本文是一篇項目風險管理論文,本文以 X 公司網絡和資訊系統的安全性爲背景,以“X公司網絡與資訊系統安全風險管理與實施評估研究”作爲主題,全方位考慮網絡和資訊系統的安全性、可靠性和實用性,對其可能存在的風險點進行綜合分析與評估,並根據評估意見提出合理的解決方案,建立完善的資訊安全保障體系,爲網絡和資訊系統安全管理提供可靠的理論依據。
第一章 緒論
1.1 研究背景和意義
1.1.1 問題的提出
隨着我國深入開展資訊化建設工作,資訊化與工業化融合的需求逐步增強,資訊系統對工業的支撐作用逐步顯現,資訊系統的安全穩定執行直接關係到企業秩序與國計民生。X 公司的業務作爲工業領域的典型代表,其資訊化需求程度正隨着行業發展逐步提高,業務邏輯等對於資訊系統的依賴程度進一步增加,資訊安全的盲點逐漸顯現。這些資訊系統不同程度的存在着網絡層面、業務層面、應用層面的安全隱患問題,而這些安全隱患相對分散,對單個隱患處理整改後不能整體、有效的提升公司資訊安全水平,缺乏統一的實施方案進行指導。
基於 X 公司網絡和資訊系統的安全狀況,本項目透過技術測試手段與管理手段相結合的方式,對公司重要的資訊系統開展資訊安全風險評估工作,透過規範化安全防護策略,提升重要在運對外服務業務系統資訊安全防護能力,能夠有效抵禦公司外部有組織性的威脅源發起的惡意攻擊,保證資訊安全、避免資訊損失是當前面臨的首要任務。本文以 X 公司網絡和資訊系統的安全性爲背景,以“X公司網絡與資訊系統安全風險管理與實施評估研究”作爲主題,全方位考慮網絡和資訊系統的安全性、可靠性和實用性,對其可能存在的風險點進行綜合分析與評估,並根據評估意見提出合理的解決方案,建立完善的資訊安全保障體系,爲網絡和資訊系統安全管理提供可靠的理論依據。
1.1.2 研究意義
近年來,隨着社會經濟的快速發展和市場化進程的進一步加快,原有 X 公司體制逐步向市場化轉變,並加強資訊化工作投入力度,利用資訊化支撐公司發展,以提高勞動生產率和管理水平,從而提高企業在行業內的綜合競爭力。但是,隨着資訊系統的互聯範圍進一步擴大,資訊網絡面臨日益突出的資訊系統安全風險。在企業的綜合資訊管理系統中,必須從資訊網絡、操作系統等各方面來保證系統的安全。研究資訊系統所面臨的安全性問題,並根據安全威脅建立系統的安全防護方案,制訂在資訊網絡遭受惡意攻擊情況下的防範措施及數據恢復措施等資訊安全應急預案是當前資訊化工作的重要內容。本文以 X 公司網絡和資訊系統的安全性爲背景,對網絡和資訊系統中存在的安全隱患和威脅進行分析評估,利用研究結果指導資訊系統安全保防護系的建立,爲該公司網絡和資訊系統安全管理提供可靠的理論依據。
1.2本文主要方法和內容
1.2.2 研究方法
本文主要採取了調查法、文獻研究法、描述性研究法和經驗總結法對課題進行研究。透過分析和研究,探索課題研究的目的和意義,提出研究思路和方法,達到研究的目的。在梳理國內外相關研究文獻和資料的基礎上,分析了 X 公司網絡和資訊系統安全風險管理的現狀和需求,採用了先進的技術手段和管理方法對風險進行了評估,建立了完善的安全保障體系。
在項目的實施過程中,主要使用的方法工具有包括工作分解結構(WBS)和甘特圖。
1.工作分解結構
工作分解結構(Work Breakdown Structure,WBS)是指把一個項目按照一定的原則分解成一個個的任務,再將這些任務進行分解,分解成一項一項的工作,最後把這些工作分配給每個人。工作分解結構的功能是對項目的工作範圍進行定義,並把項目的關鍵要素進行分組。本文第五章中,根據項目的工作需求,應用WBS 將項目進行了分解,變成可更加易於管理的部分,使得付成果更加詳細。
2.甘特圖
甘特圖(Gantt chart)常用於進度管理。它能夠很直觀的表明在整個項目實施的過程中,計劃任務在什麼時間進行,實際進度與計劃進度之間的對比。它基本就是一條線形圖,縱軸是活動,橫軸是時間。每項活動的計劃或實際完成用線條表示。它的優點是圖形化介面,易於使用和理解;缺點是不使用於關係複雜的項目。本文第五章中,運用了甘特圖對項目的時間進行管理,定義了保障項目按時完成所需的各個時間點,確保了項目的順利完成。
第二章 相關理論綜述
2.1 風險評估概述
2.1.1 風險評估原則
風險評估可以更好的.評價網絡和資訊系統的安全性和可靠性,爲進一步提升資訊安全性能和安全壞境提供了很好的參考依據,從而使資訊系統能夠更好的服務於企業、服務於用戶。風險評估的原則主要包括:最小影響原則、標準性原則、可控性原則、整體性原則、保密原則和互動性原則。具體如下:
1.最小影響原則:從評估所採用的工具技術和管理方法等層面,充分做好風險評估工作計劃,在儘可能小的影響目前資訊系統的正常執行運轉的前提下,最好的完成風險評估工作。
2.標準性原則:在項目方案的設計、應用過程中,不僅要保證項目的高效、便捷開展,還要考慮其是否符合國家的相關規範要求,如等級保護基本技術要求、相關主管機關要求。
3.可控性原則:對風險評估的實施過程採取全過程監控,其中包括人員可控性、工具可控性和項目過程可控性。
(1)人員可控性
參與網絡和資訊系統風險評估的工作人員均要進行資格審查,並在工作說明中明確規定評估人員的工作職責。同時,在工作過程中,如果需要進行人員的調整,要嚴格履行審批手續,確保人員的可控。
(2)工具可控性
風險評估的工具都要經過多方面額的性能對比,並取得專家和有關部門的認可。同時,在評估工作中需要應用到的工具技術都要事先向評估對象進行介紹,並進行實驗後纔可以使用。
(3)項目過程可控性
項目的風險評估都要依據管理學的方法,注重項目的溝通管理,實現項目全過程的可控。
4.整體性原則:按照評估對象的要求進行劃分,並開展全面的風險評估工作,評估內容涉及到網絡和資訊系統安全的各個層面。
5.保密原則:必須與委託單位及個人簽訂工作保密協議,協議明確規定過程各類數據等均要進行嚴格的保密,未經雙方許可不得以任何方式泄露給其他人,否則委託單位將有權追究法律責任。
6.互動性原則:在進行網絡和資訊系統安全性風險評估時,將重點強調受評估方與評估方之間的互動,項目領導小組以及實施小組成員必須由雙方共同組成,從而保證項目執行的效果,有效提高受評估方的安全技能等。
2.2 資訊資產識別
2.2.1 資訊資產要素定義
安全風險評估的對象主要是針對風險評估範圍內的所有資訊資產。資訊是機構保障業務發展的資產,與其他的有形資產(如:服務器、網絡設備等)一樣,它對各業務系統而言具有非常重要的價值,這些資產十分容易受到資訊安全威脅的侵害,造成不必要的後果。
在對 X 公司的風險評估中,風險的所有重要因素都以業務資訊資產爲中心,包括威脅、脆弱性、風險都是客觀存在的。與以往將每個網絡設備、服務器、人員甚至業務資訊資產分別獨立的識別、賦值並劃分重要程度等級不同,爲達到分析業務影響性和整體安全風險的目的,就不能孤立對單個設備進行估價,更重要的是要考慮所有資產所構成的整體對於業務的重要影響,即損失某一或整個資產可能引發的威脅。
2.2.2 主要工作和意義
1.調查和統計 X 公司業務資訊數據類型和分類;
2.調查 X 公司的業務系統和網絡的拓撲結構,梳理業務資訊數據交互時所生成的本地計算環境和網絡結構;
3.明確網絡設備和本地計算環境的現有狀況、配置情況和管理情況。例如,主機系統需要明確其開發平臺、系統版本、補丁升級等基本情況外,還需明確主機所開放的端口和服務等配置資訊;
4.對業務資產資訊進行交換時所涉及的硬件資產進行識別和估價,包括對資產的分類、編號,根據其在業務資訊交互過程中所起的重要作用確定資產的價值。
正確管理企業資訊資產,對於一個機構來說是非常必要的。因此,爲了更好的開展風險評估工作,就必須對業務系統所涉及範圍內的相關資產進行安全識別,從而根據資產在業務和應用流程中的重要性進行估價。
本項目具體實施的方法以業務資訊資產爲主線,評價爲了保證業務資訊正常流轉而必須的網絡設備、服務器、安全設備等資產的重要性
第三章 X 公司網絡和資訊系統安全風險現狀分析 .................. 13
3.1 公司網絡和資訊系統安全控制機制 ............................ 13
3.1.1 明確資訊安全管控機制 ................................ 13
3.1.2 建立資訊安全督查機制................................ 15
第四章 X 公司網絡和資訊系統安全風險評估實施流程 .............. 20
4.1 需求分析和準備工作 ........................................ 20
4.1.1 用戶需求界定範圍 .................................... 20
4.1.2 系統架構需求分析 .................................... 20
第五章 X 公司網絡和資訊系統安全風險評估過程管理 .............. 28
5.1 項目整體管理過程 .......................................... 28
5.2 項目組織.................................................. 30
第六章 X 公司網絡和資訊系統安
全風險的評估控制
6.1 安全風險的評估管理分析
6.1.1 評估工作質量管控
此外,在組織開展資訊安全風險評估工作中,風險評估實施過程接受用戶的質量監督,以確保實施過程嚴格按照工作方案進行風險評估的。安全評估工作成果接受由領導小組組織的相關人員所進行的質量審查。
6.1.2 評估工作安全風險管控
被評估資訊系統可能存在一定的風險,但是安全風險評估工作本身也具有一定的客觀風險,如果評估過程風險防範不夠,將給系統正常執行帶來一定的影響。如果遇到無法解決問題,應由項目雙方工作人員共同協商進行解決。
第七章 結論和展望
7.1 研究結論
X 公司所開展的針對網絡和資訊系統的風險評估,是在工業化與資訊化融合背景下組織實施資訊化建設的重要組成部分,評估成果將直接制約着企業生產進程的穩鍵發展,以及 IT 業務核心的機密性、完整性和可用性。目前,該公司資訊安全隱患相對分散,對單個隱患處理整改後不能整體、有效的提升公司資訊安全水平,缺乏統一的實施方案進行指導。爲了解決上述問題,同時適應管理體系的整體構建,助力堅強企業建設,需要在資訊內網、資訊外網進行安全評估和資產清查,全面掌握當前資訊安全狀況,並後期資訊安全體系架構制定發展規劃,指導資訊安全工作發展方向。
透過本項目的研究,能夠全面掌握資訊系統安全現狀,掌握該公司購置的所有安全設備的執行狀況及利用效果,針對資訊系統安全配置不足及未充分利用的安全設備提出改進措施,並參照當前實際情況及國家資訊規劃要求制定資訊安全工作發展方向,明確資訊安全各階段工作目標及內容,梳理資訊安全工作各項流程,將資訊安全風險管控工作標準化、合理化。
參考文獻(略)