導語：如何才能寫好一篇信息安全管理辦法，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】信息與通信工程；安全管理；施工現場

1.信息通信工程安全管理理念

信息通信工程是人們日常生活中不可缺少的一部分，同樣也是國家政治、軍事以及企業運行中不可或缺的，所以它的安全管理在使用中顯得尤為重要。所以，它在我國社會發展中起著重要的作用。信息通信工程安全管理一般是指在信息通信工程安全建設中所涉及到的有關問題，例如建設主管部門安全問題、建設主體安全問題、安全生產企業管理問題等，所以，在信息通信工程管理建設中，安全是發展中的首要問題。

2.通信工程安全管理的重要性

2.1促進安全生產保證機制的形成

對信息通信工程實行安全管理制度，可以提高施工人員在工作中的安全意識，同時也會引起企業其他部門的爭相效仿，進而使整個單位企業都對安全施工有了新的認識，促進了政府、施工企業以及監理單位等監管體系的有效協作，更加促進安全生產保障機制形成，為施工人員作業安全提供保障。

2.2提高信息通信工程安全生產水平

政府、施工企業以及監理單位等監管體系的有效協作，即政府安全生產監管、施工單位的安全控制以及監理單位建立的有效協作，充分發揮了有效的市場監管作用，政府在信息通信工程的調解中發現了市場監管存在的不足，監理單位的調控使得信息通信的安全生產在一定程度上得到治理。施工單位一定要對施工人員制作好安全防護制度，如果施工單位仍有存在不足的地方，施工人員也可提出安全要求進行整改，只有政府、施工企業以及監理單位相互協作，安全生產水平才能得到整體提高，才能保證自身和他人的生命財產安全。

2.3有利于實現通信工程建設投資效益最大化

在信息通信安全管理辦法實施以后，企業管理人員發現施工人員對工程監督得到了加強，也開始修復在施工過程中出現的漏洞，安全施工得到很大程度的完善。這種做法不但在一定程度上避免了施工中安全事故的發生，同時也提高了信息通信工程的質量保證，使得企業的建設投資得到正激勵提高，實現了工程建設投資效益最大化。

3.強化通信工程安全管理的有效對策

3.1重視對施工人員的教育

作為施工人員，在進入企業時，企業負責人就必須向施工人員講述安全施工管理的重要性，提高施工人員的綜合素質，并在企業發展工程中定期對施工人員加強安全施工的引導，增強施工人員的職業安全素質，提高施工人員在去年全市共中的重視力度。因為信息通信工程的建設不是兒戲，它涉及到施工人員的生命安全，不能一概而論，更不能走形式主義，必須毫不松懈傳輸安全教育。

3.2提高員工責任心

在施工過程中要保證信息通信工程建設管理的安全質量，施工人員在現場施工中一定要樹立強烈的責任心，要從實際出發，制定出關于施工安全的管理辦法。施工人員要結合實際總結出施工時產生的狀況、管理中產生的狀況以及施工人員在安全方面的管理措施，提高工程中管理人員的整體素質，并把管理中的每個細節都落實到位。嚴格的控制并劃分出每個責任人負責的區域，若今后在信息通信工程中出現問題，避免責任人相互推卸責任。

3.3確保建設安全中資金的有效投入

在信息通信工程建設施工過程中，管理人員往往只重視施工的高效性，卻對安全施工不夠重視，由于對安全資金的投入不足或者不到位，在施工過程中很容易發生不確定性事故。所以，在施工之前，管理人員必須羅列出安全措施的詳細計劃單，保證在安全管理中安全專款的適用范圍。在安全投入費用中，監理單位也必須對其進行單獨開支，保證監理單位對工程監理負責的積極性，可以在這種基礎上實行安全生產獎罰制度，促進員工進行有效安全措施。

3.4建立安全管理規章制度

我國企業對每項工程都會制定不同的安全管理辦法，并且我們質量安全監督局會對施工現場進行勘測和檢查，并簽訂《安全生產管理計劃書》，最大程度的把安全責任落實到位。在施工現場，企業要對安全施工和安全生產做好宣傳，弘揚安全生產的信心，把安全施工大標題張貼在醒目的位置，最好切實有效的安全工作職責運行，若在施工現場出現問題，一定要認真分析出現問題的原因，找到可以解決的方案，切忌亂動施工現場，防止出現混亂。

結束語

隨著我國信息通信工程技術的飛速發展，其安全管理辦法的實施研究不僅是我國信息保障得到安全運用，同時在一定程度上也保障了通信施工人員的人身安全，對以后信息安全保障起到非常重要的作用。在信息通信安全管理中，要注重對工作人員安全素質的培養，重用高科技專業發展人才，提高人員安全保護意識。并且重視對安全管理人員的管理進行創新，加強安全管理理念，保證技術工程的順利進行。

參考文獻

[1] 戴凱.通信工程安全管理辦法研究[J].中國新通信，2014，（7）.

[2] 黃云龍.通信工程安全管理探析[J].企業改革與管理，2014，（5）.

[3] 李剛.論通信工程安全管理的對策[J].中國化工貿易 ，2013，（10）：68-68.

篇2

第一條 為加強證券期貨業信息安全保障工作的組織協調，建立、健全信息安全管理制度和運行機制，提高行業信息安全保障工作水平，切實保護投資者合法權益，根據國家有關法律、法規和相關規定，制定本辦法。

第二條本辦法適用于證券期貨市場的監管機構、行業自律組織及經營機構。監管機構為中國證券監督管理委員會（以下簡稱“中國證監會”）；行業自律組織包括證券、期貨交易所及其通信公司，證券登記結算公司、中國證券業協會和中國期貨業協會；經營機構包括證券、期貨公司，基金管理公司及證券、期貨投資咨詢公司。

第二章 安全職責劃分

第三條 中國證監會負責證券期貨行業信息安全保障工作的監督管理及組織協調。

第四條 證券、期貨交易所及其通信公司，登記結算公司，證券、期貨公司，基金管理公司，證券、期貨投資咨詢公司等是各自信息系統安全運營管理的責任主體單位（以下簡稱“主體單位”）。

第五條證券交易所負責證券交易、信息及市場監管信息系統的安全運營。證券通信公司受證券交易所及證券登記結算公司、經營機構的委托，負責通信系統的安全運營，保障交易、結算等業務數據的及時安全傳送。期貨交易所負責期貨交易和結算處理、信息、市場監管信息系統及通信系統的安全運營。

第六條 證券登記結算公司負責證券登記、結算業務信息系統的安全運營。

第七條 中國證券業協會負責證券公司、基金管理公司、證券投資咨詢公司等會員單位信息安全保障的組織、協調工作。

中國期貨業協會負責期貨公司、期貨投資咨詢公司等會員單位信息安全保障的組織、協調工作。

第八條 證券、期貨公司，基金管理公司及證券、期貨投資咨詢公司負責總部及下屬經營機構信息系統的安全運營。

第三章 安全目標與基本原則

第九條 信息安全保障工作的總體目標是確保信息和信息系統的完整性、保密性、可用性、時效性、可審查性和可控性，切實保護市場參與各方的合法權益，促進證券期貨市場的持續、穩定、健康發展。

第十條 信息安全保障工作的具體目標是：

（一） 保護證券期貨業信息系統的物理環境、設備設施和運行環境，保證信息系統的環境安全；

（二） 確保信息內容的合法性，保護信息在采集、傳輸、使用和存儲過程中的保密性、完整性、可用性、時效性、可審查性和可控性，保證信息的安全；

（三） 提高證券期貨業人員的信息安全意識、安全專業素質以及安全管理與服務水平；

（四） 提高信息系統的可用率和災難恢復能力，為業務的可持續性運行提供保障。

第十一條 信息安全保障工作應遵循以下基本原則：

（一） 責任制原則：安全管理應做到“誰主管，誰負責”、“誰運營，誰負責”，注重以法律手段明確與他方的責任關系，通過契約、協調等方式與他方進行責任劃分，明確進行風險轉移，通過責任主體制約他方。

（二） 規范化原則：遵循國內、國際的信息安全標準及行業規范，對信息系統實行等級保護。

（三） 全面統籌原則：信息安全保障工作應貫穿于信息化全過程，堅持統籌規劃、突出重點，安全與發展并進，管理與技術并重，應急防御與長效機制相結合。

（四） 實用性原則：在確保信息系統性能和安全的前提下，充分利用資源，講究實效，避免重復和盲目投資，積極采用國家法律法規允許的、成熟的先進技術和專業安全服務，運用科學的經營管理方法，降低成本，保障安全運行。

第四章 安全保障要求

第十二條 主體單位應建立以安全組織體系為核心、安全管理體系為保障、安全技術體系為支撐的全面信息安全體系，保持三個體系穩定、均衡發展。

第十三條 主體單位應建立明確的信息安全組織體系：

（一） 建立決策層、管理層和執行層三層工作關系，明確信息安全主管領導，落實信息安全管理部門，指定信息安全執行崗位；

（二） 設立專職的安全管理員和安全審計員崗位，分別負責信息安全工作的實施和審計；

（三） 通過多種安全培訓方式加強信息安全人才隊伍的建設，提高信息安全工作人員的技能水平，提高員工安全意識。

第十四條 主體單位應建立全面的信息安全管理體系：

（一） 制定統一的信息安全策略和全面、可操作的信息安全管理制度，指導和規范信息系統的安全規劃與建設，確保策略和制度得到恰當的理解并得到有效的遵循和執行；

（二） 加強信息系統資產安全管理，保護信息系統設備、軟件、數據和技術文檔的安全，實行信息系統資產管理責任制，實現等級管理、密級管理，重點保護核心信息系統資產的安全；

（三） 強化信息系統的物理安全保護，執行嚴格的機房安全管理、環境安全管理和有效的物理控制措施；

（四） 建立信息系統網絡、系統、應用等各層面的安全管理流程，實現對信息系統規劃、建設、運行、維護各個階段的安全管理，開發與運營獨立管理，嚴格執行日常的實時管理和定期管理工作；

（五） 實現對信息系統的安全風險管理，對信息資產、威脅和脆弱性的狀況進行定期評估，及時發現安全隱患并進行預防性的保護，選擇適用、有效的安全措施。

第十五條 主體單位應建立有效的信息安全技術體系：

（一） 建立完善的安全預警體系，及時發現安全隱患；

（二） 強化現有的安全防護體系，實現對核心業務系統的重點保護；

（三） 建立有效的安全監控體系，監控核心業務系統，為進一步完善信息安全體系提供決策依據；

（四） 建立全面的應急響應體系，制定規范、完整的應急處理和響應流程，定期進行應急恢復的演練和測試，完善信息安全通報機制；

（五） 按照不同的安全保護等級建立相應的災難恢復體系，定期進行災難恢復的演練和測試，確保災難發生后能夠充分發揮備份的效能，降低造成的影響和損失。

第五章 附 則

第十六條 中國證監會對證券期貨業信息系統安全保障情況組織安全檢查，檢查方式包括自檢查、委托檢查等方式。

篇3

【關鍵詞】安全等級；四級；TDCS；接入安全

1 TDCS與《信息安全等級保護管理辦法》中四級基本要求的差距

1.1 四級基本要求介紹

《信息安全等級保護管理辦法》中四級的基本要求有2大方面即管理要求與技術要求。

1.1.1 管理要求

該部分分為5個方面：安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。

1.1.2 技術要求

要求分為5個方面：物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復。下面就這5個方面進行簡單介紹。

1）物理安全

規定了系統設備的物理環境，避免常見自然或人為災害的影響。

2）網絡安全

結構安全：規定了結構上要保證冗余并根據職能和重要性進行網段劃分，通道上要保證訪問路徑的安全和帶寬，邊界上保證與其它網絡的可靠隔離。

訪問控制：邊界上要部署訪問流量的控制設備，進行訪問控制；內部嚴禁開通遠程撥號功能。

安全審計：集中審計運行情況、流量、用戶行為，便于分析問題以及數據恢復。

入侵防范：監測網絡邊界的攻擊行為，并定位記錄和即時報警。

惡意代碼防范：在內部及時更新防范的代碼庫，在邊界要做到檢測和清除惡意代碼。

3）主機安全

規定了身份鑒別、安全標記、訪問控制、可信路徑、安全審計、信息保護、入侵防范、惡意代碼防范及資源控制。

4）應用安全

規定了身份鑒別、安全標記、訪問控制、可信路徑、安全審計、信息保護、通信的完整性和保密性、軟件容錯、資源控制、抗抵賴。

5）數據安全及備份恢復

規定了數據的完整性和保密性，以及備份數據的恢復。

1.2 TDCS現狀與四級差距

目前TDCS網絡安全建設相對于《國家信息安全等級保護管理辦法》中4 級《信息系統安全等級保護基本要求》還存在著巨大的差距，其中如接入安全控制系統、指紋認證系統、網絡安全審計和IT資源集中安全管理等重要網絡安全子系統目前仍是空白，具體防護差距請見表1。

2 幾種網絡安全技術介紹

2.1 接入安全控制系統

接入安全控制系統是內網安全管理的重要組成部分，部署在企業的內部網絡中，可以保護內部計算機免受外來終端的危害，可禁止重要信息通過外設和USB 等端口泄漏，防范非法設備接入內網等。

2.1.1 外設與接口管理

外設與接口管理主要對內網終端計算機上的各種外設和接口進行管理。可以對內網終端計算機上的各種外設和接口設置禁用，防止用戶非法使用。

2）本表嚴格依據國家《信息安全等級保護管理辦法》中4 級《信息系統安全等級保護基本要求》起草，表中8.x.x.x 編號為《基本要求》文件中實際編號.

1）存儲設備禁用

除了網絡外，另一個最可能帶來病毒入侵的方式就是存儲設備了。內網安全控制系統可以禁止如下存儲設備的使用：軟驅、光驅、存儲設備、移動硬盤等。

2）設置移動存儲設備只讀

內網安全控制系統可以設置將移動存儲設備置于只讀狀態，不允許用戶修改或者寫入。

2.1.2 安全接入管理

1）在線主機監測可以通過監聽和主動探測等方式檢測網絡中所有在線的主機，并判別在線主機是否是經過內網安全控制系統授權認證的信任主機。

2）主機授權認證

很多的計算機被病毒入侵，主要原因是自身的健壯性與否造成的。根據這種情況，內網安全控制系統提供了網絡授權認證功能。內網安全控制系統可以通過識別在線主機是否安裝客戶端程序，并結合客戶端報告的主機補丁安裝情況，反病毒程序安裝和工作情況等信息，進行網絡的授權認證，只允許通過授權認證的主機使用網絡資源。

3）非法主機網絡阻斷

對于探測到的非法主機，內網安全控制系統可以主動阻止其訪問任何網絡資源，從而保證非法主機不對網絡產生影響。

3 結束語

可以想像，未來的TDCS系統，應該具備這樣幾個特點：第一，網絡是安全的，體現在網絡應該具有精確識別人員身份，可以阻止內部和外部攻擊，可以阻止各種內網安全控制系統未授權的非法主機接入和訪問。第二，網絡是穩定的，體現在網絡應該具有冗余性和自愈性及良好的通道。第三，網絡管理是高效地，體現在將有統一的管理設備可以將網絡管理功能覆蓋。

【參考文獻】

篇4

在國際信息安全環境日趨惡劣，國家全面倡導信息安全的大環境下，為了確保信息安全工作的可持續性開展及業務信息系統的穩定運行，依據集團總部《關于建立集團公司網絡與信息安全組織保障體系的通知》、鄂通信局發[2013]127號《關于進一步落實基礎電信企業網絡與信息安全責任考核及有關工作的意見》等相關文件精神，同時參考《GA/T708-2007信息安全技術-信息系統安全等級保護體系框架》、《GB/T22239-2008信息安全技術-信息系統安全等級保護基本要求》《GB/T20269-2006信息安全技術-信息系統安全管理要求》、《GB/T0984-2007信息安全技術-信息安全風險評估規范》等國家標準，制定了《信息安全管理辦法》、《信息安全策略》、《安全保障框架》及《安全保障基線規范》規范等，率先在企業內建立并實施該體系，全面倡導企業向信息安全生產經營轉型，同時積極引導合作伙伴樹立信息安全意識，規范自身的生產及合作行為，明確安全風險責任、細化管理要求，立足自身，兼顧第三方，共同打造信息安全的綠色長城，確保企業長足健康發展。通過該安全管理體系的實施，從中全面深入地挖掘現有安全體系的不足之處，并針對現有業務系統中的各類安全隱患制定了有效的整改方案并予以實施、預警，確保了移動互聯網業務的可持續性發展及業務信息系統的穩定運行。首先，組織完成企業的自有業務信息系統和合作業務信息系統的安全等級劃分工作，將平臺安全管理工作落實到具體的責任人，并簽署責任狀，從而樹立全員安全責任意識，實現人人參與安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技術對業務信息系統進行安全掃描、安全審計，并應用HIVE、Waka、PIG、Mahout等工具對海量日志、數據進行分析和審核，發現相關漏洞與脆弱點，并針對自有及合作業務信息系統編寫了整改建議和系統層面的加固方案。通過持續對自有及合作信息系統的檢查，共發現自有業務信息系統存在各類安全漏洞攻擊39處，合作業務信息系統存在各類安全漏洞14處，目前這些漏洞已經全部整改與加固完畢，消除了安全隱患。其次，以信息安全管理為導向，組建了由電信營運商、合作伙伴、專業公司三方共同構成的一支業務信息系統安全管理團隊，通過從合作業務管理規范的建立到合作伙伴安全技能培訓，從信息安全制度宣貫到系統安全處罰辦法的落實執行，從系統安全的定期評估到系統漏洞的及時加固等一系列舉措，最終創建一套業務信息系統全新的安全管理模型，提高業務信息系統運行質量和服務能力，提升創新業務品牌形象。從安全管理模型啟用至今，未發生一起信息安全事故，這樣強化了合作伙伴的信息安全概念，督促合作伙伴在發展業務的同時也重點關注信息安全問題，極大地降低了由于合作系統的信息安全漏洞導致的中病毒或木馬、假冒網站、賬號或密碼被盜、個人信息泄露等客戶信息安全事件的發生概率，此類原因造成創新業務投訴比率和往年相比降低了15%，改變了用戶對創新業務的固有印象，建立了良好的創新業務服務品牌形象。此模型具備良好的可復制性，可指導通信領域運營企業開展信息安全工作。在全國率先打造這套移動互聯網業務安全管理體系，包含一系列業務系統信息安全管理辦法、信息安全策略、安全保障框架、安全保障基線規范等相關業務系統管理制度及規范，業務系統安全管理體系的先進性和時效性在通信行業內名列前茅，同時通過近兩年的安全理論研究和安全評估加固實踐，針對當前企業業務平臺系統在信息安全監管中面臨的一些問題，對當前主流關聯分析技術進行研究的基礎上，提出了一種新的安全事件關聯分析技術。該技術涉及到多源數據預處理、報警聚合、關聯分析、大數據分析和安全狀況態勢評估等相關技術。此技術運用到電信行業的信息安全監管上，就能夠對監控設備收集的日志及安全設備產生的告警進行關聯分析和挖掘，從包含大量冗余信息的數據中提取出盡可能多的隱藏的安全信息，通過對此類信息的統計、濃縮、總結、關聯和分類，抽象出利于進行判斷和比較的特征庫，并智能地學習和維護其特征庫，從而在提高安全事件報警準確率的情況下保證極高的識別效率。同時該安全管理體系成功應用到與百度公司合作開發的愛奇藝視頻業務系統、與騰訊科技公司聯合開發的微信平臺、與奇虎科技公司共同開發的安全衛士手機應用系統，得到部分在美國納斯達克上市的中國互聯網精英公司的高度認可和贊許，并表示今后與電信運營商共同開發產品都依照此安全管理規范和體系，確保產品的各項安全性能指標。

2創新點

為順應移動互聯網時代，運營商從基礎通信運營向流量運營轉型的新趨勢，湖北移動確定了“業務轉型，安全先行”的發展思路，堅持“以安全保發展、以發展促安全”。在已有的網絡與信息安全管理辦法的基礎上，積極開展適應移動互聯網時代安全管理體系建設，不斷推進科學的安全管理方法，做到六“注重”六“突出”，即：（1）注重整體規劃，突出體系建設，促進職責高效履行。制定下發安全標準化管理與評價體系建設計劃，內容涵蓋安全工作方針目標、安全目標、各方職責、安全管理體系和模式、安全設施和機房環境保護設施標準、安全文明操作保證金、安全考核與獎懲、過程的主要控制措施、應急準備和響應等方面。嚴格按計劃有序開展體系建設工作；嚴格按體系文件要求開展業務或系統試運行工作；加強保證與監督體系的建設。（2）注重文化建設，突出信息安全特色，促進習慣養成。以人為本，加強企業安全文化建設，促使安全文化落地，提高員工安全與風險防范意識。（3）注重教育培訓，突出行業特色，達到安全管理效果。通過多種渠道、形式多樣的安全教育和培訓方式，組織各單位安全管理人員開展安全教育和培訓工作：一是安排專家和行業資深人士進行專題講座；二是在專題培訓的基礎上，做好網絡與信息安全專項工作如何開展的培訓。（4）注重設備管理，突出針對特色，實現安全管理精細化。首先，網絡設備較多，加強網絡安全管理提高設備安全可靠性是首要任務，為此各維護單位對每臺設備均建立了安全技術臺帳，臺帳包括運行記錄、檢查保養記錄和定期檢驗記錄。其次，組織精干力量先后兩次對所有設備、流程、機房進行全面的安全評估工作。第三，使隱患排查整改形成機制。（5）注重安全投入，突出專用特色，合理使用安全生產費用。認真落實安全管理費用投入長效機制，加大安全費用的管理，做到專款專用，確保安全生產費用規范化、合理化和足額投入。并加強安全生產保證金的管理，建立安全生產保證金并實行年底考核的機制，有效促進了安全管理工作。（6）注重應急預案，突出超前特色，安全管理贏在主動。在安全管理中，把預防工作落到實處，建立健全了應急處置機構，將應急處置工作進一步制度化，規范化，形成了完整的安全事故預防體系。同時，開展形式多樣、符合實際的應急演練。

3結語

篇5

關鍵詞：信息系統安全 等級保護 福建

一、引言

信息安全等級保護制度是國家在國民經濟和社會信息化的發展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設健康發展的一項基本制度。我國實施的信息系統安全等級保護制度，根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素,將信息系統的安全保護等級劃分為5個級別，從第一級到第五級逐級增高，對不同安全級別的信息系統實施不同的安全管理。

二、我國信息系統安全等級保護思想的形成

1994年，《中華人民共和國計算機信息系統安全保護條例 》（國務院147號令）規定，“計算機信息系統實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定”。

20世紀80年代初，美國國防部制定了“國家計算機安全標準”等系列標準，包括《可信計算機系統評估準則》（TCSEC，即俗稱的“桔皮書”）及其他近40個相關標準，合稱“彩虹系列”。 TCSEC標準是國際上計算機系統安全評估的第一套大規模系統標準，具有劃時代的意義。TCSEC將安全產品的安全功能和可信度綜合在一起，設立了4類7級。

1999年，我國公安部組織制定了強制性國家標準――《計算機信息系統安全保護等級劃分準則》。

2000年11月10日，國家計委批準公安部開展“計算機信息系統安全保護等級評估體系及互聯網絡電子身份管理與安全保護平臺項目”建設。

2003年，《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發［2003］27號）明確指出“實行信息安全等級保護”，“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”。這標志著等級保護從計算機信息系統安全保護的一項制度提升到國家信息安全保障一項基本制度。同時中央27號文明確了各級黨委和政府在信息安全保障工作中的領導地位，以及“誰主管誰負責，誰運營誰負責”的信息安全保障責任制。

2004年9月，公安部會同國家保密局、國家密碼管理局和國務院信息辦聯合出臺了《關于信息安全等級保護工作的實施意見》（公通字［2004］66號），明確了信息安全等級保護制度的原則和基本內容，以及信息安全等級保護工作的職責分工、工作實施的要求等。

2006年1月，公安部、國家保密局、國家密碼管理局、國信辦聯合制定了《信息安全等級保護管理辦法（試行）》，并于2007年6月修訂。

2007年6月，公安部會同國家保密局、國家密碼管理局和國務院信息辦聯合頒布《信息安全等級保護管理辦法》（公通字［2007］43號，以下簡稱《管理辦法》），明確了信息安全等級保護制度的基本內容、流程及工作要求，進一步明確了信息系統運營使用單位和主管部門、監管部門在信息安全等級保護工作中的職責、任務，為開展信息安全等級保護工作提供了規范保障。

三、開展信息系統安全等級保護工作的必要性和重要性

⒈開展信息系統安全等級保護工作的必要性

隨著網絡新技術的飛速發展和各類信息系統的廣泛應用，網絡與信息安全也相應出現了許多新情況、新問題，福建省網絡與信息安全防護工作面臨的形勢十分嚴峻。這就使得開展信息系統安全等級保護工作成為必然。

一是網上斗爭日趨復雜，不確定性增強。由于在互聯網上傳播信息具備快速便捷、低成本、無國界、易消除痕跡、技術變化快等特點，使互聯網成為境內外敵對勢力、敵對分子從事各種破壞活動的重要工具。我國將長期面臨敵對勢力的信息優勢、技術優勢所帶來的信息安全威脅。

二是網絡違法犯罪活動迅速增多，造成的后果越來越嚴重。隨著新技術、新應用的發展，暴露出來的網絡與信息安全問題也日益增多。

三是漏洞數量居高不下，利用漏洞發起攻擊仍是互聯網最大的安全隱患。安全漏洞是指在網絡系統中硬件、軟件、協議和系統安全策略等存在的缺陷和錯誤，攻擊者利用這些缺陷和錯誤可以對網絡系統進行非授權的訪問或破壞。

四是計算機病毒傳播和對網絡非法入侵十分嚴重。據公安機關調查，2007年1-6月，我國平均每月截獲計算機病毒6.6萬個，累計感染計算機達1.18億臺次。2007年初在我國發生的“熊貓燒香”病毒案，短時間內就出現病毒變種700余個，感染了445萬臺計算機，大批網民的網上帳號、口令被竊取。

⒉開展信息系統安全等級保護工作的重要性

開展信息安全等級保護工作，就是要解決我國信息安全面臨的威脅和存在的主要問題，按標準建設安全保護措施，建立安全保護制度，落實安全責任，加強監督檢查，有效保護重要信息系統安全，有效提高我國信息和信息系統安全建設的整體水平。

建立信息安全等級保護制度，開展信息安全等級保護工作，有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協調；有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務；有利于優化信息安全資源的配置，重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全；有利于明確國家、法人和其他組織、公民的信息安全責任，加強信息安全管理；有利于推動信息安全產業的發展，逐步探索出一條適應社會主義市場經濟發展的信息安全模式。

四、加快推進福建省重要信息系統安全等級保護工作

2007年7月20日，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室在北京聯合召開“全國重要信息系統安全等級保護定級工作電視電話會議”，部署在全國范圍內開展重要信息系統安全等級保護定級工作。8月13日，福建省公安廳、省保密局、省委機要局、數字福建建設領導小組辦公室等四家單位也聯合召開“福建省重要信息系統安全等級保護定級工作電視電話會議”。這標志著福建省重要信息系統安全等級保護工作正式啟動。

信息系統安全保護工作的首要環節是定級，定級工作是開展信息系統建設、整改、測評、備案、監督檢查等后續工作的重要基礎。信息系統安全級別定不準，系統建設、整改、備案、等級測評等后續工作都將失去針對性。此次福建省重要信息系統安全等級保護工作將分四個階段進行。

1.突出重點，全面準確劃定定級范圍和定級對象

此次重要信息系統定級的范圍是國家基礎信息網絡和重要信息系統，這些網絡和系統廣泛分布在各級黨政機關和電信、廣電、鐵路、銀行、民航、海關、稅務、電力、證券、保險等數十個行業。將這些基礎信息網絡和重要信息系統納入此次定級的重點范圍，體現了統籌規劃、突出重點、重點保障基礎信息網絡和重要信息系統安全的總體要求和原則。

2.依據《管理辦法》，準確確定信息系統安全保護等級

福建省各運營使用單位和主管部門在全面分析各自信息網絡和信息系統在國家安全、社會秩序、公共利益等方面的作用和影響的基礎上，根據信息網絡和信息系統被攻擊破壞后對國家安全、社會秩序和公共利益等方面可能造成的危害程度等因素，依據《管理辦法》，參照《定級指南》所提供的定級方法，綜合確定信息系統的安全保護等級。在確定等級的過程中，要最大限度地避免定級的盲目性、隨意性，力爭做到定級準確、科學、合理。

3.及時備案，加強對定級工作的監督、檢查和指導

為全面掌握基礎信息網絡和重要信息系統的單位和系統的基本情況，保護重點領域的重要信息網絡和信息系統，凡是安全保護等級為第二級以上的信息系統運營使用單位或主管部門要按照《管理辦法》的要求，到公安機關進行備案。公安機關受理備案后要對備案材料進行審核，加強對重要信息系統安全等級保護定級工作的監督、檢查和指導；對定級不準的，要及時通知備案單位重新定級。

4.依據《管理辦法》和技術標準，開展整改、測評等工作

信息系統的安全保護等級確定后，運營使用單位要按照信息安全等級保護管理規范和技術標準，使用符合國家有關規定、滿足信息系統安全保護等級需求的信息技術產品，開展信息系統安全建設或者改建工作，建設符合等級要求的信息安全設施；參照信息安全等級保護管理規范，制定并落實安全管理制度；選擇符合《管理辦法》規定條件的測評機構，依據技術標準對信息系統安全等級狀況開展等級測評，使其盡快達到等級要求的安全保護能力和水平。

五、加大力度，確保福省重要信息系統安全等級保護工作任務落到實處

隨著北京奧運會的日益臨近，特別是“科技奧運”和“數字奧運”是2008年北京奧運會的一大亮點，信息安全等級保護的工作任務艱巨，責任重大。福建省公安、保密、密碼工作和信息化等部門要密切配合，及時開展監督、檢查，嚴格審查信息系統所定級別，積極開展備案、整改、測評等工作。同時，充分利用廣播電視、報刊雜志、互聯網等媒體，加大對國家信息安全等級保護制度的宣傳力度，積極開展面向不同層次、不同對象的宣傳、培訓，以確保福建省重要信息系統安全等級保護工作落到實處。

1.明確職責，落實責任

各級公安機關要積極向當地黨委、政府專門匯報，主動爭取黨委、政府對信息安全等級保護工作的重視和支持；或者成立專門的等級保護工作直轄市領導小組，加強對定級工作的領導，研究制定定級工作實施方案。各運營使用單位及其主管部門要按照“誰主管誰負責、誰運營誰負責”的要求，明確主管領導和責任部門。各信息系統主管部門要切實加強對定級工作的組織、領導，落實等級保護各項責任，督促、指導本行業、本系統開展定級、備案、建設整改等工作。

2.密切配合，通力協作

各級公安機關作為開展等級保護工作的牽頭部門，要加強同保密、密碼工作、信息辦等其他信息安全職能部門的協調、配合，盡快建立健全信息安全等級保護監管工作的協調配合機制；要主動與信息系統主管部門交流溝通，督促配合其組織下屬信息系統運營、使用單位建立信息安全責任制，建立并落實等級保護制度，從而確保等級保護工作的順利、有效實施。

3.加強宣傳，強化培訓

篇6

根據自治區、地區有關要求，按照《XXX新聞宣傳報道管理辦法》有關內容，為進一步加強我縣網絡和信息安全管理工作，現就有關事項通知如下。

一、建立健全網絡和信息安全管理制度

各單位要按照網絡與信息安全的有關法律、法規規定和工作要求，制定并組織實施本單位網絡與信息安全管理規章制度。要明確網絡與信息安全工作中的各種責任，規范計算機信息網絡系統內部控制及管理制度，切實做好本單位網絡與信息安全保障工作。

二、切實加強網絡和信息安全管理

各單位要設立計算機信息網絡系統應用管理領導小組，負責對計算機信息網絡系統建設及應用、管理、維護等工作進行指導、協調、檢查、監督。要建立本單位計算機信息網絡系統應用管理崗位責任制，明確主管領導，落實責任部門，各盡其職，常抓不懈，并按照“誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，切實履行好信息安全保障職責。

三、嚴格執行計算機網絡使用管理規定

各單位要提高計算機網絡使用安全意識，嚴禁涉密計算機連接互聯網及其他公共信息網絡，嚴禁在非涉密計算機上存儲、處理涉密信息，嚴禁在涉密與非涉密計算機之間交叉使用移動存儲介質。辦公內網必須與互聯網及其他公共信息網絡實行物理隔離，并強化身份鑒別、訪問控制、安全審計等技術防護措施，有效監控違規操作，嚴防違規下載涉密和敏感信息。通過互聯網電子郵箱、即時通信工具等處理、傳遞、轉發涉密和敏感信息。

四、加強網站、微信公眾平臺信息審查監管

各單位通過站、微信公眾平臺在互聯網上公開信息，要遵循涉密不公開、公開不涉密的原則，按照信息公開條例和有關規定，建立嚴格的審查制度。要對網站上的信息進行審核把關，審核內容包括：上網信息有無涉密問題；上網信息目前對外是否適宜；信息中的文字、數據、圖表、圖像是否準確等。未經本單位領導許可嚴禁以單位的名義在網上信息，嚴禁交流傳播涉密信息。堅持先審查、后公開，一事一審、全面審查。各單位網絡信息審查工作要有領導分管、部門負責、專人實施。

嚴肅突發、敏感事（案）件的新聞報道紀律，對民族、宗教、軍事、環保、反腐、人權、計劃生育、嚴打活動、暴恐案件、自然災害，涉暴涉恐公捕大會、案件審理、非宗教教職人員、留大胡須、蒙面罩袍等敏感事（案）件的新聞稿件原則上不進行宣傳報道，如確需宣傳報道的，經縣領導同意，上報地區層層審核，經自治區黨委宣傳部審核同意后，方可按照宣傳內容做到統一口徑、統一，確保信息的時效性和嚴肅性。

五、組織開展網絡和信息安全清理檢查

篇7

【關鍵詞】通信運營企業客戶信息安全安全域SOC

一、電信運營商客戶信息安全現狀

目前電信運營商對信息系統依賴性日益增強，而掃描探測、DDOS等攻擊數量急劇上升，漏洞利用的速度縮小到了天。但是作為電信運營商，由于網絡結構復雜，導致系統管理維護困難。一般會有網管網、計費網、辦公網、互聯網接口、新業務、地市公司等多張網，安全防護困難。

同時在運營商中也發生過一些客戶信息泄密的案例，“3.15”晚會也曝光過一些。電信運營商的客戶資料、充值卡、財務報表、發展計劃等商業機密的實際價值遠遠超過了固定的有形資產。

因此電信運營商如何保證客戶信息安全，成為了重要課題。

二、客戶信息安全體系

客戶信息生命周期包括了信息的產生、傳輸、存儲、處理、銷毀，因此我們在設計安全體系時，要按照“堅持積極防御、綜合防范的方針”，將安全組織、策略和運作流程等管理手段和安全技術緊密結合。

下面參考信息安全保障體系框架IATF和BS7799，以項目中的實踐來分別說明：

人是信息體系的主體，包括管理者、維護人員、使用者、第三方。電信運營商應該建立安全領導小組，專門的安全管理員、安全顧問、安全審計員。

制定信息安全責任矩陣，組織范圍內的信息安全落實到人，尤其外包的安全，第三方必須簽定保密協議。離職或調動時，必須清理信息系統賬號，避免用戶權限只有增加沒有減少。

資產進行分類與控制，梳理客戶信息相關的資產，標明重要性等級以及制定相應管理辦法。如客戶資料、充值卡等就是重要信息，必須重點防護。

制定完善的維護作業計劃，對設備性能、安全狀況進行監控，分清日、月、年不同層次的維護內容，包括電源、主機、中間件、數據庫、應用、安全事件、備份、調優等。

定期進行安全評估和加固，減少系統風險，可以找專業的安全廠商進行滲透測試。設定各系統的安全基線，保證系統必須達到的最基本的安全配置要求。如果某臺服務器上突然多了一個來歷不明的進程，就有必要檢查是否有安全風險。

業務過程中可以通過金庫模式等加強業務過程中的安全管控，即關鍵業務需第二個人授權之后才能夠操作，通過多人的相互監督進行制約，如批量查詢客戶資料、詳單時。同時定期進行日志稽核，進行事后的控制。所有的業務操作有相應的工單、審批單、業務受理單，如果沒有這樣的工單，則可以認為操作是不合規的。

在信息系統生命周期過程中，要全面審查信息系統的設計、操作、使用和管理是否符合組織安全政策和標準。系統開發和建設過程中，就要明確系統的安全要求，確保安全機制被內建于信息系統內；控制應用系統的安全，防止應用系統中存在的后門、孤立網頁造成用戶數據的丟失、被修改或誤用。上線前及早進行安全評估和掃描，提前發現漏洞。注意不要隨便使用真實敏感數據，測試數據的清理、保護。

三、客戶信息安全工程建設過程

客戶信息安全建設過程中應注意業務可用與安全性平衡原則，采用統籌規劃、分步實施的方法。

篇8

1高校信息安全管理問題

在強大科技的支撐下，加之高校自身不懈努力，采取了物理、技術、管理等一系列舉措，在保障信息安全方面取得了一定成效。但是，縱觀高校信息安全管理整體，其中還存在不少問題，具體表述如下：

1.1制度體系缺失

長期的實踐經驗表明，一般情況下，任何管理活動都需要一套完備的管理制度體系，高校信息安全管理亦是如此。近年來，大多數高校已逐步認識到信息安全管理的重要性及必要性，并先后制定了管理辦法及規章制度，以保證此項工作有序開展、高效完成，然而從客觀的角度上講，其相關建設還不盡完善。隨著信息技術的發展，虛擬網絡環境愈加復雜，威脅信息安全的因素變化多端，并且具有很強的突變性。有些高校對信息安全管理的特性認識不到位，尚未設置相應的應急預案，一旦遇到信息安全問題突然爆發，勢必會導致高校應對不及，從而可能造成不可挽回的損失或影響。甚至有些高校并未成立專門的信息安全管理組織機構，相關制度、措施落實不到位，形同虛設，加之監管不力，直接影響了信息安全管理工作成效。

1.2技術人才不足

高校信息安全管理是一項系統工程，它不僅僅是技術上的問題，也不是單憑幾項管理條例就能解決的，其核心還在于專業技術人才。部分高校在安全技術舉措方面投入大量經費本無可厚非，但其過度依賴軟硬件技術防護，輕視專業技術人才隊伍建設，則很難實現信息安全管理目標。首先，從數量上來看，高校所設信息安全管理各崗位人數不盡合理，甚至存在一人多職的現象。正所謂術業有專攻，如此不僅分散了信息安全管理工作人員的時間和精力，難以在某個專業領域有所建樹，還暴露出了其在某個崗位上的能力缺陷，直接影響了工作成效；其次，從質量上來看，高校信息安全管理工作人員素質及能力表現普遍不高。影響信息安全的因素眾多，并且具有多變的特性。由于高校培訓力度不夠，加之信息安全管理工作人員自主學習意識弱化，逐漸與網絡發展脫節，在遇到棘手問題時不能快速、有效解決。

2高校信息安全管理強化策略

信息安全管理是高校教育邁入發展快車道的保障基礎。作者結合上文的分析，有針對性地提出了以下幾種強化高校信息安全管理策略，以供參考和借鑒。

2.1完善規章制度

成熟的信息安全管理組織可以使得高校信息安全管理工作事半功倍。新時期，高校必須要轉變重技術、輕管理的思想觀念，統籌發展規劃，盡快完善相關規章制度，加大技術投資的同時，提高管理投入，以保證信息安全管理工作高效運轉和實施。具體而言，高校應結合信息安全管理需求，科學設置工作崗位，并明確責任制度和獎懲制度，嚴格審查各部門及個人工作表現情況，進而作出相應的獎勵或處罰，督導其提高工作實效。此外，高校還應該進一步完善信息安全風險評估機制和應急預警機制，理性分析現代網絡環境中的不穩定因素，深刻認識到網絡系統、應用軟件以及數據信息等都可能成為威脅信息安全的目標，并逐步形成制度化，以免這些對高校信息網絡造成干擾。在此基礎上，高校還需針對應急預警機制做預控方案，考慮信息安全事件發生時造成的影響度和損壞度，避免事態擴大。

2.2加強人才建設

就現階段而言，高校信息安全管理的當務之急，是建立一支專業化人才隊伍。在此過程中，高校應依據信息安全管理崗位設計，配置相等數量的人才，各司其職，最大限度地發揮其專業特長，使之有更多的時間和精力投入到本職工作上。高校作為高素質人才的聚集地，應該充分發揮自身資源優勢，組織相關專業導師及學生積極參與信息安全管理。如此不僅緩解了投入壓力，同時還為教學提供了良好的實踐平臺。此外，高校還應定時定期開展信息安全管理培訓工作，及時更新相關人員的思想觀念及專業知識，分享有效經驗，提高其綜合素質和能力，使之提供更完善、高效的信息安全管理服務，夯實工作的人才基礎。與此同時，高校需要加強與企業的合作，從不同角度、層面認識信息安全管理工作，積極促動彼此間的互動交流，及時掌握行業發展動態，保證技術與人才的先進性。

3結束語

總而言之，高校信息安全管理十分重要和必要。由于個人能力有限，加之網絡信息技術發展迅速，威脅信息安全因素眾多，本文作出的相關研究可能存在不足之處。因此，作者希望各高校提高對信息安全管理的重視程度，可結合本文論點，深刻分析和總結此項工作中的不足或問題，并進行深化與拓展，有針對性地采取更多完善措施，從而提升信息安全管理成效，為廣大師生營造安全、良好的應用環境。

作者:張威 單位:沈陽科技學院

參考文獻:

[1]何濟玲,陳仕品,程吉麟,艾賢明.基于ISO/IEC27001標準的高校信息安全治理[J].現代教育技術,2016(09):60-65.

篇9

關鍵詞： 企業；網絡信息安全；威脅；管理對策

1 網絡信息安全管理內涵闡述

隨著計算機網絡技術的飛速發展，企業網絡化管理成為當今世界經濟和社會發展的趨勢與主流。在網絡化背景下，企業不僅能夠方便快捷地進行信息共享、信息交流與信息服務，而且極大地提高了工作效率，創造了經濟效益，增加了在激勵市場競爭中的核心競爭力。然而，凡事有利則有弊，網絡技術也不例外，網絡化給企業帶來巨大利益的同時，網絡信息安全問題也成為眾多企業十分頭痛的問題。如何解決常見網絡問題，消除網絡安全隱患，嚴堵安全漏洞，確保企業計算機網絡及信息的安全，從而來確保油田企業生產、科研等工作正確開展，已成為油田企業亟待解決的重要課題。

言及此，筆者覺得十分有必要對網絡信息安全管理的內涵，進行再分析與闡述。一直以來，許多企業，談及網絡信息安全管理，大多認為就是技術層面的工作，如防黑客攻擊、反病毒侵蝕、堵系統安全漏洞等專業技術問題。其實維護網站安全工作，應不止于此。網絡環境下的信息安全不僅涉及到數據加密、防黑客、反病毒、控制入網訪問、防火墻升級技術等專業技術問題，更應該涉及法律政策問題和制度管理問題。不少企業，往往重視升級硬件、技術防范，卻忽視安全管理問題，特別是人員管理、制度管理。其中，安全技術與安全管理齊頭并進，兩手共抓才是企業網絡信息安全致勝的法寶，技術問題是基礎與保障，而安全管理則是信息安全更強大的方式手段。

2 “兩手抓，兩手都要硬”加強企業網絡信息安全管理對策

2.1 高度重視網絡管理制度層面工作

油田企業是科研性單位，許多科技數據、技術數據等對企業生存發展來說至關重要，如錄井技術就是油氣勘探開發活動中最基本的技術，是發現、評估油氣藏最及時、最直接的手段，因而石油勘探企業網絡安全管理問題更是不容忽視，網絡上的任何一個小漏洞，都會導致全網的安全問題，給企業造成不可估量的損失。

首先，我們必須在企業內部制定嚴格并切實可行的網絡安全管理規章制度，企業主管領導應當高度重視，建立內部安全管理制度，如出入機房制度、機房管理制度、設備管理維護制度、崗位責任制、操作安全管理制度、病毒防范制度、應急處理制度等。還要定期對制度落實情況進行例行檢查與抽查，重在落實，避免流于形式。確保通過制度能夠做到業務計算機專門使用，業務系統與其他信息系統充分隔離，企業局域網與互聯的其他網絡充分隔離。充分降低安全風險。其次，要提高員工的網絡安全意識。加強對使用人員的安全知識教育與培訓，組織員工學習熟悉《中國信息系統安全保護條例》、《算機信息網絡國際聯網安全保護管理辦法》等條例，增強相關法律知識，信息安全意識，堅持杜絕員工在工作時間內利用企業工作電腦訪問與業務無關的網站，尤其是開展聊天、游戲、電影、下載、購物等娛樂活動，避免企業內部的文件以及數據甚至機密資料被盜現象。使用中不要隨意使用自帶光盤、移動硬盤與U盤等存儲設備，避免傳染病毒等。再次，通過學習培訓增強網站管理人員的技術水平與能力。管理員必須對企業信息網絡系統的安全狀況和安全漏洞進行周期性評估，以便隨意采取相關措施，有應對突發風險的能力，并通過訪問控制、升級防火墻、漏洞檢測、病毒查殺、入侵檢測等技術，做好日常網站的安全維護工作。

2.2 重視加強網絡安全技術層面工作

目前網絡安全技術工作，早已從操作系統維護、簡單的病毒防范發展到防止黑客惡意進攻，防范蠕蟲、木馬程序等種類多樣的網絡病毒以及變種等諸多工作，表現在高水平防御體系的建構上。

俗話說：病從口入。首先，要做好訪問控制管理，這就是抓好源頭工作。特別是核心技術、重要數據的共享網站，一定要做到對入網訪問控制和網絡資源的訪問控制，可實施有效的用戶口令和訪問賬號密碼，避免用戶非法訪問。此外口令、密碼的設置上應盡量長一些復雜一些，數字字母相結合。如目前實用的USBKEY認證方法也是一種較可靠的方法，出現調離或者解雇員工，應該立即對其的網絡賬號進行清除，避免非法登陸，泄露企業信息。其次，通過防火墻、入侵檢測、網絡安全防漏洞、數據加密傳輸、防殺病毒等全方面的技術工作，保證企業網絡信息的安全。如在防火墻設置原則上，保證實施合理有效的安全過濾原則，嚴格控制外網用戶非法訪問，確保經過精心選擇的應用協議才能通過防火墻，使用網絡防病毒軟件，建立起企業整體防病毒體系，盡可能企業內部一些重要的資料或者核心數據進行加密傳輸與加密儲存，這些一系列的工作可讓網絡環境變得更安全。

當然，網絡安全管理工作是一項長期而細致艱辛的工作，不可能一蹴而就，也不能無所進步，隨著信息技術的快速發展，對信息安全技術、網絡安全管理工作的要求也會隨之增高，今后企業信息安全技術、管理工作應該繼續跟蹤、學習國內外最先進的知識經驗，努力提高企業信息安全管理技術水平。

參考文獻：

[1]由媛，淺談企業網絡信息安全[J].電腦知識與技術，2012（02）：1057-1058.

篇10

0引言

 

隨著光纖寬帶、移動電話、移動互聯網的普及，通信服務在我們的日常生活中發揮了越來越重要的作用。伴隨社會的信息化推進，通信技術也得到了快速發展。通信得到了社會的廣泛認可。近年來，伴隨著互聯網技術在全球迅猛發展，信息化給人們提供了極大的便利，然而，同時我們也正受到日益嚴重的來自網絡的安全威脅，比如黑客攻擊、重要信息被盜等，網絡安全事件頻發，給人們的財產和精神帶來很大損失。但是，在世界范圍內，黑客活動越來越猖狂，黑客攻擊者無孔不入，對信息系統的安全造成了很大的威脅，對社會造成了嚴重的危害。除此之外，互聯網上黑客網站還在不斷增加，這就給黑客更多的學習攻擊的信息，在黑客網站上，學習黑客技術、獲得黑客攻擊工具變得輕而易舉，更是加大了對互聯網的威脅。如何才能保障信息系統的信息安全，怎樣才能確保網絡信息的安全性，尤其是網絡上重要的數據的安全性。

 

在通信領域，信息安全尤為重要，它是通信安全的重要環節。在通信組織運作時，信息安全是維護通信安全的重要內容。通信涉及到我們生活的許多方面，小到人與人之間聯系的紐帶，大到國與國之間的信息交流。因此，研究信息安全和防護具有重要的現實意義。

 

一、通信運用中加強信息安全和防護的必要性

 

1.1搞好信息安全防護是確保國家安全的重要前提

 

眾所周知，未來的社會是信息化的社會，網絡空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點，如果信息安全防護工作跟不上，一個國家可能面臨信息被竊、網絡被毀、指揮系統癱瘓、制信息權喪失的嚴重后果。因此，信息安全防護不僅是未來戰爭勝利的重要保障，而且將作為交戰雙方信息攻防的重要手段，貫穿戰爭的全過程。一旦信息安全出現問題，可能導致整個國家的經濟癱瘓，戰爭和軍事領域是這樣，政治、經濟、文化、科技等領域也不例外。信息安全關系到國家的生死存亡，關系到世界的安定和平。比如，美國加利弗尼亞州銀行協會的曾經發出一份報告，稱如果該銀行的數據庫系統遭到網絡“黑客”的破壞，造成的后果將是致命的，3天就會影響加州的經濟，5天就能波及全美經濟，7天會使全世界經濟遭受損失。鑒于信息安全如此重要，美國國家委員會早在2000年初的《國家安全戰備報告》里就強調：執行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學說》，第一次把信息安全擺在戰略地位。并從理論和時間中加強信息安全的防護。近年來，我國也越來越重視信息安全問題，相關的研究層出不窮，為我國信息安全的發展奠定了基礎。

 

1.2我國信息安全面臨的形勢十分嚴峻

 

信息安全是國家安全的重要組成部分，它不僅體現在軍事信息安全上，同時也涉及到政治、經濟、文化等各方面。當今社會，由于國家活動對信息和信息網絡的依賴性越來越大，所以一旦信息系統遭到破壞，就可能導致整個國家能源供應的中斷、經濟活動的癱瘓、國防力量的削弱和社會秩序的混亂，其后果不堪設想。由于我國信息化起步較晚，目前信息化系統大多數還處在“不設防’，的狀態下，國防信息安全的形勢十分嚴峻。具體體現在以卜幾個方面：首先，全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解，對因忽視信息安全而可能造成的重大危害還認識不足，信息安全觀念還十分淡薄。因此，在研究開發信息系統過程中對信息安全問題不夠重視，許多應用系統處在不設防狀態，具有極大的風險性和危險性。其次，我國的信息化系統還嚴重依賴大量的信息技術及設備極有可能對我國信息系統埋下不安全的隱患。無論是在計算機硬件上，還是在計算機軟件上，我國信息化系統的國產率還較低，而在引進國外技術和設備的過程中，又缺乏必要的信息安全檢測和改造。再次，在軍事領域，通過網絡泄密的事故屢有發生，敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后，我國國家信息安全防護管理機構缺乏權威，協調不夠，對信息系統的監督管理還不夠有力。各信息系統條塊分割、相互隔離，管理混亂，缺乏與信息化進程相一致的國家信息安全總體規劃，妨礙了信息安全管理的方針、原則和國家有關法規的貫徹執行。

 

二、通信中存在的信息安全問題

 

2.1信息網絡安全意識有待加強

 

我國的信息在傳輸的過程中，特別是軍事信息，由于存在擴散和較為敏感的特征，有的人利用了這一特點采取種種手段截獲信息，以便了解和掌握對方的新措施。更有甚者，在信息網絡運行管理和使用中，更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此，我們更要深層次地加強網絡安全方面的觀念，認識到信息安全防護工作不僅僅是操作人員的“專利”，它更需要所有相關人員來共同防護。

 

2.2信息網絡安全核心技術貧乏

 

目前，我國在信息安全技術領域自主知識產權產品少采用的基礎硬件操作系統和數據庫等系統軟件大部分依賴國外產品。有些設備更是拿來就用，忽略了一定的安全隱患。技術上的落后，使得設備受制于人。因此，我們要加大對信息網絡安全關鍵技術的研發，避免出現信息泄露的“后門”。

 

2.3信息網絡安全防護體系不完善

 

防護體系是系統頂層設計的一個重要組成部分，是保證各系統之間可集成、可互操作的關鍵。以前信息網絡安全防護主要是進行一對一的攻防，技術單一。現代化的信息網絡安全防護體系已經成為一個規模龐大、技術復雜、獨具特色的重要信息子系統，并擔負著網絡攻防對抗的重任。因此，現代化信息網絡安全防護體系的建立應具有多效地安全防護機制、安全防護服務和相應的安全防護管理措施等內容。

 

2.4信息網絡安全管理人才缺乏

 

高級系統管理人才缺乏，已成為影響我軍信息網絡安全防護的因素之一。信息網絡安全管理人才不僅要精通計算機網絡技術，還要熟悉安全技術。既要具有豐富的網絡工程建設經驗，又要具備管理知識。顯然，加大信息安全人才的培養任重而道遠。

 

三、通信組織運用中的網絡安全防護

 

網絡安全是通信系統安全的重要環節。保障通信組織的安全主要是保障網絡安全。網絡安全備受關注，如何防范病毒入侵、保護信息安全是人們關心的問題，筆者總結了幾點常用的防范措施，遵循這些措施可以降低風險發生的概率，進而降低通信組織中信息安全事故發生的概率。

 

3.1數據備份

 

對重要信息資料要及時備份，或預存影像資料，保證資料的安全和完整。設置口令，定期更換，以防止人為因素導致重要資料的泄露和丟失。利用鏡像技術，在磁盤子系統中有兩個系統進行同樣的工作，當其中一個系統故障時，另一個系統仍然能正常工作。加密對網絡通信加密，以防止網絡被竊聽和截取，尤其是絕密文件更要加密處理，并定期更換密碼。另外，文件廢棄處理時對重要文件粉碎處理，并確保文件不可識別。

 

3.2防治病毒

 

保障信息系統安全的另一個重要措施是病毒防治。安裝殺毒軟件，定期檢查病毒。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性，保證在使用前對軟盤進行病毒檢查，殺毒軟件應及時更新版本。一旦發現正在流行的病毒，要及時采取相應的措施，保障信息資料的安全。

 

3.3提高物理安全

 

物理安全是保障網絡和信息系統安全的基本保障，機房的安全尤為重要，要嚴格監管機房人員的出入，堅決執行出入管理制度，對機房工作人員要嚴格審查，做到專人專職、專職專責。另外，可以在機房安裝許多裝置以確保計算機和計算機設備的安全，例如用高強度電纜在計算機的機箱穿過。但是，所有其他裝置的安裝，都要確保不損害或者妨礙計算機的操作。

 

3.4安裝補丁軟件

 

為避免人為因素(如黑客攻擊)對計算機造成威脅，要及時安裝各種安全補丁程序，不要給入侵者以可乘之機。一旦系統存在安全漏洞，將會迅速傳播，若不及時修正，可能導致無法預料的結果。為了保障系統的安全運行，可以及時關注一些大公司的網站上的系統安全漏洞說明，根據其附有的解決方法，及時安裝補丁軟件。用戶可以經常訪問這些站點以獲取有用的信息。

 

3.5構筑防火墻

 

構筑系統防火墻是一種很有效的防御措施。防火墻是有經驗豐富的專業技術人員設置的，能阻止一般性病毒入侵系統。防火墻的不足之處是很難防止來自內部的攻擊，也不能阻止惡意代碼的入侵，如病毒和特洛伊木馬。

 

四、加強通信運用中的信息安全與防護的幾點建議

 

為了應付信息安全所面臨的嚴峻挑戰，我們有必要從以下幾個方面著手，加強國防信息安全建設。

 

4.1要加強宣傳教育，切實增強全民的國防信息安全意識

 

在全社會范圍內普及信息安全知識，樹立敵情觀念、紀律觀念和法制觀念，強化社會各界的信息安全意識，營造一個良好的信息安全防護環境。各級領導要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經常分析新形勢卜信息安全工作形勢，自覺針對存在的薄弱環節，采取各種措施，把這項工作做好;另一方面要結合工作實際，進行以安全防護知識、理論、技術以及有關法規為內容的自我學習和教育。

 

4.2要建立完備的信息安全法律法規

 

信息安全需要建立完備的法律法規保護。自國家《保密法》頒布實施以來，我國先后制定和頒布了《關于維護互聯網安全的決定》、《計算機信息網絡國際聯網安全保護管理辦法》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息系統國際聯網保密管理規定》、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》、《計算機信息系統安全專用產品分類原則》、《金融機構計算機信息系統安全保護工作暫行規定》等一系列信息安全方面的法律法規，但從整體上看，我國信息安全法規建設尚處在起步階段，層次不高，具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此，我們應當加快信息安全有關法律法規的研究，及早建立我國信息安全法律法規體系。

 

4.3要加強信息管理

 

要成立國家信息安全機構，研究確立國家信息安全的重大決策，制定和國家信息安全政策。在此基礎上，成立地方各部門的信息安全管理機構，建立相應的信息安全管理制度，對其所屬地區和部門內的信息安全實行統一管理。

 

4.4要加強信息安全技術開發，提高信息安全防護技術水平

 

沒有先進、有效的信息安全技術，國家信息安全就是一句空話。因此，我們必須借鑒國外先進技術，自主進行信息安全關鍵技術的研發和運用。大力發展防火墻技術，開發出高度安全性、高度透明性和高度網絡化的國產自主知識產權的防火墻。積極發展計算機網絡病毒防治技術，加強計算機網絡安全管理，為保護國家信息安全打卜一個良好的基礎。

 

4.5加強計算機系統網絡風險的防范加強網絡安全防范是風險防范的重要環節

 

首先，可以采取更新技術、更新設備的方式。并且要加強工作人員風險意識，加大網絡安全教育的投入。其次，重要數據和信息要及時備份，也可采用影像技術提高資料的完整性。第三，及時更新殺毒軟件版本，殺毒軟件可將部分病毒拒之門外，殺毒軟件更新提高了防御病毒攻擊的能力。第五，對重要信息采取加密技術，密碼設置應包含數字、字母和其他字符。加密處理可以防止內部信息在網絡上被非授權用戶攔截。第六，嚴格執行權限控制，做好信息安全管理工作。“三分技術，七分管理”，可見信息安全管理在預防風險時的重要性，只有加強監管和管理，才能使信息安全更上一個臺階。

 

4.6建立和完善計算機系統風險防范的管理制度

 

建立完善的防范風險的制度是預防風險的基礎，是進行信息安全管理和防護的標準。首先，要高度重視安全問題。隨著信息技術的發展，攻擊者的攻擊手段也在不斷進化，面對高智商的入侵者，我們必須不惜投入大量人力、物力、財力來研究和防范風險。在研究安全技術和防范風險的策略時，可以借鑒國外相關研究，尤其是一些發達國家，他們信息技術起步早，風險評估研究也很成熟，我們可以借鑒他們的管理措施，結合我們的實際，應用到風險防范中，形成風險管理制度，嚴格執行。

 

其次，應當設立信息安全管理的專門機構，并配備專業技術人才，選拔防范風險的技術骨干，開展對信息安全技術的研究，對系統弱點進行風險評估，及時采取補救措施。完善信息安全措施，并落實到信息安全管理中去。

 

五、結論

 

通信在生活中有著廣泛的應用，涉及到人們生活的方方面面。它構建安全的通信系統是進行通信組織運用中信息安全防護的前提。通信系統網絡安全防護體系應以一個良好的安全策略為起點，建立在安全的網絡中，保障通信系統的安全，維護信息安全。