導(dǎo)語：如何才能寫好一篇審計信息安全管理，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】建筑深基坑；基坑支護；技術(shù)管理

中圖分類號： TV551 文獻標識碼： A

一、引言

隨著國民經(jīng)濟的迅猛發(fā)展，建筑業(yè)蓬勃發(fā)展．城市中心為了節(jié)省建筑用地和滿足停車位要求，各地人防管理部門、城市規(guī)劃部門均要求新建工程必須按一定比例建設(shè)戰(zhàn)時防空地下室平時作為地下停車場和設(shè)備用房的地下室。在給城市提供寶貴的建筑空間的同時．與基坑有關(guān)的安全事故也時有發(fā)生。輕者基坑邊坡位移，周邊道路、建筑物開裂；重者基坑整體失穩(wěn)破壞．傾覆坍塌，人員傷亡，周邊市政管網(wǎng)遭到破壞．毗鄰房屋結(jié)構(gòu)安全受到影響建筑深基坑的安全隱患和事故已經(jīng)引起各級政府建設(shè)行政主管部門和業(yè)內(nèi)人士的高度關(guān)注住建部于2009年5月印發(fā)《危險性較大的分部分項工程安全管理辦法》(建質(zhì)[2009]87號)，文中要求深基坑支護設(shè)計方案及深基坑工程專項施工方案均必須通過專家論證會．可見其重要性。

二、中心城區(qū)建筑深基坑的特點

中心城區(qū)建筑深基坑主要有如下特點：基坑周邊接近建筑用地紅線．基坑支護不允許超越紅線，基坑周邊地下存在大量電纜、光纜、給排水管道、液化氣管道和城市道路等基坑支護要求嚴格控制支護結(jié)構(gòu)的位移和地面、管道的變形；基坑深度超過鄰近建筑物基礎(chǔ)的埋深．基坑土方開挖及降水不能影響鄰近建筑的結(jié)構(gòu)安全基坑周邊需要材料堆場．可供材料、土方運輸?shù)牡缆肥芟?，基坑支護要考慮該處的地面超載等等有的基坑邊還存在古建筑或古樹等，須重點保護?？傊鞘兄行膮^(qū)建筑深基坑工程的特點是周邊環(huán)境因素復(fù)雜．須監(jiān)測保護的項目多．基坑支護不僅要滿足本基坑工程土方的開挖要求。同時還要保護好周邊的環(huán)境。

三、建筑深基坑事故的主要表現(xiàn)形式和原因

(1)深基坑工程施工中的安全事故主要表現(xiàn)形式有：

1)基坑支護結(jié)構(gòu)局部破壞．局部側(cè)壁出現(xiàn)塌方，擋土樁出現(xiàn)開裂。

2)基坑截水帷幕功能失效．基坑大量進水或涌沙、涌泥。

3)基坑底部土體嚴重隆起。

4)基坑支護結(jié)構(gòu)嚴重位移或破壞、或地下降水不當(dāng)引起基坑周邊道路、地下管線、建筑物變形、破壞。

5)基坑支護結(jié)構(gòu)整體失穩(wěn)坍塌，嚴重影響周邊的環(huán)境

(2)引起建筑基坑工程事故的主要原因有：

1)地址勘察單位提供的基坑巖土勘察資料不準確，不完整

2)設(shè)計單位提供的基坑支護設(shè)計方案不合理或存在嚴重的安全問題

3)施工單位對基坑工程不重視，未按規(guī)定編制可行的施工方案而隨意施工

4)基坑工程施工方案存在嚴重的缺陷

5)施工單位雖編制了切實可行的施工方案，但是在施工中為了省造價或趕工期而未按方案實施。

6)監(jiān)測單位提供的監(jiān)測資料不及時或資料有誤、不完整

7)基坑工程施工中遇到突發(fā)事故沒有切實可靠的應(yīng)急處理方案

8)其他不可預(yù)知的因素或自然災(zāi)害引起的基坑事故

四、建筑深基坑工程安全控制要點

(1)建筑基坑工程巖土勘察報告應(yīng)準確完整巖土工程勘察報告(以下簡稱勘察報告)是基坑支護設(shè)計方案和降水方案的重要依據(jù)．其是否準確完整將對基坑支護設(shè)計方案產(chǎn)生重大的影響?？辈靾蟾鎽?yīng)滿足《建筑基坑支護技術(shù)規(guī)程》JGJ120―2012要求的深度，如基坑勘探點的位置、深度、間距，各含水土層地下水的埋深分布、水量大小、變化幅度、滲透參數(shù)、影響半徑等。《勘察報告》應(yīng)提供“基坑支護主要參數(shù)值”，如各土層的重度、內(nèi)聚力、摩擦角、樁周土的側(cè)阻力特征值等?！犊辈靾蟾妗愤€應(yīng)查明基坑周邊環(huán)境條件，如周邊建筑的結(jié)構(gòu)類型、層數(shù)、位置、基礎(chǔ)形式、埋深；周邊地下管網(wǎng)的分布、埋深；周邊道路的位置、寬度、道路行駛情況、最大車輛荷載等．并提出基坑支護的建議方案

(2)建筑深基坑支護設(shè)計方案應(yīng)做到技術(shù)先進、安全可靠、經(jīng)濟合理、切實可行。

l基坑支護設(shè)計方案對基坑工程的安全起關(guān)鍵性作用。基坑支護設(shè)計．其核心是為地下室基坑土方開挖施工提供技術(shù)支持基坑支護設(shè)計方案主要包含如下內(nèi)容：

①用于基坑擋土的支擋結(jié)構(gòu)設(shè)計；

②用于排水、隔水的地下水處理方案：

③用于土方分層開挖的側(cè)壁支護方案：

④對周邊環(huán)境的保護方案；

⑤對支護結(jié)構(gòu)、工程樁、周邊環(huán)境的監(jiān)測方案等。

2)基坑支護設(shè)計執(zhí)業(yè)人員應(yīng)具備一定的巖土工程和建筑結(jié)構(gòu)專業(yè)知識以及豐富的實踐經(jīng)驗．并以科學(xué)嚴謹、認真負責(zé)的工作態(tài)度進行方案設(shè)計。

一級基坑工程支護應(yīng)由注冊巖土工程師和一級注冊結(jié)構(gòu)工程師聯(lián)合設(shè)計基坑支護設(shè)計方案要做到技術(shù)先進、安全可靠、經(jīng)濟合理，確?；庸こ碳爸苓叚h(huán)境的安全．主要考慮以下幾個方面：

①基坑支護設(shè)計前．要仔細研究勘察報告的有關(guān)內(nèi)容，并到現(xiàn)場查明基坑周邊環(huán)境條件如基坑所處位置的地形、地貌、地質(zhì)成因、各土層的物理指標，水位的高低及水壓力的大?。夯又苓吔?構(gòu))筑物、地下管網(wǎng)、道路等情況。對勘察報告描述不清或數(shù)據(jù)明顯有誤的地方．要求提出專項勘察．補充修正。

②支護設(shè)計方案比選。應(yīng)針對基坑深度、規(guī)模、周邊環(huán)境的情況盡可能設(shè)計多種方案．并進行技術(shù)、安全、經(jīng)濟比較后，選擇安全經(jīng)濟型的設(shè)計方案。對于工程等級為一級．基坑開挖深度大于4m。或地質(zhì)條件、周邊環(huán)境和地下管線復(fù)雜，或毗鄰建筑物安全的基坑工程．設(shè)計方案應(yīng)聘請當(dāng)?shù)亟?jīng)驗豐富的專家進行技術(shù)論證

③基坑支護設(shè)計方案應(yīng)綜合考慮工程地質(zhì)與水文地質(zhì)條件，主體地下結(jié)構(gòu)要求，基坑開挖深度，降排水條件．周邊環(huán)境對側(cè)壁位移的要求．基坑周邊荷載，周邊建(構(gòu))筑物基礎(chǔ)的類型、埋深、間距，周邊道路、地下管線，當(dāng)?shù)厥┕すに囁剑邮┕ぜ竟?jié)變化．支護結(jié)構(gòu)合理使用期限等因素．做到因地制宜、因時制宜、技術(shù)先進、安全可靠、經(jīng)濟合理、切實可行目前國內(nèi)沿海軟土地區(qū)單層地下室常采

用的支護結(jié)構(gòu)有重力式水泥土墻、土釘墻、復(fù)合土釘墻、排樁。兩層及兩層以上地下室采用排樁加內(nèi)支撐，樁型有PHC管樁、鋼筋砼灌注樁、拉森板樁、三軸水泥攪拌樁(SMW工法)內(nèi)插型鋼、鋼管樁等，還有造價較高的地下連續(xù)墻．逆作拱墻等

(3)深基坑工程施工方法、土方開挖順序應(yīng)與設(shè)計工況相一致。

基坑工程施工前．施工單位應(yīng)組織專業(yè)技術(shù)人員，依據(jù)基坑支護設(shè)計施工圖、巖土勘察報告、主體地下結(jié)構(gòu)施工圖、項目總體施工組織設(shè)計方案、現(xiàn)行規(guī)范規(guī)程標準等資料編制施工專項方案方案中主要包含以下內(nèi)容：

1)編制依據(jù)：相關(guān)法律法規(guī)、規(guī)范規(guī)程．施工組織設(shè)計，勘察報告，施工圖等；

2)工程概況：施工總平圖．工程等級．基坑開挖深度、基坑面積、周長，支護形式等：

3)施工方法：施工工藝，工藝流程。技術(shù)參數(shù)等：

4)施工計劃：人員、材料、設(shè)備、機械計劃．進度計劃等：

5)安全組織：建立專項安全管理機構(gòu)：6)質(zhì)量安全保證措施：質(zhì)量檢測，檢測方法，安全管理措施等：

7)降排水措施：

8)基坑及周邊環(huán)境監(jiān)測要求：

9)環(huán)境保護措施：

10)應(yīng)急預(yù)案等：

11)相關(guān)附圖及計算書。

如基坑工程屬于住建部規(guī)定的超過一定規(guī)模的危險性較大的分部分項工程時．施工單位還要就該方案組織專家論證會?；油练介_挖應(yīng)與土釘、錨桿及降水施工密切結(jié)合．開挖順序、方法應(yīng)與設(shè)計工況相一致對于復(fù)合土釘墻施工必須符合“超前支護、分層分段、逐層施作、限時封閉、嚴禁超挖”的要求，做到動態(tài)設(shè)計、信息化施工。施工中遇到地質(zhì)情況與勘察報告不符或未探明的地質(zhì)等特殊情況。應(yīng)及時與設(shè)計、相關(guān)技術(shù)人員和專家會商，制定相應(yīng)的對應(yīng)措施．出現(xiàn)危險征兆．應(yīng)立即啟動應(yīng)急預(yù)案。

篇2

衛(wèi)生監(jiān)督信息系統(tǒng)信息安全技術(shù)體系建設(shè)，嚴格遵循等級保護第三級的技術(shù)要求進行詳細設(shè)計、技術(shù)選擇、產(chǎn)品選型、產(chǎn)品部署。技術(shù)體系從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等5個方面進行設(shè)計。

1.物理安全

衛(wèi)生監(jiān)督中心現(xiàn)有南北兩個機房，機房及相關(guān)配套設(shè)施面積總計160平方米。北機房部署等級保護第三級信息系統(tǒng)，南機房部署等級保護第二級信息系統(tǒng)，實現(xiàn)了第三級系統(tǒng)與第二級系統(tǒng)物理環(huán)境隔離。根據(jù)等級保護有關(guān)要求，機房均采用了精密空調(diào)、門禁系統(tǒng)、環(huán)境監(jiān)測系統(tǒng)等設(shè)備設(shè)施及技術(shù)手段，有效地保證了機房的物理安全。

2.網(wǎng)絡(luò)安全

主干網(wǎng)絡(luò)鏈路均采用雙鏈路連接，關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備均采用雙機冗余方式，避免單點故障。采用防火墻、入侵防護系統(tǒng)、DDoS系統(tǒng)進行邊界防護，各網(wǎng)絡(luò)區(qū)域之間采用防火墻進行區(qū)域隔離，在對外服務(wù)區(qū)部署了入侵檢測系統(tǒng)，在交換服務(wù)區(qū)部署了網(wǎng)絡(luò)審計系統(tǒng)。在核心數(shù)據(jù)區(qū)部署了數(shù)據(jù)庫審計系統(tǒng)，對網(wǎng)絡(luò)行為進行監(jiān)控和記錄。在安全管理區(qū)部署安全管理系統(tǒng)，實現(xiàn)設(shè)備日志的統(tǒng)一收集及分析。

3.主機安全

所有服務(wù)器和管理終端配置了密碼安全策略；禁止用戶遠程管理，管理用戶必須進入機房通過KVM進行本地管理；所有服務(wù)器和管理終端進行了補丁更新，刪除了多余賬戶，關(guān)閉了不必要的端口和服務(wù)；所有服務(wù)器和管理終端開啟了安全審計功能；通過對數(shù)據(jù)庫的安全配置，實現(xiàn)管理用戶和特權(quán)用戶的分離，并實現(xiàn)最小授權(quán)要求。

4.應(yīng)用安全

衛(wèi)生監(jiān)督中心7個應(yīng)用系統(tǒng)均完成了定級備案，并按照等級保護要求開展了測評工作。應(yīng)用服務(wù)器采取了集群工作部署，保證了系統(tǒng)的高可用性，同時建立了安全審計功能模塊，記錄登錄日志、業(yè)務(wù)操作日志、系統(tǒng)操作日志3種日志，并實現(xiàn)查詢和審計統(tǒng)計功能，配置了獨立的審計賬戶。門戶網(wǎng)站也采用了網(wǎng)頁防篡改、DDoS等系統(tǒng)。信息安全等級保護第三級系統(tǒng)管理人員及高權(quán)限用戶均使用CA證書登錄相應(yīng)系統(tǒng)。

5.數(shù)據(jù)安全及備份恢復(fù)

衛(wèi)生監(jiān)督信息報告系統(tǒng)數(shù)據(jù)庫服務(wù)器使用了雙機熱備，應(yīng)用服務(wù)器采用多機負載均衡，每天本地備份，保證了業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定和可靠運行。其余等級保護第三級信息系統(tǒng)使用了雙機備份，無論是軟件還是硬件問題，都可以及時準確地進行恢復(fù)并正常提供服務(wù)。同時，衛(wèi)生監(jiān)督中心在云南建立了異地數(shù)據(jù)備份中心，每天進行增量備份，每周對數(shù)據(jù)進行一次全備份。備份數(shù)據(jù)在一定時間內(nèi)進行恢復(fù)測試，保證備份的有效性。

二、信息安全管理體系

在開展信息安全等級保護工作中，我們深刻體會到，信息安全工作“三分靠技術(shù)，七分靠管理”。為保證信息安全等級保護工作順利進行，參考ISO/IEC27001《信息安全管理體系要求》，衛(wèi)生監(jiān)督中心建立了符合實際工作情況的信息安全管理制度體系，明確了“統(tǒng)一領(lǐng)導(dǎo)，技管并重；預(yù)防為主，責(zé)權(quán)分明；重點防護，適度安全”的安全方針，涵蓋等級保護管理要求中安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五大方面的要求。衛(wèi)生監(jiān)督中心建立了較為完善的信息安全責(zé)任制，設(shè)立了信息安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組組長由衛(wèi)生監(jiān)督中心主任擔(dān)任，成員由衛(wèi)生監(jiān)督中心有關(guān)處室負責(zé)人組成，信息處作為信息安全工作辦公室負責(zé)衛(wèi)生監(jiān)督中心日常信息安全管理工作。信息處設(shè)立了信息安全管理崗位，分別為網(wǎng)絡(luò)管理員、系統(tǒng)管理員、應(yīng)用管理員、安全管理員、安全審計員、機房管理員，并建立了信息安全崗位責(zé)任制度。此外，衛(wèi)生監(jiān)督中心依據(jù)上年度運維中存在的信息安全隱患每年對其進行修訂，確保信息安全工作落到實處。

三、信息安全運維體系

在信息安全工作中，建立信息安全管理制度不是目的，要以信息安全等級保護有關(guān)要求指導(dǎo)信息安全運維實踐。衛(wèi)生監(jiān)督中心結(jié)合實際情況，編制了《國家級衛(wèi)生監(jiān)督信息系統(tǒng)運行維護工作規(guī)范》，從運行維護流程、資源管理和環(huán)境管理三個方面進行了規(guī)范，將安全運維理念落到實處。運維人員在實際工作中，嚴格按照工作規(guī)范要求。利用衛(wèi)生監(jiān)督中心OA系統(tǒng)，建立了統(tǒng)一的服務(wù)臺，實現(xiàn)了事件、問題的全流程閉環(huán)管理（即：發(fā)現(xiàn)問題、登記問題、解決問題、解決反饋、解決確認）。年均處理信息安全事件近百件，將信息安全問題消滅在萌芽階段，有效地保證了信息系統(tǒng)穩(wěn)定運行，保證了衛(wèi)生監(jiān)督中心信息安全目標和方針的實現(xiàn)。

四、信息安全等級保護實踐經(jīng)驗

1.規(guī)范管理，細化流程

衛(wèi)生監(jiān)督中心從安全管理制度、安全管理組織機構(gòu)及人員、安全建設(shè)管理和安全運維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設(shè)，為國家級衛(wèi)生監(jiān)督信息系統(tǒng)運維管理工作中安全管理提供了重要指導(dǎo)。國家級衛(wèi)生監(jiān)督信息系統(tǒng)運維工作從安全管理體系的建設(shè)中吸取了很多有益經(jīng)驗，不僅合理調(diào)配了運維管理人員，落實了運維管理組織機構(gòu)和崗位職責(zé)，而且細化了運維管理流程，形成了“二級三線”的運維處理機制。

2.循序漸進，持續(xù)完善

篇3

【關(guān)鍵詞】電力企業(yè)信息安全管理策略

電力是國民經(jīng)濟的命脈，電力系統(tǒng)的安全穩(wěn)定，不但直接關(guān)系到國家經(jīng)濟的發(fā)展，還對民眾的日常生活有著巨大的影響。當(dāng)前隨著電力企業(yè)市場業(yè)務(wù)的不斷開展，其與互聯(lián)網(wǎng)的聯(lián)系也越來越密切，但互聯(lián)網(wǎng)存在著很大的自由性和不確定性，可能會給電力企業(yè)帶來潛在的不安全因素。而當(dāng)前電力企業(yè)的信息安全建設(shè)僅僅停留在封堵現(xiàn)有安全漏洞的階段，對于系統(tǒng)整體的信息安全意識還不夠。因此有必要對電力企業(yè)信息系統(tǒng)整體安全管理進行分析研究，有針對性的采取應(yīng)對策略，確保電力企業(yè)網(wǎng)絡(luò)信息可以實現(xiàn)安全穩(wěn)定運行。

1做好安全規(guī)劃

做好電力企業(yè)的網(wǎng)絡(luò)安全信息規(guī)劃需要做到以下兩點：

（1）要對電力企業(yè)的網(wǎng)絡(luò)管理進行科學(xué)合理的規(guī)劃，要結(jié)合實際情況對電力企業(yè)的網(wǎng)絡(luò)信息安全管理進行綜合考量，從整體上對網(wǎng)絡(luò)信息安全進行考慮和布置。網(wǎng)絡(luò)安全信息管理的具體開展主要依靠于安全管理體系，這一點上可以參照一些國外經(jīng)驗；

（2）電力企業(yè)因自身的獨特性質(zhì)，需要使用物理隔離的方法將內(nèi)外網(wǎng)隔離開來，內(nèi)網(wǎng)方面要合理規(guī)劃安全區(qū)域，要結(jié)合實際情況，將安全區(qū)域劃分成重點防范區(qū)域與普通防范區(qū)域。電力企業(yè)信息安全的內(nèi)部核心是重點防范區(qū)域，在此區(qū)域應(yīng)當(dāng)設(shè)置訪問權(quán)限，權(quán)限不足的普通用戶無法查看網(wǎng)頁。重要的數(shù)據(jù)運行如OA系統(tǒng)和應(yīng)用系統(tǒng)等應(yīng)該在安全區(qū)域內(nèi)進行，這樣可以保證其信息安全。

2加強制度建設(shè)

安全制度是保障電力企業(yè)網(wǎng)絡(luò)信息安全的關(guān)鍵部分，安全制度可以提升企業(yè)員工和企業(yè)領(lǐng)導(dǎo)對網(wǎng)絡(luò)信息安全的意識，電力企業(yè)需要將安全制度作為企業(yè)的工作核心，要結(jié)合當(dāng)前的實際情況，建立起符合電力企業(yè)網(wǎng)絡(luò)信息安全的管理制度，具體操作如下：

（1）做好安全審計，很多入侵檢測系統(tǒng)都有審計日志的功能，加強安全制度建設(shè)就需要利用好檢測系統(tǒng)的審計功能，做好對網(wǎng)絡(luò)日常工作的管理工作，對審計的數(shù)據(jù)必須要進行嚴格的管理，不經(jīng)過允許任何人不得擅自修改刪除審計記錄。

（2）電力企業(yè)網(wǎng)絡(luò)系統(tǒng)需要安裝防病毒軟件來保障網(wǎng)絡(luò)信息的安全，安裝的防病毒軟件需要具備遠程安裝、報警及集中管理等功能。此外，電力企業(yè)要建立好網(wǎng)絡(luò)使用管理制度，不要隨便將網(wǎng)絡(luò)上下載的數(shù)據(jù)復(fù)制在內(nèi)網(wǎng)主機上，不要讓來歷不清的存儲設(shè)備在企業(yè)的計算機中隨意使用。

（3）電力企業(yè)的管理者要高度重視其企業(yè)的網(wǎng)絡(luò)安全制度建設(shè)，不要把網(wǎng)絡(luò)信息安全管理僅僅看作是技術(shù)部門的工作，企業(yè)中應(yīng)建立起一支專門負責(zé)網(wǎng)絡(luò)信息安全的工作領(lǐng)導(dǎo)小組，要做好對企業(yè)內(nèi)所有職工的培訓(xùn)，最好能讓每一名職工都擁有熟練掌握網(wǎng)絡(luò)信息安全管理的能力。企業(yè)管理者要明確相關(guān)負責(zé)人的工作職責(zé)，定期對網(wǎng)絡(luò)安全工作開展督導(dǎo)檢查，管理制度需要具備嚴肅性、強制性和權(quán)威性，安全制度一旦形成，就必須要求職工嚴格執(zhí)行。

3設(shè)置漏洞防護

隨著當(dāng)前計算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，很多已經(jīng)投入運行性的網(wǎng)絡(luò)信息系統(tǒng)和設(shè)備的技術(shù)漏洞也隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展而日益增加，這在很大程度上給了不法分子竊取電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)數(shù)據(jù)的機會，對此電力企業(yè)需要做好以下兩項工作：

（1）電力企業(yè)需要利用一些漏洞掃描技術(shù)來維護企業(yè)的網(wǎng)絡(luò)安全，要對企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)經(jīng)常開展掃描工作，從而及時發(fā)現(xiàn)系統(tǒng)漏洞并完成修復(fù)。這樣可以提升企業(yè)網(wǎng)絡(luò)信息安全系數(shù)，不但能阻斷不法分子入侵企業(yè)信息系統(tǒng)的途徑，還可以使企業(yè)避免需要經(jīng)常性更換網(wǎng)絡(luò)信息系統(tǒng)設(shè)備可能增加的經(jīng)濟負擔(dān)，從而促進企業(yè)實現(xiàn)長遠發(fā)展；

（2）電力企業(yè)需要提升對網(wǎng)絡(luò)信息安全的風(fēng)險防范意識，增強企業(yè)應(yīng)對突發(fā)事件的應(yīng)急處理能力，針對不同的信息安全風(fēng)險需要設(shè)置好不同的預(yù)警機制。要定期檢查企業(yè)的網(wǎng)絡(luò)信息安全技術(shù)，防止網(wǎng)絡(luò)安全漏洞的出現(xiàn)。還要及時做好對網(wǎng)絡(luò)信息防護新手段的更新工作，從而提升企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的保護強度。

4提高管理手段

科學(xué)合理的企業(yè)網(wǎng)絡(luò)信息安全管理手段不僅可以維持電力企業(yè)的工作進度，還能有效規(guī)避企業(yè)網(wǎng)絡(luò)信息中所存在的安全隱患。提高企業(yè)網(wǎng)絡(luò)信息安全管理手段需要做到以下兩點：

（1）建立入侵保護系統(tǒng)IPS，提升企業(yè)網(wǎng)絡(luò)信息安全管理指標。在電力企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中建立網(wǎng)絡(luò)入侵保護系統(tǒng)IPS，可以為網(wǎng)絡(luò)信息提供一種快速主動的防御體系，IPS的設(shè)計理念是對常規(guī)網(wǎng)絡(luò)流量中攜帶的惡意數(shù)據(jù)包進行數(shù)據(jù)安全檢測，若發(fā)現(xiàn)可疑數(shù)據(jù)IPS將發(fā)揮網(wǎng)絡(luò)安全防御功能，來阻止可疑數(shù)據(jù)侵入電力系統(tǒng)的網(wǎng)絡(luò)信息系統(tǒng)。與常規(guī)的網(wǎng)絡(luò)防火墻相比，IPS具備更加完善的安全防御功能，其不僅能對網(wǎng)絡(luò)惡意數(shù)據(jù)流量進行檢測還能夠及時消除隱患。此外，IPS還能為電力企業(yè)的網(wǎng)絡(luò)提供虛擬補丁，從而預(yù)先對黑客攻擊和網(wǎng)絡(luò)病毒做出攔截，保證企業(yè)的網(wǎng)絡(luò)不受損害；

（2）電力企業(yè)要加大對新型網(wǎng)絡(luò)信息安全技術(shù)的研發(fā)投入，在組建企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)時，要對系統(tǒng)各組成部分做嚴格檢查，確保設(shè)備符合安全標準。對于組建網(wǎng)絡(luò)信息系統(tǒng)所需要的設(shè)備和部件則必須要求供應(yīng)商提供相應(yīng)的安檢報告，嚴防設(shè)備和部件的安全隱患。對于企業(yè)已投入使用的系統(tǒng)和設(shè)備，必須定期做好檢查，以確保安全系統(tǒng)能夠順利有效的開展防護工作。

5總結(jié)

綜上所述，本文通過維護電力企業(yè)網(wǎng)絡(luò)信息安全管理的相關(guān)策略進行研究發(fā)現(xiàn)，運用做好安全規(guī)劃、加強制度建設(shè)、設(shè)置漏洞防護和提高管理手段四項措施可以起到提升企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的保護強度、建立起符合電力企業(yè)網(wǎng)絡(luò)信息安全的管理制度從而確保安全系統(tǒng)能夠順利有效的開展防護工作的良好效果，希望本文的研究可以更好的提升我國電力企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)的安全管理水平，為維護我國電力系統(tǒng)的安全運行做出貢獻。

參考文獻 

[1]鄭玉山.電力企業(yè)網(wǎng)絡(luò)和信息安全管理策略思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（06）：121+123. 

篇4

關(guān)鍵詞：審計；信息化，安全保障體系；主機審計

審計是客觀評價個人，組織、制度、程序、項目或產(chǎn)品。審計執(zhí)行是以確定有效性和可靠性的信息，還提供了一個可內(nèi)控的評估系統(tǒng)。審計的目標是表達人、組織、系統(tǒng)等的評估意見，審計人員在測試環(huán)境中進行評估工作。審計必須出示合理并基本無誤的報表，通常是利用統(tǒng)計抽樣來完成。審計也是用來考察和防止虛假數(shù)據(jù)及欺騙行為，檢查、考證目標的完整性、準確性，以及檢查目標是否符合既定的標準、尺度和其它審計準則。實現(xiàn)審計的信息化，有利于管理層迅速準確的做出決定，對于政企業(yè)發(fā)展、社會經(jīng)濟的進步都具有重要作用。目前，我國的審計工作尚存在性質(zhì)認定模糊、工作范圍過于狹窄等問題，有待進一步加強和改進。

審計的基礎(chǔ)工作是內(nèi)部審計，內(nèi)審是審計監(jiān)督體系中不可或缺的重要組成部分，是全面經(jīng)濟管理必不可少的手段，是加強任何機構(gòu)內(nèi)部管理的必要，推動經(jīng)濟管理向科學(xué)化方向發(fā)展的重要環(huán)節(jié)也是審計。因此說審計部門是其他監(jiān)督部門不能代替的，促進黨風(fēng)廉政建設(shè)、加強對黨政領(lǐng)導(dǎo)干部及管理人員的監(jiān)督都可以通過審計來完成。審計應(yīng)用與高新技術(shù)機構(gòu)中，在防范風(fēng)險中發(fā)揮著重要作用，也有助于領(lǐng)導(dǎo)層做出正確決策。

一、審計工作的現(xiàn)狀及存在的問題

隨著我國經(jīng)濟迅猛發(fā)展，審計監(jiān)督力度不斷增強，審計范圍也不斷擴大。當(dāng)前，審計方式已由財政財務(wù)審計向效益審計發(fā)展，由賬項基礎(chǔ)審計向制度基礎(chǔ)審計、風(fēng)險基礎(chǔ)審計發(fā)展，由事后審計向事中、事前審計發(fā)展。審計管理上建立審計質(zhì)量控制體系，要求審計機關(guān)把審計管理工作前移，把質(zhì)量控制體系貫穿與審計工作中。在此趨勢下，傳統(tǒng)的審計方法暴露出其效率低、審計范圍小等劣勢，使得完成審計任務(wù)，達到審計目標越發(fā)缺乏及時性。

(一)內(nèi)部審計性質(zhì)認定較為模糊。內(nèi)部審計是市場經(jīng)濟條件下，基于加強經(jīng)營管理的內(nèi)在需要，也是內(nèi)部審計賴以存在的客觀基礎(chǔ)。但是，現(xiàn)代內(nèi)部審計的產(chǎn)生卻是一個行政命令產(chǎn)物，強調(diào)外向。這種審計模式使人們對內(nèi)部審計在性質(zhì)認定上產(chǎn)生模糊，阻礙了內(nèi)部審計的發(fā)展。內(nèi)部審計很難融入經(jīng)營管理中，審計工作很難正常開展，很難履行監(jiān)督評價職能和開展保證咨詢活動，因此就不能充分發(fā)揮其應(yīng)有的內(nèi)向的作用。

(二)內(nèi)部審計工作范圍過于狹窄。內(nèi)部審計的目的在于為組織增加價值并提高組織的運作效率，其職能是監(jiān)督和服務(wù)。但是，我國內(nèi)部審計工作的重心局限在財務(wù)收支的真實性及合規(guī)性審計。長久以來內(nèi)部審計突出了監(jiān)督職能，而忽視了服務(wù)職能。內(nèi)部審計認識水平、思想觀念的束縛以及管理體制等諸多因素，影響和阻礙著內(nèi)審作用的有效發(fā)揮。原因有會計人員知識水平、業(yè)務(wù)素質(zhì)不高，也有不重視法律、法規(guī)的因素，還有監(jiān)管不力、查處不嚴的原因。目前內(nèi)部審計尚處在查錯階段，停留在調(diào)賬、糾正錯誤上，還不能多角度、深層次分析問題，沒有較國際先進的審計理念，我國內(nèi)部審計的作用尚待開發(fā)。審計人員的計算機知識匱乏，不適應(yīng)電算化、信息化的迅速發(fā)展。目前多數(shù)審計人員硬件知識掌握不熟練，軟件知識了解也不足，因此不能有效地評估信息系統(tǒng)的安全性、效益性。由于計算機審計軟件開發(fā)標準不同，功能也不完整，因此全面推廣計算機輔助審計就有一定難度，導(dǎo)致審計人員的知識和審計手段滯后于信息化的發(fā)展。

二、信息化審計體系的健全

當(dāng)前國家審計信息化發(fā)展的趨勢是建立審計信息資源的標準化、共享化、公開化，逐步達到向現(xiàn)代審計方式的轉(zhuǎn)變。這一趨勢是隨著當(dāng)前科學(xué)發(fā)展、和諧社會的推進，國家確立的公共財政建設(shè)、公共服務(wù)的實施、公共產(chǎn)品的提供應(yīng)運而生的，三個“公共”的主旨是：國家財政資金的使用更注重民生；使用重點更注重服務(wù)；使用效益更注重民意。

信息安全審計是任何機構(gòu)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險控制等不可或缺的關(guān)鍵手段。收集并評估證據(jù)以決定一個計算機系統(tǒng)是否有效地做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成目標，同時能更經(jīng)濟的使用資源。信息安全審計與信息安全管理密切相關(guān)，信息安全審計的主要依據(jù)是出于不同的角度提出的控制體系的信息安全管理相關(guān)的標準。這些控制體系下的信息化審計可以有效地控制信息安全，從而達到安全審計的目的，提高信息系統(tǒng)的安全性。由此，國際組織也制定了相關(guān)文件規(guī)范填補信息系統(tǒng)審計方面的某些空白。例如《信息安全管理業(yè)務(wù)規(guī)范》通過了國際標準化組織ISO的認可，正式成為國際標準。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務(wù)院辦公廳關(guān)利用計算機信息系統(tǒng)開展審計工作有關(guān)的通知》等文件，基本規(guī)范了內(nèi)部審計機制，健全了內(nèi)部審計機構(gòu)；強調(diào)機構(gòu)應(yīng)加強內(nèi)審工作，機構(gòu)內(nèi)部要形成有權(quán)就有責(zé)、用權(quán)受監(jiān)督的最佳氛圍；審計委員會直接對領(lǐng)導(dǎo)班子負責(zé)，其成員需具有相應(yīng)的獨立性，委員會成員具良好的職業(yè)操守和能力，內(nèi)審人員應(yīng)當(dāng)具備內(nèi)審人員從業(yè)資格，其工作范圍不應(yīng)受到人為限制。內(nèi)部審計機構(gòu)對審計過程中發(fā)現(xiàn)的重大問題，視具體情況，可以直接向?qū)徲嬑瘑T會或者領(lǐng)導(dǎo)層報告。

三、主機系統(tǒng)安全審計

信息技術(shù)審計，或信息系統(tǒng)審計，是一個信息技術(shù)基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使被審計單位的目標得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。

以技術(shù)劃分，信息化安全審計主要分為主機審計、網(wǎng)絡(luò)審計、應(yīng)用審計、數(shù)據(jù)庫審計，綜合審計。簡單的說獲取、記錄被審計主機的狀態(tài)信息和敏感操作就是主機審計，主機審計可以從已有的系統(tǒng)審計記錄中提取相關(guān)信息，并以審計規(guī)則為標準來分析判斷被審計主機是否存在違規(guī)行為?？傊?，為了在最大限度保障安全的基礎(chǔ)上找到最佳途徑使得業(yè)務(wù)正常工作的一切行為及手段，而對計算機信息系統(tǒng)的薄弱環(huán)節(jié)進行檢測、評估及分析，都可稱作安全審計。

主機安全審計系統(tǒng)中事件產(chǎn)生器、分析器和響應(yīng)單元已經(jīng)分別以智能審計主機、系統(tǒng)中心、管理與報警處置控制臺來替代。實現(xiàn)主機安全系統(tǒng)的審計包括系統(tǒng)安全審計、主機應(yīng)用安全審計及用戶行為審計。智能審計替代主機安裝在網(wǎng)絡(luò)計算機用戶上，并按照設(shè)計思路監(jiān)視用戶操作行為，同時智能分析事件安全。從面向防護的對象可將主機安全審計系統(tǒng)分為系統(tǒng)安全審計、主機應(yīng)用安全審計、用戶行為審計、移動數(shù)據(jù)防護審計等方面。

四、待解決的若干問題

計算機與信息系統(tǒng)廣泛使用，如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系，也就是建立安全策略體系、安全管理體系和安全技術(shù)體系。

保護網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì)，對操作系統(tǒng)、數(shù)據(jù)庫及服務(wù)系統(tǒng)進行漏洞修補和安全加固，對服務(wù)器建立嚴格審核。在安全管理上完善人員管理、資產(chǎn)管理、站點維護管理、災(zāi)難管理、應(yīng)急響應(yīng)、安全服務(wù)、人才管理，形成一套比較完備的信息系統(tǒng)安全管理保障體系。

防火墻是保證網(wǎng)絡(luò)安全的重要屏障，也是降低網(wǎng)絡(luò)安全風(fēng)險的重要因素。VPN可以通過一個公用網(wǎng)絡(luò)建立一個臨時的、安壘的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。借助專業(yè)的防DDos系統(tǒng)，可以有效的阻止惡意攻擊。信息系統(tǒng)的安全需求是全方位的、系統(tǒng)的、整體的，需要從技術(shù)、管理等方面進行全面的安全設(shè)計和建設(shè)，有效提高信息系統(tǒng)的防護、檢側(cè)、響應(yīng)、恢復(fù)能力，以抵御不斷出現(xiàn)的安全威脅與風(fēng)險，保證系統(tǒng)長期穩(wěn)定可靠的運行。嚴格的安全管理制度，明確的安全職責(zé)劃分，合理的人員角色定義，都可以在很大程度上減少網(wǎng)絡(luò)的安全隱患。

從戰(zhàn)略高度充分認識信息安全的重要性和緊迫性。健全安全管理組織體系，明確安全管理的相關(guān)組織、機構(gòu)和職責(zé)，建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責(zé)任機制。為了確保突發(fā)重大安全事件時，能得到及時的響應(yīng)和支援，信息系統(tǒng)必須建立和逐步完善應(yīng)急響應(yīng)支援體系，確保整個信息系統(tǒng)的安全穩(wěn)定運行。

參考文獻：

[1]宋新月，內(nèi)部審計在經(jīng)濟管理中的重要作用淺析[J]，知識經(jīng)濟，2009

篇5

關(guān)鍵詞：計算機；信息安全；管理體系；有效實現(xiàn)

中圖分類號：TP309文獻標識碼：A文章編號：1007-9599 (2011) 16-0000-01

Computer Information Security Management System Effective Achievement

Tang Ping,Sha Jing

(China Petroleum Xinjiang Sales Company,Urumqi830002,China)

Abstract:In the computer industries,while providing strong support,it is the computer information security requirements have become more sophisticated.I work based on years of experience in computer security management,put forward some ideas and suggestions.

Keywords:Computer;Information security;Management system;Effective realization of

一、計算機信息安全管理的重要性分析

伴隨我國經(jīng)濟和科學(xué)技術(shù)的快速發(fā)展，為了適應(yīng)社會信息化的需求，計算機的應(yīng)用領(lǐng)域在不斷擴展，為各行各業(yè)提供了強大的信息服務(wù)，為企業(yè)處理大量數(shù)據(jù)信息提供了快捷方便的服務(wù)。當(dāng)然，我們在享受著計算機系統(tǒng)為我們帶來的諸多便利的時候，也必須認識到計算機系統(tǒng)所潛在的安全管理問題。目前，伴隨我國大多數(shù)企、事業(yè)單位計算機系統(tǒng)的應(yīng)用，信息安全問題也日益成為影響其信息化效能的重要瓶頸，尤其是對那些用來處理和傳輸企業(yè)涉及國家信息秘密的計算機信息系統(tǒng)，若這些方面存在安全問題，那么就會危及到企業(yè)乃至國家的安全與利益。但是，信息安全問題是一個非常復(fù)雜的系統(tǒng)，需要以系統(tǒng)眼光來對待，而建立計算機信息安全管理體系正是解決這個復(fù)雜系統(tǒng)問題的有效方法。因此，為了保證信息系統(tǒng)的安全，必須建立完善的計算機信息安全的管理體系。

二、計算機信息安全管理主要方向分析

（一）進行加密保護。伴隨人們對計算機的依賴程度越來越高，計算機信息數(shù)據(jù)的重要性也就不言而喻了，而信息加密技術(shù)是很必要的。信息加密是為了保護網(wǎng)內(nèi)數(shù)據(jù)、文件、口令和控制信息，網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密方法有鏈路加密、節(jié)點加密和端點加密三種。一個進行了加密的網(wǎng)絡(luò)，不僅可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且還是有效應(yīng)對惡意軟件的有效方法。

（二）進行安全審計。安全審計是針對系統(tǒng)中的所有資源（包括數(shù)據(jù)庫、主機、操作系統(tǒng)、安全設(shè)備等）和行為的審計，審計記錄所有事件，提供給管理員作為系統(tǒng)維護以及安全防范的依據(jù)。一旦有任何突發(fā)事件可以快速地查閱行為記錄，確定問題，以便采取相應(yīng)的措施。

（三）終端防護。終端防護就是對安全體系中細粒度進行控制，也是安全防護中的敏感區(qū)。終端主要分為移動終端和固定終端兩種，對于終端的管控行為主要是為使用行為控制和審查。傳統(tǒng)的防護方案側(cè)重于解決外部入侵或者保證網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)陌踩?，但不能阻止?nèi)部事故的發(fā)生，因此終端防護對于防止內(nèi)部問題和出現(xiàn)惡意用戶攻擊具有重要作用。

（四）物理安全。物理安全主要涉及周邊工作環(huán)境的安全、網(wǎng)絡(luò)的布線、安全設(shè)備的管理，重點是如何完成重點部位和重要數(shù)據(jù)的集中管制和防護。

（五）網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全在安全防護體系中涉及內(nèi)容比較多，包括對網(wǎng)絡(luò)的防毒措施、內(nèi)部網(wǎng)物理隔絕、傳輸加密措施、對用戶的監(jiān)控和管理措施以及審計措施等。對于內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)資源的共享和交互需要有嚴格的控制手段，控制應(yīng)加在網(wǎng)絡(luò)安全的不同層次，包括終端安全、鏈路層安全以及應(yīng)用層安全等。

三、安全管理體系的設(shè)計與實現(xiàn)

（一）體系結(jié)構(gòu)。建設(shè)一個完備的信息安全管理體系有待解決的問題涉及面很廣，同時防護技術(shù)涉及技術(shù)體系多，主要有數(shù)字簽名技術(shù)、訪問控制技術(shù)、數(shù)據(jù)加密技術(shù)、終端防護技術(shù)、防病毒與反入侵技術(shù)、信息泄漏防護技術(shù)、安全評估技術(shù)與審計追蹤技術(shù)等，涉及到多種安全管理產(chǎn)品的應(yīng)用。參照國家有關(guān)計算機信息系統(tǒng)安全防護標準，建立一個信息安全管理體系主要分為以下幾部分：安全管理、網(wǎng)絡(luò)安全、物理安全、用戶安全、應(yīng)用安全、系統(tǒng)軟件安全、數(shù)據(jù)安全。各部分根據(jù)防護的重點采用相應(yīng)的技術(shù)措施，形成獨立的子系統(tǒng)，其中主要包括：終端安全防護系統(tǒng)、入侵檢測系統(tǒng)、終端安全管理系統(tǒng)、身份認證系統(tǒng)、安全網(wǎng)關(guān)系統(tǒng)和病毒防護系統(tǒng)等。

（二）主要技術(shù)措施。

1.安全的系統(tǒng)軟件。所謂安全的系統(tǒng)和軟件是指操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)軟件的安全。系統(tǒng)終端的操作系統(tǒng)首先應(yīng)采用統(tǒng)一版本，這樣便于維護和管理。終端安全管理系統(tǒng)不僅能對系統(tǒng)的應(yīng)用軟件進行遠程監(jiān)控管理，還能屏蔽不允許安裝或運行的軟件，屏蔽不安全的端口。系統(tǒng)終端安裝統(tǒng)一的殺毒軟件，而且還需要自動更新系統(tǒng)補丁，便于進行集中控管。還要定時對客戶端操作系統(tǒng)進行殺毒掃描和更新系統(tǒng)補丁。

2.物理環(huán)境安全防護。首先，機房應(yīng)具有良好的接地和防雷等安全措施，部署機房監(jiān)控系統(tǒng)，對機房溫濕度、漏水和電源情況等時刻進行監(jiān)控。此外，基于應(yīng)用成本和安全管理便捷的考慮，應(yīng)將采用集中式防護，代替分布式防護。要將重要的數(shù)據(jù)系統(tǒng)和信息系統(tǒng)服務(wù)器集中放置，并在集中數(shù)據(jù)的機房安裝專用空調(diào)、大型UPS設(shè)備，準確控制機房的電源和環(huán)境溫濕度。最后還要考慮設(shè)備的電磁輻射安全，在主設(shè)備的安全距離低于200m時需要增加防電磁輻射以及電源濾波設(shè)備。

3.數(shù)據(jù)安全。首先要考慮的移動存儲設(shè)備，要進行統(tǒng)一的認證，沒有安裝安全終端管理軟件的設(shè)備無法識別加密文件格式。對于可信的移動存儲設(shè)備只能在內(nèi)部網(wǎng)的可信終端上使用。在安全防護客戶端設(shè)置USB端口的安全管理策略，對沒有內(nèi)部認證的移動存儲介質(zhì)可以設(shè)置為只讀或者對其完全禁止。而對于那些對外交流的數(shù)據(jù)文件可以通過集中管理終端制作加密存儲的文件格式，這種格式只能在用戶輸入口令時才可看到。

4.網(wǎng)絡(luò)安全防護。鑒于目前外聯(lián)的主要手段是通過PCMCIA、USB端口、有線或無線網(wǎng)卡、藍牙等進行互聯(lián)，所以，最安全有效防護就是在終端進行阻斷非法行為。利用終端安全管理系統(tǒng)對網(wǎng)絡(luò)進行固定設(shè)置，屏蔽不明端口，對于非法外聯(lián)的，一旦檢測到非法的客戶端試圖連接網(wǎng)絡(luò)，立刻在交換機端口上對非法接入機器進行網(wǎng)絡(luò)阻斷。在重要服務(wù)器區(qū)部署安全認證網(wǎng)關(guān)，認證網(wǎng)關(guān)和CA認證系統(tǒng)進行聯(lián)動，實現(xiàn)用戶的安全訪問控制和傳輸通道的加密功能。

計算機信息安全問題是一個系統(tǒng)性的問題，涉及到了技術(shù)、使用、管理等多個方面，既涵蓋了計算機信息系統(tǒng)自身安全問題，也包括物理與邏輯方面的技術(shù)要求。因此，只有全面的做好各方面的管理與控制工作，才能真正確保計算機信息的安全性、完整性。

參考文獻：

篇6

在進行信息安全體系建設(shè)時，應(yīng)對來自終端的威脅給予足夠的重視，建立有效的終端安全管理體系。本文分析了終端安全管理體系應(yīng)包含的內(nèi)容，闡述了傳統(tǒng)分散式終端安全管理存在的問題，結(jié)合作者的工作實踐經(jīng)驗，對一體化終端安全管理體系的建設(shè)，提出了自己的思路和見解。

關(guān)鍵詞：

終端安全；一體化；體系建設(shè)

隨著信息化建設(shè)不斷發(fā)展，信息安全的重要性日益顯露出來，在信息安全保護實踐中，各單位往往對數(shù)據(jù)集中的后臺服務(wù)器投入精力較多，對來自終端的威脅重視不足。信息安全事件調(diào)查經(jīng)驗表明，多數(shù)信息安全事件的突破口來自終端，因此在進行信息安全體系建設(shè)時，應(yīng)對來自終端的威脅給予足夠的重視，建立有效的終端安全管理體系。

1典型的終端安全管理體系應(yīng)包括的內(nèi)容

1.1防病毒及終端入侵防護

包括對全網(wǎng)病毒、木馬、蠕蟲、流氓軟件、間諜軟件等惡意代碼的識別、查殺，對可疑行為的阻斷和告警。此類功能主要是基于代碼檢測引擎和特征庫實現(xiàn)。

1.2補丁狀態(tài)檢查及分發(fā)

包括檢查是否已安裝操作系統(tǒng)相應(yīng)的補丁，各類防護特征庫是否保持更新，能夠自動推送安裝補丁和特征庫等。此類功能主要通過安全軟件讀取系統(tǒng)注冊表及掃描特定位置文件系統(tǒng)，并自動執(zhí)行后臺腳本實現(xiàn)。

1.3移動存儲管理

防止內(nèi)部濫用移動介質(zhì)，杜絕內(nèi)外部移動介質(zhì)在內(nèi)外網(wǎng)交叉使用，并通過特殊加密技術(shù)保證移動介質(zhì)在非授權(quán)環(huán)境下不能被讀取。此類功能主要通過向操作系統(tǒng)底層驅(qū)動注入代碼和數(shù)據(jù)加密技術(shù)實現(xiàn)。

1.4終端準入管理

實現(xiàn)對網(wǎng)絡(luò)接入終端的安全準入管理與控制，確保接入網(wǎng)絡(luò)終端已安裝要求的防護系統(tǒng)，且符合安全策略要求，有效杜絕非法外來終端私自接入網(wǎng)絡(luò)。此類功能可以基于交換機端口進行控制或使用安全網(wǎng)關(guān)進行控制。

1.5非法外聯(lián)監(jiān)控

用于發(fā)現(xiàn)和阻止內(nèi)部網(wǎng)絡(luò)用戶非法建立通路連接互聯(lián)網(wǎng)或非授權(quán)網(wǎng)絡(luò)的行為，以此防止引入安全風(fēng)險或?qū)е滦畔⑿姑?。此類功能通常做法是定期檢查與某個互聯(lián)網(wǎng)地址或非授權(quán)網(wǎng)絡(luò)的連通性，若有連通便會觸發(fā)監(jiān)控報警。

1.6主機監(jiān)控審計

對終端用戶的操作行為進行管控與審計，對安裝的軟件實行黑白名單管理，當(dāng)用戶的操作違反安全策略時，能夠自動禁止或記錄違規(guī)日志。此類功能一般需在終端駐留程序，根據(jù)設(shè)定的操作策略和軟件清單執(zhí)行。

2傳統(tǒng)分散式終端安全管理存在的問題

（1）產(chǎn)生兼容性問題。不同的終端安全防護產(chǎn)品均需要操作系統(tǒng)權(quán)限并向底層驅(qū)動注入代碼實現(xiàn)檢測，各產(chǎn)品之間的操作沖突、導(dǎo)致兼容性問題已是常見現(xiàn)象，即使能夠和平共存也會造成增加系統(tǒng)資源開銷，拖累系統(tǒng)變慢等一系列問題。

（2）缺乏統(tǒng)一管理。在終端上安裝使用多種安全防護產(chǎn)品，缺乏全局性安全管控，容易形成信息孤島，不利于開展諸如安全數(shù)據(jù)的收集、匯總、統(tǒng)計等關(guān)聯(lián)分析工作，無法系統(tǒng)性展示終端安全全貌。

（3）防護效果打折扣。不同的終端安全防護產(chǎn)品在功能上各有側(cè)重，組合在一起并不一定能全面覆蓋用戶的安全需求，由于底層機制的類同和兼容性沖突等原因，經(jīng)常出現(xiàn)安全防護的真空地帶，產(chǎn)生1+1<2的現(xiàn)象，使防護效果大打折扣。

（4）運行維護成本高。多種終端安全防護產(chǎn)品同時使用，需同時與多個廠商采購維保服務(wù)，周期長投入大，運行上需要維護多套不同的策略表，從不同的來源更新補丁包、特征庫等，都給運維增加了不小的工作量。

（5）難以滿足自主可控的要求。出于國家安全戰(zhàn)略的需要，終端安全防護產(chǎn)品應(yīng)盡可能滿足自主可控的要求。分散部署不同的終端安全防護產(chǎn)品，大多是基于歷史原因分批分步建設(shè)形成的，存在一定的不可控安全風(fēng)險。

3一體化終端安全管理體系的建設(shè)思路

一體化終端安全管理體系的建設(shè)，應(yīng)遵循“功能集中、統(tǒng)一建設(shè)”的原則，結(jié)合單位已有的終端安全防護現(xiàn)狀，采用“整合式替代、替代后實現(xiàn)一體化管理”的思路開展。替代過程中，應(yīng)充分考慮安全設(shè)備國產(chǎn)化的要求，既實現(xiàn)終端安全防護各項功能，又可在統(tǒng)一平臺下管理終端資產(chǎn)、終端信息、終端安全防護系統(tǒng)等，實現(xiàn)終端一體化安全管理。終端一體化安全管理可極大地提高運維效率，增強終端類安全事件聯(lián)動，提高終端安全事件預(yù)警發(fā)現(xiàn)和處置能力，最終提高單位的信息安全管理水平。具體實施過程中，應(yīng)以“資源整合、統(tǒng)一管理、分級部署、基準策略、量體裁衣、人力集約”為主要工作目標，最大程度整合單位現(xiàn)有軟硬件資源、技術(shù)人才資源，節(jié)約資源、資金、人力成本，集成各類終端管理功能，邏輯上實行統(tǒng)一管理，總部制定基準策略，各地分支機構(gòu)針對自己的情況，定制適合本轄區(qū)情況的安全策略，預(yù)留一定擴展空間，供各級機構(gòu)在統(tǒng)一終端管理平臺下的本地化處理。建議分四個步驟進行：①率先落實國產(chǎn)化替代，一體化終端安全管理體系建設(shè)不再考慮國外產(chǎn)品，實現(xiàn)完全國產(chǎn)自主可控，這一點無論是在技術(shù)上還是在市場上都已不存在問題。②整合現(xiàn)有終端安全防護系統(tǒng)的功能，在實現(xiàn)病毒防治、補丁分發(fā)、非法外聯(lián)監(jiān)控、準入控制、移動介質(zhì)管控、安全策略管理等功能的基礎(chǔ)上，實現(xiàn)各功能模塊的數(shù)據(jù)整合與聯(lián)動。③增加資產(chǎn)管理、操作審計等功能，并實現(xiàn)一體化關(guān)聯(lián)和統(tǒng)一展現(xiàn)，進一步完善系統(tǒng)的管理功能，能夠進行終端狀態(tài)、終端信息、安全事件等信息的展示、分析和處理，實現(xiàn)對安全事件的及時發(fā)現(xiàn)、告警和處置，及時消除安全事件對終端的影響。④在系統(tǒng)建設(shè)的基礎(chǔ)上實現(xiàn)科學(xué)安全管理，通過對終端安全狀態(tài)的統(tǒng)一定量評估，實現(xiàn)對各部門、各分支機構(gòu)的終端安全態(tài)勢評估，掌握終端安全管理的薄弱環(huán)節(jié)，為信息安全管理工作的整改完善提供數(shù)據(jù)支撐。在功能方面：一體化終端安全管理體系應(yīng)主要包括但不限于防病毒管理、終端入侵檢測防護管理、補丁分發(fā)管理、移動介質(zhì)管理、非法外聯(lián)管理、終端準入管理、主機監(jiān)控審計管理、終端信息管理、安全策略管理、終端運行狀態(tài)統(tǒng)計管理、安全事件管理、運行報表管理、考核指標管理、系統(tǒng)管理等功能。實現(xiàn)終端安全防護系統(tǒng)的一體化管理和安全防護系統(tǒng)的資源整合，實現(xiàn)安全防護策略的統(tǒng)一管理，建立全面、集中、統(tǒng)一的終端安全管理體系。在管理方面：實現(xiàn)與終端安全管理制度相適應(yīng)的安全管理要求，實現(xiàn)總部與各分支機構(gòu)終端信息的統(tǒng)一集中管理，實現(xiàn)終端安全控制策略的統(tǒng)一配置、自動篩查、告警和展現(xiàn)，實現(xiàn)定期安全類報表的自動生成和展現(xiàn)，實現(xiàn)安全管理人員的統(tǒng)一工作平臺。

4結(jié)語

要實現(xiàn)對信息安全閉環(huán)式管理，僅僅重視信息系統(tǒng)服務(wù)端的保護是不夠的，必須重視對每個入網(wǎng)終端的安全管理。一體化終端安全管理體系的建設(shè)，從技術(shù)上采取了多種手段強化終端的安全防護和管理，為強化單位的信息安全管理提供了必要的手段。同時，我們也必須認識到，終端安全管理體系的建設(shè)不是說建好系統(tǒng)就萬事大吉了，對一個單位的信息安全管理而言，永遠是“三分技術(shù)，七分管理”。再好的技術(shù)手段，也只有和管理制度相結(jié)合，并加以強力執(zhí)行，才能達到預(yù)定的安全目標。

參考文獻：

[1]孟粉霞，王越，雷磊.統(tǒng)一終端安全管理系統(tǒng)在內(nèi)網(wǎng)中的分析及應(yīng)用[J].信息系統(tǒng)工程，2013（8）：70~71.

[2]田永飛.一體化終端安全管理系統(tǒng)應(yīng)用初探[J].金融科技時代，2015（12）：45~47.

[3]王義申.終端安全管理系統(tǒng)在企事業(yè)單位內(nèi)網(wǎng)應(yīng)用的分析[J].計算機安全，2007（7）：63~65.

篇7

信息安全等級保護建設(shè)背景

信息安全等級保護制度是我們國家在國民經(jīng)濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)健康發(fā)展的一項基本制度。實行信息安全等級保護制度，能夠充分調(diào)動國家、法人和其他組織及公民的積極性，發(fā)揮各方面的作用，達到有效保護的目的，增強安全保護的整體性、針對性和實效性，使信息系統(tǒng)安全建設(shè)更加突出重點、統(tǒng)一規(guī)范、科學(xué)合理，對促進我國信息安全的發(fā)展將起到重要推動作用。

2011年，原衛(wèi)生部了《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》（衛(wèi)辦綜函〔2011〕1126號）。針對醫(yī)療衛(wèi)生行業(yè)的信息系統(tǒng)，原衛(wèi)生部辦公廳于2011年下發(fā)了《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》（衛(wèi)發(fā)辦〔2011〕85號）要求三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)信息安全等級保護定級不低于第三級，并且要求2015年12月30日前完成信息安全等級保護建設(shè)整改工作，并通過等級測評。

醫(yī)療行業(yè)面臨的主要風(fēng)險

1.醫(yī)療行業(yè)特點

隨著我國醫(yī)療衛(wèi)生事業(yè)的迅速發(fā)展，醫(yī)學(xué)科學(xué)的不斷進步，醫(yī)藥衛(wèi)生事業(yè)體制改革的逐步深入，醫(yī)院生存和發(fā)展的外部環(huán)境和內(nèi)部機制都發(fā)生了很大的變化。當(dāng)今計算機信息和網(wǎng)絡(luò)通信技術(shù)的深入發(fā)展為提高醫(yī)院管理水平創(chuàng)造了良好的條件，醫(yī)院信息化建設(shè)也因此逐漸在我國各級醫(yī)院中迅猛發(fā)展。目前醫(yī)療行業(yè)信息化有如下特點：系統(tǒng)運行連續(xù)性要求高，要求7×24小時不間斷服務(wù)；網(wǎng)絡(luò)間斷時間不允許超過2小時；信息高度集成，所有信息需要集中使用；異構(gòu)系統(tǒng)多，系統(tǒng)復(fù)雜度高；系統(tǒng)間接口復(fù)雜，涉及廠家多；系統(tǒng)內(nèi)存儲資料價值較高，存儲著醫(yī)院大量運用數(shù)據(jù)，其中包含大量患者隱私；存儲的數(shù)據(jù)內(nèi)容本身具備法律效力；核心網(wǎng)絡(luò)采用網(wǎng)絡(luò)物理隔離。

2.信息系統(tǒng)的威脅來源

信息系統(tǒng)的威脅來源主要可以分為兩個方面，一個是環(huán)境因素造成的威脅，另一個方面是人為因素造成的威脅，而人為因素所帶來的損失往往是不可估量的。

在環(huán)境因素方面，威脅主要來自于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障。

在人員因素方面又可以分為有意和無意兩種情況，對于有意而為之的人，通常指惡意造成破壞的人，懷不滿情緒的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞，采用自主或內(nèi)外勾結(jié)的方式盜竊機密信息或進行篡改，獲取利益。而外部人員也可以利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的保密性、完整性和可用性進行破壞，以獲取利益或炫耀能力。對于無意的情況來說，通常指管理人員沒有意識到問題或者沒有盡心盡責(zé)的工作。例如，內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心或不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。

3.信息系統(tǒng)負面影響

醫(yī)院內(nèi)部的信息系統(tǒng)如果受到威脅、入侵或被破壞等，會給國家、醫(yī)院以及人民的利益帶來嚴重的影響。

系統(tǒng)如果出現(xiàn)宕機的現(xiàn)象，首先會造成患者情緒激動，耽誤治療流程，甚至?xí){到患者生命的安危。其次會造成門診業(yè)務(wù)人員、主治醫(yī)生、護士等工作人員的工作慌亂，甚至成為情緒激動患者的放矢對象。門診辦主任、主管院領(lǐng)導(dǎo)、醫(yī)院院長電話問詢，信息中心則會電話不斷、手忙腳亂。醫(yī)院業(yè)務(wù)停頓，從經(jīng)濟上受損失，而媒體也會曝光醫(yī)院，使得醫(yī)院信譽受損。

如果醫(yī)院信息系統(tǒng)的內(nèi)部信息丟失，則會造成員工信息被公開、患者信息泄露等風(fēng)險。例如，據(jù)《勞動報》報道，一名負責(zé)開發(fā)、維護市衛(wèi)生局出生系統(tǒng)數(shù)據(jù)庫的技術(shù)部經(jīng)理利用工作之便，在2011年至2012年4月期間，每月兩次非法進入該院數(shù)據(jù)庫，偷偷下載新生兒出生信息并進行販賣，累計達到了10萬條，給醫(yī)療衛(wèi)生行業(yè)帶來了嚴重的負面影響。

信息安全等級保護建設(shè)體系

由于醫(yī)院信息系統(tǒng)復(fù)雜的特點、面臨的威脅及產(chǎn)生負面影響的嚴重性，醫(yī)院開展信息安全等級保護建設(shè)工作就尤為重要，急需一套適合醫(yī)院的等級保護安全防御體系。

信息安全等級保護體系主要包括技術(shù)與管理兩方面，在安全技術(shù)方面包括：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全；在安全管理方面包括：安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理。這10個方面里每一項都有若干控制項，順利通過測評至少要達到控制項的80%以上（表1）。

如表1所示，控制項中G表示基本要求類，三級必須達到G3標準；S表示業(yè)務(wù)信息安全類，A表示系統(tǒng)服務(wù)保證類，三級標準中S與A任選一項達到三級即可。

根據(jù)信息安全等級保護標準，我院主要建設(shè)經(jīng)驗如下：

1.信息安全技術(shù)

（1）物理安全：數(shù)據(jù)中心機房是物理安全的核心，機房的裝修工程、動力配電系統(tǒng)、空調(diào)新風(fēng)系統(tǒng)、消防系統(tǒng)、綜合布線系統(tǒng)等均需按照A級機房標準進行建設(shè)。此外，日常的管理工作也尤為重要，在物理權(quán)限控制方面應(yīng)配備門禁系統(tǒng)，并且應(yīng)做到兩種或兩種以上的身份識別機制，如指紋加密碼或IC卡加密碼等。環(huán)境監(jiān)控方面除了每天定時的人員巡檢還應(yīng)在機房及各設(shè)備間部署監(jiān)控系統(tǒng)，利用傳感器監(jiān)控溫濕度、漏水、電壓、設(shè)備狀態(tài)等信息，一旦發(fā)生異常通過短信及時告知機房管理人員。

（2）網(wǎng)絡(luò)安全：按照等級保護思路進行安全域的劃分，將不同級別的信息系統(tǒng)通過防火墻和網(wǎng)閘進行隔離，根據(jù)每個安全域的特點設(shè)定不同的安全策略。服務(wù)器安全域制定細粒度訪問控制列表，僅開放必要的端口，并在旁路架設(shè)網(wǎng)絡(luò)流量審計設(shè)備和入侵檢測系統(tǒng)，對所有流量進行記錄及審計，能夠及時發(fā)現(xiàn)攻擊行為；客戶端安全域制定網(wǎng)絡(luò)準入和非法外聯(lián)策略，禁止未經(jīng)授權(quán)的計算機隨意接入醫(yī)院網(wǎng)絡(luò)，并且通過管理軟件和網(wǎng)閘控制內(nèi)網(wǎng)的計算機隨意訪問外網(wǎng)或互聯(lián)網(wǎng)；架設(shè)安全管理域，該區(qū)域主要用于對網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備的管理，并集中收集設(shè)備的日志，及時通過分析日志發(fā)現(xiàn)安全隱患。

（3）安全：服務(wù)器進行統(tǒng)一安全策略的制定，部署網(wǎng)絡(luò)版殺毒系統(tǒng)、補丁分發(fā)系統(tǒng)、入侵防范系統(tǒng)等，并結(jié)合服務(wù)器承載的業(yè)務(wù)特點制定詳細的資源控制列表，按照最小授權(quán)原則，授予最低資源訪問權(quán)限。

（4）應(yīng)用安全：部署數(shù)據(jù)庫審計系統(tǒng)，對所有流經(jīng)數(shù)據(jù)庫的網(wǎng)絡(luò)流量進行數(shù)據(jù)分析，制定審計策略，發(fā)生違規(guī)數(shù)據(jù)操作及時通過短信報給安全審計人員；同時部署CA數(shù)字簽名系統(tǒng)，醫(yī)生通過USBKEY進行系統(tǒng)登錄，并對其所有操作進行數(shù)字簽名，有效保證了應(yīng)用系統(tǒng)的安全性及數(shù)據(jù)的不可抵賴性。

（5）數(shù)據(jù)安全：利用專業(yè)的數(shù)據(jù)備份軟件在異地部署數(shù)據(jù)備份中心，對各系統(tǒng)數(shù)據(jù)庫和文件繼續(xù)高頻率集中加密備份，并且應(yīng)至少六個月進行一次數(shù)據(jù)還原演練，保證在出現(xiàn)問題是可以有效進行恢復(fù)。

2.信息安全管理

（1）安全管理制度：從醫(yī)院層面制定信息安全管理制度，對信息安全制度進行重新整理修改，規(guī)定信息安全的各方面應(yīng)遵守的原則、方法和指導(dǎo)策略，指定具體管理規(guī)定、處罰措施。制度應(yīng)具備可操作性，同時應(yīng)由專人負責(zé)隨時進行修正，并由信息安全領(lǐng)導(dǎo)小組進行評審，最終進行。

（2）安全管理機構(gòu)：組織建立信息安全工作領(lǐng)導(dǎo)小組，設(shè)置信息安全管理崗位，設(shè)立獨立的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、安全審計員等崗位，制定各崗位的工作職責(zé)，與各崗位相關(guān)人員簽署保密協(xié)議。同時制定溝通協(xié)作機制，內(nèi)部定期組織會議進行信息安全工作部署，外部每日向公安局上報備案信息系統(tǒng)的安全情況，與數(shù)據(jù)庫、存儲、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等廠商簽署協(xié)議，提供所有設(shè)備的備機備件，每月進行設(shè)備巡檢，并要求在發(fā)生緊急事件時及時到場提供技術(shù)支持。

（3）人員安全管理：在人員錄用方面，嚴格審查人員的背景、身份，并簽署保密協(xié)議，人員離崗時執(zhí)行離崗流程，各部門主管負責(zé)回收本部門負責(zé)的相關(guān)權(quán)限，所有權(quán)限回收后方可辦理離職手續(xù)。同時定期對人員進行相關(guān)培訓(xùn)，每周進行一次內(nèi)部培訓(xùn)，每年進行兩次外部培訓(xùn)。對于外部廠商人員，其對設(shè)備的相關(guān)操作均需進行審批流程，并通過技術(shù)手段記錄所有操作行為，做好操作記錄，并不定期進行行為審計。

篇8

1無意的人為因素

信息安全的問題有些是無意的人為因素引起的。如相關(guān)工作人員對網(wǎng)絡(luò)安全的配置不夠完善，導(dǎo)致出現(xiàn)安全漏洞；或者用戶自己信息安全意識差，未能完好的保存好相關(guān)登陸密碼，導(dǎo)致信息泄露。

2惡意的人為因素

惡意的人為因素主要來自黑客攻擊，惡意人為攻擊具有的指向性和目的性，因此這部分行為對安全信息是最大的隱患和威脅。

3應(yīng)用軟件的漏洞

大多數(shù)應(yīng)用軟件都存在一定的漏洞，這些漏洞會成為一些黑客的攻擊目標，因此應(yīng)用軟件的漏洞也是造成信息安全的一個原因。

加強計算機信息安全的建議對策

當(dāng)前計算機信息安全的防護重點在于建立和完善計算機信息安全防護體系。當(dāng)前防護總體策略是在技術(shù)層面上建立完整的網(wǎng)絡(luò)安全解決方案，在管理層面上制定和落實嚴格的網(wǎng)絡(luò)安全管理制度。

1計算機安全技術(shù)方面

1.1防火墻技術(shù)防火墻技術(shù)是一種應(yīng)用性安全技術(shù)，它是在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上建立的，是目前互聯(lián)網(wǎng)上廣泛應(yīng)用的一種安全措施。它是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個安全網(wǎng)關(guān)，并能通過監(jiān)測、限制數(shù)據(jù)流來監(jiān)測網(wǎng)絡(luò)內(nèi)外的信息以及運行狀況，它不僅能夠限制非法用戶的侵入，同時也能阻止內(nèi)部保密信息非法輸出，本質(zhì)上來講，防火墻技術(shù)是一種隔離技術(shù)，能夠隔離過濾掉有安全隱患、不健康的站點，從而大限度的降低被黑客攻擊的可能性。

1.2反病毒技術(shù)計算機病毒是一段具有自我復(fù)制與傳播能力的破壞性程序代碼，它能夠隱藏在可執(zhí)行文件或數(shù)據(jù)文件中，在特定的條件下能被激活，從而破壞相關(guān)程序。目前計算機網(wǎng)絡(luò)病毒的傳播主要是以硬盤、網(wǎng)絡(luò)等作為主要傳播媒介。計算機若中了病毒，一般會表現(xiàn)出運行緩慢、文件丟失破換、破壞操作系統(tǒng)等嚴重影響用戶信息安全。對計算機病毒的防護主要是預(yù)防為主、殺毒為輔。具體措施是要安裝殺毒軟件，并及時更新病毒庫，及時下載相關(guān)補??；若收到一些不熟悉的郵件并帶有擴展名為exe的附件時，應(yīng)及時刪除；病毒往往捆綁在某些軟件上，因此下載軟件時一般去正規(guī)的網(wǎng)站下載；對u盤、移動硬盤等儲存介質(zhì)在使用前進行殺毒，防止病毒交叉感染。

1.3安全掃描及安全審計技術(shù)計算機系統(tǒng)和其他網(wǎng)絡(luò)設(shè)備都存在一定的安全漏洞，這些漏洞是攻擊者攻擊系統(tǒng)的目標。安全掃描技術(shù)是對系統(tǒng)和相關(guān)設(shè)備進行安全監(jiān)測，查找出安全隱患和可能被攻擊的漏洞。通過安全掃描，系統(tǒng)管理員就能排除相應(yīng)的隱患，從而防止黑客入侵。安全審計技術(shù)主要對操作系統(tǒng)、數(shù)據(jù)庫、郵件系統(tǒng)等進行安全審計，是一種自動對用戶進行評估的技術(shù)，判斷用戶的合法性，一旦發(fā)現(xiàn)攻擊和用戶非法訪問，便可及時終止相關(guān)操作，從而起到保護信息安全的作用。

1.4數(shù)據(jù)加密技術(shù)計算機加密技術(shù)是一種非常重要的保護信息安全保障技術(shù)，它是講可閱讀的明文信息轉(zhuǎn)化成不可直接讀取的密碼信息，從而防止未授權(quán)用戶竊取數(shù)據(jù)信息。授權(quán)人通過相應(yīng)的解密算法和密鑰還原成明文信息，從而有效防止在傳輸過程中的信息泄露。目前，數(shù)據(jù)加密仍然是一種最可靠的信息保護技術(shù)。

2計算機信息安全管理方面

在計算機信息安全管理方面首先需強化思想教育，加強制度落實，增強計算機信息安全保密意識和觀念，這些是計算機信息安全管理工作的基礎(chǔ)；其次，制定嚴格的信息安全管理制度，在制度層面上確保計算機信息安全；再者，加強計算機網(wǎng)絡(luò)人員的培訓(xùn)，使網(wǎng)羅人員熟練通過計算機網(wǎng)絡(luò)實施正確有效的安全管理，保證網(wǎng)絡(luò)信息安全；最后，提高個人的信息安全觀念，對重要的不需修改數(shù)據(jù)資料建議直接刻錄在光盤上保存；對于一些較小的資料文件可上傳到相應(yīng)的郵箱或者網(wǎng)盤?？傊畬?shù)據(jù)備份要做到備份多份，放在不同地點，同時保證資料的及時更新。

結(jié)語

篇9

關(guān)鍵詞信息安全 技術(shù)體系 管理體系

中圖分類號：TB497文獻標識碼： A 文章編號：

前言

企業(yè)的正常運作離不開信息資源的支持，企業(yè)信息化系統(tǒng)作為管理企業(yè)信息資源的電子化工具和企業(yè)實力的重要組成部分，在促進企業(yè)規(guī)范管理流程、提高生產(chǎn)效率的同時，在運行中累積的包括企業(yè)的經(jīng)營計劃、知識產(chǎn)權(quán)、生產(chǎn)工藝、流程配方、方案圖紙、客戶資源等各種重要數(shù)據(jù)成為部門、企業(yè)的寶貴資產(chǎn)，關(guān)乎著企業(yè)的生存與發(fā)展。這些數(shù)據(jù)一旦損壞、丟失、泄漏或篡改，則會給企業(yè)帶來重大安全影響。

企業(yè)要保持健康可持續(xù)性發(fā)展，信息安全是基本的保證之一。為確保信息資產(chǎn)安全，很多企業(yè)都制定了“硬件備份、分權(quán)分域、多層防御、等級防護”等等信息安全技術(shù)目標，并且逐步落實。與此同時，還應(yīng)該清醒地認識到，技術(shù)體系達到先進水平，并不意味著企業(yè)的信息安全整體水平也是同步發(fā)展的；而必須建設(shè)和落實與之相適配的信息安全管理體系，并將其逐步納入到企業(yè)的各級安全生產(chǎn)管理當(dāng)中。

信息安全風(fēng)險和措施概述

企業(yè)信息化系統(tǒng)在為企業(yè)帶來提高工作效率和管理水平、增強競爭能力等益處的同時，也為企業(yè)帶來了信息安全風(fēng)險；而且信息安全風(fēng)險與信息化水平和應(yīng)用范圍的提高與擴大同步增長。

（1）接入和訪問方式多樣化帶來全網(wǎng)性風(fēng)險

U盤、便攜電腦、無線網(wǎng)卡、智能手機的普及加劇了病毒、蠕蟲和間諜軟件等普遍存在的信息安全威脅，而且對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、信息的破壞程度和范圍持續(xù)擴大。

（2）來自外網(wǎng)的攻擊始終存在，攻擊方式向更高階段演化

和其他企業(yè)網(wǎng)一樣，企業(yè)的信息化系統(tǒng)也一直面臨著來自Internet和其他第三方對接網(wǎng)絡(luò)的外在威脅，并且很容易跨域突現(xiàn)。在攻擊手段上，攻擊者已經(jīng)從以往直接針對網(wǎng)絡(luò)和系統(tǒng)的普遍攻擊，轉(zhuǎn)向了對更高層次的Web應(yīng)用、信息數(shù)據(jù)的重點攻擊。

（3）安全意識和相關(guān)培訓(xùn)不到位

職工信息安全培訓(xùn)普及和素質(zhì)培養(yǎng)方面卻沒有形成一個長效機制，信息安全意識不均衡情況也普遍存在。

（4）信息安全管理體系尚未成熟

在信息安全保障體系中，企業(yè)普遍存在過于依賴于技術(shù)保障，而管理保障和制度執(zhí)行相對薄弱等問題。大多數(shù)企業(yè)的信息安全管理體制還是沿襲傳統(tǒng)組織架構(gòu)，并沒有咨詢過專業(yè)安全公司在信息安全管理體系建設(shè)上的意見，仍由檔案部門、調(diào)度部門兼職負責(zé)，而沒有設(shè)置專門的信息安全部門，從而造成管理體系不健全，責(zé)任不清晰等問題。

信息安全管理體系的主要環(huán)節(jié)

從業(yè)內(nèi)最佳安全實踐來看，要想建立完善可行的信息安全管理體系，就要使之貫穿于整個企業(yè)信息安全建設(shè)和保障過程。一般說來，信息安全管理體系包括以下6個主要環(huán)節(jié)：

（1）信息風(fēng)險評估程序：其目的是為了在企業(yè)、組織內(nèi)部建立一套適合自身具體情況的信息風(fēng)險評估機制，明確信息風(fēng)險評估由誰來做、怎么做、做什么、重點解決什么等問題。這一環(huán)節(jié)有助于相關(guān)部門了解有哪些威脅會對企業(yè)信息真正造成影響、風(fēng)險水平該如何確定。

（2）信息安全計劃：它是在信息風(fēng)險評估的基礎(chǔ)上，結(jié)合企業(yè)的宏觀安全戰(zhàn)略與現(xiàn)實情況得出的，明確了信息安全工作應(yīng)該“做什么”和“什么時候做”。

（3）項目管理：無論安全工作是內(nèi)部人員來完成還是與專業(yè)安全公司協(xié)作來完成，每一項信息安全工作都可以視為一個安全項目。所以，還應(yīng)充分考慮項目管理的各個階段（發(fā)起、啟動、計劃、執(zhí)行、控制、收尾）需要關(guān)注的問題和存在的風(fēng)險。

（4）運行維護和培訓(xùn)：對企業(yè)信息的運行維護監(jiān)控過程大部分是程序化和其他一些較為細碎的工作。同是，除了執(zhí)行命令、填寫表單以外，還需要通過各類培訓(xùn)教育讓各級職工，尤其是掌握核心業(yè)務(wù)數(shù)據(jù)的崗位人員時刻保持風(fēng)險預(yù)警意識。

（5）信息安全審計：其主要目的就是建立一個長效機制，明確對信息系統(tǒng)及其數(shù)據(jù)和信息的檢查周期、審計方式、評審制度等內(nèi)容，確保能夠及時發(fā)現(xiàn)和彌補信息安全管理漏洞和缺陷。

（6）持續(xù)改進計劃：為了應(yīng)對不斷變化的信息安全威脅和不斷嚴格的合規(guī)性要求，從根本上解決信息安全問題，企業(yè)、組織需要對信息安全過程、方法、程序、操作指南持續(xù)改進。

圖1 信息安全管理體系環(huán)節(jié)構(gòu)成示意圖

信息安全管理體系的實施內(nèi)容

從當(dāng)前來看，信息安全管理體系的實施內(nèi)容主要包括信息安全管理制度和信息安全操作流程組成，二者各司其職，又互為補充。

首先，信息安全管理制度主要是公司的相關(guān)部門根據(jù)自身的管理職能，針對各種與信息安全管理有關(guān)的資源制定的相關(guān)要求、政策。管理制度通常由相應(yīng)的部門進行歸口管理和解釋，是職能化、專業(yè)化的直接體現(xiàn)。

其次，信息安全管理流程是根據(jù)一定的管理目標，對系列相關(guān)活動順序和操作規(guī)則的規(guī)定。通常管理流程會貫穿若干部門，使用相關(guān)資源，是流程化、規(guī)范化管理的體現(xiàn)。與管理制度相比，管理流程更注重過程管理，通常會使用一些流程測量指標，作為衡量效率和判斷是否合理的依據(jù)。

最后，在信息安全管理體系的實施中，如果關(guān)注結(jié)果，不注重或者難于監(jiān)控過程，就傾向于使用制度去約束，如近幾年在企業(yè)中大力推廣的口令加密存儲制度等。另一方面，如果在一個安全控制點上更關(guān)注過程，即關(guān)注是否具有完備的輸入，是否有合理可操作的處理過程，是否產(chǎn)生了預(yù)期的結(jié)果，那么就傾向使用操作流程進行記錄，如系統(tǒng)補丁加載等。

篇10

記者：為什么說信息科技風(fēng)險管理對于商業(yè)銀行是特別重要的一環(huán)?

徐徽：近年來，風(fēng)險管理已成為商業(yè)銀行經(jīng)營管理活動的主旋律，信息科技風(fēng)險作為銀行風(fēng)險的重要組成部分，受到越來越多的重視。從商業(yè)銀行的角度看，這源于兩方面的驅(qū)動因素。

一是內(nèi)在驅(qū)動因素。目前信息技術(shù)已深入到商業(yè)銀行經(jīng)營管理的各個領(lǐng)域，幾乎所有的改革發(fā)展任務(wù)都與信息技術(shù)密切相關(guān)，不管是業(yè)務(wù)的發(fā)展，還是管理的提升，都需要信息技術(shù)的配套支持。但是，信息技術(shù)固有的風(fēng)險，包括信息系統(tǒng)軟硬件本身的脆弱性、數(shù)據(jù)集中導(dǎo)致的風(fēng)險集中等，是客觀存在且難以完全規(guī)避的。由于技術(shù)原因造成區(qū)域性和系統(tǒng)性的金融風(fēng)險進而帶來嚴重的社會影響，在國內(nèi)外都有很多案例。因此，信息技術(shù)在促進銀行業(yè)務(wù)發(fā)展、推動金融創(chuàng)新的同時，也使銀行業(yè)務(wù)面臨巨大的安全隱患，信息科技風(fēng)險牽一發(fā)而動全身，信息系統(tǒng)的安全性和可靠性關(guān)系到商業(yè)銀行整體經(jīng)營管理活動的穩(wěn)定，應(yīng)該得到而且已經(jīng)得到了所有商業(yè)銀行的重視。

二是外在驅(qū)動因素。近幾年，中國人民銀行、銀監(jiān)會等監(jiān)管機構(gòu)對于商業(yè)銀行信息科技風(fēng)險的監(jiān)管要求越來越嚴、越來越細。銀監(jiān)會2009年3月下發(fā)的《商業(yè)銀行信息科技風(fēng)險管理指引》，從IT治理、風(fēng)險管理策略、信息安全、開發(fā)測試和生產(chǎn)運行管理等方面對商業(yè)銀行提出了具體而細致的風(fēng)險管理要求，對于商業(yè)銀行加強信息安全管理、防范信息技術(shù)風(fēng)險起到了重要的指導(dǎo)作用。同時，銀監(jiān)會將商業(yè)銀行的信息系統(tǒng)納入現(xiàn)場和非現(xiàn)場監(jiān)管，大力開展信息科技風(fēng)險現(xiàn)場檢查，對商業(yè)銀行的信息科技風(fēng)險防范工作提出了更髙的標準和要求。監(jiān)管力度的加大，促使商業(yè)銀行針對信息技術(shù)風(fēng)險防控制定出更強有力的措施，不斷提髙信息安全風(fēng)險管理水平。

在上述內(nèi)部要求和外部環(huán)境的雙重要求和驅(qū)動下，商業(yè)銀行信息科技風(fēng)險管理的重要性日益凸顯，信息安全管理成了各行科技工作的主題。

記者：現(xiàn)階段，我國金融機構(gòu)面臨的信息科技風(fēng)險主要來源于哪些方面?

徐徽：要嚴控信息科技風(fēng)險，就要先弄清楚風(fēng)險的來源，并根據(jù)不同來源對癥下藥。概括來說，信息科技風(fēng)險主要來自四個方面：一是自然原因?qū)е碌娘L(fēng)險，包括地震、臺風(fēng)等自然災(zāi)害造成的風(fēng)險，這類風(fēng)險往往很難主動防范，只能被動防御，通過事前建立完善的業(yè)務(wù)連續(xù)性方案和應(yīng)急預(yù)案，事后及時啟動應(yīng)急方案和補救措施來彌補;二是系統(tǒng)風(fēng)險，是由信息系統(tǒng)相關(guān)軟硬件的缺陷引起的，包括基礎(chǔ)設(shè)施和硬件設(shè)備老化、系統(tǒng)軟件缺陷、應(yīng)用軟件開發(fā)測試質(zhì)量缺陷等，需要通過改善軟硬件環(huán)境、完善應(yīng)用軟件來防范;三是管理缺陷導(dǎo)致的風(fēng)險，是由管理制度的缺失或組織架構(gòu)的制衡機制不完善引起的，需要從IT治理架構(gòu)和管理機制上彌補管理和制度的空白及漏洞;四是人員違規(guī)操作風(fēng)險，是由人員有意或無意的違規(guī)操作引起的，需要加強員工的安全培訓(xùn)和操作培訓(xùn)，提髙人員的信息安全意識和操作水平。其中，后三類風(fēng)險需要以主動防范為主要安全管理措施，要建立風(fēng)險事前防范、事中控制、事后監(jiān)督和糾正的機制。

記者：為保障銀行業(yè)務(wù)的安全，廣發(fā)行信息科技風(fēng)險管控采取了哪些具體措施?

徐徽：嚴控風(fēng)險是我行2009年工作的主旋律之一，這也是行長辛邁豪在1月全行工作會議上確立的指導(dǎo)思想，在信息技術(shù)方面的定位就是“加強信息技術(shù)風(fēng)險管控，將信息技術(shù)風(fēng)險納入銀行全面風(fēng)險管理體系”。信息安全管理工作是2009年全行科技工作的重點任務(wù)，是優(yōu)先投入資源、重點保障的工作目標。由此可見我行對于信息科技風(fēng)險管理的重視。

現(xiàn)階段，根據(jù)我行技術(shù)和管理的實際情況，信息科技風(fēng)險管理采用“廣度優(yōu)先、逐步提升”的策略，重點在管理、技術(shù)、人員等方面提升信息安全管理水平和管理能力，建立管理與技術(shù)結(jié)合的全方位的風(fēng)險管理體系，變被動應(yīng)對為主動防范。具體說來，主要采取以下幾方面的措施開展信息安全工作。

第一，將信息科技風(fēng)險管理和信息安全納入我行五年科技戰(zhàn)略規(guī)劃的實施目標。為了提髙信息技術(shù)整體核心競爭力，提升信息技術(shù)對業(yè)務(wù)戰(zhàn)略發(fā)展的長期可持續(xù)支持能力，我行于2008年完成了五年科技戰(zhàn)略規(guī)劃目標和實施路徑的制定，信息科技風(fēng)險管理和信息安全是科技規(guī)劃的重要組成部分之一?？萍家?guī)劃中明確了信息安全工作的中長期目標，定義了信息安全機制建設(shè)、信息安全相關(guān)系統(tǒng)和管理平臺建設(shè)等多方面的信息安全管理實施路徑，我行在未來幾年內(nèi)將根據(jù)科技規(guī)劃的實施路徑逐步開展信息安全建設(shè)，提升信息風(fēng)險防控能力。

第二，完善信息科技治理，大力開展信息科技風(fēng)險管理機制建設(shè)，建立信息科技風(fēng)險管理制度基礎(chǔ)。以前，國內(nèi)商業(yè)銀行的信息安全管理普遍存在一個誤區(qū)，認為部署了髙性能的硬件設(shè)備、實現(xiàn)了雙機熱備份、做好了生產(chǎn)運行風(fēng)險控制，就算完成了信息科技風(fēng)險控制的工作。其實不然，因為信息安全不單是技術(shù)問題，更是管理問題，只有持續(xù)完善信息科技治理架構(gòu)，從組織架構(gòu)和制度等管理層面采取防范措施，才能真正實現(xiàn)信息安全管理的目標。我行在信息科技治理方面的措施主要包括三個方面。首先，認真學(xué)習(xí)和領(lǐng)會監(jiān)管機構(gòu)對信息技術(shù)風(fēng)險控制的要求，吸收借鑒同業(yè)經(jīng)驗，將監(jiān)管要求和同業(yè)經(jīng)驗轉(zhuǎn)化為行內(nèi)工作規(guī)范，建立系統(tǒng)完善的信息技術(shù)風(fēng)險管理組織架構(gòu)和機制，建立了三道防線、三個小組和三項機制。三道防線是明確了信息技術(shù)部、合規(guī)部、稽核部為主體的信息技術(shù)風(fēng)險三道防線的職能分工;三個小組是成立了信息系統(tǒng)突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組、應(yīng)急處置小組和支持保障小組，做好突發(fā)事件應(yīng)急處理;三項機制是信息技術(shù)風(fēng)險管理保障機制、信息技術(shù)風(fēng)險評估和預(yù)警機制及信息技術(shù)風(fēng)險應(yīng)急處置機制。

其次，建立健全信息科技規(guī)章制度。為了做好制度建設(shè)，我行信息技術(shù)部專門制定了《科技規(guī)章制度管理辦法》，明確了信息科技相關(guān)制度制定、修訂、廢止的流程和審批制度。在管理辦法的指引下，切實抓好制度建設(shè)，近兩年每年制定、修訂的制度都在20項以上，形成了總數(shù)達到60余個的全行科技規(guī)章制度體系。同時加強制度的宣講、檢查、整改機制。對于新建立的制度，制定一項，宣講一項，檢查一項，違章整改一項。再次，加強信息安全隊伍建設(shè)，提髙員工信息安全風(fēng)險防范意識和水平，通過理論和實踐的結(jié)合，培養(yǎng)髙素質(zhì)的信息安全管理團隊。去年我行在總行各部門和各分行科技部設(shè)立了信息安全崗，專門負責(zé)組織、落實本單位的信息安全管理工作。為了提髙信息安全崗人員的知識水平和操作技能，我行與廣州市信息安全協(xié)會共同設(shè)計了培訓(xùn)課程，組織總行信息安全崗人員和總行信息技術(shù)部相關(guān)崗位人員分批參加了信息安全繼續(xù)教育培訓(xùn)，實現(xiàn)總行信息安全崗滿足《廣東省公安廳關(guān)于計算機信息系統(tǒng)安全保護的實施辦法》中關(guān)于持證上崗的監(jiān)管要求，今年將實現(xiàn)分行信息安全崗全部持證上崗。我們同時認識到，信息科技風(fēng)險防范不僅是信息安全崗的事情，而且是全體員工的基本任務(wù)。因此正在組織編寫全員信息安全手冊，對于桌面電腦安全、信息保密等基礎(chǔ)信息安全知識開展普及教育，屆時將人手一冊，確保全體員工了解并遵守信息安全管理要求。

第三，采取有效的信息科技風(fēng)險管理的手段防范和化解信息安全風(fēng)險。首先，持續(xù)開展信息科技風(fēng)險檢查、評估、整改這一不斷循環(huán)、螺旋上升的工作。一方面認真開展內(nèi)部審計和外部審計工作，通過審計發(fā)現(xiàn)制度、流程、操作等方面中的風(fēng)險;另一方面積極組織信息技術(shù)部的風(fēng)險自查，每月定期開展總分行數(shù)據(jù)中心機房現(xiàn)場檢查，每季度開展數(shù)據(jù)庫操作、用戶管理等髙風(fēng)險操作的專項檢查。根據(jù)審計要求和自查結(jié)果，嚴格落實風(fēng)險整改工作，將整改任務(wù)落實到每季度、每月、每周的科技工作計劃中。同時逐步擴大風(fēng)險檢查的廣度和深度，主動發(fā)現(xiàn)并積極防范風(fēng)險，通過風(fēng)險整改實現(xiàn)持續(xù)改進。其次，嚴抓四方面的生產(chǎn)運行安全管理工作：一是完善基礎(chǔ)設(shè)施建設(shè)，化解機房環(huán)境、硬件設(shè)備等基礎(chǔ)設(shè)施的風(fēng)險;二是建立和完善災(zāi)難備份中心，做好業(yè)務(wù)連續(xù)性建設(shè);三是提升運行管理的水平，推進運行流程化和集中化管理，防范操作風(fēng)險，確保信息系統(tǒng)的安全穩(wěn)定運行。四是完善應(yīng)急預(yù)案，積極組織開展應(yīng)急演練，切實提髙風(fēng)險防控水平。

記者：信息科技風(fēng)險管理有時會影響效率，您如何看待這兩個因素的平衡?