企业信息安全现状与发展趋势分析

欧盟很 多国家都根 据统一的指令 和本 国实际情况 ，制定 了适
的综 合性攻击发 展。例如木马 、网络嗅探 、拒绝 服务等多种 攻击手段的结合带来 的危害，已远 远大于单一手法 的攻击 ，且
更 难控制。 ２１２ 越来越重视信息安全管理与安全技术的结合 ．． 信息安 全的防护 中心一直定位于 网络边界及核心数 据区，
２ １年 第 １ 期 ０２ Ｏ
该 法案是 当前美 国信息安 全领域 的一 个重要基 石，萨班斯法 案 要求 所有在 美 国交 易所交 易的上市公 司必须保 护财务报表
务攻击，以网络仿 冒、网址 嫁接 、网络 劫持等方 式进 行的在
线身 份窃取等 安全事件持 续增加 ，针对 Ｐ Ｐ Ｍ等新 型网络 ２ 、Ｉ
ｏ ａｅｙ Ｔ ｒｕ ｈａ ａｙ ｉｇｔｅｓａ ｓａ ｄｔｎ ｅ ｃ ｆｎｏｍａｉｎｓｃ ｒ ｙｔｒａｓ ｉｆｒ ｔ ｎｓｃ ｉ ｅ ｒ， ｆ ｔ ｔｇ ． ｈ ｏ ｇ ｎ ｌｚｎ ｔｔ ｎ ｄ ｎｙｏ ｆｒ ｔ ｅ ｕｉ ｅｔ，ｎｏｍａｉ ｅｕ ｔ ｔ ｏｙ ｓ ｒ ｈ ｕ ｅ ｉ ｏ ｔ ｈ ｏ ｒ ｙ ｈ Ａｎｉｎ ｏｍａｉｎ ｔｉｐ ｐ ｒ ｒｐ ｓ ｅｉｅ ｓ ｆｈ ｏｕｉｎｔ ｅｉｓｅｆｒ ｎｅｐ ｉｅｉｆｒ ｔ ｎｓｃ ｉ ｒ． ｔｉｆｒ ｔ ，ｈｓ ａ ｅ ｏ ｏ ｅｈ ａ ｅｓｌｔ ｔ ｕ ｔｒｒｓ ｏｍａｉ ｅｕ ｔ ｗｏｋ — ｏ ｐ ｔ ｄ ｏｔ ｏ ｏｈ ｓ ｏｅ ｎ ｏ ｒ ｙ
．
一 ｈ ， Ｓ Ｎ ｎｊｎ ｚＨＡ０ ｎ ｉｇ， ｉ ｕ ＦＥＮＧ ｉ Ｕ Ｊ － ｕ ｕ Ｍｉｇ ｎ Ｌ ｉ ｑ ｍｅ
，
（１Ｐ ｔ ｃ ｉａＸｉ ｉｎ ｌｅ Ｃ ｍ ａ ｙ Ｋｅａ ｙ Ｘｉ ｉｎ ３ ０ ０Ｃ ｉａ＂ ． ｅｒ ｈｎ ｎ ａ ｇＯｉ Ｍ ｏ ｐ ｎ ， ｌｍａ ｉ ｎ ａ ｇ８４ ０ ，ｈｎ ， ｏ ｊ ｉ ｆ ｊ
工作效率 ，节省成 本，通过互联网快速了解市场信息，掌握市场动态 ，制定 出符合企业发展 的战略规 划。然而，与之相对的信息 安全问题也逐 步显现 ，病 毒、木 马、后门软件 、僵尸网络等给企业信息安全保护造 成了恐慌 ，系统和应用软件遭到破坏 ，企业 重要信息资产被盗取等行为也越演越烈，加强企业信息安全建设刻不容缓 。 由于 网络规模 的不断扩 大，各种应用类型 的不断融合，使得 我们 正处在一 个非常繁荣而又很 难控 制的信息社会 。近几 年无
●
收稿时间： ０２ ０ —１ ２ １ — ９ １
作者简介 ： 军军 （９ ８ ，男，陕西，博 士，主要研 究方向 ：网络安全 ；赵明清 （ ９ ４ ） 孙 １ ６ 一） １ ６ 一 ，男，吉林 ，所长，高级 工程师，主要研 究方向 ：计 算机应 用 ；李辉 （ ９ ８ ，男，四川，科技信息处信息主管，主要研究方向 ：计算机网络 ；计算机应用 ；冯梅 （ ９ ９ ） １ ６ 一） １６ 一 ，山东，女，总 工程 师， 博 士，主要研 究方向 ： 计算机 网络及信 息安全。
联，不同的域对 应不 同的管 理实体 ，有不 同的安 全策 略，通
过协商机制 相互之 间的信任。因此 ，研 究域 环境 下统 一的安 全策 略模型和用于安 全策 略语 法和语义 表示 的规范语言，并 实现安 全策略 的存 储、查 找、冲突检测和消解 、发布 和实 施
等服务具有重要 的意义 。
近年来 ，纵深 防御 理论不断被各行业信息安全 管理人 员 接受 ，分层、分域的防护理 念也 出现 在各种信息安全 实际应
立完整 的信息安全体系。２ ０ ０ ７年公布的 Ｉ Ｏ Ｉ Ｃ ２ ０ ２制定 Ｓ ／Ｅ ７ ０
了通用 的信息安全控制措施集 ］ 。
用中，但 是单 纯的技术 防护远 不能满足信息安全 的需求 ，融
合本 国的信 息安全法规 。 我国近年来也陆续发布了一 系列文件 ，将信息安全等级保
护作为我 国的信息安全工作的基 本政策和要求。２ ０ ０ ７年 ６ 月， 公 安 部、国家保密局、国家密码管 理委员会办公室 和国务院 信 息化工作办公室联合发布 《 关于印发 ＜信息安全等级保护管 理办 法 ＞的通知 》 ，以期加 快推 进 信息安 全等 级保 护，规范
息安 全 防护 工作 提 出解决 思路 。
关键 词 ：信 息安 全 ；纵 深防御 ；联动 控 制
中图分 类号 ：Ｔ ３ ３ ８ 文 献标识 码 ：Ａ 文章 编 号 ：１７— １２（ ０２） ０ ０ ９ —３ Ｐ９． Ｏ ６ １ １２ ２ １ １— ００ ０
Ａｎ ｌ ｓｓｏ ｈ ｔ ｔ ｓａ ｅ ｅ ｃ ｆ ｎ ｏ ｍ ａ ｉｎ Ｓ ｃ ｒ ａｙ ｉ ｎ ｔ ｅＳ ａ ｕ ｎｄＴ ｎｄ ｎ ｙｏ ｆ ｒ ｔｏ ｅ ｕ ｉｙ ｌ ｔ
通过部署各种各样 的安 全设备实现安全 保障 。但 随着 信息 系 统边 界安 全体系 的基本 完善，信 息安 全事 件仍 然层 出不穷。
内部人 员安全管 理不足、上 网使 用不 当等行 为带 来的安全 风
信息安 全等级保 护管理 ，提高信 息安全能 力和水平 ，维 护 国 家安全 、社会稳定和公共利益 ，保障和促 进信息化建设 。
合管理 、技 术和支持 保障 的综 合防御体系，才 能全面应对风 险和威胁的变化 ，实现快 速的应对。
我 国也先后公布 了Ｇ ／ ０ ６ — ０ ６ 信息安全 技术 ／ Ｂ Ｔ２ ２９ ２ ０ （ 信
息系统安全 管理要求 ） ＢＴ ２ ８ — ０ ８ 信息技术 ／ 、Ｇ ／ ２ ０ ０ ２ ０ （ 安全技
业信息管理部 门必 须从 企业信息化 战略需求 出发 ，研 究信息安全现状和发 展趋 势，结合企业业务 特． ，明确需要重点保护 的信息 资产，规划出合理 的信息安全体系结构 ，保护企业生产管理 系统 的正常运行，为企业发 展保 驾护航 。
１国 内外 信 息 安 全 现 状
１１各 国通 过 法律 手 段 强 化 信 息 安 全 保 护 工 作 ．
与技术，反击方法 ，应急响应系统 ，计 算机病 毒，人 工免疫系 统在反病毒和抗入侵系统中的应用等方面的综合衡量。 ２０ ０ ２年 以来 ，全 球 许 多 组 织 开 始 建 立 和 实 施 Ｉ ＭＳ Ｓ （ 息 安 全 管 理 体 系 ） ０ ５年颁 布 的 ＩＯ／Ｅ ２ ０ １ 用 信 ，２ ０ Ｓ Ｉ Ｃ ７０ 采 Ｐ Ｃ （ｌ — ｏ Ｃ ｅｋ Ａ ｔ管理模式构架 ＩＭＳ流程 ，指导建 Ｄ Ａ Ｐａ Ｄ — ｈｃ－ ｃ ｎ ） Ｓ
为保护国家战略利益，加强信息安全保护工作，大多数国家和地区都加大了对信息系统安全的立法力度，制定了诸多的法律 法规。企业进行信息网络规划和建设 时必需受到当地 的法律法规 的约束，满足当地 的信息安全规范。
美 国颁布的 《 联邦 信息安全 管理法案 》（ Ｉ ＭＡ） ＦＳ ，试图通过 采取适 当的安全 控制 措施来保证 联邦机 构的信息 系统安全性 。
Ａｂｓ ｒ ｔ ｔ ａｃ ：Ｗ ｉｈ ｔ ｏ ｉｕｏ ｖ ｌ ｐ ｅ ｔｏｆｎ ｔ ｒ ｔｃ ｏｌ ｙ ｈｅｉ ｆ ｍ ａｉ ｎ ｓ ｃ ｒｔ ｓ ｕ ｒ ｔ ｈｅ ｃ ｎｔｎ ｕｓｄｅ ｅ ｏ ｍ ｎ ｅ ｗｏ ｋ ｅ ｈｎ ｏｇ ，ｔ ｎ ｏｒ ｔｏ ｅ ｕ ｉｙ ｉ ｓ ｅ ａ ｅ ｂ ｃ ｍ ｉｇ ｍ ｏ ｅａ ｄ ｍ ｏ ｅｓ ｒｏｕ ｉ，ａ ｎ ｏ ｎ ｒｅ ｎｈ ｎ ｅｔ ｅ ｓａｕ ｏ ｍａｉ ｎ ｓ ｃ ｒｔ ｒ ｍ ｈ ｉｗ ｅ ｏ ｎ ｒ ｎ ｒ ｅｉ ｓｓ ｎｄ ｍａ ｙ ｃ ｕ ｔｉｓｅ ａ ｃ ｈ ｔ ｔｓｏｆｉ ｒ ｔｏ ｅ ｕ ｉ ｆｏ ｔ ｅ ｖｅ ｎｆ ｙ
２１ 年第 ｌ期 ０２ Ｏ
企业信 息安全现 状与发展趋 势分析
孙军军 ，赵 明清 ，李辉 ，冯梅
（ 新 疆 油 田 ，新 疆 克 拉 玛 依 ８ ４ ０ ；２ 中 国石 油 勘探 开发 研 究 院 ．北 京 １ ０ ８ ） １ ３００ ． ０ ０ ３
摘 要 ：随 着 网络技 术 的不 断 发展 ，信 息安 全 问题 越 发 的 突 出，许 多国 家都 从 战略 角度 提 升 了信 息 安全 的地位 。文章 通 过 对信 息安 全 面临 的威 胁 、信 息安 全理 论 、信 息 对 抗等 现 状 与趋 势 分析 ，为 企业 信
的安全性是企业信息管理部 门面临的重要难题 。
与此 同时，国家也将信息安全和政 治安全、经济安全、文化安全并列为国家安全 的四大范畴之一，信息安全 பைடு நூலகம்重要性被提 升 到一个空 前的战略高度。企业信息化战略规划 ，必须符合 国家 战略要求，必须充分 考虑 对信息资产 的安全 保护工作 。为此 ，企
线通信技术 的迅 猛发展 ，加速了网络边界 的消失。通讯协议 和网络应用 的发展在引领人们跨越交流壁 障的同时，也为各种安 全 威胁提供了攻击的可能。除了数 以千计 的系统安全漏洞 ，恶意攻击 、内部人员资源滥 用等行为都让 企业 难以监控。—方面是企业
业务发展对信息系统的依 赖，另—方面是不断出现的信息安全事件对企业管理层 的困扰 ，怎样平衡业务系统的可用性 与信息资产
的 控 制 能 力 不 足 。 在 大 规 模 的 网络 环 境 中体 现 着 不 同 域 的 互
世界的信息安 全概念 、观念 和理念 ＿ １ ］ 。而信 息对 抗技 术则体现
着一个 国家在信息安全方面的地位 ，是 对一个 国家在黑客 防范
体系，信息伪 装理论与技术 ，信息分析与监控 ，入侵检测原理
险更为严重，管 理人 员也 逐步认识 到加强内部安全管 理、采
取相关的安全 管理技术手段控制信息安全风险 的重要性。
１２加强信 息安全理论与对抗技术研究 ．
在信息安全理论研究方面，美国—直 占有信 息技术的主导 权和网络上的话语权等 优势，他们在政府信息系统的信 息安全
体系建设 以及政策支持方面也走在全球的前列，几乎影 响了全
信息的完整性 。
欧洲 国家一直在 积极 推进 欧洲一 体化进程 ，其信息安全
应用 的安全攻击 也在迅速发展 。
安全攻击 的手段也 越来越多样化。随着攻击技 术的发展 ， 主要攻击手段 由原来 单一 的攻击手段 ，向多种攻击 手段结合
法 规的主体超越了单独 国家的范畴，先后制定了《 欧盟 电子签 名 指令》 欧 洲数 据保 护指令 》以及 《 、《 欧盟 网络刑事 公约 》 。
２２信 息安全 防护理念的发展趋势 ．
面对一个庞 大、复 杂的信息系统 ，单独 对每项信 息资产 确定保护方 法是 非常复杂 的工作，可能会 由于疏 忽或错误 导 致安全漏洞 。但 是将 整个系统 当成一个 安全 等级来 防护，也 难免造 成没有 防范层 次和 防范重 点，对风 险尤其 是 内部风险
术／ 信息安全 管理实用规则 ） ＢＴ ２ ２ ９ ２ ０ 信息安全技 、Ｇ ／ ２ ３— ０ ８（ 术／ 信息系统安全 等级保护基本要求 ）等标准，用于指导信息
Ｋｅ ｒ ｓ ｉ ｆ ｒ ｔ ｎｓ ｃ ｉ ； ｅ ｐ ｄ ｆ ｎ ｅ ｉｔｒ ｃｉｎ ａ ｄｃ ｎｒ ｌ ｙｗｏ ｄ ： ｎ ｏ ｍａ ｉ ｅ ｕ ｔ ｄ ｅ －ｅ ｅ ｓ ； ｎ ｅａ ｔ ｎ ｏ ｔ ｏ ｒｙ ｏ ｏ
随着网络技术的快速发展 ，企业 的信息化建设 步伐也在不断的加快。企业借助 网络实现无纸化办 公，方便企业 管理 ，提 高
２ Ｒ ｓａｃ ｓ ｔ ｅ ｆ ｅ ｏｅｍ Ｅ ｐｏ ａ ｏ ｎ Ｄ ｖｌ ｍ ｎ Ｐ ｔ ｃ ｉ ， ｅ ｉ ０ ８ ，ｈｎ ） ． ｅｅ ｒｈ ｎｔｕ Ｐ ｔ ｌ ｘ ｌｒｔ ｎａ ｄ ｅｅ ｐ ｅ ｔ ｅ ｏｈｎ Ｂ ｉｎ １ ０ ３ ｉ Ｉ ｉ ｔｏ ｒ ｕ ｉ ｏ ， ｒ ａ ｊｇ０ Ｃ ａ