学习篇：企业信息安全框架及其实施内涵

安全层面

含义

安全任务列表

安全管理依据的相关制度和法规

物理安全

指对网络与信息系统物理装备的保护。主要涉及网络与信息系统的机密性、可用性、完整性等属性

（1）加扰处理、电磁屏蔽：防范电磁泄露
（2）容错、容灾、冗余备份、生存性技术：防范随机性故障
（3）信息验证：防范信号插入
（4）机房管理：防范非法用户接触和破坏物理设备

（1）GB50174－93《电子计算机机房设计规范》
（2）GA/T390-2002《计算机信息系统安全等级保护通用技术要求》
（3）GB2887－2000《电子计算机场地通用规范》
（4）GB9361－88《计算站场地安全要求》

运行安全

指对网络与信息系统的运行过程和运行状态的保护。主要涉及网络与信息系统的真实性、可控性、可用性等

（1）建立风险评估体系、安全测评体系：支持系统评
（2）部署漏洞扫描、采用安全协议：支持对安全策略的评估与保障
（3）实施防火墙、物理隔离系统、访问控制技术、防恶意代码技术：支持访问控制
（4）建立入侵检测、入侵防护及预警系统、部署安全审计技术：支持入侵检测和防护
（5）采用反制系统、容侵技术、审计与追踪技术、取证技术：支持应急响应
（6）采用防网络攻击技术，包括Phishing、Botnet、DDoS、木马、社会工程学等防护技术
（7）采用可信计算技术、安全操作系统技术、安全数据库技术：保证基础平台运行安全
（8）采用VLAN、网段隔离技术：支持细粒度的安全控制和策略
（9）采用数据备份和灾难恢复技术：支持重要数据的备份和在灾难情况下的恢复

（1）GA/T 681-2007  信息安全技术 网关安全技术要求 
（2）GA/T 682-2007  信息安全技术 路由器安全技术要求
（3）GA/T 683-2007  信息安全技术 防火墙安全技术要求
（4）GA/T 684-2007  信息安全技术 交换机安全技术要求
（5）GA/T 685-2007  信息安全技术 交换机安全评估准则
（6）GA/T 697-2007  信息安全技术 静态网页恢复产品安全功能要求
（7）GA/T 698-2007  信息安全技术 信息过滤产品安全功能要求
（8）GA/T 699-2007  信息安全技术 计算机网络入侵报警通讯交换技术要求
（9）GA/T 700-2007  信息安全技术 计算机网络入侵分级要求
（10）GB/T 20008-2005  信息安全技术 操作系统安全评估准则
（11）GB/T 20275-2006  信息安全技术 入侵检测系统技术要求和测试评价方法 
（12）GB/T 20273-2006  信息安全技术 数据库管理系统安全技术要求
（13） GB/T 20278-2006  信息安全技术 网络脆弱性扫描产品技术要求

数据安全

指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护，使得在数据处理层面保障信息依据授权使用，不被非法冒充、窃取、篡改、抵赖。主要涉及信息的机密性、真实性、完整性、不可抵赖性等

（1）采用对称与非对称密码技术及其硬化技术、VPN等技术：防范信息泄密
（2）采用认证、鉴别、PKI等技术：防范信息伪造
（3）采用完整性验证技术：防范信息篡改
（4）采用数字签名技术：防范信息抵赖
（5）采用秘密共享技术：防范信息破坏
（6）采用隐写技术、水印技术：保护信息

（1）GB/T 20518-2006  信息安全技术 公钥基础设施 数字证书格式
（2）GB/T 20519-2006  信息安全技术 公钥基础设施 特定权限管理中心技术规范
（3）GB/T 20520-2006  信息安全技术 公钥基础设施 时间戳规范
（4）GB/T 21053-2007  信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求 
（5）GB/T 21054-2007  信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则
（6）GA/T 686-2007  信息安全技术 虚拟专用网安全技术要求

内容安全

指对信息在网络内流动中的选择性阻断，以保证信息流动的可控能力。主要涉及信息的机密性、真实性、可控性、可用性等

（1）采用文本识别、图像识别、流媒体识别、群发邮件识别等：用于对信息的理解与分析
（2）采用面向内容的过滤技术（CVP）、面向URL的过滤技术（UFP）、面向DNS的过滤技术等：用于对信息的过滤
（3）运用数据挖掘技术：发现信息
（4）部署针对即时通、MSN等应用协议的分析技术：对特定协议的理解
（5）采用VoIP识别技术：对数字化语音信息的理解和分析
（6）采用音频识别与按内容匹配：锁定音频目标进行

目前国家暂无内容安全相关的制度和标准，只有与音、视频，网络协议相关的网络标准，如RFC等

管理安全

在信息安全的保障过程中，除上述技术保障之外的与管理相关的人员、制度和原则方面的安全措施

（1）设置独立的安全管理和审计人员：设置安全人员有助于安全工作的开展和全局安全掌控
（2）权限分离：对不同的系统和应用设定与业务无关的安全人员参与，作到权限分离，最大程度地保证企业安全运维
（3）安全制度：设立健全的企业安全管理和运维制度，保证企业安全运维
（4）安全培训：通过培训提高企业人员的安全意识和安全技能，做到有备无患
（5）合规、行业规范满足措施

（1）BS7799 
（2）ISO/IEC17799
（3）ISO/IEC27001等