信息安全建設論文參考

　　1安全建設方法

　　長(cháng)期以來(lái)，中國大多數企業(yè)的信息安全建設遵循“木桶理論”，但實(shí)踐證明，在企業(yè)信息安全領(lǐng)域應用木桶理論仍存在一定缺陷，很難實(shí)現“標本兼治”。企業(yè)信息安全應從安全策略、安全管理體系、安全技術(shù)體系和安全運維體系四個(gè)方面建設一個(gè)完善的信息安全體系對企業(yè)的信息資源提供全方位的安全防護。整個(gè)安全體系以安全策略為核心，管理、技術(shù)、運維三者有機結合，又相互支撐。三者之間的關(guān)系為“根據管理體系中的策略，由相關(guān)組織或人員，利用技術(shù)體系作為工具和手段，進(jìn)行操作來(lái)維持運行體系”。在建立信息安全體系的過(guò)程中，可采用ISO27001：2005所述的“過(guò)程方法”，即將“規劃（Plan）－實(shí)施（Do）－檢查（Check）－處置（Act）”（PDCA）四個(gè)步驟。

　　2安全策略

　　信息安全策略研究就是依據國家信息安全的方針政策、法律法規和工作要求，結合企業(yè)實(shí)際情況和管理要求，制訂企業(yè)信息安全防護的建設方針和基本要求，對信息安全管理體系、技術(shù)體系和運維體系中的各種安全控制措施和機制的部署提出目標和原則，是信息化“建、管、用”各項工作和各個(gè)環(huán)節必須遵守的安全規則，也是針對每個(gè)系統和設備制訂分項安全策略的依據。

　　3安全管理

　　信息安全管理可參照信息安全管理模型，按照先進(jìn)的信息安全管理標準ISO17799標準建立組織完整的安全管理體系并實(shí)施與保持，達到動(dòng)態(tài)的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式。管理體系架構可分為四層，最高層為企業(yè)信息安全總體策略，為下面的各項分策略和具體的規章制度提供指導。第二層為企業(yè)信息安全組織體系，作用在于指導實(shí)施安全體系，制定安全的相關(guān)標準和方針，監管安全事件等。組織體系須設立專(zhuān)門(mén)的管理機構，配備相應的安全管理人員，明確主管領(lǐng)導，落實(shí)部門(mén)責任，各盡其職。第三層為根據總策略，對信息安全涉及的各方面制定有針對性的分項策略，為安全的具體實(shí)施提供管理和技術(shù)上的指導。第四層為具體的安全管理制度。

　　4安全技術(shù)

　　企業(yè)信息安全技術(shù)應從網(wǎng)絡(luò )、軟件、主機、數據和應用五個(gè)方面，通過(guò)使用安全產(chǎn)品和技術(shù)，支撐和實(shí)現安全策略，達到信息系統的保密、完整、可用等安全目標。按照P2DR2模型，信息安全技術(shù)體系涉及信息安全防護、檢測、響應和恢復四個(gè)方面的內容。比如如何通過(guò)安全控制措施使信息系統具備比較完善的抵抗攻擊破壞的能力。如何采取檢測、審計等技術(shù)手段對信息系統運行狀態(tài)和操作行為進(jìn)行監控和記錄，及時(shí)發(fā)現安全隱患和入侵行為并發(fā)出告警。如何通過(guò)事件監控在發(fā)現安全保護對象的安全狀態(tài)發(fā)生改變時(shí)，特別是由安全變?yōu)椴话踩�，采取措施對其進(jìn)行響應處理，直至恢復安全狀態(tài)，并在安全事件發(fā)生后能夠及時(shí)進(jìn)行分析、定位、跟蹤、排除和取證。如何建立信息系統應用和數據備份和恢復機制，保證在發(fā)生安全事件發(fā)生后能夠及時(shí)有效地對信息系統的應用和數據進(jìn)行恢復.

【信息安全建設論文參考】相關(guān)文章：

10-08

10-09

10-11

10-09

10-09

10-09

10-08

10-11

10-08

10-07