前言:想要寫出一篇引人入勝的文章?我們特意為您整理了談企業(yè)信息安全立體防護(hù)體系構(gòu)建范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:近些年來,互聯(lián)網(wǎng)有著非常顯著的發(fā)展,企業(yè)信息化建設(shè)和電子政務(wù)等領(lǐng)域?qū)ヂ?lián)網(wǎng)的應(yīng)用也越來越廣泛,信息系統(tǒng)的安全問題已經(jīng)不僅影響到企業(yè)的發(fā)展,而且已經(jīng)與國家主權(quán)和安全問題緊密聯(lián)系在一起。建立與優(yōu)化企業(yè)的信息安全立體防護(hù)體系,提高企業(yè)的信息安全管理水平,不僅有利于企業(yè)增強(qiáng)保護(hù)信息安全的能力,而且有助于企業(yè)發(fā)展。本文主要討論了目前企業(yè)信息安全的現(xiàn)狀,分析了企業(yè)信息安全立體防護(hù)體系的構(gòu)建原則和構(gòu)建策略。
關(guān)鍵詞:企業(yè)信息安全;安全立體防護(hù)體系;網(wǎng)絡(luò)安全
互聯(lián)網(wǎng)的發(fā)展深深地深深地影響著人們的生活和工作方式,不僅拉近了人與人的距離,還使人與人之間的交流變得更加便捷,人們已經(jīng)完全離不開網(wǎng)絡(luò)的世界。但由于病毒、木馬、蠕蟲等巨大網(wǎng)絡(luò)安全問題的出現(xiàn),不僅嚴(yán)重影響了網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn),還阻礙了企業(yè)信息現(xiàn)代化的建設(shè)和發(fā)展,這將導(dǎo)致企業(yè)無法依賴信息管理體系,推進(jìn)現(xiàn)代化發(fā)展的進(jìn)程。目前,大部分企業(yè)的信息安全防護(hù)體系都不夠完善,企業(yè)對于信息安全防護(hù)方面的知識(shí)嚴(yán)重不足,導(dǎo)致了很多問題的出現(xiàn),企業(yè)應(yīng)該盡快構(gòu)建一套完善的信息安全防護(hù)體系。建立信息安全防護(hù)體系,首先要按照其建設(shè)的基本原則,充分掌握信息安全防護(hù)知識(shí),分析企業(yè)內(nèi)部網(wǎng)絡(luò)的特點(diǎn),然后根據(jù)企業(yè)的實(shí)際需求,相應(yīng)的增加網(wǎng)絡(luò)設(shè)備的投入使用,同時(shí)采用最新的計(jì)算機(jī)技術(shù),構(gòu)建完善的企業(yè)信息安全立體防護(hù)體系。
1信息安全立體防護(hù)體系概述
1.1概念
企業(yè)信息安全立體防護(hù)體系是保護(hù)企業(yè)信息安全,保證信息的準(zhǔn)確性、完整性、機(jī)密性、可控性和可用性的系統(tǒng)。對企業(yè)內(nèi)網(wǎng)所有容易受到外部攻擊和病毒侵入的角落布置完整綜合的防護(hù)系統(tǒng),該系統(tǒng)包括企業(yè)信息安全保護(hù)的一般步驟、具體階段和工作范圍。
1.2系統(tǒng)運(yùn)行環(huán)境分析
系統(tǒng)的運(yùn)行離不開環(huán)境。隨著信息產(chǎn)業(yè)的迅速發(fā)展,企業(yè)的信息安全防護(hù)環(huán)境也時(shí)刻發(fā)生著變化,不同的保護(hù)需求對防護(hù)環(huán)境有著不同的要求。企業(yè)信息安全防護(hù)系統(tǒng)的運(yùn)行環(huán)境需要滿足三個(gè)條件,社會(huì)文化環(huán)境、行業(yè)技術(shù)環(huán)境和政府政策環(huán)境。社會(huì)文化環(huán)境主要指企業(yè)在信息安全問題方面的整體文化素質(zhì)、行為習(xí)慣和道德規(guī)范等。行業(yè)技術(shù)環(huán)境指為了完善企業(yè)信息安全防護(hù)體系,開發(fā)的一系列信息安全技術(shù),目的是為了提升各行業(yè)信息安全保護(hù)能力。政府政策環(huán)境是指國家和政府為了提升企業(yè)信息安全,所的信息安全保護(hù)政策。
2企業(yè)信息安全建設(shè)現(xiàn)狀分析
2.1企業(yè)信息系統(tǒng)安全體系模型
每個(gè)企業(yè)由于業(yè)務(wù)的不同,對IT系統(tǒng)的依賴程度也各不相同,因此不同企業(yè)在信息安全防護(hù)方面也有著不同的需要,因?yàn)槊總€(gè)企業(yè)提出的信息安全政策和構(gòu)建信息安全體系的思路也各不一樣,導(dǎo)致每個(gè)企業(yè)所建設(shè)的信息安全體系參差不齊。目前我國企業(yè)建設(shè)信息安全可以分成四個(gè)階段,分別是盲目自信階段、認(rèn)知階段、完善階段和掌握階段,經(jīng)過調(diào)查分析發(fā)現(xiàn),只有少部分走在前面的企業(yè)在信息安全建設(shè)方面進(jìn)入了完善和掌握階段,并開始提升信息安全技術(shù)和優(yōu)化信息安全防護(hù)流程。從目前大多數(shù)企業(yè)信息安全防護(hù)體系成熟度模型(如圖1:企業(yè)信息安全防護(hù)體系成熟度模型)可以發(fā)現(xiàn),大多數(shù)的企業(yè)信息安全建設(shè)還處于初步的了解認(rèn)知階段,在信息安全建設(shè)方面還存在著比較大的進(jìn)步空間,信息安全防護(hù)對企業(yè)核心業(yè)務(wù)的作用也沒有真正發(fā)揮出來。
2.2企業(yè)信息安全防護(hù)的不足之處
企業(yè)在信息化建設(shè)過程中,一直是把業(yè)務(wù)系統(tǒng)的建設(shè)放在首要位置,但I(xiàn)T業(yè)務(wù)系統(tǒng)的安全保障是其中最薄弱的環(huán)節(jié),尤其在信息化不完善條件下,更是缺乏統(tǒng)一的安全建設(shè)策略做指導(dǎo)。(1)組織保障不到位,導(dǎo)致了企業(yè)對危機(jī)的認(rèn)識(shí)不足,制度和規(guī)范的不夠完善,以及缺乏安全策略。(2)企業(yè)應(yīng)用系統(tǒng)沒有和安全架構(gòu)相結(jié)合,同時(shí)沒有建立一套完整的安全數(shù)據(jù)存儲(chǔ)系統(tǒng)。(3)從信息安全建設(shè)方面來看,企業(yè)建立的安全防護(hù)體系更多的是“頭痛醫(yī)頭、腳痛醫(yī)腳”,沒有一套完整全面解決問題的安全保障體系。大多數(shù)企業(yè)目前還停留在出現(xiàn)問題后再去解決的階段,對信息安全缺乏全面考慮和統(tǒng)一規(guī)劃,導(dǎo)致網(wǎng)絡(luò)設(shè)備五花八門,各設(shè)備之間缺乏聯(lián)系,不夠協(xié)調(diào),從而造成了各種問題的出現(xiàn)。用戶認(rèn)證系統(tǒng)不夠完善,應(yīng)用系統(tǒng)安全保護(hù)不足,信息系統(tǒng)安全監(jiān)控和審計(jì)手段的缺乏,系統(tǒng)配置存在安全隱患,缺少網(wǎng)絡(luò)安全技術(shù)知識(shí),這些問題充分說明了企業(yè)缺乏整體的安全保障體系。主要表現(xiàn)在:各系統(tǒng)各自為戰(zhàn),只注重和解決局部問題,忽略了綜合防治,相互之間缺乏關(guān)聯(lián),無法實(shí)現(xiàn)方案之間的安全聯(lián)動(dòng),缺乏完整統(tǒng)一的安全管理,導(dǎo)致無法全面地了解整個(gè)網(wǎng)絡(luò)的安全運(yùn)行狀況。
3構(gòu)建信息防護(hù)體系的原則
(1)協(xié)調(diào)規(guī)劃和設(shè)計(jì)。建立信息安全防護(hù)體系要堅(jiān)持“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計(jì)、統(tǒng)一建設(shè)”的原則,還要注重與應(yīng)用系統(tǒng)建設(shè)相結(jié)合。(2)先進(jìn)架構(gòu),有明確的保護(hù)重點(diǎn)。應(yīng)該采取先進(jìn)的體系結(jié)構(gòu),并根據(jù)技術(shù)發(fā)展趨勢選擇成熟的主流產(chǎn)品,找出信息安全建設(shè)的重點(diǎn),并將首要目標(biāo)放在保證基本網(wǎng)絡(luò)安全和關(guān)鍵應(yīng)用系統(tǒng)的安全問題上面,針對不同的網(wǎng)絡(luò)安全問題制定相應(yīng)的方案。(3)技術(shù)和管理同步進(jìn)行,并注重系統(tǒng)保護(hù)的協(xié)調(diào)性?!叭旨夹g(shù),七分管理”,結(jié)合各個(gè)環(huán)節(jié)劃分管理界面,做好系統(tǒng)設(shè)計(jì)、建設(shè)與運(yùn)行等環(huán)節(jié)的綜合防范。(4)統(tǒng)一安全管理,按照相關(guān)法律法規(guī)統(tǒng)一進(jìn)行安全管理。建立統(tǒng)一管理的信息安全防護(hù)平臺(tái),對企業(yè)的信息安全管理進(jìn)行分析,并出具相關(guān)報(bào)告,為企業(yè)制定信息安全戰(zhàn)略提供參考。(5)高可靠和擴(kuò)展性建設(shè)原則。這是所有網(wǎng)絡(luò)安全建設(shè)的必經(jīng)之路,是企業(yè)持續(xù)發(fā)展和穩(wěn)定發(fā)展的需要。
4企業(yè)信息安全立體防護(hù)體系的構(gòu)建
4.1企業(yè)層面
(1)提升系統(tǒng)整體性。當(dāng)企業(yè)資源有限時(shí),為了更有效地保障企業(yè)的信息安全,必須從全局出發(fā),加強(qiáng)信息安全保護(hù)的整體布局,對原有產(chǎn)品進(jìn)行升級改造,全面規(guī)劃,合理布局,追求整體投入產(chǎn)出效益。(2)明確系統(tǒng)層級性。企業(yè)的管理層對信息安全防護(hù)工作的效率有著重大的影響,企業(yè)信息安全保護(hù)分為技術(shù)層面保護(hù)、策略層面保護(hù)和制度層保護(hù),三者相互作用,相互制約。為了有效地保護(hù)企業(yè)信息安全,必須處理好和協(xié)調(diào)好各系統(tǒng)間的相互關(guān)系,利用技術(shù)的支持,同時(shí)重視管理,加強(qiáng)工作協(xié)調(diào),才能讓系統(tǒng)發(fā)揮其最大作用。(3)降低系統(tǒng)交互性。企業(yè)的信息安全保護(hù)體系中,各個(gè)環(huán)節(jié)存在著強(qiáng)烈的交互作用,使得系統(tǒng)的運(yùn)行更加復(fù)雜。因此需要建立一套完善的內(nèi)部規(guī)章制度,加強(qiáng)技術(shù)并規(guī)范操作,準(zhǔn)確識(shí)別風(fēng)險(xiǎn)源,確保信息安全策略的正確理解和有效實(shí)施,避免周期性風(fēng)險(xiǎn)的交叉影響,減小防范難度。(4)關(guān)注系統(tǒng)動(dòng)態(tài)。由于信息技術(shù)的發(fā)展,人們對信息安全保護(hù)有著更高的要求,關(guān)于企業(yè)信息安全保障,要正確理解企業(yè)信息安全問題,就必須從時(shí)間維度上對其定性,準(zhǔn)確定位系統(tǒng)的工作階段,明確定位信息安全風(fēng)險(xiǎn)的時(shí)間界限,注重各個(gè)階段的連續(xù)性,運(yùn)用適當(dāng)?shù)墓ぞ吆头椒ㄗR(shí)別風(fēng)險(xiǎn),找出風(fēng)險(xiǎn)可能造成的危害,采取正確的防范措施,讓企業(yè)信息安全防護(hù)更加有效。
4.2政府層面
企業(yè)的信息安全保護(hù)是一個(gè)完整的體系,也是一個(gè)需要不斷變化和更新的體系。提高企業(yè)信息安全保護(hù)意識(shí),離不開良好的社會(huì)文化氛圍,企業(yè)信息安全防護(hù)的能力離不開互聯(lián)網(wǎng)技術(shù)的發(fā)展,應(yīng)制定強(qiáng)有力的措施和政策,才能有效地保障企業(yè)信息安全。因此,借助政府有力的政策和措施,重視和提升企業(yè)管理,方能有效地維護(hù)企業(yè)穩(wěn)定和實(shí)現(xiàn)可持續(xù)發(fā)展。(1)加強(qiáng)信息安全保障體系文化。國家在加強(qiáng)信息安全保障方面需要加大宣傳力度,以促進(jìn)企業(yè)重視信息安全防護(hù),同時(shí)提高社會(huì)民眾對信息安全的認(rèn)知。另一方面,應(yīng)不斷地制定和完善相關(guān)的法律法規(guī),同時(shí)需要注意對廣大企業(yè)和社會(huì)民眾對于信息安全知識(shí)和法規(guī)的教育,以增強(qiáng)社會(huì)整體的信息安全意識(shí)。(2)重視信息安全及其他相關(guān)問題。完善整合現(xiàn)有信息安全法律法規(guī)和標(biāo)準(zhǔn)是目前政府急需要進(jìn)行的工作,為了確保相關(guān)法律法規(guī)和標(biāo)準(zhǔn)的貫徹落實(shí),需要政府制定多元化管理模式,有效保障企業(yè)和社會(huì)的信息安全。(3)加大信息安全產(chǎn)業(yè)投資力度。加大人才培養(yǎng)力度,聯(lián)合互聯(lián)網(wǎng)安全企業(yè)制定和研發(fā)適用于中國國情的信息安全產(chǎn)品,為企業(yè)和社會(huì)提供信息安全保障。
5結(jié)語
網(wǎng)絡(luò)技術(shù)不斷發(fā)展,網(wǎng)絡(luò)信息安全的威脅也越來越嚴(yán)重,建立安全防護(hù)系統(tǒng),是保障企業(yè)信息安全的有效手段。建立信息安全防護(hù)體系是一項(xiàng)長期且艱巨的系統(tǒng)工程,需要企業(yè)努力提升信息安全防護(hù)意識(shí)和相關(guān)技術(shù)能力,不斷地完善和更新自身的防護(hù)體系和手段,提升信息安全防護(hù)能力,為企業(yè)的持續(xù)經(jīng)營和發(fā)展提供保障。
參考文獻(xiàn):
[1]閆勵(lì),陳曉蘇.大型企業(yè)網(wǎng)絡(luò)系統(tǒng)安全策略[J].計(jì)算機(jī)安全,2003,000(030):77-79.
[2]彭佩,張婕,李紅梅.企業(yè)信息安全立體防護(hù)體系構(gòu)建及運(yùn)行[J].現(xiàn)代電子技術(shù),2014(12):42-45.
[3]王群.基于安全域的信息安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全,2015(09):206-210.
[4]鐘博.內(nèi)網(wǎng)安全更要求立體防護(hù)體系[J].信息安全與通信保密,2008(12):26-27.
[5]趙曉.企業(yè)信息安全防護(hù)體系建設(shè)[J].科技創(chuàng)新導(dǎo)報(bào),2010,000(034):255-255.
[6]江龍才.電網(wǎng)企業(yè)信息安全防護(hù)體系研究與應(yīng)用[C]/電力安全論壇.2008.
[7]江龍才.電網(wǎng)企業(yè)信息安全防護(hù)體系研究與應(yīng)用[C]/中國電機(jī)工程學(xué)會(huì)青年學(xué)術(shù)會(huì)議.2008.
[8]薛擁華,湯毅,龔軍,等.信息安全防護(hù)體系的分析及構(gòu)建[J].信息與電腦,2016,000(005):199-200.
作者:葛紅 單位:國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心甘肅分中心