開篇：寫作不僅是一種記錄，更是一種創(chuàng)造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全管理策略，希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友，陪伴您不斷探索和進(jìn)步。

第1篇

關(guān)鍵詞：電子信息；信息安全；安全管理

在社會經(jīng)濟(jì)發(fā)展的沖擊下，電子信息技術(shù)在社會生活與生產(chǎn)中已被廣泛應(yīng)用，給社會生產(chǎn)注入了新的力量。電子信息技術(shù)在為人們的生活帶來便利的同時(shí)，其發(fā)展也面臨一定的挑戰(zhàn)。在科學(xué)技術(shù)快速發(fā)展的沖擊下，電子信息安全管理成為電子信息技術(shù)發(fā)展中的重點(diǎn)，也成為發(fā)展需要重點(diǎn)解決的問題。因此，研究電子信息安全管理具有很大的現(xiàn)實(shí)意義，可以為電子信息技術(shù)更好的發(fā)展提供有利條件。

1電子信息、信息安全的相關(guān)概念

電子信息技術(shù)是時(shí)展下一門新型的計(jì)算機(jī)技術(shù)，主要負(fù)責(zé)對電子信息進(jìn)行處理與控制，是對計(jì)算機(jī)現(xiàn)代化技術(shù)的靈活應(yīng)用。電子信息技術(shù)需要收集、存儲與傳輸信息，實(shí)現(xiàn)對信息數(shù)據(jù)的傳輸與共享，對電子設(shè)備的運(yùn)行也發(fā)揮著很大的作用，充分發(fā)揮信息數(shù)據(jù)的優(yōu)勢。電子信息技術(shù)在應(yīng)用過程中，需要形成一個(gè)體系完善的信息系統(tǒng)，設(shè)計(jì)與開發(fā)信息系統(tǒng)，使得電子信息可以更好發(fā)揮作用。信息安全主要是指利用一種加密技術(shù)，對電子信息進(jìn)行管理，并且保持信息的保密性、完整性和有效性，從而更好保證電子信息的安全。電子信息在收集、存儲與傳輸?shù)倪^程中，易受到外界條件的影響與一些不法侵害而導(dǎo)致信息的流失，因此，就需要重點(diǎn)加強(qiáng)電子信息安全管理，對信息進(jìn)行安全管理，更好地保護(hù)信息。

2電子信息的安全因素

2.1完整性

在電子信息技術(shù)的發(fā)展中，電子信息的完整性是其中較為重要的部分，也是電子信息發(fā)展的關(guān)鍵。在電子信息的收集、存儲與傳輸過程中，電子信息會被隨意篡改，從而使得電子信息的完整性遭到破壞。在電子信息收集、存儲與傳輸?shù)倪^程中，還需要重點(diǎn)注意電子信息的流失問題，避免電子信息被盜取，而對電子信息造成不好的影響。電子信息的完整性是電子信息發(fā)展的基礎(chǔ)，可以為電子信息更好發(fā)展提供有利條件。

2.2機(jī)密性

電子信息的機(jī)密性是電子信息發(fā)展的核心所在，也是發(fā)展中不可忽視的問題。在企業(yè)與各部門之間的信息傳輸與交流過程中，一些電子信息的機(jī)密性是比較強(qiáng)的，信息的泄露對其生存與發(fā)展有著直接的影響，嚴(yán)重的還會導(dǎo)致企業(yè)與部門發(fā)展停滯。為了保證電子信息的機(jī)密性，就需要重點(diǎn)應(yīng)用電子信息安全管理技術(shù)，通過一些技術(shù)手段來對電子信息進(jìn)行加密，從而防止出現(xiàn)一些篡改、破壞、竊取信息的行為，增強(qiáng)電子信息的安全性。

2.3有效性

電子信息的傳播價(jià)值就在于電子信息的有效性，為各方面工作更好進(jìn)行提供更好的條件。電子信息的傳輸是為了更好實(shí)現(xiàn)信息的傳遞與共享，從而為一些社會生活與生產(chǎn)中的交易提供優(yōu)勢，也可以充分發(fā)揮信息傳輸?shù)淖饔谩τ谛畔鬏數(shù)挠行裕托枰獜?qiáng)化電子設(shè)備，保證硬件與網(wǎng)絡(luò)的安全，使得信息的傳輸更加安全，保證信息的有效性的同時(shí)，也為信息傳輸?shù)臅r(shí)效性提供保障。

3電子信息安全的隱患

3.1竊取信息

在信息傳輸?shù)倪^程中，會有一些竊取信息的行為，會導(dǎo)致信息泄露與流失，從而對電子信息保密性與完整性造成影響。一些技術(shù)手段較高的黑客可以在信息傳輸過程中攔截信息，就可以獲取一定的信息量。信息數(shù)據(jù)是有一定的規(guī)律的，黑客往往通過所盜取的信息就可以分析出全部的信息，進(jìn)而完成對信息的竊取。黑客竊取電子信息是有一定手段的，對電子信息的安全影響比較大，一些信息的泄露與流失會對企業(yè)造成很大的影響，甚至?xí){到企業(yè)的生存與發(fā)展。

3.2篡改信息

在信息傳輸?shù)倪^程中，除了盜取信息外，還會隨意篡改信息。隨意篡改信息，在很大程度上會破壞信息的完整性。信息被隨意篡改，就會使得信息不準(zhǔn)確，接收者就會接收到錯誤的信息，從而對接收者造成很大的影響，接收者可能會作出一些錯誤的判斷與決策。隨意篡改信息，主要對接收者造成影響，不能充分發(fā)揮信息的優(yōu)勢。

3.3信息假冒

信息假冒是冒充合法用戶接收與傳輸信息，向接收者發(fā)送自己編造的信息，從而對接收者造成誤導(dǎo)。信息假冒一般是攔截合法的信息，然后再以信息傳輸?shù)暮戏ㄓ脩舻纳矸菥幵煨畔ⅲ^而將假的信息傳輸給接收者。或者可以不用攔截信息，可以直接冒充身份編造信息，例如偽造用戶或商戶的收、定貨單據(jù)等。

3.4信息破壞

信息破壞是一種破壞性較大的行為，一般破壞者會直接侵入用戶的網(wǎng)絡(luò)，通過一些病毒來控制用戶的網(wǎng)絡(luò)，從而可以修改權(quán)限，對用戶的網(wǎng)絡(luò)造成較為嚴(yán)重的破壞。信息破壞所造成的影響是比較大的，嚴(yán)重的會造成網(wǎng)絡(luò)癱瘓，后期的網(wǎng)絡(luò)修復(fù)工作難度也比較大，極不利于電子信息的傳輸。

4電子信息安全技術(shù)

4.1防火墻技術(shù)

隨著社會的進(jìn)步、科學(xué)技術(shù)的發(fā)展，網(wǎng)絡(luò)成為人們社會生活與生產(chǎn)中較為重要的部分，在社會生活與生產(chǎn)中也發(fā)揮著很大的作用。防火墻技術(shù)在網(wǎng)絡(luò)中的應(yīng)用比較廣泛，主要用于防止黑客與病毒對網(wǎng)絡(luò)安全造成威脅與破壞。網(wǎng)絡(luò)黑客與病毒會入侵網(wǎng)絡(luò)，而防火墻技術(shù)在一定程度上可以對其進(jìn)行攔截，這是網(wǎng)絡(luò)安全運(yùn)行最基礎(chǔ)的保障措施。對于網(wǎng)絡(luò)運(yùn)行中隨意篡改信息的現(xiàn)象，防火墻技術(shù)也可以發(fā)揮作用，避免這種現(xiàn)象的發(fā)生，在一定程度上保證網(wǎng)絡(luò)運(yùn)行的安全。

4.2加密技術(shù)

加密技術(shù)在電子信息安全管理中的應(yīng)用也比較廣泛，一般主要對電子信息進(jìn)行加密處理。加密技術(shù)主要有公開密鑰和私用密鑰，私用密鑰主要用于信息的加密，而公開密鑰主要用于信息的解密，兩者是相匹配的，如果兩者不能匹配，則沒有查看信息的權(quán)限。加密技術(shù)對電子信息的安全保障程度較高，因?yàn)樗接妹荑€加密信息是以密文的形式進(jìn)行的，在對信息進(jìn)行解密時(shí)，公開密鑰就會把密文翻譯為文字，從而加強(qiáng)對信息安全的管理，在發(fā)生信息被竊取現(xiàn)象時(shí)，也不用擔(dān)心信息泄露與流失。

4.3認(rèn)證技術(shù)

認(rèn)證技術(shù)分為消息認(rèn)證、身份認(rèn)證和生物認(rèn)證三種類型，每個(gè)類型的作用都是不同的。消息認(rèn)證是通過用戶名與密碼的形式對信息進(jìn)行加密的認(rèn)證方式，這種方式的安全沒有保障，用戶名與密碼易被竊取。身份認(rèn)證的針對性比較強(qiáng)，一般用于特殊身份的認(rèn)證，如學(xué)校學(xué)生這種用戶身份，只有符合身份特征的人，才可以查看信息。生物認(rèn)證的安全性比較高，一般用人的身體特征如虹膜、指紋等作為認(rèn)證特征。身份認(rèn)證的安全性是最高的，但是其投資建設(shè)成本比較高，在當(dāng)前的電子信息安全管理中并沒有被廣泛應(yīng)用。

5提高電子信息安全性的策略

5.1提高電子信息安全認(rèn)識

網(wǎng)絡(luò)在社會生活與生產(chǎn)中已被廣泛應(yīng)用，加強(qiáng)網(wǎng)絡(luò)中信息安全管理工作是十分重要的，也發(fā)揮著很大的作用。首先，要對電子信息安全管理有正確的認(rèn)識，并且提高對其的重視，根據(jù)網(wǎng)絡(luò)發(fā)展的現(xiàn)狀與其中存在的問題，優(yōu)化電子信息安全管理技術(shù)。其次，要根據(jù)電子信息安全管理的需要，靈活應(yīng)用電子信息安全管理技術(shù)，充分發(fā)揮技術(shù)的優(yōu)勢，為電子信息安全提供保障。

5.2構(gòu)建電子信息安全管理體制

電子信息安全管理工作的進(jìn)行離不開較為完善且全面的安全管理體制，安全管理體制是工作進(jìn)行的前提，可以為電子信息安全管理工作更好進(jìn)行提供基礎(chǔ)與指導(dǎo)。在對電子信息進(jìn)行安全管理的過程中，要加強(qiáng)對電子信息的研究，并且深入了解電子信息安全管理技術(shù)的實(shí)質(zhì)與要求。首先，制定較為科學(xué)合理的制度規(guī)范網(wǎng)絡(luò)行為與現(xiàn)象，避免網(wǎng)絡(luò)混亂而對信息安全造成影響。其次，通過較為合理的制度，綜合各方面的影響因素，再根據(jù)信息安全管理技術(shù)的要求，形成較為具體、全面的管理體制。一種較為系統(tǒng)的管理體系，可以使得工作的進(jìn)行更加有序，也可以避免一些病毒和黑客的入侵，促進(jìn)電子信息安全管理工作更好進(jìn)行。

5.3培養(yǎng)電子信息安全專業(yè)人才

專業(yè)人才對于工作的進(jìn)行有著直接的影響，也需要重點(diǎn)關(guān)注。電子信息安全管理技術(shù)在當(dāng)前的發(fā)展中取得了很大的成效，但是，電子信息安全專業(yè)人才相對較為缺乏，使得技術(shù)的應(yīng)用與管理受到了一定的限制。隨著科學(xué)技術(shù)的發(fā)展，電子信息安全管理技術(shù)對于人才的要求提高，需要有較強(qiáng)的專業(yè)性。在電子信息安全專業(yè)人才培養(yǎng)中，首先對人才的選拔有嚴(yán)格要求，繼而對人才進(jìn)行重點(diǎn)的培訓(xùn)，提高其專業(yè)水平。還可以將一定的資金用于國外技術(shù)的學(xué)習(xí)，根據(jù)自身發(fā)展的實(shí)際情況，提高人才的綜合能力。還需要對人才進(jìn)行思想教育，提高其對信息安全管理的重視，并且提高其責(zé)任感。在日常的工作中，定期對人才進(jìn)行審核，規(guī)范其行為，促進(jìn)綜合素質(zhì)的提高。

5.4定期評估、改進(jìn)安全防護(hù)軟件系統(tǒng)

評估工作在電子信息安全管理工作的進(jìn)行與發(fā)展中是十分重要的，也是非常關(guān)鍵的。社會在不斷發(fā)展，技術(shù)也在不斷更新，評估工作可以為改進(jìn)工作提供依據(jù)與方向。在電子信息安全管理中，定期評估安全防護(hù)軟件系統(tǒng)，可以發(fā)現(xiàn)安全管理中存在的不足與發(fā)展的優(yōu)勢，對于存在的不足，可以以人們的評估為依據(jù)，對問題進(jìn)行處理，更好滿足人們的需要。在工作中還需要不斷積累經(jīng)驗(yàn)，改進(jìn)與優(yōu)化電子信息安全管理技術(shù)，充分發(fā)揮技術(shù)的優(yōu)勢，促進(jìn)管理工作更好進(jìn)行。

6結(jié)語

在時(shí)展潮流的沖擊下，電子信息存在一定的安全隱患，電子信息安全管理引起了人們的關(guān)注。在電子信息安全管理工作中，需要深度研究電子信息發(fā)展的情況與安全影響因素，并且有針對性地解決，為電子信息提供安全保障。網(wǎng)絡(luò)技術(shù)也是在不斷發(fā)展與更新的，也需要創(chuàng)新網(wǎng)絡(luò)技術(shù)，為電子信息安全管理工作的進(jìn)行提供有利條件。

參考文獻(xiàn)

[1]陳越我.信息時(shí)代背景下的電子信息安全管理探討[J].通訊世界,2015(16):184-185.

第2篇

摘 要：在現(xiàn)階段的發(fā)展中，已經(jīng)完全進(jìn)入到網(wǎng)絡(luò)時(shí)代，幾乎所有的工作實(shí)施，都是依靠網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)技術(shù)來進(jìn)行實(shí)施的。為了能夠在今后的網(wǎng)絡(luò)環(huán)境下，實(shí)現(xiàn)工作水平的大幅度提升，必須將企業(yè)信息安全管理更好的鞏固，要求在管理的策略和具體手段上，告別既往的多項(xiàng)不足，要創(chuàng)造出較高的價(jià)值。文章就此展開討論，并提出合理化建議。

關(guān)鍵詞：網(wǎng)絡(luò)環(huán)境；企業(yè)；信息安全；管理

從客觀的角度來分析，企業(yè)信息安全管理在開展的過程中，有很多工作的實(shí)施，都不能利用單一的手段來完成。現(xiàn)如今的信息安全，已經(jīng)成為了全社會都非常矚目的內(nèi)容，如果在最終的工作上表現(xiàn)為缺失現(xiàn)象，不僅容易造成強(qiáng)烈的隱患和沖突，還會對很多領(lǐng)域的發(fā)展構(gòu)成嚴(yán)重的威脅，這是需要在日后工作中積極面對的，不能有任何的嚴(yán)重?fù)p失。

一、網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理現(xiàn)狀

1.建立信息安全管理體系框架

從已經(jīng)掌握的情況來看，很多地方的企業(yè)信息安全管理，都在不斷的建立信息安全管理w系框架，希望由此來對網(wǎng)絡(luò)環(huán)境做出更好的優(yōu)化處理，實(shí)現(xiàn)企業(yè)信息安全管理的更大進(jìn)步。我國在現(xiàn)階段的發(fā)展中，正處于一個(gè)非常重要的階段，企業(yè)更加是國家的核心組成部分，為了更好應(yīng)對網(wǎng)絡(luò)環(huán)境所帶來的挑戰(zhàn)，在相關(guān)的政策、規(guī)范頒布上是比較突出的。例如，國務(wù)院辦公廳在現(xiàn)下的工作中，對于網(wǎng)絡(luò)環(huán)境開展了深入的分析，同時(shí)先后頒布了特別多的政策、法令，對于信息安全等級評估保護(hù)的具體措施、檢查核實(shí)方法等，都做出了明確的規(guī)范；對于使用單位信息安全管理制度，做出了進(jìn)一步的深化處理；直接引導(dǎo)、推進(jìn)了信息安全系統(tǒng)的持續(xù)應(yīng)用，在發(fā)展空間上得到了明顯的擴(kuò)大。

2.信息安全管理體系的審核

企業(yè)信息安全管理在開展的過程中，必須在網(wǎng)絡(luò)環(huán)境方面深入的關(guān)注，絕對不能有任何的違背現(xiàn)象發(fā)生。從既往的工作來看，有些企業(yè)對于信息安全管理，總是追求短期上的效果，對長期的規(guī)劃表現(xiàn)不足，雖然很大程度上對網(wǎng)絡(luò)環(huán)境做出了充分的利用，但實(shí)際上創(chuàng)造的價(jià)值，還是有待提升的。鑒于這種現(xiàn)象的發(fā)生，網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理，開始不斷的做出變革，特別是在信息安全管理體系的審核上，基本上是按照最嚴(yán)格的方法來完成的。例如，在ISMS審核過程中，其主要指的是，機(jī)構(gòu)為驗(yàn)證所有安全程序，采用的系統(tǒng)的、獨(dú)立的檢查和評價(jià)。通過開展ISMS審核處理，能夠?qū)ι暾堈J(rèn)證的單位，提供較多的支持與幫助，在企業(yè)信息安全管理方面有綜合的判定與分析。除此之外，ISMS審核工作的開展，還表現(xiàn)為突出的自我保證手段，其能夠?qū)⒍囗?xiàng)問題做出一個(gè)明確的分析，無論是在波及范圍上，還是在具體的處理方式上，都能夠給予較多的參考和指導(dǎo)，很少出現(xiàn)嚴(yán)重的偏差。

二、網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理的對策

1.物理安全管理

在現(xiàn)階段的發(fā)展中，網(wǎng)絡(luò)環(huán)境已經(jīng)成為了不可扭轉(zhuǎn)的趨勢，想要在今后的企業(yè)信息安全管理中取得理想的效果，必須將網(wǎng)絡(luò)環(huán)境有效的利用，在硬性規(guī)范下，針對物理安全管理持續(xù)的加強(qiáng)，這是實(shí)踐方面的工作，不能有任何的忽視。簡單而言，物理安全管理在開展的過程中，會將信息系統(tǒng)開展全面的檢查分析，包括信息系統(tǒng)的保密性、完整性、可用性等等，會在相關(guān)的硬件設(shè)施上、線路上，都做出詳細(xì)的分析，而后提交相應(yīng)的物理安全管理報(bào)告。企業(yè)根據(jù)這份報(bào)告，再結(jié)合客觀實(shí)際以后，決定具體的改善辦法。在除此之外，物理安全管理在開展的過程中，對于企業(yè)網(wǎng)絡(luò)工程的設(shè)計(jì)、施工等，都會產(chǎn)生較大的幫助。現(xiàn)下的很多企業(yè)信息安全管理，都會在網(wǎng)絡(luò)工程方面投入較多的努力，為了更好的協(xié)調(diào)網(wǎng)絡(luò)工程的硬件設(shè)備、網(wǎng)絡(luò)體系等，必須在網(wǎng)絡(luò)設(shè)備的安全性、可靠性方面提升。例如，通過物理安全管理的實(shí)施，能夠針對網(wǎng)絡(luò)設(shè)備、系統(tǒng)的運(yùn)作空間做出分析，在溫度、濕度等物理因素上積極的把控，避免造成嚴(yán)重的損失。

2.人員安全管理

在企業(yè)信息安全管理當(dāng)中，網(wǎng)絡(luò)環(huán)境下的誘惑較多，同時(shí)在相關(guān)的影響因素上，也在不斷的增加。為了確保在企業(yè)信息安全管理方面，能夠按照科學(xué)的方向來前進(jìn)，有必要將人員安全管理更好的改善，針對多項(xiàng)工作的實(shí)施，都要從長遠(yuǎn)的角度來出發(fā)，這樣才能更好的提高管理水平。首先，所有的工作人員，在相應(yīng)的權(quán)限上都要積極的設(shè)定，要避免企業(yè)信息安全管理的員工權(quán)限混亂現(xiàn)象，達(dá)到相互之間的制衡效果，避免在信息方面出現(xiàn)嚴(yán)重的泄漏。其次，對于人員安全管理，有必要開展技術(shù)性的專業(yè)培訓(xùn)，要求列舉大量的技術(shù)案例分析，讓所有的工作人員意識到，錯誤的工作方法，以及某些極端的行為，會給企業(yè)帶來嚴(yán)重的損失，部分情況下，甚至?xí)a(chǎn)生法律上的責(zé)任和問題，要求員工在態(tài)度上，以及工作實(shí)踐上，都可以嚴(yán)格的要求自己，而后對將來的工作負(fù)責(zé)。第三，必須積極的招聘、引進(jìn)網(wǎng)絡(luò)人才，將企業(yè)信息安全管理的體系不斷健全，尤其是在網(wǎng)絡(luò)平臺的打造、客戶端的建設(shè)、日常信息管理措施的實(shí)施上，都要形成良性工作循環(huán)。

3.軟件應(yīng)用和系統(tǒng)安全管理

網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理，表現(xiàn)為持續(xù)進(jìn)步的特點(diǎn)，根本不可能長久維持在固有的水平上。我們在實(shí)施企業(yè)信息安全管理的過程中，對于軟件應(yīng)用和系統(tǒng)安全管理，必須不斷的加深研討，要從多個(gè)角度出發(fā)，創(chuàng)造出較高的價(jià)值。首先，軟件應(yīng)用上，企業(yè)必須根據(jù)自身的需求，為不同層級、不同部門的員工，選定差異化的工作軟件，要提高工作質(zhì)量和工作效率。同時(shí)，對于軟件本身的分析要不斷的拓展，從是否付費(fèi)、是否存在軟件沖突、是否具備較高的兼容性等方面，均要進(jìn)行大量的探討，要防止造成工作上的嚴(yán)重疏漏，提高工作效率。其次，對于系統(tǒng)安全管理而言，必須堅(jiān)持定期維護(hù)、更新，要求從外部聘請專業(yè)人員，進(jìn)行系統(tǒng)的積極分析和測試，發(fā)現(xiàn)問題后，及時(shí)的采用網(wǎng)絡(luò)技術(shù)來彌補(bǔ)，同時(shí)增加相應(yīng)的軟件防護(hù)和程序補(bǔ)丁，促使系統(tǒng)的日常運(yùn)營，能夠達(dá)到更加穩(wěn)定的目標(biāo)。

4.設(shè)備的運(yùn)行與安全管理

除了上述的幾項(xiàng)工作內(nèi)容外，企業(yè)信息安全管理在實(shí)施的過程中，還需要在設(shè)備的運(yùn)行與安全管理上投入較多的努力。當(dāng)下的設(shè)備研究力度有所加深，特別是在重要元件上，市場上的更新?lián)Q代速度不斷的加快，企業(yè)必須對設(shè)備本身、設(shè)備元件開展積極的分析，不能盲目的跟風(fēng)更換，也不能長久的維持在既有的水準(zhǔn)上，要確保設(shè)備的運(yùn)行，能夠長期保持在高效狀態(tài)，可以將安全管理工作更好的改善，減少矛盾。網(wǎng)絡(luò)系統(tǒng)穩(wěn)定高效的運(yùn)行，對于企業(yè)來說是非常重要的。企業(yè)要加強(qiáng)對網(wǎng)絡(luò)的科學(xué)管理，及時(shí)排除網(wǎng)絡(luò)故障，對設(shè)備、運(yùn)行安全進(jìn)行全方位管理，是保障信息系統(tǒng)安全的重要前提。設(shè)備、運(yùn)行安全管理包括設(shè)備的選型、檢測、安裝、登記、使用、維修、儲存以及故障管理、性能管理、變更管理和排障工具等。隨著網(wǎng)絡(luò)普及和企業(yè)信息化業(yè)務(wù)的不斷拓展，信息成為一種重要的戰(zhàn)略資源，信息安全保障能力成為一個(gè)企業(yè)綜合能力的重要組成部分。

三、總結(jié)

本文對網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理展開討論，現(xiàn)階段的工作實(shí)施中，整體上得到的效果比較顯著，未表現(xiàn)出嚴(yán)重的隱患。日后，應(yīng)該在網(wǎng)絡(luò)環(huán)境方面不斷的優(yōu)化，將企業(yè)信息安全管理的體系不斷的健全。除此之外，在開展企業(yè)信息安全管理時(shí)，一定要持續(xù)性的實(shí)施，要不斷的跟隨國家倡導(dǎo)內(nèi)容，對社會潮流做出把控，在重點(diǎn)工作上積極的提升。

參考文獻(xiàn)：

[1]于倩，李靈君.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理的對策分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017，（01）：16-17.

[2]錢濃林，洪芳華，朱利軍，肖鋒，徐F欣.”互聯(lián)網(wǎng)+“環(huán)境下企業(yè)信息安全管理策略[J].經(jīng)營與管理，2017，（01）：128-130.

[3]張黎明.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理的對策分析[J].商，2016，（19）：2.

[4]宋晴.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理對策研究[J].通訊世界，2015，（14）：256.

第3篇

(北京中油瑞飛信息技術(shù)有限責(zé)任公司北京100007)

摘要：通過對大中型跨國企業(yè)海外信息安全體系的研究，形成了一個(gè)完整的海外信息安全體系框架，包括安全策略、安全技術(shù)體系、安全管理體系、運(yùn)行保障體系和建設(shè)實(shí)施規(guī)劃等。依照該框架，企業(yè)可以針對各部分進(jìn)行具體實(shí)施，從而完成整個(gè)的海外信息安全建設(shè)。

關(guān)鍵詞 ：大中型企業(yè)；信息安全體系；框架；理論指導(dǎo)；安全模型

1海外信息安全體系建設(shè)原則

大中型企業(yè)海外信息安全體系的建設(shè)，涉及面廣、工作量大，整體設(shè)計(jì)必須堅(jiān)持以下的原則，以保證建設(shè)和運(yùn)營的效果。

1.1統(tǒng)一規(guī)劃管理

要對信息安全體系建設(shè)進(jìn)行統(tǒng)一的規(guī)劃，制定信息安全體系框架，明確保障體系中所包含的內(nèi)容。同時(shí)，還要制定統(tǒng)一的信息安全建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，使得信息安全體系建設(shè)遵循一致的標(biāo)準(zhǔn)、管理遵循一致的規(guī)范。

1.2分步有序?qū)嵤?/p>

信息安全體系建設(shè)的內(nèi)容龐雜，必須堅(jiān)持分步有序的實(shí)施原則，循序漸進(jìn)。

1.3技術(shù)管理并重

僅有全面的安全技術(shù)和機(jī)制是遠(yuǎn)遠(yuǎn)不夠的，安全管理也具有同樣的重要性。信息安全體系的建設(shè)，必須遵循安全技術(shù)和安全管理并重的原則，制定統(tǒng)一的安全建設(shè)管理規(guī)范，指導(dǎo)安全管理工作。

1.4突出安全保障

信息安全體系建設(shè)要突出安全保障的重要性，通過數(shù)據(jù)備份、冗余設(shè)計(jì)、應(yīng)急響應(yīng)、安全審計(jì)、災(zāi)難恢復(fù)等安全保障機(jī)制，保障業(yè)務(wù)的持續(xù)性和數(shù)據(jù)的安全性。

2海外信息安全體系建設(shè)目標(biāo)

大型跨國企業(yè)海外信息安全的建設(shè)目標(biāo)是：基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo)，提供全面的安全服務(wù)內(nèi)容，覆蓋從物理、網(wǎng)絡(luò)、系統(tǒng)直至數(shù)據(jù)和應(yīng)用平臺各個(gè)層面，以及保護(hù)、檢測、響應(yīng)、恢復(fù)等各個(gè)環(huán)節(jié)，構(gòu)建全面、完整、高效的信息安全體系，從而提高企業(yè)信息系統(tǒng)的整體安全等級，為企業(yè)海外業(yè)務(wù)發(fā)展提供堅(jiān)實(shí)的信息安全保障。

3海外信息安全體系框架

企業(yè)進(jìn)行信息安全建設(shè)的目標(biāo)是建立起一個(gè)全面、有效的信息安全體系，包括了安全技術(shù)、安全管理、人員組織、教育培訓(xùn)、資金投入等關(guān)鍵因素，信息安全建設(shè)的內(nèi)容多，規(guī)模大，必須進(jìn)行全面的統(tǒng)籌規(guī)劃，明確信息安全建設(shè)的工作內(nèi)容、技術(shù)標(biāo)準(zhǔn)、組織機(jī)構(gòu)、管理規(guī)范、人員崗位配備、實(shí)施步驟、資金投入，才能夠保證信息安全建設(shè)有序可控地進(jìn)行，使信息安全體系發(fā)揮最優(yōu)的保障效果。

同時(shí)還應(yīng)該制定一系列的安全管理規(guī)范，指導(dǎo)信息安全建設(shè)和運(yùn)營工作，使得信息安全建設(shè)能夠依據(jù)統(tǒng)一的標(biāo)準(zhǔn)開展，信息安全體系的運(yùn)營和維護(hù)能夠遵循統(tǒng)一的規(guī)范進(jìn)行。

3.1安全目標(biāo)模型

根據(jù)大型跨國企業(yè)海外信息安全體系建設(shè)目標(biāo)和總體安全策略，建立與之對應(yīng)的目標(biāo)模型，稱為WP2DRR安全模型。該模型由預(yù)警（ Warning）、策略(Policy)、保護(hù)（Protectlon）、檢測（Detection）、響應(yīng)(Response)、恢復(fù)（Recovery）6個(gè)要素環(huán)節(jié)構(gòu)成了一個(gè)基于時(shí)間的、完整的、動態(tài)的信息安全體系。WP2DRR模型在P2DR模型的基礎(chǔ)上新增加了預(yù)警Warnlng和恢復(fù)Recover，增強(qiáng)了安全保障體系的事前預(yù)防和事后恢復(fù)能力，系統(tǒng)一旦發(fā)生安全事故，也能恢復(fù)系統(tǒng)功能和數(shù)據(jù)，恢復(fù)系統(tǒng)的正常運(yùn)行。

安全目標(biāo)模型是信息安全體系框架的基礎(chǔ)，大型跨國企業(yè)的海外信息安全體系框架應(yīng)該緊密圍繞安全模型的6個(gè)要素環(huán)節(jié)進(jìn)行設(shè)計(jì)，每個(gè)要素環(huán)節(jié)的功能都在安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系中體現(xiàn)出來。

3.2信息安全體系框架組成

通過對企業(yè)的網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀、安全現(xiàn)狀、面臨的安全風(fēng)險(xiǎn)的分析，根據(jù)安全保障目標(biāo)模型，制定了大型跨國企業(yè)海外信息安全體系框架。制定該框架的目的在于從宏觀上指導(dǎo)和管理信息安全體系的建設(shè)和運(yùn)營。

該框架由一組相互關(guān)聯(lián)、相互作用、相互彌補(bǔ)、相互推動、相互依賴、不可分割的信息安全保障要素組成。此框架中，以安全策略為指導(dǎo)，融會了安全技術(shù)、安全管理和運(yùn)行保障3個(gè)層次的安全體系，以達(dá)到系統(tǒng)可用性、可控性、抗攻擊性、完整性、保密性的安全目標(biāo)。大型跨國企業(yè)海外信息安全體系框架的總體結(jié)構(gòu)如圖1所示。

3.2.1安全策略

在這個(gè)框架中，安全策略是指導(dǎo)，與安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系這3大體系相互作用。一方面，3大體系是在安全策略的指導(dǎo)下構(gòu)建的，主要是要將安全策略中制定的各個(gè)要素轉(zhuǎn)化成為可行的技術(shù)實(shí)現(xiàn)方法和管理、運(yùn)行保障手段，全面實(shí)現(xiàn)安全策略中所制定的目標(biāo)。另一方面，安全策略本身也有包括草案設(shè)計(jì)、評審、實(shí)施、培訓(xùn)、部署、監(jiān)控、強(qiáng)化、重新評佶、修訂等步驟在內(nèi)的生命周期，需要采用一些技術(shù)方法和管理手段進(jìn)行管理，保證安全策略的及時(shí)性和有效性。

按照要保障的資產(chǎn)對象的不同，總體策略劃分為物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、病毒防治、身份認(rèn)證、應(yīng)用授權(quán)和訪問控制、數(shù)據(jù)加密、數(shù)據(jù)備份和災(zāi)難恢復(fù)、應(yīng)急響應(yīng)、教育培訓(xùn)等若干方面進(jìn)行闡述。

隨著技術(shù)的發(fā)展以及系統(tǒng)的升級、調(diào)整，安全策略也應(yīng)該進(jìn)行重新評估和制定，隨時(shí)保持策略與安全目標(biāo)的一致性。

3.2.2安全技術(shù)體系

安全技術(shù)體系是整個(gè)信息安全體系框架的基礎(chǔ)，包括了安全基礎(chǔ)設(shè)施平臺、安全應(yīng)用系統(tǒng)平臺和安全綜合管理平臺這3個(gè)部分，以統(tǒng)一的信息安全基礎(chǔ)設(shè)施平臺為支撐，以統(tǒng)一的安全系統(tǒng)應(yīng)用平臺為輔助，在統(tǒng)一的綜合安全管理平臺管理下的技術(shù)保障體系框架。

安全基礎(chǔ)設(shè)施平臺是以安全策略為指導(dǎo)，立足于現(xiàn)有的成熟安全技術(shù)和安全機(jī)制，從物理和通信安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、主機(jī)系統(tǒng)安全防護(hù)、應(yīng)用安全防護(hù)等多個(gè)層次出發(fā)，建立起的一個(gè)各個(gè)部分相互協(xié)同的完整的安全技術(shù)防護(hù)體系。

應(yīng)用信息系統(tǒng)通過使用安全基礎(chǔ)設(shè)施平臺所提供的各類安全服務(wù)，提升自身的安全等級，以更加安全的方式，提供業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)。安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機(jī)制與安全設(shè)備，對這些安全機(jī)制和安全設(shè)備進(jìn)行統(tǒng)一的管理和控制，負(fù)責(zé)管理和維護(hù)安全策略，配置管理相應(yīng)的安全機(jī)制，確保這些安全技術(shù)與設(shè)施能夠按照設(shè)計(jì)的要求協(xié)同運(yùn)作，可靠運(yùn)行。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與備類安全技術(shù)、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁，使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實(shí)現(xiàn)無縫連接，促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化，使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過渡向安全的信息系統(tǒng)應(yīng)用體系。

統(tǒng)一的安全管理平臺有助于各種安全管理技術(shù)手段的相互補(bǔ)充和有效發(fā)揮，也便于從系統(tǒng)整體的角度來進(jìn)行安全的監(jiān)控和管理，從而提高安全管理工作的效率，使人為的安全管理活動參與量大幅下降。

3.2.3安全管理體系

安全組織和管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障，安全管理體系的設(shè)計(jì)立足于總體安全策略，并與安全技術(shù)體系相互配合，增強(qiáng)技術(shù)防護(hù)體系的效率和效果，同時(shí)也彌補(bǔ)當(dāng)前技術(shù)無法完全解決的安全缺陷。

技術(shù)和管理是相互結(jié)合的。一方面，安全防護(hù)技術(shù)措施需要安全管理措施來加強(qiáng)，另一方面技術(shù)也是對管理措施貫徹執(zhí)行的監(jiān)督手段。在大型跨國企業(yè)海外信息安全體系框架中，安全管理體系的設(shè)計(jì)充分參考和借鑒了國際信息安全管理標(biāo)準(zhǔn)《BS7799 (IS017799)》的建議。

大型跨國企業(yè)海外信息安全管理體系由若干信息安全管理類組成，每項(xiàng)信息安全管理類可分解為多個(gè)安全目標(biāo)和安全控制。每個(gè)安全目標(biāo)都有若干安全控制與其相對應(yīng)，這些安全控制是為了達(dá)成相應(yīng)安全目標(biāo)的管理工作和要求。

3.2.4運(yùn)行保障體系

運(yùn)行與保障體系由安全技術(shù)和安全管理緊密結(jié)合的內(nèi)容所組成，包括了系統(tǒng)可靠性設(shè)計(jì)、系統(tǒng)數(shù)據(jù)的備份計(jì)劃、安全事件的應(yīng)急響應(yīng)計(jì)劃、安全審計(jì)、災(zāi)難恢復(fù)計(jì)劃等，運(yùn)行和保障體系對于企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)的可持續(xù)性運(yùn)營提供了重要的保障手段。

3.2.5建設(shè)實(shí)施規(guī)劃

建設(shè)實(shí)施規(guī)劃是在安全管理體系、安全技術(shù)體系、運(yùn)行保障體系設(shè)計(jì)的基礎(chǔ)上進(jìn)一步制定的建設(shè)步驟和實(shí)施方案。在建設(shè)實(shí)施規(guī)劃中突出體現(xiàn)了分步有序?qū)嵤┑脑瓌t。

任何信息安全建設(shè)都需要人員負(fù)責(zé)管理和實(shí)施，因此，首先應(yīng)該建立信息安全工作監(jiān)管組織機(jī)構(gòu)，明確各級管理機(jī)構(gòu)的人員配備，職能和責(zé)任。其中信息安全管理機(jī)構(gòu)負(fù)責(zé)信息安全策略的審核與頒布、統(tǒng)一技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的制定、指導(dǎo)和監(jiān)督信息安全建設(shè)工作、對信息安全系統(tǒng)進(jìn)行監(jiān)控與審計(jì)管理。

信息安全體系建設(shè)，應(yīng)該首先從物理環(huán)境安全建設(shè)入手，確保機(jī)房建設(shè)按照的統(tǒng)一標(biāo)準(zhǔn)進(jìn)行建設(shè)，并且按照統(tǒng)一的管理規(guī)范進(jìn)行管理。

在接下來的網(wǎng)絡(luò)安全建設(shè)中，應(yīng)對計(jì)算機(jī)網(wǎng)絡(luò)的安全域進(jìn)行劃分，對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整，以確保內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)邊界清晰；在各安全域的邊界處部署防火墻、網(wǎng)絡(luò)入侵檢測等安全產(chǎn)品，形成立體的區(qū)域邊界保護(hù)機(jī)制，對各安全域進(jìn)行邏輯安全隔離，禁止未授權(quán)的網(wǎng)絡(luò)訪問；在內(nèi)部網(wǎng)絡(luò)中部署網(wǎng)絡(luò)脆弱性分析工具，定期對內(nèi)部網(wǎng)絡(luò)進(jìn)行檢查，并采取措施及時(shí)彌補(bǔ)新發(fā)現(xiàn)的安全漏洞。

在進(jìn)行網(wǎng)絡(luò)安全建設(shè)的同時(shí)，還可以進(jìn)行系統(tǒng)安全建設(shè)，在內(nèi)部網(wǎng)絡(luò)中全面部署網(wǎng)絡(luò)病毒查殺系統(tǒng)，有效抑制計(jì)算機(jī)病毒在內(nèi)部網(wǎng)絡(luò)中傳播，避免對系統(tǒng)和數(shù)據(jù)造成損害。另外，主機(jī)系統(tǒng)管理員還應(yīng)該按照主機(jī)系統(tǒng)管理規(guī)范的要求，借助主機(jī)脆弱性分析和安全加固工具，定期對主機(jī)系統(tǒng)進(jìn)行檢查，更新安全漏洞補(bǔ)丁的級別，修正不當(dāng)?shù)南到y(tǒng)和服務(wù)配置，查看和分析系統(tǒng)審計(jì)日志，控制和保證主機(jī)系統(tǒng)的良好安全狀態(tài)。

應(yīng)用安全建設(shè)包括建立身份認(rèn)證系統(tǒng)、應(yīng)用授權(quán)和訪問控制系統(tǒng)、數(shù)據(jù)安全傳輸系統(tǒng)等，對專業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)和內(nèi)部信息管理系統(tǒng)提供各種安全服務(wù)。

按照統(tǒng)一標(biāo)準(zhǔn)，建立安全審計(jì)與分析系統(tǒng)、系統(tǒng)和數(shù)據(jù)備份計(jì)劃、安全事件應(yīng)急響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃等安全保障機(jī)制，重在保護(hù)業(yè)務(wù)數(shù)據(jù)等信息資產(chǎn)，保證內(nèi)外應(yīng)用服務(wù)的持續(xù)可用性。

對所有員工進(jìn)行基本安全教育，為信息安全系統(tǒng)相關(guān)技術(shù)人員提供專門的安全理論和安全技能培訓(xùn)，提高全員的安全意識，打造一支高素質(zhì)的專業(yè)技術(shù)和管理隊(duì)伍。

4結(jié)論

海外信息安全體系是一個(gè)全方位的體系，從技術(shù)到管理、從網(wǎng)絡(luò)到設(shè)備再到人。任何一個(gè)方面都要考慮周全，只有每一個(gè)部分的安全才是整體的安全。

參考文獻(xiàn)

第4篇

作為一種新的經(jīng)濟(jì)模式，電子商務(wù)以高效、便捷、方便的優(yōu)勢和全新的企業(yè)經(jīng)營理念、經(jīng)營手段、經(jīng)營環(huán)境吸引著廣大用戶，為世界經(jīng)濟(jì)賦予了無限的發(fā)展空間。隨著電子商務(wù)應(yīng)用范圍的日益擴(kuò)大，針對電子商務(wù)的各種犯罪活動也19益猖獗。

國內(nèi)外調(diào)查顯示…，52．26％的用戶最關(guān)心的是網(wǎng)上交易的安全可靠性，超過6O％的人由于擔(dān)心電子商務(wù)的安全問題而不愿進(jìn)行網(wǎng)上購物。加強(qiáng)電子商務(wù)實(shí)施過程中的安全管理已經(jīng)成為促進(jìn)電子商務(wù)高速發(fā)展的重要因素。

電子商務(wù)的安全，可分為技術(shù)安全和管理安全兩種類型。所謂技術(shù)安全，是指通過各種黑客手段竊取企業(yè)的用戶lD、密碼以及相關(guān)的機(jī)密文件，甚至網(wǎng)絡(luò)銀行帳號、密碼等，給企業(yè)造成經(jīng)濟(jì)損失。而管理安全則是指缺乏對參與電子商務(wù)過程中各個(gè)環(huán)節(jié)的人員的管理預(yù)防手段，最終導(dǎo)致的電子商務(wù)安全事件。從美國的花旗銀行和中央情報(bào)局到中國的某家國有商業(yè)銀行，都有過由于內(nèi)部人員的違規(guī)和違法操作，導(dǎo)致數(shù)據(jù)被篡改和泄密的事件發(fā)生。

近幾年的電子商務(wù)安全案件表明：人員是網(wǎng)上交易安全管理中的最薄弱的環(huán)節(jié)，近年來我國計(jì)算機(jī)犯罪大都呈現(xiàn)內(nèi)部犯罪的趨勢，有的競爭對手利用企業(yè)招募新人的方式潛入對方企業(yè)，或利用不正當(dāng)?shù)姆绞绞召I企業(yè)網(wǎng)絡(luò)交易管理人員。有的電子商務(wù)從業(yè)人員從本企業(yè)辭職后，迅速把客戶資料、產(chǎn)品研發(fā)成果等機(jī)密出售給競爭對手，給企業(yè)帶來了不必要的經(jīng)濟(jì)損失。

2、原因分析

電子商務(wù)信息安全已經(jīng)引起很多企業(yè)的重視，但大多數(shù)企業(yè)往往側(cè)重于加強(qiáng)技術(shù)措施，如購買先進(jìn)的防火墻軟件，采用更高級的加密方法等，很多企業(yè)認(rèn)為：員工泄密的安全事故只是偶然現(xiàn)象，很少從人員管理的角度來探討出現(xiàn)這些事故的根本原因。“重技術(shù)、輕管理”是當(dāng)前很多電子商務(wù)企業(yè)的通病。由于管理手段不到位，很多先進(jìn)的安全技術(shù)無法發(fā)揮應(yīng)有的效能。之所以出現(xiàn)上述問題，主要有以下原因：

首先，很多企業(yè)管理高層對人員管理在信息安全中的地位認(rèn)識不足。大多數(shù)企業(yè)將電子商務(wù)網(wǎng)絡(luò)作為一項(xiàng)純粹的技術(shù)工程來實(shí)施，企業(yè)內(nèi)部缺乏系統(tǒng)的安全管理策略，只是被動的使用一些技術(shù)措施來進(jìn)行防御，因此電子商務(wù)過程中一旦出現(xiàn)突發(fā)性事件，往往造成很大的經(jīng)濟(jì)損失。現(xiàn)實(shí)中沒有一個(gè)網(wǎng)絡(luò)系統(tǒng)是完美無缺的，不安全因素隨時(shí)存在。因此，安全管理措施必須滲透到系統(tǒng)的每一個(gè)環(huán)節(jié)和企業(yè)組織的～個(gè)層面，只有構(gòu)建一個(gè)人與技術(shù)相結(jié)合的安全管理體系，才能確保整個(gè)電子商務(wù)系統(tǒng)得安全。

企業(yè)沒有從整體上、有計(jì)劃地考慮信息安全問題。企業(yè)各部門、各下屬機(jī)構(gòu)都存在“各自為政的局面，缺少統(tǒng)一規(guī)劃、設(shè)計(jì)和管理信息安全強(qiáng)調(diào)的是整體上的信息安全性，而不僅是某一個(gè)部門或公司的信息安全。而各部門、各公司又確實(shí)存在個(gè)體差異，對于不同業(yè)務(wù)領(lǐng)域來說，信息安全具有不同的涵義和特征，信息安全保障體系的戰(zhàn)略性必須涵蓋各部門和各公司的信息安全保障體系的相關(guān)內(nèi)容。

缺少信息安全管理配套的人力、物力和財(cái)力。人才是信息安全保障工作的關(guān)鍵。信息安全保障工作的專業(yè)性、技術(shù)性很強(qiáng)，沒有一批業(yè)務(wù)能力強(qiáng)，且具有信息網(wǎng)絡(luò)知識、信息安全技術(shù)、法律知識和管理能力的復(fù)合型人才和專門人才，就不可能做好信息安全保障工作。應(yīng)該從信息安全建設(shè)和管理對信息安全人才的實(shí)際需求出發(fā)，加快信息安全人才的培養(yǎng)。

企業(yè)對員工的信息安全教育不夠。員工的信息安全意識薄弱，9O％的安全事故是由于人為疏忽所造成。如有些企業(yè)不限制內(nèi)部人員使用各種高科技信息載體，如U盤、移動硬盤以及筆記本等移動辦公設(shè)備。

3、加強(qiáng)電子商務(wù)安全管理的建議

電子商務(wù)信息安全管理實(shí)踐表明，大多數(shù)安全問題是由于管理不善造成的。安全管理是一項(xiàng)系統(tǒng)工程，不僅涉及到企業(yè)的組織架構(gòu)、信息技術(shù)、人員素質(zhì)等各個(gè)方面，還牽扯到國家法律和商業(yè)規(guī)則。企業(yè)內(nèi)部存在著諸多影響信息安全的因素：改變lT系統(tǒng)不等于改變企業(yè)的信息安全管理，要使企業(yè)信息盡可能的安全，必須在技術(shù)投人的基礎(chǔ)上融人人在管理方面的智慧i同時(shí)，不僅要防外，更要防內(nèi)，即對組織內(nèi)部人員的管理。信息安全問題的解決需要技術(shù)，但又不能單純依靠技術(shù)。整個(gè)電子商務(wù)的交易過程，是人與技術(shù)相互融合的過程，如何使管理與技術(shù)相得益彰十分重要。“三分技術(shù)，七分管理”闡述了信息安全的本質(zhì)。

電子商務(wù)的安全管理，就是通過一個(gè)完整的綜合保障體系，來規(guī)避信息傳輸風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)，以保證網(wǎng)上交易的順利進(jìn)行。網(wǎng)上交易安全管理，應(yīng)采用綜合防范的思路，一是技術(shù)方面的考慮，如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密、身份認(rèn)證、授權(quán)等，但必須明確，只有技術(shù)措施并不能完全保證網(wǎng)上交易的安全。二是必須加強(qiáng)監(jiān)管，建立各種有關(guān)的合理制度，并加強(qiáng)嚴(yán)格監(jiān)督，如建立交易的安全制度、交易安全的實(shí)時(shí)監(jiān)控、提供實(shí)時(shí)改變安全策略的能力、對現(xiàn)有的安全系統(tǒng)漏洞的檢查以及安全教育等。為了加強(qiáng)企業(yè)電子商務(wù)的信息安全，我們提出如下建議：

(1)提高網(wǎng)絡(luò)安全防范意識。

現(xiàn)在許多企業(yè)沒有意識到互聯(lián)網(wǎng)的易受攻擊性，盲目相信國外的加密軟件，對于系統(tǒng)的訪問權(quán)限和密鑰缺乏有力度的管理。這樣的系統(tǒng)一旦受到攻擊將十分脆弱，其中的機(jī)密數(shù)據(jù)得不到應(yīng)有的保護(hù)。據(jù)調(diào)查，目前國內(nèi)90％的網(wǎng)站存在安全問題，其主要原因是企業(yè)管理者缺少或沒有安全意識。某些企業(yè)網(wǎng)絡(luò)管理員甚至認(rèn)為其公司規(guī)模較小，不會成為黑客的攻擊目標(biāo)，如此態(tài)度，網(wǎng)絡(luò)安全更是無從談起。應(yīng)該定期由公司或安全管理小組承辦信息安全講座，只有提高網(wǎng)絡(luò)安全防范意識，才能有效的減少信息安全事故的發(fā)生。

(2)建立電子商務(wù)安全管理組織體系。

一個(gè)完整的信息安全管理體系首先應(yīng)建立完善的組織體系。即建立由行政領(lǐng)導(dǎo)、IT技術(shù)主管、信息安全主管、本系統(tǒng)用戶代表和安全顧問組成的安全決策機(jī)構(gòu)。其職責(zé)是建立管理框架，組織審批安全策略、安全管理制度，指派安全角色，分配安全職責(zé)，并檢查安全職責(zé)是否已被正確履行，核準(zhǔn)新信息處理設(shè)施的啟用、組織安全管理專題會等。還應(yīng)建立由網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員、用戶管理員等組成的安全執(zhí)行機(jī)構(gòu)。該機(jī)構(gòu)負(fù)責(zé)起草網(wǎng)絡(luò)系統(tǒng)的安全策略、執(zhí)行批準(zhǔn)后的安全策略、日常的安全運(yùn)行和維護(hù)、定期的培訓(xùn)和安全檢查等。如果需要，還可建立安全顧問機(jī)構(gòu)。安全顧問機(jī)構(gòu)可聘請信息安全專家擔(dān)任系統(tǒng)安全顧問，負(fù)責(zé)提供安全建議，特別是在安全事故或違反安全策略事件發(fā)生后，可以被安全決策機(jī)構(gòu)指定負(fù)責(zé)事故(事件)調(diào)查，并為安全策略評審和評估提供意見。

(3)制定符合機(jī)構(gòu)安全需求的信息安全策略。電子商務(wù)交

易過程中，需要明確的安全策略主要包括客戶認(rèn)證策略、加密策略、日常維護(hù)策略、防病毒策略等安全技術(shù)方案的選擇。安全執(zhí)行機(jī)構(gòu)應(yīng)根據(jù)本信息網(wǎng)絡(luò)的實(shí)際情況制定相應(yīng)的信息安全策略，策略中應(yīng)明確安全的定義、目標(biāo)、范圍和管理責(zé)任，并制定安全策略的實(shí)施細(xì)則。安全策略文檔要由安全決策機(jī)構(gòu)審查、批準(zhǔn)，并和傳達(dá)給所有的人安全策略還應(yīng)由安全決策機(jī)構(gòu)定期進(jìn)行有效性審查和評估：在發(fā)生重大的安全事故、發(fā)現(xiàn)新的脆弱性、組織體系或技術(shù)上發(fā)生變更時(shí)，應(yīng)重新進(jìn)行安全策略的審查和評估。

(4)人員安全的管理和培訓(xùn)

參與網(wǎng)上交易的經(jīng)營管理人員在很大程度上支配著企業(yè)的命運(yùn)，他們承擔(dān)著防范網(wǎng)絡(luò)犯罪的任務(wù)。而計(jì)算機(jī)網(wǎng)絡(luò)犯罪同一般犯罪不同的是，他們具有智能性、隱蔽性、連續(xù)性、高效性的特點(diǎn)，因而，加強(qiáng)對有關(guān)人員的管理變得十分重要。首先，在人員錄用時(shí)應(yīng)做好人員鑒別，人員錄用或人員職位調(diào)整時(shí)，一般要簽署保密協(xié)議。當(dāng)人員到期離開或協(xié)議到期、工作終止時(shí)，要審查保密協(xié)議。其次對有關(guān)人員進(jìn)行上崗培訓(xùn)，建立人員培訓(xùn)計(jì)劃，定期組織安全策略和規(guī)程方面的培訓(xùn)。第三，落實(shí)工作責(zé)任制，在崗位職責(zé)中明確本崗位執(zhí)行安全政策的常規(guī)職責(zé)和本崗位保護(hù)特定資產(chǎn)、執(zhí)行特定安全過程或活動的特別職責(zé)，對違反網(wǎng)上交易安全規(guī)定的人員要進(jìn)行及時(shí)的處理。第四，貫徹網(wǎng)上交易安全運(yùn)作基本原則，包括職責(zé)分離、雙人負(fù)責(zé)、任期有限、最小權(quán)限、個(gè)人可信賴性等。

(5)增強(qiáng)法律意識，促進(jìn)電子商務(wù)立法

面對電子商務(wù)這種新型的貿(mào)易形式，我國目前尚無專門法規(guī)可依，使得部分違法犯罪人員沒有得到應(yīng)有的懲罰。近幾年里，國家加強(qiáng)了這方面的投入。在全國性的立法文件中，《合同法》的部分條款可以看作是針對電子商務(wù)的立法。此外，廣東省制定的《廣東省電子交易管理?xiàng)l例》這個(gè)地方性的法規(guī)可以看作是對加快我國電子商務(wù)立法的有益探索。《中華人民共和國電子簽名法》是對主要用于電子商務(wù)活動，電子政務(wù)等其他應(yīng)用應(yīng)該有新的適用法規(guī)。

盡管在電子商務(wù)信息安全立法方面取得了一些成就，但總的來說，我國的電子商務(wù)立法還很不健全，對電子商務(wù)活動的安全保護(hù)缺少直接性；相關(guān)立法比較分散，而且效力不高；對新出現(xiàn)的情況缺乏適應(yīng)能力；立法速度慢。這些都需要電子商務(wù)企業(yè)和國家有關(guān)部門不斷探索，共同促進(jìn)電子商務(wù)信息安全的法制環(huán)境建設(shè)。

第5篇

論文關(guān)鍵詞:信息系統(tǒng);安全管理;體系

現(xiàn)代金融業(yè)是基于信息、高度計(jì)算化、分散、相互依存的產(chǎn)業(yè),有人形象地把信息系統(tǒng)歸結(jié)為銀行業(yè)的“核心資本”。金融信息化帶來的是銀行業(yè)務(wù)信息系統(tǒng)在網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)關(guān)系、角色關(guān)系等方面的復(fù)雜化。而越是復(fù)雜的系統(tǒng),其安全風(fēng)險(xiǎn)就越高。在系統(tǒng)中每增加一種訪問的方式就增加了一些入侵的機(jī)會;每增加一些訪問的人群就引入了一些可能受到惡意破壞的風(fēng)險(xiǎn)。據(jù)2003年一項(xiàng)對全球前500家金融機(jī)構(gòu)的安全調(diào)查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受調(diào)查的機(jī)構(gòu)承認(rèn)2002年曾受到一定形式的系統(tǒng)攻擊;美國聯(lián)邦法院2004年所作的一系列有關(guān)信息犯罪的案件中,有多件涉及金融機(jī)構(gòu)。這些統(tǒng)計(jì)數(shù)字和報(bào)道出的事件,只是我們面臨信息系統(tǒng)安全威脅的冰山一角,因此加速建設(shè)金融信息系統(tǒng)中的安全保障體系變得更加緊迫。

長期以來,人們對保障信息系統(tǒng)安全的手段偏重于依靠技術(shù),從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、漏洞掃描、身份認(rèn)證等等。但事實(shí)上,僅僅依靠安全技術(shù)和安全產(chǎn)品保障信息系統(tǒng)安全的愿望卻往往難盡人意,許多復(fù)雜、多變的安全威脅和隱患靠安全產(chǎn)品是無法消除的。據(jù)有關(guān)部門統(tǒng)計(jì),在所有的計(jì)算機(jī)安全事件中,約有52%是人為因素造成的,25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起,技術(shù)錯誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡單歸類,屬于管理方面的原因比重高達(dá)6O%以上,而這些安全問題中的95%是可以通過科學(xué)的信息安全管理來避免。因此,加強(qiáng)安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證,是金融信息系統(tǒng)安全體系建設(shè)的重點(diǎn)。

1安全管理體系構(gòu)建

信息安全源于有效的管理,使技術(shù)發(fā)揮最佳效果的基礎(chǔ)是要有一定的信息安全管理體系,只有在建立防范的基礎(chǔ)上,加強(qiáng)預(yù)警、監(jiān)控和安全反擊,才能使信息系統(tǒng)的安全維持在一個(gè)較高的水平之上。因此,安全管理體系的建設(shè)是確保信息系統(tǒng)安全的重要基礎(chǔ),是金融信息系統(tǒng)安全保障體系建設(shè)最為重要的一環(huán)。為在金融信息系統(tǒng)中建立全新的安全管理機(jī)制,最可行的做法是技術(shù)與管理并重,安全管理法規(guī)、措施和制度與整體安全解決方案相結(jié)合,并輔之以相應(yīng)的安全管理工具,構(gòu)建科學(xué)、合理的安全管理體系。

金融信息系統(tǒng)安全管理體系是在金融信息系統(tǒng)安全保障整體解決方案基礎(chǔ)上構(gòu)建的,它包括信息安全法規(guī)、措施和制度,安全管理平臺及信息安全培訓(xùn)和安全隊(duì)伍建設(shè),其示意圖如圖1所示。

2安全管理平臺

安全管理平臺是通過采用技術(shù)手段實(shí)施金融信息系統(tǒng)安全管理的平臺,它包括安全預(yù)警管理、安全監(jiān)控管理、安全防護(hù)與響應(yīng)管理和安全反擊管理。

2.1安全預(yù)警管理

安全預(yù)警管理的功能由預(yù)警系統(tǒng)實(shí)現(xiàn),通過該系統(tǒng),可以在安全風(fēng)險(xiǎn)動態(tài)威脅和影響金融信息系統(tǒng)前,事先傳送相關(guān)的警示,讓管理員采取主動式的步驟,在安全風(fēng)險(xiǎn)影響運(yùn)作前加以攔阻,從而預(yù)防全網(wǎng)業(yè)務(wù)中斷、效能損失或?qū)ζ涔娦抛u(yù)造成危害,達(dá)到提前保護(hù)自己的作用。安全預(yù)警系統(tǒng)通過追蹤最新的攻擊技術(shù),分析威脅信息以辨識出真正潛在的攻擊,迅速響應(yīng)并提供定制化威脅分析及個(gè)性化的漏洞和惡意代碼告警服務(wù),幫助降低風(fēng)險(xiǎn),防患于未然。

2.2安全監(jiān)控管理

通過安全監(jiān)控功能可以實(shí)時(shí)監(jiān)控金融信息系統(tǒng)的安全態(tài)勢、發(fā)生了哪些攻擊、出現(xiàn)了什么異常、系統(tǒng)存在什么漏洞以及產(chǎn)生了哪些危險(xiǎn)日志等,因此安全監(jiān)控功能對于金融信息系統(tǒng)的安全保障體系來說是至關(guān)重要的。

1)基于實(shí)時(shí)性的安全監(jiān)控。通過在線方式管理金融信息系統(tǒng)中的資源狀態(tài)和實(shí)時(shí)安全事件,及時(shí)關(guān)注IT資源和安全風(fēng)險(xiǎn)的現(xiàn)狀和趨勢,通過實(shí)時(shí)監(jiān)控來提高系統(tǒng)的安全性和IT資源的效能。

2)基于智能化的安全監(jiān)控。利用智能信息處理技術(shù)對信息網(wǎng)絡(luò)中的各種安全事件進(jìn)行智能處理,實(shí)現(xiàn)報(bào)警信息的精煉化,提高報(bào)警信息的可用信息量,降低安全設(shè)備的虛警和誤警,從而有效地提高安全保障系統(tǒng)中報(bào)警信息的可信度。

3)基于可視化的安全監(jiān)控。通過對安全事件分析過程與分析報(bào)告的可視化手段,如圖表/曲線/數(shù)據(jù)表/關(guān)聯(lián)關(guān)系圖等,提供詳細(xì)的入侵攻擊信息乃至重現(xiàn)攻擊場景,實(shí)現(xiàn)對入侵攻擊行為的追蹤,使得對安全事件的分析更為直觀,從而有效提高安全管理人員對于入侵攻擊的監(jiān)控理解,使安全系統(tǒng)的管理更為有效。

4)基于分布式的安全監(jiān)控。通過系統(tǒng)分布式的多級部署方式,可以實(shí)現(xiàn)對金融信息系統(tǒng)內(nèi)各個(gè)子系統(tǒng)的監(jiān)控和綜合分析能力,同時(shí)對不同安全保護(hù)等級的用戶提供相應(yīng)的監(jiān)控界面和信息,從而嚴(yán)格滿足其安全等級劃分的用戶級要求。

2.3安全防護(hù)與響應(yīng)管理

在金融信息系統(tǒng)的安全系統(tǒng)中由于安全的異構(gòu)屬性,因此會采用不同的安全技術(shù)和不同廠家的安全產(chǎn)品來實(shí)現(xiàn)安全防護(hù)的目的。通過安全防護(hù)與響應(yīng)管理可以及時(shí)響應(yīng)和優(yōu)化整個(gè)系統(tǒng)安全防護(hù)策略;最直接的響應(yīng)就是提供多種方式,如報(bào)警燈、窗日、郵件、手機(jī)短信等向安全管理員報(bào)警,然后日志保存在本地?cái)?shù)據(jù)庫或者異地?cái)?shù)據(jù)庫中。

1)優(yōu)化安全策略分析。通過實(shí)時(shí)掌握自身的安全態(tài)勢,及各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)和業(yè)務(wù)系統(tǒng)的處理情況,輸出正常和非法個(gè)性化的安全策略報(bào)表,然后直接通知相應(yīng)的安全管理人員或廠商對其自身策略進(jìn)行優(yōu)化調(diào)整。

2)動態(tài)響應(yīng)策略調(diào)整。通過對各種安全響應(yīng)協(xié)議的支持,如SNMP、TOPSEC、聯(lián)動協(xié)議等,實(shí)現(xiàn)相關(guān)的安全防護(hù)技術(shù)策略的自動交互,同時(shí)通過專家知識庫能從全局的角度去響應(yīng)安全事件很好地解決安全誤報(bào)問題。

3)安全服務(wù)自動協(xié)調(diào)。當(dāng)智能分析和安全定位功能確認(rèn)出安全事件或安全故障時(shí),及時(shí)調(diào)派安全服務(wù)人員小組(或提供安全服務(wù)的供應(yīng)商)進(jìn)行相應(yīng)的安全加固防護(hù)。

2.4安全反擊管理

安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。

1)安全事件的取證管理。取證在網(wǎng)絡(luò)與信息系統(tǒng)安全事件的調(diào)查中是非常有用的工具,通過對系統(tǒng)安全事件的存儲和分析,實(shí)現(xiàn)對安全事件的取證管理,給相關(guān)調(diào)查人員提供安全事件的直接取證。

2)安全事件的追蹤反擊。通過資源狀態(tài)分析、關(guān)聯(lián)分析、專家系統(tǒng)分析等有效手段,檢測到攻擊類型,并定位攻擊源。隨后,系統(tǒng)自動對目標(biāo)進(jìn)行掃描,并將掃描結(jié)果告知安全管理員,并提示安全管理員查詢知識庫,從中提取有效手段對攻擊源進(jìn)行反擊控制。

3安全管理措施建議

在安全管

理技術(shù)手段的基礎(chǔ)上,還要提高安全管理水平。俗話說“三分技術(shù),七分管理”,由于金融信息系統(tǒng)相對比較封閉,對于金融信息系統(tǒng)安全來說,業(yè)務(wù)邏輯和操作規(guī)范的嚴(yán)密程度是關(guān)鍵。因此,加強(qiáng)金融信息系統(tǒng)的內(nèi)部安全管理措施,建立領(lǐng)導(dǎo)組織體系,完善落實(shí)內(nèi)控制度,強(qiáng)化日常操作管理,是提升安全管理水平的根本。

1)完善安全管理機(jī)構(gòu)的建設(shè)。目前,我國已經(jīng)把信息安全提到了促進(jìn)經(jīng)濟(jì)發(fā)展、維護(hù)社會穩(wěn)定、保障國家安全、加強(qiáng)精神文明建設(shè)的高度,并提出了“積極防御、綜合防范”的信息安全管理方針,專門成立了網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC)、中國信息安全產(chǎn)品測評認(rèn)證中心(簡稱CNITSEC)等,初步建成了國家信息安全組織保障體系。為確保金融信息系統(tǒng)的安全,在金融信息系統(tǒng)內(nèi)部應(yīng)組建安全管理小組(或委員會),安全管理小組制定出符合企業(yè)需要的信息安全管理策略,具體包括安全管理人員的義務(wù)和職責(zé)、安全配置管理策略、系統(tǒng)連接安全策略、傳輸安全策略、審計(jì)與入侵安全策略、標(biāo)簽策略、病毒防護(hù)策略、安全備份策略、物理安全策略、系統(tǒng)安全評估體系等內(nèi)容。安全管理應(yīng)盡量把各種安全策略要求文檔化和規(guī)范化,以保證安全管理工作具有明確的依據(jù)或參照。

2)在保證信息系統(tǒng)設(shè)備的運(yùn)行穩(wěn)定可靠和信息系統(tǒng)運(yùn)行操作的安全可靠的前提下,增加安全機(jī)制,如進(jìn)行安全域劃分,進(jìn)行有針對性的安全設(shè)備部署和安全策略設(shè)置,以改進(jìn)對重要區(qū)域的分割防護(hù);增加入侵檢測系統(tǒng)、漏洞掃描、違規(guī)外聯(lián)等安全管理工具,進(jìn)行定時(shí)監(jiān)控、事件管理和鑒定分析,以提高自身的動態(tài)防御能力;完善已有的防病毒系統(tǒng)、增加內(nèi)部信息系統(tǒng)的審計(jì)平臺,以便形成對內(nèi)部安全狀況的長期跟蹤和防護(hù)能力。

3)制定一系列必須的信息系統(tǒng)安全管理的法律法規(guī)及安全管理標(biāo)準(zhǔn),狠抓內(nèi)網(wǎng)的用戶管理、行為管理、應(yīng)用管理、內(nèi)容控制以及存儲管理;進(jìn)一步完善互聯(lián)網(wǎng)應(yīng)急響應(yīng)管理措施,對關(guān)鍵設(shè)施或系統(tǒng)制定好應(yīng)急預(yù)案,并定期更新和測試,全面提高預(yù)案制定水平和處理能力;建立一支“信息安全部隊(duì)”,專門負(fù)責(zé)信息網(wǎng)絡(luò)方面安全保障、安全監(jiān)管、安全應(yīng)急和安全威懾方面的工作。

4)堅(jiān)持“防內(nèi)為主,內(nèi)外兼防”的方針,加強(qiáng)登錄身份認(rèn)證,嚴(yán)格限制登錄者的操作權(quán)限,充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能,對用戶所訪問的信息進(jìn)行跟蹤記錄,為系統(tǒng)審計(jì)提供依據(jù)。

5)重視和加強(qiáng)信息安全等級保護(hù)工作,對金融信息系統(tǒng)中的信息實(shí)施一般保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)和強(qiáng)制保護(hù)策略,尤其對重要信息實(shí)施強(qiáng)制保護(hù)和強(qiáng)制性認(rèn)證,以確保金融業(yè)務(wù)信息的安全。

6)加強(qiáng)信息安全管理人才與安全隊(duì)伍建設(shè),特別是加大既懂技術(shù)又懂管理的復(fù)合型人才的培養(yǎng)力度。通過各種會議、網(wǎng)站、廣播、電視、報(bào)紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識,尤其是加強(qiáng)企業(yè)內(nèi)部人員的信息安全知識培訓(xùn)與教育,提高員工的信息安全自律水平。

第6篇

關(guān)鍵詞： 企業(yè)信息系統(tǒng)；信息安全；安全策略

中圖分類號：F270.7 文獻(xiàn)標(biāo)識碼：A 文章編號：1671－7597（2012）0220165－01

隨著市場經(jīng)濟(jì)的不斷發(fā)展，企業(yè)競爭越來越激烈，國際化合作不斷增多，隨之而來的企業(yè)信息安全是目前我國企業(yè)普遍存在的問題。對企業(yè)來說，信息安全是一項(xiàng)艱巨的工作，關(guān)系到企業(yè)的發(fā)展。近年來，圍繞企業(yè)信息安全問題的話題不斷，企業(yè)信息安全事件也頻頻發(fā)生，如何保證企業(yè)信息的安全，保證信息系統(tǒng)的正常運(yùn)轉(zhuǎn)，已經(jīng)成為信息安全領(lǐng)域研究的新熱點(diǎn)。

1 企業(yè)信息安全的意義

信息安全是一個(gè)含義廣泛的名詞，是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞，或防止信息被非法辨識、控制，即確保信息的保密性、可用性、完整性和可控性。企業(yè)的正常運(yùn)轉(zhuǎn)，離不開信息資源的支撐。企業(yè)信息安全建設(shè)對企業(yè)的發(fā)展意義重大。

首先，信息安全是時(shí)展的需要。計(jì)算機(jī)網(wǎng)絡(luò)時(shí)代的發(fā)展，改變了傳統(tǒng)的商務(wù)運(yùn)作模式，改變了企業(yè)的生產(chǎn)方式和思想觀念，極大推動了企業(yè)文化的發(fā)展。企業(yè)信息安全的建設(shè)將使得企業(yè)的管理水平與國際先進(jìn)水平接軌，從而成長為企業(yè)向國際化發(fā)展與合作的有力支撐。

其次，信息安全是企業(yè)發(fā)展的需要。企業(yè)的信息化建設(shè)帶來了生產(chǎn)效率提高、成本降低、業(yè)務(wù)拓展等諸多好處。當(dāng)前越來越多的企業(yè)信息和數(shù)據(jù)，都是以電子文檔的形式存在，對企業(yè)來說，信息安全是使企業(yè)信息不受威脅和侵害的保證，是企業(yè)發(fā)展的基本保障，所以，在積極防御，綜合防范的方針指導(dǎo)下，有效地防范和規(guī)避風(fēng)險(xiǎn)，建立起一套切實(shí)可行的長效防范機(jī)制，逐步建立起信息安全保障體系，有利于企業(yè)的發(fā)展。

最后，信息安全是企業(yè)穩(wěn)定的必要前提。信息安全成為保障和促進(jìn)企業(yè)穩(wěn)定和信息化發(fā)展的重點(diǎn)，要充分認(rèn)識信息安全工作的緊迫感和長期性，從企業(yè)的安全、經(jīng)濟(jì)發(fā)展、企業(yè)穩(wěn)定和保護(hù)企業(yè)利益的角度來思考問題，扎扎實(shí)實(shí)地做好基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)，在建立信息安全保障體系的過程中，必須搞好鏈接信息安全保障體系建設(shè)安全、建設(shè)健康的網(wǎng)絡(luò)環(huán)境，關(guān)注信息戰(zhàn)略，保障和促進(jìn)信息化的健康發(fā)展。

2 企業(yè)信息安全的現(xiàn)狀

我國企業(yè)信息安全包括計(jì)算機(jī)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或惡意的原因而遭到破壞、更改、泄露，使得系統(tǒng)連續(xù)、可靠、正常的運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有復(fù)雜性和多樣性，使得企業(yè)信息安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。就目前來看，主要存在以下三個(gè)方面的隱患。

2.1 企業(yè)缺少信息安全管理制度

企業(yè)信息安全是一個(gè)比較新的領(lǐng)域，目前還缺少比較完善的法規(guī)，現(xiàn)有的法規(guī)，由于相關(guān)安全技術(shù)和手段還沒有成熟和標(biāo)準(zhǔn)化，法規(guī)也不能很好地被執(zhí)行，安全標(biāo)準(zhǔn)和規(guī)范的缺少，導(dǎo)致無從制定合理的安全策略并確保此策略能被有效執(zhí)行。企業(yè)的信息系統(tǒng)安全問題是一個(gè)系統(tǒng)工程，涉及到計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)以及管理等方方面面，同時(shí)，隨著信息系統(tǒng)的延伸和新興技術(shù)集成應(yīng)用升級換代，它又是一個(gè)不斷發(fā)展的動態(tài)過程。因此對企業(yè)信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)和安全需求應(yīng)進(jìn)行同期化的管理，不斷制定和調(diào)整安全策略，只有這樣，才能在享受企業(yè)信息系統(tǒng)便利高效的同時(shí)，把握住信息系統(tǒng)安全的大門。

2.2 員工缺少安全管理的責(zé)任心

一個(gè)企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的，不考慮全員參與的信息安全方案，恰恰忽視信息安全中最關(guān)鍵的因素――人，因?yàn)樗麄儾攀瞧髽I(yè)信息系統(tǒng)的提供者和使用者，他們是影響信息安全系統(tǒng)能否達(dá)到預(yù)期要求的決定因素。在眾多的攻擊行為和事件中，發(fā)生最多的安全事件是信息泄露事件。攻擊者主要來自企業(yè)內(nèi)部，而不是來自企業(yè)外部的黑客等攻擊者，安全事件造成最大的經(jīng)濟(jì)損失主要是內(nèi)部人員有意或無意的信息泄露事件。針對內(nèi)部員工的泄密行為，目前還沒有成熟的、全面的解決，對于來自企業(yè)信息內(nèi)部信息泄密的安全問題，一直是整個(gè)信息安全保障體系的難點(diǎn)和弱點(diǎn)所在。

2.3 信息系統(tǒng)缺乏信息安全技術(shù)

計(jì)算機(jī)信息安全技術(shù)是一門由密碼應(yīng)用技術(shù)、信息安全技術(shù)、數(shù)據(jù)災(zāi)難與數(shù)據(jù)恢復(fù)技術(shù)、操作系統(tǒng)維護(hù)技術(shù)、局域網(wǎng)組網(wǎng)與維護(hù)技術(shù)、數(shù)據(jù)庫應(yīng)用技術(shù)等組成的計(jì)算機(jī)綜合應(yīng)用學(xué)科。由于認(rèn)識能力和技術(shù)發(fā)展的局限性，在硬件和軟件設(shè)計(jì)過程中，難免留下技術(shù)缺陷，網(wǎng)絡(luò)硬件、軟件系統(tǒng)多數(shù)依靠進(jìn)口，由此可造成企業(yè)信息安全的隱患，現(xiàn)在黑客的攻擊并不是為了破壞底層系統(tǒng)，而是為了入侵應(yīng)用，竊取數(shù)據(jù)，帶有明顯的商業(yè)目的，許多黑客就是通過計(jì)算機(jī)操作系統(tǒng)的漏洞和后門程序進(jìn)入企業(yè)信息系統(tǒng)。隨著網(wǎng)絡(luò)應(yīng)用要求的越來越多，針對應(yīng)用的攻擊也越來越多，除了在管理制度上確保信息安全外，還要在技術(shù)上確保信息安全。

3 企業(yè)信息安全中存在的問題

信息時(shí)代的到來，從根本上改變了企業(yè)經(jīng)營形式，企業(yè)實(shí)施信息化為其帶來便利的同時(shí)也產(chǎn)生了巨大的信息安全風(fēng)險(xiǎn)。由于我國企業(yè)信息安全工作還處于起步階段，基礎(chǔ)薄弱，導(dǎo)致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網(wǎng)絡(luò)攻擊等，這些問題給企業(yè)造成直接的經(jīng)濟(jì)損失，成為企業(yè)信息安全的最大威脅，使企業(yè)信息安全存在著風(fēng)險(xiǎn)因素。

3.1 病毒危害

計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼，它是具有破壞作用的程序或指令集合。計(jì)算機(jī)病毒已經(jīng)泛濫成災(zāi)，幾乎無孔不入，據(jù)統(tǒng)計(jì)，計(jì)算機(jī)病毒的種類已經(jīng)超過4萬多種，而且還在以每年40%的速度在遞增，隨著Internet技術(shù)的發(fā)展，病毒在企業(yè)信息系統(tǒng)中傳播的速度越來越快，其破壞性也越來越來越強(qiáng)。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音，黑客是利用技術(shù)手段進(jìn)入其權(quán)限以外的計(jì)算機(jī)系統(tǒng)的人。黑客破解或破壞某個(gè)程序、系統(tǒng)及網(wǎng)絡(luò)安全，或者破解某系統(tǒng)或網(wǎng)絡(luò)以提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽、密碼破解等手段侵入計(jì)算機(jī)系統(tǒng)，盜竊系統(tǒng)保密信息，進(jìn)行信息破壞或占用系統(tǒng)資源，黑客攻擊已經(jīng)成為近年來經(jīng)常出現(xiàn)的問題。

3.3 網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊就是對網(wǎng)絡(luò)安全威脅的具體表現(xiàn)，利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對系統(tǒng)和資源進(jìn)行的攻擊。尤其是在最近幾年里，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢，使借助Internet運(yùn)行業(yè)務(wù)的企業(yè)面臨著前所未有的風(fēng)險(xiǎn)。由此可知，企業(yè)的信息安全問題、以及對信息的安全管理都是至關(guān)重要的。要保證企業(yè)信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。

4 企業(yè)信息安全的解決方案

為確保企業(yè)信息安全，要堅(jiān)持積極防御，綜合防范的方針，全面提高信息安全防護(hù)能力。因此，面對企業(yè)信息安全的現(xiàn)狀和企業(yè)信息安全發(fā)展中出現(xiàn)的問題，必須實(shí)施對企業(yè)的信息安全管理，建設(shè)信息安全管理體系，只有建立完善的安全管理制度，將信息安全管理自始至終貫徹落實(shí)于信息管理系統(tǒng)的方方面面，企業(yè)信息安全才能得以實(shí)現(xiàn)。企業(yè)信息安全的解決方案，具體表現(xiàn)在以下三個(gè)方面：

4.1 建立完善的安全管理體系

完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系，完成制定并信息安全管理規(guī)范和建立信息安全管理組織等工作，保障信息安全措施的落實(shí)以及信息安全體系自身的不斷完善。并建立一套信息安全規(guī)范，詳細(xì)說明各種信息安全策略。一個(gè)詳細(xì)的信息安全規(guī)劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業(yè)安全管理過程包括：采用科學(xué)的企業(yè)信息資產(chǎn)評估和風(fēng)險(xiǎn)分析模型法、設(shè)計(jì)完備的信息系統(tǒng)動態(tài)安全模型、建立科學(xué)的可實(shí)施的安全策略，采取規(guī)范的安全防范措施、選用可靠穩(wěn)定的安全產(chǎn)品等。安全防范體系的建立不是一勞永逸的，企業(yè)網(wǎng)絡(luò)信息自身的情況不斷變化，新的安全問題不斷涌現(xiàn)，必須根據(jù)暴露出的一些問題，進(jìn)行更新，保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展，

4.2 提高企業(yè)員工的安全意識

科技以人為本，在信息安全方面也是靠人來維護(hù)企業(yè)的利益，我們在企業(yè)信息網(wǎng)絡(luò)鞏固正面防護(hù)的時(shí)候不能忽視對人的行為規(guī)范和績效管理。企業(yè)員工信息安全意識的高低是一個(gè)企業(yè)信息安全體系是否能夠最終成功實(shí)施的決定性因素。企業(yè)應(yīng)當(dāng)制定企業(yè)人員信息安全行為規(guī)范，必須有專門管理人才，才能有效地實(shí)現(xiàn)企業(yè)安全、可靠、穩(wěn)定運(yùn)行，保證企業(yè)信息安全。教育培訓(xùn)是培訓(xùn)信息安全人才的重要手段，企業(yè)可以對所有相關(guān)人員進(jìn)行經(jīng)常性的安全培訓(xùn)，強(qiáng)化技術(shù)人員對信息安全的重視，提升使用人員的安全觀念，有針對性的開展安全意識宣傳教育，逐步提高員工的安全意識，強(qiáng)調(diào)人的作用，使他們明確企業(yè)各級組織和人員的安全權(quán)限和責(zé)任，使他們的行為符合整個(gè)安全策略的要求。

4.3 不斷優(yōu)化企業(yè)信息安全技術(shù)

企業(yè)一旦制定了一套詳細(xì)的安全規(guī)劃來武裝自己，保護(hù)其智力資產(chǎn)，它就開始投入到選擇采用正確信息安全技術(shù)上。可供企業(yè)選擇的防止信息安全漏洞的安全技術(shù)有很多。當(dāng)企業(yè)選擇采用何種技術(shù)時(shí)，首先了解信息安全的三個(gè)領(lǐng)域是十分有幫助的，這三個(gè)領(lǐng)域變得：驗(yàn)證與授權(quán)、預(yù)防和抵制、檢測和響應(yīng)。其中，用戶驗(yàn)證是確認(rèn)用戶身份的一種方法，一旦系統(tǒng)確認(rèn)了用戶身份，那么它就可以決定該用戶的訪問權(quán)限，比如使用用戶名和密碼。預(yù)防和抵抗技術(shù)是指企業(yè)阻止入侵者訪問。對于任何企業(yè)，必須對那些故障做好準(zhǔn)備和預(yù)測，目前可以幫助預(yù)防和建設(shè)抵抗攻擊的技術(shù)主要有內(nèi)容過濾、加密和防火墻，在選用防火墻的時(shí)候，需要對所安裝的防火墻做一些攻擊測試。此外，企業(yè)信息安全的最后一道屏障是探測和反應(yīng)技術(shù)，最常見的探測和反應(yīng)技術(shù)是殺毒軟件。

5 結(jié)語

總之，企業(yè)信息安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，企業(yè)要適應(yīng)現(xiàn)代化發(fā)展的需要，要提高自身信息安全意識，加強(qiáng)對信息安全風(fēng)險(xiǎn)防范意識的認(rèn)識，重視安全策略的施行及安全教育，必須做到管理和技術(shù)并重，安全技術(shù)必須結(jié)合安全措施，并加強(qiáng)信息安全立法和執(zhí)法的力度，建立備份和恢復(fù)機(jī)制， 為企業(yè)設(shè)計(jì)適合實(shí)際情況的安全解決方案，制定正確和采取適當(dāng)?shù)陌踩呗院桶踩珯C(jī)制，保證企業(yè)安全體系處于應(yīng)有的健康狀態(tài)。

參考文獻(xiàn)：

[1]張帆，企業(yè)信息安全威脅分析與安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（5）.

[2]諶曉歡，企業(yè)信息安全問題及解決方案[J].企業(yè)技術(shù)開發(fā)，2008（8）.

[3]付沙，企業(yè)信息安全策略的研究與探討[J].商場現(xiàn)代化，2007（26）.

[4]姜樺、郭永利，企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報(bào)，2009（1）.

第7篇

關(guān)鍵詞:信息安全;設(shè)施云;云安全;滲透測試

中圖分類號:TP309 文獻(xiàn)標(biāo)識碼:B

1引言

云計(jì)算作為一種新的服務(wù)模式，用戶在享受它帶來的便利性、低成本等優(yōu)越性的同時(shí)，也對其安全性疑慮重重。如何保障云計(jì)算安全成為云計(jì)算系統(tǒng)亟需解決的問題。此外，從近期發(fā)生的與云計(jì)算相關(guān)的一系列安全事件可以看出，傳統(tǒng)的安全威脅在云計(jì)算服務(wù)中同樣存在，而且由于云計(jì)算虛擬化、資源共享、彈性分配等特點(diǎn)，相比傳統(tǒng)的IT系統(tǒng)，又面臨新的安全威脅。遼寧省交通廳云數(shù)據(jù)中心基礎(chǔ)設(shè)施平臺于2015年全面啟動建設(shè)。為解決遼寧省交通廳尤其是云數(shù)據(jù)中心面臨的安全問題，遼寧省云環(huán)境下交通信息安全策略研究課題以遼寧省交通行業(yè)重要信息系統(tǒng)為對象，分析其面臨的信息安全問題與挑戰(zhàn)，以提升遼寧省交通行業(yè)現(xiàn)有信息安全水平。本文首先總結(jié)了云安全的新威脅，然后通過分析遼寧交通云安全的風(fēng)險(xiǎn)，明確遼寧交通設(shè)施云安全建設(shè)目標(biāo)，提出遼寧省云環(huán)境下交通信息安全策略的研究重點(diǎn)和相關(guān)內(nèi)容。

2云安全新威脅

2．1虛擬化平臺的安全威脅

如同傳統(tǒng)的IT系統(tǒng)一樣，虛擬化平臺也可能存在大量漏洞或錯誤的情況。如果VM上存在漏洞，使得攻擊者完全控制一個(gè)VM后，通過利用各種虛擬化管理平臺安全漏洞，可以進(jìn)一步滲透到虛擬化管理平臺甚至其它VM中。這就是所謂的虛擬機(jī)逃逸。同時(shí)還可能導(dǎo)致數(shù)據(jù)泄漏以及針對其它VM的DoS攻擊。

2．2隱蔽信道攻擊

隱蔽信道(CovertChannel)是指允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的通信信道，通過構(gòu)建隱蔽信道可以實(shí)現(xiàn)從高安全級主體向低安全級別主體的信息傳輸，是導(dǎo)致信息泄露的重要威脅。這種攻擊的源頭可以是來自虛擬化環(huán)境以外的其他實(shí)體，也可以是來自虛擬化系統(tǒng)中其它物理主機(jī)上的VM，還可以是相同物理機(jī)上的其它VM。

2．3側(cè)信道攻擊

側(cè)信道攻擊是一種新型密碼分析方法，其利用硬件的物理屬性(如功耗、電磁輻射、聲音、紅外熱影像等)來發(fā)現(xiàn)CPU利用率、內(nèi)存訪問模式等信息，進(jìn)而達(dá)到獲取加密密鑰，破解密碼系統(tǒng)的目的。這類攻擊實(shí)施起來相當(dāng)困難，需要對主機(jī)進(jìn)行直接的物理訪問。例如通過監(jiān)控?cái)?shù)據(jù)進(jìn)出運(yùn)行著加密算法的硬件系統(tǒng)上的CPU和內(nèi)存所花費(fèi)的時(shí)間，來分析密鑰的長度。再例如，可以對CPU或加密芯片的功耗進(jìn)行觀察分析。芯片上的功耗可以產(chǎn)生熱量，冷卻效應(yīng)可以將熱量移走。芯片上溫度的變化引起機(jī)械伸縮，這些伸縮可以產(chǎn)生音量很低的噪聲。在虛擬化環(huán)境下，通過查看計(jì)算機(jī)的內(nèi)存緩存，攻擊者可以獲得一些關(guān)于什么時(shí)候用戶在同一臺設(shè)備上利用鍵盤訪問啟用SSH終端的計(jì)算機(jī)等基本信息。通過測量鍵盤敲擊時(shí)間間隔，他們最終可以使用和Berkeley他們一樣的技術(shù)來計(jì)算出通過計(jì)算機(jī)輸入了什么。還能估算出當(dāng)計(jì)算機(jī)執(zhí)行例如加載特定網(wǎng)頁等這樣簡單任務(wù)時(shí)候的緩存活動。這種方法可以被用于查看有多少因特網(wǎng)用戶正在訪問一臺服務(wù)器，甚至是他們正在查看哪一個(gè)網(wǎng)頁。為了讓他們簡單的攻擊行為奏效，攻擊者不僅能計(jì)算出哪一個(gè)服務(wù)器正在運(yùn)行他們希望攻擊的程序，還能找到一個(gè)在這臺服務(wù)器上找到特定程序的方法。這并不容易做到，因?yàn)閺亩x上來看云計(jì)算會讓這種信息對用戶是不可見的。

2．4虛擬機(jī)的安全威脅

(1)虛擬機(jī)資源隔離不當(dāng)，出現(xiàn)非授權(quán)訪問。多租戶共享計(jì)算資源帶來的風(fēng)險(xiǎn)，包括一個(gè)租戶的VM資源故障導(dǎo)致另一個(gè)租戶的VM不可用，或一個(gè)租戶非授權(quán)訪問其他租戶的VM。(2)虛擬機(jī)鏡像文件或自身管理防護(hù)措施不足，引發(fā)安全問題。(3)虛擬機(jī)訪問控制不嚴(yán)格或不完善，對虛擬機(jī)賬號、密碼或認(rèn)證方式控制不足，導(dǎo)致非授權(quán)訪問。(4)虛擬機(jī)之間的通信安全防護(hù)不足，導(dǎo)致出現(xiàn)攻擊、嗅探。(5)VM之間的攻擊和嗅探。VM之間進(jìn)行嗅探或竊聽，監(jiān)視虛擬機(jī)網(wǎng)絡(luò)上數(shù)據(jù)(例如明文密碼或者配置信息)傳輸信息的行為。利用簡單的數(shù)據(jù)包探測器，攻擊者可以很輕松地讀取VM網(wǎng)絡(luò)上所有的明文傳輸信息。虛擬機(jī)遷移時(shí)安全策略不足，引發(fā)安全問題。(6)虛擬機(jī)遷移過程。虛擬機(jī)遷移過程中出現(xiàn)安全策略、安全參數(shù)的改變，導(dǎo)致錯誤授權(quán)、計(jì)費(fèi)錯誤等問題;攻擊者利用虛擬機(jī)遷移過程中的漏洞對虛擬機(jī)形成攻擊。(7)特權(quán)(超級)虛擬機(jī)存在安全隱患，造成對其他VM的非法攻擊或篡改。

2．5API安全

云計(jì)算系統(tǒng)通過開放應(yīng)用程序接口來對外提供各種云計(jì)算服務(wù)。因此，開放應(yīng)用程序接口的訪問控制、操作權(quán)限管理以及惡意代碼審查等在整個(gè)云計(jì)算系統(tǒng)中就顯得非常重要。一旦應(yīng)用程序接口的訪問控制或權(quán)限管理不當(dāng)，將會對云計(jì)算系統(tǒng)造成非法訪問，導(dǎo)致不必要的數(shù)據(jù)泄露。具體包括虛擬機(jī)與云管理平臺之間API的通信安全。

2．6數(shù)據(jù)安全

(1)數(shù)據(jù)隔離在云計(jì)算系統(tǒng)中，當(dāng)一個(gè)文件存儲到云計(jì)算系統(tǒng)中時(shí)，它可能會被分割成若干個(gè)碎片并存儲在不同的存儲空間上。而且來自不同租戶的重要數(shù)據(jù)和文件可能會被存儲，因此數(shù)據(jù)隔離和數(shù)據(jù)保護(hù)在云計(jì)算系統(tǒng)中非常重要。數(shù)據(jù)隔離不當(dāng)，就會造成其他租戶非法訪問別的租戶的數(shù)據(jù)，從而造成數(shù)據(jù)泄露。(2)數(shù)據(jù)泄露、隱私保護(hù)云計(jì)算系統(tǒng)的防數(shù)據(jù)泄露和隱私保護(hù)，一方面需要防止來自云平臺中其他租戶對數(shù)據(jù)的竊取，另一方面還需要防止來自云平臺內(nèi)部，如系統(tǒng)管理員對用戶數(shù)據(jù)的泄漏。在傳統(tǒng)體系中，信息是存儲在單位內(nèi)部的服務(wù)器或者個(gè)人電腦、設(shè)備上的，能夠保證較好的數(shù)據(jù)隱私性。然而，在云計(jì)算中數(shù)據(jù)是存儲在云端服務(wù)器上的，因此用戶喪失了對隱私數(shù)據(jù)的物理保護(hù)能力。同時(shí)，用戶需要通過互聯(lián)網(wǎng)傳輸數(shù)據(jù)，更加增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。除此之外，數(shù)據(jù)的完整性也是用戶數(shù)據(jù)安全的重要需求。如何保障用戶數(shù)據(jù)不損毀、不受未授權(quán)修改，以及所有合法的用戶操作被準(zhǔn)確執(zhí)行是云安全的重要議題。最后，云平臺還需要保證用戶數(shù)據(jù)的一致性，即多個(gè)用戶所看到的保存在云端的同一份數(shù)據(jù)是完全相同的。攻擊者可以通過數(shù)據(jù)的不一致性訪問未授權(quán)的數(shù)據(jù)，或者實(shí)施進(jìn)一步的攻擊。(3)刪除后剩余數(shù)據(jù)的非法恢復(fù)用戶數(shù)據(jù)被刪除后變成了剩余數(shù)據(jù)，存放這些剩余數(shù)據(jù)的空間可以被釋放給其他租戶使用，這些數(shù)據(jù)如果沒有經(jīng)過特殊處理，其他租戶或惡意運(yùn)維人員可能獲取到原來租戶的私密信息。

2．7云計(jì)算資源的濫用

豐富的云計(jì)算資源極其強(qiáng)大的處理能力，在向用戶提供正常服務(wù)的同時(shí)，也有可能成為攻擊者通過惡意使用或?yàn)E用并發(fā)起網(wǎng)絡(luò)攻擊的有效工具。一些惡意用戶通過利用云計(jì)算服務(wù)的這些特性，更加方便地實(shí)施各種破壞活動。密碼破解者、DoS攻擊者、垃圾郵件發(fā)送者、惡意代碼制作者以及其它惡意攻擊者都可以使用云計(jì)算環(huán)境提供的豐富資源開展攻擊，從而進(jìn)一步擴(kuò)大攻擊面及其影響力。

2．8惡意的內(nèi)部運(yùn)維人員

與傳統(tǒng)計(jì)算模式相比，云計(jì)算環(huán)境下用戶所有數(shù)據(jù)全部在云端。云服務(wù)商內(nèi)部的運(yùn)維人員能夠接觸到越來越多的云租戶的數(shù)據(jù)，這種訪問范圍的擴(kuò)大，以及缺乏有效的監(jiān)督和管理，增加了惡意的“內(nèi)部運(yùn)維人員”濫用數(shù)據(jù)和服務(wù)、甚至實(shí)施犯罪的可能性，也使得惡意內(nèi)部運(yùn)維人員的安全威脅變得更為嚴(yán)重。

3遼寧省交通設(shè)施云安全建設(shè)目標(biāo)

3．1遼寧省交通“云”數(shù)據(jù)中心建設(shè)目標(biāo)

在遼寧省交通廳的《遼寧省公路水路信息化發(fā)展指導(dǎo)意見》的發(fā)展總目標(biāo)中，特別指出:“建立具備大數(shù)據(jù)處理能力的省級交通“云”數(shù)據(jù)中心，實(shí)現(xiàn)交通信息資源共享和業(yè)務(wù)協(xié)同”。在建設(shè)任務(wù)中，明確了“信息化支撐體系建設(shè)”的內(nèi)容，其中“信息化基礎(chǔ)設(shè)施建設(shè)”中提到:『完成基于“云”架構(gòu)的近遠(yuǎn)期規(guī)劃，先期完成對服務(wù)器、存儲、網(wǎng)絡(luò)等硬件資源的整合，實(shí)現(xiàn)負(fù)載均衡、資源動態(tài)分配，提高整體工作效率，降低建設(shè)、使用及維護(hù)成本。依據(jù)《遼寧省公路水路信息化發(fā)展指導(dǎo)意見》的指導(dǎo)內(nèi)容，根據(jù)遼寧省交通運(yùn)輸行業(yè)信息化發(fā)展現(xiàn)狀，考慮行業(yè)未來幾年的業(yè)務(wù)發(fā)展需要，緊隨國際上先進(jìn)的、成熟的云計(jì)算、大數(shù)據(jù)等技術(shù)，規(guī)劃遼寧省交通云基礎(chǔ)設(shè)施平臺，充分滿足省廳及各直屬單位三到五年的基礎(chǔ)設(shè)施需要，并為未來建設(shè)“云”數(shù)據(jù)中心做好準(zhǔn)備，秉承“理念先進(jìn)、結(jié)合實(shí)際、投資節(jié)省、適度超前”的思想，為全省信息化提供完備的基礎(chǔ)設(shè)施支撐。

3．2遼寧省交通設(shè)施云安全風(fēng)險(xiǎn)分析

遼寧省交通“云”數(shù)據(jù)中心的建設(shè)目標(biāo)是滿足省廳及各直屬單位三到五年的基礎(chǔ)設(shè)施需要。其特點(diǎn)包括:遼寧省交通“云”數(shù)據(jù)中心目前只涉及設(shè)施云，沒有架構(gòu)云和服務(wù)云，結(jié)構(gòu)相對簡單;只考慮省廳及各直屬單位三到五年使用，規(guī)模有限;只在行業(yè)內(nèi)部使用，信息安全管理有保障;此外，由于系統(tǒng)采用國際上比較成熟的云管理產(chǎn)品，云產(chǎn)品自身安全風(fēng)險(xiǎn)較低，而且對于發(fā)現(xiàn)產(chǎn)品的漏洞廠商也可負(fù)責(zé)解決。遼寧省交通設(shè)施云安全管理目前最大的風(fēng)險(xiǎn)是由于遼寧省交通“云”數(shù)據(jù)中心建成并使用后造成的風(fēng)險(xiǎn)集中，而現(xiàn)有的省廳及各直屬單位是按照信息安全等級保護(hù)二級進(jìn)行管理的。為解決這個(gè)問題，首先要解決云安全的技術(shù)要求。由于目前國內(nèi)沒有可以參考的技術(shù)要求，因此要首先編制云安全的技術(shù)要求標(biāo)準(zhǔn)。其次，由于云安全的技術(shù)要求標(biāo)準(zhǔn)是個(gè)新要求，與等級保護(hù)常規(guī)檢查依據(jù)不匹配，因此要有配套的信息安全滲透測試檢查標(biāo)準(zhǔn)。此外，還應(yīng)把交通廳信息安全管理體系達(dá)到信息安全三級的要求，應(yīng)補(bǔ)充滿足相應(yīng)級別要求的信息安全管理體系。最后，為保證信息安全管理的落地，應(yīng)有配套的管理軟件。

3．3遼寧省交通設(shè)施云安全建設(shè)目標(biāo)

依據(jù)《遼寧省公路水路信息化發(fā)展指導(dǎo)意見》的指導(dǎo)內(nèi)容，根據(jù)遼寧省交通“云”數(shù)據(jù)中心發(fā)展規(guī)劃，建設(shè)設(shè)施云安全技術(shù)標(biāo)準(zhǔn)、滲透測試檢查標(biāo)準(zhǔn)、廳信息系統(tǒng)安全管理體系和云安全策略管理軟件，關(guān)注省廳及各直屬單位三到五年的“云”數(shù)據(jù)中心需要，并為建設(shè)和管理“云”數(shù)據(jù)中心做好信息安全策略指導(dǎo)，為交通“云”數(shù)據(jù)中心安全管理及廳信息安全管理水平提升提供重要的技術(shù)支撐。

4遼寧省云環(huán)境下交通信息安全策略研究重點(diǎn)內(nèi)容

遼寧省云環(huán)境下交通信息安全策略研究的重點(diǎn)包括設(shè)施云安全技術(shù)標(biāo)準(zhǔn)、滲透測試檢查標(biāo)準(zhǔn)、廳信息系統(tǒng)安全管理體系和云安全策略管理軟件。

4．1設(shè)施云安全技術(shù)標(biāo)準(zhǔn)

設(shè)施云安全技術(shù)要求標(biāo)準(zhǔn)的編制目的是為指導(dǎo)和規(guī)范針對云環(huán)境下交通行業(yè)相關(guān)信息安全管理，介紹了云環(huán)境下遼寧省交通信息安全的基本內(nèi)容和基本要求，針對交通行業(yè)設(shè)施云及相關(guān)信息系統(tǒng)提出了設(shè)施云管理框架、安全的技術(shù)要求和管理要求。

4．2滲透測試檢查標(biāo)準(zhǔn)滲透測試檢查標(biāo)準(zhǔn)的編制目的是為指導(dǎo)和規(guī)范

針對遼寧省交通行業(yè)信息系統(tǒng)的滲透測試檢查工作，明確了滲透測試檢查的基本概念、原則、實(shí)施流程、在各階段的工作內(nèi)容和基本要求。

4．3遼寧省交通廳信息系統(tǒng)安全管理體系

遼寧省交通廳信息系統(tǒng)安全管理體系的編制目的是遼寧省交通廳信息安全管理體系達(dá)到信息安全等級保護(hù)三級水平及云環(huán)境信息安全管理的要求，建設(shè)包括覆蓋信息安全管理體系方針、組織機(jī)構(gòu)和崗位職責(zé)規(guī)定、信息安全管理、計(jì)算機(jī)機(jī)房管理、計(jì)算機(jī)設(shè)備管理、計(jì)算機(jī)網(wǎng)絡(luò)管理、介質(zhì)安全管理、人員信息安全管理、軟件系統(tǒng)開發(fā)安全管控、數(shù)據(jù)備份和恢復(fù)管理、第三方信息安全管理、信息安全檢查管理、信息安全審計(jì)管理、信息安全審批管理、信息系統(tǒng)建設(shè)、信息系統(tǒng)日志管理、信息安全事件管理、變更管理、賬號與密碼管理、防病毒管理、信息資產(chǎn)安全管理、信息資產(chǎn)分類管理和信息系統(tǒng)應(yīng)急預(yù)案等多項(xiàng)管理制度。

4．4云安全策略管理軟件

云安全策略管理軟件設(shè)計(jì)的目的是保障上述研究成果在遼寧省交通行業(yè)快速推廣以及相關(guān)信息安全管理要求落地。其主要內(nèi)容是利用計(jì)算機(jī)軟件開發(fā)技術(shù)，開發(fā)B/S軟件，實(shí)現(xiàn)信息安全知識共享，并依據(jù)上述技術(shù)標(biāo)準(zhǔn)和管理制度實(shí)現(xiàn)過程控制和信息管理。

5結(jié)論

第8篇

【 關(guān)鍵詞 】 信息安全管理；信息安全管理平臺

1 引言

前些年，在我國推進(jìn)信息安全體系建設(shè)的工作中，各行業(yè)在信息網(wǎng)絡(luò)邊界和縱深部署大量信息安全防護(hù)產(chǎn)品的基礎(chǔ)上，為了符合國家信息安全的相關(guān)政策和監(jiān)管要求及便于進(jìn)行一體化管理和掌握整個(gè)信息系統(tǒng)的安全態(tài)勢，許多單位還部署了信息安全管理平臺，并在信息系統(tǒng)安全運(yùn)行和管理上發(fā)揮了重要的作用。

信息安全管理平臺是網(wǎng)絡(luò)中心必備的安全管理基礎(chǔ)設(shè)施，是網(wǎng)絡(luò)安全管理員遂行網(wǎng)絡(luò)安全管理任務(wù)的必備手段，是網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的一個(gè)重要技術(shù)支撐平臺。為規(guī)范網(wǎng)絡(luò)系統(tǒng)的安全管理，重要的信息網(wǎng)絡(luò)都應(yīng)設(shè)置信息安全管理平臺（見《信息安全技術(shù) 信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》GB/T 24856―2009）。

近年來，隨著云計(jì)算、物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)技術(shù)的興起，信息網(wǎng)絡(luò)的邊界愈發(fā)模糊，系統(tǒng)中的虛擬化技術(shù)和設(shè)備被廣泛采用，信息系統(tǒng)中的安全信息采集和集中審計(jì)變得更加困難。另一方面，外部的信息安全威脅，隨著AET和APT技術(shù)的不斷升級，也變得愈來愈兇險(xiǎn)和難以防護(hù)。面對當(dāng)前信息安全的新形式，以往的信息安全管理平臺必須進(jìn)行更新?lián)Q代或升級改造。

搭建新一代信息安全管理平臺（以下簡稱平臺）有重要意義：（1）設(shè)計(jì)和建設(shè)新一代平臺是構(gòu)建自主可控信息安全體系體系頂層設(shè)計(jì)不可或缺的重要一環(huán)，以實(shí)現(xiàn)對重要信息系統(tǒng)的風(fēng)險(xiǎn)可監(jiān)控、可管理、業(yè)務(wù)過程可審計(jì)，真正實(shí)現(xiàn)安全體系自主可控，保障體系安全；（2）引入大數(shù)據(jù)分析技術(shù)完善平臺關(guān)聯(lián)分析能力，增加AET和APT攻擊的檢測技術(shù)手段，提升信息系統(tǒng)安全態(tài)勢感知和預(yù)警能力，可及時(shí)發(fā)現(xiàn)和處置重大信息安全威脅，真正實(shí)現(xiàn)信息安全自主可控。

2 設(shè)計(jì)目標(biāo)

信息安全管理平臺的設(shè)計(jì)目標(biāo)是：設(shè)計(jì)一體化、開放性和具有智能防御未知威脅攻擊的平臺。一體化就是將多家不同類型的安全產(chǎn)品整合到一起，進(jìn)行統(tǒng)一的管理配置和監(jiān)控。開放性就是提供標(biāo)準(zhǔn)的接口，使第三方產(chǎn)品很容易整合到系統(tǒng)中。智能防御未知威脅攻擊，就是充分利用和發(fā)揮大數(shù)據(jù)技術(shù)應(yīng)用于安全態(tài)勢和安全事件的深度挖掘和分析，對AET和APT進(jìn)行檢測和響應(yīng)，構(gòu)建智能化的主動防御系統(tǒng)。

通過信息安全管理平臺，對網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備以及主要應(yīng)用實(shí)施統(tǒng)一的安全策略、集中管理、集中審計(jì)、并通過網(wǎng)絡(luò)安全設(shè)備間的互動，應(yīng)對已知和未知的安全威脅，充分發(fā)揮網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的整體效能。

3 設(shè)計(jì)原則

依據(jù)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》和GB/T 20269-2006《信息安全技術(shù) 信息系統(tǒng)安全管理要求》，結(jié)合網(wǎng)絡(luò)安全管理的實(shí)際需求，按以下原則設(shè)計(jì)信息安全管理平臺。

（1） 標(biāo)準(zhǔn)化設(shè)計(jì)原則。為了能夠與第三方廠家安全產(chǎn)品聯(lián)動，安全管理平臺需制定安全產(chǎn)品互聯(lián)的接口標(biāo)準(zhǔn)，這個(gè)接口標(biāo)準(zhǔn)在業(yè)界應(yīng)具有權(quán)威性并易于操作，便于各廠家實(shí)現(xiàn)。

（2）逐步擴(kuò)充的原則。網(wǎng)絡(luò)系統(tǒng)安全集中管理包含的內(nèi)容很多，管理技術(shù)難度很大，安全管理平臺的建設(shè)應(yīng)選擇好切入點(diǎn)，本著由簡至繁，逐步擴(kuò)充的原則進(jìn)行。

（3）集中與分布的原則。許多單位網(wǎng)絡(luò)從結(jié)構(gòu)上看，呈樹狀的多節(jié)點(diǎn)分層（級）結(jié)構(gòu)。這些網(wǎng)絡(luò)具有分布廣、結(jié)構(gòu)復(fù)雜的特點(diǎn)。為此，可在各層（級）網(wǎng)管中心設(shè)置安全管理平臺，其作用是對本級局域網(wǎng)進(jìn)行集中安全管理；上級對下級采用分布式分級的方式進(jìn)行安全管理。

4 設(shè)計(jì)要求

（1）可擴(kuò)展性。信息安全管理平臺的系統(tǒng)設(shè)計(jì)，終端采用以對象模型驅(qū)動的管理機(jī)制，對象模型用XML語言描述，可以通過定義/修改對象模型的屬性（關(guān)系和操作），即插即用地?cái)U(kuò)充和管理網(wǎng)絡(luò)終端及服務(wù)。此外，管理平臺主機(jī)在性能和帶寬上，應(yīng)留有一定冗余度，具有管理1000～5000個(gè)對象的擴(kuò)展能力。

（2）易用性。信息安全管理平臺提供的所有功能，應(yīng)做到操作簡易，界面友好，使用方便。

（3）經(jīng)濟(jì)性。信息安全管理平臺設(shè)計(jì)，應(yīng)采用先進(jìn)的、成熟的軟硬件IT技術(shù)，搞好總體設(shè)計(jì)，優(yōu)化軟件編程，避免重復(fù)投資，提高性能價(jià)格比。

（4）穩(wěn)定可靠性。信息安全管理平臺設(shè)計(jì)，應(yīng)重視硬件支撐設(shè)備的選型，性能上應(yīng)留有空間；安全管理軟件要經(jīng)過充分測試，不斷優(yōu)化，保證系統(tǒng)穩(wěn)定可靠運(yùn)行。

（5）自身安全性。信息安全管理平臺設(shè)計(jì)，要重視自身的安全性，系統(tǒng)應(yīng)具有管理員身份和權(quán)限的雙重鑒別能力，應(yīng)保證數(shù)據(jù)網(wǎng)上傳輸?shù)耐暾浴⒈Ｃ苄院蛿?shù)據(jù)記錄的真實(shí)可靠及抗抵賴性。

5 系統(tǒng)組成和主要功能

信息安全管理平臺的基本功能是：對網(wǎng)絡(luò)系統(tǒng)、安全設(shè)備、重要應(yīng)用實(shí)施統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計(jì)、協(xié)同防護(hù)，以充分發(fā)揮網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的整體作用，提高網(wǎng)絡(luò)安全防護(hù)的等級和水平。

5.1 系統(tǒng)組成

信息安全管理平臺由幾個(gè)模塊組成：人機(jī)界面模塊、總控模塊、安全網(wǎng)管模塊、安全監(jiān)控模塊、安全審計(jì)模塊、安全策略處理模塊、安全模塊、安全事件分析模塊、安全事件響應(yīng)模塊、設(shè)備配置模塊、平臺與設(shè)備接口模塊和安全管理數(shù)據(jù)庫。系統(tǒng)的邏輯結(jié)構(gòu)如圖1所示。

（1）人機(jī)界面模塊。面向安全管理員的操作控制界面。

（2）總控模塊。總控模塊控制信息安全管理平臺各模塊正常運(yùn)轉(zhuǎn)，其中包括網(wǎng)絡(luò)通信和通信加密程序，用于保障網(wǎng)絡(luò)間遠(yuǎn)程數(shù)據(jù)交換的安全（主要是真實(shí)性和完整性）。

（3）安全網(wǎng)管模塊。用于顯示網(wǎng)絡(luò)拓?fù)洳⑦M(jìn)行安全網(wǎng)管。

（4）安全監(jiān)控模塊。用于對網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)設(shè)備進(jìn)行安全監(jiān)控。

（5）安全審計(jì)模塊。接受操作系統(tǒng)或下一級安全管理平臺發(fā)來的安全日志；接收主機(jī)、防火墻、IDS等網(wǎng)絡(luò)安全設(shè)備發(fā)來的報(bào)警信息；接收網(wǎng)絡(luò)出口探針記錄的網(wǎng)絡(luò)數(shù)據(jù)流信息，存儲并實(shí)時(shí)進(jìn)行內(nèi)容審計(jì)。安全審計(jì)的方式有三種：基于規(guī)則和特征的安全檢測，基于數(shù)據(jù)流的安全檢測，基于特定場景深度數(shù)據(jù)挖掘的安全檢測。審計(jì)的結(jié)果：啟動報(bào)警系統(tǒng)和產(chǎn)生安全態(tài)勢報(bào)表。

（6）安全策略處理模塊。自動將安全策略翻譯成安全設(shè)備可執(zhí)行的規(guī)則。

（7）安全模塊。安裝在網(wǎng)絡(luò)客戶機(jī)（服務(wù)器、終端）操作系統(tǒng)中，與安全管理平臺上的安全監(jiān)控模塊配合使用。其作用是用于接收安全管理平臺發(fā)來的監(jiān)控指令和審計(jì)規(guī)則；監(jiān)視客戶機(jī)的工作狀態(tài)；根據(jù)規(guī)則進(jìn)行安全過濾和記錄；將安全記錄實(shí)時(shí)發(fā)回至安全管理平臺。

（8）安全事件關(guān)聯(lián)分析模塊。將所有收集到的安全事件按其對系統(tǒng)安全的危害程度等級進(jìn)行重要性排隊(duì)，然后調(diào)閱安全專家知識庫，對事件進(jìn)行基于規(guī)則的實(shí)時(shí)關(guān)聯(lián)分析，該模塊可引入大數(shù)據(jù)的歷史關(guān)聯(lián)分析能力，以提升關(guān)聯(lián)的可信度。最終將分析結(jié)果（關(guān)聯(lián)要素）和處理規(guī)則，提交安全事件響應(yīng)模塊或管理員處理。

（9）安全事件響應(yīng)模塊。按預(yù)先制定的安全事件處理規(guī)則（應(yīng)急預(yù)案）對事件自動進(jìn)行安全處置。

（10）系統(tǒng)配置模塊。對IDS/IPS、防火墻、內(nèi)容監(jiān)測、主機(jī)等安全系統(tǒng)設(shè)備或模塊進(jìn)行安全和審計(jì)規(guī)則的配置。

（11）平臺與設(shè)備接口模塊。實(shí)現(xiàn)信息安全管理平臺與各類網(wǎng)絡(luò)安全產(chǎn)品之間的標(biāo)準(zhǔn)數(shù)據(jù)交換。其流程是：各類安全產(chǎn)品將各自檢測到的安全日志通過接口模塊進(jìn)行格式轉(zhuǎn)換后發(fā)給平臺安全事件收集模塊，供安全管理平臺分析處理。平臺人機(jī)界面或安全事件響應(yīng)模塊發(fā)出的處置指令，通過接口模塊發(fā)給指定的安全設(shè)備，安全設(shè)備接到指令后按相應(yīng)安全策略執(zhí)行；信息安全管理平臺能夠管理的系統(tǒng)和設(shè)備有：防火墻、IDS/IPS、內(nèi)容監(jiān)測、路由器、交換機(jī)、網(wǎng)絡(luò)主機(jī)。

（12）安全管理數(shù)據(jù)庫。安全管理數(shù)據(jù)庫是安全管理平臺運(yùn)行的基礎(chǔ)資源，主要存放從本級和下級網(wǎng)絡(luò)采集來的所有安全數(shù)據(jù)（包括日志數(shù)據(jù)、設(shè)備狀態(tài)數(shù)據(jù)）、安全策略數(shù)據(jù)、安全專家知識、網(wǎng)絡(luò)拓?fù)溥B接關(guān)系、網(wǎng)絡(luò)中所有客戶機(jī)的詳細(xì)地址和安全管理平臺加工的各種報(bào)表數(shù)據(jù)等。

5.2 主要功能

（1）網(wǎng)絡(luò)安全管理。在各級安全管理平臺上動態(tài)顯示本級局域網(wǎng)當(dāng)前網(wǎng)絡(luò)拓?fù)洌鶕?jù)策略，適時(shí)改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。動態(tài)顯示網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、服務(wù)器、終端）的在線狀態(tài)、參數(shù)配置，及時(shí)發(fā)現(xiàn)系統(tǒng)結(jié)構(gòu)變化情況和非授權(quán)聯(lián)網(wǎng)的情況，并予以響應(yīng)。

①自動識別網(wǎng)絡(luò)中主機(jī)的IP、機(jī)器名稱和MAC地址。

②按部門對設(shè)備（交換機(jī)、路由器）、主機(jī)和人員進(jìn)行管理。

③通過系統(tǒng)提供的智能學(xué)習(xí)功能，自動識別網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)。

④自動生成網(wǎng)絡(luò)拓?fù)鋱D（該網(wǎng)絡(luò)的真實(shí)物理聯(lián)接結(jié)構(gòu)圖），并能動態(tài)顯示當(dāng)前的網(wǎng)絡(luò)狀態(tài)，如圖2所示。

⑤動態(tài)顯示主機(jī)的當(dāng)前狀態(tài)，如合法使用（如IP和MAC地址的配對，已登記注冊的合法主機(jī)）、非法使用（如IP和MAC地址隨意更改） 、關(guān)機(jī)、不通或故障、未登記主機(jī)的入網(wǎng)使用等。

⑥可以自動發(fā)現(xiàn)入侵的主機(jī)，并關(guān)閉其網(wǎng)絡(luò)連接端口。

⑦提供主機(jī)與設(shè)備端口的綁定。

⑧提供網(wǎng)絡(luò)邏輯圖（顯示設(shè)備之間的連接關(guān)系）、網(wǎng)絡(luò)拓?fù)鋱D（顯示整個(gè)網(wǎng)絡(luò)中所有設(shè)備、主機(jī)及其連接關(guān)系）和組織結(jié)構(gòu)圖（顯示該單位的組織結(jié)構(gòu)），可以方便地在三種不同的顯示方式之間切換，便于網(wǎng)絡(luò)安全管理員全面掌握和操控整個(gè)網(wǎng)絡(luò)；在網(wǎng)絡(luò)拓?fù)鋱D中可以拖動設(shè)備（交換機(jī)、路由器、集線器）改變其相對位置；進(jìn)行文字和分組標(biāo)注；改變設(shè)備與設(shè)備、設(shè)備與主機(jī)之間的連接關(guān)系；還可以由系統(tǒng)對所有設(shè)備、主機(jī)進(jìn)行自動排列。

（2）網(wǎng)絡(luò)監(jiān)控管理。安全管理平臺上的網(wǎng)絡(luò)安全管理與監(jiān)控功能，可根據(jù)制定的安全策略，對受控主機(jī)進(jìn)行安全控制。

①對受控機(jī)進(jìn)行主機(jī)屏幕監(jiān)視或控制（接管）功能。

②對受控機(jī)部分或全部文件進(jìn)行訪問控制，即對文件的訪問，不僅要通過系統(tǒng)的認(rèn)證，還必須通過網(wǎng)絡(luò)安全管理與監(jiān)控系統(tǒng)的認(rèn)證才能訪問。

③對受控機(jī)網(wǎng)絡(luò)訪問進(jìn)行通斷控制。

④對受控機(jī)無線上網(wǎng)進(jìn)行阻斷控制。

⑤對受控機(jī)的打印機(jī)、USB移動設(shè)備進(jìn)行允許和阻斷控制。

⑥對受控機(jī)的進(jìn)程進(jìn)行監(jiān)控，可以控制指定進(jìn)程的加載。

⑦對受控機(jī)的internet訪問進(jìn)行基于IP和DNS的詳細(xì)控制，提供Internet網(wǎng)絡(luò)監(jiān)控。

（3）網(wǎng)絡(luò)安全設(shè)備管理。在各級安全管理平臺上，根據(jù)安全策略，對本級局域網(wǎng)設(shè)置的防火墻、IDS/IPS等進(jìn)行參數(shù)配置，并適時(shí)監(jiān)測安全設(shè)備的運(yùn)行狀態(tài)，以便及時(shí)處理。

（4）策略執(zhí)行管理。根據(jù)安全策略生成的安全規(guī)則，通過管理平臺向所有網(wǎng)絡(luò)系統(tǒng)中安全設(shè)備和主機(jī)用戶，實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)客戶機(jī)、安全設(shè)備及主要應(yīng)用系統(tǒng)進(jìn)行控制的目的。

安全策略處理模塊功能有：對中層安全策略提供的形式化語言進(jìn)行程序處理，輸出安全設(shè)備安全規(guī)則配置表；安全管理員通過安全管理平臺設(shè)備配置界面手工配置安全規(guī)則配置表；將安全規(guī)則配置表通過網(wǎng)絡(luò)發(fā)給安全設(shè)備并執(zhí)行；安全管理平臺也可直接對網(wǎng)絡(luò)中的受控客戶機(jī)進(jìn)行安全規(guī)則配置。

（5）審計(jì)管理。審計(jì)數(shù)據(jù)的獲取有四條渠道：各客戶機(jī)上的模塊發(fā)來的內(nèi)網(wǎng)安全事件實(shí)時(shí)報(bào)警和安全日志信息；不同廠家安全產(chǎn)品（防火墻、IDS等）發(fā)來的安全事件報(bào)警和安全日志信息；下級安全管理平臺發(fā)來的安全日志和網(wǎng)絡(luò)探針發(fā)來的網(wǎng)絡(luò)數(shù)據(jù)流信息。緊急安全事件報(bào)警信息通過安全事件分析和響應(yīng)模塊實(shí)時(shí)處理。 安全日志直接存入安全日志數(shù)據(jù)庫。網(wǎng)絡(luò)數(shù)據(jù)流存入盤陣中，供事后歷史數(shù)據(jù)關(guān)聯(lián)分析和部分實(shí)時(shí)處理。

在各級安全管理平臺上的審計(jì)管理包括：對本級局域網(wǎng)絡(luò)系統(tǒng)中的設(shè)備（包括 路由器、交換機(jī)、服務(wù)器、數(shù)據(jù)庫、客戶機(jī)）根據(jù)預(yù)先制定的審計(jì)規(guī)則產(chǎn)生的故障、訪問、配置、外設(shè)的報(bào)警信息和安全日志進(jìn)行審計(jì)；對本級局域網(wǎng)絡(luò)安全防護(hù)設(shè)備（包括 防火墻、IDS/IPS）及主要應(yīng)用系統(tǒng)等在運(yùn)行中產(chǎn)生的安全日志，進(jìn)行采集、分析；上級安全管理平臺有選擇的抽取下級的安全事件進(jìn)行審計(jì)，對嚴(yán)重的安全事件及時(shí)督促下級采取相應(yīng)措施及時(shí)整改；對本級局域網(wǎng)中的進(jìn)出口數(shù)據(jù)流進(jìn)行記錄和實(shí)時(shí)異常檢測。

審計(jì)內(nèi)容涉及十個(gè)方面。

①對受控機(jī)文件按IP地址、操作時(shí)間、操作類型、操作內(nèi)容、用戶名、機(jī)器名等進(jìn)行審計(jì)。

②對受控機(jī)進(jìn)行基于IP（源IP、目的IP）和DNS的internet訪問審計(jì)，審計(jì)內(nèi)容為源IP、目的IP、訪問時(shí)間、協(xié)議、服務(wù)和訪問內(nèi)容等。

③對受控機(jī)進(jìn)行程序和服務(wù)的安裝與卸載進(jìn)行審計(jì)，審計(jì)內(nèi)容為IP地址、操作時(shí)間、操作類型、程序（服務(wù)）名、操作用戶名等。

④對受控機(jī)進(jìn)行本地用戶登錄審計(jì)，審計(jì)內(nèi)容為IP地址、登錄時(shí)間、退出時(shí)間、登錄用戶名等。

⑤對受控機(jī)的打印機(jī)使用進(jìn)行審計(jì)，審計(jì)內(nèi)容為IP地址、打印時(shí)間、打印機(jī)名稱、文檔名稱和用戶名等。

⑥對受控機(jī)的USB移動存儲設(shè)備使用進(jìn)行審計(jì)，審計(jì)內(nèi)容為IP地址、時(shí)間、外設(shè)名稱、狀態(tài)等。

⑦對受控機(jī)的盤符狀態(tài)進(jìn)行審計(jì)，審計(jì)內(nèi)容為IP地址、時(shí)間、盤符、狀態(tài)等。

⑧對受控機(jī)的進(jìn)程狀況進(jìn)行審計(jì)，即受控機(jī)使用程序的狀況。

⑨對IDS/IPS探測到的非法入侵事件進(jìn)行審計(jì)。

⑩對網(wǎng)絡(luò)探針發(fā)來的數(shù)據(jù)流進(jìn)行審計(jì)。

安全管理員可通過系統(tǒng)隨時(shí)調(diào)閱安全日志、網(wǎng)絡(luò)狀態(tài)以及網(wǎng)絡(luò)流量等信息，并進(jìn)行統(tǒng)計(jì)查詢。這些信息是事后了解和判斷網(wǎng)絡(luò)安全事故的寶貴資料。

（6）網(wǎng)絡(luò)病毒監(jiān)控管理。在各級安全管理平臺上，建立病毒集中管理監(jiān)控機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)病毒的監(jiān)控與管理。防病毒系統(tǒng)應(yīng)包括單機(jī)版、網(wǎng)絡(luò)版和防病毒網(wǎng)關(guān)，在信息安全管理平臺上對本級網(wǎng)絡(luò)節(jié)點(diǎn)的防病毒運(yùn)行情況進(jìn)行監(jiān)控，如防病毒庫、掃描引擎更新日期、系統(tǒng)配置等。具體實(shí)現(xiàn)：確保防病毒策略統(tǒng)一部署，統(tǒng)一實(shí)施，保證防病毒體系執(zhí)行相同的安全策略，防止出現(xiàn)病毒安全防御中的漏洞；保證系統(tǒng)管理員了解整體防病毒體系的工作狀態(tài)，從整體防控的高度掌握病毒入侵的情況，從而采取必要的措施，及時(shí)提供新的防病毒升級庫；通過信息安全管理平臺提供的信息，與防病毒廠商保持熱線聯(lián)系與技術(shù)支持。

（7）應(yīng)用系統(tǒng)監(jiān)測。信息安全建設(shè)的一個(gè)重要內(nèi)容是確保網(wǎng)上關(guān)鍵業(yè)務(wù)的可靠性、可信性、可用性。因此，對網(wǎng)上關(guān)健業(yè)務(wù)的監(jiān)測記錄非常重要，主要體現(xiàn)在四個(gè)方面：監(jiān)測記錄關(guān)鍵業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)中會話過程，可以幫助分析有無非法插入、偽裝的業(yè)務(wù)會話；阻止偽裝的業(yè)務(wù)會話與關(guān)鍵業(yè)務(wù)交互，確保業(yè)務(wù)流程的可信性；監(jiān)測分析關(guān)鍵業(yè)務(wù)會話過程的響應(yīng)與交互時(shí)間，找出影響關(guān)鍵業(yè)務(wù)系統(tǒng)網(wǎng)上運(yùn)行效率的問題，確保業(yè)務(wù)流程的可用性；應(yīng)用系統(tǒng)的監(jiān)測主要通過內(nèi)容監(jiān)測系統(tǒng)和網(wǎng)絡(luò)探頭實(shí)現(xiàn)。

（8）安全事件處理。信息安全管理平臺上收到IDS/IPS、防火墻和網(wǎng)絡(luò)受控主機(jī)發(fā)來的安全事件時(shí)，將其打入事件隊(duì)列。事件隊(duì)列依據(jù)等級排隊(duì)后，則交給安全事件關(guān)聯(lián)分析模塊，使用專家知識或決策分析算法對事件進(jìn)行關(guān)聯(lián)分析并按預(yù)案和規(guī)則給出處置策略，然后交給安全事件響應(yīng)模塊進(jìn)行自動化智能處理或交給安全管理員處理。

6 系統(tǒng)應(yīng)用模型

（1）分布式多層次的管理結(jié)構(gòu)。由于大多數(shù)網(wǎng)絡(luò)是一個(gè)多層次的樹狀網(wǎng)絡(luò)系統(tǒng)，結(jié)構(gòu)復(fù)雜、分布范圍寬、網(wǎng)絡(luò)客戶機(jī)多，所以應(yīng)按照分布式多層次的管理結(jié)構(gòu)進(jìn)行安全管理，如圖3所示，某單位網(wǎng)絡(luò)假設(shè)三級網(wǎng)絡(luò)安全管理中心，每個(gè)中心設(shè)一臺安全管理平臺，遂行本級網(wǎng)絡(luò)的安全管理。上級管理中心通過安全管理平臺將必要的安全策略，標(biāo)準(zhǔn)和協(xié)議信息下傳給下級管理中心。上級管理中心也可通過安全管理平臺獲取下級管理中心的審計(jì)信息。如上級的安全管理平臺通過網(wǎng)絡(luò)可調(diào)看下級的網(wǎng)絡(luò)拓?fù)浜桶踩录幹脠?bào)告，掌握下級的網(wǎng)絡(luò)安全狀況。

（2）各級安全管理中心的數(shù)據(jù)傳輸模式。安全管理中心的安全數(shù)據(jù)上傳和下達(dá)采用C/S模式，一般由上級管理中心提出申請，下級管理中心回應(yīng)。因?yàn)榫陀?jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)系統(tǒng)實(shí)際運(yùn)行狀況來看，總是要求下級管理中心上報(bào)的數(shù)據(jù)多于上級管理中心向下傳達(dá)的數(shù)據(jù)。為了保證數(shù)據(jù)傳輸?shù)膶?shí)時(shí)準(zhǔn)確，以上級管理中心為Server，下級管理中心為Client。下級管理中心是多對一的數(shù)據(jù)交流模式。對于上級管理中心下傳數(shù)據(jù)，采取下級管理中心的數(shù)據(jù)庫按時(shí)輪訊的方式實(shí)現(xiàn)。

當(dāng)安全管理中心多于兩級時(shí)，數(shù)據(jù)傳輸模式如圖4所示。

（3）安全數(shù)據(jù)交換的一致性保證。為保證安全管理中心之間數(shù)據(jù)交換的一致性，采用事務(wù)提交與時(shí)間標(biāo)簽相結(jié)合的方式來實(shí)現(xiàn)。安全數(shù)據(jù)的事務(wù)提交：由于上下級之間是跨區(qū)域的遠(yuǎn)程傳輸，為保證數(shù)據(jù)的完整性，采用數(shù)據(jù)的事務(wù)提交方式來處理，每一次傳輸?shù)臄?shù)據(jù)將是一個(gè)整體事件的所有數(shù)據(jù)，這樣就能保證數(shù)據(jù)的完整性。反之，則必須重傳。為了處理重傳同步和上下級之間的一致性，我們?yōu)槊恳粋€(gè)事務(wù)加一個(gè)時(shí)間標(biāo)簽，即每次傳輸完一個(gè)事務(wù)的所有數(shù)據(jù)時(shí)同時(shí)加傳一個(gè)時(shí)間標(biāo)簽記錄。這個(gè)記錄至少應(yīng)有如下幾項(xiàng)：日期時(shí)間、事務(wù)名、該事務(wù)的記錄數(shù)。

收方當(dāng)收到這個(gè)時(shí)間標(biāo)簽后， 則表明一個(gè)事務(wù)的數(shù)據(jù)傳輸結(jié)束，則可以更新數(shù)據(jù)，同時(shí)將此時(shí)間標(biāo)簽保存下來，并回發(fā)一個(gè)確認(rèn)包。發(fā)送方如收到這個(gè)包，則認(rèn)為上級中心已更新了這個(gè)事務(wù)的數(shù)據(jù)，就從時(shí)間標(biāo)簽隊(duì)列里清除掉這個(gè)時(shí)間標(biāo)簽。

上述過程已完整地表述了異地?cái)?shù)據(jù)一致性分布的實(shí)現(xiàn)方法，如圖5所示。

7 系統(tǒng)安全管理流程

信息安全管理平臺的安全管理貫穿整個(gè)信息系統(tǒng)運(yùn)行過程，包括事前、事中、事后等過程。

（1）信息系統(tǒng)運(yùn)行前。安全管理平臺對信息系統(tǒng)的安全管理，從實(shí)施前的安全策略的制定、風(fēng)險(xiǎn)評估分析、系統(tǒng)安全加固以及對實(shí)施人員進(jìn)行安全訓(xùn)練就已經(jīng)開始，保證在已有的安全防護(hù)體系條件下對系統(tǒng)存在的安全隱患和將實(shí)施的安全策略心中有數(shù)。

（2）信息系統(tǒng)運(yùn)行中。在系統(tǒng)運(yùn)行過程中，對網(wǎng)絡(luò)中的各種主機(jī)、安全設(shè)備實(shí)施全程安全監(jiān)控，安全運(yùn)行日志同時(shí)進(jìn)行詳細(xì)的記錄，在系統(tǒng)發(fā)生安全事件時(shí)，根據(jù)事件等級進(jìn)行排隊(duì)，安全管理平臺實(shí)時(shí)調(diào)用相應(yīng)的事件處理機(jī)制。事件的處理機(jī)制見事件處理流程如圖6所示。

（3）信息系統(tǒng)運(yùn)行后。定期組織進(jìn)行安全自查，消除安全隱患。通過分析系統(tǒng)運(yùn)行的狀況（包括性能分析、日志跟蹤、故障出現(xiàn)概率統(tǒng)計(jì)等），提出新的安全需求，進(jìn)行技術(shù)改進(jìn)，包括系統(tǒng)升級、加固和變更管理。

（4）安全事件管理方式和處理流程。

自動處理： 將預(yù)案中的安全事件及其處理辦法（如系統(tǒng)弱點(diǎn)漏洞、惡意攻擊特征、病毒感染特征、網(wǎng)絡(luò)故障和違規(guī)操作、防火墻與IDS聯(lián)動、沙箱模擬運(yùn)行等）存入安全知識庫并形成相應(yīng)的處理規(guī)則，當(dāng)相應(yīng)事件出現(xiàn)時(shí)，系統(tǒng)將根據(jù)處理規(guī)則進(jìn)行自動處理。

人工干預(yù)處理：根據(jù)情況的需要，也可在信息安全管理平臺上按事件級別進(jìn)行人工干預(yù)處理，主要包括技術(shù)咨詢、數(shù)據(jù)恢復(fù)、系統(tǒng)恢復(fù)、系統(tǒng)加固、現(xiàn)場問題處理、跟蹤攻擊源、處理報(bào)告提交等。

遠(yuǎn)程處理：當(dāng)安全管理員從管理平臺的拓?fù)鋱D上觀察到安全事件發(fā)生時(shí)或收到下級轉(zhuǎn)交的要求協(xié)助解決的安全事件時(shí)，除了直接提供處理方案給對方外，還可以通過遠(yuǎn)程操作直接對發(fā)生安全事件的系統(tǒng)進(jìn)行診斷和處理。

決策分析處理：決策分析模塊預(yù)先收集、整理安全事件的資料，組織安全專家根據(jù)事件類型、出現(xiàn)事件的設(shè)備、事件發(fā)生的頻繁度、事件的危害程度等因素列出等級、層次并打分，列出判斷矩陣，運(yùn)用層次分析法求解判斷矩陣，分別計(jì)算出各因素的權(quán)重值，一并存入專家知識庫中。運(yùn)行時(shí)將調(diào)用專家知識庫對實(shí)時(shí)收到的系統(tǒng)安全事件進(jìn)行判斷和計(jì)算，如果是單條事件根據(jù)預(yù)案直接處置，多條事件則求出組合權(quán)重值并對事件排隊(duì)，系統(tǒng)根據(jù)事件重要程度依據(jù)預(yù)案依次處置。

安全系統(tǒng)聯(lián)動處理：安全事件響應(yīng)模塊根據(jù)安全事件關(guān)聯(lián)分析模塊發(fā)來的安全事件關(guān)聯(lián)要素調(diào)用應(yīng)急預(yù)案庫進(jìn)行安全設(shè)備聯(lián)動處理，如收到IDS檢測到某協(xié)議某端口有DDOS攻擊，依據(jù)預(yù)案將發(fā)送安全規(guī)則給總出口的防火墻，及時(shí)關(guān)閉該協(xié)議和端口。以實(shí)現(xiàn)一體化安全管理。

記錄和事后處理：信息安全管理平臺在信息系統(tǒng)運(yùn)行時(shí)收集并記錄所有的安全事件和報(bào)警信息，這些事件和信息將作為事后分析的依據(jù)。

8 關(guān)鍵技術(shù)及設(shè)計(jì)思路

一個(gè)系統(tǒng)是否先進(jìn)和實(shí)用，關(guān)鍵是系統(tǒng)的設(shè)計(jì)思想和所應(yīng)用的技術(shù)。為了使下一代信息安全管理平臺具有創(chuàng)新性，我們提出了“應(yīng)用大數(shù)據(jù)挖掘及分析技術(shù)”和“重點(diǎn)防御AET和APT”的設(shè)計(jì)思想，并且應(yīng)用了多方面的先進(jìn)技術(shù)。

在本系統(tǒng)中，采用了幾項(xiàng)技術(shù)：形式化語言翻譯技術(shù)；安全產(chǎn)品數(shù)據(jù)交換標(biāo)準(zhǔn)；安全事件決策分析技術(shù)；高性能數(shù)據(jù)采集器；安全事件的關(guān)聯(lián)分析；大數(shù)據(jù)挖掘分析；AET和APT檢測技術(shù)。

（1）安全產(chǎn)品數(shù)據(jù)交換標(biāo)準(zhǔn)。為市場上的安全產(chǎn)品（如防火墻、IDS/IPS、漏洞掃描、安全審計(jì)和防病毒產(chǎn)品等）制定數(shù)據(jù)交換標(biāo)準(zhǔn)。為此，所有安全產(chǎn)品都必須清楚地描述幾方面內(nèi)容（BNF描述法）：

：：=

：：=||

：：=|

：：=||||

：：=||||

：：=||||

：：=||||

（2）高性能數(shù)據(jù)采集器。高性能數(shù)據(jù)采集器也叫探針，是信息內(nèi)容監(jiān)測系統(tǒng)和大數(shù)據(jù)安全分析的前端設(shè)備，該設(shè)備性能的好壞直接影響系統(tǒng)的功能和性能。如法國GN Fastnet C Probe硬件設(shè)備，該設(shè)備的特點(diǎn)是：直接嵌入需要監(jiān)測的網(wǎng)絡(luò)；不損失網(wǎng)絡(luò)性能與效率，能夠適應(yīng)多種網(wǎng)絡(luò)環(huán)境，能夠采集多種協(xié)議下的數(shù)據(jù)流信息；全線速采集數(shù)據(jù)100M

利用該設(shè)備作為信息內(nèi)容監(jiān)測系統(tǒng)和大數(shù)據(jù)安全分析的數(shù)據(jù)采集設(shè)備，能夠適應(yīng)多種類型的網(wǎng)絡(luò)接口：局域網(wǎng)、企業(yè)網(wǎng)、廣域網(wǎng)、快速以太網(wǎng)等，它的高性能的數(shù)據(jù)采集能力，極大地降低了系統(tǒng)數(shù)據(jù)采集的漏包率。

（3）安全事件的關(guān)聯(lián)分析。對包含安全事件的數(shù)據(jù)流進(jìn)行分析，如果是結(jié)構(gòu)化數(shù)據(jù)可在基于經(jīng)驗(yàn)知識，人工建立的規(guī)則和模型基礎(chǔ)上，進(jìn)行簡單的關(guān)聯(lián)：安全事件與用戶身份的關(guān)聯(lián)分析實(shí)現(xiàn)安全事件到“人”的定位；安全事件與系統(tǒng)脆弱性信息的關(guān)聯(lián)分析實(shí)現(xiàn)安全事件危害程度的正確評估；安全事件與威脅源關(guān)聯(lián)分析提高評估安全事件的級別和緊急程度的可信度；多個(gè)安全事件的關(guān)聯(lián)分析，聚焦安全事件的連鎖危害，提升安全事件的嚴(yán)重級別和緊急程度；泄密安全事件與身份信息的關(guān)聯(lián)實(shí)現(xiàn)泄密源的真正定位；安全事件自身關(guān)聯(lián)實(shí)現(xiàn)安全事件活動場景的全展現(xiàn)；安全事件與流量樣本數(shù)據(jù)關(guān)聯(lián)分析，判斷安全事件的性質(zhì)（是否AET或APT攻擊）。

（4）大數(shù)據(jù)挖掘和分析。目前的大數(shù)據(jù)分析主要有兩條技術(shù)路線，一是憑借先驗(yàn)知識人工建立數(shù)學(xué)模型，二是通過建立人工智能系統(tǒng)，使用大量樣本數(shù)據(jù)進(jìn)行訓(xùn)練，讓機(jī)器代替人工獲得從數(shù)據(jù)中提取知識的能力。

由于AET和APT攻擊的數(shù)據(jù)包大部是非結(jié)構(gòu)化或半結(jié)構(gòu)化數(shù)據(jù)，模式不明且多變，因此難以靠人工建立數(shù)據(jù)模型去挖掘其特征，只能通過人工智能和機(jī)器學(xué)習(xí)技術(shù)進(jìn)行分析判斷。

應(yīng)用大數(shù)據(jù)挖掘和分析新型網(wǎng)絡(luò)攻擊的思路：通過大數(shù)據(jù)解決方案將相關(guān)歷史數(shù)據(jù)（攻擊流量）保存下來，通過人工智能軟件來分析這些樣本并提取相應(yīng)的知識，將疑似AET和APT攻擊的異常樣本知識存入專家知識庫。

大數(shù)據(jù)挖掘和分析在平臺中主要用于分析與檢測：流量異常分析，行為異常分析，內(nèi)容異常分析，日志與網(wǎng)絡(luò)數(shù)據(jù)流的關(guān)聯(lián)分析，威脅與脆弱性的關(guān)聯(lián)分析，基于正常的安全基線模型檢測異常事件。

（5）AET和APT檢測判斷技術(shù)。未知威脅最典型也是最難檢測的屬AET和APT，所以新一代信息安全管理平臺中的IDS/IPS和防火墻必須包括不斷更新的AET庫，專家知識庫中應(yīng)包括APT攻擊樣本知識，因?yàn)锳ET和APT用傳統(tǒng)的威脅攻擊特征庫根本無法比對發(fā)現(xiàn)。AET主要通過先進(jìn)的AET知識庫進(jìn)行合規(guī)性判別，其核心的先進(jìn)檢測技術(shù)主要包括“對全協(xié)議層數(shù)據(jù)流進(jìn)行解碼和規(guī)范化”，“基于規(guī)范化的逃避技術(shù)清除”，“基于應(yīng)用層數(shù)據(jù)流的特征檢測” 。

APT可以通過多種手段進(jìn)行分析檢測：收集來自IT系統(tǒng)的各種信息，如圖8所示。

基于流量統(tǒng)計(jì)的檢測。記錄關(guān)鍵節(jié)點(diǎn)的正常網(wǎng)絡(luò)通信數(shù)據(jù)包樣本，以樣本特征檢測為輔異常檢測為主，通過異常檢測發(fā)現(xiàn)未知的入侵。

沙盒分析與入侵指標(biāo)確認(rèn)。將疑似APT數(shù)據(jù)包組裝好，放入沙盒（緩存）中模擬運(yùn)行（引爆）并與入侵指標(biāo)（活動進(jìn)程、操作行為、注冊表項(xiàng)等）比對加以驗(yàn)證。

9 安全管理數(shù)據(jù)庫系統(tǒng)的設(shè)計(jì)

（1）數(shù)據(jù)組織與分類。根據(jù)信息安全管理平臺的需求，安全管理數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)內(nèi)容包括：管理信息、網(wǎng)管信息、安全審計(jì)、專家知識四類十余種數(shù)據(jù)格式。安全管理數(shù)據(jù)庫系統(tǒng)，是以四類數(shù)據(jù)為處理對象，實(shí)現(xiàn)對信息安全管理平臺數(shù)據(jù)的積累、存貯管理、更新、查詢及處理功能的數(shù)據(jù)庫應(yīng)用系統(tǒng)。經(jīng)過數(shù)據(jù)庫設(shè)計(jì)，安全管理數(shù)據(jù)庫系統(tǒng)的四類十余種數(shù)據(jù)格式，規(guī)范分解為包括10余種關(guān)系結(jié)構(gòu)的關(guān)系模型，在此基礎(chǔ)上可根據(jù)用戶應(yīng)用要求設(shè)計(jì)多種格式的審計(jì)報(bào)表。

（2）數(shù)據(jù)庫結(jié)構(gòu)框圖。通過上述信息安全管理平臺的設(shè)計(jì)思路簡介，可以大致了解新一代信息安全管理平臺的工作過程和在網(wǎng)絡(luò)安全管理上發(fā)揮的作用，我們希望早日看到擁有自主知識產(chǎn)權(quán)的國產(chǎn)信息安全管理平臺在我國重要信息系統(tǒng)的網(wǎng)絡(luò)安全管理上發(fā)揮重要的作用。

【注1】 AET（Advanced Evasion Techniques），有的文章譯為高級逃避技術(shù)、高級逃逸技術(shù)，筆者認(rèn)為譯為高級隱遁技術(shù)比較貼切，即說明采用這種技術(shù)的攻擊不留痕跡，又可躲避IDS、IPS的檢測和阻攔。

【注2】 APT（Advanced Persistent Threat）直譯為高級持續(xù)性威脅。這種威脅的特點(diǎn)，一是具有極強(qiáng)的隱蔽能力和很強(qiáng)的針對性；二是一種長期而復(fù)雜的威脅方式。它通常使用特種攻擊技術(shù)（包括高級隱遁技術(shù)）對目標(biāo)進(jìn)行長期的、不定期的探測（攻擊）。

參考文獻(xiàn)

[1] 信息安全管理平臺的設(shè)計(jì)[J].計(jì)算機(jī)安全，2003年第12期.

[2] CNGate 下一代高智能入侵防御系統(tǒng).北京科能騰達(dá)信息技術(shù)有限公司，2012年8月.

[3] 高級隱遁技術(shù)對當(dāng)前信息安全防護(hù)提出的嚴(yán)峻挑戰(zhàn)[J].計(jì)算機(jī)安全，2012年第12期.

[4] 高級隱遁攻擊的技術(shù)特點(diǎn)研究[J].計(jì)算機(jī)安全，2013年第3期.

[5] 星云多維度威脅預(yù)警系統(tǒng)V2.0.南京翰海源信息技術(shù)有限公司，2013年12月.

[6] 我國防護(hù)特種網(wǎng)絡(luò)攻擊技術(shù)現(xiàn)狀[J].信息安全與技術(shù)，2014年第5期.

[7] 大數(shù)據(jù)白皮書2014年.工業(yè)和信息化部電信研究院，2014年5月.

[8] 提高對新型網(wǎng)絡(luò)攻擊危害性的認(rèn)識 增強(qiáng)我國自主安全檢測和防護(hù)能力[J].信息安全與技術(shù)，2014年第10期.

[9] CNGate-SIEM 安全信息事件管理平臺.北京科能騰達(dá)信息技術(shù)有限公司，2015年6月.

第9篇

關(guān)鍵詞：電力；信息化；安全問題

1 電力系統(tǒng)網(wǎng)絡(luò)信息安全的概述與現(xiàn)狀分析

電力系統(tǒng)的信息安全不僅可以保障電力生產(chǎn)運(yùn)行的安全性，還是電力企業(yè)對用戶供電可靠性的重要保證。電力系統(tǒng)網(wǎng)絡(luò)信息安全是一項(xiàng)涉及到電力的生產(chǎn)、經(jīng)營和管理等多方面的系統(tǒng)工程，它控制著電力系統(tǒng)中電網(wǎng)調(diào)度自動化、繼電保護(hù)裝置自動化、配電網(wǎng)自動化、變電運(yùn)行智能化、電力負(fù)荷控制、電力市場交易以及電力營銷等環(huán)節(jié)性能的正常發(fā)揮。根據(jù)電力工業(yè)的特點(diǎn)，再結(jié)合電力工業(yè)信息網(wǎng)絡(luò)系統(tǒng)和電力運(yùn)行實(shí)時(shí)控制系統(tǒng)，對電力系統(tǒng)信息安全問題進(jìn)行分析，發(fā)現(xiàn)許多電力系統(tǒng)中的信息工程沒有建立一個(gè)完整的安全體系，只是以防病毒軟件和防火墻來作為安全防護(hù)，有的甚至連信息安全防護(hù)設(shè)施也沒有，從而給電力系統(tǒng)網(wǎng)絡(luò)信息安全埋下了許多安全隱患。針對此現(xiàn)象，電力企業(yè)必須盡快對電力系統(tǒng)建立一個(gè)計(jì)算機(jī)信息安全體系以保護(hù)電力系統(tǒng)網(wǎng)絡(luò)信息的安全。

2 電力企業(yè)網(wǎng)絡(luò)信息安全問題概述

2.1 電力企業(yè)中信息化部門的建設(shè)不健全

在電力企業(yè)中，電力信息部門沒有受到應(yīng)有的重視，它既沒有配備專門的機(jī)構(gòu)設(shè)施，也沒有設(shè)立專門的崗位進(jìn)行作業(yè)，更沒有規(guī)范的制度進(jìn)行管理，從而根本無法滿足電力系統(tǒng)信息化對人才和機(jī)構(gòu)的要求。

2.2 電力企業(yè)的信息化管理還跟不上信息化發(fā)展的速度

信息技術(shù)在電力系統(tǒng)中的應(yīng)用與發(fā)展已越來越廣泛，然而電力企業(yè)針對電力信息化的管理還比較落后，無法跟上發(fā)展速度，從而導(dǎo)致信息系統(tǒng)的功能無法完全的發(fā)揮出來，對電力系統(tǒng)的作用也不盡如意。

2.3 電力企業(yè)安全文化建設(shè)中網(wǎng)絡(luò)信息安全管理所處的地位不恰當(dāng)

現(xiàn)在，信息安全管理在電力企業(yè)安全文化建設(shè)中仍然是處于從屬地位，從而阻礙了信息安全在電力行業(yè)中的發(fā)展。因此，電力企業(yè)要重視信息安全管理的發(fā)展，使其成為企業(yè)安全文化的中堅(jiān)力量。

2.4 電力企業(yè)網(wǎng)絡(luò)信息安全中存在著多方面的風(fēng)險(xiǎn)

電力企業(yè)網(wǎng)絡(luò)信息和其他的企業(yè)網(wǎng)絡(luò)信息一樣，存在著多方面的安全風(fēng)險(xiǎn)，例如：網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)不合理的風(fēng)險(xiǎn)、來自互聯(lián)網(wǎng)的信息干擾風(fēng)險(xiǎn)、來自企業(yè)內(nèi)部的操作不當(dāng)風(fēng)險(xiǎn)、病毒的侵害的風(fēng)險(xiǎn)、管理人員素質(zhì)低風(fēng)險(xiǎn)、系統(tǒng)的安全風(fēng)險(xiǎn)等。

3 電力企業(yè)網(wǎng)絡(luò)信息安全問題的原因分析

3.1 電力企業(yè)對網(wǎng)絡(luò)信息安全防護(hù)的意識薄弱且管理不夠

技術(shù)人員對電力系統(tǒng)網(wǎng)絡(luò)信息的安全意識薄弱，經(jīng)常性的忽視了對其安全性的管理與防護(hù)，并且電力企業(yè)更側(cè)重于網(wǎng)絡(luò)效應(yīng)，對信息安全的重視還遠(yuǎn)遠(yuǎn)不夠，管理和投入也達(dá)不到安全防范的要求。因此，電力企業(yè)的網(wǎng)絡(luò)信息安全一直都處在被動的封堵漏涮狀態(tài)。

3.2 電力企業(yè)中網(wǎng)絡(luò)信息安全的運(yùn)行管理機(jī)制不完善

現(xiàn)今我國電力行業(yè)中對電力系統(tǒng)的運(yùn)行管理機(jī)制還存在著一些缺陷和不足，如網(wǎng)絡(luò)安全管理方面的人才欠缺、網(wǎng)絡(luò)信息安全防護(hù)措施的不完善及實(shí)施不到位、缺乏綜合性的安全解決方案。

4 電力企業(yè)網(wǎng)絡(luò)信息安全管理內(nèi)容的介紹

4.1 網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的管理

對于網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的管理首先得識別企業(yè)的信息資產(chǎn)，再對威脅這些資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行預(yù)估與統(tǒng)計(jì)整理，最后假定這些風(fēng)險(xiǎn)的發(fā)生給企業(yè)所帶來的災(zāi)難和損失進(jìn)行評估，從而達(dá)到對風(fēng)險(xiǎn)實(shí)施降低、避免、轉(zhuǎn)嫁等多種管理方式，為管理部門企業(yè)信息安全策略的制定奠定基礎(chǔ)。

4.2 企業(yè)信息安全策略的制定

信息安全策略要作為電力企業(yè)安全管理的最高方針，它的制定必須由企業(yè)的高級管理部門進(jìn)行審核通過，并要以書面文檔的形式進(jìn)行保存與企業(yè)員工之間的傳閱。

4.3 企業(yè)員工的網(wǎng)絡(luò)信息安全教育

信息安全意識和信息安全管理技能的培訓(xùn)是企業(yè)安全管理中的重要內(nèi)容，其實(shí)施的力度將直接影響到企業(yè)安全策略的認(rèn)知度和執(zhí)行度。因此，電力企業(yè)的高級管理部門要對企業(yè)的各級管理人員、技術(shù)人員以及用戶等多加開展安全教育活動，使他們能夠詳細(xì)的了解企業(yè)信息安全策略，并執(zhí)行到位，從而有效的保證電力企業(yè)網(wǎng)絡(luò)信息的安全。

5 電力企業(yè)網(wǎng)絡(luò)信息安全問題的解決措施

5.1 加強(qiáng)電力系統(tǒng)網(wǎng)絡(luò)信息的安全規(guī)化

企業(yè)網(wǎng)絡(luò)安全規(guī)劃的目的就是為了對網(wǎng)絡(luò)的安全問題有一個(gè)全方位的認(rèn)識與了解，培養(yǎng)人們能夠以系統(tǒng)的觀點(diǎn)去考慮與解決安全問題。因此，電力企業(yè)要加強(qiáng)對電力系統(tǒng)網(wǎng)絡(luò)信息安全的規(guī)劃，建立一套系統(tǒng)全面的信息安全管理體系，從而達(dá)到對網(wǎng)絡(luò)信息安全的有效管理。

5.2 加強(qiáng)電力企業(yè)信息網(wǎng)絡(luò)安全域的合理劃分

電力企業(yè)的信息網(wǎng)絡(luò)實(shí)施的是特理隔離法，因此在其內(nèi)網(wǎng)上要加強(qiáng)安全域的合理劃分。這就需要結(jié)合電力系統(tǒng)的整體安全規(guī)劃和信息安全密級進(jìn)行邏輯上的安全域劃分，其一般劃分為核心重點(diǎn)防范區(qū)域、一般防范區(qū)域和開放區(qū)域，其中的重點(diǎn)防范的區(qū)域是電力企業(yè)網(wǎng)絡(luò)安全管理的中心部分。

5.3 加強(qiáng)企業(yè)信息安全管理制度的建立

電力企業(yè)網(wǎng)絡(luò)信息安全的管理需有安全管理制度作為其基礎(chǔ)與依據(jù)。因此，要加強(qiáng)對電力企業(yè)信息安全管理制度的建立并將其落實(shí)到位，例如，加強(qiáng)企業(yè)對網(wǎng)絡(luò)信息安全的重視程度，加強(qiáng)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和運(yùn)行環(huán)境的建設(shè)，堅(jiān)持安全為主、多人負(fù)責(zé)的管理原則，定期進(jìn)行安全督導(dǎo)檢查。另外，還需加強(qiáng)電力系統(tǒng)運(yùn)行日志的管理與安全審計(jì)，建立一套企業(yè)內(nèi)網(wǎng)的統(tǒng)一認(rèn)證系統(tǒng)，以及建立一套適合電力企業(yè)的病毒防護(hù)體系等。

5.4 加強(qiáng)企業(yè)工作人員的網(wǎng)絡(luò)信息安全教育

加強(qiáng)企業(yè)工作人員的網(wǎng)絡(luò)信息安全教育對電力企業(yè)的信息化安全來說也十分重要。企業(yè)在開展網(wǎng)絡(luò)信息安全教育工作時(shí)要注意其層次性，特定人員要進(jìn)行特別的安全培訓(xùn)。對信息安全工作的高級負(fù)責(zé)人和各級管理員的安全教育工作重點(diǎn)是要加強(qiáng)他們對企業(yè)信息安全策略和目標(biāo)的充分了解，加強(qiáng)他們對企業(yè)信息安全體系和企業(yè)安全管理制度的建立與編制工作的完成。對于信息安全運(yùn)行的管理維護(hù)人員的教育工作則是要加強(qiáng)他們對信息安全管理策略的充分理解、安全評估基本方法的熟練掌握、安全操作和維護(hù)技術(shù)運(yùn)用能力的大力提升。對于那些關(guān)鍵、特殊崗位的人員可以將他們送往專業(yè)機(jī)構(gòu)進(jìn)行專業(yè)特定的安全知識和技能的學(xué)習(xí)和培訓(xùn)。

6 結(jié)束語

電力網(wǎng)絡(luò)信息安全的管理問題是一個(gè)全面系統(tǒng)的工程，網(wǎng)絡(luò)上的任何一處風(fēng)險(xiǎn)都有可能導(dǎo)致整個(gè)電力網(wǎng)的安全問題，我們要用系統(tǒng)的觀點(diǎn)進(jìn)行電力網(wǎng)絡(luò)安全問題的分析與解決。網(wǎng)絡(luò)信息安全問題的解決可以利用行政法律手段和各種管理制度以及專業(yè)措施來進(jìn)行，其中技術(shù)與管理相輔相成。電力系統(tǒng)網(wǎng)絡(luò)信息安全問題的解決需建立一個(gè)有效的運(yùn)行管理機(jī)制，加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的認(rèn)知和人員安全意識的培訓(xùn)，將有效的安全管理貫徹落實(shí)到信息安全中來。另外，在電力企業(yè)中建立安全文化，并將網(wǎng)絡(luò)信息安全管理在整個(gè)企業(yè)文化體系中貫徹落實(shí)好，使其成為中堅(jiān)力量才是電力信息化安全問題的最基本解決辦法。

參考文獻(xiàn)

[1]周冰.電力信息化切入核心[J].信息系統(tǒng)工程，2003.

第10篇

沒有安全，何以生存，遑論發(fā)展；而信息時(shí)代安全的核心內(nèi)容之一，便是信息安全。蓋緣于此，世界上主要發(fā)達(dá)國家始終十分重視信息安全工作。

1998年5月22日，美國克林頓政府頒布了《保護(hù)美國關(guān)鍵基礎(chǔ)設(shè)施》總統(tǒng)令（PDD63），圍繞“信息安全”成立了包括全國信息安全委員會、全國信息安全同盟、關(guān)鍵基礎(chǔ)設(shè)施保障辦公室、首席信息官委員會等10余各全國性機(jī)構(gòu)。同年，美國國家安全局（NSA）制定了《信息安全保障框架》（IATF），提出了深度防御策略。2000年發(fā)表了《總統(tǒng)國家安全戰(zhàn)略報(bào)告》，首次將信息安全明確列入其中。布什政府在911之后成立了國土安全部、國家KIP委員會，并于2002年和2003年陸續(xù)頒布了《國家保障數(shù)字空間安全策略》、《國家安全戰(zhàn)略報(bào)告》和《網(wǎng)絡(luò)空間安全國家戰(zhàn)略計(jì)劃》。奧巴馬總統(tǒng)上臺不久，就親自主導(dǎo)了為期60天的信息安全評估項(xiàng)目，并于2009年5月公布了《美國網(wǎng)絡(luò)安全評估》報(bào)告，評估了美國政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略、策略和標(biāo)準(zhǔn)，指出了存在的問題，并提出相應(yīng)的行動計(jì)劃。在此基礎(chǔ)上，美國政府成立了網(wǎng)絡(luò)安全辦公室，任命了網(wǎng)絡(luò)安全協(xié)調(diào)官。2010年6月，美國國防部正式成立了由戰(zhàn)略司令部領(lǐng)導(dǎo)的網(wǎng)絡(luò)戰(zhàn)司令部，于2010年10月正式運(yùn)行。2015年年底，美國《網(wǎng)絡(luò)安全法》獲得正式通過，成為美國當(dāng)前規(guī)制網(wǎng)絡(luò)安全信息共享的一部較為完備的法律，首次明確了網(wǎng)絡(luò)安全信息共享的范圍，并通過修訂2002年《國土安全法》的相關(guān)內(nèi)容，規(guī)范國家網(wǎng)絡(luò)安全增強(qiáng)、聯(lián)邦網(wǎng)絡(luò)安全人事評估及其他網(wǎng)絡(luò)事項(xiàng)。

俄羅斯則早在1995年便頒布了《聯(lián)邦信息、信息化和信息保護(hù)法》，明確界定了信息資源開放和保密的范疇，提出了保護(hù)信息的法律責(zé)任。1997年俄羅斯出臺的《俄羅斯國家安全構(gòu)想》中明確提出，“保障國家安全應(yīng)把保障國家經(jīng)濟(jì)安全放在第一位”，而“信息安全又是經(jīng)濟(jì)安全的重中之重”。2000年普京總統(tǒng)批準(zhǔn)了《國家信息安全學(xué)說》，明確了俄羅斯聯(lián)邦信息安全建設(shè)的目的、任務(wù)、原則和主要內(nèi)容。

我國政府高度重視信息安全工作，早在1994年，國務(wù)院便以147號令頒布了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》；2003年國務(wù)院成立應(yīng)急辦，頒布了《國家突發(fā)公共衛(wèi)生事件應(yīng)急條例》；2006年公布了《國家突發(fā)公共事件總體應(yīng)急預(yù)案》和《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》，確定了4大公共事件及網(wǎng)絡(luò)信息安全事件的應(yīng)急措施預(yù)案；2007年制定了《國家突發(fā)事件應(yīng)對法》。此外，信息產(chǎn)業(yè)部、工信部以及各地方政府和部門在近十余年時(shí)間里也陸續(xù)出臺了各類與信息安全相關(guān)的法律法規(guī)。信息安全在我國的國家層面上受到高度重視，目前已上升為國家戰(zhàn)略。相應(yīng)地，信息安全工作也已成為各行各業(yè)信息化戰(zhàn)略規(guī)劃和信息化建設(shè)中不可或缺的內(nèi)容，氣象部門也不例外。

信息安全是一個(gè)永恒的主題，信息安全工作永遠(yuǎn)沒有終結(jié)的一刻。在國家大力倡導(dǎo)信息化、互聯(lián)網(wǎng)+、大數(shù)據(jù)應(yīng)用和信息安全的現(xiàn)在，認(rèn)真系統(tǒng)地回顧和審視氣象信息安全工作，是完全必要的，因?yàn)檫@可使我們及早發(fā)現(xiàn)問題、查漏補(bǔ)缺，使氣象信息安全工作進(jìn)一步發(fā)揮出應(yīng)有的作用。

二、信息安全的本質(zhì)

（一）信息安全的內(nèi)涵和特征

信息是氣象部門最寶貴的資產(chǎn)，是氣象部門賴以立身的最為珍貴的資源。因此，必須對所有氣象信息進(jìn)行妥善的保護(hù)。

按業(yè)界的規(guī)范定義，信息安全主要指信息的保密性、完整性和可用性的保持，即：通過采用計(jì)算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，保護(hù)信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲等各個(gè)環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞，保障業(yè)務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，最大限度地獲取業(yè)務(wù)回報(bào)。其中：保密性是指確保只有那些被授予特定權(quán)限的人才能夠訪問到信息；完整性是指保證信息和處理方法的正確性和完整性；可用性則是指確保那些已被授權(quán)的用戶在其需要的時(shí)候，確實(shí)可以訪問到所需信息。此屬常識，不予展開。

信息安全具有如下特征：

1. 信息安全是系統(tǒng)的安全

信息產(chǎn)生于系統(tǒng)、存在于系統(tǒng)、被系統(tǒng)所使用并由系統(tǒng)發(fā)揮其作用，所有與信息相關(guān)的各系統(tǒng)皆必須納入信息安全的視野，予以充分的關(guān)注和考慮。此外，信息安全是整體的安全，所有與信息相關(guān)的部分由信息串聯(lián)而構(gòu)成一個(gè)相對完整的系統(tǒng)，它的安全直接關(guān)系到信息的安全。

2. 信息安全是動態(tài)的安全

信息的安全保障是一個(gè)動態(tài)的過程，沒有永久的安全，也不存在滿足信息安全的充分條件，信息安全問題不可能一勞永逸地予以解決。保護(hù)信息安全不可能是絕對的，而是多種約束條件下的折衷的選擇。隨著事物的發(fā)展和技術(shù)的進(jìn)步，約束條件必然發(fā)生變化，而約束條件的變化又將必然導(dǎo)致信息安全方針、策略和措施的相應(yīng)調(diào)整和變化。

3. 信息安全是無邊界的安全

網(wǎng)絡(luò)的廣泛互聯(lián)使得信息系統(tǒng)環(huán)境的邊界越來越模糊，傳統(tǒng)意義上的國界、前方和后方正在消失，人們幾乎可以從任何地點(diǎn)、任何時(shí)間對任何對象發(fā)起網(wǎng)絡(luò)攻擊，因此信息安全是廣泛的、無國界的，它無法單憑一個(gè)國家、地區(qū)或部門就能完全控制，需要從全球信息化角度綜合考慮和整體布局。

4. 信息安全是非傳統(tǒng)的安全

傳統(tǒng)的具有典型外在物理特征的安全因素（如：軍事、自然災(zāi)害、人為暴力破壞等等）已無法涵蓋信息安全所應(yīng)考慮的全部范疇。在沒有諸如軍事入侵、自然災(zāi)害、傳統(tǒng)意義上的恐怖襲擊等情況下，信息和信息系統(tǒng)的安全依然會受到諸如計(jì)算機(jī)病毒、黑客攻擊、計(jì)算機(jī)犯罪、信息垃圾和信息污染等嚴(yán)重威脅。國家的電信、金融、能源、交通等核心領(lǐng)域，氣象部門的數(shù)據(jù)通信、信息處理等核心系統(tǒng)，可能在極短的時(shí)間內(nèi)被攻擊癱瘓，導(dǎo)致社會運(yùn)轉(zhuǎn)的癱瘓和氣象業(yè)務(wù)的崩潰，而此時(shí)所有系統(tǒng)的物理器件并未因此而發(fā)生實(shí)質(zhì)性的損傷。

信息安全既是信息技術(shù)問題，也是組織管理問題。因?yàn)樾畔踩罱K必將落實(shí)到信息系統(tǒng)的安全層面上，并最終由一個(gè)個(gè)具體的信息技術(shù)和相關(guān)產(chǎn)品的有機(jī)組合予以實(shí)現(xiàn)，沒有符合實(shí)際的明確的安全目標(biāo)和方針、科學(xué)的設(shè)計(jì)、認(rèn)真的維護(hù)、以及不斷地主動發(fā)現(xiàn)新的安全問題并及時(shí)予以解決，是無法有效地形成安全環(huán)境的；就一個(gè)部門而言，一個(gè)相對安全的環(huán)境的構(gòu)成必須從人的行為規(guī)范、安全體系的科學(xué)設(shè)計(jì)以及部門內(nèi)部安全環(huán)境的構(gòu)成等諸多方面綜合考慮、整體設(shè)計(jì)，方才可能。因此信息安全并非單純是技術(shù)和技術(shù)產(chǎn)品問題，更是組織管理問題，無法單憑技術(shù)手段予以解決。

此外，從法律、輿論以及信息戰(zhàn)和虛擬空間等更高層面考慮，信息安全也是社會問題和國家安全問題。此非本文所考慮的范圍，故不予展開。

（二）信息安全的一些認(rèn)識誤區(qū)

應(yīng)當(dāng)承認(rèn)，由于各種原因，至今氣象部門的一些同事中，對信息安全仍存在一定的認(rèn)識誤區(qū)，以下問題應(yīng)予充分重視：

1. 單純的安全技術(shù)和產(chǎn)品的應(yīng)用不能解決信息安全

信息安全問題并非單純的技術(shù)問題，信息安全技術(shù)和產(chǎn)品的簡單應(yīng)用并不意味著部門整體的信息安全，不能指望簡單地規(guī)劃了DMZ區(qū)、在局域網(wǎng)出入端配置了防火墻、在個(gè)人電腦中安裝了殺毒軟件、遠(yuǎn)程通信采用VPN技術(shù)后，部門的信息安全問題便可基本解決。事實(shí)上，諸如防火墻、堡壘機(jī)、殺毒軟件等安全產(chǎn)品，僅僅是構(gòu)建部門信息安全防護(hù)體系的磚石，如果沒有科學(xué)的整體設(shè)計(jì)和有效的實(shí)施方案，單憑磚石和瓦塊的簡單甚至隨意堆壘，是無法構(gòu)建成有效的安全防護(hù)體系的。因此：

防火墻+ 堡壘機(jī)+ 殺毒軟件≠信息安全

2. 業(yè)務(wù)連續(xù)性的有效保障不能替代部門的信息安全

業(yè)務(wù)連續(xù)性的有效保障是部門行政領(lǐng)導(dǎo)最為關(guān)注的安全問題之一，為此往往不惜代價(jià)不計(jì)成本，而建立業(yè)務(wù)備份中心或?yàn)?zāi)難備份中心是目前較為流行的保障措施。但備份中心的建立也并不一定意味著部門整體的信息安全，因?yàn)闃I(yè)務(wù)連續(xù)性的保障僅屬于信息安全三要素中“信息可用性”的范疇，如果不同時(shí)考慮信息的保密性和完整性，同樣無法從整體上解決部門的信息安全問題；而信息的私密性和完整性與備份中心之間并無必然聯(lián)系。因此：

備份中心≠信息安全

3. 網(wǎng)絡(luò)防御不能代替信息安全

傳統(tǒng)意義上的網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)協(xié)議安全、網(wǎng)絡(luò)設(shè)備安全和網(wǎng)絡(luò)架構(gòu)安全，側(cè)重于網(wǎng)絡(luò)自身的健壯性以及抗網(wǎng)絡(luò)攻擊的能力。然而如果網(wǎng)絡(luò)上運(yùn)行的系統(tǒng)自身存在一定缺陷、軟件存在BUG，以及人為操作失誤（如：誤刪除、誤修改等），則上述內(nèi)容和措施便將束手無策。所以，網(wǎng)絡(luò)的抗攻擊和抗偷盜能力不能完全解決信息安全問題。

類似的認(rèn)識誤區(qū)還有若干，限于篇幅，不再枚舉。

三、基于風(fēng)險(xiǎn)管理的信息安全管理

（一）信息安全管理

統(tǒng)計(jì)結(jié)果表明，在所有信息安全事故中，只有20%～30%是由于黑客入侵或其他外部原因造成的，其余的70%～80%則是因內(nèi)部員工的疏忽或有意違規(guī)而造成的。站在全局的高度上來考察信息和網(wǎng)絡(luò)安全的全貌就會發(fā)現(xiàn)：安全問題實(shí)際上都是人的問題，單憑技術(shù)手段是無法予以根本解決的。

信息安全是一個(gè)多層面、多因素的過程，如果僅憑一時(shí)的需要，頭疼醫(yī)頭腳疼醫(yī)腳地制定一些控制措施和引入某些技術(shù)產(chǎn)品，難免掛一漏萬、顧此失彼，使得信息安全這只“木桶”出現(xiàn)若干“短板”，從而無法提高信息安全的整體水平。

對于信息安全而言，技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵。如同磚瓦建材需要良好的設(shè)計(jì)和施工才能搭建成堅(jiān)固耐用的建筑，安全技術(shù)和安全產(chǎn)品需要通過管理的組織職能方才能夠發(fā)揮出最佳效果。事實(shí)充分證明，管理良好的系統(tǒng)遠(yuǎn)比技術(shù)雖然高超但管理混亂不堪的系統(tǒng)安全得多。因此，先進(jìn)科學(xué)的、易于理解且方便操作的安全策略對信息安全至關(guān)重要；而建立一個(gè)管理框架，讓好的安全策略在這個(gè)框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會擁有持續(xù)的安全。

所謂信息安全管理，是指部門或組織中為了完成信息安全目標(biāo)，針對信息系統(tǒng)，遵循安全策略，按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒ǎM(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動和過程；是通過維護(hù)信息的保密性、完整性和可用性，來管理和保護(hù)組織所有的信息資產(chǎn)的一項(xiàng)體制；是部門或組織中用于指導(dǎo)和管理各種控制信息安全風(fēng)險(xiǎn)的一組相互協(xié)調(diào)的活動。有效的信息安全管理要盡量做到在有限的成本下，保證將安全風(fēng)險(xiǎn)控制在可接受的范圍之內(nèi)。

信息安全管理包括：安全規(guī)劃、風(fēng)險(xiǎn)管理、應(yīng)急計(jì)劃、安全教育培訓(xùn)、安全系統(tǒng)評估、安全認(rèn)證等多方面內(nèi)容。

（二）基于風(fēng)險(xiǎn)的信息安全

1. 安全和風(fēng)險(xiǎn)

步履蹣跚的耄耋老人終日待在家中肯定比在熙熙攘攘的大街上行走安全，但即使在家中，也仍有因行走或站立不穩(wěn)而跌倒的可能，不如身邊陪有專人看護(hù)安全；然即便家中有專人看護(hù)，也不如將老人長期安置在醫(yī)院，在全套設(shè)備和專業(yè)醫(yī)護(hù)人員看護(hù)下安全，如此等等。可見，所謂安全都是相對而言的，沒有絕對的安全；而安全的效果或等級越高，往往付出的代價(jià)或成本也越高，信息安全也是如此。

安全是相對于風(fēng)險(xiǎn)而言的，某種安全水平的達(dá)到意味著某種或某類風(fēng)險(xiǎn)的得以規(guī)避：雙機(jī)熱備技術(shù)可以避免單點(diǎn)故障所導(dǎo)致的業(yè)務(wù)中斷，兩地三中心災(zāi)備模式可以保證即便在發(fā)生局地嚴(yán)重災(zāi)害時(shí)部門業(yè)務(wù)的連續(xù)性。但絕對的安全是沒有的：雙機(jī)熱備技術(shù)無法避免供電系統(tǒng)故障的風(fēng)險(xiǎn)，而大型隕石撞擊地球，將導(dǎo)致生態(tài)系統(tǒng)的崩潰和物種滅絕，遑論災(zāi)備兩地三中心以及部門業(yè)務(wù)連續(xù)性了。

然而，風(fēng)險(xiǎn)是由可能性與后果的組合來計(jì)算和度量的。盡管兩地三中心災(zāi)備模式無法應(yīng)對地球遭遇大型隕石撞擊的毀滅性災(zāi)害，但該災(zāi)害發(fā)生的可能性卻微乎其微，未來數(shù)百年幾乎沒有可能。因此此災(zāi)雖然為害甚烈，但發(fā)生的可能性卻幾近于零，不必予以考慮。

2. 風(fēng)險(xiǎn)管理

絕對的零風(fēng)險(xiǎn)是不存在的，要想實(shí)現(xiàn)零風(fēng)險(xiǎn)也是不現(xiàn)實(shí)的。同時(shí)，規(guī)避風(fēng)險(xiǎn)是需要代價(jià)的，規(guī)避的風(fēng)險(xiǎn)種類越多，所付出的代價(jià)往往越大。就計(jì)算機(jī)系統(tǒng)而言，安全性越高，其可用性往往越低，需要付出的成本也越大。因此，信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過恰當(dāng)、足夠、綜合的安全措施來控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可接受的程度。亦即，需要在安全性和可用性，以及安全性和成本投入之間做出一種平衡。

所以，根本上說，信息安全是一個(gè)風(fēng)險(xiǎn)管理過程，而不是一個(gè)技術(shù)實(shí)現(xiàn)過程。

風(fēng)險(xiǎn)管理是指如何在一個(gè)肯定有風(fēng)險(xiǎn)的環(huán)境里，利用有限的資源把風(fēng)險(xiǎn)減至最低的管理過程。風(fēng)險(xiǎn)管理包括對風(fēng)險(xiǎn)的量度、評估和應(yīng)變策略等。理想的風(fēng)險(xiǎn)管理，是一連串排好優(yōu)先次序的過程，使導(dǎo)致最大損失及最可能發(fā)生的安全事件優(yōu)先處理、而相對風(fēng)險(xiǎn)較低的事件則押后處理。

風(fēng)險(xiǎn)管理的首要內(nèi)容之一，是風(fēng)險(xiǎn)識別和風(fēng)險(xiǎn)評估。因?yàn)椋畔踩w系的建立首先需要確定信息安全的需求，而獲取信息安全需求的主要手段就是安全風(fēng)險(xiǎn)評估。因此，信息安全風(fēng)險(xiǎn)評估是信息安全管理體系建立的基礎(chǔ)；沒有風(fēng)險(xiǎn)評估，信息安全管理體系的建立就沒有依據(jù)。

風(fēng)險(xiǎn)管理的另一項(xiàng)重要內(nèi)容，就是對風(fēng)險(xiǎn)評估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)處置，只有對已知風(fēng)險(xiǎn)逐一進(jìn)行有針對性的妥善處置，才能化解和規(guī)避這些風(fēng)險(xiǎn)，達(dá)到信息安全的目的。因此，風(fēng)險(xiǎn)處置是信息安全的核心。從本質(zhì)上講，風(fēng)險(xiǎn)處置的最佳集合就是信息安全管理體系的控制措施集合；而控制目標(biāo)、控制手段、實(shí)施指南的邏輯梳理、以形成這些風(fēng)險(xiǎn)控制措施集合的過程，就是信息安全體系的建立過程。亦即，信息安全管理體系的核心就是這些最佳控制措施的集合。

需要強(qiáng)調(diào)的是，由于信息安全風(fēng)險(xiǎn)和事件不可能完全避免，因此信息安全管理必須以風(fēng)險(xiǎn)管理的方式，不求完全消除風(fēng)險(xiǎn)，但求限制、化解和規(guī)避風(fēng)險(xiǎn)。而好的風(fēng)險(xiǎn)管理過程可以讓氣象部門以最具有成本效益的方式運(yùn)行，并且使已知的風(fēng)險(xiǎn)維持在可接受的水平，使氣象部門可以用一種一致的、條理清晰的方式來組織有限的資源，確定風(fēng)險(xiǎn)處置優(yōu)先級，更好地管理風(fēng)險(xiǎn)，而不是將保貴的資源用于解決所有可能的風(fēng)險(xiǎn)。

事物是在不斷變化的，新的風(fēng)險(xiǎn)不斷出現(xiàn)，因此風(fēng)險(xiǎn)管理過程需要不斷改進(jìn)、完善、更新和提高。

四、當(dāng)前氣象信息安全存在的問題

盡管氣象部門至今尚未發(fā)生重大信息安全事件，但這并不能說明氣象部門的信息安全工作已萬事大吉，信息安全體系固若金湯。依照信息安全管理的規(guī)范考察，氣象部門的信息安全工作至少存在如下問題：

（一）基礎(chǔ)工作存在缺失

1. 信息安全目標(biāo)

通常意義下的信息安全目標(biāo)，一般都是確保信息的機(jī)密性、完整性、可用性，以及可控性和不可否認(rèn)性等等。但部門不同，具體的情況不同，安全性需求的程度、信息安全所面臨的風(fēng)險(xiǎn)、付出的代價(jià)也各有不同；如：就信息的機(jī)密性而言，軍事部門的要求遠(yuǎn)遠(yuǎn)高于氣象部門；而就信息的可用性而言，氣象部門對業(yè)務(wù)連續(xù)性的要求也較土地勘測管理部門為高。因此，泛泛的信息安全目標(biāo)沒有任何意義，所有可用的信息安全目標(biāo)都是切合部門具體實(shí)際情況的，是本土化、部門化的。

沒有切合氣象部門具體實(shí)際情況的、具有鮮明氣象特色的信息安全目標(biāo)，是目前存在的突出問題。

必須明確，氣象部門信息安全目標(biāo)的確定，是管理層的職責(zé)。管理層對信息安全目標(biāo)的要求，決定了氣象部門信息安全工作的走向。氣象信息業(yè)務(wù)部門負(fù)責(zé)氣象信息安全既定目標(biāo)的具體落實(shí)，其工作的質(zhì)量和效率，決定了氣象部門是否能夠達(dá)到信息安全管理的目標(biāo)。

2. 信息安全方針

信息安全方針是為信息安全工作提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及相應(yīng)的支持舉措。信息安全方針應(yīng)該做到：對本部門的信息安全加以定義，陳述管理層對信息安全的意圖，明確分工和責(zé)任，約定信息安全管理的范圍，對特定的原則、標(biāo)準(zhǔn)和遵守要求進(jìn)行說明，等等。氣象部門的信息安全方針至少應(yīng)當(dāng)說明以下問題：氣象信息安全的整體目標(biāo)、范圍以及重要性，氣象信息安全工作的基本原則，風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)控制措施的架構(gòu)，需要遵守的法規(guī)和制度，信息安全責(zé)任分配，信息系統(tǒng)用戶和運(yùn)行維護(hù)人員應(yīng)該遵守的規(guī)則，等等。

遺憾的是，以此為基本內(nèi)容的信息安全方針，至今在氣象部門尚未確立。

3. 信息安全組織機(jī)構(gòu)

為有效實(shí)施部門的信息安全管理，保障和實(shí)施部門的信息安全，在部門內(nèi)部建立信息安全組織架構(gòu)（或指定現(xiàn)有單位承擔(dān)其相應(yīng)職責(zé)）是十分必要的。

在一個(gè)部門或機(jī)構(gòu)中，安全角色與責(zé)任的不明確是實(shí)施信息安全過程中的最大障礙。因此，建立信息安全組織并落實(shí)相應(yīng)責(zé)任，是該部門實(shí)施信息安全管理的第一步。這些組織機(jī)構(gòu)需要高層管理者的參與（如本部門信息化領(lǐng)導(dǎo)小組），以負(fù)責(zé)重大決策，提供資源并對工作方向、職責(zé)分配給出清晰的說明，等等。此外，信息安全組織成員還應(yīng)包括與信息安全相關(guān)的所有部門（如行政、人事、安保、采購、外聯(lián)），以便各司其責(zé)，協(xié)調(diào)配合。

遺憾的是，類似的組織機(jī)構(gòu)在氣象部門內(nèi)即便已經(jīng)存在，至今也未真正履行其應(yīng)負(fù)的職責(zé)。

4. 信息資產(chǎn)管理

信息資產(chǎn)管理的主要內(nèi)容包括：識別信息資產(chǎn)，確定信息資產(chǎn)的屬主及責(zé)任方，信息資產(chǎn)的安全需求分類，以及各類信息資產(chǎn)的安全策略和具體措施，等等。

就氣象部門而言，對信息資產(chǎn)（即：氣象信息資源和氣象信息系統(tǒng)）進(jìn)行識別、明確歸屬以及分類等工作，有利于信息安全措施的有效實(shí)施。以分類為例：我們知道，對某特定氣象資料或業(yè)務(wù)系統(tǒng)實(shí)施過多和過度的保護(hù)不僅浪費(fèi)資源，而且不利于資料效益的充分發(fā)揮和系統(tǒng)的正常運(yùn)行；而若保護(hù)不力，則更可能導(dǎo)致氣象信息數(shù)據(jù)和系統(tǒng)產(chǎn)生重大安全隱患，乃至出現(xiàn)安全事故。對氣象信息資產(chǎn)進(jìn)行分類，可明確界定各具體資產(chǎn)的保護(hù)需求和等級，如此可以根據(jù)類別的不同，調(diào)整合適的資源、財(cái)力、物力，對重要的氣象信息資源和系統(tǒng)實(shí)施有針對性的、符合其特點(diǎn)的信息安全重點(diǎn)保護(hù)，如此等等。

同樣遺憾的是，氣象部門至今尚未實(shí)施真正意義上的完整的氣象信息資產(chǎn)管理。

類似缺失的基礎(chǔ)工作還有很多，不再枚舉。

基礎(chǔ)工作的缺失，導(dǎo)致氣象信息安全工作的不扎實(shí)、不穩(wěn)固，是氣象信息安全工作長期滯后于信息化基礎(chǔ)建設(shè)的主要原因之一。

（二）完整的信息安全管理體系尚未建成

按照ISO的定義，信息安全管理體系（ISMS：Information Security Management System）是“組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動的結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動、程序、過程和資源的集合”。

信息安全管理體系要求部門或組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評估為基礎(chǔ)選擇安全事件控制目標(biāo)和相應(yīng)處置措施等一系列活動，來建立信息安全管理體系。該體系是基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評估而建立起來的，它體現(xiàn)以預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國家有關(guān)信息安全的法律法規(guī)及其它地方、行業(yè)的相關(guān)要求。該體系強(qiáng)調(diào)全過程管理和動態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)相平衡的原則，合理選擇安全控制方式。該體系同時(shí)強(qiáng)調(diào)保護(hù)部門所擁有的關(guān)鍵性信息資產(chǎn)（而不見得是全部信息資產(chǎn)），確保需要保護(hù)的信息的保密性、完整性和可用性，以最佳效益的形式維護(hù)部門的合法利益、保持部門的業(yè)務(wù)連續(xù)性。

由于基礎(chǔ)性工作尚未全部就緒，目前氣象部門尚未建立真正意義上的、基于風(fēng)險(xiǎn)管理的科學(xué)而完整的氣象信息安全管理體系。

在氣象部門建立完整的信息安全管理體系，可以對氣象部門的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，在信息系統(tǒng)受到侵襲時(shí)確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；并使氣象部門在信息安全工作領(lǐng)域?qū)崿F(xiàn)動態(tài)的、系統(tǒng)地、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平。此外，完整的信息安全管理體系的建立，也可使部門外協(xié)作單位對氣象部門的安全能力充滿信心，這一點(diǎn)在當(dāng)前大數(shù)據(jù)應(yīng)用浪潮正在全社會迅速漫延的背景下，尤其重要。

（三）業(yè)務(wù)格局的分散加大了安全管理問題的復(fù)雜度

目前氣象部門依然沿用著已延續(xù)數(shù)十年的國省地縣四級業(yè)務(wù)層級，而業(yè)務(wù)系統(tǒng)的屬地化，以及諸如“具備業(yè)務(wù)功能意味著擁有業(yè)務(wù)系統(tǒng)、擁有業(yè)務(wù)系統(tǒng)意味著擁有信息資產(chǎn)以及基礎(chǔ)資源和設(shè)施”等傳統(tǒng)觀念的束縛，使得各個(gè)業(yè)務(wù)系統(tǒng)在地理分布上呈現(xiàn)出全國遍地開花的局面，各級業(yè)務(wù)單位都擁有自己的信息業(yè)務(wù)系統(tǒng)和相應(yīng)的局地信息業(yè)務(wù)環(huán)境。彼此通過內(nèi)部專網(wǎng)（VPN）或甚至通過互聯(lián)網(wǎng)進(jìn)行互聯(lián)，在全國形成網(wǎng)狀與樹狀相結(jié)合的、十分復(fù)雜的業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)。

由于各級單位都在當(dāng)?shù)負(fù)碛懈髯砸?guī)模不等的信息業(yè)務(wù)系統(tǒng)及相應(yīng)環(huán)境（包括為業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)支撐的氣象數(shù)據(jù)庫），因此各單位都面臨著本單位的信息安全管理問題。尤其是一些氣象數(shù)據(jù)在各級業(yè)務(wù)單位的廣泛復(fù)制，使得各級業(yè)務(wù)單位中數(shù)據(jù)同質(zhì)化現(xiàn)象十分突出，也為這些數(shù)據(jù)的保密性和完整性（包括一致性）的保持增加了大量變數(shù)。此外，由于編制所限，地縣兩級業(yè)務(wù)單位中IT技術(shù)人員奇缺，既無法保障信息業(yè)務(wù)系統(tǒng)的日常維護(hù)，更無法為本單位信息安全提供專業(yè)化管理。

這種業(yè)務(wù)格局的分散，加大了氣象部門信息安全管理問題的復(fù)雜度。

限于篇幅，其余問題不再枚舉。

五、建立完整的氣象信息安全管理體系

綜上所述，在氣象部門建立完整的氣象信息安全管理體系，是非常必要的；就目前全社會所倡導(dǎo)的大數(shù)據(jù)應(yīng)用和云計(jì)算趨勢而言，這項(xiàng)工作具有較強(qiáng)的緊迫性，應(yīng)盡早開展相應(yīng)的工作。歸納起來，有如下幾點(diǎn)：

（一）適時(shí)著手建立完整的氣象信息安全管理體系

1. 完成基礎(chǔ)性工作

應(yīng)盡早明確信息安全的方針，為氣象部門信息安全工作確定目標(biāo)、范圍、責(zé)任、原則、標(biāo)準(zhǔn)、架構(gòu)和法律法規(guī)。

應(yīng)以適當(dāng)方式組建或明確氣象信息安全的管理和實(shí)施機(jī)構(gòu)，并確保所有相關(guān)單位能夠悉數(shù)納入其中，明確分工和職責(zé)，以便各司其職，彼此協(xié)調(diào)工作。

應(yīng)在管理層的統(tǒng)一組織下，以適當(dāng)?shù)男问剑嫱瓿蓺庀蟛块T內(nèi)部的信息資產(chǎn)普查、歸屬認(rèn)定、安全需求等級劃分以及安全等級保護(hù)措施等，制定氣象信息資產(chǎn)管理策略、制度和方法，逐步推廣實(shí)施，從而完成氣象信息資產(chǎn)的有效管理。

2. 適時(shí)進(jìn)行信息安全風(fēng)險(xiǎn)評估并制訂風(fēng)險(xiǎn)處置方案

制定風(fēng)險(xiǎn)評估方案、選擇評估方法，以此為依據(jù)完成氣象信息安全風(fēng)險(xiǎn)要素識別，發(fā)現(xiàn)系統(tǒng)存在的威脅和系統(tǒng)的脆弱性，并確定相應(yīng)的控制措施。在此基礎(chǔ)上，對所有風(fēng)險(xiǎn)逐一判斷其發(fā)生的可能性和影響的范圍及程度，綜合各種分析結(jié)果，最終逐一判定這些風(fēng)險(xiǎn)各自的等級。

在風(fēng)險(xiǎn)等級判定的基礎(chǔ)上，以“將風(fēng)險(xiǎn)始終控制在可接受范圍內(nèi)”為宗旨，制訂有針對性的風(fēng)險(xiǎn)處置方案，包括：可接受風(fēng)險(xiǎn)的甄別和確定，不可接受風(fēng)險(xiǎn)的控制程度，風(fēng)險(xiǎn)處置方式的選擇和控制措施的確定，制訂具體的氣象信息安全方案和綜合控制措施，科學(xué)合理地運(yùn)用“減低風(fēng)險(xiǎn)”、“轉(zhuǎn)移風(fēng)險(xiǎn)”、“規(guī)避風(fēng)險(xiǎn)”和“接受風(fēng)險(xiǎn)”等方法，形成綜合的氣象信息安全風(fēng)險(xiǎn)處置方案，并部署實(shí)施。

3. 建立完整的氣象信息安全管理體系

在上述工作以及其它相關(guān)工作的基礎(chǔ)上，參照BS 7799-2：2002 《信息安全管理體系規(guī)范》、 ISO/ IEC17799：2000《信息技術(shù)-信息安全管理實(shí)施細(xì)則》等國際標(biāo)準(zhǔn)，以及GB/T22080-2008《信息安全管理體系要求》、GB/T20269-2006《信息系統(tǒng)安全管理要求》、GB/T20984-2007《信息安全風(fēng)險(xiǎn)評估規(guī)范》等國家標(biāo)準(zhǔn)，完成組織落實(shí)、措施落實(shí)、方案落實(shí)和相應(yīng)文檔的編寫，以及所有相關(guān)的審查、職責(zé)界定和制度建設(shè)，以構(gòu)成氣象部門的信息安全管理體系。

（二）將信息安全管理體系納入氣象信息化戰(zhàn)略之中

信息安全與信息化發(fā)展息息相關(guān)，是一切信息化工作的基礎(chǔ)，涉及到信息化工作的方方面面。氣象部門是以信息采集、分析處理和為工作特征的典型的信息應(yīng)用部門，氣象業(yè)務(wù)系統(tǒng)是典型的信息系統(tǒng)，因此信息安全對于氣象部門尤為重要。氣象事業(yè)的健康發(fā)展離不開信息化，也同樣離不開信息安全。氣象信息安全應(yīng)當(dāng)是氣象信息化工作中最為重要的內(nèi)容之一，氣象信息安全管理體系的構(gòu)建和持續(xù)改進(jìn)也應(yīng)當(dāng)成為未來氣象信息化戰(zhàn)略中極其重要的內(nèi)容。

信息安全是管理問題而非技術(shù)問題，從某種角度看，信息安全管理體系是以策略為核心，以管理為基礎(chǔ)，以技術(shù)為手段的安全理念的具體落實(shí)。有什么樣的理念，就有什么樣的方針、策略、制度措施和體系架構(gòu)。無法想象在管理理念和安全意識十分落后的思維環(huán)境中，能夠構(gòu)建起科學(xué)完備的信息安全管理體系來。因此，安全管理理念的全面提高和安全意識的充分到位，是氣象信息安全所有工作正常開展的前提。就氣象部門管理層而言，著力消除曾長時(shí)間彌漫于全部門信息安全領(lǐng)域的重技術(shù)輕管理的觀念，將關(guān)注點(diǎn)從研究安全技術(shù)和產(chǎn)品應(yīng)用轉(zhuǎn)移到信息資產(chǎn)管理、風(fēng)險(xiǎn)識別和控制以及整體安全戰(zhàn)略的制定等管理層面上來，是其不可推卸的責(zé)任。應(yīng)當(dāng)在全部門倡導(dǎo)信息安全意識、制定并推行信息安全制度、確定信息安全責(zé)任、組織信息安全培訓(xùn)，構(gòu)建起完整的氣象信息安全管理體系。

六、結(jié)語

在政府大力強(qiáng)調(diào)信息安全意識，強(qiáng)力推動信息安全工作的背景下，各行各業(yè)均把信息安全工作列入本部門或單位的工作議程，氣象部門也是如此。但如何科學(xué)有效地構(gòu)建起具有鮮明氣象特色的信息安全防護(hù)體系，充分把控所有已知的安全風(fēng)險(xiǎn)，使有限的投入得到最大限度的安全回報(bào)，這是氣象部門管理層和IT工作者需要認(rèn)真研究并努力實(shí)踐的工作。

信息安全首先是意識問題、觀念問題，要想真正打造安全的業(yè)務(wù)環(huán)境，在氣象部門全體員工中（特別是在管理層干部中）樹立良好的安全意識，是至關(guān)重要的。

2014年，在深刻領(lǐng)會主席“沒有信息化就沒有現(xiàn)代化”的重要指示精神后，氣象部門提出了“沒有信息化就沒有氣象現(xiàn)代化”的口號。那么，針對提出的“沒有信息安全就沒有國家安全”的另一重要論斷，氣象部門是否也應(yīng)提出相應(yīng)的口號――

“沒有信息安全，就沒有氣象業(yè)務(wù)安全”。

第11篇

關(guān)鍵詞：

校園網(wǎng)安全系統(tǒng)的建設(shè)目標(biāo)是根據(jù)學(xué)校信息網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用模式，針對可能存在的安全漏洞和安全需求，在不同層次上提出安全級別要求，并提出相應(yīng)的解決方案，制訂相應(yīng)的安全策略，編制安全規(guī)劃，采用合理、先進(jìn)的技術(shù)實(shí)施安全工程，加強(qiáng)安全管理，保證系統(tǒng)的安全性。

對于這樣規(guī)模龐大、結(jié)構(gòu)復(fù)雜、涉及人員眾多的網(wǎng)絡(luò)體系需要建立全網(wǎng)安全保障系統(tǒng)，針對不同的業(yè)務(wù)特征進(jìn)行合理的安全保障，確保業(yè)務(wù)系統(tǒng)的安全運(yùn)行。

我們在設(shè)計(jì)學(xué)校信息安全保障體系的過程中，借鑒IATF的信息安全保障體系模型構(gòu)建學(xué)校信息安全保障體系的技術(shù)體系和管理體系，這些體系構(gòu)成學(xué)校所需的安全體系。在技術(shù)體系和管理體系中的安全控制和對策的選擇和定制中，采用“最佳實(shí)施”方法，通過列舉滿足實(shí)際需求和實(shí)際應(yīng)用來構(gòu)造安全保障體系。

在學(xué)校安全保障體系設(shè)計(jì)過程中，整體性一直是最核心的問題，因此為了保障安全體系具有一定的完整性，避免對安全問題的遺漏，需要在方法論中引入了安全框架模型。

安全保障體系框架示意圖

上圖中，最下層是安全體系要保護(hù)的對象，根據(jù)信息資產(chǎn)邏輯圖，將保護(hù)對象分成計(jì)算區(qū)域、區(qū)域邊界、通信網(wǎng)絡(luò)和基礎(chǔ)設(shè)施（指PKI/PMI/KMI中心和應(yīng)急響應(yīng)中心）等。計(jì)算區(qū)域部分主要指提供業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)，計(jì)算區(qū)域內(nèi)部可以根據(jù)學(xué)校信息化的實(shí)際需求進(jìn)一步細(xì)分為子區(qū)域，邊界和通信網(wǎng)絡(luò)。對不同區(qū)域、邊界和通信網(wǎng)絡(luò)，其安全需求是不同的。保護(hù)對象框架將學(xué)校信息系統(tǒng)的安全問題細(xì)分為一組結(jié)構(gòu)化的安全需求。

通過將對策框架中的所有安全控制中的策略，組織，技術(shù)和運(yùn)作分別提煉，組成相應(yīng)的策略體系、組織體系、技術(shù)體系和運(yùn)作體系。每個(gè)體系由對策框架組成，對策框架由一組安全控制組成，這些安全控制是根據(jù)保護(hù)對象中的安全需求設(shè)計(jì)和選擇出來的。每一條安全控制都包含策略，組織，技術(shù)和運(yùn)作四個(gè)要素。

在校園網(wǎng)的信息系統(tǒng)安全等級保護(hù)方面，國內(nèi)尚未制定相關(guān)標(biāo)準(zhǔn)，但可以參考公安部制定的《信息系統(tǒng)安全等級保護(hù)基本要求》進(jìn)行設(shè)計(jì)。基本安全要求分為基本技術(shù)要求和基本管理要求兩大類。技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實(shí)現(xiàn)；管理類安全要求與信息系統(tǒng)中各種角色參與的活動有關(guān)，主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實(shí)現(xiàn)。

基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)層面提出；基本管理要求從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面提出，基本技術(shù)要求和基本管理要求是確保信息系統(tǒng)安全不可分割的兩個(gè)部分。

根據(jù)公安部《信息系統(tǒng)等級保護(hù)技術(shù)要求》中相應(yīng)技術(shù)要求，以滿足物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及存?zhèn)浞莼謴?fù)等幾方面的基本要求為前提。

在基于人、技術(shù)及運(yùn)行的信息安全縱深防御體系中，對人的行為的控制是信息安全保障最主要的方面。下圖所示為信息安全管理體系框架，該體系包括安全方針、安全策略、安全組織、人員安全、物理安全、安全制度與管理辦法、安全標(biāo)準(zhǔn)與規(guī)范、安全政策、安全法律法規(guī)與標(biāo)準(zhǔn)、安全培訓(xùn)以及安全規(guī)范。

安全管理體系框架圖

安全策略作為建立安全機(jī)制必須首要考慮的核心，它對安全措施的具體實(shí)踐提供指導(dǎo)和支持。制定一套系統(tǒng)、科學(xué)的安全策略是指導(dǎo)學(xué)校等級化信息安全保障體系安全建設(shè)的重要內(nèi)容。

建立安全組織機(jī)構(gòu)、完善安全管理制度，建立有效的工作機(jī)制，做到事有人管，職責(zé)分工明確是有效防范由于內(nèi)部人員有意無意對系統(tǒng)造成破壞的有效保障措施。

在組織安全方針、安全策略、安全制度與管理方法、安全標(biāo)準(zhǔn)與規(guī)范的建設(shè)過程中充分體現(xiàn)國家安全政策、安全法律法規(guī)與標(biāo)準(zhǔn)是組織充分保障信息系統(tǒng)安全的基礎(chǔ)。國家安全政策、安全法律法規(guī)與標(biāo)準(zhǔn)從國家和行業(yè)的角度制約信息安全，組織必須遵循國家和相關(guān)主管部門關(guān)于信息系統(tǒng)安全方面的法律法規(guī)、政策和制度。

對內(nèi)部人員進(jìn)行有組織的安全培訓(xùn)、安全教育，規(guī)范人員行為、制定相關(guān)章程等對保障學(xué)校信息系統(tǒng)安全尤為重要。

第12篇

【關(guān)鍵詞】電力企業(yè)信息安全管理；組織管理；失誤因素

1 電力企業(yè)信息安全管理中組織管理失誤的分析方法

電力企業(yè)信息安全管理中的組織管理失誤分析法（英文：Cognitive Relia-bility andErrorAnalysisMethod，即CREAM），是可靠性分析法的典型代表，具有追溯分析功能。通過CREAM的應(yīng)用，可以將失誤事件的外在表現(xiàn)形式稱為失效模式，并且將引起這些失誤事件的直接原因定義為前因。實(shí)踐中，前因可分為具體的前因、一般性前因，CREAM分析法是以失效模式作為出發(fā)點(diǎn)。首先，通過分析失效模式的一般前因、具體前因，得到失效模式前因表，在表中選定一個(gè)前因作為后果，然后分析引起這一后果的可能前因，最終得到包含這一后果、可能的前因追溯表；再以該可能前因?yàn)楹蠊治隹赡艿那耙颍ㄟ^連續(xù)不斷的尋找，最終找到引起事件失誤的根本原因。

2 在電力電力企業(yè)信息組織管理過程中，開展多項(xiàng)管控措施、分三步走

第一步，從思想上加強(qiáng)重視。實(shí)踐中，應(yīng)當(dāng)認(rèn)真學(xué)習(xí)貫徹違規(guī)外聯(lián)、外網(wǎng)郵箱發(fā)送的要求，嚴(yán)格按照“業(yè)務(wù)工作誰主管，保密工作誰負(fù)責(zé)”以及“統(tǒng)一領(lǐng)導(dǎo)、分級負(fù)責(zé)”的原則，將信息安全保密職責(zé)有效地落實(shí)到人，讓每個(gè)員工熟悉、掌握保密工作的基本要求和規(guī)范。

第二步，深入檢查，全面整改。實(shí)踐中，應(yīng)當(dāng)嚴(yán)格按照檢查內(nèi)容檢查，一定不能留死角、搞形式。在檢查中發(fā)現(xiàn)的問題，要立即糾正，認(rèn)真整改，對存在嚴(yán)重問題的單位要監(jiān)督整改，并組織復(fù)查；發(fā)生泄密、違規(guī)問題時(shí)，一定要嚴(yán)肅查處，必要時(shí)還要追究責(zé)任人的責(zé)任。

第三步，嚴(yán)格管理，務(wù)求實(shí)效。要進(jìn)一步落實(shí)保密工作責(zé)任制，堅(jiān)持標(biāo)本兼治、系統(tǒng)治理，把檢查活動與日常保密工作安排結(jié)合起來，邊檢查邊整改，以查促管、以查促改、以查促教、以查促防，確保檢查取得實(shí)效。

3 電力企業(yè)信息系統(tǒng)安全管理的必要性

電力企業(yè)信息系統(tǒng)安全管理，是企業(yè)在一定范圍內(nèi)建立起來的信息安全目標(biāo)和方針，并通過努力完成目標(biāo)。對于電力企業(yè)信息安全管理而言，可表示為方法、目的、基本原則和實(shí)施過程等要素集合，作為直接的信息安全管理結(jié)果。2014年8月，某技術(shù)質(zhì)管部專責(zé)高某通過電子郵箱將創(chuàng)新成果--《電力設(shè)計(jì)企業(yè)基于桌面云技術(shù)的信息》以附件形式經(jīng)壓縮、更名后在沒有經(jīng)過加密的情況下，發(fā)送到某部門專家評審組；由于附件內(nèi)容出現(xiàn)“保密”等敏感詞，該郵件被公司外網(wǎng)郵件攔截系統(tǒng)攔截。經(jīng)現(xiàn)場查實(shí)，郵件均不涉商業(yè)秘密，但違反了“工作郵件只限于公司內(nèi)網(wǎng)郵箱發(fā)送”規(guī)定。由此可見，電力企業(yè)信息系統(tǒng)安全管理工作非常重要，也非常有必要。通常情況下，電力企業(yè)信息安全管理工作主要包括制定信息安全管理的策略，合理、科學(xué)的對電力企業(yè)信息安全工作進(jìn)行組織管理，具有非常重要的作用。電力企業(yè)應(yīng)當(dāng)提高全體員工的信息安全意識，加強(qiáng)電力電力企業(yè)信息內(nèi)外網(wǎng)安全管理。第一，內(nèi)、外網(wǎng)電腦都必須安裝三種軟件，即北信源、天以及趨勢殺毒。軟件有內(nèi)、外網(wǎng)版本之別，而且客戶端也不同；第二，遵守專機(jī)、專網(wǎng)之規(guī)定，內(nèi)網(wǎng)電腦不能與外網(wǎng)相連接，外網(wǎng)電腦不能連接內(nèi)網(wǎng)，家用電腦不能接入內(nèi)網(wǎng)使用，尤其是來歷不明、使用背景不明的電腦，一律禁止接入內(nèi)網(wǎng)系統(tǒng)。

4 電力企業(yè)信息安全管理中組織管理常見失誤

近年來，隨著市場經(jīng)濟(jì)體制改革的不斷深化，雖然電力企業(yè)信息安全管理水平有了很大程度的提升，但電力企業(yè)信息安全管理過程中依然存在著一些問題與不足，總結(jié)之，主要表現(xiàn)在以下幾個(gè)方面：

第一，信息安全措施和技術(shù)手段不成熟。對于大多數(shù)企業(yè)而言，在信息系統(tǒng)建設(shè)過程中欠缺完善的安全手段和措施，嚴(yán)重影響了安全措施的制定與執(zhí)行。

第二，電力企業(yè)信息安全風(fēng)險(xiǎn)控制不到位。實(shí)踐中可以看到，很多企業(yè)在信息化規(guī)劃與建設(shè)過程中，對信息安全的前期分析比較欠缺，將分析對象主要集中在技術(shù)層面研究上，很難有效解決企業(yè)安全信息系統(tǒng)操作失誤、缺陷與不足等安全問題。

第三，信息安全意識不強(qiáng)，缺乏有效的安全管理機(jī)制。對于部分企業(yè)領(lǐng)導(dǎo)層而言，對信息安全的重視不夠，對潛在的各種風(fēng)險(xiǎn)和安全隱患問題分析不到位。

5 電力企業(yè)信息安全管理體現(xiàn)構(gòu)建的有效策略

基于以上對當(dāng)前企業(yè)安全管理中的問題分析，筆者認(rèn)為要想減少和控制電力企業(yè)信息安全管理中組織管理失誤現(xiàn)象， 應(yīng)當(dāng)根據(jù)企業(yè)實(shí)際生產(chǎn)運(yùn)營狀況，以IS027001信息安全管理體系標(biāo)準(zhǔn)為基礎(chǔ)，從組織、技術(shù)、管理以及運(yùn)行和監(jiān)督這等方面入手，對現(xiàn)有的信息安全管理架構(gòu)進(jìn)行改進(jìn)和完善，增加運(yùn)行、監(jiān)督環(huán)節(jié)。

5.1 提高對電力企業(yè)信息安全的認(rèn)知度

針對企業(yè)員工對信息安全知識掌握不足的現(xiàn)狀和問題，通過宣傳、教育和培訓(xùn)等方法，提高企業(yè)全體員工對信息安全的認(rèn)知度。首先，加強(qiáng)信息安全宣傳教育。電力企業(yè)信息安全宣傳的目的在于讓全體員工清楚地認(rèn)識到信息安全管理工作的重要性，了解信息安全管理目標(biāo)，以此來提高企業(yè)員工的信息安全管理意識。

5.2 建立健全信息安全審計(jì)機(jī)制

內(nèi)部審計(jì)是對電力企業(yè)信息安全管理體系建設(shè)與實(shí)施情況的評價(jià)，定期組織審計(jì)活動，以此來促進(jìn)安全管理體系的改進(jìn)與完善。企業(yè)的信息安全政策、規(guī)范制度是信息安全管理工作得以有效開展的重要依據(jù)，因此審計(jì)工作的主要內(nèi)容是檢驗(yàn)信息安全標(biāo)準(zhǔn)的符合性、執(zhí)行情況。在審計(jì)過程中，主要包括如下內(nèi)容，即檢驗(yàn)是否按照要求制定規(guī)章制度、執(zhí)行細(xì)則；檢驗(yàn)員工對的規(guī)章制度執(zhí)行狀況，對審計(jì)結(jié)果的整改落實(shí)情況進(jìn)行核查；同時(shí)，還要對信息安全控制措施的應(yīng)用效果進(jìn)行全面檢查，確保評估的有效性。

5.3 建立和完善信息安全風(fēng)險(xiǎn)管理制度

信息安全風(fēng)險(xiǎn)，即威脅利用系統(tǒng)弱點(diǎn)對相關(guān)信息資產(chǎn)造成破壞、損失的可能性，信息系統(tǒng)安全與否，主要取決于其風(fēng)險(xiǎn)是否己在現(xiàn)有措施條件下實(shí)現(xiàn)了最小化，而非絕對沒有風(fēng)險(xiǎn)。