外貿ERP

按部就班構建企業(yè)信息安全體系

來源：泛普軟件

網(wǎng)絡構建的信息化高速公路，為全球信息的交換與獲取提供了最便捷的手段，但也使企業(yè)信息安全受到嚴重威脅。據(jù)資料顯示，2010年全球由于信息安全漏洞造成的損失達150億美元。企業(yè)的信息安全與否，已經(jīng)成為決定企業(yè)能否正常運行的重要因素。

為了保障企業(yè)的信息安全，必須建立一個企業(yè)信息安全體系。信息安全體系包含信息安全策略、信息安全組織、信息安全技術和信息安全建設與運行四部分內容（如圖1所示），四者既有機結合、又相互支撐。企業(yè)的信息安全體系運作就是企業(yè)根據(jù)安全策略，由安全組織（或人員）以安全技術作為工具和手段進行操作，來維持企業(yè)網(wǎng)絡的安全運行，從而使網(wǎng)絡安全可靠。

安全體系的普遍問題

當前大多數(shù)企業(yè)的信息安全體系普遍存在以下四方面的問題：

信息安全策略方面：許多企業(yè)沒有統(tǒng)一的安全運行體系；公司的安全策略沒有正式的審批和發(fā)布過程，沒有公司的行政力度進行保障，使得安全策略在企業(yè)內的執(zhí)行缺乏保障；缺乏規(guī)范的機制定期對信息安全策略、標準制度進行評審和修訂。

信息安全組織方面：缺乏完整、有效、責權統(tǒng)一的專門的信息安全組織，只是配有少量的兼職安全人員。信息安全工作沒有明確的責任歸屬，工作的開展與落實有困難；缺少信息安全專業(yè)人員，缺乏相應的安全知識和技能，安全培訓不足；缺乏對于全員的信息安全意識教育，桌面系統(tǒng)用戶的安全意識薄弱。

信息安全技術方面：用戶認證強度不夠；應用系統(tǒng)安全功能與強度不足；缺乏有效的信息系統(tǒng)安全監(jiān)控與審計手段；系統(tǒng)配置存在安全隱患；網(wǎng)絡安全域劃分不夠清晰，網(wǎng)絡安全技術的采用缺乏一致性。

信息安全建設與運行方面：沒有建立起完善的IT項目建設過程的安全管理機制，應用系統(tǒng)的開發(fā)沒有同步考慮信息安全的要求，存在信息安全方面的缺陷；日常的安全運維工作常處于被動防御狀態(tài)；缺乏明確的檢查和處罰機制，多數(shù)企業(yè)在運維管理方面缺乏統(tǒng)一的安全要求和檢查；缺乏應急響應機制；對已有安全設施的維護、升級和管理不到位。

面對以上種種問題，企業(yè)必須認真考慮下列問題: 企業(yè)如何建立信息安全策略體系？企業(yè)信息安全組織如何建立？企業(yè)信息安全技術是否有效可靠？企業(yè)信息安全建設與運行是否有完整的制度保障？要解決這些問題，企業(yè)應充分利用成熟的信息安全理論成果，設計出兼顧整體性、具有可操作性，并且融策略、組織、運行和技術為一體的信息安全保障體系，保障企業(yè)信息系統(tǒng)的安全。

信息安全策略體系

信息安全策略體系規(guī)劃為三層架構，包括信息安全策略、信息安全標準及規(guī)范、信息安全操作流程和細則（如圖2所示），涉及的要素包括信息管理和技術兩個方面，覆蓋信息系統(tǒng)的物理層、網(wǎng)絡層、系統(tǒng)層、應用層四個層面。

技術安全體系

在IAARC信息系統(tǒng)安全技術模型中，包含了身份認證、內容安全、訪問控制、響應恢復和審核跟蹤五個部分，當前主要的信息安全技術或產品都可以歸結到上述五類安全技術要素（如圖3所示）。

充分利用信息安全的技術手段(包括身份認證、訪問管理、內容安全、審核跟蹤和響應恢復等五種保護措施)，同時，結合信息安全所保護的對象層次，以及目前主流的信息安全產品和信息安全技術，完善企業(yè)信息安全技術體系框架。

整個企業(yè)信息安全技術體系的總體框架如圖4所示：

● 物理層安全

主要包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等。

● 網(wǎng)絡層安全

要建立注重安全域劃分和安全架構的設計?？梢愿鶕?jù)信任程度、受威脅的級別、需要保護的級別和安全需求，將網(wǎng)絡從總體上分成四個安全域，即公共區(qū)、半安全區(qū)、普通安全區(qū)和核心安全區(qū)。針對不同的安全區(qū)域采用不同的安全防范手段。

安全邊界的防護。邊界是不同網(wǎng)絡安全區(qū)域之間的分界線，是不同網(wǎng)絡安全區(qū)域間數(shù)據(jù)流動的必經(jīng)之路。安全區(qū)域的邊界防護是根據(jù)不同安全區(qū)域的安全需要，采取相應的安全技術防護手段，制定合理的安全訪問控制策略，控制低安全區(qū)域的數(shù)據(jù)向高安全區(qū)域流動。

針對VPN的接入安全控制。用戶遠程VPN接入主要用于員工出差時訪問內部網(wǎng)絡的需求和各企業(yè)小規(guī)模分支機構訪問內部網(wǎng)的需求。VPN（虛擬專用網(wǎng)）是為通過一個公用網(wǎng)絡（通常是互聯(lián)網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。

網(wǎng)絡準入控制。網(wǎng)絡準入控制系統(tǒng)是通過對網(wǎng)絡用戶合法身份的驗證以及對網(wǎng)絡終端計算機安全狀態(tài)的檢測和評估，決定是否允許這臺網(wǎng)絡終端計算機接入企業(yè)網(wǎng)絡中。若不符合制定的準入策略，將其放入隔離區(qū)以修復，或僅允許其有限地訪問資源。降低非法用戶隨意接入企業(yè)網(wǎng)和不安全的計算機終端接入企業(yè)網(wǎng)對網(wǎng)絡安全帶來的潛在威脅。

做好網(wǎng)絡設備登錄認證。建立集中的網(wǎng)絡設備登錄認證系統(tǒng)，用于對網(wǎng)絡設備維護用戶的集中管理，認證用戶的身份，決定其是否可以登錄到網(wǎng)絡設備;通過定義不同級別的用戶，授權他們能執(zhí)行的不同操作，記錄并審計用戶的登錄和操作。

● 系統(tǒng)層安全

做好系統(tǒng)主機的入侵檢測，針對系統(tǒng)主機的網(wǎng)絡訪問進行監(jiān)測，及時發(fā)現(xiàn)外來入侵和系統(tǒng)級用戶的非法操作行為；要做好系統(tǒng)主機的訪問控制，系統(tǒng)主機訪問控制提供給系統(tǒng)安全管理員最有效的方法，從用戶登錄安全、訪問控制安全、系統(tǒng)日志安全等方面加入安全機制;要做好系統(tǒng)主機的安全加固，定期對服務器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進行安全配置和加固，在不影響業(yè)務處理能力的前提下對系統(tǒng)的配置進行安全優(yōu)化，以提高系統(tǒng)自身的抗攻擊性，消除安全漏洞，降低安全風險；做好主機的安全審計工作，提供全面的安全審計日志和數(shù)據(jù)，提升主機審計保護能力，對審計數(shù)據(jù)的訪問進行嚴格控制，加強對審計數(shù)據(jù)的完整性保護。

● 應用層安全

隨著各種各樣的系統(tǒng)應用不斷深化和普及，一些應用系統(tǒng)安全問題不斷凸現(xiàn)出來。為了最大限度及時規(guī)避因應用安全問題帶來的威脅，應著力抓好六個方面的工作：建立應用安全基礎設施；健全應用安全相關規(guī)范；改進應用開發(fā)過程；組織關鍵應用安全性測試；加強應用安全相關人員管理；制定應用安全文檔及應急預案。

● 終端層安全

加強終端電腦的安全管理。終端安全指對接入企業(yè)網(wǎng)絡的終端設備（主要是臺式計算機、筆記本電腦和其他移動設備等）進行的安全管理。內容包括終端安全策略、防病毒、防入侵、防火墻、軟硬件資產管理、終端補丁管理、終端配置管理、終端準入控制以及法規(guī)遵從等內容。

● 備份與恢復

備份與恢復是基于安全事件發(fā)生后保證災難所造成的損失在一個可以接受的范圍內、并使災難得到有效恢復的安全機制，包括數(shù)據(jù)級、應用級和業(yè)務級三個層次。參照國際標準Share78中定義的容災系統(tǒng)層次劃分，對不同等級的信息系統(tǒng)建立不同的備份與恢復機制。主要工作包括：開發(fā)容災計劃，通過對不同等級的信息系統(tǒng)容災需求分析，確定容災等級、RTORPO等容災指標、備份策略、恢復性測試要求等，設計容災方案；備份與恢復基礎設施的建設，包括建立異地災難恢復系統(tǒng)和重要數(shù)據(jù)的本地備份設施。

信息安全組織

信息安全組織的角色與職責要界定清晰。信息管理層進行適當?shù)穆氊焺澐?，能合理阻止關鍵流程的破壞。同時應加強全員的信息安全意識教育，提高員工整體信息安全意識。建立安全組織與定義安全職責是密不可分的兩項工作，組織與職責的清晰定義可以有效地促進信息安全各項工作的進行，包括信息安全教育與培訓以及人員安全。企業(yè)要建立的信息安全組織要包含決策、管理、執(zhí)行與監(jiān)管四個層面。

信息安全教育與培訓要覆蓋公司各個層面的人員，提升整個企業(yè)人員安全的水平，同時人員安全的相關工作在制度和機制方面為教育與培訓提供有效保障。

信息安全建設與運行體系

建立安全評估機制。應形成系統(tǒng)化的信息安全風險評估規(guī)范和制度，定期對重要信息系統(tǒng)的安全進行評估。建立有效的應急響應機制。應急響應是針對可能發(fā)生的破壞性事件而設計的必要的管理和恢復機制，將安全事件帶來的損失降到最低。應成立應急響應協(xié)調中心和應急響應小組，對不同的安全事故分級建立對應不同的響應流程。加強項目建設信息安全管理，建立IT項目建設過程的安全管理機制，對信息系統(tǒng)的全生命周期進行安全管理，在項目的申報、審批、立項、實施、驗收等關鍵環(huán)節(jié)中，都有相應的信息安全規(guī)定或制度來進行約束，完成各個環(huán)節(jié)的信息安全管理行為。建立信息系統(tǒng)運維安全管理制度。重點加強安全監(jiān)控和響應機制、安全日志審計與分析機制、安全預警機制三方面的建設工作。

圖1 企業(yè)信息安全體系框架

圖2 企業(yè)信息安全策略體系框架

圖3 IAARC信息系統(tǒng)安全技術模型

圖4 企業(yè)信息安全技術體系框架

發(fā)布：2007-04-29 10:20 編輯：泛普軟件 · xiaona [打印此頁] [關閉]

相關欄目：