《企業(yè)信息安全管理》闡述了企業(yè)信息安全管理過程中的通用理念��、方法和項目實踐�����,包括企業(yè)信息安全整體解決方案�����,企業(yè)信息安全規(guī)章制度體系�����、控制體系及企業(yè)信息安全技術體系的主要構成���,具體介紹了信息安全技術體系中的終端計算機安全防護系統(tǒng)����、網(wǎng)絡安全域防護系統(tǒng)�、身份管理與認證系統(tǒng)、信息內容監(jiān)測系統(tǒng)��、信息安全運行中心系統(tǒng)及云計算平臺安全防護����。
《企業(yè)信息安全管理》適合于從事信息安全工作的各級管理人員、信息技術人員和業(yè)務人員閱讀使用�,同時對于從事信息化研究、咨詢和實施服務的人員��、大專院校學生和研究生也具有較強的參考價值�����。
隨著我國信息化工作持續(xù)深入推動�����,信息化在促進企業(yè)創(chuàng)新發(fā)展過程中的作用越來越顯著,有效提升了企業(yè)經(jīng)營管理�����、生產(chǎn)運行管理����、綜合辦公和決策支持的規(guī)范化、現(xiàn)代化水平��。與此同時�,企業(yè)面臨的信息安全風險也越來越大。由于一些企業(yè)缺乏信息安全整體解決方案����,導致關鍵基礎設施和重要信息系統(tǒng)的安全防護能力不夠,各類信息安全事件呈現(xiàn)高發(fā)高危態(tài)勢�����,敏感數(shù)據(jù)泄露也時有發(fā)生����;加之隨著“云大物移智”新一代信息技術的發(fā)展和應用,傳統(tǒng)信息安全風險開始向工業(yè)控制��、云計算�����、大數(shù)據(jù)領域擴展�,新的安全威脅與日俱增,高級持續(xù)性威脅攻擊(Advanced Persistent Threat�,APT)已顯冰山一角;同時與西方發(fā)達國家相比���,由于一些關鍵軟硬件產(chǎn)品仍受制于人���,我國信息安全產(chǎn)業(yè)發(fā)展也不均衡,為企業(yè)提供信息安全保障的技術能力和水平也亟須提升���。
面對日益嚴峻的信息安全形勢����,制訂并持續(xù)實施信息安全整體解決方案就顯得格外重要且迫切���,持續(xù)加強信息安全管理體系建設成為企業(yè)發(fā)展過程中必須加強的重點工作�����。企業(yè)信息安全管理需要認真貫徹國家“以安全保發(fā)展���,以發(fā)展促安全”的網(wǎng)絡安全觀��,積極落實網(wǎng)絡安全等級保護制度���,重點保護,適度安全�����,做到信息安全防護與信息系統(tǒng)建設同步進行���;遵從“三分技術�、七分管理”的安全治理理念���,注重安全可控與積極防御���,防護建設與適度震懾能力建設并舉;以機密性��、完整性和可用性為目標,從管理���、控制、技術三個方面開展信息安全工作�,建設計算機終端、網(wǎng)絡和應用系統(tǒng)組成的由表及里�、層層防護的信息安全體系架構;堅持持續(xù)改進的理念����,以風險控制為基礎,不斷提升信息安全立體防御能力��。在實施企業(yè)信息安全體系建設過程中���,注重設計先進實用的企業(yè)信息安全整體解決方案�����,努力實施好身份管理與認證�、邊界控制�、數(shù)據(jù)加密、內容審計等項目和措施���,以保障信息系統(tǒng)安全為重點���,采用多種方式逐步實現(xiàn)全面覆蓋��,綜合平衡信息安全風險影響和控制程度���,將安全風險降到可接受的程度,既不過保�����,也不欠保�����;同時要根據(jù)新技術�、新應用的發(fā)展需求,保證信息安全體系架構的可擴展性��;還要加強合作��、統(tǒng)籌力量�、協(xié)同防御,廣泛聯(lián)合政府信息安全管理及研發(fā)機構�,推動業(yè)務�、信息化與信息安全的深度融合���,共同構建企業(yè)信息安全協(xié)同防御體系�。
本書結合編者在信息安全管理工作中的實際經(jīng)驗���,闡述了企業(yè)信息安全管理過程中的通用理念、方法和項目實踐�����。本書共分10章:第1章介紹了企業(yè)信息安全體系�����;第2章至第4章分別介紹了企業(yè)信息安全管理體系��、控制體系及技術體系�;第5章至第10章分別介紹了信息安全技術體系中的重大項目,包括終端計算機安全防護系統(tǒng)�����、網(wǎng)絡安全域防護系統(tǒng)�����、身份管理與認證系統(tǒng)、信息安全內容監(jiān)測系統(tǒng)�、信息安全運行中心系統(tǒng)及云計算平臺安全防護。其中���,災難恢復系統(tǒng)作為企業(yè)信息安全技術體系的重要組成部分��,結合云計算平臺應用采取的新思路和新方案�,本書將其與云計算平臺安全防護合并介紹��,不再單獨論述����。
本書的編者未拘泥于單純的理論敘述,更希望從信息安全管理和實踐的視角為讀者提供一些有益的思路和方法�����,限于編者水平�,本書難免掛一漏萬,敬請讀者批評指正�。在編寫本書過程中,得到了業(yè)內相關專家、同事和朋友的大力支持�����,在此表示深深謝意����。
1 企業(yè)信息安全體系
1.1 企業(yè)信息安全管理原則
1.2 企業(yè)信息安全管理目標
1.3 企業(yè)信息安全管理一級流程
1.4 信息安全體系建設規(guī)劃編制
1.5 信息安全體系概念模型
1.6 企業(yè)信息安全總體架構
1.7 企業(yè)信息安全體系項目框架和實施藍圖
1.8 企業(yè)信息安全體系建設的目標和重點
1.9 小結
2 企業(yè)信息安全管理體系
2.1 信息安全組織完善
2.2 信息安全運行能力建設
2.3 風險評估能力建設
2.4 小結
3 企業(yè)信息安全控制體系
3.1 信息安全制度體系
3.2 信息安全標準
3.3 基礎設施安全配置控制
3.4 應用系統(tǒng)合規(guī)性實施
3.5 小結
4 企業(yè)信息安全技術體系
4.1 企業(yè)信息安全技術體系項目
4.2 信息安全技術防護對象與措施
4.3 云技術在安全防護中的應用
4.4 大數(shù)據(jù)在安全防護中的應用
4.5 小結
5 終端計算機安全防護系統(tǒng)
5.1 終端安全防護系統(tǒng)設計
5.2 防病毒系統(tǒng)
5.3 補丁分發(fā)系統(tǒng)
5.4 端點準人系統(tǒng)
5.5 后臺管理系統(tǒng)
5.6 電子文檔保護系統(tǒng)
5.7 小結
6 網(wǎng)絡安全域防護系統(tǒng)
6.1 企業(yè)網(wǎng)絡安全域劃分
6.2 網(wǎng)絡邊界防護
6.3 域間與數(shù)據(jù)中心安全防護
6.4 域內安全防護
6.5 小結
7 身份管理與認證系統(tǒng)
7.1 身份管理與認證系統(tǒng)架構
7.2 集中身份管理
7.3 統(tǒng)一身份存儲
7.4 統(tǒng)一身份認證
7.5 公共密鑰體系
7.6 小結
……
8 信息安全內容監(jiān)測系統(tǒng)
9 信息安全運行中心系統(tǒng)
10 云計算平臺安全防護
參考文獻
書單推薦
