談企業信息安全立體防護體系構建
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了談企業信息安全立體防護體系構建范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:近些年來,互聯網有著非常顯著的發展,企業信息化建設和電子政務等領域對互聯網的應用也越來越廣泛,信息系統的安全問題已經不僅影響到企業的發展,而且已經與國家主權和安全問題緊密聯系在一起。建立與優化企業的信息安全立體防護體系,提高企業的信息安全管理水平,不僅有利于企業增強保護信息安全的能力,而且有助于企業發展。本文主要討論了目前企業信息安全的現狀,分析了企業信息安全立體防護體系的構建原則和構建策略。
關鍵詞:企業信息安全;安全立體防護體系;網絡安全
互聯網的發展深深地深深地影響著人們的生活和工作方式,不僅拉近了人與人的距離,還使人與人之間的交流變得更加便捷,人們已經完全離不開網絡的世界。但由于病毒、木馬、蠕蟲等巨大網絡安全問題的出現,不僅嚴重影響了網絡的正常運轉,還阻礙了企業信息現代化的建設和發展,這將導致企業無法依賴信息管理體系,推進現代化發展的進程。目前,大部分企業的信息安全防護體系都不夠完善,企業對于信息安全防護方面的知識嚴重不足,導致了很多問題的出現,企業應該盡快構建一套完善的信息安全防護體系。建立信息安全防護體系,首先要按照其建設的基本原則,充分掌握信息安全防護知識,分析企業內部網絡的特點,然后根據企業的實際需求,相應的增加網絡設備的投入使用,同時采用最新的計算機技術,構建完善的企業信息安全立體防護體系。
1信息安全立體防護體系概述
1.1概念
企業信息安全立體防護體系是保護企業信息安全,保證信息的準確性、完整性、機密性、可控性和可用性的系統。對企業內網所有容易受到外部攻擊和病毒侵入的角落布置完整綜合的防護系統,該系統包括企業信息安全保護的一般步驟、具體階段和工作范圍。
1.2系統運行環境分析
系統的運行離不開環境。隨著信息產業的迅速發展,企業的信息安全防護環境也時刻發生著變化,不同的保護需求對防護環境有著不同的要求。企業信息安全防護系統的運行環境需要滿足三個條件,社會文化環境、行業技術環境和政府政策環境。社會文化環境主要指企業在信息安全問題方面的整體文化素質、行為習慣和道德規范等。行業技術環境指為了完善企業信息安全防護體系,開發的一系列信息安全技術,目的是為了提升各行業信息安全保護能力。政府政策環境是指國家和政府為了提升企業信息安全,所的信息安全保護政策。
2企業信息安全建設現狀分析
2.1企業信息系統安全體系模型
每個企業由于業務的不同,對IT系統的依賴程度也各不相同,因此不同企業在信息安全防護方面也有著不同的需要,因為每個企業提出的信息安全政策和構建信息安全體系的思路也各不一樣,導致每個企業所建設的信息安全體系參差不齊。目前我國企業建設信息安全可以分成四個階段,分別是盲目自信階段、認知階段、完善階段和掌握階段,經過調查分析發現,只有少部分走在前面的企業在信息安全建設方面進入了完善和掌握階段,并開始提升信息安全技術和優化信息安全防護流程。從目前大多數企業信息安全防護體系成熟度模型(如圖1:企業信息安全防護體系成熟度模型)可以發現,大多數的企業信息安全建設還處于初步的了解認知階段,在信息安全建設方面還存在著比較大的進步空間,信息安全防護對企業核心業務的作用也沒有真正發揮出來。
2.2企業信息安全防護的不足之處
企業在信息化建設過程中,一直是把業務系統的建設放在首要位置,但IT業務系統的安全保障是其中最薄弱的環節,尤其在信息化不完善條件下,更是缺乏統一的安全建設策略做指導。(1)組織保障不到位,導致了企業對危機的認識不足,制度和規范的不夠完善,以及缺乏安全策略。(2)企業應用系統沒有和安全架構相結合,同時沒有建立一套完整的安全數據存儲系統。(3)從信息安全建設方面來看,企業建立的安全防護體系更多的是“頭痛醫頭、腳痛醫腳”,沒有一套完整全面解決問題的安全保障體系。大多數企業目前還停留在出現問題后再去解決的階段,對信息安全缺乏全面考慮和統一規劃,導致網絡設備五花八門,各設備之間缺乏聯系,不夠協調,從而造成了各種問題的出現。用戶認證系統不夠完善,應用系統安全保護不足,信息系統安全監控和審計手段的缺乏,系統配置存在安全隱患,缺少網絡安全技術知識,這些問題充分說明了企業缺乏整體的安全保障體系。主要表現在:各系統各自為戰,只注重和解決局部問題,忽略了綜合防治,相互之間缺乏關聯,無法實現方案之間的安全聯動,缺乏完整統一的安全管理,導致無法全面地了解整個網絡的安全運行狀況。
3構建信息防護體系的原則
(1)協調規劃和設計。建立信息安全防護體系要堅持“統一規劃、統一標準、統一設計、統一建設”的原則,還要注重與應用系統建設相結合。(2)先進架構,有明確的保護重點。應該采取先進的體系結構,并根據技術發展趨勢選擇成熟的主流產品,找出信息安全建設的重點,并將首要目標放在保證基本網絡安全和關鍵應用系統的安全問題上面,針對不同的網絡安全問題制定相應的方案。(3)技術和管理同步進行,并注重系統保護的協調性。“三分技術,七分管理”,結合各個環節劃分管理界面,做好系統設計、建設與運行等環節的綜合防范。(4)統一安全管理,按照相關法律法規統一進行安全管理。建立統一管理的信息安全防護平臺,對企業的信息安全管理進行分析,并出具相關報告,為企業制定信息安全戰略提供參考。(5)高可靠和擴展性建設原則。這是所有網絡安全建設的必經之路,是企業持續發展和穩定發展的需要。
4企業信息安全立體防護體系的構建
4.1企業層面
(1)提升系統整體性。當企業資源有限時,為了更有效地保障企業的信息安全,必須從全局出發,加強信息安全保護的整體布局,對原有產品進行升級改造,全面規劃,合理布局,追求整體投入產出效益。(2)明確系統層級性。企業的管理層對信息安全防護工作的效率有著重大的影響,企業信息安全保護分為技術層面保護、策略層面保護和制度層保護,三者相互作用,相互制約。為了有效地保護企業信息安全,必須處理好和協調好各系統間的相互關系,利用技術的支持,同時重視管理,加強工作協調,才能讓系統發揮其最大作用。(3)降低系統交互性。企業的信息安全保護體系中,各個環節存在著強烈的交互作用,使得系統的運行更加復雜。因此需要建立一套完善的內部規章制度,加強技術并規范操作,準確識別風險源,確保信息安全策略的正確理解和有效實施,避免周期性風險的交叉影響,減小防范難度。(4)關注系統動態。由于信息技術的發展,人們對信息安全保護有著更高的要求,關于企業信息安全保障,要正確理解企業信息安全問題,就必須從時間維度上對其定性,準確定位系統的工作階段,明確定位信息安全風險的時間界限,注重各個階段的連續性,運用適當的工具和方法識別風險,找出風險可能造成的危害,采取正確的防范措施,讓企業信息安全防護更加有效。
4.2政府層面
企業的信息安全保護是一個完整的體系,也是一個需要不斷變化和更新的體系。提高企業信息安全保護意識,離不開良好的社會文化氛圍,企業信息安全防護的能力離不開互聯網技術的發展,應制定強有力的措施和政策,才能有效地保障企業信息安全。因此,借助政府有力的政策和措施,重視和提升企業管理,方能有效地維護企業穩定和實現可持續發展。(1)加強信息安全保障體系文化。國家在加強信息安全保障方面需要加大宣傳力度,以促進企業重視信息安全防護,同時提高社會民眾對信息安全的認知。另一方面,應不斷地制定和完善相關的法律法規,同時需要注意對廣大企業和社會民眾對于信息安全知識和法規的教育,以增強社會整體的信息安全意識。(2)重視信息安全及其他相關問題。完善整合現有信息安全法律法規和標準是目前政府急需要進行的工作,為了確保相關法律法規和標準的貫徹落實,需要政府制定多元化管理模式,有效保障企業和社會的信息安全。(3)加大信息安全產業投資力度。加大人才培養力度,聯合互聯網安全企業制定和研發適用于中國國情的信息安全產品,為企業和社會提供信息安全保障。
5結語
網絡技術不斷發展,網絡信息安全的威脅也越來越嚴重,建立安全防護系統,是保障企業信息安全的有效手段。建立信息安全防護體系是一項長期且艱巨的系統工程,需要企業努力提升信息安全防護意識和相關技術能力,不斷地完善和更新自身的防護體系和手段,提升信息安全防護能力,為企業的持續經營和發展提供保障。
參考文獻:
[1]閆勵,陳曉蘇.大型企業網絡系統安全策略[J].計算機安全,2003,000(030):77-79.
[2]彭佩,張婕,李紅梅.企業信息安全立體防護體系構建及運行[J].現代電子技術,2014(12):42-45.
[3]王群.基于安全域的信息安全防護體系研究[J].信息網絡安全,2015(09):206-210.
[4]鐘博.內網安全更要求立體防護體系[J].信息安全與通信保密,2008(12):26-27.
[5]趙曉.企業信息安全防護體系建設[J].科技創新導報,2010,000(034):255-255.
[6]江龍才.電網企業信息安全防護體系研究與應用[C]/電力安全論壇.2008.
[7]江龍才.電網企業信息安全防護體系研究與應用[C]/中國電機工程學會青年學術會議.2008.
[8]薛擁華,湯毅,龔軍,等.信息安全防護體系的分析及構建[J].信息與電腦,2016,000(005):199-200.
作者:葛紅 單位:國家計算機網絡與信息安全管理中心甘肅分中心