企业信息安全整体架构

信息安全架构是企业信息安全的整体规划和基础，它涉及信息管理、信息控制和信息技术三个方面。其中，信息管理涉及信息管理组织、信息管理流程、信息管理制度和标准；信息控制包括信息技术类控制、信息运作类控制和信息保护等级；信息技术涵盖应用安全、信息安全服务和IT基础设施安全等技术，整体架构见图8-14所示。

图8-14　企业信息安全体系架构的三个视角

1. Gartner模型

Gartner从业务、信息和技术三个视角来阐述企业信息安全体系架构模型，并从概念层、逻辑层和实现层三个层次来展现不同视角的关注点，以体系架构的方式展现了一个企业信息安全体系架构模型，如图8-15所示。

图8-15　企业信息安全体系架构的三个层次

2.信息安全整体架构

根据目前企业信息安全现状和发展趋势，信息安全适合采用“一个中心、四个系统、五个控制域”的总体架构（如图8-16所示）。一个中心为多级安全运行中心；四个系统为网络安全系统、主机与应用安全系统、数据安全系统和网络信息服务安全系统；五个控制域为安全防护设备，网络路由与交换设备，主机系统与机房防护设备，应用系统与门户、网页、邮件、BBS等。

图8-16　信息安全整体架构

（1）一个中心。越来越多的企业意识到信息安全不仅是技术问题，更是管理问题。仅依赖某些安全产品，不可能有效地保护企业的整体信息安全。信息安全作为一个整体，需要把安全过程中的有关安全产品、分支机构、管理制度等纳入一个紧密的统一安全管理平台中，才能有效地保障企业的信息安全和保护信息投资。因此，安全运行中心的概念应运而生。

安全运行中心（简称SOC）是一种集中安全管理模式，它不只是技术层面的功能实现，更是由安全产品、管理人员、管理制度和技术手段共同构建的。它可以为企业制订全面的安全配置与策略，合理规划及使用信息资源；实时监控网络运行、网络设备、主机系统、数据库操作行为、应用系统、网络信息服务内容，对安全威胁进行有效预警；及时发现安全事件，进行应急响应，以降低安全管理及技术方面的薄弱所带来的安全隐患。

作为最上层的一个监控指挥中心，安全运行中心能看到底层具体设备、系统的状态，及时发现安全事件，做出快速响应及处理。它依靠中间层的四个系统实现对底层五个控制域的监视和控制。安全事件与应急处理相当于一个辅助决策系统，不同的安全事件有不同的应急方案，可以通过人工执行或系统自动执行。

（2）四个系统。它指的是运行在中间层起到具体作用的安全系统，具体管理五个控制域，并把监控到的信息传输到运行中心。

·网络安全系统。安全运行中心的监控与预警平台通过网络安全系统监控网络设备运行情况，安全配置管理平台管理网络边界防护设备的配置情况。网络安全系统由三部分构成：①通过边界管理系统管理网络中的边界防护设备，把边界防护设备的配置情况上传到安全运行中心的安全配置管理数据库中；②通过实时网络监控系统，监控网络路由及交换设备，把监控信息上传到安全运行中心的监控与预警平台；③通过机房综合监控系统，监控机房内各项安全指标，把监控信息汇总到安全运行中心。

·主机与应用安全系统。它由五部分构成：①主机入网认证与控制系统检查网络中的主机系统是否符合安全策略，若符合安全策略，才能接入网络，出现问题预警提示；②病毒监控与升级管理系统管理网内主机，监控内网病毒情况，对于需要升级的病毒库，提示更新；③系统加固与监控管理系统监视主机系统补丁情况，对于需要打补丁的主机系统，提示更新；④ CA认证系统可为各类应用系统提供身份认证；⑤综合访问授权与控制系统，可增强应用系统的授权功能。

·数据安全系统。数据安全系统由四部分构成：①数据库漏洞扫描与加固系统管理数据库应用系统的漏洞，及时下载补丁弥补漏洞带来的威胁；②数据分区加密管理系统可保障关键数据在数据库中加密存储；③核心数据传输控制系统保障数据在传输过程中的安全；④通过数据异地容灾备份系统，建立灾备中心，能够在灾难发生后及时恢复数据。

·网络信息服务安全系统。安全运行中心的信息服务安全监管平台，通过网络信息服务安全系统，管理网络中的公共信息，此服务系统由三部分构成：①信息发布与监控系统可在信息发布时，能够通过审批发布内容，保证内容的合法性，并且监控管理公共信息被访问时的安全性；②通过外网访问监控系统对员工访问外网进行监控，过滤部分内容；③利用电子邮件监控系统保障机密信息不被电子邮件传播出去，造成信息泄露。

（3）五个控制域。底层的五个控制域是设备、信息或者系统的集合。集合范围的大小取决于系统体系服务的范围，可以是全网范围或者区域范围。五个控制域主要指：

·安全防护设备。使边界访问设备处于网络安全系统下，监控信息汇总到运行中心。

·网络路由与交换设备。在网络路由与交换设备处于网络安全系统监控下，监控信息汇总到运行中心。

·主机系统与机房防护设备。通过主机与应用安全支持系统和网络安全系统，监视主机系统及机房防护设备的不同方面，把监视信息汇总到运行中心。

·各类应用系统。使主机与应用安全支持系统和数据安全系统服务于各类应用系统，保证应用系统的身份认证、数据传输和存储加密。

·公共信息。通过网络信息服务安全系统监控公共信息，确保公共信息发布、访问、传播的安全性。