信息安全管理范文

导语：如何才能写好一篇信息安全管理，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

 

一、前言

 

国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行，从职能部室到一线班组，电力企业所有的业务数据都依赖网络进行流转，电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。

 

一直以来，信息安全防御理念常局限于常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计)等方面的防御，重要的安全设施大多集中于核心机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁已大大减少，尤其实行内外网隔离、双网双机后，来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛，管控难度大，加之现在无线上网卡、无线wifi和智能手机的兴起，内网计算机接入互联网的事件时有发生，一旦使用人员将内网计算机通过以上方式接入互联网，即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道，一旦遭遇黑客袭击，就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故，给企业信息安全带来重大的安全隐患和风险。

 

二、强化管理、落实责任，监培并进

 

1、将违规外联明确写入公司各项规章制度，并纳入经济责任考核。在《公司信息系统安全管理办法》中，对杜绝违规外联事件进行了明确的要求：所有内网计算机必须粘贴防止违规外联提示卡，严禁将接入过互联网未经处理的计算机接入内网，严禁在普通计算机上安装双网卡，严禁将智能设备(3G手机、无线网卡等)插入内网计算机USB端口，严禁在办公区通过路由器连接外网，杜绝违规外联行为。 一旦发生违规外联事件，依据《企业信息化工作评级实施细则》，按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核，并在全公司通报批评。将信息安全责任落实到人。

 

2、加大违规外联宣贯和培训力度。信息安全工作，重在预防，将一切安全事件消灭在萌芽状态，才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工，尤其是新员工的信息安全教育培训工作，即重点培训各部门信息化管理人员，各级管理人员培训本部门技术人员，本部门技术人员培训一线员工。通过分层式培训，提高了培训效果，同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质，强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工，实现全员重视、全员掌握，做到内网计算机“离座就锁屏，下班就关机”的工作习惯。

 

3、加强外来工作人员管控。加强外来工作人员信息安全教育，并签订《第三方人员现场安全合同书》，严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控，防止因外来工作人员擅自操作造成违规外联事件。

 

三、加强技术管控，从源头杜绝安全事件的发生

 

2.1严格执行“双网双机”

 

严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机，需向本人核实该计算机之前网络接入情况，对内外网络接入方式有变化、或者是不清楚的情况，需对计算机进行硬盘格式化并重装系统后方可接入网络。

 

2.2安装桌面终端，设置强口令，防止违规外联

 

实时监控全公司内网终端桌面终端系统安装率，确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略，一旦发生违规外联，系统立即采取断网措施，并对终端用户进行警示。要求全部内网计算机设置开机强口令(数字+字母+特殊符号，且大于8位)，防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。

 

2.3做好温馨提示，明确内外网设备，防止违规外联

 

做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络，无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识，防止员工误接网络。

 

2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定

 

加强IP地址绑定，从交换机端口对接入内网的计算机进行IP、MAC地址绑定，确保除本计算机外，其余计算机无法通过该端口接入内网。

 

通过外网审计(网康科技)对外网IP和用户认证账户进行绑定，完善外网用户和计算机基础资料，做到全局外网终端和用户可控。

 

四、信息安全前景：

 

在信息安全领域没有绝对的安全防护技术和手段。随着信息技术日新月异的发展，电力企业内网计算机违规外联风险也在增加。在已有的管控手段的基础上，还要及时关注新技术，不断完善和调整制度管理和技术策略。信息安全是伴随企业信息化应用发展而发展的永恒课题。

篇2

信息安全管理系统作为信息安全的支撑体系以及实施信息安全维护的落脚点，是信息安全管理中的重要组成部分。目前我国的信息安全管理系统还尚未完善，其不足之处首先表现为缺少统一的存储平台来对众多的文档进行储存，从而导致大量文档的丢失；其次，如果信息安全管理系统不完善，就不能降低资产等的风险评估以及对资产进行集中式的管理；最后，由于信息安全系统中各个报表功能的不完善，文档信息就无法快速、准确地透露出信息安全的实际状况，从而起到有效地保护作用。信息安全管理系统主要能够通过对关键资产实行定性和定量分析，从而得出资产的精确风险值，识别系统中存在的重要因患资产，并进一步通知信息管理员采取适当地方法来减少隐患事件的发生，通过科学的管理降低企业的资产风险。由此可见，完善的信息安全管理系统是不可或缺的，它一方面决定着信息安全管理体系的具体实施，另一方面也可以促进企业信息安全管理体系的进一步维护与建设。

2信息安全管理系统标准

科学统一的国家信息安全标准，有利于协调与融合各个信息安全管理系统的工作，充分促进信息安全标准系统的功能发挥。我国的信息安全管理标准主要分为ISO/IEC27000系列标准与信息安全等级保护标准两个部分。

2.1ISO/IEC27000系列标准

1995年，英国标准协会(BSI)了BS7799-1和BS7799-2两部标准，随着时代的进步其逐渐发展为ISO/IEC27001和ISO/IEC27002两个部分，并进一步成为目前信息安全管理体系的主要核心标准。BS7799的最初提出目的主要在于建立起一套能够用于开发、实施以及测量的科学信息安全管理惯例，并作为一种通用框架来促进贸易伙伴之间的信任。ISO/IEC27001重视ISMS的建构以及在PDCA基础之上的进一步循环与完善，这一过程实质上就是在宏观的角度上来指导整个项目的有效实施。它意在风险管理的基础之上，用风险分析的途径，把发生信息风险的概率降到最低程度，同时采取适当地措施来保障主体业务的顺利进行。ISO/IEC27002主要阐述了133项控制细则，以及11项需要有效控制的项目，其中包括安全策略、安全组织、信息安全事件管理、人力资源安全、符合性物理与环境安全、访问控制、资产管理、系统的开发与维护、业务连续性管理、通信与操作安全等一系列的安全风险评估与控制。

2.2信息安全等级保护

1994年国务院出台了《中华人民共和国计算机信息系统安全保护条例》，该项基本制度的主要目的在于提高信息安全保障能力的水平、保障并促进信息化的健康与发展，从而进一步维护国家安全、社会发展以及人民群众的利益。它的核心标准《GB17859-1999计算机信息系统安全保护等级划分准则》是在TCSEC的分级保护思想基础之上，针对我国信息安全的发展实际进行改善，最终把安全等级缩减成更具可操作性的5个级别。《GB/T22239-2008信息系统安全等级保护基本要求》则把信息安全控制要求进一步整理为管理要求与技术要求两类，其中前者主要包括系统建设管理、安全管理制度、系统运维管理、安全管理机构和人员安全管理；后者主要包括应用安全、网络安全、物理安全、主机安全以及数据安全与备份恢复。此外，信息安全等级保护的系列标准里还包括《GB/T20270-2006网络基础安全技术要求》以及《GB/T20271-2006信息系统安全通用要求》等一些关于信息安全维护细则的具体操作要求。

3信息安全管理系统的模型设计

根据信息安全管理系统标准，结合以往的信息安全管理系统设计，提出一种新型的四层信息安全管理系统：第一层为信息采集：主要包括人工脆弱性检查、漏洞扫描工具以及日志采集系统三部分。这一信息采集层的主要功能在于采集安全保护对象的漏洞与安全事件。第二层是数据库层：包括日志、资产库、异常日志以及资产弱点库和资产风险库等。该数据库层的主要功能在于对信息安全管理系统中的数据进行存储。第三层为功能模块层：包括资产管理、风险管理、弱点管理、信息安全管理规范下载管理资产等级评估管理、拓补管理以及日志分析。最后一层为展示层：它包含某个具体业务系统中的业务系统整体安全状况、资产安全状况、业务系统拓补以及异常安全事件等相关部分。上述新型信息安全管理系统模型主要体现出以下六点创新之处：

（1）业务系统的动态建模和系统支持资产，可以把业务系统和资产二者绑定在一起，由此，整个信息安全系统一方面可以准确地体现出在一个具体业务系统环境下，其单独资产的具体安全状况；另一方面该信息安全系统还能够根据IS027001的具体标准，反应出整个资产所承载的整体业务系统的安全状况。

（2）所设计的风险模块管理可以把风险评估常态化、主动化，使其对整个业务周期内的所有资产风险进行动态的跟踪与准确分析；另外，该信息安全系统的日志审计功能也可以实现被动式的安全管理，从而使主动管理与被动管理在信息安全管理系统中充分融合。

（3）该新安全管理系统增加并促进了拓补管理功能的发挥。

篇3

【关键词】船岸网络；信息安全；航运企业

0引言

一些航運企业已开始实施“数字化+互联网”战略，船舶运营参数及管理量化指标被转移至信息更加透明的互联网平台，船舶所有人可以通过互联网平台随时随地查看船舶动态。航运企业将船舶全权委托给第三方船舶管理公司管理，并通过互联网平台监控船舶动态。这种管理模式带来一个全新的课题：船岸网络信息化程度越高，信息系统遭受攻击导致数据泄露的风险越大。近年来已发生多起船员个人信息泄露导致的诈骗案件。这些个人信息泄露的源头是船舶管理公司的信息系统。信息泄露会给个人造成损失，而信息系统遭受病毒攻击则会给航运企业造成巨大损失。因此，信息安全对航运企业而言极为重要。

1船岸网络管理现状

船岸网络技术的发展非常迅速，特别是海上卫星通信服务商提供的海上高速网络在资费下降后极大地提高了船舶与管理方、服务供应商、租船人和船舶所有人/经营人之间的信息交换频率。海上高速网络的普及给信息安全带来更大的隐患。网络没有物理界限，任何具有网络攻防知识并熟悉船舶扁平化网络架构的人或组织都可以通过Shodan搜索引擎获得相关信息，对船岸网络实施远程攻击。通过对卫星通信服务商IP地址段批量扫描发现：众多安装VSAT、FBB设备的船舶未加安全措施就向公网开放了21/80/445/3389等弱口令TCP、UDP端口；供应商为节约成本、方便远程维护管理，将Cobham、KVHCommBox、Inmarsat、Marlink等产品内建的管理后台映射到外网；绝大部分船舶没有配置专业的硬件防火墙，岸基管理人员缺乏专业技能，最终导致船舶网络安全得不到保障。

要做好船岸网络安全工作，首先要了解船岸网络设备运行机制和原理。船舶内网GPS、ECDIS、主机监控系统服务器等多网卡设备既通过串口总线和CANBUS、MODBUS等协议控制舵机、智能电站及压载水调平系统等设备，又通过网卡和SNMP、NMEA等协议进行网络通信，从而形成了一个可以网络远程控制的船舶物联网。由于某些船用通信协议存在设计缺陷，例如NMEA0183协议通过明文传输，缺乏加密、身份认证和校验机制，为实施网络攻击制造了机会――攻击者只需远程更改一两个字符就可以命令船舶转向。

2常见的网络攻击方式

广义上对船岸网络的攻击主要有两类：（1）无目标的攻击。岸基或船舶内网操作系统和第三方软件漏洞是潜在受攻击目标之一，攻击者利用0day漏洞进行广撒网式的无差别化攻击，近几年马士基航运集团和中远海运集运北美公司遭遇的网络攻击属于此类。（2）有针对性的攻击。攻击者将某船岸信息系统设定为渗透目标，利用专门开发的绕过技术和工具躲避网络防御机制（如震网病毒事件），实施多步骤攻击，其破坏程度较无目标的攻击更大。

有针对性攻击又分为以下6种类型：

（1）主动攻击。攻击者主动攻击网络安全防线。主动攻击的方式为修改或创建错误的数据流，主要攻击形式有假冒、重放、篡改消息和使网络拒绝服务等。

（2）被动攻击。攻击者监视相关信息流以获得某些信息。被动攻击基于网络跟踪通信链路或系统，用秘密抓取数据的木马程序代替系统部件。

（3）物理攻击。未被授权者在物理上接入网络、系统或设备，以达到修改、收集信息或使网络拒绝访问的目的。

（4）内部攻击。被授权修改信息安全处理系统，或具有直接访问信息安全处理系统权力的内部人员，主动传播非法获取的信息。

（5）边界攻击。网络边界由路由器、防火墙、入侵检测系统（IDS）、虚拟专用网（VPN、DMZ）和被屏蔽的子网等硬件和软件组成。硬件的操作系统与其他软件一样存在安全漏洞，攻击者可利用操作系统漏洞，绕过已知安全协议达到攻击的目的。

（6）持续性威胁。商业间谍组织可能会通过“钓鱼手法”进行攻击。如以“某某船公司2020中期战略企划书”为关键词投放电子诱饵，通过文档追踪工具进行精准定位，诱骗受害人打开附件或点击邮件链接从而入侵或破坏其信息系统。

3船岸网络中易受攻击的系统

船岸网络中易受攻击的系统有综合船桥和电子海图系统、配载仪和船舶维修保养系统、主机遥控和能效系统、保安限制区域闭路电视监控系统和各重点舱室门禁系统、乘员服务和管理系统、面向船员娱乐的公共网络系统、船岸网络通信系统、计算机操作系统及常用软件等。

4船舶网络安全配置建议

（1）禁用公网IP，使用URA系统远程管理。

（2）修改系统默认密码并使用高强度密码。

（3）将船岸网络操作系统和第三方软件补丁、病毒特征库升级至最新版本。

（4）对工控网络、办公网络、娱乐网络实施网络隔离和访问控制。

（5）通过策略制定公用电脑进程白名单，禁用USB接口。

（6）向船员普及网络安全风险防范知识。

（7）要求设备供应商提供必要的网络安全事件应对措施。

（8）不过度依赖远程网络监控技术，增加现场勘查频率。

5网络攻击事件的处置步骤

（1）风险识别。定义相关人员的岗位和职责，确保在日常管理中能够及时发现可疑风险。

（2）事件预防。制定风险控制流程和应急计划，降低网络风险，防范网络攻击。

（3）事件发现。检查已确认的网络攻击事件，评估损失并制定后续恢复方案。（4）事件恢复。制定计划使系统恢复正常运行。

（5）免疫措施。制定措施避免类似网络攻击事件再次发生。

6网络信息安全团队岗位职责

航运企业应设立信息安全官（CISO）岗位，其职责为：建立船岸网络安全团队并管理成员，牵头制定全面的船舶网络安全应急保护计划（CSP），以持续保障船岸网络安全。团队成员岗位职责如下：

（1）对船舶VSAT/FBB设备端口映射及防火墙规则进行审核、分发、监控，熟悉Infinity、XchangeBox等通信管理系统的后台设置，监控船岸网络的可疑流量。

（2）对船岸内网信息设备和办公电脑软硬件及时更新维护，熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等软件操作知识。

（3）定期优化单船拓扑结构和更新船岸网络病毒特征库和漏洞补丁库，不断完善船岸网络信息事故应急预案。

（4）收集供应商技术文件并集中存储，向设备和服務供应商提交并跟踪审核通导信息类设备保修工单（如KVH、Marlink、GEE、OneNet等）。

（5）跟踪记录新造船FBB、铱星移动通信系统、VSAT和船载物联网设备安装调试情况，审核通信类费用凭证。

（6）具备防火墙、路由器、入侵检测系统、交换机的丰富知识，MacOS、Windows、Linux等3大操作系统及域控、数据库的基础知识，并能熟练使用SQL、CrystalReports提取分析数据。

（7）参与船岸网络的设计开发和信息系统的迭代开发，提出必要的安全策略规范要求。

（8）具备妥善监控并处理网络安全事件的能力和独立撰写网络安全事件调查报告的能力，并提出改进措施。

7船岸网络信息安全管理目标

船岸网络信息安全问题从根本上说是人的问题，如何在制度上让人遵守规则，如何在技术上减少或避免人为恶意攻击，这是船岸网络信息安全组织架构设计的目标。船岸网络信息安全组织架构设计的总体目标可定义为：针对船岸网络和信息安全需要，构建系统的网络安全技术和信息防护策略及措施，通过制度管理和技术防范来规范员工行为，达到网络和信息资产安全可控的目的，最终达到“外人进不来、进来看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全总监的基本职责是建立船岸网络和信息安全团队并确保团队成员各司其职。团队成员既包括企业内部的计算机安全专家，也包括企业外部的资深律师、会计师、技术专家等。

8经验交流

网络信息安全对于大部分人而言比较陌生。在实践中，大部分航运企业由总裁办（行政事务部）或保密部门负责网络信息安全，而网络信息安全职能又隶属话语权不高的IT部门，最终导致企业网络信息安全工作进展迟滞，制度实施缓慢。因此，建议由公司领导牵头，技术保障部门负责具体实施。有条件的航运公司应该定期针对船岸网络信息系统进行安全演习并配置网络信息安全设备，以便当船岸网络信息系统被攻击时，能够迅速作出应急反应，尽快恢复网络系统，尽可能挽回损失。此外，在员工手册、船员上船协议中应该赋予航运公司相关职能部门通过技术手段来防止内部威胁的权力，打击隐蔽性较强的涉及船岸网络的职务犯罪。

以某航运企业为例，2018年初由公司领导牵头与某船级社联合成立了船岸网络信息安全专项课题组，针对公司船岸网络的特殊性制定了一套通用船舶网络安全管理体系，并在超大型集装箱船试行《船舶网络信息安全实施指南（征求意见稿）》和相关配套制度，如《船舶网络信息资产管理办法》《船舶VSAT、局域网及防火墙设置规范》《船舶网络信息安全员岗位职责》《船员网络信息安全应知手册》等。此外，还对试点船舶就域控服务器（解决内网信息审计问题）、KMS激活服务器（解决操作系统、办公软件授权问题）、自建CA授权机构颁发数字证书（解决SHA256数据加密问题）、某开源局域网远程管理软件以及等级保护一体机硬件部署（解决病毒库、补丁库离线升级问题）等项目进行技术验证，为下一步推广应用船岸网络信息安全课题研究成果奠定了良好基础。

篇4

关键词　信息安全；安全防护；信息保密

中图分类号TP39　文献标识码A　文章编号　1674-6708（2013）83-0024-02

1电力企业的信息安全

1.1什么是信息安全

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

通常来说，信息安全就是要做到五个方面内容：一是进不来，通过设置系统口令、屏保口令等使恶意人员无法进入；二是拿不走，对系统用户有权限区分，低权限用户无法越权获取高权限用户资料；三是看不懂，对重要文件进行加密处理，保证信息不曝露给非法用户；四是改不了，确保只有得到允许的人才能修改数据，其它人无法改动；五是走不脱，使用审计、监控等手段，使得攻击者、破坏者无法走脱。

1.2信息安全总体要求

公司信息安全坚持“双网双机、分区分域、安全接入、动态感知、精益管理、全面防护”总体防护策略，执行信息安全等级保护制度，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃，抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止公司对外服务中断和由此造成的电力系统运行事故。

2地市公司信息安全管理

2.1信息安全面临的威胁

随着信息技术的发展以及公司信息化建设的推进，地市公司面临的信息安全威胁越来越多样化。目前，信息安全面临的威胁主要有：一是人为无意失误，如管理漏洞、安全意识不强，操作不当等；二是人为恶意攻击，如计算机病毒等恶意代码；三是软硬件的漏洞和“后门”，如操作系统、数据库及应用系统本身存在的缺陷和漏洞；四是设备故障；五是自然灾害。

2.2信息安全管理

2.2.1安全制度建设

地市公司要根据上级公司的相关要求，结合本公司所面临的信息安全威胁，从网络、终端、应用、管理等各方面建立完善一整套信息安全管理制度。管理制度主要包括：《计算机机房安全管理制度》、《安全责任制度》、《网络安全制度》、《系统安全风险管理和应急处置制度》、《操作权限管理制度》、《用户登记制度》、《重要设备、介质管理制度》、《信息审查、登记、保存、清除和备份制度》等等。这些信息安全制度在公司信息安全工作中起着根本性、指导性和全局性的作用。

地市公司要根据实际情况制定信息安全通报制度，加大全体员工对信息安全的重视程度，提高信息安全的管理效率。通报分为例行通报、紧急通报两类，通报内容包括：一是围绕信息安全考核指标的日常工作；二是信息安全的专项工作；三是信息安全事件的预警、响应、研判和处置情况。

地市公司要建立信息安全监督制度，要求各单位、部门对危害信息安全的各类危险源点进行自查整改。信通公司作为信息安全主管部门进行现场检查和远程检查。

地市公司要建立信息安全应急处置制度。为了正确、有效和快速地处理信息安全突发事件，最大限度地减少突发事件对公司生产、经营、管理造成的损失和对社会的不良影响，需要定期修订完善应急预案和开展应急演练。同时，地市公司还要定期组织全体信息运维人员学习应急预案，做到熟悉预案，了解如何应对突发事件，明确各自职责和处理程序，真正确保突发事件下的信息安全。

2.2.2人才队伍建设

信息安全工作需要必须的人力资源来支撑。地市公司要按照“谁主管谁负责，谁运营谁负责，谁使用谁负责”　的原则，落实专门机构和人员负责信息安全工作。目前，地市公司的信息安全运维管理由信通公司负责，主要工作包括有系统的安全运维、信息安全的技术保障、信息安全事故应急处理及员工信息安全教育等。地市公司还应根据工作地点及人员分散的特点建立一只信息兼职队伍。通过信息兼职队伍的壮大及能力的提升，使信息安全迈上新的台阶。

2.2.3防护系统建设

安全技术是信息安全的主体，信息安全离不开安全技术的实施和安全产品的部署。地市公司必须要部署防火墙、入侵检测系统、防病毒系统、桌面终端标准化管理系统等各种安全防护系统。这些系统的部署给信息安全提供了多层次、全方位的安全防护。

部署防病毒系统。Symantec　endpoint　Protection提供端点安全解决方案，它实现防病毒、防间谍软件、防火墙、入侵防御和网络威胁防护等多种功能，并且通过策略的设置，可以防范安全违规事件的发生。它具有系统性和主动性的特点，能够实现全方位多级安全防护。

部署桌面终端管理系统。桌面终端系统应实现对公司内部终端的软硬件、数据保密的集中化和标准化管理，提高公司内部终端的安全性及维护管理的效率。

地市公司还应利用在网络设备上采取IP地址与MAC地址绑定的技术手段限制不明非法的设备接入到信息内网中。同时，还应制定网络接入设备审批制度，严格控制和管理接入信息内网的设备。

2.2.4系统安全建设

系统安全分为物理安全和运行安全两个部分。

物理安全主要是指主机存储设备、网络设备、安全设备及机房辅助设备安全。设备放置在专门的信息机房内，通过门禁系统及机房监控系统保证这些设备自身的安全。地市公司应制定机房管理、机房出入人员管理等制度，对设备安全管理、机房环境管理、人员出入访问控制管理等做出详细的规定。同时，地市公司还应指定专人负责各类设备的管理工作，定期联系专业厂家对设备进行巡检，做到问题早发现，早解决。

运行安全主要是指业务应用系统、网络系统及数据库系统等运行安全。主要系统应采用双机的方式来建设。所有的系统都有专人负责，地市公司定期对系统的运行状态进行巡视、备份等工作。同时，地市公司还要对设备的账户安全、网络安全、服务安全、日志安全等方面开展加固工作，保障系统的安全稳定运行。

2.2.5个人安全建设

地市公司应从管控与培训两个方面开展个人信息安全建设。

所有终端设备应统一安装桌面终端管理系统、防病毒系统和补丁升级系统等安全防护系统。地市公司要每日安排专人监控终端设备，发现问题及时整改，保证桌面终端注册率、防病毒安装率，补丁安装率是100%。

教育培训是提升员工个人信息安全意识和技术水平的重要手段。通过开展安全讲座、建设专题网站、印发宣传手册和巡展宣传展板等多种形式加强信息安全知识的宣传，使每个员工懂得信息安全违规行为的防范知识。

2.2.6信息保密建设

地市公司要严格执行“信息不上网，上网信息不”的保密要求，对发现的违规失密、泄密事件严肃处理。信息保密工作主要有：一是强化信息保密教育培训，使员工明确信息保密安全防护要求；二是加强对终端和网络的保密管理，防止敏感、信息的丢失以及有害信息在网上传播。

篇5

随着军队物资采购机构信息化建设的不断推进，信息系统已经成为当前采办系统的核心组成部分。信息安全风险直接影响到军队物资采购系统为军队用户提供服务和对各类供应商等采购实体进行管理的能力。在关键时刻，个别重大的信息系统发生故障或瘫痪，往往会给整个军队后勤保障带来不可挽回的损失和影响，从而给整个军队建设和国防事业带来损失。

当前，军队物资采购系统根据总后关于信息化建设的精神，建立了依托干军队内部的指挥自动化网、军队综合信息网等内部指挥控制网络、办公网络、业务管理网络等信息服务和指挥网络，为军队采购管理单位、采购业务单位、科研和教学单位、军内终端客户提供广泛的信息服务。

实施信息安全管理，不仅能够有效地提高信息系统的安全性、完整性、可用性以及对相关应急采购任务的快速反应能力，同时也是保障军队物资采购系统科学发展，为军队提供最优保障力的重要手段。

一、军队物资采购信息安全风险

在军队物资采购活动中，存在各种各样的风险，都对采办的结果产生不同程度的影响。根据风险产生对象的不同，将风险分为人为风险、系统风险、数据风险等三个方面。

(一)人为风险。

人是信息安全最主要的风险因素，不适当的信息系统授权，会导致未经授权的人获取不适当的信息。采购人员的操作失误或疏忽会导致信息系统的错误动作或产生垃圾信息；违规篡改数据、修改系统时间、修改系统配置、违规导入或删除信息系统的数据，可能导致各种重大采购事故的发生。有令不行、有禁不止等人为因素形成的风险，是军队物资采购信息安全的最大风险。

(二)系统风险。

系统风险包括系统开发风险和系统运行风险。在采购项目开发过程中没有考虑到必要的信息系统安全设计，或安全设计存在缺陷，都会导致采办信息系统安全免疫能力不足。没有完善、严格的生产系统运行管理体制，会导致机房管理、口令管理、授权管理、用户管理、服务器管理、网络管理、备份管理、病毒管理等方面出现问题，轻则产生垃圾信息，重则发生系统中断、信息被非法获取。

当前的采购信息系统已是一个庞大的网络化系统，在网络内存在众多的中小型机、服务器、前置机、路由器、终端设备，也包括数据库、操作系统、中间件、应用系统等软件系统。网络系统中的任何一个环节都有可能出现故障，一旦出现故障便有可能造成系统中断，影响业务正常运作。同时，由于自然灾害、战争等突发事件造成的系统崩溃、数据载体不可修复性损失等等，都能够给采购信息系统带来很大的影响。

(三)数据风险。

数据是信息的载体，也是军队物资采购系统最重要的资产。对数据的存储、处理、获取、和共享均需要有一套完整的流程和审批制度，没有健全的数据管理制度，便存在导致数据信息泄露的风险。

二、军队物资采购信息安全的内容

通过对信息安全定义的查询，可以看到其是根据不同的环境情况各自不同的。在相对受到专业影响较小的国际标准ISOl7799信息安全标准中，信息安全是指：使信息避免一系列威胁，保障商务的连续性，尽量减少业务损失，从而最大限度地获取投资和商务的回报。

对于军队物资采购系统，信息安全管理则应该坚持系统和全局的观念，基于平战结合、立足应急保障的思想，指导组织建立安全管理体系。通过系统、全面、科学的安全风险评估，体现“积极预防、综合防范”的方针，强调遵守国家有关信息安全的法律法规及其他合同方要求，透过全过程和动态控制，本着控制费用与风险平衡的原则，合理选择安全控制方式，保护组织所拥有的关键信息资产，使信息风险的发生概率降低到可接受的水平，确保信息的保密性、完整性和可用性，保持组织业务运作的持续性。

(一)保密性。

信息安全的保密性，在确保遵守军队保密守则规定的前提下，确保信息仅可让授权获取的相关人员访问。结合当前的状况，军队物资采购系统的信息安全保密应当做熟严格分岗授权制衡机制，杜绝不相容岗位兼岗现象;严格用户管理和授权管理，防止非法用户，用户冗余和用户授权不当;加强密码管理，防止不设口令或者口令过于简熟加强病毒防范管理，防范病毒损氰控制访问信息，组织非法访问信息系统确保对外网络服务得到保护，阴止非法访问网络;检测非法行为，防范道德风险;保证在使用移动电脑和远程网络设备时的信息安全，防止非法攻击。

(二)完备性。

信息安全的完备性，是指信息准确和具备完善的处理方法。具体要求是:严格采购业务流程管理，确保采购业务流程与采购信息系统操作流程完备一熟严格控制生产系统数据修改，防止数据丢失。防止不正确修改，减少误操作;严格数据管理，确保数据得到完整积累与保全，使系统数据能够真实、完整地反映采购业务信息;严格按照军队关于物资采购规定和要求操作，减少或杜绝非标业务。避免任何违反法令、法规、合同约定及易导致业务信息与数据信息不一致、不完整的行为。

(三)可用性。

信息安全的可用性，要求确保被授权人可以获取所需信息。具体要求是:加强生产系统运行管理，确保生产系统安全、稳定、可靠运行;加强生产机房建设与管理，保障机房工作环境所必需的湿度、温度、电源、防火、防水、防静电、防雷、限制进人等要求，减少安全隐患;加强生产系统日常检查管理，及早发现故障苗头;加强系统备份，防止数据损失;严格生产系统时间管理，禁止随意修改生产系统时间;保障系统持续运标实施灾难备份，防止关键业务处理在灾难发生时受到影响。

三、军队物资采购信息安全管理

(一)信息安全机构。

军队物资采购系统应分出专人专职来负责信息安全管理工作，并协同上级业务管理单位制定信息安全管理制度和工作程序，设定安全等级，评估安全风险程度，落实防范措施方案，提出内控体系整改方案与措施，监督和评估信息安全管理成效。在与上级总部和军区、军兵种物油部管理机构之间还要有一个快速响应的信息安全事故收集、汇总、处理及反馈体系。

(二)信息安全管理制度与策略。

信息安全管理制度应针对军队物资采购系统现状与发展方向来制定，要充分考虑可操作性。现阶段可根据“积极防御、综合防范”的方针，制定内部网、OA网、外部网的管理办法，明确用户的访问权限。制定生产系统运行管理办法。严格实行分岗制衡、分级授权，严格执行生产系统时间管理、备份管理、数据管理和口令管理。

(三)信息安全分级管理。

信息安全分级管理，是将信息资源根据重要性进行分级，对不同级别的信息资产采用不同级别信息安全保护措施，国家已将信息安全等级保护监督划分为五个级别，分别为自主性保护、指导性保护、专控性保护。

军队物资采购系统可以结合实际情况，将信息资产分为“三级”或“五级”保护，目的在于突出重点，抓住关键，兼顾一般，合理保护。分级管理的方法是分析危险源或危险点，评估其重要性，再分设等级，从而采取不同的保护措施。比如，对于采购机构业务机房，可采取门禁与限制进入等方式进行保护;针对采购中相关数据的提供，可设计一定的审判流程，根据数据的重要程度，分为公开信息、优先共享信息、内部一般信息、内部控制信息、内部关键信息和内部核心信息，实施严格的授权控制;对于信息安全事故，可分为重大事故、一般事故、轻微事故等，采取不同的处置方案。

(四)信息安全集中监控与处置。

设立集中运行的信息安全监控处置中心，及时监控、发现安全事故，做到响应快速、处置果断，并实施应急恢复。结合军队物资采购系统当前实际情况，可对网络、服务器等运行设备进行集中监控，开展服务器容量管理、网络流量监控;对应用系统采取防范与监控相结合的方式，对信息系统的数据设置校验码，防止非法修改;在开发应用系统的同时，还应开发相应的审计检查监控程序，由各单位分别运行和维护，由上级采购管理机构定期查验和监督，及时发现数据信息存在的风险。

四、信息安全管理系统

实现信息安全管理的集中运行，需借助信息安全管理系统。各军队采购机构和部门可以按照上级下达的统一标准，构建基于同一操作平台的信息安全管理系统，帮助安全管理中心实现系统的监控、分析、预警等功能，实现信息安全事故处理的收集、存储、分析等功能，及时对信息风险作出反馈。

(一)监控功能。

为采办机构和部门的相关信息处理和传输设备配置专人管理，并设置机房日志管理、服务器性能日志管理、服务器容量日志管理、数据修改日志管理、流量监控日志等功能，酌情设置数据检测结果日志管理功能。通过对存储、传输和删改的操作进行管理，达到监督控制的目的。

(二)处理功能．

根据采办单位所在环境和情况，自主设置安全事故报告、响应、处置等采办信息管理功能，对于高级别信息，也可以采用每天零报告措施。通过信息处理的简化、优化和快速反应，提高信息安全保障能力，从而保证军队采购的正常进行。

(三)安全等级管理功能。

针对采办单位自身特点，设置信息资产、危险源、危险点定义与分级功能，对于不同级别的信息安全危机设定不同的保护等级，并采取不同的保护措施、监控措施、事故响应与处置措施，保证系统的稳定性和完好性。

篇6

关键词:信息安全;档案;因素;对策近年来，信息技术的运用

在高校档案管理中发挥日益显著的作用，打破了传统纸质档案的管理模式，由档案实体管理向数字化管理模式转变，这一创新举措大大提高了档案资源开发和利用的效率，但数字化管理中的安全问题亦不容忽视，只有不断强化数字化档案的安全管理，建立健全档案安全工作保障体系，才能真正确保数字化档案的安全。

1问题及影响因素

首先，高校数字化档案信息安全管理缺少顶层设计。目前安徽省高校档案管理软件多种类型并存，彼此孤立，有网络版的也有单机版的，横向之间不联，上下之间不通，各自为政，追求小而全，未能形成网络大平台上的协调沟通运行机制，既影响了网络功能的发挥，又造成了重复建设，浪费了人力、物力。其根本原因在于顶层设计滞后，缺乏统一的功能和具体执行标准。其次，档案信息安全管理制度不完善。按照国家保密局《涉及国家秘密的信息系统审批管理规定》，现在大部分高校信息利用安全无法保证。具体表现为:一是没有统一的利用平台，其利用环境的安全完全依赖于自身网络建设;二是局域网、政务网、公众网的内容界定不规范，在协调处理多方关系上存在着随意性;三是档案馆(室)在外包安全协议中没有明确注明保密的形式和内容，当事者所应承担的责任和义务，缺少相应的监管标准和奖惩措施，这些毋庸置疑将对档案信息利用安全造成威胁。然而，究其根本原因在于缺乏建立相配套的系统安全管理规章制度［1－2］。最后，对系统功能的安全监管不到位。据调查表明，目前我省高校大部分电子档案系统的权限设置，身份认证识别鉴定功能、CA认证以及数字签名等技术功能均达不到相关要求，随时可能发生文件丢失、泄密的危险。在信息采集、硬件防护等方面，相关技术部门之间未能及时有效地沟通与协调，管理措施的制定缺少系统性和科学性，如此等等［3－4］，都是因缺乏严格的监存管机制，从而导致安全建设存在诸多隐患和漏洞。

2档案数字化安全管理应遵循的原则

责任规范原则。安全责任规范是档案信息系统规划、设计、实现、运行的必然要求，各档案馆(室)应根据安全标准化规定制定适合本单位的安全政策，不能无依据、无标准、随意开发、盲目设计、违规操作、无人监管，而应根据实际情况，具体问题具体分析，采用正确的安全功能和设备。预防原则。将预防为主的意识贯穿整个安全系统管理的全过程，包括规划、采购、安装、设计等各个环节。不同的地理条件、不同的人文环境，各馆(室)藏对安全设施的配备及安全功能的实现程度也迥异，应因地制宜，将安全防范意识摆在首位，加强薄弱环节的防护，最大限度地减少人为和自然灾难所造成的损失。实效原则。目标的制定和规划应与安全功能的实现程度相匹配，不应盲目追求高目标或投资过大的项目，要实事求是，使投入与需要的安全功能相适应，才能真正提高安全管理效率。分权制约原则。分散重要环节的管理权限，使其各部门之间的权利相互制约，避免全线崩溃，提高安全性。对数字化服务机构的相关资质、业绩、人员、设备和加工软件等进行考察，并了解是否存在违约行为、安全事故等不良记录。应急原则。安全防护要防患于未然。建立健全应急管理机制，开展各类突发事件应急演练，遇到突发事件及时采用应急预案，多方联动，采取积极有效的防护措施。灾难恢复原则。全盘优化灾难恢复策略，合理划分容灾等级，严格执行数据恢复流程并采取有效的技术恢复手段，保持原数据中心和备份中心数据的一致性。

3高校数字化档案信息安全管理的对策

3．1加强信息安全技术管理，提高信息化管理水平

设备层的安全管理。设备层的安全管理包含软硬件系统的管理，是档案信息安全管理的基础。硬件系统的安全又称为物理安全。由于应用软件自身存在弊端，使其很容易受到攻击，各种各样的防黑客技术、软件恢复技术以及安全操作系统的实现将是软件系统安全管理的重点。采用先进的病毒防范技术定期对服务器和客户端查毒、杀毒，对防毒软件适时升级，档案管理人员要依据病毒类型构建病毒防范机制，充分了解病毒知识，做好主动防范工作，增强杀毒的敏感性，以全面提高网络防范能力。网络层的安全管理。网络层的安全管理主要针对网络协议和结构及其所导致的安全问题应采取的安全措施。主要包括:网络安全告警，内部流量和活动模型分析，网络入侵恢复，网络结构数据保护，内部加密与密钥管理等。各个子网的出入口设备的安全管理是其管理的关键点，由于嵌入式操作系统作为网络安全管理的核心技术比通用的操作系统更易实现，因而不可避免地成为整个信息产业发展的重点之一。应用层的安全管理。采取数据加密等技术确保安全，使用签名芯片及时实现加密技术的有效应用。严格控制访问权限，通过设置口令、密钥、指纹、声音等方式进行身份鉴别和访问控制，并防止越权操作。对数字化设备、存储介质应进行安全保密技术处理，数字化加工设备不得外送维修，对系统中各种操作实现严格的监控并加以记录。做好日常的系统维护工作，确保数据的安全存储、转移和备份恢复。

3．2创新信息安全管理机制，全面提高防范意识

制度层的安全管理。强化制度建设，形成有效的安全管理机制，为信息安全建设提供制度保障。为确保数字化档案信息安全，高校档案馆(室)要建立健全各项安全管理制度和责任制度，在面临突发灾害时，紧急启动应急预案，形成联动机制，因地制宜，妥善处理影响档案安全的各类突发事件。对档案要强化监督和管理，认真进行档案密级鉴定，做好档案数字化的各项安全保密工作，对密级档案严格审核，做出是否变更或解除的决定，对控制知悉、使用范围的档案进行划控，密级档案以及控制知悉、使用范围的档案，须在安全保密的场所由其单位工作人员负责人加工处理;对特殊载体档案采取特殊保护，对珍贵、频繁利用的纸质档案优先保护、定期消毒。其次要制定数字化档案安全权利清单和责任清单，将数字化档案信息安全建设作为日常工作运行的重点，实行领导责任制，明确在信息安全建设中各个环节的责任程序和责任人，科学界定工作职责，完善安全隐患定期排查制度，规范细化档案数字化工作流程，强化对权利运行的制约和监督，严格按照任务清单要求，全面落实好安全主体责任，不断加大问责力度，建立健全安全问题通报制度，确保安全权利清单制度落地见效。不仅如此，高校档案馆(室)也应加强数字化加工场所和设备实施的安全监管。加工场所应设置在符合保密要求且相对独立的区域，安装视频监控系统、实施全程监控，严格核查出入人员身份，无关人员不得进入场所。工作人员不得在场所内吸烟、饮水、进食，严禁携带照相机、摄像机、手机等信息设备及其他与工作无关的物品入场，禁止以拍摄方式获取档案信息或携带实体档案及电子档案外出。用于档案数字化的设备系统必须与其他网络物理隔离，禁止安装使用无线网卡等具有无线互联功能的硬件和设备，对设备输入、输出接口进行封闭处理，并进行检查登记。此外，若采取数字化委托加工方式，应设有专人负责安全保密工作，无安全事故、泄密事件等违法记录。数字化加工单位应与受委托的专业公司签订保密协议，确保数字化加工场地的安全管理。以制度有效运行作保障，积极为档案信息安全铸造坚固的防护体系。组织层的安全管理。各高校要因地制宜，把数字化档案安全体系建设摆上议事日程，制定适合本学校的数字化档案信息安全建设规划和实施方案，将档案信息安全体系建设纳入单位(部门)年度考核、目标管理等工作的重要内容，加强日常的监督、检查和指导，定期听取档案安全工作汇报，研究部署年度工作计划，领导要亲自过问，在经费投入、技术保障、处室配合、人员使用等方面给予大力支持，各高校档案(馆)室要加快建立数字化档案信息安全领导小组，充分调动专职档案人员工作的主动性和积极性，并根据学校机构设置和人员变动情况，适时调整充实领导组成员，明确各部门分管档案信息安全工作的领导，逐步细化完善档案信息安全工作岗位职责，做到档案信息安全工作人员职责清晰、分工明确，确保档案安全工作顺利有序开展。

3．3加大人才培养力度，打造复合型数字化安全管理专业人才

高校档案馆(室)要加大数字化档案信息安全专业技术人才的培养力度，积极开展档案信息化知识技能培训和数字化安全岗前教育培训。制定科学合理的人才规划，数字化档案安全的核心在于人，人是保证数字化档案安全的关键，一切安全技术的实施都离不开专业技术人员，努力建设一支素质优良，结构合理，队伍稳定，既通晓档案网络技术知识又能熟练掌握安全管理技能的综合型人才，不断探索培养优秀档案信息化人才的新途径。

3．4加快法律法规体系建设进程，营造良好的依法治档环境和氛围

建立健全数字化档案安全法律法规，真正落实依法治档。档案管理人员要严格遵守档案安全法规和保密规定，采取综合防范策略，建立科学合理的操作规范，积极防御，不断提升防护水平，净化网络安全环境。加大安全执法力度，严加惩处盗取、篡改信息的机构和个人，并依法追究相关责任。重视安全法律法规宣传工作，利用校园网，宣传安全知识以及学校关于档案安全工作的规章制度。通过档案网站，及时国家颁布实施的档案安全法律法规，认真学习并贯彻落实上级档案主管部门关于档案安全管理的文件精神，让广大师生不断强化安全和保护意识，充分认识学校档案安全工作的重要性。

4结论

高校数字化档案信息的安全管理是一项漫长而艰巨的任务，涉及技术、法律、制度、意识、人员等方方面面，随着社会信息化的飞速发展和科技的日新月异，影响数字化档案信息安全的因素也日益繁多，高校档案安全工作将面临新的挑战，各高校档案馆(室)应高度重视，通力合作，使数字化档案信息的安全管理逐步迈上规范化、科学化的轨道，为档案的永久安全保管和历史文化的传承做出应有的贡献。

参考文献:

［1］种金成，何祖华．高校馆藏档案数字化实施方案及安全策略研究［J］．黑龙江档案，2014(1):44－45．

［2］赵鹏．从档案安全体系建设的角度看档案保护［J］．中国档案，2010(6):25－27．

［3］杨冬权．建立完善的档案安全体系确保档案安全［J］．兰台世界，2010(6):1－2．

篇7

【关键词】 信息技术 电网企业 网络信息 安全管理

一、我国电网企业网络信息发展现状

近几年来，我国电网企业网络信息发展迅猛，电网企业信息化基础设施较为完善，电网企业和其他企业相比信息化程度相对较高，电网企业各部门人员都使用计算机进行办公。电网企业营销管理系统应用广泛，我国各地区电网企业都建立了网络信息管理系统，电网企业业务受理都呈现出信息化特征。随着信息技术的不断提高，我国电网企业网络管理信息系统逐渐建立起来，并在一定程度上得到推广，国家电网企业大力开展网络管理信息系统建设，在电力生产、电力设备使用、安全监督和电力营销等方面都应用到网络管理信息系统，电网企业的网络化和信息化增强，电网企业将网络信息建设和管理放到首位，旨在通过信息技术推动电网企业的可持续发展。

二、电网企业网络信息安全管理中存在的问题

1.信息化机构建设尚不完善。电网企业网络信息部门没有受到足够的重视，电网企业信息管理部门没有在企业内部设置专门的信息化机构，电网企业没有科学合理的信息管理岗位，电网企业信息管理部门建设落后，信息化机构建设尚不完善，电网企业缺乏专业技能良好、综合素质较高的复合型人才。2.电网企业网络信息化管理水平低下。和我国信息技术的发展和应用相比，国家电网企业网络信息化管理水平相对较低，电网企业没有对网络信息化管理进行不断优化和革新，虽然我国很多电网企业都将先进的信息系统和网络管理系统运用到企业运营中，但是并没有及时对电网企业的网络信息管理模式进行革新和完善，这就导致网络信息系统不能达到预期的使用效果。

三、加强电网企业网络安全管理的有效措施

1.重视电网企业网络信息安全规划。对我国电网企业网络信息进行规划的主要目的是提升网络信息系统的安全性，对电网企业网络信息系统的安全问题进行全面考虑，对电网企业网络信息安全进行科学合理的规划，建立全面统一的网络信息安全管理体系，能在一定程度上提高电网企业网络信息的安全性。

2.合理划分网络安全区域。要对电网企业网络安全区域进行合理划分，根据电网企业各部分网络信息的安全密级和安全规划对网络安全区域进行科学合理的划分，通常情况下可以将电网企业网络安全区域划分为三部分，即重点防范区域、一般防范区域和完全开放区域，这样才能实现电网企业网络信息的安全管理，使得个网络区域的工作能够顺利开展。

3.加强网络信息安全管理和制度建设。为确保电网企业网络信息的安全性良好，电网企业应该将网络信息安全管理和相关制度建设当做重点内容，对电网企业网络信息日志进行严格管理和安全审计，充分利用防火墙和入侵检测系统的审计功能，对电网企业网络信息日志进行准确记录。重视并加强电网企业网络信息管理制度建设，明确电网企业从业人员的职责和义务，制定网络信息安全事故应急处理程序，加强电网企业网络信息管理基础设施建设，确保网络信息系统运行环境良好，电网企业应该做好防火防水设计，确保电网企业网络信息系统安全性能良好，运行可靠。

4.加强电网企业网络信息管理人员的综合培训。电网企业网络信息管理人员的专业水平和综合素质对网络信息安全具有极大的影响，电网企业必须重视并加强网络信息管理人员的综合培训，提高网络信息高级管理人员的综合能力，使其了解网络信息安全管理的策略及目标，制定科学合理的电网企业网络安全管理制度。加强网络信息系统安全运行管理和维护人员综合能力的培训，使其能够充分理解电网企业网络信息安全管理策略，掌握网络信息系统安全操作和维护技术。让网络信息管理人员充分了解网络信息安全操作流程，获得全面的电网企业网络信息安全知识，提高网络信息管理人员的安全意识和技能，确保网络信息管理人员专业水平较高，综合素质良好，使其在电网企业网络信息系统运行、管理和维护上充分发挥自己的职能。

总结：随着信息技术的快速发展，电网企业信息化成为一种必然的发展趋势，电网企业在电力生产和运营的过程中只有做好网络信息安全管理工作，在不断的实践过程中发现电网企业网络安全管理中存在的问题，探索出加强电网企业网络信息安全管理的有效措施，才能实现电网企业的可持续发展。

参 考 文 献

[1]朱贵强.论企业网络信息安全管理[J].中国科教博览，2005，（6）.

[2]闫斌，曲俊华，齐林海.电力企业网络信息安全系统建设方案的研究[J].现代电力，2003，（1）.

篇8

一、企业安全管理三大问题

自“棱镜门”、iCloud照片泄露、携程及支付宝等企业接连宕机等事件发生之后，信息安全已被国内外政府、行业和企业推到了前所未有的高度。国务院《关于积极推进“互联网+”行动的指导意见》中也明确提出，要提升互联网安全管理、态势感知和风险防范能力，加强信息网络基础设施安全防护，加强“互联网+”关键领域重要信息系统的安全保障。信息安全危害事件频频爆发。2015年5月，网易、支付宝、携程、艺龙、知乎、Uber等多家知名企业出现接连宕机，互联网安全问题频繁出现并集中爆发，这为我国企业安全管理敲响了警钟。企业处理突发事件能力较弱。网易、支付宝、携程等互联网企业宕机后，很长时间才得以解决，表明企业在应对安全威胁突况时的力不从心，也反映出企业对信息安全中的外部威胁难以进行有效防范和及时应对。目前，我国互联网企业总体停留在安全保障、被动防御阶段，并未形成明确推进信息安全的管理措施。企业对信息安全重视程度不够。与发达国家相比，我国企业用于信息安全方面的投资还很低，尚未占到企业信息系统建设总成本的2％，而国外企业用于安全系统的投资占整个网络建设投资的15％～20％。例如，2014年我国信息安全投资总额为22亿美元，不及美国的3.2%，且企业投资重点集中在安全基础设施建设、产品更新换代等，对安全服务投入明显不足。许多企业口头上重视信息安全，但未付诸实践。

二、构筑企业安全三重防线

建设合理先进的信息安全管理系统。企业应重点加大对安全评估测评工具及技术、数据防泄露及敏感信息防护技术、大规模网络安全态势感知技术和统一身份管理与认证技术的研发投入，重点建设一个集风险评估、安全策略、防御体系、实时检测、数据恢复、安全跟踪和动态调整为一体的信息安全管理系统，加大信息安全管理的重视力度，从产品、技术、管理和制度多个维度来解决信息安全问题。建立信息安全风险防范和灾难应对体系。建议企业参照金融行业的管理模式，主动建立风险防范和灾难应对体系，出台具备面对突发状况的应急方案和数据备份双重机制，并重点开展以下工作：完善、优化企业内部网络架构，构建全方位的数据泄露防护系统，建立一体化的本地/异地备份与容灾体系，建立防火墙、防入侵及一体化安全网关解决方案，提高漏洞发现及应急解决能力、减少高危漏洞带来的危害。联手产业链上下游共筑安全防线。信息安全已不只是企业本身所能掌控的，比如支付宝服务器故障的主因是杭州市萧山区某地光纤被挖断导致，这就需要电信运营商等加大对光纤光缆安全监督。因此，互联网企业应与产业链上下游企业携手，做到信息数据、用户隐私、软硬件产品等不同类型的安全问题与行业相对应，有效防范安全管理脱节、错位等问题发生。随着互联网与各行各业的深度融合，信息安全威胁事件出现常态化趋势。企业应紧密围绕内部和外部环境，加大信息安全管理工作力度，有效减免信息安全危机事件。

作者:宋德王 单位:赛迪智库电子信息产业研究所

篇9

【关键词】企业，信息，安全

【中图分类号】F270.7 【文献标识码】A 【文章编号】1672-5158（2012）11-0130-02

一、企业信息安全现状

近年来，随着企业信息化进程的不断推进，许多企业都完成了涵盖基础自动化、过程控制、生产执行到专业管理的信息系统，内容覆盖了硬件网络平台建设、办公自动化（OA）、企业资源计划（ERP）、对基础网络、过程自动化进行升级改造等，企业业务的关键流程如研发、生产与销售对信息系统的依赖性非常高。企业日益复杂庞大的信息系统也无时无刻在面临来自于内部和外部的威胁。

当前企业信息可能面临的安全威胁、存在的安全隐患。

1.可能面临的安全威胁

物理安全威胁主要表现在企业的软件资产和硬件资产、面临自然灾害、环境事故及不法分子通过物理手段进行的违法犯罪等威胁；网络安全威胁主要表现在黑客攻击、垃圾邮件泛滥、病毒、木马造成网络拥塞与瘫痪，内部攻击，冲突域造成网络风暴，黑客的入侵或者使得不法员工可以通过网络泄漏企业机密等。

数据安全威胁主要表现在：数据库数据丢失，财务、客户信息及订单数据被破坏或删除、窃取、备份数据被人恶意篡改、不可预测的灾难导致数据库的崩溃等。

内部网络之间、内外网络之间的连接安全——随着企业的发展壮大，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。

2.可能存在的安全隐患

网络规划不完善。信息网络建设的初期，没有把构建信息安全体系作为主要的功能来实现。虽然以后采取了一些安全措施，缺乏整体性和系统性。目前从便携设备到可移动存储，再到智能手机、PDA，以及无线网络等。每一项新技术，每一类新产品的推广伴随着新的问题。企业在面临着日趋复杂的威胁的同时，遭受的攻击次数也日益增多。

技术设计不完善。随着电脑技术的不断发展，一些技术上的漏洞和设计方面的缺陷也就随之而来。如操作系统、数据库、网络软件及应用软件等各个层次及网络设备本身存在的技术安全漏洞等。

安全管理不完善。由于信息安全管理制度不健全或贯彻落实不够；员工的安全防范意识不强；构建安全体系的资金投入与运维现状需求存在矛盾等因素，导致安全管理层面的安全措施及安全技术难以有效实施。

为了防止信息安全事件的发生，通行的做法是通过部署防火墙、入侵检测、入侵防范系统、防病毒系统、数据备份、数据加密、漏洞扫描、上网行为管理系统等进行防范。然而，此类技术手段，却无法阻止人为因素导致的破坏。

针对上述分析，笔者认为，构建一个规范的信息安全保障体系必须从管理、技术两方面着手，通过建立企业内部信息安全管理体系的有效措施把可能面临的安全威胁最大限度地弱化，同时针对信息系统的“弱点”进行改进，以此降低潜在的安全危险。

二、加强信息安全工作的途径

1.建立安全体系结构框架

俗话说“三分技术，七分管理”，任何技术措施只能起到增强信息安全防范的作用。为此，管理部门首先需借助相应的行政手段制定适合本单位的信息安全管理制度，建立一个长期有效的安全管理机制。加强安全技术的管理和人员的培训，提高员工的信息化应用水平。其次，技术部门要加强物理场所的安全管理，制定相应的访问控制策略规范网络应用安全，整合现有资源实现能够支撑边界安全和访问控制的要件，同时实现从终端行为一主机全过程的完整安全，实现公司业务正常有序的运行。

2.通过实施信息安全管理体系提升管理水平

信息安全管理体系是系统地对组织敏感信息进行管理，涉及到人、程序和信息技术系统，其依据是信息安全管理体系标准-IS027001。IS027001清晰地定义了ISMS是什么，并对企业主要安全管理过程进行了详细的描述。通过对企业信息系统的信息安全方针，信息安全组织，资产管理、人力资源安全、物理和环境安全管理、通信学术研究和操作管理、访问控制、信息系统获取开发和维护，信息安全事故管理、业务连续性，符合性（IS027002要求的各个控制域）11个方面的处置，来建立企业信息安全管理体系。ISMS建设分为五个阶段，有准备阶段、风险评估阶段、实施阶段，运行阶段和持续改进阶段。

2.1 准备现状调研阶段

现状调研阶段的主要工作是对组织的信息安全管理相关政策、制度和规范、业务特征或服务、现有的组织情况、网络信息与配置、日常操作与管理等内容进行调查，以了解组织业务，挖掘组织中存在的安全问题，分析组织内可能存在的信息安全风险，参照相关标准给出差距分析报告。可以采用文件审核、问卷调查、技术工具评估及现场访谈等方式进行。

2.2 风险评估阶段

在准备阶段工作的基础上，根据IS027001标准的要求，对企业目前的信息安全现状进行风险评估，通过风险评估确定风险管理计划以及需要采取的控制措施。此外，通过风险评估，还可以了解到目前企业信息安全管理的现状，为下一步编写ISMS文件准备基础资料。

2.3 架构设计阶段

架构设计阶段可以考虑从安全策略保障体系、安全组织保障体系、安全运行保障体系、安全技术保障体系、应急恢复保障体系、保密体系等方面构建组织的信息安全总体架构。

2.4 实施阶段

实施阶段将进行ISMS文件体系的策划和编写，确定需要编写的文件数量以及各文件需要包括的控制措施。同时，将已有的操作规程、规范文件整理为具体操作手册，作为三级文件，以指导信息安全管理体系项目的后继实施，最终形成一整套符合企业信息安全管理现状的、可实施的.文件化的信息安全管理体系。

2.5 运行阶段

运行阶段将依据建立的ISMS进行实施。主要的活动有认证机构的预审、对企业信息安全专员培训、全员培训和意识教育整改活动、记录系统运行等各项活动。在体系运行一段时间以后，将通过内部审核的方式评审企业信息安全管理体系运行的符合性。

2.6 持续改进阶段

项目的完成只是企业ISMS建立和完善的一个首要步骤。要通过内审与管理评审等持续改进活动，使企业的信息安全管理工作得到不断的完善和提高。信息安全的最大挑战在于必须面对各种各样的威胁源、不断更新和不可预知的方法、在不确定的时间对企业重要信息资产产生破坏，所以必须要有能够进行持续改善的绩效管理。

3.实施、运行ISMS需要注意的问题

4.1 提高风险意识，加强安全组织建设工作；以风险评估为基础，提高风险管理的有效性；队总体经营目标为核心，制定科学的安全管理策略；通过对企业安全管理流程及标准的建立，完善企业的安全运维体系及响应机制。

4.2 提高行业信息化管理水平，信息安全体系框架构建是关键。而信息安全体系框架构建必须管理、技术两者双管齐下。

4.3 循序渐进，动态管理。信息安全体系建设并不是一蹴而就的，是分步实施、循序渐进的过程。定期进行相关的安全评估，注重各层次、各方面、各时期的相互协调、匹配和衔接。根据当前的技术环境和安全意识的深化及时排查、修改、调整相关的安全策略。

篇10

 

移动网络信息的安全管理涉及到的内容比较多，在移动网络对人们的工作生活带来方便的同时，一些网络信息安全问题也逐渐的突出。构建完善化的移动网络信息的安全体系，保障移动网络信息的安全性，是当前移动网络企业发展的重要目标。通过从理论层面加强移动网络信息安全的管理研究，就能有助于从理论层面提供移动网络信息安全的支持。

 

1 移动网络信息安全管理的特征体现以及主要内容

 

1.1 移动网络信息安全管理的特征体现分析

 

移动网络信息的安全管理过程中，有着鲜明特征体现，其中在网络信息安全管理的动态化特征山比较突出。在信息网络的不断发展过程中，对信息安全管理的动态化实施就比较重要。由于网络的更新换代比较快，这就必须在信息安全管理上形成动态化的管理。

 

移动网络信息安全管理的相对化特征上也比较突出，对移动网络的信息安全管理没有绝对可靠的安全管理措施。通过相应的方法手段应用，能有助于对移动网络的信息安全管理的效率提高，在保障性方面能加强，但是不能完善保障信息的安全性。所以在信息安全管理的相对性特征上比较突出。

 

另外，移动网络信息的安全管理天然化以及周期性的特征上也比较突出。移动网络的系统应用中并不是完美的，在受到多方面因素的影响下，就会存在着自然灾害以及错误操作的因素影响，这就对信息安全的管理有着很大威胁。需要对移动网络系统做好更新管理的准备，保障管理工作能够顺利进行。在对系统建设的工作实施上有着周期化特征。

 

1.2 移动网络信息安全管理的主要内容分析

 

加强对移动网络信息的安全管理，就要能充分重视其内容的良好保证，在信息的安全保障上主要涉及到管理方法以及技术应用和法律规范这三个内容。在对移动网络信息的安全管理中，需要员工在信息安全的意识上能加强，在信息安全管理的水平上要能有效提高，在对风险抵御的能力上不断加强。将移动网络信息安全管理的基础性工作能得以有效加强，在服务水平上能有效提高。然后在对移动网络信息安全的管理体系方面进行有效优化，在信息安全管理能力上进行有效提高，对风险评估的工作能妥善实施，这些都是网络信息安全管理的重要内容。

 

2 移动网络信息安全管理问题和应对策略

 

2.1 移动网络信息安全管理问题分析

 

移动网络信息安全管理工作中，会遇到各种各样的问题，网络的自主核心技术的缺乏，就会带来黑客的攻击问题。我国在移动网络的建设过程中，由于在自主核心技术方面比较缺乏，在网络应用的软硬件等都是进口的，所以在系统中就会存在着一些漏洞。黑客会利用这些系统漏洞对网络发起攻击，在信息安全方面受到很大的威胁。

 

再者，移动网络的开放性特征，也使得在具体的网络应用过程中，在网系的渗透攻击问题比较突出。在网络技术标准以及平台的应用下，由于网络渗透因素的影响，就比较容易出现黑客攻击以及恶意软件的攻击等问题，这就对移动网络信息的安全性带来很大威胁。具体的移动网络物理管理和环境的安全管理工作上没有明确职责，在运营管理方面没有加强，对网络访问控制方面没有加强。以及在网络系统的开发维护方面还存在着诸多安全风险。

 

2.2 移动网络信息安全管理优化策略

 

加强移动网络信息安全管理，就要能充分重视从技术层面进行加强和完善。移动网络企业要走自力更生和研发的道路，在移动网络的核心技术以及系统的研发进程上要能加强。对移动网络信息的安全隐患方面要能及时性的消除，将移动网络安全防护的能力有效提高。还要能充分重视对移动网络安全风险的评估妥善实施，构建有效完善的信息系统安全风险评估制度，对潜在的安全威胁加强防御。

 

再者，对移动网络安全监测预警机制要完善建立。保障移动网络信息的安全性，就要能注重对移动网络信息流量以及用户操作和软硬件设备的实时监测。在出现异常的情况下能够及时性的警报。在具体的措施实施上来看，就要能充分重视漏洞扫描技术的应用，对移动网络系统中的软硬件漏洞及时性查找，结合实际的问题来探究针对性的解决方案。对病毒的监测技术加以应用，这就需要对杀毒软件以及防毒软件进行安装，对网络病毒及时性的查杀。

 

将入侵检测技术应用在移动网络信息安全管理中去。加强对入侵检测技术的应用，对可能存在安全隐患的文件进行扫描，及时性的防治安全文件和病毒的侵害。在内容检查工作上也要能有效实施，这就需要在网络信息流的内容上能及时性查杀，对发生泄密以及窃密等问题及时性的报警等。这样对移动网络信息的安全性保障也有着积极作用。

 

另外，为能保障移动网络信息的安全性，就要充分注重移动网络应急机制的完善建立，对网络灾难恢复方案完善制定。在网络遭到了攻击后，能够及时性的分析原因，采取针对性的方法加以应对。这就需要能够部署IPS入侵防护系统进行应用，以及对运用蜜罐技术对移动网络信息安全进行保障。

 

3 结语

 

总而言之，对移动网络信息的安全性得以保障，就要充分注重多方面技术的应用以及管理方法的灵活应用。只有充分重视移动网络信息安全防护体系的构建，对实际的网络信息安全才能有效保障。通过此次的理论研究，希望能有助于从理论层面对移动网络信息安全保障提供支持。

 

作者简介