系统安全的维护,建议从制度和系统本身建设(如果是建设阶段的信息系统)两个方面来进行,一个是的信息系统管理制度的制定,可以找有经验的外包协助制度的完善,单位内部也要致力于规范的落实,二是信息系统的建设,信息系统建设的软硬件的采购,运维人员日常的维护,包括使用的运维管理系统,桌面管理系统,为信息系统的安全提供软件层面的保障,信息系统管理制度的落实提供人员维护方面的保障。 像这方面的厂家有挺多的,之前有了解一家做ITmaster系统的上海公司
信息安全建设是信息化建设过程中的一个重要组成部分,随着IT建设的逐步完善与深入,很多企业和政府部门纷纷部署了很多的基础安全设施,如防火墙、防病毒、入侵检测系统等,甚至有很多企业还制定了安全制度和管理流程。
即使这样,如下安全问题依然摆在了很多企业面前:安全设备部署了很多,安全制度流程也建立了,但从整体角度看,仍然是各自为战,仿佛信息安全问题只是IT部门的事情,与其他人无关,这就使得无法形成整体有效的安全防护;一边是业务应用越来越复杂,一边是安全设备和制度不断增加,如果安全设备和制度做多了,业务部门抱怨太繁琐,但如果不做这么多,又怕出现安全问题,左右为难。
那么,出现这些问题的根源是什么呢?我们早就知道,建设安全系统不仅仅是技术问题,也是管理问题。而信息安全服务的主要目标就是更好的支撑IT应用系统的效果和效率,也就是说,信息安全的主要目的是通过信息安全管理体系、技术体系以及运维体系的综合有效建设,让IT应用系统能够达到更好的运营效果以及更高的效率。而如何综合而有效的建立信息安全保障体系,成为了摆在每个企业面前的课题。
合规是重中之重
信息安全标准是确保信息安全产品和系统在设计、研发、生产、建设、使用和测评过程中保持一致性、可靠性、可控性、先进性和符合性的技术规范和依据,其不仅关系到国家的信息安全,也是保护国家利益、促进产业发展的一种重要手段,同时更是信息安全保障体系中的重要组成部分,是政府进行宏观管理的重要依据。
我国在这方面虽然起步较晚,但也制定了一批符合中国国情的信息安全标准,同时在一些重点行业还颁布了一批信息安全的行业标准,尤其是国家等级保护制度和分级保护制度是我国在进行信息安全保障体系建设中的重要依据。
因此,企业只有在信息安全保障体系建设过程中依据相关标准进行合规性分析,通过安全风险评估,然后比对相关标准中所涉及的技术要求、管理要求、测评要求,才能明确得出建设的方向和重点,了解目前系统中存在的问题和改进的方法,同时明确在管理、部署和运维过程中信息安全管理的相关制度、流程和需要持续改进的目标。
此外,相关标准还为企业明确了进行信息安全保障体系建设的方法,只有遵循这种方法才能做到“有法可依、有章可循”。
安全咨询是桥梁
前面提到,信息安全建设的主要目的是让IT应用系统能够达到更好的运行效果,并提高系统的运行效率,也就是说,要让信息安全保障体系成为IT应用系统的有效支撑。然而,不同政府或企业的具体业务环境和流程各不相同,所以也不是每个政府或企业都可以使用一个统一的模板。不同的组织在建立与完善信息安全保障体系时,必须根据自己的业务特点和具体情况以及IT应用的实际情况,采取不同的步骤和方法。此外,还要注意,信息安全不仅涉及安全管理和技术层面的问题,还会涉及到治理机制、业务流程、人员管理、企业文化等内容。
这就使得,企业要运用风险的方法来决定信息安全体系建设的目标和步骤。这个过程实际上是需要专业资深的安全服务人员对目标的业务特点、IT应用实际情况和具体管理方式进行现场调研、符合性分析、相关的风险评估等 *** 作的,尤其是对关键业务应用的深入了解和分析,只有这样才能与标准比对形成安全基线和框架参考。
而且,在建设过程中,还要不断与相关负责人(决策人员、安全管理员、网络安全维护人员)进行深入沟通,以便发现安全隐患、找出关注重点,并提出有效的策略建议,最终才能运用风险的方法来决定体系建设的目标和步骤,并一步一步实施完成。通过这一点我们不难看出,信息安全咨询贯穿于整个信息安全体系建设的过程中,是联系实际需求和建设目标的桥梁。
实际落地是关键
信息安全技术体系是利用技术手段实现了技术层面的安全保护,是整个信息安全保障体系中非常重要的一部分。很多政府和企业都部署过一些技术防护手段,但这些防护手段是不是符合相关标准和关键业务的需求,是不是把风险控制到了一个可控的水平,我们就不得而知了。
因此,在信息安全保障体系建立过程中,一定要依照标准来选择技术防护手段,同时实现技术手段的落地是关键。而要实现技术手段的落地,就要兼顾以下几点:选择的技术产品要满足政府或企业实际环境、IT应用和管理流程制度等客观条件;选择的技术产品要具有易维护、管理简便的特点,并要能够保持先进性;选择的技术产品要能够满足应用变化的需要,并适应技术的不断发展。即保障可用性、适用性和持续性。
安全意识是必须
在很多政府部门和企业中普遍存在这样一个问题,仿佛信息安全只是IT部门的事情,其他业务部门大多采取了“事不关己,高高挂起”的态度,这势必会造成安全天天喊,但是总没有明显效果的局面。
可以说,建设信息安全保障体系是企业内的一次“安全革命”,通过培训,不仅仅要让每个人都提高对安全事件处理的管理水平和技术水平,更重要的是让每个人都拥有“信息安全人人有责”的意识。
同时,这场“安全革命”给企业带来了新的知识和管理模式,企业必须通过培训将整个信息安全保障体系的相关知识转移到每位员工身上,让他们对整个体系逐步达到从接受到适应,再到最终掌握。只有这样才能让整个信息安全保障体系真正应用起来,并真正起到效果。
运维平台是手段
在IT产品的整个生命周期中,运营阶段占到了整个时间和成本的70%到80%,以往我们说“三分技术、七分管理”是突出管理的重要性,而这个“管理”也是将大部分的精力花在了“运营”方面。目前,很多政府部门和企业都是采用了人工运维,并没有一个平台能够将运维流程和技术手段真正统一起来。
综合运维安全管理平台就是一个集中安全策略管理、安全风险管理、安全知识管理、安全运营管理(关注流程和质量)、安全产品管理于一体的统一安全管理平台。从技术实现上,这个统一的安全管理平台不仅仅像SOC/SIM那样关注安全事件以及安全产品状态的收集和监控,而且是一个面向服务架构的平台,并能从根本上实现各种安全产品和技术以及安全管理的集成化和自动化。
我们总是在努力保障服务器、路由器和switch的正常运转,而用户却总在抱怨系统的可靠性太差。一旦系统出现故障,用户们就会把帮助席位的电话打爆了。而且每一次系统出现故障,他们都会责备系统维护人员。等到高级管理人员最终来到的时候,由于他们也同样经受了系统故障带来的痛苦,他们会站在用户一边。当这些问题如潮我的客户是一家中型(大约有3000或者左右的节点)公司,它在20个州和4个国家有办事机构。它邀请我作在的公司帮助他们解决反复出现、困扰着他们的“可靠性”问题。他们期望我们能到他们的环境中去,并为他们的问题提供特别的技术和服务方案。我们公司派了一个比较小的团队进行这一个项目,我是其中的一个低级别成员。经过两个星期的评估,我们发现了一些非常显见的问题。服务器维护人员把MS Exchange和MS SQL Server安装在卫星办公室的同一个磁盘阵列。网络小组在对路由器做规划的时候非常奇怪地忽略了国外的办公室。有三个用户总是飞来飞去,他们总是处在安全域之外;他们帐户故障的频率比其他用户高出两个量级。我们建议采用磁盘阵列来解决由双任务服务器所引起的磁盘连接问题,避免在欧洲办公室的工作时间安排关机,培训那些问题多的用户。客户非常感激我们,并安排了六个月的试用来验证这样做的效果。我们满怀期望,希望可靠性的问题解决了。从技术角度说,确实如此。可是用户的IT部门的人员却不太情愿采用我们的建议方案。设备正常运行的时间显示我们的方法还是达到了预期的效果。服务器不再按照一定的周期出故障。通往欧洲的连接始终状态良好。帐号故障率下降了80%经过两个星期的工作,我们有如下发现:用户觉得只有他们不能完成工作时,他们的问题才受到重视。因此,当他们希望能够立刻得到重视,他们就会宣称当时遇到的问题妨碍他们完成工作。所有被标志着“妨碍工作”的问题都会被当作是可靠性的问题。IT小组的成员则认为任何没有造成系统重启的错误都不能够算做一个失败,因为他们的奖金是按照是否能够建设一个零故障的环境来计算的。一台不需要重启以重新提供服务的服务器永远“没有故障”,虽然它不能为客户提供服务。执行者认为经过这些基础分析,我们完成了我们的工作。可是我的导师不这样认为。他准备了一份报告,上面论述了该公司因为测试如下三种完全不同的事情,并试图把它们放在一起对照比较,所以自己造成了无穷无尽的问题:用户感觉可靠性,这包括服务访问能力、培训、可用性、企业文化、不同项目产生的行政辐射,本地和集中支持产生的人的冲突。对于设备正常运行时间的技术考核没有考虑到它的可用性。考核系统正常运行时间是很好的第一步,但并不是考核可靠性的首要而全部的指标。管理信息系统认为所有的报告者都对于基本信息有同等的了解。这就造成了模糊的数据。这些数据会引导管理人员做出错误的决定,比如采用技术的方案来解决流程或沟通的问题。为了解决这些问题,避免重复的电话,我们的小组建议IT人员和管理人员在他们最初的数据分析上采取更多积极的行动。为了摆脱对通用报告的依赖,我们设计了四种基本的调查工具,这样客户就可以对用户进行调查,对遇见的问题按照实际种类进行分类。最后一个调查工具为企业IT部门赢得未来的胜利提供了有力的帮助。通过迫使企业内部员工和管理团队把故障时间和用户问题报告相关联,他们发现了很多潜在的问题。更重要的是,它迫使企业开始了解用户的需求,而不仅仅是选择一个技术方案,并把它强加给用户。(
以上就是关于IT网络安全人员应该怎么保证系统安全全部的内容,包括:IT网络安全人员应该怎么保证系统安全、信息安全的保障体系【如何构建信息安全保障体系】、如何正确认识IT系统的可靠性等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)