企業(yè)信息安全立體防護(hù)體系構(gòu)建及運(yùn)行

彭佩　張婕　李紅梅

摘 要： 根據(jù)系統(tǒng)工程學(xué)和信息安全工程學(xué)理論，采用霍爾三維方法界定了企業(yè)信息安全防護(hù)體系邊界，構(gòu)建其ISM邏輯結(jié)構(gòu)模型。結(jié)合項(xiàng)目管理領(lǐng)域知識(shí)，進(jìn)一步探討了信息安全防護(hù)的立體運(yùn)行框架，為企業(yè)信息安全防護(hù)工作的落實(shí)提供有效指導(dǎo)。

關(guān)鍵詞： 企業(yè)信息安全； ISM； 立體防護(hù)； 霍爾三維方法

中圖分類號(hào)： TN911?34 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2014）12?0042?04

Abstract： Based on the theories of system engineering and information safety engineering， the boundary of information security defence system for enterprises was defined with Hall's three?dimensional method. A logical structure model of ISM was built. The 3D operation framework of enterprise information security defence is discussed in combination with the knowledge of project management. The effective guidance has been provided for implementation of the security defence work.

Keywords： enterprise information security； interpretive structural modeling； solid defense； Hall three?dimensional method

0 引 言

隨著信息化進(jìn)程的發(fā)展，信息技術(shù)與網(wǎng)絡(luò)技術(shù)的高度融合，現(xiàn)代企業(yè)對(duì)信息系統(tǒng)的依賴性與信息系統(tǒng)本身的動(dòng)態(tài)性、脆弱性、復(fù)雜性、高投入性之間的矛盾日趨突顯，如何有效防護(hù)信息安全成為了企業(yè)亟待解決的問題之一。目前國內(nèi)企業(yè)在信息安全方面仍側(cè)重于技術(shù)防護(hù)和基于傳統(tǒng)模式下的靜態(tài)被動(dòng)管理，尚未形成與動(dòng)態(tài)持續(xù)的信息安全問題相適應(yīng)的信息安全防護(hù)模式，企業(yè)信息安全管理效益低下；另一方面，資源約束性使企業(yè)更加關(guān)注信息安全防護(hù)的投入產(chǎn)出效應(yīng)，最大程度上預(yù)防信息安全風(fēng)險(xiǎn)的同時(shí)節(jié)省企業(yè)安全建設(shè)、維護(hù)成本，需要從管理角度上更深入地整合和分配資源。

本文針對(duì)現(xiàn)階段企業(yè)信息安全出現(xiàn)的問題，結(jié)合項(xiàng)目管理領(lǐng)域的一般過程模型，從時(shí)間、任務(wù)、邏輯方面界定了系統(tǒng)的霍爾三維結(jié)構(gòu)，構(gòu)建了標(biāo)準(zhǔn)化的ISM結(jié)構(gòu)模型及動(dòng)態(tài)運(yùn)行框架，為信息網(wǎng)絡(luò)、信息系統(tǒng)、信息設(shè)備以及網(wǎng)絡(luò)用戶提供一個(gè)全方位、全過程、全面綜合的前瞻性立體防護(hù)，并從企業(yè)、政府兩個(gè)層面提出了提高整體信息安全防護(hù)水平的相關(guān)建議。

1 企業(yè)信息安全立體防護(hù)體系概述

1.1 企業(yè)信息安全立體防護(hù)體系概念

信息安全立體防護(hù)體系是指為保障企業(yè)信息的有效性、保密性、完整性、可用性和可控性，提供覆蓋到所有易被威脅攻擊的角落的全方位防護(hù)體系。該體系涵蓋了企業(yè)信息安全防護(hù)的一般步驟、具體階段及其任務(wù)范圍。

1.2 企業(yè)信息安全立體防護(hù)體系環(huán)境分析

系統(tǒng)運(yùn)行離不開環(huán)境。信息產(chǎn)業(yè)其爆炸式發(fā)展的特性使企業(yè)信息安全的防護(hù)環(huán)境也相對(duì)復(fù)雜多變，同時(shí)，多樣性的防護(hù)需求要求有相適應(yīng)的環(huán)境與之配套。

企業(yè)信息安全立體防護(hù)體系的運(yùn)行環(huán)境主要包括三個(gè)方面，即社會(huì)文化環(huán)境、政府政策環(huán)境、行業(yè)技術(shù)環(huán)境。社會(huì)文化環(huán)境主要指在企業(yè)信息安全方面的社會(huì)整體教育程度和文化水平、行為習(xí)慣、道德準(zhǔn)則等。政府政策環(huán)境是指國家和政府針對(duì)于企業(yè)信息安全防護(hù)出臺(tái)的一系列政策和措施。行業(yè)技術(shù)環(huán)境是指信息行業(yè)為支持信息安全防護(hù)所開發(fā)的一系列技術(shù)與相匹配的管理體制。

1.3 企業(yè)信息安全立體防護(hù)體系霍爾三維結(jié)構(gòu)

為平衡信息安全防護(hù)過程中的時(shí)間性、復(fù)雜性和主觀性，本文從時(shí)間、任務(wù)、邏輯層面建立了企業(yè)信息安全立體防護(hù)體系的三維空間結(jié)構(gòu)，如圖1所示。

時(shí)間維是指信息安全系統(tǒng)從開始設(shè)計(jì)到最終實(shí)施按時(shí)間排序的全過程，由分析建立、實(shí)施運(yùn)行、監(jiān)視評(píng)審、保持改進(jìn)四個(gè)基本時(shí)間階段組成，并按PDCA過程循環(huán)[5]。邏輯維是指時(shí)間維的每一個(gè)階段內(nèi)所應(yīng)該遵循的思維程序，包括信息安全風(fēng)險(xiǎn)識(shí)別、危險(xiǎn)性辨識(shí)、危險(xiǎn)性評(píng)估、防范措施制定、防范措施實(shí)施五個(gè)步驟。任務(wù)維是指在企業(yè)信息安全防護(hù)的具體內(nèi)容，如網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全等。該霍爾三維結(jié)構(gòu)中任一階段和步驟又可進(jìn)一步展開，形成分層次的樹狀體系。

2 企業(yè)信息安全立體防護(hù)體系解釋結(jié)構(gòu)模型

2.1 ISM模型簡(jiǎn)介

ISM（Interpretation Structural Model）技術(shù)，是美國J·N·沃菲爾德教授于1973年為研究復(fù)雜社會(huì)經(jīng)濟(jì)系統(tǒng)問題而開發(fā)的結(jié)構(gòu)模型化技術(shù)。該方法通過提取問題的構(gòu)成要素，并利用矩陣等工具進(jìn)行邏輯運(yùn)算，明確其間的相互關(guān)系和層次結(jié)構(gòu)，使復(fù)雜系統(tǒng)轉(zhuǎn)化成多級(jí)遞階形式。

2.2 企業(yè)信息安全立體防護(hù)體系要素分析

本文根據(jù)企業(yè)信息安全的基本內(nèi)容，將立體防護(hù)體系劃分為如下15個(gè)構(gòu)成要素：

（1） 網(wǎng)絡(luò)安全：網(wǎng)絡(luò)平臺(tái)實(shí)現(xiàn)和訪問模式的安全；

（2） 系統(tǒng)安全：操作系統(tǒng)自身的安全；

（3） 數(shù)據(jù)安全：數(shù)據(jù)在存儲(chǔ)和應(yīng)用過程中不被非授權(quán)用戶有意破壞或無意破壞；

（4） 應(yīng)用安全：應(yīng)用接入、應(yīng)用系統(tǒng)、應(yīng)用程序的控制安全；

（5） 物理安全：物理設(shè)備不受物理損壞或損壞時(shí)能及時(shí)修復(fù)或替換；

（6） 用戶安全：用戶被正確授權(quán)，不存在越權(quán)訪問或多業(yè)務(wù)系統(tǒng)的授權(quán)矛盾；

（7） 終端安全：防病毒、補(bǔ)丁升級(jí)、桌面終端管理系統(tǒng)、終端邊界等的安全；

（8） 信息安全風(fēng)險(xiǎn)管理：涉及安全風(fēng)險(xiǎn)的評(píng)估、安全代價(jià)的評(píng)估等；

（9） 信息安全策略管理：包括安全措施的制定、實(shí)施、評(píng)估、改進(jìn)；

（10） 信息安全日常管理：巡視、巡檢、監(jiān)控、日志管理等；

（11） 標(biāo)準(zhǔn)規(guī)范體系：安全技術(shù)、安全產(chǎn)品、安全措施、安全操作等規(guī)范化條例；

（12） 管理制度體系：包括配套規(guī)章制度，如培訓(xùn)制度、上崗制度；

（13） 評(píng)價(jià)考核體系：指評(píng)價(jià)指標(biāo)、安全測(cè)評(píng)；

（14） 組織保障：包括安全管理員、安全組織機(jī)構(gòu)的配備；

（15） 資金保障：指建設(shè)、運(yùn)維費(fèi)用的投入。

2.3 ISM模型計(jì)算

根據(jù)專家對(duì)企業(yè)信息安全立體防護(hù)體系中15個(gè)構(gòu)成要素邏輯關(guān)系的分析，可得要素關(guān)系如表1所示。

對(duì)可達(dá)矩陣進(jìn)行區(qū)域劃分和級(jí)位劃分，確定各要素所處層次地位。在可達(dá)矩陣中找出各個(gè)因素的可達(dá)集R（Si），前因集A（Si）以及可達(dá)集R（Si）與前因集A（Si）的交集R（Si）∩A（Si），得到第一級(jí)的可達(dá)集與前因集（見表2）。

2.4 企業(yè)信息安全立體防護(hù)結(jié)構(gòu)

結(jié)合信息安全防護(hù)的特點(diǎn)，企業(yè)信息安全立體防護(hù)體系15個(gè)要素相互聯(lián)系、相互作用，有機(jī)地構(gòu)成遞階有向?qū)蛹?jí)結(jié)構(gòu)模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素，雙向箭頭表示同級(jí)影響。

從圖2可以看出，企業(yè)信息安全防護(hù)體系內(nèi)容為四級(jí)遞階結(jié)構(gòu)。從下往上，第一層因素從制度層面闡述了企業(yè)信息安全防護(hù)，該層的五個(gè)因素處于ISM結(jié)構(gòu)的最基層且相互獨(dú)立，構(gòu)成了企業(yè)信息安全立體防護(hù)的基礎(chǔ)。第二層因素在基于保障的前提下，確定了企業(yè)為確保信息安全進(jìn)行管理活動(dòng)，是進(jìn)行立體防護(hù)的方法和手段；第三層因素是從物理?xiàng)l件、傳輸過程方面揭示了企業(yè)進(jìn)行信息安全防護(hù)可控點(diǎn)，其中物理安全是控制基礎(chǔ)。第四層要素是企業(yè)信息安全的直接需求，作為信息的直接表現(xiàn)形式，數(shù)據(jù)是企業(yè)信息安全立體防護(hù)的核心。企業(yè)信息安全防護(hù)體系的四級(jí)遞階結(jié)構(gòu)充分體現(xiàn)了企業(yè)信息安全防護(hù)體系的整體性、層級(jí)性、交互性。

圖2 企業(yè)信息安全防護(hù)解釋結(jié)構(gòu)模型

2.5 企業(yè)信息安全立體防護(hù)過程

企業(yè)信息安全立體防護(hù)是一個(gè)多層次的動(dòng)態(tài)過程，它隨著環(huán)境和信息傳遞需求變化而變化。本文在立體防護(hù)結(jié)構(gòu)模型的基礎(chǔ)上對(duì)企業(yè)信息安全防護(hù)結(jié)構(gòu)進(jìn)行擴(kuò)展，構(gòu)建了整體運(yùn)行框架（見圖3）。

從圖3 中可以看出，企業(yè)信息安全防護(hù)過程按分析建立到體系保持改進(jìn)的四個(gè)基本時(shí)間階段中有序進(jìn)行，充分體現(xiàn)出時(shí)間維度上的動(dòng)態(tài)性。具體步驟如下：

（1） 綜合分析現(xiàn)行的行業(yè)標(biāo)準(zhǔn)規(guī)范體系，企業(yè)內(nèi)部管理流程、人員組織結(jié)構(gòu)和企業(yè)資金實(shí)力，建立企業(yè)信息安全防護(hù)目標(biāo)，并根據(jù)需要將安全防護(hù)內(nèi)容進(jìn)行等級(jí)劃分。

（2） 對(duì)防護(hù)內(nèi)容進(jìn)行日常監(jiān)測(cè)（包括統(tǒng)計(jì)分析其他公司近期發(fā)生的安全事故），形成預(yù)警，進(jìn)而對(duì)公司信息系統(tǒng)進(jìn)行入侵監(jiān)測(cè)，判斷其是否潛在威脅。

（3） 若存在威脅，則進(jìn)一步確定威脅來源，并對(duì)危險(xiǎn)性進(jìn)行評(píng)估，判斷其是否能通過現(xiàn)有措施解決。

（4） 平衡控制成本和實(shí)效性，采取防范措施，并分析其效用，最終形成內(nèi)部信息防護(hù)手冊(cè)。

3 分析及對(duì)策

3.1 企業(yè)層面

（1） 加強(qiáng)系統(tǒng)整體性。企業(yè)信息安全防護(hù)體系的15個(gè)構(gòu)成要素隸屬于一個(gè)共同區(qū)域，在同一系統(tǒng)大環(huán)境下運(yùn)作。資源受限情況下要最大程度地保障企業(yè)信息安全，就必須遵循一切從整體目標(biāo)出發(fā)的原則，加強(qiáng)信息安全防護(hù)的整體布局，在對(duì)原有產(chǎn)品升級(jí)和重新部署時(shí)，應(yīng)統(tǒng)一規(guī)劃，統(tǒng)籌安排，追求整體效能和投入產(chǎn)出效應(yīng)。

（2） 明確系統(tǒng)層級(jí)性。企業(yè)信息安全防護(hù)工作效率的高低很大程度上取決于在各個(gè)防護(hù)層級(jí)上的管理。企業(yè)信息安全防護(hù)涉及技術(shù)層面防護(hù)、策略層面防護(hù)、制度層面防護(hù)，三個(gè)層面互相依存、互相作用，其中制度和保障是基礎(chǔ)，策略是支撐，技術(shù)是手段。要有效維護(hù)企業(yè)信息安全，企業(yè)就必須正確處理好體系間的縱向關(guān)系，在尋求技術(shù)支撐的同時(shí)，更要立足于管理，加強(qiáng)工作間的協(xié)調(diào)，避免重復(fù)投入、重復(fù)建設(shè)。

（3） 降低系統(tǒng)交互性。在企業(yè)信息安全防護(hù)體系同級(jí)之間，相關(guān)要素呈現(xiàn)出了強(qiáng)連接關(guān)系，這種交互式的影響，使得系統(tǒng)運(yùn)行更加復(fù)雜。因此需要加快企業(yè)內(nèi)部規(guī)章制度和技術(shù)規(guī)范的建設(shè)，界定好每個(gè)工作環(huán)節(jié)的邊界，準(zhǔn)確定位風(fēng)險(xiǎn)源，并確保信息安全策略得到恰當(dāng)?shù)睦斫夂陀行?zhí)行，防止在循環(huán)狀態(tài)下風(fēng)險(xiǎn)的交叉影響使防范難度加大。

（4） 關(guān)注系統(tǒng)動(dòng)態(tài)性。信息安全防護(hù)是一個(gè)動(dòng)態(tài)循環(huán)的過程，它隨著信息技術(shù)發(fā)展而不斷發(fā)展。因此，企業(yè)在進(jìn)行信息安全防護(hù)時(shí)，應(yīng)在時(shí)間維度上對(duì)信息安全有一個(gè)質(zhì)的認(rèn)識(shí)，準(zhǔn)確定位企業(yè)信息安全防護(hù)所處的工作階段，限定處理信息安全風(fēng)險(xiǎn)的時(shí)間界限，重視不同時(shí)間段上的延續(xù)性，并運(yùn)用恰當(dāng)?shù)墓ぞ叻椒▉韺?duì)風(fēng)險(xiǎn)加以識(shí)別，辨別風(fēng)險(xiǎn)可能所帶來的危險(xiǎn)及其危害程度，做出防范措施，實(shí)現(xiàn)企業(yè)信息安全的全過程動(dòng)態(tài)管理。

3.2 政府層面

企業(yè)信息安全防護(hù)不是一個(gè)孤立的系統(tǒng)，它受制于環(huán)境的變化。良好的社會(huì)文化環(huán)境有助于整體安全防護(hù)能力主動(dòng)性的提高，有力的政策是推動(dòng)企業(yè)信息安全防護(hù)發(fā)展的前提和條件，高效的行業(yè)技術(shù)反應(yīng)機(jī)制是信息安全防護(hù)的推動(dòng)力。因此在注重企業(yè)層面的管理之外，還必須借助于政府建立一個(gè)積極的環(huán)境。

（1） 加強(qiáng)信息安全防護(hù)方面的文化建設(shè)。一方面，政府應(yīng)大力宣傳信息安全的重要性及相關(guān)政策，提高全民信息安全素質(zhì)，從道德層面上防止信息安全事故的發(fā)生；另一方面，政府應(yīng)督促企業(yè)加強(qiáng)信息安全思想教育、職能教育、技能教育、法制教育，從思想上、理論上提高和強(qiáng)化社會(huì)信息安全防護(hù)意識(shí)和自律意識(shí)。

（2） 高度重視信息安全及其衍生問題。政府應(yīng)加快整合和完善現(xiàn)有信息安全方面的法律、法規(guī)、行業(yè)標(biāo)準(zhǔn)，建立多元監(jiān)管模式和長效監(jiān)管機(jī)制，保證各項(xiàng)法律、法規(guī)和標(biāo)準(zhǔn)得到公平、公正、有效的實(shí)施，為企業(yè)信息安全創(chuàng)造有力的支持。

（3） 加大信息安全產(chǎn)業(yè)投入。政府應(yīng)高度重視技術(shù)人才的培養(yǎng)，加快信息安全產(chǎn)品核心技術(shù)的自主研發(fā)和生產(chǎn)，支持信息安全服務(wù)行業(yè)的發(fā)展。

4 結(jié) 語

本文從企業(yè)信息安全防護(hù)的實(shí)際需求出發(fā)，構(gòu)建企業(yè)信息安全防護(hù)基本模型，為企業(yè)信息安全防護(hù)工作的落實(shí)提供有效指導(dǎo)，節(jié)省企業(yè)在信息安全防護(hù)體系建設(shè)上的投入。同時(shí)針對(duì)現(xiàn)階段企業(yè)信息安全防護(hù)存在的問題從企業(yè)層面和政府層面提出相關(guān)建議。

參考文獻(xiàn)

[1] 中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心.信息安全理論與技術(shù)[M].北京：人民郵電出版社，2003.

[2] 汪應(yīng)洛.系統(tǒng)工程[M].3版.北京：高等教育出版社，2003.

[3] 齊峰.COBIT在企業(yè)信息安全管理中的應(yīng)用實(shí)踐[J].計(jì)算機(jī)應(yīng)用與軟件，2009，26（10）：282?285.

[4] 肖餛.淺議網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理[J].標(biāo)準(zhǔn)科學(xué)，2010（8）：20?23.

[5] 王永紅.信息安全風(fēng)險(xiǎn)評(píng)估流程初探[C]//全國第21屆計(jì)算機(jī)技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議（CACIS·2010）暨全國第2屆安全關(guān)鍵技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議論文集.合肥：中國儀器儀表學(xué)會(huì)微型計(jì)算機(jī)應(yīng)用學(xué)會(huì)，2010：504?507.

[6] 王玫.建設(shè)銀行信息安全管理體系建設(shè)研究[D].濟(jì)南：山東大學(xué)，2008.

[7] 韓權(quán)印，張玉清，王閔，等.信息安全管理實(shí)施要點(diǎn)研究[D].計(jì)算機(jī)工程，2005，31（20）：64?66.

（6） 用戶安全：用戶被正確授權(quán)，不存在越權(quán)訪問或多業(yè)務(wù)系統(tǒng)的授權(quán)矛盾；

（7） 終端安全：防病毒、補(bǔ)丁升級(jí)、桌面終端管理系統(tǒng)、終端邊界等的安全；

（8） 信息安全風(fēng)險(xiǎn)管理：涉及安全風(fēng)險(xiǎn)的評(píng)估、安全代價(jià)的評(píng)估等；

（9） 信息安全策略管理：包括安全措施的制定、實(shí)施、評(píng)估、改進(jìn)；

（10） 信息安全日常管理：巡視、巡檢、監(jiān)控、日志管理等；

（11） 標(biāo)準(zhǔn)規(guī)范體系：安全技術(shù)、安全產(chǎn)品、安全措施、安全操作等規(guī)范化條例；

（12） 管理制度體系：包括配套規(guī)章制度，如培訓(xùn)制度、上崗制度；

（13） 評(píng)價(jià)考核體系：指評(píng)價(jià)指標(biāo)、安全測(cè)評(píng)；

（14） 組織保障：包括安全管理員、安全組織機(jī)構(gòu)的配備；

（15） 資金保障：指建設(shè)、運(yùn)維費(fèi)用的投入。

2.3 ISM模型計(jì)算

根據(jù)專家對(duì)企業(yè)信息安全立體防護(hù)體系中15個(gè)構(gòu)成要素邏輯關(guān)系的分析，可得要素關(guān)系如表1所示。

對(duì)可達(dá)矩陣進(jìn)行區(qū)域劃分和級(jí)位劃分，確定各要素所處層次地位。在可達(dá)矩陣中找出各個(gè)因素的可達(dá)集R（Si），前因集A（Si）以及可達(dá)集R（Si）與前因集A（Si）的交集R（Si）∩A（Si），得到第一級(jí)的可達(dá)集與前因集（見表2）。

2.4 企業(yè)信息安全立體防護(hù)結(jié)構(gòu)

結(jié)合信息安全防護(hù)的特點(diǎn)，企業(yè)信息安全立體防護(hù)體系15個(gè)要素相互聯(lián)系、相互作用，有機(jī)地構(gòu)成遞階有向?qū)蛹?jí)結(jié)構(gòu)模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素，雙向箭頭表示同級(jí)影響。

從圖2可以看出，企業(yè)信息安全防護(hù)體系內(nèi)容為四級(jí)遞階結(jié)構(gòu)。從下往上，第一層因素從制度層面闡述了企業(yè)信息安全防護(hù)，該層的五個(gè)因素處于ISM結(jié)構(gòu)的最基層且相互獨(dú)立，構(gòu)成了企業(yè)信息安全立體防護(hù)的基礎(chǔ)。第二層因素在基于保障的前提下，確定了企業(yè)為確保信息安全進(jìn)行管理活動(dòng)，是進(jìn)行立體防護(hù)的方法和手段；第三層因素是從物理?xiàng)l件、傳輸過程方面揭示了企業(yè)進(jìn)行信息安全防護(hù)可控點(diǎn)，其中物理安全是控制基礎(chǔ)。第四層要素是企業(yè)信息安全的直接需求，作為信息的直接表現(xiàn)形式，數(shù)據(jù)是企業(yè)信息安全立體防護(hù)的核心。企業(yè)信息安全防護(hù)體系的四級(jí)遞階結(jié)構(gòu)充分體現(xiàn)了企業(yè)信息安全防護(hù)體系的整體性、層級(jí)性、交互性。

圖2 企業(yè)信息安全防護(hù)解釋結(jié)構(gòu)模型

2.5 企業(yè)信息安全立體防護(hù)過程

企業(yè)信息安全立體防護(hù)是一個(gè)多層次的動(dòng)態(tài)過程，它隨著環(huán)境和信息傳遞需求變化而變化。本文在立體防護(hù)結(jié)構(gòu)模型的基礎(chǔ)上對(duì)企業(yè)信息安全防護(hù)結(jié)構(gòu)進(jìn)行擴(kuò)展，構(gòu)建了整體運(yùn)行框架（見圖3）。

從圖3 中可以看出，企業(yè)信息安全防護(hù)過程按分析建立到體系保持改進(jìn)的四個(gè)基本時(shí)間階段中有序進(jìn)行，充分體現(xiàn)出時(shí)間維度上的動(dòng)態(tài)性。具體步驟如下：

（1） 綜合分析現(xiàn)行的行業(yè)標(biāo)準(zhǔn)規(guī)范體系，企業(yè)內(nèi)部管理流程、人員組織結(jié)構(gòu)和企業(yè)資金實(shí)力，建立企業(yè)信息安全防護(hù)目標(biāo)，并根據(jù)需要將安全防護(hù)內(nèi)容進(jìn)行等級(jí)劃分。

（2） 對(duì)防護(hù)內(nèi)容進(jìn)行日常監(jiān)測(cè)（包括統(tǒng)計(jì)分析其他公司近期發(fā)生的安全事故），形成預(yù)警，進(jìn)而對(duì)公司信息系統(tǒng)進(jìn)行入侵監(jiān)測(cè)，判斷其是否潛在威脅。

（3） 若存在威脅，則進(jìn)一步確定威脅來源，并對(duì)危險(xiǎn)性進(jìn)行評(píng)估，判斷其是否能通過現(xiàn)有措施解決。

（4） 平衡控制成本和實(shí)效性，采取防范措施，并分析其效用，最終形成內(nèi)部信息防護(hù)手冊(cè)。

3 分析及對(duì)策

3.1 企業(yè)層面

（1） 加強(qiáng)系統(tǒng)整體性。企業(yè)信息安全防護(hù)體系的15個(gè)構(gòu)成要素隸屬于一個(gè)共同區(qū)域，在同一系統(tǒng)大環(huán)境下運(yùn)作。資源受限情況下要最大程度地保障企業(yè)信息安全，就必須遵循一切從整體目標(biāo)出發(fā)的原則，加強(qiáng)信息安全防護(hù)的整體布局，在對(duì)原有產(chǎn)品升級(jí)和重新部署時(shí)，應(yīng)統(tǒng)一規(guī)劃，統(tǒng)籌安排，追求整體效能和投入產(chǎn)出效應(yīng)。

（2） 明確系統(tǒng)層級(jí)性。企業(yè)信息安全防護(hù)工作效率的高低很大程度上取決于在各個(gè)防護(hù)層級(jí)上的管理。企業(yè)信息安全防護(hù)涉及技術(shù)層面防護(hù)、策略層面防護(hù)、制度層面防護(hù)，三個(gè)層面互相依存、互相作用，其中制度和保障是基礎(chǔ)，策略是支撐，技術(shù)是手段。要有效維護(hù)企業(yè)信息安全，企業(yè)就必須正確處理好體系間的縱向關(guān)系，在尋求技術(shù)支撐的同時(shí)，更要立足于管理，加強(qiáng)工作間的協(xié)調(diào)，避免重復(fù)投入、重復(fù)建設(shè)。

（3） 降低系統(tǒng)交互性。在企業(yè)信息安全防護(hù)體系同級(jí)之間，相關(guān)要素呈現(xiàn)出了強(qiáng)連接關(guān)系，這種交互式的影響，使得系統(tǒng)運(yùn)行更加復(fù)雜。因此需要加快企業(yè)內(nèi)部規(guī)章制度和技術(shù)規(guī)范的建設(shè)，界定好每個(gè)工作環(huán)節(jié)的邊界，準(zhǔn)確定位風(fēng)險(xiǎn)源，并確保信息安全策略得到恰當(dāng)?shù)睦斫夂陀行?zhí)行，防止在循環(huán)狀態(tài)下風(fēng)險(xiǎn)的交叉影響使防范難度加大。

（4） 關(guān)注系統(tǒng)動(dòng)態(tài)性。信息安全防護(hù)是一個(gè)動(dòng)態(tài)循環(huán)的過程，它隨著信息技術(shù)發(fā)展而不斷發(fā)展。因此，企業(yè)在進(jìn)行信息安全防護(hù)時(shí)，應(yīng)在時(shí)間維度上對(duì)信息安全有一個(gè)質(zhì)的認(rèn)識(shí)，準(zhǔn)確定位企業(yè)信息安全防護(hù)所處的工作階段，限定處理信息安全風(fēng)險(xiǎn)的時(shí)間界限，重視不同時(shí)間段上的延續(xù)性，并運(yùn)用恰當(dāng)?shù)墓ぞ叻椒▉韺?duì)風(fēng)險(xiǎn)加以識(shí)別，辨別風(fēng)險(xiǎn)可能所帶來的危險(xiǎn)及其危害程度，做出防范措施，實(shí)現(xiàn)企業(yè)信息安全的全過程動(dòng)態(tài)管理。

3.2 政府層面

企業(yè)信息安全防護(hù)不是一個(gè)孤立的系統(tǒng)，它受制于環(huán)境的變化。良好的社會(huì)文化環(huán)境有助于整體安全防護(hù)能力主動(dòng)性的提高，有力的政策是推動(dòng)企業(yè)信息安全防護(hù)發(fā)展的前提和條件，高效的行業(yè)技術(shù)反應(yīng)機(jī)制是信息安全防護(hù)的推動(dòng)力。因此在注重企業(yè)層面的管理之外，還必須借助于政府建立一個(gè)積極的環(huán)境。

（1） 加強(qiáng)信息安全防護(hù)方面的文化建設(shè)。一方面，政府應(yīng)大力宣傳信息安全的重要性及相關(guān)政策，提高全民信息安全素質(zhì)，從道德層面上防止信息安全事故的發(fā)生；另一方面，政府應(yīng)督促企業(yè)加強(qiáng)信息安全思想教育、職能教育、技能教育、法制教育，從思想上、理論上提高和強(qiáng)化社會(huì)信息安全防護(hù)意識(shí)和自律意識(shí)。

（2） 高度重視信息安全及其衍生問題。政府應(yīng)加快整合和完善現(xiàn)有信息安全方面的法律、法規(guī)、行業(yè)標(biāo)準(zhǔn)，建立多元監(jiān)管模式和長效監(jiān)管機(jī)制，保證各項(xiàng)法律、法規(guī)和標(biāo)準(zhǔn)得到公平、公正、有效的實(shí)施，為企業(yè)信息安全創(chuàng)造有力的支持。

（3） 加大信息安全產(chǎn)業(yè)投入。政府應(yīng)高度重視技術(shù)人才的培養(yǎng)，加快信息安全產(chǎn)品核心技術(shù)的自主研發(fā)和生產(chǎn)，支持信息安全服務(wù)行業(yè)的發(fā)展。

4 結(jié) 語

本文從企業(yè)信息安全防護(hù)的實(shí)際需求出發(fā)，構(gòu)建企業(yè)信息安全防護(hù)基本模型，為企業(yè)信息安全防護(hù)工作的落實(shí)提供有效指導(dǎo)，節(jié)省企業(yè)在信息安全防護(hù)體系建設(shè)上的投入。同時(shí)針對(duì)現(xiàn)階段企業(yè)信息安全防護(hù)存在的問題從企業(yè)層面和政府層面提出相關(guān)建議。

參考文獻(xiàn)

[1] 中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心.信息安全理論與技術(shù)[M].北京：人民郵電出版社，2003.

[2] 汪應(yīng)洛.系統(tǒng)工程[M].3版.北京：高等教育出版社，2003.

[3] 齊峰.COBIT在企業(yè)信息安全管理中的應(yīng)用實(shí)踐[J].計(jì)算機(jī)應(yīng)用與軟件，2009，26（10）：282?285.

[4] 肖餛.淺議網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理[J].標(biāo)準(zhǔn)科學(xué)，2010（8）：20?23.

[5] 王永紅.信息安全風(fēng)險(xiǎn)評(píng)估流程初探[C]//全國第21屆計(jì)算機(jī)技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議（CACIS·2010）暨全國第2屆安全關(guān)鍵技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議論文集.合肥：中國儀器儀表學(xué)會(huì)微型計(jì)算機(jī)應(yīng)用學(xué)會(huì)，2010：504?507.

[6] 王玫.建設(shè)銀行信息安全管理體系建設(shè)研究[D].濟(jì)南：山東大學(xué)，2008.

[7] 韓權(quán)印，張玉清，王閔，等.信息安全管理實(shí)施要點(diǎn)研究[D].計(jì)算機(jī)工程，2005，31（20）：64?66.

（6） 用戶安全：用戶被正確授權(quán)，不存在越權(quán)訪問或多業(yè)務(wù)系統(tǒng)的授權(quán)矛盾；

（7） 終端安全：防病毒、補(bǔ)丁升級(jí)、桌面終端管理系統(tǒng)、終端邊界等的安全；

（8） 信息安全風(fēng)險(xiǎn)管理：涉及安全風(fēng)險(xiǎn)的評(píng)估、安全代價(jià)的評(píng)估等；

（9） 信息安全策略管理：包括安全措施的制定、實(shí)施、評(píng)估、改進(jìn)；

（10） 信息安全日常管理：巡視、巡檢、監(jiān)控、日志管理等；

（11） 標(biāo)準(zhǔn)規(guī)范體系：安全技術(shù)、安全產(chǎn)品、安全措施、安全操作等規(guī)范化條例；

（12） 管理制度體系：包括配套規(guī)章制度，如培訓(xùn)制度、上崗制度；

（13） 評(píng)價(jià)考核體系：指評(píng)價(jià)指標(biāo)、安全測(cè)評(píng)；

（14） 組織保障：包括安全管理員、安全組織機(jī)構(gòu)的配備；

（15） 資金保障：指建設(shè)、運(yùn)維費(fèi)用的投入。

2.3 ISM模型計(jì)算

根據(jù)專家對(duì)企業(yè)信息安全立體防護(hù)體系中15個(gè)構(gòu)成要素邏輯關(guān)系的分析，可得要素關(guān)系如表1所示。

對(duì)可達(dá)矩陣進(jìn)行區(qū)域劃分和級(jí)位劃分，確定各要素所處層次地位。在可達(dá)矩陣中找出各個(gè)因素的可達(dá)集R（Si），前因集A（Si）以及可達(dá)集R（Si）與前因集A（Si）的交集R（Si）∩A（Si），得到第一級(jí)的可達(dá)集與前因集（見表2）。

2.4 企業(yè)信息安全立體防護(hù)結(jié)構(gòu)

結(jié)合信息安全防護(hù)的特點(diǎn)，企業(yè)信息安全立體防護(hù)體系15個(gè)要素相互聯(lián)系、相互作用，有機(jī)地構(gòu)成遞階有向?qū)蛹?jí)結(jié)構(gòu)模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素，雙向箭頭表示同級(jí)影響。

從圖2可以看出，企業(yè)信息安全防護(hù)體系內(nèi)容為四級(jí)遞階結(jié)構(gòu)。從下往上，第一層因素從制度層面闡述了企業(yè)信息安全防護(hù)，該層的五個(gè)因素處于ISM結(jié)構(gòu)的最基層且相互獨(dú)立，構(gòu)成了企業(yè)信息安全立體防護(hù)的基礎(chǔ)。第二層因素在基于保障的前提下，確定了企業(yè)為確保信息安全進(jìn)行管理活動(dòng)，是進(jìn)行立體防護(hù)的方法和手段；第三層因素是從物理?xiàng)l件、傳輸過程方面揭示了企業(yè)進(jìn)行信息安全防護(hù)可控點(diǎn)，其中物理安全是控制基礎(chǔ)。第四層要素是企業(yè)信息安全的直接需求，作為信息的直接表現(xiàn)形式，數(shù)據(jù)是企業(yè)信息安全立體防護(hù)的核心。企業(yè)信息安全防護(hù)體系的四級(jí)遞階結(jié)構(gòu)充分體現(xiàn)了企業(yè)信息安全防護(hù)體系的整體性、層級(jí)性、交互性。

圖2 企業(yè)信息安全防護(hù)解釋結(jié)構(gòu)模型

2.5 企業(yè)信息安全立體防護(hù)過程

企業(yè)信息安全立體防護(hù)是一個(gè)多層次的動(dòng)態(tài)過程，它隨著環(huán)境和信息傳遞需求變化而變化。本文在立體防護(hù)結(jié)構(gòu)模型的基礎(chǔ)上對(duì)企業(yè)信息安全防護(hù)結(jié)構(gòu)進(jìn)行擴(kuò)展，構(gòu)建了整體運(yùn)行框架（見圖3）。

從圖3 中可以看出，企業(yè)信息安全防護(hù)過程按分析建立到體系保持改進(jìn)的四個(gè)基本時(shí)間階段中有序進(jìn)行，充分體現(xiàn)出時(shí)間維度上的動(dòng)態(tài)性。具體步驟如下：

（1） 綜合分析現(xiàn)行的行業(yè)標(biāo)準(zhǔn)規(guī)范體系，企業(yè)內(nèi)部管理流程、人員組織結(jié)構(gòu)和企業(yè)資金實(shí)力，建立企業(yè)信息安全防護(hù)目標(biāo)，并根據(jù)需要將安全防護(hù)內(nèi)容進(jìn)行等級(jí)劃分。

（2） 對(duì)防護(hù)內(nèi)容進(jìn)行日常監(jiān)測(cè)（包括統(tǒng)計(jì)分析其他公司近期發(fā)生的安全事故），形成預(yù)警，進(jìn)而對(duì)公司信息系統(tǒng)進(jìn)行入侵監(jiān)測(cè)，判斷其是否潛在威脅。

（3） 若存在威脅，則進(jìn)一步確定威脅來源，并對(duì)危險(xiǎn)性進(jìn)行評(píng)估，判斷其是否能通過現(xiàn)有措施解決。

（4） 平衡控制成本和實(shí)效性，采取防范措施，并分析其效用，最終形成內(nèi)部信息防護(hù)手冊(cè)。

3 分析及對(duì)策

3.1 企業(yè)層面

（1） 加強(qiáng)系統(tǒng)整體性。企業(yè)信息安全防護(hù)體系的15個(gè)構(gòu)成要素隸屬于一個(gè)共同區(qū)域，在同一系統(tǒng)大環(huán)境下運(yùn)作。資源受限情況下要最大程度地保障企業(yè)信息安全，就必須遵循一切從整體目標(biāo)出發(fā)的原則，加強(qiáng)信息安全防護(hù)的整體布局，在對(duì)原有產(chǎn)品升級(jí)和重新部署時(shí)，應(yīng)統(tǒng)一規(guī)劃，統(tǒng)籌安排，追求整體效能和投入產(chǎn)出效應(yīng)。

（2） 明確系統(tǒng)層級(jí)性。企業(yè)信息安全防護(hù)工作效率的高低很大程度上取決于在各個(gè)防護(hù)層級(jí)上的管理。企業(yè)信息安全防護(hù)涉及技術(shù)層面防護(hù)、策略層面防護(hù)、制度層面防護(hù)，三個(gè)層面互相依存、互相作用，其中制度和保障是基礎(chǔ)，策略是支撐，技術(shù)是手段。要有效維護(hù)企業(yè)信息安全，企業(yè)就必須正確處理好體系間的縱向關(guān)系，在尋求技術(shù)支撐的同時(shí)，更要立足于管理，加強(qiáng)工作間的協(xié)調(diào)，避免重復(fù)投入、重復(fù)建設(shè)。

（3） 降低系統(tǒng)交互性。在企業(yè)信息安全防護(hù)體系同級(jí)之間，相關(guān)要素呈現(xiàn)出了強(qiáng)連接關(guān)系，這種交互式的影響，使得系統(tǒng)運(yùn)行更加復(fù)雜。因此需要加快企業(yè)內(nèi)部規(guī)章制度和技術(shù)規(guī)范的建設(shè)，界定好每個(gè)工作環(huán)節(jié)的邊界，準(zhǔn)確定位風(fēng)險(xiǎn)源，并確保信息安全策略得到恰當(dāng)?shù)睦斫夂陀行?zhí)行，防止在循環(huán)狀態(tài)下風(fēng)險(xiǎn)的交叉影響使防范難度加大。

（4） 關(guān)注系統(tǒng)動(dòng)態(tài)性。信息安全防護(hù)是一個(gè)動(dòng)態(tài)循環(huán)的過程，它隨著信息技術(shù)發(fā)展而不斷發(fā)展。因此，企業(yè)在進(jìn)行信息安全防護(hù)時(shí)，應(yīng)在時(shí)間維度上對(duì)信息安全有一個(gè)質(zhì)的認(rèn)識(shí)，準(zhǔn)確定位企業(yè)信息安全防護(hù)所處的工作階段，限定處理信息安全風(fēng)險(xiǎn)的時(shí)間界限，重視不同時(shí)間段上的延續(xù)性，并運(yùn)用恰當(dāng)?shù)墓ぞ叻椒▉韺?duì)風(fēng)險(xiǎn)加以識(shí)別，辨別風(fēng)險(xiǎn)可能所帶來的危險(xiǎn)及其危害程度，做出防范措施，實(shí)現(xiàn)企業(yè)信息安全的全過程動(dòng)態(tài)管理。

3.2 政府層面

企業(yè)信息安全防護(hù)不是一個(gè)孤立的系統(tǒng)，它受制于環(huán)境的變化。良好的社會(huì)文化環(huán)境有助于整體安全防護(hù)能力主動(dòng)性的提高，有力的政策是推動(dòng)企業(yè)信息安全防護(hù)發(fā)展的前提和條件，高效的行業(yè)技術(shù)反應(yīng)機(jī)制是信息安全防護(hù)的推動(dòng)力。因此在注重企業(yè)層面的管理之外，還必須借助于政府建立一個(gè)積極的環(huán)境。

（1） 加強(qiáng)信息安全防護(hù)方面的文化建設(shè)。一方面，政府應(yīng)大力宣傳信息安全的重要性及相關(guān)政策，提高全民信息安全素質(zhì)，從道德層面上防止信息安全事故的發(fā)生；另一方面，政府應(yīng)督促企業(yè)加強(qiáng)信息安全思想教育、職能教育、技能教育、法制教育，從思想上、理論上提高和強(qiáng)化社會(huì)信息安全防護(hù)意識(shí)和自律意識(shí)。

（2） 高度重視信息安全及其衍生問題。政府應(yīng)加快整合和完善現(xiàn)有信息安全方面的法律、法規(guī)、行業(yè)標(biāo)準(zhǔn)，建立多元監(jiān)管模式和長效監(jiān)管機(jī)制，保證各項(xiàng)法律、法規(guī)和標(biāo)準(zhǔn)得到公平、公正、有效的實(shí)施，為企業(yè)信息安全創(chuàng)造有力的支持。

（3） 加大信息安全產(chǎn)業(yè)投入。政府應(yīng)高度重視技術(shù)人才的培養(yǎng)，加快信息安全產(chǎn)品核心技術(shù)的自主研發(fā)和生產(chǎn)，支持信息安全服務(wù)行業(yè)的發(fā)展。

4 結(jié) 語

本文從企業(yè)信息安全防護(hù)的實(shí)際需求出發(fā)，構(gòu)建企業(yè)信息安全防護(hù)基本模型，為企業(yè)信息安全防護(hù)工作的落實(shí)提供有效指導(dǎo)，節(jié)省企業(yè)在信息安全防護(hù)體系建設(shè)上的投入。同時(shí)針對(duì)現(xiàn)階段企業(yè)信息安全防護(hù)存在的問題從企業(yè)層面和政府層面提出相關(guān)建議。

參考文獻(xiàn)

[1] 中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心.信息安全理論與技術(shù)[M].北京：人民郵電出版社，2003.

[2] 汪應(yīng)洛.系統(tǒng)工程[M].3版.北京：高等教育出版社，2003.

[3] 齊峰.COBIT在企業(yè)信息安全管理中的應(yīng)用實(shí)踐[J].計(jì)算機(jī)應(yīng)用與軟件，2009，26（10）：282?285.

[4] 肖餛.淺議網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理[J].標(biāo)準(zhǔn)科學(xué)，2010（8）：20?23.

[5] 王永紅.信息安全風(fēng)險(xiǎn)評(píng)估流程初探[C]//全國第21屆計(jì)算機(jī)技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議（CACIS·2010）暨全國第2屆安全關(guān)鍵技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議論文集.合肥：中國儀器儀表學(xué)會(huì)微型計(jì)算機(jī)應(yīng)用學(xué)會(huì)，2010：504?507.

[6] 王玫.建設(shè)銀行信息安全管理體系建設(shè)研究[D].濟(jì)南：山東大學(xué)，2008.

[7] 韓權(quán)印，張玉清，王閔，等.信息安全管理實(shí)施要點(diǎn)研究[D].計(jì)算機(jī)工程，2005，31（20）：64?66.