企业信息安体系结构及相关领域研究.docVIP

企业信息安全体系结构及相关领域研究 　　摘 要：文章在对信息安全体系结构进行分析的基础上，对一种分层和面向服务的智能企业信息安全体系结构进行了研究，有助于构建一个模型来系统和智能地对企业信息安全活动进行管理，并与整体信息管理活动相结合。文章还着重对其中的相关领域（例如，信息安全中最关键的属性以及信息安全管理等方面）进行了研究，并探讨了采用ISO/IEC 27001标准的信息安全和风险控制服务。 中国论文网 /1/viewhtm　　关键词：信息安全；体系结构；信息安全管理；可用性；风险控制 　　中图分类号：TG174.4 文献标志码：A 文章编号：2095-2945（2018）06-0186-05 　　Abstract： Based on the analysis of information security architecture， this paper introduces a layered and service-oriented intelligent enterprise information security architecture； helping to build a model to manage the enterprise information security activities systematically and intelligently， and incorporate with the overall information management activities. Meanwhile， this paper emphasizes the researches on the relevant areas （e.g. the most critical attribute in information security， information security management and so on）， and discusses information security and risk control services based on ISO/IEC 27001 standard. 　　Keywords： information security； architecture； information security management； availability； risk control 　　1 ?介 　　企业信息安全技术是当前行业内最热门的话题之一。然而传统上我们对信息安全研究的侧重点往往都放在不同的分支学科，诸如网络安全、应用程序安全、栅格安全、web安全、防火墙、整体入侵检测等，但在对综合企业信息安全体系结构、信息安全关键属性以及信息安全管理等方面的研究相对较弱。 　　而随着信息技术的普及，当前信息安全体系结构已经成为了信息体系结构的一个重要的分支学科，信息安全体系结构在当今的企业信息技术中起着越来越重要的作用。企业信息安全体系结构是跨学科的信息安全技术与信息体系结构，但在这方面的研究重心仍然只是局限于应用研究。少数信息安全公司已经开始涉足对企业信息安全体系结构的利用，但他们提出的解决方案只是强调在日志管理和/或事件管理的基础上提供一种商用的综合安全管理平台，而不是考虑将信息全体系结构与企业信息体系结构相集成。 　　本文在分析了信息安全体系结构的基础上，对一种分层和面向服务的智能企业信息安全体系结构进行了研究，有助于构建一个模型来系统和智能地对企业信息安全活动进行管理，并与整体信息管理活动相结合。本文还着重对信息安全中最关键的属性以及信息安全管理等方面进行了研究，并探讨了采用最新的国际ISO/IEC 27001标准的信息安全和风险控制服务。强调了必须“技术”与“管理”并重才能保障企业的信息安全，这些将有助于提升企业信息安全管理和风险控制活动的效率。 　　2 相关研究 　　2.1 信息安全体系结构 　　计算机网络信息安全体系结构是一个动态化的概念，是在计算机技术、互联网技术、信息通信技术、密码技术、软件技术、安全协议等多学科领域的基础上建立起来的，其结构要确保系统中的硬件、软件受到双重保护，不被更改、泄露和破坏，能够使整个网络系统持续稳定的运行，并且有必要实施控制战略来保持信息的完整性、保密性和可用性。 　　所有的信息安全体系结构都包括了以下组成部分：（1）组织和基础设施安全；（2）策略、标准和程序安全；（3）基线和风险评价安全；（4）感知与训练项目安全。 　　目前常用的几个计算机网络信息安全基础技术包括SNMP协议、VLAN虚拟局域网、边界防火墙、网络用户身份认证、路由访问控制、入侵检测等技术。 　　随着计算机网络的应用及推广，出现了越