導(dǎo)語(yǔ)：信息系統(tǒng)安全建設(shè)論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1大型企業(yè)信息系統(tǒng)概述

1.1系統(tǒng)結(jié)構(gòu)。

大型企業(yè)的網(wǎng)絡(luò)系統(tǒng)構(gòu)成是一個(gè)復(fù)雜、綜合的內(nèi)容，它包含了內(nèi)部局域網(wǎng)、各地子公司的局域網(wǎng)以及廣域網(wǎng)連接等復(fù)雜內(nèi)容。在工作中，總部的局域網(wǎng)一般都是和電信公司的因特網(wǎng)相連接，同時(shí)還和下轄子公司、其單位連接，是通過(guò)信息技術(shù)、網(wǎng)絡(luò)技術(shù)連接形成的一個(gè)綜合信息平臺(tái)。

1.2系統(tǒng)功能。

在功能上分析，大型國(guó)有企業(yè)的信息系統(tǒng)涵蓋業(yè)務(wù)范圍廣、內(nèi)容復(fù)雜、布局合理，主要業(yè)務(wù)系統(tǒng)包含了ERP系統(tǒng)、OA系統(tǒng)以及財(cái)務(wù)系統(tǒng)等，這些系統(tǒng)涉及到局域網(wǎng)、廣域網(wǎng)以及企業(yè)自身發(fā)展的特征，因此在連接的時(shí)候往往都是根據(jù)企業(yè)業(yè)務(wù)開(kāi)展需要和內(nèi)部經(jīng)營(yíng)管理需要聯(lián)系的。

1.3系統(tǒng)用戶。

大型企業(yè)的信息系統(tǒng)是一個(gè)復(fù)雜、繁瑣、綜合的內(nèi)容，其用戶類型十分的廣泛和復(fù)雜，簡(jiǎn)單的將其進(jìn)行劃分主要可以劃分為系統(tǒng)管理用戶和系統(tǒng)應(yīng)用用戶兩種。首先，系統(tǒng)管理用戶主要包含了管理員、指揮部、網(wǎng)絡(luò)管理員、安全管理員以及應(yīng)用程序管理員等。其次，系統(tǒng)應(yīng)用用戶包含了內(nèi)部應(yīng)用用戶和外部應(yīng)用用戶兩方面。其中內(nèi)部的應(yīng)用用戶主要指的是企業(yè)員工、辦公用戶、生產(chǎn)系統(tǒng)用戶和分公司辦事處的員工等。外部應(yīng)用用戶主要指的是用戶方位的企業(yè)網(wǎng)站。

2信息系統(tǒng)的安全環(huán)境

2.1系統(tǒng)安全現(xiàn)狀。

目前，我國(guó)大型企業(yè)信息系統(tǒng)對(duì)于安全防范認(rèn)識(shí)還較為欠缺，各種防范措施的應(yīng)用較少，主要安全防范措施的應(yīng)用主要是防火墻、防病毒以及數(shù)據(jù)備份等手段，這些技術(shù)的應(yīng)用基本上都偏重于安全設(shè)備的提前預(yù)防，而對(duì)于那些專業(yè)、專門(mén)的管理制度和管理策略并沒(méi)有得到重視，同時(shí)對(duì)國(guó)家有關(guān)信息安全的法律和法規(guī)沒(méi)有從根本上重視，錯(cuò)誤認(rèn)為這是一些不必要、不科學(xué)的內(nèi)容。雖然目前大部分企業(yè)的信息系統(tǒng)在技術(shù)和管理上已經(jīng)采取了初步的安全管理措施，但是從綜合管理方面分析其中還存在著較多的不足，更沒(méi)有專業(yè)的崗位和安全管理，缺乏嚴(yán)格、一致的管理控制機(jī)制。

2.2系統(tǒng)安全威脅。

威脅是造成系統(tǒng)安全的主要潛在原因，它的存在極大的限制了企業(yè)信息系統(tǒng)功能的發(fā)揮，甚至是導(dǎo)致企業(yè)信息和經(jīng)濟(jì)損失。在目前工作中，系統(tǒng)安全威脅的斷定往往都是根據(jù)企業(yè)業(yè)務(wù)信息系統(tǒng)的存在進(jìn)行分析的，它可謂是一個(gè)不可消滅的問(wèn)題和事物，無(wú)論企業(yè)系統(tǒng)多么的先進(jìn)和完善，這種潛在威脅都是存在的。

3信息系統(tǒng)安全規(guī)劃分析

3.1總體規(guī)劃概述。

在計(jì)算機(jī)網(wǎng)絡(luò)信息安全服務(wù)的設(shè)計(jì)與實(shí)施過(guò)程中，安全服務(wù)提供商的整體安全意識(shí)及安全體系模型極為重要，只有具有清晰的模型構(gòu)建，才能夠從根本上有效地對(duì)客戶所需要的安全服務(wù)進(jìn)行分類和設(shè)計(jì)。在ISO7498-2中描述了開(kāi)放系統(tǒng)互聯(lián)安全的體系結(jié)構(gòu)，提出設(shè)計(jì)安全的信息系統(tǒng)的基礎(chǔ)架構(gòu)中應(yīng)該包含：a.五類安全服務(wù)（安全功能）；b.能夠?qū)@五類安全服務(wù)提供支持的八類安全機(jī)制；c.需要進(jìn)行的三種OSI安全管理方式。在上述國(guó)際標(biāo)準(zhǔn)的指導(dǎo)下，綠盟科技提出了一套適合于大型企業(yè)信息系統(tǒng)的信息安全體系框架(NSFocusInformationSecurityFramework，簡(jiǎn)稱NISF)，以指導(dǎo)信息系統(tǒng)的安全建設(shè)。NISF將整個(gè)安全體系規(guī)劃為三個(gè)部分，分別是組織體系、管理體系和技術(shù)體系，全面地涵蓋了大型企業(yè)企業(yè)信息系統(tǒng)規(guī)劃和建設(shè)的安全要求。NISF的最上層為大型企業(yè)信息系統(tǒng)的安全目標(biāo)，任何階段的安全設(shè)計(jì)和實(shí)施都是為了完成這些目標(biāo)而進(jìn)行的，其下是支持實(shí)現(xiàn)這個(gè)目標(biāo)的三部分安全體系：a.安全組織體系主要包括機(jī)構(gòu)建設(shè)和人員管理兩方面內(nèi)容，對(duì)企業(yè)內(nèi)部的安全機(jī)構(gòu)建設(shè)和人員崗位、安全培訓(xùn)等方面提出了要求。b.安全管理體系主要包括制度管理、資產(chǎn)管理、物理管理、技術(shù)管理和風(fēng)險(xiǎn)管理等方面內(nèi)容。它與安全組織體系共同依據(jù)了國(guó)際信息安全管理標(biāo)準(zhǔn)ISO17799的要求，涵蓋了該標(biāo)準(zhǔn)中的每一類規(guī)范。

3.2整體安全體系建設(shè)工期劃分。

為了盡快地實(shí)現(xiàn)上述大型企業(yè)信息系統(tǒng)整體安全體系的建設(shè)，更好地實(shí)現(xiàn)企業(yè)的高層安全目標(biāo)，有效地降低大型各層面的安全風(fēng)險(xiǎn)，綠盟科技建議大型企業(yè)信息系統(tǒng)的整體安全體系建設(shè)劃分為三期工程，以最終建立大型企業(yè)安全計(jì)劃（搭建ESP安全管理平臺(tái)）成功為結(jié)束標(biāo)志。

3.3一期安全規(guī)劃內(nèi)容。

本階段主要是在大型企業(yè)建立初步的信息安全組織體系和管理體系，通過(guò)實(shí)施部分關(guān)鍵的安全技術(shù)產(chǎn)品建立企業(yè)基本的安全預(yù)警、防護(hù)、監(jiān)控和響應(yīng)體系，目標(biāo)是滿足信息系統(tǒng)的最高安全需求，安全等級(jí)達(dá)到初級(jí)。

3.4二期安全規(guī)劃內(nèi)容。

本階段將全企業(yè)范圍內(nèi)的組織管理體系進(jìn)一步建立健全，使安全管理流程合理化，安全技術(shù)產(chǎn)品進(jìn)一步分布實(shí)施，采用專業(yè)的安全服務(wù)對(duì)系統(tǒng)進(jìn)一步加強(qiáng)，使得企業(yè)整體安全性得到大幅度提升，通過(guò)配套的安全事故處理體系的建設(shè)，使企業(yè)面對(duì)安全事件的響應(yīng)速度大大加快。目標(biāo)是將整個(gè)信息系統(tǒng)的安全水平提高到中級(jí)。

4結(jié)束語(yǔ)

大型企業(yè)網(wǎng)絡(luò)與信息安全建設(shè)項(xiàng)目的成功，將對(duì)企業(yè)IT架構(gòu)產(chǎn)生良好的影響，同時(shí)顯著地提高了企業(yè)網(wǎng)絡(luò)的信息安全水平和管理能力。

作者：姜寶林單位：國(guó)網(wǎng)雞西供電公司