企業信息安全立體防護體系構建及運行分析

李 濤

（云盾智慧安全科技有限公司，北京 100176）

1 企業信息安全立體防護體系特點

1.1 便利性

打印審計系統的運行是通過微軟操作系統打印服務框架完成相關運作，但因打印機種類相對較多，并且加多硬件廠商很難確保向操作系統報告真實輸出情況，那么如果打印審計系統在出現審計故障時，很難處于完全輸出狀態。為此，需要通過追加備注日志對問題進行解決，用戶提出追加備注日志申請，領導層審批后方可添加，可在文檔輸出打印管理中形成閉環管理，從而避免管理缺陷。

1.2 適用性

打印系統在運行之前需要進行認證，一般使用IC卡認證，從系統適用性角度進行分析，利用現有資源，并在此基礎上與指紋認證系有效結合。在打印期間，系統需要采集指紋，同時與指紋庫中指紋對比，無誤后調取打印任務。由于指紋具有不變形、隨身性以及惟一性等特點，能夠提高身份認證安全性，可確保用戶及時獲得所需的打印的資料，從而避免了數據泄露的問題。

1.3 實用性

在對信息系統業務進行審批的過程中，主要使用紙質審批單，此種傳統方式存在較多弊端。通過使用電子審批流程后，主要是從申請單位與申請者入手，詳細分析辦理邏輯與申請及需求。再把不同審批單有效連接，簡化審批環節與流程，大大減少了審批數量，提升信息系統運行效率，確保辦理時間邏輯性。

2 企業信息安全立體防護體系構建與運行的必要性

企業的發展直接影響我國整體經濟的發展，尤其對于大型企業來說，關系到國計民生的重要產業，因此信息安全對提高人們生活質量尤為重要。目前，工業企業已基本實現了自動化、網絡化發展，以網絡、數據庫以及自動控制技術等，逐漸成為經營管理與生產中的基本要素，確保信息系統安全已成為企業發展的重要內容。

目前，我國未掌握核心技術，核心設備主要是從其他國家采購，由于國產水平與國外相比相對較低，維護網絡安全、實現信息安全管控還有較長的路要走，在此過程中還應投入更多資源研發核心技術，為我國信息安全奠定良好的基礎。

3 企業信息安全立體防護體系環境分析

網絡系統在運行的過程中，需要有良好的運行環境。隨著信息技術的不斷發展，信息防護環境復雜程度越來越高，并且在此基礎上信息安全防護需求也趨于多樣化，這就需要構建信息安全防護的良好的環境。企業信息安全防護環境有政策、社會文化、技術等，其中社會文化環境包括行為習慣、教育程度以及道德準則等；政府政策環境是根據企業信息安全防護提出的相關政策；行業技術實質上是一種管理體制與技術[1]。

4 企業信息安全立體防護體系解釋結構模型

4.1 ISM模型

ISM模型主要是一種結構模型化技術，適用于經濟系統中，在應用的過程中應對構成要素進行提取，并且對邏輯進行運算，此種運算與其他運算有所不同，需要使用矩陣工具完成運算，將層次結構與互相關系逐步清晰化，同時向多級階梯形式方向轉變。

4.2 企業信息安全立體防護體系要素分析

信息安立體防護體系要素主要表現在以下幾個方面：

（1）網絡安全：實現網絡平臺與訪問模式。

（2）操作系統安全。

（3）數據安全：在對數據進行存儲與傳輸期間，確保不能受到非授權用戶的竊取與破壞。

（4）應用安全：確保應用系統、應用程序以及應用接入的安全，以此需采取有效措施實施控制。

（5）物理安全：保護相關設備免受損壞，若出現損壞需要能夠及時修復或者更換。

（6）用戶安全：用戶在使用數據之前，應當以正確的方式授權，不能出現越權或者出現不同業務系統授權矛盾問題。

（7）終端安全：終端安全主要包含的內容相對較多，比如補丁升級、桌面終端管理以及預防病毒等。

（8）信息安全風險管理是對安全風險以及代價全面評估。

（9）信息安全策略管理主要有評價、實施以及安全措施制定等。

（10）標準規范體系：標注單規范體系對提高信息安全防護體系安全性發揮著重要作用，有安全技術、產品以及措施等。

（11）管理制度體系：管理制度體系有上崗制度、培訓制度等。

4.3 企業信息安全立體防護結構

由上文那個能夠發現，在企業信息安全立體防護結構中有不同要素，不同要素之間相互作用與聯系，能夠形成不同層級結構的模型。企業信息安全防護體系主要分為4個等級結構。第一層主要闡述了企業信息安全防護中相關制度，不同因素之間在Ism結構中處于獨立狀態，可有效提高企業信息安全防護效果。第二層是在保障的基礎上對企業信息安全管理活動實時確定，可作為立體防護的有效措施。第三層主要是從不同方面，比如傳輸過程、物理條件等，體現企業信息安全防護過程中的可控點，在此過程中能夠進行物理安全控制。第四層是企業對信息安全防護的需求，是信息的表現形式，信息數據在安全防護需求中重要參數。由此可以看出，企業為了提高信息安全性，構建信息安全防護體系期間，以上四級遞階結構，能夠體現出該體系的層級性、整體性以及交互性。

4.4 企業信息安全立體防護過程

首先，認識到行業標準規范體系對信息安全防護的重要性，并對其進行綜合分析，從企業人員組織結構、資金實力等方面進行安全防護目標的構建，并在此基礎上把安全防護內容等劃分為不同等級。其次，監督防護內容主要包含分析其他公司近段以來出現的安全事故，形成預警，以此對公司信息系統實施監測，分析與評估系統中存在的風險。再次，若系統中存在一定風險，需要對風險來源進行確定，同時評估風險程度，并在此基礎上判斷能否采取有效措施解決。最后，平衡時效性與成本之間的關系，分析效用形成內部信息防護手冊。

5 企業信息安全立體防護體系分析與對策

5.1 企業層面

5.1.1 強化系統整體性

企業在發展的過程中，企業信息安全立體防護體系中的不同要素處于統一系統環境中運作，如果資源受到一定限制，需要采取有效措施提升信息數據保存與傳輸的安全性。為此，應當遵循整體目標原則，確保信息安全防護的合理性，并且對原有產品進行升級，同時在同一規劃的過程中實現效能與投入產出。

5.1.2 明確系統層急性

企業信息安全防護工作效率層級管理質量密切相關，由于企業信息安全防護中，策略與技術在其中尤為重要，并且在此基礎上制度之間相互作用。企業信息安全防護涉及到制度層面防護、策略層面防護以及技術層面防護，其中技術是基礎、策略是支撐、技術是必要的手段。為此，為了提高企業信息安全性，需要處理不同體系的縱向關系，在應用技術的過程中提高管理質量，并且對不同管理內容進行協調。

5.1.3 降低系統交互性

若信息安全防護體系處于同級水平，能夠增強要素之間關聯性，在此環境中會增加系統運行過程中的復雜性。為此，企業需要及時制定技術規范以及規章制度，對不同工作環節中的邊界實施界定，對風險源準確定位，以此保證信息安全策略有效落實，從而能夠避免風險交叉，擴大防范范圍。

5.1.4 關注系統動態性

由于信息安全防護具有較高的動態性，是一個循環過程。隨著信息技術的不斷發展而發展，企業在信息安全的情況下，從時間維度角度全面認識信息安全狀態，并且在此基礎上對企業信息安全防護所處的階段準確定位，限定處理信息安全風險的時間界限，對不同時間段中的延續性引起重視，并且采取有效措施識別風險，同時評估風險程度，以此采取防范措施對企業信息安全過程動態實施全面管理。

5.2 政府層面

政府需要通過宣傳的方式讓企業認識到信息安全的重要性，提升全民信息安全素質，從道德角度避免信息安全事故。還需要讓企業認識到信息安全、思想教育對企業發展的重要性，主要包括技能教育、法制教育以及職能教育等，從不同角度提升社會信息安全防護意識。其次，重視信息安全以及延伸問題。政府需要完善與信息安全有關的法律法規以及行業標準，并且構建監督機制以及多元化監管模式，確保不同法律法規以及標準的公平、公正，為企業信息安全創造良好環境。最后，加大信息安全產業投入，政府應當采取有效措施培養社會技術人才，提高核心技術自主研發能力，為信息安全服務行業的發展奠定良好的基礎。

6 結束語

綜上所述，企業在發展的過程中，構建立體防護體系，不但能夠保證企業信息安全，而且還可使各個環節安全生產，避免產生重大損失。在進行立體防護體系構建時，應當以信息安全防護為出發點，構建安全防護模型，對落實信息安全工作有效指導，可大大降低體系的投入，這對企業信息安全起到較大促進作用。