企業(yè)信息安全技術(shù)體系概述

當(dāng)前，信息安全對(duì)企業(yè)越來越重要，構(gòu)建信息安全技術(shù)體系成為企業(yè)發(fā)展的重要任務(wù)，在信息安全技術(shù)體系的建設(shè)過程中應(yīng)秉承怎樣的設(shè)計(jì)目標(biāo)和原則是企業(yè)應(yīng)該重點(diǎn)考慮的問題。我中心總結(jié)了以下幾點(diǎn)，希望給大家?guī)韼椭?/span>

一、信息安全技術(shù)體系的設(shè)計(jì)目標(biāo)

一個(gè)合適的信息安全技術(shù)體系解決方案，不但需要理解信息安全管理的要求，用最小的投入得到最大的回報(bào)，同時(shí)也要為信息安全運(yùn)維管理提供易于操作的平臺(tái)。

在實(shí)施信息安全技術(shù)體系規(guī)劃時(shí)，需要考慮以下內(nèi)容：

1、信息整體安全性的規(guī)劃；

2、對(duì)于不同的信息安全功能機(jī)制加以整合以達(dá)到統(tǒng)一控管及互補(bǔ)的目的；

3、考慮對(duì)其他同時(shí)進(jìn)行的項(xiàng)目的影響；

4、從基礎(chǔ)的、負(fù)面影響最小的安全措施入手；

5、具有未來的擴(kuò)充性，未來不至于因容量問題而需改變整體架構(gòu)。

信息安全技術(shù)體系的設(shè)計(jì)與實(shí)施應(yīng)當(dāng)根據(jù)信息資產(chǎn)所面臨的風(fēng)險(xiǎn)所定。信息安全措施的設(shè)計(jì)應(yīng)以達(dá)到安全保護(hù)目的為原則而非最大幅度的投入。

信息安全技術(shù)體系按照其所在的信息系統(tǒng)層次可以分為物理安全技術(shù)、基礎(chǔ)架構(gòu)安全（網(wǎng)絡(luò)、主機(jī)和終端）、應(yīng)用安全技術(shù)、數(shù)據(jù)安全技術(shù)、身份和訪問管理五大種類。可與前面企業(yè)安全架構(gòu)中所述的接入控制、信任管理、信息流控制、審計(jì)和完整性五個(gè)安全子系統(tǒng)對(duì)應(yīng)起來。

企業(yè)信息安全技術(shù)體系的建設(shè)原則是要建設(shè)與管理制度相對(duì)應(yīng)的企業(yè)信息安全架構(gòu)。一般企業(yè)已部署了一些信息安全產(chǎn)品，但還沒有清晰地設(shè)計(jì)企業(yè)的信息安全架構(gòu)，信息安全管理制度與信息安全架構(gòu)所帶來的執(zhí)行力有些脫節(jié)，由此造成企業(yè)信息安全管理制度的執(zhí)行力不夠。

在信息安全技術(shù)體系的設(shè)計(jì)、具體信息安全技術(shù)體系的采用上，需要考慮到當(dāng)前企業(yè)應(yīng)用系統(tǒng)中常見的信息安全弱點(diǎn)，同時(shí)針對(duì)信息安全評(píng)估得出的詳細(xì)信息安全風(fēng)險(xiǎn)進(jìn)行信息安全加固。每一個(gè)信息安全弱點(diǎn)都有相關(guān)的***手段與之相對(duì)應(yīng)的信息安全技術(shù)支持，針對(duì)企業(yè)當(dāng)前應(yīng)用系統(tǒng)中的主要信息安全弱點(diǎn)與***手段，將針對(duì)應(yīng)用本身、應(yīng)用承載主機(jī)、應(yīng)用承載網(wǎng)絡(luò)的主要信息技術(shù)風(fēng)險(xiǎn)所作的應(yīng)對(duì)，在信息安全技術(shù)體系的設(shè)計(jì)中加以考慮。

以上是山東省軟件評(píng)測(cè)中心總結(jié)撰寫，不足之處，還望有關(guān)專家學(xué)者批評(píng)指正。