一、企业信息安全的需求

目标：构建信息安全体系，支撑企业发展战略随着国内大部分企业信息化程度的提升，企业的信息资产与业务运营所面临的安全威胁也在日益加剧。虽然企业对于安全防护的投入逐年递增，但在面对愈来愈频繁和复杂的病毒  破坏与黑客攻击等安全问题时，仍停留在兵来将挡的被动应付阶段。安全需求来自于业务本身，而非 IT 技术驱动，安全问题贯穿于整个企业的运作。

企业信息安全概述

l商业机密信息安全

企业的商业秘密的泄露会使企业丧失竞争优势，失去市场；企业必须防止商业信息泄露或篡改的现象发生。

l保障业务持续运转

防止企业经营或商务活动的中断，保护关键商务过程免受重大故障或灾难的影响，建立和管理安全强壮的信息系统必不可少。

l新技术带来的安全隐患

虚拟化和云计算增加基础架构复杂性，新兴技术的应用导致安全违规和安全攻击事件的大量增加，数据量每隔 18 个月翻一番，围绕着信息上下文的存储、安全和发现技术变得越来越重要。信息安全问题越来越凸现出来 使得企业规避信息安全风险的需求日趋紧迫。

l保护企业客户信息和内部员工信息

企业的内部组织信息，员工信息，以及企业的客户信息，商务伙伴的资料与数据等，是企业赖以生存的基础，都是需要保护的重要资产。

l完善安全管理策略，降低企业风险

为了实现有效的安全策略，构建企业安全平台，企业必须建立一个基于风险分析，策略定义，方案实施，管理和审计的循环往复的流程周期。

二、企业信息安全的历程

l通信安全

在早期，通信技术还不发达，电脑只是零散的位于不同的地点，信息系统的安全仅限于保证电脑的物理安全以及通过密码（主要是序列密码）解决通信安全保密问题。如果一台电脑上的数据需要让别人读取，而需要数据的人却在异地，只有将数据拷贝在介质上，派专人秘密的送到目的地，拷贝进电脑再读取出数据。这个阶段人们强调的信息系统安全性是指信息的保密性，对安全理论和技术的研究也仅限于密码学。

l信息安全

60年代，对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段，主要保证动态信息在传输过程中不被窃取，即使窃取了也不能读出正确的信息；还要保证数据在传输过程中不被篡改，让读取信息的人能够看到正确无误的信息。

l信息保障

90年代，信息安全的焦点已经从传统的保密性、完整性和可用性三个原则衍生为诸如可控性、抗抵赖性、真实性等其他的原则和目标。信息安全也转化为从整体角度考虑其体系建设的信息保障阶段。

l面向服务的安全保障

现在，随着“软件定义”的出现，网络架构和应用架构都出现了不同程度的发展，安全保障不仅是组件间的环节控制，对组件本身的安全同样需要。对单个业务的安全保障需求演变为对多个业务交叉系统的综合安全需求，IT基础设施与业务之间的耦合层度逐渐降低，安全也分解为若干单元，安全不再面对业务本身，而是面对使用业务的客户，具体地说就是用户在使用IT平台承载业务的时候，涉及该业务安全保障，由此，安全保障也从面向业务发展到面向服务。

三、企业信息安全体系架构解决方案

企业信息安全框架从上到下由安全治理、风险管理及合规层，安全运维层和基础安全服务和架构层三个层次构成。安全治理、风险和合规作为ESF 架构顶层的核心内容，是第二层安全运维的服务对象，同时，它们也是企业信息安全策略制定的基础和依据，此外，这一层也为最下层，基础安全服务和架构层中的各个子系统提供选择和建设的依据。

l基础安全服务和架构层

基础安全服务和架构定义了企业信息安全框架中的五个核心的基础技术架构和相关服务：物理安全、基础架构安全、身份/访问安全、数据安全和应用安全。基础安全服务和架构是安全运维和管理的对象，其功能由各自的子系统提供保证。

l安全运维

在安全策略的指导下，安全组织利用安全技术来达成安全保护目标的过程。安全运维与 IT 运维相辅相成、互为依托、共享信息与资源。

l安全治理、风险管理和合规

安全治理和风险管理及合规的内容主要包含企业信息安全建设的战略和治理框架、风险管理框架以及合规和策略遵从。安全治理、风险管理合规是企业信息安全框架的最顶层，是业务驱动安全的出发点。通过对企业业务和运营风险的评估，确定其战略和治理框架、风险管理框架，定义合规和策略遵从，确立信息安全文档管理体系。

四、总结

企业信息安全框架参考了众多企业所积累的经验，充分吸取行业中的最佳实践。在具体运用中可结合信息安全相关方法论、模型及标准，将所有的内容与要求基于企业的业务需求和的现状转化到信息安全设计与规划的具体项目中分别予以实现并提供了可参照执行的演进思路。从企业需求出发，参照企业信息安全管理框架，通过评估和风险分析等方法，定义企业安全需求，根据企业的安全需求定义企业信息安全建设的内容和方向。

l可审查

对出现的网络安全问题提供调查的依据和手段。

l可控性

可以控制授权范围内的信息流向及行为方式。

l完整性

只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。

l机密性

确保信息不暴露给未授权的实体或进程。

l可用性

得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。