信息系统安全规划框架及方法.docVIP

信息系统安全规划框架及方法 　　伴随着近年来我国计算机、网络技术日益成熟，互联网的应用渗透到生活的各个层面中，但与此同时，用户信息泄露等风险事件仍然存在，甚至对用户的利益造成直接侵害，因此构建信息安全系统成为必然选择。基于此，本文从现代化企业视角出发，对信息系统安全规划的必要性作简要阐述，以及框架与方法的分析，从而为企业信息化战略目标提供了前进的方向，具有一定的指导意义 【关键词】信息系统安全规划 框架与方法 企业信息化 随着人们对信息系统的应用愈加广泛，安全问题已经成为了必须要解决的首要任务，所以如何有效的建设信息系统安全就为了重中之重。同样，信息化社会中，企业确保自身信息安全，则必须要对信息系统安全规划的框架与方法有所掌握 1 信息系统安全规划必要性 信息系统安全规划具有十分重要的的价值，也是现代化社会发展的必然趋势。一方面，当前国内大部分企信息系统面临着潜在风险，体现在电脑病毒、黑客恶意攻击、信息技术本身缺陷性以及人为操作失误等等，为防范信息系统安全风险，确保企业正常运营秩序，展开信息系统安全规划是企业自身发展的需求。另一方面，当前社会背景下，计算机、互联网技术已经成为各个行业所不可缺少的支撑力量，在信息系统的推进下，必然会带领企业在管理效率上实现进步，因此，从长远来看，信息系统安全规划是时代发展必然趋势 2 信息系统安全规划框架基本内容 信息系统安全规划是综合性任务，在信息系统安全规划的整体框架中，需要考虑包括网络、公共信息、物理操作、基础设备以及信息数据等信息的安全性，为了达到对这些方面信息完整性、精准性的保护效果，需要对企业技术、组织结构以及管理三个方面入手。首先技术方面的安全规划是核心的部分，常见的信息安全保护技术包括防火墙、外来入侵检测、杀毒、VPN、数据备份以及漏洞扫描等等。在这些常规技术的基础上，应当重视技术的动态发展，随着计算机信息技术的不断发展，信息安全中出现的问题也不断积累，因此对于信息系统的安全规划也应当置于动态发展的过程中，不能仅仅局限在某一个阶段的成果当中。其次，管理方面则主要指向于对企业内部员工的信息安全风险理念教育宣传，并且设置相应的管理制度，为信息系统安全规划提供制度保证。最后组织结构部分则是要求企业内部的不同部门之间能够展开密切合作，共同完成信息系统安全规划任务 3 信息系统安全规划方法 3.1 战略目标方法 信息系统安全规划必须在明确的发展目标指引下才能有序进行，并且在这一目标的组织下，将不同的组织部门紧密连接成为一个共同体。当前，信息系统对企业的发展起到十分重要的作用，但是国内绝大部分企业对于信息系统安全规划的意识比较欠缺，也无法将信息系统安全规划放在企业发展的重要位置对待，甚至有很多企业错误的认为，信息系统安全建设就是简单的购入硬件设备和软件。对此，企业必须要将信息系统安全规划上升至战略层面中去，并且设置战略管理目标，并且扭转传统观念，立足长远。同时，企业应当结合自身实际情况，在信息系统安全规划中，凸显出自身特色，使得信息系统能更好的为企业未来一段时间的发展，提供支持和辅助。此外，从战略层面而言，信息系统的安全规划应当处于动态发展中的，因此企?I需要设计阶段性任务，不同时期的信息系统安全规划应当是建立在前期经验的总结基础上，并且结合未来一段时间内发展趋向的预测，真正意义上发挥出信息系统的重要价值 3.2 安全目标方法 安全目标法也是企业信息系统安全规划当中的重要手段，需要企业以信息的安全性作为出发点，突出安全的价值，并且在安全目标的指引下，逐步完成信息系统规划和建设。其一，企业需要对过去一段时间内，出现的信息安全受到威胁的事件进行总结，并且分析风险出现的原因，从而确定危险发生的根源，并进一步设置安全目标，防范这一风险事件的发生，起到针对性的信息系统保护功效。举例说明，如果企业在过去一段时间内，有遭受黑客非法入侵的历史，则在安全目标的设计中，需要将这一部分作为重点内容，对服务器进行更新和维护后，提升安全防护的等级，并且对信息数据的传输进行监控，或者对服务器访问权限进行优化设置等，从而切断信息泄露的根源。安全目标方法的使用，使得企业信息系统安全规划工作的可执行性更强，所起到的效果也将更加显著 3.3 对技术、组织及管理安全综合方法 企业信息系统安全规划的基本框架中，主要包含了技术、管理以及组织结构几个层面组成，因此在规划过程中，应当对从三个不同层面出发，实施综合性保护的方法。其中在管理和组织结构方面，企业需要制定科学的管理制度，对信息系统的安全规划进行监督和规范，实际上属于对信息系统安全规划的辅助和支手段。而技术层面则是信息系统安全规划的重点内容，如在信息运营安全方面，需要从入侵检测技术、口令核对、系统补丁修复以及数据备