建立整体安全架构保障企业信息安全

最近几年来，企业对信息安全正越来越迷惘。一方面，企业不断加大在信息安全方面的投入，但与此同时，企业科技专业人士又认为自己的企业更加脆弱，更加容易受到攻击。2007年，《InformationWeek》研究部和埃森哲咨询公司（Accenture）合作进行了第10年度“全球信息安全调查”，调查全面揭示了企业计算机环境所面临的各种威胁。调查显示，有55%的中国企业在信息安全领域比去年花费更多，但同时也有58%的中国企业认为自己的组织更加脆弱。信息安全似乎走入了一个“道高一尺，魔高一丈”的迷局。而且，随着信息系统的扩张、互联网和信息技术的普及与发展，它们也给信息安全带来了更大的挑战。树立风险导向意识，一手抓信息安全技术，一手抓信息安全管理，而且两手都要硬；从而建立具有先进性和前瞻性的企业信息安全整体安全架构，才能使企业走出迷局，迈向整体信息安全的新境界。

信息安全技术

信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性学科。从广义上讲，凡是涉及计算机系统信息的完整性、保密性、真实性、可用性与可控性的相关技术和理论的都属于信息安全技术领域。基于此，企业信息安全技术可分为物理安全、网络安全、主机安全、应用安全和数据安全。

其中，物理安全包括环境安全、设备安全和介质安全，而环境安全主要指重要涉密部位和机房选址、机房建设、重点部位监控、防火、防水防潮、防静电、防雷击、温湿度控制、电磁防护、电力供应、物理和区域控制的安全；设备安全包括门禁系统、设备的标识与安放；介质安全指介质的使用标识和保密标识，介质的收发与传递、使用、保存、维修、报废过程及其监管情况；网络安全包括网络结构安全和网段划分、网管系统、抗拒绝服务攻击系统、入侵检测系统、防火墙系统、防垃圾邮件系统、域管理、VPN和网络设备安全；主机安全包含计算机病毒与恶意代码防护、资源访问控制、身份鉴别、访问控制、安全审计、应急响应和运行管理；应用安全包括身份鉴别和访问控制、通信完整性和保密性、加密及传输加密系统、抗抵赖、资源控制、软件容错及代码安全；数据安全是指数据的完整性和统一性、数据的机密性及数据的权限控制与使用、数据安全备份与恢复及数据容灾或异地备份。

信息安全管理

信息安全技术的应用与实施，以及信息安全技术系统策略的制定和执行能都离不开信息安全的管理。因而，建立、健全信息安全管理制度与管理办法，提高管理制度的执行度及执行力，增强企业领导、企业组织和企业员工的安全意识教育与自觉性等，已经成为企业信息安全管理的必然课题。

几年前，FBI曾经对美国的信息安全进行了统计分析，结果显示，来自外部的攻击为20%，来自内部的攻击占80%；NSA提供的数字显示，50%的最具破坏性的攻击来自内部人员；我国相关部门对我国银行系统和企业的安全统计分析，结果为来自内部的攻击为80%，来自内部外部勾结为15%，来自外部的攻击占5%。

从中可以看出，信息安全主要威胁来自内部,内部人员的管理在依靠一定技术手段外,主要依靠信息安全技术系统的策略和内部管理制度来规范、约束与控制。因此，企业必须制定、完善严密的内部管理制度或管理办法，并不断修改，逐步健全与完善。其中信息安全策略，是内部管理制度或管理办法的具体细则和方法，指为保证提供一定级别的安全所必须遵守的一定规则，包括安全技术系统本身的管理策略和安全制度管理策略。

建立完整的企业安全管理体系与信息系统安全风险评估及应急措施

一个完整的企业安全管理体系，应该是由一个有效的管理机构，根据相关国家制度或企业行业规范，建立相应完善、健全的制度、办法和策略，并严格执行和监督。同时，时时检查和监督信息安全系统生命周期中的规划、设计、实施、运维和报废全过程的情况，发现问题，及时警告、更正。在大中型企业，需要建立分级管理机构，保障企业的信息安全。

911事件后，信息安全系统风险评估和应急反应，引起了美国相关部门的高度重视，联邦计算机事故反应中心（FEDCIRC）的工作重点，已经转移到建立自动的网络安全报告和反应系统上。美国国务院建立了一个网络监视中心，该中心负责对连接到美国驻外使、领馆的网络进行入侵检测和安全评估。世界各重要企业也对其信息安全系统风险评估和应急反应引起高度重视。企业的信息系统安全风险评估，主要是对企业的计算机系统资产、人为破坏或突发事件对企业的影响、各攻击行为对企业系统和资产的威胁、系统的脆弱性以及企业系统和资产的风险进行相关技术和人工方法的评估。风险评估的主要内容包括物理、网络、系统、应用、数据几方面。风险评估的主要目的是风险避免、风险降低、风险转移和风险接受，以及为建立应急措施提供依据。应急措施是反应一个企业面对企业的计算机系统资产、信息系统遭受人为破坏或突发事件的处理能力和决策能力，是企业信息安全中一项基本要素，是意外事件中将企业信息安全损失减少为最低的一项必要的管理措施。

管理制度的执行度与执行力

近几年来，发现一些企业等涉密单位，有严格的保密制度，并严格控制物理隔离后，不准上外网，封闭USB端口等，还是出现了信息安全方面的泄密事件。

调查发现，是涉密笔记本的管理问题，部分涉密信息笔记本丢失或被盗。这就涉及安全管理、制度执行的问题，而不是安全技术问题和安全管理制度或策略本身的错误。所以，有制度就需要严格执行，企业各级领导干部和相关人员必须认真履行职责，加强细节管理，提高信息安全管理制度的执行力度。

安全意识教育与自觉性

2006年美国在线（AOL）的一名员工利用同事的密码，获得了3000万AOL客户资料，并卖给了垃圾邮件发送者，公司利益遭受重大损失。经过调查分析，发现主要原因密码的管理不善，该员工安全意识不强。加强员工的安全意识教育，提高员工保密安全的自觉性，成为一个企业信息安全知识培训与宣贯的目标和一项长期的任务。

企业的“网吧”管理

随着互联网的发展及其应用的逐渐普及，以及企业的发展需要与对外交流，绝大多数企业都通过互联网对外收发邮件、收发数据和对外交流。少数企业内部网络与外部网络只是逻辑分开，部分企业建立了独立的外网网吧。在此，我们称之“虚拟网吧”，它们的管理统称“网吧管理”。在企业内部网吧，利用外网，通过即时通讯等软件，非法对外发送数据和信息，让企业内部泄密成为了一件极其容易的事情。因而，“网吧管理”也将成为企业信息安全管理的一项重要内容。我们必须建立完善的“网吧管理”制度并严格执行，同时通过信息安全技术对其进行安全控制和安全审计，才能保证企业外网方面的信息安全。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。