序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇加強信息安全管理范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

關(guān)鍵詞：校園網(wǎng)；校園網(wǎng)信息；安全管理

中圖分類號：G647 文獻標識碼：A文章編號：1007-9599 (2011) 11-0000-02

To Strengthen the Campus Network Information Security Management

Liu Yong

(Guangdong Maoming Shi Gaoji Jigong Xuexiao,Maoming525000,China)

Abstract:Rapid development in information technology today,the campus network has penetrated into the campus life of each person,but the corresponding situation is a campus network information security has become increasingly prominent,which threaten the normal operation of the campus network,the consequences of the campus network breakdown,school work can not be carried out,serious influence the school is in normal operation,therefore,to strengthen the campus network security management is very important.

Keywords:Campus network;Campus network information;Security management

一、引言

前年茂名市政府免費為我校提供了一條10M的政府網(wǎng)光纖，我校由此組建了校園網(wǎng)。校園網(wǎng)的組建后，學校辦公自動化得以實現(xiàn)，校內(nèi)的教師與互聯(lián)網(wǎng)世界的聯(lián)系也越來越緊密，極大的提高了學校的教學水平和辦公效率。但是隨著校園網(wǎng)逐漸深入到我們每一教師的教學和工作當中，網(wǎng)絡所常見的問題也一并出現(xiàn)在我們每一位教師的面前，例如有些教師經(jīng)常使用U盤在校內(nèi)的電腦上進行交換數(shù)據(jù)的操作；或者在上網(wǎng)時隨意下載文件等原因，經(jīng)常就導致了校內(nèi)某些電腦中病毒，而中毒后的電腦自然就會對正在正常運行的校園網(wǎng)系統(tǒng)造成威脅，出現(xiàn)大量無效數(shù)據(jù)堵塞校園網(wǎng)網(wǎng)絡，使網(wǎng)絡出現(xiàn)突然變得緩慢等現(xiàn)象，甚至在蠕蟲泛濫的局域網(wǎng)中，使校園網(wǎng)癱瘓的事件屢有發(fā)生，所以我們必須加強校園網(wǎng)信息安全管理，從而確保校園網(wǎng)安全、穩(wěn)定、高效地運行。

二、校園網(wǎng)信息安全的解決思路

校園網(wǎng)通過信息接入點與外部互聯(lián)網(wǎng)相連，校園范圍內(nèi)部所有計算機所組成的局域網(wǎng)我們將其稱為內(nèi)網(wǎng)；信息接入點外部的網(wǎng)絡我們將它稱為外網(wǎng)?；谫Y金、設備和技術(shù)所限，我們校園網(wǎng)信息安全最主要的工作是保證內(nèi)網(wǎng)的安全、穩(wěn)定、高效地運行。這要求我們從兩方面入手：分別是校園網(wǎng)主干網(wǎng)絡設備的安全和校園網(wǎng)的安全使用

（一）校園網(wǎng)內(nèi)網(wǎng)的安全

由于資金、設備和技術(shù)所限，校園網(wǎng)外部的網(wǎng)絡信息安全我們不用考慮，也輪不到我們?nèi)タ紤]，我們要充分考慮的是校園網(wǎng)內(nèi)部的信息安全，采取確實有效的防范措施來防止校園網(wǎng)內(nèi)部各電腦主機對網(wǎng)絡主干設備進行攻擊而導致系統(tǒng)崩潰，保證校園網(wǎng)正常運行。

（二）校園網(wǎng)內(nèi)各用戶主機的安全

校園網(wǎng)的網(wǎng)絡運行環(huán)境是一個十分復雜的環(huán)境，各用戶主機安裝不同的操作系統(tǒng)，各用戶的的電腦使用水平差異較大等原因，使得各用戶的主機難以避免存在各種系統(tǒng)安全漏洞，不及時修補這些漏洞，就會給電腦病毒以可乘之機，而中毒后的校園網(wǎng)用戶主機會對校園網(wǎng)主干設備造成影響。

（三）控制校園網(wǎng)計算機病毒

計算機病毒是校園網(wǎng)信息安全的頭號殺手，必須做到有效控制。在校園網(wǎng)主干網(wǎng)絡設備和各用戶主機都要求安裝有效的殺毒軟件，并且及時對病毒庫進行更新，定期進行殺毒操作，堅持將計算機病毒扼殺在萌芽狀態(tài)，使其對校園網(wǎng)信息安全的危害降到最低。

三、加強校園網(wǎng)信息安全管理的具體措施

（一）構(gòu)建網(wǎng)絡防范措施

如果單位經(jīng)濟條件允許建議在網(wǎng)絡信息接入點使用硬件防火墻，防火墻可在校園網(wǎng)內(nèi)部“編織”好一張安全的大網(wǎng)，保證校園網(wǎng)正常運行，是目前非常有效的網(wǎng)絡安全防范手段，它提供一整套的安全控制策略，包括訪問控制（例如ACL策略）、數(shù)據(jù)包過濾和攻擊防范等網(wǎng)絡必需功能，能有效地檢測和防范校園網(wǎng)各種病毒的攻擊、入侵，監(jiān)控網(wǎng)絡異常通信，并對攻擊的主機進行隔離等，是我們校園網(wǎng)信息安全最值得信賴的好助手。

由于每間學校的內(nèi)部地理結(jié)構(gòu)有差異，我們很難從物理方面劃分VLAN，但我們可使用具有網(wǎng)管功能的交換機中的VLAN的技術(shù)優(yōu)化校園網(wǎng)內(nèi)部網(wǎng)絡結(jié)構(gòu)，增強網(wǎng)絡的靈活性，并根據(jù)不同的區(qū)域劃分不同的網(wǎng)段來限制相互間的訪問，達到限制用戶非法訪問的目的。

使用靜態(tài)IP，在校園內(nèi)一定要將各用戶主機的MAC地址與我們事先分配給他IP進行綁定，并詳細登記各用戶的資料，如使用人姓名、職務、辦公室、IP、MAC、聯(lián)系電話等資料，方便對中毒的電腦主機快速定位提供依據(jù)。

在校園網(wǎng)服務器端使用網(wǎng)絡行為管理軟件，例如IP-GUARD（威盾）、聚生網(wǎng)管等，實時掃描客戶端的主機的使用情況、流量信息，分析網(wǎng)絡帶寬流量，防止大量的長時間的占用網(wǎng)絡帶寬、防止使用BT、電驢等獨占帶寬的下載方式，造成網(wǎng)絡擁擠、繁忙，做到遇故障能及時準確地定位和排查。

通過上述措施，我們基本上能保證校園網(wǎng)內(nèi)網(wǎng)的信息安全，將網(wǎng)絡病毒對校園主干設備的攻擊降到最低的程度，使校園網(wǎng)的主干網(wǎng)絡設備正常運行。

（二）加強校園網(wǎng)信息安全教育，養(yǎng)成良好的電腦使用習慣

校園網(wǎng)信息安全涉及到校內(nèi)每一位教師，因此對于校園網(wǎng)用戶來說，要進一步提高網(wǎng)絡信息安全意識，加強關(guān)于計算機信息安法律知識的學習，自覺規(guī)范操作行為，同時掌握一些有關(guān)信息安全技術(shù)和技能，養(yǎng)成良好的電腦使用習慣，把可能的危險排除在發(fā)生之前。對于個人而言，可從以下幾個方面入手：

現(xiàn)在多數(shù)用戶在電腦中病毒或者因為其他原因?qū)е码娔X系統(tǒng)崩潰后，首要的選擇是重新安裝電腦系統(tǒng)，而安裝系統(tǒng)時普遍采用GHOST覆蓋安裝方法。這種方法的缺陷是雖然電腦暫時可以使用，但病毒依然有可能保留在電腦的C盤內(nèi)，建議在系統(tǒng)安裝時先格式化電腦的C盤，然后再采用GHOST覆蓋進行覆蓋安裝，磁盤文件格式要采用NTFS格式，系統(tǒng)安裝好后立刻進行全硬盤病毒掃描，可減少安全隱患。

及時對系統(tǒng)進行漏洞掃描、修補個人電腦的系統(tǒng)漏洞。現(xiàn)在網(wǎng)絡上比較流行的一款軟件360安全衛(wèi)士就具有這方面的功能，它能及時掃描你的電腦系統(tǒng)是否還有容易被電腦黑客攻擊的漏洞，并及時通知你修補這方面的漏洞。這里要注明一下的就是：有很多電腦用戶為圖方便不喜歡花時間做這方面的工作，理由就是我的電腦一旦中毒，我就重新安裝系統(tǒng)。這種習慣在自己家里沒什么大問題，但現(xiàn)在我們同處在一個校園網(wǎng)的大環(huán)境下，一臺電腦中病毒就有可能會對整個校園網(wǎng)系統(tǒng)造成攻擊，使大家都無法正常上網(wǎng)。因此我們應定期使用類似360安全衛(wèi)士這類軟件漏洞掃描、修補個人電腦的系統(tǒng)漏洞。

操作系統(tǒng)安裝完成后，要對系統(tǒng)的安全策略進行必要的設置。如登錄用戶名和密碼。用戶權(quán)限的分配，共享目錄的開放與否、磁盤空間的限制、注冊表的安全配置、瀏覽器的安全等級等，使用系統(tǒng)默認的配置安全性較差。

使用個人防火墻和反病毒軟件，目前互聯(lián)網(wǎng)上的病毒非常猖獗，達幾萬種之多，傳播途徑也相當廣泛?？赏ㄟ^u盤、光盤、電子郵件和利用系統(tǒng)漏洞進行主動病毒傳播等，這就需要在用戶計算機上安裝防病毒軟件來控制病毒的傳播。在單機版的防病毒軟件使用中，必須要定期或及時升級防病毒軟件和病毒碼特征庫?，F(xiàn)在互聯(lián)網(wǎng)上很多殺毒軟件功能強大而且都是免費的，例如360安全衛(wèi)士、360殺毒等，如果我們能安裝這類殺毒軟件和防火墻，一般都足以抵御各類網(wǎng)絡攻擊，它能夠在一定程度上保護操作系統(tǒng)信息不對外泄漏，也能監(jiān)控個人電腦正在進行的網(wǎng)絡連接，把有害的數(shù)據(jù)拒絕于門外。

四、結(jié)束語

校園網(wǎng)信息安全牽涉到校園內(nèi)的每一個用戶，想享用安全、穩(wěn)定、高效的校園網(wǎng)絡，我們必須加強校園網(wǎng)信息安全管理，確保校園網(wǎng)正常運行，讓校園網(wǎng)絡為我們的教學和辦公的好助手。

參考文獻：

[1]謝希仁.計算機網(wǎng)絡(第4版)[M].電子工業(yè)出版社

篇(2)

 

1 引言

 

信息化技術(shù)當前已經(jīng)深入應用到了醫(yī)院的日常經(jīng)營發(fā)展內(nèi)容中，建立了醫(yī)院整體管理運營信息系統(tǒng)，對提高醫(yī)院的管理效率和管理質(zhì)量發(fā)揮了重要的作用。而信息安全管理，也在當前醫(yī)院日常管理內(nèi)容中占據(jù)了更為重要的位置，同時醫(yī)院信息安全管理的內(nèi)容相較于傳統(tǒng)，也變得更加的豐富，醫(yī)院信息安全管理的內(nèi)容包括醫(yī)院的信息系統(tǒng)網(wǎng)絡安全、備份信息記錄安全、計算機設備病毒防治、醫(yī)院信息管理系統(tǒng)平臺安全等諸多內(nèi)容，對醫(yī)院的信息安全提出了更高的要求。醫(yī)院應該全面清晰的認清當前信息安全的發(fā)展形勢，做好相應的信息安全防治措施。

 

2 醫(yī)院信息安全面臨的主要挑戰(zhàn)

 

具體來講，在當前醫(yī)院的發(fā)展過程中，醫(yī)院所面臨的信息安全挑戰(zhàn)主要來自于幾個方面。

 

2.1 醫(yī)院信息安全的管理責任不夠明確

 

正如上文所述，在信息化技術(shù)得到全面普及應用的背景下，醫(yī)院的信息安全管理內(nèi)容也越來越豐富，對醫(yī)院的信息安全管理工作提出了極高的要求。

 

當前階段，醫(yī)院信息安全管理工作已經(jīng)成為一項復雜的系統(tǒng)性管理內(nèi)容，而潛藏的醫(yī)院信息安全隱患則包括醫(yī)院信息設備的采購、網(wǎng)絡安全產(chǎn)品的采購、醫(yī)院內(nèi)部崗位信息的流通、醫(yī)院信息數(shù)據(jù)的存儲應用、醫(yī)院的安全信息管理策略以及醫(yī)院的信息管理安全人員等諸多方面，過多的醫(yī)院信息安全管理內(nèi)容很容易造成醫(yī)院自身信息安全管理資源的配置不夠優(yōu)化，同時對于醫(yī)院信息安全管理監(jiān)督的執(zhí)行也造成了很大影響，出現(xiàn)醫(yī)院信息安全管理責任不夠明確的現(xiàn)象。

 

在這種紛繁復雜的情況下，加強對醫(yī)院的信息安全管理內(nèi)容的全面分析，制定相應的醫(yī)院信息安全管理規(guī)則，確定具體的醫(yī)院信息安全管理責任制度，已經(jīng)成為醫(yī)院信息安全管理發(fā)展過程中的必然措施。

 

2.2 醫(yī)院信息管理系統(tǒng)面臨著諸多危害

 

在全面應用了信息化技術(shù)，并建立了相應醫(yī)院信息管理系統(tǒng)以后，醫(yī)院不僅需要面臨來自內(nèi)部的信息安全管理風險，還需要面臨更加迫切的醫(yī)院信息管理系統(tǒng)的安全隱患。

 

具體來講，當前計算機病毒、黑客攻擊以及系統(tǒng)漏洞現(xiàn)象等等，都是當前醫(yī)院信息管理系統(tǒng)在使用的過程中面臨的來自外界的主要危害類型，計算機病毒會造成醫(yī)院信息管理系統(tǒng)出現(xiàn)系統(tǒng)崩潰、系統(tǒng)數(shù)據(jù)丟失的現(xiàn)象，而黑客攻擊甚至可以在不知不覺中盜取醫(yī)院的管理信息、用戶信息以及科研信息，造成醫(yī)院信息安全管理中的重要經(jīng)濟損失，醫(yī)院信息管理系統(tǒng)漏洞現(xiàn)象也有可能被人故意利用，造成醫(yī)院信息安全隱患現(xiàn)象，對醫(yī)院的信息安全發(fā)展造成非常不利的影響。

 

2.3 醫(yī)院信息數(shù)據(jù)管理仍然存在著漏洞

 

當前階段醫(yī)院信息數(shù)據(jù)管理工作也仍然存在著一定的漏洞，這種漏洞主要體現(xiàn)在信息數(shù)據(jù)管理工作中數(shù)據(jù)處理工作的不可逆轉(zhuǎn)現(xiàn)象上。

 

具體來講，醫(yī)院在信息數(shù)據(jù)管理的過程中極有可能出現(xiàn)種種失誤現(xiàn)象，例如數(shù)據(jù)刪除失誤、數(shù)據(jù)修改失誤、數(shù)據(jù)應用錯誤現(xiàn)象，嚴重的數(shù)據(jù)刪除失誤甚至有可能造成醫(yī)院信息數(shù)據(jù)管理系統(tǒng)崩潰現(xiàn)象，對醫(yī)院的信息安全管理造成極大的安全隱患，而同時醫(yī)院在安全產(chǎn)品的選擇上也存在著無法有效的聯(lián)動現(xiàn)象，造成醫(yī)院無法有效的充分發(fā)揮醫(yī)院信息安全設備的防護治理功能，醫(yī)院整體的信息安全系統(tǒng)無法形成具有層次性、系統(tǒng)性以及規(guī)范性的保護系統(tǒng)，對醫(yī)院信息數(shù)據(jù)安全管理的發(fā)展也造成了一定的影響。

 

3 醫(yī)院信息安全采取的主要措施

 

針對當前醫(yī)院在信息安全發(fā)展過程中面臨的相關(guān)挑戰(zhàn)現(xiàn)象，本文建議醫(yī)院應該在信息安全的發(fā)展過程中采取幾項措施，可以有效地達到提升醫(yī)院信息安全管理質(zhì)量的目的。

 

3.1 進一步優(yōu)化醫(yī)院信息安全管理機制

 

醫(yī)院在進一步優(yōu)化醫(yī)院信息安全管理機制的過程中，應該全面的加強醫(yī)院信息安全管理機構(gòu)、管理隊伍的建設，同時建立醫(yī)院信息安全管理制度以及醫(yī)院信息安全責任制度，針對醫(yī)院信息管理工作內(nèi)容進行系統(tǒng)性、規(guī)范性以及權(quán)責制的管理。

 

在安全機構(gòu)和安全隊伍的建設上，醫(yī)院必須加強對信息安全管理意識的宣傳，明確醫(yī)院信息安全管理機構(gòu)的權(quán)利與責任，建立相應的醫(yī)院信息安全應急預案機制;而在醫(yī)院信息安全管理制度的優(yōu)化上，醫(yī)院必須針對醫(yī)院面臨的信息安全管理內(nèi)容進行全面細致的優(yōu)化，針對醫(yī)院信息安全管理的范圍、信息安全管理規(guī)程、人員管理制度、設備維護制度、安全保密協(xié)議、網(wǎng)絡安全監(jiān)控制度、安全隱患排除制度等等進行明確的優(yōu)化，保證醫(yī)院信息安全管理機制能夠全面的覆蓋醫(yī)院信息安全管理的諸多內(nèi)容。

 

3.2 進一步規(guī)劃醫(yī)院信息安全管理流程

 

醫(yī)院進一步規(guī)劃醫(yī)院信息安全管理流程的目的主要是針對醫(yī)院信息安全管理機制進行更加細致的規(guī)定，醫(yī)院應該在醫(yī)院信息安全權(quán)限管理以及醫(yī)院信息安全管理規(guī)程上尤其進行優(yōu)化，達到確實加強醫(yī)院信息安全管理細節(jié)建設的目的。

 

以醫(yī)院信息安全權(quán)限管理為例，醫(yī)院可以在外來用戶的訪問權(quán)限、內(nèi)部用戶的密碼登錄以及內(nèi)部用戶的權(quán)限等級上進行細致的劃分，同時對用戶在醫(yī)院信息管理系統(tǒng)內(nèi)部的瀏覽內(nèi)容進行監(jiān)控，對外來用戶進行IP清查以及MAC地址綁定，有效的提高醫(yī)院信息安全管理的細節(jié)掌控。

 

3.3 進一步加強醫(yī)院信息安全防護技術(shù)

 

醫(yī)院在信息安全管理工作中，應該進一步加強對信息冗余技術(shù)、數(shù)據(jù)中心檢測技術(shù)、信息安全防治技術(shù)、系統(tǒng)監(jiān)控技術(shù)等相應信息安全技術(shù)的應用，保證醫(yī)院自身系統(tǒng)在使用的過程中不會因為數(shù)據(jù)刪除失誤而造成系統(tǒng)崩潰的現(xiàn)象，提高醫(yī)院信息管理系統(tǒng)的穩(wěn)定性、安全性以及可優(yōu)化性，加強對數(shù)據(jù)中心的備份記錄，保證醫(yī)院信息安全防護技術(shù)能夠充分的提升醫(yī)院信息安全管理的質(zhì)量。

 

4 結(jié)束語

 

本文以醫(yī)院為例，具體分析醫(yī)院在信息安全管理工作面臨的問題現(xiàn)象和采取的發(fā)展措施，進而對醫(yī)療行業(yè)的信息安全發(fā)展形勢進行了分析和闡述。

篇(3)

關(guān)鍵詞：航空管制；信息系統(tǒng)；信息安全；對策

1強化安全管理意識

航空管制信息安全管理工作人員的信息安全管理意識對于航管信息安全管理會產(chǎn)生直接的影響，也是航空管制信息安全管理過程中的重要因素。航空管制信息安全管理過程中出現(xiàn)的安全漏洞，很大程度上就是由于相關(guān)工作人員安全意識的淡薄，在工作中對自已要求不嚴，從而忽視了信息安全的重要性。為了強化航空管制信息安全管理工作，就必須注重對工作人員信息安全管理意識的強化。其主要分為以下幾個方面：1)積極強化航空公司的各級領(lǐng)導信息安全意識，首先確保最高決策者始終擁有高強度的安全意識，并且以身作則，在自己的實際工作中體現(xiàn)出對安全管理得重視，這樣才能帶動各級工作不斷提高自身的信息安全防范意識。信息安全管理工作，主要內(nèi)容是“三分技術(shù)，七分管理”，各航空工作人員應該始終將技術(shù)與管理結(jié)合起來，作為約束自己日常工作行為的基本準則。強化工作人員的信息安全意識，需要對其進行定期系統(tǒng)的信息安全教育（如信息安全管理知識講座等），以此為手段不斷發(fā)展航空管制人員的信息安全知識水平，促使每一位工作人員都能擁有高度的自主安全管理意識。2)注重對航管人員自身信息技術(shù)素質(zhì)水平的培養(yǎng)。在航空管制信息安全管理工作中，良好的專業(yè)素養(yǎng)以及熟練的操作能力是每一位工作人員都必須具備的技能。況且，隨著信息技術(shù)與人工智能技術(shù)逐漸的深入航空領(lǐng)域，在以后的航空管制工作中，若是沒有一定的信息技術(shù)專業(yè)知識，航管人員就無法準確高效的把握航管新裝備和新技術(shù)。同時，航管人員在學習信息技術(shù)知識的過程中，還能開拓自己的眼界，豐富自身對現(xiàn)代化技術(shù)的認識，在強化自身工作能力和安全意識的同時，還能為整個航空領(lǐng)域的發(fā)展提供幫助，確保航管信息安全管理工作的順利進行。3）注重航管信息安全管理觀念創(chuàng)新。在這個信息化的時代，各個領(lǐng)域都在飛速發(fā)展。日新月異的信息技術(shù)，大量的新型航空管制理念，都要求航空管制信息安全工作要隨著時代的發(fā)展不斷變遷、創(chuàng)新。不僅如此，由于航空管制信息安全直接影響著飛機的飛行安全和乘客的人身安全，相關(guān)人員應該始終保持本公司的運營理念與國際的新理念接軌，根據(jù)市場需求不斷改善航管信息安全管理目標和具體實踐措施，創(chuàng)造屬于我們這個時代的航空管制信息安全管理模式。將航管信息安全管理的策略落到實處，確保航空運行過程中各個環(huán)節(jié)的信息安全[1]。

2抓住主要矛盾

要想最大程度的發(fā)揮出航管信息安全管理工作的作用，航空公司的決策者和相關(guān)工作人員就得明確航管信息安全管理過程中的重難點，只有這樣，才能保證有目標、有計劃的施以措施。航管人員務必要高效的解決在航管信息安全管理工作中出現(xiàn)的各種矛盾，下文就以其中存在的主要矛盾為例說明。航管信息安全管理的根本目的是保證航管信息的完整性、可控性及保密性等，除此之外，還需要對航管信息資料進行防御、檢測、抑制、恢復和管理，從多方面著手，保證航管工作的質(zhì)量。航管信息管理工作的重點是管理和控制航空管制信息系統(tǒng)，其主要是對航管系統(tǒng)層、網(wǎng)絡層以及應用層進行安全控制。航管工作中的系統(tǒng)層管理指的是對硬件和軟件的安全管理，而且軟件安全管理是整個航管信息安全管理工作中的重點。對于硬件系統(tǒng)的安全管理工作，一般將其列入物理安全范圍，主要是防電磁輻射、電子干擾等因素[2]。在應用軟件這一層面上，航管信息系統(tǒng)有時候會遭到黑客的侵襲，因此，相關(guān)技術(shù)人員務必要做好防“黑客”、防病毒的準備工作，而且在此基礎上，還得不斷恢復信息管理系統(tǒng)，優(yōu)化操作系統(tǒng)的可行性和安全性，確保航管信息安全管理的效率。在加強軟件系統(tǒng)管理工作的同時，還要對網(wǎng)絡層面的安全管理進行加強。其主要包含以下幾點：網(wǎng)絡報警、網(wǎng)絡恢復、數(shù)據(jù)保護、密鑰安全及內(nèi)部認證等。對于網(wǎng)絡層面安全管理工作的加強，工作人員應該將重點放在各處子網(wǎng)的出入口設備上，同時，軟件設施方面也應配合硬件設施，積極研發(fā)嵌入式操作系統(tǒng)，不斷創(chuàng)新，應用更高水平的數(shù)字簽名技術(shù)，對網(wǎng)絡層進行加密。

3完善航管部門信息安全防范體系

俗話說：“無規(guī)矩，不成方圓”。要想充分完善航管信息安全管理工作，對航管信息進行有效控制，航管部門就需要根據(jù)自身的實際條件不斷健全航管部門的信息安全管理體系。所以，工作人員就要提前做好充分的市場調(diào)研，就目前市場上的航管信息安全管理機構(gòu)設置進行討論研究，仔細觀察整個機構(gòu)設置的合理性和可行性，對各個部門的航管信息安全管理職能進行明確劃分，使信息安全管理要求與業(yè)務流程聯(lián)系起來，最大程度的發(fā)揮出航管信息安全管理機構(gòu)的作用。不斷完善航管信息安全管理制度，加上安全管理體系的建設，實行統(tǒng)一規(guī)劃、統(tǒng)一管理與統(tǒng)一監(jiān)督。時刻與國際先進的技術(shù)保持聯(lián)系，將自身的發(fā)展與信息技術(shù)和人工智能緊密聯(lián)系起來，將本航空公司的安全管理體系至于本行業(yè)發(fā)展的前沿。在航管過程中，需要使用的儀器設備要盡量采用國產(chǎn)裝備，特別是某些涉及到自主關(guān)鍵技術(shù)機密以及中國自主知識產(chǎn)權(quán)的核心儀器設備。與此同時，工作人員還應該注重加強對網(wǎng)絡安全系統(tǒng)的規(guī)范管理制度，逐漸建立出相應系統(tǒng)的航管信息安全管理標準和統(tǒng)一的航管信息安全管理綜合評估體系以及針對航管信息的獲取和應用等，需要明確的制定出切實可行的安全管理措施體系。由此可見，在航管信息安全管理的過程中，始終不能脫離完整、規(guī)范的航管信息安全防范體系，只有通過航管部門系統(tǒng)全面嚴格的控制把關(guān)，才能高效地處理航管信息安全工作中出現(xiàn)的各種問題。在日常的航管部門信息安全管理工作中，工作人員務必要注意兩點，一是加強對航管人員的信息安全教育。要定期組織全體航空管制信息安全管理人員對工作中的專業(yè)知識以及某些設備的操作技術(shù)進行學習，不斷的對航管人員注入最新的航管理念，對航管人員的航空管制保密常識進行培訓，加強信息安全教育，確保每一位航空管制人員都擁有深刻的信息安全意識，以保證航空飛行安全。二是對整體航管人員實行保密信息封鎖制度。航空公司應該根據(jù)實際情況制定出適合自身發(fā)展的電子設備保密管理制度，控制工作人員與外界不必要的聯(lián)系，始終嚴格約束所有工作人員的言行舉止，切忌在日常交流以及聯(lián)系中向外界流失掉機密信息。不僅如此，航空公司中的任何以為工作人員都不允許以任何一種形式對外界透露公司內(nèi)部的運行情況，更不能泄露涉及航管和飛行安全的信息[3]。

4健全航管信息安全管理法規(guī)制度

航空公司嚴謹有序的運行模式，不僅需要每一位工作人員的付出還需要高層決策者與各級工作人員商議之后制定出合理的法規(guī)制度，以統(tǒng)一形式的制度、要求及管理力度對員工進行統(tǒng)一管理，一視同仁，旨在提升對航管信息安全的管理效率。健全航管信息安全管理法規(guī)制度的要求分為兩個方面，第一個方面，公司要盡快且保證質(zhì)量的建立屬于自己的航管信息安全評估系統(tǒng)。在建設的過程中，要始終按照國家的標準要求，不管是信息基礎設施建設，還是網(wǎng)絡規(guī)劃建設，都必須通過國家相關(guān)管理部門的審批。而在進行基礎設施建設和設備配備的過程中，則需要安全管理部門和質(zhì)量管理部門進行約束指導，所有的信息建設只有在通過有效的信息安全質(zhì)量認證之后，才能投入使用。第二個方面，要想使航空管制信息安全管理過程中的規(guī)章制度得到系統(tǒng)化、明確化、條理化，工作人員就必須以本航空公司的航管信息安全管理模式為出發(fā)點，經(jīng)過多方面的調(diào)研分析，采取各個階層工作人員的意見整合之后制定出可行有效的信息安全規(guī)章制度，力爭在最短的時間內(nèi)使航空管制信息安全管理工作的可行性得到大幅度提升[4]。

5結(jié)語

綜上所述，航空管制信息安全管理工作是所有航空公司正常運營的前提條件，也是順利開展航管業(yè)務的基礎工作，只有航管信息安全得到了保障，飛機的飛行安全才能得到保障。航管人員在日常的工作之中要始終樹立堅實牢固的航管信息安全意識，提高自身的航管能力。相應的公司管理人員也應不斷強化本公司的信息技術(shù)，結(jié)合國際上新型的航管理念發(fā)展自身的運行效率，為飛機的安全飛行保駕護航。

參考文獻：

[1]許彬.航管信息情報系統(tǒng)的設計與實現(xiàn)[D].成都：電子科技大學，2014．

[2]魏純潔.空中交通管制安全評估關(guān)鍵技術(shù)研究[D].南京：南京航空航天大學，2012．

篇(4)

（一）管理使用的系統(tǒng)

ERP、加油站賬冊、二次物流管理、加油卡、辦公自動化以及企業(yè)門戶網(wǎng)站等系統(tǒng)是石化銷售企業(yè)首要的應用系統(tǒng)。應用系統(tǒng)有以下特征：一是系統(tǒng)應用范圍廣，全程參與企業(yè)的經(jīng)營、管理、對外服務等；二是系統(tǒng)用戶眾多，涵蓋企業(yè)各階層員工；三是系統(tǒng)對持續(xù)運轉(zhuǎn)要求高，因此對應用系統(tǒng)的安全運轉(zhuǎn)要求較高。對公司的經(jīng)營管理而言，系統(tǒng)的安全穩(wěn)定運行具有重大意義，系統(tǒng)數(shù)據(jù)是否安全、保密性和供應商、企業(yè)利益有密切關(guān)系。

（二）安全管理

隨著我國經(jīng)濟水平不斷提高，石化銷售企業(yè)越來越離不開信息化管理，世界各地的公司對內(nèi)部成立一個信息化團隊，根據(jù)內(nèi)部的需要制定出具有整體性的管理體系，并根據(jù)相關(guān)的信息安全規(guī)定對系統(tǒng)內(nèi)部的安全等級做好評估保護工作。各企業(yè)制定了詳細有效的“信息系統(tǒng)應急預案”以應付各類突發(fā)事件。近幾年，中國石化內(nèi)控體系在建設過程中不斷加強、完善自身管理體系，也在IT控制方面占有一定的優(yōu)勢。當前，石化銷售企業(yè)已基本形成一套完整的信息安全防御和管理體系，從而確保了網(wǎng)絡信息系統(tǒng)的安全性。

二、信息安全風險的評估

衡量安全管理體系的風險主要方法是進行信息安全風險的評估，以此保障信息資產(chǎn)清單和風險級別，進而確定相應的防控措施。在石化銷售企業(yè)進行信息安全風險的評估過程中，主要通過資金、威脅、安全性等識別美容對風險進行安全檢測，同時結(jié)合企業(yè)自身的實際情況，擬定風險控制相應的對策，把企業(yè)內(nèi)的信息安全風險竟可能下降到最低水平。

（一）物理存在的風險

機房環(huán)境和硬件設備是主要的的物理風險。當前，部分企業(yè)存在的風險有：1）企業(yè)機房使用年限過長，如早期的配電、布線等設計標準陳舊，無法滿足現(xiàn)在的需求；2）機房使用的裝備年限太長、例如中央空調(diào)老化，制冷效果不佳導致溫度不達標，UPS電源續(xù)航能力下降嚴重，門禁系統(tǒng)損壞等，存在風險；3）機房安全防護設施不齊全，存在風險。

（二）網(wǎng)絡和系統(tǒng)安全存在的風險

石化訪問系統(tǒng)的使用和操作大量存在安全風險，其中主要風險包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統(tǒng)安全隱患等。即使大部分企業(yè)已安裝統(tǒng)一的網(wǎng)絡防病毒體系、硬件防火墻、按期更新網(wǎng)絡系統(tǒng)軟件、安裝上網(wǎng)行為監(jiān)控等，但因為系統(tǒng)漏洞數(shù)目不斷增多網(wǎng)絡結(jié)構(gòu)和襲擊逐漸減弱或者因為信息系統(tǒng)使用人員操作系統(tǒng)本身的安全機制不完善、也會產(chǎn)生安全隱患。

（三）系統(tǒng)安全風險

沒有經(jīng)過許可進行訪問、數(shù)據(jù)泄密和被刪改等威脅著系統(tǒng)的安全性。提供各類應用服務是企業(yè)信息系統(tǒng)的首要任務，而數(shù)據(jù)正是應用信息系統(tǒng)的核心，因此，實際應用與系統(tǒng)安全風險密切聯(lián)系。當前，信息應用系統(tǒng)存儲了大量的客戶、交易等重要信息，一旦泄露，造成客戶對企業(yè)信任度影響的同時也會影響企業(yè)的市場競爭力。

（四）安全管理存在的風險

安全管理存在的主要指沒有同體的風險安全管理手段，管理制度不完善、管理標準沒有統(tǒng)一，人員安全意識薄弱等等都存在管理風險，因此，需要設立完善的信息系統(tǒng)安全管理體系，從嚴管理，促使信息安全系統(tǒng)正常運作。一方面要規(guī)范健全信息安全管理手段，有效較強內(nèi)控IT管理流程控制力度，狠抓落實管理體系的力度，杜絕局部管理不足點；另一方面，由于信息安全管理主要以動態(tài)發(fā)展的形式存在，要不斷調(diào)整、完善制度，以符合信息安全的新環(huán)境需求。

三、信息安全管理體系框架的主要構(gòu)思

信息安全管理體系的框架主要由監(jiān)管體系、組織體系和技術(shù)體系形成，特點是系統(tǒng)化、程序化和文件化，而主要思想以預防控制為主，以過程和動態(tài)控制為條件。完善安全管理體系，使石化銷售企業(yè)信息系統(tǒng)和信息網(wǎng)絡能夠安全可靠的運作，從機密性、完整性、不可否認性和可用性等方面確保數(shù)據(jù)安全，提升系統(tǒng)的持續(xù)性，加強企業(yè)的競爭力。

（一）組織體系

企業(yè)在完善管理體系過程中應設立信息安全委員會和相關(guān)管理部門，設置相應的信息安全崗位，明確各級負責的信息安全和人員配置等內(nèi)容。在全面提升企業(yè)人員對信息安全了解的過程中必須進行信息安全知識的相關(guān)培訓，使工作人員提高信息安全管理意識，實現(xiàn)信息安全管理工作人人有責。

（二）制度體系

操作規(guī)范、安全策略、應急預案等各項管理制度經(jīng)過計劃和下發(fā)，讓信息安全管理有據(jù)可依。企業(yè)參照合理完善的各項制度進一步優(yōu)化業(yè)務流程，規(guī)范操作行為，降低事故風險，提升應急能力，以此加強信息安全的管理體系。

（三）技術(shù)體系

管理技術(shù)、防護技術(shù)、控制技術(shù)是信息安全管理體系的主要技術(shù)基礎。安全技術(shù)包括物理安全技術(shù)、網(wǎng)絡安全技術(shù)、主機安全技術(shù)、終端安全技術(shù)、數(shù)據(jù)安全、應用安全技術(shù)等。一旦出現(xiàn)信息安全事件，技術(shù)體系會在最短的時間內(nèi)降低事件的不良影響，依靠相關(guān)的信息安全管理技術(shù)平臺，以實現(xiàn)信息安全技術(shù)的有效控制。管理體系的核心是技術(shù)手段，先進的加密算法和強化密鑰管理構(gòu)成的數(shù)據(jù)加密方式全程控制數(shù)據(jù)傳輸和數(shù)據(jù)存儲，可以保證數(shù)據(jù)的安全性。采用堡壘機、防火墻等安全系統(tǒng)可以過濾掉不安全的服務和非法用戶，防止入侵者接近防御設備。IDS作為防火墻的重要功能之一，能夠幫助網(wǎng)絡系統(tǒng)快速檢測出攻擊的對象，加強了管理員的安全管理技術(shù)（包括審計工作、監(jiān)視、進攻識別等技術(shù)），提高了信息安全體系的防范性。企業(yè)數(shù)據(jù)備份這一塊可以采用雙機熱本地集群網(wǎng)、異地集群網(wǎng)等各種形式進行網(wǎng)絡備份，利用體統(tǒng)的可用性和容災性加強安全管理能力。

近年來各個企業(yè)的惡意軟件、攻擊行為手法變化多端很難防御，在各種壓力下，傳統(tǒng)的的安全防預技術(shù)受到了嚴峻的考驗，這時“云安全”技術(shù)當之無愧成為當今最熱的安全技術(shù)。“云安全”技術(shù)主要使用分部式運算功能進行防御，而“云安全”技術(shù)對于企業(yè)用戶而言確實明顯的保障了信息的安全性以及降低客戶端維護量。“云安全”技術(shù)是未來安全防護技術(shù)發(fā)展的必由之路，且今后“云安全”作為企業(yè)安全管理的核心內(nèi)容為企業(yè)的數(shù)據(jù)、服務器群組以及端點提供強制的安全防御能力。”

四、信息安全管理體系相關(guān)步驟

由于管理體系具有靈活性，企業(yè)可依據(jù)自身的特點和實際情況，使用最優(yōu)方案，結(jié)合石化銷售的特征，提出以下步驟：1）管理體系的重要目標；2）管理體系的主要范疇；3）管理體系現(xiàn)狀考察與風險估量；4）完善管理體系的制度；5）整理管理體系的文檔；6）管理體系的運行方式；7）信息安全管理體系考核。

五、結(jié)論

篇(5)

關(guān)鍵詞：供水企業(yè)?信息安全?安全管理

中圖分類號：F29 文獻標識碼：A文章編號：1672-3791(2012)02(c)-0000-00

1 前言

當前，隨著網(wǎng)絡和信息化建設的不斷發(fā)展，企業(yè)對信息網(wǎng)絡的依賴越來越強，供水企業(yè)也不例外。供水企業(yè)信息安全問題關(guān)系到供水系統(tǒng)的穩(wěn)定和安全運行。目前，供水企業(yè)的信息安全風險主要來自于兩個方面，即內(nèi)部和外部的因素。內(nèi)部威脅主要為企業(yè)信息安全管理問題；外部因素主要包括因病毒、黑客、惡意軟件等造成的數(shù)據(jù)丟失，系統(tǒng)運行失常等問題。本文圍繞著這兩個方面的因素，就供水企業(yè)的信息安全問題進行探討。

2 供水企業(yè)面臨的信息安全威脅

2.1 計算機病毒的傳播

計算機病毒的傳播是帶來企業(yè)信息安全風險的因素之一。自上世紀九十年代以來，計算機病毒以迅猛的增長速度危害著個人用戶和企業(yè)用戶，給企業(yè)和個人造成了嚴重的經(jīng)濟損失。目前，隨著智能手機的普及，一種新型的病毒，即手機病毒也開始威脅到企業(yè)的信息安全。

2.2 企業(yè)內(nèi)部網(wǎng)絡受到黑客攻擊

黑客對企業(yè)內(nèi)部網(wǎng)絡的攻擊是帶來企業(yè)信息安全風險的因素之二。由于Internet具有自由行和廣泛性，而供水企業(yè)一般又建立了企業(yè)內(nèi)部網(wǎng)絡。當企業(yè)內(nèi)部網(wǎng)絡與Internet發(fā)生間接或直接關(guān)聯(lián)的時候，企業(yè)內(nèi)部網(wǎng)絡就有可能成為黑客攻擊的目標，從而泄露或丟失一些重要的企業(yè)信息，或使企業(yè)內(nèi)部網(wǎng)絡處于失?；虬c瘓的狀態(tài)。

2.3 企業(yè)安全管理的不足

企業(yè)的信息系統(tǒng)不夠健全，企業(yè)員工的安全意識薄弱，這也是造成企業(yè)信息安全威脅的因素。在信息機構(gòu)設置方面，供水企業(yè)缺乏規(guī)范的機構(gòu)體制，相關(guān)的專業(yè)技術(shù)人員偏少。同時，很多供水企業(yè)對相關(guān)的專業(yè)技術(shù)人員缺乏系統(tǒng)的專業(yè)培訓，使得企業(yè)員工缺乏必要的安全意識，“防黑防毒”意識淡薄，對一些惡意攻擊也缺乏警惕性，有的甚至因為操作失誤而給各種信息安全威脅帶來了可能。

3 供水企業(yè)信息安全建設

3.1 采用防水墻技術(shù)

防水墻是保障企業(yè)信息安全的有效手段。通過控制進出供水企業(yè)網(wǎng)絡的權(quán)限，監(jiān)控網(wǎng)絡數(shù)據(jù)流，檢查所有的數(shù)據(jù)連接，防水墻技術(shù)可以有效地控制和管理對企業(yè)網(wǎng)絡系統(tǒng)的訪問控制和安全管理，隔離和過濾危險數(shù)據(jù)包，防止企業(yè)網(wǎng)絡受到黑客和病毒的破壞與干擾。同時，由于所有的訪問都得通過防火墻，防火墻還能實時記錄和統(tǒng)計網(wǎng)絡訪問，這對企業(yè)信息安全管理人員管理維護企業(yè)網(wǎng)絡提供了有利條件。

3.2 采用入侵檢測技術(shù)

防火墻可以限制對企業(yè)網(wǎng)絡系統(tǒng)的非法訪問或攻擊，檢測并防御非法訪問。然而，防火墻無法防止企業(yè)網(wǎng)絡內(nèi)部用戶之間的攻擊不經(jīng)過防火墻。因此，在采用防火墻的同時，有必要用入侵檢測技術(shù)。入侵檢測技術(shù)（Intrusion-detection?system），簡稱IDS,?是一種對網(wǎng)絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備。它能夠分析通過網(wǎng)絡收集的信息，檢測并識別出惡意行為，及時有效地發(fā)現(xiàn)網(wǎng)絡異常，檢測出網(wǎng)絡中違反安全策略的行為。如果說防火墻是一幢大樓的門衛(wèi)，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進入大樓，或內(nèi)部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。除了簡單的記錄和發(fā)出警報之外，IDS還可以進行主動反應：打斷會話，和實現(xiàn)過濾管理規(guī)則。所以說，要確保供水企業(yè)網(wǎng)絡處于安全的狀態(tài)，入侵檢測技術(shù)也是必不可少的，它是防火墻技術(shù)的一個有效的補充。

3.3 采用VPN技術(shù)

VPN（Virtual?Private?Network），即虛擬專用網(wǎng)，是通過一個公用網(wǎng)絡（通常為Internet）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。它主要是通過路由器、防火墻技術(shù)、隧道技術(shù)，安全秘鑰以及加密協(xié)議而組建成的Internet?VPN。它是對企業(yè)內(nèi)部網(wǎng)絡的擴展，通過VPN可以在企業(yè)分支機構(gòu)，合作伙伴、供應商或遠程用戶與企業(yè)內(nèi)部網(wǎng)絡之間建立可靠的安全連接，向他們提供安全而有效的信息服務，保證數(shù)據(jù)的安全傳輸，實現(xiàn)企業(yè)網(wǎng)絡安全通信的虛擬專用線路，使得外部非法用戶無法訪問公司內(nèi)部信息。與此同時，VPN技術(shù)還可以極大降低企業(yè)信息共享的成本。

3.4 加強企業(yè)員工的安全管理

實現(xiàn)供水企業(yè)的信息安全，除了做好技術(shù)防護之外，還得加強企業(yè)內(nèi)部員工的安全管理。做好技術(shù)防護并不意味著一勞永逸，企業(yè)員工的信息安全管理也是至關(guān)重要的。加強企業(yè)關(guān)公的安全管理需做好以下幾點：1)增強企業(yè)員工的安全意識。員工的安全意識淡薄是造成企業(yè)信息安全風險的一大因素。為保障企業(yè)信息安全，供水企業(yè)需對員工進行企業(yè)網(wǎng)絡系統(tǒng)的專業(yè)培訓與教育，掌握信息安全問題的基礎知識與常識，提高對外部惡意攻擊和病毒的警惕性，加強安全防護意識，能及時發(fā)現(xiàn)并處理常見的安全問題。2)健全企業(yè)信息安全管理規(guī)章制度。根據(jù)供水企業(yè)的實際情況，建立健全的信息安全管理制度，如網(wǎng)絡系統(tǒng)使用規(guī)范、機房管理制度、保密制度、值班制度、設備維護制度等。企業(yè)員工必須遵照相關(guān)管理制度，明確職責，按照相關(guān)用戶口令或操作口令，確保日常操作符合信息安全規(guī)章制度，最大限度地防止人為失誤或違規(guī)操作帶來的信息安全問題。3)配置專門的企業(yè)信息安全管理技術(shù)人才。在互聯(lián)網(wǎng)高速發(fā)展的幾天，沒有絕對的信息安全。企業(yè)需配置專門的信息安全管理人員，在及時有效地處理企業(yè)信息安全風險的同時，增強企業(yè)信息安全管理的人才儲備，加強信息安全技術(shù)管理隊伍，培養(yǎng)弓雖企業(yè)網(wǎng)絡系統(tǒng)硬件和軟件的開發(fā)設計人才，掌握保障企業(yè)信息安全的核心技術(shù)。

4 結(jié) 語

本文以供水企業(yè)為例，對企業(yè)的信息安全風險進行了分析，認為計算機病毒的傳播，黑客對企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)的攻擊以及企業(yè)在員工安全管理方面的不足是造成供水企業(yè)信息安全問題的三大原因。因此，要保障信息安全，供水企業(yè)需在技術(shù)和管理兩方面下功夫。在技術(shù)方面，企業(yè)可采用防火墻技術(shù)、入侵檢測技術(shù)和VPN技術(shù)。在管理層面上，企業(yè)需增強員工的安全意識，建立健全企業(yè)信息安全管理規(guī)章制度，配置專門的信息安全管理技術(shù)人才。

參考文獻

[1]丁麗川，曹暉.計算機網(wǎng)絡信息安全探析[J].?科技創(chuàng)新導報.?2010(35):28.

[2]范紅，馮登國.?信息安全風險評估方法與應用[M].?北京：清華大學出版社，2006.

篇(6)

企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源,對于企業(yè)自身來說具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來,企業(yè)的各項經(jīng)營活動都逐漸開始通過計算機,網(wǎng)絡開展,因此,企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時將企業(yè)信息安全管理與風險控制結(jié)合起來,這是一個正確的選擇,能夠幫助企業(yè)實現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風險控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風險控制的定義。企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件,保護網(wǎng)絡存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標,即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。

信息安全管理是一項需要綜合學科知識基礎的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡安全技術(shù)、計算機技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講,最為關(guān)鍵的一項工作時保護企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過建立完善的企業(yè)風險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標。所以,怎樣把企業(yè)信息安全管理與風險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風險控制必須通過企業(yè)建立完善的企業(yè)信息安全風險體系實現(xiàn)。

企業(yè)的信息安全風險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對企業(yè)的信息進行風險預估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風險,從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風險體系建立主要包含以下幾個方面的內(nèi)容。第一,建立企業(yè)信息安全風險管理制度,明確企業(yè)信息安全管理的責任分配機制,明確企業(yè)各個部門對各自信息安全所應承擔的責任,并建立相應的問責機制。第二,設置規(guī)范的企業(yè)信息安全風險管理指標,對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風險定級,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三,企業(yè)要加強對信息安全管理人員的培訓,提高企業(yè)信息安全管理工作人員的風險意識,讓企業(yè)內(nèi)部從事信息安全管理工作人員認識到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責的重要性。第四,將企業(yè)信息安全管理與風險控制有效融合,重視企業(yè)信息安全管理工作,通過風險控制對企業(yè)內(nèi)部信息安全的管理方式進行正確評估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風險控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對于企業(yè)來說,企業(yè)信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計,目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上,對企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風險意識并沒有嚴格要求。此外,絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓,并沒有通過建立相關(guān)管理制度以及問責機制對企業(yè)信息安全管理工作人員實行監(jiān)督,這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計算機技術(shù),密碼技術(shù),網(wǎng)絡應用技術(shù)等等,應當說成熟的計算機應用技術(shù)是做好企業(yè)信息安全管理的基礎,但是,現(xiàn)實是許多企業(yè)的信息安全管理技術(shù)并不過關(guān),一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對企業(yè)信息缺乏保護,另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗,企業(yè)信息安全管理的知識也并沒有及時更新,從而導致企業(yè)的信息安全管理理論嚴重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡病毒的傳播越來越猖狂,很多服務器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個管理員進行管理是難以承擔如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一,企業(yè)員工對于信息安全管理的認識嚴重不足,對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業(yè)內(nèi)部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關(guān),認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內(nèi)部信息安全文秘站:管理制度并沒有形成聯(lián)動機制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領(lǐng)導對企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段 1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu),它的設計初衷是面向客戶的,提供給客戶各種安全應用,安全應用必須依靠安全服務來實現(xiàn),而安全服務又是由各種安全機制來保障的。所以,安全服務標志著一個安全系統(tǒng)的抗風險的能力,安全服務數(shù)量越多,系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個部分:響應、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態(tài)網(wǎng)絡安全循環(huán)過程,必須制定一個企業(yè)的安全模式。在安全策略的指導下實施所有的檢測、防護、響應,防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的,比如有防火墻、訪問控制、加密、認證等方法,檢測是動態(tài)響應的判斷依據(jù),同時也是有力落實安全策略的實施工具,通過監(jiān)視來自網(wǎng)絡的入侵行為,可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡不安全因素;經(jīng)過不斷地監(jiān)測網(wǎng)絡和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中,應急響應占有重要的地位,它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強調(diào)動態(tài)管理,動態(tài)監(jiān)督,對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理,在實際工作中,通過HTP模型的應用,找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風險的建議

1.建設企業(yè)信息安全管理系統(tǒng)

(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個子系統(tǒng),明確實施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合,實現(xiàn)信息安全監(jiān)控的有效性和高效性。

(2)成立一個中央數(shù)據(jù)庫,整合分布式數(shù)據(jù)庫里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫,實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。

(3)設計優(yōu)良的人機界面,通過對企業(yè)數(shù)據(jù)信息進行有效的運用,為企業(yè)管理階層人員、各級領(lǐng)導及時提供各種信息,為企業(yè)領(lǐng)導的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。

(4)簡化企業(yè)內(nèi)部的信息傳輸通道,對應用程序和數(shù)據(jù)庫進行程序化設計,加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準確性。

2.設計企業(yè)信息安全管理風險體系

(1)確定信息安全風險評估的目標

在企業(yè)信息安全管理風險體系的設計過程中,首要工作是設計企業(yè)信息安全風險評估的目標,只有明確了企業(yè)信息安全管理的目標,明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風險控制為目標的信息安全管理工作制度,才能順利通過對風險控制的結(jié)果的定量考核,檢測企業(yè)信息安全管理的風險,定性定量地企業(yè)信息安全管理工作進行分析,找準企業(yè)信息安全管理的工作辦法。

(2)確定信息安全風險評估的范圍

不同企業(yè)對于風險的承受能力是有區(qū)別的,因此,對于不同的企業(yè)的特殊性應該采取不同的風險控制辦法,其中,不同企業(yè)對于能夠承受的信息安全風范圍有所不同,企業(yè)的信息安全風險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此,企業(yè)的信息安全風險評估范圍也應當根據(jù)企業(yè)的實際經(jīng)營情況變化采取有針對性的辦法。

篇(7)

關(guān)鍵詞：中小企業(yè)；電子信息；安全技術(shù)

1 電子信息安全的內(nèi)涵

對于買方來說電子信息主要優(yōu)點是方便快捷、操作起來比較簡單。電子信息對于賣方來說主要優(yōu)點是管理比較方便并且成本較低，但是電子信息最大的缺點就是買賣雙方不能進行交流，主要是貨幣與貨品的交換，并且交易都是通過網(wǎng)絡進行的，之所以交易能夠順利完成，主要的原因是兩者之間存在著誠信。關(guān)于誠信主要有兩個方面的內(nèi)容：有一種系統(tǒng)軟件在買賣的過程中起到安全保障的作用，能將虛擬的貨幣符號轉(zhuǎn)化成真實的貨幣，同時也能對交易起到保護作用，其中主要是對貨幣賬戶起到安全保障的作用。要想研究電子信息安全，首先要了解信息的內(nèi)涵。信息主要是指資料、數(shù)據(jù)以及知識以不同的形式存在，在中小企業(yè)中這類信息主要是指買賣雙方的有關(guān)信息和資料，犯罪分子能通過非法的手段對電子信息中的買賣雙方采取詐騙行為，或者是通過網(wǎng)絡對進行入侵和盜竊。信息安全管理標準對信息做出了詳細的定義，信息也是屬于資產(chǎn)，與其他的資產(chǎn)相同，對中小企業(yè)的發(fā)展有著重要的作用，是需要法律保護的。信息安全管理標準將信息劃分為八個部分，主要包括物理資產(chǎn)、文檔資產(chǎn)、文字資產(chǎn)、服務資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)以及人力資源資產(chǎn)。

中小企業(yè)的電子信息主要是以網(wǎng)絡為載體，網(wǎng)絡的交流主要通過數(shù)據(jù)的傳輸?shù)靡詫崿F(xiàn)，網(wǎng)上交易就是交流過程中的主要內(nèi)容。所以，在信息安全的范疇中電子信息安全技術(shù)就成為了重點問題。關(guān)于電子信息安全技術(shù)的研究大多是關(guān)于技術(shù)的，但是對于中小企業(yè)來說，不僅要對技術(shù)進行改進，也要重視管理層，避免信息出現(xiàn)安全問題。

2 電子信息安全的理論

我國關(guān)于電子信息安全的研究，仍然較為落后。在國際中的關(guān)于信息安全的主要理論為：三觀安全理論、信息循環(huán)理論以及信息安全模型理論。

三觀安全理論。在中小企業(yè)的電子信息安全系統(tǒng)中，三觀安全理論主要將其分為三個方面的內(nèi)容，即微觀、中觀以及宏觀。這個理論主要是將宏觀層面的安全理念轉(zhuǎn)化成微觀層面的管理理念，進而對服務與生產(chǎn)進行指導。

信息安全模型理論。信息安全模型理論是信息安全管理發(fā)展過程中的產(chǎn)物，信息安全模型理論主要是將人、軟件、操作以及信息系統(tǒng)相結(jié)合，并且全面的保護網(wǎng)絡信息系統(tǒng)。主要倡導的是一種新的安全觀念，并且提出了不能僅靠程序與軟件對系統(tǒng)信息安全進行保護，要注重動態(tài)保護。此外，關(guān)于電子信息安全問題不能只依賴于安全技術(shù)，也要重視管理層安全理念的創(chuàng)新。

電子信息的循環(huán)理論。在實施網(wǎng)絡信息安全的過程中電子信息的循環(huán)理論將其劃分為四個方面：計劃、執(zhí)行、檢查以及改進。這四個方面是一個循環(huán)的過程，也是一個周期，在循環(huán)的過程中，將這個過程看作是一個整體的信息安全管理體制，而不是將其看成某一管理過程。

3 電子信息安全技術(shù)對加強中小企業(yè)信息安全的作用

上文所述的三個信息安全理論對中小企業(yè)的信息安全管理有著重要的作用，主要有以下幾個方面的內(nèi)容。第一是信息安全領(lǐng)域的建設，第二是中小型企業(yè)中加強建設信息安全組織。美國信息安全研究所首次提出了信息安全領(lǐng)域，信息安全領(lǐng)域主要是指根據(jù)信息的不同保密程度創(chuàng)建相應的保密級別，網(wǎng)絡控件的安裝要結(jié)合用戶信息的不同安全級別，安全信息的選擇要適合用戶的保密級別。在中小企業(yè)中，電子信息與資料的分類系統(tǒng)應該有統(tǒng)一的部門進行管理，然后對信息進行分類，并采取不同程度的加密與保密，這類信息主要包含文檔、電子商務的相關(guān)資料以及服務等。將這些信息進行分類、保密、歸檔以及整合，有利于中小企業(yè)電子信息的調(diào)試。

對于中小企業(yè)來說，一直都存在電子信息安全性不夠的問題，這主要同企業(yè)內(nèi)部安全管理不足有關(guān)，安全管理的工作缺少專業(yè)的管理，很多的小型企業(yè)并沒有統(tǒng)一的信息安全管理部門。企業(yè)安全管理部門的主要職能包含這幾個方面的內(nèi)容：同企業(yè)人力資源管理部門相互配合共同完成工作內(nèi)容，要定期的審查一些特殊崗位的員工，一旦發(fā)現(xiàn)有違反安全規(guī)則的情況，要重新進行審查。同時還要對員工進行保密的培訓；組織各個部門的工作，并對各個部門的工作進行協(xié)調(diào)，使企業(yè)的安全目標以及戰(zhàn)略得以實現(xiàn)；企業(yè)的安全管理部門主要是對安全問題的管理、計劃以及決策負責。也是企業(yè)的應急部門，要想避免企業(yè)信息的泄露，信息安全管理部門就必須加強對信息的管理；多聯(lián)系各個地區(qū)的信息機構(gòu)以及信息安全管理部門，這樣能給企業(yè)帶來新的信息安全管理觀念以及安全技術(shù)；采取信息安全報告制，定期的向管理部門匯報信息安全的保護狀況，對于一些重要的事件要及時的匯報，取得管理層對信息安全管理工作的支持。

在網(wǎng)絡工程發(fā)展的同時，電子信息也得到了發(fā)展，電子信息在企業(yè)的發(fā)展中有著重要的作用，企業(yè)對其也越發(fā)的依賴電子信息。但是這只是一個虛擬的場所，主要通過網(wǎng)絡這個載體來完成交易，因此安全技術(shù)問題成為了企業(yè)普遍關(guān)注的問題。

[參考文獻]

[1]陳光匡，興華.信息系統(tǒng)安全風險評估研究[J].網(wǎng)絡安全技術(shù)與應用，2009（7）.

[2]向宏，艾鵬，等.電子政務系統(tǒng)安全域的劃分與等級保護[J].重慶工學院學報，2009（2）.