引言：目前，我國企業(yè)信息化整體發(fā)展的戰(zhàn)略布局圍繞“中國制造2025”、工業(yè)4.0的發(fā)展趨勢，廣泛應用電子信息技術，推進企業(yè)經營、管理、研發(fā)、智能制造，實現(xiàn)管理科學化，建立符合市場經濟規(guī)律的、科學的信息服務和決策支持系統(tǒng)，從而有效地提高企業(yè)核心競爭力和綜合實力。然而，在企業(yè)信息化安全的理論界，各種理論、模式相互交叉，錯綜復雜，云計算和大數(shù)據技術結合，使原本信息化安全理論上的某種程度的混亂現(xiàn)象進一步加劇，本文試圖從企業(yè)信息系統(tǒng)安全的理論、區(qū)域功能、安全技術三方面入手，分析企業(yè)信息化安全的基礎架構，進而為廣大企事業(yè)單位從事信息化安全工作提供一定的借鑒。

信息安全本質上是信息系統(tǒng)安全，信息系統(tǒng)的風險評估是構建企業(yè)信息化安全基礎架構的重要依據

完整的企業(yè)內部信息系統(tǒng)一般包括事務處理系統(tǒng)、辦公自動化系統(tǒng)、知識運用系統(tǒng)、管理信息系統(tǒng)、決策咨詢系統(tǒng)等模塊。就企業(yè)而言，只有服務于企業(yè)業(yè)務使命的、安全可靠的信息系統(tǒng)才有意義, 信息系統(tǒng)自身存在過程、結構、應用復雜的脆弱性，導致信息系統(tǒng)的攻擊和防護嚴重不對稱，相對來說攻擊成功很容易，防護成功卻極為困難，而信息安全水平的高低遵循木桶原理：信息安全水平有多高，取決于防護最薄弱的環(huán)節(jié)，企業(yè)中任何一個信息系統(tǒng)安全水平決定著信息化安全的整體水平。

企業(yè)信息系統(tǒng)在整個生命周期中，安全性相對于功能性、易用性、代碼大小、執(zhí)行程度等因素被放在次要的位置，常常缺少通過以風險和策略為基礎風險評估，未按照信息系統(tǒng)安全等級保護的要求進行等保測評，安全風險自然降低不到可接受的程度，為攻擊者提供了威脅破壞的機會，也就談不上信息化安全基礎架構。

信息安全等級保護作為我國的一項基礎制度加以推行，有一定強制性，也是一種常見的對組織的信息安全進行全面、系統(tǒng)管理的實施方法, 將信息系統(tǒng)按照重要性和受破壞危害程度分成五個安全保護等級，不同保護等級的系統(tǒng)分別給予不同級別的保護?！禛BT 22239-2008信息安全技術信息系統(tǒng)安全等級保護基本要求》詳細的闡述了對信息系統(tǒng)安全的技術要求、管理要求，是企事業(yè)信息系統(tǒng)安全指導標準。

深入理解信息安全是動態(tài)、無邊界、非傳統(tǒng)的安全概念，是構建企業(yè)信息化安全基礎架構的標準

信息安全經歷了通信安全、計算機安全、信息系統(tǒng)安全階段，進入信息安全保障和網絡空間安全的階段，早期基于時間的PDR模型是由美國國際互聯(lián)網安全系統(tǒng)公司（ISS）提出，它是最早體現(xiàn)主動防御思想的一種信息安全模型，該信息安全模型思想：承認信息系統(tǒng)漏洞，正視威脅，適度防護，加強檢測，落實反應，建立威懾，任何防護措施都是基于時間的，是可以被攻破的出發(fā)點難于適應信息化安全環(huán)境的快速變化，已經被強調系統(tǒng)安全的動態(tài)性，以安全檢測、漏洞監(jiān)測和自適應填充“安全間隙”為循環(huán)來提高信息安全的P2DR模型所替代，P2DR模型在原有protection(防護 )、detection( 檢測 )、response(響應)基礎上以策略為中心，更強調控制和對抗，特別考慮人為的管理因素,并將恢復作為重要的手段來實現(xiàn)信息安全的保障。

隨著云計算和大數(shù)據技術應用，構建下一代信息安全架構的輪廓也越來越清晰，傳統(tǒng)的、基于邊界防護的P2DR模型安全措施，無法應對IT基礎設施和業(yè)務架構的變化，在層出不窮的高級威脅面前顯得無能為力。借助威脅情報和大數(shù)據分析技術構建預測能力，安全的起點從檢測開始，通過安全情境和異常行為分析發(fā)現(xiàn)未知威脅的存在，通過取證手段溯源攻擊過程，確定對抗措施，提升防御能力是企業(yè)信息化安全動態(tài)的、主動的、對抗性的基礎架構思維。

區(qū)域邊界顆粒度決定信息、信息系統(tǒng)的多層防護，是構建企業(yè)信息化安全基礎架構的原則

傳統(tǒng)的區(qū)域邊界逐漸模糊，并不代表著傳統(tǒng)安全防護毫無價值，物理區(qū)域邊界向強邏輯、邏輯區(qū)域邊界轉移，重新審視所面臨的未知威脅有助于提高信息安全主動對抗的手段，安全問題永遠是人與人之間的智力對抗，企業(yè)信息化安全基礎架構中加強對進出某區(qū)域（物理區(qū)域或邏輯區(qū)域）的數(shù)據流進行有效的控制與監(jiān)視，永遠是實現(xiàn)企業(yè)的任務/業(yè)務運作最有效的手段，典型的DMZ區(qū) 、信任區(qū)、非信任區(qū)的劃分已經滿足不了信息化發(fā)展的需要，以“統(tǒng)籌規(guī)劃，區(qū)域結合，橫向隔離，縱向認證”顆粒度標準，在企業(yè)信息化多功能性邊界部署多品牌的安全產品，實現(xiàn)復合防范技術，完善安全應用是企業(yè)信息化安全基礎架構重要工作。

企業(yè)信息化安全基礎架構要考慮成本與效益的權衡，不出現(xiàn)過度安全，區(qū)域邊界顆粒度自身也要考慮成本與效益的權衡，不出現(xiàn)過度復雜，企業(yè)制定接受風險的準則，識別可接受的風險級別是不可或缺的，也就是說不是可選的，是必須執(zhí)行的。

安全技術是信息安全控制的重要手段，是構建企業(yè)信息化安全基礎架構的構筑材料

企業(yè)解決信息化安全，技術和安全產品是基礎，沒有微軟、雅虎、谷歌、Facebook、PalTalk、美國在線、Skype、YouTube、蘋果的技術參與，就不會有“棱鏡”（PR ISM）項目，IATF“深度防護戰(zhàn)略（Defense-in-Depth Strategy）”強調人、技術、操作這三個核心要素，從多種不同的角度對信息系統(tǒng)進行防護，定義了本地計算環(huán)境、區(qū)域邊界、網絡和基礎設施、支撐性基礎設施四個主要的技術焦點領域，沒有密碼技術、鑒別與訪問控制、病毒、惡意代碼防御、人侵檢測等先進技術的應用，就會變成一紙空文。

企業(yè)解決信息安全問題，成敗通常取決于兩個因素，一個是技術，另一個是管理，要讓安全技術發(fā)揮應有的作用，必然要有適當?shù)墓芾沓绦?，否則安全技術只能趨于僵化和失敗，技術不高但管理良好的系統(tǒng)遠比技術高超但管理混亂的系統(tǒng)安全，人們常說，三分技術，七分管理，可見管理對信息安全的重要性。信息化安全只有將有效的安全管理從始至終貫徹落實于安全建設基本架構的方方面面，信息安全的長期性和穩(wěn)定性才能有所保證。

總之，企業(yè)信息化安全基礎架構不是產品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術、操作三者緊密結合的系統(tǒng)工程，是具有不斷演進、循環(huán)發(fā)展的動態(tài)過程。