工控与网络安全
221
3 结合企业实际的信息安全体系构建
在实际工作中,参照《中华人民共和国计算机
信息系统安全保护等级划分准则》 ,结合网络安全评
估结果,以及企业实际情况,构建了如下企业信息
安全体系,体系含安全策略、安全技术、安全管理、
安全运维四方面。
图 3 企业信息安全体系
安全策略是在工作方针的指导下,对信息安全
某一方面工作的目标和原则进行阐述的文件。安全
策略根据 ISO27002 指导,建立物理安全策略、网络
安全策略、系统安全策略、应用安全策略、数据安
全策略、病毒防护策略、安全教育策略等十三方面
的信息安全策略;
安全技术是安全管理和安全运维能够有效实施
的重要保障,是通过使用安全产品、技术以及相关
的服务,与其他两个方面共同支撑和实现信息安全。
安全技术从物理层,网络层,系统层,应用层,数
据层和安管层共六个安全层进行安全技术建设。
安全管理主要从组织层,制度层,培训层和绩
效层四个层次来进行信息安全管理方面的建设;
安全运维主要从阶段性运维、日常性运维、应
急响应三个层次来进行信息安全管理方面的建设。
其中,以常见的安全技术的六个安全层面举例
展开:
物理层,重点规范管理的内容包括:机房环境
保护、机房准入管理、机房备用电力供应。
网络层,重点规范管理的内容包括:网络建设
规范性、网络边界安全、网络通信安全、网络管理
安全。
系统层,重点规范管理的内容包括:服务器安
全、数据库安全、终端安全。
应用层,重点规范管理的内容包括:应用数据
库平台冗余、敏感终端专用、网站系统防护、网站
系统监控、系统传输加密。
数据层,重点规范管理的内容包括:备份数据
测试、系统恢复演练。
安管层,重点规范管理的内容包括:漏洞管理、
安全配置核查、内网入侵检测、邮件安全防护。
4 工作情况及建议
4.1 工作情况
根据所构建的企业信息安全体系内容,指导企
业开展安全规划和安全建设、安全管理行为工作,
重点围绕安全策略,进行策略、技术、管理、运维
四个方面建设,建立和健全信息安全相关的安全组
织和团队、制度规章、安全技术和安全运维。取得
了一定效果。具体(部分)工作有:
1、安全策略方面
1)物理安全策略:含机房建设、物理访问控制、
环境保护、办公物理安全等。
2)网络安全策略:含网络拓扑结构管理、网络
设备安全管理、网络安全实施监控等。
3)系统安全策略:操作系统使用规范、操作系
统升级、变更管理等。
4)应用安全策略:数据库系统安全、邮件系统
安全、业务系统安全等。
5)数据安全策略:关键业务数据加密要求、数
据备份对象要求、公司机密文档保护等。
6)病毒防护策略:口令设置规则、口令更换规
则等。
7)安全教育策略:安全意识普及教育、安全技
术基础培训、安全管理培训等。
8)安全运维策略:事件分级、事件处理、问题
处理、知识分享等。
2、安全技术方面
1)网络层
打分:
0 星