公務員期刊網(wǎng) 論文中心 正文

談企業(yè)信息安全立體防護體系構建

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了談企業(yè)信息安全立體防護體系構建范文,希望能給你帶來靈感和參考,敬請閱讀。

談企業(yè)信息安全立體防護體系構建

摘要:近些年來,互聯(lián)網(wǎng)有著非常顯著的發(fā)展,企業(yè)信息化建設和電子政務等領域對互聯(lián)網(wǎng)的應用也越來越廣泛,信息系統(tǒng)的安全問題已經(jīng)不僅影響到企業(yè)的發(fā)展,而且已經(jīng)與國家主權和安全問題緊密聯(lián)系在一起。建立與優(yōu)化企業(yè)的信息安全立體防護體系,提高企業(yè)的信息安全管理水平,不僅有利于企業(yè)增強保護信息安全的能力,而且有助于企業(yè)發(fā)展。本文主要討論了目前企業(yè)信息安全的現(xiàn)狀,分析了企業(yè)信息安全立體防護體系的構建原則和構建策略。

關鍵詞:企業(yè)信息安全;安全立體防護體系;網(wǎng)絡安全

互聯(lián)網(wǎng)的發(fā)展深深地深深地影響著人們的生活和工作方式,不僅拉近了人與人的距離,還使人與人之間的交流變得更加便捷,人們已經(jīng)完全離不開網(wǎng)絡的世界。但由于病毒、木馬、蠕蟲等巨大網(wǎng)絡安全問題的出現(xiàn),不僅嚴重影響了網(wǎng)絡的正常運轉,還阻礙了企業(yè)信息現(xiàn)代化的建設和發(fā)展,這將導致企業(yè)無法依賴信息管理體系,推進現(xiàn)代化發(fā)展的進程。目前,大部分企業(yè)的信息安全防護體系都不夠完善,企業(yè)對于信息安全防護方面的知識嚴重不足,導致了很多問題的出現(xiàn),企業(yè)應該盡快構建一套完善的信息安全防護體系。建立信息安全防護體系,首先要按照其建設的基本原則,充分掌握信息安全防護知識,分析企業(yè)內部網(wǎng)絡的特點,然后根據(jù)企業(yè)的實際需求,相應的增加網(wǎng)絡設備的投入使用,同時采用最新的計算機技術,構建完善的企業(yè)信息安全立體防護體系。

1信息安全立體防護體系概述

1.1概念

企業(yè)信息安全立體防護體系是保護企業(yè)信息安全,保證信息的準確性、完整性、機密性、可控性和可用性的系統(tǒng)。對企業(yè)內網(wǎng)所有容易受到外部攻擊和病毒侵入的角落布置完整綜合的防護系統(tǒng),該系統(tǒng)包括企業(yè)信息安全保護的一般步驟、具體階段和工作范圍。

1.2系統(tǒng)運行環(huán)境分析

系統(tǒng)的運行離不開環(huán)境。隨著信息產業(yè)的迅速發(fā)展,企業(yè)的信息安全防護環(huán)境也時刻發(fā)生著變化,不同的保護需求對防護環(huán)境有著不同的要求。企業(yè)信息安全防護系統(tǒng)的運行環(huán)境需要滿足三個條件,社會文化環(huán)境、行業(yè)技術環(huán)境和政府政策環(huán)境。社會文化環(huán)境主要指企業(yè)在信息安全問題方面的整體文化素質、行為習慣和道德規(guī)范等。行業(yè)技術環(huán)境指為了完善企業(yè)信息安全防護體系,開發(fā)的一系列信息安全技術,目的是為了提升各行業(yè)信息安全保護能力。政府政策環(huán)境是指國家和政府為了提升企業(yè)信息安全,所的信息安全保護政策。

2企業(yè)信息安全建設現(xiàn)狀分析

2.1企業(yè)信息系統(tǒng)安全體系模型

每個企業(yè)由于業(yè)務的不同,對IT系統(tǒng)的依賴程度也各不相同,因此不同企業(yè)在信息安全防護方面也有著不同的需要,因為每個企業(yè)提出的信息安全政策和構建信息安全體系的思路也各不一樣,導致每個企業(yè)所建設的信息安全體系參差不齊。目前我國企業(yè)建設信息安全可以分成四個階段,分別是盲目自信階段、認知階段、完善階段和掌握階段,經(jīng)過調查分析發(fā)現(xiàn),只有少部分走在前面的企業(yè)在信息安全建設方面進入了完善和掌握階段,并開始提升信息安全技術和優(yōu)化信息安全防護流程。從目前大多數(shù)企業(yè)信息安全防護體系成熟度模型(如圖1:企業(yè)信息安全防護體系成熟度模型)可以發(fā)現(xiàn),大多數(shù)的企業(yè)信息安全建設還處于初步的了解認知階段,在信息安全建設方面還存在著比較大的進步空間,信息安全防護對企業(yè)核心業(yè)務的作用也沒有真正發(fā)揮出來。

2.2企業(yè)信息安全防護的不足之處

企業(yè)在信息化建設過程中,一直是把業(yè)務系統(tǒng)的建設放在首要位置,但IT業(yè)務系統(tǒng)的安全保障是其中最薄弱的環(huán)節(jié),尤其在信息化不完善條件下,更是缺乏統(tǒng)一的安全建設策略做指導。(1)組織保障不到位,導致了企業(yè)對危機的認識不足,制度和規(guī)范的不夠完善,以及缺乏安全策略。(2)企業(yè)應用系統(tǒng)沒有和安全架構相結合,同時沒有建立一套完整的安全數(shù)據(jù)存儲系統(tǒng)。(3)從信息安全建設方面來看,企業(yè)建立的安全防護體系更多的是“頭痛醫(yī)頭、腳痛醫(yī)腳”,沒有一套完整全面解決問題的安全保障體系。大多數(shù)企業(yè)目前還停留在出現(xiàn)問題后再去解決的階段,對信息安全缺乏全面考慮和統(tǒng)一規(guī)劃,導致網(wǎng)絡設備五花八門,各設備之間缺乏聯(lián)系,不夠協(xié)調,從而造成了各種問題的出現(xiàn)。用戶認證系統(tǒng)不夠完善,應用系統(tǒng)安全保護不足,信息系統(tǒng)安全監(jiān)控和審計手段的缺乏,系統(tǒng)配置存在安全隱患,缺少網(wǎng)絡安全技術知識,這些問題充分說明了企業(yè)缺乏整體的安全保障體系。主要表現(xiàn)在:各系統(tǒng)各自為戰(zhàn),只注重和解決局部問題,忽略了綜合防治,相互之間缺乏關聯(lián),無法實現(xiàn)方案之間的安全聯(lián)動,缺乏完整統(tǒng)一的安全管理,導致無法全面地了解整個網(wǎng)絡的安全運行狀況。

3構建信息防護體系的原則

(1)協(xié)調規(guī)劃和設計。建立信息安全防護體系要堅持“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一設計、統(tǒng)一建設”的原則,還要注重與應用系統(tǒng)建設相結合。(2)先進架構,有明確的保護重點。應該采取先進的體系結構,并根據(jù)技術發(fā)展趨勢選擇成熟的主流產品,找出信息安全建設的重點,并將首要目標放在保證基本網(wǎng)絡安全和關鍵應用系統(tǒng)的安全問題上面,針對不同的網(wǎng)絡安全問題制定相應的方案。(3)技術和管理同步進行,并注重系統(tǒng)保護的協(xié)調性?!叭旨夹g,七分管理”,結合各個環(huán)節(jié)劃分管理界面,做好系統(tǒng)設計、建設與運行等環(huán)節(jié)的綜合防范。(4)統(tǒng)一安全管理,按照相關法律法規(guī)統(tǒng)一進行安全管理。建立統(tǒng)一管理的信息安全防護平臺,對企業(yè)的信息安全管理進行分析,并出具相關報告,為企業(yè)制定信息安全戰(zhàn)略提供參考。(5)高可靠和擴展性建設原則。這是所有網(wǎng)絡安全建設的必經(jīng)之路,是企業(yè)持續(xù)發(fā)展和穩(wěn)定發(fā)展的需要。

4企業(yè)信息安全立體防護體系的構建

4.1企業(yè)層面

(1)提升系統(tǒng)整體性。當企業(yè)資源有限時,為了更有效地保障企業(yè)的信息安全,必須從全局出發(fā),加強信息安全保護的整體布局,對原有產品進行升級改造,全面規(guī)劃,合理布局,追求整體投入產出效益。(2)明確系統(tǒng)層級性。企業(yè)的管理層對信息安全防護工作的效率有著重大的影響,企業(yè)信息安全保護分為技術層面保護、策略層面保護和制度層保護,三者相互作用,相互制約。為了有效地保護企業(yè)信息安全,必須處理好和協(xié)調好各系統(tǒng)間的相互關系,利用技術的支持,同時重視管理,加強工作協(xié)調,才能讓系統(tǒng)發(fā)揮其最大作用。(3)降低系統(tǒng)交互性。企業(yè)的信息安全保護體系中,各個環(huán)節(jié)存在著強烈的交互作用,使得系統(tǒng)的運行更加復雜。因此需要建立一套完善的內部規(guī)章制度,加強技術并規(guī)范操作,準確識別風險源,確保信息安全策略的正確理解和有效實施,避免周期性風險的交叉影響,減小防范難度。(4)關注系統(tǒng)動態(tài)。由于信息技術的發(fā)展,人們對信息安全保護有著更高的要求,關于企業(yè)信息安全保障,要正確理解企業(yè)信息安全問題,就必須從時間維度上對其定性,準確定位系統(tǒng)的工作階段,明確定位信息安全風險的時間界限,注重各個階段的連續(xù)性,運用適當?shù)墓ぞ吆头椒ㄗR別風險,找出風險可能造成的危害,采取正確的防范措施,讓企業(yè)信息安全防護更加有效。

4.2政府層面

企業(yè)的信息安全保護是一個完整的體系,也是一個需要不斷變化和更新的體系。提高企業(yè)信息安全保護意識,離不開良好的社會文化氛圍,企業(yè)信息安全防護的能力離不開互聯(lián)網(wǎng)技術的發(fā)展,應制定強有力的措施和政策,才能有效地保障企業(yè)信息安全。因此,借助政府有力的政策和措施,重視和提升企業(yè)管理,方能有效地維護企業(yè)穩(wěn)定和實現(xiàn)可持續(xù)發(fā)展。(1)加強信息安全保障體系文化。國家在加強信息安全保障方面需要加大宣傳力度,以促進企業(yè)重視信息安全防護,同時提高社會民眾對信息安全的認知。另一方面,應不斷地制定和完善相關的法律法規(guī),同時需要注意對廣大企業(yè)和社會民眾對于信息安全知識和法規(guī)的教育,以增強社會整體的信息安全意識。(2)重視信息安全及其他相關問題。完善整合現(xiàn)有信息安全法律法規(guī)和標準是目前政府急需要進行的工作,為了確保相關法律法規(guī)和標準的貫徹落實,需要政府制定多元化管理模式,有效保障企業(yè)和社會的信息安全。(3)加大信息安全產業(yè)投資力度。加大人才培養(yǎng)力度,聯(lián)合互聯(lián)網(wǎng)安全企業(yè)制定和研發(fā)適用于中國國情的信息安全產品,為企業(yè)和社會提供信息安全保障。

5結語

網(wǎng)絡技術不斷發(fā)展,網(wǎng)絡信息安全的威脅也越來越嚴重,建立安全防護系統(tǒng),是保障企業(yè)信息安全的有效手段。建立信息安全防護體系是一項長期且艱巨的系統(tǒng)工程,需要企業(yè)努力提升信息安全防護意識和相關技術能力,不斷地完善和更新自身的防護體系和手段,提升信息安全防護能力,為企業(yè)的持續(xù)經(jīng)營和發(fā)展提供保障。

參考文獻:

[1]閆勵,陳曉蘇.大型企業(yè)網(wǎng)絡系統(tǒng)安全策略[J].計算機安全,2003,000(030):77-79.

[2]彭佩,張婕,李紅梅.企業(yè)信息安全立體防護體系構建及運行[J].現(xiàn)代電子技術,2014(12):42-45.

[3]王群.基于安全域的信息安全防護體系研究[J].信息網(wǎng)絡安全,2015(09):206-210.

[4]鐘博.內網(wǎng)安全更要求立體防護體系[J].信息安全與通信保密,2008(12):26-27.

[5]趙曉.企業(yè)信息安全防護體系建設[J].科技創(chuàng)新導報,2010,000(034):255-255.

[6]江龍才.電網(wǎng)企業(yè)信息安全防護體系研究與應用[C]/電力安全論壇.2008.

[7]江龍才.電網(wǎng)企業(yè)信息安全防護體系研究與應用[C]/中國電機工程學會青年學術會議.2008.

[8]薛擁華,湯毅,龔軍,等.信息安全防護體系的分析及構建[J].信息與電腦,2016,000(005):199-200.

作者:葛紅 單位:國家計算機網(wǎng)絡與信息安全管理中心甘肅分中心