軟考（計算機技術與軟件專業技術資格（水平）考試）是納入全國專業技術人員職業資格證書制度統一規劃，實行大綱、試題、標準、證書均統一的考試辦法。其目的是科學、公正地對全國計算機與軟件專業技術人員進行職業資格、專業技術資格認定和專業技術水平測試。關于軟考高項論文解析——《企業信息系統建設安全策略》，慧翔天地小編和大家分享一下。

       軟考中高項備考學習交流QQ群：221801769（點擊一鍵加群）

　　軟考高項論文解析——《企業信息系統建設安全策略》

　　（本題為論文題，論文題共2道，請任選其一作答，若2道題都作答，按照題號小的1道計分）

　　企業信息系統建設安全策略我國在十四五期間的一項重要規劃是以信息安全，企業信息化進程不斷加速，大量的信息系統項目投入建設和使用，但近些年來信息系統的安全問題也經常發生，例如銀行系統失效、信息系統遭遇黑客攻擊、企業商業秘密數據泄露等等，為國家和企業造成了巨大的損失。

　　請圍繞企業信息系統建設安全策略論題，分別從以下幾個方面進行論述：

　　1、簡要敘述你參與建設過的信息系統項目（如項目背景、發起單位、項目目標、項目內容、組織結構、項目周期、交付產品、項目特色等等）。

　　2、結合信息系統安全的管理要求或技術要求，論述你所參與項目建設中的信息安全策略。可圍繞但不局限于以下要點：

　　（1）該項目對信息安全的需求

　　（2）制定信息系統安全策略應考慮哪些方面，各包含什么內容

　　（3）在項目建設的過程中如何實現這些安全策略、應用的相關技術，效果如何，可結合項目展開其中一個或幾個方面詳細介紹。

　　3、針對企業信息系統建設的安全策略，如何在后續的運行維護中加強安全管理（或總結你對信息系統安全管理的心得體會）。

　　寫作要點：

　　1、整篇論文陳述完整，論文結構合理、語言流暢，字跡清楚，得5分。

　　2、所述項目切題真實，介紹清楚，得10分。（項目要真實，描述清楚，所描述的項目情況應能支持后文中論述的安全策略的提出和實現，如果與后文無任何關聯，只給5分）

　　論文中提及的真實項目可分為兩類：一類是站在項目建設方（甲方）角度描述的信息系統項目，另一類是站在項目承建方（系統集成商）角度描述的信息系統項目。如果是第一類的項目，那么整篇文章的安全策略應該從甲方對安全的需求和對項目的信息安全管理的策略、方法等方面來論述，如果是第二類的項目，要從該項目對安全的需求和為實現這些安全需求而制定的安全策略以及使用什么技術手段實現安全策略的角度進行論述。

　　3、結合項目情況，進行安全策略的論述：不要求完全按以下要點全面論述，可根據論述內容是否正確，涉及其項目部分是否真實、得當，酌情給分。此部分共45分

　　（1）信息系統安全是指信息系統及其所存儲、傳輸和處理的信息的保密性、完整性和可用性的表征，一般包括保障計算機及其相關的配套的設備、設施（含網絡）的安全、運行環境的安全、保障信息的安全以保障信息系統功能的正常發揮，以維護信息系統的安全運行。

　　為保證信息系統安全運行的實現，在信息系統項目建設過程中應考慮到系統安全的相關需求，并通過技術手段或管理措施得以實現。

　　如果考生寫出關于信息安全的一些概念和理解，可酌情加15分

　　（2）項目對安全的需求10分

　　結合項目的背景，考查考生描述的安全需求是否合理，需求考慮是否全面，這些需求在后文中是否通過安全策略的實施得到了解決

　　（3）制定安全策略的角度25分

　　根據國家標準GB/T 20271 2006《信息安全技術信息系統安全通用技術要求》，可將信息系統安全技術體系劃分為：物理安全、運行安全和數據安全。

　　物理安全要考慮：環境安全：機房場地選擇、安全防護、防火防水、防靜電、供配電、電磁防護等等設備：防盜防毀、設備可用記錄介質安全

　　運行安全要考慮：風險分析、安全性檢測分析、系統安全監控、安全審計、信息系統邊界安全防護、備份與故障恢復、惡意代碼防護、應急處理、可信計算與可信連接技術。

　　數據安全要考慮：身份鑒別:用戶鑒別與標識、用戶主體綁定、隱密、設備標識與鑒別抗抵賴：抗原發抵賴、抗接收抵賴自主訪問控制

　　考生可能也會按：硬件系統安全（可包含在物理安全中）、網絡安全（可包含在物理安全中）、應用軟件系統安全和容災備份等，可給分。

　　以上內容考生只要劃分了安全策略的幾大角度，如物理安全（或者環境安全、設備安全、網絡安全）、運行安全（或提到應用系統的安全或防病毒、災難備份、災難恢復等）、數據安全（身份認證、防篡改、數字簽名、訪問控制等等）即可得15分，每一類別再展開介紹其中包含的內容，可得10分。如果考慮的安全策略較全面，有系統性，可酌情加分。

　　根據國家標準GB/T 20282 2006《信息安全技術信息系統安全工程管理要求》

　　信息系統安全工程的全部流程可被劃分為5個階段，即:起始、設計、建設、運行和維護、廢棄。安全保護的各級安全工程要求體現在安全過程的部分或全部階段中。需求方可以選擇某些關鍵節點對安全工程要求實現與否進行審核，這些審核的結果一般會對整個安全工程的品質產生較為重要的影響。審核通常可以安排在設計階段末，以及建設階段的驗收期。

　　結合安全工程管理分等級要求（用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級），根據項目各階段信息安全工程要求，描述在論文中提及的實際項目如何實施信息安全工程的相關要求。

　　如果考生按信息系統工程的流程，將整個項目過程分為5個階段，分別描述每個階段的安全策略需要考慮的內容，并結合了安全的相關技術，也可得分。

　　（4）按照上一部分提到的安全策略的各方面，考生應展開其中一、兩方面，結合論文中提到的項目，詳細描述如何實現的。如實現信息系統項目物理安全策略，在建設中心機房時如何進行安全防護，設計及施工時注意了哪些如實現運行安全策略時，信息系統項目中如何考慮防病毒、防入侵、系統安全怎么考慮，如何進行安全審計等等。這一部分應該介紹具體的做法。10分

　　4、根據GB/T 20269 2006《信息安全技術信息系統安全管理要求》：

　　信息系統安全管理是對一個組織機構中信息系統的生存周期全過程實施符合安全等級責任要求的管理，包括機構和人員的管理、風險管理、環境和資源管理、運行和維護管理、業務連續性管理、監督和檢查管理、生存周期管理等等。10分

　　安全管理制度：最基本的應包括網絡安全管理規定、系統安全管理規定、數據安全管理規定、防病毒規定、機房安全管理規定以及相關的操作規程

　　還可能包括：設備使用管理規定、人員安全管理規定、安全審計管理、用戶管理、風險管理、信息分類分級管理、安全事件報告、應急管理、災難恢復等等。

　　可結合等級保護分類，每一級等級對與安全的要求更高。

　　具體做法：

　　1、機構和人員的管理

　　在組織中建立安全管理機構，規定該機構的職能，設立信息安全領導小組，配備安全管理人員，對關鍵崗位的人員進行管理，權限分散。對人員錄用、離崗、考核、審查及第三方人員進行管理。進行安全教育和培訓，可聘請信息安全專家。

　　2、風險管理

　　根據安全等級的要求，選擇風險管理策略，對風險進行分析和評估，選擇和實施風險控制措施，對風險評估機構進行管理。

　　3、環境和資源管理：

　　對企業的環境應該有一定要求，如劃分安全區域對機房安全的相關要求，如進出機房如何規定，物品不允許隨意帶出等門禁、視頻監控、防止電磁泄露對辦公環境的安全要求，如不在辦公區域接待訪客編制與信息系統相關的資產清單，至少包括，應用數據、應用軟件、電腦設備、存儲介質等對資產進行分類和管理。

　　4、運行和維護管理

　　對信息系統的用戶進行分類管理，對信息系統的運行操作進行規定（服務器、終端、便攜機、網絡及安全設備、軟件操作的管理），對信息系統的運行維護管理（日常維護、病毒防護、軟件許可、對軟件的審計、運行狀況監控包括日志管理、監視服務器安全性能、監視網絡安全性能、對關鍵區域的監視、對核心數據的監視、軟硬件維護管理包括維護的責任、維修管理、外部服務方訪問管理、外包服務管理包括合同訂立與管理、服務商選擇，服務商管理、安全機制保障如身份鑒別機制的要求和管理、訪問控制機制管理要求、系統安全要求管理、網絡安全要求管理、應用系統安全要求、病毒防護管理要求、密碼管理要求安全集中管理）

　　5、業務連續性管理

　　備份與恢復（數據備份與恢復、設備和系統冗余備份、）安全事件處理（事件劃分、報告和響應）應急處理（應急處理和災難恢復、應急計劃、實施保障）

　　6、監督和檢查管理

　　符合法律要求（適用的法律、知識產權管理、保護證據記錄）依從性檢查（檢查和改進、安全策略依從性檢查、技術依從性檢查）審計及監管控制（審計控制、監管控制）責任認定

　　7、生存周期管理

　　規劃和立項建設過程管理系統啟用和終止管理