企业信息网络安全治理架构部署探析
摘 要:企业网络信息安全治理架构的部署,既是用户需求带动的结果,也是网络安全领域向全方位、纵深化、专业化方向发展的结果,通过安全需求分析,对企业信息网络安全架构进行了设计,并对企业信息网络安全工程的部署作了细致的探讨。通过对企业信息网络安全治理架构的部署,可有效地实现企业安全建设的终极目标。?关键词:企业;网络安全;治理;部署?
1 引言?
随着信息化进程的提速,越来越多地企业信息被表露于企业内外部网络环境中,如何保护企业机密,保障企业信息安全,成为企业信息化发展过程中必然需要面临和解决的题目。
对于企业信息网络安全治理需要部署的内容,首先要明确企业的哪些资产需要保护,确定关键数据和相关业务支持技术资产的价值,然后在此基础上,制定并实施安全策略,完成安全策略的责任分配,设立安全标准。?
2 企业网络信息安全需求分析?
对企业网络信息安全的网络调查显示:有超过85%的安全威胁来自企业内部;有16%来自内部未授权的访问;有11%资料或网络的破坏。可以看出:来自于企业内部的安全威胁比来自于外部的威胁要大得多,必要的安全措施对企业是非常重要的。安全风险分析通常包括对系统资源的价值属性的分析、资源面临的威胁分析、系统的安全缺陷分析等等。分析的目标就是确定安全系统的建设环境,建立信息系统安全的基本策略。?
2.1 企业信息网络安全需求?
企业对信息网络安全方面的需求主要包含:
(1)业务系统与其它信息系统充分隔离。
(2)企业局域网与互联的其它网络充分隔离。
(3)全面的病毒防御体系,恢复已被病毒感染的设备及数据。
(4)关键业务数据必须进行备份,具有完善的灾难恢复功能。
(5)治理员必须对企业信息网络系统的安全状况和安全漏洞进行周期性评估,并根据评估结果采用相应措施。
(6)关键业务数据和敏感数据在公网上的传输必须加密,防止非法获取和篡改。
(7)加强内部职员操纵的技术监控,采用强有力的认证系统,代替一些不安全的用户名/口令系统授权模式。
(8)建立完善的进侵审计和监控措施,监视和记录外部或者内部职员可能发起的攻击。
(9)对整个信息系统进行安全审计,可预见治理和总拥有本钱控制。?
2.2 企业信息网络安全内容?
从企业整体考虑,它的信息网络安全包括以下六个方面:?
(1)企业信息网络安全策略建设,它是安全系统执行的安全策略建设的依据。
(2)企业信息网络治理体系建设,它是安全系统的安全控制策略和安全系统体系结构建设的依据。
(3)企业信息网络资源治理体系建设,它是安全系统体系结构规划的依据。
(4)企业信息网络职员治理建设,它是保障安全系统可靠建设、维护和应用的条件。
(5)企业信息网络工程治理体系建设,信息安全系统工程必须与它同一规划和治理。
(6)企业信息网络事务持续性保障规划,它是信息安全事件处理和安全恢复系统建设的依据。?
3 企业信息网络安全架构?
3.1 企业信息网络安全系统设计?
安全系统设计是在信息系统安全策略的基础上,从安全策略的分析中抽象出安全系统及其服务。安全系统的.设计如图1所示。安全系统设计的目标是设计出系统安全防御体系,设计和部署体系中各种安全机制从而形成自动的安全防御、监察和反应体系,忠实地贯彻系统安全策略。 ?
3.2 企业信息网络安全系统组建?
安全系统设计关心的是抽象定义的系统。具体系统组建是建立在设计基础上的实现。通常系统功能组件的实现方式是软件、硬件和固体等。安全系统组建的另一项重要内容是配制安全系统,并将安全系统与整个信息系统形成一体。?