基于iSPN的企业信息安全建设方案

2018-09-29 19:47张娜

科技传播 2018年18期

张娜

摘要企业信息安全建设是企业信息化水平的重要体现之一，中央企业作为国家经济命脉，担负着国家全球化战略布局的使命。加强企业数据安全建设，可以有效地保障企业运营系统的平稳运行及经营数据的安全，抵御互联网环境下的恶意攻击。文章结合iSPN理念提出适用于企业的信息安全建设方案。

关键词 iSPN；企业信息安全；信息安全体系

中图分类号 G2 文献标识码 A 文章编号 1674-6708（2018）219-0092-02

近年来，互联网、大数据等IT技术的迅速发展对经济带来了巨大的影响，传统企业也在这种变革中不断借助信息化手段，提升企业管理水平和决策水平。

伴随着企业信息化水平的不断提高，信息安全变的越来越重要，尤其对于中央企业，信息安全与否直接关系到企业的战略发展，一旦出现信息泄露、恶意入侵等网络安全问题将对企业带来极大的危害。本文将基于iSPN理念，提出企业信息安全建设体系架构。

1 iSPN安全建设理念

iSPN（intelligent Safe Pervasive Network），全称为智能安全渗透网络，此理念是在H3C2004年提出的面向企业网络安全战略的安全渗透网络（SPN，Safe Pervasive Network）的基础上提出的，iSPN将安全的定义从网络威胁抵御扩大到业务流程控制的层面。

iSPN的智能安全渗透网络理念，将安全架构分为3个层面：局部安全、全局安全、智能安全（见图1）。其中，局部安全，主要是针对最基础的安全问题，进行定点的安全防御；全局安全，是针对产品间安全特性进行的，通过安全策略达到协同防御的目的；智能安全，是通过专业的安全服务将网络结构和业务流程进行统一的评估和规划，最终将统一的安全管理体系应用到智能平台上。

2 企业信息安全策略的设计范围

根据iSPN安全建设理念，企业信息安全建设的策略既要考虑关键的防护点，又要在全局上兼顾产品间的安全特性，通过建立不同等级的安全域和业务保护等级，集成的安全服务及安全产品，建立全面的防御安全保障体系。确保计算机网络、网络上的通用操作系统、主机应用系统可以安全、高效、可靠的运行。具体的安全策略设计范围是有以下方面。

1）网络系统安全策略。

网络安全策略包括物理安全、网络运行安全、信息安全保密3方面内容（见图2），其中，物理安全主要是环境安全、设备安全和介质安全；网络运行安全包括计算机病毒防治、备份与恢复、电磁兼容；信息安全保密包括操作系统安全、数控安全、入侵監控、网络安全保密性能测试、信息加密、电磁泄露发射防护、抵抗赖几方面的内容。

2）信息系统安全策略。

信息系统安全策略包括身份认证及授权策略、SSL认证、信息容易性校验及数据库备份与恢复策略。

3）管理制度安全策略。

管理制度安全策略主要是从管理机构、管理制度、技术和人员四方面进行管理，形成对应领域的制度法规。

3 企业安全保障体系框架

在以上信息安全策略设计范围的基础上，提出适用于企业的安全保障体系，本体系是基于iSPN智能安全渗透网络理念提出，从安全基础设施、应用系统安全以及安全管理保障体系三部分内容进行阐述。