導語：信息安全與安全建設論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1安全建設方法

長期以來，中國大多數(shù)企業(yè)的信息安全建設遵循“木桶理論”，但實踐證明，在企業(yè)信息安全領域應用木桶理論仍存在一定缺陷，很難實現(xiàn)“標本兼治”。企業(yè)信息安全應從安全策略、安全管理體系、安全技術體系和安全運維體系四個方面建設一個完善的信息安全體系對企業(yè)的信息資源提供全方位的安全防護。整個安全體系以安全策略為核心，管理、技術、運維三者有機結合，又相互支撐。三者之間的關系為“根據(jù)管理體系中的策略，由相關組織或人員，利用技術體系作為工具和手段，進行操作來維持運行體系”。在建立信息安全體系的過程中，可采用ISO27001：2005所述的“過程方法”，即將“規(guī)劃（Plan）－實施（Do）－檢查（Check）－處置（Act）”（PDCA）四個步驟。

2安全策略

信息安全策略研究就是依據(jù)國家信息安全的方針政策、法律法規(guī)和工作要求，結合企業(yè)實際情況和管理要求，制訂企業(yè)信息安全防護的建設方針和基本要求，對信息安全管理體系、技術體系和運維體系中的各種安全控制措施和機制的部署提出目標和原則，是信息化“建、管、用”各項工作和各個環(huán)節(jié)必須遵守的安全規(guī)則，也是針對每個系統(tǒng)和設備制訂分項安全策略的依據(jù)。

3安全管理

信息安全管理可參照信息安全管理模型，按照先進的信息安全管理標準ISO17799標準建立組織完整的安全管理體系并實施與保持，達到動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預防為主的信息安全管理方式。管理體系架構可分為四層，最高層為企業(yè)信息安全總體策略，為下面的各項分策略和具體的規(guī)章制度提供指導。第二層為企業(yè)信息安全組織體系，作用在于指導實施安全體系，制定安全的相關標準和方針，監(jiān)管安全事件等。組織體系須設立專門的管理機構，配備相應的安全管理人員，明確主管領導，落實部門責任，各盡其職。第三層為根據(jù)總策略，對信息安全涉及的各方面制定有針對性的分項策略，為安全的具體實施提供管理和技術上的指導。第四層為具體的安全管理制度。

4安全技術

企業(yè)信息安全技術應從網(wǎng)絡、軟件、主機、數(shù)據(jù)和應用五個方面，通過使用安全產(chǎn)品和技術，支撐和實現(xiàn)安全策略，達到信息系統(tǒng)的保密、完整、可用等安全目標。按照P2DR2模型，信息安全技術體系涉及信息安全防護、檢測、響應和恢復四個方面的內容。比如如何通過安全控制措施使信息系統(tǒng)具備比較完善的抵抗攻擊破壞的能力。如何采取檢測、審計等技術手段對信息系統(tǒng)運行狀態(tài)和操作行為進行監(jiān)控和記錄，及時發(fā)現(xiàn)安全隱患和入侵行為并發(fā)出告警。如何通過事件監(jiān)控在發(fā)現(xiàn)安全保護對象的安全狀態(tài)發(fā)生改變時，特別是由安全變?yōu)椴话踩?，采取措施對其進行響應處理，直至恢復安全狀態(tài)，并在安全事件發(fā)生后能夠及時進行分析、定位、跟蹤、排除和取證。如何建立信息系統(tǒng)應用和數(shù)據(jù)備份和恢復機制，保證在發(fā)生安全事件發(fā)生后能夠及時有效地對信息系統(tǒng)的應用和數(shù)據(jù)進行恢復.

作者：吳洪亮單位：龍巖煙草工業(yè)有限責任公司