企業(yè)信息安全立體防護(hù)體系構(gòu)建研究

◆葛紅

企業(yè)信息安全立體防護(hù)體系構(gòu)建研究

◆葛紅

（國家計算機(jī)網(wǎng)絡(luò)與信息安全管理中心甘肅分中心 甘肅 730030）

近些年來，互聯(lián)網(wǎng)有著非常顯著的發(fā)展，企業(yè)信息化建設(shè)和電子政務(wù)等領(lǐng)域?qū)ヂ?lián)網(wǎng)的應(yīng)用也越來越廣泛，信息系統(tǒng)的安全問題已經(jīng)不僅影響到企業(yè)的發(fā)展，而且已經(jīng)與國家主權(quán)和安全問題緊密聯(lián)系在一起。建立與優(yōu)化企業(yè)的信息安全立體防護(hù)體系，提高企業(yè)的信息安全管理水平，不僅有利于企業(yè)增強(qiáng)保護(hù)信息安全的能力，而且有助于企業(yè)發(fā)展。本文主要討論了目前企業(yè)信息安全的現(xiàn)狀，分析了企業(yè)信息安全立體防護(hù)體系的構(gòu)建原則和構(gòu)建策略。

企業(yè)信息安全；安全立體防護(hù)體系；網(wǎng)絡(luò)安全

互聯(lián)網(wǎng)的發(fā)展深深地深深地影響著人們的生活和工作方式，不僅拉近了人與人的距離，還使人與人之間的交流變得更加便捷，人們已經(jīng)完全離不開網(wǎng)絡(luò)的世界。但由于病毒、木馬、蠕蟲等巨大網(wǎng)絡(luò)安全問題的出現(xiàn)，不僅嚴(yán)重影響了網(wǎng)絡(luò)的正常運轉(zhuǎn)，還阻礙了企業(yè)信息現(xiàn)代化的建設(shè)和發(fā)展，這將導(dǎo)致企業(yè)無法依賴信息管理體系，推進(jìn)現(xiàn)代化發(fā)展的進(jìn)程。目前，大部分企業(yè)的信息安全防護(hù)體系都不夠完善，企業(yè)對于信息安全防護(hù)方面的知識嚴(yán)重不足，導(dǎo)致了很多問題的出現(xiàn)，企業(yè)應(yīng)該盡快構(gòu)建一套完善的信息安全防護(hù)體系。建立信息安全防護(hù)體系，首先要按照其建設(shè)的基本原則，充分掌握信息安全防護(hù)知識，分析企業(yè)內(nèi)部網(wǎng)絡(luò)的特點，然后根據(jù)企業(yè)的實際需求，相應(yīng)的增加網(wǎng)絡(luò)設(shè)備的投入使用，同時采用最新的計算機(jī)技術(shù)，構(gòu)建完善的企業(yè)信息安全立體防護(hù)體系。

1 信息安全立體防護(hù)體系概述

1.1 概念

企業(yè)信息安全立體防護(hù)體系是保護(hù)企業(yè)信息安全，保證信息的準(zhǔn)確性、完整性、機(jī)密性、可控性和可用性的系統(tǒng)。對企業(yè)內(nèi)網(wǎng)所有容易受到外部攻擊和病毒侵入的角落布置完整綜合的防護(hù)系統(tǒng)，該系統(tǒng)包括企業(yè)信息安全保護(hù)的一般步驟、具體階段和工作范圍。

1.2 系統(tǒng)運行環(huán)境分析

系統(tǒng)的運行離不開環(huán)境。隨著信息產(chǎn)業(yè)的迅速發(fā)展，企業(yè)的信息安全防護(hù)環(huán)境也時刻發(fā)生著變化，不同的保護(hù)需求對防護(hù)環(huán)境有著不同的要求。企業(yè)信息安全防護(hù)系統(tǒng)的運行環(huán)境需要滿足三個條件，社會文化環(huán)境、行業(yè)技術(shù)環(huán)境和政府政策環(huán)境。社會文化環(huán)境主要指企業(yè)在信息安全問題方面的整體文化素質(zhì)、行為習(xí)慣和道德規(guī)范等。行業(yè)技術(shù)環(huán)境指為了完善企業(yè)信息安全防護(hù)體系，開發(fā)的一系列信息安全技術(shù)，目的是為了提升各行業(yè)信息安全保護(hù)能力。政府政策環(huán)境是指國家和政府為了提升企業(yè)信息安全，所發(fā)布的信息安全保護(hù)政策。

2 企業(yè)信息安全建設(shè)現(xiàn)狀分析

2.1 企業(yè)信息系統(tǒng)安全體系模型

每個企業(yè)由于業(yè)務(wù)的不同，對IT系統(tǒng)的依賴程度也各不相同，因此不同企業(yè)在信息安全防護(hù)方面也有著不同的需要，因為每個企業(yè)提出的信息安全政策和構(gòu)建信息安全體系的思路也各不一樣，導(dǎo)致每個企業(yè)所建設(shè)的信息安全體系參差不齊。目前我國企業(yè)建設(shè)信息安全可以分成四個階段，分別是盲目自信階段、認(rèn)知階段、完善階段和掌握階段，經(jīng)過調(diào)查分析發(fā)現(xiàn)，只有少部分走在前面的企業(yè)在信息安全建設(shè)方面進(jìn)入了完善和掌握階段，并開始提升信息安全技術(shù)和優(yōu)化信息安全防護(hù)流程。從目前大多數(shù)企業(yè)信息安全防護(hù)體系成熟度模型（如圖1：企業(yè)信息安全防護(hù)體系成熟度模型）可以發(fā)現(xiàn)，大多數(shù)的企業(yè)信息安全建設(shè)還處于初步的了解認(rèn)知階段，在信息安全建設(shè)方面還存在著比較大的進(jìn)步空間，信息安全防護(hù)對企業(yè)核心業(yè)務(wù)的作用也沒有真正發(fā)揮出來。

2.2 企業(yè)信息安全防護(hù)的不足之處

企業(yè)在信息化建設(shè)過程中，一直是把業(yè)務(wù)系統(tǒng)的建設(shè)放在首要位置，但 IT 業(yè)務(wù)系統(tǒng)的安全保障是其中最薄弱的環(huán)節(jié)，尤其在信息化不完善條件下，更是缺乏統(tǒng)一的安全建設(shè)策略做指導(dǎo)。

（1）組織保障不到位，導(dǎo)致了企業(yè)對危機(jī)的認(rèn)識不足，制度和規(guī)范的不夠完善，以及缺乏安全策略。

（2）企業(yè)應(yīng)用系統(tǒng)沒有和安全架構(gòu)相結(jié)合，同時沒有建立一套完整的安全數(shù)據(jù)存儲系統(tǒng)。

（3）從信息安全建設(shè)方面來看，企業(yè)建立的安全防護(hù)體系更多的是“頭痛醫(yī)頭、腳痛醫(yī)腳”，沒有一套完整全面解決問題的安全保障體系。大多數(shù)企業(yè)目前還停留在出現(xiàn)問題后再去解決的階段，對信息安全缺乏全面考慮和統(tǒng)一規(guī)劃，導(dǎo)致網(wǎng)絡(luò)設(shè)備五花八門，各設(shè)備之間缺乏聯(lián)系，不夠協(xié)調(diào)，從而造成了各種問題的出現(xiàn)。用戶認(rèn)證系統(tǒng)不夠完善，應(yīng)用系統(tǒng)安全保護(hù)不足，信息系統(tǒng)安全監(jiān)控和審計手段的缺乏，系統(tǒng)配置存在安全隱患，缺少網(wǎng)絡(luò)安全技術(shù)知識，這些問題充分說明了企業(yè)缺乏整體的安全保障體系。主要表現(xiàn)在：各系統(tǒng)各自為戰(zhàn)，只注重和解決局部問題，忽略了綜合防治，相互之間缺乏關(guān)聯(lián)，無法實現(xiàn)方案之間的安全聯(lián)動，缺乏完整統(tǒng)一的安全管理，導(dǎo)致無法全面地了解整個網(wǎng)絡(luò)的安全運行狀況。

圖1 信息安全防護(hù)體系成熟度模型

3 構(gòu)建信息防護(hù)體系的原則

（1）協(xié)調(diào)規(guī)劃和設(shè)計。建立信息安全防護(hù)體系要堅持“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計、統(tǒng)一建設(shè)”的原則，還要注重與應(yīng)用系統(tǒng)建設(shè)相結(jié)合。

（2）先進(jìn)架構(gòu)，有明確的保護(hù)重點。應(yīng)該采取先進(jìn)的體系結(jié)構(gòu)，并根據(jù)技術(shù)發(fā)展趨勢選擇成熟的主流產(chǎn)品，找出信息安全建設(shè)的重點，并將首要目標(biāo)放在保證基本網(wǎng)絡(luò)安全和關(guān)鍵應(yīng)用系統(tǒng)的安全問題上面，針對不同的網(wǎng)絡(luò)安全問題制定相應(yīng)的方案。

（3）技術(shù)和管理同步進(jìn)行，并注重系統(tǒng)保護(hù)的協(xié)調(diào)性。“三分技術(shù)，七分管理”，結(jié)合各個環(huán)節(jié)劃分管理界面，做好系統(tǒng)設(shè)計、建設(shè)與運行等環(huán)節(jié)的綜合防范。

（4）統(tǒng)一安全管理，按照相關(guān)法律法規(guī)統(tǒng)一進(jìn)行安全管理。建立統(tǒng)一管理的信息安全防護(hù)平臺，對企業(yè)的信息安全管理進(jìn)行分析，并出具相關(guān)報告，為企業(yè)制定信息安全戰(zhàn)略提供參考。

（5）高可靠和擴(kuò)展性建設(shè)原則。這是所有網(wǎng)絡(luò)安全建設(shè)的必經(jīng)之路，是企業(yè)持續(xù)發(fā)展和穩(wěn)定發(fā)展的需要。

4 企業(yè)信息安全立體防護(hù)體系的構(gòu)建

4.1 企業(yè)層面

（1）提升系統(tǒng)整體性。當(dāng)企業(yè)資源有限時，為了更有效地保障企業(yè)的信息安全，必須從全局出發(fā)，加強(qiáng)信息安全保護(hù)的整體布局，對原有產(chǎn)品進(jìn)行升級改造，全面規(guī)劃，合理布局，追求整體投入產(chǎn)出效益。

（2）明確系統(tǒng)層級性。企業(yè)的管理層對信息安全防護(hù)工作的效率有著重大的影響，企業(yè)信息安全保護(hù)分為技術(shù)層面保護(hù)、策略層面保護(hù)和制度層保護(hù)，三者相互作用，相互制約。為了有效地保護(hù)企業(yè)信息安全，必須處理好和協(xié)調(diào)好各系統(tǒng)間的相互關(guān)系，利用技術(shù)的支持，同時重視管理，加強(qiáng)工作協(xié)調(diào)，才能讓系統(tǒng)發(fā)揮其最大作用。

（3）降低系統(tǒng)交互性。企業(yè)的信息安全保護(hù)體系中，各個環(huán)節(jié)存在著強(qiáng)烈的交互作用，使得系統(tǒng)的運行更加復(fù)雜。因此需要建立一套完善的內(nèi)部規(guī)章制度，加強(qiáng)技術(shù)并規(guī)范操作，準(zhǔn)確識別風(fēng)險源，確保信息安全策略的正確理解和有效實施，避免周期性風(fēng)險的交叉影響，減小防范難度。

（4）關(guān)注系統(tǒng)動態(tài)。由于信息技術(shù)的發(fā)展，人們對信息安全保護(hù)有著更高的要求，關(guān)于企業(yè)信息安全保障，要正確理解企業(yè)信息安全問題，就必須從時間維度上對其定性，準(zhǔn)確定位系統(tǒng)的工作階段，明確定位信息安全風(fēng)險的時間界限，注重各個階段的連續(xù)性，運用適當(dāng)?shù)墓ぞ吆头椒ㄗR別風(fēng)險，找出風(fēng)險可能造成的危害，采取正確的防范措施，讓企業(yè)信息安全防護(hù)更加有效。

4.2 政府層面

企業(yè)的信息安全保護(hù)是一個完整的體系，也是一個需要不斷變化和更新的體系。提高企業(yè)信息安全保護(hù)意識，離不開良好的社會文化氛圍，企業(yè)信息安全防護(hù)的能力離不開互聯(lián)網(wǎng)技術(shù)的發(fā)展，應(yīng)制定強(qiáng)有力的措施和政策，才能有效地保障企業(yè)信息安全。因此，借助政府有力的政策和措施，重視和提升企業(yè)管理，方能有效地維護(hù)企業(yè)穩(wěn)定和實現(xiàn)可持續(xù)發(fā)展。

（1）加強(qiáng)信息安全保障體系文化。國家在加強(qiáng)信息安全保障方面需要加大宣傳力度，以促進(jìn)企業(yè)重視信息安全防護(hù)，同時提高社會民眾對信息安全的認(rèn)知。另一方面，應(yīng)不斷地制定和完善相關(guān)的法律法規(guī)，同時需要注意對廣大企業(yè)和社會民眾對于信息安全知識和法規(guī)的教育，以增強(qiáng)社會整體的信息安全意識。

（2）重視信息安全及其他相關(guān)問題。完善整合現(xiàn)有信息安全法律法規(guī)和標(biāo)準(zhǔn)是目前政府急需要進(jìn)行的工作，為了確保相關(guān)法律法規(guī)和標(biāo)準(zhǔn)的貫徹落實，需要政府制定多元化管理模式，有效保障企業(yè)和社會的信息安全。

（3）加大信息安全產(chǎn)業(yè)投資力度。加大人才培養(yǎng)力度，聯(lián)合互聯(lián)網(wǎng)安全企業(yè)制定和研發(fā)適用于中國國情的信息安全產(chǎn)品，為企業(yè)和社會提供信息安全保障。

5 結(jié)語

網(wǎng)絡(luò)技術(shù)不斷發(fā)展，網(wǎng)絡(luò)信息安全的威脅也越來越嚴(yán)重，建立安全防護(hù)系統(tǒng)，是保障企業(yè)信息安全的有效手段。建立信息安全防護(hù)體系是一項長期且艱巨的系統(tǒng)工程，需要企業(yè)努力提升信息安全防護(hù)意識和相關(guān)技術(shù)能力，不斷地完善和更新自身的防護(hù)體系和手段，提升信息安全防護(hù)能力，為企業(yè)的持續(xù)經(jīng)營和發(fā)展提供保障。

[1]閆勵，陳曉蘇. 大型企業(yè)網(wǎng)絡(luò)系統(tǒng)安全策略[J]. 計算機(jī)安全，2003，000（030）：77-79.

[2]彭佩，張婕，李紅梅. 企業(yè)信息安全立體防護(hù)體系構(gòu)建及運行[J]. 現(xiàn)代電子技術(shù)，2014（12）：42-45.

[3]王群. 基于安全域的信息安全防護(hù)體系研究[J]. 信息網(wǎng)絡(luò)安全，2015（09）：206-210.

[4]鐘博. 內(nèi)網(wǎng)安全更要求立體防護(hù)體系[J]. 信息安全與通信保密，2008（12）：26-27.

[5]趙曉. 企業(yè)信息安全防護(hù)體系建設(shè)[J]. 科技創(chuàng)新導(dǎo)報， 2010，000（034）：255-255.

[6]江龍才. 電網(wǎng)企業(yè)信息安全防護(hù)體系研究與應(yīng)用[C]/電力安全論壇. 2008.

[7]江龍才. 電網(wǎng)企業(yè)信息安全防護(hù)體系研究與應(yīng)用[C]/中國電機(jī)工程學(xué)會青年學(xué)術(shù)會議. 2008.

[8]薛擁華，湯毅，龔軍，等. 信息安全防護(hù)體系的分析及構(gòu)建[J]. 信息與電腦，2016，000（005）：199-200.