企业网络安全建设规划精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的企业网络安全建设规划主题范文，仅供参考，欢迎阅读并收藏。

第1篇：企业网络安全建设规划范文

关键词：分布式；信息安全；规划；方案

中图分类号：TP309.2文献标识码：A 文章编号：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

据来自eWeek 的消息，市场研究机构Gartner 研究报告称，很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长，但由于推动力以外部法律法规的约束和商业业务的压力为主，因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言，因为信息安全需求和部署相对更加复杂，投入更多，因此这类企业的信息安全规划就更加缺乏。

本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。

2 总体规划原则和目标

2.1 总体规划原则

对于分布式企业的信息安全规划，要遵守如下原则：适度集中，控制风险；突出重点，分级保护；统筹安排，分步实施；分级管理，责任到岗；资源优化，注重效益。

这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。

2.2 总体规划目标

信息系统安全规划的方法可以不同、侧重点可以不同，但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上，下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划，对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的，而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。

3 信息安全组织规划

3.1 组织规划目标

组织建设是信息安全建设的基本保证，信息安全组织的目标是：

1）完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构，达到国际国内标准的要求；

2）打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全，对外可以向社会提供高品质的安全服务；

3）建设一个 “信息安全运维中心（SOC）”，能够满足当前和未来的业务发展及信息安全组织运转的支撑系统，能够对外提供安全服务平台。

3.2 组织规划实施

对于组织规划这个方面，是属于一个企业信息安全规划的上层建筑，需要用一种由上而下的方法来实现，其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言，需要主导部门从上层着手，建章立制，强化安全教育，加大基础人力、财力和物力的投入。

4 信息安全管理规划

4.1 管理规划目标

信息安全管理规划的目标是，完善和形成“七套信息安全软措施”，具体包括：一套等级划分指标，一套信息安全策略，一套信息安全制度，一套信息安全流程规范，一套信息安全教育培训体系，一套信息安全风险监管机制，一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。

4.2 信息安全管理设计

基于对管理目标的分析，信息安全管理的原则以风险管理为主，集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。

4.2.1 信息安全等级划分指标

信息安全等级保护是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化健康发展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。

4.2.3 信息安全制度

信息安全制度是指为信息资产的安全而制定的行为约束规则。

4.2.4 信息安全规范

信息安全规范是关于信息安全工作应达到的要求，在信息安全规范方面，根据调查，建立信息安全管理规范、信息安全技术规范。其中，安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则；信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。

4.2.5 信息安全管理流程

信息安全流程是指工作中应遵循的信息安全程序，其目的是减少安全隐患，降低风险。

4.2.6 信息安全绩效考核指标

信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据，其目的是增强信息安全责任意识，提高信息安全工作质量。

4.2.7 信息安全监管机制

信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制，做到“安全第一，预防为主”。

4.2.8 信息安全教育培训体系

其主要目的加强的信息安全人才队伍的建设，提高企业人员的信息安全意识和技能，增强企业信息安全能力。

5 信息安全技术规划

5.1 技术规划目标

信息安全技术规划目标简言之是：给业务运营提供信息安全环境，为企业转型提供契机，构建信息安全服务支撑系统。具体目标如下：

1）打造信息安全基础环境，调整和优化IT基础设施，建立安全专网，设置两个中心（信息安全运维中心、灾备中心）；

2）建立一体化信息安全平台，综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能，实现的集中安全管理控制，快速安全事件响应，高可信的安全防护，拓展企业业务，开辟信息安全服务新领域。

5.2 信息安全运维中心(SOC)

SOC 是信息安全体系建设的基础性工作，SOC 承载用于监控第一生产网的安全专网核心基础设施，提供信息安全中心技术人员的办公场所，提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务，SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外，SOC 的技术性工作还要做以下几个方面：

1）硬件基础建设，主要内容是SOC 的选址、布局、布线、系统集成，实现SOC 自身的防火、防潮、防电、防尘、安全监控功能；

2）软件基础建设，包括SSS 系统、机房监控子系统、功能小组及中心组划分。

图1 信息安全软措施关系

图2 信息安全总体框架

图3 资产、组织、管理和安全措施的关系

5.3 信息安全综合测试环境

随着分布式企业信息化程度的日也加深，需要部署到大量IT 产品和应用系统，为了保障安全，必须对这些IT 系统和产品做入网前安全检查，消除安全隐患。基于此，综合测试环境建设的内容包括：安全测试网络；测试系统设备；安全测试工具；安全测试分析系统；安全测试知识库。

其中，安全测试网络要求能够模拟企业网络真实的带宽；测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟；安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等，并提供使用说明、漏洞扫描、应用安全分析；安全测试分析系统能够提供统计分析、图表展现功能；安全知识库包含以下内容：漏洞知识库，补丁信息库，安全标准知识库，威胁场景视频库，攻击特征知识库，信息安全解决案例库，安全产品知识库，安全概念和术语知识库。

5.4 安全平台建设规划

参照国际上PDRR 模型和国家信息安全方面规范，建议信息安全总体框架设计如图2所示。

主要目的，以资产为核心，通过安全组织实现资产保护，以安全管理来约束组织的行为，以技术手段辅助安全管理。其中，资产、组织、管理、安全措施的关系如图3所示，核心为资产，围绕资产是组织，组织是管理，最外层是安全措施。

在平台中集成十个安全机制，它们分别是：信息安全集中管理；信息安全巡检；信息安全认证授权；信息安全防护；信息安全监控；信息安全测试；信息安全审核；信息安全应急响应；信息安全教育培训；信息安全服务。

6 信息安全服务业务规划

6.1 服务业务规划目标

信息安全服务业务规划目标简言之是：以信息安全服务为切入点，充分发挥企业优势资源，引领信息安全市场，为企业转型创造时机。具体目标如下：

1）推出面向客户安全（检查、教育、配置）产品；2）推出面向大型企业的信息安全咨询产品；3）推出面向家庭安全上网产品；4）推出面向企业安全运维产品；5）推出面向企业灾害恢复产品。

6.2 服务业务规划设计

服务业务规划主要针对具体业务而言，在此列举信息类分布式企业业务作为示例：

1）信息安全咨询类产品，其服务功能主要有：信息安全风险评估；信息安全规划设计；信息安全产品顾问。

2）信息安全教育培训类产品，其服务功能主要有：提供信息安全操作环境；提供信息安全知识教育；提供信息安全运维教育。

3）家庭类安全服务产品，其服务功能主要有：推出“家庭绿色上网”安全服务；家庭上网防病毒服务；家庭上网机器安全检查服务；家庭上网机数据备份服务。

4）企业类安全服务产品，其服务功能主要有：企业安全上网控制服务；企业安全专网服务；安全信息通告；企业运维服务。

5）容灾类安全服务产品，其服务功能主要有：面向政府数据灾备服务；面向政府信息系统灾备服务；面向企业数据灾备服务；面向企业信息系统灾备服务。

7 结束语

通过结合分布式企业的具体实际，按照信息安全体系结构相关标准，提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标，按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后，依据服务规划目标，提出了信息类分布式企业的信息安全服务规划设计实例。

参考文献：

[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报，2006,23,(1):25～28.

[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技术安全评估的系列标准[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列标准[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李玮. 运营商IT系统网络架构的安全域划分[J]. 通信世界,2005,30:41～41,45～45.