1、责任编辑赵志远InformationSecurity信息安全基于 PDCA 方法的网络安全管理思考I北京朱辉编者按:探讨了典型的网络安全管理体系架构和组成要素,分析了一般意义上的网络安全管理体系运行框架,为相关人员提供借鉴和参考。网络在给人们生活带来便利和提高效率的同时,相关的安全问题也在不断涌现。从国家安全角度来说,没有网络安全就没有国家安全,网络空间主权已经成为国家主权的重要组成部分。从个人角度来说,网络安全事关个人隐私和财产安全。因此,网络安全应当引起人们的重视。在国家层面,国家陆续制定了网络安全法、数据安全法和个人信息保护法等法律法规,以加强网络安全防护。在重点行业和重要领域层面,相关
2、部门制定了具体的标准和规范来加强本行业领域的网络安全防护。例如,网络安全等级保护基本要求(G B/T 2 2 2 392 0 19)是从国家层面制定的保障网络安全的基本要求;金融行业网络安全等级保护实施指引(JR/T00712020)是金融行业根据其特点制定的特定要求;电力行业网络安全管理办法(修订征求意见稿)电力行业网络安全等级保护管理办法(修订征求意见稿)是电力行业根据网络安全的态势发展,对原有网络安全管理办法进行的修订。提升网络安全防护水平主要从技术和管理两个方面进行。在技术层面,可以采取购买网络安全设备,加强安全配置等手段进行防护;在管理层面,主要是从管理的组织架构、管理制度等方面进行
3、约束。但仅仅依靠购买网络安全设备和加强安全配置是远远不够的,必须对网络安全设备和安全配置进行系统化管理,杜绝因管理上的疏忽或者漏洞而导致的防护短板。网络安全管理是科学的管理思想和方法在网络安全领域的应用,其目的是实现组织既定的网络安全方针和目标,保障组织网络数据的完整性、保密性和可用性。网络安全管理的最终成果是形成比较完善的网络安全管理体系,让建立、实施、运行、监控、评审、维护和改进网络安全管理体系成为全面提高组织网络安全的一个抓手。网络安全管理体系的架构和要素1.网络安全管理体系架构网络安全管理体系是一个科学的管理体系,同其他管理体系(如质量管理体系)一样,一般采用“金字塔”架构,如图1所示
4、。第一层为网络安全方针。这是一个组织网络安全的总指导思想和总目标,是与该组织的总体业务目标保持一致的,在技术和管理上采取的措施都是为了保障组织的总体网络安全方针的实现。第二层投稿信箱 2023.8121Information Security信息安全/责任编辑赵志远为网络安全管理制度。它主要是制定单位网络安全相关的规章制度,从制度层面保障网络安全方针的实现。第三层为作业指导书、表单等。它主要是在安全相关配置和更改审批等具体操作层面上制定的操作手册、表格等,是制度规定等在具体操作层面的实现。第四层为记录文件等。它是已填写的表单或者记录文件等,是安全管理具体实施结果,便于留痕追溯。2.网络安全管理
5、体系要素网络安全等级保护基本要求主要从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理10 个方面对网络安全进行保障。信息安全管理实施指南(ISO/IEC17799:2005)主要从信息安全策略、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统采集、开发及维护、信息安全事故管理、业务连续性管理、符合性12 个方面对网络安全进行保障。信息安全、网络安全和隐私保护信息安全控制(ISO/IEC2 7 0 0 2:2 0 2 2)主要从组织控制、人员控制、物理控制和技术控制
6、4个大类对网络安全进行保障。不论是网络安全等级保护基本要求还是信息安全管理实施指南,或是信息安全、网络安全和隐私保护一一信息安全控制,网络安全防护措施无非都是采取从骨干网到网络边界到主机再到应用多层次全方位纵深防御的策略进行防护,只是标准架构和描述分类有所不同。因此,组织应根据自己的实际情况,结合组织需通过的网络安全合规要求,选择适应于组织的划分方法,建立与组织安网络安全方针网络安全制度作业指导书、表单等记录文件等图1网络安全管理体系架构全方针相一致的网络安全管理体系。但无论何种划分,都是尽可能全面地保障组织的网络安全。网络安全管理体系的运行网络安全管理体系的运行可采用一般意义上的成熟、科学管
7、理体系的运行方式,即“戴明环”,也即“PDCA循环,如图2 所示。PDCA是英语单词Plan(计划)、Do(实施)、Check(检查)和Act(改进)的首字母。PDCA循环采用过程控制的方法,将一个过程抽象为计划、实施、检查和改进四个阶段。四个阶段为一个循环,通过持续地循环,促使网络安全管理体系不断完善。每个阶段的工作任务、步骤或目的如下。1.P(Pla n)计划一一建立网络安全管理体系。建立网络安全管理体系的策略、目标、过程和风险管理相关的程序,用来提高网络安全,这些与组织的整体网络安全策略和目标保持一致。2.D(D o)实施一一实施和运行网络安全管理体系。实施和运行网络安全管理体系的策略、
8、控制措施、过程和程序。3.C(Ch e c k)检查监控和审核网络安全管理体系。针对网络安全管理体系的策略、目标和实 2023.8投稿信箱责任编辑赵志远Information Security信息安全践经验进行评估、测量,然后将结果报告给管理层评审。4.A(A c t)改进维护和改进网络安全管理体系。根据网络安全管理体系的内审、管理评审结果及其他相关信息,采取纠正和预防措施,持续改进网络安全管理体系。以上网络安全管理的四个阶段不是一就而就的,也不是分裂的,而是一个有机的整体,是螺旋上升、逐步完善的过程,最终目的是建立与组织网络安全方针相一致的网络安全管理体系。网络安全管理的思考网络安全管理与组
9、织的企业文化、价值观有着不可分割的联系。组织的企业文化和价值观往往决定了管理的方式方法,也决定了网络安全管理体系能否正常、有效地运行。就网络安全管理体系本身来说,笔者有以下理解,供读者参考。1.网络安全建设与信息化建设要做到同步规划、同步建设、同步使用。但往往由于各种原因,导致网络安全建设经费不足。在这种情况下,建议对网络安全建设与信息化建设进行总体规划,可根据紧急程度、重要程度分步实施,逐步推进。首先,要补全目前存在的最大的漏洞或者最薄弱的环节;其次,根据总体规划,在防护手段上不断完善;最后,形成与组织安全方针相一致的、与组织财力物力相协调的安全防护体系。2.工作中的实际操作要与网络安全管理
10、制度保持一致,避免“两张皮”现象。安全管理体系要起到作用,首先要做到有章可循。这就需要建立完善的规章制度,并严格执行之。在此,需要组织内部有严格的执行力,也需要组织成员有强烈的责任感Plan建立网络安全管理体系实施和运行建立、维护Do网络安全管理体系图2 网络安全管理体系的运行模式和使命感。只有具备完善的安全管理体系,并严格执行,才能有效地实施安全防护。3.人、技术、操作是网络安全的三要素。其中,人是最关键的因素。攻击可以从外部实施,也可以从内部进行。因此,对组织内部人员和能够接触到组织网络的外部人员进行有效管理,是关系到组织网络安全的重要方面。针对系统管理员、安全管理员、审计管理员相互制约的权责设计,是有效加强组织内部网络管理人员管理的一种方式。4.在网络实际管理和建设过程中,存在采购了设备而没有使用的现象,仅仅将设备接入网络而未进行安全配置,或者采取了错误的接入方式,这也是网络安全管理应注意的方面,应加强落实管理。结语网络安全管理是PDCA方法在网络安全管理方面的实践,是根据组织网络安全状况不断发展完善的,不能僵化地或割裂地实施,而应在遵循总体安全方针的前提下,结合组织实际情况,针对性地开展网络安全防护,保障组织网络安全,提高组织管理者对网络安全的信心。N维护和改进和改进循环网络安全管理体系ActCheck监控和审核网络安全管理体系投稿信箱 2023.8123