本文转载自微信公众号「祺印说信安」,作者何威风 。转载本文请联系祺印说信安公众号。
网络安全原则的目的
网络安全原则的目的是为组织如何保护其系统和数据免受网络威胁提供战略指导。
这些网络安全原则分为四个关键活动:治理、保护、检测和响应。
- 治理:识别和管理安全风险。
- 保护:实施安全控制以降低安全风险。
- 检测:检测和了解网络安全事件。
- 响应:响应网络安全事件并从中恢复。
治理原则
- G1:首席信息安全官负责领导和监督网络安全。
- G2:确定并记录系统、应用程序和数据的身份和价值。
- G3:确定并记录系统、应用程序和数据的机密性、完整性和可用性要求。
- G4:安全风险管理流程嵌入到组织风险管理框架中。
- G5:在系统和应用程序被授权使用之前,以及在整个运行生命周期中,安全风险都会被识别、记录、管理和接受。
保护原则
- P1:系统和应用程序根据其价值及其机密性、完整性和可用性要求进行设计、部署、维护和停用。
- P2:系统和应用程序由值得信赖的供应商交付和支持。
- P3:系统和应用程序配置为减少其攻击面。
- P4:系统和应用程序以安全、负责和可审计的方式进行管理。
- P5:及时识别和缓解系统和应用程序中的安全漏洞。
- P6:只有受信任和支持的操作系统、应用程序和计算机代码才能在系统上执行。
- P7:数据在不同系统之间静态和传输时进行加密。
- P8:不同系统之间通信的数据是受控的、可检查的和可审计的。
- P9:数据、应用程序和配置设置会定期以安全且经过验证的方式进行备份。
- P10:只有经过信任和审查的人员才能访问系统、应用程序和数据存储库。
- P11:人员被授予对其职责所需的系统、应用程序和数据存储库的最低访问权限。
- P12:使用多种方法识别系统、应用程序和数据存储库中的人员并对其进行身份验证。
- P13:为人员提供持续的网络安全意识培训。
- P14: 对系统、支持基础设施和设施的物理访问仅限于授权人员。
检测原则
D1:网络安全事件和异常活动被及时检测、收集、关联和分析。
响应原则
- R1:网络安全事件及时识别并及时向相关机构进行内部和外部报告。
- R2:网络安全事件得到及时控制、根除和恢复。
- R3:业务连续性和灾难恢复计划是在需要时制定的。
成熟度建模
在实施网络安全原则时,组织可以使用以下成熟度模型来评估单个原则,原则组或整个网络安全原则的实施情况。成熟度模型中的五个级别是:
- 不完全的:网络安全原则要么部分实施,要么未实施。
- 初始:网络安全原则得到实施,但实施方式很差或临时性。
- 发展:网络安全原则得到了充分的实施,但要逐个项目实施。
- 管理:网络安全原则被确立为标准业务实践,并在整个组织中得到强有力的实施。
- 优化:在整个组织中实施网络安全原则时,有意识地关注优化和持续改进。
《信息安全指南》是澳大利亚国家网络安全中心发布的一个套体系性指南,我们在了解各国有关网络安全相关体系性知识的过程,可以借鉴之,也可以从中发现共性,让我们在工作中能够寻找通用的最佳安全实现。在不断深入了解各国网络安全体系性内容过程中,也能够不断增强对网络安全的理解,增强我们的网络安全意识。网络安全知识和咨询是网络安全意识的前提,在这个方面需要不断增益。
