信息系统安全规划框架与方法

・・・・・・・・・・・・・・・・・・・・・・・・・・・・

Ｍ

现代电信科技

ＯＤＥＲＮＳＣＩＥＮＣＥ＆ＴＥＣＨＮＯＬＯＧＹＯＦＴＥＬＥＣＯＭＭＵＮＩＣＡＴＩＯＮＳ

信息系统安全规划框架与方法

程秀权信息产业部电信研究院信息管理中心副主任

摘要：针对企业信息化发展过程中所面临的信息安全方面的严峻考验，对信息系统安全进行全面规划的问题从意义和范围进行了阐述，指出信息系统安全规划是未来几年内如何达到企业信息化远景规划指导下的安全建设目标的一个过程。重点从三个方面对信息系统安全规划的框架和方法进行了研究，指出了信息系统安全规划应该是一个依托企业信息化战略规划，涉及物理安全、网络安全、系统安全、运营安全以及人员安全的信息系统安全的总体规划。

关健词：信息系统，安全，规划

随着互联网的不断发展，全球信息化已成为人类发展的大趋势，中国信息化建设的进程也全面加速，企业信息化在提高服务水平、促进业务创新以及提升核心竞争力等方面发挥着越来越重要的作用，信息系统已成为推动国民经济增长的重要力量。随着企业信息化工作的提高，中国各地区、各行业使用信息系统开展工作的比例越来越大，信息系统安全问题日趋严重，安全问题逐渐成为影响业务运行、制约生产力发展的重要因素之一。企业信息化的发展将面临着信息安全方面的严峻考验，对信息系统安全进行全面的规划以适应形势发展的要求已经是一个不能回避的问题，

Ａｂｓｔｒａｃｔ：Ｉｎｒｅｇａｒｄｔｏｔｈｅｃｈａｌｌｅｎｇｅｓｏｆｉｎｆｏｒｍａ－

ｔｉｏｎｓｅｃｕｒｉｔｙｉｎｃｏｒｐｏｒａｔｉｏｎｉｎｆｏｒｍａｔｉｚａｔｉｏｎ，ｔｈｉｓａｒｔｉｃｌｅｅｘｐｏｕｎｄｓｔｈｅｍｅａｎｉｎｇａｎｄｓｃｏｐｅａｂｏｕｔｔｈｅｐｌａｎｎｉｎｇｏｆｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｓｙｓｔｅｍｗｈｉｃｈｆｏｒｍｓａｐａｒｔｏｆｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｍａｎａｇｅｍｅｎｔｔｏｒｅａｌｉｚｅｔｈｅｏｂｊｅｃｔｓｏｆｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙ．Ｔｈｉｓａｒｔｉｃｌｅｉｎｖｅｓｔｉｇａｔｅｓｔｈｅｐｌａｎｎｉｎｇｏｆｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｓｙｓｔｅｍｆｒｏｍｔｈｒｅｅａｓｐｅｃｔｓ，ｐｏｉｎｔｉｎｇｏｕｔｉｎｆｏｒｍａｔｉｏｎｓｙｓｔｅｍｓｅｃｕｒｉｔｙｐｌａｎｎｉｎｇｓｈｏｕｌｄｂｅｓｕｐｐｏｒｔｅｄｂｙｃｏｒｐｏｒａｔｉｏｎｉｎｆｏｒｍａｔｉｚａｔｉｏｎｓｔｒａｔａｇｅｍ，ｗｈｉｃｈｓｈｏｕｌｄｉｎｖｏｌｖｉｎｇｐｈｙｓｉｃａｌｓｅｃｕ－ｒｉｔｙ，ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙ，ｓｙｓｔｅｍｓｅｃｕｒｉｔｙ，ｏｐｅｒａｔｉｏｎｓｅｃｕｒｉｔｙａｎｄｐｅｒｓｏｎｎｅｌｓｅｃｕｒｉｔｙ．

ＫｅｙＷｏｒｄｓ：ｉｎｆｏｒｍａｔｉｏｎｓｙｓｔｅｍ，ｓｅｃｕｒｉｔｙ，ｐｌａｎ－ｎｉｎｇ

也成为人们共同关注的一个保证信息安全的重要环节。

一、信息系统安全规划的意义

信息系统安全规划是一个涉及管理、法规和技术等多方面的综合工程。信息系统安全的总体目标是物理安全、网络安全、数据安全、信息内容安全、信息基础设备安全与公共信息安全的总和。信息系统安全的最终目的是确保信息（包括用户、的机密性、完整性和可用性，以及信息系统主体组织、社会和国家）对于信息资源的控制。

信息系统安全规划是以企业信息化战略规划为指导，以企业的信息资源规划为基础，全面完整地规划信息系统应用和相关信息架构，确定信息系统的安全框架、管理模式与建设步骤。企业在信息系统安全规划的指导下建设的网络与信息环境，才可以在安全机制的控制与制约应用系统和数据都不受负面因下，让各种业务解决方案、

素带来的威胁而在其上实现有效配合。信息系统安全规划不应该只是规划未来几个月，而应该规划未来几年内如何达到企业信息化远景规划指导下的安全建设目标。

现代电信科技２００７年６月第６期

５５

Ｔ

技术广角・・・・・・・・・・・・・・・・・・・・・・・・・・・・

ｅｃｈｎｏｌｏｇｙＰａｎｏｒａｍａ

信息系统安全规划比单独购买信息安全产品更重有方向、有目的、有配合地进要，只有通过有计划、

行信息系统安全的整体布置，才能构成真正意义上的信息安全。

三、信息系统安全规划的框架与方法

信息系统安全规划是一个非常细致和重要的工作，首先需要对企业信息化发展的历史情况进行深入和全面的调研，针对信息系统安全的主要内容进

二、信息系统安全规划的范围

信息系统安全规划是在建和已建的信息系统中必须要考虑的重要内容。信息系统安全规划主要是根据风险评估的结果和提取的安全需求描述实施相应的安全保障的目标、措施和步骤。按照“全网安全”的思想，信息系统安全规划需要从管理、组织和技术等多方面进行综合考虑，涉及的是综合管理、技术规范和运行维护等多个层面的控制措施。

信息系统安全规划的范围应该是多方面的，涉及技术安全、规范管理和组织结构。技术安全是以往人们谈论比较多的话题，也是以往在安全规划中描述较多的地方，用得最多的一些安全产品如：防火墙、入侵检测、漏洞扫描、防病毒、访问控制和ＶＰＮ、备份恢复等。但是信息系统安全是一个动态发展的过程，过去依靠技术就可以解决的大部分安全问题，现在仅仅依赖安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息系统安全建设是一项复杂的系统工程，要从观念上进行转变，要在安全产品的支持下建设全方位的安全策略，使之成为一个可持续的、动态发展的、有安全保障的渐进过程。因此，在目前安全设备达到一定规模的情况下，规范管理就成为信息系统安全规划需要关注的核心内容，在信息系统安全规划中一定要将规范管理的规划放在首位。规范管理包括风险管理、安全策略、规章制度和安全教育，这几个组件是信息系统安全规划的重要内容。信息系统安全规划需要有规划的依据，这个依据就是企业的信息化战略规划，同时更需要组织与人员结构的合理布局来保证。没有合适的人员配合工作，任何事情都是不可能完成的，因此，在安全规划中不可以忽视组织结构建立和人员合理调配这个关键环节。

行整体的发展规划工作。

从图１可以看出，信息系统安全体系主要是由技术体系、组织体系和管理体系三部分共同构成的。技术体系是全面提供信息系统安全保护的技术保障系统，该体系由物理安全技术和系统安全技术两大类构成。组织体系是信息系统的组织保障系统，由机构、岗位和人事三个模块构成。机构分为领导决策层、日常管理层和具体执行层；岗位是信息系统安全管理部门根据系统安全需要设定的负责某一个或某几个安全事务的职位；人事是根据管理机构设定的岗位，对岗位上在职、待职和离职的员工进行素质教育、业绩考核和安全监管的机构。管理体系由法律管理、制度管理和培训管理三部分组成。

信息系统安全体系框架

状态

监测入侵监控审计

安全策略密钥管理策略

法律

物理安全环境安全系统安全信息安全

安全服务体系规范实施细则安全评估

管理体系

制度

网络环境信息环境ＩＳＯ标准

安全技术

技术体系安全框架

技术管理

培训

机构岗位组织体系

人事

图１信息系统安全体系框架

弄清信息系统安全体系之后，就可以针对上述内容进行全面的规划。信息系统安全规划的层次、方法与步骤可以有所不同，但是规划的内容与层次应该是相同的。规划的具体环节、相互之间的关系和具体方法如图２所示。

１．信息系统安全规划依托企业信息化战略规划

信息化战略规划是以整个企业的发展目标、发展战略和企业各部门的业务需求为基础，结合行业

５６

ＭＳＴＴＪｕｎｅ，２００７

・・・・・・・・・・・・・・・・・・・・・・・・・・・・

Ｍ

现代电信科技

ＯＤＥＲＮＳＣＩＥＮＣＥ＆ＴＥＣＨＮＯＬＯＧＹＯＦＴＥＬＥＣＯＭＭＵＮＩＣＡＴＩＯＮＳ

控制层面和管理层面保障，包括备份与恢复系统安全、入侵检测功能、加密认证功能、漏洞检查及系统补丁功能、口令管理等；人员安全包括安全管理的组织机构、人员安全教育与意识机制、人员招聘及离职管理、第三方人员安全管理等。

３．信息系统安全规划的影响力在

于信息系统与信息资源

图２信息系统安全规划框架

信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安

全保护上，因此规划工作要围绕着信息系统与信息资源的开发、利用和保护工作进行，并且包括蓝图、现状、需求及措施四个方面。首先，对信息系统与信息资源的规划需要从信息化建设的蓝图入手，知道企业信息化发展策略的总体目标和各阶段的实施目标，制定出信息系统安全的发展目标；第二，对企业的信息化工作现状进行整体、综合、全面的分析，找出过去工作中的优势与不足；第三，根据信息化建设的目标提出未来几年的需求，这个需求最好可以分解成若干个小的方面，以便于今后的落实与实施；第四，明确实施工作阶段的

信息化方面的需求分析、环境分析和对信息技术发展趋势的掌握，定义出企业信息化建设的远景、使命、目标和战略，规划出企业信息化建设的未来架构，为信息化建设的实施提供一副完整的蓝图，全面系统地指导企业信息化建设的进程。信息系统安全规划依托企业信息化战略规划，对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标与企业信息化的目标是一致的，而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。

管理２．信息系统安全规划需要围绕技术安全、安全以及组织安全考虑

信息系统安全规划的方法和侧重点均可以有所管理安全以及组织安区别，但是需要围绕技术安全、

全进行全面的考虑。规划的内容应该涵盖以下内容：确定信息系统安全的任务、目标、战略以及战略部门网络安和战略人员，并在此基础上制定出物理安全、全、系统安全、运营安全和人员安全的信息系统安全的总体规划。其中，物理安全包括环境设备安全、信息设备安全、网络设备安全以及信息资产设备的物网理分布安全等；网络安全包括网络拓扑结构安全、络的物理线路安全、网络访问安全（防火墙、入侵检测系统、ＶＰＮ等）等；系统安全包括操作系统安全、应用软件安全以及应用策略安全等；运营安全应在

具体措施与方法，提高规划工作的执行力度。

信息系统安全规划服务于企业信息化战略目标，信息系统安全规划做得好，企业信息化工作的实现就有了保障。信息系统安全规划是企业信息化发展战略的基础性工作，不是可有可无而是非常重要。由于企业信息化的任务与目标不同，所以信息系统安全规划包括的内容就不同，建设的规模也有很大的差异，因此信息系统安全规划无法从专业书籍或研究资料中找到非常有针对性的帮助和适用法则，也不可能给出一个规范化的信息系统安全规划的模板。文章提出了信息系统安全规划的框架与方法，给出了信息系统安全规划工作的一种建设原则、内容和思路，在具体规划中还需要深入细致地进行本地化的调查与研究。

收稿日期：２００７－０５－２０

现代电信科技２００７年６月第６期

５７

・・・・・・・・・・・・・・・・・・・・・・・・・・・・

Ｍ

现代电信科技

ＯＤＥＲＮＳＣＩＥＮＣＥ＆ＴＥＣＨＮＯＬＯＧＹＯＦＴＥＬＥＣＯＭＭＵＮＩＣＡＴＩＯＮＳ

信息系统安全规划框架与方法

程秀权信息产业部电信研究院信息管理中心副主任

摘要：针对企业信息化发展过程中所面临的信息安全方面的严峻考验，对信息系统安全进行全面规划的问题从意义和范围进行了阐述，指出信息系统安全规划是未来几年内如何达到企业信息化远景规划指导下的安全建设目标的一个过程。重点从三个方面对信息系统安全规划的框架和方法进行了研究，指出了信息系统安全规划应该是一个依托企业信息化战略规划，涉及物理安全、网络安全、系统安全、运营安全以及人员安全的信息系统安全的总体规划。

关健词：信息系统，安全，规划

随着互联网的不断发展，全球信息化已成为人类发展的大趋势，中国信息化建设的进程也全面加速，企业信息化在提高服务水平、促进业务创新以及提升核心竞争力等方面发挥着越来越重要的作用，信息系统已成为推动国民经济增长的重要力量。随着企业信息化工作的提高，中国各地区、各行业使用信息系统开展工作的比例越来越大，信息系统安全问题日趋严重，安全问题逐渐成为影响业务运行、制约生产力发展的重要因素之一。企业信息化的发展将面临着信息安全方面的严峻考验，对信息系统安全进行全面的规划以适应形势发展的要求已经是一个不能回避的问题，

Ａｂｓｔｒａｃｔ：Ｉｎｒｅｇａｒｄｔｏｔｈｅｃｈａｌｌｅｎｇｅｓｏｆｉｎｆｏｒｍａ－

ｔｉｏｎｓｅｃｕｒｉｔｙｉｎｃｏｒｐｏｒａｔｉｏｎｉｎｆｏｒｍａｔｉｚａｔｉｏｎ，ｔｈｉｓａｒｔｉｃｌｅｅｘｐｏｕｎｄｓｔｈｅｍｅａｎｉｎｇａｎｄｓｃｏｐｅａｂｏｕｔｔｈｅｐｌａｎｎｉｎｇｏｆｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｓｙｓｔｅｍｗｈｉｃｈｆｏｒｍｓａｐａｒｔｏｆｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｍａｎａｇｅｍｅｎｔｔｏｒｅａｌｉｚｅｔｈｅｏｂｊｅｃｔｓｏｆｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙ．Ｔｈｉｓａｒｔｉｃｌｅｉｎｖｅｓｔｉｇａｔｅｓｔｈｅｐｌａｎｎｉｎｇｏｆｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｓｙｓｔｅｍｆｒｏｍｔｈｒｅｅａｓｐｅｃｔｓ，ｐｏｉｎｔｉｎｇｏｕｔｉｎｆｏｒｍａｔｉｏｎｓｙｓｔｅｍｓｅｃｕｒｉｔｙｐｌａｎｎｉｎｇｓｈｏｕｌｄｂｅｓｕｐｐｏｒｔｅｄｂｙｃｏｒｐｏｒａｔｉｏｎｉｎｆｏｒｍａｔｉｚａｔｉｏｎｓｔｒａｔａｇｅｍ，ｗｈｉｃｈｓｈｏｕｌｄｉｎｖｏｌｖｉｎｇｐｈｙｓｉｃａｌｓｅｃｕ－ｒｉｔｙ，ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙ，ｓｙｓｔｅｍｓｅｃｕｒｉｔｙ，ｏｐｅｒａｔｉｏｎｓｅｃｕｒｉｔｙａｎｄｐｅｒｓｏｎｎｅｌｓｅｃｕｒｉｔｙ．

ＫｅｙＷｏｒｄｓ：ｉｎｆｏｒｍａｔｉｏｎｓｙｓｔｅｍ，ｓｅｃｕｒｉｔｙ，ｐｌａｎ－ｎｉｎｇ

也成为人们共同关注的一个保证信息安全的重要环节。

一、信息系统安全规划的意义

信息系统安全规划是一个涉及管理、法规和技术等多方面的综合工程。信息系统安全的总体目标是物理安全、网络安全、数据安全、信息内容安全、信息基础设备安全与公共信息安全的总和。信息系统安全的最终目的是确保信息（包括用户、的机密性、完整性和可用性，以及信息系统主体组织、社会和国家）对于信息资源的控制。

信息系统安全规划是以企业信息化战略规划为指导，以企业的信息资源规划为基础，全面完整地规划信息系统应用和相关信息架构，确定信息系统的安全框架、管理模式与建设步骤。企业在信息系统安全规划的指导下建设的网络与信息环境，才可以在安全机制的控制与制约应用系统和数据都不受负面因下，让各种业务解决方案、

素带来的威胁而在其上实现有效配合。信息系统安全规划不应该只是规划未来几个月，而应该规划未来几年内如何达到企业信息化远景规划指导下的安全建设目标。

现代电信科技２００７年６月第６期

５５

Ｔ

技术广角・・・・・・・・・・・・・・・・・・・・・・・・・・・・

ｅｃｈｎｏｌｏｇｙＰａｎｏｒａｍａ

信息系统安全规划比单独购买信息安全产品更重有方向、有目的、有配合地进要，只有通过有计划、

行信息系统安全的整体布置，才能构成真正意义上的信息安全。

三、信息系统安全规划的框架与方法

信息系统安全规划是一个非常细致和重要的工作，首先需要对企业信息化发展的历史情况进行深入和全面的调研，针对信息系统安全的主要内容进

二、信息系统安全规划的范围

信息系统安全规划是在建和已建的信息系统中必须要考虑的重要内容。信息系统安全规划主要是根据风险评估的结果和提取的安全需求描述实施相应的安全保障的目标、措施和步骤。按照“全网安全”的思想，信息系统安全规划需要从管理、组织和技术等多方面进行综合考虑，涉及的是综合管理、技术规范和运行维护等多个层面的控制措施。

信息系统安全规划的范围应该是多方面的，涉及技术安全、规范管理和组织结构。技术安全是以往人们谈论比较多的话题，也是以往在安全规划中描述较多的地方，用得最多的一些安全产品如：防火墙、入侵检测、漏洞扫描、防病毒、访问控制和ＶＰＮ、备份恢复等。但是信息系统安全是一个动态发展的过程，过去依靠技术就可以解决的大部分安全问题，现在仅仅依赖安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息系统安全建设是一项复杂的系统工程，要从观念上进行转变，要在安全产品的支持下建设全方位的安全策略，使之成为一个可持续的、动态发展的、有安全保障的渐进过程。因此，在目前安全设备达到一定规模的情况下，规范管理就成为信息系统安全规划需要关注的核心内容，在信息系统安全规划中一定要将规范管理的规划放在首位。规范管理包括风险管理、安全策略、规章制度和安全教育，这几个组件是信息系统安全规划的重要内容。信息系统安全规划需要有规划的依据，这个依据就是企业的信息化战略规划，同时更需要组织与人员结构的合理布局来保证。没有合适的人员配合工作，任何事情都是不可能完成的，因此，在安全规划中不可以忽视组织结构建立和人员合理调配这个关键环节。

行整体的发展规划工作。

从图１可以看出，信息系统安全体系主要是由技术体系、组织体系和管理体系三部分共同构成的。技术体系是全面提供信息系统安全保护的技术保障系统，该体系由物理安全技术和系统安全技术两大类构成。组织体系是信息系统的组织保障系统，由机构、岗位和人事三个模块构成。机构分为领导决策层、日常管理层和具体执行层；岗位是信息系统安全管理部门根据系统安全需要设定的负责某一个或某几个安全事务的职位；人事是根据管理机构设定的岗位，对岗位上在职、待职和离职的员工进行素质教育、业绩考核和安全监管的机构。管理体系由法律管理、制度管理和培训管理三部分组成。

信息系统安全体系框架

状态

监测入侵监控审计

安全策略密钥管理策略

法律

物理安全环境安全系统安全信息安全

安全服务体系规范实施细则安全评估

管理体系

制度

网络环境信息环境ＩＳＯ标准

安全技术

技术体系安全框架

技术管理

培训

机构岗位组织体系

人事

图１信息系统安全体系框架

弄清信息系统安全体系之后，就可以针对上述内容进行全面的规划。信息系统安全规划的层次、方法与步骤可以有所不同，但是规划的内容与层次应该是相同的。规划的具体环节、相互之间的关系和具体方法如图２所示。

１．信息系统安全规划依托企业信息化战略规划

信息化战略规划是以整个企业的发展目标、发展战略和企业各部门的业务需求为基础，结合行业

５６

ＭＳＴＴＪｕｎｅ，２００７

・・・・・・・・・・・・・・・・・・・・・・・・・・・・

Ｍ

现代电信科技

ＯＤＥＲＮＳＣＩＥＮＣＥ＆ＴＥＣＨＮＯＬＯＧＹＯＦＴＥＬＥＣＯＭＭＵＮＩＣＡＴＩＯＮＳ

控制层面和管理层面保障，包括备份与恢复系统安全、入侵检测功能、加密认证功能、漏洞检查及系统补丁功能、口令管理等；人员安全包括安全管理的组织机构、人员安全教育与意识机制、人员招聘及离职管理、第三方人员安全管理等。

３．信息系统安全规划的影响力在

于信息系统与信息资源

图２信息系统安全规划框架

信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安

全保护上，因此规划工作要围绕着信息系统与信息资源的开发、利用和保护工作进行，并且包括蓝图、现状、需求及措施四个方面。首先，对信息系统与信息资源的规划需要从信息化建设的蓝图入手，知道企业信息化发展策略的总体目标和各阶段的实施目标，制定出信息系统安全的发展目标；第二，对企业的信息化工作现状进行整体、综合、全面的分析，找出过去工作中的优势与不足；第三，根据信息化建设的目标提出未来几年的需求，这个需求最好可以分解成若干个小的方面，以便于今后的落实与实施；第四，明确实施工作阶段的

信息化方面的需求分析、环境分析和对信息技术发展趋势的掌握，定义出企业信息化建设的远景、使命、目标和战略，规划出企业信息化建设的未来架构，为信息化建设的实施提供一副完整的蓝图，全面系统地指导企业信息化建设的进程。信息系统安全规划依托企业信息化战略规划，对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标与企业信息化的目标是一致的，而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。

管理２．信息系统安全规划需要围绕技术安全、安全以及组织安全考虑

信息系统安全规划的方法和侧重点均可以有所管理安全以及组织安区别，但是需要围绕技术安全、

全进行全面的考虑。规划的内容应该涵盖以下内容：确定信息系统安全的任务、目标、战略以及战略部门网络安和战略人员，并在此基础上制定出物理安全、全、系统安全、运营安全和人员安全的信息系统安全的总体规划。其中，物理安全包括环境设备安全、信息设备安全、网络设备安全以及信息资产设备的物网理分布安全等；网络安全包括网络拓扑结构安全、络的物理线路安全、网络访问安全（防火墙、入侵检测系统、ＶＰＮ等）等；系统安全包括操作系统安全、应用软件安全以及应用策略安全等；运营安全应在

具体措施与方法，提高规划工作的执行力度。

信息系统安全规划服务于企业信息化战略目标，信息系统安全规划做得好，企业信息化工作的实现就有了保障。信息系统安全规划是企业信息化发展战略的基础性工作，不是可有可无而是非常重要。由于企业信息化的任务与目标不同，所以信息系统安全规划包括的内容就不同，建设的规模也有很大的差异，因此信息系统安全规划无法从专业书籍或研究资料中找到非常有针对性的帮助和适用法则，也不可能给出一个规范化的信息系统安全规划的模板。文章提出了信息系统安全规划的框架与方法，给出了信息系统安全规划工作的一种建设原则、内容和思路，在具体规划中还需要深入细致地进行本地化的调查与研究。

收稿日期：２００７－０５－２０

现代电信科技２００７年６月第６期

５７