摘要】信息系统平安防护模型是一种能够根据审计记录动态调整平安策略的系统平安体系,
它采取先进、科学、适用的平安技术对系统进行平安防护和实时监控,制定出系统平安策略,
让系统具有灵敏、迅速的响应与恢复能力,这些都是在充分评估与分析系统平安风险因素的
根底上进行的。【关键词】信息系统;平安;体系引言伴随信息化程度提高,日益突出的问题是
信息技术“双刃剑〞效应对信息平安的影响。其中,信息平安保障体系包含四个领域:信息
平安策略、信息平安组织、信息平安管理和信息平安技术。而现在也开始对管理体系造成影
响,表现在信息平安需求从最初的系统平安和网络平安慢慢深入到系统内部体系平安和数据
平安上。1.信息系统平安保障的含义信息系统平安保障不但是一门复杂的系统学科,也是一
门需综合技术、管理和人的技术学科。在技术中,不该单考虑具体的产品和技术,而是要更
深入信息系统整体的信息技术系统体系结构中。在管理中,需建立综合的信息系统平安保障
制度、信息化的组织管理体系和相应的岗位职责分配制度;其中,信息系统平安保障制度必
须严格执行等等。在人员中,需提高所有使用信息系统人员的平安意识和能力,还有信息系
统专业人员的专业技能等。信息系统平安保障作为一种工程性的临时行为,不但要全过程融
入信息系统的生命周期,更要覆盖信息系统方案组织、开发采购、实施交付、运行维护和废
弃的整个生命周期,以形成信息系统平安保障能力的长效机制。在实践中,不仅要同步规划、
同步建设信息系统平安保障工作与信息化建设工作,还要加强平安工程的建设和监理管理等。
信息系统平安保障的根本目的是通过保障信息系统从而保障所支持的业务系统、组织使命,
此外,它也保障了信息系统本身。2.信息系统平安防护体系模型信息系统平安防护体系能够
根据审计记录动态调整平安策略,制定系统平安策略,采取先进、科学、适用的平安技术对
系统实施平安防护和实时监控,使系统具有灵敏、迅速的响应与恢复能力,这些都是在充分
评估与分析系统平安风险因素的根底上实现的。风险评估与分析是平安策略制定的依据,即
对系统的平安风险因素进行评估、分析和报告。风险评估包含两个方面:一方面是对本系统
资源的平安等级进行评估,也就是多大的杯子装多少份量的水,多少价值的东西应投入多大
精力进行平安保护。这是制订适应性平安策略的依据。另一方面是探讨平安风险因素的源头。
平安风险可以分为两个方面:首先是平安防护的主要对象即系统内部的脆弱性与外部威胁。
在实施过程中,把信息反响给策略制定者,便于动态调整策略,改进措施,逐步提高系统的
平安性。其次是平安防护体系重心所在的技术防护方面,它是针对系统结构和系统中各平安
漏洞、平安威胁而采取相应的技术防护措施。此外,要想落实好平安策略工作,必须强制执
行检测,它是一道有力工具。3.信息平安体系建设本卷须知 3.1 需要专业化的平安工程管理
工程管理的主要局部是风险管理,而追求有利活动的最大化和不利活动的最小化那么是风险
管理的目的。在工程过程中的对象确立、风险评估、风险预案、审核实施、实施监控和沟通
咨询六个方面是信息平安工程中风险管理的主要内容。对象确立是第一步骤,即依据工程中
要保护系统的业务目标和特性,确定风险管理对象。风险评估作为第二步骤,识别、分析和
评价已确立的风险管理对象所面临的风险问题。第三步骤是风险预案制定,即根据风险分析
的结果,对工程过程中可能存在的风险制定出相应对策;此外,据评估的结果,选取和实施
相应的平安措施。第四步骤是审核实施,即分为审核和实施两局部:审核是指以审查、测试、
评审等手段,对信息系统中风险评估和风险预案进行检验,看是否满足的平安要求;实施指
评论0
最新资源