大数据背景下网络安全问题研究
                    Research on Network Security Issues under the Background of Big Data


                  规划措施可分为安全管理策略、安全运行策略和安全体系规划三个部分。安全管
             理策略是组织在信息安全管理方面所涉及的各种管理制度、流程和规定，包括组织结
             构、人员责任、安全管理制度和考核办法等。安全运行策略是针对系统运行过程中存
             在的各种安全问题设计操作规程和应急处置办法等，目的是在确保信息系统安全的同

             时，尽可能降低安全维护的成本。安全体系规划是站在组织信息系统的高度，从技术
             层面对组织信息系统的整体架构做全面和整体的规划，为组织设计较为完善的信息安
             全技术防御体系架构。
                  2.制定实施计划

                  根据安全保护策略，结合控制措施实施的难易程度等实际情况，为组织制定切实
             可行的实施计划，以保证各项安全策略能够有效落实。主要活动包括实施项目标识、
             责任分配、制定行动列表等。


                 四、风险评估的方案定制

                 （一）不同组织进行风险评估的异同点分析
                  在实践过程中要对评估方案进行定制以符合组织特定的业务环境。对于不同特点

             的组织，所采取的评估方法也存在差异性。鉴于风险评估是与实际环境高度相关的活
             动，实际上存在对所有组织都适用的评估方案。表2-3为不同组织进行风险评估活动
             的异同点。

                                   表 2-3 不同组织进行风险评估的异同点

                   评估活动               相同点                           不同点
                 关键资产确定             资产调查表          不同行业、规模的组织其关键资产存在很大差异
                                                   规模较大的组织所面临的威胁要比小规模组织更广
                 威胁因素调查            威胁分析方法          泛，小组织甚至不需要进行威胁调查，可以根据通
                                                   用威胁目录进行选择
                                                   对于大型组织，其可利用的各项维护记录可作为脆
                               使用扫描工具、使用渗
                  脆弱性调查                            弱性调查的辅助资料，小型组织主要以技术工具作
                               透测试工具、人工检查
                                                   为脆弱性调查的实施手段
                                                   针对组织的特点进行解决方案、管理制度、安全策
                   策略选择            风险分析结论
                                                   略选择
                  在对组织的风险评估方案进行定制之前需要明确哪些评估活动可以被定制，而哪
             些流程是不能修改的。
                  简单而言，评估方案中的流程都应遵循准备、调查、分析和策略选择四个阶段，

             所不同的是在每个阶段所采用的方法和活动可以根据组织情况进行相应的剪裁以制定
             出符合实际的评估方案，保证顺利完成风险评估活动、实现风险评估目标。


             • 54 •