信息系统安全规划框架与方法

  随着互联网的不断发展,全球信息化已成为人类发展的大趋势,我国信息化建设进程也全面加速,企业信息化在提高服务水平、促进业务创新、提升核心竞争力等方面发挥着越来越重要的作用,信息系统已成为推动国民经济增长的重要力量。随着企业信息化工作的提高,我国各地区、各行业使用信息系统开展工作的比例越来越大,信息系统安全问题更为突显和日趋严重,安全问题也逐渐成为影响业务运行、制约生产力发展的重要因素之一。企业信息化的发展将面临着的信息安全方面的严峻考验,对信息系统安全进行全面的规划以适应形势发展的要求已经是一个不能回避的问题,也成为了人们共同关注的一个保证信息安全的重要环节。
  一、 信息系统安全规划的意义
  信息系统安全规划是一个涉及管理、法规和技术等多方面的综合工程。信息系统安全的总体目标是物理安全、网络安全、数据安全、信息内容安全、信息基础设备安全与公共信息安全的总和。信息系统安全的最终目的是确保信息的机密性、完整性和可用性,以及信息系统主体(包括用户、组织、社会和国家)对于信息资源的控制。
  信息系统安全规划是以企业信息化战略规划为指导,以企业的信息资源规划为基础,全面完整地规划信息系统应用和相关信息架构,确定信息系统的安全框架、管理模式与建设步骤。企业在信息系统安全规划的指导下建设的网络与信息环境,才可以在安全机制的控制与制约下,让各种业务解决方案、应用系统和数据都不受负面因素带来的威胁地在其上实现有效配合。信息系统安全规划不应该只是规划未来几个月,而是规划未来几年内如何达到企业信息化远景规划指导下的安全建设目标的一个过程。信息系统安全规划比单独购买信息安全产品更重要,只有信息系统安全的整体布置有计划、有方向、有目的、有配合,才能构成真正意义上的信息安全。
  二、 信息系统安全规划的范围
  信息系统安全规划是在建和已建的信息系统中必须要考虑的重要内容。信息系统安全规划主要是根据风险评估的结果和提取的安全需求描述实施相应的安全保障的目标、措施和步骤。按照“全网安全”的思想,信息系统安全规划需要从管理、组织和技术等多方面进行综合考虑,所涉及到的应该是综合管理、技术规范、运行维护等多个层面的控制措施。
  信息系统安全规划的范围应该是多方面的,涉及技术安全、规范管理、组织结构。技术安全是以往人们谈论比较多的话题,也是以往在安全规划中描述较重的地方,用的最多的是一些如:防火墙、入侵检测、漏洞扫描、防病毒、VPN、访问控制、备份恢复等安全产品。但是信息系统安全是一个动态发展的过程,过去依靠技术就可以解决的大部分安全问题,但是现在仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息系统安全建设是一项复杂的系统工程,要从观念上进行转变,要在安全产品的支持下建设全方位的安全策略,使之成为一个可持续的动态发展的有安全保障的渐进过程。因此,目前在安全设备有一定规模的情况下,规范管理就成为了信息系统安全规划需要关注的核心内容,在信息系统安全规划中一定要将规范管理的规划放在首位。规范管理包括风险管理、安全策略、规章制度和安全教育,这几个组件是信息系统安全规划的重要内容。信息系统安全规划需要有规划的依据,这个依据就是企业的信息化战略规划,同时更需要有组织与人员结构的合理布局来保证,没有合适的人员配合工作任何事情都是不可能完成的,因此在安全规划中不可以忽视对组织结构建立和进行人员合理调配这个关键环节。
  三、 信息系统安全规划框架与方法
  信息系统安全规划是一个非常细致和非常重要的工作,首先需要对企业信息化发展的历史情况进行深入和全面的调研,知道家底、掌握情况,针对信息系统安全的主要内容进行整体的发展规划工作。下面用图-1表示信息系统安全体系的框架。

  图-1 信息系统安全体系
  从上图可以看出,信息系统安全体系主要是由技术体系、组织机构体系和管理体系三部分共同构成的。技术体系是全面提供信息系统安全保护的技术保障系统,该体系由物理安全技术和系统安全技术两大类构成。组织体系是信息系统的组织保障系统,由机构、岗位和人事三个模块构成。机构分为:领导决策层、日常管理层和具体执行层;岗位是信息系统安全管理部门根据系统安全需要设定的负责某一个或某几个安全事务的职位;人事是根据管理机构设定的岗位,对岗位上在职、待职和离职的员工进行素质教育、业绩考核和安全监管的机构。管理体系由法律管理、制度管理和培训管理三部分组成。
  信息系统安全体系清楚了之后,就可以针对以上描述的内容进行全面的规划。信息系统安全规划的层次方法与步骤可以有不同,但是规划内容与层次应该是相同,规划的具体环节、相互之间的关系和具体方法用图-2表示:

  图-2 信息系统安全规划框架图
  1、 信息系统安全规划依托企业信息化战略规划
  信息化战略规划是以整个企业的发展目标、发展战略和企业各部门的业务需求为基础,结合行业信息化方面的需求分析、环境分析和对信息技术发展趋势的掌握,定义出企业信息化建设的远景、使命、目标和战略,规划出企业信息化建设的未来架构,为信息化建设的实施提供一副完整的蓝图,全面系统地指导企业信息化建设的进程。信息系统安全规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。
  2、 信息系统安全规划需要围绕技术安全、管理安全、组织安全考虑
  信息系统安全规划的方法可以不同、侧重点可以不同,但是需要围绕技术安全、管理安全、组织安全进行全面的考虑。规划的内容基本上应该涵盖有:确定信息系统安全的任务、目标、战略以及战略部门和战略人员,并在此基础上制定出物理安全、网络安全、系统安全、运营安全、人员安全的信息系统安全的总体规划。物理安全包括环境设备安全、信息设备安全、网络设备安全、信息资产设备的物理分布安全等。网络安全包括网络拓扑结构安全、网络的物理线路安全、网络访问安全(防火墙、入侵检测系统、VPN等)等。系统安全包括操作系统安全、应用软件安全、应用策略安全等。运营安全应在控制层面和管理层面保障,包括备份与恢复系统安全、入侵检测功能、加密认证功能、漏洞检查及系统补丁功能、口令管理等。人员安全包括安全管理的组织机构、人员安全教育与意识机制、人员招聘及
离职管理、第三方人员安全管理等。
  3、 信息系统安全规划的影响力在信息系统与信息资源
  信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上,因此规划工作需要围绕着信息系统与信息资源的开发、利用和保护工作进行,要包括蓝图、现状、需求、措施四个方面。首先,对信息系统与信息资源的规划需要从信息化建设的蓝图入手,知道企业信息化发展策略的总体目标和各阶段的实施目标,制定出信息系统安全的发展目标;第二,对企业的信息化工作现状进行整体的、综合、全面的分析,找出过去工作中的优势与不足;第三,根据信息化建设的目标提出未来几年的需求,这个需求最好可以分解成若干个小的方面,以便于今后的落实与实施;第四,要写明在实施工作阶段的具体措施与办法,提高规划工作的执行力度。
  信息系统安全规划服务于企业信息化战略目标,信息系统安全规划做得好,企业信息化工作的实现就有了保障,信息系统安全规划是企业信息化发展战略的基础性工作,不是可有可无而是非常重要。由于企业信息化的任务与目标不同,所以信息系统安全规划包括的内容就不同,在建设的规模就有很大的差异,因此信息系统安全规划无法从专业书籍或研究资料中却找到非常有针对性的帮助的适用法则,也不可能给出一个规范化的信息系统安全规划的模板。在这里提出信息系统安全规划框架与方法,给出了信息系统安全规划工作的一种建设原则、建设内容、建设思路,具体规划还需要深入细致地进行本地化的调查与研究。