构主要包括领导层、管理层、执行层以及外部协作层等。网络安全组织各组成单元的工作分别说明如下。
1、网络安全组织的领导层
网络安全组织的领导层由各部门的领导组成,其职责主要有:
• 协调各部门的工作;
• 审查与批准网络系统安全策略;
• 审查与批准网络安全项目实施计划与预算;
• 网络安全工作人员考察和录用。
2、网络安全组织的管理层
网络安全组织的管理层由组织中的安全负责人和中层管理人员组成,其职责主要有:
• 制订网络系统安全策略;
• 制订安全项目实施计划与预算;
• 制订安全工作的工作流程;
• 监督安全项目的实施;
• 监督日常维护中的安全;
• 监督安全事件的应急处理。
3、网络安全组织的执行层
网络安全组织的执行层由业务人员、技术人员、系统管理员、项目工程人员等组成,其职责主要有:
• 实现网络系统安全策略;
• 执行网络系统安全规章制度;
• 遵循安全工作的工作流程;
• 负责各个系统或网络设备的安全运行;
• 负责系统的日常安全维护。
4、网络安全组织的外部协作层
网络安全组织的外部协作层由组织外的安全专家或合作伙伴组成,其职责主要有:
• 定期介绍计算机系统和信息安全的最新发展趋势;
• 计算机系统和信息安全的管理培训;
• 新的信息技术安全风险分析;
• 网络系统建设和改造安全建议;
. 网络安全事件协调。
网络安全管理体系涉及五个方面的内容:管理目标、管理手段、管理主体、管理依据、管理资源。
管理目标大的方面包括政治安全、经济安全、文化安全、国防安全等,小的方面则是网络系统的保密、可用、可控等;管理手段包括安全评估、安全监管、应急响应、安全协调、安全标准和规范、保密检查、认证和访问控制等;
管理主体大的方面包括国家网络安全职能部门,小的方面主要是网络管理员、单位负责人等;
管理依据有行政法规、法律、部门规章制度、技术规范等;管理资源包括安全设备、管理人员、安全经费、时间等。网络安全管理体系的构建涉及多个方面,具体来说包括网络安全管理策略、第三方安全管理、网络系统资产分类与控制、人员安全、网络物理与环境安全、网络通信与运行、网络访问控制、网络应用系统开发与维护、网络系统可持续性运营、网络安全合规性管理十个方面。每一项与安全有关的活动,都必须有两人或多人在场。要求相关人员忠诚可靠,能胜任此项工作,并签署工作情况记录以证明安全工作已得到保障。一般以下各项安全工作应由多人负责处理:一般来讲,任何人不能长期担任与安全有关的职务,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限原则切实可行。工作人员各司其职,不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。出于对安全的考虑,下面各项工作应当职责分开:网络安全基础设施主要包括网络安全数字认证服务中心、网络安全运营中心、网络安全测评认证中心。网络安全服务的目标是通过网络安全服务以保障业务运营和数据安全。其中,网络安全服务输出的网络安全保障能力主要有:预警、评估、防护、监测、应急、恢复、测试、追溯等。网络安全服务类型主要包括网络安全监测预警、网络安全风险评估、网络安全数字认证、网络安全保护、网络安全检查、网络安全审计、网络安全应急响应、网络安全容灾备份、网络安全测评认证、网络安全电子取证等。一般来说,网络安全技术的目标是通过多种网络安全技术的使用,实现网络用户认证、网络访问授权、网络安全审计、网络安全容灾恢复等网络安全机制,以满足网络信息系统的业务安全、数据安全的保护需求。对于一个国家而言,网络安全核心技术的目标则是要做到自主可控、安全可信,确保网络信息科技的技术安全风险可控,避免技术安全隐患危及国家安全。网络安全技术类型可分为保护类技术、监测类技术、恢复类技术、响应类技术。网络信息科技与产业生态构建的主要目标是确保网络安全体系能够做到安全自主可控,相关的技术和产品安全可信。其主要内容包括网络信息科技基础性研究、 IT 产品研发和供应链安全确保、网络信息科技产品及系统安全测评、有关网络信息科技的法律法规政策、网络信息科技人才队伍建设等。网络安全教育与培训是构建网络安全体系的基础性工作,是网络安全科技创新的源泉。《中华人民共和国网络安全法》第三十四条规定,关键信息基础设施的运营者有义务定期对从业人员进行网络安全教育、技术培训和技能考核。此外,笫二十条要求,国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。第十九条要求,各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。一般企事业单位的网络安全教育与培训的工作目标是宣教本机构的网络安全管理规章制度,形成本机构的网络安全文化,提升本机构工作人员的网络安全意识水平及网络安全技能,满足岗位的网络安全能力要求。其主要的工作内容如下:网络信息安全标准规范有利于提升网络安全保障能力,促进网络信息安全科学化管理。目前,国际上各个国家和相关组织都很重视网络信息安全标准规范的研制和推广。国际上的相关组织机构主要有 ISO 、美国NIST、OWASP、PCI (Payment Card Industry)、MITRE 等。比较知名的网络安全标准规范主要有 RFC、DES、MD5、AES、OWASP TOP10、PCI DSS、CVE、CVSS 等。一般企事业单位的网络安全标准与规范的工作目标是确保本机构的网络安全工作符合网络安全标准规范要求,避免网络安全合规风险。其主要的工作内容如下:网络安全运营与应急响应的目标是监测和维护网络信息系统的网络安全状况,使其处于可接受的风险级别。其主要的工作内容如下:网络安全运营与应急响应平台如图所示。一般企事业单位要建立网络安全集中运维管理服务平台,构建网络安全运维服务流程和操作规范,确保安全操作工作按照规范执行。同时,建立网络安全应急响应预案库和网络安全应急响应协同机制,实现网络安全事件的积极预防、及时发现、快速响应、有效处置。一般企事业单位的网络安全投入主要包括网络安全专家咨询、网络安全测评、网络安全系统研发、网络安全产品购买、网络安全服务外包、网络安全相关人员培训、网络安全资料购买、网络安全应急响应、网络安全岗位人员的人力成本等。
End
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。
查看原文
