導(dǎo)語：如何才能寫好一篇公司信息安全建設(shè)，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】供電公司 信息系統(tǒng) 數(shù)據(jù) 安全

1 供電公司信息系統(tǒng)數(shù)據(jù)安全的總體設(shè)計分析

1.1 設(shè)計的總體目標

供電公司是我國國民經(jīng)濟的重要組成部分。電力企業(yè)的發(fā)展一直都是我國政府重點關(guān)注的部分。它不僅是提升國民經(jīng)濟收入的重要來源，還是促進社會生產(chǎn)、生活穩(wěn)定發(fā)展的重要基礎(chǔ)。近些年來，供電公司一直追隨著國家提出的對電網(wǎng)發(fā)展的要求，致力于信息系統(tǒng)數(shù)據(jù)安全的建設(shè)。但是，供電公司信息系統(tǒng)數(shù)據(jù)受到“黑客”等不良襲擊的事件屢屢發(fā)生。對社會生活，以及國家政治，都造成了較大的負面影響。因此，供電公司投入精力，建設(shè)信息系統(tǒng)數(shù)據(jù)安全是當(dāng)前的重要任務(wù)。

1.2 信息系統(tǒng)數(shù)據(jù)安全的基本原則

1.2.1 針對性

對于我國的供電公司來說，要想進行現(xiàn)代化的信息系統(tǒng)數(shù)據(jù)安全建設(shè)，就要充分跟著國家政府提出的相關(guān)設(shè)計方案。著重關(guān)注當(dāng)前社會時常出現(xiàn)的信息安全風(fēng)險防范問題，提出針對性更強的改革創(chuàng)新策略。因此，在進行供電公司信息系統(tǒng)數(shù)據(jù)安全改革的過程中，必須要從公司自身的情況出發(fā)，再結(jié)合社會風(fēng)險應(yīng)對經(jīng)驗，提出更加適合自己的信息安全建設(shè)模式。

1.2.2 可擴展性

在充分針對公司面臨的問題之后，信息系統(tǒng)安全建設(shè)還要具有更強的可擴展性，以及秀的伸縮性。在我國經(jīng)濟和科技飛速發(fā)展的條件下，各大公司在幾十年的發(fā)展下，不斷擴展自身的業(yè)務(wù)范圍。當(dāng)社會市場的需求發(fā)生變化時，我們創(chuàng)建的信息系統(tǒng)數(shù)據(jù)安全系統(tǒng)還能夠不斷容納新的內(nèi)容，防止短時期內(nèi)的不良傷害。然后再在維護的基礎(chǔ)上，進行進一步的改革創(chuàng)新。

1.2.3 實用性

從我國供電公司的實際發(fā)展過程中，我們發(fā)現(xiàn)信息安全建設(shè)是一項重要的經(jīng)濟支出項目。但是如果供電公司在信息安全建設(shè)當(dāng)中投入過多，并不利于公司的長久穩(wěn)定發(fā)展。因此，從經(jīng)濟條件的角度考量，我們認為，在創(chuàng)建信息系統(tǒng)數(shù)據(jù)安全項目時，要盡可能地縮短項目開發(fā)的周期，降低其耗費的資金和時間。保障信息數(shù)據(jù)系統(tǒng)的可操作性，為用戶提供真正便捷的方式。

1.2.4 可靠性

在供電公司信息系統(tǒng)數(shù)據(jù)安全的建設(shè)過程當(dāng)中，其信息網(wǎng)絡(luò)系統(tǒng)的改革方案必須要具備較強的可靠性。這是保障供電公司信息系統(tǒng)穩(wěn)定運營的基礎(chǔ)。在此，我們可以采取實用性較強的現(xiàn)代化軟件，來提升系統(tǒng)的穩(wěn)定性。除了考慮現(xiàn)有軟件之外，還可以采取一些集群管理功能的產(chǎn)品。這種產(chǎn)品在一定程度上，能夠保障系統(tǒng)的穩(wěn)定性。

1.2.5 集成性

在我國的供電公司信息系統(tǒng)當(dāng)中，數(shù)據(jù)的分類和用途十分復(fù)雜。因此，在保障信息安全時，必然也要從系統(tǒng)本身特點出發(fā)。確保所使用的信息安全系統(tǒng)結(jié)構(gòu)清晰明了，擴展的形式更加便捷。

2 供電公司信息系統(tǒng)數(shù)據(jù)安全建設(shè)需求

2.1 物理安全建設(shè)

2.1.1 物理環(huán)境的安全需求

在一般情況下，電力公司存放的重要信息能夠通過電磁輻射等形式被盜用。因此，在對信息安全進行管理時，要對信息存放的機房進行有效的創(chuàng)新。創(chuàng)新主要針對的就是對電磁輻射等形式的攔截或干擾。除了要防范人為因素之外，還要有效防范某些自然的因素，例如自然的丟失，或者系統(tǒng)性能不穩(wěn)定導(dǎo)致的信息損壞等。對于那些管理數(shù)據(jù)的關(guān)鍵設(shè)備，要進行冗余配置，保障更強的數(shù)據(jù)恢復(fù)和數(shù)據(jù)備份能力，確保重要信息的安全。除此之外，為了充分保障網(wǎng)絡(luò)傳輸線路的安全性、穩(wěn)定性，就要對網(wǎng)絡(luò)傳輸線路的備份進行升級。因為供電公司的許多設(shè)施都無法進行精密的保護，如網(wǎng)絡(luò)線纜等。供電公司要充分關(guān)注這些設(shè)備的安全性，防止其因雷擊、火災(zāi)等不可控因素造成破壞。

2.1.2 物理隔離需求

在供電公司的業(yè)務(wù)范圍內(nèi)，有許多業(yè)務(wù)都具有較強的特殊性，對基本的物理隔離也有特殊的要求。因此，電力公司在執(zhí)行這些業(yè)務(wù)時，要注意設(shè)置有效的物理隔離設(shè)施，在需要的地方，保障內(nèi)外網(wǎng)的隔離，以及不同網(wǎng)段之間的隔離。從根源上防止出現(xiàn)信息病毒的侵襲。

2.2 網(wǎng)絡(luò)層安全建設(shè)

2.2.1 防火墻需求

防火墻是保障信息安全的最為經(jīng)濟的防護方式之一，通過配置相應(yīng)的信息安全策略，防火墻能夠承擔(dān)一大部分的安全防護。它能夠幫助實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)連接部分的安全。

2.2.2 網(wǎng)絡(luò)管理安全

在我國供電公司的網(wǎng)絡(luò)信息系統(tǒng)當(dāng)中，一般情況下，不同的信息管理系統(tǒng)，或有相應(yīng)的子網(wǎng)作支撐。因此，對子網(wǎng)安全的保護，也就是對信息系統(tǒng)的保護。為此，我們可以采用在子網(wǎng)建立防火墻，采用物理隔離的方式，來實現(xiàn)安全防護。在對子網(wǎng)進行保護時，還要充分關(guān)注子網(wǎng)接口處的安全。

2.3 系統(tǒng)安全

2.3.1 操作系統(tǒng)的安全需求

電力公司要根據(jù)自身信息系統(tǒng)的重要性來考慮，盡量使用安全性能較強的操作系統(tǒng)。實時做好系統(tǒng)的維護工作，關(guān)閉一些使用性不強，或者安全性能不高的程序。將對用戶負責(zé)放在服務(wù)的第一位。當(dāng)用戶部分的網(wǎng)絡(luò)出現(xiàn)安全隱患時，要及時采取有效措施，幫助合理解決。

2.3.2 防病毒系統(tǒng)安全建設(shè)

在網(wǎng)絡(luò)信息系統(tǒng)數(shù)據(jù)安全建設(shè)的過程中，防御占據(jù)重要的地位。計算機中包含的信息病毒一旦傳播開來，對該網(wǎng)絡(luò)領(lǐng)域就是難以恢復(fù)的打擊。因此，電力公司要首先做好防病毒系統(tǒng)安全的建設(shè)。在主機和服務(wù)器當(dāng)中，設(shè)置防病毒系統(tǒng)，并時常觀察其運行狀況。

2.4 安全管理

電力公司要想做好安全管理，就必須在全公司內(nèi)部宣傳安全體系建立的基本思想。讓公司的領(lǐng)導(dǎo)者、工作人員都從觀念上重視信息系統(tǒng)數(shù)據(jù)安全。然后再結(jié)合公司自身的特點，配合創(chuàng)建安全管理規(guī)范，設(shè)計好安全防范責(zé)任制度。讓公司的信息系統(tǒng)安全管理有法可依。在安全防范責(zé)任制度當(dāng)中，盡量將信息安全責(zé)任劃分到區(qū)域、再到個人，督促工作人員嚴格執(zhí)行信息安全保護工作。

3 結(jié)語

在當(dāng)前網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的飛速發(fā)展下，供電公司的信息安全管理任務(wù)更加緊急。供電公司的一切業(yè)務(wù)，都需要完善的網(wǎng)絡(luò)信息系統(tǒng)來達成。這種依賴會完善供電公司的信息安全保護措施，同時也會促進網(wǎng)絡(luò)信息系統(tǒng)的發(fā)展。從而走向良性循環(huán)發(fā)展的道路。

參考文獻

[1]崔寶娣.信息系統(tǒng)數(shù)據(jù)安全管理綜述[J].電力信息化，2007（05）.

[2]易焱華.管理信息系統(tǒng)數(shù)據(jù)安全監(jiān)控方案設(shè)計[J].信息系統(tǒng)工程，2016（12）.

篇2

 

1.引言

 

省級電網(wǎng)公司信息安全防護工作事關(guān)電力安全生產(chǎn)和電網(wǎng)公司穩(wěn)定運營，意義重大[1]。由于大多數(shù)業(yè)務(wù)應(yīng)用已經(jīng)省級集中，常規(guī)信息安全技術(shù)監(jiān)督工作多被認為是省級公司層面的問題。省級單位監(jiān)督力量不足，久而久之，信息安全監(jiān)督工作流于形式，檢查前重視、檢查后忽視，信息安全地區(qū)差異大，網(wǎng)絡(luò)末端安全防護不足。究其根源在于：(1)信息安全技術(shù)監(jiān)督未成體系，監(jiān)督力量多依靠公司級監(jiān)督隊伍，市、縣公司專(兼)職信息安全員未被賦予督查的權(quán)力，導(dǎo)致基層單位日常督查的力度和效果不夠，各項技術(shù)措施落實情況管控不足。(2)基層單位地區(qū)經(jīng)濟水平、單位領(lǐng)導(dǎo)信息安全重視程度、信息從業(yè)人員技術(shù)水平存在差異，造成信息安全意識宣貫和管理手段不同，且各單位缺乏安全技術(shù)交流。

 

為此，本文結(jié)合作者單位實際，提出一種電力企業(yè)信息安全技術(shù)監(jiān)督體系，從組織架構(gòu)、工作組織形式、主要技術(shù)手段、人力資源資格審核與培養(yǎng)以及制度規(guī)范等5個方面具體分析工作機制，并總結(jié)其實際工作成效。

 

2.電力企業(yè)信息安全技術(shù)監(jiān)督體系的設(shè)計

 

2.1 組織架構(gòu)

 

信息安全技術(shù)監(jiān)督不僅僅是公司層面的問題，為充分發(fā)揮信息安全監(jiān)督體系的整體作用，促進信息安全管理水平的不斷提升，電力企業(yè)應(yīng)建立貫穿所屬各單位的信息安全監(jiān)督網(wǎng)絡(luò)，健全完善信息安全技術(shù)督查工作體系，如圖1所示。

 

2.1.1 省公司級信息安全監(jiān)督網(wǎng)絡(luò)

 

由省級單位信息管理部門、省級信息技術(shù)研究單位信息安全分管領(lǐng)導(dǎo)和專職組成。主要負責(zé)貫徹落實上級單位有關(guān)信息通信系統(tǒng)安全的方針政策、規(guī)范和標準;組織公司信息通信安全技術(shù)督查工作，督促有關(guān)單位及時有效整改，建立常態(tài)信息通信安全技術(shù)督查機制;根據(jù)公司實際情況，組織制定公司信息通信安全技術(shù)督查工作實施細則、考核細則;健全公司信息通信安全技術(shù)督查執(zhí)行隊伍，定期組織督查執(zhí)行人員的培訓(xùn)和考核，負責(zé)督查資質(zhì)證書的認定工作。

 

2.1.2 市公司級信息安全監(jiān)督網(wǎng)絡(luò)

 

由市級單位信息管理部門信息安全分管領(lǐng)導(dǎo)和信息安全專職組成，主要負責(zé)依據(jù)信息安全技術(shù)督查有關(guān)政策、法規(guī)、標準、規(guī)程、制度，執(zhí)行公司級信息安全督查執(zhí)行隊伍安排的信息安全技術(shù)督查和跨單位互查工作;開展本單位運維范圍內(nèi)的日常督查，將運行維護階段的督查內(nèi)容融入日常安全工作中，對督查要求執(zhí)行情況進行檢查，及時發(fā)現(xiàn)問題并提出處理意見和技術(shù)措施建議;參與本單位信息通信系統(tǒng)重大技術(shù)措施與技術(shù)改造方案的制訂，督查、促進和檢查本單位范圍內(nèi)的技術(shù)標準、反事故措施、改造方案的貫徹和執(zhí)行。

 

2.1.3 縣級信息安全監(jiān)督網(wǎng)絡(luò)

 

由縣級單位信息管理部門信息安全分管領(lǐng)導(dǎo)和專(兼)職信息安全員組成，主要負責(zé)開展本單位日常督查，將運行維護階段的督查內(nèi)容融入各自單位的日常安全工作中，對本單位運行維護階段的督查要求執(zhí)行情況進行檢查，及時發(fā)現(xiàn)問題并提出處理意見和技術(shù)措施建議。

 

2.2 工作組織形式

 

監(jiān)督工作應(yīng)包括年度督查、日常督查、專項督查三種類型，以遠程檢查、區(qū)域互查、現(xiàn)場抽查等多種形式加強監(jiān)督工作，監(jiān)測分析當(dāng)前信息通信安全形勢，及時發(fā)現(xiàn)和消除安全隱患。

 

2.2.1 年度督查

 

公司級信息安全監(jiān)督網(wǎng)應(yīng)根據(jù)全年信息化和通信工作情況，按照橫向到邊、縱向到底的原則，每年至少實施兩次由公司級和市級督查執(zhí)行隊伍聯(lián)合開展的年度督查工作，以區(qū)域互查的方式，全方位的查找信息系統(tǒng)安全隱患，督促隱患整改。

 

2.2.2 日常督查

 

市級和縣級督查執(zhí)行隊伍應(yīng)在日常工作中履行信息安全管理員的職責(zé)，每月對本單位的信息內(nèi)外網(wǎng)網(wǎng)絡(luò)與信息系統(tǒng)、桌面終端、存儲介質(zhì)等進行全方位督查。

 

2.2.3 專項督查

 

根據(jù)具體信息項目或信息安全工作需求，由省公司級督查執(zhí)行隊伍對信息系統(tǒng)的規(guī)劃、設(shè)計、實施、運行維護、廢棄等過程，安全評估、等級測評等信息安全技術(shù)服務(wù)開展專項督查。

 

2.3 主要技術(shù)要求

 

2.3.1 風(fēng)險評估及漏洞掃描

 

通過定期開展的信息安全風(fēng)險評估及漏洞掃描，對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)、核心路由器、交換機等網(wǎng)絡(luò)及設(shè)備、數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器等關(guān)鍵服務(wù)器，業(yè)務(wù)流程、安全策略的安全漏洞，安全威脅及潛在影響進行分析，并提出合理的安全建議和解決方案;對全網(wǎng)網(wǎng)絡(luò)設(shè)備、服務(wù)器、桌面終端進行漏洞掃描，及時發(fā)現(xiàn)各種安全漏洞，并根據(jù)危害程度以保證系統(tǒng)資產(chǎn)的機密性、完整性和可用性的基本安全屬性[2]。

 

2.3.2 應(yīng)用系統(tǒng)安全測評

 

每年各單位都有新應(yīng)用系統(tǒng)上線運行，由于系統(tǒng)開發(fā)人員信息安全意識不足，存在不少安全漏洞。按照信息安全技術(shù)監(jiān)督工作要求，在系統(tǒng)上線前由信息安全技術(shù)監(jiān)督人員參與信息系統(tǒng)技術(shù)措施與技術(shù)改造方案的制訂，審核信息安全技術(shù)與工作內(nèi)容。在系統(tǒng)投運前開展系統(tǒng)穩(wěn)定性、安全性測試。通過上線前安全測評及時發(fā)現(xiàn)并排除應(yīng)用系統(tǒng)存在的安全隱患。

 

2.3.3 安全監(jiān)控及遠程檢查

 

利用信息外網(wǎng)安全監(jiān)測系統(tǒng)、信息運維綜合監(jiān)管系統(tǒng)、信息安全綜合工作平臺等各類安全技術(shù)手段，對各單位互聯(lián)網(wǎng)出口、桌面終端、移動存儲介質(zhì)、弱口令等開展安全監(jiān)控;利用互聯(lián)網(wǎng)出口部署的入侵監(jiān)測設(shè)備和上網(wǎng)行為管理系統(tǒng)，對互聯(lián)網(wǎng)攻擊情況和上網(wǎng)行為進行內(nèi)容審計和處理。

 

2.4 人力資源資格與培養(yǎng)

 

2.4.1 持證上崗

 

各級督查執(zhí)行人員需持證上崗，經(jīng)公司統(tǒng)一組織的安全督查培訓(xùn)和考核后，分級別發(fā)放《信息安全技術(shù)督查證》。公司級督查執(zhí)行人員還應(yīng)通過注冊信息安全專業(yè)人員(CISP)培訓(xùn)及認證。

 

2.4.2 技術(shù)培訓(xùn)

 

邀請系統(tǒng)內(nèi)、外信息安全領(lǐng)域?qū)＜?，定期開展信息安全技術(shù)培訓(xùn)和講座，宣貫國家和公司信息安全形勢和要求，學(xué)習(xí)當(dāng)前最新信息安全技術(shù)和裝備，分析典型信息安全風(fēng)險隱患案例。

 

2.5 制度規(guī)范

 

制度規(guī)范是信息安全監(jiān)督工作執(zhí)行的依據(jù)，根據(jù)國網(wǎng)公司制定并下發(fā)的信息安全政策標準和管理規(guī)定，公司編制和實施細則和《信息安全督查作業(yè)指南》，對日常督查工作中各個流程的工作要求、工作模板進行描述。

 

3.工作成效

 

公司信息安全督查體系建立完善期間正值“三集五大”建設(shè)的關(guān)鍵時期，各單位業(yè)務(wù)切換、人員調(diào)動頻繁，管理難度大為增加，如果沒有很好的監(jiān)督體系，各項管理制度和技術(shù)措施的落實，特別是管理末端桌面終端的安全漏洞就會暴露出來。經(jīng)過短短幾個月監(jiān)督工作的開展，各單位信息安全工作井然有序，沒有發(fā)生一起因信息安全引發(fā)的信息系統(tǒng)運行事故。

 

(1)通過各種形式督查工作的開展，對檢查暴露的安全隱患積極整改，有效消缺，保障了公司發(fā)展、運營和改革工作;通過對新上線系統(tǒng)的應(yīng)用系統(tǒng)安全測評，有力支撐了改革期間大量應(yīng)用的開發(fā)和運行工作。(2)通過持證上崗和各種培訓(xùn)工作，培養(yǎng)了一支信息安全人才隊伍。目前所有公司級督查人員全部通過了CISP認證，市、縣級專職督查人員逐步實現(xiàn)持證上崗，提高了公司各單位信息安全從業(yè)人員的技術(shù)素質(zhì)。(3)通過區(qū)域間安全互查，加強了各單位信息安全經(jīng)驗交流，對消除地區(qū)差異，以弱帶強，提升公司整體信息安全防護能力具備積極意義。

 

4.結(jié)論

 

通過信息安全技術(shù)監(jiān)督體系的建立和實現(xiàn)，實現(xiàn)了貫穿公司各單位的信息安全督查網(wǎng)絡(luò)，各地區(qū)信息安全從業(yè)人員技術(shù)水平平衡發(fā)展，監(jiān)督和保障信息安全技術(shù)措施和管理要求有效落實，推進了公司整體信息安全管理水平。

篇3

隨著中國國際航空股份有限公司(以下簡稱“國航”)信息系統(tǒng)建設(shè)的飛速發(fā)展，在2008年北京奧運會的安全保障工作中，安全不再只是空防安全和飛行安全，信息安全也已經(jīng)成為奧運安保的重要環(huán)節(jié)，并被納入國航及信息管理部的年度重點工作之中。

在此背景下，國航與IBM公司合作啟動了信息安全規(guī)劃咨詢項目，它旨在為國航信息安全體系建設(shè)打下堅實的理論基礎(chǔ)。同時，國航也通過該項目完成了未來3～5年信息安全建設(shè)的發(fā)展規(guī)劃，建立了信息安全管理體系，并最終于2009年5月26日通過了ISO27001信息安全管理體系國際認證，使國航成為國內(nèi)民航業(yè)第一家獲得IS027001國際認證的單位。

與飛行安全一樣重要

由于信息化建設(shè)已經(jīng)深入到國航業(yè)務(wù)的各個角落，所以，幾乎所有業(yè)務(wù)都與信息技術(shù)相關(guān)，特別是涉及到客戶信任度的商務(wù)及財務(wù)方面更是如此。因此，在國航未來的發(fā)展戰(zhàn)略中，信息安全已經(jīng)占據(jù)了越來越重要的位置?，F(xiàn)在，公司上下已經(jīng)形成一個共識：打造信息安全管理體系這張保護網(wǎng)，就像確保飛行安全一樣重要。

基于這樣一個共識，我們從國航的業(yè)務(wù)愿景出發(fā)，引導(dǎo)出了國航的信息安全愿景，即國航需要建立起一個成熟的、具備國際水平的信息安全保障體系，這個保障體系第一要保證國航的核心業(yè)務(wù)不中斷，第二要保障國航信息系統(tǒng)不被攻擊，第三要保障重要的客戶信息不被泄漏，通過一個全方位的安全保障體系為國航的業(yè)務(wù)愿景保駕護航。

雖然現(xiàn)在已獲得了ISO27001國際認證，但國航的信息安全建設(shè)經(jīng)歷了一個漫長的過程，大致可以分為四個階段：

第一個階段是在2006年以前，當(dāng)時信息系統(tǒng)對于國航的支撐力度相對有限，同時從整個業(yè)界來看，的安全威脅還不是很明顯，所以，信息安全建設(shè)的特點是以零星建設(shè)和被動建設(shè)為主。

第二個階段是2007～2008年，隨著國航核心系統(tǒng)逐步投入運行，以及北京奧運會的臨近，的安全風(fēng)險不斷增加，這是，國航開始針對性地對重點領(lǐng)域搭建技術(shù)防護措施。

第三個階段是從2008年開始，隨著國航對自身信息安全認識的不斷深入，國航按照Is02700 L的標準，建立起了信息安全的管理體系。同時，還啟動了全面的信息系統(tǒng)戰(zhàn)略規(guī)劃，根據(jù)國際最佳實踐并結(jié)合國航的特色，制定了未來3～5年信息安全技術(shù)平臺建設(shè)的藍圖和路徑。自此，國航整個信息安全建設(shè)有了一個更加科學(xué)和更加明細的路線圖。

搭建“安全翹翹板”

整體而言，國航的信息安全體系主要是以IT基礎(chǔ)架構(gòu)和安全技術(shù)架構(gòu)為基礎(chǔ)，通過信息安全組織與人員對業(yè)務(wù)邏輯的準確理解和制度流程的有效執(zhí)行，實現(xiàn)完整的信息安全管理過程。

應(yīng)該說，信息安全體系是一個非常復(fù)雜的體系。業(yè)界有個說法叫“安全翹翹板”，這個翹翹板主要是在IT基礎(chǔ)結(jié)構(gòu)的基礎(chǔ)上，包括三方面內(nèi)容：一是技術(shù)平臺，二是組織和人員，三是制度和流程，通過這三方面的有效執(zhí)行，從而構(gòu)成信息安全體系。另外，還要加上安全的管理架構(gòu)和技術(shù)架構(gòu)，最后和業(yè)務(wù)邏輯結(jié)合起來，這樣才能構(gòu)成一個完整的信息安全體系。

目前，依據(jù)ISO27001標準，國航建立了包含三個一級方針，三十一個二級規(guī)章的信息安全管理策略體系。通過信息安全管理策略體系的建立、北京奧運會期間的整改措施以及1S02700I外審督促，國航的管理體系評測水平不斷提升，其中體系評價范圍從運行維護中心到全信息管理部，IS027001中要求的十一個領(lǐng)域都有大幅提高。

在技術(shù)平臺建設(shè)方面，國航針對一些緊迫性問題做了針對性的部署。比如網(wǎng)絡(luò)安全架構(gòu)不清晰、來自互聯(lián)網(wǎng)的威脅日益增加、防護能力偏弱、用戶行為控制存在漏洞、系統(tǒng)服務(wù)器安全性不足等問題，國航不但劃分了安全領(lǐng)域，還部署了防DOS攻擊、入侵檢測、入侵防御等設(shè)備，另外，在重點用戶單位引入終端安全管理，利用弱點掃描工具發(fā)現(xiàn)系統(tǒng)漏洞等技術(shù)措施，配合各項管理措施，很好地完成了北京奧運信息安全保障工作。

在信息安全管理體系建立過程中，國航還特別成立了公司級的信息安全管理委員會，落實了信息安全管控中心職能，借鑒國際最佳實踐的功能劃分，采用兩級管控機制，在對組織機構(gòu)不做大調(diào)整的情況下落實了安全管理責(zé)任。

國航ISO27001信息安全管理體系策略文件于2008年底正式，并組織了近200人次的信息安全培訓(xùn)，采用自評結(jié)合復(fù)核為主的審查方式定期對體系文件的貫徹和執(zhí)行情況進行了解。通過內(nèi)部認證培訓(xùn)，培養(yǎng)了專兼職質(zhì)量安全員34人，以承擔(dān)未來各部門的安全內(nèi)審職責(zé)。

納入安全運行標準體系

正如國航副總裁賀利所說，通過ISO27001國際認證，并不代表國航的信息安全工作已經(jīng)做到位，而是意味著信息安全工作開始起步，后面需要完善的工作還有很多。

因此接下來，國航首先將不斷對現(xiàn)有管理體系的操作細則進行完善，進一步細化信息安全管理域成熟等級評價機制，在IBM公司提出的四級評價基礎(chǔ)上，針對國航實際情況再進行細分，持續(xù)強化規(guī)章的定期評審機制，同時要求所有部分在編寫自身業(yè)務(wù)指導(dǎo)書時落實信息安全規(guī)章。

另外，信息管理郝還將和國航相關(guān)部門一起建立基于崗位信息資源的管控機制。以后國航每一個崗位上的工作人員，可以訪問什么樣的內(nèi)容，能夠訪問多大的資源，都和崗位密切結(jié)合起來，這樣就能使信息安全的控制預(yù)先做好相應(yīng)的防控。

在技術(shù)平臺方面，國航將依照既定的信息安全建設(shè)規(guī)劃，在未來三年內(nèi)，分步在用戶身份與信任憑證管理、訪問控制、信息流控制、完整性保護、安全監(jiān)控與審計五大安全服務(wù)領(lǐng)域增加功能組件，建立起符合國航的、完整的信息安全技術(shù)平臺。

篇4

【關(guān)鍵詞】金融信息 安全風(fēng)險 對策

一、引言

信息安全建設(shè)應(yīng)綜合考慮，信息在獲取過程中要考慮其的完整性、可用性等，我們要盡量的全方位考慮，將設(shè)計信息系統(tǒng)的安全方策略做到最好。隨著網(wǎng)絡(luò)建設(shè)的覆蓋、網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的建立，數(shù)據(jù)的大集中已進入發(fā)展階段，其中數(shù)據(jù)大集中成為我國金融業(yè)信息化工程的重點，方便的經(jīng)營管理能有效控制外部安全風(fēng)險，增強了規(guī)?；绦蚧б妫瑫r也帶來了風(fēng)險。金融業(yè)的辦公自動化和信息數(shù)據(jù)中心規(guī)模數(shù)據(jù)的不斷擴張，這種聚集的風(fēng)險會更加突出，數(shù)據(jù)控制中心一旦受到攻擊，計算機將立即終止服務(wù)，同時引起與之相關(guān)聯(lián)的一系列的金融服務(wù)業(yè)務(wù)暫?；虬c瘓，最終將因數(shù)據(jù)的丟失而引起多起法律糾紛，這必然也會造成社會的不和諧。隨著我國信息技術(shù)的快速發(fā)展，會有越來越多的安全技術(shù)問題隨之而來，電腦系統(tǒng)的入侵與反入侵的攻擊也將會變得復(fù)雜并且頻繁上演。所以，金融業(yè)對網(wǎng)絡(luò)體系實施安全保障防護的要求也就刻不容緩了。因此，要保證金融機構(gòu)的信息系統(tǒng)平穩(wěn)運行及各項業(yè)務(wù)的持續(xù)展開，必須建立一套金融信息安全保障體系，統(tǒng)一金融信息安全問題處理規(guī)范和流程，是有效防范和化解安全風(fēng)險，以及增強金融系統(tǒng)的信息安全整體防范體系的關(guān)鍵。

二、金融信息安全的現(xiàn)狀

由于信息技術(shù)在金融系統(tǒng)的廣泛應(yīng)用，金融業(yè)務(wù)都是以信息技術(shù)為支撐，各金融系統(tǒng)同中央銀行、國家相關(guān)部門實現(xiàn)了網(wǎng)絡(luò)聯(lián)接，從而，信息安全的重要性凸現(xiàn)，信息安全不僅關(guān)系到金融安全，甚至關(guān)系到社會穩(wěn)定和國家安全。但金融系統(tǒng)在建設(shè)初期“重建設(shè)，輕管理”，信息安全管理相對滯后，管理機制、管理制度、人員配備、技術(shù)手段等都同信息安全管理的要求有一定差距，致使信息安全面臨的風(fēng)險越來越呈現(xiàn)復(fù)雜性：既有環(huán)境風(fēng)險、設(shè)備風(fēng)險、技術(shù)風(fēng)險、操作風(fēng)險、人員風(fēng)險，又有遭受惡意攻擊和失泄密的風(fēng)險，而國家有關(guān)信息安全管理的制度缺失，人民銀行等監(jiān)管部門在對金融系統(tǒng)信息安全管理方面的監(jiān)管中，缺乏相關(guān)的制度規(guī)定、法律規(guī)定，相關(guān)工作的開展受到一定的影響，急需完善金融信息安全制度，加強金融系統(tǒng)信息安全管理工作。

三、提升金融信息安全綜合保障能力的對策

努力構(gòu)建金融信息安全保障體系，金融信息綜合安全防護的抵抗能力要增強，這一項龐大而復(fù)雜的系統(tǒng)工程，信息安全防線的構(gòu)成是多層次多角度的，需要有正確的信息安全意識，科學(xué)投資，抓好硬件設(shè)施建設(shè)，但也決不能靠幾件安全性能的硬件就解決、放心。還需要有完善的可行性制度。因此，要加強安全管理的科學(xué)性和制度化，總結(jié)成八個字：“三分技術(shù)，七分管理”，應(yīng)用這個道理，從我國金融業(yè)法制、技術(shù)、管理、人員等幾方面齊步共進，來完善我國金融信息建設(shè)。

（一）樹立正確的信息安全意識

信息的價值就在于它的獨占性、排他性，并保證其安全性，信息安全是繼領(lǐng)土、政治和經(jīng)濟之后的另一。國家只有建立保護好信息安全產(chǎn)業(yè)的屏障，開發(fā)具有自主知識產(chǎn)權(quán)的技術(shù)和產(chǎn)品，擁有自己的，才能在世界經(jīng)濟中占主動地位，進而也就避免了我國企業(yè)目前的常常被國外公司侵犯其專利權(quán)的窘境和落后的危險。

對待信息安全問題，要本著客觀、公正、科學(xué)的態(tài)度，既要認識到信息安全保障系統(tǒng)確確實實存在安全漏洞，又要客觀對待系統(tǒng)漏洞的狀態(tài)，針對現(xiàn)狀和有限的條件，及時對漏洞加以修補，要正視信息安全保障系統(tǒng)帶來的利與弊。要構(gòu)建一個絕對安全的完善系統(tǒng)是不可能的，因為在任何時候安全都是相對的，系統(tǒng)的開放性與方便性和系統(tǒng)的安全性與保密性始終是一對矛盾，因此，我們要做的就是建立一個不斷完善的補充機制，來強化信息安全的屏障作用，在危機時刻數(shù)秒鐘能及時更正，恢復(fù)這樣的認識即可。

（二）科學(xué)均衡投資，努力抓好金融信息安全的建設(shè)

為確保信息系統(tǒng)的安全，硬件的投入是必要的，但仔細分析我國金融業(yè)在信息技術(shù)方面的投入發(fā)現(xiàn)，在投入方向上重硬件、輕軟件，信息系統(tǒng)的建設(shè)要遠遠高于信息安全方面的建設(shè)，即所謂的“重業(yè)務(wù)發(fā)展，輕安全管理”。 然而，金融業(yè)的數(shù)據(jù)就是金融機構(gòu)的生命，隨著對計算機系統(tǒng)的依賴性與日俱增，就意味著金融機構(gòu)的核心競爭力——金融業(yè)，是社會核心的集聚敏感的部門。從金融機構(gòu)的運營角度來講，安全性一直都是重中之重，安全建設(shè)是各金融機構(gòu)應(yīng)該時刻重視而且必須做好的工作。要做到未雨綢繆，安全防范，實施穩(wěn)妥。因此，金融業(yè)在對待信息技術(shù)的投入方面，應(yīng)高度重視信息安全，積極推進系統(tǒng)建設(shè)，在業(yè)務(wù)系統(tǒng)建設(shè)的同時，同步推進信息安全建設(shè)，做到科學(xué)投資，確保安全。

（三）構(gòu)建信息安全技術(shù)保障體系

就目前的情況看，我國信息技術(shù)安全屏障防止各類復(fù)雜的信息系統(tǒng)攻擊能力不是很好，尚不具備抵抗外界破壞的后備程序或者說應(yīng)急機制，可以說我國的信息技術(shù)安全保障尚未建立成體系，應(yīng)加強信息安全技術(shù)的投入和產(chǎn)品的研究、開發(fā)與應(yīng)用，建立信息安全程序增進研發(fā)、產(chǎn)品跟蹤反應(yīng)及應(yīng)用的完好優(yōu)質(zhì)的循環(huán)體系，要有自主知識產(chǎn)權(quán)的技術(shù)和產(chǎn)品，要從監(jiān)控、系統(tǒng)、設(shè)備、硬件、軟件等各方面，從信息流轉(zhuǎn)的各個環(huán)節(jié)，和個人用戶、金融機構(gòu)、金融行業(yè)、國家等不同層面上，建立一個高效安全的金融信息網(wǎng)絡(luò)通道的安全信息保障體系。

篇5

為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立健全信息安全管理制度和運行機制，切實提高行業(yè)信息安全保障工作水平，根據(jù)中國證券監(jiān)督管理委員會頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》，制定《證券期貨業(yè)信息安全保障管理體系框架》。

在保障安全的前提下，兼顧不同主體單位的差別，強制滿足最低標準，充分保留發(fā)展空間。

參照 ISO/IEC 27001:2005中提出的證券期貨業(yè)信息安全保障管理模型(簡稱模型)，采用立方體架構(gòu)。頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性)，正面是行業(yè)組織結(jié)構(gòu)，側(cè)面是各個機構(gòu)為實現(xiàn)信息安全保障目標所采取的措施和方式(組織、管理及技術(shù)體系)。

本管理體系框架遵循如下基本原則：責(zé)任制原則，依據(jù)“誰主管，誰負責(zé)”、“誰運營，誰負責(zé)”的基本原則，明確行業(yè)內(nèi)各主體單位信息安全保障的管理責(zé)任；系統(tǒng)性原則，以動態(tài)保障的安全觀為指導(dǎo)，體現(xiàn)安全與發(fā)展并進、管理與技術(shù)并重、長效機制與應(yīng)急防御相結(jié)合的綜合保障體系；適用性原則，在保障安全的前提下，兼顧不同主體單位的差別，強制滿足最低標準，充分保留發(fā)展空間。

信息安全目標

證券期貨業(yè)信息安全保障管理體系的目標是保障網(wǎng)絡(luò)與信息系統(tǒng)的機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性。機密性是數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達到的未提供或未泄露給未授權(quán)的個人、過程或其他實體的程度。完整性是保證信息及信息系統(tǒng)不會被非授權(quán)更改或破壞的特性，包括數(shù)據(jù)完整性和系統(tǒng)完整性?？捎眯允菙?shù)據(jù)或資源的特性，被授權(quán)實體按要求能訪問和使用數(shù)據(jù)或資源。真實性即信息接收者能夠通過有效的手段來識別信息是否是聲稱者所發(fā)送?？蓪徲嬓约疵總€經(jīng)授權(quán)用戶的活動都是唯一標識和監(jiān)控的，以便對其所做的操作內(nèi)容進行審計和跟蹤?？沟仲囆约幢ＷC發(fā)送信息的行為人不能否認自己的行為，使發(fā)送行為具有可信度?？煽啃约幢ＷC合法用戶對信息能夠進行讀取和修改，防止非法用戶對信息進行惡意篡改和破壞。

行業(yè)組織結(jié)構(gòu)

證券期貨業(yè)安全保障管理組織結(jié)構(gòu)采用 “統(tǒng)一組織、分層管理、交叉協(xié)調(diào)”的管理結(jié)構(gòu)，劃分為三層：決策層、管理層、執(zhí)行層。

決策層

決策層由證券期貨業(yè)網(wǎng)絡(luò)與信息安全保障協(xié)調(diào)小組(以下簡稱協(xié)調(diào)小組)構(gòu)成，協(xié)調(diào)小組由中國證券監(jiān)督管理委員會及“5(交易所)+1(登記結(jié)算公司)+2(行業(yè)協(xié)會)”組成，是證券期貨行業(yè)信息安全的最高決策機構(gòu)，以建立安全的信息系統(tǒng)、保障投資者利益為目標，制定框架性的信息系統(tǒng)安全指導(dǎo)方針，明確信息安全保障工作的基本方向和主要內(nèi)容，頒布信息安全保障工作的行業(yè)條例與規(guī)定。

協(xié)調(diào)小組還將根據(jù)證券期貨行業(yè)信息系統(tǒng)發(fā)展趨勢和信息安全發(fā)展趨勢，定期對指導(dǎo)方針做出調(diào)整，研究和分析信息安全建設(shè)對證券期貨行業(yè)發(fā)展的價值和影響，確定信息安全保障工作的發(fā)展方向和基本工作節(jié)奏。審定并頒布行業(yè)信息安全保障工作的規(guī)定和制度，協(xié)調(diào)行業(yè)內(nèi)部及外部資源，具體包括，信息安全保障工作指導(dǎo)方針、信息安全保障工作管理體系、信息安全保障工作管理流程、信息安全保障工作監(jiān)督規(guī)定。審定并頒布信息安全保障工作的監(jiān)督機制，并頒布相關(guān)監(jiān)督制度和管理流程。

管理層

管理層由行業(yè)主管職能部門、行業(yè)自律組織和行業(yè)相關(guān)的管理與促進機構(gòu)構(gòu)成。行業(yè)主管職能部門包括中國證監(jiān)會信息安全管理職能部門及其派出機構(gòu)(各地的證監(jiān)局、證管辦)，行業(yè)自律組織包括中國證券業(yè)協(xié)會、中國期貨業(yè)協(xié)會、技術(shù)標準委員會，相關(guān)的管理與促進機構(gòu)成員包括證券交易所(上海證券交易所、深圳證券交易所)、期貨交易所(上海期貨交易所、鄭州商品交易所、大連商品交易所)、登記結(jié)算公司。

行業(yè)主管職能部門負責(zé)起草并報批行業(yè)信息安全保障工作的規(guī)章和制度，協(xié)調(diào)專家顧問、行業(yè)成員等各方面的資源，對協(xié)調(diào)小組頒發(fā)的信息安全指導(dǎo)方針做技術(shù)與標準的支持，為其他成員執(zhí)行指導(dǎo)性方針提供支持，并及時了解業(yè)務(wù)發(fā)展對信息安全的新需求，反映給協(xié)調(diào)小組，并根據(jù)證監(jiān)會的信息安全保障工作相關(guān)規(guī)定，提出技術(shù)標準與實施細則。協(xié)調(diào)專家、顧問和行業(yè)標桿企業(yè)為各個安全主體進行信息安全保障工作的咨詢。

行業(yè)自律組織針對行業(yè)特性制訂信息安全保障相關(guān)自律性公約、標準、規(guī)范與指引等，并要求其會員單位嚴格遵守自律公約，并對違反公約的行為進行處理。相關(guān)的管理與促進機構(gòu)作為市場網(wǎng)絡(luò)與信息系統(tǒng)的核心，其信息系統(tǒng)運行狀態(tài)很大程度上依賴于會員單位的信息安全級別，應(yīng)對其會員單位進行嚴格要求，依據(jù)行業(yè)信息安全保障管理相關(guān)管理規(guī)范，制定相應(yīng)的管理細則和技術(shù)標準，督促其會員單位落實，并對安全邊界進行嚴格管理。

執(zhí)行層

執(zhí)行層指市場各個參與主體，包括交易所、登記結(jié)算公司、通信公司、證券公司、期貨公司、基金管理公司、投資咨詢機構(gòu)等。

安全保障領(lǐng)導(dǎo)小組是各主體單位信息安全最高領(lǐng)導(dǎo)機構(gòu)，對協(xié)調(diào)小組關(guān)于信息安全建設(shè)的指導(dǎo)方針進行目標分解，結(jié)合本單位業(yè)務(wù)發(fā)展需求及信息系統(tǒng)現(xiàn)狀制定具體的信息安全建設(shè)策略、計劃、流程，并授權(quán)執(zhí)行機構(gòu)進行信息系統(tǒng)安全建設(shè)與運維。主要工作內(nèi)容包括制定符合監(jiān)管機構(gòu)規(guī)定的信息安全保障方針政策，根據(jù)企業(yè)自身信息安全保障工作的方針政策建立信息安全保障工作的策略體系，監(jiān)督并指導(dǎo)企業(yè)自身的信息安全組織、管理、技術(shù)體系建設(shè)。

安全保障工作小組是各主體單位執(zhí)行信息安全保障的具體機構(gòu)，根據(jù)安全保障領(lǐng)導(dǎo)小組制定的信息安全建設(shè)策略、計劃、流程執(zhí)行信息安全保障工作。主體單位對自身信息安全現(xiàn)狀的評估，建設(shè)信息安全組織、管理、技術(shù)體系，完善信息安全組織、管理、技術(shù)體系，對出現(xiàn)的安全事件進行處理。

在組織體系上，決策層進行法規(guī)頒布，對管理層和執(zhí)行層進行工作指導(dǎo)，管理層對決策層制定的相關(guān)法規(guī)進行細化，執(zhí)行層根據(jù)行業(yè)規(guī)則進行信息安全保障體系建設(shè)，并將組織信息上報管理層和決策層。在管理體系上，決策層對管理層進行監(jiān)督管理，管理層對執(zhí)行層進行評估檢查，執(zhí)行層將信息進行上報給決策層和管理層。在技術(shù)體系上，由執(zhí)行層將技術(shù)實現(xiàn)方案和實施結(jié)果上報給管理層，管理層對成功經(jīng)驗在執(zhí)行層進行推廣。

信息安全保障實現(xiàn)方式

篇6

關(guān)鍵詞：民航 信息網(wǎng)絡(luò) 系統(tǒng)安

一、民航信息網(wǎng)絡(luò)系統(tǒng)安全問題分析

近年來，隨著我國經(jīng)濟水平的不斷提升，大幅度推動民航領(lǐng)域的發(fā)展，在這一背景下，民航的信息網(wǎng)絡(luò)系統(tǒng)隨之進入建設(shè)高峰期，該系統(tǒng)除與飛機的飛行安全有關(guān)之外，還與空防和運行安全有著極為密切的關(guān)聯(lián)，一旦系統(tǒng)出現(xiàn)問題，輕則會影響民航的正常運營，嚴重時將會危及到飛機的飛行安全，極有可能造成巨大的經(jīng)濟損失。如某機場的空管飛行數(shù)據(jù)處理系統(tǒng)發(fā)生故障，致使機場的空管雷達無法提供正常的數(shù)據(jù)，直接導(dǎo)致70余架航班不能按時起落降，數(shù)千名乘客的出行受到影響；又如，某航空公司的電子客票系統(tǒng)被黑客入侵，導(dǎo)致多名乘客的機票信息泄露，媒體報道后，造成嚴重的社會影響，諸如此類事件不勝枚舉。

通過對國內(nèi)一些航空公司進行調(diào)查后發(fā)現(xiàn)，絕大部分都曾經(jīng)發(fā)生過信息網(wǎng)絡(luò)安全事件，在誘發(fā)安全事件的原因中，計算機病毒、木馬、電腦蠕蟲等所占的比例較大，約為70-80%左右，網(wǎng)頁被惡意篡改、端口掃描等網(wǎng)絡(luò)攻擊約為20-30%左右。上述安全事件之所以會頻繁發(fā)生，主要是因為民航信息網(wǎng)絡(luò)系統(tǒng)的安全防護水平不高，給惡意入侵、黑客攻擊提供了可能。鑒于此，必須從管理和技術(shù)兩個方面著手，加強民航信息網(wǎng)絡(luò)安全建設(shè)。

二、民航信息網(wǎng)絡(luò)安全建設(shè)策略

為確保民航信息網(wǎng)絡(luò)系統(tǒng)安全，必須建立起一套科學(xué)合理、切實可行的安全管理制度，并采取先進的技術(shù)措施，提高系統(tǒng)的安全等級。

（一）加強安全管理

1.構(gòu)建完善的制度體系。民航信息網(wǎng)絡(luò)系統(tǒng)的安全離不開管理，而想要使管理發(fā)揮出應(yīng)有的成效，就必須構(gòu)建起一套較為完整的制度體系。各大航空公司應(yīng)當(dāng)結(jié)合自身的實際情況，并總結(jié)以往的經(jīng)驗教訓(xùn)，量身定制安全計劃和方案，如網(wǎng)絡(luò)信息安全等級保護與分級保護、安全通報制度等等，確保所有的安全管理工作都能有制度可依。與此同時，還應(yīng)不斷加強對相關(guān)人員的管理，提高他們的安全意識，從根本上保證信息網(wǎng)絡(luò)系統(tǒng)的安全性。

2.做好管理維護工作。民航信息網(wǎng)絡(luò)系統(tǒng)是由諸多設(shè)備組成，想要保證系統(tǒng)的安全，就必須做好運行設(shè)備的維護管理。鑒于民航信息網(wǎng)絡(luò)系統(tǒng)的特點，即啟動后不能隨意關(guān)閉，因此，可從如下幾個方面保證系統(tǒng)安全、穩(wěn)定運行：①控制主機溫度?？稍谛畔⒕W(wǎng)絡(luò)系統(tǒng)建設(shè)時，為相關(guān)的硬件設(shè)施配備一套雙機熱備加磁盤陣列，這樣能夠確保網(wǎng)絡(luò)信息系統(tǒng)的安全性，同時可以選用小型機作為民航運營數(shù)據(jù)庫或是離港系統(tǒng)的服務(wù)器，該服務(wù)器采用的是分布式架構(gòu)，其能夠在確保安全的基礎(chǔ)上，提高系統(tǒng)的可用性。②定期檢查。民航信息網(wǎng)絡(luò)系統(tǒng)中，有一些軟件的可靠性相對較低，若是大量用戶同時上線可能會導(dǎo)致系統(tǒng)死機的問題發(fā)生，通過定期的檢查，能及時發(fā)現(xiàn)問題，并進行升級維護，由此不但能夠提高系統(tǒng)運行效率，而且還能確保\行安全。

（二）安全技術(shù)措施

民航在進行信息網(wǎng)絡(luò)系統(tǒng)安全建設(shè)的過程中，要采取合理可行的技術(shù)措施，為信息網(wǎng)絡(luò)系統(tǒng)的安全保駕護航。

1.入侵檢測技術(shù)。該技術(shù)是近年來興起的一種網(wǎng)絡(luò)信息安全防范技術(shù)，其能夠通過對網(wǎng)絡(luò)信息系統(tǒng)的審計數(shù)據(jù)、安全日志等進行檢測，找出入侵以及入侵企圖，這種技術(shù)最為主要的作用是對網(wǎng)絡(luò)信息系統(tǒng)的入侵和攻擊進行監(jiān)控，進而采取相應(yīng)的措施加以應(yīng)對，從而確保系統(tǒng)的安全。民航可基于該技術(shù)構(gòu)建一套相對完善的IDS系統(tǒng)，運用該系統(tǒng)對外部的非法入侵以及內(nèi)部用戶的非授權(quán)行為進行檢測，發(fā)現(xiàn)并報告網(wǎng)絡(luò)信息系統(tǒng)中的異?，F(xiàn)象，對針對信息網(wǎng)絡(luò)系統(tǒng)安全的行為做出及時有效地應(yīng)對。

2.身份認證技術(shù)。該技術(shù)具體是對系統(tǒng)操作者身份的確認，其能夠借助網(wǎng)絡(luò)防火墻、安全網(wǎng)關(guān)等，對信息網(wǎng)絡(luò)系統(tǒng)的用戶身份權(quán)限進行管理，民航的信息網(wǎng)絡(luò)系統(tǒng)一般只能對操作者的數(shù)字身份信息進行識別，而通過身份認證技術(shù)的應(yīng)用，則可有效解決系統(tǒng)操作者物理與數(shù)字身份的對應(yīng)問題，由此為系統(tǒng)的權(quán)限管理提供了可靠依據(jù)。民航在進行信息網(wǎng)絡(luò)系統(tǒng)建設(shè)時，可以采用以下幾種方式對系統(tǒng)操作者的身份進行認證：用戶名+密碼；用戶基本信息驗證，如證件號碼、信用卡號等；特征識別，如視網(wǎng)膜、指紋、聲音等。此外，還可以采用USB key，這樣可以進一步提升系統(tǒng)的安全性能。

3.加密與數(shù)字簽名。這是目前保障網(wǎng)絡(luò)信息系統(tǒng)及數(shù)據(jù)安全最為常用的一種技術(shù)，它能夠有效防止各種機密數(shù)據(jù)被外部竊取、更改，對于信息安全具有極強的保證。具體應(yīng)用時，可對一些重要的文件進行加密，這樣即便有非法用戶入侵到系統(tǒng)當(dāng)中也無法查看加密文件的內(nèi)容，加密后等于給文件上鎖，其安全性自然會獲得保證。而數(shù)字簽名則可確保用戶收到的郵件均為所需用戶發(fā)送而來，可有效防止垃圾郵件。民航在信息網(wǎng)絡(luò)系統(tǒng)安全建設(shè)時，可合理運用加密和數(shù)字簽名技術(shù)，為各類重要信息提供安全保障。

4.網(wǎng)路防火墻。民航在進行信息網(wǎng)絡(luò)安全建設(shè)時，應(yīng)當(dāng)選用高端的防火墻產(chǎn)品，除要具備防火墻的基本功能之外，還應(yīng)兼具VPN網(wǎng)關(guān)功能，建議采用分組過濾式防火墻或是雙穴網(wǎng)關(guān)防火墻，同時要考慮不同接入方式的適應(yīng)性。需要注意的是，防火墻要選用正版的，并定期進行升級，這樣才能使其作用得以最大限度地發(fā)揮。

三、結(jié)語

綜上所述，民航信息網(wǎng)絡(luò)安全的重要性不言而喻，因此，必須做好信息網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)工作，民航企業(yè)可以結(jié)合自身的實際情況，制定科學(xué)的管理制度，并采取先進的技術(shù)措施，提高系統(tǒng)的安全性，這樣不但能減少或是杜絕各類安全事件的發(fā)生，而且還有利于促進我國民航事業(yè)的持續(xù)發(fā)展。

參考文獻：

[1]余焰，余凱.以空管信息為核心，建立民航信息集成共享系統(tǒng)空管系統(tǒng)信息網(wǎng)絡(luò)建設(shè)需求分析[J].黑龍江科技信息，2015，（04）.

[2]梁有程.分組交換技術(shù)在民航數(shù)據(jù)通信網(wǎng)絡(luò)中的應(yīng)用探析[J].電信網(wǎng)技術(shù)，2015，（07）.

[3]趙航.以安全保障為前提的民航空管信息系統(tǒng)安全體系的研究[J].科技經(jīng)濟市場，2014，（07）.

篇7

[關(guān)鍵詞]油田；網(wǎng)絡(luò)信息；安全體系

doi：10.3969/j.issn.1673 - 0194.2016.06.043

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194（2016）06-00-01

近年來，中國的石油企業(yè)得到了飛速發(fā)展，石油企業(yè)的逐年增加，推動了經(jīng)濟的快速發(fā)展，但隨著經(jīng)濟全球化步伐的加快，中國的石油企業(yè)也面臨風(fēng)險與挑戰(zhàn)。尤其是在油田信息安全管理方面存在諸多問題。因此，加強網(wǎng)絡(luò)信息安全建設(shè)、提高安全管理水平，成為石油企業(yè)的當(dāng)務(wù)之急。

1 油田安全環(huán)保管理存在的問題

1.1 油田網(wǎng)絡(luò)信息安全意識薄弱

大多數(shù)油田企業(yè)管理人員對安全環(huán)保不甚了解，造成網(wǎng)絡(luò)信息安全管理不受重視。針對油田施工中存在的問題，雖然油田企業(yè)管理人員也會向施工單位提出，但是卻“虎頭蛇尾”，不關(guān)心問題解決的后來走向，如果施工單位實際上沒有解決問題，就會造成很大的隱患。此外，一些企業(yè)缺乏對員工培訓(xùn)的重視，僅僅通過宣傳教育向員工輸送網(wǎng)絡(luò)信息安全知識，員工對安全環(huán)保工作仍然一知半解，更不用說將網(wǎng)絡(luò)信息安全管理意識應(yīng)用于實際工作中。長久下去，員工的工作積極性與工作熱情難以調(diào)動，工作效率與質(zhì)量得不到提高，企業(yè)更加難以實現(xiàn)長久穩(wěn)定的發(fā)展。

1.2 安全隱患眾多

第一，一些油田企業(yè)為降低成本，不愿意更換設(shè)備，讓設(shè)備處于長時間的超負荷運轉(zhuǎn)中，造成使用壽命大大減少，這些都是安全隱患的組成因素；第二，油田開采中會產(chǎn)生較多的報廢井，并且會隨年限逐漸增多，對于長停井、位于環(huán)境敏感區(qū)的報廢井等，油田企業(yè)缺乏重視，沒有投入足夠的資金進行治理或者沒有封井，導(dǎo)致安全隱患的產(chǎn)生。另外，石油企業(yè)作為密集型企業(yè)，設(shè)備眾多、種類復(fù)雜、更新?lián)Q代快。在專用的設(shè)備和運輸設(shè)備上，投入的資金比重較大。但是由于企業(yè)的特殊性，設(shè)備資金的投入是非常必要的。此外，設(shè)備具有維修難度大，維修成本高的特點，在石油設(shè)備的經(jīng)濟管理上，很難做到全面管理。油田安全隱患得不到解決，建設(shè)質(zhì)量不佳，更加體現(xiàn)了網(wǎng)絡(luò)信息安全體系建設(shè)的重要性。

2 改革油田網(wǎng)絡(luò)信息安全體系的措施

2.1 建立專門的網(wǎng)絡(luò)信息管理組織

對于石油企業(yè)網(wǎng)絡(luò)信息安全體系的改革，首先，要改變以往的以部門為單位的建設(shè)組織，將任務(wù)更加細致地分配下去，落實到每一個人。對網(wǎng)絡(luò)信息體系進行重新的定位劃分，提高信息安全體系管理的效率與質(zhì)量。其次，依據(jù)相關(guān)人員的能力與技術(shù)的特點，明確網(wǎng)絡(luò)安全體系建設(shè)部門的責(zé)任，做到權(quán)責(zé)明確、權(quán)責(zé)對等。建立專門網(wǎng)絡(luò)信息管理組織，在細微之處體現(xiàn)和諧發(fā)展觀的理念，調(diào)動工作人員的積極性與熱情，將石油開采、勘探、設(shè)備管理等方面工作完成得更加順利、出色，促進中國石油企業(yè)不斷進步與發(fā)展。

2.2 完善油田網(wǎng)絡(luò)安全體制

油田網(wǎng)絡(luò)安全體制包括設(shè)備采購管理制度、設(shè)備運行制度、設(shè)備維護制度、運作成本審查制度等，只有建立完善的石油企業(yè)網(wǎng)絡(luò)信息安全體制，完善管理系統(tǒng)，才能在日常的油田勘探工作中，真正將網(wǎng)絡(luò)信息安全體系建設(shè)落到實處。完善的油田網(wǎng)絡(luò)安全體制可以提高石油企業(yè)的經(jīng)濟效益，提高中國石油企業(yè)管理水平，同時為中國石油企業(yè)的發(fā)展打下堅實基礎(chǔ)。一個良好的石油網(wǎng)絡(luò)安全體系，是石油企業(yè)長效發(fā)展的關(guān)鍵之處，更是推動中國石油發(fā)展事業(yè)的動力。

2.3 提高油田建設(shè)人員素質(zhì)

建立專門的石油網(wǎng)絡(luò)信息安全體系，完善設(shè)備管理制度，最終還要提高相關(guān)建設(shè)人員的自身素質(zhì)。在油田網(wǎng)絡(luò)信息安全體系建設(shè)的過程中，將任務(wù)落實到每一個人，提高其管理水平，才能保證設(shè)備管理工作的正常開展。要提高油田建設(shè)人員的素質(zhì)，就要做好以下幾點：首先，加強相關(guān)管理培訓(xùn)，一個合格的企業(yè)需要定期為員工進行相關(guān)的網(wǎng)絡(luò)安全管理培訓(xùn)，在宣傳與教育中，提高每個員工的實際操作能力；其次，建立獎勵機制，對于一些表現(xiàn)出色的員工進行獎勵，激發(fā)員工之間的競爭意識，提高石油網(wǎng)絡(luò)安全建設(shè)人員工作的積極性與熱情。

3 結(jié) 語

隨著社會經(jīng)濟的變化與發(fā)展，石油企業(yè)更應(yīng)重視油田網(wǎng)絡(luò)信息安全體系的建設(shè)，在細微之處，將油田網(wǎng)絡(luò)信息安全管理落實到實處。從一點一滴做起，踐行“以人為本”的思想，以促進石油企業(yè)不斷發(fā)展與進步。

主要參考文獻

[1]劉鋒.吐哈油田企業(yè)信息化模型與方法研究[D].北京：中國地質(zhì)大學(xué)，2013.

篇8

 

為了貫徹國家對信息系統(tǒng)安全保障工作的要求以及等級化保護堅持“積極防御、綜合防范”的方針，需要全面提高信息安全防護能力。貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)需要進行整體安全體系規(guī)劃設(shè)計，全面提高信息安全防護能力，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保護國家利益，促進貴州廣電網(wǎng)絡(luò)信息化的深入發(fā)展。

 

1安全規(guī)劃的目標和思路

 

貴州廣電網(wǎng)絡(luò)目前運營并管理著兩張網(wǎng)絡(luò)：辦公網(wǎng)與業(yè)務(wù)網(wǎng);其中辦公網(wǎng)主要用于貴州廣電網(wǎng)絡(luò)各部門在線辦公，重要的辦公系統(tǒng)為OA系統(tǒng)、郵件系統(tǒng)等;業(yè)務(wù)網(wǎng)主要提供貴州廣電網(wǎng)絡(luò)各業(yè)務(wù)部門業(yè)務(wù)平臺，其中核心業(yè)務(wù)系統(tǒng)為BOSS系統(tǒng)、互動點播系統(tǒng)、安全播出系統(tǒng)、內(nèi)容集成平臺以及寬帶系統(tǒng)等。

 

基于對貴州廣電網(wǎng)絡(luò)信息系統(tǒng)的理解和國家信息安全等級保護制度的認識，我們認為，信息安全體系是貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的重要組成部分，是貴州廣電網(wǎng)絡(luò)業(yè)務(wù)開展的重要安全屏障，它是一個包含貴州廣電網(wǎng)絡(luò)實體、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等五個層面，包括保護、檢測、響應(yīng)、恢復(fù)四個方面，通過技術(shù)保障和管理制度建立起來的可靠有效的安全體系。

 

1.1設(shè)計目標

 

貴州廣電網(wǎng)絡(luò)就安全域劃分已經(jīng)進行的初步規(guī)劃，在安全域整改中初見成效，然而，安全系統(tǒng)建設(shè)不僅需要建立重要資源的安全邊界，而且需要明確邊界上的安全策略，提高對核心信息資源的保護意識。貴州廣電網(wǎng)絡(luò)相關(guān)安全管理體系的建設(shè)還略顯薄弱，管理細則文件亟需補充，安全管理人員亟需培訓(xùn)。因此，本次規(guī)劃重點在于對安全管理體系以及目前的各個業(yè)務(wù)系統(tǒng)進行了全面梳理，針對業(yè)務(wù)系統(tǒng)中安全措施進行了重點分析，綜合貴州廣電網(wǎng)絡(luò)未來業(yè)務(wù)發(fā)展的方向，進行未來五年的信息安全建設(shè)規(guī)劃。

 

1.2設(shè)計原則

 

1.2.1合規(guī)性原則

 

安全設(shè)計要符合國家有關(guān)標準、法規(guī)要求，符合廣電總局對信息安全系統(tǒng)的等級保護技術(shù)與管理要求。良好的信息安全保障體系必然是分為不同等級的，包括對信息數(shù)據(jù)保密程度分級，對用戶操作權(quán)限分級，對網(wǎng)絡(luò)安全程度分級(安全子網(wǎng)和安全區(qū)域),對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等)，從而針對不同級別的安全對象，提供全面、可選的安全技術(shù)和安全體制，以滿足貴州廣電網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)、辦公網(wǎng)系統(tǒng)中不同層次的各種實際安全需求。

 

1.2.2技管結(jié)合原則

 

信息安全保障體系是一個復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實現(xiàn)。因此，必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。

 

1.2.3實用原則

 

安全是為了保障業(yè)務(wù)的正常運行，不能為了安全而妨礙業(yè)務(wù)，同時設(shè)計的安全措施要可以落地實現(xiàn)。

 

1.3設(shè)計依據(jù)

 

1.3.1“原則”符合法規(guī)要求

 

依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例K國務(wù)院147號令)、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[20〇3]27號)、《關(guān)于信息安全等級保護工作的實施意見》(公通字[2004]66號)、《信息安全等級保護管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》、GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》、《廣播電視安全播出管理規(guī)定》(廣電總局62號令)、GDJ038-CATV|有線網(wǎng)絡(luò)。

 

2011《廣播電視播出相關(guān)信息系統(tǒng)等級保護基本要求》，對貴州省廣播電視相關(guān)信息系統(tǒng)安全建設(shè)進行規(guī)劃。

 

1.3.2“策略”符合風(fēng)險管理

 

風(fēng)險管理是基于“資產(chǎn)-價值-漏洞-風(fēng)險-保障措施”的思想進行保障的。風(fēng)險評估與管理的理論與方法已經(jīng)成為國際信息安全的標準。

 

風(fēng)險管理是靜態(tài)的防護策略，是在對方攻擊之前的自我鞏固的過程。風(fēng)險分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞，包括技術(shù)上的、管理上的，分析面臨的威脅，從而確定防護需求，設(shè)計防護的措施，具體的措施是打補丁，還是調(diào)整管理流程，或者是增加、增強某種安全措施，要根據(jù)用戶對風(fēng)險的可接受程度，這樣就可以與安全建設(shè)的成本之間做一個平衡。

 

1.3.3“措施”符合P2DR模型

 

美國ISS公司(IntemetSecuritySystem，INC)設(shè)計開發(fā)的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(Protection)和響應(yīng)(Response)四個主要部分，是一個可以隨著網(wǎng)絡(luò)安全環(huán)境的變化而變化的、動態(tài)的安全防御系統(tǒng)。安全策略是整個P2DR模型的中樞，根據(jù)風(fēng)險分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護，以及如何實現(xiàn)對它們的保護等，策略是模型的核心，所有的防護、檢測和響應(yīng)都是依據(jù)安全策略實施的。

 

檢測(Detection)、防護(Protection)和響應(yīng)(Response)三個部分又構(gòu)成一個變化的、動態(tài)的安全防御體系。P2DR模型是在整體的安全策略的控制和指導(dǎo)下，在綜合運用防護工具(如防火墻、身份認證、加密等)的同時，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整至“最安全”和“風(fēng)險最低”的狀態(tài)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全[3]。

 

1.4安全規(guī)劃體系架構(gòu)

 

在進行了規(guī)劃“原則”、“策略”、“措施”探討的基礎(chǔ)上，我們設(shè)計貴州廣電網(wǎng)絡(luò)的安全保障體系架構(gòu)為“一個中心、兩種手段”。

 

“一個中心”，以安全管理中心為核心，構(gòu)建安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)，確保業(yè)務(wù)系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運行，不會進入任何非預(yù)期狀態(tài)，從而防止用戶的非授權(quán)訪問和越權(quán)訪問，確保業(yè)務(wù)系統(tǒng)的安全。

 

“兩種手段”，是安全技術(shù)與安全管理兩種手段，其中安全技術(shù)手段是安全保障的基礎(chǔ)，安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵，管理措施的正確實施同時需要有技術(shù)手段來監(jiān)管和驗證，兩者相輔相成，缺一不可。

 

2安全保陳方案規(guī)劃

 

2.1總體設(shè)計

 

貴州廣電網(wǎng)絡(luò)的安全體系作為信息安全的技術(shù)支撐措施，分為五個方面：

 

邊界防護體系：安全域劃分，邊界訪問控制策略的部署，主要是業(yè)務(wù)核心資源的邊界，運維人員的訪問通道。

 

行為審計體系：通過身份鑒別、授權(quán)管理、訪問控制、行為曰志等手段，保證用戶行為的合規(guī)性。

 

安全監(jiān)控體系：監(jiān)控網(wǎng)絡(luò)中的異常，維護業(yè)務(wù)運行的安全基線，包括安全事件與設(shè)備故障，也包括系統(tǒng)漏洞與升級管理。

 

公共安全輔助：作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)，包括身份認證系統(tǒng)、補丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等。

 

IT基礎(chǔ)設(shè)施：提供智能化、彈能力的基礎(chǔ)設(shè)施，主要的機房的智能化、服務(wù)器的虛擬化、存儲的虛擬化等。

 

2.2安全域劃分

 

劃分安全域的方法是首先區(qū)分網(wǎng)絡(luò)功能區(qū)域，服務(wù)器資源區(qū)、網(wǎng)絡(luò)連接區(qū)、用戶接入?yún)^(qū)、運維管理區(qū)、對外公共服務(wù)區(qū);其次是在每個區(qū)域中，按照不同的安全需求區(qū)分不同的業(yè)務(wù)與用戶，進一步劃分子區(qū)域;最后，根據(jù)每個業(yè)務(wù)應(yīng)用系統(tǒng)，梳理其用戶到服務(wù)器與數(shù)據(jù)庫的網(wǎng)絡(luò)訪問路徑，通過的域邊界或網(wǎng)絡(luò)邊界越少越好。

 

Z3邊界防護體系規(guī)劃

 

邊界包括網(wǎng)絡(luò)邊界、安全域邊界、用戶接口邊界(終端與服務(wù)器)、業(yè)務(wù)流邊界，邊界上部署訪問控制措施，是防止非授權(quán)的“外部”用戶訪問“里面”的資源，因此分析業(yè)務(wù)的訪問流向，是訪問控制策略設(shè)計的依據(jù)。

 

2.3.1邊界措施選擇

 

在邊界上我們建議四種安全措施：

 

1.網(wǎng)絡(luò)邊界：與外部網(wǎng)絡(luò)的邊界是安全防護的重點，我們建議采用統(tǒng)一安全網(wǎng)關(guān)(UTM),從網(wǎng)絡(luò)層到應(yīng)用層的安全檢測，采用防火墻(FW)部署訪問控制策略，采用入侵防御系統(tǒng)(IPS)部署對黑客入侵的檢測，采用病毒網(wǎng)關(guān)(AV)部署對病毒、木馬的防范;為了方便遠程運維工作，與遠程辦公實施，在網(wǎng)絡(luò)邊界上部署VPN網(wǎng)關(guān)，對遠程訪問用戶身份鑒別后，分配內(nèi)網(wǎng)地址，給予限制性的訪問授權(quán)。Web服務(wù)的SQL注入、XSS攻擊等。

 

3.業(yè)務(wù)流邊界：安全需求等級相同的業(yè)務(wù)應(yīng)用采用VLAN隔離，采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離，防止二層廣播，通知可以在發(fā)現(xiàn)安全事件時，開啟不同子域的安全隔離。

 

4.終端邊界：重點業(yè)務(wù)系統(tǒng)的終端，如運維終端，采用終端安全系統(tǒng)，保證終端上系統(tǒng)的安全，如補丁的管理、黑名單軟件管理、非法外聯(lián)管理、移動介質(zhì)管理等等。

 

2.3.2策略更新管理

 

邊界是提高入侵者的攻擊“門檻”的，部署安全策略重點有兩個方面：一是有針對性。允許什么，不允許什么，是明確的;二是動態(tài)性。就是策略的定期變化，如訪問者的口令、允許遠程訪問的端口等，變化的周期越短，給入侵者留下的攻擊窗口越小。

 

2.4行為審計體系規(guī)劃

 

行為審計是指對網(wǎng)絡(luò)用戶行為進行詳細記錄，直接的好處是可以為事后安全事件取證提供直接證據(jù)，間接的好處乇兩方面：對業(yè)務(wù)操作的日志記錄，可以在曰后發(fā)現(xiàn)操作錯誤、確定破壞行為恢復(fù)時提供操作過程的反向操作，最大程度地減小損失;對系統(tǒng)操作的日志記錄，可以分析攻擊者的行為軌跡，從而判斷安全防御系統(tǒng)的漏洞所在，亡羊補牢，可以彌補入侵者下次入侵的危害。

 

行為審計主要措施包括:一次性口令、運維審計(堡壘機)、曰志審計以及網(wǎng)絡(luò)行為審計。

 

2.5安全監(jiān)控體系規(guī)劃

 

監(jiān)控體系不僅是網(wǎng)絡(luò)安全態(tài)勢展示平臺，也是安全事件應(yīng)急處理的指揮平臺。為了管理工作上的方便，在安全監(jiān)控體系上做到幾方面的統(tǒng)一：

 

1.運維與安全管理的統(tǒng)一：業(yè)務(wù)運維與安全同平臺管理，提高安全事件的應(yīng)急處理速度。

 

2.曰常安全運維與應(yīng)急指揮統(tǒng)一：隨時了解網(wǎng)絡(luò)上的設(shè)備、系統(tǒng)、流量、業(yè)務(wù)等狀態(tài)變化，不僅是日常運維發(fā)現(xiàn)異常的平臺，而且作為安全事件應(yīng)急指揮的調(diào)度平臺，隨時了解安全事件波及的范圍、影響的業(yè)務(wù)，同時確定安全措施執(zhí)行的效果。

 

3.管理與考核的統(tǒng)一：安全運維人員的工作考核就是網(wǎng)絡(luò)安全管理的曰常工作與緊急事件的處理到位，在安全事件的定位、跟蹤、處理過程中，就體現(xiàn)了安全運維人員服務(wù)的質(zhì)量。因此對安全運維平臺的行為記錄就可以為運維人員的考核提供一線的數(shù)據(jù)。

 

安全監(jiān)控措施主要包括安全態(tài)勢監(jiān)控以及安全管理平臺，2.6公共安全輔助系統(tǒng)

 

作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)，需要建設(shè)公共安全輔助系統(tǒng)：

 

1.身份認證系統(tǒng)：獨立于所有業(yè)務(wù)系統(tǒng)之外，為業(yè)務(wù)、運維提供身份認證服務(wù)。

 

2.補丁管理系統(tǒng)：對所有系統(tǒng)、應(yīng)用的補丁進行管理，對于通過測試的補丁、重要的補丁，提供主動推送，或強制執(zhí)行的技術(shù)手段，保證網(wǎng)絡(luò)安全基線。

 

3.漏洞掃描系統(tǒng)：對于網(wǎng)絡(luò)上設(shè)備、主機系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)等的漏洞要及時了解，對于不能打補丁的系統(tǒng)，要確認有其他安全策略進行防護。漏洞掃描分為兩個方面，一是系統(tǒng)本身的漏洞，二是安全域邊界部署了安全措施之后，實際用戶所能訪問到的漏洞(滲透性測試服務(wù))。

 

2.7IT基礎(chǔ)設(shè)施規(guī)劃

 

IT基礎(chǔ)設(shè)施是所有網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)服務(wù)的基礎(chǔ)，具備一個優(yōu)秀的基礎(chǔ)架構(gòu)，不僅可以快速、靈活地支撐各種業(yè)務(wù)系統(tǒng)的有效運行，而且可以極大地提高基礎(chǔ)IT資源的利用率，節(jié)省資金投入，達到環(huán)保的要求。

 

IT基礎(chǔ)設(shè)施的優(yōu)化主要體現(xiàn)在三個方面：智能機房、服務(wù)器虛擬化、存儲虛擬化。

 

3安全筐理體系規(guī)劃

 

在系統(tǒng)安全的各項建設(shè)內(nèi)容中，安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ)，建立一套科學(xué)的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網(wǎng)絡(luò)股份有限公司安全建設(shè)的必要條件和基本保證。

 

3_1安全管理標準依據(jù)

 

以GBAT22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》中二級、三級安全防護能力為標準，對貴州廣電網(wǎng)絡(luò)安全管理體系的建設(shè)進行設(shè)計。

 

3.2安全管理體系的建設(shè)目標

 

通過有效的進行貴州廣電網(wǎng)絡(luò)的安全管理體系建設(shè)，最終要實現(xiàn)的目標是：采取集中控制模式，建立起貴州廣電網(wǎng)絡(luò)完整的安全管理體系并加以實施與保持，實現(xiàn)動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的安全管理模式，從而在管理上確保全方位、多層次、快速有效的網(wǎng)絡(luò)安全防護。

 

3.3安全管理建設(shè)指導(dǎo)思想

 

各種標準體系文件為信息安全管理建設(shè)僅僅提供一些原則性的建議，要真正構(gòu)建符合貴州廣電網(wǎng)絡(luò)自身狀況的信息安全管理體系，在建設(shè)過程中應(yīng)當(dāng)以以下思想作為指導(dǎo)：“信CATV丨有線網(wǎng)絡(luò)息安全技術(shù)、信息安全產(chǎn)品是信息安全管理的基礎(chǔ)，信息安全管理是信息安全的關(guān)鍵，人員管理是信息安全管理的核心,信息安全政策是進行信息安全管理的指導(dǎo)原則，信息安全管理體系是實現(xiàn)信息安全管理最為有效的手段?！?/p>

 

3.4安全管理體系的建設(shè)具體內(nèi)容

 

GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(以下簡稱《基本要求》)對信息系統(tǒng)的安全管理體系提出了明確的指導(dǎo)和要求。我們應(yīng)以《基本要求》為標準，結(jié)合目前貴州廣電網(wǎng)絡(luò)安全管理體系的現(xiàn)狀，對廣電系統(tǒng)的管理機構(gòu)、管理制度、人員管理、技術(shù)手段四個方面進行建設(shè)和加強。同時，由于信息安全是一個動態(tài)的系統(tǒng)工程，所以，貴州廣電網(wǎng)絡(luò)還必須對信息安全管理措施不斷的加以校驗和調(diào)整，以使管理體系始終適應(yīng)和滿足實際情況的需要，使貴州廣電網(wǎng)絡(luò)的信息資產(chǎn)得到有效、經(jīng)濟、合理的保護。

 

貴州廣電網(wǎng)絡(luò)的安全管理體系主要包括安全管理機構(gòu)、安全管理制度、安全標準規(guī)范和安全教育培訓(xùn)等方面。

 

通過組建完整的信息網(wǎng)絡(luò)安全管理機構(gòu)，設(shè)置安全管理人員，規(guī)劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施，制定嚴格的安全管理制度，合理地協(xié)調(diào)法律、技術(shù)和管理三種因素，實現(xiàn)對系統(tǒng)安全管理的科學(xué)化、系統(tǒng)化、法制化和規(guī)范化，達到保障貴州廣電網(wǎng)絡(luò)信息系統(tǒng)安全的目的。

 

3.5曰常安全運維3.5.1安全風(fēng)險評估

 

安全風(fēng)險評估是建立主動防御安全體系的重要和關(guān)鍵環(huán)節(jié)，這環(huán)的工作做好了可以減少大量的安全威脅，提升整個信息系統(tǒng)的對網(wǎng)絡(luò)災(zāi)難的免疫能力;風(fēng)險評估是信息安全管理體系建立的基礎(chǔ)，是組織平衡安全風(fēng)險和安全投入的依據(jù)，也是信息安全管理體系測量業(yè)績、發(fā)現(xiàn)改進機會的最重要途徑。

 

3.5.2網(wǎng)絡(luò)管理與安全管理

 

網(wǎng)絡(luò)管理與安全管理的主要措施包括：出入控制、場地與設(shè)施安全管理、網(wǎng)絡(luò)運行狀態(tài)監(jiān)控、安全設(shè)備監(jiān)控、安全事件監(jiān)控與分析、提出預(yù)防措施。

 

3.5.3備份與容災(zāi)管理

 

貴州廣電網(wǎng)絡(luò)主要關(guān)鍵業(yè)務(wù)系統(tǒng)需要雙機本地?zé)醾?、?shù)據(jù)離線備份措施;其他相關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)需要數(shù)據(jù)離線備份措施。

 

3.5.4應(yīng)急響應(yīng)計劃

 

通過建立應(yīng)急相應(yīng)機構(gòu)，制定應(yīng)急響應(yīng)預(yù)案，通過建立專家資源庫、廠商資源庫等人力資源措施，通過對應(yīng)急響應(yīng)有線網(wǎng)絡(luò)ICATV預(yù)案不低于一年兩次的演練，可以在發(fā)生緊急事件時，做到規(guī)范化操作，更快的恢復(fù)應(yīng)用和數(shù)據(jù)，并最大可能的減少損失

 

3.6安全人員管理

 

信息系統(tǒng)的運行是依靠在各級黨政機構(gòu)工作的人員來具體實施的，他們既是信息系統(tǒng)安全的主體，也是系統(tǒng)安全管理的對象。所以，要確保信息系統(tǒng)的安全，首先應(yīng)加強人事安全管理。

 

安全人員應(yīng)包括：系統(tǒng)安全管理員、系統(tǒng)管理員、辦公自動化操作人員、安全設(shè)備操作員、軟硬件維修人員和警衛(wèi)人員。

 

其中系統(tǒng)管理員、系統(tǒng)安全管理員必須由不同人員擔(dān)當(dāng)。3.7技術(shù)安全管理

 

主要措施包括：軟件管理、設(shè)備管理、備份管理以及技術(shù)文檔管理。

 

4安全規(guī)劃分期建設(shè)路線

 

信息安全保障重要的是過程，而不一定是結(jié)果，重要的是安全意識的提高，而不一定是安全措施的多少。因此，信息安全建設(shè)也應(yīng)該從保障業(yè)務(wù)運營為目標，提高用戶自身的安全意識為思路，根據(jù)業(yè)務(wù)應(yīng)用的模式與規(guī)模逐步、分階段建設(shè)，同時還要符合國家與廣電總局關(guān)于等級保護的技術(shù)與管理要求。

 

4.1主要的工作內(nèi)容

 

根據(jù)安全保障方案規(guī)劃的設(shè)計，貴州廣電網(wǎng)絡(luò)的信息安全建設(shè)分為如下幾個方面的內(nèi)容：

 

1.網(wǎng)絡(luò)優(yōu)化改造:主要是安全域的劃分，網(wǎng)絡(luò)結(jié)構(gòu)的改造。

 

2.安全措施部署:邊界隔離措施部署，行為審計系統(tǒng)部署、安全監(jiān)控體系部署。

 

3.基礎(chǔ)設(shè)施改造：主要是數(shù)據(jù)大集中、服務(wù)器虛擬化、存儲虛擬化。

 

4.安全運維管理:信息安全管理規(guī)范、日常安全運維考核、安全檢查與審計流程、安全應(yīng)急演練、曰常安全服務(wù)等。

 

4.2分期建設(shè)規(guī)劃

 

4_2.1達標階段(2015-2017)

 

1.等保建設(shè)

 

2.信任體系：網(wǎng)絡(luò)審計、運維審計、日志審計

 

3.身份鑒別(一次口令)

 

4.監(jiān)控平臺：入侵檢測、流量監(jiān)測、木馬監(jiān)測

 

5.安全管理平臺建設(shè)

 

6.等保測評通過(2級3級系統(tǒng))

 

7.安全服務(wù)：建立定期模式

 

8.滲透性測試服務(wù)(外部+內(nèi)部)

 

9.安全加固服務(wù)，建立服務(wù)器安全底線

 

10.信息安全管理

 

11.落實安全管理細則文件制定

 

12.落實安全運維與應(yīng)急處理流程

 

13.完善IT服務(wù)流程，建設(shè)安全運維管理平臺

 

14.定期安全演練與培訓(xùn)

 

4.2.2持續(xù)改進階段(2018?2019)

 

1.等保建設(shè)

 

2.完善信息安全防護體系

 

3.提升整體防護能力

 

4.深度安全服務(wù)

 

5.有針對性安全演練，協(xié)調(diào)改進管理與技術(shù)措施

 

6.源代碼安全審計服務(wù)(新上線業(yè)務(wù))

 

7.信息安全管理

 

8.持續(xù)改進運維與應(yīng)急流程與制度，提高應(yīng)急反應(yīng)能力

 

9.提高運維效率，開拓運維增值模式

 

5結(jié)東語

篇9

關(guān)鍵詞:信息安全;檔案;因素;對策近年來，信息技術(shù)的運用

在高校檔案管理中發(fā)揮日益顯著的作用，打破了傳統(tǒng)紙質(zhì)檔案的管理模式，由檔案實體管理向數(shù)字化管理模式轉(zhuǎn)變，這一創(chuàng)新舉措大大提高了檔案資源開發(fā)和利用的效率，但數(shù)字化管理中的安全問題亦不容忽視，只有不斷強化數(shù)字化檔案的安全管理，建立健全檔案安全工作保障體系，才能真正確保數(shù)字化檔案的安全。

1問題及影響因素

首先，高校數(shù)字化檔案信息安全管理缺少頂層設(shè)計。目前安徽省高校檔案管理軟件多種類型并存，彼此孤立，有網(wǎng)絡(luò)版的也有單機版的，橫向之間不聯(lián)，上下之間不通，各自為政，追求小而全，未能形成網(wǎng)絡(luò)大平臺上的協(xié)調(diào)溝通運行機制，既影響了網(wǎng)絡(luò)功能的發(fā)揮，又造成了重復(fù)建設(shè)，浪費了人力、物力。其根本原因在于頂層設(shè)計滯后，缺乏統(tǒng)一的功能和具體執(zhí)行標準。其次，檔案信息安全管理制度不完善。按照國家保密局《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》，現(xiàn)在大部分高校信息利用安全無法保證。具體表現(xiàn)為:一是沒有統(tǒng)一的利用平臺，其利用環(huán)境的安全完全依賴于自身網(wǎng)絡(luò)建設(shè);二是局域網(wǎng)、政務(wù)網(wǎng)、公眾網(wǎng)的內(nèi)容界定不規(guī)范，在協(xié)調(diào)處理多方關(guān)系上存在著隨意性;三是檔案館(室)在外包安全協(xié)議中沒有明確注明保密的形式和內(nèi)容，當(dāng)事者所應(yīng)承擔(dān)的責(zé)任和義務(wù)，缺少相應(yīng)的監(jiān)管標準和獎懲措施，這些毋庸置疑將對檔案信息利用安全造成威脅。然而，究其根本原因在于缺乏建立相配套的系統(tǒng)安全管理規(guī)章制度［1－2］。最后，對系統(tǒng)功能的安全監(jiān)管不到位。據(jù)調(diào)查表明，目前我省高校大部分電子檔案系統(tǒng)的權(quán)限設(shè)置，身份認證識別鑒定功能、CA認證以及數(shù)字簽名等技術(shù)功能均達不到相關(guān)要求，隨時可能發(fā)生文件丟失、泄密的危險。在信息采集、硬件防護等方面，相關(guān)技術(shù)部門之間未能及時有效地溝通與協(xié)調(diào)，管理措施的制定缺少系統(tǒng)性和科學(xué)性，如此等等［3－4］，都是因缺乏嚴格的監(jiān)存管機制，從而導(dǎo)致安全建設(shè)存在諸多隱患和漏洞。

2檔案數(shù)字化安全管理應(yīng)遵循的原則

責(zé)任規(guī)范原則。安全責(zé)任規(guī)范是檔案信息系統(tǒng)規(guī)劃、設(shè)計、實現(xiàn)、運行的必然要求，各檔案館(室)應(yīng)根據(jù)安全標準化規(guī)定制定適合本單位的安全政策，不能無依據(jù)、無標準、隨意開發(fā)、盲目設(shè)計、違規(guī)操作、無人監(jiān)管，而應(yīng)根據(jù)實際情況，具體問題具體分析，采用正確的安全功能和設(shè)備。預(yù)防原則。將預(yù)防為主的意識貫穿整個安全系統(tǒng)管理的全過程，包括規(guī)劃、采購、安裝、設(shè)計等各個環(huán)節(jié)。不同的地理條件、不同的人文環(huán)境，各館(室)藏對安全設(shè)施的配備及安全功能的實現(xiàn)程度也迥異，應(yīng)因地制宜，將安全防范意識擺在首位，加強薄弱環(huán)節(jié)的防護，最大限度地減少人為和自然災(zāi)難所造成的損失。實效原則。目標的制定和規(guī)劃應(yīng)與安全功能的實現(xiàn)程度相匹配，不應(yīng)盲目追求高目標或投資過大的項目，要實事求是，使投入與需要的安全功能相適應(yīng)，才能真正提高安全管理效率。分權(quán)制約原則。分散重要環(huán)節(jié)的管理權(quán)限，使其各部門之間的權(quán)利相互制約，避免全線崩潰，提高安全性。對數(shù)字化服務(wù)機構(gòu)的相關(guān)資質(zhì)、業(yè)績、人員、設(shè)備和加工軟件等進行考察，并了解是否存在違約行為、安全事故等不良記錄。應(yīng)急原則。安全防護要防患于未然。建立健全應(yīng)急管理機制，開展各類突發(fā)事件應(yīng)急演練，遇到突發(fā)事件及時采用應(yīng)急預(yù)案，多方聯(lián)動，采取積極有效的防護措施。災(zāi)難恢復(fù)原則。全盤優(yōu)化災(zāi)難恢復(fù)策略，合理劃分容災(zāi)等級，嚴格執(zhí)行數(shù)據(jù)恢復(fù)流程并采取有效的技術(shù)恢復(fù)手段，保持原數(shù)據(jù)中心和備份中心數(shù)據(jù)的一致性。

3高校數(shù)字化檔案信息安全管理的對策

3．1加強信息安全技術(shù)管理，提高信息化管理水平

設(shè)備層的安全管理。設(shè)備層的安全管理包含軟硬件系統(tǒng)的管理，是檔案信息安全管理的基礎(chǔ)。硬件系統(tǒng)的安全又稱為物理安全。由于應(yīng)用軟件自身存在弊端，使其很容易受到攻擊，各種各樣的防黑客技術(shù)、軟件恢復(fù)技術(shù)以及安全操作系統(tǒng)的實現(xiàn)將是軟件系統(tǒng)安全管理的重點。采用先進的病毒防范技術(shù)定期對服務(wù)器和客戶端查毒、殺毒，對防毒軟件適時升級，檔案管理人員要依據(jù)病毒類型構(gòu)建病毒防范機制，充分了解病毒知識，做好主動防范工作，增強殺毒的敏感性，以全面提高網(wǎng)絡(luò)防范能力。網(wǎng)絡(luò)層的安全管理。網(wǎng)絡(luò)層的安全管理主要針對網(wǎng)絡(luò)協(xié)議和結(jié)構(gòu)及其所導(dǎo)致的安全問題應(yīng)采取的安全措施。主要包括:網(wǎng)絡(luò)安全告警，內(nèi)部流量和活動模型分析，網(wǎng)絡(luò)入侵恢復(fù)，網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)保護，內(nèi)部加密與密鑰管理等。各個子網(wǎng)的出入口設(shè)備的安全管理是其管理的關(guān)鍵點，由于嵌入式操作系統(tǒng)作為網(wǎng)絡(luò)安全管理的核心技術(shù)比通用的操作系統(tǒng)更易實現(xiàn)，因而不可避免地成為整個信息產(chǎn)業(yè)發(fā)展的重點之一。應(yīng)用層的安全管理。采取數(shù)據(jù)加密等技術(shù)確保安全，使用簽名芯片及時實現(xiàn)加密技術(shù)的有效應(yīng)用。嚴格控制訪問權(quán)限，通過設(shè)置口令、密鑰、指紋、聲音等方式進行身份鑒別和訪問控制，并防止越權(quán)操作。對數(shù)字化設(shè)備、存儲介質(zhì)應(yīng)進行安全保密技術(shù)處理，數(shù)字化加工設(shè)備不得外送維修，對系統(tǒng)中各種操作實現(xiàn)嚴格的監(jiān)控并加以記錄。做好日常的系統(tǒng)維護工作，確保數(shù)據(jù)的安全存儲、轉(zhuǎn)移和備份恢復(fù)。

3．2創(chuàng)新信息安全管理機制，全面提高防范意識

制度層的安全管理。強化制度建設(shè)，形成有效的安全管理機制，為信息安全建設(shè)提供制度保障。為確保數(shù)字化檔案信息安全，高校檔案館(室)要建立健全各項安全管理制度和責(zé)任制度，在面臨突發(fā)災(zāi)害時，緊急啟動應(yīng)急預(yù)案，形成聯(lián)動機制，因地制宜，妥善處理影響檔案安全的各類突發(fā)事件。對檔案要強化監(jiān)督和管理，認真進行檔案密級鑒定，做好檔案數(shù)字化的各項安全保密工作，對密級檔案嚴格審核，做出是否變更或解除的決定，對控制知悉、使用范圍的檔案進行劃控，密級檔案以及控制知悉、使用范圍的檔案，須在安全保密的場所由其單位工作人員負責(zé)人加工處理;對特殊載體檔案采取特殊保護，對珍貴、頻繁利用的紙質(zhì)檔案優(yōu)先保護、定期消毒。其次要制定數(shù)字化檔案安全權(quán)利清單和責(zé)任清單，將數(shù)字化檔案信息安全建設(shè)作為日常工作運行的重點，實行領(lǐng)導(dǎo)責(zé)任制，明確在信息安全建設(shè)中各個環(huán)節(jié)的責(zé)任程序和責(zé)任人，科學(xué)界定工作職責(zé)，完善安全隱患定期排查制度，規(guī)范細化檔案數(shù)字化工作流程，強化對權(quán)利運行的制約和監(jiān)督，嚴格按照任務(wù)清單要求，全面落實好安全主體責(zé)任，不斷加大問責(zé)力度，建立健全安全問題通報制度，確保安全權(quán)利清單制度落地見效。不僅如此，高校檔案館(室)也應(yīng)加強數(shù)字化加工場所和設(shè)備實施的安全監(jiān)管。加工場所應(yīng)設(shè)置在符合保密要求且相對獨立的區(qū)域，安裝視頻監(jiān)控系統(tǒng)、實施全程監(jiān)控，嚴格核查出入人員身份，無關(guān)人員不得進入場所。工作人員不得在場所內(nèi)吸煙、飲水、進食，嚴禁攜帶照相機、攝像機、手機等信息設(shè)備及其他與工作無關(guān)的物品入場，禁止以拍攝方式獲取檔案信息或攜帶實體檔案及電子檔案外出。用于檔案數(shù)字化的設(shè)備系統(tǒng)必須與其他網(wǎng)絡(luò)物理隔離，禁止安裝使用無線網(wǎng)卡等具有無線互聯(lián)功能的硬件和設(shè)備，對設(shè)備輸入、輸出接口進行封閉處理，并進行檢查登記。此外，若采取數(shù)字化委托加工方式，應(yīng)設(shè)有專人負責(zé)安全保密工作，無安全事故、泄密事件等違法記錄。數(shù)字化加工單位應(yīng)與受委托的專業(yè)公司簽訂保密協(xié)議，確保數(shù)字化加工場地的安全管理。以制度有效運行作保障，積極為檔案信息安全鑄造堅固的防護體系。組織層的安全管理。各高校要因地制宜，把數(shù)字化檔案安全體系建設(shè)擺上議事日程，制定適合本學(xué)校的數(shù)字化檔案信息安全建設(shè)規(guī)劃和實施方案，將檔案信息安全體系建設(shè)納入單位(部門)年度考核、目標管理等工作的重要內(nèi)容，加強日常的監(jiān)督、檢查和指導(dǎo)，定期聽取檔案安全工作匯報，研究部署年度工作計劃，領(lǐng)導(dǎo)要親自過問，在經(jīng)費投入、技術(shù)保障、處室配合、人員使用等方面給予大力支持，各高校檔案(館)室要加快建立數(shù)字化檔案信息安全領(lǐng)導(dǎo)小組，充分調(diào)動專職檔案人員工作的主動性和積極性，并根據(jù)學(xué)校機構(gòu)設(shè)置和人員變動情況，適時調(diào)整充實領(lǐng)導(dǎo)組成員，明確各部門分管檔案信息安全工作的領(lǐng)導(dǎo)，逐步細化完善檔案信息安全工作崗位職責(zé)，做到檔案信息安全工作人員職責(zé)清晰、分工明確，確保檔案安全工作順利有序開展。

3．3加大人才培養(yǎng)力度，打造復(fù)合型數(shù)字化安全管理專業(yè)人才

高校檔案館(室)要加大數(shù)字化檔案信息安全專業(yè)技術(shù)人才的培養(yǎng)力度，積極開展檔案信息化知識技能培訓(xùn)和數(shù)字化安全崗前教育培訓(xùn)。制定科學(xué)合理的人才規(guī)劃，數(shù)字化檔案安全的核心在于人，人是保證數(shù)字化檔案安全的關(guān)鍵，一切安全技術(shù)的實施都離不開專業(yè)技術(shù)人員，努力建設(shè)一支素質(zhì)優(yōu)良，結(jié)構(gòu)合理，隊伍穩(wěn)定，既通曉檔案網(wǎng)絡(luò)技術(shù)知識又能熟練掌握安全管理技能的綜合型人才，不斷探索培養(yǎng)優(yōu)秀檔案信息化人才的新途徑。

3．4加快法律法規(guī)體系建設(shè)進程，營造良好的依法治檔環(huán)境和氛圍

建立健全數(shù)字化檔案安全法律法規(guī)，真正落實依法治檔。檔案管理人員要嚴格遵守檔案安全法規(guī)和保密規(guī)定，采取綜合防范策略，建立科學(xué)合理的操作規(guī)范，積極防御，不斷提升防護水平，凈化網(wǎng)絡(luò)安全環(huán)境。加大安全執(zhí)法力度，嚴加懲處盜取、篡改信息的機構(gòu)和個人，并依法追究相關(guān)責(zé)任。重視安全法律法規(guī)宣傳工作，利用校園網(wǎng)，宣傳安全知識以及學(xué)校關(guān)于檔案安全工作的規(guī)章制度。通過檔案網(wǎng)站，及時國家頒布實施的檔案安全法律法規(guī)，認真學(xué)習(xí)并貫徹落實上級檔案主管部門關(guān)于檔案安全管理的文件精神，讓廣大師生不斷強化安全和保護意識，充分認識學(xué)校檔案安全工作的重要性。

4結(jié)論

高校數(shù)字化檔案信息的安全管理是一項漫長而艱巨的任務(wù)，涉及技術(shù)、法律、制度、意識、人員等方方面面，隨著社會信息化的飛速發(fā)展和科技的日新月異，影響數(shù)字化檔案信息安全的因素也日益繁多，高校檔案安全工作將面臨新的挑戰(zhàn)，各高校檔案館(室)應(yīng)高度重視，通力合作，使數(shù)字化檔案信息的安全管理逐步邁上規(guī)范化、科學(xué)化的軌道，為檔案的永久安全保管和歷史文化的傳承做出應(yīng)有的貢獻。

參考文獻:

［1］種金成，何祖華．高校館藏檔案數(shù)字化實施方案及安全策略研究［J］．黑龍江檔案，2014(1):44－45．

［2］趙鵬．從檔案安全體系建設(shè)的角度看檔案保護［J］．中國檔案，2010(6):25－27．

［3］楊冬權(quán)．建立完善的檔案安全體系確保檔案安全［J］．蘭臺世界，2010(6):1－2．

篇10

［關(guān)鍵詞］油田；企業(yè)網(wǎng)；信息；安全

油田工業(yè)環(huán)境對于網(wǎng)絡(luò)的依賴，一直都比常規(guī)的工業(yè)環(huán)境更為突出，諸多儀表數(shù)據(jù)的采集，決定了整個工業(yè)環(huán)境生產(chǎn)工作的安全開展，因此不容忽視。進入信息時代后，國內(nèi)大中型企業(yè)大多都建成了完善的企業(yè)網(wǎng)絡(luò)，油田企業(yè)也不例外。但是，油田企業(yè)利用網(wǎng)絡(luò)進行工作，雖然提高了效率，但是一旦網(wǎng)絡(luò)本身出現(xiàn)不穩(wěn)定的情況，就會使整個油田工業(yè)環(huán)境陷入危險。因此，油田企業(yè)網(wǎng)的信息安全問題已成為關(guān)系到整個油田正常運行的重要因素。

1企業(yè)網(wǎng)和信息安全的內(nèi)涵

要想實現(xiàn)油田企業(yè)網(wǎng)的安全運行，油田企業(yè)首先應(yīng)當(dāng)了解企業(yè)網(wǎng)和信息安全的內(nèi)涵，才能實現(xiàn)相關(guān)工作的有效落實。企業(yè)網(wǎng)相對于局域網(wǎng)，是一個更為寬泛的概念，并且比較偏重于軟件層面。局域網(wǎng)強調(diào)企業(yè)中區(qū)域環(huán)境內(nèi)部的數(shù)據(jù)傳輸實現(xiàn)，當(dāng)然在油田企業(yè)環(huán)境中，由于不同部門之間在地理位置上相對分散，因此局域網(wǎng)也會不拘泥于區(qū)域，更多采用在公共數(shù)字網(wǎng)上建立起數(shù)字通道的方式來實現(xiàn)。但是，局域網(wǎng)歸更多是面向數(shù)據(jù)傳輸實現(xiàn)的，企業(yè)網(wǎng)則有所不同，更多是面向應(yīng)用本身展開實現(xiàn)的，從層級上看，企業(yè)網(wǎng)位置高于局域網(wǎng)，是一種偏軟件應(yīng)用的網(wǎng)絡(luò)系統(tǒng)；從功能上看，企業(yè)網(wǎng)絡(luò)既承擔(dān)著企業(yè)經(jīng)營、生產(chǎn)、交流等任務(wù)，也全面優(yōu)化了企業(yè)內(nèi)部管理結(jié)構(gòu)，豐富了企業(yè)員工利用企業(yè)網(wǎng)絡(luò)學(xué)習(xí)、交流的途徑。對于企業(yè)網(wǎng)而言，信息安全指的是在網(wǎng)絡(luò)環(huán)境下，從軟硬件以及應(yīng)用等多個角度展開對于數(shù)據(jù)傳輸、讀取、更改等方面的保護，使之不會因偶然、惡意等因素而發(fā)生更改、破壞、泄露等問題，影響到網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運行。從技術(shù)角度看，信息安全融合了包括計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、應(yīng)用數(shù)學(xué)、信息安全、信息論、通信技術(shù)和密碼技術(shù)等多項技術(shù)，成為綜合性的邊緣交叉領(lǐng)域。

2企業(yè)網(wǎng)的安全威脅來源

油田企業(yè)想要建立完善的安全體系，還應(yīng)當(dāng)對當(dāng)前油田環(huán)境下的企業(yè)網(wǎng)面臨的安全威脅有一個比較深入的了解。企業(yè)網(wǎng)的安全威脅，首先來源于網(wǎng)絡(luò)設(shè)備自身的穩(wěn)定特征。當(dāng)前環(huán)境下，在數(shù)據(jù)傳輸鏈路中，光纖作為傳輸媒介，在近年來其質(zhì)量有了極大提高，并且進一步帶動了整個網(wǎng)絡(luò)環(huán)境的穩(wěn)定性，因此對于物理層面而言，數(shù)據(jù)傳輸?shù)姆€(wěn)定性在很大程度上受到網(wǎng)絡(luò)設(shè)備自身運行狀況的影響。網(wǎng)絡(luò)服務(wù)器、交換機、工作站和備用電源等，都會成為影響企業(yè)網(wǎng)安全的重要因素。除此以外，服務(wù)器的安全防御能力，以及對于異常端口、閑置端口等方面的管理，同樣也應(yīng)當(dāng)納入到安全管理的范圍中。其次，安全威脅來源于協(xié)議的安全缺陷。網(wǎng)絡(luò)協(xié)議是信息共享的關(guān)鍵與前提，并且決定著信息開放和共享的方式和程度，但協(xié)議本身也是相關(guān)人員或組織制定的，在發(fā)展的過程中不可避免地會出現(xiàn)不適應(yīng)的特征，進一步會出現(xiàn)安全隱患。除此以外，基于協(xié)議的安全隱患通常都具有較大范圍的殺傷力，很容易受到外界的惡意攻擊。最后，網(wǎng)絡(luò)環(huán)境中的訪問控制，同樣也是影響油田企業(yè)網(wǎng)安全的主要因素，并且考慮到油田企業(yè)網(wǎng)環(huán)境自身龐大、復(fù)雜的客觀特征，這一方面的影響，相對于其他領(lǐng)域而言甚至更為嚴重。

3油田企業(yè)網(wǎng)的安全系統(tǒng)構(gòu)建

對于油田企業(yè)網(wǎng)而言，其數(shù)據(jù)量要遠遠大過于常規(guī)企業(yè)，除了要提升工作效率之外，更為重要的是將油田工業(yè)環(huán)境中的海量數(shù)據(jù)整合到一個綜合的網(wǎng)絡(luò)環(huán)境中來，便于實現(xiàn)更為全面的監(jiān)督和控制，也便于深入應(yīng)用大數(shù)據(jù)等分析技術(shù)。而這樣的網(wǎng)絡(luò)環(huán)境，對于安全的要求，必然比常規(guī)的企業(yè)網(wǎng)要高很多。本文結(jié)合油田環(huán)境中的網(wǎng)絡(luò)以及數(shù)據(jù)特征，可以考慮從如下幾個方面，構(gòu)建油田企業(yè)網(wǎng)的安全系統(tǒng)。

3.1加強設(shè)備領(lǐng)域安全建設(shè)

設(shè)備安全性是油田企業(yè)網(wǎng)信息安全的根基，除了在購置過程中合理選擇品牌確保設(shè)備工作穩(wěn)定性以外，油田企業(yè)還應(yīng)著眼于設(shè)備本身的抗干擾特征，并重視在干擾環(huán)境之下設(shè)備所產(chǎn)生的誤碼率等屬性。油田企業(yè)要把服務(wù)器的安全配置列為重點，從操作系統(tǒng)漏洞、端口安全以及服務(wù)信息安全三個方面重點展開。對于操作系統(tǒng)的漏洞而言，除了及時更新補丁以外，油田企業(yè)還應(yīng)當(dāng)考慮面向網(wǎng)絡(luò)服務(wù)器及個人工作站的操作系統(tǒng)使用情況，有針對性地進行漏洞掃描和檢測，并根據(jù)掃描結(jié)果作出科學(xué)、客觀、全面的安全評估，從而進一步加強設(shè)備領(lǐng)域安全建設(shè)。同時，油田企業(yè)可以考慮在非系統(tǒng)分區(qū)上安裝IIS服務(wù)器來提高設(shè)備的安全性，并且考慮選用NTFS文件系統(tǒng)提升整體安全水平。此外，服務(wù)端口號的修改同樣意義重大，油田企業(yè)應(yīng)當(dāng)對部分服務(wù)器的網(wǎng)絡(luò)服務(wù)端口進行修改，用來提升企業(yè)網(wǎng)絡(luò)服務(wù)器的安全性，進而達到有效提升設(shè)備安全性的目的。

3.2加強訪問控制管理

訪問控制的管理，歸根結(jié)底是一種管理，但是放在網(wǎng)絡(luò)環(huán)境中，就是一種與技術(shù)相結(jié)合的管理體系。訪問控制管理工作需要從人機環(huán)節(jié)著手，油田企業(yè)在加強網(wǎng)絡(luò)系統(tǒng)訪問控制安全建設(shè)的同時，也要加強工作人員的訪問控制安全建設(shè)意識。同時，授權(quán)作為訪問控制管理的重要內(nèi)容，油田企業(yè)要重視當(dāng)前信息環(huán)境中移動接入端的涌入，對于移動端的接入授權(quán)，一方面要實現(xiàn)便捷，另一個方面應(yīng)當(dāng)加強周期性的口令更新，并確保安全。此外，訪問控制管理在信息系統(tǒng)邊界內(nèi)部，還表現(xiàn)為面向不同的數(shù)據(jù)進行不同的授權(quán)，并且油田企業(yè)要動態(tài)調(diào)整這種授權(quán)。

3.3加強數(shù)據(jù)識別

數(shù)據(jù)識別對于油田工業(yè)環(huán)境而言，價值重大。油田工業(yè)環(huán)境中的數(shù)據(jù)總量龐大，而企業(yè)網(wǎng)中的安全運算資源又相對有限，因此，油田企業(yè)要為最核心的數(shù)據(jù)提供最有效的安全保護。無論是加密算法還是訪問方面的安全過濾，都需要一定的安全運算資源配合，這就必然需要數(shù)據(jù)識別。在實際工作過程中，油田企業(yè)應(yīng)當(dāng)注意油田工業(yè)環(huán)境中不同數(shù)據(jù)之間的差異。不同數(shù)據(jù)從產(chǎn)生到消亡的整個生命周期，都可以作為識別數(shù)據(jù)重要程度的依據(jù)，從這些細節(jié)中有針對性地進行安全過濾保護。這可以說是提升安全計算效率的重要手段。

4結(jié)語

油田環(huán)境下企業(yè)網(wǎng)絡(luò)安全問題的意義重大，油田企業(yè)在實際工作中必須要深入分析，積極引入行業(yè)先進技術(shù)，識別油田數(shù)據(jù)自身的特征，有的放矢才能獲得良好效果。

主要參考文獻

［1］段莉屏.大數(shù)據(jù)背景下企業(yè)計算機網(wǎng)絡(luò)安全問題分析及應(yīng)對對策［J］.現(xiàn)代工業(yè)經(jīng)濟和信息化,2016(3).