新形式下进一步提高信息安全管理水平的思路.docVIP

PAGE / NUMPAGES 新形式下进一步提高信息安全管理水平的思路-安全生产论文 新形式下进一步提高信息安全管理水平的思路 [摘要]作者最近考察了一些民营的专业信息安全公司，参加了他们有关信息安全发展思路的讨论，并听取了公司战略主管的介绍，感到很有启发，特将其中的部分思路梳理出来，供从事信息安全建设的单位和同行参考。 　　[关键词]信息安全发展思路；两个平台一个服务 　　1 引言 　　近年来，随着我国网络安全法制化的进程不断加快和网络安全防护技术发展及网络安全人才培养机制的逐步完善，我国关键基础网络和重要信息系统的安全防护能力有了很大的增强。为我国建设网络强国的战略规划奠定了良好的保障基础。然而，随着网络攻击技术的不断发展，我国仍然面临着形形色色、层出不穷的网络安全风险。 　　2016年4月19日中央在北京召开了《网络安全与信息化工作座谈会》，会上习近平主席发表了重要讲话，在总结网络安全与信息化的关系一节中提到：“加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”习主席的讲话为我国信息安全技术的发展提出了明确的目标。 　　在目前形势下，单位和企业如何规划下一步的信息安全建设，完善已有的信息安全保障系统，提高现有的信息和网络安全设备的管理水平，使其发挥最大的效能。是摆在每一位信息安全主管领导面前的新课题。在这里，我们提出一个提高信息安全管理水平的思路，供从事信息安全管理的领导和技术人员参考。 　　2 总体思路 　　2.1 政策依据 　　（1）GB 17859-1999计算机信息系统安全保护等级划分准则： 　　（2）GB/T 20269-2006信息安全技术信息系统安全管理要求： 　　（3）GB/T 20278-2006信息安全技术网络脆弱性扫描产品技术要求： 　　（4）GB/T 20275-2006信息安全技术入侵检测系统技术要求和测试评价方法： 　　（5）GB/T 20945-2007信息安全技术信息系统安全审计产品技术要求和测试评价方法： 　　（6）GB/T 20984-2007信息安全技术信息安全风险评估规范； 　　（7）GB/Z 20985-2007信息安全技术信息安全事件管理指南： 　　（7）GB/T22080-2008信息安全技术信息安全管理体系要求； 　　（8）GB/T22081-2008信息安全技术信息安全管理实用规则： 　　（10）GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求： 　　（11）GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南。 　　2.2 技术思路 　　建设和优化信息安全防护平台和可视化运维管理平台，深入开展信息安全服务；技术思路可概括为建设“两个平台一个服务”。 　　2.3 系统逻辑架构 　　系统逻辑架构如图1所示。 　　3 设计方案 　　3.1 信息安全防护平台的组成 　　信息安全防护平台应用模块如图2所示，包括但不限于八个模块。 　　下一代防火墙：企业和单位根据自身资金投入现状，对第一代防火墙进行升级和更新换代，选购符合行业标准GA/T 1177-2014《第二代防火墙安全技术要求》的千兆和万兆新一代防火墙。 　　下一代入侵检测和入侵防护系统：企业和单位根据自身资金投入现状，对第一代入侵检测和防护系统进行升级和更新换代，应选购可对全协议栈业务数据流进行解码和规范化并可动态进行攻击特征库比对的新一代入侵检测和防护系统。 　　高级逃逸技术防护：该模块附有高级逃逸攻击特征库，与入侵检测和防护系统配合使用，可有效地发现和防护高级逃逸技术攻击。 　　主机安全加固：按照等级保护的技术要求和主机加固技术规范及各企业、单位所订的安全基线进行安全加固。 　　Web应用防火墙：对Web访问的要求进行内容过滤，消除SQL注入、网页挂马、目录遍历、恶意邮件等窃取、篡改用户数据的应用访问。 　　病毒防御系统：通过病毒墙和主机自动检测，阻断和消除由网络、各种介质注入的病毒和恶意代码。 　　数据安全防护系统：通过对数据库、主机硬盘等数据的加密存储和加密传输，保障用户数据的安全。 　　终端安全系统：通过网络的集中管理，使网络终端具有统一的安全策略，以避免非法接入和非授权互访。 　　3.2 可视化运维管理平台的组成 　　可视化运维管理平台如图3所示，包括但不限于六个模块。 　　运维基础架构管理：网络管理、系统管理和应用管理。网络管理内容有单纯的网元连通性管理和拓扑展示。网元包括路由器、交换机和各种网络终端（含安全设备），显示的网元参数有（端口、连通性和流量等）。系统管理内容有操作系统、CPU、内存、磁盘空间和服务器性能状态监测等。应用管理内容有数据库（表空间、连接数、事务响应等），中间件，Web服务器，E-mail服务