序言：寫作是分享個人見解和探索未知領域的橋梁，我們?yōu)槟x了8篇的企業(yè)信息安全管理體系樣本，期待這些樣本能夠為您提供豐富的參考和啟發(fā)，請盡情閱讀。

第1篇

 

1、 引言

 

隨著信息化建設的發(fā)展，信息安全越來越多的受到人們的重視，企業(yè)信息安全重點面臨的問題主要表現(xiàn)在[1]：1)網(wǎng)絡受到外部的惡意攻擊，部分單位無終端接入控制措施，使企業(yè)的正常業(yè)務無法開展或相關重要數(shù)據(jù)被盜取;2)網(wǎng)站受到黑客攻擊，由于部分掌握網(wǎng)絡技術的不法人員查詢到破解網(wǎng)站所存在的漏洞，加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權限，使得網(wǎng)站陷入癱瘓;3)信息的監(jiān)管不利產(chǎn)生不良的影響，通常情況下信息沒有主管部門負責審核導致監(jiān)管不到位，那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上，造成不良影響;4)計算機病毒的危害，相關系統(tǒng)不及時更新補丁和升級，受到病毒入侵并加以利用，篡改應用系統(tǒng)信息或獲取管理權限，使得應用系統(tǒng)丟失重要信息。

 

當前，有關信息系統(tǒng)的安全評價雖然存在著多種多樣的具體實踐方式，但在目前還沒有形成系統(tǒng)化和形式化的評價理論和方法。評價模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數(shù)學，而評價方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結合，建立了安全評價體系，并運用隸屬函數(shù)和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統(tǒng)安全的某一個方面出發(fā)，如技術、管理、過程、人員等，著重于評估網(wǎng)絡系統(tǒng)安全某一方面的實踐規(guī)范。在操作上主觀隨意性較強，其評估過程主要依靠測試者的技術水平和對網(wǎng)絡系統(tǒng)的了解程度，缺乏統(tǒng)一的、系統(tǒng)化的安全評估框架，很多評估準則和指標沒有與被評價對象的實際運行情況和信息安全保障的效果結合起來。

 

大型企業(yè)信息安全管理體系的研究，就是為了尋找一個科學、合理的管理體系，并根據(jù)該體系和方法對大型企業(yè)的信息安全狀況和水平進行評價，對信息安全管理績效進行考核。

 

2、 大型企業(yè)信息安全管理體系的內涵

 

通過管理體系的應用，將對大型企業(yè)信息安全產(chǎn)生非常重要的作用。一是可以對企業(yè)信息安全的水平做出客觀的反應，認識企業(yè)信息安全存在的不足之處，發(fā)揮考評體系的指導作用，引導企業(yè)“信息安全”工作健康科學發(fā)展;二是可以為企業(yè)信息安全的建設指明方向，為信息安全的發(fā)展提供有力支撐;三是可以幫助企業(yè)管理者建立起一套科學的信息安全管理系統(tǒng)，有效控制信息化活動的進程，提高信息安全級別，減少因信息安全事件引起的損失，有利于正確引導和規(guī)范企業(yè)的信息化建設，指導企業(yè)科學發(fā)展具有重要的意義。

 

3、 大型企業(yè)信息安全管理體系的主要做法

 

為了大型企業(yè)信息安全管理體系的建立，提出了管理體系的目標：對于信息安全方面出現(xiàn)的問題，達到防范目的;對于信息安全工作進行查漏補缺，加強管理;通過評估體系的考核，落實相關信息安全文件、推進信息安全工作，為企業(yè)信息安全的建設指明方向，同時注重管理體系整體的時效性，根據(jù)信息安全發(fā)展的不同階段進行及時更新。

 

1) 建立大型企業(yè)信息安全體系

 

信息安全體系總體設計。信息安全體系設計共分為三級，包含9個一級指標，14個二級指標，27個三級指標。一級指標和二級指標為共性指標，三級指標為數(shù)據(jù)采集項。一級指標包括：網(wǎng)絡安全管理、環(huán)境安全管理、應用系統(tǒng)安全管理、數(shù)據(jù)安全管理、終端安全管理、操作安全管理、網(wǎng)絡信息安全、移動信息化安全、服務器掃描情況。一級和二級指標結構圖如下：

 

2)信息安全考評指標的權重設計

 

指標權重理論思路。具體權重根據(jù)德爾菲法[4]、層次分析法，結合政策導向確定。

 

管理體系的指標權重確定方法設計過程中，選取兩組技術、管理等方面的專家，其中一組專家根據(jù)各指標在企業(yè)信息化中的重要程度，確定各指標的相對重要性，采用層次分析法確定各指標的權重。另外一組專家根據(jù)各指標在企業(yè)信息化中的重要程度，對各指標按百分制進行賦值，確定各指標的權重。綜合兩組專家的意見，初步確定各指標的權重，再組織專家研討會，最終確定各指標的權重。

 

企業(yè)信息安全考評指標總分計算方法：

 

I=Σ(Pi*Wi) (1)

 

I表示指標體系的總得分;Pi表示第i個指標的得分，各指標得滿分都是100分;Wi表示第i個指標的權重，所有指標權重的和為100%。

 

3)建設大型企業(yè)信息化評價管理系統(tǒng)

 

為了實施信息安全措施體系，以信息安全體系、信息安全文件和考評制度為基礎，研發(fā)包括信息安全在內的大型企業(yè)信息化評價管理系統(tǒng)。通過使用該系統(tǒng)，將減輕信息化管理部門的負擔，填報和匯總數(shù)據(jù)的效率顯著提高，最為突出的是以上報數(shù)據(jù)為基礎，可以自動、實時地形成各種統(tǒng)計、分析圖表，從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計工作，大大減輕了信息化管理部門的工作強度，增加了信息化管理部門對新情況快速反應能力。

 

系統(tǒng)整體架構由數(shù)據(jù)庫層、框架服務層、應用邏輯層、界面表現(xiàn)層組成，系統(tǒng)部署了tomcat下運行的I@Report和BI@Report作為框架服務層，并在此基礎上開發(fā)了業(yè)務系統(tǒng)。

 

系統(tǒng)主要實現(xiàn)了如下功能：

 

編碼同步、基層權限管理、評價初始化、基層初評、數(shù)據(jù)提交、部門權限管理(含單位、指標項)、管理部門復評、信息稽核、數(shù)據(jù)計算、統(tǒng)計管理、查詢管理、決策模型。

 

建立統(tǒng)一的數(shù)據(jù)報送平臺，提高企業(yè)信息整合水平。

 

建立在線交流及公告平臺。

 

系統(tǒng)根據(jù)建立的數(shù)學模型進行綜合分析，可自動、實時地形成各種統(tǒng)計分析圖表、報告等，例如：信息化評級、信息化水平評測報告。

 

4、 結束語

 

通過大型企業(yè)信息安全管理體系的實施，使企業(yè)信息化水平評估體系更加完善，在考評信息化建設水平的同時，又對信息安全水平等級有所提升。

第2篇

關鍵詞:信息安全管理對策

信息安全隨著信息技術的發(fā)展而產(chǎn)生，并且其重要性日益凸現(xiàn)出來，信息安全的內涵也隨著計算機技術的發(fā)展而不斷變化，進入二十一世紀以來，信息安全的重點放在了保護信息，確保信息在存儲，處理，傳輸過程中及信息系統(tǒng)不被破壞，確保對合法用戶的服務和限制非授權用戶的服務，以及必要的防御攻擊的措施。即強調信息的保密性、完整性、可用性、可控性。

一、電力企業(yè)信息安全風險分析

隨著企業(yè)的生產(chǎn)指揮，經(jīng)營管理等經(jīng)營活動越來越依賴于計算機信息系統(tǒng)，如果這些系統(tǒng)遭到破壞，造成數(shù)據(jù)損壞，信息泄漏，不能提供服務等問題，則將對電網(wǎng)的安全運行，電力企業(yè)的生產(chǎn)管理以及經(jīng)濟效益等造成不可估量的損失，高技術在帶來便利與效率的同時，也帶來了新的安全風險和問題。

1、電力公司信息安全的主要風險分析

信息安全風險和信息化應用情況密切相關，和采用的信息技術也密切相關，電力公司信息系統(tǒng)面臨的主要風險存在于如下幾個方面:

（1）計算機病毒的威脅最為廣泛：計算機病毒自產(chǎn)生以來，一直就是計算機系統(tǒng)的頭號敵人，在電力企業(yè)信息安全問題中，計算機病毒發(fā)生的頻度大，影響的面寬，并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡通信阻塞，系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞，系統(tǒng)無法提供服務甚至破壞后無法恢復，特別是系統(tǒng)中多年積累的重要數(shù)據(jù)的丟失，損失是災難性的。

在目前的局域網(wǎng)建成，廣域網(wǎng)聯(lián)通的條件下，計算機病毒的傳播更加迅速，一臺計算機感染病毒，在兩三天內可以感染到區(qū)域內所有單位的計算機系統(tǒng)。病毒傳播速度，感染和破壞規(guī)模與網(wǎng)絡尚未聯(lián)通之時相比，高出幾個數(shù)量級。

（2）網(wǎng)絡安全問題日益突出：企業(yè)網(wǎng)絡的聯(lián)通為信息傳遞提供了方便的途徑。企業(yè)有許多應用系統(tǒng)如:辦公自動化系統(tǒng)，用電營銷系統(tǒng)，遠程教育培訓系統(tǒng)等，通過廣域網(wǎng)傳遞數(shù)據(jù)。企業(yè)開通了互聯(lián)網(wǎng)專線寬帶上網(wǎng)，企業(yè)內部職工可以通過互聯(lián)網(wǎng)方便地收集獲取信息，發(fā)送電子郵件等。

網(wǎng)絡聯(lián)通也帶來了網(wǎng)絡安全問題。企業(yè)內部廣域網(wǎng)上的用戶數(shù)量多且難于進行管理，互聯(lián)網(wǎng)更是連接到國際上的各個地方，什么樣的用戶都有。內部網(wǎng)，互聯(lián)網(wǎng)上的一些用戶出于好奇的心理，或者蓄意破壞的動機，對電力公司網(wǎng)絡上的連接的計算機系統(tǒng)和設備進行入侵，攻擊等，影響網(wǎng)絡上信息的傳輸，破壞軟件系統(tǒng)和數(shù)據(jù)，盜取企業(yè)商業(yè)秘密和機密信息，非法使用網(wǎng)絡資源等，給企業(yè)造成巨大的損失。更有極少數(shù)人利用網(wǎng)絡進行非法的，影響國家安定團結的活動，造成很壞的影響。

如何加強網(wǎng)絡的安全防護，保護企業(yè)內部網(wǎng)上的信息系統(tǒng)和信息資源的安全，保證對信息網(wǎng)絡的合法使用，是目前一個熱門的安全課題，也是電力企業(yè)面臨的一個非常突出的安全問題。

（3）信息傳遞的安全不容忽視：隨著辦公自動化，財務管理系統(tǒng)，用電營銷系統(tǒng)等生產(chǎn)，經(jīng)營方面的重要系統(tǒng)投入在線運行，越來越多的重要數(shù)據(jù)和機密信息都通過企業(yè)的內部廣域網(wǎng)來傳輸。同時電力公司和外部的政府，研究院所，以及國外有關公司都有著許多的工作聯(lián)系，日常許多信息，數(shù)據(jù)都需要通過互聯(lián)網(wǎng)來傳輸。

網(wǎng)絡中傳輸?shù)倪@些信息面臨著各種安全風險，例如被非法用戶截取從而泄露企業(yè)機密;被非法篡改，造成數(shù)據(jù)混亂，信息錯誤從而造成工作失誤。非法用戶還有可能假冒合法身份，發(fā)送虛假信息，給正常的生產(chǎn)經(jīng)營秩序帶來混亂，造成破壞和損失。因此，信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。

（4）用戶身份認證和信息系統(tǒng)的訪問控制急需加強：企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用，信息系統(tǒng)中包含的信息和數(shù)據(jù)，也只對一定范圍的用戶開放，沒有得到授權的用戶不能訪問。為此各個信息系統(tǒng)中都設計了用戶管理功能，在系統(tǒng)中建立用戶，設置權限，管理和控制用戶對信息系統(tǒng)的訪問。這些措施在一定能夠程度上加強系統(tǒng)的安全性。但在實際應用中仍然存在一些問題。

一是部分應用系統(tǒng)的用戶權限管理功能過于簡單，不能靈活實現(xiàn)更細的權限控制，甚至簡單到要么都能看，要么都不能看。二是各應用系統(tǒng)沒有一個統(tǒng)一的用戶管理，企業(yè)的一個員工要使用到好幾個系統(tǒng)時，在每個應用系統(tǒng)中都要建立用戶賬號，口令和設置權限，用戶自己都記不住眾多的賬號和口令，使用起來非常不方便，更不用說賬號的有效管理和安全了。

如何為各應用系統(tǒng)提供統(tǒng)一的用戶管理和身份認證服務，是我們開發(fā)建設應用系統(tǒng)時必須考慮的一個共性的安全問題。

（5）實時控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡的安全至關重要：電網(wǎng)的調度指揮，自動控制，微機保護等領域的計算機應用在電力企業(yè)中起步早，應用水平高，不但實現(xiàn)了對電網(wǎng)運行狀況的實時監(jiān)視，還實現(xiàn)了對電網(wǎng)一次設備的遙控，遙調以及保護設備的遠方管理。隨著數(shù)據(jù)網(wǎng)的建設和應用，這些電網(wǎng)監(jiān)視和控制方面的系統(tǒng)逐步從采用專線通道傳輸數(shù)據(jù)轉移到通過數(shù)據(jù)網(wǎng)絡來傳送數(shù)據(jù)和下發(fā)控制指控令。由于這些計算機系統(tǒng)可以直接管理和操作控制電網(wǎng)一次設備，系統(tǒng)的安全可靠，數(shù)據(jù)網(wǎng)的安全可靠，信息指令傳輸?shù)膶崟r性等直接關系著電網(wǎng)的安全，其安全等級要求高于一般的廣域網(wǎng)系統(tǒng)。

同時，這些電網(wǎng)控制和監(jiān)視系統(tǒng)中的許多信息又是生產(chǎn)指揮，管理決策必不可少的，需要通過和生產(chǎn)管理局域網(wǎng)互聯(lián)，將數(shù)據(jù)傳送生產(chǎn)管理信息系統(tǒng)中，供各級領導和各專業(yè)管理人員察看，使用。數(shù)據(jù)網(wǎng)和生產(chǎn)管理局域網(wǎng)的互聯(lián)帶來了不同安全等級的網(wǎng)絡互連的安全問題。

（6）電子商務的安全逐步提上議事日程：隨著計算機信息系統(tǒng)在電力市場，用電營銷，財務管理等業(yè)務中的深入應用，電子商務在電力企業(yè)的應用開始起步。例如:電力市場系統(tǒng)中發(fā)電廠和電網(wǎng)公司之間的報價，電力交易，電費結算等都將通過計算機信息系統(tǒng)來實現(xiàn)和完成，這可以視為電子商務中常提到的B2B模式。用電營銷系統(tǒng)中的電費計費結算，用戶買電交費，銀電聯(lián)網(wǎng)代收電費等，是典型的電力公司和用戶之間的電子交易，可以視為電子商務中的B2C模式;以后還有物資采購等方面的電子商務系統(tǒng)。

隨著電子商務在電力企業(yè)中的應用逐步推廣和深入，如何保障電子交易的安全，可靠，即電子商務安全問題也會越來越突出。

二、解決信息安全問題的基本原則

統(tǒng)籌規(guī)劃，分步實施。要建立完整的信息安全防護體系，絕不能一哄而上，必須分清需求的輕重緩急，根據(jù)信息化建設的發(fā)展，結合信息系統(tǒng)建設和應用的步伐，統(tǒng)一規(guī)劃，分步建設，逐步投資。

轉貼于 　1、做好安全風險的評估。進行安全系統(tǒng)的建設，首先必須做好安全狀況評估分析，評估應聘請專業(yè)信息安全咨詢公司，并組織企業(yè)內部信息人員和專業(yè)人員深度參與，全面進行信息安全風險評估，找出問題，確定需求，制定策略，再來實施，實施完成后還要定期評估和改進。

信息安全系統(tǒng)建設著重點在安全和穩(wěn)定，應盡量采用成熟的技術和產(chǎn)品，不能過分求全求新。

培養(yǎng)信息安全專門人才和加強信息安全管理工作必須與信息安全防護系統(tǒng)建設同步進行，才能真正發(fā)揮信息安全防護系統(tǒng)和設備的作用。

2、采用信息安全新技術，建立信息安全防護體系

企業(yè)信息安全面臨的問題很多，我們可以根據(jù)安全需求的輕重緩急，解決相關安全問題的信息安全技術的成熟度綜合考慮，分步實施。技術成熟的，能快速見效的安全系統(tǒng)先實施

3、計算機防病毒系統(tǒng)

計算機防病毒系統(tǒng)是發(fā)展時間最長的信息安全技術，從硬件防病毒卡，單機版防病毒軟件到網(wǎng)絡版防病毒軟件，到企業(yè)版防病毒軟件，技術成熟且應用效果非常明顯。防病毒軟件系統(tǒng)的應用基本上可以防治絕大多數(shù)計算機病毒，保障信息系統(tǒng)的安全。

在目前的網(wǎng)絡環(huán)境下，能夠提供集中管理，服務器自動升級，客戶端病毒定義碼自動更新，支持多種操作系統(tǒng)平臺，多種應用平臺殺毒的企業(yè)版殺毒軟件，是電網(wǎng)公司這樣的大型企業(yè)的首選。個人版本的殺毒軟件適合家庭，小規(guī)模用戶。

4、網(wǎng)絡安全防護系統(tǒng)

信息資源訪問的安全是信息安全的一個重要內容，在信息系統(tǒng)建設的設計階段，就必須仔細分析，設計出合理的，靈活的用戶管理和權限控制機制，明確信息資源的訪問范圍，制定信息資源訪問策略。

對于已經(jīng)投入使用的信息系統(tǒng)，可以通過采用增加安全訪問網(wǎng)關的方法，來增強原有系統(tǒng)的用戶管理和對信息資源訪問的控制，以及實現(xiàn)單點登陸訪問任意系統(tǒng)等功能。這種方式基本上不需要改動原來的系統(tǒng)，實施的技術難度相對小一些。對于新建系統(tǒng)，則最好采用統(tǒng)一身份認證平臺技術，來實現(xiàn)不同系統(tǒng)通過同一個用戶管理平臺實現(xiàn)用戶管理和訪問控制。

5、開展信息安全專題研究，為將來的應用做好準備

電網(wǎng)實時監(jiān)視與控制系統(tǒng)的安全問題要求更高，技術難度更大，應開展專題研究。

國家有關部門和電力企業(yè)對電網(wǎng)實時監(jiān)視與控制系統(tǒng)的安全問題高度重視，專門發(fā)文要求確保電網(wǎng)二次系統(tǒng)的計算機和網(wǎng)絡系統(tǒng)的安全，要實現(xiàn)調度控制系統(tǒng)，數(shù)據(jù)網(wǎng)與其他生產(chǎn)管理系統(tǒng)和網(wǎng)絡的有效隔離，甚至是物理隔離。

6、電子商務安全需要深入研究和逐步應用

電子商務的安全牽涉很多方面，包括嚴格，安全的身份的認證技術，對涉及商業(yè)機密的信息實現(xiàn)加密傳輸，采取數(shù)字簽名技術保證合同和交易的完整性及不可否認性等。這些方面又與信息安全基礎技術平臺密切相關，因此安全基礎平臺的建設對于電子商務的安全應用是至關重要的。目前已經(jīng)有電子商務的應用系統(tǒng)投入在線使用，我們必須加快對電子商務的安全的研究和應用，否則將來會出現(xiàn)因電子在線交易不安全，不可靠的而導致電子商務系統(tǒng)無人敢用的局面。

7、依據(jù)法規(guī)，遵循標準，提高安全管理水平

信息安全的管理包括了法律法規(guī)的規(guī)定，責任的分化，策略的規(guī)劃，政策的制訂，流程的制作，操作的審議等等。雖然信息安全"七分管理，三分技術"的說法不是很精確，但管理的作用可見一斑。

三、解決信息安全問題的思路與對策

電力企業(yè)的信息安全管理相對來說還是一個較新的話題，國內其他電力企業(yè)也在積極研究和探討，以下是一些粗淺的看法。

1、依據(jù)國家法律，法規(guī)，建立企業(yè)信息安全管理制度

國家在信息安全方面了一系列的法律法規(guī)和技術標準，對信息網(wǎng)絡安全進行了明確的規(guī)定，并有專門的部門負責信息安全的管理和執(zhí)法。企業(yè)首先必須遵守國家的這些法律法規(guī)和技術標準，企業(yè)也必須依據(jù)這些法律法規(guī)，來建立自己的管理標準，技術體系，指導信息安全工作。學習信息安全管理國際標準，提升企業(yè)信息安全管理水平

國際上的信息技術發(fā)展和應用比我們先進，在信息安全領域的研究起步比我們更早，取得了很多的成果和經(jīng)驗，我們可以充分利用國際標準來指導我們的工作，提高水平，少走彎路。

信息安全是企業(yè)信息化工作中一項重要而且長期的工作，為此必須各單位建立一個信息安全工作的組織體系和常設機構，明確領導，設立專責人長期負責信息安全的管理工作和技術工作，長能保證信息安全工作長期的，有效的開展，才能取得好的成績。

2、開展全員信息安全教育和培訓活動

安全意識和相關技能的教育是企業(yè)安全管理中重要的內容，信息安全不僅僅是信息部門的事，它牽涉到企業(yè)所有的員工，為了保證安全的成功和有效，應當對企業(yè)各級管理人員，用戶，技術人員進行安全培訓，減少人為差錯，失誤造成的安全風險。

開展安全教育和培訓還應該注意安全知識的層次性，主管信息安全工作的負責人或各級管理人員，重點是了解，掌握企業(yè)信息安全的整體策略及目標，信息安全體系的構成，安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等;用戶，重點是學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責等。

3、充分利用企業(yè)網(wǎng)絡條件，提供全面，及時和快捷的信息安全服務

山東省電力公司廣域網(wǎng)聯(lián)通了系統(tǒng)內的各個二級單位，各單位的局域網(wǎng)全部建成，在這種良好的網(wǎng)絡條件下，作為省公司一級的信息安全技術管理部門應建立計算機網(wǎng)絡應急處理的信息與技術支持平臺，安全公告，安全法規(guī)和技術標準，提供安全軟件下載，搜集安全問題，解答用戶疑問，提供在線的信息安全教育培訓，并為用戶提供一個相互交流經(jīng)驗的場所。網(wǎng)絡方式的信息服務突破了時間，空間和地域的限制，是信息安全管理和服務的重要方式。

4、在發(fā)展中求安全

沒有百分之百安全的技術和防護系統(tǒng)黑客技術，計算機病毒等信息安全攻擊技術在不斷發(fā)展的，人們對它們的認識，掌握也不是完全的，安全防護軟件系統(tǒng)由于技術復雜，在研制開發(fā)過程中不可避免的會出現(xiàn)這樣或者那樣的問題，這勢必決定了安全防護系統(tǒng)和設備不可能百分百的防御各種已知的，未知的信息安全威脅。

不是所有的信息安全問題可以一次解決

人們對信息安全問題的認識是隨著技術和應用的發(fā)展而逐步提高的，不可能一次就發(fā)現(xiàn)所有的安全問題。信息安全生產(chǎn)廠家所生產(chǎn)的系統(tǒng)和設備，也僅僅是滿足某一些方面的安全需求，不是企業(yè)有某一方面的信息安全需求，市場上就有對應的成熟產(chǎn)品，因此不是所有的安全問題都可以找到有效的解決方案。

第3篇

關鍵詞：信息安全；等級保護；漏洞掃描

中圖分類號：TP315 文獻標識碼：A 文章編號：1007-9599 (2011) 23-0000-02

Use Vulnerability Scanning System to Improve the Level of Power Supply Enterprise Information Security Management

Chen Wan

(Guangdong Power Grid Corporation,Shantou Power Supply Bureau,Shantou 515041,China)

Abstract:The building vulnerability scanning system,and regulate their use of processes,thereby enhancing the power supply enterprise level and effectiveness of information security management.Shantou Power Supply Bureau introduced the use of the IDC deployment vulnerability scanning system,set up the server was added to the process specifications,thereby enhancing the information security management.

Keywords:Information security;Protection Level;Vulnerability scanning

引言：伴隨著信息化的高速發(fā)展，信息安全的形勢日趨復雜和嚴峻。國家政府對信息安全高度關注，信息安全等級保護是我國在新的信息安全形勢下推行的一項國家制度，國家相關部門高度重視等級保護制度的落實與執(zhí)行。信息系統(tǒng)是業(yè)務系統(tǒng)的支持平臺，信息系統(tǒng)的安全是承載業(yè)務系統(tǒng)安全的基礎，而在信息系統(tǒng)等級保護中，安全技術測評包括五個部分：分別是物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復。其中所涉及到的主機系統(tǒng)安全控制點包括：身份鑒別、安全標記、訪問控制、可信路徑、安全審計、入侵防范、惡意代碼防范和資源控制等九個控制點。怎么提前做好風險控制，利用現(xiàn)有的信息安全工具，規(guī)范信息系統(tǒng)主機上架前的檢測，對信息安全的管理是一種創(chuàng)新的嘗試，也是安全管理中位于未雨綢繆的體現(xiàn)。

一、漏洞掃描系統(tǒng)的構建

（一）漏洞掃描工具的作用

漏洞掃描工具采用高效、智能的漏洞識別技術，第一時間主動對網(wǎng)絡中的資產(chǎn)進行細致深入的漏洞檢測、分析，并提供專業(yè)、有效的漏洞防護建議。

我們采用的漏洞掃描工具的管理是基于Web的管理方式，用戶使用瀏覽器通過SSL加密通道和系統(tǒng)Web界面模塊進行交互，采用模塊化設計。具有優(yōu)化的專用安全系統(tǒng)平臺，具有很高的安全性和穩(wěn)定性。其專用硬件能夠長期穩(wěn)定地運行，很好地保證了任務的周期性自動處理。能夠自動處理的任務包括：評估任務下發(fā)、掃描結果自動分析、處理和發(fā)送、系統(tǒng)檢測插件的自動升級等。同時支持多用戶管理模式，能夠對用戶的權限做出嚴格的限制，通過權限的劃分可以實現(xiàn)一臺設備多人的虛擬多機管理，并且提供了登錄、操作和異常等日志審計功能，方便用戶對系統(tǒng)的審計和控制。

在每次安全評估之前，用戶需要根據(jù)自己的業(yè)務系統(tǒng)確定需要進行評估的資產(chǎn)，并且劃分資產(chǎn)的重要性。漏洞掃描系統(tǒng)根據(jù)用戶的資產(chǎn)及其重要性會自動在其內部對目標評估系統(tǒng)建立基于時間和基于風險等多種安全評估模型。在對目標完成評估之后，模型輸出的結果數(shù)據(jù)不但有定性的趨勢分析，而且有定量的風險分析，用戶能夠清楚地看到單個資產(chǎn)、整個網(wǎng)絡的資產(chǎn)存在的風險，還能夠看到網(wǎng)絡中漏洞的分布情況、風險級別排名較高的資產(chǎn)、不同操作系統(tǒng)和不同應用漏洞分布等詳細統(tǒng)計信息，用戶能夠很直觀地了解自己網(wǎng)絡安全狀況。

（二）漏洞掃描工具的部署

針對汕頭供電局的網(wǎng)絡情況，使用獨立式部署方式。獨立式部署就是在網(wǎng)絡中部署一臺漏洞掃描設備。在共享式工作模式下，只要將設備接入網(wǎng)絡并進行正確的配置即可正常使用，其工作范圍通常包含汕頭供電局的整個網(wǎng)絡地址，用戶登錄系統(tǒng)并下達掃描任務。下圖是漏洞掃描系統(tǒng)獨立式部署模式圖。從圖中可以看出，無論在汕頭供電局何處接入設備，網(wǎng)絡都能正常工作，完成對網(wǎng)絡的安全評估。

圖1：漏洞掃描系統(tǒng)獨立式部署模式圖

（三）漏洞掃描工具的定位

1.利用漏洞掃描工具定期對網(wǎng)絡信息系統(tǒng)進行掃描，以便主動發(fā)現(xiàn)存在的安全隱患和防護漏洞。

2.巡檢服務中對操作系統(tǒng)修補、加固和優(yōu)化，根據(jù)提供出來的評估報告對相關系統(tǒng)進行打補丁、升級、修補、加固和優(yōu)化，提供詳細操作報告。

3.巡檢服務過程中針對網(wǎng)絡設備安全加固和優(yōu)化；進行修補和加固，按照安全策略進行安全配置和優(yōu)化，提供詳細操作報告。包括：網(wǎng)絡設備的安全配置，網(wǎng)絡設備的安全加固，網(wǎng)絡設備的優(yōu)化配置等。

4.檢服務過程中對網(wǎng)絡安全設備，對所有網(wǎng)絡邊界進行梳理，對邊界安全防護系統(tǒng)的策略進行優(yōu)化。通過綜合應用防火墻、IPS、防病毒網(wǎng)關等網(wǎng)絡安全系統(tǒng)，在區(qū)域邊界實施嚴密的控制措施，盡量在邊界阻斷來自區(qū)域外的安全威脅，從而最大化地提高電力信息數(shù)據(jù)的安全性和電力信息系統(tǒng)的可用性。

5.巡檢服務過程中在安全評估的基礎上，對桌面終端和服務器系統(tǒng)中存在的安全漏洞進行修復。對于無法修復的漏洞，評價其可能帶來的安全風險，并采用周邊網(wǎng)絡防護系統(tǒng)（如防火墻、IPS等）阻斷可能的攻擊，或通過監(jiān)控等手段對該風險進行控制管理。

二、服務器上架漏洞掃描規(guī)范編寫

按照信息安全工作實際需要，以“制度化管理、規(guī)范化操作”為原則，完善信息安全管理策略規(guī)范，理順信息工作內部安全控制流程規(guī)范，不斷增強網(wǎng)絡與信息安全整體管控效能。為更好的保障汕頭供電局信息網(wǎng)絡的安全、穩(wěn)定運行，使得漏洞掃描工具能真正的用到實處，特制訂漏洞系統(tǒng)管理流程。如下圖：

圖2：每季度漏洞掃描流程圖

圖3：新服務器上架前漏洞掃描流程圖

（一）漏洞掃描管理員的職責

負責漏洞掃描軟件（包括漏洞庫）的管理、更新和公布；

負責查找修補漏洞的補丁程序，及時提出漏洞修復方案；

密切注意最新漏洞的發(fā)生、發(fā)展情況，關注和追蹤業(yè)界公布的漏洞疫情；

每季度第一個月1-4日期間（節(jié)假日順推）進行上季度安全掃描復查；

每季度第一個月5號（節(jié)假日順推）生成上季度匯總報告；

新系統(tǒng)上線前，負責對系統(tǒng)管理員提出的申請的主機進行漏洞掃描檢查，并提交漏洞掃描報告給系統(tǒng)管理員，并檢查主機漏洞修補情況。

（二）系統(tǒng)管理員的職責

負責對漏洞掃描系統(tǒng)發(fā)現(xiàn)的漏洞進行修補工作；

遵守漏洞掃描設備各項管理規(guī)范。

新系統(tǒng)上線前，提交掃描申請，并負責對漏洞掃描系統(tǒng)發(fā)現(xiàn)的漏洞進行修補工作。

三、結束語

第4篇

（一）管理使用的系統(tǒng)

ERP、加油站賬冊、二次物流管理、加油卡、辦公自動化以及企業(yè)門戶網(wǎng)站等系統(tǒng)是石化銷售企業(yè)首要的應用系統(tǒng)。應用系統(tǒng)有以下特征：一是系統(tǒng)應用范圍廣，全程參與企業(yè)的經(jīng)營、管理、對外服務等；二是系統(tǒng)用戶眾多，涵蓋企業(yè)各階層員工；三是系統(tǒng)對持續(xù)運轉要求高，因此對應用系統(tǒng)的安全運轉要求較高。對公司的經(jīng)營管理而言，系統(tǒng)的安全穩(wěn)定運行具有重大意義，系統(tǒng)數(shù)據(jù)是否安全、保密性和供應商、企業(yè)利益有密切關系。

（二）安全管理

隨著我國經(jīng)濟水平不斷提高，石化銷售企業(yè)越來越離不開信息化管理，世界各地的公司對內部成立一個信息化團隊，根據(jù)內部的需要制定出具有整體性的管理體系，并根據(jù)相關的信息安全規(guī)定對系統(tǒng)內部的安全等級做好評估保護工作。各企業(yè)制定了詳細有效的“信息系統(tǒng)應急預案”以應付各類突發(fā)事件。近幾年，中國石化內控體系在建設過程中不斷加強、完善自身管理體系，也在IT控制方面占有一定的優(yōu)勢。當前，石化銷售企業(yè)已基本形成一套完整的信息安全防御和管理體系，從而確保了網(wǎng)絡信息系統(tǒng)的安全性。

二、信息安全風險的評估

衡量安全管理體系的風險主要方法是進行信息安全風險的評估，以此保障信息資產(chǎn)清單和風險級別，進而確定相應的防控措施。在石化銷售企業(yè)進行信息安全風險的評估過程中，主要通過資金、威脅、安全性等識別美容對風險進行安全檢測，同時結合企業(yè)自身的實際情況，擬定風險控制相應的對策，把企業(yè)內的信息安全風險竟可能下降到最低水平。

（一）物理存在的風險

機房環(huán)境和硬件設備是主要的的物理風險。當前，部分企業(yè)存在的風險有：1）企業(yè)機房使用年限過長，如早期的配電、布線等設計標準陳舊，無法滿足現(xiàn)在的需求；2）機房使用的裝備年限太長、例如中央空調老化，制冷效果不佳導致溫度不達標，UPS電源續(xù)航能力下降嚴重，門禁系統(tǒng)損壞等，存在風險；3）機房安全防護設施不齊全，存在風險。

（二）網(wǎng)絡和系統(tǒng)安全存在的風險

石化訪問系統(tǒng)的使用和操作大量存在安全風險，其中主要風險包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統(tǒng)安全隱患等。即使大部分企業(yè)已安裝統(tǒng)一的網(wǎng)絡防病毒體系、硬件防火墻、按期更新網(wǎng)絡系統(tǒng)軟件、安裝上網(wǎng)行為監(jiān)控等，但因為系統(tǒng)漏洞數(shù)目不斷增多網(wǎng)絡結構和襲擊逐漸減弱或者因為信息系統(tǒng)使用人員操作系統(tǒng)本身的安全機制不完善、也會產(chǎn)生安全隱患。

（三）系統(tǒng)安全風險

沒有經(jīng)過許可進行訪問、數(shù)據(jù)泄密和被刪改等威脅著系統(tǒng)的安全性。提供各類應用服務是企業(yè)信息系統(tǒng)的首要任務，而數(shù)據(jù)正是應用信息系統(tǒng)的核心，因此，實際應用與系統(tǒng)安全風險密切聯(lián)系。當前，信息應用系統(tǒng)存儲了大量的客戶、交易等重要信息，一旦泄露，造成客戶對企業(yè)信任度影響的同時也會影響企業(yè)的市場競爭力。

（四）安全管理存在的風險

安全管理存在的主要指沒有同體的風險安全管理手段，管理制度不完善、管理標準沒有統(tǒng)一，人員安全意識薄弱等等都存在管理風險，因此，需要設立完善的信息系統(tǒng)安全管理體系，從嚴管理，促使信息安全系統(tǒng)正常運作。一方面要規(guī)范健全信息安全管理手段，有效較強內控IT管理流程控制力度，狠抓落實管理體系的力度，杜絕局部管理不足點；另一方面，由于信息安全管理主要以動態(tài)發(fā)展的形式存在，要不斷調整、完善制度，以符合信息安全的新環(huán)境需求。

三、信息安全管理體系框架的主要構思

信息安全管理體系的框架主要由監(jiān)管體系、組織體系和技術體系形成，特點是系統(tǒng)化、程序化和文件化，而主要思想以預防控制為主，以過程和動態(tài)控制為條件。完善安全管理體系，使石化銷售企業(yè)信息系統(tǒng)和信息網(wǎng)絡能夠安全可靠的運作，從機密性、完整性、不可否認性和可用性等方面確保數(shù)據(jù)安全，提升系統(tǒng)的持續(xù)性，加強企業(yè)的競爭力。

（一）組織體系

企業(yè)在完善管理體系過程中應設立信息安全委員會和相關管理部門，設置相應的信息安全崗位，明確各級負責的信息安全和人員配置等內容。在全面提升企業(yè)人員對信息安全了解的過程中必須進行信息安全知識的相關培訓，使工作人員提高信息安全管理意識，實現(xiàn)信息安全管理工作人人有責。

（二）制度體系

操作規(guī)范、安全策略、應急預案等各項管理制度經(jīng)過計劃和下發(fā)，讓信息安全管理有據(jù)可依。企業(yè)參照合理完善的各項制度進一步優(yōu)化業(yè)務流程，規(guī)范操作行為，降低事故風險，提升應急能力，以此加強信息安全的管理體系。

（三）技術體系

管理技術、防護技術、控制技術是信息安全管理體系的主要技術基礎。安全技術包括物理安全技術、網(wǎng)絡安全技術、主機安全技術、終端安全技術、數(shù)據(jù)安全、應用安全技術等。一旦出現(xiàn)信息安全事件，技術體系會在最短的時間內降低事件的不良影響，依靠相關的信息安全管理技術平臺，以實現(xiàn)信息安全技術的有效控制。管理體系的核心是技術手段，先進的加密算法和強化密鑰管理構成的數(shù)據(jù)加密方式全程控制數(shù)據(jù)傳輸和數(shù)據(jù)存儲，可以保證數(shù)據(jù)的安全性。采用堡壘機、防火墻等安全系統(tǒng)可以過濾掉不安全的服務和非法用戶，防止入侵者接近防御設備。IDS作為防火墻的重要功能之一，能夠幫助網(wǎng)絡系統(tǒng)快速檢測出攻擊的對象，加強了管理員的安全管理技術（包括審計工作、監(jiān)視、進攻識別等技術），提高了信息安全體系的防范性。企業(yè)數(shù)據(jù)備份這一塊可以采用雙機熱本地集群網(wǎng)、異地集群網(wǎng)等各種形式進行網(wǎng)絡備份，利用體統(tǒng)的可用性和容災性加強安全管理能力。

近年來各個企業(yè)的惡意軟件、攻擊行為手法變化多端很難防御，在各種壓力下，傳統(tǒng)的的安全防預技術受到了嚴峻的考驗，這時“云安全”技術當之無愧成為當今最熱的安全技術。“云安全”技術主要使用分部式運算功能進行防御，而“云安全”技術對于企業(yè)用戶而言確實明顯的保障了信息的安全性以及降低客戶端維護量。“云安全”技術是未來安全防護技術發(fā)展的必由之路，且今后“云安全”作為企業(yè)安全管理的核心內容為企業(yè)的數(shù)據(jù)、服務器群組以及端點提供強制的安全防御能力。”

四、信息安全管理體系相關步驟

由于管理體系具有靈活性，企業(yè)可依據(jù)自身的特點和實際情況，使用最優(yōu)方案，結合石化銷售的特征，提出以下步驟：1）管理體系的重要目標；2）管理體系的主要范疇；3）管理體系現(xiàn)狀考察與風險估量；4）完善管理體系的制度；5）整理管理體系的文檔；6）管理體系的運行方式；7）信息安全管理體系考核。

五、結論

第5篇

【關鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系（ISMS）

近年來，“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實名認證信息漏洞”、“京東12G用戶數(shù)據(jù)泄露”、“700元買他人隱私信息”等信息安全事件層出不窮，引起各國領導的重視和社會關注。為提高網(wǎng)絡安全和互聯(lián)網(wǎng)治理，2014年，我國成立了以主席為最高領導的信息安全管理機構-中央網(wǎng)信辦；2016年11月，在中國烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網(wǎng)大會》。通過一系列的行為，為求現(xiàn)有的網(wǎng)絡系統(tǒng)能夠提高安全能力，為廣大社會群眾提供服務的同時，能夠保證人民的利益。

信息系統(tǒng)是由硬件、軟件、信息、規(guī)章制度等組成，主要以處理信息流為主，信息系統(tǒng)的網(wǎng)絡安全備受關注。企業(yè)在應對外部攻擊，安全風險的同時，當務之急是建立一套完整的信息安全管理體系。在統(tǒng)一的體系管控下，分布實施，開展各項安全工作。

目前，大多數(shù)企業(yè)的信息安全工作比較單一，主要是部署安全防護設備，進行簡單的配置。信息安全工作不全面，安全管理相對薄弱，不足以抵抗來自外部的威脅。

1 信息安全問題

1.1 身份鑒別不嚴格

考慮到方便記憶和頻繁的登錄操作，企業(yè)普遍存在管理員賬號簡單或者直接采用系統(tǒng)的默認賬號現(xiàn)象，并且基本不設定管理員的權限，默認使用最大權限。一旦攻擊者通過猜測或其他手段獲得管理員賬號，攻擊者如入無人之境，可以任意妄為。最終可造成數(shù)據(jù)泄露，系統(tǒng)癱瘓等不可估量的嚴重后果。注重信息安全的企業(yè)會修改默認管理員賬號，設定較為復雜的口令，并定期進行口令更換。但是也僅僅使用一種身份鑒別技術，不足以抵抗外部攻擊。

1.2 外部攻擊，層出不窮

隨著計算機技術的發(fā)展，信息系統(tǒng)的外部攻簦層出不窮。攻擊者利用網(wǎng)絡系統(tǒng)的漏洞和缺陷，攻擊系統(tǒng)軟件、硬件和數(shù)據(jù)，進行非法操作，造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術、郵件

攻擊、拒絕服務攻擊、口令攻擊、惡意程序等等；入侵常用的步驟包括采用漏洞掃描工具進行掃描、選擇合適的方式入侵、獲取系統(tǒng)的一定權限、提升為系統(tǒng)最高權限、安裝系統(tǒng)后門、獲取敏感信息或者其他攻擊目的。攻擊者會根據(jù)系統(tǒng)特性和網(wǎng)絡結構采取不同的手段對網(wǎng)絡進行攻擊，如果不采取相應的防御手段，很容易被黑客攻擊，造成損失。

1.3 員工安全意識薄弱

很多互聯(lián)網(wǎng)企業(yè)的員工缺乏信息安全意識，存在離開辦公電腦時不鎖屏現(xiàn)象；將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時取走打印機房內的材料；優(yōu)盤未經(jīng)殺毒直接連接公司電腦；隨意點擊不明郵件的鏈接；更有員工將系統(tǒng)賬號、密碼粘貼在辦公桌上；在系統(tǒng)建設階段，大到管理者，小到開發(fā)人員、測試人員，均注重技術實現(xiàn)和業(yè)務要求，而忽略了系統(tǒng)的安全和管理。由于員工的信息安全意識較為薄弱，很容易造成公司信息泄露，進而導致公司的損失。

1.4 內部管理制度不完善

俗話說，“不以規(guī)矩，不能成方圓”。未形成全面的信息安全管理制度體系，缺失部分安全策略、管理制度、操作規(guī)程，可能導致信息安全管理制度體系存在疏漏，部分管理內容無法有效實施。使相關工作過程缺乏規(guī)范依據(jù)和質量保障，進而影響到信息系統(tǒng)的安全建設和安全運維。比如在軟件開發(fā)過程中，開發(fā)人員會因為各種原因而忽略安全開發(fā)（存在開發(fā)人員沒有意識到代碼安全開發(fā)的問題；有些開發(fā)人員不愿意使用邊界檢查，怕影響系統(tǒng)的效率和性能；當然也存在許多遺留代碼存在問題的現(xiàn)象，從而導致二次開發(fā)同樣產(chǎn)生問題），可能導致系統(tǒng)存在后門，被黑客攻擊。

2 防范措施

企業(yè)需依據(jù)《信息安全等級保護管理辦法（公通字[2007]43號）》、《中華人民共和國網(wǎng)絡安全法》》、《ISO/IEC 27001》等標準和法律法規(guī)進行信息系統(tǒng)安全建設工作。測評機構在網(wǎng)安的要求下，對企業(yè)信息系統(tǒng)的安全進行測評，并出具相應測評結果。根據(jù)測評結果和整改建議，采用相應的技術手段（安全認證、入侵檢測、漏洞掃描、監(jiān)控管理、數(shù)據(jù)備份與加密等）和管理措施（安全團隊、教育與培訓、管理體系等）對信息系統(tǒng)進行整改。如圖1所示。

2.1 技術手段

2.1.1 安全認證

身份鑒別是指在計算機系統(tǒng)中確認執(zhí)行者身份的過程，以確定該用戶是否具有訪問某種資源的權限，防止非法用戶訪問系統(tǒng)資源，保障合法用戶訪問授權的信息系統(tǒng)。凡登錄系統(tǒng)的用戶，均需進行身份鑒別和標識，且標識需具有唯一性。用戶身份鑒別機制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對不同鑒別機制，常用的鑒別技術（認證技術）如表1所示。

不同的認證技術，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級較高，但會遇到各種問題，導致便捷性較差（比如存在軟硬件適配性問題，移動終端無USB口等）。一般認為在相同的便捷性前提下，選擇安全等級較高的認證技術。針對重要系統(tǒng)應采用雙因子認證技術。

2.1.2 入侵檢測

入侵檢測能夠依據(jù)安全策略，對網(wǎng)絡和系統(tǒng)進行監(jiān)視，發(fā)現(xiàn)各種攻擊行為，能夠實時保護內部攻擊、外部攻擊和誤操作的情況，保證信息系統(tǒng)網(wǎng)絡資源的安全。入侵檢測系統(tǒng)（IDS）是一個旁路監(jiān)聽設備，需要部署在網(wǎng)絡內部。如果信息系統(tǒng)中包含了多個邏輯隔離的子網(wǎng)，則需要在整個信息系統(tǒng)中實施分布部署，從而掌控整個信息系統(tǒng)安全狀況。

2.1.3 漏洞掃描

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對目標系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測行為。常見的漏洞掃描類型主要包括系統(tǒng)安全隱患掃描、應用安全隱患掃描、數(shù)據(jù)庫安全配置隱患掃描等。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同，分為基于網(wǎng)絡的和基于主機的系統(tǒng)安全掃描，可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、安全配置隱患、弱口令、服務和端口等。應用安全隱患掃描可以掃描出Web應用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數(shù)據(jù)庫安全配置隱患掃描可以檢測出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權限提升漏洞、緩沖區(qū)溢出、補丁未升級等自身漏洞。

漏洞掃描主要用于評估主機操作系統(tǒng)、網(wǎng)絡和安全設備操作系統(tǒng)、數(shù)據(jù)庫以及應用平臺軟件的安全情況，它能有效避免黑客攻擊行為，做到防患于未然。

2.1.4 監(jiān)控管理

網(wǎng)絡監(jiān)控主要包括上網(wǎng)監(jiān)控和內網(wǎng)監(jiān)控兩部分。目前市場上已做的完整監(jiān)控軟件已包含上述功能。網(wǎng)絡監(jiān)控需結合網(wǎng)絡拓撲，在網(wǎng)絡關鍵點接入監(jiān)控工具監(jiān)測當前網(wǎng)絡數(shù)據(jù)流量，分析可疑信息流，通過截包解碼分析的方式驗證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?。例如Solarwinds網(wǎng)絡監(jiān)控平臺，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA） 、IP Address Management、Network Configuration Management、Application Performance Monitoring等?？梢詧?zhí)行全面的帶寬性能監(jiān)控和故障管理；可以分析網(wǎng)絡流量；可以對服務器上運行的服務和進程進行自動監(jiān)控，并在故障發(fā)生時及時告警；可對VOIP的相關參數(shù)進行監(jiān)控；可以通過直觀的網(wǎng)絡控制臺管理整個IP架構；可快速檢測、診斷及解決虛擬化環(huán)境的網(wǎng)絡性能；強大的應用程序監(jiān)視、告警、報告功能等。

2.1.5 數(shù)據(jù)備份與加密

企業(yè)高度重視業(yè)務信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)。數(shù)據(jù)在存儲時應加密存儲，防止黑客攻擊系統(tǒng)，輕易獲得敏感數(shù)據(jù)，造成公司的重大經(jīng)濟損失。常用的加密算法包括對稱加密（DES、AES）和不對稱加密算法（RSA）。密碼技術不僅可以防止信息泄露，同時可以保證信息的完整性和不可抵賴性。例如現(xiàn)在比較成熟的哈希算法、數(shù)字簽名、數(shù)字證書等。

除了對數(shù)據(jù)進行加密存儲外，由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機房著火等意外，需對系統(tǒng)數(shù)據(jù)進行備份。按照備份環(huán)境，備份分為本地備份和異地備份；按照備份數(shù)據(jù)量的多少，備份分為全備、增備、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務要求和實際情況，選取合適的備份方式進行備份。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設計。

2.2 管理措施

2.2.1 安全團隊

企業(yè)應設立能夠統(tǒng)一指揮、協(xié)調有序、組織有力的專業(yè)的安全管理團隊負責信息安全工作，該團隊包括信息安全委員會，信息安全部門及其成員。安全部門負責人除了具備極強的業(yè)務處理能力，還需要有管理能力、溝通能力、應變能力。目前安全團隊的從業(yè)人員數(shù)量在逐漸增加，話語權在增多，肩上的擔子也越來越大。安全團隊需要定好自己的位，多檢查少運維，多幫企業(yè)解決問題。即安全團隊修路，各部門在上面跑自己的需求。

2.2.2 教育c培訓

保護企業(yè)信息安全，未雨綢繆比亡羊補牢要強。培養(yǎng)企業(yè)信息安全意識文化，樹立員工信息安全責任心，是解決企業(yè)信息安全的關鍵手段之一。企業(yè)的競爭實際上是人才的競爭，除了定期進行技能培訓外，還需對員工的安全意識進行教育和培訓。信息安全團隊應制定信息安全意識教育和培訓計劃，包括但不限于在線、郵件、海報（標語）、視頻、專場、外培等形式。通過對員工的安全意識教育，能從內部預防企業(yè)安全事件的發(fā)生，提高企業(yè)的安全保障能力。

2.2.3 管理體系

隨著計算機攻擊技術的不斷提高，攻擊事件越來越多，且存在部分攻擊來自公司組織內部。單靠個人的力量已無法保障信息系統(tǒng)的安全。因此，企業(yè)需建立自上而下的信息安全管理體系（ISMS， Information Security Management System），以達到分工明確，職責清晰，安全開發(fā)，可靠運維。安全管理制度作為安全管理體系的綱領性文件，在信息系統(tǒng)的整個生命周期中起著至關重要的作用。不同機構在建立與完善信息安全管理體系時，可根據(jù)自身情況，采取不同的方法，一般經(jīng)過PDCA四個基本階段（Plan：策劃與準備；Do文件的編制；Check運行；Action審核、評審和持續(xù)改進）?？梢罁?jù)ISO27000，信息安全等級保護等，從制度、安全機構、人員、系統(tǒng)建設和系統(tǒng)運維5個方面去制定信息安全管理體系。通常，信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規(guī)程和記錄文檔組成，如圖2所示。

3 結語

國家不斷加強對各個互聯(lián)網(wǎng)企業(yè)、金融、銀行等的信息安全工作監(jiān)督，通過ISO27000、信息安全等級保護測評、電子銀行評估、互聯(lián)網(wǎng)網(wǎng)站專項安全測評等方式，規(guī)范企業(yè)的信息安全建設工作。同樣，信息安全工作長期面臨挑戰(zhàn)，不能一蹴而就，需要相關安全工作人員戮力同心、同舟共濟、相互扶持、攜手共建信息安全的共同體。

參考文獻

[1]沈昌祥，張煥國，馮登國等.信息安全綜述[J].中國科學雜志社，2007（37）：129-150.

[2]李嘉，蔡立志，張春柳等.信息系統(tǒng)安全等級保護測評實踐[M].哈爾濱工程大學出版社，2016（01）.

[3]蔣欣.計算機網(wǎng)絡戰(zhàn)防御技術分析[J].指揮控制與仿真，2006（08），28-4.

作者簡介

康玉婷（1988-），女，上海市人。碩士學位?，F(xiàn)為信息安全等級測評師、初級工程師。主要研究方向為信息安全。

作者單位

第6篇

【關鍵詞】 傳統(tǒng)行業(yè) 信息安全建設 問題 策略

【作者簡介】 胡鵬，中石化湖北石油分公司工程師，研究方向：網(wǎng)絡安全。

【中圖分類號】 X913.2 【文獻標識碼】 A 【文章編號】 2095-5103（2015）04-0051-02

信息安全建設包括三大部分，即人員、管理和技術，尤其是信息安全管理，已經(jīng)越發(fā)受到各界的廣泛關注，并以此為核心來打造信息安全保障體系。信息安全對于各行各業(yè)來說，均具有極其重要的地位，其不僅關乎企業(yè)自身信息安全，也關乎普通消費者信息安全。因此構建信息安全體系，是企業(yè)未來發(fā)展的重點工作。

一、傳統(tǒng)行業(yè)信息安全建設現(xiàn)狀分析

（一）對信息安全建設缺乏足夠認識。就目前國內實際情況來說，傳統(tǒng)行業(yè)對于信息安全建設尚沒有足夠的認識，導致信息安全建設難以切實施行。具體來說，這主要表現(xiàn)在三個方面。一是傳統(tǒng)行業(yè)的領導者對信息安全建設缺少必要的認識，在面對信息化浪潮的沖擊時，其最先想到的是提升行業(yè)品質來面對新挑戰(zhàn)，卻忽視了通過信息安全建設保護行業(yè)核心信息資源，導致行業(yè)信息被逐漸泄露，無法與新行業(yè)相抗衡，以致逐漸失去競爭力。最典型的就是傳統(tǒng)出版行業(yè)，在數(shù)字化刊物逐漸普及的情況下，傳統(tǒng)出版行業(yè)已經(jīng)顯得捉襟見肘，出版物印刷量與銷售量逐年下降。二是行業(yè)內部員工缺少對信息安全的認識，在日常工作中，會在不經(jīng)意間泄露行業(yè)信息。更有甚者為了一己私利出賣行業(yè)信息。這些舉動都對傳統(tǒng)行業(yè)造成了極其惡劣的影響。三是普通消費者缺少對信息安全的認識，在某些需要消費者個人信息資料的行業(yè)中，消費者往往沒有考慮個人信息資料是否安全，是否存在泄露的風險以及相應的后果。忽視這些的結果就是消費者缺少對相關企業(yè)信息安全的要求，在發(fā)生意外情況后無法挽回。

（二）信息安全建設技術水平較低。傳統(tǒng)行業(yè)雖然缺乏對信息安全建設的認識，但也并非沒有進行信息安全建設，只是其信息安全建設技術水平較低，無法切實滿足對企業(yè)信息安全的保護。信息安全建設技術水平低主要表現(xiàn)在兩個方面。一是信息安全管理體系架構技術層次低，一個體系架構的技術高低，決定了該體系所能發(fā)揮的功能高低。越先進越高端的技術，其對信息安全的保護也就越安全，反之亦然。傳統(tǒng)行業(yè)信息安全管理體系的基礎架構以及權限設置等信息保障措施，其技術相對一些新行業(yè)而言較為落后，無法符合不斷更新的計算機技術，更無法有效彌補信息安全漏洞，只能說是徒有其表。二是人員管理技術水平較低，人員管理也是信息安全建設的重要環(huán)節(jié)。每一個員工都攜帶著一定程度的行業(yè)信息，只有加強對員工的管理，建立科學人性的管理體系，才能確保企業(yè)人員不會因為失誤或利益泄露行業(yè)信息。

（三）信息安全建設覆蓋范圍較窄。信息安全建設覆蓋范圍較窄主要可以分為兩個方面，一是進行信息安全建設的傳統(tǒng)行業(yè)范圍較窄;二是行業(yè)內部信息安全建設的范圍較窄。對于所有傳統(tǒng)行業(yè)而言，已經(jīng)完成信息安全建設或正在建設的行業(yè)并不多。根據(jù)相關統(tǒng)計資料，傳統(tǒng)行業(yè)中完成或進行中的信息安全建設的企業(yè)，尚不到20%。這一數(shù)據(jù)說明信息安全建設率在傳統(tǒng)行業(yè)中來講還很低，還需要加強相關理念的宣傳，引導更多的傳統(tǒng)企業(yè)進行信息安全建設。在行業(yè)內部，信息安全建設集中在企業(yè)核心機密，即企業(yè)相關財務數(shù)據(jù)、產(chǎn)品數(shù)據(jù)和市場數(shù)據(jù)等，忽視了員工信息安全及一些外在信息安全的構建。雖然此舉能夠保障企業(yè)核心利益，卻無法保證企業(yè)正常良性的運轉。

二、傳統(tǒng)行業(yè)信息安全建設中的問題及原因

（一）缺少完善的法律法規(guī)。在信息安全方面，我國尚缺少有效完善的法律法規(guī)來加強信息安全建設，這主要表現(xiàn)在兩個方面。一方面是缺少對傳統(tǒng)行業(yè)信息安全建設的強制性法律法規(guī)。傳統(tǒng)行業(yè)本身對信息安全缺少足夠的認識，再加之缺少必須的法律法規(guī)，就致使傳統(tǒng)行業(yè)基本忽視了信息安全建設。另一方面是缺少對信息安全犯罪的法律法規(guī)，近年來隨著信息技術發(fā)展迅猛，各種信息安全犯罪層出不窮，犯罪性質也從經(jīng)濟犯罪上升到了更加惡劣的性質。各種由于個人信息泄露而出現(xiàn)的綁架、搶劫等案件，急需出臺相應的信息安全法律法規(guī)來加以制約。

（二）傳統(tǒng)行業(yè)內部信息安全管理不力。信息安全管理主要包括體系建設、制度建設和人員管理。這三個方面的工作在傳統(tǒng)行業(yè)中來說都并不到位。體系建設主要是指信息安全管理體系，一套完整的管理體系，應當從上至下，由內而外，將方方面面的信息安全包羅其中，以形成一個上下一體的信息安全管理系統(tǒng)。制度建設主要針對信息安全制定相應的信息安全管理制度，通過確實的規(guī)章制度，對企業(yè)員工形成約束，避免其出現(xiàn)一些不利企業(yè)信息安全的行為。人員管理主要是加強對企業(yè)員工的信息安全意識教育，讓其樹立起保護信息安全的基本意識。

（三）基礎信息安全建設設施缺乏?；A信息安全建設設施缺乏，是擺在傳統(tǒng)行業(yè)面前的關鍵問題，這主要包括兩個方面的問題。一是技術基礎缺乏，目前我國信息安全建設的技術基礎基本源自國外，這從信息安全的角度來說本身就是一種不安全的行為。只有創(chuàng)建完全自主的信息安全技術，才能杜絕國外技術可能存在的技術后門。二是硬件基礎缺乏，這與技術基礎缺乏對信息安全的不利影響是一致的?？偟膩碚f，硬軟件的缺乏，是傳統(tǒng)行業(yè)信息安全建設的最大問題。

三、傳統(tǒng)行業(yè)信息安全建設策略分析

（一）完善信息安全法律法規(guī)。要做好傳統(tǒng)行業(yè)信息安全建設，最首要的就是完善相應的信息安全法律法規(guī)，從法律層面對信息安全建設進行定性。首先是明確傳統(tǒng)行業(yè)信息安全建設的義務，通過法律規(guī)定強制傳統(tǒng)行業(yè)進行信息安全建設，迫使其領導層重視信息安全建設，進而在行業(yè)全局決策中增加對信息安全建設的思考與傾斜。其次是對信息安全犯罪作出全面的定性與量刑，加強對信息安全犯罪的打擊力度，通過法律手段減少信息安全威脅。

（二）加強行業(yè)內部信息安全管理。加強行業(yè)內部信息安全管理，是信息安全建設的重要環(huán)節(jié)，其可以從三個方面來進行。第一是構建企業(yè)員工信息梯度，針對企業(yè)不同部門以及不同職位，制定不同的信息等級制度，以此改善員工功能與信息的不對等關系。第二是構建信息管理制度，針對企業(yè)類型、企業(yè)所包含信息的類型以及其機密程度，制定合理的信息管理制度，加強對內部員工的約束。第三是加強對企業(yè)員工的信息安全建設培訓，使企業(yè)員工具有一定的信息安全建設意識，能夠從一些小事上進行信息安全建設。

（三）自主化信息安全建設基礎設施。自主化信息安全建設基礎設施應當從基礎技術與基礎硬件兩個方面進行。就基礎技術而言，傳統(tǒng)行業(yè)應該大量參考國外相關技術，博采眾長，創(chuàng)建不依賴于國外技術的信息安全建設技術，真正實現(xiàn)信息安全建設技術國產(chǎn)化，從根源上排除國外技術對傳統(tǒng)行業(yè)信息安全可能存在的技術風險。在基礎硬件方面，傳統(tǒng)行業(yè)可以加強與國內硬件廠商的合作，共同研發(fā)具有行業(yè)特點的信息安全建設硬件，減少國外硬件的引入與應用?？偟膩碚f，信息安全建設應該在國外硬軟件的基礎上，開發(fā)自主的硬軟件設備，使信息安全建設完全實現(xiàn)國產(chǎn)化。

（四）綜合采取多種有效措施構建信息安全大環(huán)境。信息安全建設并非企業(yè)一己之力就能夠做好，還需要多方協(xié)作，構建信息安全大環(huán)境，如此才能在整個行業(yè)中進行信息安全建設。第一，加強企業(yè)之間的信息交流與合作管理。對于同一行業(yè)而言，企業(yè)的核心信息在一定程度上來說相似甚至相同，即企業(yè)的信息安全建設在一定程度上形成了交集。同類型企業(yè)可以加強信息交流，合作構建信息安全管理體系，加強信息安全管理。第二，構建企業(yè)信息安全評級制度，由國家相關部門牽頭，聯(lián)合行業(yè)內的優(yōu)秀企業(yè)，組建企業(yè)信息安全評級機構，對行業(yè)內企業(yè)進行信息安全評級，并將評級結果公布于眾，讓消費者能夠清楚認識到企業(yè)的信息安全等級以選擇能夠保障自身信息安全的企業(yè)。此舉還可以加強企業(yè)對信息安全建設的重視程度，促使企業(yè)進行信息安全建設。第三，構建信息安全犯罪打擊網(wǎng)絡，由公安部牽頭，聯(lián)合國內優(yōu)秀的信息安全商構建信息安全犯罪打擊平臺，加強對信息安全的監(jiān)管及信息安全犯罪的打擊。

參考文獻：

第7篇

隨著企業(yè)信息化水平的提升，大多數(shù)企業(yè)在信息安全建設上逐步添加了上網(wǎng)行為管理、內網(wǎng)安全管理等新的安全設備，但信息安全防護理念還停留在防的階段，信息安全策略都是在安全事件發(fā)生后再補救，導致了企業(yè)信息防范的主動性和意識不高，信息安全防護水平已經(jīng)越來越不適應當今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求。

2企業(yè)信息系統(tǒng)安全防護的構建原則

企業(yè)信息化安全建設的目標是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構建企業(yè)信息安全體系時應該遵循以下幾個原則：

2.1建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規(guī)范，來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善?；酒髽I(yè)信息安全管理過程包括：分析企業(yè)數(shù)字化資產(chǎn)評估和風險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴謹?shù)膱?zhí)行策略、選用安全可靠的的防護產(chǎn)品等。

2.2提高企業(yè)員工自身的信息安全防范意識

在企業(yè)信息化系統(tǒng)安全管理中，防護設備和防護策略只是其中的一部分，企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實施信息化安全管理時，絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實施企業(yè)信息安全前，應制定企業(yè)員工信息安全行為規(guī)范，有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運行，保證企業(yè)信息安全。其次階段遞進的培訓信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓，強化企業(yè)員工對信息安全的概念，提升員工的安全意識。使員工的行為符合整個企業(yè)信息安全的防范要求。

2.3及時優(yōu)化更新企業(yè)信息安全防護技術

當企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時，就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網(wǎng)絡隔離、網(wǎng)絡安全掃描、實時監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源，并且可以根據(jù)員工級別分配人員訪問權限，達到企業(yè)敏感信息的安全保障。

3企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設架構，在滿足終端安全、網(wǎng)絡安全、應用安全、數(shù)據(jù)安全等安全防護體系時，我們需要重點關注以下幾個方面：

3.1實施終端安全，規(guī)范終端用戶行為

在企業(yè)信息安全事件中，數(shù)字化成果泄漏是屬于危害最為嚴重的一種行為。企業(yè)信息安全體系建立前，企業(yè)員工對自己的個人行為不規(guī)范，造成了員工可以通過很多方式實現(xiàn)信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為，我們在建設安全防護體系時，僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應該當用戶接入企業(yè)信息化平臺前，就對用戶的終端系統(tǒng)進行安全規(guī)范檢查，符合企業(yè)制定的終端安全要求后再接入企業(yè)內網(wǎng)。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進行審計，使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范，從終端用戶提升企業(yè)的防護水平。

3.2建設安全完善的VPN接入平臺

企業(yè)在信息化建設中，考慮總部和分支機構的信息化需要，必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSLVPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接，這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSLVPN方式。在這種情況下，就必須做好對于移動終端的身份認證識別。其實我們在設備采購時，可以要求設備商做好多種接入方式的需求，并且?guī)椭髽I(yè)搭建認證方式。這將有利于企業(yè)日常維護，提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3優(yōu)化企業(yè)網(wǎng)絡的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡安全邊際時，要面對多個部門和分支結構，合理的規(guī)劃安全網(wǎng)絡邊際將是關鍵。企業(yè)的網(wǎng)絡體系可以分為：物理層；數(shù)據(jù)鏈路層；網(wǎng)絡層；傳輸層；會話層；表示層；應用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風險的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡環(huán)境的背景下，根據(jù)企業(yè)安全優(yōu)先級及面臨的風險程度，做出適合企業(yè)信息安全的防護策略和訪問控制策略。根據(jù)相應防護設備進行深層次的安全防護，真正實現(xiàn)OSI的L2～L7層的安全防護。

3.4實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理

為企業(yè)信息安全構建統(tǒng)一的安全防護體系，重要的優(yōu)勢就是能實現(xiàn)對全網(wǎng)安全設備及安全事件的統(tǒng)一管理，做到對整個網(wǎng)絡安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設備工作時會產(chǎn)生大量的安全日志，如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發(fā)生時，企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構建信息安全體系時，就必須要考慮安全設備日志之間的統(tǒng)一化，設定相應的訪問控制和安全策略實現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。

4結束語

第8篇

關鍵詞 信息安全事故；安全管理；事故致因理論

中圖分類號 F49

文獻標識碼 A

文章編號 1006-5024（2013）01-0055-04

一、引言

在信息化浪潮席卷全球的今天，信息的重要性不言而喻。我國國民經(jīng)濟和社會信息化建設進程全面加快，網(wǎng)絡與信息系統(tǒng)的基礎性、全局性作用日益增強，信息技術在提高企業(yè)服務水平、促進業(yè)務創(chuàng)新、提升核心競爭力等方面發(fā)揮了重要作用。但是，在進行信息化建設的同時，各種信息安全事故卻頻繁發(fā)生。據(jù)普華永道2010年度全球信息安全調查報告顯示，中國企業(yè)信息安全事故發(fā)生率遠遠高于世界平均水平。網(wǎng)絡事故、數(shù)據(jù)事故及系統(tǒng)事故是中國企業(yè)常見的三大信息安全事故，發(fā)生率分別為51%、45%和40%，而相同事故在全球范圍內的發(fā)生率則為25%、27%與23%。

大量文獻和事實表明，信息的特殊性決定了信息安全事故的高發(fā)性。信息具有易傳播、易擴散、易毀損的特點，信息資產(chǎn)比傳統(tǒng)的實物資產(chǎn)更加脆弱，而其運作的風險、收益和機會卻比實物資產(chǎn)大得多。企業(yè)對信息系統(tǒng)不斷增強的依賴性也增大了重要信息受到嚴重侵擾和破壞的風險，而這些風險常導致企業(yè)資產(chǎn)受損或業(yè)務中斷。

目前，對于信息安全的研究大多集中于技術層面，從早期的加密技術、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡環(huán)境下的防火墻、入侵檢測、身份認證等，而從管理方面和流程優(yōu)化方面研究的較少。Ross Anderson（2001）認為，信息安全的經(jīng)濟管理研究在某種程度上比技術研究更為重要。傅毓敏（2010）認為，中國企業(yè)對信息安全管理人員和流程的重視不足是導致相關安全事故率居高不下的主要原因。因此，有必要系統(tǒng)分析企業(yè)信息安全事故發(fā)生的機理，以管理因素研究為核心，找出事故發(fā)生的根本原因。通過控制事故致因因素預防企業(yè)信息安全事故的發(fā)生，將對企業(yè)的信息安全管理有一定的指導意義。

本文將生產(chǎn)領域的事故致因理論應用到信息安全事故分析中，系統(tǒng)分析企業(yè)信息安全事故的形成機理，將信息安全事故致因因素分為四部分，即環(huán)境因素、人員因素、技術因素和設備因素，分析各因素對信息安全事故的影響，構建信息安全事故致因因素魚刺圖，并提出針對性的防范措施。

二、理論基礎

（一）國內外從管理角度對信息安全事故的研究

國內外的學者從不同角度對信息安全事故原因進行了研究。Van Niekerk（2010）認為企業(yè)信息安全文化氛圍是減少人為因素所導致的信息安全事故的關鍵；Knapp（2009）等先后對信息安全政策和信息安全事故之間的關系進行了研究；Herath（2009）通過問卷調研的實證研究驗證了懲罰力度、壓力和員工的效果認知會對其安全行為產(chǎn)生影響；Albrechtsen（2010）發(fā)現(xiàn)員工參與、集體反思和群體作用可以提高員工的信息安全意識，并改善其安全行為；Stanton（2005）研究發(fā)現(xiàn)終端用戶的安全行為會對企業(yè)信息安全管理產(chǎn)生影響；Ashenden（2008）通過實證研究發(fā)現(xiàn)信息安全管理人員、高層管理者和終端用戶之間存在信息鴻溝，雙方在理解上的差異會對企業(yè)的信息安全管理產(chǎn)生不利影響，增加了信息安全事故發(fā)生的幾率。此外，Vroom（2004）、Flowerday（2005）等學者也先后對此進行了研究。

與國外相比，國內對于信息安全的研究多集中于技術層面，涉及管理層面的研究較少。沈昌祥、張煥國、馮登國（2007）系統(tǒng)地闡述了信息安全理論及相關技術的發(fā)展；官巍、胡若（2007）從社會環(huán)境、商業(yè)、組織和個人的角度分析了電子商務的信息安全問題；劉福來（2010）對中小企業(yè)信息化管理中存在的安全隱患和原因進行了分析。

通過閱讀文獻發(fā)現(xiàn)，國外學者大多通過實證研究驗證了一個或幾個因素對信息安全事故的影響，但是缺乏對信息安全事故的系統(tǒng)分析。國內的研究多用于構建信息安全管理體系，對信息安全事故的分析則鮮有研究。

（二）事故致因理論

在信息安全事故分析方法的選擇上，本文選擇了在生產(chǎn)領域廣泛應用的事故致因理論。事故致因理論是研究分析導致事故發(fā)生原因因素的科學理論。它是描述事故成因、經(jīng)過和后果的理論，是研究人、物、環(huán)境、管理及事故處置等基本因素如何起作用而形成事故并造成損失的理論。

在早期的事故致因理論中，海因里希（W.H.Heinrich）的事故因果連鎖論最具代表性，它最先提出了物的不安全狀態(tài)和人的不安全行為是導致傷亡事故發(fā)生的兩個直接因素。在海因里希事故因果連鎖論的基礎上，博德（F.Bird）等又進一步提出了把安全管理作為背后深層次的間接事故致因因素的現(xiàn)代安全科學觀點，認為任何安全事故發(fā)生的深層次原因，都可以歸結為管理的失誤，人的不安全行為或物的不安全狀態(tài)不過是其背后的深層原因的征兆和管理失誤的反映。

本文依據(jù)博德（F.Bird）的現(xiàn)代安全科學觀點，提出如圖1所示的信息安全事故模型。信息安全事故的發(fā)生是由于人的不安全行為和物的不安全狀態(tài)作用在能量物質/載體上的結果，而企業(yè)的管理因素是導致物的不安全狀態(tài)和人的不安全行為發(fā)生作用的直接因素。

三、信息安全事故分析

通過對各類型信息安全事故致因因素的分析，企業(yè)信息安全事故的致因因素大體可分為兩類，即人的因素和物的因素。其中，物的因素可進一步分為環(huán)境因素、技術因素、設備因素等。根據(jù)實地調研和文獻梳理可以得出，企業(yè)文化的缺失、安全規(guī)章制度的不完善等環(huán)境因素是造成事故的深層原因。因此，本文將企業(yè)信息安全事故的可控致因因素整理歸納后分為四類，即環(huán)境因素、人員因素、技術因素和設備因素，并構建了信息安全事故魚刺圖（見圖2）。

（一）環(huán)境因素分析

在信息化建設過程中，很多企業(yè)由于急需開展業(yè)務，往往出現(xiàn)“先業(yè)務，后安全”的現(xiàn)象，安全管理嚴重滯后于業(yè)務的發(fā)展。在企業(yè)的內部環(huán)境中，企業(yè)業(yè)務的符合性直接決定了信息系統(tǒng)的設計、運行、試用和管理是否超出法律規(guī)定和合同規(guī)定的安全要求的約束范圍。另外，很多企業(yè)安裝了一定的安全設備，但缺乏統(tǒng)一的安全體系規(guī)劃和安全防范機制，企業(yè)安全責任不明確，這些都大大增加了信息安全事故發(fā)生的風險。由于缺乏業(yè)務連續(xù)性計劃和事故處理機制，發(fā)生信息安全事故之后，企業(yè)的業(yè)務往往會出現(xiàn)中斷，此時，信息管理人員又變成“救火員”恢復業(yè)務，最終信息安全建設變成一種“頭痛醫(yī)頭，腳痛醫(yī)腳”的亡羊補牢式的行為。此外，企業(yè)懲戒措施和審計機制的缺乏也是導致信息安全事故頻繁發(fā)生或重復發(fā)生的重要因素。

在信息安全管理的外部環(huán)境中，與企業(yè)密切相關的是第三方服務機構或個人。企業(yè)選擇第三方服務機構為企業(yè)提供服務，就意味著將企業(yè)的部分信息轉移至第三方。企業(yè)與第三方的外包合約不完善、第三方的服務質量不高以及對第三方數(shù)據(jù)訪問權限的不明確易導致企業(yè)關鍵數(shù)據(jù)的泄露，容易引發(fā)外部攻擊。

（二）人員因素分析

人員是信息安全管理中最為活躍的因素，不同類別的人員對信息安全事故的影響不盡相同。（1）管理人員。高層管理者是企業(yè)資源投入的決策者，也是企業(yè)信息安全管理的核心，高層對信息安全的支持和重視不夠是導致企業(yè)信息安全文化欠缺和員工信息安全意識淡漠的關鍵因素。中層管理者作為銜接企業(yè)高層和基層的橋梁，其對上級決策的執(zhí)行力度直接決定了企業(yè)信息安全管理實施的效果。（2）技術人員。在企業(yè)中，技術人員可以保證企業(yè)信息系統(tǒng)的日常運營和維護。但大多數(shù)企業(yè)，尤其是中小企業(yè)缺乏信息技術人才和安全監(jiān)察、審計人員。由于受人員及技術的限制，往往一個管理員既要負責系統(tǒng)的配置，又要負責系統(tǒng)的安全管理，安全設置和安全監(jiān)督都是“一肩挑”。這種情況使得管理權限過于集中，一旦管理員的權限失控，極易導致重要信息泄露。（3）基層人員。目前，我國企業(yè)的基層員工普遍缺乏信息安全的教育、培訓，對信息安全意識淡漠，每天都在以不安全的方式處理著企業(yè)的大量重要信息，如隨意使用移動設備、上網(wǎng)不限制等，這些不安全的行為都對企業(yè)的信息系統(tǒng)構成了潛在的威脅。

（三）技術因素分析

信息安全技術是企業(yè)防范信息安全事故的基本因素，也是我國企業(yè)在信息安全管理中投入較多的一部分。具體而言，導致信息安全事故技術方面的因素可以分為兩大類：（1）軟件因素，包括軟件設計缺陷或存在技術漏洞、殺毒軟件不及時更新以及突發(fā)的軟件故障等。（2）信息系統(tǒng)設計因素，包括信息系統(tǒng)設計時沒有以風險評估為基礎、業(yè)務流程描述錯誤或遺漏、前期測試不充分、數(shù)據(jù)訪問權限設置不清晰、關鍵數(shù)據(jù)沒有備份、信息資產(chǎn)安全等級不明確以及信息資產(chǎn)沒有保護措施等因素。這些不安全的技術因素導致了信息安全漏洞存在的必然性和普遍性。在目前互聯(lián)網(wǎng)普及的開放網(wǎng)絡環(huán)境中，這些漏洞無疑會給外部攻擊者留下可乘之機，導致信息安全事故的發(fā)生。

（四）設備因素分析

企業(yè)信息安全管理的設備主要包括中心機房、服務器、網(wǎng)絡設備、線路等方面，這些是企業(yè)信息安全保障系統(tǒng)的基礎。由于設備因素引起的信息安全事故包括硬件自身故障、保障設施故障、人為破壞事故、其他設備設施故障等四種，其致因因素可以歸納為三類：（1）物理安全方面，包括物理安全邊界不明確、非授權的物理訪問、設備或存儲介質缺乏安全措施、設施設備的非授權使用或移動、硬件失效等。（2）保障設施方面，包括供電或空調中斷、電氣故障、電纜損壞等。（3）外界不可抗力，包括水災、臺風、地震等自然災害和恐怖襲擊、戰(zhàn)爭等外界不可抗力因素。這些因素往往會造成設施設備硬件的損壞，導致存儲于設備上的數(shù)據(jù)受到干擾和破壞，容易引發(fā)企業(yè)業(yè)務的中斷。

四、防范措施

針對上述造成信息安全事故的因素分析，可以從人員培訓、制度完善以及硬件改進三個方面進行防范。具體而言：

（一）建立有效的“人力防火墻”，減少人為因素導致的信息安全事故

信息安全是企業(yè)每個員工都要面對的問題，通過建立“人力防火墻”能真正調動企業(yè)實現(xiàn)長治久安的內在動力。因此，必須加強信息安全宣傳工作，增強所有員工對信息安全重要性的認識。通過增強管理人員對信息安全的重視，營造企業(yè)的安全文化氛圍，提高企業(yè)員工的信息安全意識；通過對員工進行安全教育與培訓，增強員工的安全技能；通過法律法規(guī)、安全政策、訪問權限與懲戒措施來約束員工的行為，減少不安全行為的發(fā)生。最終在企業(yè)內部形成一種“信息安全，人人有責”的企業(yè)文化氛圍，減少人為因素導致的信息安全事故。

（二）完善企業(yè)信息安全管理體系，減少由于環(huán)境、技術因素導致的信息安全事故

信息安全管理體系是依據(jù)企業(yè)信息安全需求、業(yè)務流程分析和風險評估的結果，綜合利用各種信息安全技術與產(chǎn)品，在統(tǒng)一的綜合管理平臺上建立的信息安全管理機制和防范體系。建立并完善信息安全管理體系，可以為企業(yè)的信息管理提供來自策略、設計以及運行等各個層面和階段的安全保障，有效減少由于環(huán)境因素和技術因素引起的信息安全事故。建立災難恢復與業(yè)務持續(xù)性計劃，強化重要信息數(shù)據(jù)備份，在信息安全事故發(fā)生時能確保業(yè)務持續(xù)開展，將損失降到最低程度；建立集中化的管理控制機制，將數(shù)據(jù)安全控制進行集中化管理，建立一個具有全局性的網(wǎng)絡管理平臺，以確保安全防范策略能夠由上至下全面貫徹執(zhí)行，減少數(shù)據(jù)安全風險；以“適度防范”為原則，選擇合適的安全技術與產(chǎn)品，制定相應的訪問控制策略，在考慮成本和投資回報的基礎上滿足企業(yè)業(yè)務安全的需求。