導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇網(wǎng)絡(luò)信息安全管理體系，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）1999年修訂版的《信息安全管理體系標(biāo)準(zhǔn)》中指出，信息安全管理體系主要包括信息安全政策、信息安全組織、信息資產(chǎn)分類與管理、個(gè)人信息安全、物理和環(huán)境安全、通信和操作安全管理、存取控制、信息系統(tǒng)的開(kāi)發(fā)和維護(hù)、持續(xù)運(yùn)營(yíng)管理等幾個(gè)方面的內(nèi)容。信息安全管理的模型大多是基于過(guò)程和流程的框架提出的，如ISO/IEC提出的ISMS模型就是一個(gè)基于計(jì)劃-實(shí)施-檢查-改進(jìn)四個(gè)步驟的過(guò)程性體系（PDCA），在幫助用戶了解自身信息安全需求并制定相應(yīng)的安全策略的同時(shí)，還可以反饋過(guò)來(lái)指導(dǎo)企業(yè)的信息安全管理的執(zhí)行，是目前國(guó)際上信息安全管理的主流標(biāo)準(zhǔn)。

2信息安全管理提的構(gòu)建

構(gòu)建有效的信息安全管理體系必須在適合自身業(yè)務(wù)發(fā)展和信息安全需求的前提下，按照適當(dāng)?shù)某绦蜻M(jìn)行搭建，同時(shí)還應(yīng)加強(qiáng)對(duì)相關(guān)文件的嚴(yán)格管理，以建立健全的體系。建立信息安全管理體系，首先需要根據(jù)自身實(shí)際情況搭建一個(gè)信息安全管理的框架，并對(duì)信息安全政策進(jìn)行一個(gè)合理、全面且通熟易懂的定義，以避免工作中出現(xiàn)不必要的差錯(cuò)。信息安全政策是構(gòu)建信息安全管理體系的基石，應(yīng)形成有效的書(shū)面文件，使員工廣為知曉，然后再在此基礎(chǔ)上，綜合各方面需要考慮的因素，對(duì)ISMS的范圍進(jìn)行一個(gè)合理的定義，便于對(duì)不同的工作部門(mén)和分工領(lǐng)域進(jìn)行高效的信息安全管理。完成了對(duì)上述的定義之后，還需要對(duì)信息安全風(fēng)險(xiǎn)作出風(fēng)險(xiǎn)評(píng)估，對(duì)風(fēng)險(xiǎn)的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度作出明確的評(píng)估，為后續(xù)避免風(fēng)險(xiǎn)采取技術(shù)措施提出合理的指示。信息安全管理體系的建設(shè)需要在信息安全管理框架的基礎(chǔ)上，充分考慮實(shí)施經(jīng)費(fèi)、不同部分的協(xié)調(diào)工作等各方面因素，建立信息安全政策、信息安全管理目標(biāo)以及適用性申明等相應(yīng)的文檔，并對(duì)文檔進(jìn)行嚴(yán)格的、有規(guī)律的管理和修正，協(xié)調(diào)與融合各個(gè)信息安全管理系統(tǒng)的工作，充分促進(jìn)信息安全標(biāo)準(zhǔn)系統(tǒng)的功能發(fā)揮。

3我國(guó)信息安全管理的現(xiàn)狀

信息技術(shù)的發(fā)展一方面推動(dòng)者信息管理工作的進(jìn)步，另一方面，也在不斷地為信息安全管理體系帶來(lái)新的挑戰(zhàn)。計(jì)算機(jī)硬件、軟件收到惡意破壞，數(shù)據(jù)遭到更改，信息被泄露都是對(duì)信息安全管理體系的威脅，而為系統(tǒng)軟件設(shè)置防火墻、使用補(bǔ)丁程序修改漏洞則都是對(duì)信息安全管理的有效維護(hù)。為了更好地推進(jìn)我國(guó)信息安全管理工作，加強(qiáng)信息安全管理工作，中央批準(zhǔn)成立國(guó)家信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心以及家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心這兩個(gè)重要部門(mén)，以支撐國(guó)家的信息安全管理體系的正常運(yùn)行。

4信息安全管理的標(biāo)準(zhǔn)

篇2

【關(guān)鍵詞】網(wǎng)絡(luò)安全；防火墻；數(shù)據(jù)庫(kù)；病毒；黑客

 

當(dāng)今許多的企業(yè)都廣泛的使用信息技術(shù)，特別是網(wǎng)絡(luò)技術(shù)的應(yīng)用越來(lái)越多，而寬帶接入已經(jīng)成為企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)接入國(guó)際互聯(lián)網(wǎng)的主要方式。而與此同時(shí)，因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)特有的開(kāi)放性，企業(yè)的網(wǎng)絡(luò)安全問(wèn)題也隨之而來(lái)，由于安全問(wèn)題給企業(yè)造成了相當(dāng)大的損失。因此，預(yù)防和檢測(cè)網(wǎng)絡(luò)設(shè)計(jì)的安全問(wèn)題和來(lái)自國(guó)際互聯(lián)網(wǎng)的黑客攻擊以及病毒入侵成為網(wǎng)絡(luò)管理員一個(gè)重要課題。

一、網(wǎng)絡(luò)安全問(wèn)題

在實(shí)際應(yīng)用過(guò)程中，遇到了不少網(wǎng)絡(luò)安全方面的問(wèn)題。網(wǎng)絡(luò)安全是一個(gè)十分復(fù)雜的問(wèn)題，它的劃分大體上可以分為內(nèi)網(wǎng)和外網(wǎng)。如下表所示：

由上表可以看出，外部網(wǎng)的安全問(wèn)題主要集中在入侵方面，主要的體現(xiàn)在：未授權(quán)的訪問(wèn)，破壞數(shù)據(jù)的完整性，拒絕服務(wù)攻擊和利用網(wǎng)絡(luò)、網(wǎng)頁(yè)瀏覽和電子郵件夾帶傳播病毒。但是網(wǎng)絡(luò)安全不僅要防范外部網(wǎng)，同時(shí)更防范內(nèi)部網(wǎng)。因?yàn)閮?nèi)部網(wǎng)安全措施對(duì)網(wǎng)絡(luò)安全的意義更大。據(jù)調(diào)查，在已知的網(wǎng)絡(luò)安全事件中,約70%的攻擊是來(lái)自內(nèi)部網(wǎng)。內(nèi)部網(wǎng)的安全問(wèn)題主要體現(xiàn)在：物理層的安全，資源共享的訪問(wèn)控制策略，網(wǎng)內(nèi)病毒侵害，合法用戶非授權(quán)訪問(wèn)，假冒合法用戶非法授權(quán)訪問(wèn)和數(shù)據(jù)災(zāi)難性破壞。

二、安全管理措施

綜合以上對(duì)于網(wǎng)絡(luò)安全問(wèn)題的初步認(rèn)識(shí)，有線中心采取如下的措施：

      （一）針對(duì)與外網(wǎng)的一些安全問(wèn)題

對(duì)于外網(wǎng)造成的安全問(wèn)題，使用防火墻技術(shù)來(lái)實(shí)現(xiàn)二者的隔離和訪問(wèn)控制。

防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的措施之一。防火墻可以對(duì)所有的訪問(wèn)進(jìn)行嚴(yán)格控制（允許、禁止、報(bào)警）。

防火墻可以監(jiān)視、控制和更改在內(nèi)部和外部網(wǎng)絡(luò)之間流動(dòng)的網(wǎng)絡(luò)通信；用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，從而保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境。所以，安裝防火墻對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)具有很多優(yōu)點(diǎn)：（1）集中的網(wǎng)絡(luò)安全；（2）可作為中心“扼制點(diǎn)”；（3）產(chǎn)生安全報(bào)警；（4）監(jiān)視并記錄Internet的使用；（5）NAT的位置；（6）WWW和FTP服務(wù)器的理想位置。

但防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過(guò)防火墻的其它攻擊。為此，中心選用了RealSecure System Agent和Network Engine。其中，RealSecure System Agent是一種基于主機(jī)的實(shí)時(shí)入侵檢測(cè)產(chǎn)品，一旦發(fā)現(xiàn)對(duì)主機(jī)的入侵，RealSecure可以中斷用戶進(jìn)程和掛起用戶賬號(hào)來(lái)阻止進(jìn)一步入侵，同時(shí)它還會(huì)發(fā)出警報(bào)、記錄事件等以及執(zhí)行用戶自定義動(dòng)作。RealSecure System Agent還具有偽裝功能，可以將服務(wù)器不開(kāi)放的端口進(jìn)行偽裝，進(jìn)一步迷惑可能的入侵者，提高系統(tǒng)的防護(hù)時(shí)間。Re?鄄alSecure Network Engin 是基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)產(chǎn)品，在網(wǎng)絡(luò)中分析可疑的數(shù)據(jù)而不會(huì)影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸。網(wǎng)絡(luò)入侵檢測(cè)RealSecure Network Engine在檢測(cè)到網(wǎng)絡(luò)入侵后，除了可以及時(shí)切斷攻擊行為之外，還可以動(dòng)態(tài)地調(diào)整防火墻的防護(hù)策略，使得防火墻成為一個(gè)動(dòng)態(tài)的、智能的防護(hù)體系。

通過(guò)部署入侵檢測(cè)系統(tǒng)，我們實(shí)現(xiàn)了以下功能：

對(duì)于WWW服務(wù)器，配置主頁(yè)的自動(dòng)恢復(fù)功能，即如果WWW服務(wù)器被攻破、主頁(yè)被纂改，系統(tǒng)能夠自動(dòng)識(shí)別并把它恢復(fù)至事先設(shè)定的頁(yè)面。

入侵檢測(cè)系統(tǒng)與防火墻進(jìn)行“互動(dòng)”，即當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到網(wǎng)絡(luò)攻擊后，通知防火墻，由防火墻對(duì)攻擊進(jìn)行阻斷。

      （二）針對(duì)網(wǎng)絡(luò)物理層的穩(wěn)定

網(wǎng)絡(luò)物理層的穩(wěn)定主要包括設(shè)備的電源保護(hù)，抗電磁干擾和防雷擊。

本中心采用二路供電的措施，并且在配電箱后面接上穩(wěn)壓器和不間斷電源。所有的網(wǎng)絡(luò)設(shè)備都放在機(jī)箱中，所有的機(jī)箱都必須有接地的設(shè)計(jì)，在機(jī)房安裝的時(shí)候必須按照接地的規(guī)定做工程；對(duì)于供電設(shè)備，也必須做好接地的工作。這樣就可以防止靜電對(duì)設(shè)備的破壞，保證了網(wǎng)內(nèi)硬件的安全。

      （三）針對(duì)病毒感染的問(wèn)題

病毒程序可以通過(guò)電子郵件、使用盜版光盤(pán)等傳播途徑潛入內(nèi)部網(wǎng)。網(wǎng)絡(luò)中一旦有一臺(tái)主機(jī)受病毒感染，則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。防病毒解決方案體系結(jié)構(gòu)中用于降低或消除惡意代碼；廣告軟件和間諜軟件帶來(lái)的風(fēng)險(xiǎn)的相關(guān)技術(shù)。中心使用企業(yè)網(wǎng)絡(luò)版殺毒軟件，（例如：Symantec Antivirus等）并控制寫(xiě)入服務(wù)器的客戶端，網(wǎng)管可以隨時(shí)升級(jí)并殺毒，保證寫(xiě)入數(shù)據(jù)的安全性，服務(wù)器的安全性，以及在客戶端安裝由奇虎安全衛(wèi)士之類來(lái)防止廣告軟件和間諜軟件。

      （四）針對(duì)應(yīng)用系統(tǒng)的安全

      應(yīng)用系統(tǒng)的安全主要面對(duì)的是服務(wù)器的安全，對(duì)于服務(wù)器來(lái)說(shuō)，安全的配置是首要的。對(duì)于本中心來(lái)說(shuō)主要需要2個(gè)方面的配置：服務(wù)器的操作系統(tǒng)（Windows 2003）的安

全配置和數(shù)據(jù)庫(kù)（SQL Server 2000）的安全配置?！?．操作系統(tǒng)（Windows 2003）的安全配置

      （1）系統(tǒng)升級(jí)、打操作系統(tǒng)補(bǔ)丁，尤其是IIS 6.0補(bǔ)丁。

      （2）禁止默認(rèn)共享。

（3）打開(kāi)管理工具-本地安全策略，在本地策略-安全選項(xiàng)中，開(kāi)啟不顯示上次的登錄用戶名。

      （4）禁用TCP/IP上的NetBIOS。

      （5）停掉Guest 帳號(hào)，并給guest 加一個(gè)異常復(fù)雜的密碼。

      （6）關(guān)閉不必要的端口。

      （7）啟用WIN2003的自身帶的網(wǎng)絡(luò)防火墻，并進(jìn)行端口的改變。

      （8）打開(kāi)審核策略，這個(gè)也非常重要，必須開(kāi)啟。

      2． 數(shù)據(jù)庫(kù)（SQL Server 2000）的安全配置

      （1）安裝完SQL Server 2000數(shù)據(jù)庫(kù)上微軟網(wǎng)站打最新的SP4補(bǔ)丁。

篇3

電力信息的迅猛發(fā)展使得電力系統(tǒng)及數(shù)據(jù)信息網(wǎng)絡(luò)迎來(lái)了前所未有的挑戰(zhàn)。本文分析研究了網(wǎng)絡(luò)系統(tǒng)信息安全存在的問(wèn)題，全面規(guī)劃了網(wǎng)絡(luò)安全系統(tǒng)，提出了合理有效的安全措施、方法，大大提升了電力企業(yè)信息網(wǎng)絡(luò)安全工作的效率。

一、網(wǎng)絡(luò)系統(tǒng)信息安全存在問(wèn)題分析

（一）計(jì)算機(jī)及信息網(wǎng)絡(luò)安全意識(shí)不強(qiáng)

由于計(jì)算機(jī)信息技術(shù)高速發(fā)展，計(jì)算機(jī)信息安全策略和技術(shù)也有大的進(jìn)展。設(shè)計(jì)院各種計(jì)算機(jī)應(yīng)用對(duì)信息安全的認(rèn)識(shí)離實(shí)際需要差距較大，對(duì)新出現(xiàn)的信息安全問(wèn)題認(rèn)識(shí)不足。

（二）缺乏統(tǒng)一的信息安全管理規(guī)范

設(shè)計(jì)院雖然對(duì)計(jì)算機(jī)安全一直非常重視，但由于各種原因目前還沒(méi)有一套統(tǒng)一、完善的能夠指導(dǎo)整個(gè)院計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范。

（三）缺乏適應(yīng)電力行業(yè)特點(diǎn)的計(jì)算機(jī)信息安全體系

近幾年來(lái)計(jì)算機(jī)在整個(gè)電力行業(yè)的生產(chǎn)、經(jīng)營(yíng)、管理等方面應(yīng)用越來(lái)越廣，但在計(jì)算機(jī)安全策略、安全技術(shù)和安全措施上投入較少。為保證網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定、高效運(yùn)行，應(yīng)建立一套結(jié)合電力行業(yè)計(jì)算機(jī)應(yīng)用特點(diǎn)的計(jì)算機(jī)信息安全體系。

（四）缺乏預(yù)防各種外部安全攻擊的措施

計(jì)算機(jī)網(wǎng)絡(luò)化使過(guò)去孤立的個(gè)人電腦在聯(lián)成局域網(wǎng)后，面臨巨大的外部安全攻擊。局域網(wǎng)較早的計(jì)算機(jī)系統(tǒng)是NOVELL網(wǎng).并沒(méi)有同外界連接。計(jì)算機(jī)安全只是防止意外破壞或者內(nèi)部人員的安全控制就可以了，但現(xiàn)在要面對(duì)國(guó)際互聯(lián)網(wǎng)上各種安全攻擊，如網(wǎng)絡(luò)病毒和電腦“黑客”等。

二、保證網(wǎng)絡(luò)系統(tǒng)信息安全的對(duì)策

（一）建立信息安全體系結(jié)構(gòu)框架

實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)信息安全.首要的問(wèn)題是時(shí)時(shí)跟蹤分析國(guó)內(nèi)外相關(guān)領(lǐng)域信息安全技術(shù)的發(fā)展和應(yīng)用情況，及時(shí)掌握國(guó)際電力工業(yè)信息安全技術(shù)應(yīng)用發(fā)展動(dòng)向。結(jié)合我國(guó)電力工業(yè)的特點(diǎn)和企業(yè)計(jì)算機(jī)及信息網(wǎng)絡(luò)技術(shù)應(yīng)用的實(shí)際，建立網(wǎng)絡(luò)系統(tǒng)信息安全體系一的總體結(jié)構(gòu)框架和基本結(jié)構(gòu)。完善網(wǎng)絡(luò)系統(tǒng)信息安全體系標(biāo)準(zhǔn)以指導(dǎo)規(guī)范網(wǎng)絡(luò)系統(tǒng)信息安全體系建設(shè)工作。

按信息安全對(duì)網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定運(yùn)行、生產(chǎn)經(jīng)營(yíng)和管理及企業(yè)發(fā)展所造成的危害程度，確定計(jì)算機(jī)應(yīng)用系統(tǒng)的安全等級(jí)，制定網(wǎng)絡(luò)系統(tǒng)信息安全控制策略.建立適應(yīng)電力企業(yè)發(fā)展的網(wǎng)絡(luò)系統(tǒng)信息安全體系，利用現(xiàn)代網(wǎng)絡(luò)及信息安全最新技術(shù)，研究故障診斷、處理及系統(tǒng)優(yōu)化管理措施。在不同條件下提供信息安全防范措施。

（二）建立網(wǎng)絡(luò)系統(tǒng)信息安全身份認(rèn)證體系

CA即證書(shū)授權(quán)。一個(gè)完整、安全的電子商務(wù)系統(tǒng)必須建立起一個(gè)完整、合理的CA體系。CA體系由證書(shū)審批部門(mén)和證書(shū)操作部門(mén)組成。為保證網(wǎng)絡(luò)系統(tǒng)信息一和安全.應(yīng)建立企業(yè)的CA機(jī)構(gòu)對(duì)企業(yè)員工上網(wǎng)用戶統(tǒng)一身份認(rèn)證和數(shù)字簽名等安全認(rèn)證，對(duì)系統(tǒng)中關(guān)鍵業(yè)務(wù)進(jìn)行安全審計(jì)，并開(kāi)展與銀行之間，上下級(jí)CA機(jī)構(gòu)之間與其他需要CA機(jī)構(gòu)之間的交叉認(rèn)證的技術(shù)研究工作。

（三）建立數(shù)據(jù)備份中心

數(shù)據(jù)備份及災(zāi)難恢復(fù)是信息安全的重要組成部分。理想的備份系統(tǒng)應(yīng)該是全方位、多層次的。硬件系統(tǒng)備份是用來(lái)防止硬件系統(tǒng)故障，使用網(wǎng)絡(luò)存儲(chǔ)備份系統(tǒng)和硬件容錯(cuò)相結(jié)合的方式?？捎脕?lái)防止軟件故障或人為誤操作造成的數(shù)據(jù)邏輯損壞。這種對(duì)系統(tǒng)的多重保護(hù)措施不僅能防止物理?yè)p壞還能有效地防止邏輯損壞。結(jié)合電力行業(yè)計(jì)算機(jī)應(yīng)用的特點(diǎn)，選擇合理的備份設(shè)備和備份系統(tǒng).在企業(yè)建立數(shù)據(jù)備份中心，根據(jù)其應(yīng)用的特點(diǎn)，制定相應(yīng)的備份策略。

（四）建立網(wǎng)絡(luò)級(jí)計(jì)算機(jī)病毒防范體系

計(jì)算機(jī)病毒是一種進(jìn)行自我復(fù)制、廣泛傳染，對(duì)計(jì)算機(jī)程序及其數(shù)據(jù)進(jìn)行嚴(yán)重破壞的病毒，具有隱蔽性與隨機(jī)性，使用戶防不勝防。設(shè)計(jì)院信息網(wǎng)絡(luò)系統(tǒng)采取在現(xiàn)有網(wǎng)絡(luò)防病毒體系基礎(chǔ)上.加強(qiáng)對(duì)各個(gè)可能被計(jì)算機(jī)病毒侵入的環(huán)節(jié)進(jìn)行病毒防火墻的控制，在計(jì)算中心建立計(jì)算機(jī)病毒管理中心，按其信息網(wǎng)絡(luò)管轄范圍，分級(jí)進(jìn)行防范計(jì)算機(jī)病毒的統(tǒng)一管理。在計(jì)算機(jī)病毒預(yù)防、檢測(cè)和病毒定義碼的分發(fā)等環(huán)節(jié)建立較完善的技術(shù)等級(jí)和管理制度。

（五）建立網(wǎng)絡(luò)系統(tǒng)信息安全監(jiān)測(cè)中心

計(jì)算機(jī)信息系統(tǒng)出現(xiàn)故障或遭受外來(lái)攻擊造成的損失.絕大多數(shù)是由于系統(tǒng)運(yùn)行管理和維護(hù)、系統(tǒng)配置等方面存在缺陷和漏洞，使系統(tǒng)抗干擾能力較差所致。信息安全監(jiān)測(cè)系統(tǒng)可模仿各種黑客的攻擊方法不斷測(cè)試信息網(wǎng)絡(luò)安全漏洞并可將測(cè)出的安全漏洞按照危害程度列表。根據(jù)列表完善系統(tǒng)配置，消除漏洞并可實(shí)現(xiàn)實(shí)時(shí)網(wǎng)絡(luò)違規(guī)、入侵識(shí)別和響應(yīng)。它在敏感數(shù)據(jù)的網(wǎng)絡(luò)上.實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)網(wǎng)絡(luò)訪問(wèn)時(shí)，自動(dòng)根據(jù)制定的安全策略作出相應(yīng)的反映.如實(shí)時(shí)報(bào)警、事件登錄、自動(dòng)截?cái)鄶?shù)據(jù)通訊等。利用網(wǎng)絡(luò)掃描器在網(wǎng)絡(luò)層掃描各種設(shè)備來(lái)發(fā)現(xiàn)安全漏洞.消除網(wǎng)絡(luò)層可能存在的各類隱患。

（六）建立完備信息網(wǎng)絡(luò)系統(tǒng)監(jiān)控中心

篇4

關(guān)鍵詞安全隱患；網(wǎng)絡(luò)安全；防火墻；防病毒；入侵檢測(cè)；安全評(píng)估

Abstract: by analyzing the information network security management are potential safety problems, and put forward the network security management and various technical measures, security network and information security. Network security is a dynamic, overall system engineering, will from the information network security management, the problems of network information security company in reference to the application, and by establishing a sound management system and use of various technology, comprehensive improve computer network information safety overall solutions are discussed.

Key words security hidden danger; Network security; Firewall; The virus; Intrusion detection; Safety assessment

中圖分類號(hào)：TU714文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：

隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)惡意攻擊者的技術(shù)也在不斷的改進(jìn)和創(chuàng)新。網(wǎng)絡(luò)信息安全由安全的操作系統(tǒng)、應(yīng)用系統(tǒng)、防病毒、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)、災(zāi)難恢復(fù)等多個(gè)安全組件組成，一個(gè)單獨(dú)的組件是無(wú)法確保信息網(wǎng)絡(luò)的安全性。以前簡(jiǎn)單的網(wǎng)絡(luò)邊界安全解決方案，已經(jīng)不能從整體上解決企業(yè)網(wǎng)絡(luò)安全隱患，因此在公司單位制定一套合理的整體網(wǎng)絡(luò)安全規(guī)劃，顯得尤為重要。

一、信息網(wǎng)絡(luò)安全管理存在的安全隱患

（1）外部非法接入。包括客戶、訪客、合作商、合作伙伴等在不經(jīng)過(guò)部門(mén)信息中心允許情況下與公司網(wǎng)絡(luò)的連接，而這些電腦在很多時(shí)候是游離于企業(yè)安全體系的有效管理之外的。

（2）局域網(wǎng)病毒、惡意軟件的泛濫。公司內(nèi)部員工對(duì)電腦的了解甚少，沒(méi)有良好的防范意識(shí)，造成病毒、惡意軟件在局域網(wǎng)內(nèi)廣泛傳播以至于影響到正常的日常辦公。

（3）資產(chǎn)管理失控。網(wǎng)絡(luò)中終端用戶隨意增減調(diào)換，每個(gè)終端硬件配備（硬盤(pán)、內(nèi)存等）肆意組裝拆卸，操作系統(tǒng)隨意更換，各類應(yīng)用軟件胡亂安裝卸載，各種外設(shè)無(wú)節(jié)制使用。

（4）網(wǎng)絡(luò)資源濫用。IP地址濫用，流量濫用，甚至工作時(shí)間聊天、游戲、瘋狂下載等行為影響工作效率，影響網(wǎng)絡(luò)的正常使用。

（5）內(nèi)部非法外聯(lián)。內(nèi)部網(wǎng)絡(luò)用戶通過(guò)調(diào)制解調(diào)器、雙網(wǎng)卡、無(wú)線網(wǎng)卡等設(shè)備進(jìn)行在線違規(guī)撥號(hào)上網(wǎng)等，或違反規(guī)定將專網(wǎng)專用計(jì)算機(jī)帶出網(wǎng)絡(luò)進(jìn)入其它網(wǎng)絡(luò)。

（6）重要信息泄密。因系統(tǒng)漏洞、病毒入侵、非法接入、非法外聯(lián)、網(wǎng)絡(luò)濫用、外設(shè)濫用等各種原因與管理不善導(dǎo)致組織內(nèi)部重要信息泄漏或毀滅，造成不可彌補(bǔ)的重大企業(yè)損失。

（7）補(bǔ)丁管理混亂。終端用戶不了解系統(tǒng)補(bǔ)丁的狀態(tài)，不能及時(shí)打補(bǔ)丁，也沒(méi)有辦法統(tǒng)一進(jìn)行補(bǔ)丁的下載、分析、測(cè)試和分發(fā)，從而為蠕蟲(chóng)與黑客入侵保留了通道。

（8）“灰色網(wǎng)絡(luò)”的存在。即單位信息網(wǎng)絡(luò)管理人員對(duì)自己所擁有的網(wǎng)絡(luò)不是太了解，不能識(shí)別可能被利用的已知弱點(diǎn)，選擇合適的網(wǎng)絡(luò)安全設(shè)備并及時(shí)保證設(shè)備的策略符合性；工作中疏忽大意等造成對(duì)網(wǎng)絡(luò)的影響。

（9）沒(méi)有建立完善的管理體系。配置再完善的防火墻、功能再?gòu)?qiáng)大的入侵檢測(cè)系統(tǒng)、結(jié)構(gòu)再?gòu)?fù)雜的系統(tǒng)密碼等也擋不住內(nèi)部人員從網(wǎng)管背后的一瞥。在公司各單位存在信息網(wǎng)絡(luò)安全管理制度不明確合理、宣傳不力、管理不善等現(xiàn)象，造成執(zhí)行者執(zhí)行手段匱乏或執(zhí)行艱難。

二、網(wǎng)絡(luò)安全管理應(yīng)對(duì)措施探討

對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，如何保證網(wǎng)絡(luò)安全并有效防止入侵事件的發(fā)生，成為擺在每個(gè)網(wǎng)絡(luò)管理人員面前的難題。

（1）根據(jù)需求部署安全產(chǎn)品。首先要部署防火墻。它是執(zhí)行安全策略的主要手段。其次，可以考慮IDS(入侵檢測(cè)系統(tǒng))，以便對(duì)發(fā)生在防火墻后面的違規(guī)行為進(jìn)行檢測(cè)，做出反應(yīng)。其他的比如防病毒軟件、VPN產(chǎn)品、IPS等，對(duì)企業(yè)網(wǎng)絡(luò)的安全防護(hù)也都起著重要的作用。

（2）制定完整的安全策略。安全策略是制定所有安全決策的基礎(chǔ)，一個(gè)完整的安全策略會(huì)幫助企業(yè)網(wǎng)絡(luò)使用者校正一些日常但有威脅性的紕漏，并使之在保護(hù)網(wǎng)絡(luò)安全時(shí)做出一定的決定。強(qiáng)制執(zhí)行的安全策略提供貫徹組織機(jī)構(gòu)的連續(xù)性；當(dāng)對(duì)攻擊行為做出響應(yīng)時(shí)，安全策略是首先考慮的資源；安全策略可以變動(dòng)，也可以根據(jù)需要隨時(shí)更新；當(dāng)安全策略變化時(shí)，要讓所有員工知道其重要性并遵守。

（3）制定完善的日志策略。日志是網(wǎng)絡(luò)管理員調(diào)查網(wǎng)絡(luò)入侵行為的必要工具，可以報(bào)告網(wǎng)絡(luò)異常，跟蹤入侵者的蹤跡，因此制定一個(gè)完善的日志策略對(duì)企業(yè)網(wǎng)絡(luò)安全很重要。

（4）進(jìn)行定期的安全評(píng)估。相應(yīng)的安全策略制定完成并實(shí)施后，就應(yīng)當(dāng)對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行定期的安全評(píng)估?？梢远ㄆ诘恼?qǐng)第三方網(wǎng)絡(luò)安全公司進(jìn)行網(wǎng)絡(luò)安全咨詢，找出漏洞、分析漏洞及時(shí)降低風(fēng)險(xiǎn)。

（5）建立有效的應(yīng)急響應(yīng)機(jī)制。要擬定一份緊急事件應(yīng)變措施，以便在事情發(fā)生、安全體系失效時(shí)發(fā)揮作用。應(yīng)急措施應(yīng)說(shuō)明：緊急事件發(fā)生時(shí)報(bào)告給誰(shuí)？誰(shuí)負(fù)責(zé)回應(yīng)？誰(shuí)做決策？應(yīng)急措施的制定要本著“企業(yè)損失最小化”的原則，體現(xiàn)出在業(yè)務(wù)中斷時(shí)間盡量短、數(shù)據(jù)丟失盡量少、網(wǎng)絡(luò)恢復(fù)盡量快等方面。

三、采取多種技術(shù)措施，保障網(wǎng)絡(luò)與信息安全

（1）防火墻技術(shù)。安裝防火墻，實(shí)現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離。通過(guò)包過(guò)濾技術(shù)實(shí)現(xiàn)允許或阻止訪問(wèn)與被訪問(wèn)的對(duì)象，對(duì)通過(guò)內(nèi)容過(guò)濾保護(hù)網(wǎng)絡(luò)用戶合法有效地使用各種網(wǎng)絡(luò)對(duì)象；通過(guò)NAT技術(shù)實(shí)現(xiàn)動(dòng)態(tài)地址轉(zhuǎn)換，使受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng)IP地址，這不僅可以對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和IP地址，也可以保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

（2）入侵檢測(cè)系統(tǒng)檢測(cè)的主要方法。入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。靜態(tài)配置分析：通過(guò)檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或者系統(tǒng)表，來(lái)檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞；異常性檢測(cè)方法：是一種在不需要操作系統(tǒng)及其防范安全性缺陷專門(mén)知識(shí)的情況下，就可以檢測(cè)入侵者的方法，同時(shí)它也是檢測(cè)冒充合法用戶的入侵者的有效方法；基于行為的檢測(cè)方法：通過(guò)檢測(cè)用戶行為中那些與已知入侵行為模式類似的行為、那些利用系統(tǒng)中缺陷或間接違背系統(tǒng)安全規(guī)則的行為，來(lái)判斷系統(tǒng)中的入侵活動(dòng)。

（3）防病毒方面。應(yīng)用防病毒技術(shù)，建立全面的網(wǎng)絡(luò)防病毒體系；在核心機(jī)房和部分二級(jí)單位選擇部署諸如Symantec等防病毒服務(wù)器，按照分級(jí)方式，從總部、地區(qū)、下屬單位逐級(jí)安裝病毒服務(wù)器，實(shí)行服務(wù)器到終端機(jī)強(qiáng)制管理方式，實(shí)現(xiàn)逐級(jí)升級(jí)病毒定義文件，制定定期病毒庫(kù)升級(jí)與掃描策略，建立系統(tǒng)運(yùn)行維護(hù)和公司防病毒技術(shù)支持相關(guān)人員，為公司員工使用的計(jì)算機(jī)終端加強(qiáng)了防病毒與查殺病毒的能力。

（4）桌面安全管理系統(tǒng)。桌面安全管理系統(tǒng)可以從技術(shù)層面幫助管理人員處理好繁雜的客戶端問(wèn)題。其目標(biāo)是要建立全面可靠的桌面安全防護(hù)體系，管理和保護(hù)桌面軟件系統(tǒng)，為各應(yīng)用系統(tǒng)創(chuàng)造穩(wěn)定、可靠和安全的終端使用環(huán)境，有力支撐企業(yè)的業(yè)務(wù)和信息化發(fā)展，確保信息安全。

（5）網(wǎng)絡(luò)安全評(píng)估。建議每年定期請(qǐng)專業(yè)的安全咨詢公司對(duì)企業(yè)內(nèi)部的網(wǎng)絡(luò)安全、關(guān)鍵服務(wù)器群、物理安全等方面做整體的安全體系的評(píng)估與安全加固，并提出一系列應(yīng)對(duì)策略和應(yīng)急方案，及時(shí)發(fā)現(xiàn)存在的各類威脅并進(jìn)行有效整改，提高網(wǎng)絡(luò)的安全級(jí)別。網(wǎng)絡(luò)安全評(píng)估是建立安全防護(hù)體系的前提工作，是信息安全工作的基礎(chǔ)和重點(diǎn)。

（6）操作系統(tǒng)安全策略管理。由企業(yè)相關(guān)技術(shù)部門(mén)制定出一套操作系統(tǒng)安全管理策略配置說(shuō)明書(shū)，詳細(xì)講解對(duì)操作系統(tǒng)安全策略的配置和管理，包括帳戶密碼策略、帳戶鎖定策略、審核策略、目錄共享策略、屏保策略、補(bǔ)丁分發(fā)策略等，對(duì)客戶端操作系統(tǒng)的安全性進(jìn)行必要的設(shè)置，使其能夠關(guān)閉不必要的服務(wù)和端口、避免弱口令、刪除默認(rèn)共享、及時(shí)更新系統(tǒng)補(bǔ)丁等，消除操作系統(tǒng)級(jí)的安全風(fēng)險(xiǎn)。

（7）信息的安全存儲(chǔ)與安全傳輸。信息的存儲(chǔ)安全是各業(yè)務(wù)系統(tǒng)的重點(diǎn)，信息的安全傳輸是機(jī)密信息交換的保證。對(duì)于數(shù)據(jù)存儲(chǔ)量較大的應(yīng)用系統(tǒng)，可合理地選擇存儲(chǔ)架構(gòu)，如采用存儲(chǔ)區(qū)域網(wǎng)（storage area network，SAN），實(shí)現(xiàn)最大限度的數(shù)據(jù)共享和可管理性；采用RAID技術(shù)，合理的冗余硬件來(lái)保證存儲(chǔ)介質(zhì)內(nèi)數(shù)據(jù)的可靠性；采用合理的備份策略，如定期完全備份、實(shí)時(shí)增量備份、異地容災(zāi)備份、多介質(zhì)備份等來(lái)保證信息的可用性、可靠性、可管理性、可恢復(fù)性；制定和實(shí)施嚴(yán)密的數(shù)據(jù)使用權(quán)限；針對(duì)機(jī)密信息的網(wǎng)上傳輸、數(shù)據(jù)交換采取加密后傳輸。

（8）安全管理。網(wǎng)絡(luò)信息安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，安全技術(shù)和安全設(shè)備的應(yīng)用可起到一定的作用。建立和完善各種安全使用、管理制度，明確安全職責(zé)；建立如突發(fā)事件的應(yīng)對(duì)預(yù)案；加強(qiáng)對(duì)網(wǎng)絡(luò)使用人員、網(wǎng)絡(luò)管理人員的安全教育，樹(shù)立安全觀念，提高安全防范意識(shí)，減少潛在的安全隱患；建設(shè)一支高水平的網(wǎng)絡(luò)管理、信息安全管理隊(duì)伍，定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估和策略優(yōu)化。

（9）應(yīng)用網(wǎng)絡(luò)信息安全管理技術(shù)正確面對(duì)網(wǎng)絡(luò)信息安全漏洞。目前，市場(chǎng)上各類網(wǎng)絡(luò)管理設(shè)備（網(wǎng)絡(luò)交換機(jī)、防火墻、入侵檢測(cè)/防護(hù)系統(tǒng)、防病毒系統(tǒng)等）從技術(shù)角度來(lái)講都已經(jīng)成熟，我們只要選擇知名品牌的信得過(guò)產(chǎn)品，對(duì)其進(jìn)行合理的利用，對(duì)保障企業(yè)的網(wǎng)絡(luò)信息安全能夠起到積極作用。

五、結(jié)束語(yǔ)

建立完善的安全制度和安全響應(yīng)方案，盡快建立起有效的信息安全防護(hù)體系，管理員加強(qiáng)自身學(xué)習(xí)和責(zé)任感，并不斷加強(qiáng)和培養(yǎng)員工的安全意識(shí)，讓公司每一位員工在意識(shí)和行動(dòng)上都成為安全的“衛(wèi)士”。只有這樣，我們才能共同保障好企業(yè)的信息網(wǎng)絡(luò)安全。通過(guò)網(wǎng)絡(luò)軟件與硬件產(chǎn)品的結(jié)合，正確合理地使用各種安全策略和實(shí)施手段，相信會(huì)建立一套全面、安全、易于使用管理的配套設(shè)施，將網(wǎng)絡(luò)信息安全隱患減至最小。只有這樣，才能確保公司的網(wǎng)絡(luò)信息暢通、信息安全，才能實(shí)現(xiàn)公司信息化建設(shè)更好的服務(wù)公司的生產(chǎn)經(jīng)營(yíng)。

參考文獻(xiàn)：

篇5

關(guān)鍵詞：信息安全管理體系；信息資產(chǎn)；業(yè)務(wù)連續(xù)性；風(fēng)險(xiǎn)評(píng)估

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1001-828X（2014）08-0136-02

當(dāng)前，隨著稅務(wù)部門(mén)管理和服務(wù)水平不斷提升的客觀需要，加強(qiáng)對(duì)稅收核心業(yè)務(wù)系統(tǒng)和關(guān)鍵信息資產(chǎn)的保護(hù)，成為信息化工作中一項(xiàng)十分重要的使命。

本省地稅部門(mén)信息安全現(xiàn)狀及面臨形勢(shì)

（一）取得的成績(jī)

多年來(lái)，本省地稅部門(mén)在認(rèn)真學(xué)習(xí)貫徹國(guó)家稅務(wù)總局和各相關(guān)主管部門(mén)頒布的信息安全管理制度、政策法規(guī)及技術(shù)標(biāo)準(zhǔn)基礎(chǔ)上，結(jié)合工作實(shí)際，陸續(xù)頒布、制定了一系列信息安全管理辦法與措施，具體包括：

1.安全管理制度方面，制定了涵蓋物理層、網(wǎng)絡(luò)層和主機(jī)系統(tǒng)層的管理制度，總體目標(biāo)、范圍、方針、原則和責(zé)任基本明確。

2.安全管理機(jī)構(gòu)方面，建立了信息安全領(lǐng)導(dǎo)小組，配備了具有一定安全管理能力及技術(shù)能力的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。

3.人員安全管理方面，在內(nèi)外部人員錄用前，對(duì)被使用人的身份、背景和資質(zhì)等進(jìn)行嚴(yán)格審查，按期組織信息安全崗位知識(shí)技能培訓(xùn)。

4.系統(tǒng)建設(shè)管理方面，嚴(yán)格遵照信息系統(tǒng)安全等級(jí)保護(hù)要求制定建設(shè)方案，并對(duì)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定。

5.系統(tǒng)運(yùn)維管理方面，對(duì)各種設(shè)備運(yùn)轉(zhuǎn)情況進(jìn)行定期檢查和實(shí)時(shí)監(jiān)測(cè)、報(bào)警，權(quán)限設(shè)定遵循最小化授權(quán)原則，有配置變更管理的審批流程，對(duì)重要應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行定期備份。

（二）存在的不足

通過(guò)近期開(kāi)展的風(fēng)險(xiǎn)評(píng)估工作，暴露出本省在信息系統(tǒng)安全方面還存在著一定程度的不足，主要是：

1.在安全管理方面，已制定的各項(xiàng)管理規(guī)定缺乏全面性、系統(tǒng)性，要求規(guī)范與實(shí)施細(xì)則未能很好的實(shí)現(xiàn)層次劃分；有些制度、標(biāo)準(zhǔn)更新不快，缺乏可操作性，對(duì)基層的指導(dǎo)作用不十分明顯；信息安全責(zé)任制度還需要進(jìn)一步細(xì)化和落實(shí)。

2.在安全技術(shù)方面，現(xiàn)有機(jī)房空間環(huán)境已不能完全適應(yīng)稅收業(yè)務(wù)發(fā)展的需要；部分網(wǎng)絡(luò)、安全設(shè)備老化需要更新，部分核心業(yè)務(wù)網(wǎng)絡(luò)還未進(jìn)行功能區(qū)域的細(xì)分，操作級(jí)的審計(jì)管理還不盡完善；應(yīng)用系統(tǒng)開(kāi)發(fā)中的安全機(jī)制尚不健全，身份認(rèn)證等安全技術(shù)手段還未得到全面應(yīng)用。

3.在安全運(yùn)維方面，現(xiàn)有巡檢工作中不包括安全技術(shù)措施的有效性檢查等內(nèi)容；網(wǎng)管、動(dòng)環(huán)、安管等監(jiān)控系統(tǒng)還基本處于獨(dú)立運(yùn)行狀態(tài)，對(duì)于網(wǎng)絡(luò)或系統(tǒng)故障缺乏關(guān)聯(lián)性分析，未能形成統(tǒng)一的監(jiān)控、分析、處置策略；尚未結(jié)合實(shí)際業(yè)務(wù)制定出操作性較強(qiáng)的應(yīng)急預(yù)案，未進(jìn)行過(guò)應(yīng)急演練。

（三）面臨的形勢(shì)

隨著經(jīng)濟(jì)的持續(xù)發(fā)展和國(guó)際地位的不斷提高，我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)日益嚴(yán)峻，計(jì)算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗，網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升，犯罪分子利用一些安全漏洞進(jìn)行網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)詐騙、信息系統(tǒng)破壞等違法活動(dòng)，給國(guó)家政治、經(jīng)濟(jì)和社會(huì)生活造成嚴(yán)重負(fù)面影響。中央已經(jīng)將信息安全與政治安全、經(jīng)濟(jì)安全、文化安全并列為國(guó)家安全的重要組成要素。稅務(wù)信息系統(tǒng)作為政府信息系統(tǒng)的重要組成部分，其安全運(yùn)行不僅關(guān)系到政府機(jī)關(guān)的形象和稅收業(yè)務(wù)的持續(xù)運(yùn)行，還關(guān)系到社會(huì)穩(wěn)定和國(guó)家安全。

提高稅務(wù)信息安全保障能力的有效途徑

國(guó)家稅務(wù)總局在“金稅三期”項(xiàng)目建設(shè)中明確提出，要高度重視信息安全保障工作：按照“四防”工作要求，進(jìn)一步推進(jìn)“人防”，做好信息安全教育培訓(xùn)工作；認(rèn)真落實(shí)“制防”，推進(jìn)信息安全標(biāo)準(zhǔn)體系和管理制度建設(shè)；穩(wěn)步提升“技防”，持續(xù)保障“物防”，做好安全防護(hù)體系建設(shè)和運(yùn)行管理工作。因此，構(gòu)建符合信息系統(tǒng)運(yùn)行需要的信息安全管理體系，對(duì)進(jìn)一步加強(qiáng)稅務(wù)部門(mén)內(nèi)部網(wǎng)絡(luò)的整體安全防護(hù)能力，全面提升信息安全管理水平，就顯得尤為重要。

信息安全管理體系，即Information Security Management System（簡(jiǎn)稱ISMS），是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動(dòng)的結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過(guò)程和資源的集合。組織通過(guò)確定信息安全管理體系范圍，制定信息安全方針，明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制措施等一系列活動(dòng)來(lái)建立信息安全管理體系。

信息安全管理體系的建設(shè)可以提高稅務(wù)干部的信息安全意識(shí)，規(guī)范各層級(jí)的信息安全行為；對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低程度；在稅收各項(xiàng)工作順利開(kāi)展的同時(shí)，提高社會(huì)公眾對(duì)政府部門(mén)的公信度；另外，通過(guò)信息安全管理體系建設(shè)，可以有效加強(qiáng)對(duì)信息技術(shù)風(fēng)險(xiǎn)的管控，通過(guò)與信息安全等級(jí)保護(hù)、信息技術(shù)風(fēng)險(xiǎn)評(píng)估等工作的融合與銜接，使信息安全管理更加具有科學(xué)性和系統(tǒng)性。

稅務(wù)信息安全管理體系建設(shè)實(shí)踐

稅務(wù)信息安全管理體系的構(gòu)建，應(yīng)結(jié)合稅收改革發(fā)展要求，根據(jù)信息化工作職責(zé)，制定相應(yīng)的策略，并最終實(shí)現(xiàn)總體的信息安全目標(biāo)。

（一）基本定位

1.在策略制度層面，形成從方針策略、到要求規(guī)范、操作規(guī)程直至記錄表單在內(nèi)的層次化文件體系，為信息安全管理體系奠定技術(shù)基礎(chǔ)；

2.在組織建設(shè)方面，建立決策、管理、執(zhí)行和監(jiān)督多維的組織架構(gòu)，明確信息安全相關(guān)角色和職責(zé)，奠定信息安全管理體系的組織基礎(chǔ)；

3.在風(fēng)險(xiǎn)管理方面，通過(guò)風(fēng)險(xiǎn)評(píng)估和處置過(guò)程，建立起全面的信息安全內(nèi)部控制，結(jié)合信息安全事件管理和業(yè)務(wù)連續(xù)性管理，確保從整體上將信息安全風(fēng)險(xiǎn)控制在可接受水平；

4.在人員意識(shí)方面，通過(guò)有序組織信息安全培訓(xùn)及相關(guān)意識(shí)宣傳活動(dòng)，確保人員具備基本的信息安全意識(shí)和操作技能；

5.在支持保障方面，建立起內(nèi)（外）部審核、管理評(píng)審、有效度量、日常檢查等多項(xiàng)檢查監(jiān)督機(jī)制，確保信息安全管理體系的持續(xù)運(yùn)行和改進(jìn)有著推動(dòng)和保障基礎(chǔ)。

（二）設(shè)計(jì)原則

1.體現(xiàn)全面的特性。信息安全管理體系是一個(gè)涵蓋各個(gè)方面的工程，它要求多角度、多層次，從各個(gè)環(huán)節(jié)人手，進(jìn)行系統(tǒng)的考慮和規(guī)劃。任何環(huán)節(jié)上的缺陷都會(huì)對(duì)信息系統(tǒng)構(gòu)成威脅，要實(shí)現(xiàn)信息安全目標(biāo)，必須保證構(gòu)成信息安全管理體系這只“木桶”的所有木板都達(dá)到一定的標(biāo)準(zhǔn)。

2.體現(xiàn)持續(xù)改進(jìn)、動(dòng)態(tài)發(fā)展的特性。信息安全管理體系不僅僅是一套全面的規(guī)則集合，而且還是在體系建設(shè)與實(shí)施過(guò)程中與所有利益相關(guān)者的互動(dòng)過(guò)程。另外，環(huán)境的動(dòng)態(tài)性也決定了體系建設(shè)的動(dòng)態(tài)性。因此，在體系架構(gòu)設(shè)計(jì)和實(shí)施中應(yīng)遵循PDCA的模式，通過(guò)P（策劃）、D（實(shí)施）、C（檢查）、A（糾正）這四個(gè)步驟的循環(huán)運(yùn)行，使信息安全管理水平獲得可持續(xù)性的發(fā)展。

3.以保證業(yè)務(wù)連續(xù)性為根本目標(biāo)。信息安全管理必須為業(yè)務(wù)服務(wù)，脫離業(yè)務(wù)的信息安全管理也就失去了其真正的意義。因此，保證信息系統(tǒng)的正常運(yùn)行，進(jìn)而保障業(yè)務(wù)的連續(xù)開(kāi)展，是信息安全的根本目標(biāo)，也是信息安全管理體系的根本目標(biāo)。

4.領(lǐng)導(dǎo)重視、全員參與的原則。在信息安全管理體系的建設(shè)中，應(yīng)由最高管理者確立統(tǒng)一的信息安全方針、政策和方向，創(chuàng)造并保持使員工能充分、積極地參與實(shí)現(xiàn)信息安全戰(zhàn)略目標(biāo)的內(nèi)部環(huán)境；全體員工應(yīng)明確自己在信息安全管理中的職責(zé)，積極參與信息安全管理體系的建設(shè)。

5.技術(shù)與管理并重的原則。信息技術(shù)是信息安全管理的手段，信息安全管理是利用信息技術(shù)實(shí)現(xiàn)安全目標(biāo)的保障，在信息安全管理體系中，技術(shù)與管理同等重要，缺一不可，忽略任何一方都會(huì)阻礙信息安全工作的開(kāi)展。

（三）總體架構(gòu)

在稅務(wù)信息安全建設(shè)中，包含了信息安全管理、信息安全運(yùn)作、信息安全技術(shù)三方面內(nèi)容。信息安全管理體系則處于“管理一運(yùn)行一技術(shù)”三元架構(gòu)的最上層，包含信息安全政策、規(guī)范與標(biāo)準(zhǔn)、指南與細(xì)則等，從人員、意識(shí)、職責(zé)、監(jiān)督等方面，保證并指導(dǎo)下一層級(jí)的順利運(yùn)行。其建立和完善，應(yīng)充分依據(jù)國(guó)家標(biāo)準(zhǔn)和稅務(wù)行業(yè)規(guī)范，以融合化和層次化為指導(dǎo)，并最大化地整合現(xiàn)有資源，基本框架模型，可分為五層：

第一層，總體方針，是由省局信息安全領(lǐng)導(dǎo)小組簽署的書(shū)面文件，其目的是明確信息安全管理工作的總體目標(biāo)、適用范圍、總體方針和原則等方向性綱領(lǐng)性文件。

第二層，管理要求，是省局對(duì)全系統(tǒng)提出要求的管理性文件，包括安全組織、資產(chǎn)安全、人員安全、信息系統(tǒng)安全等各個(gè)方面。

第三層，標(biāo)準(zhǔn)規(guī)范，是針對(duì)管理要求中提出的內(nèi)容，制定的對(duì)共同使用和重復(fù)行為進(jìn)行指導(dǎo)或規(guī)范的文件，文件可以由省局制定，也可以由基層單位制定。

篇6

在進(jìn)行信息安全體系建設(shè)時(shí)，應(yīng)對(duì)來(lái)自終端的威脅給予足夠的重視，建立有效的終端安全管理體系。本文分析了終端安全管理體系應(yīng)包含的內(nèi)容，闡述了傳統(tǒng)分散式終端安全管理存在的問(wèn)題，結(jié)合作者的工作實(shí)踐經(jīng)驗(yàn)，對(duì)一體化終端安全管理體系的建設(shè)，提出了自己的思路和見(jiàn)解。

關(guān)鍵詞：

終端安全；一體化；體系建設(shè)

隨著信息化建設(shè)不斷發(fā)展，信息安全的重要性日益顯露出來(lái)，在信息安全保護(hù)實(shí)踐中，各單位往往對(duì)數(shù)據(jù)集中的后臺(tái)服務(wù)器投入精力較多，對(duì)來(lái)自終端的威脅重視不足。信息安全事件調(diào)查經(jīng)驗(yàn)表明，多數(shù)信息安全事件的突破口來(lái)自終端，因此在進(jìn)行信息安全體系建設(shè)時(shí)，應(yīng)對(duì)來(lái)自終端的威脅給予足夠的重視，建立有效的終端安全管理體系。

1典型的終端安全管理體系應(yīng)包括的內(nèi)容

1.1防病毒及終端入侵防護(hù)

包括對(duì)全網(wǎng)病毒、木馬、蠕蟲(chóng)、流氓軟件、間諜軟件等惡意代碼的識(shí)別、查殺，對(duì)可疑行為的阻斷和告警。此類功能主要是基于代碼檢測(cè)引擎和特征庫(kù)實(shí)現(xiàn)。

1.2補(bǔ)丁狀態(tài)檢查及分發(fā)

包括檢查是否已安裝操作系統(tǒng)相應(yīng)的補(bǔ)丁，各類防護(hù)特征庫(kù)是否保持更新，能夠自動(dòng)推送安裝補(bǔ)丁和特征庫(kù)等。此類功能主要通過(guò)安全軟件讀取系統(tǒng)注冊(cè)表及掃描特定位置文件系統(tǒng)，并自動(dòng)執(zhí)行后臺(tái)腳本實(shí)現(xiàn)。

1.3移動(dòng)存儲(chǔ)管理

防止內(nèi)部濫用移動(dòng)介質(zhì)，杜絕內(nèi)外部移動(dòng)介質(zhì)在內(nèi)外網(wǎng)交叉使用，并通過(guò)特殊加密技術(shù)保證移動(dòng)介質(zhì)在非授權(quán)環(huán)境下不能被讀取。此類功能主要通過(guò)向操作系統(tǒng)底層驅(qū)動(dòng)注入代碼和數(shù)據(jù)加密技術(shù)實(shí)現(xiàn)。

1.4終端準(zhǔn)入管理

實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)接入終端的安全準(zhǔn)入管理與控制，確保接入網(wǎng)絡(luò)終端已安裝要求的防護(hù)系統(tǒng)，且符合安全策略要求，有效杜絕非法外來(lái)終端私自接入網(wǎng)絡(luò)。此類功能可以基于交換機(jī)端口進(jìn)行控制或使用安全網(wǎng)關(guān)進(jìn)行控制。

1.5非法外聯(lián)監(jiān)控

用于發(fā)現(xiàn)和阻止內(nèi)部網(wǎng)絡(luò)用戶非法建立通路連接互聯(lián)網(wǎng)或非授權(quán)網(wǎng)絡(luò)的行為，以此防止引入安全風(fēng)險(xiǎn)或?qū)е滦畔⑿姑?。此類功能通常做法是定期檢查與某個(gè)互聯(lián)網(wǎng)地址或非授權(quán)網(wǎng)絡(luò)的連通性，若有連通便會(huì)觸發(fā)監(jiān)控報(bào)警。

1.6主機(jī)監(jiān)控審計(jì)

對(duì)終端用戶的操作行為進(jìn)行管控與審計(jì)，對(duì)安裝的軟件實(shí)行黑白名單管理，當(dāng)用戶的操作違反安全策略時(shí)，能夠自動(dòng)禁止或記錄違規(guī)日志。此類功能一般需在終端駐留程序，根據(jù)設(shè)定的操作策略和軟件清單執(zhí)行。

2傳統(tǒng)分散式終端安全管理存在的問(wèn)題

（1）產(chǎn)生兼容性問(wèn)題。不同的終端安全防護(hù)產(chǎn)品均需要操作系統(tǒng)權(quán)限并向底層驅(qū)動(dòng)注入代碼實(shí)現(xiàn)檢測(cè)，各產(chǎn)品之間的操作沖突、導(dǎo)致兼容性問(wèn)題已是常見(jiàn)現(xiàn)象，即使能夠和平共存也會(huì)造成增加系統(tǒng)資源開(kāi)銷(xiāo)，拖累系統(tǒng)變慢等一系列問(wèn)題。

（2）缺乏統(tǒng)一管理。在終端上安裝使用多種安全防護(hù)產(chǎn)品，缺乏全局性安全管控，容易形成信息孤島，不利于開(kāi)展諸如安全數(shù)據(jù)的收集、匯總、統(tǒng)計(jì)等關(guān)聯(lián)分析工作，無(wú)法系統(tǒng)性展示終端安全全貌。

（3）防護(hù)效果打折扣。不同的終端安全防護(hù)產(chǎn)品在功能上各有側(cè)重，組合在一起并不一定能全面覆蓋用戶的安全需求，由于底層機(jī)制的類同和兼容性沖突等原因，經(jīng)常出現(xiàn)安全防護(hù)的真空地帶，產(chǎn)生1+1<2的現(xiàn)象，使防護(hù)效果大打折扣。

（4）運(yùn)行維護(hù)成本高。多種終端安全防護(hù)產(chǎn)品同時(shí)使用，需同時(shí)與多個(gè)廠商采購(gòu)維保服務(wù)，周期長(zhǎng)投入大，運(yùn)行上需要維護(hù)多套不同的策略表，從不同的來(lái)源更新補(bǔ)丁包、特征庫(kù)等，都給運(yùn)維增加了不小的工作量。

（5）難以滿足自主可控的要求。出于國(guó)家安全戰(zhàn)略的需要，終端安全防護(hù)產(chǎn)品應(yīng)盡可能滿足自主可控的要求。分散部署不同的終端安全防護(hù)產(chǎn)品，大多是基于歷史原因分批分步建設(shè)形成的，存在一定的不可控安全風(fēng)險(xiǎn)。

3一體化終端安全管理體系的建設(shè)思路

一體化終端安全管理體系的建設(shè)，應(yīng)遵循“功能集中、統(tǒng)一建設(shè)”的原則，結(jié)合單位已有的終端安全防護(hù)現(xiàn)狀，采用“整合式替代、替代后實(shí)現(xiàn)一體化管理”的思路開(kāi)展。替代過(guò)程中，應(yīng)充分考慮安全設(shè)備國(guó)產(chǎn)化的要求，既實(shí)現(xiàn)終端安全防護(hù)各項(xiàng)功能，又可在統(tǒng)一平臺(tái)下管理終端資產(chǎn)、終端信息、終端安全防護(hù)系統(tǒng)等，實(shí)現(xiàn)終端一體化安全管理。終端一體化安全管理可極大地提高運(yùn)維效率，增強(qiáng)終端類安全事件聯(lián)動(dòng)，提高終端安全事件預(yù)警發(fā)現(xiàn)和處置能力，最終提高單位的信息安全管理水平。具體實(shí)施過(guò)程中，應(yīng)以“資源整合、統(tǒng)一管理、分級(jí)部署、基準(zhǔn)策略、量體裁衣、人力集約”為主要工作目標(biāo)，最大程度整合單位現(xiàn)有軟硬件資源、技術(shù)人才資源，節(jié)約資源、資金、人力成本，集成各類終端管理功能，邏輯上實(shí)行統(tǒng)一管理，總部制定基準(zhǔn)策略，各地分支機(jī)構(gòu)針對(duì)自己的情況，定制適合本轄區(qū)情況的安全策略，預(yù)留一定擴(kuò)展空間，供各級(jí)機(jī)構(gòu)在統(tǒng)一終端管理平臺(tái)下的本地化處理。建議分四個(gè)步驟進(jìn)行：①率先落實(shí)國(guó)產(chǎn)化替代，一體化終端安全管理體系建設(shè)不再考慮國(guó)外產(chǎn)品，實(shí)現(xiàn)完全國(guó)產(chǎn)自主可控，這一點(diǎn)無(wú)論是在技術(shù)上還是在市場(chǎng)上都已不存在問(wèn)題。②整合現(xiàn)有終端安全防護(hù)系統(tǒng)的功能，在實(shí)現(xiàn)病毒防治、補(bǔ)丁分發(fā)、非法外聯(lián)監(jiān)控、準(zhǔn)入控制、移動(dòng)介質(zhì)管控、安全策略管理等功能的基礎(chǔ)上，實(shí)現(xiàn)各功能模塊的數(shù)據(jù)整合與聯(lián)動(dòng)。③增加資產(chǎn)管理、操作審計(jì)等功能，并實(shí)現(xiàn)一體化關(guān)聯(lián)和統(tǒng)一展現(xiàn)，進(jìn)一步完善系統(tǒng)的管理功能，能夠進(jìn)行終端狀態(tài)、終端信息、安全事件等信息的展示、分析和處理，實(shí)現(xiàn)對(duì)安全事件的及時(shí)發(fā)現(xiàn)、告警和處置，及時(shí)消除安全事件對(duì)終端的影響。④在系統(tǒng)建設(shè)的基礎(chǔ)上實(shí)現(xiàn)科學(xué)安全管理，通過(guò)對(duì)終端安全狀態(tài)的統(tǒng)一定量評(píng)估，實(shí)現(xiàn)對(duì)各部門(mén)、各分支機(jī)構(gòu)的終端安全態(tài)勢(shì)評(píng)估，掌握終端安全管理的薄弱環(huán)節(jié)，為信息安全管理工作的整改完善提供數(shù)據(jù)支撐。在功能方面：一體化終端安全管理體系應(yīng)主要包括但不限于防病毒管理、終端入侵檢測(cè)防護(hù)管理、補(bǔ)丁分發(fā)管理、移動(dòng)介質(zhì)管理、非法外聯(lián)管理、終端準(zhǔn)入管理、主機(jī)監(jiān)控審計(jì)管理、終端信息管理、安全策略管理、終端運(yùn)行狀態(tài)統(tǒng)計(jì)管理、安全事件管理、運(yùn)行報(bào)表管理、考核指標(biāo)管理、系統(tǒng)管理等功能。實(shí)現(xiàn)終端安全防護(hù)系統(tǒng)的一體化管理和安全防護(hù)系統(tǒng)的資源整合，實(shí)現(xiàn)安全防護(hù)策略的統(tǒng)一管理，建立全面、集中、統(tǒng)一的終端安全管理體系。在管理方面：實(shí)現(xiàn)與終端安全管理制度相適應(yīng)的安全管理要求，實(shí)現(xiàn)總部與各分支機(jī)構(gòu)終端信息的統(tǒng)一集中管理，實(shí)現(xiàn)終端安全控制策略的統(tǒng)一配置、自動(dòng)篩查、告警和展現(xiàn)，實(shí)現(xiàn)定期安全類報(bào)表的自動(dòng)生成和展現(xiàn)，實(shí)現(xiàn)安全管理人員的統(tǒng)一工作平臺(tái)。

4結(jié)語(yǔ)

要實(shí)現(xiàn)對(duì)信息安全閉環(huán)式管理，僅僅重視信息系統(tǒng)服務(wù)端的保護(hù)是不夠的，必須重視對(duì)每個(gè)入網(wǎng)終端的安全管理。一體化終端安全管理體系的建設(shè)，從技術(shù)上采取了多種手段強(qiáng)化終端的安全防護(hù)和管理，為強(qiáng)化單位的信息安全管理提供了必要的手段。同時(shí)，我們也必須認(rèn)識(shí)到，終端安全管理體系的建設(shè)不是說(shuō)建好系統(tǒng)就萬(wàn)事大吉了，對(duì)一個(gè)單位的信息安全管理而言，永遠(yuǎn)是“三分技術(shù)，七分管理”。再好的技術(shù)手段，也只有和管理制度相結(jié)合，并加以強(qiáng)力執(zhí)行，才能達(dá)到預(yù)定的安全目標(biāo)。

參考文獻(xiàn)：

[1]孟粉霞，王越，雷磊.統(tǒng)一終端安全管理系統(tǒng)在內(nèi)網(wǎng)中的分析及應(yīng)用[J].信息系統(tǒng)工程，2013（8）：70~71.

[2]田永飛.一體化終端安全管理系統(tǒng)應(yīng)用初探[J].金融科技時(shí)代，2015（12）：45~47.

[3]王義申.終端安全管理系統(tǒng)在企事業(yè)單位內(nèi)網(wǎng)應(yīng)用的分析[J].計(jì)算機(jī)安全，2007（7）：63~65.

篇7

【關(guān)鍵詞】企業(yè)，信息，安全

【中圖分類號(hào)】F270.7 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2012）11-0130-02

一、企業(yè)信息安全現(xiàn)狀

近年來(lái)，隨著企業(yè)信息化進(jìn)程的不斷推進(jìn)，許多企業(yè)都完成了涵蓋基礎(chǔ)自動(dòng)化、過(guò)程控制、生產(chǎn)執(zhí)行到專業(yè)管理的信息系統(tǒng)，內(nèi)容覆蓋了硬件網(wǎng)絡(luò)平臺(tái)建設(shè)、辦公自動(dòng)化（OA）、企業(yè)資源計(jì)劃（ERP）、對(duì)基礎(chǔ)網(wǎng)絡(luò)、過(guò)程自動(dòng)化進(jìn)行升級(jí)改造等，企業(yè)業(yè)務(wù)的關(guān)鍵流程如研發(fā)、生產(chǎn)與銷(xiāo)售對(duì)信息系統(tǒng)的依賴性非常高。企業(yè)日益復(fù)雜龐大的信息系統(tǒng)也無(wú)時(shí)無(wú)刻在面臨來(lái)自于內(nèi)部和外部的威脅。

當(dāng)前企業(yè)信息可能面臨的安全威脅、存在的安全隱患。

1.可能面臨的安全威脅

物理安全威脅主要表現(xiàn)在企業(yè)的軟件資產(chǎn)和硬件資產(chǎn)、面臨自然災(zāi)害、環(huán)境事故及不法分子通過(guò)物理手段進(jìn)行的違法犯罪等威脅；網(wǎng)絡(luò)安全威脅主要表現(xiàn)在黑客攻擊、垃圾郵件泛濫、病毒、木馬造成網(wǎng)絡(luò)擁塞與癱瘓，內(nèi)部攻擊，沖突域造成網(wǎng)絡(luò)風(fēng)暴，黑客的入侵或者使得不法員工可以通過(guò)網(wǎng)絡(luò)泄漏企業(yè)機(jī)密等。

數(shù)據(jù)安全威脅主要表現(xiàn)在：數(shù)據(jù)庫(kù)數(shù)據(jù)丟失，財(cái)務(wù)、客戶信息及訂單數(shù)據(jù)被破壞或刪除、竊取、備份數(shù)據(jù)被人惡意篡改、不可預(yù)測(cè)的災(zāi)難導(dǎo)致數(shù)據(jù)庫(kù)的崩潰等。

內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全——隨著企業(yè)的發(fā)展壯大，逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營(yíng)模式。怎么處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的信息共享安全，既要保證信息的及時(shí)共享，又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長(zhǎng)過(guò)程中不得不考慮的問(wèn)題。

2.可能存在的安全隱患

網(wǎng)絡(luò)規(guī)劃不完善。信息網(wǎng)絡(luò)建設(shè)的初期，沒(méi)有把構(gòu)建信息安全體系作為主要的功能來(lái)實(shí)現(xiàn)。雖然以后采取了一些安全措施，缺乏整體性和系統(tǒng)性。目前從便攜設(shè)備到可移動(dòng)存儲(chǔ)，再到智能手機(jī)、PDA，以及無(wú)線網(wǎng)絡(luò)等。每一項(xiàng)新技術(shù)，每一類新產(chǎn)品的推廣伴隨著新的問(wèn)題。企業(yè)在面臨著日趨復(fù)雜的威脅的同時(shí)，遭受的攻擊次數(shù)也日益增多。

技術(shù)設(shè)計(jì)不完善。隨著電腦技術(shù)的不斷發(fā)展，一些技術(shù)上的漏洞和設(shè)計(jì)方面的缺陷也就隨之而來(lái)。如操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)軟件及應(yīng)用軟件等各個(gè)層次及網(wǎng)絡(luò)設(shè)備本身存在的技術(shù)安全漏洞等。

安全管理不完善。由于信息安全管理制度不健全或貫徹落實(shí)不夠；員工的安全防范意識(shí)不強(qiáng)；構(gòu)建安全體系的資金投入與運(yùn)維現(xiàn)狀需求存在矛盾等因素，導(dǎo)致安全管理層面的安全措施及安全技術(shù)難以有效實(shí)施。

為了防止信息安全事件的發(fā)生，通行的做法是通過(guò)部署防火墻、入侵檢測(cè)、入侵防范系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份、數(shù)據(jù)加密、漏洞掃描、上網(wǎng)行為管理系統(tǒng)等進(jìn)行防范。然而，此類技術(shù)手段，卻無(wú)法阻止人為因素導(dǎo)致的破壞。

針對(duì)上述分析，筆者認(rèn)為，構(gòu)建一個(gè)規(guī)范的信息安全保障體系必須從管理、技術(shù)兩方面著手，通過(guò)建立企業(yè)內(nèi)部信息安全管理體系的有效措施把可能面臨的安全威脅最大限度地弱化，同時(shí)針對(duì)信息系統(tǒng)的“弱點(diǎn)”進(jìn)行改進(jìn)，以此降低潛在的安全危險(xiǎn)。

二、加強(qiáng)信息安全工作的途徑

1.建立安全體系結(jié)構(gòu)框架

俗話說(shuō)“三分技術(shù)，七分管理”，任何技術(shù)措施只能起到增強(qiáng)信息安全防范的作用。為此，管理部門(mén)首先需借助相應(yīng)的行政手段制定適合本單位的信息安全管理制度，建立一個(gè)長(zhǎng)期有效的安全管理機(jī)制。加強(qiáng)安全技術(shù)的管理和人員的培訓(xùn)，提高員工的信息化應(yīng)用水平。其次，技術(shù)部門(mén)要加強(qiáng)物理場(chǎng)所的安全管理，制定相應(yīng)的訪問(wèn)控制策略規(guī)范網(wǎng)絡(luò)應(yīng)用安全，整合現(xiàn)有資源實(shí)現(xiàn)能夠支撐邊界安全和訪問(wèn)控制的要件，同時(shí)實(shí)現(xiàn)從終端行為一主機(jī)全過(guò)程的完整安全，實(shí)現(xiàn)公司業(yè)務(wù)正常有序的運(yùn)行。

2.通過(guò)實(shí)施信息安全管理體系提升管理水平

信息安全管理體系是系統(tǒng)地對(duì)組織敏感信息進(jìn)行管理，涉及到人、程序和信息技術(shù)系統(tǒng)，其依據(jù)是信息安全管理體系標(biāo)準(zhǔn)-IS027001。IS027001清晰地定義了ISMS是什么，并對(duì)企業(yè)主要安全管理過(guò)程進(jìn)行了詳細(xì)的描述。通過(guò)對(duì)企業(yè)信息系統(tǒng)的信息安全方針，信息安全組織，資產(chǎn)管理、人力資源安全、物理和環(huán)境安全管理、通信學(xué)術(shù)研究和操作管理、訪問(wèn)控制、信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)，信息安全事故管理、業(yè)務(wù)連續(xù)性，符合性（IS027002要求的各個(gè)控制域）11個(gè)方面的處置，來(lái)建立企業(yè)信息安全管理體系。ISMS建設(shè)分為五個(gè)階段，有準(zhǔn)備階段、風(fēng)險(xiǎn)評(píng)估階段、實(shí)施階段，運(yùn)行階段和持續(xù)改進(jìn)階段。

2.1 準(zhǔn)備現(xiàn)狀調(diào)研階段

現(xiàn)狀調(diào)研階段的主要工作是對(duì)組織的信息安全管理相關(guān)政策、制度和規(guī)范、業(yè)務(wù)特征或服務(wù)、現(xiàn)有的組織情況、網(wǎng)絡(luò)信息與配置、日常操作與管理等內(nèi)容進(jìn)行調(diào)查，以了解組織業(yè)務(wù)，挖掘組織中存在的安全問(wèn)題，分析組織內(nèi)可能存在的信息安全風(fēng)險(xiǎn)，參照相關(guān)標(biāo)準(zhǔn)給出差距分析報(bào)告?？梢圆捎梦募徍恕?wèn)卷調(diào)查、技術(shù)工具評(píng)估及現(xiàn)場(chǎng)訪談等方式進(jìn)行。

2.2 風(fēng)險(xiǎn)評(píng)估階段

在準(zhǔn)備階段工作的基礎(chǔ)上，根據(jù)IS027001標(biāo)準(zhǔn)的要求，對(duì)企業(yè)目前的信息安全現(xiàn)狀進(jìn)行風(fēng)險(xiǎn)評(píng)估，通過(guò)風(fēng)險(xiǎn)評(píng)估確定風(fēng)險(xiǎn)管理計(jì)劃以及需要采取的控制措施。此外，通過(guò)風(fēng)險(xiǎn)評(píng)估，還可以了解到目前企業(yè)信息安全管理的現(xiàn)狀，為下一步編寫(xiě)ISMS文件準(zhǔn)備基礎(chǔ)資料。

2.3 架構(gòu)設(shè)計(jì)階段

架構(gòu)設(shè)計(jì)階段可以考慮從安全策略保障體系、安全組織保障體系、安全運(yùn)行保障體系、安全技術(shù)保障體系、應(yīng)急恢復(fù)保障體系、保密體系等方面構(gòu)建組織的信息安全總體架構(gòu)。

2.4 實(shí)施階段

實(shí)施階段將進(jìn)行ISMS文件體系的策劃和編寫(xiě)，確定需要編寫(xiě)的文件數(shù)量以及各文件需要包括的控制措施。同時(shí)，將已有的操作規(guī)程、規(guī)范文件整理為具體操作手冊(cè)，作為三級(jí)文件，以指導(dǎo)信息安全管理體系項(xiàng)目的后繼實(shí)施，最終形成一整套符合企業(yè)信息安全管理現(xiàn)狀的、可實(shí)施的.文件化的信息安全管理體系。

2.5 運(yùn)行階段

運(yùn)行階段將依據(jù)建立的ISMS進(jìn)行實(shí)施。主要的活動(dòng)有認(rèn)證機(jī)構(gòu)的預(yù)審、對(duì)企業(yè)信息安全專員培訓(xùn)、全員培訓(xùn)和意識(shí)教育整改活動(dòng)、記錄系統(tǒng)運(yùn)行等各項(xiàng)活動(dòng)。在體系運(yùn)行一段時(shí)間以后，將通過(guò)內(nèi)部審核的方式評(píng)審企業(yè)信息安全管理體系運(yùn)行的符合性。

2.6 持續(xù)改進(jìn)階段

項(xiàng)目的完成只是企業(yè)ISMS建立和完善的一個(gè)首要步驟。要通過(guò)內(nèi)審與管理評(píng)審等持續(xù)改進(jìn)活動(dòng)，使企業(yè)的信息安全管理工作得到不斷的完善和提高。信息安全的最大挑戰(zhàn)在于必須面對(duì)各種各樣的威脅源、不斷更新和不可預(yù)知的方法、在不確定的時(shí)間對(duì)企業(yè)重要信息資產(chǎn)產(chǎn)生破壞，所以必須要有能夠進(jìn)行持續(xù)改善的績(jī)效管理。

3.實(shí)施、運(yùn)行ISMS需要注意的問(wèn)題

4.1 提高風(fēng)險(xiǎn)意識(shí)，加強(qiáng)安全組織建設(shè)工作；以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，提高風(fēng)險(xiǎn)管理的有效性；隊(duì)總體經(jīng)營(yíng)目標(biāo)為核心，制定科學(xué)的安全管理策略；通過(guò)對(duì)企業(yè)安全管理流程及標(biāo)準(zhǔn)的建立，完善企業(yè)的安全運(yùn)維體系及響應(yīng)機(jī)制。

4.2 提高行業(yè)信息化管理水平，信息安全體系框架構(gòu)建是關(guān)鍵。而信息安全體系框架構(gòu)建必須管理、技術(shù)兩者雙管齊下。

4.3 循序漸進(jìn)，動(dòng)態(tài)管理。信息安全體系建設(shè)并不是一蹴而就的，是分步實(shí)施、循序漸進(jìn)的過(guò)程。定期進(jìn)行相關(guān)的安全評(píng)估，注重各層次、各方面、各時(shí)期的相互協(xié)調(diào)、匹配和銜接。根據(jù)當(dāng)前的技術(shù)環(huán)境和安全意識(shí)的深化及時(shí)排查、修改、調(diào)整相關(guān)的安全策略。

篇8

1.1科學(xué)、技術(shù)和工程“三元論”

Mitcham提出工程哲學(xué)（EngineeringPhilosophy）詞匯，并闡述哲學(xué)對(duì)工程的重要性，但是他認(rèn)為工程處于技術(shù)之下，是技術(shù)的一部分，而李伯聰教授則認(rèn)為科學(xué)、技術(shù)和工程是彼此獨(dú)立的個(gè)體，彼此既有聯(lián)系又有區(qū)別，科學(xué)、技術(shù)和工程“三元論”是工程哲學(xué)得以成立的基礎(chǔ)?？茖W(xué)活動(dòng)是以探索發(fā)現(xiàn)為核心的活動(dòng)，技術(shù)活動(dòng)是以發(fā)明革新為核心的活動(dòng)，工程活動(dòng)是以集成建構(gòu)為核心的活動(dòng)。人們既不應(yīng)把科學(xué)與技術(shù)混為一談，也不應(yīng)把技術(shù)與工程混為一談。工程并不是單純的科學(xué)應(yīng)用或技術(shù)應(yīng)用，也不是相關(guān)技術(shù)的簡(jiǎn)單堆砌和剪貼拼湊，而是科學(xué)要素、技術(shù)要素、經(jīng)濟(jì)要素、管理要素、社會(huì)要素、文化要素、制度要素以及環(huán)境要素等多要素的集成、選擇和優(yōu)化。“三元論”明確承認(rèn)科學(xué)、技術(shù)與工程存在密切的聯(lián)系，而且突出強(qiáng)調(diào)它們之間的轉(zhuǎn)化關(guān)系，強(qiáng)調(diào)“工程化”環(huán)節(jié)對(duì)于轉(zhuǎn)化為直接生產(chǎn)力的關(guān)鍵作用、價(jià)值和意義，強(qiáng)調(diào)應(yīng)努力實(shí)現(xiàn)工程科學(xué)、工程技術(shù)和工程實(shí)踐的有機(jī)互動(dòng)與統(tǒng)一。

1.2信息安全管理體系的工程本質(zhì)及特點(diǎn)

信息安全管理體系是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的，包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過(guò)程和資源等內(nèi)容。信息安全管理體系的支撐標(biāo)準(zhǔn)為ISO/IEC27000標(biāo)準(zhǔn)族。在ISO/IEC27000標(biāo)準(zhǔn)族中，不但給出了“建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的”“基于業(yè)務(wù)風(fēng)險(xiǎn)（的）方法”，而且還給出了信息安全管理體系的要求、實(shí)用規(guī)則、審核指南以及相關(guān)安全域的具體指南等。例如，僅GB/T22081-2008/ISO/IEC27002:2005信息安全管理實(shí)用規(guī)則，就包括了11個(gè)控制域，39個(gè)控制目標(biāo)，133項(xiàng)控制措施。信息安全管理體系可在不同的學(xué)科中找到其淵源，在實(shí)施框架上，信息安全管理體系應(yīng)用了質(zhì)量管理中的Plan-Do-Check-Act的戴明環(huán)，在具體的控制措施上，則包括了密碼學(xué)、人員安全以及各類信息安全技術(shù)，其研究的特點(diǎn)是將科學(xué)思維、工程思維和社會(huì)思維相結(jié)合，但更強(qiáng)調(diào)工程思維的“設(shè)計(jì)”理論。工程研究活動(dòng)不同于科學(xué)研究活動(dòng)的基本特征就是“設(shè)計(jì)”。工程設(shè)計(jì)活動(dòng)包括對(duì)象設(shè)計(jì)和過(guò)程設(shè)計(jì)。例如，建造水壩的壩體設(shè)計(jì)是對(duì)象設(shè)計(jì)，如何實(shí)施就是過(guò)程設(shè)計(jì)，在信息安全中，設(shè)計(jì)組織自己的信息安全管理體系是對(duì)象設(shè)計(jì)，設(shè)計(jì)如何部署是過(guò)程設(shè)計(jì)。

2信息安全管理體系的演化過(guò)程與規(guī)律

2.1信息安全管理體系的起源和發(fā)展

信息安全管理體系是建立在體系（System）化基礎(chǔ)上的“最佳實(shí)踐集”，到國(guó)際標(biāo)準(zhǔn)的正式公布，大致經(jīng)歷了3個(gè)階段。第一階段為過(guò)度關(guān)注技術(shù)，忽略人的作用的“技術(shù)浪潮”階段，在這個(gè)階段涌現(xiàn)出了大量的信息安全技術(shù)產(chǎn)品，例如，防火墻、防病毒和入侵檢測(cè)系統(tǒng)（IDS）等。第二階段為強(qiáng)調(diào)人的作用的“管理浪潮”階段，在這個(gè)階段大部分企業(yè)開(kāi)始設(shè)置專職的信息安全管理崗位，以加強(qiáng)對(duì)個(gè)人行為的控制。第三階段即“體系階段”，在體系階段信息安全以目標(biāo)為導(dǎo)向，不再局限于手段的應(yīng)用，而是技術(shù)、制度和人員管理等各個(gè)方面的有機(jī)結(jié)合。這個(gè)階段是信息安全的工程化階段，體現(xiàn)了工程的實(shí)踐性、經(jīng)驗(yàn)性、繼承性、創(chuàng)造性和系統(tǒng)性等特點(diǎn)。

2.2信息安全管理體系的動(dòng)力和機(jī)制分析

信息安全管理體系的產(chǎn)生和發(fā)展過(guò)程是一個(gè)“需求驅(qū)動(dòng)”的過(guò)程。AlvinToffler在其經(jīng)典著作《第三次浪潮》中，將人類發(fā)展史劃分為第一次浪潮的“農(nóng)業(yè)文明”，第二次浪潮的“工業(yè)文明”以及第三次浪潮的“信息社會(huì)”。在信息社會(huì)時(shí)代，“信息”成為重要的生產(chǎn)資料，價(jià)值非凡，因此面臨諸多風(fēng)險(xiǎn)，為保護(hù)信息，安全需求的出現(xiàn)是必然的?？茖W(xué)與技術(shù)的進(jìn)步是信息安全管理體系的推動(dòng)力。新密碼算法的產(chǎn)生，各類以“信息技術(shù)解決信息安全”的思路涌現(xiàn)，為信息安全管理體系的產(chǎn)生奠定了基礎(chǔ)。信息安全產(chǎn)生的本質(zhì)原因是信息技術(shù)的發(fā)展和應(yīng)用，反過(guò)來(lái)，解決信息安全問(wèn)題又依賴于信息技術(shù)的發(fā)展。例如，速度更快，與防火墻形成聯(lián)動(dòng)的入侵檢測(cè)系統(tǒng)。國(guó)家政策是信息安全管理體系應(yīng)用的導(dǎo)向力。任何工程活動(dòng)都是在社會(huì)大系統(tǒng)中開(kāi)展的，都要接受?chē)?guó)家（政府）的引導(dǎo)和調(diào)控。對(duì)工程創(chuàng)新的應(yīng)用，企業(yè)的認(rèn)識(shí)往往是滯后的，因此，國(guó)家出臺(tái)了一系列引導(dǎo)性政策。例如：商務(wù)部印發(fā)的商資發(fā)［2006］556號(hào)及商資函［2006］110號(hào)，以及各地方政府的鼓勵(lì)引導(dǎo)政策。

2.3信息安全管理體系的工程演化特點(diǎn)、方式和規(guī)律

對(duì)比國(guó)外，信息安全管理體系在國(guó)內(nèi)發(fā)展體現(xiàn)出了明顯的跳躍性，這種跳躍性不但體現(xiàn)在信息工程領(lǐng)域，也表現(xiàn)在其他諸多領(lǐng)域。國(guó)內(nèi)一般不會(huì)沿襲其循序漸進(jìn)的路線，而是直接引用國(guó)外的先進(jìn)經(jīng)驗(yàn)或者在國(guó)外已有的原型上進(jìn)行模仿開(kāi)發(fā)。在科學(xué)、技術(shù)和工程3個(gè)領(lǐng)域內(nèi)，與文化、制度、歷史等環(huán)境因素聯(lián)系最緊密的就是工程。在信息安全領(lǐng)域內(nèi)，作為基礎(chǔ)科學(xué)的密碼學(xué)，其算法“放之四海而皆準(zhǔn)”，不會(huì)因東西方文化的不同而顯現(xiàn)不同的特征，絕大部分技術(shù)亦如此。但在工程層次，不同的文化制度有時(shí)會(huì)產(chǎn)生大相徑庭的結(jié)果，例如，騰訊QQ本來(lái)是模仿國(guó)際聊天軟件ICQ，但是經(jīng)過(guò)十幾年的發(fā)展后，ICQ，MSN等點(diǎn)對(duì)點(diǎn)國(guó)外聊天軟件均瀕臨破產(chǎn)，但QQ在線用戶卻在2010年突破1億。信息安全管理體系雖然修改自國(guó)際標(biāo)準(zhǔn)，但也顯現(xiàn)出鮮明的文化特征。例如更強(qiáng)調(diào)保密性，和國(guó)外用戶相比，更多的認(rèn)證取向等。

3信息安全管理體系的工程思維與工程方法論

3.1信息安全管理體系的工程思維

科學(xué)思維是“反映性思維”“發(fā)現(xiàn)性思維”，體現(xiàn)理論理性的認(rèn)識(shí)，工程思維是“構(gòu)建性思維”“設(shè)計(jì)性思維”和“實(shí)踐性思維”，體現(xiàn)實(shí)踐理性的認(rèn)識(shí)?？茖W(xué)家通過(guò)科學(xué)思維發(fā)現(xiàn)外部世界中已經(jīng)存在的事物和自然規(guī)律，工程師在工程活動(dòng)中創(chuàng)造出自然界中從來(lái)沒(méi)有的工程構(gòu)建物，工程設(shè)計(jì)是以價(jià)值當(dāng)事人的特定需要為出發(fā)點(diǎn),以構(gòu)建某種與主體需要相符合的實(shí)體為歸宿的籌劃。信息安全管理體系標(biāo)準(zhǔn)族的GB/T22080-2008/ISO/IEC27001:2005原文別強(qiáng)調(diào)：“采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織ISMS的設(shè)計(jì)和實(shí)施受其需求和目標(biāo)、安全要求、所采用的過(guò)程以及組織的規(guī)模和結(jié)構(gòu)的影響，且上述因素及其支持系統(tǒng)會(huì)不斷發(fā)生變化。按照組織的需求實(shí)施ISMS是本標(biāo)準(zhǔn)所期望的，例如，簡(jiǎn)單的情況可采用簡(jiǎn)單的ISMS解決方案。”信息安全管理體系的部署過(guò)程也專門(mén)設(shè)有信息安全風(fēng)險(xiǎn)評(píng)估，目的就是找到企業(yè)實(shí)際存在的問(wèn)題，然后“對(duì)癥下藥”。

3.2信息安全管理體系的工程方法論

信息安全管理體系應(yīng)用了PDCA戴明環(huán)，與A.D.Hall的系統(tǒng)工程方法略有差別，但在本質(zhì)上是遵循這個(gè)基本框架的。

4結(jié)語(yǔ)

篇9

關(guān)鍵詞:電信企業(yè)；信息安全；風(fēng)險(xiǎn)防控；管理體系；建設(shè)；研究

一、電信企業(yè)信息管理的現(xiàn)狀與作用

(一)電信企業(yè)信息管理體系的現(xiàn)狀

隨著社會(huì)的發(fā)展，無(wú)論是個(gè)人還是企業(yè)，都越來(lái)越離不開(kāi)科學(xué)技術(shù)。這也導(dǎo)致科技所引發(fā)的信息安全管理體系的問(wèn)題出現(xiàn)。1、針對(duì)信息安全管理體系的建設(shè)沒(méi)有創(chuàng)建出專門(mén)的管理機(jī)構(gòu)由于在信息管理方面，企業(yè)沒(méi)有一個(gè)系統(tǒng)的較為權(quán)威的管理部門(mén)及相關(guān)組織，其管理權(quán)限分散在建設(shè)、運(yùn)維、系統(tǒng)支撐、市場(chǎng)等部門(mén)，在很大程度上致使企業(yè)信息管理中的相關(guān)法規(guī)得不到正常有效的運(yùn)行。2、未能充分的考慮企業(yè)相關(guān)管理部門(mén)與信息安全管理體系的建設(shè)完善由于電信企業(yè)的特殊性，在具體的信息安全建設(shè)管理中，信息體系建設(shè)和信息安全管理的工作不夠協(xié)調(diào)，使得企業(yè)在信息安全管理的相關(guān)工作上沒(méi)法進(jìn)行積極主動(dòng)實(shí)施，導(dǎo)致了企業(yè)信息安全管理體系建設(shè)工作的沒(méi)能與相關(guān)體系升級(jí)換代同步進(jìn)行。3、企業(yè)信息管理建設(shè)滯后對(duì)于相關(guān)部門(mén)而言，信息安全管理常常局限于使用比較局部的安全產(chǎn)品進(jìn)行保障，這樣就容易形成被動(dòng)的使用相關(guān)辦法來(lái)應(yīng)對(duì)信息安全的漏洞風(fēng)險(xiǎn)，導(dǎo)致此類方法嚴(yán)重缺乏科學(xué)性，而且由于使用范圍的局限，從而也不完全能夠抵御安全問(wèn)題給企業(yè)所帶來(lái)的運(yùn)營(yíng)風(fēng)險(xiǎn)。

(二)企業(yè)信息安全管理的作用

信息安全管理體系的建設(shè)是對(duì)企業(yè)來(lái)說(shuō)非常重要，尤其是電信企業(yè)，通過(guò)信息安全管理體系的建設(shè)，不僅有利于提高相關(guān)部門(mén)的工作人員的信息安全意識(shí)，而且還能夠加強(qiáng)對(duì)信息安全的管理組織的規(guī)范管理，通過(guò)充分有效的安全信息維護(hù)，能夠幫助企業(yè)在信息管理受到嚴(yán)重威脅時(shí)可以及時(shí)消除風(fēng)險(xiǎn)，從而維護(hù)國(guó)家、企業(yè)、廣大用戶的切身利益，確保電信企業(yè)在國(guó)家信息建安全戰(zhàn)略中的中流砥柱作用。

二、電信企業(yè)信息管理建設(shè)的有效方法

(一)制定有效的信息管理計(jì)劃

在企業(yè)管理中，有效的信息安全管理，是企業(yè)發(fā)展的前提；信息管理建設(shè)需要有效的策劃：1、教育培訓(xùn)在企業(yè)管理中，做好教育培訓(xùn)工作是非常重要的，通過(guò)相關(guān)培訓(xùn)，不但能夠提高相關(guān)人員的安全信息管理意識(shí)，強(qiáng)化相關(guān)人員實(shí)際操作能力，而且還可以為信息管理體系吸引大量的相關(guān)人才。2、制定信息安全管理計(jì)劃制定管理的相關(guān)計(jì)劃是企業(yè)發(fā)展中的關(guān)鍵環(huán)節(jié)，所以，為了企業(yè)的可持續(xù)發(fā)展，相關(guān)部門(mén)需要制定信息管理體系建設(shè)的標(biāo)準(zhǔn)，擬定相關(guān)計(jì)劃。

(二)電信企業(yè)信息管理建設(shè)的范圍

對(duì)于一個(gè)企業(yè)來(lái)說(shuō)，確定信息管理體系的范圍是非常重要的，其需要相關(guān)部門(mén)人員根據(jù)實(shí)際情況來(lái)進(jìn)行重點(diǎn)有效的管理，這個(gè)管理的范圍就是安全管理體系的范圍。這一范圍還可分為整體范圍與個(gè)別信息安全管理范圍，通過(guò)不同的部門(mén)可對(duì)管理組織進(jìn)行劃分，并在一定的程度上進(jìn)行不同力度的管理。就電信企業(yè)而言，主要涉及企業(yè)信息管理和用戶信息管理，其安全體系建設(shè)貫穿在企業(yè)運(yùn)行的全過(guò)程。

(三)建立企業(yè)信息管理框架

對(duì)一個(gè)企業(yè)而言，企業(yè)的信息管理必須建立起一個(gè)嚴(yán)格的管理模式。具體步驟如下：1、信息安全管理體制的計(jì)劃在規(guī)劃信息安全管理體系時(shí)，首先的一個(gè)步驟就是對(duì)企業(yè)的信息安全管理有一個(gè)明確的計(jì)劃。這樣一來(lái)不僅能夠?qū)罄m(xù)工作做了一個(gè)提前的準(zhǔn)備，有利于建立管理機(jī)構(gòu)，而且還能夠?qū)芾淼呢?zé)任做出明確的規(guī)定，能夠更好的確立管理目標(biāo)，評(píng)估管理風(fēng)險(xiǎn)。2、企業(yè)信息安全管理的實(shí)施有了一定的企業(yè)信息安全管理體系的計(jì)劃，接下來(lái)的一個(gè)重要步驟就是計(jì)劃的實(shí)施過(guò)程，過(guò)程主要有信息安全管理方法應(yīng)用和相關(guān)措施落實(shí)等。3、企業(yè)信息安全管理體制的檢查這個(gè)階段的工作開(kāi)展要做好充分的準(zhǔn)備，因?yàn)檫@一階段是整個(gè)計(jì)劃的關(guān)鍵階段，主要通過(guò)審計(jì)、自我評(píng)估或借助第三方審核等方法來(lái)對(duì)計(jì)劃實(shí)施的效果進(jìn)行審查。

三、結(jié)束語(yǔ)

綜上所述，“我國(guó)電信運(yùn)營(yíng)企業(yè)的信息安全風(fēng)險(xiǎn)無(wú)處不在，安全形勢(shì)日益嚴(yán)峻，迫切需要系統(tǒng)、科學(xué)、有效的信息安全風(fēng)險(xiǎn)管理體系理論指導(dǎo)管理工作實(shí)踐。”通過(guò)本文，我們了解到我國(guó)電信企業(yè)的信息安全管理體系方面的現(xiàn)狀以及信息安全管理的重要性，通過(guò)相關(guān)部門(mén)的共同努力，切實(shí)提高信息安全管理水平，維護(hù)好國(guó)家安全和公共利益安全，為建設(shè)信息化強(qiáng)國(guó)做出應(yīng)有的貢獻(xiàn)。

參考文獻(xiàn):

[1]鄭敏.關(guān)于信息安全管理體系建設(shè)的研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2014

[2]曾劍秋,程廣煥,楊萌柯.電信運(yùn)營(yíng)企業(yè)信息安全風(fēng)險(xiǎn)管理體系研究[J].科技管理研究,2016

篇10

關(guān)鍵詞：煙草行業(yè) 信息安全 安全管理 安全防護(hù)體系

中圖分類號(hào)：TS48 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2013）03（c）-0-01

中國(guó)的卷煙市場(chǎng)是全球最大的市場(chǎng)，擁有30%的全球消費(fèi)者，中國(guó)煙草行業(yè)實(shí)行專賣(mài)專營(yíng)體制以來(lái)，緊緊圍繞“做精做強(qiáng)主業(yè)，保持平穩(wěn)發(fā)展”的基本方針，實(shí)現(xiàn)了經(jīng)濟(jì)效益的連年增長(zhǎng)。在取得成績(jī)的同時(shí)，中國(guó)的煙草行業(yè)也一直貫徹堅(jiān)持科技進(jìn)步，大力推進(jìn)技術(shù)創(chuàng)新的思想，全面推進(jìn)煙草行業(yè)信息化網(wǎng)絡(luò)的建設(shè)。但是隨著信息化應(yīng)用的日益廣泛，信息系統(tǒng)中存儲(chǔ)的信息和數(shù)據(jù)的數(shù)量的不斷加大，其安全形勢(shì)不容樂(lè)觀，該文先介紹煙草行業(yè)信息安全的概念，然后對(duì)其現(xiàn)狀進(jìn)行描述，最后對(duì)如何推進(jìn)信息安全體系建設(shè)，加強(qiáng)煙草行業(yè)信息安全管理進(jìn)行了研究與探索。

1 信息安全概述

信息安全本身包括的范圍很大，是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵，自中國(guó)加入世貿(mào)組織后，煙草行業(yè)的競(jìng)爭(zhēng)日趨激烈，煙草行業(yè)在制造以及銷(xiāo)售方面信息化應(yīng)用的不斷擴(kuò)大，所以其安全程度對(duì)整個(gè)煙草行業(yè)起到?jīng)Q定性的作用。信息安全主要包括保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性五個(gè)方面的內(nèi)容，其中任何一個(gè)方面的安全漏洞都能威脅到全局安全，因此必須做好信息安全的管理工作。

2 煙草行業(yè)信息安全所面臨的威脅

由于近年來(lái)煙草行業(yè)進(jìn)行了幾輪大規(guī)模的重組合并，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也越來(lái)越復(fù)雜，信息集成共享也更加廣泛，所以煙草行業(yè)信息安全所面臨的威脅來(lái)自各個(gè)方面，下面主要從內(nèi)部和外部?jī)煞矫孢M(jìn)行描述。

（1）由于煙草行業(yè)信息系統(tǒng)是由人員進(jìn)行設(shè)計(jì)、監(jiān)管以及操作的，其本身就存在一定的薄弱環(huán)節(jié)和不安全因素，若內(nèi)部保密工作不到位、內(nèi)部管理出現(xiàn)漏洞則會(huì)對(duì)系統(tǒng)造成破壞，數(shù)據(jù)發(fā)生丟失，給信息安全系統(tǒng)構(gòu)成威脅。

（2）黑客可以利用信息安全系統(tǒng)自身的缺陷非法闖入，進(jìn)行數(shù)據(jù)的“竊聽(tīng)”和攔截，或者其他的破壞活動(dòng)。一般的煙草企業(yè)的網(wǎng)絡(luò)與整個(gè)外部網(wǎng)絡(luò)是相互連接的，這就無(wú)法避免垃圾郵件的威脅，這是防不勝防的。病毒侵入由于其無(wú)孔不入的能力以及無(wú)法預(yù)防的特性，一直是行業(yè)信息系統(tǒng)的最大隱患。

3 煙草行業(yè)信息安全管理現(xiàn)狀

經(jīng)過(guò)多年的信息化建設(shè)和網(wǎng)絡(luò)安全建設(shè)，對(duì)于煙草信息安全系統(tǒng)，主要存在以下現(xiàn)象。

（1）網(wǎng)絡(luò)基礎(chǔ)設(shè)施不健全，信息安全設(shè)備不穩(wěn)固。由于大范圍的兼并重組，新建的網(wǎng)絡(luò)設(shè)施、設(shè)備的穩(wěn)定性依然無(wú)法得到保證，對(duì)設(shè)備運(yùn)行的監(jiān)控參數(shù)沒(méi)有得到重視，不具備容災(zāi)功能。

（2）煙草行業(yè)信息安全管理制度和措施沒(méi)有得到有效的落實(shí)，專業(yè)人員的素質(zhì)無(wú)法得到保證。盡管?chē)?guó)家制定和頒布的煙草信息安全管理制度大部分得到了較好的貫徹落實(shí)，但缺乏相關(guān)的管理制度，使得管理工作也只是流于形式，存儲(chǔ)設(shè)備的管理要求無(wú)法得到徹底落實(shí)。其次由于這個(gè)系統(tǒng)的動(dòng)態(tài)特性，對(duì)工作人員的要求較高，所以培訓(xùn)工作的滯后影響著整個(gè)系統(tǒng)的安全。

（3）缺乏整體性的防護(hù)措施。盡管近年來(lái)的信息安全保障體系建設(shè)已經(jīng)取得了一定的成效，但在建設(shè)初期的缺乏對(duì)整個(gè)系統(tǒng)的全盤(pán)考慮或是預(yù)算的原因使得現(xiàn)在已經(jīng)成型的煙草信息安全系統(tǒng)缺乏整體性的防護(hù)措施。

4 提高安全管理的對(duì)策

4.1 技術(shù)層面的建設(shè)

一個(gè)有效的網(wǎng)絡(luò)信息安全技術(shù)體系是整個(gè)信息安全管理的基礎(chǔ)，所以安全體系的建設(shè)是所有安全構(gòu)架的基礎(chǔ)，運(yùn)用先進(jìn)的技術(shù)手段，進(jìn)一步完善機(jī)房硬件設(shè)備等基礎(chǔ)設(shè)施；對(duì)不同的安全威脅要進(jìn)行針對(duì)性的建設(shè)，確保核心設(shè)備具有較高的安全級(jí)別并且要對(duì)其端口進(jìn)行流量控制；對(duì)于核心信息資源所面臨的風(fēng)險(xiǎn)要進(jìn)行正確的評(píng)估，提高網(wǎng)絡(luò)信息化的安全保障能力；對(duì)于網(wǎng)絡(luò)存儲(chǔ)的大量信息和數(shù)據(jù)要做好備份工作，并對(duì)進(jìn)行傳輸?shù)男畔⑦M(jìn)行實(shí)時(shí)監(jiān)控，加強(qiáng)對(duì)突發(fā)安全事件的處理效率。通過(guò)以上技術(shù)層面的手段使整個(gè)安全體系在預(yù)警、防護(hù)、監(jiān)控等方面的能力得到提高。

4.2 管理層面的建設(shè)

管理層面的建設(shè)主要通過(guò)完善和優(yōu)化安全管理體系和建立相應(yīng)的措施來(lái)提高信息安全網(wǎng)絡(luò)的安全管理能力與監(jiān)督能力。制定出清晰完整的信息安全政策，從整體層面上指導(dǎo)整個(gè)網(wǎng)絡(luò)的安全建設(shè)，對(duì)所有的管理人員以及工作人員實(shí)行法律化管理；建立嚴(yán)密的密碼管理制度，并且要定時(shí)更換，控制密碼的擴(kuò)散；此外對(duì)使用安全體系網(wǎng)絡(luò)的人員要進(jìn)行身份的辨別，對(duì)于管理員以及普通使用人員的權(quán)限進(jìn)行分離，在信息控制中心成立安全管理小組，專門(mén)負(fù)責(zé)電腦的安全運(yùn)行；重視煙草行業(yè)安全文化建設(shè)，提高員工的基本安全意識(shí)和安全防范能力，營(yíng)造出一個(gè)濃厚的網(wǎng)絡(luò)信息安全氛圍；最后要加強(qiáng)網(wǎng)絡(luò)信息安全專業(yè)人才的培養(yǎng)，從安全意識(shí)和安全技術(shù)兩個(gè)方面著手，對(duì)這些人員進(jìn)行定期、持續(xù)、系統(tǒng)地培訓(xùn)。

5 結(jié)語(yǔ)

盡管對(duì)煙草行業(yè)信息安全的管理存在很多困難，但是只要我們能做到將以人為本、技術(shù)、管理和法制這些手段綜合起來(lái)進(jìn)行治理，網(wǎng)絡(luò)信息安全將會(huì)得到很好地解決，煙草行業(yè)的信息化進(jìn)程將會(huì)為整個(gè)行業(yè)帶來(lái)更大的發(fā)展空間。

參考文獻(xiàn)

[1] 李益文.基于煙草行業(yè)業(yè)務(wù)可持續(xù)運(yùn)行的信息安全運(yùn)維管理體系的思考[J].東方企業(yè)文化，2012（22）.

[2] 高萍，黃偉達(dá).煙草企業(yè)信息安全方面的思考[J].黑龍江科技信息，2010（31）.

[3] 林加忠，葉鵬華.淺析網(wǎng)絡(luò)環(huán)境下煙草信息資源建設(shè)[J].硅谷，2009（5）.