企业网络信息安全体系建设的几点考虑因素.pdfVIP

Technology技术 管 理 企业网络信息安全体系建设的几点考虑因素 ■ 高毅夫 (中国石油勘探开发研究院 北京 100083) 摘 要 ：在企业信息化安全体 系建设始末，诸多因素决定了体系建设的最终结果，本文主要阐述， 在构建快速响应与安全可用的企业信息安全体系建设中需要重点考虑的几个起决定和导向作用的因素。 关键字：信息安全评估 安全域 安全策略 终端安全 信息安全等级保护 中图分类号：TP393．08 在全球信息化进程中，中国正处于从被动应 国互联网网络安全报告))中显示：从2007年后， 对向自主发展转变的关键时期，中国企业的生存 针对终端的木马，病毒的数量急剧增多，在新增 经营进入一个快速变化的信息时代。…国家信息 的病毒、木马中，新增木马数为7801911个，占 化领导小组第五次会议上指出：制定和实施国家 全年新增病毒、木马总数的56．13％；黑客后门 信息化发展战略，是顺应世界信息化发展潮流的 类 占全年新增病毒、木马总数的21．97％；而网 重要部署，是实现经济和社会发展新阶段任务的 页脚本所 占比例从去年的0．8％跃升至 5．96％， 重要举措。 成为增长速度最快的一类病毒。 各企业在针对变化与竞争的环境，均纷纷制 针对企业信息化建设中频繁出现的安全问 定了相应的企业信息规划并纷纷开展了企业信息 题，各企业逐步意识到信息安全的重要性，纷纷 化建设，随着信息化建设的进程的不断深化，一 投入资金应对产生的相关信息安全问题；但在多 方面 ，信息化的建设的确为各企提高了业运行效 数企业 中，虽然这种 “补漏洞”式或 “亡羊补 率，提高了企业在市场上的竞争力，与此同时， 牢”式的信息安全建设能够解决短期内局部面临 由于信息化的展开 ，导致各类信息安全事件频繁 的安全问题，并且这样建设的信息安全系统通常 的出现，同时也给企业的前进带来相当多的阻力。 呈现两个极端情况：一方面，安全性非常高，但 是信息化的可用性很低。另一方面 ，为了不影响 1． 信息安全近况 可用性，牺牲了信息化的安全考虑。但是面对快 国家信息产业部则将信息安全事件按照内 速的大面积爆发的新威胁， 这种信息安全构建 容，归类为：有害程序事件、网络攻击事件、信 方式却很难做到信息安全 目标的三个方面即CIA 息破坏事件、信息内容安全、设备设施故障、灾 (confidential，integrity，available)(保密、完 害性事件和其他信息安全事件等7个基本分类。_2 整、可用)三者之间的权衡，最终往往与信息安 根据国家计算机网络应急技术处理协调 中 全体系建设所制定的目标相差甚远，有的甚至浪 心 (简称 国家互联网应急中心，CNCERT 或 费了投资。 CNCERT／CC)在 2008年 出版 的 ((2008年 中 面对这样的局面，企业应该如何构建信息安 158 2009 ． 8—9 数字石油和化工 管 理 技术 Technolo 全体系?