大型企业信息安全体系架构的设计初探.pdf

第31卷第6期 勘探地球物理进展 V01．31，No．6 2008年12月 inExploration Dee．．2008 Progress Geophysics 文章编号：1671—8585(2008)06—0471一08 大型企业信息安全体系架构设计初探 罗革新，吕增江，崔广印，鲍天祥，王振欣，于普漪 (中国石油集团东方地球物理勘探有限责任公司信息技术中心，北京100007) 摘要：随着信息技术的发展和应用的不断深入，信息安全日益受到国家、企业和社会公众的关注。中国政府已经 提出了构建国家信息安全保障体系的设想，明确了政府、企业和公民各自应承担的责任与义务。企业的信息安 全工作，主要关注点是如何保障信息技术应用和防止企业商业秘密泄露。同时，大型企业特别是地理位置分布 广泛的企业集团，在信息安全方面存在很多难点。分析了国内、国际信息安全现状和发展趋势，概述了Gartner 的企业信息安全体系架构设计思想和国内大型企业面I临的信息安全需求；从管理、技术、控制三个视角和概念、 逻辑、实现三个层面阐述了构建企业信息安全体系架构的概念、内容和方法，提出了一种大型企业信息安全体系 架构模型——M(汀(管理一控制一技术)模型；针对大型企业实际情况，陈述了如何应用MCT模型进行信息安全 体系架构设计；最后给出了一套可实施的从设计层到实现层的转换方法，即以项目为单位来组织具体的信息安 全体系建设工作。 关键词：信息技术；信息安全；信息系统；信息技术基础设施；信息安全体系架构 中图分类号：TP393．08 文献标识码：A 随着信息技术的发展及信息技术在企业生产 加中国石油“十一五”信息技术总体规划和信息安 和经营管理等方面的广泛、深入应用，企业越来越 全总体规划编制工作的经验，以及工作期间与 依赖网络和信息系统。而不时发生的病毒侵袭、黑 IBM、毕博、埃森哲和Gartner等公司资深信息安 客攻入和敏感机密信息被窃取事件，使得信息安全 全专家进行交流的心得，初步探讨了大型企业信息 保障工作日益重要并倍受人们关注。中国信息化 安全体系架构的设计问题。 办公室专家委员会常务委员曲成义指出，我国网络 信息安全入侵事件态势严竣，互联网信息安全威胁 1 国家信息安全保障体系相关工作 的新动向值得关注，比如谍件泛滥值得严重关注， ·情况 网络钓鱼的获利动机明显，DDoS开始用于敲诈， 木马潜伏孕育着杀机，获利和窃信倾向正在成为信 中国政府高度重视国家信息安全保障体系建 息安全事件的主流，等等。归结原因，包括：内控机 设工作。国家信息化领导小组2003年发布的《国 制尚显脆弱，强审计机制不够落实，风险评估意识不 家信息化领导小组关于加强信息安全保障工作的 够强，高危漏洞潜在，信息安全域界定与等级保护待 意见》(中办发27号文)提出：“立足国情，以我为 探索，灾难恢复尚不到位，缺少对“分发式威胁”的警 主，坚持管理与技术并重；正确处理安全与发展的 惕和治理，信息安全集成管理有待加强，等等。 关系，以安全保发展，在发展中求安全；统筹规划， 随着美国萨班斯法案的发布和内控要求的提 突出重点，强化基础性工作；明确国家、企业、个人 升，对在美上市公司财务风险控制提出了更高要 的责任和义务，充分发挥各方面的积极性，共同构 筑国家信息安全保障体系”，并从“实行信息安全等 求，促使全球各大企业近年来纷纷加大信息安全建 级保护”和“加强信息安全法制建设和标准化建设” 设力度以满足合规性要求。中国政府也非常重视