前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息安全研究論文(9篇)范文，希望能給你帶來靈感和參考，敬請閱讀。

第一篇：中小企業信息安全管理問題分析

摘要：信息安全管理的有效落實，是新時期中小企業戰略性發展的重要保障。本文分析中小企業信息安全管理中存在的問題與不足，并以此作為闡述的切入口，從體系的建立、制度的完善等方面，闡述新時期深化中小企業信息安全管理的應對措施。

關鍵詞：中小企業；信息安全管理；制度

開放的互聯網環境，快速發展的網絡科技，都強調中小企業在立足發展的同時，要著力于企業信息安全管理工作的開展。這是基于自身發展的內在要求，也是優化內控管理的重要之舉。當前，中小企業信息安全管理問題突出，無論是制度的不完善性，還是管理體系的缺乏，都需要中小企業應立足于實際的經營管理需求，建立起完善的信息安全管理體系，并制定完善的管理制度，滿足企業經營發展的需求，提高企業信息安全管理能力。

1中小企業信息安全管理中存在的問題

1.1對信息安全管理缺乏重視，安全管理流于形式

在網絡信息時代，構建安全的信息環境是企業構建可持續發展戰略的重要保障。在企業內控管理的優化與調整中，信息安全管理是其重要部分。然而，由于企業管理層缺乏足夠重視，導致企業信息安全管理落實不到位。特別是對于中小企業而言，一是缺乏足夠的資金投入，在安全信息管理的人員配置、硬軟件設施的購買等方面，難以滿足企業信息安全管理的需求；二是中小企業信息化建設起步晚，缺乏一定的發展基礎，信息安全管理措施不足。因此，中小企業在信息安全管理過程中，面臨管理發展的尷尬與瓶頸，缺乏信息安全管理的基礎建設，滯后于企業可持續發展的現實需求。

1.2信息安全管理技術落后，難以構建完備的信息安全管理體系

快速發展的網絡信息技術，推動中小企業現代信息化的建設，但也給企業信息安全管理帶來新的要求。在傳統的網絡環境中，依托簡單的加密技術、防火墻，便可以為企業信息安全管理構建完善的防御體系。但是，日益頻繁的黑客、病毒攻擊，強調信息安全管理技術的先進性，為企業構建完備的信息安全管理體系。而中小企業在信息安全管理體系的構建中，管理體系不完善，信息安全管理技術落后，單一的安全防御結構，顯然難以確保信息安全管理工作的全面開展，企業信息安全問題突出。

1.3信息安全管理制度不完善，缺乏完善的制度保障

完善的管理制度是規范和引導信息安全管理的重要保障。中小企業在發展過程中，更多地強調短期經濟效益的追求，而忽視長遠發展戰略的構建。信息安全管理制度的建立，與企業經營管理制度的建立相分離，導致信息安全管理制度的主體地位不突出，制度的完善性、制度執行的保障性都存在明顯不足。企業職工安全意識薄弱，在計算機操作等方面，瀏覽不安全網站，私自下載軟件，對企業信息安全系統造成威脅。此外，企業計算機安全防御體系存在漏洞，相關的殺毒軟件未能及時更新，為黑客、病毒攻擊創造了一定的內在基礎。

2深化中小企業信息安全管理的應對措施

2.1建立健全信息安全管理體系，提高安全管理的有效性

為更好地滿足發展的需求，中小企業應重視信息安全管理體系的建立，優化現行的信息安全管理。中小企業在建立信息安全管理體系的過程中，應抓好三個方面的工作：一是信息安全管理體系應立足于企業的實際情況，針對企業的生產經營需求，建立具有企業特色的安全管理體系；二是著力于安全評估標準的建立，確保安全管理的科學化；三是強化企業信息安全文化的建立，規范并引導職工正確的思想行為。如圖1所示，是中小企業信息安全管理模型。從圖1可知，在信息安全管理體系的構建中，安全維度的建立從資源安全、技術安全和管理安全三個維度，全方位為企業信息安全管理構建良好的安全管理模式。這對于中小企業而言，不僅提高了信息安全管理的有效性，也推進了企業信息現代化建設，對企業可持續發展具有十分重要的意義。

2.2建立健全信息安全管理制度，為安全管理提供制度保障

中小企業在內控管理方面，缺乏管理制度的有力保障。特別是信息安全管理制度的缺失，不利于企業內控管理工作的全面開展。因此，企業要扎實推進信息安全管理制度的建立，從組織部門的設立、管理責任的落實、人員的配置等方面，確保信息安全管理有效開展。同時。結合企業的實際情況，構建完善、可靠的信息安全防范體系。此外，企業要強化對信息安全管理工作的重視，從責任到人，到主要領導親自負責，確保信息安全管理落地，也確保信息安全契合企業經營管理的內在需求，營造安全可靠的網絡信息環境。

2.3提供完備的技術保障，構建信息安全防范體系

在開放式互聯網環境下，企業安全管理所面臨的完全問題比較突出。多元化的問題風險，強調中小企業構建信息安全防范體系的必要性。信息安全防范體系的構建，建立在完備的技術保障之上。先進的殺毒軟件、防火墻技術等，都是企業構建信息安全防范體系所必需的技術保障。對于黑客、病毒的惡意攻擊，需要中小企業提高信息安全防范等級。如圖2所示，是典型的Internet/Intranet防火墻設置。防火墻技術作為安全防范體系的重要組成部分，在企業信息安全防范中起到十分重要的作用。內外網絡之間搭建起防范屏障，很大程度上能夠確保企業的網絡信息安全，保障企業網絡操作正常進行。因此，無論是殺毒軟件還是防火墻技術，都是中小企業構建安全防御體系所必要的技術保障。此外，隨著黑客、病毒的不斷升級，也強調企業應不斷更新殺毒軟件，安裝配置更高的防火墻等技術，從而提高企業信息安全防御能力，確保中小企業的信息安全。

3結語

綜上所述，中小企業所面臨的信息安全管理問題比較突出。多樣化問題強調中小企業在信息安全管理的過程中應扎實做到：（1）建立健全信息安全管理體系，提高安全管理的有效性；（2）建立健全信息安全管理制度，為安全管理提供制度保障；（3）提供完備的技術保障，構建信息安全防范體系。從本質上優化中小企業信息管理策略，確保企業信息安全，是推進企業可持續發展的重要基礎，從而不斷加速中小企業的現代化建設。

參考文獻

[1]潘愛武.談中小企業信息安全問題及對策[J].東方企業文化,2012(17).

[2]江麗.我國中小企業融資難原因分析及對策[D].南昌:江西財經大學,2014.

[3]陳俊豪.淺析中小企業電子商務中的信息安全問題[J].中國商貿,2010(11):142-143.

[4]徐黎源.中小企業信息安全管理模型[J].科技經濟市場,2009(9):88-89.

[5]趙曉華.網絡環境下河北中小企業信息安全問題研究[J].科技資訊,2013(11):140-141.

作者：湯毅 姚曉津 鄧沖 黃仙陽 黃強 單位：精誠瑞寶計算機系統有限公司

第二篇：信息安全管理中信息安全態勢分析

摘要：信息安全管理是確保信息安全的重要基礎。它更強調信息分析技術等的有效應用，從而為信息安全管理提供更完備的分析體系。本文研究信息安全動態分析，從微觀動態分析、宏觀動態分析兩個方面，闡述信息安全態勢分析在信息安全管理中應用，旨在強化對信息安全動態分析的認識，并為今后相關領域的研究提供一定的參考。

關鍵詞：信息安全；管理；動態分析；微觀；宏觀

信息安全管理是一項復雜而系統的工作。安全管理的有效性、全面性，都強調信息動態分析的有效開展，從而為信息安全管理提供定量化的安全分析。當前，信息安全動態分析已廣泛應用于信息安全管理中，通過宏觀動態分析與微觀動態分析，為信息安全管理提供了更加完善、科學的管理依據，提高了信息安全管理能力。當前，復雜的信息安全環境強調動態分析的立足點不僅僅在于構建局域性的安全環境，更強調立足于企業的戰略性發展，從而為企業發展提供重要依據。因此，本文研究的重點在于如何依托動態分析，對信息安全管理進行優化與與調整，從而提高信息安全管理的有效性、科學性。

1信息安全管理中宏觀態勢分析的應用

在信息安全管理中，宏觀態勢分析主要在于微觀技術領域?；谟行У脑u估、預測，對信息安全的情況進行分析。一般情況下，宏觀動態分析主要從穩定性、脆弱性及威脅性等幾個方面對信息安全進行描述，從而為信息安全管理構建多元化的發展基礎。宏觀動態分析在企業信息安全管理中的應用主要包括以下幾個方面。

1.1企業戰略發展的構建及核心業務、資產

在多元化的市場環境下，企業戰略性發展的構建很大程度上依托于企業信息安全管理的推進，以更好地實現企業的戰略性發展目標。為此，在宏觀動態分析中，需要對企業未來一段時間（一般為3-5年）的戰略發展變遷及核心業務、資產等情況進行考慮分析，這是動態分析助力企業戰略發展的內在要求。例如，在宏觀動態分析中，應針對企業的生產經營情況，確認核心業務、資產是否出現轉移；核心資產是否出現折舊等。這對于企業戰略性發展的構建以及戰略性發展目標的達成，都具有十分重要的現實意義。

1.2信息安全環境的發展趨勢

網絡信息時代的快速發展，強調宏觀動態分析應對信息安全環境的發展趨勢進行分析，這對于提高企業信息安全管理能力至關重要。對于現代企業而言，信息安全管理的開展一方面要基于自身實際情況，如業務、系統等，考慮自身內在信息安全的影響因素；另一方面，也要對信息技術的發展趨勢、信息安全環境等進行重點考慮，針對可能引發額外風險的重點因素，重點考慮，重點防范，實現更有價值的信息安全管理。

1.3社會環境及法律法規的影響要求

在企業生產經營發展的過程中，政治經濟事件對信息安全的影響，相關法律法規對企業經營的要求，都是動態分析中需要著重考慮和分析的要素。在宏觀動態分析中，以上三點要素在風險定量評估中能夠起到重要的指導作用。對實際操作情況而言，可以利用“Threat（威脅）=impact×likelihood（影響×可能性）”對風險影響進行表示?；趧討B分析對風險實現定量評估，這對于信息風險管理而言，無疑具有重要的意義，可提高信息安全管理的針對性、有效性。當然，對于該公式，可以進行適當拓展，進而將風險的表達更加全面。即有“Risk（威脅）=asset×vulnerability×threat（資產×脆弱性×威脅）”由此可以知道，宏觀層面的因素對“威脅”值起到了至關重要的影響。無論是社會環境，還是安全環境趨勢，其值的增加都是構成威脅的重要來源。與此同時，基于宏觀動態分析，為企業戰略性的安全管理提供了一定的參考依據，且對微觀動態分析提供了量化的重要依據。這進一步強化了動態分析的針對性，并對企業信息安全建設提供指導。

2信息安全管理中微觀態勢分析的應用

在微觀動態分析領域，無論是理論研究還是實踐操作，都已發展到一定程度。理論與實踐并重的應用及發展情形，強化其在企業信息安全管理中的重要作用。在對微觀動態分析中，需要提及“Endsley模型”。該模型最大的亮點在于將感知進行劃分，分為“感知”“理解”“預測”三個層次，進而強化信息處理能力?！癊ndsley模型”的成功構建，推動了動態分析在信息安全管理中的應用和推廣。在“Endsley模型”基礎上，美國提出了“JDL模型”。該模型在優化控制與管理功能等方面進行有效優化與調整，進而提高了模型的應用性及實用價值。如圖1所示，是“JDL模型”的應用圖。從圖1可以知道，基于數據采集、預處理及事件關聯性識別等功能模塊的實現，進一步提高了動態分析的實效性。通過模型的不斷優化與調整，強調模型在功能構建上更好地滿足于信息安全管理的現實需求。與此同時，在模型不斷優化、技術不斷發展的大環境下，微觀動態分析技術已逐步成熟，并在信息安全管理平臺中得到有效應用。無論是在應用效果還是應用價值上，都表現出微觀動態分析在信息安全管理中應用的重要性，對推進信息安全管理現代化發展起到重要的推動作用。因此，這也是大力發展動態分析技術，拓展其在信息安全管理領域應用發展的重要基礎。微觀動態分析的應用在很大程度上推動了動態分析技術的發展，也深化其在信息安全管理領域中的應用價值。當前，隨著信息技術的不斷發展、模型的不斷優化，其在應用中的性能也在逐步提升，尤其是在風險分析、應急響應處理等方面。這些功能的優化與完善，有助于信息安全管理系統的構建，滿足現代信息安全管理的現實需求。

3結語

綜上所述，信息安全管理是一項技術性強、系統性復雜的工作，強調技術性發展的完備性，更強調動態分析在其中的有效應用。當前，隨著動態分析技術的不斷發展，它在信息安全管理中的應用日益廣泛。尤其是微觀動態分析在信息安全管理平臺的應用，進一步提高了動態分析的實際應用價值。本文闡述的立足面在于兩點：一是基于宏觀層面的動態分析，為企業戰略性構建及發展環境的分析起到重要的指導性意義；二是基于微觀層面的動態分析，依托各種模型的建立與優化（如“Endsley模型”“JDL模型”），強化動態分析的實際應用價值。此外，隨著微觀分析技術的不斷發展，它在信息安全管理平臺中的應用對推動微觀動態分析技術應用及發展，具有十分重要的意義。

參考文獻

[1]李漢巨,梁萬龍,劉俊華.信息安全管理現狀分析[J].信息與電腦,2013(11).

[2]高鵬.電力企業信息安全問題探討[J].行政事業資產與財務,2013(8):131.

[3]王偉.資源視角的電力企業信息系統運維風險分析[J].西安郵電大學學報,2013(1):121-124.

[4]畢海英.信息安全產品的現狀及態勢分析[J].現代信息技術,2013(7).

[5]梁晶晶,黃河濤.局域網安全問題的現狀及技術分析[J].科技信息,2010(26).

[6]安睿.基于bagging的電力信息安全態勢分析系統的研究與實現[D].北京:華北電力大學,2012.

作者：湯毅 施澤寰 薛擁華 龔軍 劉板浩 單位：精誠瑞寶計算機系統有限公司

第三篇：人事檔案信息安全管理思考

人事檔案是人事、組織、勞資等部門在培養、選拔和使用人員的工作活動中形成的，是個人經歷、學歷、社會關系、思想品德、業務能力、工作狀況以及獎勵處罰等方面的原始記錄，是個人參與社會方方面面活動的記載和個人自然情況的真實反映。人事檔案信息安全管理是指存在于人事檔案信息的收集、整理、保管、鑒定、統計和提供利用全過程的安全管理活動。由于人事檔案涉及每個人的切身利益，如何實現人事檔案信息安全管理效率的最大化無疑成為了當前關注的重點話題。

一、加強人事檔案信息安全管理的必要性

1、人事檔案自身性質決定信息安全管理的重要性

人事檔案具有真實性、動態性、現實性、專業性、機密性等特點，它與個人職稱申報、定級、政審等緊密聯系在一起，是綜合考察及使用的重要依據之一，更是對流動人員管理的重要憑證。當前我國養老、醫療、失業保險等福利政策的制定、完善、推廣也是與人事檔案密切關聯。因此，必須要全面加強人事檔案信息安全管理，保障人事檔案資料的完整性、真實性及有效性。

2、人事檔案信息安全管理的現實緊迫性

人事檔案信息安全管理的現實緊迫性主要體現在人事檔案對國家、用人單位及個人都具有至關重要的作用方面。從目前我國人事檔案信息管理的現狀來看，棄檔、死檔、無頭檔案、檔案丟失、檔案資料失真等問題較為普遍，給國家、用人單位及個人帶來了巨大的損失，同時也造成了當前人事檔案管理效率的低下。因此，就必須進一步加強人事檔案信息安全管理，以強化人事檔案的社會功能。

3、人事檔案信息安全管理的技術可行性

信息時代快速發展的今天，新一代信息技術已經廣泛滲透到我們的日常生活、學習和工作中。但是許多地區的人事檔案信息安全管理出于安全和保密的原則，其管理模式還是停留在紙質載體上，這儼然與當前社會信息化發展格格不入。為此，在保障人事檔案信息安全與保密的前提之下，應當適當的引入新一代信息技術，便于快速、方便的利用?？傮w而言，新一代信息技術既呼喚現有人事檔案管理的深化改革，同時又為人事檔案信息安全管理提供了有力的支撐條件。

二、當前人事檔案信息安全管理存在的突出問題

1、人事檔案信息安全管理基礎設施滯后

本文人事檔案信息安全管理基礎設施特指計算機網絡系統、通信系統、電力分配系統等新一代信息網絡技術手段，可實現人事檔案信息管理的簡單化。由于人事檔案信息安全管理基礎設施的滯后，包括人事檔案設備落后、運行環境惡劣、設備兼容匹配性差、信息存儲介質保管環境等問題，又可直接導致人事檔案信息安全面臨災難性的后果。在這個過程中，人事檔案信息安全管理基礎設施一旦發生致命性的損壞，就會使所有產生、流轉和保管的人事檔案電子資料出現數據錯誤，不可讀取或是全部丟失，嚴重威脅人事檔案信息安全。

2、人事檔案信息安全管理系統比較脆弱

人事檔案信息安全管理系統比較脆弱也是當前人事檔案信息安全管理存在的一個突出問題。例如，人事檔案計算機網絡可以提供相互交流的平臺，也可間接影響到人事檔案信息安全。當人事檔案計算機網絡出現硬件故障、軟件故障或者其他技術性故障都會直接威脅到人事檔案信息安全。又例如，在人事檔案信息安全系統設計的過程中，受到設計者本身的技術能力和設計模式的限制，會給人事檔案信息安全管理系統留下不同程度的缺陷或漏洞。如再出現人事檔案信息安全管理人員在人事檔案資料的傳送、存儲及處理過程中的違規操縱情況，也會大大削弱人事檔案信息安全管理系統的穩定性，威脅人事檔案信息安全。

3、人事檔案信息安全管理人員責任意識落后

人事檔案信息安全管理人員責任意識落后，主要體現在對人事檔案信息安全管理的認識不足、重視程度不夠、責任心不強，從而不能夠及時發現并處理人事檔案信息安全管理中已存在的漏洞以及可能出現的安全隱患。同時，在實踐操作過程中，部分人事檔案信息安全管理人員未能嚴格執行按期修改人事檔案信息安全管理系統密碼等操作規程，大大降低了人事檔案信息安全程度。

三、加強人事檔案信息安全管理的實現途徑

1、完善人事檔案信息安全管理法規與標準

完善人事檔案信息安全管理法規與標準，是在嚴格遵守人事檔案工作法律、法規、標準的同時，要求各級人事檔案管理部門還需結合本單位的實際情況制定有效的標準規范，且該規范還需要做到與相關法律法規相協調，與現行人事檔案信息安全管理的實踐工作相配套，最大程度上確保人事檔案信息不丟失、不損壞、不失真、不泄密。同時，完備的人事檔案信息安全管理法規與標準，還要通過多種形式的活動提升自身和社會法律意識，真正建立一套以更好的維護人事檔案信息安全。完善人事檔案信息安全管理法規與標準。

2、建立人事檔案信息安全管理保障應急機制

結合當前人事檔案信息安全管理的新形勢，從保護國家資源戰略的高度出發，必須要建立人事檔案信息安全管理保障應急機制，預先估計潛在的危機和后果，提升人事檔案信息安全管理的處置能力，做好全方位的應急準備。要建立人事檔案信息安全管理責任制度，制定人事檔案和電子檔案保管、保密和利用操作流程，完善人事檔案的鑒定程度和方法，并對人事檔案信息安全管理制度的執行情況進行定期督查，確保各項制度能夠高效、準確的運行。

3、強化人事檔案信息安全管理人員責任意識

強化人事檔案信息安全管理人員責任意識，首先需要人事檔案管理部門領導和檔案管理工作者樹立正確的人事檔案信息安全管理觀念，堅持“積極防御”、“綜合防治”、“以防為主”、“防治結合”的方針，不斷增強人事檔案信息安全管理的使命感、責任心，并提升人事檔案信息安全管理部門對建立和發展人事檔案信息網絡的認識程度。同時也要重視人事檔案信息安全管理人員的思想政治和職業道德教育，多渠道、有目的的對檔案管理人員進行業務培訓。通過開展形式多樣的人事檔案信息安全管理教育活動，保障其深刻認識人事檔案信息安全管理的重要性。

作者：陳靜 單位：陜西廣播電視臺

第四篇：金保工程信息安全建設強化策略

摘要：金保工程信息安全建設能夠確保我國電子政務信息平臺有效工作，由于金保工程主要是應用電子信息技術對國家、省級、市級三個級別政府機構的基金監管、公共服務、宏觀決策等工作進行數據統計和管理，因此，強化金保工程信息安全建設是對國家信息安全負責的重要體現。

關鍵詞：金保工程；信息安全建設；建立健全管理制度；提高安全技術水平

金保工程信息安全建設是我國三個級別政府機構電子政務信息安全的重要保障，其體現了我國現代化信息技術水平，因此，在強化金保工程信息安全建設時首先要加強我國現代化信息建設，培養大量現代化信息高端技術人才，在電子政務信息技術軟件的設計中運用高端技術以保證金保工程信息安全建設。

1金保工程概述

1.1金保工程概念

金保工程是指我國應用現代電子信息技術對國家、省級和市級這三個級別政府中的公共服務、基金監管、宏觀決策和社會保障四項基本業務功能進行數據分析和統籌，最終使全國的勞動保障等電子政務工程統一。

1.2金保工程特點

金保工程的具體特點包括以下幾個方面。第一，金保工程的建設標準統一，具體包括信息技術標準統一和業務規范統一兩個方面。其中信息技術標準統一是指信息技術中的IP、接口、域名、和安全等方面統一[1]。業務規范化統一是指金保工程的業務工作流程從國家到省級再到市級按照嚴格的上下級規范進行統一標準。第二，金保工程具有縱向建設、橫向對接一體化的特點。具體是指在金保工程建設工作中要從國家大局出發，對中央、省級和市級統一規劃標準，在業務上的對接要進行一體化規劃。

2金保工程信息安全建設現狀

目前，我國金保工程信息安全現狀如下。第一，在國家金保工程信息安全建設管理中存在管理制度不夠完善的問題。金保工程信息技術安全建設管理者沒有建立完善的信息安全管理制度，在信息安全管理中沒有行之有效的管理制度和管理原則。在金保工程信息安全管理工作中對管理人員的工作缺乏約束力，因此，導致金保工程的信息安全得不到有效保障[2]。在金保工程信息安全管理中沒有建立健全獎懲制度，使信息安全管理人員在信息安全管理工作中缺乏對工作的熱情和積極性，使他們在工作中出現怠慢工作的現象，影響了金保工程信息安全管理工作效率。第二，管理人員的信息安全管理意識不足。金保工程信息安全管理人員屬于國家公務人員，目前部分管理人員工作態度不夠端正，在信息安全管理工作中缺乏一定的責任心。其缺乏職業道德，在工作中出現混日子的問題。同時由于信息安全管理人員在入職前對其專業技能有嚴格要求，而在入職后由于工作態度的問題及信息安全管理意識不到位，導致沒有繼續加強職業技能學習與訓練，使專業技能水平停滯不前，影響了金保工程信息安全技術升級，進而影響到我國金保工程信息安全管理質量。第三，由于我國信息技術起步較晚，因此，我國的信息技術水平在一定程度上與發達國家之間存在一定差距。而金保工程中對國家勞動保障等業務一體化電子政務管理存在大量國家機密信息，因此，金保工程信息安全管理需要高端信息技術作為保障。目前，由于我國各行業對信息技術人才需求劇增，導致信息技術人才供不應求，同時我國對信息技術人才的物質保障不及其他發達國家，也導致了大量超高端信息技術人才外流，使我國金保工程信息安全管理部門人才缺失，影響了金保工程信息安全建設質量。

3強化金保工程信息安全建設的對策

3.1建立健全管理制度

由于在我國金保工程信息安全建設中存在信息安全管理部門管理制度不健全的現狀，影響了我國金保工程信息安全[3]，因此，信息安全管理部門應建立健全管理體制，在信息安全管理制度中嚴格規范金保工程信息管理工作，將信息安全責任嚴格落實到每一位管理人員身上，使信息安全管理人員在工作中明確自身職責，避免由于職責不明導致部分人員消極怠工，為工作中的不負責任找借口。同時信息管理部門應制定嚴厲獎懲制度，給予積極工作表現優異的管理人員經濟獎勵和職稱獎勵，使表現出色的管理人員充分調動工作積極性，進而為其他工作人員樹立榜樣。對在信息安全管理工作中缺乏責任心，混日子的工作人員給予降級懲罰，對在信息安全工作中由于不負責任導致出現嚴重信息安全問題的管理人員給予辭退的懲罰。這種嚴厲的獎懲制度能夠起到立竿見影的作用，同時由于經濟利益的驅使也能夠充分調動信息安全管理人員的工作積極性。

3.2提高管理人員安全建設意識

提高金保工程信息安全管理人員的安全建設意識，能夠有效提高金保工程信息建設安全度。提高信息安全管理人員的安全意識，首先要提高他們的職業道德素質。信息安全管理部門應定期對信息安全管理人員進行職業道德素質培訓，使他們時刻保持良好的職業道德素質，使其對金保工程信息安全管理工作有正確認識[4]。在培訓信息安全管理人員的職業道德素質時，應重點培訓金保工程信息安全的重要性，使管理人員意識到信息安全管理是保障國家機密信息安全的重要前提，國家機密的外漏將會影響社會生活的安全穩定和人們的生命財產安全，因此，信息管理人員的信息安全管理工作具有重要意義。信息安全管理人員意識到自身工作對國家與社會的重要性，就會重新審視自己的工作，從而充分自身的信息安全建設意識，使我國金保工程信息安全建設得到有效保障。

3.3提高安全技術水平

由于金保工程是利用現代信息技術開展政府電子政務信息工作的，因此，信息技術水平直接影響金保工程信息安全。根據我國現階段高端和超高端電子信息技術人才供不應求的局面[5]，國家應大力扶持信息技術院校培養大量信息技術人才，同時對超高端信息技術人才委以重任，給其豐厚薪資報酬以吸引大量信息技術人才不斷研發和更新信息安全系統，開發出更安全的信息安全軟件為政府所用，為我國金保工程信息系統提供安全保障[6]。另外，還應進一步建立健全安全防護體系，對重要信息進行加密傳輸，避免信息在傳輸過程中被竊??；配備實時監控及入侵檢測系統，加強對重要網段和關鍵服務器的保護；采用網絡防病毒系統，并與單機防病毒軟件相結合；建立重要系統數據的備份機制，并實現關鍵主機系統的冗余備份和災難恢復；建立服務于金保工程信息系統的數字認證服務，利用數字證書系統實現重要數據的加密傳輸、身份認證等。從而最大程度地確保金保工程的安全，提高金保工程信息安全建設水平。

4結語

隨著我國信息技術飛速發展，各級政府部門采用電子政務信息平臺進行辦公。我國金保工程通過現代化信息技術對中央、省級和市級進行勞動保障等業務的統一，使國家政府部門實時有效開展國家上下級別政府部門之間的工作，使國家各級政府部門的工作得到統一規范，促進了國家社會發展。由于信息技術中存在一定的信息安全問題，導致國家金保工程信息安全受到威脅，對我國機密信息安全不利，因此，加強金保工程信息安全建設勢在必行。

參考文獻

[1]朱國豐.金保工程：建設統一規范的公共服務網絡[N].中國勞動保障報,2008-10-30(003).

[2]張竹松.社會保障工作要重視“金保工程”信息安全建設[N].大理日報(漢),2013-11-30(A03).

[3]洪黎明.醫保跨省聯網還需政策發力[N].人民郵電,2014-04-21(006).

[4]秦子龍.中國電子政務信息安全現狀與策略(二)[N].政府采購信息報,2013-07-19(007).

[5]秦子龍.中國電子政務信息安全現狀與策略（一）[N].政府采購信息報,2013-07-12(007).

[6]邊玉芳.服務下沉做貼近百姓的好幫手[N].中國勞動保障報,2010-01-09(006).

作者：胡恒金 單位：睢寧縣人力資源和社會保障局

第五篇：移動互聯網的信息安全研究

【摘要】科學技術的進步推動了移動互聯網技術的發展，移動互聯網被廣泛應用于生產和生活中的同時，也面臨著一些發展問題，在信息傳輸和應用方面存在較大的安全問隱患，必須針對移動互聯網應用中的問題制定有效的對策，加強信息的安全管理。本文結合移動互聯網應用過程中暴露的安全問題，提出了移動互聯網信息安全管理策略。

【關鍵詞】移動互聯網；信息安全；策略探討

中國移動互聯網發展于2005年，目前以WAP為主要的信息傳輸方式。在國內移動互聯網產品不斷完善的過程中，用戶的上網速度和上網體驗發生了重大的改變，多種通信產品成為移動互聯網應用的主流。移動互聯網用戶將信息交換作為重要業務，因此信息交換的安全性成為人們的關注的熱點。針對目前移動互聯網產品應用中的安全問題，必須制定有效的防護措施，保證信息安全。近幾年我國電力行業保持著較快的發展速度，作為國民經濟的基礎產業，電力產業也取得了很大的成績，發電機容量和發電量居世界第二位。隨著我國國民經濟的快速發展和人民生活水平的不斷提高，對電力的依賴程度也越來越高。電力需求與國民經濟密切相關，電力彈性系數反映了用電增長速度與國民經濟增長速度的相對關系。

1移動互聯網與電力建設背景分析

隨著電網基礎和分布式發電技術的改革，現代化輸電和配電將體現出智能化特點，最大限度地節約能源，新能源技術也將重新定義人類新生活，其中移動互聯網作為重要的紐帶將電網技術和多種智能終端設備聯系起來，為了人們的生活提供了便利。中國是全球最具活力的新興市場，隨著移動互聯網的發展，智能設備成為人們生活的伴侶，近年來電力開發行業將移動互聯網應用到電力建設中，很大程度上促進了電網建設的加速，電工產業不斷優化升級。另外，在移動互聯網興起的過程中，電力開發生產技術不斷發展，電力企業的營銷模式也將發生巨大的轉變。目前4G網絡引領移動互聯網發展，移動APP為電力生產帶來了便利，以電力建設中的焊接工作為例，微信、QQ、拍照、微攝影、WPSOffice辦公平臺、備忘錄等智能APP功能在焊接工作中的作用日益重要，有利于辦公平臺的優化，移動互聯網成為計劃、任務、進度管理、會議通知、質量管理等的重要工具。為了拍出高清圖片，焊接人員更新智能拍照軟件，記錄焊接的影像資料，通過微信、QQ群在線交流，在施工過程中，充分應用WPSOffice辦公平臺軟件，在施工現場查閱焊接規程、技能考核等文件，將智能終端作為迷你辦公室，很大程度上提高了管理水平。移動互聯網的發展帶動信息消費的增長，信息消費的發展空間更加廣闊，以電子商務和移動互聯網信息的消費迅速增長，電力開發企業借助這一發展優勢，將其作為發展就會促進產業進步。

2移動互聯網主要信息安全問題

2.1移動APP在電力應用中的問題

隨著智能電網建設進度的加快，很多智能型移動APP被應用于電力建設中，其中有管理方面的軟件，也有用戶端的繳費軟件，層出不窮的第三方軟件為人們的生活提供了便利，同時也暴露出一定的安全問題。例如移動APP惡意讀取用戶位置信息、泄露企業管理計劃、云端數據丟失等，移動APP的安全問題也成為人們關注的熱點，電力規劃和建設過程中必須保障數據安全，維護用戶利益。

2.2運營模式引起的安全問題

移動互聯網產品應用過程中，將多種信息交換業務作為核心，成為互聯網中重要的運營模式，傳統運營商將網絡作為核心，運營商和移動互聯網有著本質的區別[1]。當今社會有很多豐富的個性化服務進入移動互聯網中，例如手機廣告、視頻、APP等。同時移動互聯網可以為用戶提供多種增值服務，體現出鮮明的產品特色，多種業務內容也成為移動互聯網業務發展的重點，因此不同個性化服務的供應商成為移動互聯網快速發展的直接動力，但是在發展過程中也暴露出一些問題，例如供應商為了獲取更高的經濟效益，將一些騷擾廣告和不健康內容添加到WAP網站上，用戶誤點擊后將會收取一定的費用，在違背社會道德的同時，逐漸演變為嚴重的產業問題和社會問題。

2.3由IP引起的安全問題

與傳統的多級和多層通信網絡不同，移動互聯網應用扁平化網絡技術，將IP化作為網絡核心，但是IP網絡本身具有較大的安全漏洞，自身也存在著較大的安全威脅。在網絡信息技術不斷發展和普及的過程中，安全問題也受到廣泛關注，多種網絡攻擊逐漸成為公眾網絡的主要危害，作為承載網絡的核心部分也必將受到較大的影響。在核心網架構上，移動互聯網的管理信息、用戶信息和控制信息將會同步傳輸，終端用戶可以隨時訪問核心網，將會把核心網暴露在用戶端。在這種網絡環境下，運營商的核心網絡和業務網絡中不斷出現嚴重的安全問題，例如2009年5月19日晚9點左右，華南地區出現大面積網絡故障，不僅網絡連接出現問題，而且用戶的信息安全也受到嚴重的威脅，專家分析后確認該問題由DNS的零日溢出引起的，對DNS進行大量的查詢請求導致DNS服務器出現DDOS攻擊，運營商的DNS出現問題?；ヂ摼W應用過程中DNS服務器出現較多DDOS攻擊，形式也逐漸多樣化，例如利用緩沖區溢出、應用較大流量堵塞帶寬、偽造的DNS服務器發送大量的查詢請求等。網絡技術應用的同時，移動互聯網向全IP化發展，原來只在互聯網上出現的安全問題現已逐漸轉移到移動互聯網上。

2.4智能終端引起的安全問題

目前移動互聯網在網絡接入方面表現出鮮明的多樣化特征，不僅僅應用一種網絡接入方式，用戶可以按照需求采取多種接入方法，隨時都可以進行移動互聯網訪問。針對手機用戶而言，上網的粘性和上網時長不斷增加，因此手機網絡也表現出常態化特征，用戶在使用手機的過程中實現了碎片化溝通，信息類應用逐漸向娛樂和商務方向發展。與傳統網絡用戶不同的是，移動互聯網應用多種形式的終端設備，傳統用戶終端一般包括通信網的所中附屬設備，而移動互聯網全部應用智能終端。在移動互聯網能不斷完善和成熟的過程中，移動智能終端也逐漸表現出多樣化的特點，智能終端也因此成為安全問題頻發的部分，安全風險不斷加大，移動智能終端在推動移動數據業務進步的同時，很多用戶都將面臨著信息安全問題。另外，移動智能終端表現出多樣化和開放化特點的同時，信息交換的安全風險加大，在移動互聯網發展的過程中，移動企業一直處于市場發展的主導地位，企業的發展重點依舊是移動智能終端的研究和探索，因此一定給你智能終端的安全性很容易被企業忽視，與移動智能終端相關的安全問題也會逐漸暴露[2]。例如，收集APP會惡意設置吸費部分或者不健康內容的連接，手機上網規模不斷增大的同時，手機使用過程中的安全問題也將逐漸明顯。移動互聯網的開發軟件層出不窮，收集第三方軟件的研究人員也不斷增多，在商業發展需求不斷提高的同時，應用軟件逐漸增多，但是目前在第三方軟件的控制管理方面還存在缺陷，無法保障信息安全。例如有些手機軟件惡意讀取用戶位置信息和短信內容，給用戶信息安全帶來了較大的威脅[3]。

3移動互聯網信息安全策略

3.1完善信息安全法規建設

結合國內目前的情況來看，在互聯網信息安全管理方面，立方層次較低，不同的層次見還存在一定的協調問題，目前已有的移動互聯網法律還有待完善，將現有的法律應用于移動互聯網建設中將會缺乏一定的科學性和權威性。目前，移動互聯網接入過程中面臨著較大的問題，移動互聯網行業還沒有施行手機實名制的法律，因此在移動互聯網應用的過程中缺乏針對性的法律，無法對網民的行為構成有力的約束，也不能保護人們的信息安全。法律是移動互聯網進行有效管控的保障。在完善法律法規的過程中，需要結合實際已發系誒套用戶和移動互聯網運營企業之間的關系，避免兩者出現較大的業務矛盾。為了建立科學有效的移動互聯網法律體系，必須結合國內的發展現狀，勇于借鑒國外的方法，將信息安全和移動互聯網安全獨立開，針對獨立額部分建立針對性的法律法規。結合國內移動互聯網發展的實際情況，移動互聯網安全管理過程中的立法工作需要從以下三個方面著手：①完善手機實名制制度，加大隱私保護力度；②建立信息安全法，不斷完善與當今移動互聯網信息安全相關的法規；③不斷加強對互聯網管理和移動互聯網管理的監督。

3.2加快移動互聯網信息安全機構建設

嚴格的立法是政府對移動互聯進行監督管理的重要依據，結合國家移動互聯網的發展形勢，必須經信息安全管理和移動互聯網安全管理分開。針對國內網絡監督管理機構建設，需要通信網絡的優勢對移動互聯網發展目標進行統一規劃，為信息安全的管理和監督提供有利的依據[4]。針對國家級信息安全管理機構而言，必須在互聯網信息安全管理的過程中切實負起責任，徹底改變信息安全制度制定過程中的問題。國家在建立統一的安全管理機構時，以法制建設為依托，設置專家咨詢委員會，專家咨詢委員會作為參謀機構的同時，對安全信息管理提供合理的建議。

3.3完善移動終端管理方案

移動終端管理過程中，重點需要加大對安全技術的研究力度，將注意力集中到移動互聯網手機安全技術方面。同時協調不同管理機構之間的關系，構建科學嚴謹的管理鏈條，完善安全管理部門的監督政策，公安部門加大查處力度，完善與司法環節相關的法規。用戶應用手機的過程中，必須具有較高的安全意識，政府加強對用戶的安全教育，同時對第三方軟件商家進行有力的監督。企業單位不斷加強內部保密機制，對涉密文件進行嚴格管理。

4結束語

移動互聯網不斷發展的過程中，用戶將重點放在智能產品的功能上，信息安全一直存在較大的安全隱患，為了保證移動互聯網健康穩定發展，必須針對具體問題制定有效的對策。本文從移動互聯網中暴露的安全問題出發，提出了信息安全保障的策略，可以為移動互聯網信息安全建設提供就借鑒。

參考文獻

[1]羅軍舟，吳文甲，楊明，等.移動互聯網：終端、網絡與服務[J].計算機學報，2011，34（11）：202.

[2]陳遙，夏亮亮，譚輝，等.移動互聯網環境下終端與服務器安全交互的研究[J].南京信息工程大學學報，2015，7（5）：142.

[3]涂靜，田增山，周非，等.移動互聯網安全終端的設計與實現[J].電子技術應用，2013，39（10）：162.

[4]范紅，杜大海，王冠，等.移動互聯網安全測評關鍵技術研究[J].中興通訊技術，2015，36（3）：38.

作者：徐晨1 倪舜2 單位：1.嘉興市恒光電力建設有限責任公司華創分公司 2.國網浙江省電力公司嘉興供電公司

第六篇：內網準入及終端管控在信息安全保護實踐思考

【摘要】為防范政府部門、金融機構等單位敏感信息泄露、提高信息安全保護能力，本文從單位內網準入及終端管控技術入手，在分析研究兩者技術原理的基礎上，結合自身項目實踐，給出了一種把住終端“準入”、“管住”兩個關鍵環節的技術方案。實踐證明，該方案有效提升了單位信息安全保護水平，達到了預期目標。

【關鍵詞】內網準入；終端管控；信息安全保護

1引言

對數據保密性要求高的政府部門、金融機構等單位，防止敏感信息泄露始終是一個嚴峻的課題。在信息安全保護實踐中，各單位往往對數據集中的后臺服務端投入精力較多，對來自終端的威脅重視不足。來自終端的威脅主要為兩方面：一是內部網絡接入層侵入。二是內部計算機終端安全管理失控。信息安全事件調查經驗表明，多數信息泄露安全事件的突破口來自終端。因此，各單位在防范敏感信息泄露時，應對來自終端的威脅給予足夠的重視，牢牢把住終端“準入”、“管住”兩個關鍵環節。

2原理分析

2.1網絡準入與終端安全之間的關系

內部網絡準入，是指在人事管理層面識別用戶身份后，通過技術手段給予合法用戶、合法設備接入的過程。計算機終端安全，是指包含非法外聯監控、移動存儲管理等在內的一系列安全防范措施，是一個單位信息安全管理制度的技術化實現，構成了對合法接入終端的安全基線。達到終端安全基線是目的，網絡準入是重要的前置保障手段。在實踐中，只有把網絡準入與終端管控結合起來，才能有效實現內網信息安全保護。

2.2網絡準入實現原理

當前國際主流的企業級實現技術主要有802.1x認證、安全網關認證等。實施802.1x認證方式的前提是交換機支持802.1x認證協議。交換機與認證服務器聯動，根據認證服務器下發的認證結果，提供基于端口的準入控制。這種認證方式的優勢是若在接入層實施，終端互訪控制力度很強。認證前，交換機接入端口關閉，終端完全隔離。認證后，接入端口開啟，相同VLAN內的終端可以互訪。缺點是實施、維護過程中網絡部門的工作量很大，并且無法從原理上解決終端用戶在交換機端口以下私接HUB的問題。實施安全網關認證方式需要在生產網絡中添加硬件安全網關（防火墻）設備，旁路部署在核心交換機側或匯聚交換機側。然后通過在交換機上添加策略路由（Policybasedrouting），將需要認證的IP地址范圍內終端流量上拉至安全網關進行身份認證。安全網關接收認證服務器下發的動態ACL，對流量選擇回注至交換機或丟棄，從而達到網絡準入的效果。這種認證方式的優勢是配置實施簡單，對現有生產網絡改動要求小，并且因為采取三層認證方式，對人員、部門遷移支持性好，同時還能夠有效防止私接HUB的情況。缺點是由于控制點在核心側或匯聚側，安全網關對終端之間的互訪行為控制力度較弱。

2.3終端安全實現原理

為確保管控效果，企業級產品基本實現模式均為在計算機客戶端駐留程序，對信息保密要求較高的單位常見的需求包括以下幾方面：安全狀態檢查。最基礎的要求包括是否安裝了要求版本的殺毒軟件，病毒庫定義是否保持更新等。此類功能主要通過安全軟件讀取系統注冊表及掃描特定位置文件系統實現。移動存儲管理。根據各單位信息安全管理要求等級不同，檢查是否存在違規使用移動存儲介質管理的情況。此類功能主要通過安全軟件提升運行權限后向操作系統底層驅動注入代碼實現。非法外聯監控。對信息保密要求高的單位，接入內網的計算機終端通常都是禁止與互聯網直接或間接連通的。檢查非法外聯的通常做法是安全軟件定期檢查與某個互聯網地址的連通性，若有連通便會觸發監控報警。

3項目實踐案例

筆者作為項目負責人，于近期完成了一次單位內網準入與終端管控項目建設工作。該項目實施環境為政府機構辦公內網，實施目標網絡運行著單位內部辦公系統以及大量對外服務的業務系統，生產網絡割接需要慎重。同時，在嚴格管控USB存儲介質等外設使用的制度要求下，又因業務特點，需要使用品種型號各異的Ukey等特種設備。因此該項目建設中必須遵循對現有生產網絡及系統影響最小的原則。為達到上述目標，筆者在對網絡準入及終端管控技術進行研究的基礎上，對市場相關主流產品進行了長達半年的多方調研與測試選型。根據單位綜合布線基礎設施現狀、業務系統特點等實際情況，最終確定了使用硬件安全網關實現準入，在客戶端駐留程序與安全網關聯動實現終端管控的技術路線。在項目實施中，筆者總結了以下幾點經驗：（1）終端安全管控軟件部署應嚴格遵循“充分測試，穩步推進”的原則。由于終端安全軟件本身原理決定的底層侵入性（提權運行、操作系統驅動及協議棧注入等），部署過程必須先選取運行重要業務系統、特種外設部門的計算機為試點，局部安裝客戶端，排查兼容性風險，積累部署經驗。（2）網絡準入實施應注意排查啞終端盲點，細粒度開展網絡割接。因網絡準入控制功能需要在終端安裝程序與防火墻交互實現，對不能安裝的啞終端（如網絡打印機等非PC類設備），需在硬件網關設備上做特殊策略放行。在利用策略路由進行流量上拉時，本質是對生產網絡的割接。為便于控制與回退，建議采取細粒度方案，以部門或樓層VLAN為單位逐個進行實施。筆者實施的項目上線試運行后，從功能、性能及兼容性幾方面看，均較好地實現了項目建設需求。同時筆者通過組織對現有內網在網設備管理制度開展修訂完善，以制度和技術相結合的方式，形成了單位內網終端準入控制閉環，進一步提高了內網信息安全保障水平。

4結語

信息安全保障能否落實，往往在于一個“細”字。要實現對信息安全閉環式管理，僅僅重視信息系統服務端的保護是不夠的，必須重視對每個入網終端的安全管理。同時，我們也必須認識到，對一個單位的信息安全管理而言，永遠是“三分技術，七分管理”。再好的技術手段，也只有和管理制度相結合，并加以強力執行，才能達到預定的安全目標。

作者：薛金川 單位：中國人民銀行營業管理部

第七篇：互聯網時代計算機信息安全研究

摘要：隨著計算機技術的飛速發展，當前社會已逐步進入信息時代，計算機已融入人們的日常生活，成為人們生活和工作中必不可少的工具，計算機信息網絡是當今社會發展的重要保障。斯諾登曝光美國的“棱鏡”監控計劃，使得人們見識到計算機大數據巨大能力的同時，更喚起人們對信息安全的重視。計算機不僅給生活工和作帶來便利快捷，也帶來了相關信息安全問題。筆者對計算機信息安全及所面臨的問題、計算機信息安全的重要性及防范措施進行分析。

關鍵詞：信息時代；計算機信息安全；加密技術；制定相關法律

互聯網時代是一個大容量信息時代，隨著計算機網絡技術的廣泛運用，信息安全問題逐漸受到人們重視。QQ、微信等社交軟件逐漸替代了傳統社交方法，支付寶、網上銀行等網絡購物軟件也逐漸融入生活中。但是在使用這些相關的網絡產品時，不可避免地需要透露部分個人信息，一旦信息流失，可能造成不必要損失。在當今網絡普及的情況下，在使用網絡時應注重個人信息的保護。

1計算機信息安全概述

計算機信息安全的定義為：需保證信息的保密性、真實性、完整性、未授權拷貝及所寄生系統的安全性。簡單理解就是使信息系統中的硬件、軟件、數據、物理環境等技術設施受到保護，實現系統運行的連續性，不會遭到有意或無意的破壞、更改、泄露，保證信息服務不中斷[1]。網絡環境下的信息安全體系是保證用戶信息安全的基礎，其中包含計算機操作系統、安全協議、安全機制等。信息安全對個人或商業集團，乃至于國家都是很重要的問題。信息是一種資源，因其普遍性、共享性、增值性、可處理性及多效用性對人們日常生活具有重大意義。保障信息安全的根本是保護信息系統和信息網絡中的數據資源免遭多方面的破壞及干擾，即保證信息數據的安全性。2015年，兩會已將網絡安全法列入相關立法計劃中。網絡安全法的制定是規范及監管計算機信息安全的有力保障。隨著高科技的快速發展，不斷融入社會各個領域中，包括政治、經濟、軍事及文化等?，F代信息社會的主要特征之一就是通過網絡獲取信息及傳播信息。網絡技術的日益成熟，人們在享受網絡技術給生活帶來諸多便利的同時，也應注意保護個人信息安全，計算機信息安全必須具有相對強大的保護手段，確保網絡信息的安全、完整。

2計算機信息安全的意義

近年來，我國已成為世界上互聯網用戶數量最多的國家，也是世界上互聯網發展普及速度最快的國家。我國的計算機技術在給人們生活和工作帶來諸多便利的同時，也同樣有著大量信息安全問題，如之前12306火車票訂票官網的用戶信息泄露事件，引起社會各界廣泛關注，類似事件近年來頻頻發生，個人隱私在不知不覺中被泄露。網絡信息安全問題源于信息技術的飛速發展及廣泛應用，但是又不僅僅是計算機信息技術造成的，不但表現為人們過度依賴計算機信息技術，自計算機信息技術、信息內容、信息活動及信息基礎設施的控制力等概念提出之時開始，自然表現為對物理環境、個人行為的過度依賴[2]。網絡信息安全是一種基礎安全，目前我國社會信息化程度日益加深，計算機信息網絡已與社會生產、人們生活活動、國家機關等各種企業組織活動緊密結合在一起，社會經濟發展、國家政治外交、國防軍事活動都逐漸依賴于龐大而薄弱的計算機網絡信息系統。計算機網絡信息系統逐漸成為政治、經濟、文化及社會活動的基礎平臺和中央樞紐。

3信息安全面臨的問題

當前無處不在的計算機用戶終端、時刻都在進行的網絡傳輸、互動頻繁的社交網絡使得互聯網一直在產生巨大的數據內存，在海量數據背后存在著巨大經濟及政治利益。當前計算機信息技術面臨以下幾種威脅。第一，計算機病毒的威脅，隨著Internet技術的快速發展，病毒的感染、傳播能力及途徑也由原來的單一簡單變得復雜、隱秘。第二，黑客的攻擊，黑客攻擊已成為近年來計算機網絡中經常出現的狀況，黑客利用計算機系統、網絡協議及數據庫等方面的系統漏洞及防火墻的薄弱防護能力，使用后門程序、信息炸彈、密碼破解等手段入侵計算機系統，盜竊系統保密信息，破壞信息或占用系統資源。第三，信息傳遞的安全風險，企業與外部單位、國外相關公司進行廣泛的工作交流，大量日常工作信息、數據都需要通過互聯網進行傳輸。使用網絡傳輸信息會被非法用戶截取進而泄露企業機密；被非法篡改，造成數據混亂、信息錯誤進而對工作造成影響；非法用戶假冒身份，虛假信息，造成企業生產運行出現混亂，造成不可估量的破壞及損失[3]。第四，隨著軟件系統規模的不斷擴大，不可避免地存在安全漏洞，任何一個軟件系統在設計過程中可能由于程序員的大意、設計中的缺陷等原因而存在漏洞，這也是網絡安全面對的主要問題。

4信息安全防范對策

面對當前計算機信息時代的數據特點，保障人們信息安全是首要解決的問題。制定信息安全防范對策，首先要提高訪問控制方面的安全指數，防止用戶通過非法途徑入侵他人計算機系統對其造成損失。需要使用認證機制，此項訪問控制通過身份認證、報文認證、訪問授權、數字簽名等途徑得以實現。還應加強對網絡安全監測，對網絡整體的運行過程進行動態監測，減少病毒的入侵破壞。其次，加強對數據傳輸的保護，在數據傳輸過程中對病毒進行攔截和相應的病毒檢測，要防患于未然。對數據的連接層進行加密，減少數據在進行傳輸過程中被盜竊的風險，然后對傳輸層和應用層進行加密，防止網絡應用程序對數據私自加密或解密。最后，加深網絡用戶對網絡安全的認知程度，加強對用戶網絡安全意識的培養，進一步普及相關網絡安全知識，正確引導網絡用戶以提升對網絡安全的認識[4]。設立專門監管計算機網絡安全的相關部門，制定保護計算機網絡安全的相關法律，為其健康發展提供法律依靠。

5結語

網絡安全應有足夠強的安全保護措施，保障網絡信息的安全性、完整性及可用性。計算機網絡信息的安全需要提升到一個新的高度，充分發揮計算機信息網絡的積極作用，推進經濟、文化、軍事及社會活動的健康發展。只有加強網絡與信息安全管理，增強安全意識，不斷改進和發展網絡安全保密技術，才能防范于未然，減少國家、企業或個人的損失。信息時代的來臨，給人們日常生活帶來諸多便利，但生活在計算機信息飛速發展的時代，個人信息安全的重要性日益凸顯，應了解計算機信息網絡，加強對個人信息的防范意識，學習相應的信息安全保護措施，在享受計算機信息時代給生活帶來便利的同時，使得個人信息安全得到保障。

參考文獻

[1]趙建功.淺談信息時代下計算機電子商務的安全策略[J].中國高新技術企業,2015(9):81-82.

[2]宗俊超.淺談網絡信息處理與安全方面的計算機應用[J].科技創新與應用,2013(12):50.

[3]王穎波.計算機信息安全技術及防護研究[J].計算機光盤軟件與應用,2013(22):171-172.

[4]王磊.關于計算機網絡信息安全及防護策略探究[J].電腦知識與技術,2014(19):4414-4416.

作者：白云 單位：湖北工程學院

第八篇： WEB訪問行為中的信息安全分析

【摘要】網絡技術的迅猛發展，應用領域的不斷擴大，導致信息安全問題日益突出。信息安全正逐漸成為一個綜合性的多層面的問題。它是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或使信息被非法系統辨識、控制。本文就人們日常的網絡訪問行為中，可能會導致信息安全問題的用戶行為進行分析研究，尋求一種安全、文明的訪問行為。

【關鍵詞】網絡訪問；訪問行為；信息安全

0引言

互聯網是由若干個計算機網絡互相連接而組成的網絡，目前最大的互聯網是因特網，它由眾多的計算機網絡互相連接組成、覆蓋全球的開放性網絡，廣泛應用于社會經濟、教育、文化傳播等等方面。我國互聯網的產生雖然比較晚，但是經過幾十年的發展，依托于中國國民經濟和政府體制改革的成果，已經顯露出巨大的發展潛力[1]。中國已經成為國際互聯網的一部分，并且將會成為最大的互聯網用戶群體。隨著社會的發展，人們對網絡信息的需求和依賴日益增強，計算機網絡已經悄然進入尋常百姓的生活，滲透了衣、食、住、行、娛等各個領域。網絡技術的高度發展，為我們進行現代化建設提供了技術保障。然而，網絡應用中卻存在著許多不安全因素，其主要表現在信息泄漏、信息篡改、非法使用網絡資源、非法信息滲透、假冒信息等等。本文就人們日常的網絡訪問行為中，可能會導致信息安全問題的用戶行為進行分析研究，尋求一種安全、文明的訪問行為。

1計算機網絡的信息安全隱患

計算機網絡信息安全主要面臨兩類威脅，一類是計算機信息泄漏，另一類是數據破壞。由于計算機系統脆弱的安全性，只要用計算機來處理、存儲和傳輸數據就會存在安全隱患。近年來，隨著計算機網絡信息泄漏和信息破壞事件不斷上長的趨勢，計算機信息安全問題已經從單一的技術問題，演變成為突出的社會問題，因此，計算機網絡信息系統的安全與防范顯得越發重要。計算機網絡的三個最重要功能是數據通信、資源共享和分布處理，在這些環節當中，都存在信息安全問題。信息安全是指利用網絡管理控制和技術措施，防止網絡本身及網上傳輸的信息數據被故意地或偶然地非授權泄漏、更改、破壞，或使網上傳輸的信息被非法系統辨認、控制，即確保網上傳輸的信息數據的完整性、保密性、可用性受到保護[1]。目前，在網絡信息安全方面，主要存在以下的安全隱患：

1.1網絡中存在的不安全因素

用戶可以通過網絡自由和獲取各類信息，因此，網絡的威脅也來自方方面面。在這些威脅中最主要的是在計算機協議或證書中存在的不安全性因素[3]，如計算機協議主要包括：FTP、IP/TCP協議、SSL、NFS、SET等協議，這些協議中如果存在漏洞網絡入侵者就能夠根據這些漏洞搜索用戶名，可以猜測到機器密碼口令，攻擊計算機防火墻。數字證書則是通過標志交易各方身份信息的一系列數據，提供了一種驗證各自身份的方式，用戶可以用它來識別對方的身份。當一些惡意、非法的偽造數字安全證書被安裝后，網絡信息就被完全暴露。而且，網絡用戶對計算機及網絡知識了解并不多，一旦頁面上出現的諸多提示，往往是一路“確定”下去。

1.2數據庫管理系統的不安全

數據庫管理系統是基于分級管理的理念而建立，本身就存在缺陷。因此，由于數據庫的不安全因素的存在就會將用戶上網瀏覽的痕跡泄漏，用戶在網上存儲和瀏覽的信息，通過這些用戶的賬號，密碼都會被泄漏，這樣就會大大威脅到用戶的財產隱私安全。

1.3計算機操作系統存在的不安全因素

計算機的整個支撐軟件是它的操作系統，電腦中的所有程序運行都靠支撐軟件為其提供環境。一旦網絡入侵者控制了操作系統，那么用戶口令就會被泄露，用戶在各個程序中殘留的信息就會被入侵者截取。

2獲取網絡用戶信息的方式分析

智慧城市概念的提出，伴隨著網絡帝國的崛起、移動技術的融合發展，知識社會環境下的智慧城市是繼數字城市之后信息化城市發展的高級形態。從內容上看，信息化過程可分為信息的生產、應用和保障三大方面。信息的獲取方式多種多樣，涉及到網絡用戶信息的方式有如下幾種類型：（1）網絡及系統漏洞：在傳統安全防御技術中，系統的后門因其隱蔽性而被人們所忽視，作為網絡協議和網絡服務實現的載體，網絡操作系統本身負有不可推卸的責任，在程序運行過程中存在的缺陷和漏洞在所難免。由于防火墻對這類入侵的攔截力度不足，導致這類入侵行為可以堂而皇之經過防火墻而很難被察覺。Cookie這種網絡小甜餅是一些會自動運行的小程序。網站設計師使用它們來為你提供方便而高效的服務[2]。但同時通過使用這些小程序，商業公司和網絡入侵者能夠輕易獲得你機器上的信息。JavaJava作為一種技術，一直備受爭議，現實中有無數利用Java的漏洞成功入侵案例。（2）網絡惡意攻擊：通俗來說就是網絡黑客攻擊和網絡病毒，這兩類問題是目前公認的網絡安全公敵。隨著計算機文化在社會各個階層的滲透，使得這類攻擊變得越來越容易，一旦發現有關目標機器的詳細資料，利用程序工具，對目標機器的文件資料、配置進行閱讀、拷貝、修改等等[4]。網絡病毒傳播利用用戶訪問自己的網站或下載文件資料的同時傳播病毒，以達到竊取信息的目的。（3）社交軟件：有超過95%的網民正在使用的各類工具軟件，它的及時、便捷給大家帶來方便的同時，也給信息的泄漏帶來可乘之機。如“微信三點定位”引發的熱議，折射出了公眾對隱私暴露的不安。個人信息與隱私界定標準的模糊讓人頭疼，用戶亦因此不自覺地泄露個人信息。（4）用戶習慣：當使用者在使用某網站的某些認證時，每當有窗口彈出顯示認證和授權時，絕大多數人會毫不猶豫地按下“Yes”。這就好比你購買商品時，售貨員問：“把你錢包給我，請相信我會取出合適數量的錢替您付款，您說好嗎？”你一定會斬釘截鐵地回答：“No”這兩種情況本質上完全一樣。

3網絡訪問行為調查分析

那些非法竊取在線信息和通訊的黑客入侵者以及試圖保護信息安全的人們已經陷入一場軍備競賽。每年都會發生各種入侵攻擊，日益進化的網絡技術導致安全行業努力利用現有工具抵抗攻擊，同時收集有關新威脅的情報[3]。用戶也是這一問題的一部分，他們粗心或者惡意的網絡行為讓入侵者有機可乘，或者直接導致網絡泄密。通過對不同年齡段人群進行網絡訪問的行為調查，共發放500份調查問卷，內容涉及網絡訪問需求、訪問類型、訪問行為方式、具體問題的處理方式和一些網絡安全基本知識，回收到有效的問卷486份，對問卷進行統計分析后，得到了以下的網絡訪問行為的分析結果：從不同群體對網絡的需要比例來看（見圖1），網絡速度是第一位的需求，安全性要求擺在末位，顯示受訪者的網絡安全意識淡薄，甚至把網絡速度作為衡量網絡使用效果、計算機質量好壞的判斷依據。針對不同受訪群體的網絡訪問類型（見圖2），從統計結果來看，社交軟件是普遍使用較多的應用。據DCCI互聯網數據中心聯合360手機安全中心的《2015年Android手機隱私安全報告》顯示，要求讀取設備信息以91%的比例高居首位，占比76.8%的讀取位置信息位居第二。無論是PC端還是手機移動終端，使用相關軟件時，都應該進行相應的安全設置，以保護個人信息與隱私的安全。電子郵件在中青年人群應用較多，需要注意的是當電子郵件中有附件時，應使用下載附件的郵件閱讀方式，而非直接打開進行在線閱讀的方式，這樣可以有效杜絕惡意軟件的傳播與在線運行行為。根據不同人群對計算機及網絡安全的關注情況來看（見圖3），老年群體的計算機及網絡安全狀態令人擔心，在這些措施當中，依賴第三方安全管理軟件進行計算機與網絡的安全管理比重較大，顯示了網民對計算機與網絡知識薄弱，這樣就存在著如何選擇合適的第三方安全管理軟件的問題。更令人擔憂的是，網民普遍存在對計算機及網絡相應的安全設置不明白、不清楚的現象，沒有設置好的計算機與網絡軟硬件環境，這就意味著信息安全的第一道防線不攻自破，此時更談不上網絡訪問行為中的信息安全了。從不同群體網絡訪問時遇到的問題比例來看（見圖4），網絡騷擾信息、虛假信息較多，而且成為普遍的現象。這些問卷顯示，在網絡上下載一些軟件后，經常會自動彈出一些頁面，當用戶不經意點擊鏈接后，可能跳轉到欺騙網站、虛假頁面等網絡陷阱中去，進而導致信息安全得不到有效保護，甚至產生人生安全、財產損失等嚴重后果。

4結論

計算機網絡信息安全面臨的威脅中，除了管理層面的數據破壞所帶來的問題外，另一類是用戶層面的計算機信息泄漏[4]。導致計算機信息泄漏的途徑有很多。首先，必須有一個安全可靠的計算機及網絡環境，在人們日常的網絡訪問行為中，要學會進行必要的計算機及網絡的相關安全設置，及時下載系統及軟件補丁，安裝殺毒軟件和防火墻等安全管理軟件，營造良好網絡訪問環境；其次，是在進行網絡訪問時，要有真假信息的甄別能力，網絡信息量龐大，學會辨別是非是信息安全、文明上網的有效舉措；最后，對于用戶而言，更為重要的是良好網絡訪問習慣的養成，在正規網站下載軟件，遇到網頁提示要認真看清讀懂，不隨便在論壇及社交網站個人敏感信息，樹立牢固的信息安全防范意識，保護好個人隱私。

【參考文獻】

［1］蔣蔚．網絡行為管理系統研宄及設計[D]．浙江工業大學,2012．

［2］楊宗長,徐繼生,孫洪．Web訪問者網絡行為跟蹤[J]．計算機安全,2004(8)．

［3］RossAnderson．齊寧（譯）．信息安全工程[M]．北京:清華大學出版社,2012．

［4］王宇,閻慧．信息安全保密技術[M]．北京:國防工業出版社,2010．

第九篇：電力信息安全保障體系建設思考

【摘要】如今，伴隨著科學技術的迅猛發展，我國電力企業各個方面的工作，也得到了大幅度的進步。電力信息安全保障體系，是電力發展事業各組成部分中的重要環節，在維持電力企業的正常運行、日常管理和營銷管理等方面，起著至關重要的作用。因此，電力信息的安全問題，一直是電力企業所關注的重要內容之一，各個企業對于電力信息也逐漸重視起來。以下是筆者結合當前電力信息安全保障體系建設的實際情況，就在電力企業中，電力信息系統的安全領域出現的問題，進行有效詳細的研究與分析，希望通過此次研究，能夠對電力信息安全保障體系的建設領域的發展，起到一定的促進作用，為我國電力工作的發展，獻計獻策。

【關鍵詞】電力信息；安全保障；體系建設；探討研究

所謂的電力信息系統，主要的內容包括信息網絡、應用系統、網絡服務系統、存儲與備份系統、安全系統、輔助系統等。除此以外，上述系統的附屬設備也在電力信息系統的行列內。本系統所涉及的技術，大致有數據加密技術、防火墻、入侵檢測技術、網絡掃描技術，以及訪問控制技術等。雖然安全架構在設計上出現問題與管理方面出現問題，是引發信息系統安全問題的主要因素，但還是有其他因素存在。因此，在電力信息系統安全保障體系的建設，要考慮電網運行安全方面以外，還要經過信息安全系統的的建設、信息安全管理的建設和信息安全策略的建設三個階段。

一、電力信息安全保障體系存在的問題

隨著科學技術的不斷發展，計算機技術也在不斷進步，黑客是擺在我們面前不可忽視的問題。因此電力系統在正常運行的情況下，就很容易受到黑客的攻擊，造成病毒的侵入，所以對電力信息的安全保障體系的建設予以加強，變得迫在眉睫?，F如今，電力信息安全存在的主要問題，大致包括信息安全意識薄弱、信息安全運作機制不完善、信息安全保障工作沒有常態化、系統安全設計不足，以及短板現象顯著等。在大多數電力企業中，信息安全問題常常被忽視，有的甚至處于不防御狀態。信息安全運作機制不完善，在不完善的業務連續性計劃，不規范的信息文檔和測試數據的管理中，有所體現。那么，怎么樣去應對這些問題呢？使這些問題能夠迎刃而解呢？主要從信息安全管理和信息安全技術兩方面入手。其中，信息安全評估、建立安全管理組織、信息安全運行管理、安全策略規劃和安全監督審計等，均屬于信息安全管理范疇。而信息安全技術大致包括通用信息安全技術手段，也就是安全服務，比如訪問管理、防惡意代碼、身份認證和審核跟蹤等等。

二、電力信息安全保障體系的策略與管理

結合當前形勢與公司實際,要不斷進行管理的創新與技術的實踐。從管理層面講，要對組織機構、系統運行維護、規章制度、相關工作人員教育等進行全面控制和管理；而從技術的層面出發，做到防護物理、主機系統、網絡、數據應用等等各方面的安全性,同時在安全可靠前提下，建設一套高效、先進、實用的信息安全保障體系，支撐助力生產專業化與管理現代化，保障電力信息的安全性。制定電力信息安全策略，應該保證在國家信息安全等級保護政策的前提下進行，本著提升電力企業整體防篡改、防泄密、防攻擊等綜合能力的原則，進行策略的制定。電力信息安全的運行，在保證對基礎環境、主營業務系統、軟硬件平臺等等運行維護的同時，還要確保運維技術規范、運維流程和定檢等標準或機制的建立。另外，訪問控制和身份認證，可以將主機系統、安全設備、應用系統，網絡設備等的身份認證，進行統一管理。審計和監控，也可提高信息的安全性，對問題發生時的反應速度，也能夠得以提升，對安全問題的發生，起到了有效的預防。在電力管理信息大區網絡內部，還應建立能夠對病毒進行預防、隔離、檢測和清除的機制。這樣，可以大大降低未知病毒的入侵率。

三、結論

總而言之，加強電力信息安全保障體系的建設，是新時期電力工作者熱衷研究的一大科題，更是今后的工作方向。在電力信息系統安全保障體系建設的過程中，我們必須要以“堅持實事求是、以人為本”的方針為原則，系統性的分析影響電力信息系統運行安全與管理的因素，結合如今電力信息系統安全保障的實際情況，以最佳的建設原則與思路，對電力信息系統安全保障體系進行完善，為電力企業的健康長遠發展做出突出的貢獻。

參考文獻

[1]李志茹,張華峰,黨倩.電網企業信息系統安全防護措施的研究與探討[J].電力信息化.2012(04)。

[2]香柱平.有關電力企業信息中心網絡安全及防護措施的探討[J].中小企業管理與科技(下旬刊).2010(05)。

[3]張建華,王昕偉,蔣程,于雷,俞悅,余加喜.基于蒙特卡羅方法的風電場有功出力的概率性評估[J].電力系統保護與控制.2014(03)。

[4]丁冬,劉宗歧,楊水麗,吳小剛,李婷婷.基于模糊控制的電池儲能系統輔助AGC調頻方法[J].電力系統保護與控制.2015(08)。

[5]肖英;信息保障及其評價指標應用基礎研究[D];武漢大學;2006年。

[6]顧愷愷;基于信息安全控制原理的安全網格服務器模型研究與實現[D];南京航空航天大學;2007年。

作者：唐勇 單位：國網四川省電力公司電力科學研究院