美章网 资料文库 企业信息安全管理与体系设计范文

企业信息安全管理与体系设计范文

本站小编为你精心准备了企业信息安全管理与体系设计参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

企业信息安全管理与体系设计

一、信息安全的概念与特征

信息,同企业其他资产一样是种资产,对企业的发展有很大作用。信息以各种形式存在,包括纸质的、电子的、图像的等。我国信息专家钟义信认为:“信息是该事物运动的状态和状态变化方式的自我表述/自我显示。”顾名思义,信息安全既保障“信息”的“安全”。关于信息安全,国际标准化组织(ISO)认为:“信息安全是在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。我国信息安全专家沈昌祥院士则认为:“信息安全是保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性”。

二、企业信息安全体系设计

2.1企业信息安全体系方案概述

2.1.1信息安全体系设计原则

企业信息安全体系的设计应遵从以下原则:

(1)性能平衡,合理划分:提高整个系统的“安全低点”的性能,保证各层面能得到均衡防护;按照合理原则划分为安全等级,分区域、分等级防护。

(2)标准一致,功能互补:在产品技术、产品设备选择方面,尽可能遵循同一业界标准;充分考虑不同厂商、不同安全产品的功能互补,在进行多层防护时,考虑使用不同厂家的。

(3)统筹规划,分步实施。

2.1.2信息安全体系框架

网络安全的实现不是目标,是过程。其过程经历了安全评估、制订安全策略、安全培训、安全技术实施、安全网络检测、应急响应和灾难恢复等环节,并不断地螺旋式提高发展,得以实现网络安全。信息安全体系的三要素:管理、技术和运维。通过一系列的战略、系统和机制的协调,明确技术实现方法与相关安全操作人员的职责,从而达到安全风险的发现和有效控制,从而改善的安全问题反应速度和恢复能力,增强整体网络安全能力。管理方面,建立、健全安全组织结构;技术方面,建立分层网络安全策略;运维方面,通过不同的安全机制,提高网络安全的能力。

2.2企业信息安全技术体系

2.2.1信息安全技术体系概述

(l)设计原则

分析企业信息网络安全面临的主要威胁,实施有针对性的安全技术体系。安全技术体系的总体性要求如下:全面综合:采用综合解决方案,体系层次化,具有纵深性。集成统一:有效集成各类管理工具,集中化管理所有IT系统。开放适应:支持各种安全管理标准,能适应组织和环境的变化。

(2)信息安全技术体系框架

通过物理安全、网络安全、系统安全、应用安全等方面进行建设。具体有以下措施:物理安全防护建设;统一容灾备份中心建设;防火墙系统的部署;入侵防护系统的部署;系统安全防护建设;防病毒系统部署;漏洞扫描系统部署;信息审计系统防护。

2.2.2物理安全防护建设

(1)配套设备安全

采用多路供电(市电、动力电、UPS)的方法,多路电源同时接入企业信息系统大楼或主机房及重要信息存储、收发等重要部门,当市电故障后自动切换至动力电,动力电故障后自动至UPS供电。并且,当下级电源恢复后,应立即自动切换回去。这样,既保证了安全性,又降低了运行费用。形成一套完整的先进和完善的供电系统及紧急报警系统。供电系统中,会有尖峰、浪涌等不良现象发生,一旦发生,轻则断电重启,重则烧毁并引发火灾。这种情况下,UPS也无济于事。为避免对供电质量和造成不安全因素,可以使用电力净化系统。电源净化系统不仅保证电源质量,同时还可减少电磁污染,避免信息随电缆外泄。用多路供电接入企业机房及重要部门,降低了运行成本,又保证了系统的安全。

(2)计算机场地安全

严格按照国家标准建设,如国标GB/T2887-2000《电子计算机场地通用规范》、GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》等。《电子计算机场地通用规范》规定了站址选择条件:计算机场地尽量建在电力、水源充足,自然环境清洁、通信、交通运输方便的地方;应尽量避开强电磁场的干扰;应尽量远离强振动源和强噪声源;应尽量建在建筑物的高层及地下室以及用水设备的下层。规定了温度、湿度条件并将它分成ABC三级;规定了照明、日志、电磁场干扰具体技术条件;规定了接地、供电、建筑结构条件等。

2.2.3统一容灾备份中心建设

无论企业信息系统设计、维护得多科学合理,故障的发生都是不可避免的,因此在设计时都应考虑容灾解决方案,即统一容灾备份中心建设。基本思路是“数据冗余+异地分布”,即在异地建立和维护一份或多份数据冗余,利用数据的冗余性和地理分散性来提高对灾难事件的抵御能力。企业数据容灾,存储是基础,备份是核心,恢复是关键。信息网络采用本地备份与异地备份的混合方式,以确保数据或系统的安全。通过各种层面的冗余技术,减少单点故障;使用合适的备份技术实现针对各个位置存放的数据的保护、隔离和严格访问,保证数据的一致性、安全性和完整性。包括:存储磁盘的冗余设计,对系统盘采用RAID1技术,对数据盘采用RAID5技术。数据的冗余备份设计:数据库数据文件的存放采用基于SAN架构的存储方案,在保证读取速度的同时,利用远程数据镜像和数据复制技术进行冗余备份,在区域性空难发生时能更大限度保证数据完整和安全。对核心业务的数据库数据,还可利用SQLServer自带的数据备份工具进行数据库文件备份,有效应对文件损坏或人为误操作带来的数据风险。对正常业务中关键数据或全业务数据进行保护,将主数据库的数据以逻辑的方式在异地机房建设一个同样的数据库,并且实时更新数据,当主数据库因灾损坏或失去,异地数据库可以及时接管业务,从而达到容灾的目的。

三、结论及展望

安全只是相对的,没有绝对的安全。企业信息安全的重点在于防范,应该在企业信息化建设之初、危害发生之前对信息安全做出规划,建立全面的信息安全防范体系。信息安全管理工作是一项综合性系统工程,要建立一个安全可靠的网络信息安全系统,不光要有专业的安全产品,更要有规范和强有力的安全管理制度,在企业全员的参与努力下,提高信息安全意识,严格按有关管理制度来操作,才能建立安全可靠的网络安全防护体系,才能保证企业信息系统的正常运作,最大限度的降低安全风险。

作者:吴君单位:南京脑科医院