導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全成熟度評估，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

    一、網(wǎng)絡(luò)安全策略與防范措施

    (1)攻擊發(fā)生之前的防范措施。防火墻技術(shù)能夠最大限度識別與阻擋非法的攻擊行為。它通過網(wǎng)絡(luò)邊界的一種特殊的訪問控制構(gòu)件來隔離內(nèi)網(wǎng)和外網(wǎng)及其它的部分間的信息交流。根據(jù)網(wǎng)絡(luò)的體系結(jié)構(gòu),可以分別設(shè)置網(wǎng)絡(luò)層IP分組過濾的防火墻、傳輸層的鏈路級防火墻及應(yīng)用層的應(yīng)用級防火墻。

    (2)攻擊過程的防范措施。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,攻擊者使用的工具和方法也變得更加復(fù)雜多樣,所以單純采用防火墻已不能夠滿足用戶的安全需求。因此,網(wǎng)絡(luò)防護(hù)要向縱深和多樣化的方向發(fā)展。這樣,入侵檢測技術(shù)得到了應(yīng)用。

    (3)攻擊后的防范措施。當(dāng)防火墻及入侵檢測技術(shù)都記錄到危險的動作及惡意的攻擊行為之后,一旦網(wǎng)絡(luò)遭受攻擊以后,計算機(jī)可根據(jù)其記錄來分析攻擊的方式,從而盡快地彌補(bǔ)系統(tǒng)存在的漏洞,防止相同攻擊的再次發(fā)生。

    (4)全方位防范措施在物理安全層面可以采取以下的措施:選用質(zhì)量較好的網(wǎng)絡(luò)硬件設(shè)備;對關(guān)鍵設(shè)備及系統(tǒng),進(jìn)行系統(tǒng)的備份;加強(qiáng)機(jī)房安全防護(hù),防火、防盜,同時加強(qiáng)網(wǎng)絡(luò)設(shè)備及安全設(shè)備的防護(hù)。信息安全方面要保證信息的真實(shí)性、完整性和機(jī)密性。因此,要將計算機(jī)中的重要或者隱私的數(shù)據(jù)加密,在數(shù)據(jù)的傳輸過程中也要進(jìn)行加密傳輸。使用鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密3種加密方式來確保信息傳輸?shù)陌踩?。訪問控制措施是保證資源不被非法的使用與訪問的有效措施。它包括入網(wǎng)的訪問控制、操作權(quán)限的控制、目錄安全的控制、屬性安全的控制、網(wǎng)絡(luò)服務(wù)器安全的控制、網(wǎng)絡(luò)的監(jiān)測、鎖定的控制及防火墻的控制等7個方面的控制內(nèi)容。因此,它是維護(hù)網(wǎng)絡(luò)的安全和保護(hù)資源的一個重要的手段。

    二、網(wǎng)絡(luò)攻擊的效果評估方法

    網(wǎng)絡(luò)攻擊效果評估是研究復(fù)雜網(wǎng)絡(luò)環(huán)境中怎樣對信息系統(tǒng)所進(jìn)行的網(wǎng)絡(luò)攻擊效果來定性或者定量評估的結(jié)果,從而由此檢驗(yàn)攻擊有效性與網(wǎng)絡(luò)的系統(tǒng)安全性等。進(jìn)行網(wǎng)絡(luò)的攻擊效果評估在信息系統(tǒng)安全評估的過程中有著十分重要的意義。首先,網(wǎng)絡(luò)的構(gòu)建部門通過對網(wǎng)絡(luò)進(jìn)行攻擊模擬及自我評估來檢驗(yàn)系統(tǒng)安全特性;其次,當(dāng)對敵方惡意的攻擊進(jìn)行反擊時,網(wǎng)絡(luò)的攻擊效果評估還能夠?yàn)榫W(wǎng)絡(luò)的反擊樣式及反擊強(qiáng)度制定合理的應(yīng)對方案?，F(xiàn)有的評估方式可分為安全審計、風(fēng)險分析、能力成熟模型及安全測評四類。

    (1)安全審計。將安全審計做為核心的評估思想是將是否實(shí)施最佳實(shí)踐和程度進(jìn)行系統(tǒng)安全性評估。此類模型主要包括:美國的信息系統(tǒng)的審計與控制協(xié)會COBIT、德國IT安全基本保護(hù)手冊及美國審計總署自動信息系統(tǒng)的安全審計手冊等。此方式主要是針對信息系統(tǒng)的安全措施的落實(shí)和安全管理,這是一種靜態(tài)的、瞬時測量方法。

    (2)風(fēng)險分析。風(fēng)險分析模型主要從風(fēng)險控制的角度來進(jìn)行安全的評估和分析。一般的方法是通過對要進(jìn)行保護(hù)的IT資源的研究,假設(shè)出這些資源可能存在的漏洞和安全威脅,然后對這些漏洞和威脅對資源可能所帶來的后果進(jìn)行預(yù)算,通過數(shù)學(xué)概率統(tǒng)計對安全性能進(jìn)行測量,對可能產(chǎn)生的損失大部分進(jìn)行量化。然后提取出所需來進(jìn)行風(fēng)險控制,從而降低風(fēng)險,把安全風(fēng)險控制到能夠接受的范圍之內(nèi)。風(fēng)險的管理是動態(tài)的及反復(fù)測量的過程?，F(xiàn)有的通用信息安全的標(biāo)準(zhǔn),例如15013335和15017799等,核心的思想都源于風(fēng)險安全的理念。

    (3)能力成熟度模型。能力成熟度模型主要是由過程(Process)保證其安全。最著名的能力成熟模型是系統(tǒng)工程安全的能力成熟度模型。系統(tǒng)工程安全的能力成熟度模型的基本原理是通過將安全工程的過程管理途徑,把系統(tǒng)的安全工程轉(zhuǎn)化成為定義好、成熟、可測量的一個過程。該模型把安全能力共劃分成5個等級,從低到高進(jìn)行排序,低等級的是不成熟、難控制安全能力,中等級的是能管理、可控的安全能力,高等級的則是可量化、可測量的安全能力。能力成熟度模型為動態(tài)、螺旋式的上升模型。

    (4)安全測評。安全測評主要更多從安全的技術(shù)及功能與機(jī)制方面來對信息系統(tǒng)安全進(jìn)行評估。早期安全測評方案有美國國防部的TCSEC,它的優(yōu)勢是比較適用于計算機(jī)安全,尤其是操作系統(tǒng)的安全進(jìn)行度量,對計算機(jī)操作系統(tǒng)的等級的劃分有著相當(dāng)大的影響力。

篇2

1.計算機(jī)網(wǎng)絡(luò)在電力系統(tǒng)應(yīng)用的意義

電力系統(tǒng)的領(lǐng)導(dǎo)能通過計算機(jī)網(wǎng)絡(luò)在企業(yè)本部的辦公室中了解分散在全國各地項目部的財務(wù)報表、工程進(jìn)度、工程質(zhì)量、工程中存在的問題；在企業(yè)本部的會議室中拿出從計算機(jī)網(wǎng)絡(luò)中得到的分散在全國各地項目部的資料，與其他領(lǐng)導(dǎo)進(jìn)行研究，商量出解決問題的辦法。

電力建設(shè)的性質(zhì)決定了電力企業(yè)要使用計算機(jī)網(wǎng)絡(luò)，它能將分散的建設(shè)工地連接成一個整體，能將分散的人員連接成一個整體并能將時空縮小。利用計算機(jī)網(wǎng)絡(luò)，企業(yè)可發(fā)揮企業(yè)中每一個員工的積極性，是企業(yè)與每個員工聯(lián)系的平臺。領(lǐng)導(dǎo)的決策要依賴企業(yè)員工直接提供的素材，計算機(jī)網(wǎng)絡(luò)能將企業(yè)員工提供的大量素材直接送到領(lǐng)導(dǎo)那里以供決策。計算機(jī)網(wǎng)絡(luò)的應(yīng)用為電力建設(shè)企業(yè)提供了現(xiàn)代化的管理手段，電力建設(shè)企業(yè)經(jīng)濟(jì)效益的取得離不開計算機(jī)網(wǎng)絡(luò)在電力施工企業(yè)中的廣泛應(yīng)用。

2.計算機(jī)網(wǎng)絡(luò)在電力系統(tǒng)應(yīng)用的現(xiàn)狀

通過計算機(jī)網(wǎng)絡(luò)可以使電力系統(tǒng)的工作效率提高了，管理范圍擴(kuò)大了，工作人員的辦事能力增強(qiáng)了，但計算機(jī)系統(tǒng)網(wǎng)絡(luò)安全問題也隨之變得更加嚴(yán)重了。例如:通過電子郵件感染病毒，電力系統(tǒng)管理網(wǎng)絡(luò)互聯(lián)接口的防火墻只配置了包過濾規(guī)則，提供的安全保證很低，容易受到基于IP欺騙的攻擊，泄露企業(yè)機(jī)密，有些局域網(wǎng)沒有進(jìn)行虛擬網(wǎng)絡(luò)VLAN劃分和管理，造成網(wǎng)絡(luò)阻塞，使工作效率減低；絕大多數(shù)操作系統(tǒng)是非正版軟件，或網(wǎng)上下載免費(fèi)軟件，不能夠做到及時補(bǔ)丁(PATCH)系統(tǒng)，造成系統(tǒng)漏洞，給攻擊者留下木馬后門；絕大多數(shù)工作站沒有關(guān)閉不必要的通訊端口，使得計算機(jī)易受遠(yuǎn)程攻擊病毒可以長驅(qū)直入，等等。

3.應(yīng)對策略

3.1做好電力系統(tǒng)安全風(fēng)險的評估

進(jìn)行電力系統(tǒng)的安全性建設(shè)，首先必須做好安全狀況評估分析，評估應(yīng)聘請專業(yè)權(quán)威的信息安全咨詢機(jī)構(gòu)，并組織企業(yè)內(nèi)部信息人員和專業(yè)人員深度參與，全面進(jìn)行信息安全風(fēng)險評估，找出問題，確定需求，制定策略，再來實(shí)施，實(shí)施完成后還要定期評估和改進(jìn)。信息安全系統(tǒng)建設(shè)著重點(diǎn)在安全和穩(wěn)定，應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品，不能過分求全求新。培養(yǎng)信息安全專門人才和加強(qiáng)信息安全管理工作必須與電力系統(tǒng)信息安全防護(hù)系統(tǒng)建設(shè)同步進(jìn)行，才能真正發(fā)揮電力系統(tǒng)的信息安全防護(hù)系統(tǒng)和設(shè)備的作用。

3.2采用信息安全新技術(shù)，建立信息安全防護(hù)體系

企業(yè)電力系統(tǒng)信息安全面臨的問題很多，我們可以根據(jù)安全需求的輕重緩急，解決相關(guān)安全問題的信息安全技術(shù)的成熟度綜合考慮，分步實(shí)施。技術(shù)成熟的，能快速見效的電力安全系統(tǒng)先實(shí)施。

3.3防病毒

防病毒分為單機(jī)和網(wǎng)絡(luò)兩種。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)病毒的危害越來越大，因此，必須將電力系統(tǒng)內(nèi)各臺計算機(jī)加裝殺毒軟件，并且要及時更新殺毒軟的版本,使用單機(jī)和網(wǎng)絡(luò)防毒結(jié)合的防毒體系。單機(jī)防毒程序安裝在工作站上，保護(hù)工作站免受病毒侵?jǐn)_。主機(jī)防護(hù)程序安裝在主機(jī)上。群件防毒程序安裝在群件服務(wù)器中。防病毒墻安裝在網(wǎng)關(guān)處，對出入網(wǎng)關(guān)的數(shù)據(jù)包進(jìn)行檢查，及時發(fā)現(xiàn)并殺死企圖進(jìn)入內(nèi)網(wǎng)的網(wǎng)絡(luò)病毒。防毒控管中心安裝在某臺網(wǎng)絡(luò)的機(jī)器上，主要用以監(jiān)控整個網(wǎng)絡(luò)的病毒情況，由于網(wǎng)絡(luò)中多臺機(jī)器安裝了防病毒程序，每臺機(jī)器都要進(jìn)行定期升級，比較麻煩，防毒控管中心可以主動升級，并把電力系統(tǒng)升級包通過網(wǎng)絡(luò)分發(fā)給各個機(jī)器，完成整個網(wǎng)絡(luò)的升級。

3.4進(jìn)行黑客防范配置，合理地使用防火墻

通過信息檢測、攻擊檢測、網(wǎng)絡(luò)安全性分析和操作系統(tǒng)安全性分析等一系列配置，對黑客進(jìn)行監(jiān)控。防火墻可以阻斷非法的數(shù)據(jù)包，屏蔽針對網(wǎng)絡(luò)的非法攻擊，阻斷黑客人侵。一般情況下，防火墻設(shè)置會導(dǎo)致信息傳輸?shù)拿黠@延時，因此，在需要考慮實(shí)時性要求的電力系統(tǒng)，建議采用實(shí)時系統(tǒng)專用的防火墻組件，以降低電力系統(tǒng)通用防火墻軟件延時帶來的影響。

3.5監(jiān)視網(wǎng)絡(luò)流量和進(jìn)行非授權(quán)使用檢測

通過對網(wǎng)絡(luò)流量采樣，來實(shí)時地監(jiān)視網(wǎng)絡(luò)流量和進(jìn)行非授權(quán)使用檢測。同時，可以通過封鎖網(wǎng)絡(luò)訪問或終止非法對話來主動響應(yīng)非法活動。

3.6物理線路上的隔離

電力系統(tǒng)重要網(wǎng)絡(luò)采用物理隔離的方法保證安全。物理隔離是在物理線路上進(jìn)行隔離，是一種最安全的防護(hù)技術(shù)。大體可分成單機(jī)物理隔離、隔離集線器和網(wǎng)際物理隔離三類。單機(jī)物理隔離：分為內(nèi)置隔離卡和外置隔離器。隔離卡安裝在機(jī)器內(nèi)部，安裝和使用比較麻煩，切換內(nèi)外網(wǎng)時需要重新啟動，但安全性最高。隔離卡又分為單硬盤物理隔離卡和雙硬盤物理隔離卡。隔離器是外置設(shè)備，安裝很簡單，使用起來十分方便，缺點(diǎn)是安全性不如隔離卡高。電力系統(tǒng)隔離集線器不需要改變布線結(jié)構(gòu)，單網(wǎng)線到桌面?？梢酝瑫r接入多個工作站，使用方便。網(wǎng)際物理隔離：電力系統(tǒng)物理隔離器可以完成外網(wǎng)信息的搜集、轉(zhuǎn)發(fā)和內(nèi)網(wǎng)三個工作環(huán)節(jié)，在轉(zhuǎn)發(fā)的過程中需要重新啟動隔離傳送器。適合實(shí)時性要求不高的部門的外網(wǎng)接口處。

篇3

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長，用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對電信運(yùn)營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險評估和加固的實(shí)踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險、弱點(diǎn)、評估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說信息安全應(yīng)該理解為一個動態(tài)的管理過程，通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。

信息安全管理的本質(zhì)，可以看作是動態(tài)地對信息安全風(fēng)險的管理，即要實(shí)現(xiàn)對信息和信息系統(tǒng)的風(fēng)險進(jìn)行有效管理和控制。標(biāo)準(zhǔn)ISO15408－1（信息安全風(fēng)險管理和評估規(guī)則），給出了一個非常經(jīng)典的信息安全風(fēng)險管理模型，如下圖一所示：

圖一信息安全風(fēng)險管理模型

既然信息安全是一個管理過程，則對PDCA模型有適用性，結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT（計劃－實(shí)施與部署－監(jiān)控與評估－維護(hù)和改進(jìn)）的循環(huán)過程。

圖二信息安全體系的“PDCA”管理模型

2建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實(shí)際情況，建設(shè)適合于自身的ISMS信息安全管理體系，ISMS的構(gòu)建包含以下主要步驟：

（1）確定ISMS的范疇和安全邊界

（2）在范疇內(nèi)定義信息安全策略、方針和指南

（3）對范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險評估

a)Planning（規(guī)劃）

b)InformationGathering（信息搜集）

c)RiskAnalysis（風(fēng)險分析）

uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評估)

uThreatAnalysis（威脅分析）

uVulnerabilityAnalysis（弱點(diǎn)分析）

u資產(chǎn)/威脅/弱點(diǎn)的映射表

uImpact&LikelihoodAssessment（影響和可能性評估）

uRiskResultAnalysis（風(fēng)險結(jié)果分析）

d)Identifying&SelectingSafeguards（鑒別和選擇防護(hù)措施）

e)Monitoring&Implementation（監(jiān)控和實(shí)施）

f)Effectestimation（效果檢查與評估）

（4）實(shí)施和運(yùn)營初步的ISMS體系

（5）對ISMS運(yùn)營的過程和效果進(jìn)行監(jiān)控

（6）在運(yùn)營中對ISMS進(jìn)行不斷優(yōu)化

3IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理主要實(shí)踐步驟

目前，寬帶IP網(wǎng)絡(luò)所接入的客戶對網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來越高，且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運(yùn)營者意識到有必要對IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理，以使得能夠動態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險。

由于網(wǎng)絡(luò)運(yùn)營者目前對于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗(yàn)和人才隊伍，所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類咨詢項目一般按照以下幾個階段，進(jìn)行項目實(shí)踐：

3.1項目準(zhǔn)備階段。

a)主要搜集和分析與項目相關(guān)的背景信息；

b)和客戶溝通并明確項目范圍、目標(biāo)與藍(lán)圖；

c)建議并明確項目成員組成和分工；

d)對項目約束條件和風(fēng)險進(jìn)行聲明；

e)對客戶領(lǐng)導(dǎo)和項目成員進(jìn)行意識、知識或工具培訓(xùn)；

f)匯報項目進(jìn)度計劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。

3.2項目執(zhí)行階段。

a)在項目范圍內(nèi)進(jìn)行安全域劃分；

b)分安全域進(jìn)行資料搜集和訪談，包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫配置信息、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過的安全事件信息等；

c)在各個安全域進(jìn)行資產(chǎn)鑒別、價值分析、威脅分析、弱點(diǎn)分析、可能性分析和影響分析，形成資產(chǎn)表、威脅評估表、風(fēng)險評估表和風(fēng)險關(guān)系映射表；

d)對存在的主要風(fēng)險進(jìn)行風(fēng)險等級綜合評價，并按照重要次序，給出相應(yīng)的防護(hù)措施選擇和風(fēng)險處置建議。

3.3項目總結(jié)階段

a)項目中產(chǎn)生的策略、指南等文檔進(jìn)行審核和批準(zhǔn)；

b)對項目資產(chǎn)鑒別報告、風(fēng)險分析報告進(jìn)行審核和批準(zhǔn)；

c)對需要進(jìn)行的相關(guān)風(fēng)險處置建議進(jìn)行項目安排；

4IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理實(shí)踐要點(diǎn)分析

運(yùn)營商IP寬帶網(wǎng)絡(luò)和常見的針對以主機(jī)為核心的IT系統(tǒng)的安全風(fēng)險管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險管理的方法和資料。在項目執(zhí)行的不同階段，需要特別注意以下要點(diǎn)：

4.1安全目標(biāo)

充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量。

4.2項目范疇

應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng)：如網(wǎng)管系統(tǒng)、AAA平臺、DNS等。

4.3項目成員

應(yīng)該得到運(yùn)營商高層領(lǐng)導(dǎo)的明確支持，項目組長應(yīng)該具備管理大型安全咨詢項目經(jīng)驗(yàn)的人承擔(dān)，且項目成員除了包含一些專業(yè)安全評估人員之外，還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護(hù)”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員。

4.4背景信息搜集：

背景信息搜集之前，應(yīng)該對信息搜集對象進(jìn)行分組，即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含：

a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)

b)城域網(wǎng)結(jié)構(gòu)和配置

c)接入網(wǎng)結(jié)構(gòu)和配置

d)AAA平臺系統(tǒng)結(jié)構(gòu)和配置

e)DNS系統(tǒng)結(jié)構(gòu)和配置

f)相關(guān)主機(jī)和設(shè)備的軟硬件信息

g)相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口

h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲和安全需求信息

i)已有的安全事故記錄

j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施

k)相關(guān)機(jī)房的物理環(huán)境信息

l)已有的安全管理策略、規(guī)定和指南

m)其它相關(guān)

4.5資產(chǎn)鑒別

資產(chǎn)鑒別應(yīng)該自頂向下進(jìn)行鑒別，必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺、DNS平臺、網(wǎng)管系統(tǒng)等一級資產(chǎn)組；然后可以在一級資產(chǎn)組內(nèi)，按照功能或地域進(jìn)行劃分二級資產(chǎn)組，如AAA平臺一級資產(chǎn)組可以劃分為RADIUS組、DB組、計費(fèi)組、網(wǎng)絡(luò)通信設(shè)備組等二級資產(chǎn)組；進(jìn)一步可以針對各個二級資產(chǎn)組的每個設(shè)備進(jìn)行更為細(xì)致的資產(chǎn)鑒別，鑒別其設(shè)備類型、地址配置、軟硬件配置等信息。

4.6威脅分析

威脅分析應(yīng)該具有針對性，即按照不同的資產(chǎn)組進(jìn)行針對性威脅分析。如針對IP城域網(wǎng)，其主要風(fēng)險可能是：蠕蟲、P2P、路由攻擊、路由設(shè)備入侵等；而對于DNS或AAA平臺，其主要風(fēng)險可能包括：主機(jī)病毒、后門程序、應(yīng)用服務(wù)的DOS攻擊、主機(jī)入侵、數(shù)據(jù)庫攻擊、DNS釣魚等。

4.7威脅影響分析

是指對不同威脅其可能造成的危害進(jìn)行評定，作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運(yùn)營商意見，尤其要充分考慮威脅發(fā)生后可能造成的社會影響和信譽(yù)影響。

4.8威脅可能性分析

是指某種威脅可能發(fā)生的概率，其發(fā)生概率評定非常困難，所以一般情況下都應(yīng)該采用定性的分析方法，制定出一套評價規(guī)則，主要由運(yùn)營商管理人員按照規(guī)則進(jìn)行評價。

篇4

隨著企業(yè)的生產(chǎn)指揮,經(jīng)營管理等經(jīng)營活動越來越依賴于計算機(jī)信息系統(tǒng),如果這些系統(tǒng)遭到破壞,造成數(shù)據(jù)損壞,信息泄漏,不能提供服務(wù)等問題,則將對電網(wǎng)的安全運(yùn)行,電力企業(yè)的生產(chǎn)管理以及經(jīng)濟(jì)效益等造成不可估量的損失,高技術(shù)在帶來便利與效率的同時,也帶來了新的安全風(fēng)險和問題。

1、電力公司信息安全的主要風(fēng)險分析

信息安全風(fēng)險和信息化應(yīng)用情況密切相關(guān),和采用的信息技術(shù)也密切相關(guān),電力公司信息系統(tǒng)面臨的主要風(fēng)險存在于如下幾個方面:

（1）計算機(jī)病毒的威脅最為廣泛：計算機(jī)病毒自產(chǎn)生以來,一直就是計算機(jī)系統(tǒng)的頭號敵人,在電力企業(yè)信息安全問題中,計算機(jī)病毒發(fā)生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡(luò)通信阻塞,系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞,系統(tǒng)無法提供服務(wù)甚至破壞后無法恢復(fù),特別是系統(tǒng)中多年積累的重要數(shù)據(jù)的丟失,損失是災(zāi)難性的。

在目前的局域網(wǎng)建成,廣域網(wǎng)聯(lián)通的條件下,計算機(jī)病毒的傳播更加迅速,一臺計算機(jī)感染病毒,在兩三天內(nèi)可以感染到區(qū)域內(nèi)所有單位的計算機(jī)系統(tǒng)。病毒傳播速度,感染和破壞規(guī)模與網(wǎng)絡(luò)尚未聯(lián)通之時相比,高出幾個數(shù)量級。

（2）網(wǎng)絡(luò)安全問題日益突出：企業(yè)網(wǎng)絡(luò)的聯(lián)通為信息傳遞提供了方便的途徑。企業(yè)有許多應(yīng)用系統(tǒng)如:辦公自動化系統(tǒng),用電營銷系統(tǒng),遠(yuǎn)程教育培訓(xùn)系統(tǒng)等,通過廣域網(wǎng)傳遞數(shù)據(jù)。企業(yè)開通了互聯(lián)網(wǎng)專線寬帶上網(wǎng),企業(yè)內(nèi)部職工可以通過互聯(lián)網(wǎng)方便地收集獲取信息,發(fā)送電子郵件等。

網(wǎng)絡(luò)聯(lián)通也帶來了網(wǎng)絡(luò)安全問題。企業(yè)內(nèi)部廣域網(wǎng)上的用戶數(shù)量多且難于進(jìn)行管理,互聯(lián)網(wǎng)更是連接到國際上的各個地方,什么樣的用戶都有。內(nèi)部網(wǎng),互聯(lián)網(wǎng)上的一些用戶出于好奇的心理,或者蓄意破壞的動機(jī),對電力公司網(wǎng)絡(luò)上的連接的計算機(jī)系統(tǒng)和設(shè)備進(jìn)行入侵,攻擊等,影響網(wǎng)絡(luò)上信息的傳輸,破壞軟件系統(tǒng)和數(shù)據(jù),盜取企業(yè)商業(yè)秘密和機(jī)密信息,非法使用網(wǎng)絡(luò)資源等,給企業(yè)造成巨大的損失。更有極少數(shù)人利用網(wǎng)絡(luò)進(jìn)行非法的,影響國家安定團(tuán)結(jié)的活動,造成很壞的影響。

如何加強(qiáng)網(wǎng)絡(luò)的安全防護(hù),保護(hù)企業(yè)內(nèi)部網(wǎng)上的信息系統(tǒng)和信息資源的安全,保證對信息網(wǎng)絡(luò)的合法使用,是目前一個熱門的安全課題,也是電力企業(yè)面臨的一個非常突出的安全問題。

（3）信息傳遞的安全不容忽視：隨著辦公自動化,財務(wù)管理系統(tǒng),用電營銷系統(tǒng)等生產(chǎn),經(jīng)營方面的重要系統(tǒng)投入在線運(yùn)行,越來越多的重要數(shù)據(jù)和機(jī)密信息都通過企業(yè)的內(nèi)部廣域網(wǎng)來傳輸。同時電力公司和外部的政府,研究院所,以及國外有關(guān)公司都有著許多的工作聯(lián)系,日常許多信息,數(shù)據(jù)都需要通過互聯(lián)網(wǎng)來傳輸。

網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種安全風(fēng)險,例如被非法用戶截取從而泄露企業(yè)機(jī)密;被非法篡改,造成數(shù)據(jù)混亂,信息錯誤從而造成工作失誤。非法用戶還有可能假冒合法身份,發(fā)送虛假信息,給正常的生產(chǎn)經(jīng)營秩序帶來混亂,造成破壞和損失。因此,信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。

（4）用戶身份認(rèn)證和信息系統(tǒng)的訪問控制急需加強(qiáng)：企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用,信息系統(tǒng)中包含的信息和數(shù)據(jù),也只對一定范圍的用戶開放,沒有得到授權(quán)的用戶不能訪問。為此各個信息系統(tǒng)中都設(shè)計了用戶管理功能,在系統(tǒng)中建立用戶,設(shè)置權(quán)限,管理和控制用戶對信息系統(tǒng)的訪問。這些措施在一定能夠程度上加強(qiáng)系統(tǒng)的安全性。但在實(shí)際應(yīng)用中仍然存在一些問題。

一是部分應(yīng)用系統(tǒng)的用戶權(quán)限管理功能過于簡單,不能靈活實(shí)現(xiàn)更細(xì)的權(quán)限控制,甚至簡單到要么都能看,要么都不能看。二是各應(yīng)用系統(tǒng)沒有一個統(tǒng)一的用戶管理,企業(yè)的一個員工要使用到好幾個系統(tǒng)時,在每個應(yīng)用系統(tǒng)中都要建立用戶賬號,口令和設(shè)置權(quán)限,用戶自己都記不住眾多的賬號和口令,使用起來非常不方便,更不用說賬號的有效管理和安全了。

如何為各應(yīng)用系統(tǒng)提供統(tǒng)一的用戶管理和身份認(rèn)證服務(wù),是我們開發(fā)建設(shè)應(yīng)用系統(tǒng)時必須考慮的一個共性的安全問題。

（5）實(shí)時控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全至關(guān)重要：電網(wǎng)的調(diào)度指揮,自動控制,微機(jī)保護(hù)等領(lǐng)域的計算機(jī)應(yīng)用在電力企業(yè)中起步早,應(yīng)用水平高,不但實(shí)現(xiàn)了對電網(wǎng)運(yùn)行狀況的實(shí)時監(jiān)視,還實(shí)現(xiàn)了對電網(wǎng)一次設(shè)備的遙控,遙調(diào)以及保護(hù)設(shè)備的遠(yuǎn)方管理。隨著數(shù)據(jù)網(wǎng)的建設(shè)和應(yīng)用,這些電網(wǎng)監(jiān)視和控制方面的系統(tǒng)逐步從采用專線通道傳輸數(shù)據(jù)轉(zhuǎn)移到通過數(shù)據(jù)網(wǎng)絡(luò)來傳送數(shù)據(jù)和下發(fā)控制指控令。由于這些計算機(jī)系統(tǒng)可以直接管理和操作控制電網(wǎng)一次設(shè)備,系統(tǒng)的安全可靠,數(shù)據(jù)網(wǎng)的安全可靠,信息指令傳輸?shù)膶?shí)時性等直接關(guān)系著電網(wǎng)的安全,其安全等級要求高于一般的廣域網(wǎng)系統(tǒng)。

同時,這些電網(wǎng)控制和監(jiān)視系統(tǒng)中的許多信息又是生產(chǎn)指揮,管理決策必不可少的,需要通過和生產(chǎn)管理局域網(wǎng)互聯(lián),將數(shù)據(jù)傳送生產(chǎn)管理信息系統(tǒng)中,供各級領(lǐng)導(dǎo)和各專業(yè)管理人員察看,使用。數(shù)據(jù)網(wǎng)和生產(chǎn)管理局域網(wǎng)的互聯(lián)帶來了不同安全等級的網(wǎng)絡(luò)互連的安全問題。

（6）電子商務(wù)的安全逐步提上議事日程：隨著計算機(jī)信息系統(tǒng)在電力市場,用電營銷,財務(wù)管理等業(yè)務(wù)中的深入應(yīng)用,電子商務(wù)在電力企業(yè)的應(yīng)用開始起步。例如:電力市場系統(tǒng)中發(fā)電廠和電網(wǎng)公司之間的報價,電力交易,電費(fèi)結(jié)算等都將通過計算機(jī)信息系統(tǒng)來實(shí)現(xiàn)和完成,這可以視為電子商務(wù)中常提到的B2B模式。用電營銷系統(tǒng)中的電費(fèi)計費(fèi)結(jié)算,用戶買電交費(fèi),銀電聯(lián)網(wǎng)代收電費(fèi)等,是典型的電力公司和用戶之間的電子交易,可以視為電子商務(wù)中的B2C模式;以后還有物資采購等方面的電子商務(wù)系統(tǒng)。

隨著電子商務(wù)在電力企業(yè)中的應(yīng)用逐步推廣和深入,如何保障電子交易的安全,可靠,即電子商務(wù)安全問題也會越來越突出。

二、解決信息安全問題的基本原則

統(tǒng)籌規(guī)劃,分步實(shí)施。要建立完整的信息安全防護(hù)體系,絕不能一哄而上,必須分清需求的輕重緩急,根據(jù)信息化建設(shè)的發(fā)展,結(jié)合信息系統(tǒng)建設(shè)和應(yīng)用的步伐,統(tǒng)一規(guī)劃,分步建設(shè),逐步投資。

1、做好安全風(fēng)險的評估。進(jìn)行安全系統(tǒng)的建設(shè),首先必須做好安全狀況評估分析,評估應(yīng)聘請專業(yè)信息安全咨詢公司,并組織企業(yè)內(nèi)部信息人員和專業(yè)人員深度參與,全面進(jìn)行信息安全風(fēng)險評估,找出問題,確定需求,制定策略,再來實(shí)施,實(shí)施完成后還要定期評估和改進(jìn)。

信息安全系統(tǒng)建設(shè)著重點(diǎn)在安全和穩(wěn)定,應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品,不能過分求全求新。

培養(yǎng)信息安全專門人才和加強(qiáng)信息安全管理工作必須與信息安全防護(hù)系統(tǒng)建設(shè)同步進(jìn)行,才能真正發(fā)揮信息安全防護(hù)系統(tǒng)和設(shè)備的作用。

2、采用信息安全新技術(shù),建立信息安全防護(hù)體系

企業(yè)信息安全面臨的問題很多,我們可以根據(jù)安全需求的輕重緩急,解決相關(guān)安全問題的信息安全技術(shù)的成熟度綜合考慮,分步實(shí)施。技術(shù)成熟的,能快速見效的安全系統(tǒng)先實(shí)施

3、計算機(jī)防病毒系統(tǒng)

計算機(jī)防病毒系統(tǒng)是發(fā)展時間最長的信息安全技術(shù),從硬件防病毒卡,單機(jī)版防病毒軟件到網(wǎng)絡(luò)版防病毒軟件,到企業(yè)版防病毒軟件,技術(shù)成熟且應(yīng)用效果非常明顯。防病毒軟件系統(tǒng)的應(yīng)用基本上可以防治絕大多數(shù)計算機(jī)病毒,保障信息系統(tǒng)的安全。

在目前的網(wǎng)絡(luò)環(huán)境下,能夠提供集中管理,服務(wù)器自動升級,客戶端病毒定義碼自動更新,支持多種操作系統(tǒng)平臺,多種應(yīng)用平臺殺毒的企業(yè)版殺毒軟件,是電網(wǎng)公司這樣的大型企業(yè)的首選。個人版本的殺毒軟件適合家庭,小規(guī)模用戶。

4、網(wǎng)絡(luò)安全防護(hù)系統(tǒng)

信息資源訪問的安全是信息安全的一個重要內(nèi)容,在信息系統(tǒng)建設(shè)的設(shè)計階段,就必須仔細(xì)分析,設(shè)計出合理的,靈活的用戶管理和權(quán)限控制機(jī)制,明確信息資源的訪問范圍,制定信息資源訪問策略。

對于已經(jīng)投入使用的信息系統(tǒng),可以通過采用增加安全訪問網(wǎng)關(guān)的方法,來增強(qiáng)原有系統(tǒng)的用戶管理和對信息資源訪問的控制,以及實(shí)現(xiàn)單點(diǎn)登陸訪問任意系統(tǒng)等功能。這種方式基本上不需要改動原來的系統(tǒng),實(shí)施的技術(shù)難度相對小一些。對于新建系統(tǒng),則最好采用統(tǒng)一身份認(rèn)證平臺技術(shù),來實(shí)現(xiàn)不同系統(tǒng)通過同一個用戶管理平臺實(shí)現(xiàn)用戶管理和訪問控制。

5、開展信息安全專題研究,為將來的應(yīng)用做好準(zhǔn)備

電網(wǎng)實(shí)時監(jiān)視與控制系統(tǒng)的安全問題要求更高,技術(shù)難度更大,應(yīng)開展專題研究。

國家有關(guān)部門和電力企業(yè)對電網(wǎng)實(shí)時監(jiān)視與控制系統(tǒng)的安全問題高度重視,專門發(fā)文要求確保電網(wǎng)二次系統(tǒng)的計算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全,要實(shí)現(xiàn)調(diào)度控制系統(tǒng),數(shù)據(jù)網(wǎng)與其他生產(chǎn)管理系統(tǒng)和網(wǎng)絡(luò)的有效隔離,甚至是物理隔離。

6、電子商務(wù)安全需要深入研究和逐步應(yīng)用

電子商務(wù)的安全牽涉很多方面,包括嚴(yán)格,安全的身份的認(rèn)證技術(shù),對涉及商業(yè)機(jī)密的信息實(shí)現(xiàn)加密傳輸,采取數(shù)字簽名技術(shù)保證合同和交易的完整性及不可否認(rèn)性等。這些方面又與信息安全基礎(chǔ)技術(shù)平臺密切相關(guān),因此安全基礎(chǔ)平臺的建設(shè)對于電子商務(wù)的安全應(yīng)用是至關(guān)重要的。目前已經(jīng)有電子商務(wù)的應(yīng)用系統(tǒng)投入在線使用,我們必須加快對電子商務(wù)的安全的研究和應(yīng)用,否則將來會出現(xiàn)因電子在線交易不安全,不可靠的而導(dǎo)致電子商務(wù)系統(tǒng)無人敢用的局面。

7、依據(jù)法規(guī),遵循標(biāo)準(zhǔn),提高安全管理水平

信息安全的管理包括了法律法規(guī)的規(guī)定,責(zé)任的分化,策略的規(guī)劃,政策的制訂,流程的制作,操作的審議等等。雖然信息安全"七分管理,三分技術(shù)"的說法不是很精確,但管理的作用可見一斑。

三、解決信息安全問題的思路與對策

電力企業(yè)的信息安全管理相對來說還是一個較新的話題,國內(nèi)其他電力企業(yè)也在積極研究和探討,以下是一些粗淺的看法。

1、依據(jù)國家法律,法規(guī),建立企業(yè)信息安全管理制度

國家在信息安全方面了一系列的法律法規(guī)和技術(shù)標(biāo)準(zhǔn),對信息網(wǎng)絡(luò)安全進(jìn)行了明確的規(guī)定，并有專門的部門負(fù)責(zé)信息安全的管理和執(zhí)法。企業(yè)首先必須遵守國家的這些法律法規(guī)和技術(shù)標(biāo)準(zhǔn),企業(yè)也必須依據(jù)這些法律法規(guī),來建立自己的管理標(biāo)準(zhǔn),技術(shù)體系,指導(dǎo)信息安全工作。學(xué)習(xí)信息安全管理國際標(biāo)準(zhǔn),提升企業(yè)信息安全管理水平

國際上的信息技術(shù)發(fā)展和應(yīng)用比我們先進(jìn),在信息安全領(lǐng)域的研究起步比我們更早,取得了很多的成果和經(jīng)驗(yàn),我們可以充分利用國際標(biāo)準(zhǔn)來指導(dǎo)我們的工作,提高水平,少走彎路。

信息安全是企業(yè)信息化工作中一項重要而且長期的工作,為此必須各單位建立一個信息安全工作的組織體系和常設(shè)機(jī)構(gòu),明確領(lǐng)導(dǎo),設(shè)立專責(zé)人長期負(fù)責(zé)信息安全的管理工作和技術(shù)工作,長能保證信息安全工作長期的,有效的開展,才能取得好的成績。

2、開展全員信息安全教育和培訓(xùn)活動

安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容,信息安全不僅僅是信息部門的事,它牽涉到企業(yè)所有的員工,為了保證安全的成功和有效,應(yīng)當(dāng)對企業(yè)各級管理人員,用戶,技術(shù)人員進(jìn)行安全培訓(xùn),減少人為差錯,失誤造成的安全風(fēng)險。

開展安全教育和培訓(xùn)還應(yīng)該注意安全知識的層次性,主管信息安全工作的負(fù)責(zé)人或各級管理人員,重點(diǎn)是了解,掌握企業(yè)信息安全的整體策略及目標(biāo),信息安全體系的構(gòu)成,安全管理部門的建立和管理制度的制定等;負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員,重點(diǎn)是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護(hù)技術(shù)的合理運(yùn)用等;用戶,重點(diǎn)是學(xué)習(xí)各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應(yīng)該承擔(dān)的安全職責(zé)等。

3、充分利用企業(yè)網(wǎng)絡(luò)條件,提供全面,及時和快捷的信息安全服務(wù)

山東省電力公司廣域網(wǎng)聯(lián)通了系統(tǒng)內(nèi)的各個二級單位,各單位的局域網(wǎng)全部建成,在這種良好的網(wǎng)絡(luò)條件下,作為省公司一級的信息安全技術(shù)管理部門應(yīng)建立計算機(jī)網(wǎng)絡(luò)應(yīng)急處理的信息與技術(shù)支持平臺,安全公告,安全法規(guī)和技術(shù)標(biāo)準(zhǔn),提供安全軟件下載,搜集安全問題,解答用戶疑問,提供在線的信息安全教育培訓(xùn),并為用戶提供一個相互交流經(jīng)驗(yàn)的場所。網(wǎng)絡(luò)方式的信息服務(wù)突破了時間,空間和地域的限制,是信息安全管理和服務(wù)的重要方式。

4、在發(fā)展中求安全

沒有百分之百安全的技術(shù)和防護(hù)系統(tǒng)黑客技術(shù),計算機(jī)病毒等信息安全攻擊技術(shù)在不斷發(fā)展的,人們對它們的認(rèn)識,掌握也不是完全的,安全防護(hù)軟件系統(tǒng)由于技術(shù)復(fù)雜,在研制開發(fā)過程中不可避免的會出現(xiàn)這樣或者那樣的問題,這勢必決定了安全防護(hù)系統(tǒng)和設(shè)備不可能百分百的防御各種已知的,未知的信息安全威脅。

不是所有的信息安全問題可以一次解決

人們對信息安全問題的認(rèn)識是隨著技術(shù)和應(yīng)用的發(fā)展而逐步提高的,不可能一次就發(fā)現(xiàn)所有的安全問題。信息安全生產(chǎn)廠家所生產(chǎn)的系統(tǒng)和設(shè)備,也僅僅是滿足某一些方面的安全需求,不是企業(yè)有某一方面的信息安全需求,市場上就有對應(yīng)的成熟產(chǎn)品,因此不是所有的安全問題都可以找到有效的解決方案。

5、解決信息安全問題不可能一勞永逸

企業(yè)的信息化應(yīng)用是隨著企業(yè)的發(fā)展而不斷發(fā)展的,信息技術(shù)更是日新月異的發(fā)展的,安全的需求也是逐步變化的,新的安全問題也不斷產(chǎn)生,原來建設(shè)的防護(hù)系統(tǒng)可能不滿足新形勢下的安全需求,這些都決定了信息安全是一個動態(tài)過程,需要定期對信息網(wǎng)絡(luò)安全狀況進(jìn)行評估,改進(jìn)安全方案,調(diào)整安全策略。信息安全是一個伴隨著企業(yè)信息化應(yīng)用發(fā)展而發(fā)展的永恒課題。

篇5

電力系統(tǒng)中利用計算機(jī)網(wǎng)絡(luò)技術(shù)，有效的擴(kuò)大了管理的范圍，提高了工作效率，但隨之而來所帶來的安全問題也日益嚴(yán)重。由于病毒技術(shù)的快速發(fā)展，防火墻的完善，使電力系統(tǒng)網(wǎng)絡(luò)極易受到攻擊，導(dǎo)致企業(yè)機(jī)密出現(xiàn)泄露。特別是部分電力企業(yè)中局域網(wǎng)極易出現(xiàn)堵塞現(xiàn)象，從而導(dǎo)致工作效率降低，再加之操作系統(tǒng)漏洞及上網(wǎng)管理不嚴(yán)，極易給攻擊者留下后患，各類遠(yuǎn)程攻擊及病毒入侵時常發(fā)生。

2計算機(jī)網(wǎng)絡(luò)在電力系統(tǒng)的應(yīng)用意義

電力系統(tǒng)計算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用，為企業(yè)管理人員帶來了較大的便利。企業(yè)管理者只需要在本部就可實(shí)現(xiàn)對各地項目部財務(wù)、工程進(jìn)度及工程質(zhì)量等信息的了解，及時獲取各地項目部的資料，與其他管理人員通過網(wǎng)絡(luò)對項目問題進(jìn)行分析和決策。同時計算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用，對當(dāng)前電網(wǎng)建設(shè)發(fā)揮著極為關(guān)鍵的作用，其可以利用計算機(jī)網(wǎng)絡(luò)將各地電網(wǎng)設(shè)施進(jìn)行連接，使其成為一個整體，而且還可以將各地分散的員工有效的連接成為一個整體，為管理帶來了較大的便利。這樣管理范圍進(jìn)一步縮小，利用計算機(jī)網(wǎng)絡(luò)這個平臺，可以有效的將企業(yè)與員工有效的聯(lián)系起來，充分的調(diào)動起每一位員的工作積極性，使企業(yè)管理者也可以通過這個平臺更好的了解員工的基本情況，科學(xué)合理的做出更項重要決策。可以說在電力企業(yè)發(fā)展過程中，計算機(jī)網(wǎng)絡(luò)技術(shù)作為其現(xiàn)代化管理的重要手段之一，成為企業(yè)發(fā)展的重要幫手。

3電力系統(tǒng)信息安全防護(hù)應(yīng)對策略

3.1做好電力系統(tǒng)安全風(fēng)險的評估在當(dāng)前電力企業(yè)信息化建設(shè)過程中，為了更好的發(fā)揮出計算機(jī)網(wǎng)絡(luò)技術(shù)的優(yōu)勢，則需要做好安全狀況評估工作，聘請權(quán)威信息安全咨詢機(jī)構(gòu)，同時組織企業(yè)內(nèi)部信息人員和專業(yè)人員參與，從而對企業(yè)信息安全風(fēng)險進(jìn)行全面的評估，及時發(fā)現(xiàn)企業(yè)信息化建設(shè)過程中存在的問題，并制定科學(xué)合理的策略，建立健全企業(yè)信息安全系統(tǒng)，在企業(yè)信息化建設(shè)過程中盡量應(yīng)用已成成熟的技術(shù)和產(chǎn)品，確保信息安全系統(tǒng)的安全和穩(wěn)定。

3.2采用信息安全新技術(shù)，建立信息安全防護(hù)體系電力系統(tǒng)企業(yè)信息安全面臨的問題很多，應(yīng)該根據(jù)安全需求的輕重緩急，解決相關(guān)安全問題，根據(jù)信息安全技術(shù)的成熟度進(jìn)行綜合分析判斷，采取分步實(shí)施。技術(shù)成熟的，能快速見效的電力安全系統(tǒng)先行實(shí)施。

3.3計算機(jī)病毒防范目前防病毒軟件主要分為單機(jī)版和網(wǎng)絡(luò)版兩種。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)病毒的危害越來越大，因此，必須將電力系統(tǒng)內(nèi)各臺計算機(jī)加裝防病毒軟件，并且要及時更新防病毒軟件的病毒庫版本，建議采用單機(jī)版、網(wǎng)絡(luò)版防病毒軟件及其他防護(hù)手段相結(jié)合的綜合病毒防范體系。

3.4優(yōu)化安全設(shè)備配置策略通過信息檢測、攻擊檢測、網(wǎng)絡(luò)安全性分析和操作系統(tǒng)安全性分析等一系列配置，對黑客進(jìn)行監(jiān)控。利用防火墻可以阻斷非法的數(shù)據(jù)包，屏蔽針對網(wǎng)絡(luò)的非法攻擊，阻斷黑客入侵。一般情況下，防火墻設(shè)置會導(dǎo)致信息傳輸?shù)拿黠@延時。因此，在需要考慮實(shí)時性要求的電力系統(tǒng)，建議采用實(shí)時系統(tǒng)專用的防火墻組件，以降低電力系統(tǒng)通用防火墻軟件延時帶來的影響。

3.5監(jiān)視網(wǎng)絡(luò)流量和進(jìn)行非授權(quán)使用檢測通過對網(wǎng)絡(luò)流量采樣．來實(shí)時地監(jiān)視網(wǎng)絡(luò)流量和進(jìn)行非授權(quán)使用檢測。同時，可以通過封鎖網(wǎng)絡(luò)訪問或終止非法對話來主動響應(yīng)非法活動。

4電力系統(tǒng)計算機(jī)網(wǎng)絡(luò)的維護(hù)

4.1維護(hù)工作內(nèi)容一是保證設(shè)備工作條件，包括供電條件和環(huán)境條件等；二是對系統(tǒng)故障進(jìn)行判斷和處理，根據(jù)故障現(xiàn)象和告警指示，利用網(wǎng)管及各種測試工具進(jìn)行故障定位，找出故障原因，在最短時間內(nèi)排除故障；三是通常采用集中維護(hù)方式，將維護(hù)人員和必要的維護(hù)儀表集中在一個主要站；四是經(jīng)常檢查交換機(jī)與路由器中的端口狀態(tài)，尤其需要關(guān)注端口差錯統(tǒng)計信息，對于出錯包特別多的端口，應(yīng)該檢查其是交換機(jī)或路由器本身的、鏈路的原因，還是接入設(shè)備的原因；五是鏈路若是光纜，則主要檢查現(xiàn)有衰耗和投運(yùn)時的衰耗差，鏈路是網(wǎng)線則用專用儀器進(jìn)行現(xiàn)場測試，光纖不允許小角度彎折，更不能出現(xiàn)直角；六是網(wǎng)管監(jiān)控系統(tǒng)和本地維護(hù)終端用的計算機(jī)是專用設(shè)備，禁止挪用，以免病毒侵害。

4.2對維護(hù)人員的要求一是對運(yùn)行中的網(wǎng)絡(luò)設(shè)備在進(jìn)行變更設(shè)置的操作時，必須有兩人同時在場方可進(jìn)行，一人操作，一人監(jiān)護(hù)，并做好如何在操作失敗而導(dǎo)致網(wǎng)絡(luò)設(shè)備異常的情況下的處理預(yù)案，履行必要手續(xù)；二是處理光接口信號時，不得將光發(fā)送器的尾纖端面或上面活動連接器的端面對著眼睛，并注意尾纖端面和連接器的清潔；三是熟練掌握所維護(hù)的設(shè)備的基本操作；四是做好設(shè)備的日常巡視工作。

5結(jié)束語

篇6

【關(guān)鍵詞】信息安全管理 保險公司

一、保險公司信息安全管理的意義

科學(xué)的進(jìn)步，信息技術(shù)的發(fā)展使當(dāng)今的社會步入了互聯(lián)網(wǎng)和大數(shù)據(jù)的時代。這一時代的變革給社會經(jīng)濟(jì)帶來了深刻的影響，產(chǎn)生了許多顛覆性的創(chuàng)新，改變了人們傳統(tǒng)的行為習(xí)慣、企業(yè)的商業(yè)模式和市場的競爭格局。

整個社會正在發(fā)生革命性的變化，世界在邁向信息化的過程中，也給保險行業(yè)的發(fā)展帶來了更廣闊的天空。信息技術(shù)在未來的保險領(lǐng)域中承載著越來越重要的作用，然而，新技術(shù)的應(yīng)用和推廣中，風(fēng)險與機(jī)遇是并存的。技術(shù)上的缺陷，安全管理上的漏洞，都將使得信息和信息系統(tǒng)的安全產(chǎn)生嚴(yán)重的問題，甚至于危害人們生命與財產(chǎn)的安全。因此，研究和制定保險公司的信息安全戰(zhàn)略，提升保險公司安全保障能力，架構(gòu)保險信息安全體系是我們面臨的重大課題。本文的研究目的就是對保險公司的信息安全管理體系解決方案進(jìn)行探索，為保險公司的大力發(fā)展提供有力的安全保障和基礎(chǔ)。

二、保險公司信息安全管理中普通存在的問題

盡管在日常生活中，人們對越來越多暴露出的信息安全問題愈發(fā)的敏感和關(guān)注，但是普遍來說，整個保險行業(yè)對信息安全問題的整體認(rèn)識不足，缺乏必要和實(shí)質(zhì)的行動，主要存在的問題有以下幾個方面：

（一）管理層對信息安全的意義認(rèn)識不足

管理層對信息安全的認(rèn)識還沒有達(dá)到戰(zhàn)略性的高度，沒有意識到信息安全問題將滲透到企業(yè)的方方面面，沒有意識到信息安全管理能力將成為企業(yè)未來的核心能力。由于管理層重視程度不高，導(dǎo)致了對信息安全管理上人力和物力的投入不足，許多企業(yè)的信息安全管理水平不理想。

（二）信息安全管理上缺乏全局思維

保險公司的安全管理目前仍然缺乏一整套完善的規(guī)范約束，重視其中的技術(shù)問題，輕視了管理問題；重視客觀性問題，輕視人為主觀性因素；重視對外部環(huán)境的安全，輕視內(nèi)在存在的隱患；以靜態(tài)的觀念思考問題，缺乏前瞻性思維。

（三）信息安全治理的成熟度較低

信息安全治理要包括風(fēng)險管理，組織流程，策略執(zhí)行，責(zé)任到崗等一整套治理體系，目前許多保險企業(yè)的信息安全管理的成熟度仍然處于初級階段，表現(xiàn)為有局限性的安全保障行為，距離成熟的治理結(jié)構(gòu)，即全面動態(tài)優(yōu)化的階段，還有比較長的距離。

（四）安全管理基礎(chǔ)薄弱，對安全保障有行為沒有體系

信息安全問題不僅是技術(shù)上問題，，更要面臨管理的問題。需要利用技術(shù)手段去支持管理手段，利用管理手段提升技術(shù)手段應(yīng)有作用的有效發(fā)揮。許多企業(yè)對安全的決策沒有整合到整個管理體系流程中，對風(fēng)險的防范是片段的、分散的、局部的，也缺乏專業(yè)的安全治理部門和責(zé)任人對安全問題進(jìn)行評估、監(jiān)督和優(yōu)化。

鑒于以上存在的問題和現(xiàn)狀，保險企業(yè)需要深刻的理解信息安全問題的重要性，建立和健全一整套的信息安全管理體系保證安全戰(zhàn)略的規(guī)劃和部署，在信息技術(shù)的支持下，促進(jìn)行業(yè)和企業(yè)的高速發(fā)展。

三、建設(shè)和實(shí)施信息安全體系的步驟

《保險公司信息系統(tǒng)安全管理指引（試行）》中指出：信息系統(tǒng)安全工作應(yīng)按照“積極防御、綜合防范”的原則，與自身業(yè)務(wù)及信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行，構(gòu)建完備的信息系統(tǒng)安全保障體系。信息安全不是對單一的信息產(chǎn)品進(jìn)行防護(hù)，而是構(gòu)筑綜合防御體系。一個典型的綜合防御體系的構(gòu)筑過程包括如下步驟：首先，明確信息安全的目標(biāo)，并建立和完善企業(yè)安全治理結(jié)構(gòu)，進(jìn)而識別和評估企業(yè)中存在的安全風(fēng)險，涉及的相關(guān)主體和面臨的各項約束，形成安全評估報告，并制定相關(guān)的安全控制規(guī)劃，建立分層次的安全管理體系，最后，對安全管理活動進(jìn)行持續(xù)性的評估、監(jiān)督、控制和改進(jìn)。這個過程是個PDCA的過程，安全體系會隨著外部環(huán)境的變化、業(yè)務(wù)情況的變化和信息技術(shù)的改進(jìn)而產(chǎn)生新的需求，新的方法，因此它需要不斷更新改進(jìn)，是一個動態(tài)發(fā)展的過程。

（一）安全目標(biāo)的確立

信息安全有三個層次的內(nèi)涵：

第一層次：信息安全，指的是保護(hù)信息這種資產(chǎn)自身的安全，避免發(fā)生偶發(fā)的或有意的泄露、修改、破壞或喪失處理能力。包括三重含義：信息的機(jī)密性、信息的真實(shí)性和信息的完整性。

第二層次：信息系統(tǒng)的安全，信息系統(tǒng)是信息處理中包含硬件、軟件和網(wǎng)絡(luò)等支撐體系的集合，信息安全與信息系統(tǒng)安全相互附生，信息系統(tǒng)問題將直接引發(fā)信息安全問題。

第三層次：由信息安全和信息系統(tǒng)安全帶來的的傳統(tǒng)安全問題，如機(jī)密信息泄露導(dǎo)致的生命財產(chǎn)的損失。

以這三個層次為出發(fā)點(diǎn)，幫助我們分析信息安全中的主體、要素、相關(guān)關(guān)系，并結(jié)合公司的戰(zhàn)略規(guī)劃，確定信息安全的根本目標(biāo)是制定和實(shí)施安全管理解決方案的首要任務(wù)。

（二）治理結(jié)構(gòu)的設(shè)置

由于信息安全管理需要跨部門、跨業(yè)務(wù)整合資源，因此需要建立強(qiáng)有力的領(lǐng)導(dǎo)層和組織架構(gòu)，進(jìn)行頂層設(shè)計。在此基礎(chǔ)上，實(shí)施多資源系統(tǒng)控制政策，整合不同業(yè)務(wù)、不同渠道、不同條線、不同分支機(jī)構(gòu)的要求，形成安全管理體系，開展具體工作，強(qiáng)化多項目綜合管理，既有牽頭部門，又要協(xié)同作戰(zhàn)，既有重點(diǎn)主次，又要全面推進(jìn)。在高層組織機(jī)構(gòu)的領(lǐng)導(dǎo)下，建立順暢的安全管理工作協(xié)作機(jī)制，破除部門壁壘，增進(jìn)部門協(xié)作，推進(jìn)工作的高效開展。

（三）安全風(fēng)險的識別和評估

評估信息安全時需要對信息安全、技術(shù)安全及其涉及的治理機(jī)制、業(yè)務(wù)流程、人員管理、企業(yè)文化等內(nèi)容進(jìn)行分析，通過評估工具、人工分析、文檔清理、問卷調(diào)研等方式對公司現(xiàn)狀進(jìn)行調(diào)研，了解物理安全（物理設(shè)備的訪問控制、電力供應(yīng)等）、網(wǎng)絡(luò)安全（基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)傳輸加密、訪問控制、網(wǎng)絡(luò)設(shè)備安全漏洞、設(shè)備配置安全）、系統(tǒng)安全（系統(tǒng)軟件安全漏洞、系統(tǒng)軟件配置安全等）、應(yīng)用安全（應(yīng)用軟件安全漏洞、軟件安全功能、數(shù)據(jù)防護(hù)等）的情況和控制措施。通過基線風(fēng)險評估制定信息安全底線，對信息資產(chǎn)進(jìn)行詳細(xì)的風(fēng)險分析，了解與信息安全標(biāo)準(zhǔn)之間存在的差距，得到初步的安全評估；通過信息資產(chǎn)風(fēng)險評估和流程風(fēng)險評估進(jìn)行詳細(xì)的風(fēng)險評估，對重要的信息資產(chǎn)和IT流程中存在的安全威脅、漏洞及其可能性分析，選擇合適的方法進(jìn)行管理，得到最終的風(fēng)險評估報告。

（四）整體安全控制規(guī)劃的制定

為了保障安全管理工作有序、科學(xué)和順利的開展，必須要制定安全控制規(guī)劃。安全規(guī)劃在風(fēng)險評估的基礎(chǔ)上，對安全管理框架和技術(shù)框架進(jìn)行詳細(xì)的規(guī)劃，作為指導(dǎo)企業(yè)安全建設(shè)的指南，應(yīng)該結(jié)合過去與未來的網(wǎng)絡(luò)架構(gòu)、威脅防護(hù)、安全策略、組織、運(yùn)行等各項工作的任務(wù)、內(nèi)容、建設(shè)重點(diǎn)，制定實(shí)施的優(yōu)先級、具體步驟和具體措施。

（五）安全控制體系的建立

安全控制體系架構(gòu)的建立是整項工作的關(guān)鍵環(huán)節(jié)之一，我們將安全控制體系分成五個層次：安全內(nèi)核層、安全服務(wù)標(biāo)準(zhǔn)接口層，通用安全接口層、安全組件服務(wù)層、安全系統(tǒng)應(yīng)用層。架構(gòu)安全控制體系時，滿足如下的原則：分層的體系結(jié)構(gòu)要為不同層級的安全服務(wù)提供保障；層級功能有相對獨(dú)立性；應(yīng)用服務(wù)具有通用性，提供統(tǒng)一的訪問接口，服務(wù)之間也可相互協(xié)調(diào)；具有很強(qiáng)的擴(kuò)展能力，很好的兼容新的安全機(jī)制和模塊。

（六）有效性評估、監(jiān)管、考核和審計

保險企業(yè)應(yīng)該不斷地對信息安全控制體系的實(shí)施情況進(jìn)行審查、監(jiān)督，采取糾正性措施、預(yù)防性措施，并保持安全管理體系的有效運(yùn)作。對信息安全策略、安全的目標(biāo)達(dá)成情況、編制的文件、安全事件進(jìn)行分析，采取積極措施，消除已發(fā)生的或未來可能發(fā)生的與實(shí)施和運(yùn)作標(biāo)準(zhǔn)有差距的不合格狀況，防止不利事件的發(fā)生。

四、結(jié)束語

每一個保險企業(yè)具備的個性問題各不相同，在實(shí)施信息系統(tǒng)安全管理解決方案時會面臨不同條件和約束。同時，即便在共性問題上，也會隨著時間的進(jìn)展，而產(chǎn)生新的問題?，F(xiàn)代社會中，如何保障信息安全是一個不斷增長的社會需求。安全只是相對的，而不是絕對的，是動態(tài)的，不是靜止的，這也意味著對信息安全的管理將是一個持續(xù)發(fā)展、不斷完善的過程。

參考文獻(xiàn)：

篇7

關(guān)鍵詞：電力系統(tǒng)；計算機(jī)網(wǎng)絡(luò)；應(yīng)用

中圖分類號：TM73 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-8937（2013）21-0052-02

隨著計算機(jī)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，目前在電力系統(tǒng)中也開始廣泛的應(yīng)用計算機(jī)網(wǎng)絡(luò)技術(shù)，比如電力營銷、視頻監(jiān)控以及集群錄音等，通過實(shí)踐研究表明，將計算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用到電力系統(tǒng)中，具有一系列的優(yōu)勢。

1 計算機(jī)網(wǎng)絡(luò)技術(shù)在電力系統(tǒng)中的應(yīng)用現(xiàn)狀分析

計算機(jī)網(wǎng)絡(luò)系統(tǒng)指的是互相連接不同地理位置的多個計算機(jī)系統(tǒng)，采用的是通訊設(shè)備和線路等，以此來有效的傳遞信息和共享資源。它的功能主要體現(xiàn)在資源共享和用戶信息交換方面。在電力系統(tǒng)中應(yīng)用計算機(jī)網(wǎng)絡(luò)技術(shù)，可以對管理范圍進(jìn)行擴(kuò)大，對工作效率進(jìn)行提高；但是在實(shí)踐當(dāng)中，會有很多因素影響到計算機(jī)系統(tǒng)網(wǎng)絡(luò)的安全。

比如，有很多病毒存在于電子郵件中，那么在傳播和接收電子郵件的時候，就會出現(xiàn)安全問題；雖然將防火墻配置于網(wǎng)絡(luò)的接口中，但是只能夠提供很低的安全保證，只將包過濾規(guī)則配置了過來，這樣對于IP欺騙的攻擊，依然不能夠有效抵御，容易讓企業(yè)擠密泄露出去。有些企業(yè)的局域網(wǎng)還沒有劃分虛擬網(wǎng)絡(luò)，這樣網(wǎng)絡(luò)的暢通性就無法保證，對工作效率產(chǎn)生影響。還有的企業(yè)為了節(jié)約資金，沒有采用正版軟件來作為操作系統(tǒng)，大多都是非正版的，直接從網(wǎng)上下載，沒有及時的更新，這樣就會影響到系統(tǒng)的安全性；在工作的過程中，因?yàn)闆]有將那些非必要的通訊端口給關(guān)閉掉，這樣就容易讓遠(yuǎn)程攻擊到計算機(jī)，促使病毒入侵。

2 計算機(jī)網(wǎng)絡(luò)在電力系統(tǒng)的應(yīng)用意義

將計算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用到電力系統(tǒng)中，那么工作人員要想了解全國各地項目部的各種資料信息，比如財務(wù)報表、工程進(jìn)度以及工程質(zhì)量等，只需要在辦公室利用計算機(jī)網(wǎng)絡(luò)即可。企業(yè)的會議也可以采用計算機(jī)網(wǎng)絡(luò)的形式，對全國各地項目部的項目資料進(jìn)行有效獲取，對于出現(xiàn)的問題，可以通過計算機(jī)網(wǎng)絡(luò)來互相研討，找出辦法來進(jìn)行解決。通過計算機(jī)網(wǎng)絡(luò)，可以有效的連接分散的電網(wǎng)設(shè)施，也可以將分散的員工給連接起來，使其形成一個整體，這樣管理起來就比較的簡單。

通過計算機(jī)網(wǎng)絡(luò)的應(yīng)用，可以將工作人員的積極性給充分的激發(fā)出來，讓員工可以有效的交流和溝通，企業(yè)可以將各種意見在這個平臺上向領(lǐng)導(dǎo)提出來，管理者結(jié)合員工提供的意見做出更加科學(xué)合理的決策。通過這樣現(xiàn)代化管理手段的應(yīng)用，電力系統(tǒng)經(jīng)濟(jì)效益可以得到顯著增強(qiáng)。

3 電力系統(tǒng)信息安全防護(hù)應(yīng)對策略

電力系統(tǒng)信息安全防護(hù)應(yīng)對策略主要包括以下幾個方面。

一是評估電力系統(tǒng)安全風(fēng)險。要想有效的保護(hù)電力系統(tǒng)信息安全，就需要合理評估和分析電力系統(tǒng)的安全狀況，為了保證評估質(zhì)量，可以邀請一些外部的專業(yè)機(jī)構(gòu)來進(jìn)行，并且讓企業(yè)有較高水平的人員充分參與進(jìn)來，評估電力系統(tǒng)信息安全風(fēng)險，結(jié)合出現(xiàn)的問題，采取一系列有針對性的措施，將這些措施應(yīng)用下去之后，還需要對應(yīng)用效果進(jìn)行評估，以便做出更加合理的改進(jìn)。

二是將信息安全技術(shù)積極應(yīng)用進(jìn)來，進(jìn)行信息安全防護(hù)體系的構(gòu)建工作。目前，隨著時代的發(fā)展和科學(xué)技術(shù)的進(jìn)步，電力系統(tǒng)企業(yè)在信息安全方面面臨了越來越多的問題，針對這些問題，在防護(hù)過程中，應(yīng)該將那些安全需求較大的問題作為防護(hù)的重點(diǎn)，對相關(guān)安全問題進(jìn)行解決。同時，還需要綜合分析判斷信息安全技術(shù)的成熟度，將這些安全技術(shù)逐漸落實(shí)下去，首先要實(shí)施的就是那些比較成熟的電力安全系統(tǒng)。

三是防范計算機(jī)病毒。目前，越來越多的不法分子在傳播病毒，并且這些病毒的危害越來越大；針對這種情況，就研發(fā)出來了防病毒軟件，一般可以分為兩種，分別是單機(jī)版和網(wǎng)絡(luò)版；為了保證計算機(jī)系統(tǒng)的安全，就需要將防病毒軟件應(yīng)用進(jìn)來，并且對病毒庫軟件進(jìn)行及時的更新，這樣才可以有效的防范病毒。為了將防病毒軟件的作用給充分體現(xiàn)出來，就需要構(gòu)建一個綜合的病毒防范體系，有機(jī)的結(jié)合單機(jī)版防病毒軟件和網(wǎng)絡(luò)版防病毒軟件。一般在單機(jī)工作站上安裝單機(jī)版防病毒軟件，這樣病毒就不會侵襲到工作站，在網(wǎng)關(guān)處安裝，這樣就可以全面檢查出入網(wǎng)關(guān)的各種信息，將那些企圖入內(nèi)的病毒給查殺掉。在網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)版防病毒軟件，用戶還需要進(jìn)行防病毒軟件客戶端的安裝工作，每一臺客戶端都和統(tǒng)一的管控中心連接起來，這樣每一臺客戶端都可以及時接收到管控中心發(fā)過來的各種安全防護(hù)策略，及時對客戶端病毒庫等進(jìn)行升級和更新，對計算機(jī)網(wǎng)絡(luò)系統(tǒng)的病毒情況進(jìn)行全面有效的監(jiān)控。

四是對安全設(shè)備配置策略進(jìn)行全面優(yōu)化。為了全面監(jiān)控黑客，就需要通過相應(yīng)的安全設(shè)備配置，比如信息檢測、攻擊檢測、網(wǎng)絡(luò)安全性分析等。對于那些含有病毒的數(shù)據(jù)包，可以利用防火墻來阻攔，對那些非法的網(wǎng)絡(luò)攻擊進(jìn)行有效的屏蔽，這樣就可以保證不會有黑客侵入到網(wǎng)絡(luò)系統(tǒng)。但是，我們需要注意的是，在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中設(shè)置防火墻，會對信息傳輸產(chǎn)生一定的延時。因此，如果電力系統(tǒng)對實(shí)時性有著較高的要求，采用的防火墻組件就需要具有較高的實(shí)時性，最大限度的降低對信息傳輸?shù)挠绊憽?/p>

五是物理鏈路上的隔離。為了保證電力系統(tǒng)的安全性，就需要將物理隔離的方法應(yīng)用進(jìn)來。物理隔離指的是隔離物理聯(lián)絡(luò)，通過實(shí)踐研究表明，這種防護(hù)技術(shù)特別安全。通常情況下，可以將物理隔離劃分為幾大類型，分別是隔離集線器、網(wǎng)際物理隔離、單機(jī)物理隔離等。單機(jī)物理隔離指的是將隔離卡在機(jī)器的內(nèi)部安裝，但是應(yīng)用起來的難度較大，必須要重新啟動之后，方可以對內(nèi)外網(wǎng)進(jìn)行更換，但是卻有著最高的安全性。也可以采用外部安裝的方法，也就是在機(jī)器的外部安裝隔離器，這樣使用起來比較的便捷，但是安全性方面相對較弱。隔離集線器是直接安裝的，不需要對布線結(jié)構(gòu)進(jìn)行改變，使用起來比較的方便和簡單。網(wǎng)際物理隔離可以有效的搜集和轉(zhuǎn)發(fā)外網(wǎng)信息，但是需要對隔離傳送器進(jìn)行重新啟動之后，方可以進(jìn)行轉(zhuǎn)送。

4 結(jié) 語

通過上文的分析我們可以得知，在電力系統(tǒng)中應(yīng)用計算機(jī)網(wǎng)絡(luò)技術(shù)，具有巨大的積極意義，可以有效提高工作效率，拓展管理范圍。但是，目前計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全形勢卻愈加嚴(yán)峻，在安全防護(hù)方面還面臨著諸多的問題和挑戰(zhàn)，針對這些問題，需要相關(guān)人員不斷的努力和研發(fā)，提高計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全水平。

參考文獻(xiàn)：

[1] 劉進(jìn)毅.計算機(jī)網(wǎng)絡(luò)技術(shù)在電力系統(tǒng)紅的應(yīng)用[J].城市建設(shè)理論研究，2011，（19）.

篇8

    近年來,我國的電子商務(wù)市場不斷繁榮壯大,各行業(yè)紛紛邁開了“電子商務(wù)化”步伐,不少檢驗(yàn)機(jī)構(gòu)也開始“涉水”電子商務(wù)領(lǐng)域,開展網(wǎng)上委托檢驗(yàn)業(yè)務(wù),使得委托檢驗(yàn)活動可以在任何時間、任何地點(diǎn)進(jìn)行,同時借助第三方物流服務(wù),委托方“足不出戶”就可完成整個檢驗(yàn)過程。但是由于網(wǎng)上委托的跨時空特性,其風(fēng)險也更為突出,因此,將風(fēng)險管理理念引入電子商務(wù)檢驗(yàn)檢測領(lǐng)域顯得十分必要,充分認(rèn)識和加強(qiáng)網(wǎng)上委托檢驗(yàn)的風(fēng)險管理,是檢驗(yàn)機(jī)構(gòu)規(guī)避風(fēng)險,保障電子商務(wù)平穩(wěn)運(yùn)行的重要手段。

    1、風(fēng)險來源委托檢驗(yàn)是企業(yè)或個人的自主自愿行為,即委托有資質(zhì)的檢驗(yàn)機(jī)構(gòu)依據(jù)相關(guān)標(biāo)準(zhǔn)或合同約定對客戶委托的樣品實(shí)施檢驗(yàn)并出具檢驗(yàn)報告。電子商務(wù)的一個重要技術(shù)特征是利用互聯(lián)網(wǎng)技術(shù)來傳輸和處理信息,這種跨時空的委托方式更加劇了風(fēng)險發(fā)生的可能性。其風(fēng)險主要來源于三個方面:一是網(wǎng)絡(luò)安全風(fēng)險;二是委托信用風(fēng)險;三是檢驗(yàn)過程風(fēng)險。

    1.1網(wǎng)絡(luò)安全風(fēng)險電子商務(wù)模式下的委托檢驗(yàn)全都經(jīng)由計算機(jī)網(wǎng)絡(luò)完成,包括查詢檢測項目信息、填寫委托單、支付檢測費(fèi)用、查詢檢測進(jìn)度和查詢下載檢驗(yàn)報告等。其風(fēng)險主要表現(xiàn)為信息安全和交易安全。電子商務(wù)中最常見的信息風(fēng)險是信息的丟失、非法竊取或泄露,它往往會引起連鎖反應(yīng),形成后續(xù)風(fēng)險。而交易的安全性一旦受到攻擊將直接侵害委托雙方的利益,不僅會造成巨大的經(jīng)濟(jì)損失,更重要的是可能會讓用戶對電子商務(wù)這種新的委托形式失去信心。

    1.2委托信用風(fēng)險電子商務(wù)模式下委托雙方不需要直接見面,在委托信息的判別確認(rèn)、違約責(zé)任的追究等方面都存有很大困難,風(fēng)險發(fā)生的概率比傳統(tǒng)方式高。其風(fēng)險主要表現(xiàn)為委托方信息和樣品信息的真實(shí)性和可靠性無從確認(rèn),尤其是對于委托檢驗(yàn)樣品,存在著對委托方所提供樣品的真實(shí)性以及產(chǎn)品成熟度進(jìn)行甄別和判斷的風(fēng)險。而且,由于網(wǎng)上委托的開放性和自主性,任何個人或企業(yè)都可以申請委托檢驗(yàn),送檢偽劣產(chǎn)品冒充正品進(jìn)行檢驗(yàn)、利用不合格的檢驗(yàn)報告對正品經(jīng)營者進(jìn)行敲詐勒索的行為也時有發(fā)生。因此,推進(jìn)委托檢驗(yàn)電子商務(wù)化運(yùn)作,還必須以社會成員之間高度的信用依賴為基礎(chǔ)。

    1.3檢驗(yàn)過程風(fēng)險檢驗(yàn)過程風(fēng)險很大程度上是伴隨委托環(huán)節(jié)中的風(fēng)險點(diǎn)發(fā)生的。比如,委托樣品是否具有代表性,是否適宜檢驗(yàn),樣品在運(yùn)輸過程中是否保持原有的性狀等,都會直接影響到檢測數(shù)據(jù)的有效性。網(wǎng)上委托檢驗(yàn)一般要求檢測結(jié)構(gòu)同時出具紙質(zhì)報告和電子報告,以方便委托方通過網(wǎng)絡(luò)快速查詢、調(diào)用相關(guān)信息。作為委托檢驗(yàn)的最終環(huán)節(jié),報告簽發(fā)風(fēng)險也須警惕重視,如因委托信息失真或檢測數(shù)據(jù)失真而導(dǎo)致的檢驗(yàn)報告信息失真,電子報告在網(wǎng)絡(luò)傳輸過程中因防護(hù)不當(dāng)被竊取、篡改、盜用等。

    2、風(fēng)險對策

    風(fēng)險具有隱蔽性和不確定性,不管采取何種方法或措施都不能做到零風(fēng)險。提高風(fēng)險防范意識,采取主動應(yīng)對措施,可有效地將風(fēng)險發(fā)生的概率及造成的損失降低。檢驗(yàn)機(jī)構(gòu)可從以下幾方面做好風(fēng)險防范工作。

    2.1加強(qiáng)網(wǎng)絡(luò)安全防護(hù),提高風(fēng)險防范意識檢驗(yàn)機(jī)構(gòu)發(fā)展電子商務(wù)必須建立一套完整的安全管理體系,綜合利用多種先進(jìn)的安防技術(shù)以確保網(wǎng)上委托系統(tǒng)正常、高效、安全地運(yùn)行。(1)做好全面系統(tǒng)防護(hù)。無事故不等于足夠的安全,檢驗(yàn)機(jī)構(gòu)應(yīng)提高網(wǎng)絡(luò)安全意識,通過建立防火墻系統(tǒng),定期維護(hù)升級等措施可以有效應(yīng)對已知的入侵攻擊,為電子商務(wù)提供安全運(yùn)行保障。(2)構(gòu)建安全交易平臺。網(wǎng)上易由于信息不對稱使得交易雙方存在信任問題,極大地阻礙了電子商務(wù)的發(fā)展。第三方支付平臺作為交易雙方之間公正的“中間人”,可對交易雙方的信用提供擔(dān)保,降低網(wǎng)上交易的風(fēng)險程度。

    2.2確認(rèn)委托檢驗(yàn)信息,核查樣品真實(shí)情況電子商務(wù)的開放性和自主性,決定了交易主體的多元性和不確定性,進(jìn)而加大了信用風(fēng)險。檢驗(yàn)機(jī)構(gòu)開展網(wǎng)上委托檢驗(yàn)應(yīng)實(shí)行實(shí)名制申請,必要時還可以引入數(shù)字證書,以保證委托信息的可靠性、真實(shí)性、完整性、有效性和不可抵賴性。在受理網(wǎng)上委托檢驗(yàn)時應(yīng)注意:(1)簽訂委托合同。委托檢驗(yàn)合同是檢驗(yàn)機(jī)構(gòu)接受客戶委托、辦理檢驗(yàn)業(yè)務(wù)及雙方履行約定責(zé)任的協(xié)議憑據(jù),也是檢驗(yàn)機(jī)構(gòu)對委托樣品進(jìn)行檢驗(yàn)判定的依據(jù)。國家質(zhì)檢總局制訂的《委托檢驗(yàn)行為規(guī)范(試行)》里明確規(guī)定,檢驗(yàn)機(jī)構(gòu)要在對委托方的檢驗(yàn)需求、檢驗(yàn)依據(jù)、樣品信息、檢驗(yàn)機(jī)構(gòu)檢驗(yàn)?zāi)芰δ芊駶M足委托方要求等進(jìn)行評估的基礎(chǔ)上,確定是否接受委托檢驗(yàn),簽訂委托檢驗(yàn)合同。合同內(nèi)容應(yīng)當(dāng)包括委托方信息、對樣品的要求、樣品的狀態(tài)、檢驗(yàn)項目、檢驗(yàn)依據(jù)、異議處理、樣品處理方式和保存期、雙方權(quán)利和義務(wù)等約定,并注明委托方對樣品及其相關(guān)信息的真實(shí)性負(fù)責(zé)。檢驗(yàn)機(jī)構(gòu)在受理時應(yīng)要求委托方同時提供一份紙質(zhì)委托合同并在合同上簽字或蓋章予以確認(rèn),以留檔存證。(2)做好樣品核查。檢驗(yàn)機(jī)構(gòu)對委托方提供的樣品(郵寄或直接送達(dá)等方式),要按照委托檢驗(yàn)合同上載明的樣品狀態(tài)、數(shù)量等內(nèi)容進(jìn)行核查,確定樣品是否完好無損,是否適宜檢驗(yàn),做好接收記錄,必要時須拍照留存。委托方提供的樣品和資料不真實(shí)或有嚴(yán)重出入時,檢驗(yàn)機(jī)構(gòu)應(yīng)當(dāng)拒絕接受委托。做到樣品量不足的不收,樣品封識不正常的不收,樣品實(shí)物與說明書、標(biāo)簽、見證材料等附件資料載明信息不一致的不收,樣品檢驗(yàn)依據(jù)或標(biāo)準(zhǔn)未確定或錯誤的不收。

    2.3推進(jìn)實(shí)驗(yàn)室信息管理,嚴(yán)格報告審簽制為確保檢驗(yàn)結(jié)果的準(zhǔn)確性,檢驗(yàn)機(jī)構(gòu)應(yīng)依據(jù)委托合同開展檢驗(yàn),檢驗(yàn)過程應(yīng)當(dāng)有可以溯源的記錄。對此,檢驗(yàn)機(jī)構(gòu)可借助實(shí)驗(yàn)室信息管理系統(tǒng)(LIMS),建立與電子商務(wù)平臺的無縫對接,實(shí)現(xiàn)整個委托檢驗(yàn)流程的跟蹤記錄,并可根據(jù)記錄信息有效地排查風(fēng)險點(diǎn),找到問題所在。在檢驗(yàn)過程中,檢驗(yàn)機(jī)構(gòu)還應(yīng)注意:(1)做好樣品儲存流轉(zhuǎn)。樣品流轉(zhuǎn)過程要有統(tǒng)一標(biāo)識和流轉(zhuǎn)記錄,能夠及時查詢樣品的位置和狀態(tài)。對于委托檢驗(yàn)送樣,建議樣品保留6個月,以備復(fù)檢。樣品貯存環(huán)境應(yīng)符合樣品存儲要求,保證樣品的完好性。(2)正確選用檢測標(biāo)準(zhǔn)。檢驗(yàn)機(jī)構(gòu)須依據(jù)有關(guān)標(biāo)準(zhǔn)、合同約定和實(shí)際檢測數(shù)據(jù),客觀、公正、準(zhǔn)確出具檢驗(yàn)結(jié)果,對檢驗(yàn)結(jié)果的準(zhǔn)確性負(fù)責(zé)。在受理委托檢驗(yàn)時,可要求委托方提供檢測依據(jù)的產(chǎn)品標(biāo)準(zhǔn)或檢測方法標(biāo)準(zhǔn)。如委托方要求檢驗(yàn)機(jī)構(gòu)代為選擇的,應(yīng)慎重依據(jù)委托方的委托目的提供標(biāo)準(zhǔn)和方法建議。(3)規(guī)范檢驗(yàn)報告格式。完善委托檢驗(yàn)合同、結(jié)論用語及需特別說明的條款等。對于委托檢驗(yàn),檢驗(yàn)結(jié)論應(yīng)注明“僅對來樣負(fù)責(zé)”;檢驗(yàn)報告要有樣品描述,必要時可附樣品圖片;當(dāng)樣品的生產(chǎn)者及其他相關(guān)信息無法確認(rèn)時,委托檢驗(yàn)結(jié)果的報告中不得填寫生產(chǎn)者名稱及其商標(biāo)。檢驗(yàn)機(jī)構(gòu)同時提供電子報告與紙質(zhì)報告,應(yīng)保持二者的一致性。一般情況下,檢驗(yàn)機(jī)構(gòu)所提供的電子報告即是紙質(zhì)報告的掃描件,對于由計算機(jī)直接生成的電子報告,應(yīng)注意增強(qiáng)水印、電子章等防偽標(biāo)識,提高報告的不可復(fù)制性,以免報告被不法分子篡改、盜用。

篇9

縱觀人類文明的發(fā)展歷程，生產(chǎn)工具往往成為一個時代的標(biāo)志。例如，石器時代、青銅時代、鐵器時代、啟蒙時代、蒸汽時代、電氣時代等。自20世紀(jì)90年代以來，隨著計算機(jī)技術(shù)的普及和應(yīng)用，信息處理的速度和應(yīng)用程度都以幾何級數(shù)的方式激增，人類已經(jīng)進(jìn)入了史無前例的信息化時代，形成了全球化網(wǎng)絡(luò)經(jīng)濟(jì)格局。統(tǒng)計數(shù)據(jù)顯示，截止到2010年全球互聯(lián)網(wǎng)絡(luò)使用者數(shù)量高達(dá)20億人，占世界人口的30%，使用者的背景以經(jīng)濟(jì)發(fā)達(dá)地區(qū)的青年中產(chǎn)階級為主，他們是最具有購買力的消費(fèi)群體。面對如此龐大的目標(biāo)客戶群體，很多企業(yè)都將網(wǎng)絡(luò)營銷作為商業(yè)競爭的一種主流形態(tài)，在網(wǎng)絡(luò)這個必爭之地盡力搏殺。

然而，雖然網(wǎng)絡(luò)營銷作為一種新生事物具有諸多不可替代的優(yōu)勢，從另類角度詮釋了現(xiàn)代企業(yè)的競爭規(guī)則，給企業(yè)帶來滾滾財源和新的發(fā)展契機(jī)，但它與傳統(tǒng)營銷模式相比，有其自身的局限性和風(fēng)險性。在技術(shù)信息的成熟度、金融法律體系的完善以及物流配送等方面還有待于進(jìn)一步完善。目前，企業(yè)網(wǎng)絡(luò)營銷模式的運(yùn)作障礙和經(jīng)營風(fēng)險仍然是不可回避的難題，本文基于此對企業(yè)網(wǎng)絡(luò)營銷風(fēng)險管理體系展開論述。

一、企業(yè)網(wǎng)絡(luò)營銷風(fēng)險的含義

所謂風(fēng)險，是指在一定條件下和一定時期內(nèi)可能發(fā)生的各種結(jié)果變動程度的不確定性。這種不確定性表現(xiàn)在主觀對客觀事物運(yùn)作規(guī)律認(rèn)識的不完全確定和事物結(jié)果的不確定性。網(wǎng)絡(luò)營銷風(fēng)險，是指在網(wǎng)絡(luò)營銷活動過程中，由于各種事先無法預(yù)料的不確定因素帶來的影響，使網(wǎng)絡(luò)營銷的實(shí)際收益與預(yù)期收益產(chǎn)生一定的偏差，從而帶來蒙受損失和獲得額外收益的機(jī)會或可能性。因此，企業(yè)要在網(wǎng)絡(luò)營銷活動中要客觀地識別、評估和判斷網(wǎng)絡(luò)營銷風(fēng)險，并采取一定的規(guī)避措施把這種損失降低到最低程度。

二、企業(yè)網(wǎng)絡(luò)營銷風(fēng)險的類型

(一)技術(shù)風(fēng)險

以計算機(jī)為平臺的虛擬網(wǎng)絡(luò)交易平臺在帶給人們便捷服務(wù)的同時，也給人們的生活帶來諸多不安全隱患，技術(shù)風(fēng)險是最重要的風(fēng)險之一，主要是由于企業(yè)的網(wǎng)絡(luò)技術(shù)手段不成熟、不穩(wěn)定而給交易雙方帶來的風(fēng)險。造成技術(shù)風(fēng)險的因素很多，既有系統(tǒng)自身缺陷造成的也有人為因素造成的。目前，由于我國網(wǎng)絡(luò)發(fā)展水平不高、網(wǎng)絡(luò)基礎(chǔ)設(shè)施差、線路少、安全性低等原因，再加上很多企業(yè)的資金和技術(shù)有限，網(wǎng)絡(luò)運(yùn)行時經(jīng)常發(fā)生上網(wǎng)速度慢、網(wǎng)絡(luò)易堵塞、信息傳遞出錯、交易平臺混亂等現(xiàn)象，進(jìn)而造成信息傳輸風(fēng)險、數(shù)據(jù)交換風(fēng)險、信息確認(rèn)風(fēng)險、交易者身份不確定等風(fēng)險。另外，隨著黑客技術(shù)手段的不斷翻新和病毒感染的不斷升級，網(wǎng)站被攻擊、數(shù)據(jù)庫崩潰、密碼被盜竊等現(xiàn)象時有發(fā)生，這些都加劇了網(wǎng)絡(luò)交易的風(fēng)險。基于此，企業(yè)需要建立一個WEB數(shù)據(jù)庫安全體系，及時進(jìn)行漏洞檢測、風(fēng)險評估，不斷完善現(xiàn)有的網(wǎng)絡(luò)開發(fā)技術(shù)和數(shù)據(jù)加密手段，才能防患于未然。

(二)支付風(fēng)險

在網(wǎng)絡(luò)營銷領(lǐng)域，支付風(fēng)險是網(wǎng)絡(luò)營銷的最直接的風(fēng)險。由于網(wǎng)絡(luò)具有虛擬性，給不法之人以可乘之機(jī)，他們通過自己對網(wǎng)絡(luò)知識的掌握虛假信息，造成了極壞的影響。另外，目前金融領(lǐng)域仍然缺乏滿足網(wǎng)絡(luò)營銷所要求的交易費(fèi)用支付和結(jié)算手段。由于很多銀行的電子化辦公水平弱，安全性差，而且銀行之間的業(yè)務(wù)分割、交叉少，沒有統(tǒng)一的接口，雖然有一些銀行提出了一些改進(jìn)措施，但距離網(wǎng)絡(luò)營銷的要求還有差距，信用卡號碼被盜用、個人隱私被泄露等現(xiàn)象時有發(fā)生。

(三)道德風(fēng)險

道德風(fēng)險，也稱道德危機(jī)或信用風(fēng)險，是指從事經(jīng)濟(jì)活動的人在最大限度地增進(jìn)自身效用的同時做出不利于他人的行動。如果從委托—雙方信息不對稱的理論出發(fā)，道德風(fēng)險是指契約的甲方(通常是人)利用其擁有的信息優(yōu)勢采取契約的乙方(通常是委托人)所無法觀測和監(jiān)督的隱藏性行動或不行動，從而導(dǎo)致委托人損失或人獲利的可能性。現(xiàn)實(shí)生活中，消費(fèi)行為是人類社會經(jīng)濟(jì)活動的重要行為和過程，也是人類社會經(jīng)濟(jì)生活的一個重要領(lǐng)域。在21世紀(jì)這個蘊(yùn)涵無限商機(jī)的消費(fèi)時代，網(wǎng)絡(luò)營銷顯示出強(qiáng)大的生命力。道德風(fēng)險是網(wǎng)絡(luò)營銷的一大難題，由于網(wǎng)絡(luò)營銷是建立在道德信用的基礎(chǔ)上的，即交易雙方相互信任，信守承諾。網(wǎng)絡(luò)營銷的假設(shè)是：買方假設(shè)賣方提供的商品質(zhì)量合格不存在缺陷；賣方假設(shè)買方有足夠的支付能力，雙方都會履行交易時達(dá)成的承諾。但是，目前有很多企業(yè)置消費(fèi)者的利益和身心安全于不顧，假冒偽劣盛行，如果沒有任何信用做保證，網(wǎng)絡(luò)營銷是難以為繼的。今后，在很長的時期內(nèi)道德風(fēng)險將在很大程度上制約網(wǎng)絡(luò)營銷的發(fā)展。

(四)物流配送風(fēng)險

在網(wǎng)絡(luò)經(jīng)濟(jì)日益繁榮的今天，物流問題成為了制約網(wǎng)絡(luò)營銷的一個重要問題。網(wǎng)上交易一般順序如下：網(wǎng)上信息傳遞——網(wǎng)上交易——網(wǎng)上結(jié)算(下訂單)——物流配送。在整個鏈條中，物流配送才是唯一的實(shí)體行為。由于產(chǎn)品銷售具有分散性、不確定性和不可預(yù)測性，這些都增加了物流配送的難度：配送點(diǎn)的布局、人員的配備數(shù)量、商品的庫存量等很難合理地確定；保證配送的時效以滿足用戶的即時需求；保證配送的數(shù)量。因此，一個暢通的物流配送體系，應(yīng)該從接到定單時起，就開始了采購、配送和分撥物流的同步流程。每一步都以最合理的時間、最合理的分配、最合理的路線來構(gòu)建，從而在最大程度上減少產(chǎn)品的積壓和庫存開支。物流配送的好與壞，直接影響到企業(yè)網(wǎng)的運(yùn)作效率、企業(yè)的信譽(yù)、客戶的滿意度。而目前很多企業(yè)的物流能力不強(qiáng)，不能及時與網(wǎng)絡(luò)用戶實(shí)物交割，產(chǎn)生物權(quán)轉(zhuǎn)移的風(fēng)險，這已經(jīng)成為阻礙網(wǎng)絡(luò)營銷發(fā)展的主要原因。

(五)法律風(fēng)險

20世紀(jì)90年代以來，互聯(lián)網(wǎng)的興起為現(xiàn)代企業(yè)的經(jīng)營和管理提供了新思路，網(wǎng)絡(luò)營銷收到普遍關(guān)注。一方面，互聯(lián)網(wǎng)是跨地域、國界的全球性信息網(wǎng)絡(luò)，在這個虛擬空間里無法向現(xiàn)實(shí)空間那樣規(guī)定國家和地區(qū)的界限和管轄范圍。另一方面，網(wǎng)絡(luò)營銷的雙方主體可以在不同國家和地區(qū)的企業(yè)和個人之間展開，但各國的適用法律不同，社會文化、風(fēng)俗習(xí)慣又迥然相異，因此造成雙方的交易沖突不可避免。更確切地說，雖然互聯(lián)網(wǎng)的飛速發(fā)展促進(jìn)了網(wǎng)絡(luò)營銷的強(qiáng)勁增長，但是與之相應(yīng)的法律法規(guī)并沒有同步配套，這些法律法規(guī)主要包括：網(wǎng)絡(luò)經(jīng)濟(jì)貿(mào)易中的法律法規(guī)、網(wǎng)站建設(shè)中的法律程序、在線交易主體的認(rèn)定中的法律和程序、電子簽名與認(rèn)證的操作、電子合同的法律確認(rèn)、在線電子支付的規(guī)則、網(wǎng)絡(luò)廣告爭議解決、網(wǎng)上知識產(chǎn)權(quán)保護(hù)及網(wǎng)絡(luò)營銷中消費(fèi)者權(quán)益保護(hù)等。由于很多法律存在空白，從而造成一定的風(fēng)險隱患。

(六)客戶風(fēng)險

美國著名體驗(yàn)經(jīng)濟(jì)學(xué)家約瑟夫·派恩指出：體驗(yàn)事實(shí)上是當(dāng)一個人達(dá)到情緒、智力、甚至精神的某一特定水平時，其意識中所產(chǎn)生的美好感覺。它涉及人們的感官、情感、情緒等感性因素，也涵蓋知識、智力、思考等理性因素和身體的一些活動。在現(xiàn)代營銷理念中普遍認(rèn)為：體驗(yàn)就是企業(yè)以服務(wù)為舞臺，以產(chǎn)品為道具，以消費(fèi)者為中心，能夠創(chuàng)造使消費(fèi)者參與、值得同憶的活動。在傳統(tǒng)的營銷模式中，消費(fèi)者往往通過視覺、觸覺、味覺等多種感覺來判斷商品的優(yōu)劣并決定取舍，而在當(dāng)前虛擬的網(wǎng)絡(luò)環(huán)境當(dāng)中只能通過商品的圖片及少量的文字說明來甄別。在這一購買活動中，一旦消費(fèi)者由于判斷失誤而對購買的商品不滿意，一種可能就是發(fā)生消費(fèi)者漂移現(xiàn)象。所謂消費(fèi)者漂移，就是消費(fèi)者從一個產(chǎn)品漂移到另一個產(chǎn)品；從一個場所漂移到另一個場所，從一個品牌漂移到另一個品牌。因而采用動態(tài)的、發(fā)展變化的視角研究消費(fèi)心理和消費(fèi)者漂移問題是科學(xué)的、可行的。另一種可能就是，一旦消費(fèi)者因購物不滿意就會對網(wǎng)上購物產(chǎn)生質(zhì)疑，進(jìn)而做出不規(guī)范的市場行為，帶給企業(yè)的影響和損失也是巨大的。例如，有45%的人認(rèn)為網(wǎng)上購物沒有真實(shí)體驗(yàn)感，對其質(zhì)量安全不放心，而寧可花更多的價錢去商場購買，這種消費(fèi)心理造成了企業(yè)網(wǎng)絡(luò)營銷過程中的風(fēng)險。

三、規(guī)避企業(yè)網(wǎng)絡(luò)營銷風(fēng)險的策略

企業(yè)網(wǎng)絡(luò)營銷風(fēng)險的規(guī)避，建立在企業(yè)準(zhǔn)確認(rèn)識網(wǎng)絡(luò)營銷風(fēng)險基礎(chǔ)之上.而科學(xué)的營銷戰(zhàn)略和戰(zhàn)術(shù)可以減少網(wǎng)絡(luò)

營銷企業(yè)的經(jīng)營風(fēng)險和機(jī)會成本。通過對企業(yè)網(wǎng)絡(luò)營銷風(fēng)險的具體分析，可以考慮以下幾種防范規(guī)避策略：

(一)加強(qiáng)信息安全技術(shù)研究

在全球化經(jīng)濟(jì)浪潮中，網(wǎng)絡(luò)營銷要取得實(shí)質(zhì)性進(jìn)展，就必須突破信息安全這一道關(guān)卡，加強(qiáng)信息安全研究是我國發(fā)展網(wǎng)絡(luò)營銷亟待解決的關(guān)鍵問題。信息安全體系的重點(diǎn)是必須有先進(jìn)的技術(shù)系統(tǒng)來支持。在安全技術(shù)方面，涉及技術(shù)標(biāo)準(zhǔn)、關(guān)鍵技術(shù)、關(guān)鍵設(shè)備和安全技術(shù)管理等環(huán)節(jié)。國家要組織力量選擇符合我國國情的網(wǎng)絡(luò)交易安全技術(shù)，積極開發(fā)我國自己的網(wǎng)絡(luò)安全產(chǎn)品。另外，要加大支付技術(shù)上的攻關(guān)力度，進(jìn)一步提高網(wǎng)上支付安全保障。通常系統(tǒng)的安全主要受到假冒，報文被截取(讀取或復(fù)制)、修改、重播，報文丟失，報文發(fā)送方或接收方否認(rèn)等威脅。針對這些不安全因素應(yīng)做好以下防范：(1)安全登入和選擇服務(wù)；(2)防止第三方冒充；(3)防止第三方截取報文；(4)使第三方無法修改、替換報文內(nèi)容，或者使接收方可以發(fā)現(xiàn)報文在傳輸?shù)倪^程中被修改；(5)防止報文的重播和丟失；(6)在系統(tǒng)內(nèi)進(jìn)行交換的報文被復(fù)制存儲，與報文交換有關(guān)的各種活動及其發(fā)生的時間均被記錄；(7)相關(guān)安全責(zé)任的分離，即一人不能負(fù)責(zé)多項安全事務(wù)。最重要的事，要防范網(wǎng)絡(luò)營銷中可能存在的風(fēng)險，必須加強(qiáng)網(wǎng)絡(luò)技術(shù)研究，改善網(wǎng)絡(luò)基礎(chǔ)設(shè)施，加快寬帶光纜的建設(shè)，全面提高網(wǎng)絡(luò)的運(yùn)行速度，保證信息傳遞的準(zhǔn)確、及時與安全。

(二)進(jìn)行網(wǎng)絡(luò)營銷可行性分析

企業(yè)戰(zhàn)略是指企業(yè)為求得生存和穩(wěn)定發(fā)展而設(shè)計的行動綱領(lǐng)或方案，營銷戰(zhàn)略是企業(yè)戰(zhàn)略的重點(diǎn)，是對企業(yè)市場營銷工作做出的全局性、長期性和方向性的謀劃，從而實(shí)現(xiàn)企業(yè)目標(biāo)、資源能力和經(jīng)營環(huán)境三者之間的動態(tài)平衡。一個有實(shí)際操作價值的網(wǎng)絡(luò)營銷戰(zhàn)略，不僅對企業(yè)網(wǎng)絡(luò)營銷活動意義重大，而且對于制定與網(wǎng)絡(luò)營銷活動密切相關(guān)的生產(chǎn)、財務(wù)、研發(fā)、人力資源等計劃也有指導(dǎo)意義。企業(yè)網(wǎng)絡(luò)營銷可行性分析包括：企業(yè)發(fā)展的整體戰(zhàn)略、市場潛力、發(fā)展方向預(yù)測以及風(fēng)險和可能收益。只有根據(jù)企業(yè)生產(chǎn)經(jīng)營的環(huán)境因素和內(nèi)部的經(jīng)營狀況進(jìn)行綜合評價和預(yù)測，才能得到科學(xué)、恰當(dāng)?shù)姆治龊驮u估結(jié)果，才能使企業(yè)規(guī)避風(fēng)險走向成功。

(三)加強(qiáng)企業(yè)經(jīng)營管理工作

科學(xué)化、規(guī)范化和制度化是營銷系統(tǒng)管理的方向，營銷系統(tǒng)成員工作質(zhì)量的好壞直接關(guān)系到企業(yè)的興衰。為了有效規(guī)避網(wǎng)絡(luò)營銷風(fēng)險，企業(yè)應(yīng)加強(qiáng)以下方面的管理工作：首先，企業(yè)必須高度關(guān)注公司產(chǎn)品質(zhì)量，做好營銷體系的質(zhì)量管理工作，包括總部與各分部的工作聯(lián)系與溝通，也包括與經(jīng)銷商、商之間的種種業(yè)務(wù)來往等，還涉及到產(chǎn)品線與價格體系的規(guī)劃、市場需求計劃以及長期和實(shí)時營銷策略的制定等。其次，要提升網(wǎng)絡(luò)多媒體表現(xiàn)水平，讓消費(fèi)者真切地感知商品的質(zhì)量、安全付款，合理選擇物流公司并保證及時完好的把商品送到消費(fèi)者手中。再次，要提高企業(yè)在風(fēng)險決策、交易管理、危機(jī)應(yīng)急等狀況下提供規(guī)范的處理方法和操作機(jī)制的能力。最后，網(wǎng)絡(luò)營銷中最重要的因素是人的因素，企業(yè)要規(guī)范員工行為，各司其職、各負(fù)其責(zé)，從而不斷提高員工的風(fēng)險防范意識和能力。總之，加強(qiáng)企業(yè)的經(jīng)營管理是有效防范各類風(fēng)險、減少風(fēng)險損失的重要手段。

(四)完善網(wǎng)絡(luò)營銷的法律法規(guī)及信用評估體系

建立完善的立法監(jiān)督及信用評估體系是促進(jìn)網(wǎng)絡(luò)營銷的關(guān)鍵環(huán)節(jié)。網(wǎng)絡(luò)營銷的順利實(shí)施離不開法律法規(guī)的支撐，國家必須在立法和執(zhí)法上加大力度。要強(qiáng)化網(wǎng)絡(luò)交易安全管理，制定相關(guān)的網(wǎng)絡(luò)交易標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)。例如，在網(wǎng)絡(luò)商場的市場準(zhǔn)入制度、網(wǎng)絡(luò)交易的合同認(rèn)證、執(zhí)行和賠償、反欺騙、知識產(chǎn)權(quán)保護(hù)、稅收征管、廣告管制、交易監(jiān)督，以及網(wǎng)絡(luò)有害信息過濾等方面制定規(guī)則，規(guī)范買賣雙方和中介方的交易行為，嚴(yán)厲打擊利用網(wǎng)絡(luò)營銷進(jìn)行欺詐的行為。另外，國家應(yīng)組建獨(dú)立、公正的評級機(jī)構(gòu)，并建立一套科學(xué)的信用評級體系，遵循國際慣例與中國國情相結(jié)合、傳統(tǒng)研究方法與現(xiàn)代先進(jìn)評級技術(shù)和互聯(lián)網(wǎng)技術(shù)相結(jié)合的原則，對企業(yè)的信用進(jìn)行評估，合格者可以頒發(fā)證書并通過媒體或其他方式公示。通過建立完善的立法監(jiān)督及信用評估體系，從而為網(wǎng)絡(luò)營銷健康、有序、高速、和諧地發(fā)展提供一個公平規(guī)范的法律環(huán)境，最大程度地降低網(wǎng)絡(luò)營銷風(fēng)險。

四、結(jié)語

美國企業(yè)家保羅·霍肯在《未來的經(jīng)濟(jì)》一書中以相對“物質(zhì)經(jīng)濟(jì)”的概念提出“信息經(jīng)濟(jì)”一詞。他認(rèn)為在信息經(jīng)濟(jì)社會，每件產(chǎn)品，每次勞務(wù)，都包含物質(zhì)和信息兩種成分。未來的趨勢將是物質(zhì)經(jīng)濟(jì)向信息經(jīng)濟(jì)過渡，產(chǎn)品中物質(zhì)同信息的比例正在發(fā)生變化，并將進(jìn)一步變化，未來的經(jīng)濟(jì)繁榮就取決于這種變化。網(wǎng)絡(luò)營銷是一種新經(jīng)濟(jì)形態(tài)，它是企業(yè)營銷實(shí)踐與現(xiàn)代信息通訊技術(shù)、計算機(jī)網(wǎng)絡(luò)技術(shù)相結(jié)合，以電子信息技術(shù)為基礎(chǔ)，以計算機(jī)網(wǎng)絡(luò)為媒介和手段而進(jìn)行的各種營銷活動的總稱。網(wǎng)絡(luò)營銷在本質(zhì)上是一種擬態(tài)環(huán)境的營銷，一方面，擬態(tài)環(huán)境不是現(xiàn)實(shí)環(huán)境的鏡像反映，在不同程度上與現(xiàn)實(shí)環(huán)境存在偏差；另一方面，擬態(tài)環(huán)境又并非完全脫離現(xiàn)實(shí)環(huán)境，而是以現(xiàn)實(shí)環(huán)境為藍(lán)本?？梢哉f，網(wǎng)絡(luò)營銷是一種幻覺文化和現(xiàn)實(shí)文化的綜合體，因而有其不確定性。這些風(fēng)險表現(xiàn)為：技術(shù)風(fēng)險、支付風(fēng)險、道德風(fēng)險、物流配送風(fēng)險、法律風(fēng)險、客戶風(fēng)險。如何有效地規(guī)避風(fēng)險是網(wǎng)絡(luò)營銷成敗的關(guān)鍵，本文基于此提出了加強(qiáng)信息安全技術(shù)研究，進(jìn)行網(wǎng)絡(luò)營銷可行性分析，加強(qiáng)企業(yè)經(jīng)營管理工作，完善網(wǎng)絡(luò)營銷的法律法規(guī)及信用評估體系等企業(yè)網(wǎng)絡(luò)營銷風(fēng)險規(guī)避策略，旨在為提高我國企業(yè)網(wǎng)絡(luò)營銷風(fēng)險管理能力提供參考。（文/陳水芬 吳思啟）

參考文獻(xiàn)

[1]方姜琪，鐘佳桂.電子商務(wù)與傳統(tǒng)企業(yè)[M].北京:清華大學(xué)出版社，2003

[2]高軍，王睿.試論企業(yè)網(wǎng)絡(luò)營銷風(fēng)險管理體系的建立[J].現(xiàn)代管理科學(xué)，2007，(4).

篇10

[關(guān)鍵詞]電子商務(wù)；安全體系；敏感數(shù)據(jù)流

[中圈分類號]F713.36　[文獻(xiàn)標(biāo)識碼]A　[文章編號]1006-5024(2009)04-0164-03

[作者簡介]黃建宇。南昌市職工科技大學(xué)計算機(jī)系講師，研究方向?yàn)橛嬎銠C(jī)網(wǎng)絡(luò)與應(yīng)用；

邵百鳴，南昌市職工科技大學(xué)成人教育部主任、教授，研究方向?yàn)殡娮由虅?wù)。(江西南昌330077)

一、引言

電子商務(wù)是伴隨著網(wǎng)絡(luò)計算而被人們所認(rèn)識，并隨著互聯(lián)網(wǎng)的發(fā)展而日益蓬勃成長起來?？梢哉f，目前電子商務(wù)已經(jīng)成為全球最具活力的經(jīng)濟(jì)增長拉動力量。雖然隨著2008年金融危機(jī)的爆發(fā)，全球經(jīng)濟(jì)景氣度迅速下降，但作為世界商務(wù)領(lǐng)域重要力量的電子商務(wù)卻一枝獨(dú)秀，愈加顯示出其蓬勃的生命力。

然而，由于電子商務(wù)的數(shù)據(jù)中有許多非常重要的商業(yè)信息和財務(wù)信息，這使它自誕生之初就成了眾多不法分子覬覦的目標(biāo)。大多數(shù)的電子商務(wù)企業(yè)(以下簡稱企業(yè))每天都要面臨眾多的電子病毒攻擊，并蒙受不同程度的損失。據(jù)賽門鐵克公司的《全球互聯(lián)網(wǎng)安全威脅報告》，2007年下半年全球平均每天發(fā)現(xiàn)有6.19萬臺計算機(jī)受到攻擊，比上半年增長17％。在運(yùn)用電子商務(wù)模式進(jìn)行貿(mào)易的過程中，安全問題已成為電子商務(wù)最核心的問題，它包括有效保障通信網(wǎng)絡(luò)、信息系統(tǒng)的安全，確保信息的保密性、完整性、認(rèn)證性、不可否認(rèn)性、不可拒絕性和訪問控制性等。

二、電子商務(wù)面臨的威脅

電子商務(wù)的基礎(chǔ)環(huán)境是計算機(jī)和Internet網(wǎng)絡(luò)。由于計算機(jī)具有脆弱性，Internet網(wǎng)絡(luò)具有開放性和不可控制性，以及電子商務(wù)交易對象、交易憑證、交易結(jié)算方式均與傳統(tǒng)的商務(wù)模式具有根本性的差別，這就使得電子商務(wù)的安全性問題成為開展網(wǎng)絡(luò)電子商務(wù)所面臨的巨大挑戰(zhàn)。電子商務(wù)面臨的威脅可以概括為三類：

1　內(nèi)部的威脅。包括內(nèi)部人員有意或無意的泄密以及蓄意破壞和更改信息系統(tǒng)、內(nèi)部非授權(quán)人員竊密和更改信息。

2　外部網(wǎng)絡(luò)連接者的威脅。包括截獲機(jī)密信息、通過電信號推出有用信息、外部網(wǎng)絡(luò)連接者的非法攻擊、合法用戶的非授權(quán)操作、合法用戶的抵賴行為和合法用戶的無意泄密。

3　其他威脅。包括各種災(zāi)害、網(wǎng)絡(luò)故障、操作失誤和計算機(jī)病毒等。

三、電子商務(wù)安全體系架構(gòu)

電子商務(wù)的安全不僅是技術(shù)性問題，而且它具有社會的復(fù)雜性。因此，要系統(tǒng)有效地解決電子商務(wù)的安全問題，就必須從技術(shù)和管理兩個方面來構(gòu)架其安全體系。

(一)技術(shù)方面。技術(shù)方面是本文所要闡述的主要方面，因?yàn)樗軌蛞揽科髽I(yè)自身的努力來達(dá)到令人滿意的安全保障效果。目前，關(guān)于電子商務(wù)安全體系的研究比較多，有基于層次的體系，也有基于對象的體系，還有基于風(fēng)險管理的體系，等等。在我國，雖然電子商務(wù)發(fā)展比較快，但整體發(fā)展水平還是比較低，大部分企業(yè)對電子商務(wù)的認(rèn)識和實(shí)際的開展情況都不盡如人意，多數(shù)的企業(yè)網(wǎng)站僅有主頁和E―mail地址，這其中安全是十分突出的問題。本文研究了基于敏感數(shù)據(jù)流的安全體系，通過跟蹤敏感數(shù)據(jù)流來構(gòu)建安全體系，既可以從全程保證所有敏感數(shù)據(jù)的安全，又可以減掉各種不必要的安全投入，提高資源使用效率。

1　客戶機(jī)的數(shù)據(jù)安全。從第一個電子商務(wù)的客戶通過電子網(wǎng)絡(luò)向企業(yè)的電子設(shè)備發(fā)送信息的那一刻起，敏感數(shù)據(jù)便產(chǎn)生了。客戶機(jī)的安全不僅是電子商務(wù)安全的第一步，而且是電子商務(wù)安全密不可分的重要部分?？蛻魴C(jī)的安全應(yīng)考慮以下幾個方面：

(1)Cookies。Cookies能夠存儲客戶機(jī)信息、客戶的登錄信息和一些歷史商務(wù)信息，以方便客戶再次登錄時提交給電子商務(wù)服務(wù)器。避免這些敏感信息泄露的最徹底力、法就是關(guān)閉cookie功能。但這有時會使打開一些網(wǎng)頁受到影響。大部分瀏覽器既可以提供cookie的管理功能，也可以利用第三方軟件來管理cookie。

(2)活動內(nèi)容。活動內(nèi)容是嵌入網(wǎng)頁可以自動或激發(fā)執(zhí)行的代碼，包括Cookies、Java小程序、Java腳本、VB腳本和ActiveX控件。他們是植入木馬病毒的重要途徑。

(3)插件。它多半是與多媒體播放有關(guān)的程序，但它會導(dǎo)致一些嵌入影音文件的惡意代碼被執(zhí)行。

(4)病毒。它的危害程序很大，常通過E-mail、office文檔和各種程序等多種形式進(jìn)行傳播。

(5)物理安全。利用數(shù)字證書技術(shù)、加密技術(shù)可以有效保障敏感數(shù)據(jù)的安全。還應(yīng)該通過防火墻、殺毒軟件、下載補(bǔ)丁和對各種軟件的正確設(shè)置和使用等技術(shù)手段來最大程度減少其中的威脅。對于物理安全，除了使用傳統(tǒng)技術(shù)，還可以使用一些識別設(shè)備，如指紋設(shè)備可以通過較小的代價提供比傳統(tǒng)密碼登錄強(qiáng)大得多的保護(hù)。此類設(shè)備還有簽名識別器、虹膜掃描器、掌紋掃描器等。

2　信息傳送安全。傳送信息可以分為兩類，一類是非敏感信息，另一類是敏感信息。非敏感信息包括客戶的點(diǎn)擊信息、查詢和咨詢信息以及一些操作信息。敏感信息則包括客戶的銀行賬號、賬戶密碼、重要的電子郵件和其他一些需要保密的信息。為了降低成本，只對敏感信息的傳送采取嚴(yán)格的安全措施，這是企業(yè)必須做好的。

對于重要的電子郵件，大體可以分為兩種解決方案：一種是端到端的安全電子郵件技術(shù)。應(yīng)用比較廣泛的端到端的安全電子郵件標(biāo)準(zhǔn)是PGP和S／MIME，他們都采用了公開的RSA公鑰體制加密算法，基于以上標(biāo)準(zhǔn)的郵件系統(tǒng)大都采用了公鑰基礎(chǔ)設(shè)施PKI模式，遵循了X.509證書標(biāo)準(zhǔn)。目前，已開發(fā)出基于ECC加密算法的安全郵件加密系統(tǒng)，它有很好的前景。端到端的安全電子郵件技術(shù)是對郵件內(nèi)容進(jìn)行加密和簽名，從而保證了電子郵件的安全性、完整性和不可否認(rèn)性。另一種解決方案是傳輸層的安全電子郵件技術(shù)，它不僅能對郵件內(nèi)容進(jìn)行保密，也能對信頭進(jìn)行保密。但是，這在某些應(yīng)用環(huán)境下是有要求的，這種方案又有兩種方式：一種是利用SSL SMTP和SSLPOP，另一種是利用VPN或者其他的IP通道技術(shù)。

對于其他通過萬維網(wǎng)傳送的敏感信息，大體可以分為兩種解決方案：一種是存儲加密技術(shù)，即依據(jù)機(jī)密信息的秘密等級設(shè)定文件的加密級別，然后，將機(jī)密信息用對稱加密算法如DES、IDEA、RC4等算法加密后存儲，加密密鑰用Web服務(wù)器的公鑰，采用RSA算法加密并附加在文件中。訪問者只有在通過身份認(rèn)證后，并且具有同等訪問權(quán)限，系統(tǒng)才能用Web服務(wù)器的私鑰解密加密文件后傳送給訪問者。這一技術(shù)

使用比較普遍，它可在不對網(wǎng)絡(luò)環(huán)境做特殊要求的前提下根本解決網(wǎng)絡(luò)安全的兩大要求(網(wǎng)絡(luò)服務(wù)的可用性和信息的完整性)。另一種常用的方案是SSL技術(shù)，它采用公開密鑰和私人密鑰兩種加密體制，可以保證兩個應(yīng)用間通信的保密性和完整性及其認(rèn)證?，F(xiàn)行Web瀏覽器普遍將HTYP和SSL相結(jié)合來實(shí)現(xiàn)安全通信。

3　電子商務(wù)企業(yè)內(nèi)部的數(shù)據(jù)安全。當(dāng)敏感數(shù)據(jù)進(jìn)入企業(yè)服務(wù)器中，他們將被解密，然后再經(jīng)過多次存儲、再傳送、分析等操作過程。這些處理將在企業(yè)內(nèi)部進(jìn)行，這就涉及到企業(yè)內(nèi)部的電子商務(wù)信息安全。此時，這些信息受到的攻擊最多，所以，這里是信息安全最重要的環(huán)節(jié)和最主要的戰(zhàn)場。敏感信息將分置于多個服務(wù)器和工作站中，它將受到來自外部和內(nèi)部的雙重威脅，這時要做好以下工作：

(1)基礎(chǔ)性工作

①針對安全漏洞，必須至少在這些計算機(jī)上及時安裝各種軟件的補(bǔ)丁程序，這不僅包括操作系統(tǒng)，也包括其他可能有漏洞的軟件?？赡艿脑挘瑧?yīng)選用安全性較高的軟硬件。

②針對各種病毒感染，必須至少在這些計算機(jī)上安裝殺毒軟件，及時升級病毒庫，并定期查殺病毒。由于計算機(jī)病毒對電子商務(wù)所信賴的網(wǎng)絡(luò)環(huán)境有巨大的破壞力，因此，對網(wǎng)絡(luò)計算機(jī)病毒的防范，是電子商務(wù)安全體系建設(shè)中極為重要的一環(huán)。

③針對木馬病毒和非法掃描等黑客攻擊，必須根據(jù)實(shí)際情況進(jìn)行防火墻軟硬件的安裝和部署，并進(jìn)行盡可能嚴(yán)格的防火墻設(shè)置和防火墻的及時升級。

④對重要的數(shù)據(jù)、軟件和計算機(jī)有備份措施。針對自然災(zāi)害、物理損壞、設(shè)備故障等要有容災(zāi)技術(shù)措施和快速恢復(fù)方案，如使用RAID技術(shù)、遠(yuǎn)程磁盤鏡像技術(shù)或數(shù)據(jù)庫復(fù)制技術(shù)等。

⑤環(huán)境、設(shè)備設(shè)施應(yīng)符合相應(yīng)的技術(shù)規(guī)范。

(2)加強(qiáng)性工作

①對敏感數(shù)據(jù)要進(jìn)行加密存儲和傳送，以確保其安全。

②加強(qiáng)重要計算機(jī)用戶權(quán)限和數(shù)據(jù)存取權(quán)限及方式的管理，如采用分級訪問控制技術(shù)，即通過PKI的認(rèn)證安全服務(wù)，對客戶端用戶提供的X.509證書進(jìn)行合法性、有效期的驗(yàn)證，再根據(jù)用戶證書中的信息得到該用戶的訪問權(quán)限，從而決定是否允許該用戶對某目錄或文件的訪問。通過它可以有效地維護(hù)系統(tǒng)的保密性、完整性和可用性。還應(yīng)使用安全性高的文件系統(tǒng)，設(shè)置高強(qiáng)度的口令，并加強(qiáng)口令管理。

③加強(qiáng)日志管理，防止日志被非法修改或清除，加強(qiáng)安全審計和安全跟蹤措施。

④加強(qiáng)網(wǎng)絡(luò)監(jiān)控，對網(wǎng)絡(luò)異常流量變化也要加以監(jiān)控和分析。

⑤配備相應(yīng)的入侵檢測系統(tǒng)并制定相應(yīng)的對策。入侵檢測系統(tǒng)的一個特征是具有基于規(guī)則的參考引擎，因此，需要在第一時間更新模式數(shù)據(jù)庫。

(3)可選工作

①采用web頁面原始性鑒別技術(shù)。即對原始頁面文件通過Hash算法生成數(shù)據(jù)摘要，再對數(shù)據(jù)摘要用私鑰進(jìn)行加密。當(dāng)Internet用戶每次訪問頁面時，對頁面再生成數(shù)據(jù)摘要，與解密的原數(shù)據(jù)摘要進(jìn)行比對，從而避免被入侵黑客修改的頁面?zhèn)鹘oInternet用戶的可能。

②加強(qiáng)共享的管理，以避免SMB攻擊。

③加強(qiáng)各類程序運(yùn)行的管理，以避免緩沖區(qū)溢出等攻擊。

④加強(qiáng)環(huán)境干擾的技術(shù)防范措施，如對電磁輻射的防護(hù)等。

⑤加強(qiáng)重要計算機(jī)操作系統(tǒng)的安全性設(shè)置，如采取屏保、痕跡銷毀和操作失誤檢測及報警等技術(shù)。

以上這些技術(shù)方面的措施應(yīng)該盡量實(shí)施，但實(shí)施的程度要視自身情況區(qū)別對待。我們知道，這些電子商務(wù)的安全措施是有成本的。安全度越高，相應(yīng)的投入和效率等方面的代價就越大。因此，必須在可接受的安全和成本之間尋求相對平衡。從管理方面來講，也是如此。

(二)管理方面。管理在電子商務(wù)安全體系中的地位并不次于技術(shù)方面，甚至因?yàn)檩^容易出問題而顯得更為重要。管理可以分為對企業(yè)的管理和對社會的管理。也就是說，一方面，企業(yè)必須就電子商務(wù)安全管理制定全面系統(tǒng)的規(guī)章制度，這是主要方面。另一方面，國家也應(yīng)就此制定和完善相應(yīng)的法律法規(guī)。

1　企業(yè)方面

(1)總體上必須參照相關(guān)國際安全管理標(biāo)準(zhǔn)來建立企業(yè)的信息安全管理體系，即明確包括信息安全管理的任務(wù)、目標(biāo)、對象、原則、程序和方法在內(nèi)的管理策略，然后可以遵循管理的一般循環(huán)模式，即PDCA模式開展管理活動。

(2)在物理安全方面，應(yīng)通過安裝門禁系統(tǒng)、監(jiān)控系統(tǒng)等，加強(qiáng)對計算機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、通信線路等關(guān)鍵設(shè)備及信息的安全防范措施。

(3)在人員安全方面，應(yīng)通過人員審查、培訓(xùn)和權(quán)限管理，加強(qiáng)業(yè)務(wù)人員和專業(yè)人員的安全意識和安全能力，并明確安全責(zé)任。建立有領(lǐng)導(dǎo)層參加的安全管理論壇，建立提出信息安全建議的渠道，保持與業(yè)界的緊密聯(lián)系。

(4)電子商務(wù)的安全既是相對的，也是發(fā)展的，沒有一勞永逸的安全，要有電子商務(wù)的風(fēng)險意識。為此，必須進(jìn)行電子商務(wù)安全評估。可以參照國際上常用的安全成熟度模型，對計劃、布局和配置、運(yùn)行過程進(jìn)行評估。通過評估不僅可以了解本企業(yè)電子商務(wù)的安全狀況，而且更重要的是可以發(fā)現(xiàn)一些隱含的安全問題，通過改進(jìn)來提高安全程度。

2　社會方面