企业信息安全立体防护的体系构建及运行.docVIP

企业信息安全立体防护的体系构建及运行 　　摘 要： 根据系统工程学和信息安全工程学理论，采用霍尔三维方法界定了企业信息安全防护体系边界，构建其ISM逻辑结构模型。结合项目管理领域知识，进一步探讨了信息安全防护的立体运行框架，为企业信息安全防护工作的落实提供有效指导。 　　关键词： 企业信息安全； ISM； 立体防护； 霍尔三维方法 　　中图分类号： TN911?34 文献标识码： A 文章编号： 1004?373X（2014）12?0042?04 　　Abstract： Based on the theories of system engineering and information safety engineering， the boundary of information security defence system for enterprises was defined with Halls three?dimensional method. A logical structure model of ISM was built. The 3D operation framework of enterprise information security defence is discussed in combination with the knowledge of project management. The effective guidance has been provided for implementation of the security defence work. 　　Keywords： enterprise information security； interpretive structural modeling； solid defense； Hall three?dimensional method 　　0 引 言 　　随着信息化进程的发展，信息技术与网络技术的高度融合，现代企业对信息系统的依赖性与信息系统本身的动态性、脆弱性、复杂性、高投入性之间的矛盾日趋突显，如何有效防护信息安全成为了企业亟待解决的问题之一。目前国内企业在信息安全方面仍侧重于技术防护和基于传统模式下的静态被动管理，尚未形成与动态持续的信息安全问题相适应的信息安全防护模式，企业信息安全管理效益低下；另一方面，资源约束性使企业更加关注信息安全防护的投入产出效应，最大程度上预防信息安全风险的同时节省企业安全建设、维护成本，需要从管理角度上更深入地整合和分配资源。 　　本文针对现阶段企业信息安全出现的问题，结合项目管理领域的一般过程模型，从时间、任务、逻辑方面界定了系统的霍尔三维结构，构建了标准化的ISM结构模型及动态运行框架，为信息网络、信息系统、信息设备以及网络用户提供一个全方位、全过程、全面综合的前瞻性立体防护，并从企业、政府两个层面提出了提高整体信息安全防护水平的相关建议。 　　1 企业信息安全立体防护体系概述 　　1.1 企业信息安全立体防护体系概念 　　信息安全立体防护体系是指为保障企业信息的有效性、保密性、完整性、可用性和可控性，提供覆盖到所有易被威胁攻击的角落的全方位防护体系。该体系涵盖了企业信息安全防护的一般步骤、具体阶段及其任务范围。 　　1.2 企业信息安全立体防护体系环境分析 　　系统运行离不开环境。信息产业其爆炸式发展的特性使企业信息安全的防护环境也相对复杂多变，同时，多样性的防护需求要求有相适应的环境与之配套。 　　企业信息安全立体防护体系的运行环境主要包括三个方面，即社会文化环境、政府政策环境、行业技术环境。社会文化环境主要指在企业信息安全方面的社会整体教育程度和文化水平、行为习惯、道德准则等。政府政策环境是指国家和政府针对于企业信息安全防护出台的一系列政策和措施。行业技术环境是指信息行业为支持信息安全防护所开发的一系列技术与相匹配的管理体制。 　　1.3 企业信息安全立体防护体系霍尔三维结构 　　为平衡信息安全防护过程中的时间性、复杂性和主观性，本文从时间、任务、逻辑层面建立了企业信息安全立体防护体系的三维空间结构，如图1所示。 　　时间维是指信息安全系统从开始设计到最终实施按时间排序的全过程，由分析建立、实施运行、监视评审、保持改进四个基本时间阶段组成，并按PDCA过程循环[5]。逻辑维是指时间维的每一个阶段内所应该遵循的思维程序，包括信息安全风险识别、危险性辨识、危险性评估、防范措施制定、防范措施实施五个步骤。任务维是指在企业信息安全防护的具体内容，如网络安全、系统安全、数据安全、应用安全等。该霍尔三维结构中任一阶段和步骤又可进一步展开，形成分层次的树状体