關(guān)于構(gòu)建企業(yè)信息安全體系的探討

周慶翌

（常州市御馬精密沖壓件有限公司 江蘇 常州 213000）

21世紀(jì)是信息時(shí)代，隨著市場(chǎng)競(jìng)爭(zhēng)越來越激烈，企業(yè)是否可以站穩(wěn)腳跟，企業(yè)信息安全將發(fā)揮著至關(guān)重要的作用。在信息時(shí)代，企業(yè)信息安全技術(shù)逐漸從單技術(shù)朝著信息綜合技術(shù)不斷發(fā)展，在時(shí)代日益發(fā)展的背景下，企業(yè)必須要構(gòu)建新型的信息安全體系，不僅要確保企業(yè)信息安全，而且要迅速傳遞信息變更。信息安全策略體系規(guī)劃成三層架構(gòu)，第一層是信息安全策略，第二層是信息安全標(biāo)準(zhǔn)及規(guī)范，第三層是信息安全操作流程與細(xì)則，包含的因素主要有信息管理以及技術(shù)等等，將系統(tǒng)的各個(gè)層面都全面覆蓋，比如：物理層以及網(wǎng)絡(luò)層等等。

1 合理運(yùn)用先進(jìn)的技術(shù)安全體系

就IAARC信息系統(tǒng)安全技術(shù)模型來講，其涉及到多個(gè)部分，主要包括身份認(rèn)證以及內(nèi)容安全等等，目前重要的信息安全技術(shù)都能總結(jié)成以上部分。合理運(yùn)用信息安全技術(shù)手段，而且根據(jù)信息安全保護(hù)的對(duì)象層次和現(xiàn)階段普遍應(yīng)用的信息安全產(chǎn)品以及信息安全技術(shù)，不斷優(yōu)化企業(yè)信息安全技術(shù)體系框架。一般來說，企業(yè)信息安全體系整體框架包含許多層次，比如：物理層以及網(wǎng)絡(luò)層等等。

2 物理層安全

通常，包括多個(gè)方面，比如：選擇物理位置、防雷擊以及控制溫濕度等等。

2.1 網(wǎng)絡(luò)層安全

必須要重視安全域的合理劃分以及安全架構(gòu)的科學(xué)設(shè)計(jì)。結(jié)合受威脅以及信任程度的不同級(jí)別、需要保護(hù)的安全需求以及級(jí)別，從整體上將網(wǎng)絡(luò)能夠劃分成多個(gè)區(qū)域，比如：公共區(qū)以及普通安全區(qū)等等。結(jié)合各個(gè)安全區(qū)域運(yùn)用相應(yīng)的安全防范策略。第二，安全邊界防護(hù)。結(jié)合各個(gè)安全區(qū)域的實(shí)際安全需求，運(yùn)用適合的安全技術(shù)防護(hù)手段，采取有效的安全訪問控制措施，對(duì)從低安全區(qū)域的數(shù)據(jù)流動(dòng)到高安全區(qū)域進(jìn)行嚴(yán)格控制。第三，基于VPN的接入安全控制、VPN是為從公用網(wǎng)絡(luò)通過建立的安全臨時(shí)連接，是從公用網(wǎng)絡(luò)穿過的穩(wěn)定安全隧道。就VPN接入來講，不管是用戶接入還是安全防護(hù)，都要制定有效的安全控制措施。第四，網(wǎng)絡(luò)準(zhǔn)入控制。利用科學(xué)驗(yàn)證網(wǎng)絡(luò)用戶身份是否符合法律和客觀評(píng)估與檢測(cè)互聯(lián)網(wǎng)終端計(jì)算機(jī)安全狀態(tài)，確定是否在企業(yè)網(wǎng)絡(luò)中接入該臺(tái)互聯(lián)網(wǎng)終端，減少各種潛在威脅，比如：非法用戶隨意將企業(yè)網(wǎng)接進(jìn)等等。第五，完成網(wǎng)絡(luò)設(shè)備登錄認(rèn)證。構(gòu)建企業(yè)相對(duì)集中的網(wǎng)絡(luò)設(shè)備登錄認(rèn)證系統(tǒng)，主要用于以集中的形式來管理網(wǎng)絡(luò)設(shè)備維護(hù)用戶，對(duì)用戶身份進(jìn)行認(rèn)證；利用對(duì)各個(gè)級(jí)別用戶作出定義，授權(quán)其可以執(zhí)行的各項(xiàng)操作，將用戶的操作與登錄都詳細(xì)記錄且審計(jì)。

2.2 系統(tǒng)層安全

首先，將系統(tǒng)主機(jī)的入侵檢測(cè)做到位，監(jiān)測(cè)系統(tǒng)主機(jī)的網(wǎng)絡(luò)訪問，迅速找到系統(tǒng)級(jí)以及外來入侵用戶的違法操作行為。其次，將系統(tǒng)主機(jī)訪問控制做到位，將安全機(jī)制引進(jìn)到各個(gè)方面中，比如：用戶登錄安全以及訪問控制安全等等。然后，將系統(tǒng)主機(jī)安全加固做到位。定期加固以及安全配置服務(wù)器操作系統(tǒng)，安全完善系統(tǒng)的各項(xiàng)配置，進(jìn)而確保系統(tǒng)具有更強(qiáng)的抗攻擊性，將一切安全漏洞都徹底消除，盡可能將安全風(fēng)險(xiǎn)控制在最小化。最后，將主機(jī)安全審計(jì)工作做到位，提高全方位的安全審計(jì)數(shù)據(jù)以及日志，加強(qiáng)主機(jī)審計(jì)保護(hù)能力。

2.3 應(yīng)用層安全

在系統(tǒng)應(yīng)用廣泛普及與日益深化的背景下，許多應(yīng)用系統(tǒng)安全問題都揭示。為了可以迅速規(guī)避由于應(yīng)用安全問題而產(chǎn)生的威脅，必須要將以下幾點(diǎn)工作高效完成：第一，設(shè)置應(yīng)用安全基礎(chǔ)設(shè)施。第二，完善應(yīng)用安全有關(guān)規(guī)范。第三，改善應(yīng)用開發(fā)過程。第四，組織重要應(yīng)用安全性測(cè)試。第五，重視應(yīng)用安全有關(guān)人員管理。

2.4 終端層安全

重視終端計(jì)算機(jī)安全管理。針對(duì)將企業(yè)網(wǎng)絡(luò)接進(jìn)的終端設(shè)備加強(qiáng)安全管理。內(nèi)容涉及范圍廣，比如：防火墻、終端補(bǔ)丁管理以及終端配置管理等等。

3 備份和恢復(fù)

備份和恢復(fù)是在安全事件出現(xiàn)后確保災(zāi)難導(dǎo)致的損失控制在可承受范圍內(nèi)，而且迅速恢復(fù)災(zāi)難的安全機(jī)制，主要包括三個(gè)層次，第一個(gè)層次是數(shù)據(jù)級(jí)，第二個(gè)層次是應(yīng)用級(jí)，第三個(gè)層次是業(yè)務(wù)級(jí)。首先，制定相應(yīng)的容災(zāi)計(jì)劃。利用從不同的層次、不同的角度來分析各個(gè)等級(jí)的信息系統(tǒng)容災(zāi)需求，明確各項(xiàng)容災(zāi)指標(biāo)以及備份策略等等，對(duì)容災(zāi)方案進(jìn)行合理設(shè)計(jì)。其次，設(shè)置備份和恢復(fù)基礎(chǔ)設(shè)置，主要包括兩個(gè)方面，一方面是異地災(zāi)難恢復(fù)系統(tǒng)的本地備份設(shè)施，另一方面是關(guān)鍵數(shù)據(jù)的本地備份設(shè)施。

4 構(gòu)建全面、高校和責(zé)任權(quán)利統(tǒng)一的信息安全組織

就信息安全組織來講，必須要科學(xué)界定各項(xiàng)職責(zé)以及角色。合理劃分信息管理層的職責(zé)，可以有效避免重要流程受到破壞。重視全員信息安全意識(shí)教育，使每個(gè)員工都具有一定的信息安全意識(shí)。構(gòu)建安全組織和定義安全職責(zé)之間是息息相關(guān)的工作，通過準(zhǔn)確定義組織和職責(zé)能夠確保信息安全所有工作都正常開展，比如：信息安全培訓(xùn)教育，還有人員安全等等。企業(yè)建立的信息安全組織應(yīng)該涉及到多個(gè)層面，主要包括決策以及管理等等。此外，信息安全培訓(xùn)教育必須要將公司所有層面人員都覆蓋，提高企業(yè)人員安全的總體水平，而且從制度以及機(jī)制的角度，人員安全有關(guān)工作必須要為教育培訓(xùn)奠定堅(jiān)實(shí)基礎(chǔ)。

5 結(jié)語

總而言之，在信息時(shí)代，構(gòu)建信息安全體系，除了影響企業(yè)平時(shí)生產(chǎn)運(yùn)作，也關(guān)乎到企業(yè)市場(chǎng)競(jìng)爭(zhēng)。由此不難發(fā)現(xiàn)，構(gòu)建企業(yè)信息安全體系，對(duì)將來企業(yè)發(fā)展有著關(guān)鍵的作用。因此，這就需要企業(yè)在構(gòu)建自身的信息安全體系時(shí)必須要根據(jù)企業(yè)的具體發(fā)展情況，安排專業(yè)人員構(gòu)建，而且需要針對(duì)現(xiàn)有網(wǎng)絡(luò)操控人員進(jìn)行定期的專業(yè)培訓(xùn)，以確保在企業(yè)中可以將信息安全體系的重要作用充分發(fā)揮出來。