企業信息安全立體防護體系構建及運行

彭佩　張婕　李紅梅

摘 要： 根據系統工程學和信息安全工程學理論，采用霍爾三維方法界定了企業信息安全防護體系邊界，構建其ISM邏輯結構模型。結合項目管理領域知識，進一步探討了信息安全防護的立體運行框架，為企業信息安全防護工作的落實提供有效指導。

關鍵詞： 企業信息安全； ISM； 立體防護； 霍爾三維方法

中圖分類號： TN911?34 文獻標識碼： A 文章編號： 1004?373X（2014）12?0042?04

Abstract： Based on the theories of system engineering and information safety engineering， the boundary of information security defence system for enterprises was defined with Hall's three?dimensional method. A logical structure model of ISM was built. The 3D operation framework of enterprise information security defence is discussed in combination with the knowledge of project management. The effective guidance has been provided for implementation of the security defence work.

Keywords： enterprise information security； interpretive structural modeling； solid defense； Hall three?dimensional method

0 引 言

隨著信息化進程的發展，信息技術與網絡技術的高度融合，現代企業對信息系統的依賴性與信息系統本身的動態性、脆弱性、復雜性、高投入性之間的矛盾日趨突顯，如何有效防護信息安全成為了企業亟待解決的問題之一。目前國內企業在信息安全方面仍側重于技術防護和基于傳統模式下的靜態被動管理，尚未形成與動態持續的信息安全問題相適應的信息安全防護模式，企業信息安全管理效益低下；另一方面，資源約束性使企業更加關注信息安全防護的投入產出效應，最大程度上預防信息安全風險的同時節省企業安全建設、維護成本，需要從管理角度上更深入地整合和分配資源。

本文針對現階段企業信息安全出現的問題，結合項目管理領域的一般過程模型，從時間、任務、邏輯方面界定了系統的霍爾三維結構，構建了標準化的ISM結構模型及動態運行框架，為信息網絡、信息系統、信息設備以及網絡用戶提供一個全方位、全過程、全面綜合的前瞻性立體防護，并從企業、政府兩個層面提出了提高整體信息安全防護水平的相關建議。

1 企業信息安全立體防護體系概述

1.1 企業信息安全立體防護體系概念

信息安全立體防護體系是指為保障企業信息的有效性、保密性、完整性、可用性和可控性，提供覆蓋到所有易被威脅攻擊的角落的全方位防護體系。該體系涵蓋了企業信息安全防護的一般步驟、具體階段及其任務范圍。

1.2 企業信息安全立體防護體系環境分析

系統運行離不開環境。信息產業其爆炸式發展的特性使企業信息安全的防護環境也相對復雜多變，同時，多樣性的防護需求要求有相適應的環境與之配套。

企業信息安全立體防護體系的運行環境主要包括三個方面，即社會文化環境、政府政策環境、行業技術環境。社會文化環境主要指在企業信息安全方面的社會整體教育程度和文化水平、行為習慣、道德準則等。政府政策環境是指國家和政府針對于企業信息安全防護出臺的一系列政策和措施。行業技術環境是指信息行業為支持信息安全防護所開發的一系列技術與相匹配的管理體制。

1.3 企業信息安全立體防護體系霍爾三維結構

為平衡信息安全防護過程中的時間性、復雜性和主觀性，本文從時間、任務、邏輯層面建立了企業信息安全立體防護體系的三維空間結構，如圖1所示。

時間維是指信息安全系統從開始設計到最終實施按時間排序的全過程，由分析建立、實施運行、監視評審、保持改進四個基本時間階段組成，并按PDCA過程循環[5]。邏輯維是指時間維的每一個階段內所應該遵循的思維程序，包括信息安全風險識別、危險性辨識、危險性評估、防范措施制定、防范措施實施五個步驟。任務維是指在企業信息安全防護的具體內容，如網絡安全、系統安全、數據安全、應用安全等。該霍爾三維結構中任一階段和步驟又可進一步展開，形成分層次的樹狀體系。

2 企業信息安全立體防護體系解釋結構模型

2.1 ISM模型簡介

ISM（Interpretation Structural Model）技術，是美國J·N·沃菲爾德教授于1973年為研究復雜社會經濟系統問題而開發的結構模型化技術。該方法通過提取問題的構成要素，并利用矩陣等工具進行邏輯運算，明確其間的相互關系和層次結構，使復雜系統轉化成多級遞階形式。

2.2 企業信息安全立體防護體系要素分析

本文根據企業信息安全的基本內容，將立體防護體系劃分為如下15個構成要素：

（1） 網絡安全：網絡平臺實現和訪問模式的安全；

（2） 系統安全：操作系統自身的安全；

（3） 數據安全：數據在存儲和應用過程中不被非授權用戶有意破壞或無意破壞；

（4） 應用安全：應用接入、應用系統、應用程序的控制安全；

（5） 物理安全：物理設備不受物理損壞或損壞時能及時修復或替換；

（6） 用戶安全：用戶被正確授權，不存在越權訪問或多業務系統的授權矛盾；

（7） 終端安全：防病毒、補丁升級、桌面終端管理系統、終端邊界等的安全；

（8） 信息安全風險管理：涉及安全風險的評估、安全代價的評估等；

（9） 信息安全策略管理：包括安全措施的制定、實施、評估、改進；

（10） 信息安全日常管理：巡視、巡檢、監控、日志管理等；

（11） 標準規范體系：安全技術、安全產品、安全措施、安全操作等規范化條例；

（12） 管理制度體系：包括配套規章制度，如培訓制度、上崗制度；

（13） 評價考核體系：指評價指標、安全測評；

（14） 組織保障：包括安全管理員、安全組織機構的配備；

（15） 資金保障：指建設、運維費用的投入。

2.3 ISM模型計算

根據專家對企業信息安全立體防護體系中15個構成要素邏輯關系的分析，可得要素關系如表1所示。

對可達矩陣進行區域劃分和級位劃分，確定各要素所處層次地位。在可達矩陣中找出各個因素的可達集R（Si），前因集A（Si）以及可達集R（Si）與前因集A（Si）的交集R（Si）∩A（Si），得到第一級的可達集與前因集（見表2）。

2.4 企業信息安全立體防護結構

結合信息安全防護的特點，企業信息安全立體防護體系15個要素相互聯系、相互作用，有機地構成遞階有向層級結構模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素，雙向箭頭表示同級影響。

從圖2可以看出，企業信息安全防護體系內容為四級遞階結構。從下往上，第一層因素從制度層面闡述了企業信息安全防護，該層的五個因素處于ISM結構的最基層且相互獨立，構成了企業信息安全立體防護的基礎。第二層因素在基于保障的前提下，確定了企業為確保信息安全進行管理活動，是進行立體防護的方法和手段；第三層因素是從物理條件、傳輸過程方面揭示了企業進行信息安全防護可控點，其中物理安全是控制基礎。第四層要素是企業信息安全的直接需求，作為信息的直接表現形式，數據是企業信息安全立體防護的核心。企業信息安全防護體系的四級遞階結構充分體現了企業信息安全防護體系的整體性、層級性、交互性。

圖2 企業信息安全防護解釋結構模型

2.5 企業信息安全立體防護過程

企業信息安全立體防護是一個多層次的動態過程，它隨著環境和信息傳遞需求變化而變化。本文在立體防護結構模型的基礎上對企業信息安全防護結構進行擴展，構建了整體運行框架（見圖3）。

從圖3 中可以看出，企業信息安全防護過程按分析建立到體系保持改進的四個基本時間階段中有序進行，充分體現出時間維度上的動態性。具體步驟如下：

（1） 綜合分析現行的行業標準規范體系，企業內部管理流程、人員組織結構和企業資金實力，建立企業信息安全防護目標，并根據需要將安全防護內容進行等級劃分。

（2） 對防護內容進行日常監測（包括統計分析其他公司近期發生的安全事故），形成預警，進而對公司信息系統進行入侵監測，判斷其是否潛在威脅。

（3） 若存在威脅，則進一步確定威脅來源，并對危險性進行評估，判斷其是否能通過現有措施解決。

（4） 平衡控制成本和實效性，采取防范措施，并分析其效用，最終形成內部信息防護手冊。

3 分析及對策

3.1 企業層面

（1） 加強系統整體性。企業信息安全防護體系的15個構成要素隸屬于一個共同區域，在同一系統大環境下運作。資源受限情況下要最大程度地保障企業信息安全，就必須遵循一切從整體目標出發的原則，加強信息安全防護的整體布局，在對原有產品升級和重新部署時，應統一規劃，統籌安排，追求整體效能和投入產出效應。

（2） 明確系統層級性。企業信息安全防護工作效率的高低很大程度上取決于在各個防護層級上的管理。企業信息安全防護涉及技術層面防護、策略層面防護、制度層面防護，三個層面互相依存、互相作用，其中制度和保障是基礎，策略是支撐，技術是手段。要有效維護企業信息安全，企業就必須正確處理好體系間的縱向關系，在尋求技術支撐的同時，更要立足于管理，加強工作間的協調，避免重復投入、重復建設。

（3） 降低系統交互性。在企業信息安全防護體系同級之間，相關要素呈現出了強連接關系，這種交互式的影響，使得系統運行更加復雜。因此需要加快企業內部規章制度和技術規范的建設，界定好每個工作環節的邊界，準確定位風險源，并確保信息安全策略得到恰當的理解和有效執行，防止在循環狀態下風險的交叉影響使防范難度加大。

（4） 關注系統動態性。信息安全防護是一個動態循環的過程，它隨著信息技術發展而不斷發展。因此，企業在進行信息安全防護時，應在時間維度上對信息安全有一個質的認識，準確定位企業信息安全防護所處的工作階段，限定處理信息安全風險的時間界限，重視不同時間段上的延續性，并運用恰當的工具方法來對風險加以識別，辨別風險可能所帶來的危險及其危害程度，做出防范措施，實現企業信息安全的全過程動態管理。

3.2 政府層面

企業信息安全防護不是一個孤立的系統，它受制于環境的變化。良好的社會文化環境有助于整體安全防護能力主動性的提高，有力的政策是推動企業信息安全防護發展的前提和條件，高效的行業技術反應機制是信息安全防護的推動力。因此在注重企業層面的管理之外，還必須借助于政府建立一個積極的環境。

（1） 加強信息安全防護方面的文化建設。一方面，政府應大力宣傳信息安全的重要性及相關政策，提高全民信息安全素質，從道德層面上防止信息安全事故的發生；另一方面，政府應督促企業加強信息安全思想教育、職能教育、技能教育、法制教育，從思想上、理論上提高和強化社會信息安全防護意識和自律意識。

（2） 高度重視信息安全及其衍生問題。政府應加快整合和完善現有信息安全方面的法律、法規、行業標準，建立多元監管模式和長效監管機制，保證各項法律、法規和標準得到公平、公正、有效的實施，為企業信息安全創造有力的支持。

（3） 加大信息安全產業投入。政府應高度重視技術人才的培養，加快信息安全產品核心技術的自主研發和生產，支持信息安全服務行業的發展。

4 結 語

本文從企業信息安全防護的實際需求出發，構建企業信息安全防護基本模型，為企業信息安全防護工作的落實提供有效指導，節省企業在信息安全防護體系建設上的投入。同時針對現階段企業信息安全防護存在的問題從企業層面和政府層面提出相關建議。

參考文獻

[1] 中國信息安全產品測評認證中心.信息安全理論與技術[M].北京：人民郵電出版社，2003.

[2] 汪應洛.系統工程[M].3版.北京：高等教育出版社，2003.

[3] 齊峰.COBIT在企業信息安全管理中的應用實踐[J].計算機應用與軟件，2009，26（10）：282?285.

[4] 肖餛.淺議網絡環境下的企業信息安全管理[J].標準科學，2010（8）：20?23.

[5] 王永紅.信息安全風險評估流程初探[C]//全國第21屆計算機技術與應用學術會議（CACIS·2010）暨全國第2屆安全關鍵技術與應用學術會議論文集.合肥：中國儀器儀表學會微型計算機應用學會，2010：504?507.

[6] 王玫.建設銀行信息安全管理體系建設研究[D].濟南：山東大學，2008.

[7] 韓權印，張玉清，王閔，等.信息安全管理實施要點研究[D].計算機工程，2005，31（20）：64?66.

（6） 用戶安全：用戶被正確授權，不存在越權訪問或多業務系統的授權矛盾；

（7） 終端安全：防病毒、補丁升級、桌面終端管理系統、終端邊界等的安全；

（8） 信息安全風險管理：涉及安全風險的評估、安全代價的評估等；

（9） 信息安全策略管理：包括安全措施的制定、實施、評估、改進；

（10） 信息安全日常管理：巡視、巡檢、監控、日志管理等；

（11） 標準規范體系：安全技術、安全產品、安全措施、安全操作等規范化條例；

（12） 管理制度體系：包括配套規章制度，如培訓制度、上崗制度；

（13） 評價考核體系：指評價指標、安全測評；

（14） 組織保障：包括安全管理員、安全組織機構的配備；

（15） 資金保障：指建設、運維費用的投入。

2.3 ISM模型計算

根據專家對企業信息安全立體防護體系中15個構成要素邏輯關系的分析，可得要素關系如表1所示。

對可達矩陣進行區域劃分和級位劃分，確定各要素所處層次地位。在可達矩陣中找出各個因素的可達集R（Si），前因集A（Si）以及可達集R（Si）與前因集A（Si）的交集R（Si）∩A（Si），得到第一級的可達集與前因集（見表2）。

2.4 企業信息安全立體防護結構

結合信息安全防護的特點，企業信息安全立體防護體系15個要素相互聯系、相互作用，有機地構成遞階有向層級結構模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素，雙向箭頭表示同級影響。

從圖2可以看出，企業信息安全防護體系內容為四級遞階結構。從下往上，第一層因素從制度層面闡述了企業信息安全防護，該層的五個因素處于ISM結構的最基層且相互獨立，構成了企業信息安全立體防護的基礎。第二層因素在基于保障的前提下，確定了企業為確保信息安全進行管理活動，是進行立體防護的方法和手段；第三層因素是從物理條件、傳輸過程方面揭示了企業進行信息安全防護可控點，其中物理安全是控制基礎。第四層要素是企業信息安全的直接需求，作為信息的直接表現形式，數據是企業信息安全立體防護的核心。企業信息安全防護體系的四級遞階結構充分體現了企業信息安全防護體系的整體性、層級性、交互性。

圖2 企業信息安全防護解釋結構模型

2.5 企業信息安全立體防護過程

企業信息安全立體防護是一個多層次的動態過程，它隨著環境和信息傳遞需求變化而變化。本文在立體防護結構模型的基礎上對企業信息安全防護結構進行擴展，構建了整體運行框架（見圖3）。

從圖3 中可以看出，企業信息安全防護過程按分析建立到體系保持改進的四個基本時間階段中有序進行，充分體現出時間維度上的動態性。具體步驟如下：

（1） 綜合分析現行的行業標準規范體系，企業內部管理流程、人員組織結構和企業資金實力，建立企業信息安全防護目標，并根據需要將安全防護內容進行等級劃分。

（2） 對防護內容進行日常監測（包括統計分析其他公司近期發生的安全事故），形成預警，進而對公司信息系統進行入侵監測，判斷其是否潛在威脅。

（3） 若存在威脅，則進一步確定威脅來源，并對危險性進行評估，判斷其是否能通過現有措施解決。

（4） 平衡控制成本和實效性，采取防范措施，并分析其效用，最終形成內部信息防護手冊。

3 分析及對策

3.1 企業層面

（1） 加強系統整體性。企業信息安全防護體系的15個構成要素隸屬于一個共同區域，在同一系統大環境下運作。資源受限情況下要最大程度地保障企業信息安全，就必須遵循一切從整體目標出發的原則，加強信息安全防護的整體布局，在對原有產品升級和重新部署時，應統一規劃，統籌安排，追求整體效能和投入產出效應。

（2） 明確系統層級性。企業信息安全防護工作效率的高低很大程度上取決于在各個防護層級上的管理。企業信息安全防護涉及技術層面防護、策略層面防護、制度層面防護，三個層面互相依存、互相作用，其中制度和保障是基礎，策略是支撐，技術是手段。要有效維護企業信息安全，企業就必須正確處理好體系間的縱向關系，在尋求技術支撐的同時，更要立足于管理，加強工作間的協調，避免重復投入、重復建設。

（3） 降低系統交互性。在企業信息安全防護體系同級之間，相關要素呈現出了強連接關系，這種交互式的影響，使得系統運行更加復雜。因此需要加快企業內部規章制度和技術規范的建設，界定好每個工作環節的邊界，準確定位風險源，并確保信息安全策略得到恰當的理解和有效執行，防止在循環狀態下風險的交叉影響使防范難度加大。

（4） 關注系統動態性。信息安全防護是一個動態循環的過程，它隨著信息技術發展而不斷發展。因此，企業在進行信息安全防護時，應在時間維度上對信息安全有一個質的認識，準確定位企業信息安全防護所處的工作階段，限定處理信息安全風險的時間界限，重視不同時間段上的延續性，并運用恰當的工具方法來對風險加以識別，辨別風險可能所帶來的危險及其危害程度，做出防范措施，實現企業信息安全的全過程動態管理。

3.2 政府層面

企業信息安全防護不是一個孤立的系統，它受制于環境的變化。良好的社會文化環境有助于整體安全防護能力主動性的提高，有力的政策是推動企業信息安全防護發展的前提和條件，高效的行業技術反應機制是信息安全防護的推動力。因此在注重企業層面的管理之外，還必須借助于政府建立一個積極的環境。

（1） 加強信息安全防護方面的文化建設。一方面，政府應大力宣傳信息安全的重要性及相關政策，提高全民信息安全素質，從道德層面上防止信息安全事故的發生；另一方面，政府應督促企業加強信息安全思想教育、職能教育、技能教育、法制教育，從思想上、理論上提高和強化社會信息安全防護意識和自律意識。

（2） 高度重視信息安全及其衍生問題。政府應加快整合和完善現有信息安全方面的法律、法規、行業標準，建立多元監管模式和長效監管機制，保證各項法律、法規和標準得到公平、公正、有效的實施，為企業信息安全創造有力的支持。

（3） 加大信息安全產業投入。政府應高度重視技術人才的培養，加快信息安全產品核心技術的自主研發和生產，支持信息安全服務行業的發展。

4 結 語

本文從企業信息安全防護的實際需求出發，構建企業信息安全防護基本模型，為企業信息安全防護工作的落實提供有效指導，節省企業在信息安全防護體系建設上的投入。同時針對現階段企業信息安全防護存在的問題從企業層面和政府層面提出相關建議。

參考文獻

[1] 中國信息安全產品測評認證中心.信息安全理論與技術[M].北京：人民郵電出版社，2003.

[2] 汪應洛.系統工程[M].3版.北京：高等教育出版社，2003.

[3] 齊峰.COBIT在企業信息安全管理中的應用實踐[J].計算機應用與軟件，2009，26（10）：282?285.

[4] 肖餛.淺議網絡環境下的企業信息安全管理[J].標準科學，2010（8）：20?23.

[5] 王永紅.信息安全風險評估流程初探[C]//全國第21屆計算機技術與應用學術會議（CACIS·2010）暨全國第2屆安全關鍵技術與應用學術會議論文集.合肥：中國儀器儀表學會微型計算機應用學會，2010：504?507.

[6] 王玫.建設銀行信息安全管理體系建設研究[D].濟南：山東大學，2008.

[7] 韓權印，張玉清，王閔，等.信息安全管理實施要點研究[D].計算機工程，2005，31（20）：64?66.

（6） 用戶安全：用戶被正確授權，不存在越權訪問或多業務系統的授權矛盾；

（7） 終端安全：防病毒、補丁升級、桌面終端管理系統、終端邊界等的安全；

（8） 信息安全風險管理：涉及安全風險的評估、安全代價的評估等；

（9） 信息安全策略管理：包括安全措施的制定、實施、評估、改進；

（10） 信息安全日常管理：巡視、巡檢、監控、日志管理等；

（11） 標準規范體系：安全技術、安全產品、安全措施、安全操作等規范化條例；

（12） 管理制度體系：包括配套規章制度，如培訓制度、上崗制度；

（13） 評價考核體系：指評價指標、安全測評；

（14） 組織保障：包括安全管理員、安全組織機構的配備；

（15） 資金保障：指建設、運維費用的投入。

2.3 ISM模型計算

根據專家對企業信息安全立體防護體系中15個構成要素邏輯關系的分析，可得要素關系如表1所示。

對可達矩陣進行區域劃分和級位劃分，確定各要素所處層次地位。在可達矩陣中找出各個因素的可達集R（Si），前因集A（Si）以及可達集R（Si）與前因集A（Si）的交集R（Si）∩A（Si），得到第一級的可達集與前因集（見表2）。

2.4 企業信息安全立體防護結構

結合信息安全防護的特點，企業信息安全立體防護體系15個要素相互聯系、相互作用，有機地構成遞階有向層級結構模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素，雙向箭頭表示同級影響。

從圖2可以看出，企業信息安全防護體系內容為四級遞階結構。從下往上，第一層因素從制度層面闡述了企業信息安全防護，該層的五個因素處于ISM結構的最基層且相互獨立，構成了企業信息安全立體防護的基礎。第二層因素在基于保障的前提下，確定了企業為確保信息安全進行管理活動，是進行立體防護的方法和手段；第三層因素是從物理條件、傳輸過程方面揭示了企業進行信息安全防護可控點，其中物理安全是控制基礎。第四層要素是企業信息安全的直接需求，作為信息的直接表現形式，數據是企業信息安全立體防護的核心。企業信息安全防護體系的四級遞階結構充分體現了企業信息安全防護體系的整體性、層級性、交互性。

圖2 企業信息安全防護解釋結構模型

2.5 企業信息安全立體防護過程

企業信息安全立體防護是一個多層次的動態過程，它隨著環境和信息傳遞需求變化而變化。本文在立體防護結構模型的基礎上對企業信息安全防護結構進行擴展，構建了整體運行框架（見圖3）。

從圖3 中可以看出，企業信息安全防護過程按分析建立到體系保持改進的四個基本時間階段中有序進行，充分體現出時間維度上的動態性。具體步驟如下：

（1） 綜合分析現行的行業標準規范體系，企業內部管理流程、人員組織結構和企業資金實力，建立企業信息安全防護目標，并根據需要將安全防護內容進行等級劃分。

（2） 對防護內容進行日常監測（包括統計分析其他公司近期發生的安全事故），形成預警，進而對公司信息系統進行入侵監測，判斷其是否潛在威脅。

（3） 若存在威脅，則進一步確定威脅來源，并對危險性進行評估，判斷其是否能通過現有措施解決。

（4） 平衡控制成本和實效性，采取防范措施，并分析其效用，最終形成內部信息防護手冊。

3 分析及對策

3.1 企業層面

（1） 加強系統整體性。企業信息安全防護體系的15個構成要素隸屬于一個共同區域，在同一系統大環境下運作。資源受限情況下要最大程度地保障企業信息安全，就必須遵循一切從整體目標出發的原則，加強信息安全防護的整體布局，在對原有產品升級和重新部署時，應統一規劃，統籌安排，追求整體效能和投入產出效應。

（2） 明確系統層級性。企業信息安全防護工作效率的高低很大程度上取決于在各個防護層級上的管理。企業信息安全防護涉及技術層面防護、策略層面防護、制度層面防護，三個層面互相依存、互相作用，其中制度和保障是基礎，策略是支撐，技術是手段。要有效維護企業信息安全，企業就必須正確處理好體系間的縱向關系，在尋求技術支撐的同時，更要立足于管理，加強工作間的協調，避免重復投入、重復建設。

（3） 降低系統交互性。在企業信息安全防護體系同級之間，相關要素呈現出了強連接關系，這種交互式的影響，使得系統運行更加復雜。因此需要加快企業內部規章制度和技術規范的建設，界定好每個工作環節的邊界，準確定位風險源，并確保信息安全策略得到恰當的理解和有效執行，防止在循環狀態下風險的交叉影響使防范難度加大。

（4） 關注系統動態性。信息安全防護是一個動態循環的過程，它隨著信息技術發展而不斷發展。因此，企業在進行信息安全防護時，應在時間維度上對信息安全有一個質的認識，準確定位企業信息安全防護所處的工作階段，限定處理信息安全風險的時間界限，重視不同時間段上的延續性，并運用恰當的工具方法來對風險加以識別，辨別風險可能所帶來的危險及其危害程度，做出防范措施，實現企業信息安全的全過程動態管理。

3.2 政府層面

企業信息安全防護不是一個孤立的系統，它受制于環境的變化。良好的社會文化環境有助于整體安全防護能力主動性的提高，有力的政策是推動企業信息安全防護發展的前提和條件，高效的行業技術反應機制是信息安全防護的推動力。因此在注重企業層面的管理之外，還必須借助于政府建立一個積極的環境。

（1） 加強信息安全防護方面的文化建設。一方面，政府應大力宣傳信息安全的重要性及相關政策，提高全民信息安全素質，從道德層面上防止信息安全事故的發生；另一方面，政府應督促企業加強信息安全思想教育、職能教育、技能教育、法制教育，從思想上、理論上提高和強化社會信息安全防護意識和自律意識。

（2） 高度重視信息安全及其衍生問題。政府應加快整合和完善現有信息安全方面的法律、法規、行業標準，建立多元監管模式和長效監管機制，保證各項法律、法規和標準得到公平、公正、有效的實施，為企業信息安全創造有力的支持。

（3） 加大信息安全產業投入。政府應高度重視技術人才的培養，加快信息安全產品核心技術的自主研發和生產，支持信息安全服務行業的發展。

4 結 語

本文從企業信息安全防護的實際需求出發，構建企業信息安全防護基本模型，為企業信息安全防護工作的落實提供有效指導，節省企業在信息安全防護體系建設上的投入。同時針對現階段企業信息安全防護存在的問題從企業層面和政府層面提出相關建議。

參考文獻

[1] 中國信息安全產品測評認證中心.信息安全理論與技術[M].北京：人民郵電出版社，2003.

[2] 汪應洛.系統工程[M].3版.北京：高等教育出版社，2003.

[3] 齊峰.COBIT在企業信息安全管理中的應用實踐[J].計算機應用與軟件，2009，26（10）：282?285.

[4] 肖餛.淺議網絡環境下的企業信息安全管理[J].標準科學，2010（8）：20?23.

[5] 王永紅.信息安全風險評估流程初探[C]//全國第21屆計算機技術與應用學術會議（CACIS·2010）暨全國第2屆安全關鍵技術與應用學術會議論文集.合肥：中國儀器儀表學會微型計算機應用學會，2010：504?507.

[6] 王玫.建設銀行信息安全管理體系建設研究[D].濟南：山東大學，2008.

[7] 韓權印，張玉清，王閔，等.信息安全管理實施要點研究[D].計算機工程，2005，31（20）：64?66.