導語：如何才能寫好一篇企業(yè)信息安全應急預案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：安全管理管理信息系統(tǒng)危險源辨識

煤炭企業(yè)的安全問題根源何在？如何解決呢？我們認為關鍵在于預防，而預防需要體系。有效的預防來自完整的體系，建立整體的安全管理體系包括全面的規(guī)劃、及時的信息收集、流程化跟蹤處理、多角度的對比分析，通過建立安全資源規(guī)劃、安全教育、安全指標體系、監(jiān)控檢查、分類、評估、控制與治理、分析的管理鏈，實現(xiàn)動態(tài)優(yōu)化的安全預防過程管理。

煤礦自然條件差，災害多、煤礦數(shù)量多，大、中、小并存，差異大、煤礦機械化程度低，安全技術裝備不足、煤礦從業(yè)人員結構復雜，綜合素質差，管理落后。

目前，我國煤礦的安全管理主要是由管理人員憑主觀意志和經驗進行工作，管理技術和手段落后。這種管理模式，由于受管理人員的知識、經驗和責任心的限制，很難適應礦井災害事故的復雜多變條件，這也是煤礦災害事故多發(fā)的原因之一。為此，下面探討如何將安全管理系統(tǒng)應用于煤礦企業(yè)的安全管理中。

一、安全管理信息系統(tǒng)分析及設計

按照管理信息系統(tǒng)的研制過程，筆者首先對多家生產企業(yè)進行了調研，總結出現(xiàn)有安全管理系統(tǒng)之癥結所在，（主要是安全管理中作為決策依據(jù)的信息流通不暢，如果不改變信息的收集方式、渠道及處理周期，這個問題就無法解決）從而得出關于項目目標的比較明確的認識。根據(jù)事故控制的基本模式，在系統(tǒng)設計時，要考慮幾個信息反饋回路，而以下兩個基本回路尤為重要。

其一：制表（安全檢查表）檢查（工作崗位）隱患評價打?。ㄕ耐ㄖ┯嘘P部門整改（工作崗位）

其二：隱患總庫制表（安全檢查表）檢查發(fā)現(xiàn)新隱患（新隱患）存檔總庫

因此，系統(tǒng)應按如下方式運行：

首先，通過危險源辨識發(fā)現(xiàn)來自各分廠工段的事故隱患，經過匯總、分析后，輸入安技部門的中心計算機，并分別建立了兩個事故隱患檔案：一個是按不同的崗位來分的事故隱患檔案，安全檢查表的制訂就是以它作為依據(jù)；另一個是按其所屬的不同的專業(yè)部門來分的事故隱患檔案，它是用來區(qū)分事故隱患的類型，以便制訂出各種專業(yè)報表，發(fā)送至各專業(yè)部門。各個不同崗位的安全檢查表通過計算機打印出來后，發(fā)送至各生產崗位。工作人員依表進行安全檢查，發(fā)現(xiàn)事故隱患后，及時通過網(wǎng)絡系統(tǒng)反饋回安技部門的信息管理中心，進行匯總，建立當前事故隱患檔案。再根據(jù)按專業(yè)分隱患檔案對其進行分類匯總，制訂出各種不同專業(yè)報表，再通過網(wǎng)絡系統(tǒng)發(fā)至各專業(yè)部門，指導其進行事故隱患整改。

如果，在當前事故隱患檢查中發(fā)現(xiàn)未列出的新事故隱患，則把它存入事故隱患檔案（包括按崗位分和按專業(yè)分事故隱患檔案）不斷增加內容，因此，安全檢查表的內容也隨之豐富。當前事故隱患檔案的建立，是為了實現(xiàn)對各專業(yè)部門進行的隱患整改情況的跟蹤監(jiān)督。通過與當前事故隱患檔案中情況的對照，可發(fā)現(xiàn)以前的事故隱患是否已得到整改，從而采取相應措施。

在系統(tǒng)中，建立以上三種事故隱患檔案之后，還可建立傷亡事故檔案，以及危險作業(yè)崗位工作人員的素質、崗位安全教育培訓檔案等。

二、系統(tǒng)的應用說明

1、危險源辨識

危險源辨識是建立安全信息管理系統(tǒng)的基礎，也是建立此系統(tǒng)的第一步。進行危險源辨識工作時，不僅要分析以往發(fā)生的傷亡事故資料，還要參照來自系統(tǒng)外部的其它有關信息資料。危險源辨識，應掌握下列幾項內容：

1)生產設備本質安全化水平，設計缺陷及作業(yè)環(huán)境缺陷；

2)人機匹配問題；

3)事故嚴重度和發(fā)生概率；

4)事故可能發(fā)生的模式及波及范圍預測。

按此要求進行危險源辨識，再輔以系統(tǒng)安全分析方法，即可找出各種潛在的事故隱患，從而為安全檢查表的制訂和隱患的整改工作打下基礎。

2、信息管理系統(tǒng)

主要是指設在安技部門的中心計算機信息管理系統(tǒng)。

1）模塊設計

該系統(tǒng)的模塊設計包括兩個方面：數(shù)據(jù)存貯設計和處理過程設計。

數(shù)據(jù)存貯設計主要是確定存貯的內容和文件的組織方式。它包括各種檔案文件的建立及分類。

處理過程設計主要是把模塊分為四類：輸入?yún)R總、查詢、打印報表和復制。

系統(tǒng)主控模塊由下述多個功能模塊組成，在菜單提示下調用子程序執(zhí)行其功能。

2）程序編制

在本系統(tǒng)中，編程使用的語言主要是中西文FOXBASE2.1+,從數(shù)據(jù)庫語言本身的優(yōu)點看，F(xiàn)OXBASE2.1+是開發(fā)本軟件非常合適的語言，而且在我國普及很廣，對漢字系統(tǒng)的要求也不很嚴格，具有很強的適應性和可移植性。系統(tǒng)升級也很容易，用FOXBASE語言編寫的程序可不做任何修改而直接在FOXPRO系統(tǒng)下運行。且可編譯成.EXE文件，直接在DOS下運行，加強了系統(tǒng)的保密性和裝載速度。

3、安全檢查

安全檢查是安全管理信息系統(tǒng)成敗之關鍵。安全檢查表依據(jù)從危險源辨識和系統(tǒng)安全分析（主要是事故樹分析）得到的事故隱患檔案確定。因而其內容全面、客觀、具有嚴格的科學性。要求設計崗位檢查內容各異，表格形式通用的安全檢查表，同時融安全檢查和設備點檢的要求于一表，以減輕工人負擔。檢查表的主要內容包括：檢查項目，檢查內容（包括其它新的內容）及標準，檢查結果（包括備注）以及檢查人和檢查日期。各危險崗位的工作人員和安全員應嚴格按照檢查表進行檢查，及時將事故隱患反饋給安技部門。如果發(fā)現(xiàn)的事故隱患已由工作人員或車間內部自己解決，也需記入檢查表內，并注明已得到整改。

4、隱患整改

隱患整改是安全管理信息系統(tǒng)的最后實施體現(xiàn)，前面所做的一切都是為實施隱患整改創(chuàng)造條件，而隱患整改才是系統(tǒng)起作用的極為重要的手段。

應該建立以安技、設備動力、生產、運輸、保衛(wèi)五個專業(yè)部門為主體的隱患整改機制，凡屬于設備、電氣方面的信息，直接由設備動力部門解決，交通車輛事故隱患由運輸部門解決，這種按系統(tǒng)管理，分級負責的方法有利于充分發(fā)揮各專業(yè)部門的安全生產責任及其積極性。

安技部門的信息管理系統(tǒng)，分系統(tǒng)、按職責將事故隱患制成各種專業(yè)報表，通過安全管理信息系統(tǒng)網(wǎng)絡，及時反饋到有關部門的終端上。

篇2

1 引言

隨著計算機和網(wǎng)絡通信技術的快速發(fā)展，信息技術越來越多地被應用于銀行各項業(yè)務，銀行可以為客戶提供“3A”（Anytime，Anywhere，Anyway）服務，信息技術在給業(yè)務辦理帶來巨大方便、高效的同時，也帶來了極大的信息安全隱患。從一般概念上來講，網(wǎng)絡信息安全主要指網(wǎng)絡信息的完整性、保密性、可用性、真實性和不可抵賴性。但是銀行作為一個特殊的機構關乎國家經濟命脈和人民生活，銀行信息安全自然非常重要，它是指銀行信息系統(tǒng)的軟硬件資源及其數(shù)據(jù)受到嚴格保護，不受惡意的或偶然的原因而遭到更改、破壞、泄露，系統(tǒng)可持續(xù)穩(wěn)定可靠地運行，信息服務不間斷。銀行信息安全是銀行業(yè)務開展的基礎，是銀行經營穩(wěn)健運行的保障。

2 我國銀行信息安全的現(xiàn)狀

自1998年3月6日，中國銀行業(yè)務系統(tǒng)第一次成功辦理電子商務交易，從此開始了中國內地網(wǎng)上銀行業(yè)務發(fā)展的序幕。近年來，我國銀行業(yè)的信息系統(tǒng)經歷了地震、泥石流等各種各樣的考驗，充分說明了我國大陸銀行業(yè)信息系統(tǒng)建設取得了一定成績，同時監(jiān)管層也頒布了《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《關于進一步加強銀行業(yè)金融機構信息安全保障工作的指導意見》等政策法規(guī)。目前，各大銀行已經意識到網(wǎng)絡信息安全的重要性，成立了信息安全專門管理機構，并在信息安全管理機構內養(yǎng)一些專業(yè)人才，并增加了信息安全的投入。

雖然中國銀行業(yè)在信息安全建設方面取得了佳績，但是銀行信息安全危險依然存在，銀行信息安全保障依然不能忽視。據(jù)了解，國內網(wǎng)絡犯罪案件呈現(xiàn)逐年上升的態(tài)勢，其中銀行信息安全方面的犯罪率達到了60%以上。據(jù)互聯(lián)網(wǎng)新聞報道，2009年上海農商銀行信息系統(tǒng)出現(xiàn)故障，區(qū)域內大量營業(yè)網(wǎng)點無法正常辦理業(yè)務；2010年2月3日中國民生銀行網(wǎng)絡信息系統(tǒng)出現(xiàn)長達4小時的系統(tǒng)故障，全國范圍內無法辦理業(yè)務；2014年2月支付寶員工在信息系統(tǒng)的后臺下載了大量客戶信息有償出售給其他電商公司。上述事件嚴重影響了人民的利益，對金融企業(yè)的形象和聲譽造成了極大的負面影響，充分暴露出銀行業(yè)機構在網(wǎng)絡信息安全領域有較大隱患，不容小覷。

3 銀行信息安全存在的問題

銀行信息安全系統(tǒng)的建設是一個龐大復雜的工程，大部分工作牽扯到銀行業(yè)務管理水平和信息安全技術，目前無論從系統(tǒng)管理的角度還是從安全技術水平的角度，銀行信息安全方面都存在著較多問題，下面從這兩個方面展開論述。

3.1 從業(yè)務管理的角度看銀行信息安全存在的問題

⑴對信息安全的認識不到位，信息安全的意識觀念薄弱

銀行業(yè)的信息安全問題，首先是意識和觀念的問題。不管是管理層還是底層員工，能認識到網(wǎng)絡信息安全的重要性，熟悉信息安全的基本內容和具體工作要求是非常重要的。人們往往認為信息安全的核心安全性取決于核心技術，其實這種思想是錯誤的，信息安全首先取決于基本規(guī)范的實施和安全手段的應用。

⑵重視信息安全產品的投入而忽視管理投入，應急預案不完備

網(wǎng)絡信息安全投入不完全是安全產品和工具的投入，還應包括操作流程、應急處理機制策略等方面的投入，還必須配套與安全產品有相適應的過程管理機制。建立合理的流程管理機制需要投入，這些投入與安全體系的完整性有著緊密的聯(lián)系，否則報警無人處理、入侵無人響應，效果并不理想。應急預案的覆蓋范圍必須足夠廣，制定規(guī)范性、系統(tǒng)性應急預案并進行實踐檢驗，部分應急預案的制定與銀行實際工作情況沒有關聯(lián)，側重于應急預案的形式，而不注重應急演練實踐檢驗，極少有銀行機構做到模擬真實場景進行應急演練和評估風險。

⑶銀行缺少信息安全管理的復合型人才

金融管理離不開管理方面的人才，金融企業(yè)信息安全管理需要復合型人才，這種復合型人才必須熟悉計算機和網(wǎng)絡技術，又要懂銀行業(yè)務流程和信息安全風險防范知識。目前，這種復合型人才還比較少。各大銀行的信息安全專業(yè)技術人員大部分都是畢業(yè)于計算機或相關專業(yè)，他們對計算機專業(yè)知識相對比較了解，但是對銀行業(yè)務的工作流程和信息系統(tǒng)潛在威脅的把握還不夠。

3.2從專業(yè)技術角度看銀行信息安全存在的問題

⑴銀行使用的軟件安全性比較弱

由于計算機應用軟件是銀行內部信息的載體，所以軟件本身的質量相當重要。目前銀行業(yè)務系統(tǒng)的軟件體系，包括項目管理系統(tǒng)和軟件開發(fā)生命周期都只注重軟件功能、開發(fā)速度和市場，很少考慮安全的需要。現(xiàn)在發(fā)現(xiàn)管理和技術上存在的安全威脅，主要出現(xiàn)在應用軟件安全設計上。

⑵系統(tǒng)漏洞和信息泄密

所謂漏洞一般是指系統(tǒng)設計開發(fā)人員在軟件開發(fā)的時候，故意設置的。這樣做的目的是為了保證銀行從業(yè)人員在某些特殊情況下失去系統(tǒng)訪問權限時可以順利進入系統(tǒng)，正是因這些軟件漏洞的存在，給銀行業(yè)務系統(tǒng)帶來了信息安全威脅，這樣就會造成信息的泄露。其次，銀行的內部職工最熟悉金融企業(yè)的計算機應用系統(tǒng)，他們知道那些操作能使計算機系統(tǒng)出現(xiàn)故障、損壞或泄密。某些時候金融企業(yè)裁員也可能導致計算機泄密，當裁員時某些系統(tǒng)賬號沒有及時刪除，也可能導致重要敏感信息的泄露。

⑶計算機黑客的惡意入侵

網(wǎng)絡黑客是一些具備較強計算機專業(yè)技術知識的愛好者，他們可以在他人無法察覺的情況下，利用計算機設備侵入一些重要行業(yè)的計算機系統(tǒng)，并從中獲的有價值信息或破壞信息系統(tǒng)。大多數(shù)的網(wǎng)絡黑客主要利用計算機軟件系統(tǒng)的漏洞來入侵信息系統(tǒng)，入侵方法高明且多種多樣，并且入侵手段更新速度也很快，從而使現(xiàn)有的計算機系統(tǒng)安全產品很難及時做出相應的預防，進而導致計算機網(wǎng)絡經常遭到網(wǎng)絡黑客的侵入。

⑷計算機病毒和木馬

計算機病毒是目前信息安全主要威脅因素之一，而且現(xiàn)在的計算機病毒千奇百怪，多種多樣。計算機病毒是一些計算機愛好者刻意編寫的程序代碼，具有類似于生物病毒的破壞性、傳染性、隱蔽性等特點。為了保證銀行計算機網(wǎng)絡系統(tǒng)的安全運行，應重視防范病毒。另外還有就是木馬程序，木馬程序是一種由攻擊者悄悄安裝在受害人計算機上的竊聽及控制程序，通常包括控制端和被控制端兩個部分，被控制端程序通過網(wǎng)絡或其他介質植入受害人計算機，控制端程序則安裝在不法分子的計算機設備上，利用控制端遠程的和被控制端傳送數(shù)據(jù)，以竊取受害人計算機上的資源，盜取個人信息和各種重要敏感數(shù)據(jù)，給單位和個人造成相當大的損失。

⑸災備措施不完善和基礎設施故障

銀行的災難備份和恢復能力必須進一步加強，中國銀行業(yè)的災備系統(tǒng)類型比較單一，覆蓋面還較小，尤其缺乏系統(tǒng)的災難恢復方案。正因為這些情況的存在，導致了各種各樣的自然災害發(fā)生后，無法立刻啟動應急預案并快速切換到備份系統(tǒng)，所以才會出現(xiàn)長達數(shù)小時的信息服務中斷。計算機基礎設施可以說是任何計算機系統(tǒng)安全運行的保障，當基礎設施出現(xiàn)故障后，勢必會造成信息服務的中斷，同時這種情況的發(fā)生是不可預知的?；A設施的出現(xiàn)故障的原因比較復雜而且多樣化，具體包括服務器電源故障、網(wǎng)線老化、通信中斷等。

4 銀行信息安全風險的應對策略與建議

從以上關于我國銀行信息安全問題的分析可以知，構建一套可行的銀行信息系統(tǒng)安全保障體系和方法，加強防范信息安全風險勢在必行。因此，應做好以下方面的工作。

⑴認真做好相關專業(yè)人員的安全意識教育，而且常抓不懈

銀行內部比須加強信息安全監(jiān)管和懲戒力度，明確法律責任，將信息安全的責任落實到每個相關人員，出現(xiàn)問題誰負責追究誰，將違規(guī)操作的可能性降到最低。對于銀行而言，任何的數(shù)據(jù)和客戶信息都非常重要，必須有嚴格的保密規(guī)定，但是常常在實際工作中出現(xiàn)這樣那樣的小問題，因此要強化內部員工的安全意識教育和信息安全基礎知識培訓，此項工作必須常抓不懈，然后將相關內容整理成冊，定期的學習考核。必要時，有機會接觸重要信息的員工在進入崗位之前必須做出書面承諾，保密承諾要包括重要信息的范圍以及泄密需要承擔的相應責任，使每一個能接觸重要信息的人員明確信息泄露的危害。同時通過培訓，提高所有參與管理的人員信息安全和風險防范意識，關鍵是要重點培養(yǎng)信息安全的業(yè)務骨干。

⑵建立與災備體系相適應的應急管理機制，兩者缺一不可

日常生活中突發(fā)事件是不可預知的，尤其是各種各樣的自然災害，其破壞力比較大。如果銀行能事先把預防措施做到位，做到防患于未然，就可以最大限度地減少經濟損失，保證人民財產不受損失，保障國家經濟安全運行。首先是要建立完善的應急預案機制，有針對性的強化應急演練，對各種自然災害事件進行全面有效的風險評估，分類制定科學的應急方案，開展接近于實際情況的模擬應急訓練，及時評估應急演練的效果，做到突發(fā)事件發(fā)生時無死角，有的放矢，同時通過應急演練檢驗應急預案的實用性、合理性、可行性。接下就是建立與應急機制相適應的災難備份恢復系統(tǒng)，提高業(yè)務可持續(xù)性。大型的銀行要積極建設“兩地三中心”，中小型銀行可以考慮選擇災難備份外包服務，使銀行具備抵御火災、地震、暴雨等自然災害的能力。全面促進業(yè)務系統(tǒng)的連續(xù)性，著實增強銀行防范風險能力。

⑶加大銀行信息安全復合型人才的培養(yǎng)力度，拓寬培養(yǎng)渠道

任何科技工作都必須以人才為重心。為了徹底清除銀行信息化建設中的障礙，切實保障金融企業(yè)信息安全，各大銀行要大力培養(yǎng)信息安全復合型人才。首先根據(jù)各單位信息安全的人員結構和知識結構，在強化信息安全專業(yè)知識教育的同時，還要兼顧計算機專業(yè)知識和金融業(yè)務知識的培訓，而且此項工作必須長期堅持，做好人才儲備。在人才培養(yǎng)的同時還要與實踐相結合，在學習各類信息安全知識的前提條件下，組織參與培訓專業(yè)人員針對信息安全制度進行實踐檢驗。

⑷敏感重要數(shù)據(jù)務必加密，同時安裝殺毒軟件

首先，加密是確保信息安全的關鍵技術之一。越來越多的數(shù)據(jù)要求銀行的業(yè)務系統(tǒng)在選擇加密方式時要盡可能的有多種數(shù)據(jù)防護需求，在已有的加密方式下，多模加密技術是較好的選擇。多模加密技術是將非對稱加密算法（如RSA）和對稱加密算法（如DES和AES）相結合，在確保數(shù)據(jù)安全的同時，其多模的特性可以根據(jù)需求選擇對稱或非對稱加密方式。另外防范計算機病毒最有效的措施就在銀行的各類計算機系統(tǒng)中安裝正版的防病毒軟件，力爭做到病毒防范無死角無遺漏，并且確保殺毒軟件能實時更新病毒庫。對于新購置的軟件和類似于U盤的存儲介質，在使用前銀行員工須使用殺毒軟件進行全面的病毒掃描，確認安全之后方可使用。

⑸進一步推進銀行信息化技術法規(guī)和標準化體系建設

結合銀行信息化發(fā)展的實際需要，以各種方式協(xié)作，分層次和有序的加快銀行信息化技術規(guī)范和標準的建設進度。組織完善數(shù)據(jù)中心建設、數(shù)據(jù)存儲、網(wǎng)絡互連、安全加密、數(shù)據(jù)交換、安全認證、客戶服務方面標準的制定。對網(wǎng)上銀行、移動銀行、電子商務等創(chuàng)新產品和服務，制定與之相適應的標準和規(guī)范。同時，建立科學的監(jiān)督策略，通過制度建設，強化技術標準和規(guī)范的執(zhí)行強度。

篇3

一、電子政務建設取得階段性成效

（一）2014年我縣職能部門建立電子政務平臺37個，涉及黨政、教育、水務、醫(yī)療、金融、煙草、公共安全等多個方面。其中電信新開通平臺1個，聯(lián)通開通平臺4個，萬網(wǎng)工程建設外網(wǎng)平臺32個。

（二）移動公司完成了101條信息化專線建設。

二、城鄉(xiāng)信息化發(fā)展迅速

（一）2014年全縣新建基站119個，其中電信在、縣城等區(qū)域新建基站11個，移動投資1200余萬元建設基站61個，聯(lián)通建設基站47個，覆蓋全縣所有鄉(xiāng)鎮(zhèn)。

（二）為推動城鄉(xiāng)信息化發(fā)展，各通信服務企業(yè)紛紛出臺城鄉(xiāng)優(yōu)惠政策，通過改造農村寬帶、話費優(yōu)惠、話機促銷等方式，促進城鄉(xiāng)信息消費，提高城鄉(xiāng)信息化程度。其中移動公司投資600余萬元，完成63個小區(qū)寬帶、11個鄉(xiāng)鎮(zhèn)寬帶和25個農村寬帶建設。

三、“兩化融合”工作進展順利

（一）為更好進行“大社會”治安管理監(jiān)控，我縣先后完成了21家大社會視頻監(jiān)控項目，對56家煤礦企業(yè)進行實時監(jiān)控。

（二）為做好全縣經濟運行分析工作，我縣將具有行業(yè)代表性的32家中小企業(yè)納入省中小企業(yè)生產經營運行監(jiān)測平臺進行監(jiān)測，為全縣經濟分析提供有效參數(shù)。

（三）為更好的服務于企業(yè)，提高企業(yè)生產、管理、銷售信息化水平，2014年我縣共為11戶企業(yè)建立移動信息基站。

四、園區(qū)信息化發(fā)展機制完善

（一）園區(qū)無線寬帶建設

無線接入網(wǎng)在公共區(qū)域采用最新的802.11n協(xié)議標準，實現(xiàn)300mbit/s的高速無線接入，全面實現(xiàn)移動辦公。

（二）骨干網(wǎng)建設

1、在有線接入網(wǎng)絡上采用pon和ftto接入，實現(xiàn)電話網(wǎng)、電視網(wǎng)、計算機網(wǎng)絡的三網(wǎng)融合。

2、在各單位內部采用塑料光纖建設以太局域網(wǎng)，通過千兆路由器上聯(lián)到園區(qū)ip骨干網(wǎng)，從而實現(xiàn)萬兆到園區(qū)，千兆到大樓，百兆到桌面的高速寬帶上網(wǎng)。

3、在園區(qū)機房建設匯聚路由器，實現(xiàn)對園區(qū)信息輸送的匯聚。

（三）電子商務

1、基于建設好的網(wǎng)絡承載平臺，以園區(qū)網(wǎng)站建設為龍頭，建設統(tǒng)一的數(shù)據(jù)交換平臺，發(fā)展統(tǒng)一的園區(qū)電子政務平臺，實現(xiàn)“陽光政務”。

2、通過園區(qū)網(wǎng)站的建設及與大型電子商務平臺的對接，為企業(yè)提供高端的電子商務平臺，同時嵌入主流物流平臺軟件，使園區(qū)的所有物流情況全部通過電子物流平臺實現(xiàn)指令傳送和過程監(jiān)管。

五、信息化安全建設體系完善

（一）貫徹落實手機實名制

積極貫徹工信部手機實名入網(wǎng)相關文件精神，嚴格要求電信、移動、聯(lián)通三大電信運行商自9月起執(zhí)行新用戶入網(wǎng)時必須登記實名信息。通過手機實名制的推進，有利于杜絕非法使用手機通訊現(xiàn)象，促進我縣的通訊事業(yè)健康發(fā)展。

（二）園區(qū)信息安全建設

1、采用mpls-vpn功能的olt設備，為園區(qū)企業(yè)提供端到端服務，為建設vpn網(wǎng)絡提供極大方便，增強了園區(qū)企業(yè)內部網(wǎng)絡安全性。

2、在園區(qū)環(huán)形骨干光纜的多物理路由保護下，實現(xiàn)對入駐企業(yè)內部網(wǎng)絡的多路由保護。

3、在園區(qū)匯聚路由器的前端安裝硬件防火墻，加強園區(qū)企業(yè)信息安全。

（三）認真開展通訊行業(yè)應急工作

根據(jù)省、市、縣通訊保障應急工作安排，由我局牽頭對縣域三大通訊公司進行通訊應急工作檢查，重點查看應急預案，車輛配備，應急器材保養(yǎng)等情況，對不符合規(guī)范的情況責令整改，要求三大運營商在保障日常通訊的同時，配備專人開展應急通訊工作，維護相關器材，確保在大災大害等特殊情況下的通訊暢通。

六、2014年工作計劃

（一）積極推進企業(yè)“兩化融合”工作

1、促進園區(qū)企業(yè)綜合信息平臺建設，實現(xiàn)信息資源優(yōu)化配制，節(jié)約企業(yè)運行成本。

2、選擇雙星茶業(yè)、好牛旺食品公司、同心木業(yè)等行業(yè)代表企業(yè)開展電子商務應用示范，充分發(fā)揮其輻射和示范作用。

（二）加快推進電子政務建設工程

推進全縣政務外網(wǎng)網(wǎng)絡基礎設施的改造升級，進一步完善網(wǎng)絡結構，打造全縣黨政機關各部門信息共享、數(shù)據(jù)交換的政務外網(wǎng)統(tǒng)一平臺。

（三)加強信息安全

完善和落實《網(wǎng)絡與信息安全應急預案》，提高我縣處置網(wǎng)絡與安全突發(fā)公共事件能力，確保重要計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全。

篇4

對許多企業(yè)、人來說，往往要等到遇上了天災人禍，才會想起保險的好，人們對于信息安全的認識也是如此，就連保險業(yè)也不例外。中國保險監(jiān)督管理委員會處長李春亮在今年春天的一次保險業(yè)會議上表達了他對保險業(yè)信息安全的擔憂:“目前保險業(yè)的信息化建設滯后于信息安全形勢的發(fā)展?！?/p>

他表示:近年來，經濟和金融領域的信息安全事件不斷發(fā)生，保險業(yè)是信息密集型企業(yè)、行業(yè)，保險信息系統(tǒng)作為國家重要信息系統(tǒng)之一，目前信息安全基礎還比薄弱，安全意識有待于提高，信息安全保障體系還不完善，還面臨著嚴峻的挑戰(zhàn)。

經過幾年的建設，保險業(yè)信息化走過了最初的電子化和后來的數(shù)據(jù)大集中，絕大部分保險公司實現(xiàn)了業(yè)務、財務數(shù)據(jù)處理的全國集中，部分公司完成了業(yè)務數(shù)據(jù)的省級集中或實現(xiàn)了省級業(yè)務處理的集中。基本完成了大集中的保險公司和機構下一步該怎么走下去？首先當然是信息整合，對數(shù)據(jù)質量的控制和數(shù)據(jù)資產的利用，這是數(shù)據(jù)大集中自然而然的要求。另一項重要的工作則是維護信息安全，以保障集中后的龐大系統(tǒng)穩(wěn)定運行。

其實，自信息化建設初期起，保險機構和公司就應該著手信息安全工作，但是，由于意識上的不重視，不出事就不會想起的常人思維，直到大集中的完成，他們才覺悟從技術和管理上采取最優(yōu)的安全措施至關重要。

特級重要性

作為以信息處理，數(shù)據(jù)管理，金融保險服務為核心的保險企業(yè)，其信息系統(tǒng)面臨的主要威脅也是病毒、網(wǎng)絡攻擊、網(wǎng)絡犯罪、系統(tǒng)設備的損壞和各種自然災害。但是眾所周知，不論是商業(yè)保險還是社會及醫(yī)療保險，保險期短則一年半載，多則幾十余年，因此，每個訂單涉及的時間很長，這就意味著，這種電子化的訂單可能需要一直保持幾十年，這幾十年的數(shù)據(jù)都必須要保存，數(shù)據(jù)何時何地發(fā)生更新都需要記錄。一旦信息系統(tǒng)發(fā)生問題或者故障，保險企業(yè)損失的將不只是金錢，還有信用甚至可能是生存。另外，從競爭的角度來看，保險企業(yè)的客戶數(shù)據(jù)都是屬于高度的商業(yè)機密，一旦泄露出去將會給競爭對手以可趁之機。

所以，除了在日常運營中完善信息安全基礎設施，信息安全管理的各項制度、規(guī)定，開展信息安全教育培訓和宣傳等工作外，保險企業(yè)還需要有抗風險和應急反應能力，以保障業(yè)務的連續(xù)性。這一點也是保險企業(yè)信息安全的重要內容。

2001年發(fā)生在美國的“9?11”事件教育了全世界的企業(yè):如果天災人禍降臨，你得公司是否能夠生存下來就要看你是否之前就進行了有效的災備工作。作為對安全最為敏感的行業(yè)之一，保險業(yè)更是積極投入了大量的人力物力來提高自己的抗風險能力。據(jù)統(tǒng)計，目前，我國超過50%的保險公司開展了災難演習或制訂了災難演習工作計劃，中國平安建立了上海數(shù)據(jù)備份中心，部分公司正在建設異地災備中心或計劃建設異地災備中心。

政府支持

保險公司積極建設災備中心和加強各項安全管理的背后，是國家和政府對于保險信息安全的重視和支持。

中國保監(jiān)會出臺了一系列保障信息安全的措施，比如制定并下發(fā)了《保險機構計算機系統(tǒng)重大系統(tǒng)性故障突發(fā)事件應急預案》、《保險信息系統(tǒng)應急協(xié)調預案》以及《關于做好保險信息系統(tǒng)災難備份工作的通知》，轉發(fā)了國信辦《重要信息系統(tǒng)災難恢復指南》，并與國信辦、國家網(wǎng)絡與信息安全信息通報中心建立了聯(lián)系、溝通、通報機制。

另外，中國保監(jiān)會在督促各保險機構重視信息安全保障工作上也積極行動:首先明確了信息安全保障工作的主管領導，落實了責任部門，設立信息安全管理的專門崗位，有效地加強了信息安全保障工作的組織領導;其二，加強了信息安全相關的制度建設，目前各保險機構參考國內外相關技術標準，基本建立了信息系統(tǒng)安全、網(wǎng)絡安全、機房安全制度。

篇5

關鍵詞：綠色；通信網(wǎng)絡；電力企業(yè)；信息安全

中圖分類號：TN915.08

2014年的通信行業(yè)將仍延續(xù)之前的光明景氣，但行業(yè)整體的利潤規(guī)?？s小，可見利潤的上升空間較大。眼下，4G牌照的發(fā)放正是得益于產業(yè)鏈發(fā)展如日中天的東風和政策性支持的充分肯定，使2013年的通信行業(yè)出現(xiàn)了新的經濟增長點?；诖耍梢灶A想，未來的通信行業(yè)及其相關行業(yè)的發(fā)展勢頭將一片大好。

1 通信網(wǎng)絡與信息安全的關系

通信網(wǎng)絡完全是國家信息安全建設的重要內容，所以電力企業(yè)信息安全與之有著密切聯(lián)系。通信網(wǎng)絡安全，就是將數(shù)據(jù)和信息被攻占的可能性降至最低，這些信息時電力企業(yè)的經濟命脈，若是出現(xiàn)安全問題，將帶來不可估量的經濟損失。而通信網(wǎng)絡在電力信息化建設過程中扮演著三大角色：不同性質計算機應用系統(tǒng)的信息網(wǎng)絡公共平臺的提供者；通信技術資源的開發(fā)、維護和管理者；與業(yè)務管理相關的計算機應用系統(tǒng)的開發(fā)、建設和使用者。

電力企業(yè)的正常運行和經營管理都離不開通信網(wǎng)絡系統(tǒng)，它不僅承載企業(yè)內部的電力調度數(shù)據(jù)網(wǎng)絡系統(tǒng)，而且承載著網(wǎng)絡的互聯(lián)網(wǎng)連接，確保其安全性是電力企業(yè)信息安全建設的重中之重，電力企業(yè)信息安全性在很大程度上決定著電力生產控制系統(tǒng)的安全性。所以，電力企業(yè)要加強綠色通信網(wǎng)絡體系的構建，做好等級保護、風險評估以及安全備份等工作，全面提高通信網(wǎng)絡安全的應急能力和風險規(guī)避能力，提高通信網(wǎng)絡安全的管理水平，為電力企業(yè)的可持續(xù)發(fā)展奠定堅實技術基礎。

2 構建綠色通信網(wǎng)絡的必要性

目前，大部分企業(yè)依然采用普通網(wǎng)絡進行信息互動，盡管也具有一定的安全性，但信息被盜的安全問題卻時有發(fā)生，之所以會出現(xiàn)這種現(xiàn)象，主要是由于：計算機應用系統(tǒng)自身的開放性、互動性和共享性；新型計算機病毒的不斷出現(xiàn)與傳播；商用軟件源代碼的公開化問題；上述這三大方面對電力企業(yè)的信息安全造成了巨大威脅，所以必須要加以重視。電力企業(yè)必須通過構建綠色通信網(wǎng)絡系統(tǒng)，將信息安全風險降至最低，為了實現(xiàn)這一目標，首先要做好構建完善安全機制和不斷加強技術創(chuàng)新。

首先，構建立體化、層次化的安全管控體系。電力企業(yè)要想全面提高通信網(wǎng)絡的技術安全水平，就要加強現(xiàn)有資源的優(yōu)化整合，提高通信網(wǎng)絡系統(tǒng)的自修復能力、應急能力和安全備份能力，具體來講，就是要提高通信網(wǎng)絡系統(tǒng)在安全漏洞自發(fā)現(xiàn)與修復、全程事件監(jiān)控和分析、網(wǎng)絡安全態(tài)勢的綜合分析、網(wǎng)絡安全的高效管理以及安全配置的集中管控等方面的水平。由于所涉及反面比較廣泛，所以要構建與之相應的安全技術體系。

其次，加強IP承載網(wǎng)的安全優(yōu)化設計，利用安全管理中心來提高綠色通信網(wǎng)絡系統(tǒng)的安全性。加強對普通計算機應用系統(tǒng)的管控，并在實際管理和使用過程中，加強對相關技術人員的安全教育，提高他們的保密意識和技術能力，盡量將安全風險降至可控制范圍內的最低。在管理方面，要加強長效的安全管理機制的構建，確保網(wǎng)絡管理人員及時到位，構建完善的安全評估和應急體制，等等。特別需要提出的是，為了提高系統(tǒng)應急能力，必須要構建完善的安全應急處理協(xié)調機制，加強應急預案體系和應急指揮體系的構建，全面加強應急隊伍和技術保障建設。要做好基礎信息網(wǎng)絡建設、重要信息安全備份和安全應急處理工作，一旦出現(xiàn)安全故障，要確保在最短時間內加以解決，將風險和損失降至最低。

3 規(guī)劃綠色通信網(wǎng)絡的四步驟

規(guī)劃綠色通信網(wǎng)絡系統(tǒng)是電力企業(yè)信息建設的重要前提和基礎保障，具有非常重要的現(xiàn)實意義。為為了實現(xiàn)這一目標，不僅需要嚴格遵守電力系統(tǒng)的相關規(guī)定，而且還要嚴格遵循相關的技術標準，所以，要想實現(xiàn)綠色通信網(wǎng)絡的科學規(guī)劃，需要立足于傳送網(wǎng)絡層和業(yè)務網(wǎng)絡層，加強所用設備的檢查、巡視與監(jiān)控，確保信息系統(tǒng)安全穩(wěn)定運行，強化信息通訊安全保障，主要做好以下幾個方面的工作才可以：

3.1 做好業(yè)務網(wǎng)絡規(guī)劃。具體來講，就是對提供不同業(yè)務的網(wǎng)絡加以科學規(guī)劃，包括數(shù)據(jù)網(wǎng)、移動通信網(wǎng)和計算機網(wǎng)等核心業(yè)務網(wǎng)絡。業(yè)務網(wǎng)絡規(guī)劃在綠色通信網(wǎng)絡系統(tǒng)構建中具有重要作用，是電力企業(yè)實現(xiàn)信息化的關鍵環(huán)節(jié)。電力企業(yè)要在既有業(yè)務網(wǎng)絡的基礎上加強安全建設，靈活利用各種手段加強對安全技術人員和管理人員的業(yè)務培訓，提高電力企業(yè)業(yè)務系統(tǒng)的技術能力和安全意識，確保各大業(yè)務系統(tǒng)的正常運作。

3.2 做好傳送網(wǎng)絡規(guī)劃。具體來講，就是構建完善的業(yè)務技術支撐體系，對交換機、無線網(wǎng)絡、移動網(wǎng)絡和服務器等進行規(guī)劃。目前，國家對信息安全問題日益重視，而電力企業(yè)信息系統(tǒng)的安全建設也開始提上日程，如何加強傳輸網(wǎng)絡層的規(guī)范化和標準化，已經成為通信領域的一大課題。根據(jù)通信網(wǎng)絡系統(tǒng)對信息傳輸安全性、保密性和規(guī)范性的要求，電力企業(yè)要實現(xiàn)對信息傳輸?shù)膶崟r監(jiān)控，強化網(wǎng)絡管理人員的保密意識，避免管理人員將重要信息外泄的非法操作現(xiàn)象出現(xiàn)，確保信息傳輸?shù)陌踩浴?/p>

3.3 做好安全保障規(guī)劃。具體來講，就是通過成立專門的組織機構，明確各科室信息人員及時處理設備故障的工作，及時處理信息通信出現(xiàn)的突發(fā)事件。堅持“誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，完善各項防護措施，加強運行管理，開展防病毒、防攻擊、防破壞等安全防范工作；開展全方位的通信網(wǎng)絡隱患排查和治理工作，做好基礎設備防火、防盜及電源檢查與保障工作；建立特巡機制，重點監(jiān)控網(wǎng)絡設備、重要應用系統(tǒng)與數(shù)據(jù)庫等；加強網(wǎng)絡通道保障機制，對值班人員提出密切監(jiān)控的嚴要求，發(fā)現(xiàn)問題及時解決，全面保障通信網(wǎng)絡安全。

3.4 做好基礎設施規(guī)劃。具體來講，就是對計算機、服務器等硬件設施的規(guī)劃，這些硬件設施是確保通信網(wǎng)絡系統(tǒng)正常運作的前提。在信息系統(tǒng)中，服務器承載量非常大，在信息傳輸過程中數(shù)據(jù)的處理工作量也急劇增長，只有實現(xiàn)對路由器的實時監(jiān)控，定期檢查路由器故障，加強基礎設施建設力度，才能確保其企業(yè)通信網(wǎng)絡系統(tǒng)的安全運作。此外，為了構建長效綠色通信網(wǎng)絡系統(tǒng)，還要對網(wǎng)絡安全預防、網(wǎng)絡綜合化等因素加以全面考慮，在做好信息傳送網(wǎng)絡層和業(yè)務網(wǎng)絡層規(guī)劃基礎上，積極采取有效的安全預防措施，以便盡快實現(xiàn)綠色通信網(wǎng)絡系統(tǒng)構建的信息化建設目標，實現(xiàn)電力企業(yè)的可持續(xù)發(fā)展。

4 結語

現(xiàn)代通信網(wǎng)絡日益呈現(xiàn)多元化發(fā)展，數(shù)字化、寬帶化和智能化已經成為必然趨勢，做好網(wǎng)絡規(guī)劃和綠色通信網(wǎng)絡系統(tǒng)構建，不僅可以確保電力企業(yè)的信息安全，而且還可以創(chuàng)造良好的社會效益和經濟效益。所以，電力企業(yè)必須加強對綠色通信網(wǎng)絡系統(tǒng)的構建，全面提高企業(yè)信息技術創(chuàng)新能力和信息安全管理能力，將企業(yè)的信息安全風險降至最低，全面提高電力企業(yè)通信網(wǎng)絡系統(tǒng)的安全防護能力和安全管理水平。

參考文獻：

[1]張禮莉.淺析電力企業(yè)信息網(wǎng)絡的安全及防范措施[J].通訊世界，2013（11）.

[2]郭建，顧志強.電力企業(yè)信息安全現(xiàn)狀分析及管理對策[J].信息通信，2013（03）.

[3]李艷.綠色信息通信網(wǎng)絡中的節(jié)能減排技術應用[J].數(shù)字技術與應用，2013（08）.

篇6

ITS,一場持久戰(zhàn)——寫在第十八屆智能交通世界大會召開之際

我們如何趕超美國?

多義性路徑識別問題探討

業(yè)界動態(tài)

企業(yè)信息

智能交通產品數(shù)據(jù)庫

基于國標DSRC的多車道自由流應用系統(tǒng)設計

多車道自由流不停車收費中DSRC設備技術與應用

高速公路電子不停車收費系統(tǒng)的管理和維護

電子不停車收費交易區(qū)域測量

ETC交易過程扣款應答報文丟失現(xiàn)象淺析

高速公路站亭嵌入式自動發(fā)卡系統(tǒng)設計方案

高速公路聯(lián)網(wǎng)收費信息速查表的研發(fā)與應用

高速公路治超不停車檢測與收費聯(lián)動系統(tǒng)應用

單稱臺與多稱臺動態(tài)計重方式的數(shù)據(jù)分析

IC卡圖像存儲技術在防逃費系統(tǒng)中的應用

高速公路突發(fā)事件應急預案的軟件實現(xiàn)

長江隧橋綜合監(jiān)控系統(tǒng)信息的實現(xiàn)

超速監(jiān)測系統(tǒng)在長大隧道中的應用

更快,更低碳——記京津冀區(qū)域高速公路聯(lián)網(wǎng)不停車收費系統(tǒng)開通

窗外是收獲的季節(jié)——寫在《中國交通信息化》編輯部被評選為全國交通運輸行業(yè)文明示范窗口之際

路網(wǎng)何以變通衢?——聚焦路網(wǎng)監(jiān)測與服務

主線收費站通行能力保障措施

漢十高速公路機電系統(tǒng)整合實踐

使主動維修更科學

高速公路智能化系統(tǒng)工程項目管理

中國交通信息化贈閱申請表

業(yè)界動態(tài)

企業(yè)信息

智能交通產品數(shù)據(jù)庫

ETC防跟車干擾問題解決方案

高速公路改擴建收費系統(tǒng)改造

收費系統(tǒng)車道技術柜改造

無人值守自動發(fā)卡機工作流程分析

安徽省高速公路收費數(shù)據(jù)分析

數(shù)學形態(tài)學邊緣檢測抗噪車牌定位系統(tǒng)

省域高速公路視頻聯(lián)網(wǎng)控制系統(tǒng)研究

襄荊高速收費監(jiān)控系統(tǒng)雙網(wǎng)升級改造

廣深高速聯(lián)網(wǎng)視頻監(jiān)控系統(tǒng)技術方案

一個不斷升級的平臺——2009全國高速公路收費站長、隧道所長及機電維修系列研修班側記

走出招投標怪圈——寫在《關于進一步加強公路工程施工招標評標管理工作的通知》一周年之際

高速公路路橋公司指揮調度中心運行要則

高速公路安全服務管理系統(tǒng)研究

業(yè)界動態(tài)

企業(yè)信息

智能交通產品數(shù)據(jù)庫

太陽能車載電子標簽OBU的設計應用

安徽省ETC系統(tǒng)的架構與建設

復式收費模式提升通行效率的應用分析

基于車牌識別的快速路OD信息采集技術

重慶高速公路監(jiān)控系統(tǒng)的設計與應用

高速公路跨省隧道監(jiān)控系統(tǒng)設計

構建基于統(tǒng)一網(wǎng)管平臺的高速公路監(jiān)控系統(tǒng)

情報板聯(lián)網(wǎng)信息在高速公路中的應用

基于綠色能源的交通檢測系統(tǒng)的硬件實現(xiàn)

現(xiàn)代通訊技術在高速公路客服系統(tǒng)中的運用

光纜線路故障點的查找與定位方法

篇7

 

在信息全球化的影響下，網(wǎng)絡已經對人們的生活產生出了極為深刻的影響。因此，人們對網(wǎng)絡環(huán)境下的信息安全問題也開始更加關注。在長期的發(fā)展過程中，人們將網(wǎng)絡比喻成了一把雙刃劍，雖然存在著較大的優(yōu)勢，但是其問題也不容小覷。在企業(yè)中運用網(wǎng)絡，在促進企業(yè)發(fā)展的同時，也很容易造成企業(yè)中的信息出現(xiàn)泄漏的現(xiàn)象，且一旦信息泄漏，就會造成嚴重的影響。

 

1 企業(yè)中信息安全的重要性

 

企業(yè)想要實現(xiàn)長遠的發(fā)展，就要保證自身信息上的安全，同時還要認識到信息安全的重要性，從長遠的角度上出發(fā)來保護好信息。企業(yè)想要實現(xiàn)發(fā)展，就要做好基礎性的工作，完善基礎設施建設，建立出完善的信息安全保障系統(tǒng)，在健康的網(wǎng)絡環(huán)境下來實現(xiàn)長遠的發(fā)展。隨著科學技術的不斷發(fā)展，云計算、大數(shù)據(jù)以及互聯(lián)網(wǎng)等將引領著未來IT的發(fā)展[1]。

 

2 做好企業(yè)信息安全建設的措施

 

對于企業(yè)信息安全來說，是一項系統(tǒng)性的工程，并需要在技術與管理上做好相關工作，這樣才能保證信息的安全。因此，在實際中就要認識到技術在信息安全管理中的重要性，同時還要完善系統(tǒng)的管理工作，發(fā)揮出應有的作用與效果，同時還要做好風險評估與技術創(chuàng)新等工作，以此來保證企業(yè)中信息的安全。

 

2.1 安全風險評估

 

隨著網(wǎng)絡的不斷發(fā)展，信息的種類也開始逐漸增多，這樣所產生的問題也在不斷的增多，并呈現(xiàn)出了越來越厲害的趨勢，所以也就使得人們開始思考籌劃信息系統(tǒng)的過程中，為了保證系統(tǒng)的健康營運而建造出全面的安全保障系統(tǒng)。通過對目前的應用系統(tǒng)進行分析與評估等工作是實際可行的辦法。因此，在實際中企業(yè)中的信息系統(tǒng)根據(jù)風險管理的方法來對可能存在的風險以及需要進行保護的信息進行分析，以風險評估為最終結果來選擇出適當?shù)拇胧瑧獙每赡艹霈F(xiàn)的風險。企業(yè)只有對安全風險進行有效的評估，才能夠結合實際問題進行科學合理的分析，采取有效的措施避免風險出現(xiàn)。

 

2.2 實際技術上的創(chuàng)新與管理

 

時代的發(fā)展是建立在創(chuàng)新基礎之上的，只有實現(xiàn)不斷的創(chuàng)新，才能實現(xiàn)更好的發(fā)展。因此，在技術不斷創(chuàng)新的影響下，就要提高其質量，保證效益，建立出以市場發(fā)展為基礎的創(chuàng)新機制。對于企業(yè)來說，想要在行業(yè)市場競爭中占據(jù)一席之地，就要做好創(chuàng)新工作，全面實現(xiàn)創(chuàng)新理念，認識到制度創(chuàng)新是技術創(chuàng)新的基礎，構建出完善的管理體系，提高程序以及方法上的科學性，同時還要保證財力上的支持，實現(xiàn)技術的改進與創(chuàng)新[2]。

 

首先，要做好技術上的創(chuàng)新。想要保證信息的安全，就要制定出信息的搶救措施，如進行數(shù)據(jù)恢復、備份以及銷毀等安全預防措施。普遍采用的恢復技術有HD Doctor等。對于網(wǎng)絡的正常運行來說，安全是最基礎的，想要保證網(wǎng)絡的安全，就要從多個層面上出發(fā)來進行立體保護。同時還要明確怎樣進行防護，掌握風險的來源。因此，在實際中就要對網(wǎng)絡安全風險進行評估，并將重點放在安全測試評估技術上。其目標是要掌握好相關的技術，完善的測評流程，健全風險評估的體系。

 

其次，完善管理措施。在長期的發(fā)展過程中，企業(yè)中的信息化建設開始從戰(zhàn)術地位向著戰(zhàn)略地位的方向發(fā)展了。因此，就要從經營戰(zhàn)略的層面上出發(fā)，將信息化建設與企業(yè)中的經營戰(zhàn)略結合在一起，在環(huán)境分析的基礎上來制定出發(fā)展戰(zhàn)略，及時對企業(yè)中的信息化綱領進行調整。同時還要明確的是要在滿足企業(yè)發(fā)展戰(zhàn)略的基礎上來明確企業(yè)中的信息化愿景。第一，建立出完善的管理制度，明確管理的方案，以及安全服務等方面的內容，從企業(yè)自身的實際情況上出發(fā)沒離開選擇可以保證企業(yè)自身信息安全的產品。第二，建立出運維管理制度。在這一制度中要包含安全監(jiān)控、設備設施的安全以及應急預案的處理等方面。第三，將監(jiān)督檢查機制落實到實際中去。通過對各項制度的實際情況進行檢查，可以保證企業(yè)中信息的安全[3]。

 

2.3 充分運用防火墻技術

 

在網(wǎng)絡信息安全的管理中，防火墻技術屬于一項較為有效的安全技術，能夠按照特定的規(guī)則，從而來允許以及限制數(shù)據(jù)的通過。現(xiàn)今很多企業(yè)都廣泛應用防火墻技術，以此來保證自身企業(yè)的信息安全。并且防火墻自身具有很強的抗攻擊性，不會被病毒所控制。防火墻能夠有效防止黑客訪問用戶的及其，以此來組織黑客拷貝篡改用戶的信息，以此來保證信息的安全。同時防火墻技術能夠將內部的網(wǎng)絡進行劃分，從而來將重點的網(wǎng)段進行隔離，以此來對其進行保護。另外，一些防火墻技術也會支持互聯(lián)網(wǎng)服務特性的企業(yè)內部構建網(wǎng)絡技術體系，也即是所謂的VPN，VPN會將全球的LAN以及電子網(wǎng)進行整合，從而來專用通信線路，實現(xiàn)資源的共享。

 

3 結語

 

總的來說，想要保證企業(yè)中的信息安全，就要堅持從信息安全技術與做好內部管理工作上出發(fā)，通過安全技術的支撐來提高內部管理工作的效果，同時還要落實管理與監(jiān)控工作，加強信息安全教育，建立出完善的管理制度，提高安全管理的水平。

篇8

關鍵詞：網(wǎng)絡安全；問題分析；對策探討

1前言

隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算時代的到來，特別是隨著網(wǎng)絡個人信息的增多，以及公眾對網(wǎng)絡資源的依賴，網(wǎng)絡安全對用戶信息（包括個人財產安全）產生嚴重的威脅和影響，信息安全問題已成為制約企業(yè)跨越性、可持續(xù)發(fā)展的重要因素。為此，正視網(wǎng)絡信息安全，從信息安全現(xiàn)存問題入手，分析問題的成因，制定具體的應對策略，從而營造一個安全穩(wěn)定的網(wǎng)絡環(huán)境，是當前企業(yè)信息建設的一項重要任務。信息安全涉及網(wǎng)絡通信、密碼技術、中端設備、數(shù)據(jù)傳輸與運用等諸多學科，是一項綜合性應用課題。廣義上說，有關網(wǎng)絡信息保密性、完整性、真實性、可控性的技術和理論，都是網(wǎng)絡信息安全所關注和研究的領域。在實際應用中，網(wǎng)絡信息安全更多地指向構成網(wǎng)絡閉環(huán)的硬件、終端傳輸及其系統(tǒng)中的數(shù)據(jù)，如何使這些數(shù)據(jù)資源不受偶然（或者惡意）的原因破壞、失真、更改或泄露，確保系統(tǒng)連續(xù)可靠、正常有序地運行。

2主要問題分析

就國內企業(yè)（包括國內大型國企）而言，由于受到我國整體信息技術水平的限制，其網(wǎng)絡信息建設無論是硬件還是軟件，都存在嚴重依賴國外技術的問題。以通信芯片和操作系統(tǒng)為例，我國在自主創(chuàng)新上還存在較大差距。如智能手機的操作系統(tǒng)，華為雖啟用自主研發(fā)的“鴻蒙系統(tǒng)”，但國外操作系統(tǒng)的壟斷局面還較為普遍。2018年，據(jù)相關機構的統(tǒng)計數(shù)據(jù)，我國國內智能手機使用美國谷歌公司安卓系統(tǒng)的產品占了89.3%。信息安全體系建設，不只是用信息安全產品搭建起一個信息“堡壘”，更重要的是要建立一套完善的、自成體系的信息安全制度。正如“瑞星殺毒軟件”安全專家指出的，“只有有形的產品和無形的制度相互配合，才能避免核心機密被類似‘棱鏡’項目所窺視?！睆哪壳熬W(wǎng)絡信息安全所暴露的問題看，有三個方面的因素常常引發(fā)網(wǎng)絡信息安全危機。

2.1自然因素（或偶發(fā)因素）引起網(wǎng)絡信息安全問題

主機系統(tǒng)和終端設施遭受自然力的破壞，如：自然災害（地震、水災、風暴、建筑物損毀等）對計算機網(wǎng)絡構成威脅；電源故障、設備失常、能耗崩潰等一些偶發(fā)因素，對計算機網(wǎng)絡構成威脅。

2.2管理應用疏漏造成網(wǎng)絡信息安全問題

如用戶在網(wǎng)絡應用過程中，因安全意識松懈、規(guī)章制度不全、管理水平低下、操作環(huán)節(jié)失誤、人為瀆職積弊等對網(wǎng)絡安全造成威脅。網(wǎng)絡信息具有寬域開放的特征，信息采集、儲存、傳輸、應用過程中的任何疏忽，都有可能造成泄露、失真等信息安全隱患。近年來，智能終端等移動互聯(lián)設備更新速度驚人，新的開發(fā)應用層出不窮，各種“小程序”的出現(xiàn)令人眼花繚亂。而在實際應用過程中，企業(yè)或個人均存在“盲目跟風、自由購買、隨意使用”現(xiàn)象，網(wǎng)絡信息安全形勢日益嚴峻。例如，假如用戶將具備聯(lián)網(wǎng)功能的智能手機，接入已連接涉密網(wǎng)關的辦公計算機，其目的雖是給手機充電，卻無意中等于讓該智能機同時聯(lián)接了互聯(lián)網(wǎng)，進入了涉密網(wǎng)絡空間，由此給他人植入電腦病毒帶來空隙和機會。

2.3安防體系建設滯后釀成的信息安全問題

多年來，人們習慣于依賴安裝殺毒軟件來保障網(wǎng)絡安全，但由于沒有構建嚴密的防護體系，系統(tǒng)管理不嚴、人員操作不當和黑客入侵引發(fā)的系列安全問題始終未能有效解決。目前看，雖然在開發(fā)環(huán)節(jié)對操作系統(tǒng)的安全設置已予較高重視，并為用戶設置了一定的自具式防護，但是因網(wǎng)絡黑客手段不斷升級，操作系統(tǒng)本身的安全漏洞和缺陷，往往在“防不勝防”中逐漸被黑客所破解和攻擊。其次，在實際使用過程中，防火墻只能抵御一般性的網(wǎng)絡攻擊，一旦遇到升級版本的計算機病毒，將無法形成對系統(tǒng)的保護。這些先天性的、不可避免的漏洞和局限，將給網(wǎng)絡信息安全造成嚴重影響。從數(shù)據(jù)資源看，數(shù)據(jù)庫中的海量數(shù)據(jù)和關鍵信息，其中有些涉及個人隱私，有些則是涉及資金安全的重要信息。數(shù)據(jù)庫的安全防御措施顯然尚未建構起密不可破的層層“天網(wǎng)”，一旦遇到網(wǎng)絡入侵，難以形成對數(shù)據(jù)信息的有效保護。

3對策建議

3.1要普及網(wǎng)絡安全知識，營造信息安全環(huán)境氛圍

網(wǎng)絡信息安全教育是保守國家涉密、實現(xiàn)信息安全的根本，也是做好網(wǎng)絡信息安全的基礎和前提。這就要求各級組織高度重視，切實增強自身網(wǎng)絡信息安全的意識和素質，領導帶頭學，業(yè)務人員主動學，自覺成為信息安全的排頭兵，成為工作中的行家里手，形成自我學習、自我教育的良好氛圍；通過共同參與、主動防范，端正思想認識，營造一個良好的網(wǎng)絡信息安全氛圍。

3.2要強化安全監(jiān)管，健全網(wǎng)絡信息安全體系

網(wǎng)絡信息安全建設是一項系統(tǒng)工程，需要完善的工作機制與高效的管理體制，籍此推動網(wǎng)絡信息安全的健康有序發(fā)展。從企業(yè)信息化建設需求看，首先，要完善頂層設計，明確單位信息安全建設的總體思路和指導思想，細化信息安全的實施步驟、標準要求，建立網(wǎng)絡信息安全框架協(xié)議與制度規(guī)范。其次是科學規(guī)劃，理清職責，構建科學的管理體制，包括對所在單位的編制體制進行有機整合，合理調整信息從業(yè)人員的科學分工，從而理順管理體制，明確各自職責，推動網(wǎng)絡信息安全工作的高效運行。

3.3要優(yōu)化安防系統(tǒng)，完善信息安全應急預案

及時更新防病毒軟件，完善具有遠程安裝、報警和集中管理的有效功能；建立內網(wǎng)認證系統(tǒng)，實現(xiàn)訪問控制、身份識別、機密性、不可否認服務等；建立病毒防控機制，禁止在網(wǎng)上隨意下載的數(shù)據(jù)往內網(wǎng)主機復制，禁止在聯(lián)網(wǎng)計算機上隨意使用來歷不明的存儲設備；緊盯網(wǎng)絡信息系統(tǒng)安全檢測設施和手段的發(fā)展前沿，提高網(wǎng)絡信息安全檢測監(jiān)控技術，完善網(wǎng)絡信息系統(tǒng)安全防護手段，提高網(wǎng)絡信息安全技術和產品的檢測評估能力；加強網(wǎng)絡安全威脅評估，做到及時預警、預案完備、應對措施得當，對可能發(fā)生的網(wǎng)上意外，可能引發(fā)的輿情危機進行預測，做好預案，防止意外狀況發(fā)生。

3.4要理順信息安全管理機制，加強網(wǎng)絡信息安全研究

應理清網(wǎng)絡信息安全建設的總體思路，細化信息安全防范的實施步驟與標準要求，完善網(wǎng)絡信息安全框架協(xié)議和制度規(guī)范。網(wǎng)絡信息安全是一項系統(tǒng)工程，要確保其高效有序的運行，需要完善工作機制，順暢管理體制。企業(yè)各部門要通力合作，各司其職、各負其責，共同推動信息安全建設的健康、有序發(fā)展。目前，國家層面已經成立了國家安全委員會，這對企業(yè)網(wǎng)絡信息安全建設起到了積極促進作用，但在運行機制、制度保障等方面，還需各企業(yè)（用戶）進一步優(yōu)化和完善。其著力點應放在“跨域融合”上，即立足于國家安全的全局，平衡好各方利益沖突，融合好各部門的利益訴求，研究解決好信息發(fā)展與跨部門、跨領域、超越局部利益、短期利益的瓶頸問題。要高度重視網(wǎng)絡信息安全管理存在的多頭管理、職能交叉、重復建設問題，擬訂網(wǎng)絡信息系統(tǒng)的建設、使用、管控具體實施細則，明確責、權、利約束，破除“有利益就上，有問題就讓”的積弊。要緊跟信息技術發(fā)展，加快發(fā)展網(wǎng)絡信息安全檢測和監(jiān)控技術，完善網(wǎng)絡信息系統(tǒng)完全防護手段，提高對網(wǎng)絡信息安全技術和產品的檢測評估能力。

3.5要廣攬人才，建立一支網(wǎng)絡信息安全隊伍

當前，國內外各大企業(yè)對網(wǎng)絡空間的安全問題越來越重視，并將網(wǎng)絡空間視作未來企業(yè)競爭的主要手段和利益空間。對于確保網(wǎng)絡空間安全問題，各企業(yè)的做法、手段不盡相同，但建立一支有規(guī)模、結構優(yōu)、素質良的專業(yè)網(wǎng)絡空間安全隊伍，已是各企業(yè)、各從業(yè)人員的一致選擇。因此，確保企業(yè)在網(wǎng)絡空間的話語權與運行自由，必須建立一支網(wǎng)絡空間信息安全隊伍，包括落實國家網(wǎng)絡安全人才戰(zhàn)略，提升各類人員的安全意識和能力，加強網(wǎng)絡信息安全專業(yè)人才的教育培訓等。要創(chuàng)新人才培養(yǎng)模式，優(yōu)化教學環(huán)節(jié)，在學歷教育、職業(yè)培訓方面共同發(fā)力，通過規(guī)?；囵B(yǎng)，解決網(wǎng)絡信息安全人才不足的問題，填補信息安全細分領域人才缺口。目前，信息安全人才評價標準的難點，在于不能用同一把尺子，用傳統(tǒng)的人才評價方式來對其評價和衡量，因此，建立全面、系統(tǒng)的網(wǎng)絡信息安全人才評價標準，應作為我們穩(wěn)定隊伍的重點來抓。

3.6要加強合作，共建安全、開放的網(wǎng)絡空間

篇9

【關鍵詞】電力企業(yè)；網(wǎng)絡信息化

【中圖分類號】TM73

【文獻標識碼】A

【文章編號】1672-5158（2012）12-0016-01

1 電力行業(yè)網(wǎng)絡與信息安全工作開展情況

2000年以來，我國相繼發(fā)生了“二灘電廠停機事件”、“故障錄波器事件”、“邏輯炸彈事件”、“換流站病毒感染事件”等多起電力行業(yè)網(wǎng)絡與信息安全事件，造成了不同程度的事故影響，威脅到了電力系統(tǒng)安全穩(wěn)定運行，同時也暴露出了我國電力行業(yè)在網(wǎng)絡安全接入方面、安全生產管理方面、人員信息安全培訓等方面存在薄弱環(huán)節(jié)。

針對類似電力信息安全事件，2002年，原國家經貿委第30號令《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調度數(shù)據(jù)網(wǎng)絡安全防護規(guī)定》，對電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)防護提出了要求。國家電監(jiān)會成立后，對電力二次系統(tǒng)及網(wǎng)絡信息安全防護明確提出了“安全分區(qū)、專網(wǎng)專用、橫向隔離、縱向認證”的總體防護策略，并制定印發(fā)了《電力行業(yè)網(wǎng)絡與信息安全信息報送暫行辦法》、《電力行業(yè)網(wǎng)絡與信息安全應急預案》、《電力行業(yè)網(wǎng)絡與信息安全監(jiān)督管理暫行辦法》等一系列管理辦法，使電力行業(yè)網(wǎng)絡與信息安全防護的理念更加系統(tǒng)化、具體化，增強了可操作性，電力行業(yè)網(wǎng)絡與信息安全防護工作進入了實質性建設階段。

2 目前我國電力信息網(wǎng)絡的現(xiàn)狀

（一）信息化網(wǎng)絡基本形成多年來我國一直非常重視電力行業(yè)信息化建設。從目前狀況來看，電力企業(yè)信息化建設硬件環(huán)境已經基本構建完成，硬件設備數(shù)量和網(wǎng)絡建設狀況良好，無論是在生產、調度還是營業(yè)等部門都已實現(xiàn)了信息化管理，在網(wǎng)絡硬件方面，基本能夠保證電力行業(yè)工作的正常運轉；在軟件建設方面，也實現(xiàn)了包括調度自動化系統(tǒng)、生產管理信息系統(tǒng)、營銷信息系統(tǒng)、負荷監(jiān)控系統(tǒng)及各專業(yè)相關在內的應用系統(tǒng)設施。電力系統(tǒng)網(wǎng)絡化的實現(xiàn)，對保證安全生產、節(jié)能消耗、降低成本、縮短工期、提高勞動生產率等起到了促進作用。

（二）信息安全仍然存在不可忽視的問題、雖然網(wǎng)絡系統(tǒng)已經基本形成，但是信息安全還不盡樂觀，主要表現(xiàn)在信息網(wǎng)絡安全還沒有涉及到各個領域，其發(fā)展也是不平衡的。有的電力企業(yè)對信息的安全重視不夠。如很多電力企業(yè)的網(wǎng)絡系統(tǒng)還沒有防火墻，有的甚至沒有數(shù)據(jù)備份的概念，更沒有對網(wǎng)絡安全做統(tǒng)一長遠的規(guī)劃，因此，電力企業(yè)網(wǎng)絡中存在許多隱患。這種安全意識的淡薄，具體工作的不到位，導致了網(wǎng)絡信息系統(tǒng)的不完善，給網(wǎng)絡的安全帶來了很多的不利因素。可以說，目前我國電力系統(tǒng)信息安全體系還不完備，缺乏統(tǒng)一的信息安全管理規(guī)范。

（三）對電力系統(tǒng)信息網(wǎng)絡的投入不足從目前我國電力行業(yè)網(wǎng)絡信息的綜合情況看，國家對電力行業(yè)信息化管理的投入還不均衡，特別是對邊遠地區(qū)的投入還有待加強。與電力行業(yè)其它方面的硬件投入相比，對網(wǎng)絡信息的投入也不夠。這就需要加大投入，以建立一個統(tǒng)一安全的信息網(wǎng)絡，以保證電力系統(tǒng)安全。

（四）電力行業(yè)的軟件開發(fā)還不到位由于經費不足等種種原因，軟件開發(fā)還沒有細化。如很多單位的數(shù)據(jù)庫數(shù)據(jù)和文件都停留在明文存儲階段，以明文形式存儲的信息存在泄漏的可能，拿到存儲介質的人可以讀出這些信息，黑客也可以繞過操作系統(tǒng)，從數(shù)據(jù)庫管理系統(tǒng)的控制處獲取信息。再如，用戶身份認證基本上采用口令鑒別模式，而這種模式很容易被攻破。還有的應用系統(tǒng)使用自己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫或文件中，這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高、信息敏感性不斷增強的今天風險特別大。以上種種情況，究其原因，還是電力軟件開發(fā)得不夠所致，目前的軟件還不能完全適應形勢的需要和工作的需要。這是個亟待解決的問題，如果這個問題解決不好，會導致大的問題出現(xiàn)。

3 加強電力行業(yè)網(wǎng)絡信息安全的措施

（一）提高認識，強化信息化安全教育信息網(wǎng)絡如何能使用安全，很大程度上在于工作人員的認識程度。安全意識和相關技能的教育是企業(yè)安全管理中重要的內容，其實施力度將直接關系到電力企業(yè)安全策略被理解的程度和被執(zhí)行的效果。如何能保證網(wǎng)絡信息的安全，一個重要的措施就是廣泛地進行信息管理人員的培訓。為了保證安全的成功和有效，電力行業(yè)的管理部門應該及時對企業(yè)各級管理人員、用戶、技術人員進行安全培訓，所有的企業(yè)人員必須了解并嚴格執(zhí)行電力企業(yè)安全策略，要讓各級信息管理人員，重點是了解和掌握企業(yè)信息安全的整體策略及目標、信息安全體系的構成、安全管理部門的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等。只有這樣，才能保證電力網(wǎng)絡信息系統(tǒng)的安全操作。

（二）采取措施，提高信息網(wǎng)安全防護技術水平一是對網(wǎng)絡防火墻高度重視。防火墻是電力企業(yè)信息網(wǎng)絡的唯一出口，所有的訪問都將通過防火墻進行，不允許任何繞過防火墻的連接。因此，做好這一通道的把關尤為關鍵，應該對這方面的技術重視起來，研究出更高水平的防護軟件，以適應信息網(wǎng)安全工作的需要。二是對入侵檢測系統(tǒng)高度重視。要部署先進的分布式入侵檢測構架，保證電力企業(yè)信息系統(tǒng)的安全檢測。入侵檢測系統(tǒng)要采用攻擊防衛(wèi)技術，要具有高可靠性、高識別率、規(guī)則更新迅速等特點。三是對網(wǎng)絡隱患掃描系統(tǒng)高度重視。掃描網(wǎng)絡設備包括：服務器、工作站、防火墻、路由器、路由交換機等。掃描結束后生成詳細的安全評估報告，采用報表和圖形的形式對掃描結果進行分析，可以直觀地對用戶進行安全性能評估和檢查。四是對數(shù)據(jù)加密系統(tǒng)高度重視。要通過文件加密、信息摘要和訪問控制等安全措施，來實現(xiàn)文件存儲和傳輸?shù)谋Ｃ芎屯暾砸?，實現(xiàn)對文件訪問的控制。對通信安全，采用數(shù)據(jù)加密，信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進行保護，實現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。五是對數(shù)據(jù)庫安全高度重視。要通過數(shù)據(jù)存儲加密、完整性檢驗和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機密和完整性，并實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全。總之，網(wǎng)絡信息的安全技術對維護網(wǎng)絡信息的真正安全尤為重要，因此這方面的工作需要加強。

（三）加大力度，建立統(tǒng)一的信息網(wǎng)防護體系

一是要保證信息管理工作人員體系的相對穩(wěn)定。防止網(wǎng)絡機密泄露，特別是注意人員凋離時的網(wǎng)絡機密的泄露。二是完善軟件和硬件管理體系。主要是指各種網(wǎng)絡設備，網(wǎng)絡安全設備的安全策略，如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略管理要切合實際。三是要注意信息介質的安全管理。主要是備份的介質要防止丟失和被盜，報廢的介質要及時清除和銷毀，特別要注意送出修理的設備上存儲信息的安全。

篇10

【關鍵詞】信息系統(tǒng) 外包安全 外包安全管理模式外

隨著信息化技術在日常工作中的不斷普及，信息系統(tǒng)運維已經成為信息化工作中最重要的組成之一，信息系統(tǒng)運維涉及數(shù)據(jù)庫、中間件、硬件、存儲等多個方面的專業(yè)知識，而企業(yè)內部信息化工作人員不足，專業(yè)技術能力欠缺，為保證信息系統(tǒng)良好、順暢運轉，需要專業(yè)化程度較高的運維服務，即信息系統(tǒng)運維外包服務，聘請專業(yè)技術人員對系統(tǒng)數(shù)據(jù)庫、中間件等各個環(huán)節(jié)進行運維，隨著信息系統(tǒng)運維外包范圍的不斷擴大，信息系統(tǒng)運維外包造成的信息安全隱患及信息安全事件不斷增加，做好信息系統(tǒng)運維外包安全工作便成了信息化運維工作的重中之重。

1 信息系統(tǒng)運維外包安全管理模式分析

我們先簡單分析一下常見的運維外包安全管理的模式，隨著信息系統(tǒng)運維外包范圍的不斷擴大，信息系統(tǒng)運維外包安全管理主要由簡單管理模式、制度管理模式和混合管理模式三種。

1.1 簡單管理模式

主要依靠“人盯人”和運維工程師的自律實現(xiàn)，即指定專門人員陪同并監(jiān)督運維工程師的具體操作，要求運維工程師嚴格遵守職業(yè)道德，達到信息系統(tǒng)運維外包安全管理的要求。

簡單管理模式的優(yōu)點是管理成本小，管理過程簡單，不需要配備專門的技術人員；存在的問題主要有可操作性不強和管理效果不佳兩方面：

（1）由于陪同人員的業(yè)務素養(yǎng)不足、技術深度不夠、運維過程監(jiān)管不足等原因，使得“人盯人”方法對信息系統(tǒng)運維外包安全管理可操作性下降，存在造成系統(tǒng)運維外包安全事件的隱患。

（2）信息系統(tǒng)運維外包工作開展過程中，基本依靠運維工程師的自律和職業(yè)操守來實現(xiàn)信息系統(tǒng)運維安全管理，難以達到信息系統(tǒng)運維外包安全管理要求，影響運維安全管理效果。

1.2 制度管理模式

通過運維安全制度規(guī)范運維商和運維工程師的行為，降低運維風險，實現(xiàn)信息系統(tǒng)運維外包安全管理。在運維合同簽訂過程中明確運維安全管理制度，并其簽訂運維保密協(xié)議，共同建立違反制度的處罰機制，明確約定處罰內容，在運維工程師入場工作之前先宣布管理制度和懲罰機制，用以約束其運維操作。

制度管理模式的優(yōu)點是管理成本小，管理過程較為簡單，管理體系相對成熟；存在的問題主要有管理可操作性不強和屬于事后管理兩個方面：

（1）運維管理制度的執(zhí)行情況不易監(jiān)控，可能造成管理制度、保密要求和懲罰機制形同虛設，不能夠有效地發(fā)揮作用，降低運維系統(tǒng)安全管理的可操作性。

（2）制度管理模式屬于事后管理范疇，即只能在事故發(fā)生后按照管理制度、保密協(xié)議和處罰機制進行追責，且追責過程中提取相關證據(jù)較為困難，追討損失過程較為復雜。

1.3 混合管理模式

通過制度和運維安全管理設備（如堡壘機）相結合進行信息系統(tǒng)運維外包安全管理，即在制度管理模式的基礎上，增加運維管理設備，該設備具有操作命令記錄、操作過程錄屏、操作權限管理、訪問范圍管理和訪問時效管理等幾個基本的功能，實現(xiàn)對信息系統(tǒng)運維外包安全的有效管理，

混合管理模式的優(yōu)點是管理的可操作性強，管理體系較為成熟，屬于對信息系統(tǒng)運維過程既有事前、事中管理，又有事后審計管理；存在的問題主要有管理成本較大和管理過程復雜兩個方面：

（1）運維安全管理設備需要單獨購買且需要專人進行維護，這加大了企業(yè)信息系統(tǒng)運維安全管理的成本。

（2）運維安全管理設備需要依據(jù)實際運維情況進行配置變更，要求設備管理人員充分了解企業(yè)網(wǎng)絡架構、業(yè)務系統(tǒng)構成等內容，結合運維人員的實際情況進行操作權限、訪問范圍、訪問時限等內容的管理，使得信息外包安全管理過程變得較為復雜。

2 信息系統(tǒng)運維外包安全隱患分析

依據(jù)對信息系統(tǒng)運維外包安全管理模式的分析，信息系統(tǒng)運維外包存在以下幾點隱患：

2.1 信息系統(tǒng)運維外包造成泄密

隨著企業(yè)日常工作對信息化的依賴不斷加大，企業(yè)銷售、財務、人力資源等重要信息均通過信息系統(tǒng)進行管理，如果對信息系統(tǒng)運維外包過程管理不嚴，極有可能造成重要數(shù)據(jù)泄密，對企業(yè)的發(fā)展壯大和日常工作開展造成影響。

2.2 外包工程師操作失誤造成信息系統(tǒng)癱瘓

運維工程師技術水平良莠不齊，如不對外包工程師的運維操作進行嚴格規(guī)范，有可能由于操作不謹慎或誤操作造成重要信息數(shù)據(jù)丟失、損壞，導致信息系統(tǒng)異常，甚至造成信息系統(tǒng)癱瘓，影響正常業(yè)務開展。

2.3 外包工程師在信息系統(tǒng)中植入病毒或預留后門

部分外包工程師由于利益驅動在信息系統(tǒng)中植入病毒或預留后門，方便其日后獲取信息系統(tǒng)的各類資源和數(shù)據(jù)，造成信息系統(tǒng)運行隱患，甚至導致企業(yè)觸犯國家相關法律、法規(guī)，給企業(yè)造成名譽或經濟損失。

2.4 運維外包造成過度依賴

大量信息系統(tǒng)運維外包，造成企業(yè)內部信息化機構學習意愿下降，專業(yè)技術素養(yǎng)增長緩慢，發(fā)生突發(fā)事件且運維商無法及時到場，可能造成信息系統(tǒng)長時間停止服務，甚至長時間癱瘓，影響企業(yè)正常業(yè)務，給企業(yè)造成經濟損失。

3 信息系統(tǒng)運維外包安全管理方法

針對信息系統(tǒng)運維安全隱患分析中提到的問題，我們從強化運維過程管理、加強操作風險管理、降低系統(tǒng)運行隱患、增強事件處理能力等四個方面進行分析，發(fā)掘出信息系統(tǒng)運維外包安全管理方法，用以提高信息系統(tǒng)運維外包安全管理水平。

3.1 完善制度管理，增加硬件保障，強化運維過程管理

（1）系統(tǒng)運維管理制度是信息系統(tǒng)運維外包安全管理工作的基礎，只有擁有科學、完整、自成體系的管理制度，才有可能真正的做好信息系統(tǒng)運維外包安全管理工作，而制度的建立是一個長期的動態(tài)過程，即針對新的技術和管理要求要及時修訂制度，將其納入管理范疇，確保制度能夠完全覆蓋信息系統(tǒng)運維過程，同時認真落實制度，使其充分發(fā)揮規(guī)范運維商和運維工程師的作用，否則完善的制度僅僅是“一紙空文”。

（2）建立并認真執(zhí)行安全事件懲罰機制，簽訂信息安全保密協(xié)議，加大對運維商運維過程中發(fā)生事故的處罰力度，提高運維商在出現(xiàn)事故后的處理成本，能夠促使運維商主動加強對其人員的管理，減少信息系統(tǒng)運維安全事故的發(fā)生機率。

（3）引入運維安全管理類設備（如堡壘機），加強對運維人員運維過程的管理，該類設備能夠全面記錄運維操作、統(tǒng)一分配運維權限、細化管理訪問范圍和精確控制運維時效等方面的功能，屬于信息系統(tǒng)運維事中管理和事后審計設備，充分利用該類設備的各項功能，對運維工程師運維操作情況進行有效規(guī)范、記錄，確保對運維工程師的操作“有跡可尋”。

3.2 規(guī)范運維操作，擬定應急措施，加強操作風險管理

（1）運維工程師在進行重要操作（如數(shù)據(jù)庫參數(shù)配置等）時必須出具書面告知書，經雙方簽字確認后方可進行操作，告知書中至少應包括操作內容、涉及信息系統(tǒng)、預計完成時間、可能出現(xiàn)的風險及風險等級預估。

（2）針對預估等級較高的風險應充分預估發(fā)生機率、影響范圍等內容，擬定應急措施，確保及時解決。

（3）制定回退方案并預留充足的回退時間，針對運維過程中發(fā)生的不可預期或難以解決的問題，確保能夠及時回退，保證信息系統(tǒng)正常運行。

3.3 測評系統(tǒng)安全，定期掃描漏洞，降低系統(tǒng)運行隱患

（1）運維工程師對信息系統(tǒng)進行升級后，及時聘請擁有安全評估資質的第三方進行應用系統(tǒng)安全評估，評估后出具有效的評估報告，依據(jù)評估結果要求運維商進行整改，直至所有問題被解決。

（2）定期對網(wǎng)絡設備、服務器操作系統(tǒng)等進行漏洞掃描，有效防止系統(tǒng)被植入病毒或預留后門，針對新發(fā)現(xiàn)的漏洞及時聯(lián)系運維商進行處理，確保信息系統(tǒng)安全運行。

3.4 提升業(yè)務素養(yǎng)，組織應急演練，增強事件處理能力

（1）通過專項業(yè)務培訓、自主學習等方法，不斷加強信息化工作人員業(yè)務素養(yǎng)，學習內容不僅包括數(shù)據(jù)庫、信息化設備硬件維護等專業(yè)知識，還應包括管理學、統(tǒng)籌學、統(tǒng)計學等方面的知識，才能真正做到“管的高效、管的明白、管的合理”，才能促進信息系統(tǒng)運維外包安全管理工作朝著正確的方向發(fā)展。

（2）強化應急預案演練工作，定期組織信息化應急預案演練。演練前認真籌備，擬寫演練方案，聯(lián)系運維上進行應急演練技術支持；演練過程中嚴格按照方案進行演練，切實提高演練效果；演練后針對演練中發(fā)現(xiàn)的問題及時匯總、總結，逐步提高信息化工作人員處理突發(fā)事件的能力。

4 結束語

信息系統(tǒng)運維安全管理工作是信息系統(tǒng)運維工作的重要環(huán)節(jié)，做好此項工作，即能使得信息系統(tǒng)得到更專業(yè)、更良好的運維服務，又能最大限度的保證企業(yè)數(shù)據(jù)安全，系統(tǒng)穩(wěn)定運行。