信息系統(tǒng)安全建設論文

導語：信息系統(tǒng)安全建設論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1大型企業(yè)信息系統(tǒng)概述

1.1系統(tǒng)結構。

大型企業(yè)的網(wǎng)絡系統(tǒng)構成是一個復雜、綜合的內容，它包含了內部局域網(wǎng)、各地子公司的局域網(wǎng)以及廣域網(wǎng)連接等復雜內容。在工作中，總部的局域網(wǎng)一般都是和電信公司的因特網(wǎng)相連接，同時還和下轄子公司、其單位連接，是通過信息技術、網(wǎng)絡技術連接形成的一個綜合信息平臺。

1.2系統(tǒng)功能。

在功能上分析，大型國有企業(yè)的信息系統(tǒng)涵蓋業(yè)務范圍廣、內容復雜、布局合理，主要業(yè)務系統(tǒng)包含了ERP系統(tǒng)、OA系統(tǒng)以及財務系統(tǒng)等，這些系統(tǒng)涉及到局域網(wǎng)、廣域網(wǎng)以及企業(yè)自身發(fā)展的特征，因此在連接的時候往往都是根據(jù)企業(yè)業(yè)務開展需要和內部經(jīng)營管理需要聯(lián)系的。

1.3系統(tǒng)用戶。

大型企業(yè)的信息系統(tǒng)是一個復雜、繁瑣、綜合的內容，其用戶類型十分的廣泛和復雜，簡單的將其進行劃分主要可以劃分為系統(tǒng)管理用戶和系統(tǒng)應用用戶兩種。首先，系統(tǒng)管理用戶主要包含了管理員、指揮部、網(wǎng)絡管理員、安全管理員以及應用程序管理員等。其次，系統(tǒng)應用用戶包含了內部應用用戶和外部應用用戶兩方面。其中內部的應用用戶主要指的是企業(yè)員工、辦公用戶、生產系統(tǒng)用戶和分公司辦事處的員工等。外部應用用戶主要指的是用戶方位的企業(yè)網(wǎng)站。

2信息系統(tǒng)的安全環(huán)境

2.1系統(tǒng)安全現(xiàn)狀。

目前，我國大型企業(yè)信息系統(tǒng)對于安全防范認識還較為欠缺，各種防范措施的應用較少，主要安全防范措施的應用主要是防火墻、防病毒以及數(shù)據(jù)備份等手段，這些技術的應用基本上都偏重于安全設備的提前預防，而對于那些專業(yè)、專門的管理制度和管理策略并沒有得到重視，同時對國家有關信息安全的法律和法規(guī)沒有從根本上重視，錯誤認為這是一些不必要、不科學的內容。雖然目前大部分企業(yè)的信息系統(tǒng)在技術和管理上已經(jīng)采取了初步的安全管理措施，但是從綜合管理方面分析其中還存在著較多的不足，更沒有專業(yè)的崗位和安全管理，缺乏嚴格、一致的管理控制機制。

2.2系統(tǒng)安全威脅。

威脅是造成系統(tǒng)安全的主要潛在原因，它的存在極大的限制了企業(yè)信息系統(tǒng)功能的發(fā)揮，甚至是導致企業(yè)信息和經(jīng)濟損失。在目前工作中，系統(tǒng)安全威脅的斷定往往都是根據(jù)企業(yè)業(yè)務信息系統(tǒng)的存在進行分析的，它可謂是一個不可消滅的問題和事物，無論企業(yè)系統(tǒng)多么的先進和完善，這種潛在威脅都是存在的。

3信息系統(tǒng)安全規(guī)劃分析

3.1總體規(guī)劃概述。

在計算機網(wǎng)絡信息安全服務的設計與實施過程中，安全服務提供商的整體安全意識及安全體系模型極為重要，只有具有清晰的模型構建，才能夠從根本上有效地對客戶所需要的安全服務進行分類和設計。在ISO7498-2中描述了開放系統(tǒng)互聯(lián)安全的體系結構，提出設計安全的信息系統(tǒng)的基礎架構中應該包含：a.五類安全服務（安全功能）；b.能夠對這五類安全服務提供支持的八類安全機制；c.需要進行的三種OSI安全管理方式。在上述國際標準的指導下，綠盟科技提出了一套適合于大型企業(yè)信息系統(tǒng)的信息安全體系框架(NSFocusInformationSecurityFramework，簡稱NISF)，以指導信息系統(tǒng)的安全建設。NISF將整個安全體系規(guī)劃為三個部分，分別是組織體系、管理體系和技術體系，全面地涵蓋了大型企業(yè)企業(yè)信息系統(tǒng)規(guī)劃和建設的安全要求。NISF的最上層為大型企業(yè)信息系統(tǒng)的安全目標，任何階段的安全設計和實施都是為了完成這些目標而進行的，其下是支持實現(xiàn)這個目標的三部分安全體系：a.安全組織體系主要包括機構建設和人員管理兩方面內容，對企業(yè)內部的安全機構建設和人員崗位、安全培訓等方面提出了要求。b.安全管理體系主要包括制度管理、資產管理、物理管理、技術管理和風險管理等方面內容。它與安全組織體系共同依據(jù)了國際信息安全管理標準ISO17799的要求，涵蓋了該標準中的每一類規(guī)范。

3.2整體安全體系建設工期劃分。

為了盡快地實現(xiàn)上述大型企業(yè)信息系統(tǒng)整體安全體系的建設，更好地實現(xiàn)企業(yè)的高層安全目標，有效地降低大型各層面的安全風險，綠盟科技建議大型企業(yè)信息系統(tǒng)的整體安全體系建設劃分為三期工程，以最終建立大型企業(yè)安全計劃（搭建ESP安全管理平臺）成功為結束標志。

3.3一期安全規(guī)劃內容。

本階段主要是在大型企業(yè)建立初步的信息安全組織體系和管理體系，通過實施部分關鍵的安全技術產品建立企業(yè)基本的安全預警、防護、監(jiān)控和響應體系，目標是滿足信息系統(tǒng)的最高安全需求，安全等級達到初級。

3.4二期安全規(guī)劃內容。

本階段將全企業(yè)范圍內的組織管理體系進一步建立健全，使安全管理流程合理化，安全技術產品進一步分布實施，采用專業(yè)的安全服務對系統(tǒng)進一步加強，使得企業(yè)整體安全性得到大幅度提升，通過配套的安全事故處理體系的建設，使企業(yè)面對安全事件的響應速度大大加快。目標是將整個信息系統(tǒng)的安全水平提高到中級。

4結束語

大型企業(yè)網(wǎng)絡與信息安全建設項目的成功，將對企業(yè)IT架構產生良好的影響，同時顯著地提高了企業(yè)網(wǎng)絡的信息安全水平和管理能力。

作者：姜寶林單位：國網(wǎng)雞西供電公司