導(dǎo)語：如何才能寫好一篇企業(yè)信息安全的概念，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源,對于企業(yè)自身來說具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來,企業(yè)的各項經(jīng)營活動都逐漸開始通過計算機(jī),網(wǎng)絡(luò)開展,因此,企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時將企業(yè)信息安全管理與風(fēng)險控制結(jié)合起來,這是一個正確的選擇,能夠幫助企業(yè)實現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風(fēng)險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險控制的定義。企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡單來說是指企業(yè)通過各種手段來保護(hù)企業(yè)硬件和軟件,保護(hù)網(wǎng)絡(luò)存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認(rèn)定通過包括4個指標(biāo),即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理,其中很重要的一項工作在于保護(hù)信源、信號以及信息。

信息安全管理是一項需要綜合學(xué)科知識基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計算機(jī)技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講,最為關(guān)鍵的一項工作時保護(hù)企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過建立完善的企業(yè)風(fēng)險控制體系來幫助企業(yè)實現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。所以,怎樣把企業(yè)信息安全管理與風(fēng)險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風(fēng)險控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險體系實現(xiàn)。

企業(yè)的信息安全風(fēng)險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對企業(yè)的信息進(jìn)行風(fēng)險預(yù)估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風(fēng)險,從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險體系建立主要包含以下幾個方面的內(nèi)容。第一,建立企業(yè)信息安全風(fēng)險管理制度,明確企業(yè)信息安全管理的責(zé)任分配機(jī)制,明確企業(yè)各個部門對各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問責(zé)機(jī)制。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險管理指標(biāo),對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險定級,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三,企業(yè)要加強對信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險意識,讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性。第四,將企業(yè)信息安全管理與風(fēng)險控制有效融合,重視企業(yè)信息安全管理工作,通過風(fēng)險控制對企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對于企業(yè)來說,企業(yè)信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計,目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上,對企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險意識并沒有嚴(yán)格要求。此外,絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒有通過建立相關(guān)管理制度以及問責(zé)機(jī)制對企業(yè)信息安全管理工作人員實行監(jiān)督,這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計算機(jī)技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說成熟的計算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實是許多企業(yè)的信息安全管理技術(shù)并不過關(guān),一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對企業(yè)信息缺乏保護(hù),另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗,企業(yè)信息安全管理的知識也并沒有及時更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂,很多服務(wù)器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一,企業(yè)員工對于信息安全管理的認(rèn)識嚴(yán)重不足,對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機(jī)系統(tǒng)安全的計算機(jī)防病毒軟件并沒有及時更新,使用,甚至企業(yè)內(nèi)部計算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān),認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內(nèi)部信息安全文秘站:管理制度并沒有形成聯(lián)動機(jī)制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段 1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu),它的設(shè)計初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來實現(xiàn),而安全服務(wù)又是由各種安全機(jī)制來保障的。所以,安全服務(wù)標(biāo)志著一個安全系統(tǒng)的抗風(fēng)險的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個部分:響應(yīng)、安全策略、檢測、防護(hù)。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程,必須制定一個企業(yè)的安全模式。在安全策略的指導(dǎo)下實施所有的檢測、防護(hù)、響應(yīng),防護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的,比如有防火墻、訪問控制、加密、認(rèn)證等方法,檢測是動態(tài)響應(yīng)的判斷依據(jù),同時也是有力落實安全策略的實施工具,通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為,可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強調(diào)動態(tài)管理,動態(tài)監(jiān)督,對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理,在實際工作中,通過HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個子系統(tǒng),明確實施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合,實現(xiàn)信息安全監(jiān)控的有效性和高效性。

(2)成立一個中央數(shù)據(jù)庫,整合分布式數(shù)據(jù)庫里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫,實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。

(3)設(shè)計優(yōu)良的人機(jī)界面,通過對企業(yè)數(shù)據(jù)信息進(jìn)行有效的運用,為企業(yè)管理階層人員、各級領(lǐng)導(dǎo)及時提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。

(4)簡化企業(yè)內(nèi)部的信息傳輸通道,對應(yīng)用程序和數(shù)據(jù)庫進(jìn)行程序化設(shè)計,加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計企業(yè)信息安全管理風(fēng)險體系

(1)確定信息安全風(fēng)險評估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險體系的設(shè)計過程中,首要工作是設(shè)計企業(yè)信息安全風(fēng)險評估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險控制為目標(biāo)的信息安全管理工作制度,才能順利通過對風(fēng)險控制的結(jié)果的定量考核,檢測企業(yè)信息安全管理的風(fēng)險,定性定量地企業(yè)信息安全管理工作進(jìn)行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法。

(2)確定信息安全風(fēng)險評估的范圍

不同企業(yè)對于風(fēng)險的承受能力是有區(qū)別的,因此,對于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險控制辦法,其中,不同企業(yè)對于能夠承受的信息安全風(fēng)范圍有所不同,企業(yè)的信息安全風(fēng)險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此,企業(yè)的信息安全風(fēng)險評估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實際經(jīng)營情況變化采取有針對性的辦法。

篇2

隨著信息化進(jìn)程的發(fā)展，信息技術(shù)與網(wǎng)絡(luò)技術(shù)的高度融合，現(xiàn)代企業(yè)對信息系統(tǒng)的依賴性與信息系統(tǒng)本身的動態(tài)性、脆弱性、復(fù)雜性、高投入性之間的矛盾日趨突顯，如何有效防護(hù)信息安全成為了企業(yè)亟待解決的問題之一。目前國內(nèi)企業(yè)在信息安全方面仍側(cè)重于技術(shù)防護(hù)和基于傳統(tǒng)模式下的靜態(tài)被動管理，尚未形成與動態(tài)持續(xù)的信息安全問題相適應(yīng)的信息安全防護(hù)模式，企業(yè)信息安全管理效益低下；另一方面，資源約束性使企業(yè)更加關(guān)注信息安全防護(hù)的投入產(chǎn)出效應(yīng)，最大程度上預(yù)防信息安全風(fēng)險的同時節(jié)省企業(yè)安全建設(shè)、維護(hù)成本，需要從管理角度上更深入地整合和分配資源。

本文針對現(xiàn)階段企業(yè)信息安全出現(xiàn)的問題，結(jié)合項目管理領(lǐng)域的一般過程模型，從時間、任務(wù)、邏輯方面界定了系統(tǒng)的霍爾三維結(jié)構(gòu)，構(gòu)建了標(biāo)準(zhǔn)化的ISM結(jié)構(gòu)模型及動態(tài)運行框架，為信息網(wǎng)絡(luò)、信息系統(tǒng)、信息設(shè)備以及網(wǎng)絡(luò)用戶提供一個全方位、全過程、全面綜合的前瞻性立體防護(hù)，并從企業(yè)、政府兩個層面提出了提高整體信息安全防護(hù)水平的相關(guān)建議。

1 企業(yè)信息安全立體防護(hù)體系概述

1.1 企業(yè)信息安全立體防護(hù)體系概念

信息安全立體防護(hù)體系是指為保障企業(yè)信息的有效性、保密性、完整性、可用性和可控性，提供覆蓋到所有易被威脅攻擊的角落的全方位防護(hù)體系。該體系涵蓋了企業(yè)信息安全防護(hù)的一般步驟、具體階段及其任務(wù)范圍。

1.2 企業(yè)信息安全立體防護(hù)體系環(huán)境分析

系統(tǒng)運行離不開環(huán)境。信息產(chǎn)業(yè)其爆炸式發(fā)展的特性使企業(yè)信息安全的防護(hù)環(huán)境也相對復(fù)雜多變，同時，多樣性的防護(hù)需求要求有相適應(yīng)的環(huán)境與之配套。

企業(yè)信息安全立體防護(hù)體系的運行環(huán)境主要包括三個方面，即社會文化環(huán)境、政府政策環(huán)境、行業(yè)技術(shù)環(huán)境。社會文化環(huán)境主要指在企業(yè)信息安全方面的社會整體教育程度和文化水平、行為習(xí)慣、道德準(zhǔn)則等。政府政策環(huán)境是指國家和政府針對于企業(yè)信息安全防護(hù)出臺的一系列政策和措施。行業(yè)技術(shù)環(huán)境是指信息行業(yè)為支持信息安全防護(hù)所開發(fā)的一系列技術(shù)與相匹配的管理體制。

1.3 企業(yè)信息安全立體防護(hù)體系霍爾三維結(jié)構(gòu)

為平衡信息安全防護(hù)過程中的時間性、復(fù)雜性和主觀性，本文從時間、任務(wù)、邏輯層面建立了企業(yè)信息安全立體防護(hù)體系的三維空間結(jié)構(gòu)，如圖1所示。

時間維是指信息安全系統(tǒng)從開始設(shè)計到最終實施按時間排序的全過程，由分析建立、實施運行、監(jiān)視評審、保持改進(jìn)四個基本時間階段組成，并按PDCA過程循環(huán)[5]。邏輯維是指時間維的每一個階段內(nèi)所應(yīng)該遵循的思維程序，包括信息安全風(fēng)險識別、危險性辨識、危險性評估、防范措施制定、防范措施實施五個步驟。任務(wù)維是指在企業(yè)信息安全防護(hù)的具體內(nèi)容，如網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全等。該霍爾三維結(jié)構(gòu)中任一階段和步驟又可進(jìn)一步展開，形成分層次的樹狀體系。

2 企業(yè)信息安全立體防護(hù)體系解釋結(jié)構(gòu)模型

2.1 ISM模型簡介

ISM（Interpretation Structural Model）技術(shù)，是美國J·N·沃菲爾德教授于1973年為研究復(fù)雜社會經(jīng)濟(jì)系統(tǒng)問題而開發(fā)的結(jié)構(gòu)模型化技術(shù)。該方法通過提取問題的構(gòu)成要素，并利用矩陣等工具進(jìn)行邏輯運算，明確其間的相互關(guān)系和層次結(jié)構(gòu)，使復(fù)雜系統(tǒng)轉(zhuǎn)化成多級遞階形式。

2.2 企業(yè)信息安全立體防護(hù)體系要素分析

本文根據(jù)企業(yè)信息安全的基本內(nèi)容，將立體防護(hù)體系劃分為如下15個構(gòu)成要素：

（1） 網(wǎng)絡(luò)安全：網(wǎng)絡(luò)平臺實現(xiàn)和訪問模式的安全；

（2） 系統(tǒng)安全：操作系統(tǒng)自身的安全；

（3） 數(shù)據(jù)安全：數(shù)據(jù)在存儲和應(yīng)用過程中不被非授權(quán)用戶有意破壞或無意破壞；

（4） 應(yīng)用安全：應(yīng)用接入、應(yīng)用系統(tǒng)、應(yīng)用程序的控制安全；

（5） 物理安全：物理設(shè)備不受物理損壞或損壞時能及時修復(fù)或替換；

（6） 用戶安全：用戶被正確授權(quán)，不存在越權(quán)訪問或多業(yè)務(wù)系統(tǒng)的授權(quán)矛盾；

（7） 終端安全：防病毒、補丁升級、桌面終端管理系統(tǒng)、終端邊界等的安全；

（8） 信息安全風(fēng)險管理：涉及安全風(fēng)險的評估、安全代價的評估等；

（9） 信息安全策略管理：包括安全措施的制定、實施、評估、改進(jìn)；

（10） 信息安全日常管理：巡視、巡檢、監(jiān)控、日志管理等；

（11） 標(biāo)準(zhǔn)規(guī)范體系：安全技術(shù)、安全產(chǎn)品、安全措施、安全操作等規(guī)范化條例；

（12） 管理制度體系：包括配套規(guī)章制度，如培訓(xùn)制度、上崗制度；

（13） 評價考核體系：指評價指標(biāo)、安全測評；

（14） 組織保障：包括安全管理員、安全組織機(jī)構(gòu)的配備；

（15） 資金保障：指建設(shè)、運維費用的投入。

2.3 ISM模型計算

根據(jù)專家對企業(yè)信息安全立體防護(hù)體系中15個構(gòu)成要素邏輯關(guān)系的分析，可得要素關(guān)系如表1所示。

對可達(dá)矩陣進(jìn)行區(qū)域劃分和級位劃分，確定各要素所處層次地位。在可達(dá)矩陣中找出各個因素的可達(dá)集R（Si），前因集A（Si）以及可達(dá)集R（Si）與前因集A（Si）的交集R（Si）∩A（Si），得到第一級的可達(dá)集與前因集（見表2）。

2.4 企業(yè)信息安全立體防護(hù)結(jié)構(gòu)

結(jié)合信息安全防護(hù)的特點，企業(yè)信息安全立體防護(hù)體系15個要素相互聯(lián)系、相互作用，有機(jī)地構(gòu)成遞階有向?qū)蛹壗Y(jié)構(gòu)模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素，雙向箭頭表示同級影響。

從圖2可以看出，企業(yè)信息安全防護(hù)體系內(nèi)容為四級遞階結(jié)構(gòu)。從下往上，第一層因素從制度層面闡述了企業(yè)信息安全防護(hù)，該層的五個因素處于ISM結(jié)構(gòu)的最基層且相互獨立，構(gòu)成了企業(yè)信息安全立體防護(hù)的基礎(chǔ)。第二層因素在基于保障的前提下，確定了企業(yè)為確保信息安全進(jìn)行管理活動，是進(jìn)行立體防護(hù)的方法和手段；第三層因素是從物理條件、傳輸過程方面揭示了企業(yè)進(jìn)行信息安全防護(hù)可控點，其中物理安全是控制基礎(chǔ)。第四層要素是企業(yè)信息安全的直接需求，作為信息的直接表現(xiàn)形式，數(shù)據(jù)是企業(yè)信息安全立體防護(hù)的核心。企業(yè)信息安全防護(hù)體系的四級遞階結(jié)構(gòu)充分體現(xiàn)了企業(yè)信息安全防護(hù)體系的整體性、層級性、交互性。

圖2 企業(yè)信息安全防護(hù)解釋結(jié)構(gòu)模型

2.5 企業(yè)信息安全立體防護(hù)過程

企業(yè)信息安全立體防護(hù)是一個多層次的動態(tài)過程，它隨著環(huán)境和信息傳遞需求變化而變化。本文在立體防護(hù)結(jié)構(gòu)模型的基礎(chǔ)上對企業(yè)信息安全防護(hù)結(jié)構(gòu)進(jìn)行擴(kuò)展，構(gòu)建了整體運行框架（見圖3）。

從圖3 中可以看出，企業(yè)信息安全防護(hù)過程按分析建立到體系保持改進(jìn)的四個基本時間階段中有序進(jìn)行，充分體現(xiàn)出時間維度上的動態(tài)性。具體步驟如下：

（1） 綜合分析現(xiàn)行的行業(yè)標(biāo)準(zhǔn)規(guī)范體系，企業(yè)內(nèi)部管理流程、人員組織結(jié)構(gòu)和企業(yè)資金實力，建立企業(yè)信息安全防護(hù)目標(biāo)，并根據(jù)需要將安全防護(hù)內(nèi)容進(jìn)行等級劃分。

（2） 對防護(hù)內(nèi)容進(jìn)行日常監(jiān)測（包括統(tǒng)計分析其他公司近期發(fā)生的安全事故），形成預(yù)警，進(jìn)而對公司信息系統(tǒng)進(jìn)行入侵監(jiān)測，判斷其是否潛在威脅。

（3） 若存在威脅，則進(jìn)一步確定威脅來源，并對危險性進(jìn)行評估，判斷其是否能通過現(xiàn)有措施解決。

（4） 平衡控制成本和實效性，采取防范措施，并分析其效用，最終形成內(nèi)部信息防護(hù)手冊。

3 分析及對策

3.1 企業(yè)層面

（1） 加強系統(tǒng)整體性。企業(yè)信息安全防護(hù)體系的15個構(gòu)成要素隸屬于一個共同區(qū)域，在同一系統(tǒng)大環(huán)境下運作。資源受限情況下要最大程度地保障企業(yè)信息安全，就必須遵循一切從整體目標(biāo)出發(fā)的原則，加強信息安全防護(hù)的整體布局，在對原有產(chǎn)品升級和重新部署時，應(yīng)統(tǒng)一規(guī)劃，統(tǒng)籌安排，追求整體效能和投入產(chǎn)出效應(yīng)。

（2） 明確系統(tǒng)層級性。企業(yè)信息安全防護(hù)工作效率的高低很大程度上取決于在各個防護(hù)層級上的管理。企業(yè)信息安全防護(hù)涉及技術(shù)層面防護(hù)、策略層面防護(hù)、制度層面防護(hù)，三個層面互相依存、互相作用，其中制度和保障是基礎(chǔ)，策略是支撐，技術(shù)是手段。要有效維護(hù)企業(yè)信息安全，企業(yè)就必須正確處理好體系間的縱向關(guān)系，在尋求技術(shù)支撐的同時，更要立足于管理，加強工作間的協(xié)調(diào)，避免重復(fù)投入、重復(fù)建設(shè)。

（3） 降低系統(tǒng)交互性。在企業(yè)信息安全防護(hù)體系同級之間，相關(guān)要素呈現(xiàn)出了強連接關(guān)系，這種交互式的影響，使得系統(tǒng)運行更加復(fù)雜。因此需要加快企業(yè)內(nèi)部規(guī)章制度和技術(shù)規(guī)范的建設(shè)，界定好每個工作環(huán)節(jié)的邊界，準(zhǔn)確定位風(fēng)險源，并確保信息安全策略得到恰當(dāng)?shù)睦斫夂陀行?zhí)行，防止在循環(huán)狀態(tài)下風(fēng)險的交叉影響使防范難度加大。

（4） 關(guān)注系統(tǒng)動態(tài)性。信息安全防護(hù)是一個動態(tài)循環(huán)的過程，它隨著信息技術(shù)發(fā)展而不斷發(fā)展。因此，企業(yè)在進(jìn)行信息安全防護(hù)時，應(yīng)在時間維度上對信息安全有一個質(zhì)的認(rèn)識，準(zhǔn)確定位企業(yè)信息安全防護(hù)所處的工作階段，限定處理信息安全風(fēng)險的時間界限，重視不同時間段上的延續(xù)性，并運用恰當(dāng)?shù)墓ぞ叻椒▉韺︼L(fēng)險加以識別，辨別風(fēng)險可能所帶來的危險及其危害程度，做出防范措施，實現(xiàn)企業(yè)信息安全的全過程動態(tài)管理。

3.2 政府層面

企業(yè)信息安全防護(hù)不是一個孤立的系統(tǒng)，它受制于環(huán)境的變化。良好的社會文化環(huán)境有助于整體安全防護(hù)能力主動性的提高，有力的政策是推動企業(yè)信息安全防護(hù)發(fā)展的前提和條件，高效的行業(yè)技術(shù)反應(yīng)機(jī)制是信息安全防護(hù)的推動力。因此在注重企業(yè)層面的管理之外，還必須借助于政府建立一個積極的環(huán)境。

（1） 加強信息安全防護(hù)方面的文化建設(shè)。一方面，政府應(yīng)大力宣傳信息安全的重要性及相關(guān)政策，提高全民信息安全素質(zhì)，從道德層面上防止信息安全事故的發(fā)生；另一方面，政府應(yīng)督促企業(yè)加強信息安全思想教育、職能教育、技能教育、法制教育，從思想上、理論上提高和強化社會信息安全防護(hù)意識和自律意識。

（2） 高度重視信息安全及其衍生問題。政府應(yīng)加快整合和完善現(xiàn)有信息安全方面的法律、法規(guī)、行業(yè)標(biāo)準(zhǔn)，建立多元監(jiān)管模式和長效監(jiān)管機(jī)制，保證各項法律、法規(guī)和標(biāo)準(zhǔn)得到公平、公正、有效的實施，為企業(yè)信息安全創(chuàng)造有力的支持。

（3） 加大信息安全產(chǎn)業(yè)投入。政府應(yīng)高度重視技術(shù)人才的培養(yǎng)，加快信息安全產(chǎn)品核心技術(shù)的自主研發(fā)和生產(chǎn)，支持信息安全服務(wù)行業(yè)的發(fā)展。

4 結(jié) 語

本文從企業(yè)信息安全防護(hù)的實際需求出發(fā)，構(gòu)建企業(yè)信息安全防護(hù)基本模型，為企業(yè)信息安全防護(hù)工作的落實提供有效指導(dǎo)，節(jié)省企業(yè)在信息安全防護(hù)體系建設(shè)上的投入。同時針對現(xiàn)階段企業(yè)信息安全防護(hù)存在的問題從企業(yè)層面和政府層面提出相關(guān)建議。

參考文獻(xiàn)

[1] 中國信息安全產(chǎn)品測評認(rèn)證中心.信息安全理論與技術(shù)[M].北京：人民郵電出版社，2003.

[2] 汪應(yīng)洛.系統(tǒng)工程[M].3版.北京：高等教育出版社，2003.

[3] 齊峰.COBIT在企業(yè)信息安全管理中的應(yīng)用實踐[J].計算機(jī)應(yīng)用與軟件，2009，26（10）：282?285.

[4] 肖餛.淺議網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理[J].標(biāo)準(zhǔn)科學(xué)，2010（8）：20?23.

篇3

信息，同企業(yè)其他資產(chǎn)一樣是種資產(chǎn)，對企業(yè)的發(fā)展有很大作用。信息以各種形式存在，包括紙質(zhì)的、電子的、圖像的等。我國信息專家鐘義信認(rèn)為：“信息是該事物運動的狀態(tài)和狀態(tài)變化方式的自我表述/自我顯示?！鳖櫭剂x，信息安全既保障“信息”的“安全”。關(guān)于信息安全，國際標(biāo)準(zhǔn)化組織（ISO）認(rèn)為：“信息安全是在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。我國信息安全專家沈昌祥院士則認(rèn)為：“信息安全是保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞，為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認(rèn)性”。

二、企業(yè)信息安全體系設(shè)計

2.1企業(yè)信息安全體系方案概述

2.1.1信息安全體系設(shè)計原則

企業(yè)信息安全體系的設(shè)計應(yīng)遵從以下原則：

（1）性能平衡，合理劃分：提高整個系統(tǒng)的“安全低點”的性能，保證各層面能得到均衡防護(hù)；按照合理原則劃分為安全等級，分區(qū)域、分等級防護(hù)。

（2）標(biāo)準(zhǔn)一致，功能互補：在產(chǎn)品技術(shù)、產(chǎn)品設(shè)備選擇方面，盡可能遵循同一業(yè)界標(biāo)準(zhǔn)；充分考慮不同廠商、不同安全產(chǎn)品的功能互補，在進(jìn)行多層防護(hù)時，考慮使用不同廠家的。

（3）統(tǒng)籌規(guī)劃，分步實施。

2.1.2信息安全體系框架

網(wǎng)絡(luò)安全的實現(xiàn)不是目標(biāo)，是過程。其過程經(jīng)歷了安全評估、制訂安全策略、安全培訓(xùn)、安全技術(shù)實施、安全網(wǎng)絡(luò)檢測、應(yīng)急響應(yīng)和災(zāi)難恢復(fù)等環(huán)節(jié)，并不斷地螺旋式提高發(fā)展，得以實現(xiàn)網(wǎng)絡(luò)安全。信息安全體系的三要素：管理、技術(shù)和運維。通過一系列的戰(zhàn)略、系統(tǒng)和機(jī)制的協(xié)調(diào)，明確技術(shù)實現(xiàn)方法與相關(guān)安全操作人員的職責(zé)，從而達(dá)到安全風(fēng)險的發(fā)現(xiàn)和有效控制，從而改善的安全問題反應(yīng)速度和恢復(fù)能力，增強整體網(wǎng)絡(luò)安全能力。管理方面，建立、健全安全組織結(jié)構(gòu)；技術(shù)方面，建立分層網(wǎng)絡(luò)安全策略；運維方面，通過不同的安全機(jī)制，提高網(wǎng)絡(luò)安全的能力。

2.2企業(yè)信息安全技術(shù)體系

2.2.1信息安全技術(shù)體系概述

（l）設(shè)計原則

分析企業(yè)信息網(wǎng)絡(luò)安全面臨的主要威脅，實施有針對性的安全技術(shù)體系。安全技術(shù)體系的總體性要求如下：全面綜合：采用綜合解決方案，體系層次化，具有縱深性。集成統(tǒng)一：有效集成各類管理工具，集中化管理所有IT系統(tǒng)。開放適應(yīng)：支持各種安全管理標(biāo)準(zhǔn)，能適應(yīng)組織和環(huán)境的變化。

（2）信息安全技術(shù)體系框架

通過物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全等方面進(jìn)行建設(shè)。具體有以下措施：物理安全防護(hù)建設(shè)；統(tǒng)一容災(zāi)備份中心建設(shè)；防火墻系統(tǒng)的部署；入侵防護(hù)系統(tǒng)的部署；系統(tǒng)安全防護(hù)建設(shè)；防病毒系統(tǒng)部署；漏洞掃描系統(tǒng)部署；信息審計系統(tǒng)防護(hù)。

2.2.2物理安全防護(hù)建設(shè)

（1）配套設(shè)備安全

采用多路供電（市電、動力電、UPS）的方法，多路電源同時接入企業(yè)信息系統(tǒng)大樓或主機(jī)房及重要信息存儲、收發(fā)等重要部門，當(dāng)市電故障后自動切換至動力電，動力電故障后自動至UPS供電。并且，當(dāng)下級電源恢復(fù)后，應(yīng)立即自動切換回去。這樣，既保證了安全性，又降低了運行費用。形成一套完整的先進(jìn)和完善的供電系統(tǒng)及緊急報警系統(tǒng)。供電系統(tǒng)中，會有尖峰、浪涌等不良現(xiàn)象發(fā)生，一旦發(fā)生，輕則斷電重啟，重則燒毀并引發(fā)火災(zāi)。這種情況下，UPS也無濟(jì)于事。為避免對供電質(zhì)量和造成不安全因素，可以使用電力凈化系統(tǒng)。電源凈化系統(tǒng)不僅保證電源質(zhì)量，同時還可減少電磁污染，避免信息隨電纜外泄。用多路供電接入企業(yè)機(jī)房及重要部門，降低了運行成本，又保證了系統(tǒng)的安全。

（2）計算機(jī)場地安全

嚴(yán)格按照國家標(biāo)準(zhǔn)建設(shè)，如國標(biāo)GB/T2887-2000《電子計算機(jī)場地通用規(guī)范》、GB9254-1998《信息技術(shù)設(shè)備的無線電騷擾限值和測量方法》等。《電子計算機(jī)場地通用規(guī)范》規(guī)定了站址選擇條件：計算機(jī)場地盡量建在電力、水源充足，自然環(huán)境清潔、通信、交通運輸方便的地方；應(yīng)盡量避開強電磁場的干擾；應(yīng)盡量遠(yuǎn)離強振動源和強噪聲源；應(yīng)盡量建在建筑物的高層及地下室以及用水設(shè)備的下層。規(guī)定了溫度、濕度條件并將它分成ABC三級；規(guī)定了照明、日志、電磁場干擾具體技術(shù)條件；規(guī)定了接地、供電、建筑結(jié)構(gòu)條件等。

2.2.3統(tǒng)一容災(zāi)備份中心建設(shè)

無論企業(yè)信息系統(tǒng)設(shè)計、維護(hù)得多科學(xué)合理，故障的發(fā)生都是不可避免的，因此在設(shè)計時都應(yīng)考慮容災(zāi)解決方案，即統(tǒng)一容災(zāi)備份中心建設(shè)?；舅悸肥恰皵?shù)據(jù)冗余+異地分布”，即在異地建立和維護(hù)一份或多份數(shù)據(jù)冗余，利用數(shù)據(jù)的冗余性和地理分散性來提高對災(zāi)難事件的抵御能力。企業(yè)數(shù)據(jù)容災(zāi)，存儲是基礎(chǔ)，備份是核心，恢復(fù)是關(guān)鍵。信息網(wǎng)絡(luò)采用本地備份與異地備份的混合方式，以確保數(shù)據(jù)或系統(tǒng)的安全。通過各種層面的冗余技術(shù)，減少單點故障；使用合適的備份技術(shù)實現(xiàn)針對各個位置存放的數(shù)據(jù)的保護(hù)、隔離和嚴(yán)格訪問，保證數(shù)據(jù)的一致性、安全性和完整性。包括：存儲磁盤的冗余設(shè)計，對系統(tǒng)盤采用RAID1技術(shù)，對數(shù)據(jù)盤采用RAID5技術(shù)。數(shù)據(jù)的冗余備份設(shè)計：數(shù)據(jù)庫數(shù)據(jù)文件的存放采用基于SAN架構(gòu)的存儲方案，在保證讀取速度的同時，利用遠(yuǎn)程數(shù)據(jù)鏡像和數(shù)據(jù)復(fù)制技術(shù)進(jìn)行冗余備份，在區(qū)域性空難發(fā)生時能更大限度保證數(shù)據(jù)完整和安全。對核心業(yè)務(wù)的數(shù)據(jù)庫數(shù)據(jù)，還可利用SQLServer自帶的數(shù)據(jù)備份工具進(jìn)行數(shù)據(jù)庫文件備份，有效應(yīng)對文件損壞或人為誤操作帶來的數(shù)據(jù)風(fēng)險。對正常業(yè)務(wù)中關(guān)鍵數(shù)據(jù)或全業(yè)務(wù)數(shù)據(jù)進(jìn)行保護(hù)，將主數(shù)據(jù)庫的數(shù)據(jù)以邏輯的方式在異地機(jī)房建設(shè)一個同樣的數(shù)據(jù)庫，并且實時更新數(shù)據(jù)，當(dāng)主數(shù)據(jù)庫因災(zāi)損壞或失去，異地數(shù)據(jù)庫可以及時接管業(yè)務(wù)，從而達(dá)到容災(zāi)的目的。

三、結(jié)論及展望

篇4

IT服務(wù)外包井噴式發(fā)展

在強調(diào)企業(yè)核心競爭力的今天，越來越多的公司將IT服務(wù)外包作為企業(yè)長期戰(zhàn)略成本管理的新興工具。服務(wù)外包的實質(zhì)是企業(yè)和服務(wù)商之間的“委托―”關(guān)系。企業(yè)需要對自己重新進(jìn)行定位，截取價值鏈中較短的部分，縮小經(jīng)營范圍，在此基礎(chǔ)上重新配置企業(yè)的各種資源，將資源集中到最能反映企業(yè)優(yōu)勢的領(lǐng)域，從而更好地構(gòu)筑競爭優(yōu)勢，以此獲得可持續(xù)發(fā)展的能力。

隨著企業(yè)業(yè)務(wù)發(fā)展過程中信息系統(tǒng)所涉及的內(nèi)容越來越多、結(jié)構(gòu)越來越龐大，企業(yè)信息化再也不僅僅是IT部門自己的事情。企業(yè)市場競爭壓力越來越大，在信息化建設(shè)和管理期間迎來了嚴(yán)峻的考驗。一方面是IT部門人員少、系統(tǒng)多、任務(wù)重，另一方面是公司要求IT部門削減成本、并消除由于缺乏內(nèi)部控制和運作準(zhǔn)則導(dǎo)致的混亂狀態(tài)，以更高效地服務(wù)業(yè)務(wù)部門。

在多重壓力之下，許多企業(yè)認(rèn)為IT部門最重要的工作是確保信息和流程的順暢，而服務(wù)器、存儲系統(tǒng)、網(wǎng)絡(luò)或者交換機(jī)等設(shè)備并不是最重要。因此，許多企業(yè)傾向于將某些應(yīng)用系統(tǒng)、基礎(chǔ)設(shè)施和部分非核心系統(tǒng)外包給服務(wù)商負(fù)責(zé)維護(hù)。

IT服務(wù)外包的風(fēng)險

企業(yè)借外部力量提供專業(yè)化服務(wù)、將部分非核心業(yè)務(wù)進(jìn)行離岸資源外包的過程中，面臨著管控、運營等一系列風(fēng)險，其中最重要的是信息安全風(fēng)險的威脅。

從表面上看，采用IT外包策略不但可以節(jié)約成本，還能提高效率。但事實上，許多企業(yè)對IT外包都有許多道不盡的愛恨情仇。外包是一柄雙刃劍，其好處是可以向企業(yè)灌輸技術(shù)與人才，幫助企業(yè)擺脫繁瑣的IT業(yè)務(wù)――有效的外包能讓公司更好的專注于核心業(yè)務(wù)。

但是進(jìn)行IT外包并不是一件輕松的事情，如果處理不好，不僅不會帶來預(yù)期的效益，反而會變成一場噩夢和致命的災(zāi)難。所以對于企業(yè)IT主管部門而言，必須具有很強的經(jīng)驗和管理技能，才能談“外包” 二字。

IT外包服務(wù)要成為一種商品，就必須形成一套規(guī)范和標(biāo)準(zhǔn)，以約束買賣雙方。但目前國內(nèi)IT外包服務(wù)領(lǐng)域既無統(tǒng)一規(guī)范也無公認(rèn)標(biāo)準(zhǔn)。概念模糊的用戶，面對同樣概念模糊的IT廠商，如何評估、簽合同、質(zhì)量控制和定價等都是潛在的“風(fēng)險”。

此外，IT外包還面臨著 IT管理的復(fù)雜性、軟件缺失、知識產(chǎn)權(quán)以及IT外包服務(wù)提供商自身能否健康成長等風(fēng)險。因此企業(yè)需要在風(fēng)險、成本與效果、效率之間找到平衡點。

同時，由于委托方和方之間可能存在信息不對稱和信息扭曲等問題，加之市場及宏觀環(huán)境的不確定性，導(dǎo)致委托方在實施外包過程中承擔(dān)著種種風(fēng)險。

外包服務(wù)關(guān)鍵詞：信息安全

企業(yè)在IT服務(wù)外包過程中面臨的最大挑戰(zhàn)，就是如何確保企業(yè)信息和數(shù)據(jù)的安全，如何建立起有效的信息安全管控框架，以符合企業(yè)信息安全要求。

首先，確認(rèn)企業(yè)內(nèi)部信息安全管控過程是否可持續(xù)監(jiān)管和優(yōu)化。在信息防泄漏的“戰(zhàn)爭”中，相比于躲在暗處的泄密者和安全威脅，站在明處的企業(yè)顯然略失先機(jī)。但如果企業(yè)能夠做到預(yù)先防御，在對手出招之前采取針對性的保護(hù)措施，就能從根本上“轉(zhuǎn)被動為主動”，做好內(nèi)部數(shù)據(jù)安全防護(hù)。

因此，良好的信息防泄體系的前提就是要時刻掌握企業(yè)動態(tài)，做到要有的放矢。很重要的一點是要實現(xiàn)內(nèi)部操作的“可視化”，以隨時監(jiān)測整個信息系統(tǒng)的安全狀況，做到迅速反應(yīng)，甚至還能預(yù)測到潛在的風(fēng)險，化被動防御為積極防御。

其次，企業(yè)信息安全體系設(shè)計需進(jìn)行全局評估和建設(shè)，規(guī)避疏漏和風(fēng)險。安全領(lǐng)域中的木桶理論和馬其頓防線的故事相信大家都了解――無論怎么豪華的防線，一個漏洞就可以毀滅所有一切。在企業(yè)中，有時候可能是一個小小的系統(tǒng)漏洞就可能毀滅了幾百萬投資的努力，或者一個無意的非法補丁行為就讓企業(yè)蒙受損失。

因此，在解決安全問題之時，不能僅僅依賴透明加密等技術(shù)手段，“頭痛醫(yī)頭，腳痛醫(yī)腳”地堆砌不同安全產(chǎn)品及封堵安全漏洞，而是需要站在一個更高的戰(zhàn)略角度來通盤考慮。如果缺乏整體的分析視角，企業(yè)可能會忽視或者低估某個安全攻擊的真正威脅，采取的安全措施也可能無法解決真正的問題。

所以，在實際的防泄漏建設(shè)中，必須從整體上來評估企業(yè)的信息安全狀況，運用統(tǒng)一平臺來進(jìn)行風(fēng)險和安全管理，檢測出內(nèi)部問題，從而描繪出整個企業(yè)當(dāng)前安全情況的更清晰和更準(zhǔn)確的圖景，采取針對性的防護(hù)措施，最大限度降低企業(yè)的安全風(fēng)險。

另外，要有安全和防護(hù)等級措施。企業(yè)在構(gòu)建立體化、全方位的整體信息防泄體系時并不是一刀切，不分輕重地在全公司范圍內(nèi)采取相同的策略，這樣雖然看似達(dá)到了最為安全的效果，但對業(yè)務(wù)造成的巨大影響，以及因此產(chǎn)生的高額成本，對企業(yè)來說，都是巨大的負(fù)擔(dān)。

對信息安全來說，威脅和風(fēng)險往往和高價值的信息資產(chǎn)聯(lián)系在一起，安全保護(hù)工作也就應(yīng)該輕重有別，將重點放在高價值的信息資產(chǎn)上。在安全建設(shè)過程中，對程度高的部門或崗位進(jìn)行力度大的防御，對程度低的部門采取相應(yīng)的安全防御。同時衡量提升安全性可能帶來的業(yè)務(wù)操作上的麻煩、企業(yè)安全成本等問題，是企業(yè)必須要做的事情。

在企業(yè)實施安全防護(hù)等級風(fēng)險評估過程中，往往需要結(jié)合企業(yè)的實際情況，對三種技術(shù)手段整合運用：首先，在全公司范圍內(nèi)進(jìn)行安全審計，掌握企業(yè)操作，發(fā)現(xiàn)安全隱患；其次，對特殊崗位和部門，進(jìn)行嚴(yán)格管控，限制信息的帶出；最后，在核心部門內(nèi)部，對機(jī)密信息進(jìn)行透明加密。這樣既可保證公司的正常業(yè)務(wù)運作，又能有的放矢地實現(xiàn)最優(yōu)化的信息防泄漏管理，還大大節(jié)約了投資成本。

此外，利用科學(xué)可行的安全策略和必要的技術(shù)手段實現(xiàn)動態(tài)性防護(hù)。動態(tài)性的信息泄露防護(hù)，對于目前泄密方式日益增多的企業(yè)來說，非常重要。某些企業(yè)往往在安全事件發(fā)生之后才對現(xiàn)在的策略進(jìn)行被動的調(diào)整。這種“吃一塹、長一智”的防護(hù)模式，對于企業(yè)而言，有可能是致命的。一旦出了安全事故，恐怕亡羊補牢，為時已晚。

企業(yè)需要建立一個動態(tài)性的安全防護(hù)，前瞻性地發(fā)現(xiàn)安全威脅，并通過對技術(shù)或管理上的策略進(jìn)行及時調(diào)整更新，防范潛在的安全風(fēng)險。

最后要強調(diào)的是，信息安全體系必須便于使用和維護(hù)。如今，市場上五花八門的信息防泄漏產(chǎn)品讓企業(yè)眼花繚亂，企業(yè)期望這種“強強組合”能給企業(yè)套上萬無一失的金鐘罩。殊不知這種做法往往意味著企業(yè)必須付出較高的成本，并增加了技術(shù)的復(fù)雜性，還容易導(dǎo)致產(chǎn)品軟件沖突等問題，企業(yè)雖然“裝”了安全產(chǎn)品，但根本“用”不了。

目前，能夠提供整體解決方案的單一安全產(chǎn)品可謂不錯的選擇，它能夠幫助企業(yè)建立統(tǒng)一的安全管理平臺，無論企業(yè)安全邊界防護(hù)、還是內(nèi)部使用，都做了整體全面的考慮，同時簡化了日常的操作與管理、降低了系統(tǒng)的資源占用、避免了軟件沖突等多種問題，使用維護(hù)亦非常方便，大大節(jié)約了IT人員的時間和精力。

綜上所述，如企業(yè)信息防泄漏建設(shè)符合以上檢測標(biāo)準(zhǔn)，說明該企業(yè)已經(jīng)建立了一個完善的整體信息防泄漏體系，機(jī)密信息也得到了最大化的保護(hù)，實現(xiàn)了“成本、效率、安全”三者的最佳平衡，這也是近年來被大家認(rèn)可的“整體信息防泄漏”理念的核心。

實際上，信息防泄本身就是一種博弈，是企業(yè)和人的博弈。它是一場思維的交鋒，企業(yè)只有掌握了內(nèi)部的行為操作，同時針對內(nèi)部安全威脅建立全面、立體化的安全防護(hù)，信息防泄才會立于不敗之地。

天璣外包信息安全管控體系

天璣科技提供的IT外包（IT Outsourcing）服務(wù)，即“承接企業(yè)IT系統(tǒng)維護(hù)與管理，按雙方服務(wù)協(xié)議內(nèi)容完成相關(guān)服務(wù)”的業(yè)務(wù)模式。

隨著客戶對信息安全管理的要求越來越高，天璣科技把IT外包的信息安全管理放在首位，積極貫徹基于風(fēng)險的管理方法，針對IT服務(wù)外包中的安全管理進(jìn)行了系統(tǒng)思考和有益的嘗試。

外包基礎(chǔ)和簡單重復(fù)的服務(wù)：考慮到信息安全管理問題，天璣科技初期外包服務(wù)范圍主要以基礎(chǔ)服務(wù)外包為主，即將IT系統(tǒng)日常的硬件與軟件維護(hù)、Helpdesk呼叫中心、信息系統(tǒng)的編碼等活動外包，而對于IT系統(tǒng)的規(guī)劃與管理、核心應(yīng)用系統(tǒng)（如ERP、CRM）的設(shè)計與維護(hù)仍然由企業(yè)IT部門承擔(dān)。這樣避免了IT服務(wù)人員接觸組織的核心系統(tǒng)信息，降低了IT服務(wù)外包對IT系統(tǒng)敏感部分帶來的安全風(fēng)險。

具備信息安全管理資質(zhì)：由于IT外包服務(wù)過程中，IT服務(wù)人員必然會接觸到企業(yè)的系統(tǒng)設(shè)備甚至是內(nèi)容，如何成為一家可靠安全的IT服務(wù)外包供應(yīng)商也是在進(jìn)行IT服務(wù)外包前必須考慮的重要方面。天璣科技是一家已經(jīng)建立起完善的信息安全管理體系，并通過了BSI安全認(rèn)證審核的IT服務(wù)外包供應(yīng)商，專門從事IT服務(wù)外，擁有很多有影響的大客戶。天璣科技會根據(jù)服務(wù)內(nèi)容簽訂責(zé)任明確的服務(wù)合同，在服務(wù)合同中詳細(xì)闡明雙方在服務(wù)提供過程中對信息安全的責(zé)任十分關(guān)鍵。

強化日常服務(wù)的安全管理：信息安全管理的要求應(yīng)該體現(xiàn)在IT服務(wù)日常管理的各個方面，主要包括：日?；顒右?guī)范的建立；服務(wù)變更控制；服務(wù)人員管理；安全事件處理；業(yè)務(wù)持續(xù)管理；知識產(chǎn)權(quán)保護(hù)和監(jiān)控與審核等內(nèi)容。

日常活動規(guī)范的建立：針對服務(wù)協(xié)議中明確的服務(wù)內(nèi)容，建立規(guī)范的服務(wù)流程是開展IT服務(wù)活動的基礎(chǔ)。企業(yè)信息化主管部門根據(jù)雙方簽訂的服務(wù)協(xié)議，與供應(yīng)商IT服務(wù)主管人員一起建立一套完整的服務(wù)規(guī)范。服務(wù)規(guī)范中對服務(wù)過程中的安全風(fēng)險均采取了適當(dāng)?shù)目刂拼胧_保了服務(wù)活動滿足企業(yè)信息安全管理策略的要求。

服務(wù)變更控制：天璣科技遵從在調(diào)整其服務(wù)流程和變更服務(wù)技術(shù)前必須事前進(jìn)行溝通，在企業(yè)評估變更的影響并確認(rèn)采取了響應(yīng)控制措施后才能進(jìn)行服務(wù)過程的變更。

服務(wù)人員管理：服務(wù)人員是IT服務(wù)活動的直接執(zhí)行者。為確保服務(wù)人員能夠滿足要求，天璣科技明確規(guī)定了IT服務(wù)人員的能力要求和標(biāo)準(zhǔn)，確保只有技術(shù)能力強、認(rèn)真負(fù)責(zé)的服務(wù)人員才能進(jìn)入服務(wù)項目組。同時，對服務(wù)人員篩選、培訓(xùn)和變動也提出了具體要求。

安全事件管理：發(fā)生安全事件后，雙方人員的協(xié)調(diào)和互動將直接影響對事件處理的結(jié)果。在服務(wù)過程中發(fā)生和發(fā)現(xiàn)的信息安全事件必須第一時間上報企業(yè)主管部門，在企業(yè)主管部門的組織下完成對安全事件的處理。

業(yè)務(wù)持續(xù)管理：由于企業(yè)將核心網(wǎng)絡(luò)和系統(tǒng)硬件均托管給了IT服務(wù)供應(yīng)商進(jìn)行日常維護(hù)。IT服務(wù)供應(yīng)商是否具備滿足組織業(yè)務(wù)需求的業(yè)務(wù)持續(xù)管理能力，成為保證企業(yè)信息系統(tǒng)業(yè)務(wù)持續(xù)的關(guān)鍵。在企業(yè)整個業(yè)務(wù)持續(xù)管理的框架下，對IT服務(wù)供應(yīng)商的業(yè)務(wù)持續(xù)管理能力提出了明確的要求，在服務(wù)協(xié)議中進(jìn)行了明確的定義。同時，針對具體服務(wù)系統(tǒng)雙方共同制定了相應(yīng)的災(zāi)難恢復(fù)計劃。

知識產(chǎn)權(quán)保護(hù)：桌面服務(wù)中如何保護(hù)組織以及相關(guān)方的知識智力產(chǎn)權(quán)，是需要在進(jìn)行IT服務(wù)外包過程中管理和控制的重要內(nèi)容。天璣科技在軟件安裝和服務(wù)過程中工具的使用過程都明確規(guī)定了對軟件許可證的跟蹤與管理要求，確保服務(wù)活動滿足對知識產(chǎn)權(quán)保護(hù)的要求。

篇5

關(guān)鍵詞：電網(wǎng)企業(yè)；信息安全；風(fēng)險；應(yīng)對措施；管理體系

作者簡介：王旭（1964-），男，浙江寧波人，新疆電力公司電力科學(xué)研究院，高級工程師。（新疆 烏魯木齊 830011）張建業(yè)（1972-），男，浙江浦江人，新疆電力公司科技信通部，高級工程師，華北電力大學(xué)經(jīng)濟(jì)與管理學(xué)院博士研究生。（新疆 烏魯木齊 830002）

基金項目：本文系國家自然科學(xué)基金資助項目（基金號：71271084）的研究成果。

中圖分類號：F270.7 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-0079（2013）26-0163-03

信息安全風(fēng)險是信息化時代企業(yè)發(fā)展和內(nèi)部管理所面臨的一個迫切問題，網(wǎng)絡(luò)化、信息化的飛速發(fā)展能夠給企業(yè)帶來無限的發(fā)展機(jī)遇，同時也讓應(yīng)用信息化技術(shù)的企業(yè)面臨著各種不同的風(fēng)險威脅，這些風(fēng)險因素一旦發(fā)生，將對企業(yè)的日常運營、戰(zhàn)略目標(biāo)的實現(xiàn)甚至長遠(yuǎn)發(fā)展產(chǎn)生無法估計的影響。有效的信息安全風(fēng)險管理體系對于企業(yè)規(guī)避信息安全風(fēng)險、減少不必要的損失具有重要作用。

對于電網(wǎng)企業(yè)來說，信息化建設(shè)是推動電網(wǎng)企業(yè)智能化、現(xiàn)代化等長遠(yuǎn)發(fā)展的核心推動力，但網(wǎng)絡(luò)病毒、黑客入侵等一系列風(fēng)險因素，使得電網(wǎng)企業(yè)信息安全同樣面臨著巨大的挑戰(zhàn)，必須對電網(wǎng)企業(yè)面臨的各類信息安全風(fēng)險進(jìn)行有效控制，以保證電網(wǎng)企業(yè)的信息化內(nèi)容正常運行。

一、電網(wǎng)企業(yè)信息安全風(fēng)險分析

電網(wǎng)企業(yè)的信息安全風(fēng)險就是企業(yè)的信息系統(tǒng)和網(wǎng)絡(luò)等面臨的來自各方面的風(fēng)險威脅，各種內(nèi)外部的、潛在的和可知的危險可能會帶來的風(fēng)險威脅等。隨著網(wǎng)絡(luò)環(huán)境的復(fù)雜性不斷增加，新的信息技術(shù)的不斷應(yīng)用發(fā)展，電網(wǎng)企業(yè)的信息安全面臨的風(fēng)險因素也更為繁多復(fù)雜，同時由于其注重信息安全的行業(yè)特點，電網(wǎng)企業(yè)的信息安全風(fēng)險管理面臨的壓力更大。為此需要對這些風(fēng)險因素進(jìn)行規(guī)范、合理的識別分析，進(jìn)而建立綜合的風(fēng)險管理體系。

電網(wǎng)企業(yè)的信息安全面臨著來自不同層次、多個方面的風(fēng)險因素，有來自外部環(huán)境的風(fēng)險威脅，也有企業(yè)內(nèi)部的風(fēng)險影響；有技術(shù)方面的安全風(fēng)險，也有人員操作方面的安全風(fēng)險等。具體的信息安全風(fēng)險因素主要包括以下幾個方面：

1.木馬病毒入侵的安全風(fēng)險

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展、電網(wǎng)企業(yè)內(nèi)外部網(wǎng)絡(luò)環(huán)境的日益成熟和網(wǎng)絡(luò)應(yīng)用的不斷增多，各種病毒也更為復(fù)雜、難解。木馬等病毒的傳染、滲透、傳播的能力變得異常強大，其入侵方式也由以前的單一、簡單變得隱蔽、復(fù)雜，尤其是Internet網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)環(huán)境為木馬等病毒的傳播和生存提供了可靠的環(huán)境。

2.黑客非法攻擊的安全風(fēng)險

近年來各種各樣的黑客非法攻擊異常頻繁，成為困擾世界范圍內(nèi)眾多企業(yè)的問題。由于黑客具有非常高超的計算機(jī)技術(shù)能力，他們經(jīng)常利用計算機(jī)設(shè)備、信息系統(tǒng)、網(wǎng)絡(luò)協(xié)議和數(shù)據(jù)庫等方面的缺陷與漏洞，通過運用網(wǎng)絡(luò)監(jiān)聽、密碼破解、程序滲透、信息炸彈等手段侵入企業(yè)的計算機(jī)系統(tǒng)，盜竊企業(yè)的保密信息、重要數(shù)據(jù)、業(yè)務(wù)資料等，從而進(jìn)行信息數(shù)據(jù)破壞或者占用系統(tǒng)的資源等。

3.信息傳遞過程的安全風(fēng)險

由于電網(wǎng)企業(yè)與很多的外部企業(yè)、研究機(jī)構(gòu)等有著廣泛的工作聯(lián)系與業(yè)務(wù)合作，因此很多日常信息、數(shù)據(jù)資料等都需要通過互聯(lián)網(wǎng)進(jìn)行傳輸溝通，在這個傳輸過程中的各類信息都會面臨各種不同的安全風(fēng)險。

4.權(quán)限設(shè)置的安全風(fēng)險

信息系統(tǒng)根據(jù)不同的業(yè)務(wù)內(nèi)容對不同的部門、員工開放不同的系統(tǒng)模塊，用戶根據(jù)其登陸的權(quán)限設(shè)置訪問其范圍內(nèi)的系統(tǒng)內(nèi)容。每個信息系統(tǒng)都有用戶管理功能，對用戶權(quán)限進(jìn)行管理和控制，能夠在一定程度上增加安全性，但仍然存在一定的問題。很多電網(wǎng)企業(yè)內(nèi)都存在不同的信息系統(tǒng)，各系統(tǒng)之間都是獨立存在，沒有統(tǒng)一的用戶管理，使用起來極不方便，難以保證用戶賬號的有效管理和使用安全。另外，電網(wǎng)企業(yè)的信息系統(tǒng)的用戶權(quán)限管理功能設(shè)置過于簡單，不能夠靈活實現(xiàn)更為詳細(xì)的權(quán)限控制等。

5.信息設(shè)備損壞產(chǎn)生的安全風(fēng)險

電網(wǎng)企業(yè)內(nèi)的各類業(yè)務(wù)信息、數(shù)據(jù)資料、工作內(nèi)容等信息都是依托于相應(yīng)的軟硬件設(shè)備而存儲、傳遞、應(yīng)用的，當(dāng)這些計算機(jī)硬件設(shè)備、信息系統(tǒng)、數(shù)據(jù)存儲設(shè)備、用電支撐設(shè)備等由于企業(yè)內(nèi)外部不同作用力的影響而出現(xiàn)癱瘓、停止工作等突發(fā)狀況時，會帶來重要信息內(nèi)容的泄露、丟失等安全風(fēng)險隱患。

6.人員操作失誤形成的安全風(fēng)險

電網(wǎng)企業(yè)內(nèi)的專業(yè)信息技術(shù)人員、業(yè)務(wù)人員、管理人員對信息系統(tǒng)的操作能力存在一定的差異，一些人員的意識較為陳舊、操作能力較差，在對信息系統(tǒng)、網(wǎng)絡(luò)連接、數(shù)據(jù)庫等的應(yīng)用過程中，由于對這些技術(shù)內(nèi)容不熟悉從而產(chǎn)生了一些錯誤操作，為此產(chǎn)生了許多意想不到的安全風(fēng)險。同時，在運用過程中存在的思想偏差、理解偏誤、粗心大意等導(dǎo)致的誤操作也會產(chǎn)生相應(yīng)的安全風(fēng)險。

7.技術(shù)更新變化帶來的安全風(fēng)險

當(dāng)前的信息技術(shù)、系統(tǒng)開發(fā)、網(wǎng)絡(luò)應(yīng)用、數(shù)據(jù)庫存儲等都在日新月異地飛速變化，幾乎每天都會發(fā)生更新?lián)Q代的升級變化，沒有任何的信息技術(shù)能夠長時間使用。電網(wǎng)企業(yè)原有信息系統(tǒng)等設(shè)備進(jìn)行升級換代或者與新的數(shù)據(jù)庫內(nèi)容進(jìn)行新舊結(jié)合以及轉(zhuǎn)換時，會因為兼容性差、不能匹配等原因造成一定的信息安全風(fēng)險。

二、信息安全風(fēng)險應(yīng)對機(jī)制

電網(wǎng)企業(yè)的信息安全承擔(dān)著極為重要的作用，而其面臨的安全風(fēng)險也是多方面的，僅從信息系統(tǒng)、技術(shù)設(shè)備的單一角度進(jìn)行信息安全風(fēng)險管理遠(yuǎn)遠(yuǎn)不夠，對于其他很多潛在的風(fēng)險因素難以有效應(yīng)對。因此需要從信息技術(shù)技術(shù)、企業(yè)管理、風(fēng)險控制等多個維度來建立相應(yīng)的措施，以應(yīng)對可能出現(xiàn)的各類風(fēng)險，從而從硬性技術(shù)層面到柔性管理層次形成多維度的風(fēng)險管理手段。電網(wǎng)企業(yè)信息安全風(fēng)險應(yīng)對機(jī)制框架結(jié)構(gòu)如圖1所示。

電網(wǎng)企業(yè)的信息安全風(fēng)險管理應(yīng)對機(jī)制是以風(fēng)險控制角度為核心、信息技術(shù)角度為支持、企業(yè)管理角度為保障的雙向支持、互為影響的一個環(huán)狀模型，三者之間緊密配合、共同發(fā)揮風(fēng)險應(yīng)對的作用，具體內(nèi)容如表1所示。

三、信息安全風(fēng)險管理體系

電網(wǎng)企業(yè)信息安全風(fēng)險管理體系是進(jìn)行信息安全風(fēng)險管理的核心內(nèi)容，其他的制度建設(shè)等方面的應(yīng)對機(jī)制都是為了更好地使風(fēng)險管理體系發(fā)揮有效的作用，能夠在不同的情況下進(jìn)行信息安全風(fēng)險威脅的提前預(yù)防、風(fēng)險發(fā)生時的控制、事后風(fēng)險影響的結(jié)果處理等。

電網(wǎng)企業(yè)信息安全風(fēng)險管理體系框架結(jié)構(gòu)如圖2所示。

1.信息安全風(fēng)險評估

電網(wǎng)企業(yè)信息安全風(fēng)險評估是風(fēng)險管理體系的第一部分，風(fēng)險評估效果的好壞直接影響著后面風(fēng)險管理環(huán)節(jié)的執(zhí)行情況。通過風(fēng)險評估的準(zhǔn)確執(zhí)行，能夠有效識別、分析各種不同風(fēng)險的種類、來源、影響程度等內(nèi)容，為后續(xù)的風(fēng)險預(yù)防、控制等奠定良好的基礎(chǔ)。

信息安全風(fēng)險評估主要由風(fēng)險案例庫、風(fēng)險因素分析系統(tǒng)、風(fēng)險定量定性轉(zhuǎn)化系統(tǒng)、數(shù)據(jù)統(tǒng)計歸納庫、風(fēng)險分析結(jié)果傳輸體系等構(gòu)成，通過幾個模塊的有機(jī)結(jié)合來科學(xué)分析評估電網(wǎng)企業(yè)遇到的各類信息安全風(fēng)險因素。

2.風(fēng)險事前預(yù)防

電網(wǎng)企業(yè)信息安全風(fēng)險事前預(yù)防就是在風(fēng)險沒有發(fā)生時對各種風(fēng)險進(jìn)行提前預(yù)防，通過建立的預(yù)防計劃方案來提前避免風(fēng)險的發(fā)生，從而保證信息的安全性。這是風(fēng)險管理體系希望達(dá)到的最佳效果，因此該環(huán)節(jié)非常重要。

通過對風(fēng)險案例庫的經(jīng)常性學(xué)習(xí)，使相關(guān)部門和人員對各類風(fēng)險有了總體的認(rèn)識和了解；通過建立相應(yīng)的風(fēng)險預(yù)警裝置來提前警告風(fēng)險的發(fā)生，使電網(wǎng)企業(yè)能夠提前采取措施來避免風(fēng)險發(fā)生；運用信息安全風(fēng)險管理制度加強員工的行為能力，避免風(fēng)險產(chǎn)生；通過信息技術(shù)的相關(guān)配置，從信息系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)等方面提前對一些病毒風(fēng)險等進(jìn)行處理。

出色地執(zhí)行電網(wǎng)企業(yè)的信息安全風(fēng)險預(yù)防工作，能夠避免很多不必要的麻煩，從而有效減少后面風(fēng)險控制工作內(nèi)容。

3.風(fēng)險威脅轉(zhuǎn)移

將可能發(fā)生或者即將到來的信息安全風(fēng)險有效轉(zhuǎn)移到其他的地方，可使得安全風(fēng)險沒有在電網(wǎng)企業(yè)的信息系統(tǒng)中發(fā)生，避免了風(fēng)險帶來的威脅損害。風(fēng)險轉(zhuǎn)移同風(fēng)險的事前預(yù)防一樣，能夠在很大程度上將信息安全風(fēng)險帶來的威脅降低到最小，避免其帶來的各類損失。

4.風(fēng)險過程控制

在對信息安全造成威脅的風(fēng)險發(fā)生時，采取各種方法、手段進(jìn)行風(fēng)險的最小化控制，使風(fēng)險本身隨著控制的進(jìn)行而逐漸變小甚至消失，將風(fēng)險發(fā)生后造成的影響降低到最小或者控制在能夠承受的合理范圍內(nèi)。

主要從信息系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)系統(tǒng)、計算機(jī)基礎(chǔ)設(shè)備等技術(shù)方面進(jìn)行控制；從制度、標(biāo)準(zhǔn)、規(guī)范等管理層面進(jìn)行控制；從人員培訓(xùn)、部門協(xié)調(diào)等組織結(jié)構(gòu)層面進(jìn)行控制；從風(fēng)險發(fā)生時制定的風(fēng)險控制措施、計劃進(jìn)行控制；形成動態(tài)反饋的風(fēng)險發(fā)生、控制效果的反饋機(jī)制，以便及時對控制方案進(jìn)行調(diào)整完善。

5.風(fēng)險事后處理

信息安全風(fēng)險發(fā)生后，對電網(wǎng)企業(yè)的信息系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫等造成一定的影響，已經(jīng)沒有時間進(jìn)行及時有效的風(fēng)險控制，此時的工作重點在于如何采取挽救措施對風(fēng)險造成的信息安全損失進(jìn)行彌補，將其影響程度降低到最低。

從電網(wǎng)企業(yè)的信息安全風(fēng)險評估開始，到信息安全風(fēng)險的預(yù)防、風(fēng)險發(fā)生時的控制以及風(fēng)險后果的處理，對整個過程進(jìn)行深入的分析、總結(jié)，發(fā)現(xiàn)風(fēng)險管理體系存在諸多不足和缺陷，控制計劃在某些方面需要進(jìn)行改進(jìn)完善。將本次發(fā)生的信息安全風(fēng)險控制過程整理進(jìn)入案例庫，以便下次的風(fēng)險預(yù)防借鑒。

電網(wǎng)企業(yè)信息安全風(fēng)險管理體系中的各個流程環(huán)節(jié)都是按照一定的流程順序、風(fēng)險發(fā)生種類、大小而進(jìn)行的，其具體的流程如圖3所示。

6.非常態(tài)風(fēng)險應(yīng)急處理

在電網(wǎng)企業(yè)對信息安全進(jìn)行風(fēng)險管理的過程中，有時會出現(xiàn)一些案例庫、控制計劃之外的非常態(tài)風(fēng)險，這些風(fēng)險沒有以往成功的風(fēng)險管理經(jīng)驗可以借鑒，這時就需要在電網(wǎng)企業(yè)信息安全風(fēng)險管理體系中建立相應(yīng)的非常態(tài)風(fēng)險應(yīng)急處理模塊。

電網(wǎng)企業(yè)信息安全非常態(tài)風(fēng)險應(yīng)急處理主要是當(dāng)意外的緊急風(fēng)險發(fā)生時，能夠迅速啟動應(yīng)急預(yù)案組織相關(guān)人員進(jìn)行風(fēng)險應(yīng)對控制、風(fēng)險預(yù)防和控制等；若風(fēng)險已經(jīng)發(fā)生，此時能夠及時還原數(shù)據(jù)、隔離外部風(fēng)險入侵，使信息系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫在最快的時間內(nèi)恢復(fù)正常運作。

四、總結(jié)

本文通過對電網(wǎng)企業(yè)信息安全重要性進(jìn)行分析，提出了建立信息安全風(fēng)險管理體系應(yīng)對各種內(nèi)外部風(fēng)險威脅的必要性。在對電網(wǎng)企業(yè)信息安全的概念、特點等分析說明的基礎(chǔ)上，深入研究了電網(wǎng)企業(yè)的信息安全所面臨的各種不同的風(fēng)險因素，建立了包括信息技術(shù)、企業(yè)管理、風(fēng)險控制三個方面在內(nèi)的電網(wǎng)企業(yè)信息安全風(fēng)險應(yīng)對機(jī)制。結(jié)合所建立的電網(wǎng)企業(yè)信息安全風(fēng)險應(yīng)對機(jī)制，本文構(gòu)建了一套綜合、全面的電網(wǎng)企業(yè)信息安全風(fēng)險管理體系。該體系的構(gòu)建能夠從事前風(fēng)險預(yù)防、事中風(fēng)險控制、事后風(fēng)險影響后果處理等三個環(huán)節(jié)進(jìn)行全面的風(fēng)險管理。

參考文獻(xiàn)

[1]張浩，詹輝紅，錢洪珍.電網(wǎng)企業(yè)信息安全管理體系建設(shè)中的風(fēng)險管理實踐[J].電力信息技術(shù)，2010，8（6）：21-24.

[2]劉金霞.電力企業(yè)給予風(fēng)險管理的信息安全保障體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008，（1）：42-44.

[3]劉瑩，顧衛(wèi)東.信息安全風(fēng)險評估研究綜述[J].青島大學(xué)學(xué)報（工程技術(shù)版），2008，23（2）：37-43.

篇6

[關(guān)鍵詞] 企業(yè)網(wǎng)絡(luò)信息安全信息保障

計算機(jī)網(wǎng)絡(luò)的多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性使聯(lián)入網(wǎng)絡(luò)的計算機(jī)系統(tǒng)很容易受到黑客、惡意軟件和非法授權(quán)的入侵和攻擊，信息系統(tǒng)中的存儲數(shù)據(jù)暴露無遺，從而使用戶信息資源的安全和保密受到嚴(yán)重威脅。目前互聯(lián)網(wǎng)使用TCP/IP協(xié)議的設(shè)計原則，只實現(xiàn)簡單的互聯(lián)功能，所有復(fù)雜的數(shù)據(jù)處理都留給終端承擔(dān)，這是互聯(lián)網(wǎng)成功的因素，但它也暴露出數(shù)據(jù)在網(wǎng)上傳輸?shù)臋C(jī)密性受到威脅，任何人都可以通過監(jiān)聽的方法去獲得經(jīng)過自己網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。在目前不斷發(fā)生互聯(lián)網(wǎng)安全事故的時候，對互聯(lián)網(wǎng)的安全狀況進(jìn)行研究與分析已迫在眉睫。

一、 國外企業(yè)信息安全現(xiàn)狀

調(diào)查顯示，歐美等國在網(wǎng)絡(luò)安全建設(shè)投入的資金占網(wǎng)絡(luò)建設(shè)資金總額的10%左右，而日韓兩國則是8%。從國際范圍來看，美國等西方國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)比中國完善，網(wǎng)絡(luò)安全建設(shè)的起步時間也比中國早，因此發(fā)生的網(wǎng)絡(luò)攻擊、盜竊和犯罪問題也比國內(nèi)嚴(yán)重，這也致使這些國家的企業(yè)對網(wǎng)絡(luò)安全問題有更加全面的認(rèn)識和足夠的重視，但縱觀全世界范圍，企業(yè)的網(wǎng)絡(luò)安全建設(shè)步伐仍然跟不上企業(yè)發(fā)展步伐和安全危害的升級速度。

國外信息安全現(xiàn)狀具有兩個特點：

(1)各行業(yè)的企業(yè)越來越認(rèn)識到IT安全的重要性，并且意識到安全的必要性，并且把它作為企業(yè)的一項重要工作之一。

(2)企業(yè)對于網(wǎng)絡(luò)安全的資金投入與網(wǎng)絡(luò)建設(shè)的資金投入按比例增長，而且各項指標(biāo)均明顯高于國內(nèi)水平。

二、 國內(nèi)企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析

2005年全國各行業(yè)受眾對網(wǎng)絡(luò)安全技術(shù)的應(yīng)用狀況數(shù)據(jù)顯示，在各類網(wǎng)絡(luò)安全技術(shù)使用中，“防火墻”的使用率最高(占76.5%)，其次為“防病毒軟件”的應(yīng)用(占53.1%)。2005年較2004年相比加大了其他網(wǎng)絡(luò)安全技術(shù)的投入，“物理隔離”、“路由器ACL”等技術(shù)已經(jīng)得到了應(yīng)用。防火墻的使用比例較高主要是因為它價格比較便宜、易安裝，并可在線升級等特點。值得注意的是，2005年企事業(yè)單位對“使用用戶名和密碼登陸系統(tǒng)”、“業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)進(jìn)行物理隔離”等措施非常重視。其他防范措施的使用也比2004年都提高了一定的比例，對網(wǎng)絡(luò)安全和信息的保護(hù)意識也越來越高。生物識別技術(shù)、虛擬專用網(wǎng)絡(luò)及數(shù)字簽名證書的使用率較低，有相當(dāng)一部分人不清楚這些技術(shù)，還需要一些時間才能得到市場的認(rèn)可。

根據(jù)調(diào)查顯示，我國在網(wǎng)絡(luò)安全建設(shè)投入的資金還不到網(wǎng)絡(luò)建設(shè)資金總額的1%，大幅低于歐美和日韓等國。我國目前以中小型企業(yè)占多數(shù)，而中小型企業(yè)由于資金預(yù)算有限，基本上只注重有直接利益回報的投資項目，對于網(wǎng)絡(luò)安全這種看不到實在回饋的資金投入方式普遍表現(xiàn)出不積極態(tài)度。另外，企業(yè)經(jīng)營者對于安全問題經(jīng)常會抱有僥幸的心理，加上缺少專門的技術(shù)人員和專業(yè)指導(dǎo)，致使國內(nèi)企業(yè)目前的網(wǎng)絡(luò)安全建設(shè)情況參差不齊，普遍處于不容樂觀的狀況。

三、 企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全對策分析

“三分技術(shù)，七分管理”是技術(shù)與管理策略在整個信息安全保障策略中各自重要性的體現(xiàn)，沒有完善的管理，技術(shù)就是再先進(jìn)，也是無濟(jì)于事的。以往傳統(tǒng)的網(wǎng)絡(luò)安全解決方案是某一種信息安全產(chǎn)品的某一方面的應(yīng)用方案，只能應(yīng)對網(wǎng)絡(luò)中存在的某一方面的信息安全問題。中國企業(yè)網(wǎng)絡(luò)的信息安全建設(shè)中經(jīng)常存在這樣一種不正常的現(xiàn)象，就是企業(yè)的整體安全意識普遍不強，信息安全措施單一，無法抵御綜合的安全攻擊。隨著上述網(wǎng)絡(luò)安全問題的日益突顯，國內(nèi)網(wǎng)絡(luò)的安全需求也日益提高，這種單一的解決方案就成為了信息安全建設(shè)發(fā)展的瓶頸。因此應(yīng)對企業(yè)網(wǎng)絡(luò)做到全方位的立體防護(hù)，立體化的解決方案才能真正解決企業(yè)網(wǎng)絡(luò)的安全問題，立體化是未來企業(yè)網(wǎng)絡(luò)安全解決方案的趨勢，而信息保障這一思想就是這一趨勢的體現(xiàn)。信息保障是最近幾年西方一些計算機(jī)科學(xué)及信息安全專家提出的與信息安全有關(guān)的新概念，也是信息安全領(lǐng)域一個最新的發(fā)展方向。

信息保障是信息安全發(fā)展的新階段，用保障(Assurance)來取代平時我們用的安全一詞，不僅僅是體現(xiàn)了信息安全理論發(fā)展到了一個新階段，更是信息安全理念的一種提升與轉(zhuǎn)變。人們開始認(rèn)識到安全的概念已經(jīng)不局限于信息的保護(hù)，人們需要的是對整個信息和信息系統(tǒng)的保護(hù)和防御，包括了對信息的保護(hù)、檢測、反應(yīng)和恢復(fù)能力。為了保障信息安全，除了要進(jìn)行信息的安全保護(hù)，還應(yīng)該重視提高安全預(yù)警能力、系統(tǒng)的入侵檢測能力，系統(tǒng)的事件反應(yīng)能力和系統(tǒng)遭到入侵引起破壞的快速恢復(fù)能力。區(qū)別于傳統(tǒng)的加密、身份認(rèn)證、訪問控制、防火墻、安全路由等技術(shù)，信息保障強調(diào)信息系統(tǒng)整個生命周期的防御和恢復(fù)，同時安全問題的出現(xiàn)和解決方案也超越了純技術(shù)范疇。由此形成了包括預(yù)警、保護(hù)、檢測、反應(yīng)和恢復(fù)五個環(huán)節(jié)的信息保障概念。

所以一個全方位的企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進(jìn)的主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)、黑客跟蹤技術(shù)，在攻擊者和受保護(hù)的資源間建立多道嚴(yán)密的安全防線，增加了惡意攻擊的難度，并增加審核信息的數(shù)量，同時利用這些審核信息還可以跟蹤入侵者。

參考文獻(xiàn):

[1]付正:安全――我們共同的責(zé)任[J].計算機(jī)世界，2006，(19)

[2]李理:解剖您身邊的安全[N]．中國計算機(jī)報，2006-4-13

篇7

【論文摘 要】安全問題是電力變電運行的咽喉，隨著信息管理技術(shù)在變電運行中的應(yīng)用，先進(jìn)的安全不僅包括物理安全，也涉及到了由互聯(lián)網(wǎng)帶來的各種來自外界的侵犯，如果電力系統(tǒng)被利用或是遭到攻擊，將會造成難以估計的損失。有效的提高信息管理技術(shù)在電力變電運行中的應(yīng)用是擺在我們面前亟待解決的重要課題。

一、信息管理與電力信息化概述

1.信息管理概念

信息管理是實現(xiàn)組織目標(biāo)、滿足組織要求、解決組織環(huán)境問題而開發(fā)、規(guī)劃、集成、控制、利用信息資源，以提高信息利用率，使信息效用價值最大化的一種實現(xiàn)的一種戰(zhàn)略管理。

2.電力信息化

電力企業(yè)信息化建設(shè)更趨向于科學(xué)性、實用性、安全性以及效益性，電力企業(yè)開發(fā)了一系列企業(yè)管理和經(jīng)濟(jì)運行有關(guān)的應(yīng)用系統(tǒng)，目的在于提高生產(chǎn)和管理效益以及信息系統(tǒng)的實際使用效果。電能可以瞬間完成發(fā)電、輸電、配電直到用電，電力的生產(chǎn)和使用具有連續(xù)性、等量以及同時的特點，要想確保電力的安全生產(chǎn)以及資源的合理配置生產(chǎn)，必須要根據(jù)調(diào)度指令對電力系統(tǒng)的所有環(huán)節(jié)瞬時作出反應(yīng)，電力系統(tǒng)的控制中心、調(diào)度中心要同時對發(fā)電、配電、輸電以及用電的各種數(shù)據(jù)進(jìn)行全面掌握，并及時地分析、調(diào)度和處理，對生產(chǎn)運行進(jìn)行科學(xué)的安排，要及時的處理大而廣、紛繁復(fù)雜的信息量，這使得信息處理工作面臨著一定的挑戰(zhàn)。而信息管理技術(shù)的出現(xiàn)正好為信息的處理帶來了極大的便利，它結(jié)合了GIS技術(shù)，能實現(xiàn)多源數(shù)據(jù)的迅速整合，便于電力系統(tǒng)的信息化管理，可以綜合管理大量的屬性數(shù)據(jù)和地理信息數(shù)據(jù)，可以為經(jīng)營管理提供科學(xué)的決策支持以及現(xiàn)代化的管理手段，結(jié)合了網(wǎng)絡(luò)技術(shù)，更有利于提高信息的共享程度，促進(jìn)信息管理系統(tǒng)實現(xiàn)電力信息的共享，有利于電力系統(tǒng)信息管理更加的透明。電力系統(tǒng)涉及到了十分廣泛的地理區(qū)域，需要多個部門對同一圖層進(jìn)行編輯，傳統(tǒng)的GIS圖層數(shù)據(jù)不支持多用并發(fā)操作，只適合單用戶使用，它采用的是文件格式，采用文件服務(wù)器的方式來共享圖層，若不進(jìn)行特殊處理，多用戶同時更新同一圖層文件時就會發(fā)生沖突。而新型的ORDBMS技術(shù)可以彌補這一缺陷，不會發(fā)生共享沖突，它采用的是面向?qū)ο蟮臄?shù)據(jù)庫技術(shù)，可以集中式管理地理屬性數(shù)據(jù)和信息空間數(shù)據(jù)，支持版本管理以及并發(fā)操作，還支持完全數(shù)據(jù)庫存儲模式，能夠解決數(shù)據(jù)安全機(jī)制、存儲管理大量的數(shù)據(jù)、數(shù)據(jù)完整性以及多用戶編輯等方面的問題。

二、電力變電運行中運用信息管理的優(yōu)勢

1.先進(jìn)性和開放性

數(shù)據(jù)倉庫技術(shù)使數(shù)據(jù)有了更加廣泛的來源，便于使用，方便與MIS等系統(tǒng)接口，系統(tǒng)的構(gòu)造和Internet模式進(jìn)行了結(jié)合，應(yīng)有前景良好。

2.實用性強

信息管理技術(shù)有利于變電運行中二次部分各類數(shù)據(jù)源的共享和使用，尤其是對于變電保護(hù)技術(shù)工作人員來說，有利于提高系統(tǒng)分析和數(shù)據(jù)統(tǒng)計的工作效率，有利于提高保護(hù)運行水平。

3.可靠性高，易于維護(hù)和升級

方法庫和數(shù)據(jù)倉庫的采用使得整個信息管理系統(tǒng)運行集中于網(wǎng)絡(luò)中心規(guī)則庫和數(shù)據(jù)庫，不再在各級用戶之間分散可靠性，即使其中一個客戶的工作站突然損壞了，也不會對系統(tǒng)其他部分的性能造成影響，并且很容易恢復(fù)，軟件開發(fā)人員只需改變方法庫就可以進(jìn)行升級換代，既方便又快捷。

三、電力變電運行中采用的安全策略

1.安全技術(shù)策略

為了確保信息的安全，采取的必不可少的安全技術(shù)措施有：1)病毒防護(hù)技術(shù)。應(yīng)該建立健全管理制度，統(tǒng)一管理計算機(jī)病毒庫的升級分發(fā)以及病毒的預(yù)防、檢測等環(huán)節(jié)，應(yīng)該采取全面的防病毒策略應(yīng)用于信息系統(tǒng)的各個環(huán)節(jié)，有效的防治和避免受到病毒的侵害；2)防火墻技術(shù)。防火墻技術(shù)主要用于隔離信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)，它的檢查方式是通過單一集中的安全檢查點，強制實施安全策略來實現(xiàn)，避免非法存取和訪問重要的信息資源；3)數(shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)必須制定數(shù)據(jù)備份策略，定期對數(shù)據(jù)庫進(jìn)行備份，按照重要程度劃分?jǐn)?shù)據(jù)備份等級，建立企業(yè)數(shù)據(jù)備份中心，采用災(zāi)難恢復(fù)技術(shù)來備份應(yīng)用系統(tǒng)以及關(guān)鍵業(yè)務(wù)的數(shù)據(jù)，并制定詳細(xì)的數(shù)據(jù)庫故障恢復(fù)預(yù)案以及應(yīng)用數(shù)據(jù)庫備份，并定期的進(jìn)行預(yù)演，以防止在數(shù)據(jù)遭到破壞或是系統(tǒng)崩潰時能夠及時的修復(fù)，從而使信息系統(tǒng)具有更好的可靠性和可用性；4)安全審計技術(shù)。在系統(tǒng)規(guī)模的不斷擴(kuò)大以及安全設(shè)施不斷完善的背景下，電氣企業(yè)應(yīng)該引進(jìn)集中智能的安全審計系統(tǒng)，采取行之有效的技術(shù)手段來自動統(tǒng)一審計網(wǎng)絡(luò)設(shè)備日志、業(yè)務(wù)應(yīng)用系統(tǒng)運行日志、操作系統(tǒng)運行日志以及安全設(shè)施運行日志等，迅速自動的對系統(tǒng)安全事件進(jìn)行分析，安全管理系統(tǒng)的運行。另外建立信息安全身份認(rèn)證體系以及虛擬局域網(wǎng)技術(shù)也十分重要。

2.組織管理策略

組織管理措施以及技術(shù)措施統(tǒng)一在信息安全的范疇之內(nèi)，由于管理方面的原因為造成的計算機(jī)安全事件的比重達(dá)到了70%以上，所以應(yīng)采取必要的組織管理策略：1)安全策略和制度。電氣企業(yè)應(yīng)該制定相關(guān)的政策方針來指導(dǎo)企業(yè)整體的信息安全工作，只有制定統(tǒng)一的、具有指導(dǎo)性的安全策略和制度才能有效的衡量信息的安全，才能形成安全的防護(hù)體系以及遵循信息安全制度，只有制定有效的安全策略和制度，才能實現(xiàn)具體化、形式化的法律管理，才能將法規(guī)與管理聯(lián)系在一起，確保信息的安全。2)安全意識和安全技能。電氣企業(yè)應(yīng)該組織員工進(jìn)行培訓(xùn)，普及他們的安全知識，強化職工的安全意識，使他們具備安全防范意識并具備基本的安全技能，能夠處理常見的安全問題。通過安全培訓(xùn)來提高職工的安全操作技能，再結(jié)合第三方安全技術(shù)和產(chǎn)品來提升信息安全保障；3)安全組織和崗位。本著保障企業(yè)信息安全的目的，電氣企業(yè)應(yīng)該設(shè)立獨立的信息安全部門來管理企業(yè)信息的安全，實行“統(tǒng)一組織、分散管理”的方式來使信息安全部門全面負(fù)責(zé)企業(yè)的信息安全管理和維護(hù)。安全崗位是是根據(jù)系統(tǒng)安全需要設(shè)立的信息系統(tǒng)安全管理機(jī)構(gòu)，這個職位主要負(fù)責(zé)某一個或是幾個安全事務(wù)，在全企業(yè)形成專門的信息安全管理工作，使各個信息技術(shù)部門也能配合和推行信息安全工作。

參考文獻(xiàn)

[1]覃郁培.信息管理技術(shù)在電力變電運行中的應(yīng)用[J].民營科技，2010，(8)

篇8

【關(guān)鍵詞】盈余管理 盈余管理手段 關(guān)聯(lián)交易

一、信息管理與電力信息化概述

（一）信息管理概念。

信息管理是實現(xiàn)組織目標(biāo)、滿足組織要求、解決組織環(huán)境問題而開發(fā)、規(guī)劃、集成、控制、利用信息資源，以提高信息利用率，使信息效用價值最大化的一種實現(xiàn)的一種戰(zhàn)略管理。

（二）電力信息化。

電力企業(yè)信息化建設(shè)更趨向于科學(xué)性、實用性、安全性以及效益性，電力企業(yè)開發(fā)了一系列企業(yè)管理和經(jīng)濟(jì)運行有關(guān)的應(yīng)用系統(tǒng)，目的在于提高生產(chǎn)和管理效益以及信息系統(tǒng)的實際使用效果。電能可以瞬間完成發(fā)電、輸電、配電直到用電，電力的生產(chǎn)和使用具有連續(xù)性、等量以及同時的特點，要想確保電力的安全生產(chǎn)以及資源的合理配置生產(chǎn)，必須要根據(jù)調(diào)度指令對電力系統(tǒng)的所有環(huán)節(jié)瞬時作出反應(yīng)，電力系統(tǒng)的控制中心、調(diào)度中心要同時對發(fā)電、配電、輸電以及用電的各種數(shù)據(jù)進(jìn)行全面掌握，并及時地分析、調(diào)度和處理，對生產(chǎn)運行進(jìn)行科學(xué)的安排，要及時的處理大而廣、紛繁復(fù)雜的信息量，這使得信息處理工作面臨著一定的挑戰(zhàn)。而信息管理技術(shù)的出現(xiàn)正好為信息的處理帶來了極大的便利，它結(jié)合了GIS技術(shù)，能實現(xiàn)多源數(shù)據(jù)的迅速整合，便于電力系統(tǒng)的信息化管理，可以綜合管理大量的屬性數(shù)據(jù)和地理信息數(shù)據(jù)，可以為經(jīng)營管理提供科學(xué)的決策支持以及現(xiàn)代化的管理手段，結(jié)合了網(wǎng)絡(luò)技術(shù)，更有利于提高信息的共享程度，促進(jìn)信息管理系統(tǒng)實現(xiàn)電力信息的共享，有利于電力系統(tǒng)信息管理更加的透明。電力系統(tǒng)涉及到了十分廣泛的地理區(qū)域，需要多個部門對同一圖層進(jìn)行編輯，傳統(tǒng)的GIS圖層數(shù)據(jù)不支持多用并發(fā)操作，只適合單用戶使用，它采用的是文件格式，采用文件服務(wù)器的方式來共享圖層，若不進(jìn)行特殊處理，多用戶同時更新同一圖層文件時就會發(fā)生沖突。而新型的ORDBMS技術(shù)可以彌補這一缺陷，不會發(fā)生共享沖突，它采用的是面向?qū)ο蟮臄?shù)據(jù)庫技術(shù)，可以集中式管理地理屬性數(shù)據(jù)和信息空間數(shù)據(jù)，支持版本管理以及并發(fā)操作，還支持完全數(shù)據(jù)庫存儲模式，能夠解決數(shù)據(jù)安全機(jī)制、存儲管理大量的數(shù)據(jù)、數(shù)據(jù)完整性以及多用戶編輯等方面的問題。

二、電力變電運行中運用信息管理的優(yōu)勢

（一）先進(jìn)性和開放性。

數(shù)據(jù)倉庫技術(shù)使數(shù)據(jù)有了更加廣泛的來源，便于使用，方便與MIS等系統(tǒng)接口，系統(tǒng)的構(gòu)造和Internet模式進(jìn)行了結(jié)合，應(yīng)有前景良好。

（二）實用性強。

信息管理技術(shù)有利于變電運行中二次部分各類數(shù)據(jù)源的共享和使用，尤其是對于變電保護(hù)技術(shù)工作人員來說，有利于提高系統(tǒng)分析和數(shù)據(jù)統(tǒng)計的工作效率，有利于提高保護(hù)運行水平。

（三）可靠性高，易于維護(hù)和升級。

方法庫和數(shù)據(jù)倉庫的采用使得整個信息管理系統(tǒng)運行集中于網(wǎng)絡(luò)中心規(guī)則庫和數(shù)據(jù)庫，不再在各級用戶之間分散可靠性，即使其中一個客戶的工作站突然損壞了，也不會對系統(tǒng)其他部分的性能造成影響，并且很容易恢復(fù)，軟件開發(fā)人員只需改變方法庫就可以進(jìn)行升級換代，既方便又快捷。

三、電力變電運行中采用的安全策略

（一）安全技術(shù)策略。

為了確保信息的安全，采取的必不可少的安全技術(shù)措施有：1）病毒防護(hù)技術(shù)。應(yīng)該建立健全管理制度，統(tǒng)一管理計算機(jī)病毒庫的升級分發(fā)以及病毒的預(yù)防、檢測等環(huán)節(jié)，應(yīng)該采取全面的防病毒策略應(yīng)用于信息系統(tǒng)的各個環(huán)節(jié)，有效的防治和避免受到病毒的侵害；2）防火墻技術(shù)。防火墻技術(shù)主要用于隔離信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)，它的檢查方式是通過單一集中的安全檢查點，強制實施安全策略來實現(xiàn)，避免非法存取和訪問重要的信息資源；3）數(shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)必須制定數(shù)據(jù)備份策略，定期對數(shù)據(jù)庫進(jìn)行備份，按照重要程度劃分?jǐn)?shù)據(jù)備份等級，建立企業(yè)數(shù)據(jù)備份中心，采用災(zāi)難恢復(fù)技術(shù)來備份應(yīng)用系統(tǒng)以及關(guān)鍵業(yè)務(wù)的數(shù)據(jù)，并制定詳細(xì)的數(shù)據(jù)庫故障恢復(fù)預(yù)案以及應(yīng)用數(shù)據(jù)庫備份，并定期的進(jìn)行預(yù)演，以防止在數(shù)據(jù)遭到破壞或是系統(tǒng)崩潰時能夠及時的修復(fù)，從而使信息系統(tǒng)具有更好的可靠性和可用性；4）安全審計技術(shù)。在系統(tǒng)規(guī)模的不斷擴(kuò)大以及安全設(shè)施不斷完善的背景下，電氣企業(yè)應(yīng)該引進(jìn)集中智能的安全審計系統(tǒng)，采取行之有效的技術(shù)手段來自動統(tǒng)一審計網(wǎng)絡(luò)設(shè)備日志、業(yè)務(wù)應(yīng)用系統(tǒng)運行日志、操作系統(tǒng)運行日志以及安全設(shè)施運行日志等，迅速自動的對系統(tǒng)安全事件進(jìn)行分析，安全管理系統(tǒng)的運行。另外建立信息安全身份認(rèn)證體系以及虛擬局域網(wǎng)技術(shù)也十分重要。

（二）組織管理策略。

組織管理措施以及技術(shù)措施統(tǒng)一在信息安全的范疇之內(nèi)，由于管理方面的原因為造成的計算機(jī)安全事件的比重達(dá)到了70%以上，所以應(yīng)采取必要的組織管理策略：1）安全策略和制度。電氣企業(yè)應(yīng)該制定相關(guān)的政策方針來指導(dǎo)企業(yè)整體的信息安全工作，只有制定統(tǒng)一的、具有指導(dǎo)性的安全策略和制度才能有效的衡量信息的安全，才能形成安全的防護(hù)體系以及遵循信息安全制度，只有制定有效的安全策略和制度，才能實現(xiàn)具體化、形式化的法律管理，才能將法規(guī)與管理聯(lián)系在一起，確保信息的安全。2）安全意識和安全技能。電氣企業(yè)應(yīng)該組織員工進(jìn)行培訓(xùn)，普及他們的安全知識，強化職工的安全意識，使他們具備安全防范意識并具備基本的安全技能，能夠處理常見的安全問題。通過安全培訓(xùn)來提高職工的安全操作技能，再結(jié)合第三方安全技術(shù)和產(chǎn)品來提升信息安全保障；3）安全組織和崗位。本著保障企業(yè)信息安全的目的，電氣企業(yè)應(yīng)該設(shè)立獨立的信息安全部門來管理企業(yè)信息的安全，實行“統(tǒng)一組織、分散管理”的方式來使信息安全部門全面負(fù)責(zé)企業(yè)的信息安全管理和維護(hù)。安全崗位是是根據(jù)系統(tǒng)安全需要設(shè)立的信息系統(tǒng)安全管理機(jī)構(gòu)，這個職位主要負(fù)責(zé)某一個或是幾個安全事務(wù)，在全企業(yè)形成專門的信息安全管理工作，使各個信息技術(shù)部門也能配合和推行信息安全工作。

參考文獻(xiàn)：

篇9

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2010)06-1317-02

On Security Architecture for Enterprise Information Systems to Establish

LI Yu-lu

(Changzhou, Jiangsu Electric Power Company Power Company Information Center, Changzhou 213003, China)

Abstract: To improve the security of enterprise information systems that needs to start from the structure. This article describes the system structure of information system security status and structure of the standardized safety systems analysis, which describes the security requirements to meet the various security elements in the relationship between the proposed enterprise information security architecture model, in order to guide enterprise the development of safety standards, the system provides a reference.

Key words: enterprise information security; architecture; safety standard system

企業(yè)信息系統(tǒng)安全結(jié)構(gòu)是計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)的擴(kuò)展。20 世紀(jì)80 年代末、90 年代初,信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)的重要性開始引起發(fā)達(dá)國家關(guān)注。如,美國國家安全局(NAS) 20 世紀(jì)90 年代公布的國防信息系統(tǒng)安全計劃(DISSP) ,是由安全特性、系統(tǒng)組成部分、擴(kuò)展的IS0 協(xié)議層等三維構(gòu)成,它不僅考慮了信息傳輸安全、網(wǎng)絡(luò)安全,還考慮了信息處理安全、端系統(tǒng)及接口安全問題;此外,還增加了互操作性、質(zhì)量保證、性能等安全特性。2001 年美國國家安全局(NAS )制定了信息技術(shù)保證框架(IATF),是從整體、過程的角度看待信息安全問題,它強調(diào)以人、技術(shù)、操作這三個核心原則,關(guān)注四個信息安全保障領(lǐng)域:保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護(hù)邊界、保護(hù)計算環(huán)境、支撐基礎(chǔ)設(shè)施,并在4 個重點技術(shù)領(lǐng)域?qū)嵤┲T如應(yīng)用層護(hù)衛(wèi)、電路、文件加密等多種安全技術(shù)手段。再如,美國國防部所屬的國防信息系統(tǒng)局(DISA)1996 年制定了防御目標(biāo)安全系統(tǒng)結(jié)構(gòu)框架(DGSA V3.0),從系統(tǒng)單元構(gòu)成的角度,提出了信息系統(tǒng)中各單元分的安全服務(wù)配置框架,目的是要從安全系統(tǒng)結(jié)構(gòu)的高度對信息統(tǒng)的安全保護(hù)提出技術(shù)上和管理上的規(guī)范要求等。

在信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)理論研究領(lǐng)域,有人提出開放分布式系統(tǒng)的安全結(jié)構(gòu);有人對網(wǎng)絡(luò)及信息系安全系統(tǒng)結(jié)構(gòu)進(jìn)行了初步的探討和研究,提出了計算機(jī)網(wǎng)絡(luò)實體安全系統(tǒng)結(jié)構(gòu)和基于智能協(xié)作技術(shù)的信息系統(tǒng)安全系結(jié)構(gòu)概念模型等。通過對上述的研究分析,可以看到國內(nèi)外己有的安全系統(tǒng)結(jié)構(gòu)和框架都描述了信息系統(tǒng)相關(guān)的安全系統(tǒng)結(jié)構(gòu)及模型等安全要素,它們各不相同,實現(xiàn)方法等也并且都不完備。由于研究問題的層次和角度不同,對安全系統(tǒng)結(jié)構(gòu)的具體含義的理解也同,從而導(dǎo)致信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)在概念上、類型上及結(jié)構(gòu)上的不一致,因此,為使信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)研究和應(yīng)用共同的概念依據(jù)和構(gòu)建基礎(chǔ),需要加強對信息系統(tǒng)安全結(jié)構(gòu)的一些基本問題,諸如安全結(jié)構(gòu)的類型及特征、構(gòu)成要素及構(gòu)建步驟等內(nèi)容的學(xué)習(xí)研究,以引導(dǎo)企業(yè)安全系統(tǒng)的建立。

1 信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)組成要素

實現(xiàn)信息安全系統(tǒng)結(jié)構(gòu)的安全,要從多個方面考慮,通常定義的包括安全屬性、系統(tǒng)組成、安全策略、安全模型、安全機(jī)制等5 個方面。在每一個方面中,還可以繼續(xù)劃分多個層次;對于一個給定的層次,包括著多種安全要素。

1.1 安全屬性

安全本身是對信息系統(tǒng)一種屬性要求,信息系統(tǒng)通過安全服務(wù)來實現(xiàn)安全性?；镜陌踩?wù)包括標(biāo)識與鑒別、保密性、完整性、可用性等。在1S07498 一2 中對安全服務(wù)和安全機(jī)制的對應(yīng)關(guān)系給予了描述。它的核心內(nèi)容是將5 大類安全服務(wù):身份鑒別、訪問控制、數(shù)據(jù)保密、數(shù)據(jù)完整性、不可否認(rèn)性及提供這些服務(wù)的8 類安全機(jī)制及其相應(yīng)的0SI 安全管理等放置于0SI模型的7層協(xié)議中,以實現(xiàn)端系統(tǒng)信息安全傳送的通信通路。這樣從安全性到安全服務(wù)機(jī)制到具體安全技術(shù)手段形成了安全屬性的不同層次。

1.2 系統(tǒng)組成

系統(tǒng)組成描述信息系統(tǒng)的組成要素。對于信息系統(tǒng)的組成劃分,有不同的方法?？梢苑譃橛布蛙浖?在硬件和軟件中又可以進(jìn)一步地劃分。對于分布的信息系統(tǒng),可以將信息系統(tǒng)資源分為用戶單元和網(wǎng)絡(luò)單元,即將信息系統(tǒng)的組成要素分為本地計算環(huán)境和網(wǎng)絡(luò),以及計算環(huán)境邊界。本地計算環(huán)境和網(wǎng)絡(luò)都還可以進(jìn)一步劃分等。例如本地計算環(huán)境可以分為端系統(tǒng)、中繼系統(tǒng)和局部通信系統(tǒng)。端系統(tǒng)作為信息處理單元,可以繼續(xù)分為應(yīng)用平臺和應(yīng)用軟件;應(yīng)用平臺包括操作系統(tǒng)、軟件工程服務(wù)、分布式服務(wù)、數(shù)據(jù)管理等:應(yīng)用軟件中包括消息處理、web 應(yīng)用等。

1.3 安全策略

在安全系統(tǒng)結(jié)構(gòu)中,安全策略指用于限定一個系統(tǒng)、實體或?qū)ο筮M(jìn)行安全相關(guān)活動的規(guī)則。 即要表明在安全范圍內(nèi)什么是允許的,什么是不允許的。它直體現(xiàn)了安全需求,井且也有面向不同層次、視圖及原理的安全策略。其描述內(nèi)容和形式也各不相同。對于抽象型和一般型安全系統(tǒng)結(jié)構(gòu)而言,安全策略主要是對加密、訪問控制、多級安全等策略的通用規(guī)定,不涉及具體的軟硬件實現(xiàn);而對于具體型安全系統(tǒng)結(jié)構(gòu),其安全策咯則是要對實現(xiàn)系統(tǒng)安全功能的主體和客體特性進(jìn)行具體的標(biāo)識和說明,亦即要描述允許或禁止系統(tǒng)和用戶何時執(zhí)行哪些動作,井要能反射到軟硬件安全組件的具體配置,如,網(wǎng)絡(luò)操作系統(tǒng)的帳戶策略用戶權(quán)限策略和審計策略等安全策略就最終體現(xiàn)為發(fā)全功能的各種選項等。

1.4 安全模型

安全模型用于準(zhǔn)確描述系絞在功能和結(jié)構(gòu)上的安全特性,它反映了一定的支全策略,是引導(dǎo)、驗證安全系統(tǒng)開發(fā)設(shè)計的概念模型要求。對安全策略及形式化模型的研究起源于美國軍方對高安全級別的計算機(jī)系統(tǒng)的需求,它為計算機(jī)操作系統(tǒng)的安全性設(shè)計提供了理論基礎(chǔ)。這些安全模型通常被認(rèn)為是經(jīng)典安全模型。經(jīng)典安全模型主要由身份標(biāo)識、認(rèn)證、授權(quán)、審核等4個環(huán)節(jié)構(gòu)成。經(jīng)典安全模型的前提假設(shè)是:引用監(jiān)視器是主體對客體進(jìn)行訪問的唯一路徑。身份標(biāo)識與認(rèn)證的機(jī)制是可靠的;審核文件和訪問控制數(shù)據(jù)庫本身受到充分的保護(hù)。而這些前提在實際的信怠系統(tǒng)中并不一定成立。因此,信息系統(tǒng)安全摸型的描述應(yīng)反映相應(yīng)層次和視圖上的安全策略。

1.5 安全機(jī)制

安全機(jī)制是實現(xiàn)信息系統(tǒng)安全需求及空全策略的各種措施,具體可以表現(xiàn)為所需要的安全白標(biāo)準(zhǔn)、安全協(xié)議、安全技術(shù)、安全單元等。對于不同層次、不同視圖及不同原理的安全系統(tǒng)結(jié)構(gòu),安全機(jī)制側(cè)重點也有所不同。例如:OSI安全系統(tǒng)結(jié)構(gòu)中建議采用7種安全機(jī)制。而對于特定系統(tǒng)的安全系統(tǒng)結(jié)構(gòu),則要進(jìn)一步說明有關(guān)安全機(jī)制的具體實現(xiàn)技術(shù),如認(rèn)證機(jī)制的實現(xiàn)可以有口令、密碼技術(shù)及實體特征鑒別等方法。

2 數(shù)學(xué)模型

把整個信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)可看成為一個空間:組成信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)的這些方面稱之為維,層次劃分中的特定層次下所包括的安全要素值均是每一維上的具體元素值的體現(xiàn),通用的信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)就是具有多維、多層和動態(tài)特性的空間(這里只是借用維空間的概念,除了考慮各維元素之間的相互作用而外并不考慮維空間中各個元素之間的運算)。通過數(shù)學(xué)描述,可以更好地對知識進(jìn)行歸納和運用:一方面更容易量化,使得描述更為清晰;另一方面可以指導(dǎo)新的未知問題的探索,演繹出新的概念或理論。

3 結(jié)束語

企業(yè)信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)的研究是一項復(fù)雜的系統(tǒng)工程。需要我們用系統(tǒng)工程的概念、理論和方法來研究、開發(fā)和實施系統(tǒng)安全結(jié)構(gòu)的設(shè)計,安全系統(tǒng)結(jié)構(gòu)理論就是要從整體上解決信息系統(tǒng)的安全問題,但目前在很多企業(yè)對安全系統(tǒng)結(jié)構(gòu)的概念、類型、構(gòu)建等問題上還沒有得到系統(tǒng)化的研究,以上從學(xué)習(xí)研究的角度對目前國內(nèi)外安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)的研究進(jìn)行了粗淺的學(xué)習(xí)分析,通過分析使對整個安全系統(tǒng)結(jié)構(gòu)的認(rèn)識進(jìn)一步加深和清晰化,從而提出企業(yè)信息安全系統(tǒng)結(jié)構(gòu)和模型。要使企業(yè)信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)適合企業(yè)信息系統(tǒng)安全、全面、準(zhǔn)確、可行的要求,同時要適應(yīng)信息技術(shù)及其安全技術(shù)的飛速發(fā)展。只有這樣,才能確保信息安全系統(tǒng)適應(yīng)更好地為企業(yè)服務(wù)。

參考文獻(xiàn):

篇10

關(guān)鍵詞：商業(yè)秘密；信息安全；保護(hù)；資產(chǎn)；大數(shù)據(jù)

1信息安全工作的本質(zhì)是商業(yè)秘密保護(hù)

商業(yè)秘密保護(hù)一直是企業(yè)內(nèi)部管理的薄弱環(huán)節(jié)，企業(yè)也是信息安全泄密事件的高發(fā)群體，受到商業(yè)秘密侵權(quán)的損害也最大。其原因在于企業(yè)的創(chuàng)始人基本沒有商業(yè)秘密的意識，也沒有在機(jī)構(gòu)上設(shè)立保密部門，更沒有建立有效的商業(yè)秘密保護(hù)管理機(jī)制，因此導(dǎo)致商業(yè)秘密容易被侵權(quán)。按照我國《反不正當(dāng)競爭法》的規(guī)定，屬于商業(yè)秘密范疇的信息須具備以下三個條件：不為公眾所知悉、能帶來經(jīng)濟(jì)利益、采取保密措施。根據(jù)商業(yè)秘密的特點，可以發(fā)現(xiàn)商業(yè)秘密屬于具有經(jīng)濟(jì)價值且被保護(hù)的企業(yè)信息資源，這種資源在企業(yè)內(nèi)部有限范圍內(nèi)共享。當(dāng)下，有關(guān)商業(yè)秘密的法律訴訟已不是新鮮事。2017年，安徽一橡塑制品公司員工辭職后入股競爭對手,不僅帶走老東家的技術(shù)資料,還“搶了”老顧客生意。法院采取“實質(zhì)性相同加接觸”規(guī)則推定其與新東家構(gòu)成侵權(quán),判賠80萬元。據(jù)德國《經(jīng)濟(jì)周刊》網(wǎng)站2017年12日報道，荷蘭警方日前逮捕了一名65歲男子，該男子為西門子員工，涉嫌將西門子商業(yè)機(jī)密泄露給中國企業(yè)，荷蘭檢察院目前正對此案展開調(diào)查。以上兩個案例中的企業(yè)商業(yè)秘密保護(hù)的一個側(cè)面。大數(shù)據(jù)時代的核心是資源共享，任何企業(yè)都不是一個封閉的組織，任何組織和個人都可以有償或者無償獲得他們所需要的信息。因此，要做好企業(yè)的信息安全工作，必須厘清商業(yè)秘密保護(hù)與信息安全之間的關(guān)系。商業(yè)秘密保護(hù)的對象是企業(yè)的技術(shù)或經(jīng)營信息，因此商業(yè)秘密保護(hù)的本質(zhì)也是保護(hù)信息安全。泄密事件層出不窮，泄密手段越來越高科技。大部分企業(yè)在信息安全工作中，存在一些典型的誤區(qū)：業(yè)務(wù)部門認(rèn)為沒有商業(yè)秘密可言，搞信息安全只是IT部門的事情；業(yè)務(wù)部門不知道哪些信息屬于商業(yè)秘密，信息安全工作推進(jìn)沒有依據(jù)；業(yè)務(wù)部門的海量信息都需要保護(hù)，保護(hù)范圍無限擴(kuò)大，見圖1。

2信息安全工作不能奔走救火

市場經(jīng)濟(jì)競爭越來越激烈，泄密風(fēng)險越來越多，商業(yè)秘密的價值越來越高。泄密的途徑和方式多種多樣，要想做好信息安全工作，我們必須要了解主要的泄密途徑。(1)內(nèi)部泄密。堡壘最容易從內(nèi)部被攻破，在企業(yè)商業(yè)秘密泄密事件中，由于核心員工跳槽帶走商業(yè)秘密而造成的泄密事件時有發(fā)生而且占有很大的比例。據(jù)統(tǒng)計，企業(yè)內(nèi)部人員侵犯商業(yè)秘密案件占全部案例的82.5%。人員流動是企業(yè)發(fā)展過程中所面臨的并且是無法回避的問題，在企業(yè)的商業(yè)秘密保護(hù)工作中，如何防止核心員工跳槽帶走商業(yè)秘密，人員管理固然是很重要的一個環(huán)節(jié)，但還應(yīng)伴隨著一系列的管理措施。對于企業(yè)來說，證明商業(yè)秘密的存在本身就很困難，要證明企業(yè)員工是否利用了這種信息難度更大，尤其是難以區(qū)分一般信息與商業(yè)秘密信息的差別。所以，應(yīng)通過競業(yè)限制條款以盡可能地避免員工利用商業(yè)秘密。(2)商業(yè)秘密信息管理不善。一些企業(yè)中存在著很多這樣的情況，企業(yè)一邊將一些技術(shù)文件、客戶資料和信息不分級別隨意管理，任何員工甚至未經(jīng)任何手續(xù)就能隨意使用和得到這些信息，另一邊聲稱自己的商業(yè)秘密被泄露要加強管理甚至要進(jìn)行索賠等，這種狀況是很難尋求到法律支持和保護(hù)的。所以，我們強調(diào)確定企業(yè)的商業(yè)秘密范圍，明確商業(yè)秘密保護(hù)的對象是商業(yè)秘密保護(hù)工作的關(guān)鍵環(huán)節(jié)。(3)接待外來人員采訪、參觀、考察、實習(xí)中疏忽大意。這樣的實例很多,我國一些具有“獨特工藝”的傳統(tǒng)產(chǎn)品企業(yè)就是在接待參觀和考察中，被人竊取“機(jī)密”。改革開放之初，日本人借著我國地方官員和民眾熱情迎接外賓，毫無商業(yè)保密頭腦的機(jī)會，來涇縣“參觀考察”中國宣紙制造，官員和工廠負(fù)責(zé)及技術(shù)人員陪同參觀，每一道制作工藝詳細(xì)講解，從而日本人輕而易舉獲取了宣紙制造的整個流程，以及“紙藥”的配方。如果企業(yè)能重視到商業(yè)秘密的保護(hù)，此種損失完全可以避免或降低。參觀應(yīng)避開敏感區(qū)域，勿作詳細(xì)解釋，勿對生產(chǎn)制造工藝進(jìn)行演示，并要求來訪者參觀商業(yè)秘密設(shè)備時簽訂保密協(xié)議。(4)對外信息。競爭對手通過公開的信息收集的合法途徑同樣能夠獲取企業(yè)商業(yè)秘密。還有一些企業(yè)甚至盯著對手公司經(jīng)常使用的垃圾箱，從垃圾箱中翻閱廢棄資料，從而檢索有用信息。對此，企業(yè)一定要引起注意，最好建立嚴(yán)格的信息審批規(guī)章制度和辦事程序。比如信息公布、報廢產(chǎn)品、實驗廢品和產(chǎn)品的處理，展覽、新聞和廣告等，均需通過嚴(yán)密的信息處理和審批，以防無意中泄密。為了解決一個個具體的問題而立即行動，效果不會很好，久而久之，信息安全保護(hù)措施會流于形式、奔走救火。企業(yè)要防止自己的商業(yè)秘密被競爭對手竊取，必要采取各種保護(hù)措施。保護(hù)措施越多，保護(hù)效果越好，但同時保護(hù)成本也會增大，消耗企業(yè)的財富。但如果企業(yè)對商業(yè)秘密投入不足，會使保護(hù)能力欠缺，導(dǎo)致重要的商業(yè)秘密資產(chǎn)被泄密，企業(yè)面臨的損失可能會更大。因此，企業(yè)必須使投入的保護(hù)成本與需要保護(hù)的商業(yè)秘密資產(chǎn)價值相適應(yīng)。

3保護(hù)信息安全的目標(biāo)是降低風(fēng)險

就商業(yè)秘密而言，沒有絕對的安全，只有相對的安全。信息安全的目的是，保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風(fēng)險最小化，投資回報和商業(yè)機(jī)遇最大化。泄密風(fēng)險只能降低，不可能杜絕。商業(yè)秘密范圍的確定是商業(yè)秘密保護(hù)最基礎(chǔ)的工作，只有準(zhǔn)確的定義、識別并確定自己企業(yè)需要保護(hù)的商業(yè)秘密范圍，才有可能采取有效措施對范圍之內(nèi)的商業(yè)秘密進(jìn)行保護(hù)，如果范圍確定的不準(zhǔn)確，就可能使商業(yè)秘密面臨缺乏保護(hù)或保護(hù)過度的風(fēng)險。在明確商業(yè)秘密的范圍和定義的前提下，首先要做好“定密”工作，其次要做好“分級”工作，最后在采用各種手段去做“保密”工作。

參考文獻(xiàn)

[1]魏亮.云計算安全風(fēng)險及對策研究[J].郵電設(shè)計技術(shù),2011(10).

[2]徐祖哲.企業(yè)信息化與商業(yè)秘密保護(hù)[J].中國科技投資,2009(2).

[3]歐陽有慧.商業(yè)秘密的企業(yè)應(yīng)對[J].商場現(xiàn)代化,2009(1).

[4]王紅一.免予公開的商業(yè)秘密的界定問題[J].暨南學(xué)報,2005(5).

[5]馮曉青.試論商業(yè)秘密法的目的與利益平衡[J].天中學(xué)刊,2004(12).