導語：如何才能寫好一篇物聯網安全總結，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【 關鍵詞 】 信息安全；規劃；規范；完善；信息系統

Research Into the Information Security Status Quo at Home and Abroad

Lin Lin

（Information Security Department of the Patent Office Beijing 100088）

【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis， for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect， standardization of information security system provides some reference opinions.

【 Keywords 】 information security； planning； specification； perfect； information system

1 引言

在當今全球一體化的環境中，信息的重要性被廣泛接受，信息系統在商業和政府組織中得到了真正的廣泛的應用。許多組織對其信息系統不斷增長的依賴性，加上在信息系統上運作業務的風險、收益和機會，使得信息安全管理成為信息化管理越來越關鍵的一部分。面對越來越嚴峻的安全形勢，世界各國高度重視信息安全保障。2015年已然過半，在安全行業，不同規模的攻擊者，無論是技術還是組織都在快速提升。相比之下美國信息安全保障體系建設比較完善，信息保障已成為美軍組織實施信息化作戰的指導思想。

國際上信息安全標準化工作興起于20世紀70年代中期，80年代有了較快的發展，90年代引起了世界各國的普遍關注。目前世界上有近300個國際和區域性組織制定標準或技術規則，與信息安全標準化有關的組織主要有幾個：ISO（國際標準化組織）、IEC（國際電工委員會）、ITU（國際電信聯盟）、IETF（Internet工程任務組）等。除了上述標準組織，世界各國的官方機構和行業監管機構還有許多信息安全方面的標準、指引和建議的操作實踐。

2 國外IT新技術信息安全

隨著全球信息化浪潮的不斷推進，信息技術正在經歷一場新的革命，使社會經濟生活各方面都發生著日新月異的變化。虛擬化、云計算、物聯網、IPv6等新技術、新應用和新模式的出現，對信息安全提出了新的要求，拓展了信息安全產業的發展空間。同時，新技術、新應用和新模式在國外市場的全面開拓將加快國外信息安全技術創新速度，催生云安全等新的信息安全應用領域，為國外企業與國際同步發展提供了契機。

2.1 云計算

“云安全”是繼“云計算”、“云存儲”之后出現的“云”技術的重要應用，已經在反病毒軟件中取得了廣泛的應用，發揮了良好的效果。在病毒與反病毒軟件的技術競爭當中為反病毒軟件奪得了先機。云安全聯盟CSA是在2009年的RSA大會上宣布成立的，云安全聯盟成立的目的是為了在云計算環境下提供最佳的安全方案。同時云安全聯盟列出了云計算的七大安全風險：（1）數據丟失/泄漏；（2）共享技術漏洞；（3）內部控制；（4）賬戶、服務和通信劫持；（5）不安全的應用程序接口；（6）沒有正確運用云計算；（7）透明度問題。

2.2 虛擬化

咨詢公司Gartner將虛擬化技術列為2013年十大戰略技術第一位，而在2014年初預測中，更是大膽斷言到2015年20%的企業將不再擁有IT資產，因為多個內在關聯的趨勢正在推動企業去逐步減少IT硬件資產，這些趨勢主要是虛擬化、云計算服務等。而虛擬化技術，作為云計算的一個支撐技術，必將成為未來最重要的最值得研究的IT技術之一。雖然目前針對各組件安全的保護措施不少，但是從CVE的公告中可以看出安全威脅仍然存在。目前針對虛擬化環境的主要威脅有三類：逃逸威脅、流量分析與隱蔽信道以及Host OS與Guest OS之間的共享問題。

2.3 物聯網

物聯網和互聯網一樣，都是一把“雙刃劍”。物聯網是一種虛擬網絡與現實世界實時交互的新型系統，其特點是無處不在的數據感知、以無線為主的信息傳輸、智能化的信息處理。根據物聯網自身的特點，物聯網除了面對移動通信網絡的傳統網絡安全問題之外，還存在著一些與已有移動網絡安全不同的特殊安全問題。這是由于物聯網是由大量的機器構成，缺少人對設備的有效監控，并且數量龐大，設備集群等相關特點造成的，這些特殊的安全問題主要有幾個方面：（l）物聯網機器/感知節點的本地安全問題；（2）感知網絡的傳輸與信息安全問題；（3）核心網絡的傳輸與信息安全問題；（4）物聯網應用的安全問題。

2.4 IPv6

為適應Intemet的迅速發展及對網絡安全性的需要，由IETF（The Internet Engineer Task Force）建議制定的下一代網際協議（IPNextGeneration Protocol，IPng），又被稱為IP版本6（1Pv6），除了擴展到128位地址來解決地址匱乏外，在網絡安全上也做了多項改進，可以有效地提高網絡的安全性。

由于IPv6與IPv4網絡將會，網絡必然會同時存在兩者的安全問題，或由此產生新的安全漏洞。已經發現從IPv4向IPv6轉移時出現的一些安全漏洞，例如黑客可以使用IPv6非法訪問采用了IPv4和IPv6兩種協議的LAN的網絡資源，攻擊者可以通過安裝了雙棧的使用IPv6的主機，建立由IPv6到IPv4的隧道，繞過防火墻對IPv4進行攻擊。

3 國外信息安全發展趨勢

據Gartner分析，當前國際大型企業在信息安全領域主要有幾個發展趨勢：（1） 信息安全投資從基礎架構向應用系統轉移；（2）信息安全的重心從技術向管理轉移；（3）信息安全管理與企業風險管理、內控體系建設的結合日益緊密；（4）信息技術逐步向信息安全管理滲透。結合大型企業信息安全發展趨勢，國際各大咨詢公司、廠商等機構紛紛提出了符合大型企業業務和信息化發展需要的信息安全體系架構模型，著力建立全面的企業信息安全體系架構，使企業的信息安全保護模式從較為單一的保護模式發展成為系統、全面的保護模式。

4 國外信息安全總結

信息安全在國外已經上升到了國家戰略層次，國外的信息安全總體發展領先于國內，特別是歐美，研究國外的信息安全現狀有助于我國的信息安全規劃。國外的主流的信息安全體系框架較多，都有其適用范圍和缺點，并不完全符合我國現狀，可選取框架的先進理念和組成部分為我國所用，如IATF的縱深防御理念和分層分區理念、ISO27000的信息安全管理模型、IBM的安全治理模塊等。

5 國內信息安全綜述

目前，國家開始高度重視信息安全問題，以等級保護和分級保護工作為主要手段，加強我國企事業單位的信息安全保障水平。 目前我國信息于網絡安全的防護能力處于發展的初級階段，許多應用系統處于不設防狀態，信息與網絡安全，目前處于忙于封堵現有信息系統的安全漏洞，要解決這 些迫在眉睫的問題，歸根結底取決于信息安全保障體系的建設。

6 國內信息安全標準

國內的安全標準組織主要有信息技術安全標準化技術委員會（CITS）、中國通信標準化協會（CCSA）下轄的網絡與信息安全技術工作委員會、公安部信息系統安全標準化技術委員會、國家保密局、國家密碼管理委員會等部門。

在信息安全標準方面，我國已了《信息技術 安全技術 公鑰基礎設施在線證書狀態協議》、《信息技術 安全技術 公鑰基礎設施證書管理協議》等幾十項重要的國家信息安全基礎標準，初步形成了包括基礎標準、技術標準、管理標準和測評標準在內的信息安全標準體系框架。

7 國內IT新技術信息安全

7.1 云計算

目前我國的云計算應用還處于初始階段，關注的重點是數據中心建設、虛擬化技術方面，因此，我國的云安全技術多數集中在虛擬化安全方面，對于云應用的安全技術所涉及的還不多。雖然當前眾多廠商提出了各種云安全解決方案，但云安全仍處于起步階段，除了可能發生的大規模計算資源的系統故障外，云計算安全隱患還包括缺乏統一的安全標準、適用法規、以及對于用戶的隱私保護、數據、遷移、傳輸安全、災備等問題。

7.2 虛擬化

由于虛擬化技術能夠通過服務器整合而顯著降低投資成本，并通過構建內部云和外部云節省大量的運營成本，因此加速了虛擬化在全球范圍的普及與應用。目前許多預測已經成為現實：存儲虛擬化真正落地、高端應用程序虛擬化漸成主流、網絡虛擬化逐漸普及、虛擬化數據中心朝著云計算的方向大步邁進、管理工具比以往更加關注虛擬數據中心。在虛擬化技術應用方面，企業桌面虛擬化、手機虛擬化、面向虛擬化的安全解決方案、虛擬化推動綠色中心發展等領域也取得了長足進步，發展勢頭比之前預想的還要迅猛。

7.3 IPv6

我國IPv6標準整體上仍處于跟隨國際標準的地位，IPv6標準進展與國際標準基本一致，在過渡類標準方面有所創新（如軟線技術標準和 IVI技術標準等），已進入國際標準。中國運營企業在IPv6網絡的發展，奠定了中國在世界范圍內IPv6領域的地位，積累了一定的運營經驗。但總體來看，我國IPv6運營業發展緩慢，主要體現在IPv6網絡集中在骨干網層面，向邊緣網絡延伸不足，難以為IPv6特色業務的開發和規模商用提供有效平臺。此外，由于運營企業積極申請IPv4地址，或采用私有地址，對于發展IPv6用戶并不積極，直接影響了其他產業環節的IPv6投入力度。

8 國內信息安全發展趨勢

隨著信息技術的快速發展和廣泛應用，基礎信息網絡和重要信息系統安全、信息資源安全以及個人信息安全等問題與日俱增，應用安全日益受到關注，主動防御技術成為信息安全技術發展的重點。

第一，向系統化、主動防御方向發展。信息安全保障逐步由傳統的被動防護轉向"監測-響應式"的主動防御，產品功能集成化、系統化趨勢明顯，功能越來越豐富，性能不斷提高；產品問自適應聯動防護、綜合防御水平不斷提高。

第二，向網絡化、智能化方向發展。計算技術的重心從計算機轉向互聯網，互聯網正在逐步成為軟件開發、部署、運行和服務的平臺，對高效防范和綜合治理的要求日益提高，信息安全產品向網絡化、智能化方向發展。網絡身份認證、安全智能技術、新型密碼算法等信息安全技術日益受到重視。

第三，向服務化方向發展。信息安全內容正從技術、產品主導向技術、產品、服務并重調整，安全服務逐步成為發展重點。

9 國內信息安全總結

國內的信息安全較國外有一定距離，不過也正在快速趕上，國內現在以等級保護體系和分級保護體系為主要手段，以保護重點為特點，強制實施以提高對重點系統和設施的信息安全保障水平，國內的信息安全標準通過引進和消化也已經初步成了體系，我國在規劃時，需考慮合規因素，如等級保護和分級保護。國內的信息安全體系框架較少，主要是等級保護和分級保護，也有國內專家個人推崇的框架，總體來講，以合規為主要目的。

參考資料

[1] 中華人民共和國國務院.中華人民共和國計算機信息系統安全保護條例.1994.

[2] 公安部，國家保密局，國家密碼管理局，國務院信息化工作辦公室.信息安全等級保護管理辦法.2007.

[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.

[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.

[5] Trustwave .2012 Global Security Report，2012.

[6] The White House. Federal Plan for Cyber Security and Information Assurance Research and Development. April， 2006.

篇2

關鍵詞：企業信息化；信息安全管理體系；信息安全保障

1 企業信息安全需求與目標

近年來隨著企業信息系統建設的不斷發展，企業的信息化安全也面臨著前所未有的挑戰。作為中國高速列車產業化制造基地和城軌地鐵車輛定點制造企業，公司的發展對高速動車行業產生著舉足輕重的作用；從企業信息安全現狀分析，公司IT部門主管深深意識到，盡管從自身情況來看，在信息安全方面已經做了很多工作，如部署了防火墻、SSL VPN、入侵檢測系統、入侵防御系統、防病毒系統、文檔加密、終端安全管理系統等。但是安全系統更多的在于防堵來自某個方面的安全威脅，無法產生協同效應，距離國際同行業企業還存在一定的差距。

公司通過可行性研究及論證，決定借助外力，通過知名的咨詢公司協助企業發現存在的信息安全不足點，以科研項目方式，通過研究國家安全標準體系及國家對央企和上市企業的信息化安全要求，分析企業目前的現狀和國際標準ISO27001之間的差距，繼而完善企業信息安全體系的規劃與設計，最終建立一套適合企業現狀的信息安全標準和管理體系。目標是使公司信息安全從管理到技術均得到全面加強，建立一個有責（職責）、有序（秩序）、有效（效率）的信息安全管理體系，預防信息安全事件的發生，確保更小的業務損失，提供客戶滿意度，獲取更多的管理支持。在行業內樹立標桿和示范，提升企業形象，贏取客戶信任，增強競爭力。同時，使信息安全體系通過信息安全管理體系通過ISO 27001認證標準。

2 企業信息安全管理體系建設過程

凡事預則立，不預則廢。對于信息安全管理建設的工作也先由計劃開始。信息安全管理體系建設分為四個階段：實施安全風險評估、規劃體系建設方案、建立信息安全管理體系、體系運行及改進。也符合信息安全管理循環PDCA（Plan-Do-Check-Action）模型及ISO27001要求，即有效地保護企業信息系統的安全，確保信息安全的持續發展。本文結合作者經驗，重點論述上述幾個方面的內容。

2.1 確立范圍

首先是確立項目范圍，從機構層次及系統層次兩個維度進行范圍的劃分。從機構層次上，可以考慮內部機構：需要覆蓋公司的各個部門，其包括總部、事業部、制造本部、技術本部等；外部機構：則包括公司信息系統相連的外部機構，包括供應商、中間業務合作伙伴、及其他合作伙伴等。

從系統層次上，可按照物理環境：即支撐信息系統的場所、所處的周邊環境以及場所內保障計算機系統正常運行的設施。包括機房環境、門禁、監控等；網絡系統：構成信息系統網絡傳輸環境的線路介質，設備和軟件；服務器平臺系統：支撐所有信息系統的服務器、網絡設備、客戶機及其操作系統、數據庫、中間件和Web系統等軟件平臺系統；應用系統：支撐業務、辦公和管理應用的應用系統；數據：整個信息系統中傳輸以及存儲的數據；安全管理：包括安全策略、規章制度、人員組織、開發安全、項目安全管理和系統管理人員在日常運維過程中的安全合規、安全審計等。

2.2 安全風險評估

企業信息安全是指保障企業業務系統不被非法訪問、利用和篡改，為企業員工提供安全、可信的服務，保證信息系統的可用性、完整性和保密性。

本次進行的安全評估，主要包括兩方面的內容：

2.2.1 企業安全管理類的評估

通過企業的安全控制現狀調查、訪談、文檔研讀和ISO27001的最佳實踐比對，以及在行業的經驗上進行“差距分析”，檢查企業在安全控制層面上存在的弱點，從而為安全措施的選擇提供依據。

評估內容包括ISO27001所涵蓋的與信息安全管理體系相關的11個方面，包括信息安全策略、安全組織、資產分類與控制、人員安全、物理和環境安全、通信和操作管理、訪問控制、系統開發與維護、安全事件管理、業務連續性管理、符合性。

2.2.2 企業安全技術類評估

基于資產安全等級的分類，通過對信息設備進行的安全掃描、安全設備的配置，檢查分析現有網絡設備、服務器系統、終端、網絡安全架構的安全現狀和存在的弱點，為安全加固提供依據。

針對企業具有代表性的關鍵應用進行安全評估。關鍵應用的評估方式采用滲透測試的方法，在應用評估中將對應用系統的威脅、弱點進行識別，分析其和應用系統的安全目標之間的差距，為后期改造提供依據。

提到安全評估，一定要有方法論。我們以ISO27001為核心，并借鑒國際常用的幾種評估模型的優點，同時結合企業自身的特點，建立風險評估模型：

在風險評估模型中，主要包含信息資產、弱點、威脅和風險四個要素。每個要素有各自的屬性，信息資產的屬性是資產價值，弱點的屬性是弱點在現有控制措施的保護下，被威脅利用的可能性以及被威脅利用后對資產帶來影響的嚴重程度，威脅的屬性是威脅發生的可能性及其危害的嚴重程度，風險的屬性是風險級別的高低。風險評估采用定性的風險評估方法，通過分級別的方式進行賦值。

2.3 規劃體系建設方案

企業信息安全問題根源分布在技術、人員和管理等多個層面，須統一規劃并建立企業信息安全體系，并最終落實到管理措施和技術措施，才能確保信息安全。

規劃體系建設方案是在風險評估的基礎上，對企業中存在的安全風險提出安全建議，增強系統的安全性和抗攻擊性。

在未來1-2年內通過信息安全體系制的建立與實施，建立安全組織，技術上進行安全審計、內外網隔離的改造、安全產品的部署，實現以流程為導向的轉型。在未來的 3-5 年內，通過完善的信息安全體系和相應的物理環境改造和業務連續性項目的建設，將企業建設成為一個注重管理，預防為主，防治結合的先進型企業。

2.4 企業信息安全體系建設

企業信息安全體系建立在信息安全模型與企業信息化的基礎上，建立信息安全管理體系核心可以更好的發揮六方面的能力：即預警（Warn）、保護（Protect）、檢測（Detect）、反應（Response）、恢復（Recover）和反擊（Counter-attack），體系應該兼顧攘外和安內的功能。

安全體系的建設一是涉及安全管理制度建設完善；二是涉及到信息安全技術。首先，針對安全管理制度涉及的主要內容包括企業信息系統的總體安全方針、安全技術策略和安全管理策略等。安全總體方針涉及安全組織機構、安全管理制度、人員安全管理、安全運行維護等方面的安全制度。安全技術策略涉及信息域的劃分、業務應用的安全等級、安全保護思路、說以及進一步的統一管理、系統分級、網絡互聯、容災備份、集中監控等方面的要求。

其次，信息安全技術按其所在的信息系統層次可劃分為物理安全技術、網絡安全技術、系統安全技術、應用安全技術，以及安全基礎設施平臺；同時按照安全技術所提供的功能又可劃分為預防保護類、檢測跟蹤類和響應恢復類三大類技術。結合主流的安全技術以及未來信息系統發展的要求，規劃信息安全技術包括：

2.5 體系運行及改進

信息安全管理體系文件編制完成以后，由公司企劃部門組織按照文件的控制要求進行審核。結合公司實際，在體系文件編制階段，將該標準與公司的現有其他體系，如質量、環境保護等體系文件，改歸并的歸并。該修訂審核的再繼續修訂審核。最終歷經幾個月的努力，批準并實施了信息安全管理系統的文檔。至此，信息安全管理體系將進入運行階段。

有人說，信息系統的成功靠的是“三分技術，七分管理，十二分執行”。“執行”是要需要在實踐中去體會、總結與提高。對于信息系統安全管理體系建設更是如此！在此期間，以IT部門牽頭，加強宣傳力度，組織了若干次不同層面的宣導培訓，充分發揮體系本身的各項功能，及時發現存在的問題，找出問題根源，采取糾正措施，并按照更改控制程序要求對體系予以更改，以達到進一步完善信息安全管理體系的目的。

3 總結

總結項目，建立健全的信息安全管理制度是進行安全管理的基礎。當然，體系建設過程中還存在不足，如崗位原有職責與現有安全職責的界定，員工的認知及接受程度還有待提高，體系在各部門領導重視程度、執行力度、審核效果存在差距等等。最終，在公司各部門的共同努力下，體系經歷了來自國際知名品牌認證公司DNV及中國認可委（CNAS）的雙重檢驗，并通過嚴格的體系審核。確認了公司在信息安全管理體系達到國內和國際信息安全管理標準，提升公司信息安全管理的水平，從而為企業向國際化發展與合作提供有力支撐。

[參考文獻]

[1]沈昌祥.《信息系統安全導論》.電子工業出版社，2003.7.