導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇物聯(lián)網(wǎng)安全總結(jié)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【 關(guān)鍵詞 】 信息安全；規(guī)劃；規(guī)范；完善；信息系統(tǒng)

Research Into the Information Security Status Quo at Home and Abroad

Lin Lin

（Information Security Department of the Patent Office Beijing 100088）

【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis， for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect， standardization of information security system provides some reference opinions.

【 Keywords 】 information security； planning； specification； perfect； information system

1 引言

在當(dāng)今全球一體化的環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應(yīng)用。許多組織對(duì)其信息系統(tǒng)不斷增長(zhǎng)的依賴性，加上在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)、收益和機(jī)會(huì)，使得信息安全管理成為信息化管理越來(lái)越關(guān)鍵的一部分。面對(duì)越來(lái)越嚴(yán)峻的安全形勢(shì)，世界各國(guó)高度重視信息安全保障。2015年已然過(guò)半，在安全行業(yè)，不同規(guī)模的攻擊者，無(wú)論是技術(shù)還是組織都在快速提升。相比之下美國(guó)信息安全保障體系建設(shè)比較完善，信息保障已成為美軍組織實(shí)施信息化作戰(zhàn)的指導(dǎo)思想。

國(guó)際上信息安全標(biāo)準(zhǔn)化工作興起于20世紀(jì)70年代中期，80年代有了較快的發(fā)展，90年代引起了世界各國(guó)的普遍關(guān)注。目前世界上有近300個(gè)國(guó)際和區(qū)域性組織制定標(biāo)準(zhǔn)或技術(shù)規(guī)則，與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有幾個(gè)：ISO（國(guó)際標(biāo)準(zhǔn)化組織）、IEC（國(guó)際電工委員會(huì)）、ITU（國(guó)際電信聯(lián)盟）、IETF（Internet工程任務(wù)組）等。除了上述標(biāo)準(zhǔn)組織，世界各國(guó)的官方機(jī)構(gòu)和行業(yè)監(jiān)管機(jī)構(gòu)還有許多信息安全方面的標(biāo)準(zhǔn)、指引和建議的操作實(shí)踐。

2 國(guó)外IT新技術(shù)信息安全

隨著全球信息化浪潮的不斷推進(jìn)，信息技術(shù)正在經(jīng)歷一場(chǎng)新的革命，使社會(huì)經(jīng)濟(jì)生活各方面都發(fā)生著日新月異的變化。虛擬化、云計(jì)算、物聯(lián)網(wǎng)、IPv6等新技術(shù)、新應(yīng)用和新模式的出現(xiàn)，對(duì)信息安全提出了新的要求，拓展了信息安全產(chǎn)業(yè)的發(fā)展空間。同時(shí)，新技術(shù)、新應(yīng)用和新模式在國(guó)外市場(chǎng)的全面開(kāi)拓將加快國(guó)外信息安全技術(shù)創(chuàng)新速度，催生云安全等新的信息安全應(yīng)用領(lǐng)域，為國(guó)外企業(yè)與國(guó)際同步發(fā)展提供了契機(jī)。

2.1 云計(jì)算

“云安全”是繼“云計(jì)算”、“云存儲(chǔ)”之后出現(xiàn)的“云”技術(shù)的重要應(yīng)用，已經(jīng)在反病毒軟件中取得了廣泛的應(yīng)用，發(fā)揮了良好的效果。在病毒與反病毒軟件的技術(shù)競(jìng)爭(zhēng)當(dāng)中為反病毒軟件奪得了先機(jī)。云安全聯(lián)盟CSA是在2009年的RSA大會(huì)上宣布成立的，云安全聯(lián)盟成立的目的是為了在云計(jì)算環(huán)境下提供最佳的安全方案。同時(shí)云安全聯(lián)盟列出了云計(jì)算的七大安全風(fēng)險(xiǎn)：（1）數(shù)據(jù)丟失/泄漏；（2）共享技術(shù)漏洞；（3）內(nèi)部控制；（4）賬戶、服務(wù)和通信劫持；（5）不安全的應(yīng)用程序接口；（6）沒(méi)有正確運(yùn)用云計(jì)算；（7）透明度問(wèn)題。

2.2 虛擬化

咨詢公司Gartner將虛擬化技術(shù)列為2013年十大戰(zhàn)略技術(shù)第一位，而在2014年初預(yù)測(cè)中，更是大膽斷言到2015年20%的企業(yè)將不再擁有IT資產(chǎn)，因?yàn)槎鄠€(gè)內(nèi)在關(guān)聯(lián)的趨勢(shì)正在推動(dòng)企業(yè)去逐步減少IT硬件資產(chǎn)，這些趨勢(shì)主要是虛擬化、云計(jì)算服務(wù)等。而虛擬化技術(shù)，作為云計(jì)算的一個(gè)支撐技術(shù)，必將成為未來(lái)最重要的最值得研究的IT技術(shù)之一。雖然目前針對(duì)各組件安全的保護(hù)措施不少，但是從CVE的公告中可以看出安全威脅仍然存在。目前針對(duì)虛擬化環(huán)境的主要威脅有三類：逃逸威脅、流量分析與隱蔽信道以及Host OS與Guest OS之間的共享問(wèn)題。

2.3 物聯(lián)網(wǎng)

物聯(lián)網(wǎng)和互聯(lián)網(wǎng)一樣，都是一把“雙刃劍”。物聯(lián)網(wǎng)是一種虛擬網(wǎng)絡(luò)與現(xiàn)實(shí)世界實(shí)時(shí)交互的新型系統(tǒng)，其特點(diǎn)是無(wú)處不在的數(shù)據(jù)感知、以無(wú)線為主的信息傳輸、智能化的信息處理。根據(jù)物聯(lián)網(wǎng)自身的特點(diǎn)，物聯(lián)網(wǎng)除了面對(duì)移動(dòng)通信網(wǎng)絡(luò)的傳統(tǒng)網(wǎng)絡(luò)安全問(wèn)題之外，還存在著一些與已有移動(dòng)網(wǎng)絡(luò)安全不同的特殊安全問(wèn)題。這是由于物聯(lián)網(wǎng)是由大量的機(jī)器構(gòu)成，缺少人對(duì)設(shè)備的有效監(jiān)控，并且數(shù)量龐大，設(shè)備集群等相關(guān)特點(diǎn)造成的，這些特殊的安全問(wèn)題主要有幾個(gè)方面：（l）物聯(lián)網(wǎng)機(jī)器/感知節(jié)點(diǎn)的本地安全問(wèn)題；（2）感知網(wǎng)絡(luò)的傳輸與信息安全問(wèn)題；（3）核心網(wǎng)絡(luò)的傳輸與信息安全問(wèn)題；（4）物聯(lián)網(wǎng)應(yīng)用的安全問(wèn)題。

2.4 IPv6

為適應(yīng)Intemet的迅速發(fā)展及對(duì)網(wǎng)絡(luò)安全性的需要，由IETF（The Internet Engineer Task Force）建議制定的下一代網(wǎng)際協(xié)議（IPNextGeneration Protocol，IPng），又被稱為IP版本6（1Pv6），除了擴(kuò)展到128位地址來(lái)解決地址匱乏外，在網(wǎng)絡(luò)安全上也做了多項(xiàng)改進(jìn)，可以有效地提高網(wǎng)絡(luò)的安全性。

由于IPv6與IPv4網(wǎng)絡(luò)將會(huì)，網(wǎng)絡(luò)必然會(huì)同時(shí)存在兩者的安全問(wèn)題，或由此產(chǎn)生新的安全漏洞。已經(jīng)發(fā)現(xiàn)從IPv4向IPv6轉(zhuǎn)移時(shí)出現(xiàn)的一些安全漏洞，例如黑客可以使用IPv6非法訪問(wèn)采用了IPv4和IPv6兩種協(xié)議的LAN的網(wǎng)絡(luò)資源，攻擊者可以通過(guò)安裝了雙棧的使用IPv6的主機(jī)，建立由IPv6到IPv4的隧道，繞過(guò)防火墻對(duì)IPv4進(jìn)行攻擊。

3 國(guó)外信息安全發(fā)展趨勢(shì)

據(jù)Gartner分析，當(dāng)前國(guó)際大型企業(yè)在信息安全領(lǐng)域主要有幾個(gè)發(fā)展趨勢(shì)：（1） 信息安全投資從基礎(chǔ)架構(gòu)向應(yīng)用系統(tǒng)轉(zhuǎn)移；（2）信息安全的重心從技術(shù)向管理轉(zhuǎn)移；（3）信息安全管理與企業(yè)風(fēng)險(xiǎn)管理、內(nèi)控體系建設(shè)的結(jié)合日益緊密；（4）信息技術(shù)逐步向信息安全管理滲透。結(jié)合大型企業(yè)信息安全發(fā)展趨勢(shì)，國(guó)際各大咨詢公司、廠商等機(jī)構(gòu)紛紛提出了符合大型企業(yè)業(yè)務(wù)和信息化發(fā)展需要的信息安全體系架構(gòu)模型，著力建立全面的企業(yè)信息安全體系架構(gòu)，使企業(yè)的信息安全保護(hù)模式從較為單一的保護(hù)模式發(fā)展成為系統(tǒng)、全面的保護(hù)模式。

4 國(guó)外信息安全總結(jié)

信息安全在國(guó)外已經(jīng)上升到了國(guó)家戰(zhàn)略層次，國(guó)外的信息安全總體發(fā)展領(lǐng)先于國(guó)內(nèi)，特別是歐美，研究國(guó)外的信息安全現(xiàn)狀有助于我國(guó)的信息安全規(guī)劃。國(guó)外的主流的信息安全體系框架較多，都有其適用范圍和缺點(diǎn)，并不完全符合我國(guó)現(xiàn)狀，可選取框架的先進(jìn)理念和組成部分為我國(guó)所用，如IATF的縱深防御理念和分層分區(qū)理念、ISO27000的信息安全管理模型、IBM的安全治理模塊等。

5 國(guó)內(nèi)信息安全綜述

目前，國(guó)家開(kāi)始高度重視信息安全問(wèn)題，以等級(jí)保護(hù)和分級(jí)保護(hù)工作為主要手段，加強(qiáng)我國(guó)企事業(yè)單位的信息安全保障水平。 目前我國(guó)信息于網(wǎng)絡(luò)安全的防護(hù)能力處于發(fā)展的初級(jí)階段，許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)，信息與網(wǎng)絡(luò)安全，目前處于忙于封堵現(xiàn)有信息系統(tǒng)的安全漏洞，要解決這 些迫在眉睫的問(wèn)題，歸根結(jié)底取決于信息安全保障體系的建設(shè)。

6 國(guó)內(nèi)信息安全標(biāo)準(zhǔn)

國(guó)內(nèi)的安全標(biāo)準(zhǔn)組織主要有信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（CITS）、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)、公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)、國(guó)家保密局、國(guó)家密碼管理委員會(huì)等部門。

在信息安全標(biāo)準(zhǔn)方面，我國(guó)已了《信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施在線證書(shū)狀態(tài)協(xié)議》、《信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施證書(shū)管理協(xié)議》等幾十項(xiàng)重要的國(guó)家信息安全基礎(chǔ)標(biāo)準(zhǔn)，初步形成了包括基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)和測(cè)評(píng)標(biāo)準(zhǔn)在內(nèi)的信息安全標(biāo)準(zhǔn)體系框架。

7 國(guó)內(nèi)IT新技術(shù)信息安全

7.1 云計(jì)算

目前我國(guó)的云計(jì)算應(yīng)用還處于初始階段，關(guān)注的重點(diǎn)是數(shù)據(jù)中心建設(shè)、虛擬化技術(shù)方面，因此，我國(guó)的云安全技術(shù)多數(shù)集中在虛擬化安全方面，對(duì)于云應(yīng)用的安全技術(shù)所涉及的還不多。雖然當(dāng)前眾多廠商提出了各種云安全解決方案，但云安全仍處于起步階段，除了可能發(fā)生的大規(guī)模計(jì)算資源的系統(tǒng)故障外，云計(jì)算安全隱患還包括缺乏統(tǒng)一的安全標(biāo)準(zhǔn)、適用法規(guī)、以及對(duì)于用戶的隱私保護(hù)、數(shù)據(jù)、遷移、傳輸安全、災(zāi)備等問(wèn)題。

7.2 虛擬化

由于虛擬化技術(shù)能夠通過(guò)服務(wù)器整合而顯著降低投資成本，并通過(guò)構(gòu)建內(nèi)部云和外部云節(jié)省大量的運(yùn)營(yíng)成本，因此加速了虛擬化在全球范圍的普及與應(yīng)用。目前許多預(yù)測(cè)已經(jīng)成為現(xiàn)實(shí)：存儲(chǔ)虛擬化真正落地、高端應(yīng)用程序虛擬化漸成主流、網(wǎng)絡(luò)虛擬化逐漸普及、虛擬化數(shù)據(jù)中心朝著云計(jì)算的方向大步邁進(jìn)、管理工具比以往更加關(guān)注虛擬數(shù)據(jù)中心。在虛擬化技術(shù)應(yīng)用方面，企業(yè)桌面虛擬化、手機(jī)虛擬化、面向虛擬化的安全解決方案、虛擬化推動(dòng)綠色中心發(fā)展等領(lǐng)域也取得了長(zhǎng)足進(jìn)步，發(fā)展勢(shì)頭比之前預(yù)想的還要迅猛。

7.3 IPv6

我國(guó)IPv6標(biāo)準(zhǔn)整體上仍處于跟隨國(guó)際標(biāo)準(zhǔn)的地位，IPv6標(biāo)準(zhǔn)進(jìn)展與國(guó)際標(biāo)準(zhǔn)基本一致，在過(guò)渡類標(biāo)準(zhǔn)方面有所創(chuàng)新（如軟線技術(shù)標(biāo)準(zhǔn)和 IVI技術(shù)標(biāo)準(zhǔn)等），已進(jìn)入國(guó)際標(biāo)準(zhǔn)。中國(guó)運(yùn)營(yíng)企業(yè)在IPv6網(wǎng)絡(luò)的發(fā)展，奠定了中國(guó)在世界范圍內(nèi)IPv6領(lǐng)域的地位，積累了一定的運(yùn)營(yíng)經(jīng)驗(yàn)。但總體來(lái)看，我國(guó)IPv6運(yùn)營(yíng)業(yè)發(fā)展緩慢，主要體現(xiàn)在IPv6網(wǎng)絡(luò)集中在骨干網(wǎng)層面，向邊緣網(wǎng)絡(luò)延伸不足，難以為IPv6特色業(yè)務(wù)的開(kāi)發(fā)和規(guī)模商用提供有效平臺(tái)。此外，由于運(yùn)營(yíng)企業(yè)積極申請(qǐng)IPv4地址，或采用私有地址，對(duì)于發(fā)展IPv6用戶并不積極，直接影響了其他產(chǎn)業(yè)環(huán)節(jié)的IPv6投入力度。

8 國(guó)內(nèi)信息安全發(fā)展趨勢(shì)

隨著信息技術(shù)的快速發(fā)展和廣泛應(yīng)用，基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全、信息資源安全以及個(gè)人信息安全等問(wèn)題與日俱增，應(yīng)用安全日益受到關(guān)注，主動(dòng)防御技術(shù)成為信息安全技術(shù)發(fā)展的重點(diǎn)。

第一，向系統(tǒng)化、主動(dòng)防御方向發(fā)展。信息安全保障逐步由傳統(tǒng)的被動(dòng)防護(hù)轉(zhuǎn)向"監(jiān)測(cè)-響應(yīng)式"的主動(dòng)防御，產(chǎn)品功能集成化、系統(tǒng)化趨勢(shì)明顯，功能越來(lái)越豐富，性能不斷提高；產(chǎn)品問(wèn)自適應(yīng)聯(lián)動(dòng)防護(hù)、綜合防御水平不斷提高。

第二，向網(wǎng)絡(luò)化、智能化方向發(fā)展。計(jì)算技術(shù)的重心從計(jì)算機(jī)轉(zhuǎn)向互聯(lián)網(wǎng)，互聯(lián)網(wǎng)正在逐步成為軟件開(kāi)發(fā)、部署、運(yùn)行和服務(wù)的平臺(tái)，對(duì)高效防范和綜合治理的要求日益提高，信息安全產(chǎn)品向網(wǎng)絡(luò)化、智能化方向發(fā)展。網(wǎng)絡(luò)身份認(rèn)證、安全智能技術(shù)、新型密碼算法等信息安全技術(shù)日益受到重視。

第三，向服務(wù)化方向發(fā)展。信息安全內(nèi)容正從技術(shù)、產(chǎn)品主導(dǎo)向技術(shù)、產(chǎn)品、服務(wù)并重調(diào)整，安全服務(wù)逐步成為發(fā)展重點(diǎn)。

9 國(guó)內(nèi)信息安全總結(jié)

國(guó)內(nèi)的信息安全較國(guó)外有一定距離，不過(guò)也正在快速趕上，國(guó)內(nèi)現(xiàn)在以等級(jí)保護(hù)體系和分級(jí)保護(hù)體系為主要手段，以保護(hù)重點(diǎn)為特點(diǎn)，強(qiáng)制實(shí)施以提高對(duì)重點(diǎn)系統(tǒng)和設(shè)施的信息安全保障水平，國(guó)內(nèi)的信息安全標(biāo)準(zhǔn)通過(guò)引進(jìn)和消化也已經(jīng)初步成了體系，我國(guó)在規(guī)劃時(shí)，需考慮合規(guī)因素，如等級(jí)保護(hù)和分級(jí)保護(hù)。國(guó)內(nèi)的信息安全體系框架較少，主要是等級(jí)保護(hù)和分級(jí)保護(hù)，也有國(guó)內(nèi)專家個(gè)人推崇的框架，總體來(lái)講，以合規(guī)為主要目的。

參考資料

[1] 中華人民共和國(guó)國(guó)務(wù)院.中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例.1994.

[2] 公安部，國(guó)家保密局，國(guó)家密碼管理局，國(guó)務(wù)院信息化工作辦公室.信息安全等級(jí)保護(hù)管理辦法.2007.

[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.

[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.

[5] Trustwave .2012 Global Security Report，2012.

[6] The White House. Federal Plan for Cyber Security and Information Assurance Research and Development. April， 2006.

篇2

關(guān)鍵詞：企業(yè)信息化；信息安全管理體系；信息安全保障

1 企業(yè)信息安全需求與目標(biāo)

近年來(lái)隨著企業(yè)信息系統(tǒng)建設(shè)的不斷發(fā)展，企業(yè)的信息化安全也面臨著前所未有的挑戰(zhàn)。作為中國(guó)高速列車產(chǎn)業(yè)化制造基地和城軌地鐵車輛定點(diǎn)制造企業(yè)，公司的發(fā)展對(duì)高速動(dòng)車行業(yè)產(chǎn)生著舉足輕重的作用；從企業(yè)信息安全現(xiàn)狀分析，公司IT部門主管深深意識(shí)到，盡管從自身情況來(lái)看，在信息安全方面已經(jīng)做了很多工作，如部署了防火墻、SSL VPN、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、文檔加密、終端安全管理系統(tǒng)等。但是安全系統(tǒng)更多的在于防堵來(lái)自某個(gè)方面的安全威脅，無(wú)法產(chǎn)生協(xié)同效應(yīng)，距離國(guó)際同行業(yè)企業(yè)還存在一定的差距。

公司通過(guò)可行性研究及論證，決定借助外力，通過(guò)知名的咨詢公司協(xié)助企業(yè)發(fā)現(xiàn)存在的信息安全不足點(diǎn)，以科研項(xiàng)目方式，通過(guò)研究國(guó)家安全標(biāo)準(zhǔn)體系及國(guó)家對(duì)央企和上市企業(yè)的信息化安全要求，分析企業(yè)目前的現(xiàn)狀和國(guó)際標(biāo)準(zhǔn)ISO27001之間的差距，繼而完善企業(yè)信息安全體系的規(guī)劃與設(shè)計(jì)，最終建立一套適合企業(yè)現(xiàn)狀的信息安全標(biāo)準(zhǔn)和管理體系。目標(biāo)是使公司信息安全從管理到技術(shù)均得到全面加強(qiáng)，建立一個(gè)有責(zé)（職責(zé)）、有序（秩序）、有效（效率）的信息安全管理體系，預(yù)防信息安全事件的發(fā)生，確保更小的業(yè)務(wù)損失，提供客戶滿意度，獲取更多的管理支持。在行業(yè)內(nèi)樹(shù)立標(biāo)桿和示范，提升企業(yè)形象，贏取客戶信任，增強(qiáng)競(jìng)爭(zhēng)力。同時(shí)，使信息安全體系通過(guò)信息安全管理體系通過(guò)ISO 27001認(rèn)證標(biāo)準(zhǔn)。

2 企業(yè)信息安全管理體系建設(shè)過(guò)程

凡事預(yù)則立，不預(yù)則廢。對(duì)于信息安全管理建設(shè)的工作也先由計(jì)劃開(kāi)始。信息安全管理體系建設(shè)分為四個(gè)階段：實(shí)施安全風(fēng)險(xiǎn)評(píng)估、規(guī)劃體系建設(shè)方案、建立信息安全管理體系、體系運(yùn)行及改進(jìn)。也符合信息安全管理循環(huán)PDCA（Plan-Do-Check-Action）模型及ISO27001要求，即有效地保護(hù)企業(yè)信息系統(tǒng)的安全，確保信息安全的持續(xù)發(fā)展。本文結(jié)合作者經(jīng)驗(yàn)，重點(diǎn)論述上述幾個(gè)方面的內(nèi)容。

2.1 確立范圍

首先是確立項(xiàng)目范圍，從機(jī)構(gòu)層次及系統(tǒng)層次兩個(gè)維度進(jìn)行范圍的劃分。從機(jī)構(gòu)層次上，可以考慮內(nèi)部機(jī)構(gòu)：需要覆蓋公司的各個(gè)部門，其包括總部、事業(yè)部、制造本部、技術(shù)本部等；外部機(jī)構(gòu)：則包括公司信息系統(tǒng)相連的外部機(jī)構(gòu)，包括供應(yīng)商、中間業(yè)務(wù)合作伙伴、及其他合作伙伴等。

從系統(tǒng)層次上，可按照物理環(huán)境：即支撐信息系統(tǒng)的場(chǎng)所、所處的周邊環(huán)境以及場(chǎng)所內(nèi)保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行的設(shè)施。包括機(jī)房環(huán)境、門禁、監(jiān)控等；網(wǎng)絡(luò)系統(tǒng)：構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì)，設(shè)備和軟件；服務(wù)器平臺(tái)系統(tǒng)：支撐所有信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶機(jī)及其操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件和Web系統(tǒng)等軟件平臺(tái)系統(tǒng)；應(yīng)用系統(tǒng)：支撐業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng)；數(shù)據(jù)：整個(gè)信息系統(tǒng)中傳輸以及存儲(chǔ)的數(shù)據(jù)；安全管理：包括安全策略、規(guī)章制度、人員組織、開(kāi)發(fā)安全、項(xiàng)目安全管理和系統(tǒng)管理人員在日常運(yùn)維過(guò)程中的安全合規(guī)、安全審計(jì)等。

2.2 安全風(fēng)險(xiǎn)評(píng)估

企業(yè)信息安全是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問(wèn)、利用和篡改，為企業(yè)員工提供安全、可信的服務(wù)，保證信息系統(tǒng)的可用性、完整性和保密性。

本次進(jìn)行的安全評(píng)估，主要包括兩方面的內(nèi)容：

2.2.1 企業(yè)安全管理類的評(píng)估

通過(guò)企業(yè)的安全控制現(xiàn)狀調(diào)查、訪談、文檔研讀和ISO27001的最佳實(shí)踐比對(duì)，以及在行業(yè)的經(jīng)驗(yàn)上進(jìn)行“差距分析”，檢查企業(yè)在安全控制層面上存在的弱點(diǎn)，從而為安全措施的選擇提供依據(jù)。

評(píng)估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個(gè)方面，包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)與維護(hù)、安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。

2.2.2 企業(yè)安全技術(shù)類評(píng)估

基于資產(chǎn)安全等級(jí)的分類，通過(guò)對(duì)信息設(shè)備進(jìn)行的安全掃描、安全設(shè)備的配置，檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、終端、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點(diǎn)，為安全加固提供依據(jù)。

針對(duì)企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行安全評(píng)估。關(guān)鍵應(yīng)用的評(píng)估方式采用滲透測(cè)試的方法，在應(yīng)用評(píng)估中將對(duì)應(yīng)用系統(tǒng)的威脅、弱點(diǎn)進(jìn)行識(shí)別，分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距，為后期改造提供依據(jù)。

提到安全評(píng)估，一定要有方法論。我們以ISO27001為核心，并借鑒國(guó)際常用的幾種評(píng)估模型的優(yōu)點(diǎn)，同時(shí)結(jié)合企業(yè)自身的特點(diǎn)，建立風(fēng)險(xiǎn)評(píng)估模型：

在風(fēng)險(xiǎn)評(píng)估模型中，主要包含信息資產(chǎn)、弱點(diǎn)、威脅和風(fēng)險(xiǎn)四個(gè)要素。每個(gè)要素有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價(jià)值，弱點(diǎn)的屬性是弱點(diǎn)在現(xiàn)有控制措施的保護(hù)下，被威脅利用的可能性以及被威脅利用后對(duì)資產(chǎn)帶來(lái)影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度，風(fēng)險(xiǎn)的屬性是風(fēng)險(xiǎn)級(jí)別的高低。風(fēng)險(xiǎn)評(píng)估采用定性的風(fēng)險(xiǎn)評(píng)估方法，通過(guò)分級(jí)別的方式進(jìn)行賦值。

2.3 規(guī)劃體系建設(shè)方案

企業(yè)信息安全問(wèn)題根源分布在技術(shù)、人員和管理等多個(gè)層面，須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系，并最終落實(shí)到管理措施和技術(shù)措施，才能確保信息安全。

規(guī)劃體系建設(shè)方案是在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，對(duì)企業(yè)中存在的安全風(fēng)險(xiǎn)提出安全建議，增強(qiáng)系統(tǒng)的安全性和抗攻擊性。

在未來(lái)1-2年內(nèi)通過(guò)信息安全體系制的建立與實(shí)施，建立安全組織，技術(shù)上進(jìn)行安全審計(jì)、內(nèi)外網(wǎng)隔離的改造、安全產(chǎn)品的部署，實(shí)現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。在未來(lái)的 3-5 年內(nèi)，通過(guò)完善的信息安全體系和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項(xiàng)目的建設(shè)，將企業(yè)建設(shè)成為一個(gè)注重管理，預(yù)防為主，防治結(jié)合的先進(jìn)型企業(yè)。

2.4 企業(yè)信息安全體系建設(shè)

企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎(chǔ)上，建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力：即預(yù)警（Warn）、保護(hù)（Protect）、檢測(cè)（Detect）、反應(yīng)（Response）、恢復(fù)（Recover）和反擊（Counter-attack），體系應(yīng)該兼顧攘外和安內(nèi)的功能。

安全體系的建設(shè)一是涉及安全管理制度建設(shè)完善；二是涉及到信息安全技術(shù)。首先，針對(duì)安全管理制度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全方針、安全技術(shù)策略和安全管理策略等。安全總體方針涉及安全組織機(jī)構(gòu)、安全管理制度、人員安全管理、安全運(yùn)行維護(hù)等方面的安全制度。安全技術(shù)策略涉及信息域的劃分、業(yè)務(wù)應(yīng)用的安全等級(jí)、安全保護(hù)思路、說(shuō)以及進(jìn)一步的統(tǒng)一管理、系統(tǒng)分級(jí)、網(wǎng)絡(luò)互聯(lián)、容災(zāi)備份、集中監(jiān)控等方面的要求。

其次，信息安全技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)安全技術(shù)、應(yīng)用安全技術(shù)，以及安全基礎(chǔ)設(shè)施平臺(tái)；同時(shí)按照安全技術(shù)所提供的功能又可劃分為預(yù)防保護(hù)類、檢測(cè)跟蹤類和響應(yīng)恢復(fù)類三大類技術(shù)。結(jié)合主流的安全技術(shù)以及未來(lái)信息系統(tǒng)發(fā)展的要求，規(guī)劃信息安全技術(shù)包括：

2.5 體系運(yùn)行及改進(jìn)

信息安全管理體系文件編制完成以后，由公司企劃部門組織按照文件的控制要求進(jìn)行審核。結(jié)合公司實(shí)際，在體系文件編制階段，將該標(biāo)準(zhǔn)與公司的現(xiàn)有其他體系，如質(zhì)量、環(huán)境保護(hù)等體系文件，改歸并的歸并。該修訂審核的再繼續(xù)修訂審核。最終歷經(jīng)幾個(gè)月的努力，批準(zhǔn)并實(shí)施了信息安全管理系統(tǒng)的文檔。至此，信息安全管理體系將進(jìn)入運(yùn)行階段。

有人說(shuō)，信息系統(tǒng)的成功靠的是“三分技術(shù)，七分管理，十二分執(zhí)行”?！皥?zhí)行”是要需要在實(shí)踐中去體會(huì)、總結(jié)與提高。對(duì)于信息系統(tǒng)安全管理體系建設(shè)更是如此！在此期間，以IT部門牽頭，加強(qiáng)宣傳力度，組織了若干次不同層面的宣導(dǎo)培訓(xùn)，充分發(fā)揮體系本身的各項(xiàng)功能，及時(shí)發(fā)現(xiàn)存在的問(wèn)題，找出問(wèn)題根源，采取糾正措施，并按照更改控制程序要求對(duì)體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。

3 總結(jié)

總結(jié)項(xiàng)目，建立健全的信息安全管理制度是進(jìn)行安全管理的基礎(chǔ)。當(dāng)然，體系建設(shè)過(guò)程中還存在不足，如崗位原有職責(zé)與現(xiàn)有安全職責(zé)的界定，員工的認(rèn)知及接受程度還有待提高，體系在各部門領(lǐng)導(dǎo)重視程度、執(zhí)行力度、審核效果存在差距等等。最終，在公司各部門的共同努力下，體系經(jīng)歷了來(lái)自國(guó)際知名品牌認(rèn)證公司DNV及中國(guó)認(rèn)可委（CNAS）的雙重檢驗(yàn)，并通過(guò)嚴(yán)格的體系審核。確認(rèn)了公司在信息安全管理體系達(dá)到國(guó)內(nèi)和國(guó)際信息安全管理標(biāo)準(zhǔn)，提升公司信息安全管理的水平，從而為企業(yè)向國(guó)際化發(fā)展與合作提供有力支撐。

[參考文獻(xiàn)]

[1]沈昌祥.《信息系統(tǒng)安全導(dǎo)論》.電子工業(yè)出版社，2003.7.