序論：寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇工程信息安全管理范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

關(guān)鍵詞：軟件工程；數(shù)據(jù)信息；安全管理；

文章編號(hào)：1674-3520（2015）-09-00-01

隨著社會(huì)經(jīng)濟(jì)的快速發(fā)展，人們對(duì)于信息的公開化、透明化的要求越來越高，同時(shí)信息資源的管理也面臨巨大的困擾，信息安全問題已經(jīng)成為影響人們數(shù)據(jù)存儲(chǔ)的重要因素。現(xiàn)代企業(yè)出于安全和利益需要，對(duì)于很多信息不能公開或者一定時(shí)期內(nèi)不能向外界公布，這時(shí)就需要應(yīng)用安全保密技術(shù)。

一、保密技術(shù)對(duì)數(shù)據(jù)信息安全的重要性

保密技術(shù)是企業(yè)為獲得自身利益和安全，將與自身發(fā)展密切相關(guān)的信息進(jìn)行隱藏的一種手段，隨著互聯(lián)網(wǎng)的快速發(fā)展，企業(yè)信息的保密也越發(fā)重要。保守企業(yè)秘密是指嚴(yán)格按照有關(guān)經(jīng)濟(jì)法律和企業(yè)內(nèi)部的規(guī)章制度，將涉及信息和信息的載體控制在一定的范圍之內(nèi)，限制知悉的人員，同時(shí)也包含了企業(yè)自身或內(nèi)部員工保守秘密的職責(zé)，并以此采取相應(yīng)的保密活動(dòng)。通常情況下，屬于保密范疇的信息，都應(yīng)當(dāng)明確內(nèi)容，并規(guī)定相應(yīng)的期限，在此階段內(nèi)，保密主體不能夠擅自改變，并且其知悉范圍是通過強(qiáng)制性手段和措施來實(shí)現(xiàn)控制的。

二、數(shù)據(jù)信息安全保密技術(shù)類型

（一）口令保護(hù)。對(duì)數(shù)據(jù)信息設(shè)置口令是數(shù)據(jù)信息安全的基礎(chǔ)保障。在對(duì)數(shù)據(jù)保密信息設(shè)置安全保障的過程中，可以先根據(jù)計(jì)算機(jī)技術(shù)設(shè)置登錄密碼，并確保密碼的復(fù)雜性，如字母與數(shù)字混合、大小寫字母與數(shù)字混合等，以免被黑客破解。如果有提示密碼可能被盜的消息，則應(yīng)當(dāng)及時(shí)辨別消息的真實(shí)性，并登錄到安全中心重新設(shè)置密碼，從而確保數(shù)據(jù)信息登錄的安全性和可靠性。

（二）數(shù)據(jù)加密。在信息的存儲(chǔ)及傳輸過程中有一個(gè)重要的手段，就是對(duì)數(shù)據(jù)進(jìn)行加密，這樣才能夠保證數(shù)據(jù)信息的安全性，從而提升信息保密的抗攻擊度。所謂數(shù)據(jù)加密，主要是指根據(jù)較為規(guī)律的加密變化方法，對(duì)需要設(shè)置密碼的數(shù)據(jù)進(jìn)行加密處理，由此得到需要密鑰才能識(shí)別的數(shù)據(jù)。加密變化不僅能夠保護(hù)數(shù)據(jù)，還能夠檢測(cè)數(shù)據(jù)的完整陛，是現(xiàn)代數(shù)據(jù)信息系統(tǒng)安全中最常用也是最重要的保密技術(shù)手段之一。數(shù)據(jù)加密和解密的算法和操作一般都由一組密碼進(jìn)行控制，形成加密密鑰和相應(yīng)的解密密鑰。在數(shù)據(jù)信息傳輸?shù)倪^程中，可以根據(jù)相應(yīng)的加密密鑰，加密數(shù)據(jù)信息，然后根據(jù)解密密鑰得出相應(yīng)的數(shù)據(jù)信息。在此過程中，大大保障了數(shù)據(jù)信息的安全，避免被破解。

（三）存取控制。為保證用戶能夠存取相關(guān)權(quán)限內(nèi)的數(shù)據(jù)，已經(jīng)具備使用權(quán)的用戶必須事先將定義好的用戶操作權(quán)限進(jìn)行存取控制。在一般情況下，只要將存取權(quán)限的定義通過科學(xué)的編譯處理，將處理后的數(shù)據(jù)信息存儲(chǔ)到相應(yīng)的數(shù)據(jù)庫中。如果用戶對(duì)數(shù)據(jù)庫發(fā)出使用信息的命令請(qǐng)求，數(shù)據(jù)庫操作管理系統(tǒng)會(huì)通過對(duì)數(shù)據(jù)字典進(jìn)行查找，來檢查每個(gè)用戶權(quán)限是否合法。如果存在不合法的行為，則可能是用于用戶的請(qǐng)求不符合數(shù)據(jù)庫存儲(chǔ)定義，并超出了相應(yīng)的操作權(quán)限，這樣則會(huì)導(dǎo)致數(shù)據(jù)庫對(duì)于用戶的指令無法識(shí)別，并拒絕執(zhí)行。因此，只有在采取存取控制保護(hù)措施下，數(shù)據(jù)庫才能夠?qū)Πl(fā)出請(qǐng)求的用戶進(jìn)行識(shí)別，并對(duì)用戶身份的合法性進(jìn)行驗(yàn)證。同時(shí)還需要注意不同用戶之問的標(biāo)識(shí)符都具有一定差異，經(jīng)過識(shí)別和驗(yàn)證后，用戶才能夠獲取進(jìn)入數(shù)據(jù)庫的指令，以此確保數(shù)據(jù)信息的安全性，為用戶提供一個(gè)良好的數(shù)據(jù)應(yīng)用環(huán)境。

三、增強(qiáng)數(shù)據(jù)信息安全保密技術(shù)

（一）數(shù)字簽名技術(shù)。在計(jì)算機(jī)網(wǎng)絡(luò)通信中，經(jīng)常會(huì)出現(xiàn)一些假冒、偽造、篡改的數(shù)據(jù)信息，對(duì)企業(yè)應(yīng)用數(shù)據(jù)信息造成了嚴(yán)重影響，對(duì)此，采取相應(yīng)的技術(shù)保護(hù)措施也就顯得非常重要。數(shù)字簽名技術(shù)主要是指對(duì)數(shù)據(jù)信息的接收方身份進(jìn)行核實(shí)，在相應(yīng)的報(bào)文上面簽名，以免事后影響到數(shù)據(jù)信息的真實(shí)性。在交換數(shù)據(jù)信息協(xié)議的過程中，接收方能夠?qū)Πl(fā)送方的數(shù)據(jù)信息進(jìn)行鑒別，并且不能夠出現(xiàn)否認(rèn)這一發(fā)送信息的行為。通過在數(shù)據(jù)簽名技術(shù)中應(yīng)用不對(duì)稱的加密技術(shù)，能夠明確文件發(fā)送的真實(shí)性，而通過解密與加密技術(shù)，能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)信息傳輸過程的良好控制，以免出現(xiàn)信息泄露的情況。

（二）接入控制技術(shù)。接入控制技術(shù)主要是指針對(duì)用戶所應(yīng)用的計(jì)算機(jī)信息系統(tǒng)進(jìn)行有效控制，實(shí)現(xiàn)一般用戶對(duì)數(shù)據(jù)庫信息的資源共享，這是避免非法入侵者竊取信息的另一關(guān)卡。對(duì)于需要密切保密的數(shù)據(jù)信息庫，用戶在訪問之前應(yīng)當(dāng)明確是否能夠登陸，及登陸之后是否涉及保密信息，以加強(qiáng)數(shù)據(jù)信息控制。在對(duì)絕密級(jí)信息系統(tǒng)進(jìn)行處理時(shí)，訪問應(yīng)當(dāng)控制到每個(gè)用戶。在系統(tǒng)內(nèi)部用戶非授權(quán)的接入控制中，任意訪問控制是指用戶可以隨意在系統(tǒng)中規(guī)定的范圍內(nèi)活動(dòng)，這對(duì)于用戶來說較為方便，而且成本費(fèi)用也比較低廉。但是此種做法的安全性較低，如果有用戶進(jìn)行強(qiáng)制訪問，勢(shì)必會(huì)導(dǎo)致外來信息入侵系統(tǒng)。對(duì)此，采用強(qiáng)制訪問方法能夠有效避免非法入侵行為，雖然安全費(fèi)用較大，但是安全系數(shù)較高。

（三）跟蹤審計(jì)技術(shù)。跟蹤審計(jì)技術(shù)主要是指對(duì)數(shù)據(jù)信息的應(yīng)用過程進(jìn)行事后的審計(jì)處理，也就是一種事后追查手段，對(duì)數(shù)據(jù)系統(tǒng)的安全操作情況進(jìn)行詳細(xì)記錄。通過采用此種技術(shù)，如果數(shù)據(jù)庫系統(tǒng)出現(xiàn)泄密事件，能夠?qū)π姑苁录陌l(fā)生時(shí)問、地點(diǎn)及過程進(jìn)行記錄，同時(shí)對(duì)數(shù)據(jù)庫信息進(jìn)行實(shí)時(shí)監(jiān)控，并給出詳細(xì)的分析報(bào)告，以保證數(shù)據(jù)庫系統(tǒng)的可靠性。跟蹤審計(jì)技術(shù)可以分為好幾種類型，如數(shù)據(jù)庫跟蹤審計(jì)、操作系統(tǒng)跟蹤審計(jì)等。這些技術(shù)的應(yīng)用及實(shí)施，能夠加強(qiáng)對(duì)數(shù)據(jù)庫信息的安全限制，以免再次出現(xiàn)病毒入侵的情況。

（三）防火墻技術(shù)。防火墻技術(shù)主要是指對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的接入進(jìn)行有效控制，如果有外部用戶采用非法手段接入訪問內(nèi)部資源，防火墻能夠進(jìn)行識(shí)別并進(jìn)行相應(yīng)的反擊處理，從而將不良信息隔在網(wǎng)絡(luò)之外。防火墻的基本功能是對(duì)網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行過濾處理，同時(shí)對(duì)外來用戶的訪問進(jìn)行分析和管理，攔截不安全信息，將網(wǎng)絡(luò)攻擊擋在網(wǎng)絡(luò)之外。

四、結(jié)束語

對(duì)數(shù)據(jù)信息進(jìn)行安全保密管理是信息安全的關(guān)鍵，也是安全管理的核心。隨著現(xiàn)代科學(xué)技術(shù)的不斷發(fā)展，信息化條件下的保密工作和傳統(tǒng)的保密工作已經(jīng)有了截然不同的特點(diǎn)。因此，在未來的發(fā)展過程中，對(duì)于數(shù)據(jù)信息的安全保密顯得更加重要，需要進(jìn)一步改進(jìn)相關(guān)技術(shù)，需要企業(yè)不斷努力。

參考文獻(xiàn)：

[1]趙楠 IT系統(tǒng)數(shù)據(jù)信息安全解決方案解析[期刊論文]-科技資訊 2013（15）

篇(2)

【關(guān)鍵詞】鐵路信息;安全管理;標(biāo)準(zhǔn)體系

隨著高新技術(shù)的不斷發(fā)展與完善，世界進(jìn)入了信息時(shí)代，各種信息流在短時(shí)間內(nèi)進(jìn)入到了人們生活、工作的方方面面。當(dāng)前，對(duì)信息的運(yùn)用、管理與安全保障已經(jīng)成為了人們重點(diǎn)關(guān)注的話題。傳統(tǒng)的信息安全管理通常將常規(guī)的信息系統(tǒng)安全設(shè)備作為重點(diǎn)內(nèi)容，通過這些安全設(shè)備為信息安全樹立屏障。這種方式雖然具有一定的效果，但是并沒有達(dá)到人們的期待。通過相關(guān)的實(shí)踐證明，信息安全工作需要從技術(shù)、管理與法制三個(gè)方面入手。因此，實(shí)現(xiàn)鐵路信息安全管理及其標(biāo)準(zhǔn)體系的建立已經(jīng)非常迫切。

1 信息安全管理及其標(biāo)準(zhǔn)體系建立的意義

信息安全管理體系（Information Securitry Management Syst ems，ISMS）指的是組織在整個(gè)或者特定的范圍內(nèi)，信息安全放在與目標(biāo)的建立、實(shí)現(xiàn)等需要的策略與方針體系，主要的作用是對(duì)組織的信息安全進(jìn)行保障。

首先，通過信息安全管理體系的建立，能夠促進(jìn)組織中員工信息安全意識(shí)的有效提高，能夠促進(jìn)員工信息安全行為的有效規(guī)范。通過信息安全管理體系能夠提高組織應(yīng)對(duì)突發(fā)事件的能力，提高信息管理工作的安全性與可靠性，使組織能夠進(jìn)入到高效、持續(xù)發(fā)展的良性循環(huán)中。其次，通過信息安全管理體系能夠?qū)π畔⑾到y(tǒng)進(jìn)行有效的安全風(fēng)險(xiǎn)監(jiān)管與控制，通過與風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)等工作實(shí)現(xiàn)相互之間的結(jié)合與連接，確保信息系統(tǒng)能夠在受到外部侵襲的情況下保持業(yè)務(wù)開展，同時(shí)將損失降低到最小程度。最后，通過信息安全管理體系實(shí)現(xiàn)安全管理方式的動(dòng)態(tài)化與系統(tǒng)化、制度化，確保信息安全保障能夠?qū)崿F(xiàn)成本最低、效率最高，提高組織的競(jìng)爭(zhēng)力。

2 鐵路信息安全管理及其標(biāo)準(zhǔn)體系的建立

2.1 鐵路信息安全管理體系模型

在鐵路系統(tǒng)信息安全工作的組織、實(shí)施與監(jiān)督過程中，信息安全管理體系是非常重要的基礎(chǔ)，對(duì)鐵路運(yùn)輸生產(chǎn)安全管理有著非常重要的影響。鐵路信息安全管理體系模型實(shí)際上就是對(duì)鐵路信息安全管理體系進(jìn)行了具體化的表述，使鐵路系統(tǒng)信息化安全策略，通過鐵路信息安全管理體系模型確保安全策略的完整性與一致性。

通過相關(guān)的實(shí)踐可知，鐵路信息安全管理處于持續(xù)的發(fā)展過程中，包括四個(gè)循環(huán)階段：第一，計(jì)劃階段。計(jì)劃階段是安全信息管理的準(zhǔn)備階段，為以下三個(gè)階段的活動(dòng)奠定了堅(jiān)實(shí)的基礎(chǔ)。計(jì)劃階段中包括組織建立、責(zé)任分配、目標(biāo)與策略確立等內(nèi)容，具體來講包括風(fēng)險(xiǎn)評(píng)估、安全措施選擇及安全計(jì)劃、業(yè)務(wù)計(jì)劃、培訓(xùn)技術(shù)制定等。第二，實(shí)施階段。實(shí)施階段是對(duì)計(jì)劃階段確定的目標(biāo)進(jìn)行實(shí)現(xiàn)，主要的內(nèi)容包括安全策略、安全措施、安全意識(shí)培訓(xùn)等。第三，檢查階段。檢查階段主要是通過監(jiān)視、審計(jì)、評(píng)估等手段對(duì)計(jì)劃階段目標(biāo)實(shí)施情況進(jìn)行檢查，檢查的具體內(nèi)容包括安全策略、目標(biāo)、程序及標(biāo)準(zhǔn)等，檢查結(jié)果將為下一步措施的選擇提供依據(jù)。第四，改進(jìn)階段。改進(jìn)階段主要是通過檢查結(jié)果對(duì)相應(yīng)的措施進(jìn)行改進(jìn)，如果改進(jìn)效果不佳則直接進(jìn)入到新的安全管理周期中，從而確保信息安全的發(fā)展與改進(jìn)。

2.2 鐵路信息安全管理體系建設(shè)中應(yīng)注意的問題

當(dāng)前，信息技術(shù)已經(jīng)在鐵路運(yùn)輸生產(chǎn)、經(jīng)營(yíng)、管理等多個(gè)領(lǐng)域中得到了廣泛的應(yīng)用，安全工作已經(jīng)提升到了與鐵路其他專業(yè)同等重要的地位，這也在一定程度上說明了鐵路信息安全在鐵路運(yùn)輸安全方面所發(fā)揮的重要作用。因此，在現(xiàn)代化鐵路建設(shè)中，鐵路信息安全管理體系的建設(shè)與完善已經(jīng)成為了發(fā)展的必然。在鐵路信息安全管理體系建設(shè)中應(yīng)注意的問題包括：

2.2.1 管理方法不能夠盲目照搬

國(guó)內(nèi)外在文化背景方面存在著較大的差異性，產(chǎn)生的管理方法也并不相同，在借鑒的過程中應(yīng)該將國(guó)內(nèi)鐵路實(shí)際情況作為依據(jù)，不能夠盲目照搬。當(dāng)前，國(guó)外鐵路系統(tǒng)的風(fēng)險(xiǎn)管理與安全評(píng)估往往更加的完整與規(guī)范，我國(guó)的鐵路信息系統(tǒng)卻有待于完善。我國(guó)的鐵路信息系統(tǒng)也具有自身的一些特點(diǎn)，應(yīng)該結(jié)合這些特點(diǎn)實(shí)現(xiàn)符合我國(guó)鐵路特色的信息安全管理與評(píng)估的標(biāo)準(zhǔn)體系的建立。

2.2.2 在信息安全風(fēng)險(xiǎn)管理與評(píng)估操作中采用信息技術(shù)手段

當(dāng)前，我國(guó)的鐵路信息安全風(fēng)險(xiǎn)管理與安全評(píng)估工作都是按照相關(guān)的規(guī)范與辦法進(jìn)行人工核查工作，一方面工作量比較大、效率比較低，另一方面核查成本比較高，對(duì)信息安全風(fēng)險(xiǎn)管理與安全評(píng)估工作造成一定的不良影響，可行性、有效性較低。因此，在信息安全風(fēng)險(xiǎn)管理與評(píng)估操作中采用信息技術(shù)手段。

2.2.3 注重鐵路信息系統(tǒng)的整體信息安全

在鐵路信息安全中，要注重鐵路信息系統(tǒng)的整體信息安全，不能夠以個(gè)別的單位或者部門為單位進(jìn)行關(guān)注。通過相關(guān)的實(shí)踐證明，如果沒有從總體上對(duì)鐵路信息系統(tǒng)的網(wǎng)絡(luò)安全進(jìn)行考慮與設(shè)計(jì)，局部信息安全工程必然會(huì)出現(xiàn)返工或者重做的情況。

2.3 鐵路信息安全管理體系建設(shè)的方法

鐵路信息安全管理體系具有系統(tǒng)化、程序化與文件化的特點(diǎn)，其建立的基礎(chǔ)為系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，建立的原則包括法制性原則、動(dòng)態(tài)性原則、過程性原則、合理性原則等，通過這些措施確保鐵路信息安全。鐵路信息安全管理體系中包含了非常繁雜的內(nèi)容，而且體系的規(guī)模較大、投資較多，在建設(shè)的過程中并不能夠一步到位。對(duì)于鐵路信息安全管理體系而言，不同的部門與單位應(yīng)該具有一定的特殊性，依據(jù)自身的特點(diǎn)與實(shí)際情況選擇合理的鐵路信息安全管理體系，從而更好地滿足鐵路信息系統(tǒng)整體安全要求，

鐵路信息安全管理體系建設(shè)的步驟主要包括：第一，做好鐵路信息安全管理體系的策劃工作、準(zhǔn)備工作，具體的內(nèi)容包括員工教育培訓(xùn)工作、體系建設(shè)計(jì)劃擬定工作、信息安全管理現(xiàn)狀調(diào)研工作、資源配置與管理工作。第二，明確鐵路信息安全管理體系的適用范圍，一方面要確保鐵路信息安全管理體系覆蓋到單位的整體，另一方面要確保個(gè)別部門能夠適用。第三，信息安全管理現(xiàn)狀調(diào)查，依據(jù)相關(guān)的技術(shù)與標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行處理與傳輸、存儲(chǔ)等進(jìn)行安全屬性調(diào)研工作;第四，實(shí)現(xiàn)信息安全管理框架的建立，從不同的層面對(duì)信息系統(tǒng)進(jìn)行安全規(guī)劃，實(shí)現(xiàn)安全體系與安全解決方案的建立。第五，實(shí)施信息安全管理體系運(yùn)行和改進(jìn)工作，即按照體系文件的控制要求進(jìn)行審核、批準(zhǔn)、和實(shí)施，正式進(jìn)入運(yùn)行階段。第六，實(shí)施信息安全管理體系的審核工作，即開展體系評(píng)價(jià)以獲得審核證據(jù)，用來判斷信息安全管理體系的有效性。

3 總結(jié)

在鐵路建設(shè)過程中，鐵路信息化越來越重要。只有實(shí)現(xiàn)了鐵路的信息化才能夠最終實(shí)現(xiàn)鐵路現(xiàn)代化，從而確保鐵路的快速發(fā)展。在鐵路系統(tǒng)中，一方面需要從安全技術(shù)方面下手，另一方面需要從管理方面下功夫，實(shí)現(xiàn)鐵路信息安全管理及其標(biāo)準(zhǔn)體系的建立。

參考文獻(xiàn)：

[1]周張俊.對(duì)建設(shè)鐵路信息安全管理標(biāo)準(zhǔn)體系的探討[J].鐵道經(jīng)濟(jì)研究，2014（06）.

[2]李劍鋒，鈕亮，段林茂，魏軍.供應(yīng)鏈信息安全現(xiàn)狀及體系框架研究[J].江蘇商論，2013（03）.

[3]劉剛.鐵路信息安全等級(jí)保護(hù)自查方案設(shè)計(jì)[J].鐵路計(jì)算機(jī)應(yīng)用，2015（02）.

[4]于新輝，張建，李偉濤. 基于生命周期分析信息安全管理體系[J].計(jì)算機(jī)技術(shù)與發(fā)展，2012（03）.

[5]祝詠升，周澤巖，張彥，姚洪磊.鐵路信息系統(tǒng)安全測(cè)評(píng)服務(wù)體系的研究[J].信息系統(tǒng)工程，2011（12）.

篇(3)

【關(guān)鍵詞】信息安全；評(píng)估；標(biāo)準(zhǔn)；對(duì)策

保證信息安全不發(fā)生外泄現(xiàn)象，是至關(guān)重要的。可是，現(xiàn)在我國(guó)信息安全保障和其它先進(jìn)國(guó)家相比，仍難望其項(xiàng)背，還有不少問題迫切需要我們著手解決：

中國(guó)保證信息安全工作經(jīng)歷了三個(gè)時(shí)期。第一時(shí)期是不用聯(lián)網(wǎng)，只作用于單一電腦的查殺和防控病毒軟件；第二個(gè)時(shí)期是獨(dú)立的防止病毒產(chǎn)品向?yàn)楸ＷC信息安全采用的成套裝備過渡時(shí)期；第三個(gè)時(shí)期是建設(shè)保證信息安全的系統(tǒng)時(shí)期。

1 需要解決與注意的問題

信息安全保障的內(nèi)容和深度不斷得到擴(kuò)展和加深，但依然存在著“頭痛醫(yī)頭，腳痛醫(yī)腳”的片面性，沒有從系統(tǒng)工程的角度來考慮和對(duì)待信息安全保障問題；信息安全保障問題的解決既不能只依靠純粹的技術(shù)，也不能靠簡(jiǎn)單的安全產(chǎn)品的堆砌，它要依賴于復(fù)雜的系統(tǒng)工程、信息安全工程（system security engineering）；信息安全就是人們把利用工程的理論、定義、辦法和技術(shù)進(jìn)行信息安全的開發(fā)實(shí)施與維護(hù)的經(jīng)過，是把通過歲月檢驗(yàn)證明沒有錯(cuò)誤的工程實(shí)施步驟管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法相結(jié)合的過程；由于國(guó)家8個(gè)重點(diǎn)信息系統(tǒng)和3個(gè)重點(diǎn)基礎(chǔ)網(wǎng)絡(luò)本身均為復(fù)雜的大型信息系統(tǒng)，因此必須采用系統(tǒng)化方法對(duì)其信息安全保障的效果和長(zhǎng)效性進(jìn)行評(píng)估。

2 安全檢測(cè)標(biāo)準(zhǔn)

2.1 CC 標(biāo)準(zhǔn)

1993年6月，美國(guó)、加拿大及歐洲四國(guó)協(xié)商共同起草了《信息技術(shù)安全評(píng)估公共標(biāo)準(zhǔn)CCITSE（commoncriteria of information technical securityevaluation）》，簡(jiǎn)稱 CC，它是國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的結(jié)果。CC標(biāo)準(zhǔn)，一方面可以支持產(chǎn)品（最終已在系統(tǒng)中安裝的產(chǎn)品）中安全特征的技術(shù)性要求評(píng)估，另一方面描述了用戶對(duì)安全性的技術(shù)需求。然而，CC 沒有包括對(duì)物理安全、行政管理措施、密碼機(jī)制等方面的評(píng)估，且未能體現(xiàn)動(dòng)態(tài)的安全要求。因此，CC標(biāo)準(zhǔn)主要還是一套技術(shù)性標(biāo)準(zhǔn)。

2.2 BS 7799標(biāo)準(zhǔn)

BS 7799標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制定的信息安全管理標(biāo)準(zhǔn)，是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，包括：BS 7799-1∶1999《信息安全管理實(shí)施細(xì)則》是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性的準(zhǔn)則；BS7799-2∶2002 以 BS 7799-1∶1999為指南，詳細(xì)說明按照 PDCA 模型，建立、實(shí)施及文件化信息安全管理體系（ISMS）的要求。

2.3 SSE-CMM 標(biāo)準(zhǔn)

SSE-CMM（System Security EngineeringCapability Maturity Model）模型是 CMM 在系統(tǒng)安全工程這個(gè)具體領(lǐng)域應(yīng)用而產(chǎn)生的一個(gè)分支，是美國(guó)國(guó)家安全局（NSA）領(lǐng)導(dǎo)開發(fā)的，它專門用于系統(tǒng)安全工程的能力成熟度模型。

3 網(wǎng)絡(luò)安全框架考察的項(xiàng)目

對(duì)網(wǎng)絡(luò)安全進(jìn)行考察的項(xiàng)目包括：限制訪問以及網(wǎng)絡(luò)審核記錄：對(duì)網(wǎng)絡(luò)涉及的區(qū)域進(jìn)行有效訪問控制；對(duì)網(wǎng)絡(luò)實(shí)施入侵檢測(cè)和漏洞評(píng)估；進(jìn)行網(wǎng)絡(luò)日志審計(jì)并統(tǒng)一日志時(shí)間基準(zhǔn)線；網(wǎng)絡(luò)框架：設(shè)計(jì)適宜的拓?fù)浣Y(jié)構(gòu)；合乎系統(tǒng)需求的區(qū)域分界；對(duì)無線網(wǎng)接入方式進(jìn)行選擇方式；對(duì)周邊網(wǎng)絡(luò)接入進(jìn)行安全控制和冗余設(shè)計(jì)；對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和管理；對(duì)網(wǎng)絡(luò)設(shè)備和鏈路進(jìn)行冗余設(shè)計(jì)；網(wǎng)絡(luò)安全管理：采用安全的網(wǎng)絡(luò)管理協(xié)議；建立網(wǎng)絡(luò)安全事件響應(yīng)體系；對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全管理。網(wǎng)絡(luò)設(shè)備是否進(jìn)行了安全配置，并且驗(yàn)證設(shè)備沒有已知的漏洞等。對(duì)網(wǎng)絡(luò)設(shè)置密碼：在網(wǎng)絡(luò)運(yùn)輸過程中可以根據(jù)其特點(diǎn)對(duì)數(shù)字設(shè)置密碼；在認(rèn)證設(shè)備時(shí)對(duì)比較敏感的信息進(jìn)行加密。

4 安全信息檢測(cè)辦法

4.1 調(diào)整材料和訪問

調(diào)整材料和訪問是對(duì)安全信息檢測(cè)的手段。評(píng)估人員首先通過對(duì)信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D、安全運(yùn)作記錄、相關(guān)的管理制度、規(guī)范、技術(shù)文檔、歷史事件、日志等的研究和剖析，從更高的層次上發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的安全脆弱性。并找準(zhǔn)信息資產(chǎn)體現(xiàn)為一個(gè)業(yè)務(wù)流時(shí)所流經(jīng)的網(wǎng)絡(luò)節(jié)點(diǎn)，查看關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)的設(shè)備安全策略是否得當(dāng)，利用技術(shù)手段驗(yàn)證安全策略是否有效。評(píng)估專家經(jīng)驗(yàn)在安全顧問咨詢服務(wù)中處于不可替代的關(guān)鍵地位。通過對(duì)客戶訪談、技術(shù)資料進(jìn)行分析，分析設(shè)備的安全性能，而且注意把自己的實(shí)際體會(huì)納入網(wǎng)絡(luò)安全的檢測(cè)中。

4.2 工具發(fā)現(xiàn)

工具發(fā)現(xiàn)是利用掃描器掃描設(shè)備上的缺陷，發(fā)現(xiàn)危險(xiǎn)的地方和錯(cuò)誤的配置。利用檢測(cè)掃描數(shù)據(jù)庫、應(yīng)用程序和主機(jī)，利用已有的安全漏洞知識(shí)庫，模擬黑客的攻擊方法，檢測(cè)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各主機(jī)設(shè)備所存在的安全隱患和漏洞。漏洞掃描主要依靠帶有安全漏洞知識(shí)庫的網(wǎng)絡(luò)安全掃描工具對(duì)信息資產(chǎn)進(jìn)行基于網(wǎng)絡(luò)層面安全掃描，其特點(diǎn)是能對(duì)被評(píng)估目標(biāo)進(jìn)行覆蓋面廣泛的安全漏洞查找，并且評(píng)估環(huán)境與被評(píng)估對(duì)象在線運(yùn)行的環(huán)境完全一致，從而把主機(jī)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備中存在的不利于安全的因素恰切地展現(xiàn)出來。

4.3 滲透評(píng)估

滲透評(píng)估是為了讓使用的人員能夠知道網(wǎng)絡(luò)當(dāng)前存在的危險(xiǎn)以及會(huì)產(chǎn)生的后果，從而進(jìn)行預(yù)防。滲透評(píng)估的關(guān)鍵是經(jīng)過辨別業(yè)務(wù)產(chǎn)業(yè)，搭配一定手段進(jìn)行探測(cè)，判斷可能存在的攻擊路徑，并且利用技術(shù)手段技術(shù)實(shí)現(xiàn)。由于滲透測(cè)試偏重于黑盒測(cè)試，因此可能對(duì)被測(cè)試目標(biāo)造成不可預(yù)知的風(fēng)險(xiǎn)；此外對(duì)于性能比較敏感的測(cè)試目標(biāo)，如一些實(shí)時(shí)性要求比較高的系統(tǒng)，由于滲透測(cè)試的某些手段可能引起網(wǎng)絡(luò)流量的增加，因此可能會(huì)引起被測(cè)試目標(biāo)的服務(wù)質(zhì)量降低。由于中國(guó)電信運(yùn)營(yíng)商的網(wǎng)絡(luò)規(guī)范龐大，因此在滲透測(cè)試的難度也較大。因此，滲透層次上既包括了網(wǎng)絡(luò)層的滲透測(cè)試，也包括了系統(tǒng)層的滲透測(cè)試及應(yīng)用層的滲透測(cè)試。合法滲透測(cè)試的一般流程為兩大步驟，即預(yù)攻擊探測(cè)階段、驗(yàn)證攻擊階段、滲透實(shí)施階段。不涉及安裝后門、遠(yuǎn)程控制等活動(dòng)。

我國(guó)信息安全要想得到保證，需要有一定的信息安全監(jiān)測(cè)辦法。依靠信息安全監(jiān)測(cè)辦法對(duì)中國(guó)業(yè)務(wù)系統(tǒng)和信息系統(tǒng)整體分析和多方面衡量，將對(duì)中國(guó)信息安全結(jié)論的量化提供強(qiáng)有力的幫助，給我國(guó)所做出的重要決策實(shí)行保密，對(duì)中國(guó)籌劃安全信息建設(shè)以及投入，甚至包括制定安全信息決策、探究與拓寬安全技術(shù)，都至關(guān)重要。因而，制定我國(guó)信息安全檢測(cè)辦法，是一項(xiàng)不容忽視的重要工作。

【參考文獻(xiàn)】

[1]曹一家，姚歡，黃小慶，等.基于D-S證據(jù)理論的變電站通信系統(tǒng)信息安全評(píng)估[J].電力自動(dòng)化設(shè)備，2011，31（6）：1-5.

[2]焦波，李輝，黃東，等.基于變權(quán)證據(jù)合成的信息安全評(píng)估[J].計(jì)算機(jī)工程，2012，38（21）：126-128，132.

[3]張海霞，連一峰.基于測(cè)試床模擬的通用安全評(píng)估框架[J].信息網(wǎng)絡(luò)安全，2013，（z1）：13-16.

篇(4)

[關(guān)鍵詞] 信息安全市場(chǎng) 管理軟件 藍(lán)海定位點(diǎn)

在國(guó)內(nèi)隨著信息安全產(chǎn)品成為炙手可熱的焦點(diǎn)，網(wǎng)絡(luò)設(shè)備廠商與專業(yè)信息安全廠商之間戰(zhàn)火重燃。從此前的思科、H3C進(jìn)軍安全市場(chǎng)，到2006年百度以“整合資源”的方式高調(diào)進(jìn)人，可以看出更多的網(wǎng)絡(luò)企業(yè)越來越關(guān)注信息安全產(chǎn)業(yè)。不能否認(rèn)，這對(duì)于當(dāng)前整體安全領(lǐng)域的形勢(shì)是有利的，但網(wǎng)絡(luò)設(shè)備廠商與專業(yè)安全廠商之間的競(jìng)爭(zhēng)，對(duì)于先占市場(chǎng)先機(jī)的專業(yè)安全廠商仍是一個(gè)嚴(yán)峻的挑戰(zhàn)。因此，身處競(jìng)爭(zhēng)激烈的信息安全市場(chǎng)的專業(yè)安全廠商，應(yīng)如何恰當(dāng)?shù)剡x擇屬于自己的“藍(lán)海”，延續(xù)在信息安全市場(chǎng)的些許優(yōu)勢(shì)尤為重要。

一、信息安全市場(chǎng)現(xiàn)狀

在網(wǎng)絡(luò)安全產(chǎn)品的平行市場(chǎng)中，政府繼續(xù)保持了市場(chǎng)份額第一位，電信和金融行業(yè)的市場(chǎng)份額分列第二和第三位，這主要得益于電子政務(wù)市場(chǎng)保持高速的增長(zhǎng)，而電信、金融等行業(yè)的信息化建設(shè)相對(duì)放緩。從各類IT安全產(chǎn)品部署情況來看，“防病毒系統(tǒng)”、“防火墻”、和“入侵檢測(cè)與防御系統(tǒng)”仍然是最常見的安全產(chǎn)品。在2007年，SSL VPN在用戶得普及程度也逐步擴(kuò)大，已經(jīng)有接近15.2%得用戶部署了SSL VPN產(chǎn)品。而對(duì)于一些高級(jí)的安全產(chǎn)品，比如“企業(yè)資源管理”和“系統(tǒng)漏洞評(píng)估系統(tǒng)”等，部署的用戶則較少。

二、信息安全行業(yè)本質(zhì)

1.信息安全市場(chǎng)需求特征

從需求方而言，對(duì)信息安全的迫切需求，即在信息廣泛流通而導(dǎo)致的巨大風(fēng)險(xiǎn)時(shí)，就有了對(duì)信息安全的需求。因此，信息產(chǎn)業(yè)發(fā)展得越快，對(duì)信息安全產(chǎn)品的需求也就越大。在中國(guó)網(wǎng)絡(luò)安全產(chǎn)品的垂直市場(chǎng)中，政府、大中型企業(yè)仍占據(jù)最大市場(chǎng)份額，但市場(chǎng)份額同比有所降低；教育和家庭市場(chǎng)對(duì)于網(wǎng)絡(luò)安全產(chǎn)品的需求較為平穩(wěn)，市場(chǎng)份額變化不大。影響信息安全產(chǎn)品市場(chǎng)需求的主要因素有以下幾個(gè)：(1)信息本身帶給使用者的收益大小：收益越大，要求保護(hù)的愿望越強(qiáng)烈，對(duì)信息安全產(chǎn)品的需求也就越強(qiáng)烈。(2)信息的流動(dòng)渠道暢通程度和被攻擊的可能性(外部環(huán)境的安全性)：渠道越暢通，信息資源共享越深入，信息流傳開的可能性越大，損失產(chǎn)生的可能性也就越大，對(duì)信息安全產(chǎn)品的需求也就越大。(3)對(duì)信息安全產(chǎn)品需求還具有一個(gè)突出特點(diǎn)：對(duì)選定的往往希望它與其他各種信息產(chǎn)品具有兼容性。由此可見，信息本身對(duì)使用者收益越大、信息流動(dòng)越暢通、被攻擊可能性越大的用戶越可能成為信息安全產(chǎn)品市場(chǎng)的聚焦點(diǎn)。

2.信息安全需求本質(zhì)

（1)三分技術(shù)、七分管理。信息系統(tǒng)已經(jīng)成為政府及企業(yè)這個(gè)復(fù)雜系統(tǒng)中的神經(jīng)網(wǎng)絡(luò)。一個(gè)政府或企業(yè)，管理信息的機(jī)密性、完整性和認(rèn)證性深刻地影響著企業(yè)的生產(chǎn)經(jīng)營(yíng)管理。因此，現(xiàn)代政府和企業(yè)需要構(gòu)建和維護(hù)安全的信息系統(tǒng)，而這并不是僅僅依靠計(jì)算機(jī)技術(shù)人員就能夠完成的。信息安全主要是一個(gè)管理問題，而不是技術(shù)問題。

（2)無法測(cè)量，就無從管理。信息安全“三分技術(shù)，七分管理”的思想已被廣泛接受，然而在實(shí)際的安全實(shí)踐中，安全管理依然被人們忽視。導(dǎo)致這種局面的一個(gè)重要原因是安全管理的效果未能得到科學(xué)的評(píng)價(jià)。一方面安全管理的有效性難以評(píng)價(jià)，相對(duì)于安全技術(shù)，安全管理包括了眾多的非量化的難以測(cè)量的因素，所以評(píng)價(jià)工作難度較大；另一方面，人們過分依賴信息安全技術(shù)的實(shí)踐應(yīng)用，而對(duì)于安全管理的評(píng)價(jià)研究卻比較零散。

（3)安全問題以“短板”為切入點(diǎn)。雖然制訂了較多的制度和標(biāo)準(zhǔn)，當(dāng)信息化發(fā)展到一定程度，這些制度就顯得很單薄，就事論事的管理方式必然會(huì)產(chǎn)生安全管理的盲區(qū)。

（4)動(dòng)態(tài)管理。在信息安全管理過程中，重點(diǎn)是抓好人員安全、風(fēng)險(xiǎn)評(píng)估、信息安全事件、保持業(yè)務(wù)持續(xù)性等重要環(huán)節(jié)，采取明確職責(zé)、動(dòng)態(tài)檢查、嚴(yán)格考核等措施，使信息安全走上常態(tài)管理之路。

三、藍(lán)海的定位點(diǎn)――信息安全管理軟件

近期，《Information Week》研究部和埃森哲咨詢公司合作進(jìn)行了第九年度“全球安全調(diào)查”，該調(diào)查全面揭示了商業(yè)計(jì)算環(huán)境所面臨的各種威脅。在受訪者當(dāng)中，有57%的美國(guó)公司表示在過去一年中曾遭受病毒攻擊，34%曾受到蠕蟲的攻擊，18%經(jīng)歷了拒絕服務(wù)攻擊；而中國(guó)的情形更差一些，有23%的公司表示其客戶數(shù)據(jù)安全受到威脅，27%的公司遭受了身份竊取形式的攻擊，受訪的2193名安全專家和商業(yè)經(jīng)理中，58%的人認(rèn)為安全管理已成為當(dāng)務(wù)之急。可見，信息安全需求主體必將對(duì)信息安全管理的軟件產(chǎn)品與服務(wù)產(chǎn)生迫切的需求。

針對(duì)安全管理的疏忽和漏洞統(tǒng)計(jì)及動(dòng)態(tài)處理的相關(guān)解決方案必將有極強(qiáng)的吸附性。實(shí)際上目前一個(gè)組織對(duì)信息安全政策的實(shí)施度、信息安全保障的實(shí)際效果等都亟需客觀系統(tǒng)性的評(píng)價(jià)，而軟件行業(yè)的解決方案將準(zhǔn)確高效的處理這些復(fù)雜的系統(tǒng)工程難題。

國(guó)際信息安全管理度量標(biāo)準(zhǔn)及模式開始在我國(guó)被廣泛認(rèn)可。但信息安全管理標(biāo)準(zhǔn)是抽象的,因此在實(shí)施過程中需要選用那些已經(jīng)對(duì)其進(jìn)行充分量化的信息安全管理軟件,通過這些軟件,組織可以盡早的發(fā)現(xiàn)其內(nèi)部的信息安全管理中所存在的薄弱點(diǎn)和威脅,并制定出決策方案使其損失降至最低。目前國(guó)外較常用的ASSET、COBRA和Callio Secura 17799三款軟件。

信息技術(shù)及管理學(xué)科的人才力量。在科研人才方面，目前我國(guó)重點(diǎn)高校都設(shè)置了與信息安全相關(guān)的專業(yè)，在管理學(xué)科領(lǐng)域，也出現(xiàn)了一些依托互聯(lián)網(wǎng)技術(shù)而產(chǎn)生的新專業(yè)。從職場(chǎng)人才來看，我國(guó)已具備了一批有戰(zhàn)斗力的網(wǎng)絡(luò)警察、反病毒工程師、紅客(信息安全員)等。與此同時(shí)，我國(guó)組織了大量的信息安全領(lǐng)域?qū)＜遥闪⒘酥袊?guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)等，為領(lǐng)導(dǎo)和指揮我國(guó)信息安全產(chǎn)業(yè)的發(fā)展提供了穩(wěn)固的人才基礎(chǔ)。

參考文獻(xiàn):

篇(5)

【關(guān)鍵詞】電子檔案；開放利用；信息安全保障；問題與對(duì)策

一、我國(guó)電子檔案安全管理發(fā)展現(xiàn)狀分析

電子檔案是依附于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展起來的，進(jìn)入21世紀(jì)后，電子檔案逐漸取代傳統(tǒng)書面檔案管理模式。隨著計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)的不斷改革和創(chuàng)新。電子檔案的管理模式、存在類型、儲(chǔ)存方式都發(fā)生了很大的變化，檔案的數(shù)據(jù)化管理和自動(dòng)化管理是電子檔案管理發(fā)展的重要方向。電子檔案信息泄漏、盜竊事件，在各國(guó)家檔子檔案管理中頻發(fā)，這種“盜竊”現(xiàn)象不僅給國(guó)家?guī)砹司薮蟮慕?jīng)濟(jì)損失，也降低了電子檔案信息管理的可信度。如何提高電子檔案信息管理的安全性、穩(wěn)定性已成為廣大計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)人員研究談?wù)摰臒狳c(diǎn)問題，本文針對(duì)電子檔案形成、處理、儲(chǔ)存、運(yùn)輸?shù)确矫鎲栴}進(jìn)行深入分析和研究，探討對(duì)電子檔案安全管理有效的解決對(duì)策。

二、電子檔案信息安全面臨的威脅和問題

（一）電子檔案信息安全特點(diǎn)

網(wǎng)絡(luò)安全是電子檔案信息安全的重要保證，所以互聯(lián)網(wǎng)是電子檔案信息安全管理的前提，電子檔案信息安全主要體現(xiàn)在以下幾個(gè)方面：（1）電子檔案信息的真實(shí)性，電子檔案信息在開放利用過程中會(huì)經(jīng)常被“篡改”，任何網(wǎng)絡(luò)用戶都可以根據(jù)自己的個(gè)人意愿決定電子檔案信息的內(nèi)容；（2）電子檔案信息的完整性，電子檔案信息在虛擬的網(wǎng)絡(luò)環(huán)境下，經(jīng)常會(huì)受到黑客、病毒的攻擊，這種惡意攻擊會(huì)嚴(yán)重影響電子檔案信息的完整性；（3）電子檔案信息的長(zhǎng)效性，數(shù)字檔案信息對(duì)網(wǎng)絡(luò)的依賴性很強(qiáng)，一旦網(wǎng)絡(luò)癱瘓，那么電子檔案信息也會(huì)隨之消失，所以要想保證網(wǎng)絡(luò)信息的長(zhǎng)效性，必須提高國(guó)家互聯(lián)網(wǎng)的安全性能和維護(hù)力度。

（二）影響電子信息安全的因素

1. 網(wǎng)絡(luò)安全

綜上分析可知，網(wǎng)絡(luò)是電子檔案信息實(shí)現(xiàn)儲(chǔ)存、傳輸?shù)闹饕d體，網(wǎng)絡(luò)的安全對(duì)電子檔案的安全管理具有重要影響意義，目前網(wǎng)絡(luò)安全維護(hù)方面存在很多問題，其結(jié)構(gòu)的不嚴(yán)謹(jǐn)性、不穩(wěn)定性、脆弱性，導(dǎo)致電子信息面臨著嚴(yán)峻的網(wǎng)絡(luò)安全隱患。因?yàn)殡娮訖n案信息在開放利用的環(huán)境下進(jìn)行信息交流，所以國(guó)家通常不會(huì)對(duì)其網(wǎng)絡(luò)進(jìn)行信息訪問權(quán)限。

2. 外部環(huán)境不穩(wěn)定

外部環(huán)境對(duì)電子檔案硬件設(shè)備的威脅很大，其帶來的安全問題有可能會(huì)直接導(dǎo)致電子檔案信息的停運(yùn)、丟失、損壞。電源是維持整個(gè)電子檔案系統(tǒng)正常運(yùn)營(yíng)的重要硬件，如果電源不穩(wěn)定，那么電子檔案也會(huì)受到安全威脅。因?yàn)楣I(yè)技術(shù)的不斷發(fā)展，很多企業(yè)的電子檔案都是在強(qiáng)磁、強(qiáng)壓、強(qiáng)輻射的環(huán)境下運(yùn)行的，計(jì)算機(jī)網(wǎng)絡(luò)會(huì)受到這些外部環(huán)境的影響，使其電子檔案信息在儲(chǔ)存、傳輸過程中出現(xiàn)“安全危機(jī)”問題。

3. 電子檔案信息的滯后性

1996年國(guó)家檔案局就成立了電子文件歸檔與電子檔案管理研究領(lǐng)導(dǎo)小組，開展電子文檔管理方法、技術(shù)、標(biāo)注和構(gòu)建管理體系等方面的研究，經(jīng)過多年研究和發(fā)展，電子檔案管理辦法雖然已經(jīng)取得了顯著成績(jī)，但是電子檔案信息的滯后性仍影響著電子檔案信息的安全發(fā)展。

三、提高電子檔案信息安全性的幾點(diǎn)合理性建議

本文通過對(duì)電子檔案信息安全問題進(jìn)行系統(tǒng)分析可知，要想在開放利用環(huán)境下實(shí)現(xiàn)電子檔案的安全管理，必須從根本入手，深化國(guó)家安全網(wǎng)絡(luò)基礎(chǔ)建設(shè)，設(shè)置網(wǎng)絡(luò)安全屏障，其具體實(shí)施步驟如下：（1）建立穩(wěn)定的網(wǎng)絡(luò)環(huán)境，加強(qiáng)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)，提高計(jì)算機(jī)、儲(chǔ)存設(shè)備的防水、防火、抗震性能；（2）摒棄傳統(tǒng)的電子檔案安全管理觀念，從思想上認(rèn)識(shí)電子檔案信息安全管理的必要性和重要性；（3）培養(yǎng)公眾檔案維護(hù)意識(shí)，為電子檔案信息安全保護(hù)奠定堅(jiān)實(shí)的群眾基礎(chǔ)；（4）設(shè)置安全保障屏障，積極開發(fā)先進(jìn)技術(shù)，如，路由安全技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測(cè)技術(shù)、病毒查殺技術(shù)等；（5）建立完善的電子檔案信息安全保障體系，圍繞電子檔案信息的安全管理目標(biāo)，確定電子安全信息管理的指導(dǎo)思想，深入探討管理措施、管理內(nèi)容、管理要求；（6）明確各部門電子檔案信息安全管理職責(zé)和支撐體系，如安全防護(hù)技術(shù)支撐、法律法規(guī)支撐、環(huán)境和設(shè)備安全支撐，人才資金支撐，讓電子檔案安全信息管理成為全社會(huì)共同努力的信息安全保障的目標(biāo)。

四、結(jié)語

通過上文對(duì)電子檔案信息安全管理進(jìn)行分析可知，我國(guó)有關(guān)電子檔案信息安全管理中仍存在很多管理漏洞，要想提高社會(huì)電子檔案信息的資源共享性和安全性，必須提升電子檔案信息安全管理地位，使電子檔案信息安全管理問題成為全國(guó)關(guān)注的焦點(diǎn)問題。

參考文獻(xiàn)

[1] 馬仁杰，劉俊玲.論電子檔案開放利用中信息安全保障存在的問題與對(duì)策[J].檔案學(xué)通訊，2012，13（04）：101-113.

[2] 陳振.檔案開放利用與信息安全保障研究[J].山東大學(xué)學(xué)報(bào)，2013（06）：103-115.

篇(6)

關(guān)鍵詞：信息安全；勒索病毒；黑客

針對(duì)最近出現(xiàn)的勒索病毒，某油田生產(chǎn)型企業(yè)通過網(wǎng)絡(luò)與信息安全情況通報(bào)，并采取緊急相關(guān)措施，包括斷網(wǎng)、及時(shí)更新操作系統(tǒng)補(bǔ)丁、更新MicrosoftOffice/wordpad遠(yuǎn)程執(zhí)行代碼漏洞、禁用WMI服務(wù)、禁用445端口等措施，及時(shí)避免勒索病毒。通過此次信息安全事件，我們進(jìn)行了深入細(xì)致地分析，為今后生產(chǎn)型油田企業(yè)提供了寶貴的信息安全意見及措施方案。

1分析結(jié)論

1.1網(wǎng)絡(luò)情況分析

目前，企業(yè)內(nèi)部是內(nèi)部網(wǎng)絡(luò)，與外部網(wǎng)絡(luò)進(jìn)行隔離;通過指定服務(wù)器授權(quán)，內(nèi)部用戶才能連接到外部網(wǎng)絡(luò)。企業(yè)內(nèi)部網(wǎng)絡(luò)，根據(jù)區(qū)域不同，分為不同的區(qū)域段、不同段域；同時(shí)，由于生產(chǎn)原因，又分為陸地網(wǎng)絡(luò)和海上網(wǎng)絡(luò)；陸地和海上網(wǎng)絡(luò)通過衛(wèi)星、微波等方式進(jìn)行連接。

1.2個(gè)人辦公電腦信息安全情況分析

個(gè)人辦公電腦，主要是以Windows7及以上版本為主；辦公軟件以O(shè)ffice\OutLook為主；同時(shí)由于專業(yè)、工作原因，各個(gè)技術(shù)人員會(huì)使用專業(yè)化很強(qiáng)的軟件。比如AutoCAD、ProE等。其中，還存在一定數(shù)量的WindowsXP操作系統(tǒng)的用戶，此情況以老同志居多。存在著信息安全意識(shí)不強(qiáng)，不想升級(jí)及僥幸心理等。針對(duì)Windows操作系統(tǒng)及Office\OutLook，定期進(jìn)行系統(tǒng)補(bǔ)丁檢查。而專業(yè)化很強(qiáng)軟件，一般采取服務(wù)器用戶ID授權(quán)模式。但仍然感覺存在不同信息安全。

1.3服務(wù)器、工作站安全情況分析

(1）機(jī)房與外界采取防火墻隔離；服務(wù)器與外網(wǎng)，進(jìn)行斷開處理；(2）服務(wù)器一般采取虛擬機(jī)管理；（虛擬機(jī)采用SymantecEndpointProtection進(jìn)行病毒、漏洞管理）(3）服務(wù)器采取本地備份、異地備份等各種方式。(4）信息中心、數(shù)據(jù)中心都建立系統(tǒng)測(cè)試服務(wù)器，最大可能保證信息系統(tǒng)及軟件系統(tǒng)的安全性。

2信息安全防護(hù)技術(shù)方法及措施

2.1信息安全防護(hù)管理方面要求

(1）提高信息安全意識(shí)(2）有效地進(jìn)行信息安全培訓(xùn)(3）針對(duì)組織管理上存在漏洞，信息化管理進(jìn)行把控(4）定期進(jìn)行信息安全演練，做好防護(hù)意識(shí)

2.2個(gè)人計(jì)算機(jī)電腦防護(hù)

(1）安裝殺毒軟件，及時(shí)更新系統(tǒng)補(bǔ)丁(2）對(duì)于陌生郵件，提高警惕，避免打開(3）打開防火墻，設(shè)置安全接入規(guī)則(4）安裝專業(yè)軟件，需在信息管理人員指導(dǎo)下完成(5）個(gè)人計(jì)算機(jī)重要資料，要定期進(jìn)行備份處理

2.3服務(wù)器及工作站建立總體防護(hù)體系

在油田生產(chǎn)型企業(yè)中，服務(wù)器、工作站是信息安全管理中的重中之中，因此必須要對(duì)此進(jìn)行重點(diǎn)信息安全管理及防護(hù)。(1)加強(qiáng)機(jī)房管理建立機(jī)房管理制度，禁止陌生人進(jìn)入機(jī)房并接入機(jī)房網(wǎng)絡(luò)；如需接入網(wǎng)絡(luò)，需向信息安全人員提出申請(qǐng)并進(jìn)行嚴(yán)格審批。關(guān)于軟件信息系統(tǒng)測(cè)試及，請(qǐng)?jiān)谥付y(cè)試服務(wù)器上完成其相關(guān)信息安全檢查。只有通過信息安全檢查后，才可以部署在生產(chǎn)服務(wù)器上。機(jī)房要有相關(guān)災(zāi)備方案及措施。(2)加強(qiáng)防火墻管理防火墻對(duì)于服務(wù)器及工作站來說，就相當(dāng)于其衛(wèi)兵；只有嚴(yán)格制定物理防火墻的相關(guān)準(zhǔn)入、準(zhǔn)出規(guī)則、訪問機(jī)制，并定期進(jìn)行接入接出數(shù)據(jù)端口掃描工作同，及時(shí)發(fā)現(xiàn)頻繁或異常點(diǎn)，并進(jìn)行跟蹤、研究、調(diào)查，及時(shí)避免漏洞出現(xiàn)。(3)建立信息安全管理信息系統(tǒng)企業(yè)及公司可建立總體信息安全管理信息系統(tǒng)，從一般信息安全培訓(xùn)到專業(yè)防護(hù)指導(dǎo)；從對(duì)普通用戶計(jì)算機(jī)漏洞掃描到專業(yè)服務(wù)器平常日志、端口數(shù)據(jù)分析異常點(diǎn)，軟件授權(quán)、用戶認(rèn)證等，建立統(tǒng)一、整體、完善的管理信息系統(tǒng)，從而提高整體信息安全管理水平。

2.4內(nèi)部需要加強(qiáng)認(rèn)證

油田生產(chǎn)型企業(yè)，由于其工作性質(zhì)決定其在內(nèi)部網(wǎng)絡(luò)、系統(tǒng)程序等方面，需要加強(qiáng)認(rèn)證機(jī)制。建立良好的認(rèn)證管理流程，從申請(qǐng)到接入，從信息系統(tǒng)用戶管理等方面加強(qiáng)管理。從而避免惡意用戶或程序訪問及接入。同時(shí)還要通過整體網(wǎng)絡(luò)系統(tǒng)掃描機(jī)制，可以有效防護(hù)惡意攻擊。

3結(jié)語

通過上述信息安全分析，油田生產(chǎn)型企業(yè)信息安全總體上處于安全級(jí)別，能夠有效避免、防護(hù)病毒攻擊及系統(tǒng)漏洞。但在細(xì)節(jié)上仍然存在一些漏洞：1)、網(wǎng)絡(luò)上存在可以隨意接入未認(rèn)證個(gè)人電腦的可能性；2）、內(nèi)部個(gè)人計(jì)算機(jī)存在通過郵件、通信網(wǎng)絡(luò)等方式被攻擊模式；3）、服務(wù)器端仍存在補(bǔ)丁不及時(shí)、病毒庫更新延遲等情況；4）服務(wù)端無法識(shí)別內(nèi)部網(wǎng)絡(luò)內(nèi)的安全用戶和陌生用戶；5）遠(yuǎn)程傳輸數(shù)據(jù)仍有可能被攻擊的可能性等。信息安全仍然需要關(guān)注，需要不斷提升管理、技術(shù)及防護(hù)水平。為信息安全管理提供了參考。具體意見如下：(1)加強(qiáng)信息安全防護(hù)管理方面要求，不僅用戶意識(shí)到組織管理，從個(gè)人計(jì)算機(jī)漏洞管理到信息系統(tǒng)的管理，都需要加強(qiáng)信息安全防護(hù)管理方面要求。從各個(gè)層面，加強(qiáng)信息安全漏洞及缺失點(diǎn)管控。(2)重點(diǎn)加強(qiáng)服務(wù)器及工作站信息安全管理工作，通過防火墻、機(jī)房管理制度、軟件專業(yè)漏洞掃描工具使用、機(jī)房災(zāi)備、信息系統(tǒng)的安全管理等各個(gè)方面加強(qiáng)管理。(3)內(nèi)部認(rèn)證制度建立，更好防護(hù)網(wǎng)絡(luò)的安全性，從根本上杜絕惡意接入和惡意破環(huán)。(4)建立整體企業(yè)信息安全管理信息系統(tǒng)，提高整體信息安全管理水平。

參考文獻(xiàn)：

[1]DafyddStuttard、MarcusPinto[著]石華耀、傅志紅[譯]，黑客攻防技術(shù)寶典WEB實(shí)戰(zhàn)篇（第2版），人民郵電出版社，2012-7:115-207.

篇(7)

一、電子檔案中信息安全管理的必要性

電子檔案對(duì)于企業(yè)來說是一種無形資產(chǎn)，尤其是在網(wǎng)絡(luò)化、信息化日益重要的21世紀(jì)，電子檔案信息更是企業(yè)所有的一種不可估量的無形價(jià)值，對(duì)于某些單位來說，電子檔案不僅是記載重要客戶信息的載體，同時(shí)又是企業(yè)成功開拓市場(chǎng)的重要信息資源，此外，重視并建立起電子檔案信息安全管理系統(tǒng)，對(duì)于某些企業(yè)來說，不僅是對(duì)客戶的隱私的保護(hù)，同時(shí)又是取得客戶信任的重要前提，亦是在激烈的市場(chǎng)競(jìng)爭(zhēng)中立于不敗之地的重要保障。

二、電子檔案中信息安全管理存在的問題

網(wǎng)絡(luò)環(huán)境是一個(gè)極為復(fù)雜的虛擬環(huán)境，其帶有很大的安全隱患，使得電子檔案管理在網(wǎng)絡(luò)環(huán)境下存在很大的風(fēng)險(xiǎn)及漏洞，出現(xiàn)泄密、偽造等問題，給電子檔案管理工作帶來很多的挑戰(zhàn)與潛在風(fēng)險(xiǎn)。

（一）黑客入侵

我國(guó)高校越來越重視對(duì)電子計(jì)算機(jī)技術(shù)人員的培養(yǎng)，一方面為我國(guó)經(jīng)濟(jì)發(fā)展輸送了大量知識(shí)技術(shù)型人才，另一方面也出現(xiàn)了一些黑客分子。這些人擁有很高的計(jì)算機(jī)水平，專門攻破各網(wǎng)站，并獲取大量電子信息資源，以謀取個(gè)人利益，給電子檔案信息安全管理帶來了威脅。

（二）計(jì)算機(jī)病毒的傳播

計(jì)算機(jī)病毒的傳播形式多樣，即使一個(gè)鏈接也可能是潛在的計(jì)算機(jī)病毒。電腦系統(tǒng)一旦染上這些病毒，嚴(yán)重威脅到了電子檔案信息的安全性。

（三）個(gè)別檔案管理人員職業(yè)道德素質(zhì)的低下

個(gè)別單位的電子檔案管理人員在金錢等其他方面的誘惑下，違背自己的職業(yè)操守，以非法的途徑向某些單位人員出售電子檔案信息。

三、電子檔案中信息安全管理問題的解決措施

電子檔案的信息安全管理主要表現(xiàn)為對(duì)信息安全存在的潛在風(fēng)險(xiǎn)的一種主動(dòng)性預(yù)防和控制，是為減少甚至是杜絕信息安全管理出現(xiàn)漏洞時(shí)，給個(gè)人或者企事業(yè)單位所帶來的損失。

（一）開發(fā)研究更加嚴(yán)密、技術(shù)水平

更高的電子檔案管理系統(tǒng)。在電子檔案管理系統(tǒng)的開發(fā)設(shè)計(jì)上，應(yīng)該聘請(qǐng)具有更高資格、更高技術(shù)水平的計(jì)算機(jī)專業(yè)人才進(jìn)行開發(fā)設(shè)計(jì)，并設(shè)置多道保護(hù)程序，進(jìn)行反復(fù)試驗(yàn)，尋找潛在的風(fēng)險(xiǎn)漏洞，一旦發(fā)現(xiàn)，立刻修補(bǔ)。

（二）安裝防火墻和殺毒軟件

為保障單位電子檔案資源的安全性，應(yīng)督促單位安裝防火墻，保障單位內(nèi)部局域網(wǎng)的安全，使其在與外網(wǎng)之前形成一道安全屏障。此外，應(yīng)督促每臺(tái)電腦安裝殺毒軟件，每天進(jìn)行電腦殺毒。

（三）規(guī)范和完善電子檔案信息安全

管理制度，加強(qiáng)對(duì)相關(guān)工作人員的道德素質(zhì)教育單位內(nèi)部應(yīng)建立起完善的電子檔案制度，采取規(guī)范性電子檔案信息安全管理措施。加強(qiáng)對(duì)工作人員的道德素質(zhì)教育，獎(jiǎng)罰分明。

（四）其它一些對(duì)策