導(dǎo)語：如何才能寫好一篇數(shù)據(jù)安全體系建設(shè)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

近幾年，信息泄漏事件頻發(fā)，數(shù)據(jù)安全將迎來巨大的挑戰(zhàn)，尤其是涉及師生個(gè)人隱私的數(shù)據(jù)及涉密數(shù)據(jù)應(yīng)進(jìn)行重點(diǎn)保護(hù)。數(shù)據(jù)平臺是高校日常信息管理的重要陣地，為高校的正常工作提供有力的數(shù)據(jù)支撐，保障信息數(shù)據(jù)的安全，提高系統(tǒng)的穩(wěn)定性，為學(xué)校師生提供來源可靠、準(zhǔn)確無誤的基礎(chǔ)數(shù)據(jù)，避免或減少數(shù)據(jù)損壞、丟失是高校信息安全工作的頭等大事兒。

1 利用數(shù)據(jù)平臺管理信息是高校發(fā)展的必然趨勢

高校數(shù)據(jù)的采集、錄入、存儲、提取工作較為頻繁，將數(shù)據(jù)信息上傳至數(shù)據(jù)平臺，方便信息的整合共享、反復(fù)交叉利用，將大量結(jié)構(gòu)復(fù)雜、類型各異的數(shù)據(jù)匯集在一起，為高校的數(shù)據(jù)匯總、統(tǒng)計(jì)分析、信息共享、發(fā)展規(guī)劃提供了準(zhǔn)確詳實(shí)的數(shù)據(jù)基礎(chǔ)，促進(jìn)高校信息管理的數(shù)字化，為建設(shè)智慧校園打開方便之門。歸納分析數(shù)據(jù)平臺信息管理的優(yōu)勢有以下幾點(diǎn)：

1）信息數(shù)據(jù)的上傳、查詢、檢索、管理等操作不限時(shí)間、地點(diǎn)。

只要能上網(wǎng)信息數(shù)據(jù)就可以上傳收集到數(shù)據(jù)平臺，支持電腦、手機(jī)、ipad等各種終端設(shè)備隨時(shí)隨地查詢、檢索數(shù)據(jù)信息，校內(nèi)可以通過學(xué)校內(nèi)部網(wǎng)絡(luò)，校外可以通過VPN等方式訪問獲取數(shù)據(jù)。

2）為統(tǒng)計(jì)分析提供了數(shù)據(jù)支持

高校通過大數(shù)據(jù)的統(tǒng)計(jì)分析可以有針對性的調(diào)整招生計(jì)劃、專業(yè)設(shè)置、就業(yè)方向，不斷完善辦學(xué)理念，開拓辦學(xué)思路，為學(xué)校的前途發(fā)展、決策制定、人才需求分析提供了數(shù)據(jù)支持。

3）推動高校數(shù)字化的進(jìn)程

高校數(shù)字化是智慧校園建設(shè)的前提，推動高校云服務(wù)、網(wǎng)絡(luò)教學(xué)、慕課等教學(xué)形式的發(fā)展，提高學(xué)校的教學(xué)水平，為學(xué)校進(jìn)一步發(fā)展網(wǎng)絡(luò)教學(xué)提供了技術(shù)支持。高校數(shù)字化對社會發(fā)展起到引領(lǐng)作用，促進(jìn)地方經(jīng)濟(jì)建設(shè)，提高地方數(shù)字化水平。

4）提升高校信息管理和服務(wù)水平

借助數(shù)據(jù)平臺實(shí)現(xiàn)數(shù)據(jù)共享，多部門共享數(shù)據(jù)信息，提高信息管理的效率，使學(xué)校的管理和服務(wù)水平又上新臺階。由此可見，通過數(shù)據(jù)平臺進(jìn)行信息管理是大勢所趨，而數(shù)據(jù)平臺的安全保障工作成了重中之重。

2 數(shù)據(jù)平臺信息的安全問題及防范措施

2.1 物理環(huán)境安全

物理環(huán)境安全主要指數(shù)據(jù)機(jī)房的溫度、濕度等物理環(huán)境以及靜電、磁場干擾等因素的影響，高職院校數(shù)據(jù)中心應(yīng)按照相應(yīng)的安全等級建設(shè)，中央機(jī)房的建設(shè)應(yīng)考慮將來在發(fā)展過程中可能遇到的問題。

2.2 硬軟件環(huán)境安全

硬件安全是指數(shù)據(jù)中心設(shè)備的安全，包括服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備等，中央機(jī)房的硬件維護(hù)應(yīng)有專人負(fù)責(zé)，定期查看硬件運(yùn)行是否穩(wěn)定，是否有過熱、風(fēng)扇故障或其他問題出現(xiàn)，對硬件進(jìn)行必要的維護(hù)是保證學(xué)校工作正常進(jìn)行的前提。

軟件安全是指服務(wù)器中各軟件及組件的正常使用，利用虛擬化軟件合理配置服務(wù)器資源，對存儲系統(tǒng)、災(zāi)備系統(tǒng)及網(wǎng)絡(luò)設(shè)備等進(jìn)行有機(jī)整合，通過對web環(huán)境配置、服務(wù)器環(huán)境搭建、防火墻、常用組件、數(shù)據(jù)庫等系統(tǒng)的調(diào)試運(yùn)行，滿足用戶數(shù)據(jù)上傳、存儲、檢索、提取、共享等各項(xiàng)日常工作需要。

2.3 常見的信息安全問題

2.3.1 病毒攻擊、黑客入侵問題

高級可持續(xù)性威脅（APT）通過網(wǎng)絡(luò)漏洞入侵、分布式拒絕服務(wù)（DDoS）、Phishing、Botnet、木馬、惡意代碼等網(wǎng)絡(luò)攻擊。一些不懷好意的黑客入侵計(jì)算機(jī)系統(tǒng)，竊取或是篡改用戶的個(gè)人信息和重要數(shù)據(jù)，給用戶帶來嚴(yán)重危害[1]。我們應(yīng)定期掃描系統(tǒng)安全漏洞，安裝服務(wù)器補(bǔ)丁并定時(shí)更新防火墻病毒庫，提高系統(tǒng)的防御能力。

2.3.2 數(shù)據(jù)信息的完整性保護(hù)

通過終端審計(jì)、身份認(rèn)證、分級管理、行為追蹤等措施，確保數(shù)據(jù)信息的完整性、真實(shí)性、一致性，保護(hù)數(shù)據(jù)信息的可控性及可用性。

2.3.3 數(shù)據(jù)信息泄漏

近年來，數(shù)據(jù)信息泄漏事件呈上升趨勢，個(gè)人隱私泄漏、盜取敏感數(shù)據(jù)等事件頻發(fā)，通過數(shù)據(jù)加密技術(shù)、信息訪問權(quán)限的控制、安全審計(jì)等措施防止數(shù)據(jù)泄漏。

2.3.4 數(shù)據(jù)中心抗風(fēng)險(xiǎn)能力有待提高

數(shù)據(jù)平臺的穩(wěn)定性是由系統(tǒng)自的完備程度決定的，系統(tǒng)容災(zāi)、冗余備份工作不夠完善，對風(fēng)險(xiǎn)的認(rèn)識不夠充分，出現(xiàn)問題的時(shí)候就會造成較大范圍的損失，提高風(fēng)險(xiǎn)意識，加強(qiáng)系統(tǒng)管理，提升數(shù)據(jù)平臺的抗風(fēng)險(xiǎn)能力。

3 安全管理策略

3.1 數(shù)據(jù)安全策略

數(shù)據(jù)可以通過加密來保證數(shù)據(jù)的安全性，有必要也可以采用動態(tài)加密技術(shù)。為保障數(shù)據(jù)傳輸安全，從外網(wǎng)訪問高校數(shù)據(jù)平臺信息，可以通過VPN、PPTP等方式訪問。

3.2 日志管理策略

服務(wù)器、防火墻及網(wǎng)絡(luò)軟件在運(yùn)行過程中都會產(chǎn)生日志，用來記錄自身運(yùn)行情況、相關(guān)事件的發(fā)生時(shí)間及有價(jià)值的信息，加強(qiáng)日志的記錄管理，通過收集、存儲、匯總、分析等方法及時(shí)發(fā)現(xiàn)操作系統(tǒng)及網(wǎng)絡(luò)的異常，利用日志監(jiān)控系統(tǒng)、審計(jì)行為、分析原因并生成調(diào)查報(bào)告。

3.3 權(quán)限設(shè)置策略

根據(jù)管理級別，設(shè)置管理權(quán)限，高級權(quán)限有?L問、下載、管理數(shù)據(jù)權(quán)限，低級權(quán)限僅可以查看及部分操作與自己工作相關(guān)的信息。對于已提交審核確認(rèn)后的內(nèi)容僅有訪問權(quán)，沒有修改權(quán)，如學(xué)生成績管理，教師在規(guī)定時(shí)間上傳完學(xué)生的期末成績之后，就只能查看成績而不能修改，而學(xué)生只有查看權(quán)限。

3.4 密鑰管理策略

密鑰可與權(quán)限同步設(shè)置，通過密鑰管理一方面可以識辨人員身份，另一方面可以實(shí)行上網(wǎng)人員的權(quán)限控制，防止非法人員訪問系統(tǒng)。

3.5 行為管理策略

信息管理人員的行為從認(rèn)證開始，辨識身份，監(jiān)控行為，發(fā)現(xiàn)有病毒、木馬、惡意程序等或涉及信息安全行為的賬號要果斷采取有效措施，并追蹤來源，查找原因，避免此類事件再次發(fā)生。

4 信息安全保障體系建設(shè)

4.1 病毒防治

病毒入侵會導(dǎo)致數(shù)據(jù)信息被?閡獯鄹?、锁幍、?失，病毒的擴(kuò)散傳播會造成系統(tǒng)大面積癱瘓，對軟硬件環(huán)境安全構(gòu)成威脅。我們不但要提高防毒意識，還要加強(qiáng)防控技術(shù)水平。

4.1.1 提高系統(tǒng)的防護(hù)能力

檢測系統(tǒng)漏洞，及時(shí)安裝漏洞補(bǔ)丁，掃描病毒及木馬，通過入侵檢測防御系統(tǒng)（IDS）進(jìn)行主動的安全防護(hù)，加強(qiáng)防御與入侵檢測工作，提高系統(tǒng)的健壯程度，增強(qiáng)系統(tǒng)穩(wěn)定性。

4.1.2 防止網(wǎng)絡(luò)攻擊及黑客入侵

通過防火墻阻斷外部病毒的入侵，防火墻可根據(jù)實(shí)際需要采取不同技術(shù)，如過濾型防火墻、型防火墻，同時(shí)提高校園內(nèi)網(wǎng)使用者的安全意識，防范來自內(nèi)部的攻擊，避免病毒通過內(nèi)網(wǎng)上傳平臺。

網(wǎng)絡(luò)安全不僅需要技術(shù)上的進(jìn)步，同時(shí)需要通過規(guī)范制度、人員培訓(xùn)、責(zé)任落實(shí)等手段齊抓共管。

4.2 規(guī)章制度建設(shè)

建立健全完善的數(shù)據(jù)機(jī)房管理制度，責(zé)任落實(shí)到人頭，定期對系統(tǒng)進(jìn)行漏洞查找，安裝系統(tǒng)補(bǔ)丁、更新病毒庫。為避免人為因素的影響，對工作人員進(jìn)行定期培訓(xùn)及安全教育，對上網(wǎng)人員進(jìn)行實(shí)名身份認(rèn)證管理，并進(jìn)行行為跟蹤。建立上網(wǎng)賬號數(shù)據(jù)庫，禁止非法訪問，保證數(shù)據(jù)信息的安全。

4.3 安全管理體系建設(shè)

相關(guān)管理部門制定安全策略和管理制度，認(rèn)真做好安全管理組織工作，加強(qiáng)工作人員的安全管理，提高信息管理人員的安全責(zé)任意識，經(jīng)常進(jìn)行信息安全管理的業(yè)務(wù)培訓(xùn)，提高安全管理的執(zhí)行能力。

4.4 安全技術(shù)體系建設(shè)

通過識別用戶身份、訪問權(quán)限、行為控制等策略營造安全的平臺信息環(huán)境，過濾網(wǎng)絡(luò)信息，打造安全的區(qū)域邊界。為防止網(wǎng)絡(luò)入侵、非法訪問、惡意代碼攻擊等行為，采取漏洞掃描、安全檢測、物理隔離、升級防火墻等技術(shù)，支持系統(tǒng)安全測評、風(fēng)險(xiǎn)測評體系，防范信息篡改、假冒等事件發(fā)生。

4.5 數(shù)據(jù)安全體系建設(shè)

在保證供電的基礎(chǔ)上，高校數(shù)據(jù)中心可采用一用二備或三備的配置，并對重要數(shù)據(jù)定期備份。在容災(zāi)備份技術(shù)的選擇上可以根據(jù)實(shí)際采用雙歸屬技術(shù)或IuFlex技術(shù)，如1+1主備或互備，有條件的也可以采用N+1主備或互備。一旦出現(xiàn)問題，數(shù)據(jù)備份可以減少處理問題的時(shí)間，及時(shí)解決問題并降損。

4.6 運(yùn)行維護(hù)體系建設(shè)

信息的安全維護(hù)體系建設(shè)是系統(tǒng)安全穩(wěn)定運(yùn)行的有力保障，控制訪問、鑒別認(rèn)證、監(jiān)控?cái)?shù)據(jù)、安全管理、系統(tǒng)配置等大量工作提前做好，才能使信息資源規(guī)避風(fēng)險(xiǎn)，減少損失，定期安裝補(bǔ)丁，檢查接口安全，利用數(shù)據(jù)加密技術(shù)應(yīng)對黑客竊取數(shù)據(jù)或各種攻擊性行為。

4.7 應(yīng)急處理方案

準(zhǔn)備切實(shí)可行的應(yīng)急處理預(yù)案，確保出現(xiàn)問題時(shí)第一時(shí)間做出反應(yīng)，減少損失，盡快處理出現(xiàn)的問題。備服的安全管理也應(yīng)同步進(jìn)行，數(shù)據(jù)熱備份，做好應(yīng)急預(yù)案，防止出現(xiàn)問題時(shí)忙中出錯(cuò)。

篇2

關(guān)鍵詞：智能電網(wǎng) 信息安全 防護(hù)體系 可信平臺

中圖分類號：F49 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-3973（2013）012-212-02

1 引言

隨著智能電網(wǎng)建設(shè)步伐的推進(jìn)，更多的設(shè)備和用戶接入電力系統(tǒng)，例如，智能電表、分布式電源、數(shù)字化保護(hù)裝置、先進(jìn)網(wǎng)絡(luò)等，這些設(shè)備的應(yīng)用使電網(wǎng)的信息化、自動化、互動化程度比傳統(tǒng)電網(wǎng)大大提高，它們在提升電網(wǎng)監(jiān)測與管理方面發(fā)揮了重要作用，但同時(shí)也給數(shù)據(jù)與信息的安全帶來了隱患。比如黑客通過竊取技術(shù)訪問電網(wǎng)公司數(shù)據(jù)中心的服務(wù)器，有可能造成客戶信息泄露或數(shù)據(jù)安全問題，嚴(yán)重時(shí)有可能造成國家的重大損失。因此，如何使眾多的用戶能在一個(gè)安全的環(huán)境下使用電網(wǎng)的服務(wù)，成了當(dāng)前電網(wǎng)信息安全建設(shè)的重要內(nèi)容之一。

2 電力企業(yè)信息安全建設(shè)的關(guān)鍵問題

云計(jì)算技術(shù)在電力企業(yè)的業(yè)務(wù)管理中已經(jīng)逐步得到應(yīng)用，另外，隨著技術(shù)的成熟和商業(yè)成本的降低，基于可信計(jì)算平臺的網(wǎng)絡(luò)應(yīng)用獲得了迅猛發(fā)展。如果在電網(wǎng)業(yè)務(wù)管理體系中將可信計(jì)算與云計(jì)算結(jié)合起來，將會使電網(wǎng)的管理水平如虎添翼。圖1為構(gòu)建可信平臺模塊間的安全通道示意圖。

在可信計(jì)算環(huán)境下，每臺主機(jī)嵌入一個(gè)可信平臺模塊。由于可信平臺模塊內(nèi)置密鑰，在模塊間能夠構(gòu)成一個(gè)天然的安全通信信道。因此，可以將廣播的內(nèi)容放在可信平臺模塊中，通過安全通信信道來進(jìn)行廣播，這樣可以極大地節(jié)約通信開銷。

智能電網(wǎng)的體系架構(gòu)從設(shè)備功能上可以分為基礎(chǔ)硬件層、感知測量層、信息通信層和調(diào)度運(yùn)維層四個(gè)層次。那么，智能電網(wǎng)的信息安全就必須包括物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全及備份恢復(fù)等方面。因此，其涉及到的關(guān)鍵問題可從CA體系建設(shè)、桌面安全部署、等級防護(hù)方案等方面入手。

3 智能電網(wǎng)信息防護(hù)體系框架

3.1 數(shù)字證書體系

數(shù)字證書體系CA是建設(shè)一套符合國家政策要求的電子認(rèn)證系統(tǒng)，并作為電力企業(yè)信息化建設(shè)的重要基礎(chǔ)設(shè)施，實(shí)現(xiàn)各實(shí)體身份在網(wǎng)絡(luò)上的真實(shí)映射，滿足各應(yīng)用系統(tǒng)中關(guān)于身份認(rèn)證、信息保密性、完整性和抗抵賴性等安全性要求。該系統(tǒng)主要包括根CA系統(tǒng)、CA簽發(fā)系統(tǒng)、RA注冊管理系統(tǒng)、KM系統(tǒng)、證書狀態(tài)查詢系統(tǒng)和LDAP目錄服務(wù)系統(tǒng)，總體結(jié)構(gòu)如圖2所示。

3.2 桌面安全管理體系

該體系可為電力企業(yè)提供集中的終端（桌面）綜合安全管理的桌面管理產(chǎn)品，打造一個(gè)安全、可信、規(guī)范、健康的內(nèi)網(wǎng)環(huán)境，如圖3所示。

該體系能滿足用戶：確保入網(wǎng)終端符合要求；全面監(jiān)測終端健康狀況；保證終端信息安全可控；動態(tài)監(jiān)測內(nèi)網(wǎng)安全態(tài)勢；快速定位解決終端故障；規(guī)范員工網(wǎng)絡(luò)行為；統(tǒng)一內(nèi)網(wǎng)用戶身份管理等。

3.3 等級防護(hù)體系

此外，在設(shè)計(jì)信息安全體系時(shí)，還需要針對電力企業(yè)的業(yè)務(wù)應(yīng)用系統(tǒng)，按照不同的安全保護(hù)等級，設(shè)計(jì)信息系統(tǒng)安全等級保護(hù)方案，如圖4所示。

根據(jù)國家關(guān)于《信息系統(tǒng)等級保護(hù)基本要求》中關(guān)于信息安全管理的規(guī)定，該體系應(yīng)該包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等方面。

4 結(jié)論與展望

本文將電力云技術(shù)與可信計(jì)算結(jié)合起來，設(shè)計(jì)了面向智能電網(wǎng)的信息安全防護(hù)體系框架，從CA體系建設(shè)、桌面安全部署、等級防護(hù)方案等方面闡述了該框架的內(nèi)涵。但信息安全是一個(gè)沒有盡頭的工作，需要及時(shí)與最新的方法相結(jié)合，不斷完善信息安全方案，使電網(wǎng)做到真正的智能、堅(jiān)強(qiáng)。

（基金項(xiàng)目：中央高?；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金項(xiàng)目（11MG50）；河北省高等學(xué)?？茖W(xué)研究項(xiàng)目（Z2013007））

參考文獻(xiàn)：

[1] 陳樹勇，宋書芳，李蘭欣，等.智能電網(wǎng)技術(shù)綜述[J].電網(wǎng)技術(shù)，2009，33（8）：1-7.

[2] 國家電網(wǎng).關(guān)于加快推進(jìn)堅(jiān)強(qiáng)智能電網(wǎng)建設(shè)的意見[N].國家電網(wǎng)報(bào)，2010-01-12（2）.

[3] 曹軍威，萬宇鑫，涂國煜，等.智能電網(wǎng)信息系統(tǒng)體系結(jié)構(gòu)研究[J].計(jì)算機(jī)學(xué)報(bào)，2013，36（1）：143-167.

[4] 陳康，鄭緯民.云計(jì)算：系統(tǒng)實(shí)例與研究現(xiàn)狀[J].軟件學(xué)報(bào)，2009（5）：1337-1348.

篇3

【關(guān)鍵詞】網(wǎng)絡(luò)信息化管理；企業(yè)；應(yīng)用

【中圖分類號】F270.7【文獻(xiàn)標(biāo)識碼】A【文章編號】1006-4222（2015）23-0302-02

前言

信息時(shí)代的發(fā)展促進(jìn)了很多科技產(chǎn)業(yè)的飛躍發(fā)展，同時(shí)也給很多行業(yè)帶來了便利。信息技術(shù)是一切網(wǎng)絡(luò)信息的物質(zhì)基礎(chǔ)，可以超乎想象地完成信息處理工作，而企業(yè)管理工作也搭上網(wǎng)絡(luò)信息化管理的快車，給很多繁雜的管理流程提出了解決方案。網(wǎng)絡(luò)信息化管理已經(jīng)大大降低了企業(yè)管理成本，并逐漸向個(gè)性化的管理服務(wù)拓新，貫穿到了企業(yè)管理的方方面面?？梢哉f現(xiàn)代企業(yè)管理已經(jīng)離不開網(wǎng)絡(luò)信息化，而對網(wǎng)絡(luò)信息化管理的研究和應(yīng)用也正是新時(shí)代的需求。

1網(wǎng)絡(luò)信息化管理對企業(yè)管理的意義

網(wǎng)絡(luò)信息化管理的作用就是將傳統(tǒng)的管理流程利用信息化技術(shù)代替，并發(fā)揮信息化的優(yōu)越性，達(dá)到更好的管理效果。企業(yè)利用網(wǎng)絡(luò)信息化管理主要從信息的傳遞與存儲和信息分析方面提高工作效率，實(shí)現(xiàn)管理的快捷高效目的，對企業(yè)管理有重要意義：

（1）減輕管理人員的工作量。網(wǎng)絡(luò)信息化管理的本質(zhì)是對數(shù)據(jù)信息的高效處理能力，所以，對于企業(yè)管理人員的日常信息數(shù)據(jù)處理來說是非常簡單的事，可以快速完成數(shù)據(jù)處理、分析并存儲，真正起到便捷快速的效果；

（2）簡化管理步驟，提高運(yùn)作效率。企業(yè)網(wǎng)絡(luò)信息化管理系統(tǒng)的建立可以實(shí)現(xiàn)信息的快速處理和傳輸，必然提高工作效率。而且系統(tǒng)上的流程設(shè)置可以把線下工作流程搬到線上來操作，極大地簡化流轉(zhuǎn)成本；

（3）促進(jìn)企業(yè)管理規(guī)范化進(jìn)程。網(wǎng)絡(luò)信息化管理系統(tǒng)的建立是基于很多管理理論和流程基礎(chǔ)的，保證了系統(tǒng)規(guī)范性，企業(yè)在利用系統(tǒng)進(jìn)行管理應(yīng)用的時(shí)候也必然要按照系統(tǒng)的流程走，對促進(jìn)企業(yè)管理規(guī)范化有很大的幫助，而且很大程度減少了人員操作失誤導(dǎo)致管理問題的情況發(fā)生。

2網(wǎng)絡(luò)信息化管理在企業(yè)中的應(yīng)用現(xiàn)狀

我國網(wǎng)絡(luò)信息化建設(shè)起步較國外晚一些，其在企業(yè)中的應(yīng)用水平也處于起步階段。但是，從近幾年的發(fā)展現(xiàn)狀來看，信息化建設(shè)程度已經(jīng)有了很大的突破，并逐漸發(fā)揮著對企業(yè)管理的積極作用。相對于國外企業(yè)網(wǎng)絡(luò)信息化管理的應(yīng)用，我國的應(yīng)用現(xiàn)狀不容樂觀，還有很大的發(fā)展空間。①對企業(yè)信息化管理的認(rèn)知方面，企業(yè)有很大的提升，只是在改革實(shí)踐方面需要一定的時(shí)間去接受；②企業(yè)信息化管理體系的應(yīng)用需求不斷提高，企業(yè)的發(fā)展速度對應(yīng)的信息化水平要求不同，在需求提高的同時(shí)出現(xiàn)了一定的不協(xié)調(diào)現(xiàn)象；③技術(shù)層次不統(tǒng)一，企業(yè)信息化管理系統(tǒng)的建立出現(xiàn)滯后與混亂，不同技術(shù)提供商之間存在不和諧的競爭關(guān)系；④企業(yè)對企業(yè)信息管理體系的投資不夠，且投資方向存在缺陷，受傳統(tǒng)企業(yè)管理和建設(shè)思想的影響，很多企業(yè)在網(wǎng)絡(luò)信息化建設(shè)的投資上偏向于硬件，而導(dǎo)致軟硬件投資失衡。

3網(wǎng)絡(luò)信息化管理在企業(yè)應(yīng)用中存在的問題

3.1企業(yè)人員認(rèn)識有誤

對于一些剛接觸網(wǎng)絡(luò)信息化管理體系的企業(yè)來說，很可能存在對其理解有誤區(qū)。可能會盲目的認(rèn)為管理系統(tǒng)的強(qiáng)大功能，可以減輕一切管理問題，亦可能會認(rèn)為并不能改善什么效果，總之這些認(rèn)知都是正常的。主要是我國傳統(tǒng)企業(yè)管理人員對系統(tǒng)的認(rèn)識誤區(qū)會影響企業(yè)網(wǎng)絡(luò)信息化管理應(yīng)用進(jìn)程，然后在真正應(yīng)用中出現(xiàn)不適用、不會用等問題，導(dǎo)致企業(yè)網(wǎng)絡(luò)信息化管理建設(shè)失敗。

3.2企業(yè)與管理系統(tǒng)融合不當(dāng)

對于很多企業(yè)來說，了解到企業(yè)網(wǎng)絡(luò)信息化管理的便利性之后，想要自己也能快速進(jìn)入信息化管理的發(fā)展快車中，就會出現(xiàn)盲目采購管理軟件的現(xiàn)象，況且目前的企業(yè)網(wǎng)絡(luò)信息化管理軟件市場又相對混亂，導(dǎo)致采購的軟件并不能真正達(dá)到企業(yè)管理的需求。其實(shí)，針對一些正規(guī)的軟件系統(tǒng)提供商來說，在進(jìn)行軟件設(shè)計(jì)的時(shí)候就應(yīng)該跟企業(yè)進(jìn)行需求分析，并提供個(gè)性化的軟件系統(tǒng)，這樣可以極大的解決溝通成本，也促進(jìn)企業(yè)和購買的管理系統(tǒng)融合。

3.3網(wǎng)絡(luò)信息化管理系統(tǒng)的數(shù)據(jù)安全隱患

在現(xiàn)代開放的網(wǎng)絡(luò)環(huán)境中，數(shù)據(jù)安全成為所有信息產(chǎn)品考慮的重中之重。如果企業(yè)網(wǎng)絡(luò)信息化管理系統(tǒng)的數(shù)據(jù)安全隱患沒法得到排除，那對企業(yè)管理信息化進(jìn)程的推進(jìn)有很大的阻礙作用。如果企業(yè)在使用網(wǎng)絡(luò)信息化管理軟件過程中出現(xiàn)數(shù)據(jù)丟失或被竊取等安全問題，會嚴(yán)重影響企業(yè)的發(fā)展。總之，在我國乃至全世界，網(wǎng)絡(luò)數(shù)據(jù)安全體系的建立和完善還需一定的時(shí)日，但目前仍然存留一定的安全隱患。

4網(wǎng)絡(luò)信息化管理在企業(yè)應(yīng)用中的對策建議

從前文對企業(yè)網(wǎng)絡(luò)信息化管理體系的現(xiàn)狀和應(yīng)用問題研究，結(jié)合目前的信息技術(shù)水平和市場環(huán)境，提出了相應(yīng)的對策和建議，希望在推進(jìn)網(wǎng)絡(luò)信息化管理在企業(yè)應(yīng)用的進(jìn)程，早日實(shí)現(xiàn)全部管理信息化。

4.1加強(qiáng)企業(yè)內(nèi)部對網(wǎng)絡(luò)信息化的認(rèn)識培養(yǎng)

企業(yè)網(wǎng)絡(luò)信息化管理的應(yīng)用并不是說完全擺脫傳統(tǒng)的管理體系和流程，一定要在企業(yè)日常培訓(xùn)中注意正確的認(rèn)識思想灌輸。網(wǎng)絡(luò)信息化管理體系的作用只是幫助企業(yè)在管理過程中改進(jìn)工作流程，提高信息處理速度，規(guī)范管理章程而已。企業(yè)的管理人員要起帶頭作用，積極學(xué)習(xí)網(wǎng)絡(luò)信息化管理的知識，并給自己的員工樹立正確的認(rèn)知思想。消除全利好的思想，要鼓勵企業(yè)員工對信息化管理知識的學(xué)習(xí)與使用，全員參與，每個(gè)部門都落實(shí)到位，尊重每一項(xiàng)流程的設(shè)置，并盡快適應(yīng)信息化管理系統(tǒng)，做到標(biāo)準(zhǔn)、規(guī)范化使用網(wǎng)絡(luò)信息化管理系統(tǒng)，使之為企業(yè)工作服務(wù)，提高效率和效益。

4.2規(guī)范軟件市場，加強(qiáng)供采溝通

雖然網(wǎng)絡(luò)信息化管理體系對企業(yè)管理工作有很大的促進(jìn)作用，但就目前的軟件市場情況來看，還處于一個(gè)變動調(diào)整時(shí)期，由于沒有一個(gè)規(guī)范的運(yùn)作模式，往往造成供采兩方需求與服務(wù)不對等的狀況。軟件市場的混亂也不是一時(shí)存在的，經(jīng)過了幾十年的發(fā)展歷史，雖然有所改善，但問題依然存在，至今規(guī)范化的管理制度沒能真正起到制約作用，只能說價(jià)錢監(jiān)督和規(guī)范執(zhí)行力，使市場變得更好。其次就是企業(yè)在進(jìn)行軟件采購時(shí)，需要提供給軟件提供商具體的需求文檔，之間加強(qiáng)溝通，以促進(jìn)軟件和企業(yè)使用的真正融合，幫助企業(yè)管理網(wǎng)絡(luò)信息化。

4.3加強(qiáng)網(wǎng)絡(luò)信息化管理數(shù)據(jù)安全體系建設(shè)

數(shù)據(jù)安全問題是全世界網(wǎng)絡(luò)體系面臨的難題，在網(wǎng)絡(luò)信息化管理企業(yè)應(yīng)用中，數(shù)據(jù)安全又是關(guān)鍵，所以改善這一難題成為目前推進(jìn)網(wǎng)絡(luò)信息化管理應(yīng)用的主要任務(wù)。由于網(wǎng)絡(luò)信息化管理數(shù)據(jù)的安全隱患不能完全得到排除，所以目前只能通過加強(qiáng)數(shù)據(jù)安全體系建設(shè)的方法來防范。通常采用的數(shù)據(jù)安全防范措施有加密處理手段、自建服務(wù)器、局域網(wǎng)絡(luò)加密等，企業(yè)在這方面應(yīng)該投入更多的資金成本用于硬件設(shè)施的建設(shè)，同時(shí)培養(yǎng)網(wǎng)絡(luò)技術(shù)人才，確保突發(fā)事件時(shí)進(jìn)行緊急應(yīng)對來盡可能的將風(fēng)險(xiǎn)降低到最小。

5結(jié)語

網(wǎng)絡(luò)信息化管理的研究成為現(xiàn)代企業(yè)管理的重要課題，在企業(yè)進(jìn)行應(yīng)用的時(shí)候仍然存在很多問題，但是整體發(fā)展趨勢良好。本文擬從網(wǎng)絡(luò)信息化管理在企業(yè)中應(yīng)用時(shí)企業(yè)人員認(rèn)知錯(cuò)誤、企業(yè)對信息化管理軟件的應(yīng)用融合問題和數(shù)據(jù)安全問題出發(fā)，分析了相應(yīng)的解決措施，提出了網(wǎng)絡(luò)信息化管理在企業(yè)應(yīng)用中的建議，以促進(jìn)我國信息化管理的普及和發(fā)展。

參考文獻(xiàn)

[1]顧玲.當(dāng)前我國企業(yè)管理信息化問題研究顧玲[J].現(xiàn)代營銷（學(xué)苑版），2014（10）.

[2]蔡永鴻，劉瑩.基于大數(shù)據(jù)的電商企業(yè)管理模式研究[J].中國商貿(mào)，2014（31）.

篇4

【 關(guān)鍵詞 】 等級保護(hù)；煙草企業(yè)；信息安全體系

1 等級保護(hù)思想

等級保護(hù)思想自20世紀(jì)80年代在美國產(chǎn)生以來，對信息安全的研究和應(yīng)用產(chǎn)生著深遠(yuǎn)的影響。以ITSEC、TCSEC、CC等為代表的一系列安全評估準(zhǔn)則相繼出臺，被越來越多的國家和行業(yè)所引入。我國于20世紀(jì)80年代末開始研究信息系統(tǒng)安全防護(hù)問題，1994年國務(wù)院頒布《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令），明確規(guī)定計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)。至此，等級保護(hù)思想開始在我國逐漸盛行。

我國的安全等級保護(hù)主要對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)。其核心思想就是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)分類指導(dǎo)，分階段實(shí)施建設(shè)、管理和監(jiān)督，以保障信息系統(tǒng)安全正常運(yùn)行和信息安全。信息系統(tǒng)的安全等級保護(hù)由低到高劃分為五級，通過分級分類，以相應(yīng)的技術(shù)和管理為支撐，實(shí)現(xiàn)不同等級的信息安全防護(hù)。

2 煙草行業(yè)引入等級保護(hù)思想的意義

煙草行業(yè)高度重視等級保護(hù)工作，實(shí)施信息安全等級保護(hù)，能有效地提高煙草行業(yè)信息安全和信息系統(tǒng)安全建設(shè)的整體水平。

2.1 開展安全等級結(jié)構(gòu)化安全設(shè)計(jì)

安全等級保護(hù)在注重分級的同時(shí)，也強(qiáng)調(diào)分類、分區(qū)域防護(hù)。煙草行業(yè)雖強(qiáng)調(diào)分類、分區(qū)域，但存在一定局域性。同時(shí)，由于缺少分級準(zhǔn)則，差異化保護(hù)尚未深化。引入等級保護(hù)思想，有助于深化結(jié)構(gòu)化安全設(shè)計(jì)理念，通過細(xì)分類型、劃分區(qū)域，全面梳理安全風(fēng)險(xiǎn)，明晰防護(hù)重點(diǎn)，構(gòu)建統(tǒng)一的安全體系架構(gòu)。

2.2 注重全生命周期安全管理

等級保護(hù)工作遵循“自主保護(hù)、重點(diǎn)保護(hù)、同步建設(shè)、動態(tài)調(diào)整”四大基本原則，其“同步建設(shè)、動態(tài)調(diào)整”原則充分體現(xiàn)了全生命周期管理的思想。煙草行業(yè)在全建設(shè)“同步”思想方面體現(xiàn)不深，未在系統(tǒng)的建設(shè)初期將安全需求納入系統(tǒng)的整體階段。引入新思想，明確新建系統(tǒng)安全保護(hù)要求，提升安全管理效率。

3 等級保護(hù)在煙草行業(yè)的實(shí)施路徑

信息安全等級保護(hù)工作的內(nèi)容主要涉及系統(tǒng)定級備案、等級保護(hù)建設(shè)、風(fēng)險(xiǎn)評估與等級安全測評、安全建設(shè)整改。煙草行業(yè)推行等級保護(hù)工作，其實(shí)施路徑主要有幾條。

3.1 信息系統(tǒng)安全定級

主要包括信息系統(tǒng)識別、信息系統(tǒng)劃分、安全等級確定。其中，原有信息系統(tǒng)根據(jù)業(yè)務(wù)信息安全重要性、系統(tǒng)服務(wù)安全重要性等方面綜合判定，合理定級。

3.2 等級保護(hù)安全測評

在等級保護(hù)環(huán)境下對信息系統(tǒng)重要資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估，通過等保測評，發(fā)現(xiàn)與等級保護(hù)技術(shù)、管理要求的不符合項(xiàng)。

3.3 制訂等級保護(hù)實(shí)施方案

依據(jù)安全建設(shè)總體方案、等級保護(hù)不符合項(xiàng)，全面梳理存在問題，分類形成各層級問題清單；并合理評估安全建設(shè)整改的難易度，全面有效制訂等級保護(hù)方案，明確安全整改目標(biāo)。

3.4 開展安全整改與評估

根據(jù)等級保護(hù)實(shí)施方案開展建設(shè)，具體主要包括安全域劃分、產(chǎn)品采購與部署、安全策略實(shí)施、安全整改加固以及等級保護(hù)管理建設(shè)等。并不定期開展安全評估，不斷鞏固信息安全與信息系統(tǒng)安全。

4 基于等級保護(hù)的煙草企業(yè)信息安全體系建設(shè)

根據(jù)等級保護(hù)工作的實(shí)施路徑分析得出，等級保護(hù)與信息安全體系存在許多共性，有較好的融合度。因此，探索基于等級保護(hù)的行業(yè)信息安全體系具有深刻意義。

信息安全體系的核心是策略，由管理、技術(shù)、運(yùn)維三部分組成。在等級保護(hù)思想的融合下，信息安全體系建設(shè)更加注重“分級保護(hù)、分類設(shè)計(jì)、分階段實(shí)施”。根據(jù)等級保護(hù)思想，煙草行業(yè)信息安全體系概述有幾點(diǎn)。

4.1 分級保護(hù)

煙草行業(yè)的信息安全體系以信息系統(tǒng)等級為落腳點(diǎn)，實(shí)行系統(tǒng)關(guān)聯(lián)分級，具體分為人員分級、操作權(quán)限分級、應(yīng)用對象分級。首先確定使用對象的范圍。對人員實(shí)行不同分級，即人員、可信人員、不可信人員等；其次，根據(jù)人員分級，劃分操作權(quán)限，即高權(quán)限、特殊權(quán)限、中權(quán)限、低權(quán)限等；最后根據(jù)業(yè)務(wù)信息安全等級和應(yīng)用服務(wù)等級，明確應(yīng)用系統(tǒng)等級，即一至五級安全等級。通過“人員—操作—應(yīng)用”的關(guān)聯(lián)鏈，制訂分級準(zhǔn)則，從而達(dá)到分級保護(hù)的目的。

4.2 分類設(shè)計(jì)

信息安全體系分類設(shè)計(jì)，主要涉及不同類型、不同區(qū)域、不同邊界三方面的結(jié)構(gòu)化設(shè)計(jì)。

4.2.1 類型設(shè)計(jì)

根據(jù)安全等級保護(hù)要求以及安全體系特點(diǎn)，分為技術(shù)、管理和運(yùn)維三大類型，并進(jìn)行類型策略設(shè)計(jì)。其中技術(shù)要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等四部分，管理要求分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理等四部分。運(yùn)維要求分為系統(tǒng)運(yùn)維管理、系統(tǒng)運(yùn)維評估等兩部分。

（1）技術(shù)策略注重系統(tǒng)自身安全防護(hù)功能以及系統(tǒng)遭損害后的恢復(fù)功能兩大層面。如主機(jī)管理，其中主機(jī)管理、身份鑒別、訪問控制、安全審計(jì)、入侵方法等標(biāo)準(zhǔn)要按級體現(xiàn)；而不同的策略同樣也要根據(jù)兩大層面按需設(shè)計(jì)。

（2）管理策略注重管理范圍全面性、資源配置到位性和運(yùn)行機(jī)制順暢性。諸如安全管理機(jī)構(gòu)是否明確了機(jī)構(gòu)組成，崗位設(shè)置是否合理、人員配置是否到位、溝通運(yùn)行機(jī)制是否順暢等。

（3）運(yùn)維策略主要體現(xiàn)運(yùn)維流程的清晰度、運(yùn)維監(jiān)督考核的執(zhí)行度。諸如系統(tǒng)運(yùn)維管理是否明確運(yùn)維流程及運(yùn)維監(jiān)督考核指標(biāo)，諸如重大事件、巡檢管理、故障管理等。通過分類設(shè)計(jì)達(dá)到結(jié)構(gòu)化層級要求。

4.2.2 區(qū)域設(shè)計(jì)

區(qū)域設(shè)計(jì)主要指安全域。安全域從不同角度可以進(jìn)行劃分，主要分為橫向劃分和縱向劃分，橫向劃分按照業(yè)務(wù)分類將系統(tǒng)劃分為各個(gè)不同的安全域，如硬件系統(tǒng)部分、軟件系統(tǒng)部分等；縱向在各業(yè)務(wù)系統(tǒng)安全域內(nèi)部，綜合考慮其所處位置或連接以及面臨威脅，將它們劃分為計(jì)算域、用戶域和網(wǎng)絡(luò)域。

煙草行業(yè)根據(jù)體系建設(shè)需要，將采用多種安全域劃分方法相結(jié)合的方式進(jìn)行區(qū)域劃分。

（1）以系統(tǒng)功能和服務(wù)對象劃分煙草重要信息系統(tǒng)安全域和一般應(yīng)用系統(tǒng)安全域。采取嚴(yán)格的訪問控制措施，防止重要信息系統(tǒng)數(shù)據(jù)被其它業(yè)務(wù)系統(tǒng)頻繁訪問。

（2）以網(wǎng)絡(luò)區(qū)域劃分煙草行業(yè)信息系統(tǒng)的數(shù)據(jù)存儲區(qū)、應(yīng)用服務(wù)區(qū)、管理中心、信息系統(tǒng)內(nèi)網(wǎng)、DMZ區(qū)等不同的安全域。數(shù)據(jù)存儲區(qū)的安全保護(hù)級別要高于應(yīng)用服務(wù)區(qū)，DMZ區(qū)的安全級別要低于其它所有安全域。

4.2.3 邊界設(shè)計(jì)

要清晰系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用等邊界，通過區(qū)域之間劃分，明晰邊界安全防護(hù)措施。邊界設(shè)計(jì)的理念基于區(qū)域設(shè)計(jì)，在區(qū)域劃分成不同單元的基礎(chǔ)上，實(shí)行最小安全邊界防護(hù)。邊界防護(hù)本著“知所必需、用所必需、共享必需、公開必需、互聯(lián)互通必需”的信息系統(tǒng)安全控制管理原則實(shí)施。

4.3 分階段實(shí)施

煙草信息安全體系建設(shè)要充分體現(xiàn)全生命周期管理思想，從應(yīng)用系統(tǒng)需求開始，分階段推進(jìn)體系建設(shè)。

4.3.1 明確安全需求

為保證信息安全體系建設(shè)能順利開展，行業(yè)新建系統(tǒng)必須在規(guī)劃和設(shè)計(jì)階段，確定系統(tǒng)安全等級，明確安全需求，并將應(yīng)用系統(tǒng)的安全需求納入到項(xiàng)目規(guī)劃、設(shè)計(jì)、實(shí)施和驗(yàn)證，以避免信息系統(tǒng)后期反復(fù)的整改。

4.3.2 加強(qiáng)安全建設(shè)

要在系統(tǒng)建設(shè)過程中，根據(jù)安全等級保護(hù)要求，以類型、區(qū)域和邊界的設(shè)計(jì)為著力點(diǎn)，全面加強(qiáng)安全環(huán)節(jié)的監(jiān)督，及時(shí)跟蹤安全功能的“盲點(diǎn)”，使在系統(tǒng)建設(shè)中充分體現(xiàn)安全總體設(shè)計(jì)的要求，穩(wěn)步推進(jìn)安全體系穩(wěn)步開展。

4.3.3 健全安全運(yùn)維機(jī)制

自系統(tǒng)進(jìn)入運(yùn)維期后，要建立健全安全運(yùn)維機(jī)制。梳理運(yùn)維工作事項(xiàng)，理順運(yùn)維業(yè)務(wù)流程，并通過制訂運(yùn)維規(guī)范、運(yùn)維質(zhì)量評價(jià)標(biāo)準(zhǔn)、運(yùn)維考核標(biāo)準(zhǔn)等，規(guī)范安全運(yùn)維管理，提高安全運(yùn)維執(zhí)行力，以確保系統(tǒng)符合安全等級要求。

4.3.4 開展全面安全測評

在安全建設(shè)階段，對行業(yè)現(xiàn)狀要全面診斷評估，尤其是對已定級的信息系統(tǒng)，加強(qiáng)安全測評，形成安全整改方案，并結(jié)合安全體系設(shè)計(jì)框架，按階段、分步驟落實(shí)，注重整改質(zhì)量與效率，降低安全風(fēng)險(xiǎn)。

4.3.5 落實(shí)檢查與評估

檢查評估必須以安全等保要求為檢查內(nèi)容，充分借助第三方力量，準(zhǔn)確評估行業(yè)安全管理水平，并及時(shí)調(diào)整安全保護(hù)等級，不斷促進(jìn)行業(yè)信息安全工作上臺階。

5 結(jié)束語

信息安全體系建設(shè)作為一項(xiàng)長期的系統(tǒng)工程，等級保護(hù)思想的引入，以其保護(hù)理念的先進(jìn)性和實(shí)施路徑的可行性，為信息安全體系建設(shè)提供了新的思路和方法。煙草行業(yè)將在信息安全等級保護(hù)工作中切實(shí)提高煙草業(yè)務(wù)核心系統(tǒng)的信息安全，保障行業(yè)系統(tǒng)的安全、穩(wěn)定、優(yōu)質(zhì)運(yùn)行，更好地服務(wù)國家和社會。

參考文獻(xiàn)

[1] 公安部等.信息安全等級保護(hù)管理辦法[Z]. 2007-06-22.

[2] 國家煙草專賣局.煙草行業(yè)信息安全保障體系建設(shè)指南[Z].2008-04-25.

篇5

【關(guān)鍵詞】電子政務(wù) 信息安全 體系建設(shè)

當(dāng)前我國交通電子政務(wù)實(shí)施過程的兩大矛盾的解決，依賴于安全、穩(wěn)定、可靠的交通運(yùn)輸電子政務(wù)平臺信息安全保障體系。對于電子政務(wù)平臺實(shí)施過程中所面臨的信息安全保障問題，我國早在2003年9月頒發(fā)的《關(guān)于加強(qiáng)信息安全保障工作的意見》中明確提出了建立等級保護(hù)制度和風(fēng)險(xiǎn)管理體系的要求。2004年11月，公安部等國家四部委聯(lián)合推出信息安全等級保護(hù)要求、測評準(zhǔn)則和實(shí)施指南，為政務(wù)領(lǐng)域進(jìn)一步建立政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)管理體系提供了技術(shù)基礎(chǔ)和指導(dǎo)。交通運(yùn)輸部也于2008年12月頒布的《交通運(yùn)輸電子政務(wù)網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)技術(shù)指南》中對交通電子政務(wù)平臺的安全保障體系作了詳細(xì)的技術(shù)規(guī)范。

隨著交通政府機(jī)構(gòu)的信息安全基礎(chǔ)建設(shè)日趨完善，建立一套信息安全管理平臺，既滿足電子政務(wù)平臺的開放性和可訪問性，又保證電子政務(wù)平臺的安全性，也日益迫切。交通電子政務(wù)信息安全保障體系可從以下幾個(gè)角度進(jìn)行充分構(gòu)建：

1信息安全保障體系及其基本要求

信息安全保障體系是基于PKI體系而開發(fā)的為多個(gè)應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證、訪問控制、應(yīng)用審計(jì)和遠(yuǎn)程接入的應(yīng)用安全網(wǎng)關(guān)系統(tǒng)，它可以將不同地理位置、不同基礎(chǔ)設(shè)施（主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等）中分散且海量的安全信息進(jìn)行樣式化、匯總、過濾和關(guān)聯(lián)分析，形成基于基礎(chǔ)設(shè)施與域的統(tǒng)一等級的威脅與風(fēng)險(xiǎn)管理，并依托安全知識庫和工作流程驅(qū)動，對威脅與風(fēng)險(xiǎn)進(jìn)行響應(yīng)和處理。信息安全保障體系的基本要求主要體現(xiàn)在以下幾個(gè)方面：

1）保密性。主要體現(xiàn)在誰能擁有信息，如何保證秘密和敏感信息僅為授權(quán)者享有。

2）完整性。主要體現(xiàn)在擁有的信息是否正確以及如何保證信息從真實(shí)的信源發(fā)往真實(shí)的信宿，傳輸、存儲、處理中未被刪改、增添、替換。

3）可用性。主要體現(xiàn)在信息和信息系統(tǒng)是否能夠使用以及如何保證信息和信息系統(tǒng)隨時(shí)可為授權(quán)者提供服務(wù)而不被非授權(quán)者濫用。

4）可控性。主要體現(xiàn)在是否能夠監(jiān)控管理信息和系統(tǒng)以及如何保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理。

5）不可否認(rèn)性。主要體現(xiàn)在信息行為人為信息行為承擔(dān)責(zé)任，保證信息行為人不能否認(rèn)其信息行為。

總之，信息安全保障體系的基本要求主要從技術(shù)和管理兩個(gè)層面得以實(shí)現(xiàn)。技術(shù)層面在實(shí)現(xiàn)信息資源的公開性、共享性和可訪問性的同時(shí)，通過主機(jī)安全、網(wǎng)絡(luò)安全、物理安全、數(shù)據(jù)安全和應(yīng)用安全等技術(shù)要素保障信息的安全性。管理層面則可通過安全管理機(jī)制、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理以及系統(tǒng)運(yùn)營管理等規(guī)范化機(jī)制得以保障信息的安全性。

2交通電子政務(wù)平臺信息安全保障體系的構(gòu)建

交通電子政務(wù)平臺的信息安全保障體系，應(yīng)該由組織體系、技術(shù)體系、運(yùn)營體系、策略體系和保障對象體系等共同組成。

2.1安全組織體系。政府高度重視交通運(yùn)輸信息化工作的同時(shí)，堅(jiān)持把“積極防御，綜合防范”放在優(yōu)先位置，首先要求成立專門的信息安全領(lǐng)導(dǎo)小組。信息安全領(lǐng)導(dǎo)小組可由交通主管領(lǐng)導(dǎo)擔(dān)任領(lǐng)導(dǎo)小組組長主管信息安全工作，下設(shè)信息安全工作組，各管理部門負(fù)責(zé)人、業(yè)務(wù)部門負(fù)責(zé)人為成員。

2.2安全技術(shù)體系。交通電子政務(wù)平臺的安全技術(shù)體系可搭建專業(yè)的安全管理運(yùn)營中心，并從基礎(chǔ)設(shè)施安全和應(yīng)用安全兩個(gè)方面去搭建安全技術(shù)支撐體系。

2.3安全運(yùn)營體系。交通電子政務(wù)的安全運(yùn)營體系一般可由安全體系推廣與落實(shí)、項(xiàng)目建設(shè)的安全管理、安全風(fēng)險(xiǎn)管理與控制和日常安全運(yùn)行與維護(hù)四個(gè)部分組成。安全運(yùn)營體系是一個(gè)完整的過程體系，在交通電子政務(wù)平臺的整個(gè)過程中，正常的運(yùn)作流程，其信息流遵循自上而下的流程，即交通上級部門根據(jù)電子政務(wù)平臺信息安全需求的目標(biāo)、規(guī)劃和控制要求做計(jì)劃，下級交通部門根據(jù)計(jì)劃進(jìn)行執(zhí)行、檢查和改進(jìn)。而若交通電子政務(wù)平臺其安全性出現(xiàn)威脅，影響正常的運(yùn)作流程時(shí)，此時(shí)信息流則遵循自下而上的逆向過程，下級交通部門向上級部門報(bào)送安全事件，上級部門根據(jù)其安全事件進(jìn)行分析、總結(jié)和改進(jìn)。

2.4安全策略體系。網(wǎng)絡(luò)安全策略是為了保護(hù)網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和，因此信息安全策略是信息安全保障體系建設(shè)和實(shí)施的指導(dǎo)和依據(jù)，全面科學(xué)的安全策略體系應(yīng)貫穿信息安全保障體系建設(shè)的始終。安全策略體系，主要包含安全政策體系、安全組織體系、安全技術(shù)體系和安全運(yùn)行體系四個(gè)方面的要素，在采用各種安全技術(shù)控制措施的同時(shí)，必須制訂層次化的安全策略，完善安全管理組織機(jī)構(gòu)和人員配備，提高安全管理人員的安全意識和技術(shù)水平，完善各種安全策略和安全機(jī)制，利用多種安全技術(shù)實(shí)施和網(wǎng)絡(luò)安全管理實(shí)現(xiàn)對網(wǎng)絡(luò)的多層保護(hù)，減小網(wǎng)絡(luò)受到攻擊的可能性，防范網(wǎng)絡(luò)安全事件的發(fā)生，提高對安全事件的反應(yīng)處理能力，并在網(wǎng)絡(luò)安全事件發(fā)生時(shí)盡量減少事件造成的損失。

篇6

 

0 引言

 

隨著我國經(jīng)濟(jì)的快速發(fā)展，信息系統(tǒng)也跟隨進(jìn)入到了快速發(fā)展時(shí)期。網(wǎng)絡(luò)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)以及高新科學(xué)技術(shù)都發(fā)揮著重要作用。由于信息系統(tǒng)的快速發(fā)展，應(yīng)用領(lǐng)域逐漸的進(jìn)行變化，從傳統(tǒng)的小型業(yè)務(wù)系統(tǒng)逐漸向大型的關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，應(yīng)用層次不斷的進(jìn)行深入，網(wǎng)絡(luò)的信息安全日益成為影響整個(gè)信息系統(tǒng)的重要問題。由于目前的網(wǎng)絡(luò)系統(tǒng)基于TCP/IP協(xié)議，具有充分的開放性與自由性，為廣大用戶提供了很廣闊的使用領(lǐng)域，但同時(shí)也給網(wǎng)絡(luò)安全帶來到了極大的安全隱患。網(wǎng)絡(luò)的信息安全體系的建設(shè)成為了一個(gè)急需解決的問題。作為我國國家安全重要的組成部分公安機(jī)關(guān)，其網(wǎng)絡(luò)系統(tǒng)的安全體系建設(shè)是首先要考慮的問題。本文分析了公安網(wǎng)絡(luò)的信息安全當(dāng)前面臨的問題以及安全需求，給出了公安網(wǎng)絡(luò)的信息安全體系設(shè)計(jì)中，通信平臺、網(wǎng)絡(luò)平臺、應(yīng)用平臺以及安全管理平臺的問題分析。

 

1 公安網(wǎng)絡(luò)面臨的安全問題分析

 

公安網(wǎng)絡(luò)的信息安全一般來說是指公安網(wǎng)絡(luò)系統(tǒng)要保障信息不受破壞、保護(hù)數(shù)據(jù)安全、保護(hù)服務(wù)安全以及保護(hù)通信安全等多個(gè)方面。盡管公安網(wǎng)絡(luò)與公共網(wǎng)絡(luò)進(jìn)行隔離，但是公安網(wǎng)絡(luò)所覆蓋的范圍非常廣，使用公安網(wǎng)絡(luò)的公安干警、司法部門的人員眾多。不僅如此公安網(wǎng)絡(luò)還連接著全國公安一級網(wǎng)絡(luò)。使用人員的誤操作或者非法操作都有可能導(dǎo)致信息的泄露與破壞。因此，目前我國的公安網(wǎng)絡(luò)的信息安全面臨著許多的安全問題。

 

1.1 網(wǎng)絡(luò)構(gòu)成龐大，訪問控制不嚴(yán)

 

由于目前的公安網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)龐大，對偽裝IP的判斷以及網(wǎng)絡(luò)用塞現(xiàn)象嚴(yán)重。另外，目前用戶的登錄方式的安全級別尚未做到將本文真實(shí)的身份信息與登錄口令做到單一映射。甚至有些地方的公安網(wǎng)絡(luò)中，仍然使用同一的用戶名+口令的模式，這些無疑會對公安網(wǎng)絡(luò)的信息安全造成巨大的安全隱患，造成非法入侵者對數(shù)據(jù)的破壞、盜取以及泄露安全機(jī)密。

 

1.2 公安網(wǎng)絡(luò)系統(tǒng)中軟件設(shè)計(jì)問題

 

由于公安網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)軟件的開發(fā)周期與早期的系統(tǒng)分析不適合當(dāng)前安全防護(hù)形勢的原因。其公安網(wǎng)絡(luò)操作系統(tǒng)與應(yīng)用軟件中存在很多的安全樓同，這些漏洞的存在將對網(wǎng)絡(luò)的正常運(yùn)行構(gòu)成很大的隱患。

 

1.3 病毒的防護(hù)漏洞

 

公安網(wǎng)絡(luò)目前對網(wǎng)絡(luò)病毒的防護(hù)手段十分有限，沒有建立專用的計(jì)算及病毒防護(hù)中心、監(jiān)控中心，這同樣對公安網(wǎng)絡(luò)的安全造成巨大隱患，“尼姆達(dá)”與“2003 蠕蟲王”等網(wǎng)絡(luò)病毒曾對公安網(wǎng)絡(luò)造成想打的危害，造成網(wǎng)絡(luò)擁堵、降低性能，嚴(yán)重?cái)_亂了公安系統(tǒng)的正常工作秩序。

 

1.4 信息安全的管理體制不完善

 

公安網(wǎng)絡(luò)系統(tǒng)是與公共網(wǎng)絡(luò)物理隔離的系統(tǒng)，但是還未在整體上建立完善的安全結(jié)構(gòu)體系，在管理上缺乏安全標(biāo)準(zhǔn)以及使用條例，甚至有些地方公安網(wǎng)絡(luò)中的計(jì)算機(jī)出現(xiàn)公安網(wǎng)絡(luò)與公共網(wǎng)絡(luò)同時(shí)使用的現(xiàn)象，這都對公安網(wǎng)絡(luò)的信息安全帶來不可忽視的安全威脅，使非法入侵者有著可乘之機(jī)。

 

2 公安網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)設(shè)計(jì)

 

公安網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)設(shè)計(jì)，是一項(xiàng)非常復(fù)雜的系統(tǒng)工程，該體系對安全的需求是多層次，多方面的。因此本文設(shè)計(jì)了比較完整的安全體系結(jié)構(gòu)模型，以保障整個(gè)系統(tǒng)的完備性以及安全性，為公安網(wǎng)絡(luò)的信息安全提供切實(shí)有效的安全服務(wù)保障。本文在借鑒了多種成熟的信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)，并且根據(jù)國家公安部提出的具體保障體系的指導(dǎo)思想，設(shè)計(jì)了適應(yīng)我國公安網(wǎng)絡(luò)的信息安全體系。該體系從安全服務(wù)、協(xié)議層次以及系統(tǒng)單元三個(gè)維度，綜合立體的對公安信息網(wǎng)絡(luò)的安全體系進(jìn)行了設(shè)計(jì)。這個(gè)三個(gè)層次均包含了安全管理模塊。

 

2.1 協(xié)議層次維度

 

本文從網(wǎng)絡(luò)的七層協(xié)議模型來設(shè)計(jì)公安網(wǎng)絡(luò)的安全體系結(jié)構(gòu)中的協(xié)議層次。每一個(gè)協(xié)議層次都有專屬的安全機(jī)制。對于某一項(xiàng)安全服務(wù)，安全實(shí)現(xiàn)機(jī)制隨著協(xié)議層次的不同而不同。例如，審計(jì)跟蹤的安全服務(wù)項(xiàng)目在網(wǎng)絡(luò)層，主要對審計(jì)記錄與登錄主機(jī)之間的流量進(jìn)行分析，對非法入侵進(jìn)行實(shí)時(shí)監(jiān)測。病毒防護(hù)層一般在應(yīng)用層實(shí)現(xiàn)，一般用來對訪問事件進(jìn)行監(jiān)控，監(jiān)控內(nèi)容為用戶身份，訪問IP，訪問的應(yīng)用等等進(jìn)行日志統(tǒng)計(jì)。

 

2.2 安全服務(wù)維度

 

公安網(wǎng)絡(luò)的信息安全體系中包括的安全服務(wù)有，身份識別認(rèn)證、訪問控制權(quán)限、數(shù)據(jù)完整性和保密性以及抗抵賴組成了安全服務(wù)模型。在安全服務(wù)模型中，每一個(gè)安全服務(wù)對應(yīng)著不同類別的應(yīng)用。這幾種安全服務(wù)模型不是獨(dú)立的是互相聯(lián)系著的。進(jìn)入公安網(wǎng)絡(luò)安全體系的主體登錄系統(tǒng)時(shí)，要進(jìn)行身份識別認(rèn)證，并且查找授權(quán)數(shù)據(jù)庫，以獲得主體訪問的權(quán)限，如果通過驗(yàn)證與授權(quán)，則對訪問信息進(jìn)行加密返回至主體，主體通過解析進(jìn)行信息獲取。并且，主體訪問的過程被審計(jì)跟蹤監(jiān)測模塊記錄，生成訪問日志，以便日后進(jìn)行查驗(yàn)。

 

2.3 系統(tǒng)單元維度

 

公安網(wǎng)絡(luò)的信息安全體系的實(shí)施階段，上述安全服務(wù)與協(xié)議等要集成在物理單元上，從系統(tǒng)單元的維度看，可分為以下幾個(gè)層次。首先，物理環(huán)境安全，該層次保護(hù)計(jì)算機(jī)信息系統(tǒng)的基本設(shè)施安全，能夠有能力應(yīng)對自然災(zāi)害以及人為物理誤操作對安全體系的基礎(chǔ)設(shè)施的干擾以及破壞。其次，網(wǎng)絡(luò)平臺的安全，主要保證網(wǎng)絡(luò)的安全可靠運(yùn)行，保障通過交換機(jī)等網(wǎng)絡(luò)設(shè)備的信息的安全。最后是應(yīng)用系統(tǒng)的安全，該層次提供了訪問用戶的身份認(rèn)證、數(shù)據(jù)的保密性以及完整性，權(quán)限訪問等。

 

3 總結(jié)

 

本文分析了公安網(wǎng)絡(luò)的信息安全當(dāng)前面臨的問題以及安全需求，對公安網(wǎng)絡(luò)的信息安全體系設(shè)計(jì)中，協(xié)議層次、安全服務(wù)以及系統(tǒng)單元三個(gè)維度的結(jié)構(gòu)設(shè)計(jì)問題進(jìn)行了深入的分析。

 

作者：李元鵬 來源：科技視界 2015年1期

篇7

對系統(tǒng)自我定級

長城資產(chǎn)管理公司是國有獨(dú)資的金融企業(yè)，在業(yè)務(wù)高速發(fā)展的同時(shí)，一直非常重視信息安全體系的建設(shè)，早期已經(jīng)部署了 “老三樣”信息安全產(chǎn)品，即網(wǎng)絡(luò)防病毒、防火墻和網(wǎng)絡(luò)入侵檢測產(chǎn)品，對保障業(yè)務(wù)系統(tǒng)的安全正常運(yùn)轉(zhuǎn)起到了重要作用。

公司綜合經(jīng)營管理系統(tǒng)經(jīng)過四期建設(shè)，實(shí)現(xiàn)了數(shù)據(jù)集中和管理集中，為公司收購、管理與處置政策性不良資產(chǎn)以及商業(yè)化經(jīng)營等業(yè)務(wù)的順利開展提供了完整的業(yè)務(wù)操作平臺。

根據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》中對信息系統(tǒng)的要求，長城資產(chǎn)管理公司考慮到綜合經(jīng)營管理系統(tǒng)是公司的核心業(yè)務(wù)系統(tǒng)，一旦受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害，因此，公司確定首要的工作是設(shè)定系統(tǒng)的保護(hù)級別。經(jīng)過綜合審核，最終將系統(tǒng)保護(hù)級別定為3級，并形成了等級保護(hù)定級報(bào)告，這在資產(chǎn)管理公司里屬于首家。

對定級進(jìn)行測評

系統(tǒng)定級之后，公司做了備案，同時(shí)申請等級保護(hù)的主管單位進(jìn)行現(xiàn)場測評。北京等級保護(hù)辦公室作為這次測評的主管和實(shí)施單位，根據(jù)等級保護(hù)3級基本要求對綜合經(jīng)營管理系統(tǒng)進(jìn)行測評?，F(xiàn)場測評工作主要包括跟綜合經(jīng)營管理系統(tǒng)相關(guān)的各個(gè)層面，在網(wǎng)絡(luò)層面進(jìn)行網(wǎng)絡(luò)設(shè)備安全配置檢查和安全系統(tǒng)部署；在主機(jī)層面進(jìn)行主機(jī)系統(tǒng)的安全配置檢查和數(shù)據(jù)庫系統(tǒng)安全檢查；在數(shù)據(jù)安全方面進(jìn)行了數(shù)據(jù)完整性、機(jī)密性和可用性的檢查;在管理方面進(jìn)行安全策略、安全組織以及人員的檢查，同時(shí)對信息部門領(lǐng)導(dǎo)和相關(guān)人員以及公司的人力資源部門相關(guān)人員做了詳細(xì)的訪談。涉及方面之廣，檢查粒度之細(xì)都是其他專門的安全項(xiàng)目所無法比擬的，對公司整個(gè)信息安全建設(shè)指明了方向，細(xì)化了要求，加強(qiáng)了安全體系建設(shè)，提升了人員的信息安全意識，規(guī)范了信息安全工作流程。

但是，在現(xiàn)場的測評工作當(dāng)中也出現(xiàn)了一些問題，主要來自兩方面：一是發(fā)現(xiàn)了公司在信息安全建設(shè)中的“短板”，明確了工作重點(diǎn)和方向；二是發(fā)現(xiàn)基本要求中的個(gè)別條款的要求過于“苛刻”――單純從技術(shù)上來看是可行的，但是如果結(jié)合公司的業(yè)務(wù)，就不是特別合理，因?yàn)樾枰獙ΜF(xiàn)有運(yùn)行的業(yè)務(wù)進(jìn)行很大的改造,甚至涉及到對底層操作系統(tǒng)的改造。

最后，在北京等級保護(hù)辦公室的監(jiān)督、指導(dǎo)下，公司加強(qiáng)了安全管理，調(diào)整個(gè)別不符合項(xiàng)目，最終通過了等級保護(hù)3級測評。

建設(shè)等級保護(hù)平臺

篇8

如何建立一套針對企業(yè)自身特點(diǎn)的信息系統(tǒng)安全體系，最大程度地保證其正常運(yùn)營，這不是一個(gè)單純的技術(shù)問題，而是一個(gè)把管理、安全技術(shù)、審計(jì)等多種因素集成于于一體的系統(tǒng)工程。因此，企業(yè)管理層需要在企業(yè)發(fā)展策略中，高度重視信息安全技術(shù)、信息安全管理和審計(jì)工作，不僅要在信息系統(tǒng)的軟硬件上下功夫，而且不能忽略相關(guān)審計(jì)工作，加強(qiáng)風(fēng)險(xiǎn)排查，這樣才能對企業(yè)的業(yè)務(wù)發(fā)展做到同步支持。

1.信息系統(tǒng)安全技術(shù)

信息系統(tǒng)安全技術(shù)作為信息系統(tǒng)安全體系的基礎(chǔ)，在其中起到支撐的作用。在實(shí)際工作中，針對企業(yè)各自特點(diǎn)制定相關(guān)策略。當(dāng)前企業(yè)信息系統(tǒng)安全的現(xiàn)狀和面臨的主要問題如下：

1.1硬件運(yùn)維

硬件設(shè)備的運(yùn)維和管理是企業(yè)信息系統(tǒng)安全體系的基礎(chǔ)保障，但是管理人員容易忽視這一環(huán)節(jié)。企業(yè)信息系統(tǒng)往往會因?yàn)橛布O(shè)備故障、斷電或網(wǎng)絡(luò)問題造成信息丟失或服務(wù)中斷。如果針對硬件設(shè)備的運(yùn)維和管理沒有相關(guān)保障機(jī)制，一次發(fā)生意外，就會給企業(yè)造成不可估量的損失。

當(dāng)前常見的硬件設(shè)備運(yùn)維保障管理機(jī)制有以下幾個(gè)環(huán)節(jié)：一是通過設(shè)置UPS不間斷電源保障系統(tǒng)硬件的持續(xù)性運(yùn)行；二是要對企業(yè)信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備進(jìn)行定期巡檢，在前期的網(wǎng)絡(luò)環(huán)境部署過程中首先考慮網(wǎng)絡(luò)的連接穩(wěn)定性；最后是加強(qiáng)信息系統(tǒng)安全管理，嚴(yán)防企業(yè)信息丟失和竊取，可以通過對數(shù)據(jù)信息存儲服務(wù)器設(shè)置物理鎖的方式避免非法操作。為了保證系統(tǒng)服務(wù)器的安全，管理人員可以采用遠(yuǎn)程登錄的方式訪問系統(tǒng)。

1.2入侵防御

病毒入侵一般都擁有固定代碼，而入侵威脅是由非法人員需要得知信息系統(tǒng)的漏洞，從而進(jìn)行人為操縱的信息竊取或系統(tǒng)攻擊。特定的防范方法包括：嚴(yán)格制定防火墻訪問控制策略，阻止外界對內(nèi)部資源的非法訪問；關(guān)閉系統(tǒng)硬件不用的端口；定期對系統(tǒng)進(jìn)行漏洞掃描和補(bǔ)丁包更新；在信息系統(tǒng)中部署入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS），從而抵御非法入侵。

1.3病毒防范

信息系統(tǒng)的安全配置和管理人員的正規(guī)操作對于信息系統(tǒng)病毒的防范非常重要。操作系統(tǒng)是企業(yè)信息平臺安全的基礎(chǔ)，錯(cuò)誤的安裝配置會使病毒滲入到信息系統(tǒng)當(dāng)中。針對信息系統(tǒng)安裝殺毒軟件并進(jìn)行定期更新是病毒防范的基本措施，這樣可以保證系統(tǒng)基本的安全性與穩(wěn)定性。企業(yè)還需要定期對系統(tǒng)進(jìn)行數(shù)據(jù)備份。

1.4數(shù)據(jù)加密

在公共網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?shù)倪^程中，利用虛擬專用網(wǎng)（VPN）技術(shù)設(shè)置訪問控制策略，實(shí)現(xiàn)兩個(gè)或多個(gè)可信網(wǎng)絡(luò)之間的數(shù)據(jù)加密與傳輸。搭建VPN通常使用加密防火墻和路由器，保證數(shù)據(jù)安全傳輸[1]。

在企業(yè)的局域網(wǎng)中針對內(nèi)部信息存儲、傳輸?shù)陌踩珕栴}，可以通過部署安全服務(wù)器來實(shí)現(xiàn)包括對局域網(wǎng)內(nèi)資源的管理控制、用戶的管理和所有安全相關(guān)事件的跟蹤和審計(jì)。

2.信息系統(tǒng)安全管理

企業(yè)信息系統(tǒng)安全體系的建設(shè)三分靠技術(shù)，七分靠管理。因此，建立和完善管理制度是保障企業(yè)信息系統(tǒng)安全的關(guān)鍵和重點(diǎn)。

2.1制定企業(yè)信息系統(tǒng)安全管理制度

企業(yè)信息系統(tǒng)安全體系的建立和實(shí)施對其正常運(yùn)營非常重要，所有一切的信息系統(tǒng)安全工作都要以公司制定的企業(yè)信息系統(tǒng)安全管理制度為基準(zhǔn)。

2.2提高企業(yè)員工信息系統(tǒng)安全意識

現(xiàn)實(shí)中企業(yè)管理者的關(guān)注焦點(diǎn)大多是生產(chǎn)上的安全，信息安全沒有得到足夠的重視。實(shí)際上，企業(yè)員工信息安全意識的高低，在企業(yè)的信息系統(tǒng)安全體系建設(shè)中起很大作用，企業(yè)能夠加強(qiáng)員工的信息安全意識，將很大地提高信息系統(tǒng)安全體系實(shí)施的成效。

2.3嚴(yán)格執(zhí)行標(biāo)準(zhǔn)，強(qiáng)化制度落實(shí)

在企業(yè)信息系統(tǒng)安全體系的建設(shè)過程中，必須嚴(yán)格按照信息系統(tǒng)安全操作規(guī)程和管理措施執(zhí)行，最大程度消除信息系統(tǒng)安全隱患。若發(fā)現(xiàn)信息系統(tǒng)安全隱患，及時(shí)按照相關(guān)操作規(guī)程處置[2]。

2.4積極學(xué)習(xí)和應(yīng)對各種信息系統(tǒng)安全事件

信息技術(shù)不斷發(fā)展，保障信息系統(tǒng)安全的難度也在與日俱增。因此，信息系統(tǒng)安全管理必須要求企業(yè)管理人員不斷學(xué)習(xí)，不僅要制定一套完整嚴(yán)密的信息系統(tǒng)安全管理方案，還要有步驟清晰、操作性強(qiáng)的應(yīng)急預(yù)案，這樣才能增強(qiáng)信息系統(tǒng)安全管理的危機(jī)抵御能力和處理能力。

2.5構(gòu)建信息系統(tǒng)安全環(huán)境平臺

面對日漸嚴(yán)峻的信息安全形勢，在加強(qiáng)企業(yè)信息系統(tǒng)基礎(chǔ)安全設(shè)施建設(shè)的同時(shí)，要有機(jī)結(jié)合員工信息安全意識、技術(shù)能力、企業(yè)運(yùn)維管理三者，建立一套綜合性強(qiáng)的信息系統(tǒng)安全保障體系，在所有的業(yè)務(wù)系統(tǒng)中貫徹執(zhí)行當(dāng)前的安全管理思路，通過可量化的技術(shù)手段，達(dá)到信息系統(tǒng)安全管理的最終目的。

3.信息系統(tǒng)安全審計(jì)

企業(yè)信息系統(tǒng)安全體系的建設(shè)是一個(gè)長期的、需要不斷持續(xù)更新、完善的系統(tǒng)工程，通過對信息系統(tǒng)的安全審計(jì)，及時(shí)發(fā)現(xiàn)和解決企業(yè)信息系統(tǒng)安全體系的漏洞，才能不斷提高企業(yè)安全水平和質(zhì)量。如何建立和執(zhí)行企業(yè)信息系統(tǒng)安全審計(jì)，有效加強(qiáng)企業(yè)內(nèi)部的信息系統(tǒng)安全管理和風(fēng)險(xiǎn)控制，滿足相關(guān)政策法規(guī)，成為各行業(yè)面臨的普遍問題[3]。

信息系統(tǒng)安全審計(jì)是指一群擁有相關(guān)信息安全專業(yè)技能和商業(yè)知識的審計(jì)人員對企業(yè)安全風(fēng)險(xiǎn)以及如何應(yīng)對風(fēng)險(xiǎn)措施進(jìn)行評估的一個(gè)過程。信息系統(tǒng)安全審計(jì)人員通過收集、分析、評估信息系統(tǒng)安全信息，掌握其安全狀態(tài)，制定安全策略，將系統(tǒng)調(diào)整到“最安全”和“最小風(fēng)險(xiǎn)”的狀態(tài)，確保信息系統(tǒng)安全體系完整、合理、適用[4]。

由于目前信息系統(tǒng)應(yīng)用已經(jīng)涉及到企業(yè)的各個(gè)業(yè)務(wù)和辦公領(lǐng)域，對于信息系統(tǒng)帶來的安全管理已經(jīng)是企業(yè)運(yùn)營不可切割的一部分。所以，企業(yè)的信息系統(tǒng)安全審計(jì)應(yīng)該是一個(gè)從業(yè)務(wù)部門到技術(shù)部門都必須參與控制的過程。

從信息系統(tǒng)本身來說，安全審計(jì)的要點(diǎn)主要是以下兩個(gè)方面：

3.1數(shù)據(jù)及數(shù)據(jù)傳輸審計(jì)

數(shù)據(jù)是信息系統(tǒng)的重要資產(chǎn)，保護(hù)數(shù)據(jù)的安全、完整，避免其被惡意破壞、盜竊。對用戶身份進(jìn)行控制，避免非授權(quán)訪問數(shù)據(jù)，是數(shù)據(jù)訪問環(huán)節(jié)的安全控制措施。除此之外，對數(shù)據(jù)的操作和保存也是數(shù)據(jù)安全控制的重要環(huán)節(jié)。首先，應(yīng)雇傭具備任職資格或經(jīng)過適當(dāng)培訓(xùn)的人員，避免誤操作；其次，所有操作都應(yīng)該經(jīng)過授權(quán)且有記錄，數(shù)據(jù)文件被正確保存且經(jīng)過充分備份，以備正確的恢復(fù)。

在信息系統(tǒng)中，有些數(shù)據(jù)需要在兩個(gè)子系統(tǒng)或多個(gè)子系統(tǒng)中相互傳輸，在這個(gè)過程中很可能會出現(xiàn)問題，尤其是在需要手工錄入或同步傳輸?shù)那闆r，因此在進(jìn)行信息系統(tǒng)安全審計(jì)的過程中要重點(diǎn)關(guān)注以下方面：數(shù)據(jù)在傳輸?shù)倪^程中可能會發(fā)生變化，如何進(jìn)行校驗(yàn)；核心數(shù)據(jù)庫可能會被物理分散的服務(wù)器取代；當(dāng)一個(gè)信息系統(tǒng)取代原有的信息系統(tǒng)時(shí)，會進(jìn)行數(shù)據(jù)的傳輸。要保證傳輸?shù)臄?shù)據(jù)是完整、可靠并且經(jīng)過批準(zhǔn)的，數(shù)據(jù)的全部傳輸過程要準(zhǔn)確，并且在約定時(shí)間內(nèi)完成。

3.2內(nèi)部控制審計(jì)

內(nèi)部控制審計(jì)是企業(yè)為實(shí)現(xiàn)管理目標(biāo)而形成的自律系統(tǒng)。在審計(jì)過程中要對審計(jì)對象的系統(tǒng)環(huán)境是否符合要求、規(guī)程制度是否完善、執(zhí)行情況是否到位進(jìn)行審查。在信息系統(tǒng)中，可以通過檢查以下幾個(gè)方面來驗(yàn)證企業(yè)內(nèi)控制度和執(zhí)行的效果：（1）控制信息系統(tǒng)的資源存儲，包括物理存儲資源存儲（終端、連接盒、服務(wù)器、相關(guān)文檔等）和邏輯資源存儲（軟件、系統(tǒng)文件、表和數(shù)據(jù)等）。（2）把控信息系統(tǒng)資源的使用。用戶的新增、變化、刪除必須經(jīng)過授權(quán)，用戶只能對其授權(quán)范圍內(nèi)的資源進(jìn)行操作。（3）按一定標(biāo)準(zhǔn)劃分信息系統(tǒng)資源。可以系統(tǒng)資源的濫用、數(shù)據(jù)的非法修改以及減少人為誤操作。（4）身份和訪問控制審計(jì)。按照時(shí)間順序建立一個(gè)檔案簿，包含信息的創(chuàng)建、修改和刪除的詳細(xì)過程及其操作人員。它采用的是授權(quán)證明，控制什么人什么時(shí)候訪問了什么數(shù)據(jù)。（5）確認(rèn)處理過程的準(zhǔn)確性。（6）管理人員對信息系統(tǒng)的所有修改都應(yīng)該保證是經(jīng)過授權(quán)、評估和審核，并且有記錄文檔，保證風(fēng)險(xiǎn)最低且有效控制。（7）入侵防御審計(jì)。入侵防御涵蓋的范圍遠(yuǎn)廣于傳統(tǒng)的入侵檢測。入侵防御策略的合理設(shè)置會把風(fēng)險(xiǎn)縮小到最小范圍。（8）漏洞和病毒管理審計(jì)。定期檢查系統(tǒng)漏洞和防病毒措施，根據(jù)具體問題原因進(jìn)行分析處置，及時(shí)采取相關(guān)措施。

篇9

關(guān)鍵詞:有線數(shù)字電視;信息;安全

隨著數(shù)字電視系統(tǒng)的不斷進(jìn)步與發(fā)展，領(lǐng)域中的運(yùn)營團(tuán)隊(duì)開始將視線轉(zhuǎn)向了增值業(yè)務(wù)服務(wù)的實(shí)現(xiàn)上。增值服務(wù)越來越成為公認(rèn)的數(shù)字電視深入實(shí)現(xiàn)經(jīng)濟(jì)價(jià)值的核心所在，隨之產(chǎn)生的雙向信息傳輸網(wǎng)絡(luò)以及對應(yīng)的安全問題，就成為數(shù)字電視服務(wù)平臺中的重點(diǎn)。

1有線數(shù)字電視信息安全問題分析

2011年，國家廣電總局頒布了《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)定級指南》和《廣電視相關(guān)信息系統(tǒng)安全等級保護(hù)基本要求》；并且進(jìn)一步于2012年頒布了《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)測評要求》，一系列關(guān)于信息安全的規(guī)范和文件，都強(qiáng)調(diào)了廣電領(lǐng)域信息安全的重要性，同時(shí)也為該領(lǐng)域內(nèi)安全系統(tǒng)的建設(shè)和評測等相關(guān)工作提供了基本的方向和指導(dǎo)。從安全角度看，有線電視數(shù)字網(wǎng)絡(luò)環(huán)境下同樣出現(xiàn)了新的特征。對于傳統(tǒng)的單向網(wǎng)絡(luò)環(huán)境而言，口令攻擊、報(bào)文攻擊以及面向系統(tǒng)漏洞的攻擊是主要存在的安全威脅形式。具體而言，口令攻擊能夠?qū)崿F(xiàn)對于數(shù)字電視信號的冒用和盜用，也能夠因此使得該信息環(huán)境保持開放狀態(tài)，而加入其它非法信息。而報(bào)文劫持供給則是面向信息傳輸過程展開數(shù)據(jù)的截獲，從而實(shí)現(xiàn)對于信息的篡改。系統(tǒng)漏洞供給則主要是考慮到系統(tǒng)本身存在一些程序?qū)用娴牟蛔?，而為惡意攻擊造成可趁之機(jī)。但是隨著有線數(shù)字電視體系自身的發(fā)展深入，雙向網(wǎng)絡(luò)環(huán)境開始出現(xiàn)，曾經(jīng)單向由運(yùn)營商朝向用戶發(fā)送數(shù)字信號的工作環(huán)境中，目前增加了一條上傳信息的通路，增強(qiáng)了雙向交互功能，也在安全方面表現(xiàn)出更為復(fù)雜的特征。這種信息的雙向流動，讓有線數(shù)字電視體系朝向互聯(lián)網(wǎng)的方向發(fā)展融合，而更多的增值項(xiàng)目讓黑客有了更多的利潤空間，也因此進(jìn)一步從客觀上要求更為完善的安全體系得到落實(shí)。

2數(shù)字電視網(wǎng)絡(luò)下的信息安全體系建設(shè)

在發(fā)展的新形勢之下，數(shù)字電視網(wǎng)絡(luò)環(huán)境下的安全體系建設(shè)，也必然呈現(xiàn)出新的特征。傳統(tǒng)環(huán)境下主要依據(jù)訪問控制、防火墻以及加密幾個(gè)手段來實(shí)現(xiàn)的安全機(jī)制，雖然仍然在發(fā)揮著不容忽視的作用，但是就目前而言仍然有所不足。訪問控制的主要價(jià)值在于實(shí)現(xiàn)對于用戶身份的校驗(yàn)，從而保證合法用戶能夠得到不低于某質(zhì)量水平的服務(wù)，同時(shí)杜絕非法用戶獲取到對應(yīng)的數(shù)字電視信號以及相關(guān)服務(wù)。而防火墻，主要用于確保網(wǎng)絡(luò)環(huán)境安全和穩(wěn)定工作的展開，其存在主要是用于避免黑客對有線電視體系信號發(fā)送端展開攻擊，導(dǎo)致其無法正常發(fā)送信號或者發(fā)送錯(cuò)誤信號，降低信號質(zhì)量等。通常通過包過濾的工作方式對攻擊進(jìn)行識別和攔截，是防火墻的主要工作方式。最后，加密是傳統(tǒng)有線數(shù)字電視環(huán)境中最為常見的安全手段，通過對傳輸?shù)臄?shù)據(jù)流進(jìn)行加密，來實(shí)現(xiàn)對于非法用戶數(shù)據(jù)截獲的拒絕，以及合法用戶服務(wù)的保障，同時(shí)也是提升傳輸過程中數(shù)據(jù)安全水平的有力武器。然后在雙向網(wǎng)絡(luò)環(huán)境中，想要切實(shí)構(gòu)建起完整的安全體系，還需要從其他方面著眼和加強(qiáng)。首先，應(yīng)當(dāng)考慮建立起標(biāo)準(zhǔn)化的開放性認(rèn)證體系結(jié)構(gòu)。對于這一方面的工作，公約基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）以及安全套接層技術(shù)（SeeureSocketLayer，SSL）是應(yīng)當(dāng)重點(diǎn)給予考慮的方面。對于前者而言，其主要是利用公鑰技術(shù)來實(shí)現(xiàn)電商安全的綜合性體系，作為基礎(chǔ)性設(shè)施，它的存在能夠?yàn)楣€加密和數(shù)字簽名提供統(tǒng)一的平臺并且實(shí)現(xiàn)綜合管理。而后者作為在TCP/IP協(xié)議之上實(shí)現(xiàn)的安全協(xié)議，相對而言有著廣泛的應(yīng)用。具體而言，其利用TCP協(xié)議中可靠的端對端安全展開工作，并且進(jìn)一步構(gòu)建了一個(gè)分層體系，其底層記錄層用于實(shí)現(xiàn)對于上層協(xié)議的封裝，上層握手環(huán)境用于在服務(wù)器和客戶機(jī)之間傳送數(shù)據(jù)之前協(xié)商加密算法和加密密鑰。其次，基于內(nèi)容實(shí)現(xiàn)的網(wǎng)絡(luò)安全同樣是當(dāng)前有線數(shù)字電視體系需要關(guān)注的重點(diǎn)。當(dāng)前社會環(huán)境中信息的價(jià)值已經(jīng)日益凸顯，同時(shí)對應(yīng)的防范對象也不僅僅是以往的病毒，還包括有其他惡意信息。對于這一方面任務(wù)，可以考慮采用消息鑒別碼（MessageAuthenticationCode，MAC）來展開工作，用于實(shí)現(xiàn)對于信息來源以及信息完整性等方面特征的識別和過濾。消息鑒別碼利用公開函數(shù)和密鑰來生成一個(gè)長度確定的值，并且利用該值來對信息的完整性進(jìn)行標(biāo)記，此種手段能夠?qū)崿F(xiàn)對于信息完整性和可靠性的甄別，但是本身并不能確定其是否實(shí)現(xiàn)了安全傳輸，即無法識別該數(shù)據(jù)是否已經(jīng)被竊取。此種方式主要用于某些不需要保密的信息傳輸環(huán)境，或者類似于有線數(shù)字電視這樣的長時(shí)間傳輸大量信息的環(huán)境。最后，當(dāng)前在有點(diǎn)數(shù)字電視的雙向網(wǎng)絡(luò)環(huán)境中，還特別應(yīng)當(dāng)注意核對用戶身份的合法性，并且針對用戶發(fā)回的對應(yīng)控制請求進(jìn)行保護(hù)和認(rèn)證。這不僅僅是為了保證有線數(shù)字電視的信號發(fā)送體系正常展開，還是確保信息消費(fèi)以及發(fā)送雙向糾紛避免的有力武器和必要措施。

3結(jié)論

有線數(shù)字電視的信息安全，直接關(guān)系到運(yùn)營商以及信息消費(fèi)端用戶的切身利益，必須給予重視。同時(shí)在當(dāng)前信息時(shí)代之下，該體系的技術(shù)和應(yīng)用也在隨之發(fā)展，各種新的特征出現(xiàn)在數(shù)字電視工作環(huán)境中。因此唯有正視這些新的特征，有的放矢地展開分析，才能發(fā)現(xiàn)亟待提升的安全問題，也才能切實(shí)推動其不斷發(fā)展。

作者:張勇 單位:河北省廣播電視技術(shù)中心

參考文獻(xiàn)

[1]朱凱彬.淺談數(shù)字電視雙向網(wǎng)絡(luò)安全[J].黑龍江科技信息,2011,(13).

[2]張瑞芝.廣播電視業(yè)務(wù)信息系統(tǒng)信息安全等級保護(hù)工作的實(shí)施[J].廣播電視技術(shù),2014(6)

[3]李偉東.數(shù)字電視安全播出的急迫性[J].中廣互聯(lián),2014(4)

篇10

衡量安全管理體系的風(fēng)險(xiǎn)主要方法是進(jìn)行信息安全風(fēng)險(xiǎn)的評估，以此保障信息資產(chǎn)清單和風(fēng)險(xiǎn)級別，進(jìn)而確定相應(yīng)的防控措施。在石化銷售企業(yè)進(jìn)行信息安全風(fēng)險(xiǎn)的評估過程中，主要通過資金、威脅、安全性等識別美容對風(fēng)險(xiǎn)進(jìn)行安全檢測，同時(shí)結(jié)合企業(yè)自身的實(shí)際情況，擬定風(fēng)險(xiǎn)控制相應(yīng)的對策，把企業(yè)內(nèi)的信息安全風(fēng)險(xiǎn)竟可能下降到最低水平。

（一）物理存在的風(fēng)險(xiǎn)機(jī)房環(huán)境和硬件設(shè)備是主要的的物理風(fēng)險(xiǎn)。當(dāng)前，部分企業(yè)存在的風(fēng)險(xiǎn)有：1）企業(yè)機(jī)房使用年限過長，如早期的配電、布線等設(shè)計(jì)標(biāo)準(zhǔn)陳舊，無法滿足現(xiàn)在的需求；2）機(jī)房使用的裝備年限太長、例如中央空調(diào)老化，制冷效果不佳導(dǎo)致溫度不達(dá)標(biāo)，UPS電源續(xù)航能力下降嚴(yán)重，門禁系統(tǒng)損壞等，存在風(fēng)險(xiǎn)；3）機(jī)房安全防護(hù)設(shè)施不齊全，存在風(fēng)險(xiǎn)。

（二）網(wǎng)絡(luò)和系統(tǒng)安全存在的風(fēng)險(xiǎn)石化訪問系統(tǒng)的使用和操作大量存在安全風(fēng)險(xiǎn)，其中主要風(fēng)險(xiǎn)包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統(tǒng)安全隱患等。即使大部分企業(yè)已安裝統(tǒng)一的網(wǎng)絡(luò)防病毒體系、硬件防火墻、按期更新網(wǎng)絡(luò)系統(tǒng)軟件、安裝上網(wǎng)行為監(jiān)控等，但因?yàn)橄到y(tǒng)漏洞數(shù)目不斷增多網(wǎng)絡(luò)結(jié)構(gòu)和襲擊逐漸減弱或者因?yàn)樾畔⑾到y(tǒng)使用人員操作系統(tǒng)本身的安全機(jī)制不完善、也會產(chǎn)生安全隱患。

（三）系統(tǒng)安全風(fēng)險(xiǎn)沒有經(jīng)過許可進(jìn)行訪問、數(shù)據(jù)泄密和被刪改等威脅著系統(tǒng)的安全性。提供各類應(yīng)用服務(wù)是企業(yè)信息系統(tǒng)的首要任務(wù)，而數(shù)據(jù)正是應(yīng)用信息系統(tǒng)的核心，因此，實(shí)際應(yīng)用與系統(tǒng)安全風(fēng)險(xiǎn)密切聯(lián)系。當(dāng)前，信息應(yīng)用系統(tǒng)存儲了大量的客戶、交易等重要信息，一旦泄露，造成客戶對企業(yè)信任度影響的同時(shí)也會影響企業(yè)的市場競爭力。

（四）安全管理存在的風(fēng)險(xiǎn)安全管理存在的主要指沒有同體的風(fēng)險(xiǎn)安全管理手段，管理制度不完善、管理標(biāo)準(zhǔn)沒有統(tǒng)一，人員安全意識薄弱等等都存在管理風(fēng)險(xiǎn)，因此，需要設(shè)立完善的信息系統(tǒng)安全管理體系，從嚴(yán)管理，促使信息安全系統(tǒng)正常運(yùn)作。一方面要規(guī)范健全信息安全管理手段，有效較強(qiáng)內(nèi)控IT管理流程控制力度，狠抓落實(shí)管理體系的力度，杜絕局部管理不足點(diǎn)；另一方面，由于信息安全管理主要以動態(tài)發(fā)展的形式存在，要不斷調(diào)整、完善制度，以符合信息安全的新環(huán)境需求[2]。

二、信息安全管理體系框架的主要構(gòu)思

信息安全管理體系的框架主要由監(jiān)管體系、組織體系和技術(shù)體系形成，特點(diǎn)是系統(tǒng)化、程序化和文件化，而主要思想以預(yù)防控制為主，以過程和動態(tài)控制為條件。完善安全管理體系，使石化銷售企業(yè)信息系統(tǒng)和信息網(wǎng)絡(luò)能夠安全可靠的運(yùn)作，從機(jī)密性、完整性、不可否認(rèn)性和可用性等方面確保數(shù)據(jù)安全，提升系統(tǒng)的持續(xù)性，加強(qiáng)企業(yè)的競爭力。

（一）組織體系企業(yè)在完善管理體系過程中應(yīng)設(shè)立信息安全委員會和相關(guān)管理部門，設(shè)置相應(yīng)的信息安全崗位，明確各級負(fù)責(zé)的信息安全和人員配置等內(nèi)容。在全面提升企業(yè)人員對信息安全了解的過程中必須進(jìn)行信息安全知識的相關(guān)培訓(xùn)，使工作人員提高信息安全管理意識，實(shí)現(xiàn)信息安全管理工作人人有責(zé)。

（二）制度體系操作規(guī)范、安全策略、應(yīng)急預(yù)案等各項(xiàng)管理制度經(jīng)過計(jì)劃和下發(fā)，讓信息安全管理有據(jù)可依。企業(yè)參照合理完善的各項(xiàng)制度進(jìn)一步優(yōu)化業(yè)務(wù)流程，規(guī)范操作行為，降低事故風(fēng)險(xiǎn)，提升應(yīng)急能力，以此加強(qiáng)信息安全的管理體系。

（三）技術(shù)體系管理技術(shù)、防護(hù)技術(shù)、控制技術(shù)是信息安全管理體系的主要技術(shù)基礎(chǔ)。安全技術(shù)包括物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、主機(jī)安全技術(shù)、終端安全技術(shù)、數(shù)據(jù)安全、應(yīng)用安全技術(shù)等。一旦出現(xiàn)信息安全事件，技術(shù)體系會在最短的時(shí)間內(nèi)降低事件的不良影響，依靠相關(guān)的信息安全管理技術(shù)平臺，以實(shí)現(xiàn)信息安全技術(shù)的有效控制[3]。管理體系的核心是技術(shù)手段，先進(jìn)的加密算法和強(qiáng)化密鑰管理構(gòu)成的數(shù)據(jù)加密方式全程控制數(shù)據(jù)傳輸和數(shù)據(jù)存儲，可以保證數(shù)據(jù)的安全性。采用堡壘機(jī)、防火墻等安全系統(tǒng)可以過濾掉不安全的服務(wù)和非法用戶，防止入侵者接近防御設(shè)備。IDS作為防火墻的重要功能之一，能夠幫助網(wǎng)絡(luò)系統(tǒng)快速檢測出攻擊的對象，加強(qiáng)了管理員的安全管理技術(shù)（包括審計(jì)工作、監(jiān)視、進(jìn)攻識別等技術(shù)），提高了信息安全體系的防范性。企業(yè)數(shù)據(jù)備份這一塊可以采用雙機(jī)熱本地集群網(wǎng)、異地集群網(wǎng)等各種形式進(jìn)行網(wǎng)絡(luò)備份，利用體統(tǒng)的可用性和容災(zāi)性加強(qiáng)安全管理能力。近年來各個(gè)企業(yè)的惡意軟件、攻擊行為手法變化多端很難防御，在各種壓力下，傳統(tǒng)的的安全防預(yù)技術(shù)受到了嚴(yán)峻的考驗(yàn)，這時(shí)“云安全”技術(shù)當(dāng)之無愧成為當(dāng)今最熱的安全技術(shù)。“云安全”技術(shù)主要使用分部式運(yùn)算功能進(jìn)行防御，而“云安全”技術(shù)對于企業(yè)用戶而言確實(shí)明顯的保障了信息的安全性以及降低客戶端維護(hù)量?！霸瓢踩奔夹g(shù)是未來安全防護(hù)技術(shù)發(fā)展的必由之路，且今后“云安全”作為企業(yè)安全管理的核心內(nèi)容為企業(yè)的數(shù)據(jù)、服務(wù)器群組以及端點(diǎn)提供強(qiáng)制的安全防御能力。”

三、信息安全管理體系相關(guān)步驟

由于管理體系具有靈活性，企業(yè)可依據(jù)自身的特點(diǎn)和實(shí)際情況，使用最優(yōu)方案，結(jié)合石化銷售的特征，提出以下步驟：1）管理體系的重要目標(biāo)；2）管理體系的主要范疇；3）管理體系現(xiàn)狀考察與風(fēng)險(xiǎn)估量；4）完善管理體系的制度；5）整理管理體系的文檔；6）管理體系的運(yùn)行方式；7）信息安全管理體系考核。

四、結(jié)論