企業網絡安全建設規劃精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業網絡安全建設規劃主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業網絡安全建設規劃范文

關鍵詞：分布式；信息安全；規劃；方案

中圖分類號：TP309.2文獻標識碼：A 文章編號：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

據來自eWeek 的消息，市場研究機構Gartner 研究報告稱，很對企業目前仍缺乏完整的信息安全規劃和規范。盡管目前很多企業在信息安全方面的投入每年都在緩慢增長，但由于推動力以外部法律法規的約束和商業業務的壓力為主，因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構構成方式為分布式的企業而言，因為信息安全需求和部署相對更加復雜，投入更多，因此這類企業的信息安全規劃就更加缺乏。

本文根據這類分布式企業的特點提出了一種符合該類企業實際的信息安全規劃方案。

2 總體規劃原則和目標

2.1 總體規劃原則

對于分布式企業的信息安全規劃，要遵守如下原則：適度集中，控制風險；突出重點，分級保護；統籌安排，分步實施；分級管理，責任到崗；資源優化，注重效益。

這個原則的制定主要是根據分布式企業的實際機構構成情況、人員素質情況以及資源配置情況來制定的。

2.2 總體規劃目標

信息系統安全規劃的方法可以不同、側重點可以不同，但是需要圍繞組織安全、管理安全、技術安全進行全面的考慮。信息系統安全規劃的最終效果應該體現在對信息系統與信息資源的安全保護上，下面將分別對組織規劃、管理規劃和技術規劃分別進行闡述。信息安全規劃依托企業信息化戰略規劃，對信息化戰略的實施起到保駕護航的作用。信息系統安全規劃的目標應該與企業信息化的目標是一致的，而且應該比企業信息化的目標更具體明確、更貼近安全。信息系統安全規劃的一切論述都要圍繞著這個目標展開和部署。

3 信息安全組織規劃

3.1 組織規劃目標

組織建設是信息安全建設的基本保證，信息安全組織的目標是：

1）完善和形成一個獨立的、完整的、動態的、開放的信息安全組織架構，達到國際國內標準的要求；

2）打造一支具有專業水準的、過硬本領的信息安全隊伍。對內可以保障企業內部網安全，對外可以向社會提供高品質的安全服務；

3）建設一個 “信息安全運維中心（SOC）”，能夠滿足當前和未來的業務發展及信息安全組織運轉的支撐系統，能夠對外提供安全服務平臺。

3.2 組織規劃實施

對于組織規劃這個方面，是屬于一個企業信息安全規劃的上層建筑，需要用一種由上而下的方法來實現，其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業而言，需要主導部門從上層著手，建章立制，強化安全教育，加大基礎人力、財力和物力的投入。

4 信息安全管理規劃

4.1 管理規劃目標

信息安全管理規劃的目標是，完善和形成“七套信息安全軟措施”，具體包括：一套等級劃分指標，一套信息安全策略，一套信息安全制度，一套信息安全流程規范，一套信息安全教育培訓體系，一套信息安全風險監管機制，一套信息安全績效考核指標。“七套信息安全軟措施”關系如圖1所示。

4.2 信息安全管理設計

基于對管理目標的分析，信息安全管理的原則以風險管理為主，集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。

4.2.1 信息安全等級劃分指標

信息安全等級保護是國家在國民經濟和社會信息化的發展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化健康發展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是關于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。

4.2.3 信息安全制度

信息安全制度是指為信息資產的安全而制定的行為約束規則。

4.2.4 信息安全規范

信息安全規范是關于信息安全工作應達到的要求，在信息安全規范方面，根據調查，建立信息安全管理規范、信息安全技術規范。其中，安全管理規范主要針對人員、團隊、制度和資源管理提供參照性準則；信息安全技術規范主要針對安全設計、施工、維護和操作提供技術性指導建議。

4.2.5 信息安全管理流程

信息安全流程是指工作中應遵循的信息安全程序，其目的是減少安全隱患，降低風險。

4.2.6 信息安全績效考核指標

信息安全績效考核指標是指針對信息安全工作的質量和態度而給出的評價依據，其目的是增強信息安全責任意識，提高信息安全工作質量。

4.2.7 信息安全監管機制

信息安全監管機制是指有關信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制，做到“安全第一，預防為主”。

4.2.8 信息安全教育培訓體系

其主要目的加強的信息安全人才隊伍的建設，提高企業人員的信息安全意識和技能，增強企業信息安全能力。

5 信息安全技術規劃

5.1 技術規劃目標

信息安全技術規劃目標簡言之是：給業務運營提供信息安全環境，為企業轉型提供契機，構建信息安全服務支撐系統。具體目標如下：

1）打造信息安全基礎環境，調整和優化IT基礎設施，建立安全專網，設置兩個中心（信息安全運維中心、災備中心）；

2）建立一體化信息安全平臺，綜合集成安全決策調度、安全巡檢、認證授權、安全防護、安全監控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能，實現的集中安全管理控制，快速安全事件響應，高可信的安全防護，拓展企業業務，開辟信息安全服務新領域。

5.2 信息安全運維中心(SOC)

SOC 是信息安全體系建設的基礎性工作，SOC 承載用于監控第一生產網的安全專網核心基礎設施，提供信息安全中心技術人員的辦公場所，提供“7×24”小時連續不斷的安全應用服務,提供實時監控、遠程入侵發現、事件響應、安全更新與升級等業務，SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎工程外，SOC 的技術性工作還要做以下幾個方面：

1）硬件基礎建設，主要內容是SOC 的選址、布局、布線、系統集成，實現SOC 自身的防火、防潮、防電、防塵、安全監控功能；

2）軟件基礎建設，包括SSS 系統、機房監控子系統、功能小組及中心組劃分。

圖1 信息安全軟措施關系

圖2 信息安全總體框架

圖3 資產、組織、管理和安全措施的關系

5.3 信息安全綜合測試環境

隨著分布式企業信息化程度的日也加深，需要部署到大量IT 產品和應用系統，為了保障安全，必須對這些IT 系統和產品做入網前安全檢查，消除安全隱患。基于此，綜合測試環境建設的內容包括：安全測試網絡；測試系統設備；安全測試工具；安全測試分析系統；安全測試知識庫。

其中，安全測試網絡要求能夠模擬企業網絡真實的帶寬；測試系統設備能夠提供典型的網絡服務流量模擬、典型的應用系統流量模擬；安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等，并提供使用說明、漏洞掃描、應用安全分析；安全測試分析系統能夠提供統計分析、圖表展現功能；安全知識庫包含以下內容：漏洞知識庫，補丁信息庫，安全標準知識庫，威脅場景視頻庫，攻擊特征知識庫，信息安全解決案例庫，安全產品知識庫，安全概念和術語知識庫。

5.4 安全平臺建設規劃

參照國際上PDRR 模型和國家信息安全方面規范，建議信息安全總體框架設計如圖2所示。

主要目的，以資產為核心，通過安全組織實現資產保護，以安全管理來約束組織的行為，以技術手段輔助安全管理。其中，資產、組織、管理、安全措施的關系如圖3所示，核心為資產，圍繞資產是組織，組織是管理，最外層是安全措施。

在平臺中集成十個安全機制，它們分別是：信息安全集中管理；信息安全巡檢；信息安全認證授權；信息安全防護；信息安全監控；信息安全測試；信息安全審核；信息安全應急響應；信息安全教育培訓；信息安全服務。

6 信息安全服務業務規劃

6.1 服務業務規劃目標

信息安全服務業務規劃目標簡言之是：以信息安全服務為切入點，充分發揮企業優勢資源，引領信息安全市場，為企業轉型創造時機。具體目標如下：

1）推出面向客戶安全（檢查、教育、配置）產品；2）推出面向大型企業的信息安全咨詢產品；3）推出面向家庭安全上網產品；4）推出面向企業安全運維產品；5）推出面向企業災害恢復產品。

6.2 服務業務規劃設計

服務業務規劃主要針對具體業務而言，在此列舉信息類分布式企業業務作為示例：

1）信息安全咨詢類產品，其服務功能主要有：信息安全風險評估；信息安全規劃設計；信息安全產品顧問。

2）信息安全教育培訓類產品，其服務功能主要有：提供信息安全操作環境；提供信息安全知識教育；提供信息安全運維教育。

3）家庭類安全服務產品，其服務功能主要有：推出“家庭綠色上網”安全服務；家庭上網防病毒服務；家庭上網機器安全檢查服務；家庭上網機數據備份服務。

4）企業類安全服務產品，其服務功能主要有：企業安全上網控制服務；企業安全專網服務；安全信息通告；企業運維服務。

5）容災類安全服務產品，其服務功能主要有：面向政府數據災備服務；面向政府信息系統災備服務；面向企業數據災備服務；面向企業信息系統災備服務。

7 結束語

通過結合分布式企業的具體實際，按照信息安全體系結構相關標準，提出了分布式企業的信息安全規劃原則和目標。并依據次原則與目標，按照組織、管理和技術三個方面提出了具體的實現與設計規范原則。最后，依據服務規劃目標，提出了信息類分布式企業的信息安全服務規劃設計實例。

參考文獻：

[1] 周曉梅. 論企業信息安全體系的建立[J]. 網絡安全技術與應用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永紅,李天智,張志. 網絡信息安全防御體系探討[J].河北省科學院學報，2006,23,(1):25～28.

[4] 張慶華. 信息網絡動態安全體系模型綜述[J].計算機應用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技術安全評估的系列標準[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列標準[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李瑋. 運營商IT系統網絡架構的安全域劃分[J]. 通信世界,2005,30:41～41,45～45.