本发明专利技术提供了一种能够使正确的用户在正确的时间访问鳌正确的数据的大规模网络的安全防护方法,包括如下:(1)建立策略体系;(2)建立安全管理体系,所述安全管理体系包括组织机构管理、人员安全管理和建设管理;(3)建立安全运维体系;(4)建立安全技术体系,包括为信息系统的安全管理人员提供信息支持,为综合管理、风险分析、测试评估、态势感知、预警响应提供技术支持,为系统配置、信息采集提供技术支持。本发明专利技术的一种大规模网络的安全防护方法,能够使正确的用户在正确的时间访问到正确的数据,在信息系统层面定义了需要支持业务运行的安全能力和需要提供的功能,最终为在辨别、选择、获取、设计、实施、部署、运营安全防护系统的决策提供依据。
【技术实现步骤摘要】
本专利技术涉及一种网络安全防护方法,尤其是。
技术介绍
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于依托计算机网络的信息系统而言,其网上信息的安全和保密尤为重要,必须配置足够强的安全措施。 信息系统的安全风险主要来源于系统自身的脆弱性及其所面临的各种威胁,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁:安全威胁利用系统自身的脆弱性使得信息或信息系统受到破坏,物理基础的支持能力下降或丧失,包括电力供应不足或中断、电压波动、自然灾难、人为的基础设施破坏等也是信息系统面临的安全风险。信息系统的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。 目前信息安全建设面临着大量的供应商所提供的各种各样的技术可以实现各种复杂的安全控制措施。而各种异构的解决方案的重复建设和低效率将成为安全架构需着手解决的问题。 所谓的安全体系是指在此体系框架下,系统能够使正确的用户在正确的时间访问到正确的数据,在信息系统层面定义了需要支持业务运行的安全能力和需要提供的功能,最终为在辨别、选择、获取、设计、实施、部署、运营安全防护系统的决策提供依据。
技术实现思路
本专利技术提供了一种能够使正确的用户在正确的时间访问鳌正确的数据的大规模网络的安全防护方法。 实现本专利技术目的的,包括如下: (I)建立策略体系 所述建立策略提下包括建立信息系统安全防护工作的总体方针、策略、规范安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程; (2)建立安全管理体系 所述安全管理体系包括组织机构管理、人员安全管理和建设管理; 所述组织结构管理包括对组织机构内的重要信息安全工作进行授权和审批,对内部相关业务部门和安全管理部门之间的沟通协调,与机构外部各类单位的合作,定期对系统的安全措施落实情况进行检查,对检查中发现的问题进行整改等流程; 所述人员安全管理包括,对内部人员的安全管理和对外部人员的安全管理; 所述建设管理包括需求分析、风险评估、安全方案设计、产品选型、产品采购和使用、工程实施、测试验收、系统交付; (3)建立安全运维体系 所述安全运维体系包括通过制订和完善各种流程,制订阶段性工作计划,开展信息安全风险评估,规范产品与服务采购流程,同时坚持做好日常维护管理、应急计划和事件响应等方面的工作,以保证安全管理措施和安全技术措施的有效执行; (4)建立安全技术体系 所述安全技术体系包括为信息系统的安全管理人员提供信息支持,为综合管理、风险分析、测试评估、态势感知、预警响应提供技术支持,为系统配置、信息采集提供技术支持。 所述操作规程包括物理安全、网络安全、系统安全、应用安全、安全管理、人员组织、事件管理和资产管理等类型的标准和规范。 所述组织结构管理还包括执勤保障,完成各种网络以及各类信息系统安全防护系统的日常维护、值班执勤、演习演练保障以及安全防护,执行安全管理制度,监控安全设备的运行情况,检测网络的安全状态,修改网络安全策略。 所述组织结构管理还包括技术支持服务,提供安全防护基础设施的技术支持、进行有效的应急响应服务以及开展相关技术研究等职能。 所述对外部人员的安全管理包括外部人员的审查、登记和访问管理。 所述对内部人员的安全管理包括信息安全专业人员的录用、离岗、培训和考核,以及对非安全专业人员的安全意识教育和培养。 本专利技术的的有益效果如下: 本专利技术的,能够使正确的用户在正确的时间访问到正确的数据,在信息系统层面定义了需要支持业务运行的安全能力和需要提供的功能,最终为在辨别、选择、获取、设计、实施、部署、运营安全防护系统的决策提供依据。 【具体实施方式】 实施例1 本实施例的,包括如下: (I)建立策略体系 所述建立策略提下包括建立信息系统安全防护工作的总体方针、策略、规范安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程; 策略体系是安全管理体系的最高指导方针,为信息系统提供安全管理的方向,明确了信息安全工作总体目标,对技术和管理各方面的安全工作具有通用指导性,通过确立明确的政策方向,并且通过在相关组织机构中应用和采用该安全政策,可以有效地支持信息系统中信息的安全性。 信息安全政策与标准是信息安全管理、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定,是安全意识培养的内容来源,是组织管理控制和审计的依据,是技术方案必须遵从的基础要求。安全策略既包括国家和军队信息安全战略的方针政策、法律法规、管理制度以及技术标准规范等,包括管理标准、技术标准、工作标准,又包括系统运行所依托的准则,包括系统防护策略等,覆盖信息安全工作的各个方面,对管理、技术、运维体系中的各种安全控制措施和机制的部署提出目标和原则。 (2)建立安全管理体系 安全管理体系是信息系统安全保障体系的重要组成部分,如果没有完善的配套管理体系,无论如何完美的网络安全防护技术方案也无法充分发挥其优势。 所述安全管理体系包括组织机构管理、人员安全管理和建设管理; 所述组织结构管理包括对组织机构内的重要信息安全工作进行授权和审批,对内部相关业务部门和安全管理部门之间的沟通协调,与机构外部各类单位的合作,定期对系统的安全措施落实情况进行检查,对检查中发现的问题进行整改等流程; 所述人员安全管理包括,对内部人员的安全管理和对外部人员的安全管理; 通过组织和参与各种类型的安全培训,提高安全设计、安全管理维护人员和普通系统用户等内部人员的安全意识和安全技能,提高全行业的信息安全意识和人员的安全防护能力,形成一支过硬的信息安全人才队伍。对于设计人员,应根据系统危险性分析和使用危险性分析的结果,制定相应的安全性培训计划,使设计人员掌握必要的安全性设计知识,了解系统危险分析过程及结果,以及应采取的安全性措施,使设计人员熟练掌握设备的安全系统设计与管理方法;对于安全管理维护人员,按照安全性规程制订培训计划并进行培训,使其了解安全性措施,并熟练掌握设备的安全操作使用规程及故障排除方法;针对普通系统用户,应采用适当的方式对其进行安全意识和必要的操作方法培训,提高其执行各种安全管理制度和使用系统中所部署的各种安全手段的自觉性和主动性。 所述建设管理包括需求分析、风险评估、安全方案设计、产品选型、产品采购和使用、工程实施、测试验收、系统交付; (3)建立安全运维体系 安全运维体系是对安全防护系统运行过程中涉及的相关事务进行管理和控制,其核心是将管理体系中的要求在技术体系中得以有效落实,运维体系是信息安全的重点,也是整个体系建设中的难点。 为了确保安全装备运行管理常态化、规范化,建立巡视检查标准,结合信息系统的实际需求,梳理运维服务管理需求,通过环境管理、资产管理、介质管理、设备管理、监控管理、网络管理、系统管理、服务管理、检查测试管理、备份与恢复管理、事件处置流程管理、预案管理、变更管理、安全事件管理等行本文档来自技高网...
【技术保护点】
一种大规模网络的安全防护方法,包括如下:(1)建立策略体系所述建立策略提下包括建立信息系统安全防护工作的总体方针、策略、规范安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程;(2)建立安全管理体系所述安全管理体系包括组织机构管理、人员安全管理和建设管理;所述组织结构管理包括对组织机构内的重要信息安全工作进行授权和审批,对内部相关业务部门和安全管理部门之间的沟通协调,与机构外部各类单位的合作,定期对系统的安全措施落实情况进行检查,对检查中发现的问题进行整改等流程;所述人员安全管理包括,对内部人员的安全管理和对外部人员的安全管理;所述建设管理包括需求分析、风险评估、安全方案设计、产品选型、产品采购和使用、工程实施、测试验收、系统交付;(3)建立安全运维体系所述安全运维体系包括通过制订和完善各种流程,制订阶段性工作计划,开展信息安全风险评估,规范产品与服务采购流程,同时坚持做好日常维护管理、应急计划和事件响应等方面的工作,以保证安全管理措施和安全技术措施的有效执行;(4)建立安全技术体系所述安全技术体系包括为信息系统的安全管理人员提供信息支持,为综合管理、风险分析、测试评估、态势感知、预警响应提供技术支持,为系统配置、信息采集提供技术支持。...
【技术特征摘要】
1.一种大规模网络的安全防护方法,包括如下: (1)建立策略体系 所述建立策略提下包括建立信息系统安全防护工作的总体方针、策略、规范安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程; (2)建立安全管理体系 所述安全管理体系包括组织机构管理、人员安全管理和建设管理; 所述组织结构管理包括对组织机构内的重要信息安全工作进行授权和审批,对内部相关业务部门和安全管理部门之间的沟通协调,与机构外部各类单位的合作,定期对系统的安全措施落实情况进行检查,对检查中发现的问题进行整改等流程; 所述人员安全管理包括,对内部人员的安全管理和对外部人员的安全管理; 所述建设管理包括需求分析、风险评估、安全方案设计、产品选型、产品采购和使用、工程实施、测试验收、系统交付; (3)建立安全运维体系 所述安全运维体系包括通过制订和完善各种流程,制订阶段性工作计划,开展信息安全风险评估,规范产品与服务采购流程,同时坚持做好日常维护管理、应急计划和事件响应等方面的工作,以保证安全管理措施和安全技术措施的有效执行; (4)建立安全技术体系 所述安全技术体系包括为信息系统的安全管理人员提供信息支持,为综合管...
【专利技术属性】
技术研发人员:马琳,刘福强,
申请(专利权)人:中国人民解放军九一六五五部队,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。