前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)信息安全管理體系主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)信息安全管理體系范文

[關(guān)鍵詞]電力系統(tǒng)；計(jì)算機(jī)網(wǎng)絡(luò)；信息安全

doi：10.3969/j.issn.1673 - 0194.2017.02.029

[中圖分類號]TP393.08 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194（2017）02-00-02

目前，我國電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息有著較好的發(fā)展。但仍存在一些問題，只有加強(qiáng)對電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息的管理工作、強(qiáng)化安全運(yùn)行及操作管理、加強(qiáng)電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息風(fēng)險(xiǎn)的防范及加大系統(tǒng)運(yùn)行的技術(shù)投入，才能確保電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全、穩(wěn)定的運(yùn)行，并將其發(fā)揮到最大作用。電力系統(tǒng)信息網(wǎng)絡(luò)的管理是我國信息安全產(chǎn)業(yè)建設(shè)與發(fā)展的重要組成部分，但電力系統(tǒng)信息化管理的安全研究還存在很多不足，仍需加強(qiáng)對計(jì)算機(jī)網(wǎng)絡(luò)信息安全方面的研究。

1 計(jì)算機(jī)信息安全的概述

不少發(fā)達(dá)國家的政治、經(jīng)濟(jì)及文化開始依賴于計(jì)算機(jī)信息的基礎(chǔ)設(shè)施，但同時(shí)也出現(xiàn)了強(qiáng)大的黑客攻擊，信息技術(shù)猶如新型的作戰(zhàn)技術(shù)，在當(dāng)前的形式下，計(jì)算機(jī)信息的安全問題已成為各國面臨的巨大挑戰(zhàn)。因此，還需進(jìn)一步加強(qiáng)對計(jì)算機(jī)信息安全的風(fēng)險(xiǎn)管理。1990年，英、法、荷蘭等歐共體國家聯(lián)合了關(guān)于信息技術(shù)安全評估的準(zhǔn)則。1991年，頒布了關(guān)于計(jì)算機(jī)信息安全管理實(shí)用規(guī)則。這兩大準(zhǔn)則的頒布，直接推動了計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理的發(fā)展。計(jì)算機(jī)信息安全的風(fēng)險(xiǎn)管理的研究內(nèi)容有很多，比如，相關(guān)的制作規(guī)范和調(diào)節(jié)機(jī)制、業(yè)務(wù)信息和數(shù)據(jù)范圍、動態(tài)和靜態(tài)的數(shù)據(jù)管理要求、對交換的業(yè)務(wù)進(jìn)行統(tǒng)一的規(guī)范、構(gòu)建安全、協(xié)調(diào)、科學(xué)的管理體系和溝通協(xié)作模型、建立安全的管理支撐平臺等。2001年，國際標(biāo)準(zhǔn)化組織頒布了《信息安全管理實(shí)施指南》，其主要提出了關(guān)于風(fēng)險(xiǎn)管理的信息安全管理體系的構(gòu)建，信息安全管理體系是一個(gè)以構(gòu)建信息系統(tǒng)安全的縱深防御體系，這也推動了我國計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理的進(jìn)一步發(fā)展，使其進(jìn)入了深層次研究的階段。

目前，我國的計(jì)算機(jī)信息技術(shù)還處于發(fā)展階段，比較脆弱，可能會對個(gè)體及整個(gè)國家的電網(wǎng)帶來安全威脅。因此，還需構(gòu)建規(guī)范的管理機(jī)制，建立高效、便捷的信息溝通管理平臺，并通過相關(guān)機(jī)制對計(jì)算機(jī)信息進(jìn)行集中管理，提高調(diào)控的管理水平，只有這樣才能更好地確保計(jì)算機(jī)信息安全、穩(wěn)定的運(yùn)行。

2 計(jì)算機(jī)網(wǎng)絡(luò)信息安全在電力系統(tǒng)中的重要性

隨著我國經(jīng)濟(jì)體制的深入改革，我國對計(jì)算機(jī)網(wǎng)絡(luò)信息管理安全的研究有了更進(jìn)一步的發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)信息管理建設(shè)中常常會出現(xiàn)軟件、硬件、數(shù)據(jù)、病毒侵蝕等問題。對于電力企業(yè)來說，如果軟件中出現(xiàn)問題，會降低工作人員的工作效率；當(dāng)硬件出現(xiàn)問題時(shí)，會影響到計(jì)算機(jī)的正常運(yùn)作；當(dāng)數(shù)據(jù)出現(xiàn)問題時(shí)，這些機(jī)密性、不可外泄的信息就會泄漏；當(dāng)運(yùn)行中出現(xiàn)問題時(shí)，會直接影響到網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行；當(dāng)計(jì)算機(jī)受到病毒侵蝕時(shí)，會造成整個(gè)系統(tǒng)的崩潰，直接影響網(wǎng)絡(luò)的安全性建設(shè)等。在某種意義上，計(jì)算機(jī)網(wǎng)絡(luò)信息安全在電力系統(tǒng)中實(shí)現(xiàn)了數(shù)據(jù)和信息資源直接的共享、數(shù)據(jù)之間的交換，構(gòu)建了安全管理機(jī)制和支撐平臺，保障了溝通的方式的安全、科學(xué)、智能，可以說，其安全智能管理體系的建立不僅滿足了計(jì)算機(jī)行業(yè)可持續(xù)發(fā)展的要求，還提高了電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的水平。因此，加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息管理建設(shè)的安全研究具有非常重要的現(xiàn)實(shí)意義，其在一定程度上關(guān)系到我國信息安全產(chǎn)業(yè)的健康發(fā)展。

3 我國電力系統(tǒng)信息網(wǎng)絡(luò)安全中存在的主要問題

隨著我國信息技術(shù)的不斷發(fā)展，我國電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息的安全研究也有了進(jìn)一步的發(fā)展。我國電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息的安全研究直接影響到個(gè)人的工作效率，國家的未來發(fā)展等。由于信息安全題日益突出，大家對計(jì)算機(jī)信息安全的風(fēng)險(xiǎn)管理及發(fā)展趨勢有了更多的研究。我國電力系統(tǒng)信息網(wǎng)絡(luò)建設(shè)中還存在一些安全隱患，比如網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全等，電力系統(tǒng)信息網(wǎng)絡(luò)管理也存在很多問題，比如：缺少專業(yè)技術(shù)人才、安全管理制度不健全、網(wǎng)絡(luò)安全管理意識淡薄、沒有健全的信息化管理的標(biāo)準(zhǔn)體系等。

為了能科學(xué)、合理地構(gòu)建規(guī)范的管理機(jī)制，還需建立高效、便捷的電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的制度，并通過相關(guān)機(jī)制進(jìn)行集中管理，提高調(diào)控的管理水平，從而更好地確保電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息的安全運(yùn)行。總的來說，我國的電力系統(tǒng)信息網(wǎng)絡(luò)管理安全體系還處于發(fā)展的初級階段，缺乏先進(jìn)的技術(shù)和創(chuàng)新型的人才。為了確保網(wǎng)絡(luò)系統(tǒng)的安全，仍需加強(qiáng)安全管理機(jī)制，且當(dāng)務(wù)之急還是要迅速地建立起電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息的標(biāo)準(zhǔn)體系，只有這樣才能進(jìn)一步展現(xiàn)出我國科學(xué)、合理、完善的電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息。

4 提高電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全水平的策略

4.1 強(qiáng)化安全運(yùn)行及操作管理

為了能更好地確保電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息管理的正常運(yùn)行，強(qiáng)化安全運(yùn)行及科學(xué)的操作管理是必不可少的內(nèi)容。由于我國的計(jì)算機(jī)網(wǎng)絡(luò)信息管理并不安全，所以，需通過強(qiáng)化安全運(yùn)行，實(shí)施科學(xué)的網(wǎng)絡(luò)安全管理措施，采用規(guī)范的方法進(jìn)行管理和改善，比如，采取雙機(jī)備、雙機(jī)容錯等方式，對一些關(guān)鍵的設(shè)備需要避免突發(fā)事件，對網(wǎng)絡(luò)架構(gòu)方面的設(shè)計(jì)，要提高主干網(wǎng)絡(luò)鏈路的準(zhǔn)確性。管理者也要加強(qiáng)自身科學(xué)文化、思想品德方面的教育，要做到與員工溝通，提高員工的思想認(rèn)識和個(gè)人素質(zhì)等。強(qiáng)化安全運(yùn)行及操作管理能有效地解決我國計(jì)算機(jī)網(wǎng)絡(luò)信息化管理中的安全風(fēng)險(xiǎn)問題，這也是降低計(jì)算機(jī)網(wǎng)絡(luò)信息化管理中風(fēng)險(xiǎn)的有效策略。

4.2 強(qiáng)化密碼管理及計(jì)算機(jī)網(wǎng)絡(luò)信息化管理風(fēng)險(xiǎn)防范

為了能確保電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行，強(qiáng)化密碼管理、加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息化管理風(fēng)險(xiǎn)的防范是必不可少的內(nèi)容。由于我國當(dāng)下的電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行狀況并不安全，丟失的密碼很難找到，因此，對計(jì)算機(jī)網(wǎng)絡(luò)設(shè)置密碼時(shí)，不可設(shè)置默認(rèn)密碼，還需定期修改密碼，強(qiáng)化密碼管理，加強(qiáng)安全運(yùn)行及操作，使用科學(xué)、規(guī)范的渠道和方法進(jìn)行管理和改善。而計(jì)算機(jī)網(wǎng)絡(luò)信息化管理本身就存在一定的風(fēng)險(xiǎn)，加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息化管理風(fēng)險(xiǎn)的規(guī)范和指導(dǎo)能將運(yùn)行的風(fēng)險(xiǎn)降至最低，同時(shí)，這也是對計(jì)算機(jī)網(wǎng)絡(luò)信息化管理安全運(yùn)行的有力保障。此外，領(lǐng)導(dǎo)層需要重視計(jì)算機(jī)網(wǎng)絡(luò)信息化管理安全的管理工作，改變陳舊的觀念，對計(jì)算機(jī)網(wǎng)絡(luò)信息化安全管理投入一定的資金和人才，才能使計(jì)算機(jī)網(wǎng)絡(luò)信息安全系統(tǒng)不斷地完善與成熟。

4.3 加大系統(tǒng)運(yùn)行的技術(shù)投入，提高安全監(jiān)控技術(shù)水平

加大系統(tǒng)運(yùn)行的技術(shù)投入是確保計(jì)算機(jī)網(wǎng)絡(luò)信息化管理安全的重要內(nèi)容，是電力企業(yè)進(jìn)行轉(zhuǎn)型升級必不可少的一個(gè)環(huán)節(jié)。一般情況下，電力企業(yè)可以通過采用以計(jì)算機(jī)為基礎(chǔ)的自動化技術(shù)，為計(jì)算機(jī)網(wǎng)絡(luò)信息化管理的運(yùn)行提供相關(guān)的技術(shù)支持和安全保障。計(jì)算機(jī)為基礎(chǔ)的自動化技術(shù)是在網(wǎng)絡(luò)運(yùn)行中采集電度、保護(hù)系統(tǒng)等，也是常用的分布式綜合自動化系統(tǒng)。為了能有效提升計(jì)算機(jī)網(wǎng)絡(luò)信息化管理的安全監(jiān)控技術(shù)水平，還需分析與研究黑客入侵的手段、網(wǎng)絡(luò)防病毒的進(jìn)展、檢測報(bào)警技術(shù)、系統(tǒng)訪問控制和審計(jì)技術(shù)及計(jì)算機(jī)網(wǎng)絡(luò)信息化管理安全產(chǎn)品的研發(fā)等，探討計(jì)算機(jī)網(wǎng)絡(luò)信息化管理中的安全控制策略，建立全面、科學(xué)、合理的管理體系，實(shí)現(xiàn)各種數(shù)據(jù)之間的及時(shí)溝通和互動，確保信息安全產(chǎn)業(yè)的穩(wěn)定運(yùn)行。

5 結(jié) 語

由于我國電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息化管理的建設(shè)起步較晚、發(fā)展較慢，在安全風(fēng)險(xiǎn)管理體系的應(yīng)用和建設(shè)上還存在很多的不足，所以，我國電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息化管理建設(shè)安全的風(fēng)險(xiǎn)管理工作還需進(jìn)一步改善和管理。

加強(qiáng)對計(jì)算機(jī)網(wǎng)絡(luò)信息化管理的管理工作、強(qiáng)化安全運(yùn)行及操作管理、加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息化管理風(fēng)險(xiǎn)防范及加大系y運(yùn)行的技術(shù)投入等，能有效確保計(jì)算機(jī)網(wǎng)絡(luò)信息化管理安全、穩(wěn)定地運(yùn)行。此外，還要進(jìn)一步加強(qiáng)對計(jì)算機(jī)網(wǎng)絡(luò)信息化的研究和管理工作，對出現(xiàn)的問題要及時(shí)解決，這對我國電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息化管理的安全運(yùn)行和未來發(fā)展都起到了直接的推動作用。

以上就是對電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的具體介紹，筆者對其研究還不太全面，還存在一些不足之處，這也是筆者以后繼續(xù)努力學(xué)習(xí)和探索的方向。

主要參考文獻(xiàn)

[1]林萬孝.計(jì)算機(jī)局域網(wǎng)絡(luò)技術(shù)及其應(yīng)用[J].今日科技，2001（3）.

第2篇：網(wǎng)絡(luò)信息安全管理體系范文

網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)主要是通過互聯(lián)網(wǎng)絡(luò)技術(shù)的現(xiàn)代企事業(yè)會計(jì)信息系統(tǒng)，采用聯(lián)機(jī)實(shí)時(shí)操作，從而實(shí)現(xiàn)多元化報(bào)告，并能形成主動提供與主動獲取相結(jié)合的人機(jī)交互信息使用綜合體。網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)的發(fā)展能夠?yàn)闀?jì)信息使用者提供實(shí)施經(jīng)濟(jì)管理與決策的有效準(zhǔn)確信息。而在網(wǎng)絡(luò)會計(jì)時(shí)代，網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)作為會計(jì)信息媒介，承載著會計(jì)信息的存儲與傳遞功能，而網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)的信息安全問題也成為網(wǎng)絡(luò)會計(jì)信息數(shù)據(jù)的安全問題。網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)以互聯(lián)網(wǎng)技術(shù)作為核心，也受到網(wǎng)絡(luò)開放性與共享性的影響，網(wǎng)絡(luò)系統(tǒng)的安全容易受到病毒、黑客的威脅，因此在網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)的應(yīng)用過程中，應(yīng)當(dāng)明確認(rèn)識到網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)的信息安全隱患，將信息載體由紙介質(zhì)轉(zhuǎn)變?yōu)榇判越橘|(zhì)，需要提升磁性介質(zhì)的要求和載體信息的依賴性，在檔案保存和信息存儲過程中具有較高風(fēng)險(xiǎn)。

二、網(wǎng)絡(luò)會計(jì)信息系統(tǒng)安全存在的問題

1.黑客安全隱患。在全面開放的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)會計(jì)信息系統(tǒng)也存在多種安全隱患，病毒和黑客攻擊的安全隱患，由于互聯(lián)網(wǎng)的開放特征，網(wǎng)絡(luò)會計(jì)信息系統(tǒng)通過互聯(lián)網(wǎng)的計(jì)算機(jī)系統(tǒng)可以共享信息資源，也給非善意訪問者提供了方便。黑客攻擊是互聯(lián)網(wǎng)系統(tǒng)的重要威脅，重要信息被盜取和網(wǎng)站的崩潰，都會對網(wǎng)絡(luò)會計(jì)信息系統(tǒng)造成嚴(yán)重影響。而計(jì)算機(jī)病毒也會給網(wǎng)絡(luò)會計(jì)信息系統(tǒng)帶來重大威脅，從原始的木馬程序到后來的CIH等病毒的肆虐，病毒制造技術(shù)發(fā)展的同時(shí)，也使得病毒具備了更大的破壞力，網(wǎng)絡(luò)軟件自身程序的不穩(wěn)定因素也會為網(wǎng)絡(luò)系統(tǒng)帶來眾多隱患。

2.信息安全隱患。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，整個(gè)社會的經(jīng)濟(jì)生產(chǎn)結(jié)構(gòu)和勞動結(jié)構(gòu)都受到網(wǎng)絡(luò)技術(shù)的影響作用，在企事業(yè)管理模式方面，也由傳統(tǒng)的的企事業(yè)管理模式和財(cái)務(wù)管理模式與網(wǎng)絡(luò)技術(shù)相結(jié)合，網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)便是傳統(tǒng)財(cái)務(wù)管理模式與網(wǎng)絡(luò)技術(shù)的結(jié)合，通過互聯(lián)網(wǎng)技術(shù)的開放性和共享性，實(shí)現(xiàn)在線財(cái)務(wù)管理、遠(yuǎn)程財(cái)務(wù)處理、網(wǎng)上財(cái)務(wù)查詢和網(wǎng)上支付等功能，并最終實(shí)現(xiàn)企事業(yè)資金與信息的高度統(tǒng)一，有利于企事業(yè)管理者實(shí)施經(jīng)濟(jì)管理與決策的有效準(zhǔn)確信息。財(cái)務(wù)信息是反映企事業(yè)財(cái)務(wù)經(jīng)營成果和財(cái)務(wù)狀況的重要依據(jù)，設(shè)計(jì)到企事業(yè)內(nèi)部上機(jī)密的財(cái)務(wù)信息若是遭到泄露、破壞和意識，會對企事業(yè)財(cái)務(wù)管理造成嚴(yán)重影響，不利于企事業(yè)財(cái)務(wù)管理工作的正常運(yùn)行。

3.檔案安全隱患。網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的財(cái)務(wù)實(shí)施需要依靠相應(yīng)的財(cái)務(wù)軟件才能完成，而這些財(cái)務(wù)軟件主要包括單機(jī)版、局域網(wǎng)絡(luò)版財(cái)務(wù)軟件和硬件系統(tǒng)兩個(gè)方面，而財(cái)務(wù)軟件的全面升級，也會導(dǎo)致這些網(wǎng)絡(luò)財(cái)務(wù)軟件不一定能夠兼容其他財(cái)務(wù)軟件，由于數(shù)據(jù)格式問題、數(shù)據(jù)庫問題、接口問題等原因，以前的財(cái)務(wù)信息無法被錄入網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)中。而會計(jì)檔案更是無法兼容，導(dǎo)致新的網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)無法查詢原有的財(cái)務(wù)信息，給會計(jì)檔案工作帶來了失效風(fēng)險(xiǎn)。

4.內(nèi)部安全隱患。傳統(tǒng)的會計(jì)系統(tǒng)對于業(yè)務(wù)活動的使用授權(quán)標(biāo)準(zhǔn)具有較高合法性、職責(zé)性和正確性的要求，而網(wǎng)絡(luò)財(cái)務(wù)管理工作中，財(cái)務(wù)信息的存儲和處理集中在互聯(lián)網(wǎng)絡(luò)，許多的會計(jì)業(yè)務(wù)相互交叉，而互聯(lián)網(wǎng)絡(luò)信息資源的共享，在加大財(cái)務(wù)信息復(fù)雜程度的同時(shí)，也加快了會計(jì)業(yè)務(wù)的交叉速度，導(dǎo)致傳統(tǒng)會計(jì)系統(tǒng)中某些內(nèi)部控制機(jī)制失效。

5.人才安全隱患。企事業(yè)網(wǎng)絡(luò)會計(jì)信息系統(tǒng)實(shí)施之后，需要高技術(shù)、高層次的復(fù)合會計(jì)人才的運(yùn)作與支持，否則企事業(yè)網(wǎng)絡(luò)會計(jì)信息系統(tǒng)無法充分發(fā)揮其功效，網(wǎng)絡(luò)財(cái)務(wù)與電子商務(wù)的發(fā)展，也暴露出這部分人才的欠缺現(xiàn)狀，如果企事業(yè)在沒有找到合適人才時(shí)就盲目實(shí)施網(wǎng)絡(luò)會計(jì)信息系統(tǒng)財(cái)務(wù)工作，會使網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的安全問題更為突出。

三、網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的安全管理

1.安全策略。企事業(yè)網(wǎng)絡(luò)會計(jì)信息系統(tǒng)財(cái)務(wù)工作的加強(qiáng)，需要建立相應(yīng)的安全策略，從而降低網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的安全隱患，保障企事業(yè)財(cái)務(wù)工作的開展。而安全則略主要是企事業(yè)設(shè)立的相應(yīng)制度規(guī)范，對加強(qiáng)對網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的管理工作方面，企事業(yè)的全體人員都應(yīng)當(dāng)自覺遵守策略中的規(guī)定，更有效的管理網(wǎng)絡(luò)會計(jì)信息系統(tǒng)，保證網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的正常運(yùn)行。并且企事業(yè)安全策略在制定過程中一定要明確對企事業(yè)工作人員的職責(zé)進(jìn)行規(guī)劃，將網(wǎng)絡(luò)會計(jì)信息系統(tǒng)中的各類信息資源進(jìn)行合理的保護(hù)，并明確指出企事業(yè)所要保護(hù)信息的目標(biāo)，讓企事業(yè)網(wǎng)絡(luò)會計(jì)信息系統(tǒng)安全策略能夠與企事業(yè)人員的日常操作相結(jié)合，提升企事業(yè)人員對網(wǎng)絡(luò)會計(jì)信息系統(tǒng)安全問題的重視程度。

第3篇：網(wǎng)絡(luò)信息安全管理體系范文

1.移動網(wǎng)絡(luò)信息安全管理的特征體現(xiàn)以及主要內(nèi)容

1.1 移動網(wǎng)絡(luò)信息安全管理的特征體現(xiàn)分析

移動網(wǎng)絡(luò)信息的安全管理過程中，有著鮮明特征體現(xiàn)，其中在網(wǎng)絡(luò)信息安全管理的動態(tài)化特征山比較突出。在信息網(wǎng)絡(luò)的不斷發(fā)展過程中，對信息安全管理的動態(tài)化實(shí)施就比較重要。由于網(wǎng)絡(luò)的更新?lián)Q代比較快，這就必須在信息安全管理上形成動態(tài)化的管理。

移動網(wǎng)絡(luò)信息安全管理的相對化特征上也比較突出，對移動網(wǎng)絡(luò)的信息安全管理沒有絕對可靠的安全管理措施。通過相應(yīng)的方法手段應(yīng)用，能有助于對移動網(wǎng)絡(luò)的信息安全管理的效率提高，在保障性方面能加強(qiáng)，但是不能完善保障信息的安全性。所以在信息安全管理的相對性特征上比較突出。

另外，移動網(wǎng)絡(luò)信息的安全管理天然化以及周期性的特征上也比較突出。移動網(wǎng)絡(luò)的系統(tǒng)應(yīng)用中并不是完美的，在受到多方面因素的影響下，就會存在著自然災(zāi)害以及錯誤操作的因素影響，這就對信息安全的管理有著很大威脅。需要對移動網(wǎng)絡(luò)系統(tǒng)做好更新管理的準(zhǔn)備，保障管理工作能夠順利進(jìn)行。在對系統(tǒng)建設(shè)的工作實(shí)施上有著周期化特征。

1.2 移動網(wǎng)絡(luò)信息安全管理的主要內(nèi)容分析

加強(qiáng)對移動網(wǎng)絡(luò)信息的安全管理，就要能充分重視其內(nèi)容的良好保證，在信息的安全保障上主要涉及到管理方法以及技術(shù)應(yīng)用和法律規(guī)范這三個(gè)內(nèi)容。在對移動網(wǎng)絡(luò)信息的安全管理中，需要員工在信息安全的意識上能加強(qiáng)，在信息安全管理的水平上要能有效提高，在對風(fēng)險(xiǎn)抵御的能力上不斷加強(qiáng)。將移動網(wǎng)絡(luò)信息安全管理的基礎(chǔ)性工作能得以有效加強(qiáng)，在服務(wù)水平上能有效提高。然后在對移動網(wǎng)絡(luò)信息安全的管理體系方面進(jìn)行有效優(yōu)化，在信息安全管理能力上進(jìn)行有效提高，對風(fēng)險(xiǎn)評估的工作能妥善實(shí)施，這些都是網(wǎng)絡(luò)信息安全管理的重要內(nèi)容。

2.移動網(wǎng)絡(luò)信息安全管理問題和應(yīng)對策略

2.1 移動網(wǎng)絡(luò)信息安全管理問題分析

移動網(wǎng)絡(luò)信息安全管理工作中，會遇到各種各樣的問題，網(wǎng)絡(luò)的自主核心技術(shù)的缺乏，就會帶來黑客的攻擊問題。我國在移動網(wǎng)絡(luò)的建設(shè)過程中，由于在自主核心技術(shù)方面比較缺乏，在網(wǎng)絡(luò)應(yīng)用的軟硬件等都是進(jìn)口的，所以在系統(tǒng)中就會存在著一些漏洞。黑客會利用這些系統(tǒng)漏洞對網(wǎng)絡(luò)發(fā)起攻擊，在信息安全方面受到很大的威脅。

再者，移動網(wǎng)絡(luò)的開放性特征，也使得在具體的網(wǎng)絡(luò)應(yīng)用過程中，在網(wǎng)系的滲透攻擊問題比較突出。在網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)以及平臺的應(yīng)用下，由于網(wǎng)絡(luò)滲透因素的影響，就比較容易出現(xiàn)黑客攻擊以及惡意軟件的攻擊等問題，這就對移動網(wǎng)絡(luò)信息的安全性帶來很大威脅。具體的移動網(wǎng)絡(luò)物理管理和環(huán)境的安全管理工作上沒有明確職責(zé)，在運(yùn)營管理方面沒有加強(qiáng)，對網(wǎng)絡(luò)訪問控制方面沒有加強(qiáng)。以及在網(wǎng)絡(luò)系統(tǒng)的開發(fā)維護(hù)方面還存在著諸多安全風(fēng)險(xiǎn)。

2.2 移動網(wǎng)絡(luò)信息安全管理優(yōu)化策略

加強(qiáng)移動網(wǎng)絡(luò)信息安全管理，就要能充分重視從技術(shù)層面進(jìn)行加強(qiáng)和完善。移動網(wǎng)絡(luò)企業(yè)要走自力更生和研發(fā)的道路，在移動網(wǎng)絡(luò)的核心技術(shù)以及系統(tǒng)的研發(fā)進(jìn)程上要能加強(qiáng)。對移動網(wǎng)絡(luò)信息的安全隱患方面要能及時(shí)性的消除，將移動網(wǎng)絡(luò)安全防護(hù)的能力有效提高。還要能充分重視對移動網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評估妥善實(shí)施，構(gòu)建有效完善的信息系統(tǒng)安全風(fēng)險(xiǎn)評估制度，對潛在的安全威脅加強(qiáng)防御。

再者，對移動網(wǎng)絡(luò)安全監(jiān)測預(yù)警機(jī)制要完善建立。保障移動網(wǎng)絡(luò)信息的安全性，就要能注重對移動網(wǎng)絡(luò)信息流量以及用戶操作和軟硬件設(shè)備的實(shí)時(shí)監(jiān)測。在出現(xiàn)異常的情況下能夠及時(shí)性的警報(bào)。在具體的措施實(shí)施上來看，就要能充分重視漏洞掃描技術(shù)的應(yīng)用，對移動網(wǎng)絡(luò)系統(tǒng)中的軟硬件漏洞及時(shí)性查找，結(jié)合實(shí)際的問題來探究針對性的解決方案。對病毒的監(jiān)測技術(shù)加以應(yīng)用，這就需要對殺毒軟件以及防毒軟件進(jìn)行安裝，對網(wǎng)絡(luò)病毒及時(shí)性的查殺。

將入侵檢測技術(shù)應(yīng)用在移動網(wǎng)絡(luò)信息安全管理中去。加強(qiáng)對入侵檢測技術(shù)的應(yīng)用，對可能存在安全隱患的文件進(jìn)行掃描，及時(shí)性的防治安全文件和病毒的侵害。在內(nèi)容檢查工作上也要能有效實(shí)施，這就需要在網(wǎng)絡(luò)信息流的內(nèi)容上能及時(shí)性查殺，對發(fā)生泄密以及竊密等問題及時(shí)性的報(bào)警等。這樣對移動網(wǎng)絡(luò)信息的安全性保障也有著積極作用。

另外，為能保障移動網(wǎng)絡(luò)信息的安全性，就要充分注重移動網(wǎng)絡(luò)應(yīng)急機(jī)制的完善建立，對網(wǎng)絡(luò)災(zāi)難恢復(fù)方案完善制定。在網(wǎng)絡(luò)遭到了攻擊后，能夠及時(shí)性的分析原因，采取針對性的方法加以應(yīng)對。這就需要能夠部署IPS入侵防護(hù)系統(tǒng)進(jìn)行應(yīng)用，以及對運(yùn)用蜜罐技術(shù)對移動網(wǎng)絡(luò)信息安全進(jìn)行保障。

3.結(jié)語

第4篇：網(wǎng)絡(luò)信息安全管理體系范文

急救中心必須依靠計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)來完成醫(yī)療緊急救援任務(wù)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛運(yùn)用, 常有故障或安全隱患存在, 不但影響急救工作的順利開展, 也會給急救中心的社會聲譽(yù)帶來負(fù)面影響。所以, 在應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)過程中, 應(yīng)重視維護(hù)和管理計(jì)算機(jī)及其網(wǎng)絡(luò), 針對運(yùn)行過程中存在的問題和安全隱患, 實(shí)施有效性的維護(hù)與管理措施, 為計(jì)算機(jī)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行提供保障。

2 基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的急救指揮調(diào)度的特點(diǎn)

基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的指揮調(diào)度系統(tǒng)能提高調(diào)度效率, 完善通訊網(wǎng)絡(luò), 滿足急救需求, 其特點(diǎn)表現(xiàn)在:

2.1 即時(shí)收集處理信息

急救中心接入呼救電話后, 利用GPS技術(shù)和GIS技術(shù)分析電話號碼, 搜索并確定患者的位置。即使患者因病情沒有完整給出信息, 急救中心也能找到患者并實(shí)時(shí)救治, 系統(tǒng)生成最佳出車路線, 節(jié)省人工查詢時(shí)間。錄音功能可以解決語言信息模糊或偏差的問題, 利用錄音內(nèi)容尋找其他信息, 實(shí)現(xiàn)患者定位。

2.2 自動化和網(wǎng)絡(luò)化調(diào)度

以往急救指揮調(diào)度由人工完成, 工作效率低, 差錯率較高, 往往威脅急危重癥患者的生命安全。應(yīng)用指揮調(diào)度系統(tǒng)后, 在接入呼救電話時(shí)就開始電話錄音、記錄信息、分析患者地點(diǎn)、生成最佳出車路線、制定急救方案等的運(yùn)行, 節(jié)省了人工操作時(shí)間, 提高了工作精度, 出車時(shí)間較短。

2.3 信息共享和科學(xué)決策

在突發(fā)事件應(yīng)急處理過程中, 需要多部門協(xié)作, 醫(yī)療緊急救援需要應(yīng)急人員和車輛的密切配合, 指揮調(diào)度系統(tǒng)能能分析現(xiàn)場情況, 聯(lián)系周邊應(yīng)急救援部門, 調(diào)整和升級應(yīng)急處置方案, 為科學(xué)決策提供準(zhǔn)確依據(jù)。

3 存在問題和安全隱患

3.1 硬件問題及其安全隱患

硬件是計(jì)算機(jī)正常工作的前提, 優(yōu)質(zhì)的硬件設(shè)施有利于高效運(yùn)行計(jì)算機(jī)和網(wǎng)絡(luò)。從實(shí)際情況看, 很多急救中心計(jì)算機(jī)設(shè)備各項(xiàng)指標(biāo)嚴(yán)重不合格, 尤其是硬件設(shè)備總是會出現(xiàn)各種問題。如目前使用的落后的主機(jī), 工作速度無法滿足日常工作的需求, 有時(shí)出現(xiàn)死機(jī)現(xiàn)象, 大大降低了工作效率;其次, 使用的光纜和光纖質(zhì)量差, 會出現(xiàn)網(wǎng)絡(luò)斷開連不上網(wǎng)的現(xiàn)象, 不利于順利高效地開展工作。

3.2 軟件問題及其安全隱患

軟件是計(jì)算機(jī)正常工作的關(guān)鍵因素。計(jì)算機(jī)網(wǎng)絡(luò)軟件出現(xiàn)的問題主要包括: (1) 系統(tǒng)不兼容更新升級不及時(shí)。由于計(jì)算機(jī)系統(tǒng)沒有升級, 阻礙了急救指揮調(diào)度系統(tǒng)的運(yùn)行和維護(hù), 無法編輯錄入相關(guān)資料, 不能及時(shí)更新和完善重要的數(shù)據(jù), 甚至導(dǎo)致系統(tǒng)癱瘓。 (2) 病毒侵入。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)結(jié)合使指揮調(diào)度系統(tǒng)更加先進(jìn), 病毒也更加容易侵入。如果技術(shù)人員沒有監(jiān)控到病毒或任其肆意入侵, 那么病毒會破壞計(jì)算機(jī)系統(tǒng), 導(dǎo)致無法正常顯示電腦屏幕, 不能及時(shí)、準(zhǔn)確傳遞相關(guān)消息, 導(dǎo)致死機(jī)、系統(tǒng)崩潰, 影響正常工作。 (3) 信息泄密。急救指揮調(diào)度系統(tǒng)中急救中心自身信息、患者資料都需要保密。一旦計(jì)算機(jī)被外網(wǎng)侵入, 那么會破壞計(jì)算機(jī)系統(tǒng), 導(dǎo)致數(shù)據(jù)流出, 醫(yī)患雙方的利益均受到損害, 降低了急救中心的社會信譽(yù)。

3.3 網(wǎng)絡(luò)安全隱患

IP地址被劫持, 不法分子會應(yīng)用網(wǎng)絡(luò)TCP/IP協(xié)議偽造主機(jī)IP, 進(jìn)而發(fā)送具有欺騙性的數(shù)據(jù)包, 造成主機(jī)、網(wǎng)絡(luò)癱瘓。攻擊路由協(xié)議, 侵入者偽裝數(shù)據(jù)系統(tǒng), 竊取和泄露數(shù)據(jù)信息。

3.4 人為因素

應(yīng)該說, 急救中心計(jì)算機(jī)和網(wǎng)絡(luò)安全事故多由人為因素造成。如工作時(shí)不小心切斷電源, 遺失未保存的數(shù)據(jù), 計(jì)算機(jī)系統(tǒng)無法正常工作;再如專業(yè)技術(shù)人員未掌握足夠的計(jì)算機(jī)知識, 出現(xiàn)操作失誤, 威脅計(jì)算機(jī)網(wǎng)絡(luò)安全。

4 計(jì)算機(jī)維護(hù)和網(wǎng)絡(luò)安全管理措施

4.1 計(jì)算機(jī)維護(hù)措施

急救中心相關(guān)數(shù)據(jù)的采集、儲存、傳遞、醫(yī)患和醫(yī)醫(yī)交流等一般均需要利用計(jì)算機(jī)操作來完成, 必須做好計(jì)算機(jī)維護(hù)工作。

要重視計(jì)算機(jī)檢修和保養(yǎng)。要延長計(jì)算機(jī)使用年限, 必須重視計(jì)算機(jī)保養(yǎng)。專業(yè)技術(shù)人員要定期檢修和保養(yǎng)計(jì)算機(jī), 定期檢查計(jì)算機(jī)硬件設(shè)備是否存在問題;要經(jīng)常使用專用的刷子、專用的清潔劑維護(hù)硬件設(shè)備;要整理室內(nèi)線路, 保證整齊清潔, 為計(jì)算機(jī)提供輕松舒適的環(huán)境。

重視軟件保護(hù)。要定期維護(hù)和升級計(jì)算機(jī)系統(tǒng)和應(yīng)用程序相關(guān)數(shù)據(jù), 備份重要數(shù)據(jù), 保證數(shù)據(jù)信息的完整性。

普及計(jì)算機(jī)知識。數(shù)字化信息化管理方式要求工作人員必須掌握計(jì)算機(jī)知識, 強(qiáng)化維護(hù)計(jì)算機(jī), 保證安全。

4.2 網(wǎng)絡(luò)安全管理措施

做好網(wǎng)絡(luò)安全管理是保證急救中心工作正常運(yùn)行的核心因素。要加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全。加強(qiáng)網(wǎng)絡(luò)安全, 要求有高監(jiān)控的管理, 加密相關(guān)數(shù)據(jù)。高監(jiān)控指使用網(wǎng)絡(luò)防火墻、安裝360、電腦管家等查殺病毒的軟件, 前提是這些軟件本身具有較高的安全性, 能夠有效抵抗黑客、外網(wǎng)、病毒入侵;加密相關(guān)數(shù)據(jù), 指重新錄入計(jì)算機(jī)網(wǎng)絡(luò)的相關(guān)數(shù)據(jù)信息, 不法分子無法獲取加密信息的內(nèi)容, 能有效避免相關(guān)數(shù)據(jù)泄密事故的發(fā)生, 確保網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。 (1) 設(shè)置防火墻。防火墻能夠分隔內(nèi)部網(wǎng)絡(luò)與其他公共網(wǎng)絡(luò), 其他用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)時(shí), 需經(jīng)過授權(quán), 隔離非法訪問, 實(shí)現(xiàn)網(wǎng)絡(luò)安全運(yùn)行。 (2) 引入加密技術(shù)。在計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與管理工作中, 需保持高度警惕, 加密處理原有文件數(shù)據(jù), 傳輸重要數(shù)據(jù)時(shí), 可引入對稱加密與非對稱加密兩種技術(shù), 最大限度確保數(shù)據(jù)安全性。 (3) 安裝殺毒軟件, 定期掃描, 及時(shí)發(fā)現(xiàn)并識別出可疑程序, 確認(rèn)為病毒后, 立即隔離, 并依據(jù)具體情況強(qiáng)制清除病毒程序。 (4) 防范黑客進(jìn)入。相關(guān)管理人員應(yīng)不斷加強(qiáng)防范黑客意識, 定期更新身份認(rèn)證系統(tǒng), 定期修改重要賬戶密碼。

要建立健全網(wǎng)絡(luò)管理規(guī)章制度。專業(yè)技術(shù)人員應(yīng)進(jìn)行相關(guān)設(shè)置, 工作人員必須注冊賬號, 配合身份權(quán)限才能登陸急救指揮調(diào)度系統(tǒng)網(wǎng)絡(luò), 防止不法分子盜取相關(guān)信息, 防止外部端口接入網(wǎng)絡(luò), 提高網(wǎng)絡(luò)安全。因此, 必須建立健全各項(xiàng)規(guī)章制度, 做好防控布控工作, 防止網(wǎng)絡(luò)出現(xiàn)失聯(lián)和混亂的局面, 從制度層面消除潛在的網(wǎng)絡(luò)安全威脅因素。

成立計(jì)算機(jī)維護(hù)和專業(yè)技術(shù)小組。在提高工作人員維護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)安全意識的同時(shí), 應(yīng)成立計(jì)算機(jī)維護(hù)中心, 專業(yè)技術(shù)人員及時(shí)檢測計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行中存在的問題并找出有效解決方案, 做好計(jì)算的檢修和保養(yǎng)工作。

4.3 積極引入新型計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)

(1) 引入NTFS區(qū)分格式服務(wù)器, 彌補(bǔ)DOS系統(tǒng)缺陷, 降低病毒感染計(jì)算機(jī)可能性。 (2) 注重識別外來移動硬盤, 不得隨意插入到計(jì)算機(jī)上。 (3) 定期更新計(jì)算機(jī)軟件, 降低軟件系統(tǒng)漏洞數(shù)量。 (4) 將基于Windows NT開發(fā)的32位實(shí)時(shí)掃描、殺毒等軟件安裝于計(jì)算機(jī)上。 (5) office類程序不直接在Windows NT上進(jìn)行運(yùn)行, 以預(yù)防因病毒感染而誤刪重要文件。

4.4 加強(qiáng)機(jī)房管理

(1) 注重盤查與監(jiān)督機(jī)房進(jìn)出人員, 要認(rèn)真識別訪問者身份信息后再決定能否讓其進(jìn)入。 (2) 實(shí)時(shí)監(jiān)控機(jī)房, 要監(jiān)督在機(jī)房中活動人員的動向, 以便及時(shí)發(fā)現(xiàn)異常行為并處理。 (3) 將多層安全防護(hù)圈設(shè)置于計(jì)算機(jī)機(jī)房系統(tǒng)中心, 避免不法分子暴力入侵, 保證機(jī)房安全性。 (4) 注重控制機(jī)房的溫度、濕度、電氣干擾等, 保證機(jī)房正常運(yùn)行, 為計(jì)算機(jī)網(wǎng)絡(luò)順利運(yùn)行提供支持。

參考文獻(xiàn)

[1]張波.探析醫(yī)院計(jì)算機(jī)系統(tǒng)的管理措施與維護(hù)思路[J].科技創(chuàng)新導(dǎo)報(bào), 2013 (25) :29.

第5篇：網(wǎng)絡(luò)信息安全管理體系范文

關(guān)鍵詞：信息安全管理；風(fēng)險(xiǎn)評估；監(jiān)控

中圖分類號：TP393.08

信息是現(xiàn)代社會中不可缺少的一項(xiàng)重要元素，尤其是在商業(yè)活動中，信息已經(jīng)成為市場競爭的重要手段，因此對信息安全的管理在商業(yè)活動中顯得尤為重要。信息安全管理體系（Information Security Management System，簡稱為ISMS），是建立和維持信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作，保持體系運(yùn)作的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系，其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的保證程度。

1 信息安全的風(fēng)險(xiǎn)評估與策略

1.1 信息安全的風(fēng)險(xiǎn)評估

信息安全管理屬于風(fēng)險(xiǎn)管理，即如何在一個(gè)確定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過程。因此，管理的核心要素就是對風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確識別和有效的評估，通過對信息安全進(jìn)行風(fēng)險(xiǎn)評估可以獲得安全管理的需求，幫助組織制定出最佳的信息安全管理策略，并且將風(fēng)險(xiǎn)控制在可承受的范圍之內(nèi)。一個(gè)科學(xué)、合理的信息安全風(fēng)險(xiǎn)評估策略應(yīng)該具有形影的標(biāo)準(zhǔn)體系、技術(shù)措施、組織框架以及法律法規(guī)。

1.2 信息安全策略

信息安全策略（Information Security Policy）是一個(gè)組織機(jī)構(gòu)中解決信息安全問題的重要組成部分。在一個(gè)組織內(nèi)部，通常是由技術(shù)管理者指定信息安全策略，如果是一個(gè)較為龐大的組織，制定信息安全策略的則可能是一個(gè)技術(shù)團(tuán)隊(duì)。信息安全策略是基于風(fēng)險(xiǎn)評估結(jié)果以保護(hù)組織的信息資產(chǎn)。信息安全策略對訪問組織的不同資產(chǎn)進(jìn)行權(quán)限設(shè)定，它是組織管理人員在建立、使用和審計(jì)信息系統(tǒng)時(shí)的信息來源。

信息安全策略具有非常廣泛的應(yīng)用范圍，在其基礎(chǔ)上做出的安全決定需要提供一個(gè)較高層次的原則性觀點(diǎn)。一個(gè)組織的信息安全策略能夠反映出一個(gè)組織對現(xiàn)實(shí)和未來安全風(fēng)險(xiǎn)的認(rèn)識水平，對于組織內(nèi)部業(yè)務(wù)人員和技術(shù)人員安全風(fēng)險(xiǎn)的處理。信息俺去那策略的制定同時(shí)還需要參考相關(guān)標(biāo)準(zhǔn)文本和安全管理的經(jīng)驗(yàn)。

1.3 信息安全管理措施

信息加密技術(shù)是網(wǎng)絡(luò)安全管理的核心問題，通過對網(wǎng)絡(luò)傳輸?shù)男畔①Y源進(jìn)行加密，以確保傳遞過程中的安全性和可靠性。用戶通過互聯(lián)網(wǎng)進(jìn)行網(wǎng)絡(luò)訪問時(shí)，應(yīng)該能夠控制訪問屬于自己的數(shù)據(jù)的訪問者身份，并且可以對訪問者的訪問情況進(jìn)行審核。這種訪問權(quán)限的控制，需要開發(fā)相應(yīng)的權(quán)限控制程度，以作為安全防范措施使用。

用戶在對云計(jì)算網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行存儲時(shí)，其他用戶及云服務(wù)提供商在未被所有者允許的情況下不得對數(shù)據(jù)進(jìn)行查看及更改。這需要將數(shù)據(jù)在網(wǎng)絡(luò)存儲時(shí)，對其他用戶實(shí)行存儲隔離措施，同時(shí)對服務(wù)提供商實(shí)行存儲加密和文件系統(tǒng)的加密措施。鑒于云平臺的搭建多數(shù)基于商業(yè)方面，因此用戶的數(shù)據(jù)在基于云計(jì)算的網(wǎng)絡(luò)上進(jìn)行傳輸時(shí)要具有極高的保密性，包括在計(jì)算中心的內(nèi)部網(wǎng)絡(luò)和開放互聯(lián)網(wǎng)絡(luò)上。所以，應(yīng)該對所傳輸?shù)臄?shù)據(jù)信息在傳輸層進(jìn)行加密（HTTPS、VPN和SSL等），對服務(wù)提供商進(jìn)行網(wǎng)絡(luò)加密。由于基于云計(jì)算的網(wǎng)絡(luò)的數(shù)據(jù)重要性，為了防止各種數(shù)據(jù)毀滅性災(zāi)難和突發(fā)性事件，進(jìn)行按期定時(shí)的數(shù)據(jù)備份，使用數(shù)據(jù)庫鏡像策略和分布式存儲策略等，是確保網(wǎng)絡(luò)信息安全的一系列防范措施。

病毒對互聯(lián)網(wǎng)的安全威脅最為嚴(yán)重，主要可以通過病毒防御技術(shù)提升信息管理安全性。病毒是利用計(jì)算機(jī)軟硬件系統(tǒng)的缺陷，在原本正常運(yùn)行的程序中插入的一段能夠破壞計(jì)算機(jī)或數(shù)據(jù)的指令或代碼段，從而在執(zhí)行時(shí)影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)作而不易被人察覺，對計(jì)算機(jī)及信息安全的威脅最大。針對日益猖獗的計(jì)算機(jī)病毒，選擇一款適合系統(tǒng)使用環(huán)境的反病毒軟件顯得尤為重要，發(fā)現(xiàn)病毒侵入應(yīng)該及時(shí)查殺，同時(shí)要注意按時(shí)地更新病毒庫，并升級反病毒軟件版本。在殺毒的同時(shí)做好預(yù)防工作是最為行之有效的措施。防火墻是設(shè)置在不同類型網(wǎng)絡(luò)間的一系列硬件和軟件的集合，旨在控制不同網(wǎng)絡(luò)間的訪問、拒絕外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)資源的非法訪問，保證通過防火墻的數(shù)據(jù)包符合預(yù)設(shè)的安全策略，從而確保了網(wǎng)絡(luò)信息的服務(wù)安全。

入侵檢測作為防火墻技術(shù)的補(bǔ)充手段，是對成功繞過防火墻限制而入侵內(nèi)部網(wǎng)絡(luò)系統(tǒng)的行為進(jìn)行技術(shù)攻防的策略。其實(shí)質(zhì)是在不損耗網(wǎng)絡(luò)性能的前提下進(jìn)行監(jiān)聽分析用戶系統(tǒng)活動和違反安全策略的行為，對已威脅網(wǎng)絡(luò)安全的入侵行為識別并發(fā)出警報(bào)，同時(shí)生成異常行為分析，評估入侵行為帶來的損害程度。

目前，利用防火墻和入侵檢測相結(jié)合的方式，是防護(hù)網(wǎng)絡(luò)、拒絕外部網(wǎng)絡(luò)攻擊的最有效手段之一。任何一個(gè)系統(tǒng)都會存在安全漏洞，這包含已知的和未知的在應(yīng)用軟件和操作系統(tǒng)兩方面上的安全漏洞。在進(jìn)行漏洞掃描時(shí)，可以及時(shí)系統(tǒng)和網(wǎng)絡(luò)存在的安全漏洞，并打上漏洞補(bǔ)丁，進(jìn)行主動防御。在使用時(shí)可以將漏洞掃描與防火墻技術(shù)、入侵檢測技術(shù)三者相結(jié)合，形成網(wǎng)絡(luò)安全防范和防御的“黃金三角”。數(shù)據(jù)加密分為對稱性和非對稱性加密兩種，是在發(fā)送端以某種算法將數(shù)據(jù)明文轉(zhuǎn)換成密文，在接收端以密鑰進(jìn)行解密，從而保證信息在網(wǎng)絡(luò)存儲和傳輸?shù)倪^程中都是保密的，并且對網(wǎng)絡(luò)環(huán)境沒有任何特別的要求和限制。數(shù)據(jù)加密技術(shù)與防火墻技術(shù)相比較，對于信息安全的防護(hù)作用是全局性的，也是最后一道防線。

系統(tǒng)備份和數(shù)據(jù)恢復(fù)，是指對系統(tǒng)的重要核心數(shù)據(jù)和資料進(jìn)行備份，當(dāng)切防范和防御技術(shù)都失效并且計(jì)算機(jī)網(wǎng)絡(luò)遭到黑客攻擊時(shí)，能夠?qū)ο到y(tǒng)實(shí)施立即恢復(fù)的手段，這也是保證信息安全的挽救措施。除了以上所提及的技術(shù)性手段之外，大力開展信息安全教育和完善相關(guān)法律法規(guī)作為人為防范措施也不容被忽視。近年來，信息安全威脅之一的網(wǎng)絡(luò)欺騙就是因?yàn)楫?dāng)事人的信息安全意識淡薄和相關(guān)的調(diào)查取證困難造成的。因此，有必要做出改善措施，與技術(shù)手段相結(jié)合對信息安全發(fā)揮行之有效的影響。

2 結(jié)束語

綜上所述，隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)和高密度存儲技術(shù)的發(fā)展，電子信息化進(jìn)程在各個(gè)領(lǐng)域中得到了廣泛推廣和不斷深入研究。結(jié)合當(dāng)今社會的信息量爆炸式的增長情況，以及現(xiàn)階段的研究成果得出結(jié)論，當(dāng)今電子信息工程的安全問題和信息的有效利用問題仍將為研究的重點(diǎn)。本文重點(diǎn)研究了信息安全管理體系，根據(jù)信息安全管理的標(biāo)準(zhǔn)以及信息安全風(fēng)險(xiǎn)的特征，提出了一些具有針對性的信息安全管理措施，以實(shí)現(xiàn)對信息安全風(fēng)險(xiǎn)的有效評估和準(zhǔn)確預(yù)測，危險(xiǎn)性安全管理體系的實(shí)施提供重要保證。

參考文獻(xiàn)：

[1]張健.電子文件信息安全管理評估體系研究[J].檔案學(xué)通訊，2011，4.

[2]馬曉珺，趙哲.電子商務(wù)信息安全管理體系研究[J].安陽市師范學(xué)院學(xué)報(bào)，2008，2.

[3]劉曉紅.信息安全管理體系認(rèn)證及認(rèn)可[J].認(rèn)證技術(shù)，2011，5.

[4]喬甜.基于全員參與的信息安全管理體系研究[J].科技致富向?qū)В?013，6.

[5]王新輝，張建，李偉濤.基于生命周期分析信息安全管理體系[J].計(jì)算機(jī)技術(shù)與發(fā)展，2012，3.

第6篇：網(wǎng)絡(luò)信息安全管理體系范文

[關(guān)鍵詞]信息安全管理 評估模型 管理體系

中圖分類號：P9.T3308 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-914X（2016）21-0400-01

1、 引言

隨著信息化建設(shè)的發(fā)展，信息安全越來越多的受到人們的重視，企業(yè)信息安全重點(diǎn)面臨的問題主要表現(xiàn)在[1]：1）網(wǎng)絡(luò)受到外部的惡意攻擊，部分單位無終端接入控制措施，使企業(yè)的正常業(yè)務(wù)無法開展或相關(guān)重要數(shù)據(jù)被盜取；2）網(wǎng)站受到黑客攻擊，由于部分掌握網(wǎng)絡(luò)技術(shù)的不法人員查詢到破解網(wǎng)站所存在的漏洞，加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權(quán)限，使得網(wǎng)站陷入癱瘓；3）信息的監(jiān)管不利產(chǎn)生不良的影響，通常情況下信息沒有主管部門負(fù)責(zé)審核導(dǎo)致監(jiān)管不到位，那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上，造成不良影響；4）計(jì)算機(jī)病毒的危害，相關(guān)系統(tǒng)不及時(shí)更新補(bǔ)丁和升級，受到病毒入侵并加以利用，篡改應(yīng)用系統(tǒng)信息或獲取管理權(quán)限，使得應(yīng)用系統(tǒng)丟失重要信息。

當(dāng)前，有關(guān)信息系統(tǒng)的安全評價(jià)雖然存在著多種多樣的具體實(shí)踐方式，但在目前還沒有形成系統(tǒng)化和形式化的評價(jià)理論和方法。評價(jià)模型基本是基于灰色理論（Gray Theory）或者模糊（Fuzzy）數(shù)學(xué)，而評價(jià)方法基本上用層次分析法AHP[2]（Analytic Hierarchy Process）或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結(jié)合，建立了安全評價(jià)體系，并運(yùn)用隸屬函數(shù)和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統(tǒng)安全的某一個(gè)方面出發(fā)，如技術(shù)、管理、過程、人員等，著重于評估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實(shí)踐規(guī)范。在操作上主觀隨意性較強(qiáng)，其評估過程主要依靠測試者的技術(shù)水平和對網(wǎng)絡(luò)系統(tǒng)的了解程度，缺乏統(tǒng)一的、系統(tǒng)化的安全評估框架，很多評估準(zhǔn)則和指標(biāo)沒有與被評價(jià)對象的實(shí)際運(yùn)行情況和信息安全保障的效果結(jié)合起來。

大型企業(yè)信息安全管理體系的研究，就是為了尋找一個(gè)科學(xué)、合理的管理體系，并根據(jù)該體系和方法對大型企業(yè)的信息安全狀況和水平進(jìn)行評價(jià)，對信息安全管理績效進(jìn)行考核。

2、 大型企業(yè)信息安全管理體系的內(nèi)涵

通過管理體系的應(yīng)用，將對大型企業(yè)信息安全產(chǎn)生非常重要的作用。一是可以對企業(yè)信息安全的水平做出客觀的反應(yīng)，認(rèn)識企業(yè)信息安全存在的不足之處，發(fā)揮考評體系的指導(dǎo)作用，引導(dǎo)企業(yè)“信息安全”工作健康科學(xué)發(fā)展；二是可以為企業(yè)信息安全的建設(shè)指明方向，為信息安全的發(fā)展提供有力支撐；三是可以幫助企業(yè)管理者建立起一套科學(xué)的信息安全管理系統(tǒng)，有效控制信息化活動的進(jìn)程，提高信息安全級別，減少因信息安全事件引起的損失，有利于正確引導(dǎo)和規(guī)范企業(yè)的信息化建設(shè)，指導(dǎo)企業(yè)科學(xué)發(fā)展具有重要的意義。

3、 大型企業(yè)信息安全管理體系的主要做法

為了大型企業(yè)信息安全管理體系的建立，提出了管理體系的目標(biāo)：對于信息安全方面出現(xiàn)的問題，達(dá)到防范目的；對于信息安全工作進(jìn)行查漏補(bǔ)缺，加強(qiáng)管理；通過評估體系的考核，落實(shí)相關(guān)信息安全文件、推進(jìn)信息安全工作，為企業(yè)信息安全的建設(shè)指明方向，同時(shí)注重管理體系整體的時(shí)效性，根據(jù)信息安全發(fā)展的不同階段進(jìn)行及時(shí)更新。

1） 建立大型企業(yè)信息安全體系

信息安全體系總體設(shè)計(jì)。信息安全體系設(shè)計(jì)共分為三級，包含9個(gè)一級指標(biāo)，14個(gè)二級指標(biāo)，27個(gè)三級指標(biāo)。一級指標(biāo)和二級指標(biāo)為共性指標(biāo)，三級指標(biāo)為數(shù)據(jù)采集項(xiàng)。一級指標(biāo)包括：網(wǎng)絡(luò)安全管理、環(huán)境安全管理、應(yīng)用系統(tǒng)安全管理、數(shù)據(jù)安全管理、終端安全管理、操作安全管理、網(wǎng)絡(luò)信息安全、移動信息化安全、服務(wù)器掃描情況。一級和二級指標(biāo)結(jié)構(gòu)圖如下：

2）信息安全考評指標(biāo)的權(quán)重設(shè)計(jì)

指標(biāo)權(quán)重理論思路。具體權(quán)重根據(jù)德爾菲法[4]、層次分析法，結(jié)合政策導(dǎo)向確定。

管理體系的指標(biāo)權(quán)重確定方法設(shè)計(jì)過程中，選取兩組技術(shù)、管理等方面的專家，其中一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度，確定各指標(biāo)的相對重要性，采用層次分析法確定各指標(biāo)的權(quán)重。另外一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度，對各指標(biāo)按百分制進(jìn)行賦值，確定各指標(biāo)的權(quán)重。綜合兩組專家的意見，初步確定各指標(biāo)的權(quán)重，再組織專家研討會，最終確定各指標(biāo)的權(quán)重。

企業(yè)信息安全考評指標(biāo)總分計(jì)算方法：

I=Σ（Pi*Wi） （1）

I表示指標(biāo)體系的總得分；Pi表示第i個(gè)指標(biāo)的得分，各指標(biāo)得滿分都是100分；Wi表示第i個(gè)指標(biāo)的權(quán)重，所有指標(biāo)權(quán)重的和為100%。

3）建設(shè)大型企業(yè)信息化評價(jià)管理系統(tǒng)

為了實(shí)施信息安全措施體系，以信息安全體系、信息安全文件和考評制度為基礎(chǔ)，研發(fā)包括信息安全在內(nèi)的大型企業(yè)信息化評價(jià)管理系統(tǒng)。通過使用該系統(tǒng)，將減輕信息化管理部門的負(fù)擔(dān)，填報(bào)和匯總數(shù)據(jù)的效率顯著提高，最為突出的是以上報(bào)數(shù)據(jù)為基礎(chǔ)，可以自動、實(shí)時(shí)地形成各種統(tǒng)計(jì)、分析圖表，從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計(jì)工作，大大減輕了信息化管理部門的工作強(qiáng)度，增加了信息化管理部門對新情況快速反應(yīng)能力。

系統(tǒng)整體架構(gòu)由數(shù)據(jù)庫層、框架服務(wù)層、應(yīng)用邏輯層、界面表現(xiàn)層組成，系統(tǒng)部署了tomcat下運(yùn)行的I@Report和BI@Report作為框架服務(wù)層，并在此基礎(chǔ)上開發(fā)了業(yè)務(wù)系統(tǒng)。

系統(tǒng)主要實(shí)現(xiàn)了如下功能：

編碼同步、基層權(quán)限管理、評價(jià)初始化、基層初評、數(shù)據(jù)提交、部門權(quán)限管理（含單位、指標(biāo)項(xiàng)）、管理部門復(fù)評、信息稽核、數(shù)據(jù)計(jì)算、統(tǒng)計(jì)管理、查詢管理、決策模型。

建立統(tǒng)一的數(shù)據(jù)報(bào)送平臺，提高企業(yè)信息整合水平。

建立在線交流及公告平臺。

系統(tǒng)根據(jù)建立的數(shù)學(xué)模型進(jìn)行綜合分析，可自動、實(shí)時(shí)地形成各種統(tǒng)計(jì)分析圖表、報(bào)告等，例如：信息化評級、信息化水平評測報(bào)告。

4、 結(jié)束語

通過大型企業(yè)信息安全管理體系的實(shí)施，使企業(yè)信息化水平評估體系更加完善，在考評信息化建設(shè)水平的同時(shí)，又對信息安全水平等級有所提升。

參考文獻(xiàn)

[1] 周學(xué)廣，劉藝.信息安全學(xué)[M].北京：機(jī)械工業(yè)出版社，2003.

[2] 常建娥，蔣太立.層次分析法確定權(quán)重的研究[J].武漢理工大學(xué)學(xué)報(bào)，信息與管理工程版，2007，1（29）：153-156.

第7篇：網(wǎng)絡(luò)信息安全管理體系范文

關(guān)鍵詞：信息完全；技術(shù)；體系

一、前言

隨著金川集團(tuán)公司跨國經(jīng)營戰(zhàn)略的實(shí)施，企業(yè)信息化進(jìn)程不斷深入，企業(yè)信息安全己經(jīng)引起公司領(lǐng)導(dǎo)的的高度重視，但依然存在不少問題。調(diào)查結(jié)果表明，造成網(wǎng)絡(luò)安全事件發(fā)生的原因有很多，一是安全技術(shù)保障體系尚不完善，企業(yè)花了大量的金錢購買了信息安全設(shè)備，但是技術(shù)保障不成體系，達(dá)不到預(yù)想的目標(biāo);二是應(yīng)急反應(yīng)體系沒有經(jīng)常化、制度化;三是企業(yè)信息安全的標(biāo)準(zhǔn)、制度建設(shè)滯后。其中，由于未修補(bǔ)或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的80%，登錄密碼過于簡單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%。近年來，雖然使用單位對信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高，80%的被調(diào)查單位有專職或兼職的安全管理人員，但是，很多企業(yè)存在安全觀念薄弱、安全管理員缺乏培訓(xùn)、安全經(jīng)費(fèi)投入不足和安全產(chǎn)品不能滿足要求等問題，也說明目前安全管理水平還比較低。因此現(xiàn)代企業(yè)迫切需要建立信息資源安全管理體系。

二、企業(yè)信息資源安全管理體系構(gòu)建

1、企業(yè)信息安全組織管理

企業(yè)信息安全組織體系定義為一個(gè)三層的組織，組織架構(gòu)如圖所示:

企業(yè)信息安全組織

l)總經(jīng)理通過總經(jīng)辦負(fù)責(zé)企業(yè)信息、安全的決策事項(xiàng)。2)總經(jīng)理任命一名信息安全主管負(fù)責(zé)企業(yè)信息安全的風(fēng)險(xiǎn)管理，該主管領(lǐng)導(dǎo)一個(gè)有各個(gè)部門主要負(fù)責(zé)人參加的信息安全管理小組維護(hù)企業(yè)信息安全管理體系、管理企業(yè)信息安全風(fēng)險(xiǎn)。3)總經(jīng)理任命一名信息安全審計(jì)師，負(fù)責(zé)企業(yè)信息安全活動的審計(jì)。4)行政部門、業(yè)務(wù)部門和分支機(jī)構(gòu)執(zhí)行信息安全管理體系中的相應(yīng)安全政策，并在信息安全管理主管的領(lǐng)導(dǎo)下，實(shí)施風(fēng)險(xiǎn)管理計(jì)劃。各個(gè)部門負(fù)責(zé)人有義務(wù)向信息安全主管報(bào)告所管轄部門的信息安全狀況，信息安全主管應(yīng)定期在組織范圍內(nèi)和向上級機(jī)關(guān)報(bào)告企業(yè)信息安全狀況。

2、企業(yè)信息安全政策管理

根據(jù)企業(yè)信息安全風(fēng)險(xiǎn)分析的結(jié)果和信息安全政策制定的原則，設(shè)計(jì)信息安全政策體系包括以下幾點(diǎn)：（1）企業(yè)信息安全風(fēng)險(xiǎn)管理政策：a)信息安全風(fēng)險(xiǎn)定義，包括風(fēng)險(xiǎn)等級定義和安全類別定義;b)信息安全風(fēng)險(xiǎn)評估執(zhí)行要求，包括時(shí)問周期要求、范圍要求、基于事件的風(fēng)險(xiǎn)評估要求:c)信息安全風(fēng)險(xiǎn)評估責(zé)任，包括信息安全管理人員責(zé)任和業(yè)務(wù)部門責(zé)任。（2）企業(yè)信息安全體系管理政策：a)管理體系的規(guī)劃，包括規(guī)劃的時(shí)機(jī)、規(guī)劃的內(nèi)容、規(guī)劃的依據(jù)、規(guī)劃的責(zé)任人:b)管理體系的實(shí)施，包括、培訓(xùn)、執(zhí)行獎懲。c)管理體系的驗(yàn)證，包括周期管理評審、安全審計(jì)、事件評審、殘留風(fēng)險(xiǎn)評估。d)管理體系的改進(jìn)，包括分析和變更控制。（3）病毒抵御安全政策：a)操作程序一運(yùn)行網(wǎng)絡(luò)管理人員日常工作的程序。這部分安全政策主要控制的風(fēng)險(xiǎn)是不規(guī)范的管理活動造成無效或低效的管理。b)關(guān)鍵資源監(jiān)控一識別出關(guān)鍵設(shè)備并對關(guān)鍵設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控。這部分安全政策主要控制的風(fēng)險(xiǎn)是關(guān)鍵資源異常情況不能被及時(shí)發(fā)現(xiàn)和處理。c)軟件系統(tǒng)維護(hù)一對軟件系統(tǒng)及時(shí)地升級和打補(bǔ)丁。這部分安全政策主要控制的風(fēng)險(xiǎn)是軟件系統(tǒng)未及時(shí)升級和/或打補(bǔ)丁而造成的信息故障或者安全事故。d)敏感資料存儲一對在業(yè)務(wù)進(jìn)行過程中產(chǎn)生的敏感信息的存放管理。這部分安全政策主要控制的風(fēng)險(xiǎn)是由于對敏感資料存儲不當(dāng)導(dǎo)致資料的丟失或泄漏。

3、企業(yè)信息安全事件管理

目前，沒有任何一種具有代表性的信息安全策略或防護(hù)措施可對信息、信息系統(tǒng)、服務(wù)或網(wǎng)絡(luò)提供絕對的保護(hù)。即使采取了防護(hù)措施，仍可能存在殘留的弱點(diǎn)，使得信息安全防護(hù)變得無效，從而導(dǎo)致信息安全事件發(fā)生，并對企業(yè)的業(yè)務(wù)運(yùn)行直接或間接地產(chǎn)生負(fù)面影響。此外，以前未被認(rèn)識到的威脅也將會不可避免地發(fā)生。企業(yè)如果對如何應(yīng)對這些事件沒有作好充分準(zhǔn)備，其任何實(shí)際響應(yīng)的效率都會大打折扣，甚至還可能增加潛在的業(yè)務(wù)負(fù)面影響。因此，企業(yè)應(yīng)著重做好信息安全事件管理工作。信息安全事件管理方案的必企業(yè)應(yīng)著重做好信息安全事件管理工作。信息安全事件管理方案的必要過程包括：（1）發(fā)現(xiàn)和報(bào)告發(fā)生的信息安全事態(tài)，無論是由企業(yè)人員／顧客引起的還是自動發(fā)生的（如防火墻警報(bào)）。（2）收集有關(guān)信息安全事態(tài)的信息，由企業(yè)的運(yùn)行支持組人員進(jìn)行評估，確定該事態(tài)屬于信息安全事件還是發(fā)生了誤報(bào)。確認(rèn)該事態(tài)是否屬于信息安全事件，如果是，則立即作出響應(yīng)，同時(shí)啟動必要的法律取證分析、溝通活動。（3）進(jìn)行評審以確定該信息安全事件是否處于控制下。（4）如果處于控制下，則啟動任何所需要的進(jìn)一步的后續(xù)響應(yīng)，以確保所有相關(guān)信息準(zhǔn)備完畢，供事件解決后評審所用。（5）如果不在控制下，則采取“危機(jī)求助”活動并召集相關(guān)人員，如企業(yè)中負(fù)責(zé)業(yè)務(wù)連續(xù)性的管理者和工作組。（6）在整個(gè)階段按要求進(jìn)行上報(bào)，以便進(jìn)一步評估和決策。（7）確保所有相關(guān)人員，正確記錄所有活動以備后面分析所用。（8）確保對電子證據(jù)進(jìn)行收集和安全保存，同時(shí)確保電子證據(jù)的安全保存得到持續(xù)監(jiān)視，以備法律起訴或內(nèi)部處罰所需。（9）確保包括信息安全事件追蹤和事件報(bào)告更新的變更控制制度得到維護(hù)，從而使得信息安全事態(tài)／事件數(shù)據(jù)庫保持最新。

4、企業(yè)信息安全技術(shù)管理

我們所構(gòu)建的信息安全管理體系中，不能忽視技術(shù)的作用，雖然只使用技術(shù)控制不能保證一個(gè)信息安全環(huán)境，但是在通常情況下，它是信息安全項(xiàng)目的基礎(chǔ)部分。（1）密碼服務(wù)技術(shù)。密碼服務(wù)技術(shù)為密碼的有效應(yīng)用提供技術(shù)支持。通常密碼服務(wù)系統(tǒng)由密碼芯片、密碼模塊、密碼機(jī)或軟件，以及密碼服務(wù)接口構(gòu)成。通常，企業(yè)會涉及以下幾個(gè)方面的密碼應(yīng)用：數(shù)字證書運(yùn)算、密鑰加密運(yùn)算、數(shù)據(jù)傳輸、數(shù)據(jù)儲存、數(shù)字簽名、數(shù)字信封。（2）故障恢復(fù)技術(shù)。故障恢復(fù)的主要措施有：群集配置，由多臺計(jì)算機(jī)組成群集結(jié)構(gòu)，盡可能消除整個(gè)系統(tǒng)可能存在的單點(diǎn)故障；雙機(jī)熱備份，在任何一臺設(shè)備失效的情況下，按照預(yù)先定義的規(guī)則快速切換至相應(yīng)的備份設(shè)備，維持業(yè)務(wù)的正常運(yùn)行；故障恢復(fù)管理，由專門的集群軟件進(jìn)行管理和監(jiān)控，使應(yīng)用系統(tǒng)在任何軟硬件組成單元發(fā)生故障時(shí)，能夠根據(jù) 故障情況重新分配任務(wù)。（3）惡意代碼防范技術(shù)：惡意代碼防范技術(shù)包括四大系統(tǒng)：病毒查殺系統(tǒng)、網(wǎng)關(guān)防毒系統(tǒng)、群件防毒系統(tǒng)、集中管理系統(tǒng)。（4）入侵檢測技術(shù)。入侵檢測系統(tǒng)是實(shí)現(xiàn)入侵檢測功能的一系列的軟件、硬件的組合。入侵檢測系統(tǒng)以實(shí)時(shí)方式監(jiān)測網(wǎng)絡(luò)通信，對其進(jìn)行分析并實(shí)時(shí)安全預(yù)警，從而使企業(yè)能夠有效管理內(nèi)部人員和資源，并對外部攻擊進(jìn)行早期預(yù)警和跟蹤，有效保障系統(tǒng)安全。基于主機(jī)的入侵檢測系統(tǒng)通常以系統(tǒng)日志、應(yīng)用程序日志等審計(jì)記錄文件作為數(shù)據(jù)源。通過比較這些審計(jì)記錄文件與攻擊簽名是否匹配，如果匹配立即報(bào)警采取行動.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。它是利用網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。（5）掃描與分析技術(shù)。端口掃描工具能識別網(wǎng)絡(luò)上活動的計(jì)算機(jī)，同樣也可以識別這些計(jì)算機(jī)上的活動端口和服務(wù)。可以掃描特定類型的計(jì)算機(jī)、協(xié)議和資源，也可進(jìn)行普遍掃描。漏洞掃描可以掃描網(wǎng)絡(luò)并得到非常詳細(xì)的信息。可以識別暴露的用戶名和組，顯示開放的網(wǎng)絡(luò)共享，并暴露配置問題和其他服務(wù)器漏洞。內(nèi)容過濾器也能有效地保護(hù)機(jī)構(gòu)系統(tǒng)，使其不受誤用和無意的拒絕服務(wù)。

5、企業(yè)信息安全培訓(xùn)的必要性

公司目前很多崗位和部門的員工都從事涉密數(shù)據(jù)相關(guān)工作，有很多數(shù)據(jù)和信息涉及到公司的機(jī)密和知識產(chǎn)權(quán)，但是大多數(shù)員工信息安全意識差，在平時(shí)的工作中在意識上和實(shí)際工作中存在很多問題，導(dǎo)致涉密數(shù)據(jù)的外漏，給公司的生產(chǎn)經(jīng)營造成不可挽回的損失。在有管理組織、政策制度和技術(shù)保障的情況下，通過對涉密數(shù)據(jù)相關(guān)工作人員的信息安全意識和信息安全操作培訓(xùn)是非常必要的。

三、結(jié)語

總之，企業(yè)信息安全管理體系是一個(gè)企業(yè)日常經(jīng)營和持續(xù)發(fā)展的基本保證，也是企業(yè)戰(zhàn)略和管理的重要環(huán)節(jié)。建立信息安全管理體系的目的就是降低信息風(fēng)險(xiǎn)對企業(yè)的危害。并將企業(yè)信息系統(tǒng)投資和商業(yè)利益最大化。信息安全不只是個(gè)技術(shù)問題，而更多的是商業(yè)、管理和法律問題。實(shí)現(xiàn)信息安全不僅僅需要采用技術(shù)措施，還需要更多地借助于技術(shù)以外的其他手段。

參考文獻(xiàn)：

第8篇：網(wǎng)絡(luò)信息安全管理體系范文

關(guān)鍵詞：電子政務(wù)；信息安全；體系管理

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2011) 20-0000-01

E-government Information Security Management System Construction

Chen Jisheng,Xu Yunpeng

(Shandong Jining Information Center,Jining272017,China)

Abstract:E-government electronic and information technology and management as a combination,just like modern information technology has become the most important areas.It is precisely because of its importance,its information security is to be ignored.This will be its information security management needs analysis,security threats in a bid to build their management and security system to give a systematic exposition.

Keywords:E-government;Information security;System management

所謂電子政務(wù)信息安全管理體系就是依據(jù)電子政務(wù)安全需求，安全威脅來源而建立起來的有效防治安全威脅、保證電子政務(wù)安全有序運(yùn)行的保障體系。因此要構(gòu)建一個(gè)完備的電子政務(wù)安全管理體系就必須對安全威脅有清楚的認(rèn)識并加之行之有效的管理。

一、電子政務(wù)系統(tǒng)安全需求分析

電子政務(wù)涉及國家秘密信息和高敏感度核心政務(wù)，因此有嚴(yán)格的安全要求。如嚴(yán)格的保密要求，信息準(zhǔn)確交換的要求，嚴(yán)格的權(quán)限管理要求，嚴(yán)格的程序和流程要求。電子政務(wù)內(nèi)部信息網(wǎng)站有著大量高度機(jī)密的數(shù)據(jù)和信息，直接涉及政府的核心政務(wù)，它關(guān)系到政府部門、各大系統(tǒng)乃至整個(gè)國家的利益，有的甚至涉及國家安全。因此，電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題，是電子政務(wù)的職能與優(yōu)勢得以實(shí)現(xiàn)的根本前提。如果電子政務(wù)信息安全得不到保障，不僅電子政務(wù)的便利與效率無從保證，更會給國家利益帶來嚴(yán)重威脅。

二、電子政務(wù)信息安全威脅

電子政務(wù)信息安全威脅主要來自兩個(gè)方面，一是信息安全技術(shù)層面，主要是物理安全威脅，網(wǎng)絡(luò)基礎(chǔ)平臺安全威脅，信息資源層安全威脅，業(yè)務(wù)應(yīng)用層安全威脅等。物理安全威脅主要是物理通路的損壞、物理通路的竊聽、對物理通路的攻擊。網(wǎng)絡(luò)基礎(chǔ)平臺的安全威脅是非法用戶與非授權(quán)客戶的突發(fā)使用，造成網(wǎng)絡(luò)路由錯誤，信息被攔截或監(jiān)聽。而信息資源層安全威脅是主要安全問題，要求保證客戶資料、操作系統(tǒng)訪問控制的安全，同時(shí)能夠?qū)υ谠摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計(jì)。業(yè)務(wù)應(yīng)用層安全也很容易受到攻擊，應(yīng)用系統(tǒng)直接面向最終用戶，其安全問題最多，包括規(guī)范化操作、合法性使用、系統(tǒng)本身安全漏洞、信息泄露等。二是安全管理方面，也是整個(gè)系統(tǒng)的關(guān)鍵。通常存在的管理問題包括管理組織、管理規(guī)范、技術(shù)管理、日常管理等。管理組織不完善、管理規(guī)范未建立、技術(shù)管理不到位、日常管理幾乎空白等。

由于電子政務(wù)對過度開放的網(wǎng)絡(luò)的高度依賴，以及當(dāng)今電子政務(wù)安全技術(shù)的缺陷導(dǎo)致電子政務(wù)存在來自各方面的安全威脅。因?yàn)殡娮诱?wù)是建立在基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)平臺上，而互聯(lián)網(wǎng)是一個(gè)缺少安全管理的開放性平臺，安全隱患特別多，給予網(wǎng)絡(luò)黑客或不法分子可乘之機(jī)。對電子政務(wù)的安全威脅還包括網(wǎng)上犯罪、病毒泛濫和蔓延，信息間諜的潛入和竊密，網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞，網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓，信息安全產(chǎn)品的失控以及信息安全技術(shù)層面的滯后等。

三、構(gòu)建電子政務(wù)信息安全管理體系

根據(jù)上述的需求以及各方面威脅的來源就可以有針對性的建立起電子政務(wù)信息安全管理體系，從而使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)能夠具有保密性、完整性、真實(shí)性和可用性。電子政務(wù)信息安全管理體系包括技術(shù)保障體系、管理運(yùn)營體系、服務(wù)保障體系和基礎(chǔ)設(shè)施平臺。

（一）構(gòu)建技術(shù)保障體系。由于電子政務(wù)的國家性，電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品，全面推動自主研發(fā)和創(chuàng)新這些技術(shù)和產(chǎn)品是電子政務(wù)安全的需要。核心技術(shù)的研發(fā)可以保證在安全保衛(wèi)戰(zhàn)上的主動性。這些核心技術(shù)主要包括數(shù)據(jù)加密技術(shù)、信息隱藏技術(shù)和信息認(rèn)證技術(shù)。鑒于現(xiàn)今我國技術(shù)水平落后，各地政府部門所用的信息平臺大多屬于國外技術(shù)產(chǎn)品，這更加加大的信息安全的風(fēng)險(xiǎn)。因此加快技術(shù)研發(fā)、技術(shù)產(chǎn)品化及產(chǎn)業(yè)化迫在眉睫。

（二）構(gòu)建管理運(yùn)營體系。有了行之有效的技術(shù)保障體系后最主要的問題就是管理的跟進(jìn)啦，構(gòu)建安全管理系統(tǒng)是電子政務(wù)安全進(jìn)行的重要基礎(chǔ)。從管理體制上落實(shí)安全責(zé)任制，建立完備的信息安全管理和認(rèn)證機(jī)制。安全管理系統(tǒng)主要包括安全組織，安全策略和制度，安全評估和安全審計(jì)等。

1.安全組織。建立安全決策組織、安全指導(dǎo)小組、安全專家小組、安全領(lǐng)導(dǎo)小組，建立網(wǎng)絡(luò)日常管理機(jī)構(gòu)，建立維護(hù)單元等。只有建設(shè)一個(gè)國家到省市縱向和橫向各部委、廳局架構(gòu)的安全管理組織，才能真正實(shí)現(xiàn)全面的安全等級保護(hù)。

2.安全策略和制度。安全的政策和制度也是整個(gè)系統(tǒng)的關(guān)鍵部分，電子政務(wù)的安全運(yùn)行必須以法律法規(guī)形式加以保障。通過加大執(zhí)法力度，嚴(yán)格執(zhí)法限制安全威脅。

3.安全評估。安全評估主要是分析潛在威脅，威脅嚴(yán)重程度，可能造成的后果，系統(tǒng)應(yīng)對的安全措施等。

4.安全審計(jì)。在上述各項(xiàng)的基礎(chǔ)上同時(shí)還要定期對各項(xiàng)安全舉措執(zhí)行情況進(jìn)行達(dá)標(biāo)審查。檢查體系運(yùn)行情況，并做出下一步工作方向。

（三）建立穩(wěn)定的服務(wù)保障體系。電子政務(wù)發(fā)展進(jìn)入了以服務(wù)對象為中心的新階段，服務(wù)是電子政務(wù)的出發(fā)點(diǎn)和落腳點(diǎn)，建立安全穩(wěn)定的服務(wù)保障體系則是提供可持續(xù)服務(wù)的基礎(chǔ)。其服務(wù)對象是就是最廣大的人民大眾，基數(shù)龐大，且利益重、影響大，更加大了服務(wù)保障的挑戰(zhàn)性。而現(xiàn)階段我國電子政務(wù)建設(shè)中存在的問題都與缺乏服務(wù)密切相關(guān)。包括重建設(shè)輕應(yīng)用；重內(nèi)部網(wǎng)絡(luò)，輕門戶窗口；重投入輕維護(hù)；重部門建設(shè)，輕跨部門合作；對公眾服務(wù)創(chuàng)新較弱等等。歸根結(jié)底是沒有樹立起以公眾為中心的的服務(wù)意識、態(tài)度和能力。對于服務(wù)體系要進(jìn)行嚴(yán)格的劃分。按服務(wù)對象可分為面向公眾的服務(wù)、面向企業(yè)的服務(wù)、面向組織和部門的服務(wù)。按服務(wù)內(nèi)容的層次又可以劃分為基礎(chǔ)、創(chuàng)新和個(gè)性化服務(wù)等，依據(jù)各種類劃分嚴(yán)格建立體系相應(yīng)機(jī)構(gòu)。

參考文獻(xiàn)：

[1]翟亞紅.淺析信息安全風(fēng)險(xiǎn)評估與等級保護(hù)的關(guān)系[J].信息安全與通信保密,2011,4

[2]趙章界,李晨D,劉海峰.信息安全策略開發(fā)的關(guān)鍵問題研究[J].信息網(wǎng)絡(luò)安全,2011,3

第9篇：網(wǎng)絡(luò)信息安全管理體系范文

論文關(guān)鍵詞:信息系統(tǒng);安全管理;體系

現(xiàn)代金融業(yè)是基于信息、高度計(jì)算化、分散、相互依存的產(chǎn)業(yè),有人形象地把信息系統(tǒng)歸結(jié)為銀行業(yè)的“核心資本”。金融信息化帶來的是銀行業(yè)務(wù)信息系統(tǒng)在網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)關(guān)系、角色關(guān)系等方面的復(fù)雜化。而越是復(fù)雜的系統(tǒng),其安全風(fēng)險(xiǎn)就越高。在系統(tǒng)中每增加一種訪問的方式就增加了一些入侵的機(jī)會;每增加一些訪問的人群就引入了一些可能受到惡意破壞的風(fēng)險(xiǎn)。據(jù)2003年一項(xiàng)對全球前500家金融機(jī)構(gòu)的安全調(diào)查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受調(diào)查的機(jī)構(gòu)承認(rèn)2002年曾受到一定形式的系統(tǒng)攻擊;美國聯(lián)邦法院2004年所作的一系列有關(guān)信息犯罪的案件中,有多件涉及金融機(jī)構(gòu)。這些統(tǒng)計(jì)數(shù)字和報(bào)道出的事件,只是我們面臨信息系統(tǒng)安全威脅的冰山一角,因此加速建設(shè)金融信息系統(tǒng)中的安全保障體系變得更加緊迫。

長期以來,人們對保障信息系統(tǒng)安全的手段偏重于依靠技術(shù),從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、漏洞掃描、身份認(rèn)證等等。但事實(shí)上,僅僅依靠安全技術(shù)和安全產(chǎn)品保障信息系統(tǒng)安全的愿望卻往往難盡人意,許多復(fù)雜、多變的安全威脅和隱患靠安全產(chǎn)品是無法消除的。據(jù)有關(guān)部門統(tǒng)計(jì),在所有的計(jì)算機(jī)安全事件中,約有52%是人為因素造成的,25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起,技術(shù)錯誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡單歸類,屬于管理方面的原因比重高達(dá)6O%以上,而這些安全問題中的95%是可以通過科學(xué)的信息安全管理來避免。因此,加強(qiáng)安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證,是金融信息系統(tǒng)安全體系建設(shè)的重點(diǎn)。

1安全管理體系構(gòu)建

信息安全源于有效的管理,使技術(shù)發(fā)揮最佳效果的基礎(chǔ)是要有一定的信息安全管理體系,只有在建立防范的基礎(chǔ)上,加強(qiáng)預(yù)警、監(jiān)控和安全反擊,才能使信息系統(tǒng)的安全維持在一個(gè)較高的水平之上。因此,安全管理體系的建設(shè)是確保信息系統(tǒng)安全的重要基礎(chǔ),是金融信息系統(tǒng)安全保障體系建設(shè)最為重要的一環(huán)。為在金融信息系統(tǒng)中建立全新的安全管理機(jī)制,最可行的做法是技術(shù)與管理并重,安全管理法規(guī)、措施和制度與整體安全解決方案相結(jié)合,并輔之以相應(yīng)的安全管理工具,構(gòu)建科學(xué)、合理的安全管理體系。

金融信息系統(tǒng)安全管理體系是在金融信息系統(tǒng)安全保障整體解決方案基礎(chǔ)上構(gòu)建的,它包括信息安全法規(guī)、措施和制度,安全管理平臺及信息安全培訓(xùn)和安全隊(duì)伍建設(shè),其示意圖如圖1所示。

2安全管理平臺

安全管理平臺是通過采用技術(shù)手段實(shí)施金融信息系統(tǒng)安全管理的平臺,它包括安全預(yù)警管理、安全監(jiān)控管理、安全防護(hù)與響應(yīng)管理和安全反擊管理。

2.1安全預(yù)警管理

安全預(yù)警管理的功能由預(yù)警系統(tǒng)實(shí)現(xiàn),通過該系統(tǒng),可以在安全風(fēng)險(xiǎn)動態(tài)威脅和影響金融信息系統(tǒng)前,事先傳送相關(guān)的警示,讓管理員采取主動式的步驟,在安全風(fēng)險(xiǎn)影響運(yùn)作前加以攔阻,從而預(yù)防全網(wǎng)業(yè)務(wù)中斷、效能損失或?qū)ζ涔娦抛u(yù)造成危害,達(dá)到提前保護(hù)自己的作用。安全預(yù)警系統(tǒng)通過追蹤最新的攻擊技術(shù),分析威脅信息以辨識出真正潛在的攻擊,迅速響應(yīng)并提供定制化威脅分析及個(gè)性化的漏洞和惡意代碼告警服務(wù),幫助降低風(fēng)險(xiǎn),防患于未然。

2.2安全監(jiān)控管理

通過安全監(jiān)控功能可以實(shí)時(shí)監(jiān)控金融信息系統(tǒng)的安全態(tài)勢、發(fā)生了哪些攻擊、出現(xiàn)了什么異常、系統(tǒng)存在什么漏洞以及產(chǎn)生了哪些危險(xiǎn)日志等,因此安全監(jiān)控功能對于金融信息系統(tǒng)的安全保障體系來說是至關(guān)重要的。

1)基于實(shí)時(shí)性的安全監(jiān)控。通過在線方式管理金融信息系統(tǒng)中的資源狀態(tài)和實(shí)時(shí)安全事件,及時(shí)關(guān)注IT資源和安全風(fēng)險(xiǎn)的現(xiàn)狀和趨勢,通過實(shí)時(shí)監(jiān)控來提高系統(tǒng)的安全性和IT資源的效能。

2)基于智能化的安全監(jiān)控。利用智能信息處理技術(shù)對信息網(wǎng)絡(luò)中的各種安全事件進(jìn)行智能處理,實(shí)現(xiàn)報(bào)警信息的精煉化,提高報(bào)警信息的可用信息量,降低安全設(shè)備的虛警和誤警,從而有效地提高安全保障系統(tǒng)中報(bào)警信息的可信度。

3)基于可視化的安全監(jiān)控。通過對安全事件分析過程與分析報(bào)告的可視化手段,如圖表/曲線/數(shù)據(jù)表/關(guān)聯(lián)關(guān)系圖等,提供詳細(xì)的入侵攻擊信息乃至重現(xiàn)攻擊場景,實(shí)現(xiàn)對入侵攻擊行為的追蹤,使得對安全事件的分析更為直觀,從而有效提高安全管理人員對于入侵攻擊的監(jiān)控理解,使安全系統(tǒng)的管理更為有效。

4)基于分布式的安全監(jiān)控。通過系統(tǒng)分布式的多級部署方式,可以實(shí)現(xiàn)對金融信息系統(tǒng)內(nèi)各個(gè)子系統(tǒng)的監(jiān)控和綜合分析能力,同時(shí)對不同安全保護(hù)等級的用戶提供相應(yīng)的監(jiān)控界面和信息,從而嚴(yán)格滿足其安全等級劃分的用戶級要求。

2.3安全防護(hù)與響應(yīng)管理

在金融信息系統(tǒng)的安全系統(tǒng)中由于安全的異構(gòu)屬性,因此會采用不同的安全技術(shù)和不同廠家的安全產(chǎn)品來實(shí)現(xiàn)安全防護(hù)的目的。通過安全防護(hù)與響應(yīng)管理可以及時(shí)響應(yīng)和優(yōu)化整個(gè)系統(tǒng)安全防護(hù)策略;最直接的響應(yīng)就是提供多種方式,如報(bào)警燈、窗日、郵件、手機(jī)短信等向安全管理員報(bào)警,然后日志保存在本地?cái)?shù)據(jù)庫或者異地?cái)?shù)據(jù)庫中。

1)優(yōu)化安全策略分析。通過實(shí)時(shí)掌握自身的安全態(tài)勢,及各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)和業(yè)務(wù)系統(tǒng)的處理情況,輸出正常和非法個(gè)性化的安全策略報(bào)表,然后直接通知相應(yīng)的安全管理人員或廠商對其自身策略進(jìn)行優(yōu)化調(diào)整。

2)動態(tài)響應(yīng)策略調(diào)整。通過對各種安全響應(yīng)協(xié)議的支持,如SNMP、TOPSEC、聯(lián)動協(xié)議等,實(shí)現(xiàn)相關(guān)的安全防護(hù)技術(shù)策略的自動交互,同時(shí)通過專家知識庫能從全局的角度去響應(yīng)安全事件很好地解決安全誤報(bào)問題。

3)安全服務(wù)自動協(xié)調(diào)。當(dāng)智能分析和安全定位功能確認(rèn)出安全事件或安全故障時(shí),及時(shí)調(diào)派安全服務(wù)人員小組(或提供安全服務(wù)的供應(yīng)商)進(jìn)行相應(yīng)的安全加固防護(hù)。

2.4安全反擊管理

安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。

1)安全事件的取證管理。取證在網(wǎng)絡(luò)與信息系統(tǒng)安全事件的調(diào)查中是非常有用的工具,通過對系統(tǒng)安全事件的存儲和分析,實(shí)現(xiàn)對安全事件的取證管理,給相關(guān)調(diào)查人員提供安全事件的直接取證。

2)安全事件的追蹤反擊。通過資源狀態(tài)分析、關(guān)聯(lián)分析、專家系統(tǒng)分析等有效手段,檢測到攻擊類型,并定位攻擊源。隨后,系統(tǒng)自動對目標(biāo)進(jìn)行掃描,并將掃描結(jié)果告知安全管理員,并提示安全管理員查詢知識庫,從中提取有效手段對攻擊源進(jìn)行反擊控制。

3安全管理措施建議

在安全管

理技術(shù)手段的基礎(chǔ)上,還要提高安全管理水平。俗話說“三分技術(shù),七分管理”,由于金融信息系統(tǒng)相對比較封閉,對于金融信息系統(tǒng)安全來說,業(yè)務(wù)邏輯和操作規(guī)范的嚴(yán)密程度是關(guān)鍵。因此,加強(qiáng)金融信息系統(tǒng)的內(nèi)部安全管理措施,建立領(lǐng)導(dǎo)組織體系,完善落實(shí)內(nèi)控制度,強(qiáng)化日常操作管理,是提升安全管理水平的根本。

1)完善安全管理機(jī)構(gòu)的建設(shè)。目前,我國已經(jīng)把信息安全提到了促進(jìn)經(jīng)濟(jì)發(fā)展、維護(hù)社會穩(wěn)定、保障國家安全、加強(qiáng)精神文明建設(shè)的高度,并提出了“積極防御、綜合防范”的信息安全管理方針,專門成立了網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC)、中國信息安全產(chǎn)品測評認(rèn)證中心(簡稱CNITSEC)等,初步建成了國家信息安全組織保障體系。為確保金融信息系統(tǒng)的安全,在金融信息系統(tǒng)內(nèi)部應(yīng)組建安全管理小組(或委員會),安全管理小組制定出符合企業(yè)需要的信息安全管理策略,具體包括安全管理人員的義務(wù)和職責(zé)、安全配置管理策略、系統(tǒng)連接安全策略、傳輸安全策略、審計(jì)與入侵安全策略、標(biāo)簽策略、病毒防護(hù)策略、安全備份策略、物理安全策略、系統(tǒng)安全評估體系等內(nèi)容。安全管理應(yīng)盡量把各種安全策略要求文檔化和規(guī)范化,以保證安全管理工作具有明確的依據(jù)或參照。

2)在保證信息系統(tǒng)設(shè)備的運(yùn)行穩(wěn)定可靠和信息系統(tǒng)運(yùn)行操作的安全可靠的前提下,增加安全機(jī)制,如進(jìn)行安全域劃分,進(jìn)行有針對性的安全設(shè)備部署和安全策略設(shè)置,以改進(jìn)對重要區(qū)域的分割防護(hù);增加入侵檢測系統(tǒng)、漏洞掃描、違規(guī)外聯(lián)等安全管理工具,進(jìn)行定時(shí)監(jiān)控、事件管理和鑒定分析,以提高自身的動態(tài)防御能力;完善已有的防病毒系統(tǒng)、增加內(nèi)部信息系統(tǒng)的審計(jì)平臺,以便形成對內(nèi)部安全狀況的長期跟蹤和防護(hù)能力。

3)制定一系列必須的信息系統(tǒng)安全管理的法律法規(guī)及安全管理標(biāo)準(zhǔn),狠抓內(nèi)網(wǎng)的用戶管理、行為管理、應(yīng)用管理、內(nèi)容控制以及存儲管理;進(jìn)一步完善互聯(lián)網(wǎng)應(yīng)急響應(yīng)管理措施,對關(guān)鍵設(shè)施或系統(tǒng)制定好應(yīng)急預(yù)案,并定期更新和測試,全面提高預(yù)案制定水平和處理能力;建立一支“信息安全部隊(duì)”,專門負(fù)責(zé)信息網(wǎng)絡(luò)方面安全保障、安全監(jiān)管、安全應(yīng)急和安全威懾方面的工作。

4)堅(jiān)持“防內(nèi)為主,內(nèi)外兼防”的方針,加強(qiáng)登錄身份認(rèn)證,嚴(yán)格限制登錄者的操作權(quán)限,充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能,對用戶所訪問的信息進(jìn)行跟蹤記錄,為系統(tǒng)審計(jì)提供依據(jù)。

5)重視和加強(qiáng)信息安全等級保護(hù)工作,對金融信息系統(tǒng)中的信息實(shí)施一般保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)和強(qiáng)制保護(hù)策略,尤其對重要信息實(shí)施強(qiáng)制保護(hù)和強(qiáng)制性認(rèn)證,以確保金融業(yè)務(wù)信息的安全。

6)加強(qiáng)信息安全管理人才與安全隊(duì)伍建設(shè),特別是加大既懂技術(shù)又懂管理的復(fù)合型人才的培養(yǎng)力度。通過各種會議、網(wǎng)站、廣播、電視、報(bào)紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識,尤其是加強(qiáng)企業(yè)內(nèi)部人員的信息安全知識培訓(xùn)與教育,提高員工的信息安全自律水平。