网络保障论文：网络保障机制的组建措施探索

作者：刘琳单位：厦门医学高等专科学校

认识网络安全保障体系

1而目前，随着互联网和网络技术的发展，对于政府或企业的信息系统来讲，更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系，来有效的保障信息系统的全面安全。于是，网络安全保障体系应运而生，其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设，让政府或企业的网络系统面临的风险能够达到一个可以控制的标准，进一步保障网络信息系统的安全稳定运行。

网络安全保障体系是针对传统网络安全管理体系的一种重大变革。它依托安全知识库和工作流程驱动将包括主机、网络设备和安全设备等在内的不同资产和存放在不同位置中的大量的安全信息进行范式化、汇总、过滤和关联分析，形成基于资产/域的统一等级的威胁与风险管理，并对威胁与风险进行响应和处理，该系统可以极大地提高网络信息安全的可控性。

2网络安全保障体系的作用。网络安全保障体系在网络信息安全管理中具有十分重要的作用，主要体现在如下三个方面：首先，网络安全保障体系可以对整个网络系统中不同的安全设备进行有效的管理，而且可以对重要的网络通信设备资产实施完善的管理和等级保护；其次，网络安全保障体系可以有效帮助网络安全管理人员准确分析现有网络信息系统所面临的安全威胁，从而可以帮助管理人员制定合理的网络安全应急响应流程；最后，网络安全保障体系可以通过过对网络风险进行量化，实现对网络风险的有效监控和管理。

网络安全保障体系的构建策略

1确定网络安全保障体系构建的具体目标。网络安全保障体系建设是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分，通过信息安全治理来达到具体的建设目标。其中，信息安全的组织体系是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构，主要包括决策、管理、执行和监管机构四部分组成；信息安全的策略体系是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。

2确定适合的网络安全保障体系构建的方法。（1）网络安全管理基础理论。网络安全保障体系的安全管理方法就是通过建立一套基于有效的应用控制机制的安全保障体系，实现网络应用系统与安全管理系统的有效融合，确保网络信息系统的安全可靠性。（2）建立有效的网络安全保障体系。一是网络信息安全组织保障体系作为网络信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定，建立的网络安全保障体系可以在完善信息安全管理与控制的流程上发挥重要作用；二是网络信息安全技术保障体系作为网络安全保障体系的重要支撑，有效利用访问控制、身份鉴别、数据完整性、数据保密性等安全机制，是实现网络安全防护的重要技术手段；三是网络信息安全运维保障体系可以通过对网络信息系统的安全运行管理，实现整个网络信息系统安全监控、运行管理、事件处理的规范化，充分保障网络信息系统的稳定可靠运行。

3建立网络安全保障体系组织架构。网络安全组织体系是网络信息安全管理工作的保障，以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。因此，需要根据该组织的网络信息安全总体框架结合实际情况，确定该网络组织信息安全管理组织架构。其中，网络安全保障体系组织架构主要包括如下内容：一是网络信息安全组织架构。针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果；二是信息安全角色和职责，主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责；三是安全教育与培训。主要包括对安全意识与认知，安全技能培训，安全专业教育等几个方面的要求；四是合作与沟通。与上级监管部门，同级兄弟单位，本单位内部，供应商，安全业界专家等各方的沟通与合作。

4建立网络安全保障体系管理体系。（1）网络访问控制。用户访问管理规范及对应表单、网络访问控制规范与对应表单、操作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单。（2）网络通信与操作管理。网络安全管理规范与对应表单、Internet服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单。（3）网络信息系统的获取与维护。网络信息系统的获取与维护即要求明确网络信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单和相关的软件系统。