本站小编为你精心准备了信息系统安全工程管理思考参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
信息系统安全工程是结合客户信息安全需求为依据,构建起完善的信息系统的一门科学。近些年来,信息系统各种重大安全事件的频频发生,引起了社会各界对于该领域的普遍关注。如何提高信息系统安全性成为摆在用户、开发与管理人员面前的重大课题。本文从信息系统安全工程出发,对如何保障系统的安全性提出了解决思路。
一、信息系统安全工程概述
同信息系统安全工程相关的概念,包括信息系统、信息系统安全、信息系统安全工程三方面。所谓的“信息系统”,指的是通过通信设备、计算机等软、硬件连接,能够成功获取、处理、传送、交换、存储数据的系统,该系统包括软、硬件,人,数据库,规程等内容的有机组合。
对于信息系统安全而言,其主要是利用各种检测、记录等方法,有效地保护信息系统,避免信息交换、处理、传送、存储中,对信息进行未授权的访问与修改,保障系统信息的安全性。对于信息系统安全而言,其终极目标即确保信息数据在整个系统中始终维持其完整性、保密性与实用性,为了实现该目标,必须在系统结构下实现,而非孤立地保护信息内容。
就信息系统安全工程而言,指的是利用专业化的安全技术,诸如通讯、计算机、网络安全等技术形式,充分应用和贯穿于系统的整个生命周期中,确保组织结合系统需求,构建满足系统所需的安全策略,赋予系统足够的抵御威胁的能力。安全工程在信息系统中的应用,旨在利用最优费效比,提供满足系统安全所需的解决途径。有效的安全需求定义与风险分析,成为实现该目标的关键。信息系统安全工程必须提供足够的能够支持系统安全需求定义、风险评估、方案策略制定、方案实施的方法。
二、基于安全工程的信息系统安全管理方案
结合当前系统安全防御现状及存在的主要问题,本文提出了基于安全工程的信息系统安全管理方案。结合安全工程思想与方法,将其运用和贯穿在信息系统安全管理的全国中,明确系统安全管理不同阶段的主要活动,针对系统各环节特点,利用相应的安全管理方法,以便更好地保障系统信息的安全性。本文所提出的安全管理方案,是由各种必要的安全活动所构成的,结合系统软件分阶段实施,以便给予各环节相应的安全优势,但是,将此类安全活动视为软件全过程加以执行,其安全收益较分散安全活动更大。
安全工程管理的核心理念,即从系统安全出发,对系统全生命周期各环节加以集成,将安全视为系统的有机组成部分。对系统工程各阶段进行安全有效性评估。系统全生命周期,主要包括规划阶段、开发设计阶段、实施阶段、运维阶段、废弃阶段等。再加上由于运维阶段变更所产生的一系列反馈,共同构成了一个完整的系统安全工程管理闭环结构。对于信息系统而言,无论对于哪一时间节点上,都必须采用综合技术与管理方法保障系统信息的安全性。
(一)规划阶段为了确保系统的安全性,在系统规划阶段开始,就必须全面考虑到系统可能存在的安全风险,规划过程中结合系统安全需求,实现安全工程建设同系统建设的同步性。与此同时,结合组织机构的要求与业务需求,满足法律、政策、策略、组织等安全需求,以预期运行安全环境为依据,组织系统环境,并对安全目标加以标识,与此同时,结合未来系统可能面向的客户、业务及运行环境,展开安全、隐私风险评估,明确系统安全目标基线,确定最低安全基线,并加以论证,此阶段安全过程域即明确系统安全要求。
(二)设计阶段影响系统设计安全的阶段通常处于项目初期,因此,在设计过程中必须全面结合系统安全问题展开。通过安全保障方案的制定,对系统进行安全功能设计与论证,将系统规划中所确定的安全需求,全面运用于设计各功能模块之中,结合安全性原则,采用威胁模型建立、减小攻击面等技术手段,进行安全功能设计。系统安全功能设计包括身份验证、防火墙设计等。设计中可结合有关标准的安全要求,科学选取满足系统要求的功能模块,综合考虑到安全风险与成本等问题,明确最佳设计方案,并对与之相匹配的安全措施加以调整,如高层安全设计、详细安全设计等。
(三)实施阶段在信息系统实施阶段,通常涉及到编码、试运、测试、交付、培训等环节。在此过程中,通过开发设计过程中的风险控制、安全测评、管理安全等各项安全活动,保障信息系统的安全性。系统安全工程师负责实现设计内容到实施运行过程的转化,并对系统展开综合分析,为认证活动提供必要的威胁识别、信息保障、材料维护等输入过程。
(四)运维阶段当系统交付之后意味着系统正式步入了运维阶段。在此过程中,应对系统运行中存在安全风险加以有效监控,并定期对系统安全情况进行评估,制定有效的改进方案。与此同时,利用漏洞扫描等一系列技术,进一步保障信息系统主机、网络、通讯过程的安全性。结合系统运行需求,对安全管理流程、应急方案加以完善,以便对可能存在的安全问题进行有效应对。在这一阶段,重点是对系统安全态势进行监视,结合既定目标,对系统内外安全事件加以跟踪和监测,并对系统安全管理进行控制。
(五)废弃阶段在信息系统废弃阶段,重点是结合风险评估,对系统软、硬件资产、残留信息等废弃资源加以有效处理,保障系统升级与更新过程中始终处于一个安全状态。
三、结束语
信息系统安全工程管理所涉及环节与内容颇多,相互之间关系密切而且又复杂。为此,应结合信息安全防御与保护战略作为基本指导思路,进一步加强防御与综合管理,妥善解决系统的安全性。与此同时,信息系统安全工程仍有待深入研究,不断解决信息系统安全领域中存在的新技术与新方法,实现信息系统安全工程技术、安全管理技术之间的有机融合,确保信息系统安全保障顺利实现。
作者:张志刚 单位:河南北方星光机电有限责任公司 太原理工大学