如何构建企业信息安全体系

【#文档大全网# 导语】以下是®文档大全网的小编为您整理的《如何构建企业信息安全体系》，欢迎阅读！



如何构建企业信息安全体系

【摘 要】随着网络的发展，企业活动越来越依赖于网络。有效的企业安全体系将成为现代企业发展的基本要求。本文分析了企业信息安全中存在的问题，并从安全组织、安全策略、安全技术以及安全建设与运行四个方面阐述如何建立企业信息安全体系。

【关键词】信息安全体系；安全组织；安全策略；安全技术 网络构建起来的信息化高速公路，为全球信息的交换与获取提供了最便捷的手段，但也使信息安全受到严重威胁。据资料显示，全球由于信息安全漏洞造成的损失每年为150亿美元。企业的信息安全与否已经成为企业能否正常运行的重要因素。为了保证企业信息安全，必须建立一个企业信息安全体系。

1 当前企业信息安全体系普遍存在的问题

信息安全体系包含信息安全策略、信息安全组织、信息安全技术和信息安全建设与运行。四者既有机结合，又相互支撑。但目前绝大多数企业在安全体系建设方面都存在不完善的地方。

1.1 信息安全策略方面 没有统一的安全运行体系；安全策略没有正式的审批和发布过程，没有行政力度进行保障，使得安全策略的在企业内的执行缺乏保障；缺乏规范的机制定期对信息安全策略、标准制度进行评审和修订。

1.2 信息安全组织方面

缺乏完整、有效、责权统一的专门的信息安全组织。信息安全工作没有明确的责任归属，工作的开展与落实有困难；缺少信息安全专业人员，缺乏相应的安全知识和技能，安全培训不足；缺乏对于全员的信息安全意识教育，桌面系统用户的安全意识薄弱。

1.3 信息安全技术方面 用户认证强度不够；应用系统安全功能与强度不足；缺乏有效的信息系统安全监控与审计手段；系统配置存在安全隐患；网络安全域划分不够清晰，网络安全技术的采用缺乏一致性

1.4 信息安全建设与运行方面

没有建立起完善的IT项目建设过程的安全管理机制，应用系统的开发没有同步考虑信息安全的要求，存在信息安全方面的缺陷。日常的安全运维工作常处于被动防御状态。缺乏明确的检查和处罚机制，多数企业在运维管理方面缺乏统一的安全要求和检查。缺乏应急响应机制。对已有安全设施的维护、升级和管理不到位。

2 如何建立企业信息安全体系

企业应充分利用成熟的信息安全理论成果，设计出兼顾整体性、具有可操作性，并且融策略、组织、运行和技术为一体的信息安全保障体系，保障企业信息系统的安全。具体措施如下：

2.1 建立科学合理的信息安全策略体系

信息安全策略体系规划为三层架构，包括信息安全策略、信息安全标准及规范、信息安全操作流程和细则如图一所示，涉及的要素包括信息管理和技术两个方面，覆盖信息系统的物理层、网络层、系统层、应用层四个层面。

图１ 信息安全策略体系框架




2.2 采用先进可靠的技术安全体系

在IAARC信息系统安全技术模型该模型中，包含了身份认证、内容安全、访问控制、响应恢复和审核跟踪5个部分，当前主要的信息安全技术或产品都可以归结到上述5类安全技术要素。充分利用信息安全的技术手段这5种保护措施。同时，结合信息安全的所保护的对象层次，以及目前主流的信息安全产品和信息安全技术，完善企业信息安全技术体系框架。整个企业信息安全技术体系总体框架包括物理层、网络层、系统层、应用层、终端层等五层次。

2.2.1 物理层安全

主要包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等。

2.2.2 网络层安全

一是要建立注重安全域划分和安全架构的设计。根据信任程度、受威胁的级别、需要保护的级别和安全需求，将网络从总体上可分成四个安全域，即公共区、半安全区、普通安全区和核心安全区。针对不同的安全区域采用不同的安全防范手段。

二是安全边界的防护。根据不同安全区域的安全需要，采取相应的安全技术防护手段，制定合理的安全访问控制策略，控制低安全区域的数据向高安全区域流动。

三是针对VPN的接入安全控制。VPN为通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。针对VPN接入需要从用户接入到安全防护一套安全控制手段。

四是网络准入控制。通过对网络用户合法身份的验证以及对网络终端计算机安全状态的检测和评估，决定是否允许这台网络终端计算机接入企业网络中。降低非法用户随意接入企业网和不安全的计算机终端接入企业网对网络安全带来的潜在威胁。

五是做好网络设备登录认证。建立企业集中的网络设备登录认证系统，用于对网络设备维护用户的集中管理，认证用户的身份；通过定义不同级别的用户，授权他们能执行的不同操作，记录并审计用户的登录和操作。

2.2.3 系统层安全

一是做好系统主机的入侵检测，针对系统主机的网络访问进行监测，及时发现外来入侵和系统级用户的非法操作行为。二要做好系统主机的访问控制，从用户登录安全、访问控制安全、系统日志安全等方面加入了安全机制。三是要做好系统主机的安全加固，定期对服务器操作系统和数据库系统进行安全配置和加固，对系统的配置进行安全优化，以提高系统自身的抗攻击性，消除安全漏洞，降低安全风险。四是做好主机的安全审计工作，提供全面的安全审计日志和数据，提升主机审计保护能力。

2.2.4 应用层安全

随着系统应用的不断深化和普及，一些应用系统安全问题不断凸现出来。为最大限度及时规避因应用安全问题而带来的威胁，应着力抓好六个方面的工作：一是建立应用安全基础设施；二是健全应用安全相关规范；三是改进应用开发过程；四是组织关键应用安全性测试；五是加强应用安全相关人员管理；六是制定应用安全文档及应急预案。

2.2.5 终端层安全

加强终端电电脑的安全管理。对接入企业网络的终端设备进行安全管理。内




容包括终端安全策略、防病毒、放入侵、防火墙、软硬件资产管理、终端补丁管理、终端配置管理、终端准入控制以及法规遵从等内容。

2.2.6 备份与恢复

备份与恢复是基于安全事件发生后保证灾难所造成的损失在一个可以接受的范围内，并使灾难得到有效恢复的安全机制，包括数据级、应用级和业务级三个层次。一是建立容灾计划。通过对不同等级的信息系统容灾需求分析，确定容灾等级、RTO\RPO等容灾指标、备份策略、恢复性测试要求等，设计容灾方案。二是建立备份与恢复基础设施，包括异地灾难恢复系统和重要数据的本地备份设施。

2.3 建立完整、有效、责权统一的信息安全组织

信息安全组织的角色与职责要界定清晰。信息管理层进行适当的职责划分，能合理阻止关键流程的破坏。加强全员的信息安全意识教育，提高员工整体信息安全意识。建立安全组织与定义安全职责是密不可分的两项工作，组织与职责的清晰定义可以有效地促进信息安全各项工作的进行，包括信息安全教育与培训以及人员安全。企业要建立的信息安全组织包含决策、管理、执行与监管四个层面。

信息安全教育与培训要覆盖公司各个层面的人员，提升整个企业人员安全的水平，同时人员安全的相关工作在制度和机制方面为教育与培训提供了有效保障。

2.4 建立合适的信息安全建设与运行体系

建立合适的信息安全建设与运行体系，一是建立安全评估机制。形成系统化的信息安全风险评估规范和制度，定期对重要信息系统的安全进行评估。二是建立有效的应急响应机制。针对可能发生的破坏性事件而设计的必要的管理和恢复机制，将安全事件带来的损失降到最低。三是加强项目建设信息安全管理，建立IT项目建设过程的安全管理机制，对信息系统的全生命周期进行安全管理，在项目的申报、审批、立项、实施、验收以等关键环节中，都有相应的信息安全规定或制度来进行约束，完成各个环节的信息安全管理行为。四是建立信息系统运维安全管理制度。重点加强安全监控和响应机制，安全日志审计与分析机制，安全预警机制三方面的建设工作。

构建企业信息安全体系是一个系统工程，需要从技术、设备、人员、管理等多方面入手构筑一个立体体系，也需要社会各层面的高度重视和关注。

本文来源：https://www.wddqxz.cn/d1a248984afe04a1b171de66.html