導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全總體規(guī)劃，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

去年5月9日，國務(wù)院就信息化和信息安全工作召開常務(wù)會議，會議審議通過了《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》 （國發(fā)23號）。這意味著在信息安全的頂層設(shè)計中更強調(diào)對關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)、政府信息系統(tǒng)以及對個人信息、企業(yè)信息，乃至信息資源的保護。與《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息處理安全保障工作的意見》（國發(fā)27號）文件相比，23號文件注入了新的政策設(shè)置，強調(diào)加強信息安全工作的頂層設(shè)計，并克服了這種誰主管、誰負責的局限性。

隨著今年國家級信息安全政策又密集出臺——8月，《國務(wù)院關(guān)于促進信息消費擴大內(nèi)需的若干意見》，隨后，國家發(fā)改委在網(wǎng)站又公布了《國家發(fā)展改革委辦公廳關(guān)于組織實施2013年國家信息安全專項有關(guān)事項的》通知，明確行業(yè)重點，信息安全頂層設(shè)計再度成為熱議話題，

那么，久為業(yè)界討論的信息安全頂層設(shè)計究竟究竟該如何成型？為此，本刊采訪了部分業(yè)內(nèi)專家，以饗讀者。

——國防大學(xué)戰(zhàn)略教研部 許蔓舒

隨著對網(wǎng)絡(luò)依賴度越來越高，網(wǎng)絡(luò)空間安全問題超越了專業(yè)技術(shù)層面，構(gòu)成直接影響國家安全的綜合挑戰(zhàn)。因此，我國網(wǎng)絡(luò)安全防護也迫切需要走出技術(shù)維護和配合的低層次運行水平，上升到統(tǒng)一籌劃、綜合防護的戰(zhàn)略高度。

首先，應(yīng)加快制定和頒布國家的網(wǎng)絡(luò)與信息安全戰(zhàn)略。趨勢表明，爭奪未來的焦點是戰(zhàn)略規(guī)劃之爭。誰能先知先覺、搶得先機，誰就有可能掌握戰(zhàn)略主動權(quán)。目前世界上已有40多個國家公開頒布國家級網(wǎng)絡(luò)空間安全戰(zhàn)略，并且隨著形勢的變化不斷出臺和調(diào)整相關(guān)政策。應(yīng)加快制定相關(guān)的國家安全戰(zhàn)略及其配套政策。

同時，把戰(zhàn)略管理的著力點放在“跨域融合”上。立足于國家安全和現(xiàn)代化建設(shè)的全局，平衡好利益沖突，融合好利益訴求，研究解決好信息化發(fā)展和管理中那些跨部門、跨領(lǐng)域、超越局部利益和短期利益的瓶頸問題。

其次，在提高自身信息系統(tǒng)防御水平方面，多采取四條措施：成立國家級的協(xié)調(diào)管理機構(gòu)；加大投入；加強立法，授權(quán)和擴大執(zhí)法部門的監(jiān)管；不斷更新技術(shù)手段。

——國家信息化專家咨詢委員會委員 曲成義

篇2

 

1現(xiàn)狀與問題

 

1.信息安全現(xiàn)狀

 

隨著信息化建設(shè)的推進，我校信息化建設(shè)初具規(guī)模，軟硬件設(shè)備配備完成，運行保障的基礎(chǔ)技術(shù)手段基本具備。網(wǎng)絡(luò)中心技術(shù)力量雄厚，承擔網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用支持的專業(yè)技術(shù)人員達20余人;針對重要應(yīng)用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護手段，保障了核心業(yè)務(wù)系統(tǒng)在一般情況下的正常運行，具備了基本的安全防護能力|6];日常運行管理規(guī)范，按照信息基礎(chǔ)設(shè)施運行操作流程和管理對象的不同，確定了網(wǎng)絡(luò)系統(tǒng)運行保障管理的角色和崗位，初步建立了問題處理的應(yīng)急響應(yīng)機制。由網(wǎng)絡(luò)中心進行日常管理的主要有六大業(yè)務(wù)應(yīng)用系統(tǒng)，即網(wǎng)絡(luò)通信平臺、認證計費系統(tǒng)、校園一卡通、電子校務(wù)系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)。

 

網(wǎng)絡(luò)通信平臺是大學(xué)各大業(yè)務(wù)平臺的基礎(chǔ)核心，是整個校園網(wǎng)的基礎(chǔ)，其他應(yīng)用系統(tǒng)都運行在高校的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上;認證計費系統(tǒng)是針對用戶接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認證計費的管理方式;校園一卡通系統(tǒng)建設(shè)在物理專網(wǎng)上，主要實現(xiàn)學(xué)生校園卡消費管理，校園卡與大學(xué)網(wǎng)絡(luò)有3個物理接口;電子校務(wù)系統(tǒng)是大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng)，系統(tǒng)中存儲著重要的教務(wù)工作數(shù)據(jù)、學(xué)生考試信息、財務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息;大學(xué)主頁網(wǎng)站系統(tǒng)為大學(xué)校園的互聯(lián)網(wǎng)窗口起到學(xué)校對外介紹宣傳的功能;郵件系統(tǒng)主要為大學(xué)教師與學(xué)生提供郵件收發(fā)服務(wù)，目前郵件系統(tǒng)注冊用1.2面臨的主要問題

 

通過等級保護差距分析和風險評估，目前大學(xué)所面臨的信息安全風險和主要問題如下：

 

(1)高校領(lǐng)域沒有總體安全標準指引，方向不明確，缺少主線。

 

(2)對國際國內(nèi)信息安全法律法規(guī)缺乏深刻意識和認識。

 

(3)信息安全機構(gòu)不完善，缺乏總體安全方針與策略，職責不夠明確。

 

(4)教職員工和學(xué)生數(shù)量龐大，管理復(fù)雜，人員安全意識相對薄弱，日常安全問題多。

 

()建設(shè)投資和投入有限，運維和管理人員的信息安全專業(yè)能力有待提高。

 

(6)內(nèi)部管理相對松散，缺乏安全監(jiān)管及檢查機制，無法有效整體管控。

 

(7)缺乏信息安全總體規(guī)劃，難以全面提升管理

 

(8)缺乏監(jiān)控、預(yù)警、響應(yīng)、恢復(fù)的集中運行管理手段，無法提高安全運維能力。

 

2建設(shè)思路

 

2.1建設(shè)原則和工作路線

 

學(xué)校信息安全建設(shè)的總體原則是:總體規(guī)劃、適度防護，分級分域、強化控制，保障核心、提升管理，支撐應(yīng)用、規(guī)范運維。

 

依據(jù)這一總體原則，我們的信息安全體系建設(shè)工作以風險評估為起點，以安全體系為核心，通過對安全工作生命周期的理解從風險評估、安全體系規(guī)劃著手，并以解決方案和策略設(shè)計落實安全體系的各個環(huán)節(jié)，在建設(shè)過程中逐步完善安全體系，以安全體系運行維護和管理的過程等全面滿足安全工作各個層面的安全需求，最終達到全面、持續(xù)、突出重點的安全保障。

 

2.2體系框架

 

信息安全體系框架依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》GBT22239-2008、《信息系統(tǒng)等級保護安全建設(shè)技術(shù)方案設(shè)計要求》(征求意見稿)，并吸納了IATF模型[7]中“深度防護戰(zhàn)略，，理論，強調(diào)安全策略、安全技術(shù)、安全組織和安全運行4個核心原則，重點關(guān)注計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等多個層次的安全防護，構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系，并通過安全運維服務(wù)和itsm[8]集中運維管理(基于IT服務(wù)管理標準的最佳實踐)，形成了集風險評估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預(yù)警、應(yīng)急響應(yīng)、系統(tǒng)恢復(fù)、安全審計和違規(guī)取證于一體的安全運維體系架構(gòu)(見圖2)，從而實現(xiàn)并覆蓋了等級保護基本要求中對網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全的防護要求，以滿足信息系統(tǒng)全方位的安全保護需求。

 

(1)安全策略：明確信息安全工作目的、信息安全建設(shè)目標、信息安全管理目標等，是信息安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。

 

(2)安全組織：是信息安全體系框架中最重要的

 

各級組織間的工作職責，覆蓋安全管理制度、安全管理機構(gòu)和人員安全管理3個部分。

 

(3)安全運行：是信息安全體系框架中最重要的安全管理策略之一，是維持信息系統(tǒng)持續(xù)運行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應(yīng)用過程和人員的操作執(zhí)行，該部分以國家等級保護制度為依據(jù)，覆蓋系統(tǒng)建設(shè)管理、系統(tǒng)運維管理2個部分。

 

(4)安全技術(shù):是從技術(shù)角度出發(fā)，落實學(xué)校組織機構(gòu)的總體安全策略及管理的具體技術(shù)措施的實現(xiàn)，是對各個防護對象進行有效地技術(shù)措施保護。安全技術(shù)注重信息系統(tǒng)執(zhí)行的安全控制，針對未授權(quán)的訪問或誤用提供自動保護，發(fā)現(xiàn)違背安全策略的行為，并滿足應(yīng)用程序和數(shù)據(jù)的安全需求。安全技術(shù)包含通信網(wǎng)絡(luò)、計算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺。該部分以國家等級保護制度為依據(jù)，覆蓋物理層、網(wǎng)絡(luò)層、主機層、應(yīng)用層和數(shù)據(jù)層5個部分。

 

()安全運維:安全運維服務(wù)體系架構(gòu)共分兩層，實現(xiàn)人員、技術(shù)、流程三者的完美整合，通過基于ITIL[9]的運維管理方法，保障基礎(chǔ)設(shè)施和生產(chǎn)環(huán)境的正常運轉(zhuǎn)，提升業(yè)務(wù)的可持續(xù)性，從而也體現(xiàn)了安全運3重點建設(shè)工作

 

3.1安全滲透測試

 

2009年4月，學(xué)校對38個網(wǎng)站、2個關(guān)鍵系統(tǒng)和6臺主機系統(tǒng)進行遠程滲透測評。通過測評，全面、完整地了解了當前系統(tǒng)的安全狀況，發(fā)現(xiàn)了20個高危漏洞，并針對高危漏洞分析了系統(tǒng)所面臨的各種風險，根據(jù)測評結(jié)果發(fā)現(xiàn)被測系統(tǒng)存在的安全隱患。滲透測試主要任務(wù)包括:收集網(wǎng)站信息、網(wǎng)站威脅分析、脆弱性分析和滲透入侵測評、提升權(quán)限測評、獲取代碼、滲透測評報告。

 

3.2風險評估和安全加固

 

2009年5月，依據(jù)安全滲透測試結(jié)果，對大學(xué)的六大信息系統(tǒng)進行了安全測評。根據(jù)評估結(jié)果得出系統(tǒng)存在的安全問題，并對嚴重的問題提出相應(yīng)的風險控制策略。主要工作任務(wù)包括:系統(tǒng)調(diào)研、方案編寫、現(xiàn)場檢測、資產(chǎn)分析、威脅分析、脆弱性分析和風險分析。通過風險評估最終得出了威脅的數(shù)量和等級，表1、表2為威脅的數(shù)量和等級統(tǒng)計。2009年6月和9月，基于風險評估結(jié)果，對涉及到的網(wǎng)絡(luò)設(shè)備(4臺)和主機設(shè)備(14臺)進行了安全加固工作。

 

3.3安全體系規(guī)劃

 

根據(jù)前期對全校的網(wǎng)絡(luò)、重要信息系統(tǒng)及管理層面的全面評估和了解整理出符合大學(xué)實際的安全需求，并結(jié)合實際業(yè)務(wù)要求，對學(xué)校整體信息系統(tǒng)的安全工作進行規(guī)劃和設(shè)計，并通過未來3年的逐步安全建設(shè)，滿足學(xué)校的信息安全目標及國家相關(guān)政策和標準學(xué)校依據(jù)國際國內(nèi)規(guī)范及標準，參考業(yè)界的最佳實踐ISMS[10](信息安全管理體系)，結(jié)合我校目前的實際情況，制定了一套完整、科學(xué)、實際的信息安全管理體系，制定并描述了網(wǎng)絡(luò)與信息安全管理必須遵守的基本原則和要求。

 

通過信息安全管理體系的建立，使學(xué)校的組織結(jié)構(gòu)布局更加合理，人員安全意識也明顯提高，從而保證了網(wǎng)絡(luò)暢通和業(yè)務(wù)正常運行，提高了IT服務(wù)質(zhì)量。通過制度、流程、標準及規(guī)范，加強了日常安全工作執(zhí)行能力，提高了信息安全保障水平。

 

4未來展望和下一步工作

 

4.1安全防護體系

 

根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)各節(jié)點的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用以及安全等級的需求，可以考慮使用邏輯隔離技術(shù)(VLAN或防火墻技術(shù))將整個學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為3個層次的安全域：第一層次安全域包括整個學(xué)校網(wǎng)絡(luò)信息系統(tǒng);第二層次安全域?qū)⒏鲬?yīng)用系統(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應(yīng)用系統(tǒng)內(nèi)部根據(jù)應(yīng)用人群的終端分布、部門等劃分子網(wǎng)或子系統(tǒng)。

 

公鑰基礎(chǔ)設(shè)施包括：CA安全區(qū)：主要承載CAServer、主從LDAP、數(shù)據(jù)庫、加密機、OCSP等;KMC管理區(qū):主要承載KMCServer、加密機等;RA注冊區(qū):主要承載各院所的RA注冊服務(wù)器，為各院所的師生管理提供數(shù)字證書注冊服務(wù)。

 

應(yīng)用安全支撐平臺為各信息系統(tǒng)提供應(yīng)用支撐服務(wù)、安全支撐服務(wù)以及安全管理策略，使得信息系統(tǒng)建立在一個穩(wěn)定和高效的應(yīng)用框架上，封裝復(fù)雜的業(yè)務(wù)支撐服務(wù)、基礎(chǔ)安全服務(wù)、管理服務(wù)，并平滑支持業(yè)務(wù)系統(tǒng)的擴展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認證、統(tǒng)一訪問授權(quán)、統(tǒng)一審計管理、數(shù)據(jù)安全引擎、單點登錄等功能。

 

4.2安全運維體系

 

ITSM集中運維管理解決方案面對學(xué)校日益復(fù)雜的IT環(huán)境，整合以往對各類設(shè)備、服務(wù)器、終端和業(yè)務(wù)系統(tǒng)等的分割管理，實現(xiàn)了對IT系統(tǒng)的集中、統(tǒng)一、全面的監(jiān)控與管理;系統(tǒng)通過融入ITIL等運維管理理念，達到了技術(shù)、功能、服務(wù)三方面的完全整合，實現(xiàn)了IT服務(wù)支持過程的標準化、流程化、規(guī)范化，極大地提高了故障應(yīng)急處理能力，提升了信息部門的管理效率和服務(wù)水平。

 

根據(jù)終端安全的需求，系統(tǒng)應(yīng)建設(shè)一套完整的技術(shù)平臺，以實現(xiàn)由管理員根據(jù)管理制度來制定各種詳盡的安全管理策略，對網(wǎng)內(nèi)所有終端計算機上的軟硬件資源、以及計算機上的操作行為進行有效管理。實現(xiàn)將以網(wǎng)絡(luò)為中心的分散管理變?yōu)橐杂脩魹橹行募胁呗怨芾?對終端用戶安全接入策略統(tǒng)一管理、終端用戶安全策略的強制實施、終端用戶安全狀態(tài)的集中審計;對用戶事前身份和安全級別的認證、事中安全狀態(tài)定期安全檢測，內(nèi)容包括定期的安全風險評估、安全加固、安全應(yīng)急響應(yīng)和安全巡檢。

 

4.3安全審計體系