企业网络信息安全管理

最新推荐文章于 2024-07-26 10:30:50 发布
最新推荐文章于 2024-07-26 10:30:50 发布
阅读量879 收藏 1
点赞数
文章标签: 网络 作业 工作 活动 工具 微软
 

讲述信息安全 信息安全实际上是一个架构,其中包括一套完整的作业流程及运作机制。ISO27001(原BS7799标准)正是这样一套信息安全领域的国际标准。它已经成为世界上应用最广泛的、典型的信息安全管理标准。ISO27001的信息安全架构共包括11个控制域、39个控制措施、133个控制点。其中的控制域包括:安全策略、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作安全、信息系统获得,开发和维护、访问控制、信息安全事件管理、业务连续性管理、符合性。

熟知信息安全的三个主体
人。首要的主体也就是人,再安全的架构,缺乏安全意识的人去使用,也照样漏洞百出。信息安全团队的建置,合理的权责界限,合格的第三方支持人员等等,涉及到安全管理活动链条中的每个角色都必须经过安全评估。管理的是人,被管理的也是人。看似矛盾过程,但实际上是一个相互制约相互促进的过程。另外,企业安全的执行需要企业高层的支持,中层的督促,员工的执行。缺少任何一个,所有的工作都会成为徒劳。安全是需要全员的参与,提高全员的安全意识,才能全面做好整个企业的安全工作。

流程。有了安全意识的人员,没有安全的流程,一旦企业信息环境发生了变化,安全将不复存在。故而定制可高效执行的,可管理的流程,标准化各个方面的作业管理,是维持企业信息安全的有力支柱。如果说人是整个安全体系中最重要的主体,那么流程则是安全体系中的灵魂,通过流程,可以了解及控制整个安全项目的作业标准、规范及完整性。如果安全性改善在实施过程中发现问题,就需要通过预定的流程,提出改善建议,向指定部门提交报告,从而不断完善整个流程的合理性及适用性。

技术。有了安全的人和安全的流程,还需要导入有效的工具,以控制流程的安全执行,因为最有安全意识的人,也会懈怠!技术是人和流程上的一个补充,通过技术实现自动化控制的最大化,是实施安全技术的基本原则。例如,建置SOC系统,以提高安全事件的响应;导入资产管理系统,以加强软硬件的集中、自动化的管理。
这三个安全主体构成了企业信息安全稳定的体系架构,缺一不可。

了解信息安全架构
信息安全的体系架构在设计之前,需要深入到企业内部了解两方面的问题:

  • 各项业务的内容、操作流程、运作模式
  • 当前IT运作的状况

ISO27001标准中的核心模块都是针对IT基础架构而构建,一个良好的IT基础架构是企业信息安全防护的前提。例如,美国信息系统审计与控制协会(ISACA) 提出的信息系统和技术控制目标(Cobit),英国政府中央计算机与电信管理中心(CCTA)提出的信息技术基础设施库(ITIL),以及微软提出的微软操作架构(MOF)等IT管理工具都可以加强并改善IT服务管理(ITSM)。做好了ITSM,自然也就提升了企业信息安全性。同样,做好ISO27001,ITSM则变得更加完善及健全。ITSM和ISO标准可以说是一套相互补充、相互改善的机制。您看到的文章来自活动目录SEO http://gnaw0725.blog.51cto.com/156601/d-3

定义信息安全范畴
任何一个项目的执行都必须定义范畴,没有执行范畴的项目只能是漫无边际而又毫无效率!而如何定义信息安全所覆盖的范畴(Scope),以及评估范畴内各个方面所面临的风险(Risk),就成为信息安全架构的要素。

范畴(scope)的界定非常重要。它关系到企业内业务的保护层面。现在,我们在前期所做的工作就有用了。根据前期对业务的调查,界定资源保护的层面。其实所有评定条件的标准都需要依据企业内业务的内容、性质作为前提条件。

风险(Risk)的评估更为重要。因为企业内各项资源的重要及安全级别的评量,将直接影响到企业内业务的保护程度。这将需要我们花费大量的时间和精力,根据界定的范畴来评量这些需要保护的资源的风险。

只有做到清晰的范畴界定和符合原则的风险评估,方可在一定的成本预算下,对需要保护的资源实现最大程度上的保护,尽可能降低整体的安全风险系数。

制定信息安全策略
接下来,我们根据范畴界定以及风险评估,设计相应的安全策略(Policy)。这里可能需要重点强调一下,安全策略的设计一定要符合企业的安全性原则。我曾经在实际的安全稽核过程中,看到用户把密码写下来贴在显示器上或办公桌上,原因是密码过于复杂,难以记忆。可见,策略设计不合理,就会适得其反。这样的事情,在不合理的信息安全策略制定过程中非常常见。完整的信息安全策略制定过程,是一个持续的过程,包括四个阶段:导入安全控管系统,建置作业流程,定期稽核和侦察,后续做持续改善。

小结
信息安全的整个架构中,安全事件的发生是不可能完全杜绝的,我们所要做的,就是降低已知存在的风险,减小对企业业务影响。实施信息安全保护需要在安全性和易用性之间寻找合适的平衡点,追求绝对安全在大多数情况下是不合适的。信息安全防护是一个长期的、持续的过程,而非一蹴而就的。在这个过程中,还需要我们不断地重复安全监视、侦防、稽核以及改善过程。

maxiaoqiang1
关注
基于网络信息安全技术管理的计算机应用研究
穷玩电脑
10-21 1749
对此,为进一步提升网络信息安全水平,需在明确网络信息安全控制的必要性,结合现阶段网络信息发展现状,总结其中存在的网络信息安全问题,通过深入分析明确其问题产生原因,并在此基础上加强对安全防护计算机技术的应用,为计算机系统的安全运行提供保障,加强对网络信息安全防护技术的研发力度,重视对现阶段计算机领域尖端人才队伍的建设,完善网络信息安全管理制度体系,以此为网络信息营造安全、和谐的环境。同时,为促进安全技术研究工作的全面开展,需以充足的资金投入为支撑,设立专项资金,用于安全技术的研发与升级。
信息安全服务企业三年发展战略规划(2018-2020)
08-22
持续地改善和优化公司的技术研发体系、产品体系、服务支撑体系和管理流程,稳步提升公司在上海信息安全行业的市场份额、品牌形象,同时积极开拓国内市场,致力于将公司打造成为在全国范围内、提供网络安全等级保护...
企业信息安全建设规划.docx
02-21
企业信息安全建设规划,适合从零开始建设,具有一定参考意义。
企业网络信息安全管理规划方案免费下载
weixin_34304013的博客
08-12 262
声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com。 企业网络信息安全管理规划方案免费下载 讲述信息安全 信息安全实际上是一个架构,其中包括一套完整的作业流程及运作机制。ISO27001(原BS7799标准)正是这样一套信息安全领域的国际标准。它已经成为世界上应用最广泛的、典型的...
企业网络安全运营之管理篇(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
2401_84618514的博客
07-26 337
安全管理体系主要是为安全运营中心建立一套完善的、符合等级保护第三级要求的安全管理体系,以便开展日常安全工作及其他相关工作。以安全组织架构设计为基础,定义业务系统监管方、云服务运维方、业务系统运维方、安全运营中心“四方”的职责如下:(1)应按照网络安全法和国家信息系统安全等级保护的要求,对各个业务系统进行信息安全设计与建设,各方应该在系统监管方的协调下积极配合安全运营中心的建设工作
企业信息安全规划
samtaoys的博客
05-18 1503
网络安全架构 序号 设备名称 功能描述 1 WEB防火墙 普通防火墙针对一些底层(网络层、传输层)的信息进行阻断的防火墙,主要是作包过滤。 Web应用防火墙是应用级的网站安全综合解决方案,Web应用防火墙(WAF)旨在保护Web应用程序免受常见攻击(如跨站脚本攻击和SQL注入攻击等)的威胁。 深入到应用层,对应用进行深度防御,有效识别、阻止日益盛行的W...
信息安全保障体系规划方案
热门推荐
weixin_42330461的博客
06-21 6万+
本文转载自公众号爱方案(ID:ifangan)。本文内容为信息安全技术体系、运维体系、管理体系的评估和规划,是信息安全保障体系的主体。一、 概述1.1引言本文基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。本文内容为信息安全技术体系、运维体系、管理体系的评估和规划,是信息安全保...
企业信息安全体系建设方案(资料下载)
ITIL之家公众号
04-10 748
公众号回复:干货,领取价值58元/套IT管理体系文档公众号回复:ITIL教材,领取最新ITIL4中文教材正文完整高清版本获取方式:分享本文到朋友圈保留一小时后截图发给微信 itilcn 领...
网络信息安全管理组织机构设置及工作职责.docx
04-04
企业网络信息安全管理工作需遵循国家和行业的相关法规,如《信息安全技术 信息系统安全保障评估框架》、《信息安全技术 信息系统安全管理要求》和《信息安全技术 信息系统安全等级保护基本要求》等,确保符合...
企业网络安全管理制度(策略、制度、解决方案)
06-06
某公司信息安全管理制度.pdf 随着企业信息化水平的逐步提高,网络安全与否,直接关系到油田生产和科研的正常进行。网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题。如果不...
网络安全管理责任制度
10-20
网络安全管理责任制度是保障企业网络安全的重要手段。通过明确各部门和个人的职责、强化安全教育与培训、实施有效的安全防护措施以及建立健全违规处理机制,可以有效提升企业网络安全水平,确保网络环境的安全稳定...
企业网络服务器规划与管理(1).doc
06-07
"班 级 "13网络一 "学生姓名 "许富翔 "指导教师 "员志超 " " "班 " " " " " "设计(论文)题目 " 企业网络服务器的规划与管理 " "主要 "用户的需求 " "研究 "系统结构设计 " "内容 "系统的组成和安装 " " "企业网系统介绍 " " "系统集群等技术实现 " "主要技 "系统的容错和负载均衡 " "术指标 "网络操作系统的安装和设置,DNS,IIS和DHCP,VPN,FTP,Web等 " "或研究 "服务的设置 " "目标 "网络操作系统结构设计 " " "企业网络服务器的配置 " "基本 "局域网服务器包括:DNS服务器、DHCP服务器、Web服务器、FT" "要求 "P服务器、VPN服务器、邮件服务等。 " " "网络中的服务器必须具有容错和负载均衡能力。 " " "网络操作系统的选择:在Windows " " "Server、UNIX、Linux、等网络操作系统中任意选择。 " " "利用网络操作系统自带的防火墙或ISA等软件技术,构建网络 " " "防火墙确保局域网的安全。 " " "必须构建VPN服务器,使位于Internet网络的客户端能够访问 " " "局域网的资源。 " " "设计的网络应具备对系统的保护及还原措施。 " " "设计的网络应易于维护,并具备可靠性、安全性。 " "参考文献 "1、林天峰.Linux服务器架设指南.清华大学出版社.2010年1月" " ". " " "2、张勤.Linux服务器配置实录.人民邮电出版社.2010年1月. " " "3、张保通.网络互连技术—路由、交换与远程访问.2009年10月" " ". " " "4、(美)Sandra " " "K.Linux服务器性能调整.清华大学出版社.2009年9月. " " "5、黄骁.Windows Server " " "2008服务器配置与管理手册.海洋出版社.2009年11月. " " "6、IT同路人.Windows Server " " "2003服务器架设详解.人民邮电出版社.2008年7月. " " "7、王达.网管员必读—服务器与数据存储.电子工业出版社.200" " "7年10月. " 摘 要 大庆公司包括一个园区网络和两个分支机构。在园区网络中,大约有500个员工,每个 分支机构大约有50个员工,此外还有一些soho员工。 现在公司的园区网络要进行规划和实施,现有条件如下 :公司已租借了一个公网的ip地址为222.206.160.1,和isp提供的一个公网dns服务器的 ip为222.206.160.2园区网络和分支机构使用192.168.1.0网络,并进行必要的子网划分 ,具体要求如下: 1.搭建samba服务器,因公司内部每个机构用的操作系统不同,这些机构可以利用sam ba实现linux和windows系统之间的文件共享和打印共享,,并设置该服务器所属工作组 为WORKGROUP,并限制该samba服务器只允许192.1638.1.0网段的客户访问。 2.在公司内部搭建DHCP和dsn服务器,使网络中的计算机可以自动获得ip地址,并使用 公司内部的dns服务器完成内部主机名以及Internet域名的解析。 3.搭建ftp服务器,设置本地用户SOHO在登录FTP服务器之后,在进入dir目录时显示提 示信息"welcome",要求每个员工都可以匿名访问ftp服务器,并进行公共文档的下载。 4.搭建VPN服务器, VPN服务器有eth0和eth1两个网络接口。其中eth0用于连接内网,IP地址为192.168.1.2 ;eth1用于连接外网,IP地址为222.206.160.1。 VPN客户端通过Internet网络与VPN服务器连接后,可访问局域网内部的服务器。建立VP N连接后,分配给VPN服务器的IP地址为192.168.1.100,分配给VPN客户端的IP地址池为 192.168.1.200-192.168.1.220,192.168.1.230- 192.168.1.240。客户端可以以用户名king、密码123456和VPN服务器建立连接,建立连 接后获得的IP地址为192.168.1.221。 5.搭建squid服务器,该代理服务器配置为奔腾1.6G/512M/80G,公司所用IP地址段为1 92.168.1.0/24,并且想用8080作为代理端口。要求进行Internet访问性能的优化,并提 供必要的安全特性。 6.为了整个网络的安全,要求网络中的服务器必须要有集群和容错功能。 本论文主要围绕该企业网络环境进行网络搭建,重点放在对网络服务器的配置、验 证和运用到实际网络中的详细过程和图解步骤。 关键字:园区网络 服务器 网络搭建 网络安全 目 录 第一章 绪
网络安全规划方案.doc
11-18
计算机网络安全
XX公司网络安全设计方案.doc
05-03
XX公司的网络安全设计方案,对可以作为很多设计方案的参考,也可以作为学习的参考资料,对于新手设计网络安全来讲很实用
企业网络安全工作制度
weixin_34162629的博客
06-27 1472
一、网络安全责任落实 a、制定公司网络安全管理职责落实相关文件,各级网络安全管理职责严格落实,人员岗位真实有效,人员离职或岗位变更情况及时更新。 b、定期开展网络安全相关培训。 c、按照公司要求,组织全员签订《网络安全责任书》。 d、建立单位及下属单位内部网络安全考核机制。 二、网络安全漏洞与隐患发现 a、建立网络安全漏洞与隐患发现机制,并常态开展漏洞隐患挖掘工作。 b、常态开展日常督查工作,对于...
中小型企业网络安全防护设计(完整文档+拓扑图)
qq1325513482的博客
07-14 8263
我相信这些经验不仅能够帮助你解决当前遇到的问题,还能够提升你的编程思维和解决问题的能力。通过关注我的博客,你可以第一时间获取到我的最新文章,并与我和其他读者互动交流。我相信分享是一种双赢的方式,通过分享,我可以帮助他人提升技术水平,同时也能够得到学习交流的机会。如果你对计算机领域有兴趣,希望能够更好地提升自己的编程能力和技术水平,那么请关注我的CSDN博客。经过多年的学习和实践,我积累了丰富的计算机知识和经验,在这里我想与大家分享我的学习心得和技巧,帮助你成为更好的程序员。
基于ensp的中大型企业网络安全解决方案的设计与实施
征途是星辰大海
08-30 3844
公司部门具体背景:公司共设有人事部、财务部、销售部、市场部四个部门以及一个员工宿舍楼,公司有对外互联网业务需要提供。公司内存在重要部门需要保护数据安全以及访问控制。
企业网络信息安全管理体系
"该文档详细阐述了网络信息安全保障措施,主要关注信息管理部的职责以及具体的管理细则,旨在确保公司的...有效的信息安全管理不仅可以预防数据丢失,还可以保护企业免受潜在的网络攻击,确保业务连续性和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值