构建信息安全保密标准体系.docVIP

构建信息安全保密体系 摘要:信息安全保密已经成为目前保密工作关键。本文从策略和机制角度出发,给出了信息安全保密服务支持、标准规范、技术防范、管理保障和工作能力体系,表现了技术和管理相结合信息安全保密标准。 关键词:信息安全保密体系 一、引言 构建信息安全保密体系,不能仅仅从技术层面入手,而应该将管理和技术手段有机结合起来,用规范制度约束人,同时建立、健全信息安全保密组织体制,改变现有管理模式,填补技术、制度、体制等方面存在不足,从标准、技术、管理、服务、策略等方面形成综合信息安全保密能力,图1所表示。 图1 信息安全保密体系框架 该保密体系是以信息安全保密策略和机制为关键,以信息安全保密服务为支持,以标准规范、安全技术和组织管理体系为具体内容,最终形成能够满足信息安全保密需求工作能力。二、信息安全保密策略和机制 所谓信息安全保密策略,是指为了保护信息系统和信息网络中秘密,对使用者(及其代理许可什么、严禁什么要求。从信息资产安全管理角度出发,为了保护涉密信息资产,消除或降低泄密风险,制订多种纲领、制度、规范和操作步骤等,全部属于安全保密策略。比如:严禁(工作或技术人员将涉密软盘或移动存放设备带出涉密场所;严禁(使用人员将涉密计算机(连上互联网;不许可(参观人员在涉密场所拍照、录像等。 信息安全保密机制,是指实施信息安全保密策略一个方法、工具或规程。比如,针对前面给出保密策略,可分别采取以下机制:为涉密移动存放设备安装射频标识,为涉密场所安装门禁和报警系统;登记上网计算机(物理地址,实时监控上网设备;进入涉密场所前,托管全部摄录像设备等。 依据信息系统和信息网络安全保密需求,在制订其安全保密策略时,应关键从物理安全保密策略,系统或网络访问控制策略,信息加密策略,系统及网络安全管理策略,人员安全管理策略,内容监管策略等方面入手。在安全保密机制方面,应关键从组织管理、安全控制和教育培训等方面,针对给出安全保密策略,确定具体操作或运行规程,技术标准和安全处理方案。 三、信息安全保密服务支持体系 信息安全保密服务支持体系,关键是由技术检验服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务组成,图2所表示。其中,风险管理服务必需贯穿到信息安全保密整个工程中,要在信息系统和信息网络计划和建设早期,就进行专业安全风险评定和分析,并在系统或网络运行管理过程中,常常性地开展保密风险评定工作,采取有效方法控制风险,只有这么才能提升信息安全保密效益和针对性,增强系统或网络安全可观性、可控性。其次,还要大力加强调查取证服务、应急响应服务和咨询培训服务建设,对突发性失泄密事件能够快速反应,同时尽可能提升信息系统、信息网络管理人员安全技能,和她们法规意识和防范意识,做到“事前有准备,事后有方法,事中有监察”。 加强信息安全保密服务关键方法包含: 借用安全评定服务帮助我们了解本身安全性 经过安全扫描、渗透测试、问卷调查等方法对信息系统及网络资产价值、存在脆弱性和面临威胁进行分析评定,确定失泄密风险大小,并实施有效安全风险控制。 采取安全加固服务来增强信息系统本身安全性 具体包含操作系统安全修补、加固和优化;应用服务安全修补、加固和优化;网络设备安全修补、加固和优化;现有安全制度和策略改善和完善等。 布署专用安全系统及设备提升安全保护等级 借助现在成熟安全技术和产品来帮助我们提升整个系统及网络安全防护等级,可采取产品包含防火墙、IDS、VPN、防病毒网关等。 利用安全控制服务增强信息系统及网络安全可观性、可控性 经过布署面向终端、服务器和网络边界安全控制系统,和集中式安全控制平台,增强对整个信息系统及网络可观性,和对使用网络人员、网络中设备及其所提供服务可控性。 加强安全保密教育培训来降低和避免失泄密事件发生 加强信息安全基础知识及防护技能培训,尤其是个人终端安全技术培训,提升使用和管理人员安全保密意识,和检验入侵、查处失泄密事件能力。 引入应急响应服务立即有效地处理重大失泄密事件 具体包含:帮助恢复系统到正常工作状态;帮助检验入侵起源、时间、方法等;对网络进行安全评定,找出存在安全隐患;做出事件分析汇报;制订并落实实施安全改善计划。 采取安全通告服务来对窃密威胁提前预警 具体包含对紧急事件通告,对安全漏洞和最新补丁通告,对最新防护技术及方法通告,对国家、军队安全保密政策法规和安全标准通告等。 四、信息安全保密标准规范体系 信息安全保密标准规范体系,关键是由国家和军队相关安全技术标准组成,图3所表示。这些技术标准和规范包含到物理场所、电磁环境、通信、计算机、网络、数据等不一样对象,涵盖信息获取、存放、处理、传输、利用和销毁等整个生命周期。现有对信息载体相关安全保密防护要求,也有对人员管理和操作要求。所以,它们是设计信息安全保密处理方案,提