前言:尋找寫作靈感?中文期刊網(wǎng)用心挑選的管理模型中公安信息安全論文,希望能為您的閱讀和創(chuàng)作帶來靈感,歡迎大家閱讀并分享。
(一)采用系統(tǒng)的思想
網(wǎng)絡(luò)安全的建設(shè)是一個系統(tǒng)工程,它需要對影響信息系統(tǒng)安全的各種因素進行綜合考慮,同時需要對信息系統(tǒng)運行的全過程進行綜合分析,實現(xiàn)預警、防護、恢復等網(wǎng)絡(luò)安全的全過程環(huán)節(jié)的無縫銜接;另一方面要充分考慮技術(shù)、管理、人員等影響網(wǎng)絡(luò)安全的主要因素,實現(xiàn)技術(shù)、管理、人員的協(xié)同作戰(zhàn)。
(二)強調(diào)風險管理
基于風險管理,體現(xiàn)預防控制為主的思想,強調(diào)全過程和動態(tài)控制,確保信息的保密性、完整性和可用性,保持系統(tǒng)運作的持續(xù)性。
(三)動態(tài)的安全管理
公安信息網(wǎng)絡(luò)安全模型中的“動態(tài)”網(wǎng)絡(luò)安全有兩個含義:一是整個網(wǎng)絡(luò)的安全目標是動態(tài)的,而不再是傳統(tǒng)的、一旦部署完畢就固定不變的,從而支持部分或者全網(wǎng)范圍內(nèi)安全級別的動態(tài)調(diào)整;二是達到安全目標的手段、途徑必須能夠根據(jù)周邊/內(nèi)部環(huán)境的變化進行動態(tài)調(diào)整。
二、基于策略的動態(tài)安全管理模型的定義
基于上述指導思想,建立基于策略的動態(tài)安全管理模型,主要包括四類要素:人員、管理、策略、流程(技術(shù)產(chǎn)品)。安全策略確定后,需要根據(jù)組織切實的安全需要,以上述定義的安全策略為基礎(chǔ),將安全周期內(nèi)各個階段的、反映不同安全需求的防護手段和實施方法以一種利于連動的、協(xié)同的方式組織起來,提高系統(tǒng)的安全性。總的指導原則是:第一,防護是基礎(chǔ),是基本條件,它包含了對系統(tǒng)的靜態(tài)保護措施,是保護信息系統(tǒng)必須實現(xiàn)的部分。第二,檢測和預測是手段,是擴展條件,提供對系統(tǒng)的動態(tài)監(jiān)測措施,是保護信息系統(tǒng)須擴展實現(xiàn)的部分。第三,響應是目標,是進行安全控制和緩解入侵威脅的期望結(jié)果,反應了系統(tǒng)的安全控制力度,是保護信息系統(tǒng)須優(yōu)先實現(xiàn)的部分。這些不同的安全技術(shù)和產(chǎn)品按照統(tǒng)一的策略集成在一起,保持防護、監(jiān)測、預警、恢復的動態(tài)過程的無縫銜接,并隨著環(huán)境的變化而進行適當?shù)恼{(diào)整,這樣就能夠針對系統(tǒng)的薄弱環(huán)節(jié)有的放矢,有效防范,從而完善信息安全防護系統(tǒng)。
三、基于策略的動態(tài)安全管理模型的實施過程
在公安信息安全管理體系的建立、實施和改進的過程中引用PDCA(Plan-Do-Check-Act)模型,按照PDCA模型將信息安全管理體系分解成風險評估、安全設(shè)計與執(zhí)行、安全管理和再評估四個子過程。組織通過持續(xù)的執(zhí)行這些過程而使自身的信息安全水平得到不斷的提高。PDCA模型的主要過程如下:
(一)計劃(Plan)
計劃就是根據(jù)組織的業(yè)務目標與安全要求,在風險評估的基礎(chǔ)上,建立信息安全框架。包括下面三項主要工作:
1.明確安全目標,制定安全方針根據(jù)公安專用網(wǎng)絡(luò)信息安全需求及有關(guān)法律法規(guī)要求,制定信息安全方針、策略,通過風險評估建立控制目標與控制方式,包括公安系統(tǒng)工程必要的過程與持續(xù)性計劃。
2.定義信息安全管理的范圍信息安全管理范圍的確定需要重點確定信息安全管理的領(lǐng)域,公安信息安全管理部門需要根據(jù)公安系統(tǒng)工程的實際情況,在整個金盾工程規(guī)劃中或者各業(yè)務部門構(gòu)架信息安全管理框架。
3.明確管理職責成立相應的安全管理職能部門,明確管理職責,同時要對所有相關(guān)人員進行信息安全策略的培訓,對信息安全負有特殊責任的人員要進行特殊的培訓,以使信息安全方針真正植根于所有公安干警的腦海并落實到實際工作中。
(二)實施(Do)
實施過程就是按照所選定的控制目標與方式進行信息安全控制,即安全管理職能部門按照公安信息安全管理策略、程序、規(guī)章等規(guī)定的要求進行信息安全管理實施。在實施過程中,以公安信息安全管理策略為核心,監(jiān)測、安全保護措施、風險評估、補救組成一個循環(huán)鏈,其中信息安全管理策略是保證整個安全系統(tǒng)能夠動態(tài)、自適應運行的核心。
1.選擇安全策略根據(jù)公安業(yè)務目標、公安信息安全管理目標、公安信息安全管理指導方針選擇或制定信息安全策略。
2.部署安全策略對于高層策略,在此階段,首先應將各種全局的高層策略規(guī)范編譯成低級(基本)策略。根據(jù)底層的服務或是應用的要求將策略編譯成執(zhí)行組件可以理解的形式,針對特定類型的策略實施封裝具體實施策略所需的行為,封裝執(zhí)行策略所必需的實現(xiàn)代碼,這些代碼與底層實現(xiàn)有關(guān)。將策略分發(fā)并載入到相應的策略實施中,繼而可以對策略對象執(zhí)行啟用、禁用、卸載等策略操作。
3.執(zhí)行安全策略(1)監(jiān)測。對公安信息系統(tǒng)進行安全保護以后并不能完全消除信息安全風險,所以要定期地監(jiān)控整個信息系統(tǒng)以發(fā)現(xiàn)不正常的活動。(2)進行信息安全風險評估。風險評估主要對公安信息安全管理范圍內(nèi)的數(shù)據(jù)信息進行鑒定和估價,然后對數(shù)據(jù)信息面對的各種威脅進行評估,同時對已存在的或規(guī)劃的安全管理措施進行鑒定。(3)公安信息安全風險處置。根據(jù)風險評估的結(jié)果進行相應的風險處置,公安信息安全風險處置措施主要包括降低風險、避免風險、轉(zhuǎn)嫁風險、接受風險等,使得公安業(yè)務可以正常進行,并重新進行風險分析與評估,增加或更改原有的信息安全保護措施。在公安信息系統(tǒng)正常運行時,要定期地對系統(tǒng)進行備份。(4)根據(jù)公安信息安全策略調(diào)整控制安全措施。由于信息安全是一個動態(tài)的系統(tǒng)工程,安全管理職能部門應實時對選擇的管理目標和管理措施加以校驗和調(diào)整,以適應變化了的情況,使公安系統(tǒng)數(shù)據(jù)資源得到有效、經(jīng)濟、合理的保護。
(三)檢查(Check)
檢查就是根據(jù)安全目標、安全標準,審查變化中環(huán)境的風險水平,執(zhí)行內(nèi)部信息安全管理體系審計,報告安全管理的有效性,在實踐中檢查制定的安全目標是否合適、安全策略和控制手段是否能夠保證安全目標的實現(xiàn),系統(tǒng)還有哪些漏洞。
(四)改進(Action)
改進就是對信息安全管理體系實行改進,以適應環(huán)境的變化。改進內(nèi)容包括三部分:一是系統(tǒng)的安全目標、安全指導思想、安全管理制度、安全策略。二是安全技術(shù)手段的改進。隨著安全技術(shù)和安全產(chǎn)品的改進,系統(tǒng)的安全技術(shù)手段也要不定期地更換。但更換后的安全技術(shù)手段仍然要遵循相應的信息安全策略。三是對人員的改進。安全管理措施和手段改進后,要對民警要進行安全教育與培訓,并根據(jù)民警的不同角色為其制定不同的安全職責和年度信息安全計劃,并按照計劃進行工作,年底時要對安全計劃的執(zhí)行情況進行檢查。
四、結(jié)束語
基于策略的動態(tài)安全管理模型由人員、管理、策略、流程四部分組成。與原有的信息安全管理模型相比,新的信息安全管理模型體現(xiàn)了全過程管理、全要素管理、風險管理和動態(tài)管理的信息安全管理原則。實現(xiàn)了預警、防護、恢復等網(wǎng)絡(luò)安全的全過程環(huán)節(jié)的無縫銜接;實現(xiàn)了技術(shù)、管理、人員的協(xié)同作戰(zhàn);同時,信息安全策略的制定和安全保護措施的選擇建立在風險評估的基礎(chǔ)上,能及時適應信息環(huán)境和信息技術(shù)的變化,并對信息安全目標、安全策略和安全保護措施進行改善。公安信息安全管理策略在模型中的作用主要體現(xiàn)在兩個方面:首先是“承上啟下”。安全管理策略位于管理層和技術(shù)實施層之間,在落實管理人員和管理層制定的安全目標、安全指導方針、安全策略和制度時,先將這些抽象的內(nèi)容轉(zhuǎn)化為安全策略組合,再由具體的安全策略指導各種安全技術(shù)產(chǎn)品的工作。其次是“融合作用”。通過安全管理策略,把孤立的、分散在安全管理各個階段的安全技術(shù)、安全產(chǎn)品有機地融合起來,形成一整套完整的安全系統(tǒng),使公安信息系統(tǒng)安全的功能真正發(fā)揮出來。
作者:崔麗霜 單位:河北公安警察職業(yè)學院
