信息系統安全規劃框架與方法

摘要隨著互聯網的不斷發展，全球信息化已成為人類發展的大趨勢，我國信息化建設進程也全面加速，企業信息化在提高服務水平、促進業務創新、提升核心競爭力等方面發揮著越來越重要的作用，信息系統已成為推動國民經濟增長的重要力量。隨著企業信息化工作的提高，我國各地區、各行業使用信息系統開展工作的比例越來越大，信息系統安全問題更為突顯和日趨嚴重，安全問題也逐漸成為影響業務運行、制約生產力發展的重要因素之一。

關鍵詞信息系統安全規劃框架方法

中圖分類號:TP3文獻標識碼:A

企業信息化的發展將面臨著的信息安全方面的嚴峻考驗，對信息系統安全進行全面的規劃以適應形勢發展的要求已經是一個不能回避的問題，也成為了人們共同關注的一個保證信息安全的重要環節。

1 信息系統安全規劃的意義

信息系統安全規劃是一個涉及管理、法規和技術等多方面的綜合工程。信息系統安全的總體目標是物理安全、網絡安全、數據安全、信息內容安全、信息基礎設備安全與公共信息安全的總和。信息系統安全的最終目的是確保信息的機密性、完整性和可用性，以及信息系統主體(包括用戶、組織、社會和國家)對于信息資源的控制。

2 信息系統安全規劃的范圍

信息系統安全規劃是在建和已建的信息系統中必須要考慮的重要內容。信息系統安全規劃主要是根據風險評估的結果和提取的安全需求描述實施相應的安全保障的目標、措施和步驟。按照“全網安全”的思想，信息系統安全規劃需要從管理、組織和技術等多方面進行綜合考慮，所涉及到的應該是綜合管理、技術規范、運行維護等多個層面的控制措施。

信息系統安全規劃的范圍應該是多方面的，涉及技術安全、規范管理、組織結構。技術安全是以往人們談論比較多的話題，也是以往在安全規劃中描述較重的地方，用的最多的是一些如:防火墻、入侵檢測、漏洞掃描、防病毒、VPN、訪問控制、備份恢復等安全產品。但是信息系統安全是一個動態發展的過程，過去依靠技術就可以解決的大部分安全問題，但是現在僅僅依賴于安全產品的堆積來應對迅速發展變化的各種攻擊手段是不能持續有效的。信息系統安全建設是一項復雜的系統工程，要從觀念上進行轉變，要在安全產品的支持下建設全方位的安全策略，使之成為一個可持續的動態發展的有安全保障的漸進過程。

3 信息系統安全規劃框架與方法

信息系統安全規劃是一個非常細致和非常重要的工作，首先需要對企業信息化發展的歷史情況進行深入和全面的調研，知道家底、掌握情況，針對信息系統安全的主要內容進行整體的發展規劃工作。下面用圖-1表示信息系統安全體系的框架。

從上圖可以看出，信息系統安全體系主要是由技術體系、組織機構體系和管理體系三部分共同構成的。技術體系是全面提供信息系統安全保護的技術保障系統，該體系由物理安全技術和系統安全技術兩大類構成。組織體系是信息系統的組織保障系統，由機構、崗位和人事三個模塊構成。機構分為:領導決策層、日常管理層和具體執行層;崗位是信息系統安全管理部門根據系統安全需要設定的負責某一個或某幾個安全事務的職位;人事是根據管理機構設定的崗位，對崗位上在職、待職和離職的員工進行素質教育、業績考核和安全監管的機構。管理體系由法律管理、制度管理和培訓管理三部分組成。

信息系統安全體系清楚了之后，就可以針對以上描述的內容進行全面的規劃。信息系統安全規劃的層次方法與步驟可以有不同，但是規劃內容與層次應該是相同，規劃的具體環節、相互之間的關系和具體方法用圖-2表示:

3.1 信息系統安全規劃依托企業信息化戰略規劃

信息化戰略規劃是以整個企業的發展目標、發展戰略和企業各部門的業務需求為基礎，結合行業信息化方面的需求分析、環境分析和對信息技術發展趨勢的掌握，定義出企業信息化建設的遠景、使命、目標和戰略，規劃出企業信息化建設的未來架構，為信息化建設的實施提供一副完整的藍圖，全面系統地指導企業信息化建設的進程。信息系統安全規劃依托企業信息化戰略規劃，對信息化戰略的實施起到保駕護航的作用。信息系統安全規劃的目標應該與企業信息化的目標是一致的，而且應該比企業信息化的目標更具體明確、更貼近安全。信息系統安全規劃的一切論述都要圍繞著這個目標展開和部署。

3.2 信息系統安全規劃需要圍繞技術安全、管理安全、組織安全考慮

信息系統安全規劃的方法可以不同、側重點可以不同，但是需要圍繞技術安全、管理安全、組織安全進行全面的考慮。規劃的內容基本上應該涵蓋有:確定信息系統安全的任務、目標、戰略以及戰略部門和戰略人員，并在此基礎上制定出物理安全、網絡安全、系統安全、運營安全、人員安全的信息系統安全的總體規劃。物理安全包括環境設備安全、信息設備安全、網絡設備安全、信息資產設備的物理分布安全等。網絡安全包括網絡拓撲結構安全、網絡的物理線路安全、網絡訪問安全等。系統安全包括操作系統安全、應用軟件安全、應用策略安全等。運營安全應在控制層面和管理層面保障，包括備份與恢復系統安全、入侵檢測功能、加密認證功能、漏洞檢查及系統補丁功能、口令管理等。人員安全包括安全管理的組織機構、人員安全教育與意識機制、人員招聘及離職管理、第三方人員安全管理等。