前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業(yè)信息安全要求范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

企業(yè)信息安全要求范文第1篇

在進(jìn)行信息安全總體架構(gòu)規(guī)劃時(shí)，企業(yè)容易陷入兩個(gè)誤區(qū): 一是羅列一堆產(chǎn)品和技術(shù)，把能夠看到的安全產(chǎn)品和安全技術(shù)（防火墻、防病毒、入侵監(jiān)測(cè)、加密技術(shù)、VPN、終端準(zhǔn)入控制）都堆砌起來，以為這樣就構(gòu)成了全面的安全屏障; 二是把企業(yè)信息安全等同于網(wǎng)絡(luò)安全，給出的規(guī)劃也只能是局部的、殘缺不全的。

要做企業(yè)信息安全總體架構(gòu)規(guī)劃，首先要了解企業(yè)的信息安全需求。拋開需求做規(guī)劃，難免會(huì)掉進(jìn)前面所講的兩種誤區(qū)中。因此，做規(guī)劃要從需求入手。

企業(yè)信息安全總體架構(gòu)規(guī)劃模型（圖1）以企業(yè)信息安全的需求（保密性、完整性、可用性）為出發(fā)點(diǎn)，以應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全、網(wǎng)絡(luò)安全、桌面安全、物理安全為關(guān)注重點(diǎn)，層層剖析、全面挖掘企業(yè)的信息安全需求，是一種將管理、技術(shù)和人員三者有機(jī)結(jié)合的企業(yè)信息安全保障體系。該模型均衡考慮了企業(yè)在保密性（C）、完整性（I）和可用性（A）三方面的安全需求。

企業(yè)信息安全總體架構(gòu)規(guī)劃模型雖然清晰地指出了規(guī)劃的要點(diǎn)、重點(diǎn)和思路，但是按照此模型還是不知道如何去做，具體實(shí)施應(yīng)參照一定的方法論進(jìn)行。企業(yè)信息安全總體架構(gòu)規(guī)劃方法論（圖2）融合了以管理和技術(shù)為核心的全面分析方法，以安全需求為焦點(diǎn)，從管理現(xiàn)狀、技術(shù)現(xiàn)狀和人員狀況三個(gè)維度，綜合采用調(diào)查問卷、人員訪談、現(xiàn)場(chǎng)察看、資料分析、技術(shù)檢測(cè)等多種手段，全面深入地挖掘需求。在明確需求的前提下，借鑒同類企業(yè)成功經(jīng)驗(yàn)并均衡考慮CIA（保密性、完整性、可用性），規(guī)劃符合企業(yè)實(shí)情的信息安全保障體系。

在企業(yè)信息安全總體架構(gòu)規(guī)劃方法論中，重點(diǎn)工作的描述如下:

調(diào)查問卷

針對(duì)企業(yè)情況，信息主管應(yīng)參照ISO27001/ISO13335等標(biāo)準(zhǔn)，制定相應(yīng)的調(diào)查問卷，通過它全面了解企業(yè)的安全要求、安全狀況、IT環(huán)境，以及企業(yè)信息系統(tǒng)的應(yīng)用情況和已經(jīng)采取的安全控制手段。

人員訪談

應(yīng)選定關(guān)鍵領(lǐng)導(dǎo)和關(guān)鍵崗位，進(jìn)行人員訪談，全面了解信息系統(tǒng)的安全需求，層層剖析、深入了解企業(yè)信息系統(tǒng)各層面的安全現(xiàn)狀，包括應(yīng)用狀況、數(shù)據(jù)存儲(chǔ)及數(shù)據(jù)庫(kù)、主機(jī)及操作系統(tǒng)、網(wǎng)絡(luò)拓?fù)浼熬W(wǎng)絡(luò)管理、數(shù)據(jù)中心及桌面管理等。

現(xiàn)場(chǎng)查看

為了確保獲取信息的全面性和準(zhǔn)確性，實(shí)地考察是非常必要的?，F(xiàn)場(chǎng)查看主要有兩方面。一方面是了解現(xiàn)有技術(shù)措施的情況，例如設(shè)備使用狀況、技術(shù)應(yīng)用狀況等; 另一方面是物理環(huán)境察看，例如機(jī)房、辦公室、其他重要區(qū)域、門禁、監(jiān)控等。

資料分析

收集企業(yè)的相關(guān)資料進(jìn)行分析，重點(diǎn)包括信息系統(tǒng)的部署架構(gòu)、網(wǎng)絡(luò)架構(gòu)、安全制度、運(yùn)維管理、IT運(yùn)行報(bào)告和IT審計(jì)報(bào)告。

技術(shù)檢測(cè)

采取技術(shù)手段進(jìn)行漏洞檢測(cè)和分析，包括滲透測(cè)試、漏洞掃描、本地檢查和手工檢查等。充分發(fā)掘網(wǎng)絡(luò)方面的漏洞、主機(jī)及操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)方面的漏洞、應(yīng)用方面的漏洞等。

CIA均衡考慮

通過前面5種方法完成需求分析之后，CIO對(duì)信息安全的具體詳細(xì)的需求就了解了。然后針對(duì)企業(yè)的信息安全需求，均衡考慮CIA三個(gè)方面設(shè)計(jì)技術(shù)、管理和人員控制措施，并將這些措施有機(jī)結(jié)合構(gòu)建信息安全保障體系。

企業(yè)信息安全要求范文第2篇

關(guān)鍵詞：企業(yè)信息化；信息安全管理體系；信息安全保障

1 企業(yè)信息安全需求與目標(biāo)

近年來隨著企業(yè)信息系統(tǒng)建設(shè)的不斷發(fā)展，企業(yè)的信息化安全也面臨著前所未有的挑戰(zhàn)。作為中國(guó)高速列車產(chǎn)業(yè)化制造基地和城軌地鐵車輛定點(diǎn)制造企業(yè)，公司的發(fā)展對(duì)高速動(dòng)車行業(yè)產(chǎn)生著舉足輕重的作用；從企業(yè)信息安全現(xiàn)狀分析，公司IT部門主管深深意識(shí)到，盡管從自身情況來看，在信息安全方面已經(jīng)做了很多工作，如部署了防火墻、SSL VPN、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、文檔加密、終端安全管理系統(tǒng)等。但是安全系統(tǒng)更多的在于防堵來自某個(gè)方面的安全威脅，無法產(chǎn)生協(xié)同效應(yīng)，距離國(guó)際同行業(yè)企業(yè)還存在一定的差距。

公司通過可行性研究及論證，決定借助外力，通過知名的咨詢公司協(xié)助企業(yè)發(fā)現(xiàn)存在的信息安全不足點(diǎn)，以科研項(xiàng)目方式，通過研究國(guó)家安全標(biāo)準(zhǔn)體系及國(guó)家對(duì)央企和上市企業(yè)的信息化安全要求，分析企業(yè)目前的現(xiàn)狀和國(guó)際標(biāo)準(zhǔn)ISO27001之間的差距，繼而完善企業(yè)信息安全體系的規(guī)劃與設(shè)計(jì)，最終建立一套適合企業(yè)現(xiàn)狀的信息安全標(biāo)準(zhǔn)和管理體系。目標(biāo)是使公司信息安全從管理到技術(shù)均得到全面加強(qiáng)，建立一個(gè)有責(zé)（職責(zé)）、有序（秩序）、有效（效率）的信息安全管理體系，預(yù)防信息安全事件的發(fā)生，確保更小的業(yè)務(wù)損失，提供客戶滿意度，獲取更多的管理支持。在行業(yè)內(nèi)樹立標(biāo)桿和示范，提升企業(yè)形象，贏取客戶信任，增強(qiáng)競(jìng)爭(zhēng)力。同時(shí)，使信息安全體系通過信息安全管理體系通過ISO 27001認(rèn)證標(biāo)準(zhǔn)。

2 企業(yè)信息安全管理體系建設(shè)過程

凡事預(yù)則立，不預(yù)則廢。對(duì)于信息安全管理建設(shè)的工作也先由計(jì)劃開始。信息安全管理體系建設(shè)分為四個(gè)階段：實(shí)施安全風(fēng)險(xiǎn)評(píng)估、規(guī)劃體系建設(shè)方案、建立信息安全管理體系、體系運(yùn)行及改進(jìn)。也符合信息安全管理循環(huán)PDCA（Plan-Do-Check-Action）模型及ISO27001要求，即有效地保護(hù)企業(yè)信息系統(tǒng)的安全，確保信息安全的持續(xù)發(fā)展。本文結(jié)合作者經(jīng)驗(yàn)，重點(diǎn)論述上述幾個(gè)方面的內(nèi)容。

2.1 確立范圍

首先是確立項(xiàng)目范圍，從機(jī)構(gòu)層次及系統(tǒng)層次兩個(gè)維度進(jìn)行范圍的劃分。從機(jī)構(gòu)層次上，可以考慮內(nèi)部機(jī)構(gòu)：需要覆蓋公司的各個(gè)部門，其包括總部、事業(yè)部、制造本部、技術(shù)本部等；外部機(jī)構(gòu)：則包括公司信息系統(tǒng)相連的外部機(jī)構(gòu)，包括供應(yīng)商、中間業(yè)務(wù)合作伙伴、及其他合作伙伴等。

從系統(tǒng)層次上，可按照物理環(huán)境：即支撐信息系統(tǒng)的場(chǎng)所、所處的周邊環(huán)境以及場(chǎng)所內(nèi)保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行的設(shè)施。包括機(jī)房環(huán)境、門禁、監(jiān)控等；網(wǎng)絡(luò)系統(tǒng)：構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì)，設(shè)備和軟件；服務(wù)器平臺(tái)系統(tǒng)：支撐所有信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶機(jī)及其操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件和Web系統(tǒng)等軟件平臺(tái)系統(tǒng)；應(yīng)用系統(tǒng)：支撐業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng)；數(shù)據(jù)：整個(gè)信息系統(tǒng)中傳輸以及存儲(chǔ)的數(shù)據(jù)；安全管理：包括安全策略、規(guī)章制度、人員組織、開發(fā)安全、項(xiàng)目安全管理和系統(tǒng)管理人員在日常運(yùn)維過程中的安全合規(guī)、安全審計(jì)等。

2.2 安全風(fēng)險(xiǎn)評(píng)估

企業(yè)信息安全是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問、利用和篡改，為企業(yè)員工提供安全、可信的服務(wù)，保證信息系統(tǒng)的可用性、完整性和保密性。

本次進(jìn)行的安全評(píng)估，主要包括兩方面的內(nèi)容：

2.2.1 企業(yè)安全管理類的評(píng)估

通過企業(yè)的安全控制現(xiàn)狀調(diào)查、訪談、文檔研讀和ISO27001的最佳實(shí)踐比對(duì)，以及在行業(yè)的經(jīng)驗(yàn)上進(jìn)行“差距分析”，檢查企業(yè)在安全控制層面上存在的弱點(diǎn)，從而為安全措施的選擇提供依據(jù)。

評(píng)估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個(gè)方面，包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。

2.2.2 企業(yè)安全技術(shù)類評(píng)估

基于資產(chǎn)安全等級(jí)的分類，通過對(duì)信息設(shè)備進(jìn)行的安全掃描、安全設(shè)備的配置，檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、終端、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點(diǎn)，為安全加固提供依據(jù)。

針對(duì)企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行安全評(píng)估。關(guān)鍵應(yīng)用的評(píng)估方式采用滲透測(cè)試的方法，在應(yīng)用評(píng)估中將對(duì)應(yīng)用系統(tǒng)的威脅、弱點(diǎn)進(jìn)行識(shí)別，分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距，為后期改造提供依據(jù)。

提到安全評(píng)估，一定要有方法論。我們以ISO27001為核心，并借鑒國(guó)際常用的幾種評(píng)估模型的優(yōu)點(diǎn)，同時(shí)結(jié)合企業(yè)自身的特點(diǎn)，建立風(fēng)險(xiǎn)評(píng)估模型：

在風(fēng)險(xiǎn)評(píng)估模型中，主要包含信息資產(chǎn)、弱點(diǎn)、威脅和風(fēng)險(xiǎn)四個(gè)要素。每個(gè)要素有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價(jià)值，弱點(diǎn)的屬性是弱點(diǎn)在現(xiàn)有控制措施的保護(hù)下，被威脅利用的可能性以及被威脅利用后對(duì)資產(chǎn)帶來影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度，風(fēng)險(xiǎn)的屬性是風(fēng)險(xiǎn)級(jí)別的高低。風(fēng)險(xiǎn)評(píng)估采用定性的風(fēng)險(xiǎn)評(píng)估方法，通過分級(jí)別的方式進(jìn)行賦值。

2.3 規(guī)劃體系建設(shè)方案

企業(yè)信息安全問題根源分布在技術(shù)、人員和管理等多個(gè)層面，須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系，并最終落實(shí)到管理措施和技術(shù)措施，才能確保信息安全。

規(guī)劃體系建設(shè)方案是在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，對(duì)企業(yè)中存在的安全風(fēng)險(xiǎn)提出安全建議，增強(qiáng)系統(tǒng)的安全性和抗攻擊性。

在未來1-2年內(nèi)通過信息安全體系制的建立與實(shí)施，建立安全組織，技術(shù)上進(jìn)行安全審計(jì)、內(nèi)外網(wǎng)隔離的改造、安全產(chǎn)品的部署，實(shí)現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。在未來的 3-5 年內(nèi)，通過完善的信息安全體系和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項(xiàng)目的建設(shè)，將企業(yè)建設(shè)成為一個(gè)注重管理，預(yù)防為主，防治結(jié)合的先進(jìn)型企業(yè)。

2.4 企業(yè)信息安全體系建設(shè)

企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎(chǔ)上，建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力：即預(yù)警（Warn）、保護(hù)（Protect）、檢測(cè)（Detect）、反應(yīng)（Response）、恢復(fù)（Recover）和反擊（Counter-attack），體系應(yīng)該兼顧攘外和安內(nèi)的功能。

安全體系的建設(shè)一是涉及安全管理制度建設(shè)完善；二是涉及到信息安全技術(shù)。首先，針對(duì)安全管理制度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全方針、安全技術(shù)策略和安全管理策略等。安全總體方針涉及安全組織機(jī)構(gòu)、安全管理制度、人員安全管理、安全運(yùn)行維護(hù)等方面的安全制度。安全技術(shù)策略涉及信息域的劃分、業(yè)務(wù)應(yīng)用的安全等級(jí)、安全保護(hù)思路、說以及進(jìn)一步的統(tǒng)一管理、系統(tǒng)分級(jí)、網(wǎng)絡(luò)互聯(lián)、容災(zāi)備份、集中監(jiān)控等方面的要求。

其次，信息安全技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)安全技術(shù)、應(yīng)用安全技術(shù)，以及安全基礎(chǔ)設(shè)施平臺(tái)；同時(shí)按照安全技術(shù)所提供的功能又可劃分為預(yù)防保護(hù)類、檢測(cè)跟蹤類和響應(yīng)恢復(fù)類三大類技術(shù)。結(jié)合主流的安全技術(shù)以及未來信息系統(tǒng)發(fā)展的要求，規(guī)劃信息安全技術(shù)包括：

2.5 體系運(yùn)行及改進(jìn)

信息安全管理體系文件編制完成以后，由公司企劃部門組織按照文件的控制要求進(jìn)行審核。結(jié)合公司實(shí)際，在體系文件編制階段，將該標(biāo)準(zhǔn)與公司的現(xiàn)有其他體系，如質(zhì)量、環(huán)境保護(hù)等體系文件，改歸并的歸并。該修訂審核的再繼續(xù)修訂審核。最終歷經(jīng)幾個(gè)月的努力，批準(zhǔn)并實(shí)施了信息安全管理系統(tǒng)的文檔。至此，信息安全管理體系將進(jìn)入運(yùn)行階段。

有人說，信息系統(tǒng)的成功靠的是“三分技術(shù)，七分管理，十二分執(zhí)行”?！皥?zhí)行”是要需要在實(shí)踐中去體會(huì)、總結(jié)與提高。對(duì)于信息系統(tǒng)安全管理體系建設(shè)更是如此！在此期間，以IT部門牽頭，加強(qiáng)宣傳力度，組織了若干次不同層面的宣導(dǎo)培訓(xùn)，充分發(fā)揮體系本身的各項(xiàng)功能，及時(shí)發(fā)現(xiàn)存在的問題，找出問題根源，采取糾正措施，并按照更改控制程序要求對(duì)體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。

3 總結(jié)

總結(jié)項(xiàng)目，建立健全的信息安全管理制度是進(jìn)行安全管理的基礎(chǔ)。當(dāng)然，體系建設(shè)過程中還存在不足，如崗位原有職責(zé)與現(xiàn)有安全職責(zé)的界定，員工的認(rèn)知及接受程度還有待提高，體系在各部門領(lǐng)導(dǎo)重視程度、執(zhí)行力度、審核效果存在差距等等。最終，在公司各部門的共同努力下，體系經(jīng)歷了來自國(guó)際知名品牌認(rèn)證公司DNV及中國(guó)認(rèn)可委（CNAS）的雙重檢驗(yàn)，并通過嚴(yán)格的體系審核。確認(rèn)了公司在信息安全管理體系達(dá)到國(guó)內(nèi)和國(guó)際信息安全管理標(biāo)準(zhǔn)，提升公司信息安全管理的水平，從而為企業(yè)向國(guó)際化發(fā)展與合作提供有力支撐。

[參考文獻(xiàn)]

[1]沈昌祥.《信息系統(tǒng)安全導(dǎo)論》.電子工業(yè)出版社，2003.7.

企業(yè)信息安全要求范文第3篇

關(guān)鍵詞 PKI；CA；RA；數(shù)字證書；信息安全；雙因素認(rèn)證；數(shù)字簽名；加密

中圖分類號(hào)：TM769 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2013）15-0119-02

隨著國(guó)內(nèi)外網(wǎng)絡(luò)與信息技術(shù)飛速發(fā)展和廣泛應(yīng)用，發(fā)電企業(yè)信息化也在不斷深入開展，信息安全形勢(shì)更加嚴(yán)峻，網(wǎng)絡(luò)與信息安全工作問題更加突出和重要。發(fā)電企業(yè)在保證發(fā)電安全生產(chǎn)的基礎(chǔ)上，逐步通過信息化建設(shè)，梳理管理流程，加強(qiáng)內(nèi)部管控，從而達(dá)到提升競(jìng)爭(zhēng)力的作用。

信息安全是信息化建設(shè)的基礎(chǔ)和前提，基于PKI技術(shù)的數(shù)字證書機(jī)制構(gòu)建的應(yīng)用層信息安全保障體系，已經(jīng)作為信息安全基礎(chǔ)設(shè)施，在政府、金融、電信等領(lǐng)域得到廣泛應(yīng)用。如何合理構(gòu)建安全認(rèn)證體系，既能滿足信息安全管理要求，又能保證投資和信息安全管理可控在控，已經(jīng)成為發(fā)電企業(yè)越來越關(guān)注的問題。

1 發(fā)電企業(yè)信息安全現(xiàn)狀分析

在發(fā)電企業(yè)構(gòu)建電子認(rèn)證體系以保障業(yè)務(wù)安全的過程中，主要面臨著如下需求和問題。

1）缺少完整的電子認(rèn)證基礎(chǔ)設(shè)施，企業(yè)內(nèi)部多級(jí)管理體系和獨(dú)立分支機(jī)構(gòu)的不同信息系統(tǒng)使用的數(shù)字證書不統(tǒng)一。

2）自建的電子認(rèn)證基礎(chǔ)設(shè)施，有可能不具備相關(guān)運(yùn)營(yíng)資質(zhì)，并且建設(shè)和運(yùn)營(yíng)維護(hù)成本較大，而只采購(gòu)第三方認(rèn)證機(jī)構(gòu)頒發(fā)的數(shù)字證書，又不能完全滿足企業(yè)內(nèi)部信息化管理的需要。

3）重要核心信息系統(tǒng)未采用雙因素認(rèn)證、數(shù)字簽名和數(shù)據(jù)加密等技術(shù)手段，無法保證數(shù)據(jù)保密性、完整性、抗抵賴性等信息安全要求。

為了很好的解決以上問題，結(jié)合發(fā)電企業(yè)信息化建設(shè)實(shí)際情況，提出以下幾點(diǎn)建議。

1）針對(duì)發(fā)電企業(yè)內(nèi)部多級(jí)管理體系和獨(dú)立分支機(jī)構(gòu)，建設(shè)統(tǒng)一的RA注冊(cè)審核機(jī)構(gòu)，與第三方認(rèn)證機(jī)構(gòu)PKI/CA基礎(chǔ)設(shè)施配合，將完整的電子認(rèn)證服務(wù)引入到現(xiàn)有信息系統(tǒng)中，既滿足了安全體系完整性，又方便了內(nèi)部安全認(rèn)證服務(wù)管理。

2）針對(duì)不同的信息系統(tǒng)特性，制定雙因素認(rèn)證、數(shù)字簽名和數(shù)據(jù)加密等安全認(rèn)證策略和實(shí)施規(guī)范，RA系統(tǒng)設(shè)計(jì)上應(yīng)方便的與業(yè)務(wù)系統(tǒng)進(jìn)行對(duì)接和交互，避免成為“信息孤島”，保證數(shù)據(jù)保密性、完整性、抗抵賴性等信息安全要求。

3）針對(duì)已經(jīng)使用了數(shù)字證書等安全認(rèn)證的信息系統(tǒng)，應(yīng)考慮能夠?qū)崿F(xiàn)平滑過渡和無縫對(duì)接，防止出現(xiàn)安全體系設(shè)計(jì)重大變更和大規(guī)模系統(tǒng)改造等情況。

2 PKI/CA/RA簡(jiǎn)介

1）PKI為“公鑰基礎(chǔ)設(shè)施”，是一個(gè)用非對(duì)稱密碼算法原理和技術(shù)實(shí)現(xiàn)的、具有通用性的安全基礎(chǔ)設(shè)施。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。

2）CA認(rèn)證機(jī)構(gòu)是采用PKI公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù)責(zé)簽發(fā)和管理數(shù)字證書，且具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)。它是PKI公鑰基礎(chǔ)設(shè)施的核心，主要完成生成/簽發(fā)證書、生成/簽發(fā)證書撤銷列表（CRL：Certificate Revocation List）、證書和CRL到目錄服務(wù)器、維護(hù)證書數(shù)據(jù)庫(kù)和審計(jì)日志庫(kù)等功能，即證書的頒發(fā)、證書的更新、證書的查詢、證書的作廢、證書的歸檔等功能。

3）RA注冊(cè)審核機(jī)構(gòu)：RA是數(shù)字證書的申請(qǐng)、審核和注冊(cè)中心。從廣義上講，RA是CA的一個(gè)組成部分，主要負(fù)責(zé)數(shù)字證書的申請(qǐng)、審核和注冊(cè)。

3 基于PKI/CA/RA的安全認(rèn)證服務(wù)平臺(tái)

3.1 平臺(tái)架構(gòu)

通過對(duì)發(fā)電企業(yè)安全現(xiàn)狀和需求分析，根據(jù)證書簽發(fā)、證書使用兩種應(yīng)用環(huán)境和職責(zé)不同，將RA系統(tǒng)劃分為RA子系統(tǒng)、證書驗(yàn)證子系統(tǒng)兩個(gè)子系統(tǒng)。

1）RA子系統(tǒng)：負(fù)責(zé)證書的申請(qǐng)、簽發(fā)、更新、狀態(tài)變更等證書業(yè)務(wù)功能。RA子系統(tǒng)結(jié)構(gòu)由CA能力接入、系統(tǒng)管理、證書服務(wù)、用戶自服務(wù)等功能模塊組成。CA能力接入模塊面向第三方CA系統(tǒng)，系統(tǒng)管理模塊面向RA系統(tǒng)管理員，證書服務(wù)模塊面向業(yè)務(wù)系統(tǒng)，用戶自服務(wù)模塊面向使用證書業(yè)務(wù)的用戶（個(gè)人用戶、企業(yè)用戶）。

2）證書驗(yàn)證子系統(tǒng)：負(fù)責(zé)證書有效性驗(yàn)證、簽名驗(yàn)簽等證書應(yīng)用功能，提供非對(duì)稱密鑰運(yùn)算、摘要運(yùn)算、簽名驗(yàn)簽運(yùn)算、證書驗(yàn)證等證書應(yīng)用服務(wù)。

3.2 數(shù)字證書設(shè)計(jì)

3.2.1 設(shè)計(jì)原則

RA系統(tǒng)簽發(fā)的數(shù)字證書應(yīng)具有以下特點(diǎn)。

1）數(shù)字證書符合X509v3國(guó)際通用標(biāo)準(zhǔn)，可以同發(fā)電企業(yè)目前的電子認(rèn)證體系無縫對(duì)接，平滑過渡。

2）數(shù)字證書獲得國(guó)家電子認(rèn)證服務(wù)資質(zhì)認(rèn)可，受《電子簽名法》保護(hù)，可以對(duì)外使用。

3）支持簽發(fā)軟/硬兩種形式的數(shù)字證書。

軟證書符合PKCS12標(biāo)準(zhǔn)，能方便的在手機(jī)、PDA等終端上使用。

硬證書保存在USBKEY等硬件存儲(chǔ)介質(zhì)上，安全可靠。

3.2.2 數(shù)字證書類型

按照數(shù)字證書的頒發(fā)對(duì)象不同，數(shù)字證書主要分為個(gè)人數(shù)字證書、機(jī)構(gòu)數(shù)字證書和設(shè)備數(shù)字證書等。

1）個(gè)人數(shù)字證書，主要用于標(biāo)識(shí)數(shù)字證書自然人所有人的身份，包含了個(gè)人的身份信息及其公鑰，如用戶姓名、證件號(hào)碼、身份類型等。

2）機(jī)構(gòu)數(shù)字證書，主要用于標(biāo)識(shí)數(shù)字證書機(jī)構(gòu)所有人的身份，包含機(jī)構(gòu)的相關(guān)信息及其公鑰，如：企業(yè)名稱、組織機(jī)構(gòu)代碼等。

3）設(shè)備數(shù)字證書，用于在網(wǎng)絡(luò)應(yīng)用中標(biāo)識(shí)網(wǎng)絡(luò)設(shè)備的身份，主要包含了設(shè)備的相關(guān)信息及其公鑰，可用于服務(wù)器或網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)和驗(yàn)證設(shè)備身份。

3.2.3 證書使用范圍

從使用范圍上來說，企業(yè)數(shù)字證書分為內(nèi)部證書、外部

證書。

1）內(nèi)部證書限于企業(yè)內(nèi)部人員、業(yè)務(wù)使用，承擔(dān)行政責(zé)任，可以用于企業(yè)內(nèi)部安全保障；企業(yè)重要人員的證書采用USBKEY存放，其他人員采用軟件存儲(chǔ)。

2）外部證書限于企業(yè)外部人員、業(yè)務(wù)使用，如電子商務(wù)平臺(tái)的供應(yīng)商。承擔(dān)法律責(zé)任，在對(duì)外業(yè)務(wù)出現(xiàn)糾紛時(shí)，可以用于法律鑒定，采用USBKEY存放證書。

3.2.4 證書用途

根據(jù)數(shù)字證書的密鑰用途，將證書分為以下兩種。

1）簽名證書：其私鑰可用于對(duì)信息的簽名。用戶在使用私鑰對(duì)信息簽名時(shí)，應(yīng)知曉并確認(rèn)簽名的內(nèi)容。對(duì)于具有身份鑒別用途的證書，其私鑰可用于對(duì)鑒別方提交的挑戰(zhàn)信息簽名；在可能的情況下，具有身份鑒別用途的證書及信任鏈上的證書（根證書除外）應(yīng)提交給驗(yàn)證方。

2）加密證書：其私鑰可用于對(duì)采用對(duì)應(yīng)公鑰加密的信息

解密。

根據(jù)國(guó)家密碼管理局的相關(guān)要求以及發(fā)電企業(yè)對(duì)證書的使用需求，個(gè)人證書、企業(yè)證書都需要簽發(fā)雙證書（加密證書、簽名證書）。

3.2.5 證書存儲(chǔ)形態(tài)

根據(jù)數(shù)字證書的存儲(chǔ)形態(tài)不同，可以將證書存儲(chǔ)在以下介質(zhì)中。

1）軟證書：證書以軟件形式存放，包括以文件形式或者將證書導(dǎo)入到IE存儲(chǔ)；根據(jù)信息系統(tǒng)對(duì)證書的要求，可以將個(gè)人證書（大部分）以軟件形態(tài)存放。

2）USBKEY證書：證書存儲(chǔ)在USBKEY中；企業(yè)重要人員的證書采用USBKEY存放，企業(yè)外的個(gè)人證書、企業(yè)證書全部采用USBKEY存儲(chǔ)，便于保管。

4 應(yīng)用實(shí)踐

目前對(duì)于發(fā)電企業(yè)來講，PKI/CA/RA安全認(rèn)證服務(wù)主要可應(yīng)用于以下幾個(gè)方面。

1）辦公自動(dòng)化系統(tǒng)電子印章管理，采用數(shù)字簽名及證書對(duì)稱加密、非對(duì)稱加密等技術(shù)，防止電子文件被篡改、電子印章被非法利用。

2）企業(yè)資源計(jì)劃（ERP）、燃料管理、辦公自動(dòng)化、資金管理、電子商務(wù)等重要信息系統(tǒng)的雙因素認(rèn)證，為IT審計(jì)提供依據(jù)，防止抵賴，進(jìn)一步保證系統(tǒng)安全。

3）無線網(wǎng)絡(luò)、VPN網(wǎng)絡(luò)等網(wǎng)絡(luò)接入認(rèn)證管理。

5 結(jié)束語

PKI/CA/RA安全認(rèn)證服務(wù)平臺(tái)實(shí)現(xiàn)了統(tǒng)一、完整的電子認(rèn)證基礎(chǔ)設(shè)施，為發(fā)電企業(yè)提供數(shù)字證書申請(qǐng)、受理、審批、簽發(fā)、更新、吊銷、等業(yè)務(wù)功能，數(shù)字證書與企業(yè)資源計(jì)劃（ERP）、電子印章、電子商務(wù)等信息系統(tǒng)集成，全面支持企業(yè)內(nèi)部和對(duì)外電子商務(wù)應(yīng)用，以及重要信息系統(tǒng)、設(shè)備的雙因素認(rèn)證。

實(shí)踐證明，PKI/CA/RA安全認(rèn)證服務(wù)平臺(tái)在發(fā)電企業(yè)信息安全工作中，已發(fā)揮了不可替代的重要作用，可有效提高信息系統(tǒng)安全性和可靠性，下一步將加強(qiáng)核心業(yè)務(wù)信息系統(tǒng)中的重要操作、重要信息系統(tǒng)中敏感信息加密、移動(dòng)辦公等方面的研究和應(yīng)用。

參考文獻(xiàn)

[1]龍玉江，白雪，汪浩.PKI/CA技術(shù)在電力信息系統(tǒng)安全保障方面的應(yīng)用研究[J].貴州電力技術(shù)，2009（1）：40.

[2]劉欣.PKI/CA技術(shù)在電力信息系統(tǒng)中的應(yīng)用研究[J].電力信息化，2009，7（10）：30.

企業(yè)信息安全要求范文第4篇

不同的企業(yè)經(jīng)營(yíng)方式和品種不同，導(dǎo)致管理者采取不同的信息網(wǎng)路系統(tǒng)，這進(jìn)一步加劇了企業(yè)局域網(wǎng)和外部網(wǎng)信息安全的風(fēng)險(xiǎn)性，自然和人為因素把企業(yè)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)大致分為了以下兩層。

1.外部風(fēng)險(xiǎn)

企業(yè)信息網(wǎng)絡(luò)系統(tǒng)受到非法攻擊和自然災(zāi)害的情況統(tǒng)稱為外部風(fēng)險(xiǎn)，例如：水火災(zāi)害，偷盜災(zāi)害等都屬于外部風(fēng)險(xiǎn)構(gòu)成因素，這對(duì)于企業(yè)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)危害巨大，主要表現(xiàn)在硬件設(shè)施的損壞。另外，也存在某些工作人員企圖將公司文件作為有效的信息記錄，不正當(dāng)建立某些文件文檔，也同樣會(huì)對(duì)企業(yè)的計(jì)算機(jī)信息系統(tǒng)構(gòu)成威脅。也有的計(jì)算機(jī)操作人員企圖通過不正當(dāng)手段獲取到系統(tǒng)記錄的信息，可能會(huì)通過某些不正當(dāng)手段利用數(shù)據(jù)和系統(tǒng)程序。此外，企業(yè)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)面臨的最大威脅來自于黑客，黑客攻擊系統(tǒng)的方式主要分為兩種：一是通過不法手段進(jìn)入企業(yè)計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)攻擊，目的是通過查看信息，破壞信息的完整性。二是通過竊取和破譯的方式獲得計(jì)算機(jī)機(jī)密信息的網(wǎng)絡(luò)偵察方式，這種方式不會(huì)阻礙系統(tǒng)的正常運(yùn)行。掃描器和口令攻擊器、郵件炸彈和木馬是黑客常用的攻擊工具，企業(yè)通常都會(huì)存在網(wǎng)絡(luò)安全隱患，黑客會(huì)利用計(jì)算機(jī)系統(tǒng)薄弱環(huán)節(jié)竊取信息，甚至對(duì)企業(yè)進(jìn)行威脅敲詐。而病毒會(huì)破壞系統(tǒng)CMOS中的數(shù)據(jù)，系統(tǒng)數(shù)據(jù)區(qū)會(huì)遭受損失。無論怎樣，兩種方式都會(huì)對(duì)企業(yè)的網(wǎng)絡(luò)安全建設(shè)形成重大影響。此外，還有僵尸網(wǎng)絡(luò)，垃圾郵件，間諜軟件等都會(huì)對(duì)企業(yè)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)造成威脅。

2.內(nèi)部風(fēng)險(xiǎn)

計(jì)算機(jī)系統(tǒng)內(nèi)部的特性決定了內(nèi)部風(fēng)險(xiǎn)指數(shù)的高低，具體表現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行中存在的風(fēng)險(xiǎn)，主要分為：計(jì)算操作人員對(duì)登錄賬號(hào)和口令的泄露，未經(jīng)許可或沒有訪問權(quán)限的人員進(jìn)入企業(yè)信息系統(tǒng)可能會(huì)造成信息安全風(fēng)險(xiǎn)的產(chǎn)生。另外，計(jì)算機(jī)軟件在安裝的過程中，也必然會(huì)帶有一定不為常人輕易察覺的系統(tǒng)漏洞，這些漏洞一旦被黑客發(fā)現(xiàn)，就可能會(huì)產(chǎn)生企業(yè)信息系統(tǒng)的內(nèi)部風(fēng)險(xiǎn)。當(dāng)下。軟件公司在開發(fā)軟件的過程中，很多都會(huì)為自己留有“后門”，一旦這些“后門漏洞”遭遇攻擊，就會(huì)產(chǎn)生嚴(yán)重的后果。防火墻的安全等級(jí)也是對(duì)系統(tǒng)風(fēng)險(xiǎn)控制的重要指標(biāo)之一，如果自身安全等級(jí)欠缺，也會(huì)產(chǎn)生一定的內(nèi)部風(fēng)險(xiǎn)。另外，管理因素也是造成內(nèi)部風(fēng)險(xiǎn)成因的重要原因之一。員工有意無意的破壞、用戶操作規(guī)范問題、存儲(chǔ)介質(zhì)問題都是管理不到位的表現(xiàn)。某些員工也會(huì)對(duì)企業(yè)逐漸產(chǎn)生不滿情緒，可能會(huì)采取極端手段惡意破壞企業(yè)的機(jī)密文件。移動(dòng)存儲(chǔ)設(shè)備的不正確應(yīng)用，也是造成企業(yè)計(jì)算機(jī)信息系統(tǒng)安全問題的一大隱患，具體表現(xiàn)在移動(dòng)存儲(chǔ)介質(zhì)的遺失和破壞，文件的非授權(quán)和打印等方面。

二、企業(yè)信息網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)控制方法

不同的企業(yè)信息網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)控制方式也不盡相同，只有通過仔細(xì)分析，才能對(duì)其進(jìn)行科學(xué)控制。為進(jìn)一步保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全，必須對(duì)數(shù)據(jù)形成全程監(jiān)控和控制，達(dá)到最大化的系統(tǒng)安全風(fēng)險(xiǎn)控制。

1.數(shù)據(jù)信息的輸入和傳輸

企業(yè)信息系統(tǒng)在數(shù)據(jù)初步輸入階段，為了進(jìn)一步保證數(shù)據(jù)輸入的合法和正確，對(duì)其加密措施是必不可少的，隨后進(jìn)行網(wǎng)絡(luò)傳輸，就能夠從根本上最大化避免信息在傳輸過程中遭遇篡改或者丟失現(xiàn)象，企業(yè)信息應(yīng)用的加密方式多種多樣，一般可以選取文件夾加密或者文件加密的方式進(jìn)行傳輸。

2.數(shù)據(jù)信息的接收與處理

企業(yè)一般收到外部傳輸?shù)挠唵翁幚硇畔r(shí)，接著就會(huì)由預(yù)編程序?qū)υ撔畔⑦M(jìn)行自動(dòng)審核，規(guī)范的信息填寫就會(huì)由計(jì)算機(jī)系統(tǒng)進(jìn)行二次輸出，并及時(shí)刻錄在預(yù)置的磁盤或交卷等信息媒介中保存，這種情況下對(duì)于已獲取信息的保存就顯得格外重要。假如要對(duì)信息使用過程中產(chǎn)生的數(shù)據(jù)進(jìn)行保存，就需要對(duì)用戶數(shù)據(jù)的使用和存儲(chǔ)進(jìn)行及時(shí)控制，這也是控制企業(yè)信息系統(tǒng)泄漏的有效方法之一。

3.結(jié)果數(shù)據(jù)信息的保存和處理

數(shù)據(jù)使用過后的安置主要是指結(jié)果數(shù)據(jù)信息的保存和處理，這種后期的風(fēng)險(xiǎn)控制更要加以重視，包括數(shù)據(jù)使用過后保存的時(shí)間和清除，存儲(chǔ)的方法和地址等等。不再應(yīng)用的數(shù)據(jù)應(yīng)當(dāng)徹底處理，防止被二次利用，通過對(duì)廢棄信息的研究獲取到機(jī)密信息，不同的處理方式對(duì)系統(tǒng)安全風(fēng)險(xiǎn)的影響也不盡相同。

4.網(wǎng)絡(luò)管理和安全管理

以上諸多的控制方式都會(huì)對(duì)計(jì)算機(jī)風(fēng)險(xiǎn)控制產(chǎn)生重要作用，此外，一個(gè)良好的管理平臺(tái)有利于計(jì)算機(jī)設(shè)備各項(xiàng)設(shè)備功能的發(fā)揮，網(wǎng)絡(luò)管理在網(wǎng)絡(luò)資源的優(yōu)化和監(jiān)控利用中發(fā)揮著關(guān)鍵作用。

5.設(shè)立電子商務(wù)安全體系

美國(guó)FBI組織統(tǒng)計(jì)表明：美國(guó)幾乎百分之八十的大型企業(yè)面臨著信息網(wǎng)絡(luò)安全問題的困擾，每年因網(wǎng)路安全問題造成的損失達(dá)到了七十五萬億美元，信息的竊取和濫用現(xiàn)象嚴(yán)重。因此，所有在互聯(lián)網(wǎng)上開展電子商務(wù)的企業(yè)必須有足夠的安全意識(shí)和防范措施，最大限度的避免企業(yè)機(jī)密信息的外泄和黑客入侵造成的不必要損失。另外，一整套強(qiáng)大的企業(yè)信息安全系統(tǒng)，也需要諸多先進(jìn)的高科技技術(shù)和人才支持。

6.設(shè)立電子政務(wù)安全保障體系

企業(yè)在互聯(lián)網(wǎng)上進(jìn)行商務(wù)活動(dòng)時(shí)，產(chǎn)生信息安全威脅的原因主要分為企業(yè)對(duì)電子集商務(wù)的高度依賴，互聯(lián)網(wǎng)特有的開放性，企業(yè)信息系統(tǒng)技術(shù)本身存在的缺陷。通過以上對(duì)企業(yè)內(nèi)外部威脅的分析可以得到嚴(yán)格的保密制度，規(guī)范的信息交換策略，完整明確的權(quán)限管理要求和執(zhí)行流程是企業(yè)電子商務(wù)活動(dòng)信息的基本安全保障。電子政務(wù)安全保障體系具有明顯的真實(shí)性，機(jī)密性，完整性和可靠性。

7.企業(yè)信息安全策略和措施

一個(gè)完整的企業(yè)信息安全策略必須在技術(shù)上具備可操作性，可執(zhí)行和責(zé)任明確的特征，強(qiáng)制性也是其中的必要組成因素。在信息的傳輸和處理過程中，需要對(duì)內(nèi)外部威脅因素做一個(gè)敏銳的分析，必須要保證信息的完整可靠，實(shí)用安全。在企業(yè)信息安全技術(shù)保障體系的范圍內(nèi)，有必要對(duì)重大機(jī)密信息進(jìn)行多層防護(hù)，基礎(chǔ)設(shè)施的建設(shè)必須按照企業(yè)信息安全規(guī)定的標(biāo)準(zhǔn)執(zhí)行，其中包括了對(duì)邊界和計(jì)算機(jī)周邊環(huán)境的防護(hù)，基礎(chǔ)設(shè)施以及提供的支持等。其中涉及到了無線網(wǎng)絡(luò)安全框架和遠(yuǎn)程訪問，終端用戶環(huán)境以及系統(tǒng)互聯(lián)等應(yīng)用程序的安全。一個(gè)完善的企業(yè)信息安全策略支持的基礎(chǔ)設(shè)施也必須注重PK（I密鑰管理基礎(chǔ)設(shè)施或公共密鑰基礎(chǔ)設(shè)施）的管理。

8.加密認(rèn)證和實(shí)時(shí)監(jiān)測(cè)技術(shù)

加密是一項(xiàng)傳統(tǒng)而又行之有效的信息傳輸技術(shù)，加密技術(shù)的應(yīng)用主要表現(xiàn)在桌面安全防護(hù)、公文安全傳輸和互聯(lián)網(wǎng)信息傳輸?shù)确矫?。而?shí)時(shí)監(jiān)測(cè)主要是采取偵聽的方式鑒別那些未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問行為，主要表現(xiàn)在對(duì)網(wǎng)絡(luò)系統(tǒng)的掃描和記錄跟蹤等，這種發(fā)現(xiàn)系統(tǒng)遭受損害的技術(shù)手段是防止黑客入侵的有效手段，具有鮮明的適應(yīng)性和實(shí)時(shí)性。

9.劃分并隔離不同安全域

這種系統(tǒng)信息的安全防護(hù)措施主要是根據(jù)不同的安全需求和威脅對(duì)操作人員的方位劃分不同的安全控制區(qū)域，采用訪問控制和權(quán)限控制等手段對(duì)不同的操作人員設(shè)備訪問進(jìn)行控制，防止出現(xiàn)內(nèi)部訪問者也無權(quán)訪問的區(qū)域和誤操作現(xiàn)象的發(fā)生。根據(jù)不同的信息安全要求可以劃分為關(guān)鍵服務(wù)區(qū)和外部接入?yún)^(qū)兩大類，兩種區(qū)域之間進(jìn)行安全隔離措施。另外，在關(guān)鍵服務(wù)區(qū)域內(nèi)，也需要根據(jù)安全級(jí)別的不同對(duì)其進(jìn)行隔離的細(xì)化劃分。

10.管理方面

管理在企業(yè)網(wǎng)絡(luò)信息安全的防護(hù)中占有七分重要性，技術(shù)占有三分重要性。責(zé)任不明確必然會(huì)導(dǎo)致管理混亂，混亂的管理制度就會(huì)導(dǎo)致管理安全風(fēng)險(xiǎn)的產(chǎn)生。在企業(yè)計(jì)算機(jī)系統(tǒng)信息安全的防護(hù)中，不僅要關(guān)注與技術(shù)性的措施，在管理層面上也不容忽視，企業(yè)信息的管理貫穿于整個(gè)管理層面的始終，根據(jù)不同的工作環(huán)境和實(shí)際的業(yè)務(wù)流程，技術(shù)特點(diǎn)制定標(biāo)準(zhǔn)的信息安全管理制度。其中，企業(yè)在信息網(wǎng)絡(luò)安全工作上，必須認(rèn)真貫徹落實(shí)設(shè)備維護(hù)制度，保證物理基礎(chǔ)設(shè)施的安全是一切信息安全防護(hù)的基礎(chǔ)，一旦基礎(chǔ)遭受沖擊，其余的措施便如紙上談兵。企業(yè)計(jì)算機(jī)系統(tǒng)管理員必須對(duì)機(jī)房的水火雷，盜竊等安全防范工作加以重視，另外，對(duì)經(jīng)常使用的數(shù)據(jù)信息或者操作系統(tǒng)都要及時(shí)備份，必要時(shí)要對(duì)數(shù)據(jù)進(jìn)行不同介質(zhì)的存儲(chǔ)，防止基礎(chǔ)設(shè)施損壞時(shí)，給數(shù)據(jù)信息的恢復(fù)工作帶來困難。

三、結(jié)語

企業(yè)信息安全要求范文第5篇

本文列舉了企業(yè)敏感信息泄密的渠道、防護(hù)措施、管理要素，系統(tǒng)地闡述企業(yè)內(nèi)網(wǎng)信息防泄密的方法。敏感信息的泄密防護(hù)是一個(gè)復(fù)雜的工程，無法采用單一的技術(shù)或管理規(guī)范來實(shí)現(xiàn)，在信息安全管理中只有建立一個(gè)人員、技術(shù)、管理相和諧的體系，才能有效保護(hù)企業(yè)的敏感信息數(shù)據(jù)。

一、信息泄密的途徑

1、互聯(lián)網(wǎng)。

互聯(lián)網(wǎng)高速發(fā)展的今天，企業(yè)很難和互聯(lián)網(wǎng)隔絕，互聯(lián)網(wǎng)泄密是信息泄密的主要渠道，常見的如下：

即時(shí)通訊軟件如QQ、MSN等。主要表現(xiàn)在利用即時(shí)消息軟件文件傳輸功能、QQ空間，這些軟件的不當(dāng)使用會(huì)傳播木馬，好奇和無知有助于木馬的傳播，當(dāng)然這些軟件也給主動(dòng)泄密者提供了很大的方便。

文件共享與傳輸軟件。BT、迅雷等P2P傳輸軟件，F(xiàn)TP文件傳輸，郵件，互聯(lián)網(wǎng)“云”資源，如網(wǎng)盤、云盤的不當(dāng)使用。

BBS、論壇、微博。

木馬控制內(nèi)部機(jī)器后，將竊取的信息從內(nèi)部由互聯(lián)網(wǎng)傳出。

互聯(lián)網(wǎng)對(duì)外服務(wù)（如網(wǎng)站或論壇），其系統(tǒng)或應(yīng)用漏洞被暴露或被黑客攻破。

2、電腦外設(shè)接口。

電腦外設(shè)接口是文件傳輸?shù)奈锢砬?，常見的主要有USB、藍(lán)牙、無線網(wǎng)卡、串口、SD卡、紅外接口、1394口、MMC卡。

3、移動(dòng)存儲(chǔ)。

U盤、移動(dòng)硬盤、各類flash、數(shù)碼相機(jī)、mp3/4等，值得一提的是手機(jī)及智能移動(dòng)設(shè)備，也是需要重點(diǎn)關(guān)注的存儲(chǔ)介質(zhì)。

4、移動(dòng)終端。

企業(yè)使用的筆記本電腦，由于其移動(dòng)性應(yīng)是企業(yè)泄密防控的重點(diǎn)管理對(duì)象。

這些電腦染毒、木馬或者設(shè)備本身丟失和被盜會(huì)導(dǎo)致員工存在本地存檔的電子郵件和文件或?qū)⒂谰脕G失，由于員工可能在本地保存重要或敏感數(shù)據(jù)，對(duì)企業(yè)也帶來非常大的風(fēng)險(xiǎn)。

此外，自帶設(shè)備辦公（BYOD）被越來越多企業(yè)關(guān)注，一些企業(yè)已經(jīng)開始BYOD應(yīng)用，這種環(huán)境下企業(yè)信息流入個(gè)人設(shè)備也是一個(gè)泄密途徑。

5、非法外聯(lián)。

一些企業(yè)對(duì)內(nèi)部網(wǎng)和外部網(wǎng)進(jìn)行了物理或邏輯隔離，統(tǒng)一互聯(lián)網(wǎng)出口的管控策略，但是內(nèi)部機(jī)器利用撥號(hào)、、WI-FI無線路由非法連接，同時(shí)使用內(nèi)外網(wǎng)。

6、非法接入。

不合規(guī)的終端和無權(quán)用戶的非法訪問網(wǎng)絡(luò)資源，通過植入木馬或人為故意竊取企業(yè)內(nèi)部信息。

7、維修或報(bào)廢的電腦或硬盤。

殘留數(shù)據(jù)造成泄密。

8、人。

數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、傳遞、使用、銷毀，數(shù)據(jù)生命周期管理中，人是最重要的參與者和數(shù)據(jù)的使用者，人員的信息安全意識(shí)差，安全策略的執(zhí)行力就很低。因此，人員管理是信息泄密管理的難點(diǎn)。

二、信息泄密的類型

信息的泄密可分為被動(dòng)泄密和主動(dòng)泄密。被動(dòng)泄密是指信息資產(chǎn)擁有者或使用人非主觀意愿下泄密的風(fēng)險(xiǎn)，包括計(jì)算機(jī)硬件（筆記本電腦、硬盤、移動(dòng)存儲(chǔ)）的遺失或被竊風(fēng)險(xiǎn)；計(jì)算機(jī)感染病毒或木馬導(dǎo)致的文件被外泄風(fēng)險(xiǎn)，或無意識(shí)的信息泄密，而主動(dòng)泄密指主觀故意泄露或竊取信息，具賽迪網(wǎng)統(tǒng)計(jì)80%的泄密為主動(dòng)泄密，主動(dòng)泄密是信息防護(hù)的主要目標(biāo)。

三、信息泄密的防護(hù)

1、信息泄密的防護(hù)策略。安全分級(jí)，適度保護(hù)的策略。

信息安全的目標(biāo)是保護(hù)企業(yè)的信息資產(chǎn)，避免遭受各種威脅，降低對(duì)企業(yè)之傷害。信息資產(chǎn)安全管理的重點(diǎn)是信息資產(chǎn)的安全分級(jí)和基于分級(jí)的安全保護(hù)，企業(yè)必須明確定義出敏感信息全生命周期的保護(hù)策略，并使相關(guān)人員知悉。制定安全策略，并使企業(yè)人員知悉是企業(yè)信息安全一切工作的基石。

對(duì)不同安全級(jí)別的信息資產(chǎn)施以相應(yīng)程度的保護(hù)手段是實(shí)現(xiàn)“適度保護(hù)”的思路之一，“適度保護(hù)”并非中庸之道，而是指建立與企業(yè)信息安全要求相適應(yīng)的安全防控體系，具體到信息資產(chǎn)保護(hù)策略是指要和企業(yè)信息資產(chǎn)的安全分級(jí)相適應(yīng)的安全防護(hù)策略，矯枉過正，防護(hù)過度，給員工日常辦公帶來極大不便。

需要說明的是，安全分級(jí)比較復(fù)雜，根據(jù)不同的管理需要分類方法也比較多，常見的有基于系統(tǒng)的分級(jí)、基于信息或數(shù)據(jù)的分級(jí)、基于信息風(fēng)險(xiǎn)的分級(jí)等。目前大多數(shù)企業(yè)使用較多的分級(jí)是基于系統(tǒng)的等保分級(jí)，但采用單一的維度進(jìn)行安全分級(jí)仍然難以提供有針對(duì)性的保護(hù)，對(duì)于信息的泄密防護(hù)，針對(duì)數(shù)據(jù)安全分級(jí)將使管理目標(biāo)更為明確和直接，但較難實(shí)施，建議關(guān)注受保護(hù)數(shù)據(jù)的生命周期管理，包括數(shù)據(jù)產(chǎn)生、數(shù)據(jù)傳輸使用、數(shù)據(jù)變更、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處置或銷毀。

2、信息泄密防護(hù)技術(shù)

企業(yè)內(nèi)部的防泄密管理手段從根本上可以歸結(jié)成四類：泄密渠道及邊界管控，數(shù)據(jù)隔離，數(shù)據(jù)加密，審計(jì)（含身份管理）。審計(jì)可以說是“跨界”手段，通過審計(jì)可找到泄密事件的線索和證據(jù),從而震懾惡意泄密者，而身份管理是將信息打上身份標(biāo)記，確定歸屬，是審計(jì)的基礎(chǔ)。

企業(yè)網(wǎng)邊界的管控

企業(yè)網(wǎng)絡(luò)邊界管控分為外網(wǎng)（互聯(lián)網(wǎng)、企業(yè)間網(wǎng)絡(luò)）的管控，和內(nèi)網(wǎng)接入的管控。