构建企业信息安全管理体系.docVIP

构建企业信息安全管理体系 　　摘要：随着信息技术的不断发展，企业对信息系统的依赖性越来越强，如何做好信息安全工作，是摆在企业信息部门和管理层面前的一道难题。本文将通过对国际信息安全管理体系发展的分析，在信息安全政策，网络安全，身份管理等方面提出当前的国际通用标准或最佳实践，为企业构建稳固的信息安全管理架构进行了初步探索。 　　关键词：信息安全管理；网络安全；风险评估 　　中图分类号：TP393.08 　　随着信息化技术的高速发展和深入应用，企业对信息系统的依赖性越来越强，绝大部分的业务从纸面迁移到信息系统当中，如何建立稳固的信息安全管理体系已经成为各企业信息管理部门甚至管理层的重要课题。本文将通过对目前国际信息安全行业发展的分析，提出企业构建稳固的信息安全管理架构，提高信息安全水平的初步构想。 　　1企业信息安全政策 　　信息安全政策作为信息安全工作的重中之重，直接展现了企业的信息安全工作的思路。其应当由企业信息安全工作的使命和远景，实施准则等几部分组成。 　　1.1信息安全工作的使命 　　信息安全工作的核心意义是将企业所面临的风险管理至一个可接受的水平。 　　当前主流的风险控制包含以下四个步骤：通过风险评估方法来评估风险；制定安全策略来降低风险；通过监控控制恶意未授权行为；有效地审计。 　　1.2信息安全工作的愿景 　　安全的企业信息化环境可以为任何企业用户提供安全便捷的信息化服务，应用，基础设施，并保护用户的隐私。让用户有安全的身份验证；能安全便捷的使用需要的数据和应用资源；保证通讯和数据的保密性；明确自身的角色，了解角色在企业中的信息安全责任；身边出现的信息安全风险和威胁能得到迅速响应。 　　要达到上述目的，企业需要进行有效的风险管理。风险管理是一个识别风险、评估风险、降低风险的过程。在这个过程中，需要权衡降低风险的成本和业务的需求，确定风险的优先级别，为管理层的决策提供有效的支持。 　　1.3信息安全准则 　　信息安全准则是风险评估和制定最优解决方案的关键，优秀的信息安全准则包括：根据企业业务目标执行风险管理；有组织的确定员工角色和责任；对用户和数据实行最小化权限管理；在应用和系统的计划和开发过程中就考虑安全防护的问题；在应用中实施逐层防护；建立高度集成的安全防护框架；将监控、审计和快速反应结合为一体。 　　良好信息安全准则可以让企业内外部用户了解企业信息安全理念，从而让企业信息管理部门更好地对风险进行管控。 　　2企业信息安全管理的主要手段 　　2.1网络安全 　　（1）保证安全的外部人员连接。在日常工作中，外部合作伙伴经常会提出联入企业内网的需求，由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准，因此存在信息安全隐患。控制此类风险的手段主要有：对用户账户使用硬件KEY等强验证手段；全面管控外部单位的网络接入等。 　　（2）远程接入控制。随着VPN[2-3]技术的不断发展，远程接入的风险已降低到企业的可控范围，而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USB KEY，动态口令牌等硬件认证方式的远程接入要更加的安全。 　　（3）网络划分。在过去，企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟，非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec[4]技术有效提高企业网络安全，实现对位于公司防火墙内部终端的完全管控。 　　（4）网络入侵检测系统。网络入侵检测系统作为防火墙的补充，主要用于监控网络传输，在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备，入侵检测系统能有效防控企业外部的恶意攻击行为，随着信息技术的发展，各大安全厂商如赛门铁克，思科等均研发出来成熟的入侵检测系统产品。 　　（5）无线网络安全。无线网络现在已遍布企业的办公区域，给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全，信息管理部门需要使用更新更安全的协议（如无线保护接入WPA或WPA2）；使用VLAN划分和域提供互相隔离的无线网络；利用802.1x和EAP技术加强对无线网络的访问控制。 　　2.2访问控制 　　（1）密码策略。高强度的密码需要几年时间来破解，而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害，企业必须制定密码策略并利用技术手段保证执行。 　　（2）用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期，要便捷有效地在这个生命周期中对员工的权限进行管理，需要企业具有完善的身份管理平台，从而实现授权流程的自动化，并实现企业内应用的单点登陆。 　　（3）公钥系统[5]。公钥系