導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇企業(yè)信息安全的概念，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

企業(yè)經(jīng)營(yíng)信息對(duì)于企業(yè)來(lái)說(shuō)是一種資源,對(duì)于企業(yè)自身來(lái)說(shuō)具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來(lái),企業(yè)的各項(xiàng)經(jīng)營(yíng)活動(dòng)都逐漸開(kāi)始通過(guò)計(jì)算機(jī),網(wǎng)絡(luò)開(kāi)展,因此,企業(yè)的信息安全管理對(duì)于企業(yè)越來(lái)越重要。許多企業(yè)開(kāi)始通過(guò)各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時(shí)將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制結(jié)合起來(lái),這是一個(gè)正確的選擇,能夠幫助企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營(yíng)。在介紹企業(yè)信息安全管理以及風(fēng)險(xiǎn)控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險(xiǎn)控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險(xiǎn)控制的定義。企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡(jiǎn)單來(lái)說(shuō)是指企業(yè)通過(guò)各種手段來(lái)保護(hù)企業(yè)硬件和軟件,保護(hù)網(wǎng)絡(luò)存儲(chǔ)中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對(duì)于信息安全的認(rèn)定通過(guò)包括4個(gè)指標(biāo),即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來(lái)越多,常見(jiàn)的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實(shí)現(xiàn)企業(yè)的信息安全管理,其中很重要的一項(xiàng)工作在于保護(hù)信源、信號(hào)以及信息。

信息安全管理是一項(xiàng)需要綜合學(xué)科知識(shí)基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過(guò)需要具有網(wǎng)絡(luò)安全技術(shù)、計(jì)算機(jī)技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來(lái)講,最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營(yíng)信息數(shù)據(jù)的完整。經(jīng)過(guò)近十年來(lái)的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過(guò)建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來(lái)幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。所以,怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來(lái)就是擺在企業(yè)經(jīng)營(yíng)管理者面前的一道難題。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過(guò)企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)。

企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估,并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息安全風(fēng)險(xiǎn),從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來(lái)不必要的損失。常見(jiàn)的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容。第一,建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度,明確企業(yè)信息安全管理的責(zé)任分配機(jī)制,明確企業(yè)各個(gè)部門(mén)對(duì)各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問(wèn)責(zé)機(jī)制。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo),對(duì)企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級(jí),方便企業(yè)管理者對(duì)不同的信息安全管理漏洞采取有區(qū)別的對(duì)策。第三,企業(yè)要加強(qiáng)對(duì)信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識(shí),讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識(shí)到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性。第四,將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合,重視企業(yè)信息安全管理工作,通過(guò)風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評(píng)估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對(duì)于企業(yè)來(lái)說(shuō),企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作,因此,必須增強(qiáng)對(duì)企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計(jì),目前很多企業(yè)對(duì)信息安全工作的管理僅僅停留在對(duì)企業(yè)信息安全管理工作人員的技術(shù)要求上,對(duì)企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險(xiǎn)意識(shí)并沒(méi)有嚴(yán)格要求。此外,絕大多數(shù)企業(yè)并沒(méi)有意識(shí)開(kāi)展對(duì)企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒(méi)有通過(guò)建立相關(guān)管理制度以及問(wèn)責(zé)機(jī)制對(duì)企業(yè)信息安全管理工作人員實(shí)行監(jiān)督,這無(wú)疑給別有用心或者立場(chǎng)不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。

2.企業(yè)信息安全管理技術(shù)不過(guò)關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計(jì)算機(jī)技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說(shuō)成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過(guò)關(guān),一方面企業(yè)的信息安全管理硬件并不過(guò)關(guān),在物理層面對(duì)企業(yè)信息缺乏保護(hù),另一方面,企業(yè)信息安全管理工作的專(zhuān)業(yè)技術(shù)沒(méi)有及時(shí)更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn),企業(yè)信息安全管理的知識(shí)也并沒(méi)有及時(shí)更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象。近年來(lái)網(wǎng)絡(luò)病毒的傳播越來(lái)越猖狂,很多服務(wù)器、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶(hù)端的時(shí)常更新成為一個(gè)惱人的問(wèn)題。作為一個(gè)行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶(hù)端數(shù)量占了較大比重,僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過(guò)調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面。第一,企業(yè)員工對(duì)于信息安全管理的認(rèn)識(shí)嚴(yán)重不足,對(duì)企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒(méi)有及時(shí)更新,使用,甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān),認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門(mén)的事。第二,企業(yè)內(nèi)部信息安全文秘站:管理制度并沒(méi)有形成聯(lián)動(dòng)機(jī)制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門(mén)“一人包干”,企業(yè)信息安全反映的問(wèn)題并沒(méi)有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見(jiàn)的技術(shù)手段 1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu),它的設(shè)計(jì)初衷是面向客戶(hù)的,提供給客戶(hù)各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來(lái)實(shí)現(xiàn),而安全服務(wù)又是由各種安全機(jī)制來(lái)保障的。所以,安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個(gè)部分:響應(yīng)、安全策略、檢測(cè)、防護(hù)。安全策略是信息安全的重點(diǎn),為安全管理提供管理途徑和保障手段。因此,要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過(guò)程,必須制定一個(gè)企業(yè)的安全模式。在安全策略的指導(dǎo)下實(shí)施所有的檢測(cè)、防護(hù)、響應(yīng),防護(hù)通常是通過(guò)采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來(lái)突破的,比如有防火墻、訪(fǎng)問(wèn)控制、加密、認(rèn)證等方法,檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù),同時(shí)也是有力落實(shí)安全策略的實(shí)施工具,通過(guò)監(jiān)視來(lái)自網(wǎng)絡(luò)的入侵行為,可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過(guò)不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來(lái)發(fā)現(xiàn)新的隱患和弱點(diǎn)。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險(xiǎn)潛在性的最有效的辦法。

3.HTP模型

HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強(qiáng)調(diào)動(dòng)態(tài)管理,動(dòng)態(tài)監(jiān)督,對(duì)于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理,在實(shí)際工作中,通過(guò)HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個(gè)全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個(gè)子系統(tǒng),明確實(shí)施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動(dòng)協(xié)議相融合,實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性。

(2)成立一個(gè)中央數(shù)據(jù)庫(kù),整合分布式數(shù)據(jù)庫(kù)里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫(kù),實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用。

(3)設(shè)計(jì)優(yōu)良的人機(jī)界面,通過(guò)對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用,為企業(yè)管理階層人員、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。

(4)簡(jiǎn)化企業(yè)內(nèi)部的信息傳輸通道,對(duì)應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行程序化設(shè)計(jì),加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系

(1)確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過(guò)程中,首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度,才能順利通過(guò)對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核,檢測(cè)企業(yè)信息安全管理的風(fēng)險(xiǎn),定性定量地企業(yè)信息安全管理工作進(jìn)行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法。

(2)確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍

不同企業(yè)對(duì)于風(fēng)險(xiǎn)的承受能力是有區(qū)別的,因此,對(duì)于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險(xiǎn)控制辦法,其中,不同企業(yè)對(duì)于能夠承受的信息安全風(fēng)范圍有所不同,企業(yè)的信息安全風(fēng)險(xiǎn)承受范圍需要根據(jù)企業(yè)的實(shí)際能力來(lái)制定。不僅如此,企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實(shí)際經(jīng)營(yíng)情況變化采取有針對(duì)性的辦法。

篇2

隨著信息化進(jìn)程的發(fā)展，信息技術(shù)與網(wǎng)絡(luò)技術(shù)的高度融合，現(xiàn)代企業(yè)對(duì)信息系統(tǒng)的依賴(lài)性與信息系統(tǒng)本身的動(dòng)態(tài)性、脆弱性、復(fù)雜性、高投入性之間的矛盾日趨突顯，如何有效防護(hù)信息安全成為了企業(yè)亟待解決的問(wèn)題之一。目前國(guó)內(nèi)企業(yè)在信息安全方面仍側(cè)重于技術(shù)防護(hù)和基于傳統(tǒng)模式下的靜態(tài)被動(dòng)管理，尚未形成與動(dòng)態(tài)持續(xù)的信息安全問(wèn)題相適應(yīng)的信息安全防護(hù)模式，企業(yè)信息安全管理效益低下；另一方面，資源約束性使企業(yè)更加關(guān)注信息安全防護(hù)的投入產(chǎn)出效應(yīng)，最大程度上預(yù)防信息安全風(fēng)險(xiǎn)的同時(shí)節(jié)省企業(yè)安全建設(shè)、維護(hù)成本，需要從管理角度上更深入地整合和分配資源。

本文針對(duì)現(xiàn)階段企業(yè)信息安全出現(xiàn)的問(wèn)題，結(jié)合項(xiàng)目管理領(lǐng)域的一般過(guò)程模型，從時(shí)間、任務(wù)、邏輯方面界定了系統(tǒng)的霍爾三維結(jié)構(gòu)，構(gòu)建了標(biāo)準(zhǔn)化的ISM結(jié)構(gòu)模型及動(dòng)態(tài)運(yùn)行框架，為信息網(wǎng)絡(luò)、信息系統(tǒng)、信息設(shè)備以及網(wǎng)絡(luò)用戶(hù)提供一個(gè)全方位、全過(guò)程、全面綜合的前瞻性立體防護(hù)，并從企業(yè)、政府兩個(gè)層面提出了提高整體信息安全防護(hù)水平的相關(guān)建議。

1 企業(yè)信息安全立體防護(hù)體系概述

1.1 企業(yè)信息安全立體防護(hù)體系概念

信息安全立體防護(hù)體系是指為保障企業(yè)信息的有效性、保密性、完整性、可用性和可控性，提供覆蓋到所有易被威脅攻擊的角落的全方位防護(hù)體系。該體系涵蓋了企業(yè)信息安全防護(hù)的一般步驟、具體階段及其任務(wù)范圍。

1.2 企業(yè)信息安全立體防護(hù)體系環(huán)境分析

系統(tǒng)運(yùn)行離不開(kāi)環(huán)境。信息產(chǎn)業(yè)其爆炸式發(fā)展的特性使企業(yè)信息安全的防護(hù)環(huán)境也相對(duì)復(fù)雜多變，同時(shí)，多樣性的防護(hù)需求要求有相適應(yīng)的環(huán)境與之配套。

企業(yè)信息安全立體防護(hù)體系的運(yùn)行環(huán)境主要包括三個(gè)方面，即社會(huì)文化環(huán)境、政府政策環(huán)境、行業(yè)技術(shù)環(huán)境。社會(huì)文化環(huán)境主要指在企業(yè)信息安全方面的社會(huì)整體教育程度和文化水平、行為習(xí)慣、道德準(zhǔn)則等。政府政策環(huán)境是指國(guó)家和政府針對(duì)于企業(yè)信息安全防護(hù)出臺(tái)的一系列政策和措施。行業(yè)技術(shù)環(huán)境是指信息行業(yè)為支持信息安全防護(hù)所開(kāi)發(fā)的一系列技術(shù)與相匹配的管理體制。

1.3 企業(yè)信息安全立體防護(hù)體系霍爾三維結(jié)構(gòu)

為平衡信息安全防護(hù)過(guò)程中的時(shí)間性、復(fù)雜性和主觀(guān)性，本文從時(shí)間、任務(wù)、邏輯層面建立了企業(yè)信息安全立體防護(hù)體系的三維空間結(jié)構(gòu)，如圖1所示。

時(shí)間維是指信息安全系統(tǒng)從開(kāi)始設(shè)計(jì)到最終實(shí)施按時(shí)間排序的全過(guò)程，由分析建立、實(shí)施運(yùn)行、監(jiān)視評(píng)審、保持改進(jìn)四個(gè)基本時(shí)間階段組成，并按PDCA過(guò)程循環(huán)[5]。邏輯維是指時(shí)間維的每一個(gè)階段內(nèi)所應(yīng)該遵循的思維程序，包括信息安全風(fēng)險(xiǎn)識(shí)別、危險(xiǎn)性辨識(shí)、危險(xiǎn)性評(píng)估、防范措施制定、防范措施實(shí)施五個(gè)步驟。任務(wù)維是指在企業(yè)信息安全防護(hù)的具體內(nèi)容，如網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全等。該霍爾三維結(jié)構(gòu)中任一階段和步驟又可進(jìn)一步展開(kāi)，形成分層次的樹(shù)狀體系。

2 企業(yè)信息安全立體防護(hù)體系解釋結(jié)構(gòu)模型

2.1 ISM模型簡(jiǎn)介

ISM（Interpretation Structural Model）技術(shù)，是美國(guó)J·N·沃菲爾德教授于1973年為研究復(fù)雜社會(huì)經(jīng)濟(jì)系統(tǒng)問(wèn)題而開(kāi)發(fā)的結(jié)構(gòu)模型化技術(shù)。該方法通過(guò)提取問(wèn)題的構(gòu)成要素，并利用矩陣等工具進(jìn)行邏輯運(yùn)算，明確其間的相互關(guān)系和層次結(jié)構(gòu)，使復(fù)雜系統(tǒng)轉(zhuǎn)化成多級(jí)遞階形式。

2.2 企業(yè)信息安全立體防護(hù)體系要素分析

本文根據(jù)企業(yè)信息安全的基本內(nèi)容，將立體防護(hù)體系劃分為如下15個(gè)構(gòu)成要素：

（1） 網(wǎng)絡(luò)安全：網(wǎng)絡(luò)平臺(tái)實(shí)現(xiàn)和訪(fǎng)問(wèn)模式的安全；

（2） 系統(tǒng)安全：操作系統(tǒng)自身的安全；

（3） 數(shù)據(jù)安全：數(shù)據(jù)在存儲(chǔ)和應(yīng)用過(guò)程中不被非授權(quán)用戶(hù)有意破壞或無(wú)意破壞；

（4） 應(yīng)用安全：應(yīng)用接入、應(yīng)用系統(tǒng)、應(yīng)用程序的控制安全；

（5） 物理安全：物理設(shè)備不受物理?yè)p壞或損壞時(shí)能及時(shí)修復(fù)或替換；

（6） 用戶(hù)安全：用戶(hù)被正確授權(quán)，不存在越權(quán)訪(fǎng)問(wèn)或多業(yè)務(wù)系統(tǒng)的授權(quán)矛盾；

（7） 終端安全：防病毒、補(bǔ)丁升級(jí)、桌面終端管理系統(tǒng)、終端邊界等的安全；

（8） 信息安全風(fēng)險(xiǎn)管理：涉及安全風(fēng)險(xiǎn)的評(píng)估、安全代價(jià)的評(píng)估等；

（9） 信息安全策略管理：包括安全措施的制定、實(shí)施、評(píng)估、改進(jìn)；

（10） 信息安全日常管理：巡視、巡檢、監(jiān)控、日志管理等；

（11） 標(biāo)準(zhǔn)規(guī)范體系：安全技術(shù)、安全產(chǎn)品、安全措施、安全操作等規(guī)范化條例；

（12） 管理制度體系：包括配套規(guī)章制度，如培訓(xùn)制度、上崗制度；

（13） 評(píng)價(jià)考核體系：指評(píng)價(jià)指標(biāo)、安全測(cè)評(píng)；

（14） 組織保障：包括安全管理員、安全組織機(jī)構(gòu)的配備；

（15） 資金保障：指建設(shè)、運(yùn)維費(fèi)用的投入。

2.3 ISM模型計(jì)算

根據(jù)專(zhuān)家對(duì)企業(yè)信息安全立體防護(hù)體系中15個(gè)構(gòu)成要素邏輯關(guān)系的分析，可得要素關(guān)系如表1所示。

對(duì)可達(dá)矩陣進(jìn)行區(qū)域劃分和級(jí)位劃分，確定各要素所處層次地位。在可達(dá)矩陣中找出各個(gè)因素的可達(dá)集R（Si），前因集A（Si）以及可達(dá)集R（Si）與前因集A（Si）的交集R（Si）∩A（Si），得到第一級(jí)的可達(dá)集與前因集（見(jiàn)表2）。

2.4 企業(yè)信息安全立體防護(hù)結(jié)構(gòu)

結(jié)合信息安全防護(hù)的特點(diǎn)，企業(yè)信息安全立體防護(hù)體系15個(gè)要素相互聯(lián)系、相互作用，有機(jī)地構(gòu)成遞階有向?qū)蛹?jí)結(jié)構(gòu)模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素，雙向箭頭表示同級(jí)影響。

從圖2可以看出，企業(yè)信息安全防護(hù)體系內(nèi)容為四級(jí)遞階結(jié)構(gòu)。從下往上，第一層因素從制度層面闡述了企業(yè)信息安全防護(hù)，該層的五個(gè)因素處于ISM結(jié)構(gòu)的最基層且相互獨(dú)立，構(gòu)成了企業(yè)信息安全立體防護(hù)的基礎(chǔ)。第二層因素在基于保障的前提下，確定了企業(yè)為確保信息安全進(jìn)行管理活動(dòng)，是進(jìn)行立體防護(hù)的方法和手段；第三層因素是從物理?xiàng)l件、傳輸過(guò)程方面揭示了企業(yè)進(jìn)行信息安全防護(hù)可控點(diǎn)，其中物理安全是控制基礎(chǔ)。第四層要素是企業(yè)信息安全的直接需求，作為信息的直接表現(xiàn)形式，數(shù)據(jù)是企業(yè)信息安全立體防護(hù)的核心。企業(yè)信息安全防護(hù)體系的四級(jí)遞階結(jié)構(gòu)充分體現(xiàn)了企業(yè)信息安全防護(hù)體系的整體性、層級(jí)性、交互性。

圖2 企業(yè)信息安全防護(hù)解釋結(jié)構(gòu)模型

2.5 企業(yè)信息安全立體防護(hù)過(guò)程

企業(yè)信息安全立體防護(hù)是一個(gè)多層次的動(dòng)態(tài)過(guò)程，它隨著環(huán)境和信息傳遞需求變化而變化。本文在立體防護(hù)結(jié)構(gòu)模型的基礎(chǔ)上對(duì)企業(yè)信息安全防護(hù)結(jié)構(gòu)進(jìn)行擴(kuò)展，構(gòu)建了整體運(yùn)行框架（見(jiàn)圖3）。

從圖3 中可以看出，企業(yè)信息安全防護(hù)過(guò)程按分析建立到體系保持改進(jìn)的四個(gè)基本時(shí)間階段中有序進(jìn)行，充分體現(xiàn)出時(shí)間維度上的動(dòng)態(tài)性。具體步驟如下：

（1） 綜合分析現(xiàn)行的行業(yè)標(biāo)準(zhǔn)規(guī)范體系，企業(yè)內(nèi)部管理流程、人員組織結(jié)構(gòu)和企業(yè)資金實(shí)力，建立企業(yè)信息安全防護(hù)目標(biāo)，并根據(jù)需要將安全防護(hù)內(nèi)容進(jìn)行等級(jí)劃分。

（2） 對(duì)防護(hù)內(nèi)容進(jìn)行日常監(jiān)測(cè)（包括統(tǒng)計(jì)分析其他公司近期發(fā)生的安全事故），形成預(yù)警，進(jìn)而對(duì)公司信息系統(tǒng)進(jìn)行入侵監(jiān)測(cè)，判斷其是否潛在威脅。

（3） 若存在威脅，則進(jìn)一步確定威脅來(lái)源，并對(duì)危險(xiǎn)性進(jìn)行評(píng)估，判斷其是否能通過(guò)現(xiàn)有措施解決。

（4） 平衡控制成本和實(shí)效性，采取防范措施，并分析其效用，最終形成內(nèi)部信息防護(hù)手冊(cè)。

3 分析及對(duì)策

3.1 企業(yè)層面

（1） 加強(qiáng)系統(tǒng)整體性。企業(yè)信息安全防護(hù)體系的15個(gè)構(gòu)成要素隸屬于一個(gè)共同區(qū)域，在同一系統(tǒng)大環(huán)境下運(yùn)作。資源受限情況下要最大程度地保障企業(yè)信息安全，就必須遵循一切從整體目標(biāo)出發(fā)的原則，加強(qiáng)信息安全防護(hù)的整體布局，在對(duì)原有產(chǎn)品升級(jí)和重新部署時(shí)，應(yīng)統(tǒng)一規(guī)劃，統(tǒng)籌安排，追求整體效能和投入產(chǎn)出效應(yīng)。

（2） 明確系統(tǒng)層級(jí)性。企業(yè)信息安全防護(hù)工作效率的高低很大程度上取決于在各個(gè)防護(hù)層級(jí)上的管理。企業(yè)信息安全防護(hù)涉及技術(shù)層面防護(hù)、策略層面防護(hù)、制度層面防護(hù)，三個(gè)層面互相依存、互相作用，其中制度和保障是基礎(chǔ)，策略是支撐，技術(shù)是手段。要有效維護(hù)企業(yè)信息安全，企業(yè)就必須正確處理好體系間的縱向關(guān)系，在尋求技術(shù)支撐的同時(shí)，更要立足于管理，加強(qiáng)工作間的協(xié)調(diào)，避免重復(fù)投入、重復(fù)建設(shè)。

（3） 降低系統(tǒng)交互性。在企業(yè)信息安全防護(hù)體系同級(jí)之間，相關(guān)要素呈現(xiàn)出了強(qiáng)連接關(guān)系，這種交互式的影響，使得系統(tǒng)運(yùn)行更加復(fù)雜。因此需要加快企業(yè)內(nèi)部規(guī)章制度和技術(shù)規(guī)范的建設(shè)，界定好每個(gè)工作環(huán)節(jié)的邊界，準(zhǔn)確定位風(fēng)險(xiǎn)源，并確保信息安全策略得到恰當(dāng)?shù)睦斫夂陀行?zhí)行，防止在循環(huán)狀態(tài)下風(fēng)險(xiǎn)的交叉影響使防范難度加大。

（4） 關(guān)注系統(tǒng)動(dòng)態(tài)性。信息安全防護(hù)是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程，它隨著信息技術(shù)發(fā)展而不斷發(fā)展。因此，企業(yè)在進(jìn)行信息安全防護(hù)時(shí)，應(yīng)在時(shí)間維度上對(duì)信息安全有一個(gè)質(zhì)的認(rèn)識(shí)，準(zhǔn)確定位企業(yè)信息安全防護(hù)所處的工作階段，限定處理信息安全風(fēng)險(xiǎn)的時(shí)間界限，重視不同時(shí)間段上的延續(xù)性，并運(yùn)用恰當(dāng)?shù)墓ぞ叻椒▉?lái)對(duì)風(fēng)險(xiǎn)加以識(shí)別，辨別風(fēng)險(xiǎn)可能所帶來(lái)的危險(xiǎn)及其危害程度，做出防范措施，實(shí)現(xiàn)企業(yè)信息安全的全過(guò)程動(dòng)態(tài)管理。

3.2 政府層面

企業(yè)信息安全防護(hù)不是一個(gè)孤立的系統(tǒng)，它受制于環(huán)境的變化。良好的社會(huì)文化環(huán)境有助于整體安全防護(hù)能力主動(dòng)性的提高，有力的政策是推動(dòng)企業(yè)信息安全防護(hù)發(fā)展的前提和條件，高效的行業(yè)技術(shù)反應(yīng)機(jī)制是信息安全防護(hù)的推動(dòng)力。因此在注重企業(yè)層面的管理之外，還必須借助于政府建立一個(gè)積極的環(huán)境。

（1） 加強(qiáng)信息安全防護(hù)方面的文化建設(shè)。一方面，政府應(yīng)大力宣傳信息安全的重要性及相關(guān)政策，提高全民信息安全素質(zhì)，從道德層面上防止信息安全事故的發(fā)生；另一方面，政府應(yīng)督促企業(yè)加強(qiáng)信息安全思想教育、職能教育、技能教育、法制教育，從思想上、理論上提高和強(qiáng)化社會(huì)信息安全防護(hù)意識(shí)和自律意識(shí)。

（2） 高度重視信息安全及其衍生問(wèn)題。政府應(yīng)加快整合和完善現(xiàn)有信息安全方面的法律、法規(guī)、行業(yè)標(biāo)準(zhǔn)，建立多元監(jiān)管模式和長(zhǎng)效監(jiān)管機(jī)制，保證各項(xiàng)法律、法規(guī)和標(biāo)準(zhǔn)得到公平、公正、有效的實(shí)施，為企業(yè)信息安全創(chuàng)造有力的支持。

（3） 加大信息安全產(chǎn)業(yè)投入。政府應(yīng)高度重視技術(shù)人才的培養(yǎng)，加快信息安全產(chǎn)品核心技術(shù)的自主研發(fā)和生產(chǎn)，支持信息安全服務(wù)行業(yè)的發(fā)展。

4 結(jié) 語(yǔ)

本文從企業(yè)信息安全防護(hù)的實(shí)際需求出發(fā)，構(gòu)建企業(yè)信息安全防護(hù)基本模型，為企業(yè)信息安全防護(hù)工作的落實(shí)提供有效指導(dǎo)，節(jié)省企業(yè)在信息安全防護(hù)體系建設(shè)上的投入。同時(shí)針對(duì)現(xiàn)階段企業(yè)信息安全防護(hù)存在的問(wèn)題從企業(yè)層面和政府層面提出相關(guān)建議。

參考文獻(xiàn)

[1] 中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心.信息安全理論與技術(shù)[M].北京：人民郵電出版社，2003.

[2] 汪應(yīng)洛.系統(tǒng)工程[M].3版.北京：高等教育出版社，2003.

[3] 齊峰.COBIT在企業(yè)信息安全管理中的應(yīng)用實(shí)踐[J].計(jì)算機(jī)應(yīng)用與軟件，2009，26（10）：282?285.

[4] 肖餛.淺議網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理[J].標(biāo)準(zhǔn)科學(xué)，2010（8）：20?23.

篇3

信息，同企業(yè)其他資產(chǎn)一樣是種資產(chǎn)，對(duì)企業(yè)的發(fā)展有很大作用。信息以各種形式存在，包括紙質(zhì)的、電子的、圖像的等。我國(guó)信息專(zhuān)家鐘義信認(rèn)為：“信息是該事物運(yùn)動(dòng)的狀態(tài)和狀態(tài)變化方式的自我表述/自我顯示?！鳖櫭剂x，信息安全既保障“信息”的“安全”。關(guān)于信息安全，國(guó)際標(biāo)準(zhǔn)化組織（ISO）認(rèn)為：“信息安全是在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。我國(guó)信息安全專(zhuān)家沈昌祥院士則認(rèn)為：“信息安全是保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪(fǎng)問(wèn)、使用、泄露、中斷、修改和破壞，為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認(rèn)性”。

二、企業(yè)信息安全體系設(shè)計(jì)

2.1企業(yè)信息安全體系方案概述

2.1.1信息安全體系設(shè)計(jì)原則

企業(yè)信息安全體系的設(shè)計(jì)應(yīng)遵從以下原則：

（1）性能平衡，合理劃分：提高整個(gè)系統(tǒng)的“安全低點(diǎn)”的性能，保證各層面能得到均衡防護(hù)；按照合理原則劃分為安全等級(jí)，分區(qū)域、分等級(jí)防護(hù)。

（2）標(biāo)準(zhǔn)一致，功能互補(bǔ)：在產(chǎn)品技術(shù)、產(chǎn)品設(shè)備選擇方面，盡可能遵循同一業(yè)界標(biāo)準(zhǔn)；充分考慮不同廠(chǎng)商、不同安全產(chǎn)品的功能互補(bǔ)，在進(jìn)行多層防護(hù)時(shí)，考慮使用不同廠(chǎng)家的。

（3）統(tǒng)籌規(guī)劃，分步實(shí)施。

2.1.2信息安全體系框架

網(wǎng)絡(luò)安全的實(shí)現(xiàn)不是目標(biāo)，是過(guò)程。其過(guò)程經(jīng)歷了安全評(píng)估、制訂安全策略、安全培訓(xùn)、安全技術(shù)實(shí)施、安全網(wǎng)絡(luò)檢測(cè)、應(yīng)急響應(yīng)和災(zāi)難恢復(fù)等環(huán)節(jié)，并不斷地螺旋式提高發(fā)展，得以實(shí)現(xiàn)網(wǎng)絡(luò)安全。信息安全體系的三要素：管理、技術(shù)和運(yùn)維。通過(guò)一系列的戰(zhàn)略、系統(tǒng)和機(jī)制的協(xié)調(diào)，明確技術(shù)實(shí)現(xiàn)方法與相關(guān)安全操作人員的職責(zé)，從而達(dá)到安全風(fēng)險(xiǎn)的發(fā)現(xiàn)和有效控制，從而改善的安全問(wèn)題反應(yīng)速度和恢復(fù)能力，增強(qiáng)整體網(wǎng)絡(luò)安全能力。管理方面，建立、健全安全組織結(jié)構(gòu)；技術(shù)方面，建立分層網(wǎng)絡(luò)安全策略；運(yùn)維方面，通過(guò)不同的安全機(jī)制，提高網(wǎng)絡(luò)安全的能力。

2.2企業(yè)信息安全技術(shù)體系

2.2.1信息安全技術(shù)體系概述

（l）設(shè)計(jì)原則

分析企業(yè)信息網(wǎng)絡(luò)安全面臨的主要威脅，實(shí)施有針對(duì)性的安全技術(shù)體系。安全技術(shù)體系的總體性要求如下：全面綜合：采用綜合解決方案，體系層次化，具有縱深性。集成統(tǒng)一：有效集成各類(lèi)管理工具，集中化管理所有IT系統(tǒng)。開(kāi)放適應(yīng)：支持各種安全管理標(biāo)準(zhǔn)，能適應(yīng)組織和環(huán)境的變化。

（2）信息安全技術(shù)體系框架

通過(guò)物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全等方面進(jìn)行建設(shè)。具體有以下措施：物理安全防護(hù)建設(shè)；統(tǒng)一容災(zāi)備份中心建設(shè)；防火墻系統(tǒng)的部署；入侵防護(hù)系統(tǒng)的部署；系統(tǒng)安全防護(hù)建設(shè)；防病毒系統(tǒng)部署；漏洞掃描系統(tǒng)部署；信息審計(jì)系統(tǒng)防護(hù)。

2.2.2物理安全防護(hù)建設(shè)

（1）配套設(shè)備安全

采用多路供電（市電、動(dòng)力電、UPS）的方法，多路電源同時(shí)接入企業(yè)信息系統(tǒng)大樓或主機(jī)房及重要信息存儲(chǔ)、收發(fā)等重要部門(mén)，當(dāng)市電故障后自動(dòng)切換至動(dòng)力電，動(dòng)力電故障后自動(dòng)至UPS供電。并且，當(dāng)下級(jí)電源恢復(fù)后，應(yīng)立即自動(dòng)切換回去。這樣，既保證了安全性，又降低了運(yùn)行費(fèi)用。形成一套完整的先進(jìn)和完善的供電系統(tǒng)及緊急報(bào)警系統(tǒng)。供電系統(tǒng)中，會(huì)有尖峰、浪涌等不良現(xiàn)象發(fā)生，一旦發(fā)生，輕則斷電重啟，重則燒毀并引發(fā)火災(zāi)。這種情況下，UPS也無(wú)濟(jì)于事。為避免對(duì)供電質(zhì)量和造成不安全因素，可以使用電力凈化系統(tǒng)。電源凈化系統(tǒng)不僅保證電源質(zhì)量，同時(shí)還可減少電磁污染，避免信息隨電纜外泄。用多路供電接入企業(yè)機(jī)房及重要部門(mén)，降低了運(yùn)行成本，又保證了系統(tǒng)的安全。

（2）計(jì)算機(jī)場(chǎng)地安全

嚴(yán)格按照國(guó)家標(biāo)準(zhǔn)建設(shè)，如國(guó)標(biāo)GB/T2887-2000《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》、GB9254-1998《信息技術(shù)設(shè)備的無(wú)線(xiàn)電騷擾限值和測(cè)量方法》等?！峨娮佑?jì)算機(jī)場(chǎng)地通用規(guī)范》規(guī)定了站址選擇條件：計(jì)算機(jī)場(chǎng)地盡量建在電力、水源充足，自然環(huán)境清潔、通信、交通運(yùn)輸方便的地方；應(yīng)盡量避開(kāi)強(qiáng)電磁場(chǎng)的干擾；應(yīng)盡量遠(yuǎn)離強(qiáng)振動(dòng)源和強(qiáng)噪聲源；應(yīng)盡量建在建筑物的高層及地下室以及用水設(shè)備的下層。規(guī)定了溫度、濕度條件并將它分成ABC三級(jí)；規(guī)定了照明、日志、電磁場(chǎng)干擾具體技術(shù)條件；規(guī)定了接地、供電、建筑結(jié)構(gòu)條件等。

2.2.3統(tǒng)一容災(zāi)備份中心建設(shè)

無(wú)論企業(yè)信息系統(tǒng)設(shè)計(jì)、維護(hù)得多科學(xué)合理，故障的發(fā)生都是不可避免的，因此在設(shè)計(jì)時(shí)都應(yīng)考慮容災(zāi)解決方案，即統(tǒng)一容災(zāi)備份中心建設(shè)?；舅悸肥恰皵?shù)據(jù)冗余+異地分布”，即在異地建立和維護(hù)一份或多份數(shù)據(jù)冗余，利用數(shù)據(jù)的冗余性和地理分散性來(lái)提高對(duì)災(zāi)難事件的抵御能力。企業(yè)數(shù)據(jù)容災(zāi)，存儲(chǔ)是基礎(chǔ)，備份是核心，恢復(fù)是關(guān)鍵。信息網(wǎng)絡(luò)采用本地備份與異地備份的混合方式，以確保數(shù)據(jù)或系統(tǒng)的安全。通過(guò)各種層面的冗余技術(shù)，減少單點(diǎn)故障；使用合適的備份技術(shù)實(shí)現(xiàn)針對(duì)各個(gè)位置存放的數(shù)據(jù)的保護(hù)、隔離和嚴(yán)格訪(fǎng)問(wèn)，保證數(shù)據(jù)的一致性、安全性和完整性。包括：存儲(chǔ)磁盤(pán)的冗余設(shè)計(jì)，對(duì)系統(tǒng)盤(pán)采用RAID1技術(shù)，對(duì)數(shù)據(jù)盤(pán)采用RAID5技術(shù)。數(shù)據(jù)的冗余備份設(shè)計(jì)：數(shù)據(jù)庫(kù)數(shù)據(jù)文件的存放采用基于SAN架構(gòu)的存儲(chǔ)方案，在保證讀取速度的同時(shí)，利用遠(yuǎn)程數(shù)據(jù)鏡像和數(shù)據(jù)復(fù)制技術(shù)進(jìn)行冗余備份，在區(qū)域性空難發(fā)生時(shí)能更大限度保證數(shù)據(jù)完整和安全。對(duì)核心業(yè)務(wù)的數(shù)據(jù)庫(kù)數(shù)據(jù)，還可利用SQLServer自帶的數(shù)據(jù)備份工具進(jìn)行數(shù)據(jù)庫(kù)文件備份，有效應(yīng)對(duì)文件損壞或人為誤操作帶來(lái)的數(shù)據(jù)風(fēng)險(xiǎn)。對(duì)正常業(yè)務(wù)中關(guān)鍵數(shù)據(jù)或全業(yè)務(wù)數(shù)據(jù)進(jìn)行保護(hù)，將主數(shù)據(jù)庫(kù)的數(shù)據(jù)以邏輯的方式在異地機(jī)房建設(shè)一個(gè)同樣的數(shù)據(jù)庫(kù)，并且實(shí)時(shí)更新數(shù)據(jù)，當(dāng)主數(shù)據(jù)庫(kù)因?yàn)?zāi)損壞或失去，異地?cái)?shù)據(jù)庫(kù)可以及時(shí)接管業(yè)務(wù)，從而達(dá)到容災(zāi)的目的。

三、結(jié)論及展望

篇4

IT服務(wù)外包井噴式發(fā)展

在強(qiáng)調(diào)企業(yè)核心競(jìng)爭(zhēng)力的今天，越來(lái)越多的公司將IT服務(wù)外包作為企業(yè)長(zhǎng)期戰(zhàn)略成本管理的新興工具。服務(wù)外包的實(shí)質(zhì)是企業(yè)和服務(wù)商之間的“委托―”關(guān)系。企業(yè)需要對(duì)自己重新進(jìn)行定位，截取價(jià)值鏈中較短的部分，縮小經(jīng)營(yíng)范圍，在此基礎(chǔ)上重新配置企業(yè)的各種資源，將資源集中到最能反映企業(yè)優(yōu)勢(shì)的領(lǐng)域，從而更好地構(gòu)筑競(jìng)爭(zhēng)優(yōu)勢(shì)，以此獲得可持續(xù)發(fā)展的能力。

隨著企業(yè)業(yè)務(wù)發(fā)展過(guò)程中信息系統(tǒng)所涉及的內(nèi)容越來(lái)越多、結(jié)構(gòu)越來(lái)越龐大，企業(yè)信息化再也不僅僅是IT部門(mén)自己的事情。企業(yè)市場(chǎng)競(jìng)爭(zhēng)壓力越來(lái)越大，在信息化建設(shè)和管理期間迎來(lái)了嚴(yán)峻的考驗(yàn)。一方面是IT部門(mén)人員少、系統(tǒng)多、任務(wù)重，另一方面是公司要求IT部門(mén)削減成本、并消除由于缺乏內(nèi)部控制和運(yùn)作準(zhǔn)則導(dǎo)致的混亂狀態(tài)，以更高效地服務(wù)業(yè)務(wù)部門(mén)。

在多重壓力之下，許多企業(yè)認(rèn)為IT部門(mén)最重要的工作是確保信息和流程的順暢，而服務(wù)器、存儲(chǔ)系統(tǒng)、網(wǎng)絡(luò)或者交換機(jī)等設(shè)備并不是最重要。因此，許多企業(yè)傾向于將某些應(yīng)用系統(tǒng)、基礎(chǔ)設(shè)施和部分非核心系統(tǒng)外包給服務(wù)商負(fù)責(zé)維護(hù)。

IT服務(wù)外包的風(fēng)險(xiǎn)

企業(yè)借外部力量提供專(zhuān)業(yè)化服務(wù)、將部分非核心業(yè)務(wù)進(jìn)行離岸資源外包的過(guò)程中，面臨著管控、運(yùn)營(yíng)等一系列風(fēng)險(xiǎn)，其中最重要的是信息安全風(fēng)險(xiǎn)的威脅。

從表面上看，采用IT外包策略不但可以節(jié)約成本，還能提高效率。但事實(shí)上，許多企業(yè)對(duì)IT外包都有許多道不盡的愛(ài)恨情仇。外包是一柄雙刃劍，其好處是可以向企業(yè)灌輸技術(shù)與人才，幫助企業(yè)擺脫繁瑣的IT業(yè)務(wù)――有效的外包能讓公司更好的專(zhuān)注于核心業(yè)務(wù)。

但是進(jìn)行IT外包并不是一件輕松的事情，如果處理不好，不僅不會(huì)帶來(lái)預(yù)期的效益，反而會(huì)變成一場(chǎng)噩夢(mèng)和致命的災(zāi)難。所以對(duì)于企業(yè)IT主管部門(mén)而言，必須具有很強(qiáng)的經(jīng)驗(yàn)和管理技能，才能談“外包” 二字。

IT外包服務(wù)要成為一種商品，就必須形成一套規(guī)范和標(biāo)準(zhǔn)，以約束買(mǎi)賣(mài)雙方。但目前國(guó)內(nèi)IT外包服務(wù)領(lǐng)域既無(wú)統(tǒng)一規(guī)范也無(wú)公認(rèn)標(biāo)準(zhǔn)。概念模糊的用戶(hù)，面對(duì)同樣概念模糊的IT廠(chǎng)商，如何評(píng)估、簽合同、質(zhì)量控制和定價(jià)等都是潛在的“風(fēng)險(xiǎn)”。

此外，IT外包還面臨著 IT管理的復(fù)雜性、軟件缺失、知識(shí)產(chǎn)權(quán)以及IT外包服務(wù)提供商自身能否健康成長(zhǎng)等風(fēng)險(xiǎn)。因此企業(yè)需要在風(fēng)險(xiǎn)、成本與效果、效率之間找到平衡點(diǎn)。

同時(shí)，由于委托方和方之間可能存在信息不對(duì)稱(chēng)和信息扭曲等問(wèn)題，加之市場(chǎng)及宏觀(guān)環(huán)境的不確定性，導(dǎo)致委托方在實(shí)施外包過(guò)程中承擔(dān)著種種風(fēng)險(xiǎn)。

外包服務(wù)關(guān)鍵詞：信息安全

企業(yè)在IT服務(wù)外包過(guò)程中面臨的最大挑戰(zhàn)，就是如何確保企業(yè)信息和數(shù)據(jù)的安全，如何建立起有效的信息安全管控框架，以符合企業(yè)信息安全要求。

首先，確認(rèn)企業(yè)內(nèi)部信息安全管控過(guò)程是否可持續(xù)監(jiān)管和優(yōu)化。在信息防泄漏的“戰(zhàn)爭(zhēng)”中，相比于躲在暗處的泄密者和安全威脅，站在明處的企業(yè)顯然略失先機(jī)。但如果企業(yè)能夠做到預(yù)先防御，在對(duì)手出招之前采取針對(duì)性的保護(hù)措施，就能從根本上“轉(zhuǎn)被動(dòng)為主動(dòng)”，做好內(nèi)部數(shù)據(jù)安全防護(hù)。

因此，良好的信息防泄體系的前提就是要時(shí)刻掌握企業(yè)動(dòng)態(tài)，做到要有的放矢。很重要的一點(diǎn)是要實(shí)現(xiàn)內(nèi)部操作的“可視化”，以隨時(shí)監(jiān)測(cè)整個(gè)信息系統(tǒng)的安全狀況，做到迅速反應(yīng)，甚至還能預(yù)測(cè)到潛在的風(fēng)險(xiǎn)，化被動(dòng)防御為積極防御。

其次，企業(yè)信息安全體系設(shè)計(jì)需進(jìn)行全局評(píng)估和建設(shè)，規(guī)避疏漏和風(fēng)險(xiǎn)。安全領(lǐng)域中的木桶理論和馬其頓防線(xiàn)的故事相信大家都了解――無(wú)論怎么豪華的防線(xiàn)，一個(gè)漏洞就可以毀滅所有一切。在企業(yè)中，有時(shí)候可能是一個(gè)小小的系統(tǒng)漏洞就可能毀滅了幾百萬(wàn)投資的努力，或者一個(gè)無(wú)意的非法補(bǔ)丁行為就讓企業(yè)蒙受損失。

因此，在解決安全問(wèn)題之時(shí)，不能僅僅依賴(lài)透明加密等技術(shù)手段，“頭痛醫(yī)頭，腳痛醫(yī)腳”地堆砌不同安全產(chǎn)品及封堵安全漏洞，而是需要站在一個(gè)更高的戰(zhàn)略角度來(lái)通盤(pán)考慮。如果缺乏整體的分析視角，企業(yè)可能會(huì)忽視或者低估某個(gè)安全攻擊的真正威脅，采取的安全措施也可能無(wú)法解決真正的問(wèn)題。

所以，在實(shí)際的防泄漏建設(shè)中，必須從整體上來(lái)評(píng)估企業(yè)的信息安全狀況，運(yùn)用統(tǒng)一平臺(tái)來(lái)進(jìn)行風(fēng)險(xiǎn)和安全管理，檢測(cè)出內(nèi)部問(wèn)題，從而描繪出整個(gè)企業(yè)當(dāng)前安全情況的更清晰和更準(zhǔn)確的圖景，采取針對(duì)性的防護(hù)措施，最大限度降低企業(yè)的安全風(fēng)險(xiǎn)。

另外，要有安全和防護(hù)等級(jí)措施。企業(yè)在構(gòu)建立體化、全方位的整體信息防泄體系時(shí)并不是一刀切，不分輕重地在全公司范圍內(nèi)采取相同的策略，這樣雖然看似達(dá)到了最為安全的效果，但對(duì)業(yè)務(wù)造成的巨大影響，以及因此產(chǎn)生的高額成本，對(duì)企業(yè)來(lái)說(shuō)，都是巨大的負(fù)擔(dān)。

對(duì)信息安全來(lái)說(shuō)，威脅和風(fēng)險(xiǎn)往往和高價(jià)值的信息資產(chǎn)聯(lián)系在一起，安全保護(hù)工作也就應(yīng)該輕重有別，將重點(diǎn)放在高價(jià)值的信息資產(chǎn)上。在安全建設(shè)過(guò)程中，對(duì)程度高的部門(mén)或崗位進(jìn)行力度大的防御，對(duì)程度低的部門(mén)采取相應(yīng)的安全防御。同時(shí)衡量提升安全性可能帶來(lái)的業(yè)務(wù)操作上的麻煩、企業(yè)安全成本等問(wèn)題，是企業(yè)必須要做的事情。

在企業(yè)實(shí)施安全防護(hù)等級(jí)風(fēng)險(xiǎn)評(píng)估過(guò)程中，往往需要結(jié)合企業(yè)的實(shí)際情況，對(duì)三種技術(shù)手段整合運(yùn)用：首先，在全公司范圍內(nèi)進(jìn)行安全審計(jì)，掌握企業(yè)操作，發(fā)現(xiàn)安全隱患；其次，對(duì)特殊崗位和部門(mén)，進(jìn)行嚴(yán)格管控，限制信息的帶出；最后，在核心部門(mén)內(nèi)部，對(duì)機(jī)密信息進(jìn)行透明加密。這樣既可保證公司的正常業(yè)務(wù)運(yùn)作，又能有的放矢地實(shí)現(xiàn)最優(yōu)化的信息防泄漏管理，還大大節(jié)約了投資成本。

此外，利用科學(xué)可行的安全策略和必要的技術(shù)手段實(shí)現(xiàn)動(dòng)態(tài)性防護(hù)。動(dòng)態(tài)性的信息泄露防護(hù)，對(duì)于目前泄密方式日益增多的企業(yè)來(lái)說(shuō)，非常重要。某些企業(yè)往往在安全事件發(fā)生之后才對(duì)現(xiàn)在的策略進(jìn)行被動(dòng)的調(diào)整。這種“吃一塹、長(zhǎng)一智”的防護(hù)模式，對(duì)于企業(yè)而言，有可能是致命的。一旦出了安全事故，恐怕亡羊補(bǔ)牢，為時(shí)已晚。

企業(yè)需要建立一個(gè)動(dòng)態(tài)性的安全防護(hù)，前瞻性地發(fā)現(xiàn)安全威脅，并通過(guò)對(duì)技術(shù)或管理上的策略進(jìn)行及時(shí)調(diào)整更新，防范潛在的安全風(fēng)險(xiǎn)。

最后要強(qiáng)調(diào)的是，信息安全體系必須便于使用和維護(hù)。如今，市場(chǎng)上五花八門(mén)的信息防泄漏產(chǎn)品讓企業(yè)眼花繚亂，企業(yè)期望這種“強(qiáng)強(qiáng)組合”能給企業(yè)套上萬(wàn)無(wú)一失的金鐘罩。殊不知這種做法往往意味著企業(yè)必須付出較高的成本，并增加了技術(shù)的復(fù)雜性，還容易導(dǎo)致產(chǎn)品軟件沖突等問(wèn)題，企業(yè)雖然“裝”了安全產(chǎn)品，但根本“用”不了。

目前，能夠提供整體解決方案的單一安全產(chǎn)品可謂不錯(cuò)的選擇，它能夠幫助企業(yè)建立統(tǒng)一的安全管理平臺(tái)，無(wú)論企業(yè)安全邊界防護(hù)、還是內(nèi)部使用，都做了整體全面的考慮，同時(shí)簡(jiǎn)化了日常的操作與管理、降低了系統(tǒng)的資源占用、避免了軟件沖突等多種問(wèn)題，使用維護(hù)亦非常方便，大大節(jié)約了IT人員的時(shí)間和精力。

綜上所述，如企業(yè)信息防泄漏建設(shè)符合以上檢測(cè)標(biāo)準(zhǔn)，說(shuō)明該企業(yè)已經(jīng)建立了一個(gè)完善的整體信息防泄漏體系，機(jī)密信息也得到了最大化的保護(hù)，實(shí)現(xiàn)了“成本、效率、安全”三者的最佳平衡，這也是近年來(lái)被大家認(rèn)可的“整體信息防泄漏”理念的核心。

實(shí)際上，信息防泄本身就是一種博弈，是企業(yè)和人的博弈。它是一場(chǎng)思維的交鋒，企業(yè)只有掌握了內(nèi)部的行為操作，同時(shí)針對(duì)內(nèi)部安全威脅建立全面、立體化的安全防護(hù)，信息防泄才會(huì)立于不敗之地。

天璣外包信息安全管控體系

天璣科技提供的IT外包（IT Outsourcing）服務(wù)，即“承接企業(yè)IT系統(tǒng)維護(hù)與管理，按雙方服務(wù)協(xié)議內(nèi)容完成相關(guān)服務(wù)”的業(yè)務(wù)模式。

隨著客戶(hù)對(duì)信息安全管理的要求越來(lái)越高，天璣科技把IT外包的信息安全管理放在首位，積極貫徹基于風(fēng)險(xiǎn)的管理方法，針對(duì)IT服務(wù)外包中的安全管理進(jìn)行了系統(tǒng)思考和有益的嘗試。

外包基礎(chǔ)和簡(jiǎn)單重復(fù)的服務(wù)：考慮到信息安全管理問(wèn)題，天璣科技初期外包服務(wù)范圍主要以基礎(chǔ)服務(wù)外包為主，即將IT系統(tǒng)日常的硬件與軟件維護(hù)、Helpdesk呼叫中心、信息系統(tǒng)的編碼等活動(dòng)外包，而對(duì)于IT系統(tǒng)的規(guī)劃與管理、核心應(yīng)用系統(tǒng)（如ERP、CRM）的設(shè)計(jì)與維護(hù)仍然由企業(yè)IT部門(mén)承擔(dān)。這樣避免了IT服務(wù)人員接觸組織的核心系統(tǒng)信息，降低了IT服務(wù)外包對(duì)IT系統(tǒng)敏感部分帶來(lái)的安全風(fēng)險(xiǎn)。

具備信息安全管理資質(zhì)：由于IT外包服務(wù)過(guò)程中，IT服務(wù)人員必然會(huì)接觸到企業(yè)的系統(tǒng)設(shè)備甚至是內(nèi)容，如何成為一家可靠安全的IT服務(wù)外包供應(yīng)商也是在進(jìn)行IT服務(wù)外包前必須考慮的重要方面。天璣科技是一家已經(jīng)建立起完善的信息安全管理體系，并通過(guò)了BSI安全認(rèn)證審核的IT服務(wù)外包供應(yīng)商，專(zhuān)門(mén)從事IT服務(wù)外，擁有很多有影響的大客戶(hù)。天璣科技會(huì)根據(jù)服務(wù)內(nèi)容簽訂責(zé)任明確的服務(wù)合同，在服務(wù)合同中詳細(xì)闡明雙方在服務(wù)提供過(guò)程中對(duì)信息安全的責(zé)任十分關(guān)鍵。

強(qiáng)化日常服務(wù)的安全管理：信息安全管理的要求應(yīng)該體現(xiàn)在IT服務(wù)日常管理的各個(gè)方面，主要包括：日常活動(dòng)規(guī)范的建立；服務(wù)變更控制；服務(wù)人員管理；安全事件處理；業(yè)務(wù)持續(xù)管理；知識(shí)產(chǎn)權(quán)保護(hù)和監(jiān)控與審核等內(nèi)容。

日?；顒?dòng)規(guī)范的建立：針對(duì)服務(wù)協(xié)議中明確的服務(wù)內(nèi)容，建立規(guī)范的服務(wù)流程是開(kāi)展IT服務(wù)活動(dòng)的基礎(chǔ)。企業(yè)信息化主管部門(mén)根據(jù)雙方簽訂的服務(wù)協(xié)議，與供應(yīng)商IT服務(wù)主管人員一起建立一套完整的服務(wù)規(guī)范。服務(wù)規(guī)范中對(duì)服務(wù)過(guò)程中的安全風(fēng)險(xiǎn)均采取了適當(dāng)?shù)目刂拼胧?，確保了服務(wù)活動(dòng)滿(mǎn)足企業(yè)信息安全管理策略的要求。

服務(wù)變更控制：天璣科技遵從在調(diào)整其服務(wù)流程和變更服務(wù)技術(shù)前必須事前進(jìn)行溝通，在企業(yè)評(píng)估變更的影響并確認(rèn)采取了響應(yīng)控制措施后才能進(jìn)行服務(wù)過(guò)程的變更。

服務(wù)人員管理：服務(wù)人員是IT服務(wù)活動(dòng)的直接執(zhí)行者。為確保服務(wù)人員能夠滿(mǎn)足要求，天璣科技明確規(guī)定了IT服務(wù)人員的能力要求和標(biāo)準(zhǔn)，確保只有技術(shù)能力強(qiáng)、認(rèn)真負(fù)責(zé)的服務(wù)人員才能進(jìn)入服務(wù)項(xiàng)目組。同時(shí)，對(duì)服務(wù)人員篩選、培訓(xùn)和變動(dòng)也提出了具體要求。

安全事件管理：發(fā)生安全事件后，雙方人員的協(xié)調(diào)和互動(dòng)將直接影響對(duì)事件處理的結(jié)果。在服務(wù)過(guò)程中發(fā)生和發(fā)現(xiàn)的信息安全事件必須第一時(shí)間上報(bào)企業(yè)主管部門(mén)，在企業(yè)主管部門(mén)的組織下完成對(duì)安全事件的處理。

業(yè)務(wù)持續(xù)管理：由于企業(yè)將核心網(wǎng)絡(luò)和系統(tǒng)硬件均托管給了IT服務(wù)供應(yīng)商進(jìn)行日常維護(hù)。IT服務(wù)供應(yīng)商是否具備滿(mǎn)足組織業(yè)務(wù)需求的業(yè)務(wù)持續(xù)管理能力，成為保證企業(yè)信息系統(tǒng)業(yè)務(wù)持續(xù)的關(guān)鍵。在企業(yè)整個(gè)業(yè)務(wù)持續(xù)管理的框架下，對(duì)IT服務(wù)供應(yīng)商的業(yè)務(wù)持續(xù)管理能力提出了明確的要求，在服務(wù)協(xié)議中進(jìn)行了明確的定義。同時(shí)，針對(duì)具體服務(wù)系統(tǒng)雙方共同制定了相應(yīng)的災(zāi)難恢復(fù)計(jì)劃。

知識(shí)產(chǎn)權(quán)保護(hù)：桌面服務(wù)中如何保護(hù)組織以及相關(guān)方的知識(shí)智力產(chǎn)權(quán)，是需要在進(jìn)行IT服務(wù)外包過(guò)程中管理和控制的重要內(nèi)容。天璣科技在軟件安裝和服務(wù)過(guò)程中工具的使用過(guò)程都明確規(guī)定了對(duì)軟件許可證的跟蹤與管理要求，確保服務(wù)活動(dòng)滿(mǎn)足對(duì)知識(shí)產(chǎn)權(quán)保護(hù)的要求。

篇5

關(guān)鍵詞：電網(wǎng)企業(yè)；信息安全；風(fēng)險(xiǎn)；應(yīng)對(duì)措施；管理體系

作者簡(jiǎn)介：王旭（1964-），男，浙江寧波人，新疆電力公司電力科學(xué)研究院，高級(jí)工程師。（新疆 烏魯木齊 830011）張建業(yè)（1972-），男，浙江浦江人，新疆電力公司科技信通部，高級(jí)工程師，華北電力大學(xué)經(jīng)濟(jì)與管理學(xué)院博士研究生。（新疆 烏魯木齊 830002）

基金項(xiàng)目：本文系國(guó)家自然科學(xué)基金資助項(xiàng)目（基金號(hào)：71271084）的研究成果。

中圖分類(lèi)號(hào)：F270.7 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-0079（2013）26-0163-03

信息安全風(fēng)險(xiǎn)是信息化時(shí)代企業(yè)發(fā)展和內(nèi)部管理所面臨的一個(gè)迫切問(wèn)題，網(wǎng)絡(luò)化、信息化的飛速發(fā)展能夠給企業(yè)帶來(lái)無(wú)限的發(fā)展機(jī)遇，同時(shí)也讓?xiě)?yīng)用信息化技術(shù)的企業(yè)面臨著各種不同的風(fēng)險(xiǎn)威脅，這些風(fēng)險(xiǎn)因素一旦發(fā)生，將對(duì)企業(yè)的日常運(yùn)營(yíng)、戰(zhàn)略目標(biāo)的實(shí)現(xiàn)甚至長(zhǎng)遠(yuǎn)發(fā)展產(chǎn)生無(wú)法估計(jì)的影響。有效的信息安全風(fēng)險(xiǎn)管理體系對(duì)于企業(yè)規(guī)避信息安全風(fēng)險(xiǎn)、減少不必要的損失具有重要作用。

對(duì)于電網(wǎng)企業(yè)來(lái)說(shuō)，信息化建設(shè)是推動(dòng)電網(wǎng)企業(yè)智能化、現(xiàn)代化等長(zhǎng)遠(yuǎn)發(fā)展的核心推動(dòng)力，但網(wǎng)絡(luò)病毒、黑客入侵等一系列風(fēng)險(xiǎn)因素，使得電網(wǎng)企業(yè)信息安全同樣面臨著巨大的挑戰(zhàn)，必須對(duì)電網(wǎng)企業(yè)面臨的各類(lèi)信息安全風(fēng)險(xiǎn)進(jìn)行有效控制，以保證電網(wǎng)企業(yè)的信息化內(nèi)容正常運(yùn)行。

一、電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)分析

電網(wǎng)企業(yè)的信息安全風(fēng)險(xiǎn)就是企業(yè)的信息系統(tǒng)和網(wǎng)絡(luò)等面臨的來(lái)自各方面的風(fēng)險(xiǎn)威脅，各種內(nèi)外部的、潛在的和可知的危險(xiǎn)可能會(huì)帶來(lái)的風(fēng)險(xiǎn)威脅等。隨著網(wǎng)絡(luò)環(huán)境的復(fù)雜性不斷增加，新的信息技術(shù)的不斷應(yīng)用發(fā)展，電網(wǎng)企業(yè)的信息安全面臨的風(fēng)險(xiǎn)因素也更為繁多復(fù)雜，同時(shí)由于其注重信息安全的行業(yè)特點(diǎn)，電網(wǎng)企業(yè)的信息安全風(fēng)險(xiǎn)管理面臨的壓力更大。為此需要對(duì)這些風(fēng)險(xiǎn)因素進(jìn)行規(guī)范、合理的識(shí)別分析，進(jìn)而建立綜合的風(fēng)險(xiǎn)管理體系。

電網(wǎng)企業(yè)的信息安全面臨著來(lái)自不同層次、多個(gè)方面的風(fēng)險(xiǎn)因素，有來(lái)自外部環(huán)境的風(fēng)險(xiǎn)威脅，也有企業(yè)內(nèi)部的風(fēng)險(xiǎn)影響；有技術(shù)方面的安全風(fēng)險(xiǎn)，也有人員操作方面的安全風(fēng)險(xiǎn)等。具體的信息安全風(fēng)險(xiǎn)因素主要包括以下幾個(gè)方面：

1.木馬病毒入侵的安全風(fēng)險(xiǎn)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展、電網(wǎng)企業(yè)內(nèi)外部網(wǎng)絡(luò)環(huán)境的日益成熟和網(wǎng)絡(luò)應(yīng)用的不斷增多，各種病毒也更為復(fù)雜、難解。木馬等病毒的傳染、滲透、傳播的能力變得異常強(qiáng)大，其入侵方式也由以前的單一、簡(jiǎn)單變得隱蔽、復(fù)雜，尤其是Internet網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)環(huán)境為木馬等病毒的傳播和生存提供了可靠的環(huán)境。

2.黑客非法攻擊的安全風(fēng)險(xiǎn)

近年來(lái)各種各樣的黑客非法攻擊異常頻繁，成為困擾世界范圍內(nèi)眾多企業(yè)的問(wèn)題。由于黑客具有非常高超的計(jì)算機(jī)技術(shù)能力，他們經(jīng)常利用計(jì)算機(jī)設(shè)備、信息系統(tǒng)、網(wǎng)絡(luò)協(xié)議和數(shù)據(jù)庫(kù)等方面的缺陷與漏洞，通過(guò)運(yùn)用網(wǎng)絡(luò)監(jiān)聽(tīng)、密碼破解、程序滲透、信息炸彈等手段侵入企業(yè)的計(jì)算機(jī)系統(tǒng)，盜竊企業(yè)的保密信息、重要數(shù)據(jù)、業(yè)務(wù)資料等，從而進(jìn)行信息數(shù)據(jù)破壞或者占用系統(tǒng)的資源等。

3.信息傳遞過(guò)程的安全風(fēng)險(xiǎn)

由于電網(wǎng)企業(yè)與很多的外部企業(yè)、研究機(jī)構(gòu)等有著廣泛的工作聯(lián)系與業(yè)務(wù)合作，因此很多日常信息、數(shù)據(jù)資料等都需要通過(guò)互聯(lián)網(wǎng)進(jìn)行傳輸溝通，在這個(gè)傳輸過(guò)程中的各類(lèi)信息都會(huì)面臨各種不同的安全風(fēng)險(xiǎn)。

4.權(quán)限設(shè)置的安全風(fēng)險(xiǎn)

信息系統(tǒng)根據(jù)不同的業(yè)務(wù)內(nèi)容對(duì)不同的部門(mén)、員工開(kāi)放不同的系統(tǒng)模塊，用戶(hù)根據(jù)其登陸的權(quán)限設(shè)置訪(fǎng)問(wèn)其范圍內(nèi)的系統(tǒng)內(nèi)容。每個(gè)信息系統(tǒng)都有用戶(hù)管理功能，對(duì)用戶(hù)權(quán)限進(jìn)行管理和控制，能夠在一定程度上增加安全性，但仍然存在一定的問(wèn)題。很多電網(wǎng)企業(yè)內(nèi)都存在不同的信息系統(tǒng)，各系統(tǒng)之間都是獨(dú)立存在，沒(méi)有統(tǒng)一的用戶(hù)管理，使用起來(lái)極不方便，難以保證用戶(hù)賬號(hào)的有效管理和使用安全。另外，電網(wǎng)企業(yè)的信息系統(tǒng)的用戶(hù)權(quán)限管理功能設(shè)置過(guò)于簡(jiǎn)單，不能夠靈活實(shí)現(xiàn)更為詳細(xì)的權(quán)限控制等。

5.信息設(shè)備損壞產(chǎn)生的安全風(fēng)險(xiǎn)

電網(wǎng)企業(yè)內(nèi)的各類(lèi)業(yè)務(wù)信息、數(shù)據(jù)資料、工作內(nèi)容等信息都是依托于相應(yīng)的軟硬件設(shè)備而存儲(chǔ)、傳遞、應(yīng)用的，當(dāng)這些計(jì)算機(jī)硬件設(shè)備、信息系統(tǒng)、數(shù)據(jù)存儲(chǔ)設(shè)備、用電支撐設(shè)備等由于企業(yè)內(nèi)外部不同作用力的影響而出現(xiàn)癱瘓、停止工作等突發(fā)狀況時(shí)，會(huì)帶來(lái)重要信息內(nèi)容的泄露、丟失等安全風(fēng)險(xiǎn)隱患。

6.人員操作失誤形成的安全風(fēng)險(xiǎn)

電網(wǎng)企業(yè)內(nèi)的專(zhuān)業(yè)信息技術(shù)人員、業(yè)務(wù)人員、管理人員對(duì)信息系統(tǒng)的操作能力存在一定的差異，一些人員的意識(shí)較為陳舊、操作能力較差，在對(duì)信息系統(tǒng)、網(wǎng)絡(luò)連接、數(shù)據(jù)庫(kù)等的應(yīng)用過(guò)程中，由于對(duì)這些技術(shù)內(nèi)容不熟悉從而產(chǎn)生了一些錯(cuò)誤操作，為此產(chǎn)生了許多意想不到的安全風(fēng)險(xiǎn)。同時(shí)，在運(yùn)用過(guò)程中存在的思想偏差、理解偏誤、粗心大意等導(dǎo)致的誤操作也會(huì)產(chǎn)生相應(yīng)的安全風(fēng)險(xiǎn)。

7.技術(shù)更新變化帶來(lái)的安全風(fēng)險(xiǎn)

當(dāng)前的信息技術(shù)、系統(tǒng)開(kāi)發(fā)、網(wǎng)絡(luò)應(yīng)用、數(shù)據(jù)庫(kù)存儲(chǔ)等都在日新月異地飛速變化，幾乎每天都會(huì)發(fā)生更新?lián)Q代的升級(jí)變化，沒(méi)有任何的信息技術(shù)能夠長(zhǎng)時(shí)間使用。電網(wǎng)企業(yè)原有信息系統(tǒng)等設(shè)備進(jìn)行升級(jí)換代或者與新的數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行新舊結(jié)合以及轉(zhuǎn)換時(shí)，會(huì)因?yàn)榧嫒菪圆?、不能匹配等原因造成一定的信息安全風(fēng)險(xiǎn)。

二、信息安全風(fēng)險(xiǎn)應(yīng)對(duì)機(jī)制

電網(wǎng)企業(yè)的信息安全承擔(dān)著極為重要的作用，而其面臨的安全風(fēng)險(xiǎn)也是多方面的，僅從信息系統(tǒng)、技術(shù)設(shè)備的單一角度進(jìn)行信息安全風(fēng)險(xiǎn)管理遠(yuǎn)遠(yuǎn)不夠，對(duì)于其他很多潛在的風(fēng)險(xiǎn)因素難以有效應(yīng)對(duì)。因此需要從信息技術(shù)技術(shù)、企業(yè)管理、風(fēng)險(xiǎn)控制等多個(gè)維度來(lái)建立相應(yīng)的措施，以應(yīng)對(duì)可能出現(xiàn)的各類(lèi)風(fēng)險(xiǎn)，從而從硬性技術(shù)層面到柔性管理層次形成多維度的風(fēng)險(xiǎn)管理手段。電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)應(yīng)對(duì)機(jī)制框架結(jié)構(gòu)如圖1所示。

電網(wǎng)企業(yè)的信息安全風(fēng)險(xiǎn)管理應(yīng)對(duì)機(jī)制是以風(fēng)險(xiǎn)控制角度為核心、信息技術(shù)角度為支持、企業(yè)管理角度為保障的雙向支持、互為影響的一個(gè)環(huán)狀模型，三者之間緊密配合、共同發(fā)揮風(fēng)險(xiǎn)應(yīng)對(duì)的作用，具體內(nèi)容如表1所示。

三、信息安全風(fēng)險(xiǎn)管理體系

電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理體系是進(jìn)行信息安全風(fēng)險(xiǎn)管理的核心內(nèi)容，其他的制度建設(shè)等方面的應(yīng)對(duì)機(jī)制都是為了更好地使風(fēng)險(xiǎn)管理體系發(fā)揮有效的作用，能夠在不同的情況下進(jìn)行信息安全風(fēng)險(xiǎn)威脅的提前預(yù)防、風(fēng)險(xiǎn)發(fā)生時(shí)的控制、事后風(fēng)險(xiǎn)影響的結(jié)果處理等。

電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理體系框架結(jié)構(gòu)如圖2所示。

1.信息安全風(fēng)險(xiǎn)評(píng)估

電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理體系的第一部分，風(fēng)險(xiǎn)評(píng)估效果的好壞直接影響著后面風(fēng)險(xiǎn)管理環(huán)節(jié)的執(zhí)行情況。通過(guò)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確執(zhí)行，能夠有效識(shí)別、分析各種不同風(fēng)險(xiǎn)的種類(lèi)、來(lái)源、影響程度等內(nèi)容，為后續(xù)的風(fēng)險(xiǎn)預(yù)防、控制等奠定良好的基礎(chǔ)。

信息安全風(fēng)險(xiǎn)評(píng)估主要由風(fēng)險(xiǎn)案例庫(kù)、風(fēng)險(xiǎn)因素分析系統(tǒng)、風(fēng)險(xiǎn)定量定性轉(zhuǎn)化系統(tǒng)、數(shù)據(jù)統(tǒng)計(jì)歸納庫(kù)、風(fēng)險(xiǎn)分析結(jié)果傳輸體系等構(gòu)成，通過(guò)幾個(gè)模塊的有機(jī)結(jié)合來(lái)科學(xué)分析評(píng)估電網(wǎng)企業(yè)遇到的各類(lèi)信息安全風(fēng)險(xiǎn)因素。

2.風(fēng)險(xiǎn)事前預(yù)防

電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)事前預(yù)防就是在風(fēng)險(xiǎn)沒(méi)有發(fā)生時(shí)對(duì)各種風(fēng)險(xiǎn)進(jìn)行提前預(yù)防，通過(guò)建立的預(yù)防計(jì)劃方案來(lái)提前避免風(fēng)險(xiǎn)的發(fā)生，從而保證信息的安全性。這是風(fēng)險(xiǎn)管理體系希望達(dá)到的最佳效果，因此該環(huán)節(jié)非常重要。

通過(guò)對(duì)風(fēng)險(xiǎn)案例庫(kù)的經(jīng)常性學(xué)習(xí)，使相關(guān)部門(mén)和人員對(duì)各類(lèi)風(fēng)險(xiǎn)有了總體的認(rèn)識(shí)和了解；通過(guò)建立相應(yīng)的風(fēng)險(xiǎn)預(yù)警裝置來(lái)提前警告風(fēng)險(xiǎn)的發(fā)生，使電網(wǎng)企業(yè)能夠提前采取措施來(lái)避免風(fēng)險(xiǎn)發(fā)生；運(yùn)用信息安全風(fēng)險(xiǎn)管理制度加強(qiáng)員工的行為能力，避免風(fēng)險(xiǎn)產(chǎn)生；通過(guò)信息技術(shù)的相關(guān)配置，從信息系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)等方面提前對(duì)一些病毒風(fēng)險(xiǎn)等進(jìn)行處理。

出色地執(zhí)行電網(wǎng)企業(yè)的信息安全風(fēng)險(xiǎn)預(yù)防工作，能夠避免很多不必要的麻煩，從而有效減少后面風(fēng)險(xiǎn)控制工作內(nèi)容。

3.風(fēng)險(xiǎn)威脅轉(zhuǎn)移

將可能發(fā)生或者即將到來(lái)的信息安全風(fēng)險(xiǎn)有效轉(zhuǎn)移到其他的地方，可使得安全風(fēng)險(xiǎn)沒(méi)有在電網(wǎng)企業(yè)的信息系統(tǒng)中發(fā)生，避免了風(fēng)險(xiǎn)帶來(lái)的威脅損害。風(fēng)險(xiǎn)轉(zhuǎn)移同風(fēng)險(xiǎn)的事前預(yù)防一樣，能夠在很大程度上將信息安全風(fēng)險(xiǎn)帶來(lái)的威脅降低到最小，避免其帶來(lái)的各類(lèi)損失。

4.風(fēng)險(xiǎn)過(guò)程控制

在對(duì)信息安全造成威脅的風(fēng)險(xiǎn)發(fā)生時(shí)，采取各種方法、手段進(jìn)行風(fēng)險(xiǎn)的最小化控制，使風(fēng)險(xiǎn)本身隨著控制的進(jìn)行而逐漸變小甚至消失，將風(fēng)險(xiǎn)發(fā)生后造成的影響降低到最小或者控制在能夠承受的合理范圍內(nèi)。

主要從信息系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)系統(tǒng)、計(jì)算機(jī)基礎(chǔ)設(shè)備等技術(shù)方面進(jìn)行控制；從制度、標(biāo)準(zhǔn)、規(guī)范等管理層面進(jìn)行控制；從人員培訓(xùn)、部門(mén)協(xié)調(diào)等組織結(jié)構(gòu)層面進(jìn)行控制；從風(fēng)險(xiǎn)發(fā)生時(shí)制定的風(fēng)險(xiǎn)控制措施、計(jì)劃進(jìn)行控制；形成動(dòng)態(tài)反饋的風(fēng)險(xiǎn)發(fā)生、控制效果的反饋機(jī)制，以便及時(shí)對(duì)控制方案進(jìn)行調(diào)整完善。

5.風(fēng)險(xiǎn)事后處理

信息安全風(fēng)險(xiǎn)發(fā)生后，對(duì)電網(wǎng)企業(yè)的信息系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等造成一定的影響，已經(jīng)沒(méi)有時(shí)間進(jìn)行及時(shí)有效的風(fēng)險(xiǎn)控制，此時(shí)的工作重點(diǎn)在于如何采取挽救措施對(duì)風(fēng)險(xiǎn)造成的信息安全損失進(jìn)行彌補(bǔ)，將其影響程度降低到最低。

從電網(wǎng)企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估開(kāi)始，到信息安全風(fēng)險(xiǎn)的預(yù)防、風(fēng)險(xiǎn)發(fā)生時(shí)的控制以及風(fēng)險(xiǎn)后果的處理，對(duì)整個(gè)過(guò)程進(jìn)行深入的分析、總結(jié)，發(fā)現(xiàn)風(fēng)險(xiǎn)管理體系存在諸多不足和缺陷，控制計(jì)劃在某些方面需要進(jìn)行改進(jìn)完善。將本次發(fā)生的信息安全風(fēng)險(xiǎn)控制過(guò)程整理進(jìn)入案例庫(kù)，以便下次的風(fēng)險(xiǎn)預(yù)防借鑒。

電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理體系中的各個(gè)流程環(huán)節(jié)都是按照一定的流程順序、風(fēng)險(xiǎn)發(fā)生種類(lèi)、大小而進(jìn)行的，其具體的流程如圖3所示。

6.非常態(tài)風(fēng)險(xiǎn)應(yīng)急處理

在電網(wǎng)企業(yè)對(duì)信息安全進(jìn)行風(fēng)險(xiǎn)管理的過(guò)程中，有時(shí)會(huì)出現(xiàn)一些案例庫(kù)、控制計(jì)劃之外的非常態(tài)風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)沒(méi)有以往成功的風(fēng)險(xiǎn)管理經(jīng)驗(yàn)可以借鑒，這時(shí)就需要在電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理體系中建立相應(yīng)的非常態(tài)風(fēng)險(xiǎn)應(yīng)急處理模塊。

電網(wǎng)企業(yè)信息安全非常態(tài)風(fēng)險(xiǎn)應(yīng)急處理主要是當(dāng)意外的緊急風(fēng)險(xiǎn)發(fā)生時(shí)，能夠迅速啟動(dòng)應(yīng)急預(yù)案組織相關(guān)人員進(jìn)行風(fēng)險(xiǎn)應(yīng)對(duì)控制、風(fēng)險(xiǎn)預(yù)防和控制等；若風(fēng)險(xiǎn)已經(jīng)發(fā)生，此時(shí)能夠及時(shí)還原數(shù)據(jù)、隔離外部風(fēng)險(xiǎn)入侵，使信息系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)在最快的時(shí)間內(nèi)恢復(fù)正常運(yùn)作。

四、總結(jié)

本文通過(guò)對(duì)電網(wǎng)企業(yè)信息安全重要性進(jìn)行分析，提出了建立信息安全風(fēng)險(xiǎn)管理體系應(yīng)對(duì)各種內(nèi)外部風(fēng)險(xiǎn)威脅的必要性。在對(duì)電網(wǎng)企業(yè)信息安全的概念、特點(diǎn)等分析說(shuō)明的基礎(chǔ)上，深入研究了電網(wǎng)企業(yè)的信息安全所面臨的各種不同的風(fēng)險(xiǎn)因素，建立了包括信息技術(shù)、企業(yè)管理、風(fēng)險(xiǎn)控制三個(gè)方面在內(nèi)的電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)應(yīng)對(duì)機(jī)制。結(jié)合所建立的電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)應(yīng)對(duì)機(jī)制，本文構(gòu)建了一套綜合、全面的電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理體系。該體系的構(gòu)建能夠從事前風(fēng)險(xiǎn)預(yù)防、事中風(fēng)險(xiǎn)控制、事后風(fēng)險(xiǎn)影響后果處理等三個(gè)環(huán)節(jié)進(jìn)行全面的風(fēng)險(xiǎn)管理。

參考文獻(xiàn)

[1]張浩，詹輝紅，錢(qián)洪珍.電網(wǎng)企業(yè)信息安全管理體系建設(shè)中的風(fēng)險(xiǎn)管理實(shí)踐[J].電力信息技術(shù)，2010，8（6）：21-24.

[2]劉金霞.電力企業(yè)給予風(fēng)險(xiǎn)管理的信息安全保障體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008，（1）：42-44.

[3]劉瑩，顧衛(wèi)東.信息安全風(fēng)險(xiǎn)評(píng)估研究綜述[J].青島大學(xué)學(xué)報(bào)（工程技術(shù)版），2008，23（2）：37-43.

篇6

[關(guān)鍵詞] 企業(yè)網(wǎng)絡(luò)信息安全信息保障

計(jì)算機(jī)網(wǎng)絡(luò)的多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性、互連性使聯(lián)入網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)很容易受到黑客、惡意軟件和非法授權(quán)的入侵和攻擊，信息系統(tǒng)中的存儲(chǔ)數(shù)據(jù)暴露無(wú)遺，從而使用戶(hù)信息資源的安全和保密受到嚴(yán)重威脅。目前互聯(lián)網(wǎng)使用TCP/IP協(xié)議的設(shè)計(jì)原則，只實(shí)現(xiàn)簡(jiǎn)單的互聯(lián)功能，所有復(fù)雜的數(shù)據(jù)處理都留給終端承擔(dān)，這是互聯(lián)網(wǎng)成功的因素，但它也暴露出數(shù)據(jù)在網(wǎng)上傳輸?shù)臋C(jī)密性受到威脅，任何人都可以通過(guò)監(jiān)聽(tīng)的方法去獲得經(jīng)過(guò)自己網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。在目前不斷發(fā)生互聯(lián)網(wǎng)安全事故的時(shí)候，對(duì)互聯(lián)網(wǎng)的安全狀況進(jìn)行研究與分析已迫在眉睫。

一、 國(guó)外企業(yè)信息安全現(xiàn)狀

調(diào)查顯示，歐美等國(guó)在網(wǎng)絡(luò)安全建設(shè)投入的資金占網(wǎng)絡(luò)建設(shè)資金總額的10%左右，而日韓兩國(guó)則是8%。從國(guó)際范圍來(lái)看，美國(guó)等西方國(guó)家網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)比中國(guó)完善，網(wǎng)絡(luò)安全建設(shè)的起步時(shí)間也比中國(guó)早，因此發(fā)生的網(wǎng)絡(luò)攻擊、盜竊和犯罪問(wèn)題也比國(guó)內(nèi)嚴(yán)重，這也致使這些國(guó)家的企業(yè)對(duì)網(wǎng)絡(luò)安全問(wèn)題有更加全面的認(rèn)識(shí)和足夠的重視，但縱觀(guān)全世界范圍，企業(yè)的網(wǎng)絡(luò)安全建設(shè)步伐仍然跟不上企業(yè)發(fā)展步伐和安全危害的升級(jí)速度。

國(guó)外信息安全現(xiàn)狀具有兩個(gè)特點(diǎn)：

(1)各行業(yè)的企業(yè)越來(lái)越認(rèn)識(shí)到IT安全的重要性，并且意識(shí)到安全的必要性，并且把它作為企業(yè)的一項(xiàng)重要工作之一。

(2)企業(yè)對(duì)于網(wǎng)絡(luò)安全的資金投入與網(wǎng)絡(luò)建設(shè)的資金投入按比例增長(zhǎng)，而且各項(xiàng)指標(biāo)均明顯高于國(guó)內(nèi)水平。

二、 國(guó)內(nèi)企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析

2005年全國(guó)各行業(yè)受眾對(duì)網(wǎng)絡(luò)安全技術(shù)的應(yīng)用狀況數(shù)據(jù)顯示，在各類(lèi)網(wǎng)絡(luò)安全技術(shù)使用中，“防火墻”的使用率最高(占76.5%)，其次為“防病毒軟件”的應(yīng)用(占53.1%)。2005年較2004年相比加大了其他網(wǎng)絡(luò)安全技術(shù)的投入，“物理隔離”、“路由器ACL”等技術(shù)已經(jīng)得到了應(yīng)用。防火墻的使用比例較高主要是因?yàn)樗鼉r(jià)格比較便宜、易安裝，并可在線(xiàn)升級(jí)等特點(diǎn)。值得注意的是，2005年企事業(yè)單位對(duì)“使用用戶(hù)名和密碼登陸系統(tǒng)”、“業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)進(jìn)行物理隔離”等措施非常重視。其他防范措施的使用也比2004年都提高了一定的比例，對(duì)網(wǎng)絡(luò)安全和信息的保護(hù)意識(shí)也越來(lái)越高。生物識(shí)別技術(shù)、虛擬專(zhuān)用網(wǎng)絡(luò)及數(shù)字簽名證書(shū)的使用率較低，有相當(dāng)一部分人不清楚這些技術(shù)，還需要一些時(shí)間才能得到市場(chǎng)的認(rèn)可。

根據(jù)調(diào)查顯示，我國(guó)在網(wǎng)絡(luò)安全建設(shè)投入的資金還不到網(wǎng)絡(luò)建設(shè)資金總額的1%，大幅低于歐美和日韓等國(guó)。我國(guó)目前以中小型企業(yè)占多數(shù)，而中小型企業(yè)由于資金預(yù)算有限，基本上只注重有直接利益回報(bào)的投資項(xiàng)目，對(duì)于網(wǎng)絡(luò)安全這種看不到實(shí)在回饋的資金投入方式普遍表現(xiàn)出不積極態(tài)度。另外，企業(yè)經(jīng)營(yíng)者對(duì)于安全問(wèn)題經(jīng)常會(huì)抱有僥幸的心理，加上缺少專(zhuān)門(mén)的技術(shù)人員和專(zhuān)業(yè)指導(dǎo)，致使國(guó)內(nèi)企業(yè)目前的網(wǎng)絡(luò)安全建設(shè)情況參差不齊，普遍處于不容樂(lè)觀(guān)的狀況。

三、 企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全對(duì)策分析

“三分技術(shù)，七分管理”是技術(shù)與管理策略在整個(gè)信息安全保障策略中各自重要性的體現(xiàn)，沒(méi)有完善的管理，技術(shù)就是再先進(jìn)，也是無(wú)濟(jì)于事的。以往傳統(tǒng)的網(wǎng)絡(luò)安全解決方案是某一種信息安全產(chǎn)品的某一方面的應(yīng)用方案，只能應(yīng)對(duì)網(wǎng)絡(luò)中存在的某一方面的信息安全問(wèn)題。中國(guó)企業(yè)網(wǎng)絡(luò)的信息安全建設(shè)中經(jīng)常存在這樣一種不正常的現(xiàn)象，就是企業(yè)的整體安全意識(shí)普遍不強(qiáng)，信息安全措施單一，無(wú)法抵御綜合的安全攻擊。隨著上述網(wǎng)絡(luò)安全問(wèn)題的日益突顯，國(guó)內(nèi)網(wǎng)絡(luò)的安全需求也日益提高，這種單一的解決方案就成為了信息安全建設(shè)發(fā)展的瓶頸。因此應(yīng)對(duì)企業(yè)網(wǎng)絡(luò)做到全方位的立體防護(hù)，立體化的解決方案才能真正解決企業(yè)網(wǎng)絡(luò)的安全問(wèn)題，立體化是未來(lái)企業(yè)網(wǎng)絡(luò)安全解決方案的趨勢(shì)，而信息保障這一思想就是這一趨勢(shì)的體現(xiàn)。信息保障是最近幾年西方一些計(jì)算機(jī)科學(xué)及信息安全專(zhuān)家提出的與信息安全有關(guān)的新概念，也是信息安全領(lǐng)域一個(gè)最新的發(fā)展方向。

信息保障是信息安全發(fā)展的新階段，用保障(Assurance)來(lái)取代平時(shí)我們用的安全一詞，不僅僅是體現(xiàn)了信息安全理論發(fā)展到了一個(gè)新階段，更是信息安全理念的一種提升與轉(zhuǎn)變。人們開(kāi)始認(rèn)識(shí)到安全的概念已經(jīng)不局限于信息的保護(hù)，人們需要的是對(duì)整個(gè)信息和信息系統(tǒng)的保護(hù)和防御，包括了對(duì)信息的保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)能力。為了保障信息安全，除了要進(jìn)行信息的安全保護(hù)，還應(yīng)該重視提高安全預(yù)警能力、系統(tǒng)的入侵檢測(cè)能力，系統(tǒng)的事件反應(yīng)能力和系統(tǒng)遭到入侵引起破壞的快速恢復(fù)能力。區(qū)別于傳統(tǒng)的加密、身份認(rèn)證、訪(fǎng)問(wèn)控制、防火墻、安全路由等技術(shù)，信息保障強(qiáng)調(diào)信息系統(tǒng)整個(gè)生命周期的防御和恢復(fù)，同時(shí)安全問(wèn)題的出現(xiàn)和解決方案也超越了純技術(shù)范疇。由此形成了包括預(yù)警、保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)五個(gè)環(huán)節(jié)的信息保障概念。

所以一個(gè)全方位的企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪(fǎng)問(wèn)控制安全、系統(tǒng)安全、用戶(hù)安全、信息加密、安全傳輸和管理安全等。充分利用各種先進(jìn)的主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪(fǎng)問(wèn)控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計(jì)技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測(cè)技術(shù)、黑客跟蹤技術(shù)，在攻擊者和受保護(hù)的資源間建立多道嚴(yán)密的安全防線(xiàn)，增加了惡意攻擊的難度，并增加審核信息的數(shù)量，同時(shí)利用這些審核信息還可以跟蹤入侵者。

參考文獻(xiàn):

[1]付正:安全――我們共同的責(zé)任[J].計(jì)算機(jī)世界，2006，(19)

[2]李理:解剖您身邊的安全[N]．中國(guó)計(jì)算機(jī)報(bào)，2006-4-13

篇7

【論文摘 要】安全問(wèn)題是電力變電運(yùn)行的咽喉，隨著信息管理技術(shù)在變電運(yùn)行中的應(yīng)用，先進(jìn)的安全不僅包括物理安全，也涉及到了由互聯(lián)網(wǎng)帶來(lái)的各種來(lái)自外界的侵犯，如果電力系統(tǒng)被利用或是遭到攻擊，將會(huì)造成難以估計(jì)的損失。有效的提高信息管理技術(shù)在電力變電運(yùn)行中的應(yīng)用是擺在我們面前亟待解決的重要課題。

一、信息管理與電力信息化概述

1.信息管理概念

信息管理是實(shí)現(xiàn)組織目標(biāo)、滿(mǎn)足組織要求、解決組織環(huán)境問(wèn)題而開(kāi)發(fā)、規(guī)劃、集成、控制、利用信息資源，以提高信息利用率，使信息效用價(jià)值最大化的一種實(shí)現(xiàn)的一種戰(zhàn)略管理。

2.電力信息化

電力企業(yè)信息化建設(shè)更趨向于科學(xué)性、實(shí)用性、安全性以及效益性，電力企業(yè)開(kāi)發(fā)了一系列企業(yè)管理和經(jīng)濟(jì)運(yùn)行有關(guān)的應(yīng)用系統(tǒng)，目的在于提高生產(chǎn)和管理效益以及信息系統(tǒng)的實(shí)際使用效果。電能可以瞬間完成發(fā)電、輸電、配電直到用電，電力的生產(chǎn)和使用具有連續(xù)性、等量以及同時(shí)的特點(diǎn)，要想確保電力的安全生產(chǎn)以及資源的合理配置生產(chǎn)，必須要根據(jù)調(diào)度指令對(duì)電力系統(tǒng)的所有環(huán)節(jié)瞬時(shí)作出反應(yīng)，電力系統(tǒng)的控制中心、調(diào)度中心要同時(shí)對(duì)發(fā)電、配電、輸電以及用電的各種數(shù)據(jù)進(jìn)行全面掌握，并及時(shí)地分析、調(diào)度和處理，對(duì)生產(chǎn)運(yùn)行進(jìn)行科學(xué)的安排，要及時(shí)的處理大而廣、紛繁復(fù)雜的信息量，這使得信息處理工作面臨著一定的挑戰(zhàn)。而信息管理技術(shù)的出現(xiàn)正好為信息的處理帶來(lái)了極大的便利，它結(jié)合了GIS技術(shù)，能實(shí)現(xiàn)多源數(shù)據(jù)的迅速整合，便于電力系統(tǒng)的信息化管理，可以綜合管理大量的屬性數(shù)據(jù)和地理信息數(shù)據(jù)，可以為經(jīng)營(yíng)管理提供科學(xué)的決策支持以及現(xiàn)代化的管理手段，結(jié)合了網(wǎng)絡(luò)技術(shù)，更有利于提高信息的共享程度，促進(jìn)信息管理系統(tǒng)實(shí)現(xiàn)電力信息的共享，有利于電力系統(tǒng)信息管理更加的透明。電力系統(tǒng)涉及到了十分廣泛的地理區(qū)域，需要多個(gè)部門(mén)對(duì)同一圖層進(jìn)行編輯，傳統(tǒng)的GIS圖層數(shù)據(jù)不支持多用并發(fā)操作，只適合單用戶(hù)使用，它采用的是文件格式，采用文件服務(wù)器的方式來(lái)共享圖層，若不進(jìn)行特殊處理，多用戶(hù)同時(shí)更新同一圖層文件時(shí)就會(huì)發(fā)生沖突。而新型的ORDBMS技術(shù)可以彌補(bǔ)這一缺陷，不會(huì)發(fā)生共享沖突，它采用的是面向?qū)ο蟮臄?shù)據(jù)庫(kù)技術(shù)，可以集中式管理地理屬性數(shù)據(jù)和信息空間數(shù)據(jù)，支持版本管理以及并發(fā)操作，還支持完全數(shù)據(jù)庫(kù)存儲(chǔ)模式，能夠解決數(shù)據(jù)安全機(jī)制、存儲(chǔ)管理大量的數(shù)據(jù)、數(shù)據(jù)完整性以及多用戶(hù)編輯等方面的問(wèn)題。

二、電力變電運(yùn)行中運(yùn)用信息管理的優(yōu)勢(shì)

1.先進(jìn)性和開(kāi)放性

數(shù)據(jù)倉(cāng)庫(kù)技術(shù)使數(shù)據(jù)有了更加廣泛的來(lái)源，便于使用，方便與MIS等系統(tǒng)接口，系統(tǒng)的構(gòu)造和Internet模式進(jìn)行了結(jié)合，應(yīng)有前景良好。

2.實(shí)用性強(qiáng)

信息管理技術(shù)有利于變電運(yùn)行中二次部分各類(lèi)數(shù)據(jù)源的共享和使用，尤其是對(duì)于變電保護(hù)技術(shù)工作人員來(lái)說(shuō)，有利于提高系統(tǒng)分析和數(shù)據(jù)統(tǒng)計(jì)的工作效率，有利于提高保護(hù)運(yùn)行水平。

3.可靠性高，易于維護(hù)和升級(jí)

方法庫(kù)和數(shù)據(jù)倉(cāng)庫(kù)的采用使得整個(gè)信息管理系統(tǒng)運(yùn)行集中于網(wǎng)絡(luò)中心規(guī)則庫(kù)和數(shù)據(jù)庫(kù)，不再在各級(jí)用戶(hù)之間分散可靠性，即使其中一個(gè)客戶(hù)的工作站突然損壞了，也不會(huì)對(duì)系統(tǒng)其他部分的性能造成影響，并且很容易恢復(fù)，軟件開(kāi)發(fā)人員只需改變方法庫(kù)就可以進(jìn)行升級(jí)換代，既方便又快捷。

三、電力變電運(yùn)行中采用的安全策略

1.安全技術(shù)策略

為了確保信息的安全，采取的必不可少的安全技術(shù)措施有：1)病毒防護(hù)技術(shù)。應(yīng)該建立健全管理制度，統(tǒng)一管理計(jì)算機(jī)病毒庫(kù)的升級(jí)分發(fā)以及病毒的預(yù)防、檢測(cè)等環(huán)節(jié)，應(yīng)該采取全面的防病毒策略應(yīng)用于信息系統(tǒng)的各個(gè)環(huán)節(jié)，有效的防治和避免受到病毒的侵害；2)防火墻技術(shù)。防火墻技術(shù)主要用于隔離信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)，它的檢查方式是通過(guò)單一集中的安全檢查點(diǎn)，強(qiáng)制實(shí)施安全策略來(lái)實(shí)現(xiàn)，避免非法存取和訪(fǎng)問(wèn)重要的信息資源；3)數(shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)必須制定數(shù)據(jù)備份策略，定期對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份，按照重要程度劃分?jǐn)?shù)據(jù)備份等級(jí)，建立企業(yè)數(shù)據(jù)備份中心，采用災(zāi)難恢復(fù)技術(shù)來(lái)備份應(yīng)用系統(tǒng)以及關(guān)鍵業(yè)務(wù)的數(shù)據(jù)，并制定詳細(xì)的數(shù)據(jù)庫(kù)故障恢復(fù)預(yù)案以及應(yīng)用數(shù)據(jù)庫(kù)備份，并定期的進(jìn)行預(yù)演，以防止在數(shù)據(jù)遭到破壞或是系統(tǒng)崩潰時(shí)能夠及時(shí)的修復(fù)，從而使信息系統(tǒng)具有更好的可靠性和可用性；4)安全審計(jì)技術(shù)。在系統(tǒng)規(guī)模的不斷擴(kuò)大以及安全設(shè)施不斷完善的背景下，電氣企業(yè)應(yīng)該引進(jìn)集中智能的安全審計(jì)系統(tǒng)，采取行之有效的技術(shù)手段來(lái)自動(dòng)統(tǒng)一審計(jì)網(wǎng)絡(luò)設(shè)備日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志以及安全設(shè)施運(yùn)行日志等，迅速自動(dòng)的對(duì)系統(tǒng)安全事件進(jìn)行分析，安全管理系統(tǒng)的運(yùn)行。另外建立信息安全身份認(rèn)證體系以及虛擬局域網(wǎng)技術(shù)也十分重要。

2.組織管理策略

組織管理措施以及技術(shù)措施統(tǒng)一在信息安全的范疇之內(nèi)，由于管理方面的原因?yàn)樵斐傻挠?jì)算機(jī)安全事件的比重達(dá)到了70%以上，所以應(yīng)采取必要的組織管理策略：1)安全策略和制度。電氣企業(yè)應(yīng)該制定相關(guān)的政策方針來(lái)指導(dǎo)企業(yè)整體的信息安全工作，只有制定統(tǒng)一的、具有指導(dǎo)性的安全策略和制度才能有效的衡量信息的安全，才能形成安全的防護(hù)體系以及遵循信息安全制度，只有制定有效的安全策略和制度，才能實(shí)現(xiàn)具體化、形式化的法律管理，才能將法規(guī)與管理聯(lián)系在一起，確保信息的安全。2)安全意識(shí)和安全技能。電氣企業(yè)應(yīng)該組織員工進(jìn)行培訓(xùn)，普及他們的安全知識(shí)，強(qiáng)化職工的安全意識(shí)，使他們具備安全防范意識(shí)并具備基本的安全技能，能夠處理常見(jiàn)的安全問(wèn)題。通過(guò)安全培訓(xùn)來(lái)提高職工的安全操作技能，再結(jié)合第三方安全技術(shù)和產(chǎn)品來(lái)提升信息安全保障；3)安全組織和崗位。本著保障企業(yè)信息安全的目的，電氣企業(yè)應(yīng)該設(shè)立獨(dú)立的信息安全部門(mén)來(lái)管理企業(yè)信息的安全，實(shí)行“統(tǒng)一組織、分散管理”的方式來(lái)使信息安全部門(mén)全面負(fù)責(zé)企業(yè)的信息安全管理和維護(hù)。安全崗位是是根據(jù)系統(tǒng)安全需要設(shè)立的信息系統(tǒng)安全管理機(jī)構(gòu)，這個(gè)職位主要負(fù)責(zé)某一個(gè)或是幾個(gè)安全事務(wù)，在全企業(yè)形成專(zhuān)門(mén)的信息安全管理工作，使各個(gè)信息技術(shù)部門(mén)也能配合和推行信息安全工作。

參考文獻(xiàn)

[1]覃郁培.信息管理技術(shù)在電力變電運(yùn)行中的應(yīng)用[J].民營(yíng)科技，2010，(8)

篇8

【關(guān)鍵詞】盈余管理 盈余管理手段 關(guān)聯(lián)交易

一、信息管理與電力信息化概述

（一）信息管理概念。

信息管理是實(shí)現(xiàn)組織目標(biāo)、滿(mǎn)足組織要求、解決組織環(huán)境問(wèn)題而開(kāi)發(fā)、規(guī)劃、集成、控制、利用信息資源，以提高信息利用率，使信息效用價(jià)值最大化的一種實(shí)現(xiàn)的一種戰(zhàn)略管理。

（二）電力信息化。

電力企業(yè)信息化建設(shè)更趨向于科學(xué)性、實(shí)用性、安全性以及效益性，電力企業(yè)開(kāi)發(fā)了一系列企業(yè)管理和經(jīng)濟(jì)運(yùn)行有關(guān)的應(yīng)用系統(tǒng)，目的在于提高生產(chǎn)和管理效益以及信息系統(tǒng)的實(shí)際使用效果。電能可以瞬間完成發(fā)電、輸電、配電直到用電，電力的生產(chǎn)和使用具有連續(xù)性、等量以及同時(shí)的特點(diǎn)，要想確保電力的安全生產(chǎn)以及資源的合理配置生產(chǎn)，必須要根據(jù)調(diào)度指令對(duì)電力系統(tǒng)的所有環(huán)節(jié)瞬時(shí)作出反應(yīng)，電力系統(tǒng)的控制中心、調(diào)度中心要同時(shí)對(duì)發(fā)電、配電、輸電以及用電的各種數(shù)據(jù)進(jìn)行全面掌握，并及時(shí)地分析、調(diào)度和處理，對(duì)生產(chǎn)運(yùn)行進(jìn)行科學(xué)的安排，要及時(shí)的處理大而廣、紛繁復(fù)雜的信息量，這使得信息處理工作面臨著一定的挑戰(zhàn)。而信息管理技術(shù)的出現(xiàn)正好為信息的處理帶來(lái)了極大的便利，它結(jié)合了GIS技術(shù)，能實(shí)現(xiàn)多源數(shù)據(jù)的迅速整合，便于電力系統(tǒng)的信息化管理，可以綜合管理大量的屬性數(shù)據(jù)和地理信息數(shù)據(jù)，可以為經(jīng)營(yíng)管理提供科學(xué)的決策支持以及現(xiàn)代化的管理手段，結(jié)合了網(wǎng)絡(luò)技術(shù)，更有利于提高信息的共享程度，促進(jìn)信息管理系統(tǒng)實(shí)現(xiàn)電力信息的共享，有利于電力系統(tǒng)信息管理更加的透明。電力系統(tǒng)涉及到了十分廣泛的地理區(qū)域，需要多個(gè)部門(mén)對(duì)同一圖層進(jìn)行編輯，傳統(tǒng)的GIS圖層數(shù)據(jù)不支持多用并發(fā)操作，只適合單用戶(hù)使用，它采用的是文件格式，采用文件服務(wù)器的方式來(lái)共享圖層，若不進(jìn)行特殊處理，多用戶(hù)同時(shí)更新同一圖層文件時(shí)就會(huì)發(fā)生沖突。而新型的ORDBMS技術(shù)可以彌補(bǔ)這一缺陷，不會(huì)發(fā)生共享沖突，它采用的是面向?qū)ο蟮臄?shù)據(jù)庫(kù)技術(shù)，可以集中式管理地理屬性數(shù)據(jù)和信息空間數(shù)據(jù)，支持版本管理以及并發(fā)操作，還支持完全數(shù)據(jù)庫(kù)存儲(chǔ)模式，能夠解決數(shù)據(jù)安全機(jī)制、存儲(chǔ)管理大量的數(shù)據(jù)、數(shù)據(jù)完整性以及多用戶(hù)編輯等方面的問(wèn)題。

二、電力變電運(yùn)行中運(yùn)用信息管理的優(yōu)勢(shì)

（一）先進(jìn)性和開(kāi)放性。

數(shù)據(jù)倉(cāng)庫(kù)技術(shù)使數(shù)據(jù)有了更加廣泛的來(lái)源，便于使用，方便與MIS等系統(tǒng)接口，系統(tǒng)的構(gòu)造和Internet模式進(jìn)行了結(jié)合，應(yīng)有前景良好。

（二）實(shí)用性強(qiáng)。

信息管理技術(shù)有利于變電運(yùn)行中二次部分各類(lèi)數(shù)據(jù)源的共享和使用，尤其是對(duì)于變電保護(hù)技術(shù)工作人員來(lái)說(shuō)，有利于提高系統(tǒng)分析和數(shù)據(jù)統(tǒng)計(jì)的工作效率，有利于提高保護(hù)運(yùn)行水平。

（三）可靠性高，易于維護(hù)和升級(jí)。

方法庫(kù)和數(shù)據(jù)倉(cāng)庫(kù)的采用使得整個(gè)信息管理系統(tǒng)運(yùn)行集中于網(wǎng)絡(luò)中心規(guī)則庫(kù)和數(shù)據(jù)庫(kù)，不再在各級(jí)用戶(hù)之間分散可靠性，即使其中一個(gè)客戶(hù)的工作站突然損壞了，也不會(huì)對(duì)系統(tǒng)其他部分的性能造成影響，并且很容易恢復(fù)，軟件開(kāi)發(fā)人員只需改變方法庫(kù)就可以進(jìn)行升級(jí)換代，既方便又快捷。

三、電力變電運(yùn)行中采用的安全策略

（一）安全技術(shù)策略。

為了確保信息的安全，采取的必不可少的安全技術(shù)措施有：1）病毒防護(hù)技術(shù)。應(yīng)該建立健全管理制度，統(tǒng)一管理計(jì)算機(jī)病毒庫(kù)的升級(jí)分發(fā)以及病毒的預(yù)防、檢測(cè)等環(huán)節(jié)，應(yīng)該采取全面的防病毒策略應(yīng)用于信息系統(tǒng)的各個(gè)環(huán)節(jié)，有效的防治和避免受到病毒的侵害；2）防火墻技術(shù)。防火墻技術(shù)主要用于隔離信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)，它的檢查方式是通過(guò)單一集中的安全檢查點(diǎn)，強(qiáng)制實(shí)施安全策略來(lái)實(shí)現(xiàn)，避免非法存取和訪(fǎng)問(wèn)重要的信息資源；3）數(shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)必須制定數(shù)據(jù)備份策略，定期對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份，按照重要程度劃分?jǐn)?shù)據(jù)備份等級(jí)，建立企業(yè)數(shù)據(jù)備份中心，采用災(zāi)難恢復(fù)技術(shù)來(lái)備份應(yīng)用系統(tǒng)以及關(guān)鍵業(yè)務(wù)的數(shù)據(jù)，并制定詳細(xì)的數(shù)據(jù)庫(kù)故障恢復(fù)預(yù)案以及應(yīng)用數(shù)據(jù)庫(kù)備份，并定期的進(jìn)行預(yù)演，以防止在數(shù)據(jù)遭到破壞或是系統(tǒng)崩潰時(shí)能夠及時(shí)的修復(fù)，從而使信息系統(tǒng)具有更好的可靠性和可用性；4）安全審計(jì)技術(shù)。在系統(tǒng)規(guī)模的不斷擴(kuò)大以及安全設(shè)施不斷完善的背景下，電氣企業(yè)應(yīng)該引進(jìn)集中智能的安全審計(jì)系統(tǒng)，采取行之有效的技術(shù)手段來(lái)自動(dòng)統(tǒng)一審計(jì)網(wǎng)絡(luò)設(shè)備日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志以及安全設(shè)施運(yùn)行日志等，迅速自動(dòng)的對(duì)系統(tǒng)安全事件進(jìn)行分析，安全管理系統(tǒng)的運(yùn)行。另外建立信息安全身份認(rèn)證體系以及虛擬局域網(wǎng)技術(shù)也十分重要。

（二）組織管理策略。

組織管理措施以及技術(shù)措施統(tǒng)一在信息安全的范疇之內(nèi)，由于管理方面的原因?yàn)樵斐傻挠?jì)算機(jī)安全事件的比重達(dá)到了70%以上，所以應(yīng)采取必要的組織管理策略：1）安全策略和制度。電氣企業(yè)應(yīng)該制定相關(guān)的政策方針來(lái)指導(dǎo)企業(yè)整體的信息安全工作，只有制定統(tǒng)一的、具有指導(dǎo)性的安全策略和制度才能有效的衡量信息的安全，才能形成安全的防護(hù)體系以及遵循信息安全制度，只有制定有效的安全策略和制度，才能實(shí)現(xiàn)具體化、形式化的法律管理，才能將法規(guī)與管理聯(lián)系在一起，確保信息的安全。2）安全意識(shí)和安全技能。電氣企業(yè)應(yīng)該組織員工進(jìn)行培訓(xùn)，普及他們的安全知識(shí)，強(qiáng)化職工的安全意識(shí)，使他們具備安全防范意識(shí)并具備基本的安全技能，能夠處理常見(jiàn)的安全問(wèn)題。通過(guò)安全培訓(xùn)來(lái)提高職工的安全操作技能，再結(jié)合第三方安全技術(shù)和產(chǎn)品來(lái)提升信息安全保障；3）安全組織和崗位。本著保障企業(yè)信息安全的目的，電氣企業(yè)應(yīng)該設(shè)立獨(dú)立的信息安全部門(mén)來(lái)管理企業(yè)信息的安全，實(shí)行“統(tǒng)一組織、分散管理”的方式來(lái)使信息安全部門(mén)全面負(fù)責(zé)企業(yè)的信息安全管理和維護(hù)。安全崗位是是根據(jù)系統(tǒng)安全需要設(shè)立的信息系統(tǒng)安全管理機(jī)構(gòu)，這個(gè)職位主要負(fù)責(zé)某一個(gè)或是幾個(gè)安全事務(wù)，在全企業(yè)形成專(zhuān)門(mén)的信息安全管理工作，使各個(gè)信息技術(shù)部門(mén)也能配合和推行信息安全工作。

參考文獻(xiàn)：

篇9

中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)06-1317-02

On Security Architecture for Enterprise Information Systems to Establish

LI Yu-lu

(Changzhou, Jiangsu Electric Power Company Power Company Information Center, Changzhou 213003, China)

Abstract: To improve the security of enterprise information systems that needs to start from the structure. This article describes the system structure of information system security status and structure of the standardized safety systems analysis, which describes the security requirements to meet the various security elements in the relationship between the proposed enterprise information security architecture model, in order to guide enterprise the development of safety standards, the system provides a reference.

Key words: enterprise information security; architecture; safety standard system

企業(yè)信息系統(tǒng)安全結(jié)構(gòu)是計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)的擴(kuò)展。20 世紀(jì)80 年代末、90 年代初,信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)的重要性開(kāi)始引起發(fā)達(dá)國(guó)家關(guān)注。如,美國(guó)國(guó)家安全局(NAS) 20 世紀(jì)90 年代公布的國(guó)防信息系統(tǒng)安全計(jì)劃(DISSP) ,是由安全特性、系統(tǒng)組成部分、擴(kuò)展的IS0 協(xié)議層等三維構(gòu)成,它不僅考慮了信息傳輸安全、網(wǎng)絡(luò)安全,還考慮了信息處理安全、端系統(tǒng)及接口安全問(wèn)題;此外,還增加了互操作性、質(zhì)量保證、性能等安全特性。2001 年美國(guó)國(guó)家安全局(NAS )制定了信息技術(shù)保證框架(IATF),是從整體、過(guò)程的角度看待信息安全問(wèn)題,它強(qiáng)調(diào)以人、技術(shù)、操作這三個(gè)核心原則,關(guān)注四個(gè)信息安全保障領(lǐng)域:保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護(hù)邊界、保護(hù)計(jì)算環(huán)境、支撐基礎(chǔ)設(shè)施,并在4 個(gè)重點(diǎn)技術(shù)領(lǐng)域?qū)嵤┲T如應(yīng)用層護(hù)衛(wèi)、電路、文件加密等多種安全技術(shù)手段。再如,美國(guó)國(guó)防部所屬的國(guó)防信息系統(tǒng)局(DISA)1996 年制定了防御目標(biāo)安全系統(tǒng)結(jié)構(gòu)框架(DGSA V3.0),從系統(tǒng)單元構(gòu)成的角度,提出了信息系統(tǒng)中各單元分的安全服務(wù)配置框架,目的是要從安全系統(tǒng)結(jié)構(gòu)的高度對(duì)信息統(tǒng)的安全保護(hù)提出技術(shù)上和管理上的規(guī)范要求等。

在信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)理論研究領(lǐng)域,有人提出開(kāi)放分布式系統(tǒng)的安全結(jié)構(gòu);有人對(duì)網(wǎng)絡(luò)及信息系安全系統(tǒng)結(jié)構(gòu)進(jìn)行了初步的探討和研究,提出了計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體安全系統(tǒng)結(jié)構(gòu)和基于智能協(xié)作技術(shù)的信息系統(tǒng)安全系結(jié)構(gòu)概念模型等。通過(guò)對(duì)上述的研究分析,可以看到國(guó)內(nèi)外己有的安全系統(tǒng)結(jié)構(gòu)和框架都描述了信息系統(tǒng)相關(guān)的安全系統(tǒng)結(jié)構(gòu)及模型等安全要素,它們各不相同,實(shí)現(xiàn)方法等也并且都不完備。由于研究問(wèn)題的層次和角度不同,對(duì)安全系統(tǒng)結(jié)構(gòu)的具體含義的理解也同,從而導(dǎo)致信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)在概念上、類(lèi)型上及結(jié)構(gòu)上的不一致,因此,為使信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)研究和應(yīng)用共同的概念依據(jù)和構(gòu)建基礎(chǔ),需要加強(qiáng)對(duì)信息系統(tǒng)安全結(jié)構(gòu)的一些基本問(wèn)題,諸如安全結(jié)構(gòu)的類(lèi)型及特征、構(gòu)成要素及構(gòu)建步驟等內(nèi)容的學(xué)習(xí)研究,以引導(dǎo)企業(yè)安全系統(tǒng)的建立。

1 信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)組成要素

實(shí)現(xiàn)信息安全系統(tǒng)結(jié)構(gòu)的安全,要從多個(gè)方面考慮,通常定義的包括安全屬性、系統(tǒng)組成、安全策略、安全模型、安全機(jī)制等5 個(gè)方面。在每一個(gè)方面中,還可以繼續(xù)劃分多個(gè)層次;對(duì)于一個(gè)給定的層次,包括著多種安全要素。

1.1 安全屬性

安全本身是對(duì)信息系統(tǒng)一種屬性要求,信息系統(tǒng)通過(guò)安全服務(wù)來(lái)實(shí)現(xiàn)安全性?；镜陌踩?wù)包括標(biāo)識(shí)與鑒別、保密性、完整性、可用性等。在1S07498 一2 中對(duì)安全服務(wù)和安全機(jī)制的對(duì)應(yīng)關(guān)系給予了描述。它的核心內(nèi)容是將5 大類(lèi)安全服務(wù):身份鑒別、訪(fǎng)問(wèn)控制、數(shù)據(jù)保密、數(shù)據(jù)完整性、不可否認(rèn)性及提供這些服務(wù)的8 類(lèi)安全機(jī)制及其相應(yīng)的0SI 安全管理等放置于0SI模型的7層協(xié)議中,以實(shí)現(xiàn)端系統(tǒng)信息安全傳送的通信通路。這樣從安全性到安全服務(wù)機(jī)制到具體安全技術(shù)手段形成了安全屬性的不同層次。

1.2 系統(tǒng)組成

系統(tǒng)組成描述信息系統(tǒng)的組成要素。對(duì)于信息系統(tǒng)的組成劃分,有不同的方法?？梢苑譃橛布蛙浖?在硬件和軟件中又可以進(jìn)一步地劃分。對(duì)于分布的信息系統(tǒng),可以將信息系統(tǒng)資源分為用戶(hù)單元和網(wǎng)絡(luò)單元,即將信息系統(tǒng)的組成要素分為本地計(jì)算環(huán)境和網(wǎng)絡(luò),以及計(jì)算環(huán)境邊界。本地計(jì)算環(huán)境和網(wǎng)絡(luò)都還可以進(jìn)一步劃分等。例如本地計(jì)算環(huán)境可以分為端系統(tǒng)、中繼系統(tǒng)和局部通信系統(tǒng)。端系統(tǒng)作為信息處理單元,可以繼續(xù)分為應(yīng)用平臺(tái)和應(yīng)用軟件;應(yīng)用平臺(tái)包括操作系統(tǒng)、軟件工程服務(wù)、分布式服務(wù)、數(shù)據(jù)管理等:應(yīng)用軟件中包括消息處理、web 應(yīng)用等。

1.3 安全策略

在安全系統(tǒng)結(jié)構(gòu)中,安全策略指用于限定一個(gè)系統(tǒng)、實(shí)體或?qū)ο筮M(jìn)行安全相關(guān)活動(dòng)的規(guī)則。 即要表明在安全范圍內(nèi)什么是允許的,什么是不允許的。它直體現(xiàn)了安全需求,井且也有面向不同層次、視圖及原理的安全策略。其描述內(nèi)容和形式也各不相同。對(duì)于抽象型和一般型安全系統(tǒng)結(jié)構(gòu)而言,安全策略主要是對(duì)加密、訪(fǎng)問(wèn)控制、多級(jí)安全等策略的通用規(guī)定,不涉及具體的軟硬件實(shí)現(xiàn);而對(duì)于具體型安全系統(tǒng)結(jié)構(gòu),其安全策咯則是要對(duì)實(shí)現(xiàn)系統(tǒng)安全功能的主體和客體特性進(jìn)行具體的標(biāo)識(shí)和說(shuō)明,亦即要描述允許或禁止系統(tǒng)和用戶(hù)何時(shí)執(zhí)行哪些動(dòng)作,井要能反射到軟硬件安全組件的具體配置,如,網(wǎng)絡(luò)操作系統(tǒng)的帳戶(hù)策略用戶(hù)權(quán)限策略和審計(jì)策略等安全策略就最終體現(xiàn)為發(fā)全功能的各種選項(xiàng)等。

1.4 安全模型

安全模型用于準(zhǔn)確描述系絞在功能和結(jié)構(gòu)上的安全特性,它反映了一定的支全策略,是引導(dǎo)、驗(yàn)證安全系統(tǒng)開(kāi)發(fā)設(shè)計(jì)的概念模型要求。對(duì)安全策略及形式化模型的研究起源于美國(guó)軍方對(duì)高安全級(jí)別的計(jì)算機(jī)系統(tǒng)的需求,它為計(jì)算機(jī)操作系統(tǒng)的安全性設(shè)計(jì)提供了理論基礎(chǔ)。這些安全模型通常被認(rèn)為是經(jīng)典安全模型。經(jīng)典安全模型主要由身份標(biāo)識(shí)、認(rèn)證、授權(quán)、審核等4個(gè)環(huán)節(jié)構(gòu)成。經(jīng)典安全模型的前提假設(shè)是:引用監(jiān)視器是主體對(duì)客體進(jìn)行訪(fǎng)問(wèn)的唯一路徑。身份標(biāo)識(shí)與認(rèn)證的機(jī)制是可靠的;審核文件和訪(fǎng)問(wèn)控制數(shù)據(jù)庫(kù)本身受到充分的保護(hù)。而這些前提在實(shí)際的信怠系統(tǒng)中并不一定成立。因此,信息系統(tǒng)安全摸型的描述應(yīng)反映相應(yīng)層次和視圖上的安全策略。

1.5 安全機(jī)制

安全機(jī)制是實(shí)現(xiàn)信息系統(tǒng)安全需求及空全策略的各種措施,具體可以表現(xiàn)為所需要的安全白標(biāo)準(zhǔn)、安全協(xié)議、安全技術(shù)、安全單元等。對(duì)于不同層次、不同視圖及不同原理的安全系統(tǒng)結(jié)構(gòu),安全機(jī)制側(cè)重點(diǎn)也有所不同。例如:OSI安全系統(tǒng)結(jié)構(gòu)中建議采用7種安全機(jī)制。而對(duì)于特定系統(tǒng)的安全系統(tǒng)結(jié)構(gòu),則要進(jìn)一步說(shuō)明有關(guān)安全機(jī)制的具體實(shí)現(xiàn)技術(shù),如認(rèn)證機(jī)制的實(shí)現(xiàn)可以有口令、密碼技術(shù)及實(shí)體特征鑒別等方法。

2 數(shù)學(xué)模型

把整個(gè)信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)可看成為一個(gè)空間:組成信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)的這些方面稱(chēng)之為維,層次劃分中的特定層次下所包括的安全要素值均是每一維上的具體元素值的體現(xiàn),通用的信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)就是具有多維、多層和動(dòng)態(tài)特性的空間(這里只是借用維空間的概念,除了考慮各維元素之間的相互作用而外并不考慮維空間中各個(gè)元素之間的運(yùn)算)。通過(guò)數(shù)學(xué)描述,可以更好地對(duì)知識(shí)進(jìn)行歸納和運(yùn)用:一方面更容易量化,使得描述更為清晰;另一方面可以指導(dǎo)新的未知問(wèn)題的探索,演繹出新的概念或理論。

3 結(jié)束語(yǔ)

企業(yè)信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)的研究是一項(xiàng)復(fù)雜的系統(tǒng)工程。需要我們用系統(tǒng)工程的概念、理論和方法來(lái)研究、開(kāi)發(fā)和實(shí)施系統(tǒng)安全結(jié)構(gòu)的設(shè)計(jì),安全系統(tǒng)結(jié)構(gòu)理論就是要從整體上解決信息系統(tǒng)的安全問(wèn)題,但目前在很多企業(yè)對(duì)安全系統(tǒng)結(jié)構(gòu)的概念、類(lèi)型、構(gòu)建等問(wèn)題上還沒(méi)有得到系統(tǒng)化的研究,以上從學(xué)習(xí)研究的角度對(duì)目前國(guó)內(nèi)外安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)的研究進(jìn)行了粗淺的學(xué)習(xí)分析,通過(guò)分析使對(duì)整個(gè)安全系統(tǒng)結(jié)構(gòu)的認(rèn)識(shí)進(jìn)一步加深和清晰化,從而提出企業(yè)信息安全系統(tǒng)結(jié)構(gòu)和模型。要使企業(yè)信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)適合企業(yè)信息系統(tǒng)安全、全面、準(zhǔn)確、可行的要求,同時(shí)要適應(yīng)信息技術(shù)及其安全技術(shù)的飛速發(fā)展。只有這樣,才能確保信息安全系統(tǒng)適應(yīng)更好地為企業(yè)服務(wù)。

參考文獻(xiàn):

篇10

關(guān)鍵詞：商業(yè)秘密；信息安全；保護(hù)；資產(chǎn)；大數(shù)據(jù)

1信息安全工作的本質(zhì)是商業(yè)秘密保護(hù)

商業(yè)秘密保護(hù)一直是企業(yè)內(nèi)部管理的薄弱環(huán)節(jié)，企業(yè)也是信息安全泄密事件的高發(fā)群體，受到商業(yè)秘密侵權(quán)的損害也最大。其原因在于企業(yè)的創(chuàng)始人基本沒(méi)有商業(yè)秘密的意識(shí)，也沒(méi)有在機(jī)構(gòu)上設(shè)立保密部門(mén)，更沒(méi)有建立有效的商業(yè)秘密保護(hù)管理機(jī)制，因此導(dǎo)致商業(yè)秘密容易被侵權(quán)。按照我國(guó)《反不正當(dāng)競(jìng)爭(zhēng)法》的規(guī)定，屬于商業(yè)秘密范疇的信息須具備以下三個(gè)條件：不為公眾所知悉、能帶來(lái)經(jīng)濟(jì)利益、采取保密措施。根據(jù)商業(yè)秘密的特點(diǎn)，可以發(fā)現(xiàn)商業(yè)秘密屬于具有經(jīng)濟(jì)價(jià)值且被保護(hù)的企業(yè)信息資源，這種資源在企業(yè)內(nèi)部有限范圍內(nèi)共享。當(dāng)下，有關(guān)商業(yè)秘密的法律訴訟已不是新鮮事。2017年，安徽一橡塑制品公司員工辭職后入股競(jìng)爭(zhēng)對(duì)手,不僅帶走老東家的技術(shù)資料,還“搶了”老顧客生意。法院采取“實(shí)質(zhì)性相同加接觸”規(guī)則推定其與新東家構(gòu)成侵權(quán),判賠80萬(wàn)元。據(jù)德國(guó)《經(jīng)濟(jì)周刊》網(wǎng)站2017年12日?qǐng)?bào)道，荷蘭警方日前逮捕了一名65歲男子，該男子為西門(mén)子員工，涉嫌將西門(mén)子商業(yè)機(jī)密泄露給中國(guó)企業(yè)，荷蘭檢察院目前正對(duì)此案展開(kāi)調(diào)查。以上兩個(gè)案例中的企業(yè)商業(yè)秘密保護(hù)的一個(gè)側(cè)面。大數(shù)據(jù)時(shí)代的核心是資源共享，任何企業(yè)都不是一個(gè)封閉的組織，任何組織和個(gè)人都可以有償或者無(wú)償獲得他們所需要的信息。因此，要做好企業(yè)的信息安全工作，必須厘清商業(yè)秘密保護(hù)與信息安全之間的關(guān)系。商業(yè)秘密保護(hù)的對(duì)象是企業(yè)的技術(shù)或經(jīng)營(yíng)信息，因此商業(yè)秘密保護(hù)的本質(zhì)也是保護(hù)信息安全。泄密事件層出不窮，泄密手段越來(lái)越高科技。大部分企業(yè)在信息安全工作中，存在一些典型的誤區(qū)：業(yè)務(wù)部門(mén)認(rèn)為沒(méi)有商業(yè)秘密可言，搞信息安全只是IT部門(mén)的事情；業(yè)務(wù)部門(mén)不知道哪些信息屬于商業(yè)秘密，信息安全工作推進(jìn)沒(méi)有依據(jù)；業(yè)務(wù)部門(mén)的海量信息都需要保護(hù)，保護(hù)范圍無(wú)限擴(kuò)大，見(jiàn)圖1。

2信息安全工作不能奔走救火

市場(chǎng)經(jīng)濟(jì)競(jìng)爭(zhēng)越來(lái)越激烈，泄密風(fēng)險(xiǎn)越來(lái)越多，商業(yè)秘密的價(jià)值越來(lái)越高。泄密的途徑和方式多種多樣，要想做好信息安全工作，我們必須要了解主要的泄密途徑。(1)內(nèi)部泄密。堡壘最容易從內(nèi)部被攻破，在企業(yè)商業(yè)秘密泄密事件中，由于核心員工跳槽帶走商業(yè)秘密而造成的泄密事件時(shí)有發(fā)生而且占有很大的比例。據(jù)統(tǒng)計(jì)，企業(yè)內(nèi)部人員侵犯商業(yè)秘密案件占全部案例的82.5%。人員流動(dòng)是企業(yè)發(fā)展過(guò)程中所面臨的并且是無(wú)法回避的問(wèn)題，在企業(yè)的商業(yè)秘密保護(hù)工作中，如何防止核心員工跳槽帶走商業(yè)秘密，人員管理固然是很重要的一個(gè)環(huán)節(jié)，但還應(yīng)伴隨著一系列的管理措施。對(duì)于企業(yè)來(lái)說(shuō)，證明商業(yè)秘密的存在本身就很困難，要證明企業(yè)員工是否利用了這種信息難度更大，尤其是難以區(qū)分一般信息與商業(yè)秘密信息的差別。所以，應(yīng)通過(guò)競(jìng)業(yè)限制條款以盡可能地避免員工利用商業(yè)秘密。(2)商業(yè)秘密信息管理不善。一些企業(yè)中存在著很多這樣的情況，企業(yè)一邊將一些技術(shù)文件、客戶(hù)資料和信息不分級(jí)別隨意管理，任何員工甚至未經(jīng)任何手續(xù)就能隨意使用和得到這些信息，另一邊聲稱(chēng)自己的商業(yè)秘密被泄露要加強(qiáng)管理甚至要進(jìn)行索賠等，這種狀況是很難尋求到法律支持和保護(hù)的。所以，我們強(qiáng)調(diào)確定企業(yè)的商業(yè)秘密范圍，明確商業(yè)秘密保護(hù)的對(duì)象是商業(yè)秘密保護(hù)工作的關(guān)鍵環(huán)節(jié)。(3)接待外來(lái)人員采訪(fǎng)、參觀(guān)、考察、實(shí)習(xí)中疏忽大意。這樣的實(shí)例很多,我國(guó)一些具有“獨(dú)特工藝”的傳統(tǒng)產(chǎn)品企業(yè)就是在接待參觀(guān)和考察中，被人竊取“機(jī)密”。改革開(kāi)放之初，日本人借著我國(guó)地方官員和民眾熱情迎接外賓，毫無(wú)商業(yè)保密頭腦的機(jī)會(huì)，來(lái)涇縣“參觀(guān)考察”中國(guó)宣紙制造，官員和工廠(chǎng)負(fù)責(zé)及技術(shù)人員陪同參觀(guān)，每一道制作工藝詳細(xì)講解，從而日本人輕而易舉獲取了宣紙制造的整個(gè)流程，以及“紙藥”的配方。如果企業(yè)能重視到商業(yè)秘密的保護(hù)，此種損失完全可以避免或降低。參觀(guān)應(yīng)避開(kāi)敏感區(qū)域，勿作詳細(xì)解釋?zhuān)饘?duì)生產(chǎn)制造工藝進(jìn)行演示，并要求來(lái)訪(fǎng)者參觀(guān)商業(yè)秘密設(shè)備時(shí)簽訂保密協(xié)議。(4)對(duì)外信息。競(jìng)爭(zhēng)對(duì)手通過(guò)公開(kāi)的信息收集的合法途徑同樣能夠獲取企業(yè)商業(yè)秘密。還有一些企業(yè)甚至盯著對(duì)手公司經(jīng)常使用的垃圾箱，從垃圾箱中翻閱廢棄資料，從而檢索有用信息。對(duì)此，企業(yè)一定要引起注意，最好建立嚴(yán)格的信息審批規(guī)章制度和辦事程序。比如信息公布、報(bào)廢產(chǎn)品、實(shí)驗(yàn)廢品和產(chǎn)品的處理，展覽、新聞和廣告等，均需通過(guò)嚴(yán)密的信息處理和審批，以防無(wú)意中泄密。為了解決一個(gè)個(gè)具體的問(wèn)題而立即行動(dòng)，效果不會(huì)很好，久而久之，信息安全保護(hù)措施會(huì)流于形式、奔走救火。企業(yè)要防止自己的商業(yè)秘密被競(jìng)爭(zhēng)對(duì)手竊取，必要采取各種保護(hù)措施。保護(hù)措施越多，保護(hù)效果越好，但同時(shí)保護(hù)成本也會(huì)增大，消耗企業(yè)的財(cái)富。但如果企業(yè)對(duì)商業(yè)秘密投入不足，會(huì)使保護(hù)能力欠缺，導(dǎo)致重要的商業(yè)秘密資產(chǎn)被泄密，企業(yè)面臨的損失可能會(huì)更大。因此，企業(yè)必須使投入的保護(hù)成本與需要保護(hù)的商業(yè)秘密資產(chǎn)價(jià)值相適應(yīng)。

3保護(hù)信息安全的目標(biāo)是降低風(fēng)險(xiǎn)

就商業(yè)秘密而言，沒(méi)有絕對(duì)的安全，只有相對(duì)的安全。信息安全的目的是，保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風(fēng)險(xiǎn)最小化，投資回報(bào)和商業(yè)機(jī)遇最大化。泄密風(fēng)險(xiǎn)只能降低，不可能杜絕。商業(yè)秘密范圍的確定是商業(yè)秘密保護(hù)最基礎(chǔ)的工作，只有準(zhǔn)確的定義、識(shí)別并確定自己企業(yè)需要保護(hù)的商業(yè)秘密范圍，才有可能采取有效措施對(duì)范圍之內(nèi)的商業(yè)秘密進(jìn)行保護(hù)，如果范圍確定的不準(zhǔn)確，就可能使商業(yè)秘密面臨缺乏保護(hù)或保護(hù)過(guò)度的風(fēng)險(xiǎn)。在明確商業(yè)秘密的范圍和定義的前提下，首先要做好“定密”工作，其次要做好“分級(jí)”工作，最后在采用各種手段去做“保密”工作。

參考文獻(xiàn)

[1]魏亮.云計(jì)算安全風(fēng)險(xiǎn)及對(duì)策研究[J].郵電設(shè)計(jì)技術(shù),2011(10).

[2]徐祖哲.企業(yè)信息化與商業(yè)秘密保護(hù)[J].中國(guó)科技投資,2009(2).

[3]歐陽(yáng)有慧.商業(yè)秘密的企業(yè)應(yīng)對(duì)[J].商場(chǎng)現(xiàn)代化,2009(1).

[4]王紅一.免予公開(kāi)的商業(yè)秘密的界定問(wèn)題[J].暨南學(xué)報(bào),2005(5).

[5]馮曉青.試論商業(yè)秘密法的目的與利益平衡[J].天中學(xué)刊,2004(12).