導(dǎo)語：如何才能寫好一篇信息安全方針，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【 關(guān)鍵詞 】 網(wǎng)站；安全；應(yīng)急；機(jī)制

Research About the Information Security Protection and Emergency Response Mechanism

in Anhui Earthquake administration Website

Chen Liang

（Anhui Earthquake Administration HefeiAnhui 230031）

【 Abstract 】 With the increasing application of computers and websites，the safety of websites becomes more and more important. This paper discussed the the website features and potential safety hazard，constructed a integrated website security protection system. Finally，it designed the emergency response mechanism procedure.

【 Keywords 】 website； security； emergency response； mechanism

1 前言

安徽省防震減災(zāi)信息網(wǎng)（以下簡(jiǎn)稱“網(wǎng)站”）是安徽省地震局實(shí)現(xiàn)政務(wù)信息公開，服務(wù)社會(huì)公眾和穩(wěn)定社會(huì)秩序的重要渠道，網(wǎng)站的信息具有高度的權(quán)威性和嚴(yán)肅性。而地震行業(yè)的敏感及特殊性決定了防震減災(zāi)信息網(wǎng)可能遭遇的突發(fā)事件龐雜、不可預(yù)測(cè)，如網(wǎng)站非法言論、感染病毒、網(wǎng)絡(luò)中斷、并發(fā)訪問堵塞、網(wǎng)站攻擊篡改等，其中后兩種突發(fā)事件造成的社會(huì)影響更加惡劣，應(yīng)對(duì)能力的提高是解決問題的關(guān)鍵。

2008年5月12日汶川8.0級(jí)強(qiáng)震、2009年4月6日肥東3.5級(jí)地震發(fā)生后，網(wǎng)站訪問量驟然增加，網(wǎng)絡(luò)堵塞嚴(yán)重，信息部門緊急調(diào)配高性能服務(wù)器，將門戶網(wǎng)站轉(zhuǎn)移以便緩解。之后經(jīng)聯(lián)系，省電信部門決定短期援助互聯(lián)網(wǎng)出口帶寬由10M升級(jí)至100M。近年來全球地震頻發(fā)，社會(huì)公眾關(guān)注度逐漸加深，對(duì)地震信息的需求越來越高，網(wǎng)站的正常運(yùn)行和訪問、信息的即時(shí)都需要應(yīng)急體系的支撐。

在網(wǎng)絡(luò)攻擊愈演愈烈的大環(huán)境下，政府門戶網(wǎng)站遭受攻擊的幾率越來越高。2008年5月31日、6月1日和6月2日，廣西防震減災(zāi)網(wǎng)被黑客工具多次侵入，網(wǎng)站內(nèi)容被惡意篡改，服務(wù)器全部數(shù)據(jù)被徹底刪除，網(wǎng)站癱瘓。時(shí)值汶川震后敏感時(shí)期，犯罪分子的地震謠言制造了社會(huì)恐慌，嚴(yán)重?cái)_亂了社會(huì)秩序，危害了社會(huì)穩(wěn)定。前車之鑒，嚴(yán)峻的現(xiàn)實(shí)表明，我局要高度關(guān)注網(wǎng)站的安全運(yùn)行。

隨著網(wǎng)站的深入應(yīng)用，網(wǎng)站的安全性問題也越來越得到人們的重視。國(guó)家及各級(jí)政府部門相繼出臺(tái)了一系列法律法規(guī)、文件精神，從政策角度對(duì)網(wǎng)絡(luò)信息安全進(jìn)行規(guī)范和部署，確保政府網(wǎng)站的安全運(yùn)行，各行業(yè)部門對(duì)本行業(yè)所可能產(chǎn)生的安全事件及相應(yīng)的解決措施進(jìn)行研究，并據(jù)此制定了本部門相應(yīng)的網(wǎng)站信息安全應(yīng)急預(yù)案。2010年1月12日百度公司網(wǎng)站突然無法訪問使得網(wǎng)絡(luò)安全問題引起了社會(huì)各界的廣泛關(guān)注，安徽省信息化主管部門省經(jīng)濟(jì)和信息化工作委員會(huì)通過此事件清醒地認(rèn)識(shí)到信息安全的極端重要性，已出臺(tái)《安徽省網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》，全力保障我省網(wǎng)絡(luò)信息安全。

綜上所述，為妥善應(yīng)對(duì)和處置各種網(wǎng)站安全突發(fā)事件，確保網(wǎng)站和重要信息系統(tǒng)的安全可靠運(yùn)行，研究網(wǎng)站應(yīng)急響應(yīng)機(jī)制，在此基礎(chǔ)上建立一套行之有效滿足安徽省防震減災(zāi)信息網(wǎng)網(wǎng)站需求的應(yīng)急預(yù)案是必不可少的措施之一。

2 網(wǎng)站特征及存在的問題

2.1 版塊多，更新不易

目前，網(wǎng)站新版本已上線運(yùn)行。新網(wǎng)站采用PHP腳本語言編寫，數(shù)據(jù)庫使用My SQL進(jìn)行管理。涉及頁面數(shù)量多，版塊塊類型豐富，不僅有震情、省局動(dòng)態(tài)、直屬單位動(dòng)態(tài)、市縣機(jī)構(gòu)動(dòng)態(tài)、行業(yè)動(dòng)態(tài)、綜合減災(zāi)等需每日更新的版塊，還包括監(jiān)測(cè)預(yù)報(bào)、震災(zāi)預(yù)防、應(yīng)急救援、群團(tuán)組織等需定期更新的業(yè)務(wù)版塊。有的信息需從后臺(tái)直接上傳，有的則需要進(jìn)行網(wǎng)頁的編輯更新，豐富的內(nèi)容需要組織較多人力進(jìn)行更新。

2.2 部門多，協(xié)調(diào)不易

網(wǎng)站的管理主要包括網(wǎng)站信息、網(wǎng)站應(yīng)用程序開發(fā)、功能升級(jí)、服務(wù)器運(yùn)行和安全維護(hù)等工作。一般情況下，日常更新版塊由省局及市縣各所屬部門指定專人通過網(wǎng)站后臺(tái)上傳，辦公室進(jìn)行審核后；定期更新版塊由各所屬部門提供審核后的信息由局網(wǎng)站技術(shù)人員上傳。網(wǎng)站應(yīng)用程序開發(fā)、功能升級(jí)、服務(wù)器運(yùn)行和安全維護(hù)則有局網(wǎng)站技術(shù)人員負(fù)責(zé)。參與網(wǎng)站管理的部門較多，需要完善的網(wǎng)站管理制度來進(jìn)行管理協(xié)調(diào)工作。

2.3 內(nèi)容多，備份不易

隨著網(wǎng)站版塊的增加和運(yùn)行時(shí)間的延續(xù)，網(wǎng)站容量不斷加大，不能及時(shí)清理的垃圾文件也隨之增多。我局網(wǎng)站容量逐年增加，并還將有上漲的趨勢(shì)。如果今后沒有專門的設(shè)備和技術(shù)，網(wǎng)站的集中備份難度將很大。

2.4 人員多，管理不易

參與網(wǎng)站管理人員不僅包括省局各部門，還包括了大量市縣局、臺(tái)站的工作人員，變化快，網(wǎng)絡(luò)知識(shí)不足，很多管理人員會(huì)辦公自動(dòng)化軟件的操作，但是普遍缺少網(wǎng)絡(luò)安全知識(shí)和安全技術(shù)，安全意識(shí)淡薄。

3 可能存在的網(wǎng)站安全隱患

3.1 客觀因素

（1）病毒。目前網(wǎng)站安全的頭號(hào)大敵是計(jì)算機(jī)病毒，它是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)軟、硬件的正常運(yùn)行并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點(diǎn)。

（2）軟件漏洞。每一個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計(jì)算機(jī)處于危險(xiǎn)的境地，一旦連接入網(wǎng)，將成為眾矢之的。

（3）黑客。電腦黑客利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng)，危害非常大。從某種意義上講，黑客對(duì)信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。

3.2 人為因素

（1）安全意識(shí)不強(qiáng)。網(wǎng)站管理人員不在崗，用戶口令選擇不慎，將自己的賬號(hào)隨意轉(zhuǎn)借給他人或與別人共享等都會(huì)對(duì)網(wǎng)站安全帶來威脅。

（2）網(wǎng)站后臺(tái)配置不當(dāng)。安全配置不當(dāng)造成安全漏洞。例如防火墻軟件的配置不正確。對(duì)特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動(dòng)時(shí)，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用軟件也會(huì)被啟用。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置。否則，安全隱患始終存在。

4 網(wǎng)站信息安全防護(hù)體系建設(shè)

4.1 防護(hù)體系設(shè)計(jì)

中科院劉寶旭等設(shè)計(jì)了一個(gè)基于模型的網(wǎng)絡(luò)安全綜合防護(hù)系統(tǒng)（PERR），該模型由防護(hù)（Protection）、預(yù)警檢測(cè)（Early warning & Detection）、響應(yīng)（Response）、恢復(fù)（Recovery）四個(gè)部分構(gòu)成一個(gè)動(dòng)態(tài)的信息安全周期，同樣可以適用于我局網(wǎng)站信息安全的防護(hù)與應(yīng)急工作。

4.2 防護(hù)體系建設(shè)

4.2.1安全防護(hù)中心

網(wǎng)站目前安全防護(hù)主要采用硬件防火墻、Webgard軟件防火墻、瑞星殺毒、清除木馬、360安全衛(wèi)士及系統(tǒng)安全設(shè)置來進(jìn)行日常的防護(hù)。

安全防護(hù)中心的主要職能是通過安全產(chǎn)品、技術(shù)、制度等手段，達(dá)到提高被保護(hù)網(wǎng)絡(luò)信息系統(tǒng)對(duì)安全威脅的防御能力和抗攻擊能力，同時(shí)，加強(qiáng)管理人員對(duì)信息系統(tǒng)的安全控管能力。其建設(shè)可從安全加固和安全管理兩個(gè)角度來考慮。通過對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的調(diào)整、系統(tǒng)配置的優(yōu)化，并部署入侵檢測(cè)、防病毒、反垃圾郵件、身份認(rèn)證、數(shù)據(jù)加密等安全產(chǎn)品和系統(tǒng)進(jìn)行安全加固；通過制定管理制度進(jìn)行安全管理，使用安全管理平臺(tái)等技術(shù)手段，統(tǒng)一配置管理系統(tǒng)中的主機(jī)、網(wǎng)絡(luò)設(shè)備及安全設(shè)備，增強(qiáng)監(jiān)控能力，使其運(yùn)轉(zhuǎn)更為協(xié)調(diào)，最大程度地發(fā)揮安全防護(hù)效能。

4.2.2安全預(yù)警檢測(cè)中心

網(wǎng)站目前安全檢測(cè)主要采用IDS（Intrusion Detection Systems ）入侵檢測(cè)、防病毒熊貓網(wǎng)關(guān)、防火墻等來進(jìn)行安全預(yù)警檢測(cè)。

安全預(yù)警中心的主要職能：（1）預(yù)警，可通過漏洞掃描、網(wǎng)絡(luò)異常監(jiān)控、日志分析、問題主機(jī)發(fā)現(xiàn)等技術(shù)手段以及評(píng)估、審計(jì)等安全服務(wù)來實(shí)現(xiàn)；（2）檢測(cè)，可使用入侵檢測(cè)、病毒檢測(cè)（防病毒墻）等工具和異常流量、異常網(wǎng)絡(luò)行為發(fā)現(xiàn)等手段和工具。

4.2.3應(yīng)急響應(yīng)中心

安全問題發(fā)生時(shí)需要盡快響應(yīng)，以阻止攻擊行為的進(jìn)一步破壞。所以需要建立一個(gè)完善的的應(yīng)急響應(yīng)中心，對(duì)安全事件、行為、過程及時(shí)做出響應(yīng)和處理，對(duì)可能發(fā)生的入侵行為進(jìn)行限制，杜絕危害的進(jìn)一步蔓延擴(kuò)大，最大程度降低其造成的影響，避免出現(xiàn)業(yè)務(wù)中斷等安全事故。

應(yīng)急響應(yīng)中心處理的手段包括阻斷、隔離、轉(zhuǎn)移、取證、分析、系統(tǒng)恢復(fù)、手工加固、跟蹤攻擊源甚至實(shí)施反擊等?？赏ㄟ^制定應(yīng)急響應(yīng)制度、規(guī)范操作流程，并輔以緊急響應(yīng)工具和服務(wù)來實(shí)現(xiàn)。

4.2.4災(zāi)備恢復(fù)中心

網(wǎng)站災(zāi)備恢復(fù)目前主要采取人工定期備份的方式。災(zāi)備恢復(fù)中心建設(shè)主要通過冗余備份等方式，確保在被保護(hù)網(wǎng)絡(luò)信息系統(tǒng)發(fā)生了意想不到的安全事故之后，被破壞的業(yè)務(wù)系統(tǒng)和關(guān)鍵數(shù)據(jù)能夠迅速得到恢復(fù)，從而達(dá)到降低網(wǎng)絡(luò)信息系統(tǒng)遭受災(zāi)難性破壞的風(fēng)險(xiǎn)的目的。備份包括本地、異地、冷備、熱備等多種方式，按照不同備份策略，利用不同設(shè)備和技術(shù)手段來實(shí)現(xiàn)。

5 應(yīng)急預(yù)案規(guī)劃設(shè)計(jì)

5.1 應(yīng)急隊(duì)伍建設(shè)

組建一支專業(yè)化程度較高、技術(shù)一流的信息安全技術(shù)服務(wù)隊(duì)伍是網(wǎng)站信息安全應(yīng)急預(yù)案規(guī)劃設(shè)計(jì)的人員保障。為保證應(yīng)急情況下應(yīng)急機(jī)制的迅速啟動(dòng)和指揮順暢，應(yīng)急組織應(yīng)設(shè)立領(lǐng)導(dǎo)組和技術(shù)組。

領(lǐng)導(dǎo)組主要職責(zé)包括：（1）研究布置應(yīng)急行動(dòng)有關(guān)具體事宜；（2）應(yīng)急行動(dòng)期間的總體組織指揮；（3）向上級(jí)匯報(bào)應(yīng)急行動(dòng)的進(jìn)展情況和向有關(guān)部門通報(bào)相關(guān)情況；（4）負(fù)責(zé)與有關(guān)部門進(jìn)行重大事項(xiàng)的工作協(xié)調(diào)；（5）負(fù)責(zé)應(yīng)急行動(dòng)其它的有關(guān)組織領(lǐng)導(dǎo)工作。

技術(shù)組主要職責(zé)包括：（1）執(zhí)行領(lǐng)導(dǎo)組下達(dá)的應(yīng)急指令；（2）負(fù)責(zé)應(yīng)急行動(dòng)物資器材的準(zhǔn)備；（3）負(fù)責(zé)處理現(xiàn)場(chǎng)一切故障現(xiàn)象；（4）隨時(shí)向領(lǐng)導(dǎo)小組匯報(bào)應(yīng)急工作的進(jìn)展情況；（5）負(fù)責(zé)聯(lián)系相關(guān)廠商和技術(shù)人員，獲取技術(shù)支持。

5.2 應(yīng)急標(biāo)準(zhǔn)

研究網(wǎng)站安全隱患，結(jié)合我局網(wǎng)站管理現(xiàn)狀，確立應(yīng)急標(biāo)準(zhǔn)：（1）網(wǎng)站、網(wǎng)頁出現(xiàn)非法言論；（2）黑客攻擊、網(wǎng)頁被篡改；（3）突發(fā)事件發(fā)生后大量并發(fā)訪問；（4）軟件系統(tǒng)遭受破壞性攻擊；（5）設(shè)備安全故障；（6）數(shù)據(jù)庫安全受侵害；（7）感染病毒。

5.3 應(yīng)急流程圖設(shè)計(jì)

如圖2所示。

6 結(jié)束語

網(wǎng)站信息安全防護(hù)與應(yīng)急是一項(xiàng)綜合性和專業(yè)化程度較高的安全技術(shù)服務(wù)措施，制度建設(shè)是基礎(chǔ)，隊(duì)伍建設(shè)是保證，技術(shù)手段是根本。網(wǎng)站安全隱患和安全時(shí)間是所有網(wǎng)站管理人員不想遇到但又不可避免的事件，只有通過加強(qiáng)日常的管理和維護(hù)，不斷完善防護(hù)與應(yīng)急機(jī)制，提高技術(shù)水平和工作的責(zé)任心，才可以有效抑制網(wǎng)站安全事件的發(fā)生，保障網(wǎng)站的安全正常運(yùn)行。

參考文獻(xiàn)

[1] 劉寶旭，陳秦偉，池亞平等.基于模型的網(wǎng)絡(luò)安全綜合防護(hù)系統(tǒng)研究[J].計(jì)算機(jī)工程，2007，33（12）：151～153.

[2] 張帆，劉智.網(wǎng)站安全事件的應(yīng)急響應(yīng)措施討論[J].黃石理工學(xué)院學(xué)報(bào)，2008，24（2）：38～40.

[3] 陳勝權(quán).基于USB Key的政府門戶網(wǎng)站保護(hù)方案[J].信息安全與通信保密，2007（11）：36～39.

[4] 張薇.論政府門戶網(wǎng)站安全保障體系建設(shè)[J].黑龍江科技信息，2008年（21）：66～66.

[5] 劉少英.防病毒策略在政府門戶網(wǎng)站中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2003（5）：20.

[6] 楊莉.政府網(wǎng)站的安全性問題研究[J].科技管理研究，2001（6）：77～79.

[7] 曹颯.信息整合是地震政務(wù)網(wǎng)站建設(shè)的基礎(chǔ)和關(guān)鍵[J].國(guó)際地震動(dòng)態(tài)，2008，1（1）：34～38.

[8] 陳錦華.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急響應(yīng)研究[J].計(jì)算機(jī)安全，2007（12）：50～52.

基金項(xiàng)目：

安徽省地震局2010年科研合同制課題項(xiàng)目（201041）。

篇2

關(guān)鍵詞：網(wǎng)絡(luò)環(huán)境 企業(yè)信息 安全管理

引言

隨著社會(huì)的發(fā)展，企業(yè)對(duì)信息資源的依賴程度來越大，由此帶來的信息安全問題也日益突出。生產(chǎn)中的業(yè)務(wù)數(shù)據(jù)、管理中的重要信息，如果企業(yè)自身的信息安全管理有重大疏漏，也無法保證數(shù)據(jù)的安全可靠。當(dāng)前，企業(yè)在黑客病毒日益猖撅的網(wǎng)絡(luò)環(huán)境下不僅要保護(hù)自身信息的安全，還要保護(hù)業(yè)務(wù)數(shù)據(jù)的信息安全，因此有必要從體系管理的高度構(gòu)建企業(yè)信息安全。

一、企業(yè)信息安全的二維性

當(dāng)前，企業(yè)信息安全已涉及到與信息相關(guān)的各方面。企業(yè)信息安全不僅要考慮信息本身，還需要考慮信息依附的信息載體（包括物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)，例如PC機(jī)、服務(wù)器等）的安全以及信息運(yùn)轉(zhuǎn)所處環(huán)境（包括硬環(huán)境和軟環(huán)境，例如員工素質(zhì)、室內(nèi)溫度等）的安全。資產(chǎn)如果不對(duì)影響信息安全的各個(gè)角度進(jìn)行全面的綜合分析，則難以實(shí)現(xiàn)企業(yè)信息安全。因此，需要從企業(yè)信息安全的總體大局出發(fā)，樹立企業(yè)信息安全的多維性，綜合考慮企業(yè)信息安全的各個(gè)環(huán)節(jié)，揚(yáng)長(zhǎng)避短，采取多種措施共同維護(hù)企業(yè)信息安全。

1、技術(shù)維：技術(shù)發(fā)展是推動(dòng)信息社會(huì)化的主要?jiǎng)恿?，企業(yè)通常需要借助于一項(xiàng)或多項(xiàng)技術(shù)才能充分利用信息，使信息收益最大化。然而，信息技術(shù)的使用具有雙面性，人們既可以利用技術(shù)手段如電子郵件等迅速把信息發(fā)送出去，惡意者也可由此截獲信息內(nèi)容。為確保企業(yè)信息安全，必須合理的使用信息技術(shù)，因此，技術(shù)安全是實(shí)現(xiàn)企業(yè)信息安全的核心。

1）惡意代碼和未授權(quán)移動(dòng)代碼的防范和檢測(cè)。網(wǎng)絡(luò)世界上存在著成千上萬的惡意代碼（如計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬和邏輯炸彈等）和未授權(quán)的移動(dòng)代碼（如Javaseript腳本、Java小程序等）。這些代碼會(huì)給計(jì)算機(jī)等信息基礎(chǔ)設(shè)施及信息本身造成損害，需要加以防范和檢測(cè)。

2）信息備份。內(nèi)在的軟硬件產(chǎn)品目前還不能確保完全可靠，還存在著各種各樣的問題。外在的惡意代碼和未授權(quán)移動(dòng)代碼的攻擊，也會(huì)造成應(yīng)用信息系統(tǒng)的癱瘓。為確保信息的不丟失，有必要采取技術(shù)備份手段，定期備份。

3）訪問權(quán)限。不同的信息及其應(yīng)用信息系統(tǒng)應(yīng)有不同的訪問權(quán)限，低級(jí)別角色不應(yīng)能訪問高級(jí)別的信息及應(yīng)用信息系統(tǒng)。為此，可通過技術(shù)手段設(shè)定信息的訪問權(quán)限，限制用戶的訪問范圍。

4）網(wǎng)絡(luò)訪問。當(dāng)今，一個(gè)離開網(wǎng)絡(luò)的企業(yè)難以成功運(yùn)轉(zhuǎn)，員工通常需要從網(wǎng)絡(luò)中獲取各種信息。然而，網(wǎng)絡(luò)的暢通也給惡意者提供了訪問企業(yè)內(nèi)部信息的渠道。為此，有必要采用網(wǎng)絡(luò)防火墻技術(shù)，控制內(nèi)部和外部網(wǎng)絡(luò)的訪問。

2、管理維：企業(yè)信息安全不但需要依靠技術(shù)安全，而且與管理安全也息息相關(guān)。沒有管理安全，技術(shù)安全是難以在企業(yè)中真正貫徹落實(shí)的。管理安全在企業(yè)中的實(shí)施是企業(yè)信息得以安全的關(guān)鍵。企業(yè)應(yīng)建立健全相應(yīng)的信息安全管理辦法，加強(qiáng)內(nèi)部和外部的安全管理、安全審計(jì)和信息跟蹤體系，提高整體信息安全意識(shí)，把管理安全落到實(shí)處。

l）信息安全方針和信息安全政策的制定。信息安全方針和信息安全政策體現(xiàn)了管理者的信息安全意圖，管理者應(yīng)適時(shí)對(duì)信息安全方針評(píng)審，以確保信息安全方針政策的適宜性、充分性和有效性。

2）構(gòu)建信息安全組織架構(gòu)。為在企業(yè)內(nèi)貫徹既定的信息安全方針和政策，確保整個(gè)企業(yè)信息安全控制措施的實(shí)施和協(xié)調(diào)，以及外部人員訪問企業(yè)信息和信息處理設(shè)施的安全，需要構(gòu)建有效的信息安全組織架構(gòu)。

二、企業(yè)信息安全構(gòu)建原則

企業(yè)信息安全構(gòu)建原則為確保企業(yè)信息的可用性、完整性和機(jī)密性，企業(yè)在日常運(yùn)作時(shí)須遵守以下原則。

l）權(quán)限最小化。受保護(hù)的企業(yè)信息只能在限定范圍內(nèi)共享。員工僅被授予為順利履行工作職責(zé)而能訪問敏感信息的適當(dāng)權(quán)限。對(duì)企業(yè)敏感信息的獲知人員應(yīng)加以限制，僅對(duì)有工作需要的人員采取限制性開放。最小化原則又可細(xì)分為知所必須和用所必須的原則，即給予員工的讀權(quán)限只限于員工為順利完成工作必須獲的信息內(nèi)容，給予員工的寫權(quán)限只限于員工所能夠表述的內(nèi)容。

2）分權(quán)制衡。對(duì)涉及到企業(yè)信息安全各維度的使用權(quán)限適當(dāng)?shù)貏澐?，使每個(gè)授權(quán)主體只能擁有其中的部分權(quán)限，共同保證信息系統(tǒng)的安全。如果授權(quán)主體分配的權(quán)限過大，則難以對(duì)其進(jìn)行監(jiān)督和制約，會(huì)存在較大的信息安全風(fēng)險(xiǎn)。因此，在授權(quán)時(shí)要采取三權(quán)分立的原則，使各授權(quán)主體間相互制約、相互監(jiān)督，通過分權(quán)制衡確保企業(yè)信息安全。例如網(wǎng)絡(luò)管理員、系統(tǒng)管理員和日志審核員就不應(yīng)被授予同一員工。

三、企業(yè)信息安全管理體系的構(gòu)建

信息安全管理體系模型企業(yè)信息安全管理體系的構(gòu)建要統(tǒng)籌考慮多方面因素，勿留短板。安全技術(shù)是構(gòu)建信息安全的基礎(chǔ)，員工的安全意識(shí)和企業(yè)資源的充分提供是有效保證安全體系正常運(yùn)作的關(guān)鍵，安全管理則是安全技術(shù)和安全意識(shí)恒久長(zhǎng)效的保障，三者缺一不可。因此，在構(gòu)建企業(yè)信息安全管理體系時(shí)，要全面考慮各個(gè)維度的安全，做好各方面的平衡，各部門互相配合，共同打造企業(yè)信息安全管理平臺(tái)?？茖W(xué)的安全管理體系應(yīng)該包括以下主要環(huán)節(jié)：制定反映企業(yè)特色的安全方針、構(gòu)建強(qiáng)健有力的信息安全組織機(jī)構(gòu)、依法行事、選擇穩(wěn)定可靠的安全技術(shù)和安全產(chǎn)品、設(shè)計(jì)完善的安全評(píng)估標(biāo)準(zhǔn)、樹立.員工的安全意識(shí)和營(yíng)造良好的信息安全文化氛圍等。因此，為了使企業(yè)構(gòu)建的信息安全管理體系能適應(yīng)不斷變化的風(fēng)險(xiǎn)，必須要以構(gòu)建、執(zhí)行、評(píng)估、改進(jìn)、再構(gòu)建的方式持續(xù)地進(jìn)行，構(gòu)成一個(gè)P（計(jì)劃）、D（執(zhí)行）、C（檢查）、A（改進(jìn)）反饋循環(huán)鏈以使構(gòu)建的企業(yè)信息安全管理體系不斷地根據(jù)新的風(fēng)險(xiǎn)做出合理調(diào)整。

四、結(jié)論

信息安全管理體系的構(gòu)建對(duì)企業(yè)高效運(yùn)行具有重要意義。只有全面分析影響企業(yè)信息安全的各種來源后才能構(gòu)建良好的企業(yè)信息安全管理體系。從大量的企業(yè)案例來看，技術(shù)、管理和資源是影響企業(yè)信息安全的3個(gè)角度。為此，應(yīng)從技術(shù)、管理和資源出發(fā)考慮信息安全管理體系的構(gòu)建原則和企業(yè)信息安全管理體系應(yīng)滿足的基本要求。同時(shí)，也應(yīng)注意到，信息安全管理體系的構(gòu)建不是一勞永逸而是不斷改進(jìn)的，企業(yè)的信息安全管理體系應(yīng)遵從PDCA的過程方法論持續(xù)改進(jìn)，才能確保企業(yè)信息的安全長(zhǎng)效。

參考文獻(xiàn)：

篇3

【關(guān)鍵詞】 等級(jí)保護(hù) 電力調(diào)度 管理制度

引言

我單位開展了信息安全等級(jí)保護(hù)安全建設(shè)整改、等級(jí)測(cè)評(píng)等工作。然而，隨著整改進(jìn)程的深入，建立規(guī)范、高效、安全的信息系統(tǒng)運(yùn)行維護(hù)和管理體系，如何將等級(jí)保護(hù)中的管理制度與本單位自身的安全生產(chǎn)、班組文化等制度結(jié)合，給管理工作帶來了新的挑戰(zhàn)，通過建立等級(jí)保護(hù)管理制度體系能夠更全面的提高電力調(diào)度系統(tǒng)運(yùn)維管理層次，實(shí)現(xiàn)信息系統(tǒng)、數(shù)據(jù)資源集成整合和綜合高效利用，支撐實(shí)現(xiàn)電力調(diào)度的信息化發(fā)展目標(biāo)。本文結(jié)合筆者在信息安全管理中的實(shí)踐和理解，對(duì)等級(jí)保護(hù)管理體系在工作中的應(yīng)用提出一些個(gè)人的想法，供讀者借鑒。

一、建立等級(jí)保護(hù)制度體系目的和意義

為更好的提高信息安全保障能力和水平，依據(jù)《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）、國(guó)家電網(wǎng)公司《信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)的實(shí)施指導(dǎo)意見》（信息運(yùn)安[2009]27號(hào)）、《SG186工程信息系統(tǒng)安全等級(jí)保護(hù)驗(yàn)收標(biāo)準(zhǔn)（試行）》（信息運(yùn)安[2009]44號(hào)）、《關(guān)于加強(qiáng)電力二次系統(tǒng)安全防護(hù)和等級(jí)保護(hù)工作的通知》（調(diào)自〔2012〕65號(hào)）等要求。進(jìn)一步加強(qiáng)電力調(diào)度系統(tǒng)重要信息系統(tǒng)的安全保護(hù)，落實(shí)國(guó)網(wǎng)公司關(guān)于信息安全等級(jí)保護(hù)和安全防護(hù)體系建設(shè)的總體要求，我單位開展了信息安全等級(jí)測(cè)評(píng)和整 改工作。

二、等級(jí)保護(hù)管理制度體系分析

等級(jí)保護(hù)管理制度體系提供了對(duì)組織機(jī)構(gòu)中信息系統(tǒng)全生存周期過程實(shí)施符合安全等級(jí)責(zé)任要求的管理，包括落實(shí)安全管理機(jī)構(gòu)及人員，明確角色與職責(zé)，制定安全規(guī)劃、開發(fā)安全策略、實(shí)施風(fēng)險(xiǎn)管理、進(jìn)行監(jiān)控、檢查，處理安全事件等，具體落實(shí)在要求則體現(xiàn)在等級(jí)保護(hù)測(cè)評(píng)指標(biāo)中，等級(jí)保護(hù)管理要求如圖1所示。

三、等級(jí)保護(hù)管理體系建設(shè)實(shí)踐

在具體落實(shí)管理體系過程中，應(yīng)結(jié)合原有的信息化管理制度，貫徹建立管理制度文件層級(jí)化和流程化管理概念，將方針策略、管理制度、操作規(guī)程和記錄表單等文件科學(xué)的管理運(yùn)作；將信息化安全管理方針策略定義為一層策略文件；將溝通管理、信息化人員管理、授權(quán)與審批管理、文件規(guī)范性管理、介質(zhì)管理、資產(chǎn)管理、網(wǎng)絡(luò)管理、系統(tǒng)管理、安全事件與應(yīng)急管理、備份與恢復(fù)管理等方面定義為二層制度文件，落實(shí)一層文件中涉及的各方面運(yùn)維和安全管理內(nèi)容；將信息化運(yùn)維管理的操作指導(dǎo)規(guī)范等定義為三層流程文件，支撐二層制度文件的具體操作；將所有信息化運(yùn)維相關(guān)的表格定義為四層表格文件，落實(shí)并規(guī)范化所有運(yùn)維操作，融合和動(dòng)態(tài)的管理當(dāng)前使用的管理制度體系結(jié)構(gòu)，如圖2所示。

3.1安全管理的原則

1）基于安全需求原則：組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求，遵從相應(yīng)等級(jí)的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果；

2）主要領(lǐng)導(dǎo)負(fù)責(zé)原則：主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負(fù)責(zé)提高員工的安全意識(shí)，組織有效安全保障隊(duì)伍，調(diào)動(dòng)并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其落實(shí)、有效；

3）全員參與原則：信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；

4）持續(xù)改進(jìn)原則：安全管理是一種動(dòng)態(tài)反饋過程，貫穿整個(gè)安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的分布變化，應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級(jí)，維護(hù)和持續(xù)改進(jìn)信息安全管理體系；

5）分權(quán)和授權(quán)原則：對(duì)特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離、獨(dú)立審計(jì)等實(shí)行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)。

3.2管理制度體系框架構(gòu)建

3.2.1工作目標(biāo)

建立安全管理組織并落實(shí)各個(gè)部門信息安全責(zé)任人，明確組織內(nèi)各機(jī)構(gòu)人員責(zé)任和工作職能，確定信息安全管理體系方針策略，編制形成信息安全方針策略文件。

3.2.2建立信息安全管理組織

（1）建立信息安全管理組織架構(gòu)

信息安全領(lǐng)導(dǎo)機(jī)構(gòu)：供電公司信息化領(lǐng)導(dǎo)小組，主要負(fù)責(zé)對(duì)單位信息安全制定總體安全策略、監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在單位的執(zhí)行情況、設(shè)立落實(shí)信息安全責(zé)任。由供電公司分管領(lǐng)導(dǎo)擔(dān)任組長(zhǎng)，小組成員為各個(gè)部門負(fù)責(zé)人組成。

（2）明確各相關(guān)機(jī)構(gòu)和崗位角色的責(zé)任和職能

建立相應(yīng)的職責(zé)文件，明確各相應(yīng)領(lǐng)導(dǎo)、部門、崗位的職責(zé)。調(diào)度通信中心應(yīng)設(shè)立信息安全工作的各關(guān)鍵崗位，如安全管理員、網(wǎng)絡(luò)管理員、操作系統(tǒng)管理員和數(shù)據(jù)庫管理員等，并將之與班組人員結(jié)合，并重視信息化人員的培養(yǎng)。

3.2.3確定安全管理總體方針策略

安全管理方針策略是為組織的每一個(gè)人提供基本的規(guī)則、指南、定義，從而在組織中建立一套信息資源保護(hù)標(biāo)準(zhǔn)，防止員工的不安全行為引入風(fēng)險(xiǎn)。同時(shí)，還是進(jìn)一步制定控制規(guī)則、安全程序的必要基礎(chǔ)。應(yīng)當(dāng)目的明確、內(nèi)容清楚，能廣泛地被組織成員接受與遵守，且要有足夠靈活性、適應(yīng)性，能涵蓋較大范圍內(nèi)的各種數(shù)據(jù)、活動(dòng)和資源?？梢允箚T工了解與自己相關(guān)的信息安全保護(hù)責(zé)任，強(qiáng)調(diào)安全對(duì)組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)、業(yè)務(wù)活動(dòng)持續(xù)運(yùn)營(yíng)的重要性。

安全方針策略屬于高層管理文件，簡(jiǎn)要陳述信息安全宏觀需求及管理承諾，應(yīng)該篇幅短小，內(nèi)容明確。信息安全方針應(yīng)當(dāng)簡(jiǎn)明、扼要，便于理解，至少應(yīng)包括以下內(nèi)容：

（1）信息安全的定義，總體目標(biāo)、范圍，安全對(duì)信息共享的重要性；

（2）管理層意圖、支持目標(biāo)和信息安全原則的闡述；

（3）信息安全控制的簡(jiǎn)要說明，以及依從法律、法規(guī)要求對(duì)組織的重要性；

（4）信息安全管理的一般和具體責(zé)任定義，包括報(bào)告安全事故；

（5）信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責(zé)，陳述組織的安全目標(biāo)，為安全措施在組織的強(qiáng)制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)。

3.3管理制度體系策略建立

3.3.1工作目標(biāo)

建立覆蓋信息工作的全部文件，包含安全策略、制度、規(guī)定規(guī)范、表單，完善所有活動(dòng)流程管理。

3.3.2建立體系策略制度文件

信息安全策略是組織信息安全活動(dòng)的最高方針，需要根據(jù)信息工作的實(shí)際情況，分別制訂不同的信息安全策略。應(yīng)該簡(jiǎn)單明了、通俗易懂，并形成書面文件，發(fā)給單位內(nèi)的所有成員。同時(shí)要對(duì)所有相關(guān)員工進(jìn)行信息安全策略的培訓(xùn)，以使信息安全方針真正植根于單位內(nèi)所有員工的腦海并落實(shí)到實(shí)際工作中。根據(jù)本單位實(shí)際情況，建立的策略文件，所有文件均需進(jìn)行論證和評(píng)審。

（1）信息安全管理策略

作為所有系統(tǒng)的指導(dǎo)性方針文件，提供信息安全的基本規(guī)則、指南、定義。依據(jù)本策略應(yīng)制定各管理制度、操作和使用規(guī)范。

（2）系統(tǒng)運(yùn)維安全管理策略

作為所有系統(tǒng)運(yùn)行維護(hù)的指導(dǎo)性方針文件，提供系統(tǒng)安全運(yùn)行維護(hù)的基本規(guī)則、指南、定義。依據(jù)本策略應(yīng)制定系統(tǒng)運(yùn)行維護(hù)中相關(guān)的各種管理制度和規(guī)定，以及控制各項(xiàng)活動(dòng)的記錄表單和審批流程。應(yīng)覆蓋機(jī)房、網(wǎng)絡(luò)、系統(tǒng)、資產(chǎn)、備份、日常運(yùn)維等所有運(yùn)行維護(hù)工作的范圍。

（3）系統(tǒng)建設(shè)安全管理策略

作為所有信息化工作建設(shè)的指導(dǎo)性方針文件，提供信息工作相關(guān)的建設(shè)安全管理的基本規(guī)則、指南、定義。依據(jù)本策略應(yīng)形成項(xiàng)目管理、采購管理、工程實(shí)施管理、測(cè)試及驗(yàn)收管理等建設(shè)管理的全過程管理制度，相應(yīng)的控制表單和審批規(guī)定。

（4）人員安全管理策略

由于在系統(tǒng)、運(yùn)維、建設(shè)方面已經(jīng)對(duì)人員在該活動(dòng)中的行為做了要求，人員安全管理主要需要考慮的問題是錄用、離崗、保密、教育培訓(xùn)、考核及外來人員方面的管理，也可以直接制定比較詳細(xì)的人員安全管理制度。

（5）管理流程

梳理并完善各種活動(dòng)的詳細(xì)流程圖，任何針對(duì)信息系統(tǒng)的活動(dòng)均有流程可依據(jù)進(jìn)行控制管理。如事件管理流程、變更管理流程等。

（6）其他輔助制度

建立輔助文件，如對(duì)以上策略、制度、表單等進(jìn)行管理的文件管理制度、保密制度、信息規(guī)定等。

3.4管理制度體系運(yùn)作落實(shí)

3.4.1工作目標(biāo)

逐項(xiàng)實(shí)施，直至體系全面運(yùn)行，監(jiān)督落實(shí)安全策略制度，找出體系中的不適用和缺陷。

3.4.2實(shí)施

經(jīng)過第一和第二階段的工作，理論上單位已初步形成完整的信息安全管理體系，但體系是否能正常運(yùn)作發(fā)揮作用，需要對(duì)體系進(jìn)行驗(yàn)證，驗(yàn)證的方法就是運(yùn)行體系。

體系的運(yùn)行分幾步進(jìn)行：

對(duì)通過論證評(píng)審的文件，通過正規(guī)渠道正式發(fā)文的方式進(jìn)行，的文件根據(jù)情況決定是否采取“征求意見稿”或“暫行”；

文件前召集相關(guān)部門的負(fù)責(zé)人學(xué)習(xí)文件，并要求確保落實(shí)力度；

的文件要求相關(guān)部門組織學(xué)習(xí)，并依照實(shí)施；

各相關(guān)部門對(duì)運(yùn)行的文件制度運(yùn)行情況進(jìn)行收集，存在實(shí)際困難無法落實(shí)的報(bào)評(píng)審組織評(píng)審適用性；

對(duì)“征求意見稿”的文件，必須從實(shí)施的相關(guān)部門采集意見。

體系實(shí)施階段可以在體系建立階段同步開展，建立部門策略制度后，通過論證評(píng)審即可進(jìn)行試運(yùn)行，不需等全套文件完成。

3.4.3監(jiān)督

指定或成立跨部門監(jiān)督機(jī)構(gòu)、人員，對(duì)文件實(shí)施的過程進(jìn)行監(jiān)督管理，制定相應(yīng)的懲戒措施，對(duì)落實(shí)情況進(jìn)行監(jiān)督檢查，對(duì)違反文件實(shí)施和實(shí)施不力的部門或人員進(jìn)行懲戒，切實(shí)落實(shí)文件的有效實(shí)施。收集監(jiān)督過程中發(fā)現(xiàn)的文件問題、人員實(shí)施問題方面資料，反饋到編制組織。

本階段是系統(tǒng)建立的關(guān)鍵階段，是信息安全管理體系要分析運(yùn)行效果，尋求改進(jìn)機(jī)會(huì)的階段。如果發(fā)現(xiàn)一個(gè)控制措施不合理、不充分，就要采取糾正措施，以防止信息系統(tǒng)處于不可接受風(fēng)險(xiǎn)狀態(tài)。必須強(qiáng)調(diào)相關(guān)領(lǐng)導(dǎo)應(yīng)重視本階段工作，并且從實(shí)際上支持和推動(dòng)實(shí)施工作。且應(yīng)加大學(xué)習(xí)培訓(xùn)和監(jiān)督力度，落實(shí)懲戒措施。讓文件涉及的相關(guān)部門和相關(guān)人員熟知該文件并能按要求準(zhǔn)確執(zhí)行。

3.5管理制度體系細(xì)化調(diào)整

3.5.1工作目標(biāo)

總結(jié)體系運(yùn)行情況，調(diào)整不適用和無法落實(shí)的部分，完善體系，使之能高效、有序的運(yùn)作。

3.5.2評(píng)審

評(píng)審有兩個(gè)環(huán)節(jié)，第一個(gè)環(huán)節(jié)是針對(duì)出現(xiàn)的問題進(jìn)行審核，論證其原因，進(jìn)行改正完善。第二個(gè)環(huán)節(jié)是在大部分問題解決后、體系正常的情況下全面評(píng)審體系文件、組織、活動(dòng)是否達(dá)到預(yù)期目標(biāo)。

首先，信息安全領(lǐng)導(dǎo)小組組織相關(guān)部門人員，對(duì)體系實(shí)施中發(fā)現(xiàn)的問題進(jìn)行審核，對(duì)落實(shí)不力的部門責(zé)成落實(shí)；對(duì)實(shí)際存在的問題進(jìn)行論證，提出解決辦法；對(duì)不適用的文件或部分進(jìn)行論證評(píng)審，確實(shí)存在不適用的文件則組織相關(guān)人員進(jìn)行修訂，轉(zhuǎn)入修訂環(huán)節(jié)，對(duì)于不適用且沒必要存在的文件進(jìn)行廢止。

而后，對(duì)于本階段計(jì)劃時(shí)間內(nèi)反饋沒發(fā)現(xiàn)問題的文件，組織相關(guān)部門評(píng)審試行效果，達(dá)到預(yù)期要求則作為正式版運(yùn)行，并采用持續(xù)優(yōu)化階段的方式進(jìn)行管理，未達(dá)預(yù)期目的則轉(zhuǎn)入重新編制程序。

3.5.3修訂

對(duì)于存在問題的策略文件，組織該策略文件涉及最多的主體部門和其他相關(guān)部門人員成立臨時(shí)修訂機(jī)構(gòu)，針對(duì)文件存在問題進(jìn)行修訂。修訂后進(jìn)行新版本的頒布，同時(shí)該文件轉(zhuǎn)入落實(shí)階段。

3.5.4測(cè)評(píng)

經(jīng)過細(xì)化調(diào)整，不斷地審核修訂后，體系應(yīng)已基本完善，此時(shí)轉(zhuǎn)入評(píng)審的第二環(huán)節(jié)。按照符合等級(jí)保護(hù)要求的預(yù)期目標(biāo)，委托等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，在保證客觀、合規(guī)、公正的前提下，對(duì)單位信息安全體系進(jìn)行全面評(píng)審。整體測(cè)評(píng)后，對(duì)不滿足要求的部分進(jìn)行整改，整改完成后轉(zhuǎn)入實(shí)施階段，直至符合要求。

3.6管理制度體系持續(xù)優(yōu)化

通過前四個(gè)階段的工作，信息安全管理體系應(yīng)基本穩(wěn)定、成熟，后期的工作在于保持并進(jìn)行不斷地優(yōu)化。把經(jīng)過檢驗(yàn)的文件作為常態(tài)的管理遵循依據(jù)，在日常工作中保持，不因試行結(jié)束而松懈。部門和人員應(yīng)把試行期間依照文件要求形成的工作模式進(jìn)一步完善保持，在未發(fā)生異常情況之前，始終按照正式版本執(zhí)行。定期進(jìn)行評(píng)審，找出不適用部分進(jìn)行優(yōu)化調(diào)整；結(jié)合工作實(shí)際，尋求更高效安全的方法優(yōu)化體系，提高效能。

篇4

關(guān)鍵詞 信息系統(tǒng)；安全；保障體系；技術(shù)；信息技術(shù)基礎(chǔ)設(shè)施

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2013）14-0137-02

油服信息技術(shù)應(yīng)用與集中程度的不斷深入提高，信息安全保障體系建設(shè)工作已成為信息化建設(shè)過程中的重要組成部分。油服具有地域分布廣、業(yè)務(wù)復(fù)雜多樣等特點(diǎn)，在信息安全形勢(shì)多變的情況下，獨(dú)立分散的安全措施已無法更好地滿足安全防護(hù)需求。信息安全若不能得到很好的保障，將給公司的業(yè)務(wù)正常運(yùn)作及辦公穩(wěn)定性、高效性和有效性帶來影響。因此，需完善公司的信息安全政策方針、規(guī)劃并建立符合油服實(shí)際情況的信息安全保障體系，采用先進(jìn)的安全管理過程模式，完善信息安全管理制度與規(guī)范，提高員工的信息安全意識(shí)，提升風(fēng)險(xiǎn)控制及保障水平，以支撐油服核心業(yè)務(wù)的健康發(fā)展。

1 信息安全保障體系

1.1 信息安全保障體系建設(shè)需求

油服在信息安全方面已部署了部分信息安全防護(hù)措施，如劃分安全域、部署邊界訪問控制設(shè)備、配備入侵防御系統(tǒng)、部署統(tǒng)一的防惡意代碼軟件等。與此同時(shí)，每年都開展信息系統(tǒng)安全測(cè)評(píng)工作，對(duì)公司的信息系統(tǒng)進(jìn)行安全等級(jí)測(cè)評(píng)差距分析、安全問題整改咨詢核查以及滲透性測(cè)試等，從而能夠較為全面的掌握當(dāng)前各信息系統(tǒng)和信息安全管理制度的建設(shè)、運(yùn)維和使用情況，以提高信息系統(tǒng)的安全防護(hù)能力。但從總體來看，仍缺乏信息安全保障體系框架，總體安全方針和策略不夠明確，安全區(qū)域劃分不夠細(xì)致，網(wǎng)絡(luò)設(shè)備和重要服務(wù)器的安全策略缺乏統(tǒng)一標(biāo)準(zhǔn)，未部署安全運(yùn)維管理中心，無法真正起到縱深安全防御的效用。

1.2 信息安全保障體系目標(biāo)與定位

信息安全保障體系的建設(shè)要結(jié)合油服的信息安全需求、網(wǎng)絡(luò)應(yīng)用現(xiàn)狀及未來發(fā)展趨勢(shì)，在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，明確與等級(jí)保護(hù)相適應(yīng)的安全策略及具體的實(shí)施辦法。對(duì)全網(wǎng)進(jìn)行合理的安全域劃分，技術(shù)與管理并重的同時(shí)，以應(yīng)用與實(shí)效為主導(dǎo)，從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、組織管理等方面，保障油服信息安全，形成集檢測(cè)、響應(yīng)、恢復(fù)、防護(hù)為一體的安全保障體系。

2 油服信息安全保障體系架構(gòu)模型

油服信息安全保障體系框架采用“結(jié)構(gòu)化”的分析和控制方法，縱向把保護(hù)對(duì)象分成安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)；橫向把控制體系分成安全管理、安全技術(shù)和安全運(yùn)行的控制體系，同時(shí)通過“一個(gè)安全管理中心”的安全管理概念和模式，形成一個(gè)依托于安全保護(hù)對(duì)象為基礎(chǔ)，橫向建立安全管理體系、安全技術(shù)體系、安全運(yùn)行體系和安全管理中心“三個(gè)體系、一個(gè)中心、三重防護(hù)”的信息安全保障體系

框架。

2.1 安全管理體系

根據(jù)等級(jí)保護(hù)基本要求的相關(guān)內(nèi)容，信息安全管理體系重點(diǎn)落實(shí)安全管理制度、安全管理機(jī)構(gòu)和人員安全管理的相關(guān)控制要求。

2.2 安全技術(shù)體系

根據(jù)等級(jí)保護(hù)基本要求的相關(guān)內(nèi)容，通過安全技術(shù)在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)各個(gè)層面的實(shí)施，建立與實(shí)際情況相結(jié)合的安全技術(shù)體系。

2.3 安全運(yùn)行體系

根據(jù)等級(jí)保護(hù)基本要求的相關(guān)內(nèi)容，信息安全運(yùn)行體系重點(diǎn)落實(shí)系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理的相關(guān)控制要求，并與實(shí)際情況相結(jié)合，形成符合等級(jí)保護(hù)要求的信息安全運(yùn)行體系

框架。

2.4 安全管理中心

根據(jù)等級(jí)保護(hù)基本要求和安全設(shè)計(jì)技術(shù)要求的相關(guān)內(nèi)容，通過“自動(dòng)、平臺(tái)化”的方式，對(duì)信息安全管理、技術(shù)、運(yùn)行三個(gè)體系的相關(guān)控制內(nèi)容，結(jié)合實(shí)際情況加以落實(shí)。

3 油服信息安全保障體系架構(gòu)設(shè)計(jì)

3.1 安全管理體系架構(gòu)設(shè)計(jì)

信息安全管理體系架構(gòu)的設(shè)計(jì)可從以下3方面開展。

3.1.1 信息安全組織

油服信息安全組織為信息安全管理委員會(huì)，各業(yè)務(wù)部門為信息安全小組，部門經(jīng)理為本小組的第一安全責(zé)任人。同時(shí)，定義了組織中各職能角色的職責(zé)，以此指導(dǎo)信息安全工作開展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及時(shí)反映公司的信息安全風(fēng)險(xiǎn)動(dòng)態(tài)，便于靈活地修訂與更新；另一方面確保信息安全技術(shù)與管理人員及用戶能夠了解哪些是禁止做的，哪些是必須做的。

3.1.3 人員安全管理

在人員安全管理方面，可以通過對(duì)人員錄用、調(diào)用、離崗、考核、培訓(xùn)教育和第三方人員安全幾個(gè)方面進(jìn)行設(shè)計(jì)。

3.2 安全技術(shù)體系架構(gòu)設(shè)計(jì)

信息安全技術(shù)體系架構(gòu)設(shè)計(jì)可從以下3個(gè)方面開展。

3.2.1 信息安全服務(wù)架構(gòu)

信息安全服務(wù)架構(gòu)設(shè)計(jì)分為保護(hù)、檢測(cè)、響應(yīng)與恢復(fù)四個(gè)環(huán)節(jié)，實(shí)現(xiàn)對(duì)信息可用性、完整性和機(jī)密性的保護(hù)，監(jiān)測(cè)檢查系統(tǒng)存在的安全漏洞，對(duì)危害系統(tǒng)安全的事件行為做出響應(yīng)

處理。

3.2.2 信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)

信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)以網(wǎng)絡(luò)安全架構(gòu)為主體，結(jié)合系統(tǒng)軟硬件進(jìn)行安全配置和部署。網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃根據(jù)網(wǎng)絡(luò)所承載的應(yīng)用系統(tǒng)特性和所面臨的風(fēng)險(xiǎn)劃分不同的網(wǎng)絡(luò)安全域，并實(shí)施安全防護(hù)措施。

3.2.3 應(yīng)用安全架構(gòu)

應(yīng)用系統(tǒng)的信息安全保障是在信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)上，更多地關(guān)注已有的信息安全服務(wù)是否被充分利用。為滿足業(yè)務(wù)系統(tǒng)對(duì)信息安全的需求，通過在業(yè)務(wù)系統(tǒng)中實(shí)現(xiàn)集成保障信息安全的機(jī)制，從而達(dá)到信息安全技術(shù)控制要求。

3.3 安全運(yùn)行體系架構(gòu)設(shè)計(jì)

油服信息安全運(yùn)行體系架構(gòu)設(shè)計(jì)主要從以下3個(gè)方面開展。

3.3.1 信息系統(tǒng)安全等級(jí)劃分

油服信息系統(tǒng)安全等級(jí)劃分從信息資產(chǎn)等級(jí)、網(wǎng)絡(luò)系統(tǒng)等級(jí)和應(yīng)用系統(tǒng)等級(jí)三個(gè)方面進(jìn)行定義。

3.3.2 信息安全技術(shù)控制

信息安全技術(shù)控制是由系統(tǒng)自身自動(dòng)完成的安全控制。主要在信息系統(tǒng)的網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層，包含身份鑒別、訪問控制、安全審計(jì)等五大類通用技術(shù)。

3.3.3 信息安全運(yùn)作控制

信息安全運(yùn)作控制是在油服業(yè)務(wù)運(yùn)作和信息技術(shù)運(yùn)作過程中進(jìn)行實(shí)施的運(yùn)作類安全控制，包括控制針對(duì)的主要風(fēng)險(xiǎn)點(diǎn)及具體分類。

4 結(jié)束語

在油服業(yè)務(wù)不斷拓展，國(guó)際化步伐不斷深入的過程中，信息系統(tǒng)在公司發(fā)展中的作用和地位日趨重要。公司對(duì)信息系統(tǒng)的依賴性也在不斷增長(zhǎng)，信息安全也愈發(fā)重要。健全油服信息安全保障體系，為實(shí)現(xiàn)“制度標(biāo)準(zhǔn)化、工作制度化”的管理常態(tài)奠定了堅(jiān)實(shí)的基礎(chǔ)。油服信息安全保障體系不僅從物理網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用安全、數(shù)據(jù)和用戶安全等方面入手，還從安全域劃分、安全邊界防護(hù)、主動(dòng)監(jiān)控、訪問控制和應(yīng)急響應(yīng)等方面綜合考慮，進(jìn)一步加強(qiáng)落實(shí)信息安全等級(jí)保護(hù)的基本要求，初步實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)與應(yīng)用系統(tǒng)細(xì)粒度、全方位的安全管控，從而更為有效地提升了油服在信息安全方面的管理水平。

參考文獻(xiàn)

[1]馬永.淺談企業(yè)信息安全保障體系建設(shè)[J].計(jì)算機(jī)安全，2007（7）：72-75.

[2]王朗.一個(gè)信息安全保障體系模型的研究和設(shè)計(jì)[J].北京師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2004（2）：58-62.

[3]黃海鷹.信息安全保障體系建設(shè)研究[J].數(shù)字圖書館論壇，2009（9）：13-15.

篇5

2007年12月28日，中國(guó)光大銀行信用卡中心在京召開新聞會(huì)，宣布正式通過ISO27001信息安全管理體系國(guó)際認(rèn)證，成為國(guó)內(nèi)首家通過該項(xiàng)認(rèn)證的信用卡中心。這是中國(guó)光大銀行信用卡中心繼2006年6月通過CCCS五星級(jí)級(jí)客戶服務(wù)認(rèn)證和2006年9月通過ISO9001質(zhì)量管理體系認(rèn)證之后取得的又一成就，標(biāo)志著該行信用卡業(yè)務(wù)在保障客戶信息安全、強(qiáng)化內(nèi)部管理方面已居于國(guó)內(nèi)領(lǐng)先水平。

在日漸激烈的信用卡競(jìng)爭(zhēng)環(huán)境中，中國(guó)光大銀行信用卡業(yè)務(wù)以“制度化、規(guī)范化、標(biāo)準(zhǔn)化、專業(yè)化”為方向，摒棄片面追求規(guī)模的定式，致力于產(chǎn)品創(chuàng)新、服務(wù)提升與品牌建設(shè)，建立了獨(dú)具特色的信用卡經(jīng)營(yíng)和發(fā)展模式，取得了令人矚目的成就。為進(jìn)一步提高服務(wù)質(zhì)量，保障信息安全，該行信用卡中心于2007年3月正式啟動(dòng)ISO27001信息安全管理體系認(rèn)證項(xiàng)目，并提出“關(guān)注客戶、信息安全”的信息安全方針。以此為契機(jī)，中國(guó)光大銀行信用卡中心在保障客戶信息安全、降低外包業(yè)務(wù)風(fēng)險(xiǎn)、保障業(yè)務(wù)的持續(xù)性等方面進(jìn)行了全面提升與改進(jìn)。

一是在保障客戶信息安全、防止客戶信息泄密方面，中國(guó)光大銀行根據(jù)自身業(yè)務(wù)實(shí)際，通過開展信息資產(chǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、體系文件編寫、體系試運(yùn)行、內(nèi)外審等主要工作，在信用卡中心建立起了信息安全管理體系，從而形成一套策略規(guī)程和控制措施，將信息安全的控制措施貫穿于業(yè)務(wù)的各個(gè)環(huán)節(jié)，使信息安全保障工作成為日常工作的組成部分，在日常工作中關(guān)注客戶，保障信息安全。二是降低外包業(yè)務(wù)風(fēng)險(xiǎn)方面，光大銀行針對(duì)信用卡行業(yè)外包業(yè)務(wù)多的現(xiàn)實(shí)，通過規(guī)范數(shù)據(jù)交互、調(diào)聽錄音、查看系統(tǒng)日志、現(xiàn)場(chǎng)檢查、第三方檢查等手段，并督促外包公司建章建制、規(guī)范管理等一系列措施，有效降低了外包業(yè)務(wù)的風(fēng)險(xiǎn)。三是業(yè)務(wù)持續(xù)性方面，光大銀行針對(duì)影響業(yè)務(wù)持續(xù)性的主要因素進(jìn)行了風(fēng)險(xiǎn)評(píng)估，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，制訂了業(yè)務(wù)持續(xù)性管理計(jì)劃，并進(jìn)行了業(yè)務(wù)持續(xù)性演練，為業(yè)務(wù)的持續(xù)發(fā)展提供了保障。

ISO27001：2005是標(biāo)志信息安全的最主要國(guó)際化標(biāo)準(zhǔn)之一，是基于最佳實(shí)踐的總結(jié)，至今已被全球數(shù)百家世界級(jí)組織采用，中國(guó)光大銀行率先將其引入信用卡領(lǐng)域，為保障客戶信息安全尋求到一條積極高效的道路，為自身業(yè)務(wù)高速穩(wěn)健的發(fā)展奠定了堅(jiān)實(shí)的基礎(chǔ)。

篇6

自20世紀(jì)80年代以來，隨著信息技術(shù)迅速滲透到社會(huì)經(jīng)濟(jì)的各個(gè)領(lǐng)域，尤其是Internet/Intranet技術(shù)和電子商務(wù)（Ecommerce）的廣泛應(yīng)用，推動(dòng)著人類社會(huì)從工業(yè)經(jīng)濟(jì)時(shí)代向網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代和信息化社會(huì)的方向前進(jìn)。在這個(gè)動(dòng)態(tài)演進(jìn)的過程中，經(jīng)濟(jì)發(fā)展越來越需要信息的支持，信息已成為經(jīng)濟(jì)發(fā)展的戰(zhàn)略資源和社會(huì)管理的基本要素。

企業(yè)的信息化建設(shè)對(duì)于企業(yè)發(fā)展具有重要的戰(zhàn)略意義。對(duì)信息的采集、共享、利用和傳播成為決定企業(yè)競(jìng)爭(zhēng)力的關(guān)鍵因素。只有實(shí)現(xiàn)信息化，企業(yè)才可能實(shí)現(xiàn)企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)的運(yùn)營(yíng)自動(dòng)化、管理網(wǎng)絡(luò)化、決策智能化，從而理順和提高企業(yè)的管理水平，提高設(shè)計(jì)效率，降低企業(yè)的庫存，節(jié)約占用資金，降低生產(chǎn)成本，改善職工的工作環(huán)境，縮短企業(yè)的服務(wù)時(shí)間和提高企業(yè)的客戶滿意度，并可及時(shí)地獲取客戶需求，實(shí)現(xiàn)按訂單生產(chǎn)。

但是，信息化也使企業(yè)同時(shí)承受著巨大的信息安全的風(fēng)險(xiǎn)。據(jù)統(tǒng)計(jì)，全球平均20秒就發(fā)生一次計(jì)算機(jī)病毒入侵；互聯(lián)網(wǎng)上的防火墻大約25%被攻破；竊取商業(yè)信息的事件平均以每月260%的速度增加；約70%的網(wǎng)絡(luò)主管報(bào)告了因機(jī)密信息泄露而受損失。我國(guó)公安機(jī)關(guān)2002年共受理各類信息網(wǎng)絡(luò)違法犯罪案件6633起，與上年相比增長(zhǎng)45.9%，其中利用計(jì)算機(jī)實(shí)施的違法犯罪5301起，占案件總數(shù)的79.9%.而病毒的泛濫，更讓國(guó)內(nèi)眾多企業(yè)蒙受了巨額經(jīng)濟(jì)損失。加強(qiáng)信息安全建設(shè)，已成了目前國(guó)內(nèi)外企業(yè)迫在眉睫的大事。

二、信息安全和信息安全管理

根據(jù)國(guó)際標(biāo)準(zhǔn)化組織（ISO）的定義，信息安全是“在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露”。信息安全是一個(gè)動(dòng)態(tài)的復(fù)雜過程，它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個(gè)生命周期。

信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進(jìn)行的破壞以及自然危害。必須按照風(fēng)險(xiǎn)管理的思想，對(duì)可能的威脅、脆弱性和需要保護(hù)的信息資源進(jìn)行分析，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果為信息系統(tǒng)選擇適當(dāng)?shù)陌踩胧?，妥善?yīng)對(duì)可能發(fā)生的風(fēng)險(xiǎn)。信息安全的目標(biāo)就是要保證敏感數(shù)據(jù)的機(jī)密性（Confidentiality）、完整性（Integrity）和可用性（Availability）[1].為了達(dá)到這個(gè)目的，人們建立起信息安全管理體系（InformationSecurityManagementSystems）。它是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的系統(tǒng)，表示成方針、原則、目標(biāo)、方法、過程、核查表（Checklists）等要素的集合。

在信息安全管理體系中，通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等建立起信息安全管理框架。在該體系中，人們?cè)诩夹g(shù)層面作了許多卓越而富有成效的工作來保障企業(yè)信息安全，如密碼學(xué)和訪問控制等。但僅僅依靠技術(shù)手段不可能徹底解決信息安全問題。這是因?yàn)?，信息以及信息用戶的社?huì)屬性決定了信息安全中存在非技術(shù)因素，而從屬于非技術(shù)因素的問題，無法依靠單純的技術(shù)手段加以解決[2].非技術(shù)手段主要包括法律手段、經(jīng)濟(jì)手段和行政手段等，在市場(chǎng)經(jīng)濟(jì)環(huán)境中，企業(yè)應(yīng)首選法律和經(jīng)濟(jì)手段來保護(hù)信息安全。

三、法務(wù)會(huì)計(jì)師在企業(yè)信息安全管理中的作用

信息及信息用戶的社會(huì)屬性使得法務(wù)會(huì)計(jì)師為企業(yè)提供專業(yè)服務(wù)成為必要，而法務(wù)會(huì)計(jì)師獨(dú)特的知識(shí)結(jié)構(gòu)和專業(yè)經(jīng)驗(yàn)使得其在企業(yè)信息安全管理發(fā)揮其獨(dú)特作用提供了可能。根據(jù)信息安全風(fēng)險(xiǎn)的成因，法務(wù)會(huì)計(jì)師可以因地制宜地制定相關(guān)對(duì)策。當(dāng)前威脅企業(yè)信息安全的主要成因是：

1.技術(shù)風(fēng)險(xiǎn)。主要包括信息電磁化風(fēng)險(xiǎn)和系統(tǒng)及軟件風(fēng)險(xiǎn)。在網(wǎng)絡(luò)環(huán)境下，企業(yè)的各種票證和帳單等以人眼無法直接辨別的電磁信息的形式在網(wǎng)上傳遞并存儲(chǔ)于磁性介質(zhì)中，在傳遞及存儲(chǔ)過程中均有被攻擊者篡改或截獲的可能。

2.人員風(fēng)險(xiǎn)。由于企業(yè)中負(fù)責(zé)具體業(yè)務(wù)的人員并不一定熟悉計(jì)算機(jī)操作，因此在系統(tǒng)使用過程中極有可能出現(xiàn)由于人員操作不當(dāng)而造成的意外損失。而由于系統(tǒng)管理涉及企業(yè)重要機(jī)密，操作人員是否會(huì)利用職權(quán)之便對(duì)信息進(jìn)行破壞或剽竊也是企業(yè)管理者應(yīng)該關(guān)注的重要問題。

3.法律風(fēng)險(xiǎn)。網(wǎng)絡(luò)的出現(xiàn)和廣泛應(yīng)用對(duì)傳統(tǒng)社會(huì)產(chǎn)生了強(qiáng)烈的沖擊，舊有的法律法規(guī)體系已不能完全適應(yīng)、指導(dǎo)和規(guī)范網(wǎng)絡(luò)安全的實(shí)踐。網(wǎng)絡(luò)本身的虛擬性、實(shí)時(shí)性、廣泛性要求更加切實(shí)可行，更加完備的標(biāo)準(zhǔn)準(zhǔn)則和法律法規(guī)的出現(xiàn)。

現(xiàn)階段，面對(duì)信息安全的威脅，企業(yè)缺乏有力的系統(tǒng)性的對(duì)應(yīng)措施和策略，基本處于“頭痛醫(yī)頭、腳痛醫(yī)腳”的狀態(tài)，解決方案手段單一，缺乏多種手段的共同治理。很多組織已經(jīng)越來越意識(shí)到要真正達(dá)到信息安全的目標(biāo)僅僅通過信息安全技術(shù)和產(chǎn)品是不可能實(shí)現(xiàn)的，結(jié)合法律、制度等社會(huì)性手段的信息安全管理體系（ISMS）的搭建才能實(shí)現(xiàn)信息系統(tǒng)的整體安全保障。因?yàn)?，很多企業(yè)信息資產(chǎn)安全管理方面除了存在信息安全技術(shù)薄弱方面的原因外，還存在如下一些問題如，信息安全管理制度過于簡(jiǎn)單，內(nèi)容不全；交叉重復(fù)，混亂無章；求大求全，無針對(duì)性；鎖在柜中，無人問津；以及制度執(zhí)行中的人為破壞等等。

建立包含技術(shù)和法律等手段的多層面的信息安全管理體系可以強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織的信息安全行為，對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)；在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；使組織的商業(yè)伙伴和客戶對(duì)組織充滿信心，提高組織的知名度與信任度。因?yàn)樾畔踩玛P(guān)企業(yè)信息資產(chǎn)和業(yè)務(wù)安全，需要通過法制渠道滿足企業(yè)在電子商務(wù)和管理環(huán)境中維護(hù)競(jìng)爭(zhēng)優(yōu)勢(shì)的需要，法務(wù)會(huì)計(jì)師可以充分利用其在法律和會(huì)計(jì)信息管理方面的優(yōu)勢(shì)，為企業(yè)建立有效的信息資產(chǎn)保護(hù)計(jì)劃提供有價(jià)值的服務(wù)，并依法追究相關(guān)組織和人員的責(zé)任。

篇7

【關(guān)鍵詞】電力企業(yè)；信息網(wǎng)絡(luò)；安全體系

【中圖分類號(hào)】TP309【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1672-5158（2013）07-0498-02

引言

隨著電力企業(yè)不斷發(fā)展，信息化已廣泛應(yīng)用于生產(chǎn)運(yùn)營(yíng)管理過程中的各個(gè)環(huán)節(jié)，信息化在為企業(yè)帶來高效率的同時(shí)，也為企業(yè)帶來了安全風(fēng)險(xiǎn)。一方面企業(yè)對(duì)信息化依賴性越來越強(qiáng)，尤其是生產(chǎn)監(jiān)控信息系統(tǒng)及電力二次系統(tǒng)直接關(guān)系到電力安全生產(chǎn)；另一方面黑客技術(shù)發(fā)展迅速，今天行之有效的防火墻或隔離裝置也許明天就可能出現(xiàn)漏洞。因此，建設(shè)信息安全防護(hù)體系建設(shè)工作是刻不容緩的。

1 信息安全防護(hù)體系的核心思想

電力企業(yè)信息安全防護(hù)體系的核心思想是“分級(jí)、分區(qū)、分域”（如圖1所示）。分級(jí)是將各系統(tǒng)分別確定安全保護(hù)級(jí)別實(shí)現(xiàn)等級(jí)化防護(hù)；分區(qū)是將信息系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)兩個(gè)相對(duì)獨(dú)立區(qū)進(jìn)行安全防護(hù)；分域是依據(jù)系統(tǒng)級(jí)別及業(yè)務(wù)系統(tǒng)類型劃分不同的安全域，實(shí)現(xiàn)不同安全域的獨(dú)立化、差異化防護(hù)。

2 信息安全防護(hù)系統(tǒng)建設(shè)方針

2.1整體規(guī)劃：在全面調(diào)研的基礎(chǔ)上，分析信息安全的風(fēng)險(xiǎn)和差距，制訂安全目標(biāo)、安全策略，形成安全整體架構(gòu)。

2.2分步實(shí)施：制定信息安全防護(hù)系統(tǒng)建設(shè)計(jì)劃，分階段組織項(xiàng)目實(shí)施。

2.3分級(jí)分區(qū)分域：根據(jù)信息系統(tǒng)的重要程度，確定該系統(tǒng)的安全等級(jí)，省級(jí)公司的信息系統(tǒng)分為二級(jí)和三級(jí)系統(tǒng)；根據(jù)生產(chǎn)控制大區(qū)和管理信息大區(qū)，劃分為控制區(qū)（安全I(xiàn)區(qū)）、非控制區(qū)（安全I(xiàn)I區(qū)）、管理信息大區(qū)（III區(qū)）；依據(jù)業(yè)務(wù)系統(tǒng)類型進(jìn)行安全域劃分，二級(jí)系統(tǒng)統(tǒng)一成域，三級(jí)系統(tǒng)獨(dú)立成域。

2.4等級(jí)防護(hù)：按照國(guó)家和電力行業(yè)等級(jí)保護(hù)基本要求，進(jìn)行安全防護(hù)措施設(shè)計(jì)，合理分配資源，做好重點(diǎn)保護(hù)和適度保護(hù)。

2.5多層防御：在分域防護(hù)的基礎(chǔ)上，將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)層面進(jìn)行安全防護(hù)設(shè)計(jì)，以實(shí)現(xiàn)縱深防御。

2.6持續(xù)改進(jìn)：定期對(duì)信息系統(tǒng)進(jìn)行安全檢測(cè)，發(fā)現(xiàn)潛在的問題和系統(tǒng)可能的脆弱性并進(jìn)行修正；檢查防護(hù)系統(tǒng)的運(yùn)行及安全審計(jì)日志，通過策略調(diào)整及時(shí)防患于未然；定期對(duì)信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，修補(bǔ)安全漏洞、改進(jìn)安全防護(hù)體系。

3 信息安全防護(hù)體系建設(shè)探索

一個(gè)有效的信息安全體系是在信息安全管理、信息安全技術(shù)、信息安全運(yùn)行的整體保障下，構(gòu)建起來并發(fā)揮作用的。

3.1 建立信息安全管理體系

安全管理體系是整個(gè)信息安全防護(hù)體系的基石，它包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面，信息安全組織機(jī)構(gòu)的建立尤為重要。

3.1.1建立信息安全管理小組

建立具有管理權(quán)的信息安全小組，負(fù)責(zé)整體信息安全管理工作，審批信息安全方針，分配安全管理職責(zé)，支持和推動(dòng)組織內(nèi)部信息安全工作的實(shí)施，對(duì)信息安全重大事項(xiàng)進(jìn)行決策。處置信息安全事件，對(duì)安全管理體系進(jìn)行評(píng)審。

3.1.2分配管理者權(quán)限

按照管理者的責(zé)、權(quán)、利一致的原則，對(duì)信息管理人員作級(jí)別上的限制；根據(jù)管理者的角色分配權(quán)限，實(shí)現(xiàn)特權(quán)用戶的權(quán)限分離。對(duì)工作調(diào)動(dòng)和離職人員及時(shí)調(diào)整授權(quán)，根據(jù)管理職責(zé)確定使用對(duì)象，明確某一設(shè)備配置、使用、授權(quán)信息的劃分，制訂相應(yīng)管理制度。

3.1.3職責(zé)明確，層層把關(guān)

制訂操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則各負(fù)其責(zé)，不能超越自己的管轄范圍。系統(tǒng)維護(hù)時(shí)要經(jīng)信息管理部門審批，有信息安全管理員在場(chǎng)，對(duì)故障原因、維護(hù)內(nèi)容和維護(hù)前后情況做詳細(xì)記錄。

（1）多人負(fù)責(zé)制度 每一項(xiàng)與安全有關(guān)的活動(dòng)必須有2人以上在場(chǎng)，簽署工作情況記錄，以證明安全工作已得到保障。

（2）重要崗位定期輪換制度 應(yīng)建立重要崗位應(yīng)定期輪換制度，在工作交接期間必須更換口令，重要技術(shù)文件或數(shù)據(jù)必須移交清楚，明確泄密責(zé)任。

（3）在信息管理中實(shí)行問責(zé)制，各信息系統(tǒng)專人專管。

3.1.5系統(tǒng)應(yīng)急處理

制定信息安全應(yīng)急響應(yīng)管理辦法，按照嚴(yán)重性和緊急程度及危害影響的大小來確定全事件的等級(jí)，采取措施，防止破壞的蔓延與擴(kuò)展，使危害降到最低，通過對(duì)事件或行為的分析結(jié)果，查找事件根源，徹底消除安全隱患。

3.2 建立信息安全技術(shù)策略

3.2.1物理安全策略

物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的工作環(huán)境；防止非法進(jìn)入機(jī)房和各種偷竊、破壞活動(dòng)的發(fā)生，抑制和防止電磁泄露等采取的安全措施。

3.2.2 網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全防護(hù)措施主要包括以下幾種類型：

（1）防火墻技術(shù)。通過防火墻配置，控制內(nèi)部和外部網(wǎng)絡(luò)的訪問策略，結(jié)合上網(wǎng)行為管理，監(jiān)控網(wǎng)絡(luò)流量分配，對(duì)于重要數(shù)據(jù)實(shí)行加密傳輸或加密處理，使只有擁有密鑰的授權(quán)人才能解密獲取信息，保證信息在傳輸過程中的安全。

（2）防病毒技術(shù)。根據(jù)有關(guān)資料統(tǒng)計(jì)，對(duì)電力信息網(wǎng)絡(luò)和二次系統(tǒng)的威脅除了黑客以外，很大程度上是計(jì)算機(jī)病毒造成的。當(dāng)今計(jì)算機(jī)病毒技術(shù)發(fā)展迅速，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)造成很大的損害。采用有效的防病毒軟件、惡意代碼防護(hù)軟件，保障升級(jí)和更新的時(shí)效性，是行之有效的措施。

（3）安全檢測(cè)系統(tǒng)。通過專用工具，定期查找各種漏洞，監(jiān)控網(wǎng)絡(luò)的運(yùn)行狀況。在電力二次系統(tǒng)之間安裝IDS入侵檢測(cè)軟件等，確保對(duì)網(wǎng)絡(luò)非法訪問、入侵行為做到及時(shí)報(bào)警，防止非法入侵。

3.2.3安全策略管理

對(duì)建的電力二次系統(tǒng)必須在建設(shè)過程中進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，并根據(jù)評(píng)估結(jié)果制定安全策略；對(duì)已投運(yùn)且已建立安全體系的系統(tǒng)定期進(jìn)行漏洞掃描，以便及時(shí)發(fā)現(xiàn)系統(tǒng)的安全漏洞；定期分析本系統(tǒng)的安全風(fēng)險(xiǎn)，分析當(dāng)前黑客非法入侵的特點(diǎn)，及時(shí)調(diào)整安全策略。

3.2.4 數(shù)據(jù)庫的安全策略

數(shù)據(jù)庫的安全策略包括安全管理策略、訪問控制策略和信息控制策略。但數(shù)據(jù)庫的安全問題最主要的仍是訪問控制策略。就訪問控制策略分類而言，它可以分為以下幾種策略。

（1） 最小特權(quán)策略： 是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些權(quán)限恰好可以讓用戶完成自己的工作，其余的權(quán)利一律不給。

（2） 數(shù)據(jù)庫加密策略： 數(shù)據(jù)加密是保護(hù)數(shù)據(jù)在存儲(chǔ)和傳遞過程中不被竊取或修改的有效手段。

（3）數(shù)據(jù)庫備份策略：就是保證在數(shù)據(jù)庫系統(tǒng)出故障時(shí)，能夠?qū)?shù)據(jù)庫系統(tǒng)還原到正常狀態(tài)。

（4）審計(jì)追蹤策略：是指系統(tǒng)設(shè)置相應(yīng)的日志記錄，特別是對(duì)數(shù)據(jù)更新、刪除、修改的記錄，以便日后查證。

篇8

關(guān)鍵詞：電子政務(wù)；信息安全；保障體系

說起電子政務(wù)，大家也許首先想到的就是各級(jí)政府門戶網(wǎng)站，認(rèn)為電子政務(wù)就是通過政府門戶網(wǎng)站提供的便民公共查詢窗口查詢信息或是通過網(wǎng)上辦事通道辦理申請(qǐng)或?qū)徟鷺I(yè)務(wù)。這是狹隘的理解，門戶網(wǎng)站只是電子政務(wù)的一部分，并不是電子政務(wù)的全部。電子政務(wù)是“運(yùn)用計(jì)算機(jī)、網(wǎng)絡(luò)和通信等現(xiàn)代信息技術(shù)手段，實(shí)現(xiàn)政務(wù)組織結(jié)構(gòu)和工作流程的優(yōu)化重組，超越時(shí)間、空間和部門分隔的限制，簡(jiǎn)稱一個(gè)精簡(jiǎn)、高效、廉潔、公平的政府運(yùn)作模式，以便全方位地向社會(huì)提供優(yōu)質(zhì)、規(guī)范、透明、符合國(guó)際水準(zhǔn)的管理與服務(wù)?！?/p>

簡(jiǎn)單講，電子政務(wù)就是政府通過現(xiàn)代通信技術(shù)手段組建一個(gè)優(yōu)于傳統(tǒng)模式的政府運(yùn)作模式，并向社會(huì)提供管理與服務(wù)。其實(shí)，電子政務(wù)離我們并不遙遠(yuǎn)，它已經(jīng)深入到了我們的日常生活中。舉個(gè)例子，我國(guó)于1993年開始啟動(dòng)“金卡工程”，它以計(jì)算機(jī)、通信等現(xiàn)代科技為基礎(chǔ)，以銀行卡等為介質(zhì)，通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，以電子信息轉(zhuǎn)帳形式實(shí)現(xiàn)貨幣流通。如今，我們使用帶有銀聯(lián)標(biāo)志的金融卡可以在任意標(biāo)有銀聯(lián)標(biāo)志的商戶進(jìn)行消費(fèi)，我們可以通過銀行ATM機(jī)辦理同城或異地，同行或跨行轉(zhuǎn)賬匯款等業(yè)務(wù)，使用銀行卡進(jìn)行消費(fèi)、轉(zhuǎn)帳、結(jié)算正逐漸成為一種時(shí)尚，“金卡工程”實(shí)現(xiàn)了“一卡在手、走遍神州”，為企業(yè)和個(gè)人提供了方便、快捷、安全的支付和消費(fèi)手段，與此同時(shí)，它使企業(yè)和個(gè)人的交易、轉(zhuǎn)帳、消費(fèi)和稅收納入國(guó)家統(tǒng)計(jì)體系之內(nèi)，加強(qiáng)了國(guó)家的監(jiān)管。又如我國(guó)于2001年開始啟動(dòng)的“金關(guān)工程”，它在實(shí)現(xiàn)海關(guān)內(nèi)部作業(yè)流電子化的同時(shí)，利用現(xiàn)代信息技術(shù)，依托國(guó)家電信公網(wǎng)，將進(jìn)出口業(yè)務(wù)信息流、資金流、貨物流信息集中存放在一個(gè)公共數(shù)據(jù)中心，監(jiān)管部門可以進(jìn)行跨部門、跨行業(yè)的聯(lián)網(wǎng)數(shù)據(jù)核查，企業(yè)可以上網(wǎng)辦理出口退稅、報(bào)關(guān)申報(bào)、轉(zhuǎn)關(guān)申報(bào)等多種進(jìn)出口手續(xù)。

1 電子政務(wù)系統(tǒng)安全保障的重要性

電子政務(wù)已覆蓋到我國(guó)金融、進(jìn)出口貿(mào)易、社會(huì)保障、稅務(wù)、公安、財(cái)政審計(jì)等多個(gè)領(lǐng)域，電子政務(wù)系統(tǒng)的穩(wěn)定和數(shù)據(jù)安全關(guān)系重大，我國(guó)對(duì)電子政務(wù)的信息安全工作非常重視，中央辦公廳于2003年下發(fā)了《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）、公安部于2004年9月了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）、國(guó)信辦于2005年9月了《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南（試行）》（國(guó)信辦[2005]25號(hào)），供各級(jí)黨政機(jī)關(guān)在新建電子政務(wù)系統(tǒng)和已建電子政務(wù)系統(tǒng)中開展信息安全等級(jí)保護(hù)工作參考。保證電子政務(wù)系統(tǒng)實(shí)現(xiàn)其功能和保證電子政務(wù)系統(tǒng)的數(shù)據(jù)安全是電子政務(wù)系統(tǒng)安全保障的兩項(xiàng)基本任務(wù)。

2 信息安全管理體系建設(shè)

電子政務(wù)的安全保障是依托對(duì)電子政務(wù)信息系統(tǒng)的安全保障實(shí)現(xiàn)的，信息安全管理應(yīng)該建立在一套完備的安全管理體系基礎(chǔ)之上的，由電子政務(wù)信息系統(tǒng)的建設(shè)維護(hù)單位自上而下的開展。

2.1 信息安全管理體系建設(shè)的內(nèi)容

安全管理體系應(yīng)該包括安全方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)獲取開發(fā)和維護(hù)、信息安全事件管理、業(yè)務(wù)連續(xù)性管理和符合性等內(nèi)容。具體要求參見我國(guó)2008年的《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》（GB/T 22080-2008）。

2.2 信息安全管理體系建設(shè)的意義

建立完善的信息安全管理體系，使得電子政務(wù)信息系統(tǒng)能夠有專門的組織或機(jī)構(gòu)負(fù)責(zé)其安全管理，有了明確的職責(zé)劃分和責(zé)任認(rèn)定，有助于順利開展組織的信息安全管理工作。在信息系統(tǒng)全生命周期內(nèi)對(duì)構(gòu)成信息系統(tǒng)的各要素的安全管理進(jìn)行規(guī)范化管理，形成制度體系，以便其落地實(shí)施，會(huì)使電子政務(wù)信息系統(tǒng)的安全管理更加科學(xué)化、規(guī)范化和標(biāo)準(zhǔn)化。

3 安全基礎(chǔ)設(shè)施建設(shè)

電子政務(wù)信息系統(tǒng)的建設(shè)和運(yùn)行需要基礎(chǔ)設(shè)施的支撐，電子政務(wù)面向社會(huì)公眾或特定人群提供服務(wù)，首先要搭建與互聯(lián)網(wǎng)對(duì)接的網(wǎng)絡(luò)系統(tǒng)，再解決互聯(lián)網(wǎng)絡(luò)上的用戶身份鑒別問題，此外還要根據(jù)國(guó)家信息安全等級(jí)保護(hù)的有關(guān)要求，結(jié)合電子政務(wù)所在的行業(yè)以及提供服務(wù)的性質(zhì)，考慮系統(tǒng)和數(shù)據(jù)的容災(zāi)備份。

3.1 網(wǎng)絡(luò)建設(shè)與安全域劃分

電子政務(wù)往往需要建設(shè)專有網(wǎng)絡(luò)系統(tǒng)，以便將業(yè)務(wù)覆蓋到本行業(yè)的下一級(jí)乃至更下一級(jí)的業(yè)務(wù)部門，如“金保工程”將建立三級(jí)網(wǎng)絡(luò)納為其建設(shè)內(nèi)容，即搭建中央、省、市三級(jí)安全高效的網(wǎng)絡(luò)系統(tǒng)；“金關(guān)工程”中也包含主干網(wǎng)建設(shè)內(nèi)容。電子政務(wù)信息系統(tǒng)建設(shè)單位可以根據(jù)電子政務(wù)所處行業(yè)、服務(wù)和管理內(nèi)容等，制定網(wǎng)絡(luò)建設(shè)規(guī)劃，并根據(jù)電子政務(wù)信息系統(tǒng)的安全保護(hù)級(jí)別相對(duì)應(yīng)的要求劃分網(wǎng)絡(luò)安全域。

3.2 公鑰基礎(chǔ)設(shè)施（PKI）

公鑰基礎(chǔ)設(shè)施PKI利用數(shù)字證書標(biāo)識(shí)密鑰持有人的身份，通過對(duì)密鑰的規(guī)范化管理，構(gòu)建和維護(hù)一個(gè)可信賴的系統(tǒng)環(huán)境，為應(yīng)用系統(tǒng)提供身份認(rèn)證、數(shù)據(jù)保密性和完整性、抗抵賴等各種必要的安全保障。電子政務(wù)需要面向社會(huì)群眾或特定群體通過網(wǎng)絡(luò)提供服務(wù)，就需要解決網(wǎng)絡(luò)環(huán)境下的身份鑒別與抗抵賴性問題，即解決如何驗(yàn)證用戶為合法用戶，以及如何防止用戶否認(rèn)其行為的問題。公鑰基礎(chǔ)設(shè)施（PKI）就能夠很好的解決上述問題。稅務(wù)系統(tǒng)和電子口岸就采用了PKI技術(shù)，在電子政務(wù)信息系統(tǒng)中應(yīng)用PKI，在保證電子政務(wù)系統(tǒng)安全的前提下，解決了電子政務(wù)系統(tǒng)中的抗抵賴性問題。

3.3 系統(tǒng)與數(shù)據(jù)容災(zāi)備份

電子政務(wù)信息系統(tǒng)應(yīng)根據(jù)其信息安全保護(hù)等級(jí)和業(yè)務(wù)連續(xù)性要求選擇是否建設(shè)災(zāi)備系統(tǒng)，以防止因系統(tǒng)終止提供服務(wù)而對(duì)用戶的正常生產(chǎn)生活產(chǎn)生影響，甚至造成社會(huì)影響；電子政務(wù)信息系統(tǒng)應(yīng)根據(jù)其數(shù)據(jù)的重要程度制定數(shù)據(jù)備份策略，以防止因數(shù)據(jù)丟失而造成損失。

4 信息安全防護(hù)體系建設(shè)

電子政務(wù)信息系統(tǒng)依托現(xiàn)代技術(shù)建設(shè)，其安全防護(hù)體系應(yīng)圍繞著它的基礎(chǔ)設(shè)施、硬件設(shè)備（主機(jī)、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）和人（建設(shè)人員、維護(hù)人員、使用人員等）構(gòu)建。

4.1 個(gè)體安全防護(hù)

硬件設(shè)備是構(gòu)成電子政務(wù)信息系統(tǒng)的最小單元，針對(duì)硬件本身進(jìn)行的安全防護(hù)可看做是個(gè)體安全防護(hù)。個(gè)體安全防護(hù)的目標(biāo)是提升個(gè)體的安全防護(hù)能力。針對(duì)不同類型的硬件設(shè)備，有不同的安全防護(hù)手段或技術(shù)。例如：應(yīng)針對(duì)不同操作系統(tǒng)和版本的主機(jī)設(shè)置安全加固配置基線，統(tǒng)一管理主機(jī)安全配置；部署Windows操作系統(tǒng)的服務(wù)器需要安裝防病毒軟件；及時(shí)更新系統(tǒng)補(bǔ)??；加強(qiáng)個(gè)體的賬號(hào)管理和訪問控制；部署第三方加固軟件等。

4.2 區(qū)域安全防護(hù)

電子政務(wù)信息系統(tǒng)的網(wǎng)絡(luò)依據(jù)其功能和互聯(lián)需求劃分為不同的安全區(qū)域，安全域是指同一環(huán)境內(nèi)有相同的安全保護(hù)需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡(luò)或系統(tǒng)。例如：有與互聯(lián)網(wǎng)聯(lián)通需求的網(wǎng)絡(luò)需要?jiǎng)澐謱ｉT區(qū)域用于接入互聯(lián)網(wǎng)。

區(qū)域安全防護(hù)包括邊界安全防護(hù)和區(qū)域安全管理兩部分。不同安全域之間以及內(nèi)部網(wǎng)與外部網(wǎng)之間形成的界限稱為邊界，邊界安全防護(hù)的目標(biāo)是阻止未被允許的訪問，具體可通過防火墻、交換機(jī)、入侵防御、防病毒網(wǎng)關(guān)等實(shí)現(xiàn)；區(qū)域安全管理的目標(biāo)是掌握區(qū)域內(nèi)的安全狀態(tài)，及時(shí)處置區(qū)域內(nèi)產(chǎn)生的安全事件，具體可通過漏洞掃描、安管中心、安全審計(jì)等實(shí)現(xiàn)。

4.3 基礎(chǔ)設(shè)施安全防護(hù)

電子政務(wù)信息系統(tǒng)最為關(guān)鍵的基礎(chǔ)設(shè)施是運(yùn)行機(jī)房，機(jī)房?jī)?nèi)運(yùn)行著所有的硬件資產(chǎn)和軟件資產(chǎn)，其安全防護(hù)工作包括機(jī)房電磁屏蔽、消防、電氣、空調(diào)、防盜等等。

4.4 信息安全審計(jì)

將信息安全審計(jì)作為單獨(dú)一條是用來強(qiáng)調(diào)它的重要性，電子政務(wù)信息系統(tǒng)的建設(shè)和運(yùn)維都離不開人，對(duì)人員的安全管理是保障安全方針策略得到有效執(zhí)行的關(guān)鍵?！氨咀钊菀讖膬?nèi)部攻破”，再安全的外部防御也無法抵擋由內(nèi)而外的攻擊。電子政務(wù)系統(tǒng)往往會(huì)因其特殊的應(yīng)用而產(chǎn)生許多敏感數(shù)據(jù)，這些數(shù)據(jù)大多涉及個(gè)人及企業(yè)團(tuán)體的基本信息數(shù)據(jù)及其生產(chǎn)數(shù)據(jù)等，部分還會(huì)涉及商業(yè)秘密，一旦發(fā)生人為的泄密、數(shù)據(jù)盜取、后門等安全事件，其后果將不堪設(shè)想。因此需要電子政務(wù)信息系統(tǒng)建設(shè)維護(hù)單位建立完善的信息安全審計(jì)體系，對(duì)系統(tǒng)建設(shè)和維護(hù)的關(guān)鍵環(huán)節(jié)實(shí)施信息安全審計(jì)，通過制度宣貫和技術(shù)手段起到威懾的作用，讓人員有“伸手必備捉”的危機(jī)感。

5 明確第三方服務(wù)保障

電子政務(wù)信息系統(tǒng)的建設(shè)離不開第三方的支持，網(wǎng)絡(luò)線路需要向運(yùn)營(yíng)商申請(qǐng)并由其保障線路通信質(zhì)量，軟硬件設(shè)備需要向供應(yīng)商采購并由其提供維保服務(wù)和技術(shù)支持，部分單位的電子政務(wù)信息系統(tǒng)是委托第三方開發(fā)建設(shè)的或有委托第三方進(jìn)行運(yùn)行維護(hù)的，等等。第三方的服務(wù)保障質(zhì)量、對(duì)已掌握的資源是否嚴(yán)格管理等問題關(guān)系到電子政務(wù)信息系統(tǒng)的安全，因此有必要與第三方簽訂明確的服務(wù)保障合同，確定第三方的責(zé)任和義務(wù)、提出第三方的保障要求并簽訂相應(yīng)的保密協(xié)議。

6 結(jié)語

我國(guó)電子政務(wù)的建設(shè)還將不斷持續(xù)下去，已建的或正在籌建的電子政務(wù)都應(yīng)重視電子政務(wù)的信息安全保障問題，認(rèn)真思考建立適合的信息安全防護(hù)體系，為電子政務(wù)提供安全可靠的支撐平臺(tái)。

參考文獻(xiàn)

[1] 侯衛(wèi)真 《電子政務(wù)的建設(shè)與發(fā)展》[M] 中國(guó)人民大學(xué)出版社 2006.3

篇9

為了增強(qiáng)國(guó)家經(jīng)濟(jì)的可持續(xù)性快速發(fā)展，增強(qiáng)國(guó)家的綜合實(shí)力，黨的十六大報(bào)告中明確提出“堅(jiān)持以信息化帶動(dòng)工業(yè)化，以工業(yè)化促進(jìn)信息化”的發(fā)展戰(zhàn)略，十七大報(bào)告提出“大力推進(jìn)信息化與工業(yè)化融合”?？梢钥闯?，對(duì)信息化在國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展全局中地位和作用的認(rèn)識(shí)隨著我國(guó)經(jīng)濟(jì)發(fā)展在逐步深化。

隨著企業(yè)信息化建設(shè)的不斷推進(jìn)，信息在整個(gè)企業(yè)經(jīng)營(yíng)過程中起著至關(guān)重要的作用，信息安全是信息化可持續(xù)發(fā)展的保障，信息是社會(huì)發(fā)展的重要戰(zhàn)略資源。網(wǎng)絡(luò)信息安全已成為急待解決，影響企業(yè)發(fā)展極為關(guān)鍵的問題。

一、信息安全至關(guān)重要

信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。

國(guó)際信息系統(tǒng)安全核準(zhǔn)聯(lián)盟（ISC2）公布其全球信息安全專業(yè)人員調(diào)查，并指出近四分之三的信息安全從業(yè)人士認(rèn)為，避免企業(yè)信譽(yù)受損是安全項(xiàng)目的首要任務(wù)?！?008 全球信息安全從業(yè)員研究》(“GISWS”) 由 Frost & Sullivan 代表ISC2進(jìn)行。共有來自100多個(gè)國(guó)家的企業(yè)和公共部門機(jī)構(gòu)的7,548名信息安全從業(yè)人員接受了調(diào)查。數(shù)據(jù)丟失和審核所帶來的壓力已經(jīng)使信息安全的可靠性受到企業(yè)管理層的關(guān)注。

由國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的《2007年網(wǎng)絡(luò)安全工作報(bào)告》稱，網(wǎng)絡(luò)信息系統(tǒng)存在的安全漏洞和隱患層出不窮，利益驅(qū)使下的地下黑客產(chǎn)業(yè)繼續(xù)發(fā)展，網(wǎng)絡(luò)攻擊的種類和數(shù)量成倍增長(zhǎng)，終端用戶和互聯(lián)網(wǎng)企業(yè)是主要的受害者，基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)面臨著嚴(yán)峻的安全威脅。2007年各種網(wǎng)絡(luò)安全事件與2006年相比都有顯著增加。企業(yè)在面對(duì)外憂的同時(shí)，還要承受內(nèi)患的威脅。企業(yè)或許通過構(gòu)建數(shù)據(jù)隔離系統(tǒng)能有效防御外部攻擊，但對(duì)內(nèi)部的主動(dòng)泄密卻毫無招架之力，有數(shù)據(jù)顯示，目前,泄密事件78.9％的損失都是由內(nèi)部主動(dòng)泄密導(dǎo)致。除了防御外部攻擊外，內(nèi)網(wǎng)的管理也至關(guān)重要。

二、信息安全的基本目標(biāo)

信息安全通常強(qiáng)調(diào)所謂CIA三元組的目標(biāo)，即:保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。CIA 概念的闡述源自信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（Information Technology Security Evaluation Criteria，ITSEC），它也是信息安全的基本要素和安全建設(shè)所應(yīng)遵循的基本原則。1.保密性：確保信息在存儲(chǔ)、使用、傳輸過程中不會(huì)泄漏給非授權(quán)用戶或?qū)嶓w。2.完整性：確保信息在存儲(chǔ)、使用、傳輸過程中不會(huì)被非授權(quán)用戶篡改，同時(shí)還要防止授權(quán)用戶對(duì)系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇鄹?，保持信息?nèi)、外部表示的一致性。3.可用性：確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問信息及資源。

除了CIA，信息安全還有一些其他原則，包括可追溯性（Accountability）、抗抵賴性（Non-repudiation）、真實(shí)性（Authenticity）、可控性（Controllable）等，這些都是對(duì)CIA 原則的細(xì)化、補(bǔ)充或加強(qiáng)。

三、信息安全漏洞

企業(yè)信息化建設(shè)，既能使企業(yè)獲得發(fā)展的先機(jī)，提高和鞏固企業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)，也能給企業(yè)帶來新的風(fēng)險(xiǎn)。信息安全就是其中的核心問題。信息安全問題控制不當(dāng)，企業(yè)信息化不但無法提高企業(yè)活力，還可能給企業(yè)帶來災(zāi)難性的后果，威脅企業(yè)的生存。企業(yè)信息安全的威脅大致有以下幾方面。

1.外部威脅。⑴軟件系統(tǒng)漏洞：wndows系統(tǒng)的脆弱被大家公認(rèn)。在2007年中，這種情況有了新的改變，百度搜霸、暴風(fēng)影音、Qvod（Q播）、realplayer等流行軟件取代了windows的“漏洞王”地位。⑵網(wǎng)絡(luò)攻擊：①“黑客”侵入：竊取企業(yè)信息、篡改企業(yè)數(shù)據(jù)庫、干擾用戶之間的通訊信息、攻擊服務(wù)系統(tǒng)造成系統(tǒng)癱瘓。②計(jì)算機(jī)病毒：瀏覽器配置被修改、數(shù)據(jù)受損或丟失、系統(tǒng)使用受限、網(wǎng)絡(luò)無法使用、密碼被盜是計(jì)算機(jī)病毒造成的主要破壞后果。2007年我國(guó)計(jì)算機(jī)病毒感染率為91.4%，為歷年來最高；多次感染病毒的比率為54%，仍然維持在較高水平。③郵件災(zāi)難：企業(yè)管理人員隨時(shí)可能發(fā)送涉及高度敏感話題的未加密電子郵件（股票發(fā)行、新產(chǎn)品計(jì)劃、合并、收購等等），而它極易被人截獲并加以利用。批量發(fā)送的未經(jīng)收信人許可垃圾郵件已嚴(yán)重影響正常網(wǎng)絡(luò)通信，企業(yè)帶來時(shí)間和金錢上的損失。同時(shí)，垃圾郵件已成為黑客助紂為虐的工具。而通過電子郵件攜帶及傳播惡意代碼、病毒等更是對(duì)系統(tǒng)造成嚴(yán)重后果；④自然災(zāi)害、意外事故：地震、水災(zāi)、火災(zāi)等自然災(zāi)害將對(duì)系統(tǒng)造成毀滅性的傷害；意外事故（斷電、水浸、蟲咬）同樣不可忽視。

2.內(nèi)部威脅。⑴系統(tǒng)風(fēng)險(xiǎn)：硬件選配不合適，環(huán)境不合要求，設(shè)備安裝不規(guī)范等；信息技術(shù)方案選擇失誤，信息技術(shù)的快速增長(zhǎng)并沒有反映到你的系統(tǒng)中，使得系統(tǒng)安全性減弱；⑵非授權(quán)訪問：未經(jīng)系統(tǒng)授權(quán)而使用網(wǎng)絡(luò)或計(jì)算機(jī)資源；⑶人為錯(cuò)誤,比如:使用不當(dāng)，安全意識(shí)差等；⑷計(jì)算機(jī)犯罪：惡意竊取、或出售企業(yè)機(jī)密；⑸管理漏洞：沒有嚴(yán)格的信息安全方針和規(guī)程；管理層不重視，不能保證足夠的安全預(yù)算；用戶權(quán)限設(shè)置混亂；過多的文件讀/寫權(quán)限，休眠的用戶賬戶也是一個(gè)常見的安全風(fēng)險(xiǎn)。

四、信息安全控制

1.及時(shí)修補(bǔ)軟件漏洞。在日常的安全防護(hù)中，不但要重視Windows系統(tǒng)漏洞的彌補(bǔ)，還要注意防范應(yīng)用軟件的漏洞。某些IE瀏覽器的插件、輸入法、影音播放等應(yīng)用軟件，都可能成為“黑客”病毒攻擊的對(duì)象。用戶使用這些軟件時(shí)不要僅僅關(guān)注他們的功能，還要注意其安全性能，并使用最新版本的軟件。

2.快速事故響應(yīng)。及時(shí)制定事故相應(yīng)方針和規(guī)程，告訴用戶當(dāng)發(fā)生事故或入侵時(shí)應(yīng)該做什么、如何做、采取行動(dòng)的時(shí)間以及向誰報(bào)告，這將決定企業(yè)機(jī)密信息的命運(yùn)。

3.啟用防火墻。制定防火墻方針和規(guī)程，指定專人負(fù)責(zé)、定期升級(jí)、應(yīng)用最新補(bǔ)丁、及時(shí)培訓(xùn)，閱讀審核日志，使用檢測(cè)軟件，快速響應(yīng)，要求安全證據(jù)。

4.跟蹤外部連接。隨著電子商務(wù)的開展，越來越多的企業(yè)使用Internet來交換重要的商業(yè)信息，從而引起外部連接數(shù)目的激增，包括資金和財(cái)務(wù)數(shù)據(jù)。有必要專人負(fù)責(zé)跟蹤外部連接，記錄并定期提交詳細(xì)的連接狀態(tài)報(bào)告。

5.加密/過濾電子郵件。電子郵件加密套件十分容易安裝，并且對(duì)用戶來說近乎透明，能對(duì)用戶的隱私進(jìn)行有效地加密保護(hù)；更為重要的是你必須使用垃圾郵件過濾軟件，阻止各種兜售信息（垃圾郵件）、病毒恐慌、真正的病毒、蠕蟲、特洛伊木馬等的攻擊。

6.貫徹冗余方案。建立冷備份、熱備份和冗余備份。冷備份指除一個(gè)在用網(wǎng)絡(luò)外，還有一備份網(wǎng)絡(luò)。備份網(wǎng)絡(luò)在日常處理時(shí)不開機(jī)，一旦發(fā)現(xiàn)網(wǎng)絡(luò)出現(xiàn)故障，立即啟動(dòng)備份網(wǎng)絡(luò)，代替生產(chǎn)網(wǎng)絡(luò)進(jìn)行工作。熱備份指?jìng)浞菥W(wǎng)絡(luò)也開機(jī)運(yùn)行，但并不服務(wù)。一旦網(wǎng)絡(luò)失效，備份網(wǎng)絡(luò)即自動(dòng)代替生產(chǎn)網(wǎng)絡(luò)進(jìn)入服務(wù)。冗余備份則是多個(gè)網(wǎng)絡(luò)同時(shí)進(jìn)行服務(wù)，一個(gè)網(wǎng)絡(luò)的失效不影響整個(gè)系統(tǒng)的運(yùn)行。

7.加強(qiáng)內(nèi)部管理。企業(yè)應(yīng)建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法，加強(qiáng)內(nèi)部管理，建立合適的網(wǎng)絡(luò)安全管理系統(tǒng)，加強(qiáng)用戶管理和授權(quán)管理，建立安全審計(jì)和跟蹤體系，及時(shí)進(jìn)行用戶培訓(xùn)，提高整體網(wǎng)絡(luò)安全和法律意識(shí)；

五、結(jié)語

國(guó)民經(jīng)濟(jì)的發(fā)展，綜合國(guó)力的提升，提高企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力，企業(yè)信息化是必經(jīng)之路。實(shí)現(xiàn)信息安全是企業(yè)信息化成敗的關(guān)鍵，它不但靠先進(jìn)的技術(shù)，而且也得靠嚴(yán)格的安全管理，法律約束和安全教育

參考文獻(xiàn)：

[1]Linda McCarthy：《信息安全-企業(yè)抵御風(fēng)險(xiǎn)之道》，清華大學(xué)出版社，2003。

[2]飄搖：《信息安全成為當(dāng)前全球企業(yè)信息化首要任務(wù)》，賽迪網(wǎng)，2008.4。

[3]國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 ：《2007年網(wǎng)絡(luò)安全工作報(bào)告》，2008。

篇10

(1)內(nèi)部外部泄密

一般黑客的目標(biāo)是竊取數(shù)據(jù)或者破壞系統(tǒng)，但是也有一些黑客直接入侵網(wǎng)絡(luò)系統(tǒng)，將文件服務(wù)器的數(shù)據(jù)進(jìn)行刪除或自發(fā)直到計(jì)算機(jī)系統(tǒng)完全癱瘓甚至崩潰。

(2)黑客攻擊

這是計(jì)算機(jī)網(wǎng)絡(luò)要面臨的最大威脅，這種攻擊又分為兩種，一種是網(wǎng)絡(luò)攻擊，它以前選擇的破壞對(duì)方的數(shù)據(jù)信息為主，另一種是網(wǎng)絡(luò)偵察，它不影響網(wǎng)絡(luò)正常工作，平時(shí)也難以察覺，它在潛伏的過程中截取、竊取、破譯目標(biāo)計(jì)算機(jī)的機(jī)密信息。

(3)軟件漏洞

操作系統(tǒng)與各種軟件的程序編寫中，自身的設(shè)計(jì)、結(jié)構(gòu)都有可能不完善，出現(xiàn)缺陷或漏洞，這都能被計(jì)算機(jī)病毒和某些程序惡意利用，它們會(huì)使計(jì)算機(jī)在網(wǎng)絡(luò)中處于非常危險(xiǎn)的境地。

2計(jì)算機(jī)網(wǎng)絡(luò)信息安全的防護(hù)措施

(1)制定網(wǎng)絡(luò)信息安全的政策法規(guī)

信息安全管理主要包括組織建設(shè)、法律制度建設(shè)、人事關(guān)理三個(gè)方面的內(nèi)容。組織建設(shè)要求成立負(fù)責(zé)信息安全的專門行政機(jī)構(gòu)，該機(jī)負(fù)負(fù)責(zé)制定和審查保障信息安全方面的法律制度，制定制度能夠被實(shí)施的方針、原則、政策，并做好協(xié)調(diào)、監(jiān)督、檢查方面的工作。制度建設(shè)是指用建全的法律法規(guī)來保證計(jì)算機(jī)網(wǎng)絡(luò)信息的安全。人事管理主要包括計(jì)算機(jī)網(wǎng)絡(luò)管理者，防止他們因工作失誤與出于私人利益破壞信息安全。

(2)健全計(jì)算機(jī)網(wǎng)絡(luò)信息安護(hù)系統(tǒng)

計(jì)算機(jī)安防系統(tǒng)包括做好檢測(cè)與審計(jì)入侵、網(wǎng)絡(luò)漏洞掃描、檢測(cè)病毒、網(wǎng)絡(luò)監(jiān)控等方面面的內(nèi)容。檢測(cè)與審計(jì)入侵可對(duì)內(nèi)部、外部攻擊進(jìn)行實(shí)時(shí)監(jiān)控，在信息安全受到威脅時(shí)進(jìn)行報(bào)警、攔截、響應(yīng)；網(wǎng)絡(luò)漏動(dòng)掃描的技術(shù)層面包括掃描通信線路是否被竊聽，通信協(xié)議與操作系統(tǒng)是否存在漏洞等；非技術(shù)層面包括做好安裝入侵檢測(cè)和漏洞掃描系統(tǒng)，同時(shí)制定網(wǎng)絡(luò)管理規(guī)范，與規(guī)范信息安全制度；病毒檢查是指主動(dòng)截殺計(jì)算機(jī)病毒，并做好未知病毒的查殺功能。

(3)對(duì)傳輸數(shù)據(jù)加密

要防止傳輸中數(shù)據(jù)流失泄密，可以通過節(jié)點(diǎn)加密、鏈路加密、端—端加密等幾種加密方法。節(jié)點(diǎn)加密是指源節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)時(shí)進(jìn)行加密；鏈路加密是數(shù)據(jù)包在傳輸鏈路中進(jìn)行加密切聯(lián)系，端—端加密是指對(duì)源端到用戶端的數(shù)據(jù)包進(jìn)行加密。

(4)加強(qiáng)認(rèn)證技術(shù)

認(rèn)證是指對(duì)信息交換的合法性、真實(shí)性、有效性進(jìn)行認(rèn)可和證實(shí)，身份認(rèn)證是指用戶進(jìn)入信息系統(tǒng)前，對(duì)身份進(jìn)行認(rèn)證，只有合法的用戶才能進(jìn)行信息系統(tǒng)。目前網(wǎng)絡(luò)認(rèn)證一般使用口令認(rèn)證、磁卡認(rèn)證、生物認(rèn)證等方法。數(shù)字簽名是密碼技術(shù)在身份認(rèn)證中的一種應(yīng)用，數(shù)字簽名具有唯一性、可靠性、安全性的特證，它能證明某個(gè)領(lǐng)域中某一主體身分的合法性，能保護(hù)數(shù)據(jù)的完整性、機(jī)密性、抗否定性。

(5)部署防病毒系統(tǒng)

防病毒系統(tǒng)是指在計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中防治計(jì)算機(jī)病毒，防止計(jì)算機(jī)信息系統(tǒng)被破壞，防止數(shù)據(jù)信息受損。目前防治病毒的主要技術(shù)是依靠防毒軟件、防毒模塊、防毒芯片，防病毒素統(tǒng)必須加快研究的步伐。

(6)使用電磁屏蔽手段

電子系統(tǒng)在工作的時(shí)候能發(fā)送電磁輻射，如果沒有做好電磁屏蔽工作，可以通過專門的接受儀器接收電磁信號(hào)，只要對(duì)信息進(jìn)行處理，就能破譯出源信息，造成信息失密。如果用電磁泄漏接收信息會(huì)比其它方法更及時(shí)、更精準(zhǔn)、更連續(xù)、更隱蔽，因此要對(duì)計(jì)算機(jī)外部設(shè)備、網(wǎng)絡(luò)通信線路、傳輸設(shè)備、連接設(shè)備都做好信息屏蔽工作，可以使屏蔽、隔離、濾波、接地等方法進(jìn)行屏蔽。

(7)使用防火強(qiáng)進(jìn)行隔離

使用防火墻技術(shù)可以保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)與外部的網(wǎng)絡(luò)進(jìn)行安全隔離，以免發(fā)生破壞性入侵、信息資源破壞等等事故。防火強(qiáng)是經(jīng)過設(shè)置安全過濾防止內(nèi)、外網(wǎng)用戶非法防問，通過設(shè)置時(shí)間安全規(guī)則變化與策略，控制內(nèi)、外網(wǎng)訪問時(shí)間，同時(shí)它將MCA地址與IP綁定，防止出現(xiàn)IP地址欺騙。

(8)建立安全信息體系