軟考（計算機技術(shù)與軟件專業(yè)技術(shù)資格（水平）考試）是納入全國專業(yè)技術(shù)人員職業(yè)資格證書制度統(tǒng)一規(guī)劃，實行大綱、試題、標(biāo)準(zhǔn)、證書均統(tǒng)一的考試辦法。其目的是科學(xué)、公正地對全國計算機與軟件專業(yè)技術(shù)人員進行職業(yè)資格、專業(yè)技術(shù)資格認定和專業(yè)技術(shù)水平測試。關(guān)于軟考高項論文解析——《企業(yè)信息系統(tǒng)建設(shè)安全策略》，慧翔天地小編和大家分享一下。

       軟考中高項備考學(xué)習(xí)交流QQ群：221801769（點擊一鍵加群）

　　軟考高項論文解析——《企業(yè)信息系統(tǒng)建設(shè)安全策略》

　　（本題為論文題，論文題共2道，請任選其一作答，若2道題都作答，按照題號小的1道計分）

　　企業(yè)信息系統(tǒng)建設(shè)安全策略我國在十四五期間的一項重要規(guī)劃是以信息安全，企業(yè)信息化進程不斷加速，大量的信息系統(tǒng)項目投入建設(shè)和使用，但近些年來信息系統(tǒng)的安全問題也經(jīng)常發(fā)生，例如銀行系統(tǒng)失效、信息系統(tǒng)遭遇黑客攻擊、企業(yè)商業(yè)秘密數(shù)據(jù)泄露等等，為國家和企業(yè)造成了巨大的損失。

　　請圍繞企業(yè)信息系統(tǒng)建設(shè)安全策略論題，分別從以下幾個方面進行論述：

　　1、簡要敘述你參與建設(shè)過的信息系統(tǒng)項目（如項目背景、發(fā)起單位、項目目標(biāo)、項目內(nèi)容、組織結(jié)構(gòu)、項目周期、交付產(chǎn)品、項目特色等等）。

　　2、結(jié)合信息系統(tǒng)安全的管理要求或技術(shù)要求，論述你所參與項目建設(shè)中的信息安全策略?？蓢@但不局限于以下要點：

　　（1）該項目對信息安全的需求

　　（2）制定信息系統(tǒng)安全策略應(yīng)考慮哪些方面，各包含什么內(nèi)容

　?。?）在項目建設(shè)的過程中如何實現(xiàn)這些安全策略、應(yīng)用的相關(guān)技術(shù)，效果如何，可結(jié)合項目展開其中一個或幾個方面詳細介紹。

　　3、針對企業(yè)信息系統(tǒng)建設(shè)的安全策略，如何在后續(xù)的運行維護中加強安全管理（或總結(jié)你對信息系統(tǒng)安全管理的心得體會）。

　　寫作要點：

　　1、整篇論文陳述完整，論文結(jié)構(gòu)合理、語言流暢，字跡清楚，得5分。

　　2、所述項目切題真實，介紹清楚，得10分。（項目要真實，描述清楚，所描述的項目情況應(yīng)能支持后文中論述的安全策略的提出和實現(xiàn)，如果與后文無任何關(guān)聯(lián)，只給5分）

　　論文中提及的真實項目可分為兩類：一類是站在項目建設(shè)方（甲方）角度描述的信息系統(tǒng)項目，另一類是站在項目承建方（系統(tǒng)集成商）角度描述的信息系統(tǒng)項目。如果是前列類的項目，那么整篇文章的安全策略應(yīng)該從甲方對安全的需求和對項目的信息安全管理的策略、方法等方面來論述，如果是第二類的項目，要從該項目對安全的需求和為實現(xiàn)這些安全需求而制定的安全策略以及使用什么技術(shù)手段實現(xiàn)安全策略的角度進行論述。

　　3、結(jié)合項目情況，進行安全策略的論述：不要求完全按以下要點全面論述，可根據(jù)論述內(nèi)容是否正確，涉及其項目部分是否真實、得當(dāng)，酌情給分。此部分共45分

　　（1）信息系統(tǒng)安全是指信息系統(tǒng)及其所存儲、傳輸和處理的信息的保密性、完整性和可用性的表征，一般包括保障計算機及其相關(guān)的配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全、運行環(huán)境的安全、保障信息的安全以保障信息系統(tǒng)功能的正常發(fā)揮，以維護信息系統(tǒng)的安全運行。

　　為確保信息系統(tǒng)安全運行的實現(xiàn)，在信息系統(tǒng)項目建設(shè)過程中應(yīng)考慮到系統(tǒng)安全的相關(guān)需求，并通過技術(shù)手段或管理措施得以實現(xiàn)。

　　如果考生寫出關(guān)于信息安全的一些概念和理解，可酌情加15分

　?。?）項目對安全的需求10分

　　結(jié)合項目的背景，考查考生描述的安全需求是否合理，需求考慮是否全面，這些需求在后文中是否通過安全策略的實施得到了解決

　?。?）制定安全策略的角度25分

　　根據(jù)國家標(biāo)準(zhǔn)GB/T 20271 2006《信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求》，可將信息系統(tǒng)安全技術(shù)體系劃分為：物理安全、運行安全和數(shù)據(jù)安全。

　　物理安全要考慮：環(huán)境安全：機房場地選擇、安全防護、防火防水、防靜電、供配電、電磁防護等等設(shè)備：防盜防毀、設(shè)備可用記錄介質(zhì)安全

　　運行安全要考慮：風(fēng)險分析、安全性檢測分析、系統(tǒng)安全監(jiān)控、安全審計、信息系統(tǒng)邊界安全防護、備份與故障恢復(fù)、惡意代碼防護、應(yīng)急處理、可信計算與可信連接技術(shù)。

　　數(shù)據(jù)安全要考慮：身份鑒別:用戶鑒別與標(biāo)識、用戶主體綁定、隱密、設(shè)備標(biāo)識與鑒別抗抵賴：抗原發(fā)抵賴、抗接收抵賴自主訪問控制

　　考生可能也會按：硬件系統(tǒng)安全（可包含在物理安全中）、網(wǎng)絡(luò)安全（可包含在物理安全中）、應(yīng)用軟件系統(tǒng)安全和容災(zāi)備份等，可給分。

　　以上內(nèi)容考生只要劃分了安全策略的幾大角度，如物理安全（或者環(huán)境安全、設(shè)備安全、網(wǎng)絡(luò)安全）、運行安全（或提到應(yīng)用系統(tǒng)的安全或防病毒、災(zāi)難備份、災(zāi)難恢復(fù)等）、數(shù)據(jù)安全（身份認證、防篡改、數(shù)字簽名、訪問控制等等）即可得15分，每一類別再展開介紹其中包含的內(nèi)容，可得10分。如果考慮的安全策略較全面，有系統(tǒng)性，可酌情加分。

　　根據(jù)國家標(biāo)準(zhǔn)GB/T 20282 2006《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》

　　信息系統(tǒng)安全工程的全部流程可被劃分為5個階段，即:起始、設(shè)計、建設(shè)、運行和維護、廢棄。安全保護的各級安全工程要求體現(xiàn)在安全過程的部分或全部階段中。需求方可以選擇某些關(guān)鍵節(jié)點對安全工程要求實現(xiàn)與否進行審核，這些審核的結(jié)果一般會對整個安全工程的品質(zhì)產(chǎn)生較為重要的影響。審核通?？梢园才旁谠O(shè)計階段末，以及建設(shè)階段的驗收期。

　　結(jié)合安全工程管理分等級要求（用戶自主保護級、系統(tǒng)審計保護級、安全標(biāo)記保護級、結(jié)構(gòu)化保護級、訪問驗證保護級），根據(jù)項目各階段信息安全工程要求，描述在論文中提及的實際項目如何實施信息安全工程的相關(guān)要求。

　　如果考生按信息系統(tǒng)工程的流程，將整個項目過程分為5個階段，分別描述每個階段的安全策略需要考慮的內(nèi)容，并結(jié)合了安全的相關(guān)技術(shù)，也可得分。

　　（4）按照上一部分提到的安全策略的各方面，考生應(yīng)展開其中一、兩方面，結(jié)合論文中提到的項目，詳細描述如何實現(xiàn)的。如實現(xiàn)信息系統(tǒng)項目物理安全策略，在建設(shè)中心機房時如何進行安全防護，設(shè)計及施工時注意了哪些如實現(xiàn)運行安全策略時，信息系統(tǒng)項目中如何考慮防病毒、防入侵、系統(tǒng)安全怎么考慮，如何進行安全審計等等。這一部分應(yīng)該介紹具體的做法。10分

　　4、根據(jù)GB/T 20269 2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》：

　　信息系統(tǒng)安全管理是對一個組織機構(gòu)中信息系統(tǒng)的生存周期全過程實施符合安全等級責(zé)任要求的管理，包括機構(gòu)和人員的管理、風(fēng)險管理、環(huán)境和資源管理、運行和維護管理、業(yè)務(wù)連續(xù)性管理、監(jiān)督和檢查管理、生存周期管理等等。10分

　　安全管理制度：最基本的應(yīng)包括網(wǎng)絡(luò)安全管理規(guī)定、系統(tǒng)安全管理規(guī)定、數(shù)據(jù)安全管理規(guī)定、防病毒規(guī)定、機房安全管理規(guī)定以及相關(guān)的操作規(guī)程

　　還可能包括：設(shè)備使用管理規(guī)定、人員安全管理規(guī)定、安全審計管理、用戶管理、風(fēng)險管理、信息分類分級管理、安全事件報告、應(yīng)急管理、災(zāi)難恢復(fù)等等。

　　可結(jié)合等級保護分類，每一級等級對與安全的要求更高。

　　具體做法：

　　1、機構(gòu)和人員的管理

　　在組織中建立安全管理機構(gòu)，規(guī)定該機構(gòu)的職能，設(shè)立信息安全領(lǐng)導(dǎo)小組，配備安全管理人員，對關(guān)鍵崗位的人員進行管理，權(quán)限分散。對人員錄用、離崗、考核、審查及第三方人員進行管理。進行安全教育和培訓(xùn)，可聘請信息安全專家。

　　2、風(fēng)險管理

　　根據(jù)安全等級的要求，選擇風(fēng)險管理策略，對風(fēng)險進行分析和評估，選擇和實施風(fēng)險控制措施，對風(fēng)險評估機構(gòu)進行管理。

　　3、環(huán)境和資源管理：

　　對企業(yè)的環(huán)境應(yīng)該有一定要求，如劃分安全區(qū)域?qū)C房安全的相關(guān)要求，如進出機房如何規(guī)定，物品不允許隨意帶出等門禁、視頻監(jiān)控、防止電磁泄露對辦公環(huán)境的安全要求，如不在辦公區(qū)域接待訪客編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，至少包括，應(yīng)用數(shù)據(jù)、應(yīng)用軟件、電腦設(shè)備、存儲介質(zhì)等對資產(chǎn)進行分類和管理。

　　4、運行和維護管理

　　對信息系統(tǒng)的用戶進行分類管理，對信息系統(tǒng)的運行操作進行規(guī)定（服務(wù)器、終端、便攜機、網(wǎng)絡(luò)及安全設(shè)備、軟件操作的管理），對信息系統(tǒng)的運行維護管理（日常維護、病毒防護、軟件許可、對軟件的審計、運行狀況監(jiān)控包括日志管理、監(jiān)視服務(wù)器安全性能、監(jiān)視網(wǎng)絡(luò)安全性能、對關(guān)鍵區(qū)域的監(jiān)視、對核心數(shù)據(jù)的監(jiān)視、軟硬件維護管理包括維護的責(zé)任、維修管理、外部服務(wù)方訪問管理、外包服務(wù)管理包括合同訂立與管理、服務(wù)商選擇，服務(wù)商管理、安全機制保障如身份鑒別機制的要求和管理、訪問控制機制管理要求、系統(tǒng)安全要求管理、網(wǎng)絡(luò)安全要求管理、應(yīng)用系統(tǒng)安全要求、病毒防護管理要求、密碼管理要求安全集中管理）

　　5、業(yè)務(wù)連續(xù)性管理

　　備份與恢復(fù)（數(shù)據(jù)備份與恢復(fù)、設(shè)備和系統(tǒng)冗余備份、）安全事件處理（事件劃分、報告和響應(yīng)）應(yīng)急處理（應(yīng)急處理和災(zāi)難恢復(fù)、應(yīng)急計劃、實施保障）

　　6、監(jiān)督和檢查管理

　　符合法律要求（適用的法律、知識產(chǎn)權(quán)管理、保護證據(jù)記錄）依從性檢查（檢查和改進、安全策略依從性檢查、技術(shù)依從性檢查）審計及監(jiān)管控制（審計控制、監(jiān)管控制）責(zé)任認定

　　7、生存周期管理

　　規(guī)劃和立項建設(shè)過程管理系統(tǒng)啟用和終止管理