導(dǎo)語：如何才能寫好一篇審計(jì)信息安全管理，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】建筑深基坑；基坑支護(hù)；技術(shù)管理

中圖分類號(hào)： TV551 文獻(xiàn)標(biāo)識(shí)碼： A

一、引言

隨著國(guó)民經(jīng)濟(jì)的迅猛發(fā)展，建筑業(yè)蓬勃發(fā)展．城市中心為了節(jié)省建筑用地和滿足停車位要求，各地人防管理部門、城市規(guī)劃部門均要求新建工程必須按一定比例建設(shè)戰(zhàn)時(shí)防空地下室平時(shí)作為地下停車場(chǎng)和設(shè)備用房的地下室。在給城市提供寶貴的建筑空間的同時(shí)．與基坑有關(guān)的安全事故也時(shí)有發(fā)生。輕者基坑邊坡位移，周邊道路、建筑物開裂；重者基坑整體失穩(wěn)破壞．傾覆坍塌，人員傷亡，周邊市政管網(wǎng)遭到破壞．毗鄰房屋結(jié)構(gòu)安全受到影響建筑深基坑的安全隱患和事故已經(jīng)引起各級(jí)政府建設(shè)行政主管部門和業(yè)內(nèi)人士的高度關(guān)注住建部于2009年5月印發(fā)《危險(xiǎn)性較大的分部分項(xiàng)工程安全管理辦法》(建質(zhì)[2009]87號(hào))，文中要求深基坑支護(hù)設(shè)計(jì)方案及深基坑工程專項(xiàng)施工方案均必須通過專家論證會(huì)．可見其重要性。

二、中心城區(qū)建筑深基坑的特點(diǎn)

中心城區(qū)建筑深基坑主要有如下特點(diǎn)：基坑周邊接近建筑用地紅線．基坑支護(hù)不允許超越紅線，基坑周邊地下存在大量電纜、光纜、給排水管道、液化氣管道和城市道路等基坑支護(hù)要求嚴(yán)格控制支護(hù)結(jié)構(gòu)的位移和地面、管道的變形；基坑深度超過鄰近建筑物基礎(chǔ)的埋深．基坑土方開挖及降水不能影響鄰近建筑的結(jié)構(gòu)安全基坑周邊需要材料堆場(chǎng)．可供材料、土方運(yùn)輸?shù)牡缆肥芟?，基坑支護(hù)要考慮該處的地面超載等等有的基坑邊還存在古建筑或古樹等，須重點(diǎn)保護(hù)?？傊鞘兄行膮^(qū)建筑深基坑工程的特點(diǎn)是周邊環(huán)境因素復(fù)雜．須監(jiān)測(cè)保護(hù)的項(xiàng)目多．基坑支護(hù)不僅要滿足本基坑工程土方的開挖要求。同時(shí)還要保護(hù)好周邊的環(huán)境。

三、建筑深基坑事故的主要表現(xiàn)形式和原因

(1)深基坑工程施工中的安全事故主要表現(xiàn)形式有：

1)基坑支護(hù)結(jié)構(gòu)局部破壞．局部側(cè)壁出現(xiàn)塌方，擋土樁出現(xiàn)開裂。

2)基坑截水帷幕功能失效．基坑大量進(jìn)水或涌沙、涌泥。

3)基坑底部土體嚴(yán)重隆起。

4)基坑支護(hù)結(jié)構(gòu)嚴(yán)重位移或破壞、或地下降水不當(dāng)引起基坑周邊道路、地下管線、建筑物變形、破壞。

5)基坑支護(hù)結(jié)構(gòu)整體失穩(wěn)坍塌，嚴(yán)重影響周邊的環(huán)境

(2)引起建筑基坑工程事故的主要原因有：

1)地址勘察單位提供的基坑巖土勘察資料不準(zhǔn)確，不完整

2)設(shè)計(jì)單位提供的基坑支護(hù)設(shè)計(jì)方案不合理或存在嚴(yán)重的安全問題

3)施工單位對(duì)基坑工程不重視，未按規(guī)定編制可行的施工方案而隨意施工

4)基坑工程施工方案存在嚴(yán)重的缺陷

5)施工單位雖編制了切實(shí)可行的施工方案，但是在施工中為了省造價(jià)或趕工期而未按方案實(shí)施。

6)監(jiān)測(cè)單位提供的監(jiān)測(cè)資料不及時(shí)或資料有誤、不完整

7)基坑工程施工中遇到突發(fā)事故沒有切實(shí)可靠的應(yīng)急處理方案

8)其他不可預(yù)知的因素或自然災(zāi)害引起的基坑事故

四、建筑深基坑工程安全控制要點(diǎn)

(1)建筑基坑工程巖土勘察報(bào)告應(yīng)準(zhǔn)確完整巖土工程勘察報(bào)告(以下簡(jiǎn)稱勘察報(bào)告)是基坑支護(hù)設(shè)計(jì)方案和降水方案的重要依據(jù)．其是否準(zhǔn)確完整將對(duì)基坑支護(hù)設(shè)計(jì)方案產(chǎn)生重大的影響?？辈靾?bào)告應(yīng)滿足《建筑基坑支護(hù)技術(shù)規(guī)程》JGJ120―2012要求的深度，如基坑勘探點(diǎn)的位置、深度、間距，各含水土層地下水的埋深分布、水量大小、變化幅度、滲透參數(shù)、影響半徑等?！犊辈靾?bào)告》應(yīng)提供“基坑支護(hù)主要參數(shù)值”，如各土層的重度、內(nèi)聚力、摩擦角、樁周土的側(cè)阻力特征值等?！犊辈靾?bào)告》還應(yīng)查明基坑周邊環(huán)境條件，如周邊建筑的結(jié)構(gòu)類型、層數(shù)、位置、基礎(chǔ)形式、埋深；周邊地下管網(wǎng)的分布、埋深；周邊道路的位置、寬度、道路行駛情況、最大車輛荷載等．并提出基坑支護(hù)的建議方案

(2)建筑深基坑支護(hù)設(shè)計(jì)方案應(yīng)做到技術(shù)先進(jìn)、安全可靠、經(jīng)濟(jì)合理、切實(shí)可行。

l基坑支護(hù)設(shè)計(jì)方案對(duì)基坑工程的安全起關(guān)鍵性作用。基坑支護(hù)設(shè)計(jì)．其核心是為地下室基坑土方開挖施工提供技術(shù)支持基坑支護(hù)設(shè)計(jì)方案主要包含如下內(nèi)容：

①用于基坑擋土的支擋結(jié)構(gòu)設(shè)計(jì)；

②用于排水、隔水的地下水處理方案：

③用于土方分層開挖的側(cè)壁支護(hù)方案：

④對(duì)周邊環(huán)境的保護(hù)方案；

⑤對(duì)支護(hù)結(jié)構(gòu)、工程樁、周邊環(huán)境的監(jiān)測(cè)方案等。

2)基坑支護(hù)設(shè)計(jì)執(zhí)業(yè)人員應(yīng)具備一定的巖土工程和建筑結(jié)構(gòu)專業(yè)知識(shí)以及豐富的實(shí)踐經(jīng)驗(yàn)．并以科學(xué)嚴(yán)謹(jǐn)、認(rèn)真負(fù)責(zé)的工作態(tài)度進(jìn)行方案設(shè)計(jì)。

一級(jí)基坑工程支護(hù)應(yīng)由注冊(cè)巖土工程師和一級(jí)注冊(cè)結(jié)構(gòu)工程師聯(lián)合設(shè)計(jì)基坑支護(hù)設(shè)計(jì)方案要做到技術(shù)先進(jìn)、安全可靠、經(jīng)濟(jì)合理，確保基坑工程及周邊環(huán)境的安全．主要考慮以下幾個(gè)方面：

①基坑支護(hù)設(shè)計(jì)前．要仔細(xì)研究勘察報(bào)告的有關(guān)內(nèi)容，并到現(xiàn)場(chǎng)查明基坑周邊環(huán)境條件如基坑所處位置的地形、地貌、地質(zhì)成因、各土層的物理指標(biāo)，水位的高低及水壓力的大?。夯又苓吔?構(gòu))筑物、地下管網(wǎng)、道路等情況。對(duì)勘察報(bào)告描述不清或數(shù)據(jù)明顯有誤的地方．要求提出專項(xiàng)勘察．補(bǔ)充修正。

②支護(hù)設(shè)計(jì)方案比選。應(yīng)針對(duì)基坑深度、規(guī)模、周邊環(huán)境的情況盡可能設(shè)計(jì)多種方案．并進(jìn)行技術(shù)、安全、經(jīng)濟(jì)比較后，選擇安全經(jīng)濟(jì)型的設(shè)計(jì)方案。對(duì)于工程等級(jí)為一級(jí)．基坑開挖深度大于4m?；虻刭|(zhì)條件、周邊環(huán)境和地下管線復(fù)雜，或毗鄰建筑物安全的基坑工程．設(shè)計(jì)方案應(yīng)聘請(qǐng)當(dāng)?shù)亟?jīng)驗(yàn)豐富的專家進(jìn)行技術(shù)論證

③基坑支護(hù)設(shè)計(jì)方案應(yīng)綜合考慮工程地質(zhì)與水文地質(zhì)條件，主體地下結(jié)構(gòu)要求，基坑開挖深度，降排水條件．周邊環(huán)境對(duì)側(cè)壁位移的要求．基坑周邊荷載，周邊建(構(gòu))筑物基礎(chǔ)的類型、埋深、間距，周邊道路、地下管線，當(dāng)?shù)厥┕すに囁剑邮┕ぜ竟?jié)變化．支護(hù)結(jié)構(gòu)合理使用期限等因素．做到因地制宜、因時(shí)制宜、技術(shù)先進(jìn)、安全可靠、經(jīng)濟(jì)合理、切實(shí)可行目前國(guó)內(nèi)沿海軟土地區(qū)單層地下室常采

用的支護(hù)結(jié)構(gòu)有重力式水泥土墻、土釘墻、復(fù)合土釘墻、排樁。兩層及兩層以上地下室采用排樁加內(nèi)支撐，樁型有PHC管樁、鋼筋砼灌注樁、拉森板樁、三軸水泥攪拌樁(SMW工法)內(nèi)插型鋼、鋼管樁等，還有造價(jià)較高的地下連續(xù)墻．逆作拱墻等

(3)深基坑工程施工方法、土方開挖順序應(yīng)與設(shè)計(jì)工況相一致。

基坑工程施工前．施工單位應(yīng)組織專業(yè)技術(shù)人員，依據(jù)基坑支護(hù)設(shè)計(jì)施工圖、巖土勘察報(bào)告、主體地下結(jié)構(gòu)施工圖、項(xiàng)目總體施工組織設(shè)計(jì)方案、現(xiàn)行規(guī)范規(guī)程標(biāo)準(zhǔn)等資料編制施工專項(xiàng)方案方案中主要包含以下內(nèi)容：

1)編制依據(jù)：相關(guān)法律法規(guī)、規(guī)范規(guī)程．施工組織設(shè)計(jì)，勘察報(bào)告，施工圖等；

2)工程概況：施工總平圖．工程等級(jí)．基坑開挖深度、基坑面積、周長(zhǎng)，支護(hù)形式等：

3)施工方法：施工工藝，工藝流程。技術(shù)參數(shù)等：

4)施工計(jì)劃：人員、材料、設(shè)備、機(jī)械計(jì)劃．進(jìn)度計(jì)劃等：

5)安全組織：建立專項(xiàng)安全管理機(jī)構(gòu)：6)質(zhì)量安全保證措施：質(zhì)量檢測(cè)，檢測(cè)方法，安全管理措施等：

7)降排水措施：

8)基坑及周邊環(huán)境監(jiān)測(cè)要求：

9)環(huán)境保護(hù)措施：

10)應(yīng)急預(yù)案等：

11)相關(guān)附圖及計(jì)算書。

如基坑工程屬于住建部規(guī)定的超過一定規(guī)模的危險(xiǎn)性較大的分部分項(xiàng)工程時(shí)．施工單位還要就該方案組織專家論證會(huì)?；油练介_挖應(yīng)與土釘、錨桿及降水施工密切結(jié)合．開挖順序、方法應(yīng)與設(shè)計(jì)工況相一致對(duì)于復(fù)合土釘墻施工必須符合“超前支護(hù)、分層分段、逐層施作、限時(shí)封閉、嚴(yán)禁超挖”的要求，做到動(dòng)態(tài)設(shè)計(jì)、信息化施工。施工中遇到地質(zhì)情況與勘察報(bào)告不符或未探明的地質(zhì)等特殊情況。應(yīng)及時(shí)與設(shè)計(jì)、相關(guān)技術(shù)人員和專家會(huì)商，制定相應(yīng)的對(duì)應(yīng)措施．出現(xiàn)危險(xiǎn)征兆．應(yīng)立即啟動(dòng)應(yīng)急預(yù)案。

篇2

衛(wèi)生監(jiān)督信息系統(tǒng)信息安全技術(shù)體系建設(shè)，嚴(yán)格遵循等級(jí)保護(hù)第三級(jí)的技術(shù)要求進(jìn)行詳細(xì)設(shè)計(jì)、技術(shù)選擇、產(chǎn)品選型、產(chǎn)品部署。技術(shù)體系從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等5個(gè)方面進(jìn)行設(shè)計(jì)。

1.物理安全

衛(wèi)生監(jiān)督中心現(xiàn)有南北兩個(gè)機(jī)房，機(jī)房及相關(guān)配套設(shè)施面積總計(jì)160平方米。北機(jī)房部署等級(jí)保護(hù)第三級(jí)信息系統(tǒng)，南機(jī)房部署等級(jí)保護(hù)第二級(jí)信息系統(tǒng)，實(shí)現(xiàn)了第三級(jí)系統(tǒng)與第二級(jí)系統(tǒng)物理環(huán)境隔離。根據(jù)等級(jí)保護(hù)有關(guān)要求，機(jī)房均采用了精密空調(diào)、門禁系統(tǒng)、環(huán)境監(jiān)測(cè)系統(tǒng)等設(shè)備設(shè)施及技術(shù)手段，有效地保證了機(jī)房的物理安全。

2.網(wǎng)絡(luò)安全

主干網(wǎng)絡(luò)鏈路均采用雙鏈路連接，關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備均采用雙機(jī)冗余方式，避免單點(diǎn)故障。采用防火墻、入侵防護(hù)系統(tǒng)、DDoS系統(tǒng)進(jìn)行邊界防護(hù)，各網(wǎng)絡(luò)區(qū)域之間采用防火墻進(jìn)行區(qū)域隔離，在對(duì)外服務(wù)區(qū)部署了入侵檢測(cè)系統(tǒng)，在交換服務(wù)區(qū)部署了網(wǎng)絡(luò)審計(jì)系統(tǒng)。在核心數(shù)據(jù)區(qū)部署了數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)行為進(jìn)行監(jiān)控和記錄。在安全管理區(qū)部署安全管理系統(tǒng)，實(shí)現(xiàn)設(shè)備日志的統(tǒng)一收集及分析。

3.主機(jī)安全

所有服務(wù)器和管理終端配置了密碼安全策略；禁止用戶遠(yuǎn)程管理，管理用戶必須進(jìn)入機(jī)房通過KVM進(jìn)行本地管理；所有服務(wù)器和管理終端進(jìn)行了補(bǔ)丁更新，刪除了多余賬戶，關(guān)閉了不必要的端口和服務(wù)；所有服務(wù)器和管理終端開啟了安全審計(jì)功能；通過對(duì)數(shù)據(jù)庫(kù)的安全配置，實(shí)現(xiàn)管理用戶和特權(quán)用戶的分離，并實(shí)現(xiàn)最小授權(quán)要求。

4.應(yīng)用安全

衛(wèi)生監(jiān)督中心7個(gè)應(yīng)用系統(tǒng)均完成了定級(jí)備案，并按照等級(jí)保護(hù)要求開展了測(cè)評(píng)工作。應(yīng)用服務(wù)器采取了集群工作部署，保證了系統(tǒng)的高可用性，同時(shí)建立了安全審計(jì)功能模塊，記錄登錄日志、業(yè)務(wù)操作日志、系統(tǒng)操作日志3種日志，并實(shí)現(xiàn)查詢和審計(jì)統(tǒng)計(jì)功能，配置了獨(dú)立的審計(jì)賬戶。門戶網(wǎng)站也采用了網(wǎng)頁防篡改、DDoS等系統(tǒng)。信息安全等級(jí)保護(hù)第三級(jí)系統(tǒng)管理人員及高權(quán)限用戶均使用CA證書登錄相應(yīng)系統(tǒng)。

5.數(shù)據(jù)安全及備份恢復(fù)

衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器使用了雙機(jī)熱備，應(yīng)用服務(wù)器采用多機(jī)負(fù)載均衡，每天本地備份，保證了業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定和可靠運(yùn)行。其余等級(jí)保護(hù)第三級(jí)信息系統(tǒng)使用了雙機(jī)備份，無論是軟件還是硬件問題，都可以及時(shí)準(zhǔn)確地進(jìn)行恢復(fù)并正常提供服務(wù)。同時(shí)，衛(wèi)生監(jiān)督中心在云南建立了異地?cái)?shù)據(jù)備份中心，每天進(jìn)行增量備份，每周對(duì)數(shù)據(jù)進(jìn)行一次全備份。備份數(shù)據(jù)在一定時(shí)間內(nèi)進(jìn)行恢復(fù)測(cè)試，保證備份的有效性。

二、信息安全管理體系

在開展信息安全等級(jí)保護(hù)工作中，我們深刻體會(huì)到，信息安全工作“三分靠技術(shù)，七分靠管理”。為保證信息安全等級(jí)保護(hù)工作順利進(jìn)行，參考ISO/IEC27001《信息安全管理體系要求》，衛(wèi)生監(jiān)督中心建立了符合實(shí)際工作情況的信息安全管理制度體系，明確了“統(tǒng)一領(lǐng)導(dǎo)，技管并重；預(yù)防為主，責(zé)權(quán)分明；重點(diǎn)防護(hù)，適度安全”的安全方針，涵蓋等級(jí)保護(hù)管理要求中安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五大方面的要求。衛(wèi)生監(jiān)督中心建立了較為完善的信息安全責(zé)任制，設(shè)立了信息安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組組長(zhǎng)由衛(wèi)生監(jiān)督中心主任擔(dān)任，成員由衛(wèi)生監(jiān)督中心有關(guān)處室負(fù)責(zé)人組成，信息處作為信息安全工作辦公室負(fù)責(zé)衛(wèi)生監(jiān)督中心日常信息安全管理工作。信息處設(shè)立了信息安全管理崗位，分別為網(wǎng)絡(luò)管理員、系統(tǒng)管理員、應(yīng)用管理員、安全管理員、安全審計(jì)員、機(jī)房管理員，并建立了信息安全崗位責(zé)任制度。此外，衛(wèi)生監(jiān)督中心依據(jù)上年度運(yùn)維中存在的信息安全隱患每年對(duì)其進(jìn)行修訂，確保信息安全工作落到實(shí)處。

三、信息安全運(yùn)維體系

在信息安全工作中，建立信息安全管理制度不是目的，要以信息安全等級(jí)保護(hù)有關(guān)要求指導(dǎo)信息安全運(yùn)維實(shí)踐。衛(wèi)生監(jiān)督中心結(jié)合實(shí)際情況，編制了《國(guó)家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)運(yùn)行維護(hù)工作規(guī)范》，從運(yùn)行維護(hù)流程、資源管理和環(huán)境管理三個(gè)方面進(jìn)行了規(guī)范，將安全運(yùn)維理念落到實(shí)處。運(yùn)維人員在實(shí)際工作中，嚴(yán)格按照工作規(guī)范要求。利用衛(wèi)生監(jiān)督中心OA系統(tǒng)，建立了統(tǒng)一的服務(wù)臺(tái)，實(shí)現(xiàn)了事件、問題的全流程閉環(huán)管理（即：發(fā)現(xiàn)問題、登記問題、解決問題、解決反饋、解決確認(rèn)）。年均處理信息安全事件近百件，將信息安全問題消滅在萌芽階段，有效地保證了信息系統(tǒng)穩(wěn)定運(yùn)行，保證了衛(wèi)生監(jiān)督中心信息安全目標(biāo)和方針的實(shí)現(xiàn)。

四、信息安全等級(jí)保護(hù)實(shí)踐經(jīng)驗(yàn)

1.規(guī)范管理，細(xì)化流程

衛(wèi)生監(jiān)督中心從安全管理制度、安全管理組織機(jī)構(gòu)及人員、安全建設(shè)管理和安全運(yùn)維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設(shè)，為國(guó)家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)運(yùn)維管理工作中安全管理提供了重要指導(dǎo)。國(guó)家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)運(yùn)維工作從安全管理體系的建設(shè)中吸取了很多有益經(jīng)驗(yàn)，不僅合理調(diào)配了運(yùn)維管理人員，落實(shí)了運(yùn)維管理組織機(jī)構(gòu)和崗位職責(zé)，而且細(xì)化了運(yùn)維管理流程，形成了“二級(jí)三線”的運(yùn)維處理機(jī)制。

2.循序漸進(jìn)，持續(xù)完善

篇3

【關(guān)鍵詞】電力企業(yè)信息安全管理策略

電力是國(guó)民經(jīng)濟(jì)的命脈，電力系統(tǒng)的安全穩(wěn)定，不但直接關(guān)系到國(guó)家經(jīng)濟(jì)的發(fā)展，還對(duì)民眾的日常生活有著巨大的影響。當(dāng)前隨著電力企業(yè)市場(chǎng)業(yè)務(wù)的不斷開展，其與互聯(lián)網(wǎng)的聯(lián)系也越來越密切，但互聯(lián)網(wǎng)存在著很大的自由性和不確定性，可能會(huì)給電力企業(yè)帶來潛在的不安全因素。而當(dāng)前電力企業(yè)的信息安全建設(shè)僅僅停留在封堵現(xiàn)有安全漏洞的階段，對(duì)于系統(tǒng)整體的信息安全意識(shí)還不夠。因此有必要對(duì)電力企業(yè)信息系統(tǒng)整體安全管理進(jìn)行分析研究，有針對(duì)性的采取應(yīng)對(duì)策略，確保電力企業(yè)網(wǎng)絡(luò)信息可以實(shí)現(xiàn)安全穩(wěn)定運(yùn)行。

1做好安全規(guī)劃

做好電力企業(yè)的網(wǎng)絡(luò)安全信息規(guī)劃需要做到以下兩點(diǎn)：

（1）要對(duì)電力企業(yè)的網(wǎng)絡(luò)管理進(jìn)行科學(xué)合理的規(guī)劃，要結(jié)合實(shí)際情況對(duì)電力企業(yè)的網(wǎng)絡(luò)信息安全管理進(jìn)行綜合考量，從整體上對(duì)網(wǎng)絡(luò)信息安全進(jìn)行考慮和布置。網(wǎng)絡(luò)安全信息管理的具體開展主要依靠于安全管理體系，這一點(diǎn)上可以參照一些國(guó)外經(jīng)驗(yàn)；

（2）電力企業(yè)因自身的獨(dú)特性質(zhì)，需要使用物理隔離的方法將內(nèi)外網(wǎng)隔離開來，內(nèi)網(wǎng)方面要合理規(guī)劃安全區(qū)域，要結(jié)合實(shí)際情況，將安全區(qū)域劃分成重點(diǎn)防范區(qū)域與普通防范區(qū)域。電力企業(yè)信息安全的內(nèi)部核心是重點(diǎn)防范區(qū)域，在此區(qū)域應(yīng)當(dāng)設(shè)置訪問權(quán)限，權(quán)限不足的普通用戶無法查看網(wǎng)頁。重要的數(shù)據(jù)運(yùn)行如OA系統(tǒng)和應(yīng)用系統(tǒng)等應(yīng)該在安全區(qū)域內(nèi)進(jìn)行，這樣可以保證其信息安全。

2加強(qiáng)制度建設(shè)

安全制度是保障電力企業(yè)網(wǎng)絡(luò)信息安全的關(guān)鍵部分，安全制度可以提升企業(yè)員工和企業(yè)領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)信息安全的意識(shí)，電力企業(yè)需要將安全制度作為企業(yè)的工作核心，要結(jié)合當(dāng)前的實(shí)際情況，建立起符合電力企業(yè)網(wǎng)絡(luò)信息安全的管理制度，具體操作如下：

（1）做好安全審計(jì)，很多入侵檢測(cè)系統(tǒng)都有審計(jì)日志的功能，加強(qiáng)安全制度建設(shè)就需要利用好檢測(cè)系統(tǒng)的審計(jì)功能，做好對(duì)網(wǎng)絡(luò)日常工作的管理工作，對(duì)審計(jì)的數(shù)據(jù)必須要進(jìn)行嚴(yán)格的管理，不經(jīng)過允許任何人不得擅自修改刪除審計(jì)記錄。

（2）電力企業(yè)網(wǎng)絡(luò)系統(tǒng)需要安裝防病毒軟件來保障網(wǎng)絡(luò)信息的安全，安裝的防病毒軟件需要具備遠(yuǎn)程安裝、報(bào)警及集中管理等功能。此外，電力企業(yè)要建立好網(wǎng)絡(luò)使用管理制度，不要隨便將網(wǎng)絡(luò)上下載的數(shù)據(jù)復(fù)制在內(nèi)網(wǎng)主機(jī)上，不要讓來歷不清的存儲(chǔ)設(shè)備在企業(yè)的計(jì)算機(jī)中隨意使用。

（3）電力企業(yè)的管理者要高度重視其企業(yè)的網(wǎng)絡(luò)安全制度建設(shè)，不要把網(wǎng)絡(luò)信息安全管理僅僅看作是技術(shù)部門的工作，企業(yè)中應(yīng)建立起一支專門負(fù)責(zé)網(wǎng)絡(luò)信息安全的工作領(lǐng)導(dǎo)小組，要做好對(duì)企業(yè)內(nèi)所有職工的培訓(xùn)，最好能讓每一名職工都擁有熟練掌握網(wǎng)絡(luò)信息安全管理的能力。企業(yè)管理者要明確相關(guān)負(fù)責(zé)人的工作職責(zé)，定期對(duì)網(wǎng)絡(luò)安全工作開展督導(dǎo)檢查，管理制度需要具備嚴(yán)肅性、強(qiáng)制性和權(quán)威性，安全制度一旦形成，就必須要求職工嚴(yán)格執(zhí)行。

3設(shè)置漏洞防護(hù)

隨著當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，很多已經(jīng)投入運(yùn)行性的網(wǎng)絡(luò)信息系統(tǒng)和設(shè)備的技術(shù)漏洞也隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展而日益增加，這在很大程度上給了不法分子竊取電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)數(shù)據(jù)的機(jī)會(huì)，對(duì)此電力企業(yè)需要做好以下兩項(xiàng)工作：

（1）電力企業(yè)需要利用一些漏洞掃描技術(shù)來維護(hù)企業(yè)的網(wǎng)絡(luò)安全，要對(duì)企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)經(jīng)常開展掃描工作，從而及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞并完成修復(fù)。這樣可以提升企業(yè)網(wǎng)絡(luò)信息安全系數(shù)，不但能阻斷不法分子入侵企業(yè)信息系統(tǒng)的途徑，還可以使企業(yè)避免需要經(jīng)常性更換網(wǎng)絡(luò)信息系統(tǒng)設(shè)備可能增加的經(jīng)濟(jì)負(fù)擔(dān)，從而促進(jìn)企業(yè)實(shí)現(xiàn)長(zhǎng)遠(yuǎn)發(fā)展；

（2）電力企業(yè)需要提升對(duì)網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)防范意識(shí)，增強(qiáng)企業(yè)應(yīng)對(duì)突發(fā)事件的應(yīng)急處理能力，針對(duì)不同的信息安全風(fēng)險(xiǎn)需要設(shè)置好不同的預(yù)警機(jī)制。要定期檢查企業(yè)的網(wǎng)絡(luò)信息安全技術(shù)，防止網(wǎng)絡(luò)安全漏洞的出現(xiàn)。還要及時(shí)做好對(duì)網(wǎng)絡(luò)信息防護(hù)新手段的更新工作，從而提升企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的保護(hù)強(qiáng)度。

4提高管理手段

科學(xué)合理的企業(yè)網(wǎng)絡(luò)信息安全管理手段不僅可以維持電力企業(yè)的工作進(jìn)度，還能有效規(guī)避企業(yè)網(wǎng)絡(luò)信息中所存在的安全隱患。提高企業(yè)網(wǎng)絡(luò)信息安全管理手段需要做到以下兩點(diǎn)：

（1）建立入侵保護(hù)系統(tǒng)IPS，提升企業(yè)網(wǎng)絡(luò)信息安全管理指標(biāo)。在電力企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中建立網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)IPS，可以為網(wǎng)絡(luò)信息提供一種快速主動(dòng)的防御體系，IPS的設(shè)計(jì)理念是對(duì)常規(guī)網(wǎng)絡(luò)流量中攜帶的惡意數(shù)據(jù)包進(jìn)行數(shù)據(jù)安全檢測(cè)，若發(fā)現(xiàn)可疑數(shù)據(jù)IPS將發(fā)揮網(wǎng)絡(luò)安全防御功能，來阻止可疑數(shù)據(jù)侵入電力系統(tǒng)的網(wǎng)絡(luò)信息系統(tǒng)。與常規(guī)的網(wǎng)絡(luò)防火墻相比，IPS具備更加完善的安全防御功能，其不僅能對(duì)網(wǎng)絡(luò)惡意數(shù)據(jù)流量進(jìn)行檢測(cè)還能夠及時(shí)消除隱患。此外，IPS還能為電力企業(yè)的網(wǎng)絡(luò)提供虛擬補(bǔ)丁，從而預(yù)先對(duì)黑客攻擊和網(wǎng)絡(luò)病毒做出攔截，保證企業(yè)的網(wǎng)絡(luò)不受損害；

（2）電力企業(yè)要加大對(duì)新型網(wǎng)絡(luò)信息安全技術(shù)的研發(fā)投入，在組建企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)時(shí)，要對(duì)系統(tǒng)各組成部分做嚴(yán)格檢查，確保設(shè)備符合安全標(biāo)準(zhǔn)。對(duì)于組建網(wǎng)絡(luò)信息系統(tǒng)所需要的設(shè)備和部件則必須要求供應(yīng)商提供相應(yīng)的安檢報(bào)告，嚴(yán)防設(shè)備和部件的安全隱患。對(duì)于企業(yè)已投入使用的系統(tǒng)和設(shè)備，必須定期做好檢查，以確保安全系統(tǒng)能夠順利有效的開展防護(hù)工作。

5總結(jié)

綜上所述，本文通過維護(hù)電力企業(yè)網(wǎng)絡(luò)信息安全管理的相關(guān)策略進(jìn)行研究發(fā)現(xiàn)，運(yùn)用做好安全規(guī)劃、加強(qiáng)制度建設(shè)、設(shè)置漏洞防護(hù)和提高管理手段四項(xiàng)措施可以起到提升企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的保護(hù)強(qiáng)度、建立起符合電力企業(yè)網(wǎng)絡(luò)信息安全的管理制度從而確保安全系統(tǒng)能夠順利有效的開展防護(hù)工作的良好效果，希望本文的研究可以更好的提升我國(guó)電力企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)的安全管理水平，為維護(hù)我國(guó)電力系統(tǒng)的安全運(yùn)行做出貢獻(xiàn)。

參考文獻(xiàn) 

[1]鄭玉山.電力企業(yè)網(wǎng)絡(luò)和信息安全管理策略思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（06）：121+123. 

篇4

關(guān)鍵詞：審計(jì)；信息化，安全保障體系；主機(jī)審計(jì)

審計(jì)是客觀評(píng)價(jià)個(gè)人，組織、制度、程序、項(xiàng)目或產(chǎn)品。審計(jì)執(zhí)行是以確定有效性和可靠性的信息，還提供了一個(gè)可內(nèi)控的評(píng)估系統(tǒng)。審計(jì)的目標(biāo)是表達(dá)人、組織、系統(tǒng)等的評(píng)估意見，審計(jì)人員在測(cè)試環(huán)境中進(jìn)行評(píng)估工作。審計(jì)必須出示合理并基本無誤的報(bào)表，通常是利用統(tǒng)計(jì)抽樣來完成。審計(jì)也是用來考察和防止虛假數(shù)據(jù)及欺騙行為，檢查、考證目標(biāo)的完整性、準(zhǔn)確性，以及檢查目標(biāo)是否符合既定的標(biāo)準(zhǔn)、尺度和其它審計(jì)準(zhǔn)則。實(shí)現(xiàn)審計(jì)的信息化，有利于管理層迅速準(zhǔn)確的做出決定，對(duì)于政企業(yè)發(fā)展、社會(huì)經(jīng)濟(jì)的進(jìn)步都具有重要作用。目前，我國(guó)的審計(jì)工作尚存在性質(zhì)認(rèn)定模糊、工作范圍過于狹窄等問題，有待進(jìn)一步加強(qiáng)和改進(jìn)。

審計(jì)的基礎(chǔ)工作是內(nèi)部審計(jì)，內(nèi)審是審計(jì)監(jiān)督體系中不可或缺的重要組成部分，是全面經(jīng)濟(jì)管理必不可少的手段，是加強(qiáng)任何機(jī)構(gòu)內(nèi)部管理的必要，推動(dòng)經(jīng)濟(jì)管理向科學(xué)化方向發(fā)展的重要環(huán)節(jié)也是審計(jì)。因此說審計(jì)部門是其他監(jiān)督部門不能代替的，促進(jìn)黨風(fēng)廉政建設(shè)、加強(qiáng)對(duì)黨政領(lǐng)導(dǎo)干部及管理人員的監(jiān)督都可以通過審計(jì)來完成。審計(jì)應(yīng)用與高新技術(shù)機(jī)構(gòu)中，在防范風(fēng)險(xiǎn)中發(fā)揮著重要作用，也有助于領(lǐng)導(dǎo)層做出正確決策。

一、審計(jì)工作的現(xiàn)狀及存在的問題

隨著我國(guó)經(jīng)濟(jì)迅猛發(fā)展，審計(jì)監(jiān)督力度不斷增強(qiáng)，審計(jì)范圍也不斷擴(kuò)大。當(dāng)前，審計(jì)方式已由財(cái)政財(cái)務(wù)審計(jì)向效益審計(jì)發(fā)展，由賬項(xiàng)基礎(chǔ)審計(jì)向制度基礎(chǔ)審計(jì)、風(fēng)險(xiǎn)基礎(chǔ)審計(jì)發(fā)展，由事后審計(jì)向事中、事前審計(jì)發(fā)展。審計(jì)管理上建立審計(jì)質(zhì)量控制體系，要求審計(jì)機(jī)關(guān)把審計(jì)管理工作前移，把質(zhì)量控制體系貫穿與審計(jì)工作中。在此趨勢(shì)下，傳統(tǒng)的審計(jì)方法暴露出其效率低、審計(jì)范圍小等劣勢(shì)，使得完成審計(jì)任務(wù)，達(dá)到審計(jì)目標(biāo)越發(fā)缺乏及時(shí)性。

(一)內(nèi)部審計(jì)性質(zhì)認(rèn)定較為模糊。內(nèi)部審計(jì)是市場(chǎng)經(jīng)濟(jì)條件下，基于加強(qiáng)經(jīng)營(yíng)管理的內(nèi)在需要，也是內(nèi)部審計(jì)賴以存在的客觀基礎(chǔ)。但是，現(xiàn)代內(nèi)部審計(jì)的產(chǎn)生卻是一個(gè)行政命令產(chǎn)物，強(qiáng)調(diào)外向。這種審計(jì)模式使人們對(duì)內(nèi)部審計(jì)在性質(zhì)認(rèn)定上產(chǎn)生模糊，阻礙了內(nèi)部審計(jì)的發(fā)展。內(nèi)部審計(jì)很難融入經(jīng)營(yíng)管理中，審計(jì)工作很難正常開展，很難履行監(jiān)督評(píng)價(jià)職能和開展保證咨詢活動(dòng)，因此就不能充分發(fā)揮其應(yīng)有的內(nèi)向的作用。

(二)內(nèi)部審計(jì)工作范圍過于狹窄。內(nèi)部審計(jì)的目的在于為組織增加價(jià)值并提高組織的運(yùn)作效率，其職能是監(jiān)督和服務(wù)。但是，我國(guó)內(nèi)部審計(jì)工作的重心局限在財(cái)務(wù)收支的真實(shí)性及合規(guī)性審計(jì)。長(zhǎng)久以來內(nèi)部審計(jì)突出了監(jiān)督職能，而忽視了服務(wù)職能。內(nèi)部審計(jì)認(rèn)識(shí)水平、思想觀念的束縛以及管理體制等諸多因素，影響和阻礙著內(nèi)審作用的有效發(fā)揮。原因有會(huì)計(jì)人員知識(shí)水平、業(yè)務(wù)素質(zhì)不高，也有不重視法律、法規(guī)的因素，還有監(jiān)管不力、查處不嚴(yán)的原因。目前內(nèi)部審計(jì)尚處在查錯(cuò)階段，停留在調(diào)賬、糾正錯(cuò)誤上，還不能多角度、深層次分析問題，沒有較國(guó)際先進(jìn)的審計(jì)理念，我國(guó)內(nèi)部審計(jì)的作用尚待開發(fā)。審計(jì)人員的計(jì)算機(jī)知識(shí)匱乏，不適應(yīng)電算化、信息化的迅速發(fā)展。目前多數(shù)審計(jì)人員硬件知識(shí)掌握不熟練，軟件知識(shí)了解也不足，因此不能有效地評(píng)估信息系統(tǒng)的安全性、效益性。由于計(jì)算機(jī)審計(jì)軟件開發(fā)標(biāo)準(zhǔn)不同，功能也不完整，因此全面推廣計(jì)算機(jī)輔助審計(jì)就有一定難度，導(dǎo)致審計(jì)人員的知識(shí)和審計(jì)手段滯后于信息化的發(fā)展。

二、信息化審計(jì)體系的健全

當(dāng)前國(guó)家審計(jì)信息化發(fā)展的趨勢(shì)是建立審計(jì)信息資源的標(biāo)準(zhǔn)化、共享化、公開化，逐步達(dá)到向現(xiàn)代審計(jì)方式的轉(zhuǎn)變。這一趨勢(shì)是隨著當(dāng)前科學(xué)發(fā)展、和諧社會(huì)的推進(jìn)，國(guó)家確立的公共財(cái)政建設(shè)、公共服務(wù)的實(shí)施、公共產(chǎn)品的提供應(yīng)運(yùn)而生的，三個(gè)“公共”的主旨是：國(guó)家財(cái)政資金的使用更注重民生；使用重點(diǎn)更注重服務(wù)；使用效益更注重民意。

信息安全審計(jì)是任何機(jī)構(gòu)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險(xiǎn)控制等不可或缺的關(guān)鍵手段。收集并評(píng)估證據(jù)以決定一個(gè)計(jì)算機(jī)系統(tǒng)是否有效地做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成目標(biāo)，同時(shí)能更經(jīng)濟(jì)的使用資源。信息安全審計(jì)與信息安全管理密切相關(guān)，信息安全審計(jì)的主要依據(jù)是出于不同的角度提出的控制體系的信息安全管理相關(guān)的標(biāo)準(zhǔn)。這些控制體系下的信息化審計(jì)可以有效地控制信息安全，從而達(dá)到安全審計(jì)的目的，提高信息系統(tǒng)的安全性。由此，國(guó)際組織也制定了相關(guān)文件規(guī)范填補(bǔ)信息系統(tǒng)審計(jì)方面的某些空白。例如《信息安全管理業(yè)務(wù)規(guī)范》通過了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)。我國(guó)法律也針對(duì)信息安全審計(jì)制定出了《中華人民共和國(guó)審計(jì)法》、《國(guó)務(wù)院辦公廳關(guān)利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)的通知》等文件，基本規(guī)范了內(nèi)部審計(jì)機(jī)制，健全了內(nèi)部審計(jì)機(jī)構(gòu)；強(qiáng)調(diào)機(jī)構(gòu)應(yīng)加強(qiáng)內(nèi)審工作，機(jī)構(gòu)內(nèi)部要形成有權(quán)就有責(zé)、用權(quán)受監(jiān)督的最佳氛圍；審計(jì)委員會(huì)直接對(duì)領(lǐng)導(dǎo)班子負(fù)責(zé)，其成員需具有相應(yīng)的獨(dú)立性，委員會(huì)成員具良好的職業(yè)操守和能力，內(nèi)審人員應(yīng)當(dāng)具備內(nèi)審人員從業(yè)資格，其工作范圍不應(yīng)受到人為限制。內(nèi)部審計(jì)機(jī)構(gòu)對(duì)審計(jì)過程中發(fā)現(xiàn)的重大問題，視具體情況，可以直接向?qū)徲?jì)委員會(huì)或者領(lǐng)導(dǎo)層報(bào)告。

三、主機(jī)系統(tǒng)安全審計(jì)

信息技術(shù)審計(jì)，或信息系統(tǒng)審計(jì)，是一個(gè)信息技術(shù)基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計(jì)是一個(gè)通過收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。

以技術(shù)劃分，信息化安全審計(jì)主要分為主機(jī)審計(jì)、網(wǎng)絡(luò)審計(jì)、應(yīng)用審計(jì)、數(shù)據(jù)庫(kù)審計(jì)，綜合審計(jì)。簡(jiǎn)單的說獲取、記錄被審計(jì)主機(jī)的狀態(tài)信息和敏感操作就是主機(jī)審計(jì)，主機(jī)審計(jì)可以從已有的系統(tǒng)審計(jì)記錄中提取相關(guān)信息，并以審計(jì)規(guī)則為標(biāo)準(zhǔn)來分析判斷被審計(jì)主機(jī)是否存在違規(guī)行為?？傊瑸榱嗽谧畲笙薅缺Ｕ习踩幕A(chǔ)上找到最佳途徑使得業(yè)務(wù)正常工作的一切行為及手段，而對(duì)計(jì)算機(jī)信息系統(tǒng)的薄弱環(huán)節(jié)進(jìn)行檢測(cè)、評(píng)估及分析，都可稱作安全審計(jì)。

主機(jī)安全審計(jì)系統(tǒng)中事件產(chǎn)生器、分析器和響應(yīng)單元已經(jīng)分別以智能審計(jì)主機(jī)、系統(tǒng)中心、管理與報(bào)警處置控制臺(tái)來替代。實(shí)現(xiàn)主機(jī)安全系統(tǒng)的審計(jì)包括系統(tǒng)安全審計(jì)、主機(jī)應(yīng)用安全審計(jì)及用戶行為審計(jì)。智能審計(jì)替代主機(jī)安裝在網(wǎng)絡(luò)計(jì)算機(jī)用戶上，并按照設(shè)計(jì)思路監(jiān)視用戶操作行為，同時(shí)智能分析事件安全。從面向防護(hù)的對(duì)象可將主機(jī)安全審計(jì)系統(tǒng)分為系統(tǒng)安全審計(jì)、主機(jī)應(yīng)用安全審計(jì)、用戶行為審計(jì)、移動(dòng)數(shù)據(jù)防護(hù)審計(jì)等方面。

四、待解決的若干問題

計(jì)算機(jī)與信息系統(tǒng)廣泛使用，如何加強(qiáng)對(duì)終端用戶計(jì)算機(jī)的安全管理成為一個(gè)急需解決的問題。這就需要建立一個(gè)信息安全體系，也就是建立安全策略體系、安全管理體系和安全技術(shù)體系。

保護(hù)網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì)，對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)及服務(wù)系統(tǒng)進(jìn)行漏洞修補(bǔ)和安全加固，對(duì)服務(wù)器建立嚴(yán)格審核。在安全管理上完善人員管理、資產(chǎn)管理、站點(diǎn)維護(hù)管理、災(zāi)難管理、應(yīng)急響應(yīng)、安全服務(wù)、人才管理，形成一套比較完備的信息系統(tǒng)安全管理保障體系。

防火墻是保證網(wǎng)絡(luò)安全的重要屏障，也是降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要因素。VPN可以通過一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安壘的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。借助專業(yè)的防DDos系統(tǒng)，可以有效的阻止惡意攻擊。信息系統(tǒng)的安全需求是全方位的、系統(tǒng)的、整體的，需要從技術(shù)、管理等方面進(jìn)行全面的安全設(shè)計(jì)和建設(shè)，有效提高信息系統(tǒng)的防護(hù)、檢側(cè)、響應(yīng)、恢復(fù)能力，以抵御不斷出現(xiàn)的安全威脅與風(fēng)險(xiǎn)，保證系統(tǒng)長(zhǎng)期穩(wěn)定可靠的運(yùn)行。嚴(yán)格的安全管理制度，明確的安全職責(zé)劃分，合理的人員角色定義，都可以在很大程度上減少網(wǎng)絡(luò)的安全隱患。

從戰(zhàn)略高度充分認(rèn)識(shí)信息安全的重要性和緊迫性。健全安全管理組織體系，明確安全管理的相關(guān)組織、機(jī)構(gòu)和職責(zé)，建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責(zé)任機(jī)制。為了確保突發(fā)重大安全事件時(shí)，能得到及時(shí)的響應(yīng)和支援，信息系統(tǒng)必須建立和逐步完善應(yīng)急響應(yīng)支援體系，確保整個(gè)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

參考文獻(xiàn)：

[1]宋新月，內(nèi)部審計(jì)在經(jīng)濟(jì)管理中的重要作用淺析[J]，知識(shí)經(jīng)濟(jì)，2009

篇5

關(guān)鍵詞：計(jì)算機(jī)；信息安全；管理體系；有效實(shí)現(xiàn)

中圖分類號(hào)：TP309文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2011) 16-0000-01

Computer Information Security Management System Effective Achievement

Tang Ping,Sha Jing

(China Petroleum Xinjiang Sales Company,Urumqi830002,China)

Abstract:In the computer industries,while providing strong support,it is the computer information security requirements have become more sophisticated.I work based on years of experience in computer security management,put forward some ideas and suggestions.

Keywords:Computer;Information security;Management system;Effective realization of

一、計(jì)算機(jī)信息安全管理的重要性分析

伴隨我國(guó)經(jīng)濟(jì)和科學(xué)技術(shù)的快速發(fā)展，為了適應(yīng)社會(huì)信息化的需求，計(jì)算機(jī)的應(yīng)用領(lǐng)域在不斷擴(kuò)展，為各行各業(yè)提供了強(qiáng)大的信息服務(wù)，為企業(yè)處理大量數(shù)據(jù)信息提供了快捷方便的服務(wù)。當(dāng)然，我們?cè)谙硎苤?jì)算機(jī)系統(tǒng)為我們帶來的諸多便利的時(shí)候，也必須認(rèn)識(shí)到計(jì)算機(jī)系統(tǒng)所潛在的安全管理問題。目前，伴隨我國(guó)大多數(shù)企、事業(yè)單位計(jì)算機(jī)系統(tǒng)的應(yīng)用，信息安全問題也日益成為影響其信息化效能的重要瓶頸，尤其是對(duì)那些用來處理和傳輸企業(yè)涉及國(guó)家信息秘密的計(jì)算機(jī)信息系統(tǒng)，若這些方面存在安全問題，那么就會(huì)危及到企業(yè)乃至國(guó)家的安全與利益。但是，信息安全問題是一個(gè)非常復(fù)雜的系統(tǒng)，需要以系統(tǒng)眼光來對(duì)待，而建立計(jì)算機(jī)信息安全管理體系正是解決這個(gè)復(fù)雜系統(tǒng)問題的有效方法。因此，為了保證信息系統(tǒng)的安全，必須建立完善的計(jì)算機(jī)信息安全的管理體系。

二、計(jì)算機(jī)信息安全管理主要方向分析

（一）進(jìn)行加密保護(hù)。伴隨人們對(duì)計(jì)算機(jī)的依賴程度越來越高，計(jì)算機(jī)信息數(shù)據(jù)的重要性也就不言而喻了，而信息加密技術(shù)是很必要的。信息加密是為了保護(hù)網(wǎng)內(nèi)數(shù)據(jù)、文件、口令和控制信息，網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密方法有鏈路加密、節(jié)點(diǎn)加密和端點(diǎn)加密三種。一個(gè)進(jìn)行了加密的網(wǎng)絡(luò)，不僅可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且還是有效應(yīng)對(duì)惡意軟件的有效方法。

（二）進(jìn)行安全審計(jì)。安全審計(jì)是針對(duì)系統(tǒng)中的所有資源（包括數(shù)據(jù)庫(kù)、主機(jī)、操作系統(tǒng)、安全設(shè)備等）和行為的審計(jì)，審計(jì)記錄所有事件，提供給管理員作為系統(tǒng)維護(hù)以及安全防范的依據(jù)。一旦有任何突發(fā)事件可以快速地查閱行為記錄，確定問題，以便采取相應(yīng)的措施。

（三）終端防護(hù)。終端防護(hù)就是對(duì)安全體系中細(xì)粒度進(jìn)行控制，也是安全防護(hù)中的敏感區(qū)。終端主要分為移動(dòng)終端和固定終端兩種，對(duì)于終端的管控行為主要是為使用行為控制和審查。傳統(tǒng)的防護(hù)方案?jìng)?cè)重于解決外部入侵或者保證網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)陌踩?，但不能阻止?nèi)部事故的發(fā)生，因此終端防護(hù)對(duì)于防止內(nèi)部問題和出現(xiàn)惡意用戶攻擊具有重要作用。

（四）物理安全。物理安全主要涉及周邊工作環(huán)境的安全、網(wǎng)絡(luò)的布線、安全設(shè)備的管理，重點(diǎn)是如何完成重點(diǎn)部位和重要數(shù)據(jù)的集中管制和防護(hù)。

（五）網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全在安全防護(hù)體系中涉及內(nèi)容比較多，包括對(duì)網(wǎng)絡(luò)的防毒措施、內(nèi)部網(wǎng)物理隔絕、傳輸加密措施、對(duì)用戶的監(jiān)控和管理措施以及審計(jì)措施等。對(duì)于內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)資源的共享和交互需要有嚴(yán)格的控制手段，控制應(yīng)加在網(wǎng)絡(luò)安全的不同層次，包括終端安全、鏈路層安全以及應(yīng)用層安全等。

三、安全管理體系的設(shè)計(jì)與實(shí)現(xiàn)

（一）體系結(jié)構(gòu)。建設(shè)一個(gè)完備的信息安全管理體系有待解決的問題涉及面很廣，同時(shí)防護(hù)技術(shù)涉及技術(shù)體系多，主要有數(shù)字簽名技術(shù)、訪問控制技術(shù)、數(shù)據(jù)加密技術(shù)、終端防護(hù)技術(shù)、防病毒與反入侵技術(shù)、信息泄漏防護(hù)技術(shù)、安全評(píng)估技術(shù)與審計(jì)追蹤技術(shù)等，涉及到多種安全管理產(chǎn)品的應(yīng)用。參照國(guó)家有關(guān)計(jì)算機(jī)信息系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)，建立一個(gè)信息安全管理體系主要分為以下幾部分：安全管理、網(wǎng)絡(luò)安全、物理安全、用戶安全、應(yīng)用安全、系統(tǒng)軟件安全、數(shù)據(jù)安全。各部分根據(jù)防護(hù)的重點(diǎn)采用相應(yīng)的技術(shù)措施，形成獨(dú)立的子系統(tǒng)，其中主要包括：終端安全防護(hù)系統(tǒng)、入侵檢測(cè)系統(tǒng)、終端安全管理系統(tǒng)、身份認(rèn)證系統(tǒng)、安全網(wǎng)關(guān)系統(tǒng)和病毒防護(hù)系統(tǒng)等。

（二）主要技術(shù)措施。

1.安全的系統(tǒng)軟件。所謂安全的系統(tǒng)和軟件是指操作系統(tǒng)、數(shù)據(jù)庫(kù)等系統(tǒng)軟件的安全。系統(tǒng)終端的操作系統(tǒng)首先應(yīng)采用統(tǒng)一版本，這樣便于維護(hù)和管理。終端安全管理系統(tǒng)不僅能對(duì)系統(tǒng)的應(yīng)用軟件進(jìn)行遠(yuǎn)程監(jiān)控管理，還能屏蔽不允許安裝或運(yùn)行的軟件，屏蔽不安全的端口。系統(tǒng)終端安裝統(tǒng)一的殺毒軟件，而且還需要自動(dòng)更新系統(tǒng)補(bǔ)丁，便于進(jìn)行集中控管。還要定時(shí)對(duì)客戶端操作系統(tǒng)進(jìn)行殺毒掃描和更新系統(tǒng)補(bǔ)丁。

2.物理環(huán)境安全防護(hù)。首先，機(jī)房應(yīng)具有良好的接地和防雷等安全措施，部署機(jī)房監(jiān)控系統(tǒng)，對(duì)機(jī)房溫濕度、漏水和電源情況等時(shí)刻進(jìn)行監(jiān)控。此外，基于應(yīng)用成本和安全管理便捷的考慮，應(yīng)將采用集中式防護(hù)，代替分布式防護(hù)。要將重要的數(shù)據(jù)系統(tǒng)和信息系統(tǒng)服務(wù)器集中放置，并在集中數(shù)據(jù)的機(jī)房安裝專用空調(diào)、大型UPS設(shè)備，準(zhǔn)確控制機(jī)房的電源和環(huán)境溫濕度。最后還要考慮設(shè)備的電磁輻射安全，在主設(shè)備的安全距離低于200m時(shí)需要增加防電磁輻射以及電源濾波設(shè)備。

3.數(shù)據(jù)安全。首先要考慮的移動(dòng)存儲(chǔ)設(shè)備，要進(jìn)行統(tǒng)一的認(rèn)證，沒有安裝安全終端管理軟件的設(shè)備無法識(shí)別加密文件格式。對(duì)于可信的移動(dòng)存儲(chǔ)設(shè)備只能在內(nèi)部網(wǎng)的可信終端上使用。在安全防護(hù)客戶端設(shè)置USB端口的安全管理策略，對(duì)沒有內(nèi)部認(rèn)證的移動(dòng)存儲(chǔ)介質(zhì)可以設(shè)置為只讀或者對(duì)其完全禁止。而對(duì)于那些對(duì)外交流的數(shù)據(jù)文件可以通過集中管理終端制作加密存儲(chǔ)的文件格式，這種格式只能在用戶輸入口令時(shí)才可看到。

4.網(wǎng)絡(luò)安全防護(hù)。鑒于目前外聯(lián)的主要手段是通過PCMCIA、USB端口、有線或無線網(wǎng)卡、藍(lán)牙等進(jìn)行互聯(lián)，所以，最安全有效防護(hù)就是在終端進(jìn)行阻斷非法行為。利用終端安全管理系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行固定設(shè)置，屏蔽不明端口，對(duì)于非法外聯(lián)的，一旦檢測(cè)到非法的客戶端試圖連接網(wǎng)絡(luò)，立刻在交換機(jī)端口上對(duì)非法接入機(jī)器進(jìn)行網(wǎng)絡(luò)阻斷。在重要服務(wù)器區(qū)部署安全認(rèn)證網(wǎng)關(guān)，認(rèn)證網(wǎng)關(guān)和CA認(rèn)證系統(tǒng)進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)用戶的安全訪問控制和傳輸通道的加密功能。

計(jì)算機(jī)信息安全問題是一個(gè)系統(tǒng)性的問題，涉及到了技術(shù)、使用、管理等多個(gè)方面，既涵蓋了計(jì)算機(jī)信息系統(tǒng)自身安全問題，也包括物理與邏輯方面的技術(shù)要求。因此，只有全面的做好各方面的管理與控制工作，才能真正確保計(jì)算機(jī)信息的安全性、完整性。

參考文獻(xiàn)：

篇6

在進(jìn)行信息安全體系建設(shè)時(shí)，應(yīng)對(duì)來自終端的威脅給予足夠的重視，建立有效的終端安全管理體系。本文分析了終端安全管理體系應(yīng)包含的內(nèi)容，闡述了傳統(tǒng)分散式終端安全管理存在的問題，結(jié)合作者的工作實(shí)踐經(jīng)驗(yàn)，對(duì)一體化終端安全管理體系的建設(shè)，提出了自己的思路和見解。

關(guān)鍵詞：

終端安全；一體化；體系建設(shè)

隨著信息化建設(shè)不斷發(fā)展，信息安全的重要性日益顯露出來，在信息安全保護(hù)實(shí)踐中，各單位往往對(duì)數(shù)據(jù)集中的后臺(tái)服務(wù)器投入精力較多，對(duì)來自終端的威脅重視不足。信息安全事件調(diào)查經(jīng)驗(yàn)表明，多數(shù)信息安全事件的突破口來自終端，因此在進(jìn)行信息安全體系建設(shè)時(shí)，應(yīng)對(duì)來自終端的威脅給予足夠的重視，建立有效的終端安全管理體系。

1典型的終端安全管理體系應(yīng)包括的內(nèi)容

1.1防病毒及終端入侵防護(hù)

包括對(duì)全網(wǎng)病毒、木馬、蠕蟲、流氓軟件、間諜軟件等惡意代碼的識(shí)別、查殺，對(duì)可疑行為的阻斷和告警。此類功能主要是基于代碼檢測(cè)引擎和特征庫(kù)實(shí)現(xiàn)。

1.2補(bǔ)丁狀態(tài)檢查及分發(fā)

包括檢查是否已安裝操作系統(tǒng)相應(yīng)的補(bǔ)丁，各類防護(hù)特征庫(kù)是否保持更新，能夠自動(dòng)推送安裝補(bǔ)丁和特征庫(kù)等。此類功能主要通過安全軟件讀取系統(tǒng)注冊(cè)表及掃描特定位置文件系統(tǒng)，并自動(dòng)執(zhí)行后臺(tái)腳本實(shí)現(xiàn)。

1.3移動(dòng)存儲(chǔ)管理

防止內(nèi)部濫用移動(dòng)介質(zhì)，杜絕內(nèi)外部移動(dòng)介質(zhì)在內(nèi)外網(wǎng)交叉使用，并通過特殊加密技術(shù)保證移動(dòng)介質(zhì)在非授權(quán)環(huán)境下不能被讀取。此類功能主要通過向操作系統(tǒng)底層驅(qū)動(dòng)注入代碼和數(shù)據(jù)加密技術(shù)實(shí)現(xiàn)。

1.4終端準(zhǔn)入管理

實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)接入終端的安全準(zhǔn)入管理與控制，確保接入網(wǎng)絡(luò)終端已安裝要求的防護(hù)系統(tǒng)，且符合安全策略要求，有效杜絕非法外來終端私自接入網(wǎng)絡(luò)。此類功能可以基于交換機(jī)端口進(jìn)行控制或使用安全網(wǎng)關(guān)進(jìn)行控制。

1.5非法外聯(lián)監(jiān)控

用于發(fā)現(xiàn)和阻止內(nèi)部網(wǎng)絡(luò)用戶非法建立通路連接互聯(lián)網(wǎng)或非授權(quán)網(wǎng)絡(luò)的行為，以此防止引入安全風(fēng)險(xiǎn)或?qū)е滦畔⑿姑?。此類功能通常做法是定期檢查與某個(gè)互聯(lián)網(wǎng)地址或非授權(quán)網(wǎng)絡(luò)的連通性，若有連通便會(huì)觸發(fā)監(jiān)控報(bào)警。

1.6主機(jī)監(jiān)控審計(jì)

對(duì)終端用戶的操作行為進(jìn)行管控與審計(jì)，對(duì)安裝的軟件實(shí)行黑白名單管理，當(dāng)用戶的操作違反安全策略時(shí)，能夠自動(dòng)禁止或記錄違規(guī)日志。此類功能一般需在終端駐留程序，根據(jù)設(shè)定的操作策略和軟件清單執(zhí)行。

2傳統(tǒng)分散式終端安全管理存在的問題

（1）產(chǎn)生兼容性問題。不同的終端安全防護(hù)產(chǎn)品均需要操作系統(tǒng)權(quán)限并向底層驅(qū)動(dòng)注入代碼實(shí)現(xiàn)檢測(cè)，各產(chǎn)品之間的操作沖突、導(dǎo)致兼容性問題已是常見現(xiàn)象，即使能夠和平共存也會(huì)造成增加系統(tǒng)資源開銷，拖累系統(tǒng)變慢等一系列問題。

（2）缺乏統(tǒng)一管理。在終端上安裝使用多種安全防護(hù)產(chǎn)品，缺乏全局性安全管控，容易形成信息孤島，不利于開展諸如安全數(shù)據(jù)的收集、匯總、統(tǒng)計(jì)等關(guān)聯(lián)分析工作，無法系統(tǒng)性展示終端安全全貌。

（3）防護(hù)效果打折扣。不同的終端安全防護(hù)產(chǎn)品在功能上各有側(cè)重，組合在一起并不一定能全面覆蓋用戶的安全需求，由于底層機(jī)制的類同和兼容性沖突等原因，經(jīng)常出現(xiàn)安全防護(hù)的真空地帶，產(chǎn)生1+1<2的現(xiàn)象，使防護(hù)效果大打折扣。

（4）運(yùn)行維護(hù)成本高。多種終端安全防護(hù)產(chǎn)品同時(shí)使用，需同時(shí)與多個(gè)廠商采購(gòu)維保服務(wù)，周期長(zhǎng)投入大，運(yùn)行上需要維護(hù)多套不同的策略表，從不同的來源更新補(bǔ)丁包、特征庫(kù)等，都給運(yùn)維增加了不小的工作量。

（5）難以滿足自主可控的要求。出于國(guó)家安全戰(zhàn)略的需要，終端安全防護(hù)產(chǎn)品應(yīng)盡可能滿足自主可控的要求。分散部署不同的終端安全防護(hù)產(chǎn)品，大多是基于歷史原因分批分步建設(shè)形成的，存在一定的不可控安全風(fēng)險(xiǎn)。

3一體化終端安全管理體系的建設(shè)思路

一體化終端安全管理體系的建設(shè)，應(yīng)遵循“功能集中、統(tǒng)一建設(shè)”的原則，結(jié)合單位已有的終端安全防護(hù)現(xiàn)狀，采用“整合式替代、替代后實(shí)現(xiàn)一體化管理”的思路開展。替代過程中，應(yīng)充分考慮安全設(shè)備國(guó)產(chǎn)化的要求，既實(shí)現(xiàn)終端安全防護(hù)各項(xiàng)功能，又可在統(tǒng)一平臺(tái)下管理終端資產(chǎn)、終端信息、終端安全防護(hù)系統(tǒng)等，實(shí)現(xiàn)終端一體化安全管理。終端一體化安全管理可極大地提高運(yùn)維效率，增強(qiáng)終端類安全事件聯(lián)動(dòng)，提高終端安全事件預(yù)警發(fā)現(xiàn)和處置能力，最終提高單位的信息安全管理水平。具體實(shí)施過程中，應(yīng)以“資源整合、統(tǒng)一管理、分級(jí)部署、基準(zhǔn)策略、量體裁衣、人力集約”為主要工作目標(biāo)，最大程度整合單位現(xiàn)有軟硬件資源、技術(shù)人才資源，節(jié)約資源、資金、人力成本，集成各類終端管理功能，邏輯上實(shí)行統(tǒng)一管理，總部制定基準(zhǔn)策略，各地分支機(jī)構(gòu)針對(duì)自己的情況，定制適合本轄區(qū)情況的安全策略，預(yù)留一定擴(kuò)展空間，供各級(jí)機(jī)構(gòu)在統(tǒng)一終端管理平臺(tái)下的本地化處理。建議分四個(gè)步驟進(jìn)行：①率先落實(shí)國(guó)產(chǎn)化替代，一體化終端安全管理體系建設(shè)不再考慮國(guó)外產(chǎn)品，實(shí)現(xiàn)完全國(guó)產(chǎn)自主可控，這一點(diǎn)無論是在技術(shù)上還是在市場(chǎng)上都已不存在問題。②整合現(xiàn)有終端安全防護(hù)系統(tǒng)的功能，在實(shí)現(xiàn)病毒防治、補(bǔ)丁分發(fā)、非法外聯(lián)監(jiān)控、準(zhǔn)入控制、移動(dòng)介質(zhì)管控、安全策略管理等功能的基礎(chǔ)上，實(shí)現(xiàn)各功能模塊的數(shù)據(jù)整合與聯(lián)動(dòng)。③增加資產(chǎn)管理、操作審計(jì)等功能，并實(shí)現(xiàn)一體化關(guān)聯(lián)和統(tǒng)一展現(xiàn)，進(jìn)一步完善系統(tǒng)的管理功能，能夠進(jìn)行終端狀態(tài)、終端信息、安全事件等信息的展示、分析和處理，實(shí)現(xiàn)對(duì)安全事件的及時(shí)發(fā)現(xiàn)、告警和處置，及時(shí)消除安全事件對(duì)終端的影響。④在系統(tǒng)建設(shè)的基礎(chǔ)上實(shí)現(xiàn)科學(xué)安全管理，通過對(duì)終端安全狀態(tài)的統(tǒng)一定量評(píng)估，實(shí)現(xiàn)對(duì)各部門、各分支機(jī)構(gòu)的終端安全態(tài)勢(shì)評(píng)估，掌握終端安全管理的薄弱環(huán)節(jié)，為信息安全管理工作的整改完善提供數(shù)據(jù)支撐。在功能方面：一體化終端安全管理體系應(yīng)主要包括但不限于防病毒管理、終端入侵檢測(cè)防護(hù)管理、補(bǔ)丁分發(fā)管理、移動(dòng)介質(zhì)管理、非法外聯(lián)管理、終端準(zhǔn)入管理、主機(jī)監(jiān)控審計(jì)管理、終端信息管理、安全策略管理、終端運(yùn)行狀態(tài)統(tǒng)計(jì)管理、安全事件管理、運(yùn)行報(bào)表管理、考核指標(biāo)管理、系統(tǒng)管理等功能。實(shí)現(xiàn)終端安全防護(hù)系統(tǒng)的一體化管理和安全防護(hù)系統(tǒng)的資源整合，實(shí)現(xiàn)安全防護(hù)策略的統(tǒng)一管理，建立全面、集中、統(tǒng)一的終端安全管理體系。在管理方面：實(shí)現(xiàn)與終端安全管理制度相適應(yīng)的安全管理要求，實(shí)現(xiàn)總部與各分支機(jī)構(gòu)終端信息的統(tǒng)一集中管理，實(shí)現(xiàn)終端安全控制策略的統(tǒng)一配置、自動(dòng)篩查、告警和展現(xiàn)，實(shí)現(xiàn)定期安全類報(bào)表的自動(dòng)生成和展現(xiàn)，實(shí)現(xiàn)安全管理人員的統(tǒng)一工作平臺(tái)。

4結(jié)語

要實(shí)現(xiàn)對(duì)信息安全閉環(huán)式管理，僅僅重視信息系統(tǒng)服務(wù)端的保護(hù)是不夠的，必須重視對(duì)每個(gè)入網(wǎng)終端的安全管理。一體化終端安全管理體系的建設(shè)，從技術(shù)上采取了多種手段強(qiáng)化終端的安全防護(hù)和管理，為強(qiáng)化單位的信息安全管理提供了必要的手段。同時(shí)，我們也必須認(rèn)識(shí)到，終端安全管理體系的建設(shè)不是說建好系統(tǒng)就萬事大吉了，對(duì)一個(gè)單位的信息安全管理而言，永遠(yuǎn)是“三分技術(shù)，七分管理”。再好的技術(shù)手段，也只有和管理制度相結(jié)合，并加以強(qiáng)力執(zhí)行，才能達(dá)到預(yù)定的安全目標(biāo)。

參考文獻(xiàn)：

[1]孟粉霞，王越，雷磊.統(tǒng)一終端安全管理系統(tǒng)在內(nèi)網(wǎng)中的分析及應(yīng)用[J].信息系統(tǒng)工程，2013（8）：70~71.

[2]田永飛.一體化終端安全管理系統(tǒng)應(yīng)用初探[J].金融科技時(shí)代，2015（12）：45~47.

[3]王義申.終端安全管理系統(tǒng)在企事業(yè)單位內(nèi)網(wǎng)應(yīng)用的分析[J].計(jì)算機(jī)安全，2007（7）：63~65.

篇7

信息安全等級(jí)保護(hù)建設(shè)背景

信息安全等級(jí)保護(hù)制度是我們國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。實(shí)行信息安全等級(jí)保護(hù)制度，能夠充分調(diào)動(dòng)國(guó)家、法人和其他組織及公民的積極性，發(fā)揮各方面的作用，達(dá)到有效保護(hù)的目的，增強(qiáng)安全保護(hù)的整體性、針對(duì)性和實(shí)效性，使信息系統(tǒng)安全建設(shè)更加突出重點(diǎn)、統(tǒng)一規(guī)范、科學(xué)合理，對(duì)促進(jìn)我國(guó)信息安全的發(fā)展將起到重要推動(dòng)作用。

2011年，原衛(wèi)生部了《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》（衛(wèi)辦綜函〔2011〕1126號(hào)）。針對(duì)醫(yī)療衛(wèi)生行業(yè)的信息系統(tǒng)，原衛(wèi)生部辦公廳于2011年下發(fā)了《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》（衛(wèi)發(fā)辦〔2011〕85號(hào)）要求三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)信息安全等級(jí)保護(hù)定級(jí)不低于第三級(jí)，并且要求2015年12月30日前完成信息安全等級(jí)保護(hù)建設(shè)整改工作，并通過等級(jí)測(cè)評(píng)。

醫(yī)療行業(yè)面臨的主要風(fēng)險(xiǎn)

1.醫(yī)療行業(yè)特點(diǎn)

隨著我國(guó)醫(yī)療衛(wèi)生事業(yè)的迅速發(fā)展，醫(yī)學(xué)科學(xué)的不斷進(jìn)步，醫(yī)藥衛(wèi)生事業(yè)體制改革的逐步深入，醫(yī)院生存和發(fā)展的外部環(huán)境和內(nèi)部機(jī)制都發(fā)生了很大的變化。當(dāng)今計(jì)算機(jī)信息和網(wǎng)絡(luò)通信技術(shù)的深入發(fā)展為提高醫(yī)院管理水平創(chuàng)造了良好的條件，醫(yī)院信息化建設(shè)也因此逐漸在我國(guó)各級(jí)醫(yī)院中迅猛發(fā)展。目前醫(yī)療行業(yè)信息化有如下特點(diǎn)：系統(tǒng)運(yùn)行連續(xù)性要求高，要求7×24小時(shí)不間斷服務(wù)；網(wǎng)絡(luò)間斷時(shí)間不允許超過2小時(shí)；信息高度集成，所有信息需要集中使用；異構(gòu)系統(tǒng)多，系統(tǒng)復(fù)雜度高；系統(tǒng)間接口復(fù)雜，涉及廠家多；系統(tǒng)內(nèi)存儲(chǔ)資料價(jià)值較高，存儲(chǔ)著醫(yī)院大量運(yùn)用數(shù)據(jù)，其中包含大量患者隱私；存儲(chǔ)的數(shù)據(jù)內(nèi)容本身具備法律效力；核心網(wǎng)絡(luò)采用網(wǎng)絡(luò)物理隔離。

2.信息系統(tǒng)的威脅來源

信息系統(tǒng)的威脅來源主要可以分為兩個(gè)方面，一個(gè)是環(huán)境因素造成的威脅，另一個(gè)方面是人為因素造成的威脅，而人為因素所帶來的損失往往是不可估量的。

在環(huán)境因素方面，威脅主要來自于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障。

在人員因素方面又可以分為有意和無意兩種情況，對(duì)于有意而為之的人，通常指惡意造成破壞的人，懷不滿情緒的或有預(yù)謀的內(nèi)部人員對(duì)信息系統(tǒng)進(jìn)行惡意破壞，采用自主或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益。而外部人員也可以利用信息系統(tǒng)的脆弱性，對(duì)網(wǎng)絡(luò)或系統(tǒng)的保密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力。對(duì)于無意的情況來說，通常指管理人員沒有意識(shí)到問題或者沒有盡心盡責(zé)的工作。例如，內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心或不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。

3.信息系統(tǒng)負(fù)面影響

醫(yī)院內(nèi)部的信息系統(tǒng)如果受到威脅、入侵或被破壞等，會(huì)給國(guó)家、醫(yī)院以及人民的利益帶來嚴(yán)重的影響。

系統(tǒng)如果出現(xiàn)宕機(jī)的現(xiàn)象，首先會(huì)造成患者情緒激動(dòng)，耽誤治療流程，甚至?xí){到患者生命的安危。其次會(huì)造成門診業(yè)務(wù)人員、主治醫(yī)生、護(hù)士等工作人員的工作慌亂，甚至成為情緒激動(dòng)患者的放矢對(duì)象。門診辦主任、主管院領(lǐng)導(dǎo)、醫(yī)院院長(zhǎng)電話問詢，信息中心則會(huì)電話不斷、手忙腳亂。醫(yī)院業(yè)務(wù)停頓，從經(jīng)濟(jì)上受損失，而媒體也會(huì)曝光醫(yī)院，使得醫(yī)院信譽(yù)受損。

如果醫(yī)院信息系統(tǒng)的內(nèi)部信息丟失，則會(huì)造成員工信息被公開、患者信息泄露等風(fēng)險(xiǎn)。例如，據(jù)《勞動(dòng)報(bào)》報(bào)道，一名負(fù)責(zé)開發(fā)、維護(hù)市衛(wèi)生局出生系統(tǒng)數(shù)據(jù)庫(kù)的技術(shù)部經(jīng)理利用工作之便，在2011年至2012年4月期間，每月兩次非法進(jìn)入該院數(shù)據(jù)庫(kù)，偷偷下載新生兒出生信息并進(jìn)行販賣，累計(jì)達(dá)到了10萬條，給醫(yī)療衛(wèi)生行業(yè)帶來了嚴(yán)重的負(fù)面影響。

信息安全等級(jí)保護(hù)建設(shè)體系

由于醫(yī)院信息系統(tǒng)復(fù)雜的特點(diǎn)、面臨的威脅及產(chǎn)生負(fù)面影響的嚴(yán)重性，醫(yī)院開展信息安全等級(jí)保護(hù)建設(shè)工作就尤為重要，急需一套適合醫(yī)院的等級(jí)保護(hù)安全防御體系。

信息安全等級(jí)保護(hù)體系主要包括技術(shù)與管理兩方面，在安全技術(shù)方面包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全；在安全管理方面包括：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。這10個(gè)方面里每一項(xiàng)都有若干控制項(xiàng)，順利通過測(cè)評(píng)至少要達(dá)到控制項(xiàng)的80%以上（表1）。

如表1所示，控制項(xiàng)中G表示基本要求類，三級(jí)必須達(dá)到G3標(biāo)準(zhǔn)；S表示業(yè)務(wù)信息安全類，A表示系統(tǒng)服務(wù)保證類，三級(jí)標(biāo)準(zhǔn)中S與A任選一項(xiàng)達(dá)到三級(jí)即可。

根據(jù)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)，我院主要建設(shè)經(jīng)驗(yàn)如下：

1.信息安全技術(shù)

（1）物理安全：數(shù)據(jù)中心機(jī)房是物理安全的核心，機(jī)房的裝修工程、動(dòng)力配電系統(tǒng)、空調(diào)新風(fēng)系統(tǒng)、消防系統(tǒng)、綜合布線系統(tǒng)等均需按照A級(jí)機(jī)房標(biāo)準(zhǔn)進(jìn)行建設(shè)。此外，日常的管理工作也尤為重要，在物理權(quán)限控制方面應(yīng)配備門禁系統(tǒng)，并且應(yīng)做到兩種或兩種以上的身份識(shí)別機(jī)制，如指紋加密碼或IC卡加密碼等。環(huán)境監(jiān)控方面除了每天定時(shí)的人員巡檢還應(yīng)在機(jī)房及各設(shè)備間部署監(jiān)控系統(tǒng)，利用傳感器監(jiān)控溫濕度、漏水、電壓、設(shè)備狀態(tài)等信息，一旦發(fā)生異常通過短信及時(shí)告知機(jī)房管理人員。

（2）網(wǎng)絡(luò)安全：按照等級(jí)保護(hù)思路進(jìn)行安全域的劃分，將不同級(jí)別的信息系統(tǒng)通過防火墻和網(wǎng)閘進(jìn)行隔離，根據(jù)每個(gè)安全域的特點(diǎn)設(shè)定不同的安全策略。服務(wù)器安全域制定細(xì)粒度訪問控制列表，僅開放必要的端口，并在旁路架設(shè)網(wǎng)絡(luò)流量審計(jì)設(shè)備和入侵檢測(cè)系統(tǒng)，對(duì)所有流量進(jìn)行記錄及審計(jì)，能夠及時(shí)發(fā)現(xiàn)攻擊行為；客戶端安全域制定網(wǎng)絡(luò)準(zhǔn)入和非法外聯(lián)策略，禁止未經(jīng)授權(quán)的計(jì)算機(jī)隨意接入醫(yī)院網(wǎng)絡(luò)，并且通過管理軟件和網(wǎng)閘控制內(nèi)網(wǎng)的計(jì)算機(jī)隨意訪問外網(wǎng)或互聯(lián)網(wǎng)；架設(shè)安全管理域，該區(qū)域主要用于對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備的管理，并集中收集設(shè)備的日志，及時(shí)通過分析日志發(fā)現(xiàn)安全隱患。

（3）安全：服務(wù)器進(jìn)行統(tǒng)一安全策略的制定，部署網(wǎng)絡(luò)版殺毒系統(tǒng)、補(bǔ)丁分發(fā)系統(tǒng)、入侵防范系統(tǒng)等，并結(jié)合服務(wù)器承載的業(yè)務(wù)特點(diǎn)制定詳細(xì)的資源控制列表，按照最小授權(quán)原則，授予最低資源訪問權(quán)限。

（4）應(yīng)用安全：部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，對(duì)所有流經(jīng)數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)流量進(jìn)行數(shù)據(jù)分析，制定審計(jì)策略，發(fā)生違規(guī)數(shù)據(jù)操作及時(shí)通過短信報(bào)給安全審計(jì)人員；同時(shí)部署CA數(shù)字簽名系統(tǒng)，醫(yī)生通過USBKEY進(jìn)行系統(tǒng)登錄，并對(duì)其所有操作進(jìn)行數(shù)字簽名，有效保證了應(yīng)用系統(tǒng)的安全性及數(shù)據(jù)的不可抵賴性。

（5）數(shù)據(jù)安全：利用專業(yè)的數(shù)據(jù)備份軟件在異地部署數(shù)據(jù)備份中心，對(duì)各系統(tǒng)數(shù)據(jù)庫(kù)和文件繼續(xù)高頻率集中加密備份，并且應(yīng)至少六個(gè)月進(jìn)行一次數(shù)據(jù)還原演練，保證在出現(xiàn)問題是可以有效進(jìn)行恢復(fù)。

2.信息安全管理

（1）安全管理制度：從醫(yī)院層面制定信息安全管理制度，對(duì)信息安全制度進(jìn)行重新整理修改，規(guī)定信息安全的各方面應(yīng)遵守的原則、方法和指導(dǎo)策略，指定具體管理規(guī)定、處罰措施。制度應(yīng)具備可操作性，同時(shí)應(yīng)由專人負(fù)責(zé)隨時(shí)進(jìn)行修正，并由信息安全領(lǐng)導(dǎo)小組進(jìn)行評(píng)審，最終進(jìn)行。

（2）安全管理機(jī)構(gòu)：組織建立信息安全工作領(lǐng)導(dǎo)小組，設(shè)置信息安全管理崗位，設(shè)立獨(dú)立的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、安全審計(jì)員等崗位，制定各崗位的工作職責(zé)，與各崗位相關(guān)人員簽署保密協(xié)議。同時(shí)制定溝通協(xié)作機(jī)制，內(nèi)部定期組織會(huì)議進(jìn)行信息安全工作部署，外部每日向公安局上報(bào)備案信息系統(tǒng)的安全情況，與數(shù)據(jù)庫(kù)、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等廠商簽署協(xié)議，提供所有設(shè)備的備機(jī)備件，每月進(jìn)行設(shè)備巡檢，并要求在發(fā)生緊急事件時(shí)及時(shí)到場(chǎng)提供技術(shù)支持。

（3）人員安全管理：在人員錄用方面，嚴(yán)格審查人員的背景、身份，并簽署保密協(xié)議，人員離崗時(shí)執(zhí)行離崗流程，各部門主管負(fù)責(zé)回收本部門負(fù)責(zé)的相關(guān)權(quán)限，所有權(quán)限回收后方可辦理離職手續(xù)。同時(shí)定期對(duì)人員進(jìn)行相關(guān)培訓(xùn)，每周進(jìn)行一次內(nèi)部培訓(xùn)，每年進(jìn)行兩次外部培訓(xùn)。對(duì)于外部廠商人員，其對(duì)設(shè)備的相關(guān)操作均需進(jìn)行審批流程，并通過技術(shù)手段記錄所有操作行為，做好操作記錄，并不定期進(jìn)行行為審計(jì)。

篇8

1無意的人為因素

信息安全的問題有些是無意的人為因素引起的。如相關(guān)工作人員對(duì)網(wǎng)絡(luò)安全的配置不夠完善，導(dǎo)致出現(xiàn)安全漏洞；或者用戶自己信息安全意識(shí)差，未能完好的保存好相關(guān)登陸密碼，導(dǎo)致信息泄露。

2惡意的人為因素

惡意的人為因素主要來自黑客攻擊，惡意人為攻擊具有的指向性和目的性，因此這部分行為對(duì)安全信息是最大的隱患和威脅。

3應(yīng)用軟件的漏洞

大多數(shù)應(yīng)用軟件都存在一定的漏洞，這些漏洞會(huì)成為一些黑客的攻擊目標(biāo)，因此應(yīng)用軟件的漏洞也是造成信息安全的一個(gè)原因。

加強(qiáng)計(jì)算機(jī)信息安全的建議對(duì)策

當(dāng)前計(jì)算機(jī)信息安全的防護(hù)重點(diǎn)在于建立和完善計(jì)算機(jī)信息安全防護(hù)體系。當(dāng)前防護(hù)總體策略是在技術(shù)層面上建立完整的網(wǎng)絡(luò)安全解決方案，在管理層面上制定和落實(shí)嚴(yán)格的網(wǎng)絡(luò)安全管理制度。

1計(jì)算機(jī)安全技術(shù)方面

1.1防火墻技術(shù)防火墻技術(shù)是一種應(yīng)用性安全技術(shù)，它是在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上建立的，是目前互聯(lián)網(wǎng)上廣泛應(yīng)用的一種安全措施。它是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)安全網(wǎng)關(guān)，并能通過監(jiān)測(cè)、限制數(shù)據(jù)流來監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)外的信息以及運(yùn)行狀況，它不僅能夠限制非法用戶的侵入，同時(shí)也能阻止內(nèi)部保密信息非法輸出，本質(zhì)上來講，防火墻技術(shù)是一種隔離技術(shù)，能夠隔離過濾掉有安全隱患、不健康的站點(diǎn)，從而大限度的降低被黑客攻擊的可能性。

1.2反病毒技術(shù)計(jì)算機(jī)病毒是一段具有自我復(fù)制與傳播能力的破壞性程序代碼，它能夠隱藏在可執(zhí)行文件或數(shù)據(jù)文件中，在特定的條件下能被激活，從而破壞相關(guān)程序。目前計(jì)算機(jī)網(wǎng)絡(luò)病毒的傳播主要是以硬盤、網(wǎng)絡(luò)等作為主要傳播媒介。計(jì)算機(jī)若中了病毒，一般會(huì)表現(xiàn)出運(yùn)行緩慢、文件丟失破換、破壞操作系統(tǒng)等嚴(yán)重影響用戶信息安全。對(duì)計(jì)算機(jī)病毒的防護(hù)主要是預(yù)防為主、殺毒為輔。具體措施是要安裝殺毒軟件，并及時(shí)更新病毒庫(kù)，及時(shí)下載相關(guān)補(bǔ)??；若收到一些不熟悉的郵件并帶有擴(kuò)展名為exe的附件時(shí)，應(yīng)及時(shí)刪除；病毒往往捆綁在某些軟件上，因此下載軟件時(shí)一般去正規(guī)的網(wǎng)站下載；對(duì)u盤、移動(dòng)硬盤等儲(chǔ)存介質(zhì)在使用前進(jìn)行殺毒，防止病毒交叉感染。

1.3安全掃描及安全審計(jì)技術(shù)計(jì)算機(jī)系統(tǒng)和其他網(wǎng)絡(luò)設(shè)備都存在一定的安全漏洞，這些漏洞是攻擊者攻擊系統(tǒng)的目標(biāo)。安全掃描技術(shù)是對(duì)系統(tǒng)和相關(guān)設(shè)備進(jìn)行安全監(jiān)測(cè)，查找出安全隱患和可能被攻擊的漏洞。通過安全掃描，系統(tǒng)管理員就能排除相應(yīng)的隱患，從而防止黑客入侵。安全審計(jì)技術(shù)主要對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、郵件系統(tǒng)等進(jìn)行安全審計(jì)，是一種自動(dòng)對(duì)用戶進(jìn)行評(píng)估的技術(shù)，判斷用戶的合法性，一旦發(fā)現(xiàn)攻擊和用戶非法訪問，便可及時(shí)終止相關(guān)操作，從而起到保護(hù)信息安全的作用。

1.4數(shù)據(jù)加密技術(shù)計(jì)算機(jī)加密技術(shù)是一種非常重要的保護(hù)信息安全保障技術(shù)，它是講可閱讀的明文信息轉(zhuǎn)化成不可直接讀取的密碼信息，從而防止未授權(quán)用戶竊取數(shù)據(jù)信息。授權(quán)人通過相應(yīng)的解密算法和密鑰還原成明文信息，從而有效防止在傳輸過程中的信息泄露。目前，數(shù)據(jù)加密仍然是一種最可靠的信息保護(hù)技術(shù)。

2計(jì)算機(jī)信息安全管理方面

在計(jì)算機(jī)信息安全管理方面首先需強(qiáng)化思想教育，加強(qiáng)制度落實(shí)，增強(qiáng)計(jì)算機(jī)信息安全保密意識(shí)和觀念，這些是計(jì)算機(jī)信息安全管理工作的基礎(chǔ)；其次，制定嚴(yán)格的信息安全管理制度，在制度層面上確保計(jì)算機(jī)信息安全；再者，加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)人員的培訓(xùn)，使網(wǎng)羅人員熟練通過計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施正確有效的安全管理，保證網(wǎng)絡(luò)信息安全；最后，提高個(gè)人的信息安全觀念，對(duì)重要的不需修改數(shù)據(jù)資料建議直接刻錄在光盤上保存；對(duì)于一些較小的資料文件可上傳到相應(yīng)的郵箱或者網(wǎng)盤?？傊畬?duì)數(shù)據(jù)備份要做到備份多份，放在不同地點(diǎn)，同時(shí)保證資料的及時(shí)更新。

結(jié)語

篇9

關(guān)鍵詞信息安全 技術(shù)體系 管理體系

中圖分類號(hào)：TB497文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)：

前言

企業(yè)的正常運(yùn)作離不開信息資源的支持，企業(yè)信息化系統(tǒng)作為管理企業(yè)信息資源的電子化工具和企業(yè)實(shí)力的重要組成部分，在促進(jìn)企業(yè)規(guī)范管理流程、提高生產(chǎn)效率的同時(shí)，在運(yùn)行中累積的包括企業(yè)的經(jīng)營(yíng)計(jì)劃、知識(shí)產(chǎn)權(quán)、生產(chǎn)工藝、流程配方、方案圖紙、客戶資源等各種重要數(shù)據(jù)成為部門、企業(yè)的寶貴資產(chǎn)，關(guān)乎著企業(yè)的生存與發(fā)展。這些數(shù)據(jù)一旦損壞、丟失、泄漏或篡改，則會(huì)給企業(yè)帶來重大安全影響。

企業(yè)要保持健康可持續(xù)性發(fā)展，信息安全是基本的保證之一。為確保信息資產(chǎn)安全，很多企業(yè)都制定了“硬件備份、分權(quán)分域、多層防御、等級(jí)防護(hù)”等等信息安全技術(shù)目標(biāo)，并且逐步落實(shí)。與此同時(shí)，還應(yīng)該清醒地認(rèn)識(shí)到，技術(shù)體系達(dá)到先進(jìn)水平，并不意味著企業(yè)的信息安全整體水平也是同步發(fā)展的；而必須建設(shè)和落實(shí)與之相適配的信息安全管理體系，并將其逐步納入到企業(yè)的各級(jí)安全生產(chǎn)管理當(dāng)中。

信息安全風(fēng)險(xiǎn)和措施概述

企業(yè)信息化系統(tǒng)在為企業(yè)帶來提高工作效率和管理水平、增強(qiáng)競(jìng)爭(zhēng)能力等益處的同時(shí)，也為企業(yè)帶來了信息安全風(fēng)險(xiǎn)；而且信息安全風(fēng)險(xiǎn)與信息化水平和應(yīng)用范圍的提高與擴(kuò)大同步增長(zhǎng)。

（1）接入和訪問方式多樣化帶來全網(wǎng)性風(fēng)險(xiǎn)

U盤、便攜電腦、無線網(wǎng)卡、智能手機(jī)的普及加劇了病毒、蠕蟲和間諜軟件等普遍存在的信息安全威脅，而且對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、信息的破壞程度和范圍持續(xù)擴(kuò)大。

（2）來自外網(wǎng)的攻擊始終存在，攻擊方式向更高階段演化

和其他企業(yè)網(wǎng)一樣，企業(yè)的信息化系統(tǒng)也一直面臨著來自Internet和其他第三方對(duì)接網(wǎng)絡(luò)的外在威脅，并且很容易跨域突現(xiàn)。在攻擊手段上，攻擊者已經(jīng)從以往直接針對(duì)網(wǎng)絡(luò)和系統(tǒng)的普遍攻擊，轉(zhuǎn)向了對(duì)更高層次的Web應(yīng)用、信息數(shù)據(jù)的重點(diǎn)攻擊。

（3）安全意識(shí)和相關(guān)培訓(xùn)不到位

職工信息安全培訓(xùn)普及和素質(zhì)培養(yǎng)方面卻沒有形成一個(gè)長(zhǎng)效機(jī)制，信息安全意識(shí)不均衡情況也普遍存在。

（4）信息安全管理體系尚未成熟

在信息安全保障體系中，企業(yè)普遍存在過于依賴于技術(shù)保障，而管理保障和制度執(zhí)行相對(duì)薄弱等問題。大多數(shù)企業(yè)的信息安全管理體制還是沿襲傳統(tǒng)組織架構(gòu)，并沒有咨詢過專業(yè)安全公司在信息安全管理體系建設(shè)上的意見，仍由檔案部門、調(diào)度部門兼職負(fù)責(zé)，而沒有設(shè)置專門的信息安全部門，從而造成管理體系不健全，責(zé)任不清晰等問題。

信息安全管理體系的主要環(huán)節(jié)

從業(yè)內(nèi)最佳安全實(shí)踐來看，要想建立完善可行的信息安全管理體系，就要使之貫穿于整個(gè)企業(yè)信息安全建設(shè)和保障過程。一般說來，信息安全管理體系包括以下6個(gè)主要環(huán)節(jié)：

（1）信息風(fēng)險(xiǎn)評(píng)估程序：其目的是為了在企業(yè)、組織內(nèi)部建立一套適合自身具體情況的信息風(fēng)險(xiǎn)評(píng)估機(jī)制，明確信息風(fēng)險(xiǎn)評(píng)估由誰來做、怎么做、做什么、重點(diǎn)解決什么等問題。這一環(huán)節(jié)有助于相關(guān)部門了解有哪些威脅會(huì)對(duì)企業(yè)信息真正造成影響、風(fēng)險(xiǎn)水平該如何確定。

（2）信息安全計(jì)劃：它是在信息風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，結(jié)合企業(yè)的宏觀安全戰(zhàn)略與現(xiàn)實(shí)情況得出的，明確了信息安全工作應(yīng)該“做什么”和“什么時(shí)候做”。

（3）項(xiàng)目管理：無論安全工作是內(nèi)部人員來完成還是與專業(yè)安全公司協(xié)作來完成，每一項(xiàng)信息安全工作都可以視為一個(gè)安全項(xiàng)目。所以，還應(yīng)充分考慮項(xiàng)目管理的各個(gè)階段（發(fā)起、啟動(dòng)、計(jì)劃、執(zhí)行、控制、收尾）需要關(guān)注的問題和存在的風(fēng)險(xiǎn)。

（4）運(yùn)行維護(hù)和培訓(xùn)：對(duì)企業(yè)信息的運(yùn)行維護(hù)監(jiān)控過程大部分是程序化和其他一些較為細(xì)碎的工作。同是，除了執(zhí)行命令、填寫表單以外，還需要通過各類培訓(xùn)教育讓各級(jí)職工，尤其是掌握核心業(yè)務(wù)數(shù)據(jù)的崗位人員時(shí)刻保持風(fēng)險(xiǎn)預(yù)警意識(shí)。

（5）信息安全審計(jì)：其主要目的就是建立一個(gè)長(zhǎng)效機(jī)制，明確對(duì)信息系統(tǒng)及其數(shù)據(jù)和信息的檢查周期、審計(jì)方式、評(píng)審制度等內(nèi)容，確保能夠及時(shí)發(fā)現(xiàn)和彌補(bǔ)信息安全管理漏洞和缺陷。

（6）持續(xù)改進(jìn)計(jì)劃：為了應(yīng)對(duì)不斷變化的信息安全威脅和不斷嚴(yán)格的合規(guī)性要求，從根本上解決信息安全問題，企業(yè)、組織需要對(duì)信息安全過程、方法、程序、操作指南持續(xù)改進(jìn)。

圖1 信息安全管理體系環(huán)節(jié)構(gòu)成示意圖

信息安全管理體系的實(shí)施內(nèi)容

從當(dāng)前來看，信息安全管理體系的實(shí)施內(nèi)容主要包括信息安全管理制度和信息安全操作流程組成，二者各司其職，又互為補(bǔ)充。

首先，信息安全管理制度主要是公司的相關(guān)部門根據(jù)自身的管理職能，針對(duì)各種與信息安全管理有關(guān)的資源制定的相關(guān)要求、政策。管理制度通常由相應(yīng)的部門進(jìn)行歸口管理和解釋，是職能化、專業(yè)化的直接體現(xiàn)。

其次，信息安全管理流程是根據(jù)一定的管理目標(biāo)，對(duì)系列相關(guān)活動(dòng)順序和操作規(guī)則的規(guī)定。通常管理流程會(huì)貫穿若干部門，使用相關(guān)資源，是流程化、規(guī)范化管理的體現(xiàn)。與管理制度相比，管理流程更注重過程管理，通常會(huì)使用一些流程測(cè)量指標(biāo)，作為衡量效率和判斷是否合理的依據(jù)。

最后，在信息安全管理體系的實(shí)施中，如果關(guān)注結(jié)果，不注重或者難于監(jiān)控過程，就傾向于使用制度去約束，如近幾年在企業(yè)中大力推廣的口令加密存儲(chǔ)制度等。另一方面，如果在一個(gè)安全控制點(diǎn)上更關(guān)注過程，即關(guān)注是否具有完備的輸入，是否有合理可操作的處理過程，是否產(chǎn)生了預(yù)期的結(jié)果，那么就傾向使用操作流程進(jìn)行記錄，如系統(tǒng)補(bǔ)丁加載等。

篇10

記者：為什么說信息科技風(fēng)險(xiǎn)管理對(duì)于商業(yè)銀行是特別重要的一環(huán)?

徐徽：近年來，風(fēng)險(xiǎn)管理已成為商業(yè)銀行經(jīng)營(yíng)管理活動(dòng)的主旋律，信息科技風(fēng)險(xiǎn)作為銀行風(fēng)險(xiǎn)的重要組成部分，受到越來越多的重視。從商業(yè)銀行的角度看，這源于兩方面的驅(qū)動(dòng)因素。

一是內(nèi)在驅(qū)動(dòng)因素。目前信息技術(shù)已深入到商業(yè)銀行經(jīng)營(yíng)管理的各個(gè)領(lǐng)域，幾乎所有的改革發(fā)展任務(wù)都與信息技術(shù)密切相關(guān)，不管是業(yè)務(wù)的發(fā)展，還是管理的提升，都需要信息技術(shù)的配套支持。但是，信息技術(shù)固有的風(fēng)險(xiǎn)，包括信息系統(tǒng)軟硬件本身的脆弱性、數(shù)據(jù)集中導(dǎo)致的風(fēng)險(xiǎn)集中等，是客觀存在且難以完全規(guī)避的。由于技術(shù)原因造成區(qū)域性和系統(tǒng)性的金融風(fēng)險(xiǎn)進(jìn)而帶來嚴(yán)重的社會(huì)影響，在國(guó)內(nèi)外都有很多案例。因此，信息技術(shù)在促進(jìn)銀行業(yè)務(wù)發(fā)展、推動(dòng)金融創(chuàng)新的同時(shí)，也使銀行業(yè)務(wù)面臨巨大的安全隱患，信息科技風(fēng)險(xiǎn)牽一發(fā)而動(dòng)全身，信息系統(tǒng)的安全性和可靠性關(guān)系到商業(yè)銀行整體經(jīng)營(yíng)管理活動(dòng)的穩(wěn)定，應(yīng)該得到而且已經(jīng)得到了所有商業(yè)銀行的重視。

二是外在驅(qū)動(dòng)因素。近幾年，中國(guó)人民銀行、銀監(jiān)會(huì)等監(jiān)管機(jī)構(gòu)對(duì)于商業(yè)銀行信息科技風(fēng)險(xiǎn)的監(jiān)管要求越來越嚴(yán)、越來越細(xì)。銀監(jiān)會(huì)2009年3月下發(fā)的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，從IT治理、風(fēng)險(xiǎn)管理策略、信息安全、開發(fā)測(cè)試和生產(chǎn)運(yùn)行管理等方面對(duì)商業(yè)銀行提出了具體而細(xì)致的風(fēng)險(xiǎn)管理要求，對(duì)于商業(yè)銀行加強(qiáng)信息安全管理、防范信息技術(shù)風(fēng)險(xiǎn)起到了重要的指導(dǎo)作用。同時(shí)，銀監(jiān)會(huì)將商業(yè)銀行的信息系統(tǒng)納入現(xiàn)場(chǎng)和非現(xiàn)場(chǎng)監(jiān)管，大力開展信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查，對(duì)商業(yè)銀行的信息科技風(fēng)險(xiǎn)防范工作提出了更髙的標(biāo)準(zhǔn)和要求。監(jiān)管力度的加大，促使商業(yè)銀行針對(duì)信息技術(shù)風(fēng)險(xiǎn)防控制定出更強(qiáng)有力的措施，不斷提髙信息安全風(fēng)險(xiǎn)管理水平。

在上述內(nèi)部要求和外部環(huán)境的雙重要求和驅(qū)動(dòng)下，商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的重要性日益凸顯，信息安全管理成了各行科技工作的主題。

記者：現(xiàn)階段，我國(guó)金融機(jī)構(gòu)面臨的信息科技風(fēng)險(xiǎn)主要來源于哪些方面?

徐徽：要嚴(yán)控信息科技風(fēng)險(xiǎn)，就要先弄清楚風(fēng)險(xiǎn)的來源，并根據(jù)不同來源對(duì)癥下藥。概括來說，信息科技風(fēng)險(xiǎn)主要來自四個(gè)方面：一是自然原因?qū)е碌娘L(fēng)險(xiǎn)，包括地震、臺(tái)風(fēng)等自然災(zāi)害造成的風(fēng)險(xiǎn)，這類風(fēng)險(xiǎn)往往很難主動(dòng)防范，只能被動(dòng)防御，通過事前建立完善的業(yè)務(wù)連續(xù)性方案和應(yīng)急預(yù)案，事后及時(shí)啟動(dòng)應(yīng)急方案和補(bǔ)救措施來彌補(bǔ);二是系統(tǒng)風(fēng)險(xiǎn)，是由信息系統(tǒng)相關(guān)軟硬件的缺陷引起的，包括基礎(chǔ)設(shè)施和硬件設(shè)備老化、系統(tǒng)軟件缺陷、應(yīng)用軟件開發(fā)測(cè)試質(zhì)量缺陷等，需要通過改善軟硬件環(huán)境、完善應(yīng)用軟件來防范;三是管理缺陷導(dǎo)致的風(fēng)險(xiǎn)，是由管理制度的缺失或組織架構(gòu)的制衡機(jī)制不完善引起的，需要從IT治理架構(gòu)和管理機(jī)制上彌補(bǔ)管理和制度的空白及漏洞;四是人員違規(guī)操作風(fēng)險(xiǎn)，是由人員有意或無意的違規(guī)操作引起的，需要加強(qiáng)員工的安全培訓(xùn)和操作培訓(xùn)，提髙人員的信息安全意識(shí)和操作水平。其中，后三類風(fēng)險(xiǎn)需要以主動(dòng)防范為主要安全管理措施，要建立風(fēng)險(xiǎn)事前防范、事中控制、事后監(jiān)督和糾正的機(jī)制。

記者：為保障銀行業(yè)務(wù)的安全，廣發(fā)行信息科技風(fēng)險(xiǎn)管控采取了哪些具體措施?

徐徽：嚴(yán)控風(fēng)險(xiǎn)是我行2009年工作的主旋律之一，這也是行長(zhǎng)辛邁豪在1月全行工作會(huì)議上確立的指導(dǎo)思想，在信息技術(shù)方面的定位就是“加強(qiáng)信息技術(shù)風(fēng)險(xiǎn)管控，將信息技術(shù)風(fēng)險(xiǎn)納入銀行全面風(fēng)險(xiǎn)管理體系”。信息安全管理工作是2009年全行科技工作的重點(diǎn)任務(wù)，是優(yōu)先投入資源、重點(diǎn)保障的工作目標(biāo)。由此可見我行對(duì)于信息科技風(fēng)險(xiǎn)管理的重視。

現(xiàn)階段，根據(jù)我行技術(shù)和管理的實(shí)際情況，信息科技風(fēng)險(xiǎn)管理采用“廣度優(yōu)先、逐步提升”的策略，重點(diǎn)在管理、技術(shù)、人員等方面提升信息安全管理水平和管理能力，建立管理與技術(shù)結(jié)合的全方位的風(fēng)險(xiǎn)管理體系，變被動(dòng)應(yīng)對(duì)為主動(dòng)防范。具體說來，主要采取以下幾方面的措施開展信息安全工作。

第一，將信息科技風(fēng)險(xiǎn)管理和信息安全納入我行五年科技戰(zhàn)略規(guī)劃的實(shí)施目標(biāo)。為了提髙信息技術(shù)整體核心競(jìng)爭(zhēng)力，提升信息技術(shù)對(duì)業(yè)務(wù)戰(zhàn)略發(fā)展的長(zhǎng)期可持續(xù)支持能力，我行于2008年完成了五年科技戰(zhàn)略規(guī)劃目標(biāo)和實(shí)施路徑的制定，信息科技風(fēng)險(xiǎn)管理和信息安全是科技規(guī)劃的重要組成部分之一?？萍家?guī)劃中明確了信息安全工作的中長(zhǎng)期目標(biāo)，定義了信息安全機(jī)制建設(shè)、信息安全相關(guān)系統(tǒng)和管理平臺(tái)建設(shè)等多方面的信息安全管理實(shí)施路徑，我行在未來幾年內(nèi)將根據(jù)科技規(guī)劃的實(shí)施路徑逐步開展信息安全建設(shè)，提升信息風(fēng)險(xiǎn)防控能力。

第二，完善信息科技治理，大力開展信息科技風(fēng)險(xiǎn)管理機(jī)制建設(shè)，建立信息科技風(fēng)險(xiǎn)管理制度基礎(chǔ)。以前，國(guó)內(nèi)商業(yè)銀行的信息安全管理普遍存在一個(gè)誤區(qū)，認(rèn)為部署了髙性能的硬件設(shè)備、實(shí)現(xiàn)了雙機(jī)熱備份、做好了生產(chǎn)運(yùn)行風(fēng)險(xiǎn)控制，就算完成了信息科技風(fēng)險(xiǎn)控制的工作。其實(shí)不然，因?yàn)樾畔踩粏问羌夹g(shù)問題，更是管理問題，只有持續(xù)完善信息科技治理架構(gòu)，從組織架構(gòu)和制度等管理層面采取防范措施，才能真正實(shí)現(xiàn)信息安全管理的目標(biāo)。我行在信息科技治理方面的措施主要包括三個(gè)方面。首先，認(rèn)真學(xué)習(xí)和領(lǐng)會(huì)監(jiān)管機(jī)構(gòu)對(duì)信息技術(shù)風(fēng)險(xiǎn)控制的要求，吸收借鑒同業(yè)經(jīng)驗(yàn)，將監(jiān)管要求和同業(yè)經(jīng)驗(yàn)轉(zhuǎn)化為行內(nèi)工作規(guī)范，建立系統(tǒng)完善的信息技術(shù)風(fēng)險(xiǎn)管理組織架構(gòu)和機(jī)制，建立了三道防線、三個(gè)小組和三項(xiàng)機(jī)制。三道防線是明確了信息技術(shù)部、合規(guī)部、稽核部為主體的信息技術(shù)風(fēng)險(xiǎn)三道防線的職能分工;三個(gè)小組是成立了信息系統(tǒng)突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組、應(yīng)急處置小組和支持保障小組，做好突發(fā)事件應(yīng)急處理;三項(xiàng)機(jī)制是信息技術(shù)風(fēng)險(xiǎn)管理保障機(jī)制、信息技術(shù)風(fēng)險(xiǎn)評(píng)估和預(yù)警機(jī)制及信息技術(shù)風(fēng)險(xiǎn)應(yīng)急處置機(jī)制。

其次，建立健全信息科技規(guī)章制度。為了做好制度建設(shè)，我行信息技術(shù)部專門制定了《科技規(guī)章制度管理辦法》，明確了信息科技相關(guān)制度制定、修訂、廢止的流程和審批制度。在管理辦法的指引下，切實(shí)抓好制度建設(shè)，近兩年每年制定、修訂的制度都在20項(xiàng)以上，形成了總數(shù)達(dá)到60余個(gè)的全行科技規(guī)章制度體系。同時(shí)加強(qiáng)制度的宣講、檢查、整改機(jī)制。對(duì)于新建立的制度，制定一項(xiàng)，宣講一項(xiàng)，檢查一項(xiàng)，違章整改一項(xiàng)。再次，加強(qiáng)信息安全隊(duì)伍建設(shè)，提髙員工信息安全風(fēng)險(xiǎn)防范意識(shí)和水平，通過理論和實(shí)踐的結(jié)合，培養(yǎng)髙素質(zhì)的信息安全管理團(tuán)隊(duì)。去年我行在總行各部門和各分行科技部設(shè)立了信息安全崗，專門負(fù)責(zé)組織、落實(shí)本單位的信息安全管理工作。為了提髙信息安全崗人員的知識(shí)水平和操作技能，我行與廣州市信息安全協(xié)會(huì)共同設(shè)計(jì)了培訓(xùn)課程，組織總行信息安全崗人員和總行信息技術(shù)部相關(guān)崗位人員分批參加了信息安全繼續(xù)教育培訓(xùn)，實(shí)現(xiàn)總行信息安全崗滿足《廣東省公安廳關(guān)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的實(shí)施辦法》中關(guān)于持證上崗的監(jiān)管要求，今年將實(shí)現(xiàn)分行信息安全崗全部持證上崗。我們同時(shí)認(rèn)識(shí)到，信息科技風(fēng)險(xiǎn)防范不僅是信息安全崗的事情，而且是全體員工的基本任務(wù)。因此正在組織編寫全員信息安全手冊(cè)，對(duì)于桌面電腦安全、信息保密等基礎(chǔ)信息安全知識(shí)開展普及教育，屆時(shí)將人手一冊(cè)，確保全體員工了解并遵守信息安全管理要求。

第三，采取有效的信息科技風(fēng)險(xiǎn)管理的手段防范和化解信息安全風(fēng)險(xiǎn)。首先，持續(xù)開展信息科技風(fēng)險(xiǎn)檢查、評(píng)估、整改這一不斷循環(huán)、螺旋上升的工作。一方面認(rèn)真開展內(nèi)部審計(jì)和外部審計(jì)工作，通過審計(jì)發(fā)現(xiàn)制度、流程、操作等方面中的風(fēng)險(xiǎn);另一方面積極組織信息技術(shù)部的風(fēng)險(xiǎn)自查，每月定期開展總分行數(shù)據(jù)中心機(jī)房現(xiàn)場(chǎng)檢查，每季度開展數(shù)據(jù)庫(kù)操作、用戶管理等髙風(fēng)險(xiǎn)操作的專項(xiàng)檢查。根據(jù)審計(jì)要求和自查結(jié)果，嚴(yán)格落實(shí)風(fēng)險(xiǎn)整改工作，將整改任務(wù)落實(shí)到每季度、每月、每周的科技工作計(jì)劃中。同時(shí)逐步擴(kuò)大風(fēng)險(xiǎn)檢查的廣度和深度，主動(dòng)發(fā)現(xiàn)并積極防范風(fēng)險(xiǎn)，通過風(fēng)險(xiǎn)整改實(shí)現(xiàn)持續(xù)改進(jìn)。其次，嚴(yán)抓四方面的生產(chǎn)運(yùn)行安全管理工作：一是完善基礎(chǔ)設(shè)施建設(shè)，化解機(jī)房環(huán)境、硬件設(shè)備等基礎(chǔ)設(shè)施的風(fēng)險(xiǎn);二是建立和完善災(zāi)難備份中心，做好業(yè)務(wù)連續(xù)性建設(shè);三是提升運(yùn)行管理的水平，推進(jìn)運(yùn)行流程化和集中化管理，防范操作風(fēng)險(xiǎn)，確保信息系統(tǒng)的安全穩(wěn)定運(yùn)行。四是完善應(yīng)急預(yù)案，積極組織開展應(yīng)急演練，切實(shí)提髙風(fēng)險(xiǎn)防控水平。

記者：信息科技風(fēng)險(xiǎn)管理有時(shí)會(huì)影響效率，您如何看待這兩個(gè)因素的平衡?