规划整网信息安全体系

资源类型:pdf 资源大小:10.00KB 文档分类:经济 上传者:董筱昀

文档信息

【作者】 张程 

【出版日期】2006-10-05

【刊名】软件世界

全文阅读

就像建造一座大厦需要事先设计蓝图一样,进行信息安全建设,也需要有一个实施依据,这就是整体上考虑的信息安全体系。信息安全要做成什么“模样”?信息安全建设应该考虑到哪些方面?到底什么才是全面而完整的信息安全?这些问题都需要通过安全体系的设计来回答。只有在整体的安全体系指导下,信息安全建设所需的技术、产品、人员和操作等材料才能真正发挥各自的效力。设计安全体系的目的是指导信息安全建设工作,包括确定安全建设的目标、制定和实施安全解决方案、检验安全实施效果等,基于这样的认识,我们可以得出这样的结论:一个真正适合信息安全现实发展状况的安全体系,绝不应该是将需求、过程和结果融为一体的大而全的东西,而只是一种能够清晰描述信息安全目标形态和构成要素的模型或者框架,在这个模型或框架中,信息安全的特点能够得以展现,技术和管理的关系也应该清晰明了。至于如何构建这样的体系(过程和方法),则应该通过其他途径来描述,比如完善的安全工程和服务体系。在当今的信息安全标准体系中,P-POT-PDRR模型(简称为PPP模型)正是这样一种新的安全体系模型。这是一个将IATF核心思想与PDRR基本形态结合在一起的安全体系模型,符合人们对信息安全体系设计的基本要求。P-POT-PDRR,即Policy(策略)、People(人)、Operation(操作)、Technology(技术)、Protection(保护)、Detection(检测)、Response(响应)和Recover(y恢复)的首字母缩写。其中单个环节所代表的意义与PDRR模型和IATF中的相同,但正是因为将这些环节分布到安全体系的不同层次,体系模型所代表的整体意义就有了很大变化。P-POT-PDRR分为三个层次,最核心的部分就是安全策略,安全策略在整个安全体系的设计、实施、维护和改进过程中都起着重要的指导作用,是一切信息安全实践活动的方针和指南,这和P2DR、PDRR是一致的。模型的中间层次体现了信息安全的三个基本要素,即人员、技术和操作,这构成了整个安全体系的骨架,从本质上讲,安全策略的全部内容就是对这三个要素的阐述。毋庸置疑的是,在构成信息安全的三个要素中,人是起着决定性作用的。当然,这里所说的人是个宽泛的概念,不单指组织的个人,还包括其组织架构、角色和责任、意识和培训、人员管理等方面的内容。技术要素,除了包括ISO7498-2体系中定义的各种静态防护技术外,还包括检测、响应和恢复环节所必须依托的各种技术手段,当然,对这些技术内容的管理也是很重要的。按照P-POT-PDRR模型的定义,人员、操作和技术三个要素所包含的内容完整地构成了实现信息安全目标所需的四项功能(或者服务),具体的实现方式,可以是技术产品,也可以是管理过程和操作流程。需要注意的是,无论是人员管理,还是技术管理和操作管理,都应该建立起完备的文档化体系,一方面让安全活动有所依据,另一方面也便于追溯和审查,这和BS7799标准所要求的建立文档化ISMS的思想是一致的。规划整网信息安全体系@张程

1

问答

我要提问