如何構建企業信息安全體系

網絡構建的信息化高速公路，為全球信息的交換與獲取提供了最便捷的手段，但也使企業信息安全受到嚴重威脅。據資料顯示，2010年全球由于信息安全漏洞造成的損失達150億美元。企業的信息安全與否，已經成為決定企業能否正常運行的重要因素。

為了保障企業的信息安全，必須建立一個企業信息安全體系。信息安全體系包含信息安全策略、信息安全組織、信息安全技術和信息安全建設與運行四部分內容（如圖1所示），四者既有機結合、又相互支撐。企業的信息安全體系運作就是企業根據安全策略，由安全組織（或人員）以安全技術作為工具和手段進行操作，來維持企業網絡的安全運行，從而使網絡安全可靠。

安全體系的普遍問題

當前大多數企業的信息安全體系普遍存在以下四方面的問題：

信息安全策略方面：許多企業沒有統一的安全運行體系；公司的安全策略沒有正式的審批和發布過程，沒有公司的行政力度進行保障，使得安全策略在企業內的執行缺乏保障；缺乏規范的機制定期對信息安全策略、標準制度進行評審和修訂。

信息安全組織方面：缺乏完整、有效、責權統一的專門的信息安全組織，只是配有少量的兼職安全人員。信息安全工作沒有明確的責任歸屬，工作的開展與落實有困難；缺少信息安全專業人員，缺乏相應的安全知識和技能，安全培訓不足；缺乏對于全員的信息安全意識教育，桌面系統用戶的安全意識薄弱。

信息安全技術方面：用戶認證強度不夠；應用系統安全功能與強度不足；缺乏有效的信息系統安全監控與審計手段；系統配置存在安全隱患；網絡安全域劃分不夠清晰，網絡安全技術的采用缺乏一致性。

信息安全建設與運行方面：沒有建立起完善的IT項目建設過程的安全管理機制，應用系統的開發沒有同步考慮信息安全的要求，存在信息安全方面的缺陷；日常的安全運維工作常處于被動防御狀態；缺乏明確的檢查和處罰機制，多數企業在運維管理方面缺乏統一的安全要求和檢查；缺乏應急響應機制；對已有安全設施的維護、升級和管理不到位。

面對以上種種問題，企業必須認真考慮下列問題: 企業如何建立信息安全策略體系？企業信息安全組織如何建立？企業信息安全技術是否有效可靠？企業信息安全建設與運行是否有完整的制度保障？要解決這些問題，企業應充分利用成熟的信息安全理論成果，設計出兼顧整體性、具有可操作性，并且融策略、組織、運行和技術為一體的信息安全保障體系，保障企業信息系統的安全。

信息安全策略體系

信息安全策略體系規劃為三層架構，包括信息安全策略、信息安全標準及規范、信息安全操作流程和細則（如圖2所示），涉及的要素包括信息管理和技術兩個方面，覆蓋信息系統的物理層、網絡層、系統層、應用層四個層面。

技術安全體系

在IAARC信息系統安全技術模型中，包含了身份認證、內容安全、訪問控制、響應恢復和審核跟蹤五個部分，當前主要的信息安全技術或產品都可以歸結到上述五類安全技術要素（如圖3所示）。

充分利用信息安全的技術手段(包括身份認證、訪問管理、內容安全、審核跟蹤和響應恢復等五種保護措施)，同時，結合信息安全所保護的對象層次，以及目前主流的信息安全產品和信息安全技術，完善企業信息安全技術體系框架。

整個企業信息安全技術體系的總體框架如圖4所示：

● 物理層安全

主要包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等。

● 網絡層安全

要建立注重安全域劃分和安全架構的設計。可以根據信任程度、受威脅的級別、需要保護的級別和安全需求，將網絡從總體上分成四個安全域，即公共區、半安全區、普通安全區和核心安全區。針對不同的安全區域采用不同的安全防范手段。

安全邊界的防護。邊界是不同網絡安全區域之間的分界線，是不同網絡安全區域間數據流動的必經之路。安全區域的邊界防護是根據不同安全區域的安全需要，采取相應的安全技術防護手段，制定合理的安全訪問控制策略，控制低安全區域的數據向高安全區域流動。

針對VPN的接入安全控制。用戶遠程VPN接入主要用于員工出差時訪問內部網絡的需求和各企業小規模分支機構訪問內部網的需求。VPN（虛擬專用網）是為通過一個公用網絡（通常是互聯網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。

網絡準入控制。網絡準入控制系統是通過對網絡用戶合法身份的驗證以及對網絡終端計算機安全狀態的檢測和評估，決定是否允許這臺網絡終端計算機接入企業網絡中。若不符合制定的準入策略，將其放入隔離區以修復，或僅允許其有限地訪問資源。降低非法用戶隨意接入企業網和不安全的計算機終端接入企業網對網絡安全帶來的潛在威脅。

做好網絡設備登錄認證。建立集中的網絡設備登錄認證系統，用于對網絡設備維護用戶的集中管理，認證用戶的身份，決定其是否可以登錄到網絡設備;通過定義不同級別的用戶，授權他們能執行的不同操作，記錄并審計用戶的登錄和操作。

● 系統層安全

做好系統主機的入侵檢測，針對系統主機的網絡訪問進行監測，及時發現外來入侵和系統級用戶的非法操作行為；要做好系統主機的訪問控制，系統主機訪問控制提供給系統安全管理員最有效的方法，從用戶登錄安全、訪問控制安全、系統日志安全等方面加入安全機制;要做好系統主機的安全加固，定期對服務器操作系統和數據庫系統進行安全配置和加固，在不影響業務處理能力的前提下對系統的配置進行安全優化，以提高系統自身的抗攻擊性，消除安全漏洞，降低安全風險；做好主機的安全審計工作，提供全面的安全審計日志和數據，提升主機審計保護能力，對審計數據的訪問進行嚴格控制，加強對審計數據的完整性保護。

● 應用層安全

隨著各種各樣的系統應用不斷深化和普及，一些應用系統安全問題不斷凸現出來。為了最大限度及時規避因應用安全問題帶來的威脅，應著力抓好六個方面的工作：建立應用安全基礎設施；健全應用安全相關規范；改進應用開發過程；組織關鍵應用安全性測試；加強應用安全相關人員管理；制定應用安全文檔及應急預案。

● 終端層安全

加強終端電腦的安全管理。終端安全指對接入企業網絡的終端設備（主要是臺式計算機、筆記本電腦和其他移動設備等）進行的安全管理。內容包括終端安全策略、防病毒、防入侵、防火墻、軟硬件資產管理、終端補丁管理、終端配置管理、終端準入控制以及法規遵從等內容。

● 備份與恢復

備份與恢復是基于安全事件發生后保證災難所造成的損失在一個可以接受的范圍內、并使災難得到有效恢復的安全機制，包括數據級、應用級和業務級三個層次。參照國際標準Share78中定義的容災系統層次劃分，對不同等級的信息系統建立不同的備份與恢復機制。主要工作包括：開發容災計劃，通過對不同等級的信息系統容災需求分析，確定容災等級、RTO\\RPO等容災指標、備份策略、恢復性測試要求等，設計容災方案；備份與恢復基礎設施的建設，包括建立異地災難恢復系統和重要數據的本地備份設施。

信息安全組織

信息安全組織的角色與職責要界定清晰。信息管理層進行適當的職責劃分，能合理阻止關鍵流程的破壞。同時應加強全員的信息安全意識教育，提高員工整體信息安全意識。建立安全組織與定義安全職責是密不可分的兩項工作，組織與職責的清晰定義可以有效地促進信息安全各項工作的進行，包括信息安全教育與培訓以及人員安全。企業要建立的信息安全組織要包含決策、管理、執行與監管四個層面。

信息安全教育與培訓要覆蓋公司各個層面的人員，提升整個企業人員安全的水平，同時人員安全的相關工作在制度和機制方面為教育與培訓提供有效保障。

信息安全建設與運行體系

建立安全評估機制。應形成系統化的信息安全風險評估規范和制度，定期對重要信息系統的安全進行評估。建立有效的應急響應機制。應急響應是針對可能發生的破壞性事件而設計的必要的管理和恢復機制，將安全事件帶來的損失降到最低。應成立應急響應協調中心和應急響應小組，對不同的安全事故分級建立對應不同的響應流程。加強項目建設信息安全管理，建立IT項目建設過程的安全管理機制，對信息系統的全生命周期進行安全管理，在項目的申報、審批、立項、實施、驗收等關鍵環節中，都有相應的信息安全規定或制度來進行約束，完成各個環節的信息安全管理行為。建立信息系統運維安全管理制度。重點加強安全監控和響應機制、安全日志審計與分析機制、安全預警機制三方面的建設工作。