正确答案:
【论大型信息系统安全体系的规划与架构】
1.对你在论文中准备列举的、近期参与过的大型信息系统项目的背景、项目规模、发起单位、 目的、项目内容、组织结构、项目周期、交付的产品等作简要的介绍。接着简要介绍你参与管理的 大中型信息系统工程项目的需求,尤其着重介绍安全方面的需求,简要说明自己在该项目中的角色 及所承担的主要工作。论文叙述自己参与设计和实施的信息系统项目应有一定的规模,自己在该项 目中担任的主要工作应有一定的分量。
2.论文的第二部分是体现你所掌握的信息系统安全知识理论及实践的精华所在。本部分主要 考查对于大型信息系统安全体系所包含的基本内容、规划框架、架构设计以及安全风险评估等过程 的基本认识、理解及项目实践经验,在叙述时应注重理论与自身实践经历的结合。
信息系统安全体系的规划与架构是企业信息化发展战略的基础性工作,不是可有可无而是非常重要的工作。信息系统安全体系规划又是一项非常细致的工作,首先需要对企业信息化发展的历史情况进行深入和全面的调研,掌握情况,针对信息系统安全的主要内容进行整体的发展规划工怍。虽然不同信息系统的安全规划所包括的内容不同,但都应遵循如图8-14所示的信息系统安全它£系框架中的基本内容讲行伞而规划和律设。
行业信息化方面的需求分析、环境分析和对信息技术发展趋势的掌握,定义出企业信息化建设的远 景、使命、目标和战略,规划出企业信息化建设的未来架构,为信息化建设的实施提供一副完整的 蓝图,全面系统地指导企业信息化建设的进程。信息系统安全体系规划依托企业信息化战略规划, 对信息化战略的实施起到保驾护航的作用。信息系统安全体系规划的目标应该与企业信息化的目标 是一致的,而且应该比企业信息化的目标更具体明确,更贴近安全。信息系统安全体系规划的一切 论述都要围绕着这个目标展开和部署。
(2)信息系统安全体系规划需要围绕技术安全、管理安全和组织安全考虑。
信息系统安全体系规划的方法可以不同,侧重点也可以不同,但都需要围绕技术安全、管理 安全和组织安全进行全面的考虑。规划的内容基本上应该涵盖确定信息系统安全的任务、目标、战 略,以及战略部门和战略人员,并在此基础上制定出物理安全、网络安全、系统安全、运营安全和 人员安全的信息系统安全的总体规划。物理安全包括环境设备安全、信息设备安全、网络设备安全 和信息资产设备的物理分布安全等。网络安全包括网络拓扑结构安全、网络的物理线路安全和网络 访问安全(如防火墙、入侵检测系统和VPN等)等。系统安全包括操作系统安全、应用软件安全 和应用策略安全等。运营安全应在控制层面和管理层面保障,包括备份与恢复系统安全、入侵检测 功能、加密认证功能、漏洞检查及系统补丁功能,以及口令管理等。人员安全包括安全管理的组织 机构、人员安全教育与意识机制、人员招聘及离职管理,以及第三方人员安全管理等。
(3)信息系统安全体系规划以信息系统与信息资源的安全保护为核心。
信息系统安全体系规划的最终效果应该体现在对信息系统与信息资源的安全保护上,因此规 划工作需要围绕着信息系统与信息资源的开发、利用和保护工作进行,要包括蓝图、现状、需求和 措施4个方面。
①对信息系统与信息资源的规划需要从信息化建设的蓝图入手,知道企业信息化发展策略的 总体目标和各阶段的实施目标,制定出信息系统安全的发展目标。
②对企业的信息化工作现状进行整体、综合、全面的分析,找出过去工作中的优势与不足。 ③根据信息化建设的目标提出未来几年的需求,这个需求最好可以分解成若干个小的方面, 以便于今后的落实与实施。
④要写明在实施工作阶段的具体措施与办法,提高规划工作的执行力度。信息系统安全体系 规划服务于企业信息化战略目标,信息系统安全体系规划做得好,企业信息化工作的实现就有了保障。 由于企业信息化的任务与目标不同,因此信息系统安全体系规划包括的内容就不同,建设的 规模就有很大的差异。换言之,信息系统安全体系规划无法从专业书籍或研究资料中找到非常有针 对性的、有帮助的适用法则,也不可能给出一个规范化的信息系统安全体系规划的模板。本文仅仅 是提出了其中一种信息系统安全体系规划框架与方法,给出了信息系统安全体系规划工作的一种建 设原则、建设内容和建设思路,具体规划还需要深入细致地进行本地化的调查与研究。
3.能够全面和准确地描述该信息系统项目的应用环境和安全方面的需求,深入地阐述所选定 的系统安全体系的主要内容、采用的具体安全策略、技术和方法,这些策略、技术和方法要针对该 信息系统项目的实际特点,具有一定的广度和深度。论文最后需要进一步讨论这些策略、技术与方 法对该工程项目后期的工作产生了哪些积极(或消极)的影响(效果和存在的问题),以及你在该 工程项目中获得的相关经验或教训。对需要进一步改进的地方,不可脱离实际提出过高的要求,要 给出具体的着眼点,要给出评价依据,并且评价要客观、恰当,不能泛泛而谈。