導(dǎo)語(yǔ)：如何才能寫好一篇網(wǎng)絡(luò)安全管理體系建設(shè)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：信息安全安全屬性安全建設(shè)

我國(guó)信息化安全建設(shè)任務(wù)非常艱巨，主要包括各種業(yè)務(wù)的社會(huì)公網(wǎng)、行業(yè)專網(wǎng)、互聯(lián)網(wǎng)等信息基礎(chǔ)設(shè)施運(yùn)營(yíng)、管理和服務(wù)的安全自主保障、安全監(jiān)管、安全應(yīng)急和打擊信息犯罪為核心的威懾體系的建設(shè)，其內(nèi)容包括網(wǎng)絡(luò)系統(tǒng)安全建設(shè)、領(lǐng)域和企業(yè)的業(yè)務(wù)信息化安全建設(shè)、網(wǎng)絡(luò)內(nèi)容與行為的安全建設(shè)和用戶關(guān)注的網(wǎng)絡(luò)安全建設(shè)等方面。這些安全建設(shè)對(duì)于不同的領(lǐng)域和領(lǐng)導(dǎo)層面關(guān)注的內(nèi)容、對(duì)象和程度各不相同。網(wǎng)絡(luò)信息安全是一個(gè)完整的、系統(tǒng)的概念。它既是一個(gè)理論問(wèn)題，同時(shí)又是一個(gè)工程實(shí)踐問(wèn)題。由于互聯(lián)網(wǎng)的開(kāi)發(fā)性、復(fù)雜性和多樣性，使得網(wǎng)絡(luò)安全系統(tǒng)需要有一個(gè)完整的、嚴(yán)謹(jǐn)?shù)捏w系結(jié)構(gòu)來(lái)保證網(wǎng)絡(luò)中信息的安全。

1 信息安全的定義及目標(biāo)

信息的定義，從廣義上講，信息是任何一個(gè)事物的運(yùn)動(dòng)狀態(tài)以及運(yùn)動(dòng)狀態(tài)形式的變化，它是一種客觀存在。狹義的信息的含義是指信息接受主體所感覺(jué)到并能理解的東西。ISO 13335《信息技術(shù)安全管理指南》定義：信息是通過(guò)在數(shù)據(jù)上施加某此約定而賦予這此數(shù)據(jù)的特殊含義。信息是無(wú)形的，借助于信息媒體以多種形式存在和傳播，同時(shí)。信息也是一種重要資產(chǎn)，具有價(jià)值，需要保護(hù)。信息安全的目標(biāo)是信息資產(chǎn)被泄露意味著保密性受到影響，被更改意味著完整性受到影響，被破壞意味著可用性受到影響。而保密性、完整性和可用性三個(gè)基本屬性是信息安全的最終目標(biāo)。信息安全的保護(hù)對(duì)象包括了計(jì)算機(jī)硬件、軟件和數(shù)據(jù)。就本質(zhì)而言，信息安全所針對(duì)的均是“信息”這種資源的“安全”，對(duì)信息安全的理解應(yīng)從信息化背景出發(fā)，最終落實(shí)在信息的安全屬性上。

2 構(gòu)建網(wǎng)絡(luò)信息化安全的意義

能否有效地保護(hù)信息資源，保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展，直接關(guān)乎國(guó)家安危，關(guān)乎民族興亡，是國(guó)家、民族的頭等大事。沒(méi)有信息安全，就沒(méi)有真正意義上的政治安全，就沒(méi)有穩(wěn)固的經(jīng)濟(jì)安全和軍事安全，更沒(méi)有完整意義上的國(guó)家安全。信息安全是信息技術(shù)發(fā)展過(guò)程之中提出的課題，在信息化的大背景下被推上了歷史舞臺(tái)。信息安全不是最終目的，它只是服務(wù)于信息化的一種手段，其針對(duì)的是信息化這種戰(zhàn)略資源的安全，其主旨在于為信息化保駕護(hù)航。

3 網(wǎng)絡(luò)信息化的安全屬性

信息安全的概念與信息的本質(zhì)屬性有著必然的聯(lián)系，它是信息的本質(zhì)屬性所體現(xiàn)的安全意義。說(shuō)安全屬性研究首先要從安全定義講起，安全定義分很多的層次，為什么分層次，我們隨著它的演變來(lái)看的，信息安全最初目標(biāo)，叫數(shù)據(jù)安全，它關(guān)心的是數(shù)據(jù)自身，所以是一個(gè)狹義的數(shù)據(jù)安全，是保護(hù)信息自身的安全。

3.1 保密性（Confidentiality）

在傳統(tǒng)信息環(huán)境中，普通人通過(guò)郵政系統(tǒng)發(fā)信件時(shí)，為了個(gè)人隱私要裝上信封。可是到了信息化時(shí)代，信息在網(wǎng)上傳播時(shí)，如果沒(méi)有這個(gè)“信封”，那么所有的信息都是“明信片”，不再有秘密可言，這便是信息安全中的保密性需求。保密性是指信息不被泄露給非授權(quán)的用戶、實(shí)體或進(jìn)程，或被其利用的特性。保密性不但包括信息內(nèi)容的保密，還包括信息狀態(tài)的保密。

3.2 完整性（Integrality）

完整性是指信息未經(jīng)授權(quán)不能進(jìn)行更改的特性。即信息在存儲(chǔ)或傳輸過(guò)程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性與機(jī)密性不同，機(jī)密性要求信息不被泄露給未授權(quán)的人，而完整性則要求信息不致受到各種原因的破壞。

3.3 易用性（Availability）

易用性是信息可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性。在授權(quán)用戶或?qū)嶓w需要信息服務(wù)時(shí)，信息服務(wù)應(yīng)該可以使用，或者是信息系統(tǒng)部分受損或需要降級(jí)使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)。易用性一般用系統(tǒng)正常使用時(shí)間和整個(gè)工作時(shí)間之比來(lái)度量。

4 構(gòu)建網(wǎng)絡(luò)信息化安全管理體系

在面向網(wǎng)絡(luò)信息的安全系統(tǒng)中，安全管理是應(yīng)得到高度重視的。這是因?yàn)?，?jù)相關(guān)部門統(tǒng)計(jì)，在所有的計(jì)算機(jī)安全事件中，約有52％是人為因素造成的，25％是由火災(zāi)、水災(zāi)等自然災(zāi)害引起的，技術(shù)錯(cuò)誤占10％，組織內(nèi)部人員作案占10％，僅有3％左右是由外部不法人員攻擊造成的。簡(jiǎn)單歸類，屬于管理方面的原因比重高達(dá)70％以上，這正應(yīng)了人們常說(shuō)的“三分技術(shù)，七分管理”的箋言。因此，解決網(wǎng)絡(luò)與信息安全問(wèn)題，不僅應(yīng)從技術(shù)方面著手，更應(yīng)加強(qiáng)網(wǎng)絡(luò)住所的管理工作。

好的網(wǎng)絡(luò)信息化安全管理體現(xiàn)在以下幾個(gè)方面：在組織內(nèi)部建立全面的信息安全管理體系，強(qiáng)調(diào)信息安全是一個(gè)管理過(guò)程，而非技術(shù)過(guò)程；強(qiáng)調(diào)信息保密性、完整性、易用性三者在關(guān)鍵流程中運(yùn)用的平衡；把信息提高到組織資產(chǎn)的高度，強(qiáng)調(diào)對(duì)組織信息資產(chǎn)進(jìn)行價(jià)值及影響評(píng)估，對(duì)信息資產(chǎn)的脆弱性及其面臨的威脅進(jìn)行分析，運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理手段管理信息安全，使組織風(fēng)險(xiǎn)降低到可接受的水平；從法律和最好的實(shí)踐經(jīng)驗(yàn)角度，實(shí)施全面的控制措施，使組織信息安全威脅的方方面面置于嚴(yán)密控制之下；強(qiáng)調(diào)領(lǐng)導(dǎo)在信息安全管理中的作用；強(qiáng)調(diào)信息安全方針在管理體系中的作用；強(qiáng)調(diào)對(duì)信息技術(shù)及工具的實(shí)時(shí)和有效管理；強(qiáng)調(diào)組織運(yùn)作的連續(xù)性及業(yè)務(wù)連續(xù)性的管理；強(qiáng)調(diào)信息安全管理水平的不斷提高及對(duì)流程的策劃、實(shí)施、檢查和改進(jìn)的過(guò)程；信息安全應(yīng)該是一個(gè)以“價(jià)值”為基礎(chǔ)的過(guò)程，即信息安全管理應(yīng)是一個(gè)有附加價(jià)值，并講究投入產(chǎn)出比的過(guò)程。

5 關(guān)注信息化安全服務(wù)的綜合性、高技術(shù)性和對(duì)策性特點(diǎn)

信息安全產(chǎn)業(yè)有其鮮明的特點(diǎn)，雖然產(chǎn)生于信息化和信息系統(tǒng)，依然與通常的IT服務(wù)有許多區(qū)別。信息化安全的基本特征是服務(wù)性的。這種服務(wù)性與一般軟件的服務(wù)性是不同的。一般應(yīng)用系統(tǒng)或產(chǎn)品的服務(wù)主要是維護(hù)和培訓(xùn)，通常服務(wù)是非對(duì)策性的、非動(dòng)態(tài)的和比較固定的。信息化安全服務(wù)是對(duì)策性的、動(dòng)態(tài)性的、不斷產(chǎn)生新內(nèi)容的和似乎永遠(yuǎn)不能成熟等特性。信息化安全服務(wù)范疇?zhēng)缀醢苏麄€(gè)信息化所包括的所有產(chǎn)品和系統(tǒng)，其服務(wù)的綜合性和復(fù)雜性是顯而易見(jiàn)的。信息化安全服務(wù)是最高技術(shù)的服務(wù)，無(wú)論從設(shè)計(jì)角度和使用的角度都要求深入、熟練和非常專業(yè)。我們可以驕傲地說(shuō)，信息化安全服務(wù)是世界上最偉大的服務(wù)業(yè)，也是最困難的服務(wù)業(yè)。信息化安全服務(wù)的復(fù)雜性、高成本特性要求信息化安全企業(yè)必須在安全服務(wù)的遠(yuǎn)程化和化的推進(jìn)方面做出不懈努力，不斷降低服務(wù)成本。

6 結(jié)語(yǔ)

網(wǎng)絡(luò)信息安全不僅僅是一個(gè)純技術(shù)層面的問(wèn)題，單靠技術(shù)因素不足以保證網(wǎng)絡(luò)中信息的安全。網(wǎng)絡(luò)信息安全還涉及到法律、管理、標(biāo)準(zhǔn)等多方面的問(wèn)題。因此，信息安全是一個(gè)相當(dāng)復(fù)雜的問(wèn)題，只有協(xié)調(diào)好這些體系之間的關(guān)系，才能有效保證系統(tǒng)的安全。

參考文獻(xiàn)

篇2

(北京中油瑞飛信息技術(shù)有限責(zé)任公司北京100007)

摘要：通過(guò)對(duì)大中型跨國(guó)企業(yè)海外信息安全體系的研究，形成了一個(gè)完整的海外信息安全體系框架，包括安全策略、安全技術(shù)體系、安全管理體系、運(yùn)行保障體系和建設(shè)實(shí)施規(guī)劃等。依照該框架，企業(yè)可以針對(duì)各部分進(jìn)行具體實(shí)施，從而完成整個(gè)的海外信息安全建設(shè)。

關(guān)鍵詞 ：大中型企業(yè)；信息安全體系；框架；理論指導(dǎo)；安全模型

1海外信息安全體系建設(shè)原則

大中型企業(yè)海外信息安全體系的建設(shè)，涉及面廣、工作量大，整體設(shè)計(jì)必須堅(jiān)持以下的原則，以保證建設(shè)和運(yùn)營(yíng)的效果。

1.1統(tǒng)一規(guī)劃管理

要對(duì)信息安全體系建設(shè)進(jìn)行統(tǒng)一的規(guī)劃，制定信息安全體系框架，明確保障體系中所包含的內(nèi)容。同時(shí)，還要制定統(tǒng)一的信息安全建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，使得信息安全體系建設(shè)遵循一致的標(biāo)準(zhǔn)、管理遵循一致的規(guī)范。

1.2分步有序?qū)嵤?/p>

信息安全體系建設(shè)的內(nèi)容龐雜，必須堅(jiān)持分步有序的實(shí)施原則，循序漸進(jìn)。

1.3技術(shù)管理并重

僅有全面的安全技術(shù)和機(jī)制是遠(yuǎn)遠(yuǎn)不夠的，安全管理也具有同樣的重要性。信息安全體系的建設(shè)，必須遵循安全技術(shù)和安全管理并重的原則，制定統(tǒng)一的安全建設(shè)管理規(guī)范，指導(dǎo)安全管理工作。

1.4突出安全保障

信息安全體系建設(shè)要突出安全保障的重要性，通過(guò)數(shù)據(jù)備份、冗余設(shè)計(jì)、應(yīng)急響應(yīng)、安全審計(jì)、災(zāi)難恢復(fù)等安全保障機(jī)制，保障業(yè)務(wù)的持續(xù)性和數(shù)據(jù)的安全性。

2海外信息安全體系建設(shè)目標(biāo)

大型跨國(guó)企業(yè)海外信息安全的建設(shè)目標(biāo)是：基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo)，提供全面的安全服務(wù)內(nèi)容，覆蓋從物理、網(wǎng)絡(luò)、系統(tǒng)直至數(shù)據(jù)和應(yīng)用平臺(tái)各個(gè)層面，以及保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)等各個(gè)環(huán)節(jié)，構(gòu)建全面、完整、高效的信息安全體系，從而提高企業(yè)信息系統(tǒng)的整體安全等級(jí)，為企業(yè)海外業(yè)務(wù)發(fā)展提供堅(jiān)實(shí)的信息安全保障。

3海外信息安全體系框架

企業(yè)進(jìn)行信息安全建設(shè)的目標(biāo)是建立起一個(gè)全面、有效的信息安全體系，包括了安全技術(shù)、安全管理、人員組織、教育培訓(xùn)、資金投入等關(guān)鍵因素，信息安全建設(shè)的內(nèi)容多，規(guī)模大，必須進(jìn)行全面的統(tǒng)籌規(guī)劃，明確信息安全建設(shè)的工作內(nèi)容、技術(shù)標(biāo)準(zhǔn)、組織機(jī)構(gòu)、管理規(guī)范、人員崗位配備、實(shí)施步驟、資金投入，才能夠保證信息安全建設(shè)有序可控地進(jìn)行，使信息安全體系發(fā)揮最優(yōu)的保障效果。

同時(shí)還應(yīng)該制定一系列的安全管理規(guī)范，指導(dǎo)信息安全建設(shè)和運(yùn)營(yíng)工作，使得信息安全建設(shè)能夠依據(jù)統(tǒng)一的標(biāo)準(zhǔn)開(kāi)展，信息安全體系的運(yùn)營(yíng)和維護(hù)能夠遵循統(tǒng)一的規(guī)范進(jìn)行。

3.1安全目標(biāo)模型

根據(jù)大型跨國(guó)企業(yè)海外信息安全體系建設(shè)目標(biāo)和總體安全策略，建立與之對(duì)應(yīng)的目標(biāo)模型，稱為WP2DRR安全模型。該模型由預(yù)警（ Warning）、策略(Policy)、保護(hù)（Protectlon）、檢測(cè)（Detection）、響應(yīng)(Response)、恢復(fù)（Recovery）6個(gè)要素環(huán)節(jié)構(gòu)成了一個(gè)基于時(shí)間的、完整的、動(dòng)態(tài)的信息安全體系。WP2DRR模型在P2DR模型的基礎(chǔ)上新增加了預(yù)警Warnlng和恢復(fù)Recover，增強(qiáng)了安全保障體系的事前預(yù)防和事后恢復(fù)能力，系統(tǒng)一旦發(fā)生安全事故，也能恢復(fù)系統(tǒng)功能和數(shù)據(jù)，恢復(fù)系統(tǒng)的正常運(yùn)行。

安全目標(biāo)模型是信息安全體系框架的基礎(chǔ)，大型跨國(guó)企業(yè)的海外信息安全體系框架應(yīng)該緊密圍繞安全模型的6個(gè)要素環(huán)節(jié)進(jìn)行設(shè)計(jì)，每個(gè)要素環(huán)節(jié)的功能都在安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系中體現(xiàn)出來(lái)。

3.2信息安全體系框架組成

通過(guò)對(duì)企業(yè)的網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀、安全現(xiàn)狀、面臨的安全風(fēng)險(xiǎn)的分析，根據(jù)安全保障目標(biāo)模型，制定了大型跨國(guó)企業(yè)海外信息安全體系框架。制定該框架的目的在于從宏觀上指導(dǎo)和管理信息安全體系的建設(shè)和運(yùn)營(yíng)。

該框架由一組相互關(guān)聯(lián)、相互作用、相互彌補(bǔ)、相互推動(dòng)、相互依賴、不可分割的信息安全保障要素組成。此框架中，以安全策略為指導(dǎo)，融會(huì)了安全技術(shù)、安全管理和運(yùn)行保障3個(gè)層次的安全體系，以達(dá)到系統(tǒng)可用性、可控性、抗攻擊性、完整性、保密性的安全目標(biāo)。大型跨國(guó)企業(yè)海外信息安全體系框架的總體結(jié)構(gòu)如圖1所示。

3.2.1安全策略

在這個(gè)框架中，安全策略是指導(dǎo)，與安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系這3大體系相互作用。一方面，3大體系是在安全策略的指導(dǎo)下構(gòu)建的，主要是要將安全策略中制定的各個(gè)要素轉(zhuǎn)化成為可行的技術(shù)實(shí)現(xiàn)方法和管理、運(yùn)行保障手段，全面實(shí)現(xiàn)安全策略中所制定的目標(biāo)。另一方面，安全策略本身也有包括草案設(shè)計(jì)、評(píng)審、實(shí)施、培訓(xùn)、部署、監(jiān)控、強(qiáng)化、重新評(píng)佶、修訂等步驟在內(nèi)的生命周期，需要采用一些技術(shù)方法和管理手段進(jìn)行管理，保證安全策略的及時(shí)性和有效性。

按照要保障的資產(chǎn)對(duì)象的不同，總體策略劃分為物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、病毒防治、身份認(rèn)證、應(yīng)用授權(quán)和訪問(wèn)控制、數(shù)據(jù)加密、數(shù)據(jù)備份和災(zāi)難恢復(fù)、應(yīng)急響應(yīng)、教育培訓(xùn)等若干方面進(jìn)行闡述。

隨著技術(shù)的發(fā)展以及系統(tǒng)的升級(jí)、調(diào)整，安全策略也應(yīng)該進(jìn)行重新評(píng)估和制定，隨時(shí)保持策略與安全目標(biāo)的一致性。

3.2.2安全技術(shù)體系

安全技術(shù)體系是整個(gè)信息安全體系框架的基礎(chǔ)，包括了安全基礎(chǔ)設(shè)施平臺(tái)、安全應(yīng)用系統(tǒng)平臺(tái)和安全綜合管理平臺(tái)這3個(gè)部分，以統(tǒng)一的信息安全基礎(chǔ)設(shè)施平臺(tái)為支撐，以統(tǒng)一的安全系統(tǒng)應(yīng)用平臺(tái)為輔助，在統(tǒng)一的綜合安全管理平臺(tái)管理下的技術(shù)保障體系框架。

安全基礎(chǔ)設(shè)施平臺(tái)是以安全策略為指導(dǎo)，立足于現(xiàn)有的成熟安全技術(shù)和安全機(jī)制，從物理和通信安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、主機(jī)系統(tǒng)安全防護(hù)、應(yīng)用安全防護(hù)等多個(gè)層次出發(fā)，建立起的一個(gè)各個(gè)部分相互協(xié)同的完整的安全技術(shù)防護(hù)體系。

應(yīng)用信息系統(tǒng)通過(guò)使用安全基礎(chǔ)設(shè)施平臺(tái)所提供的各類安全服務(wù)，提升自身的安全等級(jí)，以更加安全的方式，提供業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)。安全綜合管理平臺(tái)的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機(jī)制與安全設(shè)備，對(duì)這些安全機(jī)制和安全設(shè)備進(jìn)行統(tǒng)一的管理和控制，負(fù)責(zé)管理和維護(hù)安全策略，配置管理相應(yīng)的安全機(jī)制，確保這些安全技術(shù)與設(shè)施能夠按照設(shè)計(jì)的要求協(xié)同運(yùn)作，可靠運(yùn)行。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與備類安全技術(shù)、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁，使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實(shí)現(xiàn)無(wú)縫連接，促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化，使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過(guò)渡向安全的信息系統(tǒng)應(yīng)用體系。

統(tǒng)一的安全管理平臺(tái)有助于各種安全管理技術(shù)手段的相互補(bǔ)充和有效發(fā)揮，也便于從系統(tǒng)整體的角度來(lái)進(jìn)行安全的監(jiān)控和管理，從而提高安全管理工作的效率，使人為的安全管理活動(dòng)參與量大幅下降。

3.2.3安全管理體系

安全組織和管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障，安全管理體系的設(shè)計(jì)立足于總體安全策略，并與安全技術(shù)體系相互配合，增強(qiáng)技術(shù)防護(hù)體系的效率和效果，同時(shí)也彌補(bǔ)當(dāng)前技術(shù)無(wú)法完全解決的安全缺陷。

技術(shù)和管理是相互結(jié)合的。一方面，安全防護(hù)技術(shù)措施需要安全管理措施來(lái)加強(qiáng)，另一方面技術(shù)也是對(duì)管理措施貫徹執(zhí)行的監(jiān)督手段。在大型跨國(guó)企業(yè)海外信息安全體系框架中，安全管理體系的設(shè)計(jì)充分參考和借鑒了國(guó)際信息安全管理標(biāo)準(zhǔn)《BS7799 (IS017799)》的建議。

大型跨國(guó)企業(yè)海外信息安全管理體系由若干信息安全管理類組成，每項(xiàng)信息安全管理類可分解為多個(gè)安全目標(biāo)和安全控制。每個(gè)安全目標(biāo)都有若干安全控制與其相對(duì)應(yīng)，這些安全控制是為了達(dá)成相應(yīng)安全目標(biāo)的管理工作和要求。

3.2.4運(yùn)行保障體系

運(yùn)行與保障體系由安全技術(shù)和安全管理緊密結(jié)合的內(nèi)容所組成，包括了系統(tǒng)可靠性設(shè)計(jì)、系統(tǒng)數(shù)據(jù)的備份計(jì)劃、安全事件的應(yīng)急響應(yīng)計(jì)劃、安全審計(jì)、災(zāi)難恢復(fù)計(jì)劃等，運(yùn)行和保障體系對(duì)于企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)的可持續(xù)性運(yùn)營(yíng)提供了重要的保障手段。

3.2.5建設(shè)實(shí)施規(guī)劃

建設(shè)實(shí)施規(guī)劃是在安全管理體系、安全技術(shù)體系、運(yùn)行保障體系設(shè)計(jì)的基礎(chǔ)上進(jìn)一步制定的建設(shè)步驟和實(shí)施方案。在建設(shè)實(shí)施規(guī)劃中突出體現(xiàn)了分步有序?qū)嵤┑脑瓌t。

任何信息安全建設(shè)都需要人員負(fù)責(zé)管理和實(shí)施，因此，首先應(yīng)該建立信息安全工作監(jiān)管組織機(jī)構(gòu)，明確各級(jí)管理機(jī)構(gòu)的人員配備，職能和責(zé)任。其中信息安全管理機(jī)構(gòu)負(fù)責(zé)信息安全策略的審核與頒布、統(tǒng)一技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的制定、指導(dǎo)和監(jiān)督信息安全建設(shè)工作、對(duì)信息安全系統(tǒng)進(jìn)行監(jiān)控與審計(jì)管理。

信息安全體系建設(shè)，應(yīng)該首先從物理環(huán)境安全建設(shè)入手，確保機(jī)房建設(shè)按照的統(tǒng)一標(biāo)準(zhǔn)進(jìn)行建設(shè)，并且按照統(tǒng)一的管理規(guī)范進(jìn)行管理。

在接下來(lái)的網(wǎng)絡(luò)安全建設(shè)中，應(yīng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全域進(jìn)行劃分，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整，以確保內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)邊界清晰；在各安全域的邊界處部署防火墻、網(wǎng)絡(luò)入侵檢測(cè)等安全產(chǎn)品，形成立體的區(qū)域邊界保護(hù)機(jī)制，對(duì)各安全域進(jìn)行邏輯安全隔離，禁止未授權(quán)的網(wǎng)絡(luò)訪問(wèn)；在內(nèi)部網(wǎng)絡(luò)中部署網(wǎng)絡(luò)脆弱性分析工具，定期對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行檢查，并采取措施及時(shí)彌補(bǔ)新發(fā)現(xiàn)的安全漏洞。

在進(jìn)行網(wǎng)絡(luò)安全建設(shè)的同時(shí)，還可以進(jìn)行系統(tǒng)安全建設(shè)，在內(nèi)部網(wǎng)絡(luò)中全面部署網(wǎng)絡(luò)病毒查殺系統(tǒng)，有效抑制計(jì)算機(jī)病毒在內(nèi)部網(wǎng)絡(luò)中傳播，避免對(duì)系統(tǒng)和數(shù)據(jù)造成損害。另外，主機(jī)系統(tǒng)管理員還應(yīng)該按照主機(jī)系統(tǒng)管理規(guī)范的要求，借助主機(jī)脆弱性分析和安全加固工具，定期對(duì)主機(jī)系統(tǒng)進(jìn)行檢查，更新安全漏洞補(bǔ)丁的級(jí)別，修正不當(dāng)?shù)南到y(tǒng)和服務(wù)配置，查看和分析系統(tǒng)審計(jì)日志，控制和保證主機(jī)系統(tǒng)的良好安全狀態(tài)。

應(yīng)用安全建設(shè)包括建立身份認(rèn)證系統(tǒng)、應(yīng)用授權(quán)和訪問(wèn)控制系統(tǒng)、數(shù)據(jù)安全傳輸系統(tǒng)等，對(duì)專業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)和內(nèi)部信息管理系統(tǒng)提供各種安全服務(wù)。

按照統(tǒng)一標(biāo)準(zhǔn)，建立安全審計(jì)與分析系統(tǒng)、系統(tǒng)和數(shù)據(jù)備份計(jì)劃、安全事件應(yīng)急響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃等安全保障機(jī)制，重在保護(hù)業(yè)務(wù)數(shù)據(jù)等信息資產(chǎn)，保證內(nèi)外應(yīng)用服務(wù)的持續(xù)可用性。

對(duì)所有員工進(jìn)行基本安全教育，為信息安全系統(tǒng)相關(guān)技術(shù)人員提供專門的安全理論和安全技能培訓(xùn)，提高全員的安全意識(shí)，打造一支高素質(zhì)的專業(yè)技術(shù)和管理隊(duì)伍。

4結(jié)論

海外信息安全體系是一個(gè)全方位的體系，從技術(shù)到管理、從網(wǎng)絡(luò)到設(shè)備再到人。任何一個(gè)方面都要考慮周全，只有每一個(gè)部分的安全才是整體的安全。

參考文獻(xiàn)

篇3

（一）管理使用的系統(tǒng)

ERP、加油站賬冊(cè)、二次物流管理、加油卡、辦公自動(dòng)化以及企業(yè)門戶網(wǎng)站等系統(tǒng)是石化銷售企業(yè)首要的應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)有以下特征：一是系統(tǒng)應(yīng)用范圍廣，全程參與企業(yè)的經(jīng)營(yíng)、管理、對(duì)外服務(wù)等；二是系統(tǒng)用戶眾多，涵蓋企業(yè)各階層員工；三是系統(tǒng)對(duì)持續(xù)運(yùn)轉(zhuǎn)要求高，因此對(duì)應(yīng)用系統(tǒng)的安全運(yùn)轉(zhuǎn)要求較高。對(duì)公司的經(jīng)營(yíng)管理而言，系統(tǒng)的安全穩(wěn)定運(yùn)行具有重大意義，系統(tǒng)數(shù)據(jù)是否安全、保密性和供應(yīng)商、企業(yè)利益有密切關(guān)系。

（二）安全管理

隨著我國(guó)經(jīng)濟(jì)水平不斷提高，石化銷售企業(yè)越來(lái)越離不開(kāi)信息化管理，世界各地的公司對(duì)內(nèi)部成立一個(gè)信息化團(tuán)隊(duì)，根據(jù)內(nèi)部的需要制定出具有整體性的管理體系，并根據(jù)相關(guān)的信息安全規(guī)定對(duì)系統(tǒng)內(nèi)部的安全等級(jí)做好評(píng)估保護(hù)工作。各企業(yè)制定了詳細(xì)有效的“信息系統(tǒng)應(yīng)急預(yù)案”以應(yīng)付各類突發(fā)事件。近幾年，中國(guó)石化內(nèi)控體系在建設(shè)過(guò)程中不斷加強(qiáng)、完善自身管理體系，也在IT控制方面占有一定的優(yōu)勢(shì)。當(dāng)前，石化銷售企業(yè)已基本形成一套完整的信息安全防御和管理體系，從而確保了網(wǎng)絡(luò)信息系統(tǒng)的安全性。

二、信息安全風(fēng)險(xiǎn)的評(píng)估

衡量安全管理體系的風(fēng)險(xiǎn)主要方法是進(jìn)行信息安全風(fēng)險(xiǎn)的評(píng)估，以此保障信息資產(chǎn)清單和風(fēng)險(xiǎn)級(jí)別，進(jìn)而確定相應(yīng)的防控措施。在石化銷售企業(yè)進(jìn)行信息安全風(fēng)險(xiǎn)的評(píng)估過(guò)程中，主要通過(guò)資金、威脅、安全性等識(shí)別美容對(duì)風(fēng)險(xiǎn)進(jìn)行安全檢測(cè)，同時(shí)結(jié)合企業(yè)自身的實(shí)際情況，擬定風(fēng)險(xiǎn)控制相應(yīng)的對(duì)策，把企業(yè)內(nèi)的信息安全風(fēng)險(xiǎn)竟可能下降到最低水平。

（一）物理存在的風(fēng)險(xiǎn)

機(jī)房環(huán)境和硬件設(shè)備是主要的的物理風(fēng)險(xiǎn)。當(dāng)前，部分企業(yè)存在的風(fēng)險(xiǎn)有：1）企業(yè)機(jī)房使用年限過(guò)長(zhǎng)，如早期的配電、布線等設(shè)計(jì)標(biāo)準(zhǔn)陳舊，無(wú)法滿足現(xiàn)在的需求；2）機(jī)房使用的裝備年限太長(zhǎng)、例如中央空調(diào)老化，制冷效果不佳導(dǎo)致溫度不達(dá)標(biāo)，UPS電源續(xù)航能力下降嚴(yán)重，門禁系統(tǒng)損壞等，存在風(fēng)險(xiǎn)；3）機(jī)房安全防護(hù)設(shè)施不齊全，存在風(fēng)險(xiǎn)。

（二）網(wǎng)絡(luò)和系統(tǒng)安全存在的風(fēng)險(xiǎn)

石化訪問(wèn)系統(tǒng)的使用和操作大量存在安全風(fēng)險(xiǎn)，其中主要風(fēng)險(xiǎn)包括病毒入侵、黑客襲擊、防火墻無(wú)效、端口受阻以及操作系統(tǒng)安全隱患等。即使大部分企業(yè)已安裝統(tǒng)一的網(wǎng)絡(luò)防病毒體系、硬件防火墻、按期更新網(wǎng)絡(luò)系統(tǒng)軟件、安裝上網(wǎng)行為監(jiān)控等，但因?yàn)橄到y(tǒng)漏洞數(shù)目不斷增多網(wǎng)絡(luò)結(jié)構(gòu)和襲擊逐漸減弱或者因?yàn)樾畔⑾到y(tǒng)使用人員操作系統(tǒng)本身的安全機(jī)制不完善、也會(huì)產(chǎn)生安全隱患。

（三）系統(tǒng)安全風(fēng)險(xiǎn)

沒(méi)有經(jīng)過(guò)許可進(jìn)行訪問(wèn)、數(shù)據(jù)泄密和被刪改等威脅著系統(tǒng)的安全性。提供各類應(yīng)用服務(wù)是企業(yè)信息系統(tǒng)的首要任務(wù)，而數(shù)據(jù)正是應(yīng)用信息系統(tǒng)的核心，因此，實(shí)際應(yīng)用與系統(tǒng)安全風(fēng)險(xiǎn)密切聯(lián)系。當(dāng)前，信息應(yīng)用系統(tǒng)存儲(chǔ)了大量的客戶、交易等重要信息，一旦泄露，造成客戶對(duì)企業(yè)信任度影響的同時(shí)也會(huì)影響企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力。

（四）安全管理存在的風(fēng)險(xiǎn)

安全管理存在的主要指沒(méi)有同體的風(fēng)險(xiǎn)安全管理手段，管理制度不完善、管理標(biāo)準(zhǔn)沒(méi)有統(tǒng)一，人員安全意識(shí)薄弱等等都存在管理風(fēng)險(xiǎn)，因此，需要設(shè)立完善的信息系統(tǒng)安全管理體系，從嚴(yán)管理，促使信息安全系統(tǒng)正常運(yùn)作。一方面要規(guī)范健全信息安全管理手段，有效較強(qiáng)內(nèi)控IT管理流程控制力度，狠抓落實(shí)管理體系的力度，杜絕局部管理不足點(diǎn)；另一方面，由于信息安全管理主要以動(dòng)態(tài)發(fā)展的形式存在，要不斷調(diào)整、完善制度，以符合信息安全的新環(huán)境需求。

三、信息安全管理體系框架的主要構(gòu)思

信息安全管理體系的框架主要由監(jiān)管體系、組織體系和技術(shù)體系形成，特點(diǎn)是系統(tǒng)化、程序化和文件化，而主要思想以預(yù)防控制為主，以過(guò)程和動(dòng)態(tài)控制為條件。完善安全管理體系，使石化銷售企業(yè)信息系統(tǒng)和信息網(wǎng)絡(luò)能夠安全可靠的運(yùn)作，從機(jī)密性、完整性、不可否認(rèn)性和可用性等方面確保數(shù)據(jù)安全，提升系統(tǒng)的持續(xù)性，加強(qiáng)企業(yè)的競(jìng)爭(zhēng)力。

（一）組織體系

企業(yè)在完善管理體系過(guò)程中應(yīng)設(shè)立信息安全委員會(huì)和相關(guān)管理部門，設(shè)置相應(yīng)的信息安全崗位，明確各級(jí)負(fù)責(zé)的信息安全和人員配置等內(nèi)容。在全面提升企業(yè)人員對(duì)信息安全了解的過(guò)程中必須進(jìn)行信息安全知識(shí)的相關(guān)培訓(xùn)，使工作人員提高信息安全管理意識(shí)，實(shí)現(xiàn)信息安全管理工作人人有責(zé)。

（二）制度體系

操作規(guī)范、安全策略、應(yīng)急預(yù)案等各項(xiàng)管理制度經(jīng)過(guò)計(jì)劃和下發(fā)，讓信息安全管理有據(jù)可依。企業(yè)參照合理完善的各項(xiàng)制度進(jìn)一步優(yōu)化業(yè)務(wù)流程，規(guī)范操作行為，降低事故風(fēng)險(xiǎn)，提升應(yīng)急能力，以此加強(qiáng)信息安全的管理體系。

（三）技術(shù)體系

管理技術(shù)、防護(hù)技術(shù)、控制技術(shù)是信息安全管理體系的主要技術(shù)基礎(chǔ)。安全技術(shù)包括物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、主機(jī)安全技術(shù)、終端安全技術(shù)、數(shù)據(jù)安全、應(yīng)用安全技術(shù)等。一旦出現(xiàn)信息安全事件，技術(shù)體系會(huì)在最短的時(shí)間內(nèi)降低事件的不良影響，依靠相關(guān)的信息安全管理技術(shù)平臺(tái)，以實(shí)現(xiàn)信息安全技術(shù)的有效控制。管理體系的核心是技術(shù)手段，先進(jìn)的加密算法和強(qiáng)化密鑰管理構(gòu)成的數(shù)據(jù)加密方式全程控制數(shù)據(jù)傳輸和數(shù)據(jù)存儲(chǔ)，可以保證數(shù)據(jù)的安全性。采用堡壘機(jī)、防火墻等安全系統(tǒng)可以過(guò)濾掉不安全的服務(wù)和非法用戶，防止入侵者接近防御設(shè)備。IDS作為防火墻的重要功能之一，能夠幫助網(wǎng)絡(luò)系統(tǒng)快速檢測(cè)出攻擊的對(duì)象，加強(qiáng)了管理員的安全管理技術(shù)（包括審計(jì)工作、監(jiān)視、進(jìn)攻識(shí)別等技術(shù)），提高了信息安全體系的防范性。企業(yè)數(shù)據(jù)備份這一塊可以采用雙機(jī)熱本地集群網(wǎng)、異地集群網(wǎng)等各種形式進(jìn)行網(wǎng)絡(luò)備份，利用體統(tǒng)的可用性和容災(zāi)性加強(qiáng)安全管理能力。

近年來(lái)各個(gè)企業(yè)的惡意軟件、攻擊行為手法變化多端很難防御，在各種壓力下，傳統(tǒng)的的安全防預(yù)技術(shù)受到了嚴(yán)峻的考驗(yàn)，這時(shí)“云安全”技術(shù)當(dāng)之無(wú)愧成為當(dāng)今最熱的安全技術(shù)。“云安全”技術(shù)主要使用分部式運(yùn)算功能進(jìn)行防御，而“云安全”技術(shù)對(duì)于企業(yè)用戶而言確實(shí)明顯的保障了信息的安全性以及降低客戶端維護(hù)量。“云安全”技術(shù)是未來(lái)安全防護(hù)技術(shù)發(fā)展的必由之路，且今后“云安全”作為企業(yè)安全管理的核心內(nèi)容為企業(yè)的數(shù)據(jù)、服務(wù)器群組以及端點(diǎn)提供強(qiáng)制的安全防御能力。”

四、信息安全管理體系相關(guān)步驟

由于管理體系具有靈活性，企業(yè)可依據(jù)自身的特點(diǎn)和實(shí)際情況，使用最優(yōu)方案，結(jié)合石化銷售的特征，提出以下步驟：1）管理體系的重要目標(biāo)；2）管理體系的主要范疇；3）管理體系現(xiàn)狀考察與風(fēng)險(xiǎn)估量；4）完善管理體系的制度；5）整理管理體系的文檔；6）管理體系的運(yùn)行方式；7）信息安全管理體系考核。

五、結(jié)論

篇4

關(guān)鍵詞：企業(yè)；信息網(wǎng)絡(luò)；安全體系；安全技術(shù)

大中型企業(yè)作為我國(guó)國(guó)民經(jīng)濟(jì)的骨干企業(yè)，在國(guó)家經(jīng)濟(jì)發(fā)揮舉足輕重的作用，現(xiàn)代經(jīng)濟(jì)活動(dòng)離不開(kāi)信息和網(wǎng)絡(luò)，大中型企業(yè)對(duì)網(wǎng)絡(luò)和信息技術(shù)的依賴性很強(qiáng)，企業(yè)員工多、信息化互聯(lián)設(shè)備多、種類多樣，企業(yè)的關(guān)鍵業(yè)務(wù)大多架構(gòu)在IT系統(tǒng)之上，網(wǎng)絡(luò)環(huán)境的穩(wěn)定性、安全性、高效性直接影響公司信息化應(yīng)用。目前，許多大中型企業(yè)提出了建立“數(shù)字化企業(yè)”的目標(biāo)，在企業(yè)信息化建設(shè)中，信息安全問(wèn)題是必須要首先考慮的問(wèn)題，可見(jiàn)，建立企業(yè)信息安全體系勢(shì)在必行。

1  企業(yè)信息網(wǎng)絡(luò)安全威脅及風(fēng)險(xiǎn)

近年來(lái),許多大中型企業(yè)十分重視信息網(wǎng)絡(luò)建設(shè)的應(yīng)用和開(kāi)發(fā)，但是對(duì)于信息網(wǎng)絡(luò)安全的防護(hù)并沒(méi)有得到足夠重視。根據(jù)調(diào)研機(jī)構(gòu)的調(diào)查報(bào)告顯示，國(guó)內(nèi)企業(yè)中63%經(jīng)常遭受病毒或蠕蟲攻擊，而41%的企業(yè)受到惡意間諜軟件或惡意軟件的威脅。主要體現(xiàn)在：病毒和蠕蟲攻擊、黑客入侵、惡意攻擊、完整性破壞、網(wǎng)絡(luò)資源濫用、員工信息安全意識(shí)淡薄等。

目前企業(yè)面臨著網(wǎng)絡(luò)攻擊的“外部威脅”及內(nèi)部人員信息泄露的“內(nèi)部威脅”的雙重考驗(yàn)，垃圾郵件、企業(yè)機(jī)密泄露、網(wǎng)絡(luò)資源濫用、病毒泛濫以及網(wǎng)絡(luò)攻擊等問(wèn)題成為企業(yè)最為頭疼的網(wǎng)絡(luò)安全問(wèn)題，企業(yè)網(wǎng)絡(luò)環(huán)境日趨嚴(yán)峻。

2 企業(yè)網(wǎng)絡(luò)安全體系

大中型企業(yè)網(wǎng)絡(luò)面臨嚴(yán)峻的安全形勢(shì)，迫使各企業(yè)意識(shí)到構(gòu)建完備安全體系的重要性，隨著網(wǎng)絡(luò)攻擊的多樣化，只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付各種各樣的攻擊，同時(shí)還要隨時(shí)注重操作系統(tǒng)、數(shù)據(jù)庫(kù)、軟硬件設(shè)備的安全性；企業(yè)安全體系建設(shè)不僅要有效抵御外網(wǎng)攻擊，而且要能防范可能來(lái)自內(nèi)部的安全泄密等威脅。企業(yè)必須采用多層次的安全系統(tǒng)架構(gòu)才能保障企業(yè)網(wǎng)絡(luò)安全，最終建立一套以內(nèi)外兼防為特征的企業(yè)安全保障體系。

企業(yè)信息網(wǎng)絡(luò)安全體系由物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全五部分構(gòu)成。

物理安全：物理安全主要是保護(hù)企業(yè)數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)介質(zhì)及其他物理實(shí)體設(shè)備的安全，提供一個(gè)安全可靠的物理運(yùn)行環(huán)境。

鏈路安全：數(shù)據(jù)鏈路層（第二協(xié)議層）的通信連接就安全而言，是較為薄弱的環(huán)節(jié)。目的是保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽(tīng)和篡改。

網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全主要包括：通過(guò)防火墻隔離內(nèi)外網(wǎng)絡(luò)，不同區(qū)域的訪問(wèn)控制，部署基于網(wǎng)絡(luò)的身份認(rèn)證及入侵檢測(cè)系統(tǒng)、VPN、網(wǎng)絡(luò)集中防病毒等手段實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備自身的安全可靠。

系統(tǒng)安全：系統(tǒng)安全主要指數(shù)據(jù)庫(kù)、操作系統(tǒng)的安全保護(hù)。保證應(yīng)用系統(tǒng)的可靠性、完整性和高效性。

信息安全：主要通過(guò)數(shù)據(jù)加密、CA認(rèn)證、授權(quán)等手段保證信息處理、傳遞、存儲(chǔ)的保密性、完整性和可用性。

典型企業(yè)信息網(wǎng)絡(luò)安全管理體系拓?fù)浣Y(jié)構(gòu)如圖一所示：

3  信息安全體系設(shè)計(jì)原則

企業(yè)安全設(shè)計(jì)應(yīng)遵循如下原則：

3．1保密性：信息不能夠泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用的特性。

3．2完整性：信息完整性是指信息在輸入和傳輸?shù)倪^(guò)程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性。

3． 3可用性：保障授權(quán)用戶在需要時(shí)可以獲取信息并按要求使用的特性。

3．4可控性：對(duì)信息的處理、傳遞、存儲(chǔ)等具有控制能力。

信息安全就是要保障維護(hù)信息的機(jī)密性、完整性、可用性以及保障維護(hù)信息的真實(shí)性、可問(wèn)責(zé)性、不可抵賴性、可靠性、守法性。

4 企業(yè)網(wǎng)絡(luò)安全防范技術(shù)手段

目前企業(yè)信息網(wǎng)絡(luò)布署的安全技術(shù)手段主要方式有：

4.1防火墻系統(tǒng)

  防火墻系統(tǒng)作為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)必不可少的組成部分，用于防范來(lái)自外部interne非法用戶對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的主動(dòng)威脅。防火墻系統(tǒng)搭建在內(nèi)部網(wǎng)絡(luò)與外部公共Internet網(wǎng)絡(luò)之間，通過(guò)合理配置訪問(wèn)控制策略，管理Internet和內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)。其主要功能包括訪問(wèn)控制、信息過(guò)濾、流量分析和監(jiān)控、阻斷非法數(shù)據(jù)傳輸?shù)?。企業(yè)在外部攻擊的頻度和攻擊流量非常嚴(yán)重的情況下，建議配置專用的DDOS防火墻。

4.2入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（簡(jiǎn)稱“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)，可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足，通過(guò)對(duì)來(lái)自外部網(wǎng)和內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)未授權(quán)或異?，F(xiàn)象以及各種可能的攻擊企圖，記錄有關(guān)事件，以便網(wǎng)管員及時(shí)采取防范措施，為事后分析提供依據(jù)的依據(jù)。

4.3漏洞掃描系統(tǒng)

企業(yè)內(nèi)部部署漏洞掃描系統(tǒng)，不間斷地對(duì)企業(yè)工作站、服務(wù)器、防火墻、交換機(jī)等進(jìn)行安全檢查，提供記錄有關(guān)漏洞的詳細(xì)信息和最佳解決對(duì)策，協(xié)助網(wǎng)管員及時(shí)發(fā)現(xiàn)和堵絕漏洞、降低風(fēng)險(xiǎn)，防患于未然。

4.4網(wǎng)頁(yè)防篡改系統(tǒng)

網(wǎng)頁(yè)防篡改系統(tǒng)主要是防止企業(yè)對(duì)外Web遭受黑客的篡改，保證企業(yè)外部網(wǎng)站的正常運(yùn)行。防篡改系統(tǒng)利用先進(jìn)的Web服務(wù)器核心內(nèi)嵌技術(shù)，將篡改檢測(cè)模塊（數(shù)字水印技術(shù)）和應(yīng)用防護(hù)模塊（防注入攻擊）內(nèi)嵌于Web服務(wù)器內(nèi)部，并輔助以增強(qiáng)型事件觸發(fā)檢測(cè)技術(shù)，不僅實(shí)現(xiàn)了對(duì)靜態(tài)網(wǎng)頁(yè)和腳本的實(shí)時(shí)檢測(cè)和恢復(fù)，更可以保護(hù)數(shù)據(jù)庫(kù)中的動(dòng)態(tài)內(nèi)容免受來(lái)自于Web的攻擊和篡改，徹底解決網(wǎng)頁(yè)防篡改問(wèn)題。

4.5上網(wǎng)行為管理系統(tǒng)

上網(wǎng)行為管理系統(tǒng)主要部署在企業(yè)外部防火墻和內(nèi)部核心交換機(jī)之間，針對(duì)企業(yè)內(nèi)部員工訪問(wèn)Internet行為進(jìn)行集中管理與控制。其主要功能有：網(wǎng)頁(yè)過(guò)濾、應(yīng)用控制（IM聊天、P2P下載、在線娛樂(lè)、炒股軟件、論壇發(fā)帖等）、帶寬管理、內(nèi)容審計(jì)（郵件收發(fā)、論壇發(fā)帖、FTP、HTTP文件傳輸?shù)龋?、用戶管理、日志管理等功能?/p>

4.6內(nèi)網(wǎng)安全管理平臺(tái)

據(jù)FBI/CSI中國(guó)CNISTEC調(diào)查報(bào)告：來(lái)自企業(yè)外部威脅占20%，內(nèi)部威脅高達(dá)80%。針對(duì)大型企業(yè)日益復(fù)雜的內(nèi)部網(wǎng)絡(luò)環(huán)境以及基于企業(yè)保密管理的需求，必須構(gòu)造一套內(nèi)網(wǎng)安全管理平臺(tái)，規(guī)范和管理內(nèi)部網(wǎng)絡(luò)環(huán)境，提高內(nèi)部網(wǎng)絡(luò)資源的可控性。其功能應(yīng)包括：用戶認(rèn)證與授權(quán)、IP與MAC綁定、網(wǎng)絡(luò)監(jiān)控、桌面監(jiān)控、安全域管理、 存儲(chǔ)介質(zhì)管理、補(bǔ)丁分發(fā)、文檔安全管理、資產(chǎn)管理、日志報(bào)表管理等。

4.7企業(yè)集中防病毒系統(tǒng)

在病毒肆虐的時(shí)代，反病毒已經(jīng)成為企業(yè)信息安全非常重要的一環(huán)，企業(yè)網(wǎng)絡(luò)情況比較復(fù)雜，由于員工計(jì)算機(jī)水平大多不高，構(gòu)造一套完整的企業(yè)集中防病毒網(wǎng)絡(luò)系統(tǒng)平臺(tái)，可以強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和統(tǒng)一管理策略，并且使企業(yè)員工電腦的病毒庫(kù)及時(shí)得到更新，增強(qiáng)病毒防護(hù)有效性，降低病毒對(duì)安全帶來(lái)的威脅。

集中防病毒系統(tǒng)應(yīng)具有：集中管控、遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、分布查殺等多種功能。

4.8建立健全企業(yè)安全管理組織體系及制度，加強(qiáng)企業(yè)信息安全意識(shí)

企業(yè)在建設(shè)信息網(wǎng)絡(luò)安全建設(shè)技術(shù)手段的同時(shí)，更需要考慮管理的安全性，不斷完善企業(yè)信息安全制度。通過(guò)培訓(xùn)，增強(qiáng)每個(gè)員工的安全意識(shí)，為大中型企業(yè)信息安全管理奠定基礎(chǔ)。

隨著信息技術(shù)的發(fā)展，企業(yè)無(wú)線接入、電子商務(wù)交易、數(shù)字簽名、數(shù)字證書等安全管理也應(yīng)逐步納入企業(yè)信息安全體系范疇。

五、 結(jié)束語(yǔ)

目前，大中型企業(yè)信息進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化的發(fā)展大趨勢(shì)，針對(duì)各種網(wǎng)絡(luò)應(yīng)用的攻擊和破壞方式也變得異常頻繁，信息化發(fā)展而來(lái)的網(wǎng)絡(luò)安全問(wèn)題日漸突出，網(wǎng)絡(luò)安全問(wèn)題已成為信息時(shí)代人類共同面臨的挑戰(zhàn)，同時(shí)，網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)工程，涉及人員、硬軟件設(shè)備、資金、制度等因素，沒(méi)有絕對(duì)可靠的安全技術(shù)，科學(xué)有效的管理可以彌補(bǔ)技術(shù)安全漏洞的缺陷。

參考文獻(xiàn)：

［1］向宏，傅鸝，詹榜華 著  信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估 電子工業(yè)出版社  2009-01

［2］謝宗曉，郭立生　著  信息安全管理體系應(yīng)用手冊(cè)中國(guó)標(biāo)準(zhǔn)出版社  2008-10

篇5

關(guān)鍵詞： 校園網(wǎng)；網(wǎng)絡(luò)規(guī)劃

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1006-4311（2012）07-0122-02

0引言

隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，網(wǎng)絡(luò)技術(shù)也以驚人的速度不斷更新。為了適應(yīng)國(guó)家信息基礎(chǔ)設(shè)施建設(shè)的需要，提高教學(xué)質(zhì)量、辦公效率，解決青海大學(xué)當(dāng)前信息化工作遇到的突出問(wèn)題，在原有校園網(wǎng)的基礎(chǔ)上，建設(shè)高性能、可靠安全、擴(kuò)展能力強(qiáng)的新型校園信息化網(wǎng)絡(luò)系統(tǒng)，建設(shè)和支持一批先進(jìn)的教學(xué)、科研、管理和校園文化信息系統(tǒng)，在信息化領(lǐng)域率先取得突破和飛躍，達(dá)到國(guó)內(nèi)先進(jìn)水平，全面支撐未來(lái)五年學(xué)校各項(xiàng)建設(shè)和發(fā)展工作。

1校園網(wǎng)和信息化的現(xiàn)狀分析

校園網(wǎng)和信息化建設(shè)的一般規(guī)律和發(fā)展周期是建設(shè)、應(yīng)用、產(chǎn)生新的需求、再建設(shè)、再應(yīng)用。青海大學(xué)目前處在應(yīng)用階段。經(jīng)過(guò)幾年的建設(shè)，校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)傳輸和訪問(wèn)已經(jīng)具備了相當(dāng)?shù)哪芰蜅l件，已經(jīng)開(kāi)通了一批有需求和應(yīng)用前景的系統(tǒng)。目前的主要問(wèn)題是已經(jīng)投入使用的系統(tǒng)沒(méi)有被有效地運(yùn)用起來(lái)，關(guān)鍵環(huán)節(jié)是充分發(fā)揮已有系統(tǒng)的效益。主要存在以下幾個(gè)方面的問(wèn)題。

1.1 網(wǎng)絡(luò)設(shè)備陳舊現(xiàn)有網(wǎng)絡(luò)設(shè)備只具備很小的性能提升空間，同時(shí)對(duì)新型網(wǎng)絡(luò)協(xié)議組的支持不足，網(wǎng)絡(luò)通信的服務(wù)質(zhì)量較低，導(dǎo)致網(wǎng)絡(luò)性能不穩(wěn)定。

1.2 管理體系亟待完善隨著入網(wǎng)用戶的增加，網(wǎng)絡(luò)設(shè)備的維護(hù)和網(wǎng)絡(luò)用戶的管理難度越來(lái)越大。網(wǎng)絡(luò)管理過(guò)度強(qiáng)調(diào)專業(yè)背景的傾向，使實(shí)際信息化工作中技術(shù)含量有余而管理含量不足。

1.3 網(wǎng)絡(luò)安全體系差由于校園網(wǎng)規(guī)模大、應(yīng)用種類多，用戶活躍、流動(dòng)性、群體的可控性差，所以，校園網(wǎng)的安全問(wèn)題不僅來(lái)自于外網(wǎng)，更多的和更嚴(yán)重的是來(lái)自于內(nèi)網(wǎng)。

1.4 校園網(wǎng)主干帶寬不足無(wú)法滿足目前教學(xué)和研究應(yīng)用的需求，同時(shí)也無(wú)法滿足新型帶寬服務(wù)的需求。

2校園升級(jí)改造的設(shè)計(jì)方案

青海大學(xué)下一代校園網(wǎng)和信息系統(tǒng)的主要建設(shè)內(nèi)容覆蓋基礎(chǔ)設(shè)施建設(shè)、管理體系建設(shè)、應(yīng)用系統(tǒng)建設(shè)等各個(gè)方面，概述如下：

2.1 體系結(jié)構(gòu)設(shè)計(jì)青海大學(xué)信息化服務(wù)基礎(chǔ)設(shè)施如圖1所示，按照4橫3縱的架構(gòu)進(jìn)行規(guī)劃。其中縱向上，左邊安全管理體系和右邊運(yùn)行服務(wù)體系構(gòu)成整個(gè)信息化基礎(chǔ)設(shè)施的基礎(chǔ)保障。橫向上，通信基礎(chǔ)設(shè)施、節(jié)點(diǎn)機(jī)房設(shè)施、計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)向上遞進(jìn)支撐。

2.2 管理協(xié)調(diào)機(jī)構(gòu)和機(jī)制設(shè)計(jì)大學(xué)校園信息化建設(shè)與實(shí)施是一項(xiàng)涉及面廣、技術(shù)性強(qiáng)、投資巨大的系統(tǒng)工程，需要有一個(gè)良好的保障機(jī)制，以便統(tǒng)一規(guī)劃、指揮和協(xié)調(diào)。進(jìn)一步建立健全信息化建設(shè)的領(lǐng)導(dǎo)體系，加強(qiáng)組織建設(shè)力量，加強(qiáng)和落實(shí)基礎(chǔ)設(shè)施和信息系統(tǒng)的運(yùn)行維護(hù)隊(duì)伍與運(yùn)行機(jī)制。為信息化建設(shè)的正常進(jìn)行創(chuàng)造基本條件。具體組織機(jī)構(gòu)如圖2所示。校園網(wǎng)和信息系統(tǒng)的建設(shè)和運(yùn)行維護(hù)的順利實(shí)施是一個(gè)管理與技術(shù)相結(jié)合的問(wèn)題，特別強(qiáng)調(diào)管理部門和技術(shù)部門的配合、強(qiáng)調(diào)最終用戶必須真正參與其中。

2.3 運(yùn)行和服務(wù)體系用戶服務(wù)、應(yīng)用管理、基礎(chǔ)保障環(huán)境管理構(gòu)成了運(yùn)維服務(wù)的主體，三塊內(nèi)容通過(guò)有效、合理的運(yùn)維流程有機(jī)結(jié)合起來(lái)，形成了一個(gè)整體。管理制度與工作規(guī)范作為每塊工作的依據(jù)和要求，保證運(yùn)維服務(wù)工作能夠有序進(jìn)行。青海大學(xué)的運(yùn)行服務(wù)機(jī)構(gòu)包括以下3個(gè)業(yè)務(wù)部門。運(yùn)行部：負(fù)責(zé)系統(tǒng)的日常運(yùn)行值班與檢測(cè)。系統(tǒng)部：保障應(yīng)用系統(tǒng)穩(wěn)定、高效地運(yùn)行。網(wǎng)絡(luò)部：保障網(wǎng)絡(luò)系統(tǒng)、光纜等傳輸系統(tǒng)、防火墻等安全系統(tǒng)的正常運(yùn)行。

2.4 校園網(wǎng)的升級(jí)改造設(shè)計(jì)

2.4.1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)包括，通訊網(wǎng)絡(luò)建設(shè)、計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)、節(jié)點(diǎn)建設(shè)和數(shù)據(jù)中心建設(shè)。分期建成先進(jìn)的、穩(wěn)定可靠的多核心萬(wàn)兆雙棧主干網(wǎng)，以局域網(wǎng)有線接入為主體、無(wú)線接入為補(bǔ)充，提供充足的校園網(wǎng)用戶接入能力，具有充足的校內(nèi)網(wǎng)絡(luò)傳輸帶寬和校外互訪帶寬。建設(shè)集中的存儲(chǔ)系統(tǒng)，將主要的存儲(chǔ)功能從服務(wù)器中分離，形成獨(dú)立的服務(wù)，使存儲(chǔ)空間利用率有效提高，管理策略更加靈活，擴(kuò)展容易，并大大增強(qiáng)系統(tǒng)的可用性。同時(shí)，基于集中的存儲(chǔ)系統(tǒng)建立數(shù)據(jù)備份機(jī)制、保障數(shù)據(jù)安全。除了對(duì)數(shù)據(jù)進(jìn)行備份以外，應(yīng)用系統(tǒng)的保護(hù)和快速恢復(fù)也是重點(diǎn)，需要建設(shè)系統(tǒng)備份和快速恢復(fù)機(jī)制。具體網(wǎng)絡(luò)拓?fù)淙鐖D3所示，青海大學(xué)下一代校園網(wǎng)主干采用一級(jí)扁平化拓?fù)浣Y(jié)構(gòu)，適當(dāng)分散布設(shè)核心節(jié)點(diǎn)，由高檔核心設(shè)備直接完成用戶局域網(wǎng)接入，從而充分發(fā)揮高端設(shè)備的性能優(yōu)勢(shì)，提高網(wǎng)絡(luò)的傳輸性能、穩(wěn)定性和可管理性。

2.4.2 信息系統(tǒng)建設(shè)全面實(shí)施學(xué)校辦公和管理工作的電子化、網(wǎng)絡(luò)化和自動(dòng)化，發(fā)展網(wǎng)絡(luò)教學(xué)，大力加強(qiáng)電子圖書館建設(shè)。實(shí)施工作在學(xué)校決策層的統(tǒng)一指揮和協(xié)調(diào)下進(jìn)行。根據(jù)學(xué)校的管理現(xiàn)狀從易到難，分系統(tǒng)，分階段，按計(jì)劃地穩(wěn)步實(shí)施推進(jìn)。在實(shí)施中要特別強(qiáng)調(diào)各部門的合作，同步調(diào)整業(yè)務(wù)流程。特別強(qiáng)調(diào)用戶了對(duì)系統(tǒng)的實(shí)際運(yùn)用，避免重硬件基礎(chǔ)設(shè)施建設(shè)輕應(yīng)用系統(tǒng)建設(shè)，避免重系統(tǒng)建設(shè)輕系統(tǒng)的實(shí)際運(yùn)用。

2.5 網(wǎng)絡(luò)和安全管理體系建設(shè)校園網(wǎng)的安全問(wèn)題不僅來(lái)自于外網(wǎng)，更多、更嚴(yán)重的是來(lái)自于內(nèi)網(wǎng)。因此在網(wǎng)絡(luò)和系統(tǒng)的安全模型上，只有數(shù)據(jù)中心、管理控制嚴(yán)密的重要子網(wǎng)才屬于傳統(tǒng)意義上的內(nèi)網(wǎng)，是需要對(duì)外設(shè)防和保護(hù)的對(duì)象。而其他用戶都是防范的對(duì)象。青海大學(xué)校園網(wǎng)在安全管理方面做了如下系統(tǒng)的建設(shè)工作，基于統(tǒng)一身份認(rèn)證和授權(quán)系統(tǒng)的準(zhǔn)入、準(zhǔn)出控制及用戶計(jì)費(fèi)和用戶管理審計(jì)系統(tǒng)、網(wǎng)絡(luò)與服務(wù)管理系統(tǒng)、系統(tǒng)備份與故障恢復(fù)系統(tǒng)等：并在校機(jī)關(guān)、財(cái)務(wù)處和圖書館等少數(shù)關(guān)鍵或要害部門進(jìn)行布設(shè)防火墻等安全產(chǎn)品。并建立健全了各類保障與應(yīng)急響應(yīng)的組織機(jī)構(gòu)和工作規(guī)范以及規(guī)章制度。

3結(jié)束語(yǔ)

校園網(wǎng)信息化建設(shè)涉及學(xué)校各個(gè)方面龐大而復(fù)雜的系統(tǒng)，因此統(tǒng)一而正確的規(guī)劃是整個(gè)系統(tǒng)能夠成功實(shí)施和順利發(fā)展的基本保證。本文從以一般高校實(shí)際情況出發(fā)，對(duì)校園網(wǎng)建設(shè)的體系結(jié)構(gòu)設(shè)計(jì)、管理協(xié)調(diào)機(jī)構(gòu)和機(jī)制設(shè)計(jì)、安全及管理等方面作了一些構(gòu)想，希望能對(duì)高校校園網(wǎng)絡(luò)的建設(shè)是有所裨益。

參考文獻(xiàn)：

[1]MichaeI Palmer.局域網(wǎng)與廣域網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)[M].北京：機(jī)械工業(yè)出版社，2000.

篇6

［關(guān)鍵詞］ 信息安全保障體系； 中國(guó)石油； 企業(yè)

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054

［中圖分類號(hào)］ TP309 ［文獻(xiàn)標(biāo)識(shí)碼］ A ［文章編號(hào)］ 1673 - 0194（2012）09- 0089- 02

1 信息安全保障體系概述

信息安全保障（Information Assurance，IA）來(lái)源于1996年美國(guó)國(guó)防部DoD指令5－3600．1（DoDD5－3600．1）。其發(fā)展經(jīng)歷了通信安全、計(jì)算機(jī)安全、信息安全直至現(xiàn)在的信息安全保障。內(nèi)容包括保護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery） 4個(gè)環(huán)節(jié)，即PDRR模型。

信息安全保障體系分為人員體系、技術(shù)體系和管理體系3個(gè)層面，人員體系包括安全人員的崗位與職責(zé)、全體工作人員的安全管理兩部分。技術(shù)體系由本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施及支撐性基礎(chǔ)設(shè)施組成。管理體系包括建立完善的信息安全管理體系、構(gòu)建自上而下的各級(jí)信息安全管理組織架構(gòu)、制定信息安全方針與信息安全策略及完善信息安全管理制度4個(gè)板塊。通過(guò)縱深防御的多層防護(hù)，多處設(shè)置保護(hù)機(jī)制，抵御通過(guò)內(nèi)部或外部從多點(diǎn)向信息系統(tǒng)發(fā)起的攻擊，將信息系統(tǒng)的安全風(fēng)險(xiǎn)降低到可以接受的程度。

2 國(guó)外信息安全保障體系建設(shè)

美國(guó)的信息化程度全球最高，在信息技術(shù)的主導(dǎo)權(quán)和網(wǎng)絡(luò)上的話語(yǔ)權(quán)等方面占據(jù)先天優(yōu)勢(shì)，他們?cè)谛畔踩Ｕ象w系建設(shè)以及政策支持方面也走在全球的前列。美國(guó)政府先后了一系列政策戰(zhàn)略報(bào)告，將信息安全由“政策”、“計(jì)劃”上升到“國(guó)家戰(zhàn)略”及“國(guó)際戰(zhàn)略”的高度。美國(guó)國(guó)土安全局是美國(guó)信息安全管理的最高權(quán)力機(jī)構(gòu)，其他負(fù)責(zé)信息安全管理和執(zhí)行的機(jī)構(gòu)有國(guó)家安全局、聯(lián)邦調(diào)查局、國(guó)防部、商務(wù)部等，主要根據(jù)相應(yīng)的方針和政策結(jié)合自己部門的情況實(shí)施信息安全保障工作。

其他國(guó)家也都非常重視信息安全保障工作。構(gòu)建可信的網(wǎng)絡(luò)，建設(shè)有效的信息安全保障體系，實(shí)施切實(shí)可行的信息安全保障措施已經(jīng)成為世界各國(guó)信息化發(fā)展的主要需求。信息化發(fā)展比較好的發(fā)達(dá)國(guó)家，如俄、德、日等國(guó)家都已經(jīng)或正在制定自己的信息安全發(fā)展戰(zhàn)略和發(fā)展計(jì)劃，確保信息安全沿著正確的方向發(fā)展，在信息安全領(lǐng)域不斷進(jìn)行著積極有益的探索。

3 國(guó)內(nèi)信息安全保障體系建設(shè)

我國(guó)信息化安全保障體系建設(shè)相對(duì)于發(fā)達(dá)國(guó)家起步較晚，2003年9月，中央提出要在5年內(nèi)建設(shè)中國(guó)信息安全保障體系。2006年9月，“十一五”發(fā)展綱要提出科技“支撐發(fā)展”的重要思想，提出要提高我國(guó)信息產(chǎn)業(yè)核心技術(shù)自主開(kāi)發(fā)能力和整體水平，初步建立有中國(guó)特色的信息安全保障體系。2007年7月20日，“全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話會(huì)議”召開(kāi)，標(biāo)志著信息安全等級(jí)保護(hù)工作在全國(guó)范圍內(nèi)的開(kāi)展與實(shí)施。2011年3月《我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展十二五規(guī)劃綱要》明確提出加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作。通過(guò)一系列的文件要求，不斷完善與提升我國(guó)的信息安全體系，強(qiáng)調(diào)信息安全的重要性。

我國(guó)信息安全保障體系建設(shè)主要包括：① 加快信息安全立法、建立信息安全法制體系，做到有法可依，有法必依。② 建立國(guó)家信息安全組織管理體系，加強(qiáng)國(guó)家職能，建立職能高效、職責(zé)分工明確的行政管理和業(yè)務(wù)組織體系，建立信息安全標(biāo)準(zhǔn)和評(píng)價(jià)體系。③ 建立國(guó)家信息安全技術(shù)保障體系，使用科學(xué)技術(shù)，實(shí)施安全的防護(hù)保障。④ 在技術(shù)保障體系下，建設(shè)國(guó)家信息安全保障基礎(chǔ)設(shè)施。⑤ 建立國(guó)家信息安全經(jīng)費(fèi)保障體系，加大信息安全投入。⑥ 高度重視人才培養(yǎng)，建立信息安全人才培養(yǎng)機(jī)制。

我國(guó)通過(guò)近幾年的努力，信息安體保障體系取得了長(zhǎng)足發(fā)展，2002年成立了全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)，不斷完善信息安全標(biāo)準(zhǔn)。同時(shí)在互聯(lián)網(wǎng)管理、信息安全測(cè)評(píng)認(rèn)證、信息安全等級(jí)保護(hù)工作等方面取得了實(shí)質(zhì)性進(jìn)展，但CPU芯片、操作系統(tǒng)與數(shù)據(jù)庫(kù)、網(wǎng)關(guān)軟件仍大多依賴進(jìn)口，受制于人。

4 企業(yè)信息安全保障體系建設(shè)

中國(guó)石油集團(tuán)公司信息化建設(shè)在我國(guó)大型企業(yè)中處于領(lǐng)先地位，在國(guó)資委歷年信息化評(píng)比中，都名列前茅，“十一五”期間，公司將企業(yè)信息安全保障體系建設(shè)納入信息化整體規(guī)劃中，并逐步實(shí)施。其中涉及管理類項(xiàng)目3個(gè)，控制類項(xiàng)目3個(gè)，技術(shù)類項(xiàng)目5個(gè)。

管理類項(xiàng)目包括信息安全組織完善、信息安全運(yùn)行能力建設(shè)、風(fēng)險(xiǎn)評(píng)估能力建設(shè)3個(gè)項(xiàng)目。信息安全組織完善是指完善信息安全的決策、管理與技術(shù)服務(wù)組織，合理配置崗位并明確職責(zé)，建立完備的管理流程，為信息安全建設(shè)與運(yùn)行提供組織保障。信息安全運(yùn)行能力建設(shè)內(nèi)容包括建立統(tǒng)一、完備的信息安全運(yùn)行維護(hù)流程及組織IT運(yùn)行維護(hù)人員信息安全技能培訓(xùn)，較快形成基本的信息安全運(yùn)行能力。風(fēng)險(xiǎn)評(píng)估能力建設(shè)是指通過(guò)建立風(fēng)險(xiǎn)評(píng)估規(guī)范及實(shí)施團(tuán)隊(duì)，提高信息安全風(fēng)險(xiǎn)自評(píng)估能力和風(fēng)險(xiǎn)管理能力，強(qiáng)化保障體系的有效性。

信息安全控制類項(xiàng)目涉及信息安全制度與標(biāo)準(zhǔn)完善、基礎(chǔ)設(shè)施安全配置規(guī)范開(kāi)發(fā)、應(yīng)用系統(tǒng)安全合規(guī)性實(shí)施3個(gè)項(xiàng)目。信息安全制度與標(biāo)準(zhǔn)完善包括：① 初步構(gòu)建了制度和標(biāo)準(zhǔn)體系，了《信息系統(tǒng)安全管理辦法》及系統(tǒng)定級(jí)實(shí)施辦法。② 建立和完善了信息系統(tǒng)安全管理員制度，開(kāi)展了信息安全培訓(xùn)。③ 跟蹤國(guó)家信息安全等級(jí)保護(hù)政策，開(kāi)展信息系統(tǒng)安全測(cè)評(píng)方法研究等，規(guī)范了信息系統(tǒng)安全管理流程，提升安全運(yùn)行能力。基礎(chǔ)設(shè)施安全配置規(guī)范開(kāi)發(fā)目標(biāo)是制定滿足安全域和等級(jí)保護(hù)要求的信息技術(shù)基礎(chǔ)設(shè)施安全配置規(guī)范，提高信息技術(shù)基礎(chǔ)設(shè)施的安全防護(hù)能力。應(yīng)用系統(tǒng)安全合規(guī)性實(shí)施是提供專業(yè)的信息安全指導(dǎo)與服務(wù)，支持國(guó)家等級(jí)保護(hù)、中國(guó)石油內(nèi)部控制等制度的實(shí)施，使信息化建設(shè)與應(yīng)用滿足合規(guī)性要求。

信息安全技術(shù)類項(xiàng)目由身份管理與認(rèn)證、網(wǎng)絡(luò)安全域?qū)嵤?、桌面安全管理、系統(tǒng)災(zāi)難恢復(fù)、信息安全運(yùn)行中心5個(gè)項(xiàng)目組成。身份管理與認(rèn)證是指建成集中身份管理與統(tǒng)一認(rèn)證平臺(tái)，實(shí)現(xiàn)關(guān)鍵和重要系統(tǒng)的用戶身份認(rèn)證，提高用戶身份管理效率，保證系統(tǒng)訪問(wèn)的安全性。網(wǎng)絡(luò)安全域包括廣域網(wǎng)邊界防護(hù)、廣域網(wǎng)域間與數(shù)據(jù)中心防護(hù)、廣域網(wǎng)域內(nèi)防護(hù)3項(xiàng)內(nèi)容。廣域網(wǎng)邊界防護(hù)是指將全國(guó)各地的中國(guó)石油單位的互聯(lián)網(wǎng)集中統(tǒng)一到16個(gè)區(qū)域網(wǎng)絡(luò)中心，員工受控訪問(wèn)互聯(lián)網(wǎng)資源，并最終實(shí)現(xiàn)實(shí)名制上網(wǎng)。廣域網(wǎng)域間與數(shù)據(jù)中心防護(hù)項(xiàng)目指建立。區(qū)域間訪問(wèn)與防護(hù)標(biāo)準(zhǔn)、數(shù)據(jù)中心防護(hù)標(biāo)準(zhǔn)。廣域網(wǎng)域內(nèi)防護(hù)將分離其他網(wǎng)絡(luò)并制定訪問(wèn)策略，完善域內(nèi)安全監(jiān)控手段和技術(shù)，規(guī)范域內(nèi)防護(hù)標(biāo)準(zhǔn)。桌面安全管理項(xiàng)目包括防病毒、補(bǔ)丁分發(fā)、端點(diǎn)準(zhǔn)入、后臺(tái)管理、電子文檔保護(hù)和信息安全等級(jí)保護(hù)綜合管理6個(gè)子系統(tǒng)。系統(tǒng)災(zāi)難恢復(fù)包括：① 對(duì)數(shù)據(jù)中心機(jī)房進(jìn)行了風(fēng)險(xiǎn)評(píng)估，提出了風(fēng)險(xiǎn)防范和改進(jìn)措施。② 對(duì)已上線的18個(gè)信息系統(tǒng)進(jìn)行業(yè)務(wù)影響分析，確定了災(zāi)難恢復(fù)關(guān)鍵指標(biāo)。③ 制定整體的災(zāi)備策略和災(zāi)難恢復(fù)系統(tǒng)方案。信息安全運(yùn)行中心旨在形成安全監(jiān)控信息匯總樞紐和信息安全事件協(xié)調(diào)處理中心，提高對(duì)信息安全事件的預(yù)警和響應(yīng)能力。

5 存在問(wèn)題及建議

中國(guó)石油作為國(guó)資委超大型企業(yè)和能源工業(yè)龍頭企業(yè)，集團(tuán)領(lǐng)導(dǎo)和各級(jí)領(lǐng)導(dǎo)，一貫重視信息安全工作，在落實(shí)等級(jí)保護(hù)制度，加強(qiáng)信息安全基礎(chǔ)設(shè)施建設(shè)，深入開(kāi)展信息安全戰(zhàn)略、策略研究等方面，都取得的豐碩成果，值得其他企業(yè)借鑒。公司在信息安全保障體系建設(shè)中還存在以下問(wèn)題：

（1） 信息安全組織體系不夠健全，不能較好地落實(shí)安全管理責(zé)任制。目前，部分二級(jí)單位沒(méi)有獨(dú)立的信息部門，更沒(méi)有負(fù)責(zé)安全體系建設(shè)、運(yùn)行和管理的專職機(jī)構(gòu)，安全的組織保障職能分散在各個(gè)部門，兼職安全管理員有責(zé)無(wú)權(quán)的現(xiàn)象普遍存在，制約了中國(guó)石油信息安全保障體系建設(shè)的發(fā)展。需強(qiáng)制建立從上至下完善的管理體系，明確直屬二級(jí)單位的信息部門建設(shè)，崗位設(shè)定、人員配備滿足對(duì)信息系統(tǒng)管理的需求。

篇7

論文摘要：特色是普通高等院校辦學(xué)水平的標(biāo)志，也是學(xué)校辦學(xué)優(yōu)勢(shì)的具體體現(xiàn)。為了進(jìn)一步鞏固發(fā)展信息管理與信息系統(tǒng)專業(yè)，優(yōu)化該專業(yè)的結(jié)構(gòu)，提升該專業(yè)建設(shè)的整體水平，滿足企業(yè)對(duì)信息化人才的需求，文章從信息管理與信息系統(tǒng)專業(yè)背景分析入手，對(duì)中國(guó)計(jì)量學(xué)院信息管理與信息系統(tǒng)專業(yè)的特色定位和教學(xué)體系改革提出若干思考。

一、引言

教育部1998年頒布的專業(yè)目錄中，將信管專業(yè)的培養(yǎng)目標(biāo)確定為：“培養(yǎng)具備現(xiàn)代管理學(xué)理論基礎(chǔ)、計(jì)算機(jī)科學(xué)技術(shù)知識(shí)及應(yīng)用能力，掌握系統(tǒng)思想和信息系統(tǒng)分析與設(shè)計(jì)方法以及信息管理等方面的知識(shí)與能力，能在國(guó)家各級(jí)管理部門、工商企業(yè)、金融機(jī)構(gòu)、科研單位等部門從事信息管理以及信息系統(tǒng)分析、設(shè)計(jì)、實(shí)施管理和評(píng)價(jià)等方面的高級(jí)專門人才?！睆呐囵B(yǎng)目標(biāo)中不難看出一方面教育部進(jìn)行專業(yè)整合的初衷是為了摒棄以前專業(yè)劃得過(guò)細(xì)的做法，把目標(biāo)轉(zhuǎn)向培養(yǎng)既懂經(jīng)濟(jì)管理知識(shí)，又懂信息技術(shù)的高層次、跨學(xué)科的復(fù)合型人才上來(lái)。它不同于計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)，也有別于工商管理專業(yè)。但另一方面，又由于新專業(yè)是由五個(gè)專業(yè)歸并而成的，目錄中確定的培養(yǎng)目標(biāo)只能是具有寬泛性和普適性要求的基本目標(biāo)，給各個(gè)高校的具體操作留下了很大的空間。

由于側(cè)重點(diǎn)不同，信管專業(yè)課程體系設(shè)置在國(guó)內(nèi)高校中出現(xiàn)了多種方案。2005年以前有主干學(xué)科結(jié)構(gòu)、知識(shí)模塊結(jié)構(gòu)、功能模塊結(jié)構(gòu)等七種方案。2005年以后仍然是百家爭(zhēng)鳴、百花齊放。對(duì)于專業(yè)方向，有三、四、兩個(gè)之劃分；對(duì)于能力組成，有五項(xiàng)、三項(xiàng)之劃分；對(duì)于核心課程設(shè)置，有十一門、八門、十門之劃分。有的認(rèn)為應(yīng)以“信息系統(tǒng)的開(kāi)發(fā)與管理”為核心，有的則認(rèn)為應(yīng)圍繞ERP企業(yè)資源計(jì)劃課程。對(duì)于知識(shí)體系，有五模塊、三模塊之劃分?？傊壳拔覈?guó)信管專業(yè)的課程體系多是一種多學(xué)科課程的拼盤式組合，沒(méi)有形成專業(yè)自身的專業(yè)基礎(chǔ)理論體系。

中國(guó)計(jì)量學(xué)院在“十二五規(guī)劃”中明確指出“要堅(jiān)持走特色化辦學(xué)、差異化競(jìng)爭(zhēng)之路，把特色辦學(xué)理念貫穿于創(chuàng)建特色鮮明、國(guó)內(nèi)知名的教學(xué)研究型大學(xué)實(shí)踐中”。為了進(jìn)一步鞏固發(fā)展我校信息管理與信息系統(tǒng)專業(yè)，優(yōu)化該專業(yè)的結(jié)構(gòu)，突出該專業(yè)建設(shè)的特色，需要從信息管理與信息系統(tǒng)專業(yè)背景分析入手，結(jié)合計(jì)量學(xué)院的辦學(xué)特色，對(duì)信息管理與信息系統(tǒng)專業(yè)特色重新進(jìn)行定位。

二、專業(yè)特色定位

中國(guó)計(jì)量學(xué)院經(jīng)濟(jì)與管理學(xué)院信管專業(yè)是2000年設(shè)置的，10多年來(lái)專業(yè)在學(xué)校和分院的指導(dǎo)下取得了一些成就和發(fā)展：國(guó)家自然科學(xué)基金兩項(xiàng)、浙江省精品課程一門、浙江省重點(diǎn)教材兩部；在學(xué)生實(shí)踐教學(xué)中連續(xù)兩年獲得全國(guó)電子商務(wù)大賽一等獎(jiǎng)。但是隨著社會(huì)和學(xué)校的進(jìn)一步發(fā)展，專業(yè)的發(fā)展面臨著許多困難和問(wèn)題：一是專業(yè)定位不明確，特色不明顯；二是課程體系設(shè)置不合理，課程體系的設(shè)置主要是采用“拿來(lái)主義”；只注重單科課程設(shè)置，忽視課程之間的整合，不少課程內(nèi)容嚴(yán)重重復(fù)，浪費(fèi)教學(xué)時(shí)間和教學(xué)資源；三是實(shí)踐環(huán)節(jié)薄弱，純理論的課程占的比重過(guò)大，實(shí)踐課程占的比重太小，實(shí)踐教學(xué)明顯不足，學(xué)生動(dòng)手能力不強(qiáng)，分析問(wèn)題和解決問(wèn)題的能力差；四是專業(yè)定位與教學(xué)體系之間的吻合度難以考評(píng)。

專業(yè)建設(shè)是普通高等院校主要教學(xué)基本建設(shè)項(xiàng)目之一，處于教學(xué)建設(shè)的龍頭地位。特色是普通高等院校辦學(xué)水平的標(biāo)志，也是學(xué)校辦學(xué)優(yōu)勢(shì)的具體體現(xiàn)。辦學(xué)特色，是一所學(xué)校或?qū)I(yè)在長(zhǎng)期辦學(xué)過(guò)程中積淀形成的，反映在人才培養(yǎng)方面的獨(dú)特個(gè)性和明顯優(yōu)勢(shì)。它具體體現(xiàn)在學(xué)?；?qū)I(yè)的辦學(xué)定位、培養(yǎng)模式、課程體系、教學(xué)方法和實(shí)踐環(huán)節(jié)等諸多方面，它是學(xué)校或?qū)I(yè)辦學(xué)水平和競(jìng)爭(zhēng)能力的綜合反映。

目前國(guó)內(nèi)信管專業(yè)的人才培養(yǎng)模式主要有三種：一是以清華大學(xué)、同濟(jì)大學(xué)為代表的經(jīng)濟(jì)管理模式（即M模式）；二是以武漢大學(xué)、北京大學(xué)為代表的綜合性大學(xué)的信息資源管理模式（即I模式）；三是以中國(guó)人民大學(xué)和中山大學(xué)為代表的側(cè)重于計(jì)算機(jī)系統(tǒng)導(dǎo)向模式（即S模式）。經(jīng)過(guò)前期多次學(xué)科討論，參照國(guó)內(nèi)外著名高校的經(jīng)驗(yàn)，我們擬將“信息管理”作為學(xué)科定位，以“信息安全管理”作為專業(yè)特色定位。這樣的專業(yè)定位是依靠學(xué)校優(yōu)勢(shì)學(xué)科，以社會(huì)需求和學(xué)生能力為導(dǎo)向，借鑒國(guó)內(nèi)外辦學(xué)經(jīng)驗(yàn)，發(fā)揮自身優(yōu)勢(shì)，辦出特色與水平。中國(guó)計(jì)量學(xué)院是我國(guó)質(zhì)量監(jiān)督檢驗(yàn)檢疫行業(yè)唯一的本科院校，是一所具有鮮明的計(jì)量標(biāo)準(zhǔn)質(zhì)量檢驗(yàn)檢疫特色的浙江省重點(diǎn)建設(shè)大學(xué)。學(xué)校堅(jiān)持“立足浙江，面向全國(guó)，依托行業(yè)，服務(wù)地方”，積極開(kāi)展科學(xué)研究。中國(guó)計(jì)量學(xué)院經(jīng)濟(jì)管理學(xué)院是中國(guó)唯一獲得全球首屆“ISO標(biāo)準(zhǔn)化高等教育獎(jiǎng)”的學(xué)院，是通過(guò)GBT/19001-2000idtISO9000：2000質(zhì)量管理體系認(rèn)證的學(xué)院。學(xué)院緊緊圍繞學(xué)校建設(shè)國(guó)內(nèi)知名的教學(xué)研究型大學(xué)的奮斗目標(biāo)，深入實(shí)施“先進(jìn)的標(biāo)準(zhǔn)，精密的計(jì)量，卓越的質(zhì)量”教學(xué)管理方針，堅(jiān)持以貢獻(xiàn)求支持，以特色爭(zhēng)優(yōu)勢(shì)，以創(chuàng)新謀發(fā)展，立足浙江，面向全國(guó)，走向世界，使學(xué)院成為我國(guó)培養(yǎng)質(zhì)量管理高層次專門人才的搖籃。

三、專業(yè)教學(xué)體系

培養(yǎng)目標(biāo)的實(shí)現(xiàn)是靠課程體系的整合和設(shè)計(jì)來(lái)支撐的，課程體系直接反映了人才培養(yǎng)的方向，體現(xiàn)知識(shí)、能力、素質(zhì)、市場(chǎng)（就業(yè)）和特色五個(gè)方面的導(dǎo)向作用。課程是教學(xué)之根本，其主要任務(wù)在于結(jié)合社會(huì)對(duì)人才的實(shí)際需求，依據(jù)專業(yè)培養(yǎng)的總體目標(biāo)來(lái)設(shè)計(jì)一套最優(yōu)的課程體系。信管專業(yè)也是一門應(yīng)用性非常強(qiáng)的專業(yè)，其培養(yǎng)目標(biāo)是應(yīng)用型、高級(jí)的信管人才。純理論課教學(xué)是解決不了動(dòng)手能力問(wèn)題的，也無(wú)法培養(yǎng)出應(yīng)用型、高級(jí)的信管人才，必須加強(qiáng)實(shí)踐教學(xué)。通過(guò)社會(huì)實(shí)踐、認(rèn)識(shí)實(shí)習(xí)、專業(yè)實(shí)習(xí)、課程設(shè)計(jì)、畢業(yè)設(shè)計(jì)等一系列環(huán)節(jié)來(lái)鍛煉學(xué)生的動(dòng)手能力。信管專業(yè)本著專業(yè)定位、特色定位從知識(shí)、能力、素質(zhì)、市場(chǎng)（就業(yè)）和特色五個(gè)方面來(lái)設(shè)計(jì)專業(yè)的教學(xué)體系。

（一）信息管理

畢業(yè)生應(yīng)具備以下幾方面的知識(shí)和能力：一是掌握經(jīng)濟(jì)學(xué)、管理學(xué)、計(jì)算機(jī)和信息管理的基本理論和基本知識(shí)；二是具有信息獲取、組織、分析、研究、傳播與開(kāi)發(fā)利用的基本能力；三是掌握運(yùn)用現(xiàn)代化技術(shù)手段進(jìn)行文獻(xiàn)信息檢索、資料查詢收集的基本方法和能力，能利用計(jì)算機(jī)網(wǎng)絡(luò)采集和信息，具有一定的科研和實(shí)際工作能力；四是具備文檔管理的能力，包括文檔、數(shù)據(jù)、信息分類管理等；五是具有運(yùn)用現(xiàn)代的管理方法和手段對(duì)與企業(yè)或組織相關(guān)的信息資源和信息活動(dòng)進(jìn)行組織、規(guī)劃、協(xié)調(diào)和控制，以實(shí)現(xiàn)對(duì)企業(yè)或組織信息資源的合理開(kāi)發(fā)和有效利用的能力。

畢業(yè)生應(yīng)具備以下幾方面的素質(zhì)：一是勝任力——學(xué)習(xí)能力和讀寫能力。不斷地、有計(jì)劃、有組織地學(xué)習(xí)，不斷地追隨管理專業(yè)的新發(fā)展，能用最少的時(shí)間，花最小的精力，獲得最大量的新知識(shí)，并不斷地優(yōu)化自己的知識(shí)結(jié)構(gòu)。追蹤科技與社會(huì)發(fā)展的前沿，不斷地更新和擴(kuò)展自己的知識(shí)信息，以適應(yīng)未來(lái)社會(huì)日新月異的發(fā)展變化。具備讀寫能力，信息管理人員才能實(shí)現(xiàn)對(duì)信息的收集、存儲(chǔ)和傳遞。二是敏銳感知外部世界的能力——信息獲取能力。三是熟練操縱因特網(wǎng)的能力。熟練掌握網(wǎng)絡(luò)技術(shù)，把已獲取的新信息通過(guò)一定的綜合分析、計(jì)算、試驗(yàn)操作，最終找出問(wèn)題，設(shè)計(jì)解決方案，得出科學(xué)結(jié)論。四是良好的溝通能力和團(tuán)隊(duì)合作精神。五是創(chuàng)新能力。

開(kāi)設(shè)的主要課程：專業(yè)主要課程：信息資源管理學(xué)、信息存儲(chǔ)與檢索，信息分析與預(yù)測(cè)，信息組織學(xué)，信息計(jì)量學(xué)，專業(yè)實(shí)踐課程：統(tǒng)計(jì)軟件實(shí)習(xí)，管理軟件實(shí)習(xí)。 　 就業(yè)方向：可以在政府部門或企事業(yè)單位的信息管理機(jī)構(gòu)，從事文獻(xiàn)和文檔管理、信息收集、分析、處理、咨詢服務(wù)和管理工作等。畢業(yè)生經(jīng)過(guò)考試可以成為信息處理技術(shù)員、國(guó)家信息分析師。

（二）信息安全管理

信息安全管理在當(dāng)前是全球的熱門話題，而建立一個(gè)符合國(guó)際標(biāo)準(zhǔn)的體系，是大家普遍關(guān)注的焦點(diǎn)。建立健全信息安全管理體系（ISO27001認(rèn)證）對(duì)企業(yè)的安全管理工作和企業(yè)的發(fā)展意義重大。首先，此體系的建立將提高員工信息安全意識(shí)，提升企業(yè)信息安全管理的水平，增強(qiáng)組織抵御災(zāi)難性事件的能力，是企業(yè)信息化建設(shè)中的重要環(huán)節(jié)，必將大大提高信息管理工作的安全性和可靠性，使其更好地服務(wù)于企業(yè)的業(yè)務(wù)發(fā)展。其次，通過(guò)信息安全管理體系的建設(shè)，可有效提高對(duì)信息安全風(fēng)險(xiǎn)的管控能力，通過(guò)與等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等工作接續(xù)起來(lái)，使得信息安全管理更加科學(xué)有效。最后，信息安全管理體系的建立將使得企業(yè)的管理水平與國(guó)際先進(jìn)水平接軌，從而成長(zhǎng)為企業(yè)向國(guó)際化發(fā)展與合作的有力支撐。

BS7799標(biāo)準(zhǔn)是全球第一份關(guān)于信息安全管理體系的標(biāo)準(zhǔn)，BS7799-1現(xiàn)在已經(jīng)被采納為ISO/IEC27002：2005；BS7799-2也于2005年被采納為ISO27001：2005。該標(biāo)準(zhǔn)當(dāng)前已被諸多國(guó)家采納為國(guó)家標(biāo)準(zhǔn)。截至2007年9月已經(jīng)有超過(guò)4000家組織通過(guò)了ISO27001：2005的審核，獲得了信息安全管理體系認(rèn)證的證書。

畢業(yè)生應(yīng)具備以下幾方面的知識(shí)和能力：一是信息安全管理技術(shù)能力；二是信息安全管理能力。此主要目的是要求學(xué)生了解信息安全及其重要性，認(rèn)識(shí)什么是信息安全管理體系，建立一套信息安全管理體系為何需要ISO27001，學(xué)會(huì)如何建立一套符合企業(yè)（組織）需要的信息安全管理制度。

開(kāi)設(shè)的主要課程：計(jì)算機(jī)安全與技術(shù)、網(wǎng)絡(luò)安全、信息安全管理體系、信息安全風(fēng)險(xiǎn)評(píng)估與管理、信息安全管理體系ISO27001建立與實(shí)施。

就業(yè)方向：畢業(yè)的學(xué)生經(jīng)過(guò)考試獲得信息安全管理體系認(rèn)證證書，可以從事企事業(yè)單位信息安全管理。

四、結(jié)論

信管專業(yè)的特色培育和課程體系建設(shè)并非一蹴而就、一勞永逸的工作。為此，我們將建立一套完整的教學(xué)質(zhì)量管理體系，囊括管理機(jī)構(gòu)和人員、管理的規(guī)章制度、管理手段和評(píng)價(jià)指標(biāo)體系等，其作用是對(duì)整個(gè)體系中進(jìn)行信息反饋和控制，評(píng)價(jià)專業(yè)定位、特色定位與教學(xué)體系之間的吻合程度。

參考文獻(xiàn)

1、陶雷，莫贊，張立厚.應(yīng)用型本科“信管”專業(yè)課程體系探究及建構(gòu)實(shí)踐[J].情報(bào)雜志，2010(2).

2、何永剛，黃麗華.信息管理與信息系統(tǒng)專業(yè)課程體系研究綜述[J].情報(bào)雜志，2007(8).

3、CISC2005課題組.中國(guó)高等院校信息系統(tǒng)學(xué)科課程體系2005[M].清華大學(xué)出版社，2005.

4、鄧曉紅.基于職業(yè)能力分析的信息管理與信息系統(tǒng)專業(yè)核心課程體系研究[J].中國(guó)管理信息化，2009(6).

5、張勁松.信息管理與信息系統(tǒng)專業(yè)課程體系創(chuàng)新研究[J].情報(bào)雜志，2008(11).

6、張慶華，譚旭紅.基于集成化模式開(kāi)展信息管理與信息系統(tǒng)專業(yè)建設(shè)[J].中國(guó)管理信息化，2009(3).

篇8

檔案是當(dāng)今社會(huì)信息的主要來(lái)源，也是其社會(huì)信息價(jià)值的最終體現(xiàn)。當(dāng)今電子檔案在檔案事業(yè)的發(fā)展中占據(jù)著十分重要的位置。本文簡(jiǎn)要介紹了檔案的開(kāi)放與應(yīng)用現(xiàn)狀，分析了信息安全的重要意義，指出了當(dāng)前檔案開(kāi)放和信息安全存在的相關(guān)問(wèn)題，并提出了相應(yīng)的解決方案。

關(guān)鍵詞：

檔案開(kāi)放；信息安全；保障體系

人類文明發(fā)展有文字之后，檔案便開(kāi)始了漫長(zhǎng)的保存與利用過(guò)程。檔案的開(kāi)放和安全保障是信息保存和開(kāi)展相關(guān)工作的重要保障。目前，檔案的開(kāi)放和信息的保護(hù)遭到多方面的干擾，電子檔案的興起更對(duì)信息安全提出了更高的要求。因此，加強(qiáng)檔案安全利用是檔案部門需要重點(diǎn)研究和建設(shè)的項(xiàng)目。

一、檔案開(kāi)放與信息安全的必要性

檔案開(kāi)放是順應(yīng)市場(chǎng)經(jīng)濟(jì)發(fā)展的必然，是政府實(shí)施“信息公開(kāi)”制度和“政務(wù)上網(wǎng)工程”的要求。檔案開(kāi)放能夠推動(dòng)民主政治的實(shí)現(xiàn)，并能推動(dòng)其發(fā)展。檔案信息必須附著于不同的載體上，在保存過(guò)程中遇到破壞在所難免，而因此造成的信息的丟失對(duì)社會(huì)的影響非常大。另外，隨著信息時(shí)代的發(fā)展，檔案管理電子化，即電子檔案的普遍應(yīng)用，網(wǎng)絡(luò)開(kāi)放性更是威脅著檔案信息的安全使用。無(wú)論是從自然環(huán)境還是社會(huì)人文環(huán)境來(lái)看，加強(qiáng)檔案信息安全的研究和保護(hù)都刻不容緩。

二、檔案開(kāi)放利用的現(xiàn)狀

目前，我國(guó)檔案信息資源的開(kāi)放程度仍然較低，開(kāi)放的檔案僅占國(guó)家檔案保存總量的28%。首先，外部環(huán)境的巨大變動(dòng)嚴(yán)重威脅保存檔案的硬件設(shè)備。其次，網(wǎng)絡(luò)安全直接影響著電子檔案的安全。在虛擬的網(wǎng)絡(luò)環(huán)境里，黑客、病毒等的惡意篡改和攻擊嚴(yán)重毀壞了檔案的完整性和準(zhǔn)確性。網(wǎng)絡(luò)一旦癱瘓，所有的信息可能會(huì)消失殆盡。另外，信息安全的相關(guān)法規(guī)存在漏洞、執(zhí)行能力差，安全管理上工作細(xì)致性不足，風(fēng)險(xiǎn)評(píng)估體系和水平不足。

三、檔案開(kāi)放與信息安全的辯證關(guān)系

作為檔案工作的核心和最終目的，檔案開(kāi)放必須有嚴(yán)格的工作標(biāo)準(zhǔn)和規(guī)定。檔案工作者利用多種渠道獲得相關(guān)信息，進(jìn)行統(tǒng)一的加工整理形成檔案，交給檔案使用人員同時(shí)加以保存。非保密檔案可以依法向社會(huì)和人民大眾公開(kāi)，提供給民眾參與社會(huì)化服務(wù)與政策的機(jī)會(huì)，保障知情權(quán)的行使。檔案的開(kāi)放極大地促進(jìn)了信息的共享和資源的高效利用，能有效地促進(jìn)相關(guān)工作的順利進(jìn)行。在檔案的開(kāi)放過(guò)程中，信息的安全保護(hù)相當(dāng)關(guān)鍵。檔案的開(kāi)放極大地促進(jìn)了信息的共享和資源的高效利用，但在檔案的開(kāi)放過(guò)程中，信息安全保障是現(xiàn)階段高校檔案不容忽視的一項(xiàng)工作。檔案具有歷史性、真實(shí)性和唯一性，一旦損毀，勢(shì)必給社會(huì)造成難以挽回的重大損失，影響檔案工作的發(fā)展。因此，如何健康安全地開(kāi)放檔案是檔案工作的關(guān)鍵。

四、檔案安全保障措施及防范體系

（一）建立完善的法律法規(guī)

當(dāng)前，我國(guó)涉及檔案安全的法規(guī)主要是信息安全和保密管理。它可以幫助檔案開(kāi)放工作健康、科學(xué)地發(fā)展。但針對(duì)信息安全重點(diǎn)建設(shè)的等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急響應(yīng)等內(nèi)容在法規(guī)里仍是空白，這阻礙著檔案信息安全系統(tǒng)的完善和對(duì)信息的保護(hù)。因此，必須建設(shè)完整的法律法規(guī)體系，加強(qiáng)檔案部門工作人員的法律意識(shí)和責(zé)任感，保障法規(guī)的執(zhí)行力度。同時(shí)，針對(duì)電子檔案的法規(guī)也需建設(shè)和完善起來(lái)，以指導(dǎo)和規(guī)范電子檔案的安全使用。

（二）加強(qiáng)檔案基礎(chǔ)環(huán)境建設(shè)

對(duì)于實(shí)體檔案，如紙質(zhì)、膠片、磁帶檔案要嚴(yán)格控制材料的選擇，并根據(jù)不同的環(huán)境需求分開(kāi)保存，分別配備相應(yīng)的庫(kù)房設(shè)備。電子檔案的保存硬件設(shè)備即服務(wù)器、終端、存儲(chǔ)設(shè)備和網(wǎng)絡(luò)設(shè)備。這需要保證設(shè)備的物理?xiàng)l件，相關(guān)單位需定期檢修保障設(shè)備的正常運(yùn)行。電子檔案安全更重要的環(huán)節(jié)是網(wǎng)絡(luò)的安全保障，網(wǎng)絡(luò)的安全管理、漏洞檢測(cè)和病毒查殺都需要網(wǎng)絡(luò)安全技術(shù)的保障。

（三）加強(qiáng)安全技術(shù)能力建設(shè)

1.實(shí)體檔案信息安全保障技術(shù)。主要有保存技術(shù)和修復(fù)技術(shù)。保存技術(shù)重點(diǎn)對(duì)庫(kù)房的環(huán)境建設(shè)和裝幀技術(shù)展開(kāi)。修復(fù)技術(shù)用于解決在檔案的保存、利用過(guò)程中受不可抗外力作用，如紙張老化、膠片斷折、光盤磨損等。加固技術(shù)、去酸去污技術(shù)，修裱技術(shù)都是常用的修復(fù)技術(shù)。電子檔案安全保障技術(shù)就是從系統(tǒng)安全，數(shù)據(jù)安全，網(wǎng)絡(luò)安全，用戶安全等角度進(jìn)行安全保護(hù)。2.檔案信息安全保障手段。通過(guò)安全審計(jì)保障系統(tǒng)安全；利用數(shù)據(jù)加密技術(shù)、備份技術(shù)、應(yīng)急響應(yīng)技術(shù)保障數(shù)據(jù)安全；利用防病毒技術(shù)、防火墻技術(shù)、漏洞掃描技術(shù)保障網(wǎng)絡(luò)安全；利用身份認(rèn)證、權(quán)限控制技術(shù)保障用戶安全。3.檔案信息安全保障措施。對(duì)檔案管理人員進(jìn)行安全教育是保障信息安全的重要措施。首先，應(yīng)該大力推廣信息安全觀。將個(gè)人電腦設(shè)定防毒措施，加強(qiáng)資料備份觀念。防止在檔案信息公開(kāi)的過(guò)程中無(wú)意帶入電腦病毒。檔案部門需要在檔案服務(wù)器上安裝殺毒工具，建立起基本的防毒安全環(huán)境。在工作過(guò)程中，養(yǎng)成重要資料備份的習(xí)慣，將檔案信息備份到服務(wù)器中，并備份到光盤或磁盤中。另外，制定文件信息安全防護(hù)和應(yīng)急計(jì)劃，定期進(jìn)行修訂。

（四）完善檔案安全管理體系建設(shè)

檔案的管理工作是真正實(shí)現(xiàn)檔案安全的重要部分。好的管理思想和制度，負(fù)責(zé)的管理人員和到位的工作程序是保障檔案信息安全的靈魂。建立起檔案信息安全組織體系，設(shè)立信息安全管理部門，規(guī)劃組織，明確職責(zé)。制定檔案信息安全保障工作的整體規(guī)劃確立明確的目標(biāo)，擬定長(zhǎng)期規(guī)劃。同時(shí)加強(qiáng)管理制度的執(zhí)行力度，成立安全工作領(lǐng)導(dǎo)小組，定期對(duì)檔案信息進(jìn)行檢查。

（五）大力推廣應(yīng)用電子檔案

從安全角度來(lái)看，電子檔案較傳統(tǒng)紙質(zhì)檔案有較大的安全性。首先，電子文件對(duì)環(huán)境條件、氣候條件耐受性較高，不易被破壞，因此較安全。第二，在文件保管使用的整個(gè)環(huán)節(jié)都可以憑借高科技手段加以安全保護(hù)。第三，影響電子文件信息安全所需智力、技術(shù)、設(shè)備、環(huán)境等條件較高。第四，我們一直在不懈努力大幅度提高電子文件的安全技術(shù)研發(fā)功效，努力杜絕文件信息泄露的可能性。檔案開(kāi)發(fā)利用與信息安全保障本身存在很大矛盾。公布檔案信息不可避免面臨很多未知因素，本身對(duì)于檔案安全就是一種挑戰(zhàn)。要達(dá)到雙贏的效果，就必須從軟硬件環(huán)境、法律法規(guī)、安全技術(shù)、管理體系、行業(yè)標(biāo)準(zhǔn)、人才培養(yǎng)等方面進(jìn)行研究。檔案信息安全保障工作是檔案工作的保障，也是檔案應(yīng)用工作的生命線。當(dāng)今社會(huì)，傳統(tǒng)檔案與電子檔案并存，必須在完善傳統(tǒng)檔案安全保障理論的基礎(chǔ)上研究電子檔案。建立完善的安全保障體系必須從保存環(huán)境、法律法規(guī)、管理體系等方面著手研究。

參考文獻(xiàn)：

[1]尹振芳.淺析檔案開(kāi)放利用的安全保障[J].網(wǎng)友世界，2013（7）：18-19.

[2]吳新麗.論電子檔案開(kāi)放利用中信息安全保障存在的問(wèn)題與對(duì)策[J].青年與社會(huì)，2014（2）：150.

[3]陳振.檔案開(kāi)放利用與信息安全保障研究[C].山東大學(xué)，2009.

[4]曲照言.論電子檔案開(kāi)放利用中信息安全保障存在的問(wèn)題與對(duì)策[J].數(shù)字化用戶，2014（10）：105.

[5]肖寒.企業(yè)電子檔案開(kāi)放與信息安全措施[J].環(huán)球市場(chǎng)信息導(dǎo)報(bào),2013（12）：65.

篇9

作為黑龍江的代表乳品企業(yè)，飛鶴乳業(yè)利用信息化為傳統(tǒng)乳品產(chǎn)業(yè)插上雙翼，將整個(gè)全產(chǎn)業(yè)鏈的運(yùn)作置于信息化管理下，保障了飛鶴乳業(yè)的高效順暢運(yùn)轉(zhuǎn)。隨著企業(yè)的快速發(fā)展，企業(yè)不僅帶動(dòng)了當(dāng)?shù)乜h域經(jīng)濟(jì)的繁榮，飛鶴乳業(yè)的產(chǎn)業(yè)鏈模式更帶動(dòng)了黑龍江省一百多萬(wàn)畝耕地增值，拉動(dòng)了全省十五萬(wàn)農(nóng)民增收致富，創(chuàng)造了十五萬(wàn)個(gè)就業(yè)崗位，近3年累計(jì)兌現(xiàn)奶資近30億元、上繳各級(jí)財(cái)政稅收10億元，牧業(yè)成為農(nóng)民穩(wěn)定增收的重要保障。

建設(shè)信息化牧場(chǎng)

大規(guī)模的養(yǎng)殖對(duì)牧場(chǎng)運(yùn)營(yíng)流程提出了嚴(yán)峻的考核要求。為了保障奶牛量產(chǎn)和原奶品質(zhì)，飛鶴乳業(yè)引進(jìn)“電子身份識(shí)別系統(tǒng)”不僅有助于牧場(chǎng)工作人員全方位地監(jiān)控管理各牧場(chǎng)牛群狀況，更使各牧場(chǎng)的生產(chǎn)運(yùn)作變得安全有序。

自啟動(dòng)黑龍江飛鶴原生態(tài)牧業(yè)股份有限公司以來(lái)，在飛鶴克東歐美牧場(chǎng)、飛鶴原生態(tài)牧場(chǎng)和飛鶴甘南歐美四個(gè)萬(wàn)頭牧場(chǎng)陸續(xù)開(kāi)始使用“奶業(yè)之星”計(jì)算機(jī)化管理系統(tǒng)和“電子身份識(shí)別系統(tǒng)”。牧場(chǎng)奶牛佩戴RFID電子耳標(biāo)，并對(duì)其的喂養(yǎng)信息、飼料信息、治療信息、防疫信息、消毒信息、產(chǎn)地信息、無(wú)害化信息等自動(dòng)寫入到牧場(chǎng)單獨(dú)的自動(dòng)化管理系統(tǒng)“奶業(yè)之星”， 整個(gè)牧業(yè)公司各牧場(chǎng)所有生產(chǎn)數(shù)據(jù)采集、整理、分析、預(yù)警報(bào)告得到系統(tǒng)化管理。

通過(guò)“奶業(yè)之星”，牧場(chǎng)各生產(chǎn)部門人員每天只需短短幾分鐘就可以將本部門各類生產(chǎn)信息及時(shí)錄入，系統(tǒng)會(huì)自動(dòng)按照繁殖、育種、泌乳、疾病、防疫、飼養(yǎng)等事件進(jìn)行分類。生產(chǎn)人員也可依據(jù)初配、返情復(fù)配、產(chǎn)后配種等任務(wù)派單的提示，認(rèn)真觀察、適時(shí)配種，在提高期受胎率的同時(shí)，節(jié)約了凍精成本。最重要的是，“奶業(yè)之星”可幫助牧場(chǎng)生產(chǎn)人員依據(jù)個(gè)體奶牛的整體生產(chǎn)性能準(zhǔn)確判斷出是否需要淘汰某些奶牛不進(jìn)行配種繁育，這大大地優(yōu)化了飛鶴牧場(chǎng)奶牛的基因。

飛鶴乳業(yè)構(gòu)造了一個(gè)支持牧業(yè)集團(tuán)化管理和異地化信息管理系統(tǒng)的信息化管理平臺(tái)，并在此平臺(tái)上建立中心數(shù)據(jù)庫(kù)和一套全面的生產(chǎn)管理體系，全面監(jiān)控公司各牧場(chǎng)生產(chǎn)狀況及牛奶品質(zhì)，確保飛鶴乳業(yè)原料奶的安全性。管理者也可以全方位、多角度、科學(xué)、高效地管理牧場(chǎng)，了解牧場(chǎng)的整體運(yùn)作機(jī)制。通過(guò)對(duì)牧場(chǎng)的全方位現(xiàn)場(chǎng)實(shí)時(shí)監(jiān)控，及IT系統(tǒng)對(duì)各環(huán)節(jié)的管理與控制，對(duì)奶源實(shí)施全面化精細(xì)管理，從源頭確保產(chǎn)品質(zhì)量與食品安全。

乳業(yè)產(chǎn)品全產(chǎn)業(yè)鏈可追溯平臺(tái)

企業(yè)決策并督導(dǎo)了產(chǎn)品可追溯系統(tǒng)立項(xiàng)、實(shí)施及上線，實(shí)現(xiàn)了公司所有嬰幼兒配方乳粉進(jìn)行單品追蹤與管理，并通過(guò)網(wǎng)絡(luò)平臺(tái)開(kāi)放給普通消費(fèi)者進(jìn)行查詢和全產(chǎn)業(yè)鏈在線體驗(yàn)。這是國(guó)內(nèi)第一個(gè)為用戶提供在線查詢嬰幼兒配方乳粉產(chǎn)品的奶源地、生產(chǎn)、質(zhì)檢等關(guān)鍵環(huán)節(jié)信息的追溯平臺(tái)，飛鶴也成為首家為用戶提供追溯服務(wù)的乳品企業(yè)。

僅2011年到2012年，集團(tuán)陸續(xù)已完成投資近千萬(wàn)元建設(shè)全產(chǎn)業(yè)鏈產(chǎn)品追溯系統(tǒng)。其中數(shù)字化、自動(dòng)化、全程化的食品安全在線追溯與監(jiān)控體系一期工程即產(chǎn)品可追溯體系已上線，已實(shí)現(xiàn)生產(chǎn)廠、生產(chǎn)時(shí)間，檢驗(yàn)地點(diǎn)、檢驗(yàn)時(shí)間，奶源地、追溯碼等的追溯，并提供給所有消費(fèi)者，可在線查詢。企業(yè)級(jí)數(shù)據(jù)倉(cāng)庫(kù)與決策平臺(tái)建設(shè)也正在積極推進(jìn)。

飛鶴全產(chǎn)業(yè)鏈可追溯系統(tǒng)的上線將成為乳制品行業(yè)中對(duì)產(chǎn)品質(zhì)量進(jìn)行管控和為用戶提供追溯服務(wù)的一種嶄新模式探索，是乳制品行業(yè)的首個(gè)可自動(dòng)化、可查詢、可交互的全產(chǎn)業(yè)鏈?zhǔn)称钒踩芾眢w系建設(shè)的嘗試。通過(guò)可追溯系統(tǒng)的運(yùn)行，在確保乳制品質(zhì)量安全的同時(shí)，將真正做到讓消費(fèi)者參與監(jiān)督，購(gòu)買放心奶粉，保持產(chǎn)品生產(chǎn)經(jīng)營(yíng)過(guò)程中的透明度。能夠追溯的關(guān)鍵環(huán)節(jié)包括：產(chǎn)品追溯碼、產(chǎn)品名稱、生產(chǎn)廠、生產(chǎn)時(shí)間、檢驗(yàn)地、檢驗(yàn)時(shí)間、產(chǎn)品批號(hào)、奶源地等信息。立足食品安全，建設(shè)全面可追溯與生產(chǎn)安全監(jiān)控系統(tǒng)，實(shí)現(xiàn)全產(chǎn)業(yè)鏈?zhǔn)称钒踩芾眢w系。

全產(chǎn)業(yè)鏈業(yè)態(tài)整合

飛鶴乳業(yè)信息化建設(shè)已經(jīng)基本上完成了第一階段，即信息化平臺(tái)建設(shè)與應(yīng)用階段。正在進(jìn)入數(shù)據(jù)中心建設(shè)與數(shù)據(jù)治理階段，即主要工作圍繞企業(yè)全產(chǎn)業(yè)鏈業(yè)態(tài)進(jìn)行整合，建設(shè)企業(yè)數(shù)據(jù)倉(cāng)庫(kù)與智能決策體系，實(shí)施ITSM與數(shù)據(jù)治理。進(jìn)而向IT建設(shè)的最高境界，打造企業(yè)核心競(jìng)爭(zhēng)力邁進(jìn)。

近期，飛鶴乳業(yè)將繼續(xù)完善建設(shè)數(shù)字化、自動(dòng)化、全程化的食品安全在線追溯與監(jiān)控體系；建立企業(yè)集中統(tǒng)一的數(shù)據(jù)資產(chǎn)管理體系，實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)、智能分析、決策支持及災(zāi)備平臺(tái)；在現(xiàn)有ERP基礎(chǔ)上進(jìn)行主數(shù)據(jù)管理與企業(yè)服務(wù)總線搭建，實(shí)現(xiàn)企業(yè)應(yīng)用與服務(wù)整合與集成；搭建集團(tuán)化遠(yuǎn)程指揮、異地調(diào)度、實(shí)時(shí)監(jiān)控的管理平臺(tái)，同時(shí)對(duì)集團(tuán)化網(wǎng)絡(luò)平臺(tái)進(jìn)行升級(jí)與安全管理，實(shí)現(xiàn)集團(tuán)統(tǒng)一網(wǎng)絡(luò)出口、集中管控及網(wǎng)絡(luò)安全管理。

篇10

事件發(fā)生以來(lái)，業(yè)界反應(yīng)極為迅速，一批網(wǎng)絡(luò)安全企業(yè)和科研單位通過(guò)官方網(wǎng)站和社交媒體等多種渠道，不斷更新威脅動(dòng)態(tài)，共享技術(shù)情報(bào)，及時(shí)技術(shù)保護(hù)措施和應(yīng)對(duì)方案；政府部門和專業(yè)機(jī)構(gòu)也及時(shí)公告和處置指南，增進(jìn)了社會(huì)公眾的關(guān)注度，加強(qiáng)了對(duì)基本防護(hù)信息的認(rèn)知，降低了本次事件的影響程度。由于各方應(yīng)對(duì)及時(shí)，“永恒之藍(lán)”勒索蠕蟲爆發(fā)在5月13日達(dá)到高峰后，感染率快速下降，周一上班并未出現(xiàn)更大規(guī)模的爆發(fā)，總體傳播感染趨勢(shì)得到快速控制。事件過(guò)后，對(duì)網(wǎng)絡(luò)安全行業(yè)敲響了警鐘，也有必要對(duì)這次事件進(jìn)行經(jīng)驗(yàn)總結(jié)，現(xiàn)將對(duì)勒索蠕蟲病毒事件的一些思考分享出來(lái)。

“永恒之藍(lán)”事件回溯

2017年4月期間，微軟以及國(guó)內(nèi)的主要安全公司都已經(jīng)提示客戶升級(jí)微軟的相關(guān)補(bǔ)丁修復(fù)“永恒之藍(lán)”漏洞，部分IPS技術(shù)提供廠商也提供了IPS規(guī)則阻止利用“永恒之藍(lán)“的網(wǎng)絡(luò)行為；（預(yù)警提示）

2017年5月12日下午，病毒爆發(fā)；（開(kāi)始）

2017年5月12日爆發(fā)后幾個(gè)小時(shí)，大部分網(wǎng)絡(luò)安全廠商包括360企業(yè)安全、安天、亞信安全、深信服等均發(fā)出防護(hù)通告，提醒用戶關(guān)閉445等敏感端口；（圍堵）

2017年5月13日，微軟總部決定公開(kāi)已停服的XP特別安全補(bǔ)??；國(guó)內(nèi)瑞星、360企業(yè)安全、騰訊、深信服、藍(lán)盾等均推出病毒免疫工具，用于防御永恒之藍(lán)病毒；（補(bǔ)漏）

2017年5月13日晚，來(lái)自英國(guó)的網(wǎng)絡(luò)安全工程師分析了其行為，注冊(cè)了MalwareTech域名，使勒索蠕蟲攻擊暫緩了攻擊的腳步；（分析）

2017年5月15日，廠商陸續(xù)“文件恢復(fù)”工具，工作機(jī)制本質(zhì)上是采用“刪除文件”恢復(fù)原理/機(jī)制，即恢復(fù)“非粉碎性刪除文件”；（刪除文件恢復(fù)）

2017年5月20日，阿里云安全團(tuán)隊(duì)推出“從內(nèi)存中提取私鑰”的方法，試圖解密加密文件；生效的前提是中毒后電腦沒(méi)重啟、中毒后運(yùn)行時(shí)間不能過(guò)長(zhǎng)（否則會(huì)造成粉碎性文件刪除）；（僥幸解密恢復(fù)）

2017年5月20日之后，亞信安全等網(wǎng)絡(luò)安全公司推出基于該病毒行為分析的病毒防護(hù)工具，用于預(yù)防該病毒變種入侵；（未知變種預(yù)防）

2017年6月2日，國(guó)內(nèi)網(wǎng)絡(luò)安全企業(yè)找到了簡(jiǎn)單靈活的、可以解決類似網(wǎng)絡(luò)攻擊（勒索病毒）方法的防護(hù)方案，需要進(jìn)一步軟件開(kāi)發(fā)。

事件處理顯示我國(guó)網(wǎng)絡(luò)安全能力提升

（一）網(wǎng)絡(luò)安全產(chǎn)業(yè)有能力應(yīng)對(duì)這次“永恒之藍(lán)”勒索蠕蟲事件

早在4月15日，NSA泄漏“永恒之藍(lán)”利用工具，國(guó)內(nèi)不少主力網(wǎng)絡(luò)安全企業(yè)就針對(duì)勒索軟件等新安全威脅進(jìn)行了技術(shù)和產(chǎn)品的準(zhǔn)備，例如深信服等部分企業(yè)就提取了“永恒之藍(lán)”的防護(hù)規(guī)則，并部分升級(jí)產(chǎn)品，還有部分企業(yè)識(shí)別并提前向客戶和社會(huì)了預(yù)警信息，例如，在這次事件爆發(fā)時(shí)，亞信安全等網(wǎng)絡(luò)安全企業(yè)保證了客戶的“零損失”。

事件發(fā)生后，國(guó)內(nèi)網(wǎng)絡(luò)安全企業(yè)積極行動(dòng)，各主要網(wǎng)絡(luò)安全企業(yè)都進(jìn)行了緊急動(dòng)員，全力應(yīng)對(duì)WannaCry/Wcry等勒索病毒及其種的入侵，幫助受到侵害的客戶盡快恢復(fù)數(shù)據(jù)和業(yè)務(wù)，盡量減少損失。同時(shí)，也積極更新未受到侵害客戶的系統(tǒng)和安全策略，提高其防護(hù)能力。360企業(yè)安全集團(tuán)、安天等公司及時(shí)病毒防范信息，并持續(xù)更新補(bǔ)丁工具。此次“永恒之藍(lán)” 勒索蠕蟲被迅速遏制，我國(guó)網(wǎng)絡(luò)安全企業(yè)發(fā)揮了重要作用，幫助客戶避免被病毒侵害而遭受損失，幫助受到感染的客戶最大限度地減少損失。

（二）網(wǎng)絡(luò)安全防護(hù)組織架構(gòu)體系科學(xué)、組織協(xié)調(diào)得力

隨著《中國(guó)人民共和國(guó)網(wǎng)絡(luò)安全法》的頒布實(shí)施，我國(guó)已經(jīng)初步建立了一個(gè)以網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)和監(jiān)督管理，以工信、公安、保密等其他相關(guān)部門依法在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作的管理體系。既統(tǒng)籌協(xié)調(diào)、又各自分工，我國(guó)的網(wǎng)絡(luò)安全管理體系在應(yīng)對(duì)此次事件中發(fā)揮了重要作用。

依照相關(guān)法律規(guī)范，在有關(guān)部門指導(dǎo)下，眾多網(wǎng)信企業(yè)與國(guó)家網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)構(gòu)積極協(xié)同，快速開(kāi)展威脅情報(bào)、技術(shù)方案、通道、宣傳資源、客戶服務(wù)等方面的協(xié)作，有效地遏制住了事態(tài)發(fā)展、減少了損失。

安全事件暴露出的問(wèn)題

（一）網(wǎng)絡(luò)安全意識(shí)不強(qiáng)，對(duì)安全威脅（漏洞）重視不夠

4月14日，Shadow Brokers 再次公布了一批新的 NSA 黑客工具，其中包含了一個(gè)攻擊框架和多個(gè)Windows 漏洞利用工具。攻擊者利用這些漏洞可以遠(yuǎn)程獲取 Windows 系統(tǒng)權(quán)限并植入后門。

針對(duì)此次泄露的漏洞，微軟提前了安全公告 MS17-010，修復(fù)了泄露的多個(gè) SMB 遠(yuǎn)程命令執(zhí)行漏洞。國(guó)內(nèi)網(wǎng)絡(luò)安全廠商也提前了針對(duì)此次漏洞的安全公告和安全預(yù)警。但是國(guó)內(nèi)大部分行業(yè)及企事業(yè)單位并沒(méi)有給予足夠的重視，沒(méi)有及時(shí)對(duì)系統(tǒng)打補(bǔ)丁，導(dǎo)致“永恒之藍(lán)”大范圍爆發(fā)后，遭受到“永恒之藍(lán)”及其變種勒索軟件的攻擊，數(shù)據(jù)被挾持勒索，業(yè)務(wù)被中斷。

在服務(wù)過(guò)程中發(fā)現(xiàn)，大量用戶沒(méi)有“數(shù)據(jù)備份”的習(xí)慣，這些用戶遭受“永恒之藍(lán)”攻擊侵入后，損失很大。

（二）安全技術(shù)有待提高（安全攻防工具）

繼2016年8月份黑客組織 Shadow Brokers 放出第一批 NSA“方程式小組”內(nèi)部黑客工具后，2017年4月14日，Shadow Brokers 再次公布了一批新的 NSA 黑客工具，其中包含了一個(gè)攻擊框架和多個(gè)Windows 漏洞利用工具。攻擊者利用這些漏洞可以遠(yuǎn)程獲取 Windows 系統(tǒng)權(quán)限并植入后門。

目前，我國(guó)在網(wǎng)絡(luò)安全攻防工具方面的研發(fā)與歐美國(guó)家相比還存在較大差距，我國(guó)在網(wǎng)絡(luò)安全漏洞分析、安全防護(hù)能力上需進(jìn)一步加強(qiáng)。勒索蠕蟲入侵一些行業(yè)和單位表明不少單位的安全運(yùn)維水平較低。

實(shí)際上，防御這次勒索蠕蟲攻擊并不需要特別的網(wǎng)絡(luò)安全新技術(shù)，各單位只需要踏踏實(shí)實(shí)地做好網(wǎng)絡(luò)安全運(yùn)維工作就可以基本避免受到侵害。具體而言，各單位切實(shí)落實(shí)好安全管理的基礎(chǔ)性工作――漏洞閉環(huán)管理和防火墻或網(wǎng)絡(luò)核心交換設(shè)備策略最小化就可以基本防御此次安全事件。

在漏洞管理中運(yùn)用系統(tǒng)論的觀點(diǎn)和方法，按照時(shí)間和工作順序，通過(guò)引入過(guò)程反饋機(jī)制，實(shí)現(xiàn)整個(gè)管理鏈條的閉環(huán)銜接。也就是運(yùn)用PDCA的管理模式，實(shí)現(xiàn)漏洞管理中，計(jì)劃、實(shí)施、檢查、改進(jìn)各工作環(huán)節(jié)的銜接、疊加和演進(jìn)。要盡力避免重發(fā)現(xiàn)、輕修復(fù)的情況出現(xiàn)。及時(shí)總結(jié)問(wèn)題處置經(jīng)驗(yàn)，進(jìn)行能力和經(jīng)驗(yàn)積累，不斷優(yōu)化安全管理制度體系，落實(shí)嚴(yán)格、明確的責(zé)任制度。需要從脆弱性管理的高度，對(duì)系統(tǒng)和軟件補(bǔ)丁、配置缺陷、應(yīng)用系統(tǒng)問(wèn)題、業(yè)務(wù)邏輯缺陷等問(wèn)題進(jìn)行集中管理。通過(guò)這些規(guī)范、扎實(shí)的工作，切實(shí)地提升安全運(yùn)維能力。

基礎(chǔ)工作做到位，防護(hù)能力確保了，可以有效避免大量網(wǎng)絡(luò)安全事件。

對(duì)提升網(wǎng)絡(luò)安全防護(hù)能力的建議

（一）完善隔離網(wǎng)的縱深防御，內(nèi)網(wǎng)沒(méi)有免死金牌！

這次事件的爆發(fā)也反映出不少行業(yè)和單位的網(wǎng)絡(luò)安全管理意識(shí)陳舊落后。部分決策者和運(yùn)維管理人員盲目地認(rèn)為網(wǎng)絡(luò)隔離是解決安全問(wèn)題最有效的方式，簡(jiǎn)單地認(rèn)為只要采取了隔離方案就可以高枕無(wú)憂。一些單位在內(nèi)網(wǎng)中沒(méi)有設(shè)置有效的網(wǎng)絡(luò)安全防護(hù)手段，一旦被入侵，內(nèi)網(wǎng)可謂千瘡百孔、一瀉千里。部分單位的內(nèi)網(wǎng)甚至還缺乏有效的集中化管理手段和工具，對(duì)于網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓?fù)?、?shù)據(jù)資產(chǎn)等不能夠?qū)崿F(xiàn)有效的統(tǒng)一管理，這給系統(tǒng)排查、業(yè)務(wù)恢復(fù)、應(yīng)急響應(yīng)都帶來(lái)了很大的困難，也大幅度地增加了響應(yīng)時(shí)間和響應(yīng)成本。這次事件中一些使用網(wǎng)絡(luò)隔離手段的行業(yè)損失慘重，這種情況需要高度警醒。

在4?19重要講話中專門指出：“‘物理隔離’防線可被跨網(wǎng)入侵，電力調(diào)配指令可被惡意篡改，金融交易信息可被竊取，這些都是重大風(fēng)險(xiǎn)隱患。”

一定要破除“物理隔離就安全”的迷信。隨著IT新技術(shù)的不斷涌現(xiàn)和信息化的深入發(fā)展，現(xiàn)實(shí)中的網(wǎng)絡(luò)邊界越來(lái)越模糊，業(yè)務(wù)應(yīng)用場(chǎng)景越來(lái)越復(fù)雜，IT 系統(tǒng)越來(lái)越龐大，管理疏忽、技術(shù)漏洞、人為失誤等都可能被利用，有多種途徑和方法突破隔離網(wǎng)的邊界阻隔。網(wǎng)絡(luò)隔離不是萬(wàn)能的，不能一隔了之，隔離網(wǎng)依然需要完善其縱深防御體系。

在網(wǎng)絡(luò)安全建設(shè)和運(yùn)營(yíng)中，一定要堅(jiān)持實(shí)事求是的科學(xué)精神。在全社會(huì)，特別是在政府、重點(diǎn)行業(yè)的企事業(yè)單位各級(jí)領(lǐng)導(dǎo)應(yīng)樹(shù)立正確的網(wǎng)絡(luò)安全觀仍是當(dāng)今重要的緊迫工作。

（二）強(qiáng)化協(xié)同協(xié)作，進(jìn)一步發(fā)揮國(guó)家隊(duì)的作用

面對(duì)日益復(fù)雜的網(wǎng)絡(luò)空間安全威脅，需要建立體系化的主動(dòng)防御能力，既有全網(wǎng)安全態(tài)勢(shì)感知和分析能力，又有縱深的響應(yīng)和對(duì)抗能力。動(dòng)態(tài)防御、整體防御才能有效地應(yīng)對(duì)未知的安全威脅。體系化能力建設(shè)的關(guān)鍵在于協(xié)同和協(xié)作，協(xié)同協(xié)作不僅僅是在網(wǎng)絡(luò)安全廠商之間、網(wǎng)信企業(yè)之間、網(wǎng)絡(luò)安全廠商與客戶之間、網(wǎng)信企業(yè)與專業(yè)機(jī)構(gòu)之間，國(guó)家的相關(guān)部門也要參與其中。國(guó)家的相關(guān)專業(yè)機(jī)構(gòu)，如國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）等應(yīng)在其中承擔(dān)重要角色。

在安全事件初期，各種信息比較繁雜，并可能存在不準(zhǔn)確的信息。建議國(guó)家信息安全應(yīng)急響應(yīng)機(jī)構(gòu)作為國(guó)家隊(duì)的代表，在出現(xiàn)重大安全事件時(shí)，積極參與并給出一個(gè)更獨(dú)立、權(quán)威的解決方案，必要時(shí)可以購(gòu)買經(jīng)過(guò)驗(yàn)證的第三方可靠解決方案，通過(guò)多種公眾信息平臺(tái)，免費(fèi)提供給社會(huì)，以快速高效地應(yīng)對(duì)大規(guī)模的網(wǎng)絡(luò)攻擊事件。

（三）進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全意識(shí)建設(shè)和管理體系建設(shè)

三分技術(shù)、七分管理、十二分落實(shí)。安全意識(shí)和責(zé)任制度是落的基本保障。

加強(qiáng)網(wǎng)絡(luò)安全檢查機(jī)制。加強(qiáng)對(duì)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的安全檢查，特別是可能導(dǎo)致大規(guī)模安全事件的高危安全漏洞的檢查。定期開(kāi)展網(wǎng)絡(luò)安全巡檢，把網(wǎng)絡(luò)安全工作常態(tài)化。把安全保障工作的重心放在事前，強(qiáng)化網(wǎng)絡(luò)安全運(yùn)營(yíng)的理念和作業(yè)體系，把網(wǎng)絡(luò)安全保障融入到日常工作和管理之中。

采用科學(xué)的網(wǎng)絡(luò)安全建設(shè)模型和工具，做好頂層設(shè)計(jì)，推進(jìn)體系化和全生命周期的網(wǎng)絡(luò)安全建設(shè)與運(yùn)營(yíng)。盡力避免事后打補(bǔ)丁式的網(wǎng)絡(luò)安全建設(shè)模式，把動(dòng)態(tài)發(fā)展、整體的網(wǎng)絡(luò)安全觀念落實(shí)到信息化規(guī)劃、建設(shè)和運(yùn)營(yíng)之中。

安全建設(shè)不要僅考慮產(chǎn)品，同時(shí)要重視制度、流程和規(guī)范的建設(shè)，并要加強(qiáng)人的管理和培訓(xùn)。

加強(qiáng)網(wǎng)絡(luò)安全意識(shí)教育宣傳。通過(guò)互聯(lián)網(wǎng)、微信、海報(bào)、報(bào)刊等各種形式的宣傳，加強(qiáng)全民網(wǎng)絡(luò)安全意識(shí)教育的普及與重視。在中小學(xué)普及網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)和意識(shí)教育。借助“國(guó)家網(wǎng)絡(luò)安全宣傳周”等重大活動(dòng)，發(fā)動(dòng)社會(huì)資源進(jìn)行全民宣傳教育，讓“網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民”的思想深入人心。

（四）進(jìn)一步加強(qiáng)整體能力建設(shè)

切實(shí)落實(shí)“4?19講話”精神，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，建立全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)的國(guó)家能力與產(chǎn)業(yè)能力，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。不僅要建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機(jī)制，同時(shí)要積極推進(jìn)企業(yè)之間的網(wǎng)絡(luò)安全信息共享，探索產(chǎn)業(yè)組織在其中能夠發(fā)揮的積極作用。

加強(qiáng)網(wǎng)絡(luò)安全核心技術(shù)攻關(guān)。針對(duì)大型網(wǎng)絡(luò)安全攻擊，開(kāi)發(fā)具有普適性的核心網(wǎng)絡(luò)安全關(guān)鍵技術(shù)，例如可以有效防御各類數(shù)據(jù)破壞攻擊（數(shù)據(jù)刪除、數(shù)據(jù)加密、數(shù)據(jù)修改）的安全技術(shù)。

完善國(guó)家網(wǎng)絡(luò)安全產(chǎn)業(yè)結(jié)構(gòu)。按照國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略方針、戰(zhàn)略目標(biāo)，加強(qiáng)網(wǎng)絡(luò)某些安全產(chǎn)品（安全檢測(cè)、數(shù)據(jù)防護(hù)等）的研發(fā)。

加強(qiáng)網(wǎng)絡(luò)安全高端人才培養(yǎng)。加強(qiáng)網(wǎng)絡(luò)安全高端人才培養(yǎng)，特別是網(wǎng)絡(luò)安全管理、技術(shù)專家培養(yǎng)，尤其是網(wǎng)絡(luò)安全事件分析、網(wǎng)絡(luò)安全應(yīng)急與防護(hù)，密碼學(xué)等高級(jí)人才的培養(yǎng)。

加強(qiáng)網(wǎng)絡(luò)安全攻防演練。演練優(yōu)化安全協(xié)調(diào)機(jī)制，提高安全技能和安全應(yīng)急響應(yīng)效率。

（五）加強(qiáng)對(duì)網(wǎng)絡(luò)安全犯罪行為的懲罰