國內信息化建設起步于上世紀90年代,經過多年的發展,各組織單位信息化建設取得了突破性進展,信息系統順利完成由局部應用到全面覆蓋、由輔助管理到支撐生產經營、由分布處理到數據集中的轉變,開始步入成熟階段。
在信息化建設的過程中,同時也進行了信息系統安全建設。信息系統安全建設一般經過分散建設階段、系統化建設階段、一體化建設階段。在不同的階段,采取不同的安全技術與解決方案,但無論在哪一個階段,信息系統安全理念都不會發生根本性的變化。本文通過總結信息系統安全建設的經驗,提出了信息系統安全“四化”建設的理念與方法論,即產品方案化、方案業務化、業務透明化、服務產品化。
產品方案化
產品方案化著重強調某個安全產品在整個信息系統安全整體解決方案中的角色,以及所解決的具體問題。
產品方案化以方案提供者的角度提出,讓用戶明確安全產品不是解決所有的安全問題,而是滿足整體解決方案某一個點的問題。如防火墻主要解決內外網安全隔離,或安全域的劃分與隔離;網絡審計主要對網絡行為進行記錄與追蹤,解決內網合規問題。
產品方案化的前提是讓用戶對信息系統安全體系框架有一個清晰的認識,知道進行信息系統安全防護需要建設怎樣的安全體系架構,而目前現狀已經滿足哪些要求?還有哪些沒有滿足?從而明確該產品在安全體系架構中的作用,以及該產品的重要性和緊迫性如何?
對于信息系統安全體系架構,在等級保護制度沒有執行之前,一般按照IATF標準通過安全域的劃分來構建信息系統安全體系架構,以及等級保護制度的執行,使國內政府、企事業單位進行信息系統安全建設有所依據。等級保護從計算安全環境、邊界安全、通信安全、安全管理中心四個方面闡述了如何構建安全體系架構。通過信息系統安全等級保護架構圖,可以非常清晰每個產品在等級保護整體解決方案中的角色與作用,從而很容易提供產品方案化的解決方案。
方案業務化
信息系統安全是一個比較宏觀的概念,信息系統安全的目的是業務系統安全,保障業務系統的可用性和安全性,是進行信息系統安全建設的最終目標。同時,以業務系統安全為目標,可以使解決方案的工作目標更明確,具體安全措施的粒度更細。
通過多年的信息化建設,業務系統已經成為組織單位中職能部門工作的平臺,業務系統產生可用性事件或安全事件,直接關系到組織單位的日常工作,甚至造成經濟損失。信息系統安全解決方案,一定是以業務系統為中心,從業務系統的安全防護、業務系統的可用性監控、業務系統的行為審計、業務系統的運維安全、業務系統的安全事件,以及業務系統的流量監控等多維度來解決業務系統的安全問題。
因此,以安全解決方案業務化的角度去解決安全問題,不僅目標明確,而且可以準確的判斷業務系統是否是一個獨立的安全域,業務系統安全防護是否到位,從而驗證安全解決方案是否“落地”。
業務透明化
信息系統安全保障體系作為業務系統安全穩定運行的基礎,服務于業務系統,但對業務系統的應用需要透明,以不影響業務系統用戶使用習慣和業務系統的運行效率為原則。
信息系統安全建設如果做不到業務透明化,在安全建設的過程中,一定會遇到重重阻力,難以為繼。即使由于某種原因進行了不透明的安全建設,后期也會導致棄用。同時,業務不透明的安全建設,很容易因為信息系統安全建設而導致業務系統的不安全。
服務產品化
一個完整的信息系統安全保障體系,由安全產品技術、安全管理、安全服務三大方面組成。其中安全服務包括信息系統安全咨詢服務、評估服務、應急服務、加固服務、安全運維服務等。
安全服務需要產品化,才能夠形成標準,保證質量。安全服務的產品化集中體現在安全服務文檔標準化、項目組織標準化、服務流程標準化。
安全服務文檔不僅需要標準化,而且根據客戶的不同要進行行業化,同時要及時更新。項目組織標準化體現在安全服務的過程中,讓專業的人做專業的事情,避免由于人員的不專業而導致安全服務風險加大。服務流程標準化體現在安全服務要有計劃、有步驟的進行。
總之,安全服務產品化不僅能夠體現安全服務的專業性,而且能夠提高安全服務的效率,降低安全服務的風險。
在信息系統安全解決方案中,以安全“四化”建設為理念,不僅可以使安全解決方案目標明確,建立符合用戶使用習慣和企業文化、可落地的安全保障體系,而且可以使安全技術和安全服務有機的融合為一體,從而高效的為信息系統安全穩定運行提供保障能力。
京公網安備 11010502049343號