導(dǎo)語：如何才能寫好一篇企業(yè)信息安全管理體系，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：信息安全管理；網(wǎng)絡(luò)安全；風(fēng)險(xiǎn)評(píng)估

中圖分類號(hào)：TP393.08

隨著信息化技術(shù)的高速發(fā)展和深入應(yīng)用，企業(yè)對(duì)信息系統(tǒng)的依賴性越來越強(qiáng)，絕大部分的業(yè)務(wù)從紙面遷移到信息系統(tǒng)當(dāng)中，如何建立穩(wěn)固的信息安全管理體系已經(jīng)成為各企業(yè)信息管理部門甚至管理層的重要課題。本文將通過對(duì)目前國際信息安全行業(yè)發(fā)展的分析，提出企業(yè)構(gòu)建穩(wěn)固的信息安全管理架構(gòu)，提高信息安全水平的初步構(gòu)想。

1企業(yè)信息安全政策

信息安全政策作為信息安全工作的重中之重，直接展現(xiàn)了企業(yè)的信息安全工作的思路。其應(yīng)當(dāng)由企業(yè)信息安全工作的使命和遠(yuǎn)景，實(shí)施準(zhǔn)則等幾部分組成。

1.1信息安全工作的使命

信息安全工作的核心意義是將企業(yè)所面臨的風(fēng)險(xiǎn)管理至一個(gè)可接受的水平。

當(dāng)前主流的風(fēng)險(xiǎn)控制包含以下四個(gè)步驟：通過風(fēng)險(xiǎn)評(píng)估方法來評(píng)估風(fēng)險(xiǎn)；制定安全策略來降低風(fēng)險(xiǎn)；通過監(jiān)控控制惡意未授權(quán)行為；有效地審計(jì)。

1.2信息安全工作的愿景

安全的企業(yè)信息化環(huán)境可以為任何企業(yè)用戶提供安全便捷的信息化服務(wù)，應(yīng)用，基礎(chǔ)設(shè)施，并保護(hù)用戶的隱私。讓用戶有安全的身份驗(yàn)證；能安全便捷的使用需要的數(shù)據(jù)和應(yīng)用資源；保證通訊和數(shù)據(jù)的保密性；明確自身的角色，了解角色在企業(yè)中的信息安全責(zé)任；身邊出現(xiàn)的信息安全風(fēng)險(xiǎn)和威脅能得到迅速響應(yīng)。

要達(dá)到上述目的，企業(yè)需要進(jìn)行有效的風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)管理是一個(gè)識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)的過程。在這個(gè)過程中，需要權(quán)衡降低風(fēng)險(xiǎn)的成本和業(yè)務(wù)的需求，確定風(fēng)險(xiǎn)的優(yōu)先級(jí)別，為管理層的決策提供有效的支持。

1.3信息安全準(zhǔn)則

信息安全準(zhǔn)則是風(fēng)險(xiǎn)評(píng)估和制定最優(yōu)解決方案的關(guān)鍵，優(yōu)秀的信息安全準(zhǔn)則包括：根據(jù)企業(yè)業(yè)務(wù)目標(biāo)執(zhí)行風(fēng)險(xiǎn)管理；有組織的確定員工角色和責(zé)任；對(duì)用戶和數(shù)據(jù)實(shí)行最小化權(quán)限管理；在應(yīng)用和系統(tǒng)的計(jì)劃和開發(fā)過程中就考慮安全防護(hù)的問題；在應(yīng)用中實(shí)施逐層防護(hù)；建立高度集成的安全防護(hù)框架；將監(jiān)控、審計(jì)和快速反應(yīng)結(jié)合為一體。

良好信息安全準(zhǔn)則可以讓企業(yè)內(nèi)外部用戶了解企業(yè)信息安全理念，從而讓企業(yè)信息管理部門更好地對(duì)風(fēng)險(xiǎn)進(jìn)行管控。

2企業(yè)信息安全管理的主要手段

2.1網(wǎng)絡(luò)安全

（1）保證安全的外部人員連接。在日常工作中，外部合作伙伴經(jīng)常會(huì)提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求，由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標(biāo)準(zhǔn)，因此存在信息安全隱患?？刂拼祟愶L(fēng)險(xiǎn)的手段主要有：對(duì)用戶賬戶使用硬件KEY等強(qiáng)驗(yàn)證手段；全面管控外部單位的網(wǎng)絡(luò)接入等。

（2）遠(yuǎn)程接入控制。隨著VPN[2-3]技術(shù)的不斷發(fā)展，遠(yuǎn)程接入的風(fēng)險(xiǎn)已降低到企業(yè)的可控范圍，而近年來移動(dòng)辦公的興起更是推動(dòng)了遠(yuǎn)程接入技術(shù)的發(fā)展。企業(yè)采用USB KEY，動(dòng)態(tài)口令牌等硬件認(rèn)證方式的遠(yuǎn)程接入要更加的安全。

（3）網(wǎng)絡(luò)劃分。在過去，企業(yè)內(nèi)部以開放式的網(wǎng)絡(luò)為主。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)信息技術(shù)的成熟，非受控終端給企業(yè)內(nèi)網(wǎng)帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業(yè)網(wǎng)絡(luò)的路徑。信息管理部門可以利用IPSec[4]技術(shù)有效提高企業(yè)網(wǎng)絡(luò)安全，實(shí)現(xiàn)對(duì)位于公司防火墻內(nèi)部終端的完全管控。

（4）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)作為防火墻的補(bǔ)充，主要用于監(jiān)控網(wǎng)絡(luò)傳輸，在檢測(cè)到可疑傳輸行為時(shí)報(bào)警。作為企業(yè)信息安全架構(gòu)的必備設(shè)備，入侵檢測(cè)系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為，隨著信息技術(shù)的發(fā)展，各大安全廠商如賽門鐵克，思科等均研發(fā)出來成熟的入侵檢測(cè)系統(tǒng)產(chǎn)品。

（5）無線網(wǎng)絡(luò)安全。無線網(wǎng)絡(luò)現(xiàn)在已遍布企業(yè)的辦公區(qū)域，給企業(yè)和用戶帶來便利的同時(shí)也存在信息安全的隱患。要保證企業(yè)內(nèi)部無線網(wǎng)絡(luò)的安全，信息管理部門需要使用更新更安全的協(xié)議（如無線保護(hù)接入WPA或WPA2）；使用VLAN劃分和域提供互相隔離的無線網(wǎng)絡(luò)；利用802.1x和EAP技術(shù)加強(qiáng)對(duì)無線網(wǎng)絡(luò)的訪問控制。

2.2訪問控制

（1）密碼策略。高強(qiáng)度的密碼需要幾年時(shí)間來破解，而脆弱的密碼在一分鐘內(nèi)就可以被破解。提高企業(yè)用戶的密碼強(qiáng)度是訪問控制的必要手段。為避免弱密碼可能對(duì)公司造成的危害，企業(yè)必須制定密碼策略并利用技術(shù)手段保證執(zhí)行。

（2）用戶權(quán)限管理。企業(yè)的員工從進(jìn)入公司到離職是一個(gè)完整的生命周期，要便捷有效地在這個(gè)生命周期中對(duì)員工的權(quán)限進(jìn)行管理，需要企業(yè)具有完善的身份管理平臺(tái)，從而實(shí)現(xiàn)授權(quán)流程的自動(dòng)化，并實(shí)現(xiàn)企業(yè)內(nèi)應(yīng)用的單點(diǎn)登陸。

（3）公鑰系統(tǒng)[5]。公鑰系統(tǒng)是訪問控制乃至信息安全架構(gòu)的核心模塊，無線網(wǎng)絡(luò)訪問授權(quán)，VPN接入，文件加密系統(tǒng)等均可以通過公鑰系統(tǒng)提升安全水平，因此企業(yè)應(yīng)當(dāng)部署PKI/CA系統(tǒng)。

2.3監(jiān)控與審計(jì)

（1）病毒掃描與補(bǔ)丁管理。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng)，在終端定期更新病毒定義，進(jìn)行病毒自掃描，自動(dòng)更新操作系統(tǒng)補(bǔ)丁，以減少桌面終端的安全風(fēng)險(xiǎn)。此類管控手段通常需要在用戶的終端上安裝客戶端，或?qū)K端進(jìn)行定制，在終端接入企業(yè)內(nèi)網(wǎng)時(shí)，終端管理系統(tǒng)會(huì)在隔離區(qū)域?qū)υ摻K端進(jìn)行綜合評(píng)估打分，通過評(píng)估后方能接入內(nèi)網(wǎng)。才能保證系統(tǒng)的安全策略被有效執(zhí)行。

（2）惡意軟件防控。主流的惡意軟件防控體系主要由五部分構(gòu)成：防病毒系統(tǒng)；內(nèi)容過濾網(wǎng)關(guān)；郵件過濾網(wǎng)關(guān)；惡意網(wǎng)頁過濾網(wǎng)關(guān)和入侵檢測(cè)軟件。

（3）安全事件記錄和審計(jì)。企業(yè)應(yīng)當(dāng)配置日志審計(jì)系統(tǒng)，收集信息安全事件，產(chǎn)生審計(jì)記錄，根據(jù)記錄進(jìn)行安全事件分析，并采取相應(yīng)的處理措施。

2.4培訓(xùn)與宣傳

提高企業(yè)管理層和員工的信息安全意識(shí)，是信息安全管理工作的基礎(chǔ)。了解信息安全的必要性，管理層才會(huì)支持信息安全管理建設(shè)，用戶才會(huì)配合信息管理部門工作。利用定期培訓(xùn)，宣傳海報(bào)，郵件等方式定期反復(fù)對(duì)企業(yè)用戶進(jìn)行信息安全培訓(xùn)和宣傳，能有效提高企業(yè)信息安全管理水平。

3總結(jié)

當(dāng)前，越來越多的企業(yè)已經(jīng)把信息安全看做影響業(yè)務(wù)發(fā)展的核心因素之一，信息安全管理已經(jīng)成為企業(yè)管理的重點(diǎn)。本文對(duì)信息安全政策，安全管理手段等方面進(jìn)行了剖析，結(jié)合當(dāng)前國際主流的信息安全解決辦法，為企業(yè)做好，做強(qiáng)信息安全管理體系給出了一些通用性的標(biāo)準(zhǔn)，對(duì)企業(yè)構(gòu)建信息安全管理體系，消除信息安全隱患，避免信息安全事件造成的損失，確保信息系統(tǒng)安全、穩(wěn)定運(yùn)行具有探索意義。

參考文獻(xiàn)：

[1]何劍虹,白曉穎,李潤玲,崔智社.基于SLA的面向服務(wù)的基礎(chǔ)設(shè)施[J].電訊技術(shù),2011,51(9):100-105.

[2]胡道元,閡京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.

[3]戴宗坤,唐三平.VPN與網(wǎng)絡(luò)安全[M].北京:電子工業(yè)出版社,2002.

篇2

關(guān)鍵詞：新時(shí)期；煤礦企業(yè)；安全管理；問題；

安全管理的重點(diǎn)關(guān)注內(nèi)容為安全生產(chǎn)，這也是當(dāng)前煤礦企業(yè)發(fā)展探究的熱門、重點(diǎn)話題。對(duì)于煤礦企業(yè)而言，安全生產(chǎn)不僅關(guān)系著企業(yè)的正常運(yùn)行，還關(guān)系著群眾的生命，關(guān)系著煤礦工人家屬一家團(tuán)圓的期待。由此可見，做好煤礦企業(yè)的安全生產(chǎn)管理能夠讓企業(yè)沿著良性模式發(fā)展，并實(shí)現(xiàn)科學(xué)化、標(biāo)準(zhǔn)化管理，最終來達(dá)到提升企業(yè)經(jīng)濟(jì)效益的目的，促進(jìn)社會(huì)和諧發(fā)展。

一、煤礦企業(yè)安全管理方面的弊端

（一）安全管理意識(shí)淡薄

在新時(shí)期，隨著煤礦企業(yè)的發(fā)展，煤礦企業(yè)越來越重視企業(yè)之間的競(jìng)爭(zhēng)力與收入狀況，

卻忽視了發(fā)展過程中的安全生產(chǎn)，在安全生產(chǎn)上面的宣傳和重視力度不足，未正確認(rèn)識(shí)到經(jīng)濟(jì)收入與安全生產(chǎn)、企業(yè)發(fā)展三者之間的關(guān)系，當(dāng)安全與生產(chǎn)二者處于矛盾對(duì)立狀態(tài)時(shí)，企業(yè)內(nèi)通常是將生產(chǎn)放在首位，他們認(rèn)為只有多出煤才能提升企業(yè)的經(jīng)濟(jì)收入，才能推動(dòng)企業(yè)發(fā)展，員工才能有錢可賺，而安全管理意識(shí)卻較淡薄。

（二）安全管理制度體系欠完善

部分煤礦企業(yè)內(nèi)部的安全生產(chǎn)責(zé)任制還未完善，在履行安全管理上面的條款落實(shí)度不夠，

可操作性差，可考核性不高。部門與部門之間在安全管理方面的協(xié)調(diào)性不足，缺乏交流、溝通，煤礦企業(yè)在生產(chǎn)時(shí)，由于缺乏健全的管理制度，以及先進(jìn)的管理手段企業(yè)安全管理則存在弊端。

（三）煤礦企業(yè)技術(shù)人員不足

新時(shí)期，煤礦企業(yè)之間的競(jìng)爭(zhēng)力相當(dāng)大，企業(yè)之間的管理人員、技術(shù)性人才的流動(dòng)性很嚴(yán)重，剛從學(xué)校畢業(yè)的大學(xué)生根本不愿到一線地區(qū)實(shí)踐、工作，不了解這個(gè)煤礦開采的程序，無法委以重任，企業(yè)內(nèi)高技術(shù)、高能力人才不足。就一線煤礦工人而言，絕大部分為農(nóng)民，人員之間存在著較嚴(yán)重的流動(dòng)性、松散型，他們的文化知識(shí)較低，安全知識(shí)認(rèn)識(shí)掌握不足，致使煤礦企業(yè)的安全工作很難落實(shí)到位[1]。

（四）安全培訓(xùn)工作不到位

大部分煤礦企業(yè)內(nèi)都未對(duì)內(nèi)部煤礦工人定期開展安全生產(chǎn)的安全知識(shí)宣傳與培訓(xùn)工作，使得一線開采工人安全意識(shí)淡薄，不懂得如何來保護(hù)自己，讓自己遠(yuǎn)離危險(xiǎn)，即便是安全培訓(xùn)，更多的也只是口頭傳授，教育與培訓(xùn)形式單調(diào)，培訓(xùn)的內(nèi)容未付諸實(shí)踐，實(shí)踐性不強(qiáng)，很多企業(yè)就是為培訓(xùn)而培訓(xùn)，應(yīng)付工作，走過場(chǎng)。

（五）缺乏一整套完善的有效的獎(jiǎng)懲制度

很多煤礦企業(yè)內(nèi)在安全管理方面缺乏一整套完善的有效的獎(jiǎng)懲制度。因?yàn)楠?jiǎng)懲工作做的不到位，或是獎(jiǎng)懲制度不平衡，從企業(yè)的獎(jiǎng)懲制度來看，在獎(jiǎng)勵(lì)方面的條款較少，懲罰方面的則較多，對(duì)于管理者來講，懲罰制度的制定與落實(shí)是約束人們行為的一種方法，但是對(duì)于部分人群來講，則會(huì)激起他們與企業(yè)管理人的叛逆、對(duì)抗心理。與此同時(shí)，部分企業(yè)內(nèi)在獎(jiǎng)懲上面時(shí)效性不強(qiáng)，獎(jiǎng)懲不及時(shí)也就降低了安全生產(chǎn)管理工作的實(shí)踐性。

二、新時(shí)期應(yīng)如何做好煤礦企業(yè)的安全管理工作

（一）提升煤礦企業(yè)管理各部門的安全管理意識(shí)

安全管理理念屬于煤礦企業(yè)展開安全生產(chǎn)管理的基本指導(dǎo)思想，也是提升也經(jīng)濟(jì)效益的關(guān)鍵點(diǎn)。在實(shí)踐過程中提升企業(yè)內(nèi)各部門之間之間的溝通，聯(lián)系，讓企業(yè)各部門工作人員都具備較強(qiáng)的安全生產(chǎn)意識(shí)，不斷完善企業(yè)內(nèi)的安全質(zhì)量量化目標(biāo)體系[2]。與此同時(shí)，企業(yè)內(nèi)還可實(shí)行安全監(jiān)督體系，在崗的所有人員可自行監(jiān)督或相互監(jiān)督，以防止安全事故的發(fā)生。對(duì)于企業(yè)內(nèi)已有的安全管理法，還需不斷創(chuàng)新、不斷完善，使其更加滿足新時(shí)期提出的新條件、新要求。

（二）組建科學(xué)的安全管理系統(tǒng)

煤礦企業(yè)必須在“以人為本”的基礎(chǔ)上，組建科學(xué)的安全管理系統(tǒng)，并與現(xiàn)代化計(jì)算機(jī)技術(shù)結(jié)合起來，將現(xiàn)代化的計(jì)算機(jī)主動(dòng)技術(shù)與網(wǎng)絡(luò)技術(shù)均應(yīng)用到安全管理系統(tǒng)中，創(chuàng)建一整套科學(xué)、安全、可行的動(dòng)態(tài)信息監(jiān)測(cè)系統(tǒng)，來對(duì)煤礦一線工作人員進(jìn)行監(jiān)測(cè)和管理，能夠詳細(xì)的、全面的了解工作人員的情況，并分析事故致因，消除和預(yù)防各類安全事故。

（三）定期組織和開展安全培訓(xùn)工作

煤礦企業(yè)在安全培訓(xùn)上面應(yīng)始終堅(jiān)持“投資少、收獲多、回報(bào)高”的原則，對(duì)企業(yè)內(nèi)所有員工定期組織和開展安全培訓(xùn)工作，提升企業(yè)工作人員的安全管理意識(shí)，進(jìn)一步強(qiáng)化企業(yè)內(nèi)工作人員的教育、培訓(xùn)工作，培訓(xùn)之后還需將培訓(xùn)內(nèi)容付諸實(shí)踐，工作人員應(yīng)根據(jù)培訓(xùn)中要求的安全操作規(guī)程操作，做到遵章守紀(jì)、不違規(guī)，確保企業(yè)正常運(yùn)營。

（四）健全、完善煤礦企業(yè)的安全檢查制

安全生產(chǎn)是煤礦企業(yè)發(fā)展的核心。所以，煤礦企業(yè)需制定出更加符合自己企業(yè)發(fā)展需要的安全管理措施，地方煤礦局負(fù)責(zé)人與地方政府需強(qiáng)化對(duì)煤礦的安全監(jiān)督檢查工作。在企業(yè)內(nèi)部實(shí)行責(zé)任制，將責(zé)任落實(shí)到人頭，并成立相應(yīng)的安全監(jiān)管小組，定期對(duì)小組安全管理工作進(jìn)行考核、評(píng)價(jià)，推動(dòng)煤礦企業(yè)的全面發(fā)展。

（五）健全、完善煤礦企業(yè)的獎(jiǎng)懲制度

煤礦企業(yè)內(nèi)還需不斷完善內(nèi)部獎(jiǎng)懲制度，確保獎(jiǎng)懲制度的平衡性，并提升獎(jiǎng)懲制度的時(shí)效性，對(duì)于應(yīng)該獎(jiǎng)勵(lì)的行為還應(yīng)及時(shí)給予獎(jiǎng)勵(lì)，但是對(duì)于一些違規(guī)違紀(jì)事件，就應(yīng)及時(shí)作出批評(píng)和懲罰，確保煤礦企業(yè)獎(jiǎng)懲工作落實(shí)到位。

（六）加大安全管理資金投入，在煤礦企業(yè)內(nèi)營造良好安全文化氛圍

企業(yè)還應(yīng)加大在安全管理方面的資金投入，并合理運(yùn)用所投入資金來進(jìn)行系統(tǒng)安全建設(shè)、設(shè)備維修工作，定期組織人員檢查煤礦企業(yè)內(nèi)所有生產(chǎn)設(shè)備，看其設(shè)備零件有無松動(dòng)、脫落現(xiàn)象，有無設(shè)備老化現(xiàn)象，一旦發(fā)現(xiàn)問題，應(yīng)立即維修，對(duì)于部分老化設(shè)備應(yīng)及時(shí)更換，確保工作人員能安全生產(chǎn)，減少因設(shè)備問題而帶來嚴(yán)重安全事故，在煤礦企業(yè)內(nèi)營造良好安全文化氛圍[3]。

總之，近年來，煤礦安全事故發(fā)生率不斷提升，各大煤礦企業(yè)都應(yīng)在安全生產(chǎn)上面引起高度重視，總結(jié)各起煤礦安全事故發(fā)生原因，不斷完善企業(yè)內(nèi)的煤礦安全管理相關(guān)制度體系，全面做好煤礦企業(yè)的安全管理工作，促進(jìn)煤礦企業(yè)的全面發(fā)展。

參考文獻(xiàn)

[1] 龐柒，阮平南.基于可拓學(xué)理論的煤礦企業(yè)安全風(fēng)險(xiǎn)預(yù)控評(píng)價(jià)體系研究[J].管理現(xiàn)代化，2014（2）：99-101.

篇3

關(guān)鍵詞：物理安全 信息管理 信息安全

一、引言

目前，現(xiàn)代企業(yè)信息安全管理面臨著各種挑戰(zhàn)，包括企業(yè)機(jī)密信息的竊取、企業(yè)業(yè)務(wù)信息系統(tǒng)的癱瘓等。企業(yè)正常運(yùn)行管理的突然中斷，都會(huì)給企業(yè)帶來不可預(yù)計(jì)的損失，甚至對(duì)企業(yè)造成嚴(yán)重的負(fù)面影響。為了有效保證企業(yè)業(yè)務(wù)運(yùn)行管理的持續(xù)性，對(duì)于突發(fā)事件有充分的準(zhǔn)備措施和應(yīng)急相應(yīng)，就必須對(duì)企業(yè)運(yùn)行管理進(jìn)行集中統(tǒng)一的協(xié)調(diào)和調(diào)度。

物理安全信息管理系統(tǒng)指的是采用先進(jìn)的現(xiàn)代管理技術(shù)，以及計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和通信技術(shù)等，對(duì)企業(yè)不同安全防范設(shè)備進(jìn)行有效整合連接，按照預(yù)先設(shè)定的組織策略提供物理安全信息管理解決方案。物理安全信息管理系統(tǒng)能夠?qū)崿F(xiàn)實(shí)時(shí)監(jiān)控、即時(shí)通信和決策支持功能，對(duì)企業(yè)發(fā)生的各種安全事件進(jìn)行迅速反應(yīng)，因此，該系統(tǒng)被廣泛地應(yīng)用于大型企業(yè)、高等院校和城市基礎(chǔ)設(shè)施建設(shè)管理中。

物理安全信息管理平臺(tái)能夠提供視頻實(shí)時(shí)監(jiān)控、應(yīng)急報(bào)警、對(duì)講通信等功能。因此，該平臺(tái)屬于實(shí)體性的企業(yè)信息安全管理系統(tǒng)。物理安全信息管理系統(tǒng)包括一個(gè)應(yīng)用平臺(tái)和部分軟件程序，通過與企業(yè)已經(jīng)部署的信息安全管理設(shè)備相互連接，對(duì)其相關(guān)安全事件進(jìn)行收集與處理，幫助企業(yè)信息安全管理人員解決安全事故。一般情況下，物理安全信息管理系統(tǒng)可以實(shí)現(xiàn)不同用戶通過同一平臺(tái)對(duì)不同子系統(tǒng)的管理，將信息及時(shí)傳遞給平臺(tái)的其他接收者，使全部終端用戶可以利用同一信息提出控制管理策略。

二、企業(yè)物理安全信息管理系統(tǒng)的整體結(jié)構(gòu)

物理安全信息管理系統(tǒng)包括系統(tǒng)數(shù)據(jù)層、系統(tǒng)訪問接入層和物理安全信息管理平臺(tái)，屬于多層次、多結(jié)構(gòu)的應(yīng)用系統(tǒng)。系統(tǒng)數(shù)據(jù)層是整個(gè)系統(tǒng)安全管理的核心部分，主要包括三種數(shù)據(jù)操作：

（1）通過系統(tǒng)的API接口、OPC接口與企業(yè)消防安全系統(tǒng)、網(wǎng)絡(luò)安防系統(tǒng)、自動(dòng)化生產(chǎn)系統(tǒng)等相互連接，實(shí)時(shí)獲取數(shù)據(jù)信息，以供系統(tǒng)功能模塊的調(diào)用。

（2）利用系統(tǒng)數(shù)據(jù)信息的整合功能與數(shù)據(jù)庫連接，發(fā)揮系統(tǒng)數(shù)據(jù)資源的最大價(jià)值。

（3）由系統(tǒng)統(tǒng)一安排數(shù)據(jù)信息的采集、共享和操作，對(duì)數(shù)據(jù)庫進(jìn)行標(biāo)準(zhǔn)化的存儲(chǔ)、傳輸和處理行為，以此為系統(tǒng)提供最科學(xué)的數(shù)據(jù)信息，提高系統(tǒng)業(yè)務(wù)數(shù)據(jù)分析與處理的能力。

系統(tǒng)訪問接入層主要是利用系統(tǒng)支持的通信方式，為系統(tǒng)控制中心提供所需數(shù)據(jù)信息，控制中心反饋的調(diào)度信號(hào)。系統(tǒng)通過CTI接口與企業(yè)網(wǎng)絡(luò)通信系統(tǒng)、IP電話系統(tǒng)、實(shí)時(shí)監(jiān)控系統(tǒng)相互連接，共同完成控制中心的實(shí)時(shí)指揮和調(diào)度。同時(shí)，利用GPRS、WLAN等網(wǎng)絡(luò)通信方式與用戶移動(dòng)終端連接，實(shí)現(xiàn)對(duì)企業(yè)生產(chǎn)現(xiàn)場(chǎng)的視頻監(jiān)控和處理，隨時(shí)完成命令的下達(dá)。

物理安全信息管理平臺(tái)是企業(yè)控制中心的關(guān)鍵部分，主要負(fù)責(zé)實(shí)現(xiàn)事件管理工作，該平臺(tái)由多個(gè)智能引擎和中間件進(jìn)行支撐與實(shí)現(xiàn)，對(duì)安全策略、界面顯示、決策支持、用戶權(quán)限、消息內(nèi)容等進(jìn)行管理。

三、物理安全信息管理平臺(tái)架構(gòu)設(shè)計(jì)

物理安全信息管理系統(tǒng)的安全管理平臺(tái)應(yīng)用軟件是系統(tǒng)核心部分，本文基于JAVA EE平臺(tái)，提出了企業(yè)級(jí)的物理安全信息管理平臺(tái)設(shè)計(jì)方案。該平臺(tái)軟件體系包括五個(gè)層次，分別是客戶層、表示層、邏輯層、數(shù)據(jù)層和支持層。其中，每一層的應(yīng)用程序都是基于下一層提供的應(yīng)用服務(wù)基礎(chǔ)上實(shí)現(xiàn)的。

（1）客戶層

系統(tǒng)采用基于B/S的架構(gòu)模式，由客戶端為系統(tǒng)終端管理員提供交互服務(wù)。由系統(tǒng)Web瀏覽器利用HTTP協(xié)議、HTTPS協(xié)議與系統(tǒng)表示層實(shí)現(xiàn)數(shù)據(jù)交互，輸出系統(tǒng)表示層反饋的數(shù)據(jù)信息。HTML頁面執(zhí)行的是JAVA源代碼，只要將Web瀏覽器配置于客戶端，就可以實(shí)現(xiàn)數(shù)據(jù)交互，必要時(shí)安裝其他Web瀏覽器插件。

（2）表示層

表示層負(fù)責(zé)接收系統(tǒng)Web瀏覽器提出的請(qǐng)求，并將數(shù)據(jù)信息傳遞給系統(tǒng)邏輯層，同時(shí)傳送到Web服務(wù)器中，由其負(fù)責(zé)運(yùn)行JSP頁面，調(diào)用相關(guān)組件實(shí)現(xiàn)數(shù)據(jù)信息的接受收傳遞。

（3）業(yè)務(wù)邏輯層

業(yè)務(wù)邏輯層是物理安全信息管理系統(tǒng)的核心部分，負(fù)責(zé)接受和處理表示層傳遞的數(shù)據(jù)信息，并將處理結(jié)果反饋給表示層。業(yè)務(wù)邏輯層部署了Enterprise Bean等相關(guān)組件，由其對(duì)數(shù)據(jù)運(yùn)算進(jìn)行有力支持，最終與JDBC接口實(shí)現(xiàn)與數(shù)據(jù)層的交互。

（4）數(shù)據(jù)層

本文提出的物理安全信息管理系統(tǒng)采用Oracle數(shù)據(jù)庫系統(tǒng)，實(shí)現(xiàn)多種類型數(shù)據(jù)信息統(tǒng)一存儲(chǔ)和管理，企業(yè)全部業(yè)務(wù)數(shù)據(jù)信息都存儲(chǔ)于Oracle數(shù)據(jù)庫系統(tǒng)中。

（5）支持層

支持層主要負(fù)責(zé)為系統(tǒng)相關(guān)服務(wù)器提供通信協(xié)議和操作系統(tǒng)的支持，可適用于Linux操作系統(tǒng)、Unix操作系統(tǒng)和Windows操作系統(tǒng)，以上系統(tǒng)都配置了網(wǎng)絡(luò)通信協(xié)議，能夠?qū)崿F(xiàn)客戶端與服務(wù)器的數(shù)據(jù)信息交互。

綜上所述，安全科學(xué)管理屬于新興學(xué)科，同時(shí)融合了其他學(xué)科的知識(shí)，隨著企業(yè)對(duì)安全管理的進(jìn)一步認(rèn)識(shí)和重視，社會(huì)各個(gè)領(lǐng)域?qū)Π踩茖W(xué)管理的關(guān)注程度不斷提升。本文基于以上背景提出了企業(yè)物理安全信息管理系統(tǒng)設(shè)計(jì)方案，能夠有效幫助企業(yè)提高信息安全管理的工作效率，具有良好的應(yīng)用前景。

參考文獻(xiàn)：

[1]李釗，彭勇，謝豐，高洋，陳冬青，徐國愛.信息物理系統(tǒng)安全威脅與措施[N].清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2012，10：1482-1487.

篇4

關(guān)鍵詞:電信企業(yè)；信息安全；風(fēng)險(xiǎn)防控；管理體系；建設(shè)；研究

一、電信企業(yè)信息管理的現(xiàn)狀與作用

(一)電信企業(yè)信息管理體系的現(xiàn)狀

隨著社會(huì)的發(fā)展，無論是個(gè)人還是企業(yè)，都越來越離不開科學(xué)技術(shù)。這也導(dǎo)致科技所引發(fā)的信息安全管理體系的問題出現(xiàn)。1、針對(duì)信息安全管理體系的建設(shè)沒有創(chuàng)建出專門的管理機(jī)構(gòu)由于在信息管理方面，企業(yè)沒有一個(gè)系統(tǒng)的較為權(quán)威的管理部門及相關(guān)組織，其管理權(quán)限分散在建設(shè)、運(yùn)維、系統(tǒng)支撐、市場(chǎng)等部門，在很大程度上致使企業(yè)信息管理中的相關(guān)法規(guī)得不到正常有效的運(yùn)行。2、未能充分的考慮企業(yè)相關(guān)管理部門與信息安全管理體系的建設(shè)完善由于電信企業(yè)的特殊性，在具體的信息安全建設(shè)管理中，信息體系建設(shè)和信息安全管理的工作不夠協(xié)調(diào)，使得企業(yè)在信息安全管理的相關(guān)工作上沒法進(jìn)行積極主動(dòng)實(shí)施，導(dǎo)致了企業(yè)信息安全管理體系建設(shè)工作的沒能與相關(guān)體系升級(jí)換代同步進(jìn)行。3、企業(yè)信息管理建設(shè)滯后對(duì)于相關(guān)部門而言，信息安全管理常常局限于使用比較局部的安全產(chǎn)品進(jìn)行保障，這樣就容易形成被動(dòng)的使用相關(guān)辦法來應(yīng)對(duì)信息安全的漏洞風(fēng)險(xiǎn)，導(dǎo)致此類方法嚴(yán)重缺乏科學(xué)性，而且由于使用范圍的局限，從而也不完全能夠抵御安全問題給企業(yè)所帶來的運(yùn)營風(fēng)險(xiǎn)。

(二)企業(yè)信息安全管理的作用

信息安全管理體系的建設(shè)是對(duì)企業(yè)來說非常重要，尤其是電信企業(yè)，通過信息安全管理體系的建設(shè)，不僅有利于提高相關(guān)部門的工作人員的信息安全意識(shí)，而且還能夠加強(qiáng)對(duì)信息安全的管理組織的規(guī)范管理，通過充分有效的安全信息維護(hù)，能夠幫助企業(yè)在信息管理受到嚴(yán)重威脅時(shí)可以及時(shí)消除風(fēng)險(xiǎn)，從而維護(hù)國家、企業(yè)、廣大用戶的切身利益，確保電信企業(yè)在國家信息建安全戰(zhàn)略中的中流砥柱作用。

二、電信企業(yè)信息管理建設(shè)的有效方法

(一)制定有效的信息管理計(jì)劃

在企業(yè)管理中，有效的信息安全管理，是企業(yè)發(fā)展的前提；信息管理建設(shè)需要有效的策劃：1、教育培訓(xùn)在企業(yè)管理中，做好教育培訓(xùn)工作是非常重要的，通過相關(guān)培訓(xùn)，不但能夠提高相關(guān)人員的安全信息管理意識(shí)，強(qiáng)化相關(guān)人員實(shí)際操作能力，而且還可以為信息管理體系吸引大量的相關(guān)人才。2、制定信息安全管理計(jì)劃制定管理的相關(guān)計(jì)劃是企業(yè)發(fā)展中的關(guān)鍵環(huán)節(jié)，所以，為了企業(yè)的可持續(xù)發(fā)展，相關(guān)部門需要制定信息管理體系建設(shè)的標(biāo)準(zhǔn)，擬定相關(guān)計(jì)劃。

(二)電信企業(yè)信息管理建設(shè)的范圍

對(duì)于一個(gè)企業(yè)來說，確定信息管理體系的范圍是非常重要的，其需要相關(guān)部門人員根據(jù)實(shí)際情況來進(jìn)行重點(diǎn)有效的管理，這個(gè)管理的范圍就是安全管理體系的范圍。這一范圍還可分為整體范圍與個(gè)別信息安全管理范圍，通過不同的部門可對(duì)管理組織進(jìn)行劃分，并在一定的程度上進(jìn)行不同力度的管理。就電信企業(yè)而言，主要涉及企業(yè)信息管理和用戶信息管理，其安全體系建設(shè)貫穿在企業(yè)運(yùn)行的全過程。

(三)建立企業(yè)信息管理框架

對(duì)一個(gè)企業(yè)而言，企業(yè)的信息管理必須建立起一個(gè)嚴(yán)格的管理模式。具體步驟如下：1、信息安全管理體制的計(jì)劃在規(guī)劃信息安全管理體系時(shí)，首先的一個(gè)步驟就是對(duì)企業(yè)的信息安全管理有一個(gè)明確的計(jì)劃。這樣一來不僅能夠?qū)罄m(xù)工作做了一個(gè)提前的準(zhǔn)備，有利于建立管理機(jī)構(gòu)，而且還能夠?qū)芾淼呢?zé)任做出明確的規(guī)定，能夠更好的確立管理目標(biāo)，評(píng)估管理風(fēng)險(xiǎn)。2、企業(yè)信息安全管理的實(shí)施有了一定的企業(yè)信息安全管理體系的計(jì)劃，接下來的一個(gè)重要步驟就是計(jì)劃的實(shí)施過程，過程主要有信息安全管理方法應(yīng)用和相關(guān)措施落實(shí)等。3、企業(yè)信息安全管理體制的檢查這個(gè)階段的工作開展要做好充分的準(zhǔn)備，因?yàn)檫@一階段是整個(gè)計(jì)劃的關(guān)鍵階段，主要通過審計(jì)、自我評(píng)估或借助第三方審核等方法來對(duì)計(jì)劃實(shí)施的效果進(jìn)行審查。

三、結(jié)束語

綜上所述，“我國電信運(yùn)營企業(yè)的信息安全風(fēng)險(xiǎn)無處不在，安全形勢(shì)日益嚴(yán)峻，迫切需要系統(tǒng)、科學(xué)、有效的信息安全風(fēng)險(xiǎn)管理體系理論指導(dǎo)管理工作實(shí)踐。”通過本文，我們了解到我國電信企業(yè)的信息安全管理體系方面的現(xiàn)狀以及信息安全管理的重要性，通過相關(guān)部門的共同努力，切實(shí)提高信息安全管理水平，維護(hù)好國家安全和公共利益安全，為建設(shè)信息化強(qiáng)國做出應(yīng)有的貢獻(xiàn)。

參考文獻(xiàn):

[1]鄭敏.關(guān)于信息安全管理體系建設(shè)的研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014

[2]曾劍秋,程廣煥,楊萌柯.電信運(yùn)營企業(yè)信息安全風(fēng)險(xiǎn)管理體系研究[J].科技管理研究,2016

篇5

衡量安全管理體系的風(fēng)險(xiǎn)主要方法是進(jìn)行信息安全風(fēng)險(xiǎn)的評(píng)估，以此保障信息資產(chǎn)清單和風(fēng)險(xiǎn)級(jí)別，進(jìn)而確定相應(yīng)的防控措施。在石化銷售企業(yè)進(jìn)行信息安全風(fēng)險(xiǎn)的評(píng)估過程中，主要通過資金、威脅、安全性等識(shí)別美容對(duì)風(fēng)險(xiǎn)進(jìn)行安全檢測(cè)，同時(shí)結(jié)合企業(yè)自身的實(shí)際情況，擬定風(fēng)險(xiǎn)控制相應(yīng)的對(duì)策，把企業(yè)內(nèi)的信息安全風(fēng)險(xiǎn)竟可能下降到最低水平。

（一）物理存在的風(fēng)險(xiǎn)機(jī)房環(huán)境和硬件設(shè)備是主要的的物理風(fēng)險(xiǎn)。當(dāng)前，部分企業(yè)存在的風(fēng)險(xiǎn)有：1）企業(yè)機(jī)房使用年限過長，如早期的配電、布線等設(shè)計(jì)標(biāo)準(zhǔn)陳舊，無法滿足現(xiàn)在的需求；2）機(jī)房使用的裝備年限太長、例如中央空調(diào)老化，制冷效果不佳導(dǎo)致溫度不達(dá)標(biāo)，UPS電源續(xù)航能力下降嚴(yán)重，門禁系統(tǒng)損壞等，存在風(fēng)險(xiǎn)；3）機(jī)房安全防護(hù)設(shè)施不齊全，存在風(fēng)險(xiǎn)。

（二）網(wǎng)絡(luò)和系統(tǒng)安全存在的風(fēng)險(xiǎn)石化訪問系統(tǒng)的使用和操作大量存在安全風(fēng)險(xiǎn)，其中主要風(fēng)險(xiǎn)包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統(tǒng)安全隱患等。即使大部分企業(yè)已安裝統(tǒng)一的網(wǎng)絡(luò)防病毒體系、硬件防火墻、按期更新網(wǎng)絡(luò)系統(tǒng)軟件、安裝上網(wǎng)行為監(jiān)控等，但因?yàn)橄到y(tǒng)漏洞數(shù)目不斷增多網(wǎng)絡(luò)結(jié)構(gòu)和襲擊逐漸減弱或者因?yàn)樾畔⑾到y(tǒng)使用人員操作系統(tǒng)本身的安全機(jī)制不完善、也會(huì)產(chǎn)生安全隱患。

（三）系統(tǒng)安全風(fēng)險(xiǎn)沒有經(jīng)過許可進(jìn)行訪問、數(shù)據(jù)泄密和被刪改等威脅著系統(tǒng)的安全性。提供各類應(yīng)用服務(wù)是企業(yè)信息系統(tǒng)的首要任務(wù)，而數(shù)據(jù)正是應(yīng)用信息系統(tǒng)的核心，因此，實(shí)際應(yīng)用與系統(tǒng)安全風(fēng)險(xiǎn)密切聯(lián)系。當(dāng)前，信息應(yīng)用系統(tǒng)存儲(chǔ)了大量的客戶、交易等重要信息，一旦泄露，造成客戶對(duì)企業(yè)信任度影響的同時(shí)也會(huì)影響企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力。

（四）安全管理存在的風(fēng)險(xiǎn)安全管理存在的主要指沒有同體的風(fēng)險(xiǎn)安全管理手段，管理制度不完善、管理標(biāo)準(zhǔn)沒有統(tǒng)一，人員安全意識(shí)薄弱等等都存在管理風(fēng)險(xiǎn)，因此，需要設(shè)立完善的信息系統(tǒng)安全管理體系，從嚴(yán)管理，促使信息安全系統(tǒng)正常運(yùn)作。一方面要規(guī)范健全信息安全管理手段，有效較強(qiáng)內(nèi)控IT管理流程控制力度，狠抓落實(shí)管理體系的力度，杜絕局部管理不足點(diǎn)；另一方面，由于信息安全管理主要以動(dòng)態(tài)發(fā)展的形式存在，要不斷調(diào)整、完善制度，以符合信息安全的新環(huán)境需求[2]。

二、信息安全管理體系框架的主要構(gòu)思

信息安全管理體系的框架主要由監(jiān)管體系、組織體系和技術(shù)體系形成，特點(diǎn)是系統(tǒng)化、程序化和文件化，而主要思想以預(yù)防控制為主，以過程和動(dòng)態(tài)控制為條件。完善安全管理體系，使石化銷售企業(yè)信息系統(tǒng)和信息網(wǎng)絡(luò)能夠安全可靠的運(yùn)作，從機(jī)密性、完整性、不可否認(rèn)性和可用性等方面確保數(shù)據(jù)安全，提升系統(tǒng)的持續(xù)性，加強(qiáng)企業(yè)的競(jìng)爭(zhēng)力。

（一）組織體系企業(yè)在完善管理體系過程中應(yīng)設(shè)立信息安全委員會(huì)和相關(guān)管理部門，設(shè)置相應(yīng)的信息安全崗位，明確各級(jí)負(fù)責(zé)的信息安全和人員配置等內(nèi)容。在全面提升企業(yè)人員對(duì)信息安全了解的過程中必須進(jìn)行信息安全知識(shí)的相關(guān)培訓(xùn)，使工作人員提高信息安全管理意識(shí)，實(shí)現(xiàn)信息安全管理工作人人有責(zé)。

（二）制度體系操作規(guī)范、安全策略、應(yīng)急預(yù)案等各項(xiàng)管理制度經(jīng)過計(jì)劃和下發(fā)，讓信息安全管理有據(jù)可依。企業(yè)參照合理完善的各項(xiàng)制度進(jìn)一步優(yōu)化業(yè)務(wù)流程，規(guī)范操作行為，降低事故風(fēng)險(xiǎn)，提升應(yīng)急能力，以此加強(qiáng)信息安全的管理體系。

（三）技術(shù)體系管理技術(shù)、防護(hù)技術(shù)、控制技術(shù)是信息安全管理體系的主要技術(shù)基礎(chǔ)。安全技術(shù)包括物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、主機(jī)安全技術(shù)、終端安全技術(shù)、數(shù)據(jù)安全、應(yīng)用安全技術(shù)等。一旦出現(xiàn)信息安全事件，技術(shù)體系會(huì)在最短的時(shí)間內(nèi)降低事件的不良影響，依靠相關(guān)的信息安全管理技術(shù)平臺(tái)，以實(shí)現(xiàn)信息安全技術(shù)的有效控制[3]。管理體系的核心是技術(shù)手段，先進(jìn)的加密算法和強(qiáng)化密鑰管理構(gòu)成的數(shù)據(jù)加密方式全程控制數(shù)據(jù)傳輸和數(shù)據(jù)存儲(chǔ)，可以保證數(shù)據(jù)的安全性。采用堡壘機(jī)、防火墻等安全系統(tǒng)可以過濾掉不安全的服務(wù)和非法用戶，防止入侵者接近防御設(shè)備。IDS作為防火墻的重要功能之一，能夠幫助網(wǎng)絡(luò)系統(tǒng)快速檢測(cè)出攻擊的對(duì)象，加強(qiáng)了管理員的安全管理技術(shù)（包括審計(jì)工作、監(jiān)視、進(jìn)攻識(shí)別等技術(shù)），提高了信息安全體系的防范性。企業(yè)數(shù)據(jù)備份這一塊可以采用雙機(jī)熱本地集群網(wǎng)、異地集群網(wǎng)等各種形式進(jìn)行網(wǎng)絡(luò)備份，利用體統(tǒng)的可用性和容災(zāi)性加強(qiáng)安全管理能力。近年來各個(gè)企業(yè)的惡意軟件、攻擊行為手法變化多端很難防御，在各種壓力下，傳統(tǒng)的的安全防預(yù)技術(shù)受到了嚴(yán)峻的考驗(yàn)，這時(shí)“云安全”技術(shù)當(dāng)之無愧成為當(dāng)今最熱的安全技術(shù)?！霸瓢踩奔夹g(shù)主要使用分部式運(yùn)算功能進(jìn)行防御，而“云安全”技術(shù)對(duì)于企業(yè)用戶而言確實(shí)明顯的保障了信息的安全性以及降低客戶端維護(hù)量。“云安全”技術(shù)是未來安全防護(hù)技術(shù)發(fā)展的必由之路，且今后“云安全”作為企業(yè)安全管理的核心內(nèi)容為企業(yè)的數(shù)據(jù)、服務(wù)器群組以及端點(diǎn)提供強(qiáng)制的安全防御能力。”

三、信息安全管理體系相關(guān)步驟

由于管理體系具有靈活性，企業(yè)可依據(jù)自身的特點(diǎn)和實(shí)際情況，使用最優(yōu)方案，結(jié)合石化銷售的特征，提出以下步驟：1）管理體系的重要目標(biāo)；2）管理體系的主要范疇；3）管理體系現(xiàn)狀考察與風(fēng)險(xiǎn)估量；4）完善管理體系的制度；5）整理管理體系的文檔；6）管理體系的運(yùn)行方式；7）信息安全管理體系考核。

四、結(jié)論

篇6

中國【關(guān)鍵詞】信息安全管理；保險(xiǎn)企業(yè)；體系構(gòu)建

中圖分類號(hào)：TU714文獻(xiàn)標(biāo)識(shí)碼： A

.引言

社會(huì)保險(xiǎn)工作不僅是一項(xiàng)政策性強(qiáng)、涉及面廣、信息流量大、計(jì)算復(fù)雜、準(zhǔn)確性要求高的工作,而且要求處理的數(shù)據(jù)量相當(dāng)大,數(shù)據(jù)及檔案保存的時(shí)間相當(dāng)長(因?yàn)橐涊d每一個(gè)參保職工每月的投保情況及其個(gè)人帳戶的累計(jì)繳納情況,包括逐月利息情況,直至其退休)。要把這項(xiàng)工作搞好,使之穩(wěn)定、健康地發(fā)展,仍憑手工操作、搞人海戰(zhàn)術(shù)顯然行不通,而且是很不現(xiàn)實(shí)的。因此必須應(yīng)用計(jì)算機(jī)來管理,充分發(fā)揮網(wǎng)絡(luò)系統(tǒng)速度快、精確度高、自動(dòng)化程度高、信息資源充分共享和數(shù)據(jù)批量處理的特點(diǎn),以適應(yīng)保險(xiǎn)工作的需要。

1.保險(xiǎn)企業(yè)信息安全管理的現(xiàn)狀

計(jì)算機(jī)信息安全問題不是保險(xiǎn)企業(yè)才存在的問題，是全球企業(yè)都存在的普遍問題，越發(fā)達(dá)的地區(qū)，信息安全存在的隱患越多。一方面，現(xiàn)在互聯(lián)網(wǎng)的發(fā)展速度非常快，信息技術(shù)的日趨完善，出現(xiàn)了很多的惡意攻擊工具，再加上信息系統(tǒng)本身的漏洞，讓一些破壞分子更是有機(jī)可乘；從另外一個(gè)角度來看，企業(yè)自身對(duì)信息安全管理不重視，也是導(dǎo)致出現(xiàn)信息安全問題的首要原因之一。近年來，保險(xiǎn)行業(yè)處于高速發(fā)展的時(shí)期，暴露出的問題也相對(duì)比較多，我們應(yīng)該重視起來。下面列出了當(dāng)前的保險(xiǎn)企業(yè)在信息安全管理上存在的主要幾點(diǎn)問題：

1.1沒有相關(guān)的法規(guī)來約束

與信息的安全有關(guān)的分散于各種法律、法規(guī)、標(biāo)準(zhǔn)、道德規(guī)范和管理辦法的條文較多，但尚未形成一個(gè)較為規(guī)范完整的保障信息安全的法律制度、道德規(guī)范及管理體系。同時(shí)現(xiàn)有的法規(guī)，由于相關(guān)安全技術(shù)和手段還沒有成熟和標(biāo)準(zhǔn)化，法規(guī)也不能很好地被執(zhí)行。因此，保險(xiǎn)行業(yè)的信息安全標(biāo)準(zhǔn)和規(guī)范的缺少和無體系化，導(dǎo)致保險(xiǎn)企業(yè)不能很好的制定合理的安全策略并確保此策略能被有效執(zhí)行。

1.2沒有引起足夠的重視

很多保險(xiǎn)企業(yè)的管理層對(duì)信息安全管理不太關(guān)注，不夠重視，沒有投入足夠的人力、物力和財(cái)力去管理。大部分保險(xiǎn)企業(yè)在公司治理上重點(diǎn)關(guān)注的是企業(yè)的業(yè)務(wù)規(guī)模發(fā)展，銷售策略調(diào)整，組織結(jié)構(gòu)和運(yùn)營流程的優(yōu)化等，對(duì)信息安全管理不太重視，不太相信信息安全問題能給企業(yè)會(huì)帶來嚴(yán)重危機(jī)，直到發(fā)生了信息安全事件后之后才開始重視。因此，保險(xiǎn)企業(yè)必須在公司日常治理中投入足夠的時(shí)間和精力去完善企業(yè)的信息安全管理體系。

1.3對(duì)存在的風(fēng)險(xiǎn)評(píng)估不夠

很多保險(xiǎn)企業(yè)在設(shè)計(jì)搭建相關(guān)信息系統(tǒng)的時(shí)候?qū)Υ嬖诘娘L(fēng)險(xiǎn)評(píng)估不夠，沒有充分考慮到信息化所帶來的安全風(fēng)險(xiǎn)，通常只是考慮到信息技術(shù)問題，對(duì)于信息系統(tǒng)應(yīng)用后出現(xiàn)的信息安全問題欠缺考慮。其實(shí)對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)不做評(píng)估或評(píng)估不充分，都會(huì)帶來嚴(yán)重的后果，一旦信息系統(tǒng)出現(xiàn)嚴(yán)重缺陷或漏洞的時(shí)，系統(tǒng)受到破壞，正常的業(yè)務(wù)操作無法進(jìn)行，嚴(yán)重的可能會(huì)導(dǎo)致企業(yè)內(nèi)部機(jī)密、客戶個(gè)人信息的泄露或者重要數(shù)據(jù)被盜、被篡改等。所以，保險(xiǎn)企業(yè)面臨解決諸如系統(tǒng)本身缺陷、操作失誤等帶來的安全問題的。

1.4沒有制定相應(yīng)的安全管理?xiàng)l例，無明確責(zé)任劃分

保險(xiǎn)企業(yè)相關(guān)的信息技術(shù)安全之所以存在一系列的問題，和企業(yè)沒有制定相應(yīng)的安全管理制度，沒有明確責(zé)任劃分等有很大的關(guān)系。沒有相關(guān)的信息安全管理制度去制約，出了信息安全問題以后的責(zé)任劃分不清晰，長此以往，信息安全問題的監(jiān)管就會(huì)出很大的漏洞，也很難形成一個(gè)可控的信息安全管理體系。保險(xiǎn)企業(yè)的信息安全管理應(yīng)該是整個(gè)企業(yè)員工共同面對(duì)的問題，而不是企業(yè)某個(gè)部門或者某些個(gè)人能夠決定的事情。保險(xiǎn)企業(yè)的信息安全管理應(yīng)該有相應(yīng)的制度和明確的責(zé)任劃分，每個(gè)部門都應(yīng)該有信息安全的負(fù)責(zé)人，出了問題要做到有人承擔(dān)，如果不這樣的話就會(huì)影響到信息安全管理體系的構(gòu)建，成為企業(yè)信息安全管理的絆腳石。

所以，針對(duì)以上種種問題和現(xiàn)狀，保險(xiǎn)企業(yè)必須要形成一個(gè)良好的信息安全管理體系，這樣才能從根本上解決問題，發(fā)揮信息化建設(shè)的作用，保障企業(yè)的計(jì)算機(jī)信息安全。

2.社會(huì)保險(xiǎn)計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)的重點(diǎn)

“計(jì)算機(jī)就是網(wǎng)絡(luò),網(wǎng)絡(luò)就是計(jì)算機(jī)”。我們要一改過去的做法,社會(huì)保險(xiǎn)自動(dòng)化建設(shè)將由過去的封閉單一型向開發(fā)型過渡；從以社會(huì)保險(xiǎn)內(nèi)部業(yè)務(wù)管理為重點(diǎn)轉(zhuǎn)向以公共信息服務(wù)和提高社會(huì)化管理程度為重點(diǎn)；由過去的單機(jī)操作向網(wǎng)絡(luò)過渡,最終全面實(shí)現(xiàn)網(wǎng)絡(luò)管理。

一個(gè)社會(huì)保險(xiǎn)機(jī)構(gòu)成功與否,取決于以下三個(gè)因素:一是在政策支持下的經(jīng)費(fèi)投入決定了硬件設(shè)備的規(guī)模，這是系統(tǒng)的外部條件。二是一套功能齊全、著眼點(diǎn)高、符合開發(fā)系統(tǒng)標(biāo)準(zhǔn)的應(yīng)用軟件，這是網(wǎng)絡(luò)系統(tǒng)的靈魂。三是內(nèi)容豐富、符合國際標(biāo)準(zhǔn)、具有本地特色和一定參保覆蓋面的信息數(shù)據(jù)庫，這是網(wǎng)絡(luò)自動(dòng)化的基礎(chǔ)。這三個(gè)因素既是社會(huì)保險(xiǎn)機(jī)構(gòu)網(wǎng)絡(luò)建設(shè)的關(guān)鍵因素,又是建設(shè)的重點(diǎn)。

3.保險(xiǎn)企業(yè)計(jì)算機(jī)信息安全管理的體系構(gòu)建

3.1掌握安全管理標(biāo)準(zhǔn)，構(gòu)建安全管理基本框架

要熟悉掌握信息安全管理標(biāo)準(zhǔn)，對(duì)信息技術(shù)的安全管理標(biāo)準(zhǔn)要進(jìn)行不斷深入的理解，不能僅僅考慮到信息技術(shù)，而忽視了信息安全管理。國際上對(duì)安全管理研究已經(jīng)取得了一定的成果，推出了信息安全標(biāo)準(zhǔn)，成立了信息安全標(biāo)準(zhǔn)化組織，搭建了信息安全標(biāo)準(zhǔn)體系框架。在我國，雖然信息安全的研究起步比較晚，但是也在不斷的完善中，已經(jīng)制定了適合我國國情的信息安全管理標(biāo)準(zhǔn)。我國提出的關(guān)于《計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則》中就明確了安全管理的標(biāo)準(zhǔn)，主要把信息安全劃分成自主保護(hù)級(jí)、系統(tǒng)審核保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問驗(yàn)證保護(hù)級(jí)等五個(gè)安全程度不同的安全等級(jí)，根據(jù)這五級(jí)標(biāo)準(zhǔn)，也分別提出了關(guān)于建立安全管理體系的相關(guān)措施。所以，保險(xiǎn)企業(yè)應(yīng)該參考這些標(biāo)準(zhǔn)，構(gòu)建適合自身行業(yè)、企業(yè)信息的安全管理基本框架，這對(duì)于企業(yè)的健康穩(wěn)健發(fā)展是非常有意義的。

3.2實(shí)現(xiàn)科學(xué)的信息安全管理

保險(xiǎn)企業(yè)要實(shí)現(xiàn)科學(xué)的信息安全管理，不能不考慮信息安全影響而隨意的進(jìn)行信息管理。保險(xiǎn)企業(yè)的信息安全管理應(yīng)該要包括對(duì)機(jī)構(gòu)安全管理和人員安全管理以及技術(shù)安全管理和場(chǎng)地設(shè)施安全管理。保險(xiǎn)企業(yè)需要采用一些科學(xué)的方法，如科學(xué)化企業(yè)信息資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析模型法、設(shè)計(jì)完備的信息系統(tǒng)動(dòng)態(tài)安全模型等，建立科學(xué)的可實(shí)施的計(jì)算機(jī)系統(tǒng)安全策略，采取規(guī)范的安全防范措施，選用可靠穩(wěn)定的安全產(chǎn)品，設(shè)計(jì)完善的安全評(píng)估標(biāo)準(zhǔn)和等級(jí)，實(shí)施有效的審核措施等來實(shí)現(xiàn)對(duì)信息的安全管理。

3.3進(jìn)行有效的安全風(fēng)險(xiǎn)評(píng)估

保險(xiǎn)企業(yè)在搭建信息化平臺(tái)的時(shí)候，必須要進(jìn)行安全風(fēng)險(xiǎn)的評(píng)估，沒有風(fēng)險(xiǎn)的評(píng)估是很難實(shí)現(xiàn)信息安全管理的。同時(shí)，還需要在對(duì)信息安全風(fēng)險(xiǎn)的評(píng)估中制定出風(fēng)險(xiǎn)的應(yīng)對(duì)方案，便于應(yīng)對(duì)突發(fā)問題，從最大程度上保證信息的安全。

3.4合理配置安全產(chǎn)品

對(duì)于評(píng)估出來的風(fēng)險(xiǎn)，保險(xiǎn)企業(yè)可以對(duì)信息系統(tǒng)配置一些安全產(chǎn)品來規(guī)避信息安全風(fēng)險(xiǎn)。比如說系統(tǒng)存在一些漏洞，這些漏洞很容易受病毒的攻擊，那么企業(yè)可以配置一些能夠定期更新的殺毒軟件和防火墻來防止病毒的侵入。在配置產(chǎn)品的時(shí)候需要注意配置的合理性，不能什么安全產(chǎn)品都去配置，要通過最優(yōu)化的安全產(chǎn)品配置達(dá)到企業(yè)信息的安全管理。

結(jié)語

隨著社會(huì)保險(xiǎn)制度改革的不斷深人,社會(huì)保險(xiǎn)業(yè)務(wù)管理工作日趨繁瑣,其業(yè)務(wù)量、數(shù)據(jù)量大幅度增加,對(duì)信息處理的及時(shí)性和準(zhǔn)確性要求也越來越高。社會(huì)保險(xiǎn)管理信息系統(tǒng)的建設(shè)，要緊密結(jié)合各級(jí)社會(huì)保險(xiǎn)機(jī)構(gòu)的業(yè)務(wù)需求,遵循信息工程的理論和方法進(jìn)行,其總的指導(dǎo)方針是:統(tǒng)一規(guī)劃,統(tǒng)一標(biāo)準(zhǔn),城市建網(wǎng),網(wǎng)絡(luò)互聯(lián),分級(jí)使用,分步實(shí)施。促進(jìn)社會(huì)保險(xiǎn)改革和發(fā)展,完善社會(huì)保障制度的需要。

【參考文獻(xiàn)】

[1]許雅娟.網(wǎng)絡(luò)攻擊分類研究[J].硅谷，2011（06）.

[2]宋曉萍.TDCS網(wǎng)絡(luò)安全防護(hù)方案的研究[J].鐵道運(yùn)輸與經(jīng)濟(jì)，2006（11）.

[3]苗亮.計(jì)算機(jī)網(wǎng)絡(luò)可靠性的研究[J].機(jī)械工程與自動(dòng)化，2010（03）.

篇7

（一）對(duì)信息安全建設(shè)缺乏足夠認(rèn)識(shí)。就目前國內(nèi)實(shí)際情況來說，傳統(tǒng)行業(yè)對(duì)于信息安全建設(shè)尚沒有足夠的認(rèn)識(shí)，導(dǎo)致信息安全建設(shè)難以切實(shí)施行。具體來說，這主要表現(xiàn)在三個(gè)方面。一是傳統(tǒng)行業(yè)的領(lǐng)導(dǎo)者對(duì)信息安全建設(shè)缺少必要的認(rèn)識(shí)，在面對(duì)信息化浪潮的沖擊時(shí)，其最先想到的是提升行業(yè)品質(zhì)來面對(duì)新挑戰(zhàn)，卻忽視了通過信息安全建設(shè)保護(hù)行業(yè)核心信息資源，導(dǎo)致行業(yè)信息被逐漸泄露，無法與新行業(yè)相抗衡，以致逐漸失去競(jìng)爭(zhēng)力。最典型的就是傳統(tǒng)出版行業(yè)，在數(shù)字化刊物逐漸普及的情況下，傳統(tǒng)出版行業(yè)已經(jīng)顯得捉襟見肘，出版物印刷量與銷售量逐年下降。二是行業(yè)內(nèi)部員工缺少對(duì)信息安全的認(rèn)識(shí)，在日常工作中，會(huì)在不經(jīng)意間泄露行業(yè)信息。更有甚者為了一己私利出賣行業(yè)信息。這些舉動(dòng)都對(duì)傳統(tǒng)行業(yè)造成了極其惡劣的影響。三是普通消費(fèi)者缺少對(duì)信息安全的認(rèn)識(shí)，在某些需要消費(fèi)者個(gè)人信息資料的行業(yè)中，消費(fèi)者往往沒有考慮個(gè)人信息資料是否安全，是否存在泄露的風(fēng)險(xiǎn)以及相應(yīng)的后果。忽視這些的結(jié)果就是消費(fèi)者缺少對(duì)相關(guān)企業(yè)信息安全的要求，在發(fā)生意外情況后無法挽回。

（二）信息安全建設(shè)技術(shù)水平較低。傳統(tǒng)行業(yè)雖然缺乏對(duì)信息安全建設(shè)的認(rèn)識(shí)，但也并非沒有進(jìn)行信息安全建設(shè)，只是其信息安全建設(shè)技術(shù)水平較低，無法切實(shí)滿足對(duì)企業(yè)信息安全的保護(hù)。信息安全建設(shè)技術(shù)水平低主要表現(xiàn)在兩個(gè)方面。一是信息安全管理體系架構(gòu)技術(shù)層次低，一個(gè)體系架構(gòu)的技術(shù)高低，決定了該體系所能發(fā)揮的功能高低。越先進(jìn)越高端的技術(shù)，其對(duì)信息安全的保護(hù)也就越安全，反之亦然。傳統(tǒng)行業(yè)信息安全管理體系的基礎(chǔ)架構(gòu)以及權(quán)限設(shè)置等信息保障措施，其技術(shù)相對(duì)一些新行業(yè)而言較為落后，無法符合不斷更新的計(jì)算機(jī)技術(shù)，更無法有效彌補(bǔ)信息安全漏洞，只能說是徒有其表。二是人員管理技術(shù)水平較低，人員管理也是信息安全建設(shè)的重要環(huán)節(jié)。每一個(gè)員工都攜帶著一定程度的行業(yè)信息，只有加強(qiáng)對(duì)員工的管理，建立科學(xué)人性的管理體系，才能確保企業(yè)人員不會(huì)因?yàn)槭д`或利益泄露行業(yè)信息。

（三）信息安全建設(shè)覆蓋范圍較窄。信息安全建設(shè)覆蓋范圍較窄主要可以分為兩個(gè)方面，一是進(jìn)行信息安全建設(shè)的傳統(tǒng)行業(yè)范圍較窄；二是行業(yè)內(nèi)部信息安全建設(shè)的范圍較窄。對(duì)于所有傳統(tǒng)行業(yè)而言，已經(jīng)完成信息安全建設(shè)或正在建設(shè)的行業(yè)并不多。根據(jù)相關(guān)統(tǒng)計(jì)資料，傳統(tǒng)行業(yè)中完成或進(jìn)行中的信息安全建設(shè)的企業(yè)，尚不到20%。這一數(shù)據(jù)說明信息安全建設(shè)率在傳統(tǒng)行業(yè)中來講還很低，還需要加強(qiáng)相關(guān)理念的宣傳，引導(dǎo)更多的傳統(tǒng)企業(yè)進(jìn)行信息安全建設(shè)。在行業(yè)內(nèi)部，信息安全建設(shè)集中在企業(yè)核心機(jī)密，即企業(yè)相關(guān)財(cái)務(wù)數(shù)據(jù)、產(chǎn)品數(shù)據(jù)和市場(chǎng)數(shù)據(jù)等，忽視了員工信息安全及一些外在信息安全的構(gòu)建。雖然此舉能夠保障企業(yè)核心利益，卻無法保證企業(yè)正常良性的運(yùn)轉(zhuǎn)。

二、傳統(tǒng)行業(yè)信息安全建設(shè)中的問題及原因

（一）缺少完善的法律法規(guī)。在信息安全方面，我國尚缺少有效完善的法律法規(guī)來加強(qiáng)信息安全建設(shè)，這主要表現(xiàn)在兩個(gè)方面。一方面是缺少對(duì)傳統(tǒng)行業(yè)信息安全建設(shè)的強(qiáng)制性法律法規(guī)。傳統(tǒng)行業(yè)本身對(duì)信息安全缺少足夠的認(rèn)識(shí)，再加之缺少必須的法律法規(guī)，就致使傳統(tǒng)行業(yè)基本忽視了信息安全建設(shè)。另一方面是缺少對(duì)信息安全犯罪的法律法規(guī)，近年來隨著信息技術(shù)發(fā)展迅猛，各種信息安全犯罪層出不窮，犯罪性質(zhì)也從經(jīng)濟(jì)犯罪上升到了更加惡劣的性質(zhì)。各種由于個(gè)人信息泄露而出現(xiàn)的綁架、搶劫等案件，急需出臺(tái)相應(yīng)的信息安全法律法規(guī)來加以制約。

（二）傳統(tǒng)行業(yè)內(nèi)部信息安全管理不力。信息安全管理主要包括體系建設(shè)、制度建設(shè)和人員管理。這三個(gè)方面的工作在傳統(tǒng)行業(yè)中來說都并不到位。體系建設(shè)主要是指信息安全管理體系，一套完整的管理體系，應(yīng)當(dāng)從上至下，由內(nèi)而外，將方方面面的信息安全包羅其中，以形成一個(gè)上下一體的信息安全管理系統(tǒng)。制度建設(shè)主要針對(duì)信息安全制定相應(yīng)的信息安全管理制度，通過確實(shí)的規(guī)章制度，對(duì)企業(yè)員工形成約束，避免其出現(xiàn)一些不利企業(yè)信息安全的行為。人員管理主要是加強(qiáng)對(duì)企業(yè)員工的信息安全意識(shí)教育，讓其樹立起保護(hù)信息安全的基本意識(shí)。

（三）基礎(chǔ)信息安全建設(shè)設(shè)施缺乏?；A(chǔ)信息安全建設(shè)設(shè)施缺乏，是擺在傳統(tǒng)行業(yè)面前的關(guān)鍵問題，這主要包括兩個(gè)方面的問題。一是技術(shù)基礎(chǔ)缺乏，目前我國信息安全建設(shè)的技術(shù)基礎(chǔ)基本源自國外，這從信息安全的角度來說本身就是一種不安全的行為。只有創(chuàng)建完全自主的信息安全技術(shù)，才能杜絕國外技術(shù)可能存在的技術(shù)后門。二是硬件基礎(chǔ)缺乏，這與技術(shù)基礎(chǔ)缺乏對(duì)信息安全的不利影響是一致的?？偟膩碚f，硬軟件的缺乏，是傳統(tǒng)行業(yè)信息安全建設(shè)的最大問題。

三、傳統(tǒng)行業(yè)信息安全建設(shè)策略分析

（一）完善信息安全法律法規(guī)。要做好傳統(tǒng)行業(yè)信息安全建設(shè)，最首要的就是完善相應(yīng)的信息安全法律法規(guī)，從法律層面對(duì)信息安全建設(shè)進(jìn)行定性。首先是明確傳統(tǒng)行業(yè)信息安全建設(shè)的義務(wù)，通過法律規(guī)定強(qiáng)制傳統(tǒng)行業(yè)進(jìn)行信息安全建設(shè)，迫使其領(lǐng)導(dǎo)層重視信息安全建設(shè)，進(jìn)而在行業(yè)全局決策中增加對(duì)信息安全建設(shè)的思考與傾斜。其次是對(duì)信息安全犯罪作出全面的定性與量刑，加強(qiáng)對(duì)信息安全犯罪的打擊力度，通過法律手段減少信息安全威脅。

（二）加強(qiáng)行業(yè)內(nèi)部信息安全管理。加強(qiáng)行業(yè)內(nèi)部信息安全管理，是信息安全建設(shè)的重要環(huán)節(jié)，其可以從三個(gè)方面來進(jìn)行。第一是構(gòu)建企業(yè)員工信息梯度，針對(duì)企業(yè)不同部門以及不同職位，制定不同的信息等級(jí)制度，以此改善員工功能與信息的不對(duì)等關(guān)系。第二是構(gòu)建信息管理制度，針對(duì)企業(yè)類型、企業(yè)所包含信息的類型以及其機(jī)密程度，制定合理的信息管理制度，加強(qiáng)對(duì)內(nèi)部員工的約束。第三是加強(qiáng)對(duì)企業(yè)員工的信息安全建設(shè)培訓(xùn)，使企業(yè)員工具有一定的信息安全建設(shè)意識(shí)，能夠從一些小事上進(jìn)行信息安全建設(shè)。

（三）自主化信息安全建設(shè)基礎(chǔ)設(shè)施。自主化信息安全建設(shè)基礎(chǔ)設(shè)施應(yīng)當(dāng)從基礎(chǔ)技術(shù)與基礎(chǔ)硬件兩個(gè)方面進(jìn)行。就基礎(chǔ)技術(shù)而言，傳統(tǒng)行業(yè)應(yīng)該大量參考國外相關(guān)技術(shù)，博采眾長，創(chuàng)建不依賴于國外技術(shù)的信息安全建設(shè)技術(shù)，真正實(shí)現(xiàn)信息安全建設(shè)技術(shù)國產(chǎn)化，從根源上排除國外技術(shù)對(duì)傳統(tǒng)行業(yè)信息安全可能存在的技術(shù)風(fēng)險(xiǎn)。在基礎(chǔ)硬件方面，傳統(tǒng)行業(yè)可以加強(qiáng)與國內(nèi)硬件廠商的合作，共同研發(fā)具有行業(yè)特點(diǎn)的信息安全建設(shè)硬件，減少國外硬件的引入與應(yīng)用?？偟膩碚f，信息安全建設(shè)應(yīng)該在國外硬軟件的基礎(chǔ)上，開發(fā)自主的硬軟件設(shè)備，使信息安全建設(shè)完全實(shí)現(xiàn)國產(chǎn)化。

篇8

關(guān)鍵詞：智能電網(wǎng) 信息安全 防護(hù)體系 可信平臺(tái)

中圖分類號(hào)：F49 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-3973（2013）012-212-02

1 引言

隨著智能電網(wǎng)建設(shè)步伐的推進(jìn)，更多的設(shè)備和用戶接入電力系統(tǒng)，例如，智能電表、分布式電源、數(shù)字化保護(hù)裝置、先進(jìn)網(wǎng)絡(luò)等，這些設(shè)備的應(yīng)用使電網(wǎng)的信息化、自動(dòng)化、互動(dòng)化程度比傳統(tǒng)電網(wǎng)大大提高，它們?cè)谔嵘娋W(wǎng)監(jiān)測(cè)與管理方面發(fā)揮了重要作用，但同時(shí)也給數(shù)據(jù)與信息的安全帶來了隱患。比如黑客通過竊取技術(shù)訪問電網(wǎng)公司數(shù)據(jù)中心的服務(wù)器，有可能造成客戶信息泄露或數(shù)據(jù)安全問題，嚴(yán)重時(shí)有可能造成國家的重大損失。因此，如何使眾多的用戶能在一個(gè)安全的環(huán)境下使用電網(wǎng)的服務(wù)，成了當(dāng)前電網(wǎng)信息安全建設(shè)的重要內(nèi)容之一。

2 電力企業(yè)信息安全建設(shè)的關(guān)鍵問題

云計(jì)算技術(shù)在電力企業(yè)的業(yè)務(wù)管理中已經(jīng)逐步得到應(yīng)用，另外，隨著技術(shù)的成熟和商業(yè)成本的降低，基于可信計(jì)算平臺(tái)的網(wǎng)絡(luò)應(yīng)用獲得了迅猛發(fā)展。如果在電網(wǎng)業(yè)務(wù)管理體系中將可信計(jì)算與云計(jì)算結(jié)合起來，將會(huì)使電網(wǎng)的管理水平如虎添翼。圖1為構(gòu)建可信平臺(tái)模塊間的安全通道示意圖。

在可信計(jì)算環(huán)境下，每臺(tái)主機(jī)嵌入一個(gè)可信平臺(tái)模塊。由于可信平臺(tái)模塊內(nèi)置密鑰，在模塊間能夠構(gòu)成一個(gè)天然的安全通信信道。因此，可以將廣播的內(nèi)容放在可信平臺(tái)模塊中，通過安全通信信道來進(jìn)行廣播，這樣可以極大地節(jié)約通信開銷。

智能電網(wǎng)的體系架構(gòu)從設(shè)備功能上可以分為基礎(chǔ)硬件層、感知測(cè)量層、信息通信層和調(diào)度運(yùn)維層四個(gè)層次。那么，智能電網(wǎng)的信息安全就必須包括物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全及備份恢復(fù)等方面。因此，其涉及到的關(guān)鍵問題可從CA體系建設(shè)、桌面安全部署、等級(jí)防護(hù)方案等方面入手。

3 智能電網(wǎng)信息防護(hù)體系框架

3.1 數(shù)字證書體系

數(shù)字證書體系CA是建設(shè)一套符合國家政策要求的電子認(rèn)證系統(tǒng)，并作為電力企業(yè)信息化建設(shè)的重要基礎(chǔ)設(shè)施，實(shí)現(xiàn)各實(shí)體身份在網(wǎng)絡(luò)上的真實(shí)映射，滿足各應(yīng)用系統(tǒng)中關(guān)于身份認(rèn)證、信息保密性、完整性和抗抵賴性等安全性要求。該系統(tǒng)主要包括根CA系統(tǒng)、CA簽發(fā)系統(tǒng)、RA注冊(cè)管理系統(tǒng)、KM系統(tǒng)、證書狀態(tài)查詢系統(tǒng)和LDAP目錄服務(wù)系統(tǒng)，總體結(jié)構(gòu)如圖2所示。

3.2 桌面安全管理體系

該體系可為電力企業(yè)提供集中的終端（桌面）綜合安全管理的桌面管理產(chǎn)品，打造一個(gè)安全、可信、規(guī)范、健康的內(nèi)網(wǎng)環(huán)境，如圖3所示。

該體系能滿足用戶：確保入網(wǎng)終端符合要求；全面監(jiān)測(cè)終端健康狀況；保證終端信息安全可控；動(dòng)態(tài)監(jiān)測(cè)內(nèi)網(wǎng)安全態(tài)勢(shì)；快速定位解決終端故障；規(guī)范員工網(wǎng)絡(luò)行為；統(tǒng)一內(nèi)網(wǎng)用戶身份管理等。

3.3 等級(jí)防護(hù)體系

此外，在設(shè)計(jì)信息安全體系時(shí)，還需要針對(duì)電力企業(yè)的業(yè)務(wù)應(yīng)用系統(tǒng)，按照不同的安全保護(hù)等級(jí)，設(shè)計(jì)信息系統(tǒng)安全等級(jí)保護(hù)方案，如圖4所示。

根據(jù)國家關(guān)于《信息系統(tǒng)等級(jí)保護(hù)基本要求》中關(guān)于信息安全管理的規(guī)定，該體系應(yīng)該包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等方面。

4 結(jié)論與展望

本文將電力云技術(shù)與可信計(jì)算結(jié)合起來，設(shè)計(jì)了面向智能電網(wǎng)的信息安全防護(hù)體系框架，從CA體系建設(shè)、桌面安全部署、等級(jí)防護(hù)方案等方面闡述了該框架的內(nèi)涵。但信息安全是一個(gè)沒有盡頭的工作，需要及時(shí)與最新的方法相結(jié)合，不斷完善信息安全方案，使電網(wǎng)做到真正的智能、堅(jiān)強(qiáng)。

（基金項(xiàng)目：中央高校基本科研業(yè)務(wù)費(fèi)專項(xiàng)資金項(xiàng)目（11MG50）；河北省高等學(xué)校科學(xué)研究項(xiàng)目（Z2013007））

參考文獻(xiàn)：

[1] 陳樹勇，宋書芳，李蘭欣，等.智能電網(wǎng)技術(shù)綜述[J].電網(wǎng)技術(shù)，2009，33（8）：1-7.

[2] 國家電網(wǎng).關(guān)于加快推進(jìn)堅(jiān)強(qiáng)智能電網(wǎng)建設(shè)的意見[N].國家電網(wǎng)報(bào)，2010-01-12（2）.

[3] 曹軍威，萬宇鑫，涂國煜，等.智能電網(wǎng)信息系統(tǒng)體系結(jié)構(gòu)研究[J].計(jì)算機(jī)學(xué)報(bào)，2013，36（1）：143-167.

[4] 陳康，鄭緯民.云計(jì)算：系統(tǒng)實(shí)例與研究現(xiàn)狀[J].軟件學(xué)報(bào)，2009（5）：1337-1348.

篇9

關(guān)鍵詞：企業(yè)；信息網(wǎng)絡(luò)；安全體系；安全技術(shù)

大中型企業(yè)作為我國國民經(jīng)濟(jì)的骨干企業(yè)，在國家經(jīng)濟(jì)發(fā)揮舉足輕重的作用，現(xiàn)代經(jīng)濟(jì)活動(dòng)離不開信息和網(wǎng)絡(luò)，大中型企業(yè)對(duì)網(wǎng)絡(luò)和信息技術(shù)的依賴性很強(qiáng)，企業(yè)員工多、信息化互聯(lián)設(shè)備多、種類多樣，企業(yè)的關(guān)鍵業(yè)務(wù)大多架構(gòu)在IT系統(tǒng)之上，網(wǎng)絡(luò)環(huán)境的穩(wěn)定性、安全性、高效性直接影響公司信息化應(yīng)用。目前，許多大中型企業(yè)提出了建立“數(shù)字化企業(yè)”的目標(biāo)，在企業(yè)信息化建設(shè)中，信息安全問題是必須要首先考慮的問題，可見，建立企業(yè)信息安全體系勢(shì)在必行。

1  企業(yè)信息網(wǎng)絡(luò)安全威脅及風(fēng)險(xiǎn)

近年來,許多大中型企業(yè)十分重視信息網(wǎng)絡(luò)建設(shè)的應(yīng)用和開發(fā)，但是對(duì)于信息網(wǎng)絡(luò)安全的防護(hù)并沒有得到足夠重視。根據(jù)調(diào)研機(jī)構(gòu)的調(diào)查報(bào)告顯示，國內(nèi)企業(yè)中63%經(jīng)常遭受病毒或蠕蟲攻擊，而41%的企業(yè)受到惡意間諜軟件或惡意軟件的威脅。主要體現(xiàn)在：病毒和蠕蟲攻擊、黑客入侵、惡意攻擊、完整性破壞、網(wǎng)絡(luò)資源濫用、員工信息安全意識(shí)淡薄等。

目前企業(yè)面臨著網(wǎng)絡(luò)攻擊的“外部威脅”及內(nèi)部人員信息泄露的“內(nèi)部威脅”的雙重考驗(yàn)，垃圾郵件、企業(yè)機(jī)密泄露、網(wǎng)絡(luò)資源濫用、病毒泛濫以及網(wǎng)絡(luò)攻擊等問題成為企業(yè)最為頭疼的網(wǎng)絡(luò)安全問題，企業(yè)網(wǎng)絡(luò)環(huán)境日趨嚴(yán)峻。

2 企業(yè)網(wǎng)絡(luò)安全體系

大中型企業(yè)網(wǎng)絡(luò)面臨嚴(yán)峻的安全形勢(shì)，迫使各企業(yè)意識(shí)到構(gòu)建完備安全體系的重要性，隨著網(wǎng)絡(luò)攻擊的多樣化，只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付各種各樣的攻擊，同時(shí)還要隨時(shí)注重操作系統(tǒng)、數(shù)據(jù)庫、軟硬件設(shè)備的安全性；企業(yè)安全體系建設(shè)不僅要有效抵御外網(wǎng)攻擊，而且要能防范可能來自內(nèi)部的安全泄密等威脅。企業(yè)必須采用多層次的安全系統(tǒng)架構(gòu)才能保障企業(yè)網(wǎng)絡(luò)安全，最終建立一套以內(nèi)外兼防為特征的企業(yè)安全保障體系。

企業(yè)信息網(wǎng)絡(luò)安全體系由物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全五部分構(gòu)成。

物理安全：物理安全主要是保護(hù)企業(yè)數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)介質(zhì)及其他物理實(shí)體設(shè)備的安全，提供一個(gè)安全可靠的物理運(yùn)行環(huán)境。

鏈路安全：數(shù)據(jù)鏈路層（第二協(xié)議層）的通信連接就安全而言，是較為薄弱的環(huán)節(jié)。目的是保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽和篡改。

網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全主要包括：通過防火墻隔離內(nèi)外網(wǎng)絡(luò)，不同區(qū)域的訪問控制，部署基于網(wǎng)絡(luò)的身份認(rèn)證及入侵檢測(cè)系統(tǒng)、VPN、網(wǎng)絡(luò)集中防病毒等手段實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備自身的安全可靠。

系統(tǒng)安全：系統(tǒng)安全主要指數(shù)據(jù)庫、操作系統(tǒng)的安全保護(hù)。保證應(yīng)用系統(tǒng)的可靠性、完整性和高效性。

信息安全：主要通過數(shù)據(jù)加密、CA認(rèn)證、授權(quán)等手段保證信息處理、傳遞、存儲(chǔ)的保密性、完整性和可用性。

典型企業(yè)信息網(wǎng)絡(luò)安全管理體系拓?fù)浣Y(jié)構(gòu)如圖一所示：

3  信息安全體系設(shè)計(jì)原則

企業(yè)安全設(shè)計(jì)應(yīng)遵循如下原則：

3．1保密性：信息不能夠泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。

3．2完整性：信息完整性是指信息在輸入和傳輸?shù)倪^程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性。

3． 3可用性：保障授權(quán)用戶在需要時(shí)可以獲取信息并按要求使用的特性。

3．4可控性：對(duì)信息的處理、傳遞、存儲(chǔ)等具有控制能力。

信息安全就是要保障維護(hù)信息的機(jī)密性、完整性、可用性以及保障維護(hù)信息的真實(shí)性、可問責(zé)性、不可抵賴性、可靠性、守法性。

4 企業(yè)網(wǎng)絡(luò)安全防范技術(shù)手段

目前企業(yè)信息網(wǎng)絡(luò)布署的安全技術(shù)手段主要方式有：

4.1防火墻系統(tǒng)

  防火墻系統(tǒng)作為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)必不可少的組成部分，用于防范來自外部interne非法用戶對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的主動(dòng)威脅。防火墻系統(tǒng)搭建在內(nèi)部網(wǎng)絡(luò)與外部公共Internet網(wǎng)絡(luò)之間，通過合理配置訪問控制策略，管理Internet和內(nèi)部網(wǎng)絡(luò)之間的訪問。其主要功能包括訪問控制、信息過濾、流量分析和監(jiān)控、阻斷非法數(shù)據(jù)傳輸?shù)?。企業(yè)在外部攻擊的頻度和攻擊流量非常嚴(yán)重的情況下，建議配置專用的DDOS防火墻。

4.2入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（簡(jiǎn)稱“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)，可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足，通過對(duì)來自外部網(wǎng)和內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)未授權(quán)或異?，F(xiàn)象以及各種可能的攻擊企圖，記錄有關(guān)事件，以便網(wǎng)管員及時(shí)采取防范措施，為事后分析提供依據(jù)的依據(jù)。

4.3漏洞掃描系統(tǒng)

企業(yè)內(nèi)部部署漏洞掃描系統(tǒng)，不間斷地對(duì)企業(yè)工作站、服務(wù)器、防火墻、交換機(jī)等進(jìn)行安全檢查，提供記錄有關(guān)漏洞的詳細(xì)信息和最佳解決對(duì)策，協(xié)助網(wǎng)管員及時(shí)發(fā)現(xiàn)和堵絕漏洞、降低風(fēng)險(xiǎn)，防患于未然。

4.4網(wǎng)頁防篡改系統(tǒng)

網(wǎng)頁防篡改系統(tǒng)主要是防止企業(yè)對(duì)外Web遭受黑客的篡改，保證企業(yè)外部網(wǎng)站的正常運(yùn)行。防篡改系統(tǒng)利用先進(jìn)的Web服務(wù)器核心內(nèi)嵌技術(shù)，將篡改檢測(cè)模塊（數(shù)字水印技術(shù)）和應(yīng)用防護(hù)模塊（防注入攻擊）內(nèi)嵌于Web服務(wù)器內(nèi)部，并輔助以增強(qiáng)型事件觸發(fā)檢測(cè)技術(shù)，不僅實(shí)現(xiàn)了對(duì)靜態(tài)網(wǎng)頁和腳本的實(shí)時(shí)檢測(cè)和恢復(fù)，更可以保護(hù)數(shù)據(jù)庫中的動(dòng)態(tài)內(nèi)容免受來自于Web的攻擊和篡改，徹底解決網(wǎng)頁防篡改問題。

4.5上網(wǎng)行為管理系統(tǒng)

上網(wǎng)行為管理系統(tǒng)主要部署在企業(yè)外部防火墻和內(nèi)部核心交換機(jī)之間，針對(duì)企業(yè)內(nèi)部員工訪問Internet行為進(jìn)行集中管理與控制。其主要功能有：網(wǎng)頁過濾、應(yīng)用控制（IM聊天、P2P下載、在線娛樂、炒股軟件、論壇發(fā)帖等）、帶寬管理、內(nèi)容審計(jì)（郵件收發(fā)、論壇發(fā)帖、FTP、HTTP文件傳輸?shù)龋?、用戶管理、日志管理等功能?/p>

4.6內(nèi)網(wǎng)安全管理平臺(tái)

據(jù)FBI/CSI中國CNISTEC調(diào)查報(bào)告：來自企業(yè)外部威脅占20%，內(nèi)部威脅高達(dá)80%。針對(duì)大型企業(yè)日益復(fù)雜的內(nèi)部網(wǎng)絡(luò)環(huán)境以及基于企業(yè)保密管理的需求，必須構(gòu)造一套內(nèi)網(wǎng)安全管理平臺(tái)，規(guī)范和管理內(nèi)部網(wǎng)絡(luò)環(huán)境，提高內(nèi)部網(wǎng)絡(luò)資源的可控性。其功能應(yīng)包括：用戶認(rèn)證與授權(quán)、IP與MAC綁定、網(wǎng)絡(luò)監(jiān)控、桌面監(jiān)控、安全域管理、 存儲(chǔ)介質(zhì)管理、補(bǔ)丁分發(fā)、文檔安全管理、資產(chǎn)管理、日志報(bào)表管理等。

4.7企業(yè)集中防病毒系統(tǒng)

在病毒肆虐的時(shí)代，反病毒已經(jīng)成為企業(yè)信息安全非常重要的一環(huán)，企業(yè)網(wǎng)絡(luò)情況比較復(fù)雜，由于員工計(jì)算機(jī)水平大多不高，構(gòu)造一套完整的企業(yè)集中防病毒網(wǎng)絡(luò)系統(tǒng)平臺(tái)，可以強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和統(tǒng)一管理策略，并且使企業(yè)員工電腦的病毒庫及時(shí)得到更新，增強(qiáng)病毒防護(hù)有效性，降低病毒對(duì)安全帶來的威脅。

集中防病毒系統(tǒng)應(yīng)具有：集中管控、遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、分布查殺等多種功能。

4.8建立健全企業(yè)安全管理組織體系及制度，加強(qiáng)企業(yè)信息安全意識(shí)

企業(yè)在建設(shè)信息網(wǎng)絡(luò)安全建設(shè)技術(shù)手段的同時(shí)，更需要考慮管理的安全性，不斷完善企業(yè)信息安全制度。通過培訓(xùn)，增強(qiáng)每個(gè)員工的安全意識(shí)，為大中型企業(yè)信息安全管理奠定基礎(chǔ)。

隨著信息技術(shù)的發(fā)展，企業(yè)無線接入、電子商務(wù)交易、數(shù)字簽名、數(shù)字證書等安全管理也應(yīng)逐步納入企業(yè)信息安全體系范疇。

五、 結(jié)束語

目前，大中型企業(yè)信息進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化的發(fā)展大趨勢(shì)，針對(duì)各種網(wǎng)絡(luò)應(yīng)用的攻擊和破壞方式也變得異常頻繁，信息化發(fā)展而來的網(wǎng)絡(luò)安全問題日漸突出，網(wǎng)絡(luò)安全問題已成為信息時(shí)代人類共同面臨的挑戰(zhàn)，同時(shí)，網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)工程，涉及人員、硬軟件設(shè)備、資金、制度等因素，沒有絕對(duì)可靠的安全技術(shù)，科學(xué)有效的管理可以彌補(bǔ)技術(shù)安全漏洞的缺陷。

參考文獻(xiàn)：

［1］向宏，傅鸝，詹榜華 著  信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估 電子工業(yè)出版社  2009-01

［2］謝宗曉，郭立生　著  信息安全管理體系應(yīng)用手冊(cè)中國標(biāo)準(zhǔn)出版社  2008-10

篇10

【關(guān)鍵詞】 煙草 信息安全 體系 建設(shè)

隨著煙草行業(yè)的不斷發(fā)展，企業(yè)對(duì)信息化建設(shè)的要求越來越高。目前，煙草行業(yè)，尤其是以地市級(jí)煙草企業(yè)為代表的卷煙銷售終端企業(yè)，在信息安全建設(shè)上給予的重視越來越高，資金的投入也越來越大，地市級(jí)煙草企業(yè)信息安全工作有了保障。

1 信息安全體系規(guī)劃原則

根據(jù)國家和行業(yè)信息安全相關(guān)政策和標(biāo)準(zhǔn)，安全體系規(guī)劃與設(shè)計(jì)工作遵循以下的建設(shè)原則：

（1）重點(diǎn)保護(hù)原則。針對(duì)核心的服務(wù)支撐平臺(tái)，應(yīng)采取足夠強(qiáng)度的安全防護(hù)措施，確保核心業(yè)務(wù)不間斷運(yùn)行。

（2）靈活性原則。因信息技術(shù)日新月異的發(fā)展，而相應(yīng)的安全標(biāo)準(zhǔn)滯后，應(yīng)靈活設(shè)計(jì)相應(yīng)的防護(hù)措施。

（3）責(zé)任制原則。安全管理應(yīng)做到“誰主管，誰負(fù)責(zé)”，注重安全規(guī)章制度、應(yīng)急響應(yīng)的落實(shí)執(zhí)行。

（4）實(shí)用性原則。以確保信息系統(tǒng)性能和安全為前提，充分利用資源，保障安全運(yùn)行。

2 信息安全體系管理范圍

以地市級(jí)煙草企業(yè)中心機(jī)房核心網(wǎng)絡(luò)和系統(tǒng)為主，覆蓋市局（公司）、各縣級(jí)局（營銷部）、基層專賣管理所等，安全體系包括范圍：應(yīng)用安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全、終端安全等。

3 信息安全體系規(guī)劃框架

按照等級(jí)化保護(hù)“積極防御、綜合防范”的方針，地市級(jí)煙草企業(yè)信息化建設(shè)需要進(jìn)行整體安全體系規(guī)劃設(shè)計(jì)，全面提高信息安全防護(hù)能力。

在綜合評(píng)估信息化安全現(xiàn)狀的基礎(chǔ)上，從管理和技術(shù)來進(jìn)行信息安全管理工作。信息安全體系建設(shè)思路是：以保護(hù)信息系統(tǒng)為核心，嚴(yán)格參考等級(jí)保護(hù)的思路和標(biāo)準(zhǔn)，滿足地市級(jí)煙草企業(yè)信息系統(tǒng)在物理層面、網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面和管理層面的安全需求，為各項(xiàng)業(yè)務(wù)的開展提供有力保障。信息安全體系框架如圖1所示：

4 信息安全管理體系建設(shè)

從實(shí)際情況出發(fā)，體系包括安全組織機(jī)構(gòu)、安全管理制度、人員安全、安全教育培訓(xùn)在內(nèi)的安全管理體系。

4.1 組織機(jī)構(gòu)

由決策機(jī)構(gòu)、管理機(jī)構(gòu)、和執(zhí)行機(jī)構(gòu)三個(gè)層面組成信息安全組織機(jī)構(gòu)，并通過合理的組織結(jié)構(gòu)設(shè)置、人員配備和工作職責(zé)劃分，對(duì)信息安全工作實(shí)行全方位管理。

4.2 安全制度

信息安全規(guī)章制度是所有與信息安全有關(guān)的人員必須共同遵守的行為準(zhǔn)則。應(yīng)從信息安全組織機(jī)構(gòu)和崗位職責(zé)、人員管理制度、信息系統(tǒng)管理制度、機(jī)房管理制度、網(wǎng)絡(luò)管理制度等。

4.3 人員安全

通過管理控制手段，確保單位內(nèi)部人員以及第三方人員的安全意識(shí)，包括人員的崗前安全技能培訓(xùn)、保密協(xié)議的簽訂等幾個(gè)方面。

4.4 安全教育培訓(xùn)

通過有計(jì)劃培訓(xùn)和教育手段，確保工作人員充分認(rèn)識(shí)信息安全的重要性，具備符合要求的安全意識(shí)、知識(shí)和技能，提高其進(jìn)行信息安全防護(hù)的主動(dòng)性、自覺性和能力。

5 信息安全技術(shù)體系建設(shè)

按照等級(jí)保護(hù)方法，對(duì)信息系統(tǒng)進(jìn)行安全區(qū)域的劃分，并根據(jù)保護(hù)強(qiáng)度來采用相應(yīng)的安全技術(shù)，實(shí)行分區(qū)域、分級(jí)管理。基礎(chǔ)性保護(hù)措施實(shí)現(xiàn)后，建立地市級(jí)煙草企業(yè)的信息安全管理平臺(tái)，對(duì)地市級(jí)煙草企業(yè)整體信息系統(tǒng)的統(tǒng)一安全管理。

5.1 劃分安全區(qū)域

根據(jù)信息化資產(chǎn)屬性，可劃分為服務(wù)器區(qū)域、終端區(qū)域。目前，各業(yè)務(wù)域的服務(wù)器直接連接至核心交換機(jī)，無法對(duì)各個(gè)服務(wù)器區(qū)之間劃分明確邊界，在服務(wù)器區(qū)和核心交換機(jī)之間增加匯聚交換機(jī)，服務(wù)器經(jīng)過匯聚交換機(jī)的匯聚再上聯(lián)至核心交換機(jī)。對(duì)局域網(wǎng)按照業(yè)務(wù)功能區(qū)建立不同的VLAN，分別賦予相應(yīng)級(jí)別的服務(wù)訪問權(quán)限和安全防護(hù)措施。安全域網(wǎng)絡(luò)拓?fù)淙鐖D2示：

一級(jí)安全域包括范圍：地市級(jí)煙草企業(yè)辦公區(qū)域、縣公司辦公區(qū)域、移動(dòng)訪問用戶區(qū)域。部署上網(wǎng)行為管理、殺毒軟件等防護(hù)措施。二級(jí)安全域包括對(duì)象：業(yè)務(wù)與管理服務(wù)器區(qū)域、網(wǎng)站服務(wù)器區(qū)域、公共平臺(tái)服務(wù)器區(qū)（防病毒服務(wù)器、網(wǎng)管服務(wù)器）等。部署操作系統(tǒng)加固、身份認(rèn)證、漏洞掃描、文件數(shù)據(jù)加密以及安全審計(jì)等措施。三級(jí)安全域包括數(shù)據(jù)服務(wù)器區(qū)域、存儲(chǔ)備份區(qū)域以及核心交換機(jī)、主干路由器等。部署核心交換設(shè)備、鏈路冗余備份，加載廣域網(wǎng)路由QOS策略，采用數(shù)據(jù)庫高強(qiáng)度口令訪問等措施。

5.2 保護(hù)計(jì)算環(huán)境

“云計(jì)算”和虛擬化技術(shù)的發(fā)展，打破了傳統(tǒng)意義上按物理位置劃分的計(jì)算環(huán)境。依照不同的保護(hù)等級(jí)，分別進(jìn)行加強(qiáng)用戶身份鑒別、標(biāo)記和強(qiáng)制訪問控制、系統(tǒng)安全審計(jì)、用戶數(shù)據(jù)完整性保護(hù)、保密性保護(hù)、系統(tǒng)安全監(jiān)測(cè)等措施。

5.3 區(qū)域邊界保護(hù)

邊界保護(hù)是一組功能的集合，包括邊界的訪問控制、包過濾、入侵監(jiān)測(cè)、惡意代碼防護(hù)以及區(qū)域邊界完整性保護(hù)等。在技術(shù)上通過防火墻、入侵防護(hù)、病毒過濾、終端安全管理等措施來實(shí)現(xiàn)保護(hù)。

5.4 通信網(wǎng)絡(luò)防護(hù)

信息系統(tǒng)的互聯(lián)互通是建立在安全暢通的通信網(wǎng)絡(luò)基礎(chǔ)之上。通訊網(wǎng)絡(luò)的構(gòu)成主要包括網(wǎng)絡(luò)傳輸設(shè)備、軟件和通信介質(zhì)。保護(hù)通信網(wǎng)絡(luò)的安全措施有：網(wǎng)絡(luò)安全監(jiān)控、網(wǎng)絡(luò)審計(jì)、網(wǎng)絡(luò)冗余或備份以及可靠網(wǎng)絡(luò)設(shè)備接入。一是利用入侵防護(hù)系統(tǒng)以及UTM在關(guān)鍵的計(jì)算環(huán)境邊界，進(jìn)行安全監(jiān)控，防止非法的訪問；二是對(duì)骨干網(wǎng)中的防火墻設(shè)備進(jìn)行配置，制定安全訪問控制策略，設(shè)置授信的訪問區(qū)域；啟用安全審計(jì)功能，對(duì)經(jīng)過防火墻訪問關(guān)鍵的IP、系統(tǒng)或數(shù)據(jù)進(jìn)行記錄、監(jiān)控；通過網(wǎng)閘技術(shù)，對(duì)不同網(wǎng)絡(luò)進(jìn)行物理隔離。通過VLAN技術(shù)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行邏輯隔離。

5.5 數(shù)據(jù)安全防護(hù)

建立數(shù)據(jù)安全備份和恢復(fù)機(jī)制，部署數(shù)據(jù)備份和恢復(fù)系統(tǒng)，制定相應(yīng)的數(shù)據(jù)備份與恢復(fù)策略，完成對(duì)數(shù)據(jù)的自動(dòng)備份，并建立數(shù)據(jù)恢復(fù)機(jī)制。建立異地?cái)?shù)據(jù)級(jí)災(zāi)備中心，在系統(tǒng)出現(xiàn)災(zāi)難事故時(shí)，能夠恢復(fù)數(shù)據(jù)使系統(tǒng)應(yīng)用正常運(yùn)行。

5.6 信息安全平臺(tái)