信息系統(tǒng)安全建設(shè)論文

時間:2022-09-09 03:58:38

導(dǎo)語:信息系統(tǒng)安全建設(shè)論文一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

信息系統(tǒng)安全建設(shè)論文

1大型企業(yè)信息系統(tǒng)概述

1.1系統(tǒng)結(jié)構(gòu)。

大型企業(yè)的網(wǎng)絡(luò)系統(tǒng)構(gòu)成是一個復(fù)雜、綜合的內(nèi)容,它包含了內(nèi)部局域網(wǎng)、各地子公司的局域網(wǎng)以及廣域網(wǎng)連接等復(fù)雜內(nèi)容。在工作中,總部的局域網(wǎng)一般都是和電信公司的因特網(wǎng)相連接,同時還和下轄子公司、其單位連接,是通過信息技術(shù)、網(wǎng)絡(luò)技術(shù)連接形成的一個綜合信息平臺。

1.2系統(tǒng)功能。

在功能上分析,大型國有企業(yè)的信息系統(tǒng)涵蓋業(yè)務(wù)范圍廣、內(nèi)容復(fù)雜、布局合理,主要業(yè)務(wù)系統(tǒng)包含了ERP系統(tǒng)、OA系統(tǒng)以及財務(wù)系統(tǒng)等,這些系統(tǒng)涉及到局域網(wǎng)、廣域網(wǎng)以及企業(yè)自身發(fā)展的特征,因此在連接的時候往往都是根據(jù)企業(yè)業(yè)務(wù)開展需要和內(nèi)部經(jīng)營管理需要聯(lián)系的。

1.3系統(tǒng)用戶。

大型企業(yè)的信息系統(tǒng)是一個復(fù)雜、繁瑣、綜合的內(nèi)容,其用戶類型十分的廣泛和復(fù)雜,簡單的將其進行劃分主要可以劃分為系統(tǒng)管理用戶和系統(tǒng)應(yīng)用用戶兩種。首先,系統(tǒng)管理用戶主要包含了管理員、指揮部、網(wǎng)絡(luò)管理員、安全管理員以及應(yīng)用程序管理員等。其次,系統(tǒng)應(yīng)用用戶包含了內(nèi)部應(yīng)用用戶和外部應(yīng)用用戶兩方面。其中內(nèi)部的應(yīng)用用戶主要指的是企業(yè)員工、辦公用戶、生產(chǎn)系統(tǒng)用戶和分公司辦事處的員工等。外部應(yīng)用用戶主要指的是用戶方位的企業(yè)網(wǎng)站。

2信息系統(tǒng)的安全環(huán)境

2.1系統(tǒng)安全現(xiàn)狀。

目前,我國大型企業(yè)信息系統(tǒng)對于安全防范認識還較為欠缺,各種防范措施的應(yīng)用較少,主要安全防范措施的應(yīng)用主要是防火墻、防病毒以及數(shù)據(jù)備份等手段,這些技術(shù)的應(yīng)用基本上都偏重于安全設(shè)備的提前預(yù)防,而對于那些專業(yè)、專門的管理制度和管理策略并沒有得到重視,同時對國家有關(guān)信息安全的法律和法規(guī)沒有從根本上重視,錯誤認為這是一些不必要、不科學(xué)的內(nèi)容。雖然目前大部分企業(yè)的信息系統(tǒng)在技術(shù)和管理上已經(jīng)采取了初步的安全管理措施,但是從綜合管理方面分析其中還存在著較多的不足,更沒有專業(yè)的崗位和安全管理,缺乏嚴格、一致的管理控制機制。

2.2系統(tǒng)安全威脅。

威脅是造成系統(tǒng)安全的主要潛在原因,它的存在極大的限制了企業(yè)信息系統(tǒng)功能的發(fā)揮,甚至是導(dǎo)致企業(yè)信息和經(jīng)濟損失。在目前工作中,系統(tǒng)安全威脅的斷定往往都是根據(jù)企業(yè)業(yè)務(wù)信息系統(tǒng)的存在進行分析的,它可謂是一個不可消滅的問題和事物,無論企業(yè)系統(tǒng)多么的先進和完善,這種潛在威脅都是存在的。

3信息系統(tǒng)安全規(guī)劃分析

3.1總體規(guī)劃概述。

在計算機網(wǎng)絡(luò)信息安全服務(wù)的設(shè)計與實施過程中,安全服務(wù)提供商的整體安全意識及安全體系模型極為重要,只有具有清晰的模型構(gòu)建,才能夠從根本上有效地對客戶所需要的安全服務(wù)進行分類和設(shè)計。在ISO7498-2中描述了開放系統(tǒng)互聯(lián)安全的體系結(jié)構(gòu),提出設(shè)計安全的信息系統(tǒng)的基礎(chǔ)架構(gòu)中應(yīng)該包含:a.五類安全服務(wù)(安全功能);b.能夠?qū)@五類安全服務(wù)提供支持的八類安全機制;c.需要進行的三種OSI安全管理方式。在上述國際標(biāo)準(zhǔn)的指導(dǎo)下,綠盟科技提出了一套適合于大型企業(yè)信息系統(tǒng)的信息安全體系框架(NSFocusInformationSecurityFramework,簡稱NISF),以指導(dǎo)信息系統(tǒng)的安全建設(shè)。NISF將整個安全體系規(guī)劃為三個部分,分別是組織體系、管理體系和技術(shù)體系,全面地涵蓋了大型企業(yè)企業(yè)信息系統(tǒng)規(guī)劃和建設(shè)的安全要求。NISF的最上層為大型企業(yè)信息系統(tǒng)的安全目標(biāo),任何階段的安全設(shè)計和實施都是為了完成這些目標(biāo)而進行的,其下是支持實現(xiàn)這個目標(biāo)的三部分安全體系:a.安全組織體系主要包括機構(gòu)建設(shè)和人員管理兩方面內(nèi)容,對企業(yè)內(nèi)部的安全機構(gòu)建設(shè)和人員崗位、安全培訓(xùn)等方面提出了要求。b.安全管理體系主要包括制度管理、資產(chǎn)管理、物理管理、技術(shù)管理和風(fēng)險管理等方面內(nèi)容。它與安全組織體系共同依據(jù)了國際信息安全管理標(biāo)準(zhǔn)ISO17799的要求,涵蓋了該標(biāo)準(zhǔn)中的每一類規(guī)范。

3.2整體安全體系建設(shè)工期劃分。

為了盡快地實現(xiàn)上述大型企業(yè)信息系統(tǒng)整體安全體系的建設(shè),更好地實現(xiàn)企業(yè)的高層安全目標(biāo),有效地降低大型各層面的安全風(fēng)險,綠盟科技建議大型企業(yè)信息系統(tǒng)的整體安全體系建設(shè)劃分為三期工程,以最終建立大型企業(yè)安全計劃(搭建ESP安全管理平臺)成功為結(jié)束標(biāo)志。

3.3一期安全規(guī)劃內(nèi)容。

本階段主要是在大型企業(yè)建立初步的信息安全組織體系和管理體系,通過實施部分關(guān)鍵的安全技術(shù)產(chǎn)品建立企業(yè)基本的安全預(yù)警、防護、監(jiān)控和響應(yīng)體系,目標(biāo)是滿足信息系統(tǒng)的最高安全需求,安全等級達到初級。

3.4二期安全規(guī)劃內(nèi)容。

本階段將全企業(yè)范圍內(nèi)的組織管理體系進一步建立健全,使安全管理流程合理化,安全技術(shù)產(chǎn)品進一步分布實施,采用專業(yè)的安全服務(wù)對系統(tǒng)進一步加強,使得企業(yè)整體安全性得到大幅度提升,通過配套的安全事故處理體系的建設(shè),使企業(yè)面對安全事件的響應(yīng)速度大大加快。目標(biāo)是將整個信息系統(tǒng)的安全水平提高到中級。

4結(jié)束語

大型企業(yè)網(wǎng)絡(luò)與信息安全建設(shè)項目的成功,將對企業(yè)IT架構(gòu)產(chǎn)生良好的影響,同時顯著地提高了企業(yè)網(wǎng)絡(luò)的信息安全水平和管理能力。

作者:姜寶林單位:國網(wǎng)雞西供電公司