《數據安全能力成熟度模型》實踐指南:網絡可用性管理

2020-10-11 美創科技


2019年8月30日,《信息安全技術 數據安全能力成熟度模型》(GB/T 37988-2019)簡稱DSMM(Data Security Maturity Model)正式成為國標對外發布,並已於2020年3月起正式實施。


DSMM將數據按照其生命周期分階段採用不同的能力評估等級,分為數據採集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全六個階段。DSMM從組織建設、制度流程、技術工具、人員能力四個安全能力維度的建設進行綜合考量。DSMM將數據安全成熟度劃分成了1-5個等級,依次為非正式執行級、計劃跟蹤級、充分定義級、量化控制級、持續優化級,形成一個三維立體模型,全方面對數據安全進行能力建設。


數據安全能力成熟度模型


在此基礎上,DSMM將上述6個生命周期進一步細分,劃分出30個過程域。這30個過程域分別分布在數據生命周期的6個階段,部分過程域貫穿於整個數據生命周期。

數據生命後期安全過程域

隨著《中華人民共和國數據安全法(草案)》的公布,後續DSMM很可能會成為該法案的具體落地標準和衡量指標,對於中國企業而言,以DSMM為數據安全治理思路方案選型,可以更好的實現數據安全治理的制度合規。


"本系列文將以DSMM數據安全治理思路為依託,針對上述各過程域,基於充分定義級視角(3級),提供數據安全建設實踐建議,本文作為本系列第六篇文章,本文將介紹數據傳輸安全階段的網絡可用性管理過程域(PA06)。


01定義

網絡可用性管理,DSMM官方描述定義為通過網絡基礎設施及網絡層數據防洩漏設備的備份建設,實現網絡的高可用性,從而保證數據傳輸過程的穩定性。


DSMM標準在充分定義級對網絡可用性管理要求如下:


組織建設

組織應設立負責網絡可用性管理的人員或團隊。


制度流程

應制定組織的網絡可用性管理指標,包括可用性的概率數值、故障時間/頻率/統計業務單元等;基於可用性管理指標,建立網絡服務配置方案和宕機替代方案等。


1) 應對關鍵的網絡傳輸鏈路、網絡設備節點實行冗餘建設;

2) 應部署相關設備對網絡可用性及數據洩漏風險進行防範,如負載均衡、防入侵攻擊、數據防洩漏檢測與防護等設備。


負責該項工作的人員應具有網絡安全管理的能力,了解網絡安全中對可用性的安全需求,能夠根據不同業務對網絡性能需求制定有效的可用性安全防護方案。


02實踐指南

組織建設

組織機構在條件允許的情況下應該設立一個網絡可用性管理部門以及招募相關的人員負責管理公司的網絡可用性,為公司制定整體的網絡可用性管理方案和標準,包括制定可用性的標準數值、故障指標、故障處理方案等,對公司的網絡節點、傳輸鏈路進行考察,並部署相應設備保障網絡可用性、防止出現數據洩露等風險,同時還應根據公司不同的業務環境所提出的各種網絡性能需求制定有效可靠的安全防護方案等。


人員能力

針對網絡可用性管理部門的相關人員,必須具備良好的數據安全風險意識,熟悉國家網絡安全法律法規以及組織機構所屬行業的政策和監管要求,在進行網絡可用性管理的時候主要依據《網絡安全法》中的相關要求,對公司的網絡可用性做好管理與保護,除此之外,還需要相關人員具備良好的網絡架構基礎,熟悉公司內部的網絡結構和環境,熟悉常用的網絡安全防護設備,熟悉常見的網絡威脅手段,能夠在公司內部的網絡環境中根據不同部門或業務對網絡環境的不同要求,制定高效可靠的網絡安全防護方案,網絡可用性管理方案等,並推動相關要求確實有效的落地執行。

針對業務團隊的技術團隊人員,必須具備足夠的網絡設備搭建經驗,網絡設備維護管理和網絡可用性維護管理等經驗,了解業務團隊的所有業務環境,具備一定的應急響應能力,在面對突發性網絡癱瘓的情況時,應及時進行應急處置,並上報網路可用性管理部門,進行溯源排查等。


落地執行性確認


針對網絡可用性管理人員能力的實際落地執行性確認,可通過內部審計、外部審計等形式以調研訪談、問卷調查、流程觀察、文件調閱、技術檢測等多種方式實現。


制度流程

1)網絡可用性管理指標

可用性指系統或組件在指定的條件和時間內,維持其規定功能的能力,塔通常以百分比標識並能綜合反映設備的可靠性和可維修性。影響網絡可用性的主要因素有網絡的設計結構、設備的可靠性、傳輸介質和設備運行環境因素。網絡可用性常用到以下指標:


①平均無故障時間(Mean Time Between Failures,MTBF),即整個網絡的各組件(鏈路、節點)不間斷無故障連續運行的平均時間。MTBF越大,表明越不容易出故障,可用性自然高。MTBF反映的是網絡的可靠性(reliability);


②平均修復時間(Mean Time To Repair,MTTR),即從故障發生到故障消除所需要的平均時間。MTTR越小,表示故障時間越短,可用性也就越高。出現故障後,要經過檢查、識別、定位、修復和核查過程,還可能出現技術延遲和後勤延遲,MTTR不僅與設備的種類和所在位置有關,與是否使用網絡管理系統及該系統的響應速度和告警能力有關,還與維修隊伍的整體素質(包括體質、管理、責任心、維修支援能力等因素)有關;


③可用度(Availability):可用性的定量描述;


④不可用度(Unavailability):與可用度相對;


2)提高網絡可用性


①在網絡規劃設計階段,需要細緻分析業務模型,確定基礎網絡拓撲,對影響網絡可用性的關鍵節點和鏈路必須做充分的冗餘設計,並根據網絡結構,在各個層次、各個節點部署合適的高可用性技術。


②在組件或設備選型時,除保證技術指標外,也要有足夠高的可靠性指標。


③持續進行網絡維護和優化。利用高效的網絡設備管理工具持續監控、分析、預測、優化,最大限度的規避網絡擁塞。


④在進行軟硬體版本升級或新設備,新業務上線時,需要事先詳細規劃,制定應急預案。


⑤高度關注網絡安全問題。定期對主機系統和網絡系統進行安全評估,構建一個多層次的安全防禦和預警系統。


⑥做好業務系統和網絡系統的協調。積極分析業務模型,並適當的進行調整,可以讓網絡更通暢。


3)網絡服務配置原則


①層次化:分層次設計網絡結構,嚴格定義各層次的功能;


②模塊化:根據區域劃分拓撲結構;


③可擴展:根據業務發展需要,通過簡單複製模塊單元來拓展網絡;


④冗餘設計:提供設備和鏈路的冗餘保護;


4)網絡可用性管理規範


①設定網絡可用性管理部門,負責網絡及其組件設備的日常維護以及網絡故障的應急工作,全面負責可能出現的各種突發事件處置工作,並協調解決網絡故障處置工作中的重大問題。


②網絡故障發生前,網絡可用性管理部門需預先對網絡故障預警預報體系進行建設,編制網絡故障防治規劃。


③網絡可用性管理部門需加強對網絡及各組件的日常監測及其日誌保存工作,發現險情時,需及時向領導小組報告。


④網絡可用性管理部門要嚴格執行值班制度,以保障最先發現網絡故障並及時處置次突發事件。


⑤建立健全網絡故障速報制度,保障突發性網絡故障信息可立即發布預警。


⑥網絡故障發生時,立即啟動應急預案,採取應急處置程序,判定網絡故障級別,並立即向領導小組報告。在網絡故障處置過程中,應及時報告網絡故障處置工作的進展情況,直至故障修復。


⑦網絡故障消除後,由網絡可用性管理部門向領導小組宣布網絡故障應急期結束,並予以公告,同時預案終止。


技術工具簡述

數據在網絡傳輸過程中依賴網絡的可用性,一旦發生網絡故障或者癱瘓,數據傳輸也會受到影響甚至中斷。網絡可用性管理過程域的設定,即要求建設高可用性的網絡,從而保證數據傳輸過程的穩定性。所謂網絡可用性並不是單純的網絡設備、伺服器或節點的通斷,而是一種綜合管理信息,以反映支持業務的網絡是否具有業務所要求的可用性。網絡系統的可用性包括:鏈路的可用性,交換節點的可用性(如交換機和路由器),主機系統的可用性,網絡拓撲結構的可用性,電源的可用性以及配置的可用性等。但由於網絡節點與網絡鏈路的故障無法完全避免,因此構建高可用性網絡的基礎就是要實現快速故障發現和快速故障恢復,在這個過程中涉及相關的檢測手段及冗餘措施。


目前網絡可用性的主要考核指標公式可參考以下


網絡可用性的計算公式:



從上述公式我們可以看出,為了提高網絡可用性,我們需要儘量的提高平均故障間隔時間(MTBF),即保證網絡在規定時間內不出故障或少出故障,主要的措施有避錯和容錯機制。同時降低平均修復時間(MTTR),即網絡出了故障要能迅速修復,主要措施時快速檢錯和快速排錯(恢復)。因此主要有4方面技術方法來提高網絡可用性。


1)避錯措施


避錯就是通過改進硬體的製造工藝和設計,選擇技術成熟可靠的軟硬體等策略來防止網絡系統的錯誤產生,從而提高網絡的可靠性,並通過可靠性來提高網絡的可用性。

避錯方法包括各種硬體、軟體和管理措施。


硬體避錯方法是通過改進硬體的製造工藝和設計,防止錯誤的產生,包括網絡中電氣系統的避錯、網絡設備的避錯、伺服器的避錯和網絡中傳輸媒體的避錯等。


軟體避錯方法包括形式說明、過程管理、軟體測試和程序設計技術選擇等,例如網絡應用系統的避錯和成熟可靠的網絡作業系統的使用等。


管理避錯方法要求網絡運行管理要嚴格按照規範進行,包括制度建設、任務分配、設備標識、規範文檔記錄、各種軟硬體日常維護和網絡安全管理標準等,例如管理信息存儲的避錯、網絡中網絡結構選擇的避錯和日常網絡管理的避錯等


2)容錯機制


避錯方法可以提高網絡可靠性,但無論多麼可靠的系統都會出現系統失效,光靠避錯方法不能完全解決系統的可靠性,因此通過容錯技術,外加冗餘資源消除單點故障使系統在單點故障中仍能正常工作。冗餘資源主要包含三塊:硬體冗餘、軟體冗餘、路由冗餘。


3)快速檢錯


實現快速檢錯包括故障檢測和故障診斷兩方面,故障檢測的作用是確定故障是否存在,故障診斷的作用是確定故障的位置。一般快速檢錯是從故障現象出發,以網絡診斷工具為手段獲取診斷信息,確定網絡故障點,查找問題的根源具體包括:


①自動檢錯而不是人工檢錯可以更快提高檢錯的速度;


②藉助線路檢測工具(如線纜測試儀、時間域反射計)可以加快線路故障的檢錯速度;


③利用網絡管理系統專門的管理進程不斷地檢測路由器的關鍵數據並及時給出報警可以加快路由器故障的檢測速度;


④通過工具自動監視主機流量、掃描主機埠和服務來檢測主機的異常,可以加快主機故障的檢測速度;


⑤利用網絡測試儀可以自動定位網絡故障源,找出故障點並顯示其網絡相關信息,從而加快邏輯故障的檢測速度;


⑥利用網絡分析工具進行快速檢錯,如協議分析程序Snigger,作業系統中內置的一些非常有用的軟體網絡測試工具等;


4)快速排錯(恢復)


排錯事在網絡出現故障時,逐一排除故障,恢復系統的可用性。網絡故障排錯的方法分為:


①分層故障排錯法:它主要根據網絡分層的概念進行逐步分析的方法;


②分塊故障排錯法:此方法從設備的配置文件入手,將配置文件分為管理部分、埠部分、路由協議部分、策略部分和接入部分,並對其逐一進行檢查排錯;


③分段故障排錯法:此方法是把網絡分段,逐段排除故障;


④替換法:替換法是檢查硬體問題最常用的方法。如懷疑是網線問題時,更換一根確定完好的網線嘗試。


受限於篇幅,此處技術工具不進行進一步展開,在網絡系統的不同建設階段,我們可以選擇性的引入不同的技術工具,這裡我們按照網絡系統建設的三個階段:網絡系統設計期、網絡系統建設期、網絡系統維護期來理解技術工具的使用


網絡系統設計期:網絡系統設計期的時候,網絡系統還處於不完整的狀態,在這個階段,可以根據避錯措施中涉及的各方面,對網絡系統涉及到的硬體、軟體進行選型,在經濟許可的情況下,選擇技術成熟可靠的軟硬體等策略來防止網絡系統的錯誤產生

網絡系統建設期:網絡系統建設期時,此時網絡基本可用,為防止突發的網絡事故導致網絡不可用的情況,此時引入容錯措施,通過硬體或軟體的負載均衡增加網絡可靠性。


網絡系統維護期:通過前面的避錯、容錯措施的建設,網絡可用性大大增強,同時網絡出錯的概率也大大降低,此時主要是針對日常網絡系統的監控、檢錯、排錯,使用相關技術工具,不斷減少平均修復時間,從而實現網絡可用性的全維度把控。


本文轉自杭州美創科技有限公司公眾號,載如需二次轉載,請諮詢marketing@mchz.com.cn。

相關焦點

  • 《數據安全能力成熟度模型》實踐指南:數據採集管理
    2019年8月30日,《信息安全技術 數據安全能力成熟度模型》(GB/T 37988-2019)簡稱DSMM(Data Security Maturity Model)正式成為國標對外發布,並已於2020年3月起正式實施。
  • 《信息安全技術 數據安全能力成熟度模型》應用推廣試點工作總結會...
    2020年8月18日上午,全國信息安全標準化技術委員會(以下簡稱「信安標委」)秘書處在北京召開了國家標準GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》應用推廣試點工作總結會,本次會議線上線下同步進行,參會人員包括試點專家組成員、技術支撐單位代表、試點單位及合作推廣單位代表20餘人,會議由信安標委副秘書長上官曉麗主持
  • TalkingData成為《數據安全能力成熟度模型》試點單位
    數據安全能力成熟度模型》的應用推廣試點單位,TalkingData(北京騰雲天下科技有限公司)位列其中,並成為首家參與應用試點的SDK廠商。《信息安全技術 數據安全能力成熟度模型》是信息安全領域的國家級標準之一,由國家市場監督管理總局和中國國家標準化管理委員會發布,已於2020年3月1日起正式實施。
  • ...解析中國信通院《面向雲計算的可信研發運營安全能力成熟度模型》
    、中國信息通信科技集團有限公司共同參與,制訂了《面向雲計算的可信研發運營安全能力成熟度模型》行業標準。該標準規定了面向雲計算的可信研發運營安全能力成熟度模型參考框架,強調安全左移,關注需求、設計、研發安全,分為管理制度以及涉及軟體應用服務全生命周期的要求階段、安全需求分析階段、設計階段、研發階段、驗證階段、發布階段、運營階段和下線階段九大部分,每個部分提取了關鍵安全要素,規範了企業研發運營安全能力的成熟度水平,自低向高依次分為基礎級、增強級和先進級。
  • 基於微服務成熟度模型的高可用優化實踐
    要保證整個微服務系統的成熟穩定,就必須保證每個微服務的成熟度。但如何來定義服務的成熟度?應該從哪些緯度來考量?各個緯度裡又有哪些普遍的問題?如何來優化?本文介紹了愛奇藝技術產品團隊用來衡量服務成熟度的模型,並基於此模型對多個後臺服務進行評估,總結出了一些常見的低分項,並對低分項整理了相關優化方案。希望對大家有所幫助。
  • 人工智慧成熟度模型
    人工智慧成熟度指標使數據和分析領導者能夠用適當的技能和措施激勵企業領導者,從而提供效率和創新能力。圖片來自網絡。人工智慧成熟度模型能夠為從事數據和分析的領導人員提供一個實現人工智慧戰略的框架。人工智慧數據資源包括數據倉庫和數據集線器,以及物聯網或社交媒體這樣的平臺。人工智慧開發者也可能會利用這些數據資源。在擴張階段,創新的人工智慧技術會在商業的過程、產品和服務中被探索和利用。人工智慧系統的可用性、性能和安全性都至關重要。人工智慧系統可以在雲、本地、移動、邊緣或機器人設備上部署。
  • 國外知識管理成熟度模型介紹
    國外知識管理成熟度模型介紹 國外知識管理成熟度模型介紹 2012-08-23 11:31:13  來源:網際網路西門子知識管理成熟度模型是一種評估組織在知識管理中全面地位的結構化模型。這個成熟度模型包括分析模型,發展模型和一個評估流程。分析模型有助於企業的知識管理者充分考慮KM的各個重要方面,並揭示將要發展哪些關鍵領域和要素。發展模型提供了關於那些關鍵領域和要素是如何最好發展而達到下一個成熟層次的信息。
  • 愛奇藝:億級流量高可用架構下的「微服務成熟度模型」實踐
    要保證整個微服務系統的成熟穩定,就必須保證每個微服務的成熟度。但如何來定義服務的成熟度?應該從哪些緯度來考量?各個緯度裡又有哪些普遍的問題?如何來優化? 本文介紹了愛奇藝技術產品團隊用來衡量服務成熟度的模型,並基於此模型對多個後臺服務進行評估,總結出了一些常見的低分項,並對低分項整理了相關優化方案。希望對大家有所幫助。
  • 貴陽高新區3家大數據企業入選數據管理能力成熟度評估試點單位
    12月29日,記者從貴陽高新區大數據發展辦公室獲悉,中國電子信息行業聯合會公布了數據管理能力成熟度評估(DCMM)試點單位名單,貴陽高新區大數據企業貴州廣思信息網絡有限責任公司、貴州中軟雲上數據技術服務有限公司、貴州多彩寶網際網路服務有限公司入選DCMM3級試點單位。
  • DevOps 能力成熟度模型最新一批評估結果公布
    從各大企業的實踐來看,標準化和工具賦能是科技公司成功的關鍵所在。DevOps 標準及基於標準的 DevOps 持續交付流水線平臺,使得企業的軟體研發效能飛速提升、更快更靈活應對市場變化,助力IT成為企業的核心競爭力之一。將標準固化到工具中,才能最大程度減少人為失誤,減少人力成本,提高開發和運維的效率及質量。
  • 人力資源能力成熟度模型(P-CMM)的結構框架和關鍵過程領域
    人力資源能力成熟度模型(P-CMM)的結構框架和關鍵過程領域P-CMM( People Capability Maturity Model )是組織機構持續提高其人力資源能力實踐的路標。任何一個機構都不可能在一夜之間完善人力資源管理活動的方方面面,所以P-CMM強調要分階段實現。在美國國防部的資助下,美國軟體工程學會SEI會同波音、IBM等公司和科研機構歷時十幾年共同開發的人力資源能力成熟度模型(P-CMM),並由卡內基梅隆大學於1995 年推出第1版標準。隨即在世界範圍內被各種商業組織、泛運用。
  • 美國防部宣布網絡安全成熟度模型認證首批候選試點計劃
    美國防部於2020年9月29日發布一項臨時規則,修訂了《國防聯邦採辦條例附加條款》(DFARS),以落實網絡安全成熟度認證模型框架。該臨時規則包括新的《國防聯邦採辦條例附加條款》的條款252.204-7021,該條款細化了認證要求,支撐國防部在國防工業基礎企業的非密網絡中驗證對聯邦合同信息(FCI)和受控非密信息(CUI)的保護。
  • 工業網際網路應用成熟度評估的研究和實踐
    工業網際網路從概念到實踐、從星星之火到燎原之勢,行業共識持續擴大、產業資源不斷積聚、技術創新日益活躍、應用普及加快深化,已成為世界各主要經濟體推動製造業轉型與升級的新思路。為了推動產業深入發展,美、德等發達國家先後致力於成熟度模型的研究,相關評估體系都有效地指導了產業發展。
  • 透過Gartner雲安全技術成熟度曲線,看懂七大關鍵雲安全技術走勢
    (微分段),CASB(雲訪問安全代理),CSPM(雲安全配置管理),CWPP(雲工作負載安全防護平臺),ZTNA(零信任網絡訪問),Container Security(容器安全),SASE(安全訪問服務邊緣模型)。
  • 保姆級指南 確保數據安全需要怎樣的建設思路(上)
    《網絡安全法》、《數據安全法(草案)》《網絡安全等級保護條例(徵求意見稿)、《關鍵信息基礎設施保護條例(徵求意見稿)》、《數據安全管理辦法(徵求意見稿)》等國內法律法規中明確了組織在數據安全方面的合規要求。
  • 基於大數據企業網絡威脅發現模型實踐
    0x01 前言關於企業安全威脅數據收集分析是一個系統工程,每天在我們網絡環境中,都會產生各種形式的威脅數據。為了網絡安全防護,會收集各種流量日誌、審計日誌、報警日誌、上網設備日誌,安防設備日誌等等。很多公司都有自己的數據處理流程,大數據管理工具。我們根據過去的實踐經驗,總結出了一個威脅數據處理模型,因為引用增長黑客的模型的命名方式,我們稱這種模式為:沙漏式威脅信息處理模型。
  • 安恆信息《企業網絡安全風險應對指南》 據說很多人都收藏了!
    指南主要內容一覽   《中華人民共和國網絡安全法》    企業網絡安全責任    企業網絡安全檢查、自查指南    企業網絡安全應急響應指南    企業安心上雲安全指南    勒索病毒應急響應處置指南    企業網絡安全感知體系建設指南    大數據安全管理中心集中運營指南
  • 乾貨 | DSMM助力數據的分類分級管理
    導讀大數據的廣泛應用,帶來便捷的同時也伴隨著隱患,如何確保數據和隱私的安全,國家已立法:《中華人民共和國數據安全法(草案)》,該法案規定了應對數據進行分級分類管理和保護,那麼如何管控防護呢?請看數據能力成熟度模型DSMM的規定吧!
  • 國內首個「大數據服務能力評估」,上海市大數據股份參編數據工程
    為進一步規範大數據項目實施交付的流程,提升企業實施交付能力,增加大數據項目實施的成功率,為行業建立標準化服務體系,中國信息通信研究院推出國內首個「大數據服務能力評估」。評估面向大數據和資料庫領域的服務企業,依據《大數據服務能力成熟度模型》、《資料庫服務能力成熟度模型》系列標準對企業的服務能力進行嚴格的評估,根據符合程度對應到不同的服務能力等級。
  • 銘說|使用ATT&CK框架對威脅狩獵的成熟度進行評估
    資深安全分析師們認為,針對ATT&CK框架的測試「為用戶提供了一個需要集中注意力和資源的採購清單」。如果安全管理中心(SOC)或安全態勢感知平臺已經使用了一個Kill-Chain模型,那麼ATT&CK框架也可以很好地協調使用。