李 濤

（云盾智慧安全科技有限公司，北京 100176）

1 企業(yè)信息安全立體防護(hù)體系特點(diǎn)

1.1 便利性

打印審計(jì)系統(tǒng)的運(yùn)行是通過(guò)微軟操作系統(tǒng)打印服務(wù)框架完成相關(guān)運(yùn)作，但因打印機(jī)種類相對(duì)較多，并且加多硬件廠商很難確保向操作系統(tǒng)報(bào)告真實(shí)輸出情況，那么如果打印審計(jì)系統(tǒng)在出現(xiàn)審計(jì)故障時(shí)，很難處于完全輸出狀態(tài)。為此，需要通過(guò)追加備注日志對(duì)問(wèn)題進(jìn)行解決，用戶提出追加備注日志申請(qǐng)，領(lǐng)導(dǎo)層審批后方可添加，可在文檔輸出打印管理中形成閉環(huán)管理，從而避免管理缺陷。

1.2 適用性

打印系統(tǒng)在運(yùn)行之前需要進(jìn)行認(rèn)證，一般使用IC卡認(rèn)證，從系統(tǒng)適用性角度進(jìn)行分析，利用現(xiàn)有資源，并在此基礎(chǔ)上與指紋認(rèn)證系有效結(jié)合。在打印期間，系統(tǒng)需要采集指紋，同時(shí)與指紋庫(kù)中指紋對(duì)比，無(wú)誤后調(diào)取打印任務(wù)。由于指紋具有不變形、隨身性以及惟一性等特點(diǎn)，能夠提高身份認(rèn)證安全性，可確保用戶及時(shí)獲得所需的打印的資料，從而避免了數(shù)據(jù)泄露的問(wèn)題。

1.3 實(shí)用性

在對(duì)信息系統(tǒng)業(yè)務(wù)進(jìn)行審批的過(guò)程中，主要使用紙質(zhì)審批單，此種傳統(tǒng)方式存在較多弊端。通過(guò)使用電子審批流程后，主要是從申請(qǐng)單位與申請(qǐng)者入手，詳細(xì)分析辦理邏輯與申請(qǐng)及需求。再把不同審批單有效連接，簡(jiǎn)化審批環(huán)節(jié)與流程，大大減少了審批數(shù)量，提升信息系統(tǒng)運(yùn)行效率，確保辦理時(shí)間邏輯性。

2 企業(yè)信息安全立體防護(hù)體系構(gòu)建與運(yùn)行的必要性

企業(yè)的發(fā)展直接影響我國(guó)整體經(jīng)濟(jì)的發(fā)展，尤其對(duì)于大型企業(yè)來(lái)說(shuō)，關(guān)系到國(guó)計(jì)民生的重要產(chǎn)業(yè)，因此信息安全對(duì)提高人們生活質(zhì)量尤為重要。目前，工業(yè)企業(yè)已基本實(shí)現(xiàn)了自動(dòng)化、網(wǎng)絡(luò)化發(fā)展，以網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)以及自動(dòng)控制技術(shù)等，逐漸成為經(jīng)營(yíng)管理與生產(chǎn)中的基本要素，確保信息系統(tǒng)安全已成為企業(yè)發(fā)展的重要內(nèi)容。

目前，我國(guó)未掌握核心技術(shù)，核心設(shè)備主要是從其他國(guó)家采購(gòu)，由于國(guó)產(chǎn)水平與國(guó)外相比相對(duì)較低，維護(hù)網(wǎng)絡(luò)安全、實(shí)現(xiàn)信息安全管控還有較長(zhǎng)的路要走，在此過(guò)程中還應(yīng)投入更多資源研發(fā)核心技術(shù)，為我國(guó)信息安全奠定良好的基礎(chǔ)。

3 企業(yè)信息安全立體防護(hù)體系環(huán)境分析

網(wǎng)絡(luò)系統(tǒng)在運(yùn)行的過(guò)程中，需要有良好的運(yùn)行環(huán)境。隨著信息技術(shù)的不斷發(fā)展，信息防護(hù)環(huán)境復(fù)雜程度越來(lái)越高，并且在此基礎(chǔ)上信息安全防護(hù)需求也趨于多樣化，這就需要構(gòu)建信息安全防護(hù)的良好的環(huán)境。企業(yè)信息安全防護(hù)環(huán)境有政策、社會(huì)文化、技術(shù)等，其中社會(huì)文化環(huán)境包括行為習(xí)慣、教育程度以及道德準(zhǔn)則等；政府政策環(huán)境是根據(jù)企業(yè)信息安全防護(hù)提出的相關(guān)政策；行業(yè)技術(shù)實(shí)質(zhì)上是一種管理體制與技術(shù)[1]。

4 企業(yè)信息安全立體防護(hù)體系解釋結(jié)構(gòu)模型

4.1 ISM模型

ISM模型主要是一種結(jié)構(gòu)模型化技術(shù)，適用于經(jīng)濟(jì)系統(tǒng)中，在應(yīng)用的過(guò)程中應(yīng)對(duì)構(gòu)成要素進(jìn)行提取，并且對(duì)邏輯進(jìn)行運(yùn)算，此種運(yùn)算與其他運(yùn)算有所不同，需要使用矩陣工具完成運(yùn)算，將層次結(jié)構(gòu)與互相關(guān)系逐步清晰化，同時(shí)向多級(jí)階梯形式方向轉(zhuǎn)變。

4.2 企業(yè)信息安全立體防護(hù)體系要素分析

信息安立體防護(hù)體系要素主要表現(xiàn)在以下幾個(gè)方面：

（1）網(wǎng)絡(luò)安全：實(shí)現(xiàn)網(wǎng)絡(luò)平臺(tái)與訪問(wèn)模式。

（2）操作系統(tǒng)安全。

（3）數(shù)據(jù)安全：在對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)與傳輸期間，確保不能受到非授權(quán)用戶的竊取與破壞。

（4）應(yīng)用安全：確保應(yīng)用系統(tǒng)、應(yīng)用程序以及應(yīng)用接入的安全，以此需采取有效措施實(shí)施控制。

（5）物理安全：保護(hù)相關(guān)設(shè)備免受損壞，若出現(xiàn)損壞需要能夠及時(shí)修復(fù)或者更換。

（6）用戶安全：用戶在使用數(shù)據(jù)之前，應(yīng)當(dāng)以正確的方式授權(quán)，不能出現(xiàn)越權(quán)或者出現(xiàn)不同業(yè)務(wù)系統(tǒng)授權(quán)矛盾問(wèn)題。

（7）終端安全：終端安全主要包含的內(nèi)容相對(duì)較多，比如補(bǔ)丁升級(jí)、桌面終端管理以及預(yù)防病毒等。

（8）信息安全風(fēng)險(xiǎn)管理是對(duì)安全風(fēng)險(xiǎn)以及代價(jià)全面評(píng)估。

（9）信息安全策略管理主要有評(píng)價(jià)、實(shí)施以及安全措施制定等。

（10）標(biāo)準(zhǔn)規(guī)范體系：標(biāo)注單規(guī)范體系對(duì)提高信息安全防護(hù)體系安全性發(fā)揮著重要作用，有安全技術(shù)、產(chǎn)品以及措施等。

（11）管理制度體系：管理制度體系有上崗制度、培訓(xùn)制度等。

4.3 企業(yè)信息安全立體防護(hù)結(jié)構(gòu)

由上文那個(gè)能夠發(fā)現(xiàn)，在企業(yè)信息安全立體防護(hù)結(jié)構(gòu)中有不同要素，不同要素之間相互作用與聯(lián)系，能夠形成不同層級(jí)結(jié)構(gòu)的模型。企業(yè)信息安全防護(hù)體系主要分為4個(gè)等級(jí)結(jié)構(gòu)。第一層主要闡述了企業(yè)信息安全防護(hù)中相關(guān)制度，不同因素之間在Ism結(jié)構(gòu)中處于獨(dú)立狀態(tài)，可有效提高企業(yè)信息安全防護(hù)效果。第二層是在保障的基礎(chǔ)上對(duì)企業(yè)信息安全管理活動(dòng)實(shí)時(shí)確定，可作為立體防護(hù)的有效措施。第三層主要是從不同方面，比如傳輸過(guò)程、物理?xiàng)l件等，體現(xiàn)企業(yè)信息安全防護(hù)過(guò)程中的可控點(diǎn)，在此過(guò)程中能夠進(jìn)行物理安全控制。第四層是企業(yè)對(duì)信息安全防護(hù)的需求，是信息的表現(xiàn)形式，信息數(shù)據(jù)在安全防護(hù)需求中重要參數(shù)。由此可以看出，企業(yè)為了提高信息安全性，構(gòu)建信息安全防護(hù)體系期間，以上四級(jí)遞階結(jié)構(gòu)，能夠體現(xiàn)出該體系的層級(jí)性、整體性以及交互性。

4.4 企業(yè)信息安全立體防護(hù)過(guò)程

首先，認(rèn)識(shí)到行業(yè)標(biāo)準(zhǔn)規(guī)范體系對(duì)信息安全防護(hù)的重要性，并對(duì)其進(jìn)行綜合分析，從企業(yè)人員組織結(jié)構(gòu)、資金實(shí)力等方面進(jìn)行安全防護(hù)目標(biāo)的構(gòu)建，并在此基礎(chǔ)上把安全防護(hù)內(nèi)容等劃分為不同等級(jí)。其次，監(jiān)督防護(hù)內(nèi)容主要包含分析其他公司近段以來(lái)出現(xiàn)的安全事故，形成預(yù)警，以此對(duì)公司信息系統(tǒng)實(shí)施監(jiān)測(cè)，分析與評(píng)估系統(tǒng)中存在的風(fēng)險(xiǎn)。再次，若系統(tǒng)中存在一定風(fēng)險(xiǎn)，需要對(duì)風(fēng)險(xiǎn)來(lái)源進(jìn)行確定，同時(shí)評(píng)估風(fēng)險(xiǎn)程度，并在此基礎(chǔ)上判斷能否采取有效措施解決。最后，平衡時(shí)效性與成本之間的關(guān)系，分析效用形成內(nèi)部信息防護(hù)手冊(cè)。

5 企業(yè)信息安全立體防護(hù)體系分析與對(duì)策

5.1 企業(yè)層面

5.1.1 強(qiáng)化系統(tǒng)整體性

企業(yè)在發(fā)展的過(guò)程中，企業(yè)信息安全立體防護(hù)體系中的不同要素處于統(tǒng)一系統(tǒng)環(huán)境中運(yùn)作，如果資源受到一定限制，需要采取有效措施提升信息數(shù)據(jù)保存與傳輸?shù)陌踩?。為此，?yīng)當(dāng)遵循整體目標(biāo)原則，確保信息安全防護(hù)的合理性，并且對(duì)原有產(chǎn)品進(jìn)行升級(jí)，同時(shí)在同一規(guī)劃的過(guò)程中實(shí)現(xiàn)效能與投入產(chǎn)出。

5.1.2 明確系統(tǒng)層急性

企業(yè)信息安全防護(hù)工作效率層級(jí)管理質(zhì)量密切相關(guān)，由于企業(yè)信息安全防護(hù)中，策略與技術(shù)在其中尤為重要，并且在此基礎(chǔ)上制度之間相互作用。企業(yè)信息安全防護(hù)涉及到制度層面防護(hù)、策略層面防護(hù)以及技術(shù)層面防護(hù)，其中技術(shù)是基礎(chǔ)、策略是支撐、技術(shù)是必要的手段。為此，為了提高企業(yè)信息安全性，需要處理不同體系的縱向關(guān)系，在應(yīng)用技術(shù)的過(guò)程中提高管理質(zhì)量，并且對(duì)不同管理內(nèi)容進(jìn)行協(xié)調(diào)。

5.1.3 降低系統(tǒng)交互性

若信息安全防護(hù)體系處于同級(jí)水平，能夠增強(qiáng)要素之間關(guān)聯(lián)性，在此環(huán)境中會(huì)增加系統(tǒng)運(yùn)行過(guò)程中的復(fù)雜性。為此，企業(yè)需要及時(shí)制定技術(shù)規(guī)范以及規(guī)章制度，對(duì)不同工作環(huán)節(jié)中的邊界實(shí)施界定，對(duì)風(fēng)險(xiǎn)源準(zhǔn)確定位，以此保證信息安全策略有效落實(shí)，從而能夠避免風(fēng)險(xiǎn)交叉，擴(kuò)大防范范圍。

5.1.4 關(guān)注系統(tǒng)動(dòng)態(tài)性

由于信息安全防護(hù)具有較高的動(dòng)態(tài)性，是一個(gè)循環(huán)過(guò)程。隨著信息技術(shù)的不斷發(fā)展而發(fā)展，企業(yè)在信息安全的情況下，從時(shí)間維度角度全面認(rèn)識(shí)信息安全狀態(tài)，并且在此基礎(chǔ)上對(duì)企業(yè)信息安全防護(hù)所處的階段準(zhǔn)確定位，限定處理信息安全風(fēng)險(xiǎn)的時(shí)間界限，對(duì)不同時(shí)間段中的延續(xù)性引起重視，并且采取有效措施識(shí)別風(fēng)險(xiǎn)，同時(shí)評(píng)估風(fēng)險(xiǎn)程度，以此采取防范措施對(duì)企業(yè)信息安全過(guò)程動(dòng)態(tài)實(shí)施全面管理。

5.2 政府層面

政府需要通過(guò)宣傳的方式讓企業(yè)認(rèn)識(shí)到信息安全的重要性，提升全民信息安全素質(zhì)，從道德角度避免信息安全事故。還需要讓企業(yè)認(rèn)識(shí)到信息安全、思想教育對(duì)企業(yè)發(fā)展的重要性，主要包括技能教育、法制教育以及職能教育等，從不同角度提升社會(huì)信息安全防護(hù)意識(shí)。其次，重視信息安全以及延伸問(wèn)題。政府需要完善與信息安全有關(guān)的法律法規(guī)以及行業(yè)標(biāo)準(zhǔn)，并且構(gòu)建監(jiān)督機(jī)制以及多元化監(jiān)管模式，確保不同法律法規(guī)以及標(biāo)準(zhǔn)的公平、公正，為企業(yè)信息安全創(chuàng)造良好環(huán)境。最后，加大信息安全產(chǎn)業(yè)投入，政府應(yīng)當(dāng)采取有效措施培養(yǎng)社會(huì)技術(shù)人才，提高核心技術(shù)自主研發(fā)能力，為信息安全服務(wù)行業(yè)的發(fā)展奠定良好的基礎(chǔ)。

6 結(jié)束語(yǔ)

綜上所述，企業(yè)在發(fā)展的過(guò)程中，構(gòu)建立體防護(hù)體系，不但能夠保證企業(yè)信息安全，而且還可使各個(gè)環(huán)節(jié)安全生產(chǎn)，避免產(chǎn)生重大損失。在進(jìn)行立體防護(hù)體系構(gòu)建時(shí)，應(yīng)當(dāng)以信息安全防護(hù)為出發(fā)點(diǎn)，構(gòu)建安全防護(hù)模型，對(duì)落實(shí)信息安全工作有效指導(dǎo)，可大大降低體系的投入，這對(duì)企業(yè)信息安全起到較大促進(jìn)作用。