企业信息安全技术体系概述

当前，信息安全对企业越来越重要，构建信息安全技术体系成为企业发展的重要任务，在信息安全技术体系的建设过程中应秉承怎样的设计目标和原则是企业应该重点考虑的问题。我中心总结了以下几点，希望给大家带来帮助。

一、信息安全技术体系的设计目标

一个合适的信息安全技术体系解决方案，不但需要理解信息安全管理的要求，用最小的投入得到最大的回报，同时也要为信息安全运维管理提供易于操作的平台。

在实施信息安全技术体系规划时，需要考虑以下内容：

1、信息整体安全性的规划；

2、对于不同的信息安全功能机制加以整合以达到统一控管及互补的目的；

3、考虑对其他同时进行的项目的影响；

4、从基础的、负面影响最小的安全措施入手；

5、具有未来的扩充性，未来不至于因容量问题而需改变整体架构。

信息安全技术体系的设计与实施应当根据信息资产所面临的风险所定。信息安全措施的设计应以达到安全保护目的为原则而非最大幅度的投入。

信息安全技术体系按照其所在的信息系统层次可以分为物理安全技术、基础架构安全（网络、主机和终端）、应用安全技术、数据安全技术、身份和访问管理五大种类。可与前面企业安全架构中所述的接入控制、信任管理、信息流控制、审计和完整性五个安全子系统对应起来。

企业信息安全技术体系的建设原则是要建设与管理制度相对应的企业信息安全架构。一般企业已部署了一些信息安全产品，但还没有清晰地设计企业的信息安全架构，信息安全管理制度与信息安全架构所带来的执行力有些脱节，由此造成企业信息安全管理制度的执行力不够。

在信息安全技术体系的设计、具体信息安全技术体系的采用上，需要考虑到当前企业应用系统中常见的信息安全弱点，同时针对信息安全评估得出的详细信息安全风险进行信息安全加固。每一个信息安全弱点都有相关的***手段与之相对应的信息安全技术支持，针对企业当前应用系统中的主要信息安全弱点与***手段，将针对应用本身、应用承载主机、应用承载网络的主要信息技术风险所作的应对，在信息安全技术体系的设计中加以考虑。

以上是山东省软件评测中心总结撰写，不足之处，还望有关专家学者批评指正。