企业信息安全_绕过企业信息安全的误区

　　（思睿迪咨询熊甲林）企业信息安全既不是简单的安全产品堆砌，也不等同于局部的网络安全，而应是基于需求构成的以管理、技术和人员三者有机结合的立体架构。 　　在进行信息安全总体架构规划时，企业容易陷入两个误区: 一是罗列一堆产品和技术，把能够看到的安全产品和安全技术（防火墙、防病毒、入侵监测、加密技术、VPN、终端准入控制）都堆砌起来，以为这样就构成了全面的安全屏障; 二是把企业信息安全等同于网络安全，给出的规划也只能是局部的、残缺不全的。
　　要做企业信息安全总体架构规划，首先要了解企业的信息安全需求。抛开需求做规划，难免会掉进前面所讲的两种误区中。因此，做规划要从需求入手。
　　
　　企业信息安全总体架构规划模型（图1）以企业信息安全的需求（保密性、完整性、可用性）为出发点，以应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全为关注重点，层层剖析、全面挖掘企业的信息安全需求，是一种将管理、技术和人员三者有机结合的企业信息安全保障体系。该模型均衡考虑了企业在保密性（C）、完整性（I）和可用性（A）三方面的安全需求。
　　企业信息安全总体架构规划模型虽然清晰地指出了规划的要点、重点和思路，但是按照此模型还是不知道如何去做，具体实施应参照一定的方法论进行。企业信息安全总体架构规划方法论（图2）融合了以管理和技术为核心的全面分析方法，以安全需求为焦点，从管理现状、技术现状和人员状况三个维度，综合采用调查问卷、人员访谈、现场察看、资料分析、技术检测等多种手段，全面深入地挖掘需求。在明确需求的前提下，借鉴同类企业成功经验并均衡考虑CIA（保密性、完整性、可用性），规划符合企业实情的信息安全保障体系。
　　在企业信息安全总体架构规划方法论中，重点工作的描述如下:
　　
　　调查问卷
　　
　　针对企业情况，信息主管应参照ISO27001/ISO13335等标准，制定相应的调查问卷，通过它全面了解企业的安全要求、安全状况、IT环境，以及企业信息系统的应用情况和已经采取的安全控制手段。
　　人员访谈
　　应选定关键领导和关键岗位，进行人员访谈，全面了解信息系统的安全需求，层层剖析、深入了解企业信息系统各层面的安全现状，包括应用状况、数据存储及数据库、主机及操作系统、网络拓扑及网络管理、数据中心及桌面管理等。
　　现场查看
　　为了确保获取信息的全面性和准确性，实地考察是非常必要的。现场查看主要有两方面。一方面是了解现有技术措施的情况，例如设备使用状况、技术应用状况等; 另一方面是物理环境察看，例如机房、办公室、其他重要区域、门禁、监控等。
　　资料分析
　　收集企业的相关资料进行分析，重点包括信息系统的部署架构、网络架构、安全制度、运维管理、IT运行报告和IT审计报告。
　　技术检测
　　采取技术手段进行漏洞检测和分析，包括渗透测试、漏洞扫描、本地检查和手工检查等。充分发掘网络方面的漏洞、主机及操作系统漏洞、数据库方面的漏洞、应用方面的漏洞等。
　　CIA均衡考虑
　　通过前面5种方法完成需求分析之后，CIO对信息安全的具体详细的需求就了解了。然后针对企业的信息安全需求，均衡考虑CIA三个方面设计技术、管理和人员控制措施，并将这些措施有机结合构建信息安全保障体系。
　　同类企业成功经验
　　有现成的桥，就没有必要摸着石头过河。因此，在设计信息安全保障体系时，借鉴国内企业在信息安全保障方面的成功案例，可以节约成本和少走弯路。