zoukankan      html  css  js  c++  java
  • 企业网络信息安全建设的方法论

    企业网络信息安全的建设,是一个不断改进完善的过程(PDCA过程)。

    下面基于作者(_U2_)的工作实践,探讨一下信息安全建设方面的依据、方法论和交付成果。

    一、依据

    企业网络信息安全建设的主要依据有:

    1)企业的信息安全策略和安全态势,且安全策略随着安全态势与产业环境的变化而变化;

    (2)来自管理层、业务部门的需求和期望;

    3)安全技术标准、规范;

    4)风险评估的结果;

    5)业界标准与最佳实践,如ISO 27001体系、业界的安全解决方案;

    6)现状,含安全基础设施现状、业界或自研的安全产品的现状。

    二、方法论、工具与技术

    1.信息安全管理体系

    参考ISO 27001等国际标准,建立适应自己业务的信息安全管理体系(ISMS)、风险评估方法论。

    2.安全技术架构

    在这里,我把IT基础设施或应用系统中涉及到的安全技术技术分为以下6类:

    1)身份认证,即识别用户的身份,你是谁;

    2)授权与访问控制,赋予用户适当的角色和权限,用户只能访问业务规则允许其访问的数据;

    3)密码技术,包括对数据的加解密、传输通道的加解密、数字签名等;

    4)审计与取证,包括对操作日志的要求、审计接口、防泄密措施等;

    5)业务安全,这是传统安全经常将其视为业务功能导致安全和业务都轻易忽略的一部分,

    业务安全要从设计上形成完整的证据链,能够防篡改、防抵赖、防重放,避免错误交易;

    6)完整性防护,主要是指针对病毒、木马、入侵等行为的基础性防护措施。

    在规划、设计安全控制措施的时候,即可参考下表的安全技术进行相应的设计,并考虑安全与效率、成本的均衡。

    层次 安全技术

    身份认证

    授权与访问控制

    密码技术

    审计与取证

    业务安全

    完整性防护

    应用层

    SSO

    OAuth

    RBAC

    HTTPS

    配置文件字段加密


    操作日志

    审计接口

    数据签名

    证书验证

    交易确认

    WAF

    漏洞扫描与修复

    安全配置

    中间件层

    SSO

    数据库视图

    最小授权

    SSL证书

    数据库字段加密

    访问日志

    DLP

    签名验证

    重放检测

    中间件补丁

    安全配置

    开源软件管理

    系统层

    AD

    双因子认证

    ACL


    磁盘文件加密

    系统日志

    监控

    DLP

    N/A

    防病毒

    补丁

    进程白名单

    安全配置

    网络层

    Portal认证

    802.1x

    NAC

    防火墙

    上网行为管理

    VPN

    SSL加密

    流量监控

    DLP

    上网行为管理

    专线

    IPS

    网络防病毒

    DDos防范

    物理层

    门禁卡

    门禁系统

    私钥保护

    CCTV

    即时打印

    物理隔离

    红外对射

    3.安全开发生命周期管理

    应用系统上线前,安全要融入其开发项目全过程,包括:

    1)需求阶段,基于组织的安全策略,将基本安全需求作为项目/产品的需求的一部分,纳入项目范围;

    2)方案阶段,基于组织的安全技术标准、规范,对产品/应用的方案安全性审核;

    3)验证阶段,对产品的代码进行白盒扫描检测,或者进行黑盒测试(渗透测试),发现高危风险并进行改进;

    4)验收阶段,对交付的产品/应用的安全性进行验收。

    应用系统上线后,就要开始安全运营,进行事件监控、响应与改进恢复。

    三、交付成果

    企业的网络信息安全建设的成果包括:

    1)不断改进的信息安全管理体系(策略、组织、人员、流程等) ,即整个安全体系的PDCA

    (2)风险评估方法或指南;

    3)不断完善并适应新形势的IT安全基础设施,如基础的病毒/补丁管理体系、PKI、安全网关、IPS、认证、监控、加密服务,增强抵御外部入侵的防御能力,降低内部泄密事件;

    4)安全的应用环境,支撑业务正常高效的开展;

    (5)组织过程资产,包括策略文件、标准规范文件、模板、Checklist、案例、账号/权限申请流程、事件处理流程等。


  • 相关阅读:
    2017.10.20
    2017.10.14
    2017.10.19
    2017.10.18
    2017.10.17
    软件工程个人作业02
    构建之法读后感03
    构建之法阅读笔记02
    二柱子问题(随机产生四则运算题目)
    课后作业2(构建之法阅读计划)
  • 原文地址:https://www.cnblogs.com/-U2-/p/3546661.html
Copyright © 2011-2022 走看看