序論:在您撰寫企業(yè)信息安全規(guī)劃時�,參考他人的優(yōu)秀作品可以開闊視野����,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導您走向新的創(chuàng)作高度。
第1篇
【關鍵詞】信息系統(tǒng)���;安全建設�;防護體系
1.企業(yè)信息系統(tǒng)安全防護的價值
隨著企業(yè)信息化水平的提高�,企業(yè)對于IT系統(tǒng)的依賴性也越來越高��。一方面���,“業(yè)務系統(tǒng)流程化”正在成為IT安全建設的驅動力。企業(yè)的新業(yè)務應用正在逐漸標準化和流程化���,各種應用系統(tǒng)如ERP�、MES為企業(yè)的生產(chǎn)效率的提高起到了關鍵的作用��。有效的管控IT環(huán)境�����,確保IT業(yè)務系統(tǒng)的持續(xù)穩(wěn)定運行作為企業(yè)競爭力的一部分����,已成為IT系統(tǒng)安全防護的主要目標和關鍵驅動力。另一方面�,企業(yè)IT安全的建設也是“法規(guī)遵從”的需要。IT系統(tǒng)作為企業(yè)財務應用系統(tǒng)的重要支撐���,必須提供可靠的運行保障和數(shù)據(jù)正確性保證���。
2.企業(yè)信息系統(tǒng)安全建設的現(xiàn)狀分析
在企業(yè)信息化建設的過程中�����,業(yè)務系統(tǒng)的建設一直是關注的重點�����,但是IT業(yè)務系統(tǒng)的安全保障方面���,往往成為整個信息化最薄弱的環(huán)節(jié),尤其是在信息化水平還較低的情況下����,IT系統(tǒng)的安全建設缺乏統(tǒng)一的策略作為指導。歸結起來�,企業(yè)在IT系統(tǒng)安全建設的過程中,存在以下幾方面的不足:
2.1 安全危機意識不足�����,制度和規(guī)范不健全
盡管知道IT安全事故后果比較嚴重�����,但是企業(yè)的高層領導心中仍然存在著僥幸心理�,更多的時候把IT安全建設的預算挪用到其他的領域。企業(yè)在信息安全制度及信息安全緊急事件響應流程等方面缺乏完整的制度和規(guī)范保證�,由此帶來的后果是諸如對網(wǎng)絡的任意使用,導致公司的機密文檔被擴散����。同時在發(fā)生網(wǎng)絡安全問題的時候,也因為缺乏預先設置的各種應急防護措施���,導致安全風險得不到有效控制����。
2.2 應用系統(tǒng)和安全建設相分離�,忽視數(shù)據(jù)安全存儲建設
在企業(yè)IT應用系統(tǒng)的建設時期,由于所屬的建設職能部門的不同��,或者是因為投資預算的限制���,導致在應用系統(tǒng)建設階段并沒有充分考慮到安全防護的需要�,為后續(xù)的應用系統(tǒng)受到攻擊癱瘓埋下了隱患�����。數(shù)據(jù)安全的威脅表現(xiàn)在核心數(shù)據(jù)的丟失���;各種自然災難����、IT系統(tǒng)故障,也對數(shù)據(jù)安全帶來了巨大沖擊���。遺憾的是很多企業(yè)在數(shù)據(jù)的安全存儲方面�����,并沒有意識到同城異地災難備份或遠程災難備份的重要性�。
2.3 缺乏整體的安全防護體系�����,“簡單疊加����、七國八制”
對于信息安全系統(tǒng)的建設,“頭痛醫(yī)頭�、腳痛醫(yī)腳”的現(xiàn)象比較普遍。大多數(shù)企業(yè)仍然停留在出現(xiàn)一個安全事故后再去解決一個安全隱患的階段����,缺乏對信息安全的全盤考慮和統(tǒng)一規(guī)劃�,這樣的后果就是網(wǎng)絡上的設備五花八門�����,設備方案之間各自為戰(zhàn)�,缺乏相互關聯(lián)����,從而導致了多種問題。
3.企業(yè)信息系統(tǒng)安全建設規(guī)劃的原則
企業(yè)的信息化安全建設的目標是要保證業(yè)務系統(tǒng)的正常運轉從而為企業(yè)帶來價值�����,在設計高水平的安全防護體系時應該遵循以下幾個原則:
(1)統(tǒng)一規(guī)劃設計�。信息安全建設,需要遵循“統(tǒng)一規(guī)劃�、統(tǒng)一標準、統(tǒng)一設計��、統(tǒng)一建設”的原則����;應用系統(tǒng)的建設要和信息安全的防護要求統(tǒng)一考慮。
(2)架構先進,突出防護重點��。要采用先進的架構�����,選擇成熟的主流產(chǎn)品和符合技術發(fā)展趨勢的產(chǎn)品���;明確信息安全建設的重點����,重點保護基礎網(wǎng)絡安全及關鍵應用系統(tǒng)的安全�����,對不同的安全威脅進行有針對性的方案建設�。
(3)技術和管理并重,注重系統(tǒng)間的協(xié)同防護���?�!叭旨夹g���,七分管理”,合理劃分技術和管理的界面,從組織與流程����、制度與人員、場地與環(huán)境����、網(wǎng)絡與系統(tǒng)����、數(shù)據(jù)與應用等多方面著手,在系統(tǒng)設計����、建設和運維的多環(huán)節(jié)進行綜合協(xié)同防范。
(4)統(tǒng)一安全管理����,考慮合規(guī)性要求。建設集中的安全管理平臺����,統(tǒng)一處理各種安全事件,實現(xiàn)安全預警和及時響應����;基于安全管理平臺�,輸出各種合規(guī)性要求的報告�����,為企業(yè)的信息安全策略制定提供參考�����。
(5)高可靠�����、可擴展的建設原則��。這是任何網(wǎng)絡安全建設的必備要求��,是業(yè)務連續(xù)性的需要����,是滿足企業(yè)發(fā)展擴容的需要。
4.企業(yè)信息系統(tǒng)安全建設的部署建議
以ISO27001等企業(yè)信息安全法規(guī)[1]遵從的原則為基礎�,通過分析企業(yè)信息安全面臨的風險和前期的部署實踐,建立企業(yè)信息安全建設模型��,如圖1所示。
圖1 企業(yè)信息系統(tǒng)安全建設模型
基于上述企業(yè)信息安全建設模型�����,在建設終端安全��、網(wǎng)絡安全�����、應用安全���、數(shù)據(jù)安全、統(tǒng)一安全管理和滿足法規(guī)遵從的全面安全防護體系時�,需要重點關注以下幾個方面的部署建議:
4.1 實施終端安全,關注完整的用戶行為關聯(lián)分析
在企業(yè)關注的安全事件中����,信息泄漏是屬于危害比較嚴重的行為。現(xiàn)階段由于企業(yè)對網(wǎng)絡的管控不嚴�����,員工可以通過很多方式實現(xiàn)信息外泄���,常見的方式有通過桌面終端的存儲介質進行拷貝或是通過QQ/MSN等聊天工具將文件進行上傳等��。針對這些高危的行為�����,企業(yè)在建設信息安全防護體系的時候���,單純的進行桌面安全控制或者internet上網(wǎng)行為控制都不能完全杜絕這種行為��。而在統(tǒng)一規(guī)劃實施的安全防護體系中��,系統(tǒng)從用戶接入的那一時刻開始�����,就對用戶的桌面行為進行監(jiān)控���,同時配合internet上網(wǎng)行為審計設備,對該員工的上網(wǎng)行為進行監(jiān)控和審計��,真正做到從員工接入網(wǎng)絡開始的各種操作行為及上網(wǎng)行為都在嚴密的監(jiān)控之中��,提升企業(yè)的防護水平���。
4.2 建設綜合的VPN接入平臺
無論是IPSec��、L2TP����,還是SSL VPN,都是企業(yè)在VPN建設過程中必然會遇到的需求���。當前階段�,總部與分支節(jié)點的接入方式有廣域網(wǎng)專線接入和通過internet接入兩種����。使用VPN進行加密數(shù)據(jù)傳輸是通用的選擇。對于部分移動用戶接入�����,也可以考慮部署SSL VPN的接入方式[2]���,在這種情況下,如何做好將多種VPN類型客戶的認證方式統(tǒng)一是需要重點考慮的問題�����。而統(tǒng)一接入認證的方式,如采用USBKEY等�����,甚至在設備采購時就可以預先要求設備商使用一臺設備同時支持這些需求��。這將給管理員的日常維護帶來極大的方便���,從而提升企業(yè)整體的VPN接入水平�����。
4.3 優(yōu)化安全域的隔離和控制�,實現(xiàn)L2~L7層的安全防護
在建設安全邊界防護控制過程中�,面對企業(yè)的多個業(yè)務部門和分支機構,合理的安全域劃分將是關鍵�����。按照安全域的劃分原則�����,企業(yè)網(wǎng)絡包括內(nèi)部園區(qū)網(wǎng)絡��、Internet邊界、DMZ�����、數(shù)據(jù)中心���、廣域網(wǎng)分支�、網(wǎng)管中心等組成部分�����,各安全域之間的相互隔離和訪問策略是防止安全風險的重要環(huán)節(jié)�����。在多樣化安全域劃分的基礎上��,深入分析各安全域內(nèi)的業(yè)務單元����,根據(jù)企業(yè)持續(xù)性運行的高低優(yōu)先級以及面臨風險的嚴重程度�����,設定合適的域內(nèi)安全防護策略及安全域之間的訪問控制策略,實現(xiàn)有針對性的安全防護��。例如����,選擇FW+IPS等設備進行深層次的安全防護,或者提供防垃圾郵件�����、Web訪問控制等解決方案進行應對����,真正實現(xiàn)L2~L7層的安全防護。
4.4 強調(diào)網(wǎng)絡和安全方案之間的耦合聯(lián)動�,實現(xiàn)網(wǎng)絡安全由被動防御到主動防御的轉變
統(tǒng)一規(guī)劃的技術方案,可以做到方案之間的有效關聯(lián)����,實現(xiàn)設備之間的安全聯(lián)動。在實際部署過程中���,在接入用戶側部署端點準入解決方案����,實現(xiàn)客戶端點安全接入網(wǎng)絡。同時啟動安全聯(lián)動的特性����,一旦安全設備檢測到內(nèi)部網(wǎng)用戶正在對網(wǎng)絡的服務器進行攻擊,可以實現(xiàn)對攻擊者接入位置的有效定位�����,并采取類似關閉接入交換機端口的動作響應�,真正實現(xiàn)從被動防御向主動防御的轉變。
4.5 實現(xiàn)統(tǒng)一的安全管理���,體現(xiàn)對整個網(wǎng)安全事件的“可視���、可控和可管”
統(tǒng)一建設的安全防護系統(tǒng),還有一個最為重要的優(yōu)勢����,就是能實現(xiàn)對全網(wǎng)安全設備及安全事件的統(tǒng)一管理。面對各種安全設備發(fā)出來的大量的安全日志�,單純靠管理員的人工操作是無能為力的,而不同廠商之間的安全日志可能還存在較大的差異����,難以實現(xiàn)對全網(wǎng)安全事件的統(tǒng)一分析和報警管理。因此在規(guī)劃之初��,就需要考慮到各種安全設備之間的日志格式的統(tǒng)一化���,需要考慮設定相關安全策略以實現(xiàn)對日志的歸并分析并最終輸出各種合規(guī)性的報表����,只有這樣才能做到對全網(wǎng)安全事件的統(tǒng)一可視��、安全設備的統(tǒng)一批量配置下發(fā)����,以及整網(wǎng)安全設備的防控策略的統(tǒng)一管理,最終實現(xiàn)安全運行中心管控平臺的建設���。[3]
4.6 關注數(shù)據(jù)存儲安全�����,強調(diào)本地數(shù)據(jù)保護和遠程災難備份相結合
在整體數(shù)據(jù)安全防護策略中���,可以采用本地數(shù)據(jù)保護和遠程災備相結合的方式。基于CDP的數(shù)據(jù)連續(xù)保護技術可以很好地解決數(shù)據(jù)本地安全防護的問題��,與磁帶庫相比��,它具有很多的技術優(yōu)勢�����。在數(shù)據(jù)庫的配合下�����,通過連續(xù)數(shù)據(jù)快照功能實現(xiàn)了對重要數(shù)據(jù)的連續(xù)數(shù)據(jù)保護���,用戶可以選擇在出現(xiàn)災難后恢復到前面保存過的任何時間點的狀態(tài)����,同時支持對“漸變式災難”的保護和恢復�����。在建設異地的災備中心時��,可以考慮從數(shù)據(jù)級災備和應用級災備兩個層面進行�����。生產(chǎn)中心和異地災備中心的網(wǎng)絡連接方式可以靈活選擇,即可采用光纖直連���,也可采用足夠帶寬的IP網(wǎng)絡連接。在數(shù)據(jù)同步方式選擇上����,生產(chǎn)中心和災備中心采用基于磁盤陣列的異步復制技術,實現(xiàn)數(shù)據(jù)的異地災備�����。異地災備中心還可以有選擇地部署部分關鍵應用服務器��,以提供對關鍵業(yè)務的應用級接管能力��,從而實現(xiàn)對數(shù)據(jù)安全的有效防護���。
5.結束語
企業(yè)信息安全防護體系的建設是一個長期的持續(xù)的工作�,不是一蹴而就的�,就像現(xiàn)階段的信息安全威脅也在不斷的發(fā)展和更新,針對這些信息安全威脅的防護手段也需要逐步的更新并應用到企業(yè)的信息安全建設之中�����,這種動態(tài)的過程將使得企業(yè)的信息安全防護更有生命力和主動性,真正為企業(yè)的業(yè)務永續(xù)運行提供保障�����。
參考文獻
[1]李納.計算機系統(tǒng)安全與計算機網(wǎng)絡安全淺析[J].科技與企業(yè)�����,2013.
[2]李群���,周相廣����,陳剛.中國石油上游信息系統(tǒng)災難備份技術與實踐[J].信息技術與信息化�����,2010����,06.
第2篇
關鍵詞:分布式;信息安全��;規(guī)劃;方案
中圖分類號:TP309.2文獻標識碼:A 文章編號:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據(jù)來自eWeek 的消息��,市場研究機構Gartner 研究報告稱����,很對企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長���,但由于推動力以外部法律法規(guī)的約束和商業(yè)業(yè)務的壓力為主,因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平��。尤其對于機構構成方式為分布式的企業(yè)而言��,因為信息安全需求和部署相對更加復雜�,投入更多,因此這類企業(yè)的信息安全規(guī)劃就更加缺乏��。
本文根據(jù)這類分布式企業(yè)的特點提出了一種符合該類企業(yè)實際的信息安全規(guī)劃方案��。
2 總體規(guī)劃原則和目標
2.1 總體規(guī)劃原則
對于分布式企業(yè)的信息安全規(guī)劃�,要遵守如下原則:適度集中,控制風險�;突出重點,分級保護����;統(tǒng)籌安排���,分步實施;分級管理��,責任到崗�����;資源優(yōu)化�����,注重效益���。
這個原則的制定主要是根據(jù)分布式企業(yè)的實際機構構成情況�����、人員素質情況以及資源配置情況來制定的��。
2.2 總體規(guī)劃目標
信息系統(tǒng)安全規(guī)劃的方法可以不同����、側重點可以不同,但是需要圍繞組織安全���、管理安全�、技術安全進行全面的考慮��。信息系統(tǒng)安全規(guī)劃的最終效果應該體現(xiàn)在對信息系統(tǒng)與信息資源的安全保護上����,下面將分別對組織規(guī)劃、管理規(guī)劃和技術規(guī)劃分別進行闡述�����。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃�,對信息化戰(zhàn)略的實施起到保駕護航的作用��。信息系統(tǒng)安全規(guī)劃的目標應該與企業(yè)信息化的目標是一致的���,而且應該比企業(yè)信息化的目標更具體明確��、更貼近安全����。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個目標展開和部署。
3 信息安全組織規(guī)劃
3.1 組織規(guī)劃目標
組織建設是信息安全建設的基本保證���,信息安全組織的目標是:
1)完善和形成一個獨立的�、完整的��、動態(tài)的�����、開放的信息安全組織架構��,達到國際國內(nèi)標準的要求�����;
2)打造一支具有專業(yè)水準的�、過硬本領的信息安全隊伍。對內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全�,對外可以向社會提供高品質的安全服務;
3)建設一個 “信息安全運維中心(SOC)”����,能夠滿足當前和未來的業(yè)務發(fā)展及信息安全組織運轉的支撐系統(tǒng),能夠對外提供安全服務平臺。
3.2 組織規(guī)劃實施
對于組織規(guī)劃這個方面����,是屬于一個企業(yè)信息安全規(guī)劃的上層建筑,需要用一種由上而下的方法來實現(xiàn)�,其主要是在具體人事機制、管理機制和培訓機制上做工作�。對于分布式企業(yè)而言,需要主導部門從上層著手��,建章立制���,強化安全教育�,加大基礎人力���、財力和物力的投入�。
4 信息安全管理規(guī)劃
4.1 管理規(guī)劃目標
信息安全管理規(guī)劃的目標是��,完善和形成“七套信息安全軟措施”�,具體包括:一套等級劃分指標�����,一套信息安全策略,一套信息安全制度����,一套信息安全流程規(guī)范,一套信息安全教育培訓體系�,一套信息安全風險監(jiān)管機制,一套信息安全績效考核指標��?!捌咛仔畔踩洿胧标P系如圖1所示。
4.2 信息安全管理設計
基于對管理目標的分析��,信息安全管理的原則以風險管理為主��,集中安全控制���。管理要素由管理對象���、安全威脅、脆弱性�����、風險����、保護措施組成��。
4.2.1 信息安全等級劃分指標
信息安全等級保護是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中��,提高信息安全保障能力和水平���,維護國家安全、社會穩(wěn)定和公共利益�,保障和促進信息化健康發(fā)展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關于保護對象說明�����、保護必要性描述��、保護責任人���、保護對策以及意外處理方法的總和��。
4.2.3 信息安全制度
信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則��。
4.2.4 信息安全規(guī)范
信息安全規(guī)范是關于信息安全工作應達到的要求,在信息安全規(guī)范方面��,根據(jù)調(diào)查,建立信息安全管理規(guī)范�����、信息安全技術規(guī)范��。其中��,安全管理規(guī)范主要針對人員�、團隊、制度和資源管理提供參照性準則�����;信息安全技術規(guī)范主要針對安全設計����、施工、維護和操作提供技術性指導建議����。
4.2.5 信息安全管理流程
信息安全流程是指工作中應遵循的信息安全程序,其目的是減少安全隱患����,降低風險���。
4.2.6 信息安全績效考核指標
信息安全績效考核指標是指針對信息安全工作的質量和態(tài)度而給出的評價依據(jù),其目的是增強信息安全責任意識����,提高信息安全工作質量。
4.2.7 信息安全監(jiān)管機制
信息安全監(jiān)管機制是指有關信息安全風險的識別�����、分析和控制的措施總和�。其主要目的加強信息安全風險的控制,做到“安全第一��,預防為主”�。
4.2.8 信息安全教育培訓體系
其主要目的加強的信息安全人才隊伍的建設,提高企業(yè)人員的信息安全意識和技能�,增強企業(yè)信息安全能力。
5 信息安全技術規(guī)劃
5.1 技術規(guī)劃目標
信息安全技術規(guī)劃目標簡言之是:給業(yè)務運營提供信息安全環(huán)境�,為企業(yè)轉型提供契機,構建信息安全服務支撐系統(tǒng)���。具體目標如下:
1)打造信息安全基礎環(huán)境�,調(diào)整和優(yōu)化IT基礎設施�,建立安全專網(wǎng)����,設置兩個中心(信息安全運維中心��、災備中心)�����;
2)建立一體化信息安全平臺����,綜合集成安全決策調(diào)度����、安全巡檢、認證授權����、安全防護、安全監(jiān)控���、安全審計����、應急響應、安全服務����、安全測試、安全培訓等功能����,實現(xiàn)的集中安全管理控制,快速安全事件響應�����,高可信的安全防護�����,拓展企業(yè)業(yè)務�,開辟信息安全服務新領域。
5.2 信息安全運維中心(SOC)
SOC 是信息安全體系建設的基礎性工作����,SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎設施,提供信息安全中心技術人員的辦公場所�����,提供“7×24”小時連續(xù)不斷的安全應用服務,提供實時監(jiān)控、遠程入侵發(fā)現(xiàn)����、事件響應、安全更新與升級等業(yè)務���,SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設����、基礎工程外,SOC 的技術性工作還要做以下幾個方面:
1)硬件基礎建設�,主要內(nèi)容是SOC 的選址、布局��、布線�、系統(tǒng)集成,實現(xiàn)SOC 自身的防火��、防潮��、防電��、防塵、安全監(jiān)控功能�����;
2)軟件基礎建設����,包括SSS 系統(tǒng)、機房監(jiān)控子系統(tǒng)�����、功能小組及中心組劃分���。
圖1 信息安全軟措施關系
圖2 信息安全總體框架
圖3 資產(chǎn)�����、組織����、管理和安全措施的關系
5.3 信息安全綜合測試環(huán)境
隨著分布式企業(yè)信息化程度的日也加深�����,需要部署到大量IT 產(chǎn)品和應用系統(tǒng),為了保障安全�,必須對這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查,消除安全隱患����。基于此����,綜合測試環(huán)境建設的內(nèi)容包括:安全測試網(wǎng)絡;測試系統(tǒng)設備���;安全測試工具;安全測試分析系統(tǒng)����;安全測試知識庫。
其中��,安全測試網(wǎng)絡要求能夠模擬企業(yè)網(wǎng)絡真實的帶寬�;測試系統(tǒng)設備能夠提供典型的網(wǎng)絡服務流量模擬、典型的應用系統(tǒng)流量模擬��;安全測試工具覆蓋防范類����、檢測類���、評估類、應急恢復類�����、管理類等���,并提供使用說明�、漏洞掃描�����、應用安全分析�;安全測試分析系統(tǒng)能夠提供統(tǒng)計分析、圖表展現(xiàn)功能���;安全知識庫包含以下內(nèi)容:漏洞知識庫��,補丁信息庫�����,安全標準知識庫�����,威脅場景視頻庫��,攻擊特征知識庫����,信息安全解決案例庫,安全產(chǎn)品知識庫��,安全概念和術語知識庫��。
5.4 安全平臺建設規(guī)劃
參照國際上PDRR 模型和國家信息安全方面規(guī)范���,建議信息安全總體框架設計如圖2所示。
主要目的�����,以資產(chǎn)為核心���,通過安全組織實現(xiàn)資產(chǎn)保護�,以安全管理來約束組織的行為,以技術手段輔助安全管理��。其中���,資產(chǎn)�、組織����、管理、安全措施的關系如圖3所示�,核心為資產(chǎn),圍繞資產(chǎn)是組織����,組織是管理,最外層是安全措施�����。
在平臺中集成十個安全機制�����,它們分別是:信息安全集中管理���;信息安全巡檢���;信息安全認證授權�����;信息安全防護��;信息安全監(jiān)控�����;信息安全測試����;信息安全審核�����;信息安全應急響應����;信息安全教育培訓���;信息安全服務��。
6 信息安全服務業(yè)務規(guī)劃
6.1 服務業(yè)務規(guī)劃目標
信息安全服務業(yè)務規(guī)劃目標簡言之是:以信息安全服務為切入點����,充分發(fā)揮企業(yè)優(yōu)勢資源,引領信息安全市場�,為企業(yè)轉型創(chuàng)造時機。具體目標如下:
1)推出面向客戶安全(檢查�����、教育��、配置)產(chǎn)品�;2)推出面向大型企業(yè)的信息安全咨詢產(chǎn)品;3)推出面向家庭安全上網(wǎng)產(chǎn)品���;4)推出面向企業(yè)安全運維產(chǎn)品����;5)推出面向企業(yè)災害恢復產(chǎn)品����。
6.2 服務業(yè)務規(guī)劃設計
服務業(yè)務規(guī)劃主要針對具體業(yè)務而言��,在此列舉信息類分布式企業(yè)業(yè)務作為示例:
1)信息安全咨詢類產(chǎn)品��,其服務功能主要有:信息安全風險評估�;信息安全規(guī)劃設計��;信息安全產(chǎn)品顧問���。
2)信息安全教育培訓類產(chǎn)品����,其服務功能主要有:提供信息安全操作環(huán)境�;提供信息安全知識教育;提供信息安全運維教育�����。
3)家庭類安全服務產(chǎn)品�����,其服務功能主要有:推出“家庭綠色上網(wǎng)”安全服務�����;家庭上網(wǎng)防病毒服務�����;家庭上網(wǎng)機器安全檢查服務�;家庭上網(wǎng)機數(shù)據(jù)備份服務。
4)企業(yè)類安全服務產(chǎn)品��,其服務功能主要有:企業(yè)安全上網(wǎng)控制服務�;企業(yè)安全專網(wǎng)服務;安全信息通告����;企業(yè)運維服務。
5)容災類安全服務產(chǎn)品���,其服務功能主要有:面向政府數(shù)據(jù)災備服務����;面向政府信息系統(tǒng)災備服務�;面向企業(yè)數(shù)據(jù)災備服務;面向企業(yè)信息系統(tǒng)災備服務��。
7 結束語
通過結合分布式企業(yè)的具體實際,按照信息安全體系結構相關標準��,提出了分布式企業(yè)的信息安全規(guī)劃原則和目標��。并依據(jù)次原則與目標���,按照組織����、管理和技術三個方面提出了具體的實現(xiàn)與設計規(guī)范原則��。最后����,依據(jù)服務規(guī)劃目標,提出了信息類分布式企業(yè)的信息安全服務規(guī)劃設計實例���。
參考文獻:
[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡安全技術與應用���,2006,3:62~64�����,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications����,2004.
[3] 魏永紅,李天智,張志. 網(wǎng)絡信息安全防御體系探討[J].河北省科學院學報��,2006,23,(1):25~28.
[4] 張慶華. 信息網(wǎng)絡動態(tài)安全體系模型綜述[J].計算機應用研究���,2002,10:5~7.
[5] ISO/IEC 15408���,13335,15004����,14598,信息技術安全評估的系列標準[S].
[6] BS7799-1����,7799-2,ISO/IEC 17799���,信息安全管理系列標準[S].
[7] BS7799-2��,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運營商IT系統(tǒng)網(wǎng)絡架構的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
第3篇
在進行信息安全總體架構規(guī)劃時���,企業(yè)容易陷入兩個誤區(qū): 一是羅列一堆產(chǎn)品和技術����,把能夠看到的安全產(chǎn)品和安全技術(防火墻���、防病毒����、入侵監(jiān)測���、加密技術��、VPN��、終端準入控制)都堆砌起來���,以為這樣就構成了全面的安全屏障; 二是把企業(yè)信息安全等同于網(wǎng)絡安全,給出的規(guī)劃也只能是局部的�����、殘缺不全的�����。
要做企業(yè)信息安全總體架構規(guī)劃,首先要了解企業(yè)的信息安全需求���。拋開需求做規(guī)劃���,難免會掉進前面所講的兩種誤區(qū)中����。因此,做規(guī)劃要從需求入手�。
企業(yè)信息安全總體架構規(guī)劃模型(圖1)以企業(yè)信息安全的需求(保密性、完整性�����、可用性)為出發(fā)點����,以應用安全、數(shù)據(jù)安全����、主機安全�、網(wǎng)絡安全�、桌面安全、物理安全為關注重點���,層層剖析����、全面挖掘企業(yè)的信息安全需求��,是一種將管理��、技術和人員三者有機結合的企業(yè)信息安全保障體系�。該模型均衡考慮了企業(yè)在保密性(C)、完整性(I)和可用性(A)三方面的安全需求�����。
企業(yè)信息安全總體架構規(guī)劃模型雖然清晰地指出了規(guī)劃的要點��、重點和思路��,但是按照此模型還是不知道如何去做����,具體實施應參照一定的方法論進行��。企業(yè)信息安全總體架構規(guī)劃方法論(圖2)融合了以管理和技術為核心的全面分析方法�,以安全需求為焦點�����,從管理現(xiàn)狀��、技術現(xiàn)狀和人員狀況三個維度����,綜合采用調(diào)查問卷�����、人員訪談���、現(xiàn)場察看�����、資料分析���、技術檢測等多種手段����,全面深入地挖掘需求����。在明確需求的前提下,借鑒同類企業(yè)成功經(jīng)驗并均衡考慮CIA(保密性���、完整性����、可用性)�����,規(guī)劃符合企業(yè)實情的信息安全保障體系����。
在企業(yè)信息安全總體架構規(guī)劃方法論中,重點工作的描述如下:
調(diào)查問卷
針對企業(yè)情況�,信息主管應參照ISO27001/ISO13335等標準,制定相應的調(diào)查問卷����,通過它全面了解企業(yè)的安全要求�����、安全狀況���、IT環(huán)境,以及企業(yè)信息系統(tǒng)的應用情況和已經(jīng)采取的安全控制手段�����。
人員訪談
應選定關鍵領導和關鍵崗位�����,進行人員訪談����,全面了解信息系統(tǒng)的安全需求��,層層剖析��、深入了解企業(yè)信息系統(tǒng)各層面的安全現(xiàn)狀�����,包括應用狀況、數(shù)據(jù)存儲及數(shù)據(jù)庫�����、主機及操作系統(tǒng)�、網(wǎng)絡拓撲及網(wǎng)絡管理、數(shù)據(jù)中心及桌面管理等���。
現(xiàn)場查看
為了確保獲取信息的全面性和準確性��,實地考察是非常必要的?�,F(xiàn)場查看主要有兩方面���。一方面是了解現(xiàn)有技術措施的情況,例如設備使用狀況��、技術應用狀況等; 另一方面是物理環(huán)境察看����,例如機房、辦公室��、其他重要區(qū)域、門禁����、監(jiān)控等。
資料分析
收集企業(yè)的相關資料進行分析���,重點包括信息系統(tǒng)的部署架構�����、網(wǎng)絡架構����、安全制度���、運維管理���、IT運行報告和IT審計報告。
技術檢測
采取技術手段進行漏洞檢測和分析���,包括滲透測試、漏洞掃描�����、本地檢查和手工檢查等。充分發(fā)掘網(wǎng)絡方面的漏洞����、主機及操作系統(tǒng)漏洞、數(shù)據(jù)庫方面的漏洞�����、應用方面的漏洞等��。
CIA均衡考慮
通過前面5種方法完成需求分析之后��,CIO對信息安全的具體詳細的需求就了解了���。然后針對企業(yè)的信息安全需求��,均衡考慮CIA三個方面設計技術��、管理和人員控制措施���,并將這些措施有機結合構建信息安全保障體系。
第4篇
[關鍵詞]信息安全�����;管理;控制�;構建
中圖分類號:X922;F272 文獻標識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業(yè)信息安全的現(xiàn)狀
隨著企業(yè)信息化水平的提升�,大多數(shù)企業(yè)在信息安全建設上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設備�����,但信息安全防護理念還停留在防的階段��,信息安全策略都是在安全事件發(fā)生后再補救����,導致了企業(yè)信息防范的主動性和意識不高,信息安全防護水平已經(jīng)越來越不適應當今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求���。
2 企業(yè)信息系統(tǒng)安全防護的構建原則
企業(yè)信息化安全建設的目標是在保障企業(yè)數(shù)字化成果的安全性和可靠性�����。在構建企業(yè)信息安全體系時應該遵循以下幾個原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構�、制定信息安全管理規(guī)范����,來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善?���;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型�����、建立可靠嚴謹?shù)膱?zhí)行策略�、選用安全可靠的的防護產(chǎn)品等。
2.2 提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中����,防護設備和防護策略只是其中的一部分,企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成�����。所以企業(yè)在實施信息化安全管理時���,絕對不能忽視對人的行為規(guī)范和績效管理��。在企業(yè)實施企業(yè)信息安全前����,應制定企業(yè)員工信息安全行為規(guī)范,有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全����、可靠、穩(wěn)定運行�����,保證企業(yè)信息安全����。其次階段遞進的培訓信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓�,強化企業(yè)員工對信息安全的概念,提升員工的安全意識�����。使員工的行為符合整個企業(yè)信息安全的防范要求��。
2.3 及時優(yōu)化更新企業(yè)信息安全防護技術
當企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時�,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別��、網(wǎng)絡隔離、網(wǎng)絡安全掃描��、實時監(jiān)控與入侵發(fā)現(xiàn)�、安全備份恢復等����。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據(jù)員工級別分配人員訪問權限�,達到企業(yè)敏感信息的安全保障。
3 企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設架構��,在滿足終端安全���、網(wǎng)絡安全�、應用安全���、數(shù)據(jù)安全等安全防護體系時�����,我們需要重點關注以下幾個方面:
3.1 實施終端安全����,規(guī)范終端用戶行為
在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴重的一種行為��。企業(yè)信息安全體系建立前����,企業(yè)員工對自己的個人行為不規(guī)范,造成了員工可以通過很多方式實現(xiàn)信息外漏���。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果�����。對于這類高危的行為�����,我們在建設安全防護體系時�����,僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的��。應該當用戶接入企業(yè)信息化平臺前��,就對用戶的終端系統(tǒng)進行安全規(guī)范檢查���,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)�����。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進行審計��,使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范�,從終端用戶提升企業(yè)的防護水平��。
3.2 建設安全完善的VPN接入平臺
企業(yè)在信息化建設中�����,考慮總部和分支機構的信息化需要��,必然會采用VPN方式來解決企業(yè)的需求�。不論是采用SSL VPN還是IPSecVPN�,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接����,這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSL VPN方式����。在這種情況下���,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時���,可以要求設備商做好多種接入方式的需求�����,并且?guī)椭髽I(yè)搭建認證方式����。這將有利于企業(yè)日常維護�,提升企業(yè)信息系統(tǒng)的VPN接入水平。
3.3 優(yōu)化企業(yè)網(wǎng)絡的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡安全邊際時�����,要面對多個部門和分支結構�,合理的規(guī)劃安全網(wǎng)絡邊際將是關鍵。企業(yè)的網(wǎng)絡體系可以分為:物理層�;數(shù)據(jù)鏈路層;網(wǎng)絡層;傳輸層�;會話層;表示層�����;應用層�����。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風險的重要環(huán)節(jié)���。在企業(yè)多樣化網(wǎng)絡環(huán)境的背景下�����,根據(jù)企業(yè)安全優(yōu)先級及面臨的風險程度,做出適合企業(yè)信息安全的防護策略和訪問控制策略���。根據(jù)相應防護設備進行深層次的安全防護����,真正實現(xiàn)OSI的L2~L7層的安全防護��。
3.4 實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理
為企業(yè)信息安全構建統(tǒng)一的安全防護體系,重要的優(yōu)勢就是能實現(xiàn)對全網(wǎng)安全設備及安全事件的統(tǒng)一管理�,做到對整個網(wǎng)絡安全事件的“可視、可控和可管”���。企業(yè)采購的各種安全設備工作時會產(chǎn)生大量的安全日志�,如果單靠相關人員的識別日志既費時效率又低�����。而且不同安全廠商的日志報表還存在很大差異���。所以當安全事件發(fā)生時���,企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構建信息安全體系時��,就必須要考慮安全設備日志之間的統(tǒng)一化���,設定相應的訪問控制和安全策略實現(xiàn)日志的歸類分析�。這樣才能做到對全網(wǎng)安全事件的“可視�����、可控和可管”。
4 結束語
信息安全的主要內(nèi)容就是保護企業(yè)的數(shù)字化成果的安全和完整�����。企業(yè)在實施信息安全防護過程中是一個長期的持續(xù)的工作�����。我們需要在前期做好詳盡的安全防護規(guī)劃�����,實施過程中根據(jù)不斷出現(xiàn)的情況及時調(diào)整安全策略和訪問控制�����,保證備份數(shù)據(jù)的安全性可靠性����。同時全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護管理規(guī)定���,這樣才能為企業(yè)的信息安全提供生命力和主動性��,真正為企業(yè)的核心業(yè)務提供安全保障�����。
參考文獻
[1] 段永紅.如何構建企業(yè)信息安全體系[J]. 科技視界��,2012����,16:179-180.
[2] 于雷.企業(yè)信息安全體系構建[J].科技與企業(yè),2011��,08:69.
[3] 彭佩����,張婕,李紅梅. 企業(yè)信息安全立體防護體系構建及運行[J].現(xiàn)代電子技術���,2014���,12:42-45+48.
[4] 劉小發(fā),李良���,嚴海濤.基于企業(yè)網(wǎng)絡的信息安全體系構建策略探討[J]. 郵電設計技術����,2013,12:25-28.
[5] 白雪祺�����,張銳鋒. 淺析企業(yè)信息系統(tǒng)安全體系建設[J].管理觀察��,2014����,27:81-83.
第5篇
【關鍵詞】信息安全 管理 控制 構建
1 企業(yè)信息安全的現(xiàn)狀
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設上逐步添加了上網(wǎng)行為管理���、內(nèi)網(wǎng)安全管理等新的安全設備��,但信息安全防護理念還停留在防的階段�����,信息安全策略都是在安全事件發(fā)生后再補救���,導致了企業(yè)信息防范的主動性和意識不高,信息安全防護水平已經(jīng)越來越不適應當今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求��。
2 企業(yè)信息系統(tǒng)安全防護的構建原則
企業(yè)信息化安全建設的目標是在保障企業(yè)數(shù)字化成果的安全性和可靠性�。在構建企業(yè)信息安全體系時應該遵循以下幾個原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規(guī)范��,來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善��?���;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型�����、建立可靠嚴謹?shù)膱?zhí)行策略�、選用安全可靠的的防護產(chǎn)品等。
2.2 提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中�,防護設備和防護策略只是其中的一部分,企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成�����。所以企業(yè)在實施信息化安全管理時�,絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實施企業(yè)信息安全前�����,應制定企業(yè)員工信息安全行為規(guī)范,有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全����、可靠、穩(wěn)定運行�����,保證企業(yè)信息安全���。其次階段遞進的培訓信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施��。企業(yè)對員工進行逐次的安全培訓����,強化企業(yè)員工對信息安全的概念�����,提升員工的安全意識����。使員工的行為符合整個企業(yè)信息安全的防范要求。
2.3 及時優(yōu)化更新企業(yè)信息安全防護技術
當企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系���。對于安全防護技術來說可以分為身份識別、網(wǎng)絡隔離���、網(wǎng)絡安全掃描����、實時監(jiān)控與入侵發(fā)現(xiàn)�����、安全備份恢復等�����。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源���,并且可以根據(jù)員工級別分配人員訪問權限�����,達到企業(yè)敏感信息的安全保障���。
3 企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設架構�����,在滿足終端安全�、網(wǎng)絡安全�����、應用安全����、數(shù)據(jù)安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1 實施終端安全�����,規(guī)范終端用戶行為
在企業(yè)信息安全事件中���,數(shù)字化成果泄漏是屬于危害最為嚴重的一種行為�。企業(yè)信息安全體系建立前�,企業(yè)員工對自己的個人行為不規(guī)范,造成了員工可以通過很多方式實現(xiàn)信息外漏���。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果����。對于這類高危的行為,我們在建設安全防護體系時����,僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的��。應該當用戶接入企業(yè)信息化平臺前�,就對用戶的終端系統(tǒng)進行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)�。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進行審計,使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范�����,從終端用戶提升企業(yè)的防護水平����。
3.2 建設安全完善的VPN接入平臺
企業(yè)在信息化建設中,考慮總部和分支機構的信息化需要���,必然會采用VPN方式來解決企業(yè)的需求�����。不論是采用SSL VPN還是IPSecVPN��,VPN加密傳輸都是通用的選擇�。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩(wěn)定�。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下���,就必須做好對于移動終端的身份認證識別�。其實我們在設備采購時����,可以要求設備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認證方式���。這將有利于企業(yè)日常維護�,提升企業(yè)信息系統(tǒng)的VPN接入水平。
3.3 優(yōu)化企業(yè)網(wǎng)絡的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡安全邊際時,要面對多個部門和分支結構����,合理的規(guī)劃安全網(wǎng)絡邊際將是關鍵�����。企業(yè)的網(wǎng)絡體系可以分為:物理層�����;數(shù)據(jù)鏈路層�;網(wǎng)絡層;傳輸層�����;會話層��;表示層��;應用層���。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風險的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡環(huán)境的背景下�,根據(jù)企業(yè)安全優(yōu)先級及面臨的風險程度,做出適合企業(yè)信息安全的防護策略和訪問控制策略�����。根據(jù)相應防護設備進行深層次的安全防護,真正實現(xiàn)OSI的L2~L7層的安全防護����。
3.4 實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理
為企業(yè)信息安全構建統(tǒng)一的安全防護體系,重要的優(yōu)勢就是能實現(xiàn)對全網(wǎng)安全設備及安全事件的統(tǒng)一管理���,做到對整個網(wǎng)絡安全事件的“可視����、可控和可管”��。企業(yè)采購的各種安全設備工作時會產(chǎn)生大量的安全日志�����,如果單靠相關人員的識別日志既費時效率又低��。而且不同安全廠商的日志報表還存在很大差異����。所以當安全事件發(fā)生時,企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理���。所以在企業(yè)在構建信息安全體系時����,就必須要考慮安全設備日志之間的統(tǒng)一化,設定相應的訪問控制和安全策略實現(xiàn)日志的歸類分析�����。這樣才能做到對全網(wǎng)安全事件的“可視�、可控和可管”。
4 結束語
信息安全的主要內(nèi)容就是保護企業(yè)的數(shù)字化成果的安全和完整���。企業(yè)在實施信息安全防護過程中是一個長期的持續(xù)的工作����。我們需要在前期做好詳盡的安全防護規(guī)劃���,實施過程中根據(jù)不斷出現(xiàn)的情況及時調(diào)整安全策略和訪問控制,保證備份數(shù)據(jù)的安全性可靠性����。同時全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護管理規(guī)定,這樣才能為企業(yè)的信息安全提供生命力和主動性�,真正為企業(yè)的核心業(yè)務提供安全保障。
參考文獻
[1]郝宏志.企業(yè)信息管理師[M].北京:機械工業(yè)出版社���,2005.
[2]蔣培靜.歐美國家如何培養(yǎng)網(wǎng)絡安全意識[J].中國教育網(wǎng)絡�,2008(7):48-49.
作者簡介
常勝(1982-),男����,回族,天津市人?���,F(xiàn)為中國市政工程華北設計研究總院有限公司工程師。研究方向為網(wǎng)絡安全與服務器規(guī)劃部署�。
第6篇
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設上逐步添加了上網(wǎng)行為管理��、內(nèi)網(wǎng)安全管理等新的安全設備���,但信息安全防護理念還停留在防的階段���,信息安全策略都是在安全事件發(fā)生后再補救,導致了企業(yè)信息防范的主動性和意識不高���,信息安全防護水平已經(jīng)越來越不適應當今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求��。
2企業(yè)信息系統(tǒng)安全防護的構建原則
企業(yè)信息化安全建設的目標是在保障企業(yè)數(shù)字化成果的安全性和可靠性�。在構建企業(yè)信息安全體系時應該遵循以下幾個原則:
2.1建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規(guī)范���,來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善��?����;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風險分析���、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴謹?shù)膱?zhí)行策略�����、選用安全可靠的的防護產(chǎn)品等����。
2.2提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中��,防護設備和防護策略只是其中的一部分��,企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成�����。所以企業(yè)在實施信息化安全管理時,絕對不能忽視對人的行為規(guī)范和績效管理���。在企業(yè)實施企業(yè)信息安全前�����,應制定企業(yè)員工信息安全行為規(guī)范����,有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全�、可靠、穩(wěn)定運行���,保證企業(yè)信息安全�。其次階段遞進的培訓信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施��。企業(yè)對員工進行逐次的安全培訓��,強化企業(yè)員工對信息安全的概念�,提升員工的安全意識。使員工的行為符合整個企業(yè)信息安全的防范要求。
2.3及時優(yōu)化更新企業(yè)信息安全防護技術
當企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時����,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別��、網(wǎng)絡隔離��、網(wǎng)絡安全掃描����、實時監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復等�����。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源����,并且可以根據(jù)員工級別分配人員訪問權限,達到企業(yè)敏感信息的安全保障�����。
3企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設架構���,在滿足終端安全�、網(wǎng)絡安全�����、應用安全���、數(shù)據(jù)安全等安全防護體系時�����,我們需要重點關注以下幾個方面:
3.1實施終端安全�,規(guī)范終端用戶行為
在企業(yè)信息安全事件中����,數(shù)字化成果泄漏是屬于危害最為嚴重的一種行為。企業(yè)信息安全體系建立前���,企業(yè)員工對自己的個人行為不規(guī)范��,造成了員工可以通過很多方式實現(xiàn)信息外漏����。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為���,我們在建設安全防護體系時��,僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的�。應該當用戶接入企業(yè)信息化平臺前����,就對用戶的終端系統(tǒng)進行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)��。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進行審計�,使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶提升企業(yè)的防護水平����。
3.2建設安全完善的VPN接入平臺
企業(yè)在信息化建設中,考慮總部和分支機構的信息化需要�,必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSLVPN還是IPSecVPN�,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接�,這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSLVPN方式��。在這種情況下,就必須做好對于移動終端的身份認證識別����。其實我們在設備采購時�����,可以要求設備商做好多種接入方式的需求�����,并且?guī)椭髽I(yè)搭建認證方式�。這將有利于企業(yè)日常維護,提升企業(yè)信息系統(tǒng)的VPN接入水平��。
3.3優(yōu)化企業(yè)網(wǎng)絡的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡安全邊際時�,要面對多個部門和分支結構,合理的規(guī)劃安全網(wǎng)絡邊際將是關鍵���。企業(yè)的網(wǎng)絡體系可以分為:物理層�;數(shù)據(jù)鏈路層�;網(wǎng)絡層;傳輸層���;會話層�;表示層;應用層���。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風險的重要環(huán)節(jié)�。在企業(yè)多樣化網(wǎng)絡環(huán)境的背景下���,根據(jù)企業(yè)安全優(yōu)先級及面臨的風險程度�����,做出適合企業(yè)信息安全的防護策略和訪問控制策略����。根據(jù)相應防護設備進行深層次的安全防護����,真正實現(xiàn)OSI的L2~L7層的安全防護。
3.4實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理
為企業(yè)信息安全構建統(tǒng)一的安全防護體系��,重要的優(yōu)勢就是能實現(xiàn)對全網(wǎng)安全設備及安全事件的統(tǒng)一管理����,做到對整個網(wǎng)絡安全事件的“可視�����、可控和可管”�。企業(yè)采購的各種安全設備工作時會產(chǎn)生大量的安全日志����,如果單靠相關人員的識別日志既費時效率又低����。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發(fā)生時����,企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構建信息安全體系時����,就必須要考慮安全設備日志之間的統(tǒng)一化,設定相應的訪問控制和安全策略實現(xiàn)日志的歸類分析�����。這樣才能做到對全網(wǎng)安全事件的“可視��、可控和可管”。
4結束語
第7篇
關鍵詞:信息完全����;技術;體系
一��、前言
隨著金川集團公司跨國經(jīng)營戰(zhàn)略的實施�,企業(yè)信息化進程不斷深入,企業(yè)信息安全己經(jīng)引起公司領導的的高度重視�,但依然存在不少問題。調(diào)查結果表明����,造成網(wǎng)絡安全事件發(fā)生的原因有很多,一是安全技術保障體系尚不完善�,企業(yè)花了大量的金錢購買了信息安全設備,但是技術保障不成體系����,達不到預想的目標;二是應急反應體系沒有經(jīng)常化����、制度化;三是企業(yè)信息安全的標準、制度建設滯后。其中��,由于未修補或防范軟件漏洞導致發(fā)生安全事件的占安全事件總數(shù)的80%�,登錄密碼過于簡單或未修改密碼導致發(fā)生安全事件的占19%。近年來�,雖然使用單位對信息網(wǎng)絡安全管理工作的重視程度普遍提高,80%的被調(diào)查單位有專職或兼職的安全管理人員���,但是����,很多企業(yè)存在安全觀念薄弱�����、安全管理員缺乏培訓�����、安全經(jīng)費投入不足和安全產(chǎn)品不能滿足要求等問題����,也說明目前安全管理水平還比較低��。因此現(xiàn)代企業(yè)迫切需要建立信息資源安全管理體系����。
二����、企業(yè)信息資源安全管理體系構建
1���、企業(yè)信息安全組織管理
企業(yè)信息安全組織體系定義為一個三層的組織���,組織架構如圖所示:
企業(yè)信息安全組織
l)總經(jīng)理通過總經(jīng)辦負責企業(yè)信息、安全的決策事項�����。2)總經(jīng)理任命一名信息安全主管負責企業(yè)信息安全的風險管理�,該主管領導一個有各個部門主要負責人參加的信息安全管理小組維護企業(yè)信息安全管理體系、管理企業(yè)信息安全風險����。3)總經(jīng)理任命一名信息安全審計師,負責企業(yè)信息安全活動的審計����。4)行政部門、業(yè)務部門和分支機構執(zhí)行信息安全管理體系中的相應安全政策,并在信息安全管理主管的領導下���,實施風險管理計劃�����。各個部門負責人有義務向信息安全主管報告所管轄部門的信息安全狀況���,信息安全主管應定期在組織范圍內(nèi)和向上級機關報告企業(yè)信息安全狀況。
2�、企業(yè)信息安全政策管理
根據(jù)企業(yè)信息安全風險分析的結果和信息安全政策制定的原則,設計信息安全政策體系包括以下幾點:(1)企業(yè)信息安全風險管理政策:a)信息安全風險定義�,包括風險等級定義和安全類別定義;b)信息安全風險評估執(zhí)行要求,包括時問周期要求���、范圍要求、基于事件的風險評估要求:c)信息安全風險評估責任���,包括信息安全管理人員責任和業(yè)務部門責任�����。(2)企業(yè)信息安全體系管理政策:a)管理體系的規(guī)劃�����,包括規(guī)劃的時機�����、規(guī)劃的內(nèi)容����、規(guī)劃的依據(jù)、規(guī)劃的責任人:b)管理體系的實施�����,包括�����、培訓���、執(zhí)行獎懲�。c)管理體系的驗證�,包括周期管理評審、安全審計����、事件評審�、殘留風險評估�。d)管理體系的改進,包括分析和變更控制��。(3)病毒抵御安全政策:a)操作程序一運行網(wǎng)絡管理人員日常工作的程序�。這部分安全政策主要控制的風險是不規(guī)范的管理活動造成無效或低效的管理。b)關鍵資源監(jiān)控一識別出關鍵設備并對關鍵設備的運行狀態(tài)進行監(jiān)控���。這部分安全政策主要控制的風險是關鍵資源異常情況不能被及時發(fā)現(xiàn)和處理�。c)軟件系統(tǒng)維護一對軟件系統(tǒng)及時地升級和打補丁����。這部分安全政策主要控制的風險是軟件系統(tǒng)未及時升級和/或打補丁而造成的信息故障或者安全事故。d)敏感資料存儲一對在業(yè)務進行過程中產(chǎn)生的敏感信息的存放管理�。這部分安全政策主要控制的風險是由于對敏感資料存儲不當導致資料的丟失或泄漏。
3����、企業(yè)信息安全事件管理
目前�����,沒有任何一種具有代表性的信息安全策略或防護措施可對信息、信息系統(tǒng)����、服務或網(wǎng)絡提供絕對的保護。即使采取了防護措施��,仍可能存在殘留的弱點��,使得信息安全防護變得無效����,從而導致信息安全事件發(fā)生,并對企業(yè)的業(yè)務運行直接或間接地產(chǎn)生負面影響�。此外,以前未被認識到的威脅也將會不可避免地發(fā)生�����。企業(yè)如果對如何應對這些事件沒有作好充分準備���,其任何實際響應的效率都會大打折扣����,甚至還可能增加潛在的業(yè)務負面影響�。因此�����,企業(yè)應著重做好信息安全事件管理工作�����。信息安全事件管理方案的必企業(yè)應著重做好信息安全事件管理工作�����。信息安全事件管理方案的必要過程包括:(1)發(fā)現(xiàn)和報告發(fā)生的信息安全事態(tài)�,無論是由企業(yè)人員/顧客引起的還是自動發(fā)生的(如防火墻警報)��。(2)收集有關信息安全事態(tài)的信息����,由企業(yè)的運行支持組人員進行評估,確定該事態(tài)屬于信息安全事件還是發(fā)生了誤報��。確認該事態(tài)是否屬于信息安全事件��,如果是���,則立即作出響應��,同時啟動必要的法律取證分析�、溝通活動���。(3)進行評審以確定該信息安全事件是否處于控制下�����。(4)如果處于控制下�,則啟動任何所需要的進一步的后續(xù)響應�����,以確保所有相關信息準備完畢�����,供事件解決后評審所用����。(5)如果不在控制下,則采取“危機求助”活動并召集相關人員����,如企業(yè)中負責業(yè)務連續(xù)性的管理者和工作組�。(6)在整個階段按要求進行上報����,以便進一步評估和決策。(7)確保所有相關人員��,正確記錄所有活動以備后面分析所用���。(8)確保對電子證據(jù)進行收集和安全保存�����,同時確保電子證據(jù)的安全保存得到持續(xù)監(jiān)視�,以備法律起訴或內(nèi)部處罰所需���。(9)確保包括信息安全事件追蹤和事件報告更新的變更控制制度得到維護��,從而使得信息安全事態(tài)/事件數(shù)據(jù)庫保持最新���。
4、企業(yè)信息安全技術管理
我們所構建的信息安全管理體系中���,不能忽視技術的作用�����,雖然只使用技術控制不能保證一個信息安全環(huán)境���,但是在通常情況下,它是信息安全項目的基礎部分��。(1)密碼服務技術�����。密碼服務技術為密碼的有效應用提供技術支持�。通常密碼服務系統(tǒng)由密碼芯片、密碼模塊�、密碼機或軟件,以及密碼服務接口構成��。通常�����,企業(yè)會涉及以下幾個方面的密碼應用:數(shù)字證書運算����、密鑰加密運算��、數(shù)據(jù)傳輸���、數(shù)據(jù)儲存、數(shù)字簽名��、數(shù)字信封�����。(2)故障恢復技術����。故障恢復的主要措施有:群集配置,由多臺計算機組成群集結構���,盡可能消除整個系統(tǒng)可能存在的單點故障��;雙機熱備份�,在任何一臺設備失效的情況下�,按照預先定義的規(guī)則快速切換至相應的備份設備,維持業(yè)務的正常運行����;故障恢復管理�����,由專門的集群軟件進行管理和監(jiān)控��,使應用系統(tǒng)在任何軟硬件組成單元發(fā)生故障時�����,能夠根據(jù) 故障情況重新分配任務。(3)惡意代碼防范技術:惡意代碼防范技術包括四大系統(tǒng):病毒查殺系統(tǒng)��、網(wǎng)關防毒系統(tǒng)�����、群件防毒系統(tǒng)�����、集中管理系統(tǒng)��。(4)入侵檢測技術��。入侵檢測系統(tǒng)是實現(xiàn)入侵檢測功能的一系列的軟件、硬件的組合���。入侵檢測系統(tǒng)以實時方式監(jiān)測網(wǎng)絡通信���,對其進行分析并實時安全預警,從而使企業(yè)能夠有效管理內(nèi)部人員和資源���,并對外部攻擊進行早期預警和跟蹤���,有效保障系統(tǒng)安全?�;谥鳈C的入侵檢測系統(tǒng)通常以系統(tǒng)日志���、應用程序日志等審計記錄文件作為數(shù)據(jù)源����。通過比較這些審計記錄文件與攻擊簽名是否匹配���,如果匹配立即報警采取行動.基于網(wǎng)絡的入侵檢測系統(tǒng)把原始的網(wǎng)絡數(shù)據(jù)包作為數(shù)據(jù)源��。它是利用網(wǎng)絡適配器來實時監(jiān)視并分析通過網(wǎng)絡進行傳輸?shù)乃型ㄐ艠I(yè)務����。(5)掃描與分析技術。端口掃描工具能識別網(wǎng)絡上活動的計算機��,同樣也可以識別這些計算機上的活動端口和服務����。可以掃描特定類型的計算機���、協(xié)議和資源�����,也可進行普遍掃描。漏洞掃描可以掃描網(wǎng)絡并得到非常詳細的信息�。可以識別暴露的用戶名和組���,顯示開放的網(wǎng)絡共享��,并暴露配置問題和其他服務器漏洞�。內(nèi)容過濾器也能有效地保護機構系統(tǒng)���,使其不受誤用和無意的拒絕服務�����。
5��、企業(yè)信息安全培訓的必要性
公司目前很多崗位和部門的員工都從事涉密數(shù)據(jù)相關工作��,有很多數(shù)據(jù)和信息涉及到公司的機密和知識產(chǎn)權����,但是大多數(shù)員工信息安全意識差,在平時的工作中在意識上和實際工作中存在很多問題���,導致涉密數(shù)據(jù)的外漏���,給公司的生產(chǎn)經(jīng)營造成不可挽回的損失。在有管理組織����、政策制度和技術保障的情況下,通過對涉密數(shù)據(jù)相關工作人員的信息安全意識和信息安全操作培訓是非常必要的���。
三�、結語
總之,企業(yè)信息安全管理體系是一個企業(yè)日常經(jīng)營和持續(xù)發(fā)展的基本保證�����,也是企業(yè)戰(zhàn)略和管理的重要環(huán)節(jié)���。建立信息安全管理體系的目的就是降低信息風險對企業(yè)的危害���。并將企業(yè)信息系統(tǒng)投資和商業(yè)利益最大化。信息安全不只是個技術問題��,而更多的是商業(yè)����、管理和法律問題。實現(xiàn)信息安全不僅僅需要采用技術措施�����,還需要更多地借助于技術以外的其他手段�。
參考文獻:
