信息系統安全規劃框架與方法

林專達

伴隨著近年來我國計算機、網絡技術日益成熟，互聯網的應用滲透到生活的各個層面中，但與此同時，用戶信息泄露等風險事件仍然存在，甚至對用戶的利益造成直接侵害，因此構建信息安全系統成為必然選擇。基于此，本文從現代化企業視角出發，對信息系統安全規劃的必要性作簡要闡述，以及框架與方法的分析，從而為企業信息化戰略目標提供了前進的方向，具有一定的指導意義。

【關鍵詞】信息系統安全規劃 框架與方法 企業信息化

隨著人們對信息系統的應用愈加廣泛，安全問題已經成為了必須要解決的首要任務，所以如何有效的建設信息系統安全就為了重中之重。同樣，信息化社會中，企業確保自身信息安全，則必須要對信息系統安全規劃的框架與方法有所掌握。

1 信息系統安全規劃必要性

信息系統安全規劃具有十分重要的的價值，也是現代化社會發展的必然趨勢。一方面，當前國內大部分企信息系統面臨著潛在風險，體現在電腦病毒、黑客惡意攻擊、信息技術本身缺陷性以及人為操作失誤等等，為防范信息系統安全風險，確保企業正常運營秩序，展開信息系統安全規劃是企業自身發展的需求。另一方面，當前社會背景下，計算機、互聯網技術已經成為各個行業所不可缺少的支撐力量，在信息系統的推進下，必然會帶領企業在管理效率上實現進步，因此，從長遠來看，信息系統安全規劃是時代發展必然趨勢。

2 信息系統安全規劃框架基本內容

信息系統安全規劃是綜合性任務，在信息系統安全規劃的整體框架中，需要考慮包括網絡、公共信息、物理操作、基礎設備以及信息數據等信息的安全性，為了達到對這些方面信息完整性、精準性的保護效果，需要對企業技術、組織結構以及管理三個方面入手。首先技術方面的安全規劃是核心的部分，常見的信息安全保護技術包括防火墻、外來入侵檢測、殺毒、VPN、數據備份以及漏洞掃描等等。在這些常規技術的基礎上，應當重視技術的動態發展，隨著計算機信息技術的不斷發展，信息安全中出現的問題也不斷積累，因此對于信息系統的安全規劃也應當置于動態發展的過程中，不能僅僅局限在某一個階段的成果當中。其次，管理方面則主要指向于對企業內部員工的信息安全風險理念教育宣傳，并且設置相應的管理制度，為信息系統安全規劃提供制度保證。最后組織結構部分則是要求企業內部的不同部門之間能夠展開密切合作，共同完成信息系統安全規劃任務。

3 信息系統安全規劃方法

3.1 戰略目標方法

信息系統安全規劃必須在明確的發展目標指引下才能有序進行，并且在這一目標的組織下，將不同的組織部門緊密連接成為一個共同體。當前，信息系統對企業的發展起到十分重要的作用，但是國內絕大部分企業對于信息系統安全規劃的意識比較欠缺，也無法將信息系統安全規劃放在企業發展的重要位置對待，甚至有很多企業錯誤的認為，信息系統安全建設就是簡單的購入硬件設備和軟件。對此，企業必須要將信息系統安全規劃上升至戰略層面中去，并且設置戰略管理目標，并且扭轉傳統觀念，立足長遠。同時，企業應當結合自身實際情況，在信息系統安全規劃中，凸顯出自身特色，使得信息系統能更好的為企業未來一段時間的發展，提供支持和輔助。此外，從戰略層面而言，信息系統的安全規劃應當處于動態發展中的，因此企業需要設計階段性任務，不同時期的信息系統安全規劃應當是建立在前期經驗的總結基礎上，并且結合未來一段時間內發展趨向的預測，真正意義上發揮出信息系統的重要價值。

3.2 安全目標方法

安全目標法也是企業信息系統安全規劃當中的重要手段，需要企業以信息的安全性作為出發點，突出安全的價值，并且在安全目標的指引下，逐步完成信息系統規劃和建設。其一，企業需要對過去一段時間內，出現的信息安全受到威脅的事件進行總結，并且分析風險出現的原因，從而確定危險發生的根源，并進一步設置安全目標，防范這一風險事件的發生，起到針對性的信息系統保護功效。舉例說明，如果企業在過去一段時間內，有遭受黑客非法入侵的歷史，則在安全目標的設計中，需要將這一部分作為重點內容，對服務器進行更新和維護后，提升安全防護的等級，并且對信息數據的傳輸進行監控，或者對服務器訪問權限進行優化設置等，從而切斷信息泄露的根源。安全目標方法的使用，使得企業信息系統安全規劃工作的可執行性更強，所起到的效果也將更加顯著。

3.3 對技術、組織及管理安全綜合方法

企業信息系統安全規劃的基本框架中，主要包含了技術、管理以及組織結構幾個層面組成，因此在規劃過程中，應當對從三個不同層面出發，實施綜合性保護的方法。其中在管理和組織結構方面，企業需要制定科學的管理制度，對信息系統的安全規劃進行監督和規范，實際上屬于對信息系統安全規劃的輔助和支手段。而技術層面則是信息系統安全規劃的重點內容，如在信息運營安全方面，需要從入侵檢測技術、口令核對、系統補丁修復以及數據備份等方面進行技術的更新等。應當引起注意的是，由于企業自身在信息系統技術領域內的專業水平相對有限，因此企業可以將這一部分內容進行外包，由正規的專業機構幫助企業完成信息系統安全規劃任務具體執行任務。

4 結語

綜上所述，目前信息系統的安全性已經成為信息化時代中需要重點考慮的問題，而在信息安全系統的建設與規劃中，需要掌握安全規劃工作的基本設計原則、內容和思路，并在此基礎上不斷地完善創新，進而制定出更加科學合理、切實有效的信息系統安全建立的方法，為我國的信息系統安全建設提供重要的參考意見。

參考文獻

[1]肖金保.分析信息系統安全規劃框架與方法[J].數字技術與應用，2013，01（03）：205-206.

[2]王軍.簡析信息系統安全規劃框架與方法[J].信息化建設，2016，02（07）：19.

[3]胡傳廉.基于信息系統技術框架的“智慧水網”規劃方法研究[J].水利信息化，2011，06（03）：1-6.

作者單位

中核國電漳州能源有限公司 福建省云霄縣 363300