導(dǎo)語：信息安全管理論文6篇一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

第一篇:地市公司信息安全建設(shè)和應(yīng)用

1建設(shè)目標

1．1信息安全技術(shù)保障體系建設(shè)理念

信息安全是企業(yè)安全運行的重要一環(huán)，而信息安全技術(shù)又是信息安全的關(guān)鍵。信息安全技術(shù)保障體系建設(shè)，應(yīng)牢固樹立“安全第一、預(yù)防為主、綜合治理”的安全理念，著力構(gòu)建起立足當前、著眼長遠的目標理念。在信息安全技術(shù)保障體系的構(gòu)建方面，應(yīng)突出堅持以下四個原則。(1)“三同步”原則以信息安全貫穿于信息系統(tǒng)全生命周期的思路為指導(dǎo)，始終堅持信息安全建設(shè)與信息化建設(shè)同步規(guī)劃、同步建設(shè)、同步運行的“三同步”原則，確保信息安全工作的主動防御性。(2)以人為本與精益化管理相結(jié)合原則工作中，突出“以人為本”的同時，應(yīng)注重與“精益化管理”相融合，把認真負責的工作態(tài)度貫穿于工作始終，努力做到“精、細、實”。(3)全面防范與突出重點相結(jié)合原則全面防范是保障信息系統(tǒng)安全的關(guān)鍵。首先，可根據(jù)人員、管理、技術(shù)等情況，在預(yù)警、保護、檢測、反應(yīng)、恢復(fù)和跟蹤等多個環(huán)節(jié)上實施全面防御，防患于未然。其次，在全面分析的基礎(chǔ)上，找準事故“易發(fā)點”，實施重點防御。(4)系統(tǒng)性與動態(tài)性相結(jié)合原則信息安全管理是一項系統(tǒng)工程。要按照系統(tǒng)工程的要求，注意各方面、各層次、各時期的相互協(xié)調(diào)、匹配和銜接，體現(xiàn)出系統(tǒng)集成效果和前期投入的收益。同時，信息安全管理又是一種狀態(tài)的動態(tài)反饋過程，應(yīng)隨著安全利益和系統(tǒng)脆弱性的時空分布的變化、威脅程度的提高、系統(tǒng)環(huán)境的演變以及管理人員對系統(tǒng)安全認識的不斷深化等，及時將現(xiàn)有的安全策略、風險接受程度和保護措施進行復(fù)查、修改、調(diào)整以至提升管理等級。

1．2信息安全技術(shù)保障體系建設(shè)范圍和目標

1．2．1信息安全技術(shù)保障體系建設(shè)范圍

信息安全技術(shù)保障體系，包括保護、檢測、響應(yīng)、審計等多種技術(shù)。防御領(lǐng)域覆蓋地市供電公司信息內(nèi)、外網(wǎng)網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、終端計算環(huán)境以及支撐性基礎(chǔ)設(shè)施建設(shè)。［1］(1)網(wǎng)絡(luò)邊界防御體系建設(shè)。通過確定不同資產(chǎn)的安全等級和防護等級，以采用適合的邊界防護技術(shù)。(2)網(wǎng)絡(luò)基礎(chǔ)設(shè)施防御體系建設(shè)。網(wǎng)絡(luò)基礎(chǔ)設(shè)施防御的主要目標包括提高網(wǎng)絡(luò)拓撲的安全可靠性、提高網(wǎng)絡(luò)設(shè)備特別是骨干設(shè)備的安全性、保證網(wǎng)絡(luò)設(shè)備遠程管理的安全性等。(3)終端計算環(huán)境防御體系建設(shè)。為了達到減少內(nèi)部環(huán)境中存在的弱點和漏洞，防止計算機病毒及蠕蟲在內(nèi)部環(huán)境的傳播，提高對網(wǎng)絡(luò)攻擊的發(fā)現(xiàn)能力以及在安全事件發(fā)生后的跟蹤和追查，加強對內(nèi)部用戶的保護、管理、監(jiān)控和審計能力的終端計算機環(huán)境安全目標，可以采用自動補丁管理、訪問控制、防病毒、入侵防護、完整性檢查和強制認證、網(wǎng)絡(luò)準入控制等技術(shù)來實現(xiàn)。(4)支撐性基礎(chǔ)設(shè)施建設(shè)。信息安全支撐設(shè)施是指為網(wǎng)絡(luò)用戶、設(shè)備、應(yīng)用系統(tǒng)提供安全運作的基礎(chǔ)設(shè)施，包括密鑰管理設(shè)施、安全管理中心等。

1．2．2信息安全技術(shù)保障體系建設(shè)目標

(1)堅持“安全第一、預(yù)防為主、綜合治理”方針，強化全員信息安全意識。(2)高度重視信息化建設(shè)中的安全問題，將網(wǎng)絡(luò)與信息安全全面納入公司安全管理體系，建立多層次的安全防御體系，實現(xiàn)信息安全的可控、能控、在控。(3)建立完善的信息安全技術(shù)保障體系，保護信息的保密性、完整性和可用性。(4)確保不發(fā)生重大系統(tǒng)停運事故。(5)確保不發(fā)生重大信息泄露事故。(6)確保不發(fā)生網(wǎng)站被篡改造成重大影響事故。(7)確保信息化有效支撐公司發(fā)展方式和電網(wǎng)發(fā)展方式轉(zhuǎn)變。1．3信息安全技術(shù)保障體系建設(shè)的指標體系及目標值根據(jù)國網(wǎng)、省公司指標考核內(nèi)容，信息安全技術(shù)保障體系建設(shè)的指標，主要包括內(nèi)、外網(wǎng)VRV未注冊情況，內(nèi)、外網(wǎng)弱口令數(shù)等。具體如表1所示。

2主要做法

2．1信息安全技術(shù)保障體系建設(shè)管理工作流程圖。信息安全技術(shù)保障體系建設(shè)管理分為風險評估、方案設(shè)計、方案落實、驗收測評等4個節(jié)點。如圖1所示。2．2主要節(jié)點說明2．2．1風險評估當前，影響信息安全的因素很多。一是日益復(fù)雜的網(wǎng)絡(luò)系統(tǒng)和安全系統(tǒng)不斷地增加運行維護的難度，以及工作量和人力成本，對于位置分散的、數(shù)目眾多的各類主機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進行逐一管理耗時又耗力。傳統(tǒng)意義上的安全防護措施只關(guān)注安全的某一方面，對這些分散獨立的安全事件信息難以形成全面的風險抵御，導(dǎo)致了安全策略和配置難于統(tǒng)一協(xié)調(diào)，安全事件無法迅速響應(yīng)。二是由于與安全相關(guān)的信息量越來越大，關(guān)鍵的安全信息和告警事件常常被低價值或無價值的告警信息所淹沒，一些全局性的、影響重大的問題很難被分析和提煉出來。三是由于新的安全威脅總是出現(xiàn)在安全應(yīng)對措施之前，完全依賴安全技術(shù)的安全防護系統(tǒng)無法真正確保網(wǎng)絡(luò)的安全和提高企業(yè)的安全防護能力。根據(jù)國網(wǎng)、省公司要求，確定地市公司的信息安全需求和可接受的殘余風險，建立常態(tài)風險評估機制。開展信息安全風險評估工作，了解和評價公司的信息安全現(xiàn)狀，提出信息系統(tǒng)的安全需求，公司領(lǐng)導(dǎo)層再依據(jù)評估報告，選擇最佳的風險控制措施，確立有效的信息安全保障體系。2．2．2制定策略，設(shè)計方案［3］建立安全信息監(jiān)管系統(tǒng)，將來自不同設(shè)備的事件記錄(例如:防火墻、入侵檢測系統(tǒng)、防毒軟件、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫及其它應(yīng)用系統(tǒng)等)，進行數(shù)據(jù)采集、關(guān)聯(lián)分析、事件優(yōu)先重要性分析及視覺圖形化呈現(xiàn)。并自動地將雜亂無章的系統(tǒng)信息轉(zhuǎn)換成有意義、且利于用戶對安全事件做出響應(yīng)的有用信息，最終完成從安全信息來源，到安全信息采集，再到安全信息處理，直至安全事件管理的全部監(jiān)管過程。建立重要數(shù)據(jù)安全管理系統(tǒng)。采用高可用性冗災(zāi)技術(shù)、加密技術(shù)、數(shù)據(jù)檢索技術(shù)，通過完善的人員組織建設(shè)和培訓(xùn)，以及周密的流程設(shè)計和測試演練，最大限度地降低突發(fā)性災(zāi)難對企業(yè)關(guān)鍵業(yè)務(wù)環(huán)境的影響，切實保障企業(yè)重要數(shù)據(jù)資料安全。開發(fā)IT運維監(jiān)管平臺。通過對桌面終端管理系統(tǒng)、IT綜合管理系統(tǒng)等進行有效整合，集中監(jiān)控管理網(wǎng)絡(luò)、主機、軟件的基本信息資料，通過運維流程管理，簡化業(yè)務(wù)支撐系統(tǒng)的硬件、軟件的多樣性，降低系統(tǒng)管理維護的復(fù)雜性，從而達到“集中監(jiān)控、集中維護、集中管理”的目標。同時，減少系統(tǒng)建設(shè)維護成本，節(jié)約投資和降低人力成本。2．2．3方案審查信息化領(lǐng)導(dǎo)小組負責審查相關(guān)信息化建設(shè)方案，負責公司信息安全重大事項決策和協(xié)調(diào)工作，全過程監(jiān)督方案的落實和各個項目的建設(shè)。2．2．4組織實施各相關(guān)部門嚴格遵守公司下發(fā)的信息安全管理規(guī)章制度，執(zhí)行各種信息安全管理辦法，全面落實安全措施，加強對部門內(nèi)部安全檢查與改進，著力做好各項安全工作。公司與各單位簽訂《信息安全責任書》，把安全責任和安全措施落實到每個環(huán)節(jié)、每個崗位和每位員工身上，形成“大安全”管理局面，把“誰主管誰負責、誰運行誰負責、誰使用誰負責、誰督查誰負責”的原則落到實處。2．2．5檢查驗收公司對方案的落實情況、項目的實施情況采取驗收測評、跟蹤檢查等手段，并查找問題，提出整改措施，形成整套完備有效的信息安全防護體系。

3評估與改進

評估與改進是安全保障體系中的重要環(huán)節(jié)。真正的安全保障體系，不是一次性完備的架構(gòu)，而是一個由安全評估與改進-安全防護-安全評估與改進-安全防護……的循環(huán)發(fā)展、動態(tài)完善的系統(tǒng)工程。可以說，沒有安全評估與改進的安全保障體系不具備真正的安全性。如圖2所示，反饋式的評估和檢查能加強網(wǎng)絡(luò)安全防護，能夠通過評估和改進達到自我調(diào)整和完善，是檢驗網(wǎng)絡(luò)安全與否的動態(tài)標準。

3．1評估

3．1．1評估的方法

(1)委托信息安全專家對公司信息安全項目評估、驗收。(2)開展各種信息安全反違章、專項治理活動進行檢查、評估。(3)通過技術(shù)手段進行安全檢查、評估。

3．1．2評估的內(nèi)容

(1)貫徹、落實各級安全管理制度、規(guī)范情況。(2)保護定級方案執(zhí)行情況。(3)重點項目的實施情況。

3．2信息安全技術(shù)保障體系建設(shè)中存在的問題

3．2．1信息安全技術(shù)標準規(guī)范體系不夠完善

(1)信息安全技術(shù)標準數(shù)量少，尤其缺乏信息安全風險評估標準，導(dǎo)致信息化建設(shè)缺乏統(tǒng)一的評估規(guī)范。(2)在實施過程中，缺乏必要的監(jiān)督管理，致使標準未能得到有效實施。

3．2．2全員信息安全意識較淡薄

(1)很多用戶對信息安全問題認識不足，在系統(tǒng)缺乏保護的情況下就接入互聯(lián)網(wǎng)，致使系統(tǒng)頻頻受到病毒、木馬、黑客的攻擊，經(jīng)常處于被動修補狀態(tài)。(2)由于信息安全法律意識淡薄，一些員工將不該的信息到了網(wǎng)上，導(dǎo)致不良信息的影響日益突出。(3)重“硬”輕“軟”現(xiàn)象突出，把信息安全防護希望全部寄托在信息安全產(chǎn)品和技術(shù)解決方案上，而忽視信息安全管理和信息安全人才的培養(yǎng)。

3．2．3信息安全管理和技術(shù)人才缺乏

(1)信息安全技術(shù)人才缺乏，導(dǎo)致信息安全技術(shù)保障功能得不到充分發(fā)揮。(2)信息安全管理人才不足，難以對信息系統(tǒng)、信息安全產(chǎn)品進行有效管理、配置，增加了信息安全事件的發(fā)生概率。

3．3改進的方向和對策

(1)加快推進信息安全標準化工作。加強信息安全標準的制定和實施，不斷完善信息安全標準體系建設(shè)，不斷增強信息安全標準的創(chuàng)新，提高自主開發(fā)的比重;加大宣傳培訓(xùn)力度，有效推進標準的實施工作。(2)持續(xù)開展安全服務(wù)管理各項活動。信息安全管理是一個動態(tài)、持續(xù)的過程。信息安全生命周期是各種活動的不斷循環(huán)，包括完善策略體系，改進各項信息安全計劃，加強人才培養(yǎng)和意識教育，定期進行信息安全評估與檢查，長期的信息安全系統(tǒng)運維與支持，不間斷的安全功能改進和實施等內(nèi)容。(3)提高全員的信息安全防范意識。開展信息安全教育，增強信息安全意識。要提高信息安全意識，真正認識到信息安全防護的重要性，消除“無所謂”的錯誤思想;加大信息安全防護知識的普及教育工作，加強人員的培訓(xùn)和管理，推廣信息安全技術(shù)和產(chǎn)品應(yīng)用，提高企業(yè)用戶和個人用戶的信息安全知識水平，從技術(shù)上和管理上切實提高公司信息安全保障能力。［4］

4結(jié)語

信息安全技術(shù)保障體系建設(shè)是一個復(fù)雜的系統(tǒng)工程，同時也是一個不斷完善的過程，從無到有，從不完善到完善，貫穿信息系統(tǒng)的整個生命期。實踐告訴我們，隨著網(wǎng)絡(luò)信息的發(fā)展和規(guī)模的擴大，網(wǎng)絡(luò)的安全缺陷也會加大。同時，不斷變化的信息安全需求和環(huán)境也要求有不斷改進的信息安全體系與之相適應(yīng)。我們必須清醒地認識到，安全是一個過程，世界上沒有一勞永逸的安全。信息安全技術(shù)保障體系建設(shè)，要以用戶身份認證為基礎(chǔ)，以信息安全保密為核心，以網(wǎng)絡(luò)邊界防護和信息安全管理為輔助，建立起全面有機的安全整體，從而建立起真正有效的、能夠為信息化建設(shè)提供安全保障的可靠平臺，最終才能夠為電網(wǎng)的安全穩(wěn)定運行保駕護航。

本文作者:劉立亮王軍徐暢工作單位:安徽省宣城供電公司

第二篇:IT項目信息安全管理方法

一、前言

業(yè)務(wù)應(yīng)用的不斷拓展，信息系統(tǒng)已全面滲透到企業(yè)的運營中，而隨著網(wǎng)絡(luò)和通信技術(shù)的快速發(fā)展，網(wǎng)絡(luò)互聯(lián)與開放、信息共享帶來了日益增長的安全威脅[1]；病毒和黑客攻擊越來越多，安全事件爆發(fā)越來越頻繁，直接影響企業(yè)正常業(yè)務(wù)運作。特別是對于移動通信運營商而言，信息安全尤為重要，為了保障客戶利益，加強對信息系統(tǒng)的信息安全管理工作刻不容緩。新建項目中容易忽視信息安全問題，如果安全管理工作不到位，安全風險就得不到控制，而對安全風險進行控制所需的成本則隨著安全管理工作介入項目的時間越晚而越高（如圖1所示）；因此，為降本增效，在IT項目的建設(shè)過程中，越早引入信息安全管理，安全風險控制的成本就越低，達到的安全水平也越高。對IT項目進行全生命周期的安全管理，滿足集團安全管理“三同步”的要求，即在系統(tǒng)的設(shè)計、建設(shè)和運行過程中，做到同步規(guī)劃、同步建設(shè)、同步運行[1]。

二、IT項目全生命周期安全管理要求

對IT項目進行安全管理，一方面是要求項目能應(yīng)達到與其承載業(yè)務(wù)相符的安全特性，如認證、賬戶管理、操作審計等功能；另一方面，對項目進行全生命周期的安全管理，在項目的不同階段進行評審和驗證，確保項目滿足規(guī)定的安全方案。結(jié)合ISO27000標準體系、國家信息安全標準以及薩班斯法案（SOX）的要求，制定IT項目建設(shè)全生命周期的項目安全管理工作流程。在項目全生命周期各階段加入安全管控點（如圖2所示），制定各階段安全管控點的安全控制措施和人員職責，充分考慮信息安全方面的要求，確保開發(fā)出來的系統(tǒng)可以滿足公司的安全方針、國家法律法規(guī)及薩班斯法案（SOX）的要求。安全要求是通過對安全風險的系統(tǒng)評估予以識別的[2]，因所承載的業(yè)務(wù)的差異，每個系統(tǒng)的安全要求有所不同，每個系統(tǒng)都必須根據(jù)其業(yè)務(wù)流程評估安全風險，確定其對信息完整性、安全性、可用性的要求，從而采取適當?shù)陌踩刂拼胧Ｈ缟婕翱蛻糍Y料、經(jīng)營信息的系統(tǒng)安全級別較高，而用于輔助辦公的系統(tǒng)安全級別則較低，需要采取不同的安全控制措施，才能將信息安全落到實處；不恰當?shù)陌踩墑e劃分，會導(dǎo)致敏感數(shù)據(jù)的訪問控制不嚴，甚至敏感數(shù)據(jù)在防護之外。

三、IT項目建設(shè)各階段安全管理實施方法

3.1項目規(guī)劃階段安全管理

項目規(guī)劃階段，定義業(yè)務(wù)需求，并進行可行性研究；在定義業(yè)務(wù)需求時，應(yīng)注重對信息安全方面的需求制定。在業(yè)務(wù)需求書中，應(yīng)明確對系統(tǒng)安全的詳細要求，并由項目各相關(guān)方（含信息安全人員）進行評審，評審?fù)ㄟ^才能進行項目立項。業(yè)務(wù)需求制定完成，任何對系統(tǒng)安全需求的修改，也應(yīng)視為對業(yè)務(wù)需求書的修改，需經(jīng)過正式的系統(tǒng)變更流程。

3.2項目設(shè)計階段安全管理

通過對業(yè)務(wù)流程的分析，對系統(tǒng)進行整體設(shè)計和詳細設(shè)計，考慮數(shù)據(jù)傳輸、處理、存儲等各個過程中的安全要求，確保實現(xiàn)所有過程中對數(shù)據(jù)的全面保護，特別是對關(guān)鍵業(yè)務(wù)的敏感數(shù)據(jù)的保護，如客戶資料、經(jīng)營數(shù)據(jù)等，對重要數(shù)據(jù)的存儲和傳輸設(shè)置權(quán)限和校驗，并進行加密。在系統(tǒng)應(yīng)用安全層面應(yīng)至少進行以下安全控制設(shè)計：（1）身份認證。對用戶進行身份識別，并根據(jù)安全策略配置相關(guān)參數(shù)，如限制非法登錄次數(shù)、超時自動退出等，確保系統(tǒng)不被非法用戶進入。（2）訪問控制。遵循最小權(quán)限原則控制用戶對文件、數(shù)據(jù)庫表等客體的訪問。（3）日志與審計。對應(yīng)用程序中的重要事件進行日志記錄，并進行審計，以便對系統(tǒng)的重要操作和安全事件進行追蹤審查。（4）通信安全。對通信過程中的敏感信息字段進行加密，確保重要的業(yè)務(wù)數(shù)據(jù)和敏感的系統(tǒng)信息（如口令）的傳輸不能被竊取和篡改。對于支撐公司業(yè)務(wù)運營的系統(tǒng)，必須設(shè)計與公司4A系統(tǒng)的接口。4A系統(tǒng)是融合統(tǒng)一用戶賬號管理、統(tǒng)一認證管理、統(tǒng)一授權(quán)管理和統(tǒng)一安全審計四要素的安全管理平臺解決方案，與薩班斯法案（SOX）內(nèi)控需求一致。支撐公司業(yè)務(wù)運營的系統(tǒng)必須接入4A系統(tǒng)進行統(tǒng)一管理，以保證認證、授權(quán)和審計安全策略的一致實施。

3.3項目實施階段安全管理

開發(fā)人員應(yīng)參照規(guī)范編寫代碼；嚴禁不安全的實施方法，如將用戶名或密碼編寫在程序中、使用未經(jīng)安全評估的第三方產(chǎn)品等。對源代碼的訪問和修改必須嚴格控制，建議使用配置管理工具進行代碼訪問及代碼版本控制。開發(fā)平臺上如需使用來自生產(chǎn)環(huán)境的敏感數(shù)據(jù)，必須是過期并經(jīng)過模糊化處理后的數(shù)據(jù)，并保留數(shù)據(jù)導(dǎo)入的處理記錄。

3.4項目驗收階段安全管理

驗收測試前，需要制定相應(yīng)的安全驗收標準，驗收要求和標準應(yīng)定義清楚，并經(jīng)信息安全人員評審?fù)ㄟ^。在測試過程中，需通過技術(shù)手段，如漏洞掃描等，對系統(tǒng)的安全性進行測試，并驗證達到要求的管理水平。安全驗收測試的結(jié)果應(yīng)由信息安全人員進行評審，以確認測試結(jié)果符合系統(tǒng)設(shè)計及公司整體的信息安全需要，或已經(jīng)授權(quán)采取了充分、恰當?shù)难a償性措施。對于測試中產(chǎn)生的信息和結(jié)果應(yīng)注意保密，以免泄漏影響系統(tǒng)安全性。

3.5系統(tǒng)上線部署階段安全管理

系統(tǒng)上線部署前，通過開展安全漏洞檢查、安全防護配套設(shè)施檢查、基線配置檢查等核查手段，確認安全方面的缺陷已被充分確認及記錄，所有與系統(tǒng)相關(guān)的補丁或更新已經(jīng)實施，所有測試數(shù)據(jù)已清理，軟/硬件符合集團安全基線配置規(guī)范。此外，系統(tǒng)如需對互聯(lián)網(wǎng)開放，在系統(tǒng)上線前應(yīng)經(jīng)過對互聯(lián)網(wǎng)開放的審批，并對提供WEB服務(wù)的網(wǎng)站部署網(wǎng)站頁面防篡改系統(tǒng)。系統(tǒng)上線后，系統(tǒng)運行一段時間后對系統(tǒng)進行評估，評價系統(tǒng)對信息安全要求的符合情況、信息安全控制措施的運行效果和效率，以及潛在的需要改進的信息安全措施。

3.6系統(tǒng)運營階段安全管理

（1）操作管理和控制。制定不相容職責矩陣，對用戶最小化授權(quán)，并制定操作規(guī)程。（2）變更管理和控制。實施變更前，詳細的變更方案必須獲得審批，確保變更不會對系統(tǒng)的安全性和完整性造成不良影響；開發(fā)測試人員不能訪問生產(chǎn)系統(tǒng)，以防止未經(jīng)測試或未經(jīng)審批的變更上線到生產(chǎn)系統(tǒng)。（3）安全狀態(tài)監(jiān)控。對系統(tǒng)的安全運行狀態(tài)進行監(jiān)控，確保系統(tǒng)運行安全。（4）業(yè)務(wù)連續(xù)性管理。制定安全事件應(yīng)急處置預(yù)案，應(yīng)急預(yù)案應(yīng)明確組織機構(gòu)及工作職責，并定期進行應(yīng)急演練。（5）安全測評與改進。定期進行漏洞掃描、滲透測試等安全評估手段，挖掘系統(tǒng)存在的安全漏洞并進行改進。

3.7系統(tǒng)下線階段安全管理

系統(tǒng)由于生命周期管理需要退出服務(wù)，進入系統(tǒng)消亡環(huán)節(jié)，應(yīng)對受到保護的數(shù)據(jù)信息進行妥善轉(zhuǎn)移、轉(zhuǎn)存、銷毀，確保不發(fā)生信息安全事件；涉及到信息轉(zhuǎn)移、暫存和清除、設(shè)備遷移或廢棄、介質(zhì)清除或銷毀，以及相應(yīng)資產(chǎn)清單的更新。

四、結(jié)語

通過在IT項目生命周期的各個階段中實施信息安全管理，確保安全需求在IT項目中進行了充分實施，項目滿足公司整體安全策略的要求；建立以管理手段為抓手，以技術(shù)手段為支撐的IT項目安全管理體系。

本文作者:杜衡工作單位:中國移動（深圳）有限公司

第三篇:單位網(wǎng)站信息安全的重要性

一、網(wǎng)站信息安全被入侵的兩種主要形式

（一）SQL注入攻擊

互聯(lián)網(wǎng)中的許多Web應(yīng)用都采用數(shù)據(jù)庫來存儲信息。使用SQL命令可以方便的將前臺Web頁面的應(yīng)用數(shù)據(jù)和后臺數(shù)據(jù)庫中數(shù)據(jù)進行傳遞。這些Web站點的頁面可以根據(jù)用戶輸入的相關(guān)參數(shù)拼接成合法的SQL查詢語句，再將這些語句傳遞至服務(wù)器端對數(shù)據(jù)庫進行查詢。而別有用心者可以通過直接在URL地址欄或者表單域中直接輸入SQL命令，以此繞過web頁面的數(shù)據(jù)檢查改變查詢屬性，可以獲取對數(shù)據(jù)庫更高權(quán)限的操作。

（二）DDOS攻擊

DDoS攻擊發(fā)源于傳統(tǒng)的DoS(DenialofService)拒絕服務(wù)攻擊基礎(chǔ)之上，DoS往往是指黑客通過單一的IP地址向某一目標主機發(fā)出“合法”的訪問請求，而耗盡目標主機的網(wǎng)絡(luò)帶寬和硬件資源（CPU、內(nèi)存等）的攻擊方式。這種攻擊方式在當今網(wǎng)絡(luò)技術(shù)和硬件技術(shù)飛速發(fā)展的情況下，已基本無用武之地。于是，分布式拒絕服務(wù)DDoS攻擊方式應(yīng)運而生。所謂分布式拒絕服務(wù)攻擊，就是黑客利用互聯(lián)網(wǎng)的優(yōu)勢，利用操作系統(tǒng)或軟件漏洞同時聯(lián)合眾多傀儡機對某一目標主機展開更大規(guī)模、更高強度的攻擊，使目標主機的大量網(wǎng)絡(luò)和硬件資源被占用，而無法對正常用戶提供服務(wù)。

二、防范黑客攻擊，維護網(wǎng)站信息安全的具體方法

SQL注入產(chǎn)生的原因的是程序員在應(yīng)用開發(fā)過程中的編程不嚴謹,忽視了對用戶數(shù)據(jù)的檢查而造成的，SQL注入問題的解決根本途徑就是編制完善的程序。具體需要注意以下幾點：1.敏感字符直接過濾；2.參數(shù)化用戶輸入數(shù)據(jù)；3.使用ApacheWeb服務(wù)的安全檢測模塊。Apache的mod_security模塊是一個集入侵檢測和防御功能的開源的web應(yīng)用安全檢測程序。它基于ApacheWeb服務(wù)器運行,目標是增強web應(yīng)用程序的安全性,防止web應(yīng)用程序受到已知或未知的攻擊。如果要使用此安全模塊，需要在/download/下載mod_security安全模塊并安裝，DDoS攻擊的最終目的是要耗盡服務(wù)器的網(wǎng)絡(luò)和硬件資源，因此，從這個角度上來講，哪怕有足夠多的正常訪問請求也同樣可以造成服務(wù)器的“拒絕服務(wù)”的情況出現(xiàn)。所以，從根本上解決拒絕服務(wù)攻擊，還需要做好以下幾點工作：1.保證服務(wù)器有足夠的網(wǎng)絡(luò)帶寬。2.適時升級服務(wù)器硬件。3.采用較新的服務(wù)器操作系統(tǒng)。4.及時打補丁修復(fù)系統(tǒng)漏洞。4.提前做好針對性預(yù)防工作。5.準確判斷攻擊方式。發(fā)生攻擊時，應(yīng)通過軟件抓取數(shù)據(jù)包進行分析，根據(jù)不同的攻擊方式采取不同的解決方法。6.保留詳細系統(tǒng)日志，方便追查元兇。采用的安全手段越多．所帶來的運行成本就越高．系統(tǒng)的運行效率就越低．要在運行成本運行效率中間進行平衡。同時，也應(yīng)該認識到安全防范手段是一個持久更新漸進的過程．所以需要不斷改進．優(yōu)化采用的技術(shù)方法和安全策略。因此沒有絕對安全而只有相對的安全即在風險和運行成本、效率可以接受前提條件下的安全。通過采用上述安全體系架構(gòu)，再結(jié)合相關(guān)的軟件和硬件安全措施，基本上保證了系統(tǒng)的安全性要求在具體技術(shù)措施的選取上，也可根據(jù)實際情況，在保證安全性的前提下進行適當?shù)恼{(diào)整和修改。此外，解決網(wǎng)站安全問題，除了要有好的安全防護技術(shù)措施外，還要增強內(nèi)部工作人員防范意識，以確保網(wǎng)站安全穩(wěn)定運行、健康發(fā)展。

本文作者:翟松青工作單位:泰州市高新技術(shù)創(chuàng)業(yè)服務(wù)中心

第四篇:運營商客戶信息安全防護

1背景

隨著光纖寬帶、移動電話、移動互聯(lián)網(wǎng)的普及，通信服務(wù)在我們的日常生活中發(fā)揮了越來越重要的作用。通信運營商作為提供基礎(chǔ)通信服務(wù)的企業(yè)，在為更多的客戶（為描述方便，本文中不嚴格區(qū)別客戶與用戶的概念，文中客戶既指客戶也指用戶）提供通信服務(wù)的同時，也在企業(yè)內(nèi)存儲了大量與客戶相關(guān)的信息，包括客戶身份、住址、銀行賬號、通信位置、通信行為、通信內(nèi)容等信息。這些信息與通信服務(wù)使用者日常的生產(chǎn)生活息息相關(guān)，包含了屬于客戶自己的隱私信息。便捷的通信方式為人們生活帶來方便的同時也給不法分子帶來了可乘之機。近年來，利用通信工具的犯罪越來越多。為遏制通信犯罪，國家工業(yè)和信息化部對通信運營商提出了用戶實名登記的要求。根據(jù)工業(yè)和信息化部頒布的《電話用戶真實身份信息登記規(guī)定》，從2013年9月1日起，我國電信業(yè)務(wù)經(jīng)營者為用戶辦理固定電話裝機、移機，移動電話(含無線上網(wǎng)卡)開戶、過戶等入網(wǎng)手續(xù)時，需要如實登記用戶提供的真實身份信息。通信運營商所記錄和存儲的客戶信息將更為真實完整。這些信息一旦被泄露或被不正當?shù)氖褂茫貏t可能引發(fā)重大群體性事件，輕則造成客戶個人信息的泄露，給個人帶來不利的影響。為保護個人信息安全，國家在2009年刑法修正案第二百五十三條增加了對“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人”刑事犯罪行為的描述條款。保證客戶信息的安全，避免被非法濫用，是通信運營商必須承擔的重要社會責任和義務(wù)。同時，對客戶信息的安全防護能力也是通信企業(yè)市場核心競爭力的重要基礎(chǔ)。

2通信運營商客戶信息存儲及使用情況分析

通信運營商為做好客戶信息安全防護工作，首先需要全面分析客戶信息在自身內(nèi)部的生成、存儲、使用、封存及銷毀的情況。需要從客戶信息在企業(yè)內(nèi)流轉(zhuǎn)的全過程來考慮與之相關(guān)的安全防護工作。總體上來看，客戶信息在通信運營商內(nèi)部的流轉(zhuǎn)情況如圖1所示。

2.1客戶信息的生成

通信運營商客戶信息的生成來源于如下幾個渠道：（1）客戶到營業(yè)場所（包括運營商自有營業(yè)廳和社會代辦點）辦理業(yè)務(wù)，客戶向業(yè)務(wù)人員提供自身身份信息，這些信息連同所辦理的業(yè)務(wù)信息被錄入運營商內(nèi)部信息管理系統(tǒng)。根據(jù)前臺業(yè)務(wù)辦理要求，作為業(yè)務(wù)辦理憑證，相關(guān)信息還會被打印生成（2）客戶通過運營商的客戶服務(wù)電話辦理業(yè)務(wù)，或是運營商的客戶服務(wù)經(jīng)理上門為客戶辦理業(yè)務(wù)，客服人員核查記錄客戶的身份信息和所辦理的業(yè)務(wù)信息，錄入內(nèi)部信息管理系統(tǒng)。其中，客戶經(jīng)理在上門服務(wù)過程中會生成相關(guān)信息的紙質(zhì)存檔。（3）客戶通過運營商提供的自助服務(wù)平臺，提供自身身份信息，提交需要辦理的業(yè)務(wù)信息，這些信息通過自助服務(wù)平臺會傳遞到內(nèi)部信息管理系統(tǒng)。（4）客戶使用運營商的通信網(wǎng)絡(luò)服務(wù)，網(wǎng)元平臺產(chǎn)生對客戶的通信服務(wù)記錄信息。這些信息最后也會傳遞到內(nèi)部信息管理系統(tǒng)進行集中處理。（5）運營商在派單給外線裝維施工人員上門安裝和處理故障的時候，會產(chǎn)生所服務(wù)客戶信息的紙質(zhì)存檔。

2.2客戶信息的使用

在通信運營商內(nèi)，如下人員在特定的工作場合需要訪問使用相關(guān)的客戶信息：（1）營業(yè)人員和客戶經(jīng)理在為客戶辦理業(yè)務(wù)時，營業(yè)稽核人員在進行業(yè)務(wù)稽核時，需要核查當前客戶信息及其已有的業(yè)務(wù)訂購信息、消費信息等。（2）客服人員在為客戶提供服務(wù)時，需要核查當前客戶信息及其已有的業(yè)務(wù)訂購信息、消費信息等。（3）客戶經(jīng)理在日常客戶維系工作中，需要查閱所維系客戶群客戶信息及業(yè)務(wù)訂購信息、消費信息等。（4）裝維人員（或施工派單人員）在派單上門服務(wù)前，需要查詢上門服務(wù)的客戶信息及業(yè)務(wù)訂購信息、線路信息等。（5）經(jīng)營分析、營銷策劃人員在進行企業(yè)運營情況分析、策劃營銷活動的時候，需要查詢統(tǒng)計與客戶相關(guān)的信息。（6）信息管理系統(tǒng)的運營支撐人員在日常系統(tǒng)問題核查處理、提供臨時數(shù)據(jù)處理服務(wù)時，需要查詢處理與客戶相關(guān)的信息。在通信運營商外部，還存在如下人員在特定的場合需要訪問使用相關(guān)的客戶信息的情況：（1）外部業(yè)務(wù)商在代辦通信業(yè)務(wù)時，需要核查當前客戶信息及其已有的業(yè)務(wù)訂購信息、消費信息等。（2）客戶通過自助服務(wù)平臺需要查詢與自己相關(guān)的客戶信息、業(yè)務(wù)訂購信息、通信行為信息、消費信息等。（3）部分運營商應(yīng)用平臺或與運營商合作的外部應(yīng)用平臺在為客戶提供通信增值服務(wù)時，需查詢校驗客戶信息。

2.3客戶信息的歸檔與銷毀

不同類型的客戶信息有不同的生命周期。通信運營商對自身存儲的各類客戶信息的保存和封存期限有不同的內(nèi)部規(guī)定。比如通話及短信詳單保存3個月、客戶的通信賬單保存6個月、業(yè)務(wù)資料保存10年等等。超過規(guī)定保存期限不再使用的客戶信息會逐月歸檔封存，最后在封存期過后按要求被銷毀。

3通信運營商的客戶信息安全防護策略

通信運營商具有客戶數(shù)量大、客戶信息數(shù)據(jù)多、數(shù)據(jù)變更頻繁且增長迅速、內(nèi)外部可能接觸到相關(guān)信息的人員多、日常業(yè)務(wù)運營面對激烈的市場競爭需要能及時便捷的獲取需要的信息、自身信息安全防護水平要求高等特點，在這樣的環(huán)境下，客戶信息安全防護工作具有一定的難度，但也不是無章可循。總體而言，需要從如下幾個方面采取相應(yīng)的安全防護措施：

3.1內(nèi)外部人員安全意識宣貫及常態(tài)運營體系建設(shè)

通信運營商日常各項生產(chǎn)運營工作繁雜，要做好客戶信息安全防護，首先需要對這項工作有充分的重視。通過在運營商內(nèi)外加強對這項工作的重要性及安全管理要求的宣貫，培養(yǎng)和增強可能接觸到客戶信息的人員對相關(guān)信息的安全防范意識。形成具有高度客戶信息安全防范意識的企業(yè)文化，使得各級人員在日常工作中能自覺地考慮到客戶信息安全風險，在安全管理制度要求與工作便捷性有矛盾的時候，能辨別輕重緩急。各級人員敏銳的客戶信息安全防范意識，能為相關(guān)安全防護工作創(chuàng)建良好的內(nèi)外部環(huán)境和奠定堅實的基礎(chǔ)。客戶信息安全防護工作與日常各項生產(chǎn)活動息息相關(guān)，需要結(jié)合日常工作進行常態(tài)化的運營管控。在運營商內(nèi)部需要建立客戶信息安全運營管控團隊，負責建立和完善內(nèi)部相關(guān)的管理制度并監(jiān)督執(zhí)行，時時關(guān)注相關(guān)安全防護設(shè)施運行情況，監(jiān)測排查可能存在的風險和漏洞。運作良好的運營管控團隊是高水準客戶信息安全防護的必要保障。

3.2信息分級與脫敏

通信運營商保存有數(shù)量龐大的客戶信息，不同信息有不同的敏感程度。比如客戶姓名、住址、聯(lián)系方式等信息通常有比客戶訂購了何種通信服務(wù)、當前有多少的預(yù)付費余額信息更敏感，而客戶在何時何地與何人有過何種通信聯(lián)系則具有更高的敏感級別。不加區(qū)分地對這些信息進行安全防護會嚴重干擾和影響其他運營工作的效率，也會增加企業(yè)不必要的成本投入。為提高安全防護效率，需要根據(jù)相關(guān)信息的重要性及被濫用可能帶來的影響及風險，對需要被防護的客戶信息進行分級。對不同等級的客戶信息采取不同的安全管控措施。基于對客戶相關(guān)信息的分級，可以梳理不同級別的客戶信息在哪些場合能夠被哪些人員訪問和使用，劃分不同級別客戶信息的訪問權(quán)限，制定對應(yīng)的訪問管理制度，搭建起客戶信息安全的防范體系框架。對于高敏感性的信息，可以通過模糊處理進行脫敏以降低相關(guān)信息的敏感性水平，比如對運營商內(nèi)外部大多數(shù)人員，都無需知道用戶完整的身份證號碼，可以對特定位數(shù)的身份證號碼顯示特定的模糊信息，而不影響日常相關(guān)信息的訪問效率。

3.3權(quán)限管控

對客戶信息特別是信息管理系統(tǒng)內(nèi)存貯的信息數(shù)據(jù)，訪問處理權(quán)限的管控是日常安全防護工作的重心和主要內(nèi)容。根據(jù)運營商內(nèi)外不同角色人員及日常主要工作的特點，按照所需權(quán)限最小化的原則，劃定與之相匹配的信息訪問權(quán)限，限定只能訪問特定級別的客戶信息。通過對不同系統(tǒng)賬號授予的權(quán)限情況進行管控，建立賬號創(chuàng)建和權(quán)限變更的審批機制，定期審計相關(guān)系統(tǒng)賬號權(quán)限授予情況，確保所授予的權(quán)限滿足其使用者日常工作需要且不存在超越工作權(quán)限范圍的信息訪問權(quán)限。針對特定場合下，具有普通權(quán)限的人員可能需要臨時訪問高安全風險級別信息的情況，建立內(nèi)部審批機制及信息流轉(zhuǎn)程序。最大限度的控制信息管理系統(tǒng)賬號的權(quán)限范圍，監(jiān)管對高級別客戶信息的訪問權(quán)限。同時，還需要對相關(guān)系統(tǒng)內(nèi)賬號的安全性進行管控，避免賬號權(quán)限的泄露。對高權(quán)限等級的賬號，需要限定嚴格的使用條件，建立配套的管理機制，防止被濫用。另外，還需要對存儲客戶信息的信息管理系統(tǒng)對外部系統(tǒng)平臺提供的接口進行權(quán)限管控，確認應(yīng)用系統(tǒng)對外部系統(tǒng)平臺提供的訪問接口所傳輸?shù)臄?shù)據(jù)在允許范圍內(nèi)，定期核查審計接口日志及行為，降低通過系統(tǒng)的外部接口泄露客戶信息的風險。

3.4信息安全基礎(chǔ)設(shè)施建設(shè)

對于大多數(shù)以電子形式存貯的客戶信息，需要建立完善的安全防護基礎(chǔ)設(shè)施，從技術(shù)手段上監(jiān)控、管理、封堵各種可能導(dǎo)致信息泄露的途徑。通過信息安全基礎(chǔ)設(shè)施建設(shè)，可以從如下各方面加強信息安全防護：（1）通過終端準入認證、統(tǒng)一認證、合規(guī)性檢查、數(shù)據(jù)泄露防護、漏洞掃描等設(shè)施，管控訪問客戶信息的終端，避免外來終端隨意接入內(nèi)部網(wǎng)絡(luò)，同時限定訪問信息數(shù)據(jù)的終端必須達到預(yù)設(shè)的安全條件。（2）通過前置堡壘機系統(tǒng)、漏洞掃描、配置管理、日志審計等基礎(chǔ)設(shè)施，管控提供客戶信息數(shù)據(jù)服務(wù)的主機，防止開放不必要的端口和服務(wù)，防止存在可被利用的后門和漏洞，保障日常的主機操作置于可監(jiān)控、可審計范圍，提高主機安全水平。（3）通過網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)行為審計、網(wǎng)絡(luò)入侵檢測等基礎(chǔ)設(shè)施，管控客戶信息傳輸?shù)木W(wǎng)絡(luò)，限定信息數(shù)據(jù)只能在特定的網(wǎng)絡(luò)內(nèi)傳輸、遵循特定的網(wǎng)絡(luò)訪問策略，保障信息數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中不能被非法監(jiān)聽、截獲。（4）通過應(yīng)用日志審計、應(yīng)用漏洞掃描和應(yīng)用防火墻等基礎(chǔ)設(shè)施，管控提供客戶信息數(shù)據(jù)的應(yīng)用系統(tǒng)，降低應(yīng)用系統(tǒng)因為存在設(shè)計編寫不良的程序代碼和被不恰當?shù)牟渴稹⑴渲枚鴰淼男畔?shù)據(jù)泄露風險。（5）通過數(shù)據(jù)庫漏洞掃描、數(shù)據(jù)庫操作審計等基礎(chǔ)設(shè)施，管控存儲客戶信息的信息系統(tǒng)數(shù)據(jù)庫，降低后臺數(shù)據(jù)庫系統(tǒng)被非法訪問操作帶來的數(shù)據(jù)泄露風險。（6）通過應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、文件系統(tǒng)的加密設(shè)施，使敏感信息能以密文方式存儲，可以從信息數(shù)據(jù)源頭管控安全風險。（7）通過機房、庫房安全監(jiān)控等基礎(chǔ)設(shè)施，管控存儲和可訪問客戶信息數(shù)據(jù)的機房和庫房物理環(huán)境的安全，防止經(jīng)由外部物理環(huán)境的安全入侵帶來信息數(shù)據(jù)泄露風險。不同的安全基礎(chǔ)設(shè)施各有側(cè)重，但不是相互獨立的，需要通過體系化的規(guī)劃建設(shè)將它們有效地整合起來，使其相互銜接、互為補充，形成完善的安全防護設(shè)施體系。

3.5存儲介質(zhì)管理

加強對信息存儲介質(zhì)的管理是一項重要的客戶信息安全防護策略。關(guān)注并限定信息可能存儲的介質(zhì)，不允許信息擴散到允許的存儲介質(zhì)范圍之外，降低經(jīng)由存儲介質(zhì)導(dǎo)致信息泄露的風險。信息存儲介質(zhì)管理涉及如下內(nèi)容：（1）存儲介質(zhì)范圍的管理：確定并管控允許各類客戶信息存在的存儲介質(zhì)范圍。通過管理和技術(shù)手段降低通過未經(jīng)許可的存儲設(shè)備轉(zhuǎn)存、帶走敏感信息的可能性。（2）存儲介質(zhì)變更及銷毀管理：在存儲有客戶信息的存儲介質(zhì)的使用目的和范圍發(fā)生變更或存儲介質(zhì)過期需要做報廢銷毀處理的情況下，確認其上的信息不能被重新恢復(fù)和獲取。（3）存儲介質(zhì)環(huán)境管理：限定存儲各類客戶信息存儲介質(zhì)的存放和訪問環(huán)境，及時歸檔管理存儲有客戶信息的新增存儲介質(zhì)。加強存儲介質(zhì)存放環(huán)境的安全管理。

4結(jié)束語

客戶信息安全防護是通信運營商在日常運營中面臨的重大課題，隨著國家通信用戶實名制的推進和公民對自身權(quán)益保護意識的提高，這項工作的成效受到來自社會公眾越來越多的關(guān)注與監(jiān)督。在新的社會環(huán)境、業(yè)務(wù)環(huán)境和網(wǎng)絡(luò)環(huán)境下，通信運營商的客戶信息安全防護工作將會日益重要與復(fù)雜，需要持之以恒、長抓不懈并根據(jù)內(nèi)外部環(huán)境的變化情況不斷的優(yōu)化完善，才能實現(xiàn)客戶信息的有效防護。

本文作者:陳興華工作單位:中國電信廣西公司

第五篇:通信網(wǎng)信息安全的應(yīng)用

1．通信網(wǎng)信息安全的現(xiàn)狀

1.1對通信網(wǎng)絡(luò)實行加密的技術(shù)

將加密技術(shù)引進到通信網(wǎng)絡(luò)當中，通信網(wǎng)絡(luò)的終端客戶需要憑借密碼才能夠進行操作，也就是說如果要想獲取通信網(wǎng)絡(luò)當中的信息，使用者就必須要輸入正確的密碼才能夠獲取到，才能夠使用到通信網(wǎng)絡(luò)，才能夠獲取到通信網(wǎng)絡(luò)當中的資源以及服務(wù)，例如移動運營商通過在通信網(wǎng)絡(luò)的終端加密保護好通信資源以及內(nèi)容，然后才能夠向客戶提供密碼操作的服務(wù)。

1.2對訪問者進行訪問控制的技術(shù)

審查與控制通信網(wǎng)絡(luò)信息資源的訪問權(quán)限，就能夠有效地防范通信網(wǎng)絡(luò)的信息資源，這種防范機制不僅將訪問客體的身份限制進行了規(guī)定，同時還控制住了訪問客體的訪問權(quán)限以及訪問資源。

1.3將硬件做好防護技術(shù)

要想做好對通信網(wǎng)絡(luò)信息安全的防護工作，利用硬件防護技術(shù)是主要的手段之一，防火墻以及相對應(yīng)的監(jiān)測設(shè)備等硬件設(shè)施是硬件防護技術(shù)的主要方法，同時利用物理隔離以及主機加密等等一些措施也是能夠起到對通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施的信息安全進行有效地防范的。

1.4設(shè)置專門的軟件進行防護技術(shù)

要想有效地實現(xiàn)對通信信息網(wǎng)絡(luò)的安全的防護，還可以通過設(shè)置專門的軟件進行防護，例如通過日志審計以及關(guān)鍵字偵查這些措施也是能夠起到一定的作用的。

2.通信網(wǎng)絡(luò)信息安全的應(yīng)用研究

伴隨著信息技術(shù)的飛速發(fā)展，通信網(wǎng)絡(luò)也在不斷地向前發(fā)展著，通信網(wǎng)絡(luò)慢慢地從2G發(fā)展到了3G。3G網(wǎng)絡(luò)系統(tǒng)的安全是可以分為應(yīng)用層、服務(wù)層和傳輸層這三個層面的，因此要想針對3G通信網(wǎng)絡(luò)實現(xiàn)信息的安全保護，可以通過如下幾個方面對其來進行技術(shù)革新和安全保護。

2.1接入網(wǎng)的安全技術(shù)

要想對3G通信網(wǎng)絡(luò)的信息安全進行防范首先就必須考慮接入網(wǎng)的安全技術(shù)。接入網(wǎng)是什么？接入網(wǎng)是指由用戶與網(wǎng)絡(luò)接口（UNI）到業(yè)務(wù)節(jié)點接口（SNI）之間的一系列傳送實體所組成的全部設(shè)施。把電信業(yè)務(wù)透明傳送到用戶手中就是接入網(wǎng)的主要職責，具體一點來說就是將本地交換機與用戶之間的連接部分相連接起來。同時在3G信息網(wǎng)絡(luò)系統(tǒng)當中，由于3G網(wǎng)絡(luò)所提供的業(yè)務(wù)準入機制和接口規(guī)范相比較而言是更為規(guī)范與全面的，因此在接入網(wǎng)方面就可以做到讓GMS網(wǎng)絡(luò)向3G網(wǎng)絡(luò)過渡的過程比較的平滑與安全，最終實現(xiàn)進入到3G網(wǎng)絡(luò)的目的。

2.2網(wǎng)絡(luò)傳輸層的安全

要想對3G通信網(wǎng)絡(luò)的信息安全進行防范除了要考慮接入網(wǎng)的安全技術(shù)之外，其次應(yīng)該考慮的就是網(wǎng)絡(luò)傳輸層的安全。當信息在網(wǎng)絡(luò)傳輸層之中進行傳輸?shù)臅r候，因為每隔一個部分就會存在著一個網(wǎng)絡(luò)節(jié)點，或者是交換器，又或者是路由器，因此當信息在網(wǎng)絡(luò)傳輸層當中進行傳輸?shù)臅r候，信息就會遭受著被竊取的風險，所以目前對于在網(wǎng)絡(luò)傳輸層當中信息傳輸?shù)陌踩珕栴}也是社會上所關(guān)注的焦點問題之一。根據(jù)目前的信息安全保障措施來看，對于網(wǎng)絡(luò)傳輸層的信息進行風險防范的主要手段是物理隔離。然而，還有一個重大的問題需要考慮和解決的就是該怎么樣做才能夠保證在保證網(wǎng)絡(luò)傳輸層的信息安全的同時讓用戶終端信息傳輸?shù)陌踩驳玫綄崿F(xiàn)。

2.3代碼安全技術(shù)

在3G通信網(wǎng)絡(luò)當中，利用代碼來保證信息傳輸?shù)陌踩允瞧渥畲蟮奶攸c。在整個通信網(wǎng)絡(luò)當中對信息的安全的保護是有一套完整的代碼來控制的，從信息的源頭也就是制造商開始，到信息的運營商，最后再到信息的終端也就是信息的接受方這整個過程都是受其的保護的，并且在信息的終端，為了確保信息的安全性，對其的代碼保密也會大大的加強。

3.網(wǎng)絡(luò)通信信息安全的防范機制的進一步的完善

要想使網(wǎng)絡(luò)通信系統(tǒng)當中的信息安全得到保證，不僅需要從信息的流向渠道方面做文章，同時也還要注意從信息安全的角度來進行防范。以我國的移動通信網(wǎng)絡(luò)運營商為例，我國的移動、聯(lián)通和電信等等，都在將GSM網(wǎng)絡(luò)進行著IP化的演進，這樣做除了能夠讓通信網(wǎng)絡(luò)的業(yè)務(wù)服務(wù)內(nèi)容和服務(wù)范圍進一步的得到擴寬之外，更重要的是能夠保護通信網(wǎng)絡(luò)信息的安全，并且這樣做是符合時代的潮流的，因為目前國內(nèi)的大部分的移動通信網(wǎng)絡(luò)都是基于IP網(wǎng)絡(luò)來實現(xiàn)信息安全保護的。為了構(gòu)建IP化的通信網(wǎng)絡(luò)，讓網(wǎng)絡(luò)通信當中的信息安全得到加強，可以從以下幾個方面來加強管理。（1）從管理人員方面來看，要想保證網(wǎng)絡(luò)通信之中的信息安全，就必須要讓管理人員首先就能夠從思想上認識到網(wǎng)絡(luò)信息安全的重要性，因此就需要技術(shù)人員和管理人員能夠具備專業(yè)的知識，對通信網(wǎng)絡(luò)設(shè)備的管理和技術(shù)服務(wù)能夠加強。（2）從網(wǎng)絡(luò)通信設(shè)備方面來看，要想讓網(wǎng)絡(luò)通信的信息安全得到保證，也需要防護網(wǎng)絡(luò)通信設(shè)備的安全，例如交換器和路由器中的網(wǎng)絡(luò)節(jié)點也需要對其進行定期的升級，預(yù)防在信息傳輸過程當中信息遭受到安全威脅。（3）從網(wǎng)絡(luò)通信的架設(shè)與結(jié)構(gòu)方面來看，對網(wǎng)絡(luò)通信的結(jié)構(gòu)設(shè)計也會影響網(wǎng)絡(luò)通信之中的信息的安全性的，因此就需要從結(jié)構(gòu)設(shè)計方面就要加強對其安全性的防范，通過日志檢測和病毒查殺等等幾個方面讓網(wǎng)絡(luò)通信的安全機制能夠得到全方位的防范，同時對于網(wǎng)絡(luò)通信的備份能力以及故障自己診斷的能力也要提高，要通過這種方式讓網(wǎng)絡(luò)通信的信息安全的應(yīng)用水平得到提升。綜上所述，每一種網(wǎng)絡(luò)都無一例外會存在著不同程度的信息安全問題和安全風險，因此保證網(wǎng)絡(luò)通信的信息安全就顯得尤為重要了，而要想將網(wǎng)絡(luò)通信的信息安全性能提高，首先就需要從信息的傳輸流向方面入手，從信息的源頭到信息的接受這一系列的過程，建立一個完整的安全信息的傳輸機制。

本文作者:鄭威工作單位:華中科技大學文華學院

第六篇:央行信息安全內(nèi)涵和策略

一、人民銀行信息安全內(nèi)涵

人民銀行信息安全內(nèi)涵非常廣泛，基本上可包括9個方面。一是物理安全，包括環(huán)境、硬件、數(shù)據(jù)、媒介、人員所面臨的威脅及其對策。二是災(zāi)害重建計劃，包括面對潛在的安全風險時事先應(yīng)作的評估。計算和應(yīng)對風險的預(yù)案，以及一旦災(zāi)害發(fā)生后應(yīng)如何盡快恢復(fù)正常生產(chǎn)，是一個短期的、在非常時期的應(yīng)急計劃。三是安全結(jié)構(gòu)和模式，包括計算機和網(wǎng)絡(luò)的原理、結(jié)構(gòu)、安全模式及其安全行為的準則。四是應(yīng)用和系統(tǒng)開發(fā)，主要包括在數(shù)據(jù)庫、分布式環(huán)境、操作系統(tǒng)中的安全組件和軟件開發(fā)周期和控制。五是通信和網(wǎng)絡(luò)安全，包括內(nèi)聯(lián)網(wǎng)及因特網(wǎng)上公開和隱秘的通信、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議、遠距訪問和管理。六是訪問控制領(lǐng)域，包括合法用戶的身份識別，允許獲取什么樣的網(wǎng)絡(luò)資源，能執(zhí)行什么樣的操作，以及辨識、鑒別、授權(quán)、監(jiān)視和審計活動。七是安全管理實踐，主要包括如何正確保護人民銀行資產(chǎn)，如何制定正確、有效的安全政策、標準、指導(dǎo)大綱和實施步驟。八是操作安全，盡管人民銀行制定了許多政策、規(guī)章制度，應(yīng)用了許多先進技術(shù)，但是在實際操作、運行中，總會發(fā)生許多偏差，或是人員不遵章守紀，或是設(shè)備偏離預(yù)設(shè)參數(shù)，因此，有必要對人、硬件、系統(tǒng)的實際運行進行控制，強制遵守標準和規(guī)范，而“操作安全”則是對“安全管理實踐”的具體落實。九是法規(guī)和道德規(guī)范，主要包括規(guī)章操作、計算機犯罪和適用的法律、條例，以及對違規(guī)操作、玩忽職守、計算機犯罪的調(diào)查、取證、犯罪證據(jù)保管等。

二、人民銀行信息安全策略

安全策略是指在一個特定的環(huán)境中，為保證信息系統(tǒng)達到一定級別的安全保護而制定的規(guī)劃、規(guī)則和所采取的措施。制定安全策略的目的是保證信息安全保護工作的整體、計劃性及規(guī)范性，保證各項措施和管理手段的正確實施，使信息系統(tǒng)數(shù)據(jù)的機密性、完整性及可使用性受到全面、可靠的保護。信息安全的成敗取決于技術(shù)和管理這2個因素。安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑。實現(xiàn)安全策略，不但要依靠先進的技術(shù)，而且要靠嚴格的安全管理、規(guī)章制度的約束和安全教育。

（一）先進的安全技術(shù)是實現(xiàn)網(wǎng)絡(luò)信息安全的根本保障

人民銀行應(yīng)對各種信息安全威脅進行風險評估，決定選擇何種安全產(chǎn)品和服務(wù)，確定相應(yīng)的安全機制，之后集成先進的安全技術(shù)，形成一個全方位的安全體系。

（二）嚴格的安全管理是保障網(wǎng)絡(luò)信息安全的有效手段

大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對于真正實現(xiàn)信息安全目標來說尤其重要。信息安全管理作為組織完整的管理體系中一個重要環(huán)節(jié)，它構(gòu)成信息安全能動性的部分，是指導(dǎo)和控制組織關(guān)于信息安全風險的相互協(xié)調(diào)的活動，其針對對象就是組織的信息資產(chǎn)。人民銀行應(yīng)加強內(nèi)部管理、用戶管理和授權(quán)管理，建立安全審計和跟蹤體系，不斷提高整體安全意識。

（三）完善的法規(guī)制度是保證人民銀行網(wǎng)絡(luò)信息

安全的重要武器對于規(guī)章操作、計算機犯罪、黑客攻擊、計算機病毒、計算機經(jīng)濟間諜和計算機欺詐等不良行為要制定相應(yīng)的法規(guī)制度；對信息資源安全管理要有相應(yīng)的制度規(guī)范；對計算機知識產(chǎn)權(quán)保護和隱私保護，也應(yīng)有相應(yīng)的法規(guī)約束。只有不斷增強廣大職工和系統(tǒng)操作人員的安全意識和法制觀念，才能保證網(wǎng)絡(luò)信息安全落到實處。

（四）重視安全管理建設(shè)

人民銀行各級機構(gòu)應(yīng)成立計算機信息安全組織機構(gòu)，建立切實可行的規(guī)章制度；人民銀行各級機構(gòu)領(lǐng)導(dǎo)要高度重視，牢固樹立群防群治意識，以保證信息安全。

三、人民銀行信息安全解決方案

第一，應(yīng)確立人民銀行網(wǎng)絡(luò)系統(tǒng)安全的建設(shè)目標和策略；第二，應(yīng)根據(jù)實際需要選擇切實可行的技術(shù)方案，以“整體優(yōu)化”的原則構(gòu)架多層次、全方位的安全防御體系；第三，認真實施方案，加強系統(tǒng)管理，制定培訓(xùn)計劃和提出網(wǎng)絡(luò)安全管理措施。總之，完整的安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個層面，并與日常管理相結(jié)合。確定人民銀行網(wǎng)絡(luò)及應(yīng)用系統(tǒng)安全解決方案則需從系統(tǒng)不同層次著手。

（一）物理層安全防護

主要通過制定物理層面的管理規(guī)范和措施加以實施，如人民銀行機房環(huán)境管理規(guī)定，設(shè)備運行管理規(guī)定等。

（二）鏈路層安全防護

主要通過鏈路加密設(shè)備對所有用戶數(shù)據(jù)統(tǒng)一加密保護，用戶數(shù)據(jù)經(jīng)由通信線路送到另一節(jié)點解密，如建立人民銀行保密專用網(wǎng)絡(luò)，配置專用加解密通信軟件。

（三）網(wǎng)絡(luò)層安全防護

主要采用防火墻技術(shù)作為安全防護手段，實施初級的安全防護。同時，可根據(jù)一些協(xié)議實施加密保護，還可結(jié)合入侵檢測進行系統(tǒng)集成，以構(gòu)建人民銀行主動式防火墻綜合防護體系。

（四）傳輸層安全防護

傳輸層處于通信子網(wǎng)與資源子網(wǎng)之間，起著承上啟下的作用。傳輸層可支持各種安全服務(wù)，即訪問控制服務(wù)、數(shù)據(jù)加密服務(wù)、數(shù)據(jù)完整性服務(wù)、數(shù)據(jù)源認證服務(wù)等。

（五）應(yīng)用層安全防護

原則上，所有的安全服務(wù)都要在應(yīng)用層提供。在應(yīng)用層可以實施基于用戶的身份認證，它也是實施數(shù)據(jù)加密、訪問控制的理想位置。在應(yīng)用層還可采取加強數(shù)據(jù)備份和信息恢復(fù)措施，同時對資源（各種數(shù)據(jù)和服務(wù)）的有效性進行控制。由于應(yīng)用層的安裝防護面向用戶和應(yīng)用程序，因此可實施精細的安全控制。

四、結(jié)語

人民銀行網(wǎng)絡(luò)信息安全問題是一個系統(tǒng)工程，涉及技術(shù)管理和立法等方方面面，同時，它又是一個不斷發(fā)展的動態(tài)過程。因此，我們一定要以“信息安全就是國家安全”的意識，用系統(tǒng)集成的“整體優(yōu)化”觀念，構(gòu)架多層次、全方位的安全防御體系。只有這樣，才能為人民銀行業(yè)務(wù)及金融事業(yè)的發(fā)展保駕護航，進而為國家社會經(jīng)濟快速發(fā)展提供有力保障。

本文作者:陳永義工作單位:中國人民銀行淮北市中心支行