信息安全与安全建设论文

时间:2022-02-03 02:33:08

信息安全与安全建设论文

1安全建设方法

长期以来,中国大多数企业的信息安全建设遵循“木桶理论”,但实践证明,在企业信息安全领域应用木桶理论仍存在一定缺陷,很难实现“标本兼治”。企业信息安全应从安全策略、安全管理体系、安全技术体系和安全运维体系四个方面建设一个完善的信息安全体系对企业的信息资源提供全方位的安全防护。整个安全体系以安全策略为核心,管理、技术、运维三者有机结合,又相互支撑。三者之间的关系为“根据管理体系中的策略,由相关组织或人员,利用技术体系作为工具和手段,进行操作来维持运行体系”。在建立信息安全体系的过程中,可采用ISO27001:2005所述的“过程方法”,即将“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”(PDCA)四个步骤。

2安全策略

信息安全策略研究就是依据国家信息安全的方针政策、法律法规和工作要求,结合企业实际情况和管理要求,制订企业信息安全防护的建设方针和基本要求,对信息安全管理体系、技术体系和运维体系中的各种安全控制措施和机制的部署提出目标和原则,是信息化“建、管、用”各项工作和各个环节必须遵守的安全规则,也是针对每个系统和设备制订分项安全策略的依据。

3安全管理

信息安全管理可参照信息安全管理模型,按照先进的信息安全管理标准ISO17799标准建立组织完整的安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式。管理体系架构可分为四层,最高层为企业信息安全总体策略,为下面的各项分策略和具体的规章制度提供指导。第二层为企业信息安全组织体系,作用在于指导实施安全体系,制定安全的相关标准和方针,监管安全事件等。组织体系须设立专门的管理机构,配备相应的安全管理人员,明确主管领导,落实部门责任,各尽其职。第三层为根据总策略,对信息安全涉及的各方面制定有针对性的分项策略,为安全的具体实施提供管理和技术上的指导。第四层为具体的安全管理制度。

4安全技术

企业信息安全技术应从网络、软件、主机、数据和应用五个方面,通过使用安全产品和技术,支撑和实现安全策略,达到信息系统的保密、完整、可用等安全目标。按照P2DR2模型,信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容。比如如何通过安全控制措施使信息系统具备比较完善的抵抗攻击破坏的能力。如何采取检测、审计等技术手段对信息系统运行状态和操作行为进行监控和记录,及时发现安全隐患和入侵行为并发出告警。如何通过事件监控在发现安全保护对象的安全状态发生改变时,特别是由安全变为不安全,采取措施对其进行响应处理,直至恢复安全状态,并在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证。如何建立信息系统应用和数据备份和恢复机制,保证在发生安全事件发生后能够及时有效地对信息系统的应用和数据进行恢复.

作者:吴洪亮单位:龙岩烟草工业有限责任公司