◆葛红
企业信息安全立体防护体系构建研究
◆葛红
(国家计算机网络与信息安全管理中心甘肃分中心 甘肃 730030)
近些年来,互联网有着非常显著的发展,企业信息化建设和电子政务等领域对互联网的应用也越来越广泛,信息系统的安全问题已经不仅影响到企业的发展,而且已经与国家主权和安全问题紧密联系在一起。建立与优化企业的信息安全立体防护体系,提高企业的信息安全管理水平,不仅有利于企业增强保护信息安全的能力,而且有助于企业发展。本文主要讨论了目前企业信息安全的现状,分析了企业信息安全立体防护体系的构建原则和构建策略。
企业信息安全;安全立体防护体系;网络安全
互联网的发展深深地深深地影响着人们的生活和工作方式,不仅拉近了人与人的距离,还使人与人之间的交流变得更加便捷,人们已经完全离不开网络的世界。但由于病毒、木马、蠕虫等巨大网络安全问题的出现,不仅严重影响了网络的正常运转,还阻碍了企业信息现代化的建设和发展,这将导致企业无法依赖信息管理体系,推进现代化发展的进程。目前,大部分企业的信息安全防护体系都不够完善,企业对于信息安全防护方面的知识严重不足,导致了很多问题的出现,企业应该尽快构建一套完善的信息安全防护体系。建立信息安全防护体系,首先要按照其建设的基本原则,充分掌握信息安全防护知识,分析企业内部网络的特点,然后根据企业的实际需求,相应的增加网络设备的投入使用,同时采用最新的计算机技术,构建完善的企业信息安全立体防护体系。
企业信息安全立体防护体系是保护企业信息安全,保证信息的准确性、完整性、机密性、可控性和可用性的系统。对企业内网所有容易受到外部攻击和病毒侵入的角落布置完整综合的防护系统,该系统包括企业信息安全保护的一般步骤、具体阶段和工作范围。
系统的运行离不开环境。随着信息产业的迅速发展,企业的信息安全防护环境也时刻发生着变化,不同的保护需求对防护环境有着不同的要求。企业信息安全防护系统的运行环境需要满足三个条件,社会文化环境、行业技术环境和政府政策环境。社会文化环境主要指企业在信息安全问题方面的整体文化素质、行为习惯和道德规范等。行业技术环境指为了完善企业信息安全防护体系,开发的一系列信息安全技术,目的是为了提升各行业信息安全保护能力。政府政策环境是指国家和政府为了提升企业信息安全,所发布的信息安全保护政策。
每个企业由于业务的不同,对IT系统的依赖程度也各不相同,因此不同企业在信息安全防护方面也有着不同的需要,因为每个企业提出的信息安全政策和构建信息安全体系的思路也各不一样,导致每个企业所建设的信息安全体系参差不齐。目前我国企业建设信息安全可以分成四个阶段,分别是盲目自信阶段、认知阶段、完善阶段和掌握阶段,经过调查分析发现,只有少部分走在前面的企业在信息安全建设方面进入了完善和掌握阶段,并开始提升信息安全技术和优化信息安全防护流程。从目前大多数企业信息安全防护体系成熟度模型(如图1:企业信息安全防护体系成熟度模型)可以发现,大多数的企业信息安全建设还处于初步的了解认知阶段,在信息安全建设方面还存在着比较大的进步空间,信息安全防护对企业核心业务的作用也没有真正发挥出来。
企业在信息化建设过程中,一直是把业务系统的建设放在首要位置,但 IT 业务系统的安全保障是其中最薄弱的环节,尤其在信息化不完善条件下,更是缺乏统一的安全建设策略做指导。
(1)组织保障不到位,导致了企业对危机的认识不足,制度和规范的不够完善,以及缺乏安全策略。
(2)企业应用系统没有和安全架构相结合,同时没有建立一套完整的安全数据存储系统。
(3)从信息安全建设方面来看,企业建立的安全防护体系更多的是“头痛医头、脚痛医脚”,没有一套完整全面解决问题的安全保障体系。大多数企业目前还停留在出现问题后再去解决的阶段,对信息安全缺乏全面考虑和统一规划,导致网络设备五花八门,各设备之间缺乏联系,不够协调,从而造成了各种问题的出现。用户认证系统不够完善,应用系统安全保护不足,信息系统安全监控和审计手段的缺乏,系统配置存在安全隐患,缺少网络安全技术知识,这些问题充分说明了企业缺乏整体的安全保障体系。主要表现在:各系统各自为战,只注重和解决局部问题,忽略了综合防治,相互之间缺乏关联,无法实现方案之间的安全联动,缺乏完整统一的安全管理,导致无法全面地了解整个网络的安全运行状况。
图1 信息安全防护体系成熟度模型
(1)协调规划和设计。建立信息安全防护体系要坚持“统一规划、统一标准、统一设计、统一建设”的原则,还要注重与应用系统建设相结合。
(2)先进架构,有明确的保护重点。应该采取先进的体系结构,并根据技术发展趋势选择成熟的主流产品,找出信息安全建设的重点,并将首要目标放在保证基本网络安全和关键应用系统的安全问题上面,针对不同的网络安全问题制定相应的方案。
(3)技术和管理同步进行,并注重系统保护的协调性。“三分技术,七分管理”,结合各个环节划分管理界面,做好系统设计、建设与运行等环节的综合防范。
(4)统一安全管理,按照相关法律法规统一进行安全管理。建立统一管理的信息安全防护平台,对企业的信息安全管理进行分析,并出具相关报告,为企业制定信息安全战略提供参考。
(5)高可靠和扩展性建设原则。这是所有网络安全建设的必经之路,是企业持续发展和稳定发展的需要。
(1)提升系统整体性。当企业资源有限时,为了更有效地保障企业的信息安全,必须从全局出发,加强信息安全保护的整体布局,对原有产品进行升级改造,全面规划,合理布局,追求整体投入产出效益。
(2)明确系统层级性。企业的管理层对信息安全防护工作的效率有着重大的影响,企业信息安全保护分为技术层面保护、策略层面保护和制度层保护,三者相互作用,相互制约。为了有效地保护企业信息安全,必须处理好和协调好各系统间的相互关系,利用技术的支持,同时重视管理,加强工作协调,才能让系统发挥其最大作用。
(3)降低系统交互性。企业的信息安全保护体系中,各个环节存在着强烈的交互作用,使得系统的运行更加复杂。因此需要建立一套完善的内部规章制度,加强技术并规范操作,准确识别风险源,确保信息安全策略的正确理解和有效实施,避免周期性风险的交叉影响,减小防范难度。
(4)关注系统动态。由于信息技术的发展,人们对信息安全保护有着更高的要求,关于企业信息安全保障,要正确理解企业信息安全问题,就必须从时间维度上对其定性,准确定位系统的工作阶段,明确定位信息安全风险的时间界限,注重各个阶段的连续性,运用适当的工具和方法识别风险,找出风险可能造成的危害,采取正确的防范措施,让企业信息安全防护更加有效。
企业的信息安全保护是一个完整的体系,也是一个需要不断变化和更新的体系。提高企业信息安全保护意识,离不开良好的社会文化氛围,企业信息安全防护的能力离不开互联网技术的发展,应制定强有力的措施和政策,才能有效地保障企业信息安全。因此,借助政府有力的政策和措施,重视和提升企业管理,方能有效地维护企业稳定和实现可持续发展。
(1)加强信息安全保障体系文化。国家在加强信息安全保障方面需要加大宣传力度,以促进企业重视信息安全防护,同时提高社会民众对信息安全的认知。另一方面,应不断地制定和完善相关的法律法规,同时需要注意对广大企业和社会民众对于信息安全知识和法规的教育,以增强社会整体的信息安全意识。
(2)重视信息安全及其他相关问题。完善整合现有信息安全法律法规和标准是目前政府急需要进行的工作,为了确保相关法律法规和标准的贯彻落实,需要政府制定多元化管理模式,有效保障企业和社会的信息安全。
(3)加大信息安全产业投资力度。加大人才培养力度,联合互联网安全企业制定和研发适用于中国国情的信息安全产品,为企业和社会提供信息安全保障。
网络技术不断发展,网络信息安全的威胁也越来越严重,建立安全防护系统,是保障企业信息安全的有效手段。建立信息安全防护体系是一项长期且艰巨的系统工程,需要企业努力提升信息安全防护意识和相关技术能力,不断地完善和更新自身的防护体系和手段,提升信息安全防护能力,为企业的持续经营和发展提供保障。
[1]闫励,陈晓苏. 大型企业网络系统安全策略[J]. 计算机安全,2003,000(030):77-79.
[2]彭佩,张婕,李红梅. 企业信息安全立体防护体系构建及运行[J]. 现代电子技术,2014(12):42-45.
[3]王群. 基于安全域的信息安全防护体系研究[J]. 信息网络安全,2015(09):206-210.
[4]钟博. 内网安全更要求立体防护体系[J]. 信息安全与通信保密,2008(12):26-27.
[5]赵晓. 企业信息安全防护体系建设[J]. 科技创新导报, 2010,000(034):255-255.
[6]江龙才. 电网企业信息安全防护体系研究与应用[C]/电力安全论坛. 2008.
[7]江龙才. 电网企业信息安全防护体系研究与应用[C]/中国电机工程学会青年学术会议. 2008.
[8]薛拥华,汤毅,龚军,等. 信息安全防护体系的分析及构建[J]. 信息与电脑,2016,000(005):199-200.