#每日三件事,第1288天#
随着《网络安全法》、《密码法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法规的出现,网络安全已经提升到了前所未有的高度。《党委(党组)网络安全工作责任制实施办法》明确了领导班子主要负责人是网络安全第一责任人。
从网络系统的生命周期来看,系统立项阶段要同步规划网络安全,制定网络安全方针和战略;在系统建设阶段要同步实施网络安全战略,依据网络安全等级保护标准对网络系统进行加固;在系统运维阶段,需要同步使用安全设施。不能因为安全设施给使用带来了一点不便就放弃使用。一定要在安全和便利之间寻找一个合适的平衡点,既保障网络安全,又满足快捷方便。在系统废弃阶段,要做好数据的迁移和销毁工作。避免废弃设备带着数据出走。
运维阶段时系统生命周期中最长的一个阶段,安全保障尤为重要。
怎么做好运维阶段的安全保障呢?
第一、建立完善的法规标准体系库。
要学习法规标准的内容,落实法律义务,实施标准内容要求的工作。在运维过程中做到有法可依,标准指导。
第二、建立完善的运维流程管理体系库。
在法规标准的指导下,切实建立符合本单位、本信息系统的安全管理制度和运维操作流程。把运维这件事标准化、体系化,摆脱对个人的依赖。不管谁来管理、谁来实施,都按已有的流程制度来,而不是按照某个人的意志来。所有管理制度加入到库中,所有的操作流程加入到库中。
第三、建立完善的监督评价考核体系库。
完善的监督评价考核体系,对服务商和提供服务的工程师都是一个约束。服务商的能力如何、工程师的能力如何,不再依靠管理人员的主观意识。而是通过系统提供的各种数据,给出一个相对合理的评价结果。
第四、逐步建立知识库体系。
包括基础知识库和运维知识库,基础知识库包括网络系统涉及的资产的基本知识、基线配置手册、操作手册、常见问题处理等;也包括网络安全的基础知识库,安全通报预警信息、漏洞信息,基本的安全工具等;运维知识库则主要包括运维过程中各种事件的处理报告。
通过知识库的建立,可以让后来的运维人员能够很容易上手解决问题。还可以通过运维数据分析常见的问题,把这些问题纳入日常管理,采取必要措施杜绝问题的出现。
一套完整的安全运维体系,就是留给后来者的宝贵资产。有了这套完整的体系,网络安全也会逐步提升,技术沉淀也会越来雄厚。
网友评论