導(dǎo)語：如何才能寫好一篇公司信息安全管理體系，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：安全管理體系;檢修管理;新興鑄管

中圖分類號：TU714文獻(xiàn)標(biāo)識碼：A

引言

安全管理（Safety Management）主要指運用現(xiàn)代安全管理原理、方法和手段，分析和研究各種不安全因素，從技術(shù)上、組織上和管理上采取有力的措施，解決和消除各種不安全因素，防止事故的發(fā)生，是現(xiàn)代企業(yè)管理的一個重要組成部分，在企業(yè)的整體管理活動中占有非常重要的地位。隨著我國經(jīng)濟快速發(fā)展和社會的全面進(jìn)步，安全管理與我國經(jīng)濟發(fā)展相伴已進(jìn)入一個新的歷史發(fā)展階段，因此必須在安全管理上引入全新的管理思想和管理機制，以消除人的不安全行為和物的不安全狀態(tài)為中心，強調(diào)以人為本的安全管理核心，把安全管理的重點放在激勵職工的士氣和發(fā)揮其能動作用上來，充分調(diào)動每個職工的主觀能動性和創(chuàng)造性，讓人人參與安全管理，從而塑造企業(yè)安全文化，創(chuàng)立企業(yè)安全生產(chǎn)新形象[1]。

一、新興鑄管新疆有限公司安全管理現(xiàn)狀

（一）公司安全管理指導(dǎo)思想

2010年特鋼項目投建以來，公司就堅持“用先進(jìn)的安全文化理念引領(lǐng)企業(yè)安全發(fā)展”的方針，以構(gòu)建特色安全文化為基礎(chǔ)，以“實現(xiàn)零傷害”為總體目標(biāo)，積極開展和創(chuàng)新各項工作，不斷強化各層級員工規(guī)則意識的樹立、良好安全行為的養(yǎng)成。

特別是一期工程投產(chǎn)以來，通過著力推行“安全生產(chǎn)標(biāo)準(zhǔn)化”建設(shè)，不斷強化人、機、環(huán)匹配化建設(shè)，加大安全生產(chǎn)投入，強化安全隱患整改，提高安全保障能力，努力打造本質(zhì)安全化特鋼，公司安全生產(chǎn)形勢保持了良好的發(fā)展態(tài)勢。

（二）安全管理組織機構(gòu)

新興鑄管新疆有限公司為了適應(yīng)安全管理的需要，成立了公司安全生產(chǎn)委員會，建立了以公司總經(jīng)理、各副總經(jīng)理、各實業(yè)部部長為安全生產(chǎn)第一責(zé)任人的安全管理機構(gòu)，明確職責(zé)。公司成立了安全環(huán)保部，負(fù)責(zé)公司的安全管理工作，公司各實業(yè)部均配備專職/兼職安全管理人員，形成了層層負(fù)責(zé)的安全管理機構(gòu)，為安全管理工作提供了有力的保障。

（三）安全規(guī)章制度

以國家、行業(yè)、新興鑄管股份有限公司的法律法規(guī)及規(guī)章制度作為新興鑄管新疆有限公司安全管理支持，實施的主要安全管理文件有：《安全生產(chǎn)責(zé)任制度》、《安全培訓(xùn)教育制度》、《職工安全檔案管理制度》、《安全生產(chǎn)會議管理制度》、《安全檢查及隱患整改管理制度》、《紅袖標(biāo)安全監(jiān)督管理制度》、《外工單位安全管理制度》、《受限空間管理制度》《安全考核管理制度》《危險源辨識、風(fēng)險評價和風(fēng)險控制策劃實施程序》、《險肇事故安全管理制度》等有關(guān)安全生產(chǎn)的規(guī)章制度、管理辦法共計23余項[2]。

（四）安全體系認(rèn)證

新興鑄管新疆有限公司2012年通過環(huán)境管理、職業(yè)健康安全管理體系認(rèn)證工作，運行一年多來，按照管理體系的要求，每由內(nèi)審員、技術(shù)專家、管理部門領(lǐng)導(dǎo)組成檢查小組對公司各部門安全生產(chǎn)責(zé)任履行、重要環(huán)境因素及危險源控制情況等進(jìn)行檢查，目前體系運行良好。

（五）安全檢查活動開展情況

新興鑄管新疆有限公司安全環(huán)保部對各實業(yè)部現(xiàn)場開展定期安全大檢查。各實業(yè)部在保持日常巡檢、定期檢查和專項檢查的基礎(chǔ)上，加大對施工單位的監(jiān)督檢查力度，明確考核與獎勵，落實隱患整改措施。

（六）安全標(biāo)準(zhǔn)化認(rèn)證審核

按照集團(tuán)公司要求，公司必須在2013年前完成安全標(biāo)準(zhǔn)化認(rèn)證審核，目前結(jié)合安全標(biāo)準(zhǔn)化的建設(shè)，公司組織各實業(yè)部積極開展安全標(biāo)準(zhǔn)化推進(jìn)工作，通過4次自評和1次模擬外審和外部監(jiān)督審核，目前已獲得認(rèn)證。

（七）安全培訓(xùn)教育

通過加強四級安全教育，解決不懂不會問題。公司嚴(yán)格進(jìn)行公司、實業(yè)部、工段、班組四級安全教育，經(jīng)考試合格后準(zhǔn)予上崗。通過安全教育使新職工了解現(xiàn)場的安全生產(chǎn)狀況和制度，迅速融入到生產(chǎn)氛圍中去。

（八）公司安全管理現(xiàn)狀調(diào)查及分析

為進(jìn)一步了解目前公司安全管理中存在的問題，改進(jìn)和加強公司安全管理工作，筆者根據(jù)自己的從業(yè)經(jīng)驗及對公司在職員工進(jìn)行了安全生產(chǎn)常識的調(diào)查。發(fā)現(xiàn)公司安全管理存在的問題主要有以下幾個方面：

1、從人員素質(zhì)方面來看：一是安全文化建設(shè)剛剛起步，職工安全意識、安全理念還沒達(dá)到入心入腦，安全行為，安全責(zé)任心還沒有養(yǎng)成，安全思想、安全文化氛圍還沒有形成；二是新工人多，培訓(xùn)時間短，實戰(zhàn)經(jīng)驗少，還沒有完全適應(yīng)新環(huán)境，駕馭新裝備的能力還不能滿足要求；三是經(jīng)驗主義，模糊意識依然存在；四是管理干部、技術(shù)干部相對短缺，在新環(huán)境下，工作時間短，經(jīng)驗欠缺，對于安全工作的理解還不深。

2、從現(xiàn)場環(huán)境方面看：一是作為新建企業(yè)，對生產(chǎn)運行及故障類型的規(guī)律還未完全摸透，行之有效的管理措施、管理辦法還在探索中；二是部分安全防護(hù)設(shè)施維修保養(yǎng)不到位，應(yīng)急狀態(tài)下的系統(tǒng)穩(wěn)定難以保證。

3、從基礎(chǔ)管理方面看：一是安全基礎(chǔ)管理還比較薄弱，工段班組安全管理欠帳較多，還需要我們進(jìn)一步完善管理制度，強化管理落實；二是安全管理體系還不順暢，安全管理經(jīng)驗不足，分析問題和應(yīng)對突發(fā)問題，以及制定針對性措施的能力有待提高；四是外協(xié)單位和施工隊伍多，臨時思想嚴(yán)重，安全基礎(chǔ)設(shè)施投入不足，協(xié)調(diào)管理難度較大。

二、新興鑄管新疆有限公司安全管理體系內(nèi)容

（一）體系組成

針對公司安全管理中存在的問題，遵循預(yù)防為主、安全第一的安全管理理念和安全標(biāo)準(zhǔn)化、作業(yè)規(guī)范化的安全管理思想、現(xiàn)場6s治理推進(jìn)，提出了以持續(xù)改進(jìn)為基礎(chǔ)，安全為天、以人為本、依法管理、突出預(yù)防[3]為核心管理理念的公司安全管理體系。新興鑄管新疆有限公司安全管理體系由三個子體系組成：分別為安全管理責(zé)任體系、安全管理流程體系、安全管理文化體系。

安全管理責(zé)任體系主要涉及新興鑄管新疆有限公司各部門、各層級所擔(dān)負(fù)的安全管理責(zé)任，以及各負(fù)有安全管理職責(zé)的部門在安全管理過程中的關(guān)系。

安全管理流程體系主要是對新興鑄管新疆有限公司安全管理流程進(jìn)行系統(tǒng)的整理、優(yōu)化，包括策劃、運行與實施、檢查與糾正、持續(xù)改進(jìn)四個部分。

安全文化體系對新興鑄管新疆有限公司安全管理起重要的導(dǎo)向作用 。安全文化是一個完整的體系，這個體系由若干相互聯(lián)系、又有獨特作用的十大要素組成，分別為安全寄語篇、安全理念篇、安全法律篇、安全名詞篇、安全名次篇、“白國周班組管理法”、安全警句篇、安全故事篇、安全常識篇、煤氣知識篇及安全通篇。

（二）安全管理責(zé)任制體系

1、安全生產(chǎn)責(zé)任組織架構(gòu)

新興鑄管新疆有限公司成立了由總經(jīng)理任安委會主任，主管副總經(jīng)理任安委會副主任，各部門行政正職任委員的安全生產(chǎn)委員會。公司安委會的常設(shè)機構(gòu)為安全環(huán)保部，每月定時召開公司安委會會議，每季度定時召開季度安委會，對各實業(yè)部安全管理進(jìn)行點評，鼓勵各實業(yè)部自主開展安全管理活動。

公司的安全專業(yè)管理組織機構(gòu)是由公司安全生產(chǎn)委員會、公司安全環(huán)保部、各專業(yè)管理部室、各分廠安委會、安全辦公室、工段、班組兼職安全員組成的公司安全管理系統(tǒng)。安全環(huán)保部是公司安全業(yè)務(wù)主管部門，現(xiàn)有人員12人，公司安全管理人員崗位設(shè)置按員工人數(shù)控制，共配備專職安全管理人員38人。工段班組設(shè)置兼職安全員，由副段長及班組長擔(dān)任， 佩戴“紅袖標(biāo)”，負(fù)責(zé)工段班組安全監(jiān)督。形成了橫向到邊、縱向到底的安全責(zé)任組織架構(gòu)。

2、安全責(zé)任制體系

公司形成了明確的部門和各類人員的安全生產(chǎn)責(zé)任制體系，通過公司安全管理責(zé)任體系建設(shè)，理清新興鑄管新疆有限公司各部門、各層級所擔(dān)負(fù)的安全管理責(zé)任，以及各負(fù)有安全管理職責(zé)的部門在安全管理過程中的關(guān)系，從而實現(xiàn)安全責(zé)任落實到生產(chǎn)一線，使安全責(zé)任銘記于每個員工心中，真正做到以人為本、安全發(fā)展。

（三）安全管理流程體系

安全管理流程體系圍繞實現(xiàn)新興鑄管新疆有限公司安全管理目標(biāo)并能持續(xù)改進(jìn)安全管理水平，按照PDCA模式進(jìn)行，即策劃(P)、實施(D)、檢查(C)、改進(jìn)(A)。

1、策劃

策劃的內(nèi)容包括：目標(biāo)和指標(biāo)、管理方案、危險源的識別與評價、適用的法律法規(guī)的識別與其他要求。

2、實施與運行

包括：確定適應(yīng)的組織結(jié)構(gòu)與職責(zé)，強化員工安全意識與能力，暢通協(xié)商與溝通渠道，實施安全體系運行與控制，完善應(yīng)急準(zhǔn)備和響應(yīng)制度。

3、檢查與糾正措施

(1)監(jiān)視與測量，對職業(yè)健康安全管理體系運行過程中的關(guān)鍵特性進(jìn)行監(jiān)測、監(jiān)控和監(jiān)督;對不符合項、事件、事故建立并采取糾正和預(yù)防措施。

(2)記錄和記錄管理，對體系運行保持必要的記錄，并對記錄實施管理。

4、改進(jìn)

(1)持續(xù)改進(jìn)，在日常改進(jìn)活動中，通過糾正和預(yù)防措施的不斷改進(jìn)，消除潛在不合格因素。

(2)糾正措施，針對發(fā)現(xiàn)的不合格，采取糾正措施，消除不合格因素。

(3)預(yù)防措施，采取預(yù)防措施，預(yù)防可能出現(xiàn)的不符合項。

(四)安全文化體系

企業(yè)安全文化是指企業(yè)物質(zhì)財富和精神財富的綜合，它包括具有企業(yè)特色的安全思想和意識、安全作風(fēng)和態(tài)度、安全管理機制與行為規(guī)范；企業(yè)安全生產(chǎn)的奮斗目標(biāo)和進(jìn)取精神；為保護(hù)職工身心安全與健康而創(chuàng)造的安全生產(chǎn)、生活環(huán)境和條件；企業(yè)的價值觀、安全的審美觀、安全的心理素質(zhì)和企業(yè)的安全風(fēng)貌等[4]。新興鑄管新疆有限公司安全文化的建設(shè)通過如下四種方式來進(jìn)行：

1、管理層及決策者的安全文化建設(shè)

2、員工的安全文化建設(shè)

3、生產(chǎn)現(xiàn)場的安全文化建設(shè)

4、施工現(xiàn)場的安全文化建設(shè)

5、打造企業(yè)本質(zhì)安全化的安全文化建設(shè)

企業(yè)安全文化建設(shè)是一個系統(tǒng)工程，它包含系統(tǒng)內(nèi)文化即公司文化(施工現(xiàn)場、辦公園區(qū))、系統(tǒng)外文化即社會環(huán)境文化(家庭、朋友)，兩者互為基礎(chǔ)、相互補充完善，缺一不可。作為安全文化建設(shè)的一個重要組成部分，公司在各生產(chǎn)區(qū)域及崗位完善了安全警示牌及全家福照片和家人寄語，充分體現(xiàn)人文關(guān)懷，凸顯了以人為本的管理思路。

企業(yè)安全文化建設(shè)是一項系統(tǒng)工程，通過黨政工團(tuán)齊抓共管，目前已形成互相協(xié)作、配合默契的運作機制，共同推進(jìn)企業(yè)安全文化建設(shè)。同時筆者認(rèn)為企業(yè)還應(yīng)不斷的吸收優(yōu)秀的安全文化，與時俱進(jìn)，不斷發(fā)展具有自身特色的企業(yè)安全文化，才能在新的競爭形勢下走健康、可持續(xù)的發(fā)展道路。目前公司已完成安全文化手冊的編制及審核發(fā)放，保證了安全文化的有效創(chuàng)建。

三、實例應(yīng)用

（一）程簡介

2013年5月25日至6月8日，按照公司安排，全面進(jìn)入年度大修。此次檢修涉及人員較多，現(xiàn)場交叉作業(yè)、吊裝作業(yè)、焊接作業(yè)及噴涂作業(yè)較多，交錯進(jìn)行，環(huán)環(huán)相扣，因此搞好此次檢修工作，任務(wù)異常艱巨。

（二）安全管理體系的應(yīng)用

新興鑄管新疆有限公司安全管理體系實施的核心，是實現(xiàn)項目安全目標(biāo)并持續(xù)改進(jìn)安全管理水平，按照策劃(P)、實施(D)、檢查(C)、改進(jìn)(A)的過程模式運行。

1、建立檢修安全管理責(zé)任體系

為確保項目安全生產(chǎn)目標(biāo)的實現(xiàn)，公司首先與檢修單位（煉鐵部）簽訂安全責(zé)任狀，檢修單位與各施工單位簽訂安全管理協(xié)議，明確雙方的職責(zé)和權(quán)限，協(xié)議明確施工單位應(yīng)當(dāng)服從公司的安全生產(chǎn)管理，施工單位不服從管理導(dǎo)致安全生產(chǎn)事故的，由施工單位承擔(dān)主要責(zé)任。同時建立安全工作管理機構(gòu)，各實業(yè)部及施工單位別設(shè)置安全責(zé)任人、安全主管、安全員三級安全管理人員，安全管理人員均佩戴紅袖標(biāo)，如下圖所示。

高爐大修工程項目安全管理組織機構(gòu)圖

“紅袖標(biāo)”人員職責(zé)：

（1）當(dāng)班時間，負(fù)責(zé)本班或自己身邊的安全、現(xiàn)場、環(huán)保管理工作；

（2）負(fù)責(zé)本班全體人員的標(biāo)準(zhǔn)化作業(yè)規(guī)范，如有違章，自己負(fù)有監(jiān)管不力的責(zé)任；

（ 3）在煉鐵部管轄區(qū)域范圍內(nèi)，煉鐵部任何佩戴“紅袖標(biāo)”人員，對自己眼前出現(xiàn)的“三違”行為、安全隱患以及損害煉鐵部榮譽和利益的事件有責(zé)任進(jìn)行制止和處理。

（4）凡是有“紅袖標(biāo)”在現(xiàn)場的“三違”行為，除當(dāng)事人受罰外，“紅袖標(biāo)”有連帶責(zé)任，按照《考評標(biāo)準(zhǔn)》進(jìn)行考核。

2、建立管理流程及績效管理

安全管理的目標(biāo)是項目安全體系的主要目的，計劃、實施、檢查、改進(jìn)是監(jiān)控整個體系的運行、保證其有效性的有力措施，

為了達(dá)到安全管理目標(biāo)，必須對檢修現(xiàn)場大力開展安全生產(chǎn)檢查。安全生產(chǎn)檢查是持續(xù)改進(jìn)的前提，檢查可以發(fā)現(xiàn)檢修中的不安全(人的不安全行為、物的不安全狀態(tài)、環(huán)境的不安全因素)，提高安全生產(chǎn)的自覺性和責(zé)任感;同時可以互相學(xué)習(xí)、總結(jié)經(jīng)驗、吸取教訓(xùn)、糾正錯誤、持續(xù)改進(jìn)，有利于進(jìn)一步促進(jìn)項目安全生產(chǎn)。因此安全環(huán)保部定期對安全管理情況進(jìn)行監(jiān)控，如安全生產(chǎn)所需資金是否落實、安全管理人員是否到位、安全防護(hù)措施是否有效、隱患整改是否有效落實，如果發(fā)現(xiàn)實業(yè)部未按照相關(guān)要求按時完成，則與其進(jìn)行原因分析，采取相應(yīng)的措施，共同打造一個和諧平安的工作氛圍。

作為檢修主體單位，煉鐵實業(yè)部從檢修前的準(zhǔn)備、檢修中的監(jiān)督、檢查和監(jiān)護(hù)及檢修后試車安全三個方面進(jìn)行了安全把控，確保了年檢期間未發(fā)生任何事故。

3、檢修現(xiàn)場的安全文化建設(shè)

運用傳統(tǒng)的安全文化建設(shè)手段：安全標(biāo)語、安全標(biāo)志(禁止標(biāo)志、警告標(biāo)志、指令標(biāo)志)等。

推行現(xiàn)代的安全文化建設(shè)手段：技術(shù)及工藝的本質(zhì)安全化;現(xiàn)場達(dá)標(biāo)建設(shè)(推行安全質(zhì)量標(biāo)準(zhǔn)化工地);三點控制(事故多發(fā)點、危險點、危害點)等。

本次檢修通過運用傳統(tǒng)與現(xiàn)代方法相結(jié)合，把檢修對員工的安全生產(chǎn)要求和制度規(guī)定變成員工的自覺行為，實現(xiàn)了員工的本質(zhì)安全。使他們安全意識增強，掌握安全技能和專業(yè)崗位知識，能夠自覺遵守制度、創(chuàng)造安全作業(yè)環(huán)境、正確操作設(shè)備，從而消除安全生產(chǎn)事故、事件的發(fā)生。

（三）實施效果

針對此次年檢任務(wù)，從項目審定、檢修步驟制定、安全措施制定，到項目責(zé)任劃分，進(jìn)行了多次討論和審核，在年檢期間，從實施目標(biāo)管理、建立項目安全管理組織機構(gòu)、危險源識別及風(fēng)險評價計劃、簽訂安全管理協(xié)議、制定安全文明施工管理制度、檢修單位管理、安全物資管理、安全教育培訓(xùn)、事故預(yù)防和安全檢查糾正十個方面按照新興鑄管新疆有限公司安全管理體系進(jìn)行了實施，全力確保安全管理目標(biāo)的實現(xiàn)，沒有發(fā)生安全生產(chǎn)事故。

四、結(jié)語

本文通過分析新興鑄管新疆有限公司安全管理的現(xiàn)狀和存在的問題，系統(tǒng)地研究了如何創(chuàng)建新興鑄管新疆有限公司安全管理體系，最后以年度檢修實例檢驗了所創(chuàng)建的安全管理體系的有效性。

企業(yè)安全管理體系的系統(tǒng)化、程序化和文件化可以有效控制事故的發(fā)生，提高企業(yè)安全生產(chǎn)管理水平、管理效益及市場競爭力。同時安全管理體系的建設(shè)是一個持續(xù)的過程，它可以減少重復(fù)評價的社會成本，是提升安全管理水平的有效工具，隨著企業(yè)生產(chǎn)技術(shù)和業(yè)務(wù)范圍的發(fā)展，安全管理體系也應(yīng)該保持持續(xù)改進(jìn)，這是管理體系建設(shè)的重點，也是保證體系持續(xù)有效的基礎(chǔ)。

參考文獻(xiàn)：

[1]周長江.論國有大中型企業(yè)的安全管理[J].中國安全科學(xué)學(xué)報.2003.2.

[2]新興鑄管新疆有限公司.XJXP/EHS-2012《環(huán)境與職業(yè)健康安全管理手冊》.

篇2

關(guān)鍵詞：信息化；信息安全；安全管理

1企業(yè)信息安全現(xiàn)狀

近幾年，隨著行業(yè)信息化建設(shè)逐步深入，伴隨著OA辦公自動化、ERP、卷煙生產(chǎn)經(jīng)營決策管理和MES生產(chǎn)制造執(zhí)行等系統(tǒng)相繼投入使用，與生產(chǎn)經(jīng)營息息相關(guān)的關(guān)鍵業(yè)務(wù)對信息系統(tǒng)的依賴程度越來越高，企業(yè)也逐步認(rèn)識到信息安全的重要性，企業(yè)員工的安全意識也都得到逐步提高。行業(yè)也相繼出臺了煙草行業(yè)信息安全保障體系建設(shè)指南和各類信息安全制度，并通過這幾年信息安全檢查工作，促進(jìn)企業(yè)的信息安全水平得到了進(jìn)一步提高。由于企業(yè)信息安全意識不斷提高，企業(yè)不斷加大信息安全方面的投入，如建立標(biāo)準(zhǔn)化的機房、購買與部署各類信息安全軟件和設(shè)備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網(wǎng)絡(luò)等也隨著計算機技術(shù)的發(fā)展不斷更新，攻擊手段也越發(fā)隱蔽和多樣化。企業(yè)不僅要應(yīng)對外部的攻擊，也要應(yīng)對來自于企業(yè)內(nèi)部的信息安全威脅，安全形勢不容樂觀。企業(yè)的信息安全已不僅僅是技術(shù)問題，還需要借助管理手段來保障。企業(yè)如果不能正確樹立信息風(fēng)險導(dǎo)向意識，一味注重“技術(shù)”的作用，忽略“管理”的重要性，就很難發(fā)揮信息安全技術(shù)的作用，無法把企業(yè)的各項信息安全措施落到實處，企業(yè)的信息安全也就無從談起。只有切實發(fā)揮管理作用，企業(yè)的信息安全才能得到有效保障。

2企業(yè)信息安全體系架構(gòu)

在談到信息安全時，大多數(shù)剛接觸的人都比較疑惑，都說保障信息安全十分重要，那到底什么是信息安全呢？下面就簡單介紹一下信息安全的概念以及企業(yè)的信息安全體系架構(gòu)。2.1信息。對企業(yè)來說，信息是一種無形資產(chǎn)，具有一定商業(yè)價值，以電子、影像、話語等多種形式存在，必須進(jìn)行保護(hù)。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制，避免造成不良影響或者資產(chǎn)損失。2.3企業(yè)信息安全體系架構(gòu)。在保障企業(yè)信息安全過程中，信息安全技術(shù)是保障信息安全的重要手段。通過上文對企業(yè)信息安全現(xiàn)狀的分析，不難看出企業(yè)信息安全體系主要分為技術(shù)、管理兩個重要體系，進(jìn)一步細(xì)分則涉及安全運維方面。2.3.1信息安全技術(shù)體系作用。主要是指通過部署信息安全產(chǎn)品，合理制定安全策略，實現(xiàn)防止信息泄露、被篡改、被損壞等安全目標(biāo)。信息安全產(chǎn)品主要是指實現(xiàn)信息安全的工具平臺，如防火墻類產(chǎn)品、防攻擊類產(chǎn)品、殺毒軟件類產(chǎn)品和密碼類產(chǎn)品等，而信息安全技術(shù)則是指實現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)。2.3.2信息安全管理體系作用。完善信息安全組織機構(gòu)、制度，細(xì)化職責(zé)分工，制定執(zhí)行標(biāo)準(zhǔn)，確保日常管理、檢查等制度有效執(zhí)行，最大程度發(fā)揮信息安全技術(shù)體系作用，確保信息安全相關(guān)保護(hù)措施有效執(zhí)行。通過上文簡單介紹，對信息安全以及信息安全系統(tǒng)有了大概了解。可以看出單純借助技術(shù)或管理無法保障企業(yè)信息安全，因此，建立企業(yè)信息安全管理體系的重要性也就不言而喻。

3信息安全管理體系概念

3.1信息安全管理。運用技術(shù)、管理手段，做好信息安全工作整體規(guī)劃、組織、協(xié)調(diào)與控制，確保實現(xiàn)信息安全目標(biāo)。3.2管理體系。體系是指相互關(guān)聯(lián)和相互作用的一組要素，而管理體系則是建立方針和目標(biāo)并實現(xiàn)這些目標(biāo)的體系。3.3信息安全管理體系（ISMS）。在一定組織范圍內(nèi)建立、完成信息安全方針和目標(biāo)，采取或運用方法的體系。作為管理活動最終結(jié)果，包含方針、原則、目標(biāo)、方法、過程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業(yè)總管理體系的一個子體系，目的是建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機構(gòu)。明確職責(zé)分工，確保信息安全工作組織與落實。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。3.5.3資源。提供體系運轉(zhuǎn)所需的資金、設(shè)備與人員等。

4信息安全管理體系機構(gòu)設(shè)置以及作用

在建立企業(yè)的信息安全管理體系之前，如果沒有設(shè)置相應(yīng)的信息安全組織機構(gòu)，那么建立體系所需要的資源（資金、人員等）就無法得到保障，企業(yè)的信息安全制度和策略也就無法貫徹落實，企業(yè)的信息安全管理體系就形同虛設(shè)起不到任何作用。因此，企業(yè)在建立信息安全管理體系前必須建立健全信息安全組織機構(gòu)，機構(gòu)設(shè)置可以根據(jù)職責(zé)分為三個層次。4.1信息安全決策機構(gòu)。信息安全決策機構(gòu)處于安全組織機構(gòu)的第一個層次，是本單位信息安全工作的最高管理機構(gòu)。應(yīng)以單位主要領(lǐng)導(dǎo)負(fù)責(zé)，對信息安全規(guī)劃、信息安全策略和信息安全建設(shè)方案等進(jìn)行審批，并為企業(yè)信息安全工作提供各類必要資源。4.2管理機構(gòu)。處于安全組織機構(gòu)的第二個層次，在決策機構(gòu)的領(lǐng)導(dǎo)下，主要負(fù)責(zé)企業(yè)日常信息安全的管理、監(jiān)督以及安全教育與培訓(xùn)等工作，此類工作大部分都由企業(yè)的信息化部門承擔(dān)。4.3執(zhí)行機構(gòu)。處于信息安全組織機構(gòu)的第三個層次，在管理機構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)保證信息安全技術(shù)體系的有效運行及日常維護(hù)，通過具體技術(shù)手段落實安全策略，消除安全風(fēng)險，以及發(fā)生安全事件后的具體響應(yīng)和處理，執(zhí)行機構(gòu)人員可以由信息中心技術(shù)人員與各部門專職或兼職信息安全員組成。

5信息安全管理體系的建立

ISO/IEC27001:2005標(biāo)準(zhǔn)的“建立ISMS”章節(jié)中，已明確了信息安全管理體系建立的10項強制性要求和步驟。企業(yè)應(yīng)結(jié)合自身實際情況，遵照這些內(nèi)容和步驟，建立自己的信息安全管理體系，并形成相應(yīng)的體系文件。5.1建立的步驟。（1）結(jié)合企業(yè)實際，明確體系邊界與范圍，并編制體系范圍文件。（2）明確體系策略，構(gòu)建目標(biāo)框架、風(fēng)險評價的準(zhǔn)則等，形成方針文件。（3）確定風(fēng)險評估方法。（4）識別信息安全風(fēng)險，主要包括信息安全資產(chǎn)、責(zé)任、威脅以及造成的后果等。（5）進(jìn)行安全風(fēng)險分析評價，編制評估報告，確定信息安全資產(chǎn)保護(hù)清單。（6）明確安全保護(hù)措施，編制風(fēng)險處理計劃。（7）制定工作目標(biāo)、措施。（8）管理者審核、批準(zhǔn)所有殘余風(fēng)險。（9）經(jīng)管理層授權(quán)實施和運行安全體系。（10）準(zhǔn)備適用性聲明。以上步驟解釋不詳盡之處，參看ISO/IEC27001:20054.2.1章節(jié)中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素，必須與ISO/IEC27001:2005標(biāo)準(zhǔn)保持一致，同時也要結(jié)合企業(yè)實際，確保員工遵照要求嚴(yán)格執(zhí)行。而且也要符合企業(yè)的實際情況和信息安全需要。在實際工作中，企業(yè)員工應(yīng)按照文件要求嚴(yán)格執(zhí)行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針，涵蓋硬件、網(wǎng)絡(luò)、軟件、訪問控制等；程序類主要是指“過程文件”，涉及輸入、處理與輸出三個環(huán)節(jié)，結(jié)果常以“記錄”形式出現(xiàn)；記錄類主要是記錄程序文件結(jié)果，常以是表格形式出現(xiàn)。至于適用性聲明文件，企業(yè)應(yīng)結(jié)合自身情況，參照ISO/IEC27001:2005標(biāo)準(zhǔn)的附錄A，有選擇性地作出聲明，并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風(fēng)險評估、處理、文件控制、記錄控制、內(nèi)部審核、糾正與預(yù)防、控制措施有效性測量、管理評審與適用性聲明等。5.2.3任意性文件。企業(yè)可以針對自身業(yè)務(wù)、管理與信息系統(tǒng)等情況，制定自己獨有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關(guān)法律法規(guī)、ISO/IEC27001:2005標(biāo)準(zhǔn)以及企業(yè)實際要求，保證與企業(yè)其他體系文件協(xié)調(diào)一致，避免沖突，同時在文字描述準(zhǔn)確且無二義。

6體系實施與運行

主要包括策略控制措施、過程和程序，涉及制定和實施風(fēng)險處理計劃、選擇控制措施與驗證有效性、安全教育培訓(xùn)、運行管理、資源管理以及安全事件應(yīng)急處理等。

7體系的監(jiān)視與評審

主要指對照策略、目標(biāo)與實際運行情況，監(jiān)控與評審運行狀態(tài)，主要涉及有效性評審、控制措施測試驗證、風(fēng)險評估、內(nèi)部審核、管理評審等環(huán)節(jié)，并根據(jù)評審結(jié)果編制與完善安全計劃。

8體系的保持和改進(jìn)

主要是依據(jù)監(jiān)視與評審結(jié)果，有針對性地持續(xù)改進(jìn)。主要包括改進(jìn)措施、制定完善措施、整改總結(jié)等，同時需相關(guān)方進(jìn)行溝通，確保達(dá)到預(yù)計改進(jìn)標(biāo)準(zhǔn)。

9結(jié)語

篇3

長期以來，中國大多數(shù)企業(yè)的信息安全建設(shè)遵循“木桶理論”，但實踐證明，在企業(yè)信息安全領(lǐng)域應(yīng)用木桶理論仍存在一定缺陷，很難實現(xiàn)“標(biāo)本兼治”。企業(yè)信息安全應(yīng)從安全策略、安全管理體系、安全技術(shù)體系和安全運維體系四個方面建設(shè)一個完善的信息安全體系對企業(yè)的信息資源提供全方位的安全防護(hù)。整個安全體系以安全策略為核心，管理、技術(shù)、運維三者有機結(jié)合，又相互支撐。三者之間的關(guān)系為“根據(jù)管理體系中的策略，由相關(guān)組織或人員，利用技術(shù)體系作為工具和手段，進(jìn)行操作來維持運行體系”。在建立信息安全體系的過程中，可采用ISO27001：2005所述的“過程方法”，即將“規(guī)劃（Plan）－實施（Do）－檢查（Check）－處置（Act）”（PDCA）四個步驟。

2安全策略

信息安全策略研究就是依據(jù)國家信息安全的方針政策、法律法規(guī)和工作要求，結(jié)合企業(yè)實際情況和管理要求，制訂企業(yè)信息安全防護(hù)的建設(shè)方針和基本要求，對信息安全管理體系、技術(shù)體系和運維體系中的各種安全控制措施和機制的部署提出目標(biāo)和原則，是信息化“建、管、用”各項工作和各個環(huán)節(jié)必須遵守的安全規(guī)則，也是針對每個系統(tǒng)和設(shè)備制訂分項安全策略的依據(jù)。

3安全管理

信息安全管理可參照信息安全管理模型，按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)ISO17799標(biāo)準(zhǔn)建立組織完整的安全管理體系并實施與保持，達(dá)到動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式。管理體系架構(gòu)可分為四層，最高層為企業(yè)信息安全總體策略，為下面的各項分策略和具體的規(guī)章制度提供指導(dǎo)。第二層為企業(yè)信息安全組織體系，作用在于指導(dǎo)實施安全體系，制定安全的相關(guān)標(biāo)準(zhǔn)和方針，監(jiān)管安全事件等。組織體系須設(shè)立專門的管理機構(gòu)，配備相應(yīng)的安全管理人員，明確主管領(lǐng)導(dǎo)，落實部門責(zé)任，各盡其職。第三層為根據(jù)總策略，對信息安全涉及的各方面制定有針對性的分項策略，為安全的具體實施提供管理和技術(shù)上的指導(dǎo)。第四層為具體的安全管理制度。

4安全技術(shù)

篇4

【關(guān)鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系（ISMS）

近年來，“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實名認(rèn)證信息漏洞”、“京東12G用戶數(shù)據(jù)泄露”、“700元買他人隱私信息”等信息安全事件層出不窮，引起各國領(lǐng)導(dǎo)的重視和社會關(guān)注。為提高網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)治理，2014年，我國成立了以主席為最高領(lǐng)導(dǎo)的信息安全管理機構(gòu)-中央網(wǎng)信辦；2016年11月，在中國烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網(wǎng)大會》。通過一系列的行為，為求現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)能夠提高安全能力，為廣大社會群眾提供服務(wù)的同時，能夠保證人民的利益。

信息系統(tǒng)是由硬件、軟件、信息、規(guī)章制度等組成，主要以處理信息流為主，信息系統(tǒng)的網(wǎng)絡(luò)安全備受關(guān)注。企業(yè)在應(yīng)對外部攻擊，安全風(fēng)險的同時，當(dāng)務(wù)之急是建立一套完整的信息安全管理體系。在統(tǒng)一的體系管控下，分布實施，開展各項安全工作。

目前，大多數(shù)企業(yè)的信息安全工作比較單一，主要是部署安全防護(hù)設(shè)備，進(jìn)行簡單的配置。信息安全工作不全面，安全管理相對薄弱，不足以抵抗來自外部的威脅。

1 信息安全問題

1.1 身份鑒別不嚴(yán)格

考慮到方便記憶和頻繁的登錄操作，企業(yè)普遍存在管理員賬號簡單或者直接采用系統(tǒng)的默認(rèn)賬號現(xiàn)象，并且基本不設(shè)定管理員的權(quán)限，默認(rèn)使用最大權(quán)限。一旦攻擊者通過猜測或其他手段獲得管理員賬號，攻擊者如入無人之境，可以任意妄為。最終可造成數(shù)據(jù)泄露，系統(tǒng)癱瘓等不可估量的嚴(yán)重后果。注重信息安全的企業(yè)會修改默認(rèn)管理員賬號，設(shè)定較為復(fù)雜的口令，并定期進(jìn)行口令更換。但是也僅僅使用一種身份鑒別技術(shù)，不足以抵抗外部攻擊。

1.2 外部攻擊，層出不窮

隨著計算機技術(shù)的發(fā)展，信息系統(tǒng)的外部攻簦層出不窮。攻擊者利用網(wǎng)絡(luò)系統(tǒng)的漏洞和缺陷，攻擊系統(tǒng)軟件、硬件和數(shù)據(jù)，進(jìn)行非法操作，造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術(shù)、郵件

攻擊、拒絕服務(wù)攻擊、口令攻擊、惡意程序等等；入侵常用的步驟包括采用漏洞掃描工具進(jìn)行掃描、選擇合適的方式入侵、獲取系統(tǒng)的一定權(quán)限、提升為系統(tǒng)最高權(quán)限、安裝系統(tǒng)后門、獲取敏感信息或者其他攻擊目的。攻擊者會根據(jù)系統(tǒng)特性和網(wǎng)絡(luò)結(jié)構(gòu)采取不同的手段對網(wǎng)絡(luò)進(jìn)行攻擊，如果不采取相應(yīng)的防御手段，很容易被黑客攻擊，造成損失。

1.3 員工安全意識薄弱

很多互聯(lián)網(wǎng)企業(yè)的員工缺乏信息安全意識，存在離開辦公電腦時不鎖屏現(xiàn)象；將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時取走打印機房內(nèi)的材料；優(yōu)盤未經(jīng)殺毒直接連接公司電腦；隨意點擊不明郵件的鏈接；更有員工將系統(tǒng)賬號、密碼粘貼在辦公桌上；在系統(tǒng)建設(shè)階段，大到管理者，小到開發(fā)人員、測試人員，均注重技術(shù)實現(xiàn)和業(yè)務(wù)要求，而忽略了系統(tǒng)的安全和管理。由于員工的信息安全意識較為薄弱，很容易造成公司信息泄露，進(jìn)而導(dǎo)致公司的損失。

1.4 內(nèi)部管理制度不完善

俗話說，“不以規(guī)矩，不能成方圓”。未形成全面的信息安全管理制度體系，缺失部分安全策略、管理制度、操作規(guī)程，可能導(dǎo)致信息安全管理制度體系存在疏漏，部分管理內(nèi)容無法有效實施。使相關(guān)工作過程缺乏規(guī)范依據(jù)和質(zhì)量保障，進(jìn)而影響到信息系統(tǒng)的安全建設(shè)和安全運維。比如在軟件開發(fā)過程中，開發(fā)人員會因為各種原因而忽略安全開發(fā)（存在開發(fā)人員沒有意識到代碼安全開發(fā)的問題；有些開發(fā)人員不愿意使用邊界檢查，怕影響系統(tǒng)的效率和性能；當(dāng)然也存在許多遺留代碼存在問題的現(xiàn)象，從而導(dǎo)致二次開發(fā)同樣產(chǎn)生問題），可能導(dǎo)致系統(tǒng)存在后門，被黑客攻擊。

2 防范措施

企業(yè)需依據(jù)《信息安全等級保護(hù)管理辦法（公通字[2007]43號）》、《中華人民共和國網(wǎng)絡(luò)安全法》》、《ISO/IEC 27001》等標(biāo)準(zhǔn)和法律法規(guī)進(jìn)行信息系統(tǒng)安全建設(shè)工作。測評機構(gòu)在網(wǎng)安的要求下，對企業(yè)信息系統(tǒng)的安全進(jìn)行測評，并出具相應(yīng)測評結(jié)果。根據(jù)測評結(jié)果和整改建議，采用相應(yīng)的技術(shù)手段（安全認(rèn)證、入侵檢測、漏洞掃描、監(jiān)控管理、數(shù)據(jù)備份與加密等）和管理措施（安全團(tuán)隊、教育與培訓(xùn)、管理體系等）對信息系統(tǒng)進(jìn)行整改。如圖1所示。

2.1 技術(shù)手段

2.1.1 安全認(rèn)證

身份鑒別是指在計算機系統(tǒng)中確認(rèn)執(zhí)行者身份的過程，以確定該用戶是否具有訪問某種資源的權(quán)限，防止非法用戶訪問系統(tǒng)資源，保障合法用戶訪問授權(quán)的信息系統(tǒng)。凡登錄系統(tǒng)的用戶，均需進(jìn)行身份鑒別和標(biāo)識，且標(biāo)識需具有唯一性。用戶身份鑒別機制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對不同鑒別機制，常用的鑒別技術(shù)（認(rèn)證技術(shù)）如表1所示。

不同的認(rèn)證技術(shù)，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級較高，但會遇到各種問題，導(dǎo)致便捷性較差（比如存在軟硬件適配性問題，移動終端無USB口等）。一般認(rèn)為在相同的便捷性前提下，選擇安全等級較高的認(rèn)證技術(shù)。針對重要系統(tǒng)應(yīng)采用雙因子認(rèn)證技術(shù)。

2.1.2 入侵檢測

入侵檢測能夠依據(jù)安全策略，對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊行為，能夠?qū)崟r保護(hù)內(nèi)部攻擊、外部攻擊和誤操作的情況，保證信息系統(tǒng)網(wǎng)絡(luò)資源的安全。入侵檢測系統(tǒng)（IDS）是一個旁路監(jiān)聽設(shè)備，需要部署在網(wǎng)絡(luò)內(nèi)部。如果信息系統(tǒng)中包含了多個邏輯隔離的子網(wǎng)，則需要在整個信息系統(tǒng)中實施分布部署，從而掌控整個信息系統(tǒng)安全狀況。

2.1.3 漏洞掃描

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對目標(biāo)系統(tǒng)的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測行為。常見的漏洞掃描類型主要包括系統(tǒng)安全隱患掃描、應(yīng)用安全隱患掃描、數(shù)據(jù)庫安全配置隱患掃描等。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同，分為基于網(wǎng)絡(luò)的和基于主機的系統(tǒng)安全掃描，可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、安全配置隱患、弱口令、服務(wù)和端口等。應(yīng)用安全隱患掃描可以掃描出Web應(yīng)用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數(shù)據(jù)庫安全配置隱患掃描可以檢測出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補丁未升級等自身漏洞。

漏洞掃描主要用于評估主機操作系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備操作系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用平臺軟件的安全情況，它能有效避免黑客攻擊行為，做到防患于未然。

2.1.4 監(jiān)控管理

網(wǎng)絡(luò)監(jiān)控主要包括上網(wǎng)監(jiān)控和內(nèi)網(wǎng)監(jiān)控兩部分。目前市場上已做的完整監(jiān)控軟件已包含上述功能。網(wǎng)絡(luò)監(jiān)控需結(jié)合網(wǎng)絡(luò)拓?fù)洌诰W(wǎng)絡(luò)關(guān)鍵點接入監(jiān)控工具監(jiān)測當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流量，分析可疑信息流，通過截包解碼分析的方式驗證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?。例如Solarwinds網(wǎng)絡(luò)監(jiān)控平臺，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA） 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以執(zhí)行全面的帶寬性能監(jiān)控和故障管理；可以分析網(wǎng)絡(luò)流量；可以對服務(wù)器上運行的服務(wù)和進(jìn)程進(jìn)行自動監(jiān)控，并在故障發(fā)生時及時告警；可對VOIP的相關(guān)參數(shù)進(jìn)行監(jiān)控；可以通過直觀的網(wǎng)絡(luò)控制臺管理整個IP架構(gòu)；可快速檢測、診斷及解決虛擬化環(huán)境的網(wǎng)絡(luò)性能；強大的應(yīng)用程序監(jiān)視、告警、報告功能等。

2.1.5 數(shù)據(jù)備份與加密

企業(yè)高度重視業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)。數(shù)據(jù)在存儲時應(yīng)加密存儲，防止黑客攻擊系統(tǒng)，輕易獲得敏感數(shù)據(jù)，造成公司的重大經(jīng)濟損失。常用的加密算法包括對稱加密（DES、AES）和不對稱加密算法（RSA）。密碼技術(shù)不僅可以防止信息泄露，同時可以保證信息的完整性和不可抵賴性。例如現(xiàn)在比較成熟的哈希算法、數(shù)字簽名、數(shù)字證書等。

除了對數(shù)據(jù)進(jìn)行加密存儲外，由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機房著火等意外，需對系統(tǒng)數(shù)據(jù)進(jìn)行備份。按照備份環(huán)境，備份分為本地備份和異地備份；按照備份數(shù)據(jù)量的多少，備份分為全備、增備、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務(wù)要求和實際情況，選取合適的備份方式進(jìn)行備份。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設(shè)計。

2.2 管理措施

2.2.1 安全團(tuán)隊

企業(yè)應(yīng)設(shè)立能夠統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的專業(yè)的安全管理團(tuán)隊負(fù)責(zé)信息安全工作，該團(tuán)隊包括信息安全委員會，信息安全部門及其成員。安全部門負(fù)責(zé)人除了具備極強的業(yè)務(wù)處理能力，還需要有管理能力、溝通能力、應(yīng)變能力。目前安全團(tuán)隊的從業(yè)人員數(shù)量在逐漸增加，話語權(quán)在增多，肩上的擔(dān)子也越來越大。安全團(tuán)隊需要定好自己的位，多檢查少運維，多幫企業(yè)解決問題。即安全團(tuán)隊修路，各部門在上面跑自己的需求。

2.2.2 教育c培訓(xùn)

保護(hù)企業(yè)信息安全，未雨綢繆比亡羊補牢要強。培養(yǎng)企業(yè)信息安全意識文化，樹立員工信息安全責(zé)任心，是解決企業(yè)信息安全的關(guān)鍵手段之一。企業(yè)的競爭實際上是人才的競爭，除了定期進(jìn)行技能培訓(xùn)外，還需對員工的安全意識進(jìn)行教育和培訓(xùn)。信息安全團(tuán)隊?wèi)?yīng)制定信息安全意識教育和培訓(xùn)計劃，包括但不限于在線、郵件、海報（標(biāo)語）、視頻、專場、外培等形式。通過對員工的安全意識教育，能從內(nèi)部預(yù)防企業(yè)安全事件的發(fā)生，提高企業(yè)的安全保障能力。

2.2.3 管理體系

隨著計算機攻擊技術(shù)的不斷提高，攻擊事件越來越多，且存在部分攻擊來自公司組織內(nèi)部。單靠個人的力量已無法保障信息系統(tǒng)的安全。因此，企業(yè)需建立自上而下的信息安全管理體系（ISMS， Information Security Management System），以達(dá)到分工明確，職責(zé)清晰，安全開發(fā)，可靠運維。安全管理制度作為安全管理體系的綱領(lǐng)性文件，在信息系統(tǒng)的整個生命周期中起著至關(guān)重要的作用。不同機構(gòu)在建立與完善信息安全管理體系時，可根據(jù)自身情況，采取不同的方法，一般經(jīng)過PDCA四個基本階段（Plan：策劃與準(zhǔn)備；Do文件的編制；Check運行；Action審核、評審和持續(xù)改進(jìn)）。可依據(jù)ISO27000，信息安全等級保護(hù)等，從制度、安全機構(gòu)、人員、系統(tǒng)建設(shè)和系統(tǒng)運維5個方面去制定信息安全管理體系。通常，信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規(guī)程和記錄文檔組成，如圖2所示。

3 結(jié)語

國家不斷加強對各個互聯(lián)網(wǎng)企業(yè)、金融、銀行等的信息安全工作監(jiān)督，通過ISO27000、信息安全等級保護(hù)測評、電子銀行評估、互聯(lián)網(wǎng)網(wǎng)站專項安全測評等方式，規(guī)范企業(yè)的信息安全建設(shè)工作。同樣，信息安全工作長期面臨挑戰(zhàn)，不能一蹴而就，需要相關(guān)安全工作人員戮力同心、同舟共濟、相互扶持、攜手共建信息安全的共同體。

參考文獻(xiàn)

[1]沈昌祥，張煥國，馮登國等.信息安全綜述[J].中國科學(xué)雜志社，2007（37）：129-150.

[2]李嘉，蔡立志，張春柳等.信息系統(tǒng)安全等級保護(hù)測評實踐[M].哈爾濱工程大學(xué)出版社，2016（01）.

[3]蔣欣.計算機網(wǎng)絡(luò)戰(zhàn)防御技術(shù)分析[J].指揮控制與仿真，2006（08），28-4.

作者簡介

康玉婷（1988-），女，上海市人。碩士學(xué)位?，F(xiàn)為信息安全等級測評師、初級工程師。主要研究方向為信息安全。

作者單位

篇5

在數(shù)據(jù)中心運營實踐中，誰是最擔(dān)驚受怕之人?做過大型數(shù)據(jù)運營的人都知道這個問題的答案：這個人就是數(shù)據(jù)中心總經(jīng)理。數(shù)據(jù)中心運營工作千頭萬緒，一件小事可能會導(dǎo)致非常大的影響!

在過去的幾年中，IDC行業(yè)同時面臨巨大機遇和各種各樣的挑戰(zhàn)，從電信大重組到奧運封網(wǎng)，從打擊有害信息到互聯(lián)網(wǎng)經(jīng)濟增長放緩，行業(yè)內(nèi)外各種復(fù)雜因素的重疊將IDC行業(yè)推向前沿。當(dāng)前IDC行業(yè)的總體發(fā)展趨勢是安全、高效和綠色。

如何進(jìn)行ITSMS(IT服務(wù)管理體系)／ISMS(信息安全管理體系)／QMS(質(zhì)量管理體系)三體系整合對于IDC行業(yè)是非常重要的，直接關(guān)系其真競爭力和發(fā)展前景。因此各數(shù)據(jù)中心對體系整合非常重視。

IDC行業(yè)廣泛關(guān)注的問題

筆者根據(jù)中國IDC行業(yè)資訊大全(2009)的內(nèi)容整理了目前IDC行業(yè)中的一些廣泛關(guān)注的問題。

1)用戶滿意度分析

根據(jù)中國IDC圈與賽迪顧問的調(diào)研顯示，用戶對IDC服務(wù)不滿意的原因主要集中在經(jīng)常宕機、安全性差和資源無保障方面。

其中問題分布為：安全性差22％，資源無保障18％，經(jīng)常宕機35％，服務(wù)水平差17％，價格昂貴6％，其他1％

2)用戶購買優(yōu)先考慮因素

根據(jù)調(diào)研數(shù)據(jù)顯示，我國企業(yè)用戶在選擇數(shù)據(jù)中心時考慮優(yōu)先因素：52％的企業(yè)用戶認(rèn)為是可靠性；35％的企業(yè)用戶認(rèn)為是服務(wù)品質(zhì)；8％的企業(yè)用戶認(rèn)為是品牌知名度；5％的企業(yè)用戶認(rèn)為是資費。

3)運營模式及成本比較分析

根據(jù)調(diào)研數(shù)據(jù)顯示，我國IDc公司的成本情況：27％的被調(diào)查IDC服務(wù)商認(rèn)為是人員成本；56％的被調(diào)查IDC服務(wù)商認(rèn)為是設(shè)備投入；14％的被調(diào)查IDC服務(wù)商認(rèn)為是維護(hù)成本；3％的被調(diào)查IDC服務(wù)商認(rèn)為是其他內(nèi)容。

IDC行業(yè)管理體系實施現(xiàn)狀及整合趨勢

一、關(guān)注內(nèi)容的橫向擴展

1)IT服務(wù)管理近年來得到迅猛發(fā)展，其主要原因是它能切實指導(dǎo)企業(yè)通過規(guī)范的流程提高為客戶進(jìn)行IT服務(wù)的管理水平，提高客戶滿意度，增加營業(yè)利潤。

2)信息安全一直是各行業(yè)包括IDC關(guān)注的重點。隨著信息安全技術(shù)與管理手段的不斷發(fā)展和完善，企業(yè)在信息安全的保障基本上經(jīng)過了安全技術(shù)應(yīng)用一一以安全技術(shù)為主結(jié)合部分管理措施 全面的管理與技術(shù)相結(jié)合的信息安全管理體系三個階段。

信息安全管理體系特別是ISO／IE C 2700 1；2005得到企業(yè)組織的廣泛認(rèn)可與實施。目前亞洲是ISO／IEC 27001：2005發(fā)證最多的地區(qū)，日本、韓國和中國是發(fā)證較多的幾個國家，而且將來還有很大的發(fā)展空間(特別是中國)。

3)“9.11”事件使得國內(nèi)IDC行業(yè)空前重視業(yè)務(wù)連續(xù)性的管理?！?.11”事件中，1200家企業(yè)受災(zāi)，400家企業(yè)啟動了災(zāi)難恢復(fù)計劃，而無災(zāi)備能力的企業(yè)損失慘重。

據(jù)Gartner Group統(tǒng)計，在經(jīng)歷大型災(zāi)難事件而導(dǎo)致系統(tǒng)停運的公司中，有2／5左右再也沒有恢復(fù)運營，剩下的公司中也有接近1／3在兩年內(nèi)破產(chǎn)。

4)QMS作為所有管理體系的基礎(chǔ)，它目前是最基本、最成熟管理體系，能夠在一定程度上指導(dǎo)企業(yè)提升基礎(chǔ)管理水平。

二、管理的縱深精細(xì)化

當(dāng)前IDC行業(yè)各企業(yè)都在向管理要效益。通過管理體系PDCA的不斷循環(huán)，使得企業(yè)的管理水平不斷提高、管理成本不斷降低、客戶滿意度不斷提高。

總體而言，各種IT相關(guān)管理體系與基礎(chǔ)管理體系(如IS09001等)的整合是當(dāng)前一段時間的發(fā)展趨勢，同時向管理要效益也是所有高層管理人員的心聲。

目前有多家IDC企業(yè)正在整合或已經(jīng)完成管理體系整合，主要難點是整體策劃、高效實施、符合文化、宣貫執(zhí)行。在整合過程中往往出現(xiàn)一些不良現(xiàn)象，需要進(jìn)行避免。

以某高等級數(shù)據(jù)中心為模型。IS020000-1是IT服務(wù)管理體系，主要通過相關(guān)流程來規(guī)范日常的運行和操作，強調(diào)的是如何高效率地提供客戶滿意的服務(wù)。

IS027001是信息安全管理體系，主要是通過管理制度和技術(shù)手段來識別和控制信息安全風(fēng)險，強調(diào)的是讓客戶放心。IS09001是質(zhì)量管理體系，基本上可以將IS020000-1看作是IT行業(yè)的質(zhì)量管理體系。

下面從以一個實際例子來分析在高等級數(shù)據(jù)中心內(nèi)部如何建設(shè)ISMS／ITSMS／QMS的整合體系。

1)總體建設(shè)思路

在建設(shè)整合管理體系時應(yīng)充分考慮以下內(nèi)容：

采用“計劃實施一檢查一改進(jìn)”(PDCA)方法將IS020000 1／IS027001／IS09001管理體系統(tǒng)一整合，并且根據(jù)實際運行情況不斷的優(yōu)化和改進(jìn)。

管理體系必須以實際業(yè)務(wù)為出發(fā)點，結(jié)合組織企業(yè)文化來進(jìn)行IT治理。

既考慮符合管理體系的要求，又考慮數(shù)據(jù)總線的運維特點；既考慮數(shù)據(jù)總線內(nèi)部的運行管理，又考慮對不同客戶的運行管理要求。

充分注重和宣傳“PDCA”、“風(fēng)險管理”和“以客戶為關(guān)注點”這三個核心思想。

2)總體建設(shè)原則

全面性：基本上涵蓋三體系的各個方面，參照目前國際、國內(nèi)的最佳實踐。

融合性：整個管理體系絕不是孤立分開的，而是有機結(jié)合在一起的，能整臺的一定整合。

可實施性：整個整臺管理體系不是僵硬的照搬標(biāo)準(zhǔn)，也不是寫一些空洞的言辭，而是能夠?qū)崒嵲谠诘脑诮M織內(nèi)運行。

持續(xù)性：管理體系是不斷變化的，因此本體系也需要能夠根據(jù)發(fā)展不斷更新。

3)整體框架設(shè)計

整體架構(gòu)策劃，將各流程以項目管理方法融入PDCA(計劃、執(zhí)行、檢查、行動)過程。

在P(計劃)階段主要有以下一些內(nèi)容：

管理職責(zé)

管理體系策劃

適用性聲明

數(shù)據(jù)總線組織架構(gòu)

風(fēng)險管理

文檔與記錄管理

能力、意識與培訓(xùn)

在D(執(zhí)行)階段主要有以下一些內(nèi)容：

信息安全管理，遵循IS027001，其中事件管理和業(yè)務(wù)連續(xù)性管理與ITSM結(jié)合

數(shù)據(jù)中心基礎(chǔ)的日常運行管理制度與相關(guān)操作指南

ITSM中主要有新服務(wù)與服務(wù)變更管理、服務(wù)交付管理、服務(wù)支持管理

一些客戶化訂制的操作規(guī)范

在C(檢查)階段主要有以下一些內(nèi)容：

日常檢查制度，包括各流程／制度責(zé)任部門的日常檢查和管理控制部的日常檢查

流程評審管理

管理體系有效性測量管理

數(shù)據(jù)中心的內(nèi)審管理

數(shù)據(jù)中心的管理評審

在A(行動)階段主要有以下一些內(nèi)容：

糾正與預(yù)防措施控制程序

不合格品控制措施

各流程間的關(guān)系。策劃、檢查和改進(jìn)幾個階段中，各流程／制度內(nèi)容比較明確，流程／制度之間的關(guān)系也比較簡單，本文不再進(jìn)行詳細(xì)說明。由于實施D階段是管理體系的重要部分，其中包含了大量的流程／制度，而且它們之間的關(guān)系和接口也相對復(fù)雜。

體系架構(gòu)包含客戶需求、服務(wù)交付管理、服務(wù)支持管理、日常運行管理和信息安全管理五個模塊。其中信息安全管理是基礎(chǔ)，貫穿于管理體系的各個環(huán)節(jié)。

1)客戶需求模塊主要分為客戶項目需求和客戶日常運維需求；其中客戶項目需求通過“新服務(wù)與服務(wù)變更管理”引入到“服務(wù)交付管理”、“服務(wù)支持管理”和“日常運行管理”中；客戶日常運維需求主要通過“事件管理”和“客戶化定制的操作規(guī)范”來處理。

2)服務(wù)交付模塊中主要有“服務(wù)級別管理”、“服務(wù)報告管理”、“能力與可用性管理”、“業(yè)務(wù)連續(xù)性管理”和“IT財務(wù)管理”幾個流程。

3)服務(wù)支持模塊中主要有“事件管理”、“問題管理”、“變更與管理”、“配置管理”、“業(yè)務(wù)關(guān)系管理”和“供應(yīng)商管理”幾個流程。

其中業(yè)務(wù)關(guān)系管理主要在理解客戶業(yè)務(wù)的基礎(chǔ)上建立和維護(hù)與客戶的關(guān)系，供應(yīng)商管理主要是保證供應(yīng)商提供順暢的、高質(zhì)量的服務(wù)。

4)日常運行管理模塊中主要是日常操作流程和應(yīng)急管理。日常運行管理中的相關(guān)事件都會引入到事件管理中，當(dāng)有重大事件時會引入到應(yīng)急管理或業(yè)務(wù)連續(xù)性管理。

5)信息安全管理模塊中貫穿在北京運行管理中心各項活動中，主要有風(fēng)險管理、資產(chǎn)管理、員工手冊、人力資源管理、物理環(huán)境安全、用戶密碼管理、存儲介質(zhì)管理、防病毒管理、設(shè)備管理、備份與恢復(fù)管理、網(wǎng)絡(luò)管理、軟件管理和符合性管理。

整合流程及各步驟工作內(nèi)容。本案例中整合管理體系的建設(shè)過程以項目管理方法為基礎(chǔ)，共分為九個步驟，每個步驟的大致內(nèi)容如下。

需要進(jìn)一步思考的內(nèi)容

需要精耕細(xì)作的部分。在標(biāo)準(zhǔn)的指導(dǎo)下，整合中的大部分內(nèi)容基本都能得到很好的貫徹與實施。但是在建立與運行整合體系的時候，如果在下面幾個方面進(jìn)行精耕細(xì)作，企業(yè)將會得到更多的回報。

1)風(fēng)險評估的方法：風(fēng)險評估主要涉及風(fēng)險發(fā)生的可能性和風(fēng)險的影響程度兩個方面，目前還沒有一個被大家廣泛認(rèn)可的風(fēng)險評估方法，而且在將來也不會有，不需要有。但是企業(yè)應(yīng)該結(jié)合自己的業(yè)務(wù)流程和企業(yè)文化等，建立屬于自己的風(fēng)險評估方法。

有些企業(yè)已經(jīng)找到比較合適的風(fēng)險評估方法。但是還有很多企業(yè)的風(fēng)險評估方法不太適合組織，大致表現(xiàn)為以下幾個方面：太復(fù)雜難以操作、太簡單難以找出真正的風(fēng)險、缺乏區(qū)分度難以將各種風(fēng)險進(jìn)行區(qū)別、定義不明確，不同人做的結(jié)果差距很大。

2)有效性測量：有效性測量是一個難點，有效性測量應(yīng)該從哪些方面來做，測量的標(biāo)準(zhǔn)如何制定是今后一段時間需要繼續(xù)研究和討論的問題。

目前有很多業(yè)內(nèi)專家對有效性測量提出了自己的看法，但是都不是很完善，沒有得到一致的認(rèn)同。

另外，管理目標(biāo)的制定與測量、業(yè)務(wù)連續(xù)性管理這兩個方面也需要企業(yè)在自己業(yè)務(wù)的基礎(chǔ)上進(jìn)行優(yōu)化和改進(jìn)。

如何保證既達(dá)到業(yè)務(wù)目標(biāo)又能節(jié)省最多的企業(yè)成本，還需要企業(yè)在實際整合管理體系運行過程加以分析和總結(jié)。

與運維標(biāo)準(zhǔn)的融合。針對ID C行業(yè)的業(yè)務(wù)特點，關(guān)于數(shù)據(jù)中心基礎(chǔ)設(shè)施方面的標(biāo)準(zhǔn)很早就被關(guān)注，也已經(jīng)很成熟，如TIA-942、GBT2887-2000、GB4943-2001、GB50174-93等。

目前關(guān)于各種運維服務(wù)的標(biāo)準(zhǔn)正在制定與征求意見當(dāng)中，如《信息技術(shù)數(shù)據(jù)中心運維服務(wù)規(guī)范》、《信息技術(shù)運維服務(wù)通用要求》、《信息技術(shù)運維服務(wù)安全要求》、《信息技術(shù)運維服務(wù)應(yīng)急響應(yīng)規(guī)范》、《信息技術(shù)運維服務(wù)交付規(guī)范》等。

篇6

【關(guān)鍵詞】電力企業(yè)；信息網(wǎng)絡(luò)；安全體系

【中圖分類號】TP309【文獻(xiàn)標(biāo)識碼】A【文章編號】1672-5158（2013）07-0498-02

引言

隨著電力企業(yè)不斷發(fā)展，信息化已廣泛應(yīng)用于生產(chǎn)運營管理過程中的各個環(huán)節(jié)，信息化在為企業(yè)帶來高效率的同時，也為企業(yè)帶來了安全風(fēng)險。一方面企業(yè)對信息化依賴性越來越強，尤其是生產(chǎn)監(jiān)控信息系統(tǒng)及電力二次系統(tǒng)直接關(guān)系到電力安全生產(chǎn)；另一方面黑客技術(shù)發(fā)展迅速，今天行之有效的防火墻或隔離裝置也許明天就可能出現(xiàn)漏洞。因此，建設(shè)信息安全防護(hù)體系建設(shè)工作是刻不容緩的。

1 信息安全防護(hù)體系的核心思想

電力企業(yè)信息安全防護(hù)體系的核心思想是“分級、分區(qū)、分域”（如圖1所示）。分級是將各系統(tǒng)分別確定安全保護(hù)級別實現(xiàn)等級化防護(hù)；分區(qū)是將信息系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)兩個相對獨立區(qū)進(jìn)行安全防護(hù)；分域是依據(jù)系統(tǒng)級別及業(yè)務(wù)系統(tǒng)類型劃分不同的安全域，實現(xiàn)不同安全域的獨立化、差異化防護(hù)。

2 信息安全防護(hù)系統(tǒng)建設(shè)方針

2.1整體規(guī)劃：在全面調(diào)研的基礎(chǔ)上，分析信息安全的風(fēng)險和差距，制訂安全目標(biāo)、安全策略，形成安全整體架構(gòu)。

2.2分步實施：制定信息安全防護(hù)系統(tǒng)建設(shè)計劃，分階段組織項目實施。

2.3分級分區(qū)分域：根據(jù)信息系統(tǒng)的重要程度，確定該系統(tǒng)的安全等級，省級公司的信息系統(tǒng)分為二級和三級系統(tǒng)；根據(jù)生產(chǎn)控制大區(qū)和管理信息大區(qū)，劃分為控制區(qū)（安全I(xiàn)區(qū)）、非控制區(qū)（安全I(xiàn)I區(qū)）、管理信息大區(qū)（III區(qū)）；依據(jù)業(yè)務(wù)系統(tǒng)類型進(jìn)行安全域劃分，二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立成域。

2.4等級防護(hù)：按照國家和電力行業(yè)等級保護(hù)基本要求，進(jìn)行安全防護(hù)措施設(shè)計，合理分配資源，做好重點保護(hù)和適度保護(hù)。

2.5多層防御：在分域防護(hù)的基礎(chǔ)上，將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)層面進(jìn)行安全防護(hù)設(shè)計，以實現(xiàn)縱深防御。

2.6持續(xù)改進(jìn)：定期對信息系統(tǒng)進(jìn)行安全檢測，發(fā)現(xiàn)潛在的問題和系統(tǒng)可能的脆弱性并進(jìn)行修正；檢查防護(hù)系統(tǒng)的運行及安全審計日志，通過策略調(diào)整及時防患于未然；定期對信息系統(tǒng)進(jìn)行安全風(fēng)險評估，修補安全漏洞、改進(jìn)安全防護(hù)體系。

3 信息安全防護(hù)體系建設(shè)探索

一個有效的信息安全體系是在信息安全管理、信息安全技術(shù)、信息安全運行的整體保障下，構(gòu)建起來并發(fā)揮作用的。

3.1 建立信息安全管理體系

安全管理體系是整個信息安全防護(hù)體系的基石，它包括安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五個方面，信息安全組織機構(gòu)的建立尤為重要。

3.1.1建立信息安全管理小組

建立具有管理權(quán)的信息安全小組，負(fù)責(zé)整體信息安全管理工作，審批信息安全方針，分配安全管理職責(zé)，支持和推動組織內(nèi)部信息安全工作的實施，對信息安全重大事項進(jìn)行決策。處置信息安全事件，對安全管理體系進(jìn)行評審。

3.1.2分配管理者權(quán)限

按照管理者的責(zé)、權(quán)、利一致的原則，對信息管理人員作級別上的限制；根據(jù)管理者的角色分配權(quán)限，實現(xiàn)特權(quán)用戶的權(quán)限分離。對工作調(diào)動和離職人員及時調(diào)整授權(quán)，根據(jù)管理職責(zé)確定使用對象，明確某一設(shè)備配置、使用、授權(quán)信息的劃分，制訂相應(yīng)管理制度。

3.1.3職責(zé)明確，層層把關(guān)

制訂操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則各負(fù)其責(zé)，不能超越自己的管轄范圍。系統(tǒng)維護(hù)時要經(jīng)信息管理部門審批，有信息安全管理員在場，對故障原因、維護(hù)內(nèi)容和維護(hù)前后情況做詳細(xì)記錄。

（1）多人負(fù)責(zé)制度 每一項與安全有關(guān)的活動必須有2人以上在場，簽署工作情況記錄，以證明安全工作已得到保障。

（2）重要崗位定期輪換制度 應(yīng)建立重要崗位應(yīng)定期輪換制度，在工作交接期間必須更換口令，重要技術(shù)文件或數(shù)據(jù)必須移交清楚，明確泄密責(zé)任。

（3）在信息管理中實行問責(zé)制，各信息系統(tǒng)專人專管。

3.1.5系統(tǒng)應(yīng)急處理

制定信息安全應(yīng)急響應(yīng)管理辦法，按照嚴(yán)重性和緊急程度及危害影響的大小來確定全事件的等級，采取措施，防止破壞的蔓延與擴展，使危害降到最低，通過對事件或行為的分析結(jié)果，查找事件根源，徹底消除安全隱患。

3.2 建立信息安全技術(shù)策略

3.2.1物理安全策略

物理安全策略的目的是保護(hù)計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；確保計算機系統(tǒng)有一個良好的工作環(huán)境；防止非法進(jìn)入機房和各種偷竊、破壞活動的發(fā)生，抑制和防止電磁泄露等采取的安全措施。

3.2.2 網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全防護(hù)措施主要包括以下幾種類型：

（1）防火墻技術(shù)。通過防火墻配置，控制內(nèi)部和外部網(wǎng)絡(luò)的訪問策略，結(jié)合上網(wǎng)行為管理，監(jiān)控網(wǎng)絡(luò)流量分配，對于重要數(shù)據(jù)實行加密傳輸或加密處理，使只有擁有密鑰的授權(quán)人才能解密獲取信息，保證信息在傳輸過程中的安全。

（2）防病毒技術(shù)。根據(jù)有關(guān)資料統(tǒng)計，對電力信息網(wǎng)絡(luò)和二次系統(tǒng)的威脅除了黑客以外，很大程度上是計算機病毒造成的。當(dāng)今計算機病毒技術(shù)發(fā)展迅速，對計算機網(wǎng)絡(luò)和信息系統(tǒng)造成很大的損害。采用有效的防病毒軟件、惡意代碼防護(hù)軟件，保障升級和更新的時效性，是行之有效的措施。

（3）安全檢測系統(tǒng)。通過專用工具，定期查找各種漏洞，監(jiān)控網(wǎng)絡(luò)的運行狀況。在電力二次系統(tǒng)之間安裝IDS入侵檢測軟件等，確保對網(wǎng)絡(luò)非法訪問、入侵行為做到及時報警，防止非法入侵。

3.2.3安全策略管理

對建的電力二次系統(tǒng)必須在建設(shè)過程中進(jìn)行安全風(fēng)險評估，并根據(jù)評估結(jié)果制定安全策略；對已投運且已建立安全體系的系統(tǒng)定期進(jìn)行漏洞掃描，以便及時發(fā)現(xiàn)系統(tǒng)的安全漏洞；定期分析本系統(tǒng)的安全風(fēng)險，分析當(dāng)前黑客非法入侵的特點，及時調(diào)整安全策略。

3.2.4 數(shù)據(jù)庫的安全策略

數(shù)據(jù)庫的安全策略包括安全管理策略、訪問控制策略和信息控制策略。但數(shù)據(jù)庫的安全問題最主要的仍是訪問控制策略。就訪問控制策略分類而言，它可以分為以下幾種策略。

（1） 最小特權(quán)策略： 是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些權(quán)限恰好可以讓用戶完成自己的工作，其余的權(quán)利一律不給。

（2） 數(shù)據(jù)庫加密策略： 數(shù)據(jù)加密是保護(hù)數(shù)據(jù)在存儲和傳遞過程中不被竊取或修改的有效手段。

（3）數(shù)據(jù)庫備份策略：就是保證在數(shù)據(jù)庫系統(tǒng)出故障時，能夠?qū)?shù)據(jù)庫系統(tǒng)還原到正常狀態(tài)。

（4）審計追蹤策略：是指系統(tǒng)設(shè)置相應(yīng)的日志記錄，特別是對數(shù)據(jù)更新、刪除、修改的記錄，以便日后查證。

篇7

[關(guān)鍵詞]競爭情報安全管理　ISO-CISMS　IS0／1EC27002：2005協(xié)議

[分類號]G350

隨著知識經(jīng)濟時代的到來，情報活動作為企業(yè)收集、分析有關(guān)經(jīng)營環(huán)境、競爭者和本身的相關(guān)、準(zhǔn)確、及時、前瞻性的情報以強化競爭優(yōu)勢的手段被頻繁使用，導(dǎo)致企業(yè)競爭情報安全風(fēng)險日益凸顯。數(shù)據(jù)顯示，各類經(jīng)濟情報活動每年給美國造成的損失達(dá)幾千億美元，使德國損失近5萬個工作崗位。我國也有類似的慘痛教訓(xùn)，景泰藍(lán)、宣紙、“金星”鋼筆拋光技術(shù)等國寶級機密皆因保護(hù)不力而外泄。事實上，在當(dāng)今激烈競爭的市場環(huán)境中，缺乏對競爭情報重要性的認(rèn)識或保護(hù)不力的企業(yè)遲早會被淘汰出局。因此，如何有效地抵御對手的競爭情報活動，防止競爭性情報被對手獲取，日漸成為企業(yè)和學(xué)術(shù)界關(guān)注的焦點。由于企業(yè)是一個開放式系統(tǒng)，競爭情報保護(hù)又涉及眾多主體、客體(情報源、傳播渠道與設(shè)施等)、環(huán)節(jié)和復(fù)雜內(nèi)外部環(huán)境，因而其安全問題絕非僅是技術(shù)性或方法論問題，而是一項系統(tǒng)性工程，必須從策略、過程、實施控制、技術(shù)、資源和環(huán)境以及應(yīng)急與處理機制等諸多方面進(jìn)行規(guī)范和保護(hù)，以保障其保密性(eonfidentiality)、完整性(integrity)和可用性(availability)，即構(gòu)建競爭情報安全管理體系。

1　國內(nèi)外研究現(xiàn)狀

競爭情報簡稱cI(competitive intelligence)，是關(guān)于競爭環(huán)境、競爭對手和競爭策略的信息和研究，是給組織競爭地位帶來重大影響的外部威脅、機會或優(yōu)勢的情報及這些情報的獲取、監(jiān)控、分析、前瞻和預(yù)警過程。它是一種過程，包括對競爭信息的收集和分析；也是一種產(chǎn)品，包括由此形成的情報和謀略。本文所指競爭情報僅是狹義的競爭情報，指代企業(yè)內(nèi)部的關(guān)鍵性情報，包括競爭對手、客戶及合作伙伴情報、市場情報和技術(shù)情報等。

關(guān)于競爭情報安全，國內(nèi)外許多學(xué)者已有一些研究。JerryP，Miller提出情報保護(hù)需歷經(jīng)定義保護(hù)需求、評估競爭對手、評估自身弱點、制定實施對策、分析監(jiān)控、結(jié)果傳遞等6個步驟；John A，Nolan提出Phoenix商業(yè)情報保護(hù)模型，認(rèn)為競爭情報活動是一個由任務(wù)、定義保護(hù)需求、評估弱點、制定對策、分析和6個環(huán)節(jié)構(gòu)成的循環(huán)過程；美國軍方受越戰(zhàn)戰(zhàn)例啟發(fā)提出OPSEC模型，認(rèn)為要對公開信息進(jìn)行嚴(yán)格核查，以防零散公開信息被對手甄別、聚類分析并得到關(guān)鍵情報；有些文獻(xiàn)介紹了反情報技術(shù)，如DNSBL等。國內(nèi)對競爭情報安全也有一些研究，文獻(xiàn)[7]對Phoe-nix模型進(jìn)行了修正，提出工作步驟應(yīng)包括保護(hù)技術(shù)、保護(hù)策略；文獻(xiàn)[8]、[9]分別從知識流視角和基于博弈論構(gòu)建了情報保護(hù)的動態(tài)監(jiān)控與博弈模型；文獻(xiàn)[10]利用人一機系統(tǒng)理論提出安全規(guī)避措施；有些文獻(xiàn)則分別從制度、技術(shù)、法律、企業(yè)文化等視角進(jìn)行了分析或策略構(gòu)建。還有一些學(xué)者研究了競爭情報的泄密途徑，文獻(xiàn)[11]指出計算機的泄密渠道包括電磁波輻射、計算機網(wǎng)絡(luò)、計算機存儲、工作人員被策反和計算機系統(tǒng)被監(jiān)控等。文獻(xiàn)[12]分析了企業(yè)內(nèi)部的情報泄密途徑，包括企業(yè)網(wǎng)站、內(nèi)部員工與第三方、搜索引擎、病毒和黑客攻擊等；有些文獻(xiàn)認(rèn)為還有公開出版物、離職員工、業(yè)務(wù)伙伴、商業(yè)間諜、反求工程及其他灰色或非法途徑等渠道。

從文獻(xiàn)研究看，目前的競爭情報安全管理主要集中在泄密渠道、工作模式、安全技術(shù)、策略機制等領(lǐng)域，對競爭情報安全問題或闡述得比較籠統(tǒng)，或分析得不夠深入，或角度單一，對企業(yè)如何建立競爭情報安全管理體系，實現(xiàn)競爭情報全面安全管理的理解不深、指導(dǎo)性不強。本文將以作為企業(yè)信息安全國際標(biāo)準(zhǔn)的ISO／IEC27002：2005協(xié)議為參照，以實現(xiàn)競爭情報的全面管理為目標(biāo)，構(gòu)建并系統(tǒng)地闡述企業(yè)競爭情報安全管理體系及其內(nèi)涵。

2　競爭情報安全管理體系的構(gòu)建基礎(chǔ)

IS0／IEC27002：2005源自于1993年英國貿(mào)工部編寫的信息安全管理文本“信息安全管理實用規(guī)則”，此后該文本于1995年被轉(zhuǎn)化為國家標(biāo)準(zhǔn)(BS7799-1)，2000年被ISO／IEC組織采納為國際標(biāo)準(zhǔn)，2005年推出修訂版本ISO／IECl7799：2005，2007年被更名為ISO／IEC27002：2005(內(nèi)容不變)，并與由BS7799-2標(biāo)準(zhǔn)演化而成的ISO／IEC27001：2005交相輝映，與隨后形成的后續(xù)標(biāo)準(zhǔn)一起自成體系形成IS027000系列標(biāo)準(zhǔn)。

1SO／IEC27002：2005是一種信息安全管理體系規(guī)范，列舉了在運營過程中對企業(yè)信息安全可能產(chǎn)生影響的因素，共設(shè)置了11大主題，39個控制目標(biāo)和133個安全控制措施，包含安全政策、安全組織、資產(chǎn)分類與管理、個人安全、實體和環(huán)境安全、通信和運行管理、存取控制、信息系統(tǒng)的開發(fā)和維護(hù)、持續(xù)運營管理、符合法律等，旨在為一個機構(gòu)提供用來制定安全標(biāo)準(zhǔn)、實施有效的安全管理時的通用要素，并得以使跨機構(gòu)的交易各方互相信任。由于其規(guī)則實用性已成為信息安全領(lǐng)域最有影響力的信息安全標(biāo)準(zhǔn)，被廣泛看作是優(yōu)秀的、具有普遍意義的安全操作規(guī)則，因此成為我國信息安全標(biāo)準(zhǔn)GB／T20269-2006和《數(shù)字圖書館安全管理指南》等標(biāo)準(zhǔn)的主要參照藍(lán)本。

由于競爭情報安全問題是一個涉及廣泛且復(fù)雜的系統(tǒng)性問題，而ISO／IEC27002：2005是一個具有安全系統(tǒng)架構(gòu)和實施辦法的指南文本，其綱要體系及控制措施易于操作，且由于其架構(gòu)的開放性和可增刪性，各類企業(yè)可根據(jù)自身實際選擇合適規(guī)模、層級的管理準(zhǔn)則組合，形成了一個競爭情報安全“管理樹”。同時，IS0／1EC27002：2005更重要的是傳達(dá)一種系統(tǒng)性的、全局性的安全觀念及一種泛安全管理的思維，因而它作為一個通用的信息安全管理實踐準(zhǔn)則，對企業(yè)競爭情報安全管理具有很好的參考作用。

3　基于ISO／IEC27002：2005標(biāo)準(zhǔn)的競爭情報安全管理體系的構(gòu)建

傳統(tǒng)的競爭情報安全管理一般包含兩層意思：一是對內(nèi)部關(guān)鍵情報進(jìn)行監(jiān)測和保護(hù)的活動；二是妨礙或阻止競爭對手的競爭情報行為。雖認(rèn)知角度、重點不同，但基本共識是認(rèn)為競爭情報安全管理的對象是企業(yè)內(nèi)部情報；內(nèi)容是監(jiān)測和保護(hù)；目的是組織競爭對手或第三方的情報活動；態(tài)度是積極的；手段是合法的、正當(dāng)?shù)?。但這些認(rèn)知尚不足全面闡釋競爭情報安全管理的內(nèi)涵，且競爭情報安全管理有許多重要內(nèi)容，因而本文提出的競爭情報安全管理是一種泛安全管理的理念。

3.1　競爭情報泛安全管理

在閱讀文獻(xiàn)與深入調(diào)研分析的基礎(chǔ)上，本文認(rèn)為競爭情報安全除包括實現(xiàn)內(nèi)部情報的管理與保護(hù)外，還應(yīng)包括對競爭對手實施的主動性反擊策略，以及發(fā)生競爭情報泄密危機的管控與處置問題，這即是泛安全管理的概念范疇。

因此，競爭情報安全管理應(yīng)包括5個向度：競爭情報安全策略與組織架構(gòu)、競爭情報保護(hù)、主動性反競爭情報、安全管理保障和持續(xù)性管理。策略構(gòu)架主要體現(xiàn)在企業(yè)的競爭情報安全管理戰(zhàn)略、組織機構(gòu)、安全策略文檔等宏觀層次構(gòu)造與實踐上；情報保護(hù)是競爭情報安全管理的主要任務(wù)，涉及競爭情報的分類管理、流動監(jiān)控與保護(hù)；主動性反擊能利用各種主動性策略手段分散競爭對手的注意力，迷惑對手或延緩其進(jìn)攻與滲透；安全管理保障是各種制度與策略的審計、激勵與保障機制；持續(xù)性管理是在受到攻擊或情報泄密后的關(guān)鍵業(yè)務(wù)保護(hù)和業(yè)務(wù)修復(fù)能力，是發(fā)生災(zāi)難或危機的修復(fù)與重生機制。這幾個向度相輔相成，共同構(gòu)成競爭情報泛安全管理的內(nèi)涵，如圖1所示：

3.2　競爭情報安全管理體系的框架

基于泛安全管理的思維，參照ISO／IEC27002：2005標(biāo)準(zhǔn)，以競爭情報泛安全管理架構(gòu)模型為主干，本文構(gòu)造了競爭情報安全管理體系的框架ISO-CISMS(corn-pehtlve intelligence security management system based onISO／1EC27002：2005)，該體系包含5個向度，10個管理大項，22個控制目標(biāo)，56個關(guān)鍵控制點。向度和管理大項指出了競爭情報安全管理的工作內(nèi)容框架和架構(gòu)，控制目標(biāo)分析了安全管理需實現(xiàn)的目標(biāo)，關(guān)鍵控制點則給出了安全管理工作的實踐要點。這種“分層設(shè)計”既兼顧了安全管理理論和實踐方向與范圍，也提供了操作性強的工作要點，可為當(dāng)前競爭情報安全管理提供統(tǒng)一框架及解決方案，也回答了John J，McGonagJe在《讓企業(yè)免于對手競爭情報行為的攻擊》中提出的“要做什么，怎樣做和在哪里做”的問題，如圖2所示：

3.2.1　策略方針與組織構(gòu)架策略方針與組織構(gòu)架是指競爭情報安全管理的宏觀層次構(gòu)造與實踐，包括競爭情報安全管理戰(zhàn)略、組織機構(gòu)、安全策略文檔等，主要明確工作的原則、方針和相關(guān)策略，明確體系建設(shè)的意義、目標(biāo)及建立體系需遵守的原則，以及如何建立極具管控力和滲透性的安全管理組織與人員架構(gòu)。具體內(nèi)容見表1。該向度的主要載體是競爭情報保護(hù)工作策略文檔，該文檔包含工作的重要性、工作的原理和目的、安全策略的原則性要求、違反安全策略后的責(zé)任級別及相應(yīng)的處理辦法等內(nèi)容。

競爭情報安全管理作為一項系統(tǒng)性工程，是管理層的共同運營責(zé)任。為保障效率，應(yīng)設(shè)置競爭情報安全管理機構(gòu)，對已有信息或情報部門進(jìn)行合并。組織架構(gòu)可根據(jù)情況采取集中式和分布式相結(jié)合的方式。集中式權(quán)力集中，操作簡單；分布式分散監(jiān)控，覆蓋而廣。專職部門負(fù)責(zé)情報人員的專業(yè)技能培訓(xùn)及企業(yè)競爭情報保護(hù)策略、文化建設(shè)和監(jiān)管協(xié)調(diào)等。兼職人員分布在各部門，負(fù)責(zé)自己部門的情報監(jiān)控與保護(hù)。機構(gòu)成立后，可以確保從管理上支持此項工作，以便更好地監(jiān)測情報安全事項變動，維護(hù)競爭情報安全。在該管理項中，重要的關(guān)鍵控制點是安全管理人員在各部門的覆蓋率，直接關(guān)系到競爭情報安全監(jiān)控工作。

3.2.2　競爭情報保護(hù)

競爭情報保護(hù)是指對各種信息、情報或文件中的關(guān)鍵性情報的保護(hù)，組織結(jié)構(gòu)對工作原則、方針和策略的執(zhí)行情況。由于競爭情報的核心地位，競爭情報保護(hù)一直是競爭情報安全工作的重心。其活動過程是基于競爭對手的競爭情報搜集過程的，由于競爭情報的泄密渠道包括企業(yè)內(nèi)部、公開倩息、第三方、內(nèi)部數(shù)據(jù)庫或信息系統(tǒng)等道德或不道德途徑，因而競爭情報保護(hù)必須強化對各種泄密風(fēng)險點的控制力，保證策略的完備性和執(zhí)行力度及粒度，阻止現(xiàn)實的或潛在的競爭對手對本企業(yè)的競爭情報活動。

在競爭情報安全保護(hù)體系中，競爭情報保護(hù)向包括情報分類與控制、人員安全管理、物理環(huán)境及通信設(shè)施安全防護(hù)以及保障性制度等具體內(nèi)容，如表2所示：

情報分類與控制：對公司數(shù)據(jù)庫和核心文件、公司制度、安全策略、公開信息等情報資源編制情報清單，并根據(jù)相對價值、重要程度進(jìn)行分類編碼，確定安全等級，當(dāng)然該清單應(yīng)是動態(tài)更新的。對情報實施管理和控制，建立規(guī)范的情報管理制度，保障情報的合理、安全流通，嚴(yán)格情報傳播控制、文件管理、與公開信息審核及信息垃圾處理制度，去除其中的關(guān)鍵信息或情報，加大對手的分析難度。

人員安全管理：在競爭情報視角，相關(guān)人員包括作為戰(zhàn)略資源而成為保護(hù)對象的人員；作為管理對象的人員，如競爭情報保護(hù)人員、業(yè)務(wù)人員、第三方人員、顯性或隱性及潛在競爭對手。對不同類型的人員應(yīng)實施不同安全策略：①重定義工作內(nèi)容，把安全責(zé)任定義到工作責(zé)任中；②對人員進(jìn)行安全教育和培訓(xùn)，明確安全策略內(nèi)容及其更新；③確立人員交往規(guī)范，根據(jù)合作伙伴、第三方或競爭對手的不同進(jìn)行價值或重要程度權(quán)衡，建立不同交往策略規(guī)范。

物理和環(huán)境的安全：加強物理位置和環(huán)境的安全保護(hù)是競爭情報保護(hù)工作的顯性措施。劃分安全區(qū)域，根據(jù)關(guān)鍵性的業(yè)務(wù)或情報重要性和風(fēng)險性設(shè)置相應(yīng)安全區(qū)域，用物理屏障實現(xiàn)授權(quán)訪問和保護(hù)，對安全區(qū)域?qū)嵤┍O(jiān)控；信息載體安全，妥善養(yǎng)護(hù)與管理各類信息載體設(shè)備，做好設(shè)備的進(jìn)入與帶出，也要做好登記與稽核。

網(wǎng)絡(luò)與通信管理：由于企業(yè)應(yīng)用越來越基于網(wǎng)絡(luò)實現(xiàn)，競爭情報保護(hù)也應(yīng)重視網(wǎng)絡(luò)與通信領(lǐng)域的管理，當(dāng)然這也是目前研究較多并相對成熟的領(lǐng)域，可用技術(shù)較多，如數(shù)據(jù)加密、數(shù)字簽名、訪問認(rèn)證、安全防護(hù)、檢測與追蹤等，市場上也均有成熟的產(chǎn)品可供選擇。

3.2.3　主動性反競爭情報競爭情報保護(hù)如果是被動的，往往使自身在競爭對手的攻擊中處于被動位置而效果不佳，因而針對競爭對手進(jìn)行監(jiān)測并實施主動性手段是必要的，以在攻防時占定先機，本文認(rèn)為這即是反競爭情報的狹義概念。具體內(nèi)容如表3所示：

國內(nèi)外對于反競爭情報的研究還處于起步階段，從Web of Science數(shù)據(jù)庫和國內(nèi)的CNKI檢索發(fā)現(xiàn)，有效文獻(xiàn)一共不到200篇。其概念論述也不統(tǒng)一，邵波認(rèn)為反競爭情報是模仿競爭對手監(jiān)測和分析自身活動的過程，它是針對競爭情報活動而開展的阻止或妨礙競爭對手獲得自身情報的信息研究活動，是一種對自身核心信息的保護(hù)方法。秦鐵輝、羅超認(rèn)為它是企業(yè)為了保護(hù)自身情報資源而開展的一系列防范性情報工作，以抵御競爭對于針對本企業(yè)的情報活動。楊之霞認(rèn)為企業(yè)反競爭情報是為了控制或延緩企業(yè)核心情報向外界傳遞而開展競爭情報活動的動態(tài)博弈，主要采用掩蔽和迷惑的手段，最大限度地掐斷競爭對獲取本企業(yè)情報的主要知識源和知識流，保護(hù)企業(yè)關(guān)鍵信息不被競爭對手獲得。其他學(xué)者也有一些定義，盡管角度不同、描述不一，但本質(zhì)都是保護(hù)企業(yè)情

報免受其他組織的競爭情報活動的組織過程。但在策略手段上，側(cè)重于防御性手段論述，雖然也提及一些主動性策略或措施，但均沒有將其作為反競爭情報的核心與顯要特征。實際上，以防御性手段保護(hù)競爭情報安全應(yīng)屬于競爭情報保護(hù)概念范疇，而反競爭情報則主要指采用積極主動策略達(dá)到防衛(wèi)或反擊目的的戰(zhàn)略戰(zhàn)術(shù)情報行為。

實施反競爭情報可通過識別競爭對手，模擬主要競爭對手的競爭情報行為，阻斷競爭情報活動點和活動渠道，消滅風(fēng)險點；虛假消息，干擾對手判斷，誘導(dǎo)驅(qū)使其作出己方期望的決策。這種“假情報”可故意向?qū)κ謧鞑?、散發(fā)，涉及企業(yè)戰(zhàn)略、技術(shù)方向、財務(wù)狀況等方面的虛假或不準(zhǔn)確信息，以迷惑競爭對手，或?qū)⑵湟脲e誤判斷或發(fā)生決策失誤。有時還可實施反逆向工程阻止競爭情報人員通過對產(chǎn)品解剖來分析化驗其材料組成、設(shè)計構(gòu)造、生產(chǎn)工藝等方面的機密信息，甚至因此而付出巨大代價，如日本東芝在其生產(chǎn)的電池內(nèi)部進(jìn)行了特殊處理，一旦電池被拆開，便會發(fā)生爆炸，使對手的反求工程變得艱難。

3.2.4　持續(xù)性管理持續(xù)性管理即是建立情報泄密風(fēng)險清單，評估其發(fā)生概率與可能造成的威脅，并在不利事件發(fā)生時采取相應(yīng)的機制及策略，以防止關(guān)鍵業(yè)務(wù)受到影響，實現(xiàn)企業(yè)持續(xù)運行。持續(xù)性管理需要引起重視的原因是隨著競爭情報活動的日益頻繁，企業(yè)面臨的情報泄密風(fēng)險無處不在，甚至很難完全避免，企業(yè)必須在發(fā)生關(guān)鍵情報的泄密后進(jìn)行恰當(dāng)?shù)膽?yīng)急處置，以防止企業(yè)由此而出現(xiàn)重大損失，同時確保關(guān)鍵與核心業(yè)務(wù)不受影響。

在競爭情報安全管理體系中，持續(xù)性管理是一項必不可少的重要內(nèi)容，從國際上看，那些及時引進(jìn)持續(xù)性管理的企業(yè)，在面對災(zāi)難時均能化險為夷，諸多發(fā)達(dá)國家甚至將其列為上市的必要條件。持續(xù)性管理的核心內(nèi)容是業(yè)務(wù)持續(xù)性計劃的編制與維護(hù)，該計劃包含業(yè)務(wù)流程、數(shù)據(jù)和技術(shù)基礎(chǔ)設(shè)施確立、泄密風(fēng)險識別及概率和威脅分析、泄密風(fēng)險點分類與管理、業(yè)務(wù)持續(xù)性策略等內(nèi)容。由于情勢的不斷變幻，業(yè)務(wù)持續(xù)性計劃的維護(hù)與更新也是十分重要的。該管理大項包括3個控制目標(biāo)，具體內(nèi)容如表4所示：

3.2.5　安全管理保障在競爭情報保護(hù)體系中，信息保護(hù)、人員安全、物理與環(huán)境、網(wǎng)絡(luò)與通信管理都必須建立相應(yīng)機制加以保障。安全管理保障是“制度的制度”，貫穿競爭情報安全管理活動，為其保駕護(hù)航。在競爭情報安全管理體系中，安全保障機制主要包含制度與文化兩個層次。制度層是硬性機制；文化層是軟性機制，兩者相輔相成，共同作用。具體內(nèi)容如表5所示：

保障性制度。保障性制度是保障企業(yè)嚴(yán)格實施競爭情報安全策略的制度集，包含稽核制度、維護(hù)制度、激勵制度和懲罰制度等?；酥贫瓤蓹z查策略的完備性、適用性和執(zhí)行情況，發(fā)現(xiàn)問題立即加以更新與維護(hù)，對出現(xiàn)執(zhí)行問題的，能明確加以懲處或通過激勵措施予以激勵。在實際中，可仿照ISO 9000標(biāo)準(zhǔn)的內(nèi)審員制度，由專人定期審計，并與競爭情報安全體系進(jìn)行程序性對照。當(dāng)出現(xiàn)任何事實性不符或事實改變時都要審核是否違反策略，分析其違反后是否會對情報安全造成影響，如此才能保證該體系完全實施。

競爭情報安全文化。企業(yè)文化是企業(yè)在運營過程中形成的所有成員共同認(rèn)同的，關(guān)于企業(yè)運營的戰(zhàn)略目標(biāo)、理念、思維方式、價值觀和行為規(guī)范等要素的總和。研究表明，強文化對企業(yè)發(fā)展具有極大的正向作用，而強情報安全文化對競爭情報安全管理具有同樣的作用。在該體系中，競爭情報安全文化包含競爭情報戰(zhàn)略制定，是否形成重視競爭情報安全的企業(yè)理念，該理念有沒有輸入企業(yè)的經(jīng)脈與血液，特別是管理者的意圖及堅決態(tài)度，對競爭情報保護(hù)工作的支持程度；企業(yè)精神的強度，和睦、團(tuán)結(jié)、協(xié)作的企業(yè)氛圍，將不同類型、價值觀和行為方式的人員凝聚，強化向心力及對企業(yè)的責(zé)任感，減少競爭對手的滲透。

4　結(jié)論與展望

篇8

關(guān)鍵詞：計算機網(wǎng)絡(luò)；信息安全；安全體系

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2011)12-2818-02

隨著計算機網(wǎng)絡(luò)技術(shù)得到了飛速發(fā)展，Internet用戶數(shù)和商業(yè)應(yīng)用快速增長，對計算機和網(wǎng)絡(luò)系統(tǒng)的嚴(yán)重依賴使得我們必須確保計算機和網(wǎng)絡(luò)系統(tǒng)的安全；否則，不僅會造成大量的人力、物力資源的浪費、經(jīng)濟的損失，公司商業(yè)機密信息或研究技術(shù)文檔的被竊，甚至?xí)G失有關(guān)國家的機密，進(jìn)而危及國家的安全。所有這些信息安全與網(wǎng)上信息對抗的需求，使得如何增強計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)安全性的研究成了舉世矚目的焦點。

1 信息安全對企業(yè)的重要性

現(xiàn)代社會是一個信息爆炸的社會，信息作為重要的戰(zhàn)略資源，其開發(fā)與利用已成為企業(yè)競爭能力的關(guān)鍵標(biāo)志和企業(yè)發(fā)展的重要推動力。建立一套科學(xué)的、規(guī)范的信息系統(tǒng)是企業(yè)發(fā)展勢在必行的。

通過信息化建設(shè)，各企業(yè)都已建立相關(guān)的業(yè)務(wù)支撐系統(tǒng)、管理信息系統(tǒng)等，計算機的應(yīng)用已遍布整個企業(yè)內(nèi)部。例如：電信運營公司內(nèi)部建立了計費系統(tǒng)、營業(yè)賬務(wù)系統(tǒng)、客戶關(guān)系管理系統(tǒng)等面向用戶的各類業(yè)務(wù)支撐系統(tǒng)；還建立了辦公信息系統(tǒng)、資產(chǎn)管理信息系統(tǒng)、人力資源管理系統(tǒng)等面向企業(yè)內(nèi)部的綜合管理信息系統(tǒng)。這些計算機信息系統(tǒng)涉及諸如資金、交易、商業(yè)機密、個人隱私等信息，因此在信息系統(tǒng)建設(shè)中一定要重點考慮整個系統(tǒng)的安全問題。安全性問題覆蓋了整個系統(tǒng)中主機、網(wǎng)絡(luò)、通信、應(yīng)用、信息、數(shù)據(jù)的方方面面，以及對網(wǎng)絡(luò)、設(shè)備、通信、操作、人員的安全管理。安全問題能導(dǎo)致信息系統(tǒng)的癱瘓、重要數(shù)據(jù)的丟失，使企業(yè)用戶的業(yè)務(wù)停頓，管理陷入混亂，最終結(jié)果是給企業(yè)造成嚴(yán)重的經(jīng)濟損失，導(dǎo)致企業(yè)競爭力大大下降。因此信息安全問題，已經(jīng)與企業(yè)的生存能力息息相關(guān)。

2 BS7799和信息安全管理體系(ISMS）

信息安全發(fā)展至今，人們逐漸認(rèn)識到安全管理的重要性，為了指導(dǎo)全面的信息安全工作，作為信息安全建設(shè)藍(lán)圖的安全體系就應(yīng)該顧及安全管理的內(nèi)容。BS7799是BSI制定的關(guān)于信息安全管理方面的標(biāo)準(zhǔn)，包含兩個部分：

1）第一部分是被采納為ISO/IEC 17799：2000標(biāo)準(zhǔn)的信息安全管理實施細(xì)則，它在10個標(biāo)題框架下列舉定義了127項作為安全控制的慣例，供信息安全實踐者選擇使用；

2）第二部分是建立信息安全管理體系(ISMS)的一套規(guī)范，詳細(xì)說明了建立、實旌和維護(hù)信息安全管理體系的要求，指出實施機構(gòu)應(yīng)該遵循的風(fēng)險評估標(biāo)準(zhǔn)。

作為一套管理標(biāo)準(zhǔn)，BS7799―2指導(dǎo)相關(guān)人員怎樣去應(yīng)用ISO/IEC 17799，其最終目的，還在于建立適合企業(yè)需要的信息安全管理體系(ISMS)。信息安全管理體系ISMS如圖l所示。

BS7799提出的ISMS是一個系統(tǒng)化、程序化和文檔化的管理體系，技術(shù)措施只是作為依據(jù)安全需求有選擇有側(cè)重地實現(xiàn)安全目標(biāo)的手段而已。不過，Bs7799對ISMS并沒有一個明確的定義，也沒有描述ISMS的最終形態(tài)，它只對建立ISMS框架的過程和符合體系認(rèn)證的內(nèi)容要求有一定的描述。

3 信息安全技術(shù)體系

技術(shù)體系部分主要是應(yīng)用PPDRR模型中PDRR動態(tài)自適應(yīng)的閉環(huán)體系，涵蓋了防護(hù)、檢測、響應(yīng)、恢復(fù)等四部分。其主要是通過以下相關(guān)技術(shù)實現(xiàn)：

1）防火墻技術(shù)：實現(xiàn)安全系統(tǒng)與外網(wǎng)、內(nèi)部各網(wǎng)絡(luò)之間的隔離。利用集中安全監(jiān)控平臺或者獨立的防火墻集中管理系統(tǒng)，完成對全網(wǎng)防火墻的集中管理、集中監(jiān)控與集中策略管理與審核。

2）病毒防護(hù)：構(gòu)建具有網(wǎng)絡(luò)病毒防護(hù)能力的病毒防護(hù)系統(tǒng)，可以動態(tài)升級病毒庫。在中心設(shè)置防病毒中心服務(wù)器，并對所有主機、終端等安裝防病毒軟件客戶端。

3）全漏洞掃描：找出系統(tǒng)中存在的安全漏洞和隱患，掃描對象包括兩類：網(wǎng)絡(luò)設(shè)備和主機設(shè)備，網(wǎng)絡(luò)設(shè)備主要掃描防火墻、路由器等設(shè)備的配置是否存在安全漏洞。

4）入侵檢測系統(tǒng)：實時監(jiān)測系統(tǒng)中的數(shù)據(jù)包，對進(jìn)出各系統(tǒng)的網(wǎng)絡(luò)流量進(jìn)行檢測，識別非法連接請求及網(wǎng)絡(luò)入侵，自動阻斷連接，報警并記錄日志；通過分析關(guān)鍵服務(wù)器上的內(nèi)核級事件、主機日志和網(wǎng)絡(luò)活動，執(zhí)行實時的入侵檢測并阻止惡意活動。

5）身份認(rèn)證技術(shù)：針對企業(yè)口令管理以及靜態(tài)口令不安全問題，提出動態(tài)口令身份認(rèn)證技術(shù)，保護(hù)口令的安全。

6）系統(tǒng)監(jiān)控響應(yīng)：主要通過建立監(jiān)控管理系統(tǒng)進(jìn)行監(jiān)測、響應(yīng)。監(jiān)控系統(tǒng)可以將檢測到的入侵行為、攻擊行為等信息安全事件，進(jìn)行自動的響應(yīng)，保護(hù)系統(tǒng)的安全。

7）備份容災(zāi)技術(shù)：在企業(yè)中構(gòu)建備份系統(tǒng)和容災(zāi)中心，當(dāng)主數(shù)據(jù)中心由于各種突發(fā)性意外原因?qū)е律a(chǎn)系統(tǒng)崩潰時，備份系統(tǒng)和容災(zāi)中心可完全接管全部工作，并能夠在極短時間內(nèi)，恢復(fù)業(yè)務(wù)系統(tǒng)的運行。

4 信息安全若干模型的探討

4.1 IS07498―2信息安全模型

在IS07498―2中定義的信息系統(tǒng)安全體系結(jié)構(gòu)由5類安全服務(wù)及用來支持安全服務(wù)的8種安全機制構(gòu)成。安全服務(wù)體現(xiàn)安全體系所包含的主要功能及內(nèi)容，安全機制規(guī)定了與安全需求相對應(yīng)的可以實現(xiàn)安全服務(wù)的技術(shù)手段，二者有機結(jié)合相互交叉，在安全體系的不同層次發(fā)揮作用。這種安全體系，充分體現(xiàn)了層次性和結(jié)構(gòu)性。

以下分別介紹ISO 7498―2安全體系結(jié)構(gòu)的5類安全服務(wù)、8種安全機制。

4.1.1 安全服務(wù)

1）鑒別服務(wù)：可以鑒別參與通訊的對等實體和源；授權(quán)控制的基礎(chǔ)；提供雙向的認(rèn)證；一般采用高的密碼技術(shù)來進(jìn)行身份認(rèn)證。

2）訪問控制：控制不同用戶對信息資源訪問權(quán)限；要求有審計核查功能；盡可能地提供細(xì)粒度的控制；

3）數(shù)據(jù)完整性：是指通過網(wǎng)上傳輸?shù)臄?shù)據(jù)應(yīng)防止被修改、刪除、插人替換或重發(fā)，以保證合法用戶接收和使用該數(shù)據(jù)的真實性；用于對付主動威脅。

4）數(shù)據(jù)保密性：提供保護(hù)，防止數(shù)據(jù)未經(jīng)授權(quán)就泄露；基于對稱密鑰和非對稱密鑰加密的算法；

5）抗抵賴：接收方要發(fā)送方保證不能否認(rèn)收到的信息是發(fā)送方發(fā)出的信息，而不是被他人冒名篡改過的信息；發(fā)送方也要求對方不能否認(rèn)已經(jīng)收到的信息，防止否認(rèn)對金融電子化系統(tǒng)很重要。

4.1.2 安全機制

1）數(shù)據(jù)加密機制：向數(shù)據(jù)和業(yè)務(wù)信息流提供保密性，對其他安全機制起補充作用；

2）數(shù)據(jù)簽名機制：對數(shù)據(jù)單元簽名和驗證，簽名只有利用簽名者的私有信息才能產(chǎn)生出來；

3）訪問控制機制：利用某個實體經(jīng)鑒別的身份或關(guān)于該實體的信息或該實體的權(quán)標(biāo)，進(jìn)行確定并實旌實體的訪問權(quán)；可用于通訊連接的任何一端或用在中間連接的任何位置；

4）數(shù)據(jù)完整性機制：兩個方面：單個的數(shù)據(jù)單元或字段的完整性、數(shù)據(jù)單元串或字段串的完整性；

5）鑒別交換機制：通過信息交換以確保實體身份的機制；

6）業(yè)務(wù)填充機制：一種制造假的通訊實例、產(chǎn)生欺騙性數(shù)據(jù)單元或在數(shù)據(jù)單元中產(chǎn)生假數(shù)據(jù)的安全機制；提供對各種等級的保護(hù)，防止業(yè)務(wù)分析；只在業(yè)務(wù)填充受到保密時有效；

7）路由控制機制：路由既可以動態(tài)選擇，也可以事先安排；攜帶某些安全標(biāo)簽的數(shù)據(jù)可能被安全策略禁止通過某些子網(wǎng)、中繼站或鏈路；連接的發(fā)起者可以請求回避特定的子網(wǎng)、中繼站或鏈路；

8）公證機制：關(guān)于在兩個或三個實體之間進(jìn)行通訊的數(shù)據(jù)的性能，可由公證機制來保證；保證由第三方提供；第三方能得到通訊實體的信任。

ISO 7498―2安全體系結(jié)構(gòu)針對的是基于OSI參考模型的網(wǎng)絡(luò)通信系統(tǒng)，它所定義的安全服務(wù)也只是解決網(wǎng)絡(luò)通信安全性的技術(shù)措施，其他信息安全相關(guān)領(lǐng)域，包括系統(tǒng)安全、物理安全、人員安全等方面都沒有涉及。此外，ISO 7498―2體系關(guān)注的是靜態(tài)的防護(hù)技術(shù)，它并沒有考慮到信息安全動態(tài)性和生命周期性的發(fā)展特點，缺乏檢測、響應(yīng)和恢復(fù)這些重要的環(huán)節(jié)，因而無法滿足更復(fù)雜更全面的信息保障的要求。

4.2 IATF信息安全模型

IATF是由美國國家安全局組織專家編寫的一個全面描述信息安全保障體系的框架，它提出了信息保障時代信息基礎(chǔ)設(shè)施的全套安全需求。IATF提出了信息保障依賴于人、操作和技術(shù)來共同實現(xiàn)組織職能、業(yè)務(wù)運作的思想，對技術(shù)、信息基礎(chǔ)設(shè)施的管理也離不開這三個要素。人，借助技術(shù)的支持，實施一系列的操作過程，最終實現(xiàn)信息保障目標(biāo)，這就是IATF最核心的理念。IATF定義了實現(xiàn)信息保障目標(biāo)的工程過程和信息系統(tǒng)各個方面的安全需求。在此基礎(chǔ)上，對信息基礎(chǔ)設(shè)施就可以做到多層防護(hù)，這樣的防護(hù)被稱為“深度保護(hù)戰(zhàn)略”，IATF核心恩想如圖2所示。

不過，盡管信息安全保障體系框架IATF提出了以人為核心的思想，但整個體系的闡述還是以技術(shù)為側(cè)重的，對于安全管理的內(nèi)容則很少涉及。IATF為我們指出了設(shè)計、構(gòu)建和實施信息安全解決方案的一個技術(shù)框架，概括了信息安全應(yīng)該關(guān)注的領(lǐng)域和范圍、途徑和方法、可選的技術(shù)性措施，但并沒有指出信息安全最終的表現(xiàn)形態(tài)。

4.3 P2DR動態(tài)自適應(yīng)的信息安全模型

P2DR動念自適應(yīng)安全模型是美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司(1SS)最先提出的，即Policy(策略)、Protection(防護(hù))、Detection(檢測)和Response(響應(yīng))。按照P2DR的觀點，一個完整的動態(tài)安全體系，不僅需要恰當(dāng)?shù)姆雷o(hù)(如操作系統(tǒng)訪問控制、防火墻、加密等)，而且需要動態(tài)的檢測機制(如入侵檢測、漏洞掃描等)，在發(fā)現(xiàn)問題時還需要及時響應(yīng)，這樣的體系需要在統(tǒng)一的、一致的安全策略指導(dǎo)下實施，形成一個完備的、閉環(huán)的動態(tài)自適應(yīng)安全體系。

P2DR模型是建立在基于時間的安全理論基礎(chǔ)之上的：Pt：攻擊成功所需時間被稱作安全體系能夠提供的防護(hù)時間：Dt：在攻擊發(fā)生的同時，檢測系統(tǒng)發(fā)揮作用，攻擊行為被檢測出來需要的時間；Rt：檢測到攻擊之后，系統(tǒng)會做出應(yīng)有的響應(yīng)動作，所需時間被稱作響應(yīng)時問；Et：系統(tǒng)暴露時間，即系統(tǒng)處于不安全狀況的時間(Et=Dt+Rt-Pt)要實現(xiàn)安全，必須讓防護(hù)時間大于檢測時間加上響應(yīng)時間，即：Pt>Dt+Rt。

P2DR模型基本上體現(xiàn)了比較完整的信息安全體系的思想，勾畫出信息安全體系建立之后一個良好的表現(xiàn)形態(tài)。近十年來，該模型被普遍使用。

P2DR動態(tài)自適應(yīng)安全體系模型針對的是基于時間的安全理論構(gòu)建的閉環(huán)的動態(tài)體系結(jié)構(gòu)，也只是解決信息安全的技術(shù)措施，其他信息安全相關(guān)領(lǐng)域，包括系統(tǒng)安全、物理安全、人員安全等方面都沒有涉及。此外，P2DR動態(tài)自適應(yīng)安全體系雖然已經(jīng)關(guān)注信息安全動態(tài)性和生命周期性的發(fā)展特點，但缺乏恢復(fù)的環(huán)節(jié)，因而無法滿足更復(fù)雜更全面的信息保障的要求。

4.4 PPDRR的信息安全模型

在P2DR模型中，恢復(fù)(Recovery)環(huán)節(jié)是包含在響應(yīng)(Response)環(huán)節(jié)中的，作為事件響應(yīng)之后的一項處理措施，不過，隨著人們對業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)愈加重視，尤其是911恐怖事件發(fā)生之后，人們對P2DR模型的認(rèn)識也就有了新的內(nèi)容，于是，PPDRR模型就應(yīng)運而生了。PPDRR模型，或者叫P2DR2，與P2DR唯一的區(qū)別就是把恢復(fù)環(huán)節(jié)提到了和防護(hù)、檢測、響應(yīng)等環(huán)節(jié)同等的高度。在PPDRR模型中，安全策略、防護(hù)、檢測、響應(yīng)和恢復(fù)共同構(gòu)成了完整的信息安全體系。PPDRR也是基于時間的動態(tài)模型，其中，恢復(fù)環(huán)節(jié)對于信息系統(tǒng)和業(yè)務(wù)活動的生存起著至關(guān)重要的作用，組織只有建立并采用完善的恢復(fù)計劃和機制，其信息系統(tǒng)才能在重大災(zāi)難事件中盡快恢復(fù)并延續(xù)業(yè)務(wù)。

基于PPDRR的安全體系模型針對的同樣是基于時間的安全理論構(gòu)建的閉環(huán)的動態(tài)體系結(jié)構(gòu)，仍沒涉及其他信息安全相關(guān)領(lǐng)域，包括系統(tǒng)安全、物理安全、人員安全等方面都沒有涉及。因而無法滿足更復(fù)雜更全面的信息保障的要求。

5 結(jié)束語

本文作者主要對信息安全體系結(jié)構(gòu)領(lǐng)域中現(xiàn)有的各種體系模型進(jìn)行了綜述和分析，詳細(xì)地討論了各種體系模型的優(yōu)缺點。使我們能夠從整體上把握信息安全體系結(jié)構(gòu)領(lǐng)域的研究和發(fā)展方向，為我們以后的研究工作奠定了必要的理論基礎(chǔ)。

參考文獻(xiàn)：

[1] 林寧,吳志剛.我國信息安全標(biāo)準(zhǔn)化現(xiàn)狀[J].計算機世界:信息安全?？?2003(8).

[2] 孫強,陳偉,王東紅.信息安全管理:全球最佳實務(wù)與實施指南[M].北京:清華大學(xué)出版社,2004.

篇9

關(guān)鍵詞：信息安全；管理；電子信息

引言

在計算機技術(shù)更新、發(fā)展迅速的今天，總有一些不法分子通過各種手段竊取企業(yè)信息，嚴(yán)重威脅企業(yè)財產(chǎn)、業(yè)務(wù)安全，甚至損壞企業(yè)形象與品牌。在傳統(tǒng)的信息安全管理中，往往忽略了人在信息安全方面的重要作用，而僅僅依賴于技術(shù)管理。雖然技術(shù)對信息安全管理有重要作用，但如果只依賴于技術(shù)管理，將不能起到良好的防范效果。因為據(jù)權(quán)威機構(gòu)的數(shù)據(jù)顯示，在所有信息安全事故中，70%-80%是因為內(nèi)部員工的疏忽或泄密引起的。因此，為了提高電子信息的安全管理，必須加強企業(yè)對網(wǎng)絡(luò)的防范意識，建立電子商務(wù)安全管理體系和信息安全管理制度等。

一、加強電子信息網(wǎng)絡(luò)安全防范意識

據(jù)調(diào)查，網(wǎng)站安全的隱患，在我國的許多企業(yè)都有存在，它的原因主要是企業(yè)管理者對網(wǎng)絡(luò)安全意識缺乏足夠的重視，他們大多數(shù)對網(wǎng)絡(luò)安全系統(tǒng)只建立了技術(shù)防范機制，用一些先進(jìn)的技術(shù)手段阻隔竊取者的入侵，保證電子信息的安全，但是卻未形成互聯(lián)網(wǎng)易受攻擊的意識。這就為黑客等竊取者有機可乘。尤其在一些中小企業(yè)，認(rèn)為自己公司的規(guī)模小，不會招致侵犯，如此態(tài)度，網(wǎng)絡(luò)安全就更難以得到保護(hù)。因此，要使電子商務(wù)信息安全得到保護(hù)，必須加強企業(yè)管理者與工作人員的安全防范意識，只有如此才能維護(hù)電子商務(wù)信息安全。

二、建立健全電子安全管理組織體系

加強對電子信息安全的保護(hù)，必須在堅持企業(yè)目標(biāo)與安全方針的前提下，在企業(yè)內(nèi)部建立電子商務(wù)安全管理組織體系，就是建立信息安全指導(dǎo)委員會，對組織內(nèi)的信息安全問題定期進(jìn)行討論與解決。他們主要負(fù)責(zé)審批信息安全方針、政策；分配信息安全管理職責(zé)；并對風(fēng)險評估加以確認(rèn)，對信息安全預(yù)算計劃及設(shè)施購置的審查與批復(fù)；此外，還有負(fù)責(zé)實施與評審信息安全的措施與監(jiān)測和對安全事故的處理；以及協(xié)調(diào)與信息安全管理有關(guān)的重大更改事項的決策，對信息安全管理隊伍與各部門之間的關(guān)系的等職能。

三、建立電子信息安全管理制度

電子商務(wù)信息安全管理制度主要有人員管理制度、保密制度、系統(tǒng)維護(hù)制度、病毒防范制度等。制定科學(xué)合理的電子信息安全管理制度，對企業(yè)的信息安全管理有著積極的促進(jìn)作用。企業(yè)要根據(jù)自身的特點，在制度制定時對網(wǎng)絡(luò)信息的安全等級進(jìn)行有序的劃分，以此使具體的安全目標(biāo)加以確立。

1.人員管理制度

人員管理制度包括人事選拔制度、人員管理原則、網(wǎng)絡(luò)管理人員的基本要求等內(nèi)容。其中，良好的人事選拔制度是維護(hù)電子信息安全之本。人員管理的基本原則包括多人負(fù)責(zé)原則和輪崗原則、有限權(quán)力原則、離職控制原則。而網(wǎng)絡(luò)管理人員的基本要求包括以下幾個方面：

（1）不得隨便放置賬號和密碼；（2）在廢紙堆中不得放置敏感數(shù)據(jù)；（3）不得使陌生人進(jìn)入要害部門；（4）要將防火墻等安全產(chǎn)品謹(jǐn)慎配置；（5）不得使用人人皆知的密碼和空密碼；（6）加強層層設(shè)防重要系統(tǒng)；（7）查閱安全日志需配備專人；（8）對員工的安全防范意識加以培訓(xùn)。

2.保密制度

企業(yè)的市場、生產(chǎn)、財務(wù)、供應(yīng)等多方面的機密，電子信息運營都有所涉及，因此制定和實行嚴(yán)格的保密制度是完全有必要的事情。我們依靠信息的性質(zhì)和重要程度，將保密信息劃分為三級。分別是必須實行強制安全保護(hù)的A級機密信息，必須實行自主安全保護(hù)的B級內(nèi)部信息與必須實行一般安全保護(hù)級的C級公共信息。

3.網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度

網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度是用于記錄系統(tǒng)運行的全過程。這就要求企業(yè)在網(wǎng)絡(luò)系統(tǒng)中建立網(wǎng)絡(luò)交易系統(tǒng)日志機制，并自動生成日志文件。日志文件主要內(nèi)容有：操作的日期、操作的方式、登錄的次數(shù)、運行的時間、交易的內(nèi)容等。它對監(jiān)督系統(tǒng)的運行、分析維護(hù)、恢復(fù)故障、防止盜密案件的發(fā)生等起著非常重要的作用。此外，它還有檢查系統(tǒng)日志、審核、對系統(tǒng)故意入侵行為及時發(fā)現(xiàn)的記錄和對系統(tǒng)安全功能違反的記錄、監(jiān)控和捕捉各種安全事件、保存、維護(hù)和管理系統(tǒng)日志等的審計作用。

4.防止病毒入侵制度

作為防止病毒襲擊，保證網(wǎng)上交易的一個重要方面，防病毒入侵制度對網(wǎng)上交易的順利開展，有著積極的防范作用。因此必須及時建立病毒防范措施，實行病毒定期清理制度，將處于潛伏期的病毒清除干凈，預(yù)防與阻止病毒的突然爆發(fā)，保持計算機的工作狀態(tài)始終處于良好的環(huán)境中，從而為網(wǎng)上交易的正常進(jìn)行提供有力的保證。

四、結(jié)束語

企業(yè)電子信息的安全管理依賴于一個完整而有力的管理體系，來保證信息安全管理的規(guī)范與長效。而建立完善的管理體系需要注重人為方面的因素，將人為因素與科技因素結(jié)合起來，這樣才能達(dá)到企業(yè)安全管理的安全、可靠與穩(wěn)定。

參考文獻(xiàn)：

[1]趙剛；王興芬.電子信息安全管理體系架構(gòu)優(yōu)先出版[J].北京信息科技大學(xué)學(xué)報（自然科學(xué)版，2010（14）.

篇10

1管理維護(hù)人員少

我局信息系統(tǒng)管理維護(hù)工作主要由計算機中心負(fù)責(zé)，下設(shè)軟件科、系統(tǒng)科、綜合科共14名在編人員。信息系統(tǒng)的維護(hù)管理工作主要由系統(tǒng)科4名人員負(fù)責(zé)。一方面在開展系統(tǒng)維護(hù)工作時人手不足，無法覆蓋到區(qū)縣；另一方面由于新技術(shù)更新較快，人員對新知識與新技術(shù)的掌握不足，不利于有效的開展信息安全維護(hù)管理工作。

2系統(tǒng)漏洞影響大

稅務(wù)信息系統(tǒng)對數(shù)據(jù)完整性與服務(wù)實時性高要求非常高，當(dāng)今漏洞挖掘技術(shù)極大縮短系統(tǒng)漏洞的發(fā)現(xiàn)周期，經(jīng)常性對核心應(yīng)用系統(tǒng)進(jìn)行升級補丁將對系統(tǒng)數(shù)據(jù)完整性與保障系統(tǒng)服務(wù)及時性造成一定的風(fēng)險。

3黑客攻擊與計算機病毒傳播路徑廣

我局內(nèi)部業(yè)務(wù)網(wǎng)已連接到全市23個下屬單位，黑客可通過任何一個單位對我局核心業(yè)務(wù)應(yīng)用發(fā)起攻擊。同時隨著移動互聯(lián)網(wǎng)的快速發(fā)展，wfif、手機連接到終端計算機等都有可能成為業(yè)務(wù)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的接口，使我局核心業(yè)務(wù)應(yīng)用遭受到互聯(lián)網(wǎng)的攻擊。同時移動存儲介質(zhì)不安全的使用方式、工作員通過互聯(lián)網(wǎng)下載的軟件等都有可能導(dǎo)致病毒大規(guī)模傳播。

二、新形勢稅務(wù)信息安全管理工作實踐

1信息安全管理工作分解，明確分工與職責(zé)

我局信息安全工作的未來發(fā)展方向與符合我局實際情況的管理要求、監(jiān)督指導(dǎo)執(zhí)行層落實工作信息安全工作、考評執(zhí)行層與支撐層的工作績效。為全局的信息安全保障工作發(fā)揮著規(guī)劃、指導(dǎo)、監(jiān)督、考評作用，推動我局各項信息安全管理工作得以落實。執(zhí)行層由各區(qū)縣局單位指派在編工作人員擔(dān)任，目前我局在各區(qū)縣局設(shè)立信息崗，由具備一定計算機基礎(chǔ)知識的工作人員擔(dān)任。主要工任務(wù)是按照市局的管理要求開展日常的信息安全維護(hù)工作，并處理常規(guī)信息安全問題、向其他工作人員宣傳市局既定的管理要求，提高全員的信息安全意識。通過執(zhí)行層開展的信息安全工作，使市局規(guī)劃的各項信息安全管理要求在基層得到落實。為提高執(zhí)行層的工作能力，市局定期集中工作人員開展培訓(xùn)，傳達(dá)市局信息安全工作思路、講解工作中涉及的信息安全技術(shù)、宣傳信息安全形勢等。支撐層由第三方公司擔(dān)任，為使我局信息安全管理工作更高效，我局將信息系統(tǒng)各項技術(shù)維護(hù)工作外包給各技術(shù)領(lǐng)域有一定實力的公司，由公司安排具備工作經(jīng)驗與能力的專業(yè)技術(shù)人員常駐我局，開展技術(shù)維護(hù)工作。我局管理人員根據(jù)制定的管理要求對各公司的維護(hù)工作進(jìn)行考評。

2周期性檢測，評估安全風(fēng)險

漏洞挖掘技術(shù)很大程度的縮短了系統(tǒng)漏洞的發(fā)現(xiàn)周期，對稅務(wù)系統(tǒng)是個非常大的安全隱患，常規(guī)的運行維護(hù)難以發(fā)現(xiàn)深層次的安全漏洞。因此我局將對信息系統(tǒng)及終端計算機的安全檢測列入周期性的工作計劃，不流于風(fēng)險評估與等級保護(hù)測評的工作形式。以實質(zhì)性的發(fā)現(xiàn)系統(tǒng)與終端安全漏洞為手段；以采取有效、可靠、安全的處置方法，降低系統(tǒng)安全風(fēng)險為目標(biāo)。將安全檢測工作委托第三方專業(yè)的公司定期開展，將檢查結(jié)果轉(zhuǎn)交各類技術(shù)的維護(hù)公司進(jìn)行處理。并對安全專業(yè)公司的檢測能力，各類技術(shù)維護(hù)公司的處置能力納入到統(tǒng)一考評體系，確保我局安全漏洞檢測的全面性、準(zhǔn)確性，問題處理的正常性、有效性。3建立以制度為依據(jù)、以技術(shù)為支撐的監(jiān)督、管理工作流程為解決我局終端數(shù)量多、地域分布廣、安全管理難度大的難題，管理層經(jīng)討論、研究針對終端安全及網(wǎng)絡(luò)邊界管理的方法，論證管理要求與技術(shù)實現(xiàn)的可行性，制定終端安全管理與網(wǎng)絡(luò)邊界管理的總體綱領(lǐng)策略。并測試、采購符合我局安全管理需求的安全技術(shù)實施部署。市局下發(fā)針對性的安全管理要求文件，安全技術(shù)根據(jù)市局管理要求部署基本的控制與審計策略。為更好的發(fā)揮技術(shù)平臺的管理功效，市局將基本安全管理策略之外的管理權(quán)限下放到各區(qū)縣局，由各單位根據(jù)自身實際情況制定管理規(guī)則。市局根據(jù)平臺產(chǎn)生的數(shù)據(jù)，對違規(guī)使用資源、違規(guī)操作的個人與單位進(jìn)行監(jiān)督與通報，并納入對各單位的考評。通過管理要求與技術(shù)平臺的有機結(jié)合，使我局各項信息安全管理制度得到落實，并定期召集各單位對信息安全管理工作的經(jīng)驗進(jìn)行交流與推廣，提高全局的信息安全管理水平。

三、新形勢稅務(wù)信息安全管理探索方向

信息安全管理工作在設(shè)計上需成體系、在落實上需有支撐，這項工作有著一定的復(fù)雜性、周密性與完整性。并非依靠制定一系列的管理規(guī)定，或部署完善的信息安全技術(shù)就能立即提高信息安全管理水平。而是需要規(guī)劃整體的安全管理方針與目標(biāo)；根據(jù)方針與目標(biāo)制定基礎(chǔ)的保障框架；逐步完成基礎(chǔ)保障框架中的管理、技術(shù)與過程建設(shè)；并在運行維護(hù)中不斷的找出管理、技術(shù)與過程建設(shè)存在的不足，并進(jìn)行改進(jìn)，使信息安全管理水平不斷的提高，逐漸形成適合我局的信息安全管理體系。目前我局制定信息安全管理的基本方針是建立以風(fēng)險管理為核心的信息安全管理體系。在該方針的指導(dǎo)下，我局計劃建立的基本信息安全保障框架為：

(1)以采取一切手段發(fā)現(xiàn)整體信息系統(tǒng)中存在的安全問題為基礎(chǔ)。

(2)以評估發(fā)現(xiàn)的問題對信息系統(tǒng)可能產(chǎn)生的安全風(fēng)險為支撐。

(3)以找出問題的有效、可靠、安全處置機制為保障。

(4)以監(jiān)督、評估問題處置的有效性，降低安全風(fēng)險為目標(biāo)。因此在已定的安全保障框架下，管理層還需繼續(xù)探索符合我局實際情況的信息安全管理方法，以管理有效方法為基礎(chǔ)制定管理策略、以管理策略為依據(jù)選購安全技術(shù)、以安全技術(shù)為支撐開展具體管理工作、以具體管理工作為監(jiān)督推動管理落實、以管理落實效果為依據(jù)檢驗管理方法、以優(yōu)化管理方法目標(biāo)提高安全管理效益。

四、結(jié)語