发布时间:2023-10-09 17:42:14
绪论:一篇引人入胜的工程信息安全管理,需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文,供您参考和学习。
同信息系统安全工程相关的概念,包括信息系统、信息系统安全、信息系统安全工程三方面。所谓的“信息系统”,指的是通过通信设备、计算机等软、硬件连接,能够成功获取、处理、传送、交换、存储数据的系统,该系统包括软、硬件,人,数据库,规程等内容的有机组合。
对于信息系统安全而言,其主要是利用各种检测、记录等方法,有效地保护信息系统,避免信息交换、处理、传送、存储中,对信息进行未授权的访问与修改,保障系统信息的安全性。对于信息系统安全而言,其终极目标即确保信息数据在整个系统中始终维持其完整性、保密性与实用性,为了实现该目标,必须在系统结构下实现,而非孤立地保护信息内容。
就信息系统安全工程而言,指的是利用专业化的安全技术,诸如通讯、计算机、网络安全等技术形式,充分应用和贯穿于系统的整个生命周期中,确保组织结合系统需求,构建满足系统所需的安全策略,赋予系统足够的抵御威胁的能力。安全工程在信息系统中的应用,旨在利用最优费效比,提供满足系统安全所需的解决途径。有效的安全需求定义与风险分析,成为实现该目标的关键。信息系统安全工程必须提供足够的能够支持系统安全需求定义、风险评估、方案策略制定、方案实施的方法。
二、基于安全工程的信息系统安全管理方案
结合当前系统安全防御现状及存在的主要问题,本文提出了基于安全工程的信息系统安全管理方案。结合安全工程思想与方法,将其运用和贯穿在信息系统安全管理的全国中,明确系统安全管理不同阶段的主要活动,针对系统各环节特点,利用相应的安全管理方法,以便更好地保障系统信息的安全性。本文所提出的安全管理方案,是由各种必要的安全活动所构成的,结合系统软件分阶段实施,以便给予各环节相应的安全优势,但是,将此类安全活动视为软件全过程加以执行,其安全收益较分散安全活动更大。
安全工程管理的核心理念,即从系统安全出发,对系统全生命周期各环节加以集成,将安全视为系统的有机组成部分。对系统工程各阶段进行安全有效性评估。系统全生命周期,主要包括规划阶段、开发设计阶段、实施阶段、运维阶段、废弃阶段等。再加上由于运维阶段变更所产生的一系列反馈,共同构成了一个完整的系统安全工程管理闭环结构。对于信息系统而言,无论对于哪一时间节点上,都必须采用综合技术与管理方法保障系统信息的安全性。
(一)规划阶段为了确保系统的安全性,在系统规划阶段开始,就必须全面考虑到系统可能存在的安全风险,规划过程中结合系统安全需求,实现安全工程建设同系统建设的同步性。与此同时,结合组织机构的要求与业务需求,满足法律、政策、策略、组织等安全需求,以预期运行安全环境为依据,组织系统环境,并对安全目标加以标识,与此同时,结合未来系统可能面向的客户、业务及运行环境,展开安全、隐私风险评估,明确系统安全目标基线,确定最低安全基线,并加以论证,此阶段安全过程域即明确系统安全要求。
(二)设计阶段影响系统设计安全的阶段通常处于项目初期,因此,在设计过程中必须全面结合系统安全问题展开。通过安全保障方案的制定,对系统进行安全功能设计与论证,将系统规划中所确定的安全需求,全面运用于设计各功能模块之中,结合安全性原则,采用威胁模型建立、减小攻击面等技术手段,进行安全功能设计。系统安全功能设计包括身份验证、防火墙设计等。设计中可结合有关标准的安全要求,科学选取满足系统要求的功能模块,综合考虑到安全风险与成本等问题,明确最佳设计方案,并对与之相匹配的安全措施加以调整,如高层安全设计、详细安全设计等。
(三)实施阶段在信息系统实施阶段,通常涉及到编码、试运、测试、交付、培训等环节。在此过程中,通过开发设计过程中的风险控制、安全测评、管理安全等各项安全活动,保障信息系统的安全性。系统安全工程师负责实现设计内容到实施运行过程的转化,并对系统展开综合分析,为认证活动提供必要的威胁识别、信息保障、材料维护等输入过程。
(四)运维阶段当系统交付之后意味着系统正式步入了运维阶段。在此过程中,应对系统运行中存在安全风险加以有效监控,并定期对系统安全情况进行评估,制定有效的改进方案。与此同时,利用漏洞扫描等一系列技术,进一步保障信息系统主机、网络、通讯过程的安全性。结合系统运行需求,对安全管理流程、应急方案加以完善,以便对可能存在的安全问题进行有效应对。在这一阶段,重点是对系统安全态势进行监视,结合既定目标,对系统内外安全事件加以跟踪和监测,并对系统安全管理进行控制。
(五)废弃阶段在信息系统废弃阶段,重点是结合风险评估,对系统软、硬件资产、残留信息等废弃资源加以有效处理,保障系统升级与更新过程中始终处于一个安全状态。
1.信息通信工程安全管理理念
信息通信工程是人们日常生活中不可缺少的一部分,同样也是国家政治、军事以及企业运行中不可或缺的,所以它的安全管理在使用中显得尤为重要。所以,它在我国社会发展中起着重要的作用。信息通信工程安全管理一般是指在信息通信工程安全建设中所涉及到的有关问题,例如建设主管部门安全问题、建设主体安全问题、安全生产企业管理问题等,所以,在信息通信工程管理建设中,安全是发展中的首要问题。
2.通信工程安全管理的重要性
2.1促进安全生产保证机制的形成
对信息通信工程实行安全管理制度,可以提高施工人员在工作中的安全意识,同时也会引起企业其他部门的争相效仿,进而使整个单位企业都对安全施工有了新的认识,促进了政府、施工企业以及监理单位等监管体系的有效协作,更加促进安全生产保障机制形成,为施工人员作业安全提供保障。
2.2提高信息通信工程安全生产水平
政府、施工企业以及监理单位等监管体系的有效协作,即政府安全生产监管、施工单位的安全控制以及监理单位建立的有效协作,充分发挥了有效的市场监管作用,政府在信息通信工程的调解中发现了市场监管存在的不足,监理单位的调控使得信息通信的安全生产在一定程度上得到治理。施工单位一定要对施工人员制作好安全防护制度,如果施工单位仍有存在不足的地方,施工人员也可提出安全要求进行整改,只有政府、施工企业以及监理单位相互协作,安全生产水平才能得到整体提高,才能保证自身和他人的生命财产安全。
2.3有利于实现通信工程建设投资效益最大化
在信息通信安全管理办法实施以后,企业管理人员发现施工人员对工程监督得到了加强,也开始修复在施工过程中出现的漏洞,安全施工得到很大程度的完善。这种做法不但在一定程度上避免了施工中安全事故的发生,同时也提高了信息通信工程的质量保证,使得企业的建设投资得到正激励提高,实现了工程建设投资效益最大化。
3.强化通信工程安全管理的有效对策
3.1重视对施工人员的教育
作为施工人员,在进入企业时,企业负责人就必须向施工人员讲述安全施工管理的重要性,提高施工人员的综合素质,并在企业发展工程中定期对施工人员加强安全施工的引导,增强施工人员的职业安全素质,提高施工人员在去年全市共中的重视力度。因为信息通信工程的建设不是儿戏,它涉及到施工人员的生命安全,不能一概而论,更不能走形式主义,必须毫不松懈传输安全教育。
3.2提高员工责任心
在施工过程中要保证信息通信工程建设管理的安全质量,施工人员在现场施工中一定要树立强烈的责任心,要从实际出发,制定出关于施工安全的管理办法。施工人员要结合实际总结出施工时产生的状况、管理中产生的状况以及施工人员在安全方面的管理措施,提高工程中管理人员的整体素质,并把管理中的每个细节都落实到位。严格的控制并划分出每个责任人负责的区域,若今后在信息通信工程中出现问题,避免责任人相互推卸责任。
3.3确保建设安全中资金的有效投入
在信息通信工程建设施工过程中,管理人员往往只重视施工的高效性,却对安全施工不够重视,由于对安全资金的投入不足或者不到位,在施工过程中很容易发生不确定性事故。所以,在施工之前,管理人员必须罗列出安全措施的详细计划单,保证在安全管理中安全专款的适用范围。在安全投入费用中,监理单位也必须对其进行单独开支,保证监理单位对工程监理负责的积极性,可以在这种基础上实行安全生产奖罚制度,促进员工进行有效安全措施。
3.4建立安全管理规章制度
我国企业对每项工程都会制定不同的安全管理办法,并且我们质量安全监督局会对施工现场进行勘测和检查,并签订《安全生产管理计划书》,最大程度的把安全责任落实到位。在施工现场,企业要对安全施工和安全生产做好宣传,弘扬安全生产的信心,把安全施工大标题张贴在醒目的位置,最好切实有效的安全工作职责运行,若在施工现场出现问题,一定要认真分析出现问题的原因,找到可以解决的方案,切忌乱动施工现场,防止出现混乱。
结束语
随着我国信息通信工程技术的飞速发展,其安全管理办法的实施研究不仅是我国信息保障得到安全运用,同时在一定程度上也保障了通信施工人员的人身安全,对以后信息安全保障起到非常重要的作用。在信息通信安全管理中,要注重对工作人员安全素质的培养,重用高科技专业发展人才,提高人员安全保护意识。并且重视对安全管理人员的管理进行创新,加强安全管理理念,保证技术工程的顺利进行。
参考文献
[1] 戴凯.通信工程安全管理办法研究[J].中国新通信,2014,(7).
[2] 黄云龙.通信工程安全管理探析[J].企业改革与管理,2014,(5).
中图分类号:X92 文献标识码:A
对项目风险管理来说,风险评估是对信息工程安全资产所面临的威胁、存在的弱点、造成的影响及三者综合作用所带来风险的可能性的评估。作为项目风险管理的基础,风险评估是确定信息工程安全需求的一个重要途径,属于信息工程安全管理体系策划的过程。
1 风险评估概述
风险评估是在综合考虑成本效益的前提下,通过安全措施控制风险,使残余风险降低到可以控制的程度。因为任何信息系统都会有安全风险,所谓安全信息系统,实际上指信息系统在实施了风险评估以后做出了风险控制,仍然存在残余风险是可被接受的信息系统我们就称为安全信息系统。追求信息系统安全就不能脱离全面完整的信息系统安全评估,就必须运用信息系统安全风险评估的思想和规范对信息系统进行安全评估。
风险评估的主要任务包括:(1)识别面临的各种风险。(2)评估风险概率和可能带来的负面影响。(3)确定承受风险的能力。(4)确定风险消减和控制的优先等级。(5)推荐风险消减对策。
1.1 信息工程安全系统项目风险评估概述
信息工程安全系统项目风险管理是围绕信息工程安全系统项目风险而展开的评估、处理和控制的活动。其中最重要的基本要素是风险评估,因为基于风险评估可以对政府部门信息工程安全系统项目有系统全面的了解,找出潜在问题,分析原因,判断严重性和相关影响,以此确定信息工程安全系统建设的需求。项目是一个过程,从项目的开始到结束,风险评估要求风险评估贯穿到信息系统的整个生命周期提出了三个环节要进行风险评估:一是信息系统规划设计阶段,二是系统验收阶段,三是信息系统运维阶段。管理的不确定性,有限的资源和千变万化的危险和漏洞,使得所有的风险不可能完全缓解。一个信息系统的项目专业人员必须要协同用户、项目经理对信息系统各种潜在的影响进行评估,使其达到一个合理水平。
由于种种原因,信息安全系统存在着很多漏洞及缺陷,如黑客攻击或系统本身的原因,会造成系统安全事件,给系统带来不好的影响。因此,要对项目的信息安全风险进行相应的评估,评估的主要内容包括系统的安全漏洞和系统可能带来的负面影响,根据相应的等级来进行划分,评估出可能发生的安全风险。
1.2 信息工程安全系统项目风险评估过程
一般来说,系统信息工程安全项目风险评估分为四个不同的阶段。
第一个阶段:风险评估准备阶段。
(1)根据相应的风险评估准则,调研项目的实际情况,然后制定风险评估的计划表。按照实际操作来看,计划通常要由三个重要的表格组成,这三个表分别是:《信息工程安全系统的描述报告》、《信息工程安全系统的分析报告》和《信息工程安全系统的安全要求报告》。通过这些表格及具体的计划表,要对项目的风险评价进行计划。计划的内容一般要设计如下范围:目的、范围、目标、组织架构、经费预算、进度安排。制定好计划书后要及时汇报给决策层。如果决策层有异议,应该及时根据意见加以修改。只有获得决策层的审核和同意后,计划书才能获得批准,才能够获得相应的资源加以执行。
(2)结合项目的具体实际,对整个风险评估流程加以确定。不同的项目风险评估流程是不一样的,必须要结合具体的项目实际对评估的流程加以确定,如何工作,如何评估,评估结果如何衡量等。这个步骤,通常应该形成一个书面的《风险评估程序》,便于后面工作人员的具体操作。
(3)根据项目具体实际,选择特定的风险评估方法和工具。风险评估方法和工具千差万别,具体的某个项目,有针对性地 选择成本低,效果好,结合项目实际的具体方法和工具。
第二个阶段:风险因素识别。
(1)对所有需要保护的信息资产加以清点。根据上文确定的三个相关报告,对单位或项目所有的资产加以清点,找出重要的、对安全有重大影响的信息资产并造册,形成书面的《需要保护的资产清单》。(2)结合相关工具,识别出可能面临的威胁。一般来说,目前信息安全行业都有相应的较为全面的威胁或漏洞库,结合这些数据库,对单位的具体资产进行详细的清点和评估,就能找出可能面临的威胁,编制书面的《威胁列表》。(3)根据上面的工作,参照漏洞库,可以对整个单位信息资产面临的脆弱性加以评估,形成书面的《脆弱性列表》。
第三个阶段:风险程度分析。
(1)确认单位目前已经采用的安全防范措施。通过书面形式,对单位目前已经有的具体防范措施加以总结,填写到《已有安全措施分析报告》。(2)对可能面临的威胁的动机加以分析。面临的威胁的动机一般分为:涉及利益者的攻击、对系统好奇、对自己的技术自负等,要形成书面的《威胁动机分析报告》。(3)分析单位可能面临的威胁行为的能力。这一步主要是对可能面临威胁的具体评估,包括强度、广度、深度等。(4)分析信息资产的价值。信息自查的价值主要从以下几个方面来评估:关键性,价格,敏感性等。(5)分析可能面临的影响的程度。具体包括:资产损失,任务妨害,人员伤亡等。
第四个阶段:风险等级评价阶段。
(1)对威胁的动机加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(2)对威胁的行为能力加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(3)对系统脆弱性加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(4)对资产价值加以评估,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(5)对影响程度加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(6)对所有因素加以综合评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。
一般来说,有公认的具体算法。但各单位具体实际情况不一而足。所以,对于公认的算法可以进行修改,或者提出自己认为更符合实际情况的算法。
2 信息工程安全系统项目风险控制
2. 1 风险控制概述
风险评估的目的是进行风险控制,进而最大可能排除系统面临的风险。所以,在信息风险评估之后,就要进行风险控制,其目的是为了尽可能降低系统面临的风险和漏洞。而系统的风险和漏洞,是不可能完全排除的,不论下多么大的成本。只能在一定范围内,尽可能控制在可以接受的范围。一般来说,为了控制可能发生的风险,主要采用以下几种方式:(1)规避风险。规避就是避免使用。例如有一些信息资产面临很大的风险,如果完全消除风险,需要很大的成本,需要更多的经济投入等。那么,一个比较可行的办法就是避免使用这样的资产,或者一些敏感的、需要保密的数据,不在这些资产上使用,从而规避掉可能发生的风险。(2)转移风险。这种方式的思路,就是将已经面临风险的资产转移到风险较低,或者没有风险的资产上。如某单位需要处理技术上足够复杂,没有能力处理的业务时,可以通过寻求外包给第三方专业机构的形式,要求对方做好风险处理,从而达到转移风险的目的。(3)降低风险。降低风险就是在资产面临风险时,通过各种手段和方法来降低其面临的风险。
2.2 信息工程安全系统项目风险控制过程
在信息工程安全项目管理中,风险控制可以划分为四个阶段,分别是:现有风险判断、确定风险控制目标、采取选择和实施具体的风险控制措施。
在不同的阶段,进行不同的工作流程和具体内容,分别如下:
第一阶段:预备阶段。在本阶段,主要是对单位现有的信息资产激进型识别、编号、评估并造册,形成书面报告。
第二阶段:现存风险判断。在本阶段,通过各种工具和方法,对系统信息资产面临的风险加以评级。一般来说,风险的评级主要分为两种:可接受的系统风险和不可接受的系统风险。然后,对系统目前存在的一些风险加以判断,到底是否能够接受。
第三阶段:确定风险控制目标。本阶段主要的工作流程和内容包括:(1)分析风险控制需求。针对上面提出的不可接受的风险,分析其具体需求;并分析哪些是可以做到,哪些不能做到;如果做到,需要具体的成本和措施等。(2)确立风险控制目标。完全搞清楚其具体需求后,就可以确定风险控制的目标。
第四阶段:控制措施选择与实施。
控制措施选择阶段的工作流程和内容如下:(1)选择风险控制方式。确定目标后,就可以采用具体的风险控制方式。选择方式时必须考虑到单位的具体情况,能否实现以及经济投入成本、投入产出比等。(2)选择风险控制措施。控制措施实施阶段的工作流程和内容如下:①制定风险控制实施计划:选择好相应的风险控制方式后,即可制定具体的实施计划。实施计划必须为书面,便于后面的审查以及对照。②实施风险控制措施:采用规避、降低、转移等具体方式来控制。实施过程应该遵循相应的工作流程和标准,并书面记录在案。
3 结语
当前网络信息安全技术发展迅速,任何信息系统都会有安全风险。没有任何一种解决方案可以防御所有危及网络信息安全的攻击。因此我们需要不断跟踪新技术,对所采用的网络信息安全防范技术进行升级完善,以确保相关利益不受侵犯。
参考文献
[1] Stuart McClure 等.黑客大曝光――网络安全机密与解决方案[M].北京:清华大学出版社,2006:140.
[2] 魏仕民等.信息安全概论[M].北京:高等教育出版社,2005:40-41.
