一、企業(yè)信息安全的需求

目標：構(gòu)建信息安全體系，支撐企業(yè)發(fā)展戰(zhàn)略隨著國內(nèi)大部分企業(yè)信息化程度的提升，企業(yè)的信息資產(chǎn)與業(yè)務運營所面臨的安全威脅也在日益加劇。雖然企業(yè)對于安全防護的投入逐年遞增，但在面對愈來愈頻繁和復雜的病毒  破壞與黑客攻擊等安全問題時，仍停留在兵來將擋的被動應付階段。安全需求來自于業(yè)務本身，而非 IT 技術驅(qū)動，安全問題貫穿于整個企業(yè)的運作。

企業(yè)信息安全概述

l商業(yè)機密信息安全

企業(yè)的商業(yè)秘密的泄露會使企業(yè)喪失競爭優(yōu)勢，失去市場；企業(yè)必須防止商業(yè)信息泄露或篡改的現(xiàn)象發(fā)生。

l保障業(yè)務持續(xù)運轉(zhuǎn)

防止企業(yè)經(jīng)營或商務活動的中斷，保護關鍵商務過程免受重大故障或災難的影響，建立和管理安全強壯的信息系統(tǒng)必不可少。

l新技術帶來的安全隱患

虛擬化和云計算增加基礎架構(gòu)復雜性，新興技術的應用導致安全違規(guī)和安全攻擊事件的大量增加，數(shù)據(jù)量每隔 18 個月翻一番，圍繞著信息上下文的存儲、安全和發(fā)現(xiàn)技術變得越來越重要。信息安全問題越來越凸現(xiàn)出來 使得企業(yè)規(guī)避信息安全風險的需求日趨緊迫。

l保護企業(yè)客戶信息和內(nèi)部員工信息

企業(yè)的內(nèi)部組織信息，員工信息，以及企業(yè)的客戶信息，商務伙伴的資料與數(shù)據(jù)等，是企業(yè)賴以生存的基礎，都是需要保護的重要資產(chǎn)。

l完善安全管理策略，降低企業(yè)風險

為了實現(xiàn)有效的安全策略，構(gòu)建企業(yè)安全平臺，企業(yè)必須建立一個基于風險分析，策略定義，方案實施，管理和審計的循環(huán)往復的流程周期。

二、企業(yè)信息安全的歷程

l通信安全

在早期，通信技術還不發(fā)達，電腦只是零散的位于不同的地點，信息系統(tǒng)的安全僅限于保證電腦的物理安全以及通過密碼（主要是序列密碼）解決通信安全保密問題。如果一臺電腦上的數(shù)據(jù)需要讓別人讀取，而需要數(shù)據(jù)的人卻在異地，只有將數(shù)據(jù)拷貝在介質(zhì)上，派專人秘密的送到目的地，拷貝進電腦再讀取出數(shù)據(jù)。這個階段人們強調(diào)的信息系統(tǒng)安全性是指信息的保密性，對安全理論和技術的研究也僅限于密碼學。

l信息安全

60年代，對安全的關注已經(jīng)逐漸擴展為以保密性、完整性和可用性為目標的信息安全階段，主要保證動態(tài)信息在傳輸過程中不被竊取，即使竊取了也不能讀出正確的信息；還要保證數(shù)據(jù)在傳輸過程中不被篡改，讓讀取信息的人能夠看到正確無誤的信息。

l信息保障

90年代，信息安全的焦點已經(jīng)從傳統(tǒng)的保密性、完整性和可用性三個原則衍生為諸如可控性、抗抵賴性、真實性等其他的原則和目標。信息安全也轉(zhuǎn)化為從整體角度考慮其體系建設的信息保障階段。

l面向服務的安全保障

現(xiàn)在，隨著“軟件定義”的出現(xiàn)，網(wǎng)絡架構(gòu)和應用架構(gòu)都出現(xiàn)了不同程度的發(fā)展，安全保障不僅是組件間的環(huán)節(jié)控制，對組件本身的安全同樣需要。對單個業(yè)務的安全保障需求演變?yōu)閷Χ鄠€業(yè)務交叉系統(tǒng)的綜合安全需求，IT基礎設施與業(yè)務之間的耦合層度逐漸降低，安全也分解為若干單元，安全不再面對業(yè)務本身，而是面對使用業(yè)務的客戶，具體地說就是用戶在使用IT平臺承載業(yè)務的時候，涉及該業(yè)務安全保障，由此，安全保障也從面向業(yè)務發(fā)展到面向服務。

三、企業(yè)信息安全體系架構(gòu)解決方案

企業(yè)信息安全框架從上到下由安全治理、風險管理及合規(guī)層，安全運維層和基礎安全服務和架構(gòu)層三個層次構(gòu)成。安全治理、風險和合規(guī)作為ESF 架構(gòu)頂層的核心內(nèi)容，是第二層安全運維的服務對象，同時，它們也是企業(yè)信息安全策略制定的基礎和依據(jù)，此外，這一層也為最下層，基礎安全服務和架構(gòu)層中的各個子系統(tǒng)提供選擇和建設的依據(jù)。

l基礎安全服務和架構(gòu)層

基礎安全服務和架構(gòu)定義了企業(yè)信息安全框架中的五個核心的基礎技術架構(gòu)和相關服務：物理安全、基礎架構(gòu)安全、身份/訪問安全、數(shù)據(jù)安全和應用安全。基礎安全服務和架構(gòu)是安全運維和管理的對象，其功能由各自的子系統(tǒng)提供保證。

l安全運維

在安全策略的指導下，安全組織利用安全技術來達成安全保護目標的過程。安全運維與 IT 運維相輔相成、互為依托、共享信息與資源。

l安全治理、風險管理和合規(guī)

安全治理和風險管理及合規(guī)的內(nèi)容主要包含企業(yè)信息安全建設的戰(zhàn)略和治理框架、風險管理框架以及合規(guī)和策略遵從。安全治理、風險管理合規(guī)是企業(yè)信息安全框架的最頂層，是業(yè)務驅(qū)動安全的出發(fā)點。通過對企業(yè)業(yè)務和運營風險的評估，確定其戰(zhàn)略和治理框架、風險管理框架，定義合規(guī)和策略遵從，確立信息安全文檔管理體系。

四、總結(jié)

企業(yè)信息安全框架參考了眾多企業(yè)所積累的經(jīng)驗，充分吸取行業(yè)中的最佳實踐。在具體運用中可結(jié)合信息安全相關方法論、模型及標準，將所有的內(nèi)容與要求基于企業(yè)的業(yè)務需求和的現(xiàn)狀轉(zhuǎn)化到信息安全設計與規(guī)劃的具體項目中分別予以實現(xiàn)并提供了可參照執(zhí)行的演進思路。從企業(yè)需求出發(fā)，參照企業(yè)信息安全管理框架，通過評估和風險分析等方法，定義企業(yè)安全需求，根據(jù)企業(yè)的安全需求定義企業(yè)信息安全建設的內(nèi)容和方向。

l可審查

對出現(xiàn)的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。

l可控性

可以控制授權范圍內(nèi)的信息流向及行為方式。

l完整性

只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。

l機密性

確保信息不暴露給未授權的實體或進程。

l可用性

得到授權的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權者的工作。