- 快捷搜索
- 全站搜索
安全基线规范是为了确保通信网络上的相关设备达到最基本的防护要求而制定的一系列达标基准,用来指导技术人员的日常操作:面对种类繁多的设备与系统,完成合规性的系统配置检查和修复费时费力,且对检查人员的技能和经验要求较高。使用能够辅助安全与自评估的高效、自动且标准化的配置核查工具很有必要。
在信息系统中建立完整可靠的安全基线技术体系需要对安全基线的建立、落实以及管理的过程进行规划。安全基线技术体系涉及面广、性质复杂,贯穿信息系统的全部生命周期,是一个复杂的系统工程,需要通过一种过程性控制方法来保障其有效性(控制过程如图1所示):
1.建立安全基线的前提
安全基线是一组正式的安全需求规格。需要经过以下确认程序:相关方分析一安全需求的确认一安全政策的确认。相关方分析是识别确定所有的安全相关者,相关方要保障安全需要描述的合理、清晰、确定和一致。安全需求包括安全需要、安全风险以及安全风险的应对策略和安全环境约束等。安全政策的确认要保障安全政策可有效地处置风险、满足安全需要。安全基线需要企业机构高层批准,从而在资源投入及执行力度方面得到保障。
2.定义安全基线
定义安全基线是指确定一组正式的安全需求,应覆盖所有的安全目标并符合所有相关的安全政策和法规等外部因素的限定。包括以下几方面。
(1)确定安全目标。安全目标是指使用目标系统内资产时的安全目标以及安全保护的程度。目标系统内的每一个可能向外传输的信息对象应基于这个目标制定相应的具体目标。
(2)确定安全基线涉及的方面。所有的安全目标必须有相应的安全基线保障。
(3)定义安全基线内容。安全基线需按类别逐条加以定义。每条安全基线应有目标系统范围内唯一的标识,作为配置管理库中的配置项标识。
(4)匹配安全基线与安全目标。安全基线构成后,应建立安全基线与安全目标的关系。可以通过匹配矩阵的形式来检查每个安全目标是由哪些安全基线保障的。针对每一个安全目标,检查安全基线是否覆盖了该目标的要求。当安全目标和安全基线数量较大时,可按类别用多个矩阵表示安全目标与安全基线的关系。
3.建立安全基线
信息系统安全基线是一个信息系统的最小安全保障,是该信息系统需要满足的基本安全要求。启明星辰在研究和业务安全相结合的安全基线规范体系基础上,参考国内外标准、规范,充分考虑了金融行业的现状和行业最佳实践,继承和吸收了国家等级保护、风险评估的经验成果,形成了一套基于业务系统的基线安全模型。
建立安全基线首先需要对业务系统进行识别和梳理,然后结合安全基线模型分析业务系统的功能架构,再将功能架构细化到系统层面的不同模块。在此基础匕,针对业务系统特性,分析可能存在的安全威胁,并将针对威胁的应对措施逐层分解。安全基线要求主要是由安全漏同方面、安全配置方面等检查项构成。(待续)
(文章来源:中国金融电脑)
ITIL是一套方法论,能为IT服务提供良好的指导思想,将工作中习惯的以技术为
农业银行高度重视信息化建设,近些年特别强化了安全生产工作,加强了IT运维