当前位置:主页 > 论文范文 > 计算机论文 > 正文

论构建信息系统安全策略


作者:谢欣海
【摘要】本文讨论了我公司ERP系统项目的信息安全策略。该系统项目是在公司2010~2015年战略规划的指导下,为了适应市场日益加剧的竞争环境、提高企业的快速应变能力和效率,于2010年2月正式启动的一个企业信息化建设项目。该项目包括财会管理、工程管理、综合管理等六大主要业务功能子系统。本文首先从构建信息安全策略的核心内容和构建信息安全策略的设计原则两个方面论述构建信息系统安全策略的基本内容,接着结合该ERP系统项目,论述了该项目中涉及的几种具体的安全策略。
【关键词】信息系统;安全策略
我公司ERP系统项目是在公司2010~2015年战略规划的指导下,为了适应市场日益加剧的竞争环境、提高企业的快速应变能力和效率,于2010年2月正式启动的一个企业信息化建设项目。该项目由公司总经办发起,系统覆盖公司所有业务和所有部门,分为财会管理子系统、销售管理子系统、工程管理子系统、采购管理子系统、合同管理子系统、人力资源管理子系统和行政后勤综合管理子系统六大部分。该系统项目总投资750万元,通过公司对外公开招标的方式被国内某大型ERP厂商中标,该ERP系统需要在2011年3月1日前投入正式使用。该系统是公司最为重要的一个集生产、运营和日常管理于一体的大型信息化系统,因此公司对该系统的安全提出了较高的要求。公司领导批示,该ERP系统要做到三大安全:信息系统设备安全、应用系统管理和使用安全、数据储存和访问安全。
一、信息系统安全策略的定义及原则
我们知道,信息系统安全策略是指:为避免因使用计算机或应用信息系统可能导致的单位资产损失而采取的各种措施、手段,以及建立的各种管理制度、法规等。根据公司领导对该ERP系统提出的三大安全需求,我们进行了深入详细的规划,确定了构建信息安全策略的核心内容和设计原则。我们确定的构建信息安全策略的核心内容是七定:定方案、定岗、定位、定员、定目标、定制度和定工作流程。我们确定的构建信息安全策略的设计原则包括8个总原则和10个特殊原则:
(一)8个总原则分别是:(1)主要领导人负责原则。(2)规范定级原则。(3)依法行政原则。(4)以人为本原则。(5)注重效费比原则。(6)全面防范、突出重点原则。(7)系统、动态原则。(8)特殊的安全管理原则。
(二)10个特殊原则分别是:(1)分权制衡原则。(2)最小特权原则。(3)标准化原则。(4)用成熟的先进技术原则。(5)失效保护原则。(6)普遍参与原则。(7)职责分离原则。(8)审计独立原则。(9)控制社会影响原则。(10)保护资源和效率原则。
二、面对信息系统的安全威胁制定相关安全策略
经验告诉我,对信息系统的安全威胁可以归结为三大类:一是对信息系统设备的威胁,二是对业务处理过程的威胁,三是对数据的威胁。考虑到这三面的威胁和公司领导对ERP系统提出的信息系统设备安全、应用系统管理和使用安全、数据储存和访问安全三方面的要求,我们设计了八种具体的安全策略:
1、机房设备安全管理策略;
2、主机和操作系统安全管理策略;
3、网络和数据库管理策略;
4、应用和输入输出管理策略;
5、应用开发管理策略;
6、应急事故管理策略;
7、密码和安全设备管理策略;
8、信息审计管理策略;
在机房设备安全管理策略方面,我们制定了机房(包括网络维护中心办公场地)及基站内禁止吸烟,严禁存放和使用易燃易爆、剧毒及腐蚀性物品。维护人员应切实遵守安全制度,认真执行用电、防火的规定,做好防水、防火、防爆、防盗、防雷、防冻、防潮等工作,确保人身和设备的安全。等10条机房管理规范;在主机和操作系统安全管理策略方面,我们制定了没有公司CTO批准,任何人不得擅自关闭或重启操作系统。等5条规范;在网络和数据库管理策略方面,我们制定了禁止一切外公司人员自带电脑接入公司内部网络。等6条规范;在应用和输入输出管理策略方面,我们要求ERP厂商在系统设计和构建时使用动态口令、数据传输加密、数据存储加密等相关技术;在应用开发管理策略方面,我们采取了如要求参与本ERP系统开发和实施的所有人员都必须签订保密协议等措施;在应急事故管理策略方面,我们根据经常出现的一些问题开发了对应的应急预案;在密码和安全设备管理策略方面,我们制定了两人各掌握数据库管理员密码的一部分,互不透露。等5条规范;在信息审计管理策略方面,我们制定了任何人不得以任何理由威胁或左右审计人员执行信息审计工作。等5条规范。
三、总结
公司ERP系统于2011年3月1日成功上线,由于信息系统安全体系设计和执行到位,运行至今,还没有发现过信息安全事故。在本项目构建安全策略的过程中,我总结了四条有用的经验:
(1)有规矩能成方圆,一定要制定科学合理的信息安全管理制度。
(2)信息安全是一个系统工程,需要从多方面入手来系统防范。
(3)要有专人负责信息安全体系的落实和执行。
(4)要定期对使用人员进行信息系统安全的教育和培训,持续保持大家的安全意识。
【参考文献】
[1]王勇,张斌.项目管理知识体系指南(PMBOK指南)第四版,北京:电子工业出版社,2012:152-160.
[2]薛华成.管理信息系统[M],北京:清华大学出版社,2003.