信息系統安全工程管理思考范文

本站小編為你精心準備了信息系統安全工程管理思考參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

信息系統安全工程是結合客戶信息安全需求為依據，構建起完善的信息系統的一門科學。近些年來，信息系統各種重大安全事件的頻頻發生，引起了社會各界對于該領域的普遍關注。如何提高信息系統安全性成為擺在用戶、開發與管理人員面前的重大課題。本文從信息系統安全工程出發，對如何保障系統的安全性提出了解決思路。

一、信息系統安全工程概述

同信息系統安全工程相關的概念，包括信息系統、信息系統安全、信息系統安全工程三方面。所謂的“信息系統”，指的是通過通信設備、計算機等軟、硬件連接，能夠成功獲取、處理、傳送、交換、存儲數據的系統，該系統包括軟、硬件，人，數據庫，規程等內容的有機組合。

對于信息系統安全而言，其主要是利用各種檢測、記錄等方法，有效地保護信息系統，避免信息交換、處理、傳送、存儲中，對信息進行未授權的訪問與修改，保障系統信息的安全性。對于信息系統安全而言，其終極目標即確保信息數據在整個系統中始終維持其完整性、保密性與實用性，為了實現該目標，必須在系統結構下實現，而非孤立地保護信息內容。

就信息系統安全工程而言，指的是利用專業化的安全技術，諸如通訊、計算機、網絡安全等技術形式，充分應用和貫穿于系統的整個生命周期中，確保組織結合系統需求，構建滿足系統所需的安全策略，賦予系統足夠的抵御威脅的能力。安全工程在信息系統中的應用，旨在利用最優費效比，提供滿足系統安全所需的解決途徑。有效的安全需求定義與風險分析，成為實現該目標的關鍵。信息系統安全工程必須提供足夠的能夠支持系統安全需求定義、風險評估、方案策略制定、方案實施的方法。

二、基于安全工程的信息系統安全管理方案

結合當前系統安全防御現狀及存在的主要問題，本文提出了基于安全工程的信息系統安全管理方案。結合安全工程思想與方法，將其運用和貫穿在信息系統安全管理的全國中，明確系統安全管理不同階段的主要活動，針對系統各環節特點，利用相應的安全管理方法，以便更好地保障系統信息的安全性。本文所提出的安全管理方案，是由各種必要的安全活動所構成的，結合系統軟件分階段實施，以便給予各環節相應的安全優勢，但是，將此類安全活動視為軟件全過程加以執行，其安全收益較分散安全活動更大。

安全工程管理的核心理念，即從系統安全出發，對系統全生命周期各環節加以集成，將安全視為系統的有機組成部分。對系統工程各階段進行安全有效性評估。系統全生命周期，主要包括規劃階段、開發設計階段、實施階段、運維階段、廢棄階段等。再加上由于運維階段變更所產生的一系列反饋，共同構成了一個完整的系統安全工程管理閉環結構。對于信息系統而言，無論對于哪一時間節點上，都必須采用綜合技術與管理方法保障系統信息的安全性。

（一）規劃階段為了確保系統的安全性，在系統規劃階段開始，就必須全面考慮到系統可能存在的安全風險，規劃過程中結合系統安全需求，實現安全工程建設同系統建設的同步性。與此同時，結合組織機構的要求與業務需求，滿足法律、政策、策略、組織等安全需求，以預期運行安全環境為依據，組織系統環境，并對安全目標加以標識，與此同時，結合未來系統可能面向的客戶、業務及運行環境，展開安全、隱私風險評估，明確系統安全目標基線，確定最低安全基線，并加以論證，此階段安全過程域即明確系統安全要求。

（二）設計階段影響系統設計安全的階段通常處于項目初期，因此，在設計過程中必須全面結合系統安全問題展開。通過安全保障方案的制定，對系統進行安全功能設計與論證，將系統規劃中所確定的安全需求，全面運用于設計各功能模塊之中，結合安全性原則，采用威脅模型建立、減小攻擊面等技術手段，進行安全功能設計。系統安全功能設計包括身份驗證、防火墻設計等。設計中可結合有關標準的安全要求，科學選取滿足系統要求的功能模塊，綜合考慮到安全風險與成本等問題，明確最佳設計方案，并對與之相匹配的安全措施加以調整，如高層安全設計、詳細安全設計等。

（三）實施階段在信息系統實施階段，通常涉及到編碼、試運、測試、交付、培訓等環節。在此過程中，通過開發設計過程中的風險控制、安全測評、管理安全等各項安全活動，保障信息系統的安全性。系統安全工程師負責實現設計內容到實施運行過程的轉化，并對系統展開綜合分析，為認證活動提供必要的威脅識別、信息保障、材料維護等輸入過程。

（四）運維階段當系統交付之后意味著系統正式步入了運維階段。在此過程中，應對系統運行中存在安全風險加以有效監控，并定期對系統安全情況進行評估，制定有效的改進方案。與此同時，利用漏洞掃描等一系列技術，進一步保障信息系統主機、網絡、通訊過程的安全性。結合系統運行需求，對安全管理流程、應急方案加以完善，以便對可能存在的安全問題進行有效應對。在這一階段，重點是對系統安全態勢進行監視，結合既定目標，對系統內外安全事件加以跟蹤和監測，并對系統安全管理進行控制。

（五）廢棄階段在信息系統廢棄階段，重點是結合風險評估，對系統軟、硬件資產、殘留信息等廢棄資源加以有效處理，保障系統升級與更新過程中始終處于一個安全狀態。

三、結束語

信息系統安全工程管理所涉及環節與內容頗多，相互之間關系密切而且又復雜。為此，應結合信息安全防御與保護戰略作為基本指導思路，進一步加強防御與綜合管理，妥善解決系統的安全性。與此同時，信息系統安全工程仍有待深入研究，不斷解決信息系統安全領域中存在的新技術與新方法，實現信息系統安全工程技術、安全管理技術之間的有機融合，確保信息系統安全保障順利實現。

作者：張志剛 單位：河南北方星光機電有限責任公司 太原理工大學