信息系统安全工程管理思考范文

信息系统安全工程是结合客户信息安全需求为依据，构建起完善的信息系统的一门科学。近些年来，信息系统各种重大安全事件的频频发生，引起了社会各界对于该领域的普遍关注。如何提高信息系统安全性成为摆在用户、开发与管理人员面前的重大课题。本文从信息系统安全工程出发，对如何保障系统的安全性提出了解决思路。

一、信息系统安全工程概述

同信息系统安全工程相关的概念，包括信息系统、信息系统安全、信息系统安全工程三方面。所谓的“信息系统”，指的是通过通信设备、计算机等软、硬件连接，能够成功获取、处理、传送、交换、存储数据的系统，该系统包括软、硬件，人，数据库，规程等内容的有机组合。

对于信息系统安全而言，其主要是利用各种检测、记录等方法，有效地保护信息系统，避免信息交换、处理、传送、存储中，对信息进行未授权的访问与修改，保障系统信息的安全性。对于信息系统安全而言，其终极目标即确保信息数据在整个系统中始终维持其完整性、保密性与实用性，为了实现该目标，必须在系统结构下实现，而非孤立地保护信息内容。

就信息系统安全工程而言，指的是利用专业化的安全技术，诸如通讯、计算机、网络安全等技术形式，充分应用和贯穿于系统的整个生命周期中，确保组织结合系统需求，构建满足系统所需的安全策略，赋予系统足够的抵御威胁的能力。安全工程在信息系统中的应用，旨在利用最优费效比，提供满足系统安全所需的解决途径。有效的安全需求定义与风险分析，成为实现该目标的关键。信息系统安全工程必须提供足够的能够支持系统安全需求定义、风险评估、方案策略制定、方案实施的方法。

二、基于安全工程的信息系统安全管理方案

结合当前系统安全防御现状及存在的主要问题，本文提出了基于安全工程的信息系统安全管理方案。结合安全工程思想与方法，将其运用和贯穿在信息系统安全管理的全国中，明确系统安全管理不同阶段的主要活动，针对系统各环节特点，利用相应的安全管理方法，以便更好地保障系统信息的安全性。本文所提出的安全管理方案，是由各种必要的安全活动所构成的，结合系统软件分阶段实施，以便给予各环节相应的安全优势，但是，将此类安全活动视为软件全过程加以执行，其安全收益较分散安全活动更大。

安全工程管理的核心理念，即从系统安全出发，对系统全生命周期各环节加以集成，将安全视为系统的有机组成部分。对系统工程各阶段进行安全有效性评估。系统全生命周期，主要包括规划阶段、开发设计阶段、实施阶段、运维阶段、废弃阶段等。再加上由于运维阶段变更所产生的一系列反馈，共同构成了一个完整的系统安全工程管理闭环结构。对于信息系统而言，无论对于哪一时间节点上，都必须采用综合技术与管理方法保障系统信息的安全性。

（一）规划阶段为了确保系统的安全性，在系统规划阶段开始，就必须全面考虑到系统可能存在的安全风险，规划过程中结合系统安全需求，实现安全工程建设同系统建设的同步性。与此同时，结合组织机构的要求与业务需求，满足法律、政策、策略、组织等安全需求，以预期运行安全环境为依据，组织系统环境，并对安全目标加以标识，与此同时，结合未来系统可能面向的客户、业务及运行环境，展开安全、隐私风险评估，明确系统安全目标基线，确定最低安全基线，并加以论证，此阶段安全过程域即明确系统安全要求。

（二）设计阶段影响系统设计安全的阶段通常处于项目初期，因此，在设计过程中必须全面结合系统安全问题展开。通过安全保障方案的制定，对系统进行安全功能设计与论证，将系统规划中所确定的安全需求，全面运用于设计各功能模块之中，结合安全性原则，采用威胁模型建立、减小攻击面等技术手段，进行安全功能设计。系统安全功能设计包括身份验证、防火墙设计等。设计中可结合有关标准的安全要求，科学选取满足系统要求的功能模块，综合考虑到安全风险与成本等问题，明确最佳设计方案，并对与之相匹配的安全措施加以调整，如高层安全设计、详细安全设计等。

（三）实施阶段在信息系统实施阶段，通常涉及到编码、试运、测试、交付、培训等环节。在此过程中，通过开发设计过程中的风险控制、安全测评、管理安全等各项安全活动，保障信息系统的安全性。系统安全工程师负责实现设计内容到实施运行过程的转化，并对系统展开综合分析，为认证活动提供必要的威胁识别、信息保障、材料维护等输入过程。

（四）运维阶段当系统交付之后意味着系统正式步入了运维阶段。在此过程中，应对系统运行中存在安全风险加以有效监控，并定期对系统安全情况进行评估，制定有效的改进方案。与此同时，利用漏洞扫描等一系列技术，进一步保障信息系统主机、网络、通讯过程的安全性。结合系统运行需求，对安全管理流程、应急方案加以完善，以便对可能存在的安全问题进行有效应对。在这一阶段，重点是对系统安全态势进行监视，结合既定目标，对系统内外安全事件加以跟踪和监测，并对系统安全管理进行控制。

（五）废弃阶段在信息系统废弃阶段，重点是结合风险评估，对系统软、硬件资产、残留信息等废弃资源加以有效处理，保障系统升级与更新过程中始终处于一个安全状态。

三、结束语

信息系统安全工程管理所涉及环节与内容颇多，相互之间关系密切而且又复杂。为此，应结合信息安全防御与保护战略作为基本指导思路，进一步加强防御与综合管理，妥善解决系统的安全性。与此同时，信息系统安全工程仍有待深入研究，不断解决信息系统安全领域中存在的新技术与新方法，实现信息系统安全工程技术、安全管理技术之间的有机融合，确保信息系统安全保障顺利实现。

作者：张志刚 单位：河南北方星光机电有限责任公司 太原理工大学