第14章信息安全整体解决方案第14章信息安全整体解决方案近几年来,随着计算机网络异常迅猛的发展,特别是因特网的不断推广应用,信息安全越来越成为人们所关注的全球性的焦点之一,网络在人们日常的生活中的地位越来越重要,因此网络信息安全问题就显得尤为关键。第14章信息安全整体解决方案14.1信息安全整体解决方案概述如何保障信息和网络的使用安全,如何制定并实施合适的信息安全规则,已成为了摆在每一个企业面前亟待解决的问题。信息安全整体解决方案必须遵循全面性、实用性、标准性、一致性、扩展性、易学和易用性的基本原则。第14章信息安全整体解决方案14.2制定信息安全整体解决方案信息安全整体解决方案必须有一个整体的、动态实用的安全概念。要在整个方案涉及中,有一种总体把握的能力,不能只关注自己熟悉的某一个领域,而对其他的领域毫不关心。甚至不理解,这样写不出一个好的安全方案。总的来说,信息安全整体解决方案可以认为是一张施工的图纸,图纸内容架构好坏,直接影响到工程的质量。第14章信息安全整体解决方案14.2.1应遵循的原则在对企业的信息安全整体解决方案进行设计、规划时,应遵循以下原则:1.综合性、整体性原则2.需求、风险、代价平衡的原则3.一致性原则4.易操作性原则5.分步实施原则6.多重保护原则第14章信息安全整体解决方案14.2.2注意事项一份信息安全方案需要从以下一些方面把握:(1)体现唯一性,最重要的标准(2)对安全技术和安全风险有一个综合的把握和理解。(3)对用户的网络系统安全风险和安全威胁有一个合适的把握。(4)用相应的安全产品,安全技术和管理手段。(5)方案中要体现对用户的服务支持。第14章信息安全整体解决方案(6)要明白网络系统安全是一个动态的整体的主页的工程,不能进一步解决多有问题。(7)要不断的和用户进行共同,能够及时得到他们对网络系统在安全方面的要求、期望和所遇到的问题。(8)方案中所涉及的产品和技术,都经得起验证、推敲和实施,要有理论根据,也要有实际基础。(9)做方案的时候要充分考虑公司已经有的安全技术与设备。第14章信息安全整体解决方案10.考虑性价比的问题。从公司的高层来界定哪一个解决方案可以选择。11.技术和设备是可以分层的,一级是最紧迫的,二级是其次。12.要符合国内外一些标准的安全系统准则。13.”三分技术、七分管理”,在方案中要突出管理的重要性。第14章信息安全整体解决方案14.2.3具体内容一份安全解决方案的框架涉及以下一些方面,根据用户的实际需求的某些方面:1.安全风险分析2.安全投资3.信息系统的安全原则4.信息安全框架5.安全产品的选择第14章信息安全整体解决方案6.安全管理策略7.风险评估8.安全服务9.安全培训10.安全管理人员或团队第14章信息安全整体解决方案14.3符合安全标准的安全系统要保证安全建设的先进性、完整性、全面性。安全设计必须遵循国内国际相关的安全标准。目前比较出名的安全标准:1.中国计算机信息系统安全保护等级划分准则(GB17859)2.系统安全工程成熟度模型(SSE-CMM)3.信息保障技术框架(IATF3.0)第14章信息安全整体解决方案4.站点安全手册(RFC2196)5.信息安全管理(BS7799/ISO17799/OISO27001)6.信息技术安全管理指南(ISO13335)7.信息技术安全性能用评估准则(ISO15408/GB18336)8.德国BSIITBaselineProtectionManual