談企業(yè)信息安全立體防護(hù)體系構(gòu)建

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了談企業(yè)信息安全立體防護(hù)體系構(gòu)建范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要：近些年來(lái)，互聯(lián)網(wǎng)有著非常顯著的發(fā)展，企業(yè)信息化建設(shè)和電子政務(wù)等領(lǐng)域?qū)ヂ?lián)網(wǎng)的應(yīng)用也越來(lái)越廣泛，信息系統(tǒng)的安全問(wèn)題已經(jīng)不僅影響到企業(yè)的發(fā)展，而且已經(jīng)與國(guó)家主權(quán)和安全問(wèn)題緊密聯(lián)系在一起。建立與優(yōu)化企業(yè)的信息安全立體防護(hù)體系，提高企業(yè)的信息安全管理水平，不僅有利于企業(yè)增強(qiáng)保護(hù)信息安全的能力，而且有助于企業(yè)發(fā)展。本文主要討論了目前企業(yè)信息安全的現(xiàn)狀，分析了企業(yè)信息安全立體防護(hù)體系的構(gòu)建原則和構(gòu)建策略。

關(guān)鍵詞：企業(yè)信息安全；安全立體防護(hù)體系；網(wǎng)絡(luò)安全

互聯(lián)網(wǎng)的發(fā)展深深地深深地影響著人們的生活和工作方式，不僅拉近了人與人的距離，還使人與人之間的交流變得更加便捷，人們已經(jīng)完全離不開(kāi)網(wǎng)絡(luò)的世界。但由于病毒、木馬、蠕蟲(chóng)等巨大網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)，不僅嚴(yán)重影響了網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)，還阻礙了企業(yè)信息現(xiàn)代化的建設(shè)和發(fā)展，這將導(dǎo)致企業(yè)無(wú)法依賴信息管理體系，推進(jìn)現(xiàn)代化發(fā)展的進(jìn)程。目前，大部分企業(yè)的信息安全防護(hù)體系都不夠完善，企業(yè)對(duì)于信息安全防護(hù)方面的知識(shí)嚴(yán)重不足，導(dǎo)致了很多問(wèn)題的出現(xiàn)，企業(yè)應(yīng)該盡快構(gòu)建一套完善的信息安全防護(hù)體系。建立信息安全防護(hù)體系，首先要按照其建設(shè)的基本原則，充分掌握信息安全防護(hù)知識(shí)，分析企業(yè)內(nèi)部網(wǎng)絡(luò)的特點(diǎn)，然后根據(jù)企業(yè)的實(shí)際需求，相應(yīng)的增加網(wǎng)絡(luò)設(shè)備的投入使用，同時(shí)采用最新的計(jì)算機(jī)技術(shù)，構(gòu)建完善的企業(yè)信息安全立體防護(hù)體系。

1信息安全立體防護(hù)體系概述

1.1概念

企業(yè)信息安全立體防護(hù)體系是保護(hù)企業(yè)信息安全，保證信息的準(zhǔn)確性、完整性、機(jī)密性、可控性和可用性的系統(tǒng)。對(duì)企業(yè)內(nèi)網(wǎng)所有容易受到外部攻擊和病毒侵入的角落布置完整綜合的防護(hù)系統(tǒng)，該系統(tǒng)包括企業(yè)信息安全保護(hù)的一般步驟、具體階段和工作范圍。

1.2系統(tǒng)運(yùn)行環(huán)境分析

系統(tǒng)的運(yùn)行離不開(kāi)環(huán)境。隨著信息產(chǎn)業(yè)的迅速發(fā)展，企業(yè)的信息安全防護(hù)環(huán)境也時(shí)刻發(fā)生著變化，不同的保護(hù)需求對(duì)防護(hù)環(huán)境有著不同的要求。企業(yè)信息安全防護(hù)系統(tǒng)的運(yùn)行環(huán)境需要滿足三個(gè)條件，社會(huì)文化環(huán)境、行業(yè)技術(shù)環(huán)境和政府政策環(huán)境。社會(huì)文化環(huán)境主要指企業(yè)在信息安全問(wèn)題方面的整體文化素質(zhì)、行為習(xí)慣和道德規(guī)范等。行業(yè)技術(shù)環(huán)境指為了完善企業(yè)信息安全防護(hù)體系，開(kāi)發(fā)的一系列信息安全技術(shù)，目的是為了提升各行業(yè)信息安全保護(hù)能力。政府政策環(huán)境是指國(guó)家和政府為了提升企業(yè)信息安全，所的信息安全保護(hù)政策。

2企業(yè)信息安全建設(shè)現(xiàn)狀分析

2.1企業(yè)信息系統(tǒng)安全體系模型

每個(gè)企業(yè)由于業(yè)務(wù)的不同，對(duì)IT系統(tǒng)的依賴程度也各不相同，因此不同企業(yè)在信息安全防護(hù)方面也有著不同的需要，因?yàn)槊總€(gè)企業(yè)提出的信息安全政策和構(gòu)建信息安全體系的思路也各不一樣，導(dǎo)致每個(gè)企業(yè)所建設(shè)的信息安全體系參差不齊。目前我國(guó)企業(yè)建設(shè)信息安全可以分成四個(gè)階段，分別是盲目自信階段、認(rèn)知階段、完善階段和掌握階段，經(jīng)過(guò)調(diào)查分析發(fā)現(xiàn)，只有少部分走在前面的企業(yè)在信息安全建設(shè)方面進(jìn)入了完善和掌握階段，并開(kāi)始提升信息安全技術(shù)和優(yōu)化信息安全防護(hù)流程。從目前大多數(shù)企業(yè)信息安全防護(hù)體系成熟度模型（如圖1：企業(yè)信息安全防護(hù)體系成熟度模型）可以發(fā)現(xiàn)，大多數(shù)的企業(yè)信息安全建設(shè)還處于初步的了解認(rèn)知階段，在信息安全建設(shè)方面還存在著比較大的進(jìn)步空間，信息安全防護(hù)對(duì)企業(yè)核心業(yè)務(wù)的作用也沒(méi)有真正發(fā)揮出來(lái)。

2.2企業(yè)信息安全防護(hù)的不足之處

企業(yè)在信息化建設(shè)過(guò)程中，一直是把業(yè)務(wù)系統(tǒng)的建設(shè)放在首要位置，但I(xiàn)T業(yè)務(wù)系統(tǒng)的安全保障是其中最薄弱的環(huán)節(jié)，尤其在信息化不完善條件下，更是缺乏統(tǒng)一的安全建設(shè)策略做指導(dǎo)。（1）組織保障不到位，導(dǎo)致了企業(yè)對(duì)危機(jī)的認(rèn)識(shí)不足，制度和規(guī)范的不夠完善，以及缺乏安全策略。（2）企業(yè)應(yīng)用系統(tǒng)沒(méi)有和安全架構(gòu)相結(jié)合，同時(shí)沒(méi)有建立一套完整的安全數(shù)據(jù)存儲(chǔ)系統(tǒng)。（3）從信息安全建設(shè)方面來(lái)看，企業(yè)建立的安全防護(hù)體系更多的是“頭痛醫(yī)頭、腳痛醫(yī)腳”，沒(méi)有一套完整全面解決問(wèn)題的安全保障體系。大多數(shù)企業(yè)目前還停留在出現(xiàn)問(wèn)題后再去解決的階段，對(duì)信息安全缺乏全面考慮和統(tǒng)一規(guī)劃，導(dǎo)致網(wǎng)絡(luò)設(shè)備五花八門(mén)，各設(shè)備之間缺乏聯(lián)系，不夠協(xié)調(diào)，從而造成了各種問(wèn)題的出現(xiàn)。用戶認(rèn)證系統(tǒng)不夠完善，應(yīng)用系統(tǒng)安全保護(hù)不足，信息系統(tǒng)安全監(jiān)控和審計(jì)手段的缺乏，系統(tǒng)配置存在安全隱患，缺少網(wǎng)絡(luò)安全技術(shù)知識(shí)，這些問(wèn)題充分說(shuō)明了企業(yè)缺乏整體的安全保障體系。主要表現(xiàn)在：各系統(tǒng)各自為戰(zhàn)，只注重和解決局部問(wèn)題，忽略了綜合防治，相互之間缺乏關(guān)聯(lián)，無(wú)法實(shí)現(xiàn)方案之間的安全聯(lián)動(dòng)，缺乏完整統(tǒng)一的安全管理，導(dǎo)致無(wú)法全面地了解整個(gè)網(wǎng)絡(luò)的安全運(yùn)行狀況。

3構(gòu)建信息防護(hù)體系的原則

（1）協(xié)調(diào)規(guī)劃和設(shè)計(jì)。建立信息安全防護(hù)體系要堅(jiān)持“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計(jì)、統(tǒng)一建設(shè)”的原則，還要注重與應(yīng)用系統(tǒng)建設(shè)相結(jié)合。（2）先進(jìn)架構(gòu)，有明確的保護(hù)重點(diǎn)。應(yīng)該采取先進(jìn)的體系結(jié)構(gòu)，并根據(jù)技術(shù)發(fā)展趨勢(shì)選擇成熟的主流產(chǎn)品，找出信息安全建設(shè)的重點(diǎn)，并將首要目標(biāo)放在保證基本網(wǎng)絡(luò)安全和關(guān)鍵應(yīng)用系統(tǒng)的安全問(wèn)題上面，針對(duì)不同的網(wǎng)絡(luò)安全問(wèn)題制定相應(yīng)的方案。（3）技術(shù)和管理同步進(jìn)行，并注重系統(tǒng)保護(hù)的協(xié)調(diào)性?！叭旨夹g(shù)，七分管理”，結(jié)合各個(gè)環(huán)節(jié)劃分管理界面，做好系統(tǒng)設(shè)計(jì)、建設(shè)與運(yùn)行等環(huán)節(jié)的綜合防范。（4）統(tǒng)一安全管理，按照相關(guān)法律法規(guī)統(tǒng)一進(jìn)行安全管理。建立統(tǒng)一管理的信息安全防護(hù)平臺(tái)，對(duì)企業(yè)的信息安全管理進(jìn)行分析，并出具相關(guān)報(bào)告，為企業(yè)制定信息安全戰(zhàn)略提供參考。（5）高可靠和擴(kuò)展性建設(shè)原則。這是所有網(wǎng)絡(luò)安全建設(shè)的必經(jīng)之路，是企業(yè)持續(xù)發(fā)展和穩(wěn)定發(fā)展的需要。

4企業(yè)信息安全立體防護(hù)體系的構(gòu)建

4.1企業(yè)層面

（1）提升系統(tǒng)整體性。當(dāng)企業(yè)資源有限時(shí)，為了更有效地保障企業(yè)的信息安全，必須從全局出發(fā)，加強(qiáng)信息安全保護(hù)的整體布局，對(duì)原有產(chǎn)品進(jìn)行升級(jí)改造，全面規(guī)劃，合理布局，追求整體投入產(chǎn)出效益。（2）明確系統(tǒng)層級(jí)性。企業(yè)的管理層對(duì)信息安全防護(hù)工作的效率有著重大的影響，企業(yè)信息安全保護(hù)分為技術(shù)層面保護(hù)、策略層面保護(hù)和制度層保護(hù)，三者相互作用，相互制約。為了有效地保護(hù)企業(yè)信息安全，必須處理好和協(xié)調(diào)好各系統(tǒng)間的相互關(guān)系，利用技術(shù)的支持，同時(shí)重視管理，加強(qiáng)工作協(xié)調(diào)，才能讓系統(tǒng)發(fā)揮其最大作用。（3）降低系統(tǒng)交互性。企業(yè)的信息安全保護(hù)體系中，各個(gè)環(huán)節(jié)存在著強(qiáng)烈的交互作用，使得系統(tǒng)的運(yùn)行更加復(fù)雜。因此需要建立一套完善的內(nèi)部規(guī)章制度，加強(qiáng)技術(shù)并規(guī)范操作，準(zhǔn)確識(shí)別風(fēng)險(xiǎn)源，確保信息安全策略的正確理解和有效實(shí)施，避免周期性風(fēng)險(xiǎn)的交叉影響，減小防范難度。（4）關(guān)注系統(tǒng)動(dòng)態(tài)。由于信息技術(shù)的發(fā)展，人們對(duì)信息安全保護(hù)有著更高的要求，關(guān)于企業(yè)信息安全保障，要正確理解企業(yè)信息安全問(wèn)題，就必須從時(shí)間維度上對(duì)其定性，準(zhǔn)確定位系統(tǒng)的工作階段，明確定位信息安全風(fēng)險(xiǎn)的時(shí)間界限，注重各個(gè)階段的連續(xù)性，運(yùn)用適當(dāng)?shù)墓ぞ吆头椒ㄗR(shí)別風(fēng)險(xiǎn)，找出風(fēng)險(xiǎn)可能造成的危害，采取正確的防范措施，讓企業(yè)信息安全防護(hù)更加有效。

4.2政府層面

企業(yè)的信息安全保護(hù)是一個(gè)完整的體系，也是一個(gè)需要不斷變化和更新的體系。提高企業(yè)信息安全保護(hù)意識(shí)，離不開(kāi)良好的社會(huì)文化氛圍，企業(yè)信息安全防護(hù)的能力離不開(kāi)互聯(lián)網(wǎng)技術(shù)的發(fā)展，應(yīng)制定強(qiáng)有力的措施和政策，才能有效地保障企業(yè)信息安全。因此，借助政府有力的政策和措施，重視和提升企業(yè)管理，方能有效地維護(hù)企業(yè)穩(wěn)定和實(shí)現(xiàn)可持續(xù)發(fā)展。（1）加強(qiáng)信息安全保障體系文化。國(guó)家在加強(qiáng)信息安全保障方面需要加大宣傳力度，以促進(jìn)企業(yè)重視信息安全防護(hù)，同時(shí)提高社會(huì)民眾對(duì)信息安全的認(rèn)知。另一方面，應(yīng)不斷地制定和完善相關(guān)的法律法規(guī)，同時(shí)需要注意對(duì)廣大企業(yè)和社會(huì)民眾對(duì)于信息安全知識(shí)和法規(guī)的教育，以增強(qiáng)社會(huì)整體的信息安全意識(shí)。（2）重視信息安全及其他相關(guān)問(wèn)題。完善整合現(xiàn)有信息安全法律法規(guī)和標(biāo)準(zhǔn)是目前政府急需要進(jìn)行的工作，為了確保相關(guān)法律法規(guī)和標(biāo)準(zhǔn)的貫徹落實(shí)，需要政府制定多元化管理模式，有效保障企業(yè)和社會(huì)的信息安全。（3）加大信息安全產(chǎn)業(yè)投資力度。加大人才培養(yǎng)力度，聯(lián)合互聯(lián)網(wǎng)安全企業(yè)制定和研發(fā)適用于中國(guó)國(guó)情的信息安全產(chǎn)品，為企業(yè)和社會(huì)提供信息安全保障。

5結(jié)語(yǔ)

網(wǎng)絡(luò)技術(shù)不斷發(fā)展，網(wǎng)絡(luò)信息安全的威脅也越來(lái)越嚴(yán)重，建立安全防護(hù)系統(tǒng)，是保障企業(yè)信息安全的有效手段。建立信息安全防護(hù)體系是一項(xiàng)長(zhǎng)期且艱巨的系統(tǒng)工程，需要企業(yè)努力提升信息安全防護(hù)意識(shí)和相關(guān)技術(shù)能力，不斷地完善和更新自身的防護(hù)體系和手段，提升信息安全防護(hù)能力，為企業(yè)的持續(xù)經(jīng)營(yíng)和發(fā)展提供保障。

參考文獻(xiàn)：

[1]閆勵(lì)，陳曉蘇.大型企業(yè)網(wǎng)絡(luò)系統(tǒng)安全策略[J].計(jì)算機(jī)安全，2003，000（030）：77-79.

[2]彭佩，張婕，李紅梅.企業(yè)信息安全立體防護(hù)體系構(gòu)建及運(yùn)行[J].現(xiàn)代電子技術(shù)，2014（12）：42-45.

[3]王群.基于安全域的信息安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全，2015（09）：206-210.

[4]鐘博.內(nèi)網(wǎng)安全更要求立體防護(hù)體系[J].信息安全與通信保密，2008（12）：26-27.

[5]趙曉.企業(yè)信息安全防護(hù)體系建設(shè)[J].科技創(chuàng)新導(dǎo)報(bào)，2010，000（034）：255-255.

[6]江龍才.電網(wǎng)企業(yè)信息安全防護(hù)體系研究與應(yīng)用[C]/電力安全論壇.2008.

[7]江龍才.電網(wǎng)企業(yè)信息安全防護(hù)體系研究與應(yīng)用[C]/中國(guó)電機(jī)工程學(xué)會(huì)青年學(xué)術(shù)會(huì)議.2008.

[8]薛擁華，湯毅，龔軍，等.信息安全防護(hù)體系的分析及構(gòu)建[J].信息與電腦，2016，000（005）：199-200.

作者：葛紅 單位：國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心甘肅分中心