序論:在您撰寫企業信息安全規劃時�,參考他人的優秀作品可以開闊視野,小編為您整理的7篇范文�,希望這些建議能夠激發您的創作熱情�,引導您走向新的創作高度���。
第1篇
【關鍵詞】信息系統�����;安全建設;防護體系
1.企業信息系統安全防護的價值
隨著企業信息化水平的提高����,企業對于IT系統的依賴性也越來越高�。一方面�����,“業務系統流程化”正在成為IT安全建設的驅動力。企業的新業務應用正在逐漸標準化和流程化�,各種應用系統如ERP��、MES為企業的生產效率的提高起到了關鍵的作用���。有效的管控IT環境�,確保IT業務系統的持續穩定運行作為企業競爭力的一部分,已成為IT系統安全防護的主要目標和關鍵驅動力�����。另一方面����,企業IT安全的建設也是“法規遵從”的需要��。IT系統作為企業財務應用系統的重要支撐���,必須提供可靠的運行保障和數據正確性保證����。
2.企業信息系統安全建設的現狀分析
在企業信息化建設的過程中��,業務系統的建設一直是關注的重點����,但是IT業務系統的安全保障方面��,往往成為整個信息化最薄弱的環節�,尤其是在信息化水平還較低的情況下��,IT系統的安全建設缺乏統一的策略作為指導。歸結起來�,企業在IT系統安全建設的過程中�����,存在以下幾方面的不足:
2.1 安全危機意識不足���,制度和規范不健全
盡管知道IT安全事故后果比較嚴重,但是企業的高層領導心中仍然存在著僥幸心理�,更多的時候把IT安全建設的預算挪用到其他的領域。企業在信息安全制度及信息安全緊急事件響應流程等方面缺乏完整的制度和規范保證����,由此帶來的后果是諸如對網絡的任意使用,導致公司的機密文檔被擴散�����。同時在發生網絡安全問題的時候�,也因為缺乏預先設置的各種應急防護措施����,導致安全風險得不到有效控制。
2.2 應用系統和安全建設相分離���,忽視數據安全存儲建設
在企業IT應用系統的建設時期�����,由于所屬的建設職能部門的不同,或者是因為投資預算的限制���,導致在應用系統建設階段并沒有充分考慮到安全防護的需要���,為后續的應用系統受到攻擊癱瘓埋下了隱患��。數據安全的威脅表現在核心數據的丟失�����;各種自然災難、IT系統故障��,也對數據安全帶來了巨大沖擊����。遺憾的是很多企業在數據的安全存儲方面���,并沒有意識到同城異地災難備份或遠程災難備份的重要性��。
2.3 缺乏整體的安全防護體系���,“簡單疊加�����、七國八制”
對于信息安全系統的建設���,“頭痛醫頭、腳痛醫腳”的現象比較普遍。大多數企業仍然停留在出現一個安全事故后再去解決一個安全隱患的階段����,缺乏對信息安全的全盤考慮和統一規劃����,這樣的后果就是網絡上的設備五花八門�,設備方案之間各自為戰�,缺乏相互關聯,從而導致了多種問題����。
3.企業信息系統安全建設規劃的原則
企業的信息化安全建設的目標是要保證業務系統的正常運轉從而為企業帶來價值�,在設計高水平的安全防護體系時應該遵循以下幾個原則:
(1)統一規劃設計。信息安全建設�����,需要遵循“統一規劃、統一標準、統一設計���、統一建設”的原則;應用系統的建設要和信息安全的防護要求統一考慮����。
(2)架構先進�,突出防護重點����。要采用先進的架構���,選擇成熟的主流產品和符合技術發展趨勢的產品��;明確信息安全建設的重點���,重點保護基礎網絡安全及關鍵應用系統的安全���,對不同的安全威脅進行有針對性的方案建設��。
(3)技術和管理并重����,注重系統間的協同防護?��!叭旨夹g��,七分管理”,合理劃分技術和管理的界面����,從組織與流程、制度與人員�、場地與環境、網絡與系統、數據與應用等多方面著手����,在系統設計��、建設和運維的多環節進行綜合協同防范。
(4)統一安全管理,考慮合規性要求�����。建設集中的安全管理平臺�,統一處理各種安全事件,實現安全預警和及時響應��;基于安全管理平臺��,輸出各種合規性要求的報告,為企業的信息安全策略制定提供參考���。
(5)高可靠�����、可擴展的建設原則�。這是任何網絡安全建設的必備要求��,是業務連續性的需要���,是滿足企業發展擴容的需要�����。
4.企業信息系統安全建設的部署建議
以ISO27001等企業信息安全法規[1]遵從的原則為基礎,通過分析企業信息安全面臨的風險和前期的部署實踐���,建立企業信息安全建設模型�����,如圖1所示��。
圖1 企業信息系統安全建設模型
基于上述企業信息安全建設模型�����,在建設終端安全����、網絡安全、應用安全、數據安全����、統一安全管理和滿足法規遵從的全面安全防護體系時�,需要重點關注以下幾個方面的部署建議:
4.1 實施終端安全����,關注完整的用戶行為關聯分析
在企業關注的安全事件中����,信息泄漏是屬于危害比較嚴重的行為。現階段由于企業對網絡的管控不嚴���,員工可以通過很多方式實現信息外泄�,常見的方式有通過桌面終端的存儲介質進行拷貝或是通過QQ/MSN等聊天工具將文件進行上傳等��。針對這些高危的行為��,企業在建設信息安全防護體系的時候�����,單純的進行桌面安全控制或者internet上網行為控制都不能完全杜絕這種行為。而在統一規劃實施的安全防護體系中��,系統從用戶接入的那一時刻開始����,就對用戶的桌面行為進行監控��,同時配合internet上網行為審計設備�����,對該員工的上網行為進行監控和審計�����,真正做到從員工接入網絡開始的各種操作行為及上網行為都在嚴密的監控之中,提升企業的防護水平�����。
4.2 建設綜合的VPN接入平臺
無論是IPSec�、L2TP�����,還是SSL VPN����,都是企業在VPN建設過程中必然會遇到的需求����。當前階段���,總部與分支節點的接入方式有廣域網專線接入和通過internet接入兩種�����。使用VPN進行加密數據傳輸是通用的選擇���。對于部分移動用戶接入,也可以考慮部署SSL VPN的接入方式[2],在這種情況下,如何做好將多種VPN類型客戶的認證方式統一是需要重點考慮的問題�����。而統一接入認證的方式,如采用USBKEY等,甚至在設備采購時就可以預先要求設備商使用一臺設備同時支持這些需求�。這將給管理員的日常維護帶來極大的方便���,從而提升企業整體的VPN接入水平。
4.3 優化安全域的隔離和控制��,實現L2~L7層的安全防護
在建設安全邊界防護控制過程中�,面對企業的多個業務部門和分支機構,合理的安全域劃分將是關鍵�����。按照安全域的劃分原則,企業網絡包括內部園區網絡���、Internet邊界�、DMZ�、數據中心���、廣域網分支���、網管中心等組成部分����,各安全域之間的相互隔離和訪問策略是防止安全風險的重要環節��。在多樣化安全域劃分的基礎上�����,深入分析各安全域內的業務單元��,根據企業持續性運行的高低優先級以及面臨風險的嚴重程度�����,設定合適的域內安全防護策略及安全域之間的訪問控制策略���,實現有針對性的安全防護�。例如����,選擇FW+IPS等設備進行深層次的安全防護�����,或者提供防垃圾郵件、Web訪問控制等解決方案進行應對���,真正實現L2~L7層的安全防護�����。
4.4 強調網絡和安全方案之間的耦合聯動,實現網絡安全由被動防御到主動防御的轉變
統一規劃的技術方案�,可以做到方案之間的有效關聯,實現設備之間的安全聯動�����。在實際部署過程中�,在接入用戶側部署端點準入解決方案�����,實現客戶端點安全接入網絡。同時啟動安全聯動的特性�����,一旦安全設備檢測到內部網用戶正在對網絡的服務器進行攻擊,可以實現對攻擊者接入位置的有效定位�,并采取類似關閉接入交換機端口的動作響應�����,真正實現從被動防御向主動防御的轉變。
4.5 實現統一的安全管理�,體現對整個網安全事件的“可視�、可控和可管”
統一建設的安全防護系統�����,還有一個最為重要的優勢,就是能實現對全網安全設備及安全事件的統一管理��。面對各種安全設備發出來的大量的安全日志,單純靠管理員的人工操作是無能為力的,而不同廠商之間的安全日志可能還存在較大的差異�,難以實現對全網安全事件的統一分析和報警管理。因此在規劃之初,就需要考慮到各種安全設備之間的日志格式的統一化����,需要考慮設定相關安全策略以實現對日志的歸并分析并最終輸出各種合規性的報表,只有這樣才能做到對全網安全事件的統一可視、安全設備的統一批量配置下發,以及整網安全設備的防控策略的統一管理�,最終實現安全運行中心管控平臺的建設��。[3]
4.6 關注數據存儲安全��,強調本地數據保護和遠程災難備份相結合
在整體數據安全防護策略中���,可以采用本地數據保護和遠程災備相結合的方式?�;贑DP的數據連續保護技術可以很好地解決數據本地安全防護的問題���,與磁帶庫相比���,它具有很多的技術優勢�����。在數據庫的配合下�,通過連續數據快照功能實現了對重要數據的連續數據保護��,用戶可以選擇在出現災難后恢復到前面保存過的任何時間點的狀態,同時支持對“漸變式災難”的保護和恢復�����。在建設異地的災備中心時�,可以考慮從數據級災備和應用級災備兩個層面進行�。生產中心和異地災備中心的網絡連接方式可以靈活選擇,即可采用光纖直連����,也可采用足夠帶寬的IP網絡連接。在數據同步方式選擇上����,生產中心和災備中心采用基于磁盤陣列的異步復制技術,實現數據的異地災備����。異地災備中心還可以有選擇地部署部分關鍵應用服務器����,以提供對關鍵業務的應用級接管能力��,從而實現對數據安全的有效防護��。
5.結束語
企業信息安全防護體系的建設是一個長期的持續的工作�,不是一蹴而就的����,就像現階段的信息安全威脅也在不斷的發展和更新��,針對這些信息安全威脅的防護手段也需要逐步的更新并應用到企業的信息安全建設之中����,這種動態的過程將使得企業的信息安全防護更有生命力和主動性���,真正為企業的業務永續運行提供保障�����。
參考文獻
[1]李納.計算機系統安全與計算機網絡安全淺析[J].科技與企業,2013.
[2]李群��,周相廣����,陳剛.中國石油上游信息系統災難備份技術與實踐[J].信息技術與信息化����,2010�,06.
第2篇
關鍵詞:分布式����;信息安全��;規劃;方案
中圖分類號:TP309.2文獻標識碼:A 文章編號:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據來自eWeek 的消息����,市場研究機構Gartner 研究報告稱,很對企業目前仍缺乏完整的信息安全規劃和規范�����。盡管目前很多企業在信息安全方面的投入每年都在緩慢增長,但由于推動力以外部法律法規的約束和商業業務的壓力為主,因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平����。尤其對于機構構成方式為分布式的企業而言,因為信息安全需求和部署相對更加復雜�,投入更多��,因此這類企業的信息安全規劃就更加缺乏��。
本文根據這類分布式企業的特點提出了一種符合該類企業實際的信息安全規劃方案��。
2 總體規劃原則和目標
2.1 總體規劃原則
對于分布式企業的信息安全規劃����,要遵守如下原則:適度集中,控制風險����;突出重點���,分級保護���;統籌安排,分步實施��;分級管理,責任到崗�����;資源優化�,注重效益��。
這個原則的制定主要是根據分布式企業的實際機構構成情況��、人員素質情況以及資源配置情況來制定的�����。
2.2 總體規劃目標
信息系統安全規劃的方法可以不同�、側重點可以不同�,但是需要圍繞組織安全、管理安全�、技術安全進行全面的考慮。信息系統安全規劃的最終效果應該體現在對信息系統與信息資源的安全保護上����,下面將分別對組織規劃、管理規劃和技術規劃分別進行闡述���。信息安全規劃依托企業信息化戰略規劃,對信息化戰略的實施起到保駕護航的作用�。信息系統安全規劃的目標應該與企業信息化的目標是一致的,而且應該比企業信息化的目標更具體明確�、更貼近安全�����。信息系統安全規劃的一切論述都要圍繞著這個目標展開和部署�。
3 信息安全組織規劃
3.1 組織規劃目標
組織建設是信息安全建設的基本保證�����,信息安全組織的目標是:
1)完善和形成一個獨立的��、完整的��、動態的、開放的信息安全組織架構���,達到國際國內標準的要求;
2)打造一支具有專業水準的����、過硬本領的信息安全隊伍�。對內可以保障企業內部網安全,對外可以向社會提供高品質的安全服務�����;
3)建設一個 “信息安全運維中心(SOC)”�,能夠滿足當前和未來的業務發展及信息安全組織運轉的支撐系統�����,能夠對外提供安全服務平臺。
3.2 組織規劃實施
對于組織規劃這個方面�����,是屬于一個企業信息安全規劃的上層建筑�����,需要用一種由上而下的方法來實現�����,其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業而言���,需要主導部門從上層著手,建章立制�����,強化安全教育��,加大基礎人力、財力和物力的投入����。
4 信息安全管理規劃
4.1 管理規劃目標
信息安全管理規劃的目標是,完善和形成“七套信息安全軟措施”,具體包括:一套等級劃分指標�,一套信息安全策略�����,一套信息安全制度,一套信息安全流程規范��,一套信息安全教育培訓體系���,一套信息安全風險監管機制�,一套信息安全績效考核指標����。“七套信息安全軟措施”關系如圖1所示�。
4.2 信息安全管理設計
基于對管理目標的分析���,信息安全管理的原則以風險管理為主,集中安全控制���。管理要素由管理對象��、安全威脅�、脆弱性、風險��、保護措施組成。
4.2.1 信息安全等級劃分指標
信息安全等級保護是國家在國民經濟和社會信息化的發展過程中�����,提高信息安全保障能力和水平����,維護國家安全�����、社會穩定和公共利益���,保障和促進信息化健康發展的基本策略��。
4.2.2 信息安全策略
信息安全安全策略是關于保護對象說明�����、保護必要性描述��、保護責任人、保護對策以及意外處理方法的總和�。
4.2.3 信息安全制度
信息安全制度是指為信息資產的安全而制定的行為約束規則。
4.2.4 信息安全規范
信息安全規范是關于信息安全工作應達到的要求,在信息安全規范方面�,根據調查����,建立信息安全管理規范���、信息安全技術規范����。其中,安全管理規范主要針對人員�����、團隊�����、制度和資源管理提供參照性準則��;信息安全技術規范主要針對安全設計、施工、維護和操作提供技術性指導建議����。
4.2.5 信息安全管理流程
信息安全流程是指工作中應遵循的信息安全程序�,其目的是減少安全隱患��,降低風險�。
4.2.6 信息安全績效考核指標
信息安全績效考核指標是指針對信息安全工作的質量和態度而給出的評價依據,其目的是增強信息安全責任意識�����,提高信息安全工作質量�。
4.2.7 信息安全監管機制
信息安全監管機制是指有關信息安全風險的識別����、分析和控制的措施總和���。其主要目的加強信息安全風險的控制�����,做到“安全第一����,預防為主”����。
4.2.8 信息安全教育培訓體系
其主要目的加強的信息安全人才隊伍的建設�����,提高企業人員的信息安全意識和技能����,增強企業信息安全能力。
5 信息安全技術規劃
5.1 技術規劃目標
信息安全技術規劃目標簡言之是:給業務運營提供信息安全環境���,為企業轉型提供契機�,構建信息安全服務支撐系統。具體目標如下:
1)打造信息安全基礎環境�����,調整和優化IT基礎設施,建立安全專網�,設置兩個中心(信息安全運維中心、災備中心)��;
2)建立一體化信息安全平臺,綜合集成安全決策調度���、安全巡檢�、認證授權、安全防護����、安全監控、安全審計��、應急響應�����、安全服務��、安全測試、安全培訓等功能,實現的集中安全管理控制�,快速安全事件響應�����,高可信的安全防護��,拓展企業業務,開辟信息安全服務新領域����。
5.2 信息安全運維中心(SOC)
SOC 是信息安全體系建設的基礎性工作����,SOC 承載用于監控第一生產網的安全專網核心基礎設施��,提供信息安全中心技術人員的辦公場所,提供“7×24”小時連續不斷的安全應用服務,提供實時監控���、遠程入侵發現����、事件響應�����、安全更新與升級等業務,SOC 要求具有充分保障自身的安全措施����。除了SOC 的組織建設�、基礎工程外,SOC 的技術性工作還要做以下幾個方面:
1)硬件基礎建設���,主要內容是SOC 的選址�����、布局、布線、系統集成��,實現SOC 自身的防火�����、防潮�、防電����、防塵、安全監控功能�;
2)軟件基礎建設,包括SSS 系統��、機房監控子系統���、功能小組及中心組劃分�。
圖1 信息安全軟措施關系
圖2 信息安全總體框架
圖3 資產、組織�、管理和安全措施的關系
5.3 信息安全綜合測試環境
隨著分布式企業信息化程度的日也加深���,需要部署到大量IT 產品和應用系統��,為了保障安全�����,必須對這些IT 系統和產品做入網前安全檢查�����,消除安全隱患��?�;诖耍C合測試環境建設的內容包括:安全測試網絡�����;測試系統設備;安全測試工具��;安全測試分析系統;安全測試知識庫。
其中,安全測試網絡要求能夠模擬企業網絡真實的帶寬��;測試系統設備能夠提供典型的網絡服務流量模擬��、典型的應用系統流量模擬�;安全測試工具覆蓋防范類�����、檢測類���、評估類����、應急恢復類����、管理類等,并提供使用說明����、漏洞掃描����、應用安全分析;安全測試分析系統能夠提供統計分析����、圖表展現功能;安全知識庫包含以下內容:漏洞知識庫,補丁信息庫,安全標準知識庫��,威脅場景視頻庫,攻擊特征知識庫�����,信息安全解決案例庫���,安全產品知識庫��,安全概念和術語知識庫。
5.4 安全平臺建設規劃
參照國際上PDRR 模型和國家信息安全方面規范�,建議信息安全總體框架設計如圖2所示。
主要目的���,以資產為核心���,通過安全組織實現資產保護���,以安全管理來約束組織的行為�����,以技術手段輔助安全管理。其中�,資產��、組織�����、管理、安全措施的關系如圖3所示����,核心為資產��,圍繞資產是組織,組織是管理��,最外層是安全措施。
在平臺中集成十個安全機制,它們分別是:信息安全集中管理���;信息安全巡檢��;信息安全認證授權����;信息安全防護�;信息安全監控;信息安全測試;信息安全審核�;信息安全應急響應;信息安全教育培訓�����;信息安全服務�����。
6 信息安全服務業務規劃
6.1 服務業務規劃目標
信息安全服務業務規劃目標簡言之是:以信息安全服務為切入點��,充分發揮企業優勢資源�,引領信息安全市場,為企業轉型創造時機����。具體目標如下:
1)推出面向客戶安全(檢查�、教育����、配置)產品;2)推出面向大型企業的信息安全咨詢產品�����;3)推出面向家庭安全上網產品��;4)推出面向企業安全運維產品;5)推出面向企業災害恢復產品�。
6.2 服務業務規劃設計
服務業務規劃主要針對具體業務而言�����,在此列舉信息類分布式企業業務作為示例:
1)信息安全咨詢類產品,其服務功能主要有:信息安全風險評估�����;信息安全規劃設計;信息安全產品顧問���。
2)信息安全教育培訓類產品���,其服務功能主要有:提供信息安全操作環境�;提供信息安全知識教育���;提供信息安全運維教育����。
3)家庭類安全服務產品,其服務功能主要有:推出“家庭綠色上網”安全服務;家庭上網防病毒服務�����;家庭上網機器安全檢查服務����;家庭上網機數據備份服務�。
4)企業類安全服務產品�,其服務功能主要有:企業安全上網控制服務����;企業安全專網服務;安全信息通告���;企業運維服務。
5)容災類安全服務產品,其服務功能主要有:面向政府數據災備服務�;面向政府信息系統災備服務;面向企業數據災備服務�����;面向企業信息系統災備服務���。
7 結束語
通過結合分布式企業的具體實際�,按照信息安全體系結構相關標準�,提出了分布式企業的信息安全規劃原則和目標�����。并依據次原則與目標�,按照組織����、管理和技術三個方面提出了具體的實現與設計規范原則。最后��,依據服務規劃目標����,提出了信息類分布式企業的信息安全服務規劃設計實例。
參考文獻:
[1] 周曉梅. 論企業信息安全體系的建立[J]. 網絡安全技術與應用,2006��,3:62~64���,57.
[2] Harold F. Tipton��,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications���,2004.
[3] 魏永紅,李天智,張志. 網絡信息安全防御體系探討[J].河北省科學院學報�,2006,23,(1):25~28.
[4] 張慶華. 信息網絡動態安全體系模型綜述[J].計算機應用研究��,2002,10:5~7.
[5] ISO/IEC 15408,13335�����,15004,14598����,信息技術安全評估的系列標準[S].
[6] BS7799-1,7799-2����,ISO/IEC 17799���,信息安全管理系列標準[S].
[7] BS7799-2���,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運營商IT系統網絡架構的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
第3篇
在進行信息安全總體架構規劃時��,企業容易陷入兩個誤區: 一是羅列一堆產品和技術,把能夠看到的安全產品和安全技術(防火墻、防病毒���、入侵監測����、加密技術、VPN�����、終端準入控制)都堆砌起來,以為這樣就構成了全面的安全屏障; 二是把企業信息安全等同于網絡安全����,給出的規劃也只能是局部的�、殘缺不全的�。
要做企業信息安全總體架構規劃,首先要了解企業的信息安全需求。拋開需求做規劃���,難免會掉進前面所講的兩種誤區中��。因此����,做規劃要從需求入手�����。
企業信息安全總體架構規劃模型(圖1)以企業信息安全的需求(保密性、完整性��、可用性)為出發點����,以應用安全�、數據安全�����、主機安全、網絡安全�����、桌面安全��、物理安全為關注重點�,層層剖析、全面挖掘企業的信息安全需求�����,是一種將管理����、技術和人員三者有機結合的企業信息安全保障體系����。該模型均衡考慮了企業在保密性(C)��、完整性(I)和可用性(A)三方面的安全需求�。
企業信息安全總體架構規劃模型雖然清晰地指出了規劃的要點、重點和思路�����,但是按照此模型還是不知道如何去做��,具體實施應參照一定的方法論進行。企業信息安全總體架構規劃方法論(圖2)融合了以管理和技術為核心的全面分析方法�,以安全需求為焦點�����,從管理現狀���、技術現狀和人員狀況三個維度�,綜合采用調查問卷���、人員訪談、現場察看�����、資料分析、技術檢測等多種手段�����,全面深入地挖掘需求�����。在明確需求的前提下����,借鑒同類企業成功經驗并均衡考慮CIA(保密性����、完整性���、可用性)���,規劃符合企業實情的信息安全保障體系。
在企業信息安全總體架構規劃方法論中�,重點工作的描述如下:
調查問卷
針對企業情況��,信息主管應參照ISO27001/ISO13335等標準����,制定相應的調查問卷����,通過它全面了解企業的安全要求��、安全狀況���、IT環境��,以及企業信息系統的應用情況和已經采取的安全控制手段。
人員訪談
應選定關鍵領導和關鍵崗位��,進行人員訪談,全面了解信息系統的安全需求�,層層剖析���、深入了解企業信息系統各層面的安全現狀,包括應用狀況��、數據存儲及數據庫���、主機及操作系統�、網絡拓撲及網絡管理�、數據中心及桌面管理等。
現場查看
為了確保獲取信息的全面性和準確性���,實地考察是非常必要的?����,F場查看主要有兩方面。一方面是了解現有技術措施的情況�����,例如設備使用狀況�����、技術應用狀況等; 另一方面是物理環境察看���,例如機房、辦公室、其他重要區域���、門禁����、監控等���。
資料分析
收集企業的相關資料進行分析��,重點包括信息系統的部署架構、網絡架構、安全制度���、運維管理�、IT運行報告和IT審計報告。
技術檢測
采取技術手段進行漏洞檢測和分析�����,包括滲透測試�、漏洞掃描�、本地檢查和手工檢查等����。充分發掘網絡方面的漏洞���、主機及操作系統漏洞����、數據庫方面的漏洞���、應用方面的漏洞等�。
CIA均衡考慮
通過前面5種方法完成需求分析之后�����,CIO對信息安全的具體詳細的需求就了解了�����。然后針對企業的信息安全需求�����,均衡考慮CIA三個方面設計技術����、管理和人員控制措施����,并將這些措施有機結合構建信息安全保障體系����。
第4篇
[關鍵詞]信息安全;管理���;控制;構建
中圖分類號:X922��;F272 文獻標識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業信息安全的現狀
隨著企業信息化水平的提升���,大多數企業在信息安全建設上逐步添加了上網行為管理���、內網安全管理等新的安全設備���,但信息安全防護理念還停留在防的階段���,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求����。
2 企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1 建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范����,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善?;酒髽I信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型�、建立可靠嚴謹的執行策略�����、選用安全可靠的的防護產品等。
2.2 提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中�,防護設備和防護策略只是其中的一部分����,企業員工的行為也是維護企業數字化成果不可忽略的組成�。所以企業在實施信息化安全管理時��,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前��,應制定企業員工信息安全行為規范���,有效地實現企業信息系統和數字化成果的安全、可靠�、穩定運行,保證企業信息安全����。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓�����,強化企業員工對信息安全的概念,提升員工的安全意識�����。使員工的行為符合整個企業信息安全的防范要求。
2.3 及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時�,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別�����、網絡隔離、網絡安全掃描����、實時監控與入侵發現�、安全備份恢復等�����。比如身份識別的目的在于防止非企業人員訪問企業資源���,并且可以根據員工級別分配人員訪問權限��,達到企業敏感信息的安全保障��。
3 企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全���、網絡安全����、應用安全、數據安全等安全防護體系時�,我們需要重點關注以下幾個方面:
3.1 實施終端安全,規范終端用戶行為
在企業信息安全事件中���,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前�����,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏�。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果�。對于這類高危的行為,我們在建設安全防護體系時�����,僅僅靠上網行為管理控制是不能完全杜絕的����。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查��,符合企業制定的終端安全要求后再接入企業內網���。同時配合上網行為管理的策略對員工的上網行為進行審計��,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平��。
3.2 建設安全完善的VPN接入平臺
企業在信息化建設中�,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求�����。不論是采用SSL VPN還是IPSecVPN�,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接�,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式����。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時�����,可以要求設備商做好多種接入方式的需求�,并且幫助企業搭建認證方式。這將有利于企業日常維護����,提升企業信息系統的VPN接入水平��。
3.3 優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構��,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層���;數據鏈路層;網絡層�����;傳輸層;會話層�;表示層�;應用層���。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節����。在企業多樣化網絡環境的背景下���,根據企業安全優先級及面臨的風險程度�,做出適合企業信息安全的防護策略和訪問控制策略�����。根據相應防護設備進行深層次的安全防護�,真正實現OSI的L2~L7層的安全防護��。
3.4 實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系���,重要的優勢就是能實現對全網安全設備及安全事件的統一管理���,做到對整個網絡安全事件的“可視��、可控和可管”�。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異����。所以當安全事件發生時��,企業管理員很難實現對信息安全的統一分析和管理���。所以在企業在構建信息安全體系時��,就必須要考慮安全設備日志之間的統一化����,設定相應的訪問控制和安全策略實現日志的歸類分析�����。這樣才能做到對全網安全事件的“可視��、可控和可管”����。
4 結束語
信息安全的主要內容就是保護企業的數字化成果的安全和完整��。企業在實施信息安全防護過程中是一個長期的持續的工作���。我們需要在前期做好詳盡的安全防護規劃,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制���,保證備份數據的安全性可靠性。同時全體企業員工一起遵守企業制定的信息安全防護管理規定�,這樣才能為企業的信息安全提供生命力和主動性��,真正為企業的核心業務提供安全保障��。
參考文獻
[1] 段永紅.如何構建企業信息安全體系[J]. 科技視界�����,2012�,16:179-180.
[2] 于雷.企業信息安全體系構建[J].科技與企業���,2011,08:69.
[3] 彭佩���,張婕,李紅梅. 企業信息安全立體防護體系構建及運行[J].現代電子技術,2014,12:42-45+48.
[4] 劉小發�,李良�,嚴海濤.基于企業網絡的信息安全體系構建策略探討[J]. 郵電設計技術��,2013�����,12:25-28.
[5] 白雪祺�,張銳鋒. 淺析企業信息系統安全體系建設[J].管理觀察�����,2014,27:81-83.
第5篇
【關鍵詞】信息安全 管理 控制 構建
1 企業信息安全的現狀
隨著企業信息化水平的提升��,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備����,但信息安全防護理念還停留在防的階段����,信息安全策略都是在安全事件發生后再補救����,導致了企業信息防范的主動性和意識不高���,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2 企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性��。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1 建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善��?����;酒髽I信息安全管理過程包括:分析企業數字化資產評估和風險分析�、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略�����、選用安全可靠的的防護產品等�。
2.2 提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中�,防護設備和防護策略只是其中的一部分�����,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時�,絕對不能忽視對人的行為規范和績效管理�����。在企業實施企業信息安全前,應制定企業員工信息安全行為規范���,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行�,保證企業信息安全�。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施��。企業對員工進行逐次的安全培訓���,強化企業員工對信息安全的概念,提升員工的安全意識�����。使員工的行為符合整個企業信息安全的防范要求��。
2.3 及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時�����,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別���、網絡隔離����、網絡安全掃描����、實時監控與入侵發現�、安全備份恢復等�����。比如身份識別的目的在于防止非企業人員訪問企業資源����,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障���。
3 企業信息安全體系部署的建議
根據企業信息安全建設架構���,在滿足終端安全、網絡安全��、應用安全、數據安全等安全防護體系時���,我們需要重點關注以下幾個方面:
3.1 實施終端安全�����,規范終端用戶行為
在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為�。企業信息安全體系建立前���,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏�。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果���。對于這類高危的行為�����,我們在建設安全防護體系時��,僅僅靠上網行為管理控制是不能完全杜絕的�����。應該當用戶接入企業信息化平臺前��,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網����。同時配合上網行為管理的策略對員工的上網行為進行審計���,使得企業員工的操作行為符合企業制定的上網行為規范��,從終端用戶提升企業的防護水平��。
3.2 建設安全完善的VPN接入平臺
企業在信息化建設中��,考慮總部和分支機構的信息化需要��,必然會采用VPN方式來解決企業的需求����。不論是采用SSL VPN還是IPSecVPN��,VPN加密傳輸都是通用的選擇�。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接���,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式��。在這種情況下�����,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求�,并且幫助企業搭建認證方式�����。這將有利于企業日常維護��,提升企業信息系統的VPN接入水平。
3.3 優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時����,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵�。企業的網絡體系可以分為:物理層���;數據鏈路層����;網絡層�;傳輸層�;會話層����;表示層����;應用層�。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節��。在企業多樣化網絡環境的背景下��,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略�。根據相應防護設備進行深層次的安全防護���,真正實現OSI的L2~L7層的安全防護�。
3.4 實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系�,重要的優勢就是能實現對全網安全設備及安全事件的統一管理���,做到對整個網絡安全事件的“可視�、可控和可管”��。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低�。而且不同安全廠商的日志報表還存在很大差異�����。所以當安全事件發生時�,企業管理員很難實現對信息安全的統一分析和管理��。所以在企業在構建信息安全體系時�����,就必須要考慮安全設備日志之間的統一化�,設定相應的訪問控制和安全策略實現日志的歸類分析���。這樣才能做到對全網安全事件的“可視、可控和可管”��。
4 結束語
信息安全的主要內容就是保護企業的數字化成果的安全和完整����。企業在實施信息安全防護過程中是一個長期的持續的工作��。我們需要在前期做好詳盡的安全防護規劃��,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制,保證備份數據的安全性可靠性�����。同時全體企業員工一起遵守企業制定的信息安全防護管理規定��,這樣才能為企業的信息安全提供生命力和主動性��,真正為企業的核心業務提供安全保障。
參考文獻
[1]郝宏志.企業信息管理師[M].北京:機械工業出版社����,2005.
[2]蔣培靜.歐美國家如何培養網絡安全意識[J].中國教育網絡��,2008(7):48-49.
作者簡介
常勝(1982-)����,男,回族�����,天津市人。現為中國市政工程華北設計研究總院有限公司工程師��。研究方向為網絡安全與服務器規劃部署�。
第6篇
隨著企業信息化水平的提升���,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備����,但信息安全防護理念還停留在防的階段����,信息安全策略都是在安全事件發生后再補救�,導致了企業信息防范的主動性和意識不高���,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求����。
2企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性�。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范���,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善���?�;酒髽I信息安全管理過程包括:分析企業數字化資產評估和風險分析��、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略�、選用安全可靠的的防護產品等����。
2.2提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中�����,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成��。所以企業在實施信息化安全管理時�,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前�����,應制定企業員工信息安全行為規范����,有效地實現企業信息系統和數字化成果的安全、可靠��、穩定運行�,保證企業信息安全��。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施��。企業對員工進行逐次的安全培訓����,強化企業員工對信息安全的概念��,提升員工的安全意識��。使員工的行為符合整個企業信息安全的防范要求��。
2.3及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系���。對于安全防護技術來說可以分為身份識別、網絡隔離���、網絡安全掃描���、實時監控與入侵發現���、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源�,并且可以根據員工級別分配人員訪問權限����,達到企業敏感信息的安全保障���。
3企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全、網絡安全��、應用安全�����、數據安全等安全防護體系時�,我們需要重點關注以下幾個方面:
3.1實施終端安全���,規范終端用戶行為
在企業信息安全事件中����,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前�����,企業員工對自己的個人行為不規范����,造成了員工可以通過很多方式實現信息外漏����。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果��。對于這類高危的行為�����,我們在建設安全防護體系時�,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前���,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網�。同時配合上網行為管理的策略對員工的上網行為進行審計���,使得企業員工的操作行為符合企業制定的上網行為規范�����,從終端用戶提升企業的防護水平��。
3.2建設安全完善的VPN接入平臺
企業在信息化建設中��,考慮總部和分支機構的信息化需要�,必然會采用VPN方式來解決企業的需求��。不論是采用SSLVPN還是IPSecVPN�,VPN加密傳輸都是通用的選擇�。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定���。對于移動終端的接入可以考慮SSLVPN方式。在這種情況下��,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時����,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式��。這將有利于企業日常維護,提升企業信息系統的VPN接入水平�����。
3.3優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構���,合理的規劃安全網絡邊際將是關鍵�����。企業的網絡體系可以分為:物理層;數據鏈路層����;網絡層���;傳輸層�����;會話層;表示層���;應用層��。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節�����。在企業多樣化網絡環境的背景下���,根據企業安全優先級及面臨的風險程度�����,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護����,真正實現OSI的L2~L7層的安全防護。
3.4實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理�,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志�,如果單靠相關人員的識別日志既費時效率又低��。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時���,企業管理員很難實現對信息安全的統一分析和管理�。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化�����,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視�、可控和可管”����。
4結束語
第7篇
關鍵詞:信息完全�����;技術�;體系
一�、前言
隨著金川集團公司跨國經營戰略的實施����,企業信息化進程不斷深入���,企業信息安全己經引起公司領導的的高度重視,但依然存在不少問題��。調查結果表明����,造成網絡安全事件發生的原因有很多,一是安全技術保障體系尚不完善,企業花了大量的金錢購買了信息安全設備�����,但是技術保障不成體系���,達不到預想的目標;二是應急反應體系沒有經常化���、制度化;三是企業信息安全的標準�、制度建設滯后。其中����,由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的80%��,登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%�。近年來���,雖然使用單位對信息網絡安全管理工作的重視程度普遍提高��,80%的被調查單位有專職或兼職的安全管理人員����,但是���,很多企業存在安全觀念薄弱�����、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題���,也說明目前安全管理水平還比較低。因此現代企業迫切需要建立信息資源安全管理體系�����。
二�����、企業信息資源安全管理體系構建
1�、企業信息安全組織管理
企業信息安全組織體系定義為一個三層的組織,組織架構如圖所示:
企業信息安全組織
l)總經理通過總經辦負責企業信息�、安全的決策事項�。2)總經理任命一名信息安全主管負責企業信息安全的風險管理,該主管領導一個有各個部門主要負責人參加的信息安全管理小組維護企業信息安全管理體系�、管理企業信息安全風險。3)總經理任命一名信息安全審計師����,負責企業信息安全活動的審計����。4)行政部門、業務部門和分支機構執行信息安全管理體系中的相應安全政策,并在信息安全管理主管的領導下�,實施風險管理計劃�����。各個部門負責人有義務向信息安全主管報告所管轄部門的信息安全狀況�,信息安全主管應定期在組織范圍內和向上級機關報告企業信息安全狀況���。
2����、企業信息安全政策管理
根據企業信息安全風險分析的結果和信息安全政策制定的原則,設計信息安全政策體系包括以下幾點:(1)企業信息安全風險管理政策:a)信息安全風險定義�����,包括風險等級定義和安全類別定義;b)信息安全風險評估執行要求,包括時問周期要求�����、范圍要求�����、基于事件的風險評估要求:c)信息安全風險評估責任,包括信息安全管理人員責任和業務部門責任���。(2)企業信息安全體系管理政策:a)管理體系的規劃�����,包括規劃的時機�����、規劃的內容�����、規劃的依據���、規劃的責任人:b)管理體系的實施��,包括、培訓��、執行獎懲���。c)管理體系的驗證,包括周期管理評審�����、安全審計�����、事件評審��、殘留風險評估���。d)管理體系的改進����,包括分析和變更控制。(3)病毒抵御安全政策:a)操作程序一運行網絡管理人員日常工作的程序���。這部分安全政策主要控制的風險是不規范的管理活動造成無效或低效的管理。b)關鍵資源監控一識別出關鍵設備并對關鍵設備的運行狀態進行監控���。這部分安全政策主要控制的風險是關鍵資源異常情況不能被及時發現和處理。c)軟件系統維護一對軟件系統及時地升級和打補丁��。這部分安全政策主要控制的風險是軟件系統未及時升級和/或打補丁而造成的信息故障或者安全事故���。d)敏感資料存儲一對在業務進行過程中產生的敏感信息的存放管理。這部分安全政策主要控制的風險是由于對敏感資料存儲不當導致資料的丟失或泄漏��。
3����、企業信息安全事件管理
目前�,沒有任何一種具有代表性的信息安全策略或防護措施可對信息���、信息系統、服務或網絡提供絕對的保護。即使采取了防護措施�����,仍可能存在殘留的弱點����,使得信息安全防護變得無效����,從而導致信息安全事件發生�,并對企業的業務運行直接或間接地產生負面影響�。此外,以前未被認識到的威脅也將會不可避免地發生���。企業如果對如何應對這些事件沒有作好充分準備,其任何實際響應的效率都會大打折扣����,甚至還可能增加潛在的業務負面影響。因此�����,企業應著重做好信息安全事件管理工作。信息安全事件管理方案的必企業應著重做好信息安全事件管理工作��。信息安全事件管理方案的必要過程包括:(1)發現和報告發生的信息安全事態���,無論是由企業人員/顧客引起的還是自動發生的(如防火墻警報)�����。(2)收集有關信息安全事態的信息���,由企業的運行支持組人員進行評估��,確定該事態屬于信息安全事件還是發生了誤報���。確認該事態是否屬于信息安全事件,如果是��,則立即作出響應�,同時啟動必要的法律取證分析、溝通活動��。(3)進行評審以確定該信息安全事件是否處于控制下��。(4)如果處于控制下,則啟動任何所需要的進一步的后續響應�����,以確保所有相關信息準備完畢�����,供事件解決后評審所用。(5)如果不在控制下����,則采取“危機求助”活動并召集相關人員�,如企業中負責業務連續性的管理者和工作組���。(6)在整個階段按要求進行上報,以便進一步評估和決策�。(7)確保所有相關人員����,正確記錄所有活動以備后面分析所用�����。(8)確保對電子證據進行收集和安全保存,同時確保電子證據的安全保存得到持續監視����,以備法律起訴或內部處罰所需。(9)確保包括信息安全事件追蹤和事件報告更新的變更控制制度得到維護���,從而使得信息安全事態/事件數據庫保持最新。
4��、企業信息安全技術管理
我們所構建的信息安全管理體系中��,不能忽視技術的作用�����,雖然只使用技術控制不能保證一個信息安全環境���,但是在通常情況下�����,它是信息安全項目的基礎部分�����。(1)密碼服務技術。密碼服務技術為密碼的有效應用提供技術支持���。通常密碼服務系統由密碼芯片���、密碼模塊、密碼機或軟件���,以及密碼服務接口構成�。通常��,企業會涉及以下幾個方面的密碼應用:數字證書運算�、密鑰加密運算��、數據傳輸����、數據儲存����、數字簽名、數字信封�����。(2)故障恢復技術���。故障恢復的主要措施有:群集配置,由多臺計算機組成群集結構��,盡可能消除整個系統可能存在的單點故障��;雙機熱備份���,在任何一臺設備失效的情況下���,按照預先定義的規則快速切換至相應的備份設備�����,維持業務的正常運行����;故障恢復管理,由專門的集群軟件進行管理和監控�,使應用系統在任何軟硬件組成單元發生故障時,能夠根據 故障情況重新分配任務��。(3)惡意代碼防范技術:惡意代碼防范技術包括四大系統:病毒查殺系統、網關防毒系統���、群件防毒系統�����、集中管理系統。(4)入侵檢測技術����。入侵檢測系統是實現入侵檢測功能的一系列的軟件、硬件的組合�����。入侵檢測系統以實時方式監測網絡通信�����,對其進行分析并實時安全預警,從而使企業能夠有效管理內部人員和資源�����,并對外部攻擊進行早期預警和跟蹤,有效保障系統安全�����?;谥鳈C的入侵檢測系統通常以系統日志����、應用程序日志等審計記錄文件作為數據源�����。通過比較這些審計記錄文件與攻擊簽名是否匹配��,如果匹配立即報警采取行動.基于網絡的入侵檢測系統把原始的網絡數據包作為數據源��。它是利用網絡適配器來實時監視并分析通過網絡進行傳輸的所有通信業務。(5)掃描與分析技術����。端口掃描工具能識別網絡上活動的計算機����,同樣也可以識別這些計算機上的活動端口和服務�����??梢話呙杼囟愋偷挠嬎銠C����、協議和資源����,也可進行普遍掃描。漏洞掃描可以掃描網絡并得到非常詳細的信息�。可以識別暴露的用戶名和組��,顯示開放的網絡共享,并暴露配置問題和其他服務器漏洞�。內容過濾器也能有效地保護機構系統,使其不受誤用和無意的拒絕服務��。
5��、企業信息安全培訓的必要性
公司目前很多崗位和部門的員工都從事涉密數據相關工作���,有很多數據和信息涉及到公司的機密和知識產權����,但是大多數員工信息安全意識差���,在平時的工作中在意識上和實際工作中存在很多問題,導致涉密數據的外漏�,給公司的生產經營造成不可挽回的損失。在有管理組織�����、政策制度和技術保障的情況下,通過對涉密數據相關工作人員的信息安全意識和信息安全操作培訓是非常必要的�。
三�����、結語
總之���,企業信息安全管理體系是一個企業日常經營和持續發展的基本保證,也是企業戰略和管理的重要環節�。建立信息安全管理體系的目的就是降低信息風險對企業的危害。并將企業信息系統投資和商業利益最大化����。信息安全不只是個技術問題,而更多的是商業���、管理和法律問題��。實現信息安全不僅僅需要采用技術措施�,還需要更多地借助于技術以外的其他手段。
參考文獻:
