企业的信息安全建设思路.docxVIP

PAGE 1 PAGE 1 企业的信息安全建设思路  对企业信息安全形势，进行信息系统安全的风险评估。落实安全等级的维护，加强信息网络安全保障，做好网络安全管理，而完或这些工作的必要条件是建立的有完善工作只能的信息安全管理蛆织。  　　当今时代，信息技术飞速发展，信息网络广泛普及，信息已成为事关全局的一种战略资源。但信息技术也是一把双刃剑，一方面，极大的便利了人类的生产和生活，网络技术的发展使得地球成为一个大村落：另一方面，由于信息技术的脆弱性和不完善性，使得在信息的存储、处理、传输过程中很简单被干扰、遗漏和丢失，甚至被泄漏、窃取、篡改和冒充，因此，信息安全成为企业信息化过程中不可或缺的要素。  　　随着信息化应用的日益广泛，企业的信息系统中存储的大量有价值的信息和数据已成为各种网络犯罪组织和恶意势力的攻击目标，网络非法行为日趋复杂，且更为频繁，各种攻击方法相互融合，攻击手段更为隐秘，破坏性更强，攻击从网络层向应用层迁移。但是，我们也应当看到，信息安全虽然是由信息技术问题引起的，但信息安全问题的解决不能够单纯地由技术问题入手，还得从系统的、管理的角度切入，一个完美的解决安全问题的技术方案在现实中是不存在的．而且用信息技术解决信息技术的脆弱性和不完善性有可能带来另外的脆弱性和不完善性。因此．信息安全中的技术问题是—个关键问题，不能解决全部问题。信息安全界有句名言：三分技术，七分管理，安全和管理是分不开的。即使有再好的安全设备和系统，而没有一套良好的安全管理制度、管理方法并贯彻实施，信息安全问题就是空谈。很多出现信息安全事故的单位，要么是有安全管理制度但没有执行，要么就是没有安全管理制度。  　　一、信息系统的安全风险评估  　　所谓信皂系统的安全风险，是指由于系统存在的脆弱性、人为或自然的威逼导致安全事件发生的可能性及其造成的影响。风险评估是分析分析确定风险的过程。任何系统的安全性都可通过风险的大小来衡量。  　　网络信息系统得安全建设应当建立在风险评估的基础上，这是信息化建设的内在要求，系统主管部门和运营、应用单位都必需做好本系统得信息安全评估工作。只有在建设的初期，在规划的过程中，就运用风险评估、风险管理的手段，才可以避免重复建设和投资的铺张。信息安全风险评估是风险平估理论和方法在信息系统中的运用，是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险，并在风险的预防、风险的掌握、风险的转移、风险的补偿、风险的分散等之间做出选择的过程。全部信息安全建设都应当是基于信息安全风险评估，只有在正确地、全面地理解风险后，才能在掌握风险、削减风险之间做出正确的推断，打算调动多少资源、以什么样的代价、采取什么样的应对措施去化解、掌握风险。在风险评估中，最终要依据对安全事件发生的可能性和负面影响的评估来识别信息系统的安全风险。造成信息安全事件的源头，可以归为外因和内因。外因为威逼，内因则为脆弱性。因此，在风险评估中要刻意刻画信息安全事件，就必需对威逼和脆弱性都有深入了解，这构成了风险评估工作的关键。  　　要确保信息网络系统得安全高效，就必需建立和完善信息安全风险评估机制，也就是要构建一个“发觉隐患、制定对策、提高强度、效果认证”的封闭式、反馈型、非线性的评估系统。同时，信息网络在建设规划阶段必需进行风险评估以确定系统的安全目标：在工程验收阶段一定要进行效果认证和风险在评估以判定系统得安全目标达成与否：在运行维护阶段要针对安全形势和问题，进行制度化的风险评估工作，以确定安全措施的有效性和打算是否采取隔离或实施升级行动，以确保安全保障形势始终维持在期望的目标水平之上。  　　信息安全风险评估有助于信息化建设的有序开展，促进信息安全保障体系得完善，提高信息系统的安全防护能力。其目的是借助科学的评估体系和技术方法，弄清本单位信息安全的基本态势和网络环境安全状况，准时采取或完善安全保障措施，确保信息安全策略和方针在常态化中得到贯彻与执行。对于企业详细涵盖的内容来说，首先要明确企业的哪些资产需要保护：企业必需花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常，各公司认为表述资产的价值是很简单的，但详细如要按级别界定就不那么简洁。对此，就需要用安全厂商与企业共同制定规范以确定需要保护的资产的安全级别，并为制定切实可行的安全管理策略打下基础。另外，还需完成威逼识别的任务：假如企业想增加竞争实力，必需随时改进和更新系统和网络，但是机会增加常伴随着安全风险的增加，尤其是机构的数据对更多用户开放的时候——咽为技术越先进，安全管理就越复杂。所以企业为了消退安全隐患，下—步就需要安全厂商与企业一起必需要对现有的网络、系统、应用进行相应的风险评估，确定在