freeBuf
企业安全建设 | 体系规划思路
2024-01-12 20:32:52

1 项目背景

1.1 国家越来越注重网络安全

“必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。”  主席在网络安全和信息化工作座谈会上的讲话。

1.2 安全合规监管要求越来越高

《网络安全法》《个人信息保护法》以及合规要求《信息系统等级保护2.0》《商用密码应用性安全评估》等相关合规要求。

1.3 企业数字化转型是刻不容缓

数字化转型通常伴随着新技术的应用,如云计算、大数据、物联网等。网络安全确保这些新技术的应用过程中不受到威胁,从而保障创新的顺利实施。

2 设计原则

2.1 先进性

坚持使用先进技术,强调智能化、新技术、新产品在新安全体系中的引领作用。在安全规划中引入AI、大数据、隐私计算、6G等安全技术,实现安全能力的前瞻性。

2.2 合规性

以《中华人民共和国网络安全法》、《信息安全技术 网络安全等级保护基本要求》、《国家电子政务标准化指南》等相关政策标准为依据进行网络安全保障体系建设。

2.3 可行性

结合企业自身安全现状,分步骤、分阶段推进网络安全保障建设工作,结合资金、人员的情况,以最优的方式进行安全建设。

2.4 协同性

安全建设应时刻考虑与业务系统部门之间的联系,安全和业务是一体的,离开谁都无法长久,充分考虑业务系统的特性进行安全设计、建设和运营。

3 规划思路

参考SANS的安全滑动标尺模型构建企业安全保障体系,划分架构安全、被动防护、积极防御、威胁情报和攻击反制等五个阶段,每个阶段对应最佳的行动措施和资源投入,建设新型网络安全能力。以安全架构为建设指标、被动防御为主要手段、积极防御为提升、威胁情报为补充、攻击反制为最后手段。

最为重要的是首先建立“三同步”(同步规划、同步建设和同步运营)的思想来进行安全体系规划。

一是同步规划:在信息系统设计之初,按业务系统机密性、完整性和可用性的要求,进行安全同步规划设计,确保系统的安全;

二是同步建设:在信息系统上线之前,对信息系统的进行安全检查包括:基线扫描、漏洞扫描和渗透测试等手段防止系统风险。

三是同步运营:在信息系统下线之前,安全运营工作应该成为日常工作之一,确定有持续、可靠、有效的安全保障机制,能实时监测安全事件、及时发现内、外部因素导致的安全事件,快速处置降低损失。

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
文章目录