導語：如何才能寫好一篇企業(yè)信息安全服務，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：SOA 信息安全 企業(yè)服務總線

中圖分類號：TP2 文獻標識碼：A 文章編號：1672-3791（2013）01（c）-0022-02

隨著信息技術(shù)的不斷普遍，信息安全體系結(jié)構(gòu)在當前的企業(yè)信息技術(shù)中扮演著越來越重要的角色。我們嘗試將信息安全和風險控制活動定義到安全服務里，設計面向服務的企業(yè)信息安全體系結(jié)構(gòu)。

SOA是工業(yè)界的一個熱點主題。它是一個策略、實踐和框架的集合，能夠為提供跨域注冊、動態(tài)發(fā)現(xiàn)和自動機制提供內(nèi)建的基礎(chǔ)設施。并且提供的服務封裝，通過消息協(xié)議提供可由雙方共同操作的服務。SOA也為服務質(zhì)量控制和資源管理及其它的監(jiān)控服務和異常處理機制準備了基礎(chǔ)設施。作為一個agility-pursued體系結(jié)構(gòu)，SOA將企業(yè)邏輯從技術(shù)實現(xiàn)分離，從而使圍繞SOA體系結(jié)構(gòu)建立的應用能夠滿足企業(yè)和技術(shù)領(lǐng)域持續(xù)變化的需求。它也將有益于可復用性和系統(tǒng)集成，以及可擴展性、分布性和跨域注冊。

1 問題發(fā)現(xiàn)

我們在SOA安全體系結(jié)構(gòu)上的研究發(fā)現(xiàn)了以下幾個問題。

（1）缺少企業(yè)信息安全集成體系結(jié)構(gòu)，引入了不同的、相互獨立的信息安全系統(tǒng)和解決方案，這會導致整個系統(tǒng)的不兼容性，導致無法達到期望的風險管理控制。

（2）由于在信息風險管理系統(tǒng)的信息采集還處于半自動化階段，人工的信息采集過程會導致人為造成的錯誤。

（3）ISO/IEC 27002系統(tǒng)為企業(yè)信息安全管理提供非常好的方法和指南，但由于缺乏合適的工具進行管理，無法很好解決企業(yè)信息安全。

（4）我們需要注意SOA自身的可靠性和安全性問題。

2 信息安全體系結(jié)構(gòu)的設計

根據(jù)上述問題，提出本文的基于SOA的信息安全體系的設計。

通過研究，我們提出了一個面向服務架構(gòu)的企業(yè)信息安全體系結(jié)構(gòu)，它是底層基于數(shù)據(jù)倉庫/數(shù)據(jù)集市技術(shù)，并以安全服務總線作為hub，為企業(yè)信息安全活動提供集成信息安全的管理和有效的控制，使用BPM（企業(yè)過程管理）、規(guī)則引擎（Rule Engine，RE）和，企業(yè)智能（Business Intelligence，BI）技術(shù)。它有益于企業(yè)公司達到需要的信息安全管理級別。并且建立一個PDCA（Plan-Do-Check-Act）適配器，以確保信息安全管理和風險控制活動，能夠進行自我優(yōu)化。

2.1 體系結(jié)構(gòu)的結(jié)構(gòu)

參考七層OSI設計，我們設計了五層的智能企業(yè)信息安全體系結(jié)構(gòu)。自下向上為安全數(shù)據(jù)庫層、安全應用層、安全服務總線、集成和智能層、信息安全框架。

（圖1）說明了智能企業(yè)信息安全體系結(jié)構(gòu)的結(jié)構(gòu)。

（1）安全數(shù)據(jù)層。體系結(jié)構(gòu)的底層是整個體系結(jié)構(gòu)的基礎(chǔ)層。這是因為安全數(shù)據(jù)易于被其它應用和服務使用。這一層的數(shù)據(jù)被分為兩個部分：操作數(shù)據(jù)和分析數(shù)據(jù)。

（2）安全應用層。應用層包括所有的信息安全系統(tǒng)，如防火墻、入侵防御系統(tǒng)、反病毒系統(tǒng)，以及被防護的設備，如網(wǎng)絡設備、服務器和桌面環(huán)境等。它也包括這些系統(tǒng)上的各種各樣的操作系統(tǒng)。

（3）安全服務總線。是基于SOA的信息安全體系結(jié)構(gòu)的中樞。我們在這一層定義SOA服務總線的結(jié)構(gòu)和需要的各種各樣的信息安全服務。在面向服務的信息安全體系結(jié)構(gòu)中，我們能夠?qū)斍昂臀磥淼陌踩枨蠖x為安全服務，但這些服務的實現(xiàn)是隱藏的。

（4）集成&智能層。體系結(jié)構(gòu)中數(shù)據(jù)、過程和應用都是在這一層進行處理實現(xiàn)的，解決一個企業(yè)各種業(yè)務問題，滿足快速變化的環(huán)境。集成層具有“應用之間”和“過程之間”進行通信的能力，通過適配器，它還能夠與其他企業(yè)過程、服務提供者或數(shù)據(jù)提供者通信。

（5）信息安全輔助設計。這是信息安全對外的接口，主要是由勻衡器、關(guān)鍵風險指示儀以及監(jiān)控接口。

企業(yè)智能模型提供各種各樣的服務，例如報告、查詢、OLAP、數(shù)據(jù)挖掘和多維分析。規(guī)則引擎，作為工作流的一部分，可以結(jié)合到BPM模型。因為有了規(guī)則引擎，我們能夠更加有效地執(zhí)行信息安全管理和風險控制。PDCA適配器是一個特殊的工具，它利用人工智能能夠幫助公司達到信息安全管理中持續(xù)提高和自我優(yōu)化的目標。

2.2 特點和優(yōu)勢

本文提出的企業(yè)信息安全體系結(jié)構(gòu)具有以下特點。

（1）集成。它也能夠?qū)⑿畔踩芾砗惋L險控制聯(lián)合起來作為一個集成的框架。

（2）可復用。體系結(jié)構(gòu)是比較獨立的，適合于企業(yè)和小型組織。服務的封裝使得可復用，與其他服務聯(lián)合使用。

（3）面向服務的體系結(jié)構(gòu)。SOA體系機構(gòu)的采用提供了服務的獨立性、自我管理和自我彈性。

（4）集成的數(shù)據(jù)環(huán)境。集成的數(shù)據(jù)結(jié)構(gòu)使之適合于各種數(shù)據(jù)庫進行對接。

（5）企業(yè)智能。這個體系結(jié)構(gòu)將企業(yè)智能應用到信息安全管理，信息安全管理主要使用了數(shù)據(jù)挖掘和模式識別技術(shù)。這可以大大減少由于人工誤操作引起的損失，增強信息安全管理和風險控制操作。

（6）開放的體系結(jié)構(gòu)。體系結(jié)構(gòu)開放設計，以滿足整個企業(yè)的安全需求；面向服務的特征使得體系結(jié)構(gòu)式開放的，允許多個接口與外部應用通信。

3 結(jié)論

與傳統(tǒng)的信息安全體系結(jié)構(gòu)設計相比，本文提出的體系結(jié)構(gòu)設計具有幾個優(yōu)勢，包括開放、集成、可復用、面向服務、集成數(shù)據(jù)平臺和商業(yè)智能。信息安全管理人員可以自由地執(zhí)行重要的任務，如風險分析等。最后，這個體系結(jié)構(gòu)式我們建立集成和智能企業(yè)信息安全體系結(jié)構(gòu)的開端，以后會有更多的、更好的產(chǎn)品出現(xiàn)。

參考文獻

[1] 魏東，陳曉江，房鼎益，等.基于SOA體系結(jié)構(gòu)的軟件開發(fā)方法研究[J].微電子學與計算機，2005，22（6）：73-76.

[2] 葉宇風.基于SOA的企業(yè)應用集成研究[J].微電子學與計算機，2006，23（5）：211-213.

[3] 雷冬艷.SOA環(huán)境下的數(shù)字圖書館信息安全研究[J].科教文匯，2010（33）：189-190.

[4] 李益文.基于SOA的商業(yè)系統(tǒng)的信息安全技術(shù)探討[J].電腦編程技巧與維護，2010（20）：114-115，154.

篇2

【關(guān)鍵詞】企業(yè)信息化；信息安全問題；原因；對策

新時期下，信息化技術(shù)在各行業(yè)中運用日漸深入，給企業(yè)現(xiàn)代化建設與快速發(fā)展帶來了無限動力。企業(yè)信息化建設已成為我國經(jīng)濟信息化建設能否成功的關(guān)鍵所在，也是提升企業(yè)自身市場競爭力與企業(yè)升級進步的重要保證和標志[1]。但是，企業(yè)信息化建設過程中不可避免的出現(xiàn)信息安全問題，給企業(yè)正常生產(chǎn)經(jīng)營帶來諸多不利影響。因此，加強企業(yè)信息化建設中信息安全管理，已成為現(xiàn)代企業(yè)經(jīng)營管理的一個至關(guān)重要的工作。

1企業(yè)信息化概述

所謂的企業(yè)信息化，指的是實現(xiàn)企業(yè)的資金流、物流、作業(yè)流、信息流的數(shù)字化、網(wǎng)絡化管理，實行企業(yè)運行的自動化和企業(yè)制度的現(xiàn)代化[2]。企業(yè)信息化建設涉及了企業(yè)生產(chǎn)經(jīng)營中的各個部門，其主要利用現(xiàn)代化信息技術(shù)，通過完善企業(yè)內(nèi)外網(wǎng)絡信息系統(tǒng)，實現(xiàn)對企業(yè)內(nèi)外知識與信息資源的開發(fā)。可見，建設企業(yè)信息化體系，不但可以及時有效的提供各種數(shù)據(jù)信息給企業(yè)決策層，也為企業(yè)未來規(guī)劃設計提供參考依據(jù)，而且還有利于企業(yè)滿足瞬息萬變的市場需求，為企業(yè)市場核心競爭力的提升帶來動力。

2當前企業(yè)信息化建設中信息安全問題

企業(yè)信息化建設與發(fā)展為企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展發(fā)揮了顯著作用，但同時也存在著諸多信息安全問題，具體分析主要有以下幾方面[3]：（1）當前，絕大多數(shù)企業(yè)缺乏完善的安全防御系統(tǒng)，導致企業(yè)內(nèi)部使用的信息系統(tǒng)易遭受外部網(wǎng)絡系統(tǒng)的攻擊，引發(fā)企業(yè)信息資料被他人截獲、篡改與偽造等問題，甚至企業(yè)信息系統(tǒng)中出現(xiàn)通信線路、硬盤設施以及其他文件系統(tǒng)遭惡意破壞現(xiàn)象，上述問題的發(fā)生不但致使企業(yè)信息系統(tǒng)無法正常運行，而且其內(nèi)部機密信息易發(fā)生泄漏，造成企業(yè)嚴重的社會經(jīng)濟損失。（2）針對郵件系統(tǒng)攻擊防不甚防。在企業(yè)信息系統(tǒng)中電子郵件具有重要的作用，通過電子郵件接收與傳送，極大的方便了企業(yè)內(nèi)部間與外部間信息交流與溝通。然而，電子郵件安全問題也日益突出，典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等，給企業(yè)信息傳輸帶來了巨大安全隱患。因此，電子郵件安全問題不可忽視。（3）漏洞攻擊日益嚴重。按照漏洞問題發(fā)生原因可分為軟件漏洞和協(xié)議漏洞兩種，其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞，造成企業(yè)信息泄露等問題；而協(xié)議漏洞則主要是由于TCP/IP協(xié)議自身在安全機制方面存在的諸多漏洞問題導致，外部不法人員通過攻擊TCP/IP協(xié)議漏洞，致使企業(yè)信息系統(tǒng)遭受破壞。目前情況，很多企業(yè)對自身信息系統(tǒng)缺乏成熟的漏洞檢測手段和能力，往往事發(fā)后才采取補救措施。（4）是Web服務安全問題突出，根據(jù)Web服務流程，其發(fā)生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中，Web服務端安全問題主要是企業(yè)Web主機遭受外部不法分子侵入，導致企業(yè)保密信息遭竊或者企業(yè)部分信息遭受非法篡改等；瀏覽器客戶端安全問題則是企業(yè)瀏覽器客戶端遭外部非法分子侵入，致使部分機密信息與數(shù)據(jù)遭竊等。

3導致企業(yè)信息化建設中信息安全問題因素

企業(yè)信息化建設中信息安全問題發(fā)生受諸多因素影響，具體分析主要有以下幾方面[4]：（1）目前，絕大多數(shù)企業(yè)在信息化建設過程中，對于信息安全問題重視度嚴重不足。一方面，受傳統(tǒng)經(jīng)營觀念影響，企業(yè)管理層偏重于對企業(yè)生產(chǎn)經(jīng)營中的有形資產(chǎn)給予關(guān)注與重視，而忽略了企業(yè)知識與信息資料等無形資源，導致在企業(yè)信息安全管理方面各項投入嚴重不足，進而造成信息安全問題日益凸顯；另一方面，多數(shù)企業(yè)在面對信息安全問題時，存在著盲目樂觀現(xiàn)象，認為信息安全問題不至于導致企業(yè)正常生產(chǎn)經(jīng)營，使得信息安全管理無法上升至企業(yè)發(fā)展規(guī)劃戰(zhàn)略之中，進而造成信息安全問題得不到及時有效解決。（2）由于企業(yè)信息化建設在我國尚處于起步階段，各方面配套管理制度不夠完善，特別是缺乏健全的企業(yè)信息安全管理體制。受此影響，企業(yè)信息化建設中信息安全問題一方面無法得到有效的預防措施，另一方面是一旦發(fā)生信息安全問題，無法采取及時有效的補救與解決對策。同時，由于缺乏科學、合理、有效的企業(yè)信息安全防護策略，使得企業(yè)信息管理人員缺乏必要的安全防護意識與業(yè)務素質(zhì)能力，致使企業(yè)信息安全防護軟硬件工作質(zhì)量與效率明顯不足。上述兩個因素，導致企業(yè)無論是從人員配置，還是資金與技術(shù)投入方面都嚴重不足，受企業(yè)信息管理人員業(yè)務素質(zhì)能力不足、信息安全技術(shù)方法落后以及配套的資金缺乏等影響，企業(yè)信息安全防護的措施、手段偏低，造成企業(yè)信息化建設存在著嚴重安全隱患。

4提升企業(yè)信息化建設中信息安全對策

針對當前企業(yè)信息化建設中存在的信息安全問題，為加強企業(yè)信息安全管理，提升企業(yè)信息安全保障，可通過采取以下幾方面對策，具體有[5]：（1）轉(zhuǎn)變傳統(tǒng)企業(yè)信息化建設觀念，在企業(yè)內(nèi)部管理層從上至下加強對企業(yè)信息安全的重視，并樹立正確的安全意識。一方面，通過組織各種信息安全管理培訓等，增強全體企業(yè)員工信息安全意識，確保企業(yè)保密信息不外漏；另一方面，逐步加大企業(yè)信息化建設中信息安全管理各項資金、技術(shù)、人力投入，并建立科學、合理、有效的企業(yè)信息安全防護策略，保障企業(yè)信息系統(tǒng)安全穩(wěn)定。（2）不斷的推進網(wǎng)絡信息技術(shù)的發(fā)展與運用，促進企業(yè)組織結(jié)構(gòu)網(wǎng)絡化的實現(xiàn)，同時引進先進的安全防護技術(shù)，確保企業(yè)信息化系統(tǒng)安全穩(wěn)定運行。任何網(wǎng)絡信息系統(tǒng)都存在著或大或小的安全漏洞問題，而保證其不受外部不法分子侵入的一個關(guān)鍵方法就是安全防護技術(shù)的運用。通過選用先進的安全防護技術(shù)，可以有效的提高企業(yè)信息系統(tǒng)抵抗外來攻擊，避免企業(yè)信息遭受竊取、篡改甚至破壞等，對于保障企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有顯著作用。（3）結(jié)合企業(yè)信息化建設實際情況，建立健全企業(yè)內(nèi)部信息系統(tǒng)管理體制。一方面，針對信息安全問題，應建立科學、合理、規(guī)范的信息安全管理體制，保證企業(yè)信息系統(tǒng)安全運行；另一方面，建立健全企業(yè)安全風險評估機制，針對不同系統(tǒng)找出影響其安全的因素和漏洞，并制定出最佳的對策，降低企業(yè)信息安全風險；此外，加強相應的網(wǎng)絡管理，防止外來不法分子通過網(wǎng)絡侵入企業(yè)信息系統(tǒng)。（4）根據(jù)新時期企業(yè)信息化建設需要，加強企業(yè)信息技術(shù)人才、信息管理人才隊伍建設，為企業(yè)信息安全管理奠定堅實的人才基礎(chǔ)。一方面，在企業(yè)內(nèi)部，加強信息技術(shù)人才培訓，提高企業(yè)內(nèi)部相關(guān)人才業(yè)務素質(zhì)能力；另一方面，在企業(yè)外部，采取有效措施，積極招聘人才，引進具有先進信息技術(shù)型人才；此外，建立健全企業(yè)信息安全管理用人機制，激發(fā)員工工作積極性，提高工作質(zhì)量與效率。

5小結(jié)

總而言之，企業(yè)信息安全事關(guān)企業(yè)信息化建設是否成功，對于企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有至關(guān)重要的作用。因此，應提高企業(yè)信息安全管理意識，增強企業(yè)信息安全管理機制，促進企業(yè)信息安全管理工作質(zhì)量與效率，保障企業(yè)信息化建設順利開展。

作者:吳捷 單位:中海石油氣電集團有限責任公司

參考文獻

[1]毛志勇.企業(yè)信息化建設的信息安全形勢與對策研究[J].科技與產(chǎn)業(yè)，2008，8，（1）：43~45.

[2]纂振法，徐福緣.淺析企業(yè)信息化建設的意義、問題與對策[J].吉林省經(jīng)濟管理干部學院學報，2001，3：24~28.

[3]謝志宏.企業(yè)信息化建設中的信息安全問題研究[J].企業(yè)導報，2014（06）：132~133.

篇3

關(guān)鍵詞：電力企業(yè)；信息安全；管控平臺；初步設計

中圖分類號：TP31 文獻標識碼：A

隨著我國社會經(jīng)濟不斷地發(fā)展，人們的生活水平不斷地提高，我國電力企業(yè)得到高速發(fā)展，為滿足人們所提出的高要求，適應社會主義市場經(jīng)濟體制的發(fā)展，電力企業(yè)必須轉(zhuǎn)變管理模式，采用現(xiàn)代化的管理手段，以尋求更好的發(fā)展。如今，計算機信息技術(shù)已被廣泛應用于社會各個領(lǐng)域中，具有重要的作用。電力企業(yè)在發(fā)展過程中，其規(guī)模越來越大，信息化的應用也有所突破，但仍然存在問題。為使信息化技術(shù)在電力企業(yè)中得到高效的應用，保障電力企業(yè)的信息安全，則必須建設電力企業(yè)信息安全管控平臺，以有效的控制電力企業(yè)的信息，充分發(fā)揮管控平臺的功能。

一、創(chuàng)建電力企業(yè)信息安全管控平臺的重要性

隨著我國電力企業(yè)的蓬勃發(fā)展，其經(jīng)營規(guī)模越來越大，在企業(yè)中充分利用信息技術(shù)，以使電力企業(yè)具有時代特點。近幾年，計算機信息網(wǎng)絡技術(shù)不斷地改進和完善，逐漸成為我國社會生活生產(chǎn)中不可或缺的一部分，其在電力企業(yè)中的應用推動了電力企業(yè)的現(xiàn)代化發(fā)展，但與此同時其也為電力企業(yè)的信息安全帶來了挑戰(zhàn)?，F(xiàn)階段，電力企業(yè)的信息安全問題已成為其發(fā)展過程中的亟待解決的重要研究課題。在電力企業(yè)中，由于其各級別的單位難以解決網(wǎng)絡分散性問題，無法有效地規(guī)避信息安全事件所帶來的高風險。在電力企業(yè)管理中無法全面的掌握企業(yè)信息安全狀況，缺少可靠的依據(jù)來開展風險評估工作，未能進行實時跟蹤監(jiān)督，導致其難以制定科學的安全預警方案。鑒于這種情況，電力企業(yè)必須加強內(nèi)部控制管理，做好事前預防、事中控制和事后監(jiān)督。為實現(xiàn)有效的電力企業(yè)現(xiàn)代管理，必須創(chuàng)建具有實用性的電力企業(yè)信息安全管控平臺。這個平臺能讓電力企業(yè)實施可靠的安全監(jiān)督，進行合理的安全預警工作，可促使電力企業(yè)做好風險評估工作，開展高效的監(jiān)督工作，對企業(yè)信息進行統(tǒng)一管理，以建立完善的信息安全風險管理體系，從而提高電力企業(yè)信息安全管理水平。

二、電力企業(yè)信息安全管控平臺的初步設計

1電力企業(yè)信息安全管控平臺的設計原則

在設計電力企業(yè)信息安全管控平臺時，要遵循以下原則：首先，所創(chuàng)建的信息安全管控平臺必須滿足電力企業(yè)發(fā)展的需求，要以現(xiàn)代電力企業(yè)的管理體制為依據(jù)來創(chuàng)建，以保障信息安全管控平臺的可實行性；其次，電力企業(yè)信息安全管控平臺的設計需要先進的技術(shù)措施和科學的管理方法來支持，因而設計前，必須慎重的選擇技術(shù)和管理的實現(xiàn)方式；最后，電力企業(yè)所創(chuàng)建的信息安全管控平臺，其自身必須具有一定的安全性，為平臺在企業(yè)中的應用提供重要的保障。除此之外，在信息安全管控平臺的設計過程中，要先了解平臺工具的特殊性能，并以此為基礎(chǔ)來設計與之配套的功能服務，例如數(shù)據(jù)初始化，以保障信息安全管控平臺的順利運行。

2根據(jù)不同的角色來設計管控平臺

電力企業(yè)信息安全管控平臺的建設，必須與其企業(yè)的組織結(jié)構(gòu)相配合。在設計管控平臺的時候，應該對不同角色的職能需求進行分析。對于上級信息安全主管單位，其所需要的是能全面掌握信息安全的動態(tài)，了解信息系統(tǒng)安全的狀況，做好網(wǎng)絡環(huán)境評估工作，主要功能是協(xié)調(diào)和監(jiān)督；對于本地信息安全實施單位和主管單位，前者主要是設立安全運維人員等人來保障解本地信息安全，而后者則是全面了解企業(yè)信息安全狀況并且進行有效的細條；對外部信息安全支持單位，其主要是負責對企業(yè)信息安全實施監(jiān)督和控制，以做好應急工作；對于應急聯(lián)動和專家機構(gòu)，其職責在于為企業(yè)信息的安全提供技術(shù)保障。

3信息安全管控平臺在電力企業(yè)中的實現(xiàn)

信息安全管控平臺在電力企業(yè)中運行時，主要分為這幾個模塊：第一，基礎(chǔ)安全數(shù)據(jù)管理模塊，這一部分主要是的對企業(yè)信息系統(tǒng)中所產(chǎn)生的各類數(shù)據(jù)，如服務器的基本信息，安全配置知識庫等數(shù)據(jù)資料進行整合和儲存，具有查詢和修改的功能；第二，預案管理模塊，這一部分主要是用來對電力企業(yè)中的各級單位進行原的編制、和更新等。值得注意的是要為應急預案編制工作和審批制定統(tǒng)一的標準，加以規(guī)范。在預案管理部分，可充分利用工作流引擎來執(zhí)行應急預案，以突出應急預案的作用和其有效性；第三，風險評估模塊，在這一部分主要是為信息安全風險評估工作提供可靠的數(shù)據(jù)信息作為依據(jù)，以根據(jù)矩陣型風險計算方式計算出風險，并制定出相應措施；第四，業(yè)務影響分析模塊，這一部分的功能與風險評估模塊的職責差不多，也是響應急預案提供有效信息，但是其在此過程中還必須注意信息系統(tǒng)業(yè)務之間的不同之處；第五部分是公告管理模塊，這一部分主要是提供瀏覽、查閱和管理等功能；第六。預警管理模塊，由兩個部分組成，一個是漏洞預警管理，另一個則是威脅預警管理，這兩個部分的級別分別是高、中、低；第七，安全事件管理模塊，這一部分是對信息安全事件進行處理；第八，信息安全狀況監(jiān)視模塊，包括了宏觀態(tài)勢監(jiān)視和應急監(jiān)視。

結(jié)語

在電力企業(yè)中建立信息安全管控平臺，是保障電力企業(yè)信息安全的重要途徑，具有重要意義。電力企業(yè)信息安全管控平臺的建設是為了加強電力企業(yè)信息化程度，必須科學的制定設計方案，使其符合現(xiàn)階段電力企業(yè)的發(fā)展現(xiàn)狀和電力企業(yè)的發(fā)展特點。在電力企業(yè)中運行信息安全管控平臺，有利于及時發(fā)現(xiàn)信息安全中存在的問題，并加以解決，能確保企業(yè)信息的真實性、完整性和有效性。這種信息安全管控平臺的創(chuàng)建有其必要性，對電力企業(yè)的發(fā)展起到重要的影響作用，必須予以高度重視?？偠灾瑢﹄娏ζ髽I(yè)信息安全管控平臺的研究具有重要的意義，而這一平臺的運行則具有較高的使用價值。

參考文獻

[1]樊凱.電力企業(yè)信息安全管控平臺設計與實現(xiàn)[J].現(xiàn)代計算機：下半月版，2012（17） .

[2]李正忠.電力企業(yè)信息安全網(wǎng)絡建設原則與實踐[J].中國新通信，2013（9） .

篇4

關(guān)鍵詞：企業(yè)信息；安全；網(wǎng)絡；信息技術(shù)

中圖分類號：TP393.08

隨著信息化建設的不斷深入，企業(yè)對網(wǎng)絡信息系統(tǒng)的依賴性越來越強，幾乎所有的工作內(nèi)容以及數(shù)據(jù)都存儲在網(wǎng)絡中。然而由于網(wǎng)絡具有開放性，因此企業(yè)的信息存在著極大的安全隱患問題。一旦信息被偷竊或泄露，將會給企業(yè)造成難以估量的損失。因此說，保證企業(yè)信息安全具有極其重要的意義，它直接關(guān)系著整個企業(yè)的生產(chǎn)和經(jīng)營。然而在實際的工作中，企業(yè)信息化仍然存在著一些問題，直接影響著企業(yè)的信息安全。

1 企業(yè)信息化存在的隱患

隨著信息化的高速發(fā)展，為企業(yè)及社會帶來了顯而易見的效益：提高的工作效率、減少的紙張浪費、快捷方便的通訊等等。但信息化也是一柄"雙刃劍"，尤其是在企業(yè)管理、商業(yè)保密等工作中，還存在著令人堪憂的隱患：

一是物理安全風險。物理安全風險包括計算機系統(tǒng)的設備、設施和信息面臨因自然災害、環(huán)境事故（如斷電）、人為物理操作失誤以及不法分子進行違法犯罪等風險。

二是數(shù)據(jù)安全風險。數(shù)據(jù)安全風險包括競爭性業(yè)務的經(jīng)營和管理數(shù)據(jù)泄漏，數(shù)據(jù)被人為惡意篡改或破壞等。

三是網(wǎng)絡安全風險。網(wǎng)絡安全風險包括病毒造成網(wǎng)絡癱瘓與擁塞、內(nèi)部或外部人為惡意破壞造成網(wǎng)絡設備癱瘓、來自互聯(lián)網(wǎng)黑客的入侵威脅等。

2 保證企業(yè)信息安全的基本對策

2.1 正確認識企業(yè)信息安全問題

企業(yè)的信息安全問題，絕不僅僅是一個僅靠防火墻、密碼等等技術(shù)就能解決的問題，它還與人們的職業(yè)道德、社會道德以及企業(yè)管理等問題密切相關(guān)。因此，在維護企業(yè)信息安全時，我們必須站在宏觀的角度對問題進行考慮。在過去看來，一個企業(yè)信息的安全問題，是領(lǐng)導層或者IT單個部門的事情，但是憑少數(shù)人或部門的工作，對于保障公司的信息不被泄漏，防護信息存儲不被破壞、攻擊和偷盜是很難的事。筆者認為，意識指導行動，信息安全問題首先要解決的是員工的思想認識問題，只有企業(yè)的每一個人都認識到信息安全的重要性，才能在工作中自覺地維護信息安全。因為在任何一個體系中，人都是最活躍、最具有影響力和決定意義的因素，因此對于企業(yè)的信息安全問題而言，企業(yè)內(nèi)部員工才是保護信息安全的最可靠、最有效的重大保障。此外，還可以加強引進信息安全技術(shù)人才以及信息安全管理人才，并在日常工作中，加強對隊伍專業(yè)知識以及工作技能的培訓，從而為企業(yè)建設一支強有力的信息安全保衛(wèi)隊伍。

其次信息管理部門要全面作好專業(yè)技術(shù)支持與防范工作，根據(jù)業(yè)務的需求采取適當?shù)谋Ｗo措施，實施專業(yè)應用系統(tǒng)。例如，保護企業(yè)信息安全的技術(shù)可以采用主動反擊、網(wǎng)絡入侵陷阱、密碼、取證、防火墻、安全服務、防病毒、可信服務、PKI 服務、身份識別、備份恢復、網(wǎng)絡隔離等等保護產(chǎn)品以及保護技術(shù)，通過確保信息安全的最大化，來實現(xiàn)企業(yè)生產(chǎn)經(jīng)營持續(xù)發(fā)展以及經(jīng)濟效益的最大化。此外，還可以在工作的過程中，進一步優(yōu)化企業(yè)信息安全管理，并進行管理監(jiān)控以及安全風險評估，分析入侵防范、服務器架構(gòu)等等關(guān)鍵問題，以全面性、多角度的掌控，確保企業(yè)信息系統(tǒng)的安全性、穩(wěn)定性，因為信息安全問題不具有靜態(tài)性，信息管理始終處在一個不停變動的動態(tài)性過程，因此即使我們不可能確保信息的絕對安全，也必須做到相對安全，從而最大限度的降低企業(yè)風險。

2.2 建立健全信息安全管理制度

信息安全不僅是技術(shù)問題，更主要是管理問題。任何技術(shù)措施只能起到增強信息安全防范能力的作用，俗話說“三分技術(shù)，七分管理”，只有良好的管理工作才能使保障技術(shù)措施得到充分發(fā)揮，是能否對信息網(wǎng)絡實施有效信息安全保障的關(guān)鍵。現(xiàn)在中國石油股份有限公司內(nèi)控體系中涉及信息內(nèi)部控制的《信息系統(tǒng)總體控制辦法》（以下簡稱“GCC”）就很好的涵蓋了信息安全的各個方面，包括了機房管理、服務器管理、網(wǎng)絡管理和系統(tǒng)管理等。因此在實際的工作中，我們可以通過“三步驟”來實現(xiàn)企業(yè)信息的安全管理制度的健全化、完善化。

第一，結(jié)合企業(yè)自身的實際，分析企業(yè)存在的問題以及預期的目標，制定具有科學性、合理性、實效性、可行性的信息安全管理制度，使保護信息安全工作做到有法可依，有章可循。第二，建立信息安全管理機構(gòu)，明晰信息安全管理負責人的職務和責任，并建立相應的考核機制和激勵機制，以督促、鼓勵相關(guān)負責人的工作，提高信息管理工作質(zhì)量。第三，真正貫徹管理措施，加強制度的執(zhí)行力度，只有這樣，才能從根本上實現(xiàn)管理工作以及工作目標，最終提高企業(yè)的信息安全管理水平。

3 加強企業(yè)信息安全保障的幾點措施

如何有效地解決企業(yè)信息安全的專業(yè)性管理與技術(shù)性防范，筆者認為可從以下幾個方面著手。

3.1 實行嚴格的網(wǎng)絡管理

企業(yè)網(wǎng)與互聯(lián)網(wǎng)的物理隔離、防火墻設置以及端口限制，與互聯(lián)網(wǎng)相比安全性較高，但在日常運行管理中我們?nèi)匀幻媾R網(wǎng)絡鏈路維護、違規(guī)使用網(wǎng)絡事件等問題，具體而言：

一是在IP資源管理方面，采用IP+MAC捆綁的技術(shù)手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。這樣，就不會出現(xiàn)IP地址被盜用而不能正常使用網(wǎng)絡的情況；二是在網(wǎng)絡流量監(jiān)測方面，使用網(wǎng)絡監(jiān)測軟件查看數(shù)據(jù)、視頻、語音等各種應用的利用帶寬，防止頻繁進行大文件的傳輸，甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。三是加強服務器管理。常見應用服務器安裝的操作系統(tǒng)多為Windows Server，可利用其自帶的安全管理功能進行設置，包括服務器安全審核、組策略實施、服務器的備份策略以及系統(tǒng)補丁更新等。

3.2 加強客戶端監(jiān)管

對大多數(shù)單位的網(wǎng)管來說，客戶端的管理都是他們最頭痛的問題。只有得力的措施才能解決這個問題，這里推薦以下方法：

（1）將客戶端都加入到域中，使客戶端強制性納入管理員集中管理的范圍。

（2）只給用戶以普通域用戶的身份登錄到域，這樣就可以限制他們在本地計算機上安裝有安全隱患軟件的權(quán)利。

（3）實現(xiàn)客戶端操作系統(tǒng)補丁程序的自動安裝。

（4）利用企業(yè)IT部門的工作職能，設置熱線幫助和技術(shù)支持人員，統(tǒng)一管理局域網(wǎng)內(nèi)各客戶端問題。

3.3 堅持進行數(shù)據(jù)備份

由于應用系統(tǒng)的加入，各種數(shù)據(jù)庫日趨增長，如何確保數(shù)據(jù)在發(fā)生故障或災難性事件情況下不丟失，是當前面臨的一個難題。從成本及易操作性考慮，這里推薦以下兩種數(shù)據(jù)備份方法：一種是用硬盤進行數(shù)據(jù)備份；另一種是采用本地磁盤陣列來分別實現(xiàn)各服務器的本地硬盤數(shù)據(jù)冗余。

3.4 采取有效病毒防治方式

SYMANTEC公司的Norton Antivirus企業(yè)版是一個可選軟件。在實施過程中，以一臺服務器作為父服務器，實現(xiàn)對網(wǎng)絡中所有計算機的保護和監(jiān)控，并使用其中有效的管理功能，如： 管理員可以向客產(chǎn)端發(fā)送病毒警報、強制對遠程客戶端進行病毒掃描、鎖定遠程客產(chǎn)端、病毒庫定期更新等。

參考文獻：

[1]丁佐峰.中小型企業(yè)信息網(wǎng)絡安全架構(gòu)探究[J].計算機光盤軟件與應用，2012（20）：33+37.

[2]胡大威.企業(yè)信息安全威脅及解決方案[J].計算機光盤軟件與應用，2012（13）：1-2

篇5

信息技術(shù)的飛速發(fā)展沖擊著各行各業(yè)，給全球房地產(chǎn)業(yè)也帶來一場深刻的變革和發(fā)展的契機。在政府的牽頭和推動下，在房地產(chǎn)業(yè)各界積極參與和實踐下，中國房地產(chǎn)業(yè)已取得卓有成效的成果，呈現(xiàn)全面信息化的發(fā)展勢頭。具體表現(xiàn)在：

（1）房地產(chǎn)政務信息化成效顯著。

許多城市利用信息技術(shù)開發(fā)了房地產(chǎn)政務管理軟件，有效地改進了行政管理，提高了工作效率，完善了政府對房地產(chǎn)市場的監(jiān)控和預測能力。

（2）房地產(chǎn)企業(yè)信息化取得長足進展。

房地產(chǎn)經(jīng)營方式開始打上信息時代的烙印。一些房地產(chǎn)企業(yè)建立了企業(yè)內(nèi)部網(wǎng)站，提高了信息傳輸速度，加快了企業(yè)決策速度，提高了辦事效率。此外，各種針對房地產(chǎn)企業(yè)的計算機軟件，如房屋銷售軟件、物業(yè)管理軟件、租賃軟件、房地產(chǎn)可行性分析軟件、房地產(chǎn)開發(fā)管理軟件等，也得到了廣泛的開發(fā)和應用。

（3）初步建立了房地產(chǎn)宏觀監(jiān)測系統(tǒng)。

為適應我國房地產(chǎn)業(yè)發(fā)展的內(nèi)在要求，針對市場信息零散、盲目投資行為大量存在等狀況，我國已建立包括中房預警系統(tǒng)、中房指數(shù)、國房景氣指數(shù)等在內(nèi)的房地產(chǎn)宏觀監(jiān)測系統(tǒng)。

（4）智能化小區(qū)和網(wǎng)絡小區(qū)建設步伐加快。

近年來，住宅的智能化功能被列為評價樓盤綜合性能的不可缺少的一個重要指標，智能化住宅已逐步進入普通人的生活。社區(qū)提供與外界進行數(shù)據(jù)交換的軟硬件設施和服務是家居功能向外拓展的必要條件。智能化的物業(yè)管理深入到各單位住宅，真正實現(xiàn)建筑智能化到社區(qū)管理的智能化。

（5）房地產(chǎn)網(wǎng)站發(fā)展迅速。

由于房地產(chǎn)業(yè)自身的行業(yè)特點，使其在網(wǎng)上具有更大的優(yōu)勢，房地產(chǎn)業(yè)各界都以最快的速度建立或準備建立自己的網(wǎng)站，將網(wǎng)絡作為房地產(chǎn)信息的主要渠道。房地產(chǎn)網(wǎng)站建設提供了全天候、全方位市場服務的新模式，建立房地產(chǎn)在線咨詢服務系統(tǒng)，引入城市電子地圖，實現(xiàn)網(wǎng)上售樓，改變了傳統(tǒng)的購房方式。同國外相比，我國房地產(chǎn)信息化整體水平較低，地區(qū)差異較大，東西部發(fā)展不平衡，仍存在諸多制約因素，還有很長的路要走。但是，房地產(chǎn)業(yè)唯有實現(xiàn)信息化，唯有與網(wǎng)絡結(jié)合，才能煥發(fā)出新的活力。建立和完善房地產(chǎn)企業(yè)的網(wǎng)絡系統(tǒng)，實現(xiàn)總公司與下屬子公司之間的雙向溝通和信息共享。通過信息平臺的整合，為企業(yè)管理決策提供全方位、完整的信息數(shù)據(jù)，使企業(yè)的管理逐步走向信息化，建立企業(yè)網(wǎng)站，使其向房地產(chǎn)行業(yè)和管理信息服務方向轉(zhuǎn)化，加強與員工的溝通，將信息化手段應用于具體管理工作的流程中。以國家信息化工作的指導方針“統(tǒng)一規(guī)劃、聯(lián)合建設、推廣應用、發(fā)展產(chǎn)業(yè)、資源共享”為房地產(chǎn)企業(yè)信息化工作的指導思想，將房地產(chǎn)企業(yè)的管理全部數(shù)字化，充分利用先進的信息技術(shù)，使本企業(yè)集團形成一個管理對象數(shù)字化、管理專業(yè)網(wǎng)絡化、數(shù)據(jù)動態(tài)實時化、管理決策科學化的現(xiàn)代企業(yè)，走一條結(jié)合自身特點，依托信息技術(shù)發(fā)展房地產(chǎn)信息化產(chǎn)業(yè)的振興之路。

二、企業(yè)信息安全防范

隨著企業(yè)信息化的發(fā)展，辦公自動化、財務管理系統(tǒng)，企業(yè)相關(guān)業(yè)務系統(tǒng)等生產(chǎn)經(jīng)營方面的重要系統(tǒng)投入在線運行，越來越多的重要數(shù)據(jù)和機密信息都通過企業(yè)內(nèi)外部網(wǎng)絡來傳輸。這在提高生產(chǎn)效率和管理水平的同時，也帶來了不同以往的安全風險和問題。通過網(wǎng)絡傳輸?shù)臄?shù)據(jù)信息如被非法用戶截取，導致泄露企業(yè)機密；如被非法篡改，造成數(shù)據(jù)混亂，信息錯誤，造成工作失誤等。另一方面，病毒感染造成網(wǎng)絡通信阻塞，系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞，系統(tǒng)無法提供服務甚至破壞后無法恢復，特別是系統(tǒng)中多年積累的重要數(shù)據(jù)丟失，對企業(yè)的生產(chǎn)管理以及經(jīng)濟效益等造成不可估量的損失。因此，如何保護企業(yè)機密，保障企業(yè)信息安全，成為企業(yè)信息化發(fā)展中需要面臨和解決的問題，提上了企業(yè)的議事日程。企業(yè)信息安全管理即針對當前企業(yè)面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等復雜的應用環(huán)境制定相應的防御措施，保護企業(yè)信息和企業(yè)信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞，為企業(yè)信息和企業(yè)信息系統(tǒng)提供保密性、完整性、真實性、可用性、不可否認。企業(yè)信息安全是一項復雜的系統(tǒng)工程，涉及技術(shù)、設備、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進行把握。首先，企業(yè)必須根據(jù)實際情況全面做好安全風險評估。第二，采用信息安全新技術(shù)，建立信息安全防護體系。綜合各種計算機網(wǎng)絡信息系統(tǒng)安全技術(shù)，將安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)等綜合起來，形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡安全防護體系。企業(yè)根據(jù)自身信息系統(tǒng)建設和應用的步伐，建立完整的信息安全防護體系，統(tǒng)籌規(guī)劃，分步實施。第三，管理和技術(shù)并重，技術(shù)與措施結(jié)合。根據(jù)信息安全策略，建立健全企業(yè)信息安全管理制度，制定相應的安全標準，建立備份和恢復機制，提高安全管理水平。第四，充分利用企業(yè)網(wǎng)絡條件，提供全面，及時和快捷的信息安全服務。第五，信息安全是一個動態(tài)過程，需要定期對信息安全狀況進行評估，不斷改進完善安全方案，調(diào)整安全策略。

三、總結(jié)

篇6

【關(guān)鍵詞】信息安全 管理 控制 構(gòu)建

1 企業(yè)信息安全的現(xiàn)狀

隨著企業(yè)信息化水平的提升，大多數(shù)企業(yè)在信息安全建設上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設備，但信息安全防護理念還停留在防的階段，信息安全策略都是在安全事件發(fā)生后再補救，導致了企業(yè)信息防范的主動性和意識不高，信息安全防護水平已經(jīng)越來越不適應當今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求。

2 企業(yè)信息系統(tǒng)安全防護的構(gòu)建原則

企業(yè)信息化安全建設的目標是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時應該遵循以下幾個原則：

2.1 建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范，來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善?；酒髽I(yè)信息安全管理過程包括：分析企業(yè)數(shù)字化資產(chǎn)評估和風險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴謹?shù)膱?zhí)行策略、選用安全可靠的的防護產(chǎn)品等。

2.2 提高企業(yè)員工自身的信息安全防范意識

在企業(yè)信息化系統(tǒng)安全管理中，防護設備和防護策略只是其中的一部分，企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實施信息化安全管理時，絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實施企業(yè)信息安全前，應制定企業(yè)員工信息安全行為規(guī)范，有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運行，保證企業(yè)信息安全。其次階段遞進的培訓信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓，強化企業(yè)員工對信息安全的概念，提升員工的安全意識。使員工的行為符合整個企業(yè)信息安全的防范要求。

2.3 及時優(yōu)化更新企業(yè)信息安全防護技術(shù)

當企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時，就應當考慮采用何種安全防護技術(shù)來支撐整個信息安全防護體系。對于安全防護技術(shù)來說可以分為身份識別、網(wǎng)絡隔離、網(wǎng)絡安全掃描、實時監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源，并且可以根據(jù)員工級別分配人員訪問權(quán)限，達到企業(yè)敏感信息的安全保障。

3 企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設架構(gòu)，在滿足終端安全、網(wǎng)絡安全、應用安全、數(shù)據(jù)安全等安全防護體系時，我們需要重點關(guān)注以下幾個方面：

3.1 實施終端安全，規(guī)范終端用戶行為

在企業(yè)信息安全事件中，數(shù)字化成果泄漏是屬于危害最為嚴重的一種行為。企業(yè)信息安全體系建立前，企業(yè)員工對自己的個人行為不規(guī)范，造成了員工可以通過很多方式實現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為，我們在建設安全防護體系時，僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應該當用戶接入企業(yè)信息化平臺前，就對用戶的終端系統(tǒng)進行安全規(guī)范檢查，符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進行審計，使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范，從終端用戶提升企業(yè)的防護水平。

3.2 建設安全完善的VPN接入平臺

企業(yè)在信息化建設中，考慮總部和分支機構(gòu)的信息化需要，必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對于分支機構(gòu)可以考慮專用的VPN設備和總部進行IPSec連接，這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下，就必須做好對于移動終端的身份認證識別。其實我們在設備采購時，可以要求設備商做好多種接入方式的需求，并且?guī)椭髽I(yè)搭建認證方式。這將有利于企業(yè)日常維護，提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3 優(yōu)化企業(yè)網(wǎng)絡的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡安全邊際時，要面對多個部門和分支結(jié)構(gòu)，合理的規(guī)劃安全網(wǎng)絡邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡體系可以分為：物理層；數(shù)據(jù)鏈路層；網(wǎng)絡層；傳輸層；會話層；表示層；應用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風險的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡環(huán)境的背景下，根據(jù)企業(yè)安全優(yōu)先級及面臨的風險程度，做出適合企業(yè)信息安全的防護策略和訪問控制策略。根據(jù)相應防護設備進行深層次的安全防護，真正實現(xiàn)OSI的L2～L7層的安全防護。

3.4 實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理

為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護體系，重要的優(yōu)勢就是能實現(xiàn)對全網(wǎng)安全設備及安全事件的統(tǒng)一管理，做到對整個網(wǎng)絡安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設備工作時會產(chǎn)生大量的安全日志，如果單靠相關(guān)人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發(fā)生時，企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時，就必須要考慮安全設備日志之間的統(tǒng)一化，設定相應的訪問控制和安全策略實現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。

4 結(jié)束語

信息安全的主要內(nèi)容就是保護企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實施信息安全防護過程中是一個長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護規(guī)劃，實施過程中根據(jù)不斷出現(xiàn)的情況及時調(diào)整安全策略和訪問控制，保證備份數(shù)據(jù)的安全性可靠性。同時全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護管理規(guī)定，這樣才能為企業(yè)的信息安全提供生命力和主動性，真正為企業(yè)的核心業(yè)務提供安全保障。

參考文獻

[1]郝宏志.企業(yè)信息管理師[M].北京：機械工業(yè)出版社，2005.

[2]蔣培靜.歐美國家如何培養(yǎng)網(wǎng)絡安全意識[J].中國教育網(wǎng)絡，2008（7）：48-49.

作者簡介

常勝（1982-），男，回族，天津市人。現(xiàn)為中國市政工程華北設計研究總院有限公司工程師。研究方向為網(wǎng)絡安全與服務器規(guī)劃部署。

篇7

當前，企業(yè)信息安全尚在起步階段，發(fā)展不夠成熟健全，還有更多需要解決的問題。隨著網(wǎng)絡技術(shù)的發(fā)展，經(jīng)濟信息量的大幅度上漲，處理信息必須依靠計算機才能完成，但計算機存在一定的弱點，例如計算機病毒、人員素質(zhì)低下、黑客入侵等因素，以及移動4G、WIFI互聯(lián)等多邊界企業(yè)網(wǎng)絡環(huán)境下，由于內(nèi)外部網(wǎng)絡是直接連接，其互通性和網(wǎng)絡訪問無限制性易形成黑客或惡意份子入侵的切入口，若是沒有設置任何的網(wǎng)絡邊界安全機制，將造成企業(yè)信息受到潛在的安全威脅。企業(yè)要想持續(xù)發(fā)展，信息安全是基本保障。企業(yè)信息化程度越高，企業(yè)數(shù)據(jù)也就越安全。企業(yè)發(fā)展的基礎(chǔ)即信息安全，企業(yè)管理者要正確認識信息安全工作的長期性和緊迫性。從保護企業(yè)利益，促進經(jīng)濟發(fā)展，保證企業(yè)穩(wěn)定與安全的角度來看，只有做好基礎(chǔ)性工作和設施建設，建立信息安全保障，以及建設安全健康的網(wǎng)絡環(huán)境，才能有助于信息化安全建設。其實不管科技如何發(fā)達，技術(shù)如何高超，都是人類智慧的結(jié)晶體，所以信息安全已無法離開人類。不少企業(yè)信息被泄露，多是人為因素導致，員工濫用企業(yè)信息將會給企業(yè)帶來極大的損失。

2企業(yè)信息化安全建設

當今社會已經(jīng)步入信息知識經(jīng)濟時代，信息對企業(yè)良性長久的發(fā)展尤為關(guān)鍵，但目前企業(yè)信息系統(tǒng)安全問題無疑是企業(yè)發(fā)展階段所面臨的重點難點。所謂的企業(yè)信息安全就是對企業(yè)信息資產(chǎn)采取保護措施，使其不受惡意或偶然侵犯而被破壞、篡改及泄露，確保信息系統(tǒng)可靠正常并連續(xù)的運行，最小化安全事件對業(yè)務的影響，實現(xiàn)業(yè)務運行的連續(xù)性。因此筆者認為以下幾方面是關(guān)鍵。

2.1做好網(wǎng)絡保護

其實要保證外網(wǎng)安全需要企業(yè)加大硬件設備的投入，信息安全產(chǎn)品在網(wǎng)絡經(jīng)濟發(fā)展下正面臨著新的挑戰(zhàn)，傳統(tǒng)防火墻、信息加密、防病毒等已無法有效的抵御外部入侵；同時由于內(nèi)部操作不當，導致內(nèi)網(wǎng)感染病毒造成信息泄露的現(xiàn)狀也是信息安全的焦點問題。針對以上情況，建立事前有效防御，事后追究機制是企業(yè)信息化安全建設的當務之急。根據(jù)現(xiàn)代企業(yè)的特點，筆者認為從下面這幾點入手，有助于保護網(wǎng)絡的安全：

（1）身份認證技術(shù)。

企業(yè)內(nèi)網(wǎng)操作時，可采用身份認證技術(shù)，借助PKI、PKM等工具，控制網(wǎng)絡應用程序的訪問，以及進行身份認證，實現(xiàn)有效資源合法應用和訪問的目的。

（2）審計跟蹤技術(shù)。

通過審計跟蹤技術(shù)監(jiān)控和審計網(wǎng)絡，控制外設備如MSN、QQ、端口、打印、光驅(qū)、軟驅(qū)等，從而實現(xiàn)禁止使用指定程序，并促進員工操作行為及日志審計規(guī)范的目的。

（3）企業(yè)還應組建自身網(wǎng)絡拓撲結(jié)構(gòu)。

利用嚴格密鑰機制和加密算法，有機的結(jié)合加密、認證、授權(quán)、審計等功能，保護最底層不同密集評定和授權(quán)方式的核心數(shù)據(jù)，而非限制應用網(wǎng)絡和控制網(wǎng)絡，進而真正實現(xiàn)合理保護，確保企業(yè)信息數(shù)據(jù)資源的安全。

2.2安全邊界的界定和管理

安全邊界的界定通過分析現(xiàn)有網(wǎng)絡邊界安全的需求，筆者認為有幾方面：首先，內(nèi)部網(wǎng)段。即企業(yè)網(wǎng)內(nèi)網(wǎng)，是防火墻的重點保護對象，安全級別和授信級別更高，主要承載對象是企業(yè)所有人員的計算機。其次，外部網(wǎng)段。即邊界路由器以外的網(wǎng)絡，比如移動4G、WIFI互聯(lián)等多邊界網(wǎng)絡，安全級別和授信級別最低，是企業(yè)信息數(shù)據(jù)泄露最大的安全隱患，需要嚴格禁止或控制。最后，DMZ網(wǎng)段。即對外服務器，安全級別和授信級別介于內(nèi)外網(wǎng)絡之間，其資源運行外部網(wǎng)絡訪問。

（1）由于外部用戶訪問DMZ區(qū)域中服務器的方式較為特殊，在系統(tǒng)默認情況下是不被允許的。

可實際應用中是需要外部用戶對其進行訪問，所以防火墻上必須增加相應允許外部用戶訪問DMZ區(qū)域的訪問控制列表，通過對列表的控制允許用戶行為，并對進行很好的監(jiān)控管理，保證企業(yè)信息的安全性。

（2）內(nèi)部用戶對外部網(wǎng)絡以及DMZ區(qū)域中服務器的訪問。

按照ASA自適應安全算法，在系統(tǒng)默認情況下是允許高安全等級接口流向低安全等級接口流量的，外部網(wǎng)絡安全級別遠沒企業(yè)內(nèi)部網(wǎng)絡安全級別高，所以在默認情況下這種訪問方式是被允許的，不過實際應用過程中，需要限制對外訪問流量。

（3）外部用戶對內(nèi)部網(wǎng)絡的訪問。

在系統(tǒng)默認情況下這種情況是不被允許的，是對外部用戶非法訪問的有效抵御，能有效的保證企業(yè)信息的安全，促進企業(yè)信息化的安全建設。

2.3強化系統(tǒng)管理

由于任何安全軟件都有被攻擊或破解的可能性，單純依靠軟件技術(shù)來保障企業(yè)信息安全是不現(xiàn)實的，只有強化企業(yè)內(nèi)部信息系統(tǒng)的管理才行之有效。所以，企業(yè)內(nèi)部信息管理體制要完善，盡可能促進管理系統(tǒng)規(guī)范性和可靠性的提高，才能為企業(yè)內(nèi)部信息的安全提供更高保障。同時，要進行安全風險評估工作。因為各個信息系統(tǒng)使用的都是不同的技術(shù)手段和組成方式，其自身優(yōu)勢及安全漏洞也具有較大的差異，由此在選擇企業(yè)所需的信息系統(tǒng)時，一定要先做各個系統(tǒng)的安全風險評估工作，信息安全系統(tǒng)的選擇要針對企業(yè)自身特點，降低信息安全問題出現(xiàn)的概率。最后，就是加強系統(tǒng)管理。在實際生活中信息竊取和系統(tǒng)攻擊大多是在網(wǎng)絡上完成的，企業(yè)必須要強化網(wǎng)絡管理工作，以便促進企業(yè)的運行更安全政策。

2.4加強企業(yè)信息安全管理團隊建設

當前，企業(yè)信息安全體系的建設中已完全滲透“七分管理，三分技術(shù)”的意識，強化企業(yè)員工信息安全知識培訓，制定完善合理的信息安全管理制度，是企業(yè)信息安全建設順利實施的關(guān)鍵保障。企業(yè)信息安全建設時要另立專門管理信息安全的部門，負責企業(yè)內(nèi)部的信息安全防護工作，加強對企業(yè)內(nèi)部計算機網(wǎng)絡系統(tǒng)的維護及常規(guī)檢查。企業(yè)信息安全管理團隊的職責主要包括：工作人員安全操作規(guī)范、工作人員守則以及管理制度的制定，再交由上級主管部門審批后監(jiān)督制度規(guī)范的執(zhí)行；定期組織安全運行和信息網(wǎng)絡建設的檢查監(jiān)測，掌握公司全面的第一手安全資料，根據(jù)資料研究相關(guān)的安全對策和措施；負責常規(guī)的信息網(wǎng)絡安全管理維護工作；定期制訂安全工作總結(jié)，且要接受國家相關(guān)信息安全職能部門對信息安全的工作指導。

2.5入侵檢測系統(tǒng)（IDS）與入侵防護系統(tǒng)（IPS）

IDS即入侵檢測系統(tǒng)能夠彌補防火墻的缺陷，能實時的提供給網(wǎng)絡安全入侵檢測，并采取一定的防護手段保護網(wǎng)絡。良好的入侵檢測系統(tǒng)不但可有助于系統(tǒng)管理員隨時了解網(wǎng)絡系統(tǒng)的變更，還能提高可靠的網(wǎng)絡安全策略制訂依據(jù)。因此，入侵檢測系統(tǒng)的管理應配置簡單，隨時根據(jù)系統(tǒng)構(gòu)造、網(wǎng)絡規(guī)模、安全需求改變。IDS必須布置在能夠監(jiān)控局域網(wǎng)和Internet之間所有流量的地方，才能第一時間檢測到入侵時，做出及時的響應，比如記錄時間、切斷網(wǎng)絡連接等。

3總結(jié)

篇8

關(guān)鍵詞：航空企業(yè)；信息系統(tǒng)；安全處理；現(xiàn)狀；體系

中圖分類號：TP393.08

隨著計算機網(wǎng)絡技術(shù)的不斷發(fā)展，信息數(shù)據(jù)系統(tǒng)廣泛應用于航空企業(yè)的信息管理中。然而，航空企業(yè)因其服務行業(yè)的特性，需要不斷將航班等外部信息傳播發(fā)送給旅客，另一方面，航空企業(yè)內(nèi)部管理信息卻需要做到嚴格的保密，這就對航空企業(yè)的信息系統(tǒng)安全處理提出了高要求，航空企業(yè)必須建立一套全面完備的信息安全處理體系，只有這樣，才能提高航空運輸信息的安全水平，保障航空企業(yè)的穩(wěn)定發(fā)展。

1 航空企業(yè)信息系統(tǒng)安全管處理現(xiàn)狀

近年來，我國航空企業(yè)已經(jīng)開始廣泛應用信息管理系統(tǒng)。在這些企業(yè)的信息系統(tǒng)中，包含了對交通服務、航班導航、天氣情況以及企業(yè)內(nèi)部信息的各類應用，航空企業(yè)信息管理部門需要將這些信息進行整合，構(gòu)建成為一個完整的信息管理系統(tǒng)。然而，從目前航空企業(yè)的信息系統(tǒng)安全管理來看，多數(shù)航空企業(yè)在進行信息系統(tǒng)安全管理的研究時，都是將重點集中在某一特定領(lǐng)域，通過病毒檢測系統(tǒng)、認證系統(tǒng)等對特定領(lǐng)域進行信息安全處理，并沒有一個全面完整的信息安全處理體系。

另外，國家有關(guān)部門已經(jīng)加強了對航空信息安全的重視，中國民用航空局頒布了關(guān)于管理民用航空安全信息的規(guī)定，通過將各航空企業(yè)的信息管理系統(tǒng)進行統(tǒng)一監(jiān)督，統(tǒng)籌管理全行業(yè)的信息安全管理系統(tǒng)。無論從當今形勢發(fā)展來看，還是從國家有關(guān)部門對信息系統(tǒng)安全管理的重視程度來看，建立一套完整的信息系統(tǒng)安全處理體系對于航空企業(yè)都是非常有必要的。

2 構(gòu)建航空企業(yè)信息系統(tǒng)安全處理體系

在對信息系統(tǒng)安全處理體系進行構(gòu)建時，應當遵循可行性、靈活性、擴展性等原則，使信息系統(tǒng)的安全處理能夠滿足信息的完整性、保密性和可用性。在進行信息系統(tǒng)安全處理體系構(gòu)建時，可以用到的安全技術(shù)大致包括計算機病毒防范技術(shù)、信息偵測技術(shù)、安全操作平臺技術(shù)、安全審計和入侵預警技術(shù)、內(nèi)容分級監(jiān)管技術(shù)等。

2.1 構(gòu)建航空企業(yè)信息系統(tǒng)安全處理體系的初始步驟

（1）確定控制用戶訪問的安全處理系統(tǒng)。在進行訪問權(quán)的控制時，可以設置相應的客戶端界面，利用DCE/Kerberos身份驗證機制，只要用戶輸入的個人信息得到驗證后，用戶才能進行下一步訪問。還可以設置一種封閉策略，只有得到授權(quán)的用戶才能獲得相應信息。但是，在通過限制用戶訪問來達到信息安全處理的效果時，應當注意對數(shù)據(jù)信息的最大共享原則，使用戶能夠通過客戶端獲得對所有數(shù)據(jù)的訪問權(quán)，除非是不應當開放的保密性數(shù)據(jù)。

（2）建立備份制度和事務日志制度等。對于信息系統(tǒng)而言，其安全性總會受到一定的威脅，企業(yè)在進行信息系統(tǒng)的安全處理時，還應當重視對數(shù)據(jù)的備份，使數(shù)據(jù)能夠在受到安全威脅后得到有效恢復。

（3）確定信息數(shù)據(jù)安全的最小單位。在構(gòu)建航空企業(yè)信息系統(tǒng)的安全處理體系時，可以將屬性或關(guān)系作為最小安全單位，從而滿足對信息安全性的高要求。

2.2 進一步構(gòu)建航空企業(yè)信息系統(tǒng)安全處理體系的策略

在航空企業(yè)信息管理系統(tǒng)中，安全處理內(nèi)部保密信息是很重要的，但對需要向外界公布的信息數(shù)據(jù)也不容輕視，因此僅僅依靠DCE/Kerberos身份驗證機制無法進行全面的安全處理。

（1）建立信息系統(tǒng)的自行監(jiān)控和預警機制

保障信息系統(tǒng)高效穩(wěn)定的運轉(zhuǎn)是航空企業(yè)進行各項業(yè)務的關(guān)鍵，因此，在進行信息系統(tǒng)的安全處理時，首先應當做到的就是對系統(tǒng)運行的監(jiān)控和預警，從而能夠早發(fā)現(xiàn)、早解決系統(tǒng)運行問題，避免影響航空業(yè)務的運行。

（2）應用各種安全產(chǎn)品，構(gòu)建全面的防御體系

在航空企業(yè)信息系統(tǒng)建立安全處理體系時，航空企業(yè)應當加大投入力度，建立一個全面的防御體系，從而減少安全問題的產(chǎn)生。例如，在建立防病毒、防黑客體系時，可以通過部署應用漏洞掃描軟件、防病毒軟件等安全產(chǎn)品，構(gòu)建出一個全面的防御體系，將信息系統(tǒng)的內(nèi)部運轉(zhuǎn)充分控制起來，從而能夠及早發(fā)現(xiàn)安全問題，及早解決。

（3）設置控制用戶訪問的安全處理策略

航空企業(yè)的信息系統(tǒng)在為用戶提供服務時，使用的是一種端對端的信息交流方式，因此，保障信息傳遞過程中的信息安全，防止信息遭到修改是信息安全處理的重點。SOAP協(xié)議基于XML數(shù)據(jù)結(jié)構(gòu)，它可以為用戶提供信息交換的平臺。為保護SOAP協(xié)議的安全性，進而保障信息安全，我們可以進行用戶查詢權(quán)、修改權(quán)及刪除權(quán)的設定，通過設立安全矩陣的方式將各類信息及各類人員的權(quán)限進行分類處理，從而提高信息管理系統(tǒng)的運行效率，如下表1所示。

通過這種矩陣式分類，就可以直觀地將各部門權(quán)限表現(xiàn)出來，從而達到對信息系統(tǒng)客戶端的有效管理。

（4）實現(xiàn)信息系統(tǒng)各子系統(tǒng)之間訪問管理的安全性

在信息系統(tǒng)的使用中，用戶對資源的使用往往會涉及到整個系統(tǒng)中的多數(shù)子系統(tǒng)，在訪問這些子系統(tǒng)時，系統(tǒng)需要對授權(quán)進行逐一判斷，這就會使系統(tǒng)屬性發(fā)生改變，安全隱患也就隨之而來，因此，應當建立一種訪問控制體系，用于對訪問各子系統(tǒng)信息資源的安全處理。

UCON模型，就是適應現(xiàn)代業(yè)務流程訪問控制而產(chǎn)生的新型模型，包含了主體、客體和權(quán)限三個基本元素，它將義務、條件和授權(quán)作為了決策進程的一部分，提供了一種更好的決策能力。這種模型區(qū)別于其他訪問控制模型之處就在于它的可變屬性，可變屬性可以隨著訪問對象的改變而發(fā)生改變，這種模型解決了傳統(tǒng)的訪問控制技術(shù)缺乏綜合性的問題，并涵蓋了安全和隱私兩個重要方面，是一種具有決策連續(xù)性和屬性易變性特點的訪問控制模型。通過對UCON模型和數(shù)據(jù)庫管理系統(tǒng)的綜合使用，可以有效保護信息系統(tǒng)的數(shù)據(jù)資源，并能夠在結(jié)合其他技術(shù)的基礎(chǔ)上，對計算機系統(tǒng)資源和網(wǎng)絡資源進行保護，從而達到航空企業(yè)信息系統(tǒng)安全處理的目標，防止非法訪問現(xiàn)象的發(fā)生。

2.3 構(gòu)建完善的航空企業(yè)信息系統(tǒng)安全處理體系

一個完整的信息系統(tǒng)安全處理體系，必須涵蓋了從客戶端到服務提供端，再到訪問控制端的安全處理流程。首先，對于客戶端安全處理環(huán)節(jié)的實現(xiàn)，可以借助用戶身份信息的收集和對服務返回結(jié)果的安全處理，并運用DCE/Kerberos身份驗證機制等安全平臺操作技術(shù)對信息系統(tǒng)的安全性進行管理。其次，是對服務提供端安全處理的實現(xiàn)，這一環(huán)節(jié)包括了對用戶身份的驗證和對數(shù)據(jù)傳輸?shù)陌踩幚?，可以使用SOAP協(xié)議等安全審計技術(shù)為信息系統(tǒng)提供安全保障。最后，是對訪問控制端安全處理的實現(xiàn)，這一環(huán)節(jié)可以分為對系統(tǒng)各環(huán)節(jié)的信息匹配和對訪問控制服務的安全處理，是整個信息系統(tǒng)安全處理的重要環(huán)節(jié)，在構(gòu)建系統(tǒng)安全處理體系時，可以使用UCON模型將訪問控制權(quán)具體化，并設立安全矩陣，最終達到信息系統(tǒng)安全處理的目的。

總結(jié)：

航空企業(yè)的行業(yè)特性，決定了構(gòu)建符合其行業(yè)特點的信息系統(tǒng)安全處理體系是一個復雜而繁瑣的過程，企業(yè)信息安全管理部門應當從實際出發(fā)，結(jié)合企業(yè)信息系統(tǒng)的客戶端、服務端以及數(shù)據(jù)庫對信息安全的不同要求，運用現(xiàn)代化技術(shù)，依據(jù)信息系統(tǒng)設計原則，構(gòu)建一個既能滿足共享性，又能滿足保密性的獨特的安全處理體系。另外，企業(yè)管理部門不僅要加大對技術(shù)的扶持和研發(fā)，還應當注重對企業(yè)內(nèi)部人員的信息安全教育，能夠建立一個完善的信息系統(tǒng)管理制度，從而使企業(yè)人員能夠積極進行信息系統(tǒng)的安全防護。

參考文獻：

[1]郝梁怡.淺析民航空管信息安全管理[J].中國科技縱橫，2013（12）.

[2]張云高.基于SMS關(guān)鍵要素的航空公司安全管理信息系統(tǒng)分析與設計[J].電子科技大學，2011（1）.

[3]田波，吳倩，甄浩.航空公司信息安全管理系統(tǒng)的構(gòu)建與安全保障體系研究[J].情報科學，2011（9）.

[4]白瑜.基于UCON的訪問控制的應用[J].電力學報，2012（6）.

[5]付茂沼.民用航空信息安全研究[J].中國民航飛行學院學報，2010（3）.

[6]姜鵬.民航空管信息處理系統(tǒng)的安全保障[J].中國新技術(shù)新產(chǎn)品，2011（13）.

篇9

（1）適應電力企業(yè)發(fā)展的需要，遵循現(xiàn)行電力企業(yè)管理體制；

（2）管控平臺涉及技術(shù)和管理，須對技術(shù)手段和管理手段的實現(xiàn)方式進行決擇；

（3）須考慮不同級別單位以及不同使用對象需求的側(cè)重點；

（4）管控平臺自身須具有一定安全性；

（5）基于管控平臺的工具特性，須配套推出數(shù)據(jù)初始化等服務及制度來實現(xiàn)平臺的正常運轉(zhuǎn)。

2管控平臺角色需求分析

管控平臺設置的用戶角色必須與電力企業(yè)現(xiàn)有信息安全相關(guān)組織架構(gòu)相匹配。一般來講，電力行業(yè)自身信息安全相關(guān)組織架構(gòu)包括上級信息安全主管單位、本地信息安全主管單位以及本地信息安全實施單位此外，電力行業(yè)在實際信息安全工作中，需要外部信息安全產(chǎn)品廠商、安全服務廠商、安全咨詢機構(gòu)、相關(guān)公共信息安全機構(gòu)以及科研機構(gòu)支持。管控平臺將外部信息安全產(chǎn)品廠商、安全服務廠商、安全咨詢機構(gòu)統(tǒng)一定義為外部信息安全支持單位，將相關(guān)公共信息安全機構(gòu)以及科研機構(gòu)定義為應急聯(lián)動及專家機構(gòu)。管控平臺各角色職能需求分析如下：

（1）上級信息安全主管單位上級信息安全主管單位負責企業(yè)整體信息安全保障，掌握整體信息安全態(tài)勢，評估網(wǎng)絡和信息系統(tǒng)安全機制的有效性情況。在信息安全突發(fā)事件發(fā)生時，負責事件決策、監(jiān)控、協(xié)調(diào)。

（2）本地信息安全主管單位本地信息安全主管單位負責本單位信息安全保障，掌握所轄網(wǎng)絡及其業(yè)務信息系統(tǒng)的安全態(tài)勢，協(xié)調(diào)安全事件的處理。

（3）本地信息安全實施單位本地信息安全實施單位負責本單位信息安全保障具體實施工作。在管控平臺中本地信息安全實施單位設置的角色包括負責人、安全主管、安全運維人員等，如表1所示。負責風險評估、實時監(jiān)控、應急演練、安全預警以及信息安全突發(fā)事件處置各項工作的具體實施。

（4）外部信息安全支持單位外部信息安全支持單位承擔信息安全支撐服務職能，其職責包括外部信息安全事件預警監(jiān)控，風險評估、應急演練及應急處置的外協(xié)支持等。

（5）應急聯(lián)動及專家機構(gòu)應急聯(lián)動及專家機構(gòu)由各相關(guān)公共信息安全機構(gòu)、科研機構(gòu)信息安全相關(guān)領(lǐng)域?qū)＜医M成，為電力企業(yè)信息安全保障提供技術(shù)支持和資源保障。應急聯(lián)動專家機構(gòu)人員在管控平臺中通過設置呼叫樹和專家角色，參與應急等各項事務的處置。

3系統(tǒng)功能設計

通過管控平臺的定位以及上述角色需求分析，可明確管控平臺的功能模塊設置及關(guān)系如圖1所示，下面依次對關(guān)鍵模塊內(nèi)容進行闡述。

3.1基礎(chǔ)安全數(shù)據(jù)管理

基礎(chǔ)安全數(shù)據(jù)管理模塊對企業(yè)信息系統(tǒng)相關(guān)的網(wǎng)絡設備、服務器、通用軟件等基本信息和策略配置信息，漏洞庫、事件特征庫、補丁庫、安全配置知識庫和應急響應知識庫，以及風險評估、應急演練等工作中產(chǎn)生的過程數(shù)據(jù)進行匯總存儲并詳細分類，支持多種查詢和修改。

3.2預案管理

預案管理模塊實現(xiàn)對各級單位信息安全應急預案的編制、審批、、更新，以及預案的執(zhí)行（及演練）和事件處置等功能。其中應急預案編制、審批在管控平臺上進行統(tǒng)一規(guī)范，各單位人員在管控平臺上只需要參考應急預案模板并調(diào)用本單位的實際數(shù)據(jù)內(nèi)容即可完成編制任務。預案管理模塊功能設計如圖2所示。在預案管理模塊中，應急預案執(zhí)行是一種復雜的業(yè)務流程，通?；诠ぷ髁饕鎭韺崿F(xiàn)。這種實現(xiàn)方式可確保相應的演練和事件處置活動能夠全程可監(jiān)控、可記錄。圖3是基于工作流引擎實現(xiàn)應急預案某一操作規(guī)程的實例。

3.3風險評估

風險評估模塊為各單位信息安全風險評估工作提供全過程支撐，并能夠根據(jù)評估過程和結(jié)果數(shù)據(jù)（例如將資產(chǎn)調(diào)研結(jié)果，威脅、漏洞分析等評估結(jié)果）通過內(nèi)定的矩陣型風險計算方式自動計算得出各單位總體風險和高危風險狀況，為各單位編制應急預案的方向提供依據(jù)。風險評估模塊功能設計如圖4所示。

3.4業(yè)務影響分析

業(yè)務影響分析模塊同樣是為編制應急預案提供依據(jù)，與風險評估模塊類似。但考慮到信息系統(tǒng)業(yè)務的差異性，管控平臺不對業(yè)務影響分析進行全過程管理和支撐。圖險評估模塊功能設計示意圖

3.5公告管理

公告管理模塊向管控平臺各級角色提供通知信息、瀏覽、查閱、管理功能。公告從編制、審批、到反饋的整個流程均通過管控平臺來實現(xiàn)。公告的類別包括：

（1）企業(yè)發(fā)文：企業(yè)帶正式文號的信息安全類文檔的、管理、顯示；

（2）通知通報：企業(yè)不帶正式文號但須告知各級單位的信息安全相關(guān)文檔的、管理、顯示；

（3）企業(yè)動態(tài)：企業(yè)各級單位參與的信息安全相關(guān)活動、新聞的、管理、顯示；

（4）業(yè)界安全動態(tài)：國內(nèi)外安全事件，尤其是電力行業(yè)安全相關(guān)動態(tài)的、管理、顯示。

3.6預警管理

預警管理模塊包含漏洞預警和威脅預警兩類功能，級別分為高、中、低三級。預警信息來源分為兩類，一類是國內(nèi)外安全評測機構(gòu)、廠商的安全預警及漏洞，另一類是源自風險評估模塊和業(yè)務影響分析模塊的計算結(jié)果。與公告類似，預警管理的整個流程通過管控平臺來實現(xiàn)。各單位接收到管控平臺自動發(fā)送的提示短信，登錄平臺，即可處理預警信息。

3.7安全事件管理

安全事件管理模塊對信息安全事件的分級分類以及事件響應處理進行管理。信息安全事件的分級分類基于國家有關(guān)標準與行業(yè)實際情況。安全事件響應方式分為自動響應和事件工單管理兩類。自動響應包括屏幕、郵件、聲音、工單、對話框、設備控制、短信、腳本操作、SNMPTrap等響應方式，并通過其設置實現(xiàn)自定義用戶響應策略。事件工單管理則通過與第三方統(tǒng)/平臺的接口與例如IT服務管理平臺進行聯(lián)動來實現(xiàn)。

3.8信息安全狀況監(jiān)視（應急值班室）

信息安全狀況監(jiān)視模塊可向各級人員提供不同的管理界面，分為宏觀態(tài)勢監(jiān)視與應急監(jiān)視兩類。宏觀態(tài)勢監(jiān)視能夠根據(jù)風險評估結(jié)果、安全預警信息以及當前安全狀況（是否有安全事件發(fā)生以及處理情況），對企業(yè)整體安全態(tài)勢進行研判，為安全決策提供支持。應急監(jiān)視能夠通過安全模型分析及人工比對分析，將安全事件、威脅、漏洞等數(shù)據(jù)與管控平臺中業(yè)務數(shù)據(jù)進行關(guān)聯(lián)，得出研判信息，并結(jié)合國家有關(guān)標準，為應急人員提供應急相應實施依據(jù)。信息安全狀況監(jiān)視模塊功能設計如圖5所示。

4結(jié)語

篇10

關(guān)鍵詞：信息安全；信息安全管理

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)15-3491-03

計算機、網(wǎng)絡已經(jīng)逐漸成為我們工作生活中必不可少的一部分了，企業(yè)辦公自動化已經(jīng)成為普遍現(xiàn)象。但是我們在享受信息化帶來諸多便利的同時，也要看到信息化給企業(yè)帶來的諸多不便。2011年上半年，花期銀行由于遭受黑客攻擊，二十多萬客戶資料信息外泄，為銀行和客戶帶來巨大的損失，同期國際著名的安全解決方案提供商RSA遭受黑客的惡意攻擊，對其超過五百家客戶造成潛在風險，給該企業(yè)帶來高達數(shù)百萬的損失。信息安全是企業(yè)整體安全的重要方面，一旦企業(yè)重要的信息外泄，會給企業(yè)帶來巨大的風險，甚至有可能將企業(yè)帶入破產(chǎn)的境地。

1企業(yè)信息系統(tǒng)安全的發(fā)展

隨著信息技術(shù)的產(chǎn)生，信息系統(tǒng)安全的保護也隨之而來，并且隨著信息技術(shù)的不斷更新?lián)Q代，信息系統(tǒng)安全保護的戰(zhàn)略也不斷發(fā)展，接下來我們可以簡要地分析一下信息安全系統(tǒng)的發(fā)展歷程。

信息系統(tǒng)安全的第一步是保障信息的安全，當時各個電子業(yè)務系統(tǒng)較為獨立，互聯(lián)網(wǎng)還不太流行，這時主要技術(shù)是對信息進行加密，普遍運用風險分析法來對系統(tǒng)可能出現(xiàn)的漏洞進行分析，合理地填補漏洞，消除威脅，這是一種基于傳統(tǒng)安全理念指導下的系統(tǒng)安全保護。

隨著互聯(lián)網(wǎng)技術(shù)的深入，信息系統(tǒng)安全開始逐步向業(yè)務安全轉(zhuǎn)化，開始從信息產(chǎn)業(yè)的角度出發(fā)來考慮安全狀況，此時的互聯(lián)網(wǎng)已經(jīng)成為工作生活的一個組成部分。這時候我們需要保護的不再僅僅是相關(guān)信息了，我們需要對整個業(yè)務流程進行保護，分析其可能出現(xiàn)的問題。本階段的安全防護理念關(guān)注整個業(yè)務流程的周期，對流程的每一個節(jié)點進行綜合考慮。信息保護在此時只是整個系統(tǒng)安全的一部分，是作為最為基礎(chǔ)的防護技術(shù)，除此之外，還強調(diào)對整個流程的監(jiān)控，防止某個節(jié)點可能出現(xiàn)的不安全因素，一旦出現(xiàn)任何風吹草動的現(xiàn)象我們可以立即予以控制。此外，審計技術(shù)在這個時候也被引入，通過對技術(shù)操作的跟蹤，可以對攻擊發(fā)起者進行責任追究，對攻擊者起到一種震懾的效果。

到目前為止，業(yè)務系統(tǒng)的獨立性和邊界已經(jīng)逐步弱化，系統(tǒng)間的融合更為常見。以礦業(yè)企業(yè)為例，在大型集團中，往往存在財務系統(tǒng)、生產(chǎn)系統(tǒng)、銷售系統(tǒng)、統(tǒng)計分析系統(tǒng)等，這些系統(tǒng)之間需要相互勾稽，系統(tǒng)與系統(tǒng)之間需要互相取數(shù)，因此大量的系統(tǒng)集中到了一個業(yè)務平臺中，由該平臺來提供整體服務。這樣的話，我們對于信息系統(tǒng)安全的需求也從單系統(tǒng)向多系統(tǒng)轉(zhuǎn)換，我們在關(guān)心單個系統(tǒng)安全的同時，還要對其系統(tǒng)平臺服務給予更多的關(guān)注。這樣的話，企業(yè)信息安全也開始由業(yè)務流程向服務轉(zhuǎn)換。

2企業(yè)信息安全存在的問題分析

信息安全問題我們可以將其進行進一步細分為物理、技術(shù)以及人為等三類因素。

首先來看物理方面，物理安全主要指的是機器設備以及網(wǎng)絡線路出現(xiàn)的問題。一般企業(yè)在進行信息設備設置時最先考慮的因素是人員安全，即在保證信息設備不會對企業(yè)員工人身安全造成威脅的前提下再進行設備本身考慮。信息設備一般屬于電氣設備，容易受到打雷、水電等災害的影響。如果服務器主機受到嚴重破壞，有可能導致企業(yè)整個信息系統(tǒng)崩潰。相對于其他電氣設備而言，信息設備耐壓數(shù)值比較小，企業(yè)需要其持續(xù)不斷地運行，并且磁場的干擾對網(wǎng)絡影響比較明顯，這些都對信息設備的物理安全提出了要求，需要防止可能出現(xiàn)的問題。

其次是技術(shù)方面，對于大量企業(yè)而言，可以分為內(nèi)部網(wǎng)絡和外部網(wǎng)絡，內(nèi)部網(wǎng)絡相對安全性較高。對于絕大多數(shù)企業(yè)而言，局域網(wǎng)都會通過一定途徑與外部網(wǎng)相連接。這樣內(nèi)部網(wǎng)路安全性就受到內(nèi)部網(wǎng)絡設備與外部網(wǎng)絡進行的溝通的威脅。同時，操作系統(tǒng)的安全以及應用程序的安全都是技術(shù)上所面臨的困擾。

在操作系統(tǒng)方面，我們的選擇比較狹窄，大多數(shù)企業(yè)只能選擇微軟操作系統(tǒng)，每個系統(tǒng)都存在一定的漏洞，都會造成信息的外泄。其實操作系統(tǒng)同樣是軟件，微軟為系統(tǒng)安全會不定期推出安全更新與漏洞補丁，雖然我們可以通過系統(tǒng)的Windows Update或其他輔助軟件來給系統(tǒng)修修補補，但這還不是100%的安全保證。隨著微軟在安全技術(shù)上的逐漸改進，系統(tǒng)漏洞出現(xiàn)的次數(shù)越來越少，現(xiàn)在很多黑客開始把注意力轉(zhuǎn)移到常用的第三方軟件上來，也就是要利用這些軟件的漏洞來進行攻擊。相對于操作系統(tǒng)而言，應用軟件方面我們選擇性比較大，但目前流行的各種病毒、木馬都會給我們企業(yè)的信息安全帶來極大的影響。

尤其是現(xiàn)在大部分企業(yè)都建立有自己的官方網(wǎng)站，保存著企業(yè)的重要數(shù)據(jù)和客戶資料等，而如果網(wǎng)站存在一個通用漏洞，就會被惡意的黑客攻擊，甚至黑客還會進行木馬的上傳來得到WebShell，添加隱藏超級賬號，使用遠程桌面連接等操作，從而導致網(wǎng)絡淪落為黑客手中的“肉雞”。因此，如果使用網(wǎng)站模板代碼，必須要時刻關(guān)注該網(wǎng)站模板是否有最新的漏洞被曝光，及時到官網(wǎng)上下載并打上相關(guān)的漏洞補丁程序。另外，網(wǎng)管務必要有經(jīng)常查看網(wǎng)站登錄日志的習慣，檢查后臺登錄的IP是否有異地的可疑信息，或者是否被添加了異常的管理賬號等等，永遠繃緊安全這根弦。

對局域網(wǎng)進行妥善管理，讓網(wǎng)絡運行始終安全、穩(wěn)定，一直是所有網(wǎng)絡管理員的主要職責。為了保證局域網(wǎng)的安全性，不少網(wǎng)絡管理員開動腦筋，并且不惜花費重金，“請”來了各式各樣的專業(yè)安全工具，來為局域網(wǎng)進行保駕護航。然而在實際工作過程中，如果沒有現(xiàn)成的專業(yè)安全防范工具，也可以利用客戶端系統(tǒng)自帶的安全功能，保護自己的上網(wǎng)安全。

最后是人員方面，人員是企業(yè)信息外泄的重要途徑，其中我們可以將其分為兩大類，一類是內(nèi)部人員的泄密。這往往體現(xiàn)在員工將企業(yè)核心機密通過硬盤等設備將其帶出公司信息設備，并且造成遺失等現(xiàn)象，最終導致公司機密為外界所獲取，信息安全受到嚴重威脅。另一部分是黑客攻擊，這類攻擊對公司造成的損失非常大。該行為的目標就是獲取相應的信息。隨著黑客技術(shù)的發(fā)展，傳統(tǒng)的防火墻甚至物理網(wǎng)閘斷開都難以完全避免黑客的攻擊。目前企業(yè)繁多的保護程序?qū)诳偷姆雷o效果不佳，反倒給用戶帶來了諸多不便。

3企業(yè)信息安全改進建議

3.1物理安全防護

網(wǎng)絡結(jié)構(gòu)設計直接影響到企業(yè)的信息安全，局域網(wǎng)的網(wǎng)絡拓撲設計也成了信息防護的關(guān)鍵所在，一般情況下，企業(yè)的網(wǎng)絡拓撲結(jié)構(gòu)圖如下：

圖1內(nèi)部網(wǎng)拓撲結(jié)構(gòu)圖

在整個流程中，核心交換機是關(guān)鍵，首先它必須滿足國家相關(guān)的規(guī)定標準，可以承載相應的功能。機房設計要考慮到防盜、防火等，必須實行24小時監(jiān)控。硬件防火墻是我們進行信息保護的一個重要措施，性能比軟件防火墻更為強大，這也決定了硬件防火墻的價格相對而言更為昂貴。硬件加密卡也是我們目前使用范圍比較廣泛的一個技術(shù)措施，它獨立于計算機系統(tǒng)，一般難以通過常用的軟件模擬方式來對其進行攻擊，因此獨立性能更高。通過合理配置計算機硬件保護器，我們可以將信息保護的基礎(chǔ)工作做得更加有效，能夠為控制技術(shù)風險和人為風險提供良好的基礎(chǔ)。

3.2技術(shù)安全

相對而言，技術(shù)安全是比較難以處理的，信息技術(shù)的發(fā)展非常迅速，我們難以面對層出不窮的網(wǎng)絡技術(shù)攻擊做出完全有效的防御，需要及時改變技術(shù)防御措施。

3.2.1數(shù)字簽名和加密技術(shù)

在網(wǎng)絡中，我們可以不斷發(fā)展傳統(tǒng)的數(shù)字簽名和加密技術(shù)，防止黑客的多種入侵。

我們可以以數(shù)字簽名為例，通過設定數(shù)字簽名，用戶在進行各種操作時會打上自身的印記，可以防止除授權(quán)者以外的修改，能夠極大地提高整體的安全系數(shù)，抵御黑客的攻擊。在這個程序中，我們需要予以關(guān)注的是數(shù)字證書的獲取，一般有以下三個途徑：a使用相關(guān)軟件創(chuàng)建自身的數(shù)字證書；b從商業(yè)認證授權(quán)機構(gòu)獲取；c從內(nèi)部專門負責認證安全管理機構(gòu)獲取。

3.2.2入侵防護系統(tǒng)（IPS）

傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡流量，但仍然允許某些流量通過，因此防火墻對于很多入侵攻擊仍然無計可施。絕大多數(shù)IDS系統(tǒng)都是被動的，而入侵防護系統(tǒng)(IPS)則傾向于提供主動防護，其設計宗旨是預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS是通過直接嵌入到網(wǎng)絡流量中實現(xiàn)這一功能的，即通過一個網(wǎng)絡端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認其中不包含異常活動或可疑內(nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設備中被清除掉。

3.2.3統(tǒng)一威脅管理（UTM）

美國著名的IDC對統(tǒng)一威脅管理(UTM)安全設備的定義的是由硬件、軟件和網(wǎng)絡技術(shù)組成的具有專門用途的設備，它主要提供一項或多項安全功能。它將多種安全特性集成于一個硬設備里，構(gòu)成一個標準的統(tǒng)一管理平臺。UTM設備應該具備的基本功能包括網(wǎng)絡防火墻、網(wǎng)絡入侵檢測/防御和網(wǎng)關(guān)防病毒功能。這幾項功能并不一定要同時都得到使用，不過它們應該是UTM設備自身固有的功能。

UTM安全設備也可能包括其它特性，例如安全管理、日志、策略管理、服務質(zhì)量(QoS)、負載均衡、高可用性(HA)和報告帶寬管理等。不過，其它特性通常都是為主要的安全功能服務的。

3信息安全管理

這主要是針對人員管理而設定的，是企業(yè)內(nèi)部管理流程的一個重要方面，這是企業(yè)內(nèi)部管控制度的一個重要組成方面。

每個企業(yè)都要有明確的硬件設備管理制度，專人負責保管，監(jiān)督審查，確保硬件使用的合理和安全性。其次要對操作人員進行足夠的培訓，要求每一個使用人員都了解應當進行的合理操作，明白可能存在的網(wǎng)絡安全隱患。第三要對數(shù)據(jù)保管有明確的責任和制度，防止大量數(shù)據(jù)的丟失，導致公司整體系統(tǒng)癱瘓。

為了進一步加強和規(guī)范計算機信息系統(tǒng)安全，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室于2007年6月和7月聯(lián)合頒布了《信息安全等級保護管理辦法》和《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》，并召開了全國重要信息系統(tǒng)安全等級保護定級工作部署專題電視電話會議，標志著我國信息安全等級保護制度歷經(jīng)十多年的探索正式開始實施。

建立計算機信息系統(tǒng)安全等級保護制度，是我國計算機信息系統(tǒng)安全保護工作中的一件大事，它直接關(guān)系到各行各業(yè)的計算機信息系統(tǒng)建設和管理，是一項復雜的社會化的系統(tǒng)工程，需要社會各界的共同參與。大中型企業(yè)應該認真學習《信息安全等級保護管理辦法》及相關(guān)技術(shù)標準規(guī)范，大力開展培訓工作，落實好信息網(wǎng)絡安全管理、安全技術(shù)、信息安全等崗位人員的繼續(xù)教育培訓，不斷提高信息安全等級保護的能力與水平。

4結(jié)束語

在我們進行企業(yè)信息安全管理過程中，企業(yè)及企業(yè)員工是否對信息安全工作有足夠的認識十分重要，企業(yè)領(lǐng)導和上層應該對企業(yè)信息安全工作給予必要的關(guān)注，企業(yè)信息安全不能僅僅依靠專業(yè)的IT技術(shù)人員，它需要我們?nèi)w企業(yè)員工的共同努力。

參考文獻：

[1]孫博.企業(yè)信息安全及相關(guān)技術(shù)概述[J].科技創(chuàng)新導報,2009(04).

[2]徐國芹.淺議如何建立企業(yè)信息安全體系架構(gòu)[J].中國高新技術(shù)企業(yè),2009(5).

[3]王東.“北京移動案”暴露信息安全管理軟肋[J].中國新通信,2006(6).

[4]吳輝.淺談企業(yè)信息安全管理方案[J].科技情報開發(fā)與經(jīng)濟,2010(25).

[5]徐新件,朱健華.關(guān)于企業(yè)網(wǎng)絡信息安全管理問題研究[J].供電企業(yè)管理,2008(2).

[6]汪紅梅.我國信息安全保障體系存在的問題及對策芻議[J].信息網(wǎng)絡安全,2008(2).

[7]盛玉.檔案信息安全與安全保障體系內(nèi)容的關(guān)系分析[J].網(wǎng)絡財富,2009(12).