導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)及信息安全管理辦法，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：市縣一體化；信息；安全；保障

中圖分類號(hào)：F291 文獻(xiàn)標(biāo)識(shí)碼：A

0引言

《國(guó)家電網(wǎng)公司信息系統(tǒng)安全管理辦法》對(duì)建設(shè)國(guó)網(wǎng)一體化信息安全保障體系的目標(biāo)給出了指導(dǎo)性意見，就是要增強(qiáng)信息安全防護(hù)能力，提升信息安全自主可控能力，防止承載各類業(yè)務(wù)系統(tǒng)被惡意滲透，防止關(guān)鍵業(yè)務(wù)信息系統(tǒng)數(shù)據(jù)或信息被竊取或篡改，以確保更有效的抵御各種風(fēng)險(xiǎn)，最終實(shí)現(xiàn)國(guó)網(wǎng)自上而下信息系統(tǒng)網(wǎng)絡(luò)安全、服務(wù)器及應(yīng)用系統(tǒng)、桌面終端、移動(dòng)存儲(chǔ)介質(zhì)等全方面的管控，使各層級(jí)信息化應(yīng)用水平及信息安全防護(hù)水平達(dá)到一個(gè)新的高度［1］。

近年來，隨著國(guó)家電網(wǎng)公司信息技術(shù)的深化應(yīng)用，信息安全日益重要。澠池縣電業(yè)局在市縣一體化信息安全管理策略的設(shè)計(jì)和實(shí)現(xiàn)中以“硬件建設(shè)”為基礎(chǔ)，以“軟件建設(shè)”為關(guān)鍵，以“管理建設(shè)”為手段，深化安全管理，持續(xù)提升信息化安全水平。

1專業(yè)管理的頂層設(shè)計(jì)和指標(biāo)體系

1.1市縣一體化頂層設(shè)計(jì)目標(biāo)。在現(xiàn)有的信息化平臺(tái)基礎(chǔ)上，通過2年的系統(tǒng)建設(shè)，分步實(shí)施“硬件組體、軟件添翼、管理促飛”信息安全保障體系“三部曲”策略，最終構(gòu)筑起堅(jiān)強(qiáng)的市縣一體化信息安全保障體系。

1.2從環(huán)境設(shè)施上加以提升，從技術(shù)流程上加以完善，從管理措施上嚴(yán)格要求，以確保更有效的抵御各種風(fēng)險(xiǎn)，實(shí)現(xiàn)安全穩(wěn)定可靠運(yùn)行。安全保障策略指標(biāo)值如下：

1.2.1硬件指標(biāo)：內(nèi)網(wǎng)網(wǎng)絡(luò)部署防火墻、內(nèi)外網(wǎng)實(shí)現(xiàn)“物理隔離”；部署上網(wǎng)行為管理、門禁、防雷等硬件設(shè)施；部署數(shù)據(jù)中心虛擬容災(zāi)系統(tǒng)；建設(shè)市縣網(wǎng)絡(luò)主備通道。

1.2.2軟件指標(biāo)：桌面注冊(cè)率達(dá)到100%；殺毒軟件安裝率達(dá)到100%；無賬戶弱口令；無安全防護(hù)漏洞；無違規(guī)郵件、網(wǎng)站。

1.2.3管理制度：制定或修編澠池縣電業(yè)局《安全移動(dòng)存儲(chǔ)介質(zhì)管理辦法》《桌面終端設(shè)備安全管理辦法》《計(jì)算機(jī)信息系統(tǒng)安全管理辦法》《信息網(wǎng)絡(luò)運(yùn)行管理辦法》《計(jì)算機(jī)信息系統(tǒng)安全管理辦法》《計(jì)算機(jī)機(jī)房管理制度》《計(jì)算機(jī)設(shè)備管理辦法（試行）》《網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急預(yù)案（試行）》《信息安全保密協(xié)議書》《信息系統(tǒng)口令管理辦法》、《信息內(nèi)外網(wǎng)辦公終端準(zhǔn)入管理辦法》。

2市縣一體化策略的實(shí)現(xiàn)

2.1硬件組體“搭建體骼”。

2.1.1基礎(chǔ)環(huán)境建設(shè)。長(zhǎng)遠(yuǎn)規(guī)劃，進(jìn)行機(jī)房資源整合，按照國(guó)家二類機(jī)房建設(shè)要求，改擴(kuò)建中心機(jī)房面積達(dá)到160平方米，進(jìn)行機(jī)房區(qū)域劃分，增設(shè)直流電源室、公共上網(wǎng)區(qū)、備品備件室、維修間共128平方米，開展門禁系統(tǒng)、信息防雷系統(tǒng)及監(jiān)控系統(tǒng)建設(shè)，添置網(wǎng)絡(luò)測(cè)試儀器及相關(guān)辦公用品，機(jī)房具備防水、防火、防灰塵、防盜、防雷等多種功能，完全滿足運(yùn)維、管理、辦公需求。

2.1.2數(shù)據(jù)容災(zāi)建設(shè)。本著同城異地備份、確保數(shù)據(jù)安全的原則，建設(shè)60余平方米數(shù)據(jù)中心虛擬容災(zāi)機(jī)房，具備實(shí)時(shí)備份系統(tǒng)數(shù)據(jù)和集中統(tǒng)一管理的功能，滿足各類系統(tǒng)擴(kuò)展性和可靠性要求。

2.1.3市縣網(wǎng)絡(luò)擴(kuò)容建設(shè)。按照河南省電力公司要求，單獨(dú)配置雙千兆路由器，配置雙核心千兆交換機(jī)，實(shí)現(xiàn)與三門峽供電公司的聯(lián)網(wǎng)帶寬達(dá)到2*100M，市縣APN備用通道1*10M，省公司至縣局VPN聯(lián)網(wǎng)帶寬1*100M的目的。

2.1.4實(shí)現(xiàn)內(nèi)外物理隔離。對(duì)邊緣配線間進(jìn)行改造，加裝樓間層防水防潮裝置，采用防鼠技術(shù)措施。對(duì)內(nèi)網(wǎng)和外網(wǎng)采取平行布線模式，終端用戶主機(jī)雙配置，實(shí)現(xiàn)完全物理上的內(nèi)外網(wǎng)分離。

2.1.5擴(kuò)容后備電源。中心機(jī)房增設(shè)10kVA不間斷UPS電源，與蘭州大學(xué)聯(lián)合開發(fā)了蓄電池除硫裝置，當(dāng)市電供電系統(tǒng)出現(xiàn)停電或電池容量不足時(shí)，以短信形式向維護(hù)人員發(fā)送告警信息，極大地提高了其設(shè)備的維護(hù)效率和系統(tǒng)運(yùn)行安全性，延長(zhǎng)UPS電源的使用壽命。

2.1.6從低壓電源側(cè)、通信線路、通訊設(shè)備及網(wǎng)絡(luò)設(shè)備全方位、多層次部署機(jī)房三級(jí)防雷系統(tǒng)，有效地防止雷擊對(duì)機(jī)房?jī)?nèi)設(shè)備所產(chǎn)生的危害。

2.2軟件添翼“助翼雙翅”。

2.2.1終端用戶防護(hù)。按照《國(guó)家電網(wǎng)公司信息化“SG186”工程安全防護(hù)總體方案》，對(duì)信息內(nèi)外網(wǎng)部署北信源桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)，實(shí)現(xiàn)桌面終端安全訪問、安全接入，硬件資產(chǎn)全生命周期應(yīng)用等功能，桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)級(jí)聯(lián)至市公司，實(shí)現(xiàn)桌面運(yùn)行監(jiān)測(cè)及相關(guān)考核指標(biāo)的標(biāo)準(zhǔn)化，安裝率達(dá)到100%。

2.2.2防病毒防御系統(tǒng)安裝。全網(wǎng)桌面終端安裝Nod32防病毒軟件，安裝率達(dá)到100%。對(duì)危害桌面終端安全的惡意軟件和功能時(shí)刻保持著高度警惕。桌面終端安全系統(tǒng)、智能防御系統(tǒng)等級(jí)提升。

2.2.3補(bǔ)丁系統(tǒng)完善。通過標(biāo)準(zhǔn)化的管理流程實(shí)時(shí)為桌面終端提供標(biāo)準(zhǔn)、最新的補(bǔ)丁漏洞信息及數(shù)據(jù)更新服務(wù)。定期自動(dòng)從互聯(lián)網(wǎng)獲取操作系統(tǒng)軟件廠商的補(bǔ)丁，在仿真的網(wǎng)絡(luò)環(huán)境中嚴(yán)格測(cè)試認(rèn)證后，確保補(bǔ)丁安全，再將安全的補(bǔ)丁分發(fā)到實(shí)際網(wǎng)絡(luò)環(huán)境中的計(jì)算機(jī)終端，并可以進(jìn)行相關(guān)的補(bǔ)丁分發(fā)行為控制和流量管理，在簡(jiǎn)化人工干預(yù)的同時(shí)，確保終端系統(tǒng)的安全和網(wǎng)絡(luò)的穩(wěn)定。

2.2.4市縣聯(lián)動(dòng)安全措施。三門峽供電公司部署網(wǎng)管軟件，定期對(duì)縣局的終端設(shè)備掃描檢測(cè)內(nèi)網(wǎng)安全漏洞，豐富安全技術(shù)手段，為縣局信息安全管理提供支撐。同時(shí)依據(jù)《關(guān)于企業(yè)使用正版軟件通知》要求，與知名廠商簽訂購置正版操作系統(tǒng)供應(yīng)協(xié)議。省市縣三級(jí)所用桌面終端安裝了國(guó)網(wǎng)公司下發(fā)的正版軟件，增強(qiáng)了基礎(chǔ)層業(yè)務(wù)應(yīng)用穩(wěn)定性和數(shù)據(jù)的安全性。

2.3管控結(jié)合“促力騰飛”。

2.3.1“引教結(jié)合”，強(qiáng)化安全管理。通過文件、公告、會(huì)議、信息安全競(jìng)賽等多種渠道，大力宣傳保障網(wǎng)絡(luò)與信息安全的重要性。組織信息技術(shù)人員和信息員進(jìn)行網(wǎng)絡(luò)與信息安全技術(shù)培訓(xùn)和現(xiàn)場(chǎng)宣貫。對(duì)關(guān)鍵崗位人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核，對(duì)在信息系統(tǒng)安全工作中做出顯著成績(jī)的單位和人員應(yīng)給予獎(jiǎng)勵(lì)和表彰，對(duì)違反國(guó)家法律、法規(guī)和澠池縣電業(yè)局有關(guān)規(guī)定，造成一定不良影響和后果的，追究其責(zé)任。這些措施的實(shí)施，使全局范圍內(nèi)從上到下統(tǒng)一了思想、明確了認(rèn)識(shí)，強(qiáng)化了全員網(wǎng)絡(luò)與信息安全意識(shí)。

2.3.2強(qiáng)化系統(tǒng)運(yùn)行維護(hù)管理。對(duì)信息網(wǎng)絡(luò)與系統(tǒng)運(yùn)行狀況等進(jìn)行監(jiān)測(cè)和報(bào)警，定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析，根據(jù)需要采取必要的應(yīng)對(duì)措施。建立安全管理中心，對(duì)安全設(shè)備、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全設(shè)施進(jìn)行集中管理。嚴(yán)格按照有關(guān)信息系統(tǒng)事故調(diào)查規(guī)定，及時(shí)報(bào)告信息系統(tǒng)事故情況，認(rèn)真開展信息系統(tǒng)事故原因分析，堅(jiān)持“四不放過”原則，有效落實(shí)整改，確保類似事故不再發(fā)生。

2.3.3強(qiáng)化移動(dòng)存儲(chǔ)規(guī)范化管理。移動(dòng)存儲(chǔ)設(shè)備集中授權(quán)分發(fā)，數(shù)據(jù)交換前必須通過正確的身份認(rèn)證，符合密碼復(fù)雜度身份認(rèn)證策略，記錄數(shù)據(jù)交換過程的工作日志，便于以后進(jìn)行跟蹤審計(jì)，非授權(quán)的移動(dòng)存儲(chǔ)介質(zhì)，在工作環(huán)境不可用。利用信息保密、訪問控制、審計(jì)等技術(shù)手段，對(duì)移動(dòng)存儲(chǔ)設(shè)備實(shí)施安全保護(hù)，登記存儲(chǔ)信息資產(chǎn)、日志記錄、審計(jì)記錄和信息不能被移動(dòng)存儲(chǔ)設(shè)備非法流失，實(shí)現(xiàn)存儲(chǔ)設(shè)備信息安全的“五不”原則，即：進(jìn)不來、拿不走、讀不懂、改不了、信不丟。

2.3.4強(qiáng)化弱口令管理。根據(jù)“信息安全通報(bào)”、“信息安全反違章”檢查的結(jié)果，結(jié)合其實(shí)際，進(jìn)行全面的信息系統(tǒng)弱口令專項(xiàng)治理工作［2］。對(duì)系統(tǒng)本單位及局屬各部門的桌面計(jì)算機(jī),信息應(yīng)用系統(tǒng)、操作系統(tǒng)、中間件和數(shù)據(jù)庫系統(tǒng)等用戶的訪問賬號(hào)及口令進(jìn)行徹底排查，對(duì)不符合口令要求的用戶及系統(tǒng)下發(fā)相應(yīng)的通知，使其進(jìn)行限期的整改，杜絕信息系統(tǒng)泄密事件的發(fā)生。

2.3.5強(qiáng)化安全接入管理。通過在網(wǎng)絡(luò)中部署相應(yīng)的網(wǎng)絡(luò)安全檢查策略，確保用戶滿足身份認(rèn)證的要求，同時(shí)用戶的終端設(shè)備必須達(dá)到一定的安全和策略條件，才可以通過網(wǎng)關(guān)設(shè)備接入到網(wǎng)絡(luò)中并獲得相應(yīng)的訪問權(quán)限。一方面驗(yàn)證了用戶的身份，避免了非法用戶接入到網(wǎng)絡(luò)中，限定了用戶的訪問權(quán)限；另一方面也避免了存在安全隱患的終端系統(tǒng)的接入，可以大大消除蠕蟲病毒對(duì)網(wǎng)絡(luò)系統(tǒng)以及承載的業(yè)務(wù)所帶來的威脅和影響，實(shí)現(xiàn)幫助客戶發(fā)現(xiàn)、預(yù)防和消除安全威脅的目標(biāo)。

2.3.6強(qiáng)化保密工作管理。管理嚴(yán)格執(zhí)行“不上網(wǎng)、上網(wǎng)不”紀(jì)律［3］，重要工作資料不得在外網(wǎng)計(jì)算機(jī)上留存，嚴(yán)禁在信息外網(wǎng)上傳輸、處理涉及國(guó)家秘密和澠池縣電業(yè)局秘密的信息。嚴(yán)格信息系統(tǒng)安全工作人員錄用過程，審查其身份、背景、專業(yè)資格，及時(shí)終止離崗員工的所有訪問權(quán)限。嚴(yán)格外部人員訪問程序，對(duì)允許訪問人員實(shí)行專人全程陪同或監(jiān)督，并登記備案。

2.3.7強(qiáng)化運(yùn)行通報(bào)管理。為進(jìn)一步做好信息安全保障工作，定期對(duì)信息安全工作進(jìn)行統(tǒng)計(jì)分析，在月報(bào)中透明的體現(xiàn)信息安全運(yùn)維工作，使全體員工及時(shí)掌握信息系統(tǒng)的運(yùn)行情況，更好的為生產(chǎn)經(jīng)營(yíng)業(yè)務(wù)服務(wù)，澠池縣電業(yè)局每月《澠池縣電業(yè)局信息化工作簡(jiǎn)報(bào)》對(duì)當(dāng)月信息安全運(yùn)維工作的整體情況進(jìn)行統(tǒng)計(jì)分析。每月一期《澠池縣電業(yè)局網(wǎng)絡(luò)與信息安全運(yùn)行月報(bào)》，對(duì)當(dāng)月網(wǎng)絡(luò)與信息安全運(yùn)行情況進(jìn)行統(tǒng)計(jì)分析。信息安全運(yùn)行通報(bào)制度的執(zhí)行，使全體員工對(duì)信息安全運(yùn)維工作有了了解的途徑，增強(qiáng)了全員信息安全意識(shí)。

2.3.8強(qiáng)化系統(tǒng)上下線管理。加強(qiáng)應(yīng)用系統(tǒng)的管理審批流程，形成閉環(huán)管理。新建信息系統(tǒng)涉及安全防護(hù)措施建設(shè)時(shí)，明確安全需求，確定安全等級(jí)，結(jié)合澠池縣電業(yè)局安全防護(hù)總體策略，進(jìn)行安全防護(hù)方案設(shè)計(jì)。嚴(yán)格規(guī)范系統(tǒng)變更、系統(tǒng)重要操作、物理訪問和系統(tǒng)接入申報(bào)和審批程序，建立健全變更管理制度。保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)，并進(jìn)行必要的安全隔離，配置嚴(yán)格的訪問控制策略，開展必要的安全評(píng)估［4］。

2.4激活人力資源，提升管控空間。

2.4.1搭建核心保障體系。成立以科技信息副局長(zhǎng)為組長(zhǎng)的信息安全保障體系領(lǐng)導(dǎo)小組，各部門負(fù)責(zé)人為領(lǐng)導(dǎo)小組成員，對(duì)澠池縣電業(yè)局整體信息安全保障體系工作進(jìn)行全面督導(dǎo)。領(lǐng)導(dǎo)小組下設(shè)工作小組（辦公室設(shè)在信息中心），具體負(fù)責(zé)協(xié)調(diào)、執(zhí)行實(shí)現(xiàn)信息安全保障策略的各項(xiàng)工作，本單位各部門設(shè)有兼職信息管理員，負(fù)責(zé)配合本單位本部門信息安全保障體系的協(xié)調(diào)、執(zhí)行。

2.4.2開展兼職信息員建設(shè)，發(fā)揮信息管理員潛能。在全局各部門設(shè)立兼職信息管理員36名，部門兼職信息管理員由各部門既通曉業(yè)務(wù)、又熟悉計(jì)算機(jī)知識(shí)的人員擔(dān)任，職責(zé)為進(jìn)行基礎(chǔ)性的運(yùn)維工作、信息安全宣傳、督導(dǎo)與檢查和整改工作。信息員管理以安全員的標(biāo)準(zhǔn)按照專業(yè)化管理思路統(tǒng)一管理，設(shè)立有合理的薪酬標(biāo)準(zhǔn)及詳細(xì)的管理制度，每月定期召開信息安全會(huì)議，按月開展信息技術(shù)培訓(xùn)，嚴(yán)格執(zhí)行各種業(yè)務(wù)考核和工作安排，不斷強(qiáng)化責(zé)任心和業(yè)務(wù)能力，形成全局齊抓共管的局面。

2.4.3績(jī)效考核與控制。為保證市縣信息安全保障體系的正常運(yùn)轉(zhuǎn)，明確職責(zé)分工，對(duì)工作項(xiàng)目和內(nèi)容進(jìn)行標(biāo)準(zhǔn)化、規(guī)范化管理，依據(jù)國(guó)網(wǎng)公司、省公司等上級(jí)單位的相關(guān)要求，修訂完善了《澠池縣電業(yè)局信息網(wǎng)絡(luò)運(yùn)行管理辦法》等11項(xiàng)管理規(guī)范及標(biāo)準(zhǔn)，進(jìn)一步規(guī)范了信息系統(tǒng)運(yùn)行管理，確保安全保障策略持續(xù)、穩(wěn)步實(shí)施。

3結(jié)語

近年來，國(guó)網(wǎng)公司實(shí)施了覆蓋信息系統(tǒng)全生命周期的54項(xiàng)管理措施，立足國(guó)產(chǎn)化，積極探索自主可控安全管理模式，結(jié)合電網(wǎng)安全需求，加強(qiáng)頂層設(shè)計(jì)，對(duì)電網(wǎng)信息安全工作進(jìn)行整體規(guī)劃，經(jīng)過努力，澠池縣電業(yè)局在網(wǎng)絡(luò)信息安全保障策略的設(shè)計(jì)和實(shí)施中的經(jīng)驗(yàn)和做法，解決了縣級(jí)供電企業(yè)信息安全保障體系中存在的一些突出問題和安全漏洞，廣大員工在信息安全等重點(diǎn)環(huán)節(jié)，從制度執(zhí)行、行為監(jiān)控、防治體系等方面，有了穩(wěn)步提升，總體來看，建成了電網(wǎng)信息安全等級(jí)保護(hù)縱深防御體系，為市縣一體化的安全、穩(wěn)定運(yùn)行提供了強(qiáng)有力的信息安全運(yùn)行保障，達(dá)到了預(yù)期的效果和目的。

參考文獻(xiàn)

［1］國(guó)家電網(wǎng)公司信息系統(tǒng)安全管理辦法［Z］.北京：國(guó)家電網(wǎng)公司，2011.

［2］國(guó)家電網(wǎng)公司信息網(wǎng)絡(luò)運(yùn)行管理規(guī)程(試行)［S］.北京：國(guó)家電網(wǎng)公司，2003.

［3］國(guó)家電網(wǎng)公司信息安全風(fēng)險(xiǎn)評(píng)估管理暫行辦法［Z］.北京：國(guó)家電網(wǎng)公司，2011.

［4］國(guó)家電網(wǎng)公司信息系統(tǒng)建轉(zhuǎn)運(yùn)實(shí)施細(xì)則［Z］.北京：國(guó)家電網(wǎng)公司，2010.

--------------------

作者簡(jiǎn)介:趙江華（1978—），男，河南省三門峽市澠池縣人，高級(jí)工程師，主要從事電網(wǎng)調(diào)度管理、光纖通信工程項(xiàng)目建設(shè)及網(wǎng)絡(luò)應(yīng)用方面的研究。

篇2

非金融機(jī)構(gòu)支付服務(wù)的多樣化、個(gè)性化等特點(diǎn)較好地滿足了電子商務(wù)企業(yè)和個(gè)人的支付需求，促進(jìn)了電子商務(wù)的發(fā)展，在支持“刺激消費(fèi)、擴(kuò)大內(nèi)需”等宏觀經(jīng)濟(jì)政策方面發(fā)揮了積極作用。雖然非金融機(jī)構(gòu)的支付服務(wù)主要集中在零售支付領(lǐng)域，其業(yè)務(wù)量與銀行業(yè)金融機(jī)構(gòu)提供的支付服務(wù)量相比還很小，但其服務(wù)對(duì)象非常多，主要是網(wǎng)絡(luò)用戶、手機(jī)用戶、銀行卡和預(yù)付卡持卡人等，其影響非常廣泛。目前國(guó)內(nèi)約有300多家第三方支付機(jī)構(gòu)，其中多數(shù)非金融機(jī)構(gòu)從事互聯(lián)網(wǎng)支付、手機(jī)支付、電話支付以及發(fā)行預(yù)付卡等業(yè)務(wù)。

一、第三方支付平臺(tái)存在的安全問題

隨著第三方支付的廣泛應(yīng)用，其安全性問題也越來越突出。由于我國(guó)電子支付方面的法律較為滯后，對(duì)第三方支付市場(chǎng)監(jiān)管不夠，目前存在的300多家第三方支付產(chǎn)品質(zhì)量參差不齊，員工安全意識(shí)薄弱，安全防護(hù)措施不夠，用戶的交易安全和個(gè)人信息存在很大的風(fēng)險(xiǎn)。安全問題可以歸納為幾個(gè)方面：

第三方支付機(jī)構(gòu)安全意識(shí)薄弱

相對(duì)于銀行業(yè)金融機(jī)構(gòu)，非金融支付機(jī)構(gòu)安全意識(shí)還比較淡薄，還不能充分認(rèn)識(shí)到信息安全面臨的形勢(shì)和信息安全工作的重要性，對(duì)支付平臺(tái)的操作風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)等重視不夠。領(lǐng)導(dǎo)對(duì)信息安全的不重視，就會(huì)導(dǎo)致信息安全工作不到位和難于開展。一些員工思想上有麻痹意識(shí)，認(rèn)為安全案件都是偶然發(fā)生，存在僥幸心理；一些員工總認(rèn)為與己無關(guān)，信息科技引發(fā)的案件是科技部門的事。從而導(dǎo)致安全措施執(zhí)行不到位，安全制度無法貫徹的現(xiàn)象。正是這些安全意識(shí)上的薄弱環(huán)節(jié)，導(dǎo)致了安全威脅有機(jī)可乘。很多信息安全事件往往不是因?yàn)榧夹g(shù)原因，而是由于系統(tǒng)運(yùn)維人員的疏忽或不作為。安全意識(shí)薄弱是安全問題發(fā)生的根源。

安全管理機(jī)構(gòu)不健全安全管理制度不完善

多數(shù)第三方支付機(jī)構(gòu)還沒有形成信息安全組織結(jié)構(gòu)，管理較混亂，安全管理人員配備不足。信息安全管理制度還不成體系，沒有建立總體方針，安全管理制度和操作規(guī)程缺失，安全策略不完整等。已有的安全管理制度也不完善，易使工作上出現(xiàn)漏洞，操作上出現(xiàn)失誤，引發(fā)安全事故，造成損失。

安全技術(shù)防護(hù)能力薄弱

在第三方支付平臺(tái)建設(shè)中，沒有充分重視安全技術(shù)防護(hù)能力的建設(shè)，安全技術(shù)防護(hù)能力薄弱，如，有些支付系統(tǒng)沒有部署防火墻和入侵檢測(cè)設(shè)備，沒有劃分安全域；沒有安全事件監(jiān)控、統(tǒng)一防病毒等防護(hù)措施；重要數(shù)據(jù)的傳輸和存儲(chǔ)存在安全隱患；重要網(wǎng)絡(luò)設(shè)備沒有進(jìn)行安全策略配置，致使非法訪問網(wǎng)絡(luò)系統(tǒng)、假冒網(wǎng)絡(luò)終端/操作員、截獲和篡改傳輸數(shù)據(jù)的安全事件發(fā)生；應(yīng)急處理方案不完備，應(yīng)對(duì)和處理危機(jī)的能力還比較弱。

應(yīng)用程序中存在安全漏洞

系統(tǒng)上線前，沒有對(duì)應(yīng)用程序進(jìn)行全面的測(cè)評(píng)，致使生產(chǎn)系統(tǒng)存在功能、安全性及性能方面的問題。通過對(duì)第三方支付系統(tǒng)應(yīng)用程序的檢測(cè)，發(fā)現(xiàn)了大量的安全隱患，如SQL注入、跨站腳本、網(wǎng)絡(luò)釣魚以及登錄方式不安全等，這些漏安全隱患可以被不法分子利用，可以對(duì)數(shù)據(jù)進(jìn)行竊取，或?qū)τ脩舻拿舾行畔⑦M(jìn)行非法獲取，給第三方支付機(jī)構(gòu)和用戶造成損失。

個(gè)人信息不能得到保護(hù)

一些第三方支付平臺(tái)要求用戶提供真實(shí)姓名、聯(lián)系方式、住址、銀行賬號(hào)甚至身份證號(hào)，個(gè)別網(wǎng)站在設(shè)計(jì)上存在問題，致使這些信息很容易泄露。第三方支付平臺(tái)隱私政策不合理，免責(zé)條款過多，用戶為了使用其服務(wù)只能同意該條款，導(dǎo)致發(fā)生問題時(shí)維權(quán)艱難。第三方支付機(jī)構(gòu)除了應(yīng)采用技術(shù)手段進(jìn)行保護(hù)之外，還應(yīng)該以文件、政策或公告的方式在網(wǎng)站上公開對(duì)用戶信息進(jìn)行安全承諾。

二、國(guó)家對(duì)第三方支付的監(jiān)督管理

我國(guó)電子商務(wù)自20世紀(jì)90年代起步以來，很快進(jìn)入快速發(fā)展期，交易額以年均40%的速度增長(zhǎng)。2009年，交易規(guī)模達(dá)到3.8萬億元，電子商務(wù)已滲透到經(jīng)濟(jì)和社會(huì)各個(gè)層面。與此同時(shí)，有關(guān)非金融機(jī)構(gòu)備付金管理、系統(tǒng)穩(wěn)定性以及消費(fèi)者權(quán)益保護(hù)等問題，需要高度關(guān)注。如何促進(jìn)非金融機(jī)構(gòu)支付服務(wù)市場(chǎng)的健康發(fā)展，關(guān)系到電子商務(wù)的成敗，關(guān)系到中國(guó)支付網(wǎng)絡(luò)體系的安全與效率。

2009年4月，人民銀行公告，對(duì)從事支付業(yè)務(wù)的非金融機(jī)構(gòu)進(jìn)行登記。2010年6月14日，人民銀行《非金融機(jī)構(gòu)支付服務(wù)管理辦法》（以下簡(jiǎn)稱《管理辦法》），對(duì)非金融機(jī)構(gòu)支付業(yè)務(wù)實(shí)施行政許可。2010年12月，《非金融支付服務(wù)管理辦法實(shí)施細(xì)則》（以下簡(jiǎn)稱《實(shí)施細(xì)則》）。《管理辦法》和《實(shí)施細(xì)則》的，意味著我國(guó)非金融機(jī)構(gòu)支付市場(chǎng)監(jiān)管的基本原則已經(jīng)確立。

《管理辦法》中規(guī)定對(duì)于《支付業(yè)務(wù)許可證》的申請(qǐng)人必須具備有符合要求的支付業(yè)務(wù)設(shè)施，而且在向中國(guó)人民銀行申請(qǐng)?jiān)S可證是必須符合中國(guó)人民銀行規(guī)定的非金融機(jī)構(gòu)支付服務(wù)系統(tǒng)技術(shù)和安全標(biāo)準(zhǔn)，提交《技術(shù)安全檢測(cè)認(rèn)證證明》?？梢娧胄袑?duì)非金融機(jī)構(gòu)支付的技術(shù)和安全性的高度重視，技術(shù)和安全檢測(cè)是非金融機(jī)構(gòu)申請(qǐng)?jiān)S可證過程中最關(guān)鍵也是最嚴(yán)格的環(huán)節(jié)。

三、提高第三方支付平臺(tái)安全性的建議

政府應(yīng)加強(qiáng)監(jiān)管力度

通過《管理辦法》和《實(shí)施細(xì)則》的和實(shí)施，一些具備良好資信水平、較強(qiáng)盈利能力和一定從業(yè)經(jīng)驗(yàn)的非金融機(jī)構(gòu)進(jìn)入支付服務(wù)市場(chǎng)，在中國(guó)人民銀行的監(jiān)督管理下規(guī)范從事支付業(yè)務(wù)，切實(shí)維護(hù)了社會(huì)公眾的合法權(quán)益。整個(gè)第三方支付平臺(tái)的安全性有了一定的保障。但這樣還不夠，應(yīng)進(jìn)一步強(qiáng)管理和監(jiān)控，可以考慮將第三方支付機(jī)構(gòu)納入金融機(jī)構(gòu)的安全管理體系，使其遵循金融機(jī)構(gòu)相關(guān)的安全管理制度和標(biāo)準(zhǔn)規(guī)范。

第三方支付機(jī)構(gòu)應(yīng)增強(qiáng)安全意識(shí)，加強(qiáng)信息安全體系建設(shè)

信息安全教育和培訓(xùn)是信息安全管理工作的重要基礎(chǔ)，在實(shí)際工作中，大部分信息技術(shù)風(fēng)險(xiǎn)要依靠員工進(jìn)行有效的控制，因此需要通過宣傳、培訓(xùn)和教育等手段提升員工的信息安全認(rèn)知（包括提高安全意識(shí)、了解安全職責(zé)、培養(yǎng)安全技能），發(fā)揮員工在信息安全管理中的主觀能動(dòng)性，以自律的方式來實(shí)現(xiàn)信息安全保障。

建立全面、科學(xué)的信息安全管理體系。建立組織、人員結(jié)構(gòu)合理的安全組織結(jié)構(gòu)。加強(qiáng)信息安全隊(duì)伍建設(shè)，充實(shí)信息安全管理隊(duì)伍，完善激勵(lì)機(jī)制。建立完整的信息安全策略，主要包括信息安全策略、安全規(guī)章制度、安全操作流程和設(shè)備操作指南等方面。完善信息安全應(yīng)急恢復(fù)體系，推進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估，實(shí)行信息安全等級(jí)保護(hù)，健全信息安全標(biāo)準(zhǔn)規(guī)范和有關(guān)制度。

構(gòu)建一個(gè)科學(xué)合理的安全技術(shù)保障體系。加大網(wǎng)絡(luò)安全設(shè)施建設(shè)力度，加強(qiáng)網(wǎng)絡(luò)邊界防護(hù)，實(shí)施網(wǎng)絡(luò)安全域控制；加強(qiáng)軟件開發(fā)控制，對(duì)軟件進(jìn)行安全測(cè)評(píng)核漏洞檢測(cè)；保障基礎(chǔ)設(shè)施和物理環(huán)境的安全，加強(qiáng)檢測(cè)、監(jiān)控和審計(jì)措施，實(shí)施安全加固；加強(qiáng)備份管理，建立災(zāi)備中心，保證支付業(yè)務(wù)的連續(xù)性。

篇3

【 關(guān)鍵詞 】 軍隊(duì)；計(jì)算機(jī)網(wǎng)絡(luò)；信息安全

The Research on the Army's Computer Network and Information Security

Qi Yong-li

(Navy Submarine Acdemcy QingDao ShandongQingdao 266042)

【 Abstract 】 With the increasingly complex world regional military struggle and peaceful evolution of the situation, the army always faces all types of emergencies; needs to analysis, sort information and data timely. All these factors make the army becoming increasingly dependent on computer network. The army faces greater challenges in data privacy, because of army information needing high degree of confidentiality, involving the wide-ranging, needing to address large amount of data. This paper mainly researches the management of the army of the computer network and information security. Then the paper targets scientific and effective measures which have practical significance to promote the development of military information enhance the level of information security of military computer networks.

【 Keywords 】 military; computer networks ; information security

1 引言

信息化時(shí)代，我國(guó)軍隊(duì)逐步開展了信息化建設(shè)，利用高科技對(duì)軍隊(duì)實(shí)行信息化管理，并取得了顯著的階段性成果。因?yàn)檐婈?duì)信息安全保密工作專業(yè)性強(qiáng)、技術(shù)性強(qiáng)，信息保密程度要求較高，軍隊(duì)各級(jí)部門、每一位人員都承受著較大的數(shù)據(jù)安全保密壓力。軍隊(duì)信息化的迅猛發(fā)展，使軍隊(duì)對(duì)網(wǎng)絡(luò)的依賴性越來越強(qiáng)，同時(shí)軍事信息也面臨著越來越嚴(yán)峻的安全威脅。

為了確保國(guó)家秘密的安全，國(guó)家對(duì)軍隊(duì)的信息網(wǎng)絡(luò)系統(tǒng)建設(shè)和使用提出相應(yīng)要求，保證其信息系統(tǒng)資源的完整性、準(zhǔn)確性及有限傳播范圍。在網(wǎng)絡(luò)系統(tǒng)安全方面要防止網(wǎng)絡(luò)系統(tǒng)遭到?jīng)]有授權(quán)的存取或破壞以及非法入侵，防止對(duì)手竊取、篡改、偽造信息，破壞自己的信息網(wǎng)路。在數(shù)據(jù)安全方面要防止敏感、機(jī)要數(shù)據(jù)被修改、被私自傳送、竊取或非法復(fù)制、使用等。然而由宏觀層面來看，我國(guó)軍隊(duì)的網(wǎng)絡(luò)安全管理工作較網(wǎng)絡(luò)應(yīng)用建設(shè)相對(duì)滯后，相關(guān)安全技術(shù)發(fā)展不是很成熟。同時(shí)軍隊(duì)?wèi)?yīng)用網(wǎng)絡(luò)人員安全意識(shí)不強(qiáng)，對(duì)新形勢(shì)下如何強(qiáng)化軍事信息的可靠安全缺乏充分科學(xué)的思想認(rèn)識(shí)，使計(jì)算機(jī)網(wǎng)絡(luò)存在安全問題。

2 計(jì)算機(jī)網(wǎng)絡(luò)信息安全存在的問題

2.1 安全法律法規(guī)有待完善

現(xiàn)階段，國(guó)家和軍隊(duì)在網(wǎng)絡(luò)安全方面出臺(tái)許多相關(guān)的法律、規(guī)章制度和保密制度。如《計(jì)算機(jī)病毒防治管理辦法》、《核心密碼管理規(guī)定》、《計(jì)算機(jī)信息系統(tǒng)安全保密規(guī)定》等，但是有關(guān)軍事信息安全的法律法規(guī)還是無法涵蓋信息安全管理工作的方方面面。軍隊(duì)的信息安全法規(guī)很大一部分是早期制定的，缺少對(duì)犯罪行為的處罰，法律責(zé)任規(guī)范不明確。法律法規(guī)的變動(dòng)都有很嚴(yán)格的程序，從提出預(yù)案到確立需要經(jīng)過好幾年，不能適應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理出現(xiàn)的新問題和結(jié)果。部分的軍事法規(guī)、規(guī)定、條例制定主體混亂、客體交叉，在相關(guān)內(nèi)容上相互的沖突，難以操作。

2.2 信息安全管理機(jī)構(gòu)設(shè)置不健全

目前較多軍隊(duì)存在著重使用、輕安全的問題。網(wǎng)絡(luò)信息的安全與維護(hù)，投資力度有限，沒有設(shè)立專門機(jī)構(gòu)進(jìn)行統(tǒng)一管理、統(tǒng)一協(xié)調(diào)，部門設(shè)置不配套，存在部門多、統(tǒng)管少的現(xiàn)象。由于沒有一個(gè)具有權(quán)威性、領(lǐng)導(dǎo)性的部門，導(dǎo)致制定的相關(guān)的信息安全法律法規(guī)得不到有效執(zhí)行，制度沒有真正落實(shí)到實(shí)處。在具體實(shí)施信息安全管理過程中，形成不了合力，很難做到組織協(xié)調(diào)，造成人力、物力和財(cái)力方面的浪費(fèi)。網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行、維護(hù)和開發(fā)等崗位不清，職責(zé)不分，存在一人身兼數(shù)職現(xiàn)象。

篇4

福建省檔案局高度重視檔案信息標(biāo)準(zhǔn)規(guī)范建設(shè)，將檔案信息標(biāo)準(zhǔn)建設(shè)納入檔案事業(yè)發(fā)展的“十五”計(jì)劃，組織力量、加強(qiáng)研究，以指導(dǎo)全省檔案基礎(chǔ)數(shù)據(jù)庫建設(shè)。2002年福建省第九屆人大第三十六次會(huì)議通過的《福建省檔案條例》中規(guī)定：省人民政府檔案行政管理機(jī)構(gòu)應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定，統(tǒng)一檔案信息化建設(shè)的數(shù)據(jù)標(biāo)準(zhǔn)，規(guī)范檔案信息化管理。2002年11月，“福建省分布式檔案基礎(chǔ)數(shù)據(jù)庫”項(xiàng)目建設(shè)正式立項(xiàng)啟動(dòng)，項(xiàng)目建設(shè)總體目標(biāo)是：以省、設(shè)區(qū)市、縣（市、區(qū)）94個(gè)綜合檔案館館藏檔案為對(duì)象，以分布式檔案數(shù)據(jù)庫建設(shè)為核心，重點(diǎn)建設(shè)“福建省分布式檔案目錄數(shù)據(jù)庫”、“福建省分布式重要檔案數(shù)據(jù)庫”、“福建省館藏多媒體檔案數(shù)據(jù)庫”三個(gè)全省性、規(guī)范化、可共享的基礎(chǔ)數(shù)據(jù)庫以及相配套的基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)，實(shí)現(xiàn)全省館藏檔案信息資源的社會(huì)共享，同時(shí)為接入全省政務(wù)信息網(wǎng)的各立檔單位提供電子檔案存放和調(diào)閱服務(wù)。在項(xiàng)目建設(shè)過程中，檔案信息標(biāo)準(zhǔn)和規(guī)范的研究制定作為一個(gè)子項(xiàng)目納入了整體建設(shè)的可行性研究報(bào)告和實(shí)施方案中，提出要“通過制定各項(xiàng)標(biāo)準(zhǔn)，確保檔案數(shù)據(jù)的通用、共享與交換，確保在軟、硬件環(huán)境變化時(shí)檔案數(shù)據(jù)的完整、安全和有效利用”。幾年來，結(jié)合項(xiàng)目建設(shè)和管理的需要，制定了一系列相關(guān)的標(biāo)準(zhǔn)和規(guī)范。

1、檔案數(shù)據(jù)庫建設(shè)標(biāo)準(zhǔn)與規(guī)范。近幾年，福建省檔案局為保證檔案數(shù)字化的工作規(guī)范和數(shù)據(jù)產(chǎn)品質(zhì)量，先后制定并下發(fā)了有關(guān)檔案數(shù)字化的標(biāo)準(zhǔn)與規(guī)范。

1998年，全省國(guó)家綜合檔案館啟動(dòng)建國(guó)后檔案目錄數(shù)據(jù)庫建設(shè)，制定了《福建省各級(jí)綜合檔案館文件級(jí)檔案目錄數(shù)據(jù)庫結(jié)構(gòu)與著錄要求》和《福建省國(guó)家綜合檔案館檔案目錄數(shù)據(jù)庫建設(shè)前處理規(guī)范》，確保了檔案目錄數(shù)據(jù)庫的質(zhì)量。

2000年開始，省檔案局組織實(shí)施對(duì)全省檔案目錄數(shù)據(jù)庫的規(guī)范和檢查，在此基礎(chǔ)上起草了《文書檔案目錄數(shù)據(jù)交換格式與著錄細(xì)則》和《福建省綜合檔案館檔案目錄數(shù)據(jù)庫建設(shè)操作規(guī)范》。

2002年3月，《文書檔案目錄數(shù)據(jù)交換格式與著錄細(xì)則》（DB35／T161－2002）作為福建省地方標(biāo)準(zhǔn)由福建省質(zhì)量技術(shù)監(jiān)督局實(shí)施，為館室之間一體化檔案信息數(shù)據(jù)移交、交換和共享打下了基礎(chǔ)。

2003年，為配合“福建省分布式檔案基礎(chǔ)數(shù)據(jù)庫”項(xiàng)目建設(shè)，制定了《照片檔案掃描系統(tǒng)操作規(guī)范》與《照片檔案掃描人員崗位職責(zé)及產(chǎn)品驗(yàn)收標(biāo)準(zhǔn)》與《縮微檔案轉(zhuǎn)換系統(tǒng)操作規(guī)范》、《縮微檔案轉(zhuǎn)換系統(tǒng)人員崗位職責(zé)及產(chǎn)品驗(yàn)收標(biāo)準(zhǔn)》《紙質(zhì)檔案掃描系統(tǒng)操作規(guī)范》與《紙質(zhì)檔案掃描系統(tǒng)人員崗位職責(zé)及產(chǎn)品驗(yàn)收標(biāo)準(zhǔn)》、《視音頻檔案轉(zhuǎn)換系統(tǒng)操作規(guī)范與產(chǎn)品質(zhì)量標(biāo)準(zhǔn)》等標(biāo)準(zhǔn)和規(guī)范，明確不同載體檔案數(shù)據(jù)的采集要求，嚴(yán)格各種產(chǎn)品生產(chǎn)操作的程序。

2、檔案信息管理標(biāo)準(zhǔn)與規(guī)范。電子檔案是電子政務(wù)發(fā)展的必然產(chǎn)物，也是今后信息化環(huán)境下檔案的主要載體形式，明確電子文件形成與歸檔的要求以及規(guī)范電子檔案的管理，是解決今后電子檔案交換與共享的基礎(chǔ)，也是實(shí)現(xiàn)館室一體化的一個(gè)重要前提。

2003年5月，福建省委辦公廳、省政府辦公廳聯(lián)合印發(fā)了由省檔案局起草的《福建省電子文件歸檔與電子檔案管理辦法（試行）》。

為配合項(xiàng)目建設(shè)中的應(yīng)用平臺(tái)―――數(shù)字檔案信息管理系統(tǒng)的開發(fā)與應(yīng)用，省檔案局組織技術(shù)人員研究制定了《基于XML在線應(yīng)用平臺(tái)數(shù)據(jù)交換規(guī)范（試行）》和《檔案數(shù)據(jù)管理安全要求（試行）》，為在WEB環(huán)境下電子檔案數(shù)據(jù)交換傳遞提供了先進(jìn)、規(guī)范的應(yīng)用方式和強(qiáng)有力的數(shù)據(jù)安全保障。

建立和健全檔案信息日常管理標(biāo)準(zhǔn)與規(guī)范是完善檔案信息標(biāo)準(zhǔn)體系的一項(xiàng)重要內(nèi)容。

2002年，福建省檔案館、局局域網(wǎng)相繼建成使用，為確保檔案局域網(wǎng)和檔案網(wǎng)站的正常管理和維護(hù)，相繼制定了《福建省檔案局（館）計(jì)算機(jī)局域網(wǎng)及信息系統(tǒng)管理規(guī)定（試行）》，《福建省檔案局（館）計(jì)算機(jī)局域網(wǎng)管理使用暫行規(guī)定》，明確了檔案局域網(wǎng)管理和使用要求。

2001年10月出臺(tái)了《福建省檔案網(wǎng)站管理辦法（試行）》，在管理辦法中，規(guī)定了檔案網(wǎng)站信息服務(wù)的內(nèi)容范圍，建立了檔案網(wǎng)站信息服務(wù)備案制度和年檢制度，進(jìn)一步明確了檔案數(shù)據(jù)上網(wǎng)的審批程序。在日常管理過程中，還制定了“網(wǎng)站信息采集制度”、“檔案信息制度”、“欄目?jī)?nèi)容責(zé)任制度”、“網(wǎng)頁更新制度”、“電子郵件與留言及時(shí)回復(fù)制度”等，以加強(qiáng)網(wǎng)站的規(guī)范管理。

3、檔案信息安全標(biāo)準(zhǔn)與規(guī)范。檔案信息安全的保護(hù)不單純是技術(shù)問題，還需要通過更為規(guī)范嚴(yán)格的安全管理來彌補(bǔ)和解決。因此，通過制定檔案信息安全標(biāo)準(zhǔn)和規(guī)范來加強(qiáng)檔案信息安全顯得尤為重要。

2001年為了確保全省各級(jí)國(guó)家綜合檔案館計(jì)算機(jī)管理系統(tǒng)的安全可靠運(yùn)行，下發(fā)了《福建省國(guó)家檔案館計(jì)算機(jī)管理系統(tǒng)安全要求》，要求各級(jí)綜合檔案館建立健全管理制度，嚴(yán)格采取各項(xiàng)管理措施，確保系統(tǒng)環(huán)境、設(shè)備、檔案載體等安全。

2002年，福建省檔案局制定了《福建省檔案局（館）計(jì)算機(jī)局域網(wǎng)及信息管理系統(tǒng)安全規(guī)定》，按照這一規(guī)定要求，相應(yīng)制定了《計(jì)算機(jī)設(shè)備維護(hù)管理辦法》、《檔案機(jī)房管理制度》、《檔案安全備份管理辦法》《檔案數(shù)據(jù)庫安全管理辦法》、《系統(tǒng)管理員崗位職責(zé)》、《網(wǎng)絡(luò)管理員崗位職責(zé)》、《網(wǎng)站管理員崗位職責(zé)》等一系列制度和崗位工作規(guī)范要求。

為了確保及時(shí)發(fā)現(xiàn)和解決信息網(wǎng)絡(luò)安全存在的問題，防止和減少突發(fā)事件的發(fā)生所造成的影響，保障檔案網(wǎng)絡(luò)與信息安全，福建省檔案局還專門制定了《網(wǎng)絡(luò)安全與信息應(yīng)急處置預(yù)案》，一旦事件發(fā)生，立即啟動(dòng)預(yù)案的處置程序，堵塞漏洞、消除隱患，確保檔案網(wǎng)絡(luò)和數(shù)據(jù)庫的安全。

篇5

內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)

目前，整個(gè)信息安全狀況存在日趨復(fù)雜和混亂的趨向：誤報(bào)率增大，安全投入不斷增加，維護(hù)與管理更加復(fù)雜和難以實(shí)施、信息系統(tǒng)使用效率大大降低，對(duì)新的攻擊入侵毫無防御能力，尤其是對(duì)內(nèi)部沒有重視防范。

據(jù)美國(guó)FBI統(tǒng)計(jì)，83%的信息安全事故為內(nèi)部人員和內(nèi)外勾結(jié)所為，而且呈上升的趨勢(shì)。從這一數(shù)字可見，內(nèi)網(wǎng)安全的重要性不容忽視。據(jù)公安部最新統(tǒng)計(jì)，70%的泄密犯罪來自于內(nèi)部，電腦應(yīng)用單位80%未設(shè)立相應(yīng)的安全管理系統(tǒng)、技術(shù)措施和制度。

中國(guó)科學(xué)院研究生院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室趙戰(zhàn)生教授表示，目前我國(guó)信息與網(wǎng)絡(luò)安全的防護(hù)能力處于發(fā)展的初級(jí)階段，許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。國(guó)防科技大學(xué)的一項(xiàng)研究表明，我國(guó)與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是攻擊重點(diǎn)。

“當(dāng)前的信息與網(wǎng)絡(luò)安全研究，處于忙于封堵現(xiàn)有信息系統(tǒng)安全漏洞的階段?！惫膊烤W(wǎng)絡(luò)安全保衛(wèi)局處長(zhǎng)郭啟全認(rèn)為，“要徹底解決這些迫在眉睫的問題，歸根結(jié)底取決于信息安全保障體系的建設(shè)。目前，我們迫切需要根據(jù)國(guó)情，從安全體系整體著手，在建立全方位的防護(hù)體系的同時(shí)，完善法律體系并加強(qiáng)管理體系。只有這樣，才能保證國(guó)家信息化的健康發(fā)展，確保國(guó)家安全和社會(huì)穩(wěn)定?！?/p>

2003年，國(guó)家出臺(tái)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（簡(jiǎn)稱“27號(hào)文件”），明確要求我國(guó)信息安全保障工作實(shí)行等級(jí)保護(hù)制度，2007年出臺(tái)《信息安全等級(jí)保護(hù)管理辦法》（簡(jiǎn)稱“43號(hào)文件”）。隨著兩項(xiàng)標(biāo)志性文件的下發(fā)，2007年被稱為等級(jí)保護(hù)的啟動(dòng)元年；由于要對(duì)現(xiàn)有信息安全系統(tǒng)進(jìn)行加固，大量產(chǎn)品和服務(wù)采購即將開始，2008年則被普遍視為等級(jí)保護(hù)采購元年。

等級(jí)保護(hù)政策是信息安全保障的主要環(huán)節(jié)。在等級(jí)保護(hù)解決方案中，內(nèi)網(wǎng)安全產(chǎn)品主要作用是對(duì)終端進(jìn)行防護(hù)。

內(nèi)網(wǎng)是核心

“事實(shí)上，信息安全等級(jí)保護(hù)的核心思想就是根據(jù)不同的信息系統(tǒng)保護(hù)需求，構(gòu)建一個(gè)完整的信息安全保護(hù)體系。分析《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB 17859-1999）》可以看出，信息安全等級(jí)保護(hù)的重點(diǎn)在于內(nèi)網(wǎng)安全措施的建設(shè)和落實(shí)。建立一個(gè)完整的內(nèi)網(wǎng)安全體系，是信息系統(tǒng)在安全等級(jí)保護(hù)工作中的一個(gè)重點(diǎn)?！惫鶈⑷f。

內(nèi)網(wǎng)安全理論的提出主要基于兩個(gè)根本要素，一是企事業(yè)單位業(yè)務(wù)工作的高度信息化，二是內(nèi)網(wǎng)中主機(jī)數(shù)量的大量增加。由此可見，內(nèi)網(wǎng)安全從其誕生之日起，對(duì)主機(jī)系統(tǒng)安全的關(guān)注就從來沒有忽略過，采用了包括身份認(rèn)證、授權(quán)管理和系統(tǒng)保護(hù)等手段對(duì)主機(jī)進(jìn)行了多方面的防護(hù)。這與等級(jí)保護(hù)的思想也是相一致的。

鼎普科技股份有限公司總經(jīng)理于晴認(rèn)為，大多數(shù)用戶網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相似，用戶對(duì)網(wǎng)絡(luò)的安全管理比較一致，但由于用戶使用習(xí)慣的不同，對(duì)終端的管理則千差萬別。

于晴認(rèn)為，內(nèi)網(wǎng)安全領(lǐng)域的關(guān)鍵技術(shù)主要有內(nèi)部網(wǎng)絡(luò)接入、桌面安全管理和內(nèi)網(wǎng)安全審計(jì)等。這些本質(zhì)上的問題，應(yīng)該從系統(tǒng)層面來解決，以信息安全等級(jí)保護(hù)為基礎(chǔ)。內(nèi)部網(wǎng)絡(luò)接入基于等級(jí)保護(hù)技術(shù)，分別從終端自身的安全性評(píng)估，到網(wǎng)絡(luò)地址的合法性，讓信息系統(tǒng)“對(duì)號(hào)入座”。桌面安全管理側(cè)重于桌面使用者的行為安全，對(duì)終端用戶的電腦行為進(jìn)行監(jiān)控、管理與控制，來保障終端的安全。內(nèi)網(wǎng)安全審計(jì)從主機(jī)和網(wǎng)絡(luò)兩個(gè)方面對(duì)網(wǎng)絡(luò)數(shù)據(jù)和系統(tǒng)操作進(jìn)行記錄和恢復(fù)，強(qiáng)調(diào)出現(xiàn)問題后的案情追溯。

篇6

關(guān)鍵詞：信息安全 督查管理平臺(tái)研制

系統(tǒng)簡(jiǎn)介：

為適應(yīng)現(xiàn)代城市快速發(fā)展的要求，推動(dòng)市政信息化建設(shè)，引導(dǎo)、規(guī)范市政信息技術(shù)的發(fā)展，實(shí)現(xiàn)建設(shè)“一強(qiáng)三優(yōu)”現(xiàn)代管理的戰(zhàn)略目標(biāo)，根據(jù)國(guó)家相關(guān)法律、法規(guī)、辦法規(guī)定，結(jié)合市政行業(yè)實(shí)際情況，省公司制定了《河南省市政工程設(shè)施管理辦法》（簡(jiǎn)稱《管理辦法》）。

《信息安全督查管理平臺(tái)》（簡(jiǎn)稱《管理平臺(tái)》）方案的設(shè)計(jì)思想，就是以《管理辦法》為依據(jù)，運(yùn)用計(jì)算機(jī)和網(wǎng)絡(luò)等技術(shù)手段，加強(qiáng)對(duì)河南省市政設(shè)施信息系統(tǒng)資產(chǎn)的管理，對(duì)信息系統(tǒng)涉及的硬件設(shè)備和軟件系統(tǒng)的安裝、調(diào)試、維護(hù)等過程實(shí)施有效的監(jiān)督、管理和評(píng)估，對(duì)市政設(shè)施的維護(hù)實(shí)施有效監(jiān)督和管理，為河南省市政系統(tǒng)信息安全督查管理工作提供規(guī)范化、標(biāo)準(zhǔn)化、信息化、網(wǎng)絡(luò)化的解決方案。

《管理平臺(tái)》涉及的范圍包括：信息網(wǎng)絡(luò)、網(wǎng)絡(luò)服務(wù)系統(tǒng)、應(yīng)用系統(tǒng)、信息安全系統(tǒng)、存儲(chǔ)與備份系統(tǒng)、信息系統(tǒng)輔助系統(tǒng)、終端用戶計(jì)算機(jī)設(shè)備、信息系統(tǒng)專用測(cè)試裝置等系統(tǒng)，監(jiān)督管理的范圍，包括對(duì)上述系統(tǒng)的軟硬件設(shè)備、運(yùn)行環(huán)境以及系統(tǒng)規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)、廢棄等各個(gè)環(huán)節(jié)的管理。

體系架構(gòu)：

網(wǎng)絡(luò)架構(gòu)：

系統(tǒng)采用B/S架構(gòu)，方便系統(tǒng)部署，符合用戶使用瀏覽器的工作習(xí)慣，完全免客戶端安裝。

功能模塊：

主要分為資產(chǎn)管理、技術(shù)標(biāo)準(zhǔn)庫管理、資產(chǎn)評(píng)價(jià)評(píng)估、機(jī)房管理、數(shù)據(jù)模糊查詢五個(gè)功能模塊。

（一）資產(chǎn)管理：

資產(chǎn)管理是跟據(jù)《國(guó)有資產(chǎn)管理制度》的要求，對(duì)市政設(shè)備進(jìn)行信息系統(tǒng)管理，對(duì)設(shè)備購置、運(yùn)行維護(hù)、廢棄等所有工作階段實(shí)施有效監(jiān)督，并符合省公司頒布的有關(guān)信息安全的技術(shù)標(biāo)準(zhǔn)與規(guī)程、規(guī)范。通過對(duì)資產(chǎn)生命周期各階段檢查、跟蹤、分析，確保網(wǎng)絡(luò)與信息系統(tǒng)工作的可靠性、穩(wěn)定性和安全性。

資產(chǎn)管理包括設(shè)備臺(tái)帳管理與資產(chǎn)生命周期管理兩部分。

1、設(shè)備臺(tái)帳管理：

設(shè)備臺(tái)帳管理分為硬件設(shè)備登記和軟件資產(chǎn)登記。

（1）硬件設(shè)備登記：

對(duì)購進(jìn)的各種專用設(shè)備及計(jì)算機(jī)、打印機(jī)、掃描儀、網(wǎng)絡(luò)設(shè)備的詳細(xì)信息，如設(shè)備名稱、技術(shù)指標(biāo)、型號(hào)、購進(jìn)日期、安裝位置、報(bào)廢日期等，進(jìn)行記錄并存儲(chǔ)，形成硬件設(shè)備臺(tái)帳庫。

（2）軟件資產(chǎn)登記：

對(duì)購進(jìn)或委托開發(fā)的軟件系統(tǒng)進(jìn)行登記，記錄軟件系統(tǒng)名稱、購進(jìn)或委托開發(fā)廠商資料、投運(yùn)時(shí)間、系統(tǒng)功能、運(yùn)行環(huán)境、適用范圍等信息，并將系統(tǒng)文檔、程序源代碼保存在數(shù)據(jù)庫中，形成軟件資產(chǎn)庫。

2、資產(chǎn)生命周期管理：

（1）硬件生命周期管理：

對(duì)設(shè)備的安裝、檢測(cè)、維護(hù)過程進(jìn)行登記、記錄和跟蹤。并將跟據(jù)設(shè)備登記的報(bào)廢時(shí)間與當(dāng)前時(shí)間進(jìn)行比較，即將超出或已經(jīng)超出使用時(shí)限的設(shè)備，進(jìn)行告警或提醒，為決策管理提供必要的信息。

（2）軟件系統(tǒng)生命周期管理：

對(duì)軟件系統(tǒng)的安裝、調(diào)試、運(yùn)行、升級(jí)、維護(hù)等進(jìn)行記錄、跟蹤，保證系統(tǒng)安全、穩(wěn)定的運(yùn)行。

（二）技術(shù)標(biāo)準(zhǔn)庫管理：

技術(shù)標(biāo)準(zhǔn)庫管理，是收錄各硬件設(shè)備、軟件系統(tǒng)涉及的各類技術(shù)標(biāo)準(zhǔn)，并進(jìn)行分類管理，為資產(chǎn)評(píng)價(jià)評(píng)估提供依據(jù)。

技術(shù)標(biāo)準(zhǔn)庫可大致劃分為三類：市政工程類、電氣設(shè)備類、計(jì)算機(jī)硬件與網(wǎng)絡(luò)設(shè)備類、計(jì)算機(jī)軟件類。

1、市政工程類：

收錄與市政行業(yè)相關(guān)的國(guó)家及省、市標(biāo)準(zhǔn)，如《給水排水標(biāo)準(zhǔn)》、《工程結(jié)構(gòu)標(biāo)準(zhǔn)》、《工程勘測(cè)標(biāo)準(zhǔn)》、《工業(yè)管道標(biāo)準(zhǔn)》中的《工業(yè)金屬管道工程質(zhì)量檢驗(yàn)評(píng)定標(biāo)準(zhǔn)》、《工業(yè)金屬管道工程施工及驗(yàn)收規(guī)范》等。

2、電氣設(shè)備類：

收錄電氣設(shè)備的各種國(guó)家標(biāo)準(zhǔn)以及省、市制定的各類標(biāo)準(zhǔn)，如《省計(jì)量檢定機(jī)構(gòu)配備的電測(cè)儀表標(biāo)準(zhǔn)》、《公司計(jì)量檢定機(jī)構(gòu)配備電測(cè)儀標(biāo)準(zhǔn)》等。

2、計(jì)算機(jī)硬件與網(wǎng)絡(luò)設(shè)備類：

收錄省公司下發(fā)的關(guān)于計(jì)算機(jī)硬件與網(wǎng)絡(luò)設(shè)備的安裝運(yùn)行管理標(biāo)準(zhǔn)，以及雖未收錄，但會(huì)對(duì)設(shè)備運(yùn)行有重要影響的各種技術(shù)標(biāo)準(zhǔn)、安裝規(guī)范、安全運(yùn)行標(biāo)準(zhǔn)、設(shè)備維護(hù)標(biāo)準(zhǔn)等信息。

3、計(jì)算機(jī)軟件類：

收錄各種軟件開發(fā)、軟件安裝測(cè)試、軟件運(yùn)維等規(guī)范。

（三）資產(chǎn)評(píng)價(jià)評(píng)估：

根據(jù)技術(shù)標(biāo)準(zhǔn)庫中收錄的各種規(guī)范標(biāo)準(zhǔn)，對(duì)硬件設(shè)備和軟件系統(tǒng)的購進(jìn)、運(yùn)行、維護(hù)等過程進(jìn)行評(píng)價(jià)評(píng)估，并給出評(píng)價(jià)結(jié)果以便查詢分析，為決策提供依據(jù)。

評(píng)價(jià)評(píng)估不定期進(jìn)行，以保證系統(tǒng)運(yùn)行的安全性、穩(wěn)定性和可靠性。

（四）機(jī)房管理：

建立機(jī)房管理制度，采用兩票制的管理辦法，對(duì)機(jī)房管理、機(jī)房進(jìn)出管理、機(jī)房?jī)?nèi)工作內(nèi)容管理等內(nèi)容；通過計(jì)算機(jī)管理系統(tǒng)，對(duì)機(jī)房的出入、設(shè)備巡檢、物品帶進(jìn)、帶出機(jī)房等工作進(jìn)行管理；機(jī)房值班人員定期巡視檢查機(jī)房設(shè)備、電源系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)的運(yùn)行狀況及機(jī)房溫度和濕度，并有巡視記錄。

巡視記錄包括：需進(jìn)行登記的重大事項(xiàng)；各類障礙處理情況；機(jī)房電源、空調(diào)設(shè)備是否正常；溫濕度是否符合要求；消防裝置及滅火器材是否安全良好；告警裝置是否正常。

機(jī)房?jī)?nèi)服務(wù)器、路由器、交換機(jī)、防火墻、電源系統(tǒng)、消防系統(tǒng)、監(jiān)視系統(tǒng)等設(shè)備的資料有專人保管。各信息系統(tǒng)的技術(shù)文檔、安裝、維護(hù)手冊(cè)齊全，隨機(jī)的光盤、軟盤及購置的各類軟件母盤應(yīng)有專人管理。

機(jī)房管理工作可分為以下兩類：

（1）機(jī)房管理員日常工作：

即機(jī)房管理員日常維護(hù)工作，系統(tǒng)提供管理員作息、值勤工作提示功能，并登記PC服務(wù)器日常巡視表、機(jī)房24小時(shí)值班表、設(shè)備登記表、設(shè)備缺限記錄、數(shù)據(jù)庫日常巡視表、系統(tǒng)情況報(bào)告表、消防培訓(xùn)記錄表以及應(yīng)用程序日常維護(hù)表，記錄到機(jī)房管理系統(tǒng)中備查。

（2）外來人員進(jìn)出機(jī)房管理：

外來維護(hù)人員，需申請(qǐng)機(jī)房申請(qǐng)單，經(jīng)批準(zhǔn)后通過本系統(tǒng)進(jìn)行登記，提交機(jī)房施工記錄、系統(tǒng)維護(hù)報(bào)告和系統(tǒng)情況報(bào)告等，維護(hù)完畢，需提交維護(hù)結(jié)果報(bào)告。

（五）數(shù)據(jù)查詢

本系統(tǒng)提供各種查詢功能，方便管理員對(duì)資產(chǎn)資源信息、資產(chǎn)評(píng)價(jià)評(píng)估信息、技術(shù)指標(biāo)庫信息、機(jī)房維護(hù)信息等進(jìn)行查詢。

開發(fā)與運(yùn)行環(huán)境：

本系統(tǒng)使用java技術(shù)，基于B/S型架構(gòu)開發(fā)，具有良好的穩(wěn)定性、交互性、安全性和跨平臺(tái)性能，能穩(wěn)定運(yùn)行在Window、Liunx、FreeBSD及各種Unix平臺(tái)。

結(jié)束語：

綜上所述，建立的安全信息系統(tǒng)總的思想方法是：通過詳細(xì)調(diào)查及系統(tǒng)安全分析，找出各種事故隱患，確立各個(gè)危險(xiǎn)點(diǎn)面，特別是在各危險(xiǎn)點(diǎn)建立安全管理信息系統(tǒng)網(wǎng)絡(luò)終端，嚴(yán)格執(zhí)行安全檢查表制度，準(zhǔn)確、及時(shí)地將各種隱患信息反饋到安技部門，以數(shù)據(jù)的形式存入安全管理信息系統(tǒng)數(shù)據(jù)庫，進(jìn)行信息處理（包括分析、辨別、分類、匯總），最后再以各種專業(yè)報(bào)表的形式輸出至各部門的終端上，及時(shí)進(jìn)行隱患整改。概括而準(zhǔn)確的表述這種現(xiàn)代的安全管理方法，就是通過建立以安技部門為信息處理中心（中央處理機(jī)），各危險(xiǎn)崗位和各專業(yè)部門為終端的安全管理信息系統(tǒng)網(wǎng)絡(luò)，從而由安全信息反饋來推進(jìn)對(duì)隱患的不斷檢查、整改和監(jiān)控，形成閉環(huán)管理。此系統(tǒng)看似比較簡(jiǎn)單，僅是安全信息的收集和表格（報(bào)表，安檢表）的輸出，但它卻解決了目前企業(yè)安全管理中普遍存在的關(guān)鍵問題――安全信息缺乏，信息傳遞渠道不暢通，反饋不及時(shí)，危險(xiǎn)信息不能及時(shí)得到處理。因而，對(duì)企業(yè)安全管理向本質(zhì)安全化管理方面發(fā)展，具有十分重要的現(xiàn)實(shí)意義。當(dāng)然，企業(yè)安全管理是一項(xiàng)非常復(fù)雜的系統(tǒng)工程，單憑向本質(zhì)安全化管理一方面發(fā)展是不夠的。還需要采取各種措施，提高作業(yè)人員的安全素質(zhì)（安全技能和安全意識(shí)），增強(qiáng)職工執(zhí)行安全規(guī)章的自覺性和自我保護(hù)能力。只有這兩方面都做到，才有可能真正使企業(yè)安全管理水平上升一個(gè)新臺(tái)階

載中心 省略

參考文獻(xiàn)：

SUN, Java Programming Language, Sun Microsystems Inc, 2000

張桂珠 劉麗 陳愛國(guó), Java面向?qū)ο蟪绦蛟O(shè)計(jì)（第2版）,北京郵電大學(xué)出版社

Siyan K S,Weaver J.精通JSP網(wǎng)頁編程．北京：宇航出版社，1988年

陳鵬，程勇. J2EE項(xiàng)目開發(fā)實(shí)用案例.北京：科技出版社，2006

篇7

一、信息安全監(jiān)管中存在的問題

（一）行業(yè)法規(guī)標(biāo)準(zhǔn)模糊，操作難度大美國(guó)、日本和印度早在1995年就出臺(tái)國(guó)家信息安全法，通過出臺(tái)基本法對(duì)計(jì)算機(jī)的硬件與軟件、網(wǎng)上信息、用戶數(shù)據(jù)進(jìn)行保護(hù)、對(duì)利用網(wǎng)絡(luò)傳播有害信息的處罰作出相應(yīng)規(guī)定，規(guī)范人們的網(wǎng)絡(luò)行為，保證信息網(wǎng)絡(luò)的安全運(yùn)行和網(wǎng)絡(luò)信息的合理利用。目前，銀行業(yè)信息安全管理法規(guī)主要有國(guó)務(wù)院《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、中國(guó)人民銀行和中國(guó)銀監(jiān)會(huì)下發(fā)的《關(guān)于進(jìn)一步加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息安全保障工作的指導(dǎo)意見》和《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》，但這些法規(guī)制度中對(duì)信息安全的邊界界定不明確，行業(yè)標(biāo)準(zhǔn)不清晰，不具有實(shí)際的可操作性，給銀行信息安全管理帶來一定的風(fēng)險(xiǎn)隱患。

（二）管理者更注重信息系統(tǒng)建設(shè)維護(hù)，輕視信息安全管理一是對(duì)信息安全重視程度不夠，部分銀行業(yè)機(jī)構(gòu)僅忙于系統(tǒng)建設(shè)與日常維護(hù)，對(duì)信息安全管理無暇顧及。二是管理制度落實(shí)不到位，難以對(duì)計(jì)算機(jī)安全的實(shí)施進(jìn)行全面管理。部分機(jī)構(gòu)信息安全部門對(duì)信息安全制度落實(shí)不到位，只有在遇到總行的信息安全檢查時(shí)，才會(huì)對(duì)網(wǎng)絡(luò)冗余線的有效性進(jìn)行檢驗(yàn)，對(duì)交換機(jī)、路由器中的ACL策略進(jìn)行完善，對(duì)信息系統(tǒng)中的審計(jì)日志進(jìn)行檢查，并沒有形成信息安全管理長(zhǎng)效機(jī)制。業(yè)務(wù)部門在信息安全方面有章不循，造成計(jì)算機(jī)的漏洞事件發(fā)生。據(jù)統(tǒng)計(jì)，大約63.1%安全事件是源于沒有嚴(yán)格執(zhí)行規(guī)章制度，規(guī)章制度不落實(shí)、檢查監(jiān)督不嚴(yán)格造成的系統(tǒng)漏洞。三是信息管理疏忽，從已發(fā)生的計(jì)算機(jī)違規(guī)事例來看，主要問題是疏于檢查、放松管理。具體表現(xiàn)在，有不少人員在未經(jīng)系統(tǒng)管理員許可情況下擅自使用盜版軟件，導(dǎo)致計(jì)算機(jī)感染病毒，重要數(shù)據(jù)丟失，嚴(yán)重者造成業(yè)務(wù)系統(tǒng)癱瘓，影響日常工作的順利進(jìn)行。計(jì)算機(jī)操作口令、密鑰、機(jī)密數(shù)據(jù)資料沒有按保密規(guī)定存放，大量的違章操作、越權(quán)濫用沒有進(jìn)行嚴(yán)格處罰，計(jì)算機(jī)設(shè)備的保管使用無專人負(fù)責(zé)，應(yīng)用系統(tǒng)的操作未有交接的系統(tǒng)日志，系統(tǒng)的維護(hù)不能詳實(shí)的記錄。雖然有制度明確規(guī)定操作規(guī)程，但執(zhí)行不嚴(yán)格使本來可以避免的問題頻頻發(fā)生。

（三）管理手段落后，影響管理效能銀行業(yè)的各項(xiàng)業(yè)務(wù)與系統(tǒng)管理越來越依賴網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用軟件，因此對(duì)網(wǎng)絡(luò)安全、系統(tǒng)安全和數(shù)據(jù)安全監(jiān)管至關(guān)重要。目前，管理單位仍然通過現(xiàn)場(chǎng)檢查、聽取匯報(bào)、材料上報(bào)等方式來獲取銀行的相關(guān)情況，缺乏直接、有效的管理手段，管理方式效率低，無法快速、真實(shí)反應(yīng)銀行業(yè)的信息安全狀況，導(dǎo)致銀行業(yè)務(wù)自身存在的信息安全問題不能被及時(shí)發(fā)現(xiàn)，易造成銀行業(yè)信息安全事件的發(fā)生。

二、問題解決的建議

（一）完善制度標(biāo)準(zhǔn)，做到有法可依規(guī)范信息安全管理，首先要完善信息安全的制度建設(shè)。一是加快行業(yè)信息安全標(biāo)準(zhǔn)統(tǒng)一的進(jìn)程。管理部門應(yīng)制定符合當(dāng)?shù)匦畔踩珮?biāo)準(zhǔn)，組織建立銀行業(yè)信息技術(shù)發(fā)展規(guī)劃，保證銀行業(yè)信息安全工作的健康發(fā)展。部分地區(qū)便曾出臺(tái)信息安全法規(guī)，例如《北京市信息化促進(jìn)條例》、《遼寧省計(jì)算機(jī)信息系統(tǒng)安全管理?xiàng)l例》、《北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定》、《上海市公共信息系統(tǒng)安全測(cè)評(píng)管理辦法》，這種做法值得借鑒。二是設(shè)立硬件設(shè)備的準(zhǔn)入標(biāo)準(zhǔn)。將銀行業(yè)信息安全問題作為新硬件產(chǎn)品銷售及市場(chǎng)準(zhǔn)入的重要參考，對(duì)進(jìn)入銀行的PC臺(tái)式機(jī)、網(wǎng)絡(luò)設(shè)備、系統(tǒng)服務(wù)器都必須經(jīng)過國(guó)家保密部門的安全檢查，只有經(jīng)過篩選的特定型號(hào)的引硬件設(shè)備才能進(jìn)入銀行系統(tǒng)和網(wǎng)絡(luò)，從根源上杜絕信息安全漏洞設(shè)備的進(jìn)入。

（二）明確責(zé)任制，加大信息安全管理力度一是健全信息安全檢查機(jī)制。定期對(duì)銀行業(yè)開展信息安全檢查工作，對(duì)基本的安全設(shè)備的防護(hù)形成統(tǒng)一模板下發(fā)給銀行，例如關(guān)閉不必要的服務(wù)端口號(hào)、核心服務(wù)器建立堡壘主機(jī)、核心網(wǎng)絡(luò)地址必須配置一對(duì)一的雙向映射等。二是依據(jù)現(xiàn)有法規(guī)、技術(shù)標(biāo)準(zhǔn)，開展信息安全檢查，確保安全檢查深度與廣度。在開展檢查的同時(shí)，可讓有資質(zhì)的第三方安全評(píng)測(cè)公司，對(duì)整體信息系統(tǒng)進(jìn)行全面的攻防測(cè)試，對(duì)測(cè)試結(jié)果出具權(quán)威的報(bào)告，明確安全問題，針對(duì)性地進(jìn)行弱點(diǎn)的加強(qiáng)，保證信息安全工作的實(shí)用性和可靠性。三是建立責(zé)任通報(bào)制度。對(duì)檢查中發(fā)現(xiàn)的違規(guī)事件，按規(guī)定處罰相關(guān)責(zé)任人，對(duì)檢查中發(fā)現(xiàn)的安全問題和風(fēng)險(xiǎn)隱患，明確責(zé)任部門和責(zé)任人并限期糾改，對(duì)檢查中發(fā)現(xiàn)的問題可進(jìn)行問題歸納梳理匯編成冊(cè)，下發(fā)給銀行提供參考。

篇8

隨著中國(guó)經(jīng)濟(jì)的發(fā)展，電力的建設(shè)普及工作都已經(jīng)完善到位，但是對(duì)電力信息的安全監(jiān)控仍存在許多問題，電力信息的安全影響著電力企業(yè)和用電用戶的安全，對(duì)經(jīng)濟(jì)發(fā)展和人身安全都至關(guān)重要，因此相關(guān)人員要重視電力信息的安全監(jiān)督工作。本文對(duì)于電力信息安全進(jìn)行分析，闡述其組成結(jié)構(gòu)，包括信息流、信息網(wǎng)絡(luò)、安全防護(hù)結(jié)構(gòu)，并指出目前常見的安全問題種類及表現(xiàn)形式，根據(jù)問題提出若干的結(jié)局辦法，為相關(guān)人員提供參考意見。

【關(guān)鍵詞】

電力系統(tǒng)；信息安全；信息監(jiān)控；安全分析

1電力信息安全的組成結(jié)構(gòu)

1.1電力信息流結(jié)構(gòu)

電力信息安全系統(tǒng)的最終目的便是保證電力業(yè)務(wù)安全順利的進(jìn)行。因此對(duì)于信息流的構(gòu)成就必須要了解，從電力企業(yè)的運(yùn)營(yíng)層面來看，電力信息流主要有以下幾方面：辦公自動(dòng)化環(huán)境、生產(chǎn)管理、營(yíng)銷管理、資源管理、物理系統(tǒng)、輔助決策、自動(dòng)化系統(tǒng)等。電力企業(yè)想要安全可靠的運(yùn)行就必須要清楚地認(rèn)識(shí)到各個(gè)層面之間的關(guān)系，為電力安全、優(yōu)質(zhì)、經(jīng)濟(jì)提供保障[1]。

1.2電力信息網(wǎng)絡(luò)結(jié)構(gòu)

為了滿足社會(huì)對(duì)電力資源的需求以及網(wǎng)絡(luò)的普及發(fā)展，需要將電力信息網(wǎng)絡(luò)化，同時(shí)與信息流相匹配。目前大部分地區(qū)都在探索公用網(wǎng)絡(luò)和專用網(wǎng)絡(luò)相結(jié)合的結(jié)構(gòu)網(wǎng)絡(luò)，并整合辦公自動(dòng)化環(huán)境、生產(chǎn)管理、營(yíng)銷管理、資源管理、物理系統(tǒng)、輔助決策、自動(dòng)化系統(tǒng)等，用網(wǎng)絡(luò)系統(tǒng)來支撐電力信息的安全性，根據(jù)重要程度來排序分類，然后與互聯(lián)網(wǎng)對(duì)接，將功能的重要性以及形式凸顯出來，保證結(jié)構(gòu)合理的前提下實(shí)現(xiàn)電力網(wǎng)絡(luò)結(jié)構(gòu)的安全性[2]。

1.3電力信息安全防護(hù)的結(jié)構(gòu)

傳統(tǒng)的國(guó)內(nèi)電力系統(tǒng)功能主要體現(xiàn)在三個(gè)層面，即生產(chǎn)管理系統(tǒng)層面、電力信息管理層面、自動(dòng)化系統(tǒng)層面。而在互聯(lián)網(wǎng)發(fā)達(dá)的今天，將傳統(tǒng)的電力系統(tǒng)安全防護(hù)融合在互聯(lián)網(wǎng)中，又可以劃為四個(gè)區(qū)域：第一個(gè)安全的區(qū)域可以將自動(dòng)化系統(tǒng)的管理建立在SPDnet上，通過二者的協(xié)調(diào)來實(shí)現(xiàn)自動(dòng)化系統(tǒng)的安全；第二個(gè)安全的區(qū)域是把SPDnet加入到生產(chǎn)管理系統(tǒng)，對(duì)生產(chǎn)管理進(jìn)行把控，但是由于SPDnet存在一些局限性，因此再把生產(chǎn)管理系統(tǒng)與SPnet進(jìn)行融合，成為第三個(gè)安全區(qū)域，實(shí)現(xiàn)了生產(chǎn)管理的完整性和全面性；第四個(gè)安全區(qū)域是將電力信息的管理層面通過融合SPnet的方法來實(shí)現(xiàn)，保證了電力信息的管理。電力信息安全管理的總體框架應(yīng)該是以技術(shù)安全、管理安全、生產(chǎn)安全、策略安全為基礎(chǔ)，通過安全網(wǎng)絡(luò)、安全應(yīng)用、安全系統(tǒng)等手段來實(shí)現(xiàn)，從而保障電力企業(yè)和用電用戶的安全性[3]。

2電力信息安全問題概述

2.1安全問題表現(xiàn)形式

在明確電力安全結(jié)構(gòu)組成之后，結(jié)合實(shí)際情況來分析目前電力信息安全的現(xiàn)狀，通常來說電力信息的安全問題都表現(xiàn)為以下幾點(diǎn)：信息的可控性，電力信息的掌握不僅僅只是為了了解信息，更為重要的是通過信息的采集來控制安全的生產(chǎn)和管理，因此信息的掌握要具備可控性；實(shí)用性，要保證所采集的電力信息具有實(shí)際的意義，透過數(shù)據(jù)能夠了解電力的安全系數(shù)，不需要采集無用的數(shù)據(jù)信息，因此實(shí)用性的電力信息是十分重要的；保密性，由于網(wǎng)絡(luò)的發(fā)達(dá)，電力信息在被收集的時(shí)候容易出現(xiàn)信息泄露的情況，因此在采集安全數(shù)據(jù)信息的時(shí)候要注意保證信息不被泄露，只有保證信息的保密性才會(huì)保證電力企業(yè)的安全生產(chǎn)；完整性，電力安全信息需要完整，不能缺失、混亂，保證數(shù)據(jù)的傳輸和分析過程不受干擾，避免信息被破壞；協(xié)調(diào)性，安全網(wǎng)絡(luò)的建立使得電力安全管理更加方便，但是要注意管理運(yùn)行的協(xié)調(diào)性，保證電力企業(yè)的運(yùn)轉(zhuǎn)。

2.2安全問題種類

電力信息安全監(jiān)控要求構(gòu)建完善的結(jié)構(gòu)體系，從實(shí)際情況出發(fā)，結(jié)合電力系統(tǒng)的發(fā)展需求，確定電力系統(tǒng)運(yùn)行的安全等級(jí)，保證安全等級(jí)能夠滿足電力信息網(wǎng)絡(luò)的需求。在電力企業(yè)的信息安全上，要認(rèn)識(shí)到安全的重要性，能夠了解企業(yè)的信息安全不僅僅是網(wǎng)絡(luò)信息化建設(shè)的基本保障，更是電力生產(chǎn)協(xié)調(diào)穩(wěn)定運(yùn)行的前提條件，還影響著電力生產(chǎn)的經(jīng)濟(jì)性。就目前國(guó)內(nèi)的電力信息安全體系的構(gòu)建情況來看，雖然基礎(chǔ)條件已經(jīng)比較完善，但是在實(shí)際的應(yīng)用過程中都會(huì)存在或多或少的問題，雖能夠?qū)崿F(xiàn)電力信息網(wǎng)絡(luò)和運(yùn)行的穩(wěn)定性，但是這些安全方法都具有一定的局限性，實(shí)際當(dāng)中只對(duì)電力信息的局部進(jìn)行了防護(hù)，并沒有保證整體的安全安全協(xié)調(diào)性，使得電力信息安全水平仍舊比較低下[4]。

3電力信息安全監(jiān)控方法

3.1設(shè)備的監(jiān)控

電力設(shè)備是電力運(yùn)行的基礎(chǔ)條件，因此對(duì)于電力設(shè)備的安全管理監(jiān)控工作要做到位。加大電力設(shè)備的管理力度，安排相關(guān)的專業(yè)人員對(duì)電力設(shè)備進(jìn)行巡查，發(fā)現(xiàn)問題及時(shí)上報(bào)，制定合理的處理辦法，消除隱患。對(duì)電力設(shè)備的功能進(jìn)行合理的設(shè)計(jì)規(guī)劃，保證電力公司的生產(chǎn)運(yùn)轉(zhuǎn)，實(shí)現(xiàn)設(shè)備的基本功能管理；保證監(jiān)控人員的綜合素質(zhì)，對(duì)電力設(shè)備能夠開展實(shí)時(shí)有效的監(jiān)控，對(duì)出現(xiàn)異常情況的，需及時(shí)發(fā)送警報(bào)信號(hào)，提醒相關(guān)操作人員注意安全防護(hù)，及時(shí)處理故障；根據(jù)設(shè)備的功能作用、類型、性質(zhì)、工作條件來進(jìn)行分類和管理，保證電力設(shè)備的穩(wěn)定運(yùn)行，延長(zhǎng)設(shè)備使用壽命，保證工作的便捷性、合理性；結(jié)合實(shí)際發(fā)展和電力公司的條件適當(dāng)?shù)囊M(jìn)新設(shè)備，提高電力生產(chǎn)的安全性、穩(wěn)定性和經(jīng)濟(jì)效益[5]。

3.2數(shù)據(jù)的管理

因?yàn)閿?shù)據(jù)的安全影響著電力企業(yè)的安全效益，所以對(duì)于數(shù)據(jù)傳輸和管理辦法決不能忽視。要保證數(shù)據(jù)和安全信息的統(tǒng)一性和協(xié)調(diào)性，注意標(biāo)準(zhǔn)化的管理模式，保證數(shù)據(jù)傳輸?shù)倪^程中不被外界因素影響，避免出現(xiàn)數(shù)據(jù)的混亂、虛假數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)信息的準(zhǔn)確性和完整性；加大對(duì)電力網(wǎng)絡(luò)系統(tǒng)的安全管理，使得數(shù)據(jù)在存儲(chǔ)當(dāng)中不被惡意破壞，及時(shí)的對(duì)數(shù)據(jù)進(jìn)行備份，避免出現(xiàn)數(shù)據(jù)丟失的情況。

3.3運(yùn)行的管理

對(duì)系統(tǒng)的運(yùn)行過程進(jìn)行監(jiān)督，可通過各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)來采集系統(tǒng)信息，然后綜合這些網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行數(shù)據(jù)分析；對(duì)系統(tǒng)運(yùn)行的方式進(jìn)行分類，進(jìn)行模塊化實(shí)時(shí)性的監(jiān)控，及時(shí)的反饋安全隱患；建立完善的安全事故應(yīng)對(duì)機(jī)制，對(duì)安全事故進(jìn)行預(yù)警和處理，總結(jié)分析事故原因，提出有效的解決辦法，并制定相應(yīng)的預(yù)防策略；建立離線安全分析辦法，通過對(duì)數(shù)據(jù)的總結(jié)來進(jìn)行評(píng)估，包括數(shù)據(jù)的分析計(jì)算、安全管理、事故報(bào)告等。

3.4優(yōu)化監(jiān)控技術(shù)

電力系統(tǒng)的監(jiān)控主要通過以下幾方面：對(duì)象的監(jiān)控、數(shù)據(jù)的監(jiān)控、聯(lián)級(jí)管理技術(shù)等。因?yàn)殡娏π畔踩c物理電力管理相關(guān)聯(lián)，安全管理比較復(fù)雜，管理對(duì)象比較多，因此要將監(jiān)控技術(shù)進(jìn)行優(yōu)化及改造。對(duì)互相關(guān)聯(lián)又各自獨(dú)立的監(jiān)控對(duì)象進(jìn)行協(xié)調(diào)，理清監(jiān)控對(duì)象同工作環(huán)境的關(guān)系，利用共性特點(diǎn)來實(shí)現(xiàn)監(jiān)控對(duì)象的協(xié)調(diào)性；將各個(gè)監(jiān)控對(duì)象的數(shù)據(jù)進(jìn)行統(tǒng)一管理，建立相關(guān)標(biāo)準(zhǔn)；加強(qiáng)適配器的管理監(jiān)督，保證數(shù)據(jù)采集、命令發(fā)送環(huán)節(jié)正常進(jìn)行[6]。

4結(jié)束語

通過文章的分析，總結(jié)了電力信息系統(tǒng)的安全結(jié)構(gòu)，對(duì)常見問題匯總分析，提出相應(yīng)電力信息安全監(jiān)控辦法，為電力企業(yè)從業(yè)人員提供參考意見。但是實(shí)際的監(jiān)控辦法仍舊需要相關(guān)人員不斷的摸索，提出更好的監(jiān)控方法，推動(dòng)電力事業(yè)的發(fā)展。

作者：文勇 單位：廣州市紫晶通信科技有限公司

參考文獻(xiàn)

[1]李廣林.電力信息安全監(jiān)控系統(tǒng)的基本功能與技術(shù)分析[J].信息通信，2014（12）：169~170.

[2]張棟.電力信息安全的監(jiān)控與分析[J].通訊世界，2013（19）：28~29.

[3]余勇，林為民.基于等級(jí)保護(hù)的電力信息安全監(jiān)控系統(tǒng)的設(shè)計(jì)[J].計(jì)算機(jī)科學(xué)，2012（S3）：440~442.

[4]高宇.基于監(jiān)控日志的電力信息內(nèi)網(wǎng)安全審計(jì)系統(tǒng)實(shí)現(xiàn)[J].硅谷，2012（21）：156~157.

篇9

【關(guān)鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系（ISMS）

近年來，“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實(shí)名認(rèn)證信息漏洞”、“京東12G用戶數(shù)據(jù)泄露”、“700元買他人隱私信息”等信息安全事件層出不窮，引起各國(guó)領(lǐng)導(dǎo)的重視和社會(huì)關(guān)注。為提高網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)治理，2014年，我國(guó)成立了以主席為最高領(lǐng)導(dǎo)的信息安全管理機(jī)構(gòu)-中央網(wǎng)信辦；2016年11月，在中國(guó)烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網(wǎng)大會(huì)》。通過一系列的行為，為求現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)能夠提高安全能力，為廣大社會(huì)群眾提供服務(wù)的同時(shí)，能夠保證人民的利益。

信息系統(tǒng)是由硬件、軟件、信息、規(guī)章制度等組成，主要以處理信息流為主，信息系統(tǒng)的網(wǎng)絡(luò)安全備受關(guān)注。企業(yè)在應(yīng)對(duì)外部攻擊，安全風(fēng)險(xiǎn)的同時(shí)，當(dāng)務(wù)之急是建立一套完整的信息安全管理體系。在統(tǒng)一的體系管控下，分布實(shí)施，開展各項(xiàng)安全工作。

目前，大多數(shù)企業(yè)的信息安全工作比較單一，主要是部署安全防護(hù)設(shè)備，進(jìn)行簡(jiǎn)單的配置。信息安全工作不全面，安全管理相對(duì)薄弱，不足以抵抗來自外部的威脅。

1 信息安全問題

1.1 身份鑒別不嚴(yán)格

考慮到方便記憶和頻繁的登錄操作，企業(yè)普遍存在管理員賬號(hào)簡(jiǎn)單或者直接采用系統(tǒng)的默認(rèn)賬號(hào)現(xiàn)象，并且基本不設(shè)定管理員的權(quán)限，默認(rèn)使用最大權(quán)限。一旦攻擊者通過猜測(cè)或其他手段獲得管理員賬號(hào)，攻擊者如入無人之境，可以任意妄為。最終可造成數(shù)據(jù)泄露，系統(tǒng)癱瘓等不可估量的嚴(yán)重后果。注重信息安全的企業(yè)會(huì)修改默認(rèn)管理員賬號(hào)，設(shè)定較為復(fù)雜的口令，并定期進(jìn)行口令更換。但是也僅僅使用一種身份鑒別技術(shù)，不足以抵抗外部攻擊。

1.2 外部攻擊，層出不窮

隨著計(jì)算機(jī)技術(shù)的發(fā)展，信息系統(tǒng)的外部攻簦層出不窮。攻擊者利用網(wǎng)絡(luò)系統(tǒng)的漏洞和缺陷，攻擊系統(tǒng)軟件、硬件和數(shù)據(jù)，進(jìn)行非法操作，造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術(shù)、郵件

攻擊、拒絕服務(wù)攻擊、口令攻擊、惡意程序等等；入侵常用的步驟包括采用漏洞掃描工具進(jìn)行掃描、選擇合適的方式入侵、獲取系統(tǒng)的一定權(quán)限、提升為系統(tǒng)最高權(quán)限、安裝系統(tǒng)后門、獲取敏感信息或者其他攻擊目的。攻擊者會(huì)根據(jù)系統(tǒng)特性和網(wǎng)絡(luò)結(jié)構(gòu)采取不同的手段對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，如果不采取相應(yīng)的防御手段，很容易被黑客攻擊，造成損失。

1.3 員工安全意識(shí)薄弱

很多互聯(lián)網(wǎng)企業(yè)的員工缺乏信息安全意識(shí)，存在離開辦公電腦時(shí)不鎖屏現(xiàn)象；將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時(shí)取走打印機(jī)房?jī)?nèi)的材料；優(yōu)盤未經(jīng)殺毒直接連接公司電腦；隨意點(diǎn)擊不明郵件的鏈接；更有員工將系統(tǒng)賬號(hào)、密碼粘貼在辦公桌上；在系統(tǒng)建設(shè)階段，大到管理者，小到開發(fā)人員、測(cè)試人員，均注重技術(shù)實(shí)現(xiàn)和業(yè)務(wù)要求，而忽略了系統(tǒng)的安全和管理。由于員工的信息安全意識(shí)較為薄弱，很容易造成公司信息泄露，進(jìn)而導(dǎo)致公司的損失。

1.4 內(nèi)部管理制度不完善

俗話說，“不以規(guī)矩，不能成方圓”。未形成全面的信息安全管理制度體系，缺失部分安全策略、管理制度、操作規(guī)程，可能導(dǎo)致信息安全管理制度體系存在疏漏，部分管理內(nèi)容無法有效實(shí)施。使相關(guān)工作過程缺乏規(guī)范依據(jù)和質(zhì)量保障，進(jìn)而影響到信息系統(tǒng)的安全建設(shè)和安全運(yùn)維。比如在軟件開發(fā)過程中，開發(fā)人員會(huì)因?yàn)楦鞣N原因而忽略安全開發(fā)（存在開發(fā)人員沒有意識(shí)到代碼安全開發(fā)的問題；有些開發(fā)人員不愿意使用邊界檢查，怕影響系統(tǒng)的效率和性能；當(dāng)然也存在許多遺留代碼存在問題的現(xiàn)象，從而導(dǎo)致二次開發(fā)同樣產(chǎn)生問題），可能導(dǎo)致系統(tǒng)存在后門，被黑客攻擊。

2 防范措施

企業(yè)需依據(jù)《信息安全等級(jí)保護(hù)管理辦法（公通字[2007]43號(hào)）》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》》、《ISO/IEC 27001》等標(biāo)準(zhǔn)和法律法規(guī)進(jìn)行信息系統(tǒng)安全建設(shè)工作。測(cè)評(píng)機(jī)構(gòu)在網(wǎng)安的要求下，對(duì)企業(yè)信息系統(tǒng)的安全進(jìn)行測(cè)評(píng)，并出具相應(yīng)測(cè)評(píng)結(jié)果。根據(jù)測(cè)評(píng)結(jié)果和整改建議，采用相應(yīng)的技術(shù)手段（安全認(rèn)證、入侵檢測(cè)、漏洞掃描、監(jiān)控管理、數(shù)據(jù)備份與加密等）和管理措施（安全團(tuán)隊(duì)、教育與培訓(xùn)、管理體系等）對(duì)信息系統(tǒng)進(jìn)行整改。如圖1所示。

2.1 技術(shù)手段

2.1.1 安全認(rèn)證

身份鑒別是指在計(jì)算機(jī)系統(tǒng)中確認(rèn)執(zhí)行者身份的過程，以確定該用戶是否具有訪問某種資源的權(quán)限，防止非法用戶訪問系統(tǒng)資源，保障合法用戶訪問授權(quán)的信息系統(tǒng)。凡登錄系統(tǒng)的用戶，均需進(jìn)行身份鑒別和標(biāo)識(shí)，且標(biāo)識(shí)需具有唯一性。用戶身份鑒別機(jī)制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對(duì)不同鑒別機(jī)制，常用的鑒別技術(shù)（認(rèn)證技術(shù)）如表1所示。

不同的認(rèn)證技術(shù)，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級(jí)較高，但會(huì)遇到各種問題，導(dǎo)致便捷性較差（比如存在軟硬件適配性問題，移動(dòng)終端無USB口等）。一般認(rèn)為在相同的便捷性前提下，選擇安全等級(jí)較高的認(rèn)證技術(shù)。針對(duì)重要系統(tǒng)應(yīng)采用雙因子認(rèn)證技術(shù)。

2.1.2 入侵檢測(cè)

入侵檢測(cè)能夠依據(jù)安全策略，對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊行為，能夠?qū)崟r(shí)保護(hù)內(nèi)部攻擊、外部攻擊和誤操作的情況，保證信息系統(tǒng)網(wǎng)絡(luò)資源的安全。入侵檢測(cè)系統(tǒng)（IDS）是一個(gè)旁路監(jiān)聽設(shè)備，需要部署在網(wǎng)絡(luò)內(nèi)部。如果信息系統(tǒng)中包含了多個(gè)邏輯隔離的子網(wǎng)，則需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署，從而掌控整個(gè)信息系統(tǒng)安全狀況。

2.1.3 漏洞掃描

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對(duì)目標(biāo)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)行為。常見的漏洞掃描類型主要包括系統(tǒng)安全隱患掃描、應(yīng)用安全隱患掃描、數(shù)據(jù)庫安全配置隱患掃描等。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同，分為基于網(wǎng)絡(luò)的和基于主機(jī)的系統(tǒng)安全掃描，可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、安全配置隱患、弱口令、服務(wù)和端口等。應(yīng)用安全隱患掃描可以掃描出Web應(yīng)用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數(shù)據(jù)庫安全配置隱患掃描可以檢測(cè)出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補(bǔ)丁未升級(jí)等自身漏洞。

漏洞掃描主要用于評(píng)估主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備操作系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用平臺(tái)軟件的安全情況，它能有效避免黑客攻擊行為，做到防患于未然。

2.1.4 監(jiān)控管理

網(wǎng)絡(luò)監(jiān)控主要包括上網(wǎng)監(jiān)控和內(nèi)網(wǎng)監(jiān)控兩部分。目前市場(chǎng)上已做的完整監(jiān)控軟件已包含上述功能。網(wǎng)絡(luò)監(jiān)控需結(jié)合網(wǎng)絡(luò)拓?fù)?，在網(wǎng)絡(luò)關(guān)鍵點(diǎn)接入監(jiān)控工具監(jiān)測(cè)當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流量，分析可疑信息流，通過截包解碼分析的方式驗(yàn)證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?。例如Solarwinds網(wǎng)絡(luò)監(jiān)控平臺(tái)，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA） 、IP Address Management、Network Configuration Management、Application Performance Monitoring等?？梢詧?zhí)行全面的帶寬性能監(jiān)控和故障管理；可以分析網(wǎng)絡(luò)流量；可以對(duì)服務(wù)器上運(yùn)行的服務(wù)和進(jìn)程進(jìn)行自動(dòng)監(jiān)控，并在故障發(fā)生時(shí)及時(shí)告警；可對(duì)VOIP的相關(guān)參數(shù)進(jìn)行監(jiān)控；可以通過直觀的網(wǎng)絡(luò)控制臺(tái)管理整個(gè)IP架構(gòu)；可快速檢測(cè)、診斷及解決虛擬化環(huán)境的網(wǎng)絡(luò)性能；強(qiáng)大的應(yīng)用程序監(jiān)視、告警、報(bào)告功能等。

2.1.5 數(shù)據(jù)備份與加密

企業(yè)高度重視業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)。數(shù)據(jù)在存儲(chǔ)時(shí)應(yīng)加密存儲(chǔ)，防止黑客攻擊系統(tǒng)，輕易獲得敏感數(shù)據(jù)，造成公司的重大經(jīng)濟(jì)損失。常用的加密算法包括對(duì)稱加密（DES、AES）和不對(duì)稱加密算法（RSA）。密碼技術(shù)不僅可以防止信息泄露，同時(shí)可以保證信息的完整性和不可抵賴性。例如現(xiàn)在比較成熟的哈希算法、數(shù)字簽名、數(shù)字證書等。

除了對(duì)數(shù)據(jù)進(jìn)行加密存儲(chǔ)外，由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機(jī)房著火等意外，需對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份。按照備份環(huán)境，備份分為本地備份和異地備份；按照備份數(shù)據(jù)量的多少，備份分為全備、增備、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務(wù)要求和實(shí)際情況，選取合適的備份方式進(jìn)行備份。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設(shè)計(jì)。

2.2 管理措施

2.2.1 安全團(tuán)隊(duì)

企業(yè)應(yīng)設(shè)立能夠統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的專業(yè)的安全管理團(tuán)隊(duì)負(fù)責(zé)信息安全工作，該團(tuán)隊(duì)包括信息安全委員會(huì)，信息安全部門及其成員。安全部門負(fù)責(zé)人除了具備極強(qiáng)的業(yè)務(wù)處理能力，還需要有管理能力、溝通能力、應(yīng)變能力。目前安全團(tuán)隊(duì)的從業(yè)人員數(shù)量在逐漸增加，話語權(quán)在增多，肩上的擔(dān)子也越來越大。安全團(tuán)隊(duì)需要定好自己的位，多檢查少運(yùn)維，多幫企業(yè)解決問題。即安全團(tuán)隊(duì)修路，各部門在上面跑自己的需求。

2.2.2 教育c培訓(xùn)

保護(hù)企業(yè)信息安全，未雨綢繆比亡羊補(bǔ)牢要強(qiáng)。培養(yǎng)企業(yè)信息安全意識(shí)文化，樹立員工信息安全責(zé)任心，是解決企業(yè)信息安全的關(guān)鍵手段之一。企業(yè)的競(jìng)爭(zhēng)實(shí)際上是人才的競(jìng)爭(zhēng)，除了定期進(jìn)行技能培訓(xùn)外，還需對(duì)員工的安全意識(shí)進(jìn)行教育和培訓(xùn)。信息安全團(tuán)隊(duì)?wèi)?yīng)制定信息安全意識(shí)教育和培訓(xùn)計(jì)劃，包括但不限于在線、郵件、海報(bào)（標(biāo)語）、視頻、專場(chǎng)、外培等形式。通過對(duì)員工的安全意識(shí)教育，能從內(nèi)部預(yù)防企業(yè)安全事件的發(fā)生，提高企業(yè)的安全保障能力。

2.2.3 管理體系

隨著計(jì)算機(jī)攻擊技術(shù)的不斷提高，攻擊事件越來越多，且存在部分攻擊來自公司組織內(nèi)部。單靠個(gè)人的力量已無法保障信息系統(tǒng)的安全。因此，企業(yè)需建立自上而下的信息安全管理體系（ISMS， Information Security Management System），以達(dá)到分工明確，職責(zé)清晰，安全開發(fā)，可靠運(yùn)維。安全管理制度作為安全管理體系的綱領(lǐng)性文件，在信息系統(tǒng)的整個(gè)生命周期中起著至關(guān)重要的作用。不同機(jī)構(gòu)在建立與完善信息安全管理體系時(shí)，可根據(jù)自身情況，采取不同的方法，一般經(jīng)過PDCA四個(gè)基本階段（Plan：策劃與準(zhǔn)備；Do文件的編制；Check運(yùn)行；Action審核、評(píng)審和持續(xù)改進(jìn)）?？梢罁?jù)ISO27000，信息安全等級(jí)保護(hù)等，從制度、安全機(jī)構(gòu)、人員、系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維5個(gè)方面去制定信息安全管理體系。通常，信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規(guī)程和記錄文檔組成，如圖2所示。

3 結(jié)語

國(guó)家不斷加強(qiáng)對(duì)各個(gè)互聯(lián)網(wǎng)企業(yè)、金融、銀行等的信息安全工作監(jiān)督，通過ISO27000、信息安全等級(jí)保護(hù)測(cè)評(píng)、電子銀行評(píng)估、互聯(lián)網(wǎng)網(wǎng)站專項(xiàng)安全測(cè)評(píng)等方式，規(guī)范企業(yè)的信息安全建設(shè)工作。同樣，信息安全工作長(zhǎng)期面臨挑戰(zhàn)，不能一蹴而就，需要相關(guān)安全工作人員戮力同心、同舟共濟(jì)、相互扶持、攜手共建信息安全的共同體。

參考文獻(xiàn)

[1]沈昌祥，張煥國(guó)，馮登國(guó)等.信息安全綜述[J].中國(guó)科學(xué)雜志社，2007（37）：129-150.

[2]李嘉，蔡立志，張春柳等.信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)實(shí)踐[M].哈爾濱工程大學(xué)出版社，2016（01）.

[3]蔣欣.計(jì)算機(jī)網(wǎng)絡(luò)戰(zhàn)防御技術(shù)分析[J].指揮控制與仿真，2006（08），28-4.

作者簡(jiǎn)介

康玉婷（1988-），女，上海市人。碩士學(xué)位?，F(xiàn)為信息安全等級(jí)測(cè)評(píng)師、初級(jí)工程師。主要研究方向?yàn)樾畔踩?/p>

作者單位

篇10

一、指導(dǎo)思想

信息安全等級(jí)保護(hù)制度是全區(qū)信息安全保障工作的一項(xiàng)基本制度，實(shí)施信息安全等級(jí)保護(hù)是社會(huì)信息化進(jìn)程中的一件大事，是維護(hù)國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全最直接、有效的措施。通過深化信息安全等級(jí)保護(hù)，全面推動(dòng)重要信息系統(tǒng)安全整改和測(cè)評(píng)工作，增強(qiáng)信息系統(tǒng)安全保護(hù)的整體性、針對(duì)性和實(shí)效性，提高信息安全保障能力，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)。

二、組織領(lǐng)導(dǎo)

成立區(qū)信息安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組。由區(qū)政府副區(qū)長(zhǎng)李彥俠擔(dān)任組長(zhǎng)，區(qū)政府電子政務(wù)辦、公安分局、區(qū)國(guó)家保密局為成員單位，領(lǐng)導(dǎo)小組下設(shè)辦公室，辦公室設(shè)在公安分局網(wǎng)監(jiān)大隊(duì)，由網(wǎng)監(jiān)大隊(duì)大隊(duì)長(zhǎng)韓迎飛兼任領(lǐng)導(dǎo)小組辦公室主任，具體負(fù)責(zé)日常事務(wù)。

三、職責(zé)分工

公安分局負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。區(qū)國(guó)家保密局負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國(guó)家法律法規(guī)的規(guī)定進(jìn)行管理。區(qū)政府電子政務(wù)辦負(fù)責(zé)等級(jí)保護(hù)工作部門間的協(xié)調(diào)工作。

四、工作目標(biāo)

通過開展信息安全等級(jí)保護(hù)工作，使全區(qū)重要信息系統(tǒng)能夠全面進(jìn)行準(zhǔn)確定級(jí)和審核備案，建立健全信息安全等級(jí)保護(hù)職能部門、行業(yè)主管部門、信息系統(tǒng)運(yùn)營(yíng)使用單位渠道暢通、責(zé)任明確、運(yùn)作協(xié)調(diào)、通力合作的信息系統(tǒng)安全等級(jí)保護(hù)工作機(jī)制。

五、定級(jí)范圍

（一）基礎(chǔ)信息網(wǎng)絡(luò)、互聯(lián)網(wǎng)接入服務(wù)單位、互聯(lián)網(wǎng)數(shù)據(jù)中心、大型互聯(lián)網(wǎng)信息服務(wù)單位重要信息系統(tǒng)。

（二）鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證劵、保險(xiǎn)、科技、發(fā)展改革、國(guó)防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國(guó)土資源、能源、交通、文化、教育、衛(wèi)生、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。

主要單位包括：區(qū)法院、區(qū)檢察院、公安分局、區(qū)科協(xié)、區(qū)教育局、區(qū)住建局、區(qū)農(nóng)業(yè)局、區(qū)衛(wèi)生局、區(qū)計(jì)生局、區(qū)商務(wù)局、區(qū)工業(yè)辦、區(qū)果業(yè)局、國(guó)土分局、國(guó)稅分局、環(huán)保分局、工商分局、區(qū)人才交流中心。

（三）黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。

（四）涉及國(guó)家秘密的信息系統(tǒng)。

（五）其它重要信息系統(tǒng)。

六、工作內(nèi)容

（一）開展信息系統(tǒng)基本情況的摸底調(diào)查。區(qū)信息安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組對(duì)全區(qū)各行業(yè)、各單位所屬信息系統(tǒng)進(jìn)行摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照《信息安全等級(jí)保護(hù)管理辦法》的要求，確定定級(jí)對(duì)象。

（二）召開區(qū)信息安全等級(jí)保護(hù)工作會(huì)議。召集全區(qū)信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門召開一次專門的會(huì)議，在會(huì)議上宣布信息安全等級(jí)保護(hù)工作的相關(guān)情況，并印發(fā)《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，要求信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門在規(guī)定的時(shí)間內(nèi)報(bào)送到領(lǐng)導(dǎo)小組辦公室。

（三）備案。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》，信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門持《信息系統(tǒng)安全等級(jí)保護(hù)備案表》及相關(guān)手續(xù)到網(wǎng)監(jiān)大隊(duì)辦理備案手續(xù)，提交有關(guān)備案材料?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，向市公安局網(wǎng)安支隊(duì)備案。信息系統(tǒng)建設(shè)使用單位依據(jù)《信息安全等級(jí)保護(hù)管理辦法》和國(guó)家保密局的有關(guān)規(guī)定，按照屬地管理原則，地方單位的信息系統(tǒng)向所在地的區(qū)保密局備案。

（四）備案管理。信息系統(tǒng)備案后，網(wǎng)監(jiān)大隊(duì)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核，發(fā)現(xiàn)不符合《信息安全等級(jí)保護(hù)管理辦法》及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)通知備案單位予以糾正。

（五）監(jiān)督檢查。區(qū)政府電子政務(wù)辦、公安分局、區(qū)國(guó)家保密局等單位將從今年起聯(lián)合對(duì)各重要信息系統(tǒng)行業(yè)主管部門、運(yùn)營(yíng)使用單位開展的等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查、整改，對(duì)拒不落實(shí)安全等級(jí)保護(hù)工作的單位，將依法予以嚴(yán)肅處理。

七、工作要求

（一）加強(qiáng)領(lǐng)導(dǎo)，落實(shí)保障。各行業(yè)主管部門、各重要信息系統(tǒng)運(yùn)營(yíng)使用單位要落實(shí)責(zé)任部門、責(zé)任人員，并于4月20日前將《信息系統(tǒng)安全等級(jí)保護(hù)備案表》及相關(guān)備案資料報(bào)送領(lǐng)導(dǎo)小組辦公室備案，保障定級(jí)工作順利進(jìn)行。

（二）明確責(zé)任，密切配合。定級(jí)工作由區(qū)政府牽頭，組織區(qū)政府電子政務(wù)辦、公安分局、區(qū)國(guó)家保密局、共同實(shí)施。各單位必須各司其職，加強(qiáng)聯(lián)系，切實(shí)做好重要信息系統(tǒng)的安全等級(jí)保護(hù)。