本站小編為你精心準(zhǔn)備了信息系統(tǒng)安全工程管理思考參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

信息系統(tǒng)安全工程是結(jié)合客戶信息安全需求為依據(jù)，構(gòu)建起完善的信息系統(tǒng)的一門科學(xué)。近些年來，信息系統(tǒng)各種重大安全事件的頻頻發(fā)生，引起了社會各界對于該領(lǐng)域的普遍關(guān)注。如何提高信息系統(tǒng)安全性成為擺在用戶、開發(fā)與管理人員面前的重大課題。本文從信息系統(tǒng)安全工程出發(fā)，對如何保障系統(tǒng)的安全性提出了解決思路。

一、信息系統(tǒng)安全工程概述

同信息系統(tǒng)安全工程相關(guān)的概念，包括信息系統(tǒng)、信息系統(tǒng)安全、信息系統(tǒng)安全工程三方面。所謂的“信息系統(tǒng)”，指的是通過通信設(shè)備、計(jì)算機(jī)等軟、硬件連接，能夠成功獲取、處理、傳送、交換、存儲數(shù)據(jù)的系統(tǒng)，該系統(tǒng)包括軟、硬件，人，數(shù)據(jù)庫，規(guī)程等內(nèi)容的有機(jī)組合。

對于信息系統(tǒng)安全而言，其主要是利用各種檢測、記錄等方法，有效地保護(hù)信息系統(tǒng)，避免信息交換、處理、傳送、存儲中，對信息進(jìn)行未授權(quán)的訪問與修改，保障系統(tǒng)信息的安全性。對于信息系統(tǒng)安全而言，其終極目標(biāo)即確保信息數(shù)據(jù)在整個系統(tǒng)中始終維持其完整性、保密性與實(shí)用性，為了實(shí)現(xiàn)該目標(biāo)，必須在系統(tǒng)結(jié)構(gòu)下實(shí)現(xiàn)，而非孤立地保護(hù)信息內(nèi)容。

就信息系統(tǒng)安全工程而言，指的是利用專業(yè)化的安全技術(shù)，諸如通訊、計(jì)算機(jī)、網(wǎng)絡(luò)安全等技術(shù)形式，充分應(yīng)用和貫穿于系統(tǒng)的整個生命周期中，確保組織結(jié)合系統(tǒng)需求，構(gòu)建滿足系統(tǒng)所需的安全策略，賦予系統(tǒng)足夠的抵御威脅的能力。安全工程在信息系統(tǒng)中的應(yīng)用，旨在利用最優(yōu)費(fèi)效比，提供滿足系統(tǒng)安全所需的解決途徑。有效的安全需求定義與風(fēng)險(xiǎn)分析，成為實(shí)現(xiàn)該目標(biāo)的關(guān)鍵。信息系統(tǒng)安全工程必須提供足夠的能夠支持系統(tǒng)安全需求定義、風(fēng)險(xiǎn)評估、方案策略制定、方案實(shí)施的方法。

二、基于安全工程的信息系統(tǒng)安全管理方案

結(jié)合當(dāng)前系統(tǒng)安全防御現(xiàn)狀及存在的主要問題，本文提出了基于安全工程的信息系統(tǒng)安全管理方案。結(jié)合安全工程思想與方法，將其運(yùn)用和貫穿在信息系統(tǒng)安全管理的全國中，明確系統(tǒng)安全管理不同階段的主要活動，針對系統(tǒng)各環(huán)節(jié)特點(diǎn)，利用相應(yīng)的安全管理方法，以便更好地保障系統(tǒng)信息的安全性。本文所提出的安全管理方案，是由各種必要的安全活動所構(gòu)成的，結(jié)合系統(tǒng)軟件分階段實(shí)施，以便給予各環(huán)節(jié)相應(yīng)的安全優(yōu)勢，但是，將此類安全活動視為軟件全過程加以執(zhí)行，其安全收益較分散安全活動更大。

安全工程管理的核心理念，即從系統(tǒng)安全出發(fā)，對系統(tǒng)全生命周期各環(huán)節(jié)加以集成，將安全視為系統(tǒng)的有機(jī)組成部分。對系統(tǒng)工程各階段進(jìn)行安全有效性評估。系統(tǒng)全生命周期，主要包括規(guī)劃階段、開發(fā)設(shè)計(jì)階段、實(shí)施階段、運(yùn)維階段、廢棄階段等。再加上由于運(yùn)維階段變更所產(chǎn)生的一系列反饋，共同構(gòu)成了一個完整的系統(tǒng)安全工程管理閉環(huán)結(jié)構(gòu)。對于信息系統(tǒng)而言，無論對于哪一時間節(jié)點(diǎn)上，都必須采用綜合技術(shù)與管理方法保障系統(tǒng)信息的安全性。

（一）規(guī)劃階段為了確保系統(tǒng)的安全性，在系統(tǒng)規(guī)劃階段開始，就必須全面考慮到系統(tǒng)可能存在的安全風(fēng)險(xiǎn)，規(guī)劃過程中結(jié)合系統(tǒng)安全需求，實(shí)現(xiàn)安全工程建設(shè)同系統(tǒng)建設(shè)的同步性。與此同時，結(jié)合組織機(jī)構(gòu)的要求與業(yè)務(wù)需求，滿足法律、政策、策略、組織等安全需求，以預(yù)期運(yùn)行安全環(huán)境為依據(jù)，組織系統(tǒng)環(huán)境，并對安全目標(biāo)加以標(biāo)識，與此同時，結(jié)合未來系統(tǒng)可能面向的客戶、業(yè)務(wù)及運(yùn)行環(huán)境，展開安全、隱私風(fēng)險(xiǎn)評估，明確系統(tǒng)安全目標(biāo)基線，確定最低安全基線，并加以論證，此階段安全過程域即明確系統(tǒng)安全要求。

（二）設(shè)計(jì)階段影響系統(tǒng)設(shè)計(jì)安全的階段通常處于項(xiàng)目初期，因此，在設(shè)計(jì)過程中必須全面結(jié)合系統(tǒng)安全問題展開。通過安全保障方案的制定，對系統(tǒng)進(jìn)行安全功能設(shè)計(jì)與論證，將系統(tǒng)規(guī)劃中所確定的安全需求，全面運(yùn)用于設(shè)計(jì)各功能模塊之中，結(jié)合安全性原則，采用威脅模型建立、減小攻擊面等技術(shù)手段，進(jìn)行安全功能設(shè)計(jì)。系統(tǒng)安全功能設(shè)計(jì)包括身份驗(yàn)證、防火墻設(shè)計(jì)等。設(shè)計(jì)中可結(jié)合有關(guān)標(biāo)準(zhǔn)的安全要求，科學(xué)選取滿足系統(tǒng)要求的功能模塊，綜合考慮到安全風(fēng)險(xiǎn)與成本等問題，明確最佳設(shè)計(jì)方案，并對與之相匹配的安全措施加以調(diào)整，如高層安全設(shè)計(jì)、詳細(xì)安全設(shè)計(jì)等。

（三）實(shí)施階段在信息系統(tǒng)實(shí)施階段，通常涉及到編碼、試運(yùn)、測試、交付、培訓(xùn)等環(huán)節(jié)。在此過程中，通過開發(fā)設(shè)計(jì)過程中的風(fēng)險(xiǎn)控制、安全測評、管理安全等各項(xiàng)安全活動，保障信息系統(tǒng)的安全性。系統(tǒng)安全工程師負(fù)責(zé)實(shí)現(xiàn)設(shè)計(jì)內(nèi)容到實(shí)施運(yùn)行過程的轉(zhuǎn)化，并對系統(tǒng)展開綜合分析，為認(rèn)證活動提供必要的威脅識別、信息保障、材料維護(hù)等輸入過程。

（四）運(yùn)維階段當(dāng)系統(tǒng)交付之后意味著系統(tǒng)正式步入了運(yùn)維階段。在此過程中，應(yīng)對系統(tǒng)運(yùn)行中存在安全風(fēng)險(xiǎn)加以有效監(jiān)控，并定期對系統(tǒng)安全情況進(jìn)行評估，制定有效的改進(jìn)方案。與此同時，利用漏洞掃描等一系列技術(shù)，進(jìn)一步保障信息系統(tǒng)主機(jī)、網(wǎng)絡(luò)、通訊過程的安全性。結(jié)合系統(tǒng)運(yùn)行需求，對安全管理流程、應(yīng)急方案加以完善，以便對可能存在的安全問題進(jìn)行有效應(yīng)對。在這一階段，重點(diǎn)是對系統(tǒng)安全態(tài)勢進(jìn)行監(jiān)視，結(jié)合既定目標(biāo)，對系統(tǒng)內(nèi)外安全事件加以跟蹤和監(jiān)測，并對系統(tǒng)安全管理進(jìn)行控制。

（五）廢棄階段在信息系統(tǒng)廢棄階段，重點(diǎn)是結(jié)合風(fēng)險(xiǎn)評估，對系統(tǒng)軟、硬件資產(chǎn)、殘留信息等廢棄資源加以有效處理，保障系統(tǒng)升級與更新過程中始終處于一個安全狀態(tài)。

三、結(jié)束語

信息系統(tǒng)安全工程管理所涉及環(huán)節(jié)與內(nèi)容頗多，相互之間關(guān)系密切而且又復(fù)雜。為此，應(yīng)結(jié)合信息安全防御與保護(hù)戰(zhàn)略作為基本指導(dǎo)思路，進(jìn)一步加強(qiáng)防御與綜合管理，妥善解決系統(tǒng)的安全性。與此同時，信息系統(tǒng)安全工程仍有待深入研究，不斷解決信息系統(tǒng)安全領(lǐng)域中存在的新技術(shù)與新方法，實(shí)現(xiàn)信息系統(tǒng)安全工程技術(shù)、安全管理技術(shù)之間的有機(jī)融合，確保信息系統(tǒng)安全保障順利實(shí)現(xiàn)。

作者：張志剛 單位：河南北方星光機(jī)電有限責(zé)任公司 太原理工大學(xué)