| 网络安全管理体系涉及五个方面的内容:管理目标、管理手段、管理主体、管理依据、管理资源。管理目标大的方面包括政治安全、经济安全、文化安全、国防安全等,小的方面则是网络系统的保密、可用、可控等;管理手段包括安全评估、安全监管、应急响应、安全协调、安全标准和规范、保密检查、认证和访问控制等;管理主体大的方面包括国家网络安全职能部门,小的方面主要是网络管理员、单位负责人等;管理依据有行政法规、法律、部门规章制度、技术规范等;管理资源包括安全设备、管理人员、安全经费、时间等。
|
|
|
| 网络安全管理体系的构建涉及多个方面,具体来说包括网络安全管理策略、第三方安全管理、网络系统资产分类与控制、人员安全、网络物理与环境安全、网络通信与运行、网络访问控制、网络应用系统开发与维护、网络系统可持续性运营、网络安全合规性管理十个方面。下面分别给出这些方面的具体内容。
|
|
|
|
|
| 网络安全管理策略通常由管理者根据业务要求和相关法律法规制定、评审、批准、发布、修订,并将其传达给所有员工和外部相关方,同时根据网络安全情况,定期或不定期评审网络安全策略,以确保其持续的适宜性、充分性和有效性。网络安全管理策略给网络信息系统的保护目标提供了具体安全措施要求和保护方法。常见的网络安全管理策略有服务器安全策略、终端安全策略、网络通信安全策略、远程访问安全策略、电子邮件安全策略、互联网络使用策略、恶意代码防护策略等。
|
|
|
|
|
| 第三方安全管理的目标是维护第三方访问的组织的信息处理设施和网络资产的安全性,要严格控制第三方对组织的信息及网络处理设备的使用,同时又能支持组织开展网络业务需要。第三方安全管理的主要工作有:
|
|
|
| . 根据第三方访问的业务需求,必须进行风险评估,明确所涉及的安全问题和安全控制措施;
|
|
|
| . 与第三方签定安全协议或合同,明确安全控制措施,规定双方的安全责任;
|
|
|
|
|
|
|
| 网络系统资产的清单列表和分类是管理的最基本工作,它有助于明确安全管理对象,组织可以根据资产的重要性和价值提供相应级别的保护。与网络系统相关联的资产示例有:
|
|
|
| . 硬件资产:包括计算机、网络设备、传输介质及转换器、输入输出设备、监控设备和安全辅助设备;
|
|
|
| . 软件资产:包括操作系统、网络通信软件、数据库软件、通用应用软件、委托开发和自主开发的应用系统及网络管理软件;
|
|
|
| . 存储介质:包括光盘、硬盘、软盘、磁带、移动存储器;
|
|
|
| . 信息资产:包括文字信息、数字信息、声音信息、图像信息、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、退守计划、归档信息;
|
|
|
| . 网络服务及业务系统:包括电子邮件、Web服务、文件服务等;
|
|
|
| . 支持保障系统:包括消防、保安系统、动力、空调、后勤支持系统、电话通信系统、厂商服务系统等。
|
|
|
| 网络系统的安全管理部门给出资产清单列表后,另外一项工作就是划分资产的安全级别。安全管理部门根据组织的安全策略和资产的重要程度,给定资产的级别。例如,在企业网络中,一般可以把资产分成四个级别:公开、内部、机密、限制,各级别的划分依据如下表所示。
|
|
|
|
|
|
|
|
|
| 人是网络系统中最薄弱的环节,人员安全的管理目标是降低误操作、偷窃、诈骗或滥用等人为造成的网络安全风险。人员安全通过采取合适的人事管理制度、保密协议、教育培训、业务考核、人员审查、奖惩等多种防范措施,来消除人员方面的安全隐患。下面举例说明人员安全措施,如在人员录用方面应该做到:
|
|
|
| . 是否有令人满意的个人介绍信,由某个组织或个人出具;
|
|
|
|
|
|
|
|
|
|
|
|
|
| 每一项与安全有关的活动,都必须有两人或多人在场。要求相关人员忠诚可靠,能胜任此项工作,并签署工作情况记录以证明安全工作已得到保障。一般以下各项安全工作应由多人负责处理:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 一般来讲,任何人不能长期担任与安全有关的职务,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限原则切实可行。
|
|
|
|
|
| 工作人员各司其职,不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。出于对安全的考虑,下面各项工作应当职责分开:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 网络物理与环境安全的管理目标是防止对组织工作场所和网络资产的非法物理临近访问、破坏和干扰。例如针对网络机房,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,对人员的出入进行登记管理。
|
|
|
|
|
| 网络通信与运行的管理目标是保证网络信息处理设施的操作安全无误,满足组织业务开展的安全需求。
|
|
|
|
|
| 网络访问控制的管理目标是保护网络化服务,应该控制对内外网络服务的访问,确保访问网络和网络服务的用户不会破坏这些网络服务的安全,要求做到:
|
|
|
|
|
|
|
|
|
| 与网络访问控制相关的工作主要有:网络服务的使用策略、网络路径控制、外部连接的用户身份验证、网络节点验证、远程网络设备诊断端口的保护、网络子网划分、网络连接控制、网络路由控制、网络服务安全、网络恶意代码防范。
|
|
|
|
|
| 网络应用系统开发与维护的管理目标是防止应用系统中用户数据的丢失、修改或滥用。网络应用系统设计必须包含适当的安全控制措施、审计追踪或活动日志记录。与网络应用系统开发与维护相关的工作主要有:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 网络系统可持续性运营的管理目标是防止网络业务活动中断,保证重要业务流程不受重大故障和灾难的影响,要求达到:
|
|
|
| . 实施业务连续性管理程序,预防和恢复控制相结合,要将由于自然灾害、事故、设备故障和蓄意破坏等引起的灾难和安全故障造成的影响降低到可以接受的水平;
|
|
|
| . 分析灾难、安全故障和服务损失的后果,制订和实施应急计划,确保能够在要求的时间内恢复业务流程;
|
|
|
| . 采用安全控制措施,确定和降低风险,限制破坏性事件造成的后果,确保重要操作及时恢复。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| . 网络系统的设计、操作、使用和管理要依据成文法、法规或合同安全的要求;
|
|
|
| . 不违反刑法、民法、成文法、法规或合约义务以及任何安全要求。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
