5.4.1 工程概述
略。
信息安全系统工程就是要建造一个信息安全系统,它是整个信息系统工程的一部分,而且最好是与业务应用信息系统工程同步进行,主要围绕“信息安全”内容,如信息安全风险评估、信息安全策略制定、信息安全需求确定、信息安全系统总体设计、信息安全系统详细设计、信息安全系统设备选型、信息安全系统工程招投标、密钥密码机制确定、资源界定和授权、信息安全系统施工中需要注意防泄密问题和施工中后期的信息安全系统测试、运营、维护的安全管理等问题。这些问题与用户的业务应用信息系统建设所主要关注的完全不同。业务应用信息系统工程所主要关注的是客户的需求、业务流程、价值链等组织的业务优化和改造的问题。信息安全系统建设所关注的问题恰恰是业务应用信息系统正常运营所不能缺少的。
为了进一步论述信息安全系统工程,我们需要区分几个术语,并了解它们之间的关系,包括:信息系统、业务应用信息系统、信息安全系统、信息系统工程、业务应用信息系统工程和信息安全系统工程等,它们之间的关系如图5-11所示。
图5-11 术语之间的关系
信息安全系统服务于业务应用信息系统并与之密不可分,但又不能混为一谈。信息安全系统不能脱离业务应用信息系统而存在,比如人们说建立困税信息系统、公安信息系统、社保信息系统等,一定包含业务应用信息系统和信息安全系统两个部分,但二者的功能、操作流程、管理方式、人员要求、技术领域等都完全不同。随着信息化的深入,两者的界限就越来越明显。
业务应用信息系统是支撑业务运营的计算机应用信息系统,如银行柜台业务信息系统、国税征收信息系统等。信息系统工程即建造信息系统的工程,包括两个独立且不可分割的部分,即信息安全系统工程和业务应用信息系统工程。业务应用信息系统工程就是为了达到建设好业务应用信息系统所组织实施的工程,一般称为信息系统集成项目工程。它是信息系统工程的一部分。
信息安全系统工程是指为了达到建设好信息安全系统的特殊需要而组织实施的工程。它是信息系统工程的一部分。信息安全系统工程作为信息系统工程的一个子集,其安全体系和策略必须遵从系统工程的一般性原则和规律。信息安全系统工程原理适用于系统和应用的开发、集成、运行、管理、维护和演变,以及产品的开发、交付和演变。这样,信息安全系统工程就能够在一个系统、一个产品或一个服务中得到体现。
这里讲述的是信息安全系统工程,而不是信息系统安全工程。从字面上理解,信息系统安全工程可能会误解为安全地建设一个信息系统,而忽略信息系统中的信息安全问题。因为信息系统可以安全地建设成一个没有信息安全子系统的信息系统,目前部分组织仍然存在这样的新建的信息系统——没有考虑信息安全的问题,或没有充分地考虑信息安全的问题,从而留下相当大的隐患。信息安全系统工程就明白无误地确定了,这个工程就是建设一个信息安全系统。