序論:在您撰寫工程信息安全管理時�,參考他人的優(yōu)秀作品可以開闊視野�����,小編為您整理的7篇范文�,希望這些建議能夠激發(fā)您的創(chuàng)作熱情����,引導您走向新的創(chuàng)作高度。
第1篇
關鍵詞:網(wǎng)絡工程�����;信息安全管理����;技術方案;遺傳算法
1引言
近年來網(wǎng)絡工程技術發(fā)展迅速�����,對于海量信息的安全管理日趨重要。但由于網(wǎng)絡信息管理系統(tǒng)在硬件�����、軟件及管理策略方面尚存在諸多問題�,導致系統(tǒng)中存在大量的脆弱性,因而對網(wǎng)絡工程信息系統(tǒng)帶來了極大的威脅[1]��。在網(wǎng)絡工程信息安全管理過程中����,對信息管理技術方案進行制定是不可或缺的一個環(huán)節(jié),合理的方案設計對于信息系統(tǒng)安全風險可控化具有十分重大的意義[2]����。傳統(tǒng)的安全技術方案設計僅僅從技術角度入手,忽略了考慮實施技術手段所需要的花費�����。完善的信息安全管理技術應當將脆弱性分析��、安全技術選擇及實施技術費用進行綜合考慮,這樣才能使信息管理系統(tǒng)的安全風險降至最低[3]�。因此本文首先對網(wǎng)絡工程信息管理技術方案的制定進行了優(yōu)化,以此為基礎�����,提出基于遺傳算法的信息安全管理優(yōu)化技術�����,并對實際算例采用上述優(yōu)化技術��,對該優(yōu)化技術的有效性進行了驗證���。
2信息安全管理技術方案
制定時的決策模型通過對信息管理技術方案的優(yōu)化制定可以使信息管理系統(tǒng)中脆弱性的威脅降到最小�。將信息管理系統(tǒng)中的各種脆弱性表示為v1�����,v2……�����,vm共m種����,當脆弱性vi存在時以數(shù)值1表示,當這種脆弱性不存在時以0表示����,每一種脆弱性對應于一個權值i,這一權值用來表示對應的脆弱性危害信息管理系統(tǒng)的程度�,本文對信息安全管理系統(tǒng)中的脆弱性進行了描述,列出了表1信息安全管理系統(tǒng)中的脆弱性及表示20種不同的脆弱性(見表1)��。對應于每一種脆弱性都存在相應的安全技術����,這些安全技術以s1,s2……�����,sn來表示�����,當技術方案中采用了sj這種安全技術時�,sj等于1,當沒有采用時取值為0�����;對應于sj安全技術的實施費用用cj來表示,本文給出了13中安全技術手段����,見表2。脆弱性及其對應的安全技術之間存在復雜的關系����,對某一脆弱性采取相應的安全技術后該脆弱性可能部分的或完全的消除,但也有可能導致其他種類的脆弱性產(chǎn)生����,其中部分消除安全性是指相應的由該脆弱性導致的信息管理系統(tǒng)破壞程度被限制在一定的范圍內(nèi)。在對脆弱性實施安全技術手段后�����,相應的脆弱性在系統(tǒng)中可能會有一定的殘留�,對于殘留的脆弱性用r1��,r2……rm來表示�,ri對應于脆弱性vi,取值分別為0��,0.5,1����,分別對應于脆弱性存在,脆弱性部分去除以及不存在��。用矩陣T={tij}表示對脆弱性采用安全技術處理后的情況����,tij是指采用安全技術sj處理脆弱性vi的處理能力的大小。確定殘留脆弱性處理規(guī)則�,當vi=0或1時,有j∈{j│sj=1}���,此時tij=1����,那么ri=0�;當vi=0時,存在j∈{j│sj=1}�����,使tij=0��,此時ri=0;當vi=1時�,存在j∈{j│sj=1},使tij=0�,此時ri=1;當vi=0時���,存在j∈{j│sj=1}����,使tij≠1��,同時存在j∈{j│sj=1}���,使tij=-1此時ri=1���;當vi=0時,存在j∈{j│sj=1}��,使tij≠1�,同時存在j∈{j│sj=1},使tij=-0.5此時ri=0.5��;當vi=1時��,存在j∈{j│sj=1}���,使tij≠1����,同時存在j∈{j│sj=1}���,使tij=0.5此時ri=0.5����。綜上所述����,安全的信息管理技術方案設計需要以兩個目標為基礎,如式1和式2所示:式3中Cmax為實施安全技術手段所需要的費用的最大值����,對E進行無量綱修正得到E’,和分別代表脆弱性權重和費用權重�����,和之和為1����,表示二者在系統(tǒng)設計時的偏重程度���,當>時,脆弱性在設計時比費用控制重要�����,反之亦然�。
3遺傳算法在網(wǎng)絡工程信息安全管理技術優(yōu)化中的應用
安全技術手段集合的子集即為所制定的網(wǎng)絡工程信息安全管理技術方案,其可行解共有2n個��,具體方案的選取屬于多目標優(yōu)化問題�,n值增加,問題的解空間呈現(xiàn)幾何式增長����,如果要在如此龐大的解空間內(nèi)實現(xiàn)最優(yōu)解的搜尋,則必須采用效率較高的搜索策略�����。為此引入遺傳算法���,在遺傳過程中的各代個體以適應度值為依據(jù)進行交叉和變異概率選擇�,即采用自適應規(guī)則,從而使個體自適應環(huán)境變化進行自身的調(diào)節(jié)����。首先對于問題的編碼���,用符號串表示各個染色體��,這種符號串具有n位二進制編碼�����,用這種符號串表示的染色體即代表了對應的技術手段���,技術手段的狀態(tài)用二進制編碼的每一位表示,即1表示該技術手段被方案采用����,0表示該技術手段未被方案采用。如此即可轉化網(wǎng)絡工程安全信息管理技術優(yōu)化問題為染色體最優(yōu)編碼求解問題�。
4采用優(yōu)化后信息管理技術的實際算例
采用上述對脆弱性和安全技術的分類,設脆弱性的情況為(11010100110111000110)���,將各脆弱性權重列于表3����,實施相應安全技術所需費用權重列于表4,脆弱性的重要性和實施相應安全技術花費的重要性同等重要(==0.5)���,采用本文提出的優(yōu)化技術對相應的技術方案進行求解(N=100)�����,各概率值為Pe=0.4,Pc0=0.52,Pc1=0.29,Pm0=0.37,Pm1=0.23���,迭代次數(shù)最大為300,50為穩(wěn)定代數(shù)的最大值�����。最終結果為�����,S=(1000010000010)���,即出現(xiàn)單一����、集中、敏感�、可分離、可測���、順應��、難以恢復、自我認知匱乏�����、不以管理����、透明、電子訪問等脆弱性時���,所采取的安全技術手段為�,彈性及魯棒性技術�����、人員管理技術、分配動態(tài)資源技術�����。本文同時對不同數(shù)據(jù)進行了計算�����,結果均表明增加脆弱性和技術手段的種類���,本文提出的以信息管理技術方案優(yōu)化制定為基礎�,采用遺傳算法的網(wǎng)絡工程信息安全管理技術其優(yōu)化效果均較為顯著���。
5結束語
第2篇
[關鍵詞]工程哲學��;信息安全�;管理體系�����;ISMS
doi:10.3969/j.issn.1673 - 0194.2015.16.162
[中圖分類號]TP309 [文獻標識碼]A [文章編號]1673-0194(2015)16-0-03
0 引 言
信息安全是信息化發(fā)展到一定階段的必然產(chǎn)物�����。Tanenbaum認為網(wǎng)絡僅局限于研究人員相互發(fā)郵件時自然不會凸顯信息安全的重要性,但是一旦滲透到包括銀行轉賬和網(wǎng)上購物等日常行為��,或者過渡到云計算時代��,信息安全問題就無法再回避���。
信息安全管理體系(Information Security Management System���,ISMS)被認為是良好的信息安全管理實踐集之一,從工程哲學的視野來看��,這是由某一(或某些)專業(yè)技術為主體和與之配套通用的相關技術�,按照一定規(guī)則�����、規(guī)律所組成的��,為實現(xiàn)某一(或某些)工程目標的組織���、集成活動�。這其中包括人與自然的關系����,也包括人與人�、人與社會的關系�����,并由此構筑了新的存在物�。目前絕大部分的研究都集中于信息安全管理體系的應用,而缺乏從整體角度出發(fā)���,以工程創(chuàng)新為主線����,從工程哲學的角度進行審視�����、思考和分析的研究���,本文對這些問題進行分析�。
1 以“三元論”的視角審視信息安全管理體系
1.1 科學�����、技術和工程“三元論”
Mitcham提出工程哲學(Engineering Philosophy)詞匯,并闡述哲學對工程的重要性����,但是他認為工程處于技術之下,是技術的一部分��,而李伯聰教授則認為科學�、技術和工程是彼此獨立的個體,彼此既有聯(lián)系又有區(qū)別�����,科學��、技術和工程“三元論”是工程哲學得以成立的基礎��。
科學活動是以探索發(fā)現(xiàn)為核心的活動����,技術活動是以發(fā)明革新為核心的活動�����,工程活動是以集成建構為核心的活動���。人們既不應把科學與技術混為一談�����,也不應把技術與工程混為一談���。工程并不是單純的科學應用或技術應用�,也不是相關技術的簡單堆砌和剪貼拼湊���,而是科學要素��、技術要素�、經(jīng)濟要素���、管理要素�、社會要素����、文化要素、制度要素以及環(huán)境要素等多要素的集成���、選擇和優(yōu)化��?���!叭摗泵鞔_承認科學、技術與工程存在密切的聯(lián)系��,而且突出強調(diào)它們之間的轉化關系�����,強調(diào)“工程化”環(huán)節(jié)對于轉化為直接生產(chǎn)力的關鍵作用�����、價值和意義���,強調(diào)應努力實現(xiàn)工程科學����、工程技術和工程實踐的有機互動與統(tǒng)一�。
1.2 信息安全管理體系的工程本質(zhì)及特點
信息安全管理體系是基于業(yè)務風險方法�,來建立、實施���、運行��、監(jiān)視����、評審、保持和改進信息安全的��,包括組織結構�����、方針策略��、規(guī)劃活動����、職責、實踐���、程序���、過程和資源等內(nèi)容。信息安全管理體系的支撐標準為ISO/IEC 27000標準族。在ISO/IEC 27000標準族中��,不但給出了“建立�����、實施����、運行、監(jiān)視�����、評審��、保持和改進信息安全的”“基于業(yè)務風險(的)方法”��,而且還給出了信息安全管理體系的要求����、實用規(guī)則、審核指南以及相關安全域的具體指南等��。例如�,僅GB/T 22081-2008/ISO/IEC 27002:2005信息安全管理實用規(guī)則,就包括了11個控制域,39個控制目標�,133項控制措施���。
信息安全管理體系可在不同的學科中找到其淵源�,在實施框架上����,信息安全管理體系應用了質(zhì)量管理中的Plan-Do-Check-Act的戴明環(huán),在具體的控制措施上���,則包括了密碼學�����、人員安全以及各類信息安全技術����,其研究的特點是將科學思維����、工程思維和社會思維相結合,但更強調(diào)工程思維的“設計”理論��。工程研究活動不同于科學研究活動的基本特征就是“設計”。工程設計活動包括對象設計和過程設計�����。例如����,建造水壩的壩體設計是對象設計,如何實施就是過程設計���,在信息安全中���,設計組織自己的信息安全管理體系是對象設計,設計如何部署是過程設計�。
按照“三元論”理論,信息安全管理體系在其中的位置如圖1所示�����。
2 信息安全管理體系的演化過程與規(guī)律
2.1 信息安全管理體系的起源和發(fā)展
信息安全管理體系是建立在體系(System)化基礎上的“最佳實踐集”��,到國際標準的正式公布��,大致經(jīng)歷了3個階段����。
第一階段為過度關注技術��,忽略人的作用的“技術浪潮”階段��,在這個階段涌現(xiàn)出了大量的信息安全技術產(chǎn)品,例如��,防火墻���、防病毒和入侵檢測系統(tǒng)(IDS)等��。
第二階段為強調(diào)人的作用的“管理浪潮”階段�����,在這個階段大部分企業(yè)開始設置專職的信息安全管理崗位��,以加強對個人行為的控制����。
第三階段即“體系階段”����,在體系階段信息安全以目標為導向�,不再局限于手段的應用�����,而是技術����、制度和人員管理等各個方面的有機結合。這個階段是信息安全的工程化階段�����,體現(xiàn)了工程的實踐性�、經(jīng)驗性、繼承性���、創(chuàng)造性和系統(tǒng)性等特點�。
2.2 信息安全管理體系的動力和機制分析
信息安全管理體系的產(chǎn)生和發(fā)展過程是一個“需求驅動”的過程���。Alvin Toffler在其經(jīng)典著作《第三次浪潮》中�,將人類發(fā)展史劃分為第一次浪潮的“農(nóng)業(yè)文明”��,第二次浪潮的“工業(yè)文明”以及第三次浪潮的“信息社會”����。在信息社會時代���,“信息”成為重要的生產(chǎn)資料,價值非凡�,因此面臨諸多風險,為保護信息����,安全需求的出現(xiàn)是必然的���。
科學與技術的進步是信息安全管理體系的推動力����。新密碼算法的產(chǎn)生���,各類以“信息技術解決信息安全”的思路涌現(xiàn)�����,為信息安全管理體系的產(chǎn)生奠定了基礎�����。信息安全產(chǎn)生的本質(zhì)原因是信息技術的發(fā)展和應用�,反過來,解決信息安全問題又依賴于信息技術的發(fā)展���。例如����,速度更快�,與防火墻形成聯(lián)動的入侵檢測系統(tǒng)。
國家政策是信息安全管理體系應用的導向力�����。任何工程活動都是在社會大系統(tǒng)中開展的����,都要接受國家(政府)的引導和調(diào)控。對工程創(chuàng)新的應用�,企業(yè)的認識往往是滯后的,因此���,國家出臺了一系列引導性政策���。例如:商務部印發(fā)的商資發(fā)[2006]556號及商資函[2006]110號�,以及各地方政府的鼓勵引導政策�。
2.3 信息安全管理體系的工程演化特點、方式和規(guī)律
對比國外����,信息安全管理體系在國內(nèi)發(fā)展體現(xiàn)出了明顯的跳躍性,這種跳躍性不但體現(xiàn)在信息工程領域�����,也表現(xiàn)在其他諸多領域��。國內(nèi)一般不會沿襲其循序漸進的路線����,而是直接引用國外的先進經(jīng)驗或者在國外已有的原型上進行模仿開發(fā)���。
在科學�、技術和工程3個領域內(nèi)���,與文化��、制度���、歷史等環(huán)境因素聯(lián)系最緊密的就是工程�。在信息安全領域內(nèi)�,作為基礎科學的密碼學,其算法“放之四海而皆準”���,不會因東西方文化的不同而顯現(xiàn)不同的特征���,絕大部分技術亦如此。但在工程層次��,不同的文化制度有時會產(chǎn)生大相徑庭的結果�,例如,騰訊QQ本來是模仿國際聊天軟件ICQ�,但是經(jīng)過十幾年的發(fā)展后,ICQ�����,MSN等點對點國外聊天軟件均瀕臨破產(chǎn)����,但QQ在線用戶卻在2010年突破1億。信息安全管理體系雖然修改自國際標準,但也顯現(xiàn)出鮮明的文化特征�。例如更強調(diào)保密性,和國外用戶相比���,更多的認證取向等�����。
3 信息安全管理體系的工程思維與工程方法論
3.1 信息安全管理體系的工程思維
科學思維是“反映性思維”“發(fā)現(xiàn)性思維”����,體現(xiàn)理論理性的認識��,工程思維是“構建性思維”“設計性思維”和“實踐性思維”�����,體現(xiàn)實踐理性的認識��?����?茖W家通過科學思維發(fā)現(xiàn)外部世界中已經(jīng)存在的事物和自然規(guī)律��,工程師在工程活動中創(chuàng)造出自然界中從來沒有的工程構建物�,工程設計是以價值當事人的特定需要為出發(fā)點,以構建某種與主體需要相符合的實體為歸宿的籌劃�����。
信息安全管理體系標準族的GB/T 22080-2008/ISO/IEC 27001:2005原文別強調(diào):“采用ISMS應當是一個組織的一項戰(zhàn)略性決策�����。一個組織ISMS的設計和實施受其需求和目標��、安全要求�����、所采用的過程以及組織的規(guī)模和結構的影響���,且上述因素及其支持系統(tǒng)會不斷發(fā)生變化���。按照組織的需求實施ISMS是本標準所期望的,例如��,簡單的情況可采用簡單的ISMS解決方案����?�!毙畔踩芾眢w系的部署過程也專門設有信息安全風險評估���,目的就是找到企業(yè)實際存在的問題,然后“對癥下藥”���。
3.2 信息安全管理體系的工程方法論
信息安全管理體系應用了PDCA戴明環(huán)��,與A.D.Hall的系統(tǒng)工程方法略有差別�����,但在本質(zhì)上是遵循這個基本框架的�,如圖2所示����。
參照圖2所示的基本工作過程并結合專門指導信息安全管理體系實施的《ISO/IEC 27003:2010信息安全管理體系應用指南》,提取其中的關鍵過程���,并與工程設計的一般過程進行對比,如圖3所示���,其中左側為設計方法���,右側為信息安全管理體系設計�����。
4 結 語
信息安全管理體系既包括數(shù)論�����、密碼學和近世代數(shù)等科學元素���,也包括軟件開發(fā)技術、單片機技術和網(wǎng)絡技術等技術元素���,在工程哲學的視野下����,是建立在一系列科學與技術基礎上的集成創(chuàng)新�。在工程創(chuàng)新成為創(chuàng)新活動主戰(zhàn)場的今天,對其進行哲學分析��,顯得尤為重要��。這其中包括以下幾點。首先��,要辯證地對待便利性與安全性的問題�。正確利用信息系統(tǒng),不僅是技術問題�,也是哲學命題。堅持用“兩點論”的觀點看待便利性和安全性�,在信息化發(fā)展的不同階段,正確分析主要矛盾和次要矛盾�。在信息化發(fā)展初期,信息系統(tǒng)尚未大規(guī)模使用�,主要矛盾是便利性,提高效率����,但到現(xiàn)在,信息安全事件層出不窮�����,美國甚至成立了網(wǎng)絡戰(zhàn)爭司令部�,信息戰(zhàn)成為攻擊手段之一,安全性就成了主要矛盾����,“兩點論”是有重點的兩點論����,要在看到主次矛盾和矛盾的主次方面的同時�����,分清主次,抓住主要矛盾和矛盾的主要方面�����。其次��,從信息安全管理體系演化規(guī)律中發(fā)現(xiàn)集成創(chuàng)新的一般規(guī)律?���?茖W�����、技術轉化為現(xiàn)實生產(chǎn)力的功能一般都要通過工程這一環(huán)節(jié),因此����,在我國建設創(chuàng)新型國家戰(zhàn)略的實施過程中,工程創(chuàng)新是一個關鍵性的環(huán)節(jié)��。只有從大量的工程中發(fā)現(xiàn)工程創(chuàng)新的一般規(guī)律,從工程哲學的角度加以分析�����、歸納和引導��,才能創(chuàng)新信息安全管理體系建設����,發(fā)揮我國信息化發(fā)展的后發(fā)優(yōu)勢�。
主要參考文獻
[1]Tanenbaum A.S���,Whterall D.J.計算機網(wǎng)絡[M].第5版.嚴偉�,潘愛民����,譯.北京:清華大學出版社,2012.
[2]張艷�����,胡新.云計算模式下的信息安全風險及其法律規(guī)制[J].自然辯證法研究,2012(10).
[3]謝宗曉.信息安全管理體系實施指南[M].北京:中國標準出版社���,2012.
[4]張志會.米切姆的工程哲學思想初探[J].工程研究――跨學科視野中的工程,2008.
[5]李伯聰.工程哲學引論――我造物故我在[M].鄭州:大象出版社����,2002.
[6]殷瑞鈺,汪應洛��,李伯聰.工程哲學[M].北京:高等教育出版社,2007.
[7]謝宗曉.信心安全管理體系應用手冊[M].北京:中國標準出版社�����,2008.
[8]王宏波.工程哲學與社會工程[M].北京:中國社會科學出版社���,2006.
[9]Von Solms Basie.Information Security:The Third Wave[J].Computer & Security,2000(12).
[10]殷瑞鈺���,汪應洛,李伯聰.工程演化論[M].北京:高等教育出版社,2011.
[11]謝宗曉.信息安全管理體系實施案例[M].北京:中國標準出版社���,2012.
第3篇
關鍵詞:軟件工程;數(shù)據(jù)信息����;安全管理����;
文章編號:1674-3520(2015)-09-00-01
隨著社會經(jīng)濟的快速發(fā)展,人們對于信息的公開化��、透明化的要求越來越高��,同時信息資源的管理也面臨巨大的困擾,信息安全問題已經(jīng)成為影響人們數(shù)據(jù)存儲的重要因素?����,F(xiàn)代企業(yè)出于安全和利益需要,對于很多信息不能公開或者一定時期內(nèi)不能向外界公布���,這時就需要應用安全保密技術。
一��、保密技術對數(shù)據(jù)信息安全的重要性
保密技術是企業(yè)為獲得自身利益和安全�����,將與自身發(fā)展密切相關的信息進行隱藏的一種手段,隨著互聯(lián)網(wǎng)的快速發(fā)展���,企業(yè)信息的保密也越發(fā)重要����。保守企業(yè)秘密是指嚴格按照有關經(jīng)濟法律和企業(yè)內(nèi)部的規(guī)章制度��,將涉及信息和信息的載體控制在一定的范圍之內(nèi),限制知悉的人員���,同時也包含了企業(yè)自身或內(nèi)部員工保守秘密的職責,并以此采取相應的保密活動����。通常情況下��,屬于保密范疇的信息�����,都應當明確內(nèi)容����,并規(guī)定相應的期限�,在此階段內(nèi)��,保密主體不能夠擅自改變,并且其知悉范圍是通過強制性手段和措施來實現(xiàn)控制的���。
二���、數(shù)據(jù)信息安全保密技術類型
(一)口令保護��。對數(shù)據(jù)信息設置口令是數(shù)據(jù)信息安全的基礎保障�。在對數(shù)據(jù)保密信息設置安全保障的過程中����,可以先根據(jù)計算機技術設置登錄密碼��,并確保密碼的復雜性�,如字母與數(shù)字混合�����、大小寫字母與數(shù)字混合等�,以免被黑客破解�����。如果有提示密碼可能被盜的消息�����,則應當及時辨別消息的真實性�,并登錄到安全中心重新設置密碼��,從而確保數(shù)據(jù)信息登錄的安全性和可靠性�。
(二)數(shù)據(jù)加密。在信息的存儲及傳輸過程中有一個重要的手段,就是對數(shù)據(jù)進行加密�����,這樣才能夠保證數(shù)據(jù)信息的安全性�����,從而提升信息保密的抗攻擊度。所謂數(shù)據(jù)加密����,主要是指根據(jù)較為規(guī)律的加密變化方法�����,對需要設置密碼的數(shù)據(jù)進行加密處理����,由此得到需要密鑰才能識別的數(shù)據(jù)。加密變化不僅能夠保護數(shù)據(jù)���,還能夠檢測數(shù)據(jù)的完整陛���,是現(xiàn)代數(shù)據(jù)信息系統(tǒng)安全中最常用也是最重要的保密技術手段之一��。數(shù)據(jù)加密和解密的算法和操作一般都由一組密碼進行控制��,形成加密密鑰和相應的解密密鑰�����。在數(shù)據(jù)信息傳輸?shù)倪^程中��,可以根據(jù)相應的加密密鑰����,加密數(shù)據(jù)信息��,然后根據(jù)解密密鑰得出相應的數(shù)據(jù)信息。在此過程中�����,大大保障了數(shù)據(jù)信息的安全����,避免被破解。
(三)存取控制���。為保證用戶能夠存取相關權限內(nèi)的數(shù)據(jù)����,已經(jīng)具備使用權的用戶必須事先將定義好的用戶操作權限進行存取控制。在一般情況下����,只要將存取權限的定義通過科學的編譯處理,將處理后的數(shù)據(jù)信息存儲到相應的數(shù)據(jù)庫中����。如果用戶對數(shù)據(jù)庫發(fā)出使用信息的命令請求,數(shù)據(jù)庫操作管理系統(tǒng)會通過對數(shù)據(jù)字典進行查找����,來檢查每個用戶權限是否合法���。如果存在不合法的行為,則可能是用于用戶的請求不符合數(shù)據(jù)庫存儲定義�����,并超出了相應的操作權限�����,這樣則會導致數(shù)據(jù)庫對于用戶的指令無法識別����,并拒絕執(zhí)行。因此,只有在采取存取控制保護措施下�,數(shù)據(jù)庫才能夠對發(fā)出請求的用戶進行識別,并對用戶身份的合法性進行驗證�����。同時還需要注意不同用戶之問的標識符都具有一定差異,經(jīng)過識別和驗證后����,用戶才能夠獲取進入數(shù)據(jù)庫的指令,以此確保數(shù)據(jù)信息的安全性,為用戶提供一個良好的數(shù)據(jù)應用環(huán)境����。
三、增強數(shù)據(jù)信息安全保密技術
(一)數(shù)字簽名技術���。在計算機網(wǎng)絡通信中,經(jīng)常會出現(xiàn)一些假冒��、偽造���、篡改的數(shù)據(jù)信息���,對企業(yè)應用數(shù)據(jù)信息造成了嚴重影響,對此�����,采取相應的技術保護措施也就顯得非常重要�。數(shù)字簽名技術主要是指對數(shù)據(jù)信息的接收方身份進行核實����,在相應的報文上面簽名����,以免事后影響到數(shù)據(jù)信息的真實性。在交換數(shù)據(jù)信息協(xié)議的過程中����,接收方能夠對發(fā)送方的數(shù)據(jù)信息進行鑒別����,并且不能夠出現(xiàn)否認這一發(fā)送信息的行為�。通過在數(shù)據(jù)簽名技術中應用不對稱的加密技術�����,能夠明確文件發(fā)送的真實性��,而通過解密與加密技術��,能夠實現(xiàn)對數(shù)據(jù)信息傳輸過程的良好控制���,以免出現(xiàn)信息泄露的情況���。
(二)接入控制技術。接入控制技術主要是指針對用戶所應用的計算機信息系統(tǒng)進行有效控制�,實現(xiàn)一般用戶對數(shù)據(jù)庫信息的資源共享����,這是避免非法入侵者竊取信息的另一關卡�。對于需要密切保密的數(shù)據(jù)信息庫,用戶在訪問之前應當明確是否能夠登陸��,及登陸之后是否涉及保密信息����,以加強數(shù)據(jù)信息控制。在對絕密級信息系統(tǒng)進行處理時���,訪問應當控制到每個用戶��。在系統(tǒng)內(nèi)部用戶非授權的接入控制中���,任意訪問控制是指用戶可以隨意在系統(tǒng)中規(guī)定的范圍內(nèi)活動����,這對于用戶來說較為方便,而且成本費用也比較低廉�。但是此種做法的安全性較低,如果有用戶進行強制訪問�,勢必會導致外來信息入侵系統(tǒng)。對此����,采用強制訪問方法能夠有效避免非法入侵行為,雖然安全費用較大�����,但是安全系數(shù)較高�。
(三)跟蹤審計技術����。跟蹤審計技術主要是指對數(shù)據(jù)信息的應用過程進行事后的審計處理,也就是一種事后追查手段�����,對數(shù)據(jù)系統(tǒng)的安全操作情況進行詳細記錄。通過采用此種技術���,如果數(shù)據(jù)庫系統(tǒng)出現(xiàn)泄密事件,能夠對泄密事件的發(fā)生時問����、地點及過程進行記錄,同時對數(shù)據(jù)庫信息進行實時監(jiān)控����,并給出詳細的分析報告,以保證數(shù)據(jù)庫系統(tǒng)的可靠性��。跟蹤審計技術可以分為好幾種類型,如數(shù)據(jù)庫跟蹤審計�����、操作系統(tǒng)跟蹤審計等�。這些技術的應用及實施�,能夠加強對數(shù)據(jù)庫信息的安全限制,以免再次出現(xiàn)病毒入侵的情況�。
(三)防火墻技術�。防火墻技術主要是指對計算機網(wǎng)絡的接入進行有效控制���,如果有外部用戶采用非法手段接入訪問內(nèi)部資源,防火墻能夠進行識別并進行相應的反擊處理,從而將不良信息隔在網(wǎng)絡之外�。防火墻的基本功能是對網(wǎng)絡數(shù)據(jù)信息進行過濾處理,同時對外來用戶的訪問進行分析和管理,攔截不安全信息��,將網(wǎng)絡攻擊擋在網(wǎng)絡之外�。
四、結束語
對數(shù)據(jù)信息進行安全保密管理是信息安全的關鍵��,也是安全管理的核心����。隨著現(xiàn)代科學技術的不斷發(fā)展�,信息化條件下的保密工作和傳統(tǒng)的保密工作已經(jīng)有了截然不同的特點�。因此�����,在未來的發(fā)展過程中,對于數(shù)據(jù)信息的安全保密顯得更加重要����,需要進一步改進相關技術����,需要企業(yè)不斷努力。
參考文獻:
[1]趙楠 IT系統(tǒng)數(shù)據(jù)信息安全解決方案解析[期刊論文]-科技資訊 2013(15)
第4篇
對保障性住房項目的用地情況進行管理���,由各地區(qū)登記各類保障性住房年度建設計劃用地數(shù)據(jù)及實際建設用地數(shù)據(jù)�,自動計算年度保障性住房供地計劃執(zhí)行比例�;記錄廉租房����、政府投資的公租房����、經(jīng)適房建設用地的劃撥供地信息,記錄其他方式投資的公租房建設用地和限價房建設用地信息�����;登記保障性住房用地審批各個環(huán)節(jié)的審批信息。省級用戶查詢統(tǒng)計全省的各類保障性住房用地信息�,按照用地面積、供地計劃執(zhí)行比例對各市縣進行排名����,對保障性住房項目用地情況進行統(tǒng)籌管理��。
二�、項目管理子系統(tǒng)
1.項目基本信息管理項目基本信息包括:項目名稱����、項目類型、項目地址�、項目面積����、房屋套數(shù)、建設方式�、建設單位、項目負責人����、聯(lián)系電話��、設計單位信息�、施工單位信息���、監(jiān)理單位信息��、項目建設時間、項目投資類型等信息�,對于異地安置項目需要登記項目安置類型為異地安置,并可以按是否異地安置進行查詢統(tǒng)計��。
2.項目文件管理項目文檔管理主要對項目辦理的相關數(shù)據(jù)及文件進行管理,包括項目立項文件��、土地預審文件��、土地批準文件�����、建設規(guī)劃工程許可證�����、建設用地規(guī)劃許可證��、施工許可證�、規(guī)劃平面圖、總平面圖�、戶型圖、效果圖���、建設工程招投標文件等相關文件�����,由各地區(qū)用戶將文件資料歸類掃描后上傳保存?zhèn)浒?�,省級用戶可以對相關文件進行查詢閱覽�����。
3.房源信息管理區(qū)縣登記項目的樓棟數(shù)據(jù)和房屋數(shù)據(jù)�,記錄樓棟數(shù)量、房屋套數(shù)���、建筑面積��、房屋類型等信息���,為配租配售功能提供房源數(shù)據(jù)���。
三�、項目建設管理子系
統(tǒng)登記保障性安居工程項目的設計施工監(jiān)理單位信息�����、項目基本信息及項目合同信息,各級住房保障部門將項目相關文件電子文檔方式報省備案���。
四���、項目進度管理子系統(tǒng)
1.項目進度上報對計劃建設中的每個項目進行進度管理,按上報要求�,對每個項目進行進度的及時更新,包括項目進度上報、進度圖片采集功能�����。對于申報中的項目,登記申報進度及辦理情況�����;對在建狀態(tài)的項目����,必須有圖片�����,以確保其上報的狀態(tài)是真實的��,通過上報的建設工地的圖片�,防止下級單位虛報項目進度。
2.項目進度查看省級用戶查看各地區(qū)上報的項目進度信息�,包括上報的建設工地照片信息;市(地)用戶可以查看所轄縣上報的項目進度信息�����。
3.項目進度統(tǒng)計統(tǒng)計信息包括累計開工面積、累計開工套數(shù)�����、累計竣工面積����、累計竣工套數(shù)、在建面積���、在建套數(shù)��、本月新開工面積���、本月新開工套數(shù)�����、未開工面積�、未開工套數(shù)的信息����。
五、項目竣工驗收管理子系統(tǒng)
項目竣工驗收管理主要對項目竣工驗收的相關數(shù)據(jù)及文件進行管理�,包括:項目竣工報告、項目設計報告���、項目施工報告���、項目監(jiān)理報告�����、項目質(zhì)檢報告����、項目竣工驗收報告、工程其他需要說明的資料等相關文件��,由各地區(qū)用戶將文件資料歸類掃描后保存?zhèn)浒?���,省級用戶可以對相關文件進行查詢�����。對于已竣工驗收的項目,其中的房源信息變?yōu)榭刹僮鳡顟B(tài)��,可以進行配租配售操作。已竣工驗收項目的房源��,在統(tǒng)計中自動累計到“已竣工”狀態(tài)的統(tǒng)計數(shù)據(jù)中���。
六�、項目監(jiān)管子系統(tǒng)
對保障性住房項目進行監(jiān)督管理��,根據(jù)系統(tǒng)中各縣市上報的保障性住房項目土地使用情況����、項目建設進度、項目資金撥付使用情況���、項目竣工驗收情況、項目配租配售信息對項目建設的全程進行監(jiān)督管理,登記各項抽檢
七���、結果在系統(tǒng)
第5篇
【關鍵詞】市政工程;安全管理�;信息系統(tǒng)�����;設計
當今時代����,我國各項事業(yè)的建設都開始趨于信息化,信息技術逐漸成為國家工作的重點����,實現(xiàn)對于國家工作的信息安全管理是非常必要的����。而市政工程作為我國城市建設的重點����,促進市政工程的信息安全管理,是市政工程負責人員的必須完成的工作任務�。就目前來看���,我國市政工程的信息安全管理工作的實施還存在著諸多的問題���,對市政工作的實施構成了嚴重的阻礙��。本文從市政工程的信息安全管理角度出發(fā)���,談論了構建安全管理的信息系統(tǒng)的相關問題�,希望能夠幫助市政工作人員使用信息系統(tǒng)實現(xiàn)對于市政工程的安全管理����。
一���、管理信息系統(tǒng)的相關問題分析
隨著當今時期信息技術成為我國各項工作實施的重要保障��,推動信息管理在國家工作中作用的發(fā)揮�,對于國家工作的順利實現(xiàn)具有非常重要的作用�����。市政工程作為我國城市建設的重點�����,在市政工程中推動信息安全管理作用的實現(xiàn)�,對于市政工程的建設與管理具有非常重要的意義。本文接下來分析一下管理信息系統(tǒng)的相關問題:
具體而言�����,管理的信息系統(tǒng)主要就是指由計算機和工作人員組成的一種信息管理的系統(tǒng)��,這種信息管理系統(tǒng)通過計算機和人共同發(fā)揮作用,對有效信息進行收集��、加工以及儲存等���,從而達到對工作中各個環(huán)節(jié)運行狀況的正確反映�。同時,它還可以通過信息的整合分析,實現(xiàn)對于未來工作的預測�,從而幫助工作人員從整體和全局出發(fā),為各項工作進行科學的決策���,幫助工作目標獲得系統(tǒng)合理的規(guī)劃�。從管理信息系統(tǒng)的作用來講,它是通過對相關數(shù)據(jù)���、工作事務的處理����,發(fā)揮其輔助工作人員進行決策的作用,從而為工作人員的管理工作提供思想��、方法以及行為的革新��。
管理信息系統(tǒng)主要是面向管理工作的一個系統(tǒng),它是人機的一種有機結合整體�����,而且還是多學科���、多種技術��、信息共享的友好界面。管理信息系統(tǒng)的設計與實現(xiàn)實際上就是以某項具體的工程作為指導和目標�,對工程的各項工作實施系統(tǒng)的規(guī)劃、分析及設計�����,最終通過系統(tǒng)的協(xié)調(diào)運行推動工程的實現(xiàn)�����。而市政工程的安全管理信息系統(tǒng)���,也就是一種以市政工程作為指導和目標的安全的管理信息系統(tǒng)�����,它致力于處理市政工程中的相關管理工作任務��。市政工程的安全管理信息系統(tǒng)可以用下圖來表示其具體的運行環(huán)節(jié):
二、市政工程的安全管理信息系統(tǒng)的設計
當前時期�����,我國城市建設與發(fā)展獲得了極大的進展�,國家對于市政工程的投資與建設也逐漸加大了步伐���,市政工程的建設及管理實現(xiàn)了更為復雜艱巨的管理工作轉變,實現(xiàn)對于市政工程的安全管理是國家城市建設及管理工作獲得順利實施的必要保證�。本文接下來就從幾個方面談論一下市政工程的安全管理信息系統(tǒng)的設計與實現(xiàn):
首先�,要推動市政工程的安全信息管理系統(tǒng)的建立與實現(xiàn)�����,就必須明確市政工程安全管理信息系統(tǒng)設立的工作目標���。我國當前的市政工程管理工作變得更為復雜,工程管理必須在某種程度上實現(xiàn)宏觀管理與微觀管理的協(xié)調(diào)�����,而且,工作人員還要推動國家直接管理與行業(yè)管理在市政工程管理中的協(xié)調(diào)發(fā)展��。因此,市政工程的安全管理系統(tǒng)的設計及實現(xiàn)必須以這種要求作為出發(fā)點���,實現(xiàn)對于市政工程的全社會、全部過程以及全行業(yè)的實時管理�����,并且這個系統(tǒng)的設計與實現(xiàn)還要能夠通過對市政工程的安全狀況進行分析整合而達到對于工程的未來預測及有效管理��。具體而言��,市政工程的安全管理信息系統(tǒng)的設計要涵蓋以下幾個方面的內(nèi)容:建立安全管理的信息網(wǎng)絡、完善市政設施設備的安全管理��、使用計算機對市政工程的各個環(huán)節(jié)信息進行分析整合�、實現(xiàn)市政工程的自動化實施�,還要建立信息必要的市政工程的信息數(shù)據(jù)庫。
再者�,市政工程的安全管理系統(tǒng)的結構設計必須重視其設計環(huán)節(jié)的子系統(tǒng)功能的分配���。市政工程安全信息管理的子系統(tǒng)主要有工程安全管理的子系統(tǒng)��、設施安全管理的子系統(tǒng)��、交通安全管理的子系統(tǒng)�、市政安全事故的子系統(tǒng)等,這些子系統(tǒng)要分別實施以下幾個方面的工作:對市政工程實施安全檢查��、報告�、評價以及監(jiān)理等工作��,為安全管理工作提供決策輔助;還要對城市建設的排水�����、公路、地鐵等設施運行提供安全管理�����,針對這些設施運行中存在的問題隱患����,對其進行應急預案設置���。此外����,這種安全信息管理的子系統(tǒng)還要對城市全局的交通實施必要的管理,及時地報告城市市政車輛管理及事故處理的工作�����,并對一些重要的信息進行安全備份���。
此外,市政工程的安全信息管理工作系統(tǒng)的設計和實現(xiàn)還必須注重系統(tǒng)設計的有效規(guī)劃�����,針對市政工程具體的工作狀況推動系統(tǒng)設計的實現(xiàn)��。安全信息管理的系統(tǒng)的設計注意系統(tǒng)的縱�����、橫向的延伸���,將市政的局級工作單位的內(nèi)部信息系統(tǒng)作為系統(tǒng)第一級�,而具體的行業(yè)管理則為系統(tǒng)的第二級��,區(qū)縣的市政具體行業(yè)管理設為系統(tǒng)的第三級,推動系統(tǒng)內(nèi)部各個環(huán)節(jié)的協(xié)調(diào)配合�,提高系統(tǒng)的整體運作效率����,從而使市政系統(tǒng)的設計在一個具體的層級工作網(wǎng)絡中獲得實現(xiàn)����。
三��、結語
市政工程的安全信息管理在當今時代是市政工程安全管理的一個重要環(huán)節(jié)���,它通過系統(tǒng)工作的平臺可以有效地實現(xiàn)對于市政工作各個環(huán)節(jié)的涵蓋��,從而達到對于市政工程管理的順利實施����。因此,市政工作人員在當今時期必須積極地探索市政工程的安全信息管理相關問題��,針對市政工作的特點����,建立完善管理信息系統(tǒng)�����,推動管理信息系統(tǒng)在市政工作中作用的有效發(fā)揮。參考文獻
[1]王雨田,陸曉鋒.淺談市政工程施工安全管理[J].山西建筑,2010(04)
[2]李儀歡,陳國華.安全管理信息系統(tǒng)學的創(chuàng)建����、內(nèi)涵與外延[J].中國安全科學學報,2007(06)
第6篇
隨著我國計算機網(wǎng)絡用戶的急劇增長���,我國信息系統(tǒng)的安全面臨著嚴峻的考驗����,近幾年來�����,不僅在我國��,全球的信息系統(tǒng)安全問題層出不窮�。而信息系統(tǒng)的安全問題不僅僅是個人和企業(yè)的問題,它還涉及到國家的安全�����、社會的公共安全等���。因此,不斷加強信息安全技術的研究�,提高我國信息系統(tǒng)的安全性和可靠性,十分迫切。針對嚴峻的信息系統(tǒng)安全現(xiàn)狀�����,目前普遍采用的方式主要有物理隔離����、防火墻的建設����、訪問者身份認證��、加密等����,但是僅從這些方面去考慮還遠遠無法保證信息系統(tǒng)的安全�。不斷加強信息系統(tǒng)安全建設方面的技術����,不斷提高信息安全風險的檢測和評估是提高信息系統(tǒng)安全的重要手段����。
2SSE-CMM模型
2.1SSE-CMM模型的概述
SSE-CMM(SystemsSecurityEngineeringCapabilityMaturityModel)模型的中文全稱是信息安全工程能力成熟度模型����,該模型的主要任務就是評測和改進整個信息安全系統(tǒng)整個生命周期當中的安全工程活動���,到目前為止�,這個模型是信息系統(tǒng)安全工程領域當中可靠性較高的針對性模型����。
2.2基于過程的SSE-CMM模型
基于過程的SSE-CMM模型是從成熟框架CMM模型發(fā)展而來的,SSE-CMM模型把信息系統(tǒng)中的安全工程劃分成三種不同的過程�,分別是風險過程、工程過程�����、信任度過程���,SSE-CMM模型對這三個過程中的關鍵過程域以及其安全能力成熟度的等級進行了定義�。在這個模型中�,圖b的橫軸指的是這個信息系統(tǒng)安全工程的過程域��,縱軸是11個過程域的5個能力成熟度等級�。根據(jù)這個模型的框架對整個信息系統(tǒng)安全工程中的風險過程�、工程過程、信任度過程都評定能力成熟度等級����,此時得到的二維圖便能夠把信息系統(tǒng)工程隊伍實施信息系統(tǒng)安全工程的能力成熟度形象的反映出來�����,也能間接的將信息系統(tǒng)安全工程的可信度反映出來��。采用SSE-CMM模型對信息系統(tǒng)安全工程進行風險的評估,該模型所認定的安全風險事件包括了3個組成部分�����,分別是安全威脅�����、系統(tǒng)的脆弱性�����、風險事件所造成的影響���,在SSE-CMM模型中���,只有具備這三個要素才能稱之為信息系統(tǒng)工程安全風險�。SSE-CMM模型中的安全機制就是把信息系統(tǒng)中的工程安全風險控制在系統(tǒng)能夠接受的范圍之內(nèi)�����。SSE-CMM模型所定義的風險過程包括了評估威脅過程��、評估系統(tǒng)脆弱性過程���、評估風險事件的影響過程�、評估系統(tǒng)安全風險過程�����。
3SSE-CMM模型的構建和應用
3.1SSE-CMM模型的構建
根據(jù)上述SSE-CMM模型的作用過程在信息系統(tǒng)安全工程中構建SSE-CMM模型的具體步驟如下所示�����。第一步���,對信息系統(tǒng)的安全工程風險進行分析,進行工程的風險分析時�,要從現(xiàn)行的信息系統(tǒng)工程的風險入手,然后采取科學����、先進的風險分析方法進行風險的分析。第二步�,要確定目標,及要明確信息系統(tǒng)安全工程所提出的系統(tǒng)安全要求��,這個安全要求是信息系統(tǒng)建設過程中��、設計�、建設����、使用以及安全風險評估和監(jiān)管的主要依據(jù)�����。第三步����,對信息系統(tǒng)的二維視圖進行描述,即需要明確的、簡潔的對信息系統(tǒng)中的安全系統(tǒng)進行描述,談后根據(jù)描述給出信息安全系統(tǒng)的拓撲圖和邊界的劃分����,邊界的劃分包括了系統(tǒng)的典型構造、系統(tǒng)的應用劃分等��,并對系統(tǒng)內(nèi)的數(shù)據(jù)和需要保護的財產(chǎn)�����、系統(tǒng)的環(huán)境等進行描述。第四步�����,建立信息安全系統(tǒng)的基線。第五步��,制定相關的信息安全系統(tǒng)構建策略�����,這些策略包括系統(tǒng)的物理安全策略���、網(wǎng)絡完全策略�����、系統(tǒng)應用安全策略等。第六步,對信息系統(tǒng)的安全工程建設進行整體的設計�����,其中設計是必須保證信息系統(tǒng)安全系統(tǒng)的整體框架是全方位和綜合性的����,并增強每個層次和劃分區(qū)域的安全防御能力����,從而實現(xiàn)一體化的信息安全系統(tǒng)��。
3.2SSE-CMM模型的應用原則
第一,安全需求的基線����。包括了用戶的安全需求、對系統(tǒng)安全具有影響的法律法規(guī)和政策等�����,保證系統(tǒng)的安全需求與法律和政策中的保持一致��,并且保證用戶的需求與系統(tǒng)的安全需求保持一致����。第二���,安全輸入的基線。第三����,協(xié)同安全的基線����。第四����,安全管理的基線�。在安全管理基線方面包括以下幾點:一��、要將信息系統(tǒng)的安全控制責任以文檔化的形式傳達給每位相關者���;二��、對于信息系統(tǒng)的安全控制有關的軟件配置進行定義和管理�;三、對用戶和管理人員進行安全控制和管理的培訓和宣教��。第五,安全保證參數(shù)的基線�。包括確定安全保證的目標、制定相關的保證策略��、對安全保證證據(jù)金屬分析等�����。
4結語
第7篇
一���、信息系統(tǒng)安全工程概述
同信息系統(tǒng)安全工程相關的概念,包括信息系統(tǒng)�����、信息系統(tǒng)安全���、信息系統(tǒng)安全工程三方面���。所謂的“信息系統(tǒng)”�,指的是通過通信設備����、計算機等軟�����、硬件連接,能夠成功獲取��、處理�����、傳送��、交換���、存儲數(shù)據(jù)的系統(tǒng)����,該系統(tǒng)包括軟���、硬件�,人�,數(shù)據(jù)庫�,規(guī)程等內(nèi)容的有機組合��。
對于信息系統(tǒng)安全而言����,其主要是利用各種檢測�、記錄等方法,有效地保護信息系統(tǒng)�����,避免信息交換��、處理���、傳送����、存儲中����,對信息進行未授權的訪問與修改�����,保障系統(tǒng)信息的安全性��。對于信息系統(tǒng)安全而言,其終極目標即確保信息數(shù)據(jù)在整個系統(tǒng)中始終維持其完整性�、保密性與實用性�����,為了實現(xiàn)該目標��,必須在系統(tǒng)結構下實現(xiàn)����,而非孤立地保護信息內(nèi)容。
就信息系統(tǒng)安全工程而言�,指的是利用專業(yè)化的安全技術����,諸如通訊�����、計算機����、網(wǎng)絡安全等技術形式���,充分應用和貫穿于系統(tǒng)的整個生命周期中�����,確保組織結合系統(tǒng)需求���,構建滿足系統(tǒng)所需的安全策略�,賦予系統(tǒng)足夠的抵御威脅的能力。安全工程在信息系統(tǒng)中的應用,旨在利用最優(yōu)費效比��,提供滿足系統(tǒng)安全所需的解決途徑�。有效的安全需求定義與風險分析��,成為實現(xiàn)該目標的關鍵���。信息系統(tǒng)安全工程必須提供足夠的能夠支持系統(tǒng)安全需求定義�����、風險評估��、方案策略制定���、方案實施的方法。
二����、基于安全工程的信息系統(tǒng)安全管理方案
結合當前系統(tǒng)安全防御現(xiàn)狀及存在的主要問題���,本文提出了基于安全工程的信息系統(tǒng)安全管理方案。結合安全工程思想與方法�����,將其運用和貫穿在信息系統(tǒng)安全管理的全國中����,明確系統(tǒng)安全管理不同階段的主要活動�����,針對系統(tǒng)各環(huán)節(jié)特點�,利用相應的安全管理方法,以便更好地保障系統(tǒng)信息的安全性�。本文所提出的安全管理方案,是由各種必要的安全活動所構成的���,結合系統(tǒng)軟件分階段實施�,以便給予各環(huán)節(jié)相應的安全優(yōu)勢,但是�����,將此類安全活動視為軟件全過程加以執(zhí)行����,其安全收益較分散安全活動更大。
安全工程管理的核心理念�,即從系統(tǒng)安全出發(fā),對系統(tǒng)全生命周期各環(huán)節(jié)加以集成�����,將安全視為系統(tǒng)的有機組成部分�����。對系統(tǒng)工程各階段進行安全有效性評估��。系統(tǒng)全生命周期�,主要包括規(guī)劃階段�����、開發(fā)設計階段�、實施階段���、運維階段��、廢棄階段等�����。再加上由于運維階段變更所產(chǎn)生的一系列反饋,共同構成了一個完整的系統(tǒng)安全工程管理閉環(huán)結構�。對于信息系統(tǒng)而言,無論對于哪一時間節(jié)點上���,都必須采用綜合技術與管理方法保障系統(tǒng)信息的安全性���。
(一)規(guī)劃階段為了確保系統(tǒng)的安全性�����,在系統(tǒng)規(guī)劃階段開始,就必須全面考慮到系統(tǒng)可能存在的安全風險����,規(guī)劃過程中結合系統(tǒng)安全需求,實現(xiàn)安全工程建設同系統(tǒng)建設的同步性�����。與此同時��,結合組織機構的要求與業(yè)務需求�����,滿足法律�����、政策���、策略��、組織等安全需求,以預期運行安全環(huán)境為依據(jù)��,組織系統(tǒng)環(huán)境�����,并對安全目標加以標識�����,與此同時���,結合未來系統(tǒng)可能面向的客戶����、業(yè)務及運行環(huán)境,展開安全����、隱私風險評估,明確系統(tǒng)安全目標基線�����,確定最低安全基線,并加以論證,此階段安全過程域即明確系統(tǒng)安全要求���。
(二)設計階段影響系統(tǒng)設計安全的階段通常處于項目初期����,因此���,在設計過程中必須全面結合系統(tǒng)安全問題展開��。通過安全保障方案的制定���,對系統(tǒng)進行安全功能設計與論證,將系統(tǒng)規(guī)劃中所確定的安全需求����,全面運用于設計各功能模塊之中,結合安全性原則�����,采用威脅模型建立��、減小攻擊面等技術手段���,進行安全功能設計����。系統(tǒng)安全功能設計包括身份驗證、防火墻設計等��。設計中可結合有關標準的安全要求��,科學選取滿足系統(tǒng)要求的功能模塊��,綜合考慮到安全風險與成本等問題����,明確最佳設計方案,并對與之相匹配的安全措施加以調(diào)整���,如高層安全設計�����、詳細安全設計等�。
(三)實施階段在信息系統(tǒng)實施階段�,通常涉及到編碼��、試運、測試����、交付、培訓等環(huán)節(jié)����。在此過程中�,通過開發(fā)設計過程中的風險控制����、安全測評、管理安全等各項安全活動��,保障信息系統(tǒng)的安全性��。系統(tǒng)安全工程師負責實現(xiàn)設計內(nèi)容到實施運行過程的轉化�,并對系統(tǒng)展開綜合分析���,為認證活動提供必要的威脅識別�、信息保障���、材料維護等輸入過程���。
(四)運維階段當系統(tǒng)交付之后意味著系統(tǒng)正式步入了運維階段。在此過程中����,應對系統(tǒng)運行中存在安全風險加以有效監(jiān)控,并定期對系統(tǒng)安全情況進行評估����,制定有效的改進方案�����。與此同時�����,利用漏洞掃描等一系列技術�,進一步保障信息系統(tǒng)主機、網(wǎng)絡����、通訊過程的安全性�����。結合系統(tǒng)運行需求��,對安全管理流程���、應急方案加以完善,以便對可能存在的安全問題進行有效應對�����。在這一階段��,重點是對系統(tǒng)安全態(tài)勢進行監(jiān)視����,結合既定目標���,對系統(tǒng)內(nèi)外安全事件加以跟蹤和監(jiān)測,并對系統(tǒng)安全管理進行控制�。
(五)廢棄階段在信息系統(tǒng)廢棄階段,重點是結合風險評估����,對系統(tǒng)軟、硬件資產(chǎn)���、殘留信息等廢棄資源加以有效處理�����,保障系統(tǒng)升級與更新過程中始終處于一個安全狀態(tài)�。
三、結束語
