企业信息安全管理与体系设计范文

一、信息安全的概念与特征

信息，同企业其他资产一样是种资产，对企业的发展有很大作用。信息以各种形式存在，包括纸质的、电子的、图像的等。我国信息专家钟义信认为：“信息是该事物运动的状态和状态变化方式的自我表述/自我显示。”顾名思义，信息安全既保障“信息”的“安全”。关于信息安全，国际标准化组织（ISO）认为：“信息安全是在技术上和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。我国信息安全专家沈昌祥院士则认为：“信息安全是保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏，为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性”。

二、企业信息安全体系设计

2.1企业信息安全体系方案概述

2.1.1信息安全体系设计原则

企业信息安全体系的设计应遵从以下原则：

（1）性能平衡，合理划分：提高整个系统的“安全低点”的性能，保证各层面能得到均衡防护；按照合理原则划分为安全等级，分区域、分等级防护。

（2）标准一致，功能互补：在产品技术、产品设备选择方面，尽可能遵循同一业界标准；充分考虑不同厂商、不同安全产品的功能互补，在进行多层防护时，考虑使用不同厂家的。

（3）统筹规划，分步实施。

2.1.2信息安全体系框架

网络安全的实现不是目标，是过程。其过程经历了安全评估、制订安全策略、安全培训、安全技术实施、安全网络检测、应急响应和灾难恢复等环节，并不断地螺旋式提高发展，得以实现网络安全。信息安全体系的三要素：管理、技术和运维。通过一系列的战略、系统和机制的协调，明确技术实现方法与相关安全操作人员的职责，从而达到安全风险的发现和有效控制，从而改善的安全问题反应速度和恢复能力，增强整体网络安全能力。管理方面，建立、健全安全组织结构；技术方面，建立分层网络安全策略；运维方面，通过不同的安全机制，提高网络安全的能力。

2.2企业信息安全技术体系

2.2.1信息安全技术体系概述

（l）设计原则

分析企业信息网络安全面临的主要威胁，实施有针对性的安全技术体系。安全技术体系的总体性要求如下：全面综合：采用综合解决方案，体系层次化，具有纵深性。集成统一：有效集成各类管理工具，集中化管理所有IT系统。开放适应：支持各种安全管理标准，能适应组织和环境的变化。

（2）信息安全技术体系框架

通过物理安全、网络安全、系统安全、应用安全等方面进行建设。具体有以下措施：物理安全防护建设；统一容灾备份中心建设；防火墙系统的部署；入侵防护系统的部署；系统安全防护建设；防病毒系统部署；漏洞扫描系统部署；信息审计系统防护。

2.2.2物理安全防护建设

（1）配套设备安全

采用多路供电（市电、动力电、UPS）的方法，多路电源同时接入企业信息系统大楼或主机房及重要信息存储、收发等重要部门，当市电故障后自动切换至动力电，动力电故障后自动至UPS供电。并且，当下级电源恢复后，应立即自动切换回去。这样，既保证了安全性，又降低了运行费用。形成一套完整的先进和完善的供电系统及紧急报警系统。供电系统中，会有尖峰、浪涌等不良现象发生，一旦发生，轻则断电重启，重则烧毁并引发火灾。这种情况下，UPS也无济于事。为避免对供电质量和造成不安全因素，可以使用电力净化系统。电源净化系统不仅保证电源质量，同时还可减少电磁污染，避免信息随电缆外泄。用多路供电接入企业机房及重要部门，降低了运行成本，又保证了系统的安全。

（2）计算机场地安全

严格按照国家标准建设，如国标GB/T2887-2000《电子计算机场地通用规范》、GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》等。《电子计算机场地通用规范》规定了站址选择条件：计算机场地尽量建在电力、水源充足，自然环境清洁、通信、交通运输方便的地方；应尽量避开强电磁场的干扰；应尽量远离强振动源和强噪声源；应尽量建在建筑物的高层及地下室以及用水设备的下层。规定了温度、湿度条件并将它分成ABC三级；规定了照明、日志、电磁场干扰具体技术条件；规定了接地、供电、建筑结构条件等。

2.2.3统一容灾备份中心建设

无论企业信息系统设计、维护得多科学合理，故障的发生都是不可避免的，因此在设计时都应考虑容灾解决方案，即统一容灾备份中心建设。基本思路是“数据冗余+异地分布”，即在异地建立和维护一份或多份数据冗余，利用数据的冗余性和地理分散性来提高对灾难事件的抵御能力。企业数据容灾，存储是基础，备份是核心，恢复是关键。信息网络采用本地备份与异地备份的混合方式，以确保数据或系统的安全。通过各种层面的冗余技术，减少单点故障；使用合适的备份技术实现针对各个位置存放的数据的保护、隔离和严格访问，保证数据的一致性、安全性和完整性。包括：存储磁盘的冗余设计，对系统盘采用RAID1技术，对数据盘采用RAID5技术。数据的冗余备份设计：数据库数据文件的存放采用基于SAN架构的存储方案，在保证读取速度的同时，利用远程数据镜像和数据复制技术进行冗余备份，在区域性空难发生时能更大限度保证数据完整和安全。对核心业务的数据库数据，还可利用SQLServer自带的数据备份工具进行数据库文件备份，有效应对文件损坏或人为误操作带来的数据风险。对正常业务中关键数据或全业务数据进行保护，将主数据库的数据以逻辑的方式在异地机房建设一个同样的数据库，并且实时更新数据，当主数据库因灾损坏或失去，异地数据库可以及时接管业务，从而达到容灾的目的。

三、结论及展望

安全只是相对的，没有绝对的安全。企业信息安全的重点在于防范，应该在企业信息化建设之初、危害发生之前对信息安全做出规划，建立全面的信息安全防范体系。信息安全管理工作是一项综合性系统工程，要建立一个安全可靠的网络信息安全系统，不光要有专业的安全产品，更要有规范和强有力的安全管理制度，在企业全员的参与努力下，提高信息安全意识，严格按有关管理制度来操作，才能建立安全可靠的网络安全防护体系，才能保证企业信息系统的正常运作，最大限度的降低安全风险。

作者：吴君单位：南京脑科医院