涉密信息系统分级保护:技术与管理如何平衡?内容摘要:
并重 ”,而 “技管并重 ”有别于分级保护工作中存在的技术上与管理上都得大力增加投入的误区。 而是指从思想战略层面重视安全工作的技术建设和管理建设,要深入领会技术与管理二者之间的内在联系,及各自在安全建设中 的地位和作用,并且要形成科学的思维,灵活地、巧妙地平衡技术与管理的投入,最终通过二者的有机融合发挥一体化作用。 第二步:充分解析系统现状与标准的差距 平衡技术与管理的第二步工作是充分地解析现状与标准的差异,对标准的透彻而准确的理解是寻找差异的基础,对现状的清晰调研与分析又是寻找差异的关键,二者任何一方不能做到求真务实,实事求是,都会影响到技术与管理的选择与平衡,即使在 BMB172020《涉密信息系统分级保护技术要求》及 BMB202020《涉密信息系统分级保护管理规范》要求的框架前提下,也会影响到建设成本 、项目实施及长期运维。 比如分级工作中技术要求有一条为 “访问控制 ”,由于对标准解析不准确,很多人都夸大了分级保护 “访问控制 ”概念,使得访问控制成为涵盖了物理层、网络层、应用层的多种访问控制,这样以来,通过需求分析发现建设内容众多,安全技术与管理措施不知如何切当部署才满足适当地符合安全标准。 由此可见,如果不能准确解读标准,清晰把握现状,准确地寻找系统现状与标准之间的差距,则很难选择科学的技术与管理投入,同时不合理的技术与管理部署也给系统的长期维护带来不必要的困难。 第三步:科学选择技术与管理投入 从分级保护本身来讲,不论技术要求还是管理实施都作了明确的规定,如 BMB17里有物理安全、运行安全,信息保密安全, BMB20 里有人员管理、物理环境与设施管理,运行与开发管理等,但通过整合标准不难发现,二者相互区分,但又相互补充,最终融为一体。 因此在分级保护项目建设中,选择的技术投入与制定的安全管理要易于形成完整的安全保密体系。 比如说本单位机密级计算机仅 10台,而剩下 90%计算机为秘密级,那么用户在不影响业务情况下,将机密级计算机独立运行,实施机密级安全技术的防护,而剩下 90。阅读剩余 0%
本站所有文章资讯、展示的图片素材等内容均为注册用户上传(部分报媒/平媒内容转载自网络合作媒体),仅供学习参考。
用户通过本站上传、发布的任何内容的知识产权归属用户或原始著作权人所有。如有侵犯您的版权,请联系我们反馈本站将在三个工作日内改正。