1.安全威脅

　　傳統概念中，企業信息系統安全威脅似乎就是黑客入侵等導致信息資產損壞的行為。事實上，在企業信息安全體系中，信息安全及其關聯的信息資產有著更為廣泛和科學的范圍。造成企業威脅的因素可分為人為因素和環境因素。根據威脅的動機，人為因素又可分為惡意和非惡意兩種。威脅作用形式可以是對信息系統直接或間接的攻擊，在保密性、完整性和可用性等方面造成損害；也可能是偶發的或蓄意的事件。

表1 企業信息安全考慮威脅的來源

　　根據以上威脅的表現形式，對這些威脅進行進一步的分類和分析，見表2。

表2 信息安全分析

　　2.信息安全體系內容

　　企業從網絡建立發展以來，針對這些威脅因素，結合企業的實際情況，從業務驅動的角度出發，制定信息安全體系框架，在物理層、網絡層、系統層、應用(數據)層、管理層上實現信息安全管理，實施信息系統安全等級保護，逐步構建企業的信息安全體系，并以框架為指導，對企業未來信息安全的各個平臺進行設計和實施。

　　物理安全包括機房環境管理、核心安全部件物理防護、物理安全域的設置、雙網隔離設備設置、監視系統等：

　　網絡安全包括VLAN劃分、防火墻、安全網關、VPN申請、因特網申請、IP管理、網絡訪問記錄、移動設備安全、入侵防范、邊界安全、網絡設備等。系統安全包括操作系統安全、系統安全審計、角色管理、身份認證、系統日志審計、SEP、系統冗余/備份/容災、終端安全(包括帳號策略、補丁安裝、病毒防護、端口使用、共享、非法外聯等內容)、服務器管理(帳戶口令、認證授權、日志審計、協議安全、系統服務、數據保護等)、域用戶管理、單機用戶管理、漏洞掃描、VRV等。

　　數據安全包括數據完整性控制、數據備份、數據庫系統管理、數據表管理、數據庫用戶、油田生產數據訪問管理、油田開發數據管理、數據審計、數據導出管理等。應用安全包括應用授權、網頁防篡改、應用系統開發、應用系統部署申請、應用系統維護、人員、崗位變動后信息變更管理流程、應用系統賬戶管理、網頁信息訪問權限管理、項目歸檔管理、文檔權限管理、文檔外發控制、文檔備份、門戶發布信息流程管理、調度接收信息管理等。

　　管理安全包括稽核與監管、安全管理規范(人員、機構、設施、環境、操作、開發)、最小特權、分權制約機制、密級的劃分(國家秘密/專有信息)和等級選擇、口令、證書、密鑰的安全管理、內控管理等。對于每一項安全項目內容，結合實際情況，制定一個可操作的安全管理內容。如對計算機病毒管理，要求計算機發生病毒感染的時候，計算機操作人員要馬上停止所有操作，不要向外部發送任何數據，以免病毒的傳播，并通知安全管理員；在感染病毒的計算機上運行殺毒軟件，全面檢查計算機系統，將病毒徹底清除；如果是服務器發生了病毒感染，應立即停止服務器所運行的所有程序和相關服務，防止病毒進一步擴散，并通知系統維護人員和安全管理員；在服務器端運行殺毒軟件，全面檢查計算機系統，清除病毒；在服務器查殺病毒的同時，所有服務器管理的計算機都要進行病毒查殺；如需要，啟動備份服務器，同時，將原有服務器與網絡徹底斷絕物理聯系；如果病毒將系統破壞，導致系統無法恢復，應將感染病毒的計算機上的重要數據備份到其他存儲介質，確保計算機內重要的數據不會丟失；對備份的數據也要進行病毒檢測，防止病毒再次感染其他計算機。同時要將病毒感染情況、發作現象、處理結果進行記錄，找到引起該病毒爆發的原因。

　　3.安全評估

　　安全評估就是評估信息系統的脆弱性、信息系統面臨的威脅以及脆弱性被威脅利用后所產生的實際負面影響或安全事件，并根據安全事件發生的可能性和負面影響的程度來準確識別安全風險。雖然建立了信息安全體系，但是必須通過安全評估，才能較為準確地了解自身的網絡、應用系統以及管理制度方面的安全現狀，針對存在的問題進行整改，使信息安全水平得到進一步提高，形成科學有序的監管體系。

　　信息安全評估的具體內容如下：一是管理制度的評估，包括機房管理制度、文檔設備管理制度、管理人員培訓制度、系統使用管理制度等。二是物理安全的評估，物理安全是信息系統安全的基礎，一般包括場地安全、機房環境、災難預防與恢復措施等幾方面。三是計算機系統安全評估，指操作系統和數據的安全，主要有操作系統漏洞檢測、系統存儲環境中的數據安全、數據庫的數據安全、應用系統的數據訪問安全。四是網絡與通信安全的評估，網絡與通信的安全性在很大程度上決定著整個網絡系統的安全性，評估的主要內容有網絡基礎設施、整體網絡系統平臺安全綜合測試、模擬人侵、設置身份鑒別機制。五是日志與統計安全的評估，日志、統計的完整、詳細是管理人員及時發現、解決問題的保證。六是安全保障措施的評估，安全保障措施是根據以上各個層次安全保障的要求，用戶以網絡、系統的特點、實際條件和管理要求為依據，建立各種安全管理制度。需要請專業的評估人員對企業的信息安全現狀進行評估，通過評估發現信息系統中存在的安全隱患，可以準確制定安全策略及安全解決方案，從而指導單位信息系統安全的建設。

　　企業內信息系統的安全風險信息是動態變化的，只有動態的信息安全評估才能發現和跟蹤最新的安全風險。所以信息安全評估是一個長期持續的工作，通常應該每隔l一3年就進行一次安全風險評估。

　　4.結論

　　在信息安全體系中，技術是工具，組織是運作，管理是指導，它們緊密配合，共同實現信息安全的目標。目前企業的信息安全體系建設正處于完善階段，雖然已經開展了一系列工作，但在基礎設施安全建設、專業安全技術平臺建設、應用系統安全建設、管理組織完善、制度與標準健全等方面仍有不足之處，企業戰略、安全標準、作業流程、安全組織、規范制度、甚至安全工具與實施手段都是企業實現信息安全建設目標的必要因素，我們需要結合實際情況，逐步完善企業的信息安全體系。 

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：建立企業網絡安全管理體系探討

本文網址：http://www.guhuozai8.cn/html/support/11121513428.html