软考高项论文解析——《企业信息系统建设安全策略》

　　软考（计算机技术与软件专业技术资格（水平）考试）是纳入全国专业技术人员职业资格证书制度统一规划，实行大纲、试题、标准、证书均统一的考试办法。其目的是科学、公正地对全国计算机与软件专业技术人员进行职业资格、专业技术资格认定和专业技术水平测试。关于软考高项论文解析——《企业信息系统建设安全策略》，慧翔天地小编和大家分享一下。

       软考中高项备考学习交流QQ群：221801769（点击一键加群）

　　软考高项论文解析——《企业信息系统建设安全策略》

　　（本题为论文题，论文题共2道，请任选其一作答，若2道题都作答，按照题号小的1道计分）

　　企业信息系统建设安全策略我国在十四五期间的一项重要规划是以信息安全，企业信息化进程不断加速，大量的信息系统项目投入建设和使用，但近些年来信息系统的安全问题也经常发生，例如银行系统失效、信息系统遭遇黑客攻击、企业商业秘密数据泄露等等，为国家和企业造成了巨大的损失。

　　请围绕企业信息系统建设安全策略论题，分别从以下几个方面进行论述：

　　1、简要叙述你参与建设过的信息系统项目（如项目背景、发起单位、项目目标、项目内容、组织结构、项目周期、交付产品、项目特色等等）。

　　2、结合信息系统安全的管理要求或技术要求，论述你所参与项目建设中的信息安全策略。可围绕但不局限于以下要点：

　　（1）该项目对信息安全的需求

　　（2）制定信息系统安全策略应考虑哪些方面，各包含什么内容

　　（3）在项目建设的过程中如何实现这些安全策略、应用的相关技术，效果如何，可结合项目展开其中一个或几个方面详细介绍。

　　3、针对企业信息系统建设的安全策略，如何在后续的运行维护中加强安全管理（或总结你对信息系统安全管理的心得体会）。

　　写作要点：

　　1、整篇论文陈述完整，论文结构合理、语言流畅，字迹清楚，得5分。

　　2、所述项目切题真实，介绍清楚，得10分。（项目要真实，描述清楚，所描述的项目情况应能支持后文中论述的安全策略的提出和实现，如果与后文无任何关联，只给5分）

　　论文中提及的真实项目可分为两类：一类是站在项目建设方（甲方）角度描述的信息系统项目，另一类是站在项目承建方（系统集成商）角度描述的信息系统项目。如果是第一类的项目，那么整篇文章的安全策略应该从甲方对安全的需求和对项目的信息安全管理的策略、方法等方面来论述，如果是第二类的项目，要从该项目对安全的需求和为实现这些安全需求而制定的安全策略以及使用什么技术手段实现安全策略的角度进行论述。

　　3、结合项目情况，进行安全策略的论述：不要求完全按以下要点全面论述，可根据论述内容是否正确，涉及其项目部分是否真实、得当，酌情给分。此部分共45分

　　（1）信息系统安全是指信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征，一般包括保障计算机及其相关的配套的设备、设施（含网络）的安全、运行环境的安全、保障信息的安全以保障信息系统功能的正常发挥，以维护信息系统的安全运行。

　　为保证信息系统安全运行的实现，在信息系统项目建设过程中应考虑到系统安全的相关需求，并通过技术手段或管理措施得以实现。

　　如果考生写出关于信息安全的一些概念和理解，可酌情加15分

　　（2）项目对安全的需求10分

　　结合项目的背景，考查考生描述的安全需求是否合理，需求考虑是否全面，这些需求在后文中是否通过安全策略的实施得到了解决

　　（3）制定安全策略的角度25分

　　根据国家标准GB/T 20271 2006《信息安全技术信息系统安全通用技术要求》，可将信息系统安全技术体系划分为：物理安全、运行安全和数据安全。

　　物理安全要考虑：环境安全：机房场地选择、安全防护、防火防水、防静电、供配电、电磁防护等等设备：防盗防毁、设备可用记录介质安全

　　运行安全要考虑：风险分析、安全性检测分析、系统安全监控、安全审计、信息系统边界安全防护、备份与故障恢复、恶意代码防护、应急处理、可信计算与可信连接技术。

　　数据安全要考虑：身份鉴别:用户鉴别与标识、用户主体绑定、隐密、设备标识与鉴别抗抵赖：抗原发抵赖、抗接收抵赖自主访问控制

　　考生可能也会按：硬件系统安全（可包含在物理安全中）、网络安全（可包含在物理安全中）、应用软件系统安全和容灾备份等，可给分。

　　以上内容考生只要划分了安全策略的几大角度，如物理安全（或者环境安全、设备安全、网络安全）、运行安全（或提到应用系统的安全或防病毒、灾难备份、灾难恢复等）、数据安全（身份认证、防篡改、数字签名、访问控制等等）即可得15分，每一类别再展开介绍其中包含的内容，可得10分。如果考虑的安全策略较全面，有系统性，可酌情加分。

　　根据国家标准GB/T 20282 2006《信息安全技术信息系统安全工程管理要求》

　　信息系统安全工程的全部流程可被划分为5个阶段，即:起始、设计、建设、运行和维护、废弃。安全保护的各级安全工程要求体现在安全过程的部分或全部阶段中。需求方可以选择某些关键节点对安全工程要求实现与否进行审核，这些审核的结果一般会对整个安全工程的品质产生较为重要的影响。审核通常可以安排在设计阶段末，以及建设阶段的验收期。

　　结合安全工程管理分等级要求（用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级），根据项目各阶段信息安全工程要求，描述在论文中提及的实际项目如何实施信息安全工程的相关要求。

　　如果考生按信息系统工程的流程，将整个项目过程分为5个阶段，分别描述每个阶段的安全策略需要考虑的内容，并结合了安全的相关技术，也可得分。

　　（4）按照上一部分提到的安全策略的各方面，考生应展开其中一、两方面，结合论文中提到的项目，详细描述如何实现的。如实现信息系统项目物理安全策略，在建设中心机房时如何进行安全防护，设计及施工时注意了哪些如实现运行安全策略时，信息系统项目中如何考虑防病毒、防入侵、系统安全怎么考虑，如何进行安全审计等等。这一部分应该介绍具体的做法。10分

　　4、根据GB/T 20269 2006《信息安全技术信息系统安全管理要求》：

　　信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理，包括机构和人员的管理、风险管理、环境和资源管理、运行和维护管理、业务连续性管理、监督和检查管理、生存周期管理等等。10分

　　安全管理制度：最基本的应包括网络安全管理规定、系统安全管理规定、数据安全管理规定、防病毒规定、机房安全管理规定以及相关的操作规程

　　还可能包括：设备使用管理规定、人员安全管理规定、安全审计管理、用户管理、风险管理、信息分类分级管理、安全事件报告、应急管理、灾难恢复等等。

　　可结合等级保护分类，每一级等级对与安全的要求更高。

　　具体做法：

　　1、机构和人员的管理

　　在组织中建立安全管理机构，规定该机构的职能，设立信息安全领导小组，配备安全管理人员，对关键岗位的人员进行管理，权限分散。对人员录用、离岗、考核、审查及第三方人员进行管理。进行安全教育和培训，可聘请信息安全专家。

　　2、风险管理

　　根据安全等级的要求，选择风险管理策略，对风险进行分析和评估，选择和实施风险控制措施，对风险评估机构进行管理。

　　3、环境和资源管理：

　　对企业的环境应该有一定要求，如划分安全区域对机房安全的相关要求，如进出机房如何规定，物品不允许随意带出等门禁、视频监控、防止电磁泄露对办公环境的安全要求，如不在办公区域接待访客编制与信息系统相关的资产清单，至少包括，应用数据、应用软件、电脑设备、存储介质等对资产进行分类和管理。

　　4、运行和维护管理

　　对信息系统的用户进行分类管理，对信息系统的运行操作进行规定（服务器、终端、便携机、网络及安全设备、软件操作的管理），对信息系统的运行维护管理（日常维护、病毒防护、软件许可、对软件的审计、运行状况监控包括日志管理、监视服务器安全性能、监视网络安全性能、对关键区域的监视、对核心数据的监视、软硬件维护管理包括维护的责任、维修管理、外部服务方访问管理、外包服务管理包括合同订立与管理、服务商选择，服务商管理、安全机制保障如身份鉴别机制的要求和管理、访问控制机制管理要求、系统安全要求管理、网络安全要求管理、应用系统安全要求、病毒防护管理要求、密码管理要求安全集中管理）

　　5、业务连续性管理

　　备份与恢复（数据备份与恢复、设备和系统冗余备份、）安全事件处理（事件划分、报告和响应）应急处理（应急处理和灾难恢复、应急计划、实施保障）

　　6、监督和检查管理

　　符合法律要求（适用的法律、知识产权管理、保护证据记录）依从性检查（检查和改进、安全策略依从性检查、技术依从性检查）审计及监管控制（审计控制、监管控制）责任认定

　　7、生存周期管理

　　规划和立项建设过程管理系统启用和终止管理