信息系统安全建设论文.docVIP

信息系统安全建设论文 1大型企业信息系统概述 1.1系统结构。 大型企业的网络系统构成是一个复杂、综合的内容，它包含了内部局域网、各地子公司的局域网以及广域网连接等复杂内容。在工作中，总部的局域网一般都是和电信公司的因特网相连接，同时还和下辖子公司、其单位连接，是通过信息技术、网络技术连接形成的一个综合信息平台。 1.2系统功能。 在功能上分析，大型国有企业的信息系统涵盖业务范围广、内容复杂、布局合理，主要业务系统包含了ERP系统、OA系统以及财务系统等，这些系统涉及到局域网、广域网以及企业自身发展的特征，因此在连接的时候往往都是根据企业业务开展需要和内部经营管理需要联系的。 1.3系统用户。 大型企业的信息系统是一个复杂、繁琐、综合的内容，其用户类型十分的广泛和复杂，简单的将其进行划分主要可以划分为系统管理用户和系统应用用户两种。首先，系统管理用户主要包含了管理员、指挥部、网络管理员、安全管理员以及应用程序管理员等。其次，系统应用用户包含了内部应用用户和外部应用用户两方面。其中内部的应用用户主要指的是企业员工、办公用户、生产系统用户和分公司办事处的员工等。外部应用用户主要指的是用户方位的企业网站。 2信息系统的安全环境 2.1系统安全现状。 目前，我国大型企业信息系统对于安全防范认识还较为欠缺，各种防范措施的应用较少，主要安全防范措施的应用主要是防火墙、防病毒以及数据备份等手段，这些技术的应用基本上都偏重于安全设备的提前预防，而对于那些专业、专门的管理制度和管理策略并没有得到重视，同时对国家有关信息安全的法律和法规没有从根本上重视，错误认为这是一些不必要、不科学的内容。虽然目前大部分企业的信息系统在技术和管理上已经采取了初步的安全管理措施，但是从综合管理方面分析其中还存在着较多的不足，更没有专业的岗位和安全管理，缺乏严格、一致的管理控制机制。 2.2系统安全威胁。 威胁是造成系统安全的主要潜在原因，它的存在极大的限制了企业信息系统功能的发挥，甚至是导致企业信息和经济损失。在目前工作中，系统安全威胁的断定往往都是根据企业业务信息系统的存在进行分析的，它可谓是一个不可消灭的问题和事物，无论企业系统多么的先进和完善，这种潜在威胁都是存在的。 3信息系统安全规划分析 3.1总体规划概述。 在计算机网络信息安全服务的设计与实施过程中，安全服务提供商的整体安全意识及安全体系模型极为重要，只有具有清晰的模型构建，才能够从根本上有效地对客户所需要的安全服务进行分类和设计。在ISO7498-2中描述了开放系统互联安全的体系结构，提出设计安全的信息系统的基础架构中应该包含：a.五类安全服务（安全功能）；b.能够对这五类安全服务提供支持的八类安全机制；c.需要进行的三种OSI安全管理方式。在上述国际标准的指导下，绿盟科技提出了一套适合于大型企业信息系统的信息安全体系框架(NSFocusInformationSecurityFramework，简称NISF)，以指导信息系统的安全建设。NISF将整个安全体系规划为三个部分，分别是组织体系、管理体系和技术体系，全面地涵盖了大型企业企业信息系统规划和建设的安全要求。NISF的最上层为大型企业信息系统的安全目标，任何阶段的安全设计和实施都是为了完成这些目标而进行的，其下是支持实现这个目标的三部分安全体系：a.安全组织体系主要包括机构建设和人员管理两方面内容，对企业内部的安全机构建设和人员岗位、安全培训等方面提出了要求。b.安全管理体系主要包括制度管理、资产管理、物理管理、技术管理和风险管理等方面内容。它与安全组织体系共同依据了国际信息安全管理标准ISO17799的要求，涵盖了该标准中的每一类规范。 3.2整体安全体系建设工期划分。 为了尽快地实现上述大型企业信息系统整体安全体系的建设，更好地实现企业的高层安全目标，有效地降低大型各层面的安全风险，绿盟科技建议大型企业信息系统的整体安全体系建设划分为三期工程，以最终建立大型企业安全计划（搭建ESP安全管理平台）成功为结束标志。 3.3一期安全规划内容。 本阶段主要是在大型企业建立初步的信息安全组织体系和管理体系，通过实施部分关键的安全技术产品建立企业基本的安全预警、防护、监控和响应体系，目标是满足信息系统的最高安全需求，安全等级达到初级。 3.4二期安全规划内容。 本阶段将全企业范围内的组织管理体系进一步建立健全，使安全管理流程合理化，安全技术产品进一步分布实施，采用专业的安全服务对系统进一步加强，使得企业整体安全性得到大幅度提升，通过配套的安全事故