cnsinda的专栏

企业信息系统做面临的威胁大体可分为两类：一是对系统中信息的威胁；二是对系统中的设备包括软件硬件的威胁。制定企业信息系统安全规划一方面要满足系统安全要求并描述为满足系统安全要求所采取或所采取的安全控制方法，另一方面要明确所有对系统进行访问的人员的责任和行为规范。企业安全规划设计过程中应在信息系统可承受的安全风险范围内尽可能地考虑成本与效率，同时还要紧密结合企业系统的安全要求及面临的威胁制定科学，合理

普遍存在性客观性无限性有序性相对性共享性价值性时效性

在企业信息系统安全这每个主要阶段及其子阶段中，都要反复运用系统过程，包括需求分析，功能分析，综合分析，系统分析与控制，因此在企业信息系统安全生命周期中，完成过程实施需求时，就能有效地运用系统的基本原则。企业信息系统安全，生命周期主要包括九个阶段，星期该女阶段，概念阶段，需求阶段，系统设计阶段，初步设计阶段，详细设计阶段，实现和测试阶段，配置审计阶段，运行和支持阶段，下面将对信息系统安全的每

企业信息系统安全工程，是企业侧重于信息安全的应用系统工程，是为企业信息系统提供安全保障的系统工程技术，他用在设计和实现企业信息系统的过程中，具体来说，企业信息系统安全工程，是指将专门的企业信息安全技术，如，通信安全，计算机安全和，网络安全技术等，应用于信息系统生命周期的各个阶段，以保证企业内部对信息系统的需求，按照可行的安全策略得到满足，并使企业信息系统能够抵御可感知的威胁。企业信息系统安

信息系统是由计算机软硬件，网络通信设备，数据资源以及人组成的收集处理，储存及传输信息为目的的人机一体化系统。从信息系统的发展和系统特点来看，可以将信息系统，分为以下几种类型：管理信息系统（Management Information System,MIS）办公自动化系统（Office Automation System,OAS）决策支持系统（Decision Support S

网络的开放性-网络支持系统共享，所以其最大的特点是对外开放，而用户众多，良莠不齐，从而导致误用滥用甚至恶意破坏的情况发生。信息系统本身存在着脆弱性-黑客或故意破坏者，会利用系统不规范的安全配置，或者错误的配置打开入侵系统的缺口，用户的误操作或不恰当使用，会造成不安全的后果，甚至会导致系统崩溃，网络传输协议自身的弱点容易造成信息泄密。管理者不重视系统的安全管理-即使有了很详细的安全解决方案，

企业信息系统安全规划是信息化规划的重要组成部分之一，他所要完成的主要任务是围绕信息系统的发展规划，从网络安全，应用安全和管理安全三个层面，根据调研结果提出信息系统的企业信息安全需求，参照国内企业相关标准制定企业信息系统的信息安全规范建立企业信息安全体系结构，并提出一套有效的企业信息安全保障措施和测评技术。企业信息系统安全规划是一个涉及管理，法规，和技术等多方面的综合工程，企业信息系统安全的

近年来,电脑以及互联网应用在中国的普及和发展，已经深入到社会每个角落，政府,经济，军事，社会，文化和人们生活等各方面都越来越依赖于电脑和网络。电子商务，无纸化办公、MIS、ERP、OA等系统也在企事业单位中得到广泛应用。但在这个发展潮流中,网络信息安全隐患越来越突出,信息泄密事件时有发生。众所周知，电子文档极易复制，容易通过邮件，光盘，U盘，网络存贮等各种途径传播。企事业的机密文档，研发源

任务和被保护的企业信息重要性或敏感性改变可能导致安全需求和要求的对抗措施的改变。威胁的改变使系统的安全风险增加或减少。赢得改变要求不同的安全操作模式。发现新的安全攻击手段。破坏企业安全，破坏企业系统完整性，或通过揭示安全缺陷使授权无效的异常事件。新的安全审计，检查，和外部评价结果。企业系统，自系统，或组成单元配置的改变或修改。排除或降低配置项。排除或降低企业系统过程

企业信息系统全面合理的安全规划是企业信息系统，安全建设的基础和重要前提，对企业信息系统的整体架构集体安全体系具有良好的支持作用，同时也会显著提高企业系统所在组织的信息安全水平和管理能力。具体来说，企业信息系统安全规划有如下作用：企业系统运行集成化降低和控制企业安全风险，提高企业信息系统的运行效率；控制安全方面的投入成本，缩短企业信息系统安全体系的建设周期；提高企

企业信息系统安全保证计划适用于企业信息系统安全相关的保证技术，把安全功能需求同相关的可测度的，强度级别或依赖级别结合到一起，实现企业安全保障的技术包括测试，珍惜，过程控制，评审，和其他开发，企业安全保证计划是一种方法，他用来确定用户保护什么？如何将它划分等级，然后如何保证给予他同等级的安全保护。由于并非构成系统的所有功能都要求相同的强度和可信度，因此企业安全保证计划，应当确保，安全保证等级

一个全方位的企业计算机网络安全体系结构包含网络的物理安全，访问控制安全，系统安全，用火安全，信息安全，安全传输和安全管理等。只有充分利用各种先进的技术，如主机安全技术，身份认证技术，访问控制技术，密码技术，防火墙技术，网络反病毒技术，安全审计技术，安全管理技术，系统漏洞检测技术，黑客跟踪技术等，在攻击者和受保护的资源间建立多道严密的安全防线，才能够，增加物理攻击的难度及审核信息的数量，并且利用这些

企业安全风险是对达到技术性能成本，和精度方面的目的，和目标的不确定性的一种度量，企业安全风险等级使用安全事件和安全事件出现的频率来分类的，企业风险源包括以下几个方面：技术方面可行性可操作性，可生产性，可测试性，可维护性，技术和材料的可获取性，和系统的有效性。进度方面技术材料的可用性技术成果和里程碑。资源方面资源的利用率和资源的保护

信息系统安全的概念分为三个层次:基于通信保密的信息系统安全-信息保密的基本技术是家里，目的是控制信息共享的范围，保障信息传递过程中的机密性.基于信息系统防护的信息系统安全-信息安全是在机密的基础上，把信息安全的内涵扩充到完整性，可用性，真实性，和可控性.它是一种被动的防御思想，所以也称为信息防护.信息安全的被动防御还体现在这些概念是从，训练中，总结出来的，也是在计算机诞生后的信

安全体系结构与技术的研究-安全体系结构理论，主要研究如何利用形式化的数学描述和分析方法建立信息系统的安全体系结构模型。安全协议理论与技术的研究-众所周知，TCP/IP协议以及基于TCP/IP的HTTP,FTP等都存在着不安全的问题，因此致力于提高改进这些协议的安全性，甚至创新的安全协议始终是人类，追求的目标，目前，安全协议利率和技术的研究主要包括协议的安全性分析方法，和各种使用安全协议设计与分

企业对象认证安全服务企业对一项认证安全服务用于识别对象的身份并验证。企业访问控制安全服务企业访问控制安全服务提供对未授权使用资源的防御措施，访问控制可分为自主访问控制，强制访问控制，基于角色的访问控制，可以通过基于访问控制属性的访问控制表，基于安全标签或用户和资源分党的多级访问控制等实现。企业数据机密性安全服务企业数据