導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇公司信息安全管理體系，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：安全管理體系;檢修管理;新興鑄管

中圖分類號(hào)：TU714文獻(xiàn)標(biāo)識(shí)碼：A

引言

安全管理（Safety Management）主要指運(yùn)用現(xiàn)代安全管理原理、方法和手段，分析和研究各種不安全因素，從技術(shù)上、組織上和管理上采取有力的措施，解決和消除各種不安全因素，防止事故的發(fā)生，是現(xiàn)代企業(yè)管理的一個(gè)重要組成部分，在企業(yè)的整體管理活動(dòng)中占有非常重要的地位。隨著我國(guó)經(jīng)濟(jì)快速發(fā)展和社會(huì)的全面進(jìn)步，安全管理與我國(guó)經(jīng)濟(jì)發(fā)展相伴已進(jìn)入一個(gè)新的歷史發(fā)展階段，因此必須在安全管理上引入全新的管理思想和管理機(jī)制，以消除人的不安全行為和物的不安全狀態(tài)為中心，強(qiáng)調(diào)以人為本的安全管理核心，把安全管理的重點(diǎn)放在激勵(lì)職工的士氣和發(fā)揮其能動(dòng)作用上來(lái)，充分調(diào)動(dòng)每個(gè)職工的主觀能動(dòng)性和創(chuàng)造性，讓人人參與安全管理，從而塑造企業(yè)安全文化，創(chuàng)立企業(yè)安全生產(chǎn)新形象[1]。

一、新興鑄管新疆有限公司安全管理現(xiàn)狀

（一）公司安全管理指導(dǎo)思想

2010年特鋼項(xiàng)目投建以來(lái)，公司就堅(jiān)持“用先進(jìn)的安全文化理念引領(lǐng)企業(yè)安全發(fā)展”的方針，以構(gòu)建特色安全文化為基礎(chǔ)，以“實(shí)現(xiàn)零傷害”為總體目標(biāo)，積極開(kāi)展和創(chuàng)新各項(xiàng)工作，不斷強(qiáng)化各層級(jí)員工規(guī)則意識(shí)的樹(shù)立、良好安全行為的養(yǎng)成。

特別是一期工程投產(chǎn)以來(lái)，通過(guò)著力推行“安全生產(chǎn)標(biāo)準(zhǔn)化”建設(shè)，不斷強(qiáng)化人、機(jī)、環(huán)匹配化建設(shè)，加大安全生產(chǎn)投入，強(qiáng)化安全隱患整改，提高安全保障能力，努力打造本質(zhì)安全化特鋼，公司安全生產(chǎn)形勢(shì)保持了良好的發(fā)展態(tài)勢(shì)。

（二）安全管理組織機(jī)構(gòu)

新興鑄管新疆有限公司為了適應(yīng)安全管理的需要，成立了公司安全生產(chǎn)委員會(huì)，建立了以公司總經(jīng)理、各副總經(jīng)理、各實(shí)業(yè)部部長(zhǎng)為安全生產(chǎn)第一責(zé)任人的安全管理機(jī)構(gòu)，明確職責(zé)。公司成立了安全環(huán)保部，負(fù)責(zé)公司的安全管理工作，公司各實(shí)業(yè)部均配備專職/兼職安全管理人員，形成了層層負(fù)責(zé)的安全管理機(jī)構(gòu)，為安全管理工作提供了有力的保障。

（三）安全規(guī)章制度

以國(guó)家、行業(yè)、新興鑄管股份有限公司的法律法規(guī)及規(guī)章制度作為新興鑄管新疆有限公司安全管理支持，實(shí)施的主要安全管理文件有：《安全生產(chǎn)責(zé)任制度》、《安全培訓(xùn)教育制度》、《職工安全檔案管理制度》、《安全生產(chǎn)會(huì)議管理制度》、《安全檢查及隱患整改管理制度》、《紅袖標(biāo)安全監(jiān)督管理制度》、《外工單位安全管理制度》、《受限空間管理制度》《安全考核管理制度》《危險(xiǎn)源辨識(shí)、風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)控制策劃實(shí)施程序》、《險(xiǎn)肇事故安全管理制度》等有關(guān)安全生產(chǎn)的規(guī)章制度、管理辦法共計(jì)23余項(xiàng)[2]。

（四）安全體系認(rèn)證

新興鑄管新疆有限公司2012年通過(guò)環(huán)境管理、職業(yè)健康安全管理體系認(rèn)證工作，運(yùn)行一年多來(lái)，按照管理體系的要求，每由內(nèi)審員、技術(shù)專家、管理部門領(lǐng)導(dǎo)組成檢查小組對(duì)公司各部門安全生產(chǎn)責(zé)任履行、重要環(huán)境因素及危險(xiǎn)源控制情況等進(jìn)行檢查，目前體系運(yùn)行良好。

（五）安全檢查活動(dòng)開(kāi)展情況

新興鑄管新疆有限公司安全環(huán)保部對(duì)各實(shí)業(yè)部現(xiàn)場(chǎng)開(kāi)展定期安全大檢查。各實(shí)業(yè)部在保持日常巡檢、定期檢查和專項(xiàng)檢查的基礎(chǔ)上，加大對(duì)施工單位的監(jiān)督檢查力度，明確考核與獎(jiǎng)勵(lì)，落實(shí)隱患整改措施。

（六）安全標(biāo)準(zhǔn)化認(rèn)證審核

按照集團(tuán)公司要求，公司必須在2013年前完成安全標(biāo)準(zhǔn)化認(rèn)證審核，目前結(jié)合安全標(biāo)準(zhǔn)化的建設(shè)，公司組織各實(shí)業(yè)部積極開(kāi)展安全標(biāo)準(zhǔn)化推進(jìn)工作，通過(guò)4次自評(píng)和1次模擬外審和外部監(jiān)督審核，目前已獲得認(rèn)證。

（七）安全培訓(xùn)教育

通過(guò)加強(qiáng)四級(jí)安全教育，解決不懂不會(huì)問(wèn)題。公司嚴(yán)格進(jìn)行公司、實(shí)業(yè)部、工段、班組四級(jí)安全教育，經(jīng)考試合格后準(zhǔn)予上崗。通過(guò)安全教育使新職工了解現(xiàn)場(chǎng)的安全生產(chǎn)狀況和制度，迅速融入到生產(chǎn)氛圍中去。

（八）公司安全管理現(xiàn)狀調(diào)查及分析

為進(jìn)一步了解目前公司安全管理中存在的問(wèn)題，改進(jìn)和加強(qiáng)公司安全管理工作，筆者根據(jù)自己的從業(yè)經(jīng)驗(yàn)及對(duì)公司在職員工進(jìn)行了安全生產(chǎn)常識(shí)的調(diào)查。發(fā)現(xiàn)公司安全管理存在的問(wèn)題主要有以下幾個(gè)方面：

1、從人員素質(zhì)方面來(lái)看：一是安全文化建設(shè)剛剛起步，職工安全意識(shí)、安全理念還沒(méi)達(dá)到入心入腦，安全行為，安全責(zé)任心還沒(méi)有養(yǎng)成，安全思想、安全文化氛圍還沒(méi)有形成；二是新工人多，培訓(xùn)時(shí)間短，實(shí)戰(zhàn)經(jīng)驗(yàn)少，還沒(méi)有完全適應(yīng)新環(huán)境，駕馭新裝備的能力還不能滿足要求；三是經(jīng)驗(yàn)主義，模糊意識(shí)依然存在；四是管理干部、技術(shù)干部相對(duì)短缺，在新環(huán)境下，工作時(shí)間短，經(jīng)驗(yàn)欠缺，對(duì)于安全工作的理解還不深。

2、從現(xiàn)場(chǎng)環(huán)境方面看：一是作為新建企業(yè)，對(duì)生產(chǎn)運(yùn)行及故障類型的規(guī)律還未完全摸透，行之有效的管理措施、管理辦法還在探索中；二是部分安全防護(hù)設(shè)施維修保養(yǎng)不到位，應(yīng)急狀態(tài)下的系統(tǒng)穩(wěn)定難以保證。

3、從基礎(chǔ)管理方面看：一是安全基礎(chǔ)管理還比較薄弱，工段班組安全管理欠帳較多，還需要我們進(jìn)一步完善管理制度，強(qiáng)化管理落實(shí)；二是安全管理體系還不順暢，安全管理經(jīng)驗(yàn)不足，分析問(wèn)題和應(yīng)對(duì)突發(fā)問(wèn)題，以及制定針對(duì)性措施的能力有待提高；四是外協(xié)單位和施工隊(duì)伍多，臨時(shí)思想嚴(yán)重，安全基礎(chǔ)設(shè)施投入不足，協(xié)調(diào)管理難度較大。

二、新興鑄管新疆有限公司安全管理體系內(nèi)容

（一）體系組成

針對(duì)公司安全管理中存在的問(wèn)題，遵循預(yù)防為主、安全第一的安全管理理念和安全標(biāo)準(zhǔn)化、作業(yè)規(guī)范化的安全管理思想、現(xiàn)場(chǎng)6s治理推進(jìn)，提出了以持續(xù)改進(jìn)為基礎(chǔ)，安全為天、以人為本、依法管理、突出預(yù)防[3]為核心管理理念的公司安全管理體系。新興鑄管新疆有限公司安全管理體系由三個(gè)子體系組成：分別為安全管理責(zé)任體系、安全管理流程體系、安全管理文化體系。

安全管理責(zé)任體系主要涉及新興鑄管新疆有限公司各部門、各層級(jí)所擔(dān)負(fù)的安全管理責(zé)任，以及各負(fù)有安全管理職責(zé)的部門在安全管理過(guò)程中的關(guān)系。

安全管理流程體系主要是對(duì)新興鑄管新疆有限公司安全管理流程進(jìn)行系統(tǒng)的整理、優(yōu)化，包括策劃、運(yùn)行與實(shí)施、檢查與糾正、持續(xù)改進(jìn)四個(gè)部分。

安全文化體系對(duì)新興鑄管新疆有限公司安全管理起重要的導(dǎo)向作用 。安全文化是一個(gè)完整的體系，這個(gè)體系由若干相互聯(lián)系、又有獨(dú)特作用的十大要素組成，分別為安全寄語(yǔ)篇、安全理念篇、安全法律篇、安全名詞篇、安全名次篇、“白國(guó)周班組管理法”、安全警句篇、安全故事篇、安全常識(shí)篇、煤氣知識(shí)篇及安全通篇。

（二）安全管理責(zé)任制體系

1、安全生產(chǎn)責(zé)任組織架構(gòu)

新興鑄管新疆有限公司成立了由總經(jīng)理任安委會(huì)主任，主管副總經(jīng)理任安委會(huì)副主任，各部門行政正職任委員的安全生產(chǎn)委員會(huì)。公司安委會(huì)的常設(shè)機(jī)構(gòu)為安全環(huán)保部，每月定時(shí)召開(kāi)公司安委會(huì)會(huì)議，每季度定時(shí)召開(kāi)季度安委會(huì)，對(duì)各實(shí)業(yè)部安全管理進(jìn)行點(diǎn)評(píng)，鼓勵(lì)各實(shí)業(yè)部自主開(kāi)展安全管理活動(dòng)。

公司的安全專業(yè)管理組織機(jī)構(gòu)是由公司安全生產(chǎn)委員會(huì)、公司安全環(huán)保部、各專業(yè)管理部室、各分廠安委會(huì)、安全辦公室、工段、班組兼職安全員組成的公司安全管理系統(tǒng)。安全環(huán)保部是公司安全業(yè)務(wù)主管部門，現(xiàn)有人員12人，公司安全管理人員崗位設(shè)置按員工人數(shù)控制，共配備專職安全管理人員38人。工段班組設(shè)置兼職安全員，由副段長(zhǎng)及班組長(zhǎng)擔(dān)任， 佩戴“紅袖標(biāo)”，負(fù)責(zé)工段班組安全監(jiān)督。形成了橫向到邊、縱向到底的安全責(zé)任組織架構(gòu)。

2、安全責(zé)任制體系

公司形成了明確的部門和各類人員的安全生產(chǎn)責(zé)任制體系，通過(guò)公司安全管理責(zé)任體系建設(shè)，理清新興鑄管新疆有限公司各部門、各層級(jí)所擔(dān)負(fù)的安全管理責(zé)任，以及各負(fù)有安全管理職責(zé)的部門在安全管理過(guò)程中的關(guān)系，從而實(shí)現(xiàn)安全責(zé)任落實(shí)到生產(chǎn)一線，使安全責(zé)任銘記于每個(gè)員工心中，真正做到以人為本、安全發(fā)展。

（三）安全管理流程體系

安全管理流程體系圍繞實(shí)現(xiàn)新興鑄管新疆有限公司安全管理目標(biāo)并能持續(xù)改進(jìn)安全管理水平，按照PDCA模式進(jìn)行，即策劃(P)、實(shí)施(D)、檢查(C)、改進(jìn)(A)。

1、策劃

策劃的內(nèi)容包括：目標(biāo)和指標(biāo)、管理方案、危險(xiǎn)源的識(shí)別與評(píng)價(jià)、適用的法律法規(guī)的識(shí)別與其他要求。

2、實(shí)施與運(yùn)行

包括：確定適應(yīng)的組織結(jié)構(gòu)與職責(zé)，強(qiáng)化員工安全意識(shí)與能力，暢通協(xié)商與溝通渠道，實(shí)施安全體系運(yùn)行與控制，完善應(yīng)急準(zhǔn)備和響應(yīng)制度。

3、檢查與糾正措施

(1)監(jiān)視與測(cè)量，對(duì)職業(yè)健康安全管理體系運(yùn)行過(guò)程中的關(guān)鍵特性進(jìn)行監(jiān)測(cè)、監(jiān)控和監(jiān)督;對(duì)不符合項(xiàng)、事件、事故建立并采取糾正和預(yù)防措施。

(2)記錄和記錄管理，對(duì)體系運(yùn)行保持必要的記錄，并對(duì)記錄實(shí)施管理。

4、改進(jìn)

(1)持續(xù)改進(jìn)，在日常改進(jìn)活動(dòng)中，通過(guò)糾正和預(yù)防措施的不斷改進(jìn)，消除潛在不合格因素。

(2)糾正措施，針對(duì)發(fā)現(xiàn)的不合格，采取糾正措施，消除不合格因素。

(3)預(yù)防措施，采取預(yù)防措施，預(yù)防可能出現(xiàn)的不符合項(xiàng)。

(四)安全文化體系

企業(yè)安全文化是指企業(yè)物質(zhì)財(cái)富和精神財(cái)富的綜合，它包括具有企業(yè)特色的安全思想和意識(shí)、安全作風(fēng)和態(tài)度、安全管理機(jī)制與行為規(guī)范；企業(yè)安全生產(chǎn)的奮斗目標(biāo)和進(jìn)取精神；為保護(hù)職工身心安全與健康而創(chuàng)造的安全生產(chǎn)、生活環(huán)境和條件；企業(yè)的價(jià)值觀、安全的審美觀、安全的心理素質(zhì)和企業(yè)的安全風(fēng)貌等[4]。新興鑄管新疆有限公司安全文化的建設(shè)通過(guò)如下四種方式來(lái)進(jìn)行：

1、管理層及決策者的安全文化建設(shè)

2、員工的安全文化建設(shè)

3、生產(chǎn)現(xiàn)場(chǎng)的安全文化建設(shè)

4、施工現(xiàn)場(chǎng)的安全文化建設(shè)

5、打造企業(yè)本質(zhì)安全化的安全文化建設(shè)

企業(yè)安全文化建設(shè)是一個(gè)系統(tǒng)工程，它包含系統(tǒng)內(nèi)文化即公司文化(施工現(xiàn)場(chǎng)、辦公園區(qū))、系統(tǒng)外文化即社會(huì)環(huán)境文化(家庭、朋友)，兩者互為基礎(chǔ)、相互補(bǔ)充完善，缺一不可。作為安全文化建設(shè)的一個(gè)重要組成部分，公司在各生產(chǎn)區(qū)域及崗位完善了安全警示牌及全家福照片和家人寄語(yǔ)，充分體現(xiàn)人文關(guān)懷，凸顯了以人為本的管理思路。

企業(yè)安全文化建設(shè)是一項(xiàng)系統(tǒng)工程，通過(guò)黨政工團(tuán)齊抓共管，目前已形成互相協(xié)作、配合默契的運(yùn)作機(jī)制，共同推進(jìn)企業(yè)安全文化建設(shè)。同時(shí)筆者認(rèn)為企業(yè)還應(yīng)不斷的吸收優(yōu)秀的安全文化，與時(shí)俱進(jìn)，不斷發(fā)展具有自身特色的企業(yè)安全文化，才能在新的競(jìng)爭(zhēng)形勢(shì)下走健康、可持續(xù)的發(fā)展道路。目前公司已完成安全文化手冊(cè)的編制及審核發(fā)放，保證了安全文化的有效創(chuàng)建。

三、實(shí)例應(yīng)用

（一）程簡(jiǎn)介

2013年5月25日至6月8日，按照公司安排，全面進(jìn)入年度大修。此次檢修涉及人員較多，現(xiàn)場(chǎng)交叉作業(yè)、吊裝作業(yè)、焊接作業(yè)及噴涂作業(yè)較多，交錯(cuò)進(jìn)行，環(huán)環(huán)相扣，因此搞好此次檢修工作，任務(wù)異常艱巨。

（二）安全管理體系的應(yīng)用

新興鑄管新疆有限公司安全管理體系實(shí)施的核心，是實(shí)現(xiàn)項(xiàng)目安全目標(biāo)并持續(xù)改進(jìn)安全管理水平，按照策劃(P)、實(shí)施(D)、檢查(C)、改進(jìn)(A)的過(guò)程模式運(yùn)行。

1、建立檢修安全管理責(zé)任體系

為確保項(xiàng)目安全生產(chǎn)目標(biāo)的實(shí)現(xiàn)，公司首先與檢修單位（煉鐵部）簽訂安全責(zé)任狀，檢修單位與各施工單位簽訂安全管理協(xié)議，明確雙方的職責(zé)和權(quán)限，協(xié)議明確施工單位應(yīng)當(dāng)服從公司的安全生產(chǎn)管理，施工單位不服從管理導(dǎo)致安全生產(chǎn)事故的，由施工單位承擔(dān)主要責(zé)任。同時(shí)建立安全工作管理機(jī)構(gòu)，各實(shí)業(yè)部及施工單位別設(shè)置安全責(zé)任人、安全主管、安全員三級(jí)安全管理人員，安全管理人員均佩戴紅袖標(biāo)，如下圖所示。

高爐大修工程項(xiàng)目安全管理組織機(jī)構(gòu)圖

“紅袖標(biāo)”人員職責(zé)：

（1）當(dāng)班時(shí)間，負(fù)責(zé)本班或自己身邊的安全、現(xiàn)場(chǎng)、環(huán)保管理工作；

（2）負(fù)責(zé)本班全體人員的標(biāo)準(zhǔn)化作業(yè)規(guī)范，如有違章，自己負(fù)有監(jiān)管不力的責(zé)任；

（ 3）在煉鐵部管轄區(qū)域范圍內(nèi)，煉鐵部任何佩戴“紅袖標(biāo)”人員，對(duì)自己眼前出現(xiàn)的“三違”行為、安全隱患以及損害煉鐵部榮譽(yù)和利益的事件有責(zé)任進(jìn)行制止和處理。

（4）凡是有“紅袖標(biāo)”在現(xiàn)場(chǎng)的“三違”行為，除當(dāng)事人受罰外，“紅袖標(biāo)”有連帶責(zé)任，按照《考評(píng)標(biāo)準(zhǔn)》進(jìn)行考核。

2、建立管理流程及績(jī)效管理

安全管理的目標(biāo)是項(xiàng)目安全體系的主要目的，計(jì)劃、實(shí)施、檢查、改進(jìn)是監(jiān)控整個(gè)體系的運(yùn)行、保證其有效性的有力措施，

為了達(dá)到安全管理目標(biāo)，必須對(duì)檢修現(xiàn)場(chǎng)大力開(kāi)展安全生產(chǎn)檢查。安全生產(chǎn)檢查是持續(xù)改進(jìn)的前提，檢查可以發(fā)現(xiàn)檢修中的不安全(人的不安全行為、物的不安全狀態(tài)、環(huán)境的不安全因素)，提高安全生產(chǎn)的自覺(jué)性和責(zé)任感;同時(shí)可以互相學(xué)習(xí)、總結(jié)經(jīng)驗(yàn)、吸取教訓(xùn)、糾正錯(cuò)誤、持續(xù)改進(jìn)，有利于進(jìn)一步促進(jìn)項(xiàng)目安全生產(chǎn)。因此安全環(huán)保部定期對(duì)安全管理情況進(jìn)行監(jiān)控，如安全生產(chǎn)所需資金是否落實(shí)、安全管理人員是否到位、安全防護(hù)措施是否有效、隱患整改是否有效落實(shí)，如果發(fā)現(xiàn)實(shí)業(yè)部未按照相關(guān)要求按時(shí)完成，則與其進(jìn)行原因分析，采取相應(yīng)的措施，共同打造一個(gè)和諧平安的工作氛圍。

作為檢修主體單位，煉鐵實(shí)業(yè)部從檢修前的準(zhǔn)備、檢修中的監(jiān)督、檢查和監(jiān)護(hù)及檢修后試車安全三個(gè)方面進(jìn)行了安全把控，確保了年檢期間未發(fā)生任何事故。

3、檢修現(xiàn)場(chǎng)的安全文化建設(shè)

運(yùn)用傳統(tǒng)的安全文化建設(shè)手段：安全標(biāo)語(yǔ)、安全標(biāo)志(禁止標(biāo)志、警告標(biāo)志、指令標(biāo)志)等。

推行現(xiàn)代的安全文化建設(shè)手段：技術(shù)及工藝的本質(zhì)安全化;現(xiàn)場(chǎng)達(dá)標(biāo)建設(shè)(推行安全質(zhì)量標(biāo)準(zhǔn)化工地);三點(diǎn)控制(事故多發(fā)點(diǎn)、危險(xiǎn)點(diǎn)、危害點(diǎn))等。

本次檢修通過(guò)運(yùn)用傳統(tǒng)與現(xiàn)代方法相結(jié)合，把檢修對(duì)員工的安全生產(chǎn)要求和制度規(guī)定變成員工的自覺(jué)行為，實(shí)現(xiàn)了員工的本質(zhì)安全。使他們安全意識(shí)增強(qiáng)，掌握安全技能和專業(yè)崗位知識(shí)，能夠自覺(jué)遵守制度、創(chuàng)造安全作業(yè)環(huán)境、正確操作設(shè)備，從而消除安全生產(chǎn)事故、事件的發(fā)生。

（三）實(shí)施效果

針對(duì)此次年檢任務(wù)，從項(xiàng)目審定、檢修步驟制定、安全措施制定，到項(xiàng)目責(zé)任劃分，進(jìn)行了多次討論和審核，在年檢期間，從實(shí)施目標(biāo)管理、建立項(xiàng)目安全管理組織機(jī)構(gòu)、危險(xiǎn)源識(shí)別及風(fēng)險(xiǎn)評(píng)價(jià)計(jì)劃、簽訂安全管理協(xié)議、制定安全文明施工管理制度、檢修單位管理、安全物資管理、安全教育培訓(xùn)、事故預(yù)防和安全檢查糾正十個(gè)方面按照新興鑄管新疆有限公司安全管理體系進(jìn)行了實(shí)施，全力確保安全管理目標(biāo)的實(shí)現(xiàn)，沒(méi)有發(fā)生安全生產(chǎn)事故。

四、結(jié)語(yǔ)

本文通過(guò)分析新興鑄管新疆有限公司安全管理的現(xiàn)狀和存在的問(wèn)題，系統(tǒng)地研究了如何創(chuàng)建新興鑄管新疆有限公司安全管理體系，最后以年度檢修實(shí)例檢驗(yàn)了所創(chuàng)建的安全管理體系的有效性。

企業(yè)安全管理體系的系統(tǒng)化、程序化和文件化可以有效控制事故的發(fā)生，提高企業(yè)安全生產(chǎn)管理水平、管理效益及市場(chǎng)競(jìng)爭(zhēng)力。同時(shí)安全管理體系的建設(shè)是一個(gè)持續(xù)的過(guò)程，它可以減少重復(fù)評(píng)價(jià)的社會(huì)成本，是提升安全管理水平的有效工具，隨著企業(yè)生產(chǎn)技術(shù)和業(yè)務(wù)范圍的發(fā)展，安全管理體系也應(yīng)該保持持續(xù)改進(jìn)，這是管理體系建設(shè)的重點(diǎn)，也是保證體系持續(xù)有效的基礎(chǔ)。

參考文獻(xiàn)：

[1]周長(zhǎng)江.論國(guó)有大中型企業(yè)的安全管理[J].中國(guó)安全科學(xué)學(xué)報(bào).2003.2.

[2]新興鑄管新疆有限公司.XJXP/EHS-2012《環(huán)境與職業(yè)健康安全管理手冊(cè)》.

篇2

關(guān)鍵詞：信息化；信息安全；安全管理

1企業(yè)信息安全現(xiàn)狀

近幾年，隨著行業(yè)信息化建設(shè)逐步深入，伴隨著OA辦公自動(dòng)化、ERP、卷煙生產(chǎn)經(jīng)營(yíng)決策管理和MES生產(chǎn)制造執(zhí)行等系統(tǒng)相繼投入使用，與生產(chǎn)經(jīng)營(yíng)息息相關(guān)的關(guān)鍵業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度越來(lái)越高，企業(yè)也逐步認(rèn)識(shí)到信息安全的重要性，企業(yè)員工的安全意識(shí)也都得到逐步提高。行業(yè)也相繼出臺(tái)了煙草行業(yè)信息安全保障體系建設(shè)指南和各類信息安全制度，并通過(guò)這幾年信息安全檢查工作，促進(jìn)企業(yè)的信息安全水平得到了進(jìn)一步提高。由于企業(yè)信息安全意識(shí)不斷提高，企業(yè)不斷加大信息安全方面的投入，如建立標(biāo)準(zhǔn)化的機(jī)房、購(gòu)買與部署各類信息安全軟件和設(shè)備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網(wǎng)絡(luò)等也隨著計(jì)算機(jī)技術(shù)的發(fā)展不斷更新，攻擊手段也越發(fā)隱蔽和多樣化。企業(yè)不僅要應(yīng)對(duì)外部的攻擊，也要應(yīng)對(duì)來(lái)自于企業(yè)內(nèi)部的信息安全威脅，安全形勢(shì)不容樂(lè)觀。企業(yè)的信息安全已不僅僅是技術(shù)問(wèn)題，還需要借助管理手段來(lái)保障。企業(yè)如果不能正確樹(shù)立信息風(fēng)險(xiǎn)導(dǎo)向意識(shí)，一味注重“技術(shù)”的作用，忽略“管理”的重要性，就很難發(fā)揮信息安全技術(shù)的作用，無(wú)法把企業(yè)的各項(xiàng)信息安全措施落到實(shí)處，企業(yè)的信息安全也就無(wú)從談起。只有切實(shí)發(fā)揮管理作用，企業(yè)的信息安全才能得到有效保障。

2企業(yè)信息安全體系架構(gòu)

在談到信息安全時(shí)，大多數(shù)剛接觸的人都比較疑惑，都說(shuō)保障信息安全十分重要，那到底什么是信息安全呢？下面就簡(jiǎn)單介紹一下信息安全的概念以及企業(yè)的信息安全體系架構(gòu)。2.1信息。對(duì)企業(yè)來(lái)說(shuō)，信息是一種無(wú)形資產(chǎn)，具有一定商業(yè)價(jià)值，以電子、影像、話語(yǔ)等多種形式存在，必須進(jìn)行保護(hù)。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識(shí)與控制，避免造成不良影響或者資產(chǎn)損失。2.3企業(yè)信息安全體系架構(gòu)。在保障企業(yè)信息安全過(guò)程中，信息安全技術(shù)是保障信息安全的重要手段。通過(guò)上文對(duì)企業(yè)信息安全現(xiàn)狀的分析，不難看出企業(yè)信息安全體系主要分為技術(shù)、管理兩個(gè)重要體系，進(jìn)一步細(xì)分則涉及安全運(yùn)維方面。2.3.1信息安全技術(shù)體系作用。主要是指通過(guò)部署信息安全產(chǎn)品，合理制定安全策略，實(shí)現(xiàn)防止信息泄露、被篡改、被損壞等安全目標(biāo)。信息安全產(chǎn)品主要是指實(shí)現(xiàn)信息安全的工具平臺(tái)，如防火墻類產(chǎn)品、防攻擊類產(chǎn)品、殺毒軟件類產(chǎn)品和密碼類產(chǎn)品等，而信息安全技術(shù)則是指實(shí)現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)。2.3.2信息安全管理體系作用。完善信息安全組織機(jī)構(gòu)、制度，細(xì)化職責(zé)分工，制定執(zhí)行標(biāo)準(zhǔn)，確保日常管理、檢查等制度有效執(zhí)行，最大程度發(fā)揮信息安全技術(shù)體系作用，確保信息安全相關(guān)保護(hù)措施有效執(zhí)行。通過(guò)上文簡(jiǎn)單介紹，對(duì)信息安全以及信息安全系統(tǒng)有了大概了解。可以看出單純借助技術(shù)或管理無(wú)法保障企業(yè)信息安全，因此，建立企業(yè)信息安全管理體系的重要性也就不言而喻。

3信息安全管理體系概念

3.1信息安全管理。運(yùn)用技術(shù)、管理手段，做好信息安全工作整體規(guī)劃、組織、協(xié)調(diào)與控制，確保實(shí)現(xiàn)信息安全目標(biāo)。3.2管理體系。體系是指相互關(guān)聯(lián)和相互作用的一組要素，而管理體系則是建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系。3.3信息安全管理體系（ISMS）。在一定組織范圍內(nèi)建立、完成信息安全方針和目標(biāo)，采取或運(yùn)用方法的體系。作為管理活動(dòng)最終結(jié)果，包含方針、原則、目標(biāo)、方法、過(guò)程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業(yè)總管理體系的一個(gè)子體系，目的是建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機(jī)構(gòu)。明確職責(zé)分工，確保信息安全工作組織與落實(shí)。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過(guò)程、程序和其他必需的文件等。3.5.3資源。提供體系運(yùn)轉(zhuǎn)所需的資金、設(shè)備與人員等。

4信息安全管理體系機(jī)構(gòu)設(shè)置以及作用

在建立企業(yè)的信息安全管理體系之前，如果沒(méi)有設(shè)置相應(yīng)的信息安全組織機(jī)構(gòu)，那么建立體系所需要的資源（資金、人員等）就無(wú)法得到保障，企業(yè)的信息安全制度和策略也就無(wú)法貫徹落實(shí)，企業(yè)的信息安全管理體系就形同虛設(shè)起不到任何作用。因此，企業(yè)在建立信息安全管理體系前必須建立健全信息安全組織機(jī)構(gòu)，機(jī)構(gòu)設(shè)置可以根據(jù)職責(zé)分為三個(gè)層次。4.1信息安全決策機(jī)構(gòu)。信息安全決策機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第一個(gè)層次，是本單位信息安全工作的最高管理機(jī)構(gòu)。應(yīng)以單位主要領(lǐng)導(dǎo)負(fù)責(zé)，對(duì)信息安全規(guī)劃、信息安全策略和信息安全建設(shè)方案等進(jìn)行審批，并為企業(yè)信息安全工作提供各類必要資源。4.2管理機(jī)構(gòu)。處于安全組織機(jī)構(gòu)的第二個(gè)層次，在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下，主要負(fù)責(zé)企業(yè)日常信息安全的管理、監(jiān)督以及安全教育與培訓(xùn)等工作，此類工作大部分都由企業(yè)的信息化部門承擔(dān)。4.3執(zhí)行機(jī)構(gòu)。處于信息安全組織機(jī)構(gòu)的第三個(gè)層次，在管理機(jī)構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)保證信息安全技術(shù)體系的有效運(yùn)行及日常維護(hù)，通過(guò)具體技術(shù)手段落實(shí)安全策略，消除安全風(fēng)險(xiǎn)，以及發(fā)生安全事件后的具體響應(yīng)和處理，執(zhí)行機(jī)構(gòu)人員可以由信息中心技術(shù)人員與各部門專職或兼職信息安全員組成。

5信息安全管理體系的建立

ISO/IEC27001:2005標(biāo)準(zhǔn)的“建立ISMS”章節(jié)中，已明確了信息安全管理體系建立的10項(xiàng)強(qiáng)制性要求和步驟。企業(yè)應(yīng)結(jié)合自身實(shí)際情況，遵照這些內(nèi)容和步驟，建立自己的信息安全管理體系，并形成相應(yīng)的體系文件。5.1建立的步驟。（1）結(jié)合企業(yè)實(shí)際，明確體系邊界與范圍，并編制體系范圍文件。（2）明確體系策略，構(gòu)建目標(biāo)框架、風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則等，形成方針文件。（3）確定風(fēng)險(xiǎn)評(píng)估方法。（4）識(shí)別信息安全風(fēng)險(xiǎn)，主要包括信息安全資產(chǎn)、責(zé)任、威脅以及造成的后果等。（5）進(jìn)行安全風(fēng)險(xiǎn)分析評(píng)價(jià)，編制評(píng)估報(bào)告，確定信息安全資產(chǎn)保護(hù)清單。（6）明確安全保護(hù)措施，編制風(fēng)險(xiǎn)處理計(jì)劃。（7）制定工作目標(biāo)、措施。（8）管理者審核、批準(zhǔn)所有殘余風(fēng)險(xiǎn)。（9）經(jīng)管理層授權(quán)實(shí)施和運(yùn)行安全體系。（10）準(zhǔn)備適用性聲明。以上步驟解釋不詳盡之處，參看ISO/IEC27001:20054.2.1章節(jié)中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素，必須與ISO/IEC27001:2005標(biāo)準(zhǔn)保持一致，同時(shí)也要結(jié)合企業(yè)實(shí)際，確保員工遵照要求嚴(yán)格執(zhí)行。而且也要符合企業(yè)的實(shí)際情況和信息安全需要。在實(shí)際工作中，企業(yè)員工應(yīng)按照文件要求嚴(yán)格執(zhí)行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針，涵蓋硬件、網(wǎng)絡(luò)、軟件、訪問(wèn)控制等；程序類主要是指“過(guò)程文件”，涉及輸入、處理與輸出三個(gè)環(huán)節(jié)，結(jié)果常以“記錄”形式出現(xiàn)；記錄類主要是記錄程序文件結(jié)果，常以是表格形式出現(xiàn)。至于適用性聲明文件，企業(yè)應(yīng)結(jié)合自身情況，參照ISO/IEC27001:2005標(biāo)準(zhǔn)的附錄A，有選擇性地作出聲明，并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風(fēng)險(xiǎn)評(píng)估、處理、文件控制、記錄控制、內(nèi)部審核、糾正與預(yù)防、控制措施有效性測(cè)量、管理評(píng)審與適用性聲明等。5.2.3任意性文件。企業(yè)可以針對(duì)自身業(yè)務(wù)、管理與信息系統(tǒng)等情況，制定自己獨(dú)有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關(guān)法律法規(guī)、ISO/IEC27001:2005標(biāo)準(zhǔn)以及企業(yè)實(shí)際要求，保證與企業(yè)其他體系文件協(xié)調(diào)一致，避免沖突，同時(shí)在文字描述準(zhǔn)確且無(wú)二義。

6體系實(shí)施與運(yùn)行

主要包括策略控制措施、過(guò)程和程序，涉及制定和實(shí)施風(fēng)險(xiǎn)處理計(jì)劃、選擇控制措施與驗(yàn)證有效性、安全教育培訓(xùn)、運(yùn)行管理、資源管理以及安全事件應(yīng)急處理等。

7體系的監(jiān)視與評(píng)審

主要指對(duì)照策略、目標(biāo)與實(shí)際運(yùn)行情況，監(jiān)控與評(píng)審運(yùn)行狀態(tài)，主要涉及有效性評(píng)審、控制措施測(cè)試驗(yàn)證、風(fēng)險(xiǎn)評(píng)估、內(nèi)部審核、管理評(píng)審等環(huán)節(jié)，并根據(jù)評(píng)審結(jié)果編制與完善安全計(jì)劃。

8體系的保持和改進(jìn)

主要是依據(jù)監(jiān)視與評(píng)審結(jié)果，有針對(duì)性地持續(xù)改進(jìn)。主要包括改進(jìn)措施、制定完善措施、整改總結(jié)等，同時(shí)需相關(guān)方進(jìn)行溝通，確保達(dá)到預(yù)計(jì)改進(jìn)標(biāo)準(zhǔn)。

9結(jié)語(yǔ)

篇3

長(zhǎng)期以來(lái)，中國(guó)大多數(shù)企業(yè)的信息安全建設(shè)遵循“木桶理論”，但實(shí)踐證明，在企業(yè)信息安全領(lǐng)域應(yīng)用木桶理論仍存在一定缺陷，很難實(shí)現(xiàn)“標(biāo)本兼治”。企業(yè)信息安全應(yīng)從安全策略、安全管理體系、安全技術(shù)體系和安全運(yùn)維體系四個(gè)方面建設(shè)一個(gè)完善的信息安全體系對(duì)企業(yè)的信息資源提供全方位的安全防護(hù)。整個(gè)安全體系以安全策略為核心，管理、技術(shù)、運(yùn)維三者有機(jī)結(jié)合，又相互支撐。三者之間的關(guān)系為“根據(jù)管理體系中的策略，由相關(guān)組織或人員，利用技術(shù)體系作為工具和手段，進(jìn)行操作來(lái)維持運(yùn)行體系”。在建立信息安全體系的過(guò)程中，可采用ISO27001：2005所述的“過(guò)程方法”，即將“規(guī)劃（Plan）－實(shí)施（Do）－檢查（Check）－處置（Act）”（PDCA）四個(gè)步驟。

2安全策略

信息安全策略研究就是依據(jù)國(guó)家信息安全的方針政策、法律法規(guī)和工作要求，結(jié)合企業(yè)實(shí)際情況和管理要求，制訂企業(yè)信息安全防護(hù)的建設(shè)方針和基本要求，對(duì)信息安全管理體系、技術(shù)體系和運(yùn)維體系中的各種安全控制措施和機(jī)制的部署提出目標(biāo)和原則，是信息化“建、管、用”各項(xiàng)工作和各個(gè)環(huán)節(jié)必須遵守的安全規(guī)則，也是針對(duì)每個(gè)系統(tǒng)和設(shè)備制訂分項(xiàng)安全策略的依據(jù)。

3安全管理

信息安全管理可參照信息安全管理模型，按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)ISO17799標(biāo)準(zhǔn)建立組織完整的安全管理體系并實(shí)施與保持，達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式。管理體系架構(gòu)可分為四層，最高層為企業(yè)信息安全總體策略，為下面的各項(xiàng)分策略和具體的規(guī)章制度提供指導(dǎo)。第二層為企業(yè)信息安全組織體系，作用在于指導(dǎo)實(shí)施安全體系，制定安全的相關(guān)標(biāo)準(zhǔn)和方針，監(jiān)管安全事件等。組織體系須設(shè)立專門的管理機(jī)構(gòu)，配備相應(yīng)的安全管理人員，明確主管領(lǐng)導(dǎo)，落實(shí)部門責(zé)任，各盡其職。第三層為根據(jù)總策略，對(duì)信息安全涉及的各方面制定有針對(duì)性的分項(xiàng)策略，為安全的具體實(shí)施提供管理和技術(shù)上的指導(dǎo)。第四層為具體的安全管理制度。

4安全技術(shù)

篇4

【關(guān)鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系（ISMS）

近年來(lái)，“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實(shí)名認(rèn)證信息漏洞”、“京東12G用戶數(shù)據(jù)泄露”、“700元買他人隱私信息”等信息安全事件層出不窮，引起各國(guó)領(lǐng)導(dǎo)的重視和社會(huì)關(guān)注。為提高網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)治理，2014年，我國(guó)成立了以主席為最高領(lǐng)導(dǎo)的信息安全管理機(jī)構(gòu)-中央網(wǎng)信辦；2016年11月，在中國(guó)烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網(wǎng)大會(huì)》。通過(guò)一系列的行為，為求現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)能夠提高安全能力，為廣大社會(huì)群眾提供服務(wù)的同時(shí)，能夠保證人民的利益。

信息系統(tǒng)是由硬件、軟件、信息、規(guī)章制度等組成，主要以處理信息流為主，信息系統(tǒng)的網(wǎng)絡(luò)安全備受關(guān)注。企業(yè)在應(yīng)對(duì)外部攻擊，安全風(fēng)險(xiǎn)的同時(shí)，當(dāng)務(wù)之急是建立一套完整的信息安全管理體系。在統(tǒng)一的體系管控下，分布實(shí)施，開(kāi)展各項(xiàng)安全工作。

目前，大多數(shù)企業(yè)的信息安全工作比較單一，主要是部署安全防護(hù)設(shè)備，進(jìn)行簡(jiǎn)單的配置。信息安全工作不全面，安全管理相對(duì)薄弱，不足以抵抗來(lái)自外部的威脅。

1 信息安全問(wèn)題

1.1 身份鑒別不嚴(yán)格

考慮到方便記憶和頻繁的登錄操作，企業(yè)普遍存在管理員賬號(hào)簡(jiǎn)單或者直接采用系統(tǒng)的默認(rèn)賬號(hào)現(xiàn)象，并且基本不設(shè)定管理員的權(quán)限，默認(rèn)使用最大權(quán)限。一旦攻擊者通過(guò)猜測(cè)或其他手段獲得管理員賬號(hào)，攻擊者如入無(wú)人之境，可以任意妄為。最終可造成數(shù)據(jù)泄露，系統(tǒng)癱瘓等不可估量的嚴(yán)重后果。注重信息安全的企業(yè)會(huì)修改默認(rèn)管理員賬號(hào)，設(shè)定較為復(fù)雜的口令，并定期進(jìn)行口令更換。但是也僅僅使用一種身份鑒別技術(shù)，不足以抵抗外部攻擊。

1.2 外部攻擊，層出不窮

隨著計(jì)算機(jī)技術(shù)的發(fā)展，信息系統(tǒng)的外部攻簦層出不窮。攻擊者利用網(wǎng)絡(luò)系統(tǒng)的漏洞和缺陷，攻擊系統(tǒng)軟件、硬件和數(shù)據(jù)，進(jìn)行非法操作，造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術(shù)、郵件

攻擊、拒絕服務(wù)攻擊、口令攻擊、惡意程序等等；入侵常用的步驟包括采用漏洞掃描工具進(jìn)行掃描、選擇合適的方式入侵、獲取系統(tǒng)的一定權(quán)限、提升為系統(tǒng)最高權(quán)限、安裝系統(tǒng)后門、獲取敏感信息或者其他攻擊目的。攻擊者會(huì)根據(jù)系統(tǒng)特性和網(wǎng)絡(luò)結(jié)構(gòu)采取不同的手段對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，如果不采取相應(yīng)的防御手段，很容易被黑客攻擊，造成損失。

1.3 員工安全意識(shí)薄弱

很多互聯(lián)網(wǎng)企業(yè)的員工缺乏信息安全意識(shí)，存在離開(kāi)辦公電腦時(shí)不鎖屏現(xiàn)象；將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時(shí)取走打印機(jī)房?jī)?nèi)的材料；優(yōu)盤未經(jīng)殺毒直接連接公司電腦；隨意點(diǎn)擊不明郵件的鏈接；更有員工將系統(tǒng)賬號(hào)、密碼粘貼在辦公桌上；在系統(tǒng)建設(shè)階段，大到管理者，小到開(kāi)發(fā)人員、測(cè)試人員，均注重技術(shù)實(shí)現(xiàn)和業(yè)務(wù)要求，而忽略了系統(tǒng)的安全和管理。由于員工的信息安全意識(shí)較為薄弱，很容易造成公司信息泄露，進(jìn)而導(dǎo)致公司的損失。

1.4 內(nèi)部管理制度不完善

俗話說(shuō)，“不以規(guī)矩，不能成方圓”。未形成全面的信息安全管理制度體系，缺失部分安全策略、管理制度、操作規(guī)程，可能導(dǎo)致信息安全管理制度體系存在疏漏，部分管理內(nèi)容無(wú)法有效實(shí)施。使相關(guān)工作過(guò)程缺乏規(guī)范依據(jù)和質(zhì)量保障，進(jìn)而影響到信息系統(tǒng)的安全建設(shè)和安全運(yùn)維。比如在軟件開(kāi)發(fā)過(guò)程中，開(kāi)發(fā)人員會(huì)因?yàn)楦鞣N原因而忽略安全開(kāi)發(fā)（存在開(kāi)發(fā)人員沒(méi)有意識(shí)到代碼安全開(kāi)發(fā)的問(wèn)題；有些開(kāi)發(fā)人員不愿意使用邊界檢查，怕影響系統(tǒng)的效率和性能；當(dāng)然也存在許多遺留代碼存在問(wèn)題的現(xiàn)象，從而導(dǎo)致二次開(kāi)發(fā)同樣產(chǎn)生問(wèn)題），可能導(dǎo)致系統(tǒng)存在后門，被黑客攻擊。

2 防范措施

企業(yè)需依據(jù)《信息安全等級(jí)保護(hù)管理辦法（公通字[2007]43號(hào)）》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》》、《ISO/IEC 27001》等標(biāo)準(zhǔn)和法律法規(guī)進(jìn)行信息系統(tǒng)安全建設(shè)工作。測(cè)評(píng)機(jī)構(gòu)在網(wǎng)安的要求下，對(duì)企業(yè)信息系統(tǒng)的安全進(jìn)行測(cè)評(píng)，并出具相應(yīng)測(cè)評(píng)結(jié)果。根據(jù)測(cè)評(píng)結(jié)果和整改建議，采用相應(yīng)的技術(shù)手段（安全認(rèn)證、入侵檢測(cè)、漏洞掃描、監(jiān)控管理、數(shù)據(jù)備份與加密等）和管理措施（安全團(tuán)隊(duì)、教育與培訓(xùn)、管理體系等）對(duì)信息系統(tǒng)進(jìn)行整改。如圖1所示。

2.1 技術(shù)手段

2.1.1 安全認(rèn)證

身份鑒別是指在計(jì)算機(jī)系統(tǒng)中確認(rèn)執(zhí)行者身份的過(guò)程，以確定該用戶是否具有訪問(wèn)某種資源的權(quán)限，防止非法用戶訪問(wèn)系統(tǒng)資源，保障合法用戶訪問(wèn)授權(quán)的信息系統(tǒng)。凡登錄系統(tǒng)的用戶，均需進(jìn)行身份鑒別和標(biāo)識(shí)，且標(biāo)識(shí)需具有唯一性。用戶身份鑒別機(jī)制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對(duì)不同鑒別機(jī)制，常用的鑒別技術(shù)（認(rèn)證技術(shù)）如表1所示。

不同的認(rèn)證技術(shù)，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級(jí)較高，但會(huì)遇到各種問(wèn)題，導(dǎo)致便捷性較差（比如存在軟硬件適配性問(wèn)題，移動(dòng)終端無(wú)USB口等）。一般認(rèn)為在相同的便捷性前提下，選擇安全等級(jí)較高的認(rèn)證技術(shù)。針對(duì)重要系統(tǒng)應(yīng)采用雙因子認(rèn)證技術(shù)。

2.1.2 入侵檢測(cè)

入侵檢測(cè)能夠依據(jù)安全策略，對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊行為，能夠?qū)崟r(shí)保護(hù)內(nèi)部攻擊、外部攻擊和誤操作的情況，保證信息系統(tǒng)網(wǎng)絡(luò)資源的安全。入侵檢測(cè)系統(tǒng)（IDS）是一個(gè)旁路監(jiān)聽(tīng)設(shè)備，需要部署在網(wǎng)絡(luò)內(nèi)部。如果信息系統(tǒng)中包含了多個(gè)邏輯隔離的子網(wǎng)，則需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署，從而掌控整個(gè)信息系統(tǒng)安全狀況。

2.1.3 漏洞掃描

漏洞掃描是指基于漏洞數(shù)據(jù)庫(kù)，通過(guò)掃描等手段對(duì)目標(biāo)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)行為。常見(jiàn)的漏洞掃描類型主要包括系統(tǒng)安全隱患掃描、應(yīng)用安全隱患掃描、數(shù)據(jù)庫(kù)安全配置隱患掃描等。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同，分為基于網(wǎng)絡(luò)的和基于主機(jī)的系統(tǒng)安全掃描，可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、安全配置隱患、弱口令、服務(wù)和端口等。應(yīng)用安全隱患掃描可以掃描出Web應(yīng)用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數(shù)據(jù)庫(kù)安全配置隱患掃描可以檢測(cè)出數(shù)據(jù)庫(kù)的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補(bǔ)丁未升級(jí)等自身漏洞。

漏洞掃描主要用于評(píng)估主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備操作系統(tǒng)、數(shù)據(jù)庫(kù)以及應(yīng)用平臺(tái)軟件的安全情況，它能有效避免黑客攻擊行為，做到防患于未然。

2.1.4 監(jiān)控管理

網(wǎng)絡(luò)監(jiān)控主要包括上網(wǎng)監(jiān)控和內(nèi)網(wǎng)監(jiān)控兩部分。目前市場(chǎng)上已做的完整監(jiān)控軟件已包含上述功能。網(wǎng)絡(luò)監(jiān)控需結(jié)合網(wǎng)絡(luò)拓?fù)洌诰W(wǎng)絡(luò)關(guān)鍵點(diǎn)接入監(jiān)控工具監(jiān)測(cè)當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流量，分析可疑信息流，通過(guò)截包解碼分析的方式驗(yàn)證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩＠鏢olarwinds網(wǎng)絡(luò)監(jiān)控平臺(tái)，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA） 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以執(zhí)行全面的帶寬性能監(jiān)控和故障管理；可以分析網(wǎng)絡(luò)流量；可以對(duì)服務(wù)器上運(yùn)行的服務(wù)和進(jìn)程進(jìn)行自動(dòng)監(jiān)控，并在故障發(fā)生時(shí)及時(shí)告警；可對(duì)VOIP的相關(guān)參數(shù)進(jìn)行監(jiān)控；可以通過(guò)直觀的網(wǎng)絡(luò)控制臺(tái)管理整個(gè)IP架構(gòu)；可快速檢測(cè)、診斷及解決虛擬化環(huán)境的網(wǎng)絡(luò)性能；強(qiáng)大的應(yīng)用程序監(jiān)視、告警、報(bào)告功能等。

2.1.5 數(shù)據(jù)備份與加密

企業(yè)高度重視業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)。數(shù)據(jù)在存儲(chǔ)時(shí)應(yīng)加密存儲(chǔ)，防止黑客攻擊系統(tǒng)，輕易獲得敏感數(shù)據(jù)，造成公司的重大經(jīng)濟(jì)損失。常用的加密算法包括對(duì)稱加密（DES、AES）和不對(duì)稱加密算法（RSA）。密碼技術(shù)不僅可以防止信息泄露，同時(shí)可以保證信息的完整性和不可抵賴性。例如現(xiàn)在比較成熟的哈希算法、數(shù)字簽名、數(shù)字證書(shū)等。

除了對(duì)數(shù)據(jù)進(jìn)行加密存儲(chǔ)外，由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機(jī)房著火等意外，需對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份。按照備份環(huán)境，備份分為本地備份和異地備份；按照備份數(shù)據(jù)量的多少，備份分為全備、增備、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務(wù)要求和實(shí)際情況，選取合適的備份方式進(jìn)行備份。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設(shè)計(jì)。

2.2 管理措施

2.2.1 安全團(tuán)隊(duì)

企業(yè)應(yīng)設(shè)立能夠統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的專業(yè)的安全管理團(tuán)隊(duì)負(fù)責(zé)信息安全工作，該團(tuán)隊(duì)包括信息安全委員會(huì)，信息安全部門及其成員。安全部門負(fù)責(zé)人除了具備極強(qiáng)的業(yè)務(wù)處理能力，還需要有管理能力、溝通能力、應(yīng)變能力。目前安全團(tuán)隊(duì)的從業(yè)人員數(shù)量在逐漸增加，話語(yǔ)權(quán)在增多，肩上的擔(dān)子也越來(lái)越大。安全團(tuán)隊(duì)需要定好自己的位，多檢查少運(yùn)維，多幫企業(yè)解決問(wèn)題。即安全團(tuán)隊(duì)修路，各部門在上面跑自己的需求。

2.2.2 教育c培訓(xùn)

保護(hù)企業(yè)信息安全，未雨綢繆比亡羊補(bǔ)牢要強(qiáng)。培養(yǎng)企業(yè)信息安全意識(shí)文化，樹(shù)立員工信息安全責(zé)任心，是解決企業(yè)信息安全的關(guān)鍵手段之一。企業(yè)的競(jìng)爭(zhēng)實(shí)際上是人才的競(jìng)爭(zhēng)，除了定期進(jìn)行技能培訓(xùn)外，還需對(duì)員工的安全意識(shí)進(jìn)行教育和培訓(xùn)。信息安全團(tuán)隊(duì)?wèi)?yīng)制定信息安全意識(shí)教育和培訓(xùn)計(jì)劃，包括但不限于在線、郵件、海報(bào)（標(biāo)語(yǔ)）、視頻、專場(chǎng)、外培等形式。通過(guò)對(duì)員工的安全意識(shí)教育，能從內(nèi)部預(yù)防企業(yè)安全事件的發(fā)生，提高企業(yè)的安全保障能力。

2.2.3 管理體系

隨著計(jì)算機(jī)攻擊技術(shù)的不斷提高，攻擊事件越來(lái)越多，且存在部分攻擊來(lái)自公司組織內(nèi)部。單靠個(gè)人的力量已無(wú)法保障信息系統(tǒng)的安全。因此，企業(yè)需建立自上而下的信息安全管理體系（ISMS， Information Security Management System），以達(dá)到分工明確，職責(zé)清晰，安全開(kāi)發(fā)，可靠運(yùn)維。安全管理制度作為安全管理體系的綱領(lǐng)性文件，在信息系統(tǒng)的整個(gè)生命周期中起著至關(guān)重要的作用。不同機(jī)構(gòu)在建立與完善信息安全管理體系時(shí)，可根據(jù)自身情況，采取不同的方法，一般經(jīng)過(guò)PDCA四個(gè)基本階段（Plan：策劃與準(zhǔn)備；Do文件的編制；Check運(yùn)行；Action審核、評(píng)審和持續(xù)改進(jìn)）。可依據(jù)ISO27000，信息安全等級(jí)保護(hù)等，從制度、安全機(jī)構(gòu)、人員、系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維5個(gè)方面去制定信息安全管理體系。通常，信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規(guī)程和記錄文檔組成，如圖2所示。

3 結(jié)語(yǔ)

國(guó)家不斷加強(qiáng)對(duì)各個(gè)互聯(lián)網(wǎng)企業(yè)、金融、銀行等的信息安全工作監(jiān)督，通過(guò)ISO27000、信息安全等級(jí)保護(hù)測(cè)評(píng)、電子銀行評(píng)估、互聯(lián)網(wǎng)網(wǎng)站專項(xiàng)安全測(cè)評(píng)等方式，規(guī)范企業(yè)的信息安全建設(shè)工作。同樣，信息安全工作長(zhǎng)期面臨挑戰(zhàn)，不能一蹴而就，需要相關(guān)安全工作人員戮力同心、同舟共濟(jì)、相互扶持、攜手共建信息安全的共同體。

參考文獻(xiàn)

[1]沈昌祥，張煥國(guó)，馮登國(guó)等.信息安全綜述[J].中國(guó)科學(xué)雜志社，2007（37）：129-150.

[2]李嘉，蔡立志，張春柳等.信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)實(shí)踐[M].哈爾濱工程大學(xué)出版社，2016（01）.

[3]蔣欣.計(jì)算機(jī)網(wǎng)絡(luò)戰(zhàn)防御技術(shù)分析[J].指揮控制與仿真，2006（08），28-4.

作者簡(jiǎn)介

康玉婷（1988-），女，上海市人。碩士學(xué)位。現(xiàn)為信息安全等級(jí)測(cè)評(píng)師、初級(jí)工程師。主要研究方向?yàn)樾畔踩?/p>

作者單位

篇5

在數(shù)據(jù)中心運(yùn)營(yíng)實(shí)踐中，誰(shuí)是最擔(dān)驚受怕之人?做過(guò)大型數(shù)據(jù)運(yùn)營(yíng)的人都知道這個(gè)問(wèn)題的答案：這個(gè)人就是數(shù)據(jù)中心總經(jīng)理。數(shù)據(jù)中心運(yùn)營(yíng)工作千頭萬(wàn)緒，一件小事可能會(huì)導(dǎo)致非常大的影響!

在過(guò)去的幾年中，IDC行業(yè)同時(shí)面臨巨大機(jī)遇和各種各樣的挑戰(zhàn)，從電信大重組到奧運(yùn)封網(wǎng)，從打擊有害信息到互聯(lián)網(wǎng)經(jīng)濟(jì)增長(zhǎng)放緩，行業(yè)內(nèi)外各種復(fù)雜因素的重疊將IDC行業(yè)推向前沿。當(dāng)前IDC行業(yè)的總體發(fā)展趨勢(shì)是安全、高效和綠色。

如何進(jìn)行ITSMS(IT服務(wù)管理體系)／ISMS(信息安全管理體系)／QMS(質(zhì)量管理體系)三體系整合對(duì)于IDC行業(yè)是非常重要的，直接關(guān)系其真競(jìng)爭(zhēng)力和發(fā)展前景。因此各數(shù)據(jù)中心對(duì)體系整合非常重視。

IDC行業(yè)廣泛關(guān)注的問(wèn)題

筆者根據(jù)中國(guó)IDC行業(yè)資訊大全(2009)的內(nèi)容整理了目前IDC行業(yè)中的一些廣泛關(guān)注的問(wèn)題。

1)用戶滿意度分析

根據(jù)中國(guó)IDC圈與賽迪顧問(wèn)的調(diào)研顯示，用戶對(duì)IDC服務(wù)不滿意的原因主要集中在經(jīng)常宕機(jī)、安全性差和資源無(wú)保障方面。

其中問(wèn)題分布為：安全性差22％，資源無(wú)保障18％，經(jīng)常宕機(jī)35％，服務(wù)水平差17％，價(jià)格昂貴6％，其他1％

2)用戶購(gòu)買優(yōu)先考慮因素

根據(jù)調(diào)研數(shù)據(jù)顯示，我國(guó)企業(yè)用戶在選擇數(shù)據(jù)中心時(shí)考慮優(yōu)先因素：52％的企業(yè)用戶認(rèn)為是可靠性；35％的企業(yè)用戶認(rèn)為是服務(wù)品質(zhì)；8％的企業(yè)用戶認(rèn)為是品牌知名度；5％的企業(yè)用戶認(rèn)為是資費(fèi)。

3)運(yùn)營(yíng)模式及成本比較分析

根據(jù)調(diào)研數(shù)據(jù)顯示，我國(guó)IDc公司的成本情況：27％的被調(diào)查IDC服務(wù)商認(rèn)為是人員成本；56％的被調(diào)查IDC服務(wù)商認(rèn)為是設(shè)備投入；14％的被調(diào)查IDC服務(wù)商認(rèn)為是維護(hù)成本；3％的被調(diào)查IDC服務(wù)商認(rèn)為是其他內(nèi)容。

IDC行業(yè)管理體系實(shí)施現(xiàn)狀及整合趨勢(shì)

一、關(guān)注內(nèi)容的橫向擴(kuò)展

1)IT服務(wù)管理近年來(lái)得到迅猛發(fā)展，其主要原因是它能切實(shí)指導(dǎo)企業(yè)通過(guò)規(guī)范的流程提高為客戶進(jìn)行IT服務(wù)的管理水平，提高客戶滿意度，增加營(yíng)業(yè)利潤(rùn)。

2)信息安全一直是各行業(yè)包括IDC關(guān)注的重點(diǎn)。隨著信息安全技術(shù)與管理手段的不斷發(fā)展和完善，企業(yè)在信息安全的保障基本上經(jīng)過(guò)了安全技術(shù)應(yīng)用一一以安全技術(shù)為主結(jié)合部分管理措施 全面的管理與技術(shù)相結(jié)合的信息安全管理體系三個(gè)階段。

信息安全管理體系特別是ISO／IE C 2700 1；2005得到企業(yè)組織的廣泛認(rèn)可與實(shí)施。目前亞洲是ISO／IEC 27001：2005發(fā)證最多的地區(qū)，日本、韓國(guó)和中國(guó)是發(fā)證較多的幾個(gè)國(guó)家，而且將來(lái)還有很大的發(fā)展空間(特別是中國(guó))。

3)“9.11”事件使得國(guó)內(nèi)IDC行業(yè)空前重視業(yè)務(wù)連續(xù)性的管理。“9.11”事件中，1200家企業(yè)受災(zāi)，400家企業(yè)啟動(dòng)了災(zāi)難恢復(fù)計(jì)劃，而無(wú)災(zāi)備能力的企業(yè)損失慘重。

據(jù)Gartner Group統(tǒng)計(jì)，在經(jīng)歷大型災(zāi)難事件而導(dǎo)致系統(tǒng)停運(yùn)的公司中，有2／5左右再也沒(méi)有恢復(fù)運(yùn)營(yíng)，剩下的公司中也有接近1／3在兩年內(nèi)破產(chǎn)。

4)QMS作為所有管理體系的基礎(chǔ)，它目前是最基本、最成熟管理體系，能夠在一定程度上指導(dǎo)企業(yè)提升基礎(chǔ)管理水平。

二、管理的縱深精細(xì)化

當(dāng)前IDC行業(yè)各企業(yè)都在向管理要效益。通過(guò)管理體系PDCA的不斷循環(huán)，使得企業(yè)的管理水平不斷提高、管理成本不斷降低、客戶滿意度不斷提高。

總體而言，各種IT相關(guān)管理體系與基礎(chǔ)管理體系(如IS09001等)的整合是當(dāng)前一段時(shí)間的發(fā)展趨勢(shì)，同時(shí)向管理要效益也是所有高層管理人員的心聲。

目前有多家IDC企業(yè)正在整合或已經(jīng)完成管理體系整合，主要難點(diǎn)是整體策劃、高效實(shí)施、符合文化、宣貫執(zhí)行。在整合過(guò)程中往往出現(xiàn)一些不良現(xiàn)象，需要進(jìn)行避免。

以某高等級(jí)數(shù)據(jù)中心為模型。IS020000-1是IT服務(wù)管理體系，主要通過(guò)相關(guān)流程來(lái)規(guī)范日常的運(yùn)行和操作，強(qiáng)調(diào)的是如何高效率地提供客戶滿意的服務(wù)。

IS027001是信息安全管理體系，主要是通過(guò)管理制度和技術(shù)手段來(lái)識(shí)別和控制信息安全風(fēng)險(xiǎn)，強(qiáng)調(diào)的是讓客戶放心。IS09001是質(zhì)量管理體系，基本上可以將IS020000-1看作是IT行業(yè)的質(zhì)量管理體系。

下面從以一個(gè)實(shí)際例子來(lái)分析在高等級(jí)數(shù)據(jù)中心內(nèi)部如何建設(shè)ISMS／ITSMS／QMS的整合體系。

1)總體建設(shè)思路

在建設(shè)整合管理體系時(shí)應(yīng)充分考慮以下內(nèi)容：

采用“計(jì)劃實(shí)施一檢查一改進(jìn)”(PDCA)方法將IS020000 1／IS027001／IS09001管理體系統(tǒng)一整合，并且根據(jù)實(shí)際運(yùn)行情況不斷的優(yōu)化和改進(jìn)。

管理體系必須以實(shí)際業(yè)務(wù)為出發(fā)點(diǎn)，結(jié)合組織企業(yè)文化來(lái)進(jìn)行IT治理。

既考慮符合管理體系的要求，又考慮數(shù)據(jù)總線的運(yùn)維特點(diǎn)；既考慮數(shù)據(jù)總線內(nèi)部的運(yùn)行管理，又考慮對(duì)不同客戶的運(yùn)行管理要求。

充分注重和宣傳“PDCA”、“風(fēng)險(xiǎn)管理”和“以客戶為關(guān)注點(diǎn)”這三個(gè)核心思想。

2)總體建設(shè)原則

全面性：基本上涵蓋三體系的各個(gè)方面，參照目前國(guó)際、國(guó)內(nèi)的最佳實(shí)踐。

融合性：整個(gè)管理體系絕不是孤立分開(kāi)的，而是有機(jī)結(jié)合在一起的，能整臺(tái)的一定整合。

可實(shí)施性：整個(gè)整臺(tái)管理體系不是僵硬的照搬標(biāo)準(zhǔn)，也不是寫(xiě)一些空洞的言辭，而是能夠?qū)崒?shí)在在的在組織內(nèi)運(yùn)行。

持續(xù)性：管理體系是不斷變化的，因此本體系也需要能夠根據(jù)發(fā)展不斷更新。

3)整體框架設(shè)計(jì)

整體架構(gòu)策劃，將各流程以項(xiàng)目管理方法融入PDCA(計(jì)劃、執(zhí)行、檢查、行動(dòng))過(guò)程。

在P(計(jì)劃)階段主要有以下一些內(nèi)容：

管理職責(zé)

管理體系策劃

適用性聲明

數(shù)據(jù)總線組織架構(gòu)

風(fēng)險(xiǎn)管理

文檔與記錄管理

能力、意識(shí)與培訓(xùn)

在D(執(zhí)行)階段主要有以下一些內(nèi)容：

信息安全管理，遵循IS027001，其中事件管理和業(yè)務(wù)連續(xù)性管理與ITSM結(jié)合

數(shù)據(jù)中心基礎(chǔ)的日常運(yùn)行管理制度與相關(guān)操作指南

ITSM中主要有新服務(wù)與服務(wù)變更管理、服務(wù)交付管理、服務(wù)支持管理

一些客戶化訂制的操作規(guī)范

在C(檢查)階段主要有以下一些內(nèi)容：

日常檢查制度，包括各流程／制度責(zé)任部門的日常檢查和管理控制部的日常檢查

流程評(píng)審管理

管理體系有效性測(cè)量管理

數(shù)據(jù)中心的內(nèi)審管理

數(shù)據(jù)中心的管理評(píng)審

在A(行動(dòng))階段主要有以下一些內(nèi)容：

糾正與預(yù)防措施控制程序

不合格品控制措施

各流程間的關(guān)系。策劃、檢查和改進(jìn)幾個(gè)階段中，各流程／制度內(nèi)容比較明確，流程／制度之間的關(guān)系也比較簡(jiǎn)單，本文不再進(jìn)行詳細(xì)說(shuō)明。由于實(shí)施D階段是管理體系的重要部分，其中包含了大量的流程／制度，而且它們之間的關(guān)系和接口也相對(duì)復(fù)雜。

體系架構(gòu)包含客戶需求、服務(wù)交付管理、服務(wù)支持管理、日常運(yùn)行管理和信息安全管理五個(gè)模塊。其中信息安全管理是基礎(chǔ)，貫穿于管理體系的各個(gè)環(huán)節(jié)。

1)客戶需求模塊主要分為客戶項(xiàng)目需求和客戶日常運(yùn)維需求；其中客戶項(xiàng)目需求通過(guò)“新服務(wù)與服務(wù)變更管理”引入到“服務(wù)交付管理”、“服務(wù)支持管理”和“日常運(yùn)行管理”中；客戶日常運(yùn)維需求主要通過(guò)“事件管理”和“客戶化定制的操作規(guī)范”來(lái)處理。

2)服務(wù)交付模塊中主要有“服務(wù)級(jí)別管理”、“服務(wù)報(bào)告管理”、“能力與可用性管理”、“業(yè)務(wù)連續(xù)性管理”和“IT財(cái)務(wù)管理”幾個(gè)流程。

3)服務(wù)支持模塊中主要有“事件管理”、“問(wèn)題管理”、“變更與管理”、“配置管理”、“業(yè)務(wù)關(guān)系管理”和“供應(yīng)商管理”幾個(gè)流程。

其中業(yè)務(wù)關(guān)系管理主要在理解客戶業(yè)務(wù)的基礎(chǔ)上建立和維護(hù)與客戶的關(guān)系，供應(yīng)商管理主要是保證供應(yīng)商提供順暢的、高質(zhì)量的服務(wù)。

4)日常運(yùn)行管理模塊中主要是日常操作流程和應(yīng)急管理。日常運(yùn)行管理中的相關(guān)事件都會(huì)引入到事件管理中，當(dāng)有重大事件時(shí)會(huì)引入到應(yīng)急管理或業(yè)務(wù)連續(xù)性管理。

5)信息安全管理模塊中貫穿在北京運(yùn)行管理中心各項(xiàng)活動(dòng)中，主要有風(fēng)險(xiǎn)管理、資產(chǎn)管理、員工手冊(cè)、人力資源管理、物理環(huán)境安全、用戶密碼管理、存儲(chǔ)介質(zhì)管理、防病毒管理、設(shè)備管理、備份與恢復(fù)管理、網(wǎng)絡(luò)管理、軟件管理和符合性管理。

整合流程及各步驟工作內(nèi)容。本案例中整合管理體系的建設(shè)過(guò)程以項(xiàng)目管理方法為基礎(chǔ)，共分為九個(gè)步驟，每個(gè)步驟的大致內(nèi)容如下。

需要進(jìn)一步思考的內(nèi)容

需要精耕細(xì)作的部分。在標(biāo)準(zhǔn)的指導(dǎo)下，整合中的大部分內(nèi)容基本都能得到很好的貫徹與實(shí)施。但是在建立與運(yùn)行整合體系的時(shí)候，如果在下面幾個(gè)方面進(jìn)行精耕細(xì)作，企業(yè)將會(huì)得到更多的回報(bào)。

1)風(fēng)險(xiǎn)評(píng)估的方法：風(fēng)險(xiǎn)評(píng)估主要涉及風(fēng)險(xiǎn)發(fā)生的可能性和風(fēng)險(xiǎn)的影響程度兩個(gè)方面，目前還沒(méi)有一個(gè)被大家廣泛認(rèn)可的風(fēng)險(xiǎn)評(píng)估方法，而且在將來(lái)也不會(huì)有，不需要有。但是企業(yè)應(yīng)該結(jié)合自己的業(yè)務(wù)流程和企業(yè)文化等，建立屬于自己的風(fēng)險(xiǎn)評(píng)估方法。

有些企業(yè)已經(jīng)找到比較合適的風(fēng)險(xiǎn)評(píng)估方法。但是還有很多企業(yè)的風(fēng)險(xiǎn)評(píng)估方法不太適合組織，大致表現(xiàn)為以下幾個(gè)方面：太復(fù)雜難以操作、太簡(jiǎn)單難以找出真正的風(fēng)險(xiǎn)、缺乏區(qū)分度難以將各種風(fēng)險(xiǎn)進(jìn)行區(qū)別、定義不明確，不同人做的結(jié)果差距很大。

2)有效性測(cè)量：有效性測(cè)量是一個(gè)難點(diǎn)，有效性測(cè)量應(yīng)該從哪些方面來(lái)做，測(cè)量的標(biāo)準(zhǔn)如何制定是今后一段時(shí)間需要繼續(xù)研究和討論的問(wèn)題。

目前有很多業(yè)內(nèi)專家對(duì)有效性測(cè)量提出了自己的看法，但是都不是很完善，沒(méi)有得到一致的認(rèn)同。

另外，管理目標(biāo)的制定與測(cè)量、業(yè)務(wù)連續(xù)性管理這兩個(gè)方面也需要企業(yè)在自己業(yè)務(wù)的基礎(chǔ)上進(jìn)行優(yōu)化和改進(jìn)。

如何保證既達(dá)到業(yè)務(wù)目標(biāo)又能節(jié)省最多的企業(yè)成本，還需要企業(yè)在實(shí)際整合管理體系運(yùn)行過(guò)程加以分析和總結(jié)。

與運(yùn)維標(biāo)準(zhǔn)的融合。針對(duì)ID C行業(yè)的業(yè)務(wù)特點(diǎn)，關(guān)于數(shù)據(jù)中心基礎(chǔ)設(shè)施方面的標(biāo)準(zhǔn)很早就被關(guān)注，也已經(jīng)很成熟，如TIA-942、GBT2887-2000、GB4943-2001、GB50174-93等。

目前關(guān)于各種運(yùn)維服務(wù)的標(biāo)準(zhǔn)正在制定與征求意見(jiàn)當(dāng)中，如《信息技術(shù)數(shù)據(jù)中心運(yùn)維服務(wù)規(guī)范》、《信息技術(shù)運(yùn)維服務(wù)通用要求》、《信息技術(shù)運(yùn)維服務(wù)安全要求》、《信息技術(shù)運(yùn)維服務(wù)應(yīng)急響應(yīng)規(guī)范》、《信息技術(shù)運(yùn)維服務(wù)交付規(guī)范》等。

篇6

【關(guān)鍵詞】電力企業(yè)；信息網(wǎng)絡(luò)；安全體系

【中圖分類號(hào)】TP309【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1672-5158（2013）07-0498-02

引言

隨著電力企業(yè)不斷發(fā)展，信息化已廣泛應(yīng)用于生產(chǎn)運(yùn)營(yíng)管理過(guò)程中的各個(gè)環(huán)節(jié)，信息化在為企業(yè)帶來(lái)高效率的同時(shí)，也為企業(yè)帶來(lái)了安全風(fēng)險(xiǎn)。一方面企業(yè)對(duì)信息化依賴性越來(lái)越強(qiáng)，尤其是生產(chǎn)監(jiān)控信息系統(tǒng)及電力二次系統(tǒng)直接關(guān)系到電力安全生產(chǎn)；另一方面黑客技術(shù)發(fā)展迅速，今天行之有效的防火墻或隔離裝置也許明天就可能出現(xiàn)漏洞。因此，建設(shè)信息安全防護(hù)體系建設(shè)工作是刻不容緩的。

1 信息安全防護(hù)體系的核心思想

電力企業(yè)信息安全防護(hù)體系的核心思想是“分級(jí)、分區(qū)、分域”（如圖1所示）。分級(jí)是將各系統(tǒng)分別確定安全保護(hù)級(jí)別實(shí)現(xiàn)等級(jí)化防護(hù)；分區(qū)是將信息系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)兩個(gè)相對(duì)獨(dú)立區(qū)進(jìn)行安全防護(hù)；分域是依據(jù)系統(tǒng)級(jí)別及業(yè)務(wù)系統(tǒng)類型劃分不同的安全域，實(shí)現(xiàn)不同安全域的獨(dú)立化、差異化防護(hù)。

2 信息安全防護(hù)系統(tǒng)建設(shè)方針

2.1整體規(guī)劃：在全面調(diào)研的基礎(chǔ)上，分析信息安全的風(fēng)險(xiǎn)和差距，制訂安全目標(biāo)、安全策略，形成安全整體架構(gòu)。

2.2分步實(shí)施：制定信息安全防護(hù)系統(tǒng)建設(shè)計(jì)劃，分階段組織項(xiàng)目實(shí)施。

2.3分級(jí)分區(qū)分域：根據(jù)信息系統(tǒng)的重要程度，確定該系統(tǒng)的安全等級(jí)，省級(jí)公司的信息系統(tǒng)分為二級(jí)和三級(jí)系統(tǒng)；根據(jù)生產(chǎn)控制大區(qū)和管理信息大區(qū)，劃分為控制區(qū)（安全I(xiàn)區(qū)）、非控制區(qū)（安全I(xiàn)I區(qū)）、管理信息大區(qū)（III區(qū)）；依據(jù)業(yè)務(wù)系統(tǒng)類型進(jìn)行安全域劃分，二級(jí)系統(tǒng)統(tǒng)一成域，三級(jí)系統(tǒng)獨(dú)立成域。

2.4等級(jí)防護(hù)：按照國(guó)家和電力行業(yè)等級(jí)保護(hù)基本要求，進(jìn)行安全防護(hù)措施設(shè)計(jì)，合理分配資源，做好重點(diǎn)保護(hù)和適度保護(hù)。

2.5多層防御：在分域防護(hù)的基礎(chǔ)上，將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)層面進(jìn)行安全防護(hù)設(shè)計(jì)，以實(shí)現(xiàn)縱深防御。

2.6持續(xù)改進(jìn)：定期對(duì)信息系統(tǒng)進(jìn)行安全檢測(cè)，發(fā)現(xiàn)潛在的問(wèn)題和系統(tǒng)可能的脆弱性并進(jìn)行修正；檢查防護(hù)系統(tǒng)的運(yùn)行及安全審計(jì)日志，通過(guò)策略調(diào)整及時(shí)防患于未然；定期對(duì)信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，修補(bǔ)安全漏洞、改進(jìn)安全防護(hù)體系。

3 信息安全防護(hù)體系建設(shè)探索

一個(gè)有效的信息安全體系是在信息安全管理、信息安全技術(shù)、信息安全運(yùn)行的整體保障下，構(gòu)建起來(lái)并發(fā)揮作用的。

3.1 建立信息安全管理體系

安全管理體系是整個(gè)信息安全防護(hù)體系的基石，它包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面，信息安全組織機(jī)構(gòu)的建立尤為重要。

3.1.1建立信息安全管理小組

建立具有管理權(quán)的信息安全小組，負(fù)責(zé)整體信息安全管理工作，審批信息安全方針，分配安全管理職責(zé)，支持和推動(dòng)組織內(nèi)部信息安全工作的實(shí)施，對(duì)信息安全重大事項(xiàng)進(jìn)行決策。處置信息安全事件，對(duì)安全管理體系進(jìn)行評(píng)審。

3.1.2分配管理者權(quán)限

按照管理者的責(zé)、權(quán)、利一致的原則，對(duì)信息管理人員作級(jí)別上的限制；根據(jù)管理者的角色分配權(quán)限，實(shí)現(xiàn)特權(quán)用戶的權(quán)限分離。對(duì)工作調(diào)動(dòng)和離職人員及時(shí)調(diào)整授權(quán)，根據(jù)管理職責(zé)確定使用對(duì)象，明確某一設(shè)備配置、使用、授權(quán)信息的劃分，制訂相應(yīng)管理制度。

3.1.3職責(zé)明確，層層把關(guān)

制訂操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則各負(fù)其責(zé)，不能超越自己的管轄范圍。系統(tǒng)維護(hù)時(shí)要經(jīng)信息管理部門審批，有信息安全管理員在場(chǎng)，對(duì)故障原因、維護(hù)內(nèi)容和維護(hù)前后情況做詳細(xì)記錄。

（1）多人負(fù)責(zé)制度 每一項(xiàng)與安全有關(guān)的活動(dòng)必須有2人以上在場(chǎng)，簽署工作情況記錄，以證明安全工作已得到保障。

（2）重要崗位定期輪換制度 應(yīng)建立重要崗位應(yīng)定期輪換制度，在工作交接期間必須更換口令，重要技術(shù)文件或數(shù)據(jù)必須移交清楚，明確泄密責(zé)任。

（3）在信息管理中實(shí)行問(wèn)責(zé)制，各信息系統(tǒng)專人專管。

3.1.5系統(tǒng)應(yīng)急處理

制定信息安全應(yīng)急響應(yīng)管理辦法，按照嚴(yán)重性和緊急程度及危害影響的大小來(lái)確定全事件的等級(jí)，采取措施，防止破壞的蔓延與擴(kuò)展，使危害降到最低，通過(guò)對(duì)事件或行為的分析結(jié)果，查找事件根源，徹底消除安全隱患。

3.2 建立信息安全技術(shù)策略

3.2.1物理安全策略

物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的工作環(huán)境；防止非法進(jìn)入機(jī)房和各種偷竊、破壞活動(dòng)的發(fā)生，抑制和防止電磁泄露等采取的安全措施。

3.2.2 網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全防護(hù)措施主要包括以下幾種類型：

（1）防火墻技術(shù)。通過(guò)防火墻配置，控制內(nèi)部和外部網(wǎng)絡(luò)的訪問(wèn)策略，結(jié)合上網(wǎng)行為管理，監(jiān)控網(wǎng)絡(luò)流量分配，對(duì)于重要數(shù)據(jù)實(shí)行加密傳輸或加密處理，使只有擁有密鑰的授權(quán)人才能解密獲取信息，保證信息在傳輸過(guò)程中的安全。

（2）防病毒技術(shù)。根據(jù)有關(guān)資料統(tǒng)計(jì)，對(duì)電力信息網(wǎng)絡(luò)和二次系統(tǒng)的威脅除了黑客以外，很大程度上是計(jì)算機(jī)病毒造成的。當(dāng)今計(jì)算機(jī)病毒技術(shù)發(fā)展迅速，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)造成很大的損害。采用有效的防病毒軟件、惡意代碼防護(hù)軟件，保障升級(jí)和更新的時(shí)效性，是行之有效的措施。

（3）安全檢測(cè)系統(tǒng)。通過(guò)專用工具，定期查找各種漏洞，監(jiān)控網(wǎng)絡(luò)的運(yùn)行狀況。在電力二次系統(tǒng)之間安裝IDS入侵檢測(cè)軟件等，確保對(duì)網(wǎng)絡(luò)非法訪問(wèn)、入侵行為做到及時(shí)報(bào)警，防止非法入侵。

3.2.3安全策略管理

對(duì)建的電力二次系統(tǒng)必須在建設(shè)過(guò)程中進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，并根據(jù)評(píng)估結(jié)果制定安全策略；對(duì)已投運(yùn)且已建立安全體系的系統(tǒng)定期進(jìn)行漏洞掃描，以便及時(shí)發(fā)現(xiàn)系統(tǒng)的安全漏洞；定期分析本系統(tǒng)的安全風(fēng)險(xiǎn)，分析當(dāng)前黑客非法入侵的特點(diǎn)，及時(shí)調(diào)整安全策略。

3.2.4 數(shù)據(jù)庫(kù)的安全策略

數(shù)據(jù)庫(kù)的安全策略包括安全管理策略、訪問(wèn)控制策略和信息控制策略。但數(shù)據(jù)庫(kù)的安全問(wèn)題最主要的仍是訪問(wèn)控制策略。就訪問(wèn)控制策略分類而言，它可以分為以下幾種策略。

（1） 最小特權(quán)策略： 是讓用戶可以合法的存取或修改數(shù)據(jù)庫(kù)的前提下，分配最小的特權(quán)，使得這些權(quán)限恰好可以讓用戶完成自己的工作，其余的權(quán)利一律不給。

（2） 數(shù)據(jù)庫(kù)加密策略： 數(shù)據(jù)加密是保護(hù)數(shù)據(jù)在存儲(chǔ)和傳遞過(guò)程中不被竊取或修改的有效手段。

（3）數(shù)據(jù)庫(kù)備份策略：就是保證在數(shù)據(jù)庫(kù)系統(tǒng)出故障時(shí)，能夠?qū)?shù)據(jù)庫(kù)系統(tǒng)還原到正常狀態(tài)。

（4）審計(jì)追蹤策略：是指系統(tǒng)設(shè)置相應(yīng)的日志記錄，特別是對(duì)數(shù)據(jù)更新、刪除、修改的記錄，以便日后查證。

篇7

[關(guān)鍵詞]競(jìng)爭(zhēng)情報(bào)安全管理　ISO-CISMS　IS0／1EC27002：2005協(xié)議

[分類號(hào)]G350

隨著知識(shí)經(jīng)濟(jì)時(shí)代的到來(lái)，情報(bào)活動(dòng)作為企業(yè)收集、分析有關(guān)經(jīng)營(yíng)環(huán)境、競(jìng)爭(zhēng)者和本身的相關(guān)、準(zhǔn)確、及時(shí)、前瞻性的情報(bào)以強(qiáng)化競(jìng)爭(zhēng)優(yōu)勢(shì)的手段被頻繁使用，導(dǎo)致企業(yè)競(jìng)爭(zhēng)情報(bào)安全風(fēng)險(xiǎn)日益凸顯。數(shù)據(jù)顯示，各類經(jīng)濟(jì)情報(bào)活動(dòng)每年給美國(guó)造成的損失達(dá)幾千億美元，使德國(guó)損失近5萬(wàn)個(gè)工作崗位。我國(guó)也有類似的慘痛教訓(xùn)，景泰藍(lán)、宣紙、“金星”鋼筆拋光技術(shù)等國(guó)寶級(jí)機(jī)密皆因保護(hù)不力而外泄。事實(shí)上，在當(dāng)今激烈競(jìng)爭(zhēng)的市場(chǎng)環(huán)境中，缺乏對(duì)競(jìng)爭(zhēng)情報(bào)重要性的認(rèn)識(shí)或保護(hù)不力的企業(yè)遲早會(huì)被淘汰出局。因此，如何有效地抵御對(duì)手的競(jìng)爭(zhēng)情報(bào)活動(dòng)，防止競(jìng)爭(zhēng)性情報(bào)被對(duì)手獲取，日漸成為企業(yè)和學(xué)術(shù)界關(guān)注的焦點(diǎn)。由于企業(yè)是一個(gè)開(kāi)放式系統(tǒng)，競(jìng)爭(zhēng)情報(bào)保護(hù)又涉及眾多主體、客體(情報(bào)源、傳播渠道與設(shè)施等)、環(huán)節(jié)和復(fù)雜內(nèi)外部環(huán)境，因而其安全問(wèn)題絕非僅是技術(shù)性或方法論問(wèn)題，而是一項(xiàng)系統(tǒng)性工程，必須從策略、過(guò)程、實(shí)施控制、技術(shù)、資源和環(huán)境以及應(yīng)急與處理機(jī)制等諸多方面進(jìn)行規(guī)范和保護(hù)，以保障其保密性(eonfidentiality)、完整性(integrity)和可用性(availability)，即構(gòu)建競(jìng)爭(zhēng)情報(bào)安全管理體系。

1　國(guó)內(nèi)外研究現(xiàn)狀

競(jìng)爭(zhēng)情報(bào)簡(jiǎn)稱cI(competitive intelligence)，是關(guān)于競(jìng)爭(zhēng)環(huán)境、競(jìng)爭(zhēng)對(duì)手和競(jìng)爭(zhēng)策略的信息和研究，是給組織競(jìng)爭(zhēng)地位帶來(lái)重大影響的外部威脅、機(jī)會(huì)或優(yōu)勢(shì)的情報(bào)及這些情報(bào)的獲取、監(jiān)控、分析、前瞻和預(yù)警過(guò)程。它是一種過(guò)程，包括對(duì)競(jìng)爭(zhēng)信息的收集和分析；也是一種產(chǎn)品，包括由此形成的情報(bào)和謀略。本文所指競(jìng)爭(zhēng)情報(bào)僅是狹義的競(jìng)爭(zhēng)情報(bào)，指代企業(yè)內(nèi)部的關(guān)鍵性情報(bào)，包括競(jìng)爭(zhēng)對(duì)手、客戶及合作伙伴情報(bào)、市場(chǎng)情報(bào)和技術(shù)情報(bào)等。

關(guān)于競(jìng)爭(zhēng)情報(bào)安全，國(guó)內(nèi)外許多學(xué)者已有一些研究。JerryP，Miller提出情報(bào)保護(hù)需歷經(jīng)定義保護(hù)需求、評(píng)估競(jìng)爭(zhēng)對(duì)手、評(píng)估自身弱點(diǎn)、制定實(shí)施對(duì)策、分析監(jiān)控、結(jié)果傳遞等6個(gè)步驟；John A，Nolan提出Phoenix商業(yè)情報(bào)保護(hù)模型，認(rèn)為競(jìng)爭(zhēng)情報(bào)活動(dòng)是一個(gè)由任務(wù)、定義保護(hù)需求、評(píng)估弱點(diǎn)、制定對(duì)策、分析和6個(gè)環(huán)節(jié)構(gòu)成的循環(huán)過(guò)程；美國(guó)軍方受越戰(zhàn)戰(zhàn)例啟發(fā)提出OPSEC模型，認(rèn)為要對(duì)公開(kāi)信息進(jìn)行嚴(yán)格核查，以防零散公開(kāi)信息被對(duì)手甄別、聚類分析并得到關(guān)鍵情報(bào)；有些文獻(xiàn)介紹了反情報(bào)技術(shù)，如DNSBL等。國(guó)內(nèi)對(duì)競(jìng)爭(zhēng)情報(bào)安全也有一些研究，文獻(xiàn)[7]對(duì)Phoe-nix模型進(jìn)行了修正，提出工作步驟應(yīng)包括保護(hù)技術(shù)、保護(hù)策略；文獻(xiàn)[8]、[9]分別從知識(shí)流視角和基于博弈論構(gòu)建了情報(bào)保護(hù)的動(dòng)態(tài)監(jiān)控與博弈模型；文獻(xiàn)[10]利用人一機(jī)系統(tǒng)理論提出安全規(guī)避措施；有些文獻(xiàn)則分別從制度、技術(shù)、法律、企業(yè)文化等視角進(jìn)行了分析或策略構(gòu)建。還有一些學(xué)者研究了競(jìng)爭(zhēng)情報(bào)的泄密途徑，文獻(xiàn)[11]指出計(jì)算機(jī)的泄密渠道包括電磁波輻射、計(jì)算機(jī)網(wǎng)絡(luò)、計(jì)算機(jī)存儲(chǔ)、工作人員被策反和計(jì)算機(jī)系統(tǒng)被監(jiān)控等。文獻(xiàn)[12]分析了企業(yè)內(nèi)部的情報(bào)泄密途徑，包括企業(yè)網(wǎng)站、內(nèi)部員工與第三方、搜索引擎、病毒和黑客攻擊等；有些文獻(xiàn)認(rèn)為還有公開(kāi)出版物、離職員工、業(yè)務(wù)伙伴、商業(yè)間諜、反求工程及其他灰色或非法途徑等渠道。

從文獻(xiàn)研究看，目前的競(jìng)爭(zhēng)情報(bào)安全管理主要集中在泄密渠道、工作模式、安全技術(shù)、策略機(jī)制等領(lǐng)域，對(duì)競(jìng)爭(zhēng)情報(bào)安全問(wèn)題或闡述得比較籠統(tǒng)，或分析得不夠深入，或角度單一，對(duì)企業(yè)如何建立競(jìng)爭(zhēng)情報(bào)安全管理體系，實(shí)現(xiàn)競(jìng)爭(zhēng)情報(bào)全面安全管理的理解不深、指導(dǎo)性不強(qiáng)。本文將以作為企業(yè)信息安全國(guó)際標(biāo)準(zhǔn)的ISO／IEC27002：2005協(xié)議為參照，以實(shí)現(xiàn)競(jìng)爭(zhēng)情報(bào)的全面管理為目標(biāo)，構(gòu)建并系統(tǒng)地闡述企業(yè)競(jìng)爭(zhēng)情報(bào)安全管理體系及其內(nèi)涵。

2　競(jìng)爭(zhēng)情報(bào)安全管理體系的構(gòu)建基礎(chǔ)

IS0／IEC27002：2005源自于1993年英國(guó)貿(mào)工部編寫(xiě)的信息安全管理文本“信息安全管理實(shí)用規(guī)則”，此后該文本于1995年被轉(zhuǎn)化為國(guó)家標(biāo)準(zhǔn)(BS7799-1)，2000年被ISO／IEC組織采納為國(guó)際標(biāo)準(zhǔn)，2005年推出修訂版本ISO／IECl7799：2005，2007年被更名為ISO／IEC27002：2005(內(nèi)容不變)，并與由BS7799-2標(biāo)準(zhǔn)演化而成的ISO／IEC27001：2005交相輝映，與隨后形成的后續(xù)標(biāo)準(zhǔn)一起自成體系形成IS027000系列標(biāo)準(zhǔn)。

1SO／IEC27002：2005是一種信息安全管理體系規(guī)范，列舉了在運(yùn)營(yíng)過(guò)程中對(duì)企業(yè)信息安全可能產(chǎn)生影響的因素，共設(shè)置了11大主題，39個(gè)控制目標(biāo)和133個(gè)安全控制措施，包含安全政策、安全組織、資產(chǎn)分類與管理、個(gè)人安全、實(shí)體和環(huán)境安全、通信和運(yùn)行管理、存取控制、信息系統(tǒng)的開(kāi)發(fā)和維護(hù)、持續(xù)運(yùn)營(yíng)管理、符合法律等，旨在為一個(gè)機(jī)構(gòu)提供用來(lái)制定安全標(biāo)準(zhǔn)、實(shí)施有效的安全管理時(shí)的通用要素，并得以使跨機(jī)構(gòu)的交易各方互相信任。由于其規(guī)則實(shí)用性已成為信息安全領(lǐng)域最有影響力的信息安全標(biāo)準(zhǔn)，被廣泛看作是優(yōu)秀的、具有普遍意義的安全操作規(guī)則，因此成為我國(guó)信息安全標(biāo)準(zhǔn)GB／T20269-2006和《數(shù)字圖書(shū)館安全管理指南》等標(biāo)準(zhǔn)的主要參照藍(lán)本。

由于競(jìng)爭(zhēng)情報(bào)安全問(wèn)題是一個(gè)涉及廣泛且復(fù)雜的系統(tǒng)性問(wèn)題，而ISO／IEC27002：2005是一個(gè)具有安全系統(tǒng)架構(gòu)和實(shí)施辦法的指南文本，其綱要體系及控制措施易于操作，且由于其架構(gòu)的開(kāi)放性和可增刪性，各類企業(yè)可根據(jù)自身實(shí)際選擇合適規(guī)模、層級(jí)的管理準(zhǔn)則組合，形成了一個(gè)競(jìng)爭(zhēng)情報(bào)安全“管理樹(shù)”。同時(shí)，IS0／1EC27002：2005更重要的是傳達(dá)一種系統(tǒng)性的、全局性的安全觀念及一種泛安全管理的思維，因而它作為一個(gè)通用的信息安全管理實(shí)踐準(zhǔn)則，對(duì)企業(yè)競(jìng)爭(zhēng)情報(bào)安全管理具有很好的參考作用。

3　基于ISO／IEC27002：2005標(biāo)準(zhǔn)的競(jìng)爭(zhēng)情報(bào)安全管理體系的構(gòu)建

傳統(tǒng)的競(jìng)爭(zhēng)情報(bào)安全管理一般包含兩層意思：一是對(duì)內(nèi)部關(guān)鍵情報(bào)進(jìn)行監(jiān)測(cè)和保護(hù)的活動(dòng)；二是妨礙或阻止競(jìng)爭(zhēng)對(duì)手的競(jìng)爭(zhēng)情報(bào)行為。雖認(rèn)知角度、重點(diǎn)不同，但基本共識(shí)是認(rèn)為競(jìng)爭(zhēng)情報(bào)安全管理的對(duì)象是企業(yè)內(nèi)部情報(bào)；內(nèi)容是監(jiān)測(cè)和保護(hù)；目的是組織競(jìng)爭(zhēng)對(duì)手或第三方的情報(bào)活動(dòng)；態(tài)度是積極的；手段是合法的、正當(dāng)?shù)摹５@些認(rèn)知尚不足全面闡釋競(jìng)爭(zhēng)情報(bào)安全管理的內(nèi)涵，且競(jìng)爭(zhēng)情報(bào)安全管理有許多重要內(nèi)容，因而本文提出的競(jìng)爭(zhēng)情報(bào)安全管理是一種泛安全管理的理念。

3.1　競(jìng)爭(zhēng)情報(bào)泛安全管理

在閱讀文獻(xiàn)與深入調(diào)研分析的基礎(chǔ)上，本文認(rèn)為競(jìng)爭(zhēng)情報(bào)安全除包括實(shí)現(xiàn)內(nèi)部情報(bào)的管理與保護(hù)外，還應(yīng)包括對(duì)競(jìng)爭(zhēng)對(duì)手實(shí)施的主動(dòng)性反擊策略，以及發(fā)生競(jìng)爭(zhēng)情報(bào)泄密危機(jī)的管控與處置問(wèn)題，這即是泛安全管理的概念范疇。

因此，競(jìng)爭(zhēng)情報(bào)安全管理應(yīng)包括5個(gè)向度：競(jìng)爭(zhēng)情報(bào)安全策略與組織架構(gòu)、競(jìng)爭(zhēng)情報(bào)保護(hù)、主動(dòng)性反競(jìng)爭(zhēng)情報(bào)、安全管理保障和持續(xù)性管理。策略構(gòu)架主要體現(xiàn)在企業(yè)的競(jìng)爭(zhēng)情報(bào)安全管理戰(zhàn)略、組織機(jī)構(gòu)、安全策略文檔等宏觀層次構(gòu)造與實(shí)踐上；情報(bào)保護(hù)是競(jìng)爭(zhēng)情報(bào)安全管理的主要任務(wù)，涉及競(jìng)爭(zhēng)情報(bào)的分類管理、流動(dòng)監(jiān)控與保護(hù)；主動(dòng)性反擊能利用各種主動(dòng)性策略手段分散競(jìng)爭(zhēng)對(duì)手的注意力，迷惑對(duì)手或延緩其進(jìn)攻與滲透；安全管理保障是各種制度與策略的審計(jì)、激勵(lì)與保障機(jī)制；持續(xù)性管理是在受到攻擊或情報(bào)泄密后的關(guān)鍵業(yè)務(wù)保護(hù)和業(yè)務(wù)修復(fù)能力，是發(fā)生災(zāi)難或危機(jī)的修復(fù)與重生機(jī)制。這幾個(gè)向度相輔相成，共同構(gòu)成競(jìng)爭(zhēng)情報(bào)泛安全管理的內(nèi)涵，如圖1所示：

3.2　競(jìng)爭(zhēng)情報(bào)安全管理體系的框架

基于泛安全管理的思維，參照ISO／IEC27002：2005標(biāo)準(zhǔn)，以競(jìng)爭(zhēng)情報(bào)泛安全管理架構(gòu)模型為主干，本文構(gòu)造了競(jìng)爭(zhēng)情報(bào)安全管理體系的框架ISO-CISMS(corn-pehtlve intelligence security management system based onISO／1EC27002：2005)，該體系包含5個(gè)向度，10個(gè)管理大項(xiàng)，22個(gè)控制目標(biāo)，56個(gè)關(guān)鍵控制點(diǎn)。向度和管理大項(xiàng)指出了競(jìng)爭(zhēng)情報(bào)安全管理的工作內(nèi)容框架和架構(gòu)，控制目標(biāo)分析了安全管理需實(shí)現(xiàn)的目標(biāo)，關(guān)鍵控制點(diǎn)則給出了安全管理工作的實(shí)踐要點(diǎn)。這種“分層設(shè)計(jì)”既兼顧了安全管理理論和實(shí)踐方向與范圍，也提供了操作性強(qiáng)的工作要點(diǎn)，可為當(dāng)前競(jìng)爭(zhēng)情報(bào)安全管理提供統(tǒng)一框架及解決方案，也回答了John J，McGonagJe在《讓企業(yè)免于對(duì)手競(jìng)爭(zhēng)情報(bào)行為的攻擊》中提出的“要做什么，怎樣做和在哪里做”的問(wèn)題，如圖2所示：

3.2.1　策略方針與組織構(gòu)架策略方針與組織構(gòu)架是指競(jìng)爭(zhēng)情報(bào)安全管理的宏觀層次構(gòu)造與實(shí)踐，包括競(jìng)爭(zhēng)情報(bào)安全管理戰(zhàn)略、組織機(jī)構(gòu)、安全策略文檔等，主要明確工作的原則、方針和相關(guān)策略，明確體系建設(shè)的意義、目標(biāo)及建立體系需遵守的原則，以及如何建立極具管控力和滲透性的安全管理組織與人員架構(gòu)。具體內(nèi)容見(jiàn)表1。該向度的主要載體是競(jìng)爭(zhēng)情報(bào)保護(hù)工作策略文檔，該文檔包含工作的重要性、工作的原理和目的、安全策略的原則性要求、違反安全策略后的責(zé)任級(jí)別及相應(yīng)的處理辦法等內(nèi)容。

競(jìng)爭(zhēng)情報(bào)安全管理作為一項(xiàng)系統(tǒng)性工程，是管理層的共同運(yùn)營(yíng)責(zé)任。為保障效率，應(yīng)設(shè)置競(jìng)爭(zhēng)情報(bào)安全管理機(jī)構(gòu)，對(duì)已有信息或情報(bào)部門進(jìn)行合并。組織架構(gòu)可根據(jù)情況采取集中式和分布式相結(jié)合的方式。集中式權(quán)力集中，操作簡(jiǎn)單；分布式分散監(jiān)控，覆蓋而廣。專職部門負(fù)責(zé)情報(bào)人員的專業(yè)技能培訓(xùn)及企業(yè)競(jìng)爭(zhēng)情報(bào)保護(hù)策略、文化建設(shè)和監(jiān)管協(xié)調(diào)等。兼職人員分布在各部門，負(fù)責(zé)自己部門的情報(bào)監(jiān)控與保護(hù)。機(jī)構(gòu)成立后，可以確保從管理上支持此項(xiàng)工作，以便更好地監(jiān)測(cè)情報(bào)安全事項(xiàng)變動(dòng)，維護(hù)競(jìng)爭(zhēng)情報(bào)安全。在該管理項(xiàng)中，重要的關(guān)鍵控制點(diǎn)是安全管理人員在各部門的覆蓋率，直接關(guān)系到競(jìng)爭(zhēng)情報(bào)安全監(jiān)控工作。

3.2.2　競(jìng)爭(zhēng)情報(bào)保護(hù)

競(jìng)爭(zhēng)情報(bào)保護(hù)是指對(duì)各種信息、情報(bào)或文件中的關(guān)鍵性情報(bào)的保護(hù)，組織結(jié)構(gòu)對(duì)工作原則、方針和策略的執(zhí)行情況。由于競(jìng)爭(zhēng)情報(bào)的核心地位，競(jìng)爭(zhēng)情報(bào)保護(hù)一直是競(jìng)爭(zhēng)情報(bào)安全工作的重心。其活動(dòng)過(guò)程是基于競(jìng)爭(zhēng)對(duì)手的競(jìng)爭(zhēng)情報(bào)搜集過(guò)程的，由于競(jìng)爭(zhēng)情報(bào)的泄密渠道包括企業(yè)內(nèi)部、公開(kāi)倩息、第三方、內(nèi)部數(shù)據(jù)庫(kù)或信息系統(tǒng)等道德或不道德途徑，因而競(jìng)爭(zhēng)情報(bào)保護(hù)必須強(qiáng)化對(duì)各種泄密風(fēng)險(xiǎn)點(diǎn)的控制力，保證策略的完備性和執(zhí)行力度及粒度，阻止現(xiàn)實(shí)的或潛在的競(jìng)爭(zhēng)對(duì)手對(duì)本企業(yè)的競(jìng)爭(zhēng)情報(bào)活動(dòng)。

在競(jìng)爭(zhēng)情報(bào)安全保護(hù)體系中，競(jìng)爭(zhēng)情報(bào)保護(hù)向包括情報(bào)分類與控制、人員安全管理、物理環(huán)境及通信設(shè)施安全防護(hù)以及保障性制度等具體內(nèi)容，如表2所示：

情報(bào)分類與控制：對(duì)公司數(shù)據(jù)庫(kù)和核心文件、公司制度、安全策略、公開(kāi)信息等情報(bào)資源編制情報(bào)清單，并根據(jù)相對(duì)價(jià)值、重要程度進(jìn)行分類編碼，確定安全等級(jí)，當(dāng)然該清單應(yīng)是動(dòng)態(tài)更新的。對(duì)情報(bào)實(shí)施管理和控制，建立規(guī)范的情報(bào)管理制度，保障情報(bào)的合理、安全流通，嚴(yán)格情報(bào)傳播控制、文件管理、與公開(kāi)信息審核及信息垃圾處理制度，去除其中的關(guān)鍵信息或情報(bào)，加大對(duì)手的分析難度。

人員安全管理：在競(jìng)爭(zhēng)情報(bào)視角，相關(guān)人員包括作為戰(zhàn)略資源而成為保護(hù)對(duì)象的人員；作為管理對(duì)象的人員，如競(jìng)爭(zhēng)情報(bào)保護(hù)人員、業(yè)務(wù)人員、第三方人員、顯性或隱性及潛在競(jìng)爭(zhēng)對(duì)手。對(duì)不同類型的人員應(yīng)實(shí)施不同安全策略：①重定義工作內(nèi)容，把安全責(zé)任定義到工作責(zé)任中；②對(duì)人員進(jìn)行安全教育和培訓(xùn)，明確安全策略內(nèi)容及其更新；③確立人員交往規(guī)范，根據(jù)合作伙伴、第三方或競(jìng)爭(zhēng)對(duì)手的不同進(jìn)行價(jià)值或重要程度權(quán)衡，建立不同交往策略規(guī)范。

物理和環(huán)境的安全：加強(qiáng)物理位置和環(huán)境的安全保護(hù)是競(jìng)爭(zhēng)情報(bào)保護(hù)工作的顯性措施。劃分安全區(qū)域，根據(jù)關(guān)鍵性的業(yè)務(wù)或情報(bào)重要性和風(fēng)險(xiǎn)性設(shè)置相應(yīng)安全區(qū)域，用物理屏障實(shí)現(xiàn)授權(quán)訪問(wèn)和保護(hù)，對(duì)安全區(qū)域?qū)嵤┍O(jiān)控；信息載體安全，妥善養(yǎng)護(hù)與管理各類信息載體設(shè)備，做好設(shè)備的進(jìn)入與帶出，也要做好登記與稽核。

網(wǎng)絡(luò)與通信管理：由于企業(yè)應(yīng)用越來(lái)越基于網(wǎng)絡(luò)實(shí)現(xiàn)，競(jìng)爭(zhēng)情報(bào)保護(hù)也應(yīng)重視網(wǎng)絡(luò)與通信領(lǐng)域的管理，當(dāng)然這也是目前研究較多并相對(duì)成熟的領(lǐng)域，可用技術(shù)較多，如數(shù)據(jù)加密、數(shù)字簽名、訪問(wèn)認(rèn)證、安全防護(hù)、檢測(cè)與追蹤等，市場(chǎng)上也均有成熟的產(chǎn)品可供選擇。

3.2.3　主動(dòng)性反競(jìng)爭(zhēng)情報(bào)競(jìng)爭(zhēng)情報(bào)保護(hù)如果是被動(dòng)的，往往使自身在競(jìng)爭(zhēng)對(duì)手的攻擊中處于被動(dòng)位置而效果不佳，因而針對(duì)競(jìng)爭(zhēng)對(duì)手進(jìn)行監(jiān)測(cè)并實(shí)施主動(dòng)性手段是必要的，以在攻防時(shí)占定先機(jī)，本文認(rèn)為這即是反競(jìng)爭(zhēng)情報(bào)的狹義概念。具體內(nèi)容如表3所示：

國(guó)內(nèi)外對(duì)于反競(jìng)爭(zhēng)情報(bào)的研究還處于起步階段，從Web of Science數(shù)據(jù)庫(kù)和國(guó)內(nèi)的CNKI檢索發(fā)現(xiàn)，有效文獻(xiàn)一共不到200篇。其概念論述也不統(tǒng)一，邵波認(rèn)為反競(jìng)爭(zhēng)情報(bào)是模仿競(jìng)爭(zhēng)對(duì)手監(jiān)測(cè)和分析自身活動(dòng)的過(guò)程，它是針對(duì)競(jìng)爭(zhēng)情報(bào)活動(dòng)而開(kāi)展的阻止或妨礙競(jìng)爭(zhēng)對(duì)手獲得自身情報(bào)的信息研究活動(dòng)，是一種對(duì)自身核心信息的保護(hù)方法。秦鐵輝、羅超認(rèn)為它是企業(yè)為了保護(hù)自身情報(bào)資源而開(kāi)展的一系列防范性情報(bào)工作，以抵御競(jìng)爭(zhēng)對(duì)于針對(duì)本企業(yè)的情報(bào)活動(dòng)。楊之霞認(rèn)為企業(yè)反競(jìng)爭(zhēng)情報(bào)是為了控制或延緩企業(yè)核心情報(bào)向外界傳遞而開(kāi)展競(jìng)爭(zhēng)情報(bào)活動(dòng)的動(dòng)態(tài)博弈，主要采用掩蔽和迷惑的手段，最大限度地掐斷競(jìng)爭(zhēng)對(duì)獲取本企業(yè)情報(bào)的主要知識(shí)源和知識(shí)流，保護(hù)企業(yè)關(guān)鍵信息不被競(jìng)爭(zhēng)對(duì)手獲得。其他學(xué)者也有一些定義，盡管角度不同、描述不一，但本質(zhì)都是保護(hù)企業(yè)情

報(bào)免受其他組織的競(jìng)爭(zhēng)情報(bào)活動(dòng)的組織過(guò)程。但在策略手段上，側(cè)重于防御性手段論述，雖然也提及一些主動(dòng)性策略或措施，但均沒(méi)有將其作為反競(jìng)爭(zhēng)情報(bào)的核心與顯要特征。實(shí)際上，以防御性手段保護(hù)競(jìng)爭(zhēng)情報(bào)安全應(yīng)屬于競(jìng)爭(zhēng)情報(bào)保護(hù)概念范疇，而反競(jìng)爭(zhēng)情報(bào)則主要指采用積極主動(dòng)策略達(dá)到防衛(wèi)或反擊目的的戰(zhàn)略戰(zhàn)術(shù)情報(bào)行為。

實(shí)施反競(jìng)爭(zhēng)情報(bào)可通過(guò)識(shí)別競(jìng)爭(zhēng)對(duì)手，模擬主要競(jìng)爭(zhēng)對(duì)手的競(jìng)爭(zhēng)情報(bào)行為，阻斷競(jìng)爭(zhēng)情報(bào)活動(dòng)點(diǎn)和活動(dòng)渠道，消滅風(fēng)險(xiǎn)點(diǎn)；虛假消息，干擾對(duì)手判斷，誘導(dǎo)驅(qū)使其作出己方期望的決策。這種“假情報(bào)”可故意向?qū)κ謧鞑ァ⑸l(fā)，涉及企業(yè)戰(zhàn)略、技術(shù)方向、財(cái)務(wù)狀況等方面的虛假或不準(zhǔn)確信息，以迷惑競(jìng)爭(zhēng)對(duì)手，或?qū)⑵湟脲e(cuò)誤判斷或發(fā)生決策失誤。有時(shí)還可實(shí)施反逆向工程阻止競(jìng)爭(zhēng)情報(bào)人員通過(guò)對(duì)產(chǎn)品解剖來(lái)分析化驗(yàn)其材料組成、設(shè)計(jì)構(gòu)造、生產(chǎn)工藝等方面的機(jī)密信息，甚至因此而付出巨大代價(jià)，如日本東芝在其生產(chǎn)的電池內(nèi)部進(jìn)行了特殊處理，一旦電池被拆開(kāi)，便會(huì)發(fā)生爆炸，使對(duì)手的反求工程變得艱難。

3.2.4　持續(xù)性管理持續(xù)性管理即是建立情報(bào)泄密風(fēng)險(xiǎn)清單，評(píng)估其發(fā)生概率與可能造成的威脅，并在不利事件發(fā)生時(shí)采取相應(yīng)的機(jī)制及策略，以防止關(guān)鍵業(yè)務(wù)受到影響，實(shí)現(xiàn)企業(yè)持續(xù)運(yùn)行。持續(xù)性管理需要引起重視的原因是隨著競(jìng)爭(zhēng)情報(bào)活動(dòng)的日益頻繁，企業(yè)面臨的情報(bào)泄密風(fēng)險(xiǎn)無(wú)處不在，甚至很難完全避免，企業(yè)必須在發(fā)生關(guān)鍵情報(bào)的泄密后進(jìn)行恰當(dāng)?shù)膽?yīng)急處置，以防止企業(yè)由此而出現(xiàn)重大損失，同時(shí)確保關(guān)鍵與核心業(yè)務(wù)不受影響。

在競(jìng)爭(zhēng)情報(bào)安全管理體系中，持續(xù)性管理是一項(xiàng)必不可少的重要內(nèi)容，從國(guó)際上看，那些及時(shí)引進(jìn)持續(xù)性管理的企業(yè)，在面對(duì)災(zāi)難時(shí)均能化險(xiǎn)為夷，諸多發(fā)達(dá)國(guó)家甚至將其列為上市的必要條件。持續(xù)性管理的核心內(nèi)容是業(yè)務(wù)持續(xù)性計(jì)劃的編制與維護(hù)，該計(jì)劃包含業(yè)務(wù)流程、數(shù)據(jù)和技術(shù)基礎(chǔ)設(shè)施確立、泄密風(fēng)險(xiǎn)識(shí)別及概率和威脅分析、泄密風(fēng)險(xiǎn)點(diǎn)分類與管理、業(yè)務(wù)持續(xù)性策略等內(nèi)容。由于情勢(shì)的不斷變幻，業(yè)務(wù)持續(xù)性計(jì)劃的維護(hù)與更新也是十分重要的。該管理大項(xiàng)包括3個(gè)控制目標(biāo)，具體內(nèi)容如表4所示：

3.2.5　安全管理保障在競(jìng)爭(zhēng)情報(bào)保護(hù)體系中，信息保護(hù)、人員安全、物理與環(huán)境、網(wǎng)絡(luò)與通信管理都必須建立相應(yīng)機(jī)制加以保障。安全管理保障是“制度的制度”，貫穿競(jìng)爭(zhēng)情報(bào)安全管理活動(dòng)，為其保駕護(hù)航。在競(jìng)爭(zhēng)情報(bào)安全管理體系中，安全保障機(jī)制主要包含制度與文化兩個(gè)層次。制度層是硬性機(jī)制；文化層是軟性機(jī)制，兩者相輔相成，共同作用。具體內(nèi)容如表5所示：

保障性制度。保障性制度是保障企業(yè)嚴(yán)格實(shí)施競(jìng)爭(zhēng)情報(bào)安全策略的制度集，包含稽核制度、維護(hù)制度、激勵(lì)制度和懲罰制度等。稽核制度可檢查策略的完備性、適用性和執(zhí)行情況，發(fā)現(xiàn)問(wèn)題立即加以更新與維護(hù)，對(duì)出現(xiàn)執(zhí)行問(wèn)題的，能明確加以懲處或通過(guò)激勵(lì)措施予以激勵(lì)。在實(shí)際中，可仿照ISO 9000標(biāo)準(zhǔn)的內(nèi)審員制度，由專人定期審計(jì)，并與競(jìng)爭(zhēng)情報(bào)安全體系進(jìn)行程序性對(duì)照。當(dāng)出現(xiàn)任何事實(shí)性不符或事實(shí)改變時(shí)都要審核是否違反策略，分析其違反后是否會(huì)對(duì)情報(bào)安全造成影響，如此才能保證該體系完全實(shí)施。

競(jìng)爭(zhēng)情報(bào)安全文化。企業(yè)文化是企業(yè)在運(yùn)營(yíng)過(guò)程中形成的所有成員共同認(rèn)同的，關(guān)于企業(yè)運(yùn)營(yíng)的戰(zhàn)略目標(biāo)、理念、思維方式、價(jià)值觀和行為規(guī)范等要素的總和。研究表明，強(qiáng)文化對(duì)企業(yè)發(fā)展具有極大的正向作用，而強(qiáng)情報(bào)安全文化對(duì)競(jìng)爭(zhēng)情報(bào)安全管理具有同樣的作用。在該體系中，競(jìng)爭(zhēng)情報(bào)安全文化包含競(jìng)爭(zhēng)情報(bào)戰(zhàn)略制定，是否形成重視競(jìng)爭(zhēng)情報(bào)安全的企業(yè)理念，該理念有沒(méi)有輸入企業(yè)的經(jīng)脈與血液，特別是管理者的意圖及堅(jiān)決態(tài)度，對(duì)競(jìng)爭(zhēng)情報(bào)保護(hù)工作的支持程度；企業(yè)精神的強(qiáng)度，和睦、團(tuán)結(jié)、協(xié)作的企業(yè)氛圍，將不同類型、價(jià)值觀和行為方式的人員凝聚，強(qiáng)化向心力及對(duì)企業(yè)的責(zé)任感，減少競(jìng)爭(zhēng)對(duì)手的滲透。

4　結(jié)論與展望

篇8

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；信息安全；安全體系

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2011)12-2818-02

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)得到了飛速發(fā)展，Internet用戶數(shù)和商業(yè)應(yīng)用快速增長(zhǎng)，對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的嚴(yán)重依賴使得我們必須確保計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全；否則，不僅會(huì)造成大量的人力、物力資源的浪費(fèi)、經(jīng)濟(jì)的損失，公司商業(yè)機(jī)密信息或研究技術(shù)文檔的被竊，甚至?xí)G失有關(guān)國(guó)家的機(jī)密，進(jìn)而危及國(guó)家的安全。所有這些信息安全與網(wǎng)上信息對(duì)抗的需求，使得如何增強(qiáng)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)安全性的研究成了舉世矚目的焦點(diǎn)。

1 信息安全對(duì)企業(yè)的重要性

現(xiàn)代社會(huì)是一個(gè)信息爆炸的社會(huì)，信息作為重要的戰(zhàn)略資源，其開(kāi)發(fā)與利用已成為企業(yè)競(jìng)爭(zhēng)能力的關(guān)鍵標(biāo)志和企業(yè)發(fā)展的重要推動(dòng)力。建立一套科學(xué)的、規(guī)范的信息系統(tǒng)是企業(yè)發(fā)展勢(shì)在必行的。

通過(guò)信息化建設(shè)，各企業(yè)都已建立相關(guān)的業(yè)務(wù)支撐系統(tǒng)、管理信息系統(tǒng)等，計(jì)算機(jī)的應(yīng)用已遍布整個(gè)企業(yè)內(nèi)部。例如：電信運(yùn)營(yíng)公司內(nèi)部建立了計(jì)費(fèi)系統(tǒng)、營(yíng)業(yè)賬務(wù)系統(tǒng)、客戶關(guān)系管理系統(tǒng)等面向用戶的各類業(yè)務(wù)支撐系統(tǒng)；還建立了辦公信息系統(tǒng)、資產(chǎn)管理信息系統(tǒng)、人力資源管理系統(tǒng)等面向企業(yè)內(nèi)部的綜合管理信息系統(tǒng)。這些計(jì)算機(jī)信息系統(tǒng)涉及諸如資金、交易、商業(yè)機(jī)密、個(gè)人隱私等信息，因此在信息系統(tǒng)建設(shè)中一定要重點(diǎn)考慮整個(gè)系統(tǒng)的安全問(wèn)題。安全性問(wèn)題覆蓋了整個(gè)系統(tǒng)中主機(jī)、網(wǎng)絡(luò)、通信、應(yīng)用、信息、數(shù)據(jù)的方方面面，以及對(duì)網(wǎng)絡(luò)、設(shè)備、通信、操作、人員的安全管理。安全問(wèn)題能導(dǎo)致信息系統(tǒng)的癱瘓、重要數(shù)據(jù)的丟失，使企業(yè)用戶的業(yè)務(wù)停頓，管理陷入混亂，最終結(jié)果是給企業(yè)造成嚴(yán)重的經(jīng)濟(jì)損失，導(dǎo)致企業(yè)競(jìng)爭(zhēng)力大大下降。因此信息安全問(wèn)題，已經(jīng)與企業(yè)的生存能力息息相關(guān)。

2 BS7799和信息安全管理體系(ISMS）

信息安全發(fā)展至今，人們逐漸認(rèn)識(shí)到安全管理的重要性，為了指導(dǎo)全面的信息安全工作，作為信息安全建設(shè)藍(lán)圖的安全體系就應(yīng)該顧及安全管理的內(nèi)容。BS7799是BSI制定的關(guān)于信息安全管理方面的標(biāo)準(zhǔn)，包含兩個(gè)部分：

1）第一部分是被采納為ISO/IEC 17799：2000標(biāo)準(zhǔn)的信息安全管理實(shí)施細(xì)則，它在10個(gè)標(biāo)題框架下列舉定義了127項(xiàng)作為安全控制的慣例，供信息安全實(shí)踐者選擇使用；

2）第二部分是建立信息安全管理體系(ISMS)的一套規(guī)范，詳細(xì)說(shuō)明了建立、實(shí)旌和維護(hù)信息安全管理體系的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。

作為一套管理標(biāo)準(zhǔn)，BS7799―2指導(dǎo)相關(guān)人員怎樣去應(yīng)用ISO/IEC 17799，其最終目的，還在于建立適合企業(yè)需要的信息安全管理體系(ISMS)。信息安全管理體系ISMS如圖l所示。

BS7799提出的ISMS是一個(gè)系統(tǒng)化、程序化和文檔化的管理體系，技術(shù)措施只是作為依據(jù)安全需求有選擇有側(cè)重地實(shí)現(xiàn)安全目標(biāo)的手段而已。不過(guò)，Bs7799對(duì)ISMS并沒(méi)有一個(gè)明確的定義，也沒(méi)有描述ISMS的最終形態(tài)，它只對(duì)建立ISMS框架的過(guò)程和符合體系認(rèn)證的內(nèi)容要求有一定的描述。

3 信息安全技術(shù)體系

技術(shù)體系部分主要是應(yīng)用PPDRR模型中PDRR動(dòng)態(tài)自適應(yīng)的閉環(huán)體系，涵蓋了防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)等四部分。其主要是通過(guò)以下相關(guān)技術(shù)實(shí)現(xiàn)：

1）防火墻技術(shù)：實(shí)現(xiàn)安全系統(tǒng)與外網(wǎng)、內(nèi)部各網(wǎng)絡(luò)之間的隔離。利用集中安全監(jiān)控平臺(tái)或者獨(dú)立的防火墻集中管理系統(tǒng)，完成對(duì)全網(wǎng)防火墻的集中管理、集中監(jiān)控與集中策略管理與審核。

2）病毒防護(hù)：構(gòu)建具有網(wǎng)絡(luò)病毒防護(hù)能力的病毒防護(hù)系統(tǒng)，可以動(dòng)態(tài)升級(jí)病毒庫(kù)。在中心設(shè)置防病毒中心服務(wù)器，并對(duì)所有主機(jī)、終端等安裝防病毒軟件客戶端。

3）全漏洞掃描：找出系統(tǒng)中存在的安全漏洞和隱患，掃描對(duì)象包括兩類：網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備，網(wǎng)絡(luò)設(shè)備主要掃描防火墻、路由器等設(shè)備的配置是否存在安全漏洞。

4）入侵檢測(cè)系統(tǒng)：實(shí)時(shí)監(jiān)測(cè)系統(tǒng)中的數(shù)據(jù)包，對(duì)進(jìn)出各系統(tǒng)的網(wǎng)絡(luò)流量進(jìn)行檢測(cè)，識(shí)別非法連接請(qǐng)求及網(wǎng)絡(luò)入侵，自動(dòng)阻斷連接，報(bào)警并記錄日志；通過(guò)分析關(guān)鍵服務(wù)器上的內(nèi)核級(jí)事件、主機(jī)日志和網(wǎng)絡(luò)活動(dòng)，執(zhí)行實(shí)時(shí)的入侵檢測(cè)并阻止惡意活動(dòng)。

5）身份認(rèn)證技術(shù)：針對(duì)企業(yè)口令管理以及靜態(tài)口令不安全問(wèn)題，提出動(dòng)態(tài)口令身份認(rèn)證技術(shù)，保護(hù)口令的安全。

6）系統(tǒng)監(jiān)控響應(yīng)：主要通過(guò)建立監(jiān)控管理系統(tǒng)進(jìn)行監(jiān)測(cè)、響應(yīng)。監(jiān)控系統(tǒng)可以將檢測(cè)到的入侵行為、攻擊行為等信息安全事件，進(jìn)行自動(dòng)的響應(yīng)，保護(hù)系統(tǒng)的安全。

7）備份容災(zāi)技術(shù)：在企業(yè)中構(gòu)建備份系統(tǒng)和容災(zāi)中心，當(dāng)主數(shù)據(jù)中心由于各種突發(fā)性意外原因?qū)е律a(chǎn)系統(tǒng)崩潰時(shí)，備份系統(tǒng)和容災(zāi)中心可完全接管全部工作，并能夠在極短時(shí)間內(nèi)，恢復(fù)業(yè)務(wù)系統(tǒng)的運(yùn)行。

4 信息安全若干模型的探討

4.1 IS07498―2信息安全模型

在IS07498―2中定義的信息系統(tǒng)安全體系結(jié)構(gòu)由5類安全服務(wù)及用來(lái)支持安全服務(wù)的8種安全機(jī)制構(gòu)成。安全服務(wù)體現(xiàn)安全體系所包含的主要功能及內(nèi)容，安全機(jī)制規(guī)定了與安全需求相對(duì)應(yīng)的可以實(shí)現(xiàn)安全服務(wù)的技術(shù)手段，二者有機(jī)結(jié)合相互交叉，在安全體系的不同層次發(fā)揮作用。這種安全體系，充分體現(xiàn)了層次性和結(jié)構(gòu)性。

以下分別介紹ISO 7498―2安全體系結(jié)構(gòu)的5類安全服務(wù)、8種安全機(jī)制。

4.1.1 安全服務(wù)

1）鑒別服務(wù)：可以鑒別參與通訊的對(duì)等實(shí)體和源；授權(quán)控制的基礎(chǔ)；提供雙向的認(rèn)證；一般采用高的密碼技術(shù)來(lái)進(jìn)行身份認(rèn)證。

2）訪問(wèn)控制：控制不同用戶對(duì)信息資源訪問(wèn)權(quán)限；要求有審計(jì)核查功能；盡可能地提供細(xì)粒度的控制；

3）數(shù)據(jù)完整性：是指通過(guò)網(wǎng)上傳輸?shù)臄?shù)據(jù)應(yīng)防止被修改、刪除、插人替換或重發(fā)，以保證合法用戶接收和使用該數(shù)據(jù)的真實(shí)性；用于對(duì)付主動(dòng)威脅。

4）數(shù)據(jù)保密性：提供保護(hù)，防止數(shù)據(jù)未經(jīng)授權(quán)就泄露；基于對(duì)稱密鑰和非對(duì)稱密鑰加密的算法；

5）抗抵賴：接收方要發(fā)送方保證不能否認(rèn)收到的信息是發(fā)送方發(fā)出的信息，而不是被他人冒名篡改過(guò)的信息；發(fā)送方也要求對(duì)方不能否認(rèn)已經(jīng)收到的信息，防止否認(rèn)對(duì)金融電子化系統(tǒng)很重要。

4.1.2 安全機(jī)制

1）數(shù)據(jù)加密機(jī)制：向數(shù)據(jù)和業(yè)務(wù)信息流提供保密性，對(duì)其他安全機(jī)制起補(bǔ)充作用；

2）數(shù)據(jù)簽名機(jī)制：對(duì)數(shù)據(jù)單元簽名和驗(yàn)證，簽名只有利用簽名者的私有信息才能產(chǎn)生出來(lái)；

3）訪問(wèn)控制機(jī)制：利用某個(gè)實(shí)體經(jīng)鑒別的身份或關(guān)于該實(shí)體的信息或該實(shí)體的權(quán)標(biāo)，進(jìn)行確定并實(shí)旌實(shí)體的訪問(wèn)權(quán)；可用于通訊連接的任何一端或用在中間連接的任何位置；

4）數(shù)據(jù)完整性機(jī)制：兩個(gè)方面：?jiǎn)蝹€(gè)的數(shù)據(jù)單元或字段的完整性、數(shù)據(jù)單元串或字段串的完整性；

5）鑒別交換機(jī)制：通過(guò)信息交換以確保實(shí)體身份的機(jī)制；

6）業(yè)務(wù)填充機(jī)制：一種制造假的通訊實(shí)例、產(chǎn)生欺騙性數(shù)據(jù)單元或在數(shù)據(jù)單元中產(chǎn)生假數(shù)據(jù)的安全機(jī)制；提供對(duì)各種等級(jí)的保護(hù)，防止業(yè)務(wù)分析；只在業(yè)務(wù)填充受到保密時(shí)有效；

7）路由控制機(jī)制：路由既可以動(dòng)態(tài)選擇，也可以事先安排；攜帶某些安全標(biāo)簽的數(shù)據(jù)可能被安全策略禁止通過(guò)某些子網(wǎng)、中繼站或鏈路；連接的發(fā)起者可以請(qǐng)求回避特定的子網(wǎng)、中繼站或鏈路；

8）公證機(jī)制：關(guān)于在兩個(gè)或三個(gè)實(shí)體之間進(jìn)行通訊的數(shù)據(jù)的性能，可由公證機(jī)制來(lái)保證；保證由第三方提供；第三方能得到通訊實(shí)體的信任。

ISO 7498―2安全體系結(jié)構(gòu)針對(duì)的是基于OSI參考模型的網(wǎng)絡(luò)通信系統(tǒng)，它所定義的安全服務(wù)也只是解決網(wǎng)絡(luò)通信安全性的技術(shù)措施，其他信息安全相關(guān)領(lǐng)域，包括系統(tǒng)安全、物理安全、人員安全等方面都沒(méi)有涉及。此外，ISO 7498―2體系關(guān)注的是靜態(tài)的防護(hù)技術(shù)，它并沒(méi)有考慮到信息安全動(dòng)態(tài)性和生命周期性的發(fā)展特點(diǎn)，缺乏檢測(cè)、響應(yīng)和恢復(fù)這些重要的環(huán)節(jié)，因而無(wú)法滿足更復(fù)雜更全面的信息保障的要求。

4.2 IATF信息安全模型

IATF是由美國(guó)國(guó)家安全局組織專家編寫(xiě)的一個(gè)全面描述信息安全保障體系的框架，它提出了信息保障時(shí)代信息基礎(chǔ)設(shè)施的全套安全需求。IATF提出了信息保障依賴于人、操作和技術(shù)來(lái)共同實(shí)現(xiàn)組織職能、業(yè)務(wù)運(yùn)作的思想，對(duì)技術(shù)、信息基礎(chǔ)設(shè)施的管理也離不開(kāi)這三個(gè)要素。人，借助技術(shù)的支持，實(shí)施一系列的操作過(guò)程，最終實(shí)現(xiàn)信息保障目標(biāo)，這就是IATF最核心的理念。IATF定義了實(shí)現(xiàn)信息保障目標(biāo)的工程過(guò)程和信息系統(tǒng)各個(gè)方面的安全需求。在此基礎(chǔ)上，對(duì)信息基礎(chǔ)設(shè)施就可以做到多層防護(hù)，這樣的防護(hù)被稱為“深度保護(hù)戰(zhàn)略”，IATF核心恩想如圖2所示。

不過(guò)，盡管信息安全保障體系框架IATF提出了以人為核心的思想，但整個(gè)體系的闡述還是以技術(shù)為側(cè)重的，對(duì)于安全管理的內(nèi)容則很少涉及。IATF為我們指出了設(shè)計(jì)、構(gòu)建和實(shí)施信息安全解決方案的一個(gè)技術(shù)框架，概括了信息安全應(yīng)該關(guān)注的領(lǐng)域和范圍、途徑和方法、可選的技術(shù)性措施，但并沒(méi)有指出信息安全最終的表現(xiàn)形態(tài)。

4.3 P2DR動(dòng)態(tài)自適應(yīng)的信息安全模型

P2DR動(dòng)念自適應(yīng)安全模型是美國(guó)國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司(1SS)最先提出的，即Policy(策略)、Protection(防護(hù))、Detection(檢測(cè))和Response(響應(yīng))。按照P2DR的觀點(diǎn)，一個(gè)完整的動(dòng)態(tài)安全體系，不僅需要恰當(dāng)?shù)姆雷o(hù)(如操作系統(tǒng)訪問(wèn)控制、防火墻、加密等)，而且需要?jiǎng)討B(tài)的檢測(cè)機(jī)制(如入侵檢測(cè)、漏洞掃描等)，在發(fā)現(xiàn)問(wèn)題時(shí)還需要及時(shí)響應(yīng)，這樣的體系需要在統(tǒng)一的、一致的安全策略指導(dǎo)下實(shí)施，形成一個(gè)完備的、閉環(huán)的動(dòng)態(tài)自適應(yīng)安全體系。

P2DR模型是建立在基于時(shí)間的安全理論基礎(chǔ)之上的：Pt：攻擊成功所需時(shí)間被稱作安全體系能夠提供的防護(hù)時(shí)間：Dt：在攻擊發(fā)生的同時(shí)，檢測(cè)系統(tǒng)發(fā)揮作用，攻擊行為被檢測(cè)出來(lái)需要的時(shí)間；Rt：檢測(cè)到攻擊之后，系統(tǒng)會(huì)做出應(yīng)有的響應(yīng)動(dòng)作，所需時(shí)間被稱作響應(yīng)時(shí)問(wèn)；Et：系統(tǒng)暴露時(shí)間，即系統(tǒng)處于不安全狀況的時(shí)間(Et=Dt+Rt-Pt)要實(shí)現(xiàn)安全，必須讓防護(hù)時(shí)間大于檢測(cè)時(shí)間加上響應(yīng)時(shí)間，即：Pt>Dt+Rt。

P2DR模型基本上體現(xiàn)了比較完整的信息安全體系的思想，勾畫(huà)出信息安全體系建立之后一個(gè)良好的表現(xiàn)形態(tài)。近十年來(lái)，該模型被普遍使用。

P2DR動(dòng)態(tài)自適應(yīng)安全體系模型針對(duì)的是基于時(shí)間的安全理論構(gòu)建的閉環(huán)的動(dòng)態(tài)體系結(jié)構(gòu)，也只是解決信息安全的技術(shù)措施，其他信息安全相關(guān)領(lǐng)域，包括系統(tǒng)安全、物理安全、人員安全等方面都沒(méi)有涉及。此外，P2DR動(dòng)態(tài)自適應(yīng)安全體系雖然已經(jīng)關(guān)注信息安全動(dòng)態(tài)性和生命周期性的發(fā)展特點(diǎn)，但缺乏恢復(fù)的環(huán)節(jié)，因而無(wú)法滿足更復(fù)雜更全面的信息保障的要求。

4.4 PPDRR的信息安全模型

在P2DR模型中，恢復(fù)(Recovery)環(huán)節(jié)是包含在響應(yīng)(Response)環(huán)節(jié)中的，作為事件響應(yīng)之后的一項(xiàng)處理措施，不過(guò)，隨著人們對(duì)業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)愈加重視，尤其是911恐怖事件發(fā)生之后，人們對(duì)P2DR模型的認(rèn)識(shí)也就有了新的內(nèi)容，于是，PPDRR模型就應(yīng)運(yùn)而生了。PPDRR模型，或者叫P2DR2，與P2DR唯一的區(qū)別就是把恢復(fù)環(huán)節(jié)提到了和防護(hù)、檢測(cè)、響應(yīng)等環(huán)節(jié)同等的高度。在PPDRR模型中，安全策略、防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)共同構(gòu)成了完整的信息安全體系。PPDRR也是基于時(shí)間的動(dòng)態(tài)模型，其中，恢復(fù)環(huán)節(jié)對(duì)于信息系統(tǒng)和業(yè)務(wù)活動(dòng)的生存起著至關(guān)重要的作用，組織只有建立并采用完善的恢復(fù)計(jì)劃和機(jī)制，其信息系統(tǒng)才能在重大災(zāi)難事件中盡快恢復(fù)并延續(xù)業(yè)務(wù)。

基于PPDRR的安全體系模型針對(duì)的同樣是基于時(shí)間的安全理論構(gòu)建的閉環(huán)的動(dòng)態(tài)體系結(jié)構(gòu)，仍沒(méi)涉及其他信息安全相關(guān)領(lǐng)域，包括系統(tǒng)安全、物理安全、人員安全等方面都沒(méi)有涉及。因而無(wú)法滿足更復(fù)雜更全面的信息保障的要求。

5 結(jié)束語(yǔ)

本文作者主要對(duì)信息安全體系結(jié)構(gòu)領(lǐng)域中現(xiàn)有的各種體系模型進(jìn)行了綜述和分析，詳細(xì)地討論了各種體系模型的優(yōu)缺點(diǎn)。使我們能夠從整體上把握信息安全體系結(jié)構(gòu)領(lǐng)域的研究和發(fā)展方向，為我們以后的研究工作奠定了必要的理論基礎(chǔ)。

參考文獻(xiàn)：

[1] 林寧,吳志剛.我國(guó)信息安全標(biāo)準(zhǔn)化現(xiàn)狀[J].計(jì)算機(jī)世界:信息安全專刊,2003(8).

[2] 孫強(qiáng),陳偉,王東紅.信息安全管理:全球最佳實(shí)務(wù)與實(shí)施指南[M].北京:清華大學(xué)出版社,2004.

篇9

關(guān)鍵詞：信息安全；管理；電子信息

引言

在計(jì)算機(jī)技術(shù)更新、發(fā)展迅速的今天，總有一些不法分子通過(guò)各種手段竊取企業(yè)信息，嚴(yán)重威脅企業(yè)財(cái)產(chǎn)、業(yè)務(wù)安全，甚至損壞企業(yè)形象與品牌。在傳統(tǒng)的信息安全管理中，往往忽略了人在信息安全方面的重要作用，而僅僅依賴于技術(shù)管理。雖然技術(shù)對(duì)信息安全管理有重要作用，但如果只依賴于技術(shù)管理，將不能起到良好的防范效果。因?yàn)閾?jù)權(quán)威機(jī)構(gòu)的數(shù)據(jù)顯示，在所有信息安全事故中，70%-80%是因?yàn)閮?nèi)部員工的疏忽或泄密引起的。因此，為了提高電子信息的安全管理，必須加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)的防范意識(shí)，建立電子商務(wù)安全管理體系和信息安全管理制度等。

一、加強(qiáng)電子信息網(wǎng)絡(luò)安全防范意識(shí)

據(jù)調(diào)查，網(wǎng)站安全的隱患，在我國(guó)的許多企業(yè)都有存在，它的原因主要是企業(yè)管理者對(duì)網(wǎng)絡(luò)安全意識(shí)缺乏足夠的重視，他們大多數(shù)對(duì)網(wǎng)絡(luò)安全系統(tǒng)只建立了技術(shù)防范機(jī)制，用一些先進(jìn)的技術(shù)手段阻隔竊取者的入侵，保證電子信息的安全，但是卻未形成互聯(lián)網(wǎng)易受攻擊的意識(shí)。這就為黑客等竊取者有機(jī)可乘。尤其在一些中小企業(yè)，認(rèn)為自己公司的規(guī)模小，不會(huì)招致侵犯，如此態(tài)度，網(wǎng)絡(luò)安全就更難以得到保護(hù)。因此，要使電子商務(wù)信息安全得到保護(hù)，必須加強(qiáng)企業(yè)管理者與工作人員的安全防范意識(shí)，只有如此才能維護(hù)電子商務(wù)信息安全。

二、建立健全電子安全管理組織體系

加強(qiáng)對(duì)電子信息安全的保護(hù)，必須在堅(jiān)持企業(yè)目標(biāo)與安全方針的前提下，在企業(yè)內(nèi)部建立電子商務(wù)安全管理組織體系，就是建立信息安全指導(dǎo)委員會(huì)，對(duì)組織內(nèi)的信息安全問(wèn)題定期進(jìn)行討論與解決。他們主要負(fù)責(zé)審批信息安全方針、政策；分配信息安全管理職責(zé)；并對(duì)風(fēng)險(xiǎn)評(píng)估加以確認(rèn)，對(duì)信息安全預(yù)算計(jì)劃及設(shè)施購(gòu)置的審查與批復(fù)；此外，還有負(fù)責(zé)實(shí)施與評(píng)審信息安全的措施與監(jiān)測(cè)和對(duì)安全事故的處理；以及協(xié)調(diào)與信息安全管理有關(guān)的重大更改事項(xiàng)的決策，對(duì)信息安全管理隊(duì)伍與各部門之間的關(guān)系的等職能。

三、建立電子信息安全管理制度

電子商務(wù)信息安全管理制度主要有人員管理制度、保密制度、系統(tǒng)維護(hù)制度、病毒防范制度等。制定科學(xué)合理的電子信息安全管理制度，對(duì)企業(yè)的信息安全管理有著積極的促進(jìn)作用。企業(yè)要根據(jù)自身的特點(diǎn)，在制度制定時(shí)對(duì)網(wǎng)絡(luò)信息的安全等級(jí)進(jìn)行有序的劃分，以此使具體的安全目標(biāo)加以確立。

1.人員管理制度

人員管理制度包括人事選拔制度、人員管理原則、網(wǎng)絡(luò)管理人員的基本要求等內(nèi)容。其中，良好的人事選拔制度是維護(hù)電子信息安全之本。人員管理的基本原則包括多人負(fù)責(zé)原則和輪崗原則、有限權(quán)力原則、離職控制原則。而網(wǎng)絡(luò)管理人員的基本要求包括以下幾個(gè)方面：

（1）不得隨便放置賬號(hào)和密碼；（2）在廢紙堆中不得放置敏感數(shù)據(jù)；（3）不得使陌生人進(jìn)入要害部門；（4）要將防火墻等安全產(chǎn)品謹(jǐn)慎配置；（5）不得使用人人皆知的密碼和空密碼；（6）加強(qiáng)層層設(shè)防重要系統(tǒng)；（7）查閱安全日志需配備專人；（8）對(duì)員工的安全防范意識(shí)加以培訓(xùn)。

2.保密制度

企業(yè)的市場(chǎng)、生產(chǎn)、財(cái)務(wù)、供應(yīng)等多方面的機(jī)密，電子信息運(yùn)營(yíng)都有所涉及，因此制定和實(shí)行嚴(yán)格的保密制度是完全有必要的事情。我們依靠信息的性質(zhì)和重要程度，將保密信息劃分為三級(jí)。分別是必須實(shí)行強(qiáng)制安全保護(hù)的A級(jí)機(jī)密信息，必須實(shí)行自主安全保護(hù)的B級(jí)內(nèi)部信息與必須實(shí)行一般安全保護(hù)級(jí)的C級(jí)公共信息。

3.網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度

網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度是用于記錄系統(tǒng)運(yùn)行的全過(guò)程。這就要求企業(yè)在網(wǎng)絡(luò)系統(tǒng)中建立網(wǎng)絡(luò)交易系統(tǒng)日志機(jī)制，并自動(dòng)生成日志文件。日志文件主要內(nèi)容有：操作的日期、操作的方式、登錄的次數(shù)、運(yùn)行的時(shí)間、交易的內(nèi)容等。它對(duì)監(jiān)督系統(tǒng)的運(yùn)行、分析維護(hù)、恢復(fù)故障、防止盜密案件的發(fā)生等起著非常重要的作用。此外，它還有檢查系統(tǒng)日志、審核、對(duì)系統(tǒng)故意入侵行為及時(shí)發(fā)現(xiàn)的記錄和對(duì)系統(tǒng)安全功能違反的記錄、監(jiān)控和捕捉各種安全事件、保存、維護(hù)和管理系統(tǒng)日志等的審計(jì)作用。

4.防止病毒入侵制度

作為防止病毒襲擊，保證網(wǎng)上交易的一個(gè)重要方面，防病毒入侵制度對(duì)網(wǎng)上交易的順利開(kāi)展，有著積極的防范作用。因此必須及時(shí)建立病毒防范措施，實(shí)行病毒定期清理制度，將處于潛伏期的病毒清除干凈，預(yù)防與阻止病毒的突然爆發(fā)，保持計(jì)算機(jī)的工作狀態(tài)始終處于良好的環(huán)境中，從而為網(wǎng)上交易的正常進(jìn)行提供有力的保證。

四、結(jié)束語(yǔ)

企業(yè)電子信息的安全管理依賴于一個(gè)完整而有力的管理體系，來(lái)保證信息安全管理的規(guī)范與長(zhǎng)效。而建立完善的管理體系需要注重人為方面的因素，將人為因素與科技因素結(jié)合起來(lái)，這樣才能達(dá)到企業(yè)安全管理的安全、可靠與穩(wěn)定。

參考文獻(xiàn)：

[1]趙剛；王興芬.電子信息安全管理體系架構(gòu)優(yōu)先出版[J].北京信息科技大學(xué)學(xué)報(bào)（自然科學(xué)版，2010（14）.

篇10

1管理維護(hù)人員少

我局信息系統(tǒng)管理維護(hù)工作主要由計(jì)算機(jī)中心負(fù)責(zé)，下設(shè)軟件科、系統(tǒng)科、綜合科共14名在編人員。信息系統(tǒng)的維護(hù)管理工作主要由系統(tǒng)科4名人員負(fù)責(zé)。一方面在開(kāi)展系統(tǒng)維護(hù)工作時(shí)人手不足，無(wú)法覆蓋到區(qū)縣；另一方面由于新技術(shù)更新較快，人員對(duì)新知識(shí)與新技術(shù)的掌握不足，不利于有效的開(kāi)展信息安全維護(hù)管理工作。

2系統(tǒng)漏洞影響大

稅務(wù)信息系統(tǒng)對(duì)數(shù)據(jù)完整性與服務(wù)實(shí)時(shí)性高要求非常高，當(dāng)今漏洞挖掘技術(shù)極大縮短系統(tǒng)漏洞的發(fā)現(xiàn)周期，經(jīng)常性對(duì)核心應(yīng)用系統(tǒng)進(jìn)行升級(jí)補(bǔ)丁將對(duì)系統(tǒng)數(shù)據(jù)完整性與保障系統(tǒng)服務(wù)及時(shí)性造成一定的風(fēng)險(xiǎn)。

3黑客攻擊與計(jì)算機(jī)病毒傳播路徑廣

我局內(nèi)部業(yè)務(wù)網(wǎng)已連接到全市23個(gè)下屬單位，黑客可通過(guò)任何一個(gè)單位對(duì)我局核心業(yè)務(wù)應(yīng)用發(fā)起攻擊。同時(shí)隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，wfif、手機(jī)連接到終端計(jì)算機(jī)等都有可能成為業(yè)務(wù)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的接口，使我局核心業(yè)務(wù)應(yīng)用遭受到互聯(lián)網(wǎng)的攻擊。同時(shí)移動(dòng)存儲(chǔ)介質(zhì)不安全的使用方式、工作員通過(guò)互聯(lián)網(wǎng)下載的軟件等都有可能導(dǎo)致病毒大規(guī)模傳播。

二、新形勢(shì)稅務(wù)信息安全管理工作實(shí)踐

1信息安全管理工作分解，明確分工與職責(zé)

我局信息安全工作的未來(lái)發(fā)展方向與符合我局實(shí)際情況的管理要求、監(jiān)督指導(dǎo)執(zhí)行層落實(shí)工作信息安全工作、考評(píng)執(zhí)行層與支撐層的工作績(jī)效。為全局的信息安全保障工作發(fā)揮著規(guī)劃、指導(dǎo)、監(jiān)督、考評(píng)作用，推動(dòng)我局各項(xiàng)信息安全管理工作得以落實(shí)。執(zhí)行層由各區(qū)縣局單位指派在編工作人員擔(dān)任，目前我局在各區(qū)縣局設(shè)立信息崗，由具備一定計(jì)算機(jī)基礎(chǔ)知識(shí)的工作人員擔(dān)任。主要工任務(wù)是按照市局的管理要求開(kāi)展日常的信息安全維護(hù)工作，并處理常規(guī)信息安全問(wèn)題、向其他工作人員宣傳市局既定的管理要求，提高全員的信息安全意識(shí)。通過(guò)執(zhí)行層開(kāi)展的信息安全工作，使市局規(guī)劃的各項(xiàng)信息安全管理要求在基層得到落實(shí)。為提高執(zhí)行層的工作能力，市局定期集中工作人員開(kāi)展培訓(xùn)，傳達(dá)市局信息安全工作思路、講解工作中涉及的信息安全技術(shù)、宣傳信息安全形勢(shì)等。支撐層由第三方公司擔(dān)任，為使我局信息安全管理工作更高效，我局將信息系統(tǒng)各項(xiàng)技術(shù)維護(hù)工作外包給各技術(shù)領(lǐng)域有一定實(shí)力的公司，由公司安排具備工作經(jīng)驗(yàn)與能力的專業(yè)技術(shù)人員常駐我局，開(kāi)展技術(shù)維護(hù)工作。我局管理人員根據(jù)制定的管理要求對(duì)各公司的維護(hù)工作進(jìn)行考評(píng)。

2周期性檢測(cè)，評(píng)估安全風(fēng)險(xiǎn)

漏洞挖掘技術(shù)很大程度的縮短了系統(tǒng)漏洞的發(fā)現(xiàn)周期，對(duì)稅務(wù)系統(tǒng)是個(gè)非常大的安全隱患，常規(guī)的運(yùn)行維護(hù)難以發(fā)現(xiàn)深層次的安全漏洞。因此我局將對(duì)信息系統(tǒng)及終端計(jì)算機(jī)的安全檢測(cè)列入周期性的工作計(jì)劃，不流于風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)測(cè)評(píng)的工作形式。以實(shí)質(zhì)性的發(fā)現(xiàn)系統(tǒng)與終端安全漏洞為手段；以采取有效、可靠、安全的處置方法，降低系統(tǒng)安全風(fēng)險(xiǎn)為目標(biāo)。將安全檢測(cè)工作委托第三方專業(yè)的公司定期開(kāi)展，將檢查結(jié)果轉(zhuǎn)交各類技術(shù)的維護(hù)公司進(jìn)行處理。并對(duì)安全專業(yè)公司的檢測(cè)能力，各類技術(shù)維護(hù)公司的處置能力納入到統(tǒng)一考評(píng)體系，確保我局安全漏洞檢測(cè)的全面性、準(zhǔn)確性，問(wèn)題處理的正常性、有效性。3建立以制度為依據(jù)、以技術(shù)為支撐的監(jiān)督、管理工作流程為解決我局終端數(shù)量多、地域分布廣、安全管理難度大的難題，管理層經(jīng)討論、研究針對(duì)終端安全及網(wǎng)絡(luò)邊界管理的方法，論證管理要求與技術(shù)實(shí)現(xiàn)的可行性，制定終端安全管理與網(wǎng)絡(luò)邊界管理的總體綱領(lǐng)策略。并測(cè)試、采購(gòu)符合我局安全管理需求的安全技術(shù)實(shí)施部署。市局下發(fā)針對(duì)性的安全管理要求文件，安全技術(shù)根據(jù)市局管理要求部署基本的控制與審計(jì)策略。為更好的發(fā)揮技術(shù)平臺(tái)的管理功效，市局將基本安全管理策略之外的管理權(quán)限下放到各區(qū)縣局，由各單位根據(jù)自身實(shí)際情況制定管理規(guī)則。市局根據(jù)平臺(tái)產(chǎn)生的數(shù)據(jù)，對(duì)違規(guī)使用資源、違規(guī)操作的個(gè)人與單位進(jìn)行監(jiān)督與通報(bào)，并納入對(duì)各單位的考評(píng)。通過(guò)管理要求與技術(shù)平臺(tái)的有機(jī)結(jié)合，使我局各項(xiàng)信息安全管理制度得到落實(shí)，并定期召集各單位對(duì)信息安全管理工作的經(jīng)驗(yàn)進(jìn)行交流與推廣，提高全局的信息安全管理水平。

三、新形勢(shì)稅務(wù)信息安全管理探索方向

信息安全管理工作在設(shè)計(jì)上需成體系、在落實(shí)上需有支撐，這項(xiàng)工作有著一定的復(fù)雜性、周密性與完整性。并非依靠制定一系列的管理規(guī)定，或部署完善的信息安全技術(shù)就能立即提高信息安全管理水平。而是需要規(guī)劃整體的安全管理方針與目標(biāo)；根據(jù)方針與目標(biāo)制定基礎(chǔ)的保障框架；逐步完成基礎(chǔ)保障框架中的管理、技術(shù)與過(guò)程建設(shè)；并在運(yùn)行維護(hù)中不斷的找出管理、技術(shù)與過(guò)程建設(shè)存在的不足，并進(jìn)行改進(jìn)，使信息安全管理水平不斷的提高，逐漸形成適合我局的信息安全管理體系。目前我局制定信息安全管理的基本方針是建立以風(fēng)險(xiǎn)管理為核心的信息安全管理體系。在該方針的指導(dǎo)下，我局計(jì)劃建立的基本信息安全保障框架為：

(1)以采取一切手段發(fā)現(xiàn)整體信息系統(tǒng)中存在的安全問(wèn)題為基礎(chǔ)。

(2)以評(píng)估發(fā)現(xiàn)的問(wèn)題對(duì)信息系統(tǒng)可能產(chǎn)生的安全風(fēng)險(xiǎn)為支撐。

(3)以找出問(wèn)題的有效、可靠、安全處置機(jī)制為保障。

(4)以監(jiān)督、評(píng)估問(wèn)題處置的有效性，降低安全風(fēng)險(xiǎn)為目標(biāo)。因此在已定的安全保障框架下，管理層還需繼續(xù)探索符合我局實(shí)際情況的信息安全管理方法，以管理有效方法為基礎(chǔ)制定管理策略、以管理策略為依據(jù)選購(gòu)安全技術(shù)、以安全技術(shù)為支撐開(kāi)展具體管理工作、以具體管理工作為監(jiān)督推動(dòng)管理落實(shí)、以管理落實(shí)效果為依據(jù)檢驗(yàn)管理方法、以優(yōu)化管理方法目標(biāo)提高安全管理效益。

四、結(jié)語(yǔ)