一种有效的动态企业信息安全保障体系的设计.pdfVIP

中国计算机信息防护论文集……………… 一种有效的动态企业信息安全防护体系的设计 大连交通大学软件学院 田宏李君秋杨树刚 摘要：信息安全是一门新兴的学科，信息安全没有一种一劳永逸的解决措施，需要将计算机系 统的各种安全防护技术结合运用，提高整体安全防护水平。惟有不断地更新防护技术，加强信息管 理，才能保证信息的安全，企业才能利用信息并从中获取丰厚的效益。信息系统安全的核心是信息 的安全、业务应用系统的安全。而业务应用系统是构筑在网络系统、操作系统、数据库管理系统之 上的。安全防护体系的“木桶”原则为任何一个层面存在安全漏洞，都将对整个系统构成威胁，造成 破坏和损失。本文阐述了企业信息系统的安全需求和网络信息安全防护的动态性表现，并给出了一 种有效的动态企业信息安全解决方案：信息安全体系结构框架。 关键词：信息安全；安全防护体系；企业信息安全解决方案 1前言 随着社会、经济和科学技术的飞速发展，为了提高办事效率和市场反应能力等核心竞争力，使 企业能在信息资讯时代脱颖而出，众多的企业也都纷纷依靠IT技术构建企业自身的信息系统和业务 运营平台。计算机网络在经济和生活的各个领域迅速普及，整个社会对网络的依赖程度越来越大。 网络带给了我们极大的自由与便利，人们的工作、学习和生活方式正在发生巨大变化，效率大为提 高，信息资源得到最大程度的共享。但我们必须看到，随着企业网络的普及和网络开放性，共享 性，互连程度的扩大，网络的安全问题也越来越引起人们的重视。由于网络信息系统具有致命的脆 论文评选蹴 弱性、易受攻击性和开放性，造成了紧随信息化发展而来的网络安全问题日渐凸出。 目前，人们已经开始认识到研究与防范信息安全问题对企业发展的重要性、紧迫性。针对各种 信息安全问题对企业造成影响的不同，攻击特点和原理的不同，人们已经研发出了各种信息安全技 术，以达到最大限度的防范与解决信息安全威胁的目的。 2相关工作 2．1企业信息系统的安全需求 信息安全建设是一个循序渐进、逐步完善提升的过程，信息安全建设大致来说要经历三个阶段： 基本阶段、规范阶段、改进完善阶段。每个阶段在信息安全组织、信息安全管理、信息安全措施上 都有所侧重，主要在安全组织健全程度、安全管理规范性、安全技术措施严密性等方面表现出来。 信息安全建设是一个复杂的系统工程，一般来说，信息安全工程包含八个基本环节和步骤。 第一步，分析信息网络系统所承载的业务和基本安全目标。 第二步，在所管辖的信息网络范围内，进行信息网络安全风险评估，建立信息网络资产清单，识 别信息网络资产的威胁和脆弱性，确定信息网络资产的风险类型和保护等级。 第三步，根据信息网络资产的风险类型和保护等级，制定合适的安全策略和安全防护体系。 第四步，根据信息网络的安全策略，设计安全防范机制，选择风险控制的目标，实现风险控制 管理。 第五步，将信息安全建设工作分解为着干个信息安全工程项目。典型项目有漏洞扫描和安全风险 评估项目、用户统一认证和授权管理项目、网络防病毒项目、桌面机集中安全管理项目、服务器安 全增强项目、网络安全监控项目、网络边界防护项目、远程安全通信项目、网络内容管理项目、补 丁管理项目、系统和数据容灾备份项目。 第六步，根据信息安全工程项目要求，制定实施计划，调整信息网络结构和重新安全配置，部署 ……………中国计算桃信惠防护论文纂 选购合适的安全产品；制定相应信息网络安全管理制度、操作规程以及法律声明。 第七步，对信息安全工程项目进行验收，检查信息网络的安全风险是否已经得到有效控制；检查 信息网络的安全保障能力是否达到业务安全要求。 第八步，验收后，工程项目建设成果正式交付运行；并