在信息網(wǎng)絡(luò)普及的時(shí)代，信息網(wǎng)絡(luò)成為員工日常工作不可或缺的工具。同時(shí)，安全問(wèn)題越來(lái)越成為影響企業(yè)信息化發(fā)展的重要因素，病毒的泛濫影響了正常的業(yè)務(wù)開(kāi)展，垃圾流量占用了寬帶資源，無(wú)所不在的網(wǎng)絡(luò)釣魚(yú)造成大量信息的泄露，網(wǎng)絡(luò)攻擊可能造成巨大的損失，因此加強(qiáng)信息安全建設(shè)日益成為企業(yè)的迫切需求。

　　1、信息安全保護(hù)相關(guān)標(biāo)準(zhǔn)體系

　　在信息安全標(biāo)準(zhǔn)化方面, 我國(guó)從20 世紀(jì)80 年代開(kāi)始，在全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)信息安全分技術(shù)委員會(huì)和各部門各界的努力下，本著積極采用國(guó)際標(biāo)準(zhǔn)的原則，轉(zhuǎn)化了一批國(guó)際信息安全基礎(chǔ)技術(shù)標(biāo)準(zhǔn)，為我國(guó)信息安全技術(shù)的發(fā)展做出了一定貢獻(xiàn)。同時(shí)，公安部、國(guó)家安全部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)等相繼制定、頒布了一批信息安全的行業(yè)標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)大致可以分為四類，國(guó)家信息安全保護(hù)相關(guān)標(biāo)準(zhǔn)體系如圖1所示。

　　2011 年2 月1 日，《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等18 項(xiàng)信息安全技術(shù)標(biāo)準(zhǔn)將正式實(shí)施，這對(duì)于完善我國(guó)信息安全標(biāo)準(zhǔn)體系，規(guī)范和指導(dǎo)我國(guó)信息安全保障體系建設(shè)具有重要意義。

　　2、企業(yè)信息安全體系的建設(shè)

　　企業(yè)信息安全體系是在滿足國(guó)家規(guī)定、遵循國(guó)際標(biāo)準(zhǔn)的原則下，參照國(guó)內(nèi)外最佳實(shí)踐，結(jié)合自身的實(shí)際需求，通過(guò)管理和技術(shù)手段，來(lái)構(gòu)建企業(yè)信息安全體系。通過(guò)開(kāi)展信息安全體系建設(shè)，我們可以落實(shí)安全責(zé)任制，完善管理制度、技術(shù)措施，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求，提高信息系統(tǒng)安全管理水平，增強(qiáng)安全保護(hù)能力，保護(hù)企業(yè)重要信息資產(chǎn)，保障信息網(wǎng)絡(luò)可用。

　　2.1 建設(shè)流程

　　企業(yè)信息安全體系建設(shè)分四步進(jìn)行。第一步，根據(jù)國(guó)家標(biāo)準(zhǔn)對(duì)行業(yè)等級(jí)保護(hù)進(jìn)行定級(jí)，制定企業(yè)信息安全建設(shè)工作規(guī)劃和總體部署；第二步：開(kāi)展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析，確定安全保護(hù)策略，制定整改方案；第三步：整改建設(shè)，從管理和技術(shù)兩個(gè)方面開(kāi)展信息統(tǒng)安全建設(shè)；第四步：測(cè)評(píng)完善，開(kāi)展安全自檢自查、風(fēng)險(xiǎn)評(píng)估和等級(jí)測(cè)評(píng)，及時(shí)發(fā)現(xiàn)企業(yè)存在的信息安全隱患和威脅，進(jìn)一步開(kāi)展安全建設(shè)工作，企業(yè)信息安全體系建設(shè)流程如圖2 所示。

　　2.2 規(guī)劃部署

　　按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240-2008)、《信息安全管理體系要求》(GB/T22080-2008) 等標(biāo)準(zhǔn)要求并結(jié)合行業(yè)特點(diǎn)，對(duì)企業(yè)信息安全體系建設(shè)進(jìn)行統(tǒng)一規(guī)劃部署。

　　2.3 現(xiàn)狀分析

　　開(kāi)展企業(yè)信息安全保護(hù)現(xiàn)狀分析，查找信息安全保護(hù)建設(shè)整改需要解決的問(wèn)題，分析判斷目前所采取的安全管理、技術(shù)措施與《信息系統(tǒng)安全管理要求》( GB/T 20269-2006)、《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》( GB/T 25070-2010) 等標(biāo)準(zhǔn)要求之間的差距，針對(duì)問(wèn)題不足制定安全保護(hù)策略，形成整改方案。

　　2.4 整改建設(shè)

　　按照最新國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T 25058-2010)、《信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)對(duì)整改建設(shè)過(guò)程的起始、設(shè)計(jì)、建設(shè)、運(yùn)行和維護(hù)各個(gè)階段進(jìn)行管理控制，確保項(xiàng)目實(shí)施質(zhì)量。以下從管理和技術(shù)兩個(gè)方面介紹信息安全體系建設(shè)：

　　2.4.1 信息安全管理建設(shè)

　　信息安全工作的重點(diǎn)正從傳統(tǒng)的側(cè)重技術(shù)向關(guān)注管理轉(zhuǎn)變，信息安全管理建設(shè)顯得尤為重要，信息安全管理建設(shè)包括有：

　　(1)信息安全組織建設(shè)

　　信息安全組織是根據(jù)企業(yè)信息安全規(guī)劃明確了信息安全團(tuán)隊(duì)職能和職責(zé)。

　　(2)信息安全制度建設(shè)

　　設(shè)備和介質(zhì)安全管理，明確配套設(shè)施、軟硬件設(shè)備管理、維護(hù)的責(zé)任人，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備采購(gòu)、發(fā)放、維護(hù)等過(guò)程進(jìn)行控制，加強(qiáng)對(duì)涉外維修、敏感數(shù)據(jù)銷毀等過(guò)程的監(jiān)督控制。

　　日常運(yùn)行維護(hù)，明確網(wǎng)絡(luò)、系統(tǒng)日常運(yùn)行維護(hù)的責(zé)任人，對(duì)運(yùn)行管理中的日常操作、賬號(hào)管理、日志管理、補(bǔ)丁升級(jí)、口令更新等過(guò)程進(jìn)行控制和管理，制訂相應(yīng)的管理制度和操作規(guī)程并落實(shí)執(zhí)行。

　　災(zāi)難備份，防止重大事故、事件發(fā)生。識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等，制定數(shù)據(jù)的備份策略和恢復(fù)策略，建立備份與恢復(fù)管理相關(guān)的安全管理制度。

　　事件處置與應(yīng)急響應(yīng)，按照《信息安全事件分類分級(jí)指南》(GB/T 20986-2007)、《信息安全事件管理指南》(GB/T 20985-2007)確定信息安全事件的等級(jí)。結(jié)合《信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》(GB/T24363-2009)制定信息安全事件分級(jí)應(yīng)急處置預(yù)案，明確應(yīng)急處置策略，落實(shí)應(yīng)急指揮部門、執(zhí)行部門和技術(shù)支撐部門，建立應(yīng)急協(xié)調(diào)機(jī)制。

　　2.4.2 信息安全技術(shù)建設(shè)

　　信息安全技術(shù)建設(shè)從保證企業(yè)業(yè)務(wù)連續(xù)性的角度出發(fā), 從構(gòu)建設(shè)備安全可靠、基礎(chǔ)架構(gòu)安全、安全技術(shù)部署、統(tǒng)一安全管理、用戶行為安全五個(gè)方面， 規(guī)劃了以等級(jí)保護(hù)為基礎(chǔ)的控制架構(gòu), 以符合國(guó)家關(guān)于信息安全保障體系與等級(jí)保護(hù)的要求，企業(yè)信息安全技術(shù)建設(shè)如圖3 所示。

　　(1)設(shè)備安全可靠

　　高可靠性永遠(yuǎn)是企業(yè)必不可少的重要需求。設(shè)備的可靠性就像自然界的生態(tài)平衡，維系著系統(tǒng)的正常運(yùn)轉(zhuǎn)，一旦平衡被打破，需要具備自我恢復(fù)能力。高可靠性的設(shè)備和可靠性技術(shù)是保證信息安全的基礎(chǔ)。

　　(2)基礎(chǔ)架構(gòu)安全

　　信息技術(shù)基礎(chǔ)架構(gòu)安全應(yīng)該以網(wǎng)絡(luò)安全架構(gòu)作為主體, 并在此基礎(chǔ)上結(jié)合相應(yīng)的系統(tǒng)軟硬件進(jìn)行安全部署和配置。網(wǎng)絡(luò)應(yīng)該采用模塊化、冗余的網(wǎng)絡(luò)架構(gòu)，按照功能區(qū)域劃分的方法, 根據(jù)網(wǎng)絡(luò)所承載業(yè)務(wù)系統(tǒng)的特性與所面臨的風(fēng)險(xiǎn), 劃分不同的網(wǎng)絡(luò)功能區(qū)域, 并根據(jù)業(yè)務(wù)的安全需求以及等級(jí)保護(hù)的要求, 對(duì)不同區(qū)域之間的信息訪問(wèn)做出限制。

　　(3)安全技術(shù)部署

　　從FW/VPN、IPS/IDS、防病毒系統(tǒng)、漏洞掃描、行為審計(jì)系統(tǒng)等多種安全設(shè)備到資源采集syslog、snmp、netstream 等多種數(shù)據(jù)源，對(duì)所有安全信息進(jìn)行分析、匯聚和存儲(chǔ)。

　　(4)統(tǒng)一安全管理

　　統(tǒng)一安全管理不能簡(jiǎn)單地理解為單一的產(chǎn)品或方案的堆砌，它是銜接網(wǎng)絡(luò)安全設(shè)備的技術(shù)橋梁，不僅包括安全資源基礎(chǔ)管理、安全威脅集中監(jiān)控、風(fēng)險(xiǎn)評(píng)估、安全審計(jì)、響應(yīng)恢復(fù)等管理功能，同時(shí)還強(qiáng)調(diào)與企業(yè)安全制度、流程相結(jié)合，實(shí)現(xiàn)管理與技術(shù)的共同發(fā)展。

　　(5)用戶行為安全

　　對(duì)網(wǎng)絡(luò)中的用戶行為進(jìn)行全面的監(jiān)控、預(yù)警、審計(jì)，快速全面掌握網(wǎng)絡(luò)中的帶寬濫用、非法上網(wǎng)及流量異常情況，并采取有效措施進(jìn)行控制管理。

　　信息安全技術(shù)建設(shè)的五個(gè)方面應(yīng)具有聯(lián)動(dòng)功能，使分散在企業(yè)的各個(gè)安全策略形成一個(gè)整體。同時(shí)，應(yīng)具有動(dòng)態(tài)適應(yīng)環(huán)境的能力，要求技術(shù)措施和管理機(jī)制的有效結(jié)合。

　　2.5 測(cè)評(píng)完善

　　按照《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2007)、《信息安全風(fēng)險(xiǎn)管理指南》(GB/T24364-2009)等標(biāo)準(zhǔn)要求采取自檢自查、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)等方法，分析判斷目前所采取的安全措施的不足、存在的問(wèn)題，制定安全策略，不斷鞏固和完善信息安全體系。

　　3、結(jié)束語(yǔ)

　　隨著信息技術(shù)的革新，各種新的技術(shù)層出不窮，新的應(yīng)用帶來(lái)了新的安全問(wèn)題，威脅也在不斷地演變，可以看出企業(yè)信息安全體系建設(shè)是一項(xiàng)系統(tǒng)工程，而不是單純通過(guò)建立一些制度、規(guī)范或采用某些新技術(shù)就可以完成的過(guò)程。因此，企業(yè)信息安全體系建設(shè)應(yīng)該與企業(yè)業(yè)務(wù)和信息化建設(shè)協(xié)調(diào)發(fā)展。同時(shí)，信息安全體系應(yīng)該是一個(gè)開(kāi)放的體系, 具有持續(xù)改進(jìn)的能力, 企業(yè)只有結(jié)合自身業(yè)務(wù)特點(diǎn)建立信息安全體系和信息安全保護(hù)長(zhǎng)效機(jī)制，真正消除安全威脅隱患，才能實(shí)現(xiàn)信息安全的有效管理。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：企業(yè)信息安全標(biāo)準(zhǔn)應(yīng)用綜述

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839510697.html