引言：易發(fā)表網(wǎng)憑借豐富的文秘實(shí)踐，為您精心挑選了九篇信息安全管理范例。如需獲取更多原創(chuàng)內(nèi)容，可隨時聯(lián)系我們的客服老師。

第1篇

 

一、前言

 

國網(wǎng)公司現(xiàn)已建成覆蓋至基層生產(chǎn)班站及營業(yè)站所的信息內(nèi)網(wǎng)。隨著SG186工程的全面投入運(yùn)行，從職能部室到一線班組，電力企業(yè)所有的業(yè)務(wù)數(shù)據(jù)都依賴網(wǎng)絡(luò)進(jìn)行流轉(zhuǎn)，電網(wǎng)企業(yè)生產(chǎn)和經(jīng)營對信息網(wǎng)絡(luò)和信息系統(tǒng)的依賴程度越來越高信息安全的重要性日益凸顯。國網(wǎng)公司已將網(wǎng)絡(luò)與信息安全納入公司安全管理體系。

 

一直以來，信息安全防御理念常局限于常規(guī)的網(wǎng)關(guān)級別(防火墻等)、網(wǎng)絡(luò)邊界(漏洞掃描、安全審計(jì))等方面的防御，重要的安全設(shè)施大多集中于核心機(jī)房、網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅已大大減少，尤其實(shí)行內(nèi)外網(wǎng)隔離、雙網(wǎng)雙機(jī)后，來自于互聯(lián)網(wǎng)的威脅微乎其微。而內(nèi)網(wǎng)辦公終端由于分布地點(diǎn)廣泛，管控難度大，加之現(xiàn)在無線上網(wǎng)卡、無線wifi和智能手機(jī)的興起，內(nèi)網(wǎng)計(jì)算機(jī)接入互聯(lián)網(wǎng)的事件時有發(fā)生，一旦使用人員將內(nèi)網(wǎng)計(jì)算機(jī)通過以上方式接入互聯(lián)網(wǎng)，即造成違規(guī)外聯(lián)事件。由于違規(guī)外聯(lián)開通了一條無任何保護(hù)措施進(jìn)出內(nèi)外網(wǎng)的通道，一旦遭遇黑客襲擊，就可能造成信息泄露、重要數(shù)據(jù)丟失、病毒入侵、網(wǎng)絡(luò)癱瘓等信息安全事故，給企業(yè)信息安全帶來重大的安全隱患和風(fēng)險。

 

二、強(qiáng)化管理、落實(shí)責(zé)任，監(jiān)培并進(jìn)

 

1、將違規(guī)外聯(lián)明確寫入公司各項(xiàng)規(guī)章制度，并納入經(jīng)濟(jì)責(zé)任考核。在《公司信息系統(tǒng)安全管理辦法》中，對杜絕違規(guī)外聯(lián)事件進(jìn)行了明確的要求：所有內(nèi)網(wǎng)計(jì)算機(jī)必須粘貼防止違規(guī)外聯(lián)提示卡，嚴(yán)禁將接入過互聯(lián)網(wǎng)未經(jīng)處理的計(jì)算機(jī)接入內(nèi)網(wǎng)，嚴(yán)禁在普通計(jì)算機(jī)上安裝雙網(wǎng)卡，嚴(yán)禁將智能設(shè)備(3G手機(jī)、無線網(wǎng)卡等)插入內(nèi)網(wǎng)計(jì)算機(jī)USB端口，嚴(yán)禁在辦公區(qū)通過路由器連接外網(wǎng)，杜絕違規(guī)外聯(lián)行為。 一旦發(fā)生違規(guī)外聯(lián)事件，依據(jù)《企業(yè)信息化工作評級實(shí)施細(xì)則》，按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則對事件責(zé)任人進(jìn)行嚴(yán)肅處理和經(jīng)濟(jì)考核，并在全公司通報批評。將信息安全責(zé)任落實(shí)到人。

 

2、加大違規(guī)外聯(lián)宣貫和培訓(xùn)力度。信息安全工作，重在預(yù)防，將一切安全事件消滅在萌芽狀態(tài)，才能確保信息系統(tǒng)安全穩(wěn)定運(yùn)行。分層次組織開展公司在崗員工，尤其是新員工的信息安全教育培訓(xùn)工作，即重點(diǎn)培訓(xùn)各部門信息化管理人員，各級管理人員培訓(xùn)本部門技術(shù)人員，本部門技術(shù)人員培訓(xùn)一線員工。通過分層式培訓(xùn)，提高了培訓(xùn)效果，同時各級管理人員、技術(shù)人員作為下級培訓(xùn)對象講師提高了自身素質(zhì)，強(qiáng)化了信息安全關(guān)鍵點(diǎn)的作用。確保違規(guī)外聯(lián)事件的嚴(yán)重性、危害性和工作機(jī)理已宣貫至公司每一位員工，實(shí)現(xiàn)全員重視、全員掌握，做到內(nèi)網(wǎng)計(jì)算機(jī)“離座就鎖屏，下班就關(guān)機(jī)”的工作習(xí)慣。

 

3、加強(qiáng)外來工作人員管控。加強(qiáng)外來工作人員信息安全教育，并簽訂《第三方人員現(xiàn)場安全合同書》，嚴(yán)禁外來工作人員計(jì)算機(jī)接入公司內(nèi)外網(wǎng)。對第三方人員工作過程全程監(jiān)控，防止因外來工作人員擅自操作造成違規(guī)外聯(lián)事件。

 

三、加強(qiáng)技術(shù)管控，從源頭杜絕安全事件的發(fā)生

 

2.1嚴(yán)格執(zhí)行“雙網(wǎng)雙機(jī)”

 

嚴(yán)禁在信息內(nèi)網(wǎng)和外網(wǎng)交叉使用計(jì)算機(jī)。對要求接入信息內(nèi)、外網(wǎng)的計(jì)算機(jī)，需向本人核實(shí)該計(jì)算機(jī)之前網(wǎng)絡(luò)接入情況，對內(nèi)外網(wǎng)絡(luò)接入方式有變化、或者是不清楚的情況，需對計(jì)算機(jī)進(jìn)行硬盤格式化并重裝系統(tǒng)后方可接入網(wǎng)絡(luò)。

 

2.2安裝桌面終端，設(shè)置強(qiáng)口令，防止違規(guī)外聯(lián)

 

實(shí)時監(jiān)控全公司內(nèi)網(wǎng)終端桌面終端系統(tǒng)安裝率，確保所有內(nèi)網(wǎng)計(jì)算機(jī)桌面終端安裝率達(dá)100%。設(shè)置桌面終端策略，一旦發(fā)生違規(guī)外聯(lián)，系統(tǒng)立即采取斷網(wǎng)措施，并對終端用戶進(jìn)行警示。要求全部內(nèi)網(wǎng)計(jì)算機(jī)設(shè)置開機(jī)強(qiáng)口令(數(shù)字+字母+特殊符號，且大于8位)，防止非本人操作的違規(guī)外聯(lián)行為。通過桌面終端系統(tǒng)對內(nèi)網(wǎng)計(jì)算機(jī)開機(jī)強(qiáng)口令進(jìn)行實(shí)時監(jiān)控。

 

2.3做好溫馨提示，明確內(nèi)外網(wǎng)設(shè)備，防止違規(guī)外聯(lián)

 

做到每一臺內(nèi)網(wǎng)計(jì)算機(jī)均粘貼信息安全提示標(biāo)簽提示員工切勿內(nèi)網(wǎng)計(jì)算機(jī)接入外網(wǎng)網(wǎng)絡(luò)，無線網(wǎng)卡及智能手機(jī)切勿接入內(nèi)網(wǎng)。內(nèi)外網(wǎng)網(wǎng)絡(luò)端口模塊、網(wǎng)線端口都要有明顯標(biāo)識，防止員工誤接網(wǎng)絡(luò)。

 

2.4實(shí)行內(nèi)網(wǎng)計(jì)算機(jī)IP、MAC綁定和外網(wǎng)計(jì)算機(jī)IP、認(rèn)證賬號綁定

 

加強(qiáng)IP地址綁定，從交換機(jī)端口對接入內(nèi)網(wǎng)的計(jì)算機(jī)進(jìn)行IP、MAC地址綁定，確保除本計(jì)算機(jī)外，其余計(jì)算機(jī)無法通過該端口接入內(nèi)網(wǎng)。

 

通過外網(wǎng)審計(jì)(網(wǎng)康科技)對外網(wǎng)IP和用戶認(rèn)證賬戶進(jìn)行綁定，完善外網(wǎng)用戶和計(jì)算機(jī)基礎(chǔ)資料，做到全局外網(wǎng)終端和用戶可控。

 

四、信息安全前景：

 

在信息安全領(lǐng)域沒有絕對的安全防護(hù)技術(shù)和手段。隨著信息技術(shù)日新月異的發(fā)展，電力企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)違規(guī)外聯(lián)風(fēng)險也在增加。在已有的管控手段的基礎(chǔ)上，還要及時關(guān)注新技術(shù)，不斷完善和調(diào)整制度管理和技術(shù)策略。信息安全是伴隨企業(yè)信息化應(yīng)用發(fā)展而發(fā)展的永恒課題。

第2篇

關(guān)鍵詞:石油企業(yè);信息安全;管理手段

0引言

隨著信息化建設(shè)進(jìn)程飛速發(fā)展，作為信息載體的計(jì)算機(jī)、互聯(lián)網(wǎng)已在企業(yè)生產(chǎn)、經(jīng)營管理各個層面得到廣泛應(yīng)用。計(jì)算機(jī)網(wǎng)絡(luò)的開放性、靈活性和廣泛性在全面數(shù)字化的今天給經(jīng)營管理帶來了便捷、高效、有序的工作環(huán)境，同時也帶來了較大的安全管理隱患。黑客的出現(xiàn)、安全漏洞的增多、管理的交叉混亂、惡意的網(wǎng)絡(luò)攻擊使網(wǎng)絡(luò)安全管理遭受了較大的沖擊，成為信息化健康發(fā)展的絆腳石。網(wǎng)絡(luò)信息管理疏于安全的防范將危及到企業(yè)生產(chǎn)經(jīng)濟(jì)的有序發(fā)展。石油企業(yè)在國民經(jīng)濟(jì)中發(fā)揮著重要作用，任何風(fēng)險都可能導(dǎo)致國家經(jīng)濟(jì)受到重大影響。因此，提高石油企業(yè)信息安全意識，加強(qiáng)信息管理應(yīng)以保瘴服務(wù)和應(yīng)用為目標(biāo)，強(qiáng)化安全意識、制定周密的安全手段從而構(gòu)建完善的信息安全管理體系。

1加強(qiáng)企業(yè)信息管理的必要性

1．1企業(yè)信息管理概念

企業(yè)信息管理是通過現(xiàn)代化的信息技術(shù)和設(shè)備，以網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)企業(yè)管理的自動化，進(jìn)而對企業(yè)進(jìn)行全方位和多角度的管理，以此來促進(jìn)企業(yè)生產(chǎn)、經(jīng)營管理的優(yōu)化配置，進(jìn)而通過企業(yè)資源的開發(fā)和信息技術(shù)的有效利用來提高企業(yè)的管理水平，增強(qiáng)企業(yè)的核心競爭力。企業(yè)信息管理的主要內(nèi)容，一般包括企業(yè)未來的經(jīng)濟(jì)形勢分析、預(yù)測資料、資源的可獲量、市場和競爭對手的發(fā)展動向，以及政府政策與政治情況的環(huán)境變化等等。企業(yè)信息管理與制訂企業(yè)發(fā)展戰(zhàn)略、制訂規(guī)劃、合理地分配資源是密切相關(guān)的。同時，企業(yè)的信息管理也應(yīng)當(dāng)包括企業(yè)內(nèi)部的信息資源，如財務(wù)管理信息、物資庫存、鉆井施工、職工檔案管理等多方面的內(nèi)容，并且促進(jìn)企業(yè)的全面發(fā)展。

1．2企業(yè)信息安全管理的必要性

企業(yè)信息的存在方式有著多樣性，而進(jìn)行企業(yè)安全信息管理的主要目的，在于保護(hù)企業(yè)的信息安全，保證企業(yè)能夠順利的參與到市場經(jīng)濟(jì)活動中，進(jìn)而提高企業(yè)的經(jīng)濟(jì)效益和社會效益，構(gòu)筑起信息安全管理系統(tǒng)的保密性、完整性、可用性、可維護(hù)性、可驗(yàn)證性的目標(biāo)，使企業(yè)安全信息管理能夠通過有效的控制措施來實(shí)現(xiàn)。第一，企業(yè)管理的信息具有很強(qiáng)的保密性和完整性的特點(diǎn)，因此其對于企業(yè)的生產(chǎn)勢力、科技含量、資金流動、企業(yè)的綜合競爭力等多方面都有著重要的影響，同時對于企業(yè)的商業(yè)形象與合法經(jīng)營也至關(guān)重要，因此加強(qiáng)企業(yè)信息安全管理是必要的。第二，由于網(wǎng)絡(luò)自身所具有的開放性特性，決定了企業(yè)信息管理也面臨著來自各方面的安全威脅，比如計(jì)算機(jī)病毒、黑客等，以及計(jì)算機(jī)詐騙、泄密等問題，也說明了加強(qiáng)企業(yè)信息安全管理勢在必行。第三，企業(yè)對于信息系統(tǒng)產(chǎn)生的依賴也從另一方面暴露出了信息管理系統(tǒng)的脆弱，公共網(wǎng)絡(luò)與私人網(wǎng)絡(luò)的連接增強(qiáng)了信息的控制難度，使得信息在分散化的管理模式下，集中、專業(yè)控制的有效性大大減弱。另外，由于很多信息管理系統(tǒng)設(shè)計(jì)的缺陷，其自身就存在著不合理之處，這對于信息安全管理也帶來了一定的難度。基于此，對于企業(yè)信息管理的安全性也成為了當(dāng)前企業(yè)管理面臨的一個重大課題。

2加強(qiáng)企業(yè)信息管理安全的防范措施

2．1不斷完善信息管理系統(tǒng)

隨著企業(yè)信息化的發(fā)展，目前應(yīng)用的管理系統(tǒng)有PKI、郵箱、AD域、普OA、合同系統(tǒng)、A6、ERP、網(wǎng)絡(luò)、操作系統(tǒng)、A7、檔案系統(tǒng)、物采系統(tǒng)、OSC、視頻會議、企業(yè)微信、門戶網(wǎng)站、寶石花、數(shù)字營房、會議保障、E2、一體化、RTX、移動應(yīng)用、短信平臺。信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行越來越重要，一旦系統(tǒng)中斷，將會給企業(yè)的生產(chǎn)經(jīng)營管理帶來混亂，而數(shù)據(jù)一旦丟失，后果是不可估量的。為此，信息管理系統(tǒng)的投入和使用，是建立在充分的實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上，通過一段時間的運(yùn)行和觀察，才能夠投入使用。在不同的部門進(jìn)行信息系統(tǒng)的引入時，應(yīng)當(dāng)按照部門的實(shí)際情況，通過多方引進(jìn)，使用統(tǒng)一的信息管理系統(tǒng)。對于信息安全來說，首先要解決的就是系統(tǒng)是否能夠通過安全驗(yàn)證對用戶進(jìn)行有效的管理，并且賦予不同等級的用戶不同的使用權(quán)限，這樣則能夠有效的防止無權(quán)訪問信息的用戶對核心區(qū)域的訪問，保證信息不會被盜用。同時，為保證信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行，應(yīng)采用雙機(jī)服務(wù)器和從服務(wù)器。一旦發(fā)生服務(wù)器故障，由從服務(wù)器自動接替主服務(wù)器工作。

2．2有效的設(shè)備管理

設(shè)備安全主要涉及到由于自然災(zāi)害、人為因素造成的數(shù)據(jù)丟失。信息安全應(yīng)建設(shè)完善的容災(zāi)備份系統(tǒng)，容災(zāi)備份系統(tǒng)一般由兩個數(shù)據(jù)中心構(gòu)成，主中心和備份中心。通過異地數(shù)據(jù)備份，實(shí)時地將主中心數(shù)據(jù)拷貝至備份中心存儲系統(tǒng)中，使主中心存儲數(shù)據(jù)與備份中心數(shù)據(jù)完全保持一致。同時，對于管理系統(tǒng)中使用的設(shè)備品牌、機(jī)型、內(nèi)部配置以及使用時間等信息都要進(jìn)行專門的記錄，通過這些記錄，定期對設(shè)備進(jìn)行維護(hù)，同時也能夠通過這些信息判斷出信息的使用效率以及運(yùn)行情況，對于設(shè)備的損壞或者是丟失情況都能夠及時地了解。

2．3加強(qiáng)對人員的監(jiān)督與管理

企業(yè)信息安全不單純是技術(shù)問題，而是一個綜合性的問題。其中最重要的因素是人，人是設(shè)備的主要操作者，因此對于信息的安全管理，就需要加強(qiáng)對人的管理，需要操作人員具有足夠的安全意識，對于每一位操作人員進(jìn)行相關(guān)的培訓(xùn)，對于唯一的用戶名和密碼等信息要進(jìn)行妥善保管，同時讓操作人員認(rèn)識到泄密會導(dǎo)致的嚴(yán)重后果，增強(qiáng)責(zé)任意識。只有通過不斷地學(xué)習(xí)及意識的培養(yǎng)，管理人員才能養(yǎng)成定期維護(hù)、按時打補(bǔ)丁、及時更新的操作習(xí)慣，以不變應(yīng)萬變的態(tài)度應(yīng)對各種網(wǎng)絡(luò)攻擊手段。通過不斷的加強(qiáng)過程管理，通過對每個細(xì)節(jié)的嚴(yán)密審查，能夠有效減少人為出錯的現(xiàn)象，同時通過科學(xué)的評價機(jī)制和激勵機(jī)制，刺激人員工作的積極性，加強(qiáng)自身的責(zé)任意識。

2．4網(wǎng)絡(luò)傳輸安全

第3篇

為了保證互聯(lián)網(wǎng)信息的安全以及做好信息的保密工作，安全管理系統(tǒng)的設(shè)計(jì)內(nèi)容大體上分為三個模塊，首先是安全體制模塊，包含算法庫、信息庫以及用戶界面三個小方面；其次是網(wǎng)絡(luò)連接模塊，包含安全協(xié)議以及通信接口兩個小方面；最后是網(wǎng)絡(luò)信息傳輸，包含安全管理、安全支撐以及安全傳輸三個系統(tǒng)。算法庫是關(guān)于一些處理算法。信息庫是關(guān)于用戶進(jìn)入口令、管理參數(shù)以及權(quán)限的設(shè)定，檢查系統(tǒng)運(yùn)行狀況。

用戶接口是用戶操作界面以及用戶私人信息管理。安全協(xié)議包括連接網(wǎng)絡(luò)協(xié)議、用戶個人身份確定協(xié)議等。通信接口的安全保障是依賴于安全協(xié)議的工作、在通常情況下，通信接口的實(shí)現(xiàn)方式包括兩種：第一是用戶在進(jìn)入互聯(lián)網(wǎng)時，才開啟安全服務(wù)，并運(yùn)行安全體制，用戶所傳輸?shù)男畔⒍际墙?jīng)過系統(tǒng)的加密處理，然后被傳輸?shù)交ヂ?lián)網(wǎng)上，或者是數(shù)據(jù)鏈路，是比較透明的互聯(lián)網(wǎng)信息傳輸與交換。此種方法很容易實(shí)現(xiàn)，而且不用對用戶目前所使用的系統(tǒng)做一絲改動，用戶所要投入的資金也比較少。第二種是修改目前的通信協(xié)議，在互聯(lián)網(wǎng)與應(yīng)用之間增加一個安全層，使信息的安全處理變得透明化以及自動化。安全管理系統(tǒng)是一個包含很多程序的軟件包，主要負(fù)責(zé)用戶界面上安全管理器的正常工作，可以使得用戶很容易地控制計(jì)算機(jī)上信息的傳輸，保證安全。我們通常把這個系統(tǒng)安裝在用戶計(jì)算機(jī)的終端，或者是網(wǎng)絡(luò)節(jié)點(diǎn)。安全支撐系統(tǒng)是整個安全管理系統(tǒng)最值得信任的一方，其物理安全以及邏輯安全是非常重要的，需要得到嚴(yán)密而全面的防護(hù)。

二、安全管理系統(tǒng)的實(shí)現(xiàn)

安全管理系統(tǒng)總共包括以上的內(nèi)容，具體的實(shí)現(xiàn)有很多的問題，需要有條不紊的進(jìn)行。以下是針對管理系統(tǒng)實(shí)現(xiàn)所采取的具體的實(shí)現(xiàn)步驟，按照這些步驟來一步一步進(jìn)行，不會出現(xiàn)混亂的情況，而且條理清晰，可以降低出錯的幾率，也可以保證管理系統(tǒng)的質(zhì)量。

（一）熟知互聯(lián)網(wǎng)的狀況，估計(jì)風(fēng)險及各種木馬攻擊

互聯(lián)網(wǎng)上的信息安全保障是很薄弱的一個環(huán)節(jié)，如果防護(hù)措施做不好，就會經(jīng)常受到黑客的攻擊，盜取信息，甚至泄露出去，造成個人或者是企業(yè)的損失。為了預(yù)防或者是擊退這些攻擊，需要全面地了解平時所有的攻擊方式、攻擊方位，還有要了解哪些部分是比較薄弱的地方，給予加強(qiáng)保護(hù)。只有掌握了攻擊的全面資料，才可能有針對性地做出比較全面而可靠的保護(hù)措施。

（二）安全策略的制定與優(yōu)化

安全管理系統(tǒng)需要一個明確的目標(biāo)與原則，這就是安全策略。安全策略的優(yōu)化需要考慮以下幾個方面：第一需要從系統(tǒng)整體出發(fā)，咨詢用戶的需求，根據(jù)應(yīng)用的環(huán)境來制定策略，這其中包含各個子系統(tǒng)的策略制定。第二需要考慮策略的制定會不會對原有的系統(tǒng)產(chǎn)生什么負(fù)面的影響，比如通信延時等。第三，策略的制定要方便用戶對計(jì)算機(jī)的操作，包括控制，管理以及配置等。第四，用戶界面要人性化。第五，投資的金額要少。

（三）安全模型

模型可以把抽象的問題具體化，使問題簡單起來，不再那么復(fù)雜，尋求到更好地解決辦法，制定更加完善的安全策略，就像是教師教學(xué)時經(jīng)常使用各種模型，讓學(xué)生容易理解深奧的問題。模型包括整個系統(tǒng)中的所有子系統(tǒng)，這些子系統(tǒng)在上面的內(nèi)容已經(jīng)有過闡述。

（四）安全服務(wù)的選擇以及實(shí)現(xiàn)

應(yīng)用密碼技術(shù)，來實(shí)現(xiàn)向用戶所保證的安全服務(wù)。這是一種現(xiàn)代的技術(shù)，能夠保障整個系統(tǒng)的安全性，保護(hù)用戶的私人信息，使用戶不用再擔(dān)心個人資料的泄漏，保障用戶的個人利益。安全服務(wù)有兩條實(shí)現(xiàn)的途徑，分別為軟件編程以及硬件芯片，其中在通過軟件編程來實(shí)現(xiàn)安全服務(wù)時，需要注意機(jī)身的內(nèi)存，優(yōu)化系統(tǒng)的流程，增加程序運(yùn)行時的穩(wěn)定，以及降低運(yùn)算時間。

（五）安全協(xié)議的制定

第4篇

信息安全管理系統(tǒng)作為信息安全的支撐體系以及實(shí)施信息安全維護(hù)的落腳點(diǎn)，是信息安全管理中的重要組成部分。目前我國的信息安全管理系統(tǒng)還尚未完善，其不足之處首先表現(xiàn)為缺少統(tǒng)一的存儲平臺來對眾多的文檔進(jìn)行儲存，從而導(dǎo)致大量文檔的丟失；其次，如果信息安全管理系統(tǒng)不完善，就不能降低資產(chǎn)等的風(fēng)險評估以及對資產(chǎn)進(jìn)行集中式的管理；最后，由于信息安全系統(tǒng)中各個報表功能的不完善，文檔信息就無法快速、準(zhǔn)確地透露出信息安全的實(shí)際狀況，從而起到有效地保護(hù)作用。信息安全管理系統(tǒng)主要能夠通過對關(guān)鍵資產(chǎn)實(shí)行定性和定量分析，從而得出資產(chǎn)的精確風(fēng)險值，識別系統(tǒng)中存在的重要因患資產(chǎn)，并進(jìn)一步通知信息管理員采取適當(dāng)?shù)胤椒▉頊p少隱患事件的發(fā)生，通過科學(xué)的管理降低企業(yè)的資產(chǎn)風(fēng)險。由此可見，完善的信息安全管理系統(tǒng)是不可或缺的，它一方面決定著信息安全管理體系的具體實(shí)施，另一方面也可以促進(jìn)企業(yè)信息安全管理體系的進(jìn)一步維護(hù)與建設(shè)。

2信息安全管理系統(tǒng)標(biāo)準(zhǔn)

科學(xué)統(tǒng)一的國家信息安全標(biāo)準(zhǔn)，有利于協(xié)調(diào)與融合各個信息安全管理系統(tǒng)的工作，充分促進(jìn)信息安全標(biāo)準(zhǔn)系統(tǒng)的功能發(fā)揮。我國的信息安全管理標(biāo)準(zhǔn)主要分為ISO/IEC27000系列標(biāo)準(zhǔn)與信息安全等級保護(hù)標(biāo)準(zhǔn)兩個部分。

2.1ISO/IEC27000系列標(biāo)準(zhǔn)

1995年，英國標(biāo)準(zhǔn)協(xié)會(BSI)了BS7799-1和BS7799-2兩部標(biāo)準(zhǔn)，隨著時代的進(jìn)步其逐漸發(fā)展為ISO/IEC27001和ISO/IEC27002兩個部分，并進(jìn)一步成為目前信息安全管理體系的主要核心標(biāo)準(zhǔn)。BS7799的最初提出目的主要在于建立起一套能夠用于開發(fā)、實(shí)施以及測量的科學(xué)信息安全管理慣例，并作為一種通用框架來促進(jìn)貿(mào)易伙伴之間的信任。ISO/IEC27001重視ISMS的建構(gòu)以及在PDCA基礎(chǔ)之上的進(jìn)一步循環(huán)與完善，這一過程實(shí)質(zhì)上就是在宏觀的角度上來指導(dǎo)整個項(xiàng)目的有效實(shí)施。它意在風(fēng)險管理的基礎(chǔ)之上，用風(fēng)險分析的途徑，把發(fā)生信息風(fēng)險的概率降到最低程度，同時采取適當(dāng)?shù)卮胧﹣肀Ｕ现黧w業(yè)務(wù)的順利進(jìn)行。ISO/IEC27002主要闡述了133項(xiàng)控制細(xì)則，以及11項(xiàng)需要有效控制的項(xiàng)目，其中包括安全策略、安全組織、信息安全事件管理、人力資源安全、符合性物理與環(huán)境安全、訪問控制、資產(chǎn)管理、系統(tǒng)的開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性管理、通信與操作安全等一系列的安全風(fēng)險評估與控制。

2.2信息安全等級保護(hù)

1994年國務(wù)院出臺了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，該項(xiàng)基本制度的主要目的在于提高信息安全保障能力的水平、保障并促進(jìn)信息化的健康與發(fā)展，從而進(jìn)一步維護(hù)國家安全、社會發(fā)展以及人民群眾的利益。它的核心標(biāo)準(zhǔn)《GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》是在TCSEC的分級保護(hù)思想基礎(chǔ)之上，針對我國信息安全的發(fā)展實(shí)際進(jìn)行改善，最終把安全等級縮減成更具可操作性的5個級別。《GB/T22239-2008信息系統(tǒng)安全等級保護(hù)基本要求》則把信息安全控制要求進(jìn)一步整理為管理要求與技術(shù)要求兩類，其中前者主要包括系統(tǒng)建設(shè)管理、安全管理制度、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)和人員安全管理；后者主要包括應(yīng)用安全、網(wǎng)絡(luò)安全、物理安全、主機(jī)安全以及數(shù)據(jù)安全與備份恢復(fù)。此外，信息安全等級保護(hù)的系列標(biāo)準(zhǔn)里還包括《GB/T20270-2006網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》以及《GB/T20271-2006信息系統(tǒng)安全通用要求》等一些關(guān)于信息安全維護(hù)細(xì)則的具體操作要求。

3信息安全管理系統(tǒng)的模型設(shè)計(jì)

根據(jù)信息安全管理系統(tǒng)標(biāo)準(zhǔn)，結(jié)合以往的信息安全管理系統(tǒng)設(shè)計(jì)，提出一種新型的四層信息安全管理系統(tǒng)：第一層為信息采集：主要包括人工脆弱性檢查、漏洞掃描工具以及日志采集系統(tǒng)三部分。這一信息采集層的主要功能在于采集安全保護(hù)對象的漏洞與安全事件。第二層是數(shù)據(jù)庫層：包括日志、資產(chǎn)庫、異常日志以及資產(chǎn)弱點(diǎn)庫和資產(chǎn)風(fēng)險庫等。該數(shù)據(jù)庫層的主要功能在于對信息安全管理系統(tǒng)中的數(shù)據(jù)進(jìn)行存儲。第三層為功能模塊層：包括資產(chǎn)管理、風(fēng)險管理、弱點(diǎn)管理、信息安全管理規(guī)范下載管理資產(chǎn)等級評估管理、拓補(bǔ)管理以及日志分析。最后一層為展示層：它包含某個具體業(yè)務(wù)系統(tǒng)中的業(yè)務(wù)系統(tǒng)整體安全狀況、資產(chǎn)安全狀況、業(yè)務(wù)系統(tǒng)拓補(bǔ)以及異常安全事件等相關(guān)部分。上述新型信息安全管理系統(tǒng)模型主要體現(xiàn)出以下六點(diǎn)創(chuàng)新之處：

（1）業(yè)務(wù)系統(tǒng)的動態(tài)建模和系統(tǒng)支持資產(chǎn)，可以把業(yè)務(wù)系統(tǒng)和資產(chǎn)二者綁定在一起，由此，整個信息安全系統(tǒng)一方面可以準(zhǔn)確地體現(xiàn)出在一個具體業(yè)務(wù)系統(tǒng)環(huán)境下，其單獨(dú)資產(chǎn)的具體安全狀況；另一方面該信息安全系統(tǒng)還能夠根據(jù)IS027001的具體標(biāo)準(zhǔn)，反應(yīng)出整個資產(chǎn)所承載的整體業(yè)務(wù)系統(tǒng)的安全狀況。

（2）所設(shè)計(jì)的風(fēng)險模塊管理可以把風(fēng)險評估常態(tài)化、主動化，使其對整個業(yè)務(wù)周期內(nèi)的所有資產(chǎn)風(fēng)險進(jìn)行動態(tài)的跟蹤與準(zhǔn)確分析；另外，該信息安全系統(tǒng)的日志審計(jì)功能也可以實(shí)現(xiàn)被動式的安全管理，從而使主動管理與被動管理在信息安全管理系統(tǒng)中充分融合。

（3）該新安全管理系統(tǒng)增加并促進(jìn)了拓補(bǔ)管理功能的發(fā)揮。

第5篇

關(guān)鍵詞：信息安全等級保護(hù)信息安全管理體系

ComparisonofCPISandISMS

LiJun（InnerMongoliaAutonomousRegionPublicSecurity）

XieZongxiao（ChinaFinancialCertificationAuthority，CFCA）

Abstract：Basedontheanalysisofdefinitionofclassifiedprotectionofinformationsystem（CPIS）andinformationsecuritymanagementsystem（ISMS），fromthelogicalframework，theimplementationofprocessesandcontrols，wecomparedboth.

Keywords：informationSecurity，CPIS，ISMS

1信息安全等級保護(hù)（CPIS）

信息安全等級保護(hù)，或者信息系統(tǒng)安全等級保護(hù)（簡稱等級保護(hù)），在公文中，一般是前者，但是在標(biāo)準(zhǔn)中，例如，最典型的GB/T22239—2008和GB/T22240—2008用的標(biāo)題是后者。單就這2個標(biāo)準(zhǔn)而言的話，描述的對象卻是主要圍繞“信息系統(tǒng)安全”，而不是廣義的“信息安全”。當(dāng)然，本質(zhì)上來說，等級是針對“信息系統(tǒng)”劃分的，而不是針對“信息”劃分的。在實(shí)踐中，這兩者不需要刻意區(qū)分。等級保護(hù)具體的定義如下：

信息安全等級保護(hù)是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和8SeEVmi7me7sxRCjGkySNg==存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

這個定義來自《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字〔2004〕66號1））[2，3]。

注意信息系統(tǒng)的定義：

信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行存儲、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò)；信息是指在信息系統(tǒng)中存儲、傳輸、處理的數(shù)字化信息。

信息系統(tǒng)的定義也來自《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》。更早的相關(guān)定義，應(yīng)該來自GB17859—1999，其中的定義3.1，定義了計(jì)算機(jī)信息系統(tǒng)（computerinformationsystem），具體為：

計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、實(shí)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。

這種人機(jī)系統(tǒng)的定義，在實(shí)踐中不容易理解，但是最接近學(xué)術(shù)中的最初理解，例如，Davis（2000）[4]認(rèn)為信息系統(tǒng)包括信息技術(shù)設(shè)施、數(shù)據(jù)、應(yīng)用系統(tǒng)和人員（informationtechnologyinfrastructure，data，applicationsystems，andpersonnelthatemployITto...）

2信息安全管理體系（ISMS）

原則上說，信息安全管理體系（簡稱ISMS）并不是一個專用術(shù)語，在較早版本的標(biāo)準(zhǔn)中2）對其進(jìn)行了定義3），滿足其中描述條件的應(yīng)該都是ISMS[5，6]。但實(shí)際情況是，由于這個術(shù)語起源于ISO/IEC27002和ISO/IEC27001的早期版本，屬于新生出來的一個詞匯，其他文獻(xiàn)中，就很少見到。所以在實(shí)踐中，ISMS幾乎成了一個專用術(shù)語。這如同，一提“質(zhì)量管理體系（QMS4））”，大家就認(rèn)為是ISO9000標(biāo)準(zhǔn)族道理是一樣的。因?yàn)槟撤N產(chǎn)品過于普及，就成為某類行為的代名詞，這是很常見的現(xiàn)象。例如，你把快遞地址微信給我，或者，回頭我把文件QQ給你。由于ISO/IEC27000標(biāo)準(zhǔn)族在全球范圍內(nèi)實(shí)施廣泛，在實(shí)踐中，就會有此類對話，例如：我們在做27001，意思是說，我們在部署ISMS，或者說，我們在根據(jù)ISO/IEC27001部署信息安全。

換個說法，ISMS是一整套的保障組織信息安全的方案（或方法），是組織管理體系的一部分，定義和指導(dǎo)ISMS的標(biāo)準(zhǔn)是ISO/IEC27000標(biāo)準(zhǔn)族，而這其中，ISO/IEC27002和ISO/IEC27001是最重要也是出現(xiàn)最早的2個標(biāo)準(zhǔn)。由于這個原因，導(dǎo)致這一堆詞匯在實(shí)踐中開始混用，而不必刻意地去區(qū)分。因此，在下文中，這幾個詞匯都認(rèn)為是同義詞：

·信息安全管理體系（ISMS）；

·ISO/IEC27000標(biāo)準(zhǔn)族；

·ISO/IEC27002或ISO/IEC27001視上下文，也可能是指代ISMS。

3邏輯框架及實(shí)施流程的比較

等級保護(hù)是強(qiáng)制實(shí)施的，建立在一系列國家公文、一個強(qiáng)制性標(biāo)準(zhǔn)以及諸多推薦性標(biāo)準(zhǔn)的基礎(chǔ)之上。ISMS則是建立在國際互認(rèn)基礎(chǔ)上的推薦性的標(biāo)準(zhǔn)5），這導(dǎo)致兩者在框架上存在很大的區(qū)別。兩者的框架對比，如圖1所示。

或者說，對于ISMS來說，“組織（或企業(yè)）自己負(fù)責(zé)正確的應(yīng)用6）”，目的是保護(hù)組織（或企業(yè)）自身的利益，（如果申請第三方認(rèn)證）同時向其他人證明組織有良好的信息安全管理水準(zhǔn)。對于等級保護(hù)而言，則是國家監(jiān)管機(jī)構(gòu)負(fù)責(zé)企業(yè)（或組織）正確的應(yīng)用，主要目的是為了保護(hù)國家和公眾利益。

4對“控制措施”理解的比較

等級保護(hù)的相關(guān)支持文件主要包括政府公文和國家標(biāo)準(zhǔn)，也可以稱為“政策體系”和“標(biāo)準(zhǔn)體系”[2]。以一系列的公文作為依據(jù)，是等級保護(hù)的一個特點(diǎn)，倒不是因?yàn)镮SMS缺乏國家監(jiān)管，而是因?yàn)镮SMS的監(jiān)管與其他管理體系（例如，ISO9000和ISO14000等）基本一致，整個的架構(gòu)設(shè)計(jì)倒顯得沒那么重要。等級保護(hù)是一個全新的設(shè)計(jì)，因此整個管理架構(gòu)就顯得非常重要，例如，《信息安全等級保護(hù)管理辦法》（公安部〔2007〕43號）就是一個非常重要的公文，從國家層面確立了等級劃分與保護(hù)、等級保護(hù)實(shí)施與管理以及可能涉及的分級保護(hù)管理等整個管理架構(gòu)。

但是，就這兩者的框架而言，還存在一個不同，即如何理解“控制措施”7）。簡而言之，等級保護(hù)部署“控制措施”為中心，ISMS部署是以“控制目標(biāo)”8）為中心。

這僅僅是一個描述方式的區(qū)別，嚴(yán)格講，等級保護(hù)也是以控制目標(biāo)為中心，雖然沒有非常明確。因?yàn)樗械目刂拼胧罱K還是為了實(shí)現(xiàn)安全目標(biāo)。但這兩者還是不同的，在等級保護(hù)中，一旦信息系統(tǒng)的等級被確定，控制措施都是確定的，同時也要注意，等級本身已經(jīng)隱含了信息系統(tǒng)的控制目標(biāo)。對于ISMS而言，由于是自愿部署，組織自己負(fù)責(zé)識別安全要求，自己設(shè)定控制目標(biāo)，之后自愿部署控制措施。

通俗地講，等級保護(hù)中，是組織和監(jiān)管機(jī)構(gòu)共同確定（是組織確定，之后提交監(jiān)管機(jī)構(gòu)確認(rèn)）信息系統(tǒng)等級（其中隱含著控制目標(biāo)），然后按要求部署。在ISMS中，是組織自己確定控制目標(biāo)，然后按照要求部署，是一個自圓其說的邏輯。在下文中，我們討論定級備案等過程，兩者的區(qū)別就很清晰了。

當(dāng)然，無論是等級保護(hù)還是ISMS，“控制”都是其核心內(nèi)容之一，在等級保護(hù)中表現(xiàn)為GB/T22239—2008，在ISMS中表現(xiàn)為ISO/IEC27002：2013。

在GB/T22239—2008中，針對不同安全保護(hù)等級應(yīng)該具有的基本安全保護(hù)能力，提出基本安全要求。標(biāo)準(zhǔn)的架構(gòu)，如圖2所示。

在基本要求的基礎(chǔ)上，自上而下又分為：類、控制點(diǎn)和控制項(xiàng)[7]。在圖2的10個大類中，每個大類下面分為一系列的關(guān)鍵控制點(diǎn)，控制點(diǎn)下又包括了具體的控制項(xiàng)。本文中不再討論具體條款，具體可以見參考文獻(xiàn)[8]。

在ISO/IEC27002：2013中，并不區(qū)分技術(shù)要求或管理要求，或者說，不關(guān)心實(shí)現(xiàn)途徑。其中控制的描述結(jié)構(gòu)，自上而下又分為：類、目標(biāo)和控制。具體而言，就是包含了如表1所示，ISO/IEC27002：2013描述了14個大類，這些大類又細(xì)化為35個目標(biāo)，接著由114項(xiàng)控制來實(shí)現(xiàn)相應(yīng)的目標(biāo)。

具體到每一個主要安全控制類和控制的描述結(jié)構(gòu)，參考ISO/IEC27002：2013中的描述，如下所述：

每一個主要安全控制類別包括11）：

a）一個控制目標(biāo)，聲明要實(shí)現(xiàn)什么；

b）一個或多個控制，可被用于實(shí)現(xiàn)該控制目標(biāo)。

控制的描述結(jié)構(gòu)如下：

控制

為滿足控制目標(biāo)，給出定義特定控制的陳述。

實(shí)現(xiàn)指南

為支持該控制的實(shí)現(xiàn)并滿足控制目標(biāo)，提供更詳細(xì)的信息。該指南可能不能完全適用或不足以在所有情況下適用，也可能不能滿足組織的特定控制要求。

其他信息

提供需要考慮的進(jìn)一步的信息，例如法律方面的考慮和對其他標(biāo)準(zhǔn)的參考。如無其他信息，本項(xiàng)將不給出。

關(guān)于ISO/IEC27002：2013，可見參考文獻(xiàn)[9]和[10]。

第6篇

1.高校圖書館還比較缺乏信息安全管理方面的人才。從當(dāng)前一個時期來看，高校圖書館無論從管理層角度，還是從普通館員角度都有一個共識，那就是高校圖書館信息安全管理對專門的安全技術(shù)人員非常認(rèn)可。然而現(xiàn)實(shí)是，高校圖書館專門信息安全人才依然比較匱乏，平時高校圖書館忙于事務(wù)性工作，也欠缺對館員進(jìn)行信息安全方面的培訓(xùn)和培養(yǎng)。

2.缺乏綜合性的安全解決方案。在實(shí)踐過程中，高校圖書館為了保證信息安全運(yùn)行，使用了大量的硬件防火墻、入侵監(jiān)測系統(tǒng)和殺毒軟件。從長遠(yuǎn)講，這些措施還不能遠(yuǎn)遠(yuǎn)不能解決問題，高校圖書館在信息安全管理方面依然缺乏綜合性的解決方案，雖然也有各種信息安全管理規(guī)章制度和某些解決方案，沒有一個系統(tǒng)來組織這些規(guī)章制度和解決方案。

二、信息時代條件下創(chuàng)新高校圖書館信息安全管理的主要措施

（一）必須要對管理信息系統(tǒng)進(jìn)行科學(xué)規(guī)劃。對于高校圖書館來講，進(jìn)行管理信息系統(tǒng)創(chuàng)新，也離不開這個步驟，也必須做好前期的調(diào)查研究工作，研究擬開發(fā)設(shè)計(jì)的管理信息系統(tǒng)在本館的可行性、以及使用后的效果性等內(nèi)容。科學(xué)規(guī)劃所設(shè)計(jì)到的主要內(nèi)容有：制定前期科學(xué)、完善的主要目標(biāo)，并對管理信息系統(tǒng)長期發(fā)展方案進(jìn)行編，以確定管理信息系統(tǒng)在整個組織中發(fā)展方向、使用規(guī)模以及發(fā)展進(jìn)程；開展初步調(diào)查，其目的是為了合理地確定系統(tǒng)目標(biāo)，進(jìn)行系統(tǒng)總體分析以及可行性研究，摸清本圖書館在管理信息系統(tǒng)建設(shè)存在的迫切性、主要不足、可行性和可能性；在初步調(diào)查的基礎(chǔ)上，形成詳實(shí)的調(diào)研報告，為后期系統(tǒng)詳細(xì)調(diào)研奠定基礎(chǔ)。

（二）對圖書館管理信息安全管理系統(tǒng)實(shí)施可行性分析。在前期初步調(diào)查的過程中，嚴(yán)格執(zhí)行調(diào)查內(nèi)容，明確圖書館管理信息系統(tǒng)的目標(biāo)，對現(xiàn)行系統(tǒng)的基本情況作出初步了解、明確可行性。結(jié)合管理信息系統(tǒng)對運(yùn)行環(huán)境、資源要求等條件進(jìn)行考量，判斷出圖書館所擬上管理信息系統(tǒng)是否具有必要性和可能性。對管理信息系統(tǒng)現(xiàn)存的主要不足、問題、緊迫性、希望新的管理系統(tǒng)所能夠帶來主要功能、開發(fā)態(tài)度、資金保障、專業(yè)人員配備、后期維護(hù)與管理等方面進(jìn)行全方位了解。

（三）開發(fā)創(chuàng)新高校圖書館信息安全管理的新型系統(tǒng)。管理信息系統(tǒng)開發(fā)創(chuàng)新是更好提高管理效能的重要手段。當(dāng)前高校圖書館生存發(fā)展的宏觀、微觀環(huán)境已經(jīng)發(fā)生了深刻變化；高校圖書館職能的發(fā)揮必須要建立在充分隨時隨地取得準(zhǔn)確而及時的管理決策方面的內(nèi)部信息與外部信息，甚至是與高校圖書館管理過程中各項(xiàng)決策決議執(zhí)行情況的反饋信息，以實(shí)現(xiàn)對高校圖書館業(yè)務(wù)與管理的及時調(diào)控。管理信息系統(tǒng)主要的功能不但能夠有效進(jìn)行數(shù)據(jù)與信息的搜集、處理、而且還具備了預(yù)測和控制功能；在高校圖書館實(shí)施管理信息系統(tǒng)創(chuàng)新，對于高校圖書館管理曾來講，能夠有效解決在管理中所面臨的半結(jié)構(gòu)化問題和非結(jié)構(gòu)化問題，有效提高一種定性與定量分析的方法，有效提高管理效率和決策的科學(xué)化水平。

三、結(jié)語

第7篇

【關(guān)鍵詞】船岸網(wǎng)絡(luò)；信息安全；航運(yùn)企業(yè)

0引言

一些航運(yùn)企業(yè)已開始實(shí)施“數(shù)字化+互聯(lián)網(wǎng)”戰(zhàn)略，船舶運(yùn)營參數(shù)及管理量化指標(biāo)被轉(zhuǎn)移至信息更加透明的互聯(lián)網(wǎng)平臺，船舶所有人可以通過互聯(lián)網(wǎng)平臺隨時隨地查看船舶動態(tài)。航運(yùn)企業(yè)將船舶全權(quán)委托給第三方船舶管理公司管理，并通過互聯(lián)網(wǎng)平臺監(jiān)控船舶動態(tài)。這種管理模式帶來一個全新的課題：船岸網(wǎng)絡(luò)信息化程度越高，信息系統(tǒng)遭受攻擊導(dǎo)致數(shù)據(jù)泄露的風(fēng)險越大。近年來已發(fā)生多起船員個人信息泄露導(dǎo)致的詐騙案件。這些個人信息泄露的源頭是船舶管理公司的信息系統(tǒng)。信息泄露會給個人造成損失，而信息系統(tǒng)遭受病毒攻擊則會給航運(yùn)企業(yè)造成巨大損失。因此，信息安全對航運(yùn)企業(yè)而言極為重要。

1船岸網(wǎng)絡(luò)管理現(xiàn)狀

船岸網(wǎng)絡(luò)技術(shù)的發(fā)展非常迅速，特別是海上衛(wèi)星通信服務(wù)商提供的海上高速網(wǎng)絡(luò)在資費(fèi)下降后極大地提高了船舶與管理方、服務(wù)供應(yīng)商、租船人和船舶所有人/經(jīng)營人之間的信息交換頻率。海上高速網(wǎng)絡(luò)的普及給信息安全帶來更大的隱患。網(wǎng)絡(luò)沒有物理界限，任何具有網(wǎng)絡(luò)攻防知識并熟悉船舶扁平化網(wǎng)絡(luò)架構(gòu)的人或組織都可以通過Shodan搜索引擎獲得相關(guān)信息，對船岸網(wǎng)絡(luò)實(shí)施遠(yuǎn)程攻擊。通過對衛(wèi)星通信服務(wù)商IP地址段批量掃描發(fā)現(xiàn)：眾多安裝VSAT、FBB設(shè)備的船舶未加安全措施就向公網(wǎng)開放了21/80/445/3389等弱口令TCP、UDP端口；供應(yīng)商為節(jié)約成本、方便遠(yuǎn)程維護(hù)管理，將Cobham、KVHCommBox、Inmarsat、Marlink等產(chǎn)品內(nèi)建的管理后臺映射到外網(wǎng)；絕大部分船舶沒有配置專業(yè)的硬件防火墻，岸基管理人員缺乏專業(yè)技能，最終導(dǎo)致船舶網(wǎng)絡(luò)安全得不到保障。

要做好船岸網(wǎng)絡(luò)安全工作，首先要了解船岸網(wǎng)絡(luò)設(shè)備運(yùn)行機(jī)制和原理。船舶內(nèi)網(wǎng)GPS、ECDIS、主機(jī)監(jiān)控系統(tǒng)服務(wù)器等多網(wǎng)卡設(shè)備既通過串口總線和CANBUS、MODBUS等協(xié)議控制舵機(jī)、智能電站及壓載水調(diào)平系統(tǒng)等設(shè)備，又通過網(wǎng)卡和SNMP、NMEA等協(xié)議進(jìn)行網(wǎng)絡(luò)通信，從而形成了一個可以網(wǎng)絡(luò)遠(yuǎn)程控制的船舶物聯(lián)網(wǎng)。由于某些船用通信協(xié)議存在設(shè)計(jì)缺陷，例如NMEA0183協(xié)議通過明文傳輸，缺乏加密、身份認(rèn)證和校驗(yàn)機(jī)制，為實(shí)施網(wǎng)絡(luò)攻擊制造了機(jī)會――攻擊者只需遠(yuǎn)程更改一兩個字符就可以命令船舶轉(zhuǎn)向。

2常見的網(wǎng)絡(luò)攻擊方式

廣義上對船岸網(wǎng)絡(luò)的攻擊主要有兩類：（1）無目標(biāo)的攻擊。岸基或船舶內(nèi)網(wǎng)操作系統(tǒng)和第三方軟件漏洞是潛在受攻擊目標(biāo)之一，攻擊者利用0day漏洞進(jìn)行廣撒網(wǎng)式的無差別化攻擊，近幾年馬士基航運(yùn)集團(tuán)和中遠(yuǎn)海運(yùn)集運(yùn)北美公司遭遇的網(wǎng)絡(luò)攻擊屬于此類。（2）有針對性的攻擊。攻擊者將某船岸信息系統(tǒng)設(shè)定為滲透目標(biāo)，利用專門開發(fā)的繞過技術(shù)和工具躲避網(wǎng)絡(luò)防御機(jī)制（如震網(wǎng)病毒事件），實(shí)施多步驟攻擊，其破壞程度較無目標(biāo)的攻擊更大。

有針對性攻擊又分為以下6種類型：

（1）主動攻擊。攻擊者主動攻擊網(wǎng)絡(luò)安全防線。主動攻擊的方式為修改或創(chuàng)建錯誤的數(shù)據(jù)流，主要攻擊形式有假冒、重放、篡改消息和使網(wǎng)絡(luò)拒絕服務(wù)等。

（2）被動攻擊。攻擊者監(jiān)視相關(guān)信息流以獲得某些信息。被動攻擊基于網(wǎng)絡(luò)跟蹤通信鏈路或系統(tǒng)，用秘密抓取數(shù)據(jù)的木馬程序代替系統(tǒng)部件。

（3）物理攻擊。未被授權(quán)者在物理上接入網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，以達(dá)到修改、收集信息或使網(wǎng)絡(luò)拒絕訪問的目的。

（4）內(nèi)部攻擊。被授權(quán)修改信息安全處理系統(tǒng)，或具有直接訪問信息安全處理系統(tǒng)權(quán)力的內(nèi)部人員，主動傳播非法獲取的信息。

（5）邊界攻擊。網(wǎng)絡(luò)邊界由路由器、防火墻、入侵檢測系統(tǒng)（IDS）、虛擬專用網(wǎng)（VPN、DMZ）和被屏蔽的子網(wǎng)等硬件和軟件組成。硬件的操作系統(tǒng)與其他軟件一樣存在安全漏洞，攻擊者可利用操作系統(tǒng)漏洞，繞過已知安全協(xié)議達(dá)到攻擊的目的。

（6）持續(xù)性威脅。商業(yè)間諜組織可能會通過“釣魚手法”進(jìn)行攻擊。如以“某某船公司2020中期戰(zhàn)略企劃書”為關(guān)鍵詞投放電子誘餌，通過文檔追蹤工具進(jìn)行精準(zhǔn)定位，誘騙受害人打開附件或點(diǎn)擊郵件鏈接從而入侵或破壞其信息系統(tǒng)。

3船岸網(wǎng)絡(luò)中易受攻擊的系統(tǒng)

船岸網(wǎng)絡(luò)中易受攻擊的系統(tǒng)有綜合船橋和電子海圖系統(tǒng)、配載儀和船舶維修保養(yǎng)系統(tǒng)、主機(jī)遙控和能效系統(tǒng)、保安限制區(qū)域閉路電視監(jiān)控系統(tǒng)和各重點(diǎn)艙室門禁系統(tǒng)、乘員服務(wù)和管理系統(tǒng)、面向船員娛樂的公共網(wǎng)絡(luò)系統(tǒng)、船岸網(wǎng)絡(luò)通信系統(tǒng)、計(jì)算機(jī)操作系統(tǒng)及常用軟件等。

4船舶網(wǎng)絡(luò)安全配置建議

（1）禁用公網(wǎng)IP，使用URA系統(tǒng)遠(yuǎn)程管理。

（2）修改系統(tǒng)默認(rèn)密碼并使用高強(qiáng)度密碼。

（3）將船岸網(wǎng)絡(luò)操作系統(tǒng)和第三方軟件補(bǔ)丁、病毒特征庫升級至最新版本。

（4）對工控網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)、娛樂網(wǎng)絡(luò)實(shí)施網(wǎng)絡(luò)隔離和訪問控制。

（5）通過策略制定公用電腦進(jìn)程白名單，禁用USB接口。

（6）向船員普及網(wǎng)絡(luò)安全風(fēng)險防范知識。

（7）要求設(shè)備供應(yīng)商提供必要的網(wǎng)絡(luò)安全事件應(yīng)對措施。

（8）不過度依賴遠(yuǎn)程網(wǎng)絡(luò)監(jiān)控技術(shù)，增加現(xiàn)場勘查頻率。

5網(wǎng)絡(luò)攻擊事件的處置步驟

（1）風(fēng)險識別。定義相關(guān)人員的崗位和職責(zé)，確保在日常管理中能夠及時發(fā)現(xiàn)可疑風(fēng)險。

（2）事件預(yù)防。制定風(fēng)險控制流程和應(yīng)急計(jì)劃，降低網(wǎng)絡(luò)風(fēng)險，防范網(wǎng)絡(luò)攻擊。

（3）事件發(fā)現(xiàn)。檢查已確認(rèn)的網(wǎng)絡(luò)攻擊事件，評估損失并制定后續(xù)恢復(fù)方案。（4）事件恢復(fù)。制定計(jì)劃使系統(tǒng)恢復(fù)正常運(yùn)行。

（5）免疫措施。制定措施避免類似網(wǎng)絡(luò)攻擊事件再次發(fā)生。

6網(wǎng)絡(luò)信息安全團(tuán)隊(duì)崗位職責(zé)

航運(yùn)企業(yè)應(yīng)設(shè)立信息安全官（CISO）崗位，其職責(zé)為：建立船岸網(wǎng)絡(luò)安全團(tuán)隊(duì)并管理成員，牽頭制定全面的船舶網(wǎng)絡(luò)安全應(yīng)急保護(hù)計(jì)劃（CSP），以持續(xù)保障船岸網(wǎng)絡(luò)安全。團(tuán)隊(duì)成員崗位職責(zé)如下：

（1）對船舶VSAT/FBB設(shè)備端口映射及防火墻規(guī)則進(jìn)行審核、分發(fā)、監(jiān)控，熟悉Infinity、XchangeBox等通信管理系統(tǒng)的后臺設(shè)置，監(jiān)控船岸網(wǎng)絡(luò)的可疑流量。

（2）對船岸內(nèi)網(wǎng)信息設(shè)備和辦公電腦軟硬件及時更新維護(hù)，熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等軟件操作知識。

（3）定期優(yōu)化單船拓?fù)浣Y(jié)構(gòu)和更新船岸網(wǎng)絡(luò)病毒特征庫和漏洞補(bǔ)丁庫，不斷完善船岸網(wǎng)絡(luò)信息事故應(yīng)急預(yù)案。

（4）收集供應(yīng)商技術(shù)文件并集中存儲，向設(shè)備和服務(wù)供應(yīng)商提交并跟蹤審核通導(dǎo)信息類設(shè)備保修工單（如KVH、Marlink、GEE、OneNet等）。

（5）跟蹤記錄新造船F(xiàn)BB、銥星移動通信系統(tǒng)、VSAT和船載物聯(lián)網(wǎng)設(shè)備安裝調(diào)試情況，審核通信類費(fèi)用憑證。

（6）具備防火墻、路由器、入侵檢測系統(tǒng)、交換機(jī)的豐富知識，MacOS、Windows、Linux等3大操作系統(tǒng)及域控、數(shù)據(jù)庫的基礎(chǔ)知識，并能熟練使用SQL、CrystalReports提取分析數(shù)據(jù)。

（7）參與船岸網(wǎng)絡(luò)的設(shè)計(jì)開發(fā)和信息系統(tǒng)的迭代開發(fā)，提出必要的安全策略規(guī)范要求。

（8）具備妥善監(jiān)控并處理網(wǎng)絡(luò)安全事件的能力和獨(dú)立撰寫網(wǎng)絡(luò)安全事件調(diào)查報告的能力，并提出改進(jìn)措施。

7船岸網(wǎng)絡(luò)信息安全管理目標(biāo)

船岸網(wǎng)絡(luò)信息安全問題從根本上說是人的問題，如何在制度上讓人遵守規(guī)則，如何在技術(shù)上減少或避免人為惡意攻擊，這是船岸網(wǎng)絡(luò)信息安全組織架構(gòu)設(shè)計(jì)的目標(biāo)。船岸網(wǎng)絡(luò)信息安全組織架構(gòu)設(shè)計(jì)的總體目標(biāo)可定義為：針對船岸網(wǎng)絡(luò)和信息安全需要，構(gòu)建系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和信息防護(hù)策略及措施，通過制度管理和技術(shù)防范來規(guī)范員工行為，達(dá)到網(wǎng)絡(luò)和信息資產(chǎn)安全可控的目的，最終達(dá)到“外人進(jìn)不來、進(jìn)來看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全總監(jiān)的基本職責(zé)是建立船岸網(wǎng)絡(luò)和信息安全團(tuán)隊(duì)并確保團(tuán)隊(duì)成員各司其職。團(tuán)隊(duì)成員既包括企業(yè)內(nèi)部的計(jì)算機(jī)安全專家，也包括企業(yè)外部的資深律師、會計(jì)師、技術(shù)專家等。

8經(jīng)驗(yàn)交流

網(wǎng)絡(luò)信息安全對于大部分人而言比較陌生。在實(shí)踐中，大部分航運(yùn)企業(yè)由總裁辦（行政事務(wù)部）或保密部門負(fù)責(zé)網(wǎng)絡(luò)信息安全，而網(wǎng)絡(luò)信息安全職能又隸屬話語權(quán)不高的IT部門，最終導(dǎo)致企業(yè)網(wǎng)絡(luò)信息安全工作進(jìn)展遲滯，制度實(shí)施緩慢。因此，建議由公司領(lǐng)導(dǎo)牽頭，技術(shù)保障部門負(fù)責(zé)具體實(shí)施。有條件的航運(yùn)公司應(yīng)該定期針對船岸網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行安全演習(xí)并配置網(wǎng)絡(luò)信息安全設(shè)備，以便當(dāng)船岸網(wǎng)絡(luò)信息系統(tǒng)被攻擊時，能夠迅速作出應(yīng)急反應(yīng)，盡快恢復(fù)網(wǎng)絡(luò)系統(tǒng)，盡可能挽回?fù)p失。此外，在員工手冊、船員上船協(xié)議中應(yīng)該賦予航運(yùn)公司相關(guān)職能部門通過技術(shù)手段來防止內(nèi)部威脅的權(quán)力，打擊隱蔽性較強(qiáng)的涉及船岸網(wǎng)絡(luò)的職務(wù)犯罪。

以某航運(yùn)企業(yè)為例，2018年初由公司領(lǐng)導(dǎo)牽頭與某船級社聯(lián)合成立了船岸網(wǎng)絡(luò)信息安全專項(xiàng)課題組，針對公司船岸網(wǎng)絡(luò)的特殊性制定了一套通用船舶網(wǎng)絡(luò)安全管理體系，并在超大型集裝箱船試行《船舶網(wǎng)絡(luò)信息安全實(shí)施指南（征求意見稿）》和相關(guān)配套制度，如《船舶網(wǎng)絡(luò)信息資產(chǎn)管理辦法》《船舶VSAT、局域網(wǎng)及防火墻設(shè)置規(guī)范》《船舶網(wǎng)絡(luò)信息安全員崗位職責(zé)》《船員網(wǎng)絡(luò)信息安全應(yīng)知手冊》等。此外，還對試點(diǎn)船舶就域控服務(wù)器（解決內(nèi)網(wǎng)信息審計(jì)問題）、KMS激活服務(wù)器（解決操作系統(tǒng)、辦公軟件授權(quán)問題）、自建CA授權(quán)機(jī)構(gòu)頒發(fā)數(shù)字證書（解決SHA256數(shù)據(jù)加密問題）、某開源局域網(wǎng)遠(yuǎn)程管理軟件以及等級保護(hù)一體機(jī)硬件部署（解決病毒庫、補(bǔ)丁庫離線升級問題）等項(xiàng)目進(jìn)行技術(shù)驗(yàn)證，為下一步推廣應(yīng)用船岸網(wǎng)絡(luò)信息安全課題研究成果奠定了良好基礎(chǔ)。

第8篇

國家、省市已經(jīng)頒布各種法律法規(guī)，各大單位也根據(jù)自己的具體情況，建立了自己的規(guī)章制度，維護(hù)信息安全已經(jīng)有法可依。但是信息安全管理工作涉及的知識面非常廣，需要了解國家信息安全管理法規(guī)，需要學(xué)習(xí)信息技術(shù)一般理論，需要知道信息安全漏洞知識，需要明白信息安全禁令范疇。為提高學(xué)習(xí)效率和質(zhì)量，全面掌握信息安全理論和方法，按照信息安全管理知識體系，建設(shè)信息安全管理教學(xué)系統(tǒng)，提供學(xué)習(xí)信息安全管理的教學(xué)條件，從而為各方面人員學(xué)習(xí)和執(zhí)行各種規(guī)章制度提供依據(jù)。相比其他管理工作，信息安全管理工作需要比較多的理工專業(yè)基礎(chǔ)和比較高的電腦技術(shù)要求，在實(shí)際的信息安全管理工作中，需要靈活的信息安全管理處置能力，更多的是判斷信息安全問題、識別信息安全陷阱、規(guī)范信息安全管理。由于知識背景和工作性質(zhì)特點(diǎn)，管理干部需要花費(fèi)更多的時間和精力學(xué)習(xí)信息安全管理知識和技術(shù)，才能具備基本的信息安全防范技能。為幫助他們更好地獨(dú)立處置信息安全管理問題，掌握發(fā)現(xiàn)問題解決問題技能，依據(jù)現(xiàn)代教育理念和方法，不僅需要提供深入淺出、知識完備的知識體系學(xué)習(xí)訓(xùn)練系統(tǒng)，而且需要信息安全管理能力訓(xùn)練系統(tǒng)。

二、信息安全管理培訓(xùn)思路

為滿足信息安全管理工作在人員培訓(xùn)方面的需要，需要依托各級培訓(xùn)學(xué)校，按照國家和省市地方的制度法規(guī)，借助現(xiàn)代教育思想，借助現(xiàn)代教育技術(shù)，明確符合實(shí)際需要的功能定位，建設(shè)信息安全管理復(fù)合應(yīng)用型人才培訓(xùn)體系，實(shí)現(xiàn)信息安全管理工作對培訓(xùn)教育、終身教育的培訓(xùn)要求。

1.培訓(xùn)依據(jù)

（1）依據(jù)各種信息安全管理制度法規(guī)。信息安全人員在履行工作職責(zé)的時候，必須按照各種信息安全管理法規(guī)、制度和要求實(shí)施，制訂人才培養(yǎng)方案和教學(xué)計(jì)劃必須依據(jù)國家、省市和本部門的信息安全管理的相關(guān)規(guī)定，這樣的教學(xué)內(nèi)容才能保證人才培養(yǎng)的針對性和實(shí)用性，保證管理干部履行信息安全管理職責(zé)的有效性。涉及信息安全制度法規(guī)的相關(guān)文件很多，有的是專門為信息安全制訂的，有的制度和法規(guī)散落在各個業(yè)務(wù)管理制度中。在建設(shè)信息安全管理知識體系時，必須將業(yè)務(wù)部門的相關(guān)規(guī)定融入知識體系中，使得管理干部在處理具體業(yè)務(wù)中的信息安全管理工作具有針對性和有效性。

（2）符合培訓(xùn)教育特點(diǎn)規(guī)律。信息安全管理技能是從事管理工作人員的基本技能，屬于崗位專業(yè)培訓(xùn)或?qū)I(yè)技能培訓(xùn)，屬于培訓(xùn)教育培訓(xùn)。受訓(xùn)人員專業(yè)背景不同，理論基礎(chǔ)不同，學(xué)習(xí)能力不同，必須避免材、統(tǒng)一授課、統(tǒng)一訓(xùn)練、和統(tǒng)一考核的傳統(tǒng)教學(xué)模式，采取因人而異、因材施教的有針對性的教學(xué)方式，強(qiáng)調(diào)個性化學(xué)習(xí)，將不同層次受訓(xùn)者的信息安全管理能力達(dá)到信息安全管理工作所需要的水平上來。

（3）遵循現(xiàn)代教育思想。在實(shí)施教育訓(xùn)練過程中，現(xiàn)代教育思想要求采取“學(xué)為主體、教為主導(dǎo)”的教學(xué)理念，學(xué)員能夠方便地獲得完整的知識體系和解決問題的技能和方法，自主學(xué)習(xí)，開放學(xué)習(xí)，自主理解、掌握知識和技能。為實(shí)現(xiàn)教學(xué)目的，需要分析信息安全管理技能特點(diǎn)，需要分析管理干部學(xué)習(xí)動力，結(jié)合教學(xué)目標(biāo)，設(shè)計(jì)學(xué)員學(xué)習(xí)和訓(xùn)練的教育訓(xùn)練環(huán)境，提供完整的知識體系、豐富的教學(xué)資源、模擬的問題情況、交互的學(xué)習(xí)平臺和方便的使用途徑，提供與培訓(xùn)教育特點(diǎn)規(guī)律和技能訓(xùn)練要求相適應(yīng)的培訓(xùn)條件。

2.信息安全管理培訓(xùn)目標(biāo)

按照信息安全管理工作的實(shí)際情況，培養(yǎng)信息安全管理工作中管理、業(yè)務(wù)和技術(shù)三支人才隊(duì)伍，突出業(yè)務(wù)和管理人才需要，兼顧信息安全技術(shù)人員的人才培養(yǎng)，以現(xiàn)代教育思想為指導(dǎo)，以信息技術(shù)為核心支持技術(shù)，建設(shè)滿足信息安全人才培養(yǎng)的現(xiàn)代培訓(xùn)條件。信息安全管理培訓(xùn)以管理干部為培訓(xùn)對象，以信息安全管理工作為培訓(xùn)內(nèi)容，區(qū)分信息安全管理人員、業(yè)務(wù)干部和信息技術(shù)專門人員等不同層次，跟蹤信息安全管理形勢，實(shí)行階段反復(fù)輪訓(xùn)，以適應(yīng)信息安全管理不斷發(fā)展的需要，確保信息安全管理工作的正常開展。

三、信息安全管理培訓(xùn)環(huán)境構(gòu)建

為適應(yīng)信息安全管理培訓(xùn)需要，適應(yīng)管理干部培訓(xùn)教育需要，必須構(gòu)建遵循信息安全管理規(guī)定、符合現(xiàn)代教育思想、依托信息技術(shù)手段、瞄準(zhǔn)復(fù)合型適用人才培養(yǎng)的教育環(huán)境。信息安全管理培訓(xùn)條件涉及面很廣，包括組織機(jī)構(gòu)、舍堂館所、師資隊(duì)伍、后勤保障等等，這里我們更關(guān)心符合培訓(xùn)思路的培訓(xùn)模式和教學(xué)支持。從知識體系、學(xué)習(xí)途徑、訓(xùn)練場所和訓(xùn)練系統(tǒng)多方面著手，構(gòu)建信息安全管理訓(xùn)練體系，構(gòu)建管理人員信息安全人才培養(yǎng)條件。依據(jù)教育信息化研究成果和培訓(xùn)教育教學(xué)特點(diǎn)，需要建立完整的信息安全管理知識體系，建立開放式、自主式教育網(wǎng)絡(luò)平臺，建立強(qiáng)時效性的教學(xué)資源體系，建立信息安全管理知識測試系統(tǒng)，建立信息安全管理能力訓(xùn)練系統(tǒng)，等等。

1.構(gòu)建信息安全管理知識體系

培訓(xùn)教育的一個特點(diǎn)就是受訓(xùn)對象知識背景和技能掌握程度千差萬別，必須首先建立完整的知識體系，以滿足不同基礎(chǔ)、不同需求受訓(xùn)者對知識掌握和能力訓(xùn)練的要求。知識體系必須建立覆蓋學(xué)科知識和管理手段的所有內(nèi)容，包括理論體系和教學(xué)資源兩部分，其中理論體系包括基礎(chǔ)知識、安全理論、規(guī)范制度、管理方法、歷史沿革、防范手段和操作方法，教學(xué)資源包括現(xiàn)狀分析、經(jīng)典案例、技術(shù)講解、訓(xùn)練題庫和數(shù)據(jù)模型，適應(yīng)和滿足每個受訓(xùn)對象的需求。為滿足個性化服務(wù)需要，可以按照知識點(diǎn)建設(shè)模塊化框架結(jié)構(gòu)，設(shè)計(jì)具備菜單選擇功能的專家系統(tǒng)，允許受訓(xùn)者建立適合自己的個性化教學(xué)計(jì)劃和實(shí)施方案，確保受訓(xùn)者完成培訓(xùn)任務(wù)后勝任安全管理的崗位需要。可以建立智能教學(xué)計(jì)劃生成系統(tǒng)，系統(tǒng)對每位受訓(xùn)者進(jìn)行知識和技能測試，按照教學(xué)目標(biāo)，根據(jù)測試結(jié)果，將該學(xué)員沒有掌握或掌握不夠的知識內(nèi)容和技能形成列表，從知識體系中搜尋相關(guān)知識和技能的概念、理論、技術(shù)和操作技能，形成該受訓(xùn)者個性化的教學(xué)計(jì)劃。隨著信息技術(shù)的發(fā)展和信息安全管理需求的變化，信息安全管理知識體系應(yīng)該是動態(tài)更新的，剔除修改陳舊的，充實(shí)替換實(shí)用的。

2.搭建開放、共享和交流的網(wǎng)絡(luò)平臺

網(wǎng)絡(luò)平臺是信息資源共享的基礎(chǔ)，是交流互動的基礎(chǔ)。按照學(xué)科專業(yè)建設(shè)與管理規(guī)范建設(shè)知識體系，以數(shù)字化形式在互聯(lián)網(wǎng)，實(shí)現(xiàn)信息安全管理教育資源共享。作為資源共享平臺的網(wǎng)絡(luò)平臺，不僅為建設(shè)者資源共享提供平臺，而且可以為學(xué)習(xí)者提供資源上傳服務(wù)，成為學(xué)習(xí)者之間相互交流資源的共享平臺，更為信息資源積累提供了很好的機(jī)制和存儲條件。網(wǎng)絡(luò)具有兩個特點(diǎn)，一是允許網(wǎng)絡(luò)用戶365天24小時使用，可以提供受訓(xùn)者隨時學(xué)習(xí)和訓(xùn)練，二是允許網(wǎng)絡(luò)用戶在任何有信息覆蓋的地方登錄，可以提供受訓(xùn)者隨地學(xué)習(xí)和訓(xùn)練，這兩個特點(diǎn)打破了傳統(tǒng)教學(xué)時空的限制，為學(xué)員自主學(xué)習(xí)、教師開放教學(xué)、師生互動交流提供了可能，也為實(shí)施現(xiàn)代教育思想提供了條件。

3.建立虛擬講堂

優(yōu)秀教師的講授可以將學(xué)習(xí)效果演繹得趣味精彩，可以將學(xué)習(xí)內(nèi)容組織得明白易懂，可以將現(xiàn)實(shí)運(yùn)用解析得透徹自然。為更多學(xué)員獲得完美的教學(xué)體驗(yàn)，為積累并共享優(yōu)秀教學(xué)資源，為學(xué)員快捷準(zhǔn)確全面理解知識運(yùn)用知識提供幫助，記錄、整理并優(yōu)秀教師或?qū)＜沂谡n錄像，供更多受訓(xùn)者學(xué)習(xí)參考。教學(xué)錄像在網(wǎng)上成為虛擬講堂，成為不同專業(yè)不同時期受訓(xùn)者良好的教學(xué)資源，目前全球風(fēng)行的慕課，可以成為這種培訓(xùn)目的的教學(xué)模式，成本低，效益好。因?yàn)榧夹g(shù)層面的因素，信息安全管理知識體系在理論基礎(chǔ)和原理解釋有大量不易理解的知識點(diǎn)和疑難問題，學(xué)習(xí)時需要佐證的理論和嚴(yán)謹(jǐn)?shù)倪壿嫞枰獋魇谡攮h(huán)環(huán)相扣的謹(jǐn)密推演，因此針對重要知識點(diǎn)和疑難雜診的講授片段是受訓(xùn)者自主式學(xué)習(xí)時需要的重要教學(xué)參考資料。各個大學(xué)基本都建設(shè)了網(wǎng)絡(luò)課堂，為虛擬講堂建設(shè)提供了很好的技術(shù)平臺。依據(jù)此平臺，建設(shè)信息安全管理和教學(xué)資源和網(wǎng)絡(luò)課程，可以構(gòu)筑完整的知識體系，為培訓(xùn)教育自主式學(xué)習(xí)提供了很好的學(xué)習(xí)資源。

4.建設(shè)信息安全管理實(shí)驗(yàn)室

培訓(xùn)教育能力訓(xùn)練是教學(xué)環(huán)節(jié)中的主要部分，驗(yàn)證理論、觀摩操作方法和訓(xùn)練技能需要包括場所、設(shè)備和軟件等實(shí)驗(yàn)條件，實(shí)驗(yàn)室是完成實(shí)驗(yàn)任務(wù)和檢驗(yàn)方法效果必須具備的教學(xué)條件。理論、方法和技能的實(shí)驗(yàn)和訓(xùn)練是信息安全管理培訓(xùn)需要完成的教學(xué)環(huán)節(jié)，這些需要信息安全專業(yè)實(shí)驗(yàn)室的支持。信息技術(shù)具有可設(shè)計(jì)、可復(fù)制、可重用的特點(diǎn)，使得基于信息技術(shù)的教育訓(xùn)練條件具備降低訓(xùn)練費(fèi)用、提高學(xué)員學(xué)習(xí)自主性、提供學(xué)員反復(fù)學(xué)習(xí)等長處，結(jié)合音頻處理技術(shù)、視頻處理技術(shù)、三維動畫技術(shù)，可以為學(xué)員學(xué)習(xí)提供強(qiáng)烈逼真的感官刺激、美輪美奐的藝術(shù)表現(xiàn)和自主操控的虛幻體驗(yàn)。從訓(xùn)練目的而言，實(shí)驗(yàn)室可以分為虛擬實(shí)驗(yàn)室和能力訓(xùn)練場兩部分。

（1）虛擬實(shí)驗(yàn)室。信息安全管理涉及大量技術(shù)手段，信息安全技術(shù)攻擊和防范具有不可見、不易理解的特點(diǎn)，需要顯而易見、通俗易懂的形象展示。虛擬實(shí)驗(yàn)室是依托信息技術(shù)按照實(shí)驗(yàn)室運(yùn)行規(guī)律、要求和任務(wù)，以網(wǎng)頁形式在計(jì)算機(jī)網(wǎng)絡(luò)上建立的可以模擬實(shí)驗(yàn)室運(yùn)行的軟件系統(tǒng)。虛擬實(shí)驗(yàn)室內(nèi)設(shè)信息安全管理所需要的各種理論、方法和技能引擎，可以多維形象地反復(fù)演示信息安全管理的理論、方法和技能，可以允許受訓(xùn)者以第一人稱介入并依據(jù)受訓(xùn)者干預(yù)情況展示相應(yīng)信息安全分析結(jié)果，虛擬實(shí)驗(yàn)室可以記錄并考核受訓(xùn)者實(shí)驗(yàn)過程和成績。

第9篇

電子信息安全管理防范意識管理質(zhì)量近些年來，我國計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)異乎尋常地突飛猛進(jìn)，把人們帶入了前所未有的信息化時代，網(wǎng)絡(luò)和人們息息相關(guān)，無論工作、學(xué)習(xí)、生活、購物乃至娛樂與游戲，一刻也離不開網(wǎng)絡(luò)的支持。信息化和網(wǎng)絡(luò)化時代，電子商務(wù)（Electronic Commerce）應(yīng)運(yùn)而生。隨著電子商務(wù)的出現(xiàn)，人們的交流更加便利，比如電子郵件可以隨時隨地地進(jìn)行傳遞，電子商務(wù)讓人們的生活更加隨心所欲，工作效率得到了前所未有的提高。黑客（hacker）的出現(xiàn)，極大地干擾了網(wǎng)絡(luò)，帶來了一定的破壞，給人們帶來了巨大的經(jīng)濟(jì)損失和精神方面的憂慮，甚至一度引起全世界范圍內(nèi)的恐慌，人們對電子信息失去了信任，即使在安全的情況下，很多人依然心有余悸。以故，加強(qiáng)電子信息安全管理勢在必然。

一、電子信息安全管理中存在的問題

1.安全防范意識落后

我國的信息技術(shù)迅猛發(fā)展，人們沉浸在便利的喜悅中，忽略了安全管理。由于電子商務(wù)處于初步發(fā)展階段，很多技術(shù)方面尚不成熟，一些高標(biāo)準(zhǔn)的電子商務(wù)平臺尚還沒有搭建起來，對黑客缺乏防御的小型電子商務(wù)平臺雖然隨處可見，但其缺乏有效的安全管理，經(jīng)營者麻痹大意，心存僥幸，認(rèn)為“黑客”雖然存在，但是自身未必遭受攻擊，他們更多地關(guān)注業(yè)務(wù)的發(fā)展，重視平臺規(guī)模的擴(kuò)大和系統(tǒng)功能的開發(fā)。在這種情況下，系統(tǒng)缺乏安全防御，一旦受到攻擊，立即癱瘓不能運(yùn)轉(zhuǎn)和造成損失。此外，有些管理者為了防御黑客，在市場上購買了一些大眾化的安全管理軟件，便覺得安裝了這些“高新”產(chǎn)品，就會高枕無憂，永遠(yuǎn)安全的使用電子商務(wù)。結(jié)果，常常事與愿違，造成巨大的損失。

2.信息安全技術(shù)匱乏

經(jīng)過一段時間的努力，國內(nèi)的信息安全管理技術(shù)不斷提升，連續(xù)邁上新的臺階，情況喜人。但是，我們也要有自知之明，因?yàn)楹驮S多西方國家相比，信息安全防御與控制技術(shù)相對落后很多，并且，我們在經(jīng)費(fèi)的投入方面，有明顯的差距；自主研發(fā)技術(shù)存在的不足之處多多，亟需改善。我們更要清楚的一點(diǎn)是：我們的技術(shù)，很多都是借鑒國外的經(jīng)驗(yàn)，缺乏獨(dú)創(chuàng)。如此步人后塵，電子信息安全管理質(zhì)量難以有質(zhì)的突破。

3.信息安全產(chǎn)品鑒定混亂無序

為了安全起見，很多企業(yè)花費(fèi)不菲，購買了一些安全方面的軟件，殊不知，這些產(chǎn)品在一般情況下，確實(shí)能夠起到電子信息使用平臺的安全作用，但如果病毒強(qiáng)大，絕對的安全便難以保證。縱觀市場上的安全軟件產(chǎn)品，良莠不齊，并且，目前市場上對于安全產(chǎn)品的鑒定沒有統(tǒng)一標(biāo)準(zhǔn)，各執(zhí)一說，很多都是主觀判斷，由此產(chǎn)生隱患。

二、電子信息安全管理的有效措施

在電子信息安全管理方面，一旦出現(xiàn)問題，就會造成損失，一些企業(yè)“吃一塹長一智”，采取了相關(guān)措施，不過，調(diào)查表明，大多數(shù)企業(yè)存在“重技術(shù)，輕管理”的情況，而且由于一些企業(yè)尚未造成重大損失，管理層對安全問題漠不關(guān)心，或重視不夠。下面針對加強(qiáng)電子信息安全管理的主要措施做一探討。

1.構(gòu)建完善的管理組織機(jī)構(gòu)，加強(qiáng)管理

電子信息安全管理組織機(jī)構(gòu)的完善有力地促進(jìn)了企業(yè)的發(fā)展，從安全決策到認(rèn)真執(zhí)行，層層構(gòu)架，發(fā)揮職能。管理框架的構(gòu)建要集思廣益，審慎剴切；安全制度的審批須一絲不茍，審查入微；安全職責(zé)的分配必須認(rèn)真到位，監(jiān)督有力；遵照網(wǎng)絡(luò)系統(tǒng)安全制度，嚴(yán)肅執(zhí)行，進(jìn)行網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)。如屬于大型的電子商務(wù)平臺或者集團(tuán)企業(yè)，更加需要增加投入，比如聘請有造詣的專家成立顧問組織，以便企業(yè)進(jìn)行疑難咨詢，或是參照出現(xiàn)的問題出列解決方案，爾后進(jìn)一步對責(zé)任進(jìn)行調(diào)查、評估。

2.電子信息安全管理制度有待進(jìn)一步完善

電子信息安全管理制度主要包括兩方面的內(nèi)容，第一點(diǎn)就是構(gòu)建電子信息控制制度，第二點(diǎn)是出現(xiàn)問題之后的解決策略。關(guān)于第一點(diǎn)，需要明確責(zé)任，注重細(xì)節(jié)，出現(xiàn)任何情況都要嚴(yán)格審核，并且定期檢查；至于第二點(diǎn)，注意信息傳遞過程中的信息維護(hù)，密切跟蹤，及時報告，達(dá)到有效監(jiān)督。最后，備份數(shù)據(jù)文件儲存。

3.專業(yè)亟待提升

互聯(lián)網(wǎng)的發(fā)展突飛猛進(jìn)，普及千家萬戶，安全技術(shù)的研發(fā)相對于互聯(lián)網(wǎng)的發(fā)展遠(yuǎn)遠(yuǎn)落后，原因諸多，最重要的一點(diǎn)就是缺乏過硬的技術(shù)人員。一般而言，電子商務(wù)規(guī)模越大，電子信息安全管理隊(duì)伍的陣容也要隨之?dāng)U充，只有電子信息安全管理隊(duì)伍強(qiáng)大，才能夠產(chǎn)生無窮的智慧與應(yīng)對措施，保證電子商務(wù)平臺的安全。

4.系統(tǒng)安全檢測

黑客一詞被用于泛指那些專門利用電腦網(wǎng)絡(luò)和系統(tǒng)安全漏洞對網(wǎng)絡(luò)進(jìn)行攻擊破壞或竊取資料的人。病毒與黑客不斷變換手段，頻頻對電子商務(wù)系統(tǒng)采取攻擊行動，有時候能導(dǎo)致整個系統(tǒng)癱瘓。出現(xiàn)意外情況，要立即檢測，要經(jīng)常更換密碼，設(shè)置復(fù)雜一些的密碼，要經(jīng)常對防火墻進(jìn)行檢查，系統(tǒng)功能是否保持，是否出現(xiàn)漏洞等，要細(xì)致入微，不能有一絲一毫的疏忽，嚴(yán)防黑客侵入。

5.建立保護(hù)系統(tǒng)的方案

時常進(jìn)行安全檢測，一旦系統(tǒng)的安全檢測失靈，必須立即建立系統(tǒng)安全防護(hù)措施。系統(tǒng)安全管理極其復(fù)雜，缺乏安全可靠的保護(hù)，電子商務(wù)在網(wǎng)絡(luò)平臺失去有效的依靠，隨時會出現(xiàn)漏洞。反之，安全策略嚴(yán)謹(jǐn)，防護(hù)得力，即便系統(tǒng)遭受攻擊，也會及時發(fā)現(xiàn)，能將損失最小化。

6.管理培訓(xùn)的重要性

防護(hù)系統(tǒng)的工作人員，要進(jìn)行考試錄用、上崗培訓(xùn)，企業(yè)經(jīng)常進(jìn)行人員培訓(xùn)，定期學(xué)習(xí)安全策略和規(guī)章制度。讓每一個員工加強(qiáng)安全觀念，提升對信息安全的重視，認(rèn)識到防護(hù)的重要性，堅(jiān)守崗位，忠于職守，明了企業(yè)安全規(guī)章制度的含義。

三、結(jié)語

綜上所述，近年來經(jīng)濟(jì)騰飛，經(jīng)濟(jì)全球化進(jìn)程不斷加快，計(jì)算機(jī)技術(shù)無所不在，網(wǎng)絡(luò)暢通無極，人們在網(wǎng)絡(luò)平臺上進(jìn)行商務(wù)管理、學(xué)習(xí)、游戲、查找資料、購物匯款等等，網(wǎng)絡(luò)信息交互平臺已經(jīng)深入大家的生活，人們已經(jīng)一日不可沒有網(wǎng)絡(luò)的存在。網(wǎng)絡(luò)如此不可或缺，隨著計(jì)算機(jī)病毒造成的一次次的損失，人們對電子信息安全管理質(zhì)量憂心忡忡。

在這一背景下，很多電子信息安全管理研究機(jī)構(gòu)紛紛推出各類電子信息安全管理產(chǎn)品，盡管其對確保信息安全起到了一定的功效，但是，一切并不是萬能的。這也使得人們明白了技術(shù)產(chǎn)品并不僅僅是安全管理工作的全部。本文結(jié)合當(dāng)前電子信息安全管理現(xiàn)狀，提出了一些相應(yīng)的應(yīng)對措施，希望能夠有效提升電子信息安全管理的質(zhì)量。

參考文獻(xiàn)：

[1]姚帝曉.電子商務(wù)安全問題的思考[J].商場現(xiàn)代化，2006，（7）：103.