《企業(yè)信息安全管理》闡述了企業(yè)信息安全管理過程中的通用理念、方法和項(xiàng)目實(shí)踐,包括企業(yè)信息安全整體解決方案,企業(yè)信息安全規(guī)章制度體系、控制體系及企業(yè)信息安全技術(shù)體系的主要構(gòu)成,具體介紹了信息安全技術(shù)體系中的終端計(jì)算機(jī)安全防護(hù)系統(tǒng)、網(wǎng)絡(luò)安全域防護(hù)系統(tǒng)、身份管理與認(rèn)證系統(tǒng)、信息內(nèi)容監(jiān)測系統(tǒng)、信息安全運(yùn)行中心系統(tǒng)及云計(jì)算平臺(tái)安全防護(hù)。
《企業(yè)信息安全管理》適合于從事信息安全工作的各級(jí)管理人員、信息技術(shù)人員和業(yè)務(wù)人員閱讀使用,同時(shí)對(duì)于從事信息化研究、咨詢和實(shí)施服務(wù)的人員、大專院校學(xué)生和研究生也具有較強(qiáng)的參考價(jià)值。
隨著我國信息化工作持續(xù)深入推動(dòng),信息化在促進(jìn)企業(yè)創(chuàng)新發(fā)展過程中的作用越來越顯著,有效提升了企業(yè)經(jīng)營管理、生產(chǎn)運(yùn)行管理、綜合辦公和決策支持的規(guī)范化、現(xiàn)代化水平。與此同時(shí),企業(yè)面臨的信息安全風(fēng)險(xiǎn)也越來越大。由于一些企業(yè)缺乏信息安全整體解決方案,導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全防護(hù)能力不夠,各類信息安全事件呈現(xiàn)高發(fā)高危態(tài)勢(shì),敏感數(shù)據(jù)泄露也時(shí)有發(fā)生;加之隨著“云大物移智”新一代信息技術(shù)的發(fā)展和應(yīng)用,傳統(tǒng)信息安全風(fēng)險(xiǎn)開始向工業(yè)控制、云計(jì)算、大數(shù)據(jù)領(lǐng)域擴(kuò)展,新的安全威脅與日俱增,高級(jí)持續(xù)性威脅攻擊(Advanced Persistent Threat,APT)已顯冰山一角;同時(shí)與西方發(fā)達(dá)國家相比,由于一些關(guān)鍵軟硬件產(chǎn)品仍受制于人,我國信息安全產(chǎn)業(yè)發(fā)展也不均衡,為企業(yè)提供信息安全保障的技術(shù)能力和水平也亟須提升。
面對(duì)日益嚴(yán)峻的信息安全形勢(shì),制訂并持續(xù)實(shí)施信息安全整體解決方案就顯得格外重要且迫切,持續(xù)加強(qiáng)信息安全管理體系建設(shè)成為企業(yè)發(fā)展過程中必須加強(qiáng)的重點(diǎn)工作。企業(yè)信息安全管理需要認(rèn)真貫徹國家“以安全保發(fā)展,以發(fā)展促安全”的網(wǎng)絡(luò)安全觀,積極落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,重點(diǎn)保護(hù),適度安全,做到信息安全防護(hù)與信息系統(tǒng)建設(shè)同步進(jìn)行;遵從“三分技術(shù)、七分管理”的安全治理理念,注重安全可控與積極防御,防護(hù)建設(shè)與適度震懾能力建設(shè)并舉;以機(jī)密性、完整性和可用性為目標(biāo),從管理、控制、技術(shù)三個(gè)方面開展信息安全工作,建設(shè)計(jì)算機(jī)終端、網(wǎng)絡(luò)和應(yīng)用系統(tǒng)組成的由表及里、層層防護(hù)的信息安全體系架構(gòu);堅(jiān)持持續(xù)改進(jìn)的理念,以風(fēng)險(xiǎn)控制為基礎(chǔ),不斷提升信息安全立體防御能力。在實(shí)施企業(yè)信息安全體系建設(shè)過程中,注重設(shè)計(jì)先進(jìn)實(shí)用的企業(yè)信息安全整體解決方案,努力實(shí)施好身份管理與認(rèn)證、邊界控制、數(shù)據(jù)加密、內(nèi)容審計(jì)等項(xiàng)目和措施,以保障信息系統(tǒng)安全為重點(diǎn),采用多種方式逐步實(shí)現(xiàn)全面覆蓋,綜合平衡信息安全風(fēng)險(xiǎn)影響和控制程度,將安全風(fēng)險(xiǎn)降到可接受的程度,既不過保,也不欠保;同時(shí)要根據(jù)新技術(shù)、新應(yīng)用的發(fā)展需求,保證信息安全體系架構(gòu)的可擴(kuò)展性;還要加強(qiáng)合作、統(tǒng)籌力量、協(xié)同防御,廣泛聯(lián)合政府信息安全管理及研發(fā)機(jī)構(gòu),推動(dòng)業(yè)務(wù)、信息化與信息安全的深度融合,共同構(gòu)建企業(yè)信息安全協(xié)同防御體系。
本書結(jié)合編者在信息安全管理工作中的實(shí)際經(jīng)驗(yàn),闡述了企業(yè)信息安全管理過程中的通用理念、方法和項(xiàng)目實(shí)踐。本書共分10章:第1章介紹了企業(yè)信息安全體系;第2章至第4章分別介紹了企業(yè)信息安全管理體系、控制體系及技術(shù)體系;第5章至第10章分別介紹了信息安全技術(shù)體系中的重大項(xiàng)目,包括終端計(jì)算機(jī)安全防護(hù)系統(tǒng)、網(wǎng)絡(luò)安全域防護(hù)系統(tǒng)、身份管理與認(rèn)證系統(tǒng)、信息安全內(nèi)容監(jiān)測系統(tǒng)、信息安全運(yùn)行中心系統(tǒng)及云計(jì)算平臺(tái)安全防護(hù)。其中,災(zāi)難恢復(fù)系統(tǒng)作為企業(yè)信息安全技術(shù)體系的重要組成部分,結(jié)合云計(jì)算平臺(tái)應(yīng)用采取的新思路和新方案,本書將其與云計(jì)算平臺(tái)安全防護(hù)合并介紹,不再單獨(dú)論述。
本書的編者未拘泥于單純的理論敘述,更希望從信息安全管理和實(shí)踐的視角為讀者提供一些有益的思路和方法,限于編者水平,本書難免掛一漏萬,敬請(qǐng)讀者批評(píng)指正。在編寫本書過程中,得到了業(yè)內(nèi)相關(guān)專家、同事和朋友的大力支持,在此表示深深謝意。
1 企業(yè)信息安全體系
1.1 企業(yè)信息安全管理原則
1.2 企業(yè)信息安全管理目標(biāo)
1.3 企業(yè)信息安全管理一級(jí)流程
1.4 信息安全體系建設(shè)規(guī)劃編制
1.5 信息安全體系概念模型
1.6 企業(yè)信息安全總體架構(gòu)
1.7 企業(yè)信息安全體系項(xiàng)目框架和實(shí)施藍(lán)圖
1.8 企業(yè)信息安全體系建設(shè)的目標(biāo)和重點(diǎn)
1.9 小結(jié)
2 企業(yè)信息安全管理體系
2.1 信息安全組織完善
2.2 信息安全運(yùn)行能力建設(shè)
2.3 風(fēng)險(xiǎn)評(píng)估能力建設(shè)
2.4 小結(jié)
3 企業(yè)信息安全控制體系
3.1 信息安全制度體系
3.2 信息安全標(biāo)準(zhǔn)
3.3 基礎(chǔ)設(shè)施安全配置控制
3.4 應(yīng)用系統(tǒng)合規(guī)性實(shí)施
3.5 小結(jié)
4 企業(yè)信息安全技術(shù)體系
4.1 企業(yè)信息安全技術(shù)體系項(xiàng)目
4.2 信息安全技術(shù)防護(hù)對(duì)象與措施
4.3 云技術(shù)在安全防護(hù)中的應(yīng)用
4.4 大數(shù)據(jù)在安全防護(hù)中的應(yīng)用
4.5 小結(jié)
5 終端計(jì)算機(jī)安全防護(hù)系統(tǒng)
5.1 終端安全防護(hù)系統(tǒng)設(shè)計(jì)
5.2 防病毒系統(tǒng)
5.3 補(bǔ)丁分發(fā)系統(tǒng)
5.4 端點(diǎn)準(zhǔn)人系統(tǒng)
5.5 后臺(tái)管理系統(tǒng)
5.6 電子文檔保護(hù)系統(tǒng)
5.7 小結(jié)
6 網(wǎng)絡(luò)安全域防護(hù)系統(tǒng)
6.1 企業(yè)網(wǎng)絡(luò)安全域劃分
6.2 網(wǎng)絡(luò)邊界防護(hù)
6.3 域間與數(shù)據(jù)中心安全防護(hù)
6.4 域內(nèi)安全防護(hù)
6.5 小結(jié)
7 身份管理與認(rèn)證系統(tǒng)
7.1 身份管理與認(rèn)證系統(tǒng)架構(gòu)
7.2 集中身份管理
7.3 統(tǒng)一身份存儲(chǔ)
7.4 統(tǒng)一身份認(rèn)證
7.5 公共密鑰體系
7.6 小結(jié)
……
8 信息安全內(nèi)容監(jiān)測系統(tǒng)
9 信息安全運(yùn)行中心系統(tǒng)
10 云計(jì)算平臺(tái)安全防護(hù)
參考文獻(xiàn)