導(dǎo)語：信息安全管理論文6篇一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

第一篇:地市公司信息安全建設(shè)和應(yīng)用

1建設(shè)目標(biāo)

1．1信息安全技術(shù)保障體系建設(shè)理念

信息安全是企業(yè)安全運(yùn)行的重要一環(huán)，而信息安全技術(shù)又是信息安全的關(guān)鍵。信息安全技術(shù)保障體系建設(shè)，應(yīng)牢固樹立“安全第一、預(yù)防為主、綜合治理”的安全理念，著力構(gòu)建起立足當(dāng)前、著眼長遠(yuǎn)的目標(biāo)理念。在信息安全技術(shù)保障體系的構(gòu)建方面，應(yīng)突出堅(jiān)持以下四個(gè)原則。(1)“三同步”原則以信息安全貫穿于信息系統(tǒng)全生命周期的思路為指導(dǎo)，始終堅(jiān)持信息安全建設(shè)與信息化建設(shè)同步規(guī)劃、同步建設(shè)、同步運(yùn)行的“三同步”原則，確保信息安全工作的主動(dòng)防御性。(2)以人為本與精益化管理相結(jié)合原則工作中，突出“以人為本”的同時(shí)，應(yīng)注重與“精益化管理”相融合，把認(rèn)真負(fù)責(zé)的工作態(tài)度貫穿于工作始終，努力做到“精、細(xì)、實(shí)”。(3)全面防范與突出重點(diǎn)相結(jié)合原則全面防范是保障信息系統(tǒng)安全的關(guān)鍵。首先，可根據(jù)人員、管理、技術(shù)等情況，在預(yù)警、保護(hù)、檢測、反應(yīng)、恢復(fù)和跟蹤等多個(gè)環(huán)節(jié)上實(shí)施全面防御，防患于未然。其次，在全面分析的基礎(chǔ)上，找準(zhǔn)事故“易發(fā)點(diǎn)”，實(shí)施重點(diǎn)防御。(4)系統(tǒng)性與動(dòng)態(tài)性相結(jié)合原則信息安全管理是一項(xiàng)系統(tǒng)工程。要按照系統(tǒng)工程的要求，注意各方面、各層次、各時(shí)期的相互協(xié)調(diào)、匹配和銜接，體現(xiàn)出系統(tǒng)集成效果和前期投入的收益。同時(shí)，信息安全管理又是一種狀態(tài)的動(dòng)態(tài)反饋過程，應(yīng)隨著安全利益和系統(tǒng)脆弱性的時(shí)空分布的變化、威脅程度的提高、系統(tǒng)環(huán)境的演變以及管理人員對(duì)系統(tǒng)安全認(rèn)識(shí)的不斷深化等，及時(shí)將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升管理等級(jí)。

1．2信息安全技術(shù)保障體系建設(shè)范圍和目標(biāo)

1．2．1信息安全技術(shù)保障體系建設(shè)范圍

信息安全技術(shù)保障體系，包括保護(hù)、檢測、響應(yīng)、審計(jì)等多種技術(shù)。防御領(lǐng)域覆蓋地市供電公司信息內(nèi)、外網(wǎng)網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、終端計(jì)算環(huán)境以及支撐性基礎(chǔ)設(shè)施建設(shè)。［1］(1)網(wǎng)絡(luò)邊界防御體系建設(shè)。通過確定不同資產(chǎn)的安全等級(jí)和防護(hù)等級(jí)，以采用適合的邊界防護(hù)技術(shù)。(2)網(wǎng)絡(luò)基礎(chǔ)設(shè)施防御體系建設(shè)。網(wǎng)絡(luò)基礎(chǔ)設(shè)施防御的主要目標(biāo)包括提高網(wǎng)絡(luò)拓?fù)涞陌踩煽啃?、提高網(wǎng)絡(luò)設(shè)備特別是骨干設(shè)備的安全性、保證網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理的安全性等。(3)終端計(jì)算環(huán)境防御體系建設(shè)。為了達(dá)到減少內(nèi)部環(huán)境中存在的弱點(diǎn)和漏洞，防止計(jì)算機(jī)病毒及蠕蟲在內(nèi)部環(huán)境的傳播，提高對(duì)網(wǎng)絡(luò)攻擊的發(fā)現(xiàn)能力以及在安全事件發(fā)生后的跟蹤和追查，加強(qiáng)對(duì)內(nèi)部用戶的保護(hù)、管理、監(jiān)控和審計(jì)能力的終端計(jì)算機(jī)環(huán)境安全目標(biāo)，可以采用自動(dòng)補(bǔ)丁管理、訪問控制、防病毒、入侵防護(hù)、完整性檢查和強(qiáng)制認(rèn)證、網(wǎng)絡(luò)準(zhǔn)入控制等技術(shù)來實(shí)現(xiàn)。(4)支撐性基礎(chǔ)設(shè)施建設(shè)。信息安全支撐設(shè)施是指為網(wǎng)絡(luò)用戶、設(shè)備、應(yīng)用系統(tǒng)提供安全運(yùn)作的基礎(chǔ)設(shè)施，包括密鑰管理設(shè)施、安全管理中心等。

1．2．2信息安全技術(shù)保障體系建設(shè)目標(biāo)

(1)堅(jiān)持“安全第一、預(yù)防為主、綜合治理”方針，強(qiáng)化全員信息安全意識(shí)。(2)高度重視信息化建設(shè)中的安全問題，將網(wǎng)絡(luò)與信息安全全面納入公司安全管理體系，建立多層次的安全防御體系，實(shí)現(xiàn)信息安全的可控、能控、在控。(3)建立完善的信息安全技術(shù)保障體系，保護(hù)信息的保密性、完整性和可用性。(4)確保不發(fā)生重大系統(tǒng)停運(yùn)事故。(5)確保不發(fā)生重大信息泄露事故。(6)確保不發(fā)生網(wǎng)站被篡改造成重大影響事故。(7)確保信息化有效支撐公司發(fā)展方式和電網(wǎng)發(fā)展方式轉(zhuǎn)變。1．3信息安全技術(shù)保障體系建設(shè)的指標(biāo)體系及目標(biāo)值根據(jù)國網(wǎng)、省公司指標(biāo)考核內(nèi)容，信息安全技術(shù)保障體系建設(shè)的指標(biāo)，主要包括內(nèi)、外網(wǎng)VRV未注冊(cè)情況，內(nèi)、外網(wǎng)弱口令數(shù)等。具體如表1所示。

2主要做法

2．1信息安全技術(shù)保障體系建設(shè)管理工作流程圖。信息安全技術(shù)保障體系建設(shè)管理分為風(fēng)險(xiǎn)評(píng)估、方案設(shè)計(jì)、方案落實(shí)、驗(yàn)收測評(píng)等4個(gè)節(jié)點(diǎn)。如圖1所示。2．2主要節(jié)點(diǎn)說明2．2．1風(fēng)險(xiǎn)評(píng)估當(dāng)前，影響信息安全的因素很多。一是日益復(fù)雜的網(wǎng)絡(luò)系統(tǒng)和安全系統(tǒng)不斷地增加運(yùn)行維護(hù)的難度，以及工作量和人力成本，對(duì)于位置分散的、數(shù)目眾多的各類主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行逐一管理耗時(shí)又耗力。傳統(tǒng)意義上的安全防護(hù)措施只關(guān)注安全的某一方面，對(duì)這些分散獨(dú)立的安全事件信息難以形成全面的風(fēng)險(xiǎn)抵御，導(dǎo)致了安全策略和配置難于統(tǒng)一協(xié)調(diào)，安全事件無法迅速響應(yīng)。二是由于與安全相關(guān)的信息量越來越大，關(guān)鍵的安全信息和告警事件常常被低價(jià)值或無價(jià)值的告警信息所淹沒，一些全局性的、影響重大的問題很難被分析和提煉出來。三是由于新的安全威脅總是出現(xiàn)在安全應(yīng)對(duì)措施之前，完全依賴安全技術(shù)的安全防護(hù)系統(tǒng)無法真正確保網(wǎng)絡(luò)的安全和提高企業(yè)的安全防護(hù)能力。根據(jù)國網(wǎng)、省公司要求，確定地市公司的信息安全需求和可接受的殘余風(fēng)險(xiǎn)，建立常態(tài)風(fēng)險(xiǎn)評(píng)估機(jī)制。開展信息安全風(fēng)險(xiǎn)評(píng)估工作，了解和評(píng)價(jià)公司的信息安全現(xiàn)狀，提出信息系統(tǒng)的安全需求，公司領(lǐng)導(dǎo)層再依據(jù)評(píng)估報(bào)告，選擇最佳的風(fēng)險(xiǎn)控制措施，確立有效的信息安全保障體系。2．2．2制定策略，設(shè)計(jì)方案［3］建立安全信息監(jiān)管系統(tǒng)，將來自不同設(shè)備的事件記錄(例如:防火墻、入侵檢測系統(tǒng)、防毒軟件、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫及其它應(yīng)用系統(tǒng)等)，進(jìn)行數(shù)據(jù)采集、關(guān)聯(lián)分析、事件優(yōu)先重要性分析及視覺圖形化呈現(xiàn)。并自動(dòng)地將雜亂無章的系統(tǒng)信息轉(zhuǎn)換成有意義、且利于用戶對(duì)安全事件做出響應(yīng)的有用信息，最終完成從安全信息來源，到安全信息采集，再到安全信息處理，直至安全事件管理的全部監(jiān)管過程。建立重要數(shù)據(jù)安全管理系統(tǒng)。采用高可用性冗災(zāi)技術(shù)、加密技術(shù)、數(shù)據(jù)檢索技術(shù)，通過完善的人員組織建設(shè)和培訓(xùn)，以及周密的流程設(shè)計(jì)和測試演練，最大限度地降低突發(fā)性災(zāi)難對(duì)企業(yè)關(guān)鍵業(yè)務(wù)環(huán)境的影響，切實(shí)保障企業(yè)重要數(shù)據(jù)資料安全。開發(fā)IT運(yùn)維監(jiān)管平臺(tái)。通過對(duì)桌面終端管理系統(tǒng)、IT綜合管理系統(tǒng)等進(jìn)行有效整合，集中監(jiān)控管理網(wǎng)絡(luò)、主機(jī)、軟件的基本信息資料，通過運(yùn)維流程管理，簡化業(yè)務(wù)支撐系統(tǒng)的硬件、軟件的多樣性，降低系統(tǒng)管理維護(hù)的復(fù)雜性，從而達(dá)到“集中監(jiān)控、集中維護(hù)、集中管理”的目標(biāo)。同時(shí)，減少系統(tǒng)建設(shè)維護(hù)成本，節(jié)約投資和降低人力成本。2．2．3方案審查信息化領(lǐng)導(dǎo)小組負(fù)責(zé)審查相關(guān)信息化建設(shè)方案，負(fù)責(zé)公司信息安全重大事項(xiàng)決策和協(xié)調(diào)工作，全過程監(jiān)督方案的落實(shí)和各個(gè)項(xiàng)目的建設(shè)。2．2．4組織實(shí)施各相關(guān)部門嚴(yán)格遵守公司下發(fā)的信息安全管理規(guī)章制度，執(zhí)行各種信息安全管理辦法，全面落實(shí)安全措施，加強(qiáng)對(duì)部門內(nèi)部安全檢查與改進(jìn)，著力做好各項(xiàng)安全工作。公司與各單位簽訂《信息安全責(zé)任書》，把安全責(zé)任和安全措施落實(shí)到每個(gè)環(huán)節(jié)、每個(gè)崗位和每位員工身上，形成“大安全”管理局面，把“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)、誰督查誰負(fù)責(zé)”的原則落到實(shí)處。2．2．5檢查驗(yàn)收公司對(duì)方案的落實(shí)情況、項(xiàng)目的實(shí)施情況采取驗(yàn)收測評(píng)、跟蹤檢查等手段，并查找問題，提出整改措施，形成整套完備有效的信息安全防護(hù)體系。

3評(píng)估與改進(jìn)

評(píng)估與改進(jìn)是安全保障體系中的重要環(huán)節(jié)。真正的安全保障體系，不是一次性完備的架構(gòu)，而是一個(gè)由安全評(píng)估與改進(jìn)-安全防護(hù)-安全評(píng)估與改進(jìn)-安全防護(hù)……的循環(huán)發(fā)展、動(dòng)態(tài)完善的系統(tǒng)工程?？梢哉f，沒有安全評(píng)估與改進(jìn)的安全保障體系不具備真正的安全性。如圖2所示，反饋式的評(píng)估和檢查能加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，能夠通過評(píng)估和改進(jìn)達(dá)到自我調(diào)整和完善，是檢驗(yàn)網(wǎng)絡(luò)安全與否的動(dòng)態(tài)標(biāo)準(zhǔn)。

3．1評(píng)估

3．1．1評(píng)估的方法

(1)委托信息安全專家對(duì)公司信息安全項(xiàng)目評(píng)估、驗(yàn)收。(2)開展各種信息安全反違章、專項(xiàng)治理活動(dòng)進(jìn)行檢查、評(píng)估。(3)通過技術(shù)手段進(jìn)行安全檢查、評(píng)估。

3．1．2評(píng)估的內(nèi)容

(1)貫徹、落實(shí)各級(jí)安全管理制度、規(guī)范情況。(2)保護(hù)定級(jí)方案執(zhí)行情況。(3)重點(diǎn)項(xiàng)目的實(shí)施情況。

3．2信息安全技術(shù)保障體系建設(shè)中存在的問題

3．2．1信息安全技術(shù)標(biāo)準(zhǔn)規(guī)范體系不夠完善

(1)信息安全技術(shù)標(biāo)準(zhǔn)數(shù)量少，尤其缺乏信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，導(dǎo)致信息化建設(shè)缺乏統(tǒng)一的評(píng)估規(guī)范。(2)在實(shí)施過程中，缺乏必要的監(jiān)督管理，致使標(biāo)準(zhǔn)未能得到有效實(shí)施。

3．2．2全員信息安全意識(shí)較淡薄

(1)很多用戶對(duì)信息安全問題認(rèn)識(shí)不足，在系統(tǒng)缺乏保護(hù)的情況下就接入互聯(lián)網(wǎng)，致使系統(tǒng)頻頻受到病毒、木馬、黑客的攻擊，經(jīng)常處于被動(dòng)修補(bǔ)狀態(tài)。(2)由于信息安全法律意識(shí)淡薄，一些員工將不該的信息到了網(wǎng)上，導(dǎo)致不良信息的影響日益突出。(3)重“硬”輕“軟”現(xiàn)象突出，把信息安全防護(hù)希望全部寄托在信息安全產(chǎn)品和技術(shù)解決方案上，而忽視信息安全管理和信息安全人才的培養(yǎng)。

3．2．3信息安全管理和技術(shù)人才缺乏

(1)信息安全技術(shù)人才缺乏，導(dǎo)致信息安全技術(shù)保障功能得不到充分發(fā)揮。(2)信息安全管理人才不足，難以對(duì)信息系統(tǒng)、信息安全產(chǎn)品進(jìn)行有效管理、配置，增加了信息安全事件的發(fā)生概率。

3．3改進(jìn)的方向和對(duì)策

(1)加快推進(jìn)信息安全標(biāo)準(zhǔn)化工作。加強(qiáng)信息安全標(biāo)準(zhǔn)的制定和實(shí)施，不斷完善信息安全標(biāo)準(zhǔn)體系建設(shè)，不斷增強(qiáng)信息安全標(biāo)準(zhǔn)的創(chuàng)新，提高自主開發(fā)的比重;加大宣傳培訓(xùn)力度，有效推進(jìn)標(biāo)準(zhǔn)的實(shí)施工作。(2)持續(xù)開展安全服務(wù)管理各項(xiàng)活動(dòng)。信息安全管理是一個(gè)動(dòng)態(tài)、持續(xù)的過程。信息安全生命周期是各種活動(dòng)的不斷循環(huán)，包括完善策略體系，改進(jìn)各項(xiàng)信息安全計(jì)劃，加強(qiáng)人才培養(yǎng)和意識(shí)教育，定期進(jìn)行信息安全評(píng)估與檢查，長期的信息安全系統(tǒng)運(yùn)維與支持，不間斷的安全功能改進(jìn)和實(shí)施等內(nèi)容。(3)提高全員的信息安全防范意識(shí)。開展信息安全教育，增強(qiáng)信息安全意識(shí)。要提高信息安全意識(shí)，真正認(rèn)識(shí)到信息安全防護(hù)的重要性，消除“無所謂”的錯(cuò)誤思想;加大信息安全防護(hù)知識(shí)的普及教育工作，加強(qiáng)人員的培訓(xùn)和管理，推廣信息安全技術(shù)和產(chǎn)品應(yīng)用，提高企業(yè)用戶和個(gè)人用戶的信息安全知識(shí)水平，從技術(shù)上和管理上切實(shí)提高公司信息安全保障能力。［4］

4結(jié)語

信息安全技術(shù)保障體系建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程，同時(shí)也是一個(gè)不斷完善的過程，從無到有，從不完善到完善，貫穿信息系統(tǒng)的整個(gè)生命期。實(shí)踐告訴我們，隨著網(wǎng)絡(luò)信息的發(fā)展和規(guī)模的擴(kuò)大，網(wǎng)絡(luò)的安全缺陷也會(huì)加大。同時(shí)，不斷變化的信息安全需求和環(huán)境也要求有不斷改進(jìn)的信息安全體系與之相適應(yīng)。我們必須清醒地認(rèn)識(shí)到，安全是一個(gè)過程，世界上沒有一勞永逸的安全。信息安全技術(shù)保障體系建設(shè)，要以用戶身份認(rèn)證為基礎(chǔ)，以信息安全保密為核心，以網(wǎng)絡(luò)邊界防護(hù)和信息安全管理為輔助，建立起全面有機(jī)的安全整體，從而建立起真正有效的、能夠?yàn)樾畔⒒ㄔO(shè)提供安全保障的可靠平臺(tái)，最終才能夠?yàn)殡娋W(wǎng)的安全穩(wěn)定運(yùn)行保駕護(hù)航。

本文作者:劉立亮王軍徐暢工作單位:安徽省宣城供電公司

第二篇:IT項(xiàng)目信息安全管理方法

一、前言

業(yè)務(wù)應(yīng)用的不斷拓展，信息系統(tǒng)已全面滲透到企業(yè)的運(yùn)營中，而隨著網(wǎng)絡(luò)和通信技術(shù)的快速發(fā)展，網(wǎng)絡(luò)互聯(lián)與開放、信息共享帶來了日益增長的安全威脅[1]；病毒和黑客攻擊越來越多，安全事件爆發(fā)越來越頻繁，直接影響企業(yè)正常業(yè)務(wù)運(yùn)作。特別是對(duì)于移動(dòng)通信運(yùn)營商而言，信息安全尤為重要，為了保障客戶利益，加強(qiáng)對(duì)信息系統(tǒng)的信息安全管理工作刻不容緩。新建項(xiàng)目中容易忽視信息安全問題，如果安全管理工作不到位，安全風(fēng)險(xiǎn)就得不到控制，而對(duì)安全風(fēng)險(xiǎn)進(jìn)行控制所需的成本則隨著安全管理工作介入項(xiàng)目的時(shí)間越晚而越高（如圖1所示）；因此，為降本增效，在IT項(xiàng)目的建設(shè)過程中，越早引入信息安全管理，安全風(fēng)險(xiǎn)控制的成本就越低，達(dá)到的安全水平也越高。對(duì)IT項(xiàng)目進(jìn)行全生命周期的安全管理，滿足集團(tuán)安全管理“三同步”的要求，即在系統(tǒng)的設(shè)計(jì)、建設(shè)和運(yùn)行過程中，做到同步規(guī)劃、同步建設(shè)、同步運(yùn)行[1]。

二、IT項(xiàng)目全生命周期安全管理要求

對(duì)IT項(xiàng)目進(jìn)行安全管理，一方面是要求項(xiàng)目能應(yīng)達(dá)到與其承載業(yè)務(wù)相符的安全特性，如認(rèn)證、賬戶管理、操作審計(jì)等功能；另一方面，對(duì)項(xiàng)目進(jìn)行全生命周期的安全管理，在項(xiàng)目的不同階段進(jìn)行評(píng)審和驗(yàn)證，確保項(xiàng)目滿足規(guī)定的安全方案。結(jié)合ISO27000標(biāo)準(zhǔn)體系、國家信息安全標(biāo)準(zhǔn)以及薩班斯法案（SOX）的要求，制定IT項(xiàng)目建設(shè)全生命周期的項(xiàng)目安全管理工作流程。在項(xiàng)目全生命周期各階段加入安全管控點(diǎn)（如圖2所示），制定各階段安全管控點(diǎn)的安全控制措施和人員職責(zé)，充分考慮信息安全方面的要求，確保開發(fā)出來的系統(tǒng)可以滿足公司的安全方針、國家法律法規(guī)及薩班斯法案（SOX）的要求。安全要求是通過對(duì)安全風(fēng)險(xiǎn)的系統(tǒng)評(píng)估予以識(shí)別的[2]，因所承載的業(yè)務(wù)的差異，每個(gè)系統(tǒng)的安全要求有所不同，每個(gè)系統(tǒng)都必須根據(jù)其業(yè)務(wù)流程評(píng)估安全風(fēng)險(xiǎn)，確定其對(duì)信息完整性、安全性、可用性的要求，從而采取適當(dāng)?shù)陌踩刂拼胧?。如涉及客戶資料、經(jīng)營信息的系統(tǒng)安全級(jí)別較高，而用于輔助辦公的系統(tǒng)安全級(jí)別則較低，需要采取不同的安全控制措施，才能將信息安全落到實(shí)處；不恰當(dāng)?shù)陌踩?jí)別劃分，會(huì)導(dǎo)致敏感數(shù)據(jù)的訪問控制不嚴(yán)，甚至敏感數(shù)據(jù)在防護(hù)之外。

三、IT項(xiàng)目建設(shè)各階段安全管理實(shí)施方法

3.1項(xiàng)目規(guī)劃階段安全管理

項(xiàng)目規(guī)劃階段，定義業(yè)務(wù)需求，并進(jìn)行可行性研究；在定義業(yè)務(wù)需求時(shí)，應(yīng)注重對(duì)信息安全方面的需求制定。在業(yè)務(wù)需求書中，應(yīng)明確對(duì)系統(tǒng)安全的詳細(xì)要求，并由項(xiàng)目各相關(guān)方（含信息安全人員）進(jìn)行評(píng)審，評(píng)審?fù)ㄟ^才能進(jìn)行項(xiàng)目立項(xiàng)。業(yè)務(wù)需求制定完成，任何對(duì)系統(tǒng)安全需求的修改，也應(yīng)視為對(duì)業(yè)務(wù)需求書的修改，需經(jīng)過正式的系統(tǒng)變更流程。

3.2項(xiàng)目設(shè)計(jì)階段安全管理

通過對(duì)業(yè)務(wù)流程的分析，對(duì)系統(tǒng)進(jìn)行整體設(shè)計(jì)和詳細(xì)設(shè)計(jì)，考慮數(shù)據(jù)傳輸、處理、存儲(chǔ)等各個(gè)過程中的安全要求，確保實(shí)現(xiàn)所有過程中對(duì)數(shù)據(jù)的全面保護(hù)，特別是對(duì)關(guān)鍵業(yè)務(wù)的敏感數(shù)據(jù)的保護(hù)，如客戶資料、經(jīng)營數(shù)據(jù)等，對(duì)重要數(shù)據(jù)的存儲(chǔ)和傳輸設(shè)置權(quán)限和校驗(yàn)，并進(jìn)行加密。在系統(tǒng)應(yīng)用安全層面應(yīng)至少進(jìn)行以下安全控制設(shè)計(jì)：（1）身份認(rèn)證。對(duì)用戶進(jìn)行身份識(shí)別，并根據(jù)安全策略配置相關(guān)參數(shù)，如限制非法登錄次數(shù)、超時(shí)自動(dòng)退出等，確保系統(tǒng)不被非法用戶進(jìn)入。（2）訪問控制。遵循最小權(quán)限原則控制用戶對(duì)文件、數(shù)據(jù)庫表等客體的訪問。（3）日志與審計(jì)。對(duì)應(yīng)用程序中的重要事件進(jìn)行日志記錄，并進(jìn)行審計(jì)，以便對(duì)系統(tǒng)的重要操作和安全事件進(jìn)行追蹤審查。（4）通信安全。對(duì)通信過程中的敏感信息字段進(jìn)行加密，確保重要的業(yè)務(wù)數(shù)據(jù)和敏感的系統(tǒng)信息（如口令）的傳輸不能被竊取和篡改。對(duì)于支撐公司業(yè)務(wù)運(yùn)營的系統(tǒng)，必須設(shè)計(jì)與公司4A系統(tǒng)的接口。4A系統(tǒng)是融合統(tǒng)一用戶賬號(hào)管理、統(tǒng)一認(rèn)證管理、統(tǒng)一授權(quán)管理和統(tǒng)一安全審計(jì)四要素的安全管理平臺(tái)解決方案，與薩班斯法案（SOX）內(nèi)控需求一致。支撐公司業(yè)務(wù)運(yùn)營的系統(tǒng)必須接入4A系統(tǒng)進(jìn)行統(tǒng)一管理，以保證認(rèn)證、授權(quán)和審計(jì)安全策略的一致實(shí)施。

3.3項(xiàng)目實(shí)施階段安全管理

開發(fā)人員應(yīng)參照規(guī)范編寫代碼；嚴(yán)禁不安全的實(shí)施方法，如將用戶名或密碼編寫在程序中、使用未經(jīng)安全評(píng)估的第三方產(chǎn)品等。對(duì)源代碼的訪問和修改必須嚴(yán)格控制，建議使用配置管理工具進(jìn)行代碼訪問及代碼版本控制。開發(fā)平臺(tái)上如需使用來自生產(chǎn)環(huán)境的敏感數(shù)據(jù)，必須是過期并經(jīng)過模糊化處理后的數(shù)據(jù)，并保留數(shù)據(jù)導(dǎo)入的處理記錄。

3.4項(xiàng)目驗(yàn)收階段安全管理

驗(yàn)收測試前，需要制定相應(yīng)的安全驗(yàn)收標(biāo)準(zhǔn)，驗(yàn)收要求和標(biāo)準(zhǔn)應(yīng)定義清楚，并經(jīng)信息安全人員評(píng)審?fù)ㄟ^。在測試過程中，需通過技術(shù)手段，如漏洞掃描等，對(duì)系統(tǒng)的安全性進(jìn)行測試，并驗(yàn)證達(dá)到要求的管理水平。安全驗(yàn)收測試的結(jié)果應(yīng)由信息安全人員進(jìn)行評(píng)審，以確認(rèn)測試結(jié)果符合系統(tǒng)設(shè)計(jì)及公司整體的信息安全需要，或已經(jīng)授權(quán)采取了充分、恰當(dāng)?shù)难a(bǔ)償性措施。對(duì)于測試中產(chǎn)生的信息和結(jié)果應(yīng)注意保密，以免泄漏影響系統(tǒng)安全性。

3.5系統(tǒng)上線部署階段安全管理

系統(tǒng)上線部署前，通過開展安全漏洞檢查、安全防護(hù)配套設(shè)施檢查、基線配置檢查等核查手段，確認(rèn)安全方面的缺陷已被充分確認(rèn)及記錄，所有與系統(tǒng)相關(guān)的補(bǔ)丁或更新已經(jīng)實(shí)施，所有測試數(shù)據(jù)已清理，軟/硬件符合集團(tuán)安全基線配置規(guī)范。此外，系統(tǒng)如需對(duì)互聯(lián)網(wǎng)開放，在系統(tǒng)上線前應(yīng)經(jīng)過對(duì)互聯(lián)網(wǎng)開放的審批，并對(duì)提供WEB服務(wù)的網(wǎng)站部署網(wǎng)站頁面防篡改系統(tǒng)。系統(tǒng)上線后，系統(tǒng)運(yùn)行一段時(shí)間后對(duì)系統(tǒng)進(jìn)行評(píng)估，評(píng)價(jià)系統(tǒng)對(duì)信息安全要求的符合情況、信息安全控制措施的運(yùn)行效果和效率，以及潛在的需要改進(jìn)的信息安全措施。

3.6系統(tǒng)運(yùn)營階段安全管理

（1）操作管理和控制。制定不相容職責(zé)矩陣，對(duì)用戶最小化授權(quán)，并制定操作規(guī)程。（2）變更管理和控制。實(shí)施變更前，詳細(xì)的變更方案必須獲得審批，確保變更不會(huì)對(duì)系統(tǒng)的安全性和完整性造成不良影響；開發(fā)測試人員不能訪問生產(chǎn)系統(tǒng)，以防止未經(jīng)測試或未經(jīng)審批的變更上線到生產(chǎn)系統(tǒng)。（3）安全狀態(tài)監(jiān)控。對(duì)系統(tǒng)的安全運(yùn)行狀態(tài)進(jìn)行監(jiān)控，確保系統(tǒng)運(yùn)行安全。（4）業(yè)務(wù)連續(xù)性管理。制定安全事件應(yīng)急處置預(yù)案，應(yīng)急預(yù)案應(yīng)明確組織機(jī)構(gòu)及工作職責(zé)，并定期進(jìn)行應(yīng)急演練。（5）安全測評(píng)與改進(jìn)。定期進(jìn)行漏洞掃描、滲透測試等安全評(píng)估手段，挖掘系統(tǒng)存在的安全漏洞并進(jìn)行改進(jìn)。

3.7系統(tǒng)下線階段安全管理

系統(tǒng)由于生命周期管理需要退出服務(wù)，進(jìn)入系統(tǒng)消亡環(huán)節(jié)，應(yīng)對(duì)受到保護(hù)的數(shù)據(jù)信息進(jìn)行妥善轉(zhuǎn)移、轉(zhuǎn)存、銷毀，確保不發(fā)生信息安全事件；涉及到信息轉(zhuǎn)移、暫存和清除、設(shè)備遷移或廢棄、介質(zhì)清除或銷毀，以及相應(yīng)資產(chǎn)清單的更新。

四、結(jié)語

通過在IT項(xiàng)目生命周期的各個(gè)階段中實(shí)施信息安全管理，確保安全需求在IT項(xiàng)目中進(jìn)行了充分實(shí)施，項(xiàng)目滿足公司整體安全策略的要求；建立以管理手段為抓手，以技術(shù)手段為支撐的IT項(xiàng)目安全管理體系。

本文作者:杜衡工作單位:中國移動(dòng)（深圳）有限公司

第三篇:單位網(wǎng)站信息安全的重要性

一、網(wǎng)站信息安全被入侵的兩種主要形式

（一）SQL注入攻擊

互聯(lián)網(wǎng)中的許多Web應(yīng)用都采用數(shù)據(jù)庫來存儲(chǔ)信息。使用SQL命令可以方便的將前臺(tái)Web頁面的應(yīng)用數(shù)據(jù)和后臺(tái)數(shù)據(jù)庫中數(shù)據(jù)進(jìn)行傳遞。這些Web站點(diǎn)的頁面可以根據(jù)用戶輸入的相關(guān)參數(shù)拼接成合法的SQL查詢語句，再將這些語句傳遞至服務(wù)器端對(duì)數(shù)據(jù)庫進(jìn)行查詢。而別有用心者可以通過直接在URL地址欄或者表單域中直接輸入SQL命令，以此繞過web頁面的數(shù)據(jù)檢查改變查詢屬性，可以獲取對(duì)數(shù)據(jù)庫更高權(quán)限的操作。

（二）DDOS攻擊

DDoS攻擊發(fā)源于傳統(tǒng)的DoS(DenialofService)拒絕服務(wù)攻擊基礎(chǔ)之上，DoS往往是指黑客通過單一的IP地址向某一目標(biāo)主機(jī)發(fā)出“合法”的訪問請(qǐng)求，而耗盡目標(biāo)主機(jī)的網(wǎng)絡(luò)帶寬和硬件資源（CPU、內(nèi)存等）的攻擊方式。這種攻擊方式在當(dāng)今網(wǎng)絡(luò)技術(shù)和硬件技術(shù)飛速發(fā)展的情況下，已基本無用武之地。于是，分布式拒絕服務(wù)DDoS攻擊方式應(yīng)運(yùn)而生。所謂分布式拒絕服務(wù)攻擊，就是黑客利用互聯(lián)網(wǎng)的優(yōu)勢，利用操作系統(tǒng)或軟件漏洞同時(shí)聯(lián)合眾多傀儡機(jī)對(duì)某一目標(biāo)主機(jī)展開更大規(guī)模、更高強(qiáng)度的攻擊，使目標(biāo)主機(jī)的大量網(wǎng)絡(luò)和硬件資源被占用，而無法對(duì)正常用戶提供服務(wù)。

二、防范黑客攻擊，維護(hù)網(wǎng)站信息安全的具體方法

SQL注入產(chǎn)生的原因的是程序員在應(yīng)用開發(fā)過程中的編程不嚴(yán)謹(jǐn),忽視了對(duì)用戶數(shù)據(jù)的檢查而造成的，SQL注入問題的解決根本途徑就是編制完善的程序。具體需要注意以下幾點(diǎn)：1.敏感字符直接過濾；2.參數(shù)化用戶輸入數(shù)據(jù)；3.使用ApacheWeb服務(wù)的安全檢測模塊。Apache的mod_security模塊是一個(gè)集入侵檢測和防御功能的開源的web應(yīng)用安全檢測程序。它基于ApacheWeb服務(wù)器運(yùn)行,目標(biāo)是增強(qiáng)web應(yīng)用程序的安全性,防止web應(yīng)用程序受到已知或未知的攻擊。如果要使用此安全模塊，需要在/download/下載mod_security安全模塊并安裝，DDoS攻擊的最終目的是要耗盡服務(wù)器的網(wǎng)絡(luò)和硬件資源，因此，從這個(gè)角度上來講，哪怕有足夠多的正常訪問請(qǐng)求也同樣可以造成服務(wù)器的“拒絕服務(wù)”的情況出現(xiàn)。所以，從根本上解決拒絕服務(wù)攻擊，還需要做好以下幾點(diǎn)工作：1.保證服務(wù)器有足夠的網(wǎng)絡(luò)帶寬。2.適時(shí)升級(jí)服務(wù)器硬件。3.采用較新的服務(wù)器操作系統(tǒng)。4.及時(shí)打補(bǔ)丁修復(fù)系統(tǒng)漏洞。4.提前做好針對(duì)性預(yù)防工作。5.準(zhǔn)確判斷攻擊方式。發(fā)生攻擊時(shí)，應(yīng)通過軟件抓取數(shù)據(jù)包進(jìn)行分析，根據(jù)不同的攻擊方式采取不同的解決方法。6.保留詳細(xì)系統(tǒng)日志，方便追查元兇。采用的安全手段越多．所帶來的運(yùn)行成本就越高．系統(tǒng)的運(yùn)行效率就越低．要在運(yùn)行成本運(yùn)行效率中間進(jìn)行平衡。同時(shí)，也應(yīng)該認(rèn)識(shí)到安全防范手段是一個(gè)持久更新漸進(jìn)的過程．所以需要不斷改進(jìn)．優(yōu)化采用的技術(shù)方法和安全策略。因此沒有絕對(duì)安全而只有相對(duì)的安全即在風(fēng)險(xiǎn)和運(yùn)行成本、效率可以接受前提條件下的安全。通過采用上述安全體系架構(gòu)，再結(jié)合相關(guān)的軟件和硬件安全措施，基本上保證了系統(tǒng)的安全性要求在具體技術(shù)措施的選取上，也可根據(jù)實(shí)際情況，在保證安全性的前提下進(jìn)行適當(dāng)?shù)恼{(diào)整和修改。此外，解決網(wǎng)站安全問題，除了要有好的安全防護(hù)技術(shù)措施外，還要增強(qiáng)內(nèi)部工作人員防范意識(shí)，以確保網(wǎng)站安全穩(wěn)定運(yùn)行、健康發(fā)展。

本文作者:翟松青工作單位:泰州市高新技術(shù)創(chuàng)業(yè)服務(wù)中心

第四篇:運(yùn)營商客戶信息安全防護(hù)

1背景

隨著光纖寬帶、移動(dòng)電話、移動(dòng)互聯(lián)網(wǎng)的普及，通信服務(wù)在我們的日常生活中發(fā)揮了越來越重要的作用。通信運(yùn)營商作為提供基礎(chǔ)通信服務(wù)的企業(yè)，在為更多的客戶（為描述方便，本文中不嚴(yán)格區(qū)別客戶與用戶的概念，文中客戶既指客戶也指用戶）提供通信服務(wù)的同時(shí)，也在企業(yè)內(nèi)存儲(chǔ)了大量與客戶相關(guān)的信息，包括客戶身份、住址、銀行賬號(hào)、通信位置、通信行為、通信內(nèi)容等信息。這些信息與通信服務(wù)使用者日常的生產(chǎn)生活息息相關(guān)，包含了屬于客戶自己的隱私信息。便捷的通信方式為人們生活帶來方便的同時(shí)也給不法分子帶來了可乘之機(jī)。近年來，利用通信工具的犯罪越來越多。為遏制通信犯罪，國家工業(yè)和信息化部對(duì)通信運(yùn)營商提出了用戶實(shí)名登記的要求。根據(jù)工業(yè)和信息化部頒布的《電話用戶真實(shí)身份信息登記規(guī)定》，從2013年9月1日起，我國電信業(yè)務(wù)經(jīng)營者為用戶辦理固定電話裝機(jī)、移機(jī)，移動(dòng)電話(含無線上網(wǎng)卡)開戶、過戶等入網(wǎng)手續(xù)時(shí)，需要如實(shí)登記用戶提供的真實(shí)身份信息。通信運(yùn)營商所記錄和存儲(chǔ)的客戶信息將更為真實(shí)完整。這些信息一旦被泄露或被不正當(dāng)?shù)氖褂?，重則可能引發(fā)重大群體性事件，輕則造成客戶個(gè)人信息的泄露，給個(gè)人帶來不利的影響。為保護(hù)個(gè)人信息安全，國家在2009年刑法修正案第二百五十三條增加了對(duì)“國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者非法提供給他人”刑事犯罪行為的描述條款。保證客戶信息的安全，避免被非法濫用，是通信運(yùn)營商必須承擔(dān)的重要社會(huì)責(zé)任和義務(wù)。同時(shí)，對(duì)客戶信息的安全防護(hù)能力也是通信企業(yè)市場核心競爭力的重要基礎(chǔ)。

2通信運(yùn)營商客戶信息存儲(chǔ)及使用情況分析

通信運(yùn)營商為做好客戶信息安全防護(hù)工作，首先需要全面分析客戶信息在自身內(nèi)部的生成、存儲(chǔ)、使用、封存及銷毀的情況。需要從客戶信息在企業(yè)內(nèi)流轉(zhuǎn)的全過程來考慮與之相關(guān)的安全防護(hù)工作?？傮w上來看，客戶信息在通信運(yùn)營商內(nèi)部的流轉(zhuǎn)情況如圖1所示。

2.1客戶信息的生成

通信運(yùn)營商客戶信息的生成來源于如下幾個(gè)渠道：（1）客戶到營業(yè)場所（包括運(yùn)營商自有營業(yè)廳和社會(huì)代辦點(diǎn)）辦理業(yè)務(wù)，客戶向業(yè)務(wù)人員提供自身身份信息，這些信息連同所辦理的業(yè)務(wù)信息被錄入運(yùn)營商內(nèi)部信息管理系統(tǒng)。根據(jù)前臺(tái)業(yè)務(wù)辦理要求，作為業(yè)務(wù)辦理憑證，相關(guān)信息還會(huì)被打印生成（2）客戶通過運(yùn)營商的客戶服務(wù)電話辦理業(yè)務(wù)，或是運(yùn)營商的客戶服務(wù)經(jīng)理上門為客戶辦理業(yè)務(wù)，客服人員核查記錄客戶的身份信息和所辦理的業(yè)務(wù)信息，錄入內(nèi)部信息管理系統(tǒng)。其中，客戶經(jīng)理在上門服務(wù)過程中會(huì)生成相關(guān)信息的紙質(zhì)存檔。（3）客戶通過運(yùn)營商提供的自助服務(wù)平臺(tái)，提供自身身份信息，提交需要辦理的業(yè)務(wù)信息，這些信息通過自助服務(wù)平臺(tái)會(huì)傳遞到內(nèi)部信息管理系統(tǒng)。（4）客戶使用運(yùn)營商的通信網(wǎng)絡(luò)服務(wù)，網(wǎng)元平臺(tái)產(chǎn)生對(duì)客戶的通信服務(wù)記錄信息。這些信息最后也會(huì)傳遞到內(nèi)部信息管理系統(tǒng)進(jìn)行集中處理。（5）運(yùn)營商在派單給外線裝維施工人員上門安裝和處理故障的時(shí)候，會(huì)產(chǎn)生所服務(wù)客戶信息的紙質(zhì)存檔。

2.2客戶信息的使用

在通信運(yùn)營商內(nèi)，如下人員在特定的工作場合需要訪問使用相關(guān)的客戶信息：（1）營業(yè)人員和客戶經(jīng)理在為客戶辦理業(yè)務(wù)時(shí)，營業(yè)稽核人員在進(jìn)行業(yè)務(wù)稽核時(shí)，需要核查當(dāng)前客戶信息及其已有的業(yè)務(wù)訂購信息、消費(fèi)信息等。（2）客服人員在為客戶提供服務(wù)時(shí)，需要核查當(dāng)前客戶信息及其已有的業(yè)務(wù)訂購信息、消費(fèi)信息等。（3）客戶經(jīng)理在日?？蛻艟S系工作中，需要查閱所維系客戶群客戶信息及業(yè)務(wù)訂購信息、消費(fèi)信息等。（4）裝維人員（或施工派單人員）在派單上門服務(wù)前，需要查詢上門服務(wù)的客戶信息及業(yè)務(wù)訂購信息、線路信息等。（5）經(jīng)營分析、營銷策劃人員在進(jìn)行企業(yè)運(yùn)營情況分析、策劃營銷活動(dòng)的時(shí)候，需要查詢統(tǒng)計(jì)與客戶相關(guān)的信息。（6）信息管理系統(tǒng)的運(yùn)營支撐人員在日常系統(tǒng)問題核查處理、提供臨時(shí)數(shù)據(jù)處理服務(wù)時(shí)，需要查詢處理與客戶相關(guān)的信息。在通信運(yùn)營商外部，還存在如下人員在特定的場合需要訪問使用相關(guān)的客戶信息的情況：（1）外部業(yè)務(wù)商在代辦通信業(yè)務(wù)時(shí)，需要核查當(dāng)前客戶信息及其已有的業(yè)務(wù)訂購信息、消費(fèi)信息等。（2）客戶通過自助服務(wù)平臺(tái)需要查詢與自己相關(guān)的客戶信息、業(yè)務(wù)訂購信息、通信行為信息、消費(fèi)信息等。（3）部分運(yùn)營商應(yīng)用平臺(tái)或與運(yùn)營商合作的外部應(yīng)用平臺(tái)在為客戶提供通信增值服務(wù)時(shí)，需查詢校驗(yàn)客戶信息。

2.3客戶信息的歸檔與銷毀

不同類型的客戶信息有不同的生命周期。通信運(yùn)營商對(duì)自身存儲(chǔ)的各類客戶信息的保存和封存期限有不同的內(nèi)部規(guī)定。比如通話及短信詳單保存3個(gè)月、客戶的通信賬單保存6個(gè)月、業(yè)務(wù)資料保存10年等等。超過規(guī)定保存期限不再使用的客戶信息會(huì)逐月歸檔封存，最后在封存期過后按要求被銷毀。

3通信運(yùn)營商的客戶信息安全防護(hù)策略

通信運(yùn)營商具有客戶數(shù)量大、客戶信息數(shù)據(jù)多、數(shù)據(jù)變更頻繁且增長迅速、內(nèi)外部可能接觸到相關(guān)信息的人員多、日常業(yè)務(wù)運(yùn)營面對(duì)激烈的市場競爭需要能及時(shí)便捷的獲取需要的信息、自身信息安全防護(hù)水平要求高等特點(diǎn)，在這樣的環(huán)境下，客戶信息安全防護(hù)工作具有一定的難度，但也不是無章可循?？傮w而言，需要從如下幾個(gè)方面采取相應(yīng)的安全防護(hù)措施：

3.1內(nèi)外部人員安全意識(shí)宣貫及常態(tài)運(yùn)營體系建設(shè)

通信運(yùn)營商日常各項(xiàng)生產(chǎn)運(yùn)營工作繁雜，要做好客戶信息安全防護(hù)，首先需要對(duì)這項(xiàng)工作有充分的重視。通過在運(yùn)營商內(nèi)外加強(qiáng)對(duì)這項(xiàng)工作的重要性及安全管理要求的宣貫，培養(yǎng)和增強(qiáng)可能接觸到客戶信息的人員對(duì)相關(guān)信息的安全防范意識(shí)。形成具有高度客戶信息安全防范意識(shí)的企業(yè)文化，使得各級(jí)人員在日常工作中能自覺地考慮到客戶信息安全風(fēng)險(xiǎn)，在安全管理制度要求與工作便捷性有矛盾的時(shí)候，能辨別輕重緩急。各級(jí)人員敏銳的客戶信息安全防范意識(shí)，能為相關(guān)安全防護(hù)工作創(chuàng)建良好的內(nèi)外部環(huán)境和奠定堅(jiān)實(shí)的基礎(chǔ)?？蛻粜畔踩雷o(hù)工作與日常各項(xiàng)生產(chǎn)活動(dòng)息息相關(guān)，需要結(jié)合日常工作進(jìn)行常態(tài)化的運(yùn)營管控。在運(yùn)營商內(nèi)部需要建立客戶信息安全運(yùn)營管控團(tuán)隊(duì)，負(fù)責(zé)建立和完善內(nèi)部相關(guān)的管理制度并監(jiān)督執(zhí)行，時(shí)時(shí)關(guān)注相關(guān)安全防護(hù)設(shè)施運(yùn)行情況，監(jiān)測排查可能存在的風(fēng)險(xiǎn)和漏洞。運(yùn)作良好的運(yùn)營管控團(tuán)隊(duì)是高水準(zhǔn)客戶信息安全防護(hù)的必要保障。

3.2信息分級(jí)與脫敏

通信運(yùn)營商保存有數(shù)量龐大的客戶信息，不同信息有不同的敏感程度。比如客戶姓名、住址、聯(lián)系方式等信息通常有比客戶訂購了何種通信服務(wù)、當(dāng)前有多少的預(yù)付費(fèi)余額信息更敏感，而客戶在何時(shí)何地與何人有過何種通信聯(lián)系則具有更高的敏感級(jí)別。不加區(qū)分地對(duì)這些信息進(jìn)行安全防護(hù)會(huì)嚴(yán)重干擾和影響其他運(yùn)營工作的效率，也會(huì)增加企業(yè)不必要的成本投入。為提高安全防護(hù)效率，需要根據(jù)相關(guān)信息的重要性及被濫用可能帶來的影響及風(fēng)險(xiǎn)，對(duì)需要被防護(hù)的客戶信息進(jìn)行分級(jí)。對(duì)不同等級(jí)的客戶信息采取不同的安全管控措施。基于對(duì)客戶相關(guān)信息的分級(jí)，可以梳理不同級(jí)別的客戶信息在哪些場合能夠被哪些人員訪問和使用，劃分不同級(jí)別客戶信息的訪問權(quán)限，制定對(duì)應(yīng)的訪問管理制度，搭建起客戶信息安全的防范體系框架。對(duì)于高敏感性的信息，可以通過模糊處理進(jìn)行脫敏以降低相關(guān)信息的敏感性水平，比如對(duì)運(yùn)營商內(nèi)外部大多數(shù)人員，都無需知道用戶完整的身份證號(hào)碼，可以對(duì)特定位數(shù)的身份證號(hào)碼顯示特定的模糊信息，而不影響日常相關(guān)信息的訪問效率。

3.3權(quán)限管控

對(duì)客戶信息特別是信息管理系統(tǒng)內(nèi)存貯的信息數(shù)據(jù)，訪問處理權(quán)限的管控是日常安全防護(hù)工作的重心和主要內(nèi)容。根據(jù)運(yùn)營商內(nèi)外不同角色人員及日常主要工作的特點(diǎn)，按照所需權(quán)限最小化的原則，劃定與之相匹配的信息訪問權(quán)限，限定只能訪問特定級(jí)別的客戶信息。通過對(duì)不同系統(tǒng)賬號(hào)授予的權(quán)限情況進(jìn)行管控，建立賬號(hào)創(chuàng)建和權(quán)限變更的審批機(jī)制，定期審計(jì)相關(guān)系統(tǒng)賬號(hào)權(quán)限授予情況，確保所授予的權(quán)限滿足其使用者日常工作需要且不存在超越工作權(quán)限范圍的信息訪問權(quán)限。針對(duì)特定場合下，具有普通權(quán)限的人員可能需要臨時(shí)訪問高安全風(fēng)險(xiǎn)級(jí)別信息的情況，建立內(nèi)部審批機(jī)制及信息流轉(zhuǎn)程序。最大限度的控制信息管理系統(tǒng)賬號(hào)的權(quán)限范圍，監(jiān)管對(duì)高級(jí)別客戶信息的訪問權(quán)限。同時(shí)，還需要對(duì)相關(guān)系統(tǒng)內(nèi)賬號(hào)的安全性進(jìn)行管控，避免賬號(hào)權(quán)限的泄露。對(duì)高權(quán)限等級(jí)的賬號(hào)，需要限定嚴(yán)格的使用條件，建立配套的管理機(jī)制，防止被濫用。另外，還需要對(duì)存儲(chǔ)客戶信息的信息管理系統(tǒng)對(duì)外部系統(tǒng)平臺(tái)提供的接口進(jìn)行權(quán)限管控，確認(rèn)應(yīng)用系統(tǒng)對(duì)外部系統(tǒng)平臺(tái)提供的訪問接口所傳輸?shù)臄?shù)據(jù)在允許范圍內(nèi)，定期核查審計(jì)接口日志及行為，降低通過系統(tǒng)的外部接口泄露客戶信息的風(fēng)險(xiǎn)。

3.4信息安全基礎(chǔ)設(shè)施建設(shè)

對(duì)于大多數(shù)以電子形式存貯的客戶信息，需要建立完善的安全防護(hù)基礎(chǔ)設(shè)施，從技術(shù)手段上監(jiān)控、管理、封堵各種可能導(dǎo)致信息泄露的途徑。通過信息安全基礎(chǔ)設(shè)施建設(shè)，可以從如下各方面加強(qiáng)信息安全防護(hù)：（1）通過終端準(zhǔn)入認(rèn)證、統(tǒng)一認(rèn)證、合規(guī)性檢查、數(shù)據(jù)泄露防護(hù)、漏洞掃描等設(shè)施，管控訪問客戶信息的終端，避免外來終端隨意接入內(nèi)部網(wǎng)絡(luò)，同時(shí)限定訪問信息數(shù)據(jù)的終端必須達(dá)到預(yù)設(shè)的安全條件。（2）通過前置堡壘機(jī)系統(tǒng)、漏洞掃描、配置管理、日志審計(jì)等基礎(chǔ)設(shè)施，管控提供客戶信息數(shù)據(jù)服務(wù)的主機(jī)，防止開放不必要的端口和服務(wù)，防止存在可被利用的后門和漏洞，保障日常的主機(jī)操作置于可監(jiān)控、可審計(jì)范圍，提高主機(jī)安全水平。（3）通過網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)行為審計(jì)、網(wǎng)絡(luò)入侵檢測等基礎(chǔ)設(shè)施，管控客戶信息傳輸?shù)木W(wǎng)絡(luò)，限定信息數(shù)據(jù)只能在特定的網(wǎng)絡(luò)內(nèi)傳輸、遵循特定的網(wǎng)絡(luò)訪問策略，保障信息數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中不能被非法監(jiān)聽、截獲。（4）通過應(yīng)用日志審計(jì)、應(yīng)用漏洞掃描和應(yīng)用防火墻等基礎(chǔ)設(shè)施，管控提供客戶信息數(shù)據(jù)的應(yīng)用系統(tǒng)，降低應(yīng)用系統(tǒng)因?yàn)榇嬖谠O(shè)計(jì)編寫不良的程序代碼和被不恰當(dāng)?shù)牟渴?、配置而帶來的信息?shù)據(jù)泄露風(fēng)險(xiǎn)。（5）通過數(shù)據(jù)庫漏洞掃描、數(shù)據(jù)庫操作審計(jì)等基礎(chǔ)設(shè)施，管控存儲(chǔ)客戶信息的信息系統(tǒng)數(shù)據(jù)庫，降低后臺(tái)數(shù)據(jù)庫系統(tǒng)被非法訪問操作帶來的數(shù)據(jù)泄露風(fēng)險(xiǎn)。（6）通過應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、文件系統(tǒng)的加密設(shè)施，使敏感信息能以密文方式存儲(chǔ)，可以從信息數(shù)據(jù)源頭管控安全風(fēng)險(xiǎn)。（7）通過機(jī)房、庫房安全監(jiān)控等基礎(chǔ)設(shè)施，管控存儲(chǔ)和可訪問客戶信息數(shù)據(jù)的機(jī)房和庫房物理環(huán)境的安全，防止經(jīng)由外部物理環(huán)境的安全入侵帶來信息數(shù)據(jù)泄露風(fēng)險(xiǎn)。不同的安全基礎(chǔ)設(shè)施各有側(cè)重，但不是相互獨(dú)立的，需要通過體系化的規(guī)劃建設(shè)將它們有效地整合起來，使其相互銜接、互為補(bǔ)充，形成完善的安全防護(hù)設(shè)施體系。

3.5存儲(chǔ)介質(zhì)管理

加強(qiáng)對(duì)信息存儲(chǔ)介質(zhì)的管理是一項(xiàng)重要的客戶信息安全防護(hù)策略。關(guān)注并限定信息可能存儲(chǔ)的介質(zhì)，不允許信息擴(kuò)散到允許的存儲(chǔ)介質(zhì)范圍之外，降低經(jīng)由存儲(chǔ)介質(zhì)導(dǎo)致信息泄露的風(fēng)險(xiǎn)。信息存儲(chǔ)介質(zhì)管理涉及如下內(nèi)容：（1）存儲(chǔ)介質(zhì)范圍的管理：確定并管控允許各類客戶信息存在的存儲(chǔ)介質(zhì)范圍。通過管理和技術(shù)手段降低通過未經(jīng)許可的存儲(chǔ)設(shè)備轉(zhuǎn)存、帶走敏感信息的可能性。（2）存儲(chǔ)介質(zhì)變更及銷毀管理：在存儲(chǔ)有客戶信息的存儲(chǔ)介質(zhì)的使用目的和范圍發(fā)生變更或存儲(chǔ)介質(zhì)過期需要做報(bào)廢銷毀處理的情況下，確認(rèn)其上的信息不能被重新恢復(fù)和獲取。（3）存儲(chǔ)介質(zhì)環(huán)境管理：限定存儲(chǔ)各類客戶信息存儲(chǔ)介質(zhì)的存放和訪問環(huán)境，及時(shí)歸檔管理存儲(chǔ)有客戶信息的新增存儲(chǔ)介質(zhì)。加強(qiáng)存儲(chǔ)介質(zhì)存放環(huán)境的安全管理。

4結(jié)束語

客戶信息安全防護(hù)是通信運(yùn)營商在日常運(yùn)營中面臨的重大課題，隨著國家通信用戶實(shí)名制的推進(jìn)和公民對(duì)自身權(quán)益保護(hù)意識(shí)的提高，這項(xiàng)工作的成效受到來自社會(huì)公眾越來越多的關(guān)注與監(jiān)督。在新的社會(huì)環(huán)境、業(yè)務(wù)環(huán)境和網(wǎng)絡(luò)環(huán)境下，通信運(yùn)營商的客戶信息安全防護(hù)工作將會(huì)日益重要與復(fù)雜，需要持之以恒、長抓不懈并根據(jù)內(nèi)外部環(huán)境的變化情況不斷的優(yōu)化完善，才能實(shí)現(xiàn)客戶信息的有效防護(hù)。

本文作者:陳興華工作單位:中國電信廣西公司

第五篇:通信網(wǎng)信息安全的應(yīng)用

1．通信網(wǎng)信息安全的現(xiàn)狀

1.1對(duì)通信網(wǎng)絡(luò)實(shí)行加密的技術(shù)

將加密技術(shù)引進(jìn)到通信網(wǎng)絡(luò)當(dāng)中，通信網(wǎng)絡(luò)的終端客戶需要憑借密碼才能夠進(jìn)行操作，也就是說如果要想獲取通信網(wǎng)絡(luò)當(dāng)中的信息，使用者就必須要輸入正確的密碼才能夠獲取到，才能夠使用到通信網(wǎng)絡(luò)，才能夠獲取到通信網(wǎng)絡(luò)當(dāng)中的資源以及服務(wù)，例如移動(dòng)運(yùn)營商通過在通信網(wǎng)絡(luò)的終端加密保護(hù)好通信資源以及內(nèi)容，然后才能夠向客戶提供密碼操作的服務(wù)。

1.2對(duì)訪問者進(jìn)行訪問控制的技術(shù)

審查與控制通信網(wǎng)絡(luò)信息資源的訪問權(quán)限，就能夠有效地防范通信網(wǎng)絡(luò)的信息資源，這種防范機(jī)制不僅將訪問客體的身份限制進(jìn)行了規(guī)定，同時(shí)還控制住了訪問客體的訪問權(quán)限以及訪問資源。

1.3將硬件做好防護(hù)技術(shù)

要想做好對(duì)通信網(wǎng)絡(luò)信息安全的防護(hù)工作，利用硬件防護(hù)技術(shù)是主要的手段之一，防火墻以及相對(duì)應(yīng)的監(jiān)測設(shè)備等硬件設(shè)施是硬件防護(hù)技術(shù)的主要方法，同時(shí)利用物理隔離以及主機(jī)加密等等一些措施也是能夠起到對(duì)通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施的信息安全進(jìn)行有效地防范的。

1.4設(shè)置專門的軟件進(jìn)行防護(hù)技術(shù)

要想有效地實(shí)現(xiàn)對(duì)通信信息網(wǎng)絡(luò)的安全的防護(hù)，還可以通過設(shè)置專門的軟件進(jìn)行防護(hù)，例如通過日志審計(jì)以及關(guān)鍵字偵查這些措施也是能夠起到一定的作用的。

2.通信網(wǎng)絡(luò)信息安全的應(yīng)用研究

伴隨著信息技術(shù)的飛速發(fā)展，通信網(wǎng)絡(luò)也在不斷地向前發(fā)展著，通信網(wǎng)絡(luò)慢慢地從2G發(fā)展到了3G。3G網(wǎng)絡(luò)系統(tǒng)的安全是可以分為應(yīng)用層、服務(wù)層和傳輸層這三個(gè)層面的，因此要想針對(duì)3G通信網(wǎng)絡(luò)實(shí)現(xiàn)信息的安全保護(hù)，可以通過如下幾個(gè)方面對(duì)其來進(jìn)行技術(shù)革新和安全保護(hù)。

2.1接入網(wǎng)的安全技術(shù)

要想對(duì)3G通信網(wǎng)絡(luò)的信息安全進(jìn)行防范首先就必須考慮接入網(wǎng)的安全技術(shù)。接入網(wǎng)是什么？接入網(wǎng)是指由用戶與網(wǎng)絡(luò)接口（UNI）到業(yè)務(wù)節(jié)點(diǎn)接口（SNI）之間的一系列傳送實(shí)體所組成的全部設(shè)施。把電信業(yè)務(wù)透明傳送到用戶手中就是接入網(wǎng)的主要職責(zé)，具體一點(diǎn)來說就是將本地交換機(jī)與用戶之間的連接部分相連接起來。同時(shí)在3G信息網(wǎng)絡(luò)系統(tǒng)當(dāng)中，由于3G網(wǎng)絡(luò)所提供的業(yè)務(wù)準(zhǔn)入機(jī)制和接口規(guī)范相比較而言是更為規(guī)范與全面的，因此在接入網(wǎng)方面就可以做到讓GMS網(wǎng)絡(luò)向3G網(wǎng)絡(luò)過渡的過程比較的平滑與安全，最終實(shí)現(xiàn)進(jìn)入到3G網(wǎng)絡(luò)的目的。

2.2網(wǎng)絡(luò)傳輸層的安全

要想對(duì)3G通信網(wǎng)絡(luò)的信息安全進(jìn)行防范除了要考慮接入網(wǎng)的安全技術(shù)之外，其次應(yīng)該考慮的就是網(wǎng)絡(luò)傳輸層的安全。當(dāng)信息在網(wǎng)絡(luò)傳輸層之中進(jìn)行傳輸?shù)臅r(shí)候，因?yàn)槊扛粢粋€(gè)部分就會(huì)存在著一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，或者是交換器，又或者是路由器，因此當(dāng)信息在網(wǎng)絡(luò)傳輸層當(dāng)中進(jìn)行傳輸?shù)臅r(shí)候，信息就會(huì)遭受著被竊取的風(fēng)險(xiǎn)，所以目前對(duì)于在網(wǎng)絡(luò)傳輸層當(dāng)中信息傳輸?shù)陌踩珕栴}也是社會(huì)上所關(guān)注的焦點(diǎn)問題之一。根據(jù)目前的信息安全保障措施來看，對(duì)于網(wǎng)絡(luò)傳輸層的信息進(jìn)行風(fēng)險(xiǎn)防范的主要手段是物理隔離。然而，還有一個(gè)重大的問題需要考慮和解決的就是該怎么樣做才能夠保證在保證網(wǎng)絡(luò)傳輸層的信息安全的同時(shí)讓用戶終端信息傳輸?shù)陌踩驳玫綄?shí)現(xiàn)。

2.3代碼安全技術(shù)

在3G通信網(wǎng)絡(luò)當(dāng)中，利用代碼來保證信息傳輸?shù)陌踩允瞧渥畲蟮奶攸c(diǎn)。在整個(gè)通信網(wǎng)絡(luò)當(dāng)中對(duì)信息的安全的保護(hù)是有一套完整的代碼來控制的，從信息的源頭也就是制造商開始，到信息的運(yùn)營商，最后再到信息的終端也就是信息的接受方這整個(gè)過程都是受其的保護(hù)的，并且在信息的終端，為了確保信息的安全性，對(duì)其的代碼保密也會(huì)大大的加強(qiáng)。

3.網(wǎng)絡(luò)通信信息安全的防范機(jī)制的進(jìn)一步的完善

要想使網(wǎng)絡(luò)通信系統(tǒng)當(dāng)中的信息安全得到保證，不僅需要從信息的流向渠道方面做文章，同時(shí)也還要注意從信息安全的角度來進(jìn)行防范。以我國的移動(dòng)通信網(wǎng)絡(luò)運(yùn)營商為例，我國的移動(dòng)、聯(lián)通和電信等等，都在將GSM網(wǎng)絡(luò)進(jìn)行著IP化的演進(jìn)，這樣做除了能夠讓通信網(wǎng)絡(luò)的業(yè)務(wù)服務(wù)內(nèi)容和服務(wù)范圍進(jìn)一步的得到擴(kuò)寬之外，更重要的是能夠保護(hù)通信網(wǎng)絡(luò)信息的安全，并且這樣做是符合時(shí)代的潮流的，因?yàn)槟壳皣鴥?nèi)的大部分的移動(dòng)通信網(wǎng)絡(luò)都是基于IP網(wǎng)絡(luò)來實(shí)現(xiàn)信息安全保護(hù)的。為了構(gòu)建IP化的通信網(wǎng)絡(luò)，讓網(wǎng)絡(luò)通信當(dāng)中的信息安全得到加強(qiáng)，可以從以下幾個(gè)方面來加強(qiáng)管理。（1）從管理人員方面來看，要想保證網(wǎng)絡(luò)通信之中的信息安全，就必須要讓管理人員首先就能夠從思想上認(rèn)識(shí)到網(wǎng)絡(luò)信息安全的重要性，因此就需要技術(shù)人員和管理人員能夠具備專業(yè)的知識(shí)，對(duì)通信網(wǎng)絡(luò)設(shè)備的管理和技術(shù)服務(wù)能夠加強(qiáng)。（2）從網(wǎng)絡(luò)通信設(shè)備方面來看，要想讓網(wǎng)絡(luò)通信的信息安全得到保證，也需要防護(hù)網(wǎng)絡(luò)通信設(shè)備的安全，例如交換器和路由器中的網(wǎng)絡(luò)節(jié)點(diǎn)也需要對(duì)其進(jìn)行定期的升級(jí)，預(yù)防在信息傳輸過程當(dāng)中信息遭受到安全威脅。（3）從網(wǎng)絡(luò)通信的架設(shè)與結(jié)構(gòu)方面來看，對(duì)網(wǎng)絡(luò)通信的結(jié)構(gòu)設(shè)計(jì)也會(huì)影響網(wǎng)絡(luò)通信之中的信息的安全性的，因此就需要從結(jié)構(gòu)設(shè)計(jì)方面就要加強(qiáng)對(duì)其安全性的防范，通過日志檢測和病毒查殺等等幾個(gè)方面讓網(wǎng)絡(luò)通信的安全機(jī)制能夠得到全方位的防范，同時(shí)對(duì)于網(wǎng)絡(luò)通信的備份能力以及故障自己診斷的能力也要提高，要通過這種方式讓網(wǎng)絡(luò)通信的信息安全的應(yīng)用水平得到提升。綜上所述，每一種網(wǎng)絡(luò)都無一例外會(huì)存在著不同程度的信息安全問題和安全風(fēng)險(xiǎn)，因此保證網(wǎng)絡(luò)通信的信息安全就顯得尤為重要了，而要想將網(wǎng)絡(luò)通信的信息安全性能提高，首先就需要從信息的傳輸流向方面入手，從信息的源頭到信息的接受這一系列的過程，建立一個(gè)完整的安全信息的傳輸機(jī)制。

本文作者:鄭威工作單位:華中科技大學(xué)文華學(xué)院

第六篇:央行信息安全內(nèi)涵和策略

一、人民銀行信息安全內(nèi)涵

人民銀行信息安全內(nèi)涵非常廣泛，基本上可包括9個(gè)方面。一是物理安全，包括環(huán)境、硬件、數(shù)據(jù)、媒介、人員所面臨的威脅及其對(duì)策。二是災(zāi)害重建計(jì)劃，包括面對(duì)潛在的安全風(fēng)險(xiǎn)時(shí)事先應(yīng)作的評(píng)估。計(jì)算和應(yīng)對(duì)風(fēng)險(xiǎn)的預(yù)案，以及一旦災(zāi)害發(fā)生后應(yīng)如何盡快恢復(fù)正常生產(chǎn)，是一個(gè)短期的、在非常時(shí)期的應(yīng)急計(jì)劃。三是安全結(jié)構(gòu)和模式，包括計(jì)算機(jī)和網(wǎng)絡(luò)的原理、結(jié)構(gòu)、安全模式及其安全行為的準(zhǔn)則。四是應(yīng)用和系統(tǒng)開發(fā)，主要包括在數(shù)據(jù)庫、分布式環(huán)境、操作系統(tǒng)中的安全組件和軟件開發(fā)周期和控制。五是通信和網(wǎng)絡(luò)安全，包括內(nèi)聯(lián)網(wǎng)及因特網(wǎng)上公開和隱秘的通信、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議、遠(yuǎn)距訪問和管理。六是訪問控制領(lǐng)域，包括合法用戶的身份識(shí)別，允許獲取什么樣的網(wǎng)絡(luò)資源，能執(zhí)行什么樣的操作，以及辨識(shí)、鑒別、授權(quán)、監(jiān)視和審計(jì)活動(dòng)。七是安全管理實(shí)踐，主要包括如何正確保護(hù)人民銀行資產(chǎn)，如何制定正確、有效的安全政策、標(biāo)準(zhǔn)、指導(dǎo)大綱和實(shí)施步驟。八是操作安全，盡管人民銀行制定了許多政策、規(guī)章制度，應(yīng)用了許多先進(jìn)技術(shù)，但是在實(shí)際操作、運(yùn)行中，總會(huì)發(fā)生許多偏差，或是人員不遵章守紀(jì)，或是設(shè)備偏離預(yù)設(shè)參數(shù)，因此，有必要對(duì)人、硬件、系統(tǒng)的實(shí)際運(yùn)行進(jìn)行控制，強(qiáng)制遵守標(biāo)準(zhǔn)和規(guī)范，而“操作安全”則是對(duì)“安全管理實(shí)踐”的具體落實(shí)。九是法規(guī)和道德規(guī)范，主要包括規(guī)章操作、計(jì)算機(jī)犯罪和適用的法律、條例，以及對(duì)違規(guī)操作、玩忽職守、計(jì)算機(jī)犯罪的調(diào)查、取證、犯罪證據(jù)保管等。

二、人民銀行信息安全策略

安全策略是指在一個(gè)特定的環(huán)境中，為保證信息系統(tǒng)達(dá)到一定級(jí)別的安全保護(hù)而制定的規(guī)劃、規(guī)則和所采取的措施。制定安全策略的目的是保證信息安全保護(hù)工作的整體、計(jì)劃性及規(guī)范性，保證各項(xiàng)措施和管理手段的正確實(shí)施，使信息系統(tǒng)數(shù)據(jù)的機(jī)密性、完整性及可使用性受到全面、可靠的保護(hù)。信息安全的成敗取決于技術(shù)和管理這2個(gè)因素。安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑。實(shí)現(xiàn)安全策略，不但要依靠先進(jìn)的技術(shù)，而且要靠嚴(yán)格的安全管理、規(guī)章制度的約束和安全教育。

（一）先進(jìn)的安全技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的根本保障

人民銀行應(yīng)對(duì)各種信息安全威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，決定選擇何種安全產(chǎn)品和服務(wù)，確定相應(yīng)的安全機(jī)制，之后集成先進(jìn)的安全技術(shù)，形成一個(gè)全方位的安全體系。

（二）嚴(yán)格的安全管理是保障網(wǎng)絡(luò)信息安全的有效手段

大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對(duì)于真正實(shí)現(xiàn)信息安全目標(biāo)來說尤其重要。信息安全管理作為組織完整的管理體系中一個(gè)重要環(huán)節(jié)，它構(gòu)成信息安全能動(dòng)性的部分，是指導(dǎo)和控制組織關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)，其針對(duì)對(duì)象就是組織的信息資產(chǎn)。人民銀行應(yīng)加強(qiáng)內(nèi)部管理、用戶管理和授權(quán)管理，建立安全審計(jì)和跟蹤體系，不斷提高整體安全意識(shí)。

（三）完善的法規(guī)制度是保證人民銀行網(wǎng)絡(luò)信息

安全的重要武器對(duì)于規(guī)章操作、計(jì)算機(jī)犯罪、黑客攻擊、計(jì)算機(jī)病毒、計(jì)算機(jī)經(jīng)濟(jì)間諜和計(jì)算機(jī)欺詐等不良行為要制定相應(yīng)的法規(guī)制度；對(duì)信息資源安全管理要有相應(yīng)的制度規(guī)范；對(duì)計(jì)算機(jī)知識(shí)產(chǎn)權(quán)保護(hù)和隱私保護(hù)，也應(yīng)有相應(yīng)的法規(guī)約束。只有不斷增強(qiáng)廣大職工和系統(tǒng)操作人員的安全意識(shí)和法制觀念，才能保證網(wǎng)絡(luò)信息安全落到實(shí)處。

（四）重視安全管理建設(shè)

人民銀行各級(jí)機(jī)構(gòu)應(yīng)成立計(jì)算機(jī)信息安全組織機(jī)構(gòu)，建立切實(shí)可行的規(guī)章制度；人民銀行各級(jí)機(jī)構(gòu)領(lǐng)導(dǎo)要高度重視，牢固樹立群防群治意識(shí)，以保證信息安全。

三、人民銀行信息安全解決方案

第一，應(yīng)確立人民銀行網(wǎng)絡(luò)系統(tǒng)安全的建設(shè)目標(biāo)和策略；第二，應(yīng)根據(jù)實(shí)際需要選擇切實(shí)可行的技術(shù)方案，以“整體優(yōu)化”的原則構(gòu)架多層次、全方位的安全防御體系；第三，認(rèn)真實(shí)施方案，加強(qiáng)系統(tǒng)管理，制定培訓(xùn)計(jì)劃和提出網(wǎng)絡(luò)安全管理措施?？傊暾陌踩鉀Q方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個(gè)層面，并與日常管理相結(jié)合。確定人民銀行網(wǎng)絡(luò)及應(yīng)用系統(tǒng)安全解決方案則需從系統(tǒng)不同層次著手。

（一）物理層安全防護(hù)

主要通過制定物理層面的管理規(guī)范和措施加以實(shí)施，如人民銀行機(jī)房環(huán)境管理規(guī)定，設(shè)備運(yùn)行管理規(guī)定等。

（二）鏈路層安全防護(hù)

主要通過鏈路加密設(shè)備對(duì)所有用戶數(shù)據(jù)統(tǒng)一加密保護(hù)，用戶數(shù)據(jù)經(jīng)由通信線路送到另一節(jié)點(diǎn)解密，如建立人民銀行保密專用網(wǎng)絡(luò)，配置專用加解密通信軟件。

（三）網(wǎng)絡(luò)層安全防護(hù)

主要采用防火墻技術(shù)作為安全防護(hù)手段，實(shí)施初級(jí)的安全防護(hù)。同時(shí)，可根據(jù)一些協(xié)議實(shí)施加密保護(hù)，還可結(jié)合入侵檢測進(jìn)行系統(tǒng)集成，以構(gòu)建人民銀行主動(dòng)式防火墻綜合防護(hù)體系。

（四）傳輸層安全防護(hù)

傳輸層處于通信子網(wǎng)與資源子網(wǎng)之間，起著承上啟下的作用。傳輸層可支持各種安全服務(wù)，即訪問控制服務(wù)、數(shù)據(jù)加密服務(wù)、數(shù)據(jù)完整性服務(wù)、數(shù)據(jù)源認(rèn)證服務(wù)等。

（五）應(yīng)用層安全防護(hù)

原則上，所有的安全服務(wù)都要在應(yīng)用層提供。在應(yīng)用層可以實(shí)施基于用戶的身份認(rèn)證，它也是實(shí)施數(shù)據(jù)加密、訪問控制的理想位置。在應(yīng)用層還可采取加強(qiáng)數(shù)據(jù)備份和信息恢復(fù)措施，同時(shí)對(duì)資源（各種數(shù)據(jù)和服務(wù)）的有效性進(jìn)行控制。由于應(yīng)用層的安裝防護(hù)面向用戶和應(yīng)用程序，因此可實(shí)施精細(xì)的安全控制。

四、結(jié)語

人民銀行網(wǎng)絡(luò)信息安全問題是一個(gè)系統(tǒng)工程，涉及技術(shù)管理和立法等方方面面，同時(shí)，它又是一個(gè)不斷發(fā)展的動(dòng)態(tài)過程。因此，我們一定要以“信息安全就是國家安全”的意識(shí)，用系統(tǒng)集成的“整體優(yōu)化”觀念，構(gòu)架多層次、全方位的安全防御體系。只有這樣，才能為人民銀行業(yè)務(wù)及金融事業(yè)的發(fā)展保駕護(hù)航，進(jìn)而為國家社會(huì)經(jīng)濟(jì)快速發(fā)展提供有力保障。

本文作者:陳永義工作單位:中國人民銀行淮北市中心支行