信息安全與安全建設論文_第1頁
信息安全與安全建設論文_第2頁
信息安全與安全建設論文_第3頁
全文預覽已結束

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、信息安全與安全建設論文 1安全建設方法 長期以來,中國大多數企業的信息安全建設遵循“木桶理論”,但實踐證明,在企業信息安全領域應用木桶理論仍存在一定缺陷,很難實現“標本兼治”。企業信息安全應從安全策略、安全管理體系、安全技術體系和安全運維體系四個方面建設一個完善的信息安全體系對企業的信息資源提供全方位的安全防護。整個安全體系以安全策略為核心,管理、技術、運維三者有機結合,又相互支撐。三者之間的關系為“根據管理體系中的策略,由相關組織或人員,利用技術體系作為工具和手段,進行操作來維持運行體系”。在建立信息安全體系的過程中,可采用iso27001:2005所述的“過程方法”,即將“規劃(plan)

2、實施(do)檢查(check)處置(act)”(pdca)四個步驟。 2安全策略 信息安全策略研究就是依據國家信息安全的方針政策、法律法規和工作要求,結合企業實際情況和管理要求,制訂企業信息安全防護的建設方針和基本要求,對信息安全管理體系、技術體系和運維體系中的各種安全控制措施和機制的部署提出目標和原則,是信息化“建、管、用”各項工作和各個環節必須遵守的安全規則,也是針對每個系統和設備制訂分項安全策略的依據。 3安全管理 信息安全管理可參照信息安全管理模型,按照先進的信息安全管理標準iso17799標準建立組織完整的安全管理體系并實施與保持,達到動態的、系統的、全員參與、制度化的、以預防為主的

3、信息安全管理方式。管理體系架構可分為四層,最高層為企業信息安全總體策略,為下面的各項分策略和具體的規章制度提供指導。第二層為企業信息安全組織體系,作用在于指導實施安全體系,制定安全的相關標準和方針,監管安全事件等。組織體系須設立專門的管理機構,配備相應的安全管理人員,明確主管領導,落實部門責任,各盡其職。第三層為根據總策略,對信息安全涉及的各方面制定有針對性的分項策略,為安全的具體實施提供管理和技術上的指導。第四層為具體的安全管理制度。 4安全技術 企業信息安全技術應從網絡、軟件、主機、數據和應用五個方面,通過使用安全產品和技術,支撐和實現安全策略,達到信息系統的保密、完整、可用等安全目標。按照p2dr2模型,信息安全技術體系涉及信息安全防護、檢測、響應和恢復四個方面的內容。比如如何通過安全控制措施使信息系統具備比較完善的抵抗攻擊破壞的能力。如何采取檢測、審計等技術手段對信息系統運行狀態和操作行為進行監控和記錄,及時發現安全隱患和入侵行為并發出告警。如何通過事件監控在發現安全保護對象的安全狀態發生改變時,特別是由安全變為不安全,采取措施對其進行響應處理,直至恢復安全狀態,并在安全事件發生后能夠及時進行分析、定位、跟蹤、排除和取證。如何建立信息系統應用和數據備份和恢復機制,保證在發生安全事

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論