品牌战略 大型企业信息安全体系架构设计初探.pdfVIP

第 卷第 期 勘探地球物理进展 ， ３１ ６ Ｖｏｌ．３１Ｎｏ．６ 年 月 ， ２００８ １２ ＰｒｏｒｅｓｓｉｎＥｘｌｏｒａｔｉｏｎＧｅｏｈｓｉｃｓ Ｄｅｃ．２００８ ｇ ｐ ｐｙ 文章编号： （ ） １６７１ ８５８５２００８０６ ０４７１ ０８ 大型企业信息安全体系架构设计初探 罗革新，吕增江，崔广印，鲍天祥，王振欣，于普漪 （中国石油集团东方地球物理勘探有限责任公司信息技术中心，北京１００００７） 摘要：随着信息技术的发展和应用的不断深入，信息安全日益受到国家、企业和社会公众的关注。中国政府已经 提出了构建国家信息安全保障体系的设想，明确了政府、企业和公民各自应承担的责任与义务。企业的信息安 全工作，主要关注点是如何保障信息技术应用和防止企业商业秘密泄露。同时，大型企业特别是地理位置分布 广泛的企业集团，在信息安全方面存在很多难点。分析了国内、国际信息安全现状和发展趋势，概述了Ｇａｒｔｎｅｒ 的企业信息安全体系架构设计思想和国内大型企业面临的信息安全需求；从管理、技术、控制三个视角和概念、 逻辑、实现三个层面阐述了构建企业信息安全体系架构的概念、内容和方法，提出了一种大型企业信息安全体系 架构模型———ＭＣＴ（管理 控制 技术）模型；针对大型企业实际情况，陈述了如何应用 ＭＣＴ模型进行信息安全 体系架构设计；最后给出了一套可实施的从设计层到实现层的转换方法，即以项目为单位来组织具体的信息安 全体系建设工作。 关键词：信息技术；信息安全；信息系统；信息技术基础设施；信息安全体系架构 中图分类号： 文献标识码： ＴＰ３９３．０８ Ａ 随着信息技术的发展及信息技术在企业生产 加中国石油“十一五”信息技术总体规划和信息安 　　 和经营管理等方面的广泛、深入应用，企业越来越 全总体规划编制工作的经验，以及工作期间与 依赖网络和信息系统。而不时发生的病毒侵袭、黑 ＩＢＭ、毕博、埃森哲和Ｇａｒｔｎｅｒ等公司资深信息安 客攻入和敏感机密信息被窃取事件，使得信息安全 全专家进行交流的心得，初步探讨了大型企业信息 保障工作日益重要并倍受人们关注。中国信息化 安全体系架构的设计问题。 办公室专家委员会常务委员曲成义指出，我国网络 信息安全入侵事件态势严竣，互联网信息安全威胁 １ 国家信息安全保障体系相关工作 　 的新动向值得关注，比如谍件泛滥值得严重关注， 情况 网络钓鱼的获利动机明显， 开始用于敲诈， ＤＤｏＳ 木马潜伏孕育着杀机，获利和窃信倾向正在成为信 　　中国政府高度重视国家信息安全保障体系建 息安全事件的主流，等等。归结原因，包括：内控机 设工作。国家信息化领导小组 ２００３年发布的《国 制尚显脆弱，强审计机制不够落实，风险评估意识不 家信息化领导小组关于加强信息安全保障工作的 意见》（中办发 号文）提出：“立足国情，以我为 够强，高危漏洞潜在，信息安全域界定与等级保护待 ２７ 探索，灾难恢复尚不到位，缺少对“分发式威胁”的警 主，