企業信息安全標準應用綜述

　　在信息網絡普及的時代，信息網絡成為員工日常工作不可或缺的工具。同時，安全問題越來越成為影響企業信息化發展的重要因素，病毒的泛濫影響了正常的業務開展，垃圾流量占用了寬帶資源，無所不在的網絡釣魚造成大量信息的泄露，網絡攻擊可能造成巨大的損失，因此加強信息安全建設日益成為企業的迫切需求。

　　1、信息安全保護相關標準體系

　　在信息安全標準化方面, 我國從20 世紀80 年代開始，在全國信息技術標準化技術委員會信息安全分技術委員會和各部門各界的努力下，本著積極采用國際標準的原則，轉化了一批國際信息安全基礎技術標準，為我國信息安全技術的發展做出了一定貢獻。同時，公安部、國家安全部、國家保密局、國家密碼管理委員會等相繼制定、頒布了一批信息安全的行業標準，這些標準大致可以分為四類，國家信息安全保護相關標準體系如圖1所示。

　　2011 年2 月1 日，《信息系統安全等級保護實施指南》、《信息系統等級保護安全設計技術要求》等18 項信息安全技術標準將正式實施，這對于完善我國信息安全標準體系，規范和指導我國信息安全保障體系建設具有重要意義。

　　2、企業信息安全體系的建設

　　企業信息安全體系是在滿足國家規定、遵循國際標準的原則下，參照國內外最佳實踐，結合自身的實際需求，通過管理和技術手段，來構建企業信息安全體系。通過開展信息安全體系建設，我們可以落實安全責任制，完善管理制度、技術措施，落實等級保護制度的各項要求，提高信息系統安全管理水平，增強安全保護能力，保護企業重要信息資產，保障信息網絡可用。

　　2.1 建設流程

　　企業信息安全體系建設分四步進行。第一步，根據國家標準對行業等級保護進行定級，制定企業信息安全建設工作規劃和總體部署；第二步：開展信息系統安全保護現狀分析，確定安全保護策略，制定整改方案；第三步：整改建設，從管理和技術兩個方面開展信息統安全建設；第四步：測評完善，開展安全自檢自查、風險評估和等級測評，及時發現企業存在的信息安全隱患和威脅，進一步開展安全建設工作，企業信息安全體系建設流程如圖2 所示。

　　2.2 規劃部署

　　按照《信息系統安全等級保護基本要求》(GB/T22239-2008)、《信息系統安全等級保護定級指南》(GB/T22240-2008)、《信息安全管理體系要求》(GB/T22080-2008) 等標準要求并結合行業特點，對企業信息安全體系建設進行統一規劃部署。

　　2.3 現狀分析

　　開展企業信息安全保護現狀分析，查找信息安全保護建設整改需要解決的問題，分析判斷目前所采取的安全管理、技術措施與《信息系統安全管理要求》( GB/T 20269-2006)、《信息系統等級保護安全設計技術要求》( GB/T 25070-2010) 等標準要求之間的差距，針對問題不足制定安全保護策略，形成整改方案。

　　2.4 整改建設

　　按照最新國家標準《信息系統安全等級保護實施指南》(GB/T 25058-2010)、《信息系統安全工程管理要求》(GB/T20282-2006)對整改建設過程的起始、設計、建設、運行和維護各個階段進行管理控制，確保項目實施質量。以下從管理和技術兩個方面介紹信息安全體系建設：

　　2.4.1 信息安全管理建設

　　信息安全工作的重點正從傳統的側重技術向關注管理轉變，信息安全管理建設顯得尤為重要，信息安全管理建設包括有：

　　(1)信息安全組織建設

　　信息安全組織是根據企業信息安全規劃明確了信息安全團隊職能和職責。

　　(2)信息安全制度建設

　　設備和介質安全管理，明確配套設施、軟硬件設備管理、維護的責任人，對信息系統的各種軟硬件設備采購、發放、維護等過程進行控制，加強對涉外維修、敏感數據銷毀等過程的監督控制。

　　日常運行維護，明確網絡、系統日常運行維護的責任人，對運行管理中的日常操作、賬號管理、日志管理、補丁升級、口令更新等過程進行控制和管理，制訂相應的管理制度和操作規程并落實執行。

　　災難備份，防止重大事故、事件發生。識別需要定期備份的重要業務信息、系統數據及軟件系統等，制定數據的備份策略和恢復策略，建立備份與恢復管理相關的安全管理制度。

　　事件處置與應急響應，按照《信息安全事件分類分級指南》(GB/T 20986-2007)、《信息安全事件管理指南》(GB/T 20985-2007)確定信息安全事件的等級。結合《信息安全應急響應計劃規范》(GB/T24363-2009)制定信息安全事件分級應急處置預案，明確應急處置策略，落實應急指揮部門、執行部門和技術支撐部門，建立應急協調機制。

　　2.4.2 信息安全技術建設

　　信息安全技術建設從保證企業業務連續性的角度出發, 從構建設備安全可靠、基礎架構安全、安全技術部署、統一安全管理、用戶行為安全五個方面， 規劃了以等級保護為基礎的控制架構, 以符合國家關于信息安全保障體系與等級保護的要求，企業信息安全技術建設如圖3 所示。

　　(1)設備安全可靠

　　高可靠性永遠是企業必不可少的重要需求。設備的可靠性就像自然界的生態平衡，維系著系統的正常運轉，一旦平衡被打破，需要具備自我恢復能力。高可靠性的設備和可靠性技術是保證信息安全的基礎。

　　(2)基礎架構安全

　　信息技術基礎架構安全應該以網絡安全架構作為主體, 并在此基礎上結合相應的系統軟硬件進行安全部署和配置。網絡應該采用模塊化、冗余的網絡架構，按照功能區域劃分的方法, 根據網絡所承載業務系統的特性與所面臨的風險, 劃分不同的網絡功能區域, 并根據業務的安全需求以及等級保護的要求, 對不同區域之間的信息訪問做出限制。

　　(3)安全技術部署

　　從FW/VPN、IPS/IDS、防病毒系統、漏洞掃描、行為審計系統等多種安全設備到資源采集syslog、snmp、netstream 等多種數據源，對所有安全信息進行分析、匯聚和存儲。

　　(4)統一安全管理

　　統一安全管理不能簡單地理解為單一的產品或方案的堆砌，它是銜接網絡安全設備的技術橋梁，不僅包括安全資源基礎管理、安全威脅集中監控、風險評估、安全審計、響應恢復等管理功能，同時還強調與企業安全制度、流程相結合，實現管理與技術的共同發展。

　　(5)用戶行為安全

　　對網絡中的用戶行為進行全面的監控、預警、審計，快速全面掌握網絡中的帶寬濫用、非法上網及流量異常情況，并采取有效措施進行控制管理。

　　信息安全技術建設的五個方面應具有聯動功能，使分散在企業的各個安全策略形成一個整體。同時，應具有動態適應環境的能力，要求技術措施和管理機制的有效結合。

　　2.5 測評完善

　　按照《信息安全風險評估規范》(GB/T20984-2007)、《信息安全風險管理指南》(GB/T24364-2009)等標準要求采取自檢自查、風險評估、等級測評等方法，分析判斷目前所采取的安全措施的不足、存在的問題，制定安全策略，不斷鞏固和完善信息安全體系。

　　3、結束語

　　隨著信息技術的革新，各種新的技術層出不窮，新的應用帶來了新的安全問題，威脅也在不斷地演變，可以看出企業信息安全體系建設是一項系統工程，而不是單純通過建立一些制度、規范或采用某些新技術就可以完成的過程。因此，企業信息安全體系建設應該與企業業務和信息化建設協調發展。同時，信息安全體系應該是一個開放的體系, 具有持續改進的能力, 企業只有結合自身業務特點建立信息安全體系和信息安全保護長效機制，真正消除安全威脅隱患，才能實現信息安全的有效管理。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：企業信息安全標準應用綜述

本文網址：http://m.hanmeixuan.com/html/consultation/10839510697.html