论文部分内容阅读
信息化统筹建设逐渐成为多级架构企业信息化建设和规划的趋势,同时也对传统的应急管理模式提出了挑战,保障信息系统的安全、稳定运行不再是某一家单位能够独立解决的事情,需要所有单位共同承担。本文基于作者所在单位航天二院的实际情况,提出了一套针对多级架构信息系统的风险计算方法,依据风险计算的结果指导应急资源的配置,并探讨了基于资源共享的应急资源调度管理模式。作者完成的主要工作如下:(1)多级架构信息系统的风险评估。首先确定了风险评估工作的具体内容,包括:资产分类、资产赋值、资产价值计算、威胁识别、威胁赋值、脆弱性识别、脆弱性赋值、风险计算、评估结果、建议采取的安全措施、残余风险评估等。然后针对信息系统实际情况,通过组织专家讨论的方式,定义了资产、威胁和脆弱性的等级划分原则,进而明确了突发事件的等级划分原则。组织院属各单位采取故障树分析法对历史突发事件进行分析,按照等级划分原则明确了突发事件等级,通过调查问卷的方式采集了突发事件的历史数据和相关资产的基本信息,并通过对历史数据的统计分析,定义了资产价值计算公式、可能性矩阵、损失矩阵、风险矩阵及其等级划分原则。最后针对不同等级的突发事件制定了相关应急资源的配置标准。(2)基于资源共享的应急资源调度管理。首先,基于风险计算的结果,对二院现有应急响应组织架构和管理模式的现状以及存在的问题进行了总结分析,得出二院需要建立应急资源共享机制的结论,认为二院的单位性质决定了其应急资源共享机制的建立要采取集中与分散相结合的方式。之后,从资源共享机制的构建、资源共享的控制与协调、资源共享文化的倡导与激励机制建设以及内部资源共享平台的构建等四个方面,对如何构建和运行应急资源共享机制进行了探讨,提出应急资源共享机制要通过外动力和内动力共同作用来发挥作用,既不能忽视组织结构优化、文化倡导以及技术平台对资源共享的主观促进、引导、支持的作用,又不能忽视各单位实际需求产生的“需求牵引”的发展,明确了院级在资源共享机制运行过程中应该发挥的统筹引导和控制的作用。(3)应用成果。一方面,基于多级架构信息系统的风险评估研究得出的风险计算方法和等级划分原则,申报、落实了技改项目支持,组织开发了一套综合风险分析评估系统,为二院各单位提供了统一安全风险描述和分析手段,方便各单位依据标准对各单位涉密信息系统进行风险自评估,有效提高了风险评估的效率和效果。另一方面,基于应急资源共享机制研究,应用了部分成熟的研究成果对现行应急响应管理机构和管理制度进行优化完善,同时选取了两家单位进行了全面的试点应用。在论文的最后部分,对以上工作进行总结,并对未来研究进行展望。通过本研究,二院摸索出了一套适用于自身特点的多级架构的信息系统风险评估体系,建立了一套适用于院属各单位绝大部分信息系统的资产、威胁和脆弱性识别与赋值标准,统一了全院信息系统突发事件的等级划分原则,通过对历史数据的收集、梳理和分析,确定了基于矩阵法原理的风险计算方法,制定了一套应急资源配置的原则,并通过信息化手段将上述管理要求进行了固化。探索了基于资源共享的应急资源调度管理模式,对现行应急响应管理机构和制度进行了优化。经实际应用检验,大大提高了风险评估工作的效率,收到良好的应用效果,达到了预期目标。