企業(yè)網(wǎng)絡(luò)安全建設(shè)規(guī)劃精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)網(wǎng)絡(luò)安全建設(shè)規(guī)劃主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)網(wǎng)絡(luò)安全建設(shè)規(guī)劃范文

關(guān)鍵詞：分布式；信息安全；規(guī)劃；方案

中圖分類號：TP309.2文獻標識碼：A 文章編號：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

據(jù)來自eWeek 的消息，市場研究機構(gòu)Gartner 研究報告稱，很對企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長，但由于推動力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主，因此他們對安全技術(shù)和服務(wù)的選擇和使用仍停留在一個相對較低的水平。尤其對于機構(gòu)構(gòu)成方式為分布式的企業(yè)而言，因為信息安全需求和部署相對更加復(fù)雜，投入更多，因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。

本文根據(jù)這類分布式企業(yè)的特點提出了一種符合該類企業(yè)實際的信息安全規(guī)劃方案。

2 總體規(guī)劃原則和目標

2.1 總體規(guī)劃原則

對于分布式企業(yè)的信息安全規(guī)劃，要遵守如下原則：適度集中，控制風(fēng)險；突出重點，分級保護；統(tǒng)籌安排，分步實施；分級管理，責(zé)任到崗；資源優(yōu)化，注重效益。

這個原則的制定主要是根據(jù)分布式企業(yè)的實際機構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來制定的。

2.2 總體規(guī)劃目標

信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點可以不同，但是需要圍繞組織安全、管理安全、技術(shù)安全進行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對信息系統(tǒng)與信息資源的安全保護上，下面將分別對組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃，對信息化戰(zhàn)略的實施起到保駕護航的作用。信息系統(tǒng)安全規(guī)劃的目標應(yīng)該與企業(yè)信息化的目標是一致的，而且應(yīng)該比企業(yè)信息化的目標更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個目標展開和部署。

3 信息安全組織規(guī)劃

3.1 組織規(guī)劃目標

組織建設(shè)是信息安全建設(shè)的基本保證，信息安全組織的目標是：

1）完善和形成一個獨立的、完整的、動態(tài)的、開放的信息安全組織架構(gòu)，達到國際國內(nèi)標準的要求；

2）打造一支具有專業(yè)水準的、過硬本領(lǐng)的信息安全隊伍。對內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全，對外可以向社會提供高品質(zhì)的安全服務(wù)；

3）建設(shè)一個 “信息安全運維中心（SOC）”，能夠滿足當(dāng)前和未來的業(yè)務(wù)發(fā)展及信息安全組織運轉(zhuǎn)的支撐系統(tǒng)，能夠?qū)ν馓峁┌踩?wù)平臺。

3.2 組織規(guī)劃實施

對于組織規(guī)劃這個方面，是屬于一個企業(yè)信息安全規(guī)劃的上層建筑，需要用一種由上而下的方法來實現(xiàn)，其主要是在具體人事機制、管理機制和培訓(xùn)機制上做工作。對于分布式企業(yè)而言，需要主導(dǎo)部門從上層著手，建章立制，強化安全教育，加大基礎(chǔ)人力、財力和物力的投入。

4 信息安全管理規(guī)劃

4.1 管理規(guī)劃目標

信息安全管理規(guī)劃的目標是，完善和形成“七套信息安全軟措施”，具體包括：一套等級劃分指標，一套信息安全策略，一套信息安全制度，一套信息安全流程規(guī)范，一套信息安全教育培訓(xùn)體系，一套信息安全風(fēng)險監(jiān)管機制，一套信息安全績效考核指標?！捌咛仔畔踩洿胧标P(guān)系如圖1所示。

4.2 信息安全管理設(shè)計

基于對管理目標的分析，信息安全管理的原則以風(fēng)險管理為主，集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風(fēng)險、保護措施組成。

4.2.1 信息安全等級劃分指標

信息安全等級保護是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化健康發(fā)展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是關(guān)于保護對象說明、保護必要性描述、保護責(zé)任人、保護對策以及意外處理方法的總和。

4.2.3 信息安全制度

信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。

4.2.4 信息安全規(guī)范

信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達到的要求，在信息安全規(guī)范方面，根據(jù)調(diào)查，建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范。其中，安全管理規(guī)范主要針對人員、團隊、制度和資源管理提供參照性準則；信息安全技術(shù)規(guī)范主要針對安全設(shè)計、施工、維護和操作提供技術(shù)性指導(dǎo)建議。

4.2.5 信息安全管理流程

信息安全流程是指工作中應(yīng)遵循的信息安全程序，其目的是減少安全隱患，降低風(fēng)險。

4.2.6 信息安全績效考核指標

信息安全績效考核指標是指針對信息安全工作的質(zhì)量和態(tài)度而給出的評價依據(jù)，其目的是增強信息安全責(zé)任意識，提高信息安全工作質(zhì)量。

4.2.7 信息安全監(jiān)管機制

信息安全監(jiān)管機制是指有關(guān)信息安全風(fēng)險的識別、分析和控制的措施總和。其主要目的加強信息安全風(fēng)險的控制，做到“安全第一，預(yù)防為主”。

4.2.8 信息安全教育培訓(xùn)體系

其主要目的加強的信息安全人才隊伍的建設(shè)，提高企業(yè)人員的信息安全意識和技能，增強企業(yè)信息安全能力。

5 信息安全技術(shù)規(guī)劃

5.1 技術(shù)規(guī)劃目標

信息安全技術(shù)規(guī)劃目標簡言之是：給業(yè)務(wù)運營提供信息安全環(huán)境，為企業(yè)轉(zhuǎn)型提供契機，構(gòu)建信息安全服務(wù)支撐系統(tǒng)。具體目標如下：

1）打造信息安全基礎(chǔ)環(huán)境，調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施，建立安全專網(wǎng)，設(shè)置兩個中心（信息安全運維中心、災(zāi)備中心）；

2）建立一體化信息安全平臺，綜合集成安全決策調(diào)度、安全巡檢、認證授權(quán)、安全防護、安全監(jiān)控、安全審計、應(yīng)急響應(yīng)、安全服務(wù)、安全測試、安全培訓(xùn)等功能，實現(xiàn)的集中安全管理控制，快速安全事件響應(yīng)，高可信的安全防護，拓展企業(yè)業(yè)務(wù)，開辟信息安全服務(wù)新領(lǐng)域。

5.2 信息安全運維中心(SOC)

SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作，SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設(shè)施，提供信息安全中心技術(shù)人員的辦公場所，提供“7×24”小時連續(xù)不斷的安全應(yīng)用服務(wù),提供實時監(jiān)控、遠程入侵發(fā)現(xiàn)、事件響應(yīng)、安全更新與升級等業(yè)務(wù)，SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設(shè)、基礎(chǔ)工程外，SOC 的技術(shù)性工作還要做以下幾個方面：

1）硬件基礎(chǔ)建設(shè)，主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成，實現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能；

2）軟件基礎(chǔ)建設(shè)，包括SSS 系統(tǒng)、機房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。

圖1 信息安全軟措施關(guān)系

圖2 信息安全總體框架

圖3 資產(chǎn)、組織、管理和安全措施的關(guān)系

5.3 信息安全綜合測試環(huán)境

隨著分布式企業(yè)信息化程度的日也加深，需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng)，為了保障安全，必須對這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查，消除安全隱患?；诖?，綜合測試環(huán)境建設(shè)的內(nèi)容包括：安全測試網(wǎng)絡(luò)；測試系統(tǒng)設(shè)備；安全測試工具；安全測試分析系統(tǒng)；安全測試知識庫。

其中，安全測試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實的帶寬；測試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬、典型的應(yīng)用系統(tǒng)流量模擬；安全測試工具覆蓋防范類、檢測類、評估類、應(yīng)急恢復(fù)類、管理類等，并提供使用說明、漏洞掃描、應(yīng)用安全分析；安全測試分析系統(tǒng)能夠提供統(tǒng)計分析、圖表展現(xiàn)功能；安全知識庫包含以下內(nèi)容：漏洞知識庫，補丁信息庫，安全標準知識庫，威脅場景視頻庫，攻擊特征知識庫，信息安全解決案例庫，安全產(chǎn)品知識庫，安全概念和術(shù)語知識庫。

5.4 安全平臺建設(shè)規(guī)劃

參照國際上PDRR 模型和國家信息安全方面規(guī)范，建議信息安全總體框架設(shè)計如圖2所示。

主要目的，以資產(chǎn)為核心，通過安全組織實現(xiàn)資產(chǎn)保護，以安全管理來約束組織的行為，以技術(shù)手段輔助安全管理。其中，資產(chǎn)、組織、管理、安全措施的關(guān)系如圖3所示，核心為資產(chǎn)，圍繞資產(chǎn)是組織，組織是管理，最外層是安全措施。

在平臺中集成十個安全機制，它們分別是：信息安全集中管理；信息安全巡檢；信息安全認證授權(quán)；信息安全防護；信息安全監(jiān)控；信息安全測試；信息安全審核；信息安全應(yīng)急響應(yīng)；信息安全教育培訓(xùn)；信息安全服務(wù)。

6 信息安全服務(wù)業(yè)務(wù)規(guī)劃

6.1 服務(wù)業(yè)務(wù)規(guī)劃目標

信息安全服務(wù)業(yè)務(wù)規(guī)劃目標簡言之是：以信息安全服務(wù)為切入點，充分發(fā)揮企業(yè)優(yōu)勢資源，引領(lǐng)信息安全市場，為企業(yè)轉(zhuǎn)型創(chuàng)造時機。具體目標如下：

1）推出面向客戶安全（檢查、教育、配置）產(chǎn)品；2）推出面向大型企業(yè)的信息安全咨詢產(chǎn)品；3）推出面向家庭安全上網(wǎng)產(chǎn)品；4）推出面向企業(yè)安全運維產(chǎn)品；5）推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品。

6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計

服務(wù)業(yè)務(wù)規(guī)劃主要針對具體業(yè)務(wù)而言，在此列舉信息類分布式企業(yè)業(yè)務(wù)作為示例：

1）信息安全咨詢類產(chǎn)品，其服務(wù)功能主要有：信息安全風(fēng)險評估；信息安全規(guī)劃設(shè)計；信息安全產(chǎn)品顧問。

2）信息安全教育培訓(xùn)類產(chǎn)品，其服務(wù)功能主要有：提供信息安全操作環(huán)境；提供信息安全知識教育；提供信息安全運維教育。

3）家庭類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：推出“家庭綠色上網(wǎng)”安全服務(wù)；家庭上網(wǎng)防病毒服務(wù)；家庭上網(wǎng)機器安全檢查服務(wù)；家庭上網(wǎng)機數(shù)據(jù)備份服務(wù)。

4）企業(yè)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：企業(yè)安全上網(wǎng)控制服務(wù)；企業(yè)安全專網(wǎng)服務(wù)；安全信息通告；企業(yè)運維服務(wù)。

5）容災(zāi)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù)；面向政府信息系統(tǒng)災(zāi)備服務(wù)；面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù)；面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)。

7 結(jié)束語

通過結(jié)合分布式企業(yè)的具體實際，按照信息安全體系結(jié)構(gòu)相關(guān)標準，提出了分布式企業(yè)的信息安全規(guī)劃原則和目標。并依據(jù)次原則與目標，按照組織、管理和技術(shù)三個方面提出了具體的實現(xiàn)與設(shè)計規(guī)范原則。最后，依據(jù)服務(wù)規(guī)劃目標，提出了信息類分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計實例。

參考文獻：

[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報，2006,23,(1):25～28.

[4] 張慶華. 信息網(wǎng)絡(luò)動態(tài)安全體系模型綜述[J].計算機應(yīng)用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技術(shù)安全評估的系列標準[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列標準[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李瑋. 運營商IT系統(tǒng)網(wǎng)絡(luò)架構(gòu)的安全域劃分[J]. 通信世界,2005,30:41～41,45～45.