本站小編為你精心準備了信息系統(tǒng)安全工程管理思考參考范文，愿這些范文能點燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

信息系統(tǒng)安全工程是結合客戶信息安全需求為依據(jù)，構建起完善的信息系統(tǒng)的一門科學。近些年來，信息系統(tǒng)各種重大安全事件的頻頻發(fā)生，引起了社會各界對于該領域的普遍關注。如何提高信息系統(tǒng)安全性成為擺在用戶、開發(fā)與管理人員面前的重大課題。本文從信息系統(tǒng)安全工程出發(fā)，對如何保障系統(tǒng)的安全性提出了解決思路。

一、信息系統(tǒng)安全工程概述

同信息系統(tǒng)安全工程相關的概念，包括信息系統(tǒng)、信息系統(tǒng)安全、信息系統(tǒng)安全工程三方面。所謂的“信息系統(tǒng)”，指的是通過通信設備、計算機等軟、硬件連接，能夠成功獲取、處理、傳送、交換、存儲數(shù)據(jù)的系統(tǒng)，該系統(tǒng)包括軟、硬件，人，數(shù)據(jù)庫，規(guī)程等內(nèi)容的有機組合。

對于信息系統(tǒng)安全而言，其主要是利用各種檢測、記錄等方法，有效地保護信息系統(tǒng)，避免信息交換、處理、傳送、存儲中，對信息進行未授權的訪問與修改，保障系統(tǒng)信息的安全性。對于信息系統(tǒng)安全而言，其終極目標即確保信息數(shù)據(jù)在整個系統(tǒng)中始終維持其完整性、保密性與實用性，為了實現(xiàn)該目標，必須在系統(tǒng)結構下實現(xiàn)，而非孤立地保護信息內(nèi)容。

就信息系統(tǒng)安全工程而言，指的是利用專業(yè)化的安全技術，諸如通訊、計算機、網(wǎng)絡安全等技術形式，充分應用和貫穿于系統(tǒng)的整個生命周期中，確保組織結合系統(tǒng)需求，構建滿足系統(tǒng)所需的安全策略，賦予系統(tǒng)足夠的抵御威脅的能力。安全工程在信息系統(tǒng)中的應用，旨在利用最優(yōu)費效比，提供滿足系統(tǒng)安全所需的解決途徑。有效的安全需求定義與風險分析，成為實現(xiàn)該目標的關鍵。信息系統(tǒng)安全工程必須提供足夠的能夠支持系統(tǒng)安全需求定義、風險評估、方案策略制定、方案實施的方法。

二、基于安全工程的信息系統(tǒng)安全管理方案

結合當前系統(tǒng)安全防御現(xiàn)狀及存在的主要問題，本文提出了基于安全工程的信息系統(tǒng)安全管理方案。結合安全工程思想與方法，將其運用和貫穿在信息系統(tǒng)安全管理的全國中，明確系統(tǒng)安全管理不同階段的主要活動，針對系統(tǒng)各環(huán)節(jié)特點，利用相應的安全管理方法，以便更好地保障系統(tǒng)信息的安全性。本文所提出的安全管理方案，是由各種必要的安全活動所構成的，結合系統(tǒng)軟件分階段實施，以便給予各環(huán)節(jié)相應的安全優(yōu)勢，但是，將此類安全活動視為軟件全過程加以執(zhí)行，其安全收益較分散安全活動更大。

安全工程管理的核心理念，即從系統(tǒng)安全出發(fā)，對系統(tǒng)全生命周期各環(huán)節(jié)加以集成，將安全視為系統(tǒng)的有機組成部分。對系統(tǒng)工程各階段進行安全有效性評估。系統(tǒng)全生命周期，主要包括規(guī)劃階段、開發(fā)設計階段、實施階段、運維階段、廢棄階段等。再加上由于運維階段變更所產(chǎn)生的一系列反饋，共同構成了一個完整的系統(tǒng)安全工程管理閉環(huán)結構。對于信息系統(tǒng)而言，無論對于哪一時間節(jié)點上，都必須采用綜合技術與管理方法保障系統(tǒng)信息的安全性。

（一）規(guī)劃階段為了確保系統(tǒng)的安全性，在系統(tǒng)規(guī)劃階段開始，就必須全面考慮到系統(tǒng)可能存在的安全風險，規(guī)劃過程中結合系統(tǒng)安全需求，實現(xiàn)安全工程建設同系統(tǒng)建設的同步性。與此同時，結合組織機構的要求與業(yè)務需求，滿足法律、政策、策略、組織等安全需求，以預期運行安全環(huán)境為依據(jù)，組織系統(tǒng)環(huán)境，并對安全目標加以標識，與此同時，結合未來系統(tǒng)可能面向的客戶、業(yè)務及運行環(huán)境，展開安全、隱私風險評估，明確系統(tǒng)安全目標基線，確定最低安全基線，并加以論證，此階段安全過程域即明確系統(tǒng)安全要求。

（二）設計階段影響系統(tǒng)設計安全的階段通常處于項目初期，因此，在設計過程中必須全面結合系統(tǒng)安全問題展開。通過安全保障方案的制定，對系統(tǒng)進行安全功能設計與論證，將系統(tǒng)規(guī)劃中所確定的安全需求，全面運用于設計各功能模塊之中，結合安全性原則，采用威脅模型建立、減小攻擊面等技術手段，進行安全功能設計。系統(tǒng)安全功能設計包括身份驗證、防火墻設計等。設計中可結合有關標準的安全要求，科學選取滿足系統(tǒng)要求的功能模塊，綜合考慮到安全風險與成本等問題，明確最佳設計方案，并對與之相匹配的安全措施加以調(diào)整，如高層安全設計、詳細安全設計等。

（三）實施階段在信息系統(tǒng)實施階段，通常涉及到編碼、試運、測試、交付、培訓等環(huán)節(jié)。在此過程中，通過開發(fā)設計過程中的風險控制、安全測評、管理安全等各項安全活動，保障信息系統(tǒng)的安全性。系統(tǒng)安全工程師負責實現(xiàn)設計內(nèi)容到實施運行過程的轉化，并對系統(tǒng)展開綜合分析，為認證活動提供必要的威脅識別、信息保障、材料維護等輸入過程。

（四）運維階段當系統(tǒng)交付之后意味著系統(tǒng)正式步入了運維階段。在此過程中，應對系統(tǒng)運行中存在安全風險加以有效監(jiān)控，并定期對系統(tǒng)安全情況進行評估，制定有效的改進方案。與此同時，利用漏洞掃描等一系列技術，進一步保障信息系統(tǒng)主機、網(wǎng)絡、通訊過程的安全性。結合系統(tǒng)運行需求，對安全管理流程、應急方案加以完善，以便對可能存在的安全問題進行有效應對。在這一階段，重點是對系統(tǒng)安全態(tài)勢進行監(jiān)視，結合既定目標，對系統(tǒng)內(nèi)外安全事件加以跟蹤和監(jiān)測，并對系統(tǒng)安全管理進行控制。

（五）廢棄階段在信息系統(tǒng)廢棄階段，重點是結合風險評估，對系統(tǒng)軟、硬件資產(chǎn)、殘留信息等廢棄資源加以有效處理，保障系統(tǒng)升級與更新過程中始終處于一個安全狀態(tài)。

三、結束語

信息系統(tǒng)安全工程管理所涉及環(huán)節(jié)與內(nèi)容頗多，相互之間關系密切而且又復雜。為此，應結合信息安全防御與保護戰(zhàn)略作為基本指導思路，進一步加強防御與綜合管理，妥善解決系統(tǒng)的安全性。與此同時，信息系統(tǒng)安全工程仍有待深入研究，不斷解決信息系統(tǒng)安全領域中存在的新技術與新方法，實現(xiàn)信息系統(tǒng)安全工程技術、安全管理技術之間的有機融合，確保信息系統(tǒng)安全保障順利實現(xiàn)。

作者：張志剛 單位：河南北方星光機電有限責任公司 太原理工大學