日本一本一道久久香蕉男人的天堂,久草久在线视频观看视频,日本的色视频的一区

導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇關(guān)于信息安全應(yīng)急響應(yīng)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

關(guān)于信息安全應(yīng)急響應(yīng)

篇1

關(guān)鍵詞：會(huì)計(jì)信息安全組織環(huán)境風(fēng)險(xiǎn)評(píng)估監(jiān)控反饋制度安排

中圖分類號(hào)：F23 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1002-5812（2016）03-0026-04

隨著我國(guó)企業(yè)信息化的推進(jìn)，會(huì)計(jì)信息化逐步由簡(jiǎn)單的單用戶電算化應(yīng)用向復(fù)雜的深層次網(wǎng)絡(luò)化運(yùn)用過(guò)渡，會(huì)計(jì)信息化系統(tǒng)也在一定程度上實(shí)現(xiàn)了由核算型向管理型的過(guò)渡。在企業(yè)會(huì)計(jì)信息化水平不斷提高的同時(shí)，作為企業(yè)重要資產(chǎn)的會(huì)計(jì)信息，其完整性、可用性、保密性等方面卻受到不同程度的挑戰(zhàn)和沖擊。如若企業(yè)會(huì)計(jì)信息安全不能得到有效保障，可能會(huì)引發(fā)相關(guān)商業(yè)機(jī)密的泄漏，嚴(yán)重的會(huì)導(dǎo)致企業(yè)失去客戶、市場(chǎng)，乃至核心競(jìng)爭(zhēng)力；即便是信息系統(tǒng)的故障也會(huì)造成企業(yè)的相關(guān)業(yè)務(wù)中斷，給企業(yè)帶來(lái)資產(chǎn)與聲譽(yù)的損失。因此，為了使企業(yè)能持續(xù)不斷的發(fā)展，會(huì)計(jì)信息安全成為了企業(yè)管理越來(lái)越關(guān)注的內(nèi)容之一。

一、企業(yè)會(huì)計(jì)信息安全的影響因素

企業(yè)會(huì)計(jì)信息安全是指會(huì)計(jì)信息化環(huán)境下，會(huì)計(jì)信息處于完整性、可用性、保密性和可靠性的狀態(tài)，它來(lái)自于會(huì)計(jì)數(shù)據(jù)的完整和會(huì)計(jì)數(shù)據(jù)的安全。參照國(guó)際標(biāo)準(zhǔn)化組織和美國(guó)NSTISSC委員會(huì)對(duì)信息安全的闡述，本文認(rèn)為企業(yè)會(huì)計(jì)信息安全就是為了使會(huì)計(jì)信息具有完整性、可用性、保密性和可靠性，而讓企業(yè)的會(huì)計(jì)信息和會(huì)計(jì)信息系統(tǒng)處于必要的保護(hù)之下免于未經(jīng)授權(quán)的訪問(wèn)、使用、泄漏、修改和破壞，并適當(dāng)采取相應(yīng)政策、培訓(xùn)和教育以及技術(shù)等必要手段，其實(shí)質(zhì)就是扎根于企業(yè)經(jīng)營(yíng)實(shí)踐活動(dòng)并與企業(yè)戰(zhàn)略密切聯(lián)系的業(yè)務(wù)保障和管理問(wèn)題。顯然，影響企業(yè)會(huì)計(jì)信息安全的因素必然來(lái)源于企業(yè)的生產(chǎn)經(jīng)營(yíng)實(shí)踐活動(dòng)，并與企業(yè)的經(jīng)營(yíng)管理過(guò)程結(jié)合在一起。鑒于此，本文認(rèn)為影響企業(yè)會(huì)計(jì)信息安全的因素不外乎組織環(huán)境、信息處理、風(fēng)險(xiǎn)評(píng)估、監(jiān)控反饋、制度安排五個(gè)方面內(nèi)容。

（一）組織環(huán)境。企業(yè)組織環(huán)境是指能對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)和決策產(chǎn)生直接影響并與企業(yè)戰(zhàn)略目標(biāo)實(shí)現(xiàn)密切相關(guān)的因素。企業(yè)會(huì)計(jì)信息安全及相關(guān)會(huì)計(jì)信息系統(tǒng)的運(yùn)行都必須基于既有的企業(yè)組織環(huán)境。一般來(lái)說(shuō)，企業(yè)組織環(huán)境包括企業(yè)愿景、企業(yè)戰(zhàn)略、企業(yè)文化、組織結(jié)構(gòu)、員工勝任能力以及管理者素質(zhì)、管理風(fēng)格、管理哲學(xué)等。企業(yè)組織環(huán)境對(duì)企業(yè)會(huì)計(jì)信息安全的影響作用在很大程度上取決于企業(yè)高層管理者。其原因在于，根據(jù)企業(yè)高層管理者的管理哲學(xué)與管理風(fēng)格以及由其演繹而成的組織結(jié)構(gòu)和企業(yè)文化形成了企業(yè)會(huì)計(jì)信息安全環(huán)境，并以此構(gòu)建相應(yīng)的會(huì)計(jì)信息安全管控框架，進(jìn)而形成相應(yīng)的會(huì)計(jì)信息安全策略。此外，相關(guān)的企業(yè)會(huì)計(jì)信息安全管控策略若要能在企業(yè)內(nèi)部得到有效的持續(xù)的實(shí)施，也需要企業(yè)內(nèi)所有管理者和員工的共同參與，更是與管理者和員工的安全意識(shí)和職業(yè)素養(yǎng)密切相關(guān)。高層管理者負(fù)責(zé)制訂與企業(yè)組織發(fā)展方向相關(guān)以及影響整個(gè)企業(yè)戰(zhàn)略的會(huì)計(jì)信息安全管控決策；中層管理者負(fù)責(zé)將高層管理者所制訂的會(huì)計(jì)信息安全管控決策目標(biāo)轉(zhuǎn)換成為基層管理者可執(zhí)行的會(huì)計(jì)信息安全管控具體目標(biāo)；基層管理者則負(fù)責(zé)直接指揮從事具體業(yè)務(wù)的相關(guān)員工進(jìn)行日常業(yè)務(wù)作業(yè)。

（二）信息處理。企業(yè)會(huì)計(jì)信息處理是一個(gè)比較復(fù)雜的系統(tǒng)，在這個(gè)系統(tǒng)中應(yīng)該能完整、可靠、安全地采集與企業(yè)經(jīng)營(yíng)管理相關(guān)的各種會(huì)計(jì)信息，并使這些會(huì)計(jì)信息以適當(dāng)?shù)姆绞皆谄髽I(yè)有關(guān)層級(jí)及經(jīng)過(guò)適當(dāng)授權(quán)的客戶之間進(jìn)行有效傳遞和正確使用。因此，在會(huì)計(jì)信息化環(huán)境下為達(dá)到上述要求，企業(yè)需要為會(huì)計(jì)信息處理系統(tǒng)配置適當(dāng)?shù)能浻布Y源。在這種情況下，企業(yè)會(huì)計(jì)信息安全問(wèn)題就集中于物理硬件的可靠性和支持軟件的有效性。物理硬件通常由系統(tǒng)主機(jī)、網(wǎng)絡(luò)線路、終端電腦、附設(shè)周邊、物化防護(hù)等組成，譬如給數(shù)據(jù)加密的專用設(shè)備，添加專用防火墻的服務(wù)器，具有加密算法和多數(shù)位加密的路由等。支持軟件則主要由能實(shí)現(xiàn)會(huì)計(jì)信息采集、整理、加工、傳送、使用等功能的會(huì)計(jì)信息管理軟件構(gòu)成，當(dāng)然還包括操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、壓縮、加密算法、防病毒等相關(guān)軟件。

（三）風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估就是分析、識(shí)別和控制相關(guān)影響會(huì)計(jì)信息安全目標(biāo)實(shí)現(xiàn)的各種風(fēng)險(xiǎn)的過(guò)程，它主要由會(huì)計(jì)信息安全的目標(biāo)設(shè)定、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)控制等方面構(gòu)成。企業(yè)要確保其會(huì)計(jì)信息安全，則必須清楚且能應(yīng)對(duì)各種可能對(duì)其會(huì)計(jì)信息安全產(chǎn)生影響的風(fēng)險(xiǎn)，在不斷變化的企業(yè)經(jīng)營(yíng)環(huán)境中進(jìn)行認(rèn)真分析，識(shí)別并把握其變化規(guī)律，制訂相關(guān)的應(yīng)對(duì)措施，依據(jù)會(huì)計(jì)信息安全面臨的問(wèn)題適時(shí)調(diào)整企業(yè)會(huì)計(jì)信息安全管控策略和方法。這就要求企業(yè)的會(huì)計(jì)信息安全管控策略要有更長(zhǎng)遠(yuǎn)的時(shí)間和更廣闊的視野來(lái)關(guān)注風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)意識(shí)貫穿于企業(yè)會(huì)計(jì)信息安全管控的始終，不斷完善包括企業(yè)經(jīng)營(yíng)理念、管理方式、管理風(fēng)格在內(nèi)的控制風(fēng)險(xiǎn)環(huán)境。為此，企業(yè)還需要制訂相關(guān)的會(huì)計(jì)信息安全目標(biāo)，并將這一目標(biāo)與企業(yè)的供應(yīng)、生產(chǎn)、銷售等經(jīng)營(yíng)活動(dòng)進(jìn)行整合。唯有如此，才能實(shí)現(xiàn)整個(gè)企業(yè)經(jīng)營(yíng)管理的協(xié)調(diào)一致。

（四）監(jiān)控反饋。企業(yè)必須制定監(jiān)控反饋的政策與程序，才能確保既定會(huì)計(jì)信息安全目標(biāo)和必要改進(jìn)措施的有效實(shí)施。一方面，企業(yè)經(jīng)營(yíng)環(huán)境是不斷發(fā)生變化的，企業(yè)經(jīng)營(yíng)活動(dòng)也隨之不斷變化。在這種情況下，唯有對(duì)企業(yè)會(huì)計(jì)信息安全管控系統(tǒng)進(jìn)行必要的監(jiān)控，并在必要時(shí)加以修訂與調(diào)整，管控系統(tǒng)及相關(guān)的政策與程序才能反應(yīng)自如。另一方面，企業(yè)會(huì)計(jì)信息處理系統(tǒng)自身也會(huì)由于物理硬件或支持軟件方面的不確定因素而導(dǎo)致會(huì)計(jì)信息處理的延誤或失效。這樣，企業(yè)也需適時(shí)地對(duì)企業(yè)會(huì)計(jì)信息處理系統(tǒng)進(jìn)行監(jiān)控，排除不確定因素，維護(hù)會(huì)計(jì)信息處理系統(tǒng)的有效和安全。此外，還應(yīng)考慮制定怎樣的監(jiān)控反饋政策與程序。通常，過(guò)于集權(quán)的監(jiān)控政策會(huì)導(dǎo)致因信息缺乏而引起的成本，過(guò)于分權(quán)的監(jiān)控政策則會(huì)出現(xiàn)因目標(biāo)不一致而引起的成本。鑒于此，企業(yè)對(duì)會(huì)計(jì)信息安全的監(jiān)控反饋政策與程序的選擇應(yīng)該是權(quán)衡這兩類成本，使成本之和最小。

（五）制度安排。企業(yè)會(huì)計(jì)信息安全還與企業(yè)制度安排密切相關(guān)。好的政策制度，能有效協(xié)調(diào)和激勵(lì)合意的行為，約束和懲罰不合意的行為，從而帶來(lái)良好的經(jīng)濟(jì)績(jī)效；差的政策制度，則會(huì)產(chǎn)生相反的結(jié)果。因此，企業(yè)在進(jìn)行會(huì)計(jì)信息安全方面的制度安排時(shí)，需要依據(jù)會(huì)計(jì)信息安全的目標(biāo)，設(shè)計(jì)出良好的管控制度，做到能有效地協(xié)調(diào)和激勵(lì)符合企業(yè)會(huì)計(jì)信息安全的行為，并能夠約束和懲罰不符合企業(yè)會(huì)計(jì)信息安全的行為，進(jìn)而為企業(yè)帶來(lái)良好的會(huì)計(jì)信息安全管控效果。需要關(guān)注的是，制度安排的效果，還要與其實(shí)施的環(huán)境密切關(guān)聯(lián)。因?yàn)橹贫葘?shí)施的環(huán)境發(fā)生了變化，就有可能使得原先實(shí)施效果很好的制度不再那么有效，甚至失效。

二、企業(yè)會(huì)計(jì)信息安全的主要風(fēng)險(xiǎn)問(wèn)題

通過(guò)上文的分析可知，企業(yè)會(huì)計(jì)信息安全受到?jīng)_擊和挑戰(zhàn)的原因很多，具體表現(xiàn)出來(lái)的風(fēng)險(xiǎn)問(wèn)題也是多樣的。但是，具體到企業(yè)管理實(shí)踐中，會(huì)計(jì)信息安全的風(fēng)險(xiǎn)問(wèn)題基本上集中于員工的會(huì)計(jì)信息安全認(rèn)知、會(huì)計(jì)信息處理系統(tǒng)、風(fēng)險(xiǎn)評(píng)估與監(jiān)控反饋的認(rèn)識(shí)以及對(duì)會(huì)計(jì)信息安全管控制度的執(zhí)行等幾個(gè)方面。

（一）員工的會(huì)計(jì)信息安全認(rèn)知不足。基于組織環(huán)境方面的會(huì)計(jì)信息安全風(fēng)險(xiǎn)問(wèn)題多源于企業(yè)的員工對(duì)會(huì)計(jì)信息安全認(rèn)知的不足。其原因在于，與安全有關(guān)的問(wèn)題都離不開(kāi)“人”這個(gè)主體因素。一方面，許多企業(yè)管理者的會(huì)計(jì)信息安全意識(shí)、安全知識(shí)和安全管理等方面存在不足。譬如，在確定企業(yè)會(huì)計(jì)信息安全管控方案時(shí)沒(méi)有對(duì)企業(yè)進(jìn)行全面的自我診斷，僅是對(duì)企業(yè)的基本狀況做了一個(gè)大概了解，就直接在企業(yè)內(nèi)部實(shí)施現(xiàn)有的標(biāo)準(zhǔn)或者其他企業(yè)或組織的成功方案。由于企業(yè)既沒(méi)有充分挖掘會(huì)計(jì)信息安全現(xiàn)狀和對(duì)會(huì)計(jì)信息安全的內(nèi)在需求，也沒(méi)有全面考慮利益相關(guān)者的利益安全需求，必然會(huì)導(dǎo)致企業(yè)對(duì)會(huì)計(jì)信息安全的實(shí)際需求與其能提供的安全管控之間存在差距。更有甚者，企業(yè)管理者對(duì)會(huì)計(jì)信息安全的支持和重視不足，導(dǎo)致企業(yè)內(nèi)部會(huì)計(jì)信息安全文化缺失和普通員工會(huì)計(jì)信息安全意識(shí)淡薄。另一方面，企業(yè)信息化的發(fā)展，使得越來(lái)越多的非財(cái)會(huì)相關(guān)崗位的普通員工也被包含到企業(yè)會(huì)計(jì)信息安全體系之中。這些員工，甚至一些財(cái)會(huì)崗位的員工，要么不完全理解會(huì)計(jì)信息安全的重要性，要么過(guò)度信賴企業(yè)會(huì)計(jì)信息安全管控方案，而不愿意把自己的精力和資源放在會(huì)計(jì)信息安全防護(hù)上，或者從根本上就認(rèn)為即便對(duì)會(huì)計(jì)信息不采取安全防護(hù)措施也不一定會(huì)造成損失。當(dāng)然，也存在一些員工由于缺少必要的會(huì)計(jì)信息安全教育和培訓(xùn)，根本不知道自己不遵守和執(zhí)行相關(guān)的會(huì)計(jì)信息安全管控方案會(huì)對(duì)企業(yè)帶來(lái)怎樣的不利影響。

（二）會(huì)計(jì)信息處理系統(tǒng)安全技術(shù)滯后。企業(yè)會(huì)計(jì)信息安全需求是隨著企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)和企業(yè)所處的內(nèi)外部環(huán)境的變化而變化的。但是，很多企業(yè)并沒(méi)有意識(shí)到企業(yè)會(huì)計(jì)信息安全需求的動(dòng)態(tài)變化規(guī)律，對(duì)會(huì)計(jì)信息安全管控方案依然秉承“投資一次，受用終身”的觀念，抱陳守舊。這種投資觀直接導(dǎo)致企業(yè)會(huì)計(jì)信息處理系統(tǒng)安全技術(shù)跟不上企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)和企業(yè)所處的內(nèi)外部環(huán)境的變化。具體體現(xiàn)在企業(yè)使用的會(huì)計(jì)信息處理軟件本身設(shè)計(jì)存在缺陷或技術(shù)漏洞得不到及時(shí)的完善以及殺毒軟件、防火墻等相關(guān)支持軟件不能得到及時(shí)更新；沒(méi)有隨著企業(yè)業(yè)務(wù)和環(huán)境的變化更新會(huì)計(jì)信息處理系統(tǒng)導(dǎo)致業(yè)務(wù)流程描述錯(cuò)誤或漏洞、數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置不當(dāng)、關(guān)鍵數(shù)據(jù)備份不足等問(wèn)題；以及系統(tǒng)主機(jī)、網(wǎng)絡(luò)線路、終端電腦、附設(shè)周邊、物化防護(hù)等老化損毀等。

（三）會(huì)計(jì)信息安全風(fēng)險(xiǎn)意識(shí)薄弱與風(fēng)險(xiǎn)評(píng)估體系缺失。當(dāng)前，不少企業(yè)員工，包括部分企業(yè)管理者，其會(huì)計(jì)信息安全風(fēng)險(xiǎn)意識(shí)淡薄，認(rèn)識(shí)不到企業(yè)會(huì)計(jì)信息安全風(fēng)險(xiǎn)的客觀性。實(shí)際上，企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)中，風(fēng)險(xiǎn)是客觀存在的，它是無(wú)處不在的，也是無(wú)時(shí)不在的。通常狀況下，企業(yè)所面臨的會(huì)計(jì)信息安全風(fēng)險(xiǎn)，也與威脅企業(yè)實(shí)現(xiàn)其戰(zhàn)略目標(biāo)的相關(guān)事件密切相關(guān)。因此，企業(yè)會(huì)計(jì)信息安全風(fēng)險(xiǎn)的評(píng)估，要求企業(yè)所有員工能對(duì)貫穿于企業(yè)方方面面的會(huì)計(jì)信息安全風(fēng)險(xiǎn)有一個(gè)清晰的認(rèn)知。尤為突出的是，很多企業(yè)并沒(méi)有形成一套有效的會(huì)計(jì)信息安全風(fēng)險(xiǎn)評(píng)估體系來(lái)對(duì)會(huì)計(jì)信息處理系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。會(huì)計(jì)信息安全風(fēng)險(xiǎn)評(píng)估體系可以確定各種會(huì)計(jì)信息采集、整理、處置、披露和使用等行為的邊界，明確什么行為是可以做的，什么行為是不可以做的。如果發(fā)現(xiàn)有越界的行為，能夠及時(shí)發(fā)現(xiàn)并對(duì)其進(jìn)行控制，進(jìn)而使得這些越界行為造成的損失降至最低。

（四）會(huì)計(jì)信息安全監(jiān)控反饋欠佳。一般來(lái)說(shuō)，企業(yè)會(huì)計(jì)信息安全監(jiān)控反饋機(jī)制可以分為三個(gè)步驟。一是對(duì)實(shí)際會(huì)計(jì)信息安全的衡量與評(píng)估；二是將實(shí)際衡量與評(píng)估的結(jié)果與企業(yè)設(shè)定的或標(biāo)準(zhǔn)的安全目標(biāo)進(jìn)行比較；三是采取必要的管控行動(dòng)來(lái)糾正比較后得出的偏差與不足。顯然，會(huì)計(jì)信息安全監(jiān)控反饋過(guò)程是一個(gè)連續(xù)行動(dòng)的過(guò)程，其有效性歸根結(jié)蒂取決于以上的衡量、比較與糾偏三個(gè)步驟，其中任何一個(gè)步驟或者幾個(gè)步驟低效率或不作為就會(huì)影響企業(yè)會(huì)計(jì)信息安全監(jiān)控反饋機(jī)制的有效性。但是，在現(xiàn)實(shí)的企業(yè)經(jīng)營(yíng)管理實(shí)際中，由于企業(yè)員工認(rèn)識(shí)不到會(huì)計(jì)信息安全監(jiān)控反饋機(jī)制是一個(gè)衡量、比較與糾偏的連續(xù)行動(dòng)過(guò)程，而是過(guò)度強(qiáng)調(diào)這個(gè)監(jiān)控反饋機(jī)制中的某一個(gè)步驟或某幾個(gè)步驟，沒(méi)有從整個(gè)會(huì)計(jì)信息安全監(jiān)控反饋機(jī)制的全局上考慮，導(dǎo)致企業(yè)會(huì)計(jì)信息安全監(jiān)控反饋機(jī)制運(yùn)行不暢，監(jiān)控反饋效果大打折扣，最終使該機(jī)制的有效性受到質(zhì)疑，動(dòng)搖該機(jī)制在企業(yè)會(huì)計(jì)信息安全管控體系中的地位。

（五）會(huì)計(jì)信息安全管控制度低效。會(huì)計(jì)信息化依然是個(gè)新生事物，企業(yè)對(duì)會(huì)計(jì)信息安全管控的認(rèn)知還處于初級(jí)階段，相關(guān)的制度建設(shè)尚不完善，有的還處于草創(chuàng)階段，導(dǎo)致企業(yè)日常會(huì)計(jì)事務(wù)的工作制度依然處于缺失狀態(tài)，會(huì)計(jì)信息處理系統(tǒng)的使用和維護(hù)行為缺乏合理的引導(dǎo)，會(huì)計(jì)信息處理設(shè)備的濫用和誤用、會(huì)計(jì)信息的不當(dāng)使用等現(xiàn)象時(shí)有發(fā)生，嚴(yán)重危害企業(yè)的會(huì)計(jì)信息安全。即便企業(yè)有相對(duì)健全的會(huì)計(jì)信息安全管控制度，若不能對(duì)相關(guān)執(zhí)行人進(jìn)行必要的激勵(lì)，也難以使相關(guān)制度得到有效執(zhí)行。其原因在于任何制度都是由人來(lái)執(zhí)行的，要保證制度的執(zhí)行效果，就必須對(duì)執(zhí)行人進(jìn)行激勵(lì)。激勵(lì)的目的就是當(dāng)個(gè)人的行為能促進(jìn)企業(yè)目標(biāo)的實(shí)現(xiàn)時(shí)，能得到企業(yè)提供給其相應(yīng)的價(jià)值回報(bào)，把企業(yè)員工的個(gè)人行為動(dòng)機(jī)與企業(yè)目標(biāo)的實(shí)現(xiàn)密切關(guān)聯(lián)起來(lái)。事實(shí)上，很多企業(yè)在信息安全管控制度的執(zhí)行過(guò)程中，并沒(méi)有設(shè)立相應(yīng)的激勵(lì)指標(biāo)來(lái)推動(dòng)企業(yè)員工為企業(yè)信息安全目標(biāo)的實(shí)現(xiàn)而工作。

三、企業(yè)會(huì)計(jì)信息安全的管控建議

針對(duì)以上風(fēng)險(xiǎn)問(wèn)題，企業(yè)應(yīng)該在影響會(huì)計(jì)信息安全因素的組織環(huán)境、信息處理、風(fēng)險(xiǎn)評(píng)估、監(jiān)控反饋、制度安排等方面強(qiáng)化作為。

（一）加強(qiáng)會(huì)計(jì)信息安全管控組織環(huán)境建設(shè)。一方面，要強(qiáng)化企業(yè)會(huì)計(jì)信息安全文化建設(shè)，在企業(yè)內(nèi)部形成全體員工共同遵循的會(huì)計(jì)信息安全的信念、價(jià)值、意識(shí)以及經(jīng)營(yíng)哲學(xué)等，以此為基礎(chǔ)設(shè)計(jì)相應(yīng)的企業(yè)會(huì)計(jì)信息安全管控制度，并提供理念支持。還可以在企業(yè)文化建設(shè)過(guò)程中，不斷強(qiáng)化企業(yè)會(huì)計(jì)信息安全的重要性和相關(guān)會(huì)計(jì)信息安全管制制度設(shè)計(jì)的員工參與度，以實(shí)現(xiàn)更加公平透明和執(zhí)行有效的企業(yè)會(huì)計(jì)信息安全管控文化。另一方面，要充分重視人的因素，加強(qiáng)企業(yè)員工的職業(yè)道德教育和業(yè)務(wù)素質(zhì)培養(yǎng)，提高全體員工的職業(yè)勝任能力，充分發(fā)揮每個(gè)員工在完善企業(yè)會(huì)計(jì)信息安全管控制度方面的主觀能動(dòng)性。企業(yè)還可以依據(jù)員工的工作性質(zhì)和職位安排，適宜安排企業(yè)會(huì)計(jì)信息安全教育與培訓(xùn)。對(duì)企業(yè)管理者，強(qiáng)化會(huì)計(jì)信息安全核心知識(shí)、技術(shù)手段、風(fēng)險(xiǎn)管理等方面的教育與培訓(xùn)；對(duì)企業(yè)普通員工，則結(jié)合其所在部門(mén)的業(yè)務(wù)特點(diǎn)加強(qiáng)會(huì)計(jì)信息安全技術(shù)手段、風(fēng)險(xiǎn)意識(shí)等方面的教育與培訓(xùn)。這樣，就可以在企業(yè)內(nèi)部營(yíng)造企業(yè)會(huì)計(jì)信息安全文化氛圍，最大程度地減少人為因素對(duì)企業(yè)會(huì)計(jì)信息安全的危害。

（二）適時(shí)更新會(huì)計(jì)信息處理系統(tǒng)安全技術(shù)。企業(yè)要遵循會(huì)計(jì)信息安全需求的動(dòng)態(tài)變化規(guī)律，對(duì)會(huì)計(jì)信息安全管控方案放棄“投資一次，受用終身”的觀念，適時(shí)更新會(huì)計(jì)信息系統(tǒng)處理安全技術(shù)，按照“適度防御”的原則，選擇合適的安全技術(shù)與產(chǎn)品，形成企業(yè)適用的安全技術(shù)防線。首先，適時(shí)更新會(huì)計(jì)信息處理的安全技術(shù)。在企業(yè)會(huì)計(jì)信息處理系統(tǒng)中提供包括用戶名、口令等在內(nèi)的多種身份驗(yàn)證機(jī)制，必要時(shí)還需嵌入支持雙因素認(rèn)證和具備登錄控制模塊，同時(shí)在會(huì)計(jì)信息處理的日常作業(yè)不受影響的情況下，控制相應(yīng)員工的訪問(wèn)權(quán)限，減少可能的越權(quán)操作，保障會(huì)計(jì)信息處理系統(tǒng)的安全。其次，適時(shí)更新會(huì)計(jì)數(shù)據(jù)的安全技術(shù)。企業(yè)應(yīng)通過(guò)適時(shí)更新加密等技術(shù)手段保護(hù)會(huì)計(jì)信息處理系統(tǒng)中數(shù)據(jù)的保密性和完整性，提高會(huì)計(jì)信息數(shù)據(jù)訪問(wèn)的抗依賴性。此外，還需加強(qiáng)相關(guān)會(huì)計(jì)信息數(shù)據(jù)的異地崩潰或者災(zāi)難恢復(fù)機(jī)制，通過(guò)實(shí)現(xiàn)本地會(huì)計(jì)信息數(shù)據(jù)能夠異地備份和復(fù)制，避免本地會(huì)計(jì)信息處理系統(tǒng)由于崩潰或者災(zāi)難等而導(dǎo)致會(huì)計(jì)信息數(shù)據(jù)遺失。再次，適時(shí)更新網(wǎng)絡(luò)安全技術(shù)。不但要適時(shí)更新系統(tǒng)掃描技術(shù)并對(duì)會(huì)計(jì)信息處理系統(tǒng)和操作系統(tǒng)層設(shè)備進(jìn)行智能化檢測(cè)，幫助企業(yè)網(wǎng)絡(luò)管理人員高效完成定期檢測(cè)和操作系統(tǒng)的漏洞修復(fù)，還要適時(shí)更新系統(tǒng)實(shí)時(shí)入侵探測(cè)技術(shù)來(lái)監(jiān)控主機(jī)系統(tǒng)事件，檢測(cè)可疑特征并給予響應(yīng)和處置。此外，還要適時(shí)更新在企業(yè)內(nèi)外部部署的網(wǎng)絡(luò)和信息安全設(shè)施，強(qiáng)化會(huì)計(jì)信息處理系統(tǒng)的物理實(shí)體管理，同時(shí)加強(qiáng)對(duì)漏洞掃描系統(tǒng)和入侵檢測(cè)系統(tǒng)的更新，以實(shí)現(xiàn)會(huì)計(jì)信息處理系統(tǒng)受到內(nèi)外部誤操作或各種攻擊時(shí)的實(shí)時(shí)保護(hù)。最后，適時(shí)完善物理設(shè)備的安全防護(hù)技術(shù)。不但要采取全面可靠的防火墻技術(shù)和防病毒系統(tǒng)，還要針對(duì)環(huán)境的物理災(zāi)害、人為蓄意破壞甚至自然災(zāi)害采取有效的物化防護(hù)技術(shù)，保障相關(guān)物理設(shè)備的安全。

（三）形成會(huì)計(jì)信息安全風(fēng)險(xiǎn)評(píng)估體系。任何企業(yè)管理機(jī)制的構(gòu)建都是一個(gè)系統(tǒng)工程，能否構(gòu)建成功且在以后的運(yùn)行中有效，關(guān)鍵是相關(guān)風(fēng)險(xiǎn)的評(píng)估。正如管理大師德魯克所說(shuō)，沒(méi)有評(píng)估就沒(méi)有管理。同樣的道理，沒(méi)有評(píng)估就不可能實(shí)現(xiàn)管理機(jī)制的構(gòu)建與施行。對(duì)會(huì)計(jì)信息安全管制機(jī)制的構(gòu)建亦是如此。為此，企業(yè)為了構(gòu)建有效的會(huì)計(jì)信息安全管理機(jī)制，就需對(duì)可能的損害企業(yè)會(huì)計(jì)信息安全的風(fēng)險(xiǎn)進(jìn)行歸集與分類，形成會(huì)計(jì)信息安全風(fēng)險(xiǎn)評(píng)估體系。具體做法，可以采用以下三步。第一步，構(gòu)建適應(yīng)企業(yè)經(jīng)營(yíng)實(shí)踐和企業(yè)會(huì)計(jì)信息安全要求的會(huì)計(jì)信息安全風(fēng)險(xiǎn)評(píng)估目標(biāo)體系。既要根據(jù)會(huì)計(jì)信息的完整性、可用性、保密性和可靠性設(shè)置會(huì)計(jì)信息安全的一般目標(biāo)，又要根據(jù)會(huì)計(jì)信息安全管控環(huán)節(jié)設(shè)置具體目標(biāo)，譬如會(huì)計(jì)信息安全管控業(yè)務(wù)執(zhí)行的有效性、及時(shí)性、正確性等。第二步，按照會(huì)計(jì)信息處理的授權(quán)管理、崗位牽制、資源接觸等安全管控類型，分析并得出會(huì)計(jì)信息處理業(yè)務(wù)流程和各部門(mén)的關(guān)鍵風(fēng)險(xiǎn)控制點(diǎn)和一般風(fēng)險(xiǎn)控制點(diǎn)。最后，根據(jù)上述風(fēng)險(xiǎn)控制點(diǎn)設(shè)置相應(yīng)的會(huì)計(jì)信息安全管控評(píng)估指標(biāo)，并對(duì)每個(gè)指標(biāo)進(jìn)行具體說(shuō)明，且給出這些指標(biāo)的評(píng)估方法和評(píng)分標(biāo)準(zhǔn)。

（四）推行企業(yè)全面信息安全監(jiān)控反饋機(jī)制。會(huì)計(jì)信息安全管控不應(yīng)該僅僅是涉及到會(huì)計(jì)信息這樣一個(gè)狹小的范疇，而應(yīng)該是一個(gè)綜合的概念，要把企業(yè)的經(jīng)營(yíng)環(huán)境、愿景理念、組織領(lǐng)導(dǎo)、戰(zhàn)略計(jì)劃等綜合起來(lái)考慮。既要認(rèn)識(shí)到現(xiàn)代企業(yè)中會(huì)計(jì)信息安全管控的重要性，也要能從會(huì)計(jì)信息安全的管控上升到企業(yè)信息安全管控，推行企業(yè)全面信息安全監(jiān)控反饋機(jī)制，實(shí)現(xiàn)企業(yè)全面信息安全管控，并使之成為企業(yè)的管理哲學(xué)。首先，要做到內(nèi)容方式的全面性。不僅要著眼于會(huì)計(jì)信息安全的管控，還要能從企業(yè)戰(zhàn)略的高度審視和評(píng)估會(huì)計(jì)信息安全管控，更要注重各種安全技術(shù)和方法的綜合使用，確保能實(shí)現(xiàn)從單純的會(huì)計(jì)信息安全管控向企業(yè)全面信息安全管控轉(zhuǎn)變。其次，要做到管控過(guò)程的全面性。要把會(huì)計(jì)信息安全管控作為核心貫穿到整個(gè)企業(yè)經(jīng)營(yíng)過(guò)程中，即從市場(chǎng)調(diào)查、產(chǎn)品開(kāi)發(fā)、生產(chǎn)銷售等環(huán)節(jié)延續(xù)到產(chǎn)品售后都要實(shí)行相應(yīng)的會(huì)計(jì)信息安全管控，確保會(huì)計(jì)信息從靜態(tài)安全管控向動(dòng)態(tài)安全管控轉(zhuǎn)變，進(jìn)而實(shí)現(xiàn)會(huì)計(jì)信息的保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)協(xié)調(diào)一致。最后，要做到管控人員的全面性。即要求包括企業(yè)高管、其他管理人員、工程技術(shù)人員和普通員工在內(nèi)的全體員工都要參與到全面信息安全管控中，各司其職，對(duì)會(huì)計(jì)信息安全負(fù)責(zé)。

（五）強(qiáng)化會(huì)計(jì)信息安全管控制度安排。強(qiáng)化企業(yè)會(huì)計(jì)信息安全管控制度建設(shè)，不外乎制度本身的完善和既有制度的有效執(zhí)行。會(huì)計(jì)信息安全管控制度的完善，就是建立一套完善的會(huì)計(jì)信息安全管控制度。這既是會(huì)計(jì)信息本身安全的基礎(chǔ)，也是會(huì)計(jì)信息安全管控的前提。完善的會(huì)計(jì)信息安全管控制度至少應(yīng)該包括會(huì)計(jì)信息處理系統(tǒng)的開(kāi)發(fā)或選購(gòu)、使用、維護(hù)和應(yīng)急制度，以及機(jī)房和終端等會(huì)計(jì)信息處理系統(tǒng)物理實(shí)體管理制度、會(huì)計(jì)信息數(shù)據(jù)的使用制度、會(huì)計(jì)信息數(shù)據(jù)備份制度、會(huì)計(jì)信息安全風(fēng)險(xiǎn)評(píng)估制度、會(huì)計(jì)信息安全審計(jì)制度等，實(shí)現(xiàn)從會(huì)計(jì)信息數(shù)據(jù)采集整理到會(huì)計(jì)信息數(shù)據(jù)使用備份的會(huì)計(jì)信息處理全程制度無(wú)縫構(gòu)建，并隨著企業(yè)經(jīng)營(yíng)環(huán)境的變化適時(shí)更新和完善。而既有會(huì)計(jì)信息安全管控制度的有效執(zhí)行，則需充分重視企業(yè)員工績(jī)效考核制度。恰當(dāng)在企業(yè)員工的績(jī)效考核中納入企業(yè)會(huì)計(jì)信息安全評(píng)估的內(nèi)容，使其獲得報(bào)酬的變量和風(fēng)險(xiǎn)密切關(guān)聯(lián)于企業(yè)會(huì)計(jì)信息安全。這樣就可以保證企業(yè)員工在會(huì)計(jì)信息安全管控制度的執(zhí)行方面上，能夠基于企業(yè)的長(zhǎng)期利益，而不是其個(gè)人利益，進(jìn)而實(shí)現(xiàn)既有會(huì)計(jì)信息安全制度的有效執(zhí)行。

四、結(jié)束語(yǔ)

企業(yè)會(huì)計(jì)信息安全對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)的可持續(xù)發(fā)展以及對(duì)市場(chǎng)經(jīng)濟(jì)的建立健全等方面的作用是不容置疑的。但是，也要看到我國(guó)關(guān)于企業(yè)會(huì)計(jì)信息安全乃至整個(gè)企業(yè)信息安全管控實(shí)踐和研究的起步較晚，與發(fā)達(dá)市場(chǎng)經(jīng)濟(jì)國(guó)家在初始條件和實(shí)踐能力方面還存在一定程度的差距。這是我國(guó)企業(yè)在進(jìn)行會(huì)計(jì)信息安全管控時(shí)所必須要考慮到的一個(gè)基本現(xiàn)實(shí)。因此，本文認(rèn)為企業(yè)會(huì)計(jì)信息化安全管控，既是一個(gè)不斷發(fā)現(xiàn)問(wèn)題和解決問(wèn)題的過(guò)程，也是一個(gè)不斷迎接挑戰(zhàn)和接受沖擊的過(guò)程。

參考文獻(xiàn)：

[1]張紅旗，王新昌，楊英杰等.信息安全管理[M].北京：人民郵電出版社，2007.

[2]胡英松.信息化會(huì)計(jì)信息安全問(wèn)題研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2009，（4）：83-85.

[3]ISO.ISO/IEC27002：2005[EB/OL].[2015-08-17].https：///obp/ui/#iso：std：iso-iec：27002：ed-1：v1：en.

[4]NSTISSC.Trusted Computer System Evaluation Criteria[EB/OL].[2015-08-17].Available online，http：//csrc.nist.ov/publications/history/dod85.pdf

[5]梅雨.企業(yè)財(cái)務(wù)監(jiān)控問(wèn)題解析[J].中國(guó)管理信息化，2009，（9）：48-50.

[6]Schultz E.The Human Factor in Security[J].Computers and Security，2005，24（6）：425-426.

篇2

論文摘要:作為未來(lái)最適應(yīng)時(shí)代要求的政府工作形態(tài)，電子政務(wù)建設(shè)是我國(guó)當(dāng)前信息化工作的重，點(diǎn)，未來(lái)政府辦會(huì)發(fā)展的趨勢(shì)。本文探論了綜合電子政務(wù)平臺(tái)的棍念、結(jié)構(gòu)和相關(guān)技術(shù)，分析了電子政務(wù)所面臨的安全威脅，并提出了相應(yīng)的解決方案。

1綜合電子政務(wù)平臺(tái)概述

電子政務(wù)是指政府機(jī)構(gòu)應(yīng)用信息技術(shù)提高政府事務(wù)處理的信息流效率，對(duì)政府機(jī)構(gòu)和職能進(jìn)行優(yōu)化，改善政府組織和公共管理能力。通常由核心網(wǎng)絡(luò)、接人網(wǎng)絡(luò)及訪問(wèn)網(wǎng)絡(luò)三部分組成。建設(shè)內(nèi)容一般包括:電子政務(wù)網(wǎng)絡(luò)平臺(tái)、政府門(mén)戶網(wǎng)站、電子政務(wù)主站點(diǎn)、“一站式”行政審批系統(tǒng)、視頻會(huì)議系統(tǒng)、公文交換和信息報(bào)送系統(tǒng)、電子郵件系統(tǒng)、辦公自動(dòng)化系統(tǒng)等。

電子政務(wù)網(wǎng)絡(luò)平臺(tái)網(wǎng)絡(luò)結(jié)構(gòu)中，核心網(wǎng)絡(luò)擁有重要的信息資源，并處理政府部門(mén)間的核心業(yè)務(wù)。政府部門(mén)間的數(shù)據(jù)交換流程是閉環(huán)的，即任何一個(gè)節(jié)點(diǎn)既是用戶又是數(shù)據(jù)源。因此，核心網(wǎng)絡(luò)節(jié)點(diǎn)之間的業(yè)務(wù)流程應(yīng)該是高速、嚴(yán)密、安全的，并且有嚴(yán)格的審核機(jī)制。核心網(wǎng)絡(luò)與接人網(wǎng)絡(luò)形成上下級(jí)關(guān)系的協(xié)同工作平臺(tái)，進(jìn)行信息、數(shù)據(jù)的交換。它們之間的信息往來(lái)必須具備信任安全體系。政府核心網(wǎng)絡(luò)面向社會(huì)公眾提供信息服務(wù)，對(duì)外宣傳政府信息，與訪問(wèn)網(wǎng)絡(luò)建立連接。

2綜合電子政務(wù)平臺(tái)的安全風(fēng)險(xiǎn)

2.1網(wǎng)絡(luò)安全域的劃分和控制問(wèn)題

電子政務(wù)中的信息涉及國(guó)家秘密、國(guó)家安全，因此它需要絕對(duì)的安全。但是同時(shí)電子政務(wù)現(xiàn)在很重要的發(fā)展方向是要為社會(huì)提供行政監(jiān)管的渠道，為社會(huì)提供公共服務(wù)，如社保醫(yī)保、大量的公眾咨詢、投訴等等，它同時(shí)又需要一定程度的開(kāi)放。因此如何合理地劃分安全域顯得非常重要。

2.2內(nèi)部監(jiān)控、審核問(wèn)題

目前絕大部分單位都沒(méi)有系統(tǒng)可以實(shí)時(shí)地對(duì)內(nèi)部人員除個(gè)人隱私以外的各項(xiàng)具體操作進(jìn)行監(jiān)控和記錄，更不用談對(duì)一些非法操作進(jìn)行屏蔽和阻斷了。

2.3電子政務(wù)的信任體系問(wèn)題

電子政務(wù)要做到比較完善的安全保障體系，第三方認(rèn)證是必不可少的。只有通過(guò)一定級(jí)別的第三方認(rèn)證，才能說(shuō)建立了一套完善的信任體系。

2 .4數(shù)字簽名(簽發(fā))問(wèn)題

在電子政務(wù)中，要真正實(shí)行無(wú)紙化辦公，很重要的一點(diǎn)是實(shí)現(xiàn)電子公文的流轉(zhuǎn)，而在這之中，數(shù)字簽名(簽發(fā))問(wèn)題又是重中之重。

2.5電子政務(wù)的災(zāi)難響應(yīng)和應(yīng)急處理問(wèn)題

很多單位在進(jìn)行網(wǎng)絡(luò)規(guī)劃的時(shí)候，沒(méi)有考慮到作為系統(tǒng)核心部分一一數(shù)據(jù)庫(kù)本身的安全問(wèn)題，完全依賴干整個(gè)網(wǎng)絡(luò)的防護(hù)能力，一旦網(wǎng)絡(luò)的安全體系被穿破或者直接由內(nèi)部人員利用內(nèi)網(wǎng)用戶的優(yōu)勢(shì)進(jìn)行破壞，“數(shù)據(jù)”可以說(shuō)無(wú)任何招架之力

3綜合電子政務(wù)平臺(tái)安全體系建設(shè)方案

3 .1技術(shù)保障體系

技術(shù)保障體系是安全管理體系的重要組成部分。它涉及兩個(gè)層面的問(wèn)題，一是信息安全的核心技術(shù)和基本理論的研究與開(kāi)發(fā)，二是信息安全產(chǎn)品和系統(tǒng)構(gòu)建綜合防護(hù)系統(tǒng)。

信息安全技術(shù)。信息安全的核心技術(shù)主要包括數(shù)據(jù)加密技術(shù)、信息隱藏技術(shù)和信息認(rèn)證技術(shù)。數(shù)據(jù)加密是把有意義的信息編碼為偽隨機(jī)性的亂碼，以實(shí)現(xiàn)信息保護(hù)的目的。數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無(wú)法偽造的一段數(shù)字串，這段數(shù)字串同時(shí)也是對(duì)發(fā)送者信息真實(shí)性的證明。

信息安全防護(hù)體系。目前，主要的信息安全的產(chǎn)品和系統(tǒng)包括防病毒軟件、防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描、安全審計(jì)系統(tǒng)、物理隔離系統(tǒng)等。我們可采用屏蔽子網(wǎng)體系結(jié)構(gòu)保證核心網(wǎng)絡(luò)的安全。屏蔽子網(wǎng)體系結(jié)構(gòu)通過(guò)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與internet隔離開(kāi)。在這種結(jié)構(gòu)下，即使攻破了堡壘主機(jī)，也不能直接侵人內(nèi)部網(wǎng)絡(luò)，它將仍然必須通過(guò)內(nèi)部路由器。

3.2運(yùn)行管理體系

安全行政管理。電子政務(wù)的安全行政管理應(yīng)包括建立安全組織機(jī)構(gòu)、安全人事管理、制定和落實(shí)安全制度。

安全技術(shù)管理。電子政務(wù)的安全技術(shù)管理可以從三個(gè)方面著手:硬件實(shí)體、軟件系統(tǒng)、密鑰。

風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)管理是對(duì)項(xiàng)目風(fēng)險(xiǎn)的識(shí)別、分析和應(yīng)對(duì)過(guò)程。它包括對(duì)正面事件效果的最大化及對(duì)負(fù)面事件影響的最小化。

3.3社會(huì)服務(wù)體系

安全管理服務(wù)。目前，一些信息安全管理服務(wù)提供商(managed security service providers, mssp)正在逐步形成，它們有的是專門(mén)從事安全管理服務(wù)達(dá)到增值目的的，有的是一些軟件廠商為彌補(bǔ)其軟件系統(tǒng)的不足而附加一些服務(wù)的，有的是一些從it集成或咨詢商發(fā)展而來(lái)提供信息安全咨詢的。

安全測(cè)評(píng)服務(wù)。測(cè)評(píng)認(rèn)證的實(shí)質(zhì)是由一個(gè)中立的權(quán)威機(jī)構(gòu)，通過(guò)科學(xué)、規(guī)范、公正的測(cè)試和評(píng)估向消費(fèi)者、購(gòu)買者即需方，證實(shí)生產(chǎn)者或供方所提供的產(chǎn)品和服務(wù)，符合公開(kāi)、客觀和先進(jìn)的標(biāo)準(zhǔn)。

應(yīng)急響應(yīng)服務(wù)。應(yīng)急響應(yīng)是計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)遇到安全事件如黑客人侵、網(wǎng)絡(luò)惡意攻擊、病毒感染和破壞等時(shí)，所能夠提供的緊急的響應(yīng)和快速的救援與恢復(fù)服務(wù)。

3.4基礎(chǔ)設(shè)施平臺(tái)

法規(guī)基礎(chǔ)建設(shè)。主要有以下幾方面:在國(guó)家憲法和各部門(mén)法中對(duì)各類法律主體的有關(guān)信息活動(dòng)涉及國(guó)家安全的權(quán)利和義務(wù)進(jìn)行規(guī)范，形成國(guó)家關(guān)于信息及信息安全的總則性、普適性的法規(guī)體系;針對(duì)各類計(jì)算機(jī)和網(wǎng)絡(luò)犯罪，制訂直接約束各社會(huì)成員的信息活動(dòng)的行為規(guī)范，形成計(jì)算機(jī)、網(wǎng)絡(luò)犯罪監(jiān)察嶼防范體系;對(duì)信息安全技術(shù)、信息安全產(chǎn)品(系統(tǒng))的授權(quán)審批應(yīng)制訂相應(yīng)的規(guī)定，形成信息安全審批與監(jiān)控體系;針對(duì)信息內(nèi)容的安全與保密問(wèn)題，制訂相應(yīng)規(guī)定，形成信息內(nèi)容的審批、監(jiān)控、保密體系;從國(guó)家安全的角度，制訂網(wǎng)絡(luò)信息預(yù)警與反擊體系等。

篇3

一、自查情況

(一)安全制度落實(shí)情況

一是成立了信息系統(tǒng)安全小組。明確了信息安全的主管領(lǐng)導(dǎo)和具體負(fù)責(zé)管護(hù)人員,負(fù)責(zé)局信息系統(tǒng)安全監(jiān)督管理;二是建立了信息系統(tǒng)安全責(zé)任制。按責(zé)任規(guī)定：安全小組對(duì)信息安全負(fù)首責(zé)，主管領(lǐng)導(dǎo)負(fù)總責(zé)，具體管理人負(fù)主責(zé);三是制定了計(jì)算機(jī)及網(wǎng)絡(luò)的保密管理制度。局網(wǎng)站的信息管護(hù)人員負(fù)責(zé)保密管理，密碼管理，對(duì)計(jì)算機(jī)享有獨(dú)立使用權(quán)，計(jì)算機(jī)的用戶名和開(kāi)機(jī)密碼為其專有，且規(guī)定嚴(yán)禁外泄。

(二)安全防范措施落實(shí)情況

一是計(jì)算機(jī)經(jīng)過(guò)了保密技術(shù)檢查，并安裝了防火墻。同時(shí)配置安裝了專業(yè)殺毒軟件，加強(qiáng)了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性;二是計(jì)算機(jī)都設(shè)有開(kāi)機(jī)密本文來(lái)源：文秘站碼，由專人保管負(fù)責(zé)。同時(shí)，計(jì)算機(jī)相互共享之間設(shè)有嚴(yán)格的身份認(rèn)證和訪問(wèn)控制;三是網(wǎng)絡(luò)終端沒(méi)有違規(guī)上國(guó)際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象，沒(méi)有安裝無(wú)線網(wǎng)絡(luò)等;四是安裝了針對(duì)移動(dòng)存儲(chǔ)設(shè)備的專業(yè)殺毒軟件。

(三)應(yīng)急響應(yīng)機(jī)制建設(shè)情況

一是制定了初步應(yīng)急預(yù)案，并隨著信息化程度的深入，結(jié)合我局實(shí)際，處于不斷完善階段;二是堅(jiān)持和計(jì)算機(jī)系統(tǒng)定點(diǎn)維修單位聯(lián)系機(jī)關(guān)計(jì)算機(jī)維修事宜，并商定其給予應(yīng)急技術(shù)以最大程度的支持;三是嚴(yán)格文件的收發(fā)，完善了清點(diǎn)、修理、編號(hào)、簽收制度，并要求信息管理員每天下班前進(jìn)行存檔;四是及時(shí)對(duì)系統(tǒng)和軟件進(jìn)行更新，對(duì)重要文件、信息資源做到及時(shí)備份，數(shù)據(jù)恢復(fù)。

(四)信息技術(shù)產(chǎn)品和服務(wù)國(guó)產(chǎn)化情況

一是終端計(jì)算機(jī)的保密系統(tǒng)和防火墻、殺毒軟件等，皆為國(guó)產(chǎn)產(chǎn)品;二是公文處理軟件具體使用的是word20__系統(tǒng);三是年報(bào)系統(tǒng)皆為縣委、縣政府統(tǒng)一指定產(chǎn)品系統(tǒng)。

二、存在不足和整改意見(jiàn)

根據(jù)《通知》中的具體要求，在自查過(guò)程中我們也發(fā)現(xiàn)了一些不足，同時(shí)結(jié)合我局實(shí)際，今后要在以下幾個(gè)方面進(jìn)行整改。

存在不足：一是專業(yè)技術(shù)人員較少，信息系統(tǒng)安全方面可投入的力量有限;二是規(guī)章制度體系初步建立，但還不完善，未能覆蓋相關(guān)信息系統(tǒng)安全的所有方面;三是遇到計(jì)算機(jī)病毒侵襲等突發(fā)事件處理不夠及時(shí)。

篇4

【關(guān)鍵詞】 IT 項(xiàng)目；信息安全管理；措施

The Analysis of Information Safety Management for IT Program

Lin Ting

(Chaina Unionpay Data Services Co.,Ltd Shanghai 200001)

【 Abstract 】 Based on the information safety management of IT program in the confidential engineering, the analysis scope of information safety is defined, and the risk of the program is researched. According to the study, the control measurement is established so that it is effective to control and reduce the risk for the safety of information system.

【 Keywords 】 IT program; information safety management; measurement

1 引言

公司與軍方合作比較廣泛，有一個(gè)關(guān)于武器設(shè)計(jì)的項(xiàng)目。由于項(xiàng)目的特殊性，整個(gè)項(xiàng)目的安全要求高，本著“安全第一，應(yīng)用第二”的原則，對(duì)內(nèi)部網(wǎng)絡(luò)的建設(shè)從發(fā)展的眼光出發(fā)，將前瞻性與實(shí)用性相結(jié)合，在分析信息系統(tǒng)風(fēng)險(xiǎn)的基礎(chǔ)上，制定出信息系統(tǒng)風(fēng)險(xiǎn)應(yīng)對(duì)措施，進(jìn)行風(fēng)險(xiǎn)控制，降低信息系統(tǒng)的風(fēng)險(xiǎn)，保障信息系統(tǒng)的安全。

2 安全需求分析

2.1 信息安全范圍需求

確保整個(gè)系統(tǒng)在建設(shè)之中和建設(shè)之后的維護(hù)的安全性同，所涉及的范圍包括內(nèi)容有：1）信息，包括數(shù)據(jù)、資料等; 2）硬件、軟件；3）環(huán)境及支持設(shè)備；4）參與人員的管理；5）網(wǎng)絡(luò)通訊設(shè)備；6）存儲(chǔ)設(shè)備。

2.2 信息安全優(yōu)先級(jí)需求

按由高到低的順序，依次是關(guān)鍵崗位人員的管理、重要信息、存儲(chǔ)信息的存儲(chǔ)設(shè)備、網(wǎng)絡(luò)通訊設(shè)備、服務(wù)、軟件、硬件、環(huán)境支持設(shè)備。

3 風(fēng)險(xiǎn)識(shí)別與分析

風(fēng)險(xiǎn)識(shí)別與分析從潛在的危險(xiǎn)和系統(tǒng)的安全威脅等方面進(jìn)行。

3.1 潛在的威脅

潛在威脅主要來(lái)自內(nèi)部和外部。其中來(lái)自內(nèi)部的犯罪主要是其一：純粹出于經(jīng)濟(jì)目的，或其他目的，利用自己可能的手段竊取信息，破壞信息系統(tǒng);其二則是在外部罪犯的指使、收買下，在可能獲得外部技術(shù)支持的情況下，對(duì)信息系統(tǒng)實(shí)施攻擊。信息網(wǎng)絡(luò)系統(tǒng)對(duì)兩種內(nèi)部人員的犯罪都應(yīng)有所防備；該項(xiàng)目信息安全保密實(shí)施的重點(diǎn)是防止系統(tǒng)的破壞和信息的損失。

3.2 系統(tǒng)的安全威脅

該單位系統(tǒng)與外界是物理隔離，所以通信數(shù)據(jù)被竊聽(tīng)的概率很小。但仍然存在如下威脅:非法訪問(wèn)、電磁泄漏、假冒;抵賴、破壞網(wǎng)絡(luò)的可用性、失誤操作、病毒侵害、自然災(zāi)害和環(huán)境事故、電力中斷。

4 風(fēng)險(xiǎn)響應(yīng)規(guī)劃

根據(jù)上面風(fēng)險(xiǎn)識(shí)別與風(fēng)險(xiǎn)分析結(jié)果，制定以下風(fēng)險(xiǎn)應(yīng)對(duì)措施。

4.1 信息傳輸與存儲(chǔ)方案

該單位信息網(wǎng)絡(luò)系統(tǒng)是一個(gè)級(jí)別達(dá)到機(jī)密級(jí)的信息網(wǎng)絡(luò)，因此，按照國(guó)家保密局的規(guī)定，秘密、機(jī)密信息在所科研區(qū)等封閉區(qū)域內(nèi)的傳輸可采用光纜或屏蔽電纜，如果采用非屏蔽電纜而又不能滿足與其他并行線的線間距要求時(shí)，必須采用遠(yuǎn)程加密傳輸。該單位的信息加密必須采用國(guó)家指定的算法，不得使用國(guó)外算法;該單位的信息加密可采用密文存儲(chǔ)和存取控制兩種方式;加密算法每三年必須更換，算法提供單位必須是同一家單位。

4.2 物理安全管理方案

對(duì)于出入存放機(jī)密級(jí)和機(jī)密級(jí)以上信息的設(shè)備地方，必須建立嚴(yán)格的審查登記制度，保證所有出入存放地的人員必須留有書(shū)面紀(jì)錄，包括姓名，證件，部門(mén)，進(jìn)入時(shí)間和離開(kāi)時(shí)間;

處理機(jī)密級(jí)和機(jī)密級(jí)以上信息的設(shè)備必須放在有鐵門(mén)、鐵窗、鐵柜的“三鐵”保護(hù)措施的地方:系統(tǒng)中心機(jī)房應(yīng)采取安全防范措施，確保非授權(quán)人員無(wú)法進(jìn)入。處理秘密級(jí)、機(jī)密級(jí)信息的系統(tǒng)中心機(jī)房應(yīng)采用有效的電子門(mén)控系統(tǒng)。處理絕密級(jí)信息和重要信息的系統(tǒng)中心機(jī)房門(mén)控系統(tǒng)應(yīng)進(jìn)行身份鑒別，應(yīng)有電視監(jiān)視系統(tǒng)，并建立磁屏蔽區(qū)域保護(hù)設(shè)施。

4.3 信息級(jí)別管理方案

所有信息處理、傳輸、存儲(chǔ)、輸入、輸出設(shè)備均應(yīng)按照保密部門(mén)所規(guī)定的密級(jí)確定相應(yīng)的最高級(jí)別。密級(jí)的變化由保密部門(mén)確定后及時(shí)通知網(wǎng)管中心。設(shè)備的使用人必須清楚了解該級(jí)別的規(guī)定，并熟悉對(duì)該級(jí)別信息處理的要求。

4.4 介質(zhì)安全使用管理方案

U盤(pán)、硬盤(pán)、光盤(pán)、磁帶等介質(zhì)應(yīng)標(biāo)明級(jí)別，并按相應(yīng)密級(jí)管理。存儲(chǔ)過(guò)信息的介質(zhì)不能降低密級(jí)使用。不再使用的介質(zhì)應(yīng)及時(shí)銷毀。介質(zhì)的維修應(yīng)保證所存儲(chǔ)的信息不被泄露，維修應(yīng)在本單位進(jìn)行，維修點(diǎn)需由單位保密委員會(huì)指定或認(rèn)可;必須在單位外維修的，必須指派專人全程跟蹤負(fù)責(zé)，保證所存儲(chǔ)的信息不被泄露。

4.5 身份管理方案

處理秘密級(jí)信息的系統(tǒng)可采用口令進(jìn)行身份鑒別，口令長(zhǎng)度不得少于8個(gè)字符，口令更換周期不得長(zhǎng)于一個(gè)月;處理機(jī)密級(jí)信息的系統(tǒng)應(yīng)采用IC卡(或USB-KEY)進(jìn)行身份鑒別，也可采用口令或其他措施加口令的方式進(jìn)行身份鑒別，口令長(zhǎng)度不得少于10個(gè)字符，口令更換周期不得長(zhǎng)于一周：系統(tǒng)所使用的口令不得由用戶產(chǎn)生，應(yīng)當(dāng)由系統(tǒng)安全管理員集中產(chǎn)生供用戶選用，并且應(yīng)當(dāng)有口令更換記錄;應(yīng)采用組成復(fù)雜、不易猜測(cè)的口令，一般應(yīng)是大小寫(xiě)英文字母、數(shù)字、特殊字符中兩者以上的組合。

4.6 數(shù)據(jù)備份與恢復(fù)方案

在內(nèi)部網(wǎng)絡(luò)系統(tǒng)中，主要設(shè)備、軟件、數(shù)據(jù)、電源等應(yīng)有備份，并具有在較短時(shí)間內(nèi)恢復(fù)系統(tǒng)運(yùn)行的能力。該單位信息系統(tǒng)中關(guān)鍵服務(wù)器系統(tǒng)均需要進(jìn)行系統(tǒng)備份，盡量在系統(tǒng)崩潰以后能快速、簡(jiǎn)單、完全地恢復(fù)系統(tǒng)的運(yùn)行。進(jìn)行備份的最有效的方法是只備份那些對(duì)于系統(tǒng)崩潰恢復(fù)所必需的數(shù)據(jù)。核心服務(wù)器上的數(shù)據(jù)文件必須每周備份，而且必須每天進(jìn)行文件增量備份;每天業(yè)務(wù)結(jié)束時(shí)進(jìn)行增量備份。周備份的介質(zhì)必須實(shí)行異地存儲(chǔ)。異地存儲(chǔ)要求包含多種備份介質(zhì)。

4.7 防黑客方案

防火墻是用在網(wǎng)絡(luò)出入口上的一種訪問(wèn)控制技術(shù)，是對(duì)付黑客的一種主要手段。防火墻技術(shù)的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。

防火墻在內(nèi)部網(wǎng)絡(luò)中發(fā)揮上述作用主要是通過(guò)兩個(gè)層次的訪問(wèn)控制實(shí)現(xiàn)的，一個(gè)是由狀態(tài)包過(guò)濾提供的基于IP地址的訪問(wèn)控制功能，另一個(gè)是由防火墻提供的基于應(yīng)用協(xié)議的訪問(wèn)控制功能。另外，部分防火墻還提供地址映射服務(wù)，以隔離高子網(wǎng)。

4.8 事故應(yīng)急方案

該單位制定了在該所內(nèi)部網(wǎng)絡(luò)發(fā)生安全事故時(shí)的應(yīng)急響應(yīng)步驟。安全事故包括失竊、用戶口令丟失、可疑的系統(tǒng)訪問(wèn)(包括共享口令)、內(nèi)部網(wǎng)絡(luò)的入侵行為、計(jì)算機(jī)病毒等。以上安全事故被分為三個(gè)級(jí)別：

（1）一級(jí)安全事故損失最小，事故發(fā)生后需要在一個(gè)工作日內(nèi)得到控制。此類安全事故只需與網(wǎng)絡(luò)管理中心聯(lián)系即可。該類事故包括:個(gè)人口令丟失或遺忘、可疑的共享行為等；（2）二級(jí)安全事故損失稍大，事故發(fā)生后需要在2h-4h內(nèi)得到控制;此類安全事故需要通知所網(wǎng)絡(luò)管理中心和所安全保密辦公室。該類事故包括:可疑人員進(jìn)入機(jī)房，使用計(jì)算機(jī)(或本所職工出現(xiàn)可疑行為);未授權(quán)的訪問(wèn)等；（3）三級(jí)安全事故發(fā)生后，必須立即防止事故危害擴(kuò)散，同時(shí)必須立即通知所保密辦、保密委，并視情況嚴(yán)重程度逐級(jí)上報(bào)。

4.9 風(fēng)險(xiǎn)監(jiān)控的策略

（1）建立合理的、科學(xué)的信息安全工作體系：設(shè)立所決策層、管理層、執(zhí)行層三層組織機(jī)構(gòu)，制定各種管理制度與流程，采取相應(yīng)的信息安全技術(shù)措施。

（2）風(fēng)險(xiǎn)控制主要途徑:根據(jù)控制成本與風(fēng)險(xiǎn)平衡的原則，通過(guò)以下途徑及主要措施將風(fēng)險(xiǎn)控制在可接受的范圍。

1)避免風(fēng)險(xiǎn):所內(nèi)部網(wǎng)絡(luò)與其他網(wǎng)絡(luò)物理隔離，可以避免所內(nèi)信息系統(tǒng)遭受來(lái)自外部的威脅。在公共信息網(wǎng)上采取適當(dāng)?shù)陌踩胧?，降低?lái)自外部的威脅。嚴(yán)禁在公共信息網(wǎng)上處理信息，降低外部威脅對(duì)所信息資產(chǎn)的影響;2)減少威脅:通過(guò)身份認(rèn)證、訪問(wèn)控制、網(wǎng)絡(luò)監(jiān)控、入侵監(jiān)測(cè)、審計(jì)和安裝防病毒軟件等技術(shù)措施，建立黑客防范系統(tǒng)和惡意代碼防范系統(tǒng)，減少信息系統(tǒng)受到內(nèi)部員工黑客行為和惡意代碼攻擊的機(jī)會(huì);3)減少薄弱點(diǎn):通過(guò)教育和培訓(xùn)強(qiáng)化員工的安全意識(shí)和安全操作技能;建立和完善信息安全管理制度，強(qiáng)化安全制度的檢查和落實(shí);4)減少威脅可能的影響程度:應(yīng)用密碼技術(shù)對(duì)信息的存儲(chǔ)和傳輸進(jìn)行加密處理;建立并實(shí)時(shí)業(yè)務(wù)系統(tǒng)的應(yīng)急響應(yīng)計(jì)劃，此計(jì)劃包括備份保護(hù)、應(yīng)急響應(yīng)、測(cè)試維護(hù)等活動(dòng)的安全要求。

（3）安全解決方案動(dòng)態(tài)調(diào)整:安全解決方案的基礎(chǔ)是風(fēng)險(xiǎn)分析，應(yīng)該根據(jù)風(fēng)險(xiǎn)的變化，進(jìn)行動(dòng)態(tài)調(diào)整。風(fēng)險(xiǎn)的變化來(lái)自兩個(gè)方面：一是信息系統(tǒng)的脆弱性以及威脅技術(shù)發(fā)生變化；二是信息系統(tǒng)發(fā)生變更后可能產(chǎn)生的新的安全風(fēng)險(xiǎn)和風(fēng)險(xiǎn)變化。一成不變的靜態(tài)風(fēng)險(xiǎn)管理，在風(fēng)險(xiǎn)發(fā)生變化時(shí)不僅起不到應(yīng)有的安全作用，相反會(huì)產(chǎn)生負(fù)面影響。因此，風(fēng)險(xiǎn)管理應(yīng)該動(dòng)態(tài)進(jìn)行，達(dá)到風(fēng)險(xiǎn)預(yù)測(cè)、實(shí)時(shí)響應(yīng)、降低風(fēng)險(xiǎn)的良性循環(huán)能力。

5 案例實(shí)施結(jié)果

已經(jīng)完成的項(xiàng)目的每一個(gè)階段，實(shí)施風(fēng)險(xiǎn)措施后，進(jìn)行動(dòng)態(tài)監(jiān)測(cè)，發(fā)現(xiàn)新的風(fēng)險(xiǎn)，及時(shí)調(diào)險(xiǎn)應(yīng)對(duì)措施，實(shí)施措施后，動(dòng)態(tài)監(jiān)測(cè)。如此反復(fù)循壞，達(dá)到了降低風(fēng)險(xiǎn)，減少威脅的目的，項(xiàng)目進(jìn)展順利，初步實(shí)現(xiàn)項(xiàng)目的目標(biāo)。

參考文獻(xiàn)

[1] 羅布?托姆塞特.極限項(xiàng)目管理.電子工業(yè)出版社，2005.

[2] 索威基.有效的項(xiàng)目管理.電子工業(yè)出版社，2002.1.

[3] 拉里?康斯坦丁.超越混沌：有效管理軟件開(kāi)發(fā)項(xiàng)目.電子工業(yè)出版社，2002.4.

篇5

大會(huì)熱忱歡迎從事信息安全領(lǐng)域管理、科研、教學(xué)、生產(chǎn)、應(yīng)用和服務(wù)的組織機(jī)構(gòu)和個(gè)人踴躍投稿。所投稿件經(jīng)過(guò)專家組評(píng)審后，錄取論文將在《信息網(wǎng)絡(luò)安全》（2015年第9期）雜志正刊上刊登，并收錄中國(guó)知網(wǎng)論文庫(kù)。《信息網(wǎng)絡(luò)安全》將贈(zèng)送國(guó)家圖書(shū)館等單位作為藏書(shū)收藏，并向錄取論文作者發(fā)放稿費(fèi)，專委會(huì)還將向優(yōu)秀論文作者頒發(fā)獎(jiǎng)金和獲獎(jiǎng)證書(shū)。

一、會(huì)議主題

2015年是網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的起步年。網(wǎng)絡(luò)強(qiáng)國(guó)離不開(kāi)自主可控的安全技術(shù)支持，只有實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的前沿技術(shù)和科技水平的趕超，才能實(shí)現(xiàn)關(guān)鍵核心技術(shù)的真正自主可控，才能實(shí)現(xiàn)從戰(zhàn)略層面、實(shí)施層面全局而振的長(zhǎng)策。當(dāng)前，信息網(wǎng)絡(luò)應(yīng)用飛速發(fā)展，技術(shù)創(chuàng)新的步伐越來(lái)越快，云計(jì)算、大數(shù)據(jù)、移動(dòng)網(wǎng)絡(luò)、物聯(lián)網(wǎng)、智能化、三網(wǎng)融合等一系列信息化應(yīng)用新概念、新技術(shù)、新應(yīng)用給信息安全行業(yè)提出新的挑戰(zhàn)。同時(shí)，國(guó)際上網(wǎng)絡(luò)安全技術(shù)事件和政治博弈越來(lái)越激烈和復(fù)雜，“工業(yè)4.0”時(shí)代對(duì)網(wǎng)絡(luò)安全的沖擊來(lái)勢(shì)洶涌。我們需要全民樹(shù)立建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)的新理念，并切實(shí)提升國(guó)家第五空間的戰(zhàn)略地位和執(zhí)行力。本次會(huì)議的主題為“科技是建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)的基礎(chǔ)”。

二、征文內(nèi)容

1. 關(guān)于提升國(guó)家第五空間的戰(zhàn)略地位和執(zhí)行力的研究

2. 云計(jì)算與云安全

3. 大數(shù)據(jù)及其應(yīng)用中的安全

4. 移動(dòng)網(wǎng)絡(luò)及其信息安全

5. 物聯(lián)網(wǎng)安全

6. 智能化應(yīng)用安全

7. 網(wǎng)絡(luò)監(jiān)測(cè)與監(jiān)管技術(shù)

8. 面對(duì)新形勢(shì)的等級(jí)保護(hù)管理與技術(shù)研究

9. 信息安全應(yīng)急響應(yīng)體系

10. 可信計(jì)算

11. 網(wǎng)絡(luò)可信體系建設(shè)研究

12. 工業(yè)控制系統(tǒng)及基礎(chǔ)設(shè)施的網(wǎng)絡(luò)與信息安全

13. 網(wǎng)絡(luò)與信息系統(tǒng)的內(nèi)容安全

14. 預(yù)防和打擊計(jì)算機(jī)犯罪

15. 網(wǎng)絡(luò)與信息安全法制建設(shè)的研究

16. 重大安全事件的分析報(bào)告與對(duì)策建議

17. 我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的研究成果與訴求

18. 其他有關(guān)網(wǎng)絡(luò)安全和信息化的學(xué)術(shù)成果

凡屬于網(wǎng)絡(luò)安全和信息安全領(lǐng)域的各類學(xué)術(shù)論文、研究報(bào)告和成果介紹均可投稿。

三、征文要求

1. 論文要求主題明確、論據(jù)充分、聯(lián)系實(shí)際、反映信息安全最新研究成果，未曾發(fā)表，篇幅控制在5000字左右。

2. 提倡學(xué)術(shù)民主。鼓勵(lì)新觀點(diǎn)、新概念、新成果、新發(fā)現(xiàn)的發(fā)表和爭(zhēng)鳴。

3. 提倡端正學(xué)風(fēng)、反對(duì)抄襲，將對(duì)投稿的文章進(jìn)行相似性比對(duì)檢查。

4. 文責(zé)自負(fù)。單位和人員投稿應(yīng)先由所在單位進(jìn)行保密審查，通過(guò)后方可投稿。

5. 作者須按計(jì)算機(jī)安全專業(yè)委員會(huì)秘書(shū)處統(tǒng)一發(fā)出的論文模版格式排版并如實(shí)填寫(xiě)投稿表，在截止日期前提交電子版的論文與投稿表。

6、論文模版和投稿表請(qǐng)到計(jì)算機(jī)安全專業(yè)委員會(huì)網(wǎng)站下載，網(wǎng)址是：.cn。

聯(lián)系人：田芳，郝文江

電話：010-88513291，88513292

征文上傳Email 地址：

篇6

1.1電子信息的加密技術(shù)

所謂電子信息的加密技術(shù)也就是對(duì)于所傳送的電子信息能夠起到一定的保密作用，也能夠使信息、數(shù)據(jù)的傳遞變得更加安全和完整。電子信息的加密技術(shù)是保障電子科技企業(yè)信息安全的重要保證。加密技術(shù)也主要分為對(duì)稱以及非對(duì)稱兩類，對(duì)稱的加密技術(shù)一般都是通過(guò)序列密碼或是分組機(jī)密的方式來(lái)實(shí)現(xiàn)的。這其中還包括了明文、密鑰、加密算法以及解密算法五個(gè)基本的組成部分。而非對(duì)稱加密與對(duì)稱加密也存在一定的差異，非對(duì)稱加密必須要具備公開(kāi)密鑰和私有密鑰兩個(gè)密鑰，同時(shí)，這兩種密鑰只有配對(duì)使用，這樣才能解密。因此加密技術(shù)對(duì)于電子信息的安全具有很大的保障。如果在發(fā)送電子信息的時(shí)候，發(fā)送人是使用加密技術(shù)來(lái)發(fā)送郵件的，那么有人竊取信息的時(shí)候，也只能夠得到密文，不能得到具體的信息。這樣就大大加強(qiáng)了信息傳送的安全性。加快推進(jìn)國(guó)內(nèi)關(guān)鍵行業(yè)領(lǐng)域信息系統(tǒng)的安全評(píng)估測(cè)試。在安全評(píng)估方面，主要針對(duì)主機(jī)安全保密檢查與信息監(jiān)管，采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測(cè)、語(yǔ)意分析等技術(shù)，評(píng)估分析重要信息是否發(fā)生泄漏，并找出泄漏的原因和渠道。

1.2防火墻技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，雖然對(duì)于信息安全問(wèn)題已經(jīng)不斷的得到加強(qiáng)，但是一些信息的不安全因素也在逐級(jí)的提高。有一些黑客或者是病毒木馬也在不斷的入侵，而這些不安全的因素會(huì)極大的威脅到電子科技企業(yè)信息的安全。而針對(duì)這種情況，一種比較有效的防護(hù)措施就是防火墻技術(shù)的使用。這種技術(shù)可以有效的防止黑客的入侵以及電腦中的信息被篡改等情況的發(fā)生。這樣就能夠有效的保障電子科技企業(yè)信息的安全。加強(qiáng)企業(yè)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)建設(shè)，建設(shè)面向企業(yè)的信息安全專業(yè)服務(wù)平臺(tái)。重點(diǎn)開(kāi)展等級(jí)保護(hù)設(shè)計(jì)咨詢、風(fēng)險(xiǎn)評(píng)估、安全咨詢、安全測(cè)評(píng)、快速預(yù)警響應(yīng)、第三方資源共享的容災(zāi)備份、標(biāo)準(zhǔn)驗(yàn)證等服務(wù)；建設(shè)企業(yè)信息安全數(shù)據(jù)庫(kù)，為廣大企業(yè)提供快速、高效的信息安全咨詢、預(yù)警、應(yīng)急處理等服務(wù)，實(shí)現(xiàn)企業(yè)信息安全公共資源的共享共用，提高信息安全保障能力。

二、解決電子科技企業(yè)信息安全問(wèn)題的方法

2.1構(gòu)建電子科技企業(yè)信息安全的管理體系

如果要想有效的保障電子科技企業(yè)的信息安全，除了要不斷的提高安全技術(shù)水平，還要建立起一套比較完善的信息安全管理體系。這樣才能使整個(gè)信息安全工作更加有條不紊的進(jìn)行。在很多電子科技企業(yè)當(dāng)中，最初所建立的相關(guān)信息制度在很大程度上都制約著信息系統(tǒng)的安全性。如果一旦安全管理制度出現(xiàn)了問(wèn)題，那么一系列的安全技術(shù)都無(wú)法發(fā)揮出來(lái)。很多信息安全工作也無(wú)法正常進(jìn)行下去。因此，嚴(yán)格的信息安全管理體系對(duì)于信息安全的保障具有十分重要的作用。只有當(dāng)信息安全管理形成了一個(gè)完善的體系，那么信息安全工作才能夠更加順利的進(jìn)行，同時(shí)也能夠大大的提升信息安全的系數(shù)。

2.2利用電子科技企業(yè)自身的網(wǎng)絡(luò)條件來(lái)提供信息安全服務(wù)

一般來(lái)說(shuō)，電子科技企業(yè)都擁有自己的局域網(wǎng)，很多企業(yè)也可以通過(guò)局域網(wǎng)來(lái)相互連通。因此，電子科技企業(yè)應(yīng)該充分的利用這一特點(diǎn)為自身的企業(yè)提供良好地信息安全服務(wù)。通過(guò)局域網(wǎng)的連通，不僅能夠在這個(gè)平臺(tái)上及時(shí)的公布一些安全公告以及安全法規(guī)，同時(shí)還可以進(jìn)行一些安全軟件的下載，為員工提供一些關(guān)于信息安全的培訓(xùn)。這樣不僅能夠?yàn)槠髽I(yè)之間的員工提供一個(gè)安全的互相交流的平臺(tái)，同時(shí)還能夠很好的保障企業(yè)信息安全。針對(duì)企業(yè)主機(jī)安全保密檢查與信息監(jiān)管，采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測(cè)、語(yǔ)意分析等技術(shù)，評(píng)估分析重要信息是否發(fā)生泄漏，并找出泄漏的原因和渠道。

2.3定期對(duì)信息安全防護(hù)軟件進(jìn)行及時(shí)的更新

篇7

2021學(xué)校關(guān)于突發(fā)事故的應(yīng)急預(yù)案

為了保證學(xué)校師生的安全，健全大型活動(dòng)的安全防范制度，搞好學(xué)校的安全工作，特制定學(xué)校大型活動(dòng)安全預(yù)案。

一、事故預(yù)防：

1.凡是外出活動(dòng)，須嚴(yán)密組織，統(tǒng)一指揮。

2.凡是舉行大型活動(dòng)，事先做好學(xué)生的學(xué)習(xí)動(dòng)員和安全教育工作。

3.帶隊(duì)教師明確職責(zé)，做好學(xué)生的安全教育和管理工作，教會(huì)學(xué)生觀察好安全疏散通道。

4.凡是外出活動(dòng)，學(xué)校校醫(yī)必須配備小藥箱，以便應(yīng)急。

5.凡是外出活動(dòng)，體育教師和班主任組織學(xué)生以班為單位排成兩路縱隊(duì)行進(jìn)，前后呼應(yīng)。嚴(yán)格行進(jìn)紀(jì)律，注意行進(jìn)安全。

6.到達(dá)活動(dòng)目的地后，必須聽(tīng)從當(dāng)?shù)氐慕y(tǒng)一指揮。無(wú)論是參觀或是聽(tīng)取報(bào)告，必須遵守各處的規(guī)定和要求。

7.凡是進(jìn)展室參觀，參觀者需成一路縱隊(duì)，魚(yú)貫而入，遵守展室規(guī)定，不準(zhǔn)隨意觸摸展品。

二、應(yīng)急處理：

1.凡是在活動(dòng)中發(fā)生傷害事故或發(fā)生病痛情況，應(yīng)做出緊急處理，嚴(yán)重者需撥打120或直接送醫(yī)院醫(yī)治。

2.當(dāng)事人要及時(shí)報(bào)告學(xué)校應(yīng)急領(lǐng)導(dǎo)小組。

3.做好學(xué)生的情緒安撫工作，保持秩序井然。

2021學(xué)校關(guān)于突發(fā)事故的應(yīng)急預(yù)案

本預(yù)案是指學(xué)生在體育活動(dòng)中，因活動(dòng)保護(hù)不當(dāng)造成的事故，輕則挫傷、擦傷、關(guān)節(jié)損傷、肌肉抽筋、拉傷，重則造成骨折、呼吸紊亂、嚴(yán)重休克甚至喪失生命。傷害事故一般發(fā)生在球類活動(dòng)、

體操、田徑運(yùn)動(dòng)等運(yùn)動(dòng)項(xiàng)目中。

一、體育活動(dòng)事故的應(yīng)急處理

1.在場(chǎng)人員發(fā)現(xiàn)險(xiǎn)情后要及時(shí)報(bào)告在場(chǎng)老師、校醫(yī)和班主任，緊急或情況復(fù)雜時(shí)還應(yīng)及時(shí)報(bào)告學(xué)校領(lǐng)導(dǎo)；校醫(yī)應(yīng)立即到達(dá)現(xiàn)場(chǎng)，了解傷者情況，判斷傷情，先行急救；遇到重傷的或不能判斷傷情的，應(yīng)及時(shí)送醫(yī)院檢查、急救或打 120 救護(hù)電話。

2.及時(shí)通知家長(zhǎng)及其他監(jiān)護(hù)人，以便作出救治決定，并作好安慰工作。

3.保護(hù)現(xiàn)場(chǎng)、了解事故發(fā)生經(jīng)過(guò)，調(diào)查事故原因，作好有關(guān)記錄并保護(hù)現(xiàn)場(chǎng)，采集有關(guān)證據(jù)，以利于對(duì)事故處理做到事實(shí)清楚，責(zé)任明確。

4.重大的傷害事故要及時(shí)上報(bào)上級(jí)有關(guān)部門(mén)。

5.事故發(fā)生在課上或因?qū)W校設(shè)施原因造成傷害的，根據(jù)上級(jí)有關(guān)規(guī)定，學(xué)校應(yīng)承擔(dān)責(zé)任的。學(xué)校應(yīng)視情況及時(shí)報(bào)告保險(xiǎn)公司。

6.前往醫(yī)院探視，隨時(shí)掌握傷者身體康復(fù)情況。

二、體育活動(dòng)事故的預(yù)防

1.加強(qiáng)思想教育、增強(qiáng)防范意識(shí)。中小學(xué)生好勝心強(qiáng)，經(jīng)驗(yàn)不足，思想上麻痹大意，缺乏預(yù)防事故的意識(shí)，教師要教育學(xué)生樹(shù)立“寧失一球，勿傷一人”的思想。

2.完善活動(dòng)設(shè)施建設(shè)和管理。運(yùn)動(dòng)場(chǎng)地要保持平整，不應(yīng)有坑洼、石塊等，地面不宜太硬、打滑；球架、球門(mén)要定期檢修。

3.教學(xué)和訓(xùn)練、競(jìng)賽活動(dòng)必須精心設(shè)計(jì)、嚴(yán)密組織、嚴(yán)格要求、嚴(yán)格訓(xùn)練。

①建立良好教學(xué)秩序、重視課前準(zhǔn)備。教師、學(xué)生著裝規(guī)范，必須穿著體育服裝上課，學(xué)生不準(zhǔn)穿皮鞋、有跟鞋、涼鞋，女學(xué)生不穿裙子上課。

②精密組織教學(xué)，加強(qiáng)紀(jì)律教育。體育教師必須經(jīng)常反復(fù)地向?qū)W生進(jìn)行遵守紀(jì)律、遵守常規(guī)、服從組織、遵守游戲規(guī)則等方面的教育。

③培養(yǎng)學(xué)生自我保護(hù)、相互保護(hù)的意識(shí)。

④體育教師應(yīng)掌握特異體質(zhì)的學(xué)生情況，掌握合理的運(yùn)動(dòng)量、注意區(qū)別對(duì)待。在運(yùn)動(dòng)量的掌握上，教師要隨時(shí)注意學(xué)生的生理反應(yīng)，進(jìn)行合理調(diào)整；教師對(duì)于病痛、體弱、傷殘的學(xué)生要及時(shí)關(guān)心，安排他們免修、見(jiàn)習(xí)等。

4.重視準(zhǔn)備活動(dòng)、加強(qiáng)醫(yī)務(wù)監(jiān)督。教師應(yīng)根據(jù)上課內(nèi)容和氣候情況決定準(zhǔn)備活動(dòng)的內(nèi)容，嚴(yán)禁不做準(zhǔn)備活動(dòng)就進(jìn)入體育活動(dòng)，準(zhǔn)備活動(dòng)要充分、有針對(duì)性；學(xué)生應(yīng)掌握自我醫(yī)務(wù)監(jiān)督的常識(shí)。

5.加強(qiáng)保護(hù)措施。嚴(yán)格裁判、禁止粗野動(dòng)作，不使用錯(cuò)誤的推、拉、撞等危險(xiǎn)動(dòng)作。加強(qiáng)組織領(lǐng)導(dǎo)，建立和健全規(guī)章制度。

2021學(xué)校關(guān)于突發(fā)事故的應(yīng)急預(yù)案

為有效預(yù)防學(xué)校實(shí)驗(yàn)室事故的發(fā)生，防止學(xué)校實(shí)驗(yàn)室事故事態(tài)的擴(kuò)大，保障在實(shí)驗(yàn)室進(jìn)行教育教學(xué)活動(dòng)的師生的生命安全，制定本預(yù)案。

一、事故的處理：

1.火災(zāi)事故按火災(zāi)事故處理預(yù)案進(jìn)行處理，按如下順序操作：報(bào)警、疏散等。

2.一旦發(fā)生學(xué)生傷害事故，立即送學(xué)校醫(yī)務(wù)室，由校醫(yī)視傷者情況決定是否送醫(yī)院，若情況嚴(yán)重則立即將傷者送醫(yī)院或撥打120電話。及時(shí)通知班主任。

3.通知受傷學(xué)生家長(zhǎng)，如實(shí)告知情況。

4.保護(hù)現(xiàn)場(chǎng)。

5.重大事故必須立即向教育局匯報(bào)，先口頭、后書(shū)面。

6.進(jìn)行善后處理，接待學(xué)生家長(zhǎng)，進(jìn)行理賠或補(bǔ)償協(xié)商。

二、事故的預(yù)防：

1.明確引發(fā)實(shí)驗(yàn)室事故的原因：實(shí)驗(yàn)室的易燃物品遇到明火、電火；實(shí)驗(yàn)人員操作不當(dāng)；學(xué)生違規(guī)自行接觸危險(xiǎn)物品；易燃易爆物品管理不善。

2.實(shí)驗(yàn)指導(dǎo)老師工作認(rèn)真負(fù)責(zé)、專業(yè)知識(shí)豐富、合格、稱職。

3.學(xué)校加強(qiáng)對(duì)學(xué)生的行為規(guī)范教育。不隨意觸摸實(shí)驗(yàn)室物品；教育學(xué)生不在實(shí)驗(yàn)室隨便使用明火。

4.學(xué)生必須在教師的指導(dǎo)下，按規(guī)范的操作方法進(jìn)行實(shí)驗(yàn)。

5.實(shí)驗(yàn)室易燃易爆或有毒物品必須做到“雙人雙鎖”保管。為防止劇毒物品外盜或外流，存放處需安裝報(bào)警裝置。

6.無(wú)關(guān)人員不得隨意進(jìn)入實(shí)驗(yàn)室。

7.實(shí)驗(yàn)室電線、電器必須定期檢查，發(fā)現(xiàn)問(wèn)題及時(shí)維修、解決。

8.按規(guī)定配備足夠數(shù)量的滅火器材。

2021學(xué)校關(guān)于突發(fā)事故的應(yīng)急預(yù)案

為確保網(wǎng)絡(luò)正常使用，充分發(fā)揮網(wǎng)絡(luò)在信息時(shí)代的作用，促進(jìn)教育信息化健康發(fā)展，根據(jù)國(guó)務(wù)院《互聯(lián)網(wǎng)信息服務(wù)管理辦法》和有關(guān)規(guī)定，特制訂本預(yù)案，妥善處理危害網(wǎng)絡(luò)與信息安全的突發(fā)事件，最大限度地遏制突發(fā)事件的影響和有害信息的擴(kuò)散。

一、危害網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急響應(yīng)

1.如在局域網(wǎng)內(nèi)發(fā)現(xiàn)病毒、木馬、黑客入侵等

網(wǎng)絡(luò)管理中心應(yīng)立即切斷局域網(wǎng)與外部的網(wǎng)絡(luò)連接。如有必要，斷開(kāi)局內(nèi)各電腦的連接，防止外串和互串。

2.突發(fā)事件發(fā)生在校園網(wǎng)內(nèi)或具有外部ip地址的服務(wù)器上的，學(xué)校應(yīng)立即切斷與外部的網(wǎng)絡(luò)連接，如有必要，斷開(kāi)校內(nèi)各節(jié)點(diǎn)的連接；突發(fā)事件發(fā)生在校外租用空間上的，立即與出租商聯(lián)系，關(guān)閉租用空間。

3.如在外部可訪問(wèn)的網(wǎng)站、郵件等服務(wù)器上發(fā)現(xiàn)有害信息或數(shù)據(jù)被篡改，要立即切斷服務(wù)器的網(wǎng)絡(luò)連接，使得外部不可訪問(wèn)。防止有害信息的擴(kuò)散。

4.采取相應(yīng)的措施，徹底清除。如發(fā)現(xiàn)有害信息，在保留有關(guān)記錄后及時(shí)刪除，（情況嚴(yán)重的）報(bào)告市教育局和公安部門(mén)。

5.在確保安全問(wèn)題解決后，方可恢復(fù)網(wǎng)絡(luò)（網(wǎng)站）的使用。

二、保障措施

1.加強(qiáng)領(lǐng)導(dǎo)，健全機(jī)構(gòu)，落實(shí)網(wǎng)絡(luò)與信息安全責(zé)任制。建立由主管領(lǐng)導(dǎo)負(fù)責(zé)的網(wǎng)絡(luò)與信息安全管理領(lǐng)導(dǎo)小組，并設(shè)立安全專管員。明確工作職責(zé)，落實(shí)安全責(zé)任制；bbs、聊天室等交互性欄目要設(shè)有防范措施和專人管理。

2.局內(nèi)網(wǎng)絡(luò)由網(wǎng)管中心統(tǒng)一管理維護(hù)，其他人不得私自拆修設(shè)備，擅接終端設(shè)備。

篇8

企業(yè)經(jīng)營(yíng)信息對(duì)于企業(yè)來(lái)說(shuō)是一種資源，對(duì)于企業(yè)自身來(lái)說(shuō)具有重要意義，企業(yè)需要妥善管理自身企業(yè)的信息。近年來(lái)，企業(yè)的各項(xiàng)經(jīng)營(yíng)活動(dòng)都逐漸開(kāi)始通過(guò)計(jì)算機(jī)，網(wǎng)絡(luò)開(kāi)展，因此，企業(yè)的信息安全管理對(duì)于企業(yè)越來(lái)越重要。許多企業(yè)開(kāi)始通過(guò)各種技術(shù)手段以及制度改革，把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作，同時(shí)將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制結(jié)合起來(lái)，這是一個(gè)正確的選擇，能夠幫助企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營(yíng)。在介紹企業(yè)信息安全管理以及風(fēng)險(xiǎn)控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險(xiǎn)控制定義，因此，本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險(xiǎn)控制的定義。企業(yè)的信息安全管理包含十分豐富的內(nèi)容，簡(jiǎn)單來(lái)說(shuō)是指企業(yè)通過(guò)各種手段來(lái)保護(hù)企業(yè)硬件和軟件，保護(hù)網(wǎng)絡(luò)存儲(chǔ)中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對(duì)于信息安全的認(rèn)定通過(guò)包括4個(gè)指標(biāo)，即保證信息數(shù)據(jù)的完整，保證信息數(shù)據(jù)不被泄露，保證信息數(shù)據(jù)能夠正常使用，保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理，首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及，信息傳遞的方式越來(lái)越多，常見(jiàn)的信息傳遞方式主要有互聯(lián)網(wǎng)傳播，局域網(wǎng)傳播，硬件傳播等等。要想實(shí)現(xiàn)企業(yè)的信息安全管理，其中很重要的一項(xiàng)工作在于保護(hù)信源、信號(hào)以及信息。信息安全管理是一項(xiàng)需要綜合學(xué)科知識(shí)基礎(chǔ)的工作，從事企業(yè)信息安全管理工作的人員通過(guò)需要具有網(wǎng)絡(luò)安全技術(shù)、計(jì)算機(jī)技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來(lái)講，最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營(yíng)信息數(shù)據(jù)的完整。經(jīng)過(guò)近十年來(lái)的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié)，企業(yè)信息安全不僅僅需要信息技術(shù)的支持，更需要通過(guò)建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來(lái)幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。所以，怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來(lái)就是擺在企業(yè)經(jīng)營(yíng)管理者面前的一道難題。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過(guò)企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)。企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前，提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估，并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息安全風(fēng)險(xiǎn)，從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來(lái)不必要的損失。常見(jiàn)的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容。第一，建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度，明確企業(yè)信息安全管理的責(zé)任分配機(jī)制，明確企業(yè)各個(gè)部門(mén)對(duì)各自信息安全所應(yīng)承擔(dān)的責(zé)任，并建立相應(yīng)的問(wèn)責(zé)機(jī)制。第二，設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo)，對(duì)企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級(jí)，方便企業(yè)管理者對(duì)不同的信息安全管理漏洞采取有區(qū)別的對(duì)策。第三，企業(yè)要加強(qiáng)對(duì)信息安全管理人員的培訓(xùn)，提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識(shí)，讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識(shí)到自身工作的重要性，讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為，正確履行職責(zé)的重要性。第四，將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合，重視企業(yè)信息安全管理工作，通過(guò)風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評(píng)估，找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對(duì)于企業(yè)來(lái)說(shuō)，企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作，因此，必須增強(qiáng)對(duì)企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計(jì)，目前很多企業(yè)對(duì)信息安全工作的管理僅僅停留在對(duì)企業(yè)信息安全管理工作人員的技術(shù)要求上，對(duì)企業(yè)信息安全管理工作人員的道德素養(yǎng)，職業(yè)素養(yǎng)，風(fēng)險(xiǎn)意識(shí)并沒(méi)有嚴(yán)格要求。此外，絕大多數(shù)企業(yè)并沒(méi)有意識(shí)開(kāi)展對(duì)企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn)，并沒(méi)有通過(guò)建立相關(guān)管理制度以及問(wèn)責(zé)機(jī)制對(duì)企業(yè)信息安全管理工作人員實(shí)行監(jiān)督，這無(wú)疑給別有用心或者立場(chǎng)不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。

2.企業(yè)信息安全管理技術(shù)不過(guò)關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù)，包括信息技術(shù)，計(jì)算機(jī)技術(shù)，密碼技術(shù)，網(wǎng)絡(luò)應(yīng)用技術(shù)等等，應(yīng)當(dāng)說(shuō)成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ)，但是，現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過(guò)關(guān)，一方面企業(yè)的信息安全管理硬件并不過(guò)關(guān)，在物理層面對(duì)企業(yè)信息缺乏保護(hù)，另一方面，企業(yè)信息安全管理工作的專業(yè)技術(shù)沒(méi)有及時(shí)更新，一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn)，企業(yè)信息安全管理的知識(shí)也并沒(méi)有及時(shí)更新，從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后，這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象。近年來(lái)網(wǎng)絡(luò)病毒的傳播越來(lái)越猖狂，很多服務(wù)器、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問(wèn)題。作為一個(gè)行業(yè)中的大中型企業(yè)，企業(yè)內(nèi)部設(shè)備數(shù)量比較多，尤其是客戶端數(shù)量占了較大比重，僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外，企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過(guò)調(diào)查分析，許多企業(yè)雖然建立了企業(yè)信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督，企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全，企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面。第一，企業(yè)員工對(duì)于信息安全管理的認(rèn)識(shí)嚴(yán)重不足，對(duì)企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒(méi)有及時(shí)更新，使用，甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān)，認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門(mén)的事。第二，企業(yè)內(nèi)部信息安全管理制度并沒(méi)有形成聯(lián)動(dòng)機(jī)制，企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門(mén)“一人包干”，企業(yè)信息安全反映的問(wèn)題并沒(méi)有得到積極的反饋，一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見(jiàn)的技術(shù)手段

1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu)，它的設(shè)計(jì)初衷是面向客戶的，提供給客戶各種安全應(yīng)用，安全應(yīng)用必須依靠安全服務(wù)來(lái)實(shí)現(xiàn)，而安全服務(wù)又是由各種安全機(jī)制來(lái)保障的。所以，安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力，安全服務(wù)數(shù)量越多，系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個(gè)部分：響應(yīng)、安全策略、檢測(cè)、防護(hù)。安全策略是信息安全的重點(diǎn)，為安全管理提供管理途徑和保障手段。因此，要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過(guò)程，必須制定一個(gè)企業(yè)的安全模式。在安全策略的指導(dǎo)下實(shí)施所有的檢測(cè)、防護(hù)、響應(yīng)，防護(hù)通常是通過(guò)采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來(lái)突破的，比如有防火墻、訪問(wèn)控制、加密、認(rèn)證等方法，檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù)，同時(shí)也是有力落實(shí)安全策略的實(shí)施工具，通過(guò)監(jiān)視來(lái)自網(wǎng)絡(luò)的入侵行為，可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素；經(jīng)過(guò)不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來(lái)發(fā)現(xiàn)新的隱患和弱點(diǎn)。在安全系統(tǒng)中，應(yīng)急響應(yīng)占有重要的地位，它是解決危險(xiǎn)潛在性的最有效的辦法。

3.HTP模型

HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者，企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作，企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者，也是企業(yè)信息安全管理的威脅者。因此，HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外，HTP模式同樣是建立在企業(yè)信心安全體系，信息安全技術(shù)防范的基礎(chǔ)上，HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后，HTP強(qiáng)調(diào)動(dòng)態(tài)管理，動(dòng)態(tài)監(jiān)督，對(duì)于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理，在實(shí)際工作中，通過(guò)HTP模型的應(yīng)用，找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

（1）充分調(diào)查和分析企業(yè)的安全系統(tǒng)，建立一個(gè)全面合理的系統(tǒng)模型，安全系統(tǒng)被劃分成各個(gè)子系統(tǒng)，明確實(shí)施步驟和功能摸塊，將企業(yè)常規(guī)管理工作和安全管理聯(lián)動(dòng)協(xié)議相融合，實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性。

（2）成立一個(gè)中央數(shù)據(jù)庫(kù)，整合分布式數(shù)據(jù)庫(kù)里的數(shù)據(jù)，把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫(kù)，實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用。

（3）設(shè)計(jì)優(yōu)良的人機(jī)界面，通過(guò)對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用，為企業(yè)管理階層人員、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息，為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持，根本上提高信息數(shù)據(jù)的管理水平。

（4）簡(jiǎn)化企業(yè)內(nèi)部的信息傳輸通道，對(duì)應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行程序化設(shè)計(jì)，加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系

（1）確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過(guò)程中，首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)，只有明確了企業(yè)信息安全管理的目標(biāo)，明確了企業(yè)信息安全管理的要求和工作能容，才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度，才能順利通過(guò)對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核，檢測(cè)企業(yè)信息安全管理的風(fēng)險(xiǎn)，定性定量地企業(yè)信息安全管理工作進(jìn)行分析，找準(zhǔn)企業(yè)信息安全管理的工作辦法。

（2）確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍

不同企業(yè)對(duì)于風(fēng)險(xiǎn)的承受能力是有區(qū)別的，因此，對(duì)于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險(xiǎn)控制辦法，其中，不同企業(yè)對(duì)于能夠承受的信息安全風(fēng)范圍有所不同，企業(yè)的信息安全風(fēng)險(xiǎn)承受范圍需要根據(jù)企業(yè)的實(shí)際能力來(lái)制定。不僅如此，企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實(shí)際經(jīng)營(yíng)情況變化采取有針對(duì)性的辦法。

（3）組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)

篇9

當(dāng)今是一個(gè)網(wǎng)絡(luò)時(shí)代，也是一個(gè)科技化快速高速發(fā)展的時(shí)代。特別是對(duì)于電子科技企業(yè)來(lái)說(shuō)，信息就成為了一個(gè)企業(yè)成敗的關(guān)鍵。只有通過(guò)有效信息的掌握，才能讓企業(yè)未來(lái)的道路越走越好。隨著這樣的趨勢(shì)，企業(yè)信息化的進(jìn)程也在不斷的發(fā)展，信息不僅是在一定程度上掌握了企業(yè)未來(lái)的命運(yùn)，同時(shí)對(duì)于企業(yè)管理水平的提高也起到了非常重要的作用。有一些企業(yè)的商務(wù)活動(dòng)基本上都是通過(guò)電子商務(wù)的形式來(lái)完成的，還有一些生產(chǎn)運(yùn)作、運(yùn)輸以及管理都離不開(kāi)信息化的建設(shè)。還有一些電子科技企業(yè)為了企業(yè)未來(lái)的發(fā)展，要進(jìn)行企業(yè)形象的宣傳，產(chǎn)品以及服務(wù)信息很大程度上都要依賴于信息化的建設(shè)。如今，信息化的時(shí)代已經(jīng)到來(lái)，信息化的建設(shè)對(duì)于電子科技企業(yè)來(lái)說(shuō)具有至關(guān)重要的作用，因此電子科技企業(yè)應(yīng)該加快信息化建設(shè)的步伐，這樣才能促進(jìn)電子科技企業(yè)進(jìn)一步的發(fā)展。

2電子科技企業(yè)安全技術(shù)的闡述

2.1電子信息的加密技術(shù)

2.2防火墻技術(shù)

3解決電子科技企業(yè)信息安全問(wèn)題的方法

3.1構(gòu)建電子科技企業(yè)信息安全的管理體系

3.2利用電子科技企業(yè)自身的網(wǎng)絡(luò)條件來(lái)提供信息安全服務(wù)

3.3定期對(duì)信息安全防護(hù)軟件進(jìn)行及時(shí)的更新

篇10

關(guān)鍵詞：大數(shù)據(jù)；計(jì)算機(jī)信息安全；企業(yè)；防護(hù)策略

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）01-0023-02

大數(shù)據(jù)（big data）形成于傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用中，并不能將它理解為傳統(tǒng)意義中大量數(shù)據(jù)的集合，而是其中涵蓋了更多的數(shù)據(jù)信息處理技術(shù)、傳輸技術(shù)和應(yīng)用技術(shù)。正如國(guó)際信息咨詢公司Gartner所言“大數(shù)據(jù)在某些層面已經(jīng)超越了現(xiàn)有計(jì)算機(jī)信息技術(shù)處理能力范圍，它是一種極端信息資源。[1]”正是基于此，社會(huì)各個(gè)領(lǐng)域行業(yè)才應(yīng)用大數(shù)據(jù)技術(shù)來(lái)為計(jì)算機(jī)信息安全提供防范措施，尤其是企業(yè)計(jì)算機(jī)信息網(wǎng)絡(luò)，更需要它來(lái)構(gòu)建網(wǎng)絡(luò)信息防護(hù)體系，迎接來(lái)自于企業(yè)外部不同背景下的不同安全威脅。

1關(guān)于企業(yè)計(jì)算機(jī)信息安全防護(hù)體系的建設(shè)需求

企業(yè)計(jì)算機(jī)系統(tǒng)涉及海量數(shù)據(jù)和多種關(guān)鍵技術(shù)，它是企業(yè)正常運(yùn)營(yíng)的大腦，為了避免來(lái)自于內(nèi)外因素的干擾，確保企業(yè)正常運(yùn)轉(zhuǎn)，必須為“大腦”建立計(jì)算機(jī)信息安全防護(hù)體系，基于信息安全水平評(píng)價(jià)目標(biāo)來(lái)確立各項(xiàng)預(yù)訂指標(biāo)性能，確保企業(yè)計(jì)算機(jī)系統(tǒng)不會(huì)遭遇侵犯威脅，保護(hù)重要信息安全。因此企業(yè)所希望的安全防護(hù)體系建設(shè)應(yīng)該滿足以下3項(xiàng)需要。

首先，該安全防護(hù)體系能夠系統(tǒng)的從企業(yè)內(nèi)外部環(huán)境、生產(chǎn)及銷售業(yè)務(wù)流程來(lái)綜合判斷和考]企業(yè)計(jì)算機(jī)信息安全技術(shù)、制度及管理相關(guān)問(wèn)題，并同時(shí)快速分析出企業(yè)在計(jì)算機(jī)信息管理過(guò)程中可能存在的各種安全隱患及危險(xiǎn)因素。指出防護(hù)體系中所存在的缺陷，并提出相應(yīng)的防護(hù)措施。

其次，可以對(duì)潛在威脅企業(yè)計(jì)算機(jī)系統(tǒng)的不安定因素進(jìn)行定性、定量分析，有必要時(shí)還要建立全面評(píng)價(jià)模型來(lái)展開(kāi)分析預(yù)測(cè)，提出能夠確保體系信息安全水平提升的優(yōu)質(zhì)方案。

第三，可以利用體系評(píng)價(jià)結(jié)果來(lái)確定企業(yè)信息安全水平與企業(yè)規(guī)模，同時(shí)評(píng)價(jià)該防護(hù)體系能為企業(yè)帶來(lái)多大收益，確保防護(hù)體系能與企業(yè)所投入發(fā)展?fàn)顩r相互吻合。

2大數(shù)據(jù)環(huán)境對(duì)企業(yè)計(jì)算機(jī)信息安全建設(shè)的影響

大數(shù)據(jù)環(huán)境改變了企業(yè)計(jì)算機(jī)信息安全建設(shè)的思路與格局，應(yīng)該從技術(shù)與管理維度兩個(gè)層面來(lái)看這些影響變化。

2.1基于企業(yè)計(jì)算機(jī)信息安全建設(shè)的技術(shù)維度影響

大數(shù)據(jù)所蘊(yùn)含技術(shù)豐富，它可以運(yùn)用分布式并行處理機(jī)制來(lái)管理企業(yè)計(jì)算機(jī)信息安全。它不僅僅能確保企業(yè)信息的可用性與完整性，還能提高信息處理的準(zhǔn)確性與傳輸連續(xù)性。因?yàn)樵诖髷?shù)據(jù)背景下，復(fù)雜數(shù)據(jù)類型處理案例比比皆是，必須要避免信息處理過(guò)程錯(cuò)誤所帶來(lái)的企業(yè)信息資源安全損失，所以應(yīng)該采取大數(shù)據(jù)環(huán)境技術(shù)來(lái)展開(kāi)新的信息處理方式及存儲(chǔ)方式，像以Hadoop平臺(tái)為主的Mapreduce分布式計(jì)算就能啟動(dòng)云存儲(chǔ)方式，對(duì)企業(yè)計(jì)算機(jī)信息進(jìn)行有效存儲(chǔ)、轉(zhuǎn)移和管理，提高其信息安全水平。分布式計(jì)算會(huì)為企業(yè)計(jì)算機(jī)信息建立大型數(shù)據(jù)庫(kù)，或者采用第三方云服務(wù)提供商所提供的虛擬平臺(tái)來(lái)管理信息，這種做法可以為企業(yè)省下防火墻、數(shù)據(jù)庫(kù)、基礎(chǔ)性安防技術(shù)等等建設(shè)環(huán)節(jié)的大筆成本費(fèi)用。

在信息傳遞方面，大數(shù)據(jù)環(huán)境主要能夠干預(yù)企業(yè)信息傳遞，例如為企業(yè)計(jì)算機(jī)系統(tǒng)提供高速不中斷的傳遞功能模塊，以確保企業(yè)信息傳遞的完整性與可持續(xù)性。在此過(guò)程中為了確保企業(yè)計(jì)算機(jī)信息傳輸?shù)陌踩煽浚蜁?huì)基于大數(shù)據(jù)技術(shù)來(lái)為企業(yè)提供數(shù)據(jù)加密服務(wù)，確保數(shù)據(jù)傳輸整個(gè)過(guò)程都處于安全狀態(tài)，避免任何信息泄露、被盜取現(xiàn)象的發(fā)生。

2.2基于企業(yè)計(jì)算機(jī)信息安全建設(shè)的管理維度影響

在大數(shù)據(jù)環(huán)境下，企業(yè)計(jì)算機(jī)信息安全的管理維度影響不容忽視，它體現(xiàn)在人員管理、大數(shù)據(jù)管理與第三方信息安全等多個(gè)方面。

在人員管理管理方面，大數(shù)據(jù)為企業(yè)所提供的是由傳統(tǒng)集中辦公向分散式辦公的工作模式轉(zhuǎn)變，它創(chuàng)建了企業(yè)自帶辦公設(shè)備BYOD （Bring Your Own Device），BYOD一方面能有效提高員工積極性，一方面也能為企業(yè)購(gòu)置辦公設(shè)備節(jié)約成本，不過(guò)它也能影響到企業(yè)計(jì)算機(jī)的信息安全管理事項(xiàng)，移動(dòng)設(shè)備大幅度降低了企業(yè)對(duì)計(jì)算機(jī)系統(tǒng)安全的可控度，可能會(huì)難以發(fā)現(xiàn)來(lái)自于外部黑客及安全漏洞、計(jì)算機(jī)病毒對(duì)系統(tǒng)的入侵，一定程度上增加了信息泄漏的安全隱患。

在第三方信息安全管理方面，它可能會(huì)對(duì)企業(yè)信息安全帶來(lái)巨大影響，因?yàn)榈谌叫畔⑹切枰脕?lái)進(jìn)行加工分析的，但它對(duì)于企業(yè)計(jì)算機(jī)系統(tǒng)是否能形成保障實(shí)際上是難以被企業(yè)穩(wěn)定控制的，所以企業(yè)要確切保證第三方信息安全管理的有效性，基于大數(shù)據(jù)強(qiáng)化企業(yè)信息安全水平，利用分權(quán)式組織結(jié)構(gòu)來(lái)提高企業(yè)計(jì)算機(jī)系統(tǒng)及信息的利用效率，同時(shí)也增強(qiáng)大數(shù)據(jù)之于企業(yè)計(jì)算機(jī)系統(tǒng)的應(yīng)用實(shí)效性。

3 基于大數(shù)據(jù)優(yōu)化環(huán)境下的企業(yè)計(jì)算機(jī)信息安全防護(hù)策略

企業(yè)計(jì)算機(jī)信息安全對(duì)企業(yè)發(fā)展至關(guān)重要，為其建立安全防護(hù)體系首先要明確其信息安全管理是一項(xiàng)動(dòng)態(tài)復(fù)雜的系統(tǒng)性工程。企業(yè)需要從管理、人員和技術(shù)3方面來(lái)滲透大數(shù)據(jù)意識(shí)及相關(guān)技術(shù)理念，為企業(yè)計(jì)算機(jī)系統(tǒng)構(gòu)筑防線，保護(hù)信息安全。

3.1 基于管理層面的計(jì)算機(jī)信息安全防護(hù)策略

社會(huì)企業(yè)其實(shí)就是大數(shù)據(jù)的主要來(lái)源，所以企業(yè)在對(duì)自身計(jì)算機(jī)信息安全進(jìn)行保護(hù)過(guò)程中需要面臨可能存在的技術(shù)單一、難以滿足企業(yè)信息安全需求等問(wèn)題。企業(yè)需要基于大數(shù)據(jù)技術(shù)來(lái)建立計(jì)算機(jī)信息安全防護(hù)機(jī)制，從大數(shù)據(jù)本身出發(fā)，做到對(duì)數(shù)據(jù)的有效收集和合理分析，準(zhǔn)確排查安全問(wèn)題，建立企業(yè)計(jì)算機(jī)信息安全組織機(jī)構(gòu)。本文認(rèn)為，該計(jì)算機(jī)信息安全防護(hù)策略中應(yīng)該包含安全運(yùn)行監(jiān)管機(jī)制、信息安全快速響應(yīng)機(jī)制、信息訪問(wèn)控制機(jī)制、信息安全管理機(jī)制以及災(zāi)難備份機(jī)制等等。在面對(duì)企業(yè)的關(guān)鍵性信息時(shí)，應(yīng)該在計(jì)算機(jī)系統(tǒng)中設(shè)置信息共享圈，盡可能降低外部不相關(guān)人員對(duì)于某些機(jī)密信息的接觸可能性，所以在此共享圈中還應(yīng)該設(shè)置信息共享層次安全結(jié)構(gòu)，為信息安全施加“雙保險(xiǎn)”。另一方面，企業(yè)管理層也應(yīng)該為計(jì)算機(jī)系統(tǒng)建立信息安全生態(tài)體系，一方面為保護(hù)管理層信息流通與共享，一方面也希望在大數(shù)據(jù)環(huán)境下實(shí)現(xiàn)信息技術(shù)的有效交流，為管理層提出企業(yè)決策提供有力技術(shù)支持。

再者，企業(yè)應(yīng)該完善大數(shù)據(jù)管理制度。首先企業(yè)應(yīng)該明確大數(shù)據(jù)主要由非結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)共同組成，所以要明確計(jì)算機(jī)系統(tǒng)中的所有大數(shù)據(jù)信息應(yīng)該通過(guò)周密分析與計(jì)算才能最終獲取，做到對(duì)系統(tǒng)中大數(shù)據(jù)存儲(chǔ)、分析、應(yīng)用與管理等流程的有效規(guī)范。舉例來(lái)說(shuō)，某些企業(yè)在管理存儲(chǔ)于云端的第三方信息時(shí)，就應(yīng)該履行與云服務(wù)商所簽訂的第三方協(xié)議，在此基礎(chǔ)上來(lái)為企業(yè)自身計(jì)算機(jī)系統(tǒng)設(shè)置單獨(dú)隔離單元，防止信息泄露現(xiàn)象。另一方面，企業(yè)必須實(shí)施基于大數(shù)據(jù)的組織結(jié)構(gòu)扁平化建設(shè)，這樣也能確保計(jì)算機(jī)系統(tǒng)信息流轉(zhuǎn)速度無(wú)限加快，有效降低企業(yè)基層員工與高層管理人員及領(lǐng)導(dǎo)之間的信息交流障礙[2]。

3.2基于人員層面的計(jì)算機(jī)信息安全防護(hù)策略

目前企業(yè)人員所應(yīng)用計(jì)算機(jī)個(gè)人系統(tǒng)已經(jīng)趨向于移動(dòng)智能終端化，許多BYOD工作方案紛紛出現(xiàn)。這些工作方案利用智能移動(dòng)終端連接企業(yè)內(nèi)部網(wǎng)絡(luò)，可以實(shí)現(xiàn)對(duì)企業(yè)數(shù)據(jù)庫(kù)及內(nèi)部信息的有效訪問(wèn)，這雖然能夠提高員工的工作積極性，節(jié)約企業(yè)購(gòu)置辦公設(shè)備成本，但實(shí)際上它也間接加大了企業(yè)對(duì)算機(jī)信息安全的管理難度。具體來(lái)說(shuō)，企業(yè)無(wú)法跟蹤員工的移動(dòng)終端來(lái)監(jiān)控黑客行蹤，無(wú)法第一時(shí)間發(fā)現(xiàn)潛藏病毒對(duì)企業(yè)計(jì)算機(jī)系統(tǒng)及內(nèi)網(wǎng)安全的潛在威脅。因此企業(yè)需要針對(duì)員工個(gè)人來(lái)展開(kāi)大數(shù)據(jù)背景下的信息流通及共享統(tǒng)計(jì)，明確員工在工作進(jìn)程中信息的實(shí)際利用狀況。而且企業(yè)也應(yīng)該在基于保護(hù)大數(shù)據(jù)安全的背景下來(lái)強(qiáng)化員工信息安全教育，培養(yǎng)他們的信息安全意識(shí)，讓員工在使用BYOD進(jìn)行企業(yè)內(nèi)部計(jì)算機(jī)數(shù)據(jù)庫(kù)訪問(wèn)及相關(guān)信息共享過(guò)程中提前主動(dòng)做好數(shù)據(jù)防護(hù)工作，輔助企業(yè)共同保護(hù)內(nèi)部重要機(jī)密信息。

3.3基于安全監(jiān)管技術(shù)層面的計(jì)算機(jī)信息安全防護(hù)策略

在大數(shù)據(jù)環(huán)境中，企業(yè)如果僅僅依靠計(jì)算機(jī)軟件來(lái)維持信息安全已經(jīng)無(wú)法滿足現(xiàn)實(shí)安全需求，如果能從安全監(jiān)管技術(shù)層面來(lái)提出相應(yīng)保護(hù)方案則要配合大數(shù)據(jù)相關(guān)技術(shù)來(lái)實(shí)施?？紤]到企業(yè)容易受到高級(jí)可持續(xù)攻擊（Advanced Persistent Threat）載體的威脅（形成隱藏APT），不易被計(jì)算機(jī)系統(tǒng)發(fā)覺(jué)，為企業(yè)信息帶來(lái)不可估量威脅，所以企業(yè)應(yīng)該基于大數(shù)據(jù)技術(shù)來(lái)尋找APT在實(shí)施網(wǎng)絡(luò)攻擊時(shí)所留下的隱藏攻擊記錄，利用大數(shù)據(jù)配合計(jì)算機(jī)系統(tǒng)分析來(lái)找到APT攻擊源頭，從源頭遏制它所帶來(lái)的安全威脅，這種方法在企業(yè)已經(jīng)被證實(shí)為可行方案。另外，也可以考慮對(duì)企業(yè)計(jì)算系統(tǒng)中重要信息進(jìn)行隔離存儲(chǔ)，利用較為完整的身份識(shí)別來(lái)訪問(wèn)企業(yè)計(jì)算機(jī)管理系統(tǒng)。在這里會(huì)為每一位員工發(fā)放唯一的賬號(hào)密碼，并利用大數(shù)據(jù)來(lái)記錄員工在系統(tǒng)中操作的實(shí)時(shí)動(dòng)態(tài)，監(jiān)控他們的一切行為。企業(yè)要意識(shí)到大數(shù)據(jù)的財(cái)富化可能會(huì)導(dǎo)致計(jì)算機(jī)系統(tǒng)大量信息泄露，從而產(chǎn)生內(nèi)部威脅。所以在大數(shù)據(jù)背景下，應(yīng)該為計(jì)算機(jī)系統(tǒng)建立信息安全模式，利用其智能數(shù)據(jù)管理來(lái)實(shí)現(xiàn)系統(tǒng)的安全管理與自我監(jiān)控，盡可能減少人為操作所帶來(lái)的不必要失誤和信息篡改等安全問(wèn)題。除此之外，企業(yè)也可以考慮建立大數(shù)據(jù)實(shí)時(shí)風(fēng)險(xiǎn)模型，對(duì)計(jì)算機(jī)系統(tǒng)中所涉及的所有信息安全事件進(jìn)行有效管理，協(xié)助企業(yè)完成預(yù)警報(bào)告、應(yīng)急響應(yīng)以及風(fēng)險(xiǎn)分析，做好對(duì)內(nèi)外部違規(guī)、誤操作行為的有效審計(jì)，提高企業(yè)信息安全防護(hù)水平[3]。

4 總結(jié)

現(xiàn)代企業(yè)為保護(hù)計(jì)算機(jī)信息數(shù)據(jù)安全就必須與時(shí)俱進(jìn)，結(jié)合大數(shù)據(jù)環(huán)境，利用信息管理、情報(bào)、數(shù)學(xué)模型構(gòu)建等多種科學(xué)理論來(lái)付諸實(shí)踐，分析大數(shù)據(jù)環(huán)境下可能影響到企業(yè)信息安全水平的各個(gè)因素，最后做出科學(xué)合理評(píng)價(jià)。本文僅僅從較淺角度分析了公司企業(yè)在大數(shù)據(jù)背景下對(duì)自身計(jì)算機(jī)信息安全的相關(guān)防護(hù)策略，希望為企業(yè)安全穩(wěn)定發(fā)展提供有益參考。

參考文獻(xiàn)：

[1] 尹淋雨.大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評(píng)價(jià)模型研究[D].安徽財(cái)經(jīng)大學(xué)，2014：49-51.

關(guān)于信息安全應(yīng)急響應(yīng)范文

篇1

篇2

篇3

篇4

篇5

篇6

篇7

篇8

篇9

篇10

熱門(mén)標(biāo)簽

相關(guān)文章

相關(guān)期刊

東方藏品

漢籍與漢學(xué)

昌吉師專學(xué)報(bào)

國(guó)際經(jīng)貿(mào)

精品范文