一、企業(yè)信息安全的需求

目標：構建信息安全體系，支撐企業(yè)發(fā)展戰(zhàn)略隨著國內大部分企業(yè)信息化程度的提升，企業(yè)的信息資產與業(yè)務運營所面臨的安全威脅也在日益加劇。雖然企業(yè)對于安全防護的投入逐年遞增，但在面對愈來愈頻繁和復雜的病毒  破壞與黑客攻擊等安全問題時，仍停留在兵來將擋的被動應付階段。安全需求來自于業(yè)務本身，而非 IT 技術驅動，安全問題貫穿于整個企業(yè)的運作。

企業(yè)信息安全概述

l商業(yè)機密信息安全

企業(yè)的商業(yè)秘密的泄露會使企業(yè)喪失競爭優(yōu)勢，失去市場；企業(yè)必須防止商業(yè)信息泄露或篡改的現象發(fā)生。

l保障業(yè)務持續(xù)運轉

防止企業(yè)經營或商務活動的中斷，保護關鍵商務過程免受重大故障或災難的影響，建立和管理安全強壯的信息系統必不可少。

l新技術帶來的安全隱患

虛擬化和云計算增加基礎架構復雜性，新興技術的應用導致安全違規(guī)和安全攻擊事件的大量增加，數據量每隔 18 個月翻一番，圍繞著信息上下文的存儲、安全和發(fā)現技術變得越來越重要。信息安全問題越來越凸現出來 使得企業(yè)規(guī)避信息安全風險的需求日趨緊迫。

l保護企業(yè)客戶信息和內部員工信息

企業(yè)的內部組織信息，員工信息，以及企業(yè)的客戶信息，商務伙伴的資料與數據等，是企業(yè)賴以生存的基礎，都是需要保護的重要資產。

l完善安全管理策略，降低企業(yè)風險

為了實現有效的安全策略，構建企業(yè)安全平臺，企業(yè)必須建立一個基于風險分析，策略定義，方案實施，管理和審計的循環(huán)往復的流程周期。

二、企業(yè)信息安全的歷程

l通信安全

在早期，通信技術還不發(fā)達，電腦只是零散的位于不同的地點，信息系統的安全僅限于保證電腦的物理安全以及通過密碼（主要是序列密碼）解決通信安全保密問題。如果一臺電腦上的數據需要讓別人讀取，而需要數據的人卻在異地，只有將數據拷貝在介質上，派專人秘密的送到目的地，拷貝進電腦再讀取出數據。這個階段人們強調的信息系統安全性是指信息的保密性，對安全理論和技術的研究也僅限于密碼學。

l信息安全

60年代，對安全的關注已經逐漸擴展為以保密性、完整性和可用性為目標的信息安全階段，主要保證動態(tài)信息在傳輸過程中不被竊取，即使竊取了也不能讀出正確的信息；還要保證數據在傳輸過程中不被篡改，讓讀取信息的人能夠看到正確無誤的信息。

l信息保障

90年代，信息安全的焦點已經從傳統的保密性、完整性和可用性三個原則衍生為諸如可控性、抗抵賴性、真實性等其他的原則和目標。信息安全也轉化為從整體角度考慮其體系建設的信息保障階段。

l面向服務的安全保障

現在，隨著“軟件定義”的出現，網絡架構和應用架構都出現了不同程度的發(fā)展，安全保障不僅是組件間的環(huán)節(jié)控制，對組件本身的安全同樣需要。對單個業(yè)務的安全保障需求演變?yōu)閷Χ鄠€業(yè)務交叉系統的綜合安全需求，IT基礎設施與業(yè)務之間的耦合層度逐漸降低，安全也分解為若干單元，安全不再面對業(yè)務本身，而是面對使用業(yè)務的客戶，具體地說就是用戶在使用IT平臺承載業(yè)務的時候，涉及該業(yè)務安全保障，由此，安全保障也從面向業(yè)務發(fā)展到面向服務。

三、企業(yè)信息安全體系架構解決方案

企業(yè)信息安全框架從上到下由安全治理、風險管理及合規(guī)層，安全運維層和基礎安全服務和架構層三個層次構成。安全治理、風險和合規(guī)作為ESF 架構頂層的核心內容，是第二層安全運維的服務對象，同時，它們也是企業(yè)信息安全策略制定的基礎和依據，此外，這一層也為最下層，基礎安全服務和架構層中的各個子系統提供選擇和建設的依據。

l基礎安全服務和架構層

基礎安全服務和架構定義了企業(yè)信息安全框架中的五個核心的基礎技術架構和相關服務：物理安全、基礎架構安全、身份/訪問安全、數據安全和應用安全?；A安全服務和架構是安全運維和管理的對象，其功能由各自的子系統提供保證。

l安全運維

在安全策略的指導下，安全組織利用安全技術來達成安全保護目標的過程。安全運維與 IT 運維相輔相成、互為依托、共享信息與資源。

l安全治理、風險管理和合規(guī)

安全治理和風險管理及合規(guī)的內容主要包含企業(yè)信息安全建設的戰(zhàn)略和治理框架、風險管理框架以及合規(guī)和策略遵從。安全治理、風險管理合規(guī)是企業(yè)信息安全框架的最頂層，是業(yè)務驅動安全的出發(fā)點。通過對企業(yè)業(yè)務和運營風險的評估，確定其戰(zhàn)略和治理框架、風險管理框架，定義合規(guī)和策略遵從，確立信息安全文檔管理體系。

四、總結

企業(yè)信息安全框架參考了眾多企業(yè)所積累的經驗，充分吸取行業(yè)中的最佳實踐。在具體運用中可結合信息安全相關方法論、模型及標準，將所有的內容與要求基于企業(yè)的業(yè)務需求和的現狀轉化到信息安全設計與規(guī)劃的具體項目中分別予以實現并提供了可參照執(zhí)行的演進思路。從企業(yè)需求出發(fā)，參照企業(yè)信息安全管理框架，通過評估和風險分析等方法，定義企業(yè)安全需求，根據企業(yè)的安全需求定義企業(yè)信息安全建設的內容和方向。

l可審查

對出現的網絡安全問題提供調查的依據和手段。

l可控性

可以控制授權范圍內的信息流向及行為方式。

l完整性

只有得到允許的人才能修改數據，并且能夠判別出數據是否已被篡改。

l機密性

確保信息不暴露給未授權的實體或進程。

l可用性

得到授權的實體在需要時可訪問數據，即攻擊者不能占用所有的資源而阻礙授權者的工作。