序論：寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇加強(qiáng)信息安全管理范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

關(guān)鍵詞：校園網(wǎng)；校園網(wǎng)信息；安全管理

中圖分類號(hào)：G647 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2011) 11-0000-02

To Strengthen the Campus Network Information Security Management

Liu Yong

(Guangdong Maoming Shi Gaoji Jigong Xuexiao,Maoming525000,China)

Abstract:Rapid development in information technology today,the campus network has penetrated into the campus life of each person,but the corresponding situation is a campus network information security has become increasingly prominent,which threaten the normal operation of the campus network,the consequences of the campus network breakdown,school work can not be carried out,serious influence the school is in normal operation,therefore,to strengthen the campus network security management is very important.

Keywords:Campus network;Campus network information;Security management

一、引言

前年茂名市政府免費(fèi)為我校提供了一條10M的政府網(wǎng)光纖，我校由此組建了校園網(wǎng)。校園網(wǎng)的組建后，學(xué)校辦公自動(dòng)化得以實(shí)現(xiàn)，校內(nèi)的教師與互聯(lián)網(wǎng)世界的聯(lián)系也越來越緊密，極大的提高了學(xué)校的教學(xué)水平和辦公效率。但是隨著校園網(wǎng)逐漸深入到我們每一教師的教學(xué)和工作當(dāng)中，網(wǎng)絡(luò)所常見的問題也一并出現(xiàn)在我們每一位教師的面前，例如有些教師經(jīng)常使用U盤在校內(nèi)的電腦上進(jìn)行交換數(shù)據(jù)的操作；或者在上網(wǎng)時(shí)隨意下載文件等原因，經(jīng)常就導(dǎo)致了校內(nèi)某些電腦中病毒，而中毒后的電腦自然就會(huì)對(duì)正在正常運(yùn)行的校園網(wǎng)系統(tǒng)造成威脅，出現(xiàn)大量無效數(shù)據(jù)堵塞校園網(wǎng)網(wǎng)絡(luò)，使網(wǎng)絡(luò)出現(xiàn)突然變得緩慢等現(xiàn)象，甚至在蠕蟲泛濫的局域網(wǎng)中，使校園網(wǎng)癱瘓的事件屢有發(fā)生，所以我們必須加強(qiáng)校園網(wǎng)信息安全管理，從而確保校園網(wǎng)安全、穩(wěn)定、高效地運(yùn)行。

二、校園網(wǎng)信息安全的解決思路

校園網(wǎng)通過信息接入點(diǎn)與外部互聯(lián)網(wǎng)相連，校園范圍內(nèi)部所有計(jì)算機(jī)所組成的局域網(wǎng)我們將其稱為內(nèi)網(wǎng)；信息接入點(diǎn)外部的網(wǎng)絡(luò)我們將它稱為外網(wǎng)。基于資金、設(shè)備和技術(shù)所限，我們校園網(wǎng)信息安全最主要的工作是保證內(nèi)網(wǎng)的安全、穩(wěn)定、高效地運(yùn)行。這要求我們從兩方面入手：分別是校園網(wǎng)主干網(wǎng)絡(luò)設(shè)備的安全和校園網(wǎng)的安全使用

（一）校園網(wǎng)內(nèi)網(wǎng)的安全

由于資金、設(shè)備和技術(shù)所限，校園網(wǎng)外部的網(wǎng)絡(luò)信息安全我們不用考慮，也輪不到我們?nèi)タ紤]，我們要充分考慮的是校園網(wǎng)內(nèi)部的信息安全，采取確實(shí)有效的防范措施來防止校園網(wǎng)內(nèi)部各電腦主機(jī)對(duì)網(wǎng)絡(luò)主干設(shè)備進(jìn)行攻擊而導(dǎo)致系統(tǒng)崩潰，保證校園網(wǎng)正常運(yùn)行。

（二）校園網(wǎng)內(nèi)各用戶主機(jī)的安全

校園網(wǎng)的網(wǎng)絡(luò)運(yùn)行環(huán)境是一個(gè)十分復(fù)雜的環(huán)境，各用戶主機(jī)安裝不同的操作系統(tǒng)，各用戶的的電腦使用水平差異較大等原因，使得各用戶的主機(jī)難以避免存在各種系統(tǒng)安全漏洞，不及時(shí)修補(bǔ)這些漏洞，就會(huì)給電腦病毒以可乘之機(jī)，而中毒后的校園網(wǎng)用戶主機(jī)會(huì)對(duì)校園網(wǎng)主干設(shè)備造成影響。

（三）控制校園網(wǎng)計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是校園網(wǎng)信息安全的頭號(hào)殺手，必須做到有效控制。在校園網(wǎng)主干網(wǎng)絡(luò)設(shè)備和各用戶主機(jī)都要求安裝有效的殺毒軟件，并且及時(shí)對(duì)病毒庫進(jìn)行更新，定期進(jìn)行殺毒操作，堅(jiān)持將計(jì)算機(jī)病毒扼殺在萌芽狀態(tài)，使其對(duì)校園網(wǎng)信息安全的危害降到最低。

三、加強(qiáng)校園網(wǎng)信息安全管理的具體措施

（一）構(gòu)建網(wǎng)絡(luò)防范措施

如果單位經(jīng)濟(jì)條件允許建議在網(wǎng)絡(luò)信息接入點(diǎn)使用硬件防火墻，防火墻可在校園網(wǎng)內(nèi)部“編織”好一張安全的大網(wǎng)，保證校園網(wǎng)正常運(yùn)行，是目前非常有效的網(wǎng)絡(luò)安全防范手段，它提供一整套的安全控制策略，包括訪問控制（例如ACL策略）、數(shù)據(jù)包過濾和攻擊防范等網(wǎng)絡(luò)必需功能，能有效地檢測(cè)和防范校園網(wǎng)各種病毒的攻擊、入侵，監(jiān)控網(wǎng)絡(luò)異常通信，并對(duì)攻擊的主機(jī)進(jìn)行隔離等，是我們校園網(wǎng)信息安全最值得信賴的好助手。

由于每間學(xué)校的內(nèi)部地理結(jié)構(gòu)有差異，我們很難從物理方面劃分VLAN，但我們可使用具有網(wǎng)管功能的交換機(jī)中的VLAN的技術(shù)優(yōu)化校園網(wǎng)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，增強(qiáng)網(wǎng)絡(luò)的靈活性，并根據(jù)不同的區(qū)域劃分不同的網(wǎng)段來限制相互間的訪問，達(dá)到限制用戶非法訪問的目的。

使用靜態(tài)IP，在校園內(nèi)一定要將各用戶主機(jī)的MAC地址與我們事先分配給他IP進(jìn)行綁定，并詳細(xì)登記各用戶的資料，如使用人姓名、職務(wù)、辦公室、IP、MAC、聯(lián)系電話等資料，方便對(duì)中毒的電腦主機(jī)快速定位提供依據(jù)。

在校園網(wǎng)服務(wù)器端使用網(wǎng)絡(luò)行為管理軟件，例如IP-GUARD（威盾）、聚生網(wǎng)管等，實(shí)時(shí)掃描客戶端的主機(jī)的使用情況、流量信息，分析網(wǎng)絡(luò)帶寬流量，防止大量的長時(shí)間的占用網(wǎng)絡(luò)帶寬、防止使用BT、電驢等獨(dú)占帶寬的下載方式，造成網(wǎng)絡(luò)擁擠、繁忙，做到遇故障能及時(shí)準(zhǔn)確地定位和排查。

通過上述措施，我們基本上能保證校園網(wǎng)內(nèi)網(wǎng)的信息安全，將網(wǎng)絡(luò)病毒對(duì)校園主干設(shè)備的攻擊降到最低的程度，使校園網(wǎng)的主干網(wǎng)絡(luò)設(shè)備正常運(yùn)行。

（二）加強(qiáng)校園網(wǎng)信息安全教育，養(yǎng)成良好的電腦使用習(xí)慣

校園網(wǎng)信息安全涉及到校內(nèi)每一位教師，因此對(duì)于校園網(wǎng)用戶來說，要進(jìn)一步提高網(wǎng)絡(luò)信息安全意識(shí)，加強(qiáng)關(guān)于計(jì)算機(jī)信息安法律知識(shí)的學(xué)習(xí)，自覺規(guī)范操作行為，同時(shí)掌握一些有關(guān)信息安全技術(shù)和技能，養(yǎng)成良好的電腦使用習(xí)慣，把可能的危險(xiǎn)排除在發(fā)生之前。對(duì)于個(gè)人而言，可從以下幾個(gè)方面入手：

現(xiàn)在多數(shù)用戶在電腦中病毒或者因?yàn)槠渌驅(qū)е码娔X系統(tǒng)崩潰后，首要的選擇是重新安裝電腦系統(tǒng)，而安裝系統(tǒng)時(shí)普遍采用GHOST覆蓋安裝方法。這種方法的缺陷是雖然電腦暫時(shí)可以使用，但病毒依然有可能保留在電腦的C盤內(nèi)，建議在系統(tǒng)安裝時(shí)先格式化電腦的C盤，然后再采用GHOST覆蓋進(jìn)行覆蓋安裝，磁盤文件格式要采用NTFS格式，系統(tǒng)安裝好后立刻進(jìn)行全硬盤病毒掃描，可減少安全隱患。

及時(shí)對(duì)系統(tǒng)進(jìn)行漏洞掃描、修補(bǔ)個(gè)人電腦的系統(tǒng)漏洞。現(xiàn)在網(wǎng)絡(luò)上比較流行的一款軟件360安全衛(wèi)士就具有這方面的功能，它能及時(shí)掃描你的電腦系統(tǒng)是否還有容易被電腦黑客攻擊的漏洞，并及時(shí)通知你修補(bǔ)這方面的漏洞。這里要注明一下的就是：有很多電腦用戶為圖方便不喜歡花時(shí)間做這方面的工作，理由就是我的電腦一旦中毒，我就重新安裝系統(tǒng)。這種習(xí)慣在自己家里沒什么大問題，但現(xiàn)在我們同處在一個(gè)校園網(wǎng)的大環(huán)境下，一臺(tái)電腦中病毒就有可能會(huì)對(duì)整個(gè)校園網(wǎng)系統(tǒng)造成攻擊，使大家都無法正常上網(wǎng)。因此我們應(yīng)定期使用類似360安全衛(wèi)士這類軟件漏洞掃描、修補(bǔ)個(gè)人電腦的系統(tǒng)漏洞。

操作系統(tǒng)安裝完成后，要對(duì)系統(tǒng)的安全策略進(jìn)行必要的設(shè)置。如登錄用戶名和密碼。用戶權(quán)限的分配，共享目錄的開放與否、磁盤空間的限制、注冊(cè)表的安全配置、瀏覽器的安全等級(jí)等，使用系統(tǒng)默認(rèn)的配置安全性較差。

使用個(gè)人防火墻和反病毒軟件，目前互聯(lián)網(wǎng)上的病毒非常猖獗，達(dá)幾萬種之多，傳播途徑也相當(dāng)廣泛。可通過u盤、光盤、電子郵件和利用系統(tǒng)漏洞進(jìn)行主動(dòng)病毒傳播等，這就需要在用戶計(jì)算機(jī)上安裝防病毒軟件來控制病毒的傳播。在單機(jī)版的防病毒軟件使用中，必須要定期或及時(shí)升級(jí)防病毒軟件和病毒碼特征庫。現(xiàn)在互聯(lián)網(wǎng)上很多殺毒軟件功能強(qiáng)大而且都是免費(fèi)的，例如360安全衛(wèi)士、360殺毒等，如果我們能安裝這類殺毒軟件和防火墻，一般都足以抵御各類網(wǎng)絡(luò)攻擊，它能夠在一定程度上保護(hù)操作系統(tǒng)信息不對(duì)外泄漏，也能監(jiān)控個(gè)人電腦正在進(jìn)行的網(wǎng)絡(luò)連接，把有害的數(shù)據(jù)拒絕于門外。

四、結(jié)束語

校園網(wǎng)信息安全牽涉到校園內(nèi)的每一個(gè)用戶，想享用安全、穩(wěn)定、高效的校園網(wǎng)絡(luò)，我們必須加強(qiáng)校園網(wǎng)信息安全管理，確保校園網(wǎng)正常運(yùn)行，讓校園網(wǎng)絡(luò)為我們的教學(xué)和辦公的好助手。

參考文獻(xiàn)：

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第4版)[M].電子工業(yè)出版社

篇(2)

 

1 引言

 

信息化技術(shù)當(dāng)前已經(jīng)深入應(yīng)用到了醫(yī)院的日常經(jīng)營發(fā)展內(nèi)容中，建立了醫(yī)院整體管理運(yùn)營信息系統(tǒng)，對(duì)提高醫(yī)院的管理效率和管理質(zhì)量發(fā)揮了重要的作用。而信息安全管理，也在當(dāng)前醫(yī)院日常管理內(nèi)容中占據(jù)了更為重要的位置，同時(shí)醫(yī)院信息安全管理的內(nèi)容相較于傳統(tǒng)，也變得更加的豐富，醫(yī)院信息安全管理的內(nèi)容包括醫(yī)院的信息系統(tǒng)網(wǎng)絡(luò)安全、備份信息記錄安全、計(jì)算機(jī)設(shè)備病毒防治、醫(yī)院信息管理系統(tǒng)平臺(tái)安全等諸多內(nèi)容，對(duì)醫(yī)院的信息安全提出了更高的要求。醫(yī)院應(yīng)該全面清晰的認(rèn)清當(dāng)前信息安全的發(fā)展形勢(shì)，做好相應(yīng)的信息安全防治措施。

 

2 醫(yī)院信息安全面臨的主要挑戰(zhàn)

 

具體來講，在當(dāng)前醫(yī)院的發(fā)展過程中，醫(yī)院所面臨的信息安全挑戰(zhàn)主要來自于幾個(gè)方面。

 

2.1 醫(yī)院信息安全的管理責(zé)任不夠明確

 

正如上文所述，在信息化技術(shù)得到全面普及應(yīng)用的背景下，醫(yī)院的信息安全管理內(nèi)容也越來越豐富，對(duì)醫(yī)院的信息安全管理工作提出了極高的要求。

 

當(dāng)前階段，醫(yī)院信息安全管理工作已經(jīng)成為一項(xiàng)復(fù)雜的系統(tǒng)性管理內(nèi)容，而潛藏的醫(yī)院信息安全隱患則包括醫(yī)院信息設(shè)備的采購、網(wǎng)絡(luò)安全產(chǎn)品的采購、醫(yī)院內(nèi)部崗位信息的流通、醫(yī)院信息數(shù)據(jù)的存儲(chǔ)應(yīng)用、醫(yī)院的安全信息管理策略以及醫(yī)院的信息管理安全人員等諸多方面，過多的醫(yī)院信息安全管理內(nèi)容很容易造成醫(yī)院自身信息安全管理資源的配置不夠優(yōu)化，同時(shí)對(duì)于醫(yī)院信息安全管理監(jiān)督的執(zhí)行也造成了很大影響，出現(xiàn)醫(yī)院信息安全管理責(zé)任不夠明確的現(xiàn)象。

 

在這種紛繁復(fù)雜的情況下，加強(qiáng)對(duì)醫(yī)院的信息安全管理內(nèi)容的全面分析，制定相應(yīng)的醫(yī)院信息安全管理規(guī)則，確定具體的醫(yī)院信息安全管理責(zé)任制度，已經(jīng)成為醫(yī)院信息安全管理發(fā)展過程中的必然措施。

 

2.2 醫(yī)院信息管理系統(tǒng)面臨著諸多危害

 

在全面應(yīng)用了信息化技術(shù)，并建立了相應(yīng)醫(yī)院信息管理系統(tǒng)以后，醫(yī)院不僅需要面臨來自內(nèi)部的信息安全管理風(fēng)險(xiǎn)，還需要面臨更加迫切的醫(yī)院信息管理系統(tǒng)的安全隱患。

 

具體來講，當(dāng)前計(jì)算機(jī)病毒、黑客攻擊以及系統(tǒng)漏洞現(xiàn)象等等，都是當(dāng)前醫(yī)院信息管理系統(tǒng)在使用的過程中面臨的來自外界的主要危害類型，計(jì)算機(jī)病毒會(huì)造成醫(yī)院信息管理系統(tǒng)出現(xiàn)系統(tǒng)崩潰、系統(tǒng)數(shù)據(jù)丟失的現(xiàn)象，而黑客攻擊甚至可以在不知不覺中盜取醫(yī)院的管理信息、用戶信息以及科研信息，造成醫(yī)院信息安全管理中的重要經(jīng)濟(jì)損失，醫(yī)院信息管理系統(tǒng)漏洞現(xiàn)象也有可能被人故意利用，造成醫(yī)院信息安全隱患現(xiàn)象，對(duì)醫(yī)院的信息安全發(fā)展造成非常不利的影響。

 

2.3 醫(yī)院信息數(shù)據(jù)管理仍然存在著漏洞

 

當(dāng)前階段醫(yī)院信息數(shù)據(jù)管理工作也仍然存在著一定的漏洞，這種漏洞主要體現(xiàn)在信息數(shù)據(jù)管理工作中數(shù)據(jù)處理工作的不可逆轉(zhuǎn)現(xiàn)象上。

 

具體來講，醫(yī)院在信息數(shù)據(jù)管理的過程中極有可能出現(xiàn)種種失誤現(xiàn)象，例如數(shù)據(jù)刪除失誤、數(shù)據(jù)修改失誤、數(shù)據(jù)應(yīng)用錯(cuò)誤現(xiàn)象，嚴(yán)重的數(shù)據(jù)刪除失誤甚至有可能造成醫(yī)院信息數(shù)據(jù)管理系統(tǒng)崩潰現(xiàn)象，對(duì)醫(yī)院的信息安全管理造成極大的安全隱患，而同時(shí)醫(yī)院在安全產(chǎn)品的選擇上也存在著無法有效的聯(lián)動(dòng)現(xiàn)象，造成醫(yī)院無法有效的充分發(fā)揮醫(yī)院信息安全設(shè)備的防護(hù)治理功能，醫(yī)院整體的信息安全系統(tǒng)無法形成具有層次性、系統(tǒng)性以及規(guī)范性的保護(hù)系統(tǒng)，對(duì)醫(yī)院信息數(shù)據(jù)安全管理的發(fā)展也造成了一定的影響。

 

3 醫(yī)院信息安全采取的主要措施

 

針對(duì)當(dāng)前醫(yī)院在信息安全發(fā)展過程中面臨的相關(guān)挑戰(zhàn)現(xiàn)象，本文建議醫(yī)院應(yīng)該在信息安全的發(fā)展過程中采取幾項(xiàng)措施，可以有效地達(dá)到提升醫(yī)院信息安全管理質(zhì)量的目的。

 

3.1 進(jìn)一步優(yōu)化醫(yī)院信息安全管理機(jī)制

 

醫(yī)院在進(jìn)一步優(yōu)化醫(yī)院信息安全管理機(jī)制的過程中，應(yīng)該全面的加強(qiáng)醫(yī)院信息安全管理機(jī)構(gòu)、管理隊(duì)伍的建設(shè)，同時(shí)建立醫(yī)院信息安全管理制度以及醫(yī)院信息安全責(zé)任制度，針對(duì)醫(yī)院信息管理工作內(nèi)容進(jìn)行系統(tǒng)性、規(guī)范性以及權(quán)責(zé)制的管理。

 

在安全機(jī)構(gòu)和安全隊(duì)伍的建設(shè)上，醫(yī)院必須加強(qiáng)對(duì)信息安全管理意識(shí)的宣傳，明確醫(yī)院信息安全管理機(jī)構(gòu)的權(quán)利與責(zé)任，建立相應(yīng)的醫(yī)院信息安全應(yīng)急預(yù)案機(jī)制;而在醫(yī)院信息安全管理制度的優(yōu)化上，醫(yī)院必須針對(duì)醫(yī)院面臨的信息安全管理內(nèi)容進(jìn)行全面細(xì)致的優(yōu)化，針對(duì)醫(yī)院信息安全管理的范圍、信息安全管理規(guī)程、人員管理制度、設(shè)備維護(hù)制度、安全保密協(xié)議、網(wǎng)絡(luò)安全監(jiān)控制度、安全隱患排除制度等等進(jìn)行明確的優(yōu)化，保證醫(yī)院信息安全管理機(jī)制能夠全面的覆蓋醫(yī)院信息安全管理的諸多內(nèi)容。

 

3.2 進(jìn)一步規(guī)劃醫(yī)院信息安全管理流程

 

醫(yī)院進(jìn)一步規(guī)劃醫(yī)院信息安全管理流程的目的主要是針對(duì)醫(yī)院信息安全管理機(jī)制進(jìn)行更加細(xì)致的規(guī)定，醫(yī)院應(yīng)該在醫(yī)院信息安全權(quán)限管理以及醫(yī)院信息安全管理規(guī)程上尤其進(jìn)行優(yōu)化，達(dá)到確實(shí)加強(qiáng)醫(yī)院信息安全管理細(xì)節(jié)建設(shè)的目的。

 

以醫(yī)院信息安全權(quán)限管理為例，醫(yī)院可以在外來用戶的訪問權(quán)限、內(nèi)部用戶的密碼登錄以及內(nèi)部用戶的權(quán)限等級(jí)上進(jìn)行細(xì)致的劃分，同時(shí)對(duì)用戶在醫(yī)院信息管理系統(tǒng)內(nèi)部的瀏覽內(nèi)容進(jìn)行監(jiān)控，對(duì)外來用戶進(jìn)行IP清查以及MAC地址綁定，有效的提高醫(yī)院信息安全管理的細(xì)節(jié)掌控。

 

3.3 進(jìn)一步加強(qiáng)醫(yī)院信息安全防護(hù)技術(shù)

 

醫(yī)院在信息安全管理工作中，應(yīng)該進(jìn)一步加強(qiáng)對(duì)信息冗余技術(shù)、數(shù)據(jù)中心檢測(cè)技術(shù)、信息安全防治技術(shù)、系統(tǒng)監(jiān)控技術(shù)等相應(yīng)信息安全技術(shù)的應(yīng)用，保證醫(yī)院自身系統(tǒng)在使用的過程中不會(huì)因?yàn)閿?shù)據(jù)刪除失誤而造成系統(tǒng)崩潰的現(xiàn)象，提高醫(yī)院信息管理系統(tǒng)的穩(wěn)定性、安全性以及可優(yōu)化性，加強(qiáng)對(duì)數(shù)據(jù)中心的備份記錄，保證醫(yī)院信息安全防護(hù)技術(shù)能夠充分的提升醫(yī)院信息安全管理的質(zhì)量。

 

4 結(jié)束語

 

本文以醫(yī)院為例，具體分析醫(yī)院在信息安全管理工作面臨的問題現(xiàn)象和采取的發(fā)展措施，進(jìn)而對(duì)醫(yī)療行業(yè)的信息安全發(fā)展形勢(shì)進(jìn)行了分析和闡述。

篇(3)

關(guān)鍵詞：航空管制；信息系統(tǒng)；信息安全；對(duì)策

1強(qiáng)化安全管理意識(shí)

航空管制信息安全管理工作人員的信息安全管理意識(shí)對(duì)于航管信息安全管理會(huì)產(chǎn)生直接的影響，也是航空管制信息安全管理過程中的重要因素。航空管制信息安全管理過程中出現(xiàn)的安全漏洞，很大程度上就是由于相關(guān)工作人員安全意識(shí)的淡薄，在工作中對(duì)自已要求不嚴(yán)，從而忽視了信息安全的重要性。為了強(qiáng)化航空管制信息安全管理工作，就必須注重對(duì)工作人員信息安全管理意識(shí)的強(qiáng)化。其主要分為以下幾個(gè)方面：1)積極強(qiáng)化航空公司的各級(jí)領(lǐng)導(dǎo)信息安全意識(shí)，首先確保最高決策者始終擁有高強(qiáng)度的安全意識(shí)，并且以身作則，在自己的實(shí)際工作中體現(xiàn)出對(duì)安全管理得重視，這樣才能帶動(dòng)各級(jí)工作不斷提高自身的信息安全防范意識(shí)。信息安全管理工作，主要內(nèi)容是“三分技術(shù)，七分管理”，各航空工作人員應(yīng)該始終將技術(shù)與管理結(jié)合起來，作為約束自己日常工作行為的基本準(zhǔn)則。強(qiáng)化工作人員的信息安全意識(shí)，需要對(duì)其進(jìn)行定期系統(tǒng)的信息安全教育（如信息安全管理知識(shí)講座等），以此為手段不斷發(fā)展航空管制人員的信息安全知識(shí)水平，促使每一位工作人員都能擁有高度的自主安全管理意識(shí)。2)注重對(duì)航管人員自身信息技術(shù)素質(zhì)水平的培養(yǎng)。在航空管制信息安全管理工作中，良好的專業(yè)素養(yǎng)以及熟練的操作能力是每一位工作人員都必須具備的技能。況且，隨著信息技術(shù)與人工智能技術(shù)逐漸的深入航空領(lǐng)域，在以后的航空管制工作中，若是沒有一定的信息技術(shù)專業(yè)知識(shí)，航管人員就無法準(zhǔn)確高效的把握航管新裝備和新技術(shù)。同時(shí)，航管人員在學(xué)習(xí)信息技術(shù)知識(shí)的過程中，還能開拓自己的眼界，豐富自身對(duì)現(xiàn)代化技術(shù)的認(rèn)識(shí)，在強(qiáng)化自身工作能力和安全意識(shí)的同時(shí)，還能為整個(gè)航空領(lǐng)域的發(fā)展提供幫助，確保航管信息安全管理工作的順利進(jìn)行。3）注重航管信息安全管理觀念創(chuàng)新。在這個(gè)信息化的時(shí)代，各個(gè)領(lǐng)域都在飛速發(fā)展。日新月異的信息技術(shù)，大量的新型航空管制理念，都要求航空管制信息安全工作要隨著時(shí)代的發(fā)展不斷變遷、創(chuàng)新。不僅如此，由于航空管制信息安全直接影響著飛機(jī)的飛行安全和乘客的人身安全，相關(guān)人員應(yīng)該始終保持本公司的運(yùn)營理念與國際的新理念接軌，根據(jù)市場(chǎng)需求不斷改善航管信息安全管理目標(biāo)和具體實(shí)踐措施，創(chuàng)造屬于我們這個(gè)時(shí)代的航空管制信息安全管理模式。將航管信息安全管理的策略落到實(shí)處，確保航空運(yùn)行過程中各個(gè)環(huán)節(jié)的信息安全[1]。

2抓住主要矛盾

要想最大程度的發(fā)揮出航管信息安全管理工作的作用，航空公司的決策者和相關(guān)工作人員就得明確航管信息安全管理過程中的重難點(diǎn)，只有這樣，才能保證有目標(biāo)、有計(jì)劃的施以措施。航管人員務(wù)必要高效的解決在航管信息安全管理工作中出現(xiàn)的各種矛盾，下文就以其中存在的主要矛盾為例說明。航管信息安全管理的根本目的是保證航管信息的完整性、可控性及保密性等，除此之外，還需要對(duì)航管信息資料進(jìn)行防御、檢測(cè)、抑制、恢復(fù)和管理，從多方面著手，保證航管工作的質(zhì)量。航管信息管理工作的重點(diǎn)是管理和控制航空管制信息系統(tǒng)，其主要是對(duì)航管系統(tǒng)層、網(wǎng)絡(luò)層以及應(yīng)用層進(jìn)行安全控制。航管工作中的系統(tǒng)層管理指的是對(duì)硬件和軟件的安全管理，而且軟件安全管理是整個(gè)航管信息安全管理工作中的重點(diǎn)。對(duì)于硬件系統(tǒng)的安全管理工作，一般將其列入物理安全范圍，主要是防電磁輻射、電子干擾等因素[2]。在應(yīng)用軟件這一層面上，航管信息系統(tǒng)有時(shí)候會(huì)遭到黑客的侵襲，因此，相關(guān)技術(shù)人員務(wù)必要做好防“黑客”、防病毒的準(zhǔn)備工作，而且在此基礎(chǔ)上，還得不斷恢復(fù)信息管理系統(tǒng)，優(yōu)化操作系統(tǒng)的可行性和安全性，確保航管信息安全管理的效率。在加強(qiáng)軟件系統(tǒng)管理工作的同時(shí)，還要對(duì)網(wǎng)絡(luò)層面的安全管理進(jìn)行加強(qiáng)。其主要包含以下幾點(diǎn)：網(wǎng)絡(luò)報(bào)警、網(wǎng)絡(luò)恢復(fù)、數(shù)據(jù)保護(hù)、密鑰安全及內(nèi)部認(rèn)證等。對(duì)于網(wǎng)絡(luò)層面安全管理工作的加強(qiáng)，工作人員應(yīng)該將重點(diǎn)放在各處子網(wǎng)的出入口設(shè)備上，同時(shí)，軟件設(shè)施方面也應(yīng)配合硬件設(shè)施，積極研發(fā)嵌入式操作系統(tǒng)，不斷創(chuàng)新，應(yīng)用更高水平的數(shù)字簽名技術(shù)，對(duì)網(wǎng)絡(luò)層進(jìn)行加密。

3完善航管部門信息安全防范體系

俗話說：“無規(guī)矩，不成方圓”。要想充分完善航管信息安全管理工作，對(duì)航管信息進(jìn)行有效控制，航管部門就需要根據(jù)自身的實(shí)際條件不斷健全航管部門的信息安全管理體系。所以，工作人員就要提前做好充分的市場(chǎng)調(diào)研，就目前市場(chǎng)上的航管信息安全管理機(jī)構(gòu)設(shè)置進(jìn)行討論研究，仔細(xì)觀察整個(gè)機(jī)構(gòu)設(shè)置的合理性和可行性，對(duì)各個(gè)部門的航管信息安全管理職能進(jìn)行明確劃分，使信息安全管理要求與業(yè)務(wù)流程聯(lián)系起來，最大程度的發(fā)揮出航管信息安全管理機(jī)構(gòu)的作用。不斷完善航管信息安全管理制度，加上安全管理體系的建設(shè)，實(shí)行統(tǒng)一規(guī)劃、統(tǒng)一管理與統(tǒng)一監(jiān)督。時(shí)刻與國際先進(jìn)的技術(shù)保持聯(lián)系，將自身的發(fā)展與信息技術(shù)和人工智能緊密聯(lián)系起來，將本航空公司的安全管理體系至于本行業(yè)發(fā)展的前沿。在航管過程中，需要使用的儀器設(shè)備要盡量采用國產(chǎn)裝備，特別是某些涉及到自主關(guān)鍵技術(shù)機(jī)密以及中國自主知識(shí)產(chǎn)權(quán)的核心儀器設(shè)備。與此同時(shí)，工作人員還應(yīng)該注重加強(qiáng)對(duì)網(wǎng)絡(luò)安全系統(tǒng)的規(guī)范管理制度，逐漸建立出相應(yīng)系統(tǒng)的航管信息安全管理標(biāo)準(zhǔn)和統(tǒng)一的航管信息安全管理綜合評(píng)估體系以及針對(duì)航管信息的獲取和應(yīng)用等，需要明確的制定出切實(shí)可行的安全管理措施體系。由此可見，在航管信息安全管理的過程中，始終不能脫離完整、規(guī)范的航管信息安全防范體系，只有通過航管部門系統(tǒng)全面嚴(yán)格的控制把關(guān)，才能高效地處理航管信息安全工作中出現(xiàn)的各種問題。在日常的航管部門信息安全管理工作中，工作人員務(wù)必要注意兩點(diǎn)，一是加強(qiáng)對(duì)航管人員的信息安全教育。要定期組織全體航空管制信息安全管理人員對(duì)工作中的專業(yè)知識(shí)以及某些設(shè)備的操作技術(shù)進(jìn)行學(xué)習(xí)，不斷的對(duì)航管人員注入最新的航管理念，對(duì)航管人員的航空管制保密常識(shí)進(jìn)行培訓(xùn)，加強(qiáng)信息安全教育，確保每一位航空管制人員都擁有深刻的信息安全意識(shí)，以保證航空飛行安全。二是對(duì)整體航管人員實(shí)行保密信息封鎖制度。航空公司應(yīng)該根據(jù)實(shí)際情況制定出適合自身發(fā)展的電子設(shè)備保密管理制度，控制工作人員與外界不必要的聯(lián)系，始終嚴(yán)格約束所有工作人員的言行舉止，切忌在日常交流以及聯(lián)系中向外界流失掉機(jī)密信息。不僅如此，航空公司中的任何以為工作人員都不允許以任何一種形式對(duì)外界透露公司內(nèi)部的運(yùn)行情況，更不能泄露涉及航管和飛行安全的信息[3]。

4健全航管信息安全管理法規(guī)制度

航空公司嚴(yán)謹(jǐn)有序的運(yùn)行模式，不僅需要每一位工作人員的付出還需要高層決策者與各級(jí)工作人員商議之后制定出合理的法規(guī)制度，以統(tǒng)一形式的制度、要求及管理力度對(duì)員工進(jìn)行統(tǒng)一管理，一視同仁，旨在提升對(duì)航管信息安全的管理效率。健全航管信息安全管理法規(guī)制度的要求分為兩個(gè)方面，第一個(gè)方面，公司要盡快且保證質(zhì)量的建立屬于自己的航管信息安全評(píng)估系統(tǒng)。在建設(shè)的過程中，要始終按照國家的標(biāo)準(zhǔn)要求，不管是信息基礎(chǔ)設(shè)施建設(shè)，還是網(wǎng)絡(luò)規(guī)劃建設(shè)，都必須通過國家相關(guān)管理部門的審批。而在進(jìn)行基礎(chǔ)設(shè)施建設(shè)和設(shè)備配備的過程中，則需要安全管理部門和質(zhì)量管理部門進(jìn)行約束指導(dǎo)，所有的信息建設(shè)只有在通過有效的信息安全質(zhì)量認(rèn)證之后，才能投入使用。第二個(gè)方面，要想使航空管制信息安全管理過程中的規(guī)章制度得到系統(tǒng)化、明確化、條理化，工作人員就必須以本航空公司的航管信息安全管理模式為出發(fā)點(diǎn)，經(jīng)過多方面的調(diào)研分析，采取各個(gè)階層工作人員的意見整合之后制定出可行有效的信息安全規(guī)章制度，力爭(zhēng)在最短的時(shí)間內(nèi)使航空管制信息安全管理工作的可行性得到大幅度提升[4]。

5結(jié)語

綜上所述，航空管制信息安全管理工作是所有航空公司正常運(yùn)營的前提條件，也是順利開展航管業(yè)務(wù)的基礎(chǔ)工作，只有航管信息安全得到了保障，飛機(jī)的飛行安全才能得到保障。航管人員在日常的工作之中要始終樹立堅(jiān)實(shí)牢固的航管信息安全意識(shí)，提高自身的航管能力。相應(yīng)的公司管理人員也應(yīng)不斷強(qiáng)化本公司的信息技術(shù)，結(jié)合國際上新型的航管理念發(fā)展自身的運(yùn)行效率，為飛機(jī)的安全飛行保駕護(hù)航。

參考文獻(xiàn)：

[1]許彬.航管信息情報(bào)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2014．

[2]魏純潔.空中交通管制安全評(píng)估關(guān)鍵技術(shù)研究[D].南京：南京航空航天大學(xué)，2012．

篇(4)

（一）管理使用的系統(tǒng)

ERP、加油站賬冊(cè)、二次物流管理、加油卡、辦公自動(dòng)化以及企業(yè)門戶網(wǎng)站等系統(tǒng)是石化銷售企業(yè)首要的應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)有以下特征：一是系統(tǒng)應(yīng)用范圍廣，全程參與企業(yè)的經(jīng)營、管理、對(duì)外服務(wù)等；二是系統(tǒng)用戶眾多，涵蓋企業(yè)各階層員工；三是系統(tǒng)對(duì)持續(xù)運(yùn)轉(zhuǎn)要求高，因此對(duì)應(yīng)用系統(tǒng)的安全運(yùn)轉(zhuǎn)要求較高。對(duì)公司的經(jīng)營管理而言，系統(tǒng)的安全穩(wěn)定運(yùn)行具有重大意義，系統(tǒng)數(shù)據(jù)是否安全、保密性和供應(yīng)商、企業(yè)利益有密切關(guān)系。

（二）安全管理

隨著我國經(jīng)濟(jì)水平不斷提高，石化銷售企業(yè)越來越離不開信息化管理，世界各地的公司對(duì)內(nèi)部成立一個(gè)信息化團(tuán)隊(duì)，根據(jù)內(nèi)部的需要制定出具有整體性的管理體系，并根據(jù)相關(guān)的信息安全規(guī)定對(duì)系統(tǒng)內(nèi)部的安全等級(jí)做好評(píng)估保護(hù)工作。各企業(yè)制定了詳細(xì)有效的“信息系統(tǒng)應(yīng)急預(yù)案”以應(yīng)付各類突發(fā)事件。近幾年，中國石化內(nèi)控體系在建設(shè)過程中不斷加強(qiáng)、完善自身管理體系，也在IT控制方面占有一定的優(yōu)勢(shì)。當(dāng)前，石化銷售企業(yè)已基本形成一套完整的信息安全防御和管理體系，從而確保了網(wǎng)絡(luò)信息系統(tǒng)的安全性。

二、信息安全風(fēng)險(xiǎn)的評(píng)估

衡量安全管理體系的風(fēng)險(xiǎn)主要方法是進(jìn)行信息安全風(fēng)險(xiǎn)的評(píng)估，以此保障信息資產(chǎn)清單和風(fēng)險(xiǎn)級(jí)別，進(jìn)而確定相應(yīng)的防控措施。在石化銷售企業(yè)進(jìn)行信息安全風(fēng)險(xiǎn)的評(píng)估過程中，主要通過資金、威脅、安全性等識(shí)別美容對(duì)風(fēng)險(xiǎn)進(jìn)行安全檢測(cè)，同時(shí)結(jié)合企業(yè)自身的實(shí)際情況，擬定風(fēng)險(xiǎn)控制相應(yīng)的對(duì)策，把企業(yè)內(nèi)的信息安全風(fēng)險(xiǎn)竟可能下降到最低水平。

（一）物理存在的風(fēng)險(xiǎn)

機(jī)房環(huán)境和硬件設(shè)備是主要的的物理風(fēng)險(xiǎn)。當(dāng)前，部分企業(yè)存在的風(fēng)險(xiǎn)有：1）企業(yè)機(jī)房使用年限過長，如早期的配電、布線等設(shè)計(jì)標(biāo)準(zhǔn)陳舊，無法滿足現(xiàn)在的需求；2）機(jī)房使用的裝備年限太長、例如中央空調(diào)老化，制冷效果不佳導(dǎo)致溫度不達(dá)標(biāo)，UPS電源續(xù)航能力下降嚴(yán)重，門禁系統(tǒng)損壞等，存在風(fēng)險(xiǎn)；3）機(jī)房安全防護(hù)設(shè)施不齊全，存在風(fēng)險(xiǎn)。

（二）網(wǎng)絡(luò)和系統(tǒng)安全存在的風(fēng)險(xiǎn)

石化訪問系統(tǒng)的使用和操作大量存在安全風(fēng)險(xiǎn)，其中主要風(fēng)險(xiǎn)包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統(tǒng)安全隱患等。即使大部分企業(yè)已安裝統(tǒng)一的網(wǎng)絡(luò)防病毒體系、硬件防火墻、按期更新網(wǎng)絡(luò)系統(tǒng)軟件、安裝上網(wǎng)行為監(jiān)控等，但因?yàn)橄到y(tǒng)漏洞數(shù)目不斷增多網(wǎng)絡(luò)結(jié)構(gòu)和襲擊逐漸減弱或者因?yàn)樾畔⑾到y(tǒng)使用人員操作系統(tǒng)本身的安全機(jī)制不完善、也會(huì)產(chǎn)生安全隱患。

（三）系統(tǒng)安全風(fēng)險(xiǎn)

沒有經(jīng)過許可進(jìn)行訪問、數(shù)據(jù)泄密和被刪改等威脅著系統(tǒng)的安全性。提供各類應(yīng)用服務(wù)是企業(yè)信息系統(tǒng)的首要任務(wù)，而數(shù)據(jù)正是應(yīng)用信息系統(tǒng)的核心，因此，實(shí)際應(yīng)用與系統(tǒng)安全風(fēng)險(xiǎn)密切聯(lián)系。當(dāng)前，信息應(yīng)用系統(tǒng)存儲(chǔ)了大量的客戶、交易等重要信息，一旦泄露，造成客戶對(duì)企業(yè)信任度影響的同時(shí)也會(huì)影響企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力。

（四）安全管理存在的風(fēng)險(xiǎn)

安全管理存在的主要指沒有同體的風(fēng)險(xiǎn)安全管理手段，管理制度不完善、管理標(biāo)準(zhǔn)沒有統(tǒng)一，人員安全意識(shí)薄弱等等都存在管理風(fēng)險(xiǎn)，因此，需要設(shè)立完善的信息系統(tǒng)安全管理體系，從嚴(yán)管理，促使信息安全系統(tǒng)正常運(yùn)作。一方面要規(guī)范健全信息安全管理手段，有效較強(qiáng)內(nèi)控IT管理流程控制力度，狠抓落實(shí)管理體系的力度，杜絕局部管理不足點(diǎn)；另一方面，由于信息安全管理主要以動(dòng)態(tài)發(fā)展的形式存在，要不斷調(diào)整、完善制度，以符合信息安全的新環(huán)境需求。

三、信息安全管理體系框架的主要構(gòu)思

信息安全管理體系的框架主要由監(jiān)管體系、組織體系和技術(shù)體系形成，特點(diǎn)是系統(tǒng)化、程序化和文件化，而主要思想以預(yù)防控制為主，以過程和動(dòng)態(tài)控制為條件。完善安全管理體系，使石化銷售企業(yè)信息系統(tǒng)和信息網(wǎng)絡(luò)能夠安全可靠的運(yùn)作，從機(jī)密性、完整性、不可否認(rèn)性和可用性等方面確保數(shù)據(jù)安全，提升系統(tǒng)的持續(xù)性，加強(qiáng)企業(yè)的競(jìng)爭(zhēng)力。

（一）組織體系

企業(yè)在完善管理體系過程中應(yīng)設(shè)立信息安全委員會(huì)和相關(guān)管理部門，設(shè)置相應(yīng)的信息安全崗位，明確各級(jí)負(fù)責(zé)的信息安全和人員配置等內(nèi)容。在全面提升企業(yè)人員對(duì)信息安全了解的過程中必須進(jìn)行信息安全知識(shí)的相關(guān)培訓(xùn)，使工作人員提高信息安全管理意識(shí)，實(shí)現(xiàn)信息安全管理工作人人有責(zé)。

（二）制度體系

操作規(guī)范、安全策略、應(yīng)急預(yù)案等各項(xiàng)管理制度經(jīng)過計(jì)劃和下發(fā)，讓信息安全管理有據(jù)可依。企業(yè)參照合理完善的各項(xiàng)制度進(jìn)一步優(yōu)化業(yè)務(wù)流程，規(guī)范操作行為，降低事故風(fēng)險(xiǎn)，提升應(yīng)急能力，以此加強(qiáng)信息安全的管理體系。

（三）技術(shù)體系

管理技術(shù)、防護(hù)技術(shù)、控制技術(shù)是信息安全管理體系的主要技術(shù)基礎(chǔ)。安全技術(shù)包括物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、主機(jī)安全技術(shù)、終端安全技術(shù)、數(shù)據(jù)安全、應(yīng)用安全技術(shù)等。一旦出現(xiàn)信息安全事件，技術(shù)體系會(huì)在最短的時(shí)間內(nèi)降低事件的不良影響，依靠相關(guān)的信息安全管理技術(shù)平臺(tái)，以實(shí)現(xiàn)信息安全技術(shù)的有效控制。管理體系的核心是技術(shù)手段，先進(jìn)的加密算法和強(qiáng)化密鑰管理構(gòu)成的數(shù)據(jù)加密方式全程控制數(shù)據(jù)傳輸和數(shù)據(jù)存儲(chǔ)，可以保證數(shù)據(jù)的安全性。采用堡壘機(jī)、防火墻等安全系統(tǒng)可以過濾掉不安全的服務(wù)和非法用戶，防止入侵者接近防御設(shè)備。IDS作為防火墻的重要功能之一，能夠幫助網(wǎng)絡(luò)系統(tǒng)快速檢測(cè)出攻擊的對(duì)象，加強(qiáng)了管理員的安全管理技術(shù)（包括審計(jì)工作、監(jiān)視、進(jìn)攻識(shí)別等技術(shù)），提高了信息安全體系的防范性。企業(yè)數(shù)據(jù)備份這一塊可以采用雙機(jī)熱本地集群網(wǎng)、異地集群網(wǎng)等各種形式進(jìn)行網(wǎng)絡(luò)備份，利用體統(tǒng)的可用性和容災(zāi)性加強(qiáng)安全管理能力。

近年來各個(gè)企業(yè)的惡意軟件、攻擊行為手法變化多端很難防御，在各種壓力下，傳統(tǒng)的的安全防預(yù)技術(shù)受到了嚴(yán)峻的考驗(yàn)，這時(shí)“云安全”技術(shù)當(dāng)之無愧成為當(dāng)今最熱的安全技術(shù)。“云安全”技術(shù)主要使用分部式運(yùn)算功能進(jìn)行防御，而“云安全”技術(shù)對(duì)于企業(yè)用戶而言確實(shí)明顯的保障了信息的安全性以及降低客戶端維護(hù)量。“云安全”技術(shù)是未來安全防護(hù)技術(shù)發(fā)展的必由之路，且今后“云安全”作為企業(yè)安全管理的核心內(nèi)容為企業(yè)的數(shù)據(jù)、服務(wù)器群組以及端點(diǎn)提供強(qiáng)制的安全防御能力。”

四、信息安全管理體系相關(guān)步驟

由于管理體系具有靈活性，企業(yè)可依據(jù)自身的特點(diǎn)和實(shí)際情況，使用最優(yōu)方案，結(jié)合石化銷售的特征，提出以下步驟：1）管理體系的重要目標(biāo)；2）管理體系的主要范疇；3）管理體系現(xiàn)狀考察與風(fēng)險(xiǎn)估量；4）完善管理體系的制度；5）整理管理體系的文檔；6）管理體系的運(yùn)行方式；7）信息安全管理體系考核。

五、結(jié)論

篇(5)

關(guān)鍵詞：供水企業(yè)?信息安全?安全管理

中圖分類號(hào)：F29 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-3791(2012)02(c)-0000-00

1 前言

當(dāng)前，隨著網(wǎng)絡(luò)和信息化建設(shè)的不斷發(fā)展，企業(yè)對(duì)信息網(wǎng)絡(luò)的依賴越來越強(qiáng)，供水企業(yè)也不例外。供水企業(yè)信息安全問題關(guān)系到供水系統(tǒng)的穩(wěn)定和安全運(yùn)行。目前，供水企業(yè)的信息安全風(fēng)險(xiǎn)主要來自于兩個(gè)方面，即內(nèi)部和外部的因素。內(nèi)部威脅主要為企業(yè)信息安全管理問題；外部因素主要包括因病毒、黑客、惡意軟件等造成的數(shù)據(jù)丟失，系統(tǒng)運(yùn)行失常等問題。本文圍繞著這兩個(gè)方面的因素，就供水企業(yè)的信息安全問題進(jìn)行探討。

2 供水企業(yè)面臨的信息安全威脅

2.1 計(jì)算機(jī)病毒的傳播

計(jì)算機(jī)病毒的傳播是帶來企業(yè)信息安全風(fēng)險(xiǎn)的因素之一。自上世紀(jì)九十年代以來，計(jì)算機(jī)病毒以迅猛的增長速度危害著個(gè)人用戶和企業(yè)用戶，給企業(yè)和個(gè)人造成了嚴(yán)重的經(jīng)濟(jì)損失。目前，隨著智能手機(jī)的普及，一種新型的病毒，即手機(jī)病毒也開始威脅到企業(yè)的信息安全。

2.2 企業(yè)內(nèi)部網(wǎng)絡(luò)受到黑客攻擊

黑客對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的攻擊是帶來企業(yè)信息安全風(fēng)險(xiǎn)的因素之二。由于Internet具有自由行和廣泛性，而供水企業(yè)一般又建立了企業(yè)內(nèi)部網(wǎng)絡(luò)。當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet發(fā)生間接或直接關(guān)聯(lián)的時(shí)候，企業(yè)內(nèi)部網(wǎng)絡(luò)就有可能成為黑客攻擊的目標(biāo)，從而泄露或丟失一些重要的企業(yè)信息，或使企業(yè)內(nèi)部網(wǎng)絡(luò)處于失常或癱瘓的狀態(tài)。

2.3 企業(yè)安全管理的不足

企業(yè)的信息系統(tǒng)不夠健全，企業(yè)員工的安全意識(shí)薄弱，這也是造成企業(yè)信息安全威脅的因素。在信息機(jī)構(gòu)設(shè)置方面，供水企業(yè)缺乏規(guī)范的機(jī)構(gòu)體制，相關(guān)的專業(yè)技術(shù)人員偏少。同時(shí)，很多供水企業(yè)對(duì)相關(guān)的專業(yè)技術(shù)人員缺乏系統(tǒng)的專業(yè)培訓(xùn)，使得企業(yè)員工缺乏必要的安全意識(shí)，“防黑防毒”意識(shí)淡薄，對(duì)一些惡意攻擊也缺乏警惕性，有的甚至因?yàn)椴僮魇д`而給各種信息安全威脅帶來了可能。

3 供水企業(yè)信息安全建設(shè)

3.1 采用防水墻技術(shù)

防水墻是保障企業(yè)信息安全的有效手段。通過控制進(jìn)出供水企業(yè)網(wǎng)絡(luò)的權(quán)限，監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流，檢查所有的數(shù)據(jù)連接，防水墻技術(shù)可以有效地控制和管理對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)的訪問控制和安全管理，隔離和過濾危險(xiǎn)數(shù)據(jù)包，防止企業(yè)網(wǎng)絡(luò)受到黑客和病毒的破壞與干擾。同時(shí)，由于所有的訪問都得通過防火墻，防火墻還能實(shí)時(shí)記錄和統(tǒng)計(jì)網(wǎng)絡(luò)訪問，這對(duì)企業(yè)信息安全管理人員管理維護(hù)企業(yè)網(wǎng)絡(luò)提供了有利條件。

3.2 采用入侵檢測(cè)技術(shù)

防火墻可以限制對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)的非法訪問或攻擊，檢測(cè)并防御非法訪問。然而，防火墻無法防止企業(yè)網(wǎng)絡(luò)內(nèi)部用戶之間的攻擊不經(jīng)過防火墻。因此，在采用防火墻的同時(shí)，有必要用入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)（Intrusion-detection?system），簡稱IDS,?是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它能夠分析通過網(wǎng)絡(luò)收集的信息，檢測(cè)并識(shí)別出惡意行為，及時(shí)有效地發(fā)現(xiàn)網(wǎng)絡(luò)異常，檢測(cè)出網(wǎng)絡(luò)中違反安全策略的行為。如果說防火墻是一幢大樓的門衛(wèi)，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。除了簡單的記錄和發(fā)出警報(bào)之外，IDS還可以進(jìn)行主動(dòng)反應(yīng)：打斷會(huì)話，和實(shí)現(xiàn)過濾管理規(guī)則。所以說，要確保供水企業(yè)網(wǎng)絡(luò)處于安全的狀態(tài)，入侵檢測(cè)技術(shù)也是必不可少的，它是防火墻技術(shù)的一個(gè)有效的補(bǔ)充。

3.3 采用VPN技術(shù)

VPN（Virtual?Private?Network），即虛擬專用網(wǎng)，是通過一個(gè)公用網(wǎng)絡(luò)（通常為Internet）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。它主要是通過路由器、防火墻技術(shù)、隧道技術(shù)，安全秘鑰以及加密協(xié)議而組建成的Internet?VPN。它是對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的擴(kuò)展，通過VPN可以在企業(yè)分支機(jī)構(gòu)，合作伙伴、供應(yīng)商或遠(yuǎn)程用戶與企業(yè)內(nèi)部網(wǎng)絡(luò)之間建立可靠的安全連接，向他們提供安全而有效的信息服務(wù)，保證數(shù)據(jù)的安全傳輸，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全通信的虛擬專用線路，使得外部非法用戶無法訪問公司內(nèi)部信息。與此同時(shí)，VPN技術(shù)還可以極大降低企業(yè)信息共享的成本。

3.4 加強(qiáng)企業(yè)員工的安全管理

實(shí)現(xiàn)供水企業(yè)的信息安全，除了做好技術(shù)防護(hù)之外，還得加強(qiáng)企業(yè)內(nèi)部員工的安全管理。做好技術(shù)防護(hù)并不意味著一勞永逸，企業(yè)員工的信息安全管理也是至關(guān)重要的。加強(qiáng)企業(yè)關(guān)公的安全管理需做好以下幾點(diǎn)：1)增強(qiáng)企業(yè)員工的安全意識(shí)。員工的安全意識(shí)淡薄是造成企業(yè)信息安全風(fēng)險(xiǎn)的一大因素。為保障企業(yè)信息安全，供水企業(yè)需對(duì)員工進(jìn)行企業(yè)網(wǎng)絡(luò)系統(tǒng)的專業(yè)培訓(xùn)與教育，掌握信息安全問題的基礎(chǔ)知識(shí)與常識(shí)，提高對(duì)外部惡意攻擊和病毒的警惕性，加強(qiáng)安全防護(hù)意識(shí)，能及時(shí)發(fā)現(xiàn)并處理常見的安全問題。2)健全企業(yè)信息安全管理規(guī)章制度。根據(jù)供水企業(yè)的實(shí)際情況，建立健全的信息安全管理制度，如網(wǎng)絡(luò)系統(tǒng)使用規(guī)范、機(jī)房管理制度、保密制度、值班制度、設(shè)備維護(hù)制度等。企業(yè)員工必須遵照相關(guān)管理制度，明確職責(zé)，按照相關(guān)用戶口令或操作口令，確保日常操作符合信息安全規(guī)章制度，最大限度地防止人為失誤或違規(guī)操作帶來的信息安全問題。3)配置專門的企業(yè)信息安全管理技術(shù)人才。在互聯(lián)網(wǎng)高速發(fā)展的幾天，沒有絕對(duì)的信息安全。企業(yè)需配置專門的信息安全管理人員，在及時(shí)有效地處理企業(yè)信息安全風(fēng)險(xiǎn)的同時(shí)，增強(qiáng)企業(yè)信息安全管理的人才儲(chǔ)備，加強(qiáng)信息安全技術(shù)管理隊(duì)伍，培養(yǎng)弓雖企業(yè)網(wǎng)絡(luò)系統(tǒng)硬件和軟件的開發(fā)設(shè)計(jì)人才，掌握保障企業(yè)信息安全的核心技術(shù)。

4 結(jié) 語

本文以供水企業(yè)為例，對(duì)企業(yè)的信息安全風(fēng)險(xiǎn)進(jìn)行了分析，認(rèn)為計(jì)算機(jī)病毒的傳播，黑客對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的攻擊以及企業(yè)在員工安全管理方面的不足是造成供水企業(yè)信息安全問題的三大原因。因此，要保障信息安全，供水企業(yè)需在技術(shù)和管理兩方面下功夫。在技術(shù)方面，企業(yè)可采用防火墻技術(shù)、入侵檢測(cè)技術(shù)和VPN技術(shù)。在管理層面上，企業(yè)需增強(qiáng)員工的安全意識(shí)，建立健全企業(yè)信息安全管理規(guī)章制度，配置專門的信息安全管理技術(shù)人才。

參考文獻(xiàn)

[1]丁麗川，曹暉.計(jì)算機(jī)網(wǎng)絡(luò)信息安全探析[J].?科技創(chuàng)新導(dǎo)報(bào).?2010(35):28.

[2]范紅，馮登國.?信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用[M].?北京：清華大學(xué)出版社，2006.

篇(6)

企業(yè)經(jīng)營信息對(duì)于企業(yè)來說是一種資源,對(duì)于企業(yè)自身來說具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來,企業(yè)的各項(xiàng)經(jīng)營活動(dòng)都逐漸開始通過計(jì)算機(jī),網(wǎng)絡(luò)開展,因此,企業(yè)的信息安全管理對(duì)于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時(shí)將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制結(jié)合起來,這是一個(gè)正確的選擇,能夠幫助企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風(fēng)險(xiǎn)控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險(xiǎn)控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險(xiǎn)控制的定義。企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡單來說是指企業(yè)通過各種手段來保護(hù)企業(yè)硬件和軟件,保護(hù)網(wǎng)絡(luò)存儲(chǔ)中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對(duì)于信息安全的認(rèn)定通過包括4個(gè)指標(biāo),即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實(shí)現(xiàn)企業(yè)的信息安全管理,其中很重要的一項(xiàng)工作在于保護(hù)信源、信號(hào)以及信息。

信息安全管理是一項(xiàng)需要綜合學(xué)科知識(shí)基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計(jì)算機(jī)技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講,最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。所以,怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)。

企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估,并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息安全風(fēng)險(xiǎn),從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容。第一,建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度,明確企業(yè)信息安全管理的責(zé)任分配機(jī)制,明確企業(yè)各個(gè)部門對(duì)各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問責(zé)機(jī)制。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo),對(duì)企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級(jí),方便企業(yè)管理者對(duì)不同的信息安全管理漏洞采取有區(qū)別的對(duì)策。第三,企業(yè)要加強(qiáng)對(duì)信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識(shí),讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識(shí)到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性。第四,將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合,重視企業(yè)信息安全管理工作,通過風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評(píng)估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對(duì)于企業(yè)來說,企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作,因此,必須增強(qiáng)對(duì)企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計(jì),目前很多企業(yè)對(duì)信息安全工作的管理僅僅停留在對(duì)企業(yè)信息安全管理工作人員的技術(shù)要求上,對(duì)企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險(xiǎn)意識(shí)并沒有嚴(yán)格要求。此外,絕大多數(shù)企業(yè)并沒有意識(shí)開展對(duì)企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒有通過建立相關(guān)管理制度以及問責(zé)機(jī)制對(duì)企業(yè)信息安全管理工作人員實(shí)行監(jiān)督,這無疑給別有用心或者立場(chǎng)不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計(jì)算機(jī)技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過關(guān),一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對(duì)企業(yè)信息缺乏保護(hù),另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時(shí)更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn),企業(yè)信息安全管理的知識(shí)也并沒有及時(shí)更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂,很多服務(wù)器、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問題。作為一個(gè)行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面。第一,企業(yè)員工對(duì)于信息安全管理的認(rèn)識(shí)嚴(yán)重不足,對(duì)企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒有及時(shí)更新,使用,甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān),認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內(nèi)部信息安全文秘站:管理制度并沒有形成聯(lián)動(dòng)機(jī)制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段 1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu),它的設(shè)計(jì)初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來實(shí)現(xiàn),而安全服務(wù)又是由各種安全機(jī)制來保障的。所以,安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個(gè)部分:響應(yīng)、安全策略、檢測(cè)、防護(hù)。安全策略是信息安全的重點(diǎn),為安全管理提供管理途徑和保障手段。因此,要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過程,必須制定一個(gè)企業(yè)的安全模式。在安全策略的指導(dǎo)下實(shí)施所有的檢測(cè)、防護(hù)、響應(yīng),防護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的,比如有防火墻、訪問控制、加密、認(rèn)證等方法,檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù),同時(shí)也是有力落實(shí)安全策略的實(shí)施工具,通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為,可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點(diǎn)。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險(xiǎn)潛在性的最有效的辦法。

3.HTP模型

HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強(qiáng)調(diào)動(dòng)態(tài)管理,動(dòng)態(tài)監(jiān)督,對(duì)于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理,在實(shí)際工作中,通過HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個(gè)全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個(gè)子系統(tǒng),明確實(shí)施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動(dòng)協(xié)議相融合,實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性。

(2)成立一個(gè)中央數(shù)據(jù)庫,整合分布式數(shù)據(jù)庫里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫,實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用。

(3)設(shè)計(jì)優(yōu)良的人機(jī)界面,通過對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用,為企業(yè)管理階層人員、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。

(4)簡化企業(yè)內(nèi)部的信息傳輸通道,對(duì)應(yīng)用程序和數(shù)據(jù)庫進(jìn)行程序化設(shè)計(jì),加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系

(1)確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過程中,首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度,才能順利通過對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核,檢測(cè)企業(yè)信息安全管理的風(fēng)險(xiǎn),定性定量地企業(yè)信息安全管理工作進(jìn)行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法。

(2)確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍

不同企業(yè)對(duì)于風(fēng)險(xiǎn)的承受能力是有區(qū)別的,因此,對(duì)于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險(xiǎn)控制辦法,其中,不同企業(yè)對(duì)于能夠承受的信息安全風(fēng)范圍有所不同,企業(yè)的信息安全風(fēng)險(xiǎn)承受范圍需要根據(jù)企業(yè)的實(shí)際能力來制定。不僅如此,企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實(shí)際經(jīng)營情況變化采取有針對(duì)性的辦法。

篇(7)

關(guān)鍵詞：中小企業(yè)；電子信息；安全技術(shù)

1 電子信息安全的內(nèi)涵

對(duì)于買方來說電子信息主要優(yōu)點(diǎn)是方便快捷、操作起來比較簡單。電子信息對(duì)于賣方來說主要優(yōu)點(diǎn)是管理比較方便并且成本較低，但是電子信息最大的缺點(diǎn)就是買賣雙方不能進(jìn)行交流，主要是貨幣與貨品的交換，并且交易都是通過網(wǎng)絡(luò)進(jìn)行的，之所以交易能夠順利完成，主要的原因是兩者之間存在著誠信。關(guān)于誠信主要有兩個(gè)方面的內(nèi)容：有一種系統(tǒng)軟件在買賣的過程中起到安全保障的作用，能將虛擬的貨幣符號(hào)轉(zhuǎn)化成真實(shí)的貨幣，同時(shí)也能對(duì)交易起到保護(hù)作用，其中主要是對(duì)貨幣賬戶起到安全保障的作用。要想研究電子信息安全，首先要了解信息的內(nèi)涵。信息主要是指資料、數(shù)據(jù)以及知識(shí)以不同的形式存在，在中小企業(yè)中這類信息主要是指買賣雙方的有關(guān)信息和資料，犯罪分子能通過非法的手段對(duì)電子信息中的買賣雙方采取詐騙行為，或者是通過網(wǎng)絡(luò)對(duì)進(jìn)行入侵和盜竊。信息安全管理標(biāo)準(zhǔn)對(duì)信息做出了詳細(xì)的定義，信息也是屬于資產(chǎn)，與其他的資產(chǎn)相同，對(duì)中小企業(yè)的發(fā)展有著重要的作用，是需要法律保護(hù)的。信息安全管理標(biāo)準(zhǔn)將信息劃分為八個(gè)部分，主要包括物理資產(chǎn)、文檔資產(chǎn)、文字資產(chǎn)、服務(wù)資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)以及人力資源資產(chǎn)。

中小企業(yè)的電子信息主要是以網(wǎng)絡(luò)為載體，網(wǎng)絡(luò)的交流主要通過數(shù)據(jù)的傳輸?shù)靡詫?shí)現(xiàn)，網(wǎng)上交易就是交流過程中的主要內(nèi)容。所以，在信息安全的范疇中電子信息安全技術(shù)就成為了重點(diǎn)問題。關(guān)于電子信息安全技術(shù)的研究大多是關(guān)于技術(shù)的，但是對(duì)于中小企業(yè)來說，不僅要對(duì)技術(shù)進(jìn)行改進(jìn)，也要重視管理層，避免信息出現(xiàn)安全問題。

2 電子信息安全的理論

我國關(guān)于電子信息安全的研究，仍然較為落后。在國際中的關(guān)于信息安全的主要理論為：三觀安全理論、信息循環(huán)理論以及信息安全模型理論。

三觀安全理論。在中小企業(yè)的電子信息安全系統(tǒng)中，三觀安全理論主要將其分為三個(gè)方面的內(nèi)容，即微觀、中觀以及宏觀。這個(gè)理論主要是將宏觀層面的安全理念轉(zhuǎn)化成微觀層面的管理理念，進(jìn)而對(duì)服務(wù)與生產(chǎn)進(jìn)行指導(dǎo)。

信息安全模型理論。信息安全模型理論是信息安全管理發(fā)展過程中的產(chǎn)物，信息安全模型理論主要是將人、軟件、操作以及信息系統(tǒng)相結(jié)合，并且全面的保護(hù)網(wǎng)絡(luò)信息系統(tǒng)。主要倡導(dǎo)的是一種新的安全觀念，并且提出了不能僅靠程序與軟件對(duì)系統(tǒng)信息安全進(jìn)行保護(hù)，要注重動(dòng)態(tài)保護(hù)。此外，關(guān)于電子信息安全問題不能只依賴于安全技術(shù)，也要重視管理層安全理念的創(chuàng)新。

電子信息的循環(huán)理論。在實(shí)施網(wǎng)絡(luò)信息安全的過程中電子信息的循環(huán)理論將其劃分為四個(gè)方面：計(jì)劃、執(zhí)行、檢查以及改進(jìn)。這四個(gè)方面是一個(gè)循環(huán)的過程，也是一個(gè)周期，在循環(huán)的過程中，將這個(gè)過程看作是一個(gè)整體的信息安全管理體制，而不是將其看成某一管理過程。

3 電子信息安全技術(shù)對(duì)加強(qiáng)中小企業(yè)信息安全的作用

上文所述的三個(gè)信息安全理論對(duì)中小企業(yè)的信息安全管理有著重要的作用，主要有以下幾個(gè)方面的內(nèi)容。第一是信息安全領(lǐng)域的建設(shè)，第二是中小型企業(yè)中加強(qiáng)建設(shè)信息安全組織。美國信息安全研究所首次提出了信息安全領(lǐng)域，信息安全領(lǐng)域主要是指根據(jù)信息的不同保密程度創(chuàng)建相應(yīng)的保密級(jí)別，網(wǎng)絡(luò)控件的安裝要結(jié)合用戶信息的不同安全級(jí)別，安全信息的選擇要適合用戶的保密級(jí)別。在中小企業(yè)中，電子信息與資料的分類系統(tǒng)應(yīng)該有統(tǒng)一的部門進(jìn)行管理，然后對(duì)信息進(jìn)行分類，并采取不同程度的加密與保密，這類信息主要包含文檔、電子商務(wù)的相關(guān)資料以及服務(wù)等。將這些信息進(jìn)行分類、保密、歸檔以及整合，有利于中小企業(yè)電子信息的調(diào)試。

對(duì)于中小企業(yè)來說，一直都存在電子信息安全性不夠的問題，這主要同企業(yè)內(nèi)部安全管理不足有關(guān)，安全管理的工作缺少專業(yè)的管理，很多的小型企業(yè)并沒有統(tǒng)一的信息安全管理部門。企業(yè)安全管理部門的主要職能包含這幾個(gè)方面的內(nèi)容：同企業(yè)人力資源管理部門相互配合共同完成工作內(nèi)容，要定期的審查一些特殊崗位的員工，一旦發(fā)現(xiàn)有違反安全規(guī)則的情況，要重新進(jìn)行審查。同時(shí)還要對(duì)員工進(jìn)行保密的培訓(xùn)；組織各個(gè)部門的工作，并對(duì)各個(gè)部門的工作進(jìn)行協(xié)調(diào)，使企業(yè)的安全目標(biāo)以及戰(zhàn)略得以實(shí)現(xiàn)；企業(yè)的安全管理部門主要是對(duì)安全問題的管理、計(jì)劃以及決策負(fù)責(zé)。也是企業(yè)的應(yīng)急部門，要想避免企業(yè)信息的泄露，信息安全管理部門就必須加強(qiáng)對(duì)信息的管理；多聯(lián)系各個(gè)地區(qū)的信息機(jī)構(gòu)以及信息安全管理部門，這樣能給企業(yè)帶來新的信息安全管理觀念以及安全技術(shù)；采取信息安全報(bào)告制，定期的向管理部門匯報(bào)信息安全的保護(hù)狀況，對(duì)于一些重要的事件要及時(shí)的匯報(bào)，取得管理層對(duì)信息安全管理工作的支持。

在網(wǎng)絡(luò)工程發(fā)展的同時(shí)，電子信息也得到了發(fā)展，電子信息在企業(yè)的發(fā)展中有著重要的作用，企業(yè)對(duì)其也越發(fā)的依賴電子信息。但是這只是一個(gè)虛擬的場(chǎng)所，主要通過網(wǎng)絡(luò)這個(gè)載體來完成交易，因此安全技術(shù)問題成為了企業(yè)普遍關(guān)注的問題。

[參考文獻(xiàn)]

[1]陳光匡，興華.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（7）.

[2]向宏，艾鵬，等.電子政務(wù)系統(tǒng)安全域的劃分與等級(jí)保護(hù)[J].重慶工學(xué)院學(xué)報(bào)，2009（2）.