信息系统安全体系的规划与架构是企业信息化发展战略的基础性工作,不是可有可无而是非常重要的工作。它又是一项非常细致的工作,需要对组织机构信息化发展进程的历史情况进行深入和全面的调研,针对现有的及未来的信息系统安全的主要内容进行整体的谋规与思考。
请围绕“大型信息系统安全体系的规划与架构”论题,依次对以下3个方面进行论述。
1.简要叙述你参与管理过的信息系统项目(如项目背景、发起单位、项目目标、项目内容、组织结构、项目周期、交付产品、项目特色等),以及你所承担的主要工作。
2.结合你的项目工程管理经验,简述大型信息系统安全体系所包含的基本内容和规划框架,并着重说明你如何开展信息系统安全体系的安全风险评估工作。
3.请简要说明在该项目中你所采用的保障信息系统安全的策略、技术与方法,并分析采取这些策略、技术和方法的效果如何,还有哪些需要进一步改进之处及如何进行改进。
参考答案:1.对你在论文中准备列举的、近期参与过的大型信息系统项目的背景、项目规模、发起单位、目的、项目内容、组织结构、项目周期、交付的产品等作简要的介绍。接着简要介绍你参与管理的大中型信息系统工程项目的需求,尤其着重介绍安全方面的需求,简要说明自己在该项目中的角色及所承担的主要工作。论文叙述自己参与设计和实施的信息系统项目应有一定的规模,自己在该项目中担任的主要工作应有一定的分量。
2.论文的第二部分是体现你所掌握的信息系统安全知识理论及实践的精华所在。本部分主要考查对于大型信息系统安全体系所包含的基本内容、规划框架、架构设计以及安全风险评估等过程的基本认识、理解及项目实践经验,在叙述时应注重理论与自身实践经历的结合。
信息系统安全体系的规划与架构是企业信息化发展战略的基础性工作,不是可有可无而是非常重要的工作。信息系统安全体系规划又是一项非常细致的工作,首先需要对企业信息化发展的历史情况进行深入和全面的调研,掌握情况,针对信息系统安全的主要内容进行整体的发展规划工作。虽然不同信息系统的安全规划所包括的内容不同,但都应遵循如图8-14所示的信息系统安全体系框架中的基本内容进行全面规划和建设。
[*]
在图8-14中,技术体系是全面提供信息系统安全保护的技术保障系统,该体系由物理安全技术和系统安全技术两大类构成。组织体系是信息系统的组织保障系统,由机构、岗位和人事3个模块构成。机构分为领导决策层、日常管理层和具体执行层;岗位是信息系统安全管理部门根据系统安全需要设定的负责某一个或某几个安全事务的职位;人事是根据管理机构设定的岗位,对岗位上在职、待职和离职的员工进行素质教育、业绩考核和安全监管的机构。管理体系由法律管理、制度管理和培训管理3部分组成。
信息系统安全体系规划的层次方法与步骤可以有不同,但是规划内容与层次应该是相同。规划的具体环节、相互之间的关系和具体方法如图8-15所示。
[*]
(1)信息系统安全体系规划依托企业信息化战略规划。
信息化战略规划是以整个企业的发展目标、发展战略和企业各部门的业务需求为基础,结合行业信息化方面的需求分析、环境分析和对信息技术发展趋势的掌握,定义出企业信息化建设的远景、使命、目标和战略,规划出企业信息化建设的未来架构,为信息化建设的实施提供一副完整的蓝图,全面系统地指导企业信息化建设的进程。信息系统安全体系规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全体系规划的目标应该与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确,更贴近安全。信息系统安全体系规划的一切论述都要围绕着这个目标展开和部署。
(2)信息系统安全体系规划需要围绕技术安全、管理安全和组织安全考虑。
信息系统安全体系规划的方法可以不同,侧重点也可以不同,但都需要围绕技术安全、管理安全和组织安全进行全面的考虑。规划的内 * * 本上应该涵盖确定信息系统安全的任务、目标、战略,以及战略部门和战略人员,并在此基础上制定出物理安全、网络安全、系统安全、运营安全和人员安全的信息系统安全的总体规划。物理安全包括环境设备安全、信息设备安全、网络设备安全和信息资产设备的物理分布安全等。网络安全包括网络拓扑结构安全、网络的物理线路安全和网络访问安全(如防火墙、入侵检测系统和VPN等)等。系统安全包括操作系统安全、应用软件安全和应用策略安全等。运营安全应在控制层面和管理层面保障,包括备份与恢复系统安全、入侵检测功能、加密认证功能、漏洞检查及系统补丁功能,以及口令管理等。人员安全包括安全管理的组织机构、人员安全教育与意识机制、人员招聘及离职管理,以及第三方人员安全管理等。
(3)信息系统安全体系规划以信息系统与信息资源的安全保护为核心。
信息系统安全体系规划的最终效果应该体现在对信息系统与信息资源的安全保护上,因此规划工作需要围绕着信息系统与信息资源的开发、利用和保护工作进行,要包括蓝图、现状、需求和措施4个方面。
①对信息系统与信息资源的规划需要从信息化建设的蓝图入手,知道企业信息化发展策略的总体目标和各阶段的实施目标,制定出信息系统安全的发展目标。
②对企业的信息化工作现状进行整体、综合、全面的分析,找出过去工作中的优势与不足。
③根据信息化建设的目标提出未来几年的需求,这个需求最好可以分解成若干个小的方面,以便于今后的落实与实施。
④要写明在实施工作阶段的具体措施与办法,提高规划工作的执行力度。信息系统安全体系规划服务于企业信息化战略目标,信息系统安全体系规划做得好,企业信息化工作的实现就有了保障。
由于企业信息化的任务与目标不同,因此信息系统安全体系规划包括的内容就不同,建设的规模就有很大的差异。换言之,信息系统安全体系规划无法从专业书籍或研究资料中找到非常有针对性的、有帮助的适用法则,也不可能给出一个规范化的信息系统安全体系规划的模板。本文仅仅是提出了其中一种信息系统安全体系规划框架与方法,给出了信息系统安全体系规划工作的一种建设原则、建设内容和建设思路,具体规划还需要深入细致地进行本地化的调查与研究。
3.能够全面和准确地描述该信息系统项目的应用环境和安全方面的需求,深入地阐述所选定的系统安全体系的主要内容、采用的具体安全策略、技术和方法,这些策略、技术和方法要针对该信息系统项目的实际特点,具有一定的广度和深度。论文最后需要进一步讨论这些策略、技术与方法对该工程项目后期的工作产生了哪些积极(或消极)的影响(效果和存在的问题),以及你在该工程项目中获得的相关经验或教训。对需要进一步改进的地方,不可脱离实际提出过高的要求,要给出具体的着眼点,要给出评价依据,并且评价要客观、恰当,不能泛泛而谈。