企業(yè)信息安全服務(wù)

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業(yè)信息安全服務(wù)范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

企業(yè)信息安全服務(wù)范文第1篇

【 關(guān)鍵詞 】 信息安全架構(gòu)；企業(yè)戰(zhàn)略；信息安全服務(wù)； 信息安全價(jià)值； 一致性；可追溯性

【 文獻(xiàn)標(biāo)識(shí)碼 】 A 【 中圖分類號(hào) 】 TP393.08

1 引言

信息安全技術(shù)和管理經(jīng)過不斷的發(fā)展和改善，已經(jīng)能夠比較有效地解決一些傳統(tǒng)信息安全問題，如信息安全風(fēng)險(xiǎn)管理、訪問控制，脆弱性管理、加密解密和災(zāi)難恢復(fù)等。隨著信息越來越成為組織的核心資產(chǎn)，保護(hù)信息的安全已不再只是局限于技術(shù)和日常管理層面的討論，信息的安全越來越關(guān)系到組織自身發(fā)展的安全。一次重大的信息泄露事故就能使企業(yè)的市值一落千丈。同時(shí)，一套合理的訪問控制解決方案能夠幫助企業(yè)快速推出核心產(chǎn)品（尤其是電子商務(wù)）和兼并其他企業(yè)。當(dāng)前信息安全發(fā)展呈現(xiàn)出新的趨勢(shì)和要求：（1）信息安全部門逐漸從成本中心轉(zhuǎn)向價(jià)值中心，信息安全的各項(xiàng)活動(dòng)越來越和企業(yè)戰(zhàn)略緊密相連；（2）企業(yè)內(nèi)部其他部門越來越多的要求信息安全部門提供清晰、可測(cè)量的服務(wù)來支持業(yè)務(wù)的運(yùn)行。

企業(yè)的信息安全部門在不斷增強(qiáng)其核心影響力的同時(shí)，也承擔(dān)著隨之而來的更多責(zé)任和挑戰(zhàn)。其一是如何將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計(jì)劃，將信息安全融入到組織的業(yè)務(wù)流程中，并且保持信息安全控制措施與企業(yè)戰(zhàn)略的一致性和可追溯性；其二是如何使信息安全的價(jià)值得到認(rèn)可并在組織內(nèi)部最大化；其三是如何滿足企業(yè)內(nèi)部各部門有計(jì)劃或無計(jì)劃的信息安全服務(wù)需求；其四是如何確保以一種系統(tǒng)主動(dòng)和集中統(tǒng)一的方式來管理業(yè)務(wù)和遵從性需求，并實(shí)現(xiàn)清晰的測(cè)量和不斷的改進(jìn)。

當(dāng)前各企業(yè)廣泛采用的標(biāo)準(zhǔn)或最佳實(shí)踐有幾種：ISO27001：2005，COBIT4.1，NISTSP800或PCIDSSv2.0等。這些標(biāo)準(zhǔn)各有優(yōu)點(diǎn)，但也有明顯的缺憾，如表1所示（缺憾部分用X表示）。

設(shè)計(jì)本信息安全架構(gòu)旨在解決上述問題并建立一種高效機(jī)制達(dá)到如下目標(biāo)。

* 將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計(jì)劃，確保信息安全的可追溯性、持續(xù)一致性和簡(jiǎn)潔性，以降低成本、減少重復(fù)和提高效率。將信息安全融入到組織的業(yè)務(wù)流程中，建立一致性和可追溯性；建立清晰的信息安全架構(gòu)和愿景，以減少重復(fù)和指導(dǎo)信息安全投入和解決方案的實(shí)施。

* 基于客戶服務(wù)理念，信息安全服務(wù)價(jià)值得到認(rèn)可，信息安全靠攏業(yè)務(wù)部門，為信息安全管理和業(yè)務(wù)管理建立共同語言。

* 全面管理信息安全，滿足目前絕大多數(shù)法律法規(guī)、標(biāo)準(zhǔn)的最佳實(shí)際的要求，并具有靈活的可擴(kuò)展性，當(dāng)新需求出現(xiàn)后能夠?qū)⑵淦交娜谌氲浆F(xiàn)有架構(gòu)中。

* 系統(tǒng)和集中統(tǒng)一的方式，使信息安全管理可預(yù)測(cè)和可測(cè)量，并不斷的改進(jìn)。

2 信息安全架構(gòu)設(shè)計(jì)

2.1 信息安全架構(gòu)設(shè)計(jì)所基于的原則

本信息安全架構(gòu)的設(shè)計(jì)遵循四大原則。

1） 業(yè)務(wù)驅(qū)動(dòng)：所有的信息安全目標(biāo)應(yīng)該從業(yè)務(wù)需求中來，從而保證信息安全管理總是做“正確的事”。

2） 整合、統(tǒng)一的架構(gòu)：現(xiàn)在有數(shù)以十計(jì)的信息安全相關(guān)的法律法規(guī)，標(biāo)準(zhǔn)和最佳實(shí)踐需要去符合或參考，且其各有不同的要求側(cè)重點(diǎn)和優(yōu)缺點(diǎn)。因此很有必要將所有相關(guān)的信息安全關(guān)注點(diǎn)整合到一個(gè)統(tǒng)一的架構(gòu)中，以保證所有要求都被滿足，同時(shí)避免不要的重復(fù)。例如，ISO27001關(guān)注全面安全控制和風(fēng)險(xiǎn)管理，PCIDSS側(cè)重支付卡環(huán)境中技術(shù)控制和策略管理等。

3） 系統(tǒng)化思維：運(yùn)用系統(tǒng)化思維可以幫助組織解決復(fù)雜且動(dòng)態(tài)的問題，適應(yīng)運(yùn)營(yíng)中的各種變化，減輕戰(zhàn)略上的不確定性和外部因素的影響。例如，需要整合機(jī)構(gòu)、人員、技術(shù)和流程；需要考慮安全、成本和易用性的權(quán)衡；需要靠持續(xù)改進(jìn)（Plan-Do-Check-Act）；需要考慮全面防護(hù)和縱深防護(hù)。

4） 易用性：信息安全架構(gòu)的最大價(jià)值在于被理解和廣泛應(yīng)用于組織的實(shí)踐當(dāng)中。因此，信息安全架構(gòu)必須易于理解并且實(shí)際可操作性要強(qiáng)，應(yīng)避免太過復(fù)雜和晦澀。

2.2 信息安全架構(gòu)實(shí)現(xiàn)

2.2.1 信息安全架構(gòu)-域試圖

基于上面的基本原則，本信息安全架構(gòu)由三個(gè)域組成（如圖1所示）：治理（Governance）、保障（Assurance）和服務(wù)（Services）。

治理（Governance）： 信息安全治理域強(qiáng)調(diào)戰(zhàn)略一致性，風(fēng)險(xiǎn)管理，資源管理和有效性測(cè)量。治理域又包括三個(gè)子域：愿景與戰(zhàn)略、風(fēng)險(xiǎn)與遵從性管理和測(cè)量。各子域主要功能如下所述。

* 愿景與戰(zhàn)略： 將遵從性要求，信息安全的發(fā)展趨勢(shì)，行業(yè)發(fā)展趨勢(shì)和業(yè)務(wù)戰(zhàn)略轉(zhuǎn)化為信息安全愿景、戰(zhàn)略和路線圖。

* 風(fēng)險(xiǎn)與遵從性管理： 管理信息安全風(fēng)險(xiǎn)使信息安全風(fēng)險(xiǎn)控制在組織可接受的范圍內(nèi)。

* 測(cè)量： 監(jiān)控和測(cè)量整體信息安全的有效性并持續(xù)提升信息安全對(duì)組織的價(jià)值。

保障： 保障域側(cè)重于信息安全的全面與縱深防護(hù)措施。保障域包含預(yù)防、監(jiān)測(cè)、響應(yīng)和恢復(fù)四個(gè)部分。各部分主要功能如下所述。同時(shí)保護(hù)的對(duì)象為不同層面的信息資產(chǎn)：數(shù)據(jù)層、應(yīng)用層、IT基礎(chǔ)設(shè)施層和物理層。

* 預(yù)防： 實(shí)施信息安全控制措施包括管理措施和技術(shù)措施，防止信息安全威脅損害組織的信息安全控態(tài)。

* 監(jiān)測(cè)： 部署信息安全監(jiān)測(cè)能力監(jiān)控正在發(fā)生或已經(jīng)發(fā)生的信息安全事態(tài)。

* 響應(yīng)：部署信息安全響應(yīng)體系迅速、高效的抑制信息安全事件。

* 恢復(fù)： 建立組織的可持續(xù)性能力，但重要信息系統(tǒng)不可用時(shí)，可以在計(jì)劃的時(shí)間內(nèi)恢復(fù)。

服務(wù)： 服務(wù)域顯示了面向客戶（內(nèi)部和外部），協(xié)作與知識(shí)更新對(duì)信息安全實(shí)踐非常重要。服務(wù)域包含三個(gè)部分：信息安全服務(wù)、知識(shí)管理、意識(shí)與文化。各部分主要功能如下所述。

* 信息安全服務(wù)： 信息安全團(tuán)隊(duì)?wèi)?yīng)對(duì)待組織內(nèi)部其他部門和對(duì)外部客戶一樣，基于服務(wù)基本協(xié)議，提供高質(zhì)量的信息安全服務(wù)。

* 知識(shí)管理： 知識(shí)是信息安全實(shí)踐和服務(wù)的基石。信息安全知識(shí)管理包括獲取、維護(hù)和利用知識(shí)去獲取最大的信息安全專業(yè)價(jià)值。信息安全知識(shí)應(yīng)不僅在信息安全團(tuán)隊(duì)內(nèi)部而且在整個(gè)組織被共享。

* 意識(shí)與文化： 信息安全意識(shí)與文化在組織內(nèi)部建立一個(gè)整體的信息安全氛圍。一個(gè)好的信息安全意識(shí)與文化意味著每個(gè)人都每個(gè)人都了解信息安全，關(guān)心信息安全、在日常工作中關(guān)注信息安全。信息安全意識(shí)與文化對(duì)提升組織整體信息安全成熟度和降低信息安全風(fēng)險(xiǎn)至關(guān)重要。

2.2.2 信息安全架構(gòu)-組件試圖

為支撐信息安全架構(gòu)的三個(gè)域，本信息安全架構(gòu)組件融合了不同標(biāo)準(zhǔn)和最佳實(shí)踐的精華部分，并自成一體，如圖2所示。本架構(gòu)參考的標(biāo)準(zhǔn)主要有如下一些：ISO27001：2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。

3 信息安全架構(gòu)在企業(yè)內(nèi)實(shí)際應(yīng)用效果分析

本信息安全架構(gòu)已被推廣和應(yīng)用到各個(gè)行業(yè)中，如保險(xiǎn)業(yè)、銀行業(yè)、教育和非盈利性機(jī)構(gòu)等。本文選取一個(gè)保險(xiǎn)企業(yè)的案例來說明本信息安全架構(gòu)給企業(yè)帶來的積極變化。

背景：此保險(xiǎn)公司有3000名員工，計(jì)劃在加拿大多倫多（Toronto）上市，因此需要符合加拿大和行業(yè)的一些法律法規(guī)的要求，如Bill198、PIPEDA、PCIDSS等。同時(shí)公司高層決定借鑒信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)，如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架構(gòu)的特點(diǎn)就是融合各法規(guī)、標(biāo)準(zhǔn)和最佳實(shí)踐的要求，因此不需要做任何大的改動(dòng)的情況下（降低成本）就能應(yīng)用到此保險(xiǎn)公司中。

經(jīng)過9個(gè)月的實(shí)際運(yùn)行，公司進(jìn)行了各項(xiàng)測(cè)量指標(biāo)重新評(píng)估并與實(shí)施本信息安全架構(gòu)前的指標(biāo)進(jìn)行了對(duì)比分析。

3.1 平衡計(jì)分卡（Balanced Scorecard）[10]測(cè)評(píng)分析

平衡計(jì)分卡是衡量信息安全對(duì)企業(yè)貢獻(xiàn)價(jià)值的一種分析工具。平衡計(jì)分卡包括四個(gè)測(cè)量項(xiàng)目：對(duì)企業(yè)的貢獻(xiàn)，對(duì)愿景的規(guī)劃，內(nèi)部流程的成熟度和面向客戶。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別進(jìn)行了兩次測(cè)評(píng)。測(cè)評(píng)方法是由公司高級(jí)管理人員和各部門經(jīng)理對(duì)信息安全部門進(jìn)行評(píng)估，0級(jí)表示無成績(jī)，5級(jí)表示完美，然后取平均值。2011年7月評(píng)估結(jié)果顯示“企業(yè)貢獻(xiàn)”為2.2，“愿景規(guī)劃”為2.5，“內(nèi)部流程”為2.8，“面向客戶”為2.1；2012年7月評(píng)估結(jié)果顯示“企業(yè)貢獻(xiàn)”為4.1，“愿景規(guī)劃”為3.9，“內(nèi)部流程”為3.8，“面向客戶”為4.1。如圖3所示。測(cè)評(píng)結(jié)果表明實(shí)施本信息安全架構(gòu)后企業(yè)高層及各部門對(duì)信息安全給企業(yè)帶來的價(jià)值的認(rèn)可度有較為明顯提升。

3.2 總體信息安全成熟度級(jí)別分析

本文采取的信息安全總體成熟度的評(píng)價(jià)是基于ISO27002的控制域和CMMI[11]的評(píng)估級(jí)別。0級(jí)是最低級(jí)，5級(jí)是最高級(jí)。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別進(jìn)行了兩次自評(píng)估。2011年10月實(shí)施本信息安全架構(gòu)前成熟度水平是介于2.0-3.0之間， 2012年10月實(shí)施本信息安全架構(gòu)后成熟度水平是介于3.0-4.5之間，如圖4所示。成熟度級(jí)別分析結(jié)果表明實(shí)施本信息安全架構(gòu)后整體成熟度有較為明顯提升。

3.3 獨(dú)立審核發(fā)現(xiàn)點(diǎn)數(shù)量分析

第三方機(jī)構(gòu)獨(dú)立審核是從專業(yè)、客觀的角度來衡量整體信息安全控制措施，包括管理、技術(shù)和流程。審核發(fā)現(xiàn)點(diǎn)的數(shù)量越多，表明脆弱點(diǎn)越多，存在的風(fēng)險(xiǎn)越大。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別邀請(qǐng)用一個(gè)第三方審核機(jī)構(gòu)對(duì)其進(jìn)行了全面審核與評(píng)估（依據(jù)上市公司的管控要求）。2011年9月審核結(jié)果顯示有4個(gè)高風(fēng)險(xiǎn)項(xiàng)，8個(gè)中風(fēng)險(xiǎn)項(xiàng)和13個(gè)第風(fēng)險(xiǎn)項(xiàng)；2012年9月審核結(jié)果顯示無高風(fēng)險(xiǎn)項(xiàng)，且只有2個(gè)中風(fēng)險(xiǎn)項(xiàng)和4個(gè)第風(fēng)險(xiǎn)項(xiàng)。如圖5所示。審核結(jié)果表明實(shí)施本信息安全架構(gòu)后整體風(fēng)險(xiǎn)水平有較為明顯降低。

3.4 信息安全事件發(fā)生數(shù)量分析

信息安全事件（特別是1級(jí)與2級(jí)事件）發(fā)生的數(shù)量標(biāo)志著信息安全控制措施的全面性和有效性。信息安全事件數(shù)量越少，表明整體控制措施越有效。該保險(xiǎn)公司統(tǒng)計(jì)了實(shí)施本信息安全架構(gòu)前后發(fā)生的信息安全事件數(shù)量。2011年1月-10月期間有4個(gè)一級(jí)安全事件（重大），12個(gè)二級(jí)安全事件（嚴(yán)重），25個(gè)三級(jí)安全事件和40個(gè)四級(jí)安全事件；2012年1月-10月期間有1個(gè)一級(jí)安全事件（重大），2個(gè)二級(jí)安全事件（嚴(yán)重），10個(gè)三級(jí)安全事件和16個(gè)四級(jí)安全事件。如圖6所示。信息安全事件數(shù)量分析結(jié)果表明實(shí)施本信息安全架構(gòu)后安全控制措施的全面性和有效性有較為明顯增強(qiáng)。

3.5 魚叉式網(wǎng)絡(luò)釣魚模擬攻擊測(cè)試結(jié)果分析

模擬釣魚攻擊測(cè)試是對(duì)企業(yè)員工整體信息安全意識(shí)水平一種比較客觀的考核方式。收到攻擊（點(diǎn)擊鏈接）的人數(shù)越少，表明整體信息安全水平越高。該保險(xiǎn)公司采用ThreatSim的模擬攻擊測(cè)試平臺(tái)，在實(shí)施本信息安全架構(gòu)前后分別選取了5個(gè)分支機(jī)構(gòu)（共200人）進(jìn)行了模擬攻擊測(cè)試。測(cè)試的主要方法是注冊(cè)一個(gè)與該保險(xiǎn)公司類似的網(wǎng)絡(luò)域名，然后偽造一份看似從信息安全管理員發(fā)出的E-mail，此E-mail的大致內(nèi)容是說該保險(xiǎn)公司于近期對(duì)相關(guān)系統(tǒng)進(jìn)行了升級(jí)，將會(huì)影響到原有的帳戶和密碼，要求終端用戶盡快修改密碼。此E-mail包含一個(gè)鏈接到修改密碼的偽網(wǎng)頁。

2011年5月測(cè)試結(jié)果顯示有47%的員工點(diǎn)擊了有害鏈接，點(diǎn)擊有害鏈接的員工中有18%的人輸入了密碼，點(diǎn)擊有害鏈接的員工中有68%的人完成了在線培訓(xùn)內(nèi)容；2012年5月測(cè)試結(jié)果顯示有14%的員工點(diǎn)擊了有害鏈接，點(diǎn)擊有害鏈接的員工中有3%的人輸入了密碼，點(diǎn)擊有害鏈接的員工中有98%的人完成了在線培訓(xùn)內(nèi)容。如圖7所示。模擬攻擊測(cè)試分析結(jié)果表明實(shí)施本信息安全架構(gòu)后該保險(xiǎn)公司員工整體信息安全意識(shí)水平有較為明顯進(jìn)步。

3.6 信息安全服務(wù)客戶滿意度調(diào)查結(jié)果分析

客戶滿意度調(diào)查是從被服務(wù)客戶的角度來衡量信息安全團(tuán)隊(duì)的服務(wù)能力，以及給公司帶來的實(shí)際價(jià)值。滿意度百分比值越高，表明信息安全團(tuán)隊(duì)的能力和服務(wù)價(jià)值越被認(rèn)可。該保險(xiǎn)公司在實(shí)施本信息安全架構(gòu)前后分別對(duì)精算部、個(gè)人保險(xiǎn)部、商業(yè)保險(xiǎn)部、索償部、渠道與銷售部做了信息安全服務(wù)滿意度調(diào)查。

2011年8月調(diào)查結(jié)果顯示對(duì)服務(wù)專業(yè)質(zhì)量的滿意度為72%，對(duì)服務(wù)請(qǐng)求響應(yīng)速度的滿意度為46%，對(duì)服務(wù)態(tài)度的滿意度為67%，整體滿意度為60%；2012年8月調(diào)查結(jié)果顯示對(duì)服務(wù)專業(yè)質(zhì)量的滿意度為95%，對(duì)服務(wù)請(qǐng)求響應(yīng)速度的滿意度為85%，對(duì)服務(wù)態(tài)度的滿意度為92%，整體滿意度為88%；如圖7所示。客戶滿意度分析結(jié)果表明實(shí)施本信息安全架構(gòu)后企業(yè)各部門對(duì)信息安全服務(wù)價(jià)值的認(rèn)可度有較為明顯提升。

4 結(jié)束語

現(xiàn)階段信息安全管理著重在信息安全的風(fēng)險(xiǎn)控制，隨著信息安全管理角色的轉(zhuǎn)變，信息安全需要跟多的與組織戰(zhàn)略結(jié)合，為組織創(chuàng)造更多的價(jià)值，并通過提供信息安全服務(wù)使組織內(nèi)部各部門享受到信息安全給組織帶來的價(jià)值并認(rèn)可這些價(jià)值。當(dāng)前被廣泛采用的一些標(biāo)準(zhǔn)和最佳實(shí)踐有其優(yōu)點(diǎn)，但同時(shí)無法滿足一些新的挑戰(zhàn)。目前缺乏一種高效可執(zhí)行的信息安全架構(gòu)來將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計(jì)劃、基于客戶服務(wù)理念使信息安全服務(wù)價(jià)值最大化以及全面系統(tǒng)化管理信息安全。本文針對(duì)上述問題提出的一種面向企業(yè)戰(zhàn)略和服務(wù)的信息安全架構(gòu)。通過將本信息安全架構(gòu)應(yīng)用到實(shí)際的企業(yè)中，驗(yàn)證了本信息安全架構(gòu)能夠?yàn)槠髽I(yè)提供更多的價(jià)值、增強(qiáng)客戶滿意度、提升整體安全成熟度和員工信息安全意識(shí)水平。

參考文獻(xiàn)

[1] International Organization for Standardization， International Electrotechnical Commission. ISO/IEC 27001：2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland： ISO copyright office， 2005.

[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1，USA： IT Governance Institute， 2007.

[3] National Institute of Standards and Technology， U.S. Department of Commerce. NIST Special Publication 800 series.

[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures， Version 2.0. 2010.

[5] National Security Agency Information Assurance.

[6] Solutions Technical Directors. Information Assurance Technical Framework （IATF） version3.0. 2010.

[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0，USA： IT Governance Institute， 2012.

[8] Sharon Taylor， Majid Iqbal， Michael Nieves， 等. Information Technology Infrastructure Library ， England： Office of Government Commerce， ITIL Press Office， 2007.

[9] Federal Financial Institutions Examination Council. IT Examination Handbook， information security Booklet. USA： FFIEC， 2006

[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1， 2012.

[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute， a Strategy Management Group company， 2008.

[12] Software Engineering Institute， Carnegie Mellon University. Capability Maturity Model Integration （CMMI） Version 1.3. USA： Carnegie Mellon University， 2010.

[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.

作者簡(jiǎn)介：

企業(yè)信息安全服務(wù)范文第2篇

該文對(duì)供水企業(yè)信息集成系統(tǒng)安全進(jìn)行分析，并探討了可以針對(duì)性改進(jìn)的安全防護(hù)措施。首先對(duì)當(dāng)前供水信息系統(tǒng)安全現(xiàn)狀做具體分析，然后研究了在“自主定級(jí)，自主保護(hù)”的原則下改進(jìn)和提高供水企業(yè)集成信息系統(tǒng)安全具體的執(zhí)行方案，最終實(shí)現(xiàn)供水企業(yè)信息集成系統(tǒng)的信息安全防護(hù)。

關(guān)鍵詞：

供水企業(yè)信息集成系統(tǒng)；等級(jí)保護(hù)；信息安全

供水行業(yè)對(duì)國(guó)計(jì)民生很重要的一個(gè)行業(yè)，供水企業(yè)的業(yè)務(wù)性質(zhì)要求以信息的整體化為基本立足點(diǎn)，集中管理所有涉及運(yùn)營(yíng)的相關(guān)數(shù)據(jù)，針對(duì)供水企業(yè)運(yùn)行的特殊要求，進(jìn)行集中的規(guī)劃和架構(gòu)，將不同專業(yè)的應(yīng)用系統(tǒng)進(jìn)行整合，最終形成完整的供水企業(yè)綜合信息平臺(tái)。[1]而集成系統(tǒng)中最重要的一個(gè)要求就是信息安全。

隨著大數(shù)據(jù)時(shí)代的到來，網(wǎng)格、分布式計(jì)算、云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)相繼推出，對(duì)供水企業(yè)信息集成與應(yīng)用也提出了更高的要求。而隨著應(yīng)用的擴(kuò)展，應(yīng)用中存在著大量的安全隱患，網(wǎng)絡(luò)黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統(tǒng)。根據(jù)美國(guó)Radicati公司于2015年3月的調(diào)查報(bào)告，截至2014年12月，網(wǎng)絡(luò)攻擊已經(jīng)為全球計(jì)算機(jī)網(wǎng)絡(luò)安全造成高達(dá)上萬億美元的損失。而且隨著網(wǎng)絡(luò)應(yīng)用的規(guī)模進(jìn)一步上升，計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅造成的損失正在呈幾何級(jí)數(shù)增長(zhǎng)。根據(jù)2015年的中國(guó)網(wǎng)絡(luò)安全分析報(bào)告，2014年報(bào)告的網(wǎng)絡(luò)安全攻擊事件比2013年增加了100多倍。2014年，搜狗由于網(wǎng)絡(luò)黑客攻擊導(dǎo)致搜索服務(wù)在全國(guó)各地都出現(xiàn)了長(zhǎng)達(dá)25分鐘無法使用。2014年7月，某域名服務(wù)商的域名解析服務(wù)器發(fā)生了網(wǎng)絡(luò)黑客的集中式攻擊，造成在其公司注冊(cè)的13%的網(wǎng)站無法訪問，時(shí)間長(zhǎng)達(dá)17個(gè)小時(shí)，經(jīng)濟(jì)損失不可估量。因此，從信息安全的角度，要對(duì)供水企業(yè)信息集成系統(tǒng)進(jìn)行防護(hù)，降低信息安全事故的發(fā)生的概率，降低其危害，是本文需要研究的內(nèi)容。

1當(dāng)前供水企業(yè)信息集成系統(tǒng)安全防護(hù)的現(xiàn)狀和存在的問題

伴隨著科技的不斷發(fā)展，供水企業(yè)的信息化建設(shè)也得到了很大的發(fā)展，主要是從深度和廣度兩個(gè)層面做進(jìn)一步拓展。典型的供水企業(yè)信息集成系統(tǒng)涵蓋了生產(chǎn)調(diào)度系統(tǒng)、銷售系統(tǒng)、管網(wǎng)信息系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)等子系統(tǒng)。其中多個(gè)系統(tǒng)數(shù)據(jù)需要接受外部訪問，存在大量的安全隱患。目前，威脅到供水企業(yè)信息安全的風(fēng)險(xiǎn)因素主要分為三個(gè)大類：1）人為原因，如惡意的黑客攻擊、不懷好意的內(nèi)部人員造成的信息外泄、操作中出現(xiàn)低級(jí)錯(cuò)誤等。2）數(shù)據(jù)存儲(chǔ)位置位置的風(fēng)險(xiǎn)。可能由自然災(zāi)害引發(fā)的問題，缺乏數(shù)據(jù)備份和恢復(fù)能力。3）不斷增長(zhǎng)的數(shù)據(jù)交互放大了數(shù)據(jù)丟失或泄漏的風(fēng)險(xiǎn)。包括未知的安全漏洞、軟件版本、安全實(shí)踐和代碼更改等。

2有關(guān)分級(jí)防護(hù)的要求

尤其是供水企業(yè)信息集成系統(tǒng)中，存在大量涉及公民個(gè)人隱私的信息，也存在像生產(chǎn)調(diào)度這樣涉及國(guó)計(jì)民生的信息。因此，需要按照國(guó)家有關(guān)信息安全的法律法規(guī)，明確企業(yè)的信息安全責(zé)任。提升供水企業(yè)信息管理區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)信息安全防護(hù)。依據(jù)《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）第十四條，信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。定級(jí)標(biāo)準(zhǔn)按照國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240—2008）實(shí)施，根據(jù)等級(jí)保護(hù)相關(guān)管理文件，信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。

第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種：1）造成一般損害；2）造成嚴(yán)重?fù)p害；3）造成特別嚴(yán)重?fù)p害。

3分別防護(hù)實(shí)施步驟

根據(jù)有關(guān)法律法規(guī)，建設(shè)完成并投入使用的信息系統(tǒng)，其有關(guān)使用此系統(tǒng)的單位需要對(duì)其系統(tǒng)的等級(jí)狀況做定期的測(cè)評(píng)。供水企業(yè)要遵照要求選擇具有資質(zhì)的測(cè)評(píng)機(jī)構(gòu)來對(duì)管理信息區(qū)的業(yè)務(wù)系統(tǒng)做等級(jí)保護(hù)的測(cè)評(píng)工作。其所得到的結(jié)果如下表1所示：通常情況下，供水企業(yè)信息系統(tǒng)中不會(huì)出現(xiàn)第四級(jí)和第五級(jí)的系統(tǒng)。根據(jù)測(cè)評(píng)結(jié)果，有必要對(duì)供水企業(yè)內(nèi)部的局域網(wǎng)進(jìn)行系統(tǒng)化整改。具體的整改內(nèi)容包括兩項(xiàng)主要內(nèi)容：細(xì)化各業(yè)務(wù)系統(tǒng)服務(wù)器的物理位置；按照需求設(shè)置信息安全區(qū)域。根據(jù)供水企業(yè)信息集成系統(tǒng)的具體實(shí)際，主要有等級(jí)包括三個(gè)業(yè)務(wù)區(qū)域，以及一個(gè)公共業(yè)務(wù)區(qū)和測(cè)評(píng)業(yè)務(wù)區(qū)。按照上述原則對(duì)供水企業(yè)信息集成系統(tǒng)服務(wù)器做物理劃分如圖1所示。不同等級(jí)的系統(tǒng)服務(wù)器針對(duì)不同級(jí)別的信息安全區(qū)進(jìn)行設(shè)置。等級(jí)為一、二、三的業(yè)務(wù)區(qū)分別安裝著對(duì)應(yīng)的服務(wù)器，而公共業(yè)務(wù)區(qū)域的服務(wù)器主要是DNS服務(wù)器或者是域服務(wù)器。公共業(yè)務(wù)區(qū)服務(wù)器主要為基礎(chǔ)服務(wù)提供非業(yè)務(wù)系統(tǒng)服務(wù)，不需要進(jìn)行保護(hù)分級(jí)。測(cè)評(píng)業(yè)務(wù)區(qū)提供是投入正式使用前的測(cè)試服務(wù)器。

依據(jù)表1的測(cè)評(píng)結(jié)果，將安全區(qū)域進(jìn)行細(xì)化表2所示的就是企業(yè)管理信息區(qū)，其主要業(yè)務(wù)系統(tǒng)對(duì)安全區(qū)域存放問題的展示。根據(jù)表2得到的結(jié)果，可以將信息安全設(shè)備存放在不同信息區(qū)域邊界內(nèi)，以此達(dá)到服務(wù)器分級(jí)防護(hù)目的。信息安全設(shè)備設(shè)置在信息安全區(qū)域邊界，也就是局域網(wǎng)與信息安全區(qū)域之間的連接部。信息安全設(shè)備主要是防火墻、查殺病毒、攻擊防護(hù)、服務(wù)防護(hù)禁止、授權(quán)等。對(duì)于不同區(qū)域邊界的信息安全的部署建議，供水企業(yè)要遵照各自的實(shí)際情況做周密的設(shè)置。供水企業(yè)管理信息安全區(qū)域邊界防護(hù)表見表3。將信息安全防護(hù)設(shè)備部署在所在的區(qū)域邊界內(nèi)，如此可以初步實(shí)現(xiàn)對(duì)供水企業(yè)管理信息區(qū)的信息安全防護(hù)。

4結(jié)束語

隨著大數(shù)據(jù)的發(fā)展，對(duì)供水企業(yè)信息集成系統(tǒng)在數(shù)據(jù)的交互和應(yīng)用方面會(huì)提出更高的要求，也大大加強(qiáng)了安全防護(hù)措施的重要性和迫切性。在安全防護(hù)措施基本到位的前提下，還需要加強(qiáng)信息審計(jì)，及時(shí)發(fā)現(xiàn)和補(bǔ)救系統(tǒng)缺陷，加強(qiáng)數(shù)據(jù)庫安全防護(hù)，維護(hù)管理系統(tǒng)的隱患。

參考文獻(xiàn)：

[1]孫鋒.基于多agent技術(shù)的供水企業(yè)信息集成系統(tǒng)研究[J].供水技術(shù),2015(10).

企業(yè)信息安全服務(wù)范文第3篇

[關(guān)鍵詞]信息安全管理 評(píng)估模型 管理體系

中圖分類號(hào)：P9.T3308 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2016）21-0400-01

1、 引言

隨著信息化建設(shè)的發(fā)展，信息安全越來越多的受到人們的重視，企業(yè)信息安全重點(diǎn)面臨的問題主要表現(xiàn)在[1]：1）網(wǎng)絡(luò)受到外部的惡意攻擊，部分單位無終端接入控制措施，使企業(yè)的正常業(yè)務(wù)無法開展或相關(guān)重要數(shù)據(jù)被盜取；2）網(wǎng)站受到黑客攻擊，由于部分掌握網(wǎng)絡(luò)技術(shù)的不法人員查詢到破解網(wǎng)站所存在的漏洞，加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權(quán)限，使得網(wǎng)站陷入癱瘓；3）信息的監(jiān)管不利產(chǎn)生不良的影響，通常情況下信息沒有主管部門負(fù)責(zé)審核導(dǎo)致監(jiān)管不到位，那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上，造成不良影響；4）計(jì)算機(jī)病毒的危害，相關(guān)系統(tǒng)不及時(shí)更新補(bǔ)丁和升級(jí)，受到病毒入侵并加以利用，篡改應(yīng)用系統(tǒng)信息或獲取管理權(quán)限，使得應(yīng)用系統(tǒng)丟失重要信息。

當(dāng)前，有關(guān)信息系統(tǒng)的安全評(píng)價(jià)雖然存在著多種多樣的具體實(shí)踐方式，但在目前還沒有形成系統(tǒng)化和形式化的評(píng)價(jià)理論和方法。評(píng)價(jià)模型基本是基于灰色理論（Gray Theory）或者模糊（Fuzzy）數(shù)學(xué)，而評(píng)價(jià)方法基本上用層次分析法AHP[2]（Analytic Hierarchy Process）或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結(jié)合，建立了安全評(píng)價(jià)體系，并運(yùn)用隸屬函數(shù)和隸屬度確定待評(píng)對(duì)象的安全狀況。上述各種安全評(píng)估思想都是從信息系統(tǒng)安全的某一個(gè)方面出發(fā)，如技術(shù)、管理、過程、人員等，著重于評(píng)估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實(shí)踐規(guī)范。在操作上主觀隨意性較強(qiáng)，其評(píng)估過程主要依靠測(cè)試者的技術(shù)水平和對(duì)網(wǎng)絡(luò)系統(tǒng)的了解程度，缺乏統(tǒng)一的、系統(tǒng)化的安全評(píng)估框架，很多評(píng)估準(zhǔn)則和指標(biāo)沒有與被評(píng)價(jià)對(duì)象的實(shí)際運(yùn)行情況和信息安全保障的效果結(jié)合起來。

大型企業(yè)信息安全管理體系的研究，就是為了尋找一個(gè)科學(xué)、合理的管理體系，并根據(jù)該體系和方法對(duì)大型企業(yè)的信息安全狀況和水平進(jìn)行評(píng)價(jià)，對(duì)信息安全管理績(jī)效進(jìn)行考核。

2、 大型企業(yè)信息安全管理體系的內(nèi)涵

通過管理體系的應(yīng)用，將對(duì)大型企業(yè)信息安全產(chǎn)生非常重要的作用。一是可以對(duì)企業(yè)信息安全的水平做出客觀的反應(yīng)，認(rèn)識(shí)企業(yè)信息安全存在的不足之處，發(fā)揮考評(píng)體系的指導(dǎo)作用，引導(dǎo)企業(yè)“信息安全”工作健康科學(xué)發(fā)展；二是可以為企業(yè)信息安全的建設(shè)指明方向，為信息安全的發(fā)展提供有力支撐；三是可以幫助企業(yè)管理者建立起一套科學(xué)的信息安全管理系統(tǒng)，有效控制信息化活動(dòng)的進(jìn)程，提高信息安全級(jí)別，減少因信息安全事件引起的損失，有利于正確引導(dǎo)和規(guī)范企業(yè)的信息化建設(shè)，指導(dǎo)企業(yè)科學(xué)發(fā)展具有重要的意義。

3、 大型企業(yè)信息安全管理體系的主要做法

為了大型企業(yè)信息安全管理體系的建立，提出了管理體系的目標(biāo)：對(duì)于信息安全方面出現(xiàn)的問題，達(dá)到防范目的；對(duì)于信息安全工作進(jìn)行查漏補(bǔ)缺，加強(qiáng)管理；通過評(píng)估體系的考核，落實(shí)相關(guān)信息安全文件、推進(jìn)信息安全工作，為企業(yè)信息安全的建設(shè)指明方向，同時(shí)注重管理體系整體的時(shí)效性，根據(jù)信息安全發(fā)展的不同階段進(jìn)行及時(shí)更新。

1） 建立大型企業(yè)信息安全體系

信息安全體系總體設(shè)計(jì)。信息安全體系設(shè)計(jì)共分為三級(jí)，包含9個(gè)一級(jí)指標(biāo)，14個(gè)二級(jí)指標(biāo)，27個(gè)三級(jí)指標(biāo)。一級(jí)指標(biāo)和二級(jí)指標(biāo)為共性指標(biāo)，三級(jí)指標(biāo)為數(shù)據(jù)采集項(xiàng)。一級(jí)指標(biāo)包括：網(wǎng)絡(luò)安全管理、環(huán)境安全管理、應(yīng)用系統(tǒng)安全管理、數(shù)據(jù)安全管理、終端安全管理、操作安全管理、網(wǎng)絡(luò)信息安全、移動(dòng)信息化安全、服務(wù)器掃描情況。一級(jí)和二級(jí)指標(biāo)結(jié)構(gòu)圖如下：

2）信息安全考評(píng)指標(biāo)的權(quán)重設(shè)計(jì)

指標(biāo)權(quán)重理論思路。具體權(quán)重根據(jù)德爾菲法[4]、層次分析法，結(jié)合政策導(dǎo)向確定。

管理體系的指標(biāo)權(quán)重確定方法設(shè)計(jì)過程中，選取兩組技術(shù)、管理等方面的專家，其中一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度，確定各指標(biāo)的相對(duì)重要性，采用層次分析法確定各指標(biāo)的權(quán)重。另外一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度，對(duì)各指標(biāo)按百分制進(jìn)行賦值，確定各指標(biāo)的權(quán)重。綜合兩組專家的意見，初步確定各指標(biāo)的權(quán)重，再組織專家研討會(huì)，最終確定各指標(biāo)的權(quán)重。

企業(yè)信息安全考評(píng)指標(biāo)總分計(jì)算方法：

I=Σ（Pi*Wi） （1）

I表示指標(biāo)體系的總得分；Pi表示第i個(gè)指標(biāo)的得分，各指標(biāo)得滿分都是100分；Wi表示第i個(gè)指標(biāo)的權(quán)重，所有指標(biāo)權(quán)重的和為100%。

3）建設(shè)大型企業(yè)信息化評(píng)價(jià)管理系統(tǒng)

為了實(shí)施信息安全措施體系，以信息安全體系、信息安全文件和考評(píng)制度為基礎(chǔ)，研發(fā)包括信息安全在內(nèi)的大型企業(yè)信息化評(píng)價(jià)管理系統(tǒng)。通過使用該系統(tǒng)，將減輕信息化管理部門的負(fù)擔(dān)，填報(bào)和匯總數(shù)據(jù)的效率顯著提高，最為突出的是以上報(bào)數(shù)據(jù)為基礎(chǔ)，可以自動(dòng)、實(shí)時(shí)地形成各種統(tǒng)計(jì)、分析圖表，從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計(jì)工作，大大減輕了信息化管理部門的工作強(qiáng)度，增加了信息化管理部門對(duì)新情況快速反應(yīng)能力。

系統(tǒng)整體架構(gòu)由數(shù)據(jù)庫層、框架服務(wù)層、應(yīng)用邏輯層、界面表現(xiàn)層組成，系統(tǒng)部署了tomcat下運(yùn)行的I@Report和BI@Report作為框架服務(wù)層，并在此基礎(chǔ)上開發(fā)了業(yè)務(wù)系統(tǒng)。

系統(tǒng)主要實(shí)現(xiàn)了如下功能：

編碼同步、基層權(quán)限管理、評(píng)價(jià)初始化、基層初評(píng)、數(shù)據(jù)提交、部門權(quán)限管理（含單位、指標(biāo)項(xiàng)）、管理部門復(fù)評(píng)、信息稽核、數(shù)據(jù)計(jì)算、統(tǒng)計(jì)管理、查詢管理、決策模型。

建立統(tǒng)一的數(shù)據(jù)報(bào)送平臺(tái)，提高企業(yè)信息整合水平。

建立在線交流及公告平臺(tái)。

系統(tǒng)根據(jù)建立的數(shù)學(xué)模型進(jìn)行綜合分析，可自動(dòng)、實(shí)時(shí)地形成各種統(tǒng)計(jì)分析圖表、報(bào)告等，例如：信息化評(píng)級(jí)、信息化水平評(píng)測(cè)報(bào)告。

4、 結(jié)束語

通過大型企業(yè)信息安全管理體系的實(shí)施，使企業(yè)信息化水平評(píng)估體系更加完善，在考評(píng)信息化建設(shè)水平的同時(shí)，又對(duì)信息安全水平等級(jí)有所提升。

參考文獻(xiàn)

[1] 周學(xué)廣，劉藝.信息安全學(xué)[M].北京：機(jī)械工業(yè)出版社，2003.

[2] 常建娥，蔣太立.層次分析法確定權(quán)重的研究[J].武漢理工大學(xué)學(xué)報(bào)，信息與管理工程版，2007，1（29）：153-156.

企業(yè)信息安全服務(wù)范文第4篇

當(dāng)今是一個(gè)網(wǎng)絡(luò)時(shí)代，也是一個(gè)科技化快速高速發(fā)展的時(shí)代。特別是對(duì)于電子科技企業(yè)來說，信息就成為了一個(gè)企業(yè)成敗的關(guān)鍵。只有通過有效信息的掌握，才能讓企業(yè)未來的道路越走越好。隨著這樣的趨勢(shì)，企業(yè)信息化的進(jìn)程也在不斷的發(fā)展，信息不僅是在一定程度上掌握了企業(yè)未來的命運(yùn)，同時(shí)對(duì)于企業(yè)管理水平的提高也起到了非常重要的作用。有一些企業(yè)的商務(wù)活動(dòng)基本上都是通過電子商務(wù)的形式來完成的，還有一些生產(chǎn)運(yùn)作、運(yùn)輸以及管理都離不開信息化的建設(shè)。還有一些電子科技企業(yè)為了企業(yè)未來的發(fā)展，要進(jìn)行企業(yè)形象的宣傳，產(chǎn)品以及服務(wù)信息很大程度上都要依賴于信息化的建設(shè)。如今，信息化的時(shí)代已經(jīng)到來，信息化的建設(shè)對(duì)于電子科技企業(yè)來說具有至關(guān)重要的作用，因此電子科技企業(yè)應(yīng)該加快信息化建設(shè)的步伐，這樣才能促進(jìn)電子科技企業(yè)進(jìn)一步的發(fā)展。

2電子科技企業(yè)安全技術(shù)的闡述

2.1電子信息的加密技術(shù)

所謂電子信息的加密技術(shù)也就是對(duì)于所傳送的電子信息能夠起到一定的保密作用，也能夠使信息、數(shù)據(jù)的傳遞變得更加安全和完整。電子信息的加密技術(shù)是保障電子科技企業(yè)信息安全的重要保證。加密技術(shù)也主要分為對(duì)稱以及非對(duì)稱兩類，對(duì)稱的加密技術(shù)一般都是通過序列密碼或是分組機(jī)密的方式來實(shí)現(xiàn)的。這其中還包括了明文、密鑰、加密算法以及解密算法五個(gè)基本的組成部分。而非對(duì)稱加密與對(duì)稱加密也存在一定的差異，非對(duì)稱加密必須要具備公開密鑰和私有密鑰兩個(gè)密鑰，同時(shí)，這兩種密鑰只有配對(duì)使用，這樣才能解密。因此加密技術(shù)對(duì)于電子信息的安全具有很大的保障。如果在發(fā)送電子信息的時(shí)候，發(fā)送人是使用加密技術(shù)來發(fā)送郵件的，那么有人竊取信息的時(shí)候，也只能夠得到密文，不能得到具體的信息。這樣就大大加強(qiáng)了信息傳送的安全性。加快推進(jìn)國(guó)內(nèi)關(guān)鍵行業(yè)領(lǐng)域信息系統(tǒng)的安全評(píng)估測(cè)試。在安全評(píng)估方面，主要針對(duì)主機(jī)安全保密檢查與信息監(jiān)管，采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測(cè)、語意分析等技術(shù)，評(píng)估分析重要信息是否發(fā)生泄漏，并找出泄漏的原因和渠道。

2.2防火墻技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，雖然對(duì)于信息安全問題已經(jīng)不斷的得到加強(qiáng)，但是一些信息的不安全因素也在逐級(jí)的提高。有一些黑客或者是病毒木馬也在不斷的入侵，而這些不安全的因素會(huì)極大的威脅到電子科技企業(yè)信息的安全。而針對(duì)這種情況，一種比較有效的防護(hù)措施就是防火墻技術(shù)的使用。這種技術(shù)可以有效的防止黑客的入侵以及電腦中的信息被篡改等情況的發(fā)生。這樣就能夠有效的保障電子科技企業(yè)信息的安全。加強(qiáng)企業(yè)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)建設(shè)，建設(shè)面向企業(yè)的信息安全專業(yè)服務(wù)平臺(tái)。重點(diǎn)開展等級(jí)保護(hù)設(shè)計(jì)咨詢、風(fēng)險(xiǎn)評(píng)估、安全咨詢、安全測(cè)評(píng)、快速預(yù)警響應(yīng)、第三方資源共享的容災(zāi)備份、標(biāo)準(zhǔn)驗(yàn)證等服務(wù)；建設(shè)企業(yè)信息安全數(shù)據(jù)庫，為廣大企業(yè)提供快速、高效的信息安全咨詢、預(yù)警、應(yīng)急處理等服務(wù)，實(shí)現(xiàn)企業(yè)信息安全公共資源的共享共用，提高信息安全保障能力。

3解決電子科技企業(yè)信息安全問題的方法

3.1構(gòu)建電子科技企業(yè)信息安全的管理體系

如果要想有效的保障電子科技企業(yè)的信息安全，除了要不斷的提高安全技術(shù)水平，還要建立起一套比較完善的信息安全管理體系。這樣才能使整個(gè)信息安全工作更加有條不紊的進(jìn)行。在很多電子科技企業(yè)當(dāng)中，最初所建立的相關(guān)信息制度在很大程度上都制約著信息系統(tǒng)的安全性。如果一旦安全管理制度出現(xiàn)了問題，那么一系列的安全技術(shù)都無法發(fā)揮出來。很多信息安全工作也無法正常進(jìn)行下去。因此，嚴(yán)格的信息安全管理體系對(duì)于信息安全的保障具有十分重要的作用。只有當(dāng)信息安全管理形成了一個(gè)完善的體系，那么信息安全工作才能夠更加順利的進(jìn)行，同時(shí)也能夠大大的提升信息安全的系數(shù)。

3.2利用電子科技企業(yè)自身的網(wǎng)絡(luò)條件來提供信息安全服務(wù)

一般來說，電子科技企業(yè)都擁有自己的局域網(wǎng)，很多企業(yè)也可以通過局域網(wǎng)來相互連通。因此，電子科技企業(yè)應(yīng)該充分的利用這一特點(diǎn)為自身的企業(yè)提供良好地信息安全服務(wù)。通過局域網(wǎng)的連通，不僅能夠在這個(gè)平臺(tái)上及時(shí)的公布一些安全公告以及安全法規(guī)，同時(shí)還可以進(jìn)行一些安全軟件的下載，為員工提供一些關(guān)于信息安全的培訓(xùn)。這樣不僅能夠?yàn)槠髽I(yè)之間的員工提供一個(gè)安全的互相交流的平臺(tái)，同時(shí)還能夠很好的保障企業(yè)信息安全。針對(duì)企業(yè)主機(jī)安全保密檢查與信息監(jiān)管，采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測(cè)、語意分析等技術(shù)，評(píng)估分析重要信息是否發(fā)生泄漏，并找出泄漏的原因和渠道。

3.3定期對(duì)信息安全防護(hù)軟件進(jìn)行及時(shí)的更新

企業(yè)信息安全服務(wù)范文第5篇

關(guān)鍵詞：分布式；信息安全；規(guī)劃；方案

中圖分類號(hào)：TP309.2文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

據(jù)來自eWeek 的消息，市場(chǎng)研究機(jī)構(gòu)Gartner 研究報(bào)告稱，很對(duì)企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長(zhǎng)，但由于推動(dòng)力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主，因此他們對(duì)安全技術(shù)和服務(wù)的選擇和使用仍停留在一個(gè)相對(duì)較低的水平。尤其對(duì)于機(jī)構(gòu)構(gòu)成方式為分布式的企業(yè)而言，因?yàn)樾畔踩枨蠛筒渴鹣鄬?duì)更加復(fù)雜，投入更多，因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。

本文根據(jù)這類分布式企業(yè)的特點(diǎn)提出了一種符合該類企業(yè)實(shí)際的信息安全規(guī)劃方案。

2 總體規(guī)劃原則和目標(biāo)

2.1 總體規(guī)劃原則

對(duì)于分布式企業(yè)的信息安全規(guī)劃，要遵守如下原則：適度集中，控制風(fēng)險(xiǎn)；突出重點(diǎn)，分級(jí)保護(hù)；統(tǒng)籌安排，分步實(shí)施；分級(jí)管理，責(zé)任到崗；資源優(yōu)化，注重效益。

這個(gè)原則的制定主要是根據(jù)分布式企業(yè)的實(shí)際機(jī)構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來制定的。

2.2 總體規(guī)劃目標(biāo)

信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點(diǎn)可以不同，但是需要圍繞組織安全、管理安全、技術(shù)安全進(jìn)行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對(duì)信息系統(tǒng)與信息資源的安全保護(hù)上，下面將分別對(duì)組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進(jìn)行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃，對(duì)信息化戰(zhàn)略的實(shí)施起到保駕護(hù)航的作用。信息系統(tǒng)安全規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的，而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個(gè)目標(biāo)展開和部署。

3 信息安全組織規(guī)劃

3.1 組織規(guī)劃目標(biāo)

組織建設(shè)是信息安全建設(shè)的基本保證，信息安全組織的目標(biāo)是：

1）完善和形成一個(gè)獨(dú)立的、完整的、動(dòng)態(tài)的、開放的信息安全組織架構(gòu)，達(dá)到國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)的要求；

2）打造一支具有專業(yè)水準(zhǔn)的、過硬本領(lǐng)的信息安全隊(duì)伍。對(duì)內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全，對(duì)外可以向社會(huì)提供高品質(zhì)的安全服務(wù)；

3）建設(shè)一個(gè) “信息安全運(yùn)維中心（SOC）”，能夠滿足當(dāng)前和未來的業(yè)務(wù)發(fā)展及信息安全組織運(yùn)轉(zhuǎn)的支撐系統(tǒng)，能夠?qū)ν馓峁┌踩?wù)平臺(tái)。

3.2 組織規(guī)劃實(shí)施

對(duì)于組織規(guī)劃這個(gè)方面，是屬于一個(gè)企業(yè)信息安全規(guī)劃的上層建筑，需要用一種由上而下的方法來實(shí)現(xiàn)，其主要是在具體人事機(jī)制、管理機(jī)制和培訓(xùn)機(jī)制上做工作。對(duì)于分布式企業(yè)而言，需要主導(dǎo)部門從上層著手，建章立制，強(qiáng)化安全教育，加大基礎(chǔ)人力、財(cái)力和物力的投入。

4 信息安全管理規(guī)劃

4.1 管理規(guī)劃目標(biāo)

信息安全管理規(guī)劃的目標(biāo)是，完善和形成“七套信息安全軟措施”，具體包括：一套等級(jí)劃分指標(biāo)，一套信息安全策略，一套信息安全制度，一套信息安全流程規(guī)范，一套信息安全教育培訓(xùn)體系，一套信息安全風(fēng)險(xiǎn)監(jiān)管機(jī)制，一套信息安全績(jī)效考核指標(biāo)。“七套信息安全軟措施”關(guān)系如圖1所示。

4.2 信息安全管理設(shè)計(jì)

基于對(duì)管理目標(biāo)的分析，信息安全管理的原則以風(fēng)險(xiǎn)管理為主，集中安全控制。管理要素由管理對(duì)象、安全威脅、脆弱性、風(fēng)險(xiǎn)、保護(hù)措施組成。

4.2.1 信息安全等級(jí)劃分指標(biāo)

信息安全等級(jí)保護(hù)是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化健康發(fā)展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是關(guān)于保護(hù)對(duì)象說明、保護(hù)必要性描述、保護(hù)責(zé)任人、保護(hù)對(duì)策以及意外處理方法的總和。

4.2.3 信息安全制度

信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。

4.2.4 信息安全規(guī)范

信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達(dá)到的要求，在信息安全規(guī)范方面，根據(jù)調(diào)查，建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范。其中，安全管理規(guī)范主要針對(duì)人員、團(tuán)隊(duì)、制度和資源管理提供參照性準(zhǔn)則；信息安全技術(shù)規(guī)范主要針對(duì)安全設(shè)計(jì)、施工、維護(hù)和操作提供技術(shù)性指導(dǎo)建議。

4.2.5 信息安全管理流程

信息安全流程是指工作中應(yīng)遵循的信息安全程序，其目的是減少安全隱患，降低風(fēng)險(xiǎn)。

4.2.6 信息安全績(jī)效考核指標(biāo)

信息安全績(jī)效考核指標(biāo)是指針對(duì)信息安全工作的質(zhì)量和態(tài)度而給出的評(píng)價(jià)依據(jù)，其目的是增強(qiáng)信息安全責(zé)任意識(shí)，提高信息安全工作質(zhì)量。

4.2.7 信息安全監(jiān)管機(jī)制

信息安全監(jiān)管機(jī)制是指有關(guān)信息安全風(fēng)險(xiǎn)的識(shí)別、分析和控制的措施總和。其主要目的加強(qiáng)信息安全風(fēng)險(xiǎn)的控制，做到“安全第一，預(yù)防為主”。

4.2.8 信息安全教育培訓(xùn)體系

其主要目的加強(qiáng)的信息安全人才隊(duì)伍的建設(shè)，提高企業(yè)人員的信息安全意識(shí)和技能，增強(qiáng)企業(yè)信息安全能力。

5 信息安全技術(shù)規(guī)劃

5.1 技術(shù)規(guī)劃目標(biāo)

信息安全技術(shù)規(guī)劃目標(biāo)簡(jiǎn)言之是：給業(yè)務(wù)運(yùn)營(yíng)提供信息安全環(huán)境，為企業(yè)轉(zhuǎn)型提供契機(jī)，構(gòu)建信息安全服務(wù)支撐系統(tǒng)。具體目標(biāo)如下：

1）打造信息安全基礎(chǔ)環(huán)境，調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施，建立安全專網(wǎng)，設(shè)置兩個(gè)中心（信息安全運(yùn)維中心、災(zāi)備中心）；

2）建立一體化信息安全平臺(tái)，綜合集成安全決策調(diào)度、安全巡檢、認(rèn)證授權(quán)、安全防護(hù)、安全監(jiān)控、安全審計(jì)、應(yīng)急響應(yīng)、安全服務(wù)、安全測(cè)試、安全培訓(xùn)等功能，實(shí)現(xiàn)的集中安全管理控制，快速安全事件響應(yīng)，高可信的安全防護(hù)，拓展企業(yè)業(yè)務(wù)，開辟信息安全服務(wù)新領(lǐng)域。

5.2 信息安全運(yùn)維中心(SOC)

SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作，SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設(shè)施，提供信息安全中心技術(shù)人員的辦公場(chǎng)所，提供“7×24”小時(shí)連續(xù)不斷的安全應(yīng)用服務(wù),提供實(shí)時(shí)監(jiān)控、遠(yuǎn)程入侵發(fā)現(xiàn)、事件響應(yīng)、安全更新與升級(jí)等業(yè)務(wù)，SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設(shè)、基礎(chǔ)工程外，SOC 的技術(shù)性工作還要做以下幾個(gè)方面：

1）硬件基礎(chǔ)建設(shè)，主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成，實(shí)現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能；

2）軟件基礎(chǔ)建設(shè)，包括SSS 系統(tǒng)、機(jī)房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。

圖1 信息安全軟措施關(guān)系

圖2 信息安全總體框架

圖3 資產(chǎn)、組織、管理和安全措施的關(guān)系

5.3 信息安全綜合測(cè)試環(huán)境

隨著分布式企業(yè)信息化程度的日也加深，需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng)，為了保障安全，必須對(duì)這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查，消除安全隱患。基于此，綜合測(cè)試環(huán)境建設(shè)的內(nèi)容包括：安全測(cè)試網(wǎng)絡(luò)；測(cè)試系統(tǒng)設(shè)備；安全測(cè)試工具；安全測(cè)試分析系統(tǒng)；安全測(cè)試知識(shí)庫。

其中，安全測(cè)試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實(shí)的帶寬；測(cè)試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬、典型的應(yīng)用系統(tǒng)流量模擬；安全測(cè)試工具覆蓋防范類、檢測(cè)類、評(píng)估類、應(yīng)急恢復(fù)類、管理類等，并提供使用說明、漏洞掃描、應(yīng)用安全分析；安全測(cè)試分析系統(tǒng)能夠提供統(tǒng)計(jì)分析、圖表展現(xiàn)功能；安全知識(shí)庫包含以下內(nèi)容：漏洞知識(shí)庫，補(bǔ)丁信息庫，安全標(biāo)準(zhǔn)知識(shí)庫，威脅場(chǎng)景視頻庫，攻擊特征知識(shí)庫，信息安全解決案例庫，安全產(chǎn)品知識(shí)庫，安全概念和術(shù)語知識(shí)庫。

5.4 安全平臺(tái)建設(shè)規(guī)劃

參照國(guó)際上PDRR 模型和國(guó)家信息安全方面規(guī)范，建議信息安全總體框架設(shè)計(jì)如圖2所示。

主要目的，以資產(chǎn)為核心，通過安全組織實(shí)現(xiàn)資產(chǎn)保護(hù)，以安全管理來約束組織的行為，以技術(shù)手段輔助安全管理。其中，資產(chǎn)、組織、管理、安全措施的關(guān)系如圖3所示，核心為資產(chǎn)，圍繞資產(chǎn)是組織，組織是管理，最外層是安全措施。

在平臺(tái)中集成十個(gè)安全機(jī)制，它們分別是：信息安全集中管理；信息安全巡檢；信息安全認(rèn)證授權(quán)；信息安全防護(hù)；信息安全監(jiān)控；信息安全測(cè)試；信息安全審核；信息安全應(yīng)急響應(yīng)；信息安全教育培訓(xùn)；信息安全服務(wù)。

6 信息安全服務(wù)業(yè)務(wù)規(guī)劃

6.1 服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)

信息安全服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)簡(jiǎn)言之是：以信息安全服務(wù)為切入點(diǎn)，充分發(fā)揮企業(yè)優(yōu)勢(shì)資源，引領(lǐng)信息安全市場(chǎng)，為企業(yè)轉(zhuǎn)型創(chuàng)造時(shí)機(jī)。具體目標(biāo)如下：

1）推出面向客戶安全（檢查、教育、配置）產(chǎn)品；2）推出面向大型企業(yè)的信息安全咨詢產(chǎn)品；3）推出面向家庭安全上網(wǎng)產(chǎn)品；4）推出面向企業(yè)安全運(yùn)維產(chǎn)品；5）推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品。

6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計(jì)

服務(wù)業(yè)務(wù)規(guī)劃主要針對(duì)具體業(yè)務(wù)而言，在此列舉信息類分布式企業(yè)業(yè)務(wù)作為示例：

1）信息安全咨詢類產(chǎn)品，其服務(wù)功能主要有：信息安全風(fēng)險(xiǎn)評(píng)估；信息安全規(guī)劃設(shè)計(jì)；信息安全產(chǎn)品顧問。

2）信息安全教育培訓(xùn)類產(chǎn)品，其服務(wù)功能主要有：提供信息安全操作環(huán)境；提供信息安全知識(shí)教育；提供信息安全運(yùn)維教育。

3）家庭類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：推出“家庭綠色上網(wǎng)”安全服務(wù)；家庭上網(wǎng)防病毒服務(wù)；家庭上網(wǎng)機(jī)器安全檢查服務(wù)；家庭上網(wǎng)機(jī)數(shù)據(jù)備份服務(wù)。

4）企業(yè)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：企業(yè)安全上網(wǎng)控制服務(wù)；企業(yè)安全專網(wǎng)服務(wù)；安全信息通告；企業(yè)運(yùn)維服務(wù)。

5）容災(zāi)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù)；面向政府信息系統(tǒng)災(zāi)備服務(wù)；面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù)；面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)。

7 結(jié)束語

通過結(jié)合分布式企業(yè)的具體實(shí)際，按照信息安全體系結(jié)構(gòu)相關(guān)標(biāo)準(zhǔn)，提出了分布式企業(yè)的信息安全規(guī)劃原則和目標(biāo)。并依據(jù)次原則與目標(biāo)，按照組織、管理和技術(shù)三個(gè)方面提出了具體的實(shí)現(xiàn)與設(shè)計(jì)規(guī)范原則。最后，依據(jù)服務(wù)規(guī)劃目標(biāo)，提出了信息類分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計(jì)實(shí)例。

參考文獻(xiàn)：

[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報(bào)，2006,23,(1):25～28.

[4] 張慶華. 信息網(wǎng)絡(luò)動(dòng)態(tài)安全體系模型綜述[J].計(jì)算機(jī)應(yīng)用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技術(shù)安全評(píng)估的系列標(biāo)準(zhǔn)[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列標(biāo)準(zhǔn)[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李瑋. 運(yùn)營(yíng)商IT系統(tǒng)網(wǎng)絡(luò)架構(gòu)的安全域劃分[J]. 通信世界,2005,30:41～41,45～45.