工控与网络安全 221 3 结合企业实际的信息安全体系构建 在实际工作中，参照《中华人民共和国计算机 信息系统安全保护等级划分准则》 ，结合网络安全评 估结果，以及企业实际情况，构建了如下企业信息 安全体系，体系含安全策略、安全技术、安全管理、 安全运维四方面。 图 3 企业信息安全体系 安全策略是在工作方针的指导下，对信息安全 某一方面工作的目标和原则进行阐述的文件。安全 策略根据 ISO27002 指导，建立物理安全策略、网络 安全策略、系统安全策略、应用安全策略、数据安 全策略、病毒防护策略、安全教育策略等十三方面 的信息安全策略； 安全技术是安全管理和安全运维能够有效实施 的重要保障，是通过使用安全产品、技术以及相关 的服务，与其他两个方面共同支撑和实现信息安全。 安全技术从物理层，网络层，系统层，应用层，数 据层和安管层共六个安全层进行安全技术建设。 安全管理主要从组织层，制度层，培训层和绩 效层四个层次来进行信息安全管理方面的建设； 安全运维主要从阶段性运维、日常性运维、应 急响应三个层次来进行信息安全管理方面的建设。 其中，以常见的安全技术的六个安全层面举例 展开： 物理层，重点规范管理的内容包括：机房环境 保护、机房准入管理、机房备用电力供应。 网络层，重点规范管理的内容包括：网络建设 规范性、网络边界安全、网络通信安全、网络管理 安全。 系统层，重点规范管理的内容包括：服务器安 全、数据库安全、终端安全。 应用层，重点规范管理的内容包括：应用数据 库平台冗余、敏感终端专用、网站系统防护、网站 系统监控、系统传输加密。 数据层，重点规范管理的内容包括：备份数据 测试、系统恢复演练。 安管层，重点规范管理的内容包括：漏洞管理、 安全配置核查、内网入侵检测、邮件安全防护。 4 工作情况及建议 4.1 工作情况 根据所构建的企业信息安全体系内容，指导企 业开展安全规划和安全建设、安全管理行为工作， 重点围绕安全策略，进行策略、技术、管理、运维 四个方面建设，建立和健全信息安全相关的安全组 织和团队、制度规章、安全技术和安全运维。取得 了一定效果。具体（部分）工作有： 1、安全策略方面 1）物理安全策略：含机房建设、物理访问控制、 环境保护、办公物理安全等。 2）网络安全策略：含网络拓扑结构管理、网络 设备安全管理、网络安全实施监控等。 3）系统安全策略：操作系统使用规范、操作系 统升级、变更管理等。 4）应用安全策略：数据库系统安全、邮件系统 安全、业务系统安全等。 5）数据安全策略：关键业务数据加密要求、数 据备份对象要求、公司机密文档保护等。 6）病毒防护策略：口令设置规则、口令更换规 则等。 7）安全教育策略：安全意识普及教育、安全技 术基础培训、安全管理培训等。 8）安全运维策略：事件分级、事件处理、问题 处理、知识分享等。 2、安全技术方面 1）网络层