返回
油服信息安全保障体系架构设计探析

油服信息安全保障体系架构设计探析

ID:6037934

大小:28.00 KB

页数:7页

时间:2017-12-31

油服信息安全保障体系架构设计探析_第1页
油服信息安全保障体系架构设计探析_第2页
油服信息安全保障体系架构设计探析_第3页
油服信息安全保障体系架构设计探析_第4页
油服信息安全保障体系架构设计探析_第5页
资源描述:

《油服信息安全保障体系架构设计探析》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、油服信息安全保障体系架构设计探析  摘要本文主要分析了油服网络与信息系统的实际安全需求,结合业务信息的实际特性,以构建信息安全纵深防御为总体目标,从信息安全方针策略、安全管理体系、安全运行体系、安全技术体系和统一安全运维管理平台等多方面着手探讨设计了符合油服当前情况的信息安全保障体系架构。关键词信息系统;安全;保障体系;技术;信息技术基础设施中图分类号:TP393文献标识码:A文章编号:1671-7597(2013)14-0137-027油服信息技术应用与集中程度的不断深入提高,信息安全保障体系建设工作已成为信息化建设过程中的重要组成部分。油服具有地域分布广、业务复杂多样等特点,

2、在信息安全形势多变的情况下,独立分散的安全措施已无法更好地满足安全防护需求。信息安全若不能得到很好的保障,将给公司的业务正常运作及办公稳定性、高效性和有效性带来影响。因此,需完善公司的信息安全政策方针、规划并建立符合油服实际情况的信息安全保障体系,采用先进的安全管理过程模式,完善信息安全管理制度与规范,提高员工的信息安全意识,提升风险控制及保障水平,以支撑油服核心业务的健康发展。1信息安全保障体系1.1信息安全保障体系建设需求油服在信息安全方面已部署了部分信息安全防护措施,如划分安全域、部署边界访问控制设备、配备入侵防御系统、部署统一的防恶意代码软件等。与此同时,每年都开展信息系

3、统安全测评工作,对公司的信息系统进行安全等级测评差距分析、安全问题整改咨询核查以及渗透性测试等,从而能够较为全面的掌握当前各信息系统和信息安全管理制度的建设、运维和使用情况,以提高信息系统的安全防护能力。但从总体来看,仍缺乏信息安全保障体系框架,总体安全方针和策略不够明确,安全区域划分不够细致,网络设备和重要服务器的安全策略缺乏统一标准,未部署安全运维管理中心,无法真正起到纵深安全防御的效用。1.2信息安全保障体系目标与定位信息安全保障体系的建设要结合油服的信息安全需求、网络应用现状及未来发展趋势,在风险评估的基础上,明确与等级保护相适应的安全策略及具体的实施办法。对全网进行合理

4、的安全域划分,技术与管理并重的同时,以应用与实效为主导,从网络、应用系统、组织管理等方面,保障油服信息安全,形成集检测、响应、恢复、防护为一体的安全保障体系。72油服信息安全保障体系架构模型油服信息安全保障体系框架采用“结构化”的分析和控制方法,纵向把保护对象分成安全计算环境、安全区域边界和安全通信网络;横向把控制体系分成安全管理、安全技术和安全运行的控制体系,同时通过“一个安全管理中心”的安全管理概念和模式,形成一个依托于安全保护对象为基础,横向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心“三个体系、一个中心、三重防护”的信息安全保障体系框架。2.1安全管理体系根

5、据等级保护基本要求的相关内容,信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求。2.2安全技术体系根据等级保护基本要求的相关内容,通过安全技术在物理、网络、主机、应用和数据各个层面的实施,建立与实际情况相结合的安全技术体系。2.3安全运行体系7根据等级保护基本要求的相关内容,信息安全运行体系重点落实系统建设管理和系统运维管理的相关控制要求,并与实际情况相结合,形成符合等级保护要求的信息安全运行体系框架。2.4安全管理中心根据等级保护基本要求和安全设计技术要求的相关内容,通过“自动、平台化”的方式,对信息安全管理、技术、运行三个体系的相关控制内容,结合

6、实际情况加以落实。3油服信息安全保障体系架构设计3.1安全管理体系架构设计信息安全管理体系架构的设计可从以下3方面开展。3.1.1信息安全组织油服信息安全组织为信息安全管理委员会,各业务部门为信息安全小组,部门经理为本小组的第一安全责任人。同时,定义了组织中各职能角色的职责,以此指导信息安全工作开展。3.1.2信息安全制度油服的信息安全制度一方面能及时反映公司的信息安全风险动态,便于灵活地修订与更新;另一方面确保信息安全技术与管理人员及用户能够了解哪些是禁止做的,哪些是必须做的。3.1.3人员安全管理在人员安全管理方面,可以通过对人员录用、调用、离岗、考核、培训教育和第三方人员安

7、全几个方面进行设计。73.2安全技术体系架构设计信息安全技术体系架构设计可从以下3个方面开展。3.2.1信息安全服务架构信息安全服务架构设计分为保护、检测、响应与恢复四个环节,实现对信息可用性、完整性和机密性的保护,监测检查系统存在的安全漏洞,对危害系统安全的事件行为做出响应处理。3.2.2信息技术基础设施安全架构信息技术基础设施安全架构以网络安全架构为主体,结合系统软硬件进行安全配置和部署。网络安全架构的规划根据网络所承载的应用系统特性和所面临的风险划分不同的网络安全域,并实施

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。