信息安全與安全建設(shè)論文

時(shí)間:2022-02-03 02:33:08

導(dǎo)語:信息安全與安全建設(shè)論文一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

信息安全與安全建設(shè)論文

1安全建設(shè)方法

長(zhǎng)期以來,中國(guó)大多數(shù)企業(yè)的信息安全建設(shè)遵循“木桶理論”,但實(shí)踐證明,在企業(yè)信息安全領(lǐng)域應(yīng)用木桶理論仍存在一定缺陷,很難實(shí)現(xiàn)“標(biāo)本兼治”。企業(yè)信息安全應(yīng)從安全策略、安全管理體系、安全技術(shù)體系和安全運(yùn)維體系四個(gè)方面建設(shè)一個(gè)完善的信息安全體系對(duì)企業(yè)的信息資源提供全方位的安全防護(hù)。整個(gè)安全體系以安全策略為核心,管理、技術(shù)、運(yùn)維三者有機(jī)結(jié)合,又相互支撐。三者之間的關(guān)系為“根據(jù)管理體系中的策略,由相關(guān)組織或人員,利用技術(shù)體系作為工具和手段,進(jìn)行操作來維持運(yùn)行體系”。在建立信息安全體系的過程中,可采用ISO27001:2005所述的“過程方法”,即將“規(guī)劃(Plan)-實(shí)施(Do)-檢查(Check)-處置(Act)”(PDCA)四個(gè)步驟。

2安全策略

信息安全策略研究就是依據(jù)國(guó)家信息安全的方針政策、法律法規(guī)和工作要求,結(jié)合企業(yè)實(shí)際情況和管理要求,制訂企業(yè)信息安全防護(hù)的建設(shè)方針和基本要求,對(duì)信息安全管理體系、技術(shù)體系和運(yùn)維體系中的各種安全控制措施和機(jī)制的部署提出目標(biāo)和原則,是信息化“建、管、用”各項(xiàng)工作和各個(gè)環(huán)節(jié)必須遵守的安全規(guī)則,也是針對(duì)每個(gè)系統(tǒng)和設(shè)備制訂分項(xiàng)安全策略的依據(jù)。

3安全管理

信息安全管理可參照信息安全管理模型,按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)ISO17799標(biāo)準(zhǔn)建立組織完整的安全管理體系并實(shí)施與保持,達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式。管理體系架構(gòu)可分為四層,最高層為企業(yè)信息安全總體策略,為下面的各項(xiàng)分策略和具體的規(guī)章制度提供指導(dǎo)。第二層為企業(yè)信息安全組織體系,作用在于指導(dǎo)實(shí)施安全體系,制定安全的相關(guān)標(biāo)準(zhǔn)和方針,監(jiān)管安全事件等。組織體系須設(shè)立專門的管理機(jī)構(gòu),配備相應(yīng)的安全管理人員,明確主管領(lǐng)導(dǎo),落實(shí)部門責(zé)任,各盡其職。第三層為根據(jù)總策略,對(duì)信息安全涉及的各方面制定有針對(duì)性的分項(xiàng)策略,為安全的具體實(shí)施提供管理和技術(shù)上的指導(dǎo)。第四層為具體的安全管理制度。

4安全技術(shù)

企業(yè)信息安全技術(shù)應(yīng)從網(wǎng)絡(luò)、軟件、主機(jī)、數(shù)據(jù)和應(yīng)用五個(gè)方面,通過使用安全產(chǎn)品和技術(shù),支撐和實(shí)現(xiàn)安全策略,達(dá)到信息系統(tǒng)的保密、完整、可用等安全目標(biāo)。按照P2DR2模型,信息安全技術(shù)體系涉及信息安全防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)四個(gè)方面的內(nèi)容。比如如何通過安全控制措施使信息系統(tǒng)具備比較完善的抵抗攻擊破壞的能力。如何采取檢測(cè)、審計(jì)等技術(shù)手段對(duì)信息系統(tǒng)運(yùn)行狀態(tài)和操作行為進(jìn)行監(jiān)控和記錄,及時(shí)發(fā)現(xiàn)安全隱患和入侵行為并發(fā)出告警。如何通過事件監(jiān)控在發(fā)現(xiàn)安全保護(hù)對(duì)象的安全狀態(tài)發(fā)生改變時(shí),特別是由安全變?yōu)椴话踩?,采取措施?duì)其進(jìn)行響應(yīng)處理,直至恢復(fù)安全狀態(tài),并在安全事件發(fā)生后能夠及時(shí)進(jìn)行分析、定位、跟蹤、排除和取證。如何建立信息系統(tǒng)應(yīng)用和數(shù)據(jù)備份和恢復(fù)機(jī)制,保證在發(fā)生安全事件發(fā)生后能夠及時(shí)有效地對(duì)信息系統(tǒng)的應(yīng)用和數(shù)據(jù)進(jìn)行恢復(fù).

作者:吳洪亮單位:龍巖煙草工業(yè)有限責(zé)任公司