一、企業信息安全的需求

目標：構建信息安全體系，支撐企業發展戰略隨著國內大部分企業信息化程度的提升，企業的信息資產與業務運營所面臨的安全威脅也在日益加劇。雖然企業對于安全防護的投入逐年遞增，但在面對愈來愈頻繁和復雜的病毒  破壞與黑客攻擊等安全問題時，仍停留在兵來將擋的被動應付階段。安全需求來自于業務本身，而非 IT 技術驅動，安全問題貫穿于整個企業的運作。

企業信息安全概述

l商業機密信息安全

企業的商業秘密的泄露會使企業喪失競爭優勢，失去市場；企業必須防止商業信息泄露或篡改的現象發生。

l保障業務持續運轉

防止企業經營或商務活動的中斷，保護關鍵商務過程免受重大故障或災難的影響，建立和管理安全強壯的信息系統必不可少。

l新技術帶來的安全隱患

虛擬化和云計算增加基礎架構復雜性，新興技術的應用導致安全違規和安全攻擊事件的大量增加，數據量每隔 18 個月翻一番，圍繞著信息上下文的存儲、安全和發現技術變得越來越重要。信息安全問題越來越凸現出來 使得企業規避信息安全風險的需求日趨緊迫。

l保護企業客戶信息和內部員工信息

企業的內部組織信息，員工信息，以及企業的客戶信息，商務伙伴的資料與數據等，是企業賴以生存的基礎，都是需要保護的重要資產。

l完善安全管理策略，降低企業風險

為了實現有效的安全策略，構建企業安全平臺，企業必須建立一個基于風險分析，策略定義，方案實施，管理和審計的循環往復的流程周期。

二、企業信息安全的歷程

l通信安全

在早期，通信技術還不發達，電腦只是零散的位于不同的地點，信息系統的安全僅限于保證電腦的物理安全以及通過密碼（主要是序列密碼）解決通信安全保密問題。如果一臺電腦上的數據需要讓別人讀取，而需要數據的人卻在異地，只有將數據拷貝在介質上，派專人秘密的送到目的地，拷貝進電腦再讀取出數據。這個階段人們強調的信息系統安全性是指信息的保密性，對安全理論和技術的研究也僅限于密碼學。

l信息安全

60年代，對安全的關注已經逐漸擴展為以保密性、完整性和可用性為目標的信息安全階段，主要保證動態信息在傳輸過程中不被竊取，即使竊取了也不能讀出正確的信息；還要保證數據在傳輸過程中不被篡改，讓讀取信息的人能夠看到正確無誤的信息。

l信息保障

90年代，信息安全的焦點已經從傳統的保密性、完整性和可用性三個原則衍生為諸如可控性、抗抵賴性、真實性等其他的原則和目標。信息安全也轉化為從整體角度考慮其體系建設的信息保障階段。

l面向服務的安全保障

現在，隨著“軟件定義”的出現，網絡架構和應用架構都出現了不同程度的發展，安全保障不僅是組件間的環節控制，對組件本身的安全同樣需要。對單個業務的安全保障需求演變為對多個業務交叉系統的綜合安全需求，IT基礎設施與業務之間的耦合層度逐漸降低，安全也分解為若干單元，安全不再面對業務本身，而是面對使用業務的客戶，具體地說就是用戶在使用IT平臺承載業務的時候，涉及該業務安全保障，由此，安全保障也從面向業務發展到面向服務。

三、企業信息安全體系架構解決方案

企業信息安全框架從上到下由安全治理、風險管理及合規層，安全運維層和基礎安全服務和架構層三個層次構成。安全治理、風險和合規作為ESF 架構頂層的核心內容，是第二層安全運維的服務對象，同時，它們也是企業信息安全策略制定的基礎和依據，此外，這一層也為最下層，基礎安全服務和架構層中的各個子系統提供選擇和建設的依據。

l基礎安全服務和架構層

基礎安全服務和架構定義了企業信息安全框架中的五個核心的基礎技術架構和相關服務：物理安全、基礎架構安全、身份/訪問安全、數據安全和應用安全。基礎安全服務和架構是安全運維和管理的對象，其功能由各自的子系統提供保證。

l安全運維

在安全策略的指導下，安全組織利用安全技術來達成安全保護目標的過程。安全運維與 IT 運維相輔相成、互為依托、共享信息與資源。

l安全治理、風險管理和合規

安全治理和風險管理及合規的內容主要包含企業信息安全建設的戰略和治理框架、風險管理框架以及合規和策略遵從。安全治理、風險管理合規是企業信息安全框架的最頂層，是業務驅動安全的出發點。通過對企業業務和運營風險的評估，確定其戰略和治理框架、風險管理框架，定義合規和策略遵從，確立信息安全文檔管理體系。

四、總結

企業信息安全框架參考了眾多企業所積累的經驗，充分吸取行業中的最佳實踐。在具體運用中可結合信息安全相關方法論、模型及標準，將所有的內容與要求基于企業的業務需求和的現狀轉化到信息安全設計與規劃的具體項目中分別予以實現并提供了可參照執行的演進思路。從企業需求出發，參照企業信息安全管理框架，通過評估和風險分析等方法，定義企業安全需求，根據企業的安全需求定義企業信息安全建設的內容和方向。

l可審查

對出現的網絡安全問題提供調查的依據和手段。

l可控性

可以控制授權范圍內的信息流向及行為方式。

l完整性

只有得到允許的人才能修改數據，并且能夠判別出數據是否已被篡改。

l機密性

確保信息不暴露給未授權的實體或進程。

l可用性

得到授權的實體在需要時可訪問數據，即攻擊者不能占用所有的資源而阻礙授權者的工作。