当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 建立企业的信息安全体系的流程

安全基础
揭开DDoS攻防的神秘面纱
用端口截听实现隐藏嗅探与攻击
教你穿透ADSL路由入侵内网
防范非法用户侵入系统七绝招
警惕黑客4种手段攻击无线局域网
Foxmail账户入侵原理及防范方法
怀疑PC安装木马?学学网络安全小命令
解除安全隐患—让“命令提示符”不再危险
菜鸟必读之邮箱及IE安全技巧全精通
冲浪安全更安全 禁用Cookie功能的几种方法
网上保障隐私十大秘技
顺藤摸瓜 利用IIS日志追查网站入侵者
如何有效防范自己的IP地址泄漏
用Windows自带工具打造“免检”木马
隐藏IP就这么简单
新人快速上手指南 电脑木马查杀大全
触目惊心!小心index.dat泄露你上网痕迹
当心软件泄密 彻底清理应用软件的运行痕迹
网管宝典 终端入侵防护系统七大纪律
巧妙解救被“绑架”的浏览器

安全基础 中的 建立企业的信息安全体系的流程


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 125 ::
收藏到网摘: n/a

  一个企业如果需要建立信息安全体系架构,一般的流程如下:

  1、分析企业的信息安全目标,即企业在未来的3-5年的安全目标是什么?在信息安全方面达到什么样的程度?

  2、有了安全目标之后,下一步我们要做的就是分析企业目前的安全现状,此阶段一般通过风险评估等方式来实现,可选的方式有风险评估、安全审计、渗透测试等。

  3、分析了安全现状,我们接下来要做的就是分析安全目标和安全现状之间的差距,目标有了,现状也清楚了,差距自然而然也就出来了。差距分析阶段主要是分析企业目前的安全现状和目标之间还存在哪些薄弱点,并一一列举出来,差距分析主要从组织安全、人员安全、访问控制、物理安全、安全事件、业务连续性等方面来展开。

  4、在我们得到差距之后,我们就要为企业设计安全体系架构了,一套完整的信息安全体系架构,应包括技术体系架构和管理体系架构,技术体系架构主要是指从网络、系统层面来设计,譬如分析企业目前的网络架构是否合理?产品的部署是否到位?而管理体系架构主要是指信息安全的制度建设,俗话说“无规矩不成方圆”,安全问题归根结底就是管理的问题,很多安全事件的发生都是因为管理不到位而产生的。譬如弱口令,如果企业的安全制度里有明确的要求,密码为6位,并应包括数字、字母、特殊字符等,这样完全是可以避免弱口令的现象,再譬如补丁更新不及时、ACL 做的不够等等诸如此类的问题,很大程度都是因为管理不到位。在我们的评估项目中,我们发现很多时候并不是技术上不可达,而是管理意识不到位。这里出现的比较多的是企业的高层领导的安全意识薄弱,对安全这一块基本没什么概念,对于管理员或安全部门提出的安全建议认为没有必要等等。很多安全的措施在很多企业都会出现实施难的问题,因为安全措施在很大程度上会给员工造成不便,员工都会出现抵触的情绪,在这种情况下,就需要公司的高层通过管理制度来推行安全措施,所以又归结到管理的问题上来。

  对于企业来说,如上的这些现象一般出现在中小型企业,这些企业的资金比较缺乏,在公司没有出现大的安全事件的时候,公司高层一般是不考虑在安全方面加大投资的,而在大型企业,随着规模的不断壮大,网络已经成为这些企业不可缺少的部分,如果一旦出现安全事件,将会给企业造成严重的损失,如客户资料丢失、财务数据泄密、企业形象受损等等,而大型企业的资金也比较雄厚,在安全方面的投资也就相对较多了。

  另外我们在设计信息安全体系架构时,应充分结合企业目前的安全现状和相关法律法规的要求,并应考虑企业的运营成本等问题,最后需要考虑就是信息安全体系架构设计的可执行性了,不能出现一套体系出来之后,发现根本没有联系企业目前的安全现状,方案的可执行性太差等问题。

  5、在我们建立了信息安全体系架构之后,最后的阶段就是实施了。在实施中,还是需要企业高层的大力支持,才能顺利进行,因为信息安全体系架构的实施和运行,比如会跨越不同的部门,在部门与部门的协调上,就需要上层领导的协调了。

  6、最后阶段就是 Check,信息安全体系架构应遵循 PDCA 的模型。我们应及时跟踪分析信息安全体系的建设情况,查漏补缺,及时发现不足和存在的问题,在后期的运行维护中及时修正。