企業(yè)信息安全標(biāo)準(zhǔn)應(yīng)用綜述

企業(yè)信息安全標(biāo)準(zhǔn)應(yīng)用綜述在信息網(wǎng)絡(luò)普及的時(shí)代，信息網(wǎng)絡(luò)成為員工日常工作不可或缺的工具。同時(shí)，安全問題越來越成為影響企業(yè)信息化發(fā)展的重要因素，病毒的泛濫影響了正常的業(yè)務(wù)開展，垃圾流量占用了寬帶資源，無所不在的網(wǎng)絡(luò)釣魚造成大量信息的泄露，網(wǎng)絡(luò)攻擊可能造成巨大的損失，因此加強(qiáng)信息安全建設(shè)日益成為企業(yè)的迫切需求。1、信息安全保護(hù)相關(guān)標(biāo)準(zhǔn)體系在信息安全標(biāo)準(zhǔn)化方面,我國(guó)從20世紀(jì)80年代開始，在全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)信息安全分技術(shù)委員會(huì)和各部門各界的努力下，本著積極采用國(guó)際標(biāo)準(zhǔn)的原則，轉(zhuǎn)化了一批國(guó)際信息安全基礎(chǔ)技術(shù)標(biāo)準(zhǔn)，為我國(guó)信息安全技術(shù)的發(fā)展做出了一定貢獻(xiàn)。同時(shí)，公安部、國(guó)家安全部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)等相繼制定、頒布了一批信息安全的行業(yè)標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)大致可以分為四類，國(guó)家信息安全保護(hù)相關(guān)標(biāo)準(zhǔn)體系如圖1所示。2011年2月1日，《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等18項(xiàng)信息安全技術(shù)標(biāo)準(zhǔn)將正式實(shí)施，這對(duì)于完善我國(guó)信息安全標(biāo)準(zhǔn)體系，規(guī)范和指導(dǎo)我國(guó)信息安全保障體系建設(shè)具有重要意義。2、企業(yè)信息安全體系的建設(shè)企業(yè)信息安全體系是在滿足國(guó)家規(guī)定、遵循國(guó)際標(biāo)準(zhǔn)的原則下，參照國(guó)內(nèi)外最佳實(shí)踐，結(jié)合自身的實(shí)際需求，通過管理和技術(shù)手段，來構(gòu)建企業(yè)信息安全體系。通過開展信息安全體系建設(shè)，我們可以落實(shí)安全責(zé)任制，完善管理制度、技術(shù)措施，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求，提高信息系統(tǒng)安全管理水平，增強(qiáng)安全保護(hù)能力，保護(hù)企業(yè)重要信息資產(chǎn)，保障信息網(wǎng)絡(luò)可用。2.1建設(shè)流程企業(yè)信息安全體系建設(shè)分四步進(jìn)行。第一步，根據(jù)國(guó)家標(biāo)準(zhǔn)對(duì)行業(yè)等級(jí)保護(hù)進(jìn)行定級(jí)，制定企業(yè)信息安全建設(shè)工作規(guī)劃和總體部署;第二步：開展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析，確定安全保護(hù)策略，制定整改方案;第三步：整改建設(shè)，從管理和技術(shù)兩個(gè)方面開展信息統(tǒng)安全建設(shè);第四步：測(cè)評(píng)完善，開展安全自檢自查、風(fēng)險(xiǎn)評(píng)估和等級(jí)測(cè)評(píng)，及時(shí)發(fā)現(xiàn)企業(yè)存在的信息安全隱患和威脅，進(jìn)一步開展安全建設(shè)工作，企業(yè)信息安全體系建設(shè)流程如圖2所示。2.2規(guī)劃部署按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240-2008)、《信息安全管理體系要求》(GB/T22080-2008)等標(biāo)準(zhǔn)要求并結(jié)合行業(yè)特點(diǎn)，對(duì)企業(yè)信息安全體系建設(shè)進(jìn)行統(tǒng)一規(guī)劃部署。2.3現(xiàn)狀分析開展企業(yè)信息安全保護(hù)現(xiàn)狀分析，查找信息安全保護(hù)建設(shè)整改需要解決的問題，分析判斷目前所采取的安全管理、技術(shù)措施與《信息系統(tǒng)安全管理要求》(GB/T20269-2006)、《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T25070-2010)等標(biāo)準(zhǔn)要求之間的差距，針對(duì)問題不足制定安全保護(hù)策略，形成整改方案。2.4整改建設(shè)按照最新國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T25058-2010)、《信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)對(duì)整改建設(shè)過程的起始、設(shè)計(jì)、建設(shè)、運(yùn)行和維護(hù)各個(gè)階段進(jìn)行管理控制，確保項(xiàng)目實(shí)施質(zhì)量。以下從管理和技術(shù)兩個(gè)方面介紹信息安全體系建設(shè)：2.4.1信息安全管理建設(shè)信息安全工作的重點(diǎn)正從傳統(tǒng)的側(cè)重技術(shù)向關(guān)注管理轉(zhuǎn)變，信息安全管理建設(shè)顯得尤為重要，信息安全管理建設(shè)包括有：(1)信息安全組織建設(shè)信息安全組織是根據(jù)企業(yè)信息安全規(guī)劃明確了信息安全團(tuán)隊(duì)職能和職責(zé)。(2)信息安全制度建設(shè)設(shè)備和介質(zhì)安全管理，明確配套設(shè)施、軟硬件設(shè)備管理、維護(hù)的責(zé)任人，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備采購(gòu)、發(fā)放、維護(hù)等過程進(jìn)行控制，加強(qiáng)對(duì)涉外維修、敏感數(shù)據(jù)銷毀等過程的監(jiān)督控制。日常運(yùn)行維護(hù)，明確網(wǎng)絡(luò)、系統(tǒng)日常運(yùn)行維護(hù)的責(zé)任人，對(duì)運(yùn)行管理中的日常操作、賬號(hào)管理、日志管理、補(bǔ)丁升級(jí)、口令更新等過程進(jìn)行控制和管理，制訂相應(yīng)的管理制度和操作規(guī)程并落實(shí)執(zhí)行。災(zāi)難備份，防止重大事故、事件發(fā)生。識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等，制定數(shù)據(jù)的備份策略和恢復(fù)策略，建立備份與恢復(fù)管理相關(guān)的安全管理制度。事件處置與應(yīng)急響應(yīng)，按照《信息安全事件分類分級(jí)指南》(GB/T20986-2007)、《信息安全事件管理指南》(GB/T20985-2007)確定信息安全事件的等級(jí)。結(jié)合《信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》(GB/T24363-2009)制定信息安全事件分級(jí)應(yīng)急處置預(yù)案，明確應(yīng)急處置策略，落實(shí)應(yīng)急指揮部門、執(zhí)行部門和技術(shù)支撐部門，建立應(yīng)急協(xié)調(diào)機(jī)制。2.4.2信息安全技術(shù)建設(shè)信息安全技術(shù)建設(shè)從保證企業(yè)業(yè)務(wù)連續(xù)性的角度出發(fā),從構(gòu)建設(shè)備安全可靠、基礎(chǔ)架構(gòu)安全、安全技術(shù)部署、統(tǒng)一安全管理、用戶行為安全五個(gè)方面，規(guī)劃了以等級(jí)保護(hù)為基礎(chǔ)的控制架構(gòu),以符合國(guó)家關(guān)于信息安全保障體系與等級(jí)保護(hù)的要求，企業(yè)信息安全技術(shù)建設(shè)如圖3所示。(1)設(shè)備安全可靠高可靠性永遠(yuǎn)是企業(yè)必不可少的重要需求。設(shè)備的可靠性就像自然界的生態(tài)平衡，維系著系統(tǒng)的正常運(yùn)轉(zhuǎn)，一旦平衡被打破，需要具備自我恢復(fù)能力。高可靠性的設(shè)備和可靠性技術(shù)是保證信息安全的基礎(chǔ)。(2)基礎(chǔ)架構(gòu)安全信息技術(shù)基礎(chǔ)架構(gòu)安全應(yīng)該以網(wǎng)絡(luò)安全架構(gòu)作為主體,并在此基礎(chǔ)上結(jié)合相應(yīng)的系統(tǒng)軟硬件進(jìn)行安全部署和配置。網(wǎng)絡(luò)應(yīng)該采用模塊化、冗余的網(wǎng)絡(luò)架構(gòu)，按照功能區(qū)域劃分的方法,根據(jù)網(wǎng)絡(luò)所承載業(yè)務(wù)系統(tǒng)的特性與所面臨的風(fēng)險(xiǎn),劃分不同的網(wǎng)絡(luò)功能區(qū)域,并根據(jù)業(yè)務(wù)的安全需求以及等級(jí)保護(hù)的要求,對(duì)不同區(qū)域之間的信息訪問做出限制。(3)安全技術(shù)部署從FW/VPN、IPS/IDS、防病毒系統(tǒng)、漏洞掃描、行為審計(jì)系統(tǒng)等多種安全設(shè)備到資源采集syslog、snmp、netstream等多種數(shù)據(jù)源，對(duì)所有安全信息進(jìn)行分析、匯聚和存儲(chǔ)。(4)統(tǒng)一安全管理統(tǒng)一安全管理不能簡(jiǎn)單地理解為單一的產(chǎn)品或方案的堆砌，它是銜接網(wǎng)絡(luò)安全設(shè)備的技術(shù)橋梁，不僅包括安全資源基礎(chǔ)管理、安全威脅集中監(jiān)控、風(fēng)險(xiǎn)評(píng)估、安全審計(jì)、響應(yīng)恢復(fù)等管理功能，同時(shí)還強(qiáng)調(diào)與企業(yè)安全制度、流程相結(jié)合，實(shí)現(xiàn)管理與技術(shù)的共同發(fā)展。(5)用戶行為安全對(duì)網(wǎng)絡(luò)中的用戶行為進(jìn)行全面的監(jiān)控、預(yù)警、審計(jì)，快速全面掌握網(wǎng)絡(luò)中的帶寬濫用、非法上網(wǎng)及流量異常情況，并采取有效措施進(jìn)行控制管理。信息安全技術(shù)建設(shè)的五個(gè)方面應(yīng)具有聯(lián)動(dòng)功能，使分散在企業(yè)的各個(gè)安全策略形成一個(gè)整體。同時(shí)，應(yīng)具有動(dòng)態(tài)適應(yīng)環(huán)境的能力，要求技術(shù)措施和管理機(jī)制的有效結(jié)合。2.5測(cè)評(píng)完善按照《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2007)、《信息安全風(fēng)險(xiǎn)管理指南》(GB/T24364-2009)等標(biāo)準(zhǔn)要求采取自檢自查、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)等方法，分析判斷目前所采取的安全措施的不足、存在的問題，制定安全策略，不斷鞏固和完善信息安全體系。3、結(jié)束語隨著信息技術(shù)的革新，各種新的技術(shù)層出不窮，新的應(yīng)用帶來了新的安全問題，威脅也在不斷地演變，可以看出企業(yè)信息安全體系建設(shè)是一項(xiàng)系統(tǒng)工程，而不是