導語：如何才能寫好一篇信息安全方針，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【 關鍵詞 】 網(wǎng)站；安全；應急；機制

Research About the Information Security Protection and Emergency Response Mechanism

in Anhui Earthquake administration Website

Chen Liang

（Anhui Earthquake Administration HefeiAnhui 230031）

【 Abstract 】 With the increasing application of computers and websites，the safety of websites becomes more and more important. This paper discussed the the website features and potential safety hazard，constructed a integrated website security protection system. Finally，it designed the emergency response mechanism procedure.

【 Keywords 】 website； security； emergency response； mechanism

1 前言

安徽省防震減災信息網(wǎng)（以下簡稱“網(wǎng)站”）是安徽省地震局實現(xiàn)政務信息公開，服務社會公眾和穩(wěn)定社會秩序的重要渠道，網(wǎng)站的信息具有高度的權威性和嚴肅性。而地震行業(yè)的敏感及特殊性決定了防震減災信息網(wǎng)可能遭遇的突發(fā)事件龐雜、不可預測，如網(wǎng)站非法言論、感染病毒、網(wǎng)絡中斷、并發(fā)訪問堵塞、網(wǎng)站攻擊篡改等，其中后兩種突發(fā)事件造成的社會影響更加惡劣，應對能力的提高是解決問題的關鍵。

2008年5月12日汶川8.0級強震、2009年4月6日肥東3.5級地震發(fā)生后，網(wǎng)站訪問量驟然增加，網(wǎng)絡堵塞嚴重，信息部門緊急調配高性能服務器，將門戶網(wǎng)站轉移以便緩解。之后經(jīng)聯(lián)系，省電信部門決定短期援助互聯(lián)網(wǎng)出口帶寬由10M升級至100M。近年來全球地震頻發(fā)，社會公眾關注度逐漸加深，對地震信息的需求越來越高，網(wǎng)站的正常運行和訪問、信息的即時都需要應急體系的支撐。

在網(wǎng)絡攻擊愈演愈烈的大環(huán)境下，政府門戶網(wǎng)站遭受攻擊的幾率越來越高。2008年5月31日、6月1日和6月2日，廣西防震減災網(wǎng)被黑客工具多次侵入，網(wǎng)站內容被惡意篡改，服務器全部數(shù)據(jù)被徹底刪除，網(wǎng)站癱瘓。時值汶川震后敏感時期，犯罪分子的地震謠言制造了社會恐慌，嚴重擾亂了社會秩序，危害了社會穩(wěn)定。前車之鑒，嚴峻的現(xiàn)實表明，我局要高度關注網(wǎng)站的安全運行。

隨著網(wǎng)站的深入應用，網(wǎng)站的安全性問題也越來越得到人們的重視。國家及各級政府部門相繼出臺了一系列法律法規(guī)、文件精神，從政策角度對網(wǎng)絡信息安全進行規(guī)范和部署，確保政府網(wǎng)站的安全運行，各行業(yè)部門對本行業(yè)所可能產(chǎn)生的安全事件及相應的解決措施進行研究，并據(jù)此制定了本部門相應的網(wǎng)站信息安全應急預案。2010年1月12日百度公司網(wǎng)站突然無法訪問使得網(wǎng)絡安全問題引起了社會各界的廣泛關注，安徽省信息化主管部門省經(jīng)濟和信息化工作委員會通過此事件清醒地認識到信息安全的極端重要性，已出臺《安徽省網(wǎng)絡與信息安全事件應急預案》，全力保障我省網(wǎng)絡信息安全。

綜上所述，為妥善應對和處置各種網(wǎng)站安全突發(fā)事件，確保網(wǎng)站和重要信息系統(tǒng)的安全可靠運行，研究網(wǎng)站應急響應機制，在此基礎上建立一套行之有效滿足安徽省防震減災信息網(wǎng)網(wǎng)站需求的應急預案是必不可少的措施之一。

2 網(wǎng)站特征及存在的問題

2.1 版塊多，更新不易

目前，網(wǎng)站新版本已上線運行。新網(wǎng)站采用PHP腳本語言編寫，數(shù)據(jù)庫使用My SQL進行管理。涉及頁面數(shù)量多，版塊塊類型豐富，不僅有震情、省局動態(tài)、直屬單位動態(tài)、市縣機構動態(tài)、行業(yè)動態(tài)、綜合減災等需每日更新的版塊，還包括監(jiān)測預報、震災預防、應急救援、群團組織等需定期更新的業(yè)務版塊。有的信息需從后臺直接上傳，有的則需要進行網(wǎng)頁的編輯更新，豐富的內容需要組織較多人力進行更新。

2.2 部門多，協(xié)調不易

網(wǎng)站的管理主要包括網(wǎng)站信息、網(wǎng)站應用程序開發(fā)、功能升級、服務器運行和安全維護等工作。一般情況下，日常更新版塊由省局及市縣各所屬部門指定專人通過網(wǎng)站后臺上傳，辦公室進行審核后；定期更新版塊由各所屬部門提供審核后的信息由局網(wǎng)站技術人員上傳。網(wǎng)站應用程序開發(fā)、功能升級、服務器運行和安全維護則有局網(wǎng)站技術人員負責。參與網(wǎng)站管理的部門較多，需要完善的網(wǎng)站管理制度來進行管理協(xié)調工作。

2.3 內容多，備份不易

隨著網(wǎng)站版塊的增加和運行時間的延續(xù)，網(wǎng)站容量不斷加大，不能及時清理的垃圾文件也隨之增多。我局網(wǎng)站容量逐年增加，并還將有上漲的趨勢。如果今后沒有專門的設備和技術，網(wǎng)站的集中備份難度將很大。

2.4 人員多，管理不易

參與網(wǎng)站管理人員不僅包括省局各部門，還包括了大量市縣局、臺站的工作人員，變化快，網(wǎng)絡知識不足，很多管理人員會辦公自動化軟件的操作，但是普遍缺少網(wǎng)絡安全知識和安全技術，安全意識淡薄。

3 可能存在的網(wǎng)站安全隱患

3.1 客觀因素

（1）病毒。目前網(wǎng)站安全的頭號大敵是計算機病毒，它是編制者在計算機程序中插入的破壞計算機功能或數(shù)據(jù)，影響計算機軟、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點。

（2）軟件漏洞。每一個操作系統(tǒng)或網(wǎng)絡軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地，一旦連接入網(wǎng)，將成為眾矢之的。

（3）黑客。電腦黑客利用系統(tǒng)中的安全漏洞非法進入他人計算機系統(tǒng)，危害非常大。從某種意義上講，黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。

3.2 人為因素

（1）安全意識不強。網(wǎng)站管理人員不在崗，用戶口令選擇不慎，將自己的賬號隨意轉借給他人或與別人共享等都會對網(wǎng)站安全帶來威脅。

（2）網(wǎng)站后臺配置不當。安全配置不當造成安全漏洞。例如防火墻軟件的配置不正確。對特定的網(wǎng)絡應用程序，當它啟動時，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置。否則，安全隱患始終存在。

4 網(wǎng)站信息安全防護體系建設

4.1 防護體系設計

中科院劉寶旭等設計了一個基于模型的網(wǎng)絡安全綜合防護系統(tǒng)（PERR），該模型由防護（Protection）、預警檢測（Early warning & Detection）、響應（Response）、恢復（Recovery）四個部分構成一個動態(tài)的信息安全周期，同樣可以適用于我局網(wǎng)站信息安全的防護與應急工作。

4.2 防護體系建設

4.2.1安全防護中心

網(wǎng)站目前安全防護主要采用硬件防火墻、Webgard軟件防火墻、瑞星殺毒、清除木馬、360安全衛(wèi)士及系統(tǒng)安全設置來進行日常的防護。

安全防護中心的主要職能是通過安全產(chǎn)品、技術、制度等手段，達到提高被保護網(wǎng)絡信息系統(tǒng)對安全威脅的防御能力和抗攻擊能力，同時，加強管理人員對信息系統(tǒng)的安全控管能力。其建設可從安全加固和安全管理兩個角度來考慮。通過對網(wǎng)絡拓撲結構的調整、系統(tǒng)配置的優(yōu)化，并部署入侵檢測、防病毒、反垃圾郵件、身份認證、數(shù)據(jù)加密等安全產(chǎn)品和系統(tǒng)進行安全加固；通過制定管理制度進行安全管理，使用安全管理平臺等技術手段，統(tǒng)一配置管理系統(tǒng)中的主機、網(wǎng)絡設備及安全設備，增強監(jiān)控能力，使其運轉更為協(xié)調，最大程度地發(fā)揮安全防護效能。

4.2.2安全預警檢測中心

網(wǎng)站目前安全檢測主要采用IDS（Intrusion Detection Systems ）入侵檢測、防病毒熊貓網(wǎng)關、防火墻等來進行安全預警檢測。

安全預警中心的主要職能：（1）預警，可通過漏洞掃描、網(wǎng)絡異常監(jiān)控、日志分析、問題主機發(fā)現(xiàn)等技術手段以及評估、審計等安全服務來實現(xiàn)；（2）檢測，可使用入侵檢測、病毒檢測（防病毒墻）等工具和異常流量、異常網(wǎng)絡行為發(fā)現(xiàn)等手段和工具。

4.2.3應急響應中心

安全問題發(fā)生時需要盡快響應，以阻止攻擊行為的進一步破壞。所以需要建立一個完善的的應急響應中心，對安全事件、行為、過程及時做出響應和處理，對可能發(fā)生的入侵行為進行限制，杜絕危害的進一步蔓延擴大，最大程度降低其造成的影響，避免出現(xiàn)業(yè)務中斷等安全事故。

應急響應中心處理的手段包括阻斷、隔離、轉移、取證、分析、系統(tǒng)恢復、手工加固、跟蹤攻擊源甚至實施反擊等?？赏ㄟ^制定應急響應制度、規(guī)范操作流程，并輔以緊急響應工具和服務來實現(xiàn)。

4.2.4災備恢復中心

網(wǎng)站災備恢復目前主要采取人工定期備份的方式。災備恢復中心建設主要通過冗余備份等方式，確保在被保護網(wǎng)絡信息系統(tǒng)發(fā)生了意想不到的安全事故之后，被破壞的業(yè)務系統(tǒng)和關鍵數(shù)據(jù)能夠迅速得到恢復，從而達到降低網(wǎng)絡信息系統(tǒng)遭受災難性破壞的風險的目的。備份包括本地、異地、冷備、熱備等多種方式，按照不同備份策略，利用不同設備和技術手段來實現(xiàn)。

5 應急預案規(guī)劃設計

5.1 應急隊伍建設

組建一支專業(yè)化程度較高、技術一流的信息安全技術服務隊伍是網(wǎng)站信息安全應急預案規(guī)劃設計的人員保障。為保證應急情況下應急機制的迅速啟動和指揮順暢，應急組織應設立領導組和技術組。

領導組主要職責包括：（1）研究布置應急行動有關具體事宜；（2）應急行動期間的總體組織指揮；（3）向上級匯報應急行動的進展情況和向有關部門通報相關情況；（4）負責與有關部門進行重大事項的工作協(xié)調；（5）負責應急行動其它的有關組織領導工作。

技術組主要職責包括：（1）執(zhí)行領導組下達的應急指令；（2）負責應急行動物資器材的準備；（3）負責處理現(xiàn)場一切故障現(xiàn)象；（4）隨時向領導小組匯報應急工作的進展情況；（5）負責聯(lián)系相關廠商和技術人員，獲取技術支持。

5.2 應急標準

研究網(wǎng)站安全隱患，結合我局網(wǎng)站管理現(xiàn)狀，確立應急標準：（1）網(wǎng)站、網(wǎng)頁出現(xiàn)非法言論；（2）黑客攻擊、網(wǎng)頁被篡改；（3）突發(fā)事件發(fā)生后大量并發(fā)訪問；（4）軟件系統(tǒng)遭受破壞性攻擊；（5）設備安全故障；（6）數(shù)據(jù)庫安全受侵害；（7）感染病毒。

5.3 應急流程圖設計

如圖2所示。

6 結束語

網(wǎng)站信息安全防護與應急是一項綜合性和專業(yè)化程度較高的安全技術服務措施，制度建設是基礎，隊伍建設是保證，技術手段是根本。網(wǎng)站安全隱患和安全時間是所有網(wǎng)站管理人員不想遇到但又不可避免的事件，只有通過加強日常的管理和維護，不斷完善防護與應急機制，提高技術水平和工作的責任心，才可以有效抑制網(wǎng)站安全事件的發(fā)生，保障網(wǎng)站的安全正常運行。

參考文獻

[1] 劉寶旭，陳秦偉，池亞平等.基于模型的網(wǎng)絡安全綜合防護系統(tǒng)研究[J].計算機工程，2007，33（12）：151～153.

[2] 張帆，劉智.網(wǎng)站安全事件的應急響應措施討論[J].黃石理工學院學報，2008，24（2）：38～40.

[3] 陳勝權.基于USB Key的政府門戶網(wǎng)站保護方案[J].信息安全與通信保密，2007（11）：36～39.

[4] 張薇.論政府門戶網(wǎng)站安全保障體系建設[J].黑龍江科技信息，2008年（21）：66～66.

[5] 劉少英.防病毒策略在政府門戶網(wǎng)站中的應用[J].網(wǎng)絡安全技術與應用，2003（5）：20.

[6] 楊莉.政府網(wǎng)站的安全性問題研究[J].科技管理研究，2001（6）：77～79.

[7] 曹颯.信息整合是地震政務網(wǎng)站建設的基礎和關鍵[J].國際地震動態(tài)，2008，1（1）：34～38.

[8] 陳錦華.計算機網(wǎng)絡應急響應研究[J].計算機安全，2007（12）：50～52.

基金項目：

安徽省地震局2010年科研合同制課題項目（201041）。

篇2

關鍵詞：網(wǎng)絡環(huán)境 企業(yè)信息 安全管理

引言

隨著社會的發(fā)展，企業(yè)對信息資源的依賴程度來越大，由此帶來的信息安全問題也日益突出。生產(chǎn)中的業(yè)務數(shù)據(jù)、管理中的重要信息，如果企業(yè)自身的信息安全管理有重大疏漏，也無法保證數(shù)據(jù)的安全可靠。當前，企業(yè)在黑客病毒日益猖撅的網(wǎng)絡環(huán)境下不僅要保護自身信息的安全，還要保護業(yè)務數(shù)據(jù)的信息安全，因此有必要從體系管理的高度構建企業(yè)信息安全。

一、企業(yè)信息安全的二維性

當前，企業(yè)信息安全已涉及到與信息相關的各方面。企業(yè)信息安全不僅要考慮信息本身，還需要考慮信息依附的信息載體（包括物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡平臺和應用平臺，例如PC機、服務器等）的安全以及信息運轉所處環(huán)境（包括硬環(huán)境和軟環(huán)境，例如員工素質、室內溫度等）的安全。資產(chǎn)如果不對影響信息安全的各個角度進行全面的綜合分析，則難以實現(xiàn)企業(yè)信息安全。因此，需要從企業(yè)信息安全的總體大局出發(fā)，樹立企業(yè)信息安全的多維性，綜合考慮企業(yè)信息安全的各個環(huán)節(jié)，揚長避短，采取多種措施共同維護企業(yè)信息安全。

1、技術維：技術發(fā)展是推動信息社會化的主要動力，企業(yè)通常需要借助于一項或多項技術才能充分利用信息，使信息收益最大化。然而，信息技術的使用具有雙面性，人們既可以利用技術手段如電子郵件等迅速把信息發(fā)送出去，惡意者也可由此截獲信息內容。為確保企業(yè)信息安全，必須合理的使用信息技術，因此，技術安全是實現(xiàn)企業(yè)信息安全的核心。

1）惡意代碼和未授權移動代碼的防范和檢測。網(wǎng)絡世界上存在著成千上萬的惡意代碼（如計算機病毒、網(wǎng)絡蠕蟲、特洛伊木馬和邏輯炸彈等）和未授權的移動代碼（如Javaseript腳本、Java小程序等）。這些代碼會給計算機等信息基礎設施及信息本身造成損害，需要加以防范和檢測。

2）信息備份。內在的軟硬件產(chǎn)品目前還不能確保完全可靠，還存在著各種各樣的問題。外在的惡意代碼和未授權移動代碼的攻擊，也會造成應用信息系統(tǒng)的癱瘓。為確保信息的不丟失，有必要采取技術備份手段，定期備份。

3）訪問權限。不同的信息及其應用信息系統(tǒng)應有不同的訪問權限，低級別角色不應能訪問高級別的信息及應用信息系統(tǒng)。為此，可通過技術手段設定信息的訪問權限，限制用戶的訪問范圍。

4）網(wǎng)絡訪問。當今，一個離開網(wǎng)絡的企業(yè)難以成功運轉，員工通常需要從網(wǎng)絡中獲取各種信息。然而，網(wǎng)絡的暢通也給惡意者提供了訪問企業(yè)內部信息的渠道。為此，有必要采用網(wǎng)絡防火墻技術，控制內部和外部網(wǎng)絡的訪問。

2、管理維：企業(yè)信息安全不但需要依靠技術安全，而且與管理安全也息息相關。沒有管理安全，技術安全是難以在企業(yè)中真正貫徹落實的。管理安全在企業(yè)中的實施是企業(yè)信息得以安全的關鍵。企業(yè)應建立健全相應的信息安全管理辦法，加強內部和外部的安全管理、安全審計和信息跟蹤體系，提高整體信息安全意識，把管理安全落到實處。

l）信息安全方針和信息安全政策的制定。信息安全方針和信息安全政策體現(xiàn)了管理者的信息安全意圖，管理者應適時對信息安全方針評審，以確保信息安全方針政策的適宜性、充分性和有效性。

2）構建信息安全組織架構。為在企業(yè)內貫徹既定的信息安全方針和政策，確保整個企業(yè)信息安全控制措施的實施和協(xié)調，以及外部人員訪問企業(yè)信息和信息處理設施的安全，需要構建有效的信息安全組織架構。

二、企業(yè)信息安全構建原則

企業(yè)信息安全構建原則為確保企業(yè)信息的可用性、完整性和機密性，企業(yè)在日常運作時須遵守以下原則。

l）權限最小化。受保護的企業(yè)信息只能在限定范圍內共享。員工僅被授予為順利履行工作職責而能訪問敏感信息的適當權限。對企業(yè)敏感信息的獲知人員應加以限制，僅對有工作需要的人員采取限制性開放。最小化原則又可細分為知所必須和用所必須的原則，即給予員工的讀權限只限于員工為順利完成工作必須獲的信息內容，給予員工的寫權限只限于員工所能夠表述的內容。

2）分權制衡。對涉及到企業(yè)信息安全各維度的使用權限適當?shù)貏澐?，使每個授權主體只能擁有其中的部分權限，共同保證信息系統(tǒng)的安全。如果授權主體分配的權限過大，則難以對其進行監(jiān)督和制約，會存在較大的信息安全風險。因此，在授權時要采取三權分立的原則，使各授權主體間相互制約、相互監(jiān)督，通過分權制衡確保企業(yè)信息安全。例如網(wǎng)絡管理員、系統(tǒng)管理員和日志審核員就不應被授予同一員工。

三、企業(yè)信息安全管理體系的構建

信息安全管理體系模型企業(yè)信息安全管理體系的構建要統(tǒng)籌考慮多方面因素，勿留短板。安全技術是構建信息安全的基礎，員工的安全意識和企業(yè)資源的充分提供是有效保證安全體系正常運作的關鍵，安全管理則是安全技術和安全意識恒久長效的保障，三者缺一不可。因此，在構建企業(yè)信息安全管理體系時，要全面考慮各個維度的安全，做好各方面的平衡，各部門互相配合，共同打造企業(yè)信息安全管理平臺?？茖W的安全管理體系應該包括以下主要環(huán)節(jié)：制定反映企業(yè)特色的安全方針、構建強健有力的信息安全組織機構、依法行事、選擇穩(wěn)定可靠的安全技術和安全產(chǎn)品、設計完善的安全評估標準、樹立.員工的安全意識和營造良好的信息安全文化氛圍等。因此，為了使企業(yè)構建的信息安全管理體系能適應不斷變化的風險，必須要以構建、執(zhí)行、評估、改進、再構建的方式持續(xù)地進行，構成一個P（計劃）、D（執(zhí)行）、C（檢查）、A（改進）反饋循環(huán)鏈以使構建的企業(yè)信息安全管理體系不斷地根據(jù)新的風險做出合理調整。

四、結論

信息安全管理體系的構建對企業(yè)高效運行具有重要意義。只有全面分析影響企業(yè)信息安全的各種來源后才能構建良好的企業(yè)信息安全管理體系。從大量的企業(yè)案例來看，技術、管理和資源是影響企業(yè)信息安全的3個角度。為此，應從技術、管理和資源出發(fā)考慮信息安全管理體系的構建原則和企業(yè)信息安全管理體系應滿足的基本要求。同時，也應注意到，信息安全管理體系的構建不是一勞永逸而是不斷改進的，企業(yè)的信息安全管理體系應遵從PDCA的過程方法論持續(xù)改進，才能確保企業(yè)信息的安全長效。

參考文獻：

篇3

【關鍵詞】 等級保護 電力調度 管理制度

引言

我單位開展了信息安全等級保護安全建設整改、等級測評等工作。然而，隨著整改進程的深入，建立規(guī)范、高效、安全的信息系統(tǒng)運行維護和管理體系，如何將等級保護中的管理制度與本單位自身的安全生產(chǎn)、班組文化等制度結合，給管理工作帶來了新的挑戰(zhàn)，通過建立等級保護管理制度體系能夠更全面的提高電力調度系統(tǒng)運維管理層次，實現(xiàn)信息系統(tǒng)、數(shù)據(jù)資源集成整合和綜合高效利用，支撐實現(xiàn)電力調度的信息化發(fā)展目標。本文結合筆者在信息安全管理中的實踐和理解，對等級保護管理體系在工作中的應用提出一些個人的想法，供讀者借鑒。

一、建立等級保護制度體系目的和意義

為更好的提高信息安全保障能力和水平，依據(jù)《信息安全等級保護管理辦法》（公通字[2007]43號）、國家電網(wǎng)公司《信息系統(tǒng)安全等級保護建設的實施指導意見》（信息運安[2009]27號）、《SG186工程信息系統(tǒng)安全等級保護驗收標準（試行）》（信息運安[2009]44號）、《關于加強電力二次系統(tǒng)安全防護和等級保護工作的通知》（調自〔2012〕65號）等要求。進一步加強電力調度系統(tǒng)重要信息系統(tǒng)的安全保護，落實國網(wǎng)公司關于信息安全等級保護和安全防護體系建設的總體要求，我單位開展了信息安全等級測評和整 改工作。

二、等級保護管理制度體系分析

等級保護管理制度體系提供了對組織機構中信息系統(tǒng)全生存周期過程實施符合安全等級責任要求的管理，包括落實安全管理機構及人員，明確角色與職責，制定安全規(guī)劃、開發(fā)安全策略、實施風險管理、進行監(jiān)控、檢查，處理安全事件等，具體落實在要求則體現(xiàn)在等級保護測評指標中，等級保護管理要求如圖1所示。

三、等級保護管理體系建設實踐

在具體落實管理體系過程中，應結合原有的信息化管理制度，貫徹建立管理制度文件層級化和流程化管理概念，將方針策略、管理制度、操作規(guī)程和記錄表單等文件科學的管理運作；將信息化安全管理方針策略定義為一層策略文件；將溝通管理、信息化人員管理、授權與審批管理、文件規(guī)范性管理、介質管理、資產(chǎn)管理、網(wǎng)絡管理、系統(tǒng)管理、安全事件與應急管理、備份與恢復管理等方面定義為二層制度文件，落實一層文件中涉及的各方面運維和安全管理內容；將信息化運維管理的操作指導規(guī)范等定義為三層流程文件，支撐二層制度文件的具體操作；將所有信息化運維相關的表格定義為四層表格文件，落實并規(guī)范化所有運維操作，融合和動態(tài)的管理當前使用的管理制度體系結構，如圖2所示。

3.1安全管理的原則

1）基于安全需求原則：組織機構應根據(jù)其信息系統(tǒng)擔負的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風險分析安全需求，遵從相應等級的規(guī)范要求，從全局上恰當?shù)仄胶獍踩度肱c效果；

2）主要領導負責原則：主要領導應確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負責提高員工的安全意識，組織有效安全保障隊伍，調動并優(yōu)化配置必要的資源，協(xié)調安全管理工作與各部門工作的關系，并確保其落實、有效；

3）全員參與原則：信息系統(tǒng)所有相關人員應普遍參與信息系統(tǒng)的安全管理，并與相關方面協(xié)同、協(xié)調，共同保障信息系統(tǒng)安全；

4）持續(xù)改進原則：安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的分布變化，應及時地將現(xiàn)有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系；

5）分權和授權原則：對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權，避免權力過分集中所帶來的隱患，以減小未授權的修改或濫用系統(tǒng)資源的機會。

3.2管理制度體系框架構建

3.2.1工作目標

建立安全管理組織并落實各個部門信息安全責任人，明確組織內各機構人員責任和工作職能，確定信息安全管理體系方針策略，編制形成信息安全方針策略文件。

3.2.2建立信息安全管理組織

（1）建立信息安全管理組織架構

信息安全領導機構：供電公司信息化領導小組，主要負責對單位信息安全制定總體安全策略、監(jiān)督和協(xié)調各項安全措施在單位的執(zhí)行情況、設立落實信息安全責任。由供電公司分管領導擔任組長，小組成員為各個部門負責人組成。

（2）明確各相關機構和崗位角色的責任和職能

建立相應的職責文件，明確各相應領導、部門、崗位的職責。調度通信中心應設立信息安全工作的各關鍵崗位，如安全管理員、網(wǎng)絡管理員、操作系統(tǒng)管理員和數(shù)據(jù)庫管理員等，并將之與班組人員結合，并重視信息化人員的培養(yǎng)。

3.2.3確定安全管理總體方針策略

安全管理方針策略是為組織的每一個人提供基本的規(guī)則、指南、定義，從而在組織中建立一套信息資源保護標準，防止員工的不安全行為引入風險。同時，還是進一步制定控制規(guī)則、安全程序的必要基礎。應當目的明確、內容清楚，能廣泛地被組織成員接受與遵守，且要有足夠靈活性、適應性，能涵蓋較大范圍內的各種數(shù)據(jù)、活動和資源。可以使員工了解與自己相關的信息安全保護責任，強調安全對組織業(yè)務目標的實現(xiàn)、業(yè)務活動持續(xù)運營的重要性。

安全方針策略屬于高層管理文件，簡要陳述信息安全宏觀需求及管理承諾，應該篇幅短小，內容明確。信息安全方針應當簡明、扼要，便于理解，至少應包括以下內容：

（1）信息安全的定義，總體目標、范圍，安全對信息共享的重要性；

（2）管理層意圖、支持目標和信息安全原則的闡述；

（3）信息安全控制的簡要說明，以及依從法律、法規(guī)要求對組織的重要性；

（4）信息安全管理的一般和具體責任定義，包括報告安全事故；

（5）信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責，陳述組織的安全目標，為安全措施在組織的強制執(zhí)行建立相關輿論與規(guī)則的基礎。

3.3管理制度體系策略建立

3.3.1工作目標

建立覆蓋信息工作的全部文件，包含安全策略、制度、規(guī)定規(guī)范、表單，完善所有活動流程管理。

3.3.2建立體系策略制度文件

信息安全策略是組織信息安全活動的最高方針，需要根據(jù)信息工作的實際情況，分別制訂不同的信息安全策略。應該簡單明了、通俗易懂，并形成書面文件，發(fā)給單位內的所有成員。同時要對所有相關員工進行信息安全策略的培訓，以使信息安全方針真正植根于單位內所有員工的腦海并落實到實際工作中。根據(jù)本單位實際情況，建立的策略文件，所有文件均需進行論證和評審。

（1）信息安全管理策略

作為所有系統(tǒng)的指導性方針文件，提供信息安全的基本規(guī)則、指南、定義。依據(jù)本策略應制定各管理制度、操作和使用規(guī)范。

（2）系統(tǒng)運維安全管理策略

作為所有系統(tǒng)運行維護的指導性方針文件，提供系統(tǒng)安全運行維護的基本規(guī)則、指南、定義。依據(jù)本策略應制定系統(tǒng)運行維護中相關的各種管理制度和規(guī)定，以及控制各項活動的記錄表單和審批流程。應覆蓋機房、網(wǎng)絡、系統(tǒng)、資產(chǎn)、備份、日常運維等所有運行維護工作的范圍。

（3）系統(tǒng)建設安全管理策略

作為所有信息化工作建設的指導性方針文件，提供信息工作相關的建設安全管理的基本規(guī)則、指南、定義。依據(jù)本策略應形成項目管理、采購管理、工程實施管理、測試及驗收管理等建設管理的全過程管理制度，相應的控制表單和審批規(guī)定。

（4）人員安全管理策略

由于在系統(tǒng)、運維、建設方面已經(jīng)對人員在該活動中的行為做了要求，人員安全管理主要需要考慮的問題是錄用、離崗、保密、教育培訓、考核及外來人員方面的管理，也可以直接制定比較詳細的人員安全管理制度。

（5）管理流程

梳理并完善各種活動的詳細流程圖，任何針對信息系統(tǒng)的活動均有流程可依據(jù)進行控制管理。如事件管理流程、變更管理流程等。

（6）其他輔助制度

建立輔助文件，如對以上策略、制度、表單等進行管理的文件管理制度、保密制度、信息規(guī)定等。

3.4管理制度體系運作落實

3.4.1工作目標

逐項實施，直至體系全面運行，監(jiān)督落實安全策略制度，找出體系中的不適用和缺陷。

3.4.2實施

經(jīng)過第一和第二階段的工作，理論上單位已初步形成完整的信息安全管理體系，但體系是否能正常運作發(fā)揮作用，需要對體系進行驗證，驗證的方法就是運行體系。

體系的運行分幾步進行：

對通過論證評審的文件，通過正規(guī)渠道正式發(fā)文的方式進行，的文件根據(jù)情況決定是否采取“征求意見稿”或“暫行”；

文件前召集相關部門的負責人學習文件，并要求確保落實力度；

的文件要求相關部門組織學習，并依照實施；

各相關部門對運行的文件制度運行情況進行收集，存在實際困難無法落實的報評審組織評審適用性；

對“征求意見稿”的文件，必須從實施的相關部門采集意見。

體系實施階段可以在體系建立階段同步開展，建立部門策略制度后，通過論證評審即可進行試運行，不需等全套文件完成。

3.4.3監(jiān)督

指定或成立跨部門監(jiān)督機構、人員，對文件實施的過程進行監(jiān)督管理，制定相應的懲戒措施，對落實情況進行監(jiān)督檢查，對違反文件實施和實施不力的部門或人員進行懲戒，切實落實文件的有效實施。收集監(jiān)督過程中發(fā)現(xiàn)的文件問題、人員實施問題方面資料，反饋到編制組織。

本階段是系統(tǒng)建立的關鍵階段，是信息安全管理體系要分析運行效果，尋求改進機會的階段。如果發(fā)現(xiàn)一個控制措施不合理、不充分，就要采取糾正措施，以防止信息系統(tǒng)處于不可接受風險狀態(tài)。必須強調相關領導應重視本階段工作，并且從實際上支持和推動實施工作。且應加大學習培訓和監(jiān)督力度，落實懲戒措施。讓文件涉及的相關部門和相關人員熟知該文件并能按要求準確執(zhí)行。

3.5管理制度體系細化調整

3.5.1工作目標

總結體系運行情況，調整不適用和無法落實的部分，完善體系，使之能高效、有序的運作。

3.5.2評審

評審有兩個環(huán)節(jié)，第一個環(huán)節(jié)是針對出現(xiàn)的問題進行審核，論證其原因，進行改正完善。第二個環(huán)節(jié)是在大部分問題解決后、體系正常的情況下全面評審體系文件、組織、活動是否達到預期目標。

首先，信息安全領導小組組織相關部門人員，對體系實施中發(fā)現(xiàn)的問題進行審核，對落實不力的部門責成落實；對實際存在的問題進行論證，提出解決辦法；對不適用的文件或部分進行論證評審，確實存在不適用的文件則組織相關人員進行修訂，轉入修訂環(huán)節(jié)，對于不適用且沒必要存在的文件進行廢止。

而后，對于本階段計劃時間內反饋沒發(fā)現(xiàn)問題的文件，組織相關部門評審試行效果，達到預期要求則作為正式版運行，并采用持續(xù)優(yōu)化階段的方式進行管理，未達預期目的則轉入重新編制程序。

3.5.3修訂

對于存在問題的策略文件，組織該策略文件涉及最多的主體部門和其他相關部門人員成立臨時修訂機構，針對文件存在問題進行修訂。修訂后進行新版本的頒布，同時該文件轉入落實階段。

3.5.4測評

經(jīng)過細化調整，不斷地審核修訂后，體系應已基本完善，此時轉入評審的第二環(huán)節(jié)。按照符合等級保護要求的預期目標，委托等級保護測評機構進行等級保護測評，在保證客觀、合規(guī)、公正的前提下，對單位信息安全體系進行全面評審。整體測評后，對不滿足要求的部分進行整改，整改完成后轉入實施階段，直至符合要求。

3.6管理制度體系持續(xù)優(yōu)化

通過前四個階段的工作，信息安全管理體系應基本穩(wěn)定、成熟，后期的工作在于保持并進行不斷地優(yōu)化。把經(jīng)過檢驗的文件作為常態(tài)的管理遵循依據(jù)，在日常工作中保持，不因試行結束而松懈。部門和人員應把試行期間依照文件要求形成的工作模式進一步完善保持，在未發(fā)生異常情況之前，始終按照正式版本執(zhí)行。定期進行評審，找出不適用部分進行優(yōu)化調整；結合工作實際，尋求更高效安全的方法優(yōu)化體系，提高效能。

篇4

關鍵詞 信息系統(tǒng)；安全；保障體系；技術；信息技術基礎設施

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2013）14-0137-02

油服信息技術應用與集中程度的不斷深入提高，信息安全保障體系建設工作已成為信息化建設過程中的重要組成部分。油服具有地域分布廣、業(yè)務復雜多樣等特點，在信息安全形勢多變的情況下，獨立分散的安全措施已無法更好地滿足安全防護需求。信息安全若不能得到很好的保障，將給公司的業(yè)務正常運作及辦公穩(wěn)定性、高效性和有效性帶來影響。因此，需完善公司的信息安全政策方針、規(guī)劃并建立符合油服實際情況的信息安全保障體系，采用先進的安全管理過程模式，完善信息安全管理制度與規(guī)范，提高員工的信息安全意識，提升風險控制及保障水平，以支撐油服核心業(yè)務的健康發(fā)展。

1 信息安全保障體系

1.1 信息安全保障體系建設需求

油服在信息安全方面已部署了部分信息安全防護措施，如劃分安全域、部署邊界訪問控制設備、配備入侵防御系統(tǒng)、部署統(tǒng)一的防惡意代碼軟件等。與此同時，每年都開展信息系統(tǒng)安全測評工作，對公司的信息系統(tǒng)進行安全等級測評差距分析、安全問題整改咨詢核查以及滲透性測試等，從而能夠較為全面的掌握當前各信息系統(tǒng)和信息安全管理制度的建設、運維和使用情況，以提高信息系統(tǒng)的安全防護能力。但從總體來看，仍缺乏信息安全保障體系框架，總體安全方針和策略不夠明確，安全區(qū)域劃分不夠細致，網(wǎng)絡設備和重要服務器的安全策略缺乏統(tǒng)一標準，未部署安全運維管理中心，無法真正起到縱深安全防御的效用。

1.2 信息安全保障體系目標與定位

信息安全保障體系的建設要結合油服的信息安全需求、網(wǎng)絡應用現(xiàn)狀及未來發(fā)展趨勢，在風險評估的基礎上，明確與等級保護相適應的安全策略及具體的實施辦法。對全網(wǎng)進行合理的安全域劃分，技術與管理并重的同時，以應用與實效為主導，從網(wǎng)絡、應用系統(tǒng)、組織管理等方面，保障油服信息安全，形成集檢測、響應、恢復、防護為一體的安全保障體系。

2 油服信息安全保障體系架構模型

油服信息安全保障體系框架采用“結構化”的分析和控制方法，縱向把保護對象分成安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡；橫向把控制體系分成安全管理、安全技術和安全運行的控制體系，同時通過“一個安全管理中心”的安全管理概念和模式，形成一個依托于安全保護對象為基礎，橫向建立安全管理體系、安全技術體系、安全運行體系和安全管理中心“三個體系、一個中心、三重防護”的信息安全保障體系

框架。

2.1 安全管理體系

根據(jù)等級保護基本要求的相關內容，信息安全管理體系重點落實安全管理制度、安全管理機構和人員安全管理的相關控制要求。

2.2 安全技術體系

根據(jù)等級保護基本要求的相關內容，通過安全技術在物理、網(wǎng)絡、主機、應用和數(shù)據(jù)各個層面的實施，建立與實際情況相結合的安全技術體系。

2.3 安全運行體系

根據(jù)等級保護基本要求的相關內容，信息安全運行體系重點落實系統(tǒng)建設管理和系統(tǒng)運維管理的相關控制要求，并與實際情況相結合，形成符合等級保護要求的信息安全運行體系

框架。

2.4 安全管理中心

根據(jù)等級保護基本要求和安全設計技術要求的相關內容，通過“自動、平臺化”的方式，對信息安全管理、技術、運行三個體系的相關控制內容，結合實際情況加以落實。

3 油服信息安全保障體系架構設計

3.1 安全管理體系架構設計

信息安全管理體系架構的設計可從以下3方面開展。

3.1.1 信息安全組織

油服信息安全組織為信息安全管理委員會，各業(yè)務部門為信息安全小組，部門經(jīng)理為本小組的第一安全責任人。同時，定義了組織中各職能角色的職責，以此指導信息安全工作開展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及時反映公司的信息安全風險動態(tài)，便于靈活地修訂與更新；另一方面確保信息安全技術與管理人員及用戶能夠了解哪些是禁止做的，哪些是必須做的。

3.1.3 人員安全管理

在人員安全管理方面，可以通過對人員錄用、調用、離崗、考核、培訓教育和第三方人員安全幾個方面進行設計。

3.2 安全技術體系架構設計

信息安全技術體系架構設計可從以下3個方面開展。

3.2.1 信息安全服務架構

信息安全服務架構設計分為保護、檢測、響應與恢復四個環(huán)節(jié)，實現(xiàn)對信息可用性、完整性和機密性的保護，監(jiān)測檢查系統(tǒng)存在的安全漏洞，對危害系統(tǒng)安全的事件行為做出響應

處理。

3.2.2 信息技術基礎設施安全架構

信息技術基礎設施安全架構以網(wǎng)絡安全架構為主體，結合系統(tǒng)軟硬件進行安全配置和部署。網(wǎng)絡安全架構的規(guī)劃根據(jù)網(wǎng)絡所承載的應用系統(tǒng)特性和所面臨的風險劃分不同的網(wǎng)絡安全域，并實施安全防護措施。

3.2.3 應用安全架構

應用系統(tǒng)的信息安全保障是在信息技術基礎設施安全架構上，更多地關注已有的信息安全服務是否被充分利用。為滿足業(yè)務系統(tǒng)對信息安全的需求，通過在業(yè)務系統(tǒng)中實現(xiàn)集成保障信息安全的機制，從而達到信息安全技術控制要求。

3.3 安全運行體系架構設計

油服信息安全運行體系架構設計主要從以下3個方面開展。

3.3.1 信息系統(tǒng)安全等級劃分

油服信息系統(tǒng)安全等級劃分從信息資產(chǎn)等級、網(wǎng)絡系統(tǒng)等級和應用系統(tǒng)等級三個方面進行定義。

3.3.2 信息安全技術控制

信息安全技術控制是由系統(tǒng)自身自動完成的安全控制。主要在信息系統(tǒng)的網(wǎng)絡層、系統(tǒng)層和應用層，包含身份鑒別、訪問控制、安全審計等五大類通用技術。

3.3.3 信息安全運作控制

信息安全運作控制是在油服業(yè)務運作和信息技術運作過程中進行實施的運作類安全控制，包括控制針對的主要風險點及具體分類。

4 結束語

在油服業(yè)務不斷拓展，國際化步伐不斷深入的過程中，信息系統(tǒng)在公司發(fā)展中的作用和地位日趨重要。公司對信息系統(tǒng)的依賴性也在不斷增長，信息安全也愈發(fā)重要。健全油服信息安全保障體系，為實現(xiàn)“制度標準化、工作制度化”的管理常態(tài)奠定了堅實的基礎。油服信息安全保障體系不僅從物理網(wǎng)絡安全、系統(tǒng)應用安全、數(shù)據(jù)和用戶安全等方面入手，還從安全域劃分、安全邊界防護、主動監(jiān)控、訪問控制和應急響應等方面綜合考慮，進一步加強落實信息安全等級保護的基本要求，初步實現(xiàn)對網(wǎng)絡與應用系統(tǒng)細粒度、全方位的安全管控，從而更為有效地提升了油服在信息安全方面的管理水平。

參考文獻

[1]馬永.淺談企業(yè)信息安全保障體系建設[J].計算機安全，2007（7）：72-75.

[2]王朗.一個信息安全保障體系模型的研究和設計[J].北京師范大學學報（自然科學版），2004（2）：58-62.

[3]黃海鷹.信息安全保障體系建設研究[J].數(shù)字圖書館論壇，2009（9）：13-15.

篇5

2007年12月28日，中國光大銀行信用卡中心在京召開新聞會，宣布正式通過ISO27001信息安全管理體系國際認證，成為國內首家通過該項認證的信用卡中心。這是中國光大銀行信用卡中心繼2006年6月通過CCCS五星級級客戶服務認證和2006年9月通過ISO9001質量管理體系認證之后取得的又一成就，標志著該行信用卡業(yè)務在保障客戶信息安全、強化內部管理方面已居于國內領先水平。

在日漸激烈的信用卡競爭環(huán)境中，中國光大銀行信用卡業(yè)務以“制度化、規(guī)范化、標準化、專業(yè)化”為方向，摒棄片面追求規(guī)模的定式，致力于產(chǎn)品創(chuàng)新、服務提升與品牌建設，建立了獨具特色的信用卡經(jīng)營和發(fā)展模式，取得了令人矚目的成就。為進一步提高服務質量，保障信息安全，該行信用卡中心于2007年3月正式啟動ISO27001信息安全管理體系認證項目，并提出“關注客戶、信息安全”的信息安全方針。以此為契機，中國光大銀行信用卡中心在保障客戶信息安全、降低外包業(yè)務風險、保障業(yè)務的持續(xù)性等方面進行了全面提升與改進。

一是在保障客戶信息安全、防止客戶信息泄密方面，中國光大銀行根據(jù)自身業(yè)務實際，通過開展信息資產(chǎn)識別、風險評估、體系文件編寫、體系試運行、內外審等主要工作，在信用卡中心建立起了信息安全管理體系，從而形成一套策略規(guī)程和控制措施，將信息安全的控制措施貫穿于業(yè)務的各個環(huán)節(jié)，使信息安全保障工作成為日常工作的組成部分，在日常工作中關注客戶，保障信息安全。二是降低外包業(yè)務風險方面，光大銀行針對信用卡行業(yè)外包業(yè)務多的現(xiàn)實，通過規(guī)范數(shù)據(jù)交互、調聽錄音、查看系統(tǒng)日志、現(xiàn)場檢查、第三方檢查等手段，并督促外包公司建章建制、規(guī)范管理等一系列措施，有效降低了外包業(yè)務的風險。三是業(yè)務持續(xù)性方面，光大銀行針對影響業(yè)務持續(xù)性的主要因素進行了風險評估，根據(jù)風險評估的結果，制訂了業(yè)務持續(xù)性管理計劃，并進行了業(yè)務持續(xù)性演練，為業(yè)務的持續(xù)發(fā)展提供了保障。

ISO27001：2005是標志信息安全的最主要國際化標準之一，是基于最佳實踐的總結，至今已被全球數(shù)百家世界級組織采用，中國光大銀行率先將其引入信用卡領域，為保障客戶信息安全尋求到一條積極高效的道路，為自身業(yè)務高速穩(wěn)健的發(fā)展奠定了堅實的基礎。

篇6

自20世紀80年代以來，隨著信息技術迅速滲透到社會經(jīng)濟的各個領域，尤其是Internet/Intranet技術和電子商務（Ecommerce）的廣泛應用，推動著人類社會從工業(yè)經(jīng)濟時代向網(wǎng)絡經(jīng)濟時代和信息化社會的方向前進。在這個動態(tài)演進的過程中，經(jīng)濟發(fā)展越來越需要信息的支持，信息已成為經(jīng)濟發(fā)展的戰(zhàn)略資源和社會管理的基本要素。

企業(yè)的信息化建設對于企業(yè)發(fā)展具有重要的戰(zhàn)略意義。對信息的采集、共享、利用和傳播成為決定企業(yè)競爭力的關鍵因素。只有實現(xiàn)信息化，企業(yè)才可能實現(xiàn)企業(yè)生產(chǎn)經(jīng)營活動的運營自動化、管理網(wǎng)絡化、決策智能化，從而理順和提高企業(yè)的管理水平，提高設計效率，降低企業(yè)的庫存，節(jié)約占用資金，降低生產(chǎn)成本，改善職工的工作環(huán)境，縮短企業(yè)的服務時間和提高企業(yè)的客戶滿意度，并可及時地獲取客戶需求，實現(xiàn)按訂單生產(chǎn)。

但是，信息化也使企業(yè)同時承受著巨大的信息安全的風險。據(jù)統(tǒng)計，全球平均20秒就發(fā)生一次計算機病毒入侵；互聯(lián)網(wǎng)上的防火墻大約25%被攻破；竊取商業(yè)信息的事件平均以每月260%的速度增加；約70%的網(wǎng)絡主管報告了因機密信息泄露而受損失。我國公安機關2002年共受理各類信息網(wǎng)絡違法犯罪案件6633起，與上年相比增長45.9%，其中利用計算機實施的違法犯罪5301起，占案件總數(shù)的79.9%.而病毒的泛濫，更讓國內眾多企業(yè)蒙受了巨額經(jīng)濟損失。加強信息安全建設，已成了目前國內外企業(yè)迫在眉睫的大事。

二、信息安全和信息安全管理

根據(jù)國際標準化組織（ISO）的定義，信息安全是“在技術上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露”。信息安全是一個動態(tài)的復雜過程，它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個生命周期。

信息安全的威脅來自于內部破壞、外部攻擊、內外勾結進行的破壞以及自然危害。必須按照風險管理的思想，對可能的威脅、脆弱性和需要保護的信息資源進行分析，依據(jù)風險評估的結果為信息系統(tǒng)選擇適當?shù)陌踩胧?，妥善應對可能發(fā)生的風險。信息安全的目標就是要保證敏感數(shù)據(jù)的機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）[1].為了達到這個目的，人們建立起信息安全管理體系（InformationSecurityManagementSystems）。它是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的系統(tǒng)，表示成方針、原則、目標、方法、過程、核查表（Checklists）等要素的集合。

在信息安全管理體系中，通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等建立起信息安全管理框架。在該體系中，人們在技術層面作了許多卓越而富有成效的工作來保障企業(yè)信息安全，如密碼學和訪問控制等。但僅僅依靠技術手段不可能徹底解決信息安全問題。這是因為，信息以及信息用戶的社會屬性決定了信息安全中存在非技術因素，而從屬于非技術因素的問題，無法依靠單純的技術手段加以解決[2].非技術手段主要包括法律手段、經(jīng)濟手段和行政手段等，在市場經(jīng)濟環(huán)境中，企業(yè)應首選法律和經(jīng)濟手段來保護信息安全。

三、法務會計師在企業(yè)信息安全管理中的作用

信息及信息用戶的社會屬性使得法務會計師為企業(yè)提供專業(yè)服務成為必要，而法務會計師獨特的知識結構和專業(yè)經(jīng)驗使得其在企業(yè)信息安全管理發(fā)揮其獨特作用提供了可能。根據(jù)信息安全風險的成因，法務會計師可以因地制宜地制定相關對策。當前威脅企業(yè)信息安全的主要成因是：

1.技術風險。主要包括信息電磁化風險和系統(tǒng)及軟件風險。在網(wǎng)絡環(huán)境下，企業(yè)的各種票證和帳單等以人眼無法直接辨別的電磁信息的形式在網(wǎng)上傳遞并存儲于磁性介質中，在傳遞及存儲過程中均有被攻擊者篡改或截獲的可能。

2.人員風險。由于企業(yè)中負責具體業(yè)務的人員并不一定熟悉計算機操作，因此在系統(tǒng)使用過程中極有可能出現(xiàn)由于人員操作不當而造成的意外損失。而由于系統(tǒng)管理涉及企業(yè)重要機密，操作人員是否會利用職權之便對信息進行破壞或剽竊也是企業(yè)管理者應該關注的重要問題。

3.法律風險。網(wǎng)絡的出現(xiàn)和廣泛應用對傳統(tǒng)社會產(chǎn)生了強烈的沖擊，舊有的法律法規(guī)體系已不能完全適應、指導和規(guī)范網(wǎng)絡安全的實踐。網(wǎng)絡本身的虛擬性、實時性、廣泛性要求更加切實可行，更加完備的標準準則和法律法規(guī)的出現(xiàn)。

現(xiàn)階段，面對信息安全的威脅，企業(yè)缺乏有力的系統(tǒng)性的對應措施和策略，基本處于“頭痛醫(yī)頭、腳痛醫(yī)腳”的狀態(tài)，解決方案手段單一，缺乏多種手段的共同治理。很多組織已經(jīng)越來越意識到要真正達到信息安全的目標僅僅通過信息安全技術和產(chǎn)品是不可能實現(xiàn)的，結合法律、制度等社會性手段的信息安全管理體系（ISMS）的搭建才能實現(xiàn)信息系統(tǒng)的整體安全保障。因為，很多企業(yè)信息資產(chǎn)安全管理方面除了存在信息安全技術薄弱方面的原因外，還存在如下一些問題如，信息安全管理制度過于簡單，內容不全；交叉重復，混亂無章；求大求全，無針對性；鎖在柜中，無人問津；以及制度執(zhí)行中的人為破壞等等。

建立包含技術和法律等手段的多層面的信息安全管理體系可以強化員工的信息安全意識，規(guī)范組織的信息安全行為，對組織的關鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢；在信息系統(tǒng)受到侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度；使組織的商業(yè)伙伴和客戶對組織充滿信心，提高組織的知名度與信任度。因為信息安全事關企業(yè)信息資產(chǎn)和業(yè)務安全，需要通過法制渠道滿足企業(yè)在電子商務和管理環(huán)境中維護競爭優(yōu)勢的需要，法務會計師可以充分利用其在法律和會計信息管理方面的優(yōu)勢，為企業(yè)建立有效的信息資產(chǎn)保護計劃提供有價值的服務，并依法追究相關組織和人員的責任。

篇7

【關鍵詞】電力企業(yè)；信息網(wǎng)絡；安全體系

【中圖分類號】TP309【文獻標識碼】A【文章編號】1672-5158（2013）07-0498-02

引言

隨著電力企業(yè)不斷發(fā)展，信息化已廣泛應用于生產(chǎn)運營管理過程中的各個環(huán)節(jié)，信息化在為企業(yè)帶來高效率的同時，也為企業(yè)帶來了安全風險。一方面企業(yè)對信息化依賴性越來越強，尤其是生產(chǎn)監(jiān)控信息系統(tǒng)及電力二次系統(tǒng)直接關系到電力安全生產(chǎn)；另一方面黑客技術發(fā)展迅速，今天行之有效的防火墻或隔離裝置也許明天就可能出現(xiàn)漏洞。因此，建設信息安全防護體系建設工作是刻不容緩的。

1 信息安全防護體系的核心思想

電力企業(yè)信息安全防護體系的核心思想是“分級、分區(qū)、分域”（如圖1所示）。分級是將各系統(tǒng)分別確定安全保護級別實現(xiàn)等級化防護；分區(qū)是將信息系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)兩個相對獨立區(qū)進行安全防護；分域是依據(jù)系統(tǒng)級別及業(yè)務系統(tǒng)類型劃分不同的安全域，實現(xiàn)不同安全域的獨立化、差異化防護。

2 信息安全防護系統(tǒng)建設方針

2.1整體規(guī)劃：在全面調研的基礎上，分析信息安全的風險和差距，制訂安全目標、安全策略，形成安全整體架構。

2.2分步實施：制定信息安全防護系統(tǒng)建設計劃，分階段組織項目實施。

2.3分級分區(qū)分域：根據(jù)信息系統(tǒng)的重要程度，確定該系統(tǒng)的安全等級，省級公司的信息系統(tǒng)分為二級和三級系統(tǒng)；根據(jù)生產(chǎn)控制大區(qū)和管理信息大區(qū)，劃分為控制區(qū)（安全I區(qū)）、非控制區(qū)（安全II區(qū)）、管理信息大區(qū)（III區(qū)）；依據(jù)業(yè)務系統(tǒng)類型進行安全域劃分，二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立成域。

2.4等級防護：按照國家和電力行業(yè)等級保護基本要求，進行安全防護措施設計，合理分配資源，做好重點保護和適度保護。

2.5多層防御：在分域防護的基礎上，將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡、主機、應用、數(shù)據(jù)層面進行安全防護設計，以實現(xiàn)縱深防御。

2.6持續(xù)改進：定期對信息系統(tǒng)進行安全檢測，發(fā)現(xiàn)潛在的問題和系統(tǒng)可能的脆弱性并進行修正；檢查防護系統(tǒng)的運行及安全審計日志，通過策略調整及時防患于未然；定期對信息系統(tǒng)進行安全風險評估，修補安全漏洞、改進安全防護體系。

3 信息安全防護體系建設探索

一個有效的信息安全體系是在信息安全管理、信息安全技術、信息安全運行的整體保障下，構建起來并發(fā)揮作用的。

3.1 建立信息安全管理體系

安全管理體系是整個信息安全防護體系的基石，它包括安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理五個方面，信息安全組織機構的建立尤為重要。

3.1.1建立信息安全管理小組

建立具有管理權的信息安全小組，負責整體信息安全管理工作，審批信息安全方針，分配安全管理職責，支持和推動組織內部信息安全工作的實施，對信息安全重大事項進行決策。處置信息安全事件，對安全管理體系進行評審。

3.1.2分配管理者權限

按照管理者的責、權、利一致的原則，對信息管理人員作級別上的限制；根據(jù)管理者的角色分配權限，實現(xiàn)特權用戶的權限分離。對工作調動和離職人員及時調整授權，根據(jù)管理職責確定使用對象，明確某一設備配置、使用、授權信息的劃分，制訂相應管理制度。

3.1.3職責明確，層層把關

制訂操作規(guī)程要根據(jù)職責分離和多人負責的原則各負其責，不能超越自己的管轄范圍。系統(tǒng)維護時要經(jīng)信息管理部門審批，有信息安全管理員在場，對故障原因、維護內容和維護前后情況做詳細記錄。

（1）多人負責制度 每一項與安全有關的活動必須有2人以上在場，簽署工作情況記錄，以證明安全工作已得到保障。

（2）重要崗位定期輪換制度 應建立重要崗位應定期輪換制度，在工作交接期間必須更換口令，重要技術文件或數(shù)據(jù)必須移交清楚，明確泄密責任。

（3）在信息管理中實行問責制，各信息系統(tǒng)專人專管。

3.1.5系統(tǒng)應急處理

制定信息安全應急響應管理辦法，按照嚴重性和緊急程度及危害影響的大小來確定全事件的等級，采取措施，防止破壞的蔓延與擴展，使危害降到最低，通過對事件或行為的分析結果，查找事件根源，徹底消除安全隱患。

3.2 建立信息安全技術策略

3.2.1物理安全策略

物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；確保計算機系統(tǒng)有一個良好的工作環(huán)境；防止非法進入機房和各種偷竊、破壞活動的發(fā)生，抑制和防止電磁泄露等采取的安全措施。

3.2.2 網(wǎng)絡安全策略

網(wǎng)絡安全防護措施主要包括以下幾種類型：

（1）防火墻技術。通過防火墻配置，控制內部和外部網(wǎng)絡的訪問策略，結合上網(wǎng)行為管理，監(jiān)控網(wǎng)絡流量分配，對于重要數(shù)據(jù)實行加密傳輸或加密處理，使只有擁有密鑰的授權人才能解密獲取信息，保證信息在傳輸過程中的安全。

（2）防病毒技術。根據(jù)有關資料統(tǒng)計，對電力信息網(wǎng)絡和二次系統(tǒng)的威脅除了黑客以外，很大程度上是計算機病毒造成的。當今計算機病毒技術發(fā)展迅速，對計算機網(wǎng)絡和信息系統(tǒng)造成很大的損害。采用有效的防病毒軟件、惡意代碼防護軟件，保障升級和更新的時效性，是行之有效的措施。

（3）安全檢測系統(tǒng)。通過專用工具，定期查找各種漏洞，監(jiān)控網(wǎng)絡的運行狀況。在電力二次系統(tǒng)之間安裝IDS入侵檢測軟件等，確保對網(wǎng)絡非法訪問、入侵行為做到及時報警，防止非法入侵。

3.2.3安全策略管理

對建的電力二次系統(tǒng)必須在建設過程中進行安全風險評估，并根據(jù)評估結果制定安全策略；對已投運且已建立安全體系的系統(tǒng)定期進行漏洞掃描，以便及時發(fā)現(xiàn)系統(tǒng)的安全漏洞；定期分析本系統(tǒng)的安全風險，分析當前黑客非法入侵的特點，及時調整安全策略。

3.2.4 數(shù)據(jù)庫的安全策略

數(shù)據(jù)庫的安全策略包括安全管理策略、訪問控制策略和信息控制策略。但數(shù)據(jù)庫的安全問題最主要的仍是訪問控制策略。就訪問控制策略分類而言，它可以分為以下幾種策略。

（1） 最小特權策略： 是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權，使得這些權限恰好可以讓用戶完成自己的工作，其余的權利一律不給。

（2） 數(shù)據(jù)庫加密策略： 數(shù)據(jù)加密是保護數(shù)據(jù)在存儲和傳遞過程中不被竊取或修改的有效手段。

（3）數(shù)據(jù)庫備份策略：就是保證在數(shù)據(jù)庫系統(tǒng)出故障時，能夠將數(shù)據(jù)庫系統(tǒng)還原到正常狀態(tài)。

（4）審計追蹤策略：是指系統(tǒng)設置相應的日志記錄，特別是對數(shù)據(jù)更新、刪除、修改的記錄，以便日后查證。

篇8

關鍵詞：電子政務；信息安全；保障體系

說起電子政務，大家也許首先想到的就是各級政府門戶網(wǎng)站，認為電子政務就是通過政府門戶網(wǎng)站提供的便民公共查詢窗口查詢信息或是通過網(wǎng)上辦事通道辦理申請或審批業(yè)務。這是狹隘的理解，門戶網(wǎng)站只是電子政務的一部分，并不是電子政務的全部。電子政務是“運用計算機、網(wǎng)絡和通信等現(xiàn)代信息技術手段，實現(xiàn)政務組織結構和工作流程的優(yōu)化重組，超越時間、空間和部門分隔的限制，簡稱一個精簡、高效、廉潔、公平的政府運作模式，以便全方位地向社會提供優(yōu)質、規(guī)范、透明、符合國際水準的管理與服務。”

簡單講，電子政務就是政府通過現(xiàn)代通信技術手段組建一個優(yōu)于傳統(tǒng)模式的政府運作模式，并向社會提供管理與服務。其實，電子政務離我們并不遙遠，它已經(jīng)深入到了我們的日常生活中。舉個例子，我國于1993年開始啟動“金卡工程”，它以計算機、通信等現(xiàn)代科技為基礎，以銀行卡等為介質，通過計算機網(wǎng)絡系統(tǒng)，以電子信息轉帳形式實現(xiàn)貨幣流通。如今，我們使用帶有銀聯(lián)標志的金融卡可以在任意標有銀聯(lián)標志的商戶進行消費，我們可以通過銀行ATM機辦理同城或異地，同行或跨行轉賬匯款等業(yè)務，使用銀行卡進行消費、轉帳、結算正逐漸成為一種時尚，“金卡工程”實現(xiàn)了“一卡在手、走遍神州”，為企業(yè)和個人提供了方便、快捷、安全的支付和消費手段，與此同時，它使企業(yè)和個人的交易、轉帳、消費和稅收納入國家統(tǒng)計體系之內，加強了國家的監(jiān)管。又如我國于2001年開始啟動的“金關工程”，它在實現(xiàn)海關內部作業(yè)流電子化的同時，利用現(xiàn)代信息技術，依托國家電信公網(wǎng)，將進出口業(yè)務信息流、資金流、貨物流信息集中存放在一個公共數(shù)據(jù)中心，監(jiān)管部門可以進行跨部門、跨行業(yè)的聯(lián)網(wǎng)數(shù)據(jù)核查，企業(yè)可以上網(wǎng)辦理出口退稅、報關申報、轉關申報等多種進出口手續(xù)。

1 電子政務系統(tǒng)安全保障的重要性

電子政務已覆蓋到我國金融、進出口貿(mào)易、社會保障、稅務、公安、財政審計等多個領域，電子政務系統(tǒng)的穩(wěn)定和數(shù)據(jù)安全關系重大，我國對電子政務的信息安全工作非常重視，中央辦公廳于2003年下發(fā)了《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）、公安部于2004年9月了《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）、國信辦于2005年9月了《電子政務信息安全等級保護實施指南（試行）》（國信辦[2005]25號），供各級黨政機關在新建電子政務系統(tǒng)和已建電子政務系統(tǒng)中開展信息安全等級保護工作參考。保證電子政務系統(tǒng)實現(xiàn)其功能和保證電子政務系統(tǒng)的數(shù)據(jù)安全是電子政務系統(tǒng)安全保障的兩項基本任務。

2 信息安全管理體系建設

電子政務的安全保障是依托對電子政務信息系統(tǒng)的安全保障實現(xiàn)的，信息安全管理應該建立在一套完備的安全管理體系基礎之上的，由電子政務信息系統(tǒng)的建設維護單位自上而下的開展。

2.1 信息安全管理體系建設的內容

安全管理體系應該包括安全方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)獲取開發(fā)和維護、信息安全事件管理、業(yè)務連續(xù)性管理和符合性等內容。具體要求參見我國2008年的《信息技術 安全技術 信息安全管理體系 要求》（GB/T 22080-2008）。

2.2 信息安全管理體系建設的意義

建立完善的信息安全管理體系，使得電子政務信息系統(tǒng)能夠有專門的組織或機構負責其安全管理，有了明確的職責劃分和責任認定，有助于順利開展組織的信息安全管理工作。在信息系統(tǒng)全生命周期內對構成信息系統(tǒng)的各要素的安全管理進行規(guī)范化管理，形成制度體系，以便其落地實施，會使電子政務信息系統(tǒng)的安全管理更加科學化、規(guī)范化和標準化。

3 安全基礎設施建設

電子政務信息系統(tǒng)的建設和運行需要基礎設施的支撐，電子政務面向社會公眾或特定人群提供服務，首先要搭建與互聯(lián)網(wǎng)對接的網(wǎng)絡系統(tǒng)，再解決互聯(lián)網(wǎng)絡上的用戶身份鑒別問題，此外還要根據(jù)國家信息安全等級保護的有關要求，結合電子政務所在的行業(yè)以及提供服務的性質，考慮系統(tǒng)和數(shù)據(jù)的容災備份。

3.1 網(wǎng)絡建設與安全域劃分

電子政務往往需要建設專有網(wǎng)絡系統(tǒng)，以便將業(yè)務覆蓋到本行業(yè)的下一級乃至更下一級的業(yè)務部門，如“金保工程”將建立三級網(wǎng)絡納為其建設內容，即搭建中央、省、市三級安全高效的網(wǎng)絡系統(tǒng)；“金關工程”中也包含主干網(wǎng)建設內容。電子政務信息系統(tǒng)建設單位可以根據(jù)電子政務所處行業(yè)、服務和管理內容等，制定網(wǎng)絡建設規(guī)劃，并根據(jù)電子政務信息系統(tǒng)的安全保護級別相對應的要求劃分網(wǎng)絡安全域。

3.2 公鑰基礎設施（PKI）

公鑰基礎設施PKI利用數(shù)字證書標識密鑰持有人的身份，通過對密鑰的規(guī)范化管理，構建和維護一個可信賴的系統(tǒng)環(huán)境，為應用系統(tǒng)提供身份認證、數(shù)據(jù)保密性和完整性、抗抵賴等各種必要的安全保障。電子政務需要面向社會群眾或特定群體通過網(wǎng)絡提供服務，就需要解決網(wǎng)絡環(huán)境下的身份鑒別與抗抵賴性問題，即解決如何驗證用戶為合法用戶，以及如何防止用戶否認其行為的問題。公鑰基礎設施（PKI）就能夠很好的解決上述問題。稅務系統(tǒng)和電子口岸就采用了PKI技術，在電子政務信息系統(tǒng)中應用PKI，在保證電子政務系統(tǒng)安全的前提下，解決了電子政務系統(tǒng)中的抗抵賴性問題。

3.3 系統(tǒng)與數(shù)據(jù)容災備份

電子政務信息系統(tǒng)應根據(jù)其信息安全保護等級和業(yè)務連續(xù)性要求選擇是否建設災備系統(tǒng)，以防止因系統(tǒng)終止提供服務而對用戶的正常生產(chǎn)生活產(chǎn)生影響，甚至造成社會影響；電子政務信息系統(tǒng)應根據(jù)其數(shù)據(jù)的重要程度制定數(shù)據(jù)備份策略，以防止因數(shù)據(jù)丟失而造成損失。

4 信息安全防護體系建設

電子政務信息系統(tǒng)依托現(xiàn)代技術建設，其安全防護體系應圍繞著它的基礎設施、硬件設備（主機、存儲、網(wǎng)絡設備、安全設備等）和人（建設人員、維護人員、使用人員等）構建。

4.1 個體安全防護

硬件設備是構成電子政務信息系統(tǒng)的最小單元，針對硬件本身進行的安全防護可看做是個體安全防護。個體安全防護的目標是提升個體的安全防護能力。針對不同類型的硬件設備，有不同的安全防護手段或技術。例如：應針對不同操作系統(tǒng)和版本的主機設置安全加固配置基線，統(tǒng)一管理主機安全配置；部署Windows操作系統(tǒng)的服務器需要安裝防病毒軟件；及時更新系統(tǒng)補??；加強個體的賬號管理和訪問控制；部署第三方加固軟件等。

4.2 區(qū)域安全防護

電子政務信息系統(tǒng)的網(wǎng)絡依據(jù)其功能和互聯(lián)需求劃分為不同的安全區(qū)域，安全域是指同一環(huán)境內有相同的安全保護需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡或系統(tǒng)。例如：有與互聯(lián)網(wǎng)聯(lián)通需求的網(wǎng)絡需要劃分專門區(qū)域用于接入互聯(lián)網(wǎng)。

區(qū)域安全防護包括邊界安全防護和區(qū)域安全管理兩部分。不同安全域之間以及內部網(wǎng)與外部網(wǎng)之間形成的界限稱為邊界，邊界安全防護的目標是阻止未被允許的訪問，具體可通過防火墻、交換機、入侵防御、防病毒網(wǎng)關等實現(xiàn)；區(qū)域安全管理的目標是掌握區(qū)域內的安全狀態(tài)，及時處置區(qū)域內產(chǎn)生的安全事件，具體可通過漏洞掃描、安管中心、安全審計等實現(xiàn)。

4.3 基礎設施安全防護

電子政務信息系統(tǒng)最為關鍵的基礎設施是運行機房，機房內運行著所有的硬件資產(chǎn)和軟件資產(chǎn)，其安全防護工作包括機房電磁屏蔽、消防、電氣、空調、防盜等等。

4.4 信息安全審計

將信息安全審計作為單獨一條是用來強調它的重要性，電子政務信息系統(tǒng)的建設和運維都離不開人，對人員的安全管理是保障安全方針策略得到有效執(zhí)行的關鍵。“堡壘最容易從內部攻破”，再安全的外部防御也無法抵擋由內而外的攻擊。電子政務系統(tǒng)往往會因其特殊的應用而產(chǎn)生許多敏感數(shù)據(jù)，這些數(shù)據(jù)大多涉及個人及企業(yè)團體的基本信息數(shù)據(jù)及其生產(chǎn)數(shù)據(jù)等，部分還會涉及商業(yè)秘密，一旦發(fā)生人為的泄密、數(shù)據(jù)盜取、后門等安全事件，其后果將不堪設想。因此需要電子政務信息系統(tǒng)建設維護單位建立完善的信息安全審計體系，對系統(tǒng)建設和維護的關鍵環(huán)節(jié)實施信息安全審計，通過制度宣貫和技術手段起到威懾的作用，讓人員有“伸手必備捉”的危機感。

5 明確第三方服務保障

電子政務信息系統(tǒng)的建設離不開第三方的支持，網(wǎng)絡線路需要向運營商申請并由其保障線路通信質量，軟硬件設備需要向供應商采購并由其提供維保服務和技術支持，部分單位的電子政務信息系統(tǒng)是委托第三方開發(fā)建設的或有委托第三方進行運行維護的，等等。第三方的服務保障質量、對已掌握的資源是否嚴格管理等問題關系到電子政務信息系統(tǒng)的安全，因此有必要與第三方簽訂明確的服務保障合同，確定第三方的責任和義務、提出第三方的保障要求并簽訂相應的保密協(xié)議。

6 結語

我國電子政務的建設還將不斷持續(xù)下去，已建的或正在籌建的電子政務都應重視電子政務的信息安全保障問題，認真思考建立適合的信息安全防護體系，為電子政務提供安全可靠的支撐平臺。

參考文獻

[1] 侯衛(wèi)真 《電子政務的建設與發(fā)展》[M] 中國人民大學出版社 2006.3

篇9

為了增強國家經(jīng)濟的可持續(xù)性快速發(fā)展，增強國家的綜合實力，黨的十六大報告中明確提出“堅持以信息化帶動工業(yè)化，以工業(yè)化促進信息化”的發(fā)展戰(zhàn)略，十七大報告提出“大力推進信息化與工業(yè)化融合”?？梢钥闯觯瑢π畔⒒趪窠?jīng)濟和社會發(fā)展全局中地位和作用的認識隨著我國經(jīng)濟發(fā)展在逐步深化。

隨著企業(yè)信息化建設的不斷推進，信息在整個企業(yè)經(jīng)營過程中起著至關重要的作用，信息安全是信息化可持續(xù)發(fā)展的保障，信息是社會發(fā)展的重要戰(zhàn)略資源。網(wǎng)絡信息安全已成為急待解決，影響企業(yè)發(fā)展極為關鍵的問題。

一、信息安全至關重要

信息安全是指信息網(wǎng)絡的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷。

國際信息系統(tǒng)安全核準聯(lián)盟（ISC2）公布其全球信息安全專業(yè)人員調查，并指出近四分之三的信息安全從業(yè)人士認為，避免企業(yè)信譽受損是安全項目的首要任務?！?008 全球信息安全從業(yè)員研究》(“GISWS”) 由 Frost & Sullivan 代表ISC2進行。共有來自100多個國家的企業(yè)和公共部門機構的7,548名信息安全從業(yè)人員接受了調查。數(shù)據(jù)丟失和審核所帶來的壓力已經(jīng)使信息安全的可靠性受到企業(yè)管理層的關注。

由國家計算機網(wǎng)絡應急技術處理協(xié)調中心的《2007年網(wǎng)絡安全工作報告》稱，網(wǎng)絡信息系統(tǒng)存在的安全漏洞和隱患層出不窮，利益驅使下的地下黑客產(chǎn)業(yè)繼續(xù)發(fā)展，網(wǎng)絡攻擊的種類和數(shù)量成倍增長，終端用戶和互聯(lián)網(wǎng)企業(yè)是主要的受害者，基礎網(wǎng)絡和重要信息系統(tǒng)面臨著嚴峻的安全威脅。2007年各種網(wǎng)絡安全事件與2006年相比都有顯著增加。企業(yè)在面對外憂的同時，還要承受內患的威脅。企業(yè)或許通過構建數(shù)據(jù)隔離系統(tǒng)能有效防御外部攻擊，但對內部的主動泄密卻毫無招架之力，有數(shù)據(jù)顯示，目前,泄密事件78.9％的損失都是由內部主動泄密導致。除了防御外部攻擊外，內網(wǎng)的管理也至關重要。

二、信息安全的基本目標

信息安全通常強調所謂CIA三元組的目標，即:保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。CIA 概念的闡述源自信息技術安全評估標準（Information Technology Security Evaluation Criteria，ITSEC），它也是信息安全的基本要素和安全建設所應遵循的基本原則。1.保密性：確保信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或實體。2.完整性：確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改，同時還要防止授權用戶對系統(tǒng)及信息進行不恰當?shù)拇鄹?，保持信息內、外部表示的一致性?.可用性：確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。

除了CIA，信息安全還有一些其他原則，包括可追溯性（Accountability）、抗抵賴性（Non-repudiation）、真實性（Authenticity）、可控性（Controllable）等，這些都是對CIA 原則的細化、補充或加強。

三、信息安全漏洞

企業(yè)信息化建設，既能使企業(yè)獲得發(fā)展的先機，提高和鞏固企業(yè)競爭優(yōu)勢，也能給企業(yè)帶來新的風險。信息安全就是其中的核心問題。信息安全問題控制不當，企業(yè)信息化不但無法提高企業(yè)活力，還可能給企業(yè)帶來災難性的后果，威脅企業(yè)的生存。企業(yè)信息安全的威脅大致有以下幾方面。

1.外部威脅。⑴軟件系統(tǒng)漏洞：wndows系統(tǒng)的脆弱被大家公認。在2007年中，這種情況有了新的改變，百度搜霸、暴風影音、Qvod（Q播）、realplayer等流行軟件取代了windows的“漏洞王”地位。⑵網(wǎng)絡攻擊：①“黑客”侵入：竊取企業(yè)信息、篡改企業(yè)數(shù)據(jù)庫、干擾用戶之間的通訊信息、攻擊服務系統(tǒng)造成系統(tǒng)癱瘓。②計算機病毒：瀏覽器配置被修改、數(shù)據(jù)受損或丟失、系統(tǒng)使用受限、網(wǎng)絡無法使用、密碼被盜是計算機病毒造成的主要破壞后果。2007年我國計算機病毒感染率為91.4%，為歷年來最高；多次感染病毒的比率為54%，仍然維持在較高水平。③郵件災難：企業(yè)管理人員隨時可能發(fā)送涉及高度敏感話題的未加密電子郵件（股票發(fā)行、新產(chǎn)品計劃、合并、收購等等），而它極易被人截獲并加以利用。批量發(fā)送的未經(jīng)收信人許可垃圾郵件已嚴重影響正常網(wǎng)絡通信，企業(yè)帶來時間和金錢上的損失。同時，垃圾郵件已成為黑客助紂為虐的工具。而通過電子郵件攜帶及傳播惡意代碼、病毒等更是對系統(tǒng)造成嚴重后果；④自然災害、意外事故：地震、水災、火災等自然災害將對系統(tǒng)造成毀滅性的傷害；意外事故（斷電、水浸、蟲咬）同樣不可忽視。

2.內部威脅。⑴系統(tǒng)風險：硬件選配不合適，環(huán)境不合要求，設備安裝不規(guī)范等；信息技術方案選擇失誤，信息技術的快速增長并沒有反映到你的系統(tǒng)中，使得系統(tǒng)安全性減弱；⑵非授權訪問：未經(jīng)系統(tǒng)授權而使用網(wǎng)絡或計算機資源；⑶人為錯誤,比如:使用不當，安全意識差等；⑷計算機犯罪：惡意竊取、或出售企業(yè)機密；⑸管理漏洞：沒有嚴格的信息安全方針和規(guī)程；管理層不重視，不能保證足夠的安全預算；用戶權限設置混亂；過多的文件讀/寫權限，休眠的用戶賬戶也是一個常見的安全風險。

四、信息安全控制

1.及時修補軟件漏洞。在日常的安全防護中，不但要重視Windows系統(tǒng)漏洞的彌補，還要注意防范應用軟件的漏洞。某些IE瀏覽器的插件、輸入法、影音播放等應用軟件，都可能成為“黑客”病毒攻擊的對象。用戶使用這些軟件時不要僅僅關注他們的功能，還要注意其安全性能，并使用最新版本的軟件。

2.快速事故響應。及時制定事故相應方針和規(guī)程，告訴用戶當發(fā)生事故或入侵時應該做什么、如何做、采取行動的時間以及向誰報告，這將決定企業(yè)機密信息的命運。

3.啟用防火墻。制定防火墻方針和規(guī)程，指定專人負責、定期升級、應用最新補丁、及時培訓，閱讀審核日志，使用檢測軟件，快速響應，要求安全證據(jù)。

4.跟蹤外部連接。隨著電子商務的開展，越來越多的企業(yè)使用Internet來交換重要的商業(yè)信息，從而引起外部連接數(shù)目的激增，包括資金和財務數(shù)據(jù)。有必要專人負責跟蹤外部連接，記錄并定期提交詳細的連接狀態(tài)報告。

5.加密/過濾電子郵件。電子郵件加密套件十分容易安裝，并且對用戶來說近乎透明，能對用戶的隱私進行有效地加密保護；更為重要的是你必須使用垃圾郵件過濾軟件，阻止各種兜售信息（垃圾郵件）、病毒恐慌、真正的病毒、蠕蟲、特洛伊木馬等的攻擊。

6.貫徹冗余方案。建立冷備份、熱備份和冗余備份。冷備份指除一個在用網(wǎng)絡外，還有一備份網(wǎng)絡。備份網(wǎng)絡在日常處理時不開機，一旦發(fā)現(xiàn)網(wǎng)絡出現(xiàn)故障，立即啟動備份網(wǎng)絡，代替生產(chǎn)網(wǎng)絡進行工作。熱備份指備份網(wǎng)絡也開機運行，但并不服務。一旦網(wǎng)絡失效，備份網(wǎng)絡即自動代替生產(chǎn)網(wǎng)絡進入服務。冗余備份則是多個網(wǎng)絡同時進行服務，一個網(wǎng)絡的失效不影響整個系統(tǒng)的運行。

7.加強內部管理。企業(yè)應建立相應的網(wǎng)絡安全管理辦法，加強內部管理，建立合適的網(wǎng)絡安全管理系統(tǒng)，加強用戶管理和授權管理，建立安全審計和跟蹤體系，及時進行用戶培訓，提高整體網(wǎng)絡安全和法律意識；

五、結語

國民經(jīng)濟的發(fā)展，綜合國力的提升，提高企業(yè)的市場競爭力，企業(yè)信息化是必經(jīng)之路。實現(xiàn)信息安全是企業(yè)信息化成敗的關鍵，它不但靠先進的技術，而且也得靠嚴格的安全管理，法律約束和安全教育

參考文獻：

[1]Linda McCarthy：《信息安全-企業(yè)抵御風險之道》，清華大學出版社，2003。

[2]飄搖：《信息安全成為當前全球企業(yè)信息化首要任務》，賽迪網(wǎng)，2008.4。

[3]國家計算機網(wǎng)絡應急技術處理協(xié)調中心 ：《2007年網(wǎng)絡安全工作報告》，2008。

篇10

(1)內部外部泄密

一般黑客的目標是竊取數(shù)據(jù)或者破壞系統(tǒng)，但是也有一些黑客直接入侵網(wǎng)絡系統(tǒng)，將文件服務器的數(shù)據(jù)進行刪除或自發(fā)直到計算機系統(tǒng)完全癱瘓甚至崩潰。

(2)黑客攻擊

這是計算機網(wǎng)絡要面臨的最大威脅，這種攻擊又分為兩種，一種是網(wǎng)絡攻擊，它以前選擇的破壞對方的數(shù)據(jù)信息為主，另一種是網(wǎng)絡偵察，它不影響網(wǎng)絡正常工作，平時也難以察覺，它在潛伏的過程中截取、竊取、破譯目標計算機的機密信息。

(3)軟件漏洞

操作系統(tǒng)與各種軟件的程序編寫中，自身的設計、結構都有可能不完善，出現(xiàn)缺陷或漏洞，這都能被計算機病毒和某些程序惡意利用，它們會使計算機在網(wǎng)絡中處于非常危險的境地。

2計算機網(wǎng)絡信息安全的防護措施

(1)制定網(wǎng)絡信息安全的政策法規(guī)

信息安全管理主要包括組織建設、法律制度建設、人事關理三個方面的內容。組織建設要求成立負責信息安全的專門行政機構，該機負負責制定和審查保障信息安全方面的法律制度，制定制度能夠被實施的方針、原則、政策，并做好協(xié)調、監(jiān)督、檢查方面的工作。制度建設是指用建全的法律法規(guī)來保證計算機網(wǎng)絡信息的安全。人事管理主要包括計算機網(wǎng)絡管理者，防止他們因工作失誤與出于私人利益破壞信息安全。

(2)健全計算機網(wǎng)絡信息安護系統(tǒng)

計算機安防系統(tǒng)包括做好檢測與審計入侵、網(wǎng)絡漏洞掃描、檢測病毒、網(wǎng)絡監(jiān)控等方面面的內容。檢測與審計入侵可對內部、外部攻擊進行實時監(jiān)控，在信息安全受到威脅時進行報警、攔截、響應；網(wǎng)絡漏動掃描的技術層面包括掃描通信線路是否被竊聽，通信協(xié)議與操作系統(tǒng)是否存在漏洞等；非技術層面包括做好安裝入侵檢測和漏洞掃描系統(tǒng)，同時制定網(wǎng)絡管理規(guī)范，與規(guī)范信息安全制度；病毒檢查是指主動截殺計算機病毒，并做好未知病毒的查殺功能。

(3)對傳輸數(shù)據(jù)加密

要防止傳輸中數(shù)據(jù)流失泄密，可以通過節(jié)點加密、鏈路加密、端—端加密等幾種加密方法。節(jié)點加密是指源節(jié)點到目標節(jié)點時進行加密；鏈路加密是數(shù)據(jù)包在傳輸鏈路中進行加密切聯(lián)系，端—端加密是指對源端到用戶端的數(shù)據(jù)包進行加密。

(4)加強認證技術

認證是指對信息交換的合法性、真實性、有效性進行認可和證實，身份認證是指用戶進入信息系統(tǒng)前，對身份進行認證，只有合法的用戶才能進行信息系統(tǒng)。目前網(wǎng)絡認證一般使用口令認證、磁卡認證、生物認證等方法。數(shù)字簽名是密碼技術在身份認證中的一種應用，數(shù)字簽名具有唯一性、可靠性、安全性的特證，它能證明某個領域中某一主體身分的合法性，能保護數(shù)據(jù)的完整性、機密性、抗否定性。

(5)部署防病毒系統(tǒng)

防病毒系統(tǒng)是指在計算機網(wǎng)絡信息系統(tǒng)中防治計算機病毒，防止計算機信息系統(tǒng)被破壞，防止數(shù)據(jù)信息受損。目前防治病毒的主要技術是依靠防毒軟件、防毒模塊、防毒芯片，防病毒素統(tǒng)必須加快研究的步伐。

(6)使用電磁屏蔽手段

電子系統(tǒng)在工作的時候能發(fā)送電磁輻射，如果沒有做好電磁屏蔽工作，可以通過專門的接受儀器接收電磁信號，只要對信息進行處理，就能破譯出源信息，造成信息失密。如果用電磁泄漏接收信息會比其它方法更及時、更精準、更連續(xù)、更隱蔽，因此要對計算機外部設備、網(wǎng)絡通信線路、傳輸設備、連接設備都做好信息屏蔽工作，可以使屏蔽、隔離、濾波、接地等方法進行屏蔽。

(7)使用防火強進行隔離

使用防火墻技術可以保護計算機網(wǎng)絡系統(tǒng)與外部的網(wǎng)絡進行安全隔離，以免發(fā)生破壞性入侵、信息資源破壞等等事故。防火強是經(jīng)過設置安全過濾防止內、外網(wǎng)用戶非法防問，通過設置時間安全規(guī)則變化與策略，控制內、外網(wǎng)訪問時間，同時它將MCA地址與IP綁定，防止出現(xiàn)IP地址欺騙。

(8)建立安全信息體系