某 某 石 油 管 理 局 企 业 标 准网络信息系统安全建设、规划指南1 适用范围本规定适用于某某油田管理局信息安全管理中心和下属各单位中心机房。2 规范解释权规范解释权归某某油田管理局信息中心所有。3 网络信息系统安全建设、规划的概述:网络信息系统安全建设和规划所要解决的主要问题是,如何在现有法规政策的允许下,综合考虑当前网络信息系统的安全要求,长远规划,以及公司或者单位的物力、财力等因素,设计和实施网络信息安全工程。以及在系统工程过程中设计和实施网络信息系统安全模块。4 网络信息安全工程过程描述网络信息系统安全工程主要实施于以下情况:描述信息保护需求;根据系统工程的前期需要产生信息保护的具体需要;在一个可以接受的信息保护风险下满足信息保护需求;根据需求,构建一个信息保护需要的逻辑结构;根据物理结构和逻辑结构分派信息保护的具体功能;设计系统用于实现信息保护的结构;从整个系统的耗费、规划和执行效率综合考虑,在信息保护风险与其它问题之间进行权衡;参与涉及其它信息保护和系统学科的综合研究;将网络信息安全工程与其它系统工程相结合;以验证信息保护设计方案并确认信息保护的需求为目的,对系统进行测试;根据用户需要对整个过程进行扩充和裁减,以此支持用户使用。 为确保信息保护被纳入整个系统,必须在系统工程最开始进行设计时便考虑网络信息系统的安全。 另外, 要针对具体的情况,综合考虑信息保护的目标、需求、功用、结构、设计、测试和实际应用中所出现的系统工程设计情况。5 发掘信息保护需求实施网络信息系统安全工程首先调查对用户需求、相关政策、规则、标准以及系统工程所定义的用户环境中的信息所面临的威胁。然后识别信息系统中的具体用户和信息,以及他们在信息系统中的相互关系、规则及其在信息保护生命周期各阶段所承担的责任。信息保护允许用户有自己的观点,不能局限于特定的设计或者应用。在信息保护政策中,应该使用通用语言来描述如何在一个综合的信息环境中获得所需要的信息安全保护。当系统发现需要这种信息安全保护时,信息保护将成为一个必须同时考虑的系统模块。下图解释了系统任务、威胁和政策如何影响信息保护需求以及如何进行分析。任务信息威胁信息政策信息保护策略系统需求信息保护需求图( 3.1)系统任务、信息安全威胁和政策对确定信息保护需求的影响5.1 任务的信息保护需求信息和信息系统在一个大型任务或特定组织中的作用应当受...
