企業信息安全服務

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業信息安全服務范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

企業信息安全服務范文第1篇

【 關鍵詞 】 信息安全架構；企業戰略；信息安全服務； 信息安全價值； 一致性；可追溯性

【 文獻標識碼 】 A 【 中圖分類號 】 TP393.08

1 引言

信息安全技術和管理經過不斷的發展和改善，已經能夠比較有效地解決一些傳統信息安全問題，如信息安全風險管理、訪問控制，脆弱性管理、加密解密和災難恢復等。隨著信息越來越成為組織的核心資產，保護信息的安全已不再只是局限于技術和日常管理層面的討論，信息的安全越來越關系到組織自身發展的安全。一次重大的信息泄露事故就能使企業的市值一落千丈。同時，一套合理的訪問控制解決方案能夠幫助企業快速推出核心產品（尤其是電子商務）和兼并其他企業。當前信息安全發展呈現出新的趨勢和要求：（1）信息安全部門逐漸從成本中心轉向價值中心，信息安全的各項活動越來越和企業戰略緊密相連；（2）企業內部其他部門越來越多的要求信息安全部門提供清晰、可測量的服務來支持業務的運行。

企業的信息安全部門在不斷增強其核心影響力的同時，也承擔著隨之而來的更多責任和挑戰。其一是如何將企業戰略轉化為信息安全計劃，將信息安全融入到組織的業務流程中，并且保持信息安全控制措施與企業戰略的一致性和可追溯性；其二是如何使信息安全的價值得到認可并在組織內部最大化；其三是如何滿足企業內部各部門有計劃或無計劃的信息安全服務需求；其四是如何確保以一種系統主動和集中統一的方式來管理業務和遵從性需求，并實現清晰的測量和不斷的改進。

當前各企業廣泛采用的標準或最佳實踐有幾種：ISO27001：2005，COBIT4.1，NISTSP800或PCIDSSv2.0等。這些標準各有優點，但也有明顯的缺憾，如表1所示（缺憾部分用X表示）。

設計本信息安全架構旨在解決上述問題并建立一種高效機制達到如下目標。

* 將企業戰略轉化為信息安全計劃，確保信息安全的可追溯性、持續一致性和簡潔性，以降低成本、減少重復和提高效率。將信息安全融入到組織的業務流程中，建立一致性和可追溯性；建立清晰的信息安全架構和愿景，以減少重復和指導信息安全投入和解決方案的實施。

* 基于客戶服務理念，信息安全服務價值得到認可，信息安全靠攏業務部門，為信息安全管理和業務管理建立共同語言。

* 全面管理信息安全，滿足目前絕大多數法律法規、標準的最佳實際的要求，并具有靈活的可擴展性，當新需求出現后能夠將其平滑的融入到現有架構中。

* 系統和集中統一的方式，使信息安全管理可預測和可測量，并不斷的改進。

2 信息安全架構設計

2.1 信息安全架構設計所基于的原則

本信息安全架構的設計遵循四大原則。

1） 業務驅動：所有的信息安全目標應該從業務需求中來，從而保證信息安全管理總是做“正確的事”。

2） 整合、統一的架構：現在有數以十計的信息安全相關的法律法規，標準和最佳實踐需要去符合或參考，且其各有不同的要求側重點和優缺點。因此很有必要將所有相關的信息安全關注點整合到一個統一的架構中，以保證所有要求都被滿足，同時避免不要的重復。例如，ISO27001關注全面安全控制和風險管理，PCIDSS側重支付卡環境中技術控制和策略管理等。

3） 系統化思維：運用系統化思維可以幫助組織解決復雜且動態的問題，適應運營中的各種變化，減輕戰略上的不確定性和外部因素的影響。例如，需要整合機構、人員、技術和流程；需要考慮安全、成本和易用性的權衡；需要靠持續改進（Plan-Do-Check-Act）；需要考慮全面防護和縱深防護。

4） 易用性：信息安全架構的最大價值在于被理解和廣泛應用于組織的實踐當中。因此，信息安全架構必須易于理解并且實際可操作性要強，應避免太過復雜和晦澀。

2.2 信息安全架構實現

2.2.1 信息安全架構-域試圖

基于上面的基本原則，本信息安全架構由三個域組成（如圖1所示）：治理（Governance）、保障（Assurance）和服務（Services）。

治理（Governance）： 信息安全治理域強調戰略一致性，風險管理，資源管理和有效性測量。治理域又包括三個子域：愿景與戰略、風險與遵從性管理和測量。各子域主要功能如下所述。

* 愿景與戰略： 將遵從性要求，信息安全的發展趨勢，行業發展趨勢和業務戰略轉化為信息安全愿景、戰略和路線圖。

* 風險與遵從性管理： 管理信息安全風險使信息安全風險控制在組織可接受的范圍內。

* 測量： 監控和測量整體信息安全的有效性并持續提升信息安全對組織的價值。

保障： 保障域側重于信息安全的全面與縱深防護措施。保障域包含預防、監測、響應和恢復四個部分。各部分主要功能如下所述。同時保護的對象為不同層面的信息資產：數據層、應用層、IT基礎設施層和物理層。

* 預防： 實施信息安全控制措施包括管理措施和技術措施，防止信息安全威脅損害組織的信息安全控態。

* 監測： 部署信息安全監測能力監控正在發生或已經發生的信息安全事態。

* 響應：部署信息安全響應體系迅速、高效的抑制信息安全事件。

* 恢復： 建立組織的可持續性能力，但重要信息系統不可用時，可以在計劃的時間內恢復。

服務： 服務域顯示了面向客戶（內部和外部），協作與知識更新對信息安全實踐非常重要。服務域包含三個部分：信息安全服務、知識管理、意識與文化。各部分主要功能如下所述。

* 信息安全服務： 信息安全團隊應對待組織內部其他部門和對外部客戶一樣，基于服務基本協議，提供高質量的信息安全服務。

* 知識管理： 知識是信息安全實踐和服務的基石。信息安全知識管理包括獲取、維護和利用知識去獲取最大的信息安全專業價值。信息安全知識應不僅在信息安全團隊內部而且在整個組織被共享。

* 意識與文化： 信息安全意識與文化在組織內部建立一個整體的信息安全氛圍。一個好的信息安全意識與文化意味著每個人都每個人都了解信息安全，關心信息安全、在日常工作中關注信息安全。信息安全意識與文化對提升組織整體信息安全成熟度和降低信息安全風險至關重要。

2.2.2 信息安全架構-組件試圖

為支撐信息安全架構的三個域，本信息安全架構組件融合了不同標準和最佳實踐的精華部分，并自成一體，如圖2所示。本架構參考的標準主要有如下一些：ISO27001：2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。

3 信息安全架構在企業內實際應用效果分析

本信息安全架構已被推廣和應用到各個行業中，如保險業、銀行業、教育和非盈利性機構等。本文選取一個保險企業的案例來說明本信息安全架構給企業帶來的積極變化。

背景：此保險公司有3000名員工，計劃在加拿大多倫多（Toronto）上市，因此需要符合加拿大和行業的一些法律法規的要求，如Bill198、PIPEDA、PCIDSS等。同時公司高層決定借鑒信息安全管理的最佳實踐標準，如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架構的特點就是融合各法規、標準和最佳實踐的要求，因此不需要做任何大的改動的情況下（降低成本）就能應用到此保險公司中。

經過9個月的實際運行，公司進行了各項測量指標重新評估并與實施本信息安全架構前的指標進行了對比分析。

3.1 平衡計分卡（Balanced Scorecard）[10]測評分析

平衡計分卡是衡量信息安全對企業貢獻價值的一種分析工具。平衡計分卡包括四個測量項目：對企業的貢獻，對愿景的規劃，內部流程的成熟度和面向客戶。該保險公司在實施本信息安全架構前后分別進行了兩次測評。測評方法是由公司高級管理人員和各部門經理對信息安全部門進行評估，0級表示無成績，5級表示完美，然后取平均值。2011年7月評估結果顯示“企業貢獻”為2.2，“愿景規劃”為2.5，“內部流程”為2.8，“面向客戶”為2.1；2012年7月評估結果顯示“企業貢獻”為4.1，“愿景規劃”為3.9，“內部流程”為3.8，“面向客戶”為4.1。如圖3所示。測評結果表明實施本信息安全架構后企業高層及各部門對信息安全給企業帶來的價值的認可度有較為明顯提升。

3.2 總體信息安全成熟度級別分析

本文采取的信息安全總體成熟度的評價是基于ISO27002的控制域和CMMI[11]的評估級別。0級是最低級，5級是最高級。該保險公司在實施本信息安全架構前后分別進行了兩次自評估。2011年10月實施本信息安全架構前成熟度水平是介于2.0-3.0之間， 2012年10月實施本信息安全架構后成熟度水平是介于3.0-4.5之間，如圖4所示。成熟度級別分析結果表明實施本信息安全架構后整體成熟度有較為明顯提升。

3.3 獨立審核發現點數量分析

第三方機構獨立審核是從專業、客觀的角度來衡量整體信息安全控制措施，包括管理、技術和流程。審核發現點的數量越多，表明脆弱點越多，存在的風險越大。該保險公司在實施本信息安全架構前后分別邀請用一個第三方審核機構對其進行了全面審核與評估（依據上市公司的管控要求）。2011年9月審核結果顯示有4個高風險項，8個中風險項和13個第風險項；2012年9月審核結果顯示無高風險項，且只有2個中風險項和4個第風險項。如圖5所示。審核結果表明實施本信息安全架構后整體風險水平有較為明顯降低。

3.4 信息安全事件發生數量分析

信息安全事件（特別是1級與2級事件）發生的數量標志著信息安全控制措施的全面性和有效性。信息安全事件數量越少，表明整體控制措施越有效。該保險公司統計了實施本信息安全架構前后發生的信息安全事件數量。2011年1月-10月期間有4個一級安全事件（重大），12個二級安全事件（嚴重），25個三級安全事件和40個四級安全事件；2012年1月-10月期間有1個一級安全事件（重大），2個二級安全事件（嚴重），10個三級安全事件和16個四級安全事件。如圖6所示。信息安全事件數量分析結果表明實施本信息安全架構后安全控制措施的全面性和有效性有較為明顯增強。

3.5 魚叉式網絡釣魚模擬攻擊測試結果分析

模擬釣魚攻擊測試是對企業員工整體信息安全意識水平一種比較客觀的考核方式。收到攻擊（點擊鏈接）的人數越少，表明整體信息安全水平越高。該保險公司采用ThreatSim的模擬攻擊測試平臺，在實施本信息安全架構前后分別選取了5個分支機構（共200人）進行了模擬攻擊測試。測試的主要方法是注冊一個與該保險公司類似的網絡域名，然后偽造一份看似從信息安全管理員發出的E-mail，此E-mail的大致內容是說該保險公司于近期對相關系統進行了升級，將會影響到原有的帳戶和密碼，要求終端用戶盡快修改密碼。此E-mail包含一個鏈接到修改密碼的偽網頁。

2011年5月測試結果顯示有47%的員工點擊了有害鏈接，點擊有害鏈接的員工中有18%的人輸入了密碼，點擊有害鏈接的員工中有68%的人完成了在線培訓內容；2012年5月測試結果顯示有14%的員工點擊了有害鏈接，點擊有害鏈接的員工中有3%的人輸入了密碼，點擊有害鏈接的員工中有98%的人完成了在線培訓內容。如圖7所示。模擬攻擊測試分析結果表明實施本信息安全架構后該保險公司員工整體信息安全意識水平有較為明顯進步。

3.6 信息安全服務客戶滿意度調查結果分析

客戶滿意度調查是從被服務客戶的角度來衡量信息安全團隊的服務能力，以及給公司帶來的實際價值。滿意度百分比值越高，表明信息安全團隊的能力和服務價值越被認可。該保險公司在實施本信息安全架構前后分別對精算部、個人保險部、商業保險部、索償部、渠道與銷售部做了信息安全服務滿意度調查。

2011年8月調查結果顯示對服務專業質量的滿意度為72%，對服務請求響應速度的滿意度為46%，對服務態度的滿意度為67%，整體滿意度為60%；2012年8月調查結果顯示對服務專業質量的滿意度為95%，對服務請求響應速度的滿意度為85%，對服務態度的滿意度為92%，整體滿意度為88%；如圖7所示?？蛻魸M意度分析結果表明實施本信息安全架構后企業各部門對信息安全服務價值的認可度有較為明顯提升。

4 結束語

現階段信息安全管理著重在信息安全的風險控制，隨著信息安全管理角色的轉變，信息安全需要跟多的與組織戰略結合，為組織創造更多的價值，并通過提供信息安全服務使組織內部各部門享受到信息安全給組織帶來的價值并認可這些價值。當前被廣泛采用的一些標準和最佳實踐有其優點，但同時無法滿足一些新的挑戰。目前缺乏一種高效可執行的信息安全架構來將企業戰略轉化為信息安全計劃、基于客戶服務理念使信息安全服務價值最大化以及全面系統化管理信息安全。本文針對上述問題提出的一種面向企業戰略和服務的信息安全架構。通過將本信息安全架構應用到實際的企業中，驗證了本信息安全架構能夠為企業提供更多的價值、增強客戶滿意度、提升整體安全成熟度和員工信息安全意識水平。

參考文獻

[1] International Organization for Standardization， International Electrotechnical Commission. ISO/IEC 27001：2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland： ISO copyright office， 2005.

[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1，USA： IT Governance Institute， 2007.

[3] National Institute of Standards and Technology， U.S. Department of Commerce. NIST Special Publication 800 series.

[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures， Version 2.0. 2010.

[5] National Security Agency Information Assurance.

[6] Solutions Technical Directors. Information Assurance Technical Framework （IATF） version3.0. 2010.

[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0，USA： IT Governance Institute， 2012.

[8] Sharon Taylor， Majid Iqbal， Michael Nieves， 等. Information Technology Infrastructure Library ， England： Office of Government Commerce， ITIL Press Office， 2007.

[9] Federal Financial Institutions Examination Council. IT Examination Handbook， information security Booklet. USA： FFIEC， 2006

[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1， 2012.

[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute， a Strategy Management Group company， 2008.

[12] Software Engineering Institute， Carnegie Mellon University. Capability Maturity Model Integration （CMMI） Version 1.3. USA： Carnegie Mellon University， 2010.

[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.

作者簡介：

企業信息安全服務范文第2篇

該文對供水企業信息集成系統安全進行分析，并探討了可以針對性改進的安全防護措施。首先對當前供水信息系統安全現狀做具體分析，然后研究了在“自主定級，自主保護”的原則下改進和提高供水企業集成信息系統安全具體的執行方案，最終實現供水企業信息集成系統的信息安全防護。

關鍵詞：

供水企業信息集成系統；等級保護；信息安全

供水行業對國計民生很重要的一個行業，供水企業的業務性質要求以信息的整體化為基本立足點，集中管理所有涉及運營的相關數據，針對供水企業運行的特殊要求，進行集中的規劃和架構，將不同專業的應用系統進行整合，最終形成完整的供水企業綜合信息平臺。[1]而集成系統中最重要的一個要求就是信息安全。

隨著大數據時代的到來，網格、分布式計算、云計算、物聯網等新技術相繼推出，對供水企業信息集成與應用也提出了更高的要求。而隨著應用的擴展，應用中存在著大量的安全隱患，網絡黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統。根據美國Radicati公司于2015年3月的調查報告，截至2014年12月，網絡攻擊已經為全球計算機網絡安全造成高達上萬億美元的損失。而且隨著網絡應用的規模進一步上升，計算機網絡信息安全威脅造成的損失正在呈幾何級數增長。根據2015年的中國網絡安全分析報告，2014年報告的網絡安全攻擊事件比2013年增加了100多倍。2014年，搜狗由于網絡黑客攻擊導致搜索服務在全國各地都出現了長達25分鐘無法使用。2014年7月，某域名服務商的域名解析服務器發生了網絡黑客的集中式攻擊，造成在其公司注冊的13%的網站無法訪問，時間長達17個小時，經濟損失不可估量。因此，從信息安全的角度，要對供水企業信息集成系統進行防護，降低信息安全事故的發生的概率，降低其危害，是本文需要研究的內容。

1當前供水企業信息集成系統安全防護的現狀和存在的問題

伴隨著科技的不斷發展，供水企業的信息化建設也得到了很大的發展，主要是從深度和廣度兩個層面做進一步拓展。典型的供水企業信息集成系統涵蓋了生產調度系統、銷售系統、管網信息系統、財務管理系統、人事管理系統、辦公自動化系統等子系統。其中多個系統數據需要接受外部訪問，存在大量的安全隱患。目前，威脅到供水企業信息安全的風險因素主要分為三個大類：1）人為原因，如惡意的黑客攻擊、不懷好意的內部人員造成的信息外泄、操作中出現低級錯誤等。2）數據存儲位置位置的風險?？赡苡勺匀粸暮σl的問題，缺乏數據備份和恢復能力。3）不斷增長的數據交互放大了數據丟失或泄漏的風險。包括未知的安全漏洞、軟件版本、安全實踐和代碼更改等。

2有關分級防護的要求

尤其是供水企業信息集成系統中，存在大量涉及公民個人隱私的信息，也存在像生產調度這樣涉及國計民生的信息。因此，需要按照國家有關信息安全的法律法規，明確企業的信息安全責任。提升供水企業信息管理區內的業務系統信息安全防護。依據《信息安全等級保護管理辦法》（公通字[2007]43號）第十四條，信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。定級標準按照國家標準《信息系統安全等級保護定級指南》（GB/T22240—2008）實施，根據等級保護相關管理文件，信息系統的安全保護等級分為以下五級：第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種：1）造成一般損害；2）造成嚴重損害；3）造成特別嚴重損害。

3分別防護實施步驟

根據有關法律法規，建設完成并投入使用的信息系統，其有關使用此系統的單位需要對其系統的等級狀況做定期的測評。供水企業要遵照要求選擇具有資質的測評機構來對管理信息區的業務系統做等級保護的測評工作。其所得到的結果如下表1所示：通常情況下，供水企業信息系統中不會出現第四級和第五級的系統。根據測評結果，有必要對供水企業內部的局域網進行系統化整改。具體的整改內容包括兩項主要內容：細化各業務系統服務器的物理位置；按照需求設置信息安全區域。根據供水企業信息集成系統的具體實際，主要有等級包括三個業務區域，以及一個公共業務區和測評業務區。按照上述原則對供水企業信息集成系統服務器做物理劃分如圖1所示。不同等級的系統服務器針對不同級別的信息安全區進行設置。等級為一、二、三的業務區分別安裝著對應的服務器，而公共業務區域的服務器主要是DNS服務器或者是域服務器。公共業務區服務器主要為基礎服務提供非業務系統服務，不需要進行保護分級。測評業務區提供是投入正式使用前的測試服務器。

依據表1的測評結果，將安全區域進行細化表2所示的就是企業管理信息區，其主要業務系統對安全區域存放問題的展示。根據表2得到的結果，可以將信息安全設備存放在不同信息區域邊界內，以此達到服務器分級防護目的。信息安全設備設置在信息安全區域邊界，也就是局域網與信息安全區域之間的連接部。信息安全設備主要是防火墻、查殺病毒、攻擊防護、服務防護禁止、授權等。對于不同區域邊界的信息安全的部署建議，供水企業要遵照各自的實際情況做周密的設置。供水企業管理信息安全區域邊界防護表見表3。將信息安全防護設備部署在所在的區域邊界內，如此可以初步實現對供水企業管理信息區的信息安全防護。

4結束語

隨著大數據的發展，對供水企業信息集成系統在數據的交互和應用方面會提出更高的要求，也大大加強了安全防護措施的重要性和迫切性。在安全防護措施基本到位的前提下，還需要加強信息審計，及時發現和補救系統缺陷，加強數據庫安全防護，維護管理系統的隱患。

參考文獻：

[1]孫鋒.基于多agent技術的供水企業信息集成系統研究[J].供水技術,2015(10).

企業信息安全服務范文第3篇

[關鍵詞]信息安全管理 評估模型 管理體系

中圖分類號：P9.T3308 文獻標識碼：A 文章編號：1009-914X（2016）21-0400-01

1、 引言

隨著信息化建設的發展，信息安全越來越多的受到人們的重視，企業信息安全重點面臨的問題主要表現在[1]：1）網絡受到外部的惡意攻擊，部分單位無終端接入控制措施，使企業的正常業務無法開展或相關重要數據被盜??；2）網站受到黑客攻擊，由于部分掌握網絡技術的不法人員查詢到破解網站所存在的漏洞，加以利用并篡改網站信息及獲取網站管理權限，使得網站陷入癱瘓；3）信息的監管不利產生不良的影響，通常情況下信息沒有主管部門負責審核導致監管不到位，那么不良信息就可能由于工作人員的疏忽而上傳到網站上，造成不良影響；4）計算機病毒的危害，相關系統不及時更新補丁和升級，受到病毒入侵并加以利用，篡改應用系統信息或獲取管理權限，使得應用系統丟失重要信息。

當前，有關信息系統的安全評價雖然存在著多種多樣的具體實踐方式，但在目前還沒有形成系統化和形式化的評價理論和方法。評價模型基本是基于灰色理論（Gray Theory）或者模糊（Fuzzy）數學，而評價方法基本上用層次分析法AHP[2]（Analytic Hierarchy Process）或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數結合，建立了安全評價體系，并運用隸屬函數和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統安全的某一個方面出發，如技術、管理、過程、人員等，著重于評估網絡系統安全某一方面的實踐規范。在操作上主觀隨意性較強，其評估過程主要依靠測試者的技術水平和對網絡系統的了解程度，缺乏統一的、系統化的安全評估框架，很多評估準則和指標沒有與被評價對象的實際運行情況和信息安全保障的效果結合起來。

大型企業信息安全管理體系的研究，就是為了尋找一個科學、合理的管理體系，并根據該體系和方法對大型企業的信息安全狀況和水平進行評價，對信息安全管理績效進行考核。

2、 大型企業信息安全管理體系的內涵

通過管理體系的應用，將對大型企業信息安全產生非常重要的作用。一是可以對企業信息安全的水平做出客觀的反應，認識企業信息安全存在的不足之處，發揮考評體系的指導作用，引導企業“信息安全”工作健康科學發展；二是可以為企業信息安全的建設指明方向，為信息安全的發展提供有力支撐；三是可以幫助企業管理者建立起一套科學的信息安全管理系統，有效控制信息化活動的進程，提高信息安全級別，減少因信息安全事件引起的損失，有利于正確引導和規范企業的信息化建設，指導企業科學發展具有重要的意義。

3、 大型企業信息安全管理體系的主要做法

為了大型企業信息安全管理體系的建立，提出了管理體系的目標：對于信息安全方面出現的問題，達到防范目的；對于信息安全工作進行查漏補缺，加強管理；通過評估體系的考核，落實相關信息安全文件、推進信息安全工作，為企業信息安全的建設指明方向，同時注重管理體系整體的時效性，根據信息安全發展的不同階段進行及時更新。

1） 建立大型企業信息安全體系

信息安全體系總體設計。信息安全體系設計共分為三級，包含9個一級指標，14個二級指標，27個三級指標。一級指標和二級指標為共性指標，三級指標為數據采集項。一級指標包括：網絡安全管理、環境安全管理、應用系統安全管理、數據安全管理、終端安全管理、操作安全管理、網絡信息安全、移動信息化安全、服務器掃描情況。一級和二級指標結構圖如下：

2）信息安全考評指標的權重設計

指標權重理論思路。具體權重根據德爾菲法[4]、層次分析法，結合政策導向確定。

管理體系的指標權重確定方法設計過程中，選取兩組技術、管理等方面的專家，其中一組專家根據各指標在企業信息化中的重要程度，確定各指標的相對重要性，采用層次分析法確定各指標的權重。另外一組專家根據各指標在企業信息化中的重要程度，對各指標按百分制進行賦值，確定各指標的權重。綜合兩組專家的意見，初步確定各指標的權重，再組織專家研討會，最終確定各指標的權重。

企業信息安全考評指標總分計算方法：

I=Σ（Pi*Wi） （1）

I表示指標體系的總得分；Pi表示第i個指標的得分，各指標得滿分都是100分；Wi表示第i個指標的權重，所有指標權重的和為100%。

3）建設大型企業信息化評價管理系統

為了實施信息安全措施體系，以信息安全體系、信息安全文件和考評制度為基礎，研發包括信息安全在內的大型企業信息化評價管理系統。通過使用該系統，將減輕信息化管理部門的負擔，填報和匯總數據的效率顯著提高，最為突出的是以上報數據為基礎，可以自動、實時地形成各種統計、分析圖表，從而完成以往需要信息化管理人員幾天才能完成的大量統計工作，大大減輕了信息化管理部門的工作強度，增加了信息化管理部門對新情況快速反應能力。

系統整體架構由數據庫層、框架服務層、應用邏輯層、界面表現層組成，系統部署了tomcat下運行的I@Report和BI@Report作為框架服務層，并在此基礎上開發了業務系統。

系統主要實現了如下功能：

編碼同步、基層權限管理、評價初始化、基層初評、數據提交、部門權限管理（含單位、指標項）、管理部門復評、信息稽核、數據計算、統計管理、查詢管理、決策模型。

建立統一的數據報送平臺，提高企業信息整合水平。

建立在線交流及公告平臺。

系統根據建立的數學模型進行綜合分析，可自動、實時地形成各種統計分析圖表、報告等，例如：信息化評級、信息化水平評測報告。

4、 結束語

通過大型企業信息安全管理體系的實施，使企業信息化水平評估體系更加完善，在考評信息化建設水平的同時，又對信息安全水平等級有所提升。

參考文獻

[1] 周學廣，劉藝.信息安全學[M].北京：機械工業出版社，2003.

[2] 常建娥，蔣太立.層次分析法確定權重的研究[J].武漢理工大學學報，信息與管理工程版，2007，1（29）：153-156.

企業信息安全服務范文第4篇

當今是一個網絡時代，也是一個科技化快速高速發展的時代。特別是對于電子科技企業來說，信息就成為了一個企業成敗的關鍵。只有通過有效信息的掌握，才能讓企業未來的道路越走越好。隨著這樣的趨勢，企業信息化的進程也在不斷的發展，信息不僅是在一定程度上掌握了企業未來的命運，同時對于企業管理水平的提高也起到了非常重要的作用。有一些企業的商務活動基本上都是通過電子商務的形式來完成的，還有一些生產運作、運輸以及管理都離不開信息化的建設。還有一些電子科技企業為了企業未來的發展，要進行企業形象的宣傳，產品以及服務信息很大程度上都要依賴于信息化的建設。如今，信息化的時代已經到來，信息化的建設對于電子科技企業來說具有至關重要的作用，因此電子科技企業應該加快信息化建設的步伐，這樣才能促進電子科技企業進一步的發展。

2電子科技企業安全技術的闡述

2.1電子信息的加密技術

所謂電子信息的加密技術也就是對于所傳送的電子信息能夠起到一定的保密作用，也能夠使信息、數據的傳遞變得更加安全和完整。電子信息的加密技術是保障電子科技企業信息安全的重要保證。加密技術也主要分為對稱以及非對稱兩類，對稱的加密技術一般都是通過序列密碼或是分組機密的方式來實現的。這其中還包括了明文、密鑰、加密算法以及解密算法五個基本的組成部分。而非對稱加密與對稱加密也存在一定的差異，非對稱加密必須要具備公開密鑰和私有密鑰兩個密鑰，同時，這兩種密鑰只有配對使用，這樣才能解密。因此加密技術對于電子信息的安全具有很大的保障。如果在發送電子信息的時候，發送人是使用加密技術來發送郵件的，那么有人竊取信息的時候，也只能夠得到密文，不能得到具體的信息。這樣就大大加強了信息傳送的安全性。加快推進國內關鍵行業領域信息系統的安全評估測試。在安全評估方面，主要針對主機安全保密檢查與信息監管，采取文件內容檢索、惡意代碼檢查、數據恢復技術、網絡漏洞掃描、互聯網網站檢測、語意分析等技術，評估分析重要信息是否發生泄漏，并找出泄漏的原因和渠道。

2.2防火墻技術

隨著網絡技術的不斷發展，雖然對于信息安全問題已經不斷的得到加強，但是一些信息的不安全因素也在逐級的提高。有一些黑客或者是病毒木馬也在不斷的入侵，而這些不安全的因素會極大的威脅到電子科技企業信息的安全。而針對這種情況，一種比較有效的防護措施就是防火墻技術的使用。這種技術可以有效的防止黑客的入侵以及電腦中的信息被篡改等情況的發生。這樣就能夠有效的保障電子科技企業信息的安全。加強企業信息基礎設施和重要信息系統建設，建設面向企業的信息安全專業服務平臺。重點開展等級保護設計咨詢、風險評估、安全咨詢、安全測評、快速預警響應、第三方資源共享的容災備份、標準驗證等服務；建設企業信息安全數據庫，為廣大企業提供快速、高效的信息安全咨詢、預警、應急處理等服務，實現企業信息安全公共資源的共享共用，提高信息安全保障能力。

3解決電子科技企業信息安全問題的方法

3.1構建電子科技企業信息安全的管理體系

如果要想有效的保障電子科技企業的信息安全，除了要不斷的提高安全技術水平，還要建立起一套比較完善的信息安全管理體系。這樣才能使整個信息安全工作更加有條不紊的進行。在很多電子科技企業當中，最初所建立的相關信息制度在很大程度上都制約著信息系統的安全性。如果一旦安全管理制度出現了問題，那么一系列的安全技術都無法發揮出來。很多信息安全工作也無法正常進行下去。因此，嚴格的信息安全管理體系對于信息安全的保障具有十分重要的作用。只有當信息安全管理形成了一個完善的體系，那么信息安全工作才能夠更加順利的進行，同時也能夠大大的提升信息安全的系數。

3.2利用電子科技企業自身的網絡條件來提供信息安全服務

一般來說，電子科技企業都擁有自己的局域網，很多企業也可以通過局域網來相互連通。因此，電子科技企業應該充分的利用這一特點為自身的企業提供良好地信息安全服務。通過局域網的連通，不僅能夠在這個平臺上及時的公布一些安全公告以及安全法規，同時還可以進行一些安全軟件的下載，為員工提供一些關于信息安全的培訓。這樣不僅能夠為企業之間的員工提供一個安全的互相交流的平臺，同時還能夠很好的保障企業信息安全。針對企業主機安全保密檢查與信息監管，采取文件內容檢索、惡意代碼檢查、數據恢復技術、網絡漏洞掃描、互聯網網站檢測、語意分析等技術，評估分析重要信息是否發生泄漏，并找出泄漏的原因和渠道。

3.3定期對信息安全防護軟件進行及時的更新

企業信息安全服務范文第5篇

關鍵詞：分布式；信息安全；規劃；方案

中圖分類號：TP309.2文獻標識碼：A 文章編號：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

據來自eWeek 的消息，市場研究機構Gartner 研究報告稱，很對企業目前仍缺乏完整的信息安全規劃和規范。盡管目前很多企業在信息安全方面的投入每年都在緩慢增長，但由于推動力以外部法律法規的約束和商業業務的壓力為主，因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構構成方式為分布式的企業而言，因為信息安全需求和部署相對更加復雜，投入更多，因此這類企業的信息安全規劃就更加缺乏。

本文根據這類分布式企業的特點提出了一種符合該類企業實際的信息安全規劃方案。

2 總體規劃原則和目標

2.1 總體規劃原則

對于分布式企業的信息安全規劃，要遵守如下原則：適度集中，控制風險；突出重點，分級保護；統籌安排，分步實施；分級管理，責任到崗；資源優化，注重效益。

這個原則的制定主要是根據分布式企業的實際機構構成情況、人員素質情況以及資源配置情況來制定的。

2.2 總體規劃目標

信息系統安全規劃的方法可以不同、側重點可以不同，但是需要圍繞組織安全、管理安全、技術安全進行全面的考慮。信息系統安全規劃的最終效果應該體現在對信息系統與信息資源的安全保護上，下面將分別對組織規劃、管理規劃和技術規劃分別進行闡述。信息安全規劃依托企業信息化戰略規劃，對信息化戰略的實施起到保駕護航的作用。信息系統安全規劃的目標應該與企業信息化的目標是一致的，而且應該比企業信息化的目標更具體明確、更貼近安全。信息系統安全規劃的一切論述都要圍繞著這個目標展開和部署。

3 信息安全組織規劃

3.1 組織規劃目標

組織建設是信息安全建設的基本保證，信息安全組織的目標是：

1）完善和形成一個獨立的、完整的、動態的、開放的信息安全組織架構，達到國際國內標準的要求；

2）打造一支具有專業水準的、過硬本領的信息安全隊伍。對內可以保障企業內部網安全，對外可以向社會提供高品質的安全服務；

3）建設一個 “信息安全運維中心（SOC）”，能夠滿足當前和未來的業務發展及信息安全組織運轉的支撐系統，能夠對外提供安全服務平臺。

3.2 組織規劃實施

對于組織規劃這個方面，是屬于一個企業信息安全規劃的上層建筑，需要用一種由上而下的方法來實現，其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業而言，需要主導部門從上層著手，建章立制，強化安全教育，加大基礎人力、財力和物力的投入。

4 信息安全管理規劃

4.1 管理規劃目標

信息安全管理規劃的目標是，完善和形成“七套信息安全軟措施”，具體包括：一套等級劃分指標，一套信息安全策略，一套信息安全制度，一套信息安全流程規范，一套信息安全教育培訓體系，一套信息安全風險監管機制，一套信息安全績效考核指標?！捌咛仔畔踩洿胧标P系如圖1所示。

4.2 信息安全管理設計

基于對管理目標的分析，信息安全管理的原則以風險管理為主，集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。

4.2.1 信息安全等級劃分指標

信息安全等級保護是國家在國民經濟和社會信息化的發展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化健康發展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是關于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。

4.2.3 信息安全制度

信息安全制度是指為信息資產的安全而制定的行為約束規則。

4.2.4 信息安全規范

信息安全規范是關于信息安全工作應達到的要求，在信息安全規范方面，根據調查，建立信息安全管理規范、信息安全技術規范。其中，安全管理規范主要針對人員、團隊、制度和資源管理提供參照性準則；信息安全技術規范主要針對安全設計、施工、維護和操作提供技術性指導建議。

4.2.5 信息安全管理流程

信息安全流程是指工作中應遵循的信息安全程序，其目的是減少安全隱患，降低風險。

4.2.6 信息安全績效考核指標

信息安全績效考核指標是指針對信息安全工作的質量和態度而給出的評價依據，其目的是增強信息安全責任意識，提高信息安全工作質量。

4.2.7 信息安全監管機制

信息安全監管機制是指有關信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制，做到“安全第一，預防為主”。

4.2.8 信息安全教育培訓體系

其主要目的加強的信息安全人才隊伍的建設，提高企業人員的信息安全意識和技能，增強企業信息安全能力。

5 信息安全技術規劃

5.1 技術規劃目標

信息安全技術規劃目標簡言之是：給業務運營提供信息安全環境，為企業轉型提供契機，構建信息安全服務支撐系統。具體目標如下：

1）打造信息安全基礎環境，調整和優化IT基礎設施，建立安全專網，設置兩個中心（信息安全運維中心、災備中心）；

2）建立一體化信息安全平臺，綜合集成安全決策調度、安全巡檢、認證授權、安全防護、安全監控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能，實現的集中安全管理控制，快速安全事件響應，高可信的安全防護，拓展企業業務，開辟信息安全服務新領域。

5.2 信息安全運維中心(SOC)

SOC 是信息安全體系建設的基礎性工作，SOC 承載用于監控第一生產網的安全專網核心基礎設施，提供信息安全中心技術人員的辦公場所，提供“7×24”小時連續不斷的安全應用服務,提供實時監控、遠程入侵發現、事件響應、安全更新與升級等業務，SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎工程外，SOC 的技術性工作還要做以下幾個方面：

1）硬件基礎建設，主要內容是SOC 的選址、布局、布線、系統集成，實現SOC 自身的防火、防潮、防電、防塵、安全監控功能；

2）軟件基礎建設，包括SSS 系統、機房監控子系統、功能小組及中心組劃分。

圖1 信息安全軟措施關系

圖2 信息安全總體框架

圖3 資產、組織、管理和安全措施的關系

5.3 信息安全綜合測試環境

隨著分布式企業信息化程度的日也加深，需要部署到大量IT 產品和應用系統，為了保障安全，必須對這些IT 系統和產品做入網前安全檢查，消除安全隱患?；诖?，綜合測試環境建設的內容包括：安全測試網絡；測試系統設備；安全測試工具；安全測試分析系統；安全測試知識庫。

其中，安全測試網絡要求能夠模擬企業網絡真實的帶寬；測試系統設備能夠提供典型的網絡服務流量模擬、典型的應用系統流量模擬；安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等，并提供使用說明、漏洞掃描、應用安全分析；安全測試分析系統能夠提供統計分析、圖表展現功能；安全知識庫包含以下內容：漏洞知識庫，補丁信息庫，安全標準知識庫，威脅場景視頻庫，攻擊特征知識庫，信息安全解決案例庫，安全產品知識庫，安全概念和術語知識庫。

5.4 安全平臺建設規劃

參照國際上PDRR 模型和國家信息安全方面規范，建議信息安全總體框架設計如圖2所示。

主要目的，以資產為核心，通過安全組織實現資產保護，以安全管理來約束組織的行為，以技術手段輔助安全管理。其中，資產、組織、管理、安全措施的關系如圖3所示，核心為資產，圍繞資產是組織，組織是管理，最外層是安全措施。

在平臺中集成十個安全機制，它們分別是：信息安全集中管理；信息安全巡檢；信息安全認證授權；信息安全防護；信息安全監控；信息安全測試；信息安全審核；信息安全應急響應；信息安全教育培訓；信息安全服務。

6 信息安全服務業務規劃

6.1 服務業務規劃目標

信息安全服務業務規劃目標簡言之是：以信息安全服務為切入點，充分發揮企業優勢資源，引領信息安全市場，為企業轉型創造時機。具體目標如下：

1）推出面向客戶安全（檢查、教育、配置）產品；2）推出面向大型企業的信息安全咨詢產品；3）推出面向家庭安全上網產品；4）推出面向企業安全運維產品；5）推出面向企業災害恢復產品。

6.2 服務業務規劃設計

服務業務規劃主要針對具體業務而言，在此列舉信息類分布式企業業務作為示例：

1）信息安全咨詢類產品，其服務功能主要有：信息安全風險評估；信息安全規劃設計；信息安全產品顧問。

2）信息安全教育培訓類產品，其服務功能主要有：提供信息安全操作環境；提供信息安全知識教育；提供信息安全運維教育。

3）家庭類安全服務產品，其服務功能主要有：推出“家庭綠色上網”安全服務；家庭上網防病毒服務；家庭上網機器安全檢查服務；家庭上網機數據備份服務。

4）企業類安全服務產品，其服務功能主要有：企業安全上網控制服務；企業安全專網服務；安全信息通告；企業運維服務。

5）容災類安全服務產品，其服務功能主要有：面向政府數據災備服務；面向政府信息系統災備服務；面向企業數據災備服務；面向企業信息系統災備服務。

7 結束語

通過結合分布式企業的具體實際，按照信息安全體系結構相關標準，提出了分布式企業的信息安全規劃原則和目標。并依據次原則與目標，按照組織、管理和技術三個方面提出了具體的實現與設計規范原則。最后，依據服務規劃目標，提出了信息類分布式企業的信息安全服務規劃設計實例。

參考文獻：

[1] 周曉梅. 論企業信息安全體系的建立[J]. 網絡安全技術與應用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永紅,李天智,張志. 網絡信息安全防御體系探討[J].河北省科學院學報，2006,23,(1):25～28.

[4] 張慶華. 信息網絡動態安全體系模型綜述[J].計算機應用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技術安全評估的系列標準[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列標準[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李瑋. 運營商IT系統網絡架構的安全域劃分[J]. 通信世界,2005,30:41～41,45～45.