安全建设需要关注技术发展趋势，应用成熟的技术和产品，充分利用已有的安全基础设施。

　　安全建设既保证了IT基础设施和服务的安全，又属于IT建设的一部分。因此，安全建设需要与IT战略相一致，并且适应未来IT基础设施和技术的变化。

　　各种法律法规的需求不断变化、层出不穷，企业需要很大的精力去保持与法律法规的符合性。企业需要识别相关的法律法规中提出的，需要遵守的安全要求及其对业务和IT的影响。例如萨班斯法案对上市公司的内部控制、报告、披露和归档要求，法律对个人隐私数据保护的要求，国家政策和标准提出的信息系统等级保护要求等。

　　业务安全需求不断变化，相关技术不断进步。企业不断扩展业务，员工、客户以及合作伙伴越来越多地与企业网络连接，进行移动办公和开展在线业务，这也就意味着对核心信息资产的威胁机会增加。信息安全已经从单独的保护计算机系统发展到保护业务安全。网络应用的攻击可以导致业务中断，影响经济收入和客户形象。

　　信息安全的目标是保护企业的信息资产，防范业务风险，保证业务连续性。因此，业务安全是企业信息安全的终极目标。

　　企业需要把安全作为业务战略目标的一部分，安全不再只是一种投入，而是能够促进和保障业务产出的手段。因此，企业需要有效地实施信息安全控制，保护有价值的资产，支持和达成企业业务目标。

　　业务安全需求包括业务连续性、业务流程安全、法律安全要求、隐私保护要求等。

　　成熟的安全标准可以为企业提供适应性的安全框架和最佳实践指南。例如ISO 17799——《信息安全管理实践准则》（原BS 7799-2）和ISO 27001——《信息安全管理体系规范》（原BS 7799-2）就可以作为企业建设信息安全管理体系提供了框架指南，并提供了广泛性的信息安全控制措施及最佳实践。

　　风险评估的目的在于定义核心信息资产，并且分析应用环境中可能存在的风险。安全风险评估是定义应用安全需求、选择相应对策以及设计安全系统的基础。根据应用以及关键数据的重要程度，确定所需要采用的安全机制。

　　通过安全风险评估明确存在风险的关键的业务资产和业务流程，识别其安全需求和安全现状。安全风险的可接受水平以及安全需求的确认需要业务人员和管理层来确认，应该将实施控制措施的支出与安全故障可能造成的业务损失进行权衡考虑，对安全建设的方向和目标进行决策。

　　我国政府组织以及包括国家关键基础设施的企业单位，需要遵守计算机安全等级保护要求。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督，根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护。

　　对新的业务应用系统，从规划阶段就应该充分考虑安全方面的需求，并且在系统的设计、开发和运行维护集成考虑安全。

　　业务信息资产是企业信息安全保护的核心目标，因此要进行信息安全建设，首先明确安全保护的对象。企业需要通过分析业务流程，识别关键的业务资产，确定业务资产的安全所有人和认责人，明确安全保护责任。

　　在以业务为核心的企业内部，信息资产包括业务应用软件、硬件、网络、相关的数据和信息，还包括相关的关键业务流程和人员。建立企业信息资产目录并进行维护，可以帮助企业实施有效的信息资产安全保护，业务连续性和灾难恢复。在信息资产目录中应该定义资产的安全等级和安全责任人。

　　为了实现企业安全战略，企业应该根据安全风险水平和安全需求，分解安全建设目标，制订安全项目建设计划。

　　安全越来越成为业务战略的重要组成部分，每个企业都面临着不同的挑战。企业需要建立适应性的安全解决方案，即能够满足不断扩展的业务需求，又能够适应不断变化的技术需求。

　　企业安全规划和实现并不单纯是技术问题，需要符合业务目标，依靠管理支持，并考虑安全投资预算，并建立适当的安全策略。

　　在软件工程领域内普遍接受的一个原则是：在开发过程中，尽早修改软件漏洞所消耗的成本更加低廉。因此，在应用生命周期的早期阶段将精力集中于防护与减少安全风险是非常重要的，能够及早发现安全问题，提高软件质量、可靠性以及灵活性。

　　欺骗攻击是新涌现的新的攻击方式，通过骗取用户信任来诱使用户访问非法的站点。而一旦用户访问并信任该站点，就有可能泄露个人敏感信息或者遭受恶意代码的攻击。随着这种攻击技术的发展，攻击目标已不仅限于银行攻击，而是已经开始向所有的在线业务扩展。

　　新技术的不断应用也大大扩展了企业安全需求的领域，无线局域网、蓝牙、RFID、VoIP、即时通讯、移动终端等技术扩大了企业的安全边界。未来通过无线通信技术系统和移动应用的结合，都需要首先考虑安全问题。没有安全机制，攻击者可以很容易地对数据信息以及IT基础设施进行控制。

　　*安全策略先行：首先建立安全策略、标准和各种管理制度、流程，并进行有效的宣传和贯彻。

　　*逐步建立和完善安全组织：一般企业需要首先建立安全组织架构，明确并落实相关的安全责任。在初期阶段可以在现有的业务和IT岗位上落实安全责任，然后根据安全管理和维护的工作量，来逐步增加工作岗位。

　　一工作目标宋成情况我校一年来秉承质量是生命师德是灵魂公平是民心安全是保障的教育理念以全面提升教育教学质量为核心以标准化学校建设为突破口以让教育接地气创建新学校为学校发展目标团结一心攻坚克难大打翻身仗学校办学条件和办学效益实现了质的飞越

　　摘Leabharlann Baidu：信息安全策略是一个组织解决信息安全问题最重要的步骤，也是这个组织整个信息安全体系的基础。由于信息安全不是天然的需求，而是经历了信息损失之后才有的需求，所以管理对于信息安全是必不可少的。企业应该将信息保护集成到业务运作的管理层面。在传统的体系架构下，很多人认为安全对业务是有负面影响的，而不是能够推动核心业务活动效率的提高。如何建立有效的企业信息安全资产保护计划并得到有效实施，是每个企业管理层和信息安全决策者最关心的问题。

　　*未来安全投资关注在应用防火墙和监控软件，安装入侵检测工具，集成安全系统和应用安全。

　　基本的用户口令、网络防火墙和防病毒是中国企业主要的安全措施。病毒、蠕虫和Web攻击仍然是最常见的攻击方式。已知的操作系统和应用程序的漏洞也是黑客攻击的主要目标。

　　很多企业期望提高安全防护能力，但是多数企业表示没有信息安全战略指导，IT基础设施落后，员工缺少安全意识，缺乏安全运作流程。

　　为了保证安全目标和安全需求的实现，企业需要进行安全规划和建设。企业信息安全建设的总体思路是：以业务资产为核心，以安全战略为指导，根据安全需求来建立安全能力发展计划和整体的安全框架，逐步建立安全基础设施，为业务提供安全能力支持。

　　*根据风险评估结果确定的安全风险优先级，结合安全需求和投资预算，确定安全项目建设的优先级，一般先从投资小、见效大、易实施的项目（例如安全加固、补丁管理）开始，然后是较为复杂的、实施周期长的中长期安全建设项目的规划。

　　企业在信息安全建设和运行过程中，需要参考相关标准和行业安全实践，采用成熟的安全技术和方法，建立符合企业战略的安全体系。

　　在CSI/FBI2005年计算机安全调查中，安全攻击形式中病毒（含蠕虫和木马）与间谍软件分别占83.7％和79.5％，远远高于其它攻击形式。此外还有三分之一的端口扫描和五分之一的数据或网络破坏。

　　随着应用系统复杂性的提高，应用的安全漏洞也在不断增加。安全威胁的对象正逐渐地从网络和操作系统转向应用系统以及更有价值的数据。然而企业对安全的关注仍然集中在病毒蠕虫以及操作系统层面的漏洞上。

　　通过风险评估了解了企业的安全现状和风险水平，企业明确了各个层次的安全需求和改进方向，企业需要制定与业务战略和IT战略一致的安全战略，明确企业的安全建设目标和安全建设原则。

　　安全战略是企业在一定时期内的一整套安全决策，这一决策决定了企业的安全策略和制度、流程、行为和技术的建设。

　　制定企业安全战略的目标是支持企业战略，保证平衡的安全风险管理，保证谨慎而有效的安全投资，使安全能够与业务发展和IT能力建设同步，并且努力促使安全成为业务发展的有力驱动。

　　企业越来越依靠信息资源，安全事件不断增长，而安全事件造成的损失以及用于事件处理的财力、人力以及IT资源的投入需要不断增长。这就需要进行IT规划和费用调整以保证适当的安全投入，部署有效的工具，来解决紧迫的安全问题。

　　内部非授权访问和使用威胁仍然是企业面临的最大威胁，根据CSI/FBI的2005年计算机安全调查，内部威胁呈现不断增长的趋势，超过80%的数据损失来自于组织内部，主要是非授权访问和信息窃取。尽管多数情况下人们通常怀疑这些问题源于外部侵入，但是计算机系统与数据的大部分损失并非源于恶意的外部攻击，而是一些很简单的人为操作错误，或者是系统内部分合法用户的未授权或无意活动。

　　安全风险评估是实现企业安全的重要环节。安全需求必须基于风险评估，并且应该在设计阶段开始前确定。通过风险评估，可以识别关键业务资产的安全威胁和风险，了解企业的安全现状和风险水平，分析安全需求和安全改进方向。

　　风险不只是技术概念，更多地是一个业务概念。企业需要根据风险评估的结果，结合业务需求来分析安全需求。安全需求必须覆盖风险评估中识别的各种安全风险，并且与业务的其它需求进行协调和集成考虑。安全需求中不仅包括软件功能方面的安全需求，还应包括物理安全、管理流程、系统管理等非软件方面的需求。

　　InformationWeek杂志和Accenture公司在2005年10月的联合安全调查显示，中国企业正在遭受越来越多的安全威胁和攻击破坏。这次调查的主要结论有：

　　*组织都试图探测安全事件是否发生以及何时发生，但很少有组织使用预防性的安全软件，超过半数的组织在事件发生后才了解事件过程。

　　正文：一个组织最主要的管理文件就是信息安全策略，信息安全策略明确规定组织需要保护什么？为什么需要保护？由谁进行保护？这些问题考什么解决？没有合理的信息安全策略，再好的信息安全专家和安全工具也没有价值。一个组织的信息安全策略反映出这个组织对现实安全威胁和未来安全风险的预期，反映出组织内部业务人员和技术人员安全风险的认识与应对。

　　由于不同信息资产对企业的价值不同，因此并不是所有的信息资产都需要进行相同的保护，需要按照信息资产的价值和安全需求特点实施恰当的保护。信息资产保护的等级需要依靠反映资产价值和安全需求的信息资产分类。资产的敏感性和重要性越高，其对安全的需求也就越高。

　　企业可以实施和维护有效的信息安全管理体系，建立风险管理流程，结合物理、技术以及操作方面的安全控制。

　　IT系统实现业务功能，是企业业务信息化的关键。IT能力的发展的驱动因素是业务发展方向，同时也驱动了安全的建设。IT系统的安全持续运行是实现企业业务价值的保障。

　　IT安全需求就是从IT的角度明确安全保护需求以及IT系统对安全的支持情况，包括两个层面的内容：一是IT系统自身的安全需求，包括业务安全需求的功能实现以及网络安全、系统安全、应用安全、数据安全、业务连续性等层次的需求；另一个层面是安全系统对IT系统功能的要求，例如对IT基础设施、服务管理方面的要求。

　　根据国际信息安全管理标准ISO 17799的描述，信息安全的目标是“通过防止和减小安全事故的影响，保证业务连续性，使业务损失最小化”。

　　保护企业的信息资产对于业务持续以及法律遵循都是关键的。由于这些原因，信息被看作业务资产的一部分，需要有效的管理。因此，企业必须保护信息资产的机密性、完整性和可用性。