按部就班構(gòu)建企業(yè)信息安全體系

來源：泛普軟件

網(wǎng)絡(luò)構(gòu)建的信息化高速公路，為全球信息的交換與獲取提供了最便捷的手段，但也使企業(yè)信息安全受到嚴(yán)重威脅。據(jù)資料顯示，2010年全球由于信息安全漏洞造成的損失達(dá)150億美元。企業(yè)的信息安全與否，已經(jīng)成為決定企業(yè)能否正常運行的重要因素。

為了保障企業(yè)的信息安全，必須建立一個企業(yè)信息安全體系。信息安全體系包含信息安全策略、信息安全組織、信息安全技術(shù)和信息安全建設(shè)與運行四部分內(nèi)容（如圖1所示），四者既有機結(jié)合、又相互支撐。企業(yè)的信息安全體系運作就是企業(yè)根據(jù)安全策略，由安全組織（或人員）以安全技術(shù)作為工具和手段進(jìn)行操作，來維持企業(yè)網(wǎng)絡(luò)的安全運行，從而使網(wǎng)絡(luò)安全可靠。

安全體系的普遍問題

當(dāng)前大多數(shù)企業(yè)的信息安全體系普遍存在以下四方面的問題：

信息安全策略方面：許多企業(yè)沒有統(tǒng)一的安全運行體系；公司的安全策略沒有正式的審批和發(fā)布過程，沒有公司的行政力度進(jìn)行保障，使得安全策略在企業(yè)內(nèi)的執(zhí)行缺乏保障；缺乏規(guī)范的機制定期對信息安全策略、標(biāo)準(zhǔn)制度進(jìn)行評審和修訂。

信息安全組織方面：缺乏完整、有效、責(zé)權(quán)統(tǒng)一的專門的信息安全組織，只是配有少量的兼職安全人員。信息安全工作沒有明確的責(zé)任歸屬，工作的開展與落實有困難；缺少信息安全專業(yè)人員，缺乏相應(yīng)的安全知識和技能，安全培訓(xùn)不足；缺乏對于全員的信息安全意識教育，桌面系統(tǒng)用戶的安全意識薄弱。

信息安全技術(shù)方面：用戶認(rèn)證強度不夠；應(yīng)用系統(tǒng)安全功能與強度不足；缺乏有效的信息系統(tǒng)安全監(jiān)控與審計手段；系統(tǒng)配置存在安全隱患；網(wǎng)絡(luò)安全域劃分不夠清晰，網(wǎng)絡(luò)安全技術(shù)的采用缺乏一致性。

信息安全建設(shè)與運行方面：沒有建立起完善的IT項目建設(shè)過程的安全管理機制，應(yīng)用系統(tǒng)的開發(fā)沒有同步考慮信息安全的要求，存在信息安全方面的缺陷；日常的安全運維工作常處于被動防御狀態(tài)；缺乏明確的檢查和處罰機制，多數(shù)企業(yè)在運維管理方面缺乏統(tǒng)一的安全要求和檢查；缺乏應(yīng)急響應(yīng)機制；對已有安全設(shè)施的維護(hù)、升級和管理不到位。

面對以上種種問題，企業(yè)必須認(rèn)真考慮下列問題: 企業(yè)如何建立信息安全策略體系？企業(yè)信息安全組織如何建立？企業(yè)信息安全技術(shù)是否有效可靠？企業(yè)信息安全建設(shè)與運行是否有完整的制度保障？要解決這些問題，企業(yè)應(yīng)充分利用成熟的信息安全理論成果，設(shè)計出兼顧整體性、具有可操作性，并且融策略、組織、運行和技術(shù)為一體的信息安全保障體系，保障企業(yè)信息系統(tǒng)的安全。

信息安全策略體系

信息安全策略體系規(guī)劃為三層架構(gòu)，包括信息安全策略、信息安全標(biāo)準(zhǔn)及規(guī)范、信息安全操作流程和細(xì)則（如圖2所示），涉及的要素包括信息管理和技術(shù)兩個方面，覆蓋信息系統(tǒng)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層四個層面。

技術(shù)安全體系

在IAARC信息系統(tǒng)安全技術(shù)模型中，包含了身份認(rèn)證、內(nèi)容安全、訪問控制、響應(yīng)恢復(fù)和審核跟蹤五個部分，當(dāng)前主要的信息安全技術(shù)或產(chǎn)品都可以歸結(jié)到上述五類安全技術(shù)要素（如圖3所示）。

充分利用信息安全的技術(shù)手段(包括身份認(rèn)證、訪問管理、內(nèi)容安全、審核跟蹤和響應(yīng)恢復(fù)等五種保護(hù)措施)，同時，結(jié)合信息安全所保護(hù)的對象層次，以及目前主流的信息安全產(chǎn)品和信息安全技術(shù)，完善企業(yè)信息安全技術(shù)體系框架。

整個企業(yè)信息安全技術(shù)體系的總體框架如圖4所示：

● 物理層安全

主要包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等。

● 網(wǎng)絡(luò)層安全

要建立注重安全域劃分和安全架構(gòu)的設(shè)計?？梢愿鶕?jù)信任程度、受威脅的級別、需要保護(hù)的級別和安全需求，將網(wǎng)絡(luò)從總體上分成四個安全域，即公共區(qū)、半安全區(qū)、普通安全區(qū)和核心安全區(qū)。針對不同的安全區(qū)域采用不同的安全防范手段。

安全邊界的防護(hù)。邊界是不同網(wǎng)絡(luò)安全區(qū)域之間的分界線，是不同網(wǎng)絡(luò)安全區(qū)域間數(shù)據(jù)流動的必經(jīng)之路。安全區(qū)域的邊界防護(hù)是根據(jù)不同安全區(qū)域的安全需要，采取相應(yīng)的安全技術(shù)防護(hù)手段，制定合理的安全訪問控制策略，控制低安全區(qū)域的數(shù)據(jù)向高安全區(qū)域流動。

針對VPN的接入安全控制。用戶遠(yuǎn)程VPN接入主要用于員工出差時訪問內(nèi)部網(wǎng)絡(luò)的需求和各企業(yè)小規(guī)模分支機構(gòu)訪問內(nèi)部網(wǎng)的需求。VPN（虛擬專用網(wǎng)）是為通過一個公用網(wǎng)絡(luò)（通常是互聯(lián)網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

網(wǎng)絡(luò)準(zhǔn)入控制。網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是通過對網(wǎng)絡(luò)用戶合法身份的驗證以及對網(wǎng)絡(luò)終端計算機安全狀態(tài)的檢測和評估，決定是否允許這臺網(wǎng)絡(luò)終端計算機接入企業(yè)網(wǎng)絡(luò)中。若不符合制定的準(zhǔn)入策略，將其放入隔離區(qū)以修復(fù)，或僅允許其有限地訪問資源。降低非法用戶隨意接入企業(yè)網(wǎng)和不安全的計算機終端接入企業(yè)網(wǎng)對網(wǎng)絡(luò)安全帶來的潛在威脅。

做好網(wǎng)絡(luò)設(shè)備登錄認(rèn)證。建立集中的網(wǎng)絡(luò)設(shè)備登錄認(rèn)證系統(tǒng)，用于對網(wǎng)絡(luò)設(shè)備維護(hù)用戶的集中管理，認(rèn)證用戶的身份，決定其是否可以登錄到網(wǎng)絡(luò)設(shè)備;通過定義不同級別的用戶，授權(quán)他們能執(zhí)行的不同操作，記錄并審計用戶的登錄和操作。

● 系統(tǒng)層安全

做好系統(tǒng)主機的入侵檢測，針對系統(tǒng)主機的網(wǎng)絡(luò)訪問進(jìn)行監(jiān)測，及時發(fā)現(xiàn)外來入侵和系統(tǒng)級用戶的非法操作行為；要做好系統(tǒng)主機的訪問控制，系統(tǒng)主機訪問控制提供給系統(tǒng)安全管理員最有效的方法，從用戶登錄安全、訪問控制安全、系統(tǒng)日志安全等方面加入安全機制;要做好系統(tǒng)主機的安全加固，定期對服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進(jìn)行安全配置和加固，在不影響業(yè)務(wù)處理能力的前提下對系統(tǒng)的配置進(jìn)行安全優(yōu)化，以提高系統(tǒng)自身的抗攻擊性，消除安全漏洞，降低安全風(fēng)險；做好主機的安全審計工作，提供全面的安全審計日志和數(shù)據(jù)，提升主機審計保護(hù)能力，對審計數(shù)據(jù)的訪問進(jìn)行嚴(yán)格控制，加強對審計數(shù)據(jù)的完整性保護(hù)。

● 應(yīng)用層安全

隨著各種各樣的系統(tǒng)應(yīng)用不斷深化和普及，一些應(yīng)用系統(tǒng)安全問題不斷凸現(xiàn)出來。為了最大限度及時規(guī)避因應(yīng)用安全問題帶來的威脅，應(yīng)著力抓好六個方面的工作：建立應(yīng)用安全基礎(chǔ)設(shè)施；健全應(yīng)用安全相關(guān)規(guī)范；改進(jìn)應(yīng)用開發(fā)過程；組織關(guān)鍵應(yīng)用安全性測試；加強應(yīng)用安全相關(guān)人員管理；制定應(yīng)用安全文檔及應(yīng)急預(yù)案。

● 終端層安全

加強終端電腦的安全管理。終端安全指對接入企業(yè)網(wǎng)絡(luò)的終端設(shè)備（主要是臺式計算機、筆記本電腦和其他移動設(shè)備等）進(jìn)行的安全管理。內(nèi)容包括終端安全策略、防病毒、防入侵、防火墻、軟硬件資產(chǎn)管理、終端補丁管理、終端配置管理、終端準(zhǔn)入控制以及法規(guī)遵從等內(nèi)容。

● 備份與恢復(fù)

備份與恢復(fù)是基于安全事件發(fā)生后保證災(zāi)難所造成的損失在一個可以接受的范圍內(nèi)、并使災(zāi)難得到有效恢復(fù)的安全機制，包括數(shù)據(jù)級、應(yīng)用級和業(yè)務(wù)級三個層次。參照國際標(biāo)準(zhǔn)Share78中定義的容災(zāi)系統(tǒng)層次劃分，對不同等級的信息系統(tǒng)建立不同的備份與恢復(fù)機制。主要工作包括：開發(fā)容災(zāi)計劃，通過對不同等級的信息系統(tǒng)容災(zāi)需求分析，確定容災(zāi)等級、RTORPO等容災(zāi)指標(biāo)、備份策略、恢復(fù)性測試要求等，設(shè)計容災(zāi)方案；備份與恢復(fù)基礎(chǔ)設(shè)施的建設(shè)，包括建立異地災(zāi)難恢復(fù)系統(tǒng)和重要數(shù)據(jù)的本地備份設(shè)施。

信息安全組織

信息安全組織的角色與職責(zé)要界定清晰。信息管理層進(jìn)行適當(dāng)?shù)穆氊?zé)劃分，能合理阻止關(guān)鍵流程的破壞。同時應(yīng)加強全員的信息安全意識教育，提高員工整體信息安全意識。建立安全組織與定義安全職責(zé)是密不可分的兩項工作，組織與職責(zé)的清晰定義可以有效地促進(jìn)信息安全各項工作的進(jìn)行，包括信息安全教育與培訓(xùn)以及人員安全。企業(yè)要建立的信息安全組織要包含決策、管理、執(zhí)行與監(jiān)管四個層面。

信息安全教育與培訓(xùn)要覆蓋公司各個層面的人員，提升整個企業(yè)人員安全的水平，同時人員安全的相關(guān)工作在制度和機制方面為教育與培訓(xùn)提供有效保障。

信息安全建設(shè)與運行體系

建立安全評估機制。應(yīng)形成系統(tǒng)化的信息安全風(fēng)險評估規(guī)范和制度，定期對重要信息系統(tǒng)的安全進(jìn)行評估。建立有效的應(yīng)急響應(yīng)機制。應(yīng)急響應(yīng)是針對可能發(fā)生的破壞性事件而設(shè)計的必要的管理和恢復(fù)機制，將安全事件帶來的損失降到最低。應(yīng)成立應(yīng)急響應(yīng)協(xié)調(diào)中心和應(yīng)急響應(yīng)小組，對不同的安全事故分級建立對應(yīng)不同的響應(yīng)流程。加強項目建設(shè)信息安全管理，建立IT項目建設(shè)過程的安全管理機制，對信息系統(tǒng)的全生命周期進(jìn)行安全管理，在項目的申報、審批、立項、實施、驗收等關(guān)鍵環(huán)節(jié)中，都有相應(yīng)的信息安全規(guī)定或制度來進(jìn)行約束，完成各個環(huán)節(jié)的信息安全管理行為。建立信息系統(tǒng)運維安全管理制度。重點加強安全監(jiān)控和響應(yīng)機制、安全日志審計與分析機制、安全預(yù)警機制三方面的建設(shè)工作。

圖1 企業(yè)信息安全體系框架

圖2 企業(yè)信息安全策略體系框架

圖3 IAARC信息系統(tǒng)安全技術(shù)模型

圖4 企業(yè)信息安全技術(shù)體系框架

發(fā)布：2007-04-29 10:20 編輯：泛普軟件 · xiaona [打印此頁] [關(guān)閉]

相關(guān)欄目：