新葵花宝典 如何构造企业信息安全体系

　　紧随信息化发展而来的网络安全问题日渐突出，网络安全问题已成为信息时代人类共同面临的挑战，企业信息化安全工作已经成为公司日常工作正常运转的一个重要支柱。

　　下面是笔者结合实际的网管工作经验，整理出一部关于企业网络安全体系设计的《葵花宝典》，请各位读者和企业用户鉴正。

　　葵花准则——在设计信息安全体系时所应遵循的原则

　　(1) 体系的安全性：设计安全体系的最终目的是为安全工程提供一个可靠的依据和指导，保护信息与网络系统的安全，所以安全性成为首要目标。

　　(2) 体系的可行性：设计体系不能纯粹地从理论角度考虑，再完美的方案，如果不考虑实际因素，那么也只能是一些废纸。设计安全体系的目的是指导安全工程的实施，它的价值也体现在所设计的工程上，如果工程的难度太大以至于无法实施，那么体系本身也就没有了实际价值。

　　(3) 系统的高效性：信息与网络系统对安全提出要求的目的是能保证系统的正常运行，如果安全影响了系统的运行，那么就需要进行权衡了。信息网络系统的安全体系包含一些软件和硬件，它们也会占用信息网络系统的一些资源。

　　(4) 体系的可承担性：安全体系从设计到工程实施以及安全系统的后期维护、安全培训等各个方面的工作都是由对象单位来支持的，单位要为此付出一定的代价和开销。所以，在设计安全体系时，必须考虑单位的实际承受能力。

　　葵花要领——信息安全体系所应包含的几个基本部分

　　(1) 风险管理：研究信息系统存在的漏洞缺陷、面临的风险与威胁，这可以通过安全风险评估技术来实现;对于可能发现的漏洞、风险，规定相应的补救方法，或者取消一些相应的服务。

　　(2) 行为管理：对网络行为、各种操作进行实时的监控；对各种行为进行分类管理，规定行为的范围和期限。

　　(3) 安全边界：信息系统与外部环境的连接处是防御外来攻击的关口，根据企业具体的业务范围，必须规定系统边界上的连接情况，防止非法用户的入侵以及系统敏感信息的外泄，如可以利用防火墙对进出的连接情况进行过滤和控制。

　　(4) 身份认证与授权：信息系统是为广大用户提供服务的，为了区分各个用户以及不同级别的用户组，需要对他们的身份和操作的合法性进行检查。体系应该规定实现身份认证与权限检查的方式、方法以及对这些用户的管理要求。

　　(5) 链路安全和冗余：链路层是网络协议的下层协议，针对它的攻击一般是破坏链路通信，窃取传输的数据。为了防御这些破坏、攻击，需要规定可以采取的安全措施，并进行相应的链路备份。

　　(6) 操作系统安全：操作系统是信息系统运行的基础平台，它的安全也是信息安全的基础,因此必须根据不同的终端用户设置不同的操作级别。

　　(7) 病毒防治：为了避免因为病毒而造成的损失，必须制定严格的病毒防护制度，减少、关闭病毒的来源，周期性对系统中的程序进行检查，给操作系统做定时的安全补丁升级，利用病毒防火墙对系统中的进程进行实时监控。