信息安全管理論文

序論：寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了一篇信息安全管理論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

信息安全管理論文:數(shù)字化檔案信息安全管理策略

1數(shù)字化檔案相關(guān)介紹

數(shù)字化檔案是檔案與現(xiàn)代化的技術(shù)有機(jī)結(jié)合的新型檔案信息形態(tài)，將檔案信息轉(zhuǎn)化成數(shù)字信息，應(yīng)用現(xiàn)代化技術(shù)的便捷性，將檔案信息進(jìn)行歸檔、利用以及資源共享等。這里所說的現(xiàn)代化技術(shù)主要包括計算機(jī)技術(shù)、掃描技術(shù)、OCR技術(shù)、數(shù)字?jǐn)z影技術(shù)、數(shù)據(jù)庫技術(shù)、多媒體技術(shù)、存儲技術(shù)等。

2數(shù)字檔案信息安全問題相關(guān)分析

對于檔案信息本身來說，無論是傳統(tǒng)的檔案存儲，還是現(xiàn)代化的數(shù)字檔案，安全問題都是首要問題。由于現(xiàn)代化的數(shù)字檔案是傳統(tǒng)檔案與現(xiàn)代化技術(shù)的結(jié)合，所以影響檔案信息安全問題的因素較多，這些因素的出現(xiàn)，對數(shù)字化檔案信息安全造成了不同程度的影響。以下是對數(shù)字檔案信息安全問題的具體分析。

2.1數(shù)字檔案信息的安全管理。

檔案信息安全管理問題是決定數(shù)字檔案信息安全的直接因素。如果安全管理方面存在缺陷，例如制度的不完善、標(biāo)準(zhǔn)不統(tǒng)一、管理措施無效等，必然會失去數(shù)字檔案信息的基本保障。所謂的數(shù)字檔案信息安全管理主要包括管理制度、標(biāo)準(zhǔn)、管理措施，不僅如此還包括數(shù)字檔案信息歸檔流程等，相關(guān)流程不規(guī)范也會使數(shù)字檔案信息安全問題受到威脅。

2.2計算機(jī)故障問題。

由于數(shù)字檔案信息的歸檔及利用均以計算機(jī)為載體，所以計算機(jī)本身的不確定因素會影響數(shù)字檔案信息安全問題，其中計算機(jī)故障問題是影響數(shù)字檔案信息安全的主要問題，其中計算機(jī)故障又包括硬件故障與軟件故障。以下是對兩種故障的具體分析。

2.2.1硬件故障。

計算機(jī)硬件條件良好時數(shù)字檔案信息安全問題的基本保障，當(dāng)計算機(jī)硬件發(fā)生故障時，數(shù)字檔案信息的存儲、查詢、利用等就會受到較大的影響，其在一定程度上導(dǎo)致檔案信息的丟失或損害，影響了檔案信息的完整程度，大大降低了數(shù)字檔案的使用質(zhì)量與效率，為使用者造成較大的不便。

2.2.2軟件故障。

計算機(jī)的軟件是處理數(shù)字檔案信息的必要條件，一旦計算機(jī)軟件出現(xiàn)故障亦或是性能無法滿足現(xiàn)階段數(shù)字化檔案信息系統(tǒng)的要求，檔案信息的處理能力就會大大下降，工作質(zhì)量與效率也會隨之下降，而數(shù)字化檔案信息本身也無法發(fā)揮最大作用。計算機(jī)軟件故障直接影響數(shù)字化檔案信息系統(tǒng)的操作，但是與計算機(jī)硬件故障相比較，其發(fā)生故障的幾率較小。

3探究數(shù)字化檔案信息安全管理相關(guān)策略

前文已述，管理問題直接影響著數(shù)字化檔案信息安全，故而要確保檔案信息的安全，首先要從管理策略方面抓起。以下是對數(shù)字化檔案信息安全管理相關(guān)策略的具體分析。

3.1加強(qiáng)數(shù)字化檔案宏觀管理。

加強(qiáng)數(shù)字化檔案的宏觀管理檔案數(shù)字化工作是一項(xiàng)技術(shù)性、專業(yè)性、綜合性很強(qiáng)的工作，必須加強(qiáng)領(lǐng)導(dǎo)，統(tǒng)一思想，建立健全組織機(jī)構(gòu)，比如建立專門的檔案數(shù)字化、信息化、網(wǎng)絡(luò)化協(xié)調(diào)組織機(jī)構(gòu)，組織國家檔案信息網(wǎng)絡(luò)的總體設(shè)計與技術(shù)攻關(guān)，加強(qiáng)檔案信息網(wǎng)絡(luò)一體化的宏觀管理。檔案數(shù)字化工作要納入科學(xué)管理體制，作為機(jī)關(guān)管理工作的一部分，制定相應(yīng)的工作分工范圍及管理權(quán)限。

3.2完善相關(guān)管理制度。

在完善管理制度時，要綜合考慮各種因素對數(shù)字化檔案信息安全的影響。在人員安全管理方面，要設(shè)立具體的安全審查制度、崗位安全考核制度、安全培訓(xùn)制度等。對已經(jīng)存儲的數(shù)字信息均應(yīng)進(jìn)行密級分類，對敏感信息與機(jī)密信息應(yīng)當(dāng)加密并脫機(jī)存儲在安全的環(huán)境中，防止信息被竊聽、變更與毀壞。在系統(tǒng)安全運(yùn)行方面，要做好機(jī)房出入控制、環(huán)境條件保障管理、自然災(zāi)害防護(hù)、防護(hù)設(shè)施管理、電磁波與磁場防護(hù)等工作。設(shè)立操作安全管理、操作權(quán)限管理、操作規(guī)范管理、操作責(zé)任管理、操作監(jiān)督管理、操作恢復(fù)管理、應(yīng)用系備份管理、應(yīng)用軟件維護(hù)安全管理等制度。從技術(shù)上防止文件被人為地修改，增強(qiáng)電子文件的憑證性和可靠性。

3.3計算機(jī)安全管理。

由于計算機(jī)故障對數(shù)字化檔案信息安全造成較大的損害，所以要做好計算機(jī)安全管理工作。應(yīng)根據(jù)數(shù)字化檔案信息系統(tǒng)的實(shí)際情況選擇性能良好的的計算機(jī)硬件和軟件。在選擇計算機(jī)硬件和軟件的過程中應(yīng)注重計算機(jī)的品牌和服務(wù)器，全面對計算機(jī)硬件的兼容性和可擴(kuò)展性進(jìn)行一定的審核，這樣做的目的是為了避免當(dāng)計算機(jī)系統(tǒng)在升級時數(shù)字化檔案信息的相關(guān)數(shù)據(jù)丟失。不僅如此，還要定期更新軟件，選擇更有利于處理數(shù)字化檔案信息的軟件，確保最大程度上發(fā)揮數(shù)字化檔案信息的優(yōu)勢。

3.4信息技術(shù)安全管理。

依靠數(shù)字化檔案信息安全管理人員在強(qiáng)度安全管理是不夠的，還需要現(xiàn)階段科學(xué)信息技術(shù)援助。為了保證數(shù)字化檔案信息數(shù)據(jù)的安全，在數(shù)字化檔案信息安全管理工作中可以運(yùn)用一些先進(jìn)的科學(xué)信息技術(shù)來提高數(shù)字化檔案信息安全。例如，可以設(shè)置信息的訪問認(rèn)證，防病毒系統(tǒng)，同時也對數(shù)字化檔案信息相關(guān)機(jī)密數(shù)據(jù)進(jìn)行加密操作，以數(shù)據(jù)加密的形式，可以有效地防止數(shù)字化檔案信息數(shù)據(jù)被一些木馬病毒和被非法網(wǎng)站入侵，進(jìn)行安全管理對保護(hù)數(shù)字化檔案信息安全是非常有效的。

3.5提高管理人員的專業(yè)素質(zhì)。

管理人員的專業(yè)素質(zhì)對數(shù)字化檔案信息安全管理來說至關(guān)重要，故而提高管理人員自身專業(yè)素質(zhì)也是安全管理中的重要策略。相關(guān)的工作人員利用電子設(shè)施在網(wǎng)絡(luò)環(huán)境中開展對應(yīng)的相關(guān)工作，對相關(guān)的數(shù)字檔案實(shí)現(xiàn)有效地管理，也就是個相關(guān)人員自身的能力大小對相關(guān)的數(shù)字檔案工作的安全性有著比較大的影響。這就要求在具體的工作中，相關(guān)的數(shù)字檔案管理人員要熟悉管理方面的相關(guān)專業(yè)理論，還要在具體的工作中樹立其較強(qiáng)的管理安全意識，不斷充實(shí)自己，提高數(shù)字化檔案安全管理的實(shí)踐工作技能。一旦工作中內(nèi)部成員想要泄露檔案信息，相關(guān)的管理人員就要切實(shí)提高警惕，有效的增強(qiáng)風(fēng)險思想，確保信息在實(shí)際的工作中受到嚴(yán)密的保存;與此同時，有關(guān)的組織機(jī)構(gòu)還要組織針對性的人員培訓(xùn)活動，有效地提高相關(guān)管理人員的安全理念，以此達(dá)到萬無一失。除了以上幾種管理策略之外還存在著其他管理策略，例如規(guī)范數(shù)字化檔案信息歸檔存儲流程，確保數(shù)字化檔案信息的真實(shí)性與完整性，進(jìn)一步確保數(shù)字化檔案信息安全。

4結(jié)束語

綜上所述，信息安全問題對于數(shù)字化檔案來說至關(guān)重要，影響數(shù)字化檔案信息安全的因素有很多，要不斷的加強(qiáng)宏觀管理、完善相關(guān)制度、做好計算機(jī)管理工作與信息安全管理工作，提高管理人員的專業(yè)素質(zhì)，確保數(shù)字化檔案信息安全問題。

作者：高紅 單位：齊齊哈爾市依安縣依安鎮(zhèn)人民政府

信息安全管理論文:信息時代電子信息安全管理探討

1電子信息安全管理概述

1.1電子信息安全管理概念

從當(dāng)前經(jīng)濟(jì)社會發(fā)展情況來看，信息安全問題主要來源于信息技術(shù)，隨著信息技術(shù)在現(xiàn)代經(jīng)濟(jì)、社會生活中應(yīng)用范圍進(jìn)一步擴(kuò)大，其對經(jīng)濟(jì)、社會發(fā)展的影響也是十分明顯的。人們很早就已經(jīng)開始了對電子信息安全的研究，但從研究結(jié)果來看，單獨(dú)依靠技術(shù)手段是難以實(shí)現(xiàn)電子信息安全管理的。例如，在當(dāng)前電腦防護(hù)中，防火墻、網(wǎng)絡(luò)安全控制系統(tǒng)被大范圍使用，但電子信息安全現(xiàn)象依然屢見不鮮，對技術(shù)人員而言，為獲得更好的電子信息安全管理效果，需要重點(diǎn)考慮防火墻安全策略設(shè)計以及其物理保護(hù)控制問題，通過適當(dāng)?shù)某绦蛑С謥沓浞职l(fā)揮信息系統(tǒng)作用?？傮w而言，信息安全管理=信息安全技術(shù)+信息安全管理支持。

1.2電子信息安全管理模型分析

在當(dāng)前電子信息安全管理模型設(shè)置中，主要堅持傳統(tǒng)PDCA模式如圖1所示進(jìn)行優(yōu)化，其具體內(nèi)容為：①P（策劃）：根據(jù)組織業(yè)務(wù)運(yùn)足要求與相關(guān)法律，確定本次電子信息安全管理的范圍與要求，并通過相應(yīng)的安全風(fēng)險評估，確定控制目標(biāo)與方式，并明確業(yè)務(wù)持續(xù)性計劃。②D（實(shí)施）：在安全管理實(shí)施過程中，技術(shù)人員根據(jù)既定的組織計劃對所選目標(biāo)進(jìn)行安全控制。③C（檢查）：根據(jù)質(zhì)量控制目標(biāo)與法律法規(guī)要求，監(jiān)視、驗(yàn)證安全管理過程與信息系統(tǒng)安全系數(shù)，及時總結(jié)安全現(xiàn)象并收集其中參數(shù)變化信息。④A（行動）：根據(jù)檢查結(jié)果，分析安全管理措施的有效性，并持續(xù)改進(jìn)。

2電子信息安全管理風(fēng)險評估

2.1風(fēng)險評估概念及模型

2.1.1風(fēng)險評估概念

風(fēng)險評估的核心就是對風(fēng)險源的分析，在電子信息安全管理中，風(fēng)險評估的作用十分明顯。以企業(yè)為例，企業(yè)電子信息安全問題表現(xiàn)是多方面的，并且相互之間的作用、聯(lián)系各不相同，若不能正確認(rèn)識各個安全問題對企業(yè)電子信息安全問題的影響，將會對企業(yè)造成大量損傷。而在進(jìn)行風(fēng)險評估后，所有影響企業(yè)電子信息安全的要素都將被羅列出來，并根據(jù)本企業(yè)的實(shí)際情況、類似企業(yè)情況等，判斷易誘發(fā)電子信息安全問題的要素，確保后續(xù)電子信息安全管理的科學(xué)性。

2.1.2風(fēng)險評估模型

風(fēng)險評估作為一個系統(tǒng)性工程，其具備相應(yīng)的理論基礎(chǔ)，并能根據(jù)相關(guān)理論對風(fēng)險進(jìn)行評價，常見的原理形式主要表現(xiàn)為：大數(shù)定律、慣性原理、統(tǒng)計推斷原理等。當(dāng)前在風(fēng)險評估模型設(shè)計中，已經(jīng)被研發(fā)出很多成熟的模型，包括人們所熟知的基于時間的PDR模型、動態(tài)安全APPDER模型等。

2.2風(fēng)險計算模型

在確定其風(fēng)險內(nèi)容后，要對其風(fēng)險值進(jìn)行計算。本文結(jié)合威脅識別的相關(guān)內(nèi)容，確定其計算模型為：R=f（AWT）式中：R代表風(fēng)險；A代表資產(chǎn)；W代表脆薄弱點(diǎn)；T代表目標(biāo)主體所面臨的風(fēng)險現(xiàn)象。

3電子信息安全管理技術(shù)分析

3.1技術(shù)維

技術(shù)維的核心就是進(jìn)一步強(qiáng)化技術(shù)手段的安全保障作用，其所涵蓋的內(nèi)容主要包括計算機(jī)系統(tǒng)安全、網(wǎng)絡(luò)安全等。

3.1.1計算機(jī)系統(tǒng)安全

（1）硬件安全。在電子信息安全管理中，硬件安全主要處理設(shè)備故障對系統(tǒng)安全造成的影響，建立容錯系統(tǒng)是硬件安全的關(guān)鍵。采用雙機(jī)容錯模式，兩臺計算機(jī)上設(shè)置相同的系統(tǒng)，分別設(shè)置兩個服務(wù)器處理系統(tǒng)運(yùn)行，保證在某臺計算機(jī)出現(xiàn)故障后，另一臺計算機(jī)能有效承擔(dān)所有工作。同時，要針對系統(tǒng)重要運(yùn)行設(shè)備設(shè)置電源，必要時可以對整個機(jī)房建立單獨(dú)供電室，并以多種線路的方式提供電源。（2）軟件安全。系統(tǒng)設(shè)置：以C++語言編寫設(shè)備多串口控制驅(qū)動，并通過Java中的JNI技術(shù)顯示系統(tǒng)調(diào)用。在條件允許情況下，在后臺數(shù)據(jù)庫建設(shè)中以O(shè)racle技術(shù)實(shí)現(xiàn)系統(tǒng)構(gòu)造，并通過傳統(tǒng)的數(shù)據(jù)庫建立模型進(jìn)行構(gòu)建，該技術(shù)的要點(diǎn)為：①在主程序中建設(shè)數(shù)據(jù)庫，并實(shí)現(xiàn)數(shù)據(jù)庫的鏈接；②通過SQL語言操作獲數(shù)據(jù)，并根據(jù)既定的操作要求進(jìn)行數(shù)據(jù)處理；③鏈接數(shù)據(jù)庫。在經(jīng)過上述三個環(huán)節(jié)處理后，即可建立一次連接數(shù)據(jù)庫。但要注意的是，按照上述步驟建立的數(shù)據(jù)庫只能接受低頻次的操作要求，一旦頻次過高，系統(tǒng)所面臨的運(yùn)行壓力增大，最終影響系統(tǒng)運(yùn)行效果。安全管理：在軟件安全管理中，主要通過權(quán)限認(rèn)證進(jìn)行角色訪問控制，以企業(yè)為例，對其安全管理內(nèi)容進(jìn)行確定。①角色分配：建立用戶管理模塊，該模塊主要具備用戶信息增加、刪除、修改等功能，并建立用戶管理員與一般用戶。在系統(tǒng)功能實(shí)現(xiàn)中，將功能代碼布添加至管理角色權(quán)限中，并保存操作數(shù)據(jù)；創(chuàng)建用戶賬號，使用戶登錄系統(tǒng)能瀏覽器權(quán)限內(nèi)部的內(nèi)容。②加入身份信息：系統(tǒng)登錄過程中先查詢相關(guān)用戶是否存在，若提示用戶存在，則按照其權(quán)限為其提供信息，并統(tǒng)計員工權(quán)限。

3.1.2網(wǎng)絡(luò)控制措施

（1）安全協(xié)議：安全協(xié)議對電子信息安全性產(chǎn)生重要影響。目前，TCP/IP協(xié)議已經(jīng)被廣泛使用，但協(xié)議中依然存在漏洞。其改進(jìn)措施主要為：修改、補(bǔ)充原有協(xié)議或在傳輸層與網(wǎng)絡(luò)應(yīng)用層之間設(shè)置安全子層。（2）網(wǎng)間隔離技術(shù)：網(wǎng)間隔離技術(shù)是一種成熟的網(wǎng)域連接技術(shù)，其具體技術(shù)內(nèi)容表現(xiàn)為：①服務(wù)器。控制兩個網(wǎng)域之間的直接通訊行為，所有防火墻外的計算機(jī)主要通過服務(wù)器實(shí)現(xiàn)訪問過程。在此過程中，服務(wù)器能控制對方訪問級別，根據(jù)防火墻要求控制對方訪問行為，當(dāng)對方訪問行為超出限制范圍時，服務(wù)器將會組織。②路由器與過濾器。路由器能通過特定端口控制過濾器數(shù)據(jù)，通過對其加以路由實(shí)現(xiàn)控制；過濾器能選擇通過網(wǎng)絡(luò)層數(shù)據(jù)包，并以數(shù)據(jù)包為基礎(chǔ)，確定IP目標(biāo)地址與IP源信息，判斷數(shù)據(jù)包能否通過。

3.1.3信息保護(hù)措施

保密技術(shù)是常見的信息保護(hù)措施，其操作要點(diǎn)主要包括：①通過網(wǎng)絡(luò)操作系統(tǒng)提供的保密技術(shù)進(jìn)行保密處理；②重視對數(shù)據(jù)庫信息保密。針對可讀形式的數(shù)據(jù)庫，需要控制數(shù)據(jù)庫訪問權(quán)限，必要時可以建立監(jiān)控系統(tǒng)監(jiān)督數(shù)據(jù)庫瀏覽服務(wù)情況。針對安全服務(wù)器支持訪問情況，采取強(qiáng)制控制措施，實(shí)現(xiàn)多級授權(quán)描述；③通過現(xiàn)代加密技術(shù)，實(shí)現(xiàn)信息重組，只有信息發(fā)送、接受雙方才能還原原有信息。

3.2管理維

（1）計算機(jī)場地安全管理。計算機(jī)場地是整個信息系統(tǒng)的核心，要將主機(jī)房選址于日常安全管理作為整個工作的核心。在計算機(jī)場地選址中，要綜合考慮地震、臺風(fēng)等多種自然因素對房屋結(jié)構(gòu)的要求，施工過程應(yīng)滿足國家《計算機(jī)場地安全要求》的相關(guān)內(nèi)容。在主機(jī)房設(shè)備環(huán)境控制中，重視防塵、防火處理。（2）信息系統(tǒng)資料管理。信息系統(tǒng)資料管理主要針對系統(tǒng)信息進(jìn)行控制。這些需要保護(hù)的資料可分為兩類：軟件系統(tǒng)記錄資料與系統(tǒng)設(shè)備檔案。在管理過程中，技術(shù)人員根據(jù)上述資料的種類與使用范圍對其進(jìn)行整理。（3）緊急恢復(fù)管理。緊急恢復(fù)管理又被成為災(zāi)難恢復(fù)，是指災(zāi)難發(fā)生后迅速采取處理措施，以降低電子安全問題造成的損失。在緊急恢復(fù)管理中，應(yīng)該以明確的保護(hù)等級為前提，計劃內(nèi)容主要針對具體應(yīng)急方案，能清晰明了講述恢復(fù)的方法與步驟。（4）設(shè)立信息安全檢查表。信息安全檢查表的主要功能是針對對象日常工作信息進(jìn)行安全管理，在該檢查表中，主要內(nèi)容包括信息安全通知、信息安全檢查工作、信息安全檢查表格等。

4結(jié)束語

主要討論了信息時代背景下的電子信息安全管理的相關(guān)問題。對相關(guān)工作人員而言，在開展電子信息安全管理中，要正確認(rèn)識本單位在信息安全管理中可能出現(xiàn)的風(fēng)險現(xiàn)象，并在充分掌握各個安全因素的基礎(chǔ)上，進(jìn)一步完善電子信息安全管理方法，為獲得更好的電子信息安全管理效果奠定基礎(chǔ)。

作者：陳越我 單位：中國電子科技集團(tuán)公司第十八研究所

信息安全管理論文:企業(yè)信息安全管理與風(fēng)險控制

一、引言

企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源，對于企業(yè)自身來說具有重要意義，企業(yè)需要妥善管理自身企業(yè)的信息。近年來，企業(yè)的各項(xiàng)經(jīng)營活動都逐漸開始通過計算機(jī)，網(wǎng)絡(luò)開展，因此，企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革，把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作，同時將企業(yè)信息安全管理與風(fēng)險控制結(jié)合起來，這是一個正確的選擇，能夠幫助企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風(fēng)險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險控制定義，因此，本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險控制的定義。企業(yè)的信息安全管理包含十分豐富的內(nèi)容，簡單來說是指企業(yè)通過各種手段來保護(hù)企業(yè)硬件和軟件，保護(hù)網(wǎng)絡(luò)存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認(rèn)定通過包括4個指標(biāo)，即保證信息數(shù)據(jù)的完整，保證信息數(shù)據(jù)不被泄露，保證信息數(shù)據(jù)能夠正常使用，保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理，首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及，信息傳遞的方式越來越多，常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播，局域網(wǎng)傳播，硬件傳播等等。要想實(shí)現(xiàn)企業(yè)的信息安全管理，其中很重要的一項(xiàng)工作在于保護(hù)信源、信號以及信息。信息安全管理是一項(xiàng)需要綜合學(xué)科知識基礎(chǔ)的工作，從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計算機(jī)技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講，最為關(guān)鍵的一項(xiàng)工作時保護(hù)企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié)，企業(yè)信息安全不僅僅需要信息技術(shù)的支持，更需要通過建立完善的企業(yè)風(fēng)險控制體系來幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。所以，怎樣把企業(yè)信息安全管理與風(fēng)險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風(fēng)險控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險體系實(shí)現(xiàn)。企業(yè)的信息安全風(fēng)險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前，提前對企業(yè)的信息進(jìn)行風(fēng)險預(yù)估，并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風(fēng)險，從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險體系建立主要包含以下幾個方面的內(nèi)容。第一，建立企業(yè)信息安全風(fēng)險管理制度，明確企業(yè)信息安全管理的責(zé)任分配機(jī)制，明確企業(yè)各個部門對各自信息安全所應(yīng)承擔(dān)的責(zé)任，并建立相應(yīng)的問責(zé)機(jī)制。第二，設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險管理指標(biāo)，對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險定級，方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三，企業(yè)要加強(qiáng)對信息安全管理人員的培訓(xùn)，提高企業(yè)信息安全管理工作人員的風(fēng)險意識，讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識到自身工作的重要性，讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為，正確履行職責(zé)的重要性。第四，將企業(yè)信息安全管理與風(fēng)險控制有效融合，重視企業(yè)信息安全管理工作，通過風(fēng)險控制對企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評估，找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對于企業(yè)來說，企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作，因此，必須增強(qiáng)對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計，目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上，對企業(yè)信息安全管理工作人員的道德素養(yǎng)，職業(yè)素養(yǎng)，風(fēng)險意識并沒有嚴(yán)格要求。此外，絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn)，并沒有通過建立相關(guān)管理制度以及問責(zé)機(jī)制對企業(yè)信息安全管理工作人員實(shí)行監(jiān)督，這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù)，包括信息技術(shù)，計算機(jī)技術(shù)，密碼技術(shù)，網(wǎng)絡(luò)應(yīng)用技術(shù)等等，應(yīng)當(dāng)說成熟的計算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ)，但是，現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過關(guān)，一方面企業(yè)的信息安全管理硬件并不過關(guān)，在物理層面對企業(yè)信息缺乏保護(hù)，另一方面，企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新，一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn)，企業(yè)信息安全管理的知識也并沒有及時更新，從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后，這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂，很多服務(wù)器、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè)，企業(yè)內(nèi)部設(shè)備數(shù)量比較多，尤其是客戶端數(shù)量占了較大比重，僅僅靠少數(shù)幾個管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外，企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析，許多企業(yè)雖然建立了企業(yè)信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督，企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全，企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一，企業(yè)員工對于信息安全管理的認(rèn)識嚴(yán)重不足，對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機(jī)系統(tǒng)安全的計算機(jī)防病毒軟件并沒有及時更新，使用，甚至企業(yè)內(nèi)部計算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān)，認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二，企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動機(jī)制，企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”，企業(yè)信息安全反映的問題并沒有得到積極的反饋，一些企業(yè)領(lǐng)導(dǎo)對企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段

1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu)，它的設(shè)計初衷是面向客戶的，提供給客戶各種安全應(yīng)用，安全應(yīng)用必須依靠安全服務(wù)來實(shí)現(xiàn)，而安全服務(wù)又是由各種安全機(jī)制來保障的。所以，安全服務(wù)標(biāo)志著一個安全系統(tǒng)的抗風(fēng)險的能力，安全服務(wù)數(shù)量越多，系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個部分：響應(yīng)、安全策略、檢測、防護(hù)。安全策略是信息安全的重點(diǎn)，為安全管理提供管理途徑和保障手段。因此，要想實(shí)施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程，必須制定一個企業(yè)的安全模式。在安全策略的指導(dǎo)下實(shí)施所有的檢測、防護(hù)、響應(yīng)，防護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的，比如有防火墻、訪問控制、加密、認(rèn)證等方法，檢測是動態(tài)響應(yīng)的判斷依據(jù)，同時也是有力落實(shí)安全策略的實(shí)施工具，通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為，可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素；經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點(diǎn)。在安全系統(tǒng)中，應(yīng)急響應(yīng)占有重要的地位，它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者，企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作，企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者，也是企業(yè)信息安全管理的威脅者。因此，HTP模型最為強(qiáng)調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外，HTP模式同樣是建立在企業(yè)信心安全體系，信息安全技術(shù)防范的基礎(chǔ)上，HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后，HTP強(qiáng)調(diào)動態(tài)管理，動態(tài)監(jiān)督，對于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理，在實(shí)際工作中，通過HTP模型的應(yīng)用，找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

（1）充分調(diào)查和分析企業(yè)的安全系統(tǒng)，建立一個全面合理的系統(tǒng)模型，安全系統(tǒng)被劃分成各個子系統(tǒng)，明確實(shí)施步驟和功能摸塊，將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合，實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性。

（2）成立一個中央數(shù)據(jù)庫，整合分布式數(shù)據(jù)庫里的數(shù)據(jù)，把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫，實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用。

（3）設(shè)計優(yōu)良的人機(jī)界面，通過對企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用，為企業(yè)管理階層人員、各級領(lǐng)導(dǎo)及時提供各種信息，為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持，根本上提高信息數(shù)據(jù)的管理水平。

（4）簡化企業(yè)內(nèi)部的信息傳輸通道，對應(yīng)用程序和數(shù)據(jù)庫進(jìn)行程序化設(shè)計，加強(qiáng)對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計企業(yè)信息安全管理風(fēng)險體系

（1）確定信息安全風(fēng)險評估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險體系的設(shè)計過程中，首要工作是設(shè)計企業(yè)信息安全風(fēng)險評估的目標(biāo)，只有明確了企業(yè)信息安全管理的目標(biāo)，明確了企業(yè)信息安全管理的要求和工作能容，才能建立相關(guān)圍繞信息安全風(fēng)險控制為目標(biāo)的信息安全管理工作制度，才能順利通過對風(fēng)險控制的結(jié)果的定量考核，檢測企業(yè)信息安全管理的風(fēng)險，定性定量地企業(yè)信息安全管理工作進(jìn)行分析，找準(zhǔn)企業(yè)信息安全管理的工作辦法。

（2）確定信息安全風(fēng)險評估的范圍

不同企業(yè)對于風(fēng)險的承受能力是有區(qū)別的，因此，對于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險控制辦法，其中，不同企業(yè)對于能夠承受的信息安全風(fēng)范圍有所不同，企業(yè)的信息安全風(fēng)險承受范圍需要根據(jù)企業(yè)的實(shí)際能力來制定。不僅如此，企業(yè)的信息安全風(fēng)險評估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實(shí)際經(jīng)營情況變化采取有針對性的辦法。

（3）組建適當(dāng)?shù)脑u估管理與實(shí)施團(tuán)隊

企業(yè)信息安全風(fēng)險控制體系的建立需要企業(yè)內(nèi)部各個部門的參與，因?yàn)楦鱾€部門工作人員對于企業(yè)風(fēng)險的認(rèn)是有所不同的，企業(yè)要想了解企業(yè)承擔(dān)的經(jīng)營管理風(fēng)險，就必須讓企業(yè)各個部門工作人員共同參與進(jìn)來。

作者：孫天天 單位：浙江財經(jīng)大學(xué)東方學(xué)院

信息安全管理論文:高校計算機(jī)信息安全管理體系設(shè)計

一、高校計算機(jī)信息安全管理體系的現(xiàn)狀

計算機(jī)信息系統(tǒng)安全部分實(shí)質(zhì)計算機(jī)信息系統(tǒng)在應(yīng)用過程中發(fā)生國家秘密和高校保密信息以及個人資料信息。在高校信息安全的體系構(gòu)建中個，信息的保密和完整性具有重要的保障意義，對相關(guān)信息需要對責(zé)任和真實(shí)性進(jìn)行分析，得出一個建立在這些原則基礎(chǔ)上并維護(hù)和應(yīng)用的信息安全體系。對其風(fēng)險評估需要在信息安全管理工作后對其改進(jìn)的方向得出整改意見，目前相關(guān)主管部門對高校的計算機(jī)信息安全進(jìn)行了資產(chǎn)列單。對每個資產(chǎn)項(xiàng)目都進(jìn)行了準(zhǔn)確評估，把信息資產(chǎn)作為計算機(jī)信息安全的重要保護(hù)對象，建設(shè)了相應(yīng)的應(yīng)用和信息集成模式，提高數(shù)據(jù)中心的操控支配和數(shù)據(jù)管理能力。在計算機(jī)信息系統(tǒng)構(gòu)筑的校園信息網(wǎng)絡(luò)結(jié)構(gòu)中，對校園內(nèi)特定地點(diǎn)才可對其相關(guān)數(shù)據(jù)進(jìn)行信息訪問等多方面進(jìn)行了管理和限制。

二、高校計算機(jī)信息安全管理體系的問題

（一）物理層面的安全問題。

高校計算機(jī)信息系統(tǒng)受到如地震水災(zāi)等自然災(zāi)害和突發(fā)自然事件造成的破壞，也存在因設(shè)備老化或毀損以及計算機(jī)操作系統(tǒng)的崩潰造成的信息資料損失，和服務(wù)器設(shè)備丟失或被破壞等物理層面的安全問題。

（二）網(wǎng)絡(luò)層面的安全問題。

校內(nèi)網(wǎng)絡(luò)是連接整體外界互聯(lián)網(wǎng)絡(luò)的，容易受到來自外界互聯(lián)網(wǎng)的惡意攻擊，同時整個數(shù)據(jù)在校內(nèi)局域網(wǎng)絡(luò)進(jìn)行傳播時在沒有對數(shù)據(jù)進(jìn)行加密情況下被監(jiān)控和改變也會發(fā)生。并且在計算機(jī)病毒從外界互聯(lián)網(wǎng)和內(nèi)部校內(nèi)局域網(wǎng)都可以進(jìn)入到整個系統(tǒng)中，破壞存儲的數(shù)據(jù)和操作系統(tǒng)。最后，在路由器和相應(yīng)的體系輔助設(shè)備中也存有安全漏洞問題。

（三）應(yīng)用層面的安全問題。

體系的數(shù)據(jù)中心擁有著計算機(jī)信息校園整個關(guān)于教學(xué)和科研以及各高校主要構(gòu)成的數(shù)據(jù)信息運(yùn)行工作，是高校計算機(jī)信息系統(tǒng)管理的核心。在用校內(nèi)局域網(wǎng)絡(luò)進(jìn)行連接促使信息高效應(yīng)用中也產(chǎn)生了任何網(wǎng)絡(luò)終端都可以進(jìn)入整個數(shù)據(jù)中心，在安全層面造成了風(fēng)險。

（四）數(shù)據(jù)層面的安全風(fēng)險。

高校計算機(jī)信息系統(tǒng)是對數(shù)據(jù)進(jìn)行輸入和整理以及提供服務(wù)的過程，大量的數(shù)據(jù)交換和數(shù)據(jù)儲存和相應(yīng)的數(shù)據(jù)修改調(diào)整都面對各層面的安全風(fēng)險威脅。

三、高校計算機(jī)信息安全管理體系的對策

（一）物理層面的安全對策。

對物理層面的安全防護(hù)需要在成本和管理機(jī)制優(yōu)化上進(jìn)行考慮，對每個零散的設(shè)備單元統(tǒng)一進(jìn)行管理防護(hù)。對相應(yīng)的重要數(shù)據(jù)庫和重要的配置服務(wù)器設(shè)備要進(jìn)行統(tǒng)一的機(jī)房維護(hù)，在機(jī)房的環(huán)境和溫度以及濕度上都要進(jìn)行考慮和定期測量。同時，在機(jī)房內(nèi)的電路電源以及出現(xiàn)停電時的后備電源要進(jìn)行保障，對出現(xiàn)機(jī)房建筑不穩(wěn)定和受到外界干擾影響程度大時，要及時進(jìn)行修復(fù)。同時每個核心設(shè)備間要有足夠的距離保證不受到電磁輻射的干擾。

（二）網(wǎng)絡(luò)層面的安全對策。

目前高校的外聯(lián)手段會涉及到網(wǎng)卡和藍(lán)牙以及USB等相應(yīng)設(shè)備，這些終端的維護(hù)和保障是可以防止常規(guī)的惡意侵害方式的。要在固定網(wǎng)絡(luò)中設(shè)有相應(yīng)的端口輸入限制和對協(xié)議不完整的連接及時終端，相關(guān)交換機(jī)實(shí)現(xiàn)對用戶搜索的數(shù)據(jù)整理的規(guī)范化。

（三）應(yīng)用層面的安全對策。

高校計算機(jī)信息系統(tǒng)是面向校園內(nèi)信息數(shù)據(jù)流動而服務(wù)的，在各個相關(guān)服務(wù)器和數(shù)據(jù)庫中需要加強(qiáng)安全域的建設(shè)，并對每個需要防護(hù)的病毒和數(shù)據(jù)保障方案和備份方案都要進(jìn)行統(tǒng)一建立。在主要信息存在的數(shù)據(jù)中心內(nèi)要對所涉及的各計算機(jī)信息系統(tǒng)硬件和相應(yīng)配置設(shè)備，以及數(shù)據(jù)資源進(jìn)行定期維護(hù)和安全級別的相應(yīng)建立，監(jiān)控和預(yù)防可能出現(xiàn)的各種情況。對數(shù)據(jù)中心的安全域級別設(shè)定為頂級并加強(qiáng)各分支系統(tǒng)的保障手段。

（四）數(shù)據(jù)層面的安全對策。

對本地需要加密的數(shù)據(jù)做好相應(yīng)的儲存和終端防護(hù)，對設(shè)立相應(yīng)安全文件夾，由專人進(jìn)行管理。對每個需要寫入的儲存信息，進(jìn)行寫入指令的控制，要求具有一定安全性的信息可以寫入數(shù)據(jù)儲存設(shè)備。每個客戶端口要建立USB安全管理策略，需要系統(tǒng)內(nèi)部認(rèn)證并通過才可以進(jìn)行只讀等權(quán)限設(shè)定。

四、結(jié)論

高校計算機(jī)信息安全管理體系的設(shè)計與實(shí)現(xiàn)是對高校信息化建設(shè)深入發(fā)展的一個必然過程，隨著信息技術(shù)的發(fā)展和高校信息化規(guī)模延伸暴露的問題也會越來越多，研究出合理的應(yīng)對與預(yù)防機(jī)制是具有現(xiàn)實(shí)意義的。

作者：范婷婷 單位：新疆輕工職業(yè)技術(shù)學(xué)院

信息安全管理論文:信息安全管理企業(yè)轉(zhuǎn)型研究

1加強(qiáng)安全管理，助力企業(yè)轉(zhuǎn)型

在國際信息安全環(huán)境日趨惡劣，國家全面倡導(dǎo)信息安全的大環(huán)境下，為了確保信息安全工作的可持續(xù)性開展及業(yè)務(wù)信息系統(tǒng)的穩(wěn)定運(yùn)行，依據(jù)集團(tuán)總部《關(guān)于建立集團(tuán)公司網(wǎng)絡(luò)與信息安全組織保障體系的通知》、鄂通信局發(fā)[2013]127號《關(guān)于進(jìn)一步落實(shí)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核及有關(guān)工作的意見》等相關(guān)文件精神，同時參考《GA/T708-2007信息安全技術(shù)-信息系統(tǒng)安全等級保護(hù)體系框架》、《GB/T22239-2008信息安全技術(shù)-信息系統(tǒng)安全等級保護(hù)基本要求》《GB/T20269-2006信息安全技術(shù)-信息系統(tǒng)安全管理要求》、《GB/T0984-2007信息安全技術(shù)-信息安全風(fēng)險評估規(guī)范》等國家標(biāo)準(zhǔn)，制定了《信息安全管理辦法》、《信息安全策略》、《安全保障框架》及《安全保障基線規(guī)范》規(guī)范等，率先在企業(yè)內(nèi)建立并實(shí)施該體系，全面倡導(dǎo)企業(yè)向信息安全生產(chǎn)經(jīng)營轉(zhuǎn)型，同時積極引導(dǎo)合作伙伴樹立信息安全意識，規(guī)范自身的生產(chǎn)及合作行為，明確安全風(fēng)險責(zé)任、細(xì)化管理要求，立足自身，兼顧第三方，共同打造信息安全的綠色長城，確保企業(yè)長足健康發(fā)展。通過該安全管理體系的實(shí)施，從中全面深入地挖掘現(xiàn)有安全體系的不足之處，并針對現(xiàn)有業(yè)務(wù)系統(tǒng)中的各類安全隱患制定了有效的整改方案并予以實(shí)施、預(yù)警，確保了移動互聯(lián)網(wǎng)業(yè)務(wù)的可持續(xù)性發(fā)展及業(yè)務(wù)信息系統(tǒng)的穩(wěn)定運(yùn)行。首先，組織完成企業(yè)的自有業(yè)務(wù)信息系統(tǒng)和合作業(yè)務(wù)信息系統(tǒng)的安全等級劃分工作，將平臺安全管理工作落實(shí)到具體的責(zé)任人，并簽署責(zé)任狀，從而樹立全員安全責(zé)任意識，實(shí)現(xiàn)人人參與安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技術(shù)對業(yè)務(wù)信息系統(tǒng)進(jìn)行安全掃描、安全審計，并應(yīng)用HIVE、Waka、PIG、Mahout等工具對海量日志、數(shù)據(jù)進(jìn)行分析和審核，發(fā)現(xiàn)相關(guān)漏洞與脆弱點(diǎn)，并針對自有及合作業(yè)務(wù)信息系統(tǒng)編寫了整改建議和系統(tǒng)層面的加固方案。通過持續(xù)對自有及合作信息系統(tǒng)的檢查，共發(fā)現(xiàn)自有業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞攻擊39處，合作業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞14處，目前這些漏洞已經(jīng)全部整改與加固完畢，消除了安全隱患。其次，以信息安全管理為導(dǎo)向，組建了由電信營運(yùn)商、合作伙伴、專業(yè)公司三方共同構(gòu)成的一支業(yè)務(wù)信息系統(tǒng)安全管理團(tuán)隊，通過從合作業(yè)務(wù)管理規(guī)范的建立到合作伙伴安全技能培訓(xùn)，從信息安全制度宣貫到系統(tǒng)安全處罰辦法的落實(shí)執(zhí)行，從系統(tǒng)安全的定期評估到系統(tǒng)漏洞的及時加固等一系列舉措，最終創(chuàng)建一套業(yè)務(wù)信息系統(tǒng)全新的安全管理模型，提高業(yè)務(wù)信息系統(tǒng)運(yùn)行質(zhì)量和服務(wù)能力，提升創(chuàng)新業(yè)務(wù)品牌形象。從安全管理模型啟用至今，未發(fā)生一起信息安全事故，這樣強(qiáng)化了合作伙伴的信息安全概念，督促合作伙伴在發(fā)展業(yè)務(wù)的同時也重點(diǎn)關(guān)注信息安全問題，極大地降低了由于合作系統(tǒng)的信息安全漏洞導(dǎo)致的中病毒或木馬、假冒網(wǎng)站、賬號或密碼被盜、個人信息泄露等客戶信息安全事件的發(fā)生概率，此類原因造成創(chuàng)新業(yè)務(wù)投訴比率和往年相比降低了15%，改變了用戶對創(chuàng)新業(yè)務(wù)的固有印象，建立了良好的創(chuàng)新業(yè)務(wù)服務(wù)品牌形象。此模型具備良好的可復(fù)制性，可指導(dǎo)通信領(lǐng)域運(yùn)營企業(yè)開展信息安全工作。在全國率先打造這套移動互聯(lián)網(wǎng)業(yè)務(wù)安全管理體系，包含一系列業(yè)務(wù)系統(tǒng)信息安全管理辦法、信息安全策略、安全保障框架、安全保障基線規(guī)范等相關(guān)業(yè)務(wù)系統(tǒng)管理制度及規(guī)范，業(yè)務(wù)系統(tǒng)安全管理體系的先進(jìn)性和時效性在通信行業(yè)內(nèi)名列前茅，同時通過近兩年的安全理論研究和安全評估加固實(shí)踐，針對當(dāng)前企業(yè)業(yè)務(wù)平臺系統(tǒng)在信息安全監(jiān)管中面臨的一些問題，對當(dāng)前主流關(guān)聯(lián)分析技術(shù)進(jìn)行研究的基礎(chǔ)上，提出了一種新的安全事件關(guān)聯(lián)分析技術(shù)。該技術(shù)涉及到多源數(shù)據(jù)預(yù)處理、報警聚合、關(guān)聯(lián)分析、大數(shù)據(jù)分析和安全狀況態(tài)勢評估等相關(guān)技術(shù)。此技術(shù)運(yùn)用到電信行業(yè)的信息安全監(jiān)管上，就能夠?qū)ΡO(jiān)控設(shè)備收集的日志及安全設(shè)備產(chǎn)生的告警進(jìn)行關(guān)聯(lián)分析和挖掘，從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏的安全信息，通過對此類信息的統(tǒng)計、濃縮、總結(jié)、關(guān)聯(lián)和分類，抽象出利于進(jìn)行判斷和比較的特征庫，并智能地學(xué)習(xí)和維護(hù)其特征庫，從而在提高安全事件報警準(zhǔn)確率的情況下保證極高的識別效率。同時該安全管理體系成功應(yīng)用到與百度公司合作開發(fā)的愛奇藝視頻業(yè)務(wù)系統(tǒng)、與騰訊科技公司聯(lián)合開發(fā)的微信平臺、與奇虎科技公司共同開發(fā)的安全衛(wèi)士手機(jī)應(yīng)用系統(tǒng)，得到部分在美國納斯達(dá)克上市的中國互聯(lián)網(wǎng)精英公司的高度認(rèn)可和贊許，并表示今后與電信運(yùn)營商共同開發(fā)產(chǎn)品都依照此安全管理規(guī)范和體系，確保產(chǎn)品的各項(xiàng)安全性能指標(biāo)。

2創(chuàng)新點(diǎn)

為順應(yīng)移動互聯(lián)網(wǎng)時代，運(yùn)營商從基礎(chǔ)通信運(yùn)營向流量運(yùn)營轉(zhuǎn)型的新趨勢，湖北移動確定了“業(yè)務(wù)轉(zhuǎn)型，安全先行”的發(fā)展思路，堅持“以安全保發(fā)展、以發(fā)展促安全”。在已有的網(wǎng)絡(luò)與信息安全管理辦法的基礎(chǔ)上，積極開展適應(yīng)移動互聯(lián)網(wǎng)時代安全管理體系建設(shè)，不斷推進(jìn)科學(xué)的安全管理方法，做到六“注重”六“突出”，即：（1）注重整體規(guī)劃，突出體系建設(shè)，促進(jìn)職責(zé)高效履行。制定下發(fā)安全標(biāo)準(zhǔn)化管理與評價體系建設(shè)計劃，內(nèi)容涵蓋安全工作方針目標(biāo)、安全目標(biāo)、各方職責(zé)、安全管理體系和模式、安全設(shè)施和機(jī)房環(huán)境保護(hù)設(shè)施標(biāo)準(zhǔn)、安全文明操作保證金、安全考核與獎懲、過程的主要控制措施、應(yīng)急準(zhǔn)備和響應(yīng)等方面。嚴(yán)格按計劃有序開展體系建設(shè)工作；嚴(yán)格按體系文件要求開展業(yè)務(wù)或系統(tǒng)試運(yùn)行工作；加強(qiáng)保證與監(jiān)督體系的建設(shè)。（2）注重文化建設(shè)，突出信息安全特色，促進(jìn)習(xí)慣養(yǎng)成。以人為本，加強(qiáng)企業(yè)安全文化建設(shè)，促使安全文化落地，提高員工安全與風(fēng)險防范意識。（3）注重教育培訓(xùn)，突出行業(yè)特色，達(dá)到安全管理效果。通過多種渠道、形式多樣的安全教育和培訓(xùn)方式，組織各單位安全管理人員開展安全教育和培訓(xùn)工作：一是安排專家和行業(yè)資深人士進(jìn)行專題講座；二是在專題培訓(xùn)的基礎(chǔ)上，做好網(wǎng)絡(luò)與信息安全專項(xiàng)工作如何開展的培訓(xùn)。（4）注重設(shè)備管理，突出針對特色，實(shí)現(xiàn)安全管理精細(xì)化。首先，網(wǎng)絡(luò)設(shè)備較多，加強(qiáng)網(wǎng)絡(luò)安全管理提高設(shè)備安全可靠性是首要任務(wù)，為此各維護(hù)單位對每臺設(shè)備均建立了安全技術(shù)臺帳，臺帳包括運(yùn)行記錄、檢查保養(yǎng)記錄和定期檢驗(yàn)記錄。其次，組織精干力量先后兩次對所有設(shè)備、流程、機(jī)房進(jìn)行全面的安全評估工作。第三，使隱患排查整改形成機(jī)制。（5）注重安全投入，突出專用特色，合理使用安全生產(chǎn)費(fèi)用。認(rèn)真落實(shí)安全管理費(fèi)用投入長效機(jī)制，加大安全費(fèi)用的管理，做到?？顚Ｓ?，確保安全生產(chǎn)費(fèi)用規(guī)范化、合理化和足額投入。并加強(qiáng)安全生產(chǎn)保證金的管理，建立安全生產(chǎn)保證金并實(shí)行年底考核的機(jī)制，有效促進(jìn)了安全管理工作。（6）注重應(yīng)急預(yù)案，突出超前特色，安全管理贏在主動。在安全管理中，把預(yù)防工作落到實(shí)處，建立健全了應(yīng)急處置機(jī)構(gòu)，將應(yīng)急處置工作進(jìn)一步制度化，規(guī)范化，形成了完整的安全事故預(yù)防體系。同時，開展形式多樣、符合實(shí)際的應(yīng)急演練。

3結(jié)語

全新的移動互聯(lián)網(wǎng)業(yè)務(wù)安全管理體系具備創(chuàng)新性、可復(fù)制性，對此領(lǐng)域企業(yè)具備示范和指導(dǎo)意義。目前已經(jīng)被省公司相關(guān)專業(yè)部門采納，計劃結(jié)合信安部工作在全國范圍內(nèi)進(jìn)行推廣，同時在移動互聯(lián)網(wǎng)行業(yè)領(lǐng)域，成為行業(yè)巨頭制定與電信運(yùn)營商合作開發(fā)產(chǎn)品的管理規(guī)范。此安全管理體系在企業(yè)應(yīng)用范圍涵蓋的業(yè)務(wù)生產(chǎn)中，帶來了巨大經(jīng)濟(jì)效益和社會效益，通過持續(xù)對自有及合作信息系統(tǒng)的檢查，共發(fā)現(xiàn)自有業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞攻擊67處，合作業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞30處，成功處理異常安全入侵26次，避免了平臺業(yè)務(wù)收入的損失。

作者：彭敏 廖振松 單位：湖北移動政企分公司湖北移動網(wǎng)管中心

信息安全管理論文:供電企業(yè)信息安全管理論文

1電力信息安全

信息安全是指計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件和其他數(shù)據(jù)等不受非法用法的破壞，主要指未經(jīng)授權(quán)的訪問者無法使用訪問數(shù)據(jù)和修改數(shù)據(jù)，而只給授權(quán)的用戶提供數(shù)據(jù)服務(wù)和可信信息服務(wù)，并保證服務(wù)的完整性、可信性和機(jī)密性。電力信息安全是指供電系統(tǒng)中提供給用戶或公司內(nèi)部員工的數(shù)據(jù)是安全的、可信的。供電公司管理系統(tǒng)是個繁雜的系統(tǒng)，涉及用電客戶和公司內(nèi)部員工及第三方托管服務(wù)公司，系統(tǒng)的信息安全一直是公司發(fā)展的瓶頸。正確評估供電公司信息安全系統(tǒng)的合理性和安全性，針對安全風(fēng)險進(jìn)行分析，最后制訂供電公司信息安全的策略非常重要，也是至關(guān)重要的。

2供電企業(yè)信息安全的影響因素

盡管供電公司投入了大量的財力、物力建設(shè)電網(wǎng)信息安全系統(tǒng)，但供電企業(yè)內(nèi)部網(wǎng)絡(luò)仍不健全，存在許多安全隱患。另外，供電公司信息化水平不高，信息安全保障措施薄弱也制約了其信息安全系統(tǒng)的建設(shè)。要構(gòu)建一個健全的供電公司信息安全保障體系，就要首先分析供電公司信息安全的影響因素，對癥下藥，進(jìn)一步提出供電企業(yè)加強(qiáng)信息安全管理的對策。

2.1不可抗拒因素

所謂“不可抗拒因素”，就是由于火災(zāi)、水災(zāi)、供電、雷電、地震等自然災(zāi)害影響，供電公司的供電線路、計算機(jī)網(wǎng)絡(luò)信號、計算機(jī)數(shù)據(jù)等受到破壞，并威脅到供電公司的信息安全。

2.2計算機(jī)網(wǎng)絡(luò)設(shè)備因素

供電公司計算機(jī)系統(tǒng)中使用大量的網(wǎng)絡(luò)設(shè)備，包括集線器、網(wǎng)絡(luò)服務(wù)器和路由器等，其正常運(yùn)行關(guān)系著供電公司內(nèi)部網(wǎng)絡(luò)的正常運(yùn)行，而計算機(jī)網(wǎng)絡(luò)設(shè)備的安全直接關(guān)系著供電公司的正常運(yùn)行。

2.3數(shù)據(jù)庫安全因素

供電公司計算機(jī)系統(tǒng)監(jiān)控用戶峰值，管理用電客戶信息及其他用戶繳費(fèi)等情況，計算機(jī)數(shù)據(jù)庫的系統(tǒng)安全決定了供電企業(yè)的調(diào)度效率，也決定了供電公司公共信息的安全。供電公司應(yīng)該使用專用網(wǎng)絡(luò)設(shè)備，確保企業(yè)內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)的隔離。

2.4管理因素

供電公司員工的業(yè)務(wù)素質(zhì)和職業(yè)修養(yǎng)參差不齊，直接影響到供電公司的網(wǎng)絡(luò)安全。供電公司應(yīng)該建立過錯追究制度，提高員工的信息化素質(zhì)，有效防止和杜絕管理因素造成的信息安全問題。

3供電企業(yè)加強(qiáng)信息安全管理的對策

3.1提升員工信息安全防患意識

開展信息安全管理工作，并非僅僅是系統(tǒng)使用或者管理部門的事，而是企業(yè)所有職工的事，因此，要增強(qiáng)全體員工的信息安全和防患意識。通過采取培訓(xùn)和考核等有力措施，進(jìn)一步提升全體員工對企業(yè)信息安全的認(rèn)識，讓信息安全成為企業(yè)日常工作業(yè)務(wù)的一個組成部分，從而提升企業(yè)整體信息安全水平。

3.2采用知識型管理

傳統(tǒng)的安全管理大部分采取的是一種硬性的管理手段。在當(dāng)今知識經(jīng)濟(jì)的時代，安全管理應(yīng)當(dāng)以知識管理為主，從而使得安全管理措施與手段也越來越知識化、數(shù)字化和智能化，促使信息安全管理工作進(jìn)入一個嶄新的階段。

3.3設(shè)置系統(tǒng)用戶權(quán)限

為了預(yù)防非法用戶侵入系統(tǒng)，應(yīng)按照用戶不同的級別限制用戶的權(quán)限，并投入資金開展安全技術(shù)督查和安全審計等相關(guān)活動。信息安全并非一朝一夕就能完成的事，它需要一個長期的過程才能達(dá)到較高的水平，需建立并完善相應(yīng)的管理制度，從平時的基礎(chǔ)工作著手，及時發(fā)現(xiàn)問題，匯報問題，分析問題并解決問題。

3.4防范計算機(jī)病毒攻擊

加速信息安全管控措施的建設(shè)，在電力信息化工作中，辦公自動化是其中一項(xiàng)非常重要的內(nèi)容，而核心工作業(yè)務(wù)就是電子郵件的發(fā)送與接收，這也正是計算機(jī)病毒一個非常重要的傳播渠道。因此，必須大力促進(jìn)個人終端標(biāo)準(zhǔn)化工作的建設(shè)，實(shí)現(xiàn)病毒軟件的自動更新、自動升級，不得隨意下載并安裝盜版軟件；加強(qiáng)對木馬病毒等的安全防范措施，對用戶訪問實(shí)施嚴(yán)格的控制。

3.5完善信息安全應(yīng)急預(yù)案

嚴(yán)格規(guī)范信息安全事故通報程序，對于隱瞞信息事件的現(xiàn)象，必須嚴(yán)肅查處。對于國家和企業(yè)信息安全運(yùn)行動態(tài)，要及時通報，分析事件，及時信息安全通告。對于己經(jīng)制定的相關(guān)預(yù)案和安全措施，必須落到實(shí)處。另外，還要進(jìn)一步加強(qiáng)信息安全技術(shù)督查隊伍的建設(shè)，提高信息安全考核與執(zhí)行的力度。

3.6建立信息安全保密機(jī)制

加強(qiáng)信息安全保密措施的落實(shí)，禁止將涉密計算機(jī)連接到互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)，完善外部人員訪問的相關(guān)授權(quán)、審批程序。定期組織開展信息系統(tǒng)安全保密的各項(xiàng)檢查工作，切實(shí)做好涉密文檔的登記、存檔和解密等環(huán)節(jié)的工作。

4結(jié)束語

為了保障國民經(jīng)濟(jì)的快速發(fā)展，就要確保供電系統(tǒng)的穩(wěn)定安全，就要合理應(yīng)用計算機(jī)網(wǎng)絡(luò)管理供電公司網(wǎng)絡(luò)，科學(xué)管理供電網(wǎng)絡(luò)信息，促進(jìn)企業(yè)的可持續(xù)發(fā)展。供電公司要充分利用好企業(yè)內(nèi)部網(wǎng)絡(luò)，提高勞動生產(chǎn)率，并加強(qiáng)網(wǎng)絡(luò)信息安全監(jiān)控，加強(qiáng)企業(yè)內(nèi)部優(yōu)化，創(chuàng)新供電企業(yè)服務(wù)意識，加強(qiáng)供電企業(yè)信息安全管理對策，適當(dāng)提高供電企業(yè)信息化管理水平，保證供電企業(yè)的信息安全。

作者：吳金文 程麗琴 單位：國網(wǎng)贛西供電公司安全監(jiān)察質(zhì)量部

信息安全管理論文:供電企業(yè)中網(wǎng)絡(luò)信息安全管理論文

1目前我國供電企業(yè)網(wǎng)絡(luò)信息管理現(xiàn)狀

（1）內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不健全。

現(xiàn)階段，我國的供電企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不夠健全，未能達(dá)成建立在供電企業(yè)內(nèi)部網(wǎng)絡(luò)信息化的理想狀態(tài)。中部市、縣級供電公司因?yàn)闂l件有限，信息安全工作相對投入較少，安全隱患較大，各種安全保障措施較為薄弱，未能建立一個健全的內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)。但隨著各類信息系統(tǒng)不斷上線投運(yùn)，財務(wù)、營銷、生產(chǎn)各專業(yè)都有相關(guān)的信息系統(tǒng)投入應(yīng)用，相對薄弱的網(wǎng)絡(luò)系統(tǒng)必將成為整個信息管理模式的最短板。

（2）存在于網(wǎng)絡(luò)信息化機(jī)構(gòu)漏洞較多。

目前在我國供電企業(yè)中，網(wǎng)絡(luò)信息化管理并未建立一個完整系統(tǒng)的體系，供電網(wǎng)絡(luò)的各類系統(tǒng)對于關(guān)鍵流程流轉(zhuǎn)、數(shù)據(jù)存儲等都非常的重要，不能出現(xiàn)絲毫的問題，但是所承載網(wǎng)絡(luò)平臺的可靠性卻不高，安全管理漏洞也較多，使得信息管理發(fā)展極不平衡。信息化作為一項(xiàng)系統(tǒng)的工程，未能有專門的部門來負(fù)責(zé)執(zhí)行和管理。網(wǎng)絡(luò)信息安全作為我國供電企業(yè)安全文化的重要組成部分，針對現(xiàn)今我國供電企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀來看，計算機(jī)病毒，黑客攻擊造成的關(guān)鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡(luò)安全隱患。各種計算機(jī)準(zhǔn)入技術(shù)，可移動存儲介質(zhì)加密技術(shù)的應(yīng)用，給企業(yè)信息網(wǎng)絡(luò)安全帶來了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實(shí)是：操作系統(tǒng)正版化程度嚴(yán)重不足。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新，針對操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計算機(jī)網(wǎng)絡(luò)病毒的出現(xiàn)，就會對企業(yè)內(nèi)部計算機(jī)進(jìn)行大規(guī)模的傳播，給目前相對公開化的網(wǎng)絡(luò)一個有機(jī)可乘的機(jī)會，對計算機(jī)系統(tǒng)進(jìn)行惡意破壞，導(dǎo)致計算機(jī)系統(tǒng)崩潰。不法分力趁機(jī)竊取國家供電企業(yè)的相關(guān)文件，篡改供電系統(tǒng)相關(guān)數(shù)據(jù)，對國家供電系統(tǒng)進(jìn)行毀滅性的攻擊，甚至致使整個供電系統(tǒng)出現(xiàn)大面積癱瘓。

（3）職工安全防范意識不夠。

想要保證我國網(wǎng)絡(luò)信息的安全，就必須要提高供電企業(yè)員工的綜合素質(zhì)，目前國內(nèi)供電企業(yè)職員的安全防范意識不強(qiáng)，水平參差不齊，多數(shù)為年輕職員，實(shí)際操作的能力較低，缺少應(yīng)對突發(fā)事件應(yīng)對措施知識的積累。且多數(shù)老齡職工難以對網(wǎng)絡(luò)信息完全掌握，跟不上信息化更新狀態(tài)，與新型網(wǎng)絡(luò)技術(shù)相脫軌。

2網(wǎng)絡(luò)信息安全管理在供電企業(yè)中的應(yīng)用

造成供電企業(yè)的信息安全的威脅主要來自兩個方面，一方面是國家供電企業(yè)本身設(shè)備上的信息安全威脅，另一方面就是外界網(wǎng)絡(luò)惡意的攻擊其中以外界攻擊的方式存在的較多?，F(xiàn)階段我國供電企業(yè)的相關(guān)部門都在使用計算機(jī)對網(wǎng)絡(luò)安全進(jìn)行監(jiān)督和管理，難以保證所有計算機(jī)完全處在安全狀態(tài)。一般情況下某臺計算機(jī)泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的，這就需要加強(qiáng)我國供電企業(yè)進(jìn)行安全的管理，建立病毒防護(hù)體系，及時更新網(wǎng)絡(luò)防病毒軟件，針對性地引進(jìn)遠(yuǎn)程協(xié)助設(shè)備，提高警報設(shè)備的水平。供電企業(yè)的信息系統(tǒng)一個較為龐大且繁雜的系統(tǒng)，在這個系統(tǒng)中存在信息安全風(fēng)險也是必然的。在這種情況下就要最大程度地降低存在的風(fēng)險，對經(jīng)歷的風(fēng)險進(jìn)行剖析，制定針對性的風(fēng)險評估政策，確立供電企業(yè)信息系統(tǒng)安全是以制定針對性風(fēng)險評估政策為前提的，根據(jù)信息安全工作的緊迫需求做好全面的風(fēng)險評估至關(guān)重要。“掌握核心技術(shù)”不只是一句簡單的廣告詞語，還是國家和各個企業(yè)都應(yīng)該一直貫徹落實(shí)的方針政策。為了避免外界對我國供電企業(yè)信息技術(shù)的操控，國家相關(guān)部門就必須實(shí)行自主研發(fā)信息安全管理體系，有效地運(yùn)用高科技網(wǎng)絡(luò)技術(shù)促使安全策略、安全服務(wù)和安全機(jī)制的相結(jié)合，大力開發(fā)信息網(wǎng)絡(luò)，促進(jìn)科技管理水平的快速提高，以保證我國供電信息管理的安全。

3結(jié)語

為了確保供電企業(yè)的安全，根據(jù)時展需要與時俱進(jìn)，合理地運(yùn)用網(wǎng)絡(luò)信息來進(jìn)行科學(xué)的管理，有利于促進(jìn)我國供電企業(yè)的可持續(xù)發(fā)展。供電企業(yè)在運(yùn)用網(wǎng)絡(luò)的同時注意好對網(wǎng)絡(luò)信息安全的監(jiān)控，不斷優(yōu)化內(nèi)部管理，提高創(chuàng)新意識，制定好有效的風(fēng)險防范措施，適時提高我國供電企業(yè)職員的素質(zhì)水平，為實(shí)現(xiàn)我國供電企業(yè)信息管理提供可靠的保證。

作者：胡滔 單位：國網(wǎng)湖南省電力公司臨湘市供電分公司

信息安全管理論文:海港工程建設(shè)項(xiàng)目信息安全管理論文

1加強(qiáng)移動存儲介質(zhì)的管理

移動存儲設(shè)備管理主要是指當(dāng)存儲設(shè)備插入主機(jī)系統(tǒng)時，主機(jī)根據(jù)判斷設(shè)備識別信息與數(shù)據(jù)庫中身份注冊信息是否相符，再確定該移動存儲介質(zhì)是否能夠被主機(jī)系統(tǒng)激活并為用戶所用。然后根據(jù)用戶權(quán)限決定其所能使用的接口數(shù)量，如果超出則移動存儲設(shè)備自動彈出。建立合適的安全組織機(jī)構(gòu)能合理地協(xié)調(diào)各方面因素，實(shí)現(xiàn)安全管理的規(guī)范化、科學(xué)化，通過各級組織機(jī)構(gòu)對海港工程項(xiàng)目各級成員單位的信息安全建設(shè)進(jìn)行監(jiān)督管理和檢查指導(dǎo)，統(tǒng)一規(guī)劃和設(shè)計出海港工程項(xiàng)目信息安全管理體系，保證安全策略有機(jī)整合，避免安全漏洞。在部門之間，信息管理部門主要負(fù)責(zé)信息安全技術(shù)，在安全管理上與本單位的保密部門、機(jī)要部門等相關(guān)部門協(xié)調(diào)合作，共同做好信息安全管理工作。

1．1限制外接設(shè)備和接口

接口限制主要包括兩個部分：外接存儲設(shè)備接口與網(wǎng)絡(luò)接口限制。一方面要限制外設(shè)接口濫用，一方面也要避免內(nèi)部人員利用網(wǎng)絡(luò)接口私自接入非法主機(jī)或接出外網(wǎng)。對USB接口統(tǒng)一管理，要求在不影響鼠標(biāo)、鍵盤等外接設(shè)備正常運(yùn)行的前提下嚴(yán)格管理和控制存儲設(shè)備接口的使用；對打印機(jī)、刻錄機(jī)、光驅(qū)、軟驅(qū)等常規(guī)外接設(shè)備嚴(yán)格限制，做到有用監(jiān)管、無用封禁、統(tǒng)一管理、集中使用，避免內(nèi)部人員私自利用本地打印或刻錄方式竊取涉密信息；對涉密存儲設(shè)備做到嚴(yán)格管制，專盤專用，由保密辦負(fù)責(zé)編號登記，標(biāo)明密級并由專人保管，需使用時向保管部門借出并及時交還，不得在涉密計算機(jī)上使用未經(jīng)認(rèn)證的存儲設(shè)備或?qū)⒃鎯?、處理過涉密信息的存儲設(shè)備挪作他用。

1．2實(shí)施集中刻錄和打印安全審核

海港工程項(xiàng)目內(nèi)部網(wǎng)絡(luò)有著極高涉密安全需求，除了需要防止用戶通過移動存儲設(shè)備拷貝涉密信息外，也需要預(yù)防有人通過光盤刻錄、打印等傳統(tǒng)手段下載機(jī)密信息。因此光盤刻錄工作集中在專項(xiàng)部門進(jìn)行，用戶在使用前必須首先獲得許可，并全程跟蹤光盤的流向及使用情況。打印安全簡單來講就是需要確保敏感或機(jī)密信息不在打印環(huán)節(jié)遭到泄露。首先需要屏蔽用戶主機(jī)的打印機(jī)接口，接著由用戶端發(fā)起打印申請，審批備案后，再經(jīng)過海港工程項(xiàng)目信息安全管理中心統(tǒng)一授權(quán)的打印機(jī)構(gòu)予以打印。在打印過程中應(yīng)注意以下幾點(diǎn)：確保打印資料從電腦傳輸?shù)酱蛴C(jī)網(wǎng)絡(luò)的過程中不被他人惡意截取；確保打印好的文件不會被人有意無意取閱或拿走；對施工人員的打印作業(yè)進(jìn)行有效的監(jiān)控和管理，特別是嚴(yán)格落實(shí)與打印相關(guān)的審核和控制；對打印的完整生命周期的管理，包括權(quán)限認(rèn)證，任務(wù)發(fā)起，任務(wù)審核，拷貝銷毀等等；要求對所有安全文檔進(jìn)行分級管理，按照涉密的級別打印，并進(jìn)行精細(xì)化管理。

1．3防止存儲設(shè)備管理失控

海港工程項(xiàng)目在項(xiàng)目的施工過程中，往往會涉及許多的施工單位和部門，因此，使用存儲設(shè)備進(jìn)行信息的臨時性存儲便變得十分平常，海港工程項(xiàng)目信息系統(tǒng)中大量的涉密信息都存儲在軟盤、磁盤和光盤里，而這些載體又十分容易被使用者帶入不安全的環(huán)境之中，發(fā)生載體丟失、被盜或存儲介質(zhì)受到損毀等意外情況，造成嚴(yán)重的信息泄露事故，給國防和軍隊建設(shè)造成重大損失，故必須加強(qiáng)此方面的防范力度。對于廢棄磁介質(zhì)的管理，由于磁性介質(zhì)具有剩磁特性，因此存儲過涉密信息的磁性存儲介質(zhì)可能會因?yàn)榇鎯橘|(zhì)永久性磁化而造成信息的泄露。對于存儲過涉密信息的廢舊存儲設(shè)備和介質(zhì)必須嚴(yán)格控制其流通的范圍，按照信息安全管理的相關(guān)規(guī)定和流程將準(zhǔn)備廢棄的設(shè)備交到保密機(jī)構(gòu)集中統(tǒng)一保管或進(jìn)行嚴(yán)格規(guī)范的脫密、銷毀，并辦理好相應(yīng)的登記手續(xù)。

2加強(qiáng)紙質(zhì)文檔資料的管理

在海港工程項(xiàng)目建設(shè)的過程中，信息在流動時，人們通常會使用大量的紙質(zhì)類文件來記錄、保存和傳輸各種涉密的信息。為防止這些紙質(zhì)文檔上的資料和信息泄露。一般需要采取以下措施進(jìn)行科學(xué)管理：嚴(yán)格遵守保密條例中的各項(xiàng)規(guī)定和制度要求，特別要嚴(yán)禁文檔資料的非法復(fù)??；在文件和文檔資料制作過程中，為防止丟棄的草稿紙、復(fù)寫紙、計算機(jī)表格、演算紙、數(shù)據(jù)卡片和學(xué)習(xí)筆記等“廢紙”造成泄密，必須嚴(yán)格按照保密守則銷毀一切廢品，并將所有廢紙及時進(jìn)行粉碎和焚燒；嚴(yán)格控制相關(guān)文檔資料的傳閱范圍和人群，同時，還應(yīng)周密審查、嚴(yán)格控制在各種報紙雜志等媒體上的消息，防止間接泄露海港工程項(xiàng)目涉密信息。

3加強(qiáng)辦公設(shè)備和工地設(shè)備的管理

3．1強(qiáng)化電腦設(shè)備的審核與管理

嚴(yán)格區(qū)分涉密、非涉密計算機(jī)，涉密計算機(jī)必須登記在冊，非涉密計算機(jī)嚴(yán)禁儲存涉密信息。通過用戶訪談和網(wǎng)絡(luò)收集工具，從技術(shù)、管理、策略等角度更深層次地了解與海港建設(shè)項(xiàng)目信息相關(guān)的安全要素，挖掘出信息安全管理背后的風(fēng)險。并收集海港工程項(xiàng)目信息安全管理的網(wǎng)絡(luò)信息，主機(jī)開放端口信息及共享信息等情況。通過網(wǎng)管軟件對涉密計算機(jī)進(jìn)行實(shí)時監(jiān)控，對海港工程項(xiàng)目內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和信息流進(jìn)行安全審核，對工作人員操作及用戶行為進(jìn)行記錄，建立即時預(yù)警平臺并留存操作證據(jù)，以便信息安全管理部門的工作人員遠(yuǎn)程監(jiān)控、查找和跟蹤線索。

3．2強(qiáng)化對工地施工設(shè)備的審查和管理

隨著信息技術(shù)的飛速發(fā)展和高新技術(shù)手段的應(yīng)用，信息的承載和傳輸方式由有形、有線向無形、無線發(fā)展，使信息管理難度加大。信息技術(shù)在施工設(shè)備上的使用和藏匿方式更加多樣化，使海港工程項(xiàng)目面臨的竊密和泄密威脅進(jìn)一步增大。海港工程項(xiàng)目信息安全管理部門應(yīng)重點(diǎn)做好防范“預(yù)置陷阱”危害的工作，預(yù)置陷阱是指在信息系統(tǒng)、設(shè)備、部件中人為地預(yù)設(shè)了一些陷阱。例如：從境外引進(jìn)的信息產(chǎn)品和工程施工設(shè)備很可能帶有“技術(shù)后門”和“陷阱”，對信息安全帶來嚴(yán)重隱患。因此，必須對所有參與競標(biāo)的單位的施工設(shè)備進(jìn)行嚴(yán)格的技術(shù)和安全審查，并制定一套有效的“技術(shù)后門”和“陷阱”應(yīng)急處置方案。由于海港工程項(xiàng)目中使用的信息產(chǎn)品有許多都是由外企生產(chǎn)或外方經(jīng)營控制的，因此，務(wù)必加強(qiáng)對海港工程項(xiàng)目內(nèi)部施工和通訊等設(shè)備的管理，做好施工設(shè)備的電、磁、光、聲泄露防護(hù)，避免因?qū)κ┕ぴO(shè)備審查不嚴(yán)而造成涉密信息的泄露。

作者：柴東洋 戰(zhàn)希臣 鄭海平 單位：海軍航空工程學(xué)院

信息安全管理論文:信息安全管理培訓(xùn)論文

一、管理干部需要進(jìn)行信息安全管理技能培養(yǎng)

國家、省市已經(jīng)頒布各種法律法規(guī)，各大單位也根據(jù)自己的具體情況，建立了自己的規(guī)章制度，維護(hù)信息安全已經(jīng)有法可依。但是信息安全管理工作涉及的知識面非常廣，需要了解國家信息安全管理法規(guī)，需要學(xué)習(xí)信息技術(shù)一般理論，需要知道信息安全漏洞知識，需要明白信息安全禁令范疇。為提高學(xué)習(xí)效率和質(zhì)量，全面掌握信息安全理論和方法，按照信息安全管理知識體系，建設(shè)信息安全管理教學(xué)系統(tǒng)，提供學(xué)習(xí)信息安全管理的教學(xué)條件，從而為各方面人員學(xué)習(xí)和執(zhí)行各種規(guī)章制度提供依據(jù)。相比其他管理工作，信息安全管理工作需要比較多的理工專業(yè)基礎(chǔ)和比較高的電腦技術(shù)要求，在實(shí)際的信息安全管理工作中，需要靈活的信息安全管理處置能力，更多的是判斷信息安全問題、識別信息安全陷阱、規(guī)范信息安全管理。由于知識背景和工作性質(zhì)特點(diǎn)，管理干部需要花費(fèi)更多的時間和精力學(xué)習(xí)信息安全管理知識和技術(shù)，才能具備基本的信息安全防范技能。為幫助他們更好地獨(dú)立處置信息安全管理問題，掌握發(fā)現(xiàn)問題解決問題技能，依據(jù)現(xiàn)代教育理念和方法，不僅需要提供深入淺出、知識完備的知識體系學(xué)習(xí)訓(xùn)練系統(tǒng)，而且需要信息安全管理能力訓(xùn)練系統(tǒng)。

二、信息安全管理培訓(xùn)思路

為滿足信息安全管理工作在人員培訓(xùn)方面的需要，需要依托各級培訓(xùn)學(xué)校，按照國家和省市地方的制度法規(guī)，借助現(xiàn)代教育思想，借助現(xiàn)代教育技術(shù)，明確符合實(shí)際需要的功能定位，建設(shè)信息安全管理復(fù)合應(yīng)用型人才培訓(xùn)體系，實(shí)現(xiàn)信息安全管理工作對培訓(xùn)教育、終身教育的培訓(xùn)要求。

1.培訓(xùn)依據(jù)

（1）依據(jù)各種信息安全管理制度法規(guī)。信息安全人員在履行工作職責(zé)的時候，必須按照各種信息安全管理法規(guī)、制度和要求實(shí)施，制訂人才培養(yǎng)方案和教學(xué)計劃必須依據(jù)國家、省市和本部門的信息安全管理的相關(guān)規(guī)定，這樣的教學(xué)內(nèi)容才能保證人才培養(yǎng)的針對性和實(shí)用性，保證管理干部履行信息安全管理職責(zé)的有效性。涉及信息安全制度法規(guī)的相關(guān)文件很多，有的是專門為信息安全制訂的，有的制度和法規(guī)散落在各個業(yè)務(wù)管理制度中。在建設(shè)信息安全管理知識體系時，必須將業(yè)務(wù)部門的相關(guān)規(guī)定融入知識體系中，使得管理干部在處理具體業(yè)務(wù)中的信息安全管理工作具有針對性和有效性。

（2）符合培訓(xùn)教育特點(diǎn)規(guī)律。信息安全管理技能是從事管理工作人員的基本技能，屬于崗位專業(yè)培訓(xùn)或?qū)I(yè)技能培訓(xùn)，屬于培訓(xùn)教育培訓(xùn)。受訓(xùn)人員專業(yè)背景不同，理論基礎(chǔ)不同，學(xué)習(xí)能力不同，必須避免統(tǒng)一教材、統(tǒng)一授課、統(tǒng)一訓(xùn)練、和統(tǒng)一考核的傳統(tǒng)教學(xué)模式，采取因人而異、因材施教的有針對性的教學(xué)方式，強(qiáng)調(diào)個性化學(xué)習(xí)，將不同層次受訓(xùn)者的信息安全管理能力達(dá)到信息安全管理工作所需要的水平上來。

（3）遵循現(xiàn)代教育思想。在實(shí)施教育訓(xùn)練過程中，現(xiàn)代教育思想要求采取“學(xué)為主體、教為主導(dǎo)”的教學(xué)理念，學(xué)員能夠方便地獲得完整的知識體系和解決問題的技能和方法，自主學(xué)習(xí)，開放學(xué)習(xí)，自主理解、掌握知識和技能。為實(shí)現(xiàn)教學(xué)目的，需要分析信息安全管理技能特點(diǎn)，需要分析管理干部學(xué)習(xí)動力，結(jié)合教學(xué)目標(biāo)，設(shè)計學(xué)員學(xué)習(xí)和訓(xùn)練的教育訓(xùn)練環(huán)境，提供完整的知識體系、豐富的教學(xué)資源、模擬的問題情況、交互的學(xué)習(xí)平臺和方便的使用途徑，提供與培訓(xùn)教育特點(diǎn)規(guī)律和技能訓(xùn)練要求相適應(yīng)的培訓(xùn)條件。

2.信息安全管理培訓(xùn)目標(biāo)

按照信息安全管理工作的實(shí)際情況，培養(yǎng)信息安全管理工作中管理、業(yè)務(wù)和技術(shù)三支人才隊伍，突出業(yè)務(wù)和管理人才需要，兼顧信息安全技術(shù)人員的人才培養(yǎng)，以現(xiàn)代教育思想為指導(dǎo)，以信息技術(shù)為核心支持技術(shù)，建設(shè)滿足信息安全人才培養(yǎng)的現(xiàn)代培訓(xùn)條件。信息安全管理培訓(xùn)以管理干部為培訓(xùn)對象，以信息安全管理工作為培訓(xùn)內(nèi)容，區(qū)分信息安全管理人員、業(yè)務(wù)干部和信息技術(shù)專門人員等不同層次，跟蹤信息安全管理形勢，實(shí)行階段反復(fù)輪訓(xùn)，以適應(yīng)信息安全管理不斷發(fā)展的需要，確保信息安全管理工作的正常開展。

三、信息安全管理培訓(xùn)環(huán)境構(gòu)建

為適應(yīng)信息安全管理培訓(xùn)需要，適應(yīng)管理干部培訓(xùn)教育需要，必須構(gòu)建遵循信息安全管理規(guī)定、符合現(xiàn)代教育思想、依托信息技術(shù)手段、瞄準(zhǔn)復(fù)合型適用人才培養(yǎng)的教育環(huán)境。信息安全管理培訓(xùn)條件涉及面很廣，包括組織機(jī)構(gòu)、舍堂館所、師資隊伍、后勤保障等等，這里我們更關(guān)心符合培訓(xùn)思路的培訓(xùn)模式和教學(xué)支持。從知識體系、學(xué)習(xí)途徑、訓(xùn)練場所和訓(xùn)練系統(tǒng)多方面著手，構(gòu)建信息安全管理訓(xùn)練體系，構(gòu)建管理人員信息安全人才培養(yǎng)條件。依據(jù)教育信息化研究成果和培訓(xùn)教育教學(xué)特點(diǎn)，需要建立完整的信息安全管理知識體系，建立開放式、自主式教育網(wǎng)絡(luò)平臺，建立強(qiáng)時效性的教學(xué)資源體系，建立信息安全管理知識測試系統(tǒng)，建立信息安全管理能力訓(xùn)練系統(tǒng)，等等。

1.構(gòu)建信息安全管理知識體系

培訓(xùn)教育的一個特點(diǎn)就是受訓(xùn)對象知識背景和技能掌握程度千差萬別，必須首先建立完整的知識體系，以滿足不同基礎(chǔ)、不同需求受訓(xùn)者對知識掌握和能力訓(xùn)練的要求。知識體系必須建立覆蓋學(xué)科知識和管理手段的所有內(nèi)容，包括理論體系和教學(xué)資源兩部分，其中理論體系包括基礎(chǔ)知識、安全理論、規(guī)范制度、管理方法、歷史沿革、防范手段和操作方法，教學(xué)資源包括現(xiàn)狀分析、經(jīng)典案例、技術(shù)講解、訓(xùn)練題庫和數(shù)據(jù)模型，適應(yīng)和滿足每個受訓(xùn)對象的需求。為滿足個性化服務(wù)需要，可以按照知識點(diǎn)建設(shè)模塊化框架結(jié)構(gòu)，設(shè)計具備菜單選擇功能的專家系統(tǒng)，允許受訓(xùn)者建立適合自己的個性化教學(xué)計劃和實(shí)施方案，確保受訓(xùn)者完成培訓(xùn)任務(wù)后勝任安全管理的崗位需要?？梢越⒅悄芙虒W(xué)計劃生成系統(tǒng)，系統(tǒng)對每位受訓(xùn)者進(jìn)行知識和技能測試，按照教學(xué)目標(biāo)，根據(jù)測試結(jié)果，將該學(xué)員沒有掌握或掌握不夠的知識內(nèi)容和技能形成列表，從知識體系中搜尋相關(guān)知識和技能的概念、理論、技術(shù)和操作技能，形成該受訓(xùn)者個性化的教學(xué)計劃。隨著信息技術(shù)的發(fā)展和信息安全管理需求的變化，信息安全管理知識體系應(yīng)該是動態(tài)更新的，剔除修改陳舊的，充實(shí)替換實(shí)用的。

2.搭建開放、共享和交流的網(wǎng)絡(luò)平臺

網(wǎng)絡(luò)平臺是信息資源共享的基礎(chǔ)，是交流互動的基礎(chǔ)。按照學(xué)科專業(yè)建設(shè)與管理規(guī)范建設(shè)知識體系，以數(shù)字化形式在互聯(lián)網(wǎng)，實(shí)現(xiàn)信息安全管理教育資源共享。作為資源共享平臺的網(wǎng)絡(luò)平臺，不僅為建設(shè)者資源共享提供平臺，而且可以為學(xué)習(xí)者提供資源上傳服務(wù)，成為學(xué)習(xí)者之間相互交流資源的共享平臺，更為信息資源積累提供了很好的機(jī)制和存儲條件。網(wǎng)絡(luò)具有兩個特點(diǎn)，一是允許網(wǎng)絡(luò)用戶365天24小時使用，可以提供受訓(xùn)者隨時學(xué)習(xí)和訓(xùn)練，二是允許網(wǎng)絡(luò)用戶在任何有信息覆蓋的地方登錄，可以提供受訓(xùn)者隨地學(xué)習(xí)和訓(xùn)練，這兩個特點(diǎn)打破了傳統(tǒng)教學(xué)時空的限制，為學(xué)員自主學(xué)習(xí)、教師開放教學(xué)、師生互動交流提供了可能，也為實(shí)施現(xiàn)代教育思想提供了條件。

3.建立虛擬講堂

優(yōu)秀教師的講授可以將學(xué)習(xí)效果演繹得趣味精彩，可以將學(xué)習(xí)內(nèi)容組織得明白易懂，可以將現(xiàn)實(shí)運(yùn)用解析得透徹自然。為更多學(xué)員獲得完美的教學(xué)體驗(yàn)，為積累并共享優(yōu)秀教學(xué)資源，為學(xué)員快捷準(zhǔn)確全面理解知識運(yùn)用知識提供幫助，記錄、整理并優(yōu)秀教師或?qū)＜沂谡n錄像，供更多受訓(xùn)者學(xué)習(xí)參考。教學(xué)錄像在網(wǎng)上成為虛擬講堂，成為不同專業(yè)不同時期受訓(xùn)者良好的教學(xué)資源，目前全球風(fēng)行的慕課，可以成為這種培訓(xùn)目的的教學(xué)模式，成本低，效益好。因?yàn)榧夹g(shù)層面的因素，信息安全管理知識體系在理論基礎(chǔ)和原理解釋有大量不易理解的知識點(diǎn)和疑難問題，學(xué)習(xí)時需要佐證的理論和嚴(yán)謹(jǐn)?shù)倪壿?，需要傳授者環(huán)環(huán)相扣的謹(jǐn)密推演，因此針對重要知識點(diǎn)和疑難雜診的講授片段是受訓(xùn)者自主式學(xué)習(xí)時需要的重要教學(xué)參考資料。各個大學(xué)基本都建設(shè)了網(wǎng)絡(luò)課堂，為虛擬講堂建設(shè)提供了很好的技術(shù)平臺。依據(jù)此平臺，建設(shè)信息安全管理和教學(xué)資源和網(wǎng)絡(luò)課程，可以構(gòu)筑完整的知識體系，為培訓(xùn)教育自主式學(xué)習(xí)提供了很好的學(xué)習(xí)資源。

4.建設(shè)信息安全管理實(shí)驗(yàn)室

培訓(xùn)教育能力訓(xùn)練是教學(xué)環(huán)節(jié)中的主要部分，驗(yàn)證理論、觀摩操作方法和訓(xùn)練技能需要包括場所、設(shè)備和軟件等實(shí)驗(yàn)條件，實(shí)驗(yàn)室是完成實(shí)驗(yàn)任務(wù)和檢驗(yàn)方法效果必須具備的教學(xué)條件。理論、方法和技能的實(shí)驗(yàn)和訓(xùn)練是信息安全管理培訓(xùn)需要完成的教學(xué)環(huán)節(jié)，這些需要信息安全專業(yè)實(shí)驗(yàn)室的支持。信息技術(shù)具有可設(shè)計、可復(fù)制、可重用的特點(diǎn)，使得基于信息技術(shù)的教育訓(xùn)練條件具備降低訓(xùn)練費(fèi)用、提高學(xué)員學(xué)習(xí)自主性、提供學(xué)員反復(fù)學(xué)習(xí)等長處，結(jié)合音頻處理技術(shù)、視頻處理技術(shù)、三維動畫技術(shù)，可以為學(xué)員學(xué)習(xí)提供強(qiáng)烈逼真的感官刺激、美輪美奐的藝術(shù)表現(xiàn)和自主操控的虛幻體驗(yàn)。從訓(xùn)練目的而言，實(shí)驗(yàn)室可以分為虛擬實(shí)驗(yàn)室和能力訓(xùn)練場兩部分。

（1）虛擬實(shí)驗(yàn)室。信息安全管理涉及大量技術(shù)手段，信息安全技術(shù)攻擊和防范具有不可見、不易理解的特點(diǎn)，需要顯而易見、通俗易懂的形象展示。虛擬實(shí)驗(yàn)室是依托信息技術(shù)按照實(shí)驗(yàn)室運(yùn)行規(guī)律、要求和任務(wù)，以網(wǎng)頁形式在計算機(jī)網(wǎng)絡(luò)上建立的可以模擬實(shí)驗(yàn)室運(yùn)行的軟件系統(tǒng)。虛擬實(shí)驗(yàn)室內(nèi)設(shè)信息安全管理所需要的各種理論、方法和技能引擎，可以多維形象地反復(fù)演示信息安全管理的理論、方法和技能，可以允許受訓(xùn)者以第一人稱介入并依據(jù)受訓(xùn)者干預(yù)情況展示相應(yīng)信息安全分析結(jié)果，虛擬實(shí)驗(yàn)室可以記錄并考核受訓(xùn)者實(shí)驗(yàn)過程和成績。

（2）能力訓(xùn)練場。信息安全管理，尤其是信息安全防范，必須掌握很多具體操作技能。信息化條件下信息安全管理技能訓(xùn)練，是運(yùn)用計算機(jī)信息安全管理理論，構(gòu)建信息安全管理環(huán)境，圍繞信息安全管理攻防，突出信息安全防御和信息安全保密等主要內(nèi)容，反復(fù)進(jìn)行“預(yù)實(shí)踐”活動。能力訓(xùn)練要注重訓(xùn)練手段創(chuàng)新，重視信息技術(shù)、虛擬仿真技術(shù)及信息安全理論方法和技能的跟蹤與研究，用“虛擬”制造“現(xiàn)實(shí)”，用網(wǎng)絡(luò)擴(kuò)大規(guī)模，用模型替代裁判，用互聯(lián)造就聯(lián)合，開發(fā)信息安全管理模擬訓(xùn)練系統(tǒng)，在體驗(yàn)中感覺信息安全入侵，在互動中提高防范應(yīng)變能力，在對抗中捍衛(wèi)信息安全。信息化條件下的教育訓(xùn)練，為培訓(xùn)教育中因材施教的教學(xué)需求提供了很好的手段和方法，對信息安全管理的能力訓(xùn)練等有很好技術(shù)支持，當(dāng)然相對傳統(tǒng)教學(xué)而言，其教學(xué)理念、教學(xué)準(zhǔn)備、教學(xué)實(shí)施和教學(xué)考核的教學(xué)全過程有深刻的變革，需要教育者不斷深入研究和努力實(shí)踐創(chuàng)新。

作者：韓全惜 單位：南京政治學(xué)院軍事信息管理系

信息安全管理論文:基于信息安全的人員安全管理論文

1人員安全管理現(xiàn)狀

1.1崗位人員安全意識薄弱

崗位人員隨便下載安裝個人需要的軟件程序，往往會在安裝軟件的過程中直接將一些安裝程序中附帶的插件也裝在了操作系統(tǒng)中，如果是惡性插件，必然會造成系統(tǒng)的不穩(wěn)定，嚴(yán)重者甚至?xí)斐尚畔踩录陌l(fā)生，這些事件的發(fā)生很大程度上就是因?yàn)閸徫蝗藛T安全意識薄弱所造成的。安全意識薄弱的因素有很多，一是相關(guān)技術(shù)部門沒有長期的進(jìn)行圖書館信息安全意識的思想灌輸；二是崗位人員本身對信息安全意識重視不夠。

1.2人員安全管理制度不完善，執(zhí)行力不高

制度的制定給予管理提供依據(jù)，無制度便無章可循，相關(guān)工作就會混亂無章。雖然多數(shù)高職院校圖書館在人員安全管理方面都制定了相關(guān)的管理制度，但制度的內(nèi)容不夠完善，很多細(xì)節(jié)問題不夠全面，甚至只是“白紙黑字”而已，形同虛設(shè)，而且執(zhí)行起來也不夠徹底，執(zhí)行力不高。這大多數(shù)高職院校尤其是民辦性質(zhì)的高職院校圖書館都普通存在這樣的現(xiàn)象。

2人員安全管理策略

要解決人員安全管理不當(dāng)帶來的信息安全問題，必須要比較全面地完善人員安全方面的管理制度，提高執(zhí)行力。具體策略如下：

2.1技術(shù)人員崗位分工協(xié)作

對于技術(shù)人員充足的高職院校圖書館，可以將技術(shù)人員劃分為三個崗位：硬件安全人員、軟件安全人員和網(wǎng)絡(luò)數(shù)據(jù)人員。根據(jù)圖書館的實(shí)際情況出發(fā)，將這三類技術(shù)人員進(jìn)行分工協(xié)作，日常工作中完成各自崗位上的職責(zé)。具體劃分可以參考附表。

2.2崗位人員安全管理

2.2.1崗位人員的聘用審核

大多數(shù)圖書館都會每年進(jìn)行一次崗位人員的招聘，因此，每年崗位人員的聘用必須經(jīng)過嚴(yán)格的政審并且考核其業(yè)務(wù)能力，尤其是安全保密方面的能力。對于信息安全意識強(qiáng)的，工作業(yè)務(wù)能力高的，要擇優(yōu)錄取。嚴(yán)格的聘用審核可以將一些毫無信息安全意識的聘用人員扼殺在圖書館外。

2.2.2崗位人員工作機(jī)使用限制

保障圖書館數(shù)字信息的全面安全與崗位人員是否正確使用工作機(jī)有很大的關(guān)系，不法黑客就是利用非技術(shù)人員亂下載亂安裝插件的陋習(xí)造成的系統(tǒng)漏洞進(jìn)行系統(tǒng)的攻擊。根據(jù)各館的實(shí)際工作需要，可以對工作機(jī)的使用作必要的使用說明，例如可以這樣限制：①不得隨意下載安裝存在安全隱患的插件或其他與圖書館工作無關(guān)的軟件，例如：證券軟件、視頻軟件等。②不得隨意瀏覽不安全不健康的網(wǎng)頁；③如有需要安裝工作需要的軟件，須聯(lián)系技術(shù)人員為其下載安全；④遇到信息管理系統(tǒng)客戶端無法正常使用的情況，不要自行卸載或重裝，須聯(lián)系技術(shù)人員解決問題；⑤其他的一些使用原則。

2.2.3崗位人員安全意識培訓(xùn)

信息安全意識對于信息至上的圖書館而言是非常重要的，如果崗位人員都安全意識高，完全可以避免很多信息安全事件的發(fā)生。安全培訓(xùn)可以根據(jù)圖書館制定信息安全培訓(xùn)制度與培訓(xùn)計劃，有針對性地有重點(diǎn)地定時對不同崗位的工作人員進(jìn)行培訓(xùn)。例如：X館在每個學(xué)期末的全館學(xué)期工作總結(jié)會議上，信息技術(shù)部主任都會對全館的工作人員進(jìn)行迫切高度強(qiáng)調(diào)信息安全意識的重要性。

2.2.4崗位人員功能賬號統(tǒng)一管理

圖書館信息管理系統(tǒng)包括編目、流通、期刊、系統(tǒng)管理、檢索、采訪等幾個子功能系統(tǒng)，不同崗位的工作人員擁有相應(yīng)的子系統(tǒng)功能賬號。為了保證數(shù)字信息的安全，崗位人員功能賬號的使用必須統(tǒng)一由相關(guān)部門（信息技術(shù)部）分配管理，提出有效的管理分配原則，例如：一個崗位人員只能擁有該崗位的功能賬號，不得擁有其他崗位的功能賬號；對于某些崗位人員有業(yè)務(wù)工作需求，需要其他崗位的功能賬號，可以設(shè)置多個公共功能賬號提供使用，需求者必須向信息技術(shù)部門提出申請；新進(jìn)的崗位人員需向信息技術(shù)部相關(guān)工作人員申請賬號；崗位人員需要修改賬號或密碼，必須向技術(shù)部相關(guān)工作人員提出需求給予修改。

2.3讀者用戶安全管理

圖書館的信息是為讀者用戶服務(wù)的，信息訪問量最大的群體就是讀者用戶，讀者用戶是否安全訪問也直接影響著信息管理系統(tǒng)的信息安全。因此，圖書館有必要采取有效措施，制定確實(shí)可行的讀者用戶安全訪問管理制度，確保讀者用戶訪問圖書館信息的安全?？梢酝ㄟ^以下方式提高讀者的信息安全意識：①每年新生入學(xué)，圖書館可以通過開展新生入館教育的形式對新生讀者進(jìn)行信息安全意識的提高，通過用戶安全培訓(xùn)，提高用戶安全意識，使其自覺遵守安全制度。②通過網(wǎng)絡(luò)宣傳、現(xiàn)場海報宣傳，小冊子派發(fā)宣傳、講座演講宣傳等形式對讀者長期進(jìn)行信息安全意識的宣傳，提升讀者的信息素養(yǎng)，讓讀者掌握簡單有效的病毒攻擊防護(hù)技巧。

3結(jié)束語

信息安全是數(shù)字圖書館業(yè)務(wù)工作穩(wěn)定進(jìn)行的基本保障，數(shù)字信息不安全，圖書館的信息服務(wù)工作就得不到保障。從圖書館技術(shù)人員的角度出發(fā)，必須要認(rèn)清信息安全在人員管理方面存在的不足，并提出確實(shí)有效可行的人員安全管理措施，以保障數(shù)字圖書館信息服務(wù)工作的正常進(jìn)行。

作者：黃偉成 單位：廣東農(nóng)工商職業(yè)技術(shù)學(xué)院圖書館

信息安全管理論文:信息安全管理體系的構(gòu)建

一、信息安全管理體系的概述

隨著信息技術(shù)的不斷發(fā)展，我國信息安全管理工作質(zhì)量不斷提高，但是，目前仍然存在著一些問題，阻礙了信息安全管理的發(fā)展。首先，我國信息安全管理法規(guī)體系不夠完善，相關(guān)方面的法律規(guī)定較少，導(dǎo)致信息安全管理的實(shí)施得不到有效的法律保障。其次，我國信息安全管理片面注重技術(shù)層面的維護(hù)，缺乏有效的管理手段，信息安全管理比較薄弱。最后，信息安全管理主要采取被動手段，科學(xué)性不高，不能實(shí)現(xiàn)全面性管理，而且一些高層領(lǐng)導(dǎo)對信息安全管理工作的重視程度偏低，信息安全管理工作比較薄弱。

二、信息安全管理體系的構(gòu)建

2.1策劃準(zhǔn)備

在構(gòu)建信息安全管理體系前，需要做好各種準(zhǔn)備工作，包括計劃的制定、相關(guān)培訓(xùn)安排、組織調(diào)研活動、職責(zé)劃分等內(nèi)容。

2.2確定范圍

根據(jù)組織中IT技術(shù)水平、信息資產(chǎn)、工作人員等實(shí)際情況，進(jìn)行信息安全管理體系適用的安全范圍，既可以選擇部分區(qū)域，也可選擇整個區(qū)域。確定合理的安全范圍后，信息的安全管理更加方便。

2.3風(fēng)險評估

構(gòu)建信息安全管理體系時，要做好信息處理、存儲等工作的安全性調(diào)查，預(yù)測可能發(fā)生的危害信息安全性的事件，并對可能性危害事件會造成的影響做出判斷，然后根據(jù)評估結(jié)果做好信息風(fēng)險管理工作。

2.4建立框架

要完成信息安全管理體系的構(gòu)建，離不開信息安全管理框架的建立，這就需要我們要做到全方面考慮，根據(jù)信息系統(tǒng)的實(shí)際情況，結(jié)合組織特點(diǎn)、技術(shù)水平等條件建立相應(yīng)的信息清單，對信息管理做好風(fēng)險分析、需求分析等內(nèi)容，并提出相應(yīng)的問題解決方案，進(jìn)一步保證信息的安全性。

2.5文件編寫

要構(gòu)建信息安全管理體系，還需要對范圍確定、安全方針、風(fēng)險評估等內(nèi)容進(jìn)行相應(yīng)的文件編寫，建立各種文檔，為風(fēng)險管理、體系改進(jìn)等工作提供依據(jù)。

2.6體系運(yùn)行

以上步驟完成后，信息安全管理體系開始運(yùn)行。在運(yùn)行時期，我們要進(jìn)一步提高體系運(yùn)作力度，使體系的整體功能得到有效發(fā)揮。一旦發(fā)現(xiàn)體系存在問題，要盡快找出解決措施，及時解決相關(guān)問題，不斷完善信息安全管理體系。

2.7體系審核

信息安全管理體系的審核主要是對體系進(jìn)行客觀評價，通過內(nèi)部審核及外部審核兩種方式對體系的運(yùn)行及相關(guān)文件進(jìn)行全方面檢查。其中內(nèi)部審核主要是組織內(nèi)部的自我審核，外部審核主要由外部相應(yīng)的組織對體系進(jìn)行檢查，通過內(nèi)外審核進(jìn)一步確定信息安全管理體系的安全性。

三、總結(jié)

綜上所述，信息對于部隊來說非常重要，作為信息安全管理者，確保部隊信息的安全性是我們的主要職責(zé)。信息安全管理需要從技術(shù)和管理兩個方面入手，時代環(huán)境在不斷變化，信息管理技術(shù)也要不斷創(chuàng)新，從而適應(yīng)當(dāng)前時代的需求。目前，我國信息安全管理存在一定的問題，需要我們采取積極的手段構(gòu)建并完善相關(guān)體系，進(jìn)一步提高信息的安全管理質(zhì)量。

作者：楊三勇 單位：72433 部隊檔案室

信息安全管理論文:電子檔案信息安全管理問題及挑戰(zhàn)

【文章摘要】電子檔案主要就是利用科學(xué)技術(shù)來對檔案進(jìn)行合理構(gòu)建，可是國內(nèi)在管理電子檔案信息時，還存在諸多安全問題需要進(jìn)行解決。文章分析了電子檔案管理過程中面臨的安全問題，從而提出一些強(qiáng)化策略，希望可以為我國管理電子檔案的工作人員提供參考。

【關(guān)鍵詞】電子檔案；信息安全；問題；策略

以前的紙質(zhì)檔案在保存過程中，時常會出現(xiàn)眾多隱患，譬如：破損、腐蝕、蟲蛀與丟失等，進(jìn)而阻礙了檔案管理工作的質(zhì)量和發(fā)展速度。而在信息技術(shù)迅猛發(fā)展的當(dāng)下，眾多檔案管理人員開始應(yīng)用電子信息的方式來管理檔案，這樣一來就有效防止了紙質(zhì)檔案缺陷的發(fā)生。可是在一系列實(shí)踐工作中不難發(fā)現(xiàn)，雖然現(xiàn)在我國應(yīng)用電子檔案信息的管理方式，可是在檔案管理中依舊會出現(xiàn)不同種類的問題。譬如：標(biāo)準(zhǔn)化及規(guī)范化程度不夠、編制人員素質(zhì)不統(tǒng)一等等。所以，筆者在探究這些問題的過程中，并提出了解決辦法，具體如下。

1分析檔案信息的安全需求

檔案信息安全具體包括以下要求：首先，要保證網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全；其次，檔案信息內(nèi)容應(yīng)該具有相應(yīng)的安全性。檔案內(nèi)容安全是檔案管理中的重要內(nèi)容，其不但包括信息傳輸安全，還包括信息存儲安全。通過分析可知檔案信息安全需求如下：

1.1完整性

針對電子檔案信息而言，其背景信息、源數(shù)據(jù)以及內(nèi)容都需要進(jìn)行完善，同時還要確保硬件說明、軟件說明、事件活動信息等都具有相應(yīng)的完整性。也就是說，在傳輸電子檔案信息時，一定不能出現(xiàn)破壞的現(xiàn)象，譬如：偽裝重置、刪除與篡改等。

1.2真實(shí)性

保證電子信息都是從可靠且安全的電子檔案中獲得來的，在通過遷移和傳輸后，不會與最初情況發(fā)生沖突，不會出現(xiàn)隨意破壞以及偽造和改動等情況。

1.3保密性

只有合法的用戶才能夠訪問電子信息，而那些非法用戶是不能進(jìn)行訪問的。一般人們會對以下幾種保密技術(shù)進(jìn)行使用：信息加密技術(shù)、物理保密技術(shù)、防輻射技術(shù)、防偵收技術(shù)等。防輻射這種技術(shù)就是防止一些使用性質(zhì)較高的信息被輻射出去；防偵收這種技術(shù)就是阻礙不法人員對有用的信息進(jìn)行接收；物理保密這種技術(shù)就是應(yīng)用各種各樣的物理方法來保護(hù)信息，以有效預(yù)防信息外露；信息加密這種技術(shù)就是在秘鑰的有效控制下，進(jìn)行恰當(dāng)?shù)募用芴幚怼?

1.4不能被否認(rèn)的特性

檔案信息在通過網(wǎng)絡(luò)系統(tǒng)進(jìn)行交互時，確保參與者的一致性及真實(shí)、可靠性。也就是一切參與者都不能在否定前進(jìn)行操作。應(yīng)用信息源可以防止發(fā)信人員對自己已經(jīng)發(fā)送的信息進(jìn)行否認(rèn)。

2存在于電子檔案信息管理中的問題

現(xiàn)在我國在電子檔案信息管理方面還存著眾多安全問題，影響檔案管理效果與發(fā)展速度，其中安全問題包括下述幾種：

2.1標(biāo)準(zhǔn)化及規(guī)范化程度不夠

我國現(xiàn)在所進(jìn)行的檔案信息管理還不是非常成熟，相比于那些發(fā)達(dá)的國家，還有很大的差距。我國電子信息檔案管理才剛剛起步，所以，在管理過程經(jīng)常會遇到這樣或那樣的問題。而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，人們逐漸明確數(shù)字化檔案、信息化檔案對于檔案管理工作是非常重要的?？墒俏覈壳霸陔娮訖n案管理這方面卻沒有非常高的標(biāo)準(zhǔn)性和規(guī)范性，因此阻礙了數(shù)字化檔案和信息化檔案這個管理目標(biāo)的實(shí)現(xiàn)。

2.2沒有統(tǒng)一的電子檔案文件

在電子檔案管理過程中，如果只針對計算機(jī)軟件的研究和開發(fā)而言，現(xiàn)在最需要重視的問題就是軟件開發(fā)無法與檔案的使用需求相符合，并且還不能提高檔案的存儲效率和實(shí)際利用。此外，單位、地區(qū)間應(yīng)用的檔案管理系統(tǒng)存在不統(tǒng)一的情況，這樣各單位以及地區(qū)就不能夠?qū)崿F(xiàn)共享和利用檔案文件的目的。

2.3沒有較強(qiáng)的技術(shù)支持

針對電子檔案管理工作而言，假如沒有較硬的技術(shù)支持，那么電子檔案信息就會存在安全隱患?，F(xiàn)在我國在進(jìn)行檔案信息管理時，缺少科學(xué)技術(shù)支持。具體有下述表現(xiàn)：其一，在選配硬件方面有問題存在。譬如：在選配硬件時，選擇的硬件系統(tǒng)性能和質(zhì)量都非常差，且功能還不健全，進(jìn)而影響檔案管理系統(tǒng)的實(shí)際運(yùn)行，還可能會因此丟失一部分檔案文件。其二，病毒入侵計算機(jī)。當(dāng)計算機(jī)中進(jìn)入病毒之后，計算機(jī)當(dāng)中的數(shù)據(jù)就會被破壞，使得相應(yīng)的功能出現(xiàn)降低，并使數(shù)據(jù)和系統(tǒng)受到影響，進(jìn)而失去安全性能，譬如：隨著木馬病毒的快速蔓延，電子系統(tǒng)就會被影響，進(jìn)而影響到整個檔案管理工作。

2.4管理人員的素質(zhì)不統(tǒng)一

大部分企業(yè)當(dāng)中的檔案管理人員都具備眾多的管理檔案的知識，可是他們的素質(zhì)卻不相同，較為明顯的表現(xiàn)就是計算機(jī)知識和技能的掌握情況存在極大差距，在進(jìn)行電子檔案管理時，想要對一些電子軟件進(jìn)行操作，那么管理人員一定要具備非常強(qiáng)的操作能力，只有這樣管理才能使有效性得到提升。可是實(shí)際上，部分管理人員都比較缺少計算機(jī)知識、不具備基本的操作能力和應(yīng)用網(wǎng)絡(luò)技術(shù)的能力，進(jìn)而致使檔案管理不能夠得到安全保證。

3強(qiáng)化檔案管理安全性的方法

3.1提高檔案管理的規(guī)范性及標(biāo)準(zhǔn)性

為了強(qiáng)化電子檔案的管理，使其安全性能得到提升，就應(yīng)該規(guī)范檔案管理工作。譬如：在搜集完電子文件之后，應(yīng)該形成一個系統(tǒng)的文件，然后再進(jìn)行細(xì)致的整理及積累，最后在相關(guān)人員鑒定沒有錯誤后進(jìn)行歸檔處理。只要按照以上步驟進(jìn)行檔案歸檔工作，那么檔案的規(guī)范性、標(biāo)準(zhǔn)性都會得到相應(yīng)的提升。同時，當(dāng)整理完電子檔案，并做好歸檔工作之后，還應(yīng)該進(jìn)行保管和移交工作。此外，檔案管理部門還應(yīng)該集中對電子文件進(jìn)行管理，進(jìn)而使檔案管理工作更加的規(guī)范和標(biāo)準(zhǔn)。

3.2對管理軟件進(jìn)行升級處理

現(xiàn)在國內(nèi)所擁有的檔案管理軟件并不成熟，所以，應(yīng)該對管理軟件進(jìn)行升級處理，以使檔案信息的安全得到保證。升級管理軟件的目標(biāo)包括以下幾種：第一種，提升管理軟件的兼容性；第二種提升軟件的統(tǒng)一性。兼容性就是管理軟件能夠與其余操作系統(tǒng)和設(shè)備進(jìn)行配合，因此軟件只有具有良好的配合功能，才算具有良好的兼容性，譬如：和操作平臺進(jìn)行配合等等。而統(tǒng)一性就是升級過的電子軟件擁有一個較為完善的管理系統(tǒng)，并且在每一個環(huán)節(jié)當(dāng)中都應(yīng)該體現(xiàn)出統(tǒng)一性原則，譬如：統(tǒng)一應(yīng)用軟件、統(tǒng)一規(guī)章制度、統(tǒng)一標(biāo)準(zhǔn)等，尤其是單位、地區(qū)內(nèi)，一定要防止檔案系統(tǒng)出現(xiàn)較為嚴(yán)重的差異情況，進(jìn)而使系統(tǒng)在具備統(tǒng)一特征之后，使檔案文件能夠被更加廣泛分享和利用。

3.3建立專業(yè)的管理隊伍

管理信息檔案屬于較為系統(tǒng)且復(fù)雜的一項(xiàng)工作，想要使檔案管理具備更高的安全性及有效性，便需要建立一支專業(yè)知識、操作能力及素質(zhì)都極高的管理隊伍。首先，對管理人員進(jìn)行培養(yǎng)，讓他們意識到管理工作的重要性，嚴(yán)格杜絕那些思想不先進(jìn)、工作不積極的現(xiàn)象發(fā)生。其次，應(yīng)該選拔和聘用一些熟悉檔案業(yè)務(wù)且工作能力和素質(zhì)都極強(qiáng)的管理人員，然后再對這部分人員進(jìn)行業(yè)務(wù)、技能和知識培訓(xùn)，以此提升管理人員的綜合素質(zhì)。此外，因?yàn)椴糠止芾砣藛T沒有過硬的計算機(jī)操作能力，并且與計算機(jī)有關(guān)的知識積累也較為欠缺。所以，在網(wǎng)絡(luò)應(yīng)用和計算機(jī)操作方面都應(yīng)該加強(qiáng)培訓(xùn)，進(jìn)而使電子檔案的利用、整理、形成和接收等工作可以更加完善。

3.4構(gòu)建維護(hù)電子檔案的法律條例

為了防止檔案信息丟失和被隨意被更改的現(xiàn)象發(fā)生，就需要構(gòu)建維護(hù)電子檔案的法律條例。其一，在掌握目前已經(jīng)建立的法律內(nèi)容同時，認(rèn)真的整合立法信息資源，并構(gòu)建維護(hù)電子檔案的法律體系，進(jìn)而使電子文件更加的安全和真實(shí)。其二，檔案和文件在立法上一定要保持一致性，不能盲目的在兩者間進(jìn)行立法，只有這樣才能促進(jìn)檔案管理工作持續(xù)進(jìn)行。其三，應(yīng)該明確電子文件在法律上的地位，制定恰當(dāng)?shù)姆珊头ㄒ?guī)，進(jìn)而使檔案管理工作在法律的維護(hù)下良好發(fā)展。其四，管理檔案的部門間應(yīng)該做好配合，如：信息部門、技術(shù)部門、法律部門等，充分分析文件所具有的特殊性質(zhì)，并在借鑒發(fā)達(dá)國家頒布的法律體系基礎(chǔ)上，建立與國內(nèi)國情相符合的法規(guī)體系，促進(jìn)檔案工作快速、穩(wěn)定發(fā)展。

4結(jié)語

針對目前的實(shí)際情況來看，在我國還有很多安全問題存在電子信息檔案管理過程中，譬如：電子文件統(tǒng)一性不足、管理人員素質(zhì)不統(tǒng)一、標(biāo)準(zhǔn)化及規(guī)范化不足、沒有較強(qiáng)的技術(shù)支持等。針對檔案管理工作而言，一定要在探討以上問題的基礎(chǔ)上，制定相應(yīng)的強(qiáng)化措施，以使電子文件的安全性得到提升。在管理電子檔案時，筆者認(rèn)為要提高檔案管理的規(guī)范性及標(biāo)準(zhǔn)性、對管理軟件進(jìn)行升級處理、建立專業(yè)的管理隊伍、構(gòu)建完善的法律條例，使電子檔案文件更加的安全和真實(shí)，保證檔案管理工作的完善性和科學(xué)性。

作者：李愛鋒 單位：衡水市計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心

信息安全管理論文:檔案開放與信息安全管理淺談

一、檔案開放

（一）檔案開放的必要性。

進(jìn)入現(xiàn)代社會，互聯(lián)網(wǎng)科技十分發(fā)達(dá)，人們了解獲得信息的渠道，方式多種多樣。無論國家政府的檔案，還是企業(yè)公司的檔案，都可以通過合法或者非法的方式進(jìn)入互聯(lián)網(wǎng)，為公眾所知。對于各種檔案，進(jìn)行嚴(yán)密的保管是很難做到的，在當(dāng)下我們這個信息開放的社會，將檔案開放，方便社會群眾進(jìn)行了解，使用，對于維護(hù)社會穩(wěn)定，提升檔案的利用價值，提高檔案的可靠真實(shí)度都有重要的意義。當(dāng)然，筆者本文所言的具有開放必要性的檔案是具有公共利益性質(zhì)的檔案，是能夠?yàn)槿嗣裉峁┮欢ǚ?wù)的檔案。對于國家檔案，很多在一定時期屬于國家機(jī)密，是無法對外開放的，但是這并不代表這種檔案沒有開放的必要性，開放的必要性依舊存在，國家的人民有權(quán)利了解國家的相關(guān)事務(wù)，隨著時期的過渡，這些檔案會慢慢解密為社會公眾所了解；對于企業(yè)檔案，開放的必要性是針對企業(yè)工作的工作人員。企業(yè)的領(lǐng)導(dǎo)層以及員工階層能夠方便調(diào)取個人以及企業(yè)的相關(guān)檔案對于提高企業(yè)工作效率，團(tuán)結(jié)企業(yè)有著重要的意義。

（二）檔案開放的風(fēng)險性。

當(dāng)然，檔案的開放具有很大的危險性，存在很大的安全風(fēng)險。對于國家政府相關(guān)的檔案，即使在開放之前，考慮再三，十分謹(jǐn)慎，度過了某一敏感的時期，但是，一些檔案公之于眾之后還是會引起一些波瀾。甚至，政府類的檔案還容易被心懷叵測的社會主義敵對分子利用，借之進(jìn)行歪解胡說，蠱惑一批無知又容易沖動的民眾，對我們的社會穩(wěn)定產(chǎn)生很多不利的因素。此外，對于企業(yè)或者機(jī)關(guān)單位的很多檔案，為了方便業(yè)內(nèi)人士提取，使用，進(jìn)行開放后，往往容易造成個人隱私泄密，單位機(jī)密泄密，為不法分子提供可乘之機(jī)?？傊_放檔案，既有方便，積極的一面，同時也面臨著很大的風(fēng)險，存在很大的安全隱患問題。即使開放檔案存在這樣或者那樣，可預(yù)知以及不可預(yù)知的風(fēng)險，筆者還是認(rèn)為，我們不能因噎廢食，還是應(yīng)該將應(yīng)該開放的檔案，大膽進(jìn)行開放。

（三）檔案開放的程序。

所謂的檔案開放程序，就是指檔案開放所需要進(jìn)行的必要操作，所必須經(jīng)歷的方法，步驟。只有確立嚴(yán)格的檔案開放程序，并且嚴(yán)格按照程序辦事，開放符合要求的相關(guān)檔案，才能降低開放檔案帶來的風(fēng)險，同時滿足檔案開放的必要性，發(fā)揮開放性檔案的積極作用。不同性質(zhì)的檔案，開放程序不同，有嚴(yán)密繁瑣的程序步驟，也有簡單章程性的程序，這主要根據(jù)檔案的重要性來決定。確立明確，嚴(yán)明的檔案開放程序，對于檔案的有序、科學(xué)使用，檔案信息的保密都有著重要的意義。

二、信息安全管理的方法策略

（一）管理工作人員的培養(yǎng)。

做好信息安全管理的工作我們首先需要一批具備安全管理信息才能的人才?；ヂ?lián)網(wǎng)時代的飛速發(fā)展，為我們的社會培養(yǎng)了很多具有互聯(lián)網(wǎng)知識，IT行業(yè)技術(shù)的高端人才。我們只要對這些人才進(jìn)行短期的信息安全管理的培訓(xùn)工作，就完全能夠使這些人才勝任信息安全管理的工作。做好信息安全管理工作的首要一步是引進(jìn)綜合素質(zhì)過硬的人才，并對這些人才進(jìn)行必要的職前培訓(xùn)，只有這樣，企業(yè)單位的信息部門才能做到信息的科學(xué)，安全管理。既為企業(yè)單位提供開放信息帶來的便利，同時還要保證信息的安全。

（二）嚴(yán)格管理制度的確立。

確立嚴(yán)格，完善的安全管理信息的相關(guān)規(guī)章制度，并嚴(yán)格遵守，一切按照規(guī)章制度辦事，任何人在一般情況下都不能破壞規(guī)章制度，調(diào)取信息。企業(yè)和單位為了做好信息安全管理的工作，就要自上而下嚴(yán)格遵守企業(yè)制定的信息安全管理的規(guī)章制度?，F(xiàn)代企業(yè)和事業(yè)單位的管理，都要以嚴(yán)格的，先進(jìn)科學(xué)的管理制度進(jìn)行管理，在信息管理部門同樣是如此，好的制度為信息安全管理提供有效的保障。

（三）安全可靠的設(shè)備。

檔案的管理人員在對檔案進(jìn)行收集與整理的過程中就應(yīng)該對文件做一個明確的分類，并進(jìn)行準(zhǔn)確的編號。同時要隊文件的資料做一個科學(xué)合理的分類與陳列，或者是可以依照不同的部門而對其進(jìn)行分類。提高報關(guān)信息設(shè)備的安全可靠性。企業(yè)和事業(yè)單位的信息部一定要完善處理，保管信息的設(shè)備，提高信息管理工作需要的硬件以及軟件設(shè)備的水平。高水平的硬件，軟件設(shè)備不僅能夠提高信息利用的效率，同時還能夠提高對信息的保護(hù)層級，防治外來黑客對信息進(jìn)行竊取。

（四）監(jiān)督審查措施的常態(tài)開展。

為了保證信息的安全，要確立嚴(yán)格的監(jiān)督制度，對單位的信息進(jìn)行嚴(yán)格的監(jiān)督，并且做到自下至上的，分工明確，責(zé)任明確。成立專門的信息監(jiān)督小組，通過互聯(lián)網(wǎng)以及其他相關(guān)的技術(shù)設(shè)備對信息進(jìn)行監(jiān)督，管理。對單位的信息要做到定期系統(tǒng)管理，每隔一段時間，對單位所有的信息進(jìn)行分門別類，系統(tǒng)的管理，淘汰無用的信息，保證信息的時效性。同時，要確立嚴(yán)格的審查，追責(zé)制度。首先，定期對信息進(jìn)行審查，保證信息管理工作的安全可靠，其次，對于信息被濫用，泄露等惡劣事件，要做到嚴(yán)格追責(zé)，嚴(yán)厲懲罰。

三、結(jié)束語

有些檔案具有開放的必要性，在當(dāng)今互聯(lián)網(wǎng)時代，將部分檔案開放，有利于提高檔案的使用價值，提升人民群眾的法治觀念，維護(hù)社會以及互聯(lián)網(wǎng)環(huán)境的文明，合法。同時，將檔案信息開放面臨著很多的風(fēng)險，但是我們不能因噎廢食，該開放的檔案信息還是要積極地進(jìn)行開放，只是我們必須要完善我們的信息安全管理制度，并且培養(yǎng)大批從事信息安全管理工作的人才。只有做到嚴(yán)明制度，謹(jǐn)慎管理，我們才能夠一面發(fā)揮檔案信息開放的積極作用，同時還能保證檔案信息的安全，防止檔案信息被非法濫用。

作者：劉曉峰 單位：洮南市中小企業(yè)服務(wù)中心

信息安全管理論文:加強(qiáng)公務(wù)外網(wǎng)信息安全管理工作通知

一、加強(qiáng)領(lǐng)導(dǎo)，健全網(wǎng)絡(luò)安全管理責(zé)任制

各單位要切實(shí)加強(qiáng)對信息網(wǎng)絡(luò)安全工作的組織領(lǐng)導(dǎo)，一把手作為信息網(wǎng)絡(luò)安全和保密工作的第一責(zé)任人，要按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則建立健全網(wǎng)絡(luò)安全管理責(zé)任制，明確主要責(zé)任人和直接責(zé)任人，把管理責(zé)任落實(shí)到具體崗位和具體工作人員。

二、完善措施，確保公務(wù)外網(wǎng)信息網(wǎng)絡(luò)安全

（一）組織開展信息網(wǎng)絡(luò)安全培訓(xùn)

各單位要對工作人員進(jìn)行國家保密法律、法規(guī)和網(wǎng)絡(luò)安全保密管理規(guī)定的培訓(xùn)，特別是要對網(wǎng)絡(luò)管理人員開展崗位技能培訓(xùn)，切實(shí)提高相關(guān)工作人員的信息網(wǎng)絡(luò)安全意識和防范能力。

（二）加強(qiáng)網(wǎng)絡(luò)安全管理

加強(qiáng)網(wǎng)絡(luò)安全管理，嚴(yán)格遵循“涉密不上網(wǎng)，上網(wǎng)不涉密”原則，以防攻防、防癱瘓、防病毒、防竊密為重點(diǎn)，做好信息網(wǎng)絡(luò)安全管理工作。

1.公務(wù)外網(wǎng)屬于非涉密的政務(wù)外網(wǎng)，各聯(lián)網(wǎng)單位不得將涉密計算機(jī)設(shè)備和網(wǎng)絡(luò)接入本網(wǎng)，不得在公務(wù)外網(wǎng)上傳輸、處理或存儲涉密信息。嚴(yán)禁在涉密計算機(jī)與其他計算機(jī)之間交叉使用U盤等移動存儲設(shè)備。

2.為確保公務(wù)外網(wǎng)安全，嚴(yán)禁各單位私自接入路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備，嚴(yán)禁擅自擴(kuò)大網(wǎng)絡(luò)的使用范圍。確需接入路由器等設(shè)備的，需向縣政府辦公室信息公開及網(wǎng)絡(luò)管理中心提出書面申請，經(jīng)審批后，按照有關(guān)程序，由專人負(fù)責(zé)接入。

3.連接公務(wù)外網(wǎng)的所有計算機(jī)、服務(wù)器和其他設(shè)備不得用于存儲、處理、傳輸涉密及秘密和敏感信息。工作人員不得在聯(lián)網(wǎng)計算機(jī)上炒股、打游戲、看電影、聊天，不得瀏覽、復(fù)制、傳播反動、色情等不良信息，不得傳播病毒等有害信息，不得在公務(wù)外網(wǎng)上從事違法活動。

4.加強(qiáng)IP地址管理，嚴(yán)禁違反統(tǒng)一規(guī)劃擅自更改和設(shè)置IP地址。

5.嚴(yán)禁內(nèi)網(wǎng)外聯(lián)，嚴(yán)禁使用公用郵箱收發(fā)涉密郵件。

6.全縣公務(wù)外網(wǎng)具有統(tǒng)一的國際互聯(lián)網(wǎng)出口，接入公務(wù)外網(wǎng)的計算機(jī)、設(shè)備和網(wǎng)絡(luò)，不得再通過其他線路聯(lián)接國際互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)。

7.各聯(lián)網(wǎng)單位計算機(jī)系統(tǒng)必須安裝殺毒軟件、木馬防火墻并及時更新。

8.設(shè)有獨(dú)立機(jī)房的單位要安排工作人員在機(jī)房值班，并定期和不定期地對網(wǎng)絡(luò)設(shè)備工作狀況、UPS電源維護(hù)、數(shù)據(jù)備份、防病毒軟件升級、移動存儲設(shè)備使用、數(shù)據(jù)傳輸及各項(xiàng)制度的執(zhí)行情況開展巡回檢查，注意防火防盜，確保網(wǎng)絡(luò)安全暢通無事故。

（三）加強(qiáng)網(wǎng)上信息的安全管理

已在互聯(lián)網(wǎng)上開通門戶網(wǎng)站或開通信息公開平臺的單位，要按照“誰誰負(fù)責(zé)、誰審核誰負(fù)責(zé)”的原則，嚴(yán)把信息關(guān)，杜絕涉密、敏感信息上網(wǎng)。

三、開展自查，排除潛在的信息安全隱患

接此通知后，各單位要認(rèn)真開展一次信息安全自查，做到不走過場、不留死角，發(fā)現(xiàn)信息安全隱患要及時采取有效措施，確保網(wǎng)絡(luò)信息安全。

四、建立機(jī)制，提升信息網(wǎng)絡(luò)安全應(yīng)急能力

各單位要建立健全信息網(wǎng)絡(luò)安全應(yīng)急預(yù)案，完善信息網(wǎng)絡(luò)安全應(yīng)急措施，提升網(wǎng)絡(luò)突發(fā)安全事件的處置和響應(yīng)能力。要加強(qiáng)預(yù)警監(jiān)測，一旦公務(wù)外網(wǎng)發(fā)生網(wǎng)絡(luò)安全事件，要迅速向縣政府辦公室報告，并做好先期處置、情況研判工作，最大限度地減少事件造成的損失和危害。