導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)信息安全管理辦法，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：電力 信息安全防護 安全域 分級分域

中圖分類號：TM73 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2016）12（b）-0121-02

該文適用于能源行業(yè)信息安全監(jiān)管部門、各能源相關(guān)企業(yè)信息安全在崗人員、信息安全等級保護測評機構(gòu)的管理與技術(shù)人員等。

1 定級信息系統(tǒng)劃分方式

由于國家電網(wǎng)公司的信息系統(tǒng)涉及業(yè)務(wù)范圍廣，應(yīng)用面寬，為了體現(xiàn)重要業(yè)務(wù)應(yīng)用重點保護，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級保護工作原則，從管理、業(yè)務(wù)、物理位置和運行環(huán)境等方面綜合分析，對信息系統(tǒng)進(jìn)行劃分。

從管理機構(gòu)角度劃分。不同管理機構(gòu)（總部、網(wǎng)省、地市公司）管理控制下的信息系y應(yīng)分開作為不同的定級對象。

從業(yè)務(wù)類型角度劃分。根據(jù)不同業(yè)務(wù)應(yīng)用的“相對獨立”性，劃分出信息系統(tǒng)的不同部分作為不同的定級對象。

2 定級信息系統(tǒng)分類

根據(jù)上述信息系統(tǒng)基本特征和信息系統(tǒng)劃分方式，結(jié)合國家電網(wǎng)公司工程一體化企業(yè)級信息系統(tǒng)定義，將國家電網(wǎng)公司信息系統(tǒng)劃分為一體化企業(yè)級信息集成平臺、財務(wù)管理、營銷及市場交易管理、安全生產(chǎn)管理、協(xié)同辦公、人力資源管理、物資管理、項目管理、綜合管理9類，總部、網(wǎng)?。ㄖ陛犑校⒌厥?層，共69個信息系統(tǒng)。

3 標(biāo)準(zhǔn)解讀

3.1 電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法

3.1.1 總則

解讀：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》對電力行業(yè)管理部門、電力企業(yè)等單位在電力行業(yè)網(wǎng)絡(luò)與信息安全保護工作中的職責(zé)與工作內(nèi)容做出了明確規(guī)定。

第一章主要對電力行業(yè)網(wǎng)絡(luò)與信息安全的依據(jù)、目標(biāo)和原則等做出了具體闡述。

3.1.2 監(jiān)督管理職責(zé)

解讀：第二章主要明確了國家能源局及其派出機構(gòu)對電力行業(yè)網(wǎng)絡(luò)與信息安全工作的監(jiān)管責(zé)任。國家能源局主管電力行業(yè)網(wǎng)絡(luò)與信息安全工作，履行監(jiān)督管理職責(zé)，并明確了國家能源局監(jiān)督管理職責(zé)的主要內(nèi)容。能源局派出機構(gòu)根據(jù)授權(quán)，負(fù)責(zé)該轄區(qū)電力企業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理。

3.1.3 電力企業(yè)職責(zé)

解讀：第三章主要闡述電力企業(yè)在電力行業(yè)網(wǎng)絡(luò)與信息安全工作的職責(zé)，明確了該單位的網(wǎng)絡(luò)與信息安全工作的責(zé)任主體：電力企業(yè)（適用于兩大電網(wǎng)公司、五大發(fā)電集團、中國核電和中廣核等兩家核電企業(yè)等）。網(wǎng)絡(luò)與信息安全的第一責(zé)任人：電力企業(yè)主要負(fù)責(zé)人。

3.1.4 監(jiān)督檢查

解讀：第四章主要闡述了國家能源局及其派出機構(gòu)對電力企業(yè)網(wǎng)絡(luò)與信息安全工作進(jìn)行監(jiān)督檢查的職責(zé)以及檢查時可采取的措施。

3.2 電力行業(yè)信息安全等級保護管理辦法

3.2.1 總則

解讀：《電力行業(yè)信息安全等級保護管理辦法》明確了電力行業(yè)信息安全等級保護制度的基本內(nèi)容、流程及工作要求，明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)管部門在信息安全等級保護工作中的職責(zé)、任務(wù)，為開展信息安全等級保護工作提供了規(guī)范保障。

第一章為總則，闡述了電力行業(yè)開展等保的目的、電力行業(yè)管理部門和企業(yè)的職責(zé)與關(guān)系。

3.2.2 等級劃分與保護

解讀：第二章對電力行業(yè)信息安全等級的劃分和對應(yīng)等級的保護做了詳細(xì)闡述。簡言之，電力企業(yè)依據(jù)等級劃分規(guī)定自主確定相應(yīng)電力系統(tǒng)的安全保護等級，自主依據(jù)有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)對其進(jìn)行保護。等級劃分以信息系統(tǒng)的重要性為依據(jù)，通過評估系統(tǒng)受到破壞后對公民、法人和其他組織，社會秩序和公共利益，國家安全的損害程度，確定其重要性。對于自主定級有困難的，也可以咨詢電力行業(yè)保測評機構(gòu)等單位。

3.2.3 等級保護的實施與管理

解讀：第三章對電力行業(yè)等級保護的實施過程做了詳細(xì)闡述。電力信息系統(tǒng)運營、使用單位應(yīng)按《實施指南》（GB/T 25058-2010）開展等保工作。具體包括定級、備案、安全建設(shè)/整改、等級測評、監(jiān)督檢查幾個方面。

系統(tǒng)的定級和備案由電力信息系統(tǒng)運營、使用單位采用“自主定級、自主保護”的原則確定，各區(qū)域（?。﹥?nèi)的電力企業(yè)的系統(tǒng)定級結(jié)果報國家能源局派出機構(gòu)備案。

安全建設(shè)/整改（參見第十條）可請專業(yè)機構(gòu)等實施。

系統(tǒng)建設(shè)完成后需請符合規(guī)定（參見第十九條）第三方專業(yè)機構(gòu)進(jìn)行測評。

監(jiān)督檢查根據(jù)系統(tǒng)安全保護級別確定是自主保護還是上級監(jiān)管部門及其授權(quán)的派出機構(gòu)負(fù)責(zé)。

3.2.4 信息安全等級保護的密碼管理

解讀：第四章對等級保護的密碼管理進(jìn)行了詳細(xì)闡述。對涉及國家秘密的系統(tǒng)采用秘密保護，應(yīng)該報國家密碼管理局審批，并按要求涉及、使用和管理。

3.2.5 法律責(zé)任

解讀：第五章明確了電力信息系統(tǒng)等級保護工作中監(jiān)管部門、工作人員及各單位違反規(guī)定的懲處措施。

4 結(jié)語

《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法（國能安全[2014]317號）》和《電力行業(yè)信息安全等級保護管理辦法（國能安全[2014]318號）》，跟《電力監(jiān)控系統(tǒng)安全防護規(guī)定（發(fā)改委2014年14號令）》和《電力監(jiān)控系統(tǒng)安全防護總體方案（國能安全[2015]36號文）一同，構(gòu)成了電力行業(yè)信息安全防護體系文件，體現(xiàn)了電力行業(yè)標(biāo)準(zhǔn)跟國家標(biāo)準(zhǔn)的基本差異，突出了電力行業(yè)業(yè)務(wù)特色和管理特征。

參考文獻(xiàn)

[1] 王棟，劉識，王懷宇.電力行業(yè)三級信息系統(tǒng)等級保護典型設(shè)計研究[J].電力信息與通信技術(shù)，2012（8）：81-84.

篇2

非金融機構(gòu)支付服務(wù)的多樣化、個性化等特點較好地滿足了電子商務(wù)企業(yè)和個人的支付需求，促進(jìn)了電子商務(wù)的發(fā)展，在支持“刺激消費、擴大內(nèi)需”等宏觀經(jīng)濟政策方面發(fā)揮了積極作用。雖然非金融機構(gòu)的支付服務(wù)主要集中在零售支付領(lǐng)域，其業(yè)務(wù)量與銀行業(yè)金融機構(gòu)提供的支付服務(wù)量相比還很小，但其服務(wù)對象非常多，主要是網(wǎng)絡(luò)用戶、手機用戶、銀行卡和預(yù)付卡持卡人等，其影響非常廣泛。目前國內(nèi)約有300多家第三方支付機構(gòu)，其中多數(shù)非金融機構(gòu)從事互聯(lián)網(wǎng)支付、手機支付、電話支付以及發(fā)行預(yù)付卡等業(yè)務(wù)。

一、第三方支付平臺存在的安全問題

隨著第三方支付的廣泛應(yīng)用，其安全性問題也越來越突出。由于我國電子支付方面的法律較為滯后，對第三方支付市場監(jiān)管不夠，目前存在的300多家第三方支付產(chǎn)品質(zhì)量參差不齊，員工安全意識薄弱，安全防護措施不夠，用戶的交易安全和個人信息存在很大的風(fēng)險。安全問題可以歸納為幾個方面：

第三方支付機構(gòu)安全意識薄弱

相對于銀行業(yè)金融機構(gòu)，非金融支付機構(gòu)安全意識還比較淡薄，還不能充分認(rèn)識到信息安全面臨的形勢和信息安全工作的重要性，對支付平臺的操作風(fēng)險、信用風(fēng)險和法律風(fēng)險等重視不夠。領(lǐng)導(dǎo)對信息安全的不重視，就會導(dǎo)致信息安全工作不到位和難于開展。一些員工思想上有麻痹意識，認(rèn)為安全案件都是偶然發(fā)生，存在僥幸心理；一些員工總認(rèn)為與己無關(guān)，信息科技引發(fā)的案件是科技部門的事。從而導(dǎo)致安全措施執(zhí)行不到位，安全制度無法貫徹的現(xiàn)象。正是這些安全意識上的薄弱環(huán)節(jié)，導(dǎo)致了安全威脅有機可乘。很多信息安全事件往往不是因為技術(shù)原因，而是由于系統(tǒng)運維人員的疏忽或不作為。安全意識薄弱是安全問題發(fā)生的根源。

安全管理機構(gòu)不健全安全管理制度不完善

多數(shù)第三方支付機構(gòu)還沒有形成信息安全組織結(jié)構(gòu)，管理較混亂，安全管理人員配備不足。信息安全管理制度還不成體系，沒有建立總體方針，安全管理制度和操作規(guī)程缺失，安全策略不完整等。已有的安全管理制度也不完善，易使工作上出現(xiàn)漏洞，操作上出現(xiàn)失誤，引發(fā)安全事故，造成損失。

安全技術(shù)防護能力薄弱

在第三方支付平臺建設(shè)中，沒有充分重視安全技術(shù)防護能力的建設(shè)，安全技術(shù)防護能力薄弱，如，有些支付系統(tǒng)沒有部署防火墻和入侵檢測設(shè)備，沒有劃分安全域；沒有安全事件監(jiān)控、統(tǒng)一防病毒等防護措施；重要數(shù)據(jù)的傳輸和存儲存在安全隱患；重要網(wǎng)絡(luò)設(shè)備沒有進(jìn)行安全策略配置，致使非法訪問網(wǎng)絡(luò)系統(tǒng)、假冒網(wǎng)絡(luò)終端/操作員、截獲和篡改傳輸數(shù)據(jù)的安全事件發(fā)生；應(yīng)急處理方案不完備，應(yīng)對和處理危機的能力還比較弱。

應(yīng)用程序中存在安全漏洞

系統(tǒng)上線前，沒有對應(yīng)用程序進(jìn)行全面的測評，致使生產(chǎn)系統(tǒng)存在功能、安全性及性能方面的問題。通過對第三方支付系統(tǒng)應(yīng)用程序的檢測，發(fā)現(xiàn)了大量的安全隱患，如SQL注入、跨站腳本、網(wǎng)絡(luò)釣魚以及登錄方式不安全等，這些漏安全隱患可以被不法分子利用，可以對數(shù)據(jù)進(jìn)行竊取，或?qū)τ脩舻拿舾行畔⑦M(jìn)行非法獲取，給第三方支付機構(gòu)和用戶造成損失。

個人信息不能得到保護

一些第三方支付平臺要求用戶提供真實姓名、聯(lián)系方式、住址、銀行賬號甚至身份證號，個別網(wǎng)站在設(shè)計上存在問題，致使這些信息很容易泄露。第三方支付平臺隱私政策不合理，免責(zé)條款過多，用戶為了使用其服務(wù)只能同意該條款，導(dǎo)致發(fā)生問題時維權(quán)艱難。第三方支付機構(gòu)除了應(yīng)采用技術(shù)手段進(jìn)行保護之外，還應(yīng)該以文件、政策或公告的方式在網(wǎng)站上公開對用戶信息進(jìn)行安全承諾。

二、國家對第三方支付的監(jiān)督管理

我國電子商務(wù)自20世紀(jì)90年代起步以來，很快進(jìn)入快速發(fā)展期，交易額以年均40%的速度增長。2009年，交易規(guī)模達(dá)到3.8萬億元，電子商務(wù)已滲透到經(jīng)濟和社會各個層面。與此同時，有關(guān)非金融機構(gòu)備付金管理、系統(tǒng)穩(wěn)定性以及消費者權(quán)益保護等問題，需要高度關(guān)注。如何促進(jìn)非金融機構(gòu)支付服務(wù)市場的健康發(fā)展，關(guān)系到電子商務(wù)的成敗，關(guān)系到中國支付網(wǎng)絡(luò)體系的安全與效率。

2009年4月，人民銀行公告，對從事支付業(yè)務(wù)的非金融機構(gòu)進(jìn)行登記。2010年6月14日，人民銀行《非金融機構(gòu)支付服務(wù)管理辦法》（以下簡稱《管理辦法》），對非金融機構(gòu)支付業(yè)務(wù)實施行政許可。2010年12月，《非金融支付服務(wù)管理辦法實施細(xì)則》（以下簡稱《實施細(xì)則》）。《管理辦法》和《實施細(xì)則》的，意味著我國非金融機構(gòu)支付市場監(jiān)管的基本原則已經(jīng)確立。

《管理辦法》中規(guī)定對于《支付業(yè)務(wù)許可證》的申請人必須具備有符合要求的支付業(yè)務(wù)設(shè)施，而且在向中國人民銀行申請許可證是必須符合中國人民銀行規(guī)定的非金融機構(gòu)支付服務(wù)系統(tǒng)技術(shù)和安全標(biāo)準(zhǔn)，提交《技術(shù)安全檢測認(rèn)證證明》?？梢娧胄袑Ψ墙鹑跈C構(gòu)支付的技術(shù)和安全性的高度重視，技術(shù)和安全檢測是非金融機構(gòu)申請許可證過程中最關(guān)鍵也是最嚴(yán)格的環(huán)節(jié)。

三、提高第三方支付平臺安全性的建議

政府應(yīng)加強監(jiān)管力度

通過《管理辦法》和《實施細(xì)則》的和實施，一些具備良好資信水平、較強盈利能力和一定從業(yè)經(jīng)驗的非金融機構(gòu)進(jìn)入支付服務(wù)市場，在中國人民銀行的監(jiān)督管理下規(guī)范從事支付業(yè)務(wù)，切實維護了社會公眾的合法權(quán)益。整個第三方支付平臺的安全性有了一定的保障。但這樣還不夠，應(yīng)進(jìn)一步強管理和監(jiān)控，可以考慮將第三方支付機構(gòu)納入金融機構(gòu)的安全管理體系，使其遵循金融機構(gòu)相關(guān)的安全管理制度和標(biāo)準(zhǔn)規(guī)范。

第三方支付機構(gòu)應(yīng)增強安全意識，加強信息安全體系建設(shè)

信息安全教育和培訓(xùn)是信息安全管理工作的重要基礎(chǔ)，在實際工作中，大部分信息技術(shù)風(fēng)險要依靠員工進(jìn)行有效的控制，因此需要通過宣傳、培訓(xùn)和教育等手段提升員工的信息安全認(rèn)知（包括提高安全意識、了解安全職責(zé)、培養(yǎng)安全技能），發(fā)揮員工在信息安全管理中的主觀能動性，以自律的方式來實現(xiàn)信息安全保障。

建立全面、科學(xué)的信息安全管理體系。建立組織、人員結(jié)構(gòu)合理的安全組織結(jié)構(gòu)。加強信息安全隊伍建設(shè)，充實信息安全管理隊伍，完善激勵機制。建立完整的信息安全策略，主要包括信息安全策略、安全規(guī)章制度、安全操作流程和設(shè)備操作指南等方面。完善信息安全應(yīng)急恢復(fù)體系，推進(jìn)信息安全風(fēng)險評估，實行信息安全等級保護，健全信息安全標(biāo)準(zhǔn)規(guī)范和有關(guān)制度。

構(gòu)建一個科學(xué)合理的安全技術(shù)保障體系。加大網(wǎng)絡(luò)安全設(shè)施建設(shè)力度，加強網(wǎng)絡(luò)邊界防護，實施網(wǎng)絡(luò)安全域控制；加強軟件開發(fā)控制，對軟件進(jìn)行安全測評核漏洞檢測；保障基礎(chǔ)設(shè)施和物理環(huán)境的安全，加強檢測、監(jiān)控和審計措施，實施安全加固；加強備份管理，建立災(zāi)備中心，保證支付業(yè)務(wù)的連續(xù)性。

篇3

根據(jù)自治區(qū)、地區(qū)有關(guān)要求，按照《XXX新聞宣傳報道管理辦法》有關(guān)內(nèi)容，為進(jìn)一步加強我縣網(wǎng)絡(luò)和信息安全管理工作，現(xiàn)就有關(guān)事項通知如下。

一、建立健全網(wǎng)絡(luò)和信息安全管理制度

各單位要按照網(wǎng)絡(luò)與信息安全的有關(guān)法律、法規(guī)規(guī)定和工作要求，制定并組織實施本單位網(wǎng)絡(luò)與信息安全管理規(guī)章制度。要明確網(wǎng)絡(luò)與信息安全工作中的各種責(zé)任，規(guī)范計算機信息網(wǎng)絡(luò)系統(tǒng)內(nèi)部控制及管理制度，切實做好本單位網(wǎng)絡(luò)與信息安全保障工作。

二、切實加強網(wǎng)絡(luò)和信息安全管理

各單位要設(shè)立計算機信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理領(lǐng)導(dǎo)小組，負(fù)責(zé)對計算機信息網(wǎng)絡(luò)系統(tǒng)建設(shè)及應(yīng)用、管理、維護等工作進(jìn)行指導(dǎo)、協(xié)調(diào)、檢查、監(jiān)督。要建立本單位計算機信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理崗位責(zé)任制，明確主管領(lǐng)導(dǎo)，落實責(zé)任部門，各盡其職，常抓不懈，并按照“誰主管誰負(fù)責(zé)，誰運行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，切實履行好信息安全保障職責(zé)。

三、嚴(yán)格執(zhí)行計算機網(wǎng)絡(luò)使用管理規(guī)定

各單位要提高計算機網(wǎng)絡(luò)使用安全意識，嚴(yán)禁涉密計算機連接互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)，嚴(yán)禁在非涉密計算機上存儲、處理涉密信息，嚴(yán)禁在涉密與非涉密計算機之間交叉使用移動存儲介質(zhì)。辦公內(nèi)網(wǎng)必須與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)實行物理隔離，并強化身份鑒別、訪問控制、安全審計等技術(shù)防護措施，有效監(jiān)控違規(guī)操作，嚴(yán)防違規(guī)下載涉密和敏感信息。通過互聯(lián)網(wǎng)電子郵箱、即時通信工具等處理、傳遞、轉(zhuǎn)發(fā)涉密和敏感信息。

四、加強網(wǎng)站、微信公眾平臺信息審查監(jiān)管

各單位通過站、微信公眾平臺在互聯(lián)網(wǎng)上公開信息，要遵循涉密不公開、公開不涉密的原則，按照信息公開條例和有關(guān)規(guī)定，建立嚴(yán)格的審查制度。要對網(wǎng)站上的信息進(jìn)行審核把關(guān)，審核內(nèi)容包括：上網(wǎng)信息有無涉密問題；上網(wǎng)信息目前對外是否適宜；信息中的文字、數(shù)據(jù)、圖表、圖像是否準(zhǔn)確等。未經(jīng)本單位領(lǐng)導(dǎo)許可嚴(yán)禁以單位的名義在網(wǎng)上信息，嚴(yán)禁交流傳播涉密信息。堅持先審查、后公開，一事一審、全面審查。各單位網(wǎng)絡(luò)信息審查工作要有領(lǐng)導(dǎo)分管、部門負(fù)責(zé)、專人實施。

嚴(yán)肅突發(fā)、敏感事（案）件的新聞報道紀(jì)律，對民族、宗教、軍事、環(huán)保、反腐、人權(quán)、計劃生育、嚴(yán)打活動、暴恐案件、自然災(zāi)害，涉暴涉恐公捕大會、案件審理、非宗教教職人員、留大胡須、蒙面罩袍等敏感事（案）件的新聞稿件原則上不進(jìn)行宣傳報道，如確需宣傳報道的，經(jīng)縣領(lǐng)導(dǎo)同意，上報地區(qū)層層審核，經(jīng)自治區(qū)黨委宣傳部審核同意后，方可按照宣傳內(nèi)容做到統(tǒng)一口徑、統(tǒng)一，確保信息的時效性和嚴(yán)肅性。

五、組織開展網(wǎng)絡(luò)和信息安全清理檢查

篇4

關(guān)鍵詞：外匯局；信息安全；數(shù)據(jù)管理；安全評估

中圖分類號：TP393 文獻(xiàn)識別碼：A 文章編號：1001-828X（2015）024-000-01

隨著外匯管理改革的推進(jìn)，外匯業(yè)務(wù)系統(tǒng)已大部分實行了數(shù)據(jù)大集中的模式，同時，互聯(lián)網(wǎng)的發(fā)展帶動了外匯管理信息化建設(shè)的發(fā)展，外匯局與外部門信息的電子交互日益增多。新一屆政府已將信息安全上升到國家層面的戰(zhàn)略高度，因此信息安全是外匯局信息化建設(shè)的重要工作。隨著國家外匯管理的逐步放開，外匯局?jǐn)?shù)據(jù)信息的安全更加的重要。本文結(jié)合近期總局對分局的信息安全檢查，針對省一級外匯局目前信息安全的現(xiàn)狀，提出外匯局系統(tǒng)信息安全管理的工作和建議。

一、健全信息安全管理制度是首要任務(wù)

制度的建立是信息安全管理的重要依據(jù)，應(yīng)從人員管理，數(shù)據(jù)管理，網(wǎng)絡(luò)管理、系統(tǒng)授權(quán)管理、應(yīng)急管理等方面給予完善。制度的制定應(yīng)遵循“誰主管誰負(fù)責(zé)、誰運行誰負(fù)責(zé)”的原則，切實做到制度能被有效執(zhí)行。海南省分局制定了《信息安全管理辦法》等15項制度，明確信息安全工作總體目標(biāo)。從內(nèi)容上涵蓋了分局子網(wǎng)站、系統(tǒng)授權(quán)等方面。

二、重點轉(zhuǎn)好網(wǎng)絡(luò)和客戶端安全管理

抓好運維安全管理，特別是網(wǎng)絡(luò)和客戶端安全管理，提升分局防御信息安全風(fēng)險的能力。為了做到“一人一IP”原則，對分局的辦公網(wǎng)和業(yè)務(wù)網(wǎng)客戶端沒進(jìn)行信息登記管理，且IP地址、MAC地址和工作區(qū)的物理端口進(jìn)行綁定，防止未經(jīng)授權(quán)的計算機接入辦公網(wǎng)或業(yè)務(wù)網(wǎng)。實施防火墻訪問控制制度，對于需要訪問分局局域網(wǎng)上的服務(wù)器的外部網(wǎng)絡(luò)，需要申請授權(quán)，并且僅允許外部網(wǎng)絡(luò)的制定IP可以訪問分局局域網(wǎng)，做到最大限度的禁止不被授權(quán)的訪問。通過設(shè)置訪問控制策略，海南分局允許所以IP能訪問總局門戶網(wǎng)站，僅有申請授權(quán)的訪問才能訪問對應(yīng)的業(yè)務(wù)應(yīng)用。嚴(yán)格按照人民銀行科技部門的要求，在每個業(yè)務(wù)終端上安裝防病毒軟件、非法外聯(lián)以及補丁分發(fā)的軟件，確保業(yè)務(wù)終端抵御入侵。

三、定期開展應(yīng)急演練

應(yīng)急演練是檢驗處理信息安全重大突發(fā)事故的能力，比如海南外匯局模擬影響較大的網(wǎng)絡(luò)主干出故障，通過主路由器斷電模擬主路由器故障。對于應(yīng)急演練，事前應(yīng)做好應(yīng)急演練方案，對網(wǎng)絡(luò)配置進(jìn)行備份，及時與通信提供商聯(lián)系。應(yīng)急演練應(yīng)協(xié)調(diào)好含業(yè)務(wù)人員在內(nèi)的全體相關(guān)人員，演練后要進(jìn)行評估，對存在的不足要及時進(jìn)行改正。如對數(shù)據(jù)庫系統(tǒng)開展應(yīng)急演練，應(yīng)對被演練的數(shù)據(jù)庫數(shù)據(jù)進(jìn)行全量備份，并應(yīng)對數(shù)據(jù)庫系統(tǒng)做好備機準(zhǔn)備，若演練失敗，應(yīng)能及時切換到備機工作，保證了數(shù)據(jù)信息的安全和業(yè)務(wù)的實時性。

四、數(shù)據(jù)信息安全管理

數(shù)據(jù)信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。近來來，隨著涉外經(jīng)濟的發(fā)展，涉外收支數(shù)據(jù)快速增長，數(shù)據(jù)是外匯管理的支撐，按照國際收支申報辦法，申報數(shù)據(jù)是保密，因此應(yīng)從人員管理和技術(shù)管理上保證數(shù)據(jù)的安全。外匯局有多個部分均有檢查和核查的職責(zé)，因此存在數(shù)據(jù)采集和使用的需要。從業(yè)務(wù)系統(tǒng)數(shù)據(jù)應(yīng)嚴(yán)格按照授權(quán)的權(quán)限采集，將數(shù)據(jù)帶到銀行檢查，必須存儲在專用的不連互聯(lián)網(wǎng)的電腦上，禁止將數(shù)據(jù)存儲在互聯(lián)網(wǎng)上使用的移動存儲設(shè)備上，避免外匯管理數(shù)據(jù)的丟失。對于有些機密數(shù)據(jù)可以選擇加密工具進(jìn)行加密。對于存儲過涉外收支數(shù)據(jù)的光盤應(yīng)該用碎光盤機器予以銷毀。

五、強化信息安全教育培訓(xùn)

信息安全管理以意識為先，因此提高全體人員的信息安全意識是至關(guān)重要的?？梢酝ㄟ^舉辦信息安全培訓(xùn)班，通過在內(nèi)部網(wǎng)上才一些信息安全案件的信息，提高對信息安全的敏感度。不定期地通過電子郵件向全體人員發(fā)送近期信息安全技術(shù)等內(nèi)容，提高對新的問題處置能力。

六、深入開展信息安全檢查工作

開展信息安全檢查是確保信息安全的重要手段，需要建立長效機制，加強日常管理。分局每年應(yīng)定期或不定期按照總局信息安全檢查規(guī)范開展自查，也可以結(jié)合分局內(nèi)控檢查對中心支局、支局開展現(xiàn)場檢查，擴大檢查的廣度和深度，跟蹤存在的問題的整改，排查隱藏的風(fēng)險。

七、及時開展信息安全評估

除了開展自查和對轄內(nèi)中心支局和支局開展檢查外，開展信息安全風(fēng)險評估是信息安全的出發(fā)點。信息安全風(fēng)險評估依據(jù)國家信息安全保障要求和有關(guān)信息技術(shù)標(biāo)準(zhǔn)，運用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性地抵御威脅的防護對策和整改措施。主要內(nèi)容含資產(chǎn)評估、威脅評估、脆弱性評估、現(xiàn)有安全措施評估、風(fēng)險計算和分析、風(fēng)險決策和安全建議。2007年，外匯局各分局按照總局統(tǒng)一部署進(jìn)行了評估，存在一些問題。外匯局的信息安全評估可以采用自評估和第三方機構(gòu)（如中國測評中心）評估結(jié)合的方式，選取合適的風(fēng)險評估工具，建立適合外匯局系統(tǒng)信息安全風(fēng)險評估的標(biāo)準(zhǔn)，并根據(jù)外匯管理改革逐步更新，風(fēng)險評估應(yīng)涵蓋網(wǎng)絡(luò)管理、系統(tǒng)管理、數(shù)據(jù)管理以及用戶管理等全方面，不留死角，對評估存在的問題，應(yīng)由分管局長牽頭各部門進(jìn)行整改和完善。

總之，信息安全是一個長期重要的工作，是外匯管理工作的重要的組成部分。外匯局分局的信息安全保障工作應(yīng)在外匯局總局部署下，結(jié)合實際開展。科技人員應(yīng)該加強新技術(shù)的學(xué)習(xí)，不斷更新信息安全管理方法，提高信息安全管理水平，確保外匯管理工作的正常開展。

篇5

[關(guān)鍵詞] 信息安全； 管理； 重要性； 認(rèn)識

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 06. 054

[中圖分類號] TP309 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194（2014）06- 0089- 02

信息安全不僅是技術(shù)問題也是管理問題，沒有完善的管理，降低安全風(fēng)險只是空談。所以通過組織工作人員學(xué)習(xí)有關(guān)信息安全知識，要讓大家知道我們使用電腦、網(wǎng)絡(luò)、應(yīng)用軟件該懂得什么，注意什么，或者必須注意什么，自覺按照國家和本單位有關(guān)信息安全的要求積極主動維護信息安全。

1 信息安全管理存在的主要問題及原因分析

（1） 第一階段建設(shè)的信息系統(tǒng)只進(jìn)行信息系統(tǒng)的建設(shè)，信息安全問題基本沒有考慮，沒有必要的防火墻和防病毒軟件等安全設(shè)備和軟件，只是把本單位的電腦通過網(wǎng)線聯(lián)接起來進(jìn)行簡單的文件傳送。通過這幾年對信息安全方面知識的學(xué)習(xí)和實踐，本文認(rèn)為處于第一個階段時，人們對信息安全沒有太多的認(rèn)識，而且工作中對網(wǎng)絡(luò)中有關(guān)存取安全也沒有太多的要求。

（2） 第二階段建設(shè)的信息系統(tǒng)在注重信息系統(tǒng)建設(shè)時，也考慮到了信息安全問題，但沒有實質(zhì)性的投入。進(jìn)行信息系統(tǒng)設(shè)計時只考慮信息系統(tǒng)的建設(shè)，沒有考慮信息系統(tǒng)安全設(shè)計，基本是先建設(shè)，遇到信息安全問題，再購置信息安全所需要設(shè)備和軟件，以解決遇到的安全問題，屬于那種“救火式”的被動防御的管理辦法。隨著信息技術(shù)的不斷發(fā)展和工作上對遠(yuǎn)距離傳送數(shù)據(jù)的要求，廣域網(wǎng)的建設(shè)日益普及，遠(yuǎn)距離傳送數(shù)據(jù)既要保證數(shù)據(jù)的準(zhǔn)確性，還要保證數(shù)據(jù)的安全性，不能被竊取和修改。這時黑客、計算機犯罪經(jīng)常出現(xiàn)在網(wǎng)絡(luò)中，病毒更是通過網(wǎng)絡(luò)大面積地傳播，傳播速度之快，其危害性、破壞性更大，尤其是在互聯(lián)網(wǎng)上的傳播。為了保證信息安全就得重新購置設(shè)備，搞重復(fù)建設(shè)，造成極大的浪費。

（3） 第三階段建設(shè)的信息系統(tǒng)，信息化建設(shè)和信息安全建設(shè)被置于同等地位，變被動防御為主動防御，相關(guān)人員對信息安全的認(rèn)識也加強了，但信息安全的管理不到位。隨著信息技術(shù)的突飛猛進(jìn)，信息化建設(shè)投入的日益增多，信息系統(tǒng)的建設(shè)和應(yīng)用日益廣泛，人們的工作、學(xué)習(xí)和生活越來越依賴信息系統(tǒng)，同時信息安全問題離我們越來越近了，信息安全的重要性正在被認(rèn)識，這個階段建設(shè)的信息系統(tǒng)配置了防火墻、網(wǎng)關(guān)等設(shè)備和防病毒軟件，而且選型、配置得也非常合理，但也存在著重建設(shè)，輕管理，重“硬件”輕“軟件”的問題，比如防火墻、網(wǎng)關(guān)等設(shè)備出廠時都會有個“出廠設(shè)置”的問題。一般來說，這些設(shè)備專業(yè)性比較強，我們的專業(yè)技術(shù)人員對這些設(shè)備的參數(shù)都不是太熟悉，廠商的技術(shù)工作人員會負(fù)責(zé)安裝調(diào)試，沒有問題就算驗收了，這樣就存在著信息安全的問題，因為沒有及時更改相關(guān)的數(shù)據(jù)，就為日后的信息安全留下了隱患。

2 如何加強信息技術(shù)投入和信息安全管理確保信息安全

2.1 從信息技術(shù)方面確保信息安全要注意的問題

（1） 物理安全。購置信息安全所需的硬件設(shè)備。進(jìn)行信息化建設(shè)總體設(shè)計時就要考慮信息安全，購置安全所需的防火墻、網(wǎng)關(guān)等硬件，這些設(shè)備設(shè)置完成后，需要重新設(shè)置口令，不能用本身默認(rèn)的口令等等，確保不將沒有進(jìn)網(wǎng)許可證的設(shè)備接入網(wǎng)絡(luò)。同時建議對防火墻、網(wǎng)關(guān)和互聯(lián)網(wǎng)配置進(jìn)行備份，以使發(fā)生故障時能夠快速獲得這些參數(shù)。

（2） 數(shù)據(jù)庫安全。經(jīng)常備份信息，信息越重要，備份的副本就應(yīng)該越多，應(yīng)該制定備份制度，對數(shù)據(jù)進(jìn)行定期備份。如果可能的話，應(yīng)對敏感信息進(jìn)行加密，始終在安全地點保存不可覆蓋的文件副本。

（3） 操作系統(tǒng)和應(yīng)用系統(tǒng)安全。目前大多數(shù)操作系統(tǒng)都有系統(tǒng)的漏洞，操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷、無漏洞，開發(fā)商經(jīng)常會針對發(fā)現(xiàn)的漏洞公布一些補丁程序，要及時安裝；應(yīng)用系統(tǒng)安全即各行業(yè)自行開發(fā)的業(yè)務(wù)應(yīng)用系統(tǒng)是安全的。

（4） 經(jīng)常防御病毒、黑客、木馬、流氓軟件、電子郵件的入侵和干擾。病毒感染：從蠕蟲病毒開始到CIH病毒、沖擊波病毒，病毒一直是信息系統(tǒng)安全最直接的威脅，網(wǎng)絡(luò)更是為病毒提供了快速傳播的途徑，病毒很容易地通過服務(wù)器以軟件下載、郵件方式進(jìn)入網(wǎng)絡(luò)，然后對網(wǎng)絡(luò)進(jìn)行攻擊。黑客攻擊：這也是網(wǎng)絡(luò)面臨的最大威脅，此類攻擊可分為兩種：一種是網(wǎng)絡(luò)攻擊，以各種方式有選擇地破壞對方信息的有效性和完整性；另一類是網(wǎng)絡(luò)偵察，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得對方重要的機密信息，這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害。流氓軟件是最近出現(xiàn)的概念，它是指有些軟件開發(fā)商為宣傳自己的軟件，惡意讓用戶安裝到自己的電腦上，而且還不能刪除，這類軟件目前給用戶造成很大麻煩和損失。對于不明來歷的電子郵件不要接收和查看。

2.2 從信息安全管理方面要注意的問題

全面提升工作人員整體信息安全意識。要高度重視信息安全管理工作，有關(guān)業(yè)務(wù)部門要切實加強指導(dǎo)，以高度的責(zé)任感進(jìn)一步推進(jìn)信息化建設(shè)和信息安全管理工作。使信息化建設(shè)和信息安全建設(shè)同步進(jìn)行。

2.3 建立健全信息安全管理規(guī)章制度

按照全國信息安全工作會議的要求，全面部署信息安全工作——邁向信息社會，信息安全要重視兩項主要任務(wù)：① 保證基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的可生存性； ② 建立規(guī)范的網(wǎng)絡(luò)秩序。網(wǎng)絡(luò)秩序的規(guī)范從強化執(zhí)行作業(yè)程序、提升應(yīng)變能力、構(gòu)建安全環(huán)境等方面出發(fā)。

3 加強信息安全建設(shè)的設(shè)想

篇6

隨著光纖寬帶、移動電話、移動互聯(lián)網(wǎng)的普及，通信服務(wù)在我們的日常生活中發(fā)揮了越來越重要的作用。伴隨社會的信息化推進(jìn)，通信技術(shù)也得到了快速發(fā)展。通信得到了社會的廣泛認(rèn)可。近年來，伴隨著互聯(lián)網(wǎng)  技術(shù)在全球迅猛發(fā)展，信息化給人們提供了極大的便利，然而，同時我們也正受到日益嚴(yán)重的來自網(wǎng)絡(luò)的安全威脅，比如黑客攻擊、重要信息被盜等，網(wǎng)絡(luò)安全事件頻發(fā)，給人們的財產(chǎn)和精神帶來很大損失。但是，在世界范圍內(nèi)，黑客活動越來越猖狂，黑客攻擊者無孔不入，對信息系統(tǒng)的安全造成了很大的威脅，對社會造成了嚴(yán)重的危害。除此之外，互聯(lián)網(wǎng)上黑客網(wǎng)站還在不斷增加，這就給黑客更多的學(xué)習(xí)攻擊的信息，在黑客網(wǎng)站上，學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變得輕而易舉，更是加大了對互聯(lián)網(wǎng)的威脅。如何才能保障信息系統(tǒng)的信息安全，怎樣才能確保網(wǎng)絡(luò)信息的安全性，尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全性。

在通信領(lǐng)域，信息安全尤為重要，它是通信安全的重要環(huán)節(jié)。在通信組織運作時，信息安全是維護通信安全的重要內(nèi)容。通信涉及到我們生活的許多方面，小到人與人之間聯(lián)系的紐帶，大到國與國之間的信息交流。因此，研究信息安全和防護具有重要的現(xiàn)實意義。

一、通信運用中加強信息安全和防護的必要性

1.1搞好信息安全防護是確保國家安全的重要前提

眾所周知，未來的社會是信息化的社會，網(wǎng)絡(luò)空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點，如果信息安全防護工作跟不上，一個國家可能面臨信息被竊、網(wǎng)絡(luò)被毀、指揮系統(tǒng)癱瘓、制信息權(quán)喪失的嚴(yán)重后果。因此，信息安全防護不僅是未來戰(zhàn)爭勝利的重要保障，而且將作為交戰(zhàn)雙方信息攻防的重要手段，貫穿戰(zhàn)爭的全過程。一旦信息安全出現(xiàn)問題，可能導(dǎo)致整個國家的經(jīng)濟癱瘓，戰(zhàn)爭和軍事領(lǐng)域是這樣，政治、經(jīng)濟、文化、科技等領(lǐng)域也不例外。信息安全關(guān)系到國家的生死存亡，關(guān)系到世界的安定和平。比如，美國加利弗尼亞州銀行協(xié)會的曾經(jīng)發(fā)出一份報告，稱如果該銀行的數(shù)據(jù)庫系統(tǒng)遭到網(wǎng)絡(luò)“黑客”的破壞，造成的后果將是致命的，3天就會影響加州的經(jīng)濟，5天就能波及全美經(jīng)濟，7天會使全世界經(jīng)濟遭受損失。鑒于信息安全如此重要，美國國家委員會早在2000年初的《國家安全戰(zhàn)備報告》里就強調(diào)：執(zhí)行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學(xué)說》，第一次把信息安全擺在戰(zhàn)略地位。并從理論和時間中加強信息安全的防護。近年來，我國也越來越重視信息安全問題，相關(guān)的研究層出不窮，為我國信息安全的發(fā)展奠定了基礎(chǔ)。

1.2我國信息安全面臨的形勢十分嚴(yán)峻

信息安全是國家安全的重要組成部分，它不僅體現(xiàn)在軍事信息安全上，同時也涉及到政治、經(jīng)濟、文化等各方面。當(dāng)今社會，由于國家活動對信息和信息網(wǎng)絡(luò)的依賴性越來越大，所以一旦信息系統(tǒng)遭到破壞，就可能導(dǎo)致整個國家能源供應(yīng)的中斷、經(jīng)濟活動的癱瘓、國防力量的削弱和社會秩序的混亂，其后果不堪設(shè)想。由于我國信息化起步較晚，目前信息化系統(tǒng)大多數(shù)還處在“不設(shè)防’，的狀態(tài)下，國防信息安全的形勢十分嚴(yán)峻。具體體現(xiàn)在以卜幾個方面：首先，全社會對信息安全的認(rèn)識還比較模糊。很多人對信息安全缺乏足夠的了解，對因忽視信息安全而可能造成的重大危害還認(rèn)識不足，信息安全觀念還十分淡薄。因此，在研究開發(fā)信息系統(tǒng)過程中對信息安全問題不夠重視，許多應(yīng)用系統(tǒng)處在不設(shè)防狀態(tài)，具有極大的風(fēng)險性和危險性。其次，我國的信息化系統(tǒng)還嚴(yán)重依賴大量的信息技術(shù)及設(shè)備極有可能對我國信息系統(tǒng)埋下不安全的隱患。無論是在計算機硬件上，還是在計算機軟件上，我國信息化系統(tǒng)的國產(chǎn)率還較低，而在引進(jìn)國外技術(shù)和設(shè)備的過程中，又缺乏必要的信息安全檢測和改造。再次，在軍事領(lǐng)域，通過網(wǎng)絡(luò)泄密的事故屢有發(fā)生，敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后，我國國家信息安全防護管理機構(gòu)缺乏權(quán)威，協(xié)調(diào)不夠，對信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割、相互隔離，管理混亂，缺乏與信息化進(jìn)程相一致的國家信息安全總體規(guī)劃，妨礙了信息安全管理的方針、原則和國家有關(guān)法規(guī)的貫徹執(zhí)行。

二、通信中存在的信息安全問題

2.1信息網(wǎng)絡(luò)安全意識有待加強

我國的信息在傳輸?shù)倪^程中，特別是軍事信息，由于存在擴散和較為敏感的特征，有的人利用了這一特點采取種種手段截獲信息，以便了解和掌握對方的新措施。更有甚者，在信息網(wǎng)絡(luò)運行管理和使用中，更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此，我們更要深層次地加強網(wǎng)絡(luò)安全方面的觀念，認(rèn)識到信息安全防護工作不僅僅是操作人員的“專利”，它更需要所有相關(guān)人員來共同防護。

2.2信息網(wǎng)絡(luò)安全核心技術(shù)貧乏  

目前，我國在信息安全技術(shù)領(lǐng)域自主知識產(chǎn)權(quán)產(chǎn)品少采用的基礎(chǔ)硬件操作系統(tǒng)和數(shù)據(jù)庫等系統(tǒng)軟件大部分依賴國外產(chǎn)品。有些設(shè)備更是拿來就用，忽略了一定的安全隱患。技術(shù)上的落后，使得設(shè)備受制于人。因此，我們要加大對信息網(wǎng)絡(luò)安全關(guān)鍵技術(shù)的研發(fā)，避免出現(xiàn)信息泄露的“后門”。

2.3信息網(wǎng)絡(luò)安全防護體系不完善

防護體系是系統(tǒng)頂層設(shè)計的一個重要組成部分，是保證各系統(tǒng)之間可集成、可互操作的關(guān)鍵。以前信息網(wǎng)絡(luò)安全防護主要是進(jìn)行一對一的攻防，技術(shù)單一?，F(xiàn)代化的信息網(wǎng)絡(luò)安全防護體系已經(jīng)成為一個規(guī)模龐大、技術(shù)復(fù)雜、獨具特色的重要信息子系統(tǒng)，并擔(dān)負(fù)著網(wǎng)絡(luò)攻防對抗的重任。因此，現(xiàn)代化信息網(wǎng)絡(luò)安全防護體系的建立應(yīng)具有多效地安全防護機制、安全防護服務(wù)和相應(yīng)的安全防護管理措施等內(nèi)容。

2.4信息網(wǎng)絡(luò)安全管理人才缺乏 

高級系統(tǒng)管理人才缺乏，已成為影響我軍信息網(wǎng)絡(luò)安全防護的因素之一。信息網(wǎng)絡(luò)安全管理人才不僅要精通計算機網(wǎng)絡(luò)技術(shù)，還要熟悉安全技術(shù)。既要具有豐富的網(wǎng)絡(luò)工程建設(shè)經(jīng)驗，又要具備管理知識。顯然，加大信息安全人才的培養(yǎng)任重而道遠(yuǎn)。

三、通信組織運用中的網(wǎng)絡(luò)安全防護

網(wǎng)絡(luò)安全是通信系統(tǒng)安全的重要環(huán)節(jié)。保障通信組織的安全主要是保障網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全備受關(guān)注，如何防范病毒入侵、保護信息安全是人們關(guān)心的問題，筆者總結(jié)了幾點常用的防范措施，遵循這些措施可以降低風(fēng)險發(fā)生的概率，進(jìn)而降低通信組織中信息安全事故發(fā)生的概率。

3.1數(shù)據(jù)備份

對重要信息資料要及時備份，或預(yù)存影像資料，保證資料的安全和完整。設(shè)置口令，定期更換，以防止人為因素導(dǎo)致重要資料的泄露和丟失。利用鏡像技術(shù)，在磁盤子系統(tǒng)中有兩個系統(tǒng)進(jìn)行同樣的工作，當(dāng)其中一個系統(tǒng)故障時，另一個系統(tǒng)仍然能正常工作。加密對網(wǎng)絡(luò)通信加密，以防止網(wǎng)絡(luò)被竊聽和截取，尤其是絕密文件更要加密處理，并定期更換密碼。另外，文件廢棄處理時對重要文件粉碎處理，并確保文件不可識別。

3.2防治病毒

保障信息系統(tǒng)安全的另一個重要措施是病毒防治。安裝殺毒軟件，定期檢查病毒。嚴(yán)格檢查引入的軟盤或下載的軟件和文檔的安全性，保證在使用前對軟盤進(jìn)行病毒檢查，殺毒軟件應(yīng)及時更新版本。一旦發(fā)現(xiàn)正在流行的病毒，要及時采取相應(yīng)的措施，保障信息資料的安全。

3.3提高物理安全

物理安全是保障網(wǎng)絡(luò)和信息系統(tǒng)安全的基本保障，機房的安全尤為重要，要嚴(yán)格監(jiān)管機房人員的出入，堅決執(zhí)行出入管理制度，對機房工作人員要嚴(yán)格審查，做到專人專職、專職專責(zé)。另外，可以在機房安裝許多裝置以確保計算機和計算機設(shè)備的安全，例如用高強度電纜在計算機的機箱穿過。但是，所有其他裝置的安裝，都要確保不損害或者妨礙計算機的操作。

3.4安裝補丁軟件

為避免人為因素（如黑客攻擊）對計算機造成威脅，要及時安裝各種安全補丁程序，不要給入侵者以可乘之機。一旦系統(tǒng)存在安全漏洞，將會迅速傳播，若不及時修正，可能導(dǎo)致無法預(yù)料的結(jié)果。為了保障系統(tǒng)的安全運行，可以及時關(guān)注一些大公司的網(wǎng)站上的系統(tǒng)安全漏洞說明，根據(jù)其附有的解決方法，及時安裝補丁軟件。用戶可以經(jīng)常訪問這些站點以獲取有用的信息。

3.5構(gòu)筑防火墻

構(gòu)筑系統(tǒng)防火墻是一種很有效的防御措施。防火墻是有經(jīng)驗豐富的專業(yè)技術(shù)人員設(shè)置的，能阻止一般性病毒入侵系統(tǒng)。防火墻的不足之處是很難防止來自內(nèi)部的攻擊，也不能阻止惡意代碼的入侵，如病毒和特洛伊木馬。

四、加強通信運用中的信息安全與防護的幾點建議

為了應(yīng)付信息安全所面臨的嚴(yán)峻挑戰(zhàn)，我們有必要從以下幾個方面著手，加強國防信息安全建設(shè)。

4.1要加強宣傳教育，切實增強全民的國防信息安全意識

在全社會范圍內(nèi)普及信息安全知識，樹立敵情觀念、紀(jì)律觀念和法制觀念，強化社會各界的信息安全意識，營造一個良好的信息安全防護環(huán)境。各級領(lǐng)導(dǎo)要充分認(rèn)識自己在信息安全防護工作中的重大責(zé)仟‘一方而要經(jīng)常分析新形勢卜信息安全工作形勢，自覺針對存在的薄弱環(huán)節(jié)，采取各種措施，把這項工作做好；另一方面要結(jié)合工作實際，進(jìn)行以安全防護知識、理論、技術(shù)以及有關(guān)法規(guī)為內(nèi)容的自我學(xué)習(xí)和教育。

4.2要建立完備的信息安全法律法規(guī)

信息安全需要建立完備的法律法規(guī)保護。自國家《保密法》頒布實施以來，我國先后制定和頒布了《關(guān)于維護互聯(lián)網(wǎng)安全的決定》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī)，但從整體上看，我國信息安全法規(guī)建設(shè)尚處在起步階段，層次不高，具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此，我們應(yīng)當(dāng)加快信息安全有關(guān)法律法規(guī)的研究，及早建立我國信息安全法律法規(guī)體系。

4.3要加強信息管理

要成立國家信息安全機構(gòu)，研究確立國家信息安全的重大決策，制定和國家信息安全政策。在此基礎(chǔ)上，成立地方各部門的信息安全管理機構(gòu)，建立相應(yīng)的信息安全管理制度，對其所屬地區(qū)和部門內(nèi)的信息安全實行統(tǒng)一管理。

4.4要加強信息安全技術(shù)開發(fā)，提高信息安全防護技術(shù)水平

沒有先進(jìn)、有效的信息安全技術(shù)，國家信息安全就是一句空話。因此，我們必須借鑒國外先進(jìn)技術(shù)，自主進(jìn)行信息安全關(guān)鍵技術(shù)的研發(fā)和運用。大力發(fā)展防火墻技術(shù)，開發(fā)出高度安全性、高度透明性和高度網(wǎng)絡(luò)化的國產(chǎn)自主知識產(chǎn)權(quán)的防火墻。積極發(fā)展計算機網(wǎng)絡(luò)病毒防治技術(shù)，加強計算機網(wǎng)絡(luò)安全管理，為保護國家信息安全打卜一個良好的基礎(chǔ)。

4.5加強計算機系統(tǒng)網(wǎng)絡(luò)風(fēng)險的防范加強網(wǎng)絡(luò)安全防范是風(fēng)險防范的重要環(huán)節(jié)

首先，可以采取更新技術(shù)、更新設(shè)備的方式。并且要加強工作人員風(fēng)險意識，加大網(wǎng)絡(luò)安全教育的投入。其次，重要數(shù)據(jù)和信息要及時備份，也可采用影像技術(shù)提高資料的完整性。第三，及時更新殺毒軟件版本，殺毒軟件可將部分病毒拒之門外，殺毒軟件更新提高了防御病毒攻擊的能力。第五，對重要信息采取加密技術(shù)，密碼設(shè)置應(yīng)包含數(shù)字、字母和其他字符。加密處理可以防止內(nèi)部信息在網(wǎng)絡(luò)上被非授權(quán)用戶攔截。第六，嚴(yán)格執(zhí)行權(quán)限控制，做好信息安全管理工作。“三分技術(shù)，七分管理”，可見信息安全管理在預(yù)防風(fēng)險時的重要性，只有加強監(jiān)管和管理，才能使信息安全更上一個臺階。

4.6建立和完善計算機系統(tǒng)風(fēng)險防范的管理制度

建立完善的防范風(fēng)險的制度是預(yù)防風(fēng)險的基礎(chǔ)，是進(jìn)行信息安全管理和防護的標(biāo)準(zhǔn)。首先，要高度重視安全問題。隨著信息技術(shù)的發(fā)展，攻擊者的攻擊手段也在不斷進(jìn)化，面對高智商的入侵者，我們必須不惜投入大量人力、物力、財力來研究和防范風(fēng)險。在研究安全技術(shù)和防范風(fēng)險的策略時，可以借鑒國外相關(guān)研究，尤其是一些發(fā)達(dá)國家，他們信息技術(shù)起步早，風(fēng)險評估研究也很成熟，我們可以借鑒他們的管理措施，結(jié)合我們的實際，應(yīng)用到風(fēng)險防范中，形成風(fēng)險管理制度，嚴(yán)格執(zhí)行。

其次，應(yīng)當(dāng)設(shè)立信息安全管理的專門機構(gòu)，并配備專業(yè)技術(shù)人才，選拔防范風(fēng)險的技術(shù)骨干，開展對信息安全技術(shù)的研究，對系統(tǒng)弱點進(jìn)行風(fēng)險評估，及時采取補救措施。完善信息安全措施 ，并落實到信息安全管理中去。  

篇7

 

尊敬的領(lǐng)導(dǎo)：

2018年，xx嚴(yán)格按照集團公司“穩(wěn)中提質(zhì)、改革創(chuàng)新”總要求，圍繞安全生產(chǎn)、經(jīng)營管控、風(fēng)險防控等工作重點，從信息化管控、系統(tǒng)建設(shè)、應(yīng)用推廣、運行維護等方面開展信息化工作，較好的發(fā)揮了信息系統(tǒng)在生產(chǎn)監(jiān)控、過程管理和輔助決策方面的作用。現(xiàn)將主要工作情況匯報如下：

第一部分 信息化管控

一、信息化管理制度建設(shè)情況

公司共制定有《xx信息化管理辦法》、《xx網(wǎng)絡(luò)安全管理制度》、《xx計算機管理辦法》、《xx軟件正版化管理辦法》、《xx辦公自動化系統(tǒng)使用管理辦法》、《xx應(yīng)用系統(tǒng)數(shù)據(jù)管理辦法》等有關(guān)規(guī)劃、項目、基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)和運行維護的信息化管理制度18項，較好的指導(dǎo)和規(guī)范了公司信息化建設(shè)。

2018年重新修訂完善了硬件資產(chǎn)管理辦法、應(yīng)用系統(tǒng)運維管理辦法、信息化管理辦法、微信、QQ群組管理辦法、報廢計算機和計算機耗材廢舊污染物品管理辦法、網(wǎng)絡(luò)信息安全管理辦法等6項信息化管理制度。

二、信息化資本支出計劃情況

（一）2018年信息化資本支出計劃完成情況。

按《xx關(guān)于下達(dá)2018年度資本支出計劃（信息化專項）的通知》要求，嚴(yán)格監(jiān)控審核各類信息化資本支出項目的執(zhí)行情況，督導(dǎo)各單位資本支出計劃按進(jìn)度完成。2018年各類信息化計劃資本支出費用為537.2萬元，截至10月底，完成了346.43萬元，預(yù)計11-12月份完成122.13萬元，全年總計完成468.56萬元，計劃完成率為87.22%。

 1、審核類項目

xx審核類項目共計8項，分別為工藝動畫展示軟件、SaaS門戶網(wǎng)站防護軟件、龍軟地測空間信息管理系統(tǒng)、病案管理系統(tǒng)、生化檢驗血庫管理軟件、預(yù)防保健數(shù)字化門診系統(tǒng)、遠(yuǎn)程控制軟件、綜合管理系統(tǒng)（二期）。

（1）綜合管理系統(tǒng)（二期），合同額120萬，2018年計劃完成80萬元，按合同約定，已完成第一階段付款36萬元，按照開發(fā)進(jìn)度及合同約定，12月份將完成第二階段付款36萬元，完成了預(yù)算目標(biāo)。

（2）山不拉煤礦龍軟地測空間信息管理系統(tǒng)，預(yù)算金額為30萬元，實際支出30萬元，完成了預(yù)算目標(biāo)。

（3）職工醫(yī)院病案管理系統(tǒng)預(yù)算金額為15萬元，計劃12底前購置完成。

（4）職工醫(yī)院生化檢驗血庫管理軟件預(yù)算金額4萬元，實際支出4萬元，完成了軟件的購置。

（5）職工醫(yī)院預(yù)防保健數(shù)字化門診系統(tǒng)軟件預(yù)算金額為8萬元，實際支出為7.51萬元，完成了系統(tǒng)軟件的購置。

（6）特鑿公司工藝動畫展示軟件預(yù)算金額為15萬元，實際支出15萬元，完成了軟件的購置。

（7）特鑿公司SaaS門戶網(wǎng)站防護軟件預(yù)算金額為8萬元，計劃12月底前購置完成。

（8）培訓(xùn)中心遠(yuǎn)程控制軟件預(yù)算金額為2萬元，計劃12月底前購置完成。

2、備案類項目

備案類重點項目有3項，分別為筆記本電腦購置38臺，24.58萬元，臺式機購置116臺，74.89萬元，打印機購置71臺，23.43萬元，合計占備案總預(yù)算的62.48%。

3、費用類項目

重點費用類項目有1項，為線路租賃費用，公司共有廣域網(wǎng)專線9條，互聯(lián)網(wǎng)線路13條，年租賃費用為87.64萬元。

（二）2019年信息化資本支出計劃情況。

1、基本情況。2019年各類信息化資本支出費用預(yù)計為1261.9419萬元，其中審核類費用預(yù)計773.15萬元，備案類費用預(yù)計320.78萬元，費用類預(yù)計168.0119萬元。

審核類中，BIM分中心建設(shè)項目318.55萬元，BIM分中心配套機房及網(wǎng)絡(luò)改造項目139.6萬元，山不拉煤礦安全監(jiān)控系統(tǒng)升級改造項目186萬元（說明：地方政府要求在2018年底完成，專項請示在2018年增列計劃，由于時間太緊，只能將計劃在2019年列支）。

第二部分 信息系統(tǒng)建設(shè)應(yīng)用

三、綜合管理系統(tǒng)（二期）建設(shè)應(yīng)用

（一） 建設(shè)目標(biāo)：流程固化、數(shù)據(jù)共享、全程追溯。

（二） 建設(shè)原則：圍繞資金、業(yè)務(wù)主導(dǎo)、橫向到邊、縱向到底。

（三） 保障措施：

1、成立了綜合管理系統(tǒng)應(yīng)用推進(jìn)領(lǐng)導(dǎo)小組，公司主要領(lǐng)導(dǎo)親自抓。明晰系統(tǒng)應(yīng)用推進(jìn)中的職責(zé)、責(zé)任到人。

2、定期不定期的召開項目協(xié)調(diào)例會，及時協(xié)調(diào)解決系統(tǒng)開發(fā)、應(yīng)用過程中的各類問題。

3、全員培訓(xùn)。已開展用戶培訓(xùn)12場次，培訓(xùn)用戶2200余人次，涵蓋公司領(lǐng)導(dǎo)、部門負(fù)責(zé)人、關(guān)鍵用戶和業(yè)務(wù)人員。

4、日常指導(dǎo)。通過電話、QQ群、遠(yuǎn)程桌面、面對面交流等方式解答系統(tǒng)使用中的各類問題，平均日處理各類解答300余人次。

5、督導(dǎo)考核。從組織機構(gòu)、用戶培訓(xùn)、系統(tǒng)操作、數(shù)據(jù)質(zhì)量四方面對各單位、各項目部已上線業(yè)務(wù)開展督導(dǎo)考核。通過督導(dǎo)考核來看，數(shù)據(jù)質(zhì)量基本可靠。

（四）開發(fā)進(jìn)度：

自7月份正式開發(fā)以來，完成了物資、技術(shù)質(zhì)量、科技、安全、黨建、市場開發(fā)、法律事務(wù)和監(jiān)察審計業(yè)務(wù)的開發(fā)上線，完成了財務(wù)、人力、經(jīng)營、機電業(yè)務(wù)部分功能（資金、稅務(wù)、人事、薪酬、結(jié)算、分包、租賃等）的開發(fā)上線，完成了整體開發(fā)計劃的80%。

（五）應(yīng)用效果

1、用戶可通過手機APP，企業(yè)微信處理系統(tǒng)業(yè)務(wù)。

2、用戶日平均登錄2000余人次，7日上線率為54.7%（系統(tǒng)注冊用戶數(shù)2558人）。

3、打通了從業(yè)務(wù)到財務(wù)的各個環(huán)節(jié)，財務(wù)核算與業(yè)務(wù)過程互相約束、互相校驗，實現(xiàn)了業(yè)務(wù)過程可控、資金流向可控。

4、提高了工作效率、提升了管理水平。流程平均審批效率29小時，較之前的以周計算或以月計算，工作效率成倍提高。管理模式逐漸從結(jié)果導(dǎo)向轉(zhuǎn)變?yōu)檫^程控制，建筑行業(yè)的粗放型管理得到明顯改觀。

四、云視頻會議系統(tǒng)建設(shè)應(yīng)用

云視頻會議系統(tǒng)采用SaaS模式建設(shè)，省卻了基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全、系統(tǒng)運維等方面的工作。

系統(tǒng)可以通過PC、手機、硬件終端召開會議。系統(tǒng)有三個會議室，一個100賬號和兩個25賬號，一個賬號在一臺設(shè)備中使用，一臺設(shè)備可以在實體會議室供多人參會。

系統(tǒng)上線以來，平均月召開云視頻會議10余次，平均參會人數(shù)200余人/次，年節(jié)省差旅費、油費、會議費約120萬元（按每項目部每次節(jié)省1000元計算，10x12x1000x10=1200000）。

系統(tǒng)的成功應(yīng)用，不但提高了會議效率,降低了費用，還減少了路途中的安全風(fēng)險。

五、BIM技術(shù)應(yīng)用情況

在建設(shè)集團、集團公司的領(lǐng)導(dǎo)和統(tǒng)一部署下，xx有條不紊的開展了BIM系統(tǒng)的應(yīng)用和推廣工作。完成了與建設(shè)集團BIM云平臺對接和公司BIM平臺建設(shè)；完成了各專業(yè)族庫的建立、施工工藝視頻的制作及BIM5D平臺學(xué)習(xí)與試用。截至目前，公司BIM平臺已經(jīng)具備了質(zhì)量、安全和進(jìn)度管理、匹配成本信息和施工進(jìn)度模擬等功能，能夠?qū)崿F(xiàn)數(shù)據(jù)和信息的有效共享。

六、安全監(jiān)控監(jiān)測系統(tǒng)

按照國家煤礦安監(jiān)局及內(nèi)蒙古煤礦安監(jiān)局相關(guān)文件要求，配合山不拉煤礦完成了瓦斯監(jiān)控系統(tǒng)升級改造方案制定、預(yù)算編制和前期籌備工作，協(xié)調(diào)完成了專項費用計劃增列的申報工作。

按照集團公司要求，配合山不拉煤礦完成了工業(yè)視頻監(jiān)控高清改造方案的調(diào)研、方案制定、預(yù)算編制工作。

完成了小回溝項目部瓦斯監(jiān)控系統(tǒng)升級改造后的數(shù)據(jù)聯(lián)網(wǎng)上傳工作。

七、推進(jìn)各應(yīng)用系統(tǒng)的使用

（一）年度考核系統(tǒng)應(yīng)用。開展考核系統(tǒng)的配置、值守等工作，協(xié)助人力資源部完成年度考核工作。

（二）OA系統(tǒng)應(yīng)用。繼續(xù)優(yōu)化涉及辦公、財務(wù)、經(jīng)營、人力、機電等各方面各類電子簽章審批工作流，指導(dǎo)各單位梳理建立使用OA簽章審批工作流。截至目前，優(yōu)化、修改工作流程50個，制作電子簽章100余人次。

（三）視頻會議系統(tǒng)的應(yīng)用。截至目前，公司召開視頻會議121次，參會人數(shù)12000多人次；召開云視頻會議100余次，參會人數(shù)20000余人次。保障了會議精神實時、全面、有效的傳達(dá)，節(jié)約了大量交通、住宿、會議等費用。

（四）安全培訓(xùn)系統(tǒng)的應(yīng)用。協(xié)助公司職工教育培訓(xùn)中心開展特種作業(yè)人員和項目部安管人員的取證培訓(xùn)、崗位復(fù)訓(xùn)，使用系統(tǒng)進(jìn)行培訓(xùn)、考核10場次，參培人員800余人次。

（五）推進(jìn)集團公司ERP等系統(tǒng)的應(yīng)用。定期跟蹤各部門對集團財務(wù)、采購、庫存、人力資源、合同管理、安全管理等系統(tǒng)的應(yīng)用情況。定期收集相關(guān)部門對系統(tǒng)的使用意見和建議，督促系統(tǒng)實施進(jìn)度和培訓(xùn)。

 

第三部分 基礎(chǔ)設(shè)施建設(shè)應(yīng)用

八、數(shù)據(jù)中心機房建設(shè)情況

公司數(shù)據(jù)中心機房建于2009年，安裝有門禁、供電、UPS、制冷、新風(fēng)、消防、監(jiān)測等機房系統(tǒng)，其中UPS按照供電8小時設(shè)計，現(xiàn)由于電池組老化，僅能滿足供電2小時。機房內(nèi)有服務(wù)器14臺，分別承載OA、綜合項目管理、檔案管理、安管培訓(xùn)模擬、視頻會議、用友財務(wù)等使用中的應(yīng)用系統(tǒng)；有存儲設(shè)備1臺，承擔(dān)綜合項目管理系統(tǒng)的數(shù)據(jù)存儲任務(wù)；有核心交換機、IDS、防火墻、路由器、網(wǎng)絡(luò)行為管理、VPN等網(wǎng)絡(luò)設(shè)備14臺，分別承載公司局域網(wǎng)和廣域網(wǎng)的數(shù)據(jù)傳輸和網(wǎng)絡(luò)安全任務(wù)。

九、廣域網(wǎng)建設(shè)情況

公司廣域網(wǎng)連接的單位有10處、31處、49處、特鑿處、南陽坡分公司、內(nèi)蒙古分公司、山不拉煤礦和兩級集團公司。到南陽坡分公司和內(nèi)蒙古分公司廣域網(wǎng)帶寬為2Mbps，到集團公司的廣域網(wǎng)帶寬為8Mbps，其余為4Mbps。廣域網(wǎng)主要承載視頻會議系統(tǒng)、ERP系統(tǒng)等需要專線連接的應(yīng)用系統(tǒng)。

十、局域網(wǎng)建設(shè)情況

局域網(wǎng)采用星型拓?fù)?，接入交換機到電腦終端為百兆帶寬，接入交換機匯聚到核心交換機為千兆帶寬。

公司局域網(wǎng)包括公司辦公樓、培訓(xùn)中心和物業(yè)管理公司叢臺基地，共有電腦終端200余臺。電腦按樓層、部門劃分為10個VLAN，起到疏導(dǎo)流量、隔離廣播風(fēng)暴和防止病毒大范圍擴散的作用。

根據(jù)具體實際，對各單位機房和局域網(wǎng)的建設(shè)提出了最基本的標(biāo)準(zhǔn)，并指導(dǎo)各單位信息專業(yè)人員逐步完善。

十一、互聯(lián)網(wǎng)建設(shè)

公司機關(guān)及各單位均有互聯(lián)網(wǎng)接入線路。公司機關(guān)接入帶寬為中國電信的50Mbps互聯(lián)網(wǎng)專線，31處、49處、特鑿公司和山不拉礦今年均變更為100Mbps，其他各單位互聯(lián)網(wǎng)接入帶寬為50Mbps。

十二、BIM分中心基礎(chǔ)設(shè)施建設(shè)情況

配合建設(shè)集團完成了BIM中心建設(shè)總體方案的制定工作和xxBIM分中心建設(shè)方案的制定工作，圍繞BIM分中心建設(shè)方案，結(jié)合公司機房及網(wǎng)絡(luò)現(xiàn)狀，制定了BIM分中心機房、網(wǎng)絡(luò)配套設(shè)施改造方案。

第四部分 信息化運維

開展桌面運維，定期對用戶計算機安裝的軟件進(jìn)行維護，監(jiān)督正版軟件的使用。定期維護計算機硬件，保障計算機正常工作。

開展網(wǎng)絡(luò)運維，定期檢查網(wǎng)絡(luò)設(shè)備的配置、日志，保障設(shè)備運行正常。定期對網(wǎng)絡(luò)線路巡檢，及時排除斷網(wǎng)隱患。不定期開展用戶網(wǎng)絡(luò)排錯培訓(xùn)，提高用戶常見網(wǎng)絡(luò)故障的自我解決能力。

開展應(yīng)用系統(tǒng)運維，督促或組織制定應(yīng)用系統(tǒng)管理辦法，從系統(tǒng)用戶、系統(tǒng)運行、系統(tǒng)安全等方面加強日常檢查，保障各系統(tǒng)安全運行。

開展機房運維，嚴(yán)格執(zhí)行每日巡檢制度，明確了機房溫度、濕度、供電等環(huán)境要素標(biāo)準(zhǔn)。加強運維人員操作系統(tǒng)、服務(wù)器組成等軟硬件知識學(xué)習(xí)，每日必須登錄服務(wù)器分析運行日志，及時發(fā)現(xiàn)問題、解決問題。

第五部分 信息安全

網(wǎng)絡(luò)與信息安全方面管控主要從安全制度、安全技術(shù)、安全教育和安全評測等方面進(jìn)行，力保信息的可信性、可用性和完整性。

安全制度方面。公司成立有保密與網(wǎng)絡(luò)安全委員會，領(lǐng)導(dǎo)公司的網(wǎng)絡(luò)安全工作。下發(fā)了《黨委網(wǎng)絡(luò)安全責(zé)任制實施細(xì)則》、《網(wǎng)絡(luò)安全管理制度》、《信息安全崗位職責(zé)管理辦法》等制度，明確了安全職責(zé)、任務(wù)、措施等內(nèi)容，經(jīng)常性的在用戶中宣傳網(wǎng)絡(luò)安全的重用性、必要性，指導(dǎo)用戶使用常用網(wǎng)絡(luò)安全技術(shù)措施。

安全技術(shù)方面。遵照ISO七層網(wǎng)絡(luò)模型，針對每層容易暴露的安全問題，采取有針對的防護措施。在網(wǎng)絡(luò)邊界部署了防火墻、入侵檢測、上網(wǎng)行為管理等安全設(shè)備。在服務(wù)器區(qū)部署了防火墻，并在服務(wù)器中安裝了殺毒軟件和終端防護軟件。在用戶端按樓層劃分了VLAN、IP地址和MAC地址進(jìn)行了登記并綁定，用戶計算機也安裝了殺毒軟件、軟件防火墻。

安全教育方面。通過專題講座、發(fā)放宣傳資料、安全事件案例等多種形式開展信息安全知識普及工作，提高員工的安全防范意識，減少安全事件的發(fā)生。要求用戶口令長度不小于8位，且必須由大寫、小寫字母與數(shù)字共同組成，并定期提醒用戶更換密碼，必要時強制更改密碼。要求用戶不得將賬號密碼轉(zhuǎn)借他人。

安全評測方面。定期開展應(yīng)用系統(tǒng)和基礎(chǔ)網(wǎng)絡(luò)自評，加強了計算機終端、局域網(wǎng)絡(luò)、服務(wù)器主機、服務(wù)器操作系統(tǒng)、應(yīng)用系統(tǒng)等安全制度、安全策略和安全行為管理，進(jìn)一步提高了公司信息系統(tǒng)的安全水平。定期委托專業(yè)公司開展安全評測，按照評測整改報告及時完成整改。對新開發(fā)的應(yīng)用系統(tǒng)，需通過安全測評后才允許驗收。

第六部分 對外網(wǎng)站

制定了《xx門戶網(wǎng)站管理辦法》，明確了網(wǎng)站管理的權(quán)利、責(zé)任。

要求各單位對外網(wǎng)站需完成備案工作、安裝政府網(wǎng)站防護軟件、在國家重大活動期間強化安全監(jiān)控，必要時關(guān)閉網(wǎng)站。

公司網(wǎng)站采用PaaS模式建設(shè)，采用的阿里云平臺的專有云，并采購了安騎士云盾、WAF防火墻和態(tài)勢感知安全服務(wù)，還安裝了公安部網(wǎng)防G01 V3.0防護軟件。專有云提供安全風(fēng)險短信預(yù)警功能，能動態(tài)提醒操作系統(tǒng)、網(wǎng)站系統(tǒng)、惡意攻擊等安全風(fēng)險事件。

第七部分 存在的問題和不足

一、專業(yè)人才短缺。軟件、網(wǎng)絡(luò)、安全和數(shù)據(jù)庫等方面相關(guān)專業(yè)人才短缺，制約了應(yīng)用系統(tǒng)自主運維和開發(fā)。

二、系統(tǒng)集成難度大。系統(tǒng)種類多、功能重合多，系統(tǒng)間數(shù)據(jù)集成共享難度大，造成了業(yè)務(wù)和數(shù)據(jù)的割裂，形成了實際上的信息孤島，有違信息化建設(shè)的初衷。建議能有系統(tǒng)建設(shè)和系統(tǒng)集成的頂層設(shè)計，形成標(biāo)準(zhǔn)規(guī)范。

第八部分 2019年重點工作

篇8

隨著網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，它必將深入到社會的各個領(lǐng)域，為人類帶來巨大的效益，但伴隨而來的是計算機網(wǎng)絡(luò)信息安全問題的不斷加劇。本文首先分析了網(wǎng)絡(luò)信息安全的現(xiàn)狀；其次，從多個方面提出了網(wǎng)絡(luò)信息安全存在的問題以及其解決辦法。

[關(guān)鍵詞]計算機 網(wǎng)絡(luò)信息 安全

[中圖分類號]TN915.08 [文獻(xiàn)標(biāo)識碼]A [文章編號]1672-5158（2013）06-0083-01

隨著計算機技術(shù)的迅速發(fā)展，對生產(chǎn)力的發(fā)展和社會變革起到了巨大的推動作用，極大的改變了傳統(tǒng)的生產(chǎn)和生活方式，同時計算機網(wǎng)絡(luò)信息安全也受到前所未有的威脅。所謂計算機網(wǎng)絡(luò)信息安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護。計算機網(wǎng)絡(luò)信息安全包括物理安全和邏輯安全兩個方面：物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護，使數(shù)據(jù)免于被破壞和丟失等；邏輯安全包括信息的完整性、保密性和可用性。本文主要從邏輯安全方面來討論計算機網(wǎng)絡(luò)信息安全的管理。

一、計算機網(wǎng)絡(luò)信息安全現(xiàn)狀

網(wǎng)絡(luò)安全是研究與計算機科學(xué)相關(guān)的安全問題，包括網(wǎng)絡(luò)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露，使得系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。計算機和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計算機和網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域。

隨著信息技術(shù)的高速發(fā)展，黑客的攻擊手段也在不斷的更新。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心在《2012年中國網(wǎng)民信息安全狀況研究報告》中指出，在總體網(wǎng)民中，有84.8%的網(wǎng)民遇到過信息安全事件，總?cè)藬?shù)為4.56億，在這些網(wǎng)民中，平均每人遇到2.4類信息安全事件。新型信息安全事件愈發(fā)嚴(yán)重，甚至超過了部分傳統(tǒng)信息安全事件?？傮w網(wǎng)民中，38.2%的網(wǎng)民遇到過“欺詐誘騙信息”，這一比例甚至比傳統(tǒng)的“中病毒或木馬”的網(wǎng)民比例高出15.1個百分點。遇到“假冒網(wǎng)站”的網(wǎng)民比例也達(dá)到了17.6%。

二、我國計算機網(wǎng)絡(luò)信息安全存在的問題

（一）計算機網(wǎng)絡(luò)系統(tǒng)本身存在的問題。由于網(wǎng)絡(luò)系統(tǒng)的脆弱性，目前計算機網(wǎng)絡(luò)系統(tǒng)安全面臨的威脅主要表現(xiàn)在三類：信息泄露、拒絕服務(wù)、信息破壞。目前，人們也開始重視來自網(wǎng)絡(luò)內(nèi)部的安全威脅。隨著Internet的發(fā)展，現(xiàn)代黑客則從以系統(tǒng)為主的攻擊轉(zhuǎn)變到以網(wǎng)絡(luò)為主的攻擊，已知白勺黑客攻擊手段多達(dá)500余種?？偠灾?，對Internet/Intranet安全構(gòu)成的威脅可以分為以下若干類型：黑客入侵、來自內(nèi)部的攻擊、計算機病毒的侵入、秘密信息的泄漏和修改網(wǎng)絡(luò)的關(guān)鍵數(shù)據(jù)等，這些都可以造成Intemet癱瘓或引起Internet商業(yè)的經(jīng)濟損失等等。

（二）除系統(tǒng)外，存在于網(wǎng)絡(luò)外部的問題。計算機網(wǎng)絡(luò)具有開放性、國際性和自由性。首先，在黑客的威脅和攻擊這一方面，黑客除了擁有極為熟悉的網(wǎng)絡(luò)知識外，還能極為熟練的運用各種計算機技術(shù)和軟件工具。其次，在計算機病毒侵害的方面，計算機病毒蔓延的速度非?？?，波及范圍特別廣，因此，它成為計算機系統(tǒng)的最大威脅。最后，在間諜軟件威脅和隱患上這一方面，間諜軟件的功能多，不僅能竊取計算機信息網(wǎng)絡(luò)系統(tǒng)存儲的各種數(shù)據(jù)信息，還能在一定程度上監(jiān)視用戶行為，修改系統(tǒng)設(shè)置，直接威脅到用戶隱私和計算機安全。并在一定程度上影響計算機系統(tǒng)工作的性能。

（三）網(wǎng)絡(luò)系統(tǒng)管理制度存在的問題。在我國計算機工業(yè)起步較晚，基礎(chǔ)薄弱，管理制度不健全，尚在摸索階段，因此在這方面也存在很多問題。首先，由于工作人員的疏忽而造成網(wǎng)絡(luò)系統(tǒng)安全受到威脅。其次，工作人員的故意泄露。在當(dāng)今社會中，一些信息工作人員經(jīng)常會為了一己之私而致客戶的信息于不顧，在對網(wǎng)絡(luò)安全破壞的同時，也使計算機的信息系統(tǒng)、數(shù)據(jù)庫內(nèi)的重要秘密泄露，對計算機的網(wǎng)絡(luò)安全問題產(chǎn)生了嚴(yán)重的威脅。

三、加強對計算機網(wǎng)絡(luò)信息安全的管理

（一）加強對網(wǎng)絡(luò)信息安全的重視，加大網(wǎng)絡(luò)安全人才培養(yǎng)力度。完善培養(yǎng)體系。一是建立并完善以高等學(xué)歷教育為主，以中等職業(yè)教育和各科認(rèn)證培訓(xùn)為輔的網(wǎng)絡(luò)安全人才培養(yǎng)體系。高職高專院校應(yīng)該根據(jù)社會需求，開設(shè)網(wǎng)絡(luò)安全專業(yè)。暫時不具備條件的院校可以有選擇地開設(shè)網(wǎng)絡(luò)安全類課程，開設(shè)網(wǎng)絡(luò)安全基礎(chǔ)與防火墻、操作系統(tǒng)安全、數(shù)據(jù)加密與PKI技術(shù)等選修課，舉辦網(wǎng)絡(luò)安全專題講座，結(jié)合培訓(xùn)、認(rèn)證機制，引進(jìn)網(wǎng)絡(luò)安全職業(yè)資格認(rèn)證（如NCSE、CISP、CIW）等多種途徑培養(yǎng)實用型人才，為我國網(wǎng)絡(luò)系統(tǒng)安全建設(shè)做出應(yīng)有的貢獻(xiàn)。其次，走市場化道路。只有適應(yīng)市場需求、被市場選擇的認(rèn)證，才是成功的認(rèn)證培訓(xùn)。政府可以在這方面加強立法，依法進(jìn)行管理，立法內(nèi)容應(yīng)該涉及到認(rèn)證培訓(xùn)的教學(xué)體系和內(nèi)容，培訓(xùn)時間和考試管理辦法，還應(yīng)該規(guī)定哪些崗位的人員必須持什么樣的證書，以及接受培訓(xùn)的人員的管理等。最后，科學(xué)設(shè)置課程。網(wǎng)絡(luò)安全課程體系應(yīng)以網(wǎng)絡(luò)安全技術(shù)為特點，全面貫徹適用性、科學(xué)性、超前性、層次性、交叉性的原則，可以引入專業(yè)資格認(rèn)證體系，實行雙證書制度，實行兩條線培養(yǎng)網(wǎng)絡(luò)安全專業(yè)人才。并且在網(wǎng)絡(luò)安全專業(yè)的課程設(shè)置方面，還要多聽取行業(yè)和企業(yè)的意見和建議。

（二）強化信息網(wǎng)絡(luò)安全保障體系建設(shè)。2012年，工信部了《互聯(lián)網(wǎng)行業(yè)“十二五”發(fā)展規(guī)劃》和《通信業(yè)“十二五”發(fā)展規(guī)劃》，提出了大力推進(jìn)國民經(jīng)濟和社會信息化的戰(zhàn)略舉措，同時，要求強化信息網(wǎng)絡(luò)安全保障體系。從信息系統(tǒng)的信息保障技術(shù)層面來說，可以分為應(yīng)用環(huán)境、應(yīng)用區(qū)域邊界、網(wǎng)絡(luò)和電信傳輸、安全管理中心以及密碼管理中心。在技術(shù)保障體系下，首先要建立國家信息安全保障基礎(chǔ)設(shè)施，其中包括：建立國家重要的信息安全管理中心和密碼管理中心；建立國家安全事件應(yīng)急響應(yīng)中心；建立數(shù)據(jù)備份和災(zāi)難恢復(fù)設(shè)施；在國家執(zhí)法部門建立高技術(shù)刑事偵察隊伍，提高對高技術(shù)犯罪的預(yù)防和偵破能力；建立國家信息安全認(rèn)證認(rèn)可機構(gòu)。目前，我們迫切需要根據(jù)國情，從安全體系整體著手，在建立全方位的防護體系的同時，完善法律體系并加強管理體系。只有這樣，才能保證國家信息化的健康發(fā)展，確保國家安全和社會穩(wěn)定。

（三）制定調(diào)整網(wǎng)絡(luò)信息安全關(guān)系的基本法。我國有關(guān)網(wǎng)絡(luò)信息安全的法律法規(guī)主要有：《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《中國公用計算機互聯(lián)網(wǎng)國際聯(lián)網(wǎng)管理辦法》等等。國家信息化領(lǐng)導(dǎo)小組在2005年制定的《國家信息化發(fā)展戰(zhàn)略（2006-2020年）》中明確要求，注重建設(shè)信息安全保障體系，實現(xiàn)信息化與信息安全協(xié)調(diào)發(fā)展。由此可見，我國也進(jìn)行了大量的網(wǎng)絡(luò)立法，但是由于缺乏有效理論指導(dǎo)，立法水平普遍較低，各部門之間職責(zé)不清，權(quán)力沖突，因此筆者建議通過一部統(tǒng)一的基本法——《網(wǎng)絡(luò)信息安全法》，調(diào)整網(wǎng)絡(luò)信息安全法律關(guān)系。逐步建立安全制度、安全標(biāo)準(zhǔn)、安全策略、安全機制等一系列配套措施，進(jìn)行全面系統(tǒng)的立法；同時，借鑒國外先進(jìn)管理經(jīng)驗，創(chuàng)新管理方法，與時俱進(jìn)地推進(jìn)網(wǎng)絡(luò)信息安全保障工作。

參考文獻(xiàn)

[1]千一男，關(guān)于計算機網(wǎng)絡(luò)安全風(fēng)險的分析與防范對策的研究[J]電腦知識與技術(shù)，2011年29期

篇9

1.1信息安全的定義

對“信息安全”可以從不同的角度來理解，因此出現(xiàn)了“計算機安全”、“網(wǎng)絡(luò)安全”、“信息內(nèi)容安全”之類的提法，也出現(xiàn)了“機密性”、“真實性”、“完整性”、“可用性”、“不可否認(rèn)性”等描述方式。國際標(biāo)準(zhǔn)化委員會給出的定義是：“為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露”。從這個定義可以看出，信息安全既包含了層面的概念，其中計算機硬件可以看作是物理層面，軟件可以看作是運行層面，再就是數(shù)據(jù)層面；同時信息安全又包含了屬性的概念，其中破壞涉及的是可用性，更改涉及的是完整性，顯露涉及的是機密性。[1]因此，高校圖書館的信息安全從層面上考慮主要是運行層和數(shù)據(jù)層的安全保護，從信息安全的屬性上考慮主要是數(shù)據(jù)的可用性和數(shù)據(jù)的完整性保護。

1.2信息安全策略

各計算機網(wǎng)絡(luò)使用機構(gòu)應(yīng)建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法，建設(shè)合適的網(wǎng)絡(luò)安全管理體系，加強內(nèi)部管理、監(jiān)督和落實，才能降低信息安全風(fēng)險。（2）先進(jìn)的信息安全技術(shù)是實現(xiàn)信息安全的重要手段。用戶對自身面臨的威脅進(jìn)行風(fēng)險評估，決定其所需要的安全服務(wù)種類，選擇相應(yīng)的安全機制，然后集成先進(jìn)的安全技術(shù)，形成一個全方位的安全系統(tǒng)。（3）完善信息安全道德教育和嚴(yán)格的懲罰措施是抑制信息安全事件的有效工具。高校圖書館的網(wǎng)絡(luò)信息服務(wù)對象主要是教師和在校學(xué)生，網(wǎng)絡(luò)攻擊工具的泛濫和學(xué)生的好奇心理、冒險心理、僥幸心理是造成高校圖書館信息安全破壞的重要因素，內(nèi)部的攻擊往往最難于控制和預(yù)防。

2影響圖書館網(wǎng)絡(luò)信息安全的主要因素

2.1計算機病毒的入侵

計算機病毒的傳播速度快一旦病毒發(fā)作,它將影響服務(wù)器性能、破壞數(shù)據(jù)和刪除文件,還能損壞硬件,導(dǎo)致圖書館的網(wǎng)絡(luò)系統(tǒng)癱瘓,網(wǎng)絡(luò)信息服務(wù)無法開展,甚至有些圖書館的數(shù)據(jù)全部丟失,造成不可彌補的巨大損失。[3]

2.2網(wǎng)絡(luò)黑客非法攻擊

黑客攻擊比病毒更具目的性。對于圖書館網(wǎng)絡(luò)來說,黑客的危害主要有竊取數(shù)據(jù)、惡意破壞、非法使用網(wǎng)絡(luò)資源。黑客一般采取的攻擊方法有獲取口令、放置特洛伊木馬程序、電子郵件攻擊、尋找系統(tǒng)漏洞、偷取特權(quán)等。利用各種特洛伊木馬程序、后門程序和黑客自己編寫的導(dǎo)致緩沖區(qū)溢出的程序進(jìn)行攻擊,前者可使黑客非法獲得對用戶機器的完全控制權(quán),后者可使黑客獲得超級用戶的權(quán)限,從而擁有對整個網(wǎng)絡(luò)的絕對控制權(quán)。這種攻擊手段一旦奏效,危害性極大。[4]

2.3內(nèi)部人員安全意識薄弱

一方面，用戶安全意識不強,沒有系統(tǒng)防護意識。往往為了方便記憶常將開機口令設(shè)置的過于簡單,而且有時會相互冒用認(rèn)證密碼,隨意使用來歷不明的工具軟件、黑客軟件、存儲介質(zhì),造成系統(tǒng)感染病毒。另一方面，內(nèi)部工作人員操作失誤或有意破壞系統(tǒng),也會對圖書館的網(wǎng)絡(luò)信息安全造成極大的危害。

3圖書館網(wǎng)絡(luò)信息安全對策

3.1強化安全意識

對圖書館工作進(jìn)行保密教育和法律保護安全意識是圖書館系統(tǒng)安全的基礎(chǔ)，圖書館網(wǎng)絡(luò)系統(tǒng)平時出現(xiàn)的這樣那樣的安全問題大部分都是由于圖書館工作人員的安全意識不強造成的。因此應(yīng)結(jié)合機房、硬件、軟件和網(wǎng)絡(luò)、操作等各個方面的安全問題，對工作人員進(jìn)行教育，提高其保密觀念及責(zé)任心;加強業(yè)務(wù)、技術(shù)的培訓(xùn)，提高操作技能;教育工作人員嚴(yán)格遵守操作規(guī)程和各項圖書館保密制度，不斷提高法律觀念;了解國家頒布的相應(yīng)法律、法規(guī)，以保證網(wǎng)絡(luò)安全。[5]

3.2引進(jìn)先進(jìn)技術(shù)

為圖書館網(wǎng)絡(luò)安全與保密提供根本保證高新技術(shù)不斷創(chuàng)新、發(fā)展，各種網(wǎng)絡(luò)安全系統(tǒng)應(yīng)運而生，只要圖書館各級領(lǐng)導(dǎo)能夠重視起來，利用科學(xué)的技術(shù),那么圖書館網(wǎng)絡(luò)系統(tǒng)的安全問題就能夠基本解決。第一，利用安全檢測與評估系統(tǒng)，對圖書館網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測。不但在入網(wǎng)前將不符合要求的設(shè)備或系統(tǒng)拒之門外，而且在實際運行過程中也要進(jìn)行各種自動監(jiān)測與維護。第二，利用加密系統(tǒng)來控制非法訪問與數(shù)據(jù)資源的保護。對用戶進(jìn)行分類和標(biāo)識，使數(shù)據(jù)的存取受到限制和控制。如當(dāng)一主體試圖非法使用一個未經(jīng)授權(quán)的資源時，加密系統(tǒng)將拒絕這一訪問機制，并將這一事件報告給審計跟蹤系統(tǒng)，審計跟蹤系統(tǒng)再給出報警并記入日志檔案，以備管理人員檢查。第三，利用先進(jìn)的硬件、軟件系統(tǒng)，避免各種已出現(xiàn)的漏洞。[6]我國圖書館研制、開發(fā)的各種硬件、軟件系統(tǒng)最初都沒有考慮安全問題，只是在使用運行過程中或者通過黑客的入侵，逐漸發(fā)現(xiàn)其漏洞、錯誤，這樣，開發(fā)商就會逐步改進(jìn)、完善并研制出更新更強的系統(tǒng)。

3.3制定嚴(yán)格的安全管理措施

為圖書館網(wǎng)絡(luò)系統(tǒng)安全提供可靠的依據(jù)圖書館網(wǎng)絡(luò)信息的安全管理可分為技術(shù)管理和行政管理兩個方面。技術(shù)管理前面我們已談到利用先進(jìn)的技術(shù)對系統(tǒng)進(jìn)行安全檢測與保密、密鑰等管理，這里主要談?wù)勑姓芾?，它包括安全組織機構(gòu)、責(zé)任和監(jiān)督、業(yè)務(wù)運行安全和規(guī)章制度、人事安全管理、教育和獎懲、應(yīng)急計劃和措施等。

4結(jié)束語

篇10

【關(guān)鍵詞】通信運營企業(yè)客戶信息安全安全域SOC

一、電信運營商客戶信息安全現(xiàn)狀

目前電信運營商對信息系統(tǒng)依賴性日益增強，而掃描探測、DDOS等攻擊數(shù)量急劇上升，漏洞利用的速度縮小到了天。但是作為電信運營商，由于網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，導(dǎo)致系統(tǒng)管理維護困難。一般會有網(wǎng)管網(wǎng)、計費網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)接口、新業(yè)務(wù)、地市公司等多張網(wǎng)，安全防護困難。

同時在運營商中也發(fā)生過一些客戶信息泄密的案例，“3.15”晚會也曝光過一些。電信運營商的客戶資料、充值卡、財務(wù)報表、發(fā)展計劃等商業(yè)機密的實際價值遠(yuǎn)遠(yuǎn)超過了固定的有形資產(chǎn)。

因此電信運營商如何保證客戶信息安全，成為了重要課題。

二、客戶信息安全體系

客戶信息生命周期包括了信息的產(chǎn)生、傳輸、存儲、處理、銷毀，因此我們在設(shè)計安全體系時，要按照“堅持積極防御、綜合防范的方針”，將安全組織、策略和運作流程等管理手段和安全技術(shù)緊密結(jié)合。

下面參考信息安全保障體系框架IATF和BS7799，以項目中的實踐來分別說明：

人是信息體系的主體，包括管理者、維護人員、使用者、第三方。電信運營商應(yīng)該建立安全領(lǐng)導(dǎo)小組，專門的安全管理員、安全顧問、安全審計員。

制定信息安全責(zé)任矩陣，組織范圍內(nèi)的信息安全落實到人，尤其外包的安全，第三方必須簽定保密協(xié)議。離職或調(diào)動時，必須清理信息系統(tǒng)賬號，避免用戶權(quán)限只有增加沒有減少。

資產(chǎn)進(jìn)行分類與控制，梳理客戶信息相關(guān)的資產(chǎn)，標(biāo)明重要性等級以及制定相應(yīng)管理辦法。如客戶資料、充值卡等就是重要信息，必須重點防護。

制定完善的維護作業(yè)計劃，對設(shè)備性能、安全狀況進(jìn)行監(jiān)控，分清日、月、年不同層次的維護內(nèi)容，包括電源、主機、中間件、數(shù)據(jù)庫、應(yīng)用、安全事件、備份、調(diào)優(yōu)等。

定期進(jìn)行安全評估和加固，減少系統(tǒng)風(fēng)險，可以找專業(yè)的安全廠商進(jìn)行滲透測試。設(shè)定各系統(tǒng)的安全基線，保證系統(tǒng)必須達(dá)到的最基本的安全配置要求。如果某臺服務(wù)器上突然多了一個來歷不明的進(jìn)程，就有必要檢查是否有安全風(fēng)險。

業(yè)務(wù)過程中可以通過金庫模式等加強業(yè)務(wù)過程中的安全管控，即關(guān)鍵業(yè)務(wù)需第二個人授權(quán)之后才能夠操作，通過多人的相互監(jiān)督進(jìn)行制約，如批量查詢客戶資料、詳單時。同時定期進(jìn)行日志稽核，進(jìn)行事后的控制。所有的業(yè)務(wù)操作有相應(yīng)的工單、審批單、業(yè)務(wù)受理單，如果沒有這樣的工單，則可以認(rèn)為操作是不合規(guī)的。

在信息系統(tǒng)生命周期過程中，要全面審查信息系統(tǒng)的設(shè)計、操作、使用和管理是否符合組織安全政策和標(biāo)準(zhǔn)。系統(tǒng)開發(fā)和建設(shè)過程中，就要明確系統(tǒng)的安全要求，確保安全機制被內(nèi)建于信息系統(tǒng)內(nèi)；控制應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)中存在的后門、孤立網(wǎng)頁造成用戶數(shù)據(jù)的丟失、被修改或誤用。上線前及早進(jìn)行安全評估和掃描，提前發(fā)現(xiàn)漏洞。注意不要隨便使用真實敏感數(shù)據(jù)，測試數(shù)據(jù)的清理、保護。

三、客戶信息安全工程建設(shè)過程

客戶信息安全建設(shè)過程中應(yīng)注意業(yè)務(wù)可用與安全性平衡原則，采用統(tǒng)籌規(guī)劃、分步實施的方法。