摘要隨著互聯(lián)網(wǎng)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢(shì)，我國(guó)信息化建設(shè)進(jìn)程也全面加速，企業(yè)信息化在提高服務(wù)水平、促進(jìn)業(yè)務(wù)創(chuàng)新、提升核心競(jìng)爭(zhēng)力等方面發(fā)揮著越來越重要的作用，信息系統(tǒng)已成為推動(dòng)國(guó)民經(jīng)濟(jì)增長(zhǎng)的重要力量。隨著企業(yè)信息化工作的提高，我國(guó)各地區(qū)、各行業(yè)使用信息系統(tǒng)開展工作的比例越來越大，信息系統(tǒng)安全問題更為突顯和日趨嚴(yán)重，安全問題也逐漸成為影響業(yè)務(wù)運(yùn)行、制約生產(chǎn)力發(fā)展的重要因素之一。

關(guān)鍵詞信息系統(tǒng)安全規(guī)劃框架方法

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A

企業(yè)信息化的發(fā)展將面臨著的信息安全方面的嚴(yán)峻考驗(yàn)，對(duì)信息系統(tǒng)安全進(jìn)行全面的規(guī)劃以適應(yīng)形勢(shì)發(fā)展的要求已經(jīng)是一個(gè)不能回避的問題，也成為了人們共同關(guān)注的一個(gè)保證信息安全的重要環(huán)節(jié)。

1 信息系統(tǒng)安全規(guī)劃的意義

信息系統(tǒng)安全規(guī)劃是一個(gè)涉及管理、法規(guī)和技術(shù)等多方面的綜合工程。信息系統(tǒng)安全的總體目標(biāo)是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)備安全與公共信息安全的總和。信息系統(tǒng)安全的最終目的是確保信息的機(jī)密性、完整性和可用性，以及信息系統(tǒng)主體(包括用戶、組織、社會(huì)和國(guó)家)對(duì)于信息資源的控制。

2 信息系統(tǒng)安全規(guī)劃的范圍

信息系統(tǒng)安全規(guī)劃是在建和已建的信息系統(tǒng)中必須要考慮的重要內(nèi)容。信息系統(tǒng)安全規(guī)劃主要是根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果和提取的安全需求描述實(shí)施相應(yīng)的安全保障的目標(biāo)、措施和步驟。按照“全網(wǎng)安全”的思想，信息系統(tǒng)安全規(guī)劃需要從管理、組織和技術(shù)等多方面進(jìn)行綜合考慮，所涉及到的應(yīng)該是綜合管理、技術(shù)規(guī)范、運(yùn)行維護(hù)等多個(gè)層面的控制措施。

信息系統(tǒng)安全規(guī)劃的范圍應(yīng)該是多方面的，涉及技術(shù)安全、規(guī)范管理、組織結(jié)構(gòu)。技術(shù)安全是以往人們談?wù)摫容^多的話題，也是以往在安全規(guī)劃中描述較重的地方，用的最多的是一些如:防火墻、入侵檢測(cè)、漏洞掃描、防病毒、VPN、訪問控制、備份恢復(fù)等安全產(chǎn)品。但是信息系統(tǒng)安全是一個(gè)動(dòng)態(tài)發(fā)展的過程，過去依靠技術(shù)就可以解決的大部分安全問題，但是現(xiàn)在僅僅依賴于安全產(chǎn)品的堆積來應(yīng)對(duì)迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的。信息系統(tǒng)安全建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，要從觀念上進(jìn)行轉(zhuǎn)變，要在安全產(chǎn)品的支持下建設(shè)全方位的安全策略，使之成為一個(gè)可持續(xù)的動(dòng)態(tài)發(fā)展的有安全保障的漸進(jìn)過程。

3 信息系統(tǒng)安全規(guī)劃框架與方法

信息系統(tǒng)安全規(guī)劃是一個(gè)非常細(xì)致和非常重要的工作，首先需要對(duì)企業(yè)信息化發(fā)展的歷史情況進(jìn)行深入和全面的調(diào)研，知道家底、掌握情況，針對(duì)信息系統(tǒng)安全的主要內(nèi)容進(jìn)行整體的發(fā)展規(guī)劃工作。下面用圖-1表示信息系統(tǒng)安全體系的框架。

從上圖可以看出，信息系統(tǒng)安全體系主要是由技術(shù)體系、組織機(jī)構(gòu)體系和管理體系三部分共同構(gòu)成的。技術(shù)體系是全面提供信息系統(tǒng)安全保護(hù)的技術(shù)保障系統(tǒng)，該體系由物理安全技術(shù)和系統(tǒng)安全技術(shù)兩大類構(gòu)成。組織體系是信息系統(tǒng)的組織保障系統(tǒng)，由機(jī)構(gòu)、崗位和人事三個(gè)模塊構(gòu)成。機(jī)構(gòu)分為:領(lǐng)導(dǎo)決策層、日常管理層和具體執(zhí)行層;崗位是信息系統(tǒng)安全管理部門根據(jù)系統(tǒng)安全需要設(shè)定的負(fù)責(zé)某一個(gè)或某幾個(gè)安全事務(wù)的職位;人事是根據(jù)管理機(jī)構(gòu)設(shè)定的崗位，對(duì)崗位上在職、待職和離職的員工進(jìn)行素質(zhì)教育、業(yè)績(jī)考核和安全監(jiān)管的機(jī)構(gòu)。管理體系由法律管理、制度管理和培訓(xùn)管理三部分組成。

信息系統(tǒng)安全體系清楚了之后，就可以針對(duì)以上描述的內(nèi)容進(jìn)行全面的規(guī)劃。信息系統(tǒng)安全規(guī)劃的層次方法與步驟可以有不同，但是規(guī)劃內(nèi)容與層次應(yīng)該是相同，規(guī)劃的具體環(huán)節(jié)、相互之間的關(guān)系和具體方法用圖-2表示:

3.1 信息系統(tǒng)安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃

信息化戰(zhàn)略規(guī)劃是以整個(gè)企業(yè)的發(fā)展目標(biāo)、發(fā)展戰(zhàn)略和企業(yè)各部門的業(yè)務(wù)需求為基礎(chǔ)，結(jié)合行業(yè)信息化方面的需求分析、環(huán)境分析和對(duì)信息技術(shù)發(fā)展趨勢(shì)的掌握，定義出企業(yè)信息化建設(shè)的遠(yuǎn)景、使命、目標(biāo)和戰(zhàn)略，規(guī)劃出企業(yè)信息化建設(shè)的未來架構(gòu)，為信息化建設(shè)的實(shí)施提供一副完整的藍(lán)圖，全面系統(tǒng)地指導(dǎo)企業(yè)信息化建設(shè)的進(jìn)程。信息系統(tǒng)安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃，對(duì)信息化戰(zhàn)略的實(shí)施起到保駕護(hù)航的作用。信息系統(tǒng)安全規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的，而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個(gè)目標(biāo)展開和部署。

3.2 信息系統(tǒng)安全規(guī)劃需要圍繞技術(shù)安全、管理安全、組織安全考慮

信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點(diǎn)可以不同，但是需要圍繞技術(shù)安全、管理安全、組織安全進(jìn)行全面的考慮。規(guī)劃的內(nèi)容基本上應(yīng)該涵蓋有:確定信息系統(tǒng)安全的任務(wù)、目標(biāo)、戰(zhàn)略以及戰(zhàn)略部門和戰(zhàn)略人員，并在此基礎(chǔ)上制定出物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、運(yùn)營(yíng)安全、人員安全的信息系統(tǒng)安全的總體規(guī)劃。物理安全包括環(huán)境設(shè)備安全、信息設(shè)備安全、網(wǎng)絡(luò)設(shè)備安全、信息資產(chǎn)設(shè)備的物理分布安全等。網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)的物理線路安全、網(wǎng)絡(luò)訪問安全等。系統(tǒng)安全包括操作系統(tǒng)安全、應(yīng)用軟件安全、應(yīng)用策略安全等。運(yùn)營(yíng)安全應(yīng)在控制層面和管理層面保障，包括備份與恢復(fù)系統(tǒng)安全、入侵檢測(cè)功能、加密認(rèn)證功能、漏洞檢查及系統(tǒng)補(bǔ)丁功能、口令管理等。人員安全包括安全管理的組織機(jī)構(gòu)、人員安全教育與意識(shí)機(jī)制、人員招聘及離職管理、第三方人員安全管理等。