周慶翌

（常州市御馬精密沖壓件有限公司 江蘇 常州 213000）

21世紀是信息時代，隨著市場競爭越來越激烈，企業(yè)是否可以站穩(wěn)腳跟，企業(yè)信息安全將發(fā)揮著至關(guān)重要的作用。在信息時代，企業(yè)信息安全技術(shù)逐漸從單技術(shù)朝著信息綜合技術(shù)不斷發(fā)展，在時代日益發(fā)展的背景下，企業(yè)必須要構(gòu)建新型的信息安全體系，不僅要確保企業(yè)信息安全，而且要迅速傳遞信息變更。信息安全策略體系規(guī)劃成三層架構(gòu)，第一層是信息安全策略，第二層是信息安全標準及規(guī)范，第三層是信息安全操作流程與細則，包含的因素主要有信息管理以及技術(shù)等等，將系統(tǒng)的各個層面都全面覆蓋，比如：物理層以及網(wǎng)絡(luò)層等等。

1 合理運用先進的技術(shù)安全體系

就IAARC信息系統(tǒng)安全技術(shù)模型來講，其涉及到多個部分，主要包括身份認證以及內(nèi)容安全等等，目前重要的信息安全技術(shù)都能總結(jié)成以上部分。合理運用信息安全技術(shù)手段，而且根據(jù)信息安全保護的對象層次和現(xiàn)階段普遍應用的信息安全產(chǎn)品以及信息安全技術(shù)，不斷優(yōu)化企業(yè)信息安全技術(shù)體系框架。一般來說，企業(yè)信息安全體系整體框架包含許多層次，比如：物理層以及網(wǎng)絡(luò)層等等。

2 物理層安全

通常，包括多個方面，比如：選擇物理位置、防雷擊以及控制溫濕度等等。

2.1 網(wǎng)絡(luò)層安全

必須要重視安全域的合理劃分以及安全架構(gòu)的科學設(shè)計。結(jié)合受威脅以及信任程度的不同級別、需要保護的安全需求以及級別，從整體上將網(wǎng)絡(luò)能夠劃分成多個區(qū)域，比如：公共區(qū)以及普通安全區(qū)等等。結(jié)合各個安全區(qū)域運用相應的安全防范策略。第二，安全邊界防護。結(jié)合各個安全區(qū)域的實際安全需求，運用適合的安全技術(shù)防護手段，采取有效的安全訪問控制措施，對從低安全區(qū)域的數(shù)據(jù)流動到高安全區(qū)域進行嚴格控制。第三，基于VPN的接入安全控制、VPN是為從公用網(wǎng)絡(luò)通過建立的安全臨時連接，是從公用網(wǎng)絡(luò)穿過的穩(wěn)定安全隧道。就VPN接入來講，不管是用戶接入還是安全防護，都要制定有效的安全控制措施。第四，網(wǎng)絡(luò)準入控制。利用科學驗證網(wǎng)絡(luò)用戶身份是否符合法律和客觀評估與檢測互聯(lián)網(wǎng)終端計算機安全狀態(tài)，確定是否在企業(yè)網(wǎng)絡(luò)中接入該臺互聯(lián)網(wǎng)終端，減少各種潛在威脅，比如：非法用戶隨意將企業(yè)網(wǎng)接進等等。第五，完成網(wǎng)絡(luò)設(shè)備登錄認證。構(gòu)建企業(yè)相對集中的網(wǎng)絡(luò)設(shè)備登錄認證系統(tǒng)，主要用于以集中的形式來管理網(wǎng)絡(luò)設(shè)備維護用戶，對用戶身份進行認證；利用對各個級別用戶作出定義，授權(quán)其可以執(zhí)行的各項操作，將用戶的操作與登錄都詳細記錄且審計。

2.2 系統(tǒng)層安全

首先，將系統(tǒng)主機的入侵檢測做到位，監(jiān)測系統(tǒng)主機的網(wǎng)絡(luò)訪問，迅速找到系統(tǒng)級以及外來入侵用戶的違法操作行為。其次，將系統(tǒng)主機訪問控制做到位，將安全機制引進到各個方面中，比如：用戶登錄安全以及訪問控制安全等等。然后，將系統(tǒng)主機安全加固做到位。定期加固以及安全配置服務器操作系統(tǒng)，安全完善系統(tǒng)的各項配置，進而確保系統(tǒng)具有更強的抗攻擊性，將一切安全漏洞都徹底消除，盡可能將安全風險控制在最小化。最后，將主機安全審計工作做到位，提高全方位的安全審計數(shù)據(jù)以及日志，加強主機審計保護能力。

2.3 應用層安全

在系統(tǒng)應用廣泛普及與日益深化的背景下，許多應用系統(tǒng)安全問題都揭示。為了可以迅速規(guī)避由于應用安全問題而產(chǎn)生的威脅，必須要將以下幾點工作高效完成：第一，設(shè)置應用安全基礎(chǔ)設(shè)施。第二，完善應用安全有關(guān)規(guī)范。第三，改善應用開發(fā)過程。第四，組織重要應用安全性測試。第五，重視應用安全有關(guān)人員管理。

2.4 終端層安全

重視終端計算機安全管理。針對將企業(yè)網(wǎng)絡(luò)接進的終端設(shè)備加強安全管理。內(nèi)容涉及范圍廣，比如：防火墻、終端補丁管理以及終端配置管理等等。

3 備份和恢復

備份和恢復是在安全事件出現(xiàn)后確保災難導致的損失控制在可承受范圍內(nèi)，而且迅速恢復災難的安全機制，主要包括三個層次，第一個層次是數(shù)據(jù)級，第二個層次是應用級，第三個層次是業(yè)務級。首先，制定相應的容災計劃。利用從不同的層次、不同的角度來分析各個等級的信息系統(tǒng)容災需求，明確各項容災指標以及備份策略等等，對容災方案進行合理設(shè)計。其次，設(shè)置備份和恢復基礎(chǔ)設(shè)置，主要包括兩個方面，一方面是異地災難恢復系統(tǒng)的本地備份設(shè)施，另一方面是關(guān)鍵數(shù)據(jù)的本地備份設(shè)施。

4 構(gòu)建全面、高校和責任權(quán)利統(tǒng)一的信息安全組織

就信息安全組織來講，必須要科學界定各項職責以及角色。合理劃分信息管理層的職責，可以有效避免重要流程受到破壞。重視全員信息安全意識教育，使每個員工都具有一定的信息安全意識。構(gòu)建安全組織和定義安全職責之間是息息相關(guān)的工作，通過準確定義組織和職責能夠確保信息安全所有工作都正常開展，比如：信息安全培訓教育，還有人員安全等等。企業(yè)建立的信息安全組織應該涉及到多個層面，主要包括決策以及管理等等。此外，信息安全培訓教育必須要將公司所有層面人員都覆蓋，提高企業(yè)人員安全的總體水平，而且從制度以及機制的角度，人員安全有關(guān)工作必須要為教育培訓奠定堅實基礎(chǔ)。

5 結(jié)語

總而言之，在信息時代，構(gòu)建信息安全體系，除了影響企業(yè)平時生產(chǎn)運作，也關(guān)乎到企業(yè)市場競爭。由此不難發(fā)現(xiàn)，構(gòu)建企業(yè)信息安全體系，對將來企業(yè)發(fā)展有著關(guān)鍵的作用。因此，這就需要企業(yè)在構(gòu)建自身的信息安全體系時必須要根據(jù)企業(yè)的具體發(fā)展情況，安排專業(yè)人員構(gòu)建，而且需要針對現(xiàn)有網(wǎng)絡(luò)操控人員進行定期的專業(yè)培訓，以確保在企業(yè)中可以將信息安全體系的重要作用充分發(fā)揮出來。