中文久久久字幕|亚洲精品成人 在线|视频精品5区|韩国国产一区

歡迎來(lái)到優(yōu)發(fā)表網(wǎng),期刊支持:400-888-9411 訂閱咨詢(xún):400-888-1571股權(quán)代碼(211862)

購(gòu)物車(chē)(0)

期刊大全 雜志訂閱 SCI期刊 期刊投稿 出版社 公文范文 精品范文

工程信息安全管理范文

時(shí)間:2023-10-13 09:42:20

序論:在您撰寫(xiě)工程信息安全管理時(shí),參考他人的優(yōu)秀作品可以開(kāi)闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。

工程信息安全管理

第1篇

關(guān)鍵詞:網(wǎng)絡(luò)工程信息安全管理;技術(shù)方案;遺傳算法

1引言

近年來(lái)網(wǎng)絡(luò)工程技術(shù)發(fā)展迅速,對(duì)于海量信息的安全管理日趨重要。但由于網(wǎng)絡(luò)信息管理系統(tǒng)在硬件、軟件及管理策略方面尚存在諸多問(wèn)題,導(dǎo)致系統(tǒng)中存在大量的脆弱性,因而對(duì)網(wǎng)絡(luò)工程信息系統(tǒng)帶來(lái)了極大的威脅[1]。在網(wǎng)絡(luò)工程信息安全管理過(guò)程中,對(duì)信息管理技術(shù)方案進(jìn)行制定是不可或缺的一個(gè)環(huán)節(jié),合理的方案設(shè)計(jì)對(duì)于信息系統(tǒng)安全風(fēng)險(xiǎn)可控化具有十分重大的意義[2]。傳統(tǒng)的安全技術(shù)方案設(shè)計(jì)僅僅從技術(shù)角度入手,忽略了考慮實(shí)施技術(shù)手段所需要的花費(fèi)。完善的信息安全管理技術(shù)應(yīng)當(dāng)將脆弱性分析、安全技術(shù)選擇及實(shí)施技術(shù)費(fèi)用進(jìn)行綜合考慮,這樣才能使信息管理系統(tǒng)的安全風(fēng)險(xiǎn)降至最低[3]。因此本文首先對(duì)網(wǎng)絡(luò)工程信息管理技術(shù)方案的制定進(jìn)行了優(yōu)化,以此為基礎(chǔ),提出基于遺傳算法的信息安全管理優(yōu)化技術(shù),并對(duì)實(shí)際算例采用上述優(yōu)化技術(shù),對(duì)該優(yōu)化技術(shù)的有效性進(jìn)行了驗(yàn)證。

2信息安全管理技術(shù)方案

制定時(shí)的決策模型通過(guò)對(duì)信息管理技術(shù)方案的優(yōu)化制定可以使信息管理系統(tǒng)中脆弱性的威脅降到最小。將信息管理系統(tǒng)中的各種脆弱性表示為v1,v2……,vm共m種,當(dāng)脆弱性vi存在時(shí)以數(shù)值1表示,當(dāng)這種脆弱性不存在時(shí)以0表示,每一種脆弱性對(duì)應(yīng)于一個(gè)權(quán)值i,這一權(quán)值用來(lái)表示對(duì)應(yīng)的脆弱性危害信息管理系統(tǒng)的程度,本文對(duì)信息安全管理系統(tǒng)中的脆弱性進(jìn)行了描述,列出了表1信息安全管理系統(tǒng)中的脆弱性及表示20種不同的脆弱性(見(jiàn)表1)。對(duì)應(yīng)于每一種脆弱性都存在相應(yīng)的安全技術(shù),這些安全技術(shù)以s1,s2……,sn來(lái)表示,當(dāng)技術(shù)方案中采用了sj這種安全技術(shù)時(shí),sj等于1,當(dāng)沒(méi)有采用時(shí)取值為0;對(duì)應(yīng)于sj安全技術(shù)的實(shí)施費(fèi)用用cj來(lái)表示,本文給出了13中安全技術(shù)手段,見(jiàn)表2。脆弱性及其對(duì)應(yīng)的安全技術(shù)之間存在復(fù)雜的關(guān)系,對(duì)某一脆弱性采取相應(yīng)的安全技術(shù)后該脆弱性可能部分的或完全的消除,但也有可能導(dǎo)致其他種類(lèi)的脆弱性產(chǎn)生,其中部分消除安全性是指相應(yīng)的由該脆弱性導(dǎo)致的信息管理系統(tǒng)破壞程度被限制在一定的范圍內(nèi)。在對(duì)脆弱性實(shí)施安全技術(shù)手段后,相應(yīng)的脆弱性在系統(tǒng)中可能會(huì)有一定的殘留,對(duì)于殘留的脆弱性用r1,r2……rm來(lái)表示,ri對(duì)應(yīng)于脆弱性vi,取值分別為0,0.5,1,分別對(duì)應(yīng)于脆弱性存在,脆弱性部分去除以及不存在。用矩陣T={tij}表示對(duì)脆弱性采用安全技術(shù)處理后的情況,tij是指采用安全技術(shù)sj處理脆弱性vi的處理能力的大小。確定殘留脆弱性處理規(guī)則,當(dāng)vi=0或1時(shí),有j∈{j│sj=1},此時(shí)tij=1,那么ri=0;當(dāng)vi=0時(shí),存在j∈{j│sj=1},使tij=0,此時(shí)ri=0;當(dāng)vi=1時(shí),存在j∈{j│sj=1},使tij=0,此時(shí)ri=1;當(dāng)vi=0時(shí),存在j∈{j│sj=1},使tij≠1,同時(shí)存在j∈{j│sj=1},使tij=-1此時(shí)ri=1;當(dāng)vi=0時(shí),存在j∈{j│sj=1},使tij≠1,同時(shí)存在j∈{j│sj=1},使tij=-0.5此時(shí)ri=0.5;當(dāng)vi=1時(shí),存在j∈{j│sj=1},使tij≠1,同時(shí)存在j∈{j│sj=1},使tij=0.5此時(shí)ri=0.5。綜上所述,安全的信息管理技術(shù)方案設(shè)計(jì)需要以?xún)蓚€(gè)目標(biāo)為基礎(chǔ),如式1和式2所示:式3中Cmax為實(shí)施安全技術(shù)手段所需要的費(fèi)用的最大值,對(duì)E進(jìn)行無(wú)量綱修正得到E’,和分別代表脆弱性權(quán)重和費(fèi)用權(quán)重,和之和為1,表示二者在系統(tǒng)設(shè)計(jì)時(shí)的偏重程度,當(dāng)>時(shí),脆弱性在設(shè)計(jì)時(shí)比費(fèi)用控制重要,反之亦然。

3遺傳算法在網(wǎng)絡(luò)工程信息安全管理技術(shù)優(yōu)化中的應(yīng)用

安全技術(shù)手段集合的子集即為所制定的網(wǎng)絡(luò)工程信息安全管理技術(shù)方案,其可行解共有2n個(gè),具體方案的選取屬于多目標(biāo)優(yōu)化問(wèn)題,n值增加,問(wèn)題的解空間呈現(xiàn)幾何式增長(zhǎng),如果要在如此龐大的解空間內(nèi)實(shí)現(xiàn)最優(yōu)解的搜尋,則必須采用效率較高的搜索策略。為此引入遺傳算法,在遺傳過(guò)程中的各代個(gè)體以適應(yīng)度值為依據(jù)進(jìn)行交叉和變異概率選擇,即采用自適應(yīng)規(guī)則,從而使個(gè)體自適應(yīng)環(huán)境變化進(jìn)行自身的調(diào)節(jié)。首先對(duì)于問(wèn)題的編碼,用符號(hào)串表示各個(gè)染色體,這種符號(hào)串具有n位二進(jìn)制編碼,用這種符號(hào)串表示的染色體即代表了對(duì)應(yīng)的技術(shù)手段,技術(shù)手段的狀態(tài)用二進(jìn)制編碼的每一位表示,即1表示該技術(shù)手段被方案采用,0表示該技術(shù)手段未被方案采用。如此即可轉(zhuǎn)化網(wǎng)絡(luò)工程安全信息管理技術(shù)優(yōu)化問(wèn)題為染色體最優(yōu)編碼求解問(wèn)題。

4采用優(yōu)化后信息管理技術(shù)的實(shí)際算例

采用上述對(duì)脆弱性和安全技術(shù)的分類(lèi),設(shè)脆弱性的情況為(11010100110111000110),將各脆弱性權(quán)重列于表3,實(shí)施相應(yīng)安全技術(shù)所需費(fèi)用權(quán)重列于表4,脆弱性的重要性和實(shí)施相應(yīng)安全技術(shù)花費(fèi)的重要性同等重要(==0.5),采用本文提出的優(yōu)化技術(shù)對(duì)相應(yīng)的技術(shù)方案進(jìn)行求解(N=100),各概率值為Pe=0.4,Pc0=0.52,Pc1=0.29,Pm0=0.37,Pm1=0.23,迭代次數(shù)最大為300,50為穩(wěn)定代數(shù)的最大值。最終結(jié)果為,S=(1000010000010),即出現(xiàn)單一、集中、敏感、可分離、可測(cè)、順應(yīng)、難以恢復(fù)、自我認(rèn)知匱乏、不以管理、透明、電子訪問(wèn)等脆弱性時(shí),所采取的安全技術(shù)手段為,彈性及魯棒性技術(shù)、人員管理技術(shù)、分配動(dòng)態(tài)資源技術(shù)。本文同時(shí)對(duì)不同數(shù)據(jù)進(jìn)行了計(jì)算,結(jié)果均表明增加脆弱性和技術(shù)手段的種類(lèi),本文提出的以信息管理技術(shù)方案優(yōu)化制定為基礎(chǔ),采用遺傳算法的網(wǎng)絡(luò)工程信息安全管理技術(shù)其優(yōu)化效果均較為顯著。

5結(jié)束語(yǔ)

第2篇

[關(guān)鍵詞]工程哲學(xué);信息安全;管理體系;ISMS

doi:10.3969/j.issn.1673 - 0194.2015.16.162

[中圖分類(lèi)號(hào)]TP309 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194(2015)16-0-03

0 引 言

信息安全是信息化發(fā)展到一定階段的必然產(chǎn)物。Tanenbaum認(rèn)為網(wǎng)絡(luò)僅局限于研究人員相互發(fā)郵件時(shí)自然不會(huì)凸顯信息安全的重要性,但是一旦滲透到包括銀行轉(zhuǎn)賬和網(wǎng)上購(gòu)物等日常行為,或者過(guò)渡到云計(jì)算時(shí)代,信息安全問(wèn)題就無(wú)法再回避。

信息安全管理體系(Information Security Management System,ISMS)被認(rèn)為是良好的信息安全管理實(shí)踐集之一,從工程哲學(xué)的視野來(lái)看,這是由某一(或某些)專(zhuān)業(yè)技術(shù)為主體和與之配套通用的相關(guān)技術(shù),按照一定規(guī)則、規(guī)律所組成的,為實(shí)現(xiàn)某一(或某些)工程目標(biāo)的組織、集成活動(dòng)。這其中包括人與自然的關(guān)系,也包括人與人、人與社會(huì)的關(guān)系,并由此構(gòu)筑了新的存在物。目前絕大部分的研究都集中于信息安全管理體系的應(yīng)用,而缺乏從整體角度出發(fā),以工程創(chuàng)新為主線(xiàn),從工程哲學(xué)的角度進(jìn)行審視、思考和分析的研究,本文對(duì)這些問(wèn)題進(jìn)行分析。

1 以“三元論”的視角審視信息安全管理體系

1.1 科學(xué)、技術(shù)和工程“三元論”

Mitcham提出工程哲學(xué)(Engineering Philosophy)詞匯,并闡述哲學(xué)對(duì)工程的重要性,但是他認(rèn)為工程處于技術(shù)之下,是技術(shù)的一部分,而李伯聰教授則認(rèn)為科學(xué)、技術(shù)和工程是彼此獨(dú)立的個(gè)體,彼此既有聯(lián)系又有區(qū)別,科學(xué)、技術(shù)和工程“三元論”是工程哲學(xué)得以成立的基礎(chǔ)。

科學(xué)活動(dòng)是以探索發(fā)現(xiàn)為核心的活動(dòng),技術(shù)活動(dòng)是以發(fā)明革新為核心的活動(dòng),工程活動(dòng)是以集成建構(gòu)為核心的活動(dòng)。人們既不應(yīng)把科學(xué)與技術(shù)混為一談,也不應(yīng)把技術(shù)與工程混為一談。工程并不是單純的科學(xué)應(yīng)用或技術(shù)應(yīng)用,也不是相關(guān)技術(shù)的簡(jiǎn)單堆砌和剪貼拼湊,而是科學(xué)要素、技術(shù)要素、經(jīng)濟(jì)要素、管理要素、社會(huì)要素、文化要素、制度要素以及環(huán)境要素等多要素的集成、選擇和優(yōu)化?!叭摗泵鞔_承認(rèn)科學(xué)、技術(shù)與工程存在密切的聯(lián)系,而且突出強(qiáng)調(diào)它們之間的轉(zhuǎn)化關(guān)系,強(qiáng)調(diào)“工程化”環(huán)節(jié)對(duì)于轉(zhuǎn)化為直接生產(chǎn)力的關(guān)鍵作用、價(jià)值和意義,強(qiáng)調(diào)應(yīng)努力實(shí)現(xiàn)工程科學(xué)、工程技術(shù)和工程實(shí)踐的有機(jī)互動(dòng)與統(tǒng)一。

1.2 信息安全管理體系的工程本質(zhì)及特點(diǎn)

信息安全管理體系是基于業(yè)務(wù)風(fēng)險(xiǎn)方法,來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的,包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過(guò)程和資源等內(nèi)容。信息安全管理體系的支撐標(biāo)準(zhǔn)為ISO/IEC 27000標(biāo)準(zhǔn)族。在ISO/IEC 27000標(biāo)準(zhǔn)族中,不但給出了“建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的”“基于業(yè)務(wù)風(fēng)險(xiǎn)(的)方法”,而且還給出了信息安全管理體系的要求、實(shí)用規(guī)則、審核指南以及相關(guān)安全域的具體指南等。例如,僅GB/T 22081-2008/ISO/IEC 27002:2005信息安全管理實(shí)用規(guī)則,就包括了11個(gè)控制域,39個(gè)控制目標(biāo),133項(xiàng)控制措施。

信息安全管理體系可在不同的學(xué)科中找到其淵源,在實(shí)施框架上,信息安全管理體系應(yīng)用了質(zhì)量管理中的Plan-Do-Check-Act的戴明環(huán),在具體的控制措施上,則包括了密碼學(xué)、人員安全以及各類(lèi)信息安全技術(shù),其研究的特點(diǎn)是將科學(xué)思維、工程思維和社會(huì)思維相結(jié)合,但更強(qiáng)調(diào)工程思維的“設(shè)計(jì)”理論。工程研究活動(dòng)不同于科學(xué)研究活動(dòng)的基本特征就是“設(shè)計(jì)”。工程設(shè)計(jì)活動(dòng)包括對(duì)象設(shè)計(jì)和過(guò)程設(shè)計(jì)。例如,建造水壩的壩體設(shè)計(jì)是對(duì)象設(shè)計(jì),如何實(shí)施就是過(guò)程設(shè)計(jì),在信息安全中,設(shè)計(jì)組織自己的信息安全管理體系是對(duì)象設(shè)計(jì),設(shè)計(jì)如何部署是過(guò)程設(shè)計(jì)。

按照“三元論”理論,信息安全管理體系在其中的位置如圖1所示。

2 信息安全管理體系的演化過(guò)程與規(guī)律

2.1 信息安全管理體系的起源和發(fā)展

信息安全管理體系是建立在體系(System)化基礎(chǔ)上的“最佳實(shí)踐集”,到國(guó)際標(biāo)準(zhǔn)的正式公布,大致經(jīng)歷了3個(gè)階段。

第一階段為過(guò)度關(guān)注技術(shù),忽略人的作用的“技術(shù)浪潮”階段,在這個(gè)階段涌現(xiàn)出了大量的信息安全技術(shù)產(chǎn)品,例如,防火墻、防病毒和入侵檢測(cè)系統(tǒng)(IDS)等。

第二階段為強(qiáng)調(diào)人的作用的“管理浪潮”階段,在這個(gè)階段大部分企業(yè)開(kāi)始設(shè)置專(zhuān)職的信息安全管理崗位,以加強(qiáng)對(duì)個(gè)人行為的控制。

第三階段即“體系階段”,在體系階段信息安全以目標(biāo)為導(dǎo)向,不再局限于手段的應(yīng)用,而是技術(shù)、制度和人員管理等各個(gè)方面的有機(jī)結(jié)合。這個(gè)階段是信息安全的工程化階段,體現(xiàn)了工程的實(shí)踐性、經(jīng)驗(yàn)性、繼承性、創(chuàng)造性和系統(tǒng)性等特點(diǎn)。

2.2 信息安全管理體系的動(dòng)力和機(jī)制分析

信息安全管理體系的產(chǎn)生和發(fā)展過(guò)程是一個(gè)“需求驅(qū)動(dòng)”的過(guò)程。Alvin Toffler在其經(jīng)典著作《第三次浪潮》中,將人類(lèi)發(fā)展史劃分為第一次浪潮的“農(nóng)業(yè)文明”,第二次浪潮的“工業(yè)文明”以及第三次浪潮的“信息社會(huì)”。在信息社會(huì)時(shí)代,“信息”成為重要的生產(chǎn)資料,價(jià)值非凡,因此面臨諸多風(fēng)險(xiǎn),為保護(hù)信息,安全需求的出現(xiàn)是必然的。

科學(xué)與技術(shù)的進(jìn)步是信息安全管理體系的推動(dòng)力。新密碼算法的產(chǎn)生,各類(lèi)以“信息技術(shù)解決信息安全”的思路涌現(xiàn),為信息安全管理體系的產(chǎn)生奠定了基礎(chǔ)。信息安全產(chǎn)生的本質(zhì)原因是信息技術(shù)的發(fā)展和應(yīng)用,反過(guò)來(lái),解決信息安全問(wèn)題又依賴(lài)于信息技術(shù)的發(fā)展。例如,速度更快,與防火墻形成聯(lián)動(dòng)的入侵檢測(cè)系統(tǒng)。

國(guó)家政策是信息安全管理體系應(yīng)用的導(dǎo)向力。任何工程活動(dòng)都是在社會(huì)大系統(tǒng)中開(kāi)展的,都要接受?chē)?guó)家(政府)的引導(dǎo)和調(diào)控。對(duì)工程創(chuàng)新的應(yīng)用,企業(yè)的認(rèn)識(shí)往往是滯后的,因此,國(guó)家出臺(tái)了一系列引導(dǎo)性政策。例如:商務(wù)部印發(fā)的商資發(fā)[2006]556號(hào)及商資函[2006]110號(hào),以及各地方政府的鼓勵(lì)引導(dǎo)政策。

2.3 信息安全管理體系的工程演化特點(diǎn)、方式和規(guī)律

對(duì)比國(guó)外,信息安全管理體系在國(guó)內(nèi)發(fā)展體現(xiàn)出了明顯的跳躍性,這種跳躍性不但體現(xiàn)在信息工程領(lǐng)域,也表現(xiàn)在其他諸多領(lǐng)域。國(guó)內(nèi)一般不會(huì)沿襲其循序漸進(jìn)的路線(xiàn),而是直接引用國(guó)外的先進(jìn)經(jīng)驗(yàn)或者在國(guó)外已有的原型上進(jìn)行模仿開(kāi)發(fā)。

在科學(xué)、技術(shù)和工程3個(gè)領(lǐng)域內(nèi),與文化、制度、歷史等環(huán)境因素聯(lián)系最緊密的就是工程。在信息安全領(lǐng)域內(nèi),作為基礎(chǔ)科學(xué)的密碼學(xué),其算法“放之四海而皆準(zhǔn)”,不會(huì)因東西方文化的不同而顯現(xiàn)不同的特征,絕大部分技術(shù)亦如此。但在工程層次,不同的文化制度有時(shí)會(huì)產(chǎn)生大相徑庭的結(jié)果,例如,騰訊QQ本來(lái)是模仿國(guó)際聊天軟件ICQ,但是經(jīng)過(guò)十幾年的發(fā)展后,ICQ,MSN等點(diǎn)對(duì)點(diǎn)國(guó)外聊天軟件均瀕臨破產(chǎn),但QQ在線(xiàn)用戶(hù)卻在2010年突破1億。信息安全管理體系雖然修改自國(guó)際標(biāo)準(zhǔn),但也顯現(xiàn)出鮮明的文化特征。例如更強(qiáng)調(diào)保密性,和國(guó)外用戶(hù)相比,更多的認(rèn)證取向等。

3 信息安全管理體系的工程思維與工程方法論

3.1 信息安全管理體系的工程思維

科學(xué)思維是“反映性思維”“發(fā)現(xiàn)性思維”,體現(xiàn)理論理性的認(rèn)識(shí),工程思維是“構(gòu)建性思維”“設(shè)計(jì)性思維”和“實(shí)踐性思維”,體現(xiàn)實(shí)踐理性的認(rèn)識(shí)??茖W(xué)家通過(guò)科學(xué)思維發(fā)現(xiàn)外部世界中已經(jīng)存在的事物和自然規(guī)律,工程師在工程活動(dòng)中創(chuàng)造出自然界中從來(lái)沒(méi)有的工程構(gòu)建物,工程設(shè)計(jì)是以?xún)r(jià)值當(dāng)事人的特定需要為出發(fā)點(diǎn),以構(gòu)建某種與主體需要相符合的實(shí)體為歸宿的籌劃。

信息安全管理體系標(biāo)準(zhǔn)族的GB/T 22080-2008/ISO/IEC 27001:2005原文別強(qiáng)調(diào):“采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織ISMS的設(shè)計(jì)和實(shí)施受其需求和目標(biāo)、安全要求、所采用的過(guò)程以及組織的規(guī)模和結(jié)構(gòu)的影響,且上述因素及其支持系統(tǒng)會(huì)不斷發(fā)生變化。按照組織的需求實(shí)施ISMS是本標(biāo)準(zhǔn)所期望的,例如,簡(jiǎn)單的情況可采用簡(jiǎn)單的ISMS解決方案?!毙畔踩芾眢w系的部署過(guò)程也專(zhuān)門(mén)設(shè)有信息安全風(fēng)險(xiǎn)評(píng)估,目的就是找到企業(yè)實(shí)際存在的問(wèn)題,然后“對(duì)癥下藥”。

3.2 信息安全管理體系的工程方法論

信息安全管理體系應(yīng)用了PDCA戴明環(huán),與A.D.Hall的系統(tǒng)工程方法略有差別,但在本質(zhì)上是遵循這個(gè)基本框架的,如圖2所示。

參照?qǐng)D2所示的基本工作過(guò)程并結(jié)合專(zhuān)門(mén)指導(dǎo)信息安全管理體系實(shí)施的《ISO/IEC 27003:2010信息安全管理體系應(yīng)用指南》,提取其中的關(guān)鍵過(guò)程,并與工程設(shè)計(jì)的一般過(guò)程進(jìn)行對(duì)比,如圖3所示,其中左側(cè)為設(shè)計(jì)方法,右側(cè)為信息安全管理體系設(shè)計(jì)。

4 結(jié) 語(yǔ)

信息安全管理體系既包括數(shù)論、密碼學(xué)和近世代數(shù)等科學(xué)元素,也包括軟件開(kāi)發(fā)技術(shù)、單片機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)等技術(shù)元素,在工程哲學(xué)的視野下,是建立在一系列科學(xué)與技術(shù)基礎(chǔ)上的集成創(chuàng)新。在工程創(chuàng)新成為創(chuàng)新活動(dòng)主戰(zhàn)場(chǎng)的今天,對(duì)其進(jìn)行哲學(xué)分析,顯得尤為重要。這其中包括以下幾點(diǎn)。首先,要辯證地對(duì)待便利性與安全性的問(wèn)題。正確利用信息系統(tǒng),不僅是技術(shù)問(wèn)題,也是哲學(xué)命題。堅(jiān)持用“兩點(diǎn)論”的觀點(diǎn)看待便利性和安全性,在信息化發(fā)展的不同階段,正確分析主要矛盾和次要矛盾。在信息化發(fā)展初期,信息系統(tǒng)尚未大規(guī)模使用,主要矛盾是便利性,提高效率,但到現(xiàn)在,信息安全事件層出不窮,美國(guó)甚至成立了網(wǎng)絡(luò)戰(zhàn)爭(zhēng)司令部,信息戰(zhàn)成為攻擊手段之一,安全性就成了主要矛盾,“兩點(diǎn)論”是有重點(diǎn)的兩點(diǎn)論,要在看到主次矛盾和矛盾的主次方面的同時(shí),分清主次,抓住主要矛盾和矛盾的主要方面。其次,從信息安全管理體系演化規(guī)律中發(fā)現(xiàn)集成創(chuàng)新的一般規(guī)律。科學(xué)、技術(shù)轉(zhuǎn)化為現(xiàn)實(shí)生產(chǎn)力的功能一般都要通過(guò)工程這一環(huán)節(jié),因此,在我國(guó)建設(shè)創(chuàng)新型國(guó)家戰(zhàn)略的實(shí)施過(guò)程中,工程創(chuàng)新是一個(gè)關(guān)鍵性的環(huán)節(jié)。只有從大量的工程中發(fā)現(xiàn)工程創(chuàng)新的一般規(guī)律,從工程哲學(xué)的角度加以分析、歸納和引導(dǎo),才能創(chuàng)新信息安全管理體系建設(shè),發(fā)揮我國(guó)信息化發(fā)展的后發(fā)優(yōu)勢(shì)。

主要參考文獻(xiàn)

[1]Tanenbaum A.S,Whterall D.J.計(jì)算機(jī)網(wǎng)絡(luò)[M].第5版.嚴(yán)偉,潘愛(ài)民,譯.北京:清華大學(xué)出版社,2012.

[2]張艷,胡新.云計(jì)算模式下的信息安全風(fēng)險(xiǎn)及其法律規(guī)制[J].自然辯證法研究,2012(10).

[3]謝宗曉.信息安全管理體系實(shí)施指南[M].北京:中國(guó)標(biāo)準(zhǔn)出版社,2012.

[4]張志會(huì).米切姆的工程哲學(xué)思想初探[J].工程研究――跨學(xué)科視野中的工程,2008.

[5]李伯聰.工程哲學(xué)引論――我造物故我在[M].鄭州:大象出版社,2002.

[6]殷瑞鈺,汪應(yīng)洛,李伯聰.工程哲學(xué)[M].北京:高等教育出版社,2007.

[7]謝宗曉.信心安全管理體系應(yīng)用手冊(cè)[M].北京:中國(guó)標(biāo)準(zhǔn)出版社,2008.

[8]王宏波.工程哲學(xué)與社會(huì)工程[M].北京:中國(guó)社會(huì)科學(xué)出版社,2006.

[9]Von Solms Basie.Information Security:The Third Wave[J].Computer & Security,2000(12).

[10]殷瑞鈺,汪應(yīng)洛,李伯聰.工程演化論[M].北京:高等教育出版社,2011.

[11]謝宗曉.信息安全管理體系實(shí)施案例[M].北京:中國(guó)標(biāo)準(zhǔn)出版社,2012.

第3篇

關(guān)鍵詞:軟件工程;數(shù)據(jù)信息;安全管理;

文章編號(hào):1674-3520(2015)-09-00-01

隨著社會(huì)經(jīng)濟(jì)的快速發(fā)展,人們對(duì)于信息的公開(kāi)化、透明化的要求越來(lái)越高,同時(shí)信息資源的管理也面臨巨大的困擾,信息安全問(wèn)題已經(jīng)成為影響人們數(shù)據(jù)存儲(chǔ)的重要因素?,F(xiàn)代企業(yè)出于安全和利益需要,對(duì)于很多信息不能公開(kāi)或者一定時(shí)期內(nèi)不能向外界公布,這時(shí)就需要應(yīng)用安全保密技術(shù)。

一、保密技術(shù)對(duì)數(shù)據(jù)信息安全的重要性

保密技術(shù)是企業(yè)為獲得自身利益和安全,將與自身發(fā)展密切相關(guān)的信息進(jìn)行隱藏的一種手段,隨著互聯(lián)網(wǎng)的快速發(fā)展,企業(yè)信息的保密也越發(fā)重要。保守企業(yè)秘密是指嚴(yán)格按照有關(guān)經(jīng)濟(jì)法律和企業(yè)內(nèi)部的規(guī)章制度,將涉及信息和信息的載體控制在一定的范圍之內(nèi),限制知悉的人員,同時(shí)也包含了企業(yè)自身或內(nèi)部員工保守秘密的職責(zé),并以此采取相應(yīng)的保密活動(dòng)。通常情況下,屬于保密范疇的信息,都應(yīng)當(dāng)明確內(nèi)容,并規(guī)定相應(yīng)的期限,在此階段內(nèi),保密主體不能夠擅自改變,并且其知悉范圍是通過(guò)強(qiáng)制性手段和措施來(lái)實(shí)現(xiàn)控制的。

二、數(shù)據(jù)信息安全保密技術(shù)類(lèi)型

(一)口令保護(hù)。對(duì)數(shù)據(jù)信息設(shè)置口令是數(shù)據(jù)信息安全的基礎(chǔ)保障。在對(duì)數(shù)據(jù)保密信息設(shè)置安全保障的過(guò)程中,可以先根據(jù)計(jì)算機(jī)技術(shù)設(shè)置登錄密碼,并確保密碼的復(fù)雜性,如字母與數(shù)字混合、大小寫(xiě)字母與數(shù)字混合等,以免被黑客破解。如果有提示密碼可能被盜的消息,則應(yīng)當(dāng)及時(shí)辨別消息的真實(shí)性,并登錄到安全中心重新設(shè)置密碼,從而確保數(shù)據(jù)信息登錄的安全性和可靠性。

(二)數(shù)據(jù)加密。在信息的存儲(chǔ)及傳輸過(guò)程中有一個(gè)重要的手段,就是對(duì)數(shù)據(jù)進(jìn)行加密,這樣才能夠保證數(shù)據(jù)信息的安全性,從而提升信息保密的抗攻擊度。所謂數(shù)據(jù)加密,主要是指根據(jù)較為規(guī)律的加密變化方法,對(duì)需要設(shè)置密碼的數(shù)據(jù)進(jìn)行加密處理,由此得到需要密鑰才能識(shí)別的數(shù)據(jù)。加密變化不僅能夠保護(hù)數(shù)據(jù),還能夠檢測(cè)數(shù)據(jù)的完整陛,是現(xiàn)代數(shù)據(jù)信息系統(tǒng)安全中最常用也是最重要的保密技術(shù)手段之一。數(shù)據(jù)加密和解密的算法和操作一般都由一組密碼進(jìn)行控制,形成加密密鑰和相應(yīng)的解密密鑰。在數(shù)據(jù)信息傳輸?shù)倪^(guò)程中,可以根據(jù)相應(yīng)的加密密鑰,加密數(shù)據(jù)信息,然后根據(jù)解密密鑰得出相應(yīng)的數(shù)據(jù)信息。在此過(guò)程中,大大保障了數(shù)據(jù)信息的安全,避免被破解。

(三)存取控制。為保證用戶(hù)能夠存取相關(guān)權(quán)限內(nèi)的數(shù)據(jù),已經(jīng)具備使用權(quán)的用戶(hù)必須事先將定義好的用戶(hù)操作權(quán)限進(jìn)行存取控制。在一般情況下,只要將存取權(quán)限的定義通過(guò)科學(xué)的編譯處理,將處理后的數(shù)據(jù)信息存儲(chǔ)到相應(yīng)的數(shù)據(jù)庫(kù)中。如果用戶(hù)對(duì)數(shù)據(jù)庫(kù)發(fā)出使用信息的命令請(qǐng)求,數(shù)據(jù)庫(kù)操作管理系統(tǒng)會(huì)通過(guò)對(duì)數(shù)據(jù)字典進(jìn)行查找,來(lái)檢查每個(gè)用戶(hù)權(quán)限是否合法。如果存在不合法的行為,則可能是用于用戶(hù)的請(qǐng)求不符合數(shù)據(jù)庫(kù)存儲(chǔ)定義,并超出了相應(yīng)的操作權(quán)限,這樣則會(huì)導(dǎo)致數(shù)據(jù)庫(kù)對(duì)于用戶(hù)的指令無(wú)法識(shí)別,并拒絕執(zhí)行。因此,只有在采取存取控制保護(hù)措施下,數(shù)據(jù)庫(kù)才能夠?qū)Πl(fā)出請(qǐng)求的用戶(hù)進(jìn)行識(shí)別,并對(duì)用戶(hù)身份的合法性進(jìn)行驗(yàn)證。同時(shí)還需要注意不同用戶(hù)之問(wèn)的標(biāo)識(shí)符都具有一定差異,經(jīng)過(guò)識(shí)別和驗(yàn)證后,用戶(hù)才能夠獲取進(jìn)入數(shù)據(jù)庫(kù)的指令,以此確保數(shù)據(jù)信息的安全性,為用戶(hù)提供一個(gè)良好的數(shù)據(jù)應(yīng)用環(huán)境。

三、增強(qiáng)數(shù)據(jù)信息安全保密技術(shù)

(一)數(shù)字簽名技術(shù)。在計(jì)算機(jī)網(wǎng)絡(luò)通信中,經(jīng)常會(huì)出現(xiàn)一些假冒、偽造、篡改的數(shù)據(jù)信息,對(duì)企業(yè)應(yīng)用數(shù)據(jù)信息造成了嚴(yán)重影響,對(duì)此,采取相應(yīng)的技術(shù)保護(hù)措施也就顯得非常重要。數(shù)字簽名技術(shù)主要是指對(duì)數(shù)據(jù)信息的接收方身份進(jìn)行核實(shí),在相應(yīng)的報(bào)文上面簽名,以免事后影響到數(shù)據(jù)信息的真實(shí)性。在交換數(shù)據(jù)信息協(xié)議的過(guò)程中,接收方能夠?qū)Πl(fā)送方的數(shù)據(jù)信息進(jìn)行鑒別,并且不能夠出現(xiàn)否認(rèn)這一發(fā)送信息的行為。通過(guò)在數(shù)據(jù)簽名技術(shù)中應(yīng)用不對(duì)稱(chēng)的加密技術(shù),能夠明確文件發(fā)送的真實(shí)性,而通過(guò)解密與加密技術(shù),能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)信息傳輸過(guò)程的良好控制,以免出現(xiàn)信息泄露的情況。

(二)接入控制技術(shù)。接入控制技術(shù)主要是指針對(duì)用戶(hù)所應(yīng)用的計(jì)算機(jī)信息系統(tǒng)進(jìn)行有效控制,實(shí)現(xiàn)一般用戶(hù)對(duì)數(shù)據(jù)庫(kù)信息的資源共享,這是避免非法入侵者竊取信息的另一關(guān)卡。對(duì)于需要密切保密的數(shù)據(jù)信息庫(kù),用戶(hù)在訪問(wèn)之前應(yīng)當(dāng)明確是否能夠登陸,及登陸之后是否涉及保密信息,以加強(qiáng)數(shù)據(jù)信息控制。在對(duì)絕密級(jí)信息系統(tǒng)進(jìn)行處理時(shí),訪問(wèn)應(yīng)當(dāng)控制到每個(gè)用戶(hù)。在系統(tǒng)內(nèi)部用戶(hù)非授權(quán)的接入控制中,任意訪問(wèn)控制是指用戶(hù)可以隨意在系統(tǒng)中規(guī)定的范圍內(nèi)活動(dòng),這對(duì)于用戶(hù)來(lái)說(shuō)較為方便,而且成本費(fèi)用也比較低廉。但是此種做法的安全性較低,如果有用戶(hù)進(jìn)行強(qiáng)制訪問(wèn),勢(shì)必會(huì)導(dǎo)致外來(lái)信息入侵系統(tǒng)。對(duì)此,采用強(qiáng)制訪問(wèn)方法能夠有效避免非法入侵行為,雖然安全費(fèi)用較大,但是安全系數(shù)較高。

(三)跟蹤審計(jì)技術(shù)。跟蹤審計(jì)技術(shù)主要是指對(duì)數(shù)據(jù)信息的應(yīng)用過(guò)程進(jìn)行事后的審計(jì)處理,也就是一種事后追查手段,對(duì)數(shù)據(jù)系統(tǒng)的安全操作情況進(jìn)行詳細(xì)記錄。通過(guò)采用此種技術(shù),如果數(shù)據(jù)庫(kù)系統(tǒng)出現(xiàn)泄密事件,能夠?qū)π姑苁录陌l(fā)生時(shí)問(wèn)、地點(diǎn)及過(guò)程進(jìn)行記錄,同時(shí)對(duì)數(shù)據(jù)庫(kù)信息進(jìn)行實(shí)時(shí)監(jiān)控,并給出詳細(xì)的分析報(bào)告,以保證數(shù)據(jù)庫(kù)系統(tǒng)的可靠性。跟蹤審計(jì)技術(shù)可以分為好幾種類(lèi)型,如數(shù)據(jù)庫(kù)跟蹤審計(jì)、操作系統(tǒng)跟蹤審計(jì)等。這些技術(shù)的應(yīng)用及實(shí)施,能夠加強(qiáng)對(duì)數(shù)據(jù)庫(kù)信息的安全限制,以免再次出現(xiàn)病毒入侵的情況。

(三)防火墻技術(shù)。防火墻技術(shù)主要是指對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的接入進(jìn)行有效控制,如果有外部用戶(hù)采用非法手段接入訪問(wèn)內(nèi)部資源,防火墻能夠進(jìn)行識(shí)別并進(jìn)行相應(yīng)的反擊處理,從而將不良信息隔在網(wǎng)絡(luò)之外。防火墻的基本功能是對(duì)網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行過(guò)濾處理,同時(shí)對(duì)外來(lái)用戶(hù)的訪問(wèn)進(jìn)行分析和管理,攔截不安全信息,將網(wǎng)絡(luò)攻擊擋在網(wǎng)絡(luò)之外。

四、結(jié)束語(yǔ)

對(duì)數(shù)據(jù)信息進(jìn)行安全保密管理是信息安全的關(guān)鍵,也是安全管理的核心。隨著現(xiàn)代科學(xué)技術(shù)的不斷發(fā)展,信息化條件下的保密工作和傳統(tǒng)的保密工作已經(jīng)有了截然不同的特點(diǎn)。因此,在未來(lái)的發(fā)展過(guò)程中,對(duì)于數(shù)據(jù)信息的安全保密顯得更加重要,需要進(jìn)一步改進(jìn)相關(guān)技術(shù),需要企業(yè)不斷努力。

參考文獻(xiàn):

[1]趙楠 IT系統(tǒng)數(shù)據(jù)信息安全解決方案解析[期刊論文]-科技資訊 2013(15)

第4篇

對(duì)保障性住房項(xiàng)目的用地情況進(jìn)行管理,由各地區(qū)登記各類(lèi)保障性住房年度建設(shè)計(jì)劃用地?cái)?shù)據(jù)及實(shí)際建設(shè)用地?cái)?shù)據(jù),自動(dòng)計(jì)算年度保障性住房供地計(jì)劃執(zhí)行比例;記錄廉租房、政府投資的公租房、經(jīng)適房建設(shè)用地的劃撥供地信息,記錄其他方式投資的公租房建設(shè)用地和限價(jià)房建設(shè)用地信息;登記保障性住房用地審批各個(gè)環(huán)節(jié)的審批信息。省級(jí)用戶(hù)查詢(xún)統(tǒng)計(jì)全省的各類(lèi)保障性住房用地信息,按照用地面積、供地計(jì)劃執(zhí)行比例對(duì)各市縣進(jìn)行排名,對(duì)保障性住房項(xiàng)目用地情況進(jìn)行統(tǒng)籌管理。

二、項(xiàng)目管理子系統(tǒng)

1.項(xiàng)目基本信息管理項(xiàng)目基本信息包括:項(xiàng)目名稱(chēng)、項(xiàng)目類(lèi)型、項(xiàng)目地址、項(xiàng)目面積、房屋套數(shù)、建設(shè)方式、建設(shè)單位、項(xiàng)目負(fù)責(zé)人、聯(lián)系電話(huà)、設(shè)計(jì)單位信息、施工單位信息、監(jiān)理單位信息、項(xiàng)目建設(shè)時(shí)間、項(xiàng)目投資類(lèi)型等信息,對(duì)于異地安置項(xiàng)目需要登記項(xiàng)目安置類(lèi)型為異地安置,并可以按是否異地安置進(jìn)行查詢(xún)統(tǒng)計(jì)。

2.項(xiàng)目文件管理項(xiàng)目文檔管理主要對(duì)項(xiàng)目辦理的相關(guān)數(shù)據(jù)及文件進(jìn)行管理,包括項(xiàng)目立項(xiàng)文件、土地預(yù)審文件、土地批準(zhǔn)文件、建設(shè)規(guī)劃工程許可證、建設(shè)用地規(guī)劃許可證、施工許可證、規(guī)劃平面圖、總平面圖、戶(hù)型圖、效果圖、建設(shè)工程招投標(biāo)文件等相關(guān)文件,由各地區(qū)用戶(hù)將文件資料歸類(lèi)掃描后上傳保存?zhèn)浒?,省?jí)用戶(hù)可以對(duì)相關(guān)文件進(jìn)行查詢(xún)閱覽。

3.房源信息管理區(qū)縣登記項(xiàng)目的樓棟數(shù)據(jù)和房屋數(shù)據(jù),記錄樓棟數(shù)量、房屋套數(shù)、建筑面積、房屋類(lèi)型等信息,為配租配售功能提供房源數(shù)據(jù)。

三、項(xiàng)目建設(shè)管理子系

統(tǒng)登記保障性安居工程項(xiàng)目的設(shè)計(jì)施工監(jiān)理單位信息、項(xiàng)目基本信息及項(xiàng)目合同信息,各級(jí)住房保障部門(mén)將項(xiàng)目相關(guān)文件電子文檔方式報(bào)省備案。

四、項(xiàng)目進(jìn)度管理子系統(tǒng)

1.項(xiàng)目進(jìn)度上報(bào)對(duì)計(jì)劃建設(shè)中的每個(gè)項(xiàng)目進(jìn)行進(jìn)度管理,按上報(bào)要求,對(duì)每個(gè)項(xiàng)目進(jìn)行進(jìn)度的及時(shí)更新,包括項(xiàng)目進(jìn)度上報(bào)、進(jìn)度圖片采集功能。對(duì)于申報(bào)中的項(xiàng)目,登記申報(bào)進(jìn)度及辦理情況;對(duì)在建狀態(tài)的項(xiàng)目,必須有圖片,以確保其上報(bào)的狀態(tài)是真實(shí)的,通過(guò)上報(bào)的建設(shè)工地的圖片,防止下級(jí)單位虛報(bào)項(xiàng)目進(jìn)度。

2.項(xiàng)目進(jìn)度查看省級(jí)用戶(hù)查看各地區(qū)上報(bào)的項(xiàng)目進(jìn)度信息,包括上報(bào)的建設(shè)工地照片信息;市(地)用戶(hù)可以查看所轄縣上報(bào)的項(xiàng)目進(jìn)度信息。

3.項(xiàng)目進(jìn)度統(tǒng)計(jì)統(tǒng)計(jì)信息包括累計(jì)開(kāi)工面積、累計(jì)開(kāi)工套數(shù)、累計(jì)竣工面積、累計(jì)竣工套數(shù)、在建面積、在建套數(shù)、本月新開(kāi)工面積、本月新開(kāi)工套數(shù)、未開(kāi)工面積、未開(kāi)工套數(shù)的信息。

五、項(xiàng)目竣工驗(yàn)收管理子系統(tǒng)

項(xiàng)目竣工驗(yàn)收管理主要對(duì)項(xiàng)目竣工驗(yàn)收的相關(guān)數(shù)據(jù)及文件進(jìn)行管理,包括:項(xiàng)目竣工報(bào)告、項(xiàng)目設(shè)計(jì)報(bào)告、項(xiàng)目施工報(bào)告、項(xiàng)目監(jiān)理報(bào)告、項(xiàng)目質(zhì)檢報(bào)告、項(xiàng)目竣工驗(yàn)收?qǐng)?bào)告、工程其他需要說(shuō)明的資料等相關(guān)文件,由各地區(qū)用戶(hù)將文件資料歸類(lèi)掃描后保存?zhèn)浒?,省?jí)用戶(hù)可以對(duì)相關(guān)文件進(jìn)行查詢(xún)。對(duì)于已竣工驗(yàn)收的項(xiàng)目,其中的房源信息變?yōu)榭刹僮鳡顟B(tài),可以進(jìn)行配租配售操作。已竣工驗(yàn)收項(xiàng)目的房源,在統(tǒng)計(jì)中自動(dòng)累計(jì)到“已竣工”狀態(tài)的統(tǒng)計(jì)數(shù)據(jù)中。

六、項(xiàng)目監(jiān)管子系統(tǒng)

對(duì)保障性住房項(xiàng)目進(jìn)行監(jiān)督管理,根據(jù)系統(tǒng)中各縣市上報(bào)的保障性住房項(xiàng)目土地使用情況、項(xiàng)目建設(shè)進(jìn)度、項(xiàng)目資金撥付使用情況、項(xiàng)目竣工驗(yàn)收情況、項(xiàng)目配租配售信息對(duì)項(xiàng)目建設(shè)的全程進(jìn)行監(jiān)督管理,登記各項(xiàng)抽檢

七、結(jié)果在系統(tǒng)

第5篇

【關(guān)鍵詞】市政工程;安全管理;信息系統(tǒng);設(shè)計(jì)

當(dāng)今時(shí)代,我國(guó)各項(xiàng)事業(yè)的建設(shè)都開(kāi)始趨于信息化,信息技術(shù)逐漸成為國(guó)家工作的重點(diǎn),實(shí)現(xiàn)對(duì)于國(guó)家工作的信息安全管理是非常必要的。而市政工程作為我國(guó)城市建設(shè)的重點(diǎn),促進(jìn)市政工程的信息安全管理,是市政工程負(fù)責(zé)人員的必須完成的工作任務(wù)。就目前來(lái)看,我國(guó)市政工程的信息安全管理工作的實(shí)施還存在著諸多的問(wèn)題,對(duì)市政工作的實(shí)施構(gòu)成了嚴(yán)重的阻礙。本文從市政工程的信息安全管理角度出發(fā),談?wù)摿藰?gòu)建安全管理的信息系統(tǒng)的相關(guān)問(wèn)題,希望能夠幫助市政工作人員使用信息系統(tǒng)實(shí)現(xiàn)對(duì)于市政工程的安全管理。

一、管理信息系統(tǒng)的相關(guān)問(wèn)題分析

隨著當(dāng)今時(shí)期信息技術(shù)成為我國(guó)各項(xiàng)工作實(shí)施的重要保障,推動(dòng)信息管理在國(guó)家工作中作用的發(fā)揮,對(duì)于國(guó)家工作的順利實(shí)現(xiàn)具有非常重要的作用。市政工程作為我國(guó)城市建設(shè)的重點(diǎn),在市政工程中推動(dòng)信息安全管理作用的實(shí)現(xiàn),對(duì)于市政工程的建設(shè)與管理具有非常重要的意義。本文接下來(lái)分析一下管理信息系統(tǒng)的相關(guān)問(wèn)題:

具體而言,管理的信息系統(tǒng)主要就是指由計(jì)算機(jī)和工作人員組成的一種信息管理的系統(tǒng),這種信息管理系統(tǒng)通過(guò)計(jì)算機(jī)和人共同發(fā)揮作用,對(duì)有效信息進(jìn)行收集、加工以及儲(chǔ)存等,從而達(dá)到對(duì)工作中各個(gè)環(huán)節(jié)運(yùn)行狀況的正確反映。同時(shí),它還可以通過(guò)信息的整合分析,實(shí)現(xiàn)對(duì)于未來(lái)工作的預(yù)測(cè),從而幫助工作人員從整體和全局出發(fā),為各項(xiàng)工作進(jìn)行科學(xué)的決策,幫助工作目標(biāo)獲得系統(tǒng)合理的規(guī)劃。從管理信息系統(tǒng)的作用來(lái)講,它是通過(guò)對(duì)相關(guān)數(shù)據(jù)、工作事務(wù)的處理,發(fā)揮其輔助工作人員進(jìn)行決策的作用,從而為工作人員的管理工作提供思想、方法以及行為的革新。

管理信息系統(tǒng)主要是面向管理工作的一個(gè)系統(tǒng),它是人機(jī)的一種有機(jī)結(jié)合整體,而且還是多學(xué)科、多種技術(shù)、信息共享的友好界面。管理信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)實(shí)際上就是以某項(xiàng)具體的工程作為指導(dǎo)和目標(biāo),對(duì)工程的各項(xiàng)工作實(shí)施系統(tǒng)的規(guī)劃、分析及設(shè)計(jì),最終通過(guò)系統(tǒng)的協(xié)調(diào)運(yùn)行推動(dòng)工程的實(shí)現(xiàn)。而市政工程的安全管理信息系統(tǒng),也就是一種以市政工程作為指導(dǎo)和目標(biāo)的安全的管理信息系統(tǒng),它致力于處理市政工程中的相關(guān)管理工作任務(wù)。市政工程的安全管理信息系統(tǒng)可以用下圖來(lái)表示其具體的運(yùn)行環(huán)節(jié):

二、市政工程的安全管理信息系統(tǒng)的設(shè)計(jì)

當(dāng)前時(shí)期,我國(guó)城市建設(shè)與發(fā)展獲得了極大的進(jìn)展,國(guó)家對(duì)于市政工程的投資與建設(shè)也逐漸加大了步伐,市政工程的建設(shè)及管理實(shí)現(xiàn)了更為復(fù)雜艱巨的管理工作轉(zhuǎn)變,實(shí)現(xiàn)對(duì)于市政工程的安全管理是國(guó)家城市建設(shè)及管理工作獲得順利實(shí)施的必要保證。本文接下來(lái)就從幾個(gè)方面談?wù)撘幌率姓こ痰陌踩芾硇畔⑾到y(tǒng)的設(shè)計(jì)與實(shí)現(xiàn):

首先,要推動(dòng)市政工程的安全信息管理系統(tǒng)的建立與實(shí)現(xiàn),就必須明確市政工程安全管理信息系統(tǒng)設(shè)立的工作目標(biāo)。我國(guó)當(dāng)前的市政工程管理工作變得更為復(fù)雜,工程管理必須在某種程度上實(shí)現(xiàn)宏觀管理與微觀管理的協(xié)調(diào),而且,工作人員還要推動(dòng)國(guó)家直接管理與行業(yè)管理在市政工程管理中的協(xié)調(diào)發(fā)展。因此,市政工程的安全管理系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn)必須以這種要求作為出發(fā)點(diǎn),實(shí)現(xiàn)對(duì)于市政工程的全社會(huì)、全部過(guò)程以及全行業(yè)的實(shí)時(shí)管理,并且這個(gè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)還要能夠通過(guò)對(duì)市政工程的安全狀況進(jìn)行分析整合而達(dá)到對(duì)于工程的未來(lái)預(yù)測(cè)及有效管理。具體而言,市政工程的安全管理信息系統(tǒng)的設(shè)計(jì)要涵蓋以下幾個(gè)方面的內(nèi)容:建立安全管理的信息網(wǎng)絡(luò)、完善市政設(shè)施設(shè)備的安全管理、使用計(jì)算機(jī)對(duì)市政工程的各個(gè)環(huán)節(jié)信息進(jìn)行分析整合、實(shí)現(xiàn)市政工程的自動(dòng)化實(shí)施,還要建立信息必要的市政工程的信息數(shù)據(jù)庫(kù)。

再者,市政工程的安全管理系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)必須重視其設(shè)計(jì)環(huán)節(jié)的子系統(tǒng)功能的分配。市政工程安全信息管理的子系統(tǒng)主要有工程安全管理的子系統(tǒng)、設(shè)施安全管理的子系統(tǒng)、交通安全管理的子系統(tǒng)、市政安全事故的子系統(tǒng)等,這些子系統(tǒng)要分別實(shí)施以下幾個(gè)方面的工作:對(duì)市政工程實(shí)施安全檢查、報(bào)告、評(píng)價(jià)以及監(jiān)理等工作,為安全管理工作提供決策輔助;還要對(duì)城市建設(shè)的排水、公路、地鐵等設(shè)施運(yùn)行提供安全管理,針對(duì)這些設(shè)施運(yùn)行中存在的問(wèn)題隱患,對(duì)其進(jìn)行應(yīng)急預(yù)案設(shè)置。此外,這種安全信息管理的子系統(tǒng)還要對(duì)城市全局的交通實(shí)施必要的管理,及時(shí)地報(bào)告城市市政車(chē)輛管理及事故處理的工作,并對(duì)一些重要的信息進(jìn)行安全備份。

此外,市政工程的安全信息管理工作系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)還必須注重系統(tǒng)設(shè)計(jì)的有效規(guī)劃,針對(duì)市政工程具體的工作狀況推動(dòng)系統(tǒng)設(shè)計(jì)的實(shí)現(xiàn)。安全信息管理的系統(tǒng)的設(shè)計(jì)注意系統(tǒng)的縱、橫向的延伸,將市政的局級(jí)工作單位的內(nèi)部信息系統(tǒng)作為系統(tǒng)第一級(jí),而具體的行業(yè)管理則為系統(tǒng)的第二級(jí),區(qū)縣的市政具體行業(yè)管理設(shè)為系統(tǒng)的第三級(jí),推動(dòng)系統(tǒng)內(nèi)部各個(gè)環(huán)節(jié)的協(xié)調(diào)配合,提高系統(tǒng)的整體運(yùn)作效率,從而使市政系統(tǒng)的設(shè)計(jì)在一個(gè)具體的層級(jí)工作網(wǎng)絡(luò)中獲得實(shí)現(xiàn)。

三、結(jié)語(yǔ)

市政工程的安全信息管理在當(dāng)今時(shí)代是市政工程安全管理的一個(gè)重要環(huán)節(jié),它通過(guò)系統(tǒng)工作的平臺(tái)可以有效地實(shí)現(xiàn)對(duì)于市政工作各個(gè)環(huán)節(jié)的涵蓋,從而達(dá)到對(duì)于市政工程管理的順利實(shí)施。因此,市政工作人員在當(dāng)今時(shí)期必須積極地探索市政工程的安全信息管理相關(guān)問(wèn)題,針對(duì)市政工作的特點(diǎn),建立完善管理信息系統(tǒng),推動(dòng)管理信息系統(tǒng)在市政工作中作用的有效發(fā)揮。參考文獻(xiàn)

[1]王雨田,陸曉鋒.淺談市政工程施工安全管理[J].山西建筑,2010(04)

[2]李儀歡,陳國(guó)華.安全管理信息系統(tǒng)學(xué)的創(chuàng)建、內(nèi)涵與外延[J].中國(guó)安全科學(xué)學(xué)報(bào),2007(06)

第6篇

隨著我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)用戶(hù)的急劇增長(zhǎng),我國(guó)信息系統(tǒng)的安全面臨著嚴(yán)峻的考驗(yàn),近幾年來(lái),不僅在我國(guó),全球的信息系統(tǒng)安全問(wèn)題層出不窮。而信息系統(tǒng)的安全問(wèn)題不僅僅是個(gè)人和企業(yè)的問(wèn)題,它還涉及到國(guó)家的安全、社會(huì)的公共安全等。因此,不斷加強(qiáng)信息安全技術(shù)的研究,提高我國(guó)信息系統(tǒng)的安全性和可靠性,十分迫切。針對(duì)嚴(yán)峻的信息系統(tǒng)安全現(xiàn)狀,目前普遍采用的方式主要有物理隔離、防火墻的建設(shè)、訪問(wèn)者身份認(rèn)證、加密等,但是僅從這些方面去考慮還遠(yuǎn)遠(yuǎn)無(wú)法保證信息系統(tǒng)的安全。不斷加強(qiáng)信息系統(tǒng)安全建設(shè)方面的技術(shù),不斷提高信息安全風(fēng)險(xiǎn)的檢測(cè)和評(píng)估是提高信息系統(tǒng)安全的重要手段。

2SSE-CMM模型

2.1SSE-CMM模型的概述

SSE-CMM(SystemsSecurityEngineeringCapabilityMaturityModel)模型的中文全稱(chēng)是信息安全工程能力成熟度模型,該模型的主要任務(wù)就是評(píng)測(cè)和改進(jìn)整個(gè)信息安全系統(tǒng)整個(gè)生命周期當(dāng)中的安全工程活動(dòng),到目前為止,這個(gè)模型是信息系統(tǒng)安全工程領(lǐng)域當(dāng)中可靠性較高的針對(duì)性模型。

2.2基于過(guò)程的SSE-CMM模型

基于過(guò)程的SSE-CMM模型是從成熟框架CMM模型發(fā)展而來(lái)的,SSE-CMM模型把信息系統(tǒng)中的安全工程劃分成三種不同的過(guò)程,分別是風(fēng)險(xiǎn)過(guò)程、工程過(guò)程、信任度過(guò)程,SSE-CMM模型對(duì)這三個(gè)過(guò)程中的關(guān)鍵過(guò)程域以及其安全能力成熟度的等級(jí)進(jìn)行了定義。在這個(gè)模型中,圖b的橫軸指的是這個(gè)信息系統(tǒng)安全工程的過(guò)程域,縱軸是11個(gè)過(guò)程域的5個(gè)能力成熟度等級(jí)。根據(jù)這個(gè)模型的框架對(duì)整個(gè)信息系統(tǒng)安全工程中的風(fēng)險(xiǎn)過(guò)程、工程過(guò)程、信任度過(guò)程都評(píng)定能力成熟度等級(jí),此時(shí)得到的二維圖便能夠把信息系統(tǒng)工程隊(duì)伍實(shí)施信息系統(tǒng)安全工程的能力成熟度形象的反映出來(lái),也能間接的將信息系統(tǒng)安全工程的可信度反映出來(lái)。采用SSE-CMM模型對(duì)信息系統(tǒng)安全工程進(jìn)行風(fēng)險(xiǎn)的評(píng)估,該模型所認(rèn)定的安全風(fēng)險(xiǎn)事件包括了3個(gè)組成部分,分別是安全威脅、系統(tǒng)的脆弱性、風(fēng)險(xiǎn)事件所造成的影響,在SSE-CMM模型中,只有具備這三個(gè)要素才能稱(chēng)之為信息系統(tǒng)工程安全風(fēng)險(xiǎn)。SSE-CMM模型中的安全機(jī)制就是把信息系統(tǒng)中的工程安全風(fēng)險(xiǎn)控制在系統(tǒng)能夠接受的范圍之內(nèi)。SSE-CMM模型所定義的風(fēng)險(xiǎn)過(guò)程包括了評(píng)估威脅過(guò)程、評(píng)估系統(tǒng)脆弱性過(guò)程、評(píng)估風(fēng)險(xiǎn)事件的影響過(guò)程、評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)過(guò)程。

3SSE-CMM模型的構(gòu)建和應(yīng)用

3.1SSE-CMM模型的構(gòu)建

根據(jù)上述SSE-CMM模型的作用過(guò)程在信息系統(tǒng)安全工程中構(gòu)建SSE-CMM模型的具體步驟如下所示。第一步,對(duì)信息系統(tǒng)的安全工程風(fēng)險(xiǎn)進(jìn)行分析,進(jìn)行工程的風(fēng)險(xiǎn)分析時(shí),要從現(xiàn)行的信息系統(tǒng)工程的風(fēng)險(xiǎn)入手,然后采取科學(xué)、先進(jìn)的風(fēng)險(xiǎn)分析方法進(jìn)行風(fēng)險(xiǎn)的分析。第二步,要確定目標(biāo),及要明確信息系統(tǒng)安全工程所提出的系統(tǒng)安全要求,這個(gè)安全要求是信息系統(tǒng)建設(shè)過(guò)程中、設(shè)計(jì)、建設(shè)、使用以及安全風(fēng)險(xiǎn)評(píng)估和監(jiān)管的主要依據(jù)。第三步,對(duì)信息系統(tǒng)的二維視圖進(jìn)行描述,即需要明確的、簡(jiǎn)潔的對(duì)信息系統(tǒng)中的安全系統(tǒng)進(jìn)行描述,談后根據(jù)描述給出信息安全系統(tǒng)的拓?fù)鋱D和邊界的劃分,邊界的劃分包括了系統(tǒng)的典型構(gòu)造、系統(tǒng)的應(yīng)用劃分等,并對(duì)系統(tǒng)內(nèi)的數(shù)據(jù)和需要保護(hù)的財(cái)產(chǎn)、系統(tǒng)的環(huán)境等進(jìn)行描述。第四步,建立信息安全系統(tǒng)的基線(xiàn)。第五步,制定相關(guān)的信息安全系統(tǒng)構(gòu)建策略,這些策略包括系統(tǒng)的物理安全策略、網(wǎng)絡(luò)完全策略、系統(tǒng)應(yīng)用安全策略等。第六步,對(duì)信息系統(tǒng)的安全工程建設(shè)進(jìn)行整體的設(shè)計(jì),其中設(shè)計(jì)是必須保證信息系統(tǒng)安全系統(tǒng)的整體框架是全方位和綜合性的,并增強(qiáng)每個(gè)層次和劃分區(qū)域的安全防御能力,從而實(shí)現(xiàn)一體化的信息安全系統(tǒng)。

3.2SSE-CMM模型的應(yīng)用原則

第一,安全需求的基線(xiàn)。包括了用戶(hù)的安全需求、對(duì)系統(tǒng)安全具有影響的法律法規(guī)和政策等,保證系統(tǒng)的安全需求與法律和政策中的保持一致,并且保證用戶(hù)的需求與系統(tǒng)的安全需求保持一致。第二,安全輸入的基線(xiàn)。第三,協(xié)同安全的基線(xiàn)。第四,安全管理的基線(xiàn)。在安全管理基線(xiàn)方面包括以下幾點(diǎn):一、要將信息系統(tǒng)的安全控制責(zé)任以文檔化的形式傳達(dá)給每位相關(guān)者;二、對(duì)于信息系統(tǒng)的安全控制有關(guān)的軟件配置進(jìn)行定義和管理;三、對(duì)用戶(hù)和管理人員進(jìn)行安全控制和管理的培訓(xùn)和宣教。第五,安全保證參數(shù)的基線(xiàn)。包括確定安全保證的目標(biāo)、制定相關(guān)的保證策略、對(duì)安全保證證據(jù)金屬分析等。

4結(jié)語(yǔ)

第7篇

一、信息系統(tǒng)安全工程概述

同信息系統(tǒng)安全工程相關(guān)的概念,包括信息系統(tǒng)、信息系統(tǒng)安全、信息系統(tǒng)安全工程三方面。所謂的“信息系統(tǒng)”,指的是通過(guò)通信設(shè)備、計(jì)算機(jī)等軟、硬件連接,能夠成功獲取、處理、傳送、交換、存儲(chǔ)數(shù)據(jù)的系統(tǒng),該系統(tǒng)包括軟、硬件,人,數(shù)據(jù)庫(kù),規(guī)程等內(nèi)容的有機(jī)組合。

對(duì)于信息系統(tǒng)安全而言,其主要是利用各種檢測(cè)、記錄等方法,有效地保護(hù)信息系統(tǒng),避免信息交換、處理、傳送、存儲(chǔ)中,對(duì)信息進(jìn)行未授權(quán)的訪問(wèn)與修改,保障系統(tǒng)信息的安全性。對(duì)于信息系統(tǒng)安全而言,其終極目標(biāo)即確保信息數(shù)據(jù)在整個(gè)系統(tǒng)中始終維持其完整性、保密性與實(shí)用性,為了實(shí)現(xiàn)該目標(biāo),必須在系統(tǒng)結(jié)構(gòu)下實(shí)現(xiàn),而非孤立地保護(hù)信息內(nèi)容。

就信息系統(tǒng)安全工程而言,指的是利用專(zhuān)業(yè)化的安全技術(shù),諸如通訊、計(jì)算機(jī)、網(wǎng)絡(luò)安全等技術(shù)形式,充分應(yīng)用和貫穿于系統(tǒng)的整個(gè)生命周期中,確保組織結(jié)合系統(tǒng)需求,構(gòu)建滿(mǎn)足系統(tǒng)所需的安全策略,賦予系統(tǒng)足夠的抵御威脅的能力。安全工程在信息系統(tǒng)中的應(yīng)用,旨在利用最優(yōu)費(fèi)效比,提供滿(mǎn)足系統(tǒng)安全所需的解決途徑。有效的安全需求定義與風(fēng)險(xiǎn)分析,成為實(shí)現(xiàn)該目標(biāo)的關(guān)鍵。信息系統(tǒng)安全工程必須提供足夠的能夠支持系統(tǒng)安全需求定義、風(fēng)險(xiǎn)評(píng)估、方案策略制定、方案實(shí)施的方法。

二、基于安全工程的信息系統(tǒng)安全管理方案

結(jié)合當(dāng)前系統(tǒng)安全防御現(xiàn)狀及存在的主要問(wèn)題,本文提出了基于安全工程的信息系統(tǒng)安全管理方案。結(jié)合安全工程思想與方法,將其運(yùn)用和貫穿在信息系統(tǒng)安全管理的全國(guó)中,明確系統(tǒng)安全管理不同階段的主要活動(dòng),針對(duì)系統(tǒng)各環(huán)節(jié)特點(diǎn),利用相應(yīng)的安全管理方法,以便更好地保障系統(tǒng)信息的安全性。本文所提出的安全管理方案,是由各種必要的安全活動(dòng)所構(gòu)成的,結(jié)合系統(tǒng)軟件分階段實(shí)施,以便給予各環(huán)節(jié)相應(yīng)的安全優(yōu)勢(shì),但是,將此類(lèi)安全活動(dòng)視為軟件全過(guò)程加以執(zhí)行,其安全收益較分散安全活動(dòng)更大。

安全工程管理的核心理念,即從系統(tǒng)安全出發(fā),對(duì)系統(tǒng)全生命周期各環(huán)節(jié)加以集成,將安全視為系統(tǒng)的有機(jī)組成部分。對(duì)系統(tǒng)工程各階段進(jìn)行安全有效性評(píng)估。系統(tǒng)全生命周期,主要包括規(guī)劃階段、開(kāi)發(fā)設(shè)計(jì)階段、實(shí)施階段、運(yùn)維階段、廢棄階段等。再加上由于運(yùn)維階段變更所產(chǎn)生的一系列反饋,共同構(gòu)成了一個(gè)完整的系統(tǒng)安全工程管理閉環(huán)結(jié)構(gòu)。對(duì)于信息系統(tǒng)而言,無(wú)論對(duì)于哪一時(shí)間節(jié)點(diǎn)上,都必須采用綜合技術(shù)與管理方法保障系統(tǒng)信息的安全性。

(一)規(guī)劃階段為了確保系統(tǒng)的安全性,在系統(tǒng)規(guī)劃階段開(kāi)始,就必須全面考慮到系統(tǒng)可能存在的安全風(fēng)險(xiǎn),規(guī)劃過(guò)程中結(jié)合系統(tǒng)安全需求,實(shí)現(xiàn)安全工程建設(shè)同系統(tǒng)建設(shè)的同步性。與此同時(shí),結(jié)合組織機(jī)構(gòu)的要求與業(yè)務(wù)需求,滿(mǎn)足法律、政策、策略、組織等安全需求,以預(yù)期運(yùn)行安全環(huán)境為依據(jù),組織系統(tǒng)環(huán)境,并對(duì)安全目標(biāo)加以標(biāo)識(shí),與此同時(shí),結(jié)合未來(lái)系統(tǒng)可能面向的客戶(hù)、業(yè)務(wù)及運(yùn)行環(huán)境,展開(kāi)安全、隱私風(fēng)險(xiǎn)評(píng)估,明確系統(tǒng)安全目標(biāo)基線(xiàn),確定最低安全基線(xiàn),并加以論證,此階段安全過(guò)程域即明確系統(tǒng)安全要求。

(二)設(shè)計(jì)階段影響系統(tǒng)設(shè)計(jì)安全的階段通常處于項(xiàng)目初期,因此,在設(shè)計(jì)過(guò)程中必須全面結(jié)合系統(tǒng)安全問(wèn)題展開(kāi)。通過(guò)安全保障方案的制定,對(duì)系統(tǒng)進(jìn)行安全功能設(shè)計(jì)與論證,將系統(tǒng)規(guī)劃中所確定的安全需求,全面運(yùn)用于設(shè)計(jì)各功能模塊之中,結(jié)合安全性原則,采用威脅模型建立、減小攻擊面等技術(shù)手段,進(jìn)行安全功能設(shè)計(jì)。系統(tǒng)安全功能設(shè)計(jì)包括身份驗(yàn)證、防火墻設(shè)計(jì)等。設(shè)計(jì)中可結(jié)合有關(guān)標(biāo)準(zhǔn)的安全要求,科學(xué)選取滿(mǎn)足系統(tǒng)要求的功能模塊,綜合考慮到安全風(fēng)險(xiǎn)與成本等問(wèn)題,明確最佳設(shè)計(jì)方案,并對(duì)與之相匹配的安全措施加以調(diào)整,如高層安全設(shè)計(jì)、詳細(xì)安全設(shè)計(jì)等。

(三)實(shí)施階段在信息系統(tǒng)實(shí)施階段,通常涉及到編碼、試運(yùn)、測(cè)試、交付、培訓(xùn)等環(huán)節(jié)。在此過(guò)程中,通過(guò)開(kāi)發(fā)設(shè)計(jì)過(guò)程中的風(fēng)險(xiǎn)控制、安全測(cè)評(píng)、管理安全等各項(xiàng)安全活動(dòng),保障信息系統(tǒng)的安全性。系統(tǒng)安全工程師負(fù)責(zé)實(shí)現(xiàn)設(shè)計(jì)內(nèi)容到實(shí)施運(yùn)行過(guò)程的轉(zhuǎn)化,并對(duì)系統(tǒng)展開(kāi)綜合分析,為認(rèn)證活動(dòng)提供必要的威脅識(shí)別、信息保障、材料維護(hù)等輸入過(guò)程。

(四)運(yùn)維階段當(dāng)系統(tǒng)交付之后意味著系統(tǒng)正式步入了運(yùn)維階段。在此過(guò)程中,應(yīng)對(duì)系統(tǒng)運(yùn)行中存在安全風(fēng)險(xiǎn)加以有效監(jiān)控,并定期對(duì)系統(tǒng)安全情況進(jìn)行評(píng)估,制定有效的改進(jìn)方案。與此同時(shí),利用漏洞掃描等一系列技術(shù),進(jìn)一步保障信息系統(tǒng)主機(jī)、網(wǎng)絡(luò)、通訊過(guò)程的安全性。結(jié)合系統(tǒng)運(yùn)行需求,對(duì)安全管理流程、應(yīng)急方案加以完善,以便對(duì)可能存在的安全問(wèn)題進(jìn)行有效應(yīng)對(duì)。在這一階段,重點(diǎn)是對(duì)系統(tǒng)安全態(tài)勢(shì)進(jìn)行監(jiān)視,結(jié)合既定目標(biāo),對(duì)系統(tǒng)內(nèi)外安全事件加以跟蹤和監(jiān)測(cè),并對(duì)系統(tǒng)安全管理進(jìn)行控制。

(五)廢棄階段在信息系統(tǒng)廢棄階段,重點(diǎn)是結(jié)合風(fēng)險(xiǎn)評(píng)估,對(duì)系統(tǒng)軟、硬件資產(chǎn)、殘留信息等廢棄資源加以有效處理,保障系統(tǒng)升級(jí)與更新過(guò)程中始終處于一個(gè)安全狀態(tài)。

三、結(jié)束語(yǔ)