隨著互聯(lián)網(wǎng)的不斷發(fā)展�,全球信息化已成為人類發(fā)展的大趨勢�,中國信息化建設(shè)的進(jìn)程也全面加速,企業(yè)信息化在提高服務(wù)水平、促進(jìn)業(yè)務(wù)創(chuàng)新以及提升核心競爭力等方面發(fā)揮著越來越重要的作用,信息系統(tǒng)已成為推動(dòng)國民經(jīng)濟(jì)增長的重要力量。隨著企業(yè)信息化工作的提高��,中國各地區(qū)����、各行業(yè)使用信息系統(tǒng)開展工作的比例越來越大,信息系統(tǒng)安全問題日趨嚴(yán)重��,安全問題逐漸成為影響業(yè)務(wù)運(yùn)行、制約生產(chǎn)力發(fā)展的重要因素之一。企業(yè)信息化的發(fā)展將面臨著信息安全方面的嚴(yán)峻考驗(yàn)��,對(duì)信息系統(tǒng)安全進(jìn)行全面的規(guī)劃以適應(yīng)形勢發(fā)展的要求已經(jīng)是一個(gè)不能回避的問題����,也成為人們共同關(guān)注的一個(gè)保證信息安全的重要環(huán)節(jié)����。
一��、信息系統(tǒng)安全規(guī)劃的意義
信息系統(tǒng)安全規(guī)劃是一個(gè)涉及管理���、法規(guī)和技術(shù)等多方面的綜合工程����。信息系統(tǒng)安全的總體目標(biāo)是物理安全��、網(wǎng)絡(luò)安全���、數(shù)據(jù)安全、信息內(nèi)容安全��、信息基礎(chǔ)設(shè)備安全與公共信息安全的總和��。信息系統(tǒng)安全的最終目的是確保信息的機(jī)密性��、完整性和可用性����,以及信息系統(tǒng)主體(包括用戶、組織���、社會(huì)和國家)對(duì)于信息資源的控制���。
信息系統(tǒng)安全規(guī)劃是以企業(yè)信息化戰(zhàn)略規(guī)劃為指導(dǎo),以企業(yè)的信息資源規(guī)劃為基礎(chǔ)�����,全面完整地規(guī)劃信息系統(tǒng)應(yīng)用和相關(guān)信息架構(gòu),確定信息系統(tǒng)的安全框架����、管理模式與建設(shè)步驟。企業(yè)在信息系統(tǒng)安全規(guī)劃的指導(dǎo)下建設(shè)的網(wǎng)絡(luò)與信息環(huán)境��,才可以在安全機(jī)制的控制與制約下�,讓各種業(yè)務(wù)解決方案、應(yīng)用系統(tǒng)和數(shù)據(jù)都不受負(fù)面因素帶來的威脅而在其上實(shí)現(xiàn)有效配合����。信息系統(tǒng)安全規(guī)劃不應(yīng)該只是規(guī)劃未來幾個(gè)月,而應(yīng)該規(guī)劃未來幾年內(nèi)如何達(dá)到企業(yè)信息化遠(yuǎn)景規(guī)劃指導(dǎo)下的安全建設(shè)目標(biāo)。信息系統(tǒng)安全規(guī)劃比單獨(dú)購買信息安全產(chǎn)品更重要��,只有通過有計(jì)劃���、有方向��、有目的��、有配合地進(jìn)行信息系統(tǒng)安全的整體布置,才能構(gòu)成真正意義上的信息安全���。
二�����、信息系統(tǒng)安全規(guī)劃的范圍
管理體系信息系統(tǒng)安全規(guī)劃是在建和已建的信息系統(tǒng)中必須要考慮的重要內(nèi)容。信息系統(tǒng)安全規(guī)劃主要是根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果和提取的安全需求描述實(shí)施相應(yīng)的安全保障的目標(biāo)、措施和步驟����。按照“全網(wǎng)安全”的思想����,信息系統(tǒng)安全規(guī)劃需要從管理�����、組織和技術(shù)等多方面進(jìn)行綜合考慮���,涉及的是綜合管理����、技術(shù)規(guī)范和運(yùn)行維護(hù)等多個(gè)層面的控制措施��。
信息系統(tǒng)安全規(guī)劃的范圍應(yīng)該是多方面的���,涉及技術(shù)安全�、規(guī)范管理和組織結(jié)構(gòu)��。技術(shù)安全是以往人們談?wù)摫容^多的話題�����,也是以往在安全規(guī)劃中描述較多的地方����,用得最多的一些安全產(chǎn)品如:防火墻、人侵檢測���、漏洞掃描�����、防病毒�����、VPN��、訪問控制和備份恢復(fù)等�。但是信息系統(tǒng)安全是一個(gè)動(dòng)態(tài)發(fā)展的過程,過去依靠技術(shù)就可以解決的大部分安全問題��,現(xiàn)在僅僅依賴安全產(chǎn)品的堆積來應(yīng)對(duì)迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的����。信息系統(tǒng)安全建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程,要從觀念上進(jìn)行轉(zhuǎn)變����,要在安全產(chǎn)品的支持下建設(shè)全方位的安全策略,使之成為一個(gè)可持續(xù)的����、動(dòng)態(tài)發(fā)展的、有安全保障的漸進(jìn)過程����。因此����,在目前安全設(shè)備達(dá)到一定規(guī)模的情況下����,規(guī)范管理就成為信息系統(tǒng)安全規(guī)劃需要關(guān)注的核心內(nèi)容���,在信息系統(tǒng)安全規(guī)劃中一定要將規(guī)范管理的規(guī)劃放在首位�。規(guī)范管理包括風(fēng)險(xiǎn)管理��、安全策略����、規(guī)章制度和安全教育,這幾個(gè)組件是信息系統(tǒng)安全規(guī)劃的重要內(nèi)容�。信息系統(tǒng)安全規(guī)劃需要有規(guī)劃的依據(jù),這個(gè)依據(jù)就是企業(yè)的信息化戰(zhàn)略規(guī)劃����,同時(shí)更需要組織與人員結(jié)構(gòu)的合理布局來保證。沒有合適的人員配合工作�,任何事情都是不可能完成的,因此���,在安全規(guī)劃中不可以忽視組織結(jié)構(gòu)建立和人員合理調(diào)配這個(gè)關(guān)鍵環(huán)節(jié)�����。
三�����、信息系統(tǒng)安全規(guī)劃的框架與方法
信息系統(tǒng)安全規(guī)劃是一個(gè)非常細(xì)致和重要的工作��,首先需要對(duì)企業(yè)信息化發(fā)展的歷史情況進(jìn)行深人和全面的調(diào)研����,針對(duì)信息系統(tǒng)安全的主要內(nèi)容進(jìn)行整體的發(fā)展規(guī)劃工作。
從圖1可以看出��,信息系統(tǒng)安全體系主要是由技術(shù)體系����、組織體系和管理體系三部分共同構(gòu)成的。技術(shù)體系是全面提供信息系統(tǒng)安全保護(hù)的技術(shù)保障系統(tǒng)����,該體系由物理安全技術(shù)和系統(tǒng)安全技術(shù)兩大類構(gòu)成。組織體系是信息系統(tǒng)的組織保障系統(tǒng),由機(jī)構(gòu)�����、崗位和人事三個(gè)模塊構(gòu)成���。機(jī)構(gòu)分為領(lǐng)導(dǎo)決策層�����、日常管理層和具體執(zhí)行層�����;崗位是信息系統(tǒng)安全管理部門根據(jù)系統(tǒng)安全需要設(shè)定的負(fù)責(zé)某一個(gè)或某幾個(gè)安全事務(wù)的職位;人事是根據(jù)管理機(jī)構(gòu)設(shè)定的崗位�,對(duì)崗位上在職、待職和離職的員工進(jìn)行素質(zhì)教育��、業(yè)績考核和安全監(jiān)管的機(jī)構(gòu)�����。管理體系由法律管理�����、制度管理和培訓(xùn)管理三部分組成。
圖 信息系統(tǒng)安全體系框架
弄清信息系統(tǒng)安全體系之后��,就可以針對(duì)上述內(nèi)容進(jìn)行全面的規(guī)劃����。信息系統(tǒng)安全規(guī)劃的層次、方法與步驟可以有所不同����,但是規(guī)劃的內(nèi)容與層次應(yīng)該是相同的。規(guī)劃的具體環(huán)節(jié)���、相互之間的關(guān)系和具體方法如圖2所示���。
圖2信息系統(tǒng)安全規(guī)劃框架
1.信息系統(tǒng)安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃
信息化戰(zhàn)略規(guī)劃是以整個(gè)企業(yè)的發(fā)展目標(biāo)、發(fā)展戰(zhàn)略和企業(yè)各部門的業(yè)務(wù)需求為基礎(chǔ)�,結(jié)合行業(yè)圖2信息系統(tǒng)安全規(guī)劃框架信息化方面的需求分析、環(huán)境分析和對(duì)信息技術(shù)發(fā)展趨勢的掌握�����,定義出企業(yè)信息化建設(shè)的遠(yuǎn)景����、使命�����、目標(biāo)和戰(zhàn)略�,規(guī)劃出企業(yè)信息化建設(shè)的未來架構(gòu)��,為信息化建設(shè)的實(shí)施提供一副完整的藍(lán)圖����,全面系統(tǒng)地指導(dǎo)企業(yè)信息化建設(shè)的進(jìn)程。信息系統(tǒng)安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃�,對(duì)信息化戰(zhàn)略的實(shí)施起到保駕護(hù)航的作用。信息系統(tǒng)安全規(guī)劃的目標(biāo)與企業(yè)信息化的目標(biāo)是一致的�,而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確、更貼近安全�。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個(gè)目標(biāo)展開和部署�����。
2.信息系統(tǒng)安全規(guī)劃需要圍繞技術(shù)安全����、管理安全以及組織安全考慮
信息系統(tǒng)安全規(guī)劃的方法和側(cè)重點(diǎn)均可以有所區(qū)別,但是需要圍繞技術(shù)安全、管理安全以及組織安全進(jìn)行全面的考慮����。規(guī)劃的內(nèi)容應(yīng)該涵蓋以下內(nèi)容:確定信息系統(tǒng)安全的任務(wù)、目標(biāo)�����、戰(zhàn)略以及戰(zhàn)略部門和戰(zhàn)略人員��,并在此基礎(chǔ)上制定出物理安全�、網(wǎng)絡(luò)安全、系統(tǒng)安全���、運(yùn)營安全和人員安全的信息系統(tǒng)安全的總體規(guī)劃��。其中�,物理安全包括環(huán)境設(shè)備安全����、信息設(shè)備安全、網(wǎng)絡(luò)設(shè)備安全以及信息資產(chǎn)設(shè)備的物理分布安全等��;網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全�、網(wǎng)絡(luò)的物理線路安全���、網(wǎng)絡(luò)訪問安全(防火墻、入侵檢測系統(tǒng)����、vPN等)等;系統(tǒng)安全包括操作系統(tǒng)安全���、應(yīng)用軟件安全以及應(yīng)用策略安全等��;運(yùn)營安全應(yīng)在控制層面和管理層面保障��,包括備份與恢復(fù)系統(tǒng)安全�����、人侵檢測功能����、加密認(rèn)證功能��、漏洞檢查及系統(tǒng)補(bǔ)丁功能��、口令管理等����;人員安全包括安全管理的組織機(jī)構(gòu)、人員安全教育與意識(shí)機(jī)制���、人員招聘及離職管理��、第三方人員安全管理等����。
3.信息系統(tǒng)安全規(guī)劃的影響力在于信息系統(tǒng)與信息資源
信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對(duì)信息系統(tǒng)與信息資源的安全保護(hù)上����,因此規(guī)劃工作要圍繞著信息系統(tǒng)與信息資源的開發(fā)、利用和保護(hù)工作進(jìn)行��,并且包括藍(lán)圖�����、現(xiàn)狀����、需求及措施四個(gè)方面。首先��,對(duì)信息系統(tǒng)與信息資源的規(guī)劃需要從信息化建設(shè)的藍(lán)圖人手,知道企業(yè)信息化發(fā)展策略的總體目標(biāo)和各階段的實(shí)施目標(biāo)��,制定出信息系統(tǒng)安全的發(fā)展目標(biāo)�;第二,對(duì)企業(yè)的信息化工作現(xiàn)狀進(jìn)行整體����、綜合、全面的分析����,找出過去工作中的優(yōu)勢與不足;第三�,根據(jù)信息化建設(shè)的目標(biāo)提出未來幾年的需求,這個(gè)需求最好可以分解成若干個(gè)小的方面�,以便于今后的落實(shí)與實(shí)施;第四�����,明確實(shí)施工作階段的具體措施與方法����,提高規(guī)劃工作的執(zhí)行力度。
信息系統(tǒng)安全規(guī)劃服務(wù)于企業(yè)信息化戰(zhàn)略目標(biāo)����,信息系統(tǒng)安全規(guī)劃做得好,企業(yè)信息化工作的實(shí)現(xiàn)就有了保障���。信息系統(tǒng)安全規(guī)劃是企業(yè)信息化發(fā)展戰(zhàn)略的基礎(chǔ)性工作���,不是可有可無而是非常重要。由于企業(yè)信息化的任務(wù)與目標(biāo)不同�,所以信息系統(tǒng)安全規(guī)劃包括的內(nèi)容就不同,建設(shè)的規(guī)模也有很大的差異���,因此信息系統(tǒng)安全規(guī)劃無法從專業(yè)書籍或研究資料中找到非常有針對(duì)性的幫助和適用法則�����,也不可能給出一個(gè)規(guī)范化的信息系統(tǒng)安全規(guī)劃的模板��。文章提出了信息系統(tǒng)安全規(guī)劃的框架與方法�,給出了信息系統(tǒng)安全規(guī)劃工作的一種建設(shè)原則����、內(nèi)容和思路,在具體規(guī)劃中還需要深人細(xì)致地進(jìn)行本地化的調(diào)查與研究 三依中文網(wǎng) www.3eeezw.com 三依�����。
