企业信息安全迫在眉睫

来源:lch 发布时间:2014-07-23 10:19:25 点击数:

  目前随着企业信息化平台的高度发展,企业的业务运营对信息系统的依赖性越来越高,信息系统的安全运行成为影响企业研发,生产、销售的首要问题。

  一、企业信息安全需求

  企业信息系统是企业信息化战略的主要载体,为企业集团各项业务活动以及生产管理控制活动提供了重要服务。现在,企业已经形成了以公司主干网为核心运行平台、产销资讯系统为核心应用、各单位为基本用户的运行模式,其用户分布在企业各生产、管理职能部门。作为企业业务运营命脉的整体产销资讯系统主要包含九大系统:型线棒产销管理系统、硅钢产销管理系统、储区优化管理系统、客户关系及电子商务管理系统、物流供应链含理系统、设备及工程管理系统、决策支持管理系统、电能无线计虽管理系统和信息门户管理系统。其特点是集生产、办公、管理于一体,使得企业能够提高工作效率及客户满意度,降低成本,加强了企业的市场竞争力。

  在企业信息化水平达到一定高度后,信息安全问题也随之而来。作为国务院信息化工作办公室推选的ISO/IEC27001信息安全体系企业试点单位,企业对安全的理解也实现了从网络安全到信息安全的跨越。从2004年的信息安全风险评估项目到2005年的信息安全加固项目;从到2007年的企业主干站点综合防护项目,到2009年的企业防病毒及桌面管理系统升级项目和企业主干站点综合扩点等项目,企业信息安全体系建设的脚步越走越稳。

  二、风险评估和整体规划

  保障信息安全,首先要明确安全目标,界定安全边界,进而建立信息安全保障的管理和运行体系,达到融安全管理于日常工作的效果。因此,首先需要对企业进行整体的信息安全风险评估。企业风险评估的目标是根据调查分析的结果,结合企业信息系统的实际情况,分析系统面临的各项威胁因素;综合信息系统关键资产重要性、安全需求、现有防护措施等,评估各项威胁对企业信息系统造成的影响,并根据影响的大小提出需要进行考虑的安全策略。

  通过信息安全风险评估,我们识别出对企业产销系统和骨干网影响最大的三个信息安全威胁是:混合型病毒和恶意代码;外部人员通过网络实施对信息系统的入侵攻击;内部人员通过网络的直接入侵和不规范操作。

  根据风险评估结论,同时结合企业信息系统实际情况,参考ISO27001、COBIT等国际、国家相关标准,一套适合企业发展的、先进的安全技术体系结构得以提出。在规划设计时,遵循安全策略中“深度防御战略”的多层防护原则,覆盖企业信息系统中的主干网、公司级应用、接入单位系统等,主要从调整公司服务器部署、提高安全性、增强网络安全保护、利用现有设备和新增防火墙进行网络安全域划分与加强访问控制来保护重要单位、网络综合监管平台构建(网络设备日志、流量等)、微软操作系统补丁分发与更新与漏洞检查、公司重要服务器审计及安全策略配置加固以及终端配置管理、接入管理等方面着手。通过此次安全规划,企业提出了安全整体策略规划、运行安全规划、技术安全规划三份完整详尽的安全规划报告,以及切实可行的信息安全整体规划。

  三、信息安全技术体系建设框架

  在信息系统安全体系结构中,信息的安全主要依赖于信息基础设施对关键信息的处理、存储和传输的安全的保护。信息保障依赖人、操作和技术来实现组织的任务、业务运作。针对技术、信息基础设施的管理活动同样依赖于这三个因素。稳定的信息保障体系意味着信息保障的政策、步骤,技术与机制在整个组织的信息基础设施的所有层面上均得以实施。为了实现“深度防御”目标,需要在网络基础环境安全,边界安全、计算环境安全和支撑性安全基础设施四个方面进行设计。

  相关文章推荐《不是IT专业也要做好信息部总监