构筑企业信息系统的安全防线——企业信息系统安全建设规划探析.docVIP

构筑企业信息系统的安全防线——企业信息系统安全建设规划探析 　　【摘要】随着企业信息化建设的迅猛发展，企业信息系统已成为现代企业运营的基础平台，企业信息系统的安全平稳运行，已关系到整个企业的运营和发展。未雨绸缪，如何应信息安全事件的发生，建设企业信息系统的安全防护体系，保障企业数据的安全性和信息系统的业务连续性，已成为企业信息化建设中需要重点思考的课题。本文针对企业信息系统的安全建设规划，从企业信息系统安全防护价值、企业信息系统安全建设现状分析、企业信息安全建设规划的原则和企业信息安全建设规划的部署建议等几个方面，进行了探讨和分析，旨在帮助企业提高信息系统安全建设的系统性和规范性。 　　【关键词】信息系统；安全建设；防护体系 　　1.企业信息系统安全防护的价值 　　随着企业信息化水平的提高，企业对于IT系统的依赖性也越来越高。一方面，“业务系统流程化”正在成为IT安全建设的驱动力。企业的新业务应用正在逐渐标准化和流程化，各种应用系统如ERP、MES为企业的生产效率的提高起到了关键的作用。有效的管控IT环境，确保IT业务系统的持续稳定运行作为企业竞争力的一部分，已成为IT系统安全防护的主要目标和关键驱动力。另一方面，企业IT安全的建设也是“法规遵从”的需要。IT系统作为企业财务应用系统的重要支撑，必须提供可靠的运行保障和数据正确性保证。 　　2.企业信息系统安全建设的现状分析 　　在企业信息化建设的过程中，业务系统的建设一直是关注的重点，但是IT业务系统的安全保障方面，往往成为整个信息化最薄弱的环节，尤其是在信息化水平还较低的情况下，IT系统的安全建设缺乏统一的策略作为指导。归结起来，企业在IT系统安全建设的过程中，存在以下几方面的不足： 　　2.1 安全危机意识不足，制度和规范不健全 　　尽管知道IT安全事故后果比较严重，但是企业的高层领导心中仍然存在着侥幸心理，更多的时候把IT安全建设的预算挪用到其他的领域。企业在信息安全制度及信息安全紧急事件响应流程等方面缺乏完整的制度和规范保证，由此带来的后果是诸如对网络的任意使用，导致公司的机密文档被扩散。同时在发生网络安全问题的时候，也因为缺乏预先设置的各种应急防护措施，导致安全风险得不到有效控制。 　　2.2 应用系统和安全建设相分离，忽视数据安全存储建设 　　在企业IT应用系统的建设时期，由于所属的建设职能部门的不同，或者是因为投资预算的限制，导致在应用系统建设阶段并没有充分考虑到安全防护的需要，为后续的应用系统受到攻击瘫痪埋下了隐患。数据安全的威胁表现在核心数据的丢失；各种自然灾难、IT系统故障，也对数据安全带来了巨大冲击。遗憾的是很多企业在数据的安全存储方面，并没有意识到同城异地灾难备份或远程灾难备份的重要性。 　　2.3 缺乏整体的安全防护体系，“简单叠加、七国八制” 　　对于信息安全系统的建设，“头痛医头、脚痛医脚”的现象比较普遍。大多数企业仍然停留在出现一个安全事故后再去解决一个安全隐患的阶段，缺乏对信息安全的全盘考虑和统一规划，这样的后果就是网络上的设备五花八门，设备方案之间各自为战，缺乏相互关联，从而导致了多种问题。 　　3.企业信息系统安全建设规划的原则 　　企业的信息化安全建设的目标是要保证业务系统的正常运转从而为企业带来价值，在设计高水平的安全防护体系时应该遵循以下几个原则： 　　（1）统一规划设计。信息安全建设，需要遵循“统一规划、统一标准、统一设计、统一建设”的原则；应用系统的建设要和信息安全的防护要求统一考虑。 　　（2）架构先进，突出防护重点。要采用先进的架构，选择成熟的主流产品和符合技术发展趋势的产品；明确信息安全建设的重点，重点保护基础网络安全及关键应用系统的安全，对不同的安全威胁进行有针对性的方案建设。 　　（3）技术和管理并重，注重系统间的协同防护。“三分技术，七分管理”，合理划分技术和管理的界面，从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手，在系统设计、建设和运维的多环节进行综合协同防范。 　　（4）统一安全管理，考虑合规性要求。建设集中的安全管理平台，统一处理各种安全事件，实现安全预警和及时响应；基于安全管理平台，输出各种合规性要求的报告，为企业的信息安全策略制定提供参考。 　　（5）高可靠、可扩展的建设原则。这是任何网络安全建设的必备要求，是业务连续性的需要，是满足企业发展扩容的需要。 　　4.企业信息系统安全建设的部署建议 　　以ISO27001等企业信息安全法规[1]遵从的原则为基础，通过分析企业信息安全面临的风险和前期的部署实践，建立企业信息安全建设模型，如图1所示。 　　图1 企业信息系统安全建设模型 　　基于上述企业信息安全建设模型，在建设终端安全、网络安全