導(dǎo)語：淺談企業(yè)安全信息系統(tǒng)建設(shè)一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：信息化的發(fā)展促進(jìn)了企業(yè)管理水平的提高，信息安全成為企業(yè)信息化建設(shè)中需要重點(diǎn)關(guān)注的問題。完善信息管理制度、提高系統(tǒng)的整體安防水平、防止失泄密事件的發(fā)生成為當(dāng)前信息化安全建設(shè)中的首要目標(biāo)。文章針對(duì)企業(yè)在信息系統(tǒng)安全建設(shè)中所依據(jù)的原則，要達(dá)到的目標(biāo)以及如何利用各種成熟的軟、硬件技術(shù)手段和設(shè)備建立網(wǎng)絡(luò)安全管理平臺(tái)進(jìn)行論述。

關(guān)鍵詞：信息系統(tǒng)；網(wǎng)絡(luò)；安全

1信息系統(tǒng)安全建設(shè)原則

（1）物理隔離原則。為確保信息安全，信息系統(tǒng)必須與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)實(shí)行物理隔離。（2）分域分級(jí)原則。信息系統(tǒng)應(yīng)根據(jù)信息密級(jí)、使用單位行政級(jí)別等級(jí)劃分不同的安全域并確定等級(jí)，按照相應(yīng)等級(jí)的保護(hù)要求進(jìn)行防護(hù)。（3）信息流向控制原則。禁止高密級(jí)信息由高等級(jí)涉密信息系統(tǒng)或安全域流向低等級(jí)涉密信息系統(tǒng)或安全域。（4）最小化授權(quán)與分權(quán)管理原則。信息系統(tǒng)內(nèi)用戶的權(quán)限應(yīng)配置為確保其完成工作所必須的最小權(quán)限，網(wǎng)絡(luò)中賬號(hào)設(shè)置、服務(wù)設(shè)置、主機(jī)間信任關(guān)系配置等應(yīng)該為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度，并使不同用戶的權(quán)限相互獨(dú)立、相互制約，避免出現(xiàn)權(quán)限過大的用戶或賬號(hào)。（5）技術(shù)與管理并重原則。信息系統(tǒng)應(yīng)采取技術(shù)和管理相互結(jié)合的、整體的安全技防措施。（6）標(biāo)注化原則。設(shè)計(jì)應(yīng)嚴(yán)格執(zhí)行國家有關(guān)行業(yè)標(biāo)準(zhǔn)、國家相關(guān)部門的強(qiáng)制標(biāo)準(zhǔn)等，確保系統(tǒng)質(zhì)量。（7）安全產(chǎn)品選型原則。企業(yè)在信息系統(tǒng)建設(shè)中必須選用可靠有效的安全產(chǎn)品，如具備國家相關(guān)管理機(jī)構(gòu)檢測證書的產(chǎn)品。（8）實(shí)用性原則。系統(tǒng)要力求最大限度地滿足實(shí)際環(huán)境需要，充分考慮系統(tǒng)應(yīng)用業(yè)務(wù)的特殊性，把滿足用戶需求作為設(shè)計(jì)的第一要素。（9）適度安全原則。要在安全風(fēng)險(xiǎn)分析的基礎(chǔ)上，實(shí)事求是、因地制宜地確定防護(hù)程度和安全措施，避免弱保護(hù)和過保護(hù)，保證安全措施切實(shí)可行，達(dá)到最佳防護(hù)目的。（10）動(dòng)態(tài)防護(hù)原則。隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)威脅攻擊手段的變化，企業(yè)信息系統(tǒng)必須不斷改進(jìn)和完善安全保障措施，及時(shí)進(jìn)行信息系統(tǒng)安全防護(hù)技術(shù)和設(shè)備的升級(jí)換代。

2建設(shè)目標(biāo)

根據(jù)對(duì)信息系統(tǒng)的現(xiàn)狀分析、安全風(fēng)險(xiǎn)分析、安全保密需求分析，按照相關(guān)技術(shù)要求和管理要求，遵循前述原則，建設(shè)科學(xué)合理，符合安全保密需求的信息系統(tǒng)，全面提升企業(yè)信息安全防范能力。

3建設(shè)內(nèi)容

企業(yè)的信息系統(tǒng)安全建設(shè)包括物理安全、運(yùn)行安全、信息安全保密以及安全保密管理四個(gè)方面的內(nèi)容。（1）物理安全。物理安全是指信息系統(tǒng)的環(huán)境安全、設(shè)備安全、介質(zhì)安全。（2）運(yùn)行安全。運(yùn)行安全包括備份與恢復(fù)、病毒防護(hù)、應(yīng)急響應(yīng)、運(yùn)行管理。（3）信息安全保密。信息安全涉及內(nèi)容包括身份鑒別與訪問控制、密碼保護(hù)措施、電磁泄露發(fā)射保護(hù)、安全性能檢測、邊界安全防護(hù)、硬件系統(tǒng)安全、信息完整性校驗(yàn)、安全審計(jì)、操作系統(tǒng)和數(shù)據(jù)庫安全。（4）安全保密管理。包括安全保密管理策略、安全保密管理制度、人員管理、物理環(huán)境與設(shè)施管理、設(shè)備與介質(zhì)管理、運(yùn)行與開發(fā)管理、信息保密管理。

4企業(yè)信息系統(tǒng)安全建設(shè)

（1）網(wǎng)絡(luò)綜合布線。a.選擇具備資質(zhì)的施工單位；b.線纜選擇光纖與屏蔽線；c.布線嚴(yán)格遵循國家相關(guān)標(biāo)準(zhǔn)；d.交換設(shè)備選型應(yīng)考慮未來企業(yè)信息化業(yè)務(wù)發(fā)展的需要；e.根據(jù)業(yè)務(wù)、密級(jí)以及知悉范圍劃分VLAN，并創(chuàng)建ACL，實(shí)現(xiàn)訪問控制；f.優(yōu)化網(wǎng)絡(luò)配置，禁用暫時(shí)不用端口，對(duì)接入終端采用IP+MAC+端口綁定策略，防止非授權(quán)接入。（2）安全域。根據(jù)信息系統(tǒng)的信息密級(jí)劃分不同的安全域并確定等級(jí)，按照相應(yīng)等級(jí)的保護(hù)要求進(jìn)行防護(hù)。按照上述原則，一般將單位信息系統(tǒng)劃分為重要應(yīng)用安全域、一般應(yīng)用安全域、辦公安全域、管理安全域等四個(gè)區(qū)域，如圖1所示。圖中每個(gè)區(qū)域代表一個(gè)安全域，安全域前端架設(shè)防火墻，通過防火墻設(shè)置訪問控制策略，僅開放必要端口及IP，控制信息流向，實(shí)現(xiàn)安全域間的訪問控制。（3）交換機(jī)安全設(shè)置。全部交換機(jī)配置為SSH加密方式通信，對(duì)接入端口采用IP+MAC+端口綁定方式，禁用暫時(shí)不用端口，實(shí)現(xiàn)網(wǎng)絡(luò)層的身份認(rèn)證。（4）安全產(chǎn)品部署。a.全部終端納入域控管理，通過主域控制器將安全策略下發(fā)至終端，如實(shí)名登錄、密碼管理、屏幕保護(hù)等策略，實(shí)現(xiàn)系統(tǒng)層身份認(rèn)證。b.創(chuàng)建補(bǔ)丁分發(fā)系統(tǒng)，為全部終端定期升級(jí)系統(tǒng)安全補(bǔ)丁，完善系統(tǒng)的安全可靠性。c.全部終端安裝網(wǎng)絡(luò)版殺毒軟件，由系統(tǒng)管理人員定期導(dǎo)入最新病毒庫升級(jí)包，全網(wǎng)下發(fā)，制定殺毒策略，統(tǒng)一查殺網(wǎng)絡(luò)病毒。d.終端輸入輸出端口嚴(yán)格管控。終端安裝審計(jì)、打印管理、輸入輸出管理安全軟件，防止非授權(quán)移動(dòng)存儲(chǔ)介質(zhì)在信息系統(tǒng)中使用，對(duì)系統(tǒng)中的打印行為實(shí)現(xiàn)全生命周期管理，嚴(yán)格管控，從而降低或杜絕失泄密事件的發(fā)生。e.重要關(guān)鍵設(shè)備、服務(wù)器冗余備份。對(duì)系統(tǒng)中的核心交換機(jī)、防火墻采取在線或離線方式備份，避免因設(shè)備損壞造成網(wǎng)絡(luò)通信中斷，影響公司業(yè)務(wù)工作的開展；對(duì)重要部位的供電線路采用雙路供電+ups方式保障供電安全；對(duì)重要的核心業(yè)務(wù)服務(wù)器數(shù)據(jù)采用在線即時(shí)備份以及數(shù)據(jù)遠(yuǎn)程異地備份的方式，確保數(shù)據(jù)完整、準(zhǔn)確、安全。f.定期對(duì)系統(tǒng)進(jìn)行漏洞掃描分析，發(fā)現(xiàn)系統(tǒng)中存在風(fēng)險(xiǎn)與漏洞，及時(shí)對(duì)系統(tǒng)修復(fù)完善。g.部署統(tǒng)一的日志存儲(chǔ)及分析系統(tǒng)，統(tǒng)計(jì)分析系統(tǒng)重要關(guān)鍵設(shè)備的生成日志，便于及時(shí)發(fā)現(xiàn)問題并解決問題。（5）制定應(yīng)急響應(yīng)預(yù)案，保證數(shù)據(jù)安全。應(yīng)急響應(yīng)預(yù)案的制定必須具有可操作性，應(yīng)根據(jù)事件的等級(jí)制定響應(yīng)流程，明確管理責(zé)任及責(zé)任主體，同時(shí)還需要在日常進(jìn)行針對(duì)性的應(yīng)急響應(yīng)培訓(xùn)教育與演練。

5結(jié)束語

企業(yè)信息化的發(fā)展建設(shè)任重道遠(yuǎn)，沒有絕對(duì)安全可靠的系統(tǒng)，在信息系統(tǒng)的安全建設(shè)中只有嚴(yán)格按照國家相關(guān)管理規(guī)定，結(jié)合現(xiàn)有成熟可靠的技術(shù)，統(tǒng)一建設(shè)規(guī)劃，部署有資質(zhì)必要的安全產(chǎn)品，同時(shí)加強(qiáng)管理，建立健全的安全管理規(guī)章制度，才能有效保證企業(yè)信息系統(tǒng)的安全可控運(yùn)行。

作者:楊 濤 陳 晨 王立群 單位:陜西長嶺電子科技有限責(zé)任公司