網絡安全保障體系的構建
網絡安全保障體系如圖1所示。其保障功能主要體現在對整個網絡系統的風險及隱患進行及時的評估、識別、控制和應急處理等,便於有效地預防、保護、響應和恢復,確保系統安全運行。
圖1 網絡安全保障體系
1.網絡安全保障關鍵要素
網絡安全保障關鍵要素包括四個方面:網絡安全策略、網絡安全管理、網絡安全運作和網絡安全技術,如圖2所示。其中,網絡安全策略為安全保障的核心,主要包括網絡安全的戰略、政策和標準。網絡安全管理是指企事業機構的管理行為,主要包括安全意識、組織結構和審計監督。網絡安全運作是企事業機構的日常管理行為,包括運作流程和對象管理。網絡安全技術是網絡系統的行為,包括安全服務、措施、基礎設施和技術手段。 ?
圖2 網絡安全保障要素 圖3 P2DR模型示意圖
在機構的管理機制下,只有利用運作機制借助技術手段,才可真正實現網絡安全。通過網絡安全運作,在日常工作中認真執行網絡安全管理和網絡安全技術手段,“七分管理,三分技術,運作貫穿始終”,管理是關鍵,技術是保障,其中的管理實際上包括管理技術。P2DR模型是美國ISS公司提出的動態網絡安全體系的代表模型,也是動態安全模型,包含4個主要部分:Policy(安全策略)、Protection(防護)、Detection(檢測)和 Response(響應)。如圖3所示。
2.網絡安全保障總體框架
鑒於網絡系統的各種威脅和風險,以往傳統針對單方面具體的安全隱患,所提出的具體解決方案具有壹定其局限性,應對的措施也難免顧此失彼。面對新的網絡環境和威脅,需要建立壹個以深度防禦為特點的網絡信息安全保障體系。網絡安全保障體系總體框架如圖4所示。此保障體系框架的外圍是風險管理、法律法規、標準的符合性。
圖4 網絡安全保障體系框架
網絡安全管理的本質是對網絡信息安全風險進行動態及有效管理和控制。網絡安全風險管理是網絡運營管理的核心,其中的風險分為信用風險、市場風險和操作風險,包括網絡信息安全風險。實際上,在網絡信息安全保障體系框架中,充分體現了風險管理的理念。網絡安全保障體系架構包括五個部分:
1) 網絡安全策略。屬於整個體系架構的頂層設計,起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念,從長遠發展規劃和戰略角度整體策劃網絡安全建設。
2) 網絡安全政策和標準。是對網絡安全策略的逐層細化和落實,包括管理、運作和技術三個層面,各層面都有相應的安全政策和標準,通過落實標準政策規範管理、運作和技術,保證其統壹性和規範性。當三者發生變化時,相應的安全政策和標準也需要調整並相互適應,反之,安全政策和標準也會影響管理、運作和技術。
3) 網絡安全運作。基於日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。是網絡安全保障體系的核心,貫穿網絡安全始終;也是網絡安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
4) 網絡安全管理。對網絡安全運作至關重要,從人員、意識、職責等方面保證網絡安全運作的順利進行。網絡安全通過運作體系實現,而網絡安全管理體系是從人員組織的角度保證正常運作,網絡安全技術體系是從技術角度保證運作。
5) 網絡安全技術。網絡安全運作需要的網絡安全基礎服務和基礎設施的及時支持。先進完善的網絡安全技術可極大提高網絡安全運作的有效性,從而達到網絡安全保障體系的目標,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
摘自-拓展:網絡安全技術及應用(第3版)賈鐵軍主編,機械工業出版社,2017