近些年,形式各异、各具特色的网络安全攻防竞赛举办的如火如荼,网络安全赛事的价值在于不仅能够推动技术创新,带动人才储备,还能通过扩大赛事影响,刺激产业需求,同时也为整个产业链输送安全人才,提升整个国家的网络安全水平。随着我国提出的建设网络强国的战略与目标,加快人才培养成为我国经济社会发展和信息安全体系建设中的一项长期性、全局性和战略性的任务。近年来,我国信息化工作的重心正在逐步从集成建设阶段向安全运营维护阶段过渡,安全运维服务的内容博大精深,其主线就是将行业标准、国际先进经验及专家技能以最佳实践的方式提供给用户,最终为客户的业务服务。由此构建出的信息系统安全运维框架主要由合规性要求、安全运维、风险管控和评审改进组成。
战略上的失误,在战术上再怎么完善也无法弥补。随着人们对信息安全的深入理解,信息安全经历了一个从通信安全(COMSEC)到信息安全(INFOSEC)再到信息保障(information assurance,lA)的发展阶段。与此同时,信息安全由传统的静态保护手段开始转变为完善的动态防护机制,安全策略反映出组织对于现实和未来安全风险的认识水平,以及对于组织内部业务人员和技术人员安全风险的假定与处理。无论是国际上公认的信息安全保障体系模型,还是我国信息安全领域的标准,都是将信息安全策略置于核心地位。确定信息安全策略是有效实施信息安全技术手段和管理措施的前提。安全运维策略又是信息安全策略的重要组成部分,安全运维策略定义了安全运维要实现的安全目标以及实现这些安全目标的途径和规则,是组织经过领导层批准并正式发布和实施的纲领性文件。
安全运维工作主要包括明确服务需求,并以此形成服务策划,组建服务团队、编制运维服务预算和确定运维服务范围。其目的首先是建立科学规范的安全运维管理体系,进而推动以确保信息系统持续、稳定地运行,最大限度地降低信息系统的运行故障,延长信息系统所涉及设备的使用寿命;其次,以最快的速度恢复系统的保密性、完整性和可用性,降低安全事件对业务系统造成的损失为目的的应急响应;再者,以保障组织目标的实现、保障信息系统安全为目的的优化改善;及以提供运维状态的安全合规性评估为目的的监管评估四大类安全运维活动的实施。
然而,运维活动持续时间长,跨度大,在实施安全运维过程中面临各种不可知风险。这就需要组织从风险管控的角度出发,提供基于运维活动的风险管控服务。对安全运维过程中可能影响信息系统正常运行的安全因素实施风险评估,对评估中发现的安全隐患进行相应处置,保障信息系统的安全稳定运行。
在数字化转型浪潮推动下,如何提高安全运维有效性、降低运营成本是组织迫切需要解决的问题,在运维评审及持续改进环节,要以对安全运维有效性客观评估为基础,对信息系统和安全运维能力做持续改进。为新形势下的国家网络空间安全保驾护航,以更坚实的步伐做好信息安全保障服务。
