本技术涉及电子信息网络安全,更具体地说,尤其涉及一种基于戴明环pdca构建可信管控网络合规能力方法与电子设备。
背景技术:
1、网络安全是国际战略在网络社会领域的演进,对我国网络发展提出了严峻的挑战,需要创新发展主动免疫的安全可信管控网络体系。安全可信管控网络体系,在国家关键信息基础设施,简称关保,和重要信息网络系统,简称等保2.0,建设、安全运维管理系统和装备上应用广泛,其构建与创新对优化国家算力资源布局、推动中国数字经济发展意义重大。
2、目前,对于安全可信管控网络体系的构建,现有技术一般采用戴明环pdca和谐关系模型建立安全管理体系,或采用ippdrr安全能力模型建立安全技术体系,以此实现对网络空间信息安全的防护。但是,由于pdca模型侧重于信息安全管理体系,忽略技术因素与安全风险评估的重要性,而pdrr模型侧重于安全技术体系和过程的要求,忽略人和管理因素,使得安全管理、安全运维和安全技术产品,无法实施功能协同和安全能力聚合,缺乏基于策略的动态安全管理模型的实施过程,构建的传统安全管理中心平台侧重于安全运维管理,缺乏全生命周期安全管理、安全运维与安全技术支持的协同能力,已无法满足复杂异构的大规模网络环境,以及海量数据环境下的信息安全分析和管理的需求。
3、因此,如何提供一种基于戴明环pdca构建可信管控网络的合规能力系统与方法,其能够结合pdca安全管理战略模型与ippdrr纵深防御战术模型,主动感知、防范和响应未知网络风险,对技术防护、安全管理、安全运维三方面进行保障,已经成为本领域技术人员亟待解决的技术问题。
技术实现思路
1、为解决上述技术问题,本技术提供一种基于戴明环pdca构建可信管控网络的合规能力系统与方法,其能够结合pdca安全管理战略模型与ippdrr纵深防御战术模型,主动感知、防范和响应未知网络风险,对技术防护、安全管理、安全运维三方面进行保障,为组织机构提供高标准、合规范的信息安全保障体系。
2、本技术提供的第一种技术方案如下:
3、本技术提供基于戴明环pdca构建可信管控网络合规能力方法,包括以下步骤:s1、建立pdca安全管理战略模型与ippdrr纵深防御战术模型;s2、整合所述pdca模型与ippdrr模型,形成网络安全管理体系保障、安全技术体系保障以及安全运维体系保障三位一体的安全协同;s3、建立信息安全管控中心,基于信息安全目标以及安全策略,对所管网络系统进行安全数据的实时收集;s4、对收集获取的风险威胁和安全事件进行大数据分析,掌握信息安全现状、安全控制措施实现程度和整体安全运行现状,构建立体纵深网络安全防护体系;s5、最后在可信密码与信任平台支撑下,通过所述信息安全管控中心支持的可信计算环境、可信边界、可信网络构成主动防御的可信架构,并通过可明确定义的形式化安全策略模型,将可信信任链扩展到所有主体与客体,实现计算环境可信,完成可信管控网络的构建。
4、进一步地,在本发明一种优选的方式中,在步骤s1中,所述建立ippdrr纵深防御战术模型的步骤包括:
5、确定模型分层框架结构;
6、根据所述模型分层框架结构选择模型维度,模型维度包括安全能力维度、数据形态维度和技术栈维度,三个维度之间独立、正交;
7、确定安全能力维度组成,包括识别identify、策略policy、防护protection、检测detection、响应response和恢复recovery六个主要部分,将防护、检测、响应和恢复构成一个完整的、动态的安全循环,在安全策略的指导下共同实现信息安全保障;
8、确定数据形态维度组成,将数据形态划分为使用态、存储态与传输态;
9、确定模型技术栈维度的组成,技术栈包括saas、pass和laas;
10、随后将所述安全能力维度、数据形态维度与技术栈维度三者叠加,构建数据纵深防御体系,完成模型的建立。
11、进一步地,在本发明一种优选的方式中,在步骤s2中,整合所述pdca模型与所述ippdrr模型的步骤包括:
12、将所述pdca模型基于安全管理视角,作为组织安全体系的总体框架布局;
13、将所述ippdrr模型基于信息流和信息链传递视角,作为组织安全体系的具体执行手段;
14、随后以策略、管理、审计为中心,防护、检测、响应、恢复为手段改进所述ippdrr模型,在ppdrr安全模型的基础上,增加了管理management与审计audit,形成mappdrr安全模型;
15、再将所述pdca模型作为组织安全体系的大循环逻辑控制环节,将所述ippdrr模型作为“主体、访问、客体”的小循环逻辑控制环节;
16、最后将所述pdca模型和ippdrr模型进行有效整合,形成了一个全要素、螺旋上升、全生命周期过程不断改进的闭环。
17、进一步地,在本发明一种优选的方式中,在步骤s2中,所述网络安全管理体系保障的步骤包括:
18、建立信息安全管理体系isms:确定isms范围,并确定isms方针和安全策略、识别与评估风险、标识与评价风险处理措施,选择用于风险处理的控制目标和控制方法;
19、运行isms:选择控制目标和控制措施,以满足风险评估和风险处置过程所识别的要求,制定风险处理计划、实施风险处理计划和实施所选的控制措施以满足控制目标;
20、监视和评审isms:执行监视程序,控制、复审残留风险以及对可接受水平的风险进行管理复审;
21、保持和改进isms:借助信息安全策略、安全目标、审计结果、受监视的事件分析、纠正性和预防性措施,确定防护措施和采取的预防措施与潜在问题的影响相适宜,不断改进自身信息安全水平使网络安全管理体系得到保障。
22、进一步地,在本发明一种优选的方式中,在步骤s2中,所述网络安全技术体系保障的步骤包括:
23、首先遵循pdrr安全模式,即“策略、保护、检测、响应”,利用安全设备进行被动检测,并结合认证机制、加密机制和风险预测机制主动防御安全风险;其次对安全通信网络、安全区域边界、安全计算环境层面实施三重防御,并集中管控各层安全设备涉及的acl策略、入侵防御策略,实现网络安全技术保障。
24、进一步地,在本发明一种优选的方式中,在步骤s2中,所述网络安全运维体系保障的步骤包括:
25、首先建立统一网络安全运营评估服务;
26、随后对安全物理环境、安全通信网络、安全区域边界和安全计算环境和安全管理中心各个层面的运行进行等保基线核查、风险评估、渗透测试和安全加固,使网络安全符合相关的法律法规和标准要求,保障网络安全运维。
27、进一步地,在本发明一种优选的方式中,在步骤s4中,所述大数据分析包括:全局安全分析、核心资产检测与分析、主动化安全漏洞分析、防火墙安全策略检测与分析、异常策略分析以及主动化防病毒分析。
28、进一步地,在本发明一种优选的方式中,在步骤s5中,构成主动防御的可信架构的步骤包括:通过所述信息安全管控中心,制定管控网络的安全方针、策略与安全目标;
29、随后确定管控防御所约定的安全区域,在所述安全区域中配置安全计算环境、安全区域边界和安全通信网络三重防御能力;
30、接着在信息安全管控中心支持下,配置一个中心支持三重防御的闭环信任链,执行本地在安全目标支持下安全控制措施部署与协同工作,实施通信网络、区域边界、计算环境三重防护数字化管理,构成所述可信架构。
31、本技术提供第二种技术方案如下:
32、本技术还提供基于戴明环pdca构建可信管控网络的合规能力系统,包括:
33、存储器,用于分别储存所述基于戴明环pdca构建可信管控网络合规能力方法中独立处理过程的程序代码;
34、处理器,用于分别执行所述程序代码。
35、本发明提供的一种基于戴明环pdca构建可信管控网络的合规能力系统与方法,用于关保或等保重要网络定级系统,旨在建立信息安全保障体系,以国家安全政策为指导依据,结合行业领域和重要定级信息系统业务需求,从技术防护体系、安全管理体系、安全运维体系三个方面进行保障,构建具备“一个中心,三个能力”的信息安全防护体系,为组织机构提供高标准、合规范的安全保障。所述基于戴明环pdca构建可信管控网络合规能力方法包括:s1、建立pdca安全管理战略模型与ippdrr纵深防御战术模型;s2、整合所述pdca模型与ippdrr模型,形成网络安全管理体系保障、安全技术体系保障以及安全运维体系保障三位一体的安全协同;s3、建立信息安全管控中心,基于信息安全目标以及安全策略,对所管网络系统进行安全数据的实时收集;s4、对收集获取的风险威胁和安全事件进行大数据分析,掌握信息安全现状、安全控制措施实现程度和整体安全运行现状,构建立体纵深网络安全防护体系;s5、最后在可信密码与信任平台支撑下,通过所述信息安全管控中心支持的可信计算环境、可信边界、可信网络构成主动防御的可信架构,并通过可明确定义的形式化安全策略模型,将可信信任链扩展到所有主体与客体,实现计算环境可信,完成可信管控网络的构建。其中,在该方法中可信管控网络的构建,首先安全可信管控网络合规能力,通过建立以及整合pdca安全管理战略模型与ippdrr纵深防御战术模型来实现,pdca模型作为总体布局,实现所管网络安全保障体系的战略指南,而ippdrr模型作为具体执行方式,实现所管网络安全保障体系的战术指南,模型深度结合组成网络保障体系的基础框架,相辅相成呈异曲同工之优势;在明确基础保障框架后,需要在保障框架内构建防护体系,先通过建立所述信息安全管控中心对安全数据进行实时采集,明确安全现状,再从所述安全数据中获取风险威胁与安全事件,对其进行包含全局安全、防火墙安全策略检测、主动化安全漏洞管理等大数据分析,在检测分析中实现在保障框架内构建所述立体纵深防护体系;内部防护体系构建后,接着需要对管控所管网络的外部环境,在本方法中借助可信密码与信任平台,利用所述信息安全管控中心,构建一个中心三重防御的可信架构,将可信信任链扩散到,实施通信网络、区域边界、计算环境三重防护,包含防护、检测、恢复、响应四类pdrr安全防护能力,实现计算环境可信。因此,本发明涉及的技术方案,相较于现有技术而言,其能够结合pdca安全管理战略模型与ippdrr纵深防御战术模型,主动感知、防范和响应未知网络风险,对技术防护、安全管理、安全运维三方面进行保障,为组织机构提供高标准、合规范的信息安全保障体系。
1.一种基于戴明环pdca构建可信管控网络合规能力方法,其特征在于,包括:
2.根据权利要求1所述的基于戴明环pdca构建可信管控网络合规能力方法,其特征在于,在步骤s1中,所述建立ippdrr纵深防御战术模型的步骤包括:
3.根据权利要求2所述的基于戴明环pdca构建可信管控网络合规能力方法,其特征在于,在步骤s2中,整合所述pdca模型与所述ippdrr模型的步骤包括:
4.根据权利要求1所述的基于戴明环pdca构建可信管控网络合规能力方法,其特征在于,在步骤s2中,所述网络安全管理体系保障的步骤包括:
5.根据权利要求4所述的基于戴明环pdca构建可信管控网络合规能力方法,其特征在于,在步骤s2中,所述网络安全技术体系保障的步骤包括:
6.根据权利要求5所述的基于戴明环pdca构建可信管控网络合规能力方法,其特征在于,在步骤s2中,所述网络安全运维体系保障的步骤包括:
7.根据权利要求1所述的基于戴明环pdca构建可信管控网络合规能力方法,其特征在于,在步骤s4中,大数据分析包括:全局安全分析、核心资产检测与分析、主动化安全漏洞分析、防火墙安全策略检测与分析、异常策略分析以及主动化防病毒分析。
8.根据权利要求7所述的基于戴明环pdca构建可信管控网络合规能力方法,其特征在于,在步骤s5中,构成主动防御的可信架构的步骤包括:
9.根据权利要求8所述的基于戴明环pdca构建可信管控网络合规能力方法,其特征在于,在步骤s5中,构成主动防御的可信架构的步骤还包括:在信息安全管控中心支持下配置中心支持三重防御的闭环信任链;执行本地在安全目标支持下安全控制措施部署与协同工作,实施通信网络、区域边界、计算环境三重防护数字化管理,构成所述可信架构。
10.一种电子设备,其特征在于,包括:
