導(dǎo)語：如何才能寫好一篇企業(yè)信息安全管理體系，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：信息安全管理；網(wǎng)絡(luò)安全；風(fēng)險評估

中圖分類號：TP393.08

隨著信息化技術(shù)的高速發(fā)展和深入應(yīng)用，企業(yè)對信息系統(tǒng)的依賴性越來越強，絕大部分的業(yè)務(wù)從紙面遷移到信息系統(tǒng)當(dāng)中，如何建立穩(wěn)固的信息安全管理體系已經(jīng)成為各企業(yè)信息管理部門甚至管理層的重要課題。本文將通過對目前國際信息安全行業(yè)發(fā)展的分析，提出企業(yè)構(gòu)建穩(wěn)固的信息安全管理架構(gòu)，提高信息安全水平的初步構(gòu)想。

1企業(yè)信息安全政策

信息安全政策作為信息安全工作的重中之重，直接展現(xiàn)了企業(yè)的信息安全工作的思路。其應(yīng)當(dāng)由企業(yè)信息安全工作的使命和遠(yuǎn)景，實施準(zhǔn)則等幾部分組成。

1.1信息安全工作的使命

信息安全工作的核心意義是將企業(yè)所面臨的風(fēng)險管理至一個可接受的水平。

當(dāng)前主流的風(fēng)險控制包含以下四個步驟：通過風(fēng)險評估方法來評估風(fēng)險；制定安全策略來降低風(fēng)險；通過監(jiān)控控制惡意未授權(quán)行為；有效地審計。

1.2信息安全工作的愿景

安全的企業(yè)信息化環(huán)境可以為任何企業(yè)用戶提供安全便捷的信息化服務(wù)，應(yīng)用，基礎(chǔ)設(shè)施，并保護(hù)用戶的隱私。讓用戶有安全的身份驗證；能安全便捷的使用需要的數(shù)據(jù)和應(yīng)用資源；保證通訊和數(shù)據(jù)的保密性；明確自身的角色，了解角色在企業(yè)中的信息安全責(zé)任；身邊出現(xiàn)的信息安全風(fēng)險和威脅能得到迅速響應(yīng)。

要達(dá)到上述目的，企業(yè)需要進(jìn)行有效的風(fēng)險管理。風(fēng)險管理是一個識別風(fēng)險、評估風(fēng)險、降低風(fēng)險的過程。在這個過程中，需要權(quán)衡降低風(fēng)險的成本和業(yè)務(wù)的需求，確定風(fēng)險的優(yōu)先級別，為管理層的決策提供有效的支持。

1.3信息安全準(zhǔn)則

信息安全準(zhǔn)則是風(fēng)險評估和制定最優(yōu)解決方案的關(guān)鍵，優(yōu)秀的信息安全準(zhǔn)則包括：根據(jù)企業(yè)業(yè)務(wù)目標(biāo)執(zhí)行風(fēng)險管理；有組織的確定員工角色和責(zé)任；對用戶和數(shù)據(jù)實行最小化權(quán)限管理；在應(yīng)用和系統(tǒng)的計劃和開發(fā)過程中就考慮安全防護(hù)的問題；在應(yīng)用中實施逐層防護(hù)；建立高度集成的安全防護(hù)框架；將監(jiān)控、審計和快速反應(yīng)結(jié)合為一體。

良好信息安全準(zhǔn)則可以讓企業(yè)內(nèi)外部用戶了解企業(yè)信息安全理念，從而讓企業(yè)信息管理部門更好地對風(fēng)險進(jìn)行管控。

2企業(yè)信息安全管理的主要手段

2.1網(wǎng)絡(luò)安全

（1）保證安全的外部人員連接。在日常工作中，外部合作伙伴經(jīng)常會提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求，由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標(biāo)準(zhǔn)，因此存在信息安全隱患?？刂拼祟愶L(fēng)險的手段主要有：對用戶賬戶使用硬件KEY等強驗證手段；全面管控外部單位的網(wǎng)絡(luò)接入等。

（2）遠(yuǎn)程接入控制。隨著VPN[2-3]技術(shù)的不斷發(fā)展，遠(yuǎn)程接入的風(fēng)險已降低到企業(yè)的可控范圍，而近年來移動辦公的興起更是推動了遠(yuǎn)程接入技術(shù)的發(fā)展。企業(yè)采用USB KEY，動態(tài)口令牌等硬件認(rèn)證方式的遠(yuǎn)程接入要更加的安全。

（3）網(wǎng)絡(luò)劃分。在過去，企業(yè)內(nèi)部以開放式的網(wǎng)絡(luò)為主。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)信息技術(shù)的成熟，非受控終端給企業(yè)內(nèi)網(wǎng)帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業(yè)網(wǎng)絡(luò)的路徑。信息管理部門可以利用IPSec[4]技術(shù)有效提高企業(yè)網(wǎng)絡(luò)安全，實現(xiàn)對位于公司防火墻內(nèi)部終端的完全管控。

（4）網(wǎng)絡(luò)入侵檢測系統(tǒng)。網(wǎng)絡(luò)入侵檢測系統(tǒng)作為防火墻的補充，主要用于監(jiān)控網(wǎng)絡(luò)傳輸，在檢測到可疑傳輸行為時報警。作為企業(yè)信息安全架構(gòu)的必備設(shè)備，入侵檢測系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為，隨著信息技術(shù)的發(fā)展，各大安全廠商如賽門鐵克，思科等均研發(fā)出來成熟的入侵檢測系統(tǒng)產(chǎn)品。

（5）無線網(wǎng)絡(luò)安全。無線網(wǎng)絡(luò)現(xiàn)在已遍布企業(yè)的辦公區(qū)域，給企業(yè)和用戶帶來便利的同時也存在信息安全的隱患。要保證企業(yè)內(nèi)部無線網(wǎng)絡(luò)的安全，信息管理部門需要使用更新更安全的協(xié)議（如無線保護(hù)接入WPA或WPA2）；使用VLAN劃分和域提供互相隔離的無線網(wǎng)絡(luò)；利用802.1x和EAP技術(shù)加強對無線網(wǎng)絡(luò)的訪問控制。

2.2訪問控制

（1）密碼策略。高強度的密碼需要幾年時間來破解，而脆弱的密碼在一分鐘內(nèi)就可以被破解。提高企業(yè)用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害，企業(yè)必須制定密碼策略并利用技術(shù)手段保證執(zhí)行。

（2）用戶權(quán)限管理。企業(yè)的員工從進(jìn)入公司到離職是一個完整的生命周期，要便捷有效地在這個生命周期中對員工的權(quán)限進(jìn)行管理，需要企業(yè)具有完善的身份管理平臺，從而實現(xiàn)授權(quán)流程的自動化，并實現(xiàn)企業(yè)內(nèi)應(yīng)用的單點登陸。

（3）公鑰系統(tǒng)[5]。公鑰系統(tǒng)是訪問控制乃至信息安全架構(gòu)的核心模塊，無線網(wǎng)絡(luò)訪問授權(quán)，VPN接入，文件加密系統(tǒng)等均可以通過公鑰系統(tǒng)提升安全水平，因此企業(yè)應(yīng)當(dāng)部署PKI/CA系統(tǒng)。

2.3監(jiān)控與審計

（1）病毒掃描與補丁管理。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng)，在終端定期更新病毒定義，進(jìn)行病毒自掃描，自動更新操作系統(tǒng)補丁，以減少桌面終端的安全風(fēng)險。此類管控手段通常需要在用戶的終端上安裝客戶端，或?qū)K端進(jìn)行定制，在終端接入企業(yè)內(nèi)網(wǎng)時，終端管理系統(tǒng)會在隔離區(qū)域?qū)υ摻K端進(jìn)行綜合評估打分，通過評估后方能接入內(nèi)網(wǎng)。才能保證系統(tǒng)的安全策略被有效執(zhí)行。

（2）惡意軟件防控。主流的惡意軟件防控體系主要由五部分構(gòu)成：防病毒系統(tǒng)；內(nèi)容過濾網(wǎng)關(guān)；郵件過濾網(wǎng)關(guān)；惡意網(wǎng)頁過濾網(wǎng)關(guān)和入侵檢測軟件。

（3）安全事件記錄和審計。企業(yè)應(yīng)當(dāng)配置日志審計系統(tǒng)，收集信息安全事件，產(chǎn)生審計記錄，根據(jù)記錄進(jìn)行安全事件分析，并采取相應(yīng)的處理措施。

2.4培訓(xùn)與宣傳

提高企業(yè)管理層和員工的信息安全意識，是信息安全管理工作的基礎(chǔ)。了解信息安全的必要性，管理層才會支持信息安全管理建設(shè)，用戶才會配合信息管理部門工作。利用定期培訓(xùn)，宣傳海報，郵件等方式定期反復(fù)對企業(yè)用戶進(jìn)行信息安全培訓(xùn)和宣傳，能有效提高企業(yè)信息安全管理水平。

3總結(jié)

當(dāng)前，越來越多的企業(yè)已經(jīng)把信息安全看做影響業(yè)務(wù)發(fā)展的核心因素之一，信息安全管理已經(jīng)成為企業(yè)管理的重點。本文對信息安全政策，安全管理手段等方面進(jìn)行了剖析，結(jié)合當(dāng)前國際主流的信息安全解決辦法，為企業(yè)做好，做強信息安全管理體系給出了一些通用性的標(biāo)準(zhǔn)，對企業(yè)構(gòu)建信息安全管理體系，消除信息安全隱患，避免信息安全事件造成的損失，確保信息系統(tǒng)安全、穩(wěn)定運行具有探索意義。

參考文獻(xiàn)：

[1]何劍虹,白曉穎,李潤玲,崔智社.基于SLA的面向服務(wù)的基礎(chǔ)設(shè)施[J].電訊技術(shù),2011,51(9):100-105.

[2]胡道元,閡京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.

[3]戴宗坤,唐三平.VPN與網(wǎng)絡(luò)安全[M].北京:電子工業(yè)出版社,2002.

篇2

關(guān)鍵詞：新時期；煤礦企業(yè)；安全管理；問題；

安全管理的重點關(guān)注內(nèi)容為安全生產(chǎn)，這也是當(dāng)前煤礦企業(yè)發(fā)展探究的熱門、重點話題。對于煤礦企業(yè)而言，安全生產(chǎn)不僅關(guān)系著企業(yè)的正常運行，還關(guān)系著群眾的生命，關(guān)系著煤礦工人家屬一家團(tuán)圓的期待。由此可見，做好煤礦企業(yè)的安全生產(chǎn)管理能夠讓企業(yè)沿著良性模式發(fā)展，并實現(xiàn)科學(xué)化、標(biāo)準(zhǔn)化管理，最終來達(dá)到提升企業(yè)經(jīng)濟效益的目的，促進(jìn)社會和諧發(fā)展。

一、煤礦企業(yè)安全管理方面的弊端

（一）安全管理意識淡薄

在新時期，隨著煤礦企業(yè)的發(fā)展，煤礦企業(yè)越來越重視企業(yè)之間的競爭力與收入狀況，

卻忽視了發(fā)展過程中的安全生產(chǎn)，在安全生產(chǎn)上面的宣傳和重視力度不足，未正確認(rèn)識到經(jīng)濟收入與安全生產(chǎn)、企業(yè)發(fā)展三者之間的關(guān)系，當(dāng)安全與生產(chǎn)二者處于矛盾對立狀態(tài)時，企業(yè)內(nèi)通常是將生產(chǎn)放在首位，他們認(rèn)為只有多出煤才能提升企業(yè)的經(jīng)濟收入，才能推動企業(yè)發(fā)展，員工才能有錢可賺，而安全管理意識卻較淡薄。

（二）安全管理制度體系欠完善

部分煤礦企業(yè)內(nèi)部的安全生產(chǎn)責(zé)任制還未完善，在履行安全管理上面的條款落實度不夠，

可操作性差，可考核性不高。部門與部門之間在安全管理方面的協(xié)調(diào)性不足，缺乏交流、溝通，煤礦企業(yè)在生產(chǎn)時，由于缺乏健全的管理制度，以及先進(jìn)的管理手段企業(yè)安全管理則存在弊端。

（三）煤礦企業(yè)技術(shù)人員不足

新時期，煤礦企業(yè)之間的競爭力相當(dāng)大，企業(yè)之間的管理人員、技術(shù)性人才的流動性很嚴(yán)重，剛從學(xué)校畢業(yè)的大學(xué)生根本不愿到一線地區(qū)實踐、工作，不了解這個煤礦開采的程序，無法委以重任，企業(yè)內(nèi)高技術(shù)、高能力人才不足。就一線煤礦工人而言，絕大部分為農(nóng)民，人員之間存在著較嚴(yán)重的流動性、松散型，他們的文化知識較低，安全知識認(rèn)識掌握不足，致使煤礦企業(yè)的安全工作很難落實到位[1]。

（四）安全培訓(xùn)工作不到位

大部分煤礦企業(yè)內(nèi)都未對內(nèi)部煤礦工人定期開展安全生產(chǎn)的安全知識宣傳與培訓(xùn)工作，使得一線開采工人安全意識淡薄，不懂得如何來保護(hù)自己，讓自己遠(yuǎn)離危險，即便是安全培訓(xùn)，更多的也只是口頭傳授，教育與培訓(xùn)形式單調(diào)，培訓(xùn)的內(nèi)容未付諸實踐，實踐性不強，很多企業(yè)就是為培訓(xùn)而培訓(xùn)，應(yīng)付工作，走過場。

（五）缺乏一整套完善的有效的獎懲制度

很多煤礦企業(yè)內(nèi)在安全管理方面缺乏一整套完善的有效的獎懲制度。因為獎懲工作做的不到位，或是獎懲制度不平衡，從企業(yè)的獎懲制度來看，在獎勵方面的條款較少，懲罰方面的則較多，對于管理者來講，懲罰制度的制定與落實是約束人們行為的一種方法，但是對于部分人群來講，則會激起他們與企業(yè)管理人的叛逆、對抗心理。與此同時，部分企業(yè)內(nèi)在獎懲上面時效性不強，獎懲不及時也就降低了安全生產(chǎn)管理工作的實踐性。

二、新時期應(yīng)如何做好煤礦企業(yè)的安全管理工作

（一）提升煤礦企業(yè)管理各部門的安全管理意識

安全管理理念屬于煤礦企業(yè)展開安全生產(chǎn)管理的基本指導(dǎo)思想，也是提升也經(jīng)濟效益的關(guān)鍵點。在實踐過程中提升企業(yè)內(nèi)各部門之間之間的溝通，聯(lián)系，讓企業(yè)各部門工作人員都具備較強的安全生產(chǎn)意識，不斷完善企業(yè)內(nèi)的安全質(zhì)量量化目標(biāo)體系[2]。與此同時，企業(yè)內(nèi)還可實行安全監(jiān)督體系，在崗的所有人員可自行監(jiān)督或相互監(jiān)督，以防止安全事故的發(fā)生。對于企業(yè)內(nèi)已有的安全管理法，還需不斷創(chuàng)新、不斷完善，使其更加滿足新時期提出的新條件、新要求。

（二）組建科學(xué)的安全管理系統(tǒng)

煤礦企業(yè)必須在“以人為本”的基礎(chǔ)上，組建科學(xué)的安全管理系統(tǒng)，并與現(xiàn)代化計算機技術(shù)結(jié)合起來，將現(xiàn)代化的計算機主動技術(shù)與網(wǎng)絡(luò)技術(shù)均應(yīng)用到安全管理系統(tǒng)中，創(chuàng)建一整套科學(xué)、安全、可行的動態(tài)信息監(jiān)測系統(tǒng)，來對煤礦一線工作人員進(jìn)行監(jiān)測和管理，能夠詳細(xì)的、全面的了解工作人員的情況，并分析事故致因，消除和預(yù)防各類安全事故。

（三）定期組織和開展安全培訓(xùn)工作

煤礦企業(yè)在安全培訓(xùn)上面應(yīng)始終堅持“投資少、收獲多、回報高”的原則，對企業(yè)內(nèi)所有員工定期組織和開展安全培訓(xùn)工作，提升企業(yè)工作人員的安全管理意識，進(jìn)一步強化企業(yè)內(nèi)工作人員的教育、培訓(xùn)工作，培訓(xùn)之后還需將培訓(xùn)內(nèi)容付諸實踐，工作人員應(yīng)根據(jù)培訓(xùn)中要求的安全操作規(guī)程操作，做到遵章守紀(jì)、不違規(guī)，確保企業(yè)正常運營。

（四）健全、完善煤礦企業(yè)的安全檢查制

安全生產(chǎn)是煤礦企業(yè)發(fā)展的核心。所以，煤礦企業(yè)需制定出更加符合自己企業(yè)發(fā)展需要的安全管理措施，地方煤礦局負(fù)責(zé)人與地方政府需強化對煤礦的安全監(jiān)督檢查工作。在企業(yè)內(nèi)部實行責(zé)任制，將責(zé)任落實到人頭，并成立相應(yīng)的安全監(jiān)管小組，定期對小組安全管理工作進(jìn)行考核、評價，推動煤礦企業(yè)的全面發(fā)展。

（五）健全、完善煤礦企業(yè)的獎懲制度

煤礦企業(yè)內(nèi)還需不斷完善內(nèi)部獎懲制度，確保獎懲制度的平衡性，并提升獎懲制度的時效性，對于應(yīng)該獎勵的行為還應(yīng)及時給予獎勵，但是對于一些違規(guī)違紀(jì)事件，就應(yīng)及時作出批評和懲罰，確保煤礦企業(yè)獎懲工作落實到位。

（六）加大安全管理資金投入，在煤礦企業(yè)內(nèi)營造良好安全文化氛圍

企業(yè)還應(yīng)加大在安全管理方面的資金投入，并合理運用所投入資金來進(jìn)行系統(tǒng)安全建設(shè)、設(shè)備維修工作，定期組織人員檢查煤礦企業(yè)內(nèi)所有生產(chǎn)設(shè)備，看其設(shè)備零件有無松動、脫落現(xiàn)象，有無設(shè)備老化現(xiàn)象，一旦發(fā)現(xiàn)問題，應(yīng)立即維修，對于部分老化設(shè)備應(yīng)及時更換，確保工作人員能安全生產(chǎn)，減少因設(shè)備問題而帶來嚴(yán)重安全事故，在煤礦企業(yè)內(nèi)營造良好安全文化氛圍[3]。

總之，近年來，煤礦安全事故發(fā)生率不斷提升，各大煤礦企業(yè)都應(yīng)在安全生產(chǎn)上面引起高度重視，總結(jié)各起煤礦安全事故發(fā)生原因，不斷完善企業(yè)內(nèi)的煤礦安全管理相關(guān)制度體系，全面做好煤礦企業(yè)的安全管理工作，促進(jìn)煤礦企業(yè)的全面發(fā)展。

參考文獻(xiàn)

[1] 龐柒，阮平南.基于可拓學(xué)理論的煤礦企業(yè)安全風(fēng)險預(yù)控評價體系研究[J].管理現(xiàn)代化，2014（2）：99-101.

篇3

關(guān)鍵詞：物理安全 信息管理 信息安全

一、引言

目前，現(xiàn)代企業(yè)信息安全管理面臨著各種挑戰(zhàn)，包括企業(yè)機密信息的竊取、企業(yè)業(yè)務(wù)信息系統(tǒng)的癱瘓等。企業(yè)正常運行管理的突然中斷，都會給企業(yè)帶來不可預(yù)計的損失，甚至對企業(yè)造成嚴(yán)重的負(fù)面影響。為了有效保證企業(yè)業(yè)務(wù)運行管理的持續(xù)性，對于突發(fā)事件有充分的準(zhǔn)備措施和應(yīng)急相應(yīng)，就必須對企業(yè)運行管理進(jìn)行集中統(tǒng)一的協(xié)調(diào)和調(diào)度。

物理安全信息管理系統(tǒng)指的是采用先進(jìn)的現(xiàn)代管理技術(shù)，以及計算機技術(shù)、網(wǎng)絡(luò)技術(shù)和通信技術(shù)等，對企業(yè)不同安全防范設(shè)備進(jìn)行有效整合連接，按照預(yù)先設(shè)定的組織策略提供物理安全信息管理解決方案。物理安全信息管理系統(tǒng)能夠?qū)崿F(xiàn)實時監(jiān)控、即時通信和決策支持功能，對企業(yè)發(fā)生的各種安全事件進(jìn)行迅速反應(yīng)，因此，該系統(tǒng)被廣泛地應(yīng)用于大型企業(yè)、高等院校和城市基礎(chǔ)設(shè)施建設(shè)管理中。

物理安全信息管理平臺能夠提供視頻實時監(jiān)控、應(yīng)急報警、對講通信等功能。因此，該平臺屬于實體性的企業(yè)信息安全管理系統(tǒng)。物理安全信息管理系統(tǒng)包括一個應(yīng)用平臺和部分軟件程序，通過與企業(yè)已經(jīng)部署的信息安全管理設(shè)備相互連接，對其相關(guān)安全事件進(jìn)行收集與處理，幫助企業(yè)信息安全管理人員解決安全事故。一般情況下，物理安全信息管理系統(tǒng)可以實現(xiàn)不同用戶通過同一平臺對不同子系統(tǒng)的管理，將信息及時傳遞給平臺的其他接收者，使全部終端用戶可以利用同一信息提出控制管理策略。

二、企業(yè)物理安全信息管理系統(tǒng)的整體結(jié)構(gòu)

物理安全信息管理系統(tǒng)包括系統(tǒng)數(shù)據(jù)層、系統(tǒng)訪問接入層和物理安全信息管理平臺，屬于多層次、多結(jié)構(gòu)的應(yīng)用系統(tǒng)。系統(tǒng)數(shù)據(jù)層是整個系統(tǒng)安全管理的核心部分，主要包括三種數(shù)據(jù)操作：

（1）通過系統(tǒng)的API接口、OPC接口與企業(yè)消防安全系統(tǒng)、網(wǎng)絡(luò)安防系統(tǒng)、自動化生產(chǎn)系統(tǒng)等相互連接，實時獲取數(shù)據(jù)信息，以供系統(tǒng)功能模塊的調(diào)用。

（2）利用系統(tǒng)數(shù)據(jù)信息的整合功能與數(shù)據(jù)庫連接，發(fā)揮系統(tǒng)數(shù)據(jù)資源的最大價值。

（3）由系統(tǒng)統(tǒng)一安排數(shù)據(jù)信息的采集、共享和操作，對數(shù)據(jù)庫進(jìn)行標(biāo)準(zhǔn)化的存儲、傳輸和處理行為，以此為系統(tǒng)提供最科學(xué)的數(shù)據(jù)信息，提高系統(tǒng)業(yè)務(wù)數(shù)據(jù)分析與處理的能力。

系統(tǒng)訪問接入層主要是利用系統(tǒng)支持的通信方式，為系統(tǒng)控制中心提供所需數(shù)據(jù)信息，控制中心反饋的調(diào)度信號。系統(tǒng)通過CTI接口與企業(yè)網(wǎng)絡(luò)通信系統(tǒng)、IP電話系統(tǒng)、實時監(jiān)控系統(tǒng)相互連接，共同完成控制中心的實時指揮和調(diào)度。同時，利用GPRS、WLAN等網(wǎng)絡(luò)通信方式與用戶移動終端連接，實現(xiàn)對企業(yè)生產(chǎn)現(xiàn)場的視頻監(jiān)控和處理，隨時完成命令的下達(dá)。

物理安全信息管理平臺是企業(yè)控制中心的關(guān)鍵部分，主要負(fù)責(zé)實現(xiàn)事件管理工作，該平臺由多個智能引擎和中間件進(jìn)行支撐與實現(xiàn)，對安全策略、界面顯示、決策支持、用戶權(quán)限、消息內(nèi)容等進(jìn)行管理。

三、物理安全信息管理平臺架構(gòu)設(shè)計

物理安全信息管理系統(tǒng)的安全管理平臺應(yīng)用軟件是系統(tǒng)核心部分，本文基于JAVA EE平臺，提出了企業(yè)級的物理安全信息管理平臺設(shè)計方案。該平臺軟件體系包括五個層次，分別是客戶層、表示層、邏輯層、數(shù)據(jù)層和支持層。其中，每一層的應(yīng)用程序都是基于下一層提供的應(yīng)用服務(wù)基礎(chǔ)上實現(xiàn)的。

（1）客戶層

系統(tǒng)采用基于B/S的架構(gòu)模式，由客戶端為系統(tǒng)終端管理員提供交互服務(wù)。由系統(tǒng)Web瀏覽器利用HTTP協(xié)議、HTTPS協(xié)議與系統(tǒng)表示層實現(xiàn)數(shù)據(jù)交互，輸出系統(tǒng)表示層反饋的數(shù)據(jù)信息。HTML頁面執(zhí)行的是JAVA源代碼，只要將Web瀏覽器配置于客戶端，就可以實現(xiàn)數(shù)據(jù)交互，必要時安裝其他Web瀏覽器插件。

（2）表示層

表示層負(fù)責(zé)接收系統(tǒng)Web瀏覽器提出的請求，并將數(shù)據(jù)信息傳遞給系統(tǒng)邏輯層，同時傳送到Web服務(wù)器中，由其負(fù)責(zé)運行JSP頁面，調(diào)用相關(guān)組件實現(xiàn)數(shù)據(jù)信息的接受收傳遞。

（3）業(yè)務(wù)邏輯層

業(yè)務(wù)邏輯層是物理安全信息管理系統(tǒng)的核心部分，負(fù)責(zé)接受和處理表示層傳遞的數(shù)據(jù)信息，并將處理結(jié)果反饋給表示層。業(yè)務(wù)邏輯層部署了Enterprise Bean等相關(guān)組件，由其對數(shù)據(jù)運算進(jìn)行有力支持，最終與JDBC接口實現(xiàn)與數(shù)據(jù)層的交互。

（4）數(shù)據(jù)層

本文提出的物理安全信息管理系統(tǒng)采用Oracle數(shù)據(jù)庫系統(tǒng)，實現(xiàn)多種類型數(shù)據(jù)信息統(tǒng)一存儲和管理，企業(yè)全部業(yè)務(wù)數(shù)據(jù)信息都存儲于Oracle數(shù)據(jù)庫系統(tǒng)中。

（5）支持層

支持層主要負(fù)責(zé)為系統(tǒng)相關(guān)服務(wù)器提供通信協(xié)議和操作系統(tǒng)的支持，可適用于Linux操作系統(tǒng)、Unix操作系統(tǒng)和Windows操作系統(tǒng)，以上系統(tǒng)都配置了網(wǎng)絡(luò)通信協(xié)議，能夠?qū)崿F(xiàn)客戶端與服務(wù)器的數(shù)據(jù)信息交互。

綜上所述，安全科學(xué)管理屬于新興學(xué)科，同時融合了其他學(xué)科的知識，隨著企業(yè)對安全管理的進(jìn)一步認(rèn)識和重視，社會各個領(lǐng)域?qū)Π踩茖W(xué)管理的關(guān)注程度不斷提升。本文基于以上背景提出了企業(yè)物理安全信息管理系統(tǒng)設(shè)計方案，能夠有效幫助企業(yè)提高信息安全管理的工作效率，具有良好的應(yīng)用前景。

參考文獻(xiàn)：

[1]李釗，彭勇，謝豐，高洋，陳冬青，徐國愛.信息物理系統(tǒng)安全威脅與措施[N].清華大學(xué)學(xué)報（自然科學(xué)版），2012，10：1482-1487.

篇4

關(guān)鍵詞:電信企業(yè)；信息安全；風(fēng)險防控；管理體系；建設(shè)；研究

一、電信企業(yè)信息管理的現(xiàn)狀與作用

(一)電信企業(yè)信息管理體系的現(xiàn)狀

隨著社會的發(fā)展，無論是個人還是企業(yè)，都越來越離不開科學(xué)技術(shù)。這也導(dǎo)致科技所引發(fā)的信息安全管理體系的問題出現(xiàn)。1、針對信息安全管理體系的建設(shè)沒有創(chuàng)建出專門的管理機構(gòu)由于在信息管理方面，企業(yè)沒有一個系統(tǒng)的較為權(quán)威的管理部門及相關(guān)組織，其管理權(quán)限分散在建設(shè)、運維、系統(tǒng)支撐、市場等部門，在很大程度上致使企業(yè)信息管理中的相關(guān)法規(guī)得不到正常有效的運行。2、未能充分的考慮企業(yè)相關(guān)管理部門與信息安全管理體系的建設(shè)完善由于電信企業(yè)的特殊性，在具體的信息安全建設(shè)管理中，信息體系建設(shè)和信息安全管理的工作不夠協(xié)調(diào)，使得企業(yè)在信息安全管理的相關(guān)工作上沒法進(jìn)行積極主動實施，導(dǎo)致了企業(yè)信息安全管理體系建設(shè)工作的沒能與相關(guān)體系升級換代同步進(jìn)行。3、企業(yè)信息管理建設(shè)滯后對于相關(guān)部門而言，信息安全管理常常局限于使用比較局部的安全產(chǎn)品進(jìn)行保障，這樣就容易形成被動的使用相關(guān)辦法來應(yīng)對信息安全的漏洞風(fēng)險，導(dǎo)致此類方法嚴(yán)重缺乏科學(xué)性，而且由于使用范圍的局限，從而也不完全能夠抵御安全問題給企業(yè)所帶來的運營風(fēng)險。

(二)企業(yè)信息安全管理的作用

信息安全管理體系的建設(shè)是對企業(yè)來說非常重要，尤其是電信企業(yè)，通過信息安全管理體系的建設(shè)，不僅有利于提高相關(guān)部門的工作人員的信息安全意識，而且還能夠加強對信息安全的管理組織的規(guī)范管理，通過充分有效的安全信息維護(hù)，能夠幫助企業(yè)在信息管理受到嚴(yán)重威脅時可以及時消除風(fēng)險，從而維護(hù)國家、企業(yè)、廣大用戶的切身利益，確保電信企業(yè)在國家信息建安全戰(zhàn)略中的中流砥柱作用。

二、電信企業(yè)信息管理建設(shè)的有效方法

(一)制定有效的信息管理計劃

在企業(yè)管理中，有效的信息安全管理，是企業(yè)發(fā)展的前提；信息管理建設(shè)需要有效的策劃：1、教育培訓(xùn)在企業(yè)管理中，做好教育培訓(xùn)工作是非常重要的，通過相關(guān)培訓(xùn)，不但能夠提高相關(guān)人員的安全信息管理意識，強化相關(guān)人員實際操作能力，而且還可以為信息管理體系吸引大量的相關(guān)人才。2、制定信息安全管理計劃制定管理的相關(guān)計劃是企業(yè)發(fā)展中的關(guān)鍵環(huán)節(jié)，所以，為了企業(yè)的可持續(xù)發(fā)展，相關(guān)部門需要制定信息管理體系建設(shè)的標(biāo)準(zhǔn)，擬定相關(guān)計劃。

(二)電信企業(yè)信息管理建設(shè)的范圍

對于一個企業(yè)來說，確定信息管理體系的范圍是非常重要的，其需要相關(guān)部門人員根據(jù)實際情況來進(jìn)行重點有效的管理，這個管理的范圍就是安全管理體系的范圍。這一范圍還可分為整體范圍與個別信息安全管理范圍，通過不同的部門可對管理組織進(jìn)行劃分，并在一定的程度上進(jìn)行不同力度的管理。就電信企業(yè)而言，主要涉及企業(yè)信息管理和用戶信息管理，其安全體系建設(shè)貫穿在企業(yè)運行的全過程。

(三)建立企業(yè)信息管理框架

對一個企業(yè)而言，企業(yè)的信息管理必須建立起一個嚴(yán)格的管理模式。具體步驟如下：1、信息安全管理體制的計劃在規(guī)劃信息安全管理體系時，首先的一個步驟就是對企業(yè)的信息安全管理有一個明確的計劃。這樣一來不僅能夠?qū)罄m(xù)工作做了一個提前的準(zhǔn)備，有利于建立管理機構(gòu)，而且還能夠?qū)芾淼呢?zé)任做出明確的規(guī)定，能夠更好的確立管理目標(biāo)，評估管理風(fēng)險。2、企業(yè)信息安全管理的實施有了一定的企業(yè)信息安全管理體系的計劃，接下來的一個重要步驟就是計劃的實施過程，過程主要有信息安全管理方法應(yīng)用和相關(guān)措施落實等。3、企業(yè)信息安全管理體制的檢查這個階段的工作開展要做好充分的準(zhǔn)備，因為這一階段是整個計劃的關(guān)鍵階段，主要通過審計、自我評估或借助第三方審核等方法來對計劃實施的效果進(jìn)行審查。

三、結(jié)束語

綜上所述，“我國電信運營企業(yè)的信息安全風(fēng)險無處不在，安全形勢日益嚴(yán)峻，迫切需要系統(tǒng)、科學(xué)、有效的信息安全風(fēng)險管理體系理論指導(dǎo)管理工作實踐?！蓖ㄟ^本文，我們了解到我國電信企業(yè)的信息安全管理體系方面的現(xiàn)狀以及信息安全管理的重要性，通過相關(guān)部門的共同努力，切實提高信息安全管理水平，維護(hù)好國家安全和公共利益安全，為建設(shè)信息化強國做出應(yīng)有的貢獻(xiàn)。

參考文獻(xiàn):

[1]鄭敏.關(guān)于信息安全管理體系建設(shè)的研究[J].計算機光盤軟件與應(yīng)用,2014

[2]曾劍秋,程廣煥,楊萌柯.電信運營企業(yè)信息安全風(fēng)險管理體系研究[J].科技管理研究,2016

篇5

衡量安全管理體系的風(fēng)險主要方法是進(jìn)行信息安全風(fēng)險的評估，以此保障信息資產(chǎn)清單和風(fēng)險級別，進(jìn)而確定相應(yīng)的防控措施。在石化銷售企業(yè)進(jìn)行信息安全風(fēng)險的評估過程中，主要通過資金、威脅、安全性等識別美容對風(fēng)險進(jìn)行安全檢測，同時結(jié)合企業(yè)自身的實際情況，擬定風(fēng)險控制相應(yīng)的對策，把企業(yè)內(nèi)的信息安全風(fēng)險竟可能下降到最低水平。

（一）物理存在的風(fēng)險機房環(huán)境和硬件設(shè)備是主要的的物理風(fēng)險。當(dāng)前，部分企業(yè)存在的風(fēng)險有：1）企業(yè)機房使用年限過長，如早期的配電、布線等設(shè)計標(biāo)準(zhǔn)陳舊，無法滿足現(xiàn)在的需求；2）機房使用的裝備年限太長、例如中央空調(diào)老化，制冷效果不佳導(dǎo)致溫度不達(dá)標(biāo)，UPS電源續(xù)航能力下降嚴(yán)重，門禁系統(tǒng)損壞等，存在風(fēng)險；3）機房安全防護(hù)設(shè)施不齊全，存在風(fēng)險。

（二）網(wǎng)絡(luò)和系統(tǒng)安全存在的風(fēng)險石化訪問系統(tǒng)的使用和操作大量存在安全風(fēng)險，其中主要風(fēng)險包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統(tǒng)安全隱患等。即使大部分企業(yè)已安裝統(tǒng)一的網(wǎng)絡(luò)防病毒體系、硬件防火墻、按期更新網(wǎng)絡(luò)系統(tǒng)軟件、安裝上網(wǎng)行為監(jiān)控等，但因為系統(tǒng)漏洞數(shù)目不斷增多網(wǎng)絡(luò)結(jié)構(gòu)和襲擊逐漸減弱或者因為信息系統(tǒng)使用人員操作系統(tǒng)本身的安全機制不完善、也會產(chǎn)生安全隱患。

（三）系統(tǒng)安全風(fēng)險沒有經(jīng)過許可進(jìn)行訪問、數(shù)據(jù)泄密和被刪改等威脅著系統(tǒng)的安全性。提供各類應(yīng)用服務(wù)是企業(yè)信息系統(tǒng)的首要任務(wù)，而數(shù)據(jù)正是應(yīng)用信息系統(tǒng)的核心，因此，實際應(yīng)用與系統(tǒng)安全風(fēng)險密切聯(lián)系。當(dāng)前，信息應(yīng)用系統(tǒng)存儲了大量的客戶、交易等重要信息，一旦泄露，造成客戶對企業(yè)信任度影響的同時也會影響企業(yè)的市場競爭力。

（四）安全管理存在的風(fēng)險安全管理存在的主要指沒有同體的風(fēng)險安全管理手段，管理制度不完善、管理標(biāo)準(zhǔn)沒有統(tǒng)一，人員安全意識薄弱等等都存在管理風(fēng)險，因此，需要設(shè)立完善的信息系統(tǒng)安全管理體系，從嚴(yán)管理，促使信息安全系統(tǒng)正常運作。一方面要規(guī)范健全信息安全管理手段，有效較強內(nèi)控IT管理流程控制力度，狠抓落實管理體系的力度，杜絕局部管理不足點；另一方面，由于信息安全管理主要以動態(tài)發(fā)展的形式存在，要不斷調(diào)整、完善制度，以符合信息安全的新環(huán)境需求[2]。

二、信息安全管理體系框架的主要構(gòu)思

信息安全管理體系的框架主要由監(jiān)管體系、組織體系和技術(shù)體系形成，特點是系統(tǒng)化、程序化和文件化，而主要思想以預(yù)防控制為主，以過程和動態(tài)控制為條件。完善安全管理體系，使石化銷售企業(yè)信息系統(tǒng)和信息網(wǎng)絡(luò)能夠安全可靠的運作，從機密性、完整性、不可否認(rèn)性和可用性等方面確保數(shù)據(jù)安全，提升系統(tǒng)的持續(xù)性，加強企業(yè)的競爭力。

（一）組織體系企業(yè)在完善管理體系過程中應(yīng)設(shè)立信息安全委員會和相關(guān)管理部門，設(shè)置相應(yīng)的信息安全崗位，明確各級負(fù)責(zé)的信息安全和人員配置等內(nèi)容。在全面提升企業(yè)人員對信息安全了解的過程中必須進(jìn)行信息安全知識的相關(guān)培訓(xùn)，使工作人員提高信息安全管理意識，實現(xiàn)信息安全管理工作人人有責(zé)。

（二）制度體系操作規(guī)范、安全策略、應(yīng)急預(yù)案等各項管理制度經(jīng)過計劃和下發(fā)，讓信息安全管理有據(jù)可依。企業(yè)參照合理完善的各項制度進(jìn)一步優(yōu)化業(yè)務(wù)流程，規(guī)范操作行為，降低事故風(fēng)險，提升應(yīng)急能力，以此加強信息安全的管理體系。

（三）技術(shù)體系管理技術(shù)、防護(hù)技術(shù)、控制技術(shù)是信息安全管理體系的主要技術(shù)基礎(chǔ)。安全技術(shù)包括物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、主機安全技術(shù)、終端安全技術(shù)、數(shù)據(jù)安全、應(yīng)用安全技術(shù)等。一旦出現(xiàn)信息安全事件，技術(shù)體系會在最短的時間內(nèi)降低事件的不良影響，依靠相關(guān)的信息安全管理技術(shù)平臺，以實現(xiàn)信息安全技術(shù)的有效控制[3]。管理體系的核心是技術(shù)手段，先進(jìn)的加密算法和強化密鑰管理構(gòu)成的數(shù)據(jù)加密方式全程控制數(shù)據(jù)傳輸和數(shù)據(jù)存儲，可以保證數(shù)據(jù)的安全性。采用堡壘機、防火墻等安全系統(tǒng)可以過濾掉不安全的服務(wù)和非法用戶，防止入侵者接近防御設(shè)備。IDS作為防火墻的重要功能之一，能夠幫助網(wǎng)絡(luò)系統(tǒng)快速檢測出攻擊的對象，加強了管理員的安全管理技術(shù)（包括審計工作、監(jiān)視、進(jìn)攻識別等技術(shù)），提高了信息安全體系的防范性。企業(yè)數(shù)據(jù)備份這一塊可以采用雙機熱本地集群網(wǎng)、異地集群網(wǎng)等各種形式進(jìn)行網(wǎng)絡(luò)備份，利用體統(tǒng)的可用性和容災(zāi)性加強安全管理能力。近年來各個企業(yè)的惡意軟件、攻擊行為手法變化多端很難防御，在各種壓力下，傳統(tǒng)的的安全防預(yù)技術(shù)受到了嚴(yán)峻的考驗，這時“云安全”技術(shù)當(dāng)之無愧成為當(dāng)今最熱的安全技術(shù)?！霸瓢踩奔夹g(shù)主要使用分部式運算功能進(jìn)行防御，而“云安全”技術(shù)對于企業(yè)用戶而言確實明顯的保障了信息的安全性以及降低客戶端維護(hù)量?！霸瓢踩奔夹g(shù)是未來安全防護(hù)技術(shù)發(fā)展的必由之路，且今后“云安全”作為企業(yè)安全管理的核心內(nèi)容為企業(yè)的數(shù)據(jù)、服務(wù)器群組以及端點提供強制的安全防御能力?！?/p>

三、信息安全管理體系相關(guān)步驟

由于管理體系具有靈活性，企業(yè)可依據(jù)自身的特點和實際情況，使用最優(yōu)方案，結(jié)合石化銷售的特征，提出以下步驟：1）管理體系的重要目標(biāo)；2）管理體系的主要范疇；3）管理體系現(xiàn)狀考察與風(fēng)險估量；4）完善管理體系的制度；5）整理管理體系的文檔；6）管理體系的運行方式；7）信息安全管理體系考核。

四、結(jié)論

篇6

中國【關(guān)鍵詞】信息安全管理；保險企業(yè)；體系構(gòu)建

中圖分類號：TU714文獻(xiàn)標(biāo)識碼： A

.引言

社會保險工作不僅是一項政策性強、涉及面廣、信息流量大、計算復(fù)雜、準(zhǔn)確性要求高的工作,而且要求處理的數(shù)據(jù)量相當(dāng)大,數(shù)據(jù)及檔案保存的時間相當(dāng)長(因為要記載每一個參保職工每月的投保情況及其個人帳戶的累計繳納情況,包括逐月利息情況,直至其退休)。要把這項工作搞好,使之穩(wěn)定、健康地發(fā)展,仍憑手工操作、搞人海戰(zhàn)術(shù)顯然行不通,而且是很不現(xiàn)實的。因此必須應(yīng)用計算機來管理,充分發(fā)揮網(wǎng)絡(luò)系統(tǒng)速度快、精確度高、自動化程度高、信息資源充分共享和數(shù)據(jù)批量處理的特點,以適應(yīng)保險工作的需要。

1.保險企業(yè)信息安全管理的現(xiàn)狀

計算機信息安全問題不是保險企業(yè)才存在的問題，是全球企業(yè)都存在的普遍問題，越發(fā)達(dá)的地區(qū)，信息安全存在的隱患越多。一方面，現(xiàn)在互聯(lián)網(wǎng)的發(fā)展速度非常快，信息技術(shù)的日趨完善，出現(xiàn)了很多的惡意攻擊工具，再加上信息系統(tǒng)本身的漏洞，讓一些破壞分子更是有機可乘；從另外一個角度來看，企業(yè)自身對信息安全管理不重視，也是導(dǎo)致出現(xiàn)信息安全問題的首要原因之一。近年來，保險行業(yè)處于高速發(fā)展的時期，暴露出的問題也相對比較多，我們應(yīng)該重視起來。下面列出了當(dāng)前的保險企業(yè)在信息安全管理上存在的主要幾點問題：

1.1沒有相關(guān)的法規(guī)來約束

與信息的安全有關(guān)的分散于各種法律、法規(guī)、標(biāo)準(zhǔn)、道德規(guī)范和管理辦法的條文較多，但尚未形成一個較為規(guī)范完整的保障信息安全的法律制度、道德規(guī)范及管理體系。同時現(xiàn)有的法規(guī)，由于相關(guān)安全技術(shù)和手段還沒有成熟和標(biāo)準(zhǔn)化，法規(guī)也不能很好地被執(zhí)行。因此，保險行業(yè)的信息安全標(biāo)準(zhǔn)和規(guī)范的缺少和無體系化，導(dǎo)致保險企業(yè)不能很好的制定合理的安全策略并確保此策略能被有效執(zhí)行。

1.2沒有引起足夠的重視

很多保險企業(yè)的管理層對信息安全管理不太關(guān)注，不夠重視，沒有投入足夠的人力、物力和財力去管理。大部分保險企業(yè)在公司治理上重點關(guān)注的是企業(yè)的業(yè)務(wù)規(guī)模發(fā)展，銷售策略調(diào)整，組織結(jié)構(gòu)和運營流程的優(yōu)化等，對信息安全管理不太重視，不太相信信息安全問題能給企業(yè)會帶來嚴(yán)重危機，直到發(fā)生了信息安全事件后之后才開始重視。因此，保險企業(yè)必須在公司日常治理中投入足夠的時間和精力去完善企業(yè)的信息安全管理體系。

1.3對存在的風(fēng)險評估不夠

很多保險企業(yè)在設(shè)計搭建相關(guān)信息系統(tǒng)的時候?qū)Υ嬖诘娘L(fēng)險評估不夠，沒有充分考慮到信息化所帶來的安全風(fēng)險，通常只是考慮到信息技術(shù)問題，對于信息系統(tǒng)應(yīng)用后出現(xiàn)的信息安全問題欠缺考慮。其實對信息系統(tǒng)安全風(fēng)險不做評估或評估不充分，都會帶來嚴(yán)重的后果，一旦信息系統(tǒng)出現(xiàn)嚴(yán)重缺陷或漏洞的時，系統(tǒng)受到破壞，正常的業(yè)務(wù)操作無法進(jìn)行，嚴(yán)重的可能會導(dǎo)致企業(yè)內(nèi)部機密、客戶個人信息的泄露或者重要數(shù)據(jù)被盜、被篡改等。所以，保險企業(yè)面臨解決諸如系統(tǒng)本身缺陷、操作失誤等帶來的安全問題的。

1.4沒有制定相應(yīng)的安全管理條例，無明確責(zé)任劃分

保險企業(yè)相關(guān)的信息技術(shù)安全之所以存在一系列的問題，和企業(yè)沒有制定相應(yīng)的安全管理制度，沒有明確責(zé)任劃分等有很大的關(guān)系。沒有相關(guān)的信息安全管理制度去制約，出了信息安全問題以后的責(zé)任劃分不清晰，長此以往，信息安全問題的監(jiān)管就會出很大的漏洞，也很難形成一個可控的信息安全管理體系。保險企業(yè)的信息安全管理應(yīng)該是整個企業(yè)員工共同面對的問題，而不是企業(yè)某個部門或者某些個人能夠決定的事情。保險企業(yè)的信息安全管理應(yīng)該有相應(yīng)的制度和明確的責(zé)任劃分，每個部門都應(yīng)該有信息安全的負(fù)責(zé)人，出了問題要做到有人承擔(dān)，如果不這樣的話就會影響到信息安全管理體系的構(gòu)建，成為企業(yè)信息安全管理的絆腳石。

所以，針對以上種種問題和現(xiàn)狀，保險企業(yè)必須要形成一個良好的信息安全管理體系，這樣才能從根本上解決問題，發(fā)揮信息化建設(shè)的作用，保障企業(yè)的計算機信息安全。

2.社會保險計算機網(wǎng)絡(luò)建設(shè)的重點

“計算機就是網(wǎng)絡(luò),網(wǎng)絡(luò)就是計算機”。我們要一改過去的做法,社會保險自動化建設(shè)將由過去的封閉單一型向開發(fā)型過渡；從以社會保險內(nèi)部業(yè)務(wù)管理為重點轉(zhuǎn)向以公共信息服務(wù)和提高社會化管理程度為重點；由過去的單機操作向網(wǎng)絡(luò)過渡,最終全面實現(xiàn)網(wǎng)絡(luò)管理。

一個社會保險機構(gòu)成功與否,取決于以下三個因素:一是在政策支持下的經(jīng)費投入決定了硬件設(shè)備的規(guī)模，這是系統(tǒng)的外部條件。二是一套功能齊全、著眼點高、符合開發(fā)系統(tǒng)標(biāo)準(zhǔn)的應(yīng)用軟件，這是網(wǎng)絡(luò)系統(tǒng)的靈魂。三是內(nèi)容豐富、符合國際標(biāo)準(zhǔn)、具有本地特色和一定參保覆蓋面的信息數(shù)據(jù)庫，這是網(wǎng)絡(luò)自動化的基礎(chǔ)。這三個因素既是社會保險機構(gòu)網(wǎng)絡(luò)建設(shè)的關(guān)鍵因素,又是建設(shè)的重點。

3.保險企業(yè)計算機信息安全管理的體系構(gòu)建

3.1掌握安全管理標(biāo)準(zhǔn)，構(gòu)建安全管理基本框架

要熟悉掌握信息安全管理標(biāo)準(zhǔn)，對信息技術(shù)的安全管理標(biāo)準(zhǔn)要進(jìn)行不斷深入的理解，不能僅僅考慮到信息技術(shù)，而忽視了信息安全管理。國際上對安全管理研究已經(jīng)取得了一定的成果，推出了信息安全標(biāo)準(zhǔn)，成立了信息安全標(biāo)準(zhǔn)化組織，搭建了信息安全標(biāo)準(zhǔn)體系框架。在我國，雖然信息安全的研究起步比較晚，但是也在不斷的完善中，已經(jīng)制定了適合我國國情的信息安全管理標(biāo)準(zhǔn)。我國提出的關(guān)于《計算機信息安全保護(hù)等級劃分準(zhǔn)則》中就明確了安全管理的標(biāo)準(zhǔn)，主要把信息安全劃分成自主保護(hù)級、系統(tǒng)審核保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗證保護(hù)級等五個安全程度不同的安全等級，根據(jù)這五級標(biāo)準(zhǔn)，也分別提出了關(guān)于建立安全管理體系的相關(guān)措施。所以，保險企業(yè)應(yīng)該參考這些標(biāo)準(zhǔn)，構(gòu)建適合自身行業(yè)、企業(yè)信息的安全管理基本框架，這對于企業(yè)的健康穩(wěn)健發(fā)展是非常有意義的。

3.2實現(xiàn)科學(xué)的信息安全管理

保險企業(yè)要實現(xiàn)科學(xué)的信息安全管理，不能不考慮信息安全影響而隨意的進(jìn)行信息管理。保險企業(yè)的信息安全管理應(yīng)該要包括對機構(gòu)安全管理和人員安全管理以及技術(shù)安全管理和場地設(shè)施安全管理。保險企業(yè)需要采用一些科學(xué)的方法，如科學(xué)化企業(yè)信息資產(chǎn)評估和風(fēng)險分析模型法、設(shè)計完備的信息系統(tǒng)動態(tài)安全模型等，建立科學(xué)的可實施的計算機系統(tǒng)安全策略，采取規(guī)范的安全防范措施，選用可靠穩(wěn)定的安全產(chǎn)品，設(shè)計完善的安全評估標(biāo)準(zhǔn)和等級，實施有效的審核措施等來實現(xiàn)對信息的安全管理。

3.3進(jìn)行有效的安全風(fēng)險評估

保險企業(yè)在搭建信息化平臺的時候，必須要進(jìn)行安全風(fēng)險的評估，沒有風(fēng)險的評估是很難實現(xiàn)信息安全管理的。同時，還需要在對信息安全風(fēng)險的評估中制定出風(fēng)險的應(yīng)對方案，便于應(yīng)對突發(fā)問題，從最大程度上保證信息的安全。

3.4合理配置安全產(chǎn)品

對于評估出來的風(fēng)險，保險企業(yè)可以對信息系統(tǒng)配置一些安全產(chǎn)品來規(guī)避信息安全風(fēng)險。比如說系統(tǒng)存在一些漏洞，這些漏洞很容易受病毒的攻擊，那么企業(yè)可以配置一些能夠定期更新的殺毒軟件和防火墻來防止病毒的侵入。在配置產(chǎn)品的時候需要注意配置的合理性，不能什么安全產(chǎn)品都去配置，要通過最優(yōu)化的安全產(chǎn)品配置達(dá)到企業(yè)信息的安全管理。

結(jié)語

隨著社會保險制度改革的不斷深人,社會保險業(yè)務(wù)管理工作日趨繁瑣,其業(yè)務(wù)量、數(shù)據(jù)量大幅度增加,對信息處理的及時性和準(zhǔn)確性要求也越來越高。社會保險管理信息系統(tǒng)的建設(shè)，要緊密結(jié)合各級社會保險機構(gòu)的業(yè)務(wù)需求,遵循信息工程的理論和方法進(jìn)行,其總的指導(dǎo)方針是:統(tǒng)一規(guī)劃,統(tǒng)一標(biāo)準(zhǔn),城市建網(wǎng),網(wǎng)絡(luò)互聯(lián),分級使用,分步實施。促進(jìn)社會保險改革和發(fā)展,完善社會保障制度的需要。

【參考文獻(xiàn)】

[1]許雅娟.網(wǎng)絡(luò)攻擊分類研究[J].硅谷，2011（06）.

[2]宋曉萍.TDCS網(wǎng)絡(luò)安全防護(hù)方案的研究[J].鐵道運輸與經(jīng)濟，2006（11）.

[3]苗亮.計算機網(wǎng)絡(luò)可靠性的研究[J].機械工程與自動化，2010（03）.

篇7

（一）對信息安全建設(shè)缺乏足夠認(rèn)識。就目前國內(nèi)實際情況來說，傳統(tǒng)行業(yè)對于信息安全建設(shè)尚沒有足夠的認(rèn)識，導(dǎo)致信息安全建設(shè)難以切實施行。具體來說，這主要表現(xiàn)在三個方面。一是傳統(tǒng)行業(yè)的領(lǐng)導(dǎo)者對信息安全建設(shè)缺少必要的認(rèn)識，在面對信息化浪潮的沖擊時，其最先想到的是提升行業(yè)品質(zhì)來面對新挑戰(zhàn)，卻忽視了通過信息安全建設(shè)保護(hù)行業(yè)核心信息資源，導(dǎo)致行業(yè)信息被逐漸泄露，無法與新行業(yè)相抗衡，以致逐漸失去競爭力。最典型的就是傳統(tǒng)出版行業(yè)，在數(shù)字化刊物逐漸普及的情況下，傳統(tǒng)出版行業(yè)已經(jīng)顯得捉襟見肘，出版物印刷量與銷售量逐年下降。二是行業(yè)內(nèi)部員工缺少對信息安全的認(rèn)識，在日常工作中，會在不經(jīng)意間泄露行業(yè)信息。更有甚者為了一己私利出賣行業(yè)信息。這些舉動都對傳統(tǒng)行業(yè)造成了極其惡劣的影響。三是普通消費者缺少對信息安全的認(rèn)識，在某些需要消費者個人信息資料的行業(yè)中，消費者往往沒有考慮個人信息資料是否安全，是否存在泄露的風(fēng)險以及相應(yīng)的后果。忽視這些的結(jié)果就是消費者缺少對相關(guān)企業(yè)信息安全的要求，在發(fā)生意外情況后無法挽回。

（二）信息安全建設(shè)技術(shù)水平較低。傳統(tǒng)行業(yè)雖然缺乏對信息安全建設(shè)的認(rèn)識，但也并非沒有進(jìn)行信息安全建設(shè)，只是其信息安全建設(shè)技術(shù)水平較低，無法切實滿足對企業(yè)信息安全的保護(hù)。信息安全建設(shè)技術(shù)水平低主要表現(xiàn)在兩個方面。一是信息安全管理體系架構(gòu)技術(shù)層次低，一個體系架構(gòu)的技術(shù)高低，決定了該體系所能發(fā)揮的功能高低。越先進(jìn)越高端的技術(shù)，其對信息安全的保護(hù)也就越安全，反之亦然。傳統(tǒng)行業(yè)信息安全管理體系的基礎(chǔ)架構(gòu)以及權(quán)限設(shè)置等信息保障措施，其技術(shù)相對一些新行業(yè)而言較為落后，無法符合不斷更新的計算機技術(shù)，更無法有效彌補信息安全漏洞，只能說是徒有其表。二是人員管理技術(shù)水平較低，人員管理也是信息安全建設(shè)的重要環(huán)節(jié)。每一個員工都攜帶著一定程度的行業(yè)信息，只有加強對員工的管理，建立科學(xué)人性的管理體系，才能確保企業(yè)人員不會因為失誤或利益泄露行業(yè)信息。

（三）信息安全建設(shè)覆蓋范圍較窄。信息安全建設(shè)覆蓋范圍較窄主要可以分為兩個方面，一是進(jìn)行信息安全建設(shè)的傳統(tǒng)行業(yè)范圍較窄；二是行業(yè)內(nèi)部信息安全建設(shè)的范圍較窄。對于所有傳統(tǒng)行業(yè)而言，已經(jīng)完成信息安全建設(shè)或正在建設(shè)的行業(yè)并不多。根據(jù)相關(guān)統(tǒng)計資料，傳統(tǒng)行業(yè)中完成或進(jìn)行中的信息安全建設(shè)的企業(yè)，尚不到20%。這一數(shù)據(jù)說明信息安全建設(shè)率在傳統(tǒng)行業(yè)中來講還很低，還需要加強相關(guān)理念的宣傳，引導(dǎo)更多的傳統(tǒng)企業(yè)進(jìn)行信息安全建設(shè)。在行業(yè)內(nèi)部，信息安全建設(shè)集中在企業(yè)核心機密，即企業(yè)相關(guān)財務(wù)數(shù)據(jù)、產(chǎn)品數(shù)據(jù)和市場數(shù)據(jù)等，忽視了員工信息安全及一些外在信息安全的構(gòu)建。雖然此舉能夠保障企業(yè)核心利益，卻無法保證企業(yè)正常良性的運轉(zhuǎn)。

二、傳統(tǒng)行業(yè)信息安全建設(shè)中的問題及原因

（一）缺少完善的法律法規(guī)。在信息安全方面，我國尚缺少有效完善的法律法規(guī)來加強信息安全建設(shè)，這主要表現(xiàn)在兩個方面。一方面是缺少對傳統(tǒng)行業(yè)信息安全建設(shè)的強制性法律法規(guī)。傳統(tǒng)行業(yè)本身對信息安全缺少足夠的認(rèn)識，再加之缺少必須的法律法規(guī)，就致使傳統(tǒng)行業(yè)基本忽視了信息安全建設(shè)。另一方面是缺少對信息安全犯罪的法律法規(guī)，近年來隨著信息技術(shù)發(fā)展迅猛，各種信息安全犯罪層出不窮，犯罪性質(zhì)也從經(jīng)濟犯罪上升到了更加惡劣的性質(zhì)。各種由于個人信息泄露而出現(xiàn)的綁架、搶劫等案件，急需出臺相應(yīng)的信息安全法律法規(guī)來加以制約。

（二）傳統(tǒng)行業(yè)內(nèi)部信息安全管理不力。信息安全管理主要包括體系建設(shè)、制度建設(shè)和人員管理。這三個方面的工作在傳統(tǒng)行業(yè)中來說都并不到位。體系建設(shè)主要是指信息安全管理體系，一套完整的管理體系，應(yīng)當(dāng)從上至下，由內(nèi)而外，將方方面面的信息安全包羅其中，以形成一個上下一體的信息安全管理系統(tǒng)。制度建設(shè)主要針對信息安全制定相應(yīng)的信息安全管理制度，通過確實的規(guī)章制度，對企業(yè)員工形成約束，避免其出現(xiàn)一些不利企業(yè)信息安全的行為。人員管理主要是加強對企業(yè)員工的信息安全意識教育，讓其樹立起保護(hù)信息安全的基本意識。

（三）基礎(chǔ)信息安全建設(shè)設(shè)施缺乏?；A(chǔ)信息安全建設(shè)設(shè)施缺乏，是擺在傳統(tǒng)行業(yè)面前的關(guān)鍵問題，這主要包括兩個方面的問題。一是技術(shù)基礎(chǔ)缺乏，目前我國信息安全建設(shè)的技術(shù)基礎(chǔ)基本源自國外，這從信息安全的角度來說本身就是一種不安全的行為。只有創(chuàng)建完全自主的信息安全技術(shù)，才能杜絕國外技術(shù)可能存在的技術(shù)后門。二是硬件基礎(chǔ)缺乏，這與技術(shù)基礎(chǔ)缺乏對信息安全的不利影響是一致的。總的來說，硬軟件的缺乏，是傳統(tǒng)行業(yè)信息安全建設(shè)的最大問題。

三、傳統(tǒng)行業(yè)信息安全建設(shè)策略分析

（一）完善信息安全法律法規(guī)。要做好傳統(tǒng)行業(yè)信息安全建設(shè)，最首要的就是完善相應(yīng)的信息安全法律法規(guī)，從法律層面對信息安全建設(shè)進(jìn)行定性。首先是明確傳統(tǒng)行業(yè)信息安全建設(shè)的義務(wù)，通過法律規(guī)定強制傳統(tǒng)行業(yè)進(jìn)行信息安全建設(shè)，迫使其領(lǐng)導(dǎo)層重視信息安全建設(shè)，進(jìn)而在行業(yè)全局決策中增加對信息安全建設(shè)的思考與傾斜。其次是對信息安全犯罪作出全面的定性與量刑，加強對信息安全犯罪的打擊力度，通過法律手段減少信息安全威脅。

（二）加強行業(yè)內(nèi)部信息安全管理。加強行業(yè)內(nèi)部信息安全管理，是信息安全建設(shè)的重要環(huán)節(jié)，其可以從三個方面來進(jìn)行。第一是構(gòu)建企業(yè)員工信息梯度，針對企業(yè)不同部門以及不同職位，制定不同的信息等級制度，以此改善員工功能與信息的不對等關(guān)系。第二是構(gòu)建信息管理制度，針對企業(yè)類型、企業(yè)所包含信息的類型以及其機密程度，制定合理的信息管理制度，加強對內(nèi)部員工的約束。第三是加強對企業(yè)員工的信息安全建設(shè)培訓(xùn)，使企業(yè)員工具有一定的信息安全建設(shè)意識，能夠從一些小事上進(jìn)行信息安全建設(shè)。

（三）自主化信息安全建設(shè)基礎(chǔ)設(shè)施。自主化信息安全建設(shè)基礎(chǔ)設(shè)施應(yīng)當(dāng)從基礎(chǔ)技術(shù)與基礎(chǔ)硬件兩個方面進(jìn)行。就基礎(chǔ)技術(shù)而言，傳統(tǒng)行業(yè)應(yīng)該大量參考國外相關(guān)技術(shù)，博采眾長，創(chuàng)建不依賴于國外技術(shù)的信息安全建設(shè)技術(shù)，真正實現(xiàn)信息安全建設(shè)技術(shù)國產(chǎn)化，從根源上排除國外技術(shù)對傳統(tǒng)行業(yè)信息安全可能存在的技術(shù)風(fēng)險。在基礎(chǔ)硬件方面，傳統(tǒng)行業(yè)可以加強與國內(nèi)硬件廠商的合作，共同研發(fā)具有行業(yè)特點的信息安全建設(shè)硬件，減少國外硬件的引入與應(yīng)用。總的來說，信息安全建設(shè)應(yīng)該在國外硬軟件的基礎(chǔ)上，開發(fā)自主的硬軟件設(shè)備，使信息安全建設(shè)完全實現(xiàn)國產(chǎn)化。

篇8

關(guān)鍵詞：智能電網(wǎng) 信息安全 防護(hù)體系 可信平臺

中圖分類號：F49 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-3973（2013）012-212-02

1 引言

隨著智能電網(wǎng)建設(shè)步伐的推進(jìn)，更多的設(shè)備和用戶接入電力系統(tǒng)，例如，智能電表、分布式電源、數(shù)字化保護(hù)裝置、先進(jìn)網(wǎng)絡(luò)等，這些設(shè)備的應(yīng)用使電網(wǎng)的信息化、自動化、互動化程度比傳統(tǒng)電網(wǎng)大大提高，它們在提升電網(wǎng)監(jiān)測與管理方面發(fā)揮了重要作用，但同時也給數(shù)據(jù)與信息的安全帶來了隱患。比如黑客通過竊取技術(shù)訪問電網(wǎng)公司數(shù)據(jù)中心的服務(wù)器，有可能造成客戶信息泄露或數(shù)據(jù)安全問題，嚴(yán)重時有可能造成國家的重大損失。因此，如何使眾多的用戶能在一個安全的環(huán)境下使用電網(wǎng)的服務(wù)，成了當(dāng)前電網(wǎng)信息安全建設(shè)的重要內(nèi)容之一。

2 電力企業(yè)信息安全建設(shè)的關(guān)鍵問題

云計算技術(shù)在電力企業(yè)的業(yè)務(wù)管理中已經(jīng)逐步得到應(yīng)用，另外，隨著技術(shù)的成熟和商業(yè)成本的降低，基于可信計算平臺的網(wǎng)絡(luò)應(yīng)用獲得了迅猛發(fā)展。如果在電網(wǎng)業(yè)務(wù)管理體系中將可信計算與云計算結(jié)合起來，將會使電網(wǎng)的管理水平如虎添翼。圖1為構(gòu)建可信平臺模塊間的安全通道示意圖。

在可信計算環(huán)境下，每臺主機嵌入一個可信平臺模塊。由于可信平臺模塊內(nèi)置密鑰，在模塊間能夠構(gòu)成一個天然的安全通信信道。因此，可以將廣播的內(nèi)容放在可信平臺模塊中，通過安全通信信道來進(jìn)行廣播，這樣可以極大地節(jié)約通信開銷。

智能電網(wǎng)的體系架構(gòu)從設(shè)備功能上可以分為基礎(chǔ)硬件層、感知測量層、信息通信層和調(diào)度運維層四個層次。那么，智能電網(wǎng)的信息安全就必須包括物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全及備份恢復(fù)等方面。因此，其涉及到的關(guān)鍵問題可從CA體系建設(shè)、桌面安全部署、等級防護(hù)方案等方面入手。

3 智能電網(wǎng)信息防護(hù)體系框架

3.1 數(shù)字證書體系

數(shù)字證書體系CA是建設(shè)一套符合國家政策要求的電子認(rèn)證系統(tǒng)，并作為電力企業(yè)信息化建設(shè)的重要基礎(chǔ)設(shè)施，實現(xiàn)各實體身份在網(wǎng)絡(luò)上的真實映射，滿足各應(yīng)用系統(tǒng)中關(guān)于身份認(rèn)證、信息保密性、完整性和抗抵賴性等安全性要求。該系統(tǒng)主要包括根CA系統(tǒng)、CA簽發(fā)系統(tǒng)、RA注冊管理系統(tǒng)、KM系統(tǒng)、證書狀態(tài)查詢系統(tǒng)和LDAP目錄服務(wù)系統(tǒng)，總體結(jié)構(gòu)如圖2所示。

3.2 桌面安全管理體系

該體系可為電力企業(yè)提供集中的終端（桌面）綜合安全管理的桌面管理產(chǎn)品，打造一個安全、可信、規(guī)范、健康的內(nèi)網(wǎng)環(huán)境，如圖3所示。

該體系能滿足用戶：確保入網(wǎng)終端符合要求；全面監(jiān)測終端健康狀況；保證終端信息安全可控；動態(tài)監(jiān)測內(nèi)網(wǎng)安全態(tài)勢；快速定位解決終端故障；規(guī)范員工網(wǎng)絡(luò)行為；統(tǒng)一內(nèi)網(wǎng)用戶身份管理等。

3.3 等級防護(hù)體系

此外，在設(shè)計信息安全體系時，還需要針對電力企業(yè)的業(yè)務(wù)應(yīng)用系統(tǒng)，按照不同的安全保護(hù)等級，設(shè)計信息系統(tǒng)安全等級保護(hù)方案，如圖4所示。

根據(jù)國家關(guān)于《信息系統(tǒng)等級保護(hù)基本要求》中關(guān)于信息安全管理的規(guī)定，該體系應(yīng)該包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等方面。

4 結(jié)論與展望

本文將電力云技術(shù)與可信計算結(jié)合起來，設(shè)計了面向智能電網(wǎng)的信息安全防護(hù)體系框架，從CA體系建設(shè)、桌面安全部署、等級防護(hù)方案等方面闡述了該框架的內(nèi)涵。但信息安全是一個沒有盡頭的工作，需要及時與最新的方法相結(jié)合，不斷完善信息安全方案，使電網(wǎng)做到真正的智能、堅強。

（基金項目：中央高?；究蒲袠I(yè)務(wù)費專項資金項目（11MG50）；河北省高等學(xué)?？茖W(xué)研究項目（Z2013007））

參考文獻(xiàn)：

[1] 陳樹勇，宋書芳，李蘭欣，等.智能電網(wǎng)技術(shù)綜述[J].電網(wǎng)技術(shù)，2009，33（8）：1-7.

[2] 國家電網(wǎng).關(guān)于加快推進(jìn)堅強智能電網(wǎng)建設(shè)的意見[N].國家電網(wǎng)報，2010-01-12（2）.

[3] 曹軍威，萬宇鑫，涂國煜，等.智能電網(wǎng)信息系統(tǒng)體系結(jié)構(gòu)研究[J].計算機學(xué)報，2013，36（1）：143-167.

[4] 陳康，鄭緯民.云計算：系統(tǒng)實例與研究現(xiàn)狀[J].軟件學(xué)報，2009（5）：1337-1348.

篇9

關(guān)鍵詞：企業(yè)；信息網(wǎng)絡(luò)；安全體系；安全技術(shù)

大中型企業(yè)作為我國國民經(jīng)濟的骨干企業(yè)，在國家經(jīng)濟發(fā)揮舉足輕重的作用，現(xiàn)代經(jīng)濟活動離不開信息和網(wǎng)絡(luò)，大中型企業(yè)對網(wǎng)絡(luò)和信息技術(shù)的依賴性很強，企業(yè)員工多、信息化互聯(lián)設(shè)備多、種類多樣，企業(yè)的關(guān)鍵業(yè)務(wù)大多架構(gòu)在IT系統(tǒng)之上，網(wǎng)絡(luò)環(huán)境的穩(wěn)定性、安全性、高效性直接影響公司信息化應(yīng)用。目前，許多大中型企業(yè)提出了建立“數(shù)字化企業(yè)”的目標(biāo)，在企業(yè)信息化建設(shè)中，信息安全問題是必須要首先考慮的問題，可見，建立企業(yè)信息安全體系勢在必行。

1  企業(yè)信息網(wǎng)絡(luò)安全威脅及風(fēng)險

近年來,許多大中型企業(yè)十分重視信息網(wǎng)絡(luò)建設(shè)的應(yīng)用和開發(fā)，但是對于信息網(wǎng)絡(luò)安全的防護(hù)并沒有得到足夠重視。根據(jù)調(diào)研機構(gòu)的調(diào)查報告顯示，國內(nèi)企業(yè)中63%經(jīng)常遭受病毒或蠕蟲攻擊，而41%的企業(yè)受到惡意間諜軟件或惡意軟件的威脅。主要體現(xiàn)在：病毒和蠕蟲攻擊、黑客入侵、惡意攻擊、完整性破壞、網(wǎng)絡(luò)資源濫用、員工信息安全意識淡薄等。

目前企業(yè)面臨著網(wǎng)絡(luò)攻擊的“外部威脅”及內(nèi)部人員信息泄露的“內(nèi)部威脅”的雙重考驗，垃圾郵件、企業(yè)機密泄露、網(wǎng)絡(luò)資源濫用、病毒泛濫以及網(wǎng)絡(luò)攻擊等問題成為企業(yè)最為頭疼的網(wǎng)絡(luò)安全問題，企業(yè)網(wǎng)絡(luò)環(huán)境日趨嚴(yán)峻。

2 企業(yè)網(wǎng)絡(luò)安全體系

大中型企業(yè)網(wǎng)絡(luò)面臨嚴(yán)峻的安全形勢，迫使各企業(yè)意識到構(gòu)建完備安全體系的重要性，隨著網(wǎng)絡(luò)攻擊的多樣化，只針對網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付各種各樣的攻擊，同時還要隨時注重操作系統(tǒng)、數(shù)據(jù)庫、軟硬件設(shè)備的安全性；企業(yè)安全體系建設(shè)不僅要有效抵御外網(wǎng)攻擊，而且要能防范可能來自內(nèi)部的安全泄密等威脅。企業(yè)必須采用多層次的安全系統(tǒng)架構(gòu)才能保障企業(yè)網(wǎng)絡(luò)安全，最終建立一套以內(nèi)外兼防為特征的企業(yè)安全保障體系。

企業(yè)信息網(wǎng)絡(luò)安全體系由物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全五部分構(gòu)成。

物理安全：物理安全主要是保護(hù)企業(yè)數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)介質(zhì)及其他物理實體設(shè)備的安全，提供一個安全可靠的物理運行環(huán)境。

鏈路安全：數(shù)據(jù)鏈路層（第二協(xié)議層）的通信連接就安全而言，是較為薄弱的環(huán)節(jié)。目的是保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽和篡改。

網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全主要包括：通過防火墻隔離內(nèi)外網(wǎng)絡(luò)，不同區(qū)域的訪問控制，部署基于網(wǎng)絡(luò)的身份認(rèn)證及入侵檢測系統(tǒng)、VPN、網(wǎng)絡(luò)集中防病毒等手段實現(xiàn)網(wǎng)絡(luò)設(shè)備自身的安全可靠。

系統(tǒng)安全：系統(tǒng)安全主要指數(shù)據(jù)庫、操作系統(tǒng)的安全保護(hù)。保證應(yīng)用系統(tǒng)的可靠性、完整性和高效性。

信息安全：主要通過數(shù)據(jù)加密、CA認(rèn)證、授權(quán)等手段保證信息處理、傳遞、存儲的保密性、完整性和可用性。

典型企業(yè)信息網(wǎng)絡(luò)安全管理體系拓?fù)浣Y(jié)構(gòu)如圖一所示：

3  信息安全體系設(shè)計原則

企業(yè)安全設(shè)計應(yīng)遵循如下原則：

3．1保密性：信息不能夠泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。

3．2完整性：信息完整性是指信息在輸入和傳輸?shù)倪^程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性。

3． 3可用性：保障授權(quán)用戶在需要時可以獲取信息并按要求使用的特性。

3．4可控性：對信息的處理、傳遞、存儲等具有控制能力。

信息安全就是要保障維護(hù)信息的機密性、完整性、可用性以及保障維護(hù)信息的真實性、可問責(zé)性、不可抵賴性、可靠性、守法性。

4 企業(yè)網(wǎng)絡(luò)安全防范技術(shù)手段

目前企業(yè)信息網(wǎng)絡(luò)布署的安全技術(shù)手段主要方式有：

4.1防火墻系統(tǒng)

  防火墻系統(tǒng)作為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)必不可少的組成部分，用于防范來自外部interne非法用戶對企業(yè)內(nèi)部網(wǎng)絡(luò)的主動威脅。防火墻系統(tǒng)搭建在內(nèi)部網(wǎng)絡(luò)與外部公共Internet網(wǎng)絡(luò)之間，通過合理配置訪問控制策略，管理Internet和內(nèi)部網(wǎng)絡(luò)之間的訪問。其主要功能包括訪問控制、信息過濾、流量分析和監(jiān)控、阻斷非法數(shù)據(jù)傳輸?shù)?。企業(yè)在外部攻擊的頻度和攻擊流量非常嚴(yán)重的情況下，建議配置專用的DDOS防火墻。

4.2入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（簡稱“IDS”）是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。IDS是一種積極主動的安全防護(hù)技術(shù)，可以彌補防火墻相對靜態(tài)防御的不足，通過對來自外部網(wǎng)和內(nèi)部的各種行為進(jìn)行實時檢測，及時發(fā)現(xiàn)未授權(quán)或異?，F(xiàn)象以及各種可能的攻擊企圖，記錄有關(guān)事件，以便網(wǎng)管員及時采取防范措施，為事后分析提供依據(jù)的依據(jù)。

4.3漏洞掃描系統(tǒng)

企業(yè)內(nèi)部部署漏洞掃描系統(tǒng)，不間斷地對企業(yè)工作站、服務(wù)器、防火墻、交換機等進(jìn)行安全檢查，提供記錄有關(guān)漏洞的詳細(xì)信息和最佳解決對策，協(xié)助網(wǎng)管員及時發(fā)現(xiàn)和堵絕漏洞、降低風(fēng)險，防患于未然。

4.4網(wǎng)頁防篡改系統(tǒng)

網(wǎng)頁防篡改系統(tǒng)主要是防止企業(yè)對外Web遭受黑客的篡改，保證企業(yè)外部網(wǎng)站的正常運行。防篡改系統(tǒng)利用先進(jìn)的Web服務(wù)器核心內(nèi)嵌技術(shù)，將篡改檢測模塊（數(shù)字水印技術(shù)）和應(yīng)用防護(hù)模塊（防注入攻擊）內(nèi)嵌于Web服務(wù)器內(nèi)部，并輔助以增強型事件觸發(fā)檢測技術(shù)，不僅實現(xiàn)了對靜態(tài)網(wǎng)頁和腳本的實時檢測和恢復(fù)，更可以保護(hù)數(shù)據(jù)庫中的動態(tài)內(nèi)容免受來自于Web的攻擊和篡改，徹底解決網(wǎng)頁防篡改問題。

4.5上網(wǎng)行為管理系統(tǒng)

上網(wǎng)行為管理系統(tǒng)主要部署在企業(yè)外部防火墻和內(nèi)部核心交換機之間，針對企業(yè)內(nèi)部員工訪問Internet行為進(jìn)行集中管理與控制。其主要功能有：網(wǎng)頁過濾、應(yīng)用控制（IM聊天、P2P下載、在線娛樂、炒股軟件、論壇發(fā)帖等）、帶寬管理、內(nèi)容審計（郵件收發(fā)、論壇發(fā)帖、FTP、HTTP文件傳輸?shù)龋?、用戶管理、日志管理等功能?/p>

4.6內(nèi)網(wǎng)安全管理平臺

據(jù)FBI/CSI中國CNISTEC調(diào)查報告：來自企業(yè)外部威脅占20%，內(nèi)部威脅高達(dá)80%。針對大型企業(yè)日益復(fù)雜的內(nèi)部網(wǎng)絡(luò)環(huán)境以及基于企業(yè)保密管理的需求，必須構(gòu)造一套內(nèi)網(wǎng)安全管理平臺，規(guī)范和管理內(nèi)部網(wǎng)絡(luò)環(huán)境，提高內(nèi)部網(wǎng)絡(luò)資源的可控性。其功能應(yīng)包括：用戶認(rèn)證與授權(quán)、IP與MAC綁定、網(wǎng)絡(luò)監(jiān)控、桌面監(jiān)控、安全域管理、 存儲介質(zhì)管理、補丁分發(fā)、文檔安全管理、資產(chǎn)管理、日志報表管理等。

4.7企業(yè)集中防病毒系統(tǒng)

在病毒肆虐的時代，反病毒已經(jīng)成為企業(yè)信息安全非常重要的一環(huán)，企業(yè)網(wǎng)絡(luò)情況比較復(fù)雜，由于員工計算機水平大多不高，構(gòu)造一套完整的企業(yè)集中防病毒網(wǎng)絡(luò)系統(tǒng)平臺，可以強化病毒防護(hù)系統(tǒng)的應(yīng)用策略和統(tǒng)一管理策略，并且使企業(yè)員工電腦的病毒庫及時得到更新，增強病毒防護(hù)有效性，降低病毒對安全帶來的威脅。

集中防病毒系統(tǒng)應(yīng)具有：集中管控、遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、分布查殺等多種功能。

4.8建立健全企業(yè)安全管理組織體系及制度，加強企業(yè)信息安全意識

企業(yè)在建設(shè)信息網(wǎng)絡(luò)安全建設(shè)技術(shù)手段的同時，更需要考慮管理的安全性，不斷完善企業(yè)信息安全制度。通過培訓(xùn)，增強每個員工的安全意識，為大中型企業(yè)信息安全管理奠定基礎(chǔ)。

隨著信息技術(shù)的發(fā)展，企業(yè)無線接入、電子商務(wù)交易、數(shù)字簽名、數(shù)字證書等安全管理也應(yīng)逐步納入企業(yè)信息安全體系范疇。

五、 結(jié)束語

目前，大中型企業(yè)信息進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化的發(fā)展大趨勢，針對各種網(wǎng)絡(luò)應(yīng)用的攻擊和破壞方式也變得異常頻繁，信息化發(fā)展而來的網(wǎng)絡(luò)安全問題日漸突出，網(wǎng)絡(luò)安全問題已成為信息時代人類共同面臨的挑戰(zhàn)，同時，網(wǎng)絡(luò)信息安全是一個系統(tǒng)工程，涉及人員、硬軟件設(shè)備、資金、制度等因素，沒有絕對可靠的安全技術(shù)，科學(xué)有效的管理可以彌補技術(shù)安全漏洞的缺陷。

參考文獻(xiàn)：

［1］向宏，傅鸝，詹榜華 著  信息安全測評與風(fēng)險評估 電子工業(yè)出版社  2009-01

［2］謝宗曉，郭立生　著  信息安全管理體系應(yīng)用手冊中國標(biāo)準(zhǔn)出版社  2008-10

篇10

【關(guān)鍵詞】 煙草 信息安全 體系 建設(shè)

隨著煙草行業(yè)的不斷發(fā)展，企業(yè)對信息化建設(shè)的要求越來越高。目前，煙草行業(yè)，尤其是以地市級煙草企業(yè)為代表的卷煙銷售終端企業(yè)，在信息安全建設(shè)上給予的重視越來越高，資金的投入也越來越大，地市級煙草企業(yè)信息安全工作有了保障。

1 信息安全體系規(guī)劃原則

根據(jù)國家和行業(yè)信息安全相關(guān)政策和標(biāo)準(zhǔn)，安全體系規(guī)劃與設(shè)計工作遵循以下的建設(shè)原則：

（1）重點保護(hù)原則。針對核心的服務(wù)支撐平臺，應(yīng)采取足夠強度的安全防護(hù)措施，確保核心業(yè)務(wù)不間斷運行。

（2）靈活性原則。因信息技術(shù)日新月異的發(fā)展，而相應(yīng)的安全標(biāo)準(zhǔn)滯后，應(yīng)靈活設(shè)計相應(yīng)的防護(hù)措施。

（3）責(zé)任制原則。安全管理應(yīng)做到“誰主管，誰負(fù)責(zé)”，注重安全規(guī)章制度、應(yīng)急響應(yīng)的落實執(zhí)行。

（4）實用性原則。以確保信息系統(tǒng)性能和安全為前提，充分利用資源，保障安全運行。

2 信息安全體系管理范圍

以地市級煙草企業(yè)中心機房核心網(wǎng)絡(luò)和系統(tǒng)為主，覆蓋市局（公司）、各縣級局（營銷部）、基層專賣管理所等，安全體系包括范圍：應(yīng)用安全、網(wǎng)絡(luò)安全、主機安全、數(shù)據(jù)安全、終端安全等。

3 信息安全體系規(guī)劃框架

按照等級化保護(hù)“積極防御、綜合防范”的方針，地市級煙草企業(yè)信息化建設(shè)需要進(jìn)行整體安全體系規(guī)劃設(shè)計，全面提高信息安全防護(hù)能力。

在綜合評估信息化安全現(xiàn)狀的基礎(chǔ)上，從管理和技術(shù)來進(jìn)行信息安全管理工作。信息安全體系建設(shè)思路是：以保護(hù)信息系統(tǒng)為核心，嚴(yán)格參考等級保護(hù)的思路和標(biāo)準(zhǔn)，滿足地市級煙草企業(yè)信息系統(tǒng)在物理層面、網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面和管理層面的安全需求，為各項業(yè)務(wù)的開展提供有力保障。信息安全體系框架如圖1所示：

4 信息安全管理體系建設(shè)

從實際情況出發(fā)，體系包括安全組織機構(gòu)、安全管理制度、人員安全、安全教育培訓(xùn)在內(nèi)的安全管理體系。

4.1 組織機構(gòu)

由決策機構(gòu)、管理機構(gòu)、和執(zhí)行機構(gòu)三個層面組成信息安全組織機構(gòu)，并通過合理的組織結(jié)構(gòu)設(shè)置、人員配備和工作職責(zé)劃分，對信息安全工作實行全方位管理。

4.2 安全制度

信息安全規(guī)章制度是所有與信息安全有關(guān)的人員必須共同遵守的行為準(zhǔn)則。應(yīng)從信息安全組織機構(gòu)和崗位職責(zé)、人員管理制度、信息系統(tǒng)管理制度、機房管理制度、網(wǎng)絡(luò)管理制度等。

4.3 人員安全

通過管理控制手段，確保單位內(nèi)部人員以及第三方人員的安全意識，包括人員的崗前安全技能培訓(xùn)、保密協(xié)議的簽訂等幾個方面。

4.4 安全教育培訓(xùn)

通過有計劃培訓(xùn)和教育手段，確保工作人員充分認(rèn)識信息安全的重要性，具備符合要求的安全意識、知識和技能，提高其進(jìn)行信息安全防護(hù)的主動性、自覺性和能力。

5 信息安全技術(shù)體系建設(shè)

按照等級保護(hù)方法，對信息系統(tǒng)進(jìn)行安全區(qū)域的劃分，并根據(jù)保護(hù)強度來采用相應(yīng)的安全技術(shù)，實行分區(qū)域、分級管理?；A(chǔ)性保護(hù)措施實現(xiàn)后，建立地市級煙草企業(yè)的信息安全管理平臺，對地市級煙草企業(yè)整體信息系統(tǒng)的統(tǒng)一安全管理。

5.1 劃分安全區(qū)域

根據(jù)信息化資產(chǎn)屬性，可劃分為服務(wù)器區(qū)域、終端區(qū)域。目前，各業(yè)務(wù)域的服務(wù)器直接連接至核心交換機，無法對各個服務(wù)器區(qū)之間劃分明確邊界，在服務(wù)器區(qū)和核心交換機之間增加匯聚交換機，服務(wù)器經(jīng)過匯聚交換機的匯聚再上聯(lián)至核心交換機。對局域網(wǎng)按照業(yè)務(wù)功能區(qū)建立不同的VLAN，分別賦予相應(yīng)級別的服務(wù)訪問權(quán)限和安全防護(hù)措施。安全域網(wǎng)絡(luò)拓?fù)淙鐖D2示：

一級安全域包括范圍：地市級煙草企業(yè)辦公區(qū)域、縣公司辦公區(qū)域、移動訪問用戶區(qū)域。部署上網(wǎng)行為管理、殺毒軟件等防護(hù)措施。二級安全域包括對象：業(yè)務(wù)與管理服務(wù)器區(qū)域、網(wǎng)站服務(wù)器區(qū)域、公共平臺服務(wù)器區(qū)（防病毒服務(wù)器、網(wǎng)管服務(wù)器）等。部署操作系統(tǒng)加固、身份認(rèn)證、漏洞掃描、文件數(shù)據(jù)加密以及安全審計等措施。三級安全域包括數(shù)據(jù)服務(wù)器區(qū)域、存儲備份區(qū)域以及核心交換機、主干路由器等。部署核心交換設(shè)備、鏈路冗余備份，加載廣域網(wǎng)路由QOS策略，采用數(shù)據(jù)庫高強度口令訪問等措施。

5.2 保護(hù)計算環(huán)境

“云計算”和虛擬化技術(shù)的發(fā)展，打破了傳統(tǒng)意義上按物理位置劃分的計算環(huán)境。依照不同的保護(hù)等級，分別進(jìn)行加強用戶身份鑒別、標(biāo)記和強制訪問控制、系統(tǒng)安全審計、用戶數(shù)據(jù)完整性保護(hù)、保密性保護(hù)、系統(tǒng)安全監(jiān)測等措施。

5.3 區(qū)域邊界保護(hù)

邊界保護(hù)是一組功能的集合，包括邊界的訪問控制、包過濾、入侵監(jiān)測、惡意代碼防護(hù)以及區(qū)域邊界完整性保護(hù)等。在技術(shù)上通過防火墻、入侵防護(hù)、病毒過濾、終端安全管理等措施來實現(xiàn)保護(hù)。

5.4 通信網(wǎng)絡(luò)防護(hù)

信息系統(tǒng)的互聯(lián)互通是建立在安全暢通的通信網(wǎng)絡(luò)基礎(chǔ)之上。通訊網(wǎng)絡(luò)的構(gòu)成主要包括網(wǎng)絡(luò)傳輸設(shè)備、軟件和通信介質(zhì)。保護(hù)通信網(wǎng)絡(luò)的安全措施有：網(wǎng)絡(luò)安全監(jiān)控、網(wǎng)絡(luò)審計、網(wǎng)絡(luò)冗余或備份以及可靠網(wǎng)絡(luò)設(shè)備接入。一是利用入侵防護(hù)系統(tǒng)以及UTM在關(guān)鍵的計算環(huán)境邊界，進(jìn)行安全監(jiān)控，防止非法的訪問；二是對骨干網(wǎng)中的防火墻設(shè)備進(jìn)行配置，制定安全訪問控制策略，設(shè)置授信的訪問區(qū)域；啟用安全審計功能，對經(jīng)過防火墻訪問關(guān)鍵的IP、系統(tǒng)或數(shù)據(jù)進(jìn)行記錄、監(jiān)控；通過網(wǎng)閘技術(shù)，對不同網(wǎng)絡(luò)進(jìn)行物理隔離。通過VLAN技術(shù)對內(nèi)部網(wǎng)絡(luò)進(jìn)行邏輯隔離。

5.5 數(shù)據(jù)安全防護(hù)

建立數(shù)據(jù)安全備份和恢復(fù)機制，部署數(shù)據(jù)備份和恢復(fù)系統(tǒng)，制定相應(yīng)的數(shù)據(jù)備份與恢復(fù)策略，完成對數(shù)據(jù)的自動備份，并建立數(shù)據(jù)恢復(fù)機制。建立異地數(shù)據(jù)級災(zāi)備中心，在系統(tǒng)出現(xiàn)災(zāi)難事故時，能夠恢復(fù)數(shù)據(jù)使系統(tǒng)應(yīng)用正常運行。

5.6 信息安全平臺