企业信息安全服务

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇企业信息安全服务范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

企业信息安全服务范文第1篇

【 关键词 】 信息安全架构；企业战略；信息安全服务； 信息安全价值； 一致性；可追溯性

【 文献标识码 】 A 【 中图分类号 】 TP393.08

1 引言

信息安全技术和管理经过不断的发展和改善，已经能够比较有效地解决一些传统信息安全问题，如信息安全风险管理、访问控制，脆弱性管理、加密解密和灾难恢复等。随着信息越来越成为组织的核心资产，保护信息的安全已不再只是局限于技术和日常管理层面的讨论，信息的安全越来越关系到组织自身发展的安全。一次重大的信息泄露事故就能使企业的市值一落千丈。同时，一套合理的访问控制解决方案能够帮助企业快速推出核心产品（尤其是电子商务）和兼并其他企业。当前信息安全发展呈现出新的趋势和要求：（1）信息安全部门逐渐从成本中心转向价值中心，信息安全的各项活动越来越和企业战略紧密相连；（2）企业内部其他部门越来越多的要求信息安全部门提供清晰、可测量的服务来支持业务的运行。

企业的信息安全部门在不断增强其核心影响力的同时，也承担着随之而来的更多责任和挑战。其一是如何将企业战略转化为信息安全计划，将信息安全融入到组织的业务流程中，并且保持信息安全控制措施与企业战略的一致性和可追溯性；其二是如何使信息安全的价值得到认可并在组织内部最大化；其三是如何满足企业内部各部门有计划或无计划的信息安全服务需求；其四是如何确保以一种系统主动和集中统一的方式来管理业务和遵从性需求，并实现清晰的测量和不断的改进。

当前各企业广泛采用的标准或最佳实践有几种：ISO27001：2005，COBIT4.1，NISTSP800或PCIDSSv2.0等。这些标准各有优点，但也有明显的缺憾，如表1所示（缺憾部分用X表示）。

设计本信息安全架构旨在解决上述问题并建立一种高效机制达到如下目标。

* 将企业战略转化为信息安全计划，确保信息安全的可追溯性、持续一致性和简洁性，以降低成本、减少重复和提高效率。将信息安全融入到组织的业务流程中，建立一致性和可追溯性；建立清晰的信息安全架构和愿景，以减少重复和指导信息安全投入和解决方案的实施。

* 基于客户服务理念，信息安全服务价值得到认可，信息安全靠拢业务部门，为信息安全管理和业务管理建立共同语言。

* 全面管理信息安全，满足目前绝大多数法律法规、标准的最佳实际的要求，并具有灵活的可扩展性，当新需求出现后能够将其平滑的融入到现有架构中。

* 系统和集中统一的方式，使信息安全管理可预测和可测量，并不断的改进。

2 信息安全架构设计

2.1 信息安全架构设计所基于的原则

本信息安全架构的设计遵循四大原则。

1） 业务驱动：所有的信息安全目标应该从业务需求中来，从而保证信息安全管理总是做“正确的事”。

2） 整合、统一的架构：现在有数以十计的信息安全相关的法律法规，标准和最佳实践需要去符合或参考，且其各有不同的要求侧重点和优缺点。因此很有必要将所有相关的信息安全关注点整合到一个统一的架构中，以保证所有要求都被满足，同时避免不要的重复。例如，ISO27001关注全面安全控制和风险管理，PCIDSS侧重支付卡环境中技术控制和策略管理等。

3） 系统化思维：运用系统化思维可以帮助组织解决复杂且动态的问题，适应运营中的各种变化，减轻战略上的不确定性和外部因素的影响。例如，需要整合机构、人员、技术和流程；需要考虑安全、成本和易用性的权衡；需要靠持续改进（Plan-Do-Check-Act）；需要考虑全面防护和纵深防护。

4） 易用性：信息安全架构的最大价值在于被理解和广泛应用于组织的实践当中。因此，信息安全架构必须易于理解并且实际可操作性要强，应避免太过复杂和晦涩。

2.2 信息安全架构实现

2.2.1 信息安全架构-域试图

基于上面的基本原则，本信息安全架构由三个域组成（如图1所示）：治理（Governance）、保障（Assurance）和服务（Services）。

治理（Governance）： 信息安全治理域强调战略一致性，风险管理，资源管理和有效性测量。治理域又包括三个子域：愿景与战略、风险与遵从性管理和测量。各子域主要功能如下所述。

* 愿景与战略： 将遵从性要求，信息安全的发展趋势，行业发展趋势和业务战略转化为信息安全愿景、战略和路线图。

* 风险与遵从性管理： 管理信息安全风险使信息安全风险控制在组织可接受的范围内。

* 测量： 监控和测量整体信息安全的有效性并持续提升信息安全对组织的价值。

保障： 保障域侧重于信息安全的全面与纵深防护措施。保障域包含预防、监测、响应和恢复四个部分。各部分主要功能如下所述。同时保护的对象为不同层面的信息资产：数据层、应用层、IT基础设施层和物理层。

* 预防： 实施信息安全控制措施包括管理措施和技术措施，防止信息安全威胁损害组织的信息安全控态。

* 监测： 部署信息安全监测能力监控正在发生或已经发生的信息安全事态。

* 响应：部署信息安全响应体系迅速、高效的抑制信息安全事件。

* 恢复： 建立组织的可持续性能力，但重要信息系统不可用时，可以在计划的时间内恢复。

服务： 服务域显示了面向客户（内部和外部），协作与知识更新对信息安全实践非常重要。服务域包含三个部分：信息安全服务、知识管理、意识与文化。各部分主要功能如下所述。

* 信息安全服务： 信息安全团队应对待组织内部其他部门和对外部客户一样，基于服务基本协议，提供高质量的信息安全服务。

* 知识管理： 知识是信息安全实践和服务的基石。信息安全知识管理包括获取、维护和利用知识去获取最大的信息安全专业价值。信息安全知识应不仅在信息安全团队内部而且在整个组织被共享。

* 意识与文化： 信息安全意识与文化在组织内部建立一个整体的信息安全氛围。一个好的信息安全意识与文化意味着每个人都每个人都了解信息安全，关心信息安全、在日常工作中关注信息安全。信息安全意识与文化对提升组织整体信息安全成熟度和降低信息安全风险至关重要。

2.2.2 信息安全架构-组件试图

为支撑信息安全架构的三个域，本信息安全架构组件融合了不同标准和最佳实践的精华部分，并自成一体，如图2所示。本架构参考的标准主要有如下一些：ISO27001：2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。

3 信息安全架构在企业内实际应用效果分析

本信息安全架构已被推广和应用到各个行业中，如保险业、银行业、教育和非盈利性机构等。本文选取一个保险企业的案例来说明本信息安全架构给企业带来的积极变化。

背景：此保险公司有3000名员工，计划在加拿大多伦多（Toronto）上市，因此需要符合加拿大和行业的一些法律法规的要求，如Bill198、PIPEDA、PCIDSS等。同时公司高层决定借鉴信息安全管理的最佳实践标准，如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架构的特点就是融合各法规、标准和最佳实践的要求，因此不需要做任何大的改动的情况下（降低成本）就能应用到此保险公司中。

经过9个月的实际运行，公司进行了各项测量指标重新评估并与实施本信息安全架构前的指标进行了对比分析。

3.1 平衡计分卡（Balanced Scorecard）[10]测评分析

平衡计分卡是衡量信息安全对企业贡献价值的一种分析工具。平衡计分卡包括四个测量项目：对企业的贡献，对愿景的规划，内部流程的成熟度和面向客户。该保险公司在实施本信息安全架构前后分别进行了两次测评。测评方法是由公司高级管理人员和各部门经理对信息安全部门进行评估，0级表示无成绩，5级表示完美，然后取平均值。2011年7月评估结果显示“企业贡献”为2.2，“愿景规划”为2.5，“内部流程”为2.8，“面向客户”为2.1；2012年7月评估结果显示“企业贡献”为4.1，“愿景规划”为3.9，“内部流程”为3.8，“面向客户”为4.1。如图3所示。测评结果表明实施本信息安全架构后企业高层及各部门对信息安全给企业带来的价值的认可度有较为明显提升。

3.2 总体信息安全成熟度级别分析

本文采取的信息安全总体成熟度的评价是基于ISO27002的控制域和CMMI[11]的评估级别。0级是最低级，5级是最高级。该保险公司在实施本信息安全架构前后分别进行了两次自评估。2011年10月实施本信息安全架构前成熟度水平是介于2.0-3.0之间， 2012年10月实施本信息安全架构后成熟度水平是介于3.0-4.5之间，如图4所示。成熟度级别分析结果表明实施本信息安全架构后整体成熟度有较为明显提升。

3.3 独立审核发现点数量分析

第三方机构独立审核是从专业、客观的角度来衡量整体信息安全控制措施，包括管理、技术和流程。审核发现点的数量越多，表明脆弱点越多，存在的风险越大。该保险公司在实施本信息安全架构前后分别邀请用一个第三方审核机构对其进行了全面审核与评估（依据上市公司的管控要求）。2011年9月审核结果显示有4个高风险项，8个中风险项和13个第风险项；2012年9月审核结果显示无高风险项，且只有2个中风险项和4个第风险项。如图5所示。审核结果表明实施本信息安全架构后整体风险水平有较为明显降低。

3.4 信息安全事件发生数量分析

信息安全事件（特别是1级与2级事件）发生的数量标志着信息安全控制措施的全面性和有效性。信息安全事件数量越少，表明整体控制措施越有效。该保险公司统计了实施本信息安全架构前后发生的信息安全事件数量。2011年1月-10月期间有4个一级安全事件（重大），12个二级安全事件（严重），25个三级安全事件和40个四级安全事件；2012年1月-10月期间有1个一级安全事件（重大），2个二级安全事件（严重），10个三级安全事件和16个四级安全事件。如图6所示。信息安全事件数量分析结果表明实施本信息安全架构后安全控制措施的全面性和有效性有较为明显增强。

3.5 鱼叉式网络钓鱼模拟攻击测试结果分析

模拟钓鱼攻击测试是对企业员工整体信息安全意识水平一种比较客观的考核方式。收到攻击（点击链接）的人数越少，表明整体信息安全水平越高。该保险公司采用ThreatSim的模拟攻击测试平台，在实施本信息安全架构前后分别选取了5个分支机构（共200人）进行了模拟攻击测试。测试的主要方法是注册一个与该保险公司类似的网络域名，然后伪造一份看似从信息安全管理员发出的E-mail，此E-mail的大致内容是说该保险公司于近期对相关系统进行了升级，将会影响到原有的帐户和密码，要求终端用户尽快修改密码。此E-mail包含一个链接到修改密码的伪网页。

2011年5月测试结果显示有47%的员工点击了有害链接，点击有害链接的员工中有18%的人输入了密码，点击有害链接的员工中有68%的人完成了在线培训内容；2012年5月测试结果显示有14%的员工点击了有害链接，点击有害链接的员工中有3%的人输入了密码，点击有害链接的员工中有98%的人完成了在线培训内容。如图7所示。模拟攻击测试分析结果表明实施本信息安全架构后该保险公司员工整体信息安全意识水平有较为明显进步。

3.6 信息安全服务客户满意度调查结果分析

客户满意度调查是从被服务客户的角度来衡量信息安全团队的服务能力，以及给公司带来的实际价值。满意度百分比值越高，表明信息安全团队的能力和服务价值越被认可。该保险公司在实施本信息安全架构前后分别对精算部、个人保险部、商业保险部、索偿部、渠道与销售部做了信息安全服务满意度调查。

2011年8月调查结果显示对服务专业质量的满意度为72%，对服务请求响应速度的满意度为46%，对服务态度的满意度为67%，整体满意度为60%；2012年8月调查结果显示对服务专业质量的满意度为95%，对服务请求响应速度的满意度为85%，对服务态度的满意度为92%，整体满意度为88%；如图7所示。客户满意度分析结果表明实施本信息安全架构后企业各部门对信息安全服务价值的认可度有较为明显提升。

4 结束语

现阶段信息安全管理着重在信息安全的风险控制，随着信息安全管理角色的转变，信息安全需要跟多的与组织战略结合，为组织创造更多的价值，并通过提供信息安全服务使组织内部各部门享受到信息安全给组织带来的价值并认可这些价值。当前被广泛采用的一些标准和最佳实践有其优点，但同时无法满足一些新的挑战。目前缺乏一种高效可执行的信息安全架构来将企业战略转化为信息安全计划、基于客户服务理念使信息安全服务价值最大化以及全面系统化管理信息安全。本文针对上述问题提出的一种面向企业战略和服务的信息安全架构。通过将本信息安全架构应用到实际的企业中，验证了本信息安全架构能够为企业提供更多的价值、增强客户满意度、提升整体安全成熟度和员工信息安全意识水平。

参考文献

[1] International Organization for Standardization， International Electrotechnical Commission. ISO/IEC 27001：2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland： ISO copyright office， 2005.

[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1，USA： IT Governance Institute， 2007.

[3] National Institute of Standards and Technology， U.S. Department of Commerce. NIST Special Publication 800 series.

[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures， Version 2.0. 2010.

[5] National Security Agency Information Assurance.

[6] Solutions Technical Directors. Information Assurance Technical Framework （IATF） version3.0. 2010.

[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0，USA： IT Governance Institute， 2012.

[8] Sharon Taylor， Majid Iqbal， Michael Nieves， 等. Information Technology Infrastructure Library ， England： Office of Government Commerce， ITIL Press Office， 2007.

[9] Federal Financial Institutions Examination Council. IT Examination Handbook， information security Booklet. USA： FFIEC， 2006

[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1， 2012.

[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute， a Strategy Management Group company， 2008.

[12] Software Engineering Institute， Carnegie Mellon University. Capability Maturity Model Integration （CMMI） Version 1.3. USA： Carnegie Mellon University， 2010.

[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.

作者简介：

企业信息安全服务范文第2篇

该文对供水企业信息集成系统安全进行分析，并探讨了可以针对性改进的安全防护措施。首先对当前供水信息系统安全现状做具体分析，然后研究了在“自主定级，自主保护”的原则下改进和提高供水企业集成信息系统安全具体的执行方案，最终实现供水企业信息集成系统的信息安全防护。

关键词：

供水企业信息集成系统；等级保护；信息安全

供水行业对国计民生很重要的一个行业，供水企业的业务性质要求以信息的整体化为基本立足点，集中管理所有涉及运营的相关数据，针对供水企业运行的特殊要求，进行集中的规划和架构，将不同专业的应用系统进行整合，最终形成完整的供水企业综合信息平台。[1]而集成系统中最重要的一个要求就是信息安全。

随着大数据时代的到来，网格、分布式计算、云计算、物联网等新技术相继推出，对供水企业信息集成与应用也提出了更高的要求。而随着应用的扩展，应用中存在着大量的安全隐患，网络黑客、木马、病毒和人为的破坏等将大量的安全威胁带给信息系统。根据美国Radicati公司于2015年3月的调查报告，截至2014年12月，网络攻击已经为全球计算机网络安全造成高达上万亿美元的损失。而且随着网络应用的规模进一步上升，计算机网络信息安全威胁造成的损失正在呈几何级数增长。根据2015年的中国网络安全分析报告，2014年报告的网络安全攻击事件比2013年增加了100多倍。2014年，搜狗由于网络黑客攻击导致搜索服务在全国各地都出现了长达25分钟无法使用。2014年7月，某域名服务商的域名解析服务器发生了网络黑客的集中式攻击，造成在其公司注册的13%的网站无法访问，时间长达17个小时，经济损失不可估量。因此，从信息安全的角度，要对供水企业信息集成系统进行防护，降低信息安全事故的发生的概率，降低其危害，是本文需要研究的内容。

1当前供水企业信息集成系统安全防护的现状和存在的问题

伴随着科技的不断发展，供水企业的信息化建设也得到了很大的发展，主要是从深度和广度两个层面做进一步拓展。典型的供水企业信息集成系统涵盖了生产调度系统、销售系统、管网信息系统、财务管理系统、人事管理系统、办公自动化系统等子系统。其中多个系统数据需要接受外部访问，存在大量的安全隐患。目前，威胁到供水企业信息安全的风险因素主要分为三个大类：1）人为原因，如恶意的黑客攻击、不怀好意的内部人员造成的信息外泄、操作中出现低级错误等。2）数据存储位置位置的风险。可能由自然灾害引发的问题，缺乏数据备份和恢复能力。3）不断增长的数据交互放大了数据丢失或泄漏的风险。包括未知的安全漏洞、软件版本、安全实践和代码更改等。

2有关分级防护的要求

尤其是供水企业信息集成系统中，存在大量涉及公民个人隐私的信息，也存在像生产调度这样涉及国计民生的信息。因此，需要按照国家有关信息安全的法律法规，明确企业的信息安全责任。提升供水企业信息管理区内的业务系统信息安全防护。依据《信息安全等级保护管理办法》（公通字[2007]43号）第十四条，信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。定级标准按照国家标准《信息系统安全等级保护定级指南》（GB/T22240—2008）实施，根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：1）造成一般损害；2）造成严重损害；3）造成特别严重损害。

3分别防护实施步骤

根据有关法律法规，建设完成并投入使用的信息系统，其有关使用此系统的单位需要对其系统的等级状况做定期的测评。供水企业要遵照要求选择具有资质的测评机构来对管理信息区的业务系统做等级保护的测评工作。其所得到的结果如下表1所示：通常情况下，供水企业信息系统中不会出现第四级和第五级的系统。根据测评结果，有必要对供水企业内部的局域网进行系统化整改。具体的整改内容包括两项主要内容：细化各业务系统服务器的物理位置；按照需求设置信息安全区域。根据供水企业信息集成系统的具体实际，主要有等级包括三个业务区域，以及一个公共业务区和测评业务区。按照上述原则对供水企业信息集成系统服务器做物理划分如图1所示。不同等级的系统服务器针对不同级别的信息安全区进行设置。等级为一、二、三的业务区分别安装着对应的服务器，而公共业务区域的服务器主要是DNS服务器或者是域服务器。公共业务区服务器主要为基础服务提供非业务系统服务，不需要进行保护分级。测评业务区提供是投入正式使用前的测试服务器。

依据表1的测评结果，将安全区域进行细化表2所示的就是企业管理信息区，其主要业务系统对安全区域存放问题的展示。根据表2得到的结果，可以将信息安全设备存放在不同信息区域边界内，以此达到服务器分级防护目的。信息安全设备设置在信息安全区域边界，也就是局域网与信息安全区域之间的连接部。信息安全设备主要是防火墙、查杀病毒、攻击防护、服务防护禁止、授权等。对于不同区域边界的信息安全的部署建议，供水企业要遵照各自的实际情况做周密的设置。供水企业管理信息安全区域边界防护表见表3。将信息安全防护设备部署在所在的区域边界内，如此可以初步实现对供水企业管理信息区的信息安全防护。

4结束语

随着大数据的发展，对供水企业信息集成系统在数据的交互和应用方面会提出更高的要求，也大大加强了安全防护措施的重要性和迫切性。在安全防护措施基本到位的前提下，还需要加强信息审计，及时发现和补救系统缺陷，加强数据库安全防护，维护管理系统的隐患。

参考文献：

[1]孙锋.基于多agent技术的供水企业信息集成系统研究[J].供水技术,2015(10).

企业信息安全服务范文第3篇

[关键词]信息安全管理 评估模型 管理体系

中图分类号：P9.T3308 文献标识码：A 文章编号：1009-914X（2016）21-0400-01

1、 引言

随着信息化建设的发展，信息安全越来越多的受到人们的重视，企业信息安全重点面临的问题主要表现在[1]：1）网络受到外部的恶意攻击，部分单位无终端接入控制措施，使企业的正常业务无法开展或相关重要数据被盗取；2）网站受到黑客攻击，由于部分掌握网络技术的不法人员查询到破解网站所存在的漏洞，加以利用并篡改网站信息及获取网站管理权限，使得网站陷入瘫痪；3）信息的监管不利产生不良的影响，通常情况下信息没有主管部门负责审核导致监管不到位，那么不良信息就可能由于工作人员的疏忽而上传到网站上，造成不良影响；4）计算机病毒的危害，相关系统不及时更新补丁和升级，受到病毒入侵并加以利用，篡改应用系统信息或获取管理权限，使得应用系统丢失重要信息。

当前，有关信息系统的安全评价虽然存在着多种多样的具体实践方式，但在目前还没有形成系统化和形式化的评价理论和方法。评价模型基本是基于灰色理论（Gray Theory）或者模糊（Fuzzy）数学，而评价方法基本上用层次分析法AHP[2]（Analytic Hierarchy Process）或模糊层次分析法Fuzzy AHP[3]将定性因素与定量参数结合，建立了安全评价体系，并运用隶属函数和隶属度确定待评对象的安全状况。上述各种安全评估思想都是从信息系统安全的某一个方面出发，如技术、管理、过程、人员等，着重于评估网络系统安全某一方面的实践规范。在操作上主观随意性较强，其评估过程主要依靠测试者的技术水平和对网络系统的了解程度，缺乏统一的、系统化的安全评估框架，很多评估准则和指标没有与被评价对象的实际运行情况和信息安全保障的效果结合起来。

大型企业信息安全管理体系的研究，就是为了寻找一个科学、合理的管理体系，并根据该体系和方法对大型企业的信息安全状况和水平进行评价，对信息安全管理绩效进行考核。

2、 大型企业信息安全管理体系的内涵

通过管理体系的应用，将对大型企业信息安全产生非常重要的作用。一是可以对企业信息安全的水平做出客观的反应，认识企业信息安全存在的不足之处，发挥考评体系的指导作用，引导企业“信息安全”工作健康科学发展；二是可以为企业信息安全的建设指明方向，为信息安全的发展提供有力支撑；三是可以帮助企业管理者建立起一套科学的信息安全管理系统，有效控制信息化活动的进程，提高信息安全级别，减少因信息安全事件引起的损失，有利于正确引导和规范企业的信息化建设，指导企业科学发展具有重要的意义。

3、 大型企业信息安全管理体系的主要做法

为了大型企业信息安全管理体系的建立，提出了管理体系的目标：对于信息安全方面出现的问题，达到防范目的；对于信息安全工作进行查漏补缺，加强管理；通过评估体系的考核，落实相关信息安全文件、推进信息安全工作，为企业信息安全的建设指明方向，同时注重管理体系整体的时效性，根据信息安全发展的不同阶段进行及时更新。

1） 建立大型企业信息安全体系

信息安全体系总体设计。信息安全体系设计共分为三级，包含9个一级指标，14个二级指标，27个三级指标。一级指标和二级指标为共性指标，三级指标为数据采集项。一级指标包括：网络安全管理、环境安全管理、应用系统安全管理、数据安全管理、终端安全管理、操作安全管理、网络信息安全、移动信息化安全、服务器扫描情况。一级和二级指标结构图如下：

2）信息安全考评指标的权重设计

指标权重理论思路。具体权重根据德尔菲法[4]、层次分析法，结合政策导向确定。

管理体系的指标权重确定方法设计过程中，选取两组技术、管理等方面的专家，其中一组专家根据各指标在企业信息化中的重要程度，确定各指标的相对重要性，采用层次分析法确定各指标的权重。另外一组专家根据各指标在企业信息化中的重要程度，对各指标按百分制进行赋值，确定各指标的权重。综合两组专家的意见，初步确定各指标的权重，再组织专家研讨会，最终确定各指标的权重。

企业信息安全考评指标总分计算方法：

I=Σ（Pi*Wi） （1）

I表示指标体系的总得分；Pi表示第i个指标的得分，各指标得满分都是100分；Wi表示第i个指标的权重，所有指标权重的和为100%。

3）建设大型企业信息化评价管理系统

为了实施信息安全措施体系，以信息安全体系、信息安全文件和考评制度为基础，研发包括信息安全在内的大型企业信息化评价管理系统。通过使用该系统，将减轻信息化管理部门的负担，填报和汇总数据的效率显著提高，最为突出的是以上报数据为基础，可以自动、实时地形成各种统计、分析图表，从而完成以往需要信息化管理人员几天才能完成的大量统计工作，大大减轻了信息化管理部门的工作强度，增加了信息化管理部门对新情况快速反应能力。

系统整体架构由数据库层、框架服务层、应用逻辑层、界面表现层组成，系统部署了tomcat下运行的I@Report和BI@Report作为框架服务层，并在此基础上开发了业务系统。

系统主要实现了如下功能：

编码同步、基层权限管理、评价初始化、基层初评、数据提交、部门权限管理（含单位、指标项）、管理部门复评、信息稽核、数据计算、统计管理、查询管理、决策模型。

建立统一的数据报送平台，提高企业信息整合水平。

建立在线交流及公告平台。

系统根据建立的数学模型进行综合分析，可自动、实时地形成各种统计分析图表、报告等，例如：信息化评级、信息化水平评测报告。

4、 结束语

通过大型企业信息安全管理体系的实施，使企业信息化水平评估体系更加完善，在考评信息化建设水平的同时，又对信息安全水平等级有所提升。

参考文献

[1] 周学广，刘艺.信息安全学[M].北京：机械工业出版社，2003.

[2] 常建娥，蒋太立.层次分析法确定权重的研究[J].武汉理工大学学报，信息与管理工程版，2007，1（29）：153-156.

企业信息安全服务范文第4篇

当今是一个网络时代，也是一个科技化快速高速发展的时代。特别是对于电子科技企业来说，信息就成为了一个企业成败的关键。只有通过有效信息的掌握，才能让企业未来的道路越走越好。随着这样的趋势，企业信息化的进程也在不断的发展，信息不仅是在一定程度上掌握了企业未来的命运，同时对于企业管理水平的提高也起到了非常重要的作用。有一些企业的商务活动基本上都是通过电子商务的形式来完成的，还有一些生产运作、运输以及管理都离不开信息化的建设。还有一些电子科技企业为了企业未来的发展，要进行企业形象的宣传，产品以及服务信息很大程度上都要依赖于信息化的建设。如今，信息化的时代已经到来，信息化的建设对于电子科技企业来说具有至关重要的作用，因此电子科技企业应该加快信息化建设的步伐，这样才能促进电子科技企业进一步的发展。

2电子科技企业安全技术的阐述

2.1电子信息的加密技术

所谓电子信息的加密技术也就是对于所传送的电子信息能够起到一定的保密作用，也能够使信息、数据的传递变得更加安全和完整。电子信息的加密技术是保障电子科技企业信息安全的重要保证。加密技术也主要分为对称以及非对称两类，对称的加密技术一般都是通过序列密码或是分组机密的方式来实现的。这其中还包括了明文、密钥、加密算法以及解密算法五个基本的组成部分。而非对称加密与对称加密也存在一定的差异，非对称加密必须要具备公开密钥和私有密钥两个密钥，同时，这两种密钥只有配对使用，这样才能解密。因此加密技术对于电子信息的安全具有很大的保障。如果在发送电子信息的时候，发送人是使用加密技术来发送邮件的，那么有人窃取信息的时候，也只能够得到密文，不能得到具体的信息。这样就大大加强了信息传送的安全性。加快推进国内关键行业领域信息系统的安全评估测试。在安全评估方面，主要针对主机安全保密检查与信息监管，采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术，评估分析重要信息是否发生泄漏，并找出泄漏的原因和渠道。

2.2防火墙技术

随着网络技术的不断发展，虽然对于信息安全问题已经不断的得到加强，但是一些信息的不安全因素也在逐级的提高。有一些黑客或者是病毒木马也在不断的入侵，而这些不安全的因素会极大的威胁到电子科技企业信息的安全。而针对这种情况，一种比较有效的防护措施就是防火墙技术的使用。这种技术可以有效的防止黑客的入侵以及电脑中的信息被篡改等情况的发生。这样就能够有效的保障电子科技企业信息的安全。加强企业信息基础设施和重要信息系统建设，建设面向企业的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务；建设企业信息安全数据库，为广大企业提供快速、高效的信息安全咨询、预警、应急处理等服务，实现企业信息安全公共资源的共享共用，提高信息安全保障能力。

3解决电子科技企业信息安全问题的方法

3.1构建电子科技企业信息安全的管理体系

如果要想有效的保障电子科技企业的信息安全，除了要不断的提高安全技术水平，还要建立起一套比较完善的信息安全管理体系。这样才能使整个信息安全工作更加有条不紊的进行。在很多电子科技企业当中，最初所建立的相关信息制度在很大程度上都制约着信息系统的安全性。如果一旦安全管理制度出现了问题，那么一系列的安全技术都无法发挥出来。很多信息安全工作也无法正常进行下去。因此，严格的信息安全管理体系对于信息安全的保障具有十分重要的作用。只有当信息安全管理形成了一个完善的体系，那么信息安全工作才能够更加顺利的进行，同时也能够大大的提升信息安全的系数。

3.2利用电子科技企业自身的网络条件来提供信息安全服务

一般来说，电子科技企业都拥有自己的局域网，很多企业也可以通过局域网来相互连通。因此，电子科技企业应该充分的利用这一特点为自身的企业提供良好地信息安全服务。通过局域网的连通，不仅能够在这个平台上及时的公布一些安全公告以及安全法规，同时还可以进行一些安全软件的下载，为员工提供一些关于信息安全的培训。这样不仅能够为企业之间的员工提供一个安全的互相交流的平台，同时还能够很好的保障企业信息安全。针对企业主机安全保密检查与信息监管，采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术，评估分析重要信息是否发生泄漏，并找出泄漏的原因和渠道。

3.3定期对信息安全防护软件进行及时的更新

企业信息安全服务范文第5篇

关键词：分布式；信息安全；规划；方案

中图分类号：TP309.2文献标识码：A 文章编号：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

据来自eWeek 的消息，市场研究机构Gartner 研究报告称，很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长，但由于推动力以外部法律法规的约束和商业业务的压力为主，因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言，因为信息安全需求和部署相对更加复杂，投入更多，因此这类企业的信息安全规划就更加缺乏。

本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。

2 总体规划原则和目标

2.1 总体规划原则

对于分布式企业的信息安全规划，要遵守如下原则：适度集中，控制风险；突出重点，分级保护；统筹安排，分步实施；分级管理，责任到岗；资源优化，注重效益。

这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。

2.2 总体规划目标

信息系统安全规划的方法可以不同、侧重点可以不同，但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上，下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划，对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的，而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。

3 信息安全组织规划

3.1 组织规划目标

组织建设是信息安全建设的基本保证，信息安全组织的目标是：

1）完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构，达到国际国内标准的要求；

2）打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全，对外可以向社会提供高品质的安全服务；

3）建设一个 “信息安全运维中心（SOC）”，能够满足当前和未来的业务发展及信息安全组织运转的支撑系统，能够对外提供安全服务平台。

3.2 组织规划实施

对于组织规划这个方面，是属于一个企业信息安全规划的上层建筑，需要用一种由上而下的方法来实现，其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言，需要主导部门从上层着手，建章立制，强化安全教育，加大基础人力、财力和物力的投入。

4 信息安全管理规划

4.1 管理规划目标

信息安全管理规划的目标是，完善和形成“七套信息安全软措施”，具体包括：一套等级划分指标，一套信息安全策略，一套信息安全制度，一套信息安全流程规范，一套信息安全教育培训体系，一套信息安全风险监管机制，一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。

4.2 信息安全管理设计

基于对管理目标的分析，信息安全管理的原则以风险管理为主，集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。

4.2.1 信息安全等级划分指标

信息安全等级保护是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化健康发展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。

4.2.3 信息安全制度

信息安全制度是指为信息资产的安全而制定的行为约束规则。

4.2.4 信息安全规范

信息安全规范是关于信息安全工作应达到的要求，在信息安全规范方面，根据调查，建立信息安全管理规范、信息安全技术规范。其中，安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则；信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。

4.2.5 信息安全管理流程

信息安全流程是指工作中应遵循的信息安全程序，其目的是减少安全隐患，降低风险。

4.2.6 信息安全绩效考核指标

信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据，其目的是增强信息安全责任意识，提高信息安全工作质量。

4.2.7 信息安全监管机制

信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制，做到“安全第一，预防为主”。

4.2.8 信息安全教育培训体系

其主要目的加强的信息安全人才队伍的建设，提高企业人员的信息安全意识和技能，增强企业信息安全能力。

5 信息安全技术规划

5.1 技术规划目标

信息安全技术规划目标简言之是：给业务运营提供信息安全环境，为企业转型提供契机，构建信息安全服务支撑系统。具体目标如下：

1）打造信息安全基础环境，调整和优化IT基础设施，建立安全专网，设置两个中心（信息安全运维中心、灾备中心）；

2）建立一体化信息安全平台，综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能，实现的集中安全管理控制，快速安全事件响应，高可信的安全防护，拓展企业业务，开辟信息安全服务新领域。

5.2 信息安全运维中心(SOC)

SOC 是信息安全体系建设的基础性工作，SOC 承载用于监控第一生产网的安全专网核心基础设施，提供信息安全中心技术人员的办公场所，提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务，SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外，SOC 的技术性工作还要做以下几个方面：

1）硬件基础建设，主要内容是SOC 的选址、布局、布线、系统集成，实现SOC 自身的防火、防潮、防电、防尘、安全监控功能；

2）软件基础建设，包括SSS 系统、机房监控子系统、功能小组及中心组划分。

图1 信息安全软措施关系

图2 信息安全总体框架

图3 资产、组织、管理和安全措施的关系

5.3 信息安全综合测试环境

随着分布式企业信息化程度的日也加深，需要部署到大量IT 产品和应用系统，为了保障安全，必须对这些IT 系统和产品做入网前安全检查，消除安全隐患。基于此，综合测试环境建设的内容包括：安全测试网络；测试系统设备；安全测试工具；安全测试分析系统；安全测试知识库。

其中，安全测试网络要求能够模拟企业网络真实的带宽；测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟；安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等，并提供使用说明、漏洞扫描、应用安全分析；安全测试分析系统能够提供统计分析、图表展现功能；安全知识库包含以下内容：漏洞知识库，补丁信息库，安全标准知识库，威胁场景视频库，攻击特征知识库，信息安全解决案例库，安全产品知识库，安全概念和术语知识库。

5.4 安全平台建设规划

参照国际上PDRR 模型和国家信息安全方面规范，建议信息安全总体框架设计如图2所示。

主要目的，以资产为核心，通过安全组织实现资产保护，以安全管理来约束组织的行为，以技术手段辅助安全管理。其中，资产、组织、管理、安全措施的关系如图3所示，核心为资产，围绕资产是组织，组织是管理，最外层是安全措施。

在平台中集成十个安全机制，它们分别是：信息安全集中管理；信息安全巡检；信息安全认证授权；信息安全防护；信息安全监控；信息安全测试；信息安全审核；信息安全应急响应；信息安全教育培训；信息安全服务。

6 信息安全服务业务规划

6.1 服务业务规划目标

信息安全服务业务规划目标简言之是：以信息安全服务为切入点，充分发挥企业优势资源，引领信息安全市场，为企业转型创造时机。具体目标如下：

1）推出面向客户安全（检查、教育、配置）产品；2）推出面向大型企业的信息安全咨询产品；3）推出面向家庭安全上网产品；4）推出面向企业安全运维产品；5）推出面向企业灾害恢复产品。

6.2 服务业务规划设计

服务业务规划主要针对具体业务而言，在此列举信息类分布式企业业务作为示例：

1）信息安全咨询类产品，其服务功能主要有：信息安全风险评估；信息安全规划设计；信息安全产品顾问。

2）信息安全教育培训类产品，其服务功能主要有：提供信息安全操作环境；提供信息安全知识教育；提供信息安全运维教育。

3）家庭类安全服务产品，其服务功能主要有：推出“家庭绿色上网”安全服务；家庭上网防病毒服务；家庭上网机器安全检查服务；家庭上网机数据备份服务。

4）企业类安全服务产品，其服务功能主要有：企业安全上网控制服务；企业安全专网服务；安全信息通告；企业运维服务。

5）容灾类安全服务产品，其服务功能主要有：面向政府数据灾备服务；面向政府信息系统灾备服务；面向企业数据灾备服务；面向企业信息系统灾备服务。

7 结束语

通过结合分布式企业的具体实际，按照信息安全体系结构相关标准，提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标，按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后，依据服务规划目标，提出了信息类分布式企业的信息安全服务规划设计实例。

参考文献：

[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报，2006,23,(1):25～28.

[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技术安全评估的系列标准[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列标准[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李玮. 运营商IT系统网络架构的安全域划分[J]. 通信世界,2005,30:41～41,45～45.