《企业信息安全管理》阐述了企业信息安全管理过程中的通用理念、方法和项目实践,包括企业信息安全整体解决方案,企业信息安全规章制度体系、控制体系及企业信息安全技术体系的主要构成,具体介绍了信息安全技术体系中的终端计算机安全防护系统、网络安全域防护系统、身份管理与认证系统、信息内容监测系统、信息安全运行中心系统及云计算平台安全防护。
《企业信息安全管理》适合于从事信息安全工作的各级管理人员、信息技术人员和业务人员阅读使用,同时对于从事信息化研究、咨询和实施服务的人员、大专院校学生和研究生也具有较强的参考价值。
随着我国信息化工作持续深入推动,信息化在促进企业创新发展过程中的作用越来越显著,有效提升了企业经营管理、生产运行管理、综合办公和决策支持的规范化、现代化水平。与此同时,企业面临的信息安全风险也越来越大。由于一些企业缺乏信息安全整体解决方案,导致关键基础设施和重要信息系统的安全防护能力不够,各类信息安全事件呈现高发高危态势,敏感数据泄露也时有发生;加之随着“云大物移智”新一代信息技术的发展和应用,传统信息安全风险开始向工业控制、云计算、大数据领域扩展,新的安全威胁与日俱增,高级持续性威胁攻击(Advanced Persistent Threat,APT)已显冰山一角;同时与西方发达国家相比,由于一些关键软硬件产品仍受制于人,我国信息安全产业发展也不均衡,为企业提供信息安全保障的技术能力和水平也亟须提升。
面对日益严峻的信息安全形势,制订并持续实施信息安全整体解决方案就显得格外重要且迫切,持续加强信息安全管理体系建设成为企业发展过程中必须加强的重点工作。企业信息安全管理需要认真贯彻国家“以安全保发展,以发展促安全”的网络安全观,积极落实网络安全等级保护制度,重点保护,适度安全,做到信息安全防护与信息系统建设同步进行;遵从“三分技术、七分管理”的安全治理理念,注重安全可控与积极防御,防护建设与适度震慑能力建设并举;以机密性、完整性和可用性为目标,从管理、控制、技术三个方面开展信息安全工作,建设计算机终端、网络和应用系统组成的由表及里、层层防护的信息安全体系架构;坚持持续改进的理念,以风险控制为基础,不断提升信息安全立体防御能力。在实施企业信息安全体系建设过程中,注重设计先进实用的企业信息安全整体解决方案,努力实施好身份管理与认证、边界控制、数据加密、内容审计等项目和措施,以保障信息系统安全为重点,采用多种方式逐步实现全面覆盖,综合平衡信息安全风险影响和控制程度,将安全风险降到可接受的程度,既不过保,也不欠保;同时要根据新技术、新应用的发展需求,保证信息安全体系架构的可扩展性;还要加强合作、统筹力量、协同防御,广泛联合政府信息安全管理及研发机构,推动业务、信息化与信息安全的深度融合,共同构建企业信息安全协同防御体系。
本书结合编者在信息安全管理工作中的实际经验,阐述了企业信息安全管理过程中的通用理念、方法和项目实践。本书共分10章:第1章介绍了企业信息安全体系;第2章至第4章分别介绍了企业信息安全管理体系、控制体系及技术体系;第5章至第10章分别介绍了信息安全技术体系中的重大项目,包括终端计算机安全防护系统、网络安全域防护系统、身份管理与认证系统、信息安全内容监测系统、信息安全运行中心系统及云计算平台安全防护。其中,灾难恢复系统作为企业信息安全技术体系的重要组成部分,结合云计算平台应用采取的新思路和新方案,本书将其与云计算平台安全防护合并介绍,不再单独论述。
本书的编者未拘泥于单纯的理论叙述,更希望从信息安全管理和实践的视角为读者提供一些有益的思路和方法,限于编者水平,本书难免挂一漏万,敬请读者批评指正。在编写本书过程中,得到了业内相关专家、同事和朋友的大力支持,在此表示深深谢意。
1 企业信息安全体系
1.1 企业信息安全管理原则
1.2 企业信息安全管理目标
1.3 企业信息安全管理一级流程
1.4 信息安全体系建设规划编制
1.5 信息安全体系概念模型
1.6 企业信息安全总体架构
1.7 企业信息安全体系项目框架和实施蓝图
1.8 企业信息安全体系建设的目标和重点
1.9 小结
2 企业信息安全管理体系
2.1 信息安全组织完善
2.2 信息安全运行能力建设
2.3 风险评估能力建设
2.4 小结
3 企业信息安全控制体系
3.1 信息安全制度体系
3.2 信息安全标准
3.3 基础设施安全配置控制
3.4 应用系统合规性实施
3.5 小结
4 企业信息安全技术体系
4.1 企业信息安全技术体系项目
4.2 信息安全技术防护对象与措施
4.3 云技术在安全防护中的应用
4.4 大数据在安全防护中的应用
4.5 小结
5 终端计算机安全防护系统
5.1 终端安全防护系统设计
5.2 防病毒系统
5.3 补丁分发系统
5.4 端点准人系统
5.5 后台管理系统
5.6 电子文档保护系统
5.7 小结
6 网络安全域防护系统
6.1 企业网络安全域划分
6.2 网络边界防护
6.3 域间与数据中心安全防护
6.4 域内安全防护
6.5 小结
7 身份管理与认证系统
7.1 身份管理与认证系统架构
7.2 集中身份管理
7.3 统一身份存储
7.4 统一身份认证
7.5 公共密钥体系
7.6 小结
……
8 信息安全内容监测系统
9 信息安全运行中心系统
10 云计算平台安全防护
参考文献