導(dǎo)語(yǔ)：如何才能寫好一篇信息安全管理要求，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

（一）連接管理要求

1. 斷開工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的所有不必要連接。

2. 對(duì)確實(shí)需要的連接，系統(tǒng)運(yùn)營(yíng)單位要逐一進(jìn)行登記，采取設(shè)置防火墻、單向隔離等措施加以防護(hù)，并定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，不斷完善防范措施。

3. 嚴(yán)格控制在工業(yè)控制系統(tǒng)和公共網(wǎng)絡(luò)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)以及便攜式計(jì)算機(jī)。

（二）組網(wǎng)管理要求

1. 工業(yè)控制系統(tǒng)組網(wǎng)時(shí)要同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全防護(hù)措施。

2. 采取虛擬專用網(wǎng)絡(luò)（VPN）、線路冗余備份、數(shù)據(jù)加密等措施，加強(qiáng)對(duì)關(guān)鍵工業(yè)控制系統(tǒng)遠(yuǎn)程通信的保護(hù)。

3. 對(duì)無(wú)線組網(wǎng)采取嚴(yán)格的身份認(rèn)證、安全監(jiān)測(cè)等防護(hù)措施，防止經(jīng)無(wú)線網(wǎng)絡(luò)進(jìn)行惡意入侵，尤其要防止通過(guò)侵入遠(yuǎn)程終端單元（RTU）進(jìn)而控制部分或整個(gè)工業(yè)控制系統(tǒng)。

（三）配置管理要求

1. 建立控制服務(wù)器等工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備安全配置和審計(jì)制度。

2. 嚴(yán)格賬戶管理，根據(jù)工作需要合理分類設(shè)置賬戶權(quán)限。

3. 嚴(yán)格口令管理，及時(shí)更改產(chǎn)品安裝時(shí)的預(yù)設(shè)口令，杜絕弱口令、空口令。

4. 定期對(duì)賬戶、口令、端口、服務(wù)等進(jìn)行檢查，及時(shí)清理不必要的用戶和管理員賬戶，停止無(wú)用的后臺(tái)程序和進(jìn)程，關(guān)閉無(wú)關(guān)的端口和服務(wù)。

（四）設(shè)備選擇與升級(jí)管理要求

1. 慎重選擇工業(yè)控制系統(tǒng)設(shè)備，在供貨合同中或以其他方式明確供應(yīng)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù)，確保產(chǎn)品安全可控。

2. 加強(qiáng)對(duì)技術(shù)服務(wù)的信息安全管理，在安全得不到保證的情況下禁止采取遠(yuǎn)程在線服務(wù)。

3. 密切關(guān)注產(chǎn)品漏洞和補(bǔ)丁，嚴(yán)格軟件升級(jí)、補(bǔ)丁安裝管理，嚴(yán)防病毒、木馬等惡意代碼侵入。關(guān)鍵工業(yè)控制系統(tǒng)軟件升級(jí)、補(bǔ)丁安裝前要請(qǐng)專業(yè)技術(shù)機(jī)構(gòu)進(jìn)行安全評(píng)估和驗(yàn)證。

（五）數(shù)據(jù)管理要求

地理、礦產(chǎn)、原材料等國(guó)家基礎(chǔ)數(shù)據(jù)以及其他重要敏感數(shù)據(jù)的采集、傳輸、存儲(chǔ)、利用等，要采取訪問(wèn)權(quán)限控制、數(shù)據(jù)加密、安全審計(jì)、災(zāi)難備份等措施加以保護(hù)，切實(shí)維護(hù)個(gè)人權(quán)益、企業(yè)利益和國(guó)家信息資源安全。

篇2

信息安全管理系統(tǒng)作為信息安全的支撐體系以及實(shí)施信息安全維護(hù)的落腳點(diǎn)，是信息安全管理中的重要組成部分。目前我國(guó)的信息安全管理系統(tǒng)還尚未完善，其不足之處首先表現(xiàn)為缺少統(tǒng)一的存儲(chǔ)平臺(tái)來(lái)對(duì)眾多的文檔進(jìn)行儲(chǔ)存，從而導(dǎo)致大量文檔的丟失；其次，如果信息安全管理系統(tǒng)不完善，就不能降低資產(chǎn)等的風(fēng)險(xiǎn)評(píng)估以及對(duì)資產(chǎn)進(jìn)行集中式的管理；最后，由于信息安全系統(tǒng)中各個(gè)報(bào)表功能的不完善，文檔信息就無(wú)法快速、準(zhǔn)確地透露出信息安全的實(shí)際狀況，從而起到有效地保護(hù)作用。信息安全管理系統(tǒng)主要能夠通過(guò)對(duì)關(guān)鍵資產(chǎn)實(shí)行定性和定量分析，從而得出資產(chǎn)的精確風(fēng)險(xiǎn)值，識(shí)別系統(tǒng)中存在的重要因患資產(chǎn)，并進(jìn)一步通知信息管理員采取適當(dāng)?shù)胤椒▉?lái)減少隱患事件的發(fā)生，通過(guò)科學(xué)的管理降低企業(yè)的資產(chǎn)風(fēng)險(xiǎn)。由此可見(jiàn)，完善的信息安全管理系統(tǒng)是不可或缺的，它一方面決定著信息安全管理體系的具體實(shí)施，另一方面也可以促進(jìn)企業(yè)信息安全管理體系的進(jìn)一步維護(hù)與建設(shè)。

2信息安全管理系統(tǒng)標(biāo)準(zhǔn)

科學(xué)統(tǒng)一的國(guó)家信息安全標(biāo)準(zhǔn)，有利于協(xié)調(diào)與融合各個(gè)信息安全管理系統(tǒng)的工作，充分促進(jìn)信息安全標(biāo)準(zhǔn)系統(tǒng)的功能發(fā)揮。我國(guó)的信息安全管理標(biāo)準(zhǔn)主要分為ISO/IEC27000系列標(biāo)準(zhǔn)與信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)兩個(gè)部分。

2.1ISO/IEC27000系列標(biāo)準(zhǔn)

1995年，英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)了BS7799-1和BS7799-2兩部標(biāo)準(zhǔn)，隨著時(shí)代的進(jìn)步其逐漸發(fā)展為ISO/IEC27001和ISO/IEC27002兩個(gè)部分，并進(jìn)一步成為目前信息安全管理體系的主要核心標(biāo)準(zhǔn)。BS7799的最初提出目的主要在于建立起一套能夠用于開發(fā)、實(shí)施以及測(cè)量的科學(xué)信息安全管理慣例，并作為一種通用框架來(lái)促進(jìn)貿(mào)易伙伴之間的信任。ISO/IEC27001重視ISMS的建構(gòu)以及在PDCA基礎(chǔ)之上的進(jìn)一步循環(huán)與完善，這一過(guò)程實(shí)質(zhì)上就是在宏觀的角度上來(lái)指導(dǎo)整個(gè)項(xiàng)目的有效實(shí)施。它意在風(fēng)險(xiǎn)管理的基礎(chǔ)之上，用風(fēng)險(xiǎn)分析的途徑，把發(fā)生信息風(fēng)險(xiǎn)的概率降到最低程度，同時(shí)采取適當(dāng)?shù)卮胧﹣?lái)保障主體業(yè)務(wù)的順利進(jìn)行。ISO/IEC27002主要闡述了133項(xiàng)控制細(xì)則，以及11項(xiàng)需要有效控制的項(xiàng)目，其中包括安全策略、安全組織、信息安全事件管理、人力資源安全、符合性物理與環(huán)境安全、訪問(wèn)控制、資產(chǎn)管理、系統(tǒng)的開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性管理、通信與操作安全等一系列的安全風(fēng)險(xiǎn)評(píng)估與控制。

2.2信息安全等級(jí)保護(hù)

1994年國(guó)務(wù)院出臺(tái)了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，該項(xiàng)基本制度的主要目的在于提高信息安全保障能力的水平、保障并促進(jìn)信息化的健康與發(fā)展，從而進(jìn)一步維護(hù)國(guó)家安全、社會(huì)發(fā)展以及人民群眾的利益。它的核心標(biāo)準(zhǔn)《GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》是在TCSEC的分級(jí)保護(hù)思想基礎(chǔ)之上，針對(duì)我國(guó)信息安全的發(fā)展實(shí)際進(jìn)行改善，最終把安全等級(jí)縮減成更具可操作性的5個(gè)級(jí)別?！禛B/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求》則把信息安全控制要求進(jìn)一步整理為管理要求與技術(shù)要求兩類，其中前者主要包括系統(tǒng)建設(shè)管理、安全管理制度、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)和人員安全管理；后者主要包括應(yīng)用安全、網(wǎng)絡(luò)安全、物理安全、主機(jī)安全以及數(shù)據(jù)安全與備份恢復(fù)。此外，信息安全等級(jí)保護(hù)的系列標(biāo)準(zhǔn)里還包括《GB/T20270-2006網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》以及《GB/T20271-2006信息系統(tǒng)安全通用要求》等一些關(guān)于信息安全維護(hù)細(xì)則的具體操作要求。

3信息安全管理系統(tǒng)的模型設(shè)計(jì)

根據(jù)信息安全管理系統(tǒng)標(biāo)準(zhǔn)，結(jié)合以往的信息安全管理系統(tǒng)設(shè)計(jì)，提出一種新型的四層信息安全管理系統(tǒng)：第一層為信息采集：主要包括人工脆弱性檢查、漏洞掃描工具以及日志采集系統(tǒng)三部分。這一信息采集層的主要功能在于采集安全保護(hù)對(duì)象的漏洞與安全事件。第二層是數(shù)據(jù)庫(kù)層：包括日志、資產(chǎn)庫(kù)、異常日志以及資產(chǎn)弱點(diǎn)庫(kù)和資產(chǎn)風(fēng)險(xiǎn)庫(kù)等。該數(shù)據(jù)庫(kù)層的主要功能在于對(duì)信息安全管理系統(tǒng)中的數(shù)據(jù)進(jìn)行存儲(chǔ)。第三層為功能模塊層：包括資產(chǎn)管理、風(fēng)險(xiǎn)管理、弱點(diǎn)管理、信息安全管理規(guī)范下載管理資產(chǎn)等級(jí)評(píng)估管理、拓補(bǔ)管理以及日志分析。最后一層為展示層：它包含某個(gè)具體業(yè)務(wù)系統(tǒng)中的業(yè)務(wù)系統(tǒng)整體安全狀況、資產(chǎn)安全狀況、業(yè)務(wù)系統(tǒng)拓補(bǔ)以及異常安全事件等相關(guān)部分。上述新型信息安全管理系統(tǒng)模型主要體現(xiàn)出以下六點(diǎn)創(chuàng)新之處：

（1）業(yè)務(wù)系統(tǒng)的動(dòng)態(tài)建模和系統(tǒng)支持資產(chǎn)，可以把業(yè)務(wù)系統(tǒng)和資產(chǎn)二者綁定在一起，由此，整個(gè)信息安全系統(tǒng)一方面可以準(zhǔn)確地體現(xiàn)出在一個(gè)具體業(yè)務(wù)系統(tǒng)環(huán)境下，其單獨(dú)資產(chǎn)的具體安全狀況；另一方面該信息安全系統(tǒng)還能夠根據(jù)IS027001的具體標(biāo)準(zhǔn)，反應(yīng)出整個(gè)資產(chǎn)所承載的整體業(yè)務(wù)系統(tǒng)的安全狀況。

（2）所設(shè)計(jì)的風(fēng)險(xiǎn)模塊管理可以把風(fēng)險(xiǎn)評(píng)估常態(tài)化、主動(dòng)化，使其對(duì)整個(gè)業(yè)務(wù)周期內(nèi)的所有資產(chǎn)風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)的跟蹤與準(zhǔn)確分析；另外，該信息安全系統(tǒng)的日志審計(jì)功能也可以實(shí)現(xiàn)被動(dòng)式的安全管理，從而使主動(dòng)管理與被動(dòng)管理在信息安全管理系統(tǒng)中充分融合。

（3）該新安全管理系統(tǒng)增加并促進(jìn)了拓補(bǔ)管理功能的發(fā)揮。

篇3

確定信息安全管理體系適用的范圍。信息安全管理體系的范圍就是需要重點(diǎn)進(jìn)行管理的安全領(lǐng)域。組織需要根據(jù)自己的實(shí)際情況，可以在整個(gè)組織范圍內(nèi)、也可以在個(gè)別部門或領(lǐng)域內(nèi)實(shí)施。在本階段的工作，應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域，這樣做易于組織對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾?。在定義適用范圍時(shí)，應(yīng)重點(diǎn)考慮組織的適用環(huán)境、適用人員、現(xiàn)有IT技術(shù)、現(xiàn)有信息資產(chǎn)等。

現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評(píng)估.依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行調(diào)研和評(píng)價(jià)，以及評(píng)估信息資產(chǎn)面臨的威脅以及導(dǎo)致安全事件發(fā)生的可能性，并結(jié)合安全事件所涉及的信息資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。

建立信息安全管理框架：建立信息安全管理體系要規(guī)劃和建立一個(gè)合理的信息安全管理框架，要從整體和全局的視角，從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)，從信息系統(tǒng)本身出發(fā)，根據(jù)業(yè)務(wù)性質(zhì)、組織特征、信息資產(chǎn)狀況和技術(shù)條件，建立信息資產(chǎn)清單，進(jìn)行風(fēng)險(xiǎn)分析、需求分析和選擇安全控制，準(zhǔn)備適用性聲明等步驟，從而建立安全體系并提出安全解決方案。

信息安全管理體系文件編寫：建立并保持一個(gè)文件化的信息安全管理體系是ISO/IEC27001:2005標(biāo)準(zhǔn)的總體要求，編寫信息安全管理體系文件是建立信息安全管理體系的基礎(chǔ)工作，也是一個(gè)組織實(shí)現(xiàn)風(fēng)險(xiǎn)控制、評(píng)價(jià)和改進(jìn)信息安全管理體系、實(shí)現(xiàn)持續(xù)改進(jìn)不可少的依據(jù)。在信息安全管理體系建立的文件中應(yīng)該包含有：安全方針文檔、適用范圍文檔、風(fēng)險(xiǎn)評(píng)估文檔、實(shí)施與控制文檔、適用性聲明文檔。

信息安全管理體系的運(yùn)行與改進(jìn)。信息安全管理體系文件編制完成以后，組織應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并實(shí)施，至此，信息安全管理體系將進(jìn)入運(yùn)行階段。在此期間，組織應(yīng)加強(qiáng)運(yùn)作力度，充分發(fā)揮體系本身的各項(xiàng)功能，及時(shí)發(fā)現(xiàn)體系策劃中存在的問(wèn)題，找出問(wèn)題根源，采取糾正措施，并按照更改控制程序要求對(duì)體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。

篇4

【 關(guān)鍵詞 】 信息安全；電力企業(yè)；風(fēng)險(xiǎn)評(píng)估；管理模式

1 引言

在如今的信息化社會(huì)中，信息通過(guò)共享傳遞實(shí)現(xiàn)其價(jià)值。在信息交換的過(guò)程中，人們肯定會(huì)擔(dān)心自己的信息泄露，所以信息安全備受關(guān)注，企業(yè)的信息安全就更為重要了。但是網(wǎng)絡(luò)是一個(gè)開放互聯(lián)的環(huán)境，接入網(wǎng)絡(luò)的方式多樣，再加上技術(shù)存在的漏洞或者人們可能的操作失誤等，信息安全問(wèn)題一刻不容忽視。尤其是電力，是國(guó)家規(guī)定的重要信息安全領(lǐng)域。所以電力企業(yè)要把信息安全管理體系的建設(shè)，作為重要的一環(huán)納入到整個(gè)企業(yè)管理體系中去。

2 電力企業(yè)信息管理體系建設(shè)的依據(jù)

關(guān)于企業(yè)的安全管理體系方面的標(biāo)準(zhǔn)有很多。英國(guó)BSI/DISC的BDD信息管理委員會(huì)制定的安全管理體系主要包含兩個(gè)部分內(nèi)容：信息安全管理實(shí)施規(guī)則和信息安全管理體系規(guī)范。信息安全管理實(shí)施規(guī)則是一個(gè)基礎(chǔ)性指導(dǎo)文件，里面有10大管理項(xiàng)、36個(gè)執(zhí)行的目標(biāo)和127種控制的方法，可以作為開發(fā)人員在信息安全管理體系開發(fā)過(guò)程中的一個(gè)參考文檔。信息安全管理體系規(guī)范則詳細(xì)描述了在建立、施工和維護(hù)信息安全管理體系過(guò)程的要求，并提出了一些具體操作的建議。

國(guó)際標(biāo)準(zhǔn)化組織也了很多關(guān)于信息安全技術(shù)的標(biāo)準(zhǔn)，如ISO x系列、ISO/IEC x系列等。我國(guó)也制定了一系列的信息安全標(biāo)準(zhǔn)，如GB 15851―1995。

關(guān)于企業(yè)信息安全管理體系方面的標(biāo)準(zhǔn)眾多，如何針對(duì)企業(yè)自身實(shí)際情況選擇合適的參考標(biāo)準(zhǔn)很重要，尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì)，選擇信息安全體系建設(shè)的參考標(biāo)準(zhǔn)更要謹(jǐn)慎。我國(guó)電力企業(yè)已經(jīng)引入了一些國(guó)際化標(biāo)準(zhǔn)作為建立和維護(hù)企業(yè)運(yùn)轉(zhuǎn)的保證，關(guān)于信息安全體系的標(biāo)準(zhǔn)也應(yīng)納入到保證企業(yè)運(yùn)轉(zhuǎn)的一系列參考中去。電力企業(yè)總體應(yīng)有一致的安全信息管理體系參考標(biāo)準(zhǔn)，但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境，所以在總體一致的信息安全標(biāo)準(zhǔn)的情況下，也應(yīng)該根據(jù)企業(yè)自身地區(qū)、人文、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標(biāo)準(zhǔn)作為建立、實(shí)施和維護(hù)信息安全管理體系的依據(jù)。信息安全管理體系顧全大局又要有所側(cè)重的體現(xiàn)電力企業(yè)安全標(biāo)準(zhǔn)的要求。

3 信息安全管理體系里的重要環(huán)節(jié)

3.1 硬件環(huán)境要求

信息安全管理體系并沒(méi)有特別要求添加什么特別的設(shè)備，只是對(duì)企業(yè)用到的設(shè)備做一些要求。電力企業(yè)一般采用內(nèi)外網(wǎng)結(jié)合的方式，內(nèi)外網(wǎng)設(shè)備要盡量進(jìn)行物理隔離。企業(yè)每個(gè)員工基本都有自己的移動(dòng)設(shè)備，如手機(jī)等，為了增加信息安全的系數(shù)，企業(yè)可以限制公司設(shè)備的無(wú)線網(wǎng)絡(luò)拓展。另外，實(shí)時(shí)監(jiān)控系統(tǒng)也應(yīng)該覆蓋企業(yè)的重要設(shè)備，監(jiān)控硬件設(shè)備的安全。

3.2 軟件環(huán)境要求

在企業(yè)設(shè)備（主要是計(jì)算機(jī)）上部署相關(guān)軟件環(huán)境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等，以此防止網(wǎng)絡(luò)攻擊或者提高安全系數(shù)。另外，企業(yè)設(shè)備所用系統(tǒng)的安全漏洞修復(fù)、數(shù)據(jù)的加密解密、數(shù)據(jù)的備份恢復(fù)及數(shù)據(jù)傳輸通道的加密解密等問(wèn)題，都在信息安全管理體系設(shè)計(jì)的考慮范疇。

3.3 企業(yè)員工管理

盡管現(xiàn)在一直倡導(dǎo)智能化，但是企業(yè)內(nèi)進(jìn)行設(shè)備等操作的主體還是員工。不管是對(duì)設(shè)備終端操作來(lái)進(jìn)行信息的首發(fā)，還是對(duì)企業(yè)軟硬件系統(tǒng)進(jìn)行維護(hù)工作，都是有員工來(lái)進(jìn)行的。所以，對(duì)企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn)，提高員工的信息安全防范意識(shí)，讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對(duì)不同的職位，在員工上崗前應(yīng)該進(jìn)行相關(guān)的信息安全方面的培訓(xùn)，然后對(duì)培訓(xùn)結(jié)果進(jìn)行考核，不合格的人員不準(zhǔn)上崗。在崗的人員也要定期進(jìn)行培訓(xùn)與考核。另外，如果有條件的話，企業(yè)應(yīng)該定期（例如每年）進(jìn)行一次信息安全的相關(guān)演習(xí)。

另外，電力企業(yè)有些項(xiàng)目是外包給其他相應(yīng)公司的，這時(shí)候會(huì)有施工人員和駐場(chǎng)人員在電力企業(yè)，對(duì)這些人員也應(yīng)該進(jìn)行電力企業(yè)信息安全的培訓(xùn)。

3.4 信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評(píng)估

風(fēng)險(xiǎn)評(píng)估在信息安全管理體系中是確定企業(yè)信息安全需求的一個(gè)重要途徑，它是對(duì)企業(yè)的信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用下所帶來(lái)的風(fēng)險(xiǎn)可能性的評(píng)測(cè)。風(fēng)險(xiǎn)評(píng)估的主要任務(wù)是：檢測(cè)評(píng)估對(duì)象所面臨的各種風(fēng)險(xiǎn)，估計(jì)風(fēng)險(xiǎn)的概率和可能帶來(lái)的負(fù)面影響的程度，確定信息安全管理體系承受風(fēng)險(xiǎn)的能力，確定不同風(fēng)險(xiǎn)發(fā)生后消減和控制的優(yōu)先級(jí)，對(duì)消除風(fēng)險(xiǎn)提出建議。在信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評(píng)估過(guò)程中，形成《風(fēng)險(xiǎn)系數(shù)評(píng)估報(bào)告》、《風(fēng)險(xiǎn)處理方案》等文檔，作為對(duì)信息安全管理體系進(jìn)行調(diào)整的參考。風(fēng)險(xiǎn)系數(shù)的評(píng)估要盡可能全面的反映企業(yè)的信息安全管理體系，除了常規(guī)手段，也可以使用一些相應(yīng)的軟件工具的結(jié)果作為參考。另外很值得注意的是企業(yè)的員工對(duì)風(fēng)險(xiǎn)的理解，企業(yè)員工對(duì)他們所操作的對(duì)象有比較深刻的理解，對(duì)其中可能存在的不足也有自己的見(jiàn)解，在風(fēng)險(xiǎn)系數(shù)評(píng)估的過(guò)程中，可以進(jìn)行一些員工的問(wèn)卷調(diào)查等，把員工對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)納入風(fēng)險(xiǎn)評(píng)估的考慮范疇。

企業(yè)的設(shè)備會(huì)老舊更換，員工也會(huì)更換，所以企業(yè)的信息安全是動(dòng)態(tài)的，因此風(fēng)險(xiǎn)評(píng)估工作也要視具體情況定期進(jìn)行，針對(duì)當(dāng)前情況作評(píng)估報(bào)告，然后制定相應(yīng)的風(fēng)險(xiǎn)處理方案。還有，之所以要建立信息安全管理體系，其中很重要的一點(diǎn)就是體系內(nèi)各個(gè)模塊的結(jié)合，信息安全管理體系的風(fēng)險(xiǎn)評(píng)估與關(guān)鍵內(nèi)容的實(shí)時(shí)監(jiān)控就應(yīng)該結(jié)合起來(lái)。

為了降低信息安全管理體系的風(fēng)險(xiǎn)系數(shù)，提升信息安全等級(jí)，要做的工作很多。滲透測(cè)試就是其中很有必要的一項(xiàng)工作。滲透測(cè)試是測(cè)試人員通過(guò)模擬惡意攻擊者的攻擊方式，來(lái)評(píng)估企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)測(cè)方法。這個(gè)測(cè)試過(guò)程會(huì)對(duì)系統(tǒng)的可知的所有弱點(diǎn)、技術(shù)方面的缺陷或者漏洞等作主動(dòng)的分析。滲透測(cè)試對(duì)于網(wǎng)絡(luò)信息安全的組織具有實(shí)際應(yīng)用價(jià)值。隨著技術(shù)的不斷進(jìn)步，可能還會(huì)出現(xiàn)其他的更有價(jià)值的信息安全技術(shù)，作為信息安全備受矚目的電力企業(yè)，應(yīng)當(dāng)時(shí)刻關(guān)注相關(guān)技術(shù)的進(jìn)展，并及時(shí)將它們納入企業(yè)信息安全管理體系中來(lái)。

3.5 信息安全管理體系的管理模式

文章前面提到企業(yè)信息安全是動(dòng)態(tài)的，所以信息安全管理體系需要建立一個(gè)長(zhǎng)效的機(jī)制，針對(duì)最新的情況及時(shí)對(duì)自身作出調(diào)整，使信息安全管理體系有效的運(yùn)行。現(xiàn)在一般會(huì)采用PDCA循環(huán)過(guò)程模式：計(jì)劃，依照體系整個(gè)的方針和目標(biāo)，建立與控制風(fēng)險(xiǎn)系數(shù)、提高信息安全的有關(guān)的安全方針、過(guò)程、指標(biāo)和程序等；執(zhí)行：實(shí)施和運(yùn)作計(jì)劃中建立的方針、過(guò)程、程序等；評(píng)測(cè)：根據(jù)方針、目標(biāo)等，評(píng)估業(yè)績(jī)，并形成報(bào)告，也就是文章前面說(shuō)到的風(fēng)險(xiǎn)系數(shù)評(píng)估；舉措：采取主動(dòng)糾正或預(yù)防措施對(duì)體系進(jìn)行調(diào)整，進(jìn)一步提高體系運(yùn)作的有效性。這四個(gè)步驟循環(huán)運(yùn)轉(zhuǎn)，成為一個(gè)閉環(huán)，是信息安全管理體系得到持續(xù)的改進(jìn)。

4 重要技術(shù)及展望

4.1 安全隔離技術(shù)

電力企業(yè)的信息網(wǎng)絡(luò)是由內(nèi)外網(wǎng)兩部分組成，從被防御的角度來(lái)看的話，內(nèi)網(wǎng)的主要安全防護(hù)技術(shù)為防火墻、桌面弱口令監(jiān)控、入侵檢測(cè)技術(shù)等；而主動(dòng)防護(hù)則主要采用的是安全隔離技術(shù)等。安全隔離技術(shù)包括物理隔離、協(xié)議隔離技術(shù)和防火墻技術(shù)。一般電力企業(yè)采用了物理隔離與防火墻技術(shù)，在內(nèi)網(wǎng)設(shè)立防火墻，在內(nèi)外網(wǎng)之間進(jìn)行物理隔離。

4.2 數(shù)據(jù)加密技術(shù)

企業(yè)的數(shù)據(jù)在傳輸過(guò)程中一般都要進(jìn)行加密來(lái)降低信息泄露的風(fēng)險(xiǎn)?？梢愿鶕?jù)電力企業(yè)內(nèi)部具體的安全要求，對(duì)規(guī)定的文檔、視圖等在傳輸前進(jìn)行數(shù)據(jù)加密。尤其是電力企業(yè)通過(guò)外網(wǎng)傳輸?shù)臅r(shí)候，除了對(duì)數(shù)據(jù)進(jìn)行加密外，還應(yīng)該在鏈路兩端進(jìn)行通道加密。

4.3 終端弱口令監(jiān)控技術(shù)

終端設(shè)備眾多，而且是業(yè)務(wù)應(yīng)用的主要入口，所以終端口令關(guān)乎業(yè)務(wù)數(shù)據(jù)的安全以及整個(gè)系統(tǒng)的正常運(yùn)轉(zhuǎn)。如果終端口令過(guò)于簡(jiǎn)單薄弱，相當(dāng)于沒(méi)有設(shè)定而將設(shè)備暴露。終端的信息安全是電力企業(yè)信息安全的第一道防線，因此采用桌面系統(tǒng)弱口令監(jiān)控技術(shù)來(lái)加強(qiáng)這第一道防線的穩(wěn)固性對(duì)電力企業(yè)的信息安全非常重要。

電力企業(yè)信息安全管理體系是一個(gè)復(fù)雜的系統(tǒng)，包含眾多的安全技術(shù)，如數(shù)據(jù)備份及災(zāi)難恢復(fù)技術(shù)、終端安全檢查與用戶身份認(rèn)證技術(shù)、虛擬專用網(wǎng)技術(shù)、協(xié)議隔離技術(shù)等。凡是與信息安全相關(guān)的技術(shù)，電力企業(yè)都應(yīng)當(dāng)關(guān)注，并根據(jù)企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去。

智能化已成為不管是研究還是社會(huì)應(yīng)用的熱門詞匯。電力企業(yè)的信息安全管理體系是否可以智能化呢？不妨做一個(gè)展望，電力企業(yè)的信息安全管理體系有了很強(qiáng)的自我學(xué)習(xí)與自我改進(jìn)的能力，在信息安全環(huán)境越來(lái)越復(fù)雜，信息量越來(lái)越龐大的情況下是否會(huì)更能發(fā)揮信息安全管理體系的作用呢？這應(yīng)該是值得期待的。

5 防病毒軟件部署

電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署，如防病毒軟件部署、桌面弱口令監(jiān)控系統(tǒng)部署、系統(tǒng)安全衛(wèi)士部署等。但是它們的部署情況類似，這里用防病毒軟件的部署來(lái)展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況。如圖1所示為防病毒軟件的部署框架。

殺毒軟件種類有很多，這里以賽門鐵克殺毒軟件為例。企業(yè)版的賽門鐵克防病毒軟件系統(tǒng)相比單機(jī)版增加了網(wǎng)絡(luò)管理的功能，能夠很大程度地減輕維護(hù)人員的工作量。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運(yùn)行，在電力企業(yè)內(nèi)部正式使用時(shí)，盡量準(zhǔn)備一立的服務(wù)器作為防病毒軟件專用的服務(wù)器。

服務(wù)器安裝配置好賽門鐵克防病毒軟件后，可以遠(yuǎn)程控制客戶端與下級(jí)升級(jí)服務(wù)器的軟件安裝與升級(jí)。

電力企業(yè)內(nèi)網(wǎng)可能是禁止接入外網(wǎng)的，這樣的話，防病毒軟件的更新可能無(wú)法自動(dòng)完成。防病毒軟件需要升級(jí)的時(shí)候，維護(hù)人員在通過(guò)外網(wǎng)在相應(yīng)網(wǎng)址下載賽門鐵克升級(jí)包，然后通過(guò)安全U盤拷貝到防病毒軟件系統(tǒng)專用服務(wù)器進(jìn)行升級(jí)操作。在圖1中，省電力公司的防病毒管理控制臺(tái)獲得升級(jí)包可以下發(fā)給下級(jí)升級(jí)服務(wù)器和客戶端進(jìn)行防病毒軟件系統(tǒng)的自動(dòng)升級(jí)更新。圖1是一個(gè)簡(jiǎn)單的框圖，如果電力企業(yè)的內(nèi)網(wǎng)規(guī)模很大的話，還可以更多級(jí)地分布部署。

6 結(jié)束語(yǔ)

電力企業(yè)的信息安全與企業(yè)的生產(chǎn)與經(jīng)營(yíng)管理密切相關(guān)，是企業(yè)整個(gè)管理系統(tǒng)的一部分。信息安全管理體系是一個(gè)整體性的管理工作，把體系中涉及的內(nèi)容統(tǒng)一進(jìn)行管理，讓它們協(xié)調(diào)運(yùn)作，實(shí)現(xiàn)信息安全管理體系的功能。電力企業(yè)信息安全的建立與體系不斷的改進(jìn)定能穩(wěn)定、有效地維護(hù)企業(yè)的信息安全。

參考文獻(xiàn)

[1] 王志強(qiáng)，李建剛.電網(wǎng)企業(yè)信息安全管理體系建設(shè)[J].浙江省電力公司，2008，6（3）：26-29.

[2] 陳賀，宮俊峰.淺析信息安全體系如何建立[J].中國(guó)管理信息化，2014，17（1）：74-76.

[3] 郭建，顧志強(qiáng).電力企業(yè)信息安全現(xiàn)狀分析及管理對(duì)策[J].信息技術(shù)，2013（1）：180-187.

[4] 沈軍.火力發(fā)電廠信息你安全體系構(gòu)建與應(yīng)用[J].電力信息通信技術(shù)，2013，11（8）：103-108.

[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密，2010，01（10）：68-71.

[6] 楊柳.構(gòu)建供電企業(yè)信息安全體系[J].電腦知識(shí)與技術(shù)，2005（29）.

[7] 曹鳴鵬， 趙偉， 許林英. J2EE技術(shù)及其實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用，2001， 21（10）： 20-23.

[8] 江和平.淺談網(wǎng)絡(luò)信息安全技術(shù)[J].現(xiàn)代情報(bào)學(xué)，2004（14）：125-127.

作者簡(jiǎn)介：

崔阿軍（1984-），男，甘肅平?jīng)鋈耍T士研究生，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息通信安全技術(shù)研究。

張馴（1984-），男，江蘇揚(yáng)州人，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息通信安全技術(shù)研究。

李志茹（1984-），女，山東平度人，碩士研究生，工程師；主要研究方向和關(guān)注領(lǐng)域：信息化建設(shè)及安全技術(shù)。

龔波（1981-），男，湖南新邵人，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息化建設(shè)及安全技術(shù)。

篇5

關(guān)鍵詞：信息安全等級(jí)保護(hù)；機(jī)構(gòu)管理；信息中心隨著《信息安全等級(jí)保護(hù)實(shí)施指南》和《信息安全等級(jí)保護(hù)管理辦法》等一系列文件頒布以來(lái)，醫(yī)院如何開展等級(jí)保護(hù)工作，確保信息安全，已經(jīng)變成熱門話題。其中，負(fù)責(zé)醫(yī)院信息安全等級(jí)保護(hù)工作的組織管理機(jī)構(gòu)，主要從管理層和用戶層對(duì)醫(yī)院信息安全等級(jí)保護(hù)進(jìn)行管理建設(shè)。管理層的主要工作是制定醫(yī)院信息安全等級(jí)保護(hù)工作的管理辦法；用戶層的主要工作是依據(jù)管辦法要求，進(jìn)行溝通合作以及運(yùn)行監(jiān)控和審查檢查工作。

1信息安全機(jī)構(gòu)管理目的

信息安全等級(jí)保護(hù)工作是解決信息安全問(wèn)題的基本方法，而信息安全不僅靠物理安全、網(wǎng)絡(luò)安全、主機(jī)安全等具體技術(shù)上的實(shí)現(xiàn)，還需要建立健全的信息安全機(jī)構(gòu)管理制度，貫徹信息安全工作和維持信息安全的建設(shè)成果，在技術(shù)和管理兩個(gè)維度下保障信息安全保護(hù)體系在持續(xù)的運(yùn)營(yíng)工作中發(fā)揮應(yīng)有的信息安全保護(hù)作用[1]。

2信息安全機(jī)構(gòu)管理思路

2.1加強(qiáng)安全管理建設(shè)是實(shí)現(xiàn)等級(jí)保護(hù)組織機(jī)構(gòu)管理的基礎(chǔ) 醫(yī)院信息安全管理需要由醫(yī)院信息化領(lǐng)導(dǎo)機(jī)構(gòu)協(xié)調(diào)進(jìn)行。為了完成和強(qiáng)化信息安全的管理，需要建立相應(yīng)的信息安全管理機(jī)構(gòu)，這是醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的必要條件[2]。同時(shí)，安全組織管理建設(shè)也是重要組成內(nèi)容，包括健全組織體系，明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門和宣傳部門，制定系統(tǒng)安全保障方案，實(shí)施安全宣傳教育、安全監(jiān)管和安全服務(wù)等。

2.2相關(guān)管理辦法制定是規(guī)范等級(jí)保護(hù)組織機(jī)構(gòu)管理的根本保證 醫(yī)院信息系統(tǒng)存在著來(lái)自社會(huì)環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風(fēng)險(xiǎn)，其安全威脅無(wú)時(shí)無(wú)處不在。對(duì)于醫(yī)院信息系統(tǒng)的安全問(wèn)題，不能企圖單憑利用一些集成了信息安全技術(shù)的安全產(chǎn)品來(lái)解決，而必須配合等級(jí)保護(hù)的信息系統(tǒng)安全保障體系，制定相關(guān)管理辦法，全方位綜合解決系統(tǒng)安全問(wèn)題。

2.3定期審查監(jiān)控是實(shí)施等級(jí)保護(hù)組織機(jī)構(gòu)管理的具體表現(xiàn) 根據(jù)醫(yī)院對(duì)于信息安全等級(jí)保護(hù)的要求，安全等級(jí)保護(hù)除重視技術(shù)解決方案外，更應(yīng)明確定期審查、檢查和監(jiān)控的必要性。包括：指定專員定期對(duì)系統(tǒng)進(jìn)行安全巡查，檢查的內(nèi)容包含例如系統(tǒng)運(yùn)行情況、系統(tǒng)漏洞確認(rèn)、系統(tǒng)數(shù)據(jù)備份、現(xiàn)有安全技術(shù)措施有效性、安全配置與安全策略一致性、安全管理制度的執(zhí)行情況等等。

3信息安全機(jī)構(gòu)管理措施

醫(yī)院信息安全管理體系依賴于信息安全等級(jí)保護(hù)管理建設(shè)的機(jī)構(gòu)管理。根據(jù)醫(yī)院當(dāng)前信息安全管理需要和機(jī)構(gòu)管理特點(diǎn)，和信息安全等級(jí)保護(hù)管理所要求的系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)、安全管理制度和人員安全管理，筆者從崗位設(shè)置、人員配備、授權(quán)、審批、審查和溝通交流等方面分析醫(yī)院信息管理機(jī)構(gòu)建設(shè)，切實(shí)做到提升醫(yī)院信息等級(jí)保護(hù)管理的能力。

3.1崗位設(shè)置 信息中心內(nèi)部根據(jù)崗位劃分不同，設(shè)置多個(gè)安全管理崗位包括系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、安全審計(jì)員崗位，各崗位人員應(yīng)按照自己的崗位職責(zé)，落實(shí)本崗位的信息安全工作[3]。

以我院為例，我院信息安全管理工作由院領(lǐng)導(dǎo)負(fù)責(zé)指導(dǎo)和管理，同時(shí)成立了醫(yī)院級(jí)別的信息安全工作領(lǐng)導(dǎo)小組，由黨委書記擔(dān)任領(lǐng)導(dǎo)小組組長(zhǎng)，由信息中心負(fù)責(zé)管理工作的具體落實(shí)，制定各信息系統(tǒng)相關(guān)崗位的崗位職責(zé)和工作標(biāo)準(zhǔn)并形成文件。

3.2人員配備 信息中心采用安全責(zé)任層層落實(shí)制，中心主任對(duì)醫(yī)院所有信息化相關(guān)系統(tǒng)負(fù)責(zé)，網(wǎng)絡(luò)工程師對(duì)醫(yī)院所有網(wǎng)絡(luò)建設(shè)及維護(hù)負(fù)責(zé)，系統(tǒng)工程師對(duì)醫(yī)院服務(wù)器、數(shù)據(jù)庫(kù)、存儲(chǔ)和信息系統(tǒng)負(fù)責(zé)，信息安全工程師對(duì)醫(yī)院網(wǎng)絡(luò)安全、信息安全、機(jī)房物理安全負(fù)責(zé)，安全審計(jì)工程師對(duì)所有人的信息安全工作進(jìn)行監(jiān)督和審計(jì)，保證信息安全工作層層做實(shí)。

3.3授權(quán)和審批 醫(yī)院信息中心對(duì)于外部廠商人員的相關(guān)操作均需進(jìn)行審批流程，通過(guò)軟件記錄其所有操作行為，并保存進(jìn)檔。對(duì)于中心內(nèi)部工作人員執(zhí)行嚴(yán)格的離崗流程，由所在部門主管負(fù)責(zé)回收本部門負(fù)責(zé)的相關(guān)權(quán)限，所有權(quán)限回收后方可辦理正常的離職手續(xù)。

信息中心對(duì)于客戶端操作系統(tǒng)權(quán)限、應(yīng)用系統(tǒng)操作權(quán)限、數(shù)據(jù)庫(kù)操作權(quán)限進(jìn)行分級(jí)控制。內(nèi)網(wǎng)客戶端硬盤分區(qū)全部使用NTFS，管理員密碼由信息中心網(wǎng)絡(luò)組每月定時(shí)更換；對(duì)所有應(yīng)用系統(tǒng)功能進(jìn)行編號(hào)，對(duì)功能進(jìn)行模塊化管理，并對(duì)模塊進(jìn)行分級(jí)控制；同時(shí)，設(shè)置數(shù)據(jù)庫(kù)用戶，將不同應(yīng)用的數(shù)據(jù)分別管理，賦予創(chuàng)建、修改、刪除表及表內(nèi)數(shù)據(jù)權(quán)限。

3.4審查和檢查 醫(yī)院信息中心日常檢查由信息安全管理員進(jìn)行，自檢內(nèi)容包括終端安全自檢和軟件管理自檢，終端安全自檢包括檢查是否每臺(tái)計(jì)算機(jī)安裝防病毒軟件，病毒庫(kù)是否為最新版本，終端操作系統(tǒng)是否安裝最新補(bǔ)丁，是否設(shè)置6位以上口令；軟件管理自檢包括檢查軟件是否為正版軟件，軟件管理的各項(xiàng)記錄是否完整等。

構(gòu)建信息安全綜合防護(hù)體系保證醫(yī)院各系統(tǒng)能夠長(zhǎng)期穩(wěn)定安全運(yùn)行，滿足了醫(yī)院不斷擴(kuò)展的業(yè)務(wù)應(yīng)用和管理需要。本文對(duì)信息安全機(jī)構(gòu)管理的目的、思路和措施進(jìn)行了詳細(xì)的分析闡述，對(duì)相關(guān)工作人員和機(jī)構(gòu)具有一定的啟示意義。同時(shí)，通過(guò)梳理分析業(yè)務(wù)特點(diǎn)和管理流程，依據(jù)等級(jí)保護(hù)相關(guān)政策和標(biāo)準(zhǔn)，明確安全管理需求，筆者所在醫(yī)院信息管理中心整理并制定出符合醫(yī)院信息系統(tǒng)實(shí)際情況的一套信息安全管理體系文件，并在2012年公安局等級(jí)保護(hù)測(cè)評(píng)中被評(píng)為三級(jí)。

參考文獻(xiàn)：

[1]蘇丹.醫(yī)院信息系統(tǒng)安全與管理[J].中國(guó)信息界(e醫(yī)療),2013,(05):58-59.

篇6

1.1電信企業(yè)的特點(diǎn)

近10年來(lái)，電信企業(yè)經(jīng)歷了高速的發(fā)展，網(wǎng)絡(luò)規(guī)模龐大、用戶數(shù)量眾多、業(yè)務(wù)發(fā)展多元化，使得電信企業(yè)具有了如下的主要運(yùn)營(yíng)特點(diǎn)：（1）電信企業(yè)業(yè)務(wù)種類繁多，流程復(fù)雜程度高。當(dāng)前，隨著人們需求的多元化和個(gè)性化，單一的話音業(yè)務(wù)已不能滿足用戶通信的需求，電信企業(yè)根據(jù)不同細(xì)分市場(chǎng)的用戶需求提供多種多樣的增值電信業(yè)務(wù)，業(yè)務(wù)流程復(fù)雜性增大。同時(shí)，電信企業(yè)的部分業(yè)務(wù)涉及多方參與，除了最終用戶，還有眾多第三方公司，甚至還有當(dāng)?shù)卣块T。在監(jiān)管方面，電信企業(yè)也必須依照國(guó)家法律對(duì)第三方提供內(nèi)容監(jiān)管，防止其提供違法信息。（2）電信業(yè)務(wù)涉及大量的電子業(yè)務(wù)數(shù)據(jù)交互，數(shù)據(jù)涉及用戶的個(gè)人敏感信息。電信企業(yè)內(nèi)部運(yùn)作主要依賴于各種IT系統(tǒng)，大部分業(yè)務(wù)數(shù)據(jù)和內(nèi)部管理運(yùn)作軌跡數(shù)據(jù)都是以電子數(shù)據(jù)的形式存在于各系統(tǒng)的數(shù)據(jù)庫(kù)中。海量的業(yè)務(wù)數(shù)據(jù)中，包含了用戶的個(gè)人敏感信息，諸如用戶個(gè)人身份信息、訂購(gòu)信息、交易信息等；內(nèi)部管理數(shù)據(jù)中，包含了企業(yè)發(fā)展戰(zhàn)略、重要規(guī)章制度、管理信息等機(jī)密內(nèi)容。不同的業(yè)務(wù)數(shù)據(jù)之間要進(jìn)行交互，如果人為通過(guò)系統(tǒng)后臺(tái)改變用戶的賬戶或交易信息，將會(huì)對(duì)業(yè)務(wù)結(jié)算或者財(cái)務(wù)帶來(lái)風(fēng)險(xiǎn)。（3）業(yè)務(wù)運(yùn)營(yíng)和企業(yè)內(nèi)部運(yùn)作對(duì)支撐系統(tǒng)依賴程度高，平臺(tái)種類繁多。電信企業(yè)所提供的服務(wù)都需要后臺(tái)支撐系統(tǒng)的支持，如業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)就承載著計(jì)費(fèi)、結(jié)算、營(yíng)業(yè)賬務(wù)和客戶服務(wù)等多項(xiàng)核心業(yè)務(wù)，這些業(yè)務(wù)都要求有一個(gè)高度穩(wěn)定、運(yùn)行順暢、安全可靠的系統(tǒng)。同時(shí)，企業(yè)內(nèi)部工作主要依賴管理信息系統(tǒng)，如現(xiàn)在重要的公文審批都會(huì)通過(guò)OA系統(tǒng)進(jìn)行簽批，業(yè)務(wù)系統(tǒng)賬號(hào)申請(qǐng)與維護(hù)也是在內(nèi)部管理信息系統(tǒng)中完成。電信行業(yè)的這些特點(diǎn)，不難得出信息化運(yùn)營(yíng)和管理在電信行業(yè)發(fā)展中的重要地位，一旦信息安全出現(xiàn)問(wèn)題，必將帶來(lái)十分嚴(yán)重的后果。因此，從電信行業(yè)的運(yùn)營(yíng)特點(diǎn)出發(fā)，構(gòu)建全面的信息安全合規(guī)管理體系，是電信企業(yè)實(shí)現(xiàn)業(yè)務(wù)快速、穩(wěn)定、健康發(fā)展的必由之路。

1.2信息安全管理面臨的問(wèn)題

近年來(lái)，各大電信企業(yè)針對(duì)信息安全建設(shè)進(jìn)行了大量的工作，但是依然面臨著很多問(wèn)題，主要表現(xiàn)在：（1）信息安全管控要求多。存在多個(gè)部門、維護(hù)信息安全制度的情況，缺乏平臺(tái)化的制度管理機(jī)制，具體的執(zhí)行人員很難在第一時(shí)間了解最新的安全制度要求。此外，針對(duì)同樣的安全管控內(nèi)容，不同的信息安全制度常常存在標(biāo)準(zhǔn)不統(tǒng)一的情況，令執(zhí)行人員無(wú)所適從。（2）部分信息安全制度中的規(guī)定缺乏實(shí)質(zhì)性管控要求，無(wú)法明確有效地轉(zhuǎn)化到執(zhí)行層面予以落實(shí)。同時(shí)，往往信息安全管理要求沒(méi)有落實(shí)到具體的部門，更沒(méi)有落實(shí)到具體的崗位，面對(duì)大量的安全管控要求，執(zhí)行起來(lái)非常困難。（3）信息安全檢查缺乏統(tǒng)一的標(biāo)準(zhǔn)，并且主要采用人工檢查，每次檢查往往需要進(jìn)行人工訪談、資料查閱、現(xiàn)場(chǎng)測(cè)試等多個(gè)環(huán)節(jié)，耗費(fèi)大量的時(shí)間、人力和物力。檢查內(nèi)容、檢查方法、檢查工具、檢查人員的能力等都成為影響檢查效果的因素。（4）針對(duì)企業(yè)各個(gè)層面的信息安全管理情況缺乏統(tǒng)一的評(píng)價(jià)標(biāo)準(zhǔn)，不能進(jìn)行量化考核；沒(méi)有量化數(shù)據(jù)，無(wú)法實(shí)現(xiàn)對(duì)部門和系統(tǒng)合規(guī)水平綜合評(píng)價(jià)的數(shù)據(jù)支撐。（5）沒(méi)有統(tǒng)一的信息安全合規(guī)管理平臺(tái)，就無(wú)法為信息安全合規(guī)管理的體系落地、執(zhí)行提示、監(jiān)督檢查和水平評(píng)價(jià)提供統(tǒng)一、全面的系統(tǒng)管理支撐基礎(chǔ)。

1.3信息安全管理的解決之道

針對(duì)上述信息安全管理面臨的問(wèn)題，本文借鑒國(guó)際上的GRC管理理念和SOX內(nèi)控矩陣的思想，按照PDCA管理模式來(lái)構(gòu)建電信企業(yè)的信息安全合規(guī)管理體系，從而解決信息安全體系化管理難、落實(shí)執(zhí)行難、監(jiān)督檢查難、量化管理難的問(wèn)題。通過(guò)建立信息安全合規(guī)管理系統(tǒng)，形成信息安全合規(guī)整體視圖，實(shí)現(xiàn)安全要求、任務(wù)執(zhí)行、監(jiān)督檢查、整改跟蹤、量化評(píng)價(jià)的管理閉環(huán)，支撐信息安全全生命周期的管理，最終達(dá)到信息安全水平的持續(xù)螺旋式提升。

2信息安全合規(guī)管理體系

信息安全合規(guī)管理應(yīng)借鑒國(guó)際先進(jìn)管理理念，明確管理體系的核心要素，從信息安全組織與人員的構(gòu)建、信息安全矩陣的知識(shí)支撐、信息安全合規(guī)管理平臺(tái)建設(shè)等方面入手，來(lái)構(gòu)建電信企業(yè)的信息安全合規(guī)管理體系。

2.1GRC理念

GRC理念是國(guó)際先進(jìn)的現(xiàn)代化企業(yè)管理理念。作為企業(yè)上層建筑，GRC包含了公司治理、戰(zhàn)略績(jī)效管理、風(fēng)險(xiǎn)管理、審計(jì)、法律、合規(guī)遵從、IT治理、道德和企業(yè)社會(huì)責(zé)任、質(zhì)量管理、人力資本、企業(yè)文化、財(cái)務(wù)等廣泛的領(lǐng)域。GRC理念應(yīng)用的價(jià)值在于，以企業(yè)管控、風(fēng)險(xiǎn)和法規(guī)遵從為對(duì)象，為決策層和管理層提供綜合信息和流程控制支持，幫助企業(yè)安全、高效地實(shí)現(xiàn)預(yù)期目標(biāo)。

2.2管理體系的核心機(jī)制

信息安全合規(guī)管理體系以制度策略、管控執(zhí)行、安全檢查、整改跟蹤為主線，實(shí)現(xiàn)信息安全合規(guī)的閉環(huán)管理，也即管理體系的核心機(jī)制：（1）制度策略：信息安全管理體系的建設(shè)階段，針對(duì)信息安全制度進(jìn)行統(tǒng)籌化、體系化管理，掌握制度體系建設(shè)全貌，有效警示制度的缺失和盲點(diǎn)。（2）管控執(zhí)行：信息安全管理體系的實(shí)施階段，將信息安全管控要求明確落實(shí)到企業(yè)的各個(gè)責(zé)任部門、崗位和人員，具體執(zhí)行人員在落實(shí)管控要求時(shí)，都能得到知識(shí)的指導(dǎo)和定期的提醒。（3）安全檢查：信息安全管理體系的檢查階段，推動(dòng)執(zhí)行標(biāo)準(zhǔn)化、統(tǒng)一化、平臺(tái)化的安全檢查，及時(shí)發(fā)現(xiàn)安全管控薄弱環(huán)節(jié)，為潛在風(fēng)險(xiǎn)提供有效的預(yù)警和整改過(guò)程的跟蹤。（4）整改跟蹤：信息安全管理體系的評(píng)價(jià)階段，收集并分析安全檢查的結(jié)果數(shù)據(jù)，跟蹤整改效果，評(píng)價(jià)安全管控水平，通過(guò)統(tǒng)計(jì)視圖展現(xiàn)安全合規(guī)整體視圖，獲取可視化的安全決策信息，支撐今后的信息安全建設(shè)方向。制度策略和管控執(zhí)行，對(duì)應(yīng)的即是GRC中的G，前者作為信息安全治理的依據(jù)和執(zhí)行指導(dǎo)，后者正是治理要求在具體執(zhí)行層面的事實(shí)與落實(shí)；安全檢查，則對(duì)應(yīng)著GRC中的R，檢查信息安全治理要求的落實(shí)情況和風(fēng)險(xiǎn)規(guī)避的水平；合規(guī)評(píng)價(jià)，對(duì)應(yīng)著GRC中的C，評(píng)價(jià)信息安全管控措施的內(nèi)外部合規(guī)程度，指導(dǎo)未來(lái)的改進(jìn)方向。

2.3管理體系的實(shí)現(xiàn)要素

企業(yè)任何業(yè)務(wù)的有效運(yùn)行，都離不開人、流程和技術(shù)3個(gè)層面的有機(jī)組合。因而，成熟的電信行業(yè)信息安全合規(guī)管理體系，人、流程和技術(shù)也構(gòu)成了其實(shí)現(xiàn)的要素。針對(duì)信息安全合規(guī)管理，具體來(lái)說(shuō)，“人”這一要素構(gòu)成了企業(yè)的信息安全組織，“技術(shù)”這一要素就是指信息安全矩陣，即支撐信息安全管理執(zhí)行落實(shí)、安全檢查以及合規(guī)評(píng)價(jià)的知識(shí)基礎(chǔ)，“流程”這一要素指的是信息安全合規(guī)管理平臺(tái)，將制度管理、控制落實(shí)、安全檢查、合規(guī)評(píng)價(jià)以及整改等信息安全管理流程固化到平臺(tái)中，提供流程化、平臺(tái)化的高效管理。

2.3.1信息安全組織

電信企業(yè)都是大型企業(yè)，包含有集團(tuán)總部和各個(gè)省市公司，因而應(yīng)該建立自上而下、分層分級(jí)、涵蓋各IT相關(guān)部門的信息安全組織。信息安全組織由安全決策層、安全管理層和安全執(zhí)行層3個(gè)層面的人員組成。安全決策層負(fù)責(zé)制定公司的信息安全目標(biāo)、掌握整體的信息安全管控與風(fēng)險(xiǎn)水平，部署信息安全改進(jìn)建設(shè)方向。安全管理層負(fù)責(zé)制定并審查信息安全制度規(guī)定，建立信息安全的管控要求、執(zhí)行標(biāo)準(zhǔn)和檢查依據(jù)，監(jiān)督安全問(wèn)題的整改落實(shí)情況。安全執(zhí)行層主要是按照要求，落實(shí)好公司的各項(xiàng)管控要求，保證信息安全工作落實(shí)到崗到人，對(duì)于存在問(wèn)題的地方做好徹底的整改工作。

2.3.2信息安全矩陣

信息安全合規(guī)管理的核心是建立信息安全矩陣。需要對(duì)內(nèi)外部信息安全合規(guī)要求進(jìn)行體系化梳理，建立信息安全矩陣框架，包括控制矩陣、檢查矩陣、對(duì)應(yīng)矩陣以及資產(chǎn)矩陣?？刂凭仃?，主要提供信息安全的各項(xiàng)管控要求，指導(dǎo)執(zhí)行人員予以落實(shí)，其關(guān)鍵屬性主要包含有控制點(diǎn)描述、控制領(lǐng)域、控制類型、控制頻率。檢查矩陣，主要提供對(duì)控制矩陣中的各個(gè)控制點(diǎn)執(zhí)行情況的好壞，提供檢查的標(biāo)準(zhǔn)和具體的檢查步驟，用以指導(dǎo)檢查人員進(jìn)行安全檢查工作，其關(guān)鍵屬性主要包含有檢查點(diǎn)描述、檢查方式、檢查步驟、檢查點(diǎn)固有嚴(yán)重度、執(zhí)行建議、控制點(diǎn)編號(hào)、資產(chǎn)類型。對(duì)應(yīng)矩陣，主要提供企業(yè)內(nèi)部信息安全制度與信息安全控制矩陣的對(duì)應(yīng)關(guān)系，便于相應(yīng)的查詢分析的需要；提供外部信息安全監(jiān)管規(guī)范要求與信息安全控制矩陣的對(duì)應(yīng)關(guān)系，便于分析當(dāng)前的控制矩陣是否能夠充分滿足外部監(jiān)管機(jī)構(gòu)的監(jiān)管要求，其關(guān)鍵屬性主要包含有內(nèi)部制度/外部規(guī)范控制要求編號(hào)和控制點(diǎn)編號(hào)。資產(chǎn)矩陣，主要提供對(duì)信息安全資產(chǎn)進(jìn)行定義、分類、管理和查詢等；為控制點(diǎn)執(zhí)行管理、信息安全檢查、信息安全合規(guī)與風(fēng)險(xiǎn)評(píng)價(jià)等，提供統(tǒng)一的資產(chǎn)數(shù)據(jù)接口，其關(guān)鍵屬性主要包含有資產(chǎn)編號(hào)、所屬部門、資產(chǎn)責(zé)任人、資產(chǎn)類型、資產(chǎn)重要性等級(jí)。如圖1所示，通過(guò)信息安全各個(gè)矩陣的映射關(guān)聯(lián)關(guān)系，可以進(jìn)行多維度的查詢分析。

2.3.3信息安全合規(guī)管理平臺(tái)

在構(gòu)建了企業(yè)級(jí)的全面層次化的信息安全組織，建立了信息安全矩陣后，為了能夠有效地進(jìn)行信息安全合規(guī)閉環(huán)管理，就需要搭建一個(gè)信息安全合規(guī)管理平臺(tái)，支撐各個(gè)信息安全管理流程的平臺(tái)化管理和實(shí)施。信息安全合規(guī)管理平臺(tái)，從業(yè)務(wù)角度出發(fā)，需要實(shí)現(xiàn)以下功能需求：（1）企業(yè)各類信息安全管理工作要求能夠成體系、易維護(hù)。（2）企業(yè)任何人員可以通過(guò)該平臺(tái)了解企業(yè)針對(duì)自己所屬組織乃至自身所提出的信息安全工作要求。（3）企業(yè)各級(jí)部門通過(guò)該平臺(tái)明確自己的安全工作目標(biāo)，各級(jí)信息安全管理部門可以通過(guò)該平臺(tái)對(duì)企業(yè)各組織、系統(tǒng)進(jìn)行安全管理工作檢查、評(píng)價(jià)和整改指導(dǎo)。（4）企業(yè)各級(jí)信息安全管理部門可以通過(guò)該平臺(tái)進(jìn)行安全風(fēng)險(xiǎn)分析和量化評(píng)價(jià)。

3信息安全合規(guī)管理平臺(tái)的建設(shè)思路

為了有效地解決電信行業(yè)當(dāng)前信息安全合規(guī)所面臨的問(wèn)題和挑戰(zhàn)，未來(lái)的合規(guī)平臺(tái)將通過(guò)制度管理、信息安全矩陣管理、執(zhí)行管理、合規(guī)檢查、合規(guī)風(fēng)險(xiǎn)評(píng)價(jià)等功能模塊，來(lái)實(shí)現(xiàn)并支撐信息安全合規(guī)的全生命周期流程管理?；谏鲜龈鞴δ苣K的平臺(tái)整體業(yè)務(wù)功能框架視圖如圖2所示。其中，平臺(tái)的核心功能主要包含如下。（1）信息安全矩陣管理：該功能模塊主要提供信息安全矩陣的導(dǎo)入導(dǎo)出與維護(hù)管理、關(guān)聯(lián)查詢、版本管理和分級(jí)管理等功能，支撐對(duì)企業(yè)各級(jí)公司均適用的信息安全矩陣的統(tǒng)一和管理，作為整個(gè)企業(yè)的信息安全管控要求的統(tǒng)一標(biāo)準(zhǔn)。（2）執(zhí)行管理：該功能模塊主要是提供執(zhí)行任務(wù)分配、執(zhí)行人變更管理、控制執(zhí)行提醒和控制執(zhí)行查詢等功能，保證將控制點(diǎn)和檢查點(diǎn)的具體執(zhí)行要求落實(shí)到具體的控制點(diǎn)執(zhí)行人員；針對(duì)那些周期性執(zhí)行的控制點(diǎn)，通過(guò)平臺(tái)向執(zhí)行人員定期發(fā)送提醒，督促其按時(shí)完成控制點(diǎn)的執(zhí)行要求。（3）合規(guī)檢查：該功能模塊主要是提供檢查計(jì)劃管理、人工檢查管理和自動(dòng)檢查管理功能，用來(lái)完成信息安全檢查計(jì)劃的制定，對(duì)人工檢查和自動(dòng)檢查進(jìn)行過(guò)程管理，在線記錄或者自動(dòng)生成相應(yīng)的安全檢查結(jié)果。（4）合規(guī)風(fēng)險(xiǎn)評(píng)價(jià)：該功能模塊主要是根據(jù)安全檢查的結(jié)果，提供量化的合規(guī)評(píng)價(jià)、風(fēng)險(xiǎn)評(píng)價(jià)和綜合評(píng)價(jià)功能。合規(guī)評(píng)價(jià)，主要是通過(guò)對(duì)檢查點(diǎn)結(jié)果統(tǒng)計(jì)，得出滿足檢查要求的控制點(diǎn)的比例，主要反映控制點(diǎn)管控落實(shí)的工作量。風(fēng)險(xiǎn)評(píng)價(jià)，主要是針對(duì)那些不合規(guī)的控制點(diǎn)，根據(jù)其實(shí)際的執(zhí)行情況，分析并得出該控制點(diǎn)的潛在風(fēng)險(xiǎn)高低和影響大小。綜合評(píng)價(jià)，主要是基于對(duì)合規(guī)滿足度的評(píng)價(jià)結(jié)果和不合規(guī)控制點(diǎn)的風(fēng)險(xiǎn)大小，綜合給出合規(guī)管控工作的完成效果，便于進(jìn)行橫向比較。根據(jù)電信企業(yè)的特點(diǎn)和信息安全分級(jí)管理的需要，可考慮實(shí)施集團(tuán)總部和各個(gè)省市公司的兩級(jí)/多級(jí)平臺(tái)基礎(chǔ)架構(gòu)的部署。其中，集團(tuán)總部的合規(guī)一級(jí)平臺(tái)將主要負(fù)責(zé)制度管理、信息安全矩陣管理，制定全集團(tuán)的安全檢查計(jì)劃，分析和評(píng)價(jià)各省市公司的安全管控水平和風(fēng)險(xiǎn)。省市公司的合規(guī)二級(jí)平臺(tái)，則側(cè)重于分配落實(shí)好集團(tuán)控制矩陣的各項(xiàng)控制點(diǎn)和要求的責(zé)任人，落實(shí)集團(tuán)或者制定省內(nèi)的安全檢查計(jì)劃，實(shí)施安全檢查工作，分析和評(píng)價(jià)省內(nèi)的安全管控水平和安全風(fēng)險(xiǎn)，根據(jù)檢查結(jié)果完成后期安全整改工作。

4信息安全合規(guī)管理體系的應(yīng)用與價(jià)值

通過(guò)搭建信息安全合規(guī)管理平臺(tái)，實(shí)施信息安全合規(guī)管理體系，能夠帶來(lái)重要的價(jià)值。（1）提升信息安全管理的統(tǒng)一性和有效性。將分散的信息安全制度進(jìn)行集中管理，形成以信息安全合規(guī)矩陣為核心，在全公司普遍適用，具有標(biāo)桿意義的制度框架體系。通過(guò)制度體系在平臺(tái)中的固化，可以隨時(shí)隨地進(jìn)行信息安全制度的查詢、分析和對(duì)標(biāo)，制度體系的更新與維護(hù)也變得十分便捷。同時(shí)，建立整個(gè)企業(yè)的標(biāo)準(zhǔn)的信息安全合規(guī)管理體系框架，通過(guò)平臺(tái)統(tǒng)一企業(yè)總部及子公司的信息安全管控落實(shí)與檢查評(píng)價(jià)工作，有效避免實(shí)際執(zhí)行工作中的差異性。（2）實(shí)現(xiàn)信息安全合規(guī)管控落實(shí)的常態(tài)化和流程化。通過(guò)信息安全合規(guī)管理平臺(tái)固化了信息安全管控執(zhí)行流程和信息安全矩陣，包括控制執(zhí)行方式、控制執(zhí)行頻率、控制所屬崗位、控制關(guān)聯(lián)資產(chǎn)配置等信息，指導(dǎo)具體的IT人員執(zhí)行落實(shí)安全管控的工作要求。通過(guò)執(zhí)行工作的流程化，將安全管控要求落實(shí)到人，確保管理要求能有效執(zhí)行，或結(jié)合安全控制要求的執(zhí)行頻率，定期自動(dòng)向執(zhí)行人員發(fā)送例行提醒，推動(dòng)合規(guī)管控落實(shí)的常態(tài)化。（3）提升信息安全合規(guī)檢查的效率。通過(guò)集成標(biāo)準(zhǔn)化檢查工具，遵循規(guī)范的檢查要求和步驟，大大降低了人工檢查的成本，避免檢查過(guò)程中標(biāo)準(zhǔn)不一致和質(zhì)量參差不齊的問(wèn)題。針對(duì)不同的專項(xiàng)檢查需要，可以通過(guò)平臺(tái)方便地定制有針對(duì)性的檢查計(jì)劃。針對(duì)新的內(nèi)外部信息安全監(jiān)管要求，能夠及時(shí)便捷的更新補(bǔ)充相應(yīng)的檢查內(nèi)容和要求到平臺(tái)中，保證與外部監(jiān)管要求的一致性和實(shí)效性。同時(shí)，針對(duì)檢查中發(fā)現(xiàn)的問(wèn)題，通過(guò)平臺(tái)能夠提供流程化的整改任務(wù)派發(fā)工單，發(fā)送給安全管理人員予以整改，并限定時(shí)間，與提醒機(jī)制聯(lián)動(dòng)，整改過(guò)程可以通過(guò)平臺(tái)進(jìn)行有效的跟蹤，保證信息安全問(wèn)題得到及時(shí)整改。（4）提升信息安全合規(guī)的量化評(píng)價(jià)水平和決策支撐能力。建立統(tǒng)一的信息安全量化的評(píng)價(jià)體系和標(biāo)準(zhǔn)，固化到平臺(tái)中，實(shí)現(xiàn)安全合規(guī)水平的量化管理，結(jié)合平臺(tái)的數(shù)據(jù)處理分析能力，提供信息安全合規(guī)管控情況和風(fēng)險(xiǎn)的多維度、可視化視圖。執(zhí)行層可以獲得基于部門、省市公司、IT或者業(yè)務(wù)流程、資產(chǎn)、外部合規(guī)要求等不同維度的統(tǒng)計(jì)和分析信息，為信息安全合規(guī)工作的持續(xù)改進(jìn)提供充足的信息。管理層可以通過(guò)統(tǒng)計(jì)的結(jié)果，直觀地掌握企業(yè)整體安全管控水平全貌和當(dāng)前面臨的主要風(fēng)險(xiǎn)，為決策提供有力的數(shù)據(jù)支撐。

5展望

篇7

 

在21世紀(jì)的社會(huì)發(fā)展新時(shí)代，網(wǎng)絡(luò)、計(jì)算機(jī)、信息技術(shù)被大量的企業(yè)納入到自身的生產(chǎn)經(jīng)營(yíng)管理之中，在基本運(yùn)行中會(huì)涉及到企業(yè)眾多的機(jī)密文件和信息，直接關(guān)系的企業(yè)的發(fā)展運(yùn)行，所以，一旦出現(xiàn)安全問(wèn)題就會(huì)對(duì)企業(yè)產(chǎn)生重要的影響。

 

所以，在不斷深化的應(yīng)用中，企業(yè)開始注重對(duì)信息安全的管理，并通過(guò)多樣化的技術(shù)手段和方式來(lái)進(jìn)行強(qiáng)化，但是這樣的方式?jīng)Q定了對(duì)安全管理的有效性不能進(jìn)行合理的把握和控制，并且對(duì)整體的安全水準(zhǔn)也沒(méi)有實(shí)現(xiàn)準(zhǔn)確的衡量。所以，如果企業(yè)只是強(qiáng)化了信息安全在技術(shù)方面的建設(shè)，而并沒(méi)有開展有效的安全管理評(píng)估工作，就會(huì)使信息安全系統(tǒng)在整體的規(guī)劃中存在缺陷和漏洞，所以，進(jìn)行信息安全管理的有效性測(cè)量是極為重要的。

 

企業(yè)也逐漸認(rèn)識(shí)到其重要性，使得近年來(lái)，我國(guó)企業(yè)對(duì)于信息安全有效性的測(cè)量需求不斷增多，但是，在這方面我國(guó)起步較晚，存在著很多不足和缺陷，這就需要在有效的研究中尋找適當(dāng)?shù)姆椒▉?lái)提升測(cè)量的整體有效性。

 

一、信息安全管理有效性測(cè)量的目的

 

通過(guò)實(shí)現(xiàn)有效性的測(cè)量，能夠真實(shí)評(píng)估和反映企業(yè)信息安全管理的整體水平，以使企業(yè)在后續(xù)的信息安全管理中有明確的發(fā)展目標(biāo)和整體方向。企業(yè)進(jìn)行信息系統(tǒng)的建立時(shí)，往往會(huì)依據(jù)企業(yè)自身的發(fā)展需求、信息組成、安全標(biāo)準(zhǔn)、組織結(jié)構(gòu)、利益關(guān)系等方面的需求進(jìn)行，進(jìn)而構(gòu)筑相應(yīng)的信息安全的整體體系和相關(guān)模型。

 

通過(guò)對(duì)企業(yè)的信息安全管理進(jìn)行有效性的測(cè)量，可以在技術(shù)的管理支撐下客觀真實(shí)的反映企業(yè)信息管理的整體性評(píng)估，會(huì)能實(shí)現(xiàn)對(duì)企業(yè)信息安全管理目標(biāo)的運(yùn)行程度進(jìn)行說(shuō)明，并能對(duì)企業(yè)信息安全管理的系統(tǒng)效能開展準(zhǔn)確科學(xué)的評(píng)測(cè)，為企業(yè)提供進(jìn)行信息安全管理考核的基本依據(jù)[1]。

 

就企業(yè)的整體發(fā)展實(shí)際來(lái)看，如果不開展信息安全管理的有效性測(cè)量，會(huì)使企業(yè)的整體管理水平只依賴于基本測(cè)評(píng)狀態(tài)下的運(yùn)行管理水平，難以同真實(shí)的信息安全運(yùn)行環(huán)境相脫離，造成企業(yè)在安全管理過(guò)程中的漏洞和誤差，使得企業(yè)在正常的運(yùn)營(yíng)和發(fā)展中的實(shí)際需求同所進(jìn)行信息安全管理的整體水平不相一致，并且在對(duì)基礎(chǔ)環(huán)節(jié)下的表面數(shù)據(jù)有所依賴時(shí)，并不能發(fā)現(xiàn)運(yùn)行中的不足和缺陷，更遑論進(jìn)行有效合理的解決，極大化的為企業(yè)的發(fā)展運(yùn)行埋下了信息安全的運(yùn)行隱患。

 

而通過(guò)有效性的測(cè)量活動(dòng)，能夠準(zhǔn)確的將企業(yè)在信息安全方面的漏洞進(jìn)行定位，并且還能夠有效指導(dǎo)基本的解決策略，有效保障企業(yè)信息管理系統(tǒng)的整體安全和有效。

 

二、信息安全管理有效性的測(cè)量方法

 

在開展信息安全管理有效性的測(cè)量時(shí)，需要對(duì)進(jìn)行測(cè)量的指標(biāo)進(jìn)行量化的處理，并最終形成具有實(shí)際可行性的量化測(cè)量指標(biāo)。在測(cè)量中，不同的指標(biāo)則需要不同的測(cè)量方法來(lái)進(jìn)行，一般而言，具有風(fēng)險(xiǎn)分析、問(wèn)卷調(diào)查、內(nèi)部審核、滲透性測(cè)試、個(gè)人訪談、內(nèi)外對(duì)比、風(fēng)險(xiǎn)評(píng)估、報(bào)表統(tǒng)計(jì)等不同的方法。

 

通過(guò)不同指標(biāo)的不同測(cè)量之后，能夠得得出各個(gè)指標(biāo)的測(cè)度結(jié)果，在此基礎(chǔ)上再根據(jù)不同的技術(shù)需要對(duì)結(jié)果進(jìn)行科學(xué)有效的取值管理，給各個(gè)指標(biāo)賦予不同的安全分險(xiǎn)權(quán)重，然后綜合計(jì)算企業(yè)信息安全管理有效性的整體水平[2]。比如在進(jìn)行信息安全管理整體運(yùn)行的有效性測(cè)量時(shí)，在對(duì)基本技術(shù)要求進(jìn)行測(cè)量評(píng)估時(shí)，還需要對(duì)企業(yè)的環(huán)境安全、人員安全、業(yè)務(wù)聯(lián)系、安全意識(shí)、事件管理等開展管理有效性的評(píng)估，以保障最終結(jié)果的綜合有效性。

 

在信息安全管理有效性的測(cè)量發(fā)展中，相關(guān)專業(yè)機(jī)構(gòu)提出了同通過(guò)整體的系統(tǒng)模型來(lái)實(shí)現(xiàn)信息系統(tǒng)的整體安全性的方法。通過(guò)信息安全測(cè)量模型的建立，將信息系統(tǒng)運(yùn)行中需要進(jìn)行安全檢測(cè)的對(duì)象中的某一些屬性在通過(guò)一系列的檢測(cè)管理過(guò)程之后，得出最后的測(cè)量結(jié)果，其中最為重要的就是測(cè)量方法和基本測(cè)度。將測(cè)量對(duì)象的多個(gè)屬性應(yīng)用不同的測(cè)量方法之后就能夠得到基本測(cè)度，而基本測(cè)量方法的獲取是通過(guò)多樣化的數(shù)據(jù)資源進(jìn)行測(cè)量對(duì)象的數(shù)據(jù)獲取，比如風(fēng)險(xiǎn)評(píng)估結(jié)果、日志報(bào)表統(tǒng)計(jì)記錄、調(diào)查表、測(cè)量結(jié)果等途徑。

 

就我國(guó)當(dāng)前進(jìn)行信息安全管理有效性測(cè)量的方式而言，在設(shè)定環(huán)節(jié)相對(duì)復(fù)雜和冗余，但在基本的項(xiàng)目實(shí)踐中得出如下的基本運(yùn)行方法：

 

2.1審計(jì)監(jiān)控系統(tǒng)回顧

 

在進(jìn)行檢測(cè)時(shí)，需要盡可能的發(fā)現(xiàn)各個(gè)環(huán)節(jié)所存在違反和潛在信息安全的現(xiàn)象和事件，以實(shí)現(xiàn)有效的防治，實(shí)現(xiàn)影響的最小化[3]。

 

2.2糾正預(yù)防措施驗(yàn)證

 

對(duì)已經(jīng)納入整體有效性測(cè)量計(jì)劃的糾正預(yù)防措施，在開展檢測(cè)時(shí)進(jìn)行檢查和回顧，以保證檢驗(yàn)過(guò)程中對(duì)于信息安全管理系統(tǒng)所采取的各項(xiàng)措施是否合乎當(dāng)下的現(xiàn)狀和企業(yè)具體要求。

 

2.3信息安全事故統(tǒng)計(jì)

 

主要是對(duì)已經(jīng)發(fā)生過(guò)的安全事件進(jìn)行統(tǒng)計(jì)和分析，以為檢測(cè)的有效性提供更加高效合理的方法指引，以實(shí)現(xiàn)進(jìn)行更高角度的評(píng)估以及在控制措施方面的有效性。

 

這樣的方式是將基本的計(jì)劃和檢測(cè)方式實(shí)現(xiàn)了有效的結(jié)合，并在各種方法的支撐下，實(shí)現(xiàn)綜合型的檢測(cè)，做到有效的預(yù)防和糾正，從不同的層面反應(yīng)了進(jìn)行信息安全檢測(cè)的有效性，并保障整體運(yùn)行體系的完整有效性，進(jìn)而形成一個(gè)有效的良性循環(huán)。

 

三、結(jié)束語(yǔ)

 

就我國(guó)的整體實(shí)際而言，信息安全管理有效性的測(cè)量方法，還處于基礎(chǔ)的起步階段，而且相關(guān)的各項(xiàng)理論研究和測(cè)量指標(biāo)等也均沒(méi)有達(dá)到完善的階段，這就需要進(jìn)行不斷的發(fā)展和探索，而且實(shí)踐證明，進(jìn)行信息安全管理有效性的研究是有著極為廣闊的發(fā)展前景的，在保障整體信息運(yùn)行管理的安全性基礎(chǔ)上，能夠使企業(yè)提升整體的競(jìng)爭(zhēng)力和自身生存能力，并且能夠?qū)y(cè)量中發(fā)現(xiàn)的問(wèn)題和相關(guān)數(shù)據(jù)進(jìn)行分析，然后具有針對(duì)性的使企業(yè)所存在的風(fēng)險(xiǎn)得到最大化的控制，最終達(dá)到基本業(yè)務(wù)的正常有效運(yùn)行。

篇8

1．強(qiáng)化“制度”管理，為創(chuàng)建信息安全區(qū)提供制度保障。

我們根據(jù)《中國(guó)人民銀行信息安全管理規(guī)定》和《河南省人民銀行系統(tǒng)規(guī)范化管理辦法》的相關(guān)要求，結(jié)合當(dāng)?shù)氐膶?shí)際，建立和完善組織機(jī)構(gòu)建設(shè)、計(jì)算機(jī)安全設(shè)備管理、系統(tǒng)操作規(guī)程設(shè)計(jì)、網(wǎng)絡(luò)建設(shè)的安全規(guī)劃與立項(xiàng)、信息系統(tǒng)安全審計(jì)、應(yīng)急處理預(yù)案建設(shè)、目標(biāo)責(zé)任制落實(shí)等一整套涉及信息安全管理的規(guī)章制度，為各項(xiàng)工作創(chuàng)建的落實(shí)奠定一個(gè)完善的制度基礎(chǔ)。與此同時(shí)，嚴(yán)格信息安全管理檢查制度?？萍疾块T每季會(huì)同保衛(wèi)部門、人事部門、內(nèi)審部門、紀(jì)委組織一次中支機(jī)關(guān)和轄內(nèi)的信息安全檢查，每次都制定了詳細(xì)的檢查方案，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后及時(shí)形成檢查報(bào)告，報(bào)中支信息安全領(lǐng)導(dǎo)小組，并經(jīng)信息安全領(lǐng)導(dǎo)小組審閱后將檢查整改報(bào)告送達(dá)被檢查單位，限期整改并進(jìn)行后續(xù)跟蹤。

2．強(qiáng)化“組織”領(lǐng)導(dǎo)，為創(chuàng)建信息安全區(qū)提供組織保證。

一方面中支機(jī)關(guān)及所轄縣（市）支行都按要求成立以行長(zhǎng)為組長(zhǎng)、其他領(lǐng)導(dǎo)班子成員任副組長(zhǎng)、部門負(fù)責(zé)人為成員的信息安全領(lǐng)導(dǎo)小組。另一方面機(jī)關(guān)各部門設(shè)立信息安全管理崗位，指定一名責(zé)任心強(qiáng)，熟悉計(jì)算機(jī)相關(guān)知識(shí)的職工為信息安全員，具體負(fù)責(zé)本部門信息安全管理的有關(guān)事宜。信息安全領(lǐng)導(dǎo)小組下設(shè)辦公室，由科技科具體負(fù)責(zé)協(xié)調(diào)機(jī)關(guān)及轄內(nèi)信息安全管理工作，為信息安全領(lǐng)導(dǎo)小組提供重大事項(xiàng)決策的有關(guān)事宜，為信息安全管理提供高效的組織保證。

3．強(qiáng)化“操作”規(guī)程，確保信息安全區(qū)創(chuàng)建工作的規(guī)范化。

明確的崗位目標(biāo)與操作規(guī)程是金融信息安全區(qū)創(chuàng)建的重要一環(huán)。我們對(duì)中支信息安全管理員（部門計(jì)算機(jī)安全員）、技術(shù)支持人員、業(yè)務(wù)操作人員、一般計(jì)算機(jī)用戶等確定各自的崗位目標(biāo)和操作規(guī)程及應(yīng)當(dāng)承擔(dān)的安全義務(wù)。同時(shí)制訂了明確的崗位操作規(guī)程，做到責(zé)權(quán)明晰，操作規(guī)范。同時(shí)，我們加強(qiáng)部門之間的協(xié)調(diào)，要求各部門都要制訂業(yè)務(wù)應(yīng)急預(yù)案和詳細(xì)的操作規(guī)程，然后由科技科進(jìn)行匯總、協(xié)調(diào)，形成有效的聯(lián)防機(jī)制。

4．強(qiáng)化“責(zé)任”管理，加大金融信息安全區(qū)的創(chuàng)建力度。

按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，根據(jù)不同層次制訂不同內(nèi)容的信息安全管理責(zé)任書，落實(shí)各項(xiàng)責(zé)任制，信息安全領(lǐng)導(dǎo)小組組長(zhǎng)與副組長(zhǎng)和各縣（市）支行行長(zhǎng)、副組長(zhǎng)與分管部門負(fù)責(zé)人、部門負(fù)責(zé)人與崗位責(zé)任人層層簽訂信息安全責(zé)任書，對(duì)沒(méi)有按照規(guī)定簽訂責(zé)任書的部門，在出現(xiàn)安全事故時(shí)，按照“上溯一級(jí)”的原則，追究當(dāng)事人的直接責(zé)任和部門負(fù)責(zé)人的領(lǐng)導(dǎo)責(zé)任。

5．強(qiáng)化“技術(shù)”指導(dǎo)，為創(chuàng)建信息安全區(qū)的提供智力支持。

重點(diǎn)強(qiáng)化了中支各部門計(jì)算機(jī)信息安全人員及所轄縣市支行安全管理人員的技術(shù)指導(dǎo)和信息安全知識(shí)的傳播，通過(guò)舉辦不同形式的信息安全培訓(xùn)班，提高他們自覺(jué)防范的意識(shí)和技能，為信息安全打好第一道防線。

6．強(qiáng)化“監(jiān)督”管理，鞏固金融信息安全區(qū)創(chuàng)建成果。

篇9

關(guān)鍵詞：民航企業(yè)；信息化建設(shè)；信息安全技術(shù)

0引言

互聯(lián)網(wǎng)時(shí)代的到來(lái)，信息技術(shù)與網(wǎng)絡(luò)技術(shù)已然成為人們生產(chǎn)生活的重要技術(shù)支撐，在民航領(lǐng)域中，信息化建設(shè)的進(jìn)程也得以高效發(fā)展。與此同時(shí)，民航企業(yè)信息系統(tǒng)的安全隱患及安全防護(hù)問(wèn)題也逐漸暴露，成為信息化建設(shè)過(guò)程中亟須應(yīng)對(duì)與解決的問(wèn)題。

1網(wǎng)絡(luò)信息安全制度的建設(shè)

1.1建設(shè)網(wǎng)絡(luò)信息安全制度

據(jù)調(diào)查，民航信息系統(tǒng)安全事件的發(fā)生，問(wèn)題的主要成因在于未充分明確相關(guān)責(zé)任以確保網(wǎng)絡(luò)信息安全管理工作的全面落實(shí)?；诖耍窈狡髽I(yè)需要充分結(jié)合自身的是情況，對(duì)網(wǎng)絡(luò)信息安全管理責(zé)任制的健全及完善，充分明確人員相關(guān)責(zé)任，促進(jìn)民航信息化建設(shè)水平的提升，促進(jìn)民航的健康發(fā)展。民航企業(yè)應(yīng)當(dāng)搭建內(nèi)部網(wǎng)絡(luò)信息安全規(guī)范體系，以之為基礎(chǔ)開展企業(yè)網(wǎng)絡(luò)信息安全管理及部署工作，確保民航信息安全水平的有效提升。民航企業(yè)應(yīng)當(dāng)時(shí)刻緊隨時(shí)展步伐，對(duì)網(wǎng)絡(luò)信息安全保障體系加以完善，建立網(wǎng)絡(luò)信息安全防范體系，采取合理的等級(jí)保護(hù)與分級(jí)保護(hù)措施，維護(hù)網(wǎng)絡(luò)信息安全。民航企業(yè)應(yīng)當(dāng)將網(wǎng)絡(luò)信息安全作為信息化建設(shè)的發(fā)展方向，積極配合并響應(yīng)國(guó)防部、網(wǎng)絡(luò)安全部門、公安機(jī)關(guān)等行政機(jī)關(guān)部門的規(guī)定與要求，實(shí)時(shí)更新并優(yōu)化安全防護(hù)措施，實(shí)現(xiàn)網(wǎng)絡(luò)安全整體覆蓋范圍的擴(kuò)大。

1.2細(xì)分網(wǎng)絡(luò)安全保障體系

對(duì)于民航企業(yè)而言，其信息網(wǎng)絡(luò)安全保障體系的建設(shè)，主要包括三個(gè)方面，即信息網(wǎng)絡(luò)安全技術(shù)體系、信息網(wǎng)絡(luò)安全管理體系及信息網(wǎng)絡(luò)安全運(yùn)行維護(hù)體系。這三個(gè)安全防護(hù)體系是相互依存與相互促進(jìn)的。信息網(wǎng)絡(luò)安全管理體系的搭建，應(yīng)當(dāng)作為信息安全技術(shù)體系保障的重要方向，技術(shù)體系也是保障信息網(wǎng)絡(luò)安全的技術(shù)設(shè)施與基礎(chǔ)服務(wù)的重要支持。信息網(wǎng)絡(luò)安全管理體系的建設(shè)也要求網(wǎng)絡(luò)信息安全技術(shù)應(yīng)用水平不斷提升。民航企業(yè)的網(wǎng)絡(luò)信息安全體系的建設(shè)，可以充分參考美國(guó)國(guó)家安全局所提出的IATF框架的網(wǎng)絡(luò)安全縱深戰(zhàn)略防御理念、美國(guó)ISS公司所提出的P2DR動(dòng)態(tài)網(wǎng)絡(luò)安全模型等相應(yīng)信息網(wǎng)絡(luò)安全防護(hù)體系，搭建“打擊、預(yù)防、管理、控制”于一體的網(wǎng)絡(luò)通信安全綜合防護(hù)體系理念，是當(dāng)前國(guó)際上最為先進(jìn)、最為有效的安全保障框架體系，對(duì)重要體系采取有效的安全防護(hù)措施，搭建民航企業(yè)的信息安全防護(hù)與控制中心，實(shí)現(xiàn)對(duì)于信息網(wǎng)絡(luò)體系的安全監(jiān)控、安全終端、安全平臺(tái)、主機(jī)安全、數(shù)據(jù)安全、應(yīng)用安全相互結(jié)合、相互統(tǒng)一的信息安全平臺(tái)建設(shè)，信息安全防護(hù)應(yīng)當(dāng)涵蓋物理層面、終端層面、網(wǎng)絡(luò)層面、主機(jī)層面、數(shù)據(jù)層面及應(yīng)用層面，保證安全防護(hù)的全面性及全方位性[1]。

1.3發(fā)展民航網(wǎng)絡(luò)信息安全產(chǎn)業(yè)

隨著時(shí)代的發(fā)展，民航企業(yè)開始更多地強(qiáng)調(diào)民航網(wǎng)絡(luò)信息安全事業(yè)的發(fā)展。在開展民航企業(yè)網(wǎng)絡(luò)信息安全產(chǎn)業(yè)建設(shè)時(shí)，應(yīng)及時(shí)跟蹤和了解國(guó)際網(wǎng)絡(luò)信息安全產(chǎn)業(yè)發(fā)展動(dòng)向，了解信息安全防護(hù)技術(shù)水平的提升渠道，積極謀求與其他發(fā)達(dá)國(guó)家之間的技術(shù)合作，大力引進(jìn)先進(jìn)的管理技術(shù)與管理手段，大力培養(yǎng)并教育網(wǎng)絡(luò)信息安全技術(shù)人才。民航企業(yè)要大力引進(jìn)技術(shù)水平與管理理念較為先進(jìn)的人才，并對(duì)所引進(jìn)的人才采用科學(xué)合理的技術(shù)培訓(xùn)與安全教育措施，不斷增強(qiáng)相關(guān)人員對(duì)于網(wǎng)絡(luò)信息安全防護(hù)的意識(shí)與理解能力，安全理念先進(jìn)、技術(shù)水平高超、應(yīng)急處置及時(shí)的網(wǎng)絡(luò)信息安全管理人才隊(duì)伍。民航企業(yè)要搭建科學(xué)完善的網(wǎng)絡(luò)信息安全管理體系，充分保證信息網(wǎng)絡(luò)安全組織、網(wǎng)絡(luò)信息安全流程、網(wǎng)絡(luò)信息安全制度相互結(jié)合，搭建科學(xué)合理的安全管理體系。

2民航信息安全保障體系的建設(shè)

2.1國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)

以ISO27001信息安全管理要求為基礎(chǔ)，結(jié)合國(guó)家信息系統(tǒng)安全等級(jí)防護(hù)管理方面，對(duì)信息系統(tǒng)安全防護(hù)安全管理基本要求加以明確，開展民航企業(yè)網(wǎng)絡(luò)安全防護(hù)及管理體系的建設(shè)工作。網(wǎng)絡(luò)信息安全管理體系的設(shè)計(jì)，應(yīng)當(dāng)涵蓋安全組織架構(gòu)、安全管理人員、安全防護(hù)制度及安全管理流程等多個(gè)方面，結(jié)合自身實(shí)際需求，設(shè)計(jì)科學(xué)合理的網(wǎng)絡(luò)信息安全管理體系等。對(duì)于網(wǎng)絡(luò)系統(tǒng)安全組織架構(gòu)的建設(shè)與完善，組建涵蓋安全管理、安全決策、安全監(jiān)督及安全執(zhí)行等層次的管理架構(gòu)，設(shè)置相應(yīng)職責(zé)崗位，對(duì)安全管理責(zé)任進(jìn)行分解與落實(shí)，做好人員錄用、人員調(diào)動(dòng)、人員考核及人員培訓(xùn)等相關(guān)方面的人員管理工作。民航企業(yè)在制定安全管理制度時(shí)，應(yīng)建立網(wǎng)絡(luò)信息安全目標(biāo)、安全策略、安全管理制度及安全防護(hù)技術(shù)規(guī)范等多個(gè)層次，搭建安全管理制度體系。在建立安全管理流程方面，通過(guò)建立科學(xué)合理的組織內(nèi)部安全監(jiān)督檢查與優(yōu)化體系，保證網(wǎng)絡(luò)信息安全管理工作的順利開展。將內(nèi)部人員與第三方訪問(wèn)人員、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維、物理環(huán)境的日常管理規(guī)范化，將日常的變更管理、問(wèn)題管理、事件管理、配置管理、管理等電子化、流程化與標(biāo)準(zhǔn)化[2]。

2.2合理運(yùn)用先進(jìn)安全防護(hù)技術(shù)

2.2.1入侵檢測(cè)技術(shù)

目前，對(duì)信息安全防護(hù)技術(shù)手段研發(fā)與應(yīng)用也愈發(fā)普遍，其中入侵檢測(cè)技術(shù)的應(yīng)用可以取得較好的技術(shù)效果。入侵檢測(cè)技術(shù)的應(yīng)用主要是通過(guò)對(duì)網(wǎng)絡(luò)行為、網(wǎng)絡(luò)安全日志、網(wǎng)絡(luò)安全審計(jì)信息等技術(shù)手段，有效檢測(cè)網(wǎng)絡(luò)系統(tǒng)非法入侵行為，判斷網(wǎng)絡(luò)入侵企圖，通過(guò)網(wǎng)絡(luò)入侵檢測(cè)以實(shí)現(xiàn)網(wǎng)絡(luò)安全的實(shí)時(shí)監(jiān)控，有效避免網(wǎng)絡(luò)非法攻擊的可能。通過(guò)應(yīng)用入侵檢測(cè)技術(shù)，民航企業(yè)可以構(gòu)建入侵檢測(cè)系統(tǒng)，能夠?qū)ο到y(tǒng)內(nèi)部、外部的非授權(quán)行為進(jìn)行同步檢測(cè)，及時(shí)發(fā)現(xiàn)和處理網(wǎng)絡(luò)信息系統(tǒng)中的未授權(quán)和異常現(xiàn)象，盡可能減少網(wǎng)絡(luò)入侵所造成的損耗與安全威脅。為此，可采取NetEye入侵檢測(cè)系統(tǒng)，該系統(tǒng)通過(guò)深度分析技術(shù)，實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)環(huán)境的全過(guò)程監(jiān)控，及時(shí)了解、分析并明確網(wǎng)絡(luò)內(nèi)部安全隱患及外部入侵風(fēng)險(xiǎn)，作出安全示警，及時(shí)響應(yīng)并采取有效的安全防范技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)層次進(jìn)行有效延伸。同時(shí)，該入侵檢測(cè)系統(tǒng)具備較為強(qiáng)悍的網(wǎng)絡(luò)信息審計(jì)功能，就可以實(shí)時(shí)監(jiān)控、記錄、審計(jì)并就重演網(wǎng)絡(luò)安全運(yùn)行及使用情況，用戶能夠更好地了解網(wǎng)絡(luò)運(yùn)行情況。

2.2.2文件加密技術(shù)

對(duì)稱加密技術(shù)是常見(jiàn)的文件加密技術(shù)之一，所采用的密鑰能夠用以加密與解密，在技術(shù)應(yīng)用時(shí)，以塊為單位進(jìn)行數(shù)據(jù)加密。這一方法在實(shí)際應(yīng)用過(guò)程中，一次能夠加密一個(gè)數(shù)據(jù)塊。對(duì)對(duì)稱加密技術(shù)的優(yōu)化與改進(jìn)，主要可采用密碼塊鏈的模式加以實(shí)現(xiàn)，即通過(guò)私鑰及初始化向量進(jìn)行文件加密[3]。如上所述，隨著網(wǎng)絡(luò)信息安全受到更多重視，民航企業(yè)信息化建設(shè)水平在進(jìn)一步提升其網(wǎng)絡(luò)建設(shè)水平的同時(shí)，也更多地意識(shí)到網(wǎng)絡(luò)信息安全的重要性與必要性，不僅需要構(gòu)建行業(yè)信息安全防御體系，還應(yīng)當(dāng)建立健全網(wǎng)絡(luò)信息安全制度，構(gòu)建網(wǎng)絡(luò)安全防護(hù)人才團(tuán)隊(duì)。在此基礎(chǔ)上，民航企業(yè)還可以充分利用文件加密和數(shù)字簽名技術(shù)，通過(guò)該技術(shù)，可以合理避免相關(guān)數(shù)據(jù)信息受到竊取、篡改或遭到損壞而導(dǎo)致網(wǎng)絡(luò)信息安全受到影響。文件加密和數(shù)字簽名技術(shù)應(yīng)用過(guò)程中，可以更好地對(duì)網(wǎng)絡(luò)信息安全提供保證、維護(hù)相關(guān)信息數(shù)據(jù)的安全性。

篇10

【關(guān)鍵詞】數(shù)字圖書館 網(wǎng)絡(luò)安全 信息安全 管理責(zé)任 措施

目前，我國(guó)國(guó)內(nèi)數(shù)字圖書館網(wǎng)絡(luò)信息安全（以下簡(jiǎn)稱為網(wǎng)絡(luò)信息安全）應(yīng)用研究方面，大多都側(cè)重于技術(shù)，認(rèn)為信息安全是一個(gè)技術(shù)性的問(wèn)題，其所有出現(xiàn)的問(wèn)題都依賴于先進(jìn)技術(shù)。但信息技術(shù)無(wú)論多么完善，它都無(wú)法回答如下問(wèn)題：管理主體、制度在信息安全中的責(zé)任；技術(shù)、人、制度三者之間的關(guān)系；如何能夠解決信息安全可持續(xù)發(fā)展問(wèn)題；為什么在信息技術(shù)很發(fā)達(dá)的情況下，信息安全問(wèn)題依然存在，事故依然頻繁發(fā)生等等。可見(jiàn)，信息安全除了信息技術(shù)影響之外必有其他方面深層次的原因。僅側(cè)重于技術(shù)的應(yīng)用研究，還不能適應(yīng)信息安全實(shí)踐發(fā)展的需求，信息安全研究仍有繼續(xù)深化的必要。

網(wǎng)絡(luò)信息安全分析

網(wǎng)絡(luò)信息安全包括信息的安全和網(wǎng)絡(luò)系統(tǒng)的安全兩層意思，信息的安全是指保護(hù)基礎(chǔ)運(yùn)行信息、服務(wù)器信息、用戶信息、網(wǎng)絡(luò)信息資源等信息或數(shù)據(jù)的機(jī)密性、完整性和可用性，同時(shí)還需要對(duì)信息風(fēng)險(xiǎn)和信息控制之間的最優(yōu)平衡有非凡的理解。機(jī)密性要求保證信息不泄露給未經(jīng)授權(quán)的人。完整性要求防止信息被未經(jīng)授權(quán)的篡改和破壞?？捎眯允侵副ＷC訪問(wèn)信息的用戶可以在不受干涉和阻礙的情況下對(duì)信息進(jìn)行訪問(wèn)和使用。網(wǎng)絡(luò)系統(tǒng)安全是指保護(hù)網(wǎng)絡(luò)信息系統(tǒng)設(shè)備中的硬件、軟件和網(wǎng)絡(luò)系統(tǒng)的正常狀態(tài)和安全運(yùn)行。概括地講，網(wǎng)絡(luò)信息安全就是指采用技術(shù)、管理等多種措施，保護(hù)網(wǎng)絡(luò)系統(tǒng)連續(xù)正常運(yùn)行，保護(hù)各種資源不因自然或人為因素遭到破壞、更改、泄露或非法占用。

網(wǎng)絡(luò)信息安全技術(shù)。先進(jìn)的安全技術(shù)是實(shí)現(xiàn)信息安全的重要手段，許多網(wǎng)絡(luò)信息系統(tǒng)安全性保障都要依靠技術(shù)手段來(lái)實(shí)現(xiàn)。像信息安全所用到的防火墻技術(shù)、入侵檢測(cè)或流量分析技術(shù)、認(rèn)證控制技術(shù)、VLAN技術(shù)、加密技術(shù)、VPN、病毒防護(hù)技術(shù)、容災(zāi)技術(shù)等多項(xiàng)安全技術(shù)，為確保圖書館網(wǎng)絡(luò)信息的保密性、完整性和可用性提供了強(qiáng)有力的支持。

制度和制度執(zhí)行力。制定嚴(yán)格有效的安全管理制度規(guī)范人的行為，使人遵守規(guī)則，這是技術(shù)涉及不到的層面。而信息的保密性、完整性和可用性只有通過(guò)技術(shù)手段才能得以實(shí)現(xiàn)，卻又是制度所不能解決的。在信息安全實(shí)踐中，技術(shù)與制度二者不能斷然分開，是相輔相成的，技術(shù)是一種硬手段，制度是一種規(guī)范性的軟手段。目前，國(guó)內(nèi)數(shù)字圖書館在安全管理制度建設(shè)方面存在著諸多問(wèn)題。一是制度不完善。我國(guó)數(shù)字圖書館安全管理制度還不健全，缺乏嚴(yán)格、細(xì)致、有效的安全管理規(guī)定與安全技術(shù)相配套。二是缺乏安全教育培訓(xùn)常態(tài)機(jī)制。圖書館館員以及用戶安全意識(shí)薄弱，網(wǎng)絡(luò)安全知識(shí)缺乏，知識(shí)產(chǎn)權(quán)保護(hù)意識(shí)不強(qiáng)。三是信息安全監(jiān)督審查機(jī)制不健全。監(jiān)督審查機(jī)制不健全，將導(dǎo)致安全管理制度流于形式，圖書館無(wú)法及時(shí)找出安全管理漏洞和不足，無(wú)法對(duì)安全管理漏洞及早采取補(bǔ)救措施。四是制度執(zhí)行不力。從目前圖書館規(guī)章制度的建設(shè)來(lái)看，不缺少嚴(yán)謹(jǐn)細(xì)密的典章制度，缺少的是對(duì)規(guī)章條款的不折不扣地執(zhí)行。一些圖書館存在有章不循、有規(guī)不依，獎(jiǎng)懲不嚴(yán)、問(wèn)責(zé)流于形式，安全督查不到位等種種問(wèn)題。制定的制度是為了執(zhí)行，因?yàn)橹挥袌?zhí)行才能把制度確定的各項(xiàng)要求落到實(shí)處，得不到執(zhí)行的制度是毫無(wú)用處的，制度也就名存實(shí)亡。

網(wǎng)絡(luò)信息安全管理。網(wǎng)絡(luò)信息安全的主體是人，客體是網(wǎng)絡(luò)信息安全防御體系，網(wǎng)絡(luò)信息安全實(shí)際上就是主客體互動(dòng)的過(guò)程。技術(shù)研究的對(duì)象是物，而物是沒(méi)有目的、沒(méi)有意義可言的，它不涉及人及其行為。技術(shù)只是一種手段，網(wǎng)絡(luò)信息安全必然涉及到人及其行為和制度問(wèn)題。安全管理貫穿于整個(gè)信息安全防御體系，包括建立安全管理組織、制定安全目標(biāo)、制定安全防護(hù)策略、建立安全管理制度、制定安全規(guī)劃與應(yīng)急方案、對(duì)員工進(jìn)行安全意識(shí)教育培訓(xùn)等內(nèi)容。安全技術(shù)只有在有效的管理控制之下，才能得以較好地實(shí)施?？梢?jiàn)，嚴(yán)格的安全管理是網(wǎng)絡(luò)信息安全的根本保證。隨著數(shù)字圖書館建設(shè)的深入，網(wǎng)絡(luò)信息安全問(wèn)題日趨凸顯。目前，國(guó)內(nèi)過(guò)多地強(qiáng)調(diào)技術(shù)的作用，將建設(shè)的重點(diǎn)放在技術(shù)上，致使安全管理工作跟不上技術(shù)發(fā)展的步伐。有人對(duì)2009年我國(guó)30家數(shù)字圖書館信息安全管理現(xiàn)狀進(jìn)行調(diào)研，發(fā)現(xiàn)在已發(fā)生的安全事件中，三分之一的安全事件是由安全管理機(jī)制不夠完善引起的，而事件發(fā)生原因中管理因素高達(dá)70%以上。可見(jiàn)，安全管理上的缺失已成為數(shù)字圖書館整個(gè)網(wǎng)絡(luò)信息系統(tǒng)不安全因素中的主要因素之一，對(duì)數(shù)字圖書館產(chǎn)生的危害遠(yuǎn)大于其他方面。這里主要討論對(duì)人的管理問(wèn)題，人的認(rèn)識(shí)和觀念問(wèn)題。著名的前黑客凱文?米蒂尼說(shuō)過(guò)，盡管很多公司采取了安全防護(hù)措施，但這些安全措施在網(wǎng)絡(luò)犯罪面前仍然顯得不堪一擊，原因是他們忽略了網(wǎng)絡(luò)安全最為薄弱的環(huán)節(jié)――人的因素。數(shù)字圖書館擁有功能非常強(qiáng)大的網(wǎng)絡(luò)信息系統(tǒng)和最先進(jìn)的安全技術(shù)設(shè)施，但卻有可能緣于人而產(chǎn)生失誤，致使安全管理存在諸多隱患和不足，從而導(dǎo)致數(shù)字圖書館網(wǎng)絡(luò)信息系統(tǒng)面臨一系列信息安全問(wèn)題。如引入木馬、病毒或其他危害程序；網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行不正常甚至癱瘓，信息外泄，無(wú)法應(yīng)對(duì)新出現(xiàn)的信息安全突發(fā)事件等，這與相關(guān)人員特別是一些負(fù)責(zé)人員對(duì)安全管理的不重視、認(rèn)識(shí)不足以及責(zé)任感缺失有關(guān)。

圖書館管理者的安全管理理念的滯后，對(duì)安全管理的重要性缺乏深層的認(rèn)識(shí)，導(dǎo)致決策上的失誤或管理不足，將給數(shù)字圖書館的網(wǎng)絡(luò)信息安全帶來(lái)不可估量的損失。如有的管理者的管理理念，還停留在傳統(tǒng)圖書館封閉式內(nèi)部局域網(wǎng)安全管理模式上，并沒(méi)有認(rèn)識(shí)到數(shù)字圖書館更為開放的環(huán)境將面臨更趨嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題，致使在網(wǎng)絡(luò)信息安全事件防御方面處于被動(dòng)狀態(tài)，有的管理者雖然認(rèn)識(shí)到網(wǎng)絡(luò)信息安全問(wèn)題的嚴(yán)峻性，但卻認(rèn)為只要加大對(duì)安全產(chǎn)品的投入，購(gòu)買并安裝了最先進(jìn)的安全技術(shù)產(chǎn)品，就可以高枕無(wú)憂了，或誤認(rèn)為到了信息技術(shù)特別發(fā)達(dá)的時(shí)候，網(wǎng)絡(luò)信息安全維護(hù)管理是管理員的事情，與其他館員無(wú)關(guān)?；蛘`認(rèn)為安全維護(hù)與管理都是服務(wù)提供商的事，圖書館只管應(yīng)用就行了。不重視安全責(zé)任意識(shí)教育與技能培訓(xùn)，導(dǎo)致一些安全管理技術(shù)人員思想麻痹大意，安全責(zé)任意識(shí)不強(qiáng)，不知道網(wǎng)絡(luò)信息安全的薄弱環(huán)節(jié)，不了解保護(hù)網(wǎng)絡(luò)信息安全的責(zé)任以及在對(duì)付入侵行為方面的責(zé)任。

沒(méi)有安全責(zé)任和責(zé)任分配機(jī)制，對(duì)信息安全責(zé)任人的責(zé)任內(nèi)容、范圍、責(zé)任分配不清楚。圖書館管理者制定的員工崗位責(zé)任書，責(zé)任劃分不明、工作內(nèi)容描述不清，導(dǎo)致館員不清楚應(yīng)在什么范圍和限度內(nèi)對(duì)自己的職業(yè)行為負(fù)有責(zé)任，應(yīng)該承擔(dān)何種責(zé)任和義務(wù)。致使出現(xiàn)安全管理問(wèn)題時(shí)，不是相互推諉，就是聽之任之。不重視對(duì)高素養(yǎng)、高技能安全管理技術(shù)人才的引進(jìn)與培養(yǎng)，一些圖書館的館內(nèi)安全管理工作多為業(yè)務(wù)培訓(xùn)，但缺乏全面的安全管理知識(shí)和技能，對(duì)不斷發(fā)展的新技術(shù)缺少深入和細(xì)致的了解和掌握，應(yīng)付網(wǎng)絡(luò)安全突發(fā)事件的預(yù)警能力不夠強(qiáng)。由于安全知識(shí)與技能的欠缺，導(dǎo)致他們無(wú)法應(yīng)對(duì)新出現(xiàn)的網(wǎng)絡(luò)安全突發(fā)事件。應(yīng)該清楚地看到，人是具有理性和非理性的，要使人的理于信息安全，必須要借助于制度規(guī)范，使人沿著信息安全正確的規(guī)定自覺(jué)行動(dòng)。

應(yīng)該指出，制度只是一種方法，是有邊界的，并不是萬(wàn)能的。無(wú)論多么完善的制度，如果不被執(zhí)行也形同一張廢紙。同時(shí)，制度具有剛性，它不能時(shí)刻隨著網(wǎng)絡(luò)信息安全的變化而變化，落后的制度有可能阻礙網(wǎng)絡(luò)信息安全的建設(shè)。綜上所述，制度、技術(shù)和管理人員的責(zé)任意識(shí)都有自己的邊界，如若單一運(yùn)行制度、技術(shù)，即便是極為負(fù)責(zé)任的管理人員，也不可能完善地解決信息安全問(wèn)題。因此，技術(shù)、制度、管理主體（人）的責(zé)任應(yīng)三管齊下，才能真正預(yù)防和因減少技術(shù)、管理等因素所導(dǎo)致的網(wǎng)絡(luò)信息安全問(wèn)題，最大程度地保護(hù)網(wǎng)絡(luò)，使其安全運(yùn)行，并最大限度地挽回網(wǎng)絡(luò)信息系統(tǒng)損失。

網(wǎng)絡(luò)信息安全保障措施

網(wǎng)絡(luò)信息安全需要技術(shù)（支撐）和管理（落實(shí)）的雙重保證。從安全防范技術(shù)層面上講，國(guó)內(nèi)的數(shù)字圖書館都有較為成熟的防御體系，但在安全管理方面，數(shù)字圖書館還須做諸多努力。

加強(qiáng)網(wǎng)絡(luò)信息安全教育與培訓(xùn)，樹立安全責(zé)任意識(shí)。圖書館管理者應(yīng)改變重技術(shù)輕管理的觀念，樹立全新的安全管理理念，針對(duì)圖書館館員以及讀者安全意識(shí)薄弱、安全措施不落實(shí)等現(xiàn)狀，組織開展多層次、多方位的網(wǎng)絡(luò)信息安全宣傳工作。要加大對(duì)安全防范措施檢查的力度，開展崗前培訓(xùn)、現(xiàn)場(chǎng)網(wǎng)絡(luò)安全教育與技能培訓(xùn)，提倡自主學(xué)習(xí)，派送技術(shù)骨干再深造等。定期或不定期舉辦網(wǎng)絡(luò)信息安全教育與技能培訓(xùn)講座，將促使館員熟知圖書館相關(guān)的安全管理規(guī)章制度，掌握相關(guān)設(shè)備的正確操作規(guī)程，以及確保系統(tǒng)和數(shù)據(jù)安全的操作方法。定期或不定期地組織館內(nèi)工作人員學(xué)習(xí)相關(guān)的法律法規(guī)和政策，使他們具有較強(qiáng)的安全防范意識(shí)，以及執(zhí)行制度的意識(shí)和能力。圖書館要經(jīng)常派遣館內(nèi)重點(diǎn)培養(yǎng)的年輕技術(shù)管理骨干參加國(guó)內(nèi)外信息安全方面的技術(shù)培訓(xùn)，鼓勵(lì)他們自主學(xué)習(xí)，及早掌握安全技術(shù)與管理新理論、新技術(shù)、新方法，掌握新的網(wǎng)絡(luò)及安全產(chǎn)品的功能，了解網(wǎng)絡(luò)病毒、密碼攻擊、分組竊聽、IP欺騙、拒絕服務(wù)、端口攻擊等多樣化攻擊手段。安全管理員要定期對(duì)網(wǎng)絡(luò)信息安全狀況進(jìn)行風(fēng)險(xiǎn)評(píng)估，及時(shí)修正安全缺陷、評(píng)估缺失，及早采取補(bǔ)救措施。安全維護(hù)僅僅依靠館內(nèi)為數(shù)不多的安全管理技術(shù)人員是遠(yuǎn)遠(yuǎn)不夠的，它還需要依靠全體館員、用戶（讀者）的同心協(xié)力。通過(guò)安全意識(shí)教育，使全體館員及用戶明確自身權(quán)限和義務(wù)，嚴(yán)格、自覺(jué)地遵守圖書館上網(wǎng)規(guī)定，不越權(quán)、不隨意下載和安裝盜版或共享軟件，同時(shí)保管好自己的密碼，經(jīng)常加固系統(tǒng)，提高系統(tǒng)的安全性。

強(qiáng)化制度建設(shè)，提高制度執(zhí)行力。制度的貫徹落實(shí)，不但要求制度本身的科學(xué)合理，還要求對(duì)制度的不折不扣地執(zhí)行。提高制度的執(zhí)行力，首先要不斷創(chuàng)新與完善安全管理工作制度。制度本身是否科學(xué)合理，對(duì)制度執(zhí)行力大小有著根本性的影響。因此，對(duì)具有嚴(yán)肅性和不可違反性的包含有操作程序、技術(shù)要求、安全條例等項(xiàng)內(nèi)容的規(guī)章制度，數(shù)字圖書館要不斷根據(jù)網(wǎng)絡(luò)信息安全發(fā)展中出現(xiàn)的新問(wèn)題、新情況，對(duì)不合時(shí)宜的制度及時(shí)進(jìn)行修正和補(bǔ)充。制度完善不能盲目跟風(fēng)，各個(gè)圖書館必須結(jié)合自身特點(diǎn)，不斷總結(jié)制度建設(shè)中的經(jīng)驗(yàn)教訓(xùn)，改革創(chuàng)新完善制度建設(shè)的內(nèi)容，力求實(shí)現(xiàn)制度的可持續(xù)發(fā)展。另外，建立監(jiān)督審計(jì)機(jī)制，強(qiáng)化責(zé)任監(jiān)督，確保網(wǎng)絡(luò)信息安全管理效能。數(shù)字圖書館安全防護(hù)體系要做到“事前防范、事中控制、事后審計(jì)”，在制度上就必須做出預(yù)先的安排，以檢測(cè)危機(jī)事件，并做出預(yù)警準(zhǔn)備，以事前預(yù)防和控制替代事后的責(zé)任威懾。設(shè)立專門的主管部門，通過(guò)網(wǎng)絡(luò)信息安全主管部門這一監(jiān)督主體，加大對(duì)安全管理制度的監(jiān)督審計(jì)，通過(guò)及時(shí)修正完善各項(xiàng)安全管理規(guī)章制度，加強(qiáng)對(duì)安全工作的督查檢查，以提高相關(guān)工作人員遵章守紀(jì)的安全意識(shí)。其次，要提高制度主體（人）的執(zhí)行力。任何制度要達(dá)到有效的管理效能，就必須通過(guò)制度主體相關(guān)人員的具體行為實(shí)現(xiàn)。而相關(guān)人員的責(zé)任心、態(tài)度、素質(zhì)及能力水平，直接影響著制度執(zhí)行行為和方式的選擇，直接關(guān)系著制度執(zhí)行力的高低。主體要提高執(zhí)行力，就必須強(qiáng)化制度認(rèn)知。網(wǎng)絡(luò)信息安全管理體系的建設(shè)，離不開不斷創(chuàng)新和完善的規(guī)章制度和制度的落實(shí)。對(duì)制度有準(zhǔn)確認(rèn)知，制度才有可能落在實(shí)處。為此，數(shù)字圖書館要特別組織相關(guān)負(fù)責(zé)人員及館員認(rèn)真學(xué)習(xí)相關(guān)的政策、法律法規(guī)和安全管理規(guī)章制度，使他們對(duì)制度的實(shí)現(xiàn)目標(biāo)、內(nèi)容、作用、邊界等準(zhǔn)確認(rèn)知。特別是對(duì)各自的責(zé)任和義務(wù)等的準(zhǔn)確認(rèn)知，如明確崗位職責(zé)，使每一位管理人員按照自己的崗位和職權(quán)管理使用系統(tǒng)；明確責(zé)任，使安全管理技術(shù)人員懂得他們是技術(shù)責(zé)任第一人，懂得自己責(zé)任邊界及范圍。使圖書館管理者明確他們是安全管理責(zé)任第一人，是安全制度的制定者又是安全制度的督察者。主體對(duì)制度內(nèi)容、邊界等準(zhǔn)確認(rèn)知，才能對(duì)照制度找差距，發(fā)現(xiàn)薄弱環(huán)節(jié)和問(wèn)題，及時(shí)糾正，才能將責(zé)任認(rèn)識(shí)內(nèi)化為行為準(zhǔn)則，最終上升為自覺(jué)行為。主體要提高執(zhí)行力，需增強(qiáng)對(duì)制度認(rèn)同。通過(guò)自主學(xué)習(xí)、教育培訓(xùn)、有針對(duì)性的實(shí)踐活動(dòng)不斷提高制度主體的素質(zhì)，提高執(zhí)行制度能力水平，從而增強(qiáng)全體館員特別是安全管理技術(shù)人員對(duì)管理制度中包含操作規(guī)程、技術(shù)要求、安全條例等項(xiàng)內(nèi)容的硬性管理規(guī)章制度的認(rèn)同。如系統(tǒng)安全責(zé)任與監(jiān)管制度；重要軟件系統(tǒng)和關(guān)鍵硬件設(shè)備的操作制度；系統(tǒng)管理人員、操作人員責(zé)任制度；用戶權(quán)限分配和管理制度；系統(tǒng)災(zāi)難應(yīng)急預(yù)案；事故責(zé)任認(rèn)定和責(zé)任追究制度等制度的認(rèn)同。主體要提高執(zhí)行力，還需堅(jiān)持說(shuō)服教育與強(qiáng)制執(zhí)行相結(jié)合，綜合利用多種執(zhí)行手段，有效推動(dòng)制度執(zhí)行。