信息化建设解决方案之信息安全篇.docx

上传人:b****8 文档编号:29875340 上传时间:2023-08-03 格式:DOCX 页数:16 大小:30.37KB
下载 相关 举报
信息化建设解决方案之信息安全篇.docx_第1页
第1页 / 共16页
信息化建设解决方案之信息安全篇.docx_第2页
第2页 / 共16页
信息化建设解决方案之信息安全篇.docx_第3页
第3页 / 共16页
信息化建设解决方案之信息安全篇.docx_第4页
第4页 / 共16页
信息化建设解决方案之信息安全篇.docx_第5页
第5页 / 共16页
点击查看更多>>
下载资源
资源描述

信息化建设解决方案之信息安全篇.docx

《信息化建设解决方案之信息安全篇.docx》由会员分享,可在线阅读,更多相关《信息化建设解决方案之信息安全篇.docx(16页珍藏版)》请在冰豆网上搜索。

信息化建设解决方案之信息安全篇.docx

信息化建设解决方案之信息安全篇

信息化建设解决方案之信息安全篇

【导读】

随着信息安全事件的不断发生,信息安全的重要性呈指数增长的趋势。

过去几年来,网站被黑客攻击、拒绝服务攻击增多、信用卡信息被盗等事件日益复杂,病毒和蠕虫所造成的损失不可估量。

面对如此严峻的信息安全形势,许多单位投入大量资金购买安全设备、系统软件和系统服务来应对,但是,往往得不到预期的风险管理的效果。

实际上,解决信息安全问题的根本措施是需要结合企业网络和业务实际,通过正确的方法,建立一套适合企业的信息安全体系,并在企业中持续的运行、改进。

以下将为企业在信息化建设过程中,如何更好的应对信息安全问题提供一些思路和方法。

1、信息安全建设遇到的问题

1、1信息安全建设常见问题随着信息化的快速发展,信息安全事件也越来

越多。

信息安全已经成为每个信息化建设者为之头疼的问题:

(1)信息安全投资越来越多,信息安全问題也越来越多。

单位每年投入大量资金进行安全建设,买了很多信息安全设备,结果每年还是会遇到很多信息安全问题。

领导批评,员工抱怨,信息中心主任也不知如何是好。

(2)安全管理制度形同虚设。

单位在管理方面下了很大功夫,制定了制度,但是安全管理制度就像一阵风,风吹时很猛,但吹过了,也就完了,业务人员根本不拿制度当回事,有的认为制度本身就是形式,这种现象能改变吗?

(3)维护人员疲于奔命。

单位虽完成了信息安全建设工作,但是信息化业务系统的可靠性及需求不断增长,让安全维护人员疲于奔命,对于突发事件无法做出迅速响应,消耗大量人员成本,工作做得也并不理想,信息中心领导对这种''救火式”安全维护无可奈何。

同时,导致IT运维成本不但居髙不下,且有明显的逐年增加的趋势,IT运维一时成为可有可无的鸡肋,投入大量资金购买的设备,也快成为摆设。

1、2信息安全建设问题分析从问题的表象来分析,产生现象的根源如下:

(1)缺乏系统的安全体系。

很多企业,甚至大型知名企业,上了很多技术和产品,但安全管理跟不上,技术和产品未能发挥应有的作用;重视信息安全工程建设,但建设后的运维工作跟不上,信息安全隐患不能及时排查、整改,信息安全问题还是层出不穷;重视对外部信息安全风险等防范,疏忽了对内部风险的控制,安全体系不全面,存在短板。

根源在于这些企业都存在着一个普遍的问题:

信息安全目标体系不清晰,整体的安全体系架构不系统,相关的管理跟不上。

如设备上线了,运行很久了,还存在着很多默认配置、设备的相关策略不完备、长时间不评审不更新、离职人员帐户仍然存在、制度不执行或执行不到位、不彻底。

这些问題不能很好地解决,即使有再好的产品、技术或标准,企业的信息安全管理水平也很难从根本上有所提高,上再好的产品、技术和标准最多是升级一下IT救火队的装备水平。

(2)对信息安全风险缺乏及时的评估、预警和控制。

信息化项目建设完成后,用户往往认为已经采取了相应的信息安全保护措施,可以一劳永逸,因此在信息系统的日常运维中忽略了对信息系统安全风险的及时评估、预警和控制。

风险是一个动态的过程,信息安全也是一个动态的过程,产品技术标准不断发展和完善,信息安全威胁也是不断地升级换代,随着企业信息化程度的进一步加深,企业核心业务对IT依赖度的进一步加强,信息安全问题会相对越来越多,这是一个不可扭转的趋势和现实,所以信息安全的风险不断在变化。

缺乏评估、预警措施,不能及时识别信息安全风险,也就不能控制风险,从而带来隐患。

(3)安全运维工作不重视。

在很多单位都出现过网站被黑客攻击,主页被篡改,服务器无法对外提供服务的情况。

导致业务中断,单位的声誉受损,广告投放单位要求索赔等。

出现这种情况的原因,往往是因为缺少对网站的安全保护监控,没有一套合理的流程去防止安全事件的发生。

在出现安全事件后,信息中心的人员又不知道该如何处置。

到处打电话找人,经过很大的弯子才能够解决问题。

这就是日常的安全工作中,缺少应急方案的制定与演练。

导致在真正出现问题时,不知该从何下手,如何解决问题。

IT部门应当从信息安全的角度出发,为公司制定一个合理的工作流程,管理部门应当制定信息安全运维的框架,并指派专人负责完善运维体系。

针对以上问题,建议企业在进行信息安全建设时,首先明确信息安全方针,设计信息安全策略,在此指导下构建信息安全管理体系、技术体系、运维体系。

2、正确的信息安全建设之道企业在进行信息安全建设时,应从企业整体IT规划的角度出发,将信息安全工作纳入IT部门一项重要的工作去从整体上进行规划。

建立信息安全方针,确定信息安全策略,构建信息安全管理体系、技术体系和运维体系,并在实际工作中不断完善。

如图1所示。

图1信息安全体系建设图信息安全规划是以组织信息化战略规划为指导,以组织的信息资源规划为基础,确定信息系统的安全框架、管理模式与建设步骤。

企业在信息安全规划的指导下建设的网络与信息环境,才可以在安全机制的控制与制约下,让各种业务解决方案、应用系统和数据都避免遭受负面因素带来的威胁。

信息安全规划不应只是规划未来几个月,而是规划未来几年内如何达到组织信息化远景规划指导下的安全建设目标的一个过程。

信息安全规划比单独购买信息安全产品更重要,只有信息安全的整体部署有计划、有方向、有目的、有配合,才能构成真正意义上的信息安全。

企业在进行信息安全规划时,首先应制定信息安全的方针目标,然后根据方针目标去制定具体的信息安全策略。

而信息安全策略的落地,最终要靠建立信息安全管理体系、技术体系和运维体系三大体系去实现。

下面就具体介绍一下各阶段的具体工作。

2、1成立信息安全领导小组企业的信息安全建设应从单位发展的战略角度出发,首先成立由主管领导任责任人的信息安全领导小组,来统筹规划企业的信息安全发展战略,制定信息安全方针目标,确定信息安全策略,建立信息安全体系,构建全方位、立体化的防护系统。

2、2制定信息安全方针信息安全体系的建设,涉及面广、工作量大,必须坚持以下的方针原则,保证建设和运维的效果达到目标。

进行信息安全建设应遵循以下原则:

依据战略制定。

信息安全建设应符合企业发展的整体战略,制定信息安全体系框架,明确信息安全建设达到的目标:

基于安全基础设施、以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统直至数据和应用平台各个层面,以及保护、检测、响应、恢复等各个环节,构建全面、完整、高效的信息安全体系,从而提高组织信息系统的整体安全等级,为组织的业务发展提供坚实的信息安全保障。

同时,还要制定统一的信息安全建设标准和管理规范,使得信息安全体系建设能够遵循一致的标准,管理能够遵循一致的规范。

分步有序实施。

信息安全体系的建设,内容庞杂,必须坚持分步骤的有序实施原则,循序渐进地进行。

技术管理并重。

仅有全面的安全技术和机制是远远不够的,安全组织和安全管理也具有同样的重要性。

信息安全体系的建设,必须遵循安全技术和安全管理并重的原则。

制定统一的安全建设管理规范,指导组织的安全管理工作。

突出安全保障。

信息安全体系建设要突出安全保障的重要性,通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制,保障业务的持续性和数据的安全性。

2、3制定信息安全策略根据信息安全方针,制定信息安全策略,首先需要对组织信息化发展的历史情况进行深入和全面的调研,了解、分析信息安全现状,明确信息安全建设工作的内容和重点,并形成指导信息安全建设的总体策略。

总体策略的设计坚持管理与技术并重的原则,以确保网络和信息系统的安全性为主,采用多重保护、最小授权和严格管理等措施,从宏观整体的角度进行阐述,是信息安全建设总的指导原则。

按照要保障的资产对象的不同,总体策略划分为环境安全、数据访问控制安全、数据加密与备份、病毒防治、系统安全、身份认证与授权、灾难恢复与连续性、安全审计、人员与安全教育等若干方面进行阐述。

随着技术的发展以及系统的升级、调整,安全策略也应该进行重新评估和制定,随时保持策略与安全目标的一致性。

安全策略与安全技术体系、安全管理体系以及安全运维体系这三大体系之间的关系也是相互作用的。

一方面,三大体系是在安全策略的指导下构建的,主要是要将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段,全面实现安全策略中所制定的目标;另一方面,安全策略本身也有包括草案设计、评审、实施、培训、部署、监控、强化、重新评估、修订等步骤在内的生命周期,需要采用一些技术方法和管理手段进行管理,保证安全策略的及时性和有效性。

2、4建立信息安全三大体系在信息安全策略的指导下,通过构建安全管理体系、安全技术体系和安全运维体系三大体系,在既定方针目标的指引下,协同工作,相互支撑,相互促进,构成实时、动态和持续改进的全生命周期防护体系。

2、4、1安全技术体系建设安全技术体系是整个信息安全体系框架的基础,包括了密码基础设施平台、应用安全支撑平台、灾难备份与恢复平台、安全事件应急响应与管理平台和安全综合管理平台这五个部分,以统一的信息安全基础设施平台为支撑,以统一的安全系统应用平台为辅助,在统一的综合安全管理平台管理下的技术保障体系框架。

(1)建立信息系统密码基础设施平台。

安全基础设施平台是以安全策略为指导,从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安全防护等多个层次出发,立足于现有的成熟安全技术和安全机制,建立起的一个各个部分相互协同的完整的安全技术防护体系。

a)

组成:

由密码技术所构成的密码基础设施平台,由基于公钥基础设施(PKI)、授权管理基础设施(PMI)、密钥管理基础设施(KMI)等密码安全机制和授权管理机制等组成;b)

功能:

密码基础设施平台提供数据加/解密、数字签名/验证、数字证书签发/验证、数字信封封装/解封、数据摘要/完整性验证、会话密钥生成和存储等基础密码服务,为安全信息系统实现保密性、完整性、真实性、抗抵赖、访问控制等安全机制提供支持;c)

分等级要求:

根据不同安全等级的信息系统对密码强度的不同要求,密码基础设施平台应提供不同安全等级的安全支持。

(2)建立应用安全支撑平台。

应用安全支撑平台处理安全基础设施与应用信息系统之间的关联和集成问题,应用信息系统通过使用安全基础设施平台所提供的各类安全服务,提升自身的安全等级,以更加安全的方式,提供业务服务和内部信息管理服务。

总体要求:

利用基础设施平台提供的基于PKI/PMI/KMI技术的安全服务,采用安全中间件及一站式服务理论和技术,支持面向业务应用的各种应用软件系统安全机制的设计,实现包括真实性鉴别、访问控制、信息安全交换、数据安全传输以及数据的保密性、完整性保护等应用软件系统的安全功能,是应用软件系统安全支撑平台的设计目标。

应用安全支撑平台提供的安全服务主要包括:

a)

支持服务器端的服务:

采用中间件技术,构建安全中间件模块和安全中间件系统,实现以PKI为核心的安全技术的跨平台分布式应用。

b)

支持客户端的服务:

按照称为安全客户端套件的轻量级中间件模式,采用层次结构,按设备层、硬件接口层、驱动层、底层接口层和高层接口层,构成客户端安全的核心模块,通过密码设备驱动访问所连接的各类终端密码设备。

根据不同安全等级的应用对安全支撑平台的不同要求,应用安全支撑平台应提供不同安全强度/等级的安全支持。

(3)建立信息系统灾难备份与恢复平台。

灾难备份是在信息系统正常运行的情况下,为确保信息系统发生灾难性故障中断运行后恢复运行所作的一系列技术准备工作。

灾难备份包括:

数据备份:

用来确保系统恢复运行后原有的数据信息不丢失或少丢失;处理系统备份:

用来确保当信息系统中断运行后能在规定的时间范围内替代原系统运行,并确保提供所需要的信息处理能力;本地备份:

是指对组成信息系统的主机/服务器,通过设置本地备份机制,实现对数据备份和处理系统备份;异地备份:

是指对组成信息系统的主机/服务器,通过设置异地备份机制,实现对数据和处理系统的异地备份;异地备份能对付那些由地震、水灾、战争破坏等重大破坏性灾害所引起的灾难性故障;网络备份:

是指对组成信息系统的网络系统,通过设置备份路由或备份线路来确保当网络系统的某些部位发生故障中断运行时,备份网络能替代故障部分实现所需要的网络数据交换,而异地备份则需要有相应的网络环境支持其对原有信息系统运行的替代,可见网络备份也是处理系统备份的组成部分。

a)

灾难恢复灾难恢复是在信息系统发生灾难性故障中断运行后所采取的一系列恢复措施。

如果说灾难备份更多的是技术措施的话,灾难恢复活动则更多的是管理措施。

灾难恢复的要求包括:

制定明确的灾难恢复策略;制定实施灾难恢复的预案;灾难恢复策略应与灾难备份技术支持密切结合,或者说灾难备份所提供的技术支持是根据灾难恢复的总体策略确定的。

设置相应的机构和人员,并明确其相应的职责:

灾难恢复预案应进行常规的管理和维护,对相关人员进行培训,并定期进行必要的演练。

b)

分等级要求根据信息系统所承载的业务应用的业务连续性的不同要求,灾难备份和恢复需要有不同等级的支持。

灾难备份和恢复的等级与目标信息系统的安全保护等级是两个不同的概念,但是要求在实施灾难备份与恢复的过程中应按照目标信息系统安全保护等级的要求对所涉及的数据信息进行相应的安全保护。

(4)信息系统安全事件应急响应与管理平台。

应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。

信息系统安全事件应急响应的对象是指针对信息系统所存储、传输、处理的信息的安全事件。

事件的主体可能来自自然界、系统自身故障、组织内部或外部的人为攻击等。

按照信息系统安全的三个特性,可以把安全事件定义为破坏信息或信息处理系统CIA的行为,即破坏保密性的安全事件、破坏完整性的安全事件和破坏可用性的安全事件等。

信息系统安全事件应急响应与管理平台主要包括以下方面:

a)

应急响应与管理应急管理是指在紧急事件发生后为了维持和恢复关键的信息系统服务所进行的范围广泛的活动。

从广义的范围讲,所讨论的应急响应与管理,包括业务连续性计划(BCP)、业务恢复计划(BRP)、操作连续性计划(COOP)、危机通信计划、计算机事件响应计划、灾难恢复计划(DRP)、场所紧急计划(OEP)等在内的活动与计划等,统称为应急计划。

通过预防及恢复措施的使用,把信息系统因灾难或安全失效的停顿降到可接受的程度。

b)

应急计划应通过分析灾难、安全失效及服务停顿的影响,制订及实施应急计划来保证系统能够在规定时间内恢复。

计划应经常修改及测试和演练,并最终变成管理过程的不可分割部分。

应急计划的制定应考虑:

角色和职责,应急计划所涉及的平台和机构功能的类型范围,机构所面临的风险、风险发生的概率及影响,资源需求,培训需求,测试和演练进度表,以及计划维护进度表。

在应急计划的制定中,应该与包括物理安全、人力资源、系统操作和紧急事件等在内的相关方面协调一致。

应经常测试应急计划的每个部分,以确保计划可以在真实环境中实施。

应急计划的定期检查和更新是至关重要的,应该作为机构变化管理过程的一部分,以确保新的信息能够被添加进来,应急措施能够根据需要被修订。

c)

联动要求应急响应与管理不仅仅是一个单位和部门的事,而是各个相关的单位和部门的联动活动。

(5)建立信息安全管理平台。

安全管理平台的管理范围尽可能地涵盖安全技术体系中涉及的各种安全机制与安全设备,对这些安全机制和安全设备进行统一的管理和控制,负责管理和维护安全策略,配置管理相应的安全机制,确保这些安全技术与设施能够按照设计的要求协同运作,可靠运行。

它在传统的信息系统应用体系与各类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的信息系统应用体系紧密的结合实现无缝连接,促成信息系统安全与信息系统应用的真正的一体化,使得传统的信息系统应用体系逐步过渡到安全的信息系统应用体系。

以信息系统安全管理中心为核心的安全管理平台,是对信息系统的各种安全机制进行管理使其发挥应有安全作用的重要环节。

信息系统安全管理平台既是一个管理机构,又具有浓厚的技术色彩,应按要求配备必要的专业人员,明确分管职责,并有统一的领导协调各方面的工作统一的安全管理平台有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监控和管理,从而提高安全管理工作的效率,使人为的安全管理活动参与量大幅下降。

安全管理平台担负着对这些安全机制进行集中控制、统一配置管理和收集各类与安全有关信息的的责任,并对收集到的与安全有关的信息进行汇集和分析和风险评估,发现系统运行中与安全有关的问题,做相应处理。

必要时,可以在确定的安全域设置安全管理分中心,形成多层结构的安全管理平台,共同完成对信息安全系统的管理控制。

如图2所示。

图2信息系统安全管理中心示意图

2、4、2安全管理体系建设安全管理体系是安全技术体系真正有效发挥保护作用的重要保障,安全管理体系的设计立足于总体安全策略,并与安全技术体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷。

技术和管理是相互结合的,一方面,安全防护技术措施需要安全管理措施来加强,另一方面技术也是对管理措施贯彻执行的监督手段。

安全管理体系由若干信息安全管理类组成,每项信息安全管理类可分解为多个安全目标和安全控制。

每个安全目标都有若干安全控制与其相对应,这些安全控制是为了达成相应安全目标的管理工作和要求。

建立信息安全管理体系一共包括了12项管理类:

(1)建立安全策略与制度。

确保组织拥有明确的信息安全方针以及配套的策略和制度,以实现对信息安全工作的支持和承诺,保证信息安全的资金投入。

(2)建立安全风险管理。

信息安全建设不是避免风险的过程,而是管理风险的过程。

信息安全体系建设的目标就是要把风险控制在可以接受的范围之内。

风险管理同时也是一个动态持续的过程。

(3)建立人员和组织安全管理。

建立组织机构,明确人员岗位职责,提供安全教育和培训,对第三方人员进行管理、协调信息安全监管部门与行内其它部门之间的关系,保证信息安全工作的人力资源要求,避免由于人员和组织上的错误产生的信息安全风险。

(4)建立环境和设备安全管理。

控制由于物理环境和硬件设施的不当所产生的风险。

管理内容包括物理环境安全、设备安全、介质安全等。

(5)建立网络和通信安全管理。

控制和保护网络和通信系统,防止其受到破坏和滥用,避免和降低由于网络和通信系统的问题对组织业务系统的损害。

(6)建立主机和系统安全管理。

控制和保护组织的计算机主机及其系统,防止其受到破坏和滥用,避免和降低由此对业务系统的损害。

(7)建立应用和业务安全管理。

对各类应用和业务系统进行安全管理,防止其受到破坏和滥用。

(8)建立数据安全和加密管理。

采用数据加密和完整性保护机制,防止数据被窃取和篡改,保护组织业务数据的安全。

(9)建立项目工程安全管理。

保护信息系统项目工程过程的安全,确保项目的成果是可靠的安全系统。

(10)建立运行和维护安全管理。

保护信息系统在运行期间的安全,并确保系统维护工作的安全。

(11)建立业务连续性管理。

通过设计和执行业务连续性计划,确保信息系统在任何灾难和攻击下,都能够保证业务的连续性。

(12)建立合规性管理。

确保组织的信息安全保障工作符合国家法律、法规的要求;且组织的信息安全方针、规定和标准得到了遵循。

12项信息安全管理类之间的关系,如图3所示。

图3信息安全管理类之问的关系技术和管理是相互结合的,一方面,安全防护技术措施需要安全管理措施来加强,另一方面技术也是对管理措施贯彻执行的监督手段。

2、4、3安全运维体系建设信息安全运维体系由安全技术和安全管理紧密结合的内容所组成,包括了系统可靠性设计、系统数据的备份计划、安全事件的应急响应计划、安全审计、灾难恢复计划等,运行保障体系对于组织信息化的可持续性运营提供了重要的保障手段。

信息安全运维体系的内容包括安全运维监控中心、安全运维告警中心、安全运维事件响应中心、安全运维审核评估中心、信息资产管理中心五个方面的内容。

并且,这五个方面的内容也可以作为信息安全运维体系建立的五个步骤。

同时,利用持续改进模型方法,把策划、实施、检查、改进(PDCA)贯穿于这五个基本步骤中。

第一步骤是建立安全运维监控中心,基于关键业务点面向业务系统可用性和业务连续性进行合理布控和监测,以关键绩效指标指导和考核信息系统运行质量和运维管理工作的实施和执行,帮助用户建立全面覆盖信息系统的监测中心,并对各类事件做出快速、准确的定位和展现。

实现对信息系统运行动态的快速掌握,以及运行维护管理过程中的事前预警、事发时快速定位。

第二步骤是建立安全运维告警中心,基于规则配置和自动关联,实现对监控采集、同构、归并的信息的智能关联判别,并综合的展现信息系统中发生的预警和告警事件,帮助运维管理人员快速定位、排查问题所在。

同时,告警中心提供多种告警响应方式,内置与事件响应中心的工单和预案处理接口,可依据事件关联和响应规则的定义,触发相应的预案处理,实现运维管理过程中突发事件和问题处理的自动化和智能化。

第三步骤是建立安全运维事件响应中心,借鉴并融合了ITIL(信息系统基础设施库)/ITSM(IT服务管理)的先进管理规范和最佳实践指南,借助工作流模型参考等标准,开发图形化、可配置的工作流程管理系统,将运维管理工作以任务和工作单传递的方式,通过科学的、符合用户运维管理规范的工作流程进行处置,在处理过程中实现电子化的自动流转,无需人工干预,缩短了流程周期,减少人工错误,并实现对事件、问题处理过程中的各个环节的追踪、监督和审计。

第四步骤是建立安全运维审核评估中心,该中心提供对信息系统运行质量、服务水平、运维管理工作绩效的综合评估、考核、审计管理功能。

第五步骤以信息资产管理为核心,IT资产管理是全面实现信息系统运行维护管理的基础,提供的丰富的IT资产信息属性维护和备案管理,以及对业务应用系统的备案和配置管理。

基于关键业务点配置关键业务的基础设施关联,通过资产对象信息配置丰富业务应用系统的运行维护内容,实现各类IT基础设施与用户关键业务的有机结合,以及全面的综合监控。

2、5建立持续改进运行的长效机制

(1)建立完善的信息安全建设管理体制。

在进行信息安全体系建设时,伴随着建设过程中的信息安全项目的实施。

信息安全项目需由专业的咨询监理机构提供全程的项目管理与质量控制,确保信息安全项目不偏离目标,高效、稳定的解决信息安全问题。

在信息安全项目中采用咨询式项目管理,可以保障信息安全项目按照既定目标实施,达到企业预期效果;可以降低信息安全项目实施过程给企业信息化带来的安全风险;可以有效解决项目拖期、沟通不畅、目标偏离、质量不可控和超预算等项目管理问题;确保使企业通过实施信息安全项目,切实提高信息安全防御水平。

(2)建立定期进行安全检测与评估的巡检机制。

在进行信息安全体系建设时应定期的对信息安全状况进行安全检测与风险评估,识别当前面临的威胁与风险,指导下一步建设的注意事项。

信息安全风险评估需要定期进行,并应做到常态化开展。

(3)建立健全的运维保障机制。

在进行信息安全体系建设时,需要将信息安全作为一个整体,需要把过程中的有关各层次的安全产品、分支机构、运营网络、管理维护制度等纳入一个紧密的统一信息安全运维体系中,才能有效地保障企业的网络和信息安全。

3、360度信息安全服务为信息安全保驾护航信息安全需要一个动态、立体的防护体系,包括安全设备、安全技术、安全管理等多个层面。

通过规划、检测、评估、运维等360度的全方位服务,可帮助用户建立一个实时、动态、完善的防护体系。

企业信息化建设时考虑到360度的信息安全体系建设,使得企业投资IT价值最大化。

如图4所示

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 考试认证 > 财会金融考试

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1