一种针对分布式企业的信息安全规划方案.docVIP

一种针对分布式企业的信息安全规划方案 　　摘要：结合分布式企业的具体实际，依照信息安全体系结构相关标准，提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标，按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后，依据服务规划目标，提出了信息类分布式企业的信息安全服务规划设计实例。 　　关键词：分布式；信息安全；规划；方案 　　中图分类号：TP309.2文献标识码：A 文章编号：1009-3044(2008)36-2848-03 　　An Information Security Program for a Distributed Enterprise 　　GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang 　　(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China) 　　Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples. 　　Key words: distributed; information security; planning; program 　　1 引言 　　据来自eWeek 的消息，市场研究机构Gartner 发布研究报告称，很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长，但由于推动力以外部法律法规的约束和商业业务的压力为主，因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言，因为信息安全需求和部署相对更加复杂，投入更多，因此这类企业的信息安全规划就更加缺乏。 　　本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。 　　2 总体规划原则和目标 　　2.1 总体规划原则 　　对于分布式企业的信息安全规划，要遵守如下原则：适度集中，控制风险；突出重点，分级保护；统筹安排，分步实施；分级管理，责任到岗；资源优化，注重效益。 　　这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。 　　2.2 总体规划目标 　　信息系统安全规划的方法可以不同、侧重点可以不同，但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上，下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划，对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的，而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。 　　3 信息安全组织规划 　　3.1 组织规划目标 　　组织建设是信息安全建设的基本保证，信息安全组织的目标是： 　　1）完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构，达到国际国内标准的要求； 　　2）打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全，对外可以向社会提供高品质的安全服务； 　　3）建设一个 “信息安全运维中心（SOC）”，能够满足当前和未来的业务发展及信息安全组织运转的支撑系统，能够对外提供安全服