導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇企業(yè)信息安全服務(wù)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：SOA 信息安全 企業(yè)服務(wù)總線

中圖分類(lèi)號(hào)：TP2 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2013）01（c）-0022-02

隨著信息技術(shù)的不斷普遍，信息安全體系結(jié)構(gòu)在當(dāng)前的企業(yè)信息技術(shù)中扮演著越來(lái)越重要的角色。我們嘗試將信息安全和風(fēng)險(xiǎn)控制活動(dòng)定義到安全服務(wù)里，設(shè)計(jì)面向服務(wù)的企業(yè)信息安全體系結(jié)構(gòu)。

SOA是工業(yè)界的一個(gè)熱點(diǎn)主題。它是一個(gè)策略、實(shí)踐和框架的集合，能夠?yàn)樘峁┛缬蜃?cè)、動(dòng)態(tài)發(fā)現(xiàn)和自動(dòng)機(jī)制提供內(nèi)建的基礎(chǔ)設(shè)施。并且提供的服務(wù)封裝，通過(guò)消息協(xié)議提供可由雙方共同操作的服務(wù)。SOA也為服務(wù)質(zhì)量控制和資源管理及其它的監(jiān)控服務(wù)和異常處理機(jī)制準(zhǔn)備了基礎(chǔ)設(shè)施。作為一個(gè)agility-pursued體系結(jié)構(gòu)，SOA將企業(yè)邏輯從技術(shù)實(shí)現(xiàn)分離，從而使圍繞SOA體系結(jié)構(gòu)建立的應(yīng)用能夠滿足企業(yè)和技術(shù)領(lǐng)域持續(xù)變化的需求。它也將有益于可復(fù)用性和系統(tǒng)集成，以及可擴(kuò)展性、分布性和跨域注冊(cè)。

1 問(wèn)題發(fā)現(xiàn)

我們?cè)赟OA安全體系結(jié)構(gòu)上的研究發(fā)現(xiàn)了以下幾個(gè)問(wèn)題。

（1）缺少企業(yè)信息安全集成體系結(jié)構(gòu)，引入了不同的、相互獨(dú)立的信息安全系統(tǒng)和解決方案，這會(huì)導(dǎo)致整個(gè)系統(tǒng)的不兼容性，導(dǎo)致無(wú)法達(dá)到期望的風(fēng)險(xiǎn)管理控制。

（2）由于在信息風(fēng)險(xiǎn)管理系統(tǒng)的信息采集還處于半自動(dòng)化階段，人工的信息采集過(guò)程會(huì)導(dǎo)致人為造成的錯(cuò)誤。

（3）ISO/IEC 27002系統(tǒng)為企業(yè)信息安全管理提供非常好的方法和指南，但由于缺乏合適的工具進(jìn)行管理，無(wú)法很好解決企業(yè)信息安全。

（4）我們需要注意SOA自身的可靠性和安全性問(wèn)題。

2 信息安全體系結(jié)構(gòu)的設(shè)計(jì)

根據(jù)上述問(wèn)題，提出本文的基于SOA的信息安全體系的設(shè)計(jì)。

通過(guò)研究，我們提出了一個(gè)面向服務(wù)架構(gòu)的企業(yè)信息安全體系結(jié)構(gòu)，它是底層基于數(shù)據(jù)倉(cāng)庫(kù)/數(shù)據(jù)集市技術(shù)，并以安全服務(wù)總線作為hub，為企業(yè)信息安全活動(dòng)提供集成信息安全的管理和有效的控制，使用BPM（企業(yè)過(guò)程管理）、規(guī)則引擎（Rule Engine，RE）和，企業(yè)智能（Business Intelligence，BI）技術(shù)。它有益于企業(yè)公司達(dá)到需要的信息安全管理級(jí)別。并且建立一個(gè)PDCA（Plan-Do-Check-Act）適配器，以確保信息安全管理和風(fēng)險(xiǎn)控制活動(dòng)，能夠進(jìn)行自我優(yōu)化。

2.1 體系結(jié)構(gòu)的結(jié)構(gòu)

參考七層OSI設(shè)計(jì)，我們?cè)O(shè)計(jì)了五層的智能企業(yè)信息安全體系結(jié)構(gòu)。自下向上為安全數(shù)據(jù)庫(kù)層、安全應(yīng)用層、安全服務(wù)總線、集成和智能層、信息安全框架。

（圖1）說(shuō)明了智能企業(yè)信息安全體系結(jié)構(gòu)的結(jié)構(gòu)。

（1）安全數(shù)據(jù)層。體系結(jié)構(gòu)的底層是整個(gè)體系結(jié)構(gòu)的基礎(chǔ)層。這是因?yàn)榘踩珨?shù)據(jù)易于被其它應(yīng)用和服務(wù)使用。這一層的數(shù)據(jù)被分為兩個(gè)部分：操作數(shù)據(jù)和分析數(shù)據(jù)。

（2）安全應(yīng)用層。應(yīng)用層包括所有的信息安全系統(tǒng)，如防火墻、入侵防御系統(tǒng)、反病毒系統(tǒng)，以及被防護(hù)的設(shè)備，如網(wǎng)絡(luò)設(shè)備、服務(wù)器和桌面環(huán)境等。它也包括這些系統(tǒng)上的各種各樣的操作系統(tǒng)。

（3）安全服務(wù)總線。是基于SOA的信息安全體系結(jié)構(gòu)的中樞。我們?cè)谶@一層定義SOA服務(wù)總線的結(jié)構(gòu)和需要的各種各樣的信息安全服務(wù)。在面向服務(wù)的信息安全體系結(jié)構(gòu)中，我們能夠?qū)?dāng)前和未來(lái)的安全需求定義為安全服務(wù)，但這些服務(wù)的實(shí)現(xiàn)是隱藏的。

（4）集成&智能層。體系結(jié)構(gòu)中數(shù)據(jù)、過(guò)程和應(yīng)用都是在這一層進(jìn)行處理實(shí)現(xiàn)的，解決一個(gè)企業(yè)各種業(yè)務(wù)問(wèn)題，滿足快速變化的環(huán)境。集成層具有“應(yīng)用之間”和“過(guò)程之間”進(jìn)行通信的能力，通過(guò)適配器，它還能夠與其他企業(yè)過(guò)程、服務(wù)提供者或數(shù)據(jù)提供者通信。

（5）信息安全輔助設(shè)計(jì)。這是信息安全對(duì)外的接口，主要是由勻衡器、關(guān)鍵風(fēng)險(xiǎn)指示儀以及監(jiān)控接口。

企業(yè)智能模型提供各種各樣的服務(wù)，例如報(bào)告、查詢、OLAP、數(shù)據(jù)挖掘和多維分析。規(guī)則引擎，作為工作流的一部分，可以結(jié)合到BPM模型。因?yàn)橛辛艘?guī)則引擎，我們能夠更加有效地執(zhí)行信息安全管理和風(fēng)險(xiǎn)控制。PDCA適配器是一個(gè)特殊的工具，它利用人工智能能夠幫助公司達(dá)到信息安全管理中持續(xù)提高和自我優(yōu)化的目標(biāo)。

2.2 特點(diǎn)和優(yōu)勢(shì)

本文提出的企業(yè)信息安全體系結(jié)構(gòu)具有以下特點(diǎn)。

（1）集成。它也能夠?qū)⑿畔踩芾砗惋L(fēng)險(xiǎn)控制聯(lián)合起來(lái)作為一個(gè)集成的框架。

（2）可復(fù)用。體系結(jié)構(gòu)是比較獨(dú)立的，適合于企業(yè)和小型組織。服務(wù)的封裝使得可復(fù)用，與其他服務(wù)聯(lián)合使用。

（3）面向服務(wù)的體系結(jié)構(gòu)。SOA體系機(jī)構(gòu)的采用提供了服務(wù)的獨(dú)立性、自我管理和自我彈性。

（4）集成的數(shù)據(jù)環(huán)境。集成的數(shù)據(jù)結(jié)構(gòu)使之適合于各種數(shù)據(jù)庫(kù)進(jìn)行對(duì)接。

（5）企業(yè)智能。這個(gè)體系結(jié)構(gòu)將企業(yè)智能應(yīng)用到信息安全管理，信息安全管理主要使用了數(shù)據(jù)挖掘和模式識(shí)別技術(shù)。這可以大大減少由于人工誤操作引起的損失，增強(qiáng)信息安全管理和風(fēng)險(xiǎn)控制操作。

（6）開(kāi)放的體系結(jié)構(gòu)。體系結(jié)構(gòu)開(kāi)放設(shè)計(jì)，以滿足整個(gè)企業(yè)的安全需求；面向服務(wù)的特征使得體系結(jié)構(gòu)式開(kāi)放的，允許多個(gè)接口與外部應(yīng)用通信。

3 結(jié)論

與傳統(tǒng)的信息安全體系結(jié)構(gòu)設(shè)計(jì)相比，本文提出的體系結(jié)構(gòu)設(shè)計(jì)具有幾個(gè)優(yōu)勢(shì)，包括開(kāi)放、集成、可復(fù)用、面向服務(wù)、集成數(shù)據(jù)平臺(tái)和商業(yè)智能。信息安全管理人員可以自由地執(zhí)行重要的任務(wù)，如風(fēng)險(xiǎn)分析等。最后，這個(gè)體系結(jié)構(gòu)式我們建立集成和智能企業(yè)信息安全體系結(jié)構(gòu)的開(kāi)端，以后會(huì)有更多的、更好的產(chǎn)品出現(xiàn)。

參考文獻(xiàn)

[1] 魏東，陳曉江，房鼎益，等.基于SOA體系結(jié)構(gòu)的軟件開(kāi)發(fā)方法研究[J].微電子學(xué)與計(jì)算機(jī)，2005，22（6）：73-76.

[2] 葉宇風(fēng).基于SOA的企業(yè)應(yīng)用集成研究[J].微電子學(xué)與計(jì)算機(jī)，2006，23（5）：211-213.

[3] 雷冬艷.SOA環(huán)境下的數(shù)字圖書(shū)館信息安全研究[J].科教文匯，2010（33）：189-190.

[4] 李益文.基于SOA的商業(yè)系統(tǒng)的信息安全技術(shù)探討[J].電腦編程技巧與維護(hù)，2010（20）：114-115，154.

篇2

【關(guān)鍵詞】企業(yè)信息化；信息安全問(wèn)題；原因；對(duì)策

新時(shí)期下，信息化技術(shù)在各行業(yè)中運(yùn)用日漸深入，給企業(yè)現(xiàn)代化建設(shè)與快速發(fā)展帶來(lái)了無(wú)限動(dòng)力。企業(yè)信息化建設(shè)已成為我國(guó)經(jīng)濟(jì)信息化建設(shè)能否成功的關(guān)鍵所在，也是提升企業(yè)自身市場(chǎng)競(jìng)爭(zhēng)力與企業(yè)升級(jí)進(jìn)步的重要保證和標(biāo)志[1]。但是，企業(yè)信息化建設(shè)過(guò)程中不可避免的出現(xiàn)信息安全問(wèn)題，給企業(yè)正常生產(chǎn)經(jīng)營(yíng)帶來(lái)諸多不利影響。因此，加強(qiáng)企業(yè)信息化建設(shè)中信息安全管理，已成為現(xiàn)代企業(yè)經(jīng)營(yíng)管理的一個(gè)至關(guān)重要的工作。

1企業(yè)信息化概述

所謂的企業(yè)信息化，指的是實(shí)現(xiàn)企業(yè)的資金流、物流、作業(yè)流、信息流的數(shù)字化、網(wǎng)絡(luò)化管理，實(shí)行企業(yè)運(yùn)行的自動(dòng)化和企業(yè)制度的現(xiàn)代化[2]。企業(yè)信息化建設(shè)涉及了企業(yè)生產(chǎn)經(jīng)營(yíng)中的各個(gè)部門(mén)，其主要利用現(xiàn)代化信息技術(shù)，通過(guò)完善企業(yè)內(nèi)外網(wǎng)絡(luò)信息系統(tǒng)，實(shí)現(xiàn)對(duì)企業(yè)內(nèi)外知識(shí)與信息資源的開(kāi)發(fā)。可見(jiàn)，建設(shè)企業(yè)信息化體系，不但可以及時(shí)有效的提供各種數(shù)據(jù)信息給企業(yè)決策層，也為企業(yè)未來(lái)規(guī)劃設(shè)計(jì)提供參考依據(jù)，而且還有利于企業(yè)滿足瞬息萬(wàn)變的市場(chǎng)需求，為企業(yè)市場(chǎng)核心競(jìng)爭(zhēng)力的提升帶來(lái)動(dòng)力。

2當(dāng)前企業(yè)信息化建設(shè)中信息安全問(wèn)題

企業(yè)信息化建設(shè)與發(fā)展為企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展發(fā)揮了顯著作用，但同時(shí)也存在著諸多信息安全問(wèn)題，具體分析主要有以下幾方面[3]：（1）當(dāng)前，絕大多數(shù)企業(yè)缺乏完善的安全防御系統(tǒng)，導(dǎo)致企業(yè)內(nèi)部使用的信息系統(tǒng)易遭受外部網(wǎng)絡(luò)系統(tǒng)的攻擊，引發(fā)企業(yè)信息資料被他人截獲、篡改與偽造等問(wèn)題，甚至企業(yè)信息系統(tǒng)中出現(xiàn)通信線路、硬盤(pán)設(shè)施以及其他文件系統(tǒng)遭惡意破壞現(xiàn)象，上述問(wèn)題的發(fā)生不但致使企業(yè)信息系統(tǒng)無(wú)法正常運(yùn)行，而且其內(nèi)部機(jī)密信息易發(fā)生泄漏，造成企業(yè)嚴(yán)重的社會(huì)經(jīng)濟(jì)損失。（2）針對(duì)郵件系統(tǒng)攻擊防不甚防。在企業(yè)信息系統(tǒng)中電子郵件具有重要的作用，通過(guò)電子郵件接收與傳送，極大的方便了企業(yè)內(nèi)部間與外部間信息交流與溝通。然而，電子郵件安全問(wèn)題也日益突出，典型的如電子郵件病毒、垃圾郵件、機(jī)密信息泄露以及電子郵件炸彈等，給企業(yè)信息傳輸帶來(lái)了巨大安全隱患。因此，電子郵件安全問(wèn)題不可忽視。（3）漏洞攻擊日益嚴(yán)重。按照漏洞問(wèn)題發(fā)生原因可分為軟件漏洞和協(xié)議漏洞兩種，其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞，造成企業(yè)信息泄露等問(wèn)題；而協(xié)議漏洞則主要是由于TCP/IP協(xié)議自身在安全機(jī)制方面存在的諸多漏洞問(wèn)題導(dǎo)致，外部不法人員通過(guò)攻擊TCP/IP協(xié)議漏洞，致使企業(yè)信息系統(tǒng)遭受破壞。目前情況，很多企業(yè)對(duì)自身信息系統(tǒng)缺乏成熟的漏洞檢測(cè)手段和能力，往往事發(fā)后才采取補(bǔ)救措施。（4）是Web服務(wù)安全問(wèn)題突出，根據(jù)Web服務(wù)流程，其發(fā)生安全問(wèn)題的主要組成包括Web服務(wù)端安全問(wèn)題、瀏覽器客戶端安全問(wèn)題兩種。其中，Web服務(wù)端安全問(wèn)題主要是企業(yè)Web主機(jī)遭受外部不法分子侵入，導(dǎo)致企業(yè)保密信息遭竊或者企業(yè)部分信息遭受非法篡改等；瀏覽器客戶端安全問(wèn)題則是企業(yè)瀏覽器客戶端遭外部非法分子侵入，致使部分機(jī)密信息與數(shù)據(jù)遭竊等。

3導(dǎo)致企業(yè)信息化建設(shè)中信息安全問(wèn)題因素

企業(yè)信息化建設(shè)中信息安全問(wèn)題發(fā)生受諸多因素影響，具體分析主要有以下幾方面[4]：（1）目前，絕大多數(shù)企業(yè)在信息化建設(shè)過(guò)程中，對(duì)于信息安全問(wèn)題重視度嚴(yán)重不足。一方面，受傳統(tǒng)經(jīng)營(yíng)觀念影響，企業(yè)管理層偏重于對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)中的有形資產(chǎn)給予關(guān)注與重視，而忽略了企業(yè)知識(shí)與信息資料等無(wú)形資源，導(dǎo)致在企業(yè)信息安全管理方面各項(xiàng)投入嚴(yán)重不足，進(jìn)而造成信息安全問(wèn)題日益凸顯；另一方面，多數(shù)企業(yè)在面對(duì)信息安全問(wèn)題時(shí)，存在著盲目樂(lè)觀現(xiàn)象，認(rèn)為信息安全問(wèn)題不至于導(dǎo)致企業(yè)正常生產(chǎn)經(jīng)營(yíng)，使得信息安全管理無(wú)法上升至企業(yè)發(fā)展規(guī)劃戰(zhàn)略之中，進(jìn)而造成信息安全問(wèn)題得不到及時(shí)有效解決。（2）由于企業(yè)信息化建設(shè)在我國(guó)尚處于起步階段，各方面配套管理制度不夠完善，特別是缺乏健全的企業(yè)信息安全管理體制。受此影響，企業(yè)信息化建設(shè)中信息安全問(wèn)題一方面無(wú)法得到有效的預(yù)防措施，另一方面是一旦發(fā)生信息安全問(wèn)題，無(wú)法采取及時(shí)有效的補(bǔ)救與解決對(duì)策。同時(shí)，由于缺乏科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略，使得企業(yè)信息管理人員缺乏必要的安全防護(hù)意識(shí)與業(yè)務(wù)素質(zhì)能力，致使企業(yè)信息安全防護(hù)軟硬件工作質(zhì)量與效率明顯不足。上述兩個(gè)因素，導(dǎo)致企業(yè)無(wú)論是從人員配置，還是資金與技術(shù)投入方面都嚴(yán)重不足，受企業(yè)信息管理人員業(yè)務(wù)素質(zhì)能力不足、信息安全技術(shù)方法落后以及配套的資金缺乏等影響，企業(yè)信息安全防護(hù)的措施、手段偏低，造成企業(yè)信息化建設(shè)存在著嚴(yán)重安全隱患。

4提升企業(yè)信息化建設(shè)中信息安全對(duì)策

針對(duì)當(dāng)前企業(yè)信息化建設(shè)中存在的信息安全問(wèn)題，為加強(qiáng)企業(yè)信息安全管理，提升企業(yè)信息安全保障，可通過(guò)采取以下幾方面對(duì)策，具體有[5]：（1）轉(zhuǎn)變傳統(tǒng)企業(yè)信息化建設(shè)觀念，在企業(yè)內(nèi)部管理層從上至下加強(qiáng)對(duì)企業(yè)信息安全的重視，并樹(shù)立正確的安全意識(shí)。一方面，通過(guò)組織各種信息安全管理培訓(xùn)等，增強(qiáng)全體企業(yè)員工信息安全意識(shí)，確保企業(yè)保密信息不外漏；另一方面，逐步加大企業(yè)信息化建設(shè)中信息安全管理各項(xiàng)資金、技術(shù)、人力投入，并建立科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略，保障企業(yè)信息系統(tǒng)安全穩(wěn)定。（2）不斷的推進(jìn)網(wǎng)絡(luò)信息技術(shù)的發(fā)展與運(yùn)用，促進(jìn)企業(yè)組織結(jié)構(gòu)網(wǎng)絡(luò)化的實(shí)現(xiàn)，同時(shí)引進(jìn)先進(jìn)的安全防護(hù)技術(shù)，確保企業(yè)信息化系統(tǒng)安全穩(wěn)定運(yùn)行。任何網(wǎng)絡(luò)信息系統(tǒng)都存在著或大或小的安全漏洞問(wèn)題，而保證其不受外部不法分子侵入的一個(gè)關(guān)鍵方法就是安全防護(hù)技術(shù)的運(yùn)用。通過(guò)選用先進(jìn)的安全防護(hù)技術(shù)，可以有效的提高企業(yè)信息系統(tǒng)抵抗外來(lái)攻擊，避免企業(yè)信息遭受竊取、篡改甚至破壞等，對(duì)于保障企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有顯著作用。（3）結(jié)合企業(yè)信息化建設(shè)實(shí)際情況，建立健全企業(yè)內(nèi)部信息系統(tǒng)管理體制。一方面，針對(duì)信息安全問(wèn)題，應(yīng)建立科學(xué)、合理、規(guī)范的信息安全管理體制，保證企業(yè)信息系統(tǒng)安全運(yùn)行；另一方面，建立健全企業(yè)安全風(fēng)險(xiǎn)評(píng)估機(jī)制，針對(duì)不同系統(tǒng)找出影響其安全的因素和漏洞，并制定出最佳的對(duì)策，降低企業(yè)信息安全風(fēng)險(xiǎn)；此外，加強(qiáng)相應(yīng)的網(wǎng)絡(luò)管理，防止外來(lái)不法分子通過(guò)網(wǎng)絡(luò)侵入企業(yè)信息系統(tǒng)。（4）根據(jù)新時(shí)期企業(yè)信息化建設(shè)需要，加強(qiáng)企業(yè)信息技術(shù)人才、信息管理人才隊(duì)伍建設(shè)，為企業(yè)信息安全管理奠定堅(jiān)實(shí)的人才基礎(chǔ)。一方面，在企業(yè)內(nèi)部，加強(qiáng)信息技術(shù)人才培訓(xùn)，提高企業(yè)內(nèi)部相關(guān)人才業(yè)務(wù)素質(zhì)能力；另一方面，在企業(yè)外部，采取有效措施，積極招聘人才，引進(jìn)具有先進(jìn)信息技術(shù)型人才；此外，建立健全企業(yè)信息安全管理用人機(jī)制，激發(fā)員工工作積極性，提高工作質(zhì)量與效率。

5小結(jié)

總而言之，企業(yè)信息安全事關(guān)企業(yè)信息化建設(shè)是否成功，對(duì)于企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有至關(guān)重要的作用。因此，應(yīng)提高企業(yè)信息安全管理意識(shí)，增強(qiáng)企業(yè)信息安全管理機(jī)制，促進(jìn)企業(yè)信息安全管理工作質(zhì)量與效率，保障企業(yè)信息化建設(shè)順利開(kāi)展。

作者:吳捷 單位:中海石油氣電集團(tuán)有限責(zé)任公司

參考文獻(xiàn)

[1]毛志勇.企業(yè)信息化建設(shè)的信息安全形勢(shì)與對(duì)策研究[J].科技與產(chǎn)業(yè)，2008，8，（1）：43~45.

[2]纂振法，徐福緣.淺析企業(yè)信息化建設(shè)的意義、問(wèn)題與對(duì)策[J].吉林省經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào)，2001，3：24~28.

[3]謝志宏.企業(yè)信息化建設(shè)中的信息安全問(wèn)題研究[J].企業(yè)導(dǎo)報(bào)，2014（06）：132~133.

篇3

關(guān)鍵詞：電力企業(yè)；信息安全；管控平臺(tái)；初步設(shè)計(jì)

中圖分類(lèi)號(hào)：TP31 文獻(xiàn)標(biāo)識(shí)碼：A

隨著我國(guó)社會(huì)經(jīng)濟(jì)不斷地發(fā)展，人們的生活水平不斷地提高，我國(guó)電力企業(yè)得到高速發(fā)展，為滿足人們所提出的高要求，適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)體制的發(fā)展，電力企業(yè)必須轉(zhuǎn)變管理模式，采用現(xiàn)代化的管理手段，以尋求更好的發(fā)展。如今，計(jì)算機(jī)信息技術(shù)已被廣泛應(yīng)用于社會(huì)各個(gè)領(lǐng)域中，具有重要的作用。電力企業(yè)在發(fā)展過(guò)程中，其規(guī)模越來(lái)越大，信息化的應(yīng)用也有所突破，但仍然存在問(wèn)題。為使信息化技術(shù)在電力企業(yè)中得到高效的應(yīng)用，保障電力企業(yè)的信息安全，則必須建設(shè)電力企業(yè)信息安全管控平臺(tái)，以有效的控制電力企業(yè)的信息，充分發(fā)揮管控平臺(tái)的功能。

一、創(chuàng)建電力企業(yè)信息安全管控平臺(tái)的重要性

隨著我國(guó)電力企業(yè)的蓬勃發(fā)展，其經(jīng)營(yíng)規(guī)模越來(lái)越大，在企業(yè)中充分利用信息技術(shù)，以使電力企業(yè)具有時(shí)代特點(diǎn)。近幾年，計(jì)算機(jī)信息網(wǎng)絡(luò)技術(shù)不斷地改進(jìn)和完善，逐漸成為我國(guó)社會(huì)生活生產(chǎn)中不可或缺的一部分，其在電力企業(yè)中的應(yīng)用推動(dòng)了電力企業(yè)的現(xiàn)代化發(fā)展，但與此同時(shí)其也為電力企業(yè)的信息安全帶來(lái)了挑戰(zhàn)?，F(xiàn)階段，電力企業(yè)的信息安全問(wèn)題已成為其發(fā)展過(guò)程中的亟待解決的重要研究課題。在電力企業(yè)中，由于其各級(jí)別的單位難以解決網(wǎng)絡(luò)分散性問(wèn)題，無(wú)法有效地規(guī)避信息安全事件所帶來(lái)的高風(fēng)險(xiǎn)。在電力企業(yè)管理中無(wú)法全面的掌握企業(yè)信息安全狀況，缺少可靠的依據(jù)來(lái)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作，未能進(jìn)行實(shí)時(shí)跟蹤監(jiān)督，導(dǎo)致其難以制定科學(xué)的安全預(yù)警方案。鑒于這種情況，電力企業(yè)必須加強(qiáng)內(nèi)部控制管理，做好事前預(yù)防、事中控制和事后監(jiān)督。為實(shí)現(xiàn)有效的電力企業(yè)現(xiàn)代管理，必須創(chuàng)建具有實(shí)用性的電力企業(yè)信息安全管控平臺(tái)。這個(gè)平臺(tái)能讓電力企業(yè)實(shí)施可靠的安全監(jiān)督，進(jìn)行合理的安全預(yù)警工作，可促使電力企業(yè)做好風(fēng)險(xiǎn)評(píng)估工作，開(kāi)展高效的監(jiān)督工作，對(duì)企業(yè)信息進(jìn)行統(tǒng)一管理，以建立完善的信息安全風(fēng)險(xiǎn)管理體系，從而提高電力企業(yè)信息安全管理水平。

二、電力企業(yè)信息安全管控平臺(tái)的初步設(shè)計(jì)

1電力企業(yè)信息安全管控平臺(tái)的設(shè)計(jì)原則

在設(shè)計(jì)電力企業(yè)信息安全管控平臺(tái)時(shí)，要遵循以下原則：首先，所創(chuàng)建的信息安全管控平臺(tái)必須滿足電力企業(yè)發(fā)展的需求，要以現(xiàn)代電力企業(yè)的管理體制為依據(jù)來(lái)創(chuàng)建，以保障信息安全管控平臺(tái)的可實(shí)行性；其次，電力企業(yè)信息安全管控平臺(tái)的設(shè)計(jì)需要先進(jìn)的技術(shù)措施和科學(xué)的管理方法來(lái)支持，因而設(shè)計(jì)前，必須慎重的選擇技術(shù)和管理的實(shí)現(xiàn)方式；最后，電力企業(yè)所創(chuàng)建的信息安全管控平臺(tái)，其自身必須具有一定的安全性，為平臺(tái)在企業(yè)中的應(yīng)用提供重要的保障。除此之外，在信息安全管控平臺(tái)的設(shè)計(jì)過(guò)程中，要先了解平臺(tái)工具的特殊性能，并以此為基礎(chǔ)來(lái)設(shè)計(jì)與之配套的功能服務(wù)，例如數(shù)據(jù)初始化，以保障信息安全管控平臺(tái)的順利運(yùn)行。

2根據(jù)不同的角色來(lái)設(shè)計(jì)管控平臺(tái)

電力企業(yè)信息安全管控平臺(tái)的建設(shè)，必須與其企業(yè)的組織結(jié)構(gòu)相配合。在設(shè)計(jì)管控平臺(tái)的時(shí)候，應(yīng)該對(duì)不同角色的職能需求進(jìn)行分析。對(duì)于上級(jí)信息安全主管單位，其所需要的是能全面掌握信息安全的動(dòng)態(tài)，了解信息系統(tǒng)安全的狀況，做好網(wǎng)絡(luò)環(huán)境評(píng)估工作，主要功能是協(xié)調(diào)和監(jiān)督；對(duì)于本地信息安全實(shí)施單位和主管單位，前者主要是設(shè)立安全運(yùn)維人員等人來(lái)保障解本地信息安全，而后者則是全面了解企業(yè)信息安全狀況并且進(jìn)行有效的細(xì)條；對(duì)外部信息安全支持單位，其主要是負(fù)責(zé)對(duì)企業(yè)信息安全實(shí)施監(jiān)督和控制，以做好應(yīng)急工作；對(duì)于應(yīng)急聯(lián)動(dòng)和專(zhuān)家機(jī)構(gòu)，其職責(zé)在于為企業(yè)信息的安全提供技術(shù)保障。

3信息安全管控平臺(tái)在電力企業(yè)中的實(shí)現(xiàn)

信息安全管控平臺(tái)在電力企業(yè)中運(yùn)行時(shí)，主要分為這幾個(gè)模塊：第一，基礎(chǔ)安全數(shù)據(jù)管理模塊，這一部分主要是的對(duì)企業(yè)信息系統(tǒng)中所產(chǎn)生的各類(lèi)數(shù)據(jù)，如服務(wù)器的基本信息，安全配置知識(shí)庫(kù)等數(shù)據(jù)資料進(jìn)行整合和儲(chǔ)存，具有查詢和修改的功能；第二，預(yù)案管理模塊，這一部分主要是用來(lái)對(duì)電力企業(yè)中的各級(jí)單位進(jìn)行原的編制、和更新等。值得注意的是要為應(yīng)急預(yù)案編制工作和審批制定統(tǒng)一的標(biāo)準(zhǔn)，加以規(guī)范。在預(yù)案管理部分，可充分利用工作流引擎來(lái)執(zhí)行應(yīng)急預(yù)案，以突出應(yīng)急預(yù)案的作用和其有效性；第三，風(fēng)險(xiǎn)評(píng)估模塊，在這一部分主要是為信息安全風(fēng)險(xiǎn)評(píng)估工作提供可靠的數(shù)據(jù)信息作為依據(jù)，以根據(jù)矩陣型風(fēng)險(xiǎn)計(jì)算方式計(jì)算出風(fēng)險(xiǎn)，并制定出相應(yīng)措施；第四，業(yè)務(wù)影響分析模塊，這一部分的功能與風(fēng)險(xiǎn)評(píng)估模塊的職責(zé)差不多，也是響應(yīng)急預(yù)案提供有效信息，但是其在此過(guò)程中還必須注意信息系統(tǒng)業(yè)務(wù)之間的不同之處；第五部分是公告管理模塊，這一部分主要是提供瀏覽、查閱和管理等功能；第六。預(yù)警管理模塊，由兩個(gè)部分組成，一個(gè)是漏洞預(yù)警管理，另一個(gè)則是威脅預(yù)警管理，這兩個(gè)部分的級(jí)別分別是高、中、低；第七，安全事件管理模塊，這一部分是對(duì)信息安全事件進(jìn)行處理；第八，信息安全狀況監(jiān)視模塊，包括了宏觀態(tài)勢(shì)監(jiān)視和應(yīng)急監(jiān)視。

結(jié)語(yǔ)

在電力企業(yè)中建立信息安全管控平臺(tái)，是保障電力企業(yè)信息安全的重要途徑，具有重要意義。電力企業(yè)信息安全管控平臺(tái)的建設(shè)是為了加強(qiáng)電力企業(yè)信息化程度，必須科學(xué)的制定設(shè)計(jì)方案，使其符合現(xiàn)階段電力企業(yè)的發(fā)展現(xiàn)狀和電力企業(yè)的發(fā)展特點(diǎn)。在電力企業(yè)中運(yùn)行信息安全管控平臺(tái)，有利于及時(shí)發(fā)現(xiàn)信息安全中存在的問(wèn)題，并加以解決，能確保企業(yè)信息的真實(shí)性、完整性和有效性。這種信息安全管控平臺(tái)的創(chuàng)建有其必要性，對(duì)電力企業(yè)的發(fā)展起到重要的影響作用，必須予以高度重視?？偠灾?，對(duì)電力企業(yè)信息安全管控平臺(tái)的研究具有重要的意義，而這一平臺(tái)的運(yùn)行則具有較高的使用價(jià)值。

參考文獻(xiàn)

[1]樊凱.電力企業(yè)信息安全管控平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代計(jì)算機(jī)：下半月版，2012（17） .

[2]李正忠.電力企業(yè)信息安全網(wǎng)絡(luò)建設(shè)原則與實(shí)踐[J].中國(guó)新通信，2013（9） .

篇4

關(guān)鍵詞：企業(yè)信息；安全；網(wǎng)絡(luò)；信息技術(shù)

中圖分類(lèi)號(hào)：TP393.08

隨著信息化建設(shè)的不斷深入，企業(yè)對(duì)網(wǎng)絡(luò)信息系統(tǒng)的依賴性越來(lái)越強(qiáng)，幾乎所有的工作內(nèi)容以及數(shù)據(jù)都存儲(chǔ)在網(wǎng)絡(luò)中。然而由于網(wǎng)絡(luò)具有開(kāi)放性，因此企業(yè)的信息存在著極大的安全隱患問(wèn)題。一旦信息被偷竊或泄露，將會(huì)給企業(yè)造成難以估量的損失。因此說(shuō)，保證企業(yè)信息安全具有極其重要的意義，它直接關(guān)系著整個(gè)企業(yè)的生產(chǎn)和經(jīng)營(yíng)。然而在實(shí)際的工作中，企業(yè)信息化仍然存在著一些問(wèn)題，直接影響著企業(yè)的信息安全。

1 企業(yè)信息化存在的隱患

隨著信息化的高速發(fā)展，為企業(yè)及社會(huì)帶來(lái)了顯而易見(jiàn)的效益：提高的工作效率、減少的紙張浪費(fèi)、快捷方便的通訊等等。但信息化也是一柄"雙刃劍"，尤其是在企業(yè)管理、商業(yè)保密等工作中，還存在著令人堪憂的隱患：

一是物理安全風(fēng)險(xiǎn)。物理安全風(fēng)險(xiǎn)包括計(jì)算機(jī)系統(tǒng)的設(shè)備、設(shè)施和信息面臨因自然災(zāi)害、環(huán)境事故（如斷電）、人為物理操作失誤以及不法分子進(jìn)行違法犯罪等風(fēng)險(xiǎn)。

二是數(shù)據(jù)安全風(fēng)險(xiǎn)。數(shù)據(jù)安全風(fēng)險(xiǎn)包括競(jìng)爭(zhēng)性業(yè)務(wù)的經(jīng)營(yíng)和管理數(shù)據(jù)泄漏，數(shù)據(jù)被人為惡意篡改或破壞等。

三是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)包括病毒造成網(wǎng)絡(luò)癱瘓與擁塞、內(nèi)部或外部人為惡意破壞造成網(wǎng)絡(luò)設(shè)備癱瘓、來(lái)自互聯(lián)網(wǎng)黑客的入侵威脅等。

2 保證企業(yè)信息安全的基本對(duì)策

2.1 正確認(rèn)識(shí)企業(yè)信息安全問(wèn)題

企業(yè)的信息安全問(wèn)題，絕不僅僅是一個(gè)僅靠防火墻、密碼等等技術(shù)就能解決的問(wèn)題，它還與人們的職業(yè)道德、社會(huì)道德以及企業(yè)管理等問(wèn)題密切相關(guān)。因此，在維護(hù)企業(yè)信息安全時(shí)，我們必須站在宏觀的角度對(duì)問(wèn)題進(jìn)行考慮。在過(guò)去看來(lái)，一個(gè)企業(yè)信息的安全問(wèn)題，是領(lǐng)導(dǎo)層或者IT單個(gè)部門(mén)的事情，但是憑少數(shù)人或部門(mén)的工作，對(duì)于保障公司的信息不被泄漏，防護(hù)信息存儲(chǔ)不被破壞、攻擊和偷盜是很難的事。筆者認(rèn)為，意識(shí)指導(dǎo)行動(dòng)，信息安全問(wèn)題首先要解決的是員工的思想認(rèn)識(shí)問(wèn)題，只有企業(yè)的每一個(gè)人都認(rèn)識(shí)到信息安全的重要性，才能在工作中自覺(jué)地維護(hù)信息安全。因?yàn)樵谌魏我粋€(gè)體系中，人都是最活躍、最具有影響力和決定意義的因素，因此對(duì)于企業(yè)的信息安全問(wèn)題而言，企業(yè)內(nèi)部員工才是保護(hù)信息安全的最可靠、最有效的重大保障。此外，還可以加強(qiáng)引進(jìn)信息安全技術(shù)人才以及信息安全管理人才，并在日常工作中，加強(qiáng)對(duì)隊(duì)伍專(zhuān)業(yè)知識(shí)以及工作技能的培訓(xùn)，從而為企業(yè)建設(shè)一支強(qiáng)有力的信息安全保衛(wèi)隊(duì)伍。

其次信息管理部門(mén)要全面作好專(zhuān)業(yè)技術(shù)支持與防范工作，根據(jù)業(yè)務(wù)的需求采取適當(dāng)?shù)谋Ｗo(hù)措施，實(shí)施專(zhuān)業(yè)應(yīng)用系統(tǒng)。例如，保護(hù)企業(yè)信息安全的技術(shù)可以采用主動(dòng)反擊、網(wǎng)絡(luò)入侵陷阱、密碼、取證、防火墻、安全服務(wù)、防病毒、可信服務(wù)、PKI 服務(wù)、身份識(shí)別、備份恢復(fù)、網(wǎng)絡(luò)隔離等等保護(hù)產(chǎn)品以及保護(hù)技術(shù)，通過(guò)確保信息安全的最大化，來(lái)實(shí)現(xiàn)企業(yè)生產(chǎn)經(jīng)營(yíng)持續(xù)發(fā)展以及經(jīng)濟(jì)效益的最大化。此外，還可以在工作的過(guò)程中，進(jìn)一步優(yōu)化企業(yè)信息安全管理，并進(jìn)行管理監(jiān)控以及安全風(fēng)險(xiǎn)評(píng)估，分析入侵防范、服務(wù)器架構(gòu)等等關(guān)鍵問(wèn)題，以全面性、多角度的掌控，確保企業(yè)信息系統(tǒng)的安全性、穩(wěn)定性，因?yàn)樾畔踩珕?wèn)題不具有靜態(tài)性，信息管理始終處在一個(gè)不停變動(dòng)的動(dòng)態(tài)性過(guò)程，因此即使我們不可能確保信息的絕對(duì)安全，也必須做到相對(duì)安全，從而最大限度的降低企業(yè)風(fēng)險(xiǎn)。

2.2 建立健全信息安全管理制度

信息安全不僅是技術(shù)問(wèn)題，更主要是管理問(wèn)題。任何技術(shù)措施只能起到增強(qiáng)信息安全防范能力的作用，俗話說(shuō)“三分技術(shù)，七分管理”，只有良好的管理工作才能使保障技術(shù)措施得到充分發(fā)揮，是能否對(duì)信息網(wǎng)絡(luò)實(shí)施有效信息安全保障的關(guān)鍵。現(xiàn)在中國(guó)石油股份有限公司內(nèi)控體系中涉及信息內(nèi)部控制的《信息系統(tǒng)總體控制辦法》（以下簡(jiǎn)稱“GCC”）就很好的涵蓋了信息安全的各個(gè)方面，包括了機(jī)房管理、服務(wù)器管理、網(wǎng)絡(luò)管理和系統(tǒng)管理等。因此在實(shí)際的工作中，我們可以通過(guò)“三步驟”來(lái)實(shí)現(xiàn)企業(yè)信息的安全管理制度的健全化、完善化。

第一，結(jié)合企業(yè)自身的實(shí)際，分析企業(yè)存在的問(wèn)題以及預(yù)期的目標(biāo)，制定具有科學(xué)性、合理性、實(shí)效性、可行性的信息安全管理制度，使保護(hù)信息安全工作做到有法可依，有章可循。第二，建立信息安全管理機(jī)構(gòu)，明晰信息安全管理負(fù)責(zé)人的職務(wù)和責(zé)任，并建立相應(yīng)的考核機(jī)制和激勵(lì)機(jī)制，以督促、鼓勵(lì)相關(guān)負(fù)責(zé)人的工作，提高信息管理工作質(zhì)量。第三，真正貫徹管理措施，加強(qiáng)制度的執(zhí)行力度，只有這樣，才能從根本上實(shí)現(xiàn)管理工作以及工作目標(biāo)，最終提高企業(yè)的信息安全管理水平。

3 加強(qiáng)企業(yè)信息安全保障的幾點(diǎn)措施

如何有效地解決企業(yè)信息安全的專(zhuān)業(yè)性管理與技術(shù)性防范，筆者認(rèn)為可從以下幾個(gè)方面著手。

3.1 實(shí)行嚴(yán)格的網(wǎng)絡(luò)管理

企業(yè)網(wǎng)與互聯(lián)網(wǎng)的物理隔離、防火墻設(shè)置以及端口限制，與互聯(lián)網(wǎng)相比安全性較高，但在日常運(yùn)行管理中我們?nèi)匀幻媾R網(wǎng)絡(luò)鏈路維護(hù)、違規(guī)使用網(wǎng)絡(luò)事件等問(wèn)題，具體而言：

一是在IP資源管理方面，采用IP+MAC捆綁的技術(shù)手段防止用戶隨意更改IP地址和隨意更換交換機(jī)上的端口。這樣，就不會(huì)出現(xiàn)IP地址被盜用而不能正常使用網(wǎng)絡(luò)的情況；二是在網(wǎng)絡(luò)流量監(jiān)測(cè)方面，使用網(wǎng)絡(luò)監(jiān)測(cè)軟件查看數(shù)據(jù)、視頻、語(yǔ)音等各種應(yīng)用的利用帶寬，防止頻繁進(jìn)行大文件的傳輸，甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。三是加強(qiáng)服務(wù)器管理。常見(jiàn)應(yīng)用服務(wù)器安裝的操作系統(tǒng)多為Windows Server，可利用其自帶的安全管理功能進(jìn)行設(shè)置，包括服務(wù)器安全審核、組策略實(shí)施、服務(wù)器的備份策略以及系統(tǒng)補(bǔ)丁更新等。

3.2 加強(qiáng)客戶端監(jiān)管

對(duì)大多數(shù)單位的網(wǎng)管來(lái)說(shuō)，客戶端的管理都是他們最頭痛的問(wèn)題。只有得力的措施才能解決這個(gè)問(wèn)題，這里推薦以下方法：

（1）將客戶端都加入到域中，使客戶端強(qiáng)制性納入管理員集中管理的范圍。

（2）只給用戶以普通域用戶的身份登錄到域，這樣就可以限制他們?cè)诒镜赜?jì)算機(jī)上安裝有安全隱患軟件的權(quán)利。

（3）實(shí)現(xiàn)客戶端操作系統(tǒng)補(bǔ)丁程序的自動(dòng)安裝。

（4）利用企業(yè)IT部門(mén)的工作職能，設(shè)置熱線幫助和技術(shù)支持人員，統(tǒng)一管理局域網(wǎng)內(nèi)各客戶端問(wèn)題。

3.3 堅(jiān)持進(jìn)行數(shù)據(jù)備份

由于應(yīng)用系統(tǒng)的加入，各種數(shù)據(jù)庫(kù)日趨增長(zhǎng)，如何確保數(shù)據(jù)在發(fā)生故障或?yàn)?zāi)難性事件情況下不丟失，是當(dāng)前面臨的一個(gè)難題。從成本及易操作性考慮，這里推薦以下兩種數(shù)據(jù)備份方法：一種是用硬盤(pán)進(jìn)行數(shù)據(jù)備份；另一種是采用本地磁盤(pán)陣列來(lái)分別實(shí)現(xiàn)各服務(wù)器的本地硬盤(pán)數(shù)據(jù)冗余。

3.4 采取有效病毒防治方式

SYMANTEC公司的Norton Antivirus企業(yè)版是一個(gè)可選軟件。在實(shí)施過(guò)程中，以一臺(tái)服務(wù)器作為父服務(wù)器，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中所有計(jì)算機(jī)的保護(hù)和監(jiān)控，并使用其中有效的管理功能，如： 管理員可以向客產(chǎn)端發(fā)送病毒警報(bào)、強(qiáng)制對(duì)遠(yuǎn)程客戶端進(jìn)行病毒掃描、鎖定遠(yuǎn)程客產(chǎn)端、病毒庫(kù)定期更新等。

參考文獻(xiàn)：

[1]丁佐峰.中小型企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)探究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2012（20）：33+37.

[2]胡大威.企業(yè)信息安全威脅及解決方案[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2012（13）：1-2

篇5

信息技術(shù)的飛速發(fā)展沖擊著各行各業(yè)，給全球房地產(chǎn)業(yè)也帶來(lái)一場(chǎng)深刻的變革和發(fā)展的契機(jī)。在政府的牽頭和推動(dòng)下，在房地產(chǎn)業(yè)各界積極參與和實(shí)踐下，中國(guó)房地產(chǎn)業(yè)已取得卓有成效的成果，呈現(xiàn)全面信息化的發(fā)展勢(shì)頭。具體表現(xiàn)在：

（1）房地產(chǎn)政務(wù)信息化成效顯著。

許多城市利用信息技術(shù)開(kāi)發(fā)了房地產(chǎn)政務(wù)管理軟件，有效地改進(jìn)了行政管理，提高了工作效率，完善了政府對(duì)房地產(chǎn)市場(chǎng)的監(jiān)控和預(yù)測(cè)能力。

（2）房地產(chǎn)企業(yè)信息化取得長(zhǎng)足進(jìn)展。

房地產(chǎn)經(jīng)營(yíng)方式開(kāi)始打上信息時(shí)代的烙印。一些房地產(chǎn)企業(yè)建立了企業(yè)內(nèi)部網(wǎng)站，提高了信息傳輸速度，加快了企業(yè)決策速度，提高了辦事效率。此外，各種針對(duì)房地產(chǎn)企業(yè)的計(jì)算機(jī)軟件，如房屋銷(xiāo)售軟件、物業(yè)管理軟件、租賃軟件、房地產(chǎn)可行性分析軟件、房地產(chǎn)開(kāi)發(fā)管理軟件等，也得到了廣泛的開(kāi)發(fā)和應(yīng)用。

（3）初步建立了房地產(chǎn)宏觀監(jiān)測(cè)系統(tǒng)。

為適應(yīng)我國(guó)房地產(chǎn)業(yè)發(fā)展的內(nèi)在要求，針對(duì)市場(chǎng)信息零散、盲目投資行為大量存在等狀況，我國(guó)已建立包括中房預(yù)警系統(tǒng)、中房指數(shù)、國(guó)房景氣指數(shù)等在內(nèi)的房地產(chǎn)宏觀監(jiān)測(cè)系統(tǒng)。

（4）智能化小區(qū)和網(wǎng)絡(luò)小區(qū)建設(shè)步伐加快。

近年來(lái)，住宅的智能化功能被列為評(píng)價(jià)樓盤(pán)綜合性能的不可缺少的一個(gè)重要指標(biāo)，智能化住宅已逐步進(jìn)入普通人的生活。社區(qū)提供與外界進(jìn)行數(shù)據(jù)交換的軟硬件設(shè)施和服務(wù)是家居功能向外拓展的必要條件。智能化的物業(yè)管理深入到各單位住宅，真正實(shí)現(xiàn)建筑智能化到社區(qū)管理的智能化。

（5）房地產(chǎn)網(wǎng)站發(fā)展迅速。

由于房地產(chǎn)業(yè)自身的行業(yè)特點(diǎn)，使其在網(wǎng)上具有更大的優(yōu)勢(shì)，房地產(chǎn)業(yè)各界都以最快的速度建立或準(zhǔn)備建立自己的網(wǎng)站，將網(wǎng)絡(luò)作為房地產(chǎn)信息的主要渠道。房地產(chǎn)網(wǎng)站建設(shè)提供了全天候、全方位市場(chǎng)服務(wù)的新模式，建立房地產(chǎn)在線咨詢服務(wù)系統(tǒng)，引入城市電子地圖，實(shí)現(xiàn)網(wǎng)上售樓，改變了傳統(tǒng)的購(gòu)房方式。同國(guó)外相比，我國(guó)房地產(chǎn)信息化整體水平較低，地區(qū)差異較大，東西部發(fā)展不平衡，仍存在諸多制約因素，還有很長(zhǎng)的路要走。但是，房地產(chǎn)業(yè)唯有實(shí)現(xiàn)信息化，唯有與網(wǎng)絡(luò)結(jié)合，才能煥發(fā)出新的活力。建立和完善房地產(chǎn)企業(yè)的網(wǎng)絡(luò)系統(tǒng)，實(shí)現(xiàn)總公司與下屬子公司之間的雙向溝通和信息共享。通過(guò)信息平臺(tái)的整合，為企業(yè)管理決策提供全方位、完整的信息數(shù)據(jù)，使企業(yè)的管理逐步走向信息化，建立企業(yè)網(wǎng)站，使其向房地產(chǎn)行業(yè)和管理信息服務(wù)方向轉(zhuǎn)化，加強(qiáng)與員工的溝通，將信息化手段應(yīng)用于具體管理工作的流程中。以國(guó)家信息化工作的指導(dǎo)方針“統(tǒng)一規(guī)劃、聯(lián)合建設(shè)、推廣應(yīng)用、發(fā)展產(chǎn)業(yè)、資源共享”為房地產(chǎn)企業(yè)信息化工作的指導(dǎo)思想，將房地產(chǎn)企業(yè)的管理全部數(shù)字化，充分利用先進(jìn)的信息技術(shù)，使本企業(yè)集團(tuán)形成一個(gè)管理對(duì)象數(shù)字化、管理專(zhuān)業(yè)網(wǎng)絡(luò)化、數(shù)據(jù)動(dòng)態(tài)實(shí)時(shí)化、管理決策科學(xué)化的現(xiàn)代企業(yè)，走一條結(jié)合自身特點(diǎn)，依托信息技術(shù)發(fā)展房地產(chǎn)信息化產(chǎn)業(yè)的振興之路。

二、企業(yè)信息安全防范

隨著企業(yè)信息化的發(fā)展，辦公自動(dòng)化、財(cái)務(wù)管理系統(tǒng)，企業(yè)相關(guān)業(yè)務(wù)系統(tǒng)等生產(chǎn)經(jīng)營(yíng)方面的重要系統(tǒng)投入在線運(yùn)行，越來(lái)越多的重要數(shù)據(jù)和機(jī)密信息都通過(guò)企業(yè)內(nèi)外部網(wǎng)絡(luò)來(lái)傳輸。這在提高生產(chǎn)效率和管理水平的同時(shí)，也帶來(lái)了不同以往的安全風(fēng)險(xiǎn)和問(wèn)題。通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)信息如被非法用戶截取，導(dǎo)致泄露企業(yè)機(jī)密；如被非法篡改，造成數(shù)據(jù)混亂，信息錯(cuò)誤，造成工作失誤等。另一方面，病毒感染造成網(wǎng)絡(luò)通信阻塞，系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞，系統(tǒng)無(wú)法提供服務(wù)甚至破壞后無(wú)法恢復(fù)，特別是系統(tǒng)中多年積累的重要數(shù)據(jù)丟失，對(duì)企業(yè)的生產(chǎn)管理以及經(jīng)濟(jì)效益等造成不可估量的損失。因此，如何保護(hù)企業(yè)機(jī)密，保障企業(yè)信息安全，成為企業(yè)信息化發(fā)展中需要面臨和解決的問(wèn)題，提上了企業(yè)的議事日程。企業(yè)信息安全管理即針對(duì)當(dāng)前企業(yè)面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等復(fù)雜的應(yīng)用環(huán)境制定相應(yīng)的防御措施，保護(hù)企業(yè)信息和企業(yè)信息系統(tǒng)不被未經(jīng)授權(quán)的訪問(wèn)、使用、泄露、中斷、修改和破壞，為企業(yè)信息和企業(yè)信息系統(tǒng)提供保密性、完整性、真實(shí)性、可用性、不可否認(rèn)。企業(yè)信息安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及技術(shù)、設(shè)備、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進(jìn)行把握。首先，企業(yè)必須根據(jù)實(shí)際情況全面做好安全風(fēng)險(xiǎn)評(píng)估。第二，采用信息安全新技術(shù)，建立信息安全防護(hù)體系。綜合各種計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)，將安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全掃描技術(shù)等綜合起來(lái)，形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護(hù)體系。企業(yè)根據(jù)自身信息系統(tǒng)建設(shè)和應(yīng)用的步伐，建立完整的信息安全防護(hù)體系，統(tǒng)籌規(guī)劃，分步實(shí)施。第三，管理和技術(shù)并重，技術(shù)與措施結(jié)合。根據(jù)信息安全策略，建立健全企業(yè)信息安全管理制度，制定相應(yīng)的安全標(biāo)準(zhǔn)，建立備份和恢復(fù)機(jī)制，提高安全管理水平。第四，充分利用企業(yè)網(wǎng)絡(luò)條件，提供全面，及時(shí)和快捷的信息安全服務(wù)。第五，信息安全是一個(gè)動(dòng)態(tài)過(guò)程，需要定期對(duì)信息安全狀況進(jìn)行評(píng)估，不斷改進(jìn)完善安全方案，調(diào)整安全策略。

三、總結(jié)

篇6

【關(guān)鍵詞】信息安全 管理 控制 構(gòu)建

1 企業(yè)信息安全的現(xiàn)狀

隨著企業(yè)信息化水平的提升，大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備，但信息安全防護(hù)理念還停留在防的階段，信息安全策略都是在安全事件發(fā)生后再補(bǔ)救，導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識(shí)不高，信息安全防護(hù)水平已經(jīng)越來(lái)越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。

2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則

企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則：

2.1 建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范，來(lái)保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善?；酒髽I(yè)信息安全管理過(guò)程包括：分析企業(yè)數(shù)字化資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等。

2.2 提高企業(yè)員工自身的信息安全防范意識(shí)

在企業(yè)信息化系統(tǒng)安全管理中，防護(hù)設(shè)備和防護(hù)策略只是其中的一部分，企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí)，絕對(duì)不能忽視對(duì)人的行為規(guī)范和績(jī)效管理。在企業(yè)實(shí)施企業(yè)信息安全前，應(yīng)制定企業(yè)員工信息安全行為規(guī)范，有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運(yùn)行，保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對(duì)員工進(jìn)行逐次的安全培訓(xùn)，強(qiáng)化企業(yè)員工對(duì)信息安全的概念，提升員工的安全意識(shí)。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求。

2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)

當(dāng)企業(yè)對(duì)自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí)，就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來(lái)支撐整個(gè)信息安全防護(hù)體系。對(duì)于安全防護(hù)技術(shù)來(lái)說(shuō)可以分為身份識(shí)別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識(shí)別的目的在于防止非企業(yè)人員訪問(wèn)企業(yè)資源，并且可以根據(jù)員工級(jí)別分配人員訪問(wèn)權(quán)限，達(dá)到企業(yè)敏感信息的安全保障。

3 企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設(shè)架構(gòu)，在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護(hù)體系時(shí)，我們需要重點(diǎn)關(guān)注以下幾個(gè)方面：

3.1 實(shí)施終端安全，規(guī)范終端用戶行為

在企業(yè)信息安全事件中，數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前，企業(yè)員工對(duì)自己的個(gè)人行為不規(guī)范，造成了員工可以通過(guò)很多方式實(shí)現(xiàn)信息外漏。比如通過(guò)U盤(pán)等存儲(chǔ)介質(zhì)拷貝或者通過(guò)聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對(duì)于這類(lèi)高危的行為，我們?cè)诮ㄔO(shè)安全防護(hù)體系時(shí)，僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺(tái)前，就對(duì)用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查，符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對(duì)員工的上網(wǎng)行為進(jìn)行審計(jì)，使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范，從終端用戶提升企業(yè)的防護(hù)水平。

3.2 建設(shè)安全完善的VPN接入平臺(tái)

企業(yè)在信息化建設(shè)中，考慮總部和分支機(jī)構(gòu)的信息化需要，必然會(huì)采用VPN方式來(lái)解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對(duì)于分支機(jī)構(gòu)可以考慮專(zhuān)用的VPN設(shè)備和總部進(jìn)行IPSec連接，這種方式更安全可靠穩(wěn)定。對(duì)于移動(dòng)終端的接入可以考慮SSL VPN方式。在這種情況下，就必須做好對(duì)于移動(dòng)終端的身份認(rèn)證識(shí)別。其實(shí)我們?cè)谠O(shè)備采購(gòu)時(shí)，可以要求設(shè)備商做好多種接入方式的需求，并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護(hù)，提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí)，要面對(duì)多個(gè)部門(mén)和分支結(jié)構(gòu)，合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為：物理層；數(shù)據(jù)鏈路層；網(wǎng)絡(luò)層；傳輸層；會(huì)話層；表示層；應(yīng)用層。各體系之間的相互隔離和訪問(wèn)策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下，根據(jù)企業(yè)安全優(yōu)先級(jí)及面臨的風(fēng)險(xiǎn)程度，做出適合企業(yè)信息安全的防護(hù)策略和訪問(wèn)控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù)，真正實(shí)現(xiàn)OSI的L2～L7層的安全防護(hù)。

3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理

為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系，重要的優(yōu)勢(shì)就是能實(shí)現(xiàn)對(duì)全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理，做到對(duì)整個(gè)網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購(gòu)的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志，如果單靠相關(guān)人員的識(shí)別日志既費(fèi)時(shí)效率又低。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí)，企業(yè)管理員很難實(shí)現(xiàn)對(duì)信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí)，就必須要考慮安全設(shè)備日志之間的統(tǒng)一化，設(shè)定相應(yīng)的訪問(wèn)控制和安全策略實(shí)現(xiàn)日志的歸類(lèi)分析。這樣才能做到對(duì)全網(wǎng)安全事件的“可視、可控和可管”。

4 結(jié)束語(yǔ)

信息安全的主要內(nèi)容就是保護(hù)企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實(shí)施信息安全防護(hù)過(guò)程中是一個(gè)長(zhǎng)期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護(hù)規(guī)劃，實(shí)施過(guò)程中根據(jù)不斷出現(xiàn)的情況及時(shí)調(diào)整安全策略和訪問(wèn)控制，保證備份數(shù)據(jù)的安全性可靠性。同時(shí)全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護(hù)管理規(guī)定，這樣才能為企業(yè)的信息安全提供生命力和主動(dòng)性，真正為企業(yè)的核心業(yè)務(wù)提供安全保障。

參考文獻(xiàn)

[1]郝宏志.企業(yè)信息管理師[M].北京：機(jī)械工業(yè)出版社，2005.

[2]蔣培靜.歐美國(guó)家如何培養(yǎng)網(wǎng)絡(luò)安全意識(shí)[J].中國(guó)教育網(wǎng)絡(luò)，2008（7）：48-49.

作者簡(jiǎn)介

常勝（1982-），男，回族，天津市人。現(xiàn)為中國(guó)市政工程華北設(shè)計(jì)研究總院有限公司工程師。研究方向?yàn)榫W(wǎng)絡(luò)安全與服務(wù)器規(guī)劃部署。

篇7

當(dāng)前，企業(yè)信息安全尚在起步階段，發(fā)展不夠成熟健全，還有更多需要解決的問(wèn)題。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，經(jīng)濟(jì)信息量的大幅度上漲，處理信息必須依靠計(jì)算機(jī)才能完成，但計(jì)算機(jī)存在一定的弱點(diǎn)，例如計(jì)算機(jī)病毒、人員素質(zhì)低下、黑客入侵等因素，以及移動(dòng)4G、WIFI互聯(lián)等多邊界企業(yè)網(wǎng)絡(luò)環(huán)境下，由于內(nèi)外部網(wǎng)絡(luò)是直接連接，其互通性和網(wǎng)絡(luò)訪問(wèn)無(wú)限制性易形成黑客或惡意份子入侵的切入口，若是沒(méi)有設(shè)置任何的網(wǎng)絡(luò)邊界安全機(jī)制，將造成企業(yè)信息受到潛在的安全威脅。企業(yè)要想持續(xù)發(fā)展，信息安全是基本保障。企業(yè)信息化程度越高，企業(yè)數(shù)據(jù)也就越安全。企業(yè)發(fā)展的基礎(chǔ)即信息安全，企業(yè)管理者要正確認(rèn)識(shí)信息安全工作的長(zhǎng)期性和緊迫性。從保護(hù)企業(yè)利益，促進(jìn)經(jīng)濟(jì)發(fā)展，保證企業(yè)穩(wěn)定與安全的角度來(lái)看，只有做好基礎(chǔ)性工作和設(shè)施建設(shè)，建立信息安全保障，以及建設(shè)安全健康的網(wǎng)絡(luò)環(huán)境，才能有助于信息化安全建設(shè)。其實(shí)不管科技如何發(fā)達(dá)，技術(shù)如何高超，都是人類(lèi)智慧的結(jié)晶體，所以信息安全已無(wú)法離開(kāi)人類(lèi)。不少企業(yè)信息被泄露，多是人為因素導(dǎo)致，員工濫用企業(yè)信息將會(huì)給企業(yè)帶來(lái)極大的損失。

2企業(yè)信息化安全建設(shè)

當(dāng)今社會(huì)已經(jīng)步入信息知識(shí)經(jīng)濟(jì)時(shí)代，信息對(duì)企業(yè)良性長(zhǎng)久的發(fā)展尤為關(guān)鍵，但目前企業(yè)信息系統(tǒng)安全問(wèn)題無(wú)疑是企業(yè)發(fā)展階段所面臨的重點(diǎn)難點(diǎn)。所謂的企業(yè)信息安全就是對(duì)企業(yè)信息資產(chǎn)采取保護(hù)措施，使其不受惡意或偶然侵犯而被破壞、篡改及泄露，確保信息系統(tǒng)可靠正常并連續(xù)的運(yùn)行，最小化安全事件對(duì)業(yè)務(wù)的影響，實(shí)現(xiàn)業(yè)務(wù)運(yùn)行的連續(xù)性。因此筆者認(rèn)為以下幾方面是關(guān)鍵。

2.1做好網(wǎng)絡(luò)保護(hù)

其實(shí)要保證外網(wǎng)安全需要企業(yè)加大硬件設(shè)備的投入，信息安全產(chǎn)品在網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展下正面臨著新的挑戰(zhàn)，傳統(tǒng)防火墻、信息加密、防病毒等已無(wú)法有效的抵御外部入侵；同時(shí)由于內(nèi)部操作不當(dāng)，導(dǎo)致內(nèi)網(wǎng)感染病毒造成信息泄露的現(xiàn)狀也是信息安全的焦點(diǎn)問(wèn)題。針對(duì)以上情況，建立事前有效防御，事后追究機(jī)制是企業(yè)信息化安全建設(shè)的當(dāng)務(wù)之急。根據(jù)現(xiàn)代企業(yè)的特點(diǎn)，筆者認(rèn)為從下面這幾點(diǎn)入手，有助于保護(hù)網(wǎng)絡(luò)的安全：

（1）身份認(rèn)證技術(shù)。

企業(yè)內(nèi)網(wǎng)操作時(shí)，可采用身份認(rèn)證技術(shù)，借助PKI、PKM等工具，控制網(wǎng)絡(luò)應(yīng)用程序的訪問(wèn)，以及進(jìn)行身份認(rèn)證，實(shí)現(xiàn)有效資源合法應(yīng)用和訪問(wèn)的目的。

（2）審計(jì)跟蹤技術(shù)。

通過(guò)審計(jì)跟蹤技術(shù)監(jiān)控和審計(jì)網(wǎng)絡(luò)，控制外設(shè)備如MSN、QQ、端口、打印、光驅(qū)、軟驅(qū)等，從而實(shí)現(xiàn)禁止使用指定程序，并促進(jìn)員工操作行為及日志審計(jì)規(guī)范的目的。

（3）企業(yè)還應(yīng)組建自身網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

利用嚴(yán)格密鑰機(jī)制和加密算法，有機(jī)的結(jié)合加密、認(rèn)證、授權(quán)、審計(jì)等功能，保護(hù)最底層不同密集評(píng)定和授權(quán)方式的核心數(shù)據(jù)，而非限制應(yīng)用網(wǎng)絡(luò)和控制網(wǎng)絡(luò)，進(jìn)而真正實(shí)現(xiàn)合理保護(hù)，確保企業(yè)信息數(shù)據(jù)資源的安全。

2.2安全邊界的界定和管理

安全邊界的界定通過(guò)分析現(xiàn)有網(wǎng)絡(luò)邊界安全的需求，筆者認(rèn)為有幾方面：首先，內(nèi)部網(wǎng)段。即企業(yè)網(wǎng)內(nèi)網(wǎng)，是防火墻的重點(diǎn)保護(hù)對(duì)象，安全級(jí)別和授信級(jí)別更高，主要承載對(duì)象是企業(yè)所有人員的計(jì)算機(jī)。其次，外部網(wǎng)段。即邊界路由器以外的網(wǎng)絡(luò)，比如移動(dòng)4G、WIFI互聯(lián)等多邊界網(wǎng)絡(luò)，安全級(jí)別和授信級(jí)別最低，是企業(yè)信息數(shù)據(jù)泄露最大的安全隱患，需要嚴(yán)格禁止或控制。最后，DMZ網(wǎng)段。即對(duì)外服務(wù)器，安全級(jí)別和授信級(jí)別介于內(nèi)外網(wǎng)絡(luò)之間，其資源運(yùn)行外部網(wǎng)絡(luò)訪問(wèn)。

（1）由于外部用戶訪問(wèn)DMZ區(qū)域中服務(wù)器的方式較為特殊，在系統(tǒng)默認(rèn)情況下是不被允許的。

可實(shí)際應(yīng)用中是需要外部用戶對(duì)其進(jìn)行訪問(wèn)，所以防火墻上必須增加相應(yīng)允許外部用戶訪問(wèn)DMZ區(qū)域的訪問(wèn)控制列表，通過(guò)對(duì)列表的控制允許用戶行為，并對(duì)進(jìn)行很好的監(jiān)控管理，保證企業(yè)信息的安全性。

（2）內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)以及DMZ區(qū)域中服務(wù)器的訪問(wèn)。

按照ASA自適應(yīng)安全算法，在系統(tǒng)默認(rèn)情況下是允許高安全等級(jí)接口流向低安全等級(jí)接口流量的，外部網(wǎng)絡(luò)安全級(jí)別遠(yuǎn)沒(méi)企業(yè)內(nèi)部網(wǎng)絡(luò)安全級(jí)別高，所以在默認(rèn)情況下這種訪問(wèn)方式是被允許的，不過(guò)實(shí)際應(yīng)用過(guò)程中，需要限制對(duì)外訪問(wèn)流量。

（3）外部用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。

在系統(tǒng)默認(rèn)情況下這種情況是不被允許的，是對(duì)外部用戶非法訪問(wèn)的有效抵御，能有效的保證企業(yè)信息的安全，促進(jìn)企業(yè)信息化的安全建設(shè)。

2.3強(qiáng)化系統(tǒng)管理

由于任何安全軟件都有被攻擊或破解的可能性，單純依靠軟件技術(shù)來(lái)保障企業(yè)信息安全是不現(xiàn)實(shí)的，只有強(qiáng)化企業(yè)內(nèi)部信息系統(tǒng)的管理才行之有效。所以，企業(yè)內(nèi)部信息管理體制要完善，盡可能促進(jìn)管理系統(tǒng)規(guī)范性和可靠性的提高，才能為企業(yè)內(nèi)部信息的安全提供更高保障。同時(shí)，要進(jìn)行安全風(fēng)險(xiǎn)評(píng)估工作。因?yàn)楦鱾€(gè)信息系統(tǒng)使用的都是不同的技術(shù)手段和組成方式，其自身優(yōu)勢(shì)及安全漏洞也具有較大的差異，由此在選擇企業(yè)所需的信息系統(tǒng)時(shí)，一定要先做各個(gè)系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估工作，信息安全系統(tǒng)的選擇要針對(duì)企業(yè)自身特點(diǎn)，降低信息安全問(wèn)題出現(xiàn)的概率。最后，就是加強(qiáng)系統(tǒng)管理。在實(shí)際生活中信息竊取和系統(tǒng)攻擊大多是在網(wǎng)絡(luò)上完成的，企業(yè)必須要強(qiáng)化網(wǎng)絡(luò)管理工作，以便促進(jìn)企業(yè)的運(yùn)行更安全政策。

2.4加強(qiáng)企業(yè)信息安全管理團(tuán)隊(duì)建設(shè)

當(dāng)前，企業(yè)信息安全體系的建設(shè)中已完全滲透“七分管理，三分技術(shù)”的意識(shí)，強(qiáng)化企業(yè)員工信息安全知識(shí)培訓(xùn)，制定完善合理的信息安全管理制度，是企業(yè)信息安全建設(shè)順利實(shí)施的關(guān)鍵保障。企業(yè)信息安全建設(shè)時(shí)要另立專(zhuān)門(mén)管理信息安全的部門(mén)，負(fù)責(zé)企業(yè)內(nèi)部的信息安全防護(hù)工作，加強(qiáng)對(duì)企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的維護(hù)及常規(guī)檢查。企業(yè)信息安全管理團(tuán)隊(duì)的職責(zé)主要包括：工作人員安全操作規(guī)范、工作人員守則以及管理制度的制定，再交由上級(jí)主管部門(mén)審批后監(jiān)督制度規(guī)范的執(zhí)行；定期組織安全運(yùn)行和信息網(wǎng)絡(luò)建設(shè)的檢查監(jiān)測(cè)，掌握公司全面的第一手安全資料，根據(jù)資料研究相關(guān)的安全對(duì)策和措施；負(fù)責(zé)常規(guī)的信息網(wǎng)絡(luò)安全管理維護(hù)工作；定期制訂安全工作總結(jié)，且要接受?chē)?guó)家相關(guān)信息安全職能部門(mén)對(duì)信息安全的工作指導(dǎo)。

2.5入侵檢測(cè)系統(tǒng)（IDS）與入侵防護(hù)系統(tǒng)（IPS）

IDS即入侵檢測(cè)系統(tǒng)能夠彌補(bǔ)防火墻的缺陷，能實(shí)時(shí)的提供給網(wǎng)絡(luò)安全入侵檢測(cè)，并采取一定的防護(hù)手段保護(hù)網(wǎng)絡(luò)。良好的入侵檢測(cè)系統(tǒng)不但可有助于系統(tǒng)管理員隨時(shí)了解網(wǎng)絡(luò)系統(tǒng)的變更，還能提高可靠的網(wǎng)絡(luò)安全策略制訂依據(jù)。因此，入侵檢測(cè)系統(tǒng)的管理應(yīng)配置簡(jiǎn)單，隨時(shí)根據(jù)系統(tǒng)構(gòu)造、網(wǎng)絡(luò)規(guī)模、安全需求改變。IDS必須布置在能夠監(jiān)控局域網(wǎng)和Internet之間所有流量的地方，才能第一時(shí)間檢測(cè)到入侵時(shí)，做出及時(shí)的響應(yīng)，比如記錄時(shí)間、切斷網(wǎng)絡(luò)連接等。

3總結(jié)

篇8

關(guān)鍵詞：航空企業(yè)；信息系統(tǒng)；安全處理；現(xiàn)狀；體系

中圖分類(lèi)號(hào)：TP393.08

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，信息數(shù)據(jù)系統(tǒng)廣泛應(yīng)用于航空企業(yè)的信息管理中。然而，航空企業(yè)因其服務(wù)行業(yè)的特性，需要不斷將航班等外部信息傳播發(fā)送給旅客，另一方面，航空企業(yè)內(nèi)部管理信息卻需要做到嚴(yán)格的保密，這就對(duì)航空企業(yè)的信息系統(tǒng)安全處理提出了高要求，航空企業(yè)必須建立一套全面完備的信息安全處理體系，只有這樣，才能提高航空運(yùn)輸信息的安全水平，保障航空企業(yè)的穩(wěn)定發(fā)展。

1 航空企業(yè)信息系統(tǒng)安全管處理現(xiàn)狀

近年來(lái)，我國(guó)航空企業(yè)已經(jīng)開(kāi)始廣泛應(yīng)用信息管理系統(tǒng)。在這些企業(yè)的信息系統(tǒng)中，包含了對(duì)交通服務(wù)、航班導(dǎo)航、天氣情況以及企業(yè)內(nèi)部信息的各類(lèi)應(yīng)用，航空企業(yè)信息管理部門(mén)需要將這些信息進(jìn)行整合，構(gòu)建成為一個(gè)完整的信息管理系統(tǒng)。然而，從目前航空企業(yè)的信息系統(tǒng)安全管理來(lái)看，多數(shù)航空企業(yè)在進(jìn)行信息系統(tǒng)安全管理的研究時(shí)，都是將重點(diǎn)集中在某一特定領(lǐng)域，通過(guò)病毒檢測(cè)系統(tǒng)、認(rèn)證系統(tǒng)等對(duì)特定領(lǐng)域進(jìn)行信息安全處理，并沒(méi)有一個(gè)全面完整的信息安全處理體系。

另外，國(guó)家有關(guān)部門(mén)已經(jīng)加強(qiáng)了對(duì)航空信息安全的重視，中國(guó)民用航空局頒布了關(guān)于管理民用航空安全信息的規(guī)定，通過(guò)將各航空企業(yè)的信息管理系統(tǒng)進(jìn)行統(tǒng)一監(jiān)督，統(tǒng)籌管理全行業(yè)的信息安全管理系統(tǒng)。無(wú)論從當(dāng)今形勢(shì)發(fā)展來(lái)看，還是從國(guó)家有關(guān)部門(mén)對(duì)信息系統(tǒng)安全管理的重視程度來(lái)看，建立一套完整的信息系統(tǒng)安全處理體系對(duì)于航空企業(yè)都是非常有必要的。

2 構(gòu)建航空企業(yè)信息系統(tǒng)安全處理體系

在對(duì)信息系統(tǒng)安全處理體系進(jìn)行構(gòu)建時(shí)，應(yīng)當(dāng)遵循可行性、靈活性、擴(kuò)展性等原則，使信息系統(tǒng)的安全處理能夠滿足信息的完整性、保密性和可用性。在進(jìn)行信息系統(tǒng)安全處理體系構(gòu)建時(shí)，可以用到的安全技術(shù)大致包括計(jì)算機(jī)病毒防范技術(shù)、信息偵測(cè)技術(shù)、安全操作平臺(tái)技術(shù)、安全審計(jì)和入侵預(yù)警技術(shù)、內(nèi)容分級(jí)監(jiān)管技術(shù)等。

2.1 構(gòu)建航空企業(yè)信息系統(tǒng)安全處理體系的初始步驟

（1）確定控制用戶訪問(wèn)的安全處理系統(tǒng)。在進(jìn)行訪問(wèn)權(quán)的控制時(shí)，可以設(shè)置相應(yīng)的客戶端界面，利用DCE/Kerberos身份驗(yàn)證機(jī)制，只要用戶輸入的個(gè)人信息得到驗(yàn)證后，用戶才能進(jìn)行下一步訪問(wèn)。還可以設(shè)置一種封閉策略，只有得到授權(quán)的用戶才能獲得相應(yīng)信息。但是，在通過(guò)限制用戶訪問(wèn)來(lái)達(dá)到信息安全處理的效果時(shí)，應(yīng)當(dāng)注意對(duì)數(shù)據(jù)信息的最大共享原則，使用戶能夠通過(guò)客戶端獲得對(duì)所有數(shù)據(jù)的訪問(wèn)權(quán)，除非是不應(yīng)當(dāng)開(kāi)放的保密性數(shù)據(jù)。

（2）建立備份制度和事務(wù)日志制度等。對(duì)于信息系統(tǒng)而言，其安全性總會(huì)受到一定的威脅，企業(yè)在進(jìn)行信息系統(tǒng)的安全處理時(shí)，還應(yīng)當(dāng)重視對(duì)數(shù)據(jù)的備份，使數(shù)據(jù)能夠在受到安全威脅后得到有效恢復(fù)。

（3）確定信息數(shù)據(jù)安全的最小單位。在構(gòu)建航空企業(yè)信息系統(tǒng)的安全處理體系時(shí)，可以將屬性或關(guān)系作為最小安全單位，從而滿足對(duì)信息安全性的高要求。

2.2 進(jìn)一步構(gòu)建航空企業(yè)信息系統(tǒng)安全處理體系的策略

在航空企業(yè)信息管理系統(tǒng)中，安全處理內(nèi)部保密信息是很重要的，但對(duì)需要向外界公布的信息數(shù)據(jù)也不容輕視，因此僅僅依靠DCE/Kerberos身份驗(yàn)證機(jī)制無(wú)法進(jìn)行全面的安全處理。

（1）建立信息系統(tǒng)的自行監(jiān)控和預(yù)警機(jī)制

保障信息系統(tǒng)高效穩(wěn)定的運(yùn)轉(zhuǎn)是航空企業(yè)進(jìn)行各項(xiàng)業(yè)務(wù)的關(guān)鍵，因此，在進(jìn)行信息系統(tǒng)的安全處理時(shí)，首先應(yīng)當(dāng)做到的就是對(duì)系統(tǒng)運(yùn)行的監(jiān)控和預(yù)警，從而能夠早發(fā)現(xiàn)、早解決系統(tǒng)運(yùn)行問(wèn)題，避免影響航空業(yè)務(wù)的運(yùn)行。

（2）應(yīng)用各種安全產(chǎn)品，構(gòu)建全面的防御體系

在航空企業(yè)信息系統(tǒng)建立安全處理體系時(shí)，航空企業(yè)應(yīng)當(dāng)加大投入力度，建立一個(gè)全面的防御體系，從而減少安全問(wèn)題的產(chǎn)生。例如，在建立防病毒、防黑客體系時(shí)，可以通過(guò)部署應(yīng)用漏洞掃描軟件、防病毒軟件等安全產(chǎn)品，構(gòu)建出一個(gè)全面的防御體系，將信息系統(tǒng)的內(nèi)部運(yùn)轉(zhuǎn)充分控制起來(lái)，從而能夠及早發(fā)現(xiàn)安全問(wèn)題，及早解決。

（3）設(shè)置控制用戶訪問(wèn)的安全處理策略

航空企業(yè)的信息系統(tǒng)在為用戶提供服務(wù)時(shí)，使用的是一種端對(duì)端的信息交流方式，因此，保障信息傳遞過(guò)程中的信息安全，防止信息遭到修改是信息安全處理的重點(diǎn)。SOAP協(xié)議基于XML數(shù)據(jù)結(jié)構(gòu)，它可以為用戶提供信息交換的平臺(tái)。為保護(hù)SOAP協(xié)議的安全性，進(jìn)而保障信息安全，我們可以進(jìn)行用戶查詢權(quán)、修改權(quán)及刪除權(quán)的設(shè)定，通過(guò)設(shè)立安全矩陣的方式將各類(lèi)信息及各類(lèi)人員的權(quán)限進(jìn)行分類(lèi)處理，從而提高信息管理系統(tǒng)的運(yùn)行效率，如下表1所示。

通過(guò)這種矩陣式分類(lèi)，就可以直觀地將各部門(mén)權(quán)限表現(xiàn)出來(lái)，從而達(dá)到對(duì)信息系統(tǒng)客戶端的有效管理。

（4）實(shí)現(xiàn)信息系統(tǒng)各子系統(tǒng)之間訪問(wèn)管理的安全性

在信息系統(tǒng)的使用中，用戶對(duì)資源的使用往往會(huì)涉及到整個(gè)系統(tǒng)中的多數(shù)子系統(tǒng)，在訪問(wèn)這些子系統(tǒng)時(shí)，系統(tǒng)需要對(duì)授權(quán)進(jìn)行逐一判斷，這就會(huì)使系統(tǒng)屬性發(fā)生改變，安全隱患也就隨之而來(lái)，因此，應(yīng)當(dāng)建立一種訪問(wèn)控制體系，用于對(duì)訪問(wèn)各子系統(tǒng)信息資源的安全處理。

UCON模型，就是適應(yīng)現(xiàn)代業(yè)務(wù)流程訪問(wèn)控制而產(chǎn)生的新型模型，包含了主體、客體和權(quán)限三個(gè)基本元素，它將義務(wù)、條件和授權(quán)作為了決策進(jìn)程的一部分，提供了一種更好的決策能力。這種模型區(qū)別于其他訪問(wèn)控制模型之處就在于它的可變屬性，可變屬性可以隨著訪問(wèn)對(duì)象的改變而發(fā)生改變，這種模型解決了傳統(tǒng)的訪問(wèn)控制技術(shù)缺乏綜合性的問(wèn)題，并涵蓋了安全和隱私兩個(gè)重要方面，是一種具有決策連續(xù)性和屬性易變性特點(diǎn)的訪問(wèn)控制模型。通過(guò)對(duì)UCON模型和數(shù)據(jù)庫(kù)管理系統(tǒng)的綜合使用，可以有效保護(hù)信息系統(tǒng)的數(shù)據(jù)資源，并能夠在結(jié)合其他技術(shù)的基礎(chǔ)上，對(duì)計(jì)算機(jī)系統(tǒng)資源和網(wǎng)絡(luò)資源進(jìn)行保護(hù)，從而達(dá)到航空企業(yè)信息系統(tǒng)安全處理的目標(biāo)，防止非法訪問(wèn)現(xiàn)象的發(fā)生。

2.3 構(gòu)建完善的航空企業(yè)信息系統(tǒng)安全處理體系

一個(gè)完整的信息系統(tǒng)安全處理體系，必須涵蓋了從客戶端到服務(wù)提供端，再到訪問(wèn)控制端的安全處理流程。首先，對(duì)于客戶端安全處理環(huán)節(jié)的實(shí)現(xiàn)，可以借助用戶身份信息的收集和對(duì)服務(wù)返回結(jié)果的安全處理，并運(yùn)用DCE/Kerberos身份驗(yàn)證機(jī)制等安全平臺(tái)操作技術(shù)對(duì)信息系統(tǒng)的安全性進(jìn)行管理。其次，是對(duì)服務(wù)提供端安全處理的實(shí)現(xiàn)，這一環(huán)節(jié)包括了對(duì)用戶身份的驗(yàn)證和對(duì)數(shù)據(jù)傳輸?shù)陌踩幚?，可以使用SOAP協(xié)議等安全審計(jì)技術(shù)為信息系統(tǒng)提供安全保障。最后，是對(duì)訪問(wèn)控制端安全處理的實(shí)現(xiàn)，這一環(huán)節(jié)可以分為對(duì)系統(tǒng)各環(huán)節(jié)的信息匹配和對(duì)訪問(wèn)控制服務(wù)的安全處理，是整個(gè)信息系統(tǒng)安全處理的重要環(huán)節(jié)，在構(gòu)建系統(tǒng)安全處理體系時(shí)，可以使用UCON模型將訪問(wèn)控制權(quán)具體化，并設(shè)立安全矩陣，最終達(dá)到信息系統(tǒng)安全處理的目的。

總結(jié)：

航空企業(yè)的行業(yè)特性，決定了構(gòu)建符合其行業(yè)特點(diǎn)的信息系統(tǒng)安全處理體系是一個(gè)復(fù)雜而繁瑣的過(guò)程，企業(yè)信息安全管理部門(mén)應(yīng)當(dāng)從實(shí)際出發(fā)，結(jié)合企業(yè)信息系統(tǒng)的客戶端、服務(wù)端以及數(shù)據(jù)庫(kù)對(duì)信息安全的不同要求，運(yùn)用現(xiàn)代化技術(shù)，依據(jù)信息系統(tǒng)設(shè)計(jì)原則，構(gòu)建一個(gè)既能滿足共享性，又能滿足保密性的獨(dú)特的安全處理體系。另外，企業(yè)管理部門(mén)不僅要加大對(duì)技術(shù)的扶持和研發(fā)，還應(yīng)當(dāng)注重對(duì)企業(yè)內(nèi)部人員的信息安全教育，能夠建立一個(gè)完善的信息系統(tǒng)管理制度，從而使企業(yè)人員能夠積極進(jìn)行信息系統(tǒng)的安全防護(hù)。

參考文獻(xiàn)：

[1]郝梁怡.淺析民航空管信息安全管理[J].中國(guó)科技縱橫，2013（12）.

[2]張?jiān)聘?基于SMS關(guān)鍵要素的航空公司安全管理信息系統(tǒng)分析與設(shè)計(jì)[J].電子科技大學(xué)，2011（1）.

[3]田波，吳倩，甄浩.航空公司信息安全管理系統(tǒng)的構(gòu)建與安全保障體系研究[J].情報(bào)科學(xué)，2011（9）.

[4]白瑜.基于UCON的訪問(wèn)控制的應(yīng)用[J].電力學(xué)報(bào)，2012（6）.

[5]付茂沼.民用航空信息安全研究[J].中國(guó)民航飛行學(xué)院學(xué)報(bào)，2010（3）.

[6]姜鵬.民航空管信息處理系統(tǒng)的安全保障[J].中國(guó)新技術(shù)新產(chǎn)品，2011（13）.

篇9

（1）適應(yīng)電力企業(yè)發(fā)展的需要，遵循現(xiàn)行電力企業(yè)管理體制；

（2）管控平臺(tái)涉及技術(shù)和管理，須對(duì)技術(shù)手段和管理手段的實(shí)現(xiàn)方式進(jìn)行決擇；

（3）須考慮不同級(jí)別單位以及不同使用對(duì)象需求的側(cè)重點(diǎn)；

（4）管控平臺(tái)自身須具有一定安全性；

（5）基于管控平臺(tái)的工具特性，須配套推出數(shù)據(jù)初始化等服務(wù)及制度來(lái)實(shí)現(xiàn)平臺(tái)的正常運(yùn)轉(zhuǎn)。

2管控平臺(tái)角色需求分析

管控平臺(tái)設(shè)置的用戶角色必須與電力企業(yè)現(xiàn)有信息安全相關(guān)組織架構(gòu)相匹配。一般來(lái)講，電力行業(yè)自身信息安全相關(guān)組織架構(gòu)包括上級(jí)信息安全主管單位、本地信息安全主管單位以及本地信息安全實(shí)施單位此外，電力行業(yè)在實(shí)際信息安全工作中，需要外部信息安全產(chǎn)品廠商、安全服務(wù)廠商、安全咨詢機(jī)構(gòu)、相關(guān)公共信息安全機(jī)構(gòu)以及科研機(jī)構(gòu)支持。管控平臺(tái)將外部信息安全產(chǎn)品廠商、安全服務(wù)廠商、安全咨詢機(jī)構(gòu)統(tǒng)一定義為外部信息安全支持單位，將相關(guān)公共信息安全機(jī)構(gòu)以及科研機(jī)構(gòu)定義為應(yīng)急聯(lián)動(dòng)及專(zhuān)家機(jī)構(gòu)。管控平臺(tái)各角色職能需求分析如下：

（1）上級(jí)信息安全主管單位上級(jí)信息安全主管單位負(fù)責(zé)企業(yè)整體信息安全保障，掌握整體信息安全態(tài)勢(shì)，評(píng)估網(wǎng)絡(luò)和信息系統(tǒng)安全機(jī)制的有效性情況。在信息安全突發(fā)事件發(fā)生時(shí)，負(fù)責(zé)事件決策、監(jiān)控、協(xié)調(diào)。

（2）本地信息安全主管單位本地信息安全主管單位負(fù)責(zé)本單位信息安全保障，掌握所轄網(wǎng)絡(luò)及其業(yè)務(wù)信息系統(tǒng)的安全態(tài)勢(shì)，協(xié)調(diào)安全事件的處理。

（3）本地信息安全實(shí)施單位本地信息安全實(shí)施單位負(fù)責(zé)本單位信息安全保障具體實(shí)施工作。在管控平臺(tái)中本地信息安全實(shí)施單位設(shè)置的角色包括負(fù)責(zé)人、安全主管、安全運(yùn)維人員等，如表1所示。負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估、實(shí)時(shí)監(jiān)控、應(yīng)急演練、安全預(yù)警以及信息安全突發(fā)事件處置各項(xiàng)工作的具體實(shí)施。

（4）外部信息安全支持單位外部信息安全支持單位承擔(dān)信息安全支撐服務(wù)職能，其職責(zé)包括外部信息安全事件預(yù)警監(jiān)控，風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練及應(yīng)急處置的外協(xié)支持等。

（5）應(yīng)急聯(lián)動(dòng)及專(zhuān)家機(jī)構(gòu)應(yīng)急聯(lián)動(dòng)及專(zhuān)家機(jī)構(gòu)由各相關(guān)公共信息安全機(jī)構(gòu)、科研機(jī)構(gòu)信息安全相關(guān)領(lǐng)域?qū)＜医M成，為電力企業(yè)信息安全保障提供技術(shù)支持和資源保障。應(yīng)急聯(lián)動(dòng)專(zhuān)家機(jī)構(gòu)人員在管控平臺(tái)中通過(guò)設(shè)置呼叫樹(shù)和專(zhuān)家角色，參與應(yīng)急等各項(xiàng)事務(wù)的處置。

3系統(tǒng)功能設(shè)計(jì)

通過(guò)管控平臺(tái)的定位以及上述角色需求分析，可明確管控平臺(tái)的功能模塊設(shè)置及關(guān)系如圖1所示，下面依次對(duì)關(guān)鍵模塊內(nèi)容進(jìn)行闡述。

3.1基礎(chǔ)安全數(shù)據(jù)管理

基礎(chǔ)安全數(shù)據(jù)管理模塊對(duì)企業(yè)信息系統(tǒng)相關(guān)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、通用軟件等基本信息和策略配置信息，漏洞庫(kù)、事件特征庫(kù)、補(bǔ)丁庫(kù)、安全配置知識(shí)庫(kù)和應(yīng)急響應(yīng)知識(shí)庫(kù)，以及風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練等工作中產(chǎn)生的過(guò)程數(shù)據(jù)進(jìn)行匯總存儲(chǔ)并詳細(xì)分類(lèi)，支持多種查詢和修改。

3.2預(yù)案管理

預(yù)案管理模塊實(shí)現(xiàn)對(duì)各級(jí)單位信息安全應(yīng)急預(yù)案的編制、審批、、更新，以及預(yù)案的執(zhí)行（及演練）和事件處置等功能。其中應(yīng)急預(yù)案編制、審批在管控平臺(tái)上進(jìn)行統(tǒng)一規(guī)范，各單位人員在管控平臺(tái)上只需要參考應(yīng)急預(yù)案模板并調(diào)用本單位的實(shí)際數(shù)據(jù)內(nèi)容即可完成編制任務(wù)。預(yù)案管理模塊功能設(shè)計(jì)如圖2所示。在預(yù)案管理模塊中，應(yīng)急預(yù)案執(zhí)行是一種復(fù)雜的業(yè)務(wù)流程，通?；诠ぷ髁饕鎭?lái)實(shí)現(xiàn)。這種實(shí)現(xiàn)方式可確保相應(yīng)的演練和事件處置活動(dòng)能夠全程可監(jiān)控、可記錄。圖3是基于工作流引擎實(shí)現(xiàn)應(yīng)急預(yù)案某一操作規(guī)程的實(shí)例。

3.3風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估模塊為各單位信息安全風(fēng)險(xiǎn)評(píng)估工作提供全過(guò)程支撐，并能夠根據(jù)評(píng)估過(guò)程和結(jié)果數(shù)據(jù)（例如將資產(chǎn)調(diào)研結(jié)果，威脅、漏洞分析等評(píng)估結(jié)果）通過(guò)內(nèi)定的矩陣型風(fēng)險(xiǎn)計(jì)算方式自動(dòng)計(jì)算得出各單位總體風(fēng)險(xiǎn)和高危風(fēng)險(xiǎn)狀況，為各單位編制應(yīng)急預(yù)案的方向提供依據(jù)。風(fēng)險(xiǎn)評(píng)估模塊功能設(shè)計(jì)如圖4所示。

3.4業(yè)務(wù)影響分析

業(yè)務(wù)影響分析模塊同樣是為編制應(yīng)急預(yù)案提供依據(jù)，與風(fēng)險(xiǎn)評(píng)估模塊類(lèi)似。但考慮到信息系統(tǒng)業(yè)務(wù)的差異性，管控平臺(tái)不對(duì)業(yè)務(wù)影響分析進(jìn)行全過(guò)程管理和支撐。圖險(xiǎn)評(píng)估模塊功能設(shè)計(jì)示意圖

3.5公告管理

公告管理模塊向管控平臺(tái)各級(jí)角色提供通知信息、瀏覽、查閱、管理功能。公告從編制、審批、到反饋的整個(gè)流程均通過(guò)管控平臺(tái)來(lái)實(shí)現(xiàn)。公告的類(lèi)別包括：

（1）企業(yè)發(fā)文：企業(yè)帶正式文號(hào)的信息安全類(lèi)文檔的、管理、顯示；

（2）通知通報(bào)：企業(yè)不帶正式文號(hào)但須告知各級(jí)單位的信息安全相關(guān)文檔的、管理、顯示；

（3）企業(yè)動(dòng)態(tài)：企業(yè)各級(jí)單位參與的信息安全相關(guān)活動(dòng)、新聞的、管理、顯示；

（4）業(yè)界安全動(dòng)態(tài)：國(guó)內(nèi)外安全事件，尤其是電力行業(yè)安全相關(guān)動(dòng)態(tài)的、管理、顯示。

3.6預(yù)警管理

預(yù)警管理模塊包含漏洞預(yù)警和威脅預(yù)警兩類(lèi)功能，級(jí)別分為高、中、低三級(jí)。預(yù)警信息來(lái)源分為兩類(lèi)，一類(lèi)是國(guó)內(nèi)外安全評(píng)測(cè)機(jī)構(gòu)、廠商的安全預(yù)警及漏洞，另一類(lèi)是源自風(fēng)險(xiǎn)評(píng)估模塊和業(yè)務(wù)影響分析模塊的計(jì)算結(jié)果。與公告類(lèi)似，預(yù)警管理的整個(gè)流程通過(guò)管控平臺(tái)來(lái)實(shí)現(xiàn)。各單位接收到管控平臺(tái)自動(dòng)發(fā)送的提示短信，登錄平臺(tái)，即可處理預(yù)警信息。

3.7安全事件管理

安全事件管理模塊對(duì)信息安全事件的分級(jí)分類(lèi)以及事件響應(yīng)處理進(jìn)行管理。信息安全事件的分級(jí)分類(lèi)基于國(guó)家有關(guān)標(biāo)準(zhǔn)與行業(yè)實(shí)際情況。安全事件響應(yīng)方式分為自動(dòng)響應(yīng)和事件工單管理兩類(lèi)。自動(dòng)響應(yīng)包括屏幕、郵件、聲音、工單、對(duì)話框、設(shè)備控制、短信、腳本操作、SNMPTrap等響應(yīng)方式，并通過(guò)其設(shè)置實(shí)現(xiàn)自定義用戶響應(yīng)策略。事件工單管理則通過(guò)與第三方統(tǒng)/平臺(tái)的接口與例如IT服務(wù)管理平臺(tái)進(jìn)行聯(lián)動(dòng)來(lái)實(shí)現(xiàn)。

3.8信息安全狀況監(jiān)視（應(yīng)急值班室）

信息安全狀況監(jiān)視模塊可向各級(jí)人員提供不同的管理界面，分為宏觀態(tài)勢(shì)監(jiān)視與應(yīng)急監(jiān)視兩類(lèi)。宏觀態(tài)勢(shì)監(jiān)視能夠根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、安全預(yù)警信息以及當(dāng)前安全狀況（是否有安全事件發(fā)生以及處理情況），對(duì)企業(yè)整體安全態(tài)勢(shì)進(jìn)行研判，為安全決策提供支持。應(yīng)急監(jiān)視能夠通過(guò)安全模型分析及人工比對(duì)分析，將安全事件、威脅、漏洞等數(shù)據(jù)與管控平臺(tái)中業(yè)務(wù)數(shù)據(jù)進(jìn)行關(guān)聯(lián)，得出研判信息，并結(jié)合國(guó)家有關(guān)標(biāo)準(zhǔn)，為應(yīng)急人員提供應(yīng)急相應(yīng)實(shí)施依據(jù)。信息安全狀況監(jiān)視模塊功能設(shè)計(jì)如圖5所示。

4結(jié)語(yǔ)

篇10

關(guān)鍵詞：信息安全；信息安全管理

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)15-3491-03

計(jì)算機(jī)、網(wǎng)絡(luò)已經(jīng)逐漸成為我們工作生活中必不可少的一部分了，企業(yè)辦公自動(dòng)化已經(jīng)成為普遍現(xiàn)象。但是我們?cè)谙硎苄畔⒒瘞?lái)諸多便利的同時(shí)，也要看到信息化給企業(yè)帶來(lái)的諸多不便。2011年上半年，花期銀行由于遭受黑客攻擊，二十多萬(wàn)客戶資料信息外泄，為銀行和客戶帶來(lái)巨大的損失，同期國(guó)際著名的安全解決方案提供商RSA遭受黑客的惡意攻擊，對(duì)其超過(guò)五百家客戶造成潛在風(fēng)險(xiǎn)，給該企業(yè)帶來(lái)高達(dá)數(shù)百萬(wàn)的損失。信息安全是企業(yè)整體安全的重要方面，一旦企業(yè)重要的信息外泄，會(huì)給企業(yè)帶來(lái)巨大的風(fēng)險(xiǎn)，甚至有可能將企業(yè)帶入破產(chǎn)的境地。

1企業(yè)信息系統(tǒng)安全的發(fā)展

隨著信息技術(shù)的產(chǎn)生，信息系統(tǒng)安全的保護(hù)也隨之而來(lái)，并且隨著信息技術(shù)的不斷更新?lián)Q代，信息系統(tǒng)安全保護(hù)的戰(zhàn)略也不斷發(fā)展，接下來(lái)我們可以簡(jiǎn)要地分析一下信息安全系統(tǒng)的發(fā)展歷程。

信息系統(tǒng)安全的第一步是保障信息的安全，當(dāng)時(shí)各個(gè)電子業(yè)務(wù)系統(tǒng)較為獨(dú)立，互聯(lián)網(wǎng)還不太流行，這時(shí)主要技術(shù)是對(duì)信息進(jìn)行加密，普遍運(yùn)用風(fēng)險(xiǎn)分析法來(lái)對(duì)系統(tǒng)可能出現(xiàn)的漏洞進(jìn)行分析，合理地填補(bǔ)漏洞，消除威脅，這是一種基于傳統(tǒng)安全理念指導(dǎo)下的系統(tǒng)安全保護(hù)。

隨著互聯(lián)網(wǎng)技術(shù)的深入，信息系統(tǒng)安全開(kāi)始逐步向業(yè)務(wù)安全轉(zhuǎn)化，開(kāi)始從信息產(chǎn)業(yè)的角度出發(fā)來(lái)考慮安全狀況，此時(shí)的互聯(lián)網(wǎng)已經(jīng)成為工作生活的一個(gè)組成部分。這時(shí)候我們需要保護(hù)的不再僅僅是相關(guān)信息了，我們需要對(duì)整個(gè)業(yè)務(wù)流程進(jìn)行保護(hù)，分析其可能出現(xiàn)的問(wèn)題。本階段的安全防護(hù)理念關(guān)注整個(gè)業(yè)務(wù)流程的周期，對(duì)流程的每一個(gè)節(jié)點(diǎn)進(jìn)行綜合考慮。信息保護(hù)在此時(shí)只是整個(gè)系統(tǒng)安全的一部分，是作為最為基礎(chǔ)的防護(hù)技術(shù)，除此之外，還強(qiáng)調(diào)對(duì)整個(gè)流程的監(jiān)控，防止某個(gè)節(jié)點(diǎn)可能出現(xiàn)的不安全因素，一旦出現(xiàn)任何風(fēng)吹草動(dòng)的現(xiàn)象我們可以立即予以控制。此外，審計(jì)技術(shù)在這個(gè)時(shí)候也被引入，通過(guò)對(duì)技術(shù)操作的跟蹤，可以對(duì)攻擊發(fā)起者進(jìn)行責(zé)任追究，對(duì)攻擊者起到一種震懾的效果。

到目前為止，業(yè)務(wù)系統(tǒng)的獨(dú)立性和邊界已經(jīng)逐步弱化，系統(tǒng)間的融合更為常見(jiàn)。以礦業(yè)企業(yè)為例，在大型集團(tuán)中，往往存在財(cái)務(wù)系統(tǒng)、生產(chǎn)系統(tǒng)、銷(xiāo)售系統(tǒng)、統(tǒng)計(jì)分析系統(tǒng)等，這些系統(tǒng)之間需要相互勾稽，系統(tǒng)與系統(tǒng)之間需要互相取數(shù)，因此大量的系統(tǒng)集中到了一個(gè)業(yè)務(wù)平臺(tái)中，由該平臺(tái)來(lái)提供整體服務(wù)。這樣的話，我們對(duì)于信息系統(tǒng)安全的需求也從單系統(tǒng)向多系統(tǒng)轉(zhuǎn)換，我們?cè)陉P(guān)心單個(gè)系統(tǒng)安全的同時(shí)，還要對(duì)其系統(tǒng)平臺(tái)服務(wù)給予更多的關(guān)注。這樣的話，企業(yè)信息安全也開(kāi)始由業(yè)務(wù)流程向服務(wù)轉(zhuǎn)換。

2企業(yè)信息安全存在的問(wèn)題分析

信息安全問(wèn)題我們可以將其進(jìn)行進(jìn)一步細(xì)分為物理、技術(shù)以及人為等三類(lèi)因素。

首先來(lái)看物理方面，物理安全主要指的是機(jī)器設(shè)備以及網(wǎng)絡(luò)線路出現(xiàn)的問(wèn)題。一般企業(yè)在進(jìn)行信息設(shè)備設(shè)置時(shí)最先考慮的因素是人員安全，即在保證信息設(shè)備不會(huì)對(duì)企業(yè)員工人身安全造成威脅的前提下再進(jìn)行設(shè)備本身考慮。信息設(shè)備一般屬于電氣設(shè)備，容易受到打雷、水電等災(zāi)害的影響。如果服務(wù)器主機(jī)受到嚴(yán)重破壞，有可能導(dǎo)致企業(yè)整個(gè)信息系統(tǒng)崩潰。相對(duì)于其他電氣設(shè)備而言，信息設(shè)備耐壓數(shù)值比較小，企業(yè)需要其持續(xù)不斷地運(yùn)行，并且磁場(chǎng)的干擾對(duì)網(wǎng)絡(luò)影響比較明顯，這些都對(duì)信息設(shè)備的物理安全提出了要求，需要防止可能出現(xiàn)的問(wèn)題。

其次是技術(shù)方面，對(duì)于大量企業(yè)而言，可以分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)相對(duì)安全性較高。對(duì)于絕大多數(shù)企業(yè)而言，局域網(wǎng)都會(huì)通過(guò)一定途徑與外部網(wǎng)相連接。這樣內(nèi)部網(wǎng)路安全性就受到內(nèi)部網(wǎng)絡(luò)設(shè)備與外部網(wǎng)絡(luò)進(jìn)行的溝通的威脅。同時(shí)，操作系統(tǒng)的安全以及應(yīng)用程序的安全都是技術(shù)上所面臨的困擾。

在操作系統(tǒng)方面，我們的選擇比較狹窄，大多數(shù)企業(yè)只能選擇微軟操作系統(tǒng)，每個(gè)系統(tǒng)都存在一定的漏洞，都會(huì)造成信息的外泄。其實(shí)操作系統(tǒng)同樣是軟件，微軟為系統(tǒng)安全會(huì)不定期推出安全更新與漏洞補(bǔ)丁，雖然我們可以通過(guò)系統(tǒng)的Windows Update或其他輔助軟件來(lái)給系統(tǒng)修修補(bǔ)補(bǔ)，但這還不是100%的安全保證。隨著微軟在安全技術(shù)上的逐漸改進(jìn)，系統(tǒng)漏洞出現(xiàn)的次數(shù)越來(lái)越少，現(xiàn)在很多黑客開(kāi)始把注意力轉(zhuǎn)移到常用的第三方軟件上來(lái)，也就是要利用這些軟件的漏洞來(lái)進(jìn)行攻擊。相對(duì)于操作系統(tǒng)而言，應(yīng)用軟件方面我們選擇性比較大，但目前流行的各種病毒、木馬都會(huì)給我們企業(yè)的信息安全帶來(lái)極大的影響。

尤其是現(xiàn)在大部分企業(yè)都建立有自己的官方網(wǎng)站，保存著企業(yè)的重要數(shù)據(jù)和客戶資料等，而如果網(wǎng)站存在一個(gè)通用漏洞，就會(huì)被惡意的黑客攻擊，甚至黑客還會(huì)進(jìn)行木馬的上傳來(lái)得到WebShell，添加隱藏超級(jí)賬號(hào)，使用遠(yuǎn)程桌面連接等操作，從而導(dǎo)致網(wǎng)絡(luò)淪落為黑客手中的“肉雞”。因此，如果使用網(wǎng)站模板代碼，必須要時(shí)刻關(guān)注該網(wǎng)站模板是否有最新的漏洞被曝光，及時(shí)到官網(wǎng)上下載并打上相關(guān)的漏洞補(bǔ)丁程序。另外，網(wǎng)管務(wù)必要有經(jīng)常查看網(wǎng)站登錄日志的習(xí)慣，檢查后臺(tái)登錄的IP是否有異地的可疑信息，或者是否被添加了異常的管理賬號(hào)等等，永遠(yuǎn)繃緊安全這根弦。

對(duì)局域網(wǎng)進(jìn)行妥善管理，讓網(wǎng)絡(luò)運(yùn)行始終安全、穩(wěn)定，一直是所有網(wǎng)絡(luò)管理員的主要職責(zé)。為了保證局域網(wǎng)的安全性，不少網(wǎng)絡(luò)管理員開(kāi)動(dòng)腦筋，并且不惜花費(fèi)重金，“請(qǐng)”來(lái)了各式各樣的專(zhuān)業(yè)安全工具，來(lái)為局域網(wǎng)進(jìn)行保駕護(hù)航。然而在實(shí)際工作過(guò)程中，如果沒(méi)有現(xiàn)成的專(zhuān)業(yè)安全防范工具，也可以利用客戶端系統(tǒng)自帶的安全功能，保護(hù)自己的上網(wǎng)安全。

最后是人員方面，人員是企業(yè)信息外泄的重要途徑，其中我們可以將其分為兩大類(lèi)，一類(lèi)是內(nèi)部人員的泄密。這往往體現(xiàn)在員工將企業(yè)核心機(jī)密通過(guò)硬盤(pán)等設(shè)備將其帶出公司信息設(shè)備，并且造成遺失等現(xiàn)象，最終導(dǎo)致公司機(jī)密為外界所獲取，信息安全受到嚴(yán)重威脅。另一部分是黑客攻擊，這類(lèi)攻擊對(duì)公司造成的損失非常大。該行為的目標(biāo)就是獲取相應(yīng)的信息。隨著黑客技術(shù)的發(fā)展，傳統(tǒng)的防火墻甚至物理網(wǎng)閘斷開(kāi)都難以完全避免黑客的攻擊。目前企業(yè)繁多的保護(hù)程序?qū)诳偷姆雷o(hù)效果不佳，反倒給用戶帶來(lái)了諸多不便。

3企業(yè)信息安全改進(jìn)建議

3.1物理安全防護(hù)

網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)直接影響到企業(yè)的信息安全，局域網(wǎng)的網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)也成了信息防護(hù)的關(guān)鍵所在，一般情況下，企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下：

圖1內(nèi)部網(wǎng)拓?fù)浣Y(jié)構(gòu)圖

在整個(gè)流程中，核心交換機(jī)是關(guān)鍵，首先它必須滿足國(guó)家相關(guān)的規(guī)定標(biāo)準(zhǔn)，可以承載相應(yīng)的功能。機(jī)房設(shè)計(jì)要考慮到防盜、防火等，必須實(shí)行24小時(shí)監(jiān)控。硬件防火墻是我們進(jìn)行信息保護(hù)的一個(gè)重要措施，性能比軟件防火墻更為強(qiáng)大，這也決定了硬件防火墻的價(jià)格相對(duì)而言更為昂貴。硬件加密卡也是我們目前使用范圍比較廣泛的一個(gè)技術(shù)措施，它獨(dú)立于計(jì)算機(jī)系統(tǒng)，一般難以通過(guò)常用的軟件模擬方式來(lái)對(duì)其進(jìn)行攻擊，因此獨(dú)立性能更高。通過(guò)合理配置計(jì)算機(jī)硬件保護(hù)器，我們可以將信息保護(hù)的基礎(chǔ)工作做得更加有效，能夠?yàn)榭刂萍夹g(shù)風(fēng)險(xiǎn)和人為風(fēng)險(xiǎn)提供良好的基礎(chǔ)。

3.2技術(shù)安全

相對(duì)而言，技術(shù)安全是比較難以處理的，信息技術(shù)的發(fā)展非常迅速，我們難以面對(duì)層出不窮的網(wǎng)絡(luò)技術(shù)攻擊做出完全有效的防御，需要及時(shí)改變技術(shù)防御措施。

3.2.1數(shù)字簽名和加密技術(shù)

在網(wǎng)絡(luò)中，我們可以不斷發(fā)展傳統(tǒng)的數(shù)字簽名和加密技術(shù)，防止黑客的多種入侵。

我們可以以數(shù)字簽名為例，通過(guò)設(shè)定數(shù)字簽名，用戶在進(jìn)行各種操作時(shí)會(huì)打上自身的印記，可以防止除授權(quán)者以外的修改，能夠極大地提高整體的安全系數(shù)，抵御黑客的攻擊。在這個(gè)程序中，我們需要予以關(guān)注的是數(shù)字證書(shū)的獲取，一般有以下三個(gè)途徑：a使用相關(guān)軟件創(chuàng)建自身的數(shù)字證書(shū)；b從商業(yè)認(rèn)證授權(quán)機(jī)構(gòu)獲??；c從內(nèi)部專(zhuān)門(mén)負(fù)責(zé)認(rèn)證安全管理機(jī)構(gòu)獲取。

3.2.2入侵防護(hù)系統(tǒng)（IPS）

傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過(guò)，因此防火墻對(duì)于很多入侵攻擊仍然無(wú)計(jì)可施。絕大多數(shù)IDS系統(tǒng)都是被動(dòng)的，而入侵防護(hù)系統(tǒng)(IPS)則傾向于提供主動(dòng)防護(hù)，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過(guò)直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，即通過(guò)一個(gè)網(wǎng)絡(luò)端口接收來(lái)自外部系統(tǒng)的流量，經(jīng)過(guò)檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過(guò)另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來(lái)，有問(wèn)題的數(shù)據(jù)包，以及所有來(lái)自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被清除掉。

3.2.3統(tǒng)一威脅管理（UTM）

美國(guó)著名的IDC對(duì)統(tǒng)一威脅管理(UTM)安全設(shè)備的定義的是由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專(zhuān)門(mén)用途的設(shè)備，它主要提供一項(xiàng)或多項(xiàng)安全功能。它將多種安全特性集成于一個(gè)硬設(shè)備里，構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)。UTM設(shè)備應(yīng)該具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)/防御和網(wǎng)關(guān)防病毒功能。這幾項(xiàng)功能并不一定要同時(shí)都得到使用，不過(guò)它們應(yīng)該是UTM設(shè)備自身固有的功能。

UTM安全設(shè)備也可能包括其它特性，例如安全管理、日志、策略管理、服務(wù)質(zhì)量(QoS)、負(fù)載均衡、高可用性(HA)和報(bào)告帶寬管理等。不過(guò)，其它特性通常都是為主要的安全功能服務(wù)的。

3信息安全管理

這主要是針對(duì)人員管理而設(shè)定的，是企業(yè)內(nèi)部管理流程的一個(gè)重要方面，這是企業(yè)內(nèi)部管控制度的一個(gè)重要組成方面。

每個(gè)企業(yè)都要有明確的硬件設(shè)備管理制度，專(zhuān)人負(fù)責(zé)保管，監(jiān)督審查，確保硬件使用的合理和安全性。其次要對(duì)操作人員進(jìn)行足夠的培訓(xùn)，要求每一個(gè)使用人員都了解應(yīng)當(dāng)進(jìn)行的合理操作，明白可能存在的網(wǎng)絡(luò)安全隱患。第三要對(duì)數(shù)據(jù)保管有明確的責(zé)任和制度，防止大量數(shù)據(jù)的丟失，導(dǎo)致公司整體系統(tǒng)癱瘓。

為了進(jìn)一步加強(qiáng)和規(guī)范計(jì)算機(jī)信息系統(tǒng)安全，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室于2007年6月和7月聯(lián)合頒布了《信息安全等級(jí)保護(hù)管理辦法》和《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》，并召開(kāi)了全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作部署專(zhuān)題電視電話會(huì)議，標(biāo)志著我國(guó)信息安全等級(jí)保護(hù)制度歷經(jīng)十多年的探索正式開(kāi)始實(shí)施。

建立計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度，是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作中的一件大事，它直接關(guān)系到各行各業(yè)的計(jì)算機(jī)信息系統(tǒng)建設(shè)和管理，是一項(xiàng)復(fù)雜的社會(huì)化的系統(tǒng)工程，需要社會(huì)各界的共同參與。大中型企業(yè)應(yīng)該認(rèn)真學(xué)習(xí)《信息安全等級(jí)保護(hù)管理辦法》及相關(guān)技術(shù)標(biāo)準(zhǔn)規(guī)范，大力開(kāi)展培訓(xùn)工作，落實(shí)好信息網(wǎng)絡(luò)安全管理、安全技術(shù)、信息安全等崗位人員的繼續(xù)教育培訓(xùn)，不斷提高信息安全等級(jí)保護(hù)的能力與水平。

4結(jié)束語(yǔ)

在我們進(jìn)行企業(yè)信息安全管理過(guò)程中，企業(yè)及企業(yè)員工是否對(duì)信息安全工作有足夠的認(rèn)識(shí)十分重要，企業(yè)領(lǐng)導(dǎo)和上層應(yīng)該對(duì)企業(yè)信息安全工作給予必要的關(guān)注，企業(yè)信息安全不能僅僅依靠專(zhuān)業(yè)的IT技術(shù)人員，它需要我們?nèi)w企業(yè)員工的共同努力。

參考文獻(xiàn)：

[1]孫博.企業(yè)信息安全及相關(guān)技術(shù)概述[J].科技創(chuàng)新導(dǎo)報(bào),2009(04).

[2]徐國(guó)芹.淺議如何建立企業(yè)信息安全體系架構(gòu)[J].中國(guó)高新技術(shù)企業(yè),2009(5).

[3]王東.“北京移動(dòng)案”暴露信息安全管理軟肋[J].中國(guó)新通信,2006(6).

[4]吳輝.淺談企業(yè)信息安全管理方案[J].科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì),2010(25).

[5]徐新件,朱健華.關(guān)于企業(yè)網(wǎng)絡(luò)信息安全管理問(wèn)題研究[J].供電企業(yè)管理,2008(2).

[6]汪紅梅.我國(guó)信息安全保障體系存在的問(wèn)題及對(duì)策芻議[J].信息網(wǎng)絡(luò)安全,2008(2).

[7]盛玉.檔案信息安全與安全保障體系內(nèi)容的關(guān)系分析[J].網(wǎng)絡(luò)財(cái)富,2009(12).