導語：如何才能寫好一篇審計信息安全管理，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】建筑深基坑；基坑支護；技術管理

中圖分類號： TV551 文獻標識碼： A

一、引言

隨著國民經濟的迅猛發展，建筑業蓬勃發展．城市中心為了節省建筑用地和滿足停車位要求，各地人防管理部門、城市規劃部門均要求新建工程必須按一定比例建設戰時防空地下室平時作為地下停車場和設備用房的地下室。在給城市提供寶貴的建筑空間的同時．與基坑有關的安全事故也時有發生。輕者基坑邊坡位移，周邊道路、建筑物開裂；重者基坑整體失穩破壞．傾覆坍塌，人員傷亡，周邊市政管網遭到破壞．毗鄰房屋結構安全受到影響建筑深基坑的安全隱患和事故已經引起各級政府建設行政主管部門和業內人士的高度關注住建部于2009年5月印發《危險性較大的分部分項工程安全管理辦法》(建質[2009]87號)，文中要求深基坑支護設計方案及深基坑工程專項施工方案均必須通過專家論證會．可見其重要性。

二、中心城區建筑深基坑的特點

中心城區建筑深基坑主要有如下特點：基坑周邊接近建筑用地紅線．基坑支護不允許超越紅線，基坑周邊地下存在大量電纜、光纜、給排水管道、液化氣管道和城市道路等基坑支護要求嚴格控制支護結構的位移和地面、管道的變形；基坑深度超過鄰近建筑物基礎的埋深．基坑土方開挖及降水不能影響鄰近建筑的結構安全基坑周邊需要材料堆場．可供材料、土方運輸的道路受限，基坑支護要考慮該處的地面超載等等有的基坑邊還存在古建筑或古樹等，須重點保護。總之．城市中心區建筑深基坑工程的特點是周邊環境因素復雜．須監測保護的項目多．基坑支護不僅要滿足本基坑工程土方的開挖要求。同時還要保護好周邊的環境。

三、建筑深基坑事故的主要表現形式和原因

(1)深基坑工程施工中的安全事故主要表現形式有：

1)基坑支護結構局部破壞．局部側壁出現塌方，擋土樁出現開裂。

2)基坑截水帷幕功能失效．基坑大量進水或涌沙、涌泥。

3)基坑底部土體嚴重隆起。

4)基坑支護結構嚴重位移或破壞、或地下降水不當引起基坑周邊道路、地下管線、建筑物變形、破壞。

5)基坑支護結構整體失穩坍塌，嚴重影響周邊的環境

(2)引起建筑基坑工程事故的主要原因有：

1)地址勘察單位提供的基坑巖土勘察資料不準確，不完整

2)設計單位提供的基坑支護設計方案不合理或存在嚴重的安全問題

3)施工單位對基坑工程不重視，未按規定編制可行的施工方案而隨意施工

4)基坑工程施工方案存在嚴重的缺陷

5)施工單位雖編制了切實可行的施工方案，但是在施工中為了省造價或趕工期而未按方案實施。

6)監測單位提供的監測資料不及時或資料有誤、不完整

7)基坑工程施工中遇到突發事故沒有切實可靠的應急處理方案

8)其他不可預知的因素或自然災害引起的基坑事故

四、建筑深基坑工程安全控制要點

(1)建筑基坑工程巖土勘察報告應準確完整巖土工程勘察報告(以下簡稱勘察報告)是基坑支護設計方案和降水方案的重要依據．其是否準確完整將對基坑支護設計方案產生重大的影響。勘察報告應滿足《建筑基坑支護技術規程》JGJ120―2012要求的深度，如基坑勘探點的位置、深度、間距，各含水土層地下水的埋深分布、水量大小、變化幅度、滲透參數、影響半徑等。《勘察報告》應提供“基坑支護主要參數值”，如各土層的重度、內聚力、摩擦角、樁周土的側阻力特征值等。《勘察報告》還應查明基坑周邊環境條件，如周邊建筑的結構類型、層數、位置、基礎形式、埋深；周邊地下管網的分布、埋深；周邊道路的位置、寬度、道路行駛情況、最大車輛荷載等．并提出基坑支護的建議方案

(2)建筑深基坑支護設計方案應做到技術先進、安全可靠、經濟合理、切實可行。

l基坑支護設計方案對基坑工程的安全起關鍵性作用。基坑支護設計．其核心是為地下室基坑土方開挖施工提供技術支持基坑支護設計方案主要包含如下內容：

①用于基坑擋土的支擋結構設計；

②用于排水、隔水的地下水處理方案：

③用于土方分層開挖的側壁支護方案：

④對周邊環境的保護方案；

⑤對支護結構、工程樁、周邊環境的監測方案等。

2)基坑支護設計執業人員應具備一定的巖土工程和建筑結構專業知識以及豐富的實踐經驗．并以科學嚴謹、認真負責的工作態度進行方案設計。

一級基坑工程支護應由注冊巖土工程師和一級注冊結構工程師聯合設計基坑支護設計方案要做到技術先進、安全可靠、經濟合理，確保基坑工程及周邊環境的安全．主要考慮以下幾個方面：

①基坑支護設計前．要仔細研究勘察報告的有關內容，并到現場查明基坑周邊環境條件如基坑所處位置的地形、地貌、地質成因、各土層的物理指標，水位的高低及水壓力的大小：基坑周邊建(構)筑物、地下管網、道路等情況。對勘察報告描述不清或數據明顯有誤的地方．要求提出專項勘察．補充修正。

②支護設計方案比選。應針對基坑深度、規模、周邊環境的情況盡可能設計多種方案．并進行技術、安全、經濟比較后，選擇安全經濟型的設計方案。對于工程等級為一級．基坑開挖深度大于4m。或地質條件、周邊環境和地下管線復雜，或毗鄰建筑物安全的基坑工程．設計方案應聘請當地經驗豐富的專家進行技術論證

③基坑支護設計方案應綜合考慮工程地質與水文地質條件，主體地下結構要求，基坑開挖深度，降排水條件．周邊環境對側壁位移的要求．基坑周邊荷載，周邊建(構)筑物基礎的類型、埋深、間距，周邊道路、地下管線，當地施工工藝水平．基坑施工季節變化．支護結構合理使用期限等因素．做到因地制宜、因時制宜、技術先進、安全可靠、經濟合理、切實可行目前國內沿海軟土地區單層地下室常采

用的支護結構有重力式水泥土墻、土釘墻、復合土釘墻、排樁。兩層及兩層以上地下室采用排樁加內支撐，樁型有PHC管樁、鋼筋砼灌注樁、拉森板樁、三軸水泥攪拌樁(SMW工法)內插型鋼、鋼管樁等，還有造價較高的地下連續墻．逆作拱墻等

(3)深基坑工程施工方法、土方開挖順序應與設計工況相一致。

基坑工程施工前．施工單位應組織專業技術人員，依據基坑支護設計施工圖、巖土勘察報告、主體地下結構施工圖、項目總體施工組織設計方案、現行規范規程標準等資料編制施工專項方案方案中主要包含以下內容：

1)編制依據：相關法律法規、規范規程．施工組織設計，勘察報告，施工圖等；

2)工程概況：施工總平圖．工程等級．基坑開挖深度、基坑面積、周長，支護形式等：

3)施工方法：施工工藝，工藝流程。技術參數等：

4)施工計劃：人員、材料、設備、機械計劃．進度計劃等：

5)安全組織：建立專項安全管理機構：6)質量安全保證措施：質量檢測，檢測方法，安全管理措施等：

7)降排水措施：

8)基坑及周邊環境監測要求：

9)環境保護措施：

10)應急預案等：

11)相關附圖及計算書。

如基坑工程屬于住建部規定的超過一定規模的危險性較大的分部分項工程時．施工單位還要就該方案組織專家論證會。基坑土方開挖應與土釘、錨桿及降水施工密切結合．開挖順序、方法應與設計工況相一致對于復合土釘墻施工必須符合“超前支護、分層分段、逐層施作、限時封閉、嚴禁超挖”的要求，做到動態設計、信息化施工。施工中遇到地質情況與勘察報告不符或未探明的地質等特殊情況。應及時與設計、相關技術人員和專家會商，制定相應的對應措施．出現危險征兆．應立即啟動應急預案。

篇2

衛生監督信息系統信息安全技術體系建設，嚴格遵循等級保護第三級的技術要求進行詳細設計、技術選擇、產品選型、產品部署。技術體系從物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等5個方面進行設計。

1.物理安全

衛生監督中心現有南北兩個機房，機房及相關配套設施面積總計160平方米。北機房部署等級保護第三級信息系統，南機房部署等級保護第二級信息系統，實現了第三級系統與第二級系統物理環境隔離。根據等級保護有關要求，機房均采用了精密空調、門禁系統、環境監測系統等設備設施及技術手段，有效地保證了機房的物理安全。

2.網絡安全

主干網絡鏈路均采用雙鏈路連接，關鍵網絡、安全設備均采用雙機冗余方式，避免單點故障。采用防火墻、入侵防護系統、DDoS系統進行邊界防護，各網絡區域之間采用防火墻進行區域隔離，在對外服務區部署了入侵檢測系統，在交換服務區部署了網絡審計系統。在核心數據區部署了數據庫審計系統，對網絡行為進行監控和記錄。在安全管理區部署安全管理系統，實現設備日志的統一收集及分析。

3.主機安全

所有服務器和管理終端配置了密碼安全策略；禁止用戶遠程管理，管理用戶必須進入機房通過KVM進行本地管理；所有服務器和管理終端進行了補丁更新，刪除了多余賬戶，關閉了不必要的端口和服務；所有服務器和管理終端開啟了安全審計功能；通過對數據庫的安全配置，實現管理用戶和特權用戶的分離，并實現最小授權要求。

4.應用安全

衛生監督中心7個應用系統均完成了定級備案，并按照等級保護要求開展了測評工作。應用服務器采取了集群工作部署，保證了系統的高可用性，同時建立了安全審計功能模塊，記錄登錄日志、業務操作日志、系統操作日志3種日志，并實現查詢和審計統計功能，配置了獨立的審計賬戶。門戶網站也采用了網頁防篡改、DDoS等系統。信息安全等級保護第三級系統管理人員及高權限用戶均使用CA證書登錄相應系統。

5.數據安全及備份恢復

衛生監督信息報告系統數據庫服務器使用了雙機熱備，應用服務器采用多機負載均衡，每天本地備份，保證了業務系統的安全、穩定和可靠運行。其余等級保護第三級信息系統使用了雙機備份，無論是軟件還是硬件問題，都可以及時準確地進行恢復并正常提供服務。同時，衛生監督中心在云南建立了異地數據備份中心，每天進行增量備份，每周對數據進行一次全備份。備份數據在一定時間內進行恢復測試，保證備份的有效性。

二、信息安全管理體系

在開展信息安全等級保護工作中，我們深刻體會到，信息安全工作“三分靠技術，七分靠管理”。為保證信息安全等級保護工作順利進行，參考ISO/IEC27001《信息安全管理體系要求》，衛生監督中心建立了符合實際工作情況的信息安全管理制度體系，明確了“統一領導，技管并重；預防為主，責權分明；重點防護，適度安全”的安全方針，涵蓋等級保護管理要求中安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五大方面的要求。衛生監督中心建立了較為完善的信息安全責任制，設立了信息安全領導小組，領導小組組長由衛生監督中心主任擔任，成員由衛生監督中心有關處室負責人組成，信息處作為信息安全工作辦公室負責衛生監督中心日常信息安全管理工作。信息處設立了信息安全管理崗位，分別為網絡管理員、系統管理員、應用管理員、安全管理員、安全審計員、機房管理員，并建立了信息安全崗位責任制度。此外，衛生監督中心依據上年度運維中存在的信息安全隱患每年對其進行修訂，確保信息安全工作落到實處。

三、信息安全運維體系

在信息安全工作中，建立信息安全管理制度不是目的，要以信息安全等級保護有關要求指導信息安全運維實踐。衛生監督中心結合實際情況，編制了《國家級衛生監督信息系統運行維護工作規范》，從運行維護流程、資源管理和環境管理三個方面進行了規范，將安全運維理念落到實處。運維人員在實際工作中，嚴格按照工作規范要求。利用衛生監督中心OA系統，建立了統一的服務臺，實現了事件、問題的全流程閉環管理（即：發現問題、登記問題、解決問題、解決反饋、解決確認）。年均處理信息安全事件近百件，將信息安全問題消滅在萌芽階段，有效地保證了信息系統穩定運行，保證了衛生監督中心信息安全目標和方針的實現。

四、信息安全等級保護實踐經驗

1.規范管理，細化流程

衛生監督中心從安全管理制度、安全管理組織機構及人員、安全建設管理和安全運維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設，為國家級衛生監督信息系統運維管理工作中安全管理提供了重要指導。國家級衛生監督信息系統運維工作從安全管理體系的建設中吸取了很多有益經驗，不僅合理調配了運維管理人員，落實了運維管理組織機構和崗位職責，而且細化了運維管理流程，形成了“二級三線”的運維處理機制。

2.循序漸進，持續完善

篇3

【關鍵詞】電力企業信息安全管理策略

電力是國民經濟的命脈，電力系統的安全穩定，不但直接關系到國家經濟的發展，還對民眾的日常生活有著巨大的影響。當前隨著電力企業市場業務的不斷開展，其與互聯網的聯系也越來越密切，但互聯網存在著很大的自由性和不確定性，可能會給電力企業帶來潛在的不安全因素。而當前電力企業的信息安全建設僅僅停留在封堵現有安全漏洞的階段，對于系統整體的信息安全意識還不夠。因此有必要對電力企業信息系統整體安全管理進行分析研究，有針對性的采取應對策略，確保電力企業網絡信息可以實現安全穩定運行。

1做好安全規劃

做好電力企業的網絡安全信息規劃需要做到以下兩點：

（1）要對電力企業的網絡管理進行科學合理的規劃，要結合實際情況對電力企業的網絡信息安全管理進行綜合考量，從整體上對網絡信息安全進行考慮和布置。網絡安全信息管理的具體開展主要依靠于安全管理體系，這一點上可以參照一些國外經驗；

（2）電力企業因自身的獨特性質，需要使用物理隔離的方法將內外網隔離開來，內網方面要合理規劃安全區域，要結合實際情況，將安全區域劃分成重點防范區域與普通防范區域。電力企業信息安全的內部核心是重點防范區域，在此區域應當設置訪問權限，權限不足的普通用戶無法查看網頁。重要的數據運行如OA系統和應用系統等應該在安全區域內進行，這樣可以保證其信息安全。

2加強制度建設

安全制度是保障電力企業網絡信息安全的關鍵部分，安全制度可以提升企業員工和企業領導對網絡信息安全的意識，電力企業需要將安全制度作為企業的工作核心，要結合當前的實際情況，建立起符合電力企業網絡信息安全的管理制度，具體操作如下：

（1）做好安全審計，很多入侵檢測系統都有審計日志的功能，加強安全制度建設就需要利用好檢測系統的審計功能，做好對網絡日常工作的管理工作，對審計的數據必須要進行嚴格的管理，不經過允許任何人不得擅自修改刪除審計記錄。

（2）電力企業網絡系統需要安裝防病毒軟件來保障網絡信息的安全，安裝的防病毒軟件需要具備遠程安裝、報警及集中管理等功能。此外，電力企業要建立好網絡使用管理制度，不要隨便將網絡上下載的數據復制在內網主機上，不要讓來歷不清的存儲設備在企業的計算機中隨意使用。

（3）電力企業的管理者要高度重視其企業的網絡安全制度建設，不要把網絡信息安全管理僅僅看作是技術部門的工作，企業中應建立起一支專門負責網絡信息安全的工作領導小組，要做好對企業內所有職工的培訓，最好能讓每一名職工都擁有熟練掌握網絡信息安全管理的能力。企業管理者要明確相關負責人的工作職責，定期對網絡安全工作開展督導檢查，管理制度需要具備嚴肅性、強制性和權威性，安全制度一旦形成，就必須要求職工嚴格執行。

3設置漏洞防護

隨著當前計算機網絡技術的迅速發展，很多已經投入運行性的網絡信息系統和設備的技術漏洞也隨著網絡技術的不斷發展而日益增加，這在很大程度上給了不法分子竊取電力企業網絡信息系統數據的機會，對此電力企業需要做好以下兩項工作：

（1）電力企業需要利用一些漏洞掃描技術來維護企業的網絡安全，要對企業的網絡信息系統經常開展掃描工作，從而及時發現系統漏洞并完成修復。這樣可以提升企業網絡信息安全系數，不但能阻斷不法分子入侵企業信息系統的途徑，還可以使企業避免需要經常性更換網絡信息系統設備可能增加的經濟負擔，從而促進企業實現長遠發展；

（2）電力企業需要提升對網絡信息安全的風險防范意識，增強企業應對突發事件的應急處理能力，針對不同的信息安全風險需要設置好不同的預警機制。要定期檢查企業的網絡信息安全技術，防止網絡安全漏洞的出現。還要及時做好對網絡信息防護新手段的更新工作，從而提升企業網絡信息系統的保護強度。

4提高管理手段

科學合理的企業網絡信息安全管理手段不僅可以維持電力企業的工作進度，還能有效規避企業網絡信息中所存在的安全隱患。提高企業網絡信息安全管理手段需要做到以下兩點：

（1）建立入侵保護系統IPS，提升企業網絡信息安全管理指標。在電力企業網絡管理系統中建立網絡入侵保護系統IPS，可以為網絡信息提供一種快速主動的防御體系，IPS的設計理念是對常規網絡流量中攜帶的惡意數據包進行數據安全檢測，若發現可疑數據IPS將發揮網絡安全防御功能，來阻止可疑數據侵入電力系統的網絡信息系統。與常規的網絡防火墻相比，IPS具備更加完善的安全防御功能，其不僅能對網絡惡意數據流量進行檢測還能夠及時消除隱患。此外，IPS還能為電力企業的網絡提供虛擬補丁，從而預先對黑客攻擊和網絡病毒做出攔截，保證企業的網絡不受損害；

（2）電力企業要加大對新型網絡信息安全技術的研發投入，在組建企業網絡信息安全系統時，要對系統各組成部分做嚴格檢查，確保設備符合安全標準。對于組建網絡信息系統所需要的設備和部件則必須要求供應商提供相應的安檢報告，嚴防設備和部件的安全隱患。對于企業已投入使用的系統和設備，必須定期做好檢查，以確保安全系統能夠順利有效的開展防護工作。

5總結

綜上所述，本文通過維護電力企業網絡信息安全管理的相關策略進行研究發現，運用做好安全規劃、加強制度建設、設置漏洞防護和提高管理手段四項措施可以起到提升企業網絡信息系統的保護強度、建立起符合電力企業網絡信息安全的管理制度從而確保安全系統能夠順利有效的開展防護工作的良好效果，希望本文的研究可以更好的提升我國電力企業的網絡信息系統的安全管理水平，為維護我國電力系統的安全運行做出貢獻。

參考文獻 

[1]鄭玉山.電力企業網絡和信息安全管理策略思考[J].網絡安全技術與應用，2017（06）：121+123. 

篇4

關鍵詞：審計；信息化，安全保障體系；主機審計

審計是客觀評價個人，組織、制度、程序、項目或產品。審計執行是以確定有效性和可靠性的信息，還提供了一個可內控的評估系統。審計的目標是表達人、組織、系統等的評估意見，審計人員在測試環境中進行評估工作。審計必須出示合理并基本無誤的報表，通常是利用統計抽樣來完成。審計也是用來考察和防止虛假數據及欺騙行為，檢查、考證目標的完整性、準確性，以及檢查目標是否符合既定的標準、尺度和其它審計準則。實現審計的信息化，有利于管理層迅速準確的做出決定，對于政企業發展、社會經濟的進步都具有重要作用。目前，我國的審計工作尚存在性質認定模糊、工作范圍過于狹窄等問題，有待進一步加強和改進。

審計的基礎工作是內部審計，內審是審計監督體系中不可或缺的重要組成部分，是全面經濟管理必不可少的手段，是加強任何機構內部管理的必要，推動經濟管理向科學化方向發展的重要環節也是審計。因此說審計部門是其他監督部門不能代替的，促進黨風廉政建設、加強對黨政領導干部及管理人員的監督都可以通過審計來完成。審計應用與高新技術機構中，在防范風險中發揮著重要作用，也有助于領導層做出正確決策。

一、審計工作的現狀及存在的問題

隨著我國經濟迅猛發展，審計監督力度不斷增強，審計范圍也不斷擴大。當前，審計方式已由財政財務審計向效益審計發展，由賬項基礎審計向制度基礎審計、風險基礎審計發展，由事后審計向事中、事前審計發展。審計管理上建立審計質量控制體系，要求審計機關把審計管理工作前移，把質量控制體系貫穿與審計工作中。在此趨勢下，傳統的審計方法暴露出其效率低、審計范圍小等劣勢，使得完成審計任務，達到審計目標越發缺乏及時性。

(一)內部審計性質認定較為模糊。內部審計是市場經濟條件下，基于加強經營管理的內在需要，也是內部審計賴以存在的客觀基礎。但是，現代內部審計的產生卻是一個行政命令產物，強調外向。這種審計模式使人們對內部審計在性質認定上產生模糊，阻礙了內部審計的發展。內部審計很難融入經營管理中，審計工作很難正常開展，很難履行監督評價職能和開展保證咨詢活動，因此就不能充分發揮其應有的內向的作用。

(二)內部審計工作范圍過于狹窄。內部審計的目的在于為組織增加價值并提高組織的運作效率，其職能是監督和服務。但是，我國內部審計工作的重心局限在財務收支的真實性及合規性審計。長久以來內部審計突出了監督職能，而忽視了服務職能。內部審計認識水平、思想觀念的束縛以及管理體制等諸多因素，影響和阻礙著內審作用的有效發揮。原因有會計人員知識水平、業務素質不高，也有不重視法律、法規的因素，還有監管不力、查處不嚴的原因。目前內部審計尚處在查錯階段，停留在調賬、糾正錯誤上，還不能多角度、深層次分析問題，沒有較國際先進的審計理念，我國內部審計的作用尚待開發。審計人員的計算機知識匱乏，不適應電算化、信息化的迅速發展。目前多數審計人員硬件知識掌握不熟練，軟件知識了解也不足，因此不能有效地評估信息系統的安全性、效益性。由于計算機審計軟件開發標準不同，功能也不完整，因此全面推廣計算機輔助審計就有一定難度，導致審計人員的知識和審計手段滯后于信息化的發展。

二、信息化審計體系的健全

當前國家審計信息化發展的趨勢是建立審計信息資源的標準化、共享化、公開化，逐步達到向現代審計方式的轉變。這一趨勢是隨著當前科學發展、和諧社會的推進，國家確立的公共財政建設、公共服務的實施、公共產品的提供應運而生的，三個“公共”的主旨是：國家財政資金的使用更注重民生；使用重點更注重服務；使用效益更注重民意。

信息安全審計是任何機構內控、信息系統治理、安全風險控制等不可或缺的關鍵手段。收集并評估證據以決定一個計算機系統是否有效地做到保護資產、維護數據完整、完成目標，同時能更經濟的使用資源。信息安全審計與信息安全管理密切相關，信息安全審計的主要依據是出于不同的角度提出的控制體系的信息安全管理相關的標準。這些控制體系下的信息化審計可以有效地控制信息安全，從而達到安全審計的目的，提高信息系統的安全性。由此，國際組織也制定了相關文件規范填補信息系統審計方面的某些空白。例如《信息安全管理業務規范》通過了國際標準化組織ISO的認可，正式成為國際標準。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務院辦公廳關利用計算機信息系統開展審計工作有關的通知》等文件，基本規范了內部審計機制，健全了內部審計機構；強調機構應加強內審工作，機構內部要形成有權就有責、用權受監督的最佳氛圍；審計委員會直接對領導班子負責，其成員需具有相應的獨立性，委員會成員具良好的職業操守和能力，內審人員應當具備內審人員從業資格，其工作范圍不應受到人為限制。內部審計機構對審計過程中發現的重大問題，視具體情況，可以直接向審計委員會或者領導層報告。

三、主機系統安全審計

信息技術審計，或信息系統審計，是一個信息技術基礎設施控制范圍內的檢查。信息系統審計是一個通過收集和評價審計證據，對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面做出判斷的過程。

以技術劃分，信息化安全審計主要分為主機審計、網絡審計、應用審計、數據庫審計，綜合審計。簡單的說獲取、記錄被審計主機的狀態信息和敏感操作就是主機審計，主機審計可以從已有的系統審計記錄中提取相關信息，并以審計規則為標準來分析判斷被審計主機是否存在違規行為。總之，為了在最大限度保障安全的基礎上找到最佳途徑使得業務正常工作的一切行為及手段，而對計算機信息系統的薄弱環節進行檢測、評估及分析，都可稱作安全審計。

主機安全審計系統中事件產生器、分析器和響應單元已經分別以智能審計主機、系統中心、管理與報警處置控制臺來替代。實現主機安全系統的審計包括系統安全審計、主機應用安全審計及用戶行為審計。智能審計替代主機安裝在網絡計算機用戶上，并按照設計思路監視用戶操作行為，同時智能分析事件安全。從面向防護的對象可將主機安全審計系統分為系統安全審計、主機應用安全審計、用戶行為審計、移動數據防護審計等方面。

四、待解決的若干問題

計算機與信息系統廣泛使用，如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系，也就是建立安全策略體系、安全管理體系和安全技術體系。

保護網絡設備、設施、介質，對操作系統、數據庫及服務系統進行漏洞修補和安全加固，對服務器建立嚴格審核。在安全管理上完善人員管理、資產管理、站點維護管理、災難管理、應急響應、安全服務、人才管理，形成一套比較完備的信息系統安全管理保障體系。

防火墻是保證網絡安全的重要屏障，也是降低網絡安全風險的重要因素。VPN可以通過一個公用網絡建立一個臨時的、安壘的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。借助專業的防DDos系統，可以有效的阻止惡意攻擊。信息系統的安全需求是全方位的、系統的、整體的，需要從技術、管理等方面進行全面的安全設計和建設，有效提高信息系統的防護、檢側、響應、恢復能力，以抵御不斷出現的安全威脅與風險，保證系統長期穩定可靠的運行。嚴格的安全管理制度，明確的安全職責劃分，合理的人員角色定義，都可以在很大程度上減少網絡的安全隱患。

從戰略高度充分認識信息安全的重要性和緊迫性。健全安全管理組織體系，明確安全管理的相關組織、機構和職責，建立集中統一、分工協作、各司其職的安全管理責任機制。為了確保突發重大安全事件時，能得到及時的響應和支援，信息系統必須建立和逐步完善應急響應支援體系，確保整個信息系統的安全穩定運行。

參考文獻：

[1]宋新月，內部審計在經濟管理中的重要作用淺析[J]，知識經濟，2009

篇5

關鍵詞：計算機；信息安全；管理體系；有效實現

中圖分類號：TP309文獻標識碼：A文章編號：1007-9599 (2011) 16-0000-01

Computer Information Security Management System Effective Achievement

Tang Ping,Sha Jing

(China Petroleum Xinjiang Sales Company,Urumqi830002,China)

Abstract:In the computer industries,while providing strong support,it is the computer information security requirements have become more sophisticated.I work based on years of experience in computer security management,put forward some ideas and suggestions.

Keywords:Computer;Information security;Management system;Effective realization of

一、計算機信息安全管理的重要性分析

伴隨我國經濟和科學技術的快速發展，為了適應社會信息化的需求，計算機的應用領域在不斷擴展，為各行各業提供了強大的信息服務，為企業處理大量數據信息提供了快捷方便的服務。當然，我們在享受著計算機系統為我們帶來的諸多便利的時候，也必須認識到計算機系統所潛在的安全管理問題。目前，伴隨我國大多數企、事業單位計算機系統的應用，信息安全問題也日益成為影響其信息化效能的重要瓶頸，尤其是對那些用來處理和傳輸企業涉及國家信息秘密的計算機信息系統，若這些方面存在安全問題，那么就會危及到企業乃至國家的安全與利益。但是，信息安全問題是一個非常復雜的系統，需要以系統眼光來對待，而建立計算機信息安全管理體系正是解決這個復雜系統問題的有效方法。因此，為了保證信息系統的安全，必須建立完善的計算機信息安全的管理體系。

二、計算機信息安全管理主要方向分析

（一）進行加密保護。伴隨人們對計算機的依賴程度越來越高，計算機信息數據的重要性也就不言而喻了，而信息加密技術是很必要的。信息加密是為了保護網內數據、文件、口令和控制信息，網上傳輸的數據。加密方法有鏈路加密、節點加密和端點加密三種。一個進行了加密的網絡，不僅可以防止非授權用戶的搭線竊聽和入網，而且還是有效應對惡意軟件的有效方法。

（二）進行安全審計。安全審計是針對系統中的所有資源（包括數據庫、主機、操作系統、安全設備等）和行為的審計，審計記錄所有事件，提供給管理員作為系統維護以及安全防范的依據。一旦有任何突發事件可以快速地查閱行為記錄，確定問題，以便采取相應的措施。

（三）終端防護。終端防護就是對安全體系中細粒度進行控制，也是安全防護中的敏感區。終端主要分為移動終端和固定終端兩種，對于終端的管控行為主要是為使用行為控制和審查。傳統的防護方案側重于解決外部入侵或者保證網絡上數據傳輸的安全，但不能阻止內部事故的發生，因此終端防護對于防止內部問題和出現惡意用戶攻擊具有重要作用。

（四）物理安全。物理安全主要涉及周邊工作環境的安全、網絡的布線、安全設備的管理，重點是如何完成重點部位和重要數據的集中管制和防護。

（五）網絡安全。網絡安全在安全防護體系中涉及內容比較多，包括對網絡的防毒措施、內部網物理隔絕、傳輸加密措施、對用戶的監控和管理措施以及審計措施等。對于內部網絡數據資源的共享和交互需要有嚴格的控制手段，控制應加在網絡安全的不同層次，包括終端安全、鏈路層安全以及應用層安全等。

三、安全管理體系的設計與實現

（一）體系結構。建設一個完備的信息安全管理體系有待解決的問題涉及面很廣，同時防護技術涉及技術體系多，主要有數字簽名技術、訪問控制技術、數據加密技術、終端防護技術、防病毒與反入侵技術、信息泄漏防護技術、安全評估技術與審計追蹤技術等，涉及到多種安全管理產品的應用。參照國家有關計算機信息系統安全防護標準，建立一個信息安全管理體系主要分為以下幾部分：安全管理、網絡安全、物理安全、用戶安全、應用安全、系統軟件安全、數據安全。各部分根據防護的重點采用相應的技術措施，形成獨立的子系統，其中主要包括：終端安全防護系統、入侵檢測系統、終端安全管理系統、身份認證系統、安全網關系統和病毒防護系統等。

（二）主要技術措施。

1.安全的系統軟件。所謂安全的系統和軟件是指操作系統、數據庫等系統軟件的安全。系統終端的操作系統首先應采用統一版本，這樣便于維護和管理。終端安全管理系統不僅能對系統的應用軟件進行遠程監控管理，還能屏蔽不允許安裝或運行的軟件，屏蔽不安全的端口。系統終端安裝統一的殺毒軟件，而且還需要自動更新系統補丁，便于進行集中控管。還要定時對客戶端操作系統進行殺毒掃描和更新系統補丁。

2.物理環境安全防護。首先，機房應具有良好的接地和防雷等安全措施，部署機房監控系統，對機房溫濕度、漏水和電源情況等時刻進行監控。此外，基于應用成本和安全管理便捷的考慮，應將采用集中式防護，代替分布式防護。要將重要的數據系統和信息系統服務器集中放置，并在集中數據的機房安裝專用空調、大型UPS設備，準確控制機房的電源和環境溫濕度。最后還要考慮設備的電磁輻射安全，在主設備的安全距離低于200m時需要增加防電磁輻射以及電源濾波設備。

3.數據安全。首先要考慮的移動存儲設備，要進行統一的認證，沒有安裝安全終端管理軟件的設備無法識別加密文件格式。對于可信的移動存儲設備只能在內部網的可信終端上使用。在安全防護客戶端設置USB端口的安全管理策略，對沒有內部認證的移動存儲介質可以設置為只讀或者對其完全禁止。而對于那些對外交流的數據文件可以通過集中管理終端制作加密存儲的文件格式，這種格式只能在用戶輸入口令時才可看到。

4.網絡安全防護。鑒于目前外聯的主要手段是通過PCMCIA、USB端口、有線或無線網卡、藍牙等進行互聯，所以，最安全有效防護就是在終端進行阻斷非法行為。利用終端安全管理系統對網絡進行固定設置，屏蔽不明端口，對于非法外聯的，一旦檢測到非法的客戶端試圖連接網絡，立刻在交換機端口上對非法接入機器進行網絡阻斷。在重要服務器區部署安全認證網關，認證網關和CA認證系統進行聯動，實現用戶的安全訪問控制和傳輸通道的加密功能。

計算機信息安全問題是一個系統性的問題，涉及到了技術、使用、管理等多個方面，既涵蓋了計算機信息系統自身安全問題，也包括物理與邏輯方面的技術要求。因此，只有全面的做好各方面的管理與控制工作，才能真正確保計算機信息的安全性、完整性。

參考文獻：

篇6

在進行信息安全體系建設時，應對來自終端的威脅給予足夠的重視，建立有效的終端安全管理體系。本文分析了終端安全管理體系應包含的內容，闡述了傳統分散式終端安全管理存在的問題，結合作者的工作實踐經驗，對一體化終端安全管理體系的建設，提出了自己的思路和見解。

關鍵詞：

終端安全；一體化；體系建設

隨著信息化建設不斷發展，信息安全的重要性日益顯露出來，在信息安全保護實踐中，各單位往往對數據集中的后臺服務器投入精力較多，對來自終端的威脅重視不足。信息安全事件調查經驗表明，多數信息安全事件的突破口來自終端，因此在進行信息安全體系建設時，應對來自終端的威脅給予足夠的重視，建立有效的終端安全管理體系。

1典型的終端安全管理體系應包括的內容

1.1防病毒及終端入侵防護

包括對全網病毒、木馬、蠕蟲、流氓軟件、間諜軟件等惡意代碼的識別、查殺，對可疑行為的阻斷和告警。此類功能主要是基于代碼檢測引擎和特征庫實現。

1.2補丁狀態檢查及分發

包括檢查是否已安裝操作系統相應的補丁，各類防護特征庫是否保持更新，能夠自動推送安裝補丁和特征庫等。此類功能主要通過安全軟件讀取系統注冊表及掃描特定位置文件系統，并自動執行后臺腳本實現。

1.3移動存儲管理

防止內部濫用移動介質，杜絕內外部移動介質在內外網交叉使用，并通過特殊加密技術保證移動介質在非授權環境下不能被讀取。此類功能主要通過向操作系統底層驅動注入代碼和數據加密技術實現。

1.4終端準入管理

實現對網絡接入終端的安全準入管理與控制，確保接入網絡終端已安裝要求的防護系統，且符合安全策略要求，有效杜絕非法外來終端私自接入網絡。此類功能可以基于交換機端口進行控制或使用安全網關進行控制。

1.5非法外聯監控

用于發現和阻止內部網絡用戶非法建立通路連接互聯網或非授權網絡的行為，以此防止引入安全風險或導致信息泄密。此類功能通常做法是定期檢查與某個互聯網地址或非授權網絡的連通性，若有連通便會觸發監控報警。

1.6主機監控審計

對終端用戶的操作行為進行管控與審計，對安裝的軟件實行黑白名單管理，當用戶的操作違反安全策略時，能夠自動禁止或記錄違規日志。此類功能一般需在終端駐留程序，根據設定的操作策略和軟件清單執行。

2傳統分散式終端安全管理存在的問題

（1）產生兼容性問題。不同的終端安全防護產品均需要操作系統權限并向底層驅動注入代碼實現檢測，各產品之間的操作沖突、導致兼容性問題已是常見現象，即使能夠和平共存也會造成增加系統資源開銷，拖累系統變慢等一系列問題。

（2）缺乏統一管理。在終端上安裝使用多種安全防護產品，缺乏全局性安全管控，容易形成信息孤島，不利于開展諸如安全數據的收集、匯總、統計等關聯分析工作，無法系統性展示終端安全全貌。

（3）防護效果打折扣。不同的終端安全防護產品在功能上各有側重，組合在一起并不一定能全面覆蓋用戶的安全需求，由于底層機制的類同和兼容性沖突等原因，經常出現安全防護的真空地帶，產生1+1<2的現象，使防護效果大打折扣。

（4）運行維護成本高。多種終端安全防護產品同時使用，需同時與多個廠商采購維保服務，周期長投入大，運行上需要維護多套不同的策略表，從不同的來源更新補丁包、特征庫等，都給運維增加了不小的工作量。

（5）難以滿足自主可控的要求。出于國家安全戰略的需要，終端安全防護產品應盡可能滿足自主可控的要求。分散部署不同的終端安全防護產品，大多是基于歷史原因分批分步建設形成的，存在一定的不可控安全風險。

3一體化終端安全管理體系的建設思路

一體化終端安全管理體系的建設，應遵循“功能集中、統一建設”的原則，結合單位已有的終端安全防護現狀，采用“整合式替代、替代后實現一體化管理”的思路開展。替代過程中，應充分考慮安全設備國產化的要求，既實現終端安全防護各項功能，又可在統一平臺下管理終端資產、終端信息、終端安全防護系統等，實現終端一體化安全管理。終端一體化安全管理可極大地提高運維效率，增強終端類安全事件聯動，提高終端安全事件預警發現和處置能力，最終提高單位的信息安全管理水平。具體實施過程中，應以“資源整合、統一管理、分級部署、基準策略、量體裁衣、人力集約”為主要工作目標，最大程度整合單位現有軟硬件資源、技術人才資源，節約資源、資金、人力成本，集成各類終端管理功能，邏輯上實行統一管理，總部制定基準策略，各地分支機構針對自己的情況，定制適合本轄區情況的安全策略，預留一定擴展空間，供各級機構在統一終端管理平臺下的本地化處理。建議分四個步驟進行：①率先落實國產化替代，一體化終端安全管理體系建設不再考慮國外產品，實現完全國產自主可控，這一點無論是在技術上還是在市場上都已不存在問題。②整合現有終端安全防護系統的功能，在實現病毒防治、補丁分發、非法外聯監控、準入控制、移動介質管控、安全策略管理等功能的基礎上，實現各功能模塊的數據整合與聯動。③增加資產管理、操作審計等功能，并實現一體化關聯和統一展現，進一步完善系統的管理功能，能夠進行終端狀態、終端信息、安全事件等信息的展示、分析和處理，實現對安全事件的及時發現、告警和處置，及時消除安全事件對終端的影響。④在系統建設的基礎上實現科學安全管理，通過對終端安全狀態的統一定量評估，實現對各部門、各分支機構的終端安全態勢評估，掌握終端安全管理的薄弱環節，為信息安全管理工作的整改完善提供數據支撐。在功能方面：一體化終端安全管理體系應主要包括但不限于防病毒管理、終端入侵檢測防護管理、補丁分發管理、移動介質管理、非法外聯管理、終端準入管理、主機監控審計管理、終端信息管理、安全策略管理、終端運行狀態統計管理、安全事件管理、運行報表管理、考核指標管理、系統管理等功能。實現終端安全防護系統的一體化管理和安全防護系統的資源整合，實現安全防護策略的統一管理，建立全面、集中、統一的終端安全管理體系。在管理方面：實現與終端安全管理制度相適應的安全管理要求，實現總部與各分支機構終端信息的統一集中管理，實現終端安全控制策略的統一配置、自動篩查、告警和展現，實現定期安全類報表的自動生成和展現，實現安全管理人員的統一工作平臺。

4結語

要實現對信息安全閉環式管理，僅僅重視信息系統服務端的保護是不夠的，必須重視對每個入網終端的安全管理。一體化終端安全管理體系的建設，從技術上采取了多種手段強化終端的安全防護和管理，為強化單位的信息安全管理提供了必要的手段。同時，我們也必須認識到，終端安全管理體系的建設不是說建好系統就萬事大吉了，對一個單位的信息安全管理而言，永遠是“三分技術，七分管理”。再好的技術手段，也只有和管理制度相結合，并加以強力執行，才能達到預定的安全目標。

參考文獻：

[1]孟粉霞，王越，雷磊.統一終端安全管理系統在內網中的分析及應用[J].信息系統工程，2013（8）：70~71.

[2]田永飛.一體化終端安全管理系統應用初探[J].金融科技時代，2015（12）：45~47.

[3]王義申.終端安全管理系統在企事業單位內網應用的分析[J].計算機安全，2007（7）：63~65.

篇7

信息安全等級保護建設背景

信息安全等級保護制度是我們國家在國民經濟和社會信息化的發展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設健康發展的一項基本制度。實行信息安全等級保護制度，能夠充分調動國家、法人和其他組織及公民的積極性，發揮各方面的作用，達到有效保護的目的，增強安全保護的整體性、針對性和實效性，使信息系統安全建設更加突出重點、統一規范、科學合理，對促進我國信息安全的發展將起到重要推動作用。

2011年，原衛生部了《關于全面開展衛生行業信息安全等級保護工作的通知》（衛辦綜函〔2011〕1126號）。針對醫療衛生行業的信息系統，原衛生部辦公廳于2011年下發了《衛生行業信息安全等級保護工作的指導意見》（衛發辦〔2011〕85號）要求三級甲等醫院的核心業務信息系統信息安全等級保護定級不低于第三級，并且要求2015年12月30日前完成信息安全等級保護建設整改工作，并通過等級測評。

醫療行業面臨的主要風險

1.醫療行業特點

隨著我國醫療衛生事業的迅速發展，醫學科學的不斷進步，醫藥衛生事業體制改革的逐步深入，醫院生存和發展的外部環境和內部機制都發生了很大的變化。當今計算機信息和網絡通信技術的深入發展為提高醫院管理水平創造了良好的條件，醫院信息化建設也因此逐漸在我國各級醫院中迅猛發展。目前醫療行業信息化有如下特點：系統運行連續性要求高，要求7×24小時不間斷服務；網絡間斷時間不允許超過2小時；信息高度集成，所有信息需要集中使用；異構系統多，系統復雜度高；系統間接口復雜，涉及廠家多；系統內存儲資料價值較高，存儲著醫院大量運用數據，其中包含大量患者隱私；存儲的數據內容本身具備法律效力；核心網絡采用網絡物理隔離。

2.信息系統的威脅來源

信息系統的威脅來源主要可以分為兩個方面，一個是環境因素造成的威脅，另一個方面是人為因素造成的威脅，而人為因素所帶來的損失往往是不可估量的。

在環境因素方面，威脅主要來自于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外事故等環境危害或自然災害，以及軟件、硬件、數據、通訊線路等方面的故障。

在人員因素方面又可以分為有意和無意兩種情況，對于有意而為之的人，通常指惡意造成破壞的人，懷不滿情緒的或有預謀的內部人員對信息系統進行惡意破壞，采用自主或內外勾結的方式盜竊機密信息或進行篡改，獲取利益。而外部人員也可以利用信息系統的脆弱性，對網絡或系統的保密性、完整性和可用性進行破壞，以獲取利益或炫耀能力。對于無意的情況來說，通常指管理人員沒有意識到問題或者沒有盡心盡責的工作。例如，內部人員由于缺乏責任心，或者由于不關心或不專注，或者沒有遵循規章制度和操作流程而導致故障或信息損壞；內部人員由于缺乏培訓、專業技能不足、不具備崗位技能要求而導致信息系統故障或被攻擊。

3.信息系統負面影響

醫院內部的信息系統如果受到威脅、入侵或被破壞等，會給國家、醫院以及人民的利益帶來嚴重的影響。

系統如果出現宕機的現象，首先會造成患者情緒激動，耽誤治療流程，甚至會威脅到患者生命的安危。其次會造成門診業務人員、主治醫生、護士等工作人員的工作慌亂，甚至成為情緒激動患者的放矢對象。門診辦主任、主管院領導、醫院院長電話問詢，信息中心則會電話不斷、手忙腳亂。醫院業務停頓，從經濟上受損失，而媒體也會曝光醫院，使得醫院信譽受損。

如果醫院信息系統的內部信息丟失，則會造成員工信息被公開、患者信息泄露等風險。例如，據《勞動報》報道，一名負責開發、維護市衛生局出生系統數據庫的技術部經理利用工作之便，在2011年至2012年4月期間，每月兩次非法進入該院數據庫，偷偷下載新生兒出生信息并進行販賣，累計達到了10萬條，給醫療衛生行業帶來了嚴重的負面影響。

信息安全等級保護建設體系

由于醫院信息系統復雜的特點、面臨的威脅及產生負面影響的嚴重性，醫院開展信息安全等級保護建設工作就尤為重要，急需一套適合醫院的等級保護安全防御體系。

信息安全等級保護體系主要包括技術與管理兩方面，在安全技術方面包括：物理安全、網絡安全、主機安全、應用安全、數據安全；在安全管理方面包括：安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理。這10個方面里每一項都有若干控制項，順利通過測評至少要達到控制項的80%以上（表1）。

如表1所示，控制項中G表示基本要求類，三級必須達到G3標準；S表示業務信息安全類，A表示系統服務保證類，三級標準中S與A任選一項達到三級即可。

根據信息安全等級保護標準，我院主要建設經驗如下：

1.信息安全技術

（1）物理安全：數據中心機房是物理安全的核心，機房的裝修工程、動力配電系統、空調新風系統、消防系統、綜合布線系統等均需按照A級機房標準進行建設。此外，日常的管理工作也尤為重要，在物理權限控制方面應配備門禁系統，并且應做到兩種或兩種以上的身份識別機制，如指紋加密碼或IC卡加密碼等。環境監控方面除了每天定時的人員巡檢還應在機房及各設備間部署監控系統，利用傳感器監控溫濕度、漏水、電壓、設備狀態等信息，一旦發生異常通過短信及時告知機房管理人員。

（2）網絡安全：按照等級保護思路進行安全域的劃分，將不同級別的信息系統通過防火墻和網閘進行隔離，根據每個安全域的特點設定不同的安全策略。服務器安全域制定細粒度訪問控制列表，僅開放必要的端口，并在旁路架設網絡流量審計設備和入侵檢測系統，對所有流量進行記錄及審計，能夠及時發現攻擊行為；客戶端安全域制定網絡準入和非法外聯策略，禁止未經授權的計算機隨意接入醫院網絡，并且通過管理軟件和網閘控制內網的計算機隨意訪問外網或互聯網；架設安全管理域，該區域主要用于對網絡設備、服務器、安全設備的管理，并集中收集設備的日志，及時通過分析日志發現安全隱患。

（3）安全：服務器進行統一安全策略的制定，部署網絡版殺毒系統、補丁分發系統、入侵防范系統等，并結合服務器承載的業務特點制定詳細的資源控制列表，按照最小授權原則，授予最低資源訪問權限。

（4）應用安全：部署數據庫審計系統，對所有流經數據庫的網絡流量進行數據分析，制定審計策略，發生違規數據操作及時通過短信報給安全審計人員；同時部署CA數字簽名系統，醫生通過USBKEY進行系統登錄，并對其所有操作進行數字簽名，有效保證了應用系統的安全性及數據的不可抵賴性。

（5）數據安全：利用專業的數據備份軟件在異地部署數據備份中心，對各系統數據庫和文件繼續高頻率集中加密備份，并且應至少六個月進行一次數據還原演練，保證在出現問題是可以有效進行恢復。

2.信息安全管理

（1）安全管理制度：從醫院層面制定信息安全管理制度，對信息安全制度進行重新整理修改，規定信息安全的各方面應遵守的原則、方法和指導策略，指定具體管理規定、處罰措施。制度應具備可操作性，同時應由專人負責隨時進行修正，并由信息安全領導小組進行評審，最終進行。

（2）安全管理機構：組織建立信息安全工作領導小組，設置信息安全管理崗位，設立獨立的系統管理員、網絡管理員、安全管理員、安全審計員等崗位，制定各崗位的工作職責，與各崗位相關人員簽署保密協議。同時制定溝通協作機制，內部定期組織會議進行信息安全工作部署，外部每日向公安局上報備案信息系統的安全情況，與數據庫、存儲、網絡設備、安全設備等廠商簽署協議，提供所有設備的備機備件，每月進行設備巡檢，并要求在發生緊急事件時及時到場提供技術支持。

（3）人員安全管理：在人員錄用方面，嚴格審查人員的背景、身份，并簽署保密協議，人員離崗時執行離崗流程，各部門主管負責回收本部門負責的相關權限，所有權限回收后方可辦理離職手續。同時定期對人員進行相關培訓，每周進行一次內部培訓，每年進行兩次外部培訓。對于外部廠商人員，其對設備的相關操作均需進行審批流程，并通過技術手段記錄所有操作行為，做好操作記錄，并不定期進行行為審計。

篇8

1無意的人為因素

信息安全的問題有些是無意的人為因素引起的。如相關工作人員對網絡安全的配置不夠完善，導致出現安全漏洞；或者用戶自己信息安全意識差，未能完好的保存好相關登陸密碼，導致信息泄露。

2惡意的人為因素

惡意的人為因素主要來自黑客攻擊，惡意人為攻擊具有的指向性和目的性，因此這部分行為對安全信息是最大的隱患和威脅。

3應用軟件的漏洞

大多數應用軟件都存在一定的漏洞，這些漏洞會成為一些黑客的攻擊目標，因此應用軟件的漏洞也是造成信息安全的一個原因。

加強計算機信息安全的建議對策

當前計算機信息安全的防護重點在于建立和完善計算機信息安全防護體系。當前防護總體策略是在技術層面上建立完整的網絡安全解決方案，在管理層面上制定和落實嚴格的網絡安全管理制度。

1計算機安全技術方面

1.1防火墻技術防火墻技術是一種應用性安全技術，它是在現代通信網絡技術和信息安全技術基礎上建立的，是目前互聯網上廣泛應用的一種安全措施。它是在內部網絡和外部網絡之間建立一個安全網關，并能通過監測、限制數據流來監測網絡內外的信息以及運行狀況，它不僅能夠限制非法用戶的侵入，同時也能阻止內部保密信息非法輸出，本質上來講，防火墻技術是一種隔離技術，能夠隔離過濾掉有安全隱患、不健康的站點，從而大限度的降低被黑客攻擊的可能性。

1.2反病毒技術計算機病毒是一段具有自我復制與傳播能力的破壞性程序代碼，它能夠隱藏在可執行文件或數據文件中，在特定的條件下能被激活，從而破壞相關程序。目前計算機網絡病毒的傳播主要是以硬盤、網絡等作為主要傳播媒介。計算機若中了病毒，一般會表現出運行緩慢、文件丟失破換、破壞操作系統等嚴重影響用戶信息安全。對計算機病毒的防護主要是預防為主、殺毒為輔。具體措施是要安裝殺毒軟件，并及時更新病毒庫，及時下載相關補丁；若收到一些不熟悉的郵件并帶有擴展名為exe的附件時，應及時刪除；病毒往往捆綁在某些軟件上，因此下載軟件時一般去正規的網站下載；對u盤、移動硬盤等儲存介質在使用前進行殺毒，防止病毒交叉感染。

1.3安全掃描及安全審計技術計算機系統和其他網絡設備都存在一定的安全漏洞，這些漏洞是攻擊者攻擊系統的目標。安全掃描技術是對系統和相關設備進行安全監測，查找出安全隱患和可能被攻擊的漏洞。通過安全掃描，系統管理員就能排除相應的隱患，從而防止黑客入侵。安全審計技術主要對操作系統、數據庫、郵件系統等進行安全審計，是一種自動對用戶進行評估的技術，判斷用戶的合法性，一旦發現攻擊和用戶非法訪問，便可及時終止相關操作，從而起到保護信息安全的作用。

1.4數據加密技術計算機加密技術是一種非常重要的保護信息安全保障技術，它是講可閱讀的明文信息轉化成不可直接讀取的密碼信息，從而防止未授權用戶竊取數據信息。授權人通過相應的解密算法和密鑰還原成明文信息，從而有效防止在傳輸過程中的信息泄露。目前，數據加密仍然是一種最可靠的信息保護技術。

2計算機信息安全管理方面

在計算機信息安全管理方面首先需強化思想教育，加強制度落實，增強計算機信息安全保密意識和觀念，這些是計算機信息安全管理工作的基礎；其次，制定嚴格的信息安全管理制度，在制度層面上確保計算機信息安全；再者，加強計算機網絡人員的培訓，使網羅人員熟練通過計算機網絡實施正確有效的安全管理，保證網絡信息安全；最后，提高個人的信息安全觀念，對重要的不需修改數據資料建議直接刻錄在光盤上保存；對于一些較小的資料文件可上傳到相應的郵箱或者網盤。總之對數據備份要做到備份多份，放在不同地點，同時保證資料的及時更新。

結語

篇9

關鍵詞信息安全 技術體系 管理體系

中圖分類號：TB497文獻標識碼： A 文章編號：

前言

企業的正常運作離不開信息資源的支持，企業信息化系統作為管理企業信息資源的電子化工具和企業實力的重要組成部分，在促進企業規范管理流程、提高生產效率的同時，在運行中累積的包括企業的經營計劃、知識產權、生產工藝、流程配方、方案圖紙、客戶資源等各種重要數據成為部門、企業的寶貴資產，關乎著企業的生存與發展。這些數據一旦損壞、丟失、泄漏或篡改，則會給企業帶來重大安全影響。

企業要保持健康可持續性發展，信息安全是基本的保證之一。為確保信息資產安全，很多企業都制定了“硬件備份、分權分域、多層防御、等級防護”等等信息安全技術目標，并且逐步落實。與此同時，還應該清醒地認識到，技術體系達到先進水平，并不意味著企業的信息安全整體水平也是同步發展的；而必須建設和落實與之相適配的信息安全管理體系，并將其逐步納入到企業的各級安全生產管理當中。

信息安全風險和措施概述

企業信息化系統在為企業帶來提高工作效率和管理水平、增強競爭能力等益處的同時，也為企業帶來了信息安全風險；而且信息安全風險與信息化水平和應用范圍的提高與擴大同步增長。

（1）接入和訪問方式多樣化帶來全網性風險

U盤、便攜電腦、無線網卡、智能手機的普及加劇了病毒、蠕蟲和間諜軟件等普遍存在的信息安全威脅，而且對網絡、系統、應用、信息的破壞程度和范圍持續擴大。

（2）來自外網的攻擊始終存在，攻擊方式向更高階段演化

和其他企業網一樣，企業的信息化系統也一直面臨著來自Internet和其他第三方對接網絡的外在威脅，并且很容易跨域突現。在攻擊手段上，攻擊者已經從以往直接針對網絡和系統的普遍攻擊，轉向了對更高層次的Web應用、信息數據的重點攻擊。

（3）安全意識和相關培訓不到位

職工信息安全培訓普及和素質培養方面卻沒有形成一個長效機制，信息安全意識不均衡情況也普遍存在。

（4）信息安全管理體系尚未成熟

在信息安全保障體系中，企業普遍存在過于依賴于技術保障，而管理保障和制度執行相對薄弱等問題。大多數企業的信息安全管理體制還是沿襲傳統組織架構，并沒有咨詢過專業安全公司在信息安全管理體系建設上的意見，仍由檔案部門、調度部門兼職負責，而沒有設置專門的信息安全部門，從而造成管理體系不健全，責任不清晰等問題。

信息安全管理體系的主要環節

從業內最佳安全實踐來看，要想建立完善可行的信息安全管理體系，就要使之貫穿于整個企業信息安全建設和保障過程。一般說來，信息安全管理體系包括以下6個主要環節：

（1）信息風險評估程序：其目的是為了在企業、組織內部建立一套適合自身具體情況的信息風險評估機制，明確信息風險評估由誰來做、怎么做、做什么、重點解決什么等問題。這一環節有助于相關部門了解有哪些威脅會對企業信息真正造成影響、風險水平該如何確定。

（2）信息安全計劃：它是在信息風險評估的基礎上，結合企業的宏觀安全戰略與現實情況得出的，明確了信息安全工作應該“做什么”和“什么時候做”。

（3）項目管理：無論安全工作是內部人員來完成還是與專業安全公司協作來完成，每一項信息安全工作都可以視為一個安全項目。所以，還應充分考慮項目管理的各個階段（發起、啟動、計劃、執行、控制、收尾）需要關注的問題和存在的風險。

（4）運行維護和培訓：對企業信息的運行維護監控過程大部分是程序化和其他一些較為細碎的工作。同是，除了執行命令、填寫表單以外，還需要通過各類培訓教育讓各級職工，尤其是掌握核心業務數據的崗位人員時刻保持風險預警意識。

（5）信息安全審計：其主要目的就是建立一個長效機制，明確對信息系統及其數據和信息的檢查周期、審計方式、評審制度等內容，確保能夠及時發現和彌補信息安全管理漏洞和缺陷。

（6）持續改進計劃：為了應對不斷變化的信息安全威脅和不斷嚴格的合規性要求，從根本上解決信息安全問題，企業、組織需要對信息安全過程、方法、程序、操作指南持續改進。

圖1 信息安全管理體系環節構成示意圖

信息安全管理體系的實施內容

從當前來看，信息安全管理體系的實施內容主要包括信息安全管理制度和信息安全操作流程組成，二者各司其職，又互為補充。

首先，信息安全管理制度主要是公司的相關部門根據自身的管理職能，針對各種與信息安全管理有關的資源制定的相關要求、政策。管理制度通常由相應的部門進行歸口管理和解釋，是職能化、專業化的直接體現。

其次，信息安全管理流程是根據一定的管理目標，對系列相關活動順序和操作規則的規定。通常管理流程會貫穿若干部門，使用相關資源，是流程化、規范化管理的體現。與管理制度相比，管理流程更注重過程管理，通常會使用一些流程測量指標，作為衡量效率和判斷是否合理的依據。

最后，在信息安全管理體系的實施中，如果關注結果，不注重或者難于監控過程，就傾向于使用制度去約束，如近幾年在企業中大力推廣的口令加密存儲制度等。另一方面，如果在一個安全控制點上更關注過程，即關注是否具有完備的輸入，是否有合理可操作的處理過程，是否產生了預期的結果，那么就傾向使用操作流程進行記錄，如系統補丁加載等。

篇10

記者：為什么說信息科技風險管理對于商業銀行是特別重要的一環?

徐徽：近年來，風險管理已成為商業銀行經營管理活動的主旋律，信息科技風險作為銀行風險的重要組成部分，受到越來越多的重視。從商業銀行的角度看，這源于兩方面的驅動因素。

一是內在驅動因素。目前信息技術已深入到商業銀行經營管理的各個領域，幾乎所有的改革發展任務都與信息技術密切相關，不管是業務的發展，還是管理的提升，都需要信息技術的配套支持。但是，信息技術固有的風險，包括信息系統軟硬件本身的脆弱性、數據集中導致的風險集中等，是客觀存在且難以完全規避的。由于技術原因造成區域性和系統性的金融風險進而帶來嚴重的社會影響，在國內外都有很多案例。因此，信息技術在促進銀行業務發展、推動金融創新的同時，也使銀行業務面臨巨大的安全隱患，信息科技風險牽一發而動全身，信息系統的安全性和可靠性關系到商業銀行整體經營管理活動的穩定，應該得到而且已經得到了所有商業銀行的重視。

二是外在驅動因素。近幾年，中國人民銀行、銀監會等監管機構對于商業銀行信息科技風險的監管要求越來越嚴、越來越細。銀監會2009年3月下發的《商業銀行信息科技風險管理指引》，從IT治理、風險管理策略、信息安全、開發測試和生產運行管理等方面對商業銀行提出了具體而細致的風險管理要求，對于商業銀行加強信息安全管理、防范信息技術風險起到了重要的指導作用。同時，銀監會將商業銀行的信息系統納入現場和非現場監管，大力開展信息科技風險現場檢查，對商業銀行的信息科技風險防范工作提出了更髙的標準和要求。監管力度的加大，促使商業銀行針對信息技術風險防控制定出更強有力的措施，不斷提髙信息安全風險管理水平。

在上述內部要求和外部環境的雙重要求和驅動下，商業銀行信息科技風險管理的重要性日益凸顯，信息安全管理成了各行科技工作的主題。

記者：現階段，我國金融機構面臨的信息科技風險主要來源于哪些方面?

徐徽：要嚴控信息科技風險，就要先弄清楚風險的來源，并根據不同來源對癥下藥。概括來說，信息科技風險主要來自四個方面：一是自然原因導致的風險，包括地震、臺風等自然災害造成的風險，這類風險往往很難主動防范，只能被動防御，通過事前建立完善的業務連續性方案和應急預案，事后及時啟動應急方案和補救措施來彌補;二是系統風險，是由信息系統相關軟硬件的缺陷引起的，包括基礎設施和硬件設備老化、系統軟件缺陷、應用軟件開發測試質量缺陷等，需要通過改善軟硬件環境、完善應用軟件來防范;三是管理缺陷導致的風險，是由管理制度的缺失或組織架構的制衡機制不完善引起的，需要從IT治理架構和管理機制上彌補管理和制度的空白及漏洞;四是人員違規操作風險，是由人員有意或無意的違規操作引起的，需要加強員工的安全培訓和操作培訓，提髙人員的信息安全意識和操作水平。其中，后三類風險需要以主動防范為主要安全管理措施，要建立風險事前防范、事中控制、事后監督和糾正的機制。

記者：為保障銀行業務的安全，廣發行信息科技風險管控采取了哪些具體措施?

徐徽：嚴控風險是我行2009年工作的主旋律之一，這也是行長辛邁豪在1月全行工作會議上確立的指導思想，在信息技術方面的定位就是“加強信息技術風險管控，將信息技術風險納入銀行全面風險管理體系”。信息安全管理工作是2009年全行科技工作的重點任務，是優先投入資源、重點保障的工作目標。由此可見我行對于信息科技風險管理的重視。

現階段，根據我行技術和管理的實際情況，信息科技風險管理采用“廣度優先、逐步提升”的策略，重點在管理、技術、人員等方面提升信息安全管理水平和管理能力，建立管理與技術結合的全方位的風險管理體系，變被動應對為主動防范。具體說來，主要采取以下幾方面的措施開展信息安全工作。

第一，將信息科技風險管理和信息安全納入我行五年科技戰略規劃的實施目標。為了提髙信息技術整體核心競爭力，提升信息技術對業務戰略發展的長期可持續支持能力，我行于2008年完成了五年科技戰略規劃目標和實施路徑的制定，信息科技風險管理和信息安全是科技規劃的重要組成部分之一。科技規劃中明確了信息安全工作的中長期目標，定義了信息安全機制建設、信息安全相關系統和管理平臺建設等多方面的信息安全管理實施路徑，我行在未來幾年內將根據科技規劃的實施路徑逐步開展信息安全建設，提升信息風險防控能力。

第二，完善信息科技治理，大力開展信息科技風險管理機制建設，建立信息科技風險管理制度基礎。以前，國內商業銀行的信息安全管理普遍存在一個誤區，認為部署了髙性能的硬件設備、實現了雙機熱備份、做好了生產運行風險控制，就算完成了信息科技風險控制的工作。其實不然，因為信息安全不單是技術問題，更是管理問題，只有持續完善信息科技治理架構，從組織架構和制度等管理層面采取防范措施，才能真正實現信息安全管理的目標。我行在信息科技治理方面的措施主要包括三個方面。首先，認真學習和領會監管機構對信息技術風險控制的要求，吸收借鑒同業經驗，將監管要求和同業經驗轉化為行內工作規范，建立系統完善的信息技術風險管理組織架構和機制，建立了三道防線、三個小組和三項機制。三道防線是明確了信息技術部、合規部、稽核部為主體的信息技術風險三道防線的職能分工;三個小組是成立了信息系統突發事件應急領導小組、應急處置小組和支持保障小組，做好突發事件應急處理;三項機制是信息技術風險管理保障機制、信息技術風險評估和預警機制及信息技術風險應急處置機制。

其次，建立健全信息科技規章制度。為了做好制度建設，我行信息技術部專門制定了《科技規章制度管理辦法》，明確了信息科技相關制度制定、修訂、廢止的流程和審批制度。在管理辦法的指引下，切實抓好制度建設，近兩年每年制定、修訂的制度都在20項以上，形成了總數達到60余個的全行科技規章制度體系。同時加強制度的宣講、檢查、整改機制。對于新建立的制度，制定一項，宣講一項，檢查一項，違章整改一項。再次，加強信息安全隊伍建設，提髙員工信息安全風險防范意識和水平，通過理論和實踐的結合，培養髙素質的信息安全管理團隊。去年我行在總行各部門和各分行科技部設立了信息安全崗，專門負責組織、落實本單位的信息安全管理工作。為了提髙信息安全崗人員的知識水平和操作技能，我行與廣州市信息安全協會共同設計了培訓課程，組織總行信息安全崗人員和總行信息技術部相關崗位人員分批參加了信息安全繼續教育培訓，實現總行信息安全崗滿足《廣東省公安廳關于計算機信息系統安全保護的實施辦法》中關于持證上崗的監管要求，今年將實現分行信息安全崗全部持證上崗。我們同時認識到，信息科技風險防范不僅是信息安全崗的事情，而且是全體員工的基本任務。因此正在組織編寫全員信息安全手冊，對于桌面電腦安全、信息保密等基礎信息安全知識開展普及教育，屆時將人手一冊，確保全體員工了解并遵守信息安全管理要求。

第三，采取有效的信息科技風險管理的手段防范和化解信息安全風險。首先，持續開展信息科技風險檢查、評估、整改這一不斷循環、螺旋上升的工作。一方面認真開展內部審計和外部審計工作，通過審計發現制度、流程、操作等方面中的風險;另一方面積極組織信息技術部的風險自查，每月定期開展總分行數據中心機房現場檢查，每季度開展數據庫操作、用戶管理等髙風險操作的專項檢查。根據審計要求和自查結果，嚴格落實風險整改工作，將整改任務落實到每季度、每月、每周的科技工作計劃中。同時逐步擴大風險檢查的廣度和深度，主動發現并積極防范風險，通過風險整改實現持續改進。其次，嚴抓四方面的生產運行安全管理工作：一是完善基礎設施建設，化解機房環境、硬件設備等基礎設施的風險;二是建立和完善災難備份中心，做好業務連續性建設;三是提升運行管理的水平，推進運行流程化和集中化管理，防范操作風險，確保信息系統的安全穩定運行。四是完善應急預案，積極組織開展應急演練，切實提髙風險防控水平。

記者：信息科技風險管理有時會影響效率，您如何看待這兩個因素的平衡?