浅谈企业信息安全控制及建设

企业信息安全的建设在现今状态下，应注意从如下几个方向进行设计分析。

一、引入标准化安全评估

安全评估是对企事业单位的网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的接口、业务系统的配置、防火墙的策略配置等进行全面的安全分析，并提出安全风险分析报告和改进建议书。通过对信息系统的安全评估，企事业单位可以了解门前信息系统的安全状况以及系统中存在的各种安全风险，并以此为依据有针对性地制定安全解决方案，对整个业务系统的安全进行统一的规划和建设，并根据安全评估的结果指导下一步的建设。

安全评估中可以参考的主要信息安全标准为ISO13335。该标准提出了以风险为核心的安全模型：企事业单位的资产面临很多威胁(包括来自内部的威胁和来自外部的威胁)；威胁利用信息系统存在的各种漏洞(如：物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等)，对信息系统进行渗透和攻击。如果渗透和攻击成功，将导致企事业单位资产的暴露；资产的暴露(如系统高级管理人员由于不小心而导致重要机密信息的泄露)，会对资产的价值产生影响；风险就是威胁利用漏洞使资产暴露而产生的影响的大小，这可以为资产的重要性和价值所决定；对企事业单位信息系统安全风险的分析就得出了系统的防护需求；根据防护需求的不同制定系统的安全解决方案，选择适当的防护措施，进而降低安全风险，并抗击威胁。该安全模型阐述了安全评估的思路，对企事业单位的安全评估工作具有指导意义。

二、引入信息安全策略标准

信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全，不但靠先进的技术，而且也得靠严格的安全管理，法律约束和安全教育：

先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估，决定其所需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术，形成一个全方位的安全系统；

严格的安全管理。各计算机网络使用机构，企业和单位应建立相应的网络安全管理办法，加强内部管理，建立合适的网络安全管理系统，加强用户管理和授权管理，建立安全审计和跟踪体系，提高整体网络安全意识；

制订严格的法律、法规。计算机网络是一种新生事物，它的许多行为无法可依，无章可循，导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪，必须建立与网络安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。

安全操作系统。给系统中的关键服务器提供安全运行平台，构成安全WWW服务，安全FTP服务，安全SMTP服务等，并作为各类网络安全产品的坚实底座，确保这些安全产品的自身安全。
 

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友