摘要：如何部署企業(yè)信息安全管理架構(gòu)，既是企業(yè)需求帶動的結(jié)果，也是網(wǎng)絡(luò)安全領(lǐng)域向全方位、縱深化、專業(yè)化方向發(fā)展的結(jié)果。文章通過對企業(yè)的安全需求進行分析，然后提出更符合需求的信息安全架構(gòu)規(guī)劃，從而實現(xiàn)企業(yè)安全建設(shè)的最終目標(biāo)。

關(guān)鍵詞：企業(yè)信息安全；信息安全體系；IT技術(shù)

中圖分類號：F840文獻標(biāo)識碼：A文章編號：1009-2374（2009）05-0072-02

當(dāng)前IT已成為企業(yè)業(yè)務(wù)發(fā)展和管理不可或缺的組成部分，其作用和影響力已從單一的業(yè)務(wù)部門擴散到企業(yè)與組織的每一個領(lǐng)域。在IT系統(tǒng)給企業(yè)帶來活力、利潤和競爭力的同時，也給企業(yè)增加了風(fēng)險。因此如何充分利用IT系統(tǒng)獲得企業(yè)價值的最大化，并且最大限度地降低利用IT技術(shù)而帶來的風(fēng)險，成為每個企業(yè)都必須要真接面對的問題。本文從企業(yè)信息安全的需求為出發(fā)點，構(gòu)建以管理、技術(shù)和人員三者有機結(jié)合的立體的企業(yè)信息安全管理體系，最終實現(xiàn)企業(yè)安全建設(shè)的最終目標(biāo)。

一、信息安全管理體系

從企業(yè)的內(nèi)部分析，搭建一套完整的安全架構(gòu)首先要做的就是根據(jù)企業(yè)能夠承受的風(fēng)險水平編寫企業(yè)安全規(guī)范。編寫企業(yè)的安全規(guī)范首先要遵循BS 7799-2信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進行運作，保持體系運作的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個文件化的信息安全管理體系，其中應(yīng)闡述被保護的資產(chǎn)、組織風(fēng)險管理的方法、控制目標(biāo)及控制方式和需要的保證程度。

BS 7799-2：2002所采用的過程模式如：“計劃－實施－檢查－措施”四個步驟，可簡單描述如下：

計劃：依照組織整個方針和目標(biāo)，建立與控制風(fēng)險、提高信息安全有關(guān)的安全方針、目標(biāo)、指標(biāo)、過程和程序。

實施：實施和運作方針（過程和程序）。

檢查：依據(jù)方針、目標(biāo)和實際經(jīng)驗測量，評估過程業(yè)績，并向決策者報告結(jié)果。

措施：采取糾正和預(yù)防措施進一步提高過程業(yè)績。

以上四個步驟成為一個閉環(huán)，通過這個環(huán)的不斷運轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進，使信息安全績效（Performance）螺旋上升。

二、企業(yè)信息安全體系架構(gòu)

根據(jù)BS 7799-2信息安全管理體系的標(biāo)準(zhǔn)，不同的企業(yè)對信息的安全需求不同，因此每個企業(yè)都要制定切實可行的信息安全架構(gòu)，不是照搬照抄其他企業(yè)的模式，或是把各種安全產(chǎn)品進行堆砌，說到底企業(yè)的信息安全問題不只是技術(shù)上的問題，它是一個極其復(fù)雜的系統(tǒng)工程。要實施一個完整信息安全管理體系，至少應(yīng)包括三類措施：一是社會的法律政策、企業(yè)的規(guī)章制度以及信息安全教育等外部軟環(huán)境；二是信息安全的技術(shù)措施，如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲通信、身份認(rèn)證、授權(quán)等；三是審計和管理措施，該方面措施同時包含了技術(shù)與社會措施。這些措施應(yīng)該均衡考慮企業(yè)在保密性（C）、完整性（I）和可用性（A）三方面的安全需求，并且從應(yīng)用安全、數(shù)據(jù)安全、主機安全、網(wǎng)絡(luò)安全、桌面安全和物理安全等六大安全領(lǐng)域全面系統(tǒng)地實現(xiàn)企業(yè)的這些安全需求，從而構(gòu)建安全技術(shù)、管理和人員三個方面有機結(jié)合的企業(yè)信息安全保障體系如圖1所示：

該模型是一種從企業(yè)信息安全的需求（保密性、完整性、可用性）為出發(fā)點，以應(yīng)用安全、數(shù)據(jù)安全、主機安全、網(wǎng)絡(luò)安全、桌面安全、物理安全為關(guān)注重點，層層剖析全面深入地挖掘企業(yè)的信息安全需求，構(gòu)建以管理、技術(shù)和人員三者有機結(jié)合的立體的企業(yè)信息安全保障體系。

這種企業(yè)信息安全管理架構(gòu)的規(guī)劃融合了管理和技術(shù)為核心的全面分析方法，以安全需求為焦點，從管理現(xiàn)狀、技術(shù)現(xiàn)狀和人員狀況三個維度，綜合采用調(diào)查問卷、人員訪談、現(xiàn)場察看、資料分析、技術(shù)檢測等多種手段，全面深入地挖掘需求。在明確需求的前提下，還要借鑒同類企業(yè)成功經(jīng)驗，再規(guī)劃出符合企業(yè)實情的信息安全保障體系。

當(dāng)然該安全體系架構(gòu)的具體實施還要綜合考慮如下問題：成長型企業(yè)一方面要節(jié)約成本，一方面要把安全風(fēng)險降到最低。從這兩個出發(fā)點出發(fā)才能夠建立適合成長型企業(yè)的信息安全體系；計劃階段要評估自己的信息資產(chǎn)，自己的信息資產(chǎn)的價值有多大，現(xiàn)有的安全手段是什么，根據(jù)評估結(jié)果確立安全戰(zhàn)略；開始建立和實施自己的信息安全體系，擬定自己的戰(zhàn)略流程；對員工和合作伙伴的培訓(xùn)，建立信息監(jiān)測和安全的手段。

三、實施信息安全架構(gòu)的常規(guī)操作

在保證物理安全、桌面安全、網(wǎng)絡(luò)安全、主機安全的基礎(chǔ)上，信息安全架構(gòu)的常規(guī)操作包括數(shù)據(jù)層保護、應(yīng)用程序?qū)颖Ｗo、事件應(yīng)對檢查和安全操作。

數(shù)據(jù)層保護包括用EFS對文件進行加密；用訪問控制列表限制數(shù)據(jù)；從默認(rèn)位置移動文件；創(chuàng)建數(shù)據(jù)備份和恢復(fù)；用Windows Rights Management Services保護文檔和電子文件等等。

應(yīng)用程序?qū)颖Ｗo包括只啟動必需的服務(wù)和功能；配置應(yīng)用程序安全設(shè)置；安裝應(yīng)用程序的安全更新程序；安裝和更新防病毒軟件；以最低權(quán)限運行應(yīng)用程序等等。

事件應(yīng)對檢查包括確定正在遭受攻擊；確定攻擊類型；發(fā)出有關(guān)攻擊通知；遏制攻擊；采取預(yù)防性措施；將攻擊情況記錄存檔等等。

安全最佳做法包括深層防御；設(shè)計時考慮安全；最低權(quán)限；從過去的錯誤中學(xué)習(xí)；維持安全級別；加強用戶的安全意識；開發(fā)和測試事件應(yīng)對計劃和過程等等。

四、結(jié)論

綜上所述，企業(yè)要做到以信息為中心的安全，必須做到管理層面、組織層面和操作層面的有機結(jié)合，這樣才能建立有效的安全體系，從而實現(xiàn)企業(yè)安全建設(shè)的最終目標(biāo)。

參考文獻

[1]梁永生．電子商務(wù)安全技術(shù)[M]．大連理工大學(xué)出版社，2008，（4）．

[2]Mark Rhodes-Ousley，等．網(wǎng)絡(luò)安全完全手冊[M]．北京：電子工業(yè)出版社，2005，（10）．

[3]卿斯?jié)h．密碼學(xué)與計算機網(wǎng)絡(luò)安全[M]．北京：清華大學(xué)出版社，2001．

[4]胡道元．計算機網(wǎng)絡(luò)（高級）[M]．清華大學(xué)出版社，1999．

作者簡介：徐國芹（1969－），女，遼寧朝陽人，遼寧工程技術(shù)大學(xué)職業(yè)技術(shù)學(xué)院講師，碩士，研究方向：電子商務(wù)。