作 者:程秀权
随着互联网的不断发展,全球信息化已成为人类发展的大趋势,我国信息化建设进程也全面加速,企业信息化在提高服务水平、促进业务创新、提升核心竞争力等方面发挥着越来越重要的作用,信息系统已成为推动国民经济增长的重要力量。随着企业信息化工作的提高,我国各地区、各行业使用信息系统开展工作的比例越来越大,信息系统安全问题更为突显和日趋严重,安全问题也逐渐成为影响业务运行、制约生产力发展的重要因素之一。企业信息化的发展将面临着的信息安全方面的严峻考验,对信息系统安全进行全面的规划以适应形势发展的要求已经是一个不能回避的问题,也成为了人们共同关注的一个保证信息安全的重要环节。
一、信息系统安全规划的意义
信息系统安全规划是一个涉及管理、法规和技术等多方面的综合工程。信息系统安全的总体目标是物理安全、网络安全、数据安全、信息内容安全、信息基础设备安全与公共信息安全的总和。信息系统安全的最终目的是确保信息的机密性、完整性和可用性,以及信息系统主体(包括用户、组织、社会和国家)对于信息资源的控制。
信息系统安全规划是以企业信息化战略规划为指导,以企业的信息资源规划为基础,全面完整地规划信息系统应用和相关信息架构,确定信息系统的安全框架、管理模式与建设步骤。企业在信息系统安全规划的指导下建设的网络与信息环境,才可以在安全机制的控制与制约下,让各种业务解决方案、应用系统和数据都不受负面因素带来的威胁地在其上实现有效配合。信息系统安全规划不应该只是规划未来几个月,而是规划未来几年内如何达到企业信息化远景规划指导下的安全建设目标的一个过程。信息系统安全规划比单独购买信息安全产品更重要,只有信息系统安全的整体布置有计划、有方向、有目的、有配合,才能构成真正意义上的信息安全。
二、信息系统安全规划的范围
信息系统安全规划是在建和已建的信息系统中必须要考虑的重要内容。信息系统安全规划主要是根据风险评估的结果和提取的安全需求描述实施相应的安全保障的目标、措施和步骤。按照“全网安全”的思想,信息系统安全规划需要从管理、组织和技术等多方面进行综合考虑,所涉及到的应该是综合管理、技术规范、运行维护等多个层面的控制措施。
信息系统安全规划的范围应该是多方面的,涉及技术安全、规范管理、组织结构。技术安全是以往人们谈论比较多的话题,也是以往在安全规划中描述较重的地方,用的最多的是一些如:防火墙、入侵检测、漏洞扫描、防病毒、VPN、访问控制、备份恢复等安全产品。但是信息系统安全是一个动态发展的过程,过去依靠技术就可以解决的大部分安全问题,但是现在仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息系统安全建设是一项复杂的系统工程,要从观念上进行转变,要在安全产品的支持下建设全方位的安全策略,使之成为一个可持续的动态发展的有安全保障的渐进过程。因此,目前在安全设备有一定规模的情况下,规范管理就成为了信息系统安全规划需要关注的核心内容,在信息系统安全规划中一定要将规范管理的规划放在首位。规范管理包括风险管理、安全策略、规章制度和安全教育,这几个组件是信息系统安全规划的重要内容。信息系统安全规划需要有规划的依据,这个依据就是企业的信息化战略规划,同时更需要有组织与人员结构的合理布局来保证,没有合适的人员配合工作任何事情都是不可能完成的,因此在安全规划中不可以忽视对组织结构建立和进行人员合理调配这个关键环节。
三、信息系统安全规划框架与方法
信息系统安全规划是一个非常细致和非常重要的工作,首先需要对企业信息化发展的历史情况进行深入和全面的调研,知道家底、掌握情况,针对信息系统安全的主要内容进行整体的发展规划工作。下面用图-1表示信息系统安全体系的框架。