内容发布更新时间 : 2025/1/7 6:43:02星期一 下面是文章的全部内容请认真阅读。

信息安全架构

计算机和网络安全法则

安全组织框架

如何建立企业信息系统的安全架构 (1)

信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。综合起来说，就是要保障电子信息的有效性。 保密性就是对抗对手的被动攻击，保证信息不泄漏给未经授权的人。 完整性就是对抗对手主动攻击，防止信息被未经授权的篡改。 可用性就是保证信息及信息系统确实为授权使用者所用。

作为一个企业我们通常通过这样的标准来划分信息的保密性，完整性，可用性。

可用性---------------主要通过信息的使用率来划分：

1 非常低 合法使用者对信息系统及资源的存取可用度在正常上班时达到25%

2 低 合法使用者对信息资源的存取可用度在正常上班时达到50％

3 中等 合法使用者对信息系统及资源的存取可用度在正常上班时达到100%

4 高 合法使用者对信息系统及资源的存取可用度达到每天95%以上。

5 非常高 合法使用者对信息系统及资源的存取可用度达到每天99.9%以上。

完整性----------------通过信息应为修改对公司造成的损失的严重性来划分：

1 非常低 未经授权的破坏和修改不会对信息系统造成重大影响或对业务冲击可忽略

2 低 未经授权的破坏和修改不会对信息系统造成重大影响或对业务冲击可轻微

3 中等 未经授权的破坏和修改已对信息系统造成影响或对业务有明显冲击

4 高 未经授权的破坏和修改对信息系统造成重大影响或对业务冲击严重

5 非常高 未经授权的破坏和修改对信息系统造成重大影响且导致严重的业务中断

机密性---------------通过信息使用的权限来划分：

1 公开信息 非敏感信息，公开的信息处理设施和系统资源

2 内部使用 非敏感但仅限公司内部使用的信息（非公开）

3 限制使用 受控的信息，需有业务需求方得以授权使用

4 机密 敏感信息，信息处理设施和系统资源只给比知者

5 极机密 敏感信息，信息处理设施和系统资源仅适用于少数比知者

为什么要保证企业的安全?企业安全的核心就是保护企业财产。企业的目标是什么？创造经济价值，而作为安全系统就是为了帮助企业创造经济价值。安全追根究底的是一种投资，作为一种投资从安全系统的引入，员工的培训到最后安全系统的应用都是一种投资，作为投资的目的，就是为了回报。保护公司的核心机密，使其不会外露这就是回报。只有保护了资产，才能说这个安全系统有作用。而判断安全系统是否起到了作用，则需要从保密性，可用性和完整性来做出判断。

作为信息安全服务它需要以下人员来负责它的安全运行

企业管理人员

作为一个企业的决策者，负责企业的整体运行。他所关心的是信息安全所带来的效益，由于要对整个企业负责，所以我们需要他了解：重新获取或开发资产的费用、维护和保护资产的费用、资产对于所有者和用户的价值、资产对于对手的价值、知识产权的价值、其他人愿意为这些资产所付的价钱、丢失后更换资产所需的费用.、资产受损后的债务问题、资产受损后可能面临的法律责任，资产的价值有助于选择具体的对策、商业保险需要了解每项资产的价值、每项资产的价值可以帮助确定什么是真正的风险

安全管理人员

他所负责的是整个系统的网络运行，硬件支持，以及机房的安全措施。他所服务的对象是企业的上层机构，他们的职责他就是维护好整个安全系统的正常运行。制定好安全系统的运行的规划，使其能在运行中实现。

工程师

他所关心的是整个系统的技术部分，保证系统在运行过程中不会因为数据丢失或是程序出现的错误而不能运行。

信息安全公式：

信息安全＝先进技术＋防患意识＋完美流程＋严格的制度＋优秀的执行团队＋法律保障

如何建立企业信息系统的安全架构 (2)

作为一次完整的信息安全评估咨询，需要考虑到以下诸多条件：

漏洞：它包含很多原因，如口令的安全，在一个大的企业中口令的泄漏是随时可能发生的，这对企业来说是很大的失误。在一个企业里，信息的安全要体现在任何地方，所以再各自运行的PC机上要设有独立的口令，这些口令不能过于简单，我曾经尝试破解一个8位数的口令，共花去了6个小时，所以口令不但不能过于简单，而且还需要经常更换。在优利公司，所有员工的口令不能是单一的数字，必须含有英文字母。

暴露 如果没有好的安全防护措施，那么就会使企业机密暴露，至于财产也没有什么保护可言。