企业信息安全立体防护体系构建及运行分析

李 涛

（云盾智慧安全科技有限公司，北京 100176）

1 企业信息安全立体防护体系特点

1.1 便利性

打印审计系统的运行是通过微软操作系统打印服务框架完成相关运作，但因打印机种类相对较多，并且加多硬件厂商很难确保向操作系统报告真实输出情况，那么如果打印审计系统在出现审计故障时，很难处于完全输出状态。为此，需要通过追加备注日志对问题进行解决，用户提出追加备注日志申请，领导层审批后方可添加，可在文档输出打印管理中形成闭环管理，从而避免管理缺陷。

1.2 适用性

打印系统在运行之前需要进行认证，一般使用IC卡认证，从系统适用性角度进行分析，利用现有资源，并在此基础上与指纹认证系有效结合。在打印期间，系统需要采集指纹，同时与指纹库中指纹对比，无误后调取打印任务。由于指纹具有不变形、随身性以及惟一性等特点，能够提高身份认证安全性，可确保用户及时获得所需的打印的资料，从而避免了数据泄露的问题。

1.3 实用性

在对信息系统业务进行审批的过程中，主要使用纸质审批单，此种传统方式存在较多弊端。通过使用电子审批流程后，主要是从申请单位与申请者入手，详细分析办理逻辑与申请及需求。再把不同审批单有效连接，简化审批环节与流程，大大减少了审批数量，提升信息系统运行效率，确保办理时间逻辑性。

2 企业信息安全立体防护体系构建与运行的必要性

企业的发展直接影响我国整体经济的发展，尤其对于大型企业来说，关系到国计民生的重要产业，因此信息安全对提高人们生活质量尤为重要。目前，工业企业已基本实现了自动化、网络化发展，以网络、数据库以及自动控制技术等，逐渐成为经营管理与生产中的基本要素，确保信息系统安全已成为企业发展的重要内容。

目前，我国未掌握核心技术，核心设备主要是从其他国家采购，由于国产水平与国外相比相对较低，维护网络安全、实现信息安全管控还有较长的路要走，在此过程中还应投入更多资源研发核心技术，为我国信息安全奠定良好的基础。

3 企业信息安全立体防护体系环境分析

网络系统在运行的过程中，需要有良好的运行环境。随着信息技术的不断发展，信息防护环境复杂程度越来越高，并且在此基础上信息安全防护需求也趋于多样化，这就需要构建信息安全防护的良好的环境。企业信息安全防护环境有政策、社会文化、技术等，其中社会文化环境包括行为习惯、教育程度以及道德准则等；政府政策环境是根据企业信息安全防护提出的相关政策；行业技术实质上是一种管理体制与技术[1]。

4 企业信息安全立体防护体系解释结构模型

4.1 ISM模型

ISM模型主要是一种结构模型化技术，适用于经济系统中，在应用的过程中应对构成要素进行提取，并且对逻辑进行运算，此种运算与其他运算有所不同，需要使用矩阵工具完成运算，将层次结构与互相关系逐步清晰化，同时向多级阶梯形式方向转变。

4.2 企业信息安全立体防护体系要素分析

信息安立体防护体系要素主要表现在以下几个方面：

（1）网络安全：实现网络平台与访问模式。

（2）操作系统安全。

（3）数据安全：在对数据进行存储与传输期间，确保不能受到非授权用户的窃取与破坏。

（4）应用安全：确保应用系统、应用程序以及应用接入的安全，以此需采取有效措施实施控制。

（5）物理安全：保护相关设备免受损坏，若出现损坏需要能够及时修复或者更换。

（6）用户安全：用户在使用数据之前，应当以正确的方式授权，不能出现越权或者出现不同业务系统授权矛盾问题。

（7）终端安全：终端安全主要包含的内容相对较多，比如补丁升级、桌面终端管理以及预防病毒等。

（8）信息安全风险管理是对安全风险以及代价全面评估。

（9）信息安全策略管理主要有评价、实施以及安全措施制定等。

（10）标准规范体系：标注单规范体系对提高信息安全防护体系安全性发挥着重要作用，有安全技术、产品以及措施等。

（11）管理制度体系：管理制度体系有上岗制度、培训制度等。

4.3 企业信息安全立体防护结构

由上文那个能够发现，在企业信息安全立体防护结构中有不同要素，不同要素之间相互作用与联系，能够形成不同层级结构的模型。企业信息安全防护体系主要分为4个等级结构。第一层主要阐述了企业信息安全防护中相关制度，不同因素之间在Ism结构中处于独立状态，可有效提高企业信息安全防护效果。第二层是在保障的基础上对企业信息安全管理活动实时确定，可作为立体防护的有效措施。第三层主要是从不同方面，比如传输过程、物理条件等，体现企业信息安全防护过程中的可控点，在此过程中能够进行物理安全控制。第四层是企业对信息安全防护的需求，是信息的表现形式，信息数据在安全防护需求中重要参数。由此可以看出，企业为了提高信息安全性，构建信息安全防护体系期间，以上四级递阶结构，能够体现出该体系的层级性、整体性以及交互性。

4.4 企业信息安全立体防护过程

首先，认识到行业标准规范体系对信息安全防护的重要性，并对其进行综合分析，从企业人员组织结构、资金实力等方面进行安全防护目标的构建，并在此基础上把安全防护内容等划分为不同等级。其次，监督防护内容主要包含分析其他公司近段以来出现的安全事故，形成预警，以此对公司信息系统实施监测，分析与评估系统中存在的风险。再次，若系统中存在一定风险，需要对风险来源进行确定，同时评估风险程度，并在此基础上判断能否采取有效措施解决。最后，平衡时效性与成本之间的关系，分析效用形成内部信息防护手册。

5 企业信息安全立体防护体系分析与对策

5.1 企业层面

5.1.1 强化系统整体性

企业在发展的过程中，企业信息安全立体防护体系中的不同要素处于统一系统环境中运作，如果资源受到一定限制，需要采取有效措施提升信息数据保存与传输的安全性。为此，应当遵循整体目标原则，确保信息安全防护的合理性，并且对原有产品进行升级，同时在同一规划的过程中实现效能与投入产出。

5.1.2 明确系统层急性

企业信息安全防护工作效率层级管理质量密切相关，由于企业信息安全防护中，策略与技术在其中尤为重要，并且在此基础上制度之间相互作用。企业信息安全防护涉及到制度层面防护、策略层面防护以及技术层面防护，其中技术是基础、策略是支撑、技术是必要的手段。为此，为了提高企业信息安全性，需要处理不同体系的纵向关系，在应用技术的过程中提高管理质量，并且对不同管理内容进行协调。

5.1.3 降低系统交互性

若信息安全防护体系处于同级水平，能够增强要素之间关联性，在此环境中会增加系统运行过程中的复杂性。为此，企业需要及时制定技术规范以及规章制度，对不同工作环节中的边界实施界定，对风险源准确定位，以此保证信息安全策略有效落实，从而能够避免风险交叉，扩大防范范围。

5.1.4 关注系统动态性

由于信息安全防护具有较高的动态性，是一个循环过程。随着信息技术的不断发展而发展，企业在信息安全的情况下，从时间维度角度全面认识信息安全状态，并且在此基础上对企业信息安全防护所处的阶段准确定位，限定处理信息安全风险的时间界限，对不同时间段中的延续性引起重视，并且采取有效措施识别风险，同时评估风险程度，以此采取防范措施对企业信息安全过程动态实施全面管理。

5.2 政府层面

政府需要通过宣传的方式让企业认识到信息安全的重要性，提升全民信息安全素质，从道德角度避免信息安全事故。还需要让企业认识到信息安全、思想教育对企业发展的重要性，主要包括技能教育、法制教育以及职能教育等，从不同角度提升社会信息安全防护意识。其次，重视信息安全以及延伸问题。政府需要完善与信息安全有关的法律法规以及行业标准，并且构建监督机制以及多元化监管模式，确保不同法律法规以及标准的公平、公正，为企业信息安全创造良好环境。最后，加大信息安全产业投入，政府应当采取有效措施培养社会技术人才，提高核心技术自主研发能力，为信息安全服务行业的发展奠定良好的基础。

6 结束语

综上所述，企业在发展的过程中，构建立体防护体系，不但能够保证企业信息安全，而且还可使各个环节安全生产，避免产生重大损失。在进行立体防护体系构建时，应当以信息安全防护为出发点，构建安全防护模型，对落实信息安全工作有效指导，可大大降低体系的投入，这对企业信息安全起到较大促进作用。