大中型跨国企业海外信息安全体系研究.docVIP

大中型跨国企业海外信息安全体系研究-安全生产论文 大中型跨国企业海外信息安全体系研究 贾旭光 劳兴华 (北京中油瑞飞信息技术有限责任公司北京100007) 摘要：通过对大中型跨国企业海外信息安全体系的研究，形成了一个完整的海外信息安全体系框架，包括安全策略、安全技术体系、安全管理体系、运行保障体系和建设实施规划等。依照该框架，企业可以针对各部分进行具体实施，从而完成整个的海外信息安全建设。 关键词 ：大中型企业；信息安全体系；框架；理论指导；安全模型 1海外信息安全体系建设原则 大中型企业海外信息安全体系的建设，涉及面广、工作量大，整体设计必须坚持以下的原则，以保证建设和运营的效果。 1.1统一规划管理 要对信息安全体系建设进行统一的规划，制定信息安全体系框架，明确保障体系中所包含的内容。同时，还要制定统一的信息安全建设标准和管理规范，使得信息安全体系建设遵循一致的标准、管理遵循一致的规范。 1.2分步有序实施 信息安全体系建设的内容庞杂，必须坚持分步有序的实施原则，循序渐进。 1.3技术管理并重 仅有全面的安全技术和机制是远远不够的，安全管理也具有同样的重要性。信息安全体系的建设，必须遵循安全技术和安全管理并重的原则，制定统一的安全建设管理规范，指导安全管理工作。 1.4突出安全保障 信息安全体系建设要突出安全保障的重要性，通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制，保障业务的持续性和数据的安全性。 2海外信息安全体系建设目标 大型跨国企业海外信息安全的建设目标是：基于安全基础设施、以安全策略为指导，提供全面的安全服务内容，覆盖从物理、网络、系统直至数据和应用平台各个层面，以及保护、检测、响应、恢复等各个环节，构建全面、完整、高效的信息安全体系，从而提高企业信息系统的整体安全等级，为企业海外业务发展提供坚实的信息安全保障。 3海外信息安全体系框架 企业进行信息安全建设的目标是建立起一个全面、有效的信息安全体系，包括了安全技术、安全管理、人员组织、教育培训、资金投入等关键因素，信息安全建设的内容多，规模大，必须进行全面的统筹规划，明确信息安全建设的工作内容、技术标准、组织机构、管理规范、人员岗位配备、实施步骤、资金投入，才能够保证信息安全建设有序可控地进行，使信息安全体系发挥最优的保障效果。 同时还应该制定一系列的安全管理规范，指导信息安全建设和运营工作，使得信息安全建设能够依据统一的标准开展，信息安全体系的运营和维护能够遵循统一的规范进行。 3.1安全目标模型 根据大型跨国企业海外信息安全体系建设目标和总体安全策略，建立与之对应的目标模型，称为WP2DRR安全模型。该模型由预警（ Warning）、策略(Policy)、保护（Protectlon）、检测（Detection）、响应(Response)、恢复（Recovery）6个要素环节构成了一个基于时间的、完整的、动态的信息安全体系。WP2DRR模型在P2DR模型的基础上新增加了预警Warnlng和恢复Recover，增强了安全保障体系的事前预防和事后恢复能力，系统一旦发生安全事故，也能恢复系统功能和数据，恢复系统的正常运行。 安全目标模型是信息安全体系框架的基础，大型跨国企业的海外信息安全体系框架应该紧密围绕安全模型的6个要素环节进行设计，每个要素环节的功能都在安全技术体系、安全组织和管理体系以及运行保障体系中体现出来。 3.2信息安全体系框架组成 通过对企业的网络和应用现状、安全现状、面临的安全风险的分析，根据安全保障目标模型，制定了大型跨国企业海外信息安全体系框架。制定该框架的目的在于从宏观上指导和管理信息安全体系的建设和运营。 该框架由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。此框架中，以安全策略为指导，融会了安全技术、安全管理和运行保障3个层次的安全体系，以达到系统可用性、可控性、抗攻击性、完整性、保密性的安全目标。大型跨国企业海外信息安全体系框架的总体结构如图1所示。 3.2.1安全策略 在这个框架中，安全策略是指导，与安全技术体系、安全组织和管理体系以及运行保障体系这3大体系相互作用。一方面，3大体系是在安全策略的指导下构建的，主要是要将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段，全面实现安全策略中所制定的目标。另一方面，安全策略本身也