信息安全保衛戰：企業信息安全建設策略與實踐（簡體書）

《信息安全保衛戰：企業信息安全建設策略與實踐》定位於一個組織信息安全建設理論、技術、策略方法以及實踐案例的介紹和論述，描述當今信息化社會環境下，如何打贏信息安全保衛戰。全書分為11章，首先綜述了信息化社會的信息安全威脅，說明打贏信息安全保衛戰的重要意義。其次論述了信息安全發展歷程和信息安全標準以及雲計算安全發展狀況。再次，提出了企業信息安全框架的概念和內容，最後給出了一個組織信息安全框架建設的策略與方法以及實踐案例，幫助讀者形成信息安全建設的思路和系統的方法路徑以及最佳實踐。《信息安全保衛戰：企業信息安全建設策略與實踐》面向組織的管理者、CIO和從事信息化、信息安全建設的IT人；其次是諮詢公司的業務和IT諮詢人員以及企業信息安全項目實施人員。對於大專院校的師生們進一步系統地認識企業信息安全建設、形成科學系統的信息安全建設思路是一個絕好的參考書。

雷萬雲，先後從中國電子科技大學、西安交通大學、西北工業大學畢業，分別獲得電子信息科學技術專業的學士、碩士和博士學位，並在德國技術物理研究院學習工作二年。雷博士曾任國家某大型國防科技研究所副所長、國家電子信息技術領域技術專家、國家電子信息技術學1匠編委會主任、主編，某大型金融證券資訊公司總裁。雷博士有20餘年信息化方面的研究開發、實施和管理經驗，是管理與信息化方面的專家；國家認證的高級企業信息管理師，尤其對集團企業和國防科研、金融證券以及醫藥行業的信息化建設有深刻的理解和最佳實踐。近年來雷博士致力於企業雲計算研究，並著有四部雲計算和信息化暢銷專著：《雲計算：企業信息化建設策略與實踐》和《雲計算：技術、平臺及應用案例》、《信息化與信息管理實踐之道》以及《信息安全保衛戰》。現從事醫藥行業信息化管理工作。

《信息安全保衛戰:企業信息安全建設策略與實踐》基于云計算理念，提出一個組織的整體安全框架，從組織的戰略、業務出發，結合安全標準和業界最佳實踐，形成系統的信息安全建設方法路徑。《信息安全保衛戰:企業信息安全建設策略與實踐》幫助組織定位安全現狀，了解安全需求，實施安全建設，以打贏信息安全保衛戰。

社會信息化，已成不可阻擋的歷史潮流，成為大趨勢，引發可怕的信息安全威脅。可以看到，隨著新一代信息技術的飛速發展和應用，給我們帶來好處的同時，也相應地給我們帶了前所未有的信息安全威脅。信息安全逐漸告別傳統的病毒感染、網站被黑及資源濫用等時代，邁進了一個復雜多元、綜合交互的新時期。如何在有效利用信息技術的同時，積極應對和及時識別和規避這些風險，形成新的信息安全建設策略與實踐，打好信息安全保衛戰，是我們大家必須面對的主題，也是本書討論和論述的話題。
《信息安全保衛戰》是筆者有關企業信息化建設系列叢書之一，她的出版和近年來筆者在清華大學出版社出版的《云計算——企業信息化建設策略與實踐》、《云計算——技術、平臺及應用案例》以及《信息化與信息管理實踐之道》構成一個完整的企業信息化建設四部曲。第一本云計算是云計算的普及圖書，全面系統地論述了云計算的概念、技術以及市場發展狀況，并在此基礎上進一步闡述基于云計算的企業信息化建設策略與實踐。第二本云計算是在第一本基礎上深入闡述云計算的概念、技術和架構以及國內外的應用案例。第三本是有關企業信息化與信息管理的實戰圖書，從信息化規劃、管控、標準和項目實施等層面論述企業信息化建設的策略、方法與實踐。第四本也就是本書是對信息安全這一主題的全面深入論述。
本書基于云計算理念，提出一個組織的整體安全概念，從組織的戰略、業務出發，結合安全標準和業界最佳實踐，形成系統的方法路徑，幫助組織定位安全現狀，了解安全需求，實施安全建設，以打贏我們的信息安全保衛戰。目前業界已有眾多的信息安全書籍，但大都是針對某一系統的信息安全具體的技術探討。本書旨在對一個組織信息安全建設提供一個集成的、標準的信息安全框架，為組織信息安全平臺的建設、設計、實施提供指導。全書為11章，其主要內容如下。
第1章首先從全球一體化、信息技術的發展利用等方面綜述了信息化社會的信息安全威脅，并進一步闡述了企業信息化的發展應用對企業信息安全帶來的威脅。第2章通過企業合規經營風險分析引入企業風險與信息安全的關系，說明信息安全是確保企業合規經營的基本保障。第3章在分析企業信息安全現狀的基礎上進一步論述了企業信息安全建設的目的意義，說明打贏信息安全保衛戰的重要性。
第4章介紹了信息安全發展歷程和國內外信息安全標準。第5章在分析云計算安全問題基礎上進一步提出了云計算安全框架，并論述了云計算安全標準的發展情況，最后進一步綜述了國內外先進的云計算安全提供商的云計算安全解決方案。
第6章引入企業信息安全框架概念，并全面、完整地闡述了企業信息安全框架的定義、內容以及建設意義。第7、8、9章分別對信息安全框架的三個組成部分：信息安全管理、運維和技術體系深入介紹和描述。
第10章從一個組織的戰略出發來全面考慮組織的信息安全的規劃、管理、技術、運維等完整的信息安全框架設計與實施的策略與方法并進行了系統論述，給出一個信息安全框架建設的方法和路徑，第11章并給出了相應的實踐案例。
本書定位于一個組織（包括政府、區域和城市、企業等）信息安全建設理論、技術、策略方法以及實踐案例介紹和論述，從系統工程層面來論述，體現企業信息安全建設的方法論。
本書主要面向企業的CEO和企業管理人員，企業的CIO和從事信息化、信息安全建設的IT人；其次是咨詢公司的業務和IT咨詢人員以及企業信息安全項目實施人員；當然對于政府的管理人員來講，是一個很好的信息安全知識水平和工作思路的提升學習的最佳參考書；對于大專院校的師生們進一步系統地認識企業信息安全建設、企業IT的實際情況，企業和社會信息安全建設思路是一個絕好的參考書；最后，對于從事企業信息安全的服務提供商也是一個很好的值得借鑒的參考書，因為只有深刻了解企業的需求、信息安全建設的系統思維，才能實施好企業信息安全項目。
本書由雷萬云博士主持編寫，華為技術公司、啟明星辰信息安全公司和深信服科技公司相關專家參加了編寫。他們分別是：華為企業網安全首席技術官何利文，IEEE高級會員，全國青聯IT聯誼會常務理事，英國謝菲爾德大學博士，曾任英國電信首席安全研究員；華為數據中心安全高級營銷顧問時成閣；華為企業網安全高級營銷顧問黃菲一。啟明星辰信息安全高級咨詢顧問劉德文和張艷博士。深信服科技市場技術總監殷浩先生。雷萬云博士撰寫了大綱和各章節的主要內容要點，對全書各章節內容進行了優化、統稿和對全部內容進行了審閱，并撰寫了前言。其中第1章、第3章和第4章由雷萬云博士撰寫；第2章由雷萬云博士、王靜撰寫；第5章由雷萬云博士、何利文、黃菲一撰寫；第6章由雷萬云博士、劉德文、張艷博士撰寫；第7章由劉德文、雷萬云博士、張艷撰寫；第8章由何利文、時成閣、劉德文、雷萬云博士撰寫；第9章由何利文、時成閣、雷萬云博士、殷浩撰寫；第10章由雷萬云博士、劉德文、張艷編寫，第11章由雷萬云博士、劉德文、張艷、殷浩編寫。李懿凌和韓金利畫了書中的大部分示圖。
由于作者水平有限，書中難免有疏漏和不當之處，敬請讀者批評指正。
最后，謹向幫助、支持和鼓勵我完成本書的我的家人、同事、領導、朋友、合作伙伴以及清華出版社的領導、編輯表示真摯的感謝！
博士
2012年國慶假期于北京

第1章信息化社會的信息安全威脅1．1信息化是世界發展的大趨勢1．1．1社會信息化的趨勢1．1．2新IT技術應用帶來新風險1．2全球一體化的趨勢1．3企業發展與競爭的趨勢1．4信息安全威脅綜述1．4．1信息安全面臨的主要威脅1．4．2信息安全問題分析1．4．3信息安全管理現狀分析1．4．4信息安全形勢和事故分析1．4．5信息安全對企業威脅分析第2章企業風險與信息安全2．1企業合規風險2．1．1從企業合規風險看IT管理風險2．1．2從SOX合規性看我國IT內控規範2．1．3安全合規性管理2．2企業數據洩密風險2．2．1數據安全評估2．2．2數據安全風險分析2．2．3數據安全風險治理2．3從企業風險分析認識信息安全風險第3章信息安全管理內涵3．1信息安全概述3．1．1傳統信息安全的定義3．1．2信息安全技術與信息安全管理3．1．3當代信息安全的新內容3．1．4信息安全框架及其實施內涵3．2信息安全建設階段分析3．3信息安全建設目的意義第4章信息安全發展與相關標準4．1信息安全發展4．1．1信息安全發展歷程4．1．2信息安全發展趨勢4．2信息安全管理標準的提出與發展4．3ISO/IEC2700X系列國際標準4．3．1信息安全管理體系（ISO/IEC27001:2005）4．3．2信息安全管理實施細則（ISO/IEC27002）4．4信息安全管理實施建議與指導類標準4．5信息安全測評標準4．5．1美國可信計算機安全評估標準（TCSEC）4．5．2國際通用準則（CC）4．6信息安全國家標準簡介4．7國家信息安全等級保護體系4．7．1國家信息安全保障工作的主要內容4．7．2開展等級保護工作依據的政策和標準4．7．3等級保護工作的具體內容和要求4．7．4中央企業開展等級保護工作要求第5章雲計算安全5．1雲計算安全問題分析5．1．1雲計算的主要安全威脅分析5．1．2從雲計算服務模式看安全5．2雲計算安全框架5．2．1架構即服務（IaaS）5．2．2網絡即服務（NaaS）5．2．3平臺即服務（PaaS）5．2．4數據即服務（DaaS）5．2．5軟件即服務（SaaS）5．2．6安全是一個過程5．3雲計算安全標準化現狀5．3．1國際和國外標準化組織5．3．2國內標準化組織5．4雲計算安全解決方案概述5．4．1亞馬遜雲計算安全解決方案5．4．2IBM虛擬化安全sHype解決方案5．4．3IBM基於XEN的可信虛擬域（TVD）5．4．4VMware虛擬化安全VMSafe5．4．5Cisco雲數據中心安全解決方案5．4．6華為雲安全解決方案5．5雲計算安全開放命題第6章企業信息安全框架第7章信息安全管理體系第8章信息安全運維體系第9章信息安全技術體系第10章信息安全體系建設第11章信息安全建設案例參考文獻

2.組織機構與職責分工
成立由企業主管領導任責任人的信息安全管理機構，管理機構具有以下職責：
（1）組織、協調和指導本企業信息化建設、使用和維護開發工作；
（2）組織制定信息化安全策略、流程和各種規章制度；
（3）組織信息安全風險評估及信息安全教育培訓；
（4）組織信息化設備、設施、介質等授權使用和管理、維護、監督檢查；
（5）落實年度安全計劃、報告等；
（6）與國家相關主管部門建立日常工作關系；
（7）執行國家相關法律法規。
3.企業信息安全制度建立
企業信息安全管理機構組織建立相應的信息安全管理制度，明確崗位職責，實行領導責任制，層層落實，責任到人，使各個環節的每個工作人員明確應承擔的職責和義務。信息安全管理制度要涵蓋信息化的產生、存儲、處理、傳輸、歸檔和銷毀的全過程，從人員、物理設施與環境、設備與介質、運行與開發和數據安全等諸多方面制定相應的制度。
4.信息安全管理文件體系建立
（1）確立信息安全管理體系范圍和體系環境所需的過程；
（2）戰略性和組織化的信息安全管理環境：
（3）組織的信息安全風險管理方法；
（4）信息安全風險評價標準以及所要求的保證程度；
（5）信息資產識別的范圍。
信息安全文件體系也可能在其他信息安全管理體系的控制范圍內。在這種情況下，上下級控制的關系有下列兩種可能：
下級信息安全管理體系不使用上級信息安全管理體系的控制：在這種情況下，上級信息安全管理體系的控制不影響下級信息安全管理活動。
下級信息安全管理體系使用上級信息安全管理體系的控制：在這種情況下，上級信息安全管理體系的控制可以被認為是下級信息安全管理體系策劃活動的“外部控制”。盡管此類外部控制并不影響下級信息安全管理體系的實施、檢查、措施活動，但是下級信息安全管理體系仍然有責任確認這些外部控制提供了充分的保護。
5.信息安全管理過程建立
（1）IT規劃管理：信息化規劃制定和跟蹤的流程。
（2）IT制度管理：信息化管理制度體系化建設和完善的流程。
（3）IT資源管理：對IT資源（包括人員、財務和IT資產）申請、審核、配備、評估的流程。
（4）監督管理：依據IT規劃和制度對IT管理工作進行監督、檢查和跟蹤整改的流程。
（5）違規管理：對IT管理制度執行過程中的違規行為進行糾正與處罰的流程。
（6）外部環境：對影響IT管理目標實現的外部因素進行跟蹤、響應、控制的流程。外部環境包括供應商管理、市場、經濟環境、金融安全等。