《信息安全体系-如何规划信息安全总体架构?.docx》由会员分享,可在线阅读,更多相关《信息安全体系-如何规划信息安全总体架构?.docx(3页珍藏版)》请在第壹文秘上搜索。
1、如何规划信息平安总体架构?企业信息平安总体架构规划,是一个很大的题目,几年前就想写,但始终不敢下手,怕说歪了,怕说错了。在企业里做了几年信息平安工作,出来做了一些平安询问工作之后,自以为对这个规划有了更多的相识和理解,特殊是在喝下几杯小酒之后,最终有志气写下这些文字。首先须要说明的是这篇文字不是对一个现成规划的说明,而是抛出个如何做企业信息平安总体架构规划的思路。在谈企业信息平安总体架构规划之前,有必要澄清两个目前特别简单看到的误区,一个是:排列一堆产品和技术:另一个是:网络平安架构规划。对于前者,往往是把能够看到的平安产品和平安技术,例如防火堵、防病等、入侵监测、加密技术、VPN、终端准入限
2、制等等,都堆砌起来。这是典型的照搬照用,好大好全。这就好比身体有恙去看病,医院不管三七二十一先来一个B超、彩超、心电图、核磁共振、X光、肝功能、肾功能等等各式花样的检杳。这样做,往往花了大把的钱,奢侈了大量的人力,却得不到想要的结果。对于后者,把企业信息平安等同于网络平安,给出的规划也只能是局部的,残缺不全的。这就好比井底之蛙,以偏概全.要做企业信息平安总体架构规划,首先要回答的是基于什么做规划。因素有许多,但是最重要的是企业的信息平安需求.抛开需求做规划,将避开不掉进前面所讲的两种误区。因此,做规划要从需求入手。接下来讲一讲如何从需求起先,一步一步脚踏实地,同时又是高睇远瞩地规划企业信息平安
3、总体架构。苜先,我们来看一个企业信息平安总体架构规划模型(见下图)。安全需求安全领域Ia1.保博-技术保防管理保陛保障体系图一企业信息平安总体架构规划模型该模型是一种从企业信息平安的需求(保密性、完整性、可用性)为动身点,以应用平安、数据平安、主机平安、网络平安、桌面平安、物理平安为关注意点,层层剖析全面深化地挖掘企业的信息平安需求,构建以管理、技术和人员三者有机结合的立体的企业信息平安保障体系。该模型主要特点是:1 .均衡考虑企业在保密性(C)、完整性(1)和可用性(八)三方面的平安需求。2 .从应用平安、数据平安、主机平安、网络平安、桌面平安和物理平安等六大平安领域全面系统地实现企业的信息
4、平安需求。3 .强调从平安技术、管理和人员三个方面综合构建企业信息平安保障体系。企业信息平安总体架构规划模型虽然清楚地指出规划的婴点、重点和思路,但是根据此模型还是不知道如何去做。在该模型的指导下,结合实践阅历设计出相应的规划方法论(见卜图)以指导架构规划的操作。企业信息平安总体架构规划方法论融合了管理和技术为核心的全面分析方法,以平安需求为焦点,从管理现状、技术现状和人历状况:个维度,综合采纳调查问卷、人员访谈、现场察看、资料分析、技术检测等多种手段,全面深化地挖掘需求。在明确需求的前提下,借鉴同类企业胜利阅历并均衡考虑CIA,规划i41.:J:/在企业信息平安总体架构规划方法论中,各环节的
5、重点工作描述如下。图企业信息平安总体架构规划方法论调杳问卷针对企业状况,参照【S027001/IS013335等标准,制定相应的调查问卷,以全面了解企业的平安要求和平安状况、IT环境和IT状况、以及企业信息系统的应用状况和已经实行的平安限制手段。人员访谈选定关键领导和关键岗位,进行人力访谈,全面了解信息系统的平安需求,房屋剖析深化了解企业信息系统各层面的平安现状,包括应用状况、数据存储及数据库、主机及操作系统、网络拓扑及网络管理、数据中心及桌面管理等。现场查看百闻不如一见,为了确保获得信息的全面性和精确性,实地考察是特别必要的。现场查看主要有两方面。一方面是了解现有技术措施的状况,例如设备运用
6、状况、技术应用状况等:另方面是物理环境察看,例如机房、办公室、其他重要区域、门禁、监控等.资料分析收集企业的相关资料进行分析,重点包括信息系统的部署架构、网络架构、平安制度、运维管理、IT的运行报告和IT的审计报告。实行技术手段进行漏洞检测和分析,包括渗透测试、漏洞扫描、本地检查和手工检查.充分发掘网络方面的漏洞、主机及操作系统漏洞,数据库方面的海洞、应用方面的漏洞等。CIA均衡考虑通过前面5种方法完成需求分析之后,企业对信息平安的具体具体的需求就水落石出工。针对企业的信息平安需求,均衡考虑CIA:个方面设计技术、管理和人员限制措施,并将这些措施有机结合构建信息平安保障体系。同类企业胜利阅历有现成的桥,就没有必要摸着石头过河.因此,在设计信息平安保障体系时,借鉴国内企业在信息平安保障方面的胜利案例可以节约成本和少走弯路,企业信息平安保障体系通过上述方法,就可以水到条成地构建出企业信息平安保障体系“此体系的核心是管理、人员、技术有机结合,盘点要做到基于需求、技术全面、管理到位和有效落实。
