信息安全管理精选(十四篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的14篇信息安全管理，期待它们能激发您的灵感。

篇1

【关键词】 信息安全 违规外联 电力企业

一、前言

国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行，从职能部室到一线班组，电力企业所有的业务数据都依赖网络进行流转，电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。

一直以来，信息安全防御理念常局限于常规的网关级别（防火墙等）、网络边界（漏洞扫描、安全审计）等方面的防御，重要的安全设施大多集中于核心机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁已大大减少，尤其实行内外网隔离、双网双机后，来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛，管控难度大，加之现在无线上网卡、无线wifi和智能手机的兴起，内网计算机接入互联网的事件时有发生，一旦使用人员将内网计算机通过以上方式接入互联网，即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道，一旦遭遇黑客袭击，就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故，给企业信息安全带来重大的安全隐患和风险。

二、强化管理、落实责任，监培并进

1、将违规外联明确写入公司各项规章制度，并纳入经济责任考核。在《公司信息系统安全管理办法》中，对杜绝违规外联事件进行了明确的要求：所有内网计算机必须粘贴防止违规外联提示卡，严禁将接入过互联网未经处理的计算机接入内网，严禁在普通计算机上安装双网卡，严禁将智能设备（3G手机、无线网卡等）插入内网计算机USB端口，严禁在办公区通过路由器连接外网，杜绝违规外联行为。 一旦发生违规外联事件，依据《企业信息化工作评级实施细则》，按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核，并在全公司通报批评。将信息安全责任落实到人。

2、加大违规外联宣贯和培训力度。信息安全工作，重在预防，将一切安全事件消灭在萌芽状态，才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工，尤其是新员工的信息安全教育培训工作，即重点培训各部门信息化管理人员，各级管理人员培训本部门技术人员，本部门技术人员培训一线员工。通过分层式培训，提高了培训效果，同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质，强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工，实现全员重视、全员掌握，做到内网计算机“离座就锁屏，下班就关机”的工作习惯。

3、加强外来工作人员管控。加强外来工作人员信息安全教育，并签订《第三方人员现场安全合同书》，严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控，防止因外来工作人员擅自操作造成违规外联事件。

二、加强技术管控，从源头杜绝安全事件的发生

2.1严格执行“双网双机”

严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机，需向本人核实该计算机之前网络接入情况，对内外网络接入方式有变化、或者是不清楚的情况，需对计算机进行硬盘格式化并重装系统后方可接入网络。

2.2安装桌面终端，设置强口令，防止违规外联

实时监控全公司内网终端桌面终端系统安装率，确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略，一旦发生违规外联，系统立即采取断网措施，并对终端用户进行警示。要求全部内网计算机设置开机强口令（数字+字母+特殊符号，且大于8位），防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。

2.3做好温馨提示，明确内外网设备，防止违规外联

做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络，无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识，防止员工误接网络。

2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定

加强IP地址绑定，从交换机端口对接入内网的计算机进行IP、MAC地址绑定，确保除本计算机外，其余计算机无法通过该端口接入内网。

通过外网审计（网康科技）对外网IP和用户认证账户进行绑定，完善外网用户和计算机基础资料，做到全局外网终端和用户可控。

篇2

企业要想在市场当中生存并发展，不仅仅要提升企业竞争力，还需要时时刻刻关注企业的信息安全。现代市场竞争十分激烈，只有做好企业的信息安全管理，才能避免企业因为信息管理的疏漏造成相关的损失。

近十年来，企业的生产经营越来越离不开网络，离不开计算机，企业的每一项活动都需要计算机与网络的参与，企业的管理需要借助相关的计算机软件，企业的销售需要运用到电子商务，企业的仓储管理需要数据库系统的支持，在企业感受到计算机带来生产经营便利的同时，企业也不得不重视由计算机网络所带来的信息安全问题。通过分析我国企业信息安全管理的相关资料，可以发现我国企业在信息安全管理上所做的努力显然无法与西方企业相比，我国企业在信息安全管理这条路上还有很长的路要走。

我国企业在信息管理上起步较晚，同时受制于观念，技术，人力等各个方面的因素，我国企业在信息安全管理上存在十分严重的漏洞。不仅如此，企业信息安全管理受到各方面的威胁，各类病毒层出不穷，钓鱼软件，木马也防不胜防，我国企业信息安全管理所面临的考验十分严峻。企业的信息安全管理不仅仅是企业自身的事，企业是我国经济发展最重要的角色，倘若我国企业在信息安全管理上存在漏洞，这也将直接影响我国的经济发展，这并不是危言耸听。

因此，加强我国企业信息安全管理势在必行，必须采取有效的举措提升我国企业信息安全管理水平。开展我国企业信息安全管理工作不仅仅需要政府的支持，企业自身也应当充分认识到企业信息安全管理对于企业自身的重要性，企业信息安全管理并不是一件小事，理应得到足够的重视。下面本文将首先介绍影响我国企业信息安全管理的几点因素，结合各种影响我国企业信息安全的几点因素展开探讨，在此基础上，分析我国企业在信息安全管理中常用的手段，并通过借鉴国外优秀企业在信息安全管理的经验，对更好地完善我国企业信息安全管理提出几点意见与建议。

二、企业面临的信息安全管理风险

1.企业内部管理缺陷

企业要想提升信息安全管理的水平，其中很重要的一个步骤在于完善企业的管理制度。企业的信息安全管理会受到许许多多的因数影响，但是做好企业信息安全管理的基础在于提升企业的内部管理水平。企业内部管理的制度涉及到企业生产经营的方方面面，倘若企业在内部管理制度上存在缺陷，那么做好企业的信息安全管理也就无从谈起了。常见的影响企业信息安全管理的制度缺陷有以下几个方面。第一，企业对于企业内部信息安全管理的工作人员缺乏监督。企业信息安全管理必须建立在企业信息安全管理工作人员认知履行职责，规范操作的基础上，倘若企业对于信息安全管理的工作人员缺乏监督，那么久很难保证企业整个信息安全管理系统的行之有效。第二，企业对于企业内部信息安全管理工作人员缺乏培训，企业内部并没有指定相关的信息安全管理规章制度。要想完善企业的信息安全管理，就必须做到对企业内部信息安全管理的每一个环节都一丝不苟，对每一个可能存在信息安全漏洞的地方都要严格管理，对每一项信息安全管理的工作步骤都做明确要求。要想确保企业内部信息安全管理系统的平稳运行，只有从规范企业内部信息安全管理的行为规范上着手。第三，企业内部信息安全管理系统投入不足。这一点在我国大型企业上并不存在，我国大型企业拥有足够的资金，足够的人力资本，足够技术投入，相比较于我国中小型企业，在信息安全管理工作上具有较大的优势。可是，我国大型企业毕竟是少数，我国中小企业的数量十分巨大，中小企业并没有相应的资金，人员，技术投入，中小企业受制于现实条件，在信息安全管理系统上所做的工作严重不足，我国中小企业在信息安全上所面临的风险十分巨大。

2.影响企业信息安全管理的外部因素

影响我国企业信息安全管理的外部因素有许多。常见的影响我国企业信息安全管理的外部因素包括病毒，木马，钓鱼网站等等。不论是谁出于怎么样的目的破坏企业的信息安全，较为常见的手段也就是通过黑客攻击企业的信息安全管理系统。我国企业在应对黑客的攻击时往往处于较为被动的局面，一方面，黑客属于主动攻击，主动攻击的前提在于对于企业的内部信息安全管理系统有着较为全面的了解，并且往往已经掌握了企业内部信息安全管理系统所存在的安全漏洞，另一方面，我国绝大多数企业在信息安全管理系统的投入有限，企业内部信息安全管理的工作人员在技术手段上与黑客比较并没有优势。即使企业内部信息安全管理的工作人员最终能够战胜黑客，但是，由于缺乏完善的信息安全手段，对企业内部重要的信息保护不足，黑客对企业的信息安全所造成的影响往往也是致命的。反击黑客的攻击行为往往具有滞后性，因此，即使战胜了黑客，但是黑客对企业信息安全的攻击行为往往已经发生，企业必然会因此造成相应的损失，在现代企业经营管理信息化的背景下，这样的攻击行为对企业造成的损失往往是企业不能够承担的，很有可能影响一个企业最基本的生存。

三、完善企业信息安全管理的几点建议

1.建立信息安全密码

密码技术近年来在应用中不断成熟，越来越多企业开始将密码技术应用到企业信息安全管理中去，这是一个十分正确的选择。企业内部信息具有重要价值，密码技术是企业信息安全最为关键的一道屏障。密码的形式十分多样，企业应当根据自身情况正确选择密码的形式，密码技术是一项十分成熟的技术，应当得到更多的关注，并且将这项技术全面应用到企业内部信息安全管理当中去。企业内部信息得到密码的保护，能够在企业内部信息不慎泄露后得到最大化的保护，对于企业内部信息的密码也应当严格保密，做好相关的密码保护工作。

2.建立安全管理制度

企业信息安全管理制度的建立需要多方面的配合，同时，企业信息安全管理制度的建立是一项十分复杂的工作，必须在实践的过程中不断完善。建立企业内部信息安全管理制度是为了更加规范地保证企业内部信息的安全，也对企业内部信息安全管理人员的工作内容，工作步骤做了明确规定，这对于企业内部形成信息安全管理的长效机制具有重要价值。企业信息安全管理制度应当与企业的实际生产经营情况相结合，在尽可能不影响企业正常工作的前提下，对企业的信息安全作出明确规定。常见的规定包括定期组织企业内部信息安全管理工作人员进行信息安全的例行检查；对企业内部信息安全管理人员的工作做到全面监督，有效反馈等等。

3.建立数据库的备份与恢复机制

现如今，外界主动攻击企业信息安全的事件越来越频发，企业在被外界攻击信息安全后所造成的损失往往无法挽回，同时这些信息对于企业具有十分重要的价值，倘若能够及时恢复相关信息，能够在很大程度上减小企业所遭受的损失，因此，建立一套基于数据库信息备份与还原的信息安全管理机制十分重要。企业内部信息系统数据库的备份，可以有效保障企业信息系统非法入侵后的系统恢复工作。备份是对数据库内容保护最为稳定和容易的一种方法。当不稳定因素发生的时候，能够保证企业网络信息的正常运行。而恢复的理解，就是在不限定因素发展之后利用网络技术的备份功能用来对数据库内容进行重新恢复并正常使用的功能。

4.建立网络安全预警系统

一般这种情况可以分为人为预警和病毒预警两个方面。 在电脑中的重要位置安装上网络入侵监测体系，可以便于对电脑的技术和安全性在发展危害行为或改变。入侵监测体系还能通过设立在固定时间对制定要求的位置进行监督和控制，判断哪些系统是具有危害性的，但是防火墙还不能够准确判断的系统。主要针对的是从企业内部管理出现漏洞后对自身安全系统的“侵略”行为。而病毒预警系统通常是采用对企业内部网络的全部数据进行监督监控的行为，确保在一天每个时间段内都对数据包传送扫描一旦发展病毒就要马上进行危险信息提示，使得相关工作人员可以很快的通过定位查找的方法找到病毒的发出地。同时，在短时间内陆续产生通过快速扫描出来的网络日志和调查报告，为企业专业人员查找病毒具体来源提供便利条件。

篇3

关键词：信息安全；管理体系；ISMS

中图分类号：TP315　文献标识码：A　文章编号：1009-8631(2010)05-0171-02

一、概述

当前，信息资源的开发和利用，已成为信息化建设的核心。信息作为一种重要的资产，已成为大家的共识。其一旦损毁、丢失、或被不失当地曝光。将会给组织带来一系列损失。这些损失是我们不愿意面对的。因此信息安全越来越成为大家关注的热点问题。前国家科技部部长徐冠华曾经指出：“没有信息安全保障的信息工程一定是豆腐渣工程”。

所谓信息安全，是针对技术和管理来说的，为信息处理体统提供安全保护，保护计算机软硬件及信息内容不因偶然意外和恶意的原因而遭到破坏、更改和泄漏。信息安全包括实体安全、运行安全、信息(针对信息内容)安全和管理安全四个方面：

1)实体安全是指保护计算机设备、网络设施以及其他通信与存储介质免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。

2)运行安全是指为保障系统功能的安全实现。提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。

3)信息安全是指防止信息资源的非授权泄漏、更改、破坏，或使信息被非法系统辨别、控制和否认。即确保信息的完整性、机密性、可用性和可控性。

4)管理安全是指通过信息安全相关的法律法令和规章制度以及安全管理手段，确保系统安全生存和运营。

信息安全是一个多层面、多因素、综合和动态的过程。安全措施必须渗透到所有的环节。才能获得全面的保护。为了防范和减少风险，一般的信息系统都部署了基本的防御和检测体系，如防火墙、防病毒软件、入侵检测系统、漏洞扫描设备等等。这些安全技术和安全设备及软件的应用，在很大程度上提高了信息系统的安全性。但是这样做不能从根本上降低安全风险。解决安全问题。因为不能把信息安全问题仅仅当做是技术问题，日常所说的防范黑客入侵和病毒感染只能是信息安全问题的一个方面。一方面由于所有安全产品的功能都是针对某一类问题，并不能应用到所有问题上，所以说它们的功能相对比较狭窄，因此想通过设置安全产品来彻底解决信息安全问题是不可能的；另一方面，信息安全问题并不是固定的、静态的，它会随着信息系统和操作流程的改变而变化。而设置安全产品则是一种静态的解决办法。一般情况下，当产品安装和配置一段时期后，旧的问题解决了。新的安全问题就会产生，安全产品无法进行动态调整来适应安全问题的变化。有效解决上述问题的关键是搭建一个信息安全体系。建设体系化管理手段，通过安全产品的辅助，从而保障信息系统的安全。

二、搭建信息安全管理体系

(一)BS7799

信息安全管理体系是安全管理和安全控制的有效结合体，通过分析信息安全各个环节的实际需求情况和风险情况，建立科学合理的安全控制措施，并且同信息系统审计相结合，从而保证信息资产的安全性、完整性和可用性。国际上制定的信息安全管理标准主要有：英国标准协会制定的信息安全管理体系标准-BS7799；国际信息系统审计与控制协会制定的信息和相关技术控制目标-COBIT；是目前国际上通用的信息系统审计标准；英国政府的中央计算机和通信机构提出的一套IT服务管理标准-ITIL；国际标准化组织(IS01和国际电工委员会(IEC)所制定信息安全管理标准-IS0／IECl335。其中BS7799英国的工业、政府和商业共同需求而发展的一个标准，于1995年2月制定的、世界上第一个信息安全管理体系标准。经过不断的修订，目前已经成为信息安全管理领域的权威标准。其两个组成部分目前已分别成为IS017799和IS027001标准。BST799涵盖了安全所应涉及的方方面面，全面而不失操作性，提供了一个可持续发展提高的信息安全管理环境。在该标准中，信息安全已经不只是人们传统上所讲的安全，而是成为一种系统化和全局化的观念。和以往的安全体系相比，该标准提出的信息安全管理体系(SMS)具有系统化、程序化和文档化的管理特点。

(二)息安全管理体系(ISMs)

信息安全管理体系(LSMS)是组织整体管理体系的一个重要组成部分，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。基于对业务风险的分析和认识，ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动。IS027001是建立和维护信息安全管理体系的准绳，它一般是要求通过确定的过程来建立ISMS框架：确定体系范围，制定信息安全策略，明确管理职责，通过风险评估确定控制目标和控制方式。整个体系一旦建立起来，组织就必须实施、维护和不断改进ISMS，保持整个体系运作的有效性。

(三)ISMS搭建步骤

当一个组织建立和管理信息安全体系时。BS7799提供了指导性的建议，即遵循PDCA(Plan，Check和Act)的持续改进的管理模式。PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。对于搭建和管理信息安全体系，其PDCA过程如下：

1)信息安全体系(PLAN)

在PLAN阶段通过风险评估来了解安全需求，根据需求设计解决方案。根据BS7799-2。搭建ISMS一般有如下步骤：

A、定义安全方针：信息安全方针是组织的信息安全委员会制定的高层文件，用于指导组织如何对资产，包括敏感信息进行管理、保护和分配的规则和指示。

B、定义1SMS的范围：ISMS的范围是需要重点进行信息安全管理的领域，组织可根据自己的实际情况。在整个组织范围内、或者在个别部门或领域架构ISMS。

C、实施风险评估：首先对ISMS范围内的信息资产进行鉴定或估计，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行鉴定。

D、风险管理：根据风险评估与现状调查的结果。确定安全需求，决定如何对信息资产实施保护及保护到何种程度限(如接受风险、避免风险、转移风险或降低风险)。

E、选择控制目标和控制措施：根据风险评估和风险管理的结果，选择合适的控制目标和控制措施来满足特定的安全需求。可以从BS7799-1的中进行选择，也可以应选择一些其它适宜的控制方式。

F、准备适用性申明(SOA)：SOA是适合组织需要的控制目标和控制的评论，记录组织内相关的风险控制目标和针对每种风险所采取的各种控制措施。

2)实施信息安全体系(D01

在DO阶段将解决方案付诸实现，实施组织所选择的控制目标与控制措施。

3)检查信息安全体系(cHECK)

在CH ECK阶段进行有关方针、程序、标准与法律法规的符合性检查，对存在的问题采取措施，予以改进，以保证控制措施的有效运行。在此过程中，要根据风险评估的对象及范围的变化情况。以及时调整或完善控制措施。常见的检查措施有：日常检查、从其他处学习、内部ISMS审核、管理评审、趋势分析等。

4)改进信息安全体系(ACT)

在ACT阶段对ISMS进行评价。以检查阶段发现的问题为基础，寻求改进的机会，采取相应的措施进行调整与改进。

篇4

一、在企业内部开展档案信息安全管理的必要性

企业的档案信息记录了企业在生产经营过程中所有有价值的资料信息，不仅是企业发展历史的记忆，更是企业内部一笔隐形的宝贵财富。企业的档案信息包含了企业的核心机密，如设备、关键的技术资料等，都会对企业的生存和发展起到非常重要的作用，如果不采取有效地措施，落实档案信息安全管理，信息的泄露会对企业的发展产生极大的威胁，严重的话，甚至会影响整个企业的生存。落实企业的档案信息安全管理，就是采取有效地措施，有计划地进行档案安全管理，提升企业管理档案的水平，避免档案泄露给企业带来损失，为企业的长远发展提供保障。

二、现阶段档案信息安全隐患的表现

1.档案信息制度不健全

二十一世纪，档案的信息化发展迅速，然而档案信息化相关的安全管理制度却仍未建立起来，在某一个层面上就给了不法之徒钻空子的机会，不仅危害了档案信息安全性，也给企业、个人带来不可挽回的经济利益损失。例如，在利用档案解决问题时候，档案管理者如果觉得档案利用者提供问题具有典型代表意义，就可能将此问题纳入资讯库，如果档案管理者缺乏必要的档案信息管理保护意识，不对档案利用者的信息进行必要的处理，就有可能导致档案利用者的信息泄露，影响档案利用者基本权益。

2.档案的网络化、电子化管理

网络技术给档案信息的管理带来了一定便利，然而病毒、黑客的袭击却严重地破坏了档案信息的安全性。如果不法之徒利用木马程序侵入档案管理系统，就会导致档案信息数据的破坏，信息的篡改销毁会导致档案管理的混乱，有人提出了利用光盘、硬盘等介质为载体的档案存储管理方式，虽然在一定程度上降低了木马病毒和黑客的袭击，但是光盘、硬盘介质由于不稳定、易损坏、难保存、更新慢等特点，难以实现档案格式快速转化，进而导致档案数据丢失，不利于档案信息的安全管理工作落实。

3.档案管理威胁信息安全

档案的信息化管理对档案管理人员提出了更高的要求，管理者不仅需要丰富的档案管理知识，还需要对互联网、计算机的操作有一定的了解。其次，由于档案管理人员缺乏必要的档案管理技能，不了解档案管理相关的设备和软件，不熟练操作，甚至是错误操作都会破坏档案数据，损坏档案数据进而造成档案信息安全隐患。

三、档案信息安全管理策略

1.树立安全档案信息管理意识

在企业内部树立全体员工的档案信息安全管理意识，改变人们“档案信息管理”不重要的思想，只有保证企业员工具有档案信息管理的安全意识，才能确保他们时时注重档案信息的安全，也才能够保证企业的档案信息管理安全。

2.建立健全档案信息管理制度

建立相关的档案信息安全管理制度，强化企业内部管理，明确档案信息安全管理的责任体系，保证相关的管理工作顺利进行。根据相关部门资料显示，绝大多数的网络入侵案件都可以通过强化企业管理来有效避免，而大多数的档案信息丢失或损坏，都是由于工作人员操作计算机不当造成的。因此，企业必须强化档案信息安全管理制度的建设，组建专业的团队，确定团队的领导班子，完善信息安全责任体制，严厉奖惩措施，充分调动工作人员的工作积极性。

3.落实档案信息内容的安全管理

定期对企业内部的计算机进行全面的杀毒，保证相关的保护措施有效开启，尽可能的降低计算机病毒和黑客对档案信息的攻击。在进行档案信息管理的工作时，一旦涉及网页操作，一定要对计算机进行病毒的实时监控，过滤、阻止那些可能存在隐患的网页，为档案信息的安全提供保障。在涉及相关软件运行的时候，一定要做好杀毒监控工作，实时监控计算机的防火墙状态，以保证档案信息的安全。值得一提的是，为了保证档案信息内容的安全，应该对档案工作管理人员的行为作出一定的限制，如禁止管理人员随意使用U盘进行资料的拷贝，并督促档案管理人员进行档案信息工作的备份，提高档案信息的安全性。值得一提的是，除了上述三种措施以外，企业还可以利用安全可靠的档案管理技术，严格档案的管理措施来提升档案信息的安全管理。

四、结束语

篇5

【关键词】新安全观 大数据 网络信息安全 评价体系

1 引言

我国新安全观是以为核心的第三代领导集体根据当时国际形式提出“互信、互利、平等、协作”为原则的中国安全观。其具有丰富内涵与鲜明的特色，已被国际社会广泛接受和认可。新安全观在深化与完善阶段仍在与理论创新不断互动、磨合与有机统一。直至全球化不断发展的今天，当互联网技术已经覆盖了各个领域并产生深远影响的时候，特别是大数据背景下的信息量呈海量爆发时，网络信息安全管理问题成为中国新安全^环境下需首要面对的研究项目。

现有的网络信息安全控制体系中有很多信息安全管理的方法和策略，然而在面对大数据背景下的海量数据量时的能力明显不足。建立一套适应大数据背景的网络信息安全机制是当前网络信息安全管理研究的重点。本文通过对相关领域文献的收集与研究，从大数据背景下网络信息安全管理特点出发，提出了以安全控制三要素“人、环境、技术”为中心的控制模型，建立安全评价体系。技术路线为大数据环境下网络信息安全问题的提出相关概念控制要素控制机制评价体系控制策略。

2 基本理论

2.1 大数据的概念与作用特点

大数据概念指以计算机技术为基础的无法常规处理的操作数据，其出现表明了当前的信息技术的进化规模的庞大，需要采用更加高效、经济、智能的处理模式。

大数据存在数据规模巨大，数据海量的特性（Volume）、结构多样化，数据类型复杂特性（Variety）、有价值信息密度低特性（Value）、信息处理速度快特性（Velocity）、复杂性特性（Complexity）。简单来说即通过4V+C进行描述。大数据的作用总结为：

（1）新一代的信息技术的融合与应用的节点，即各网络技术的应用形态。

（2）信息产业发展的新途径，在信息服务领域会加快网络技术产业的发展。

（3）提升核心竞争力的关键因素，是保持社会稳定，加快经济发展，提升国家综合实力的重要手段。

（4）可改变相应的科学研究方法，如社会科学的基本研究方法的抽样调查不再具有普遍适用性。紧跟大数据时代特色成为学科发展新的方向。

2.2 网络信息安全的定义与特点

网络信息安全是一个全新的概念，还没有在各个国家之间形成统一的认知，自2001年联合国信息安全会议后，各国对网络信息安全的认识逐渐发展，达成共识的信息安全特征为信息的完整性、信息的保密性、信息的可用性、信息的可控性及信息抗否认性五个特征。我国的信息安全专家又将网络信息安全分解为环境、系统、程序与数据四个方面，即保证网络系统的软硬件与系统数据的安全。

网络信息安全与国家安全观中的政治安全、经济安全、军事安全息息相关而又不同于它们具有其自身独特特点，特点包括：

2.2.1 脆弱性

互联网的开放性决定了互联网是一个脆弱性的系统，开放程度越大脆弱性越高即安全性越低。主要表现在系统设计、维护等多个环节。

2.2.2 突发性

对网络信息安全造成突然性破坏的因素多是计算机病毒。计算机病毒具有破坏性、传播性、潜伏性、复制性和不可预测性，其突发程度能够迅速破坏或窃取系统中数据。全球性：互联网的互动与互联将全球一体化为“地球村”，互联网的完全开放特性使网络信息安全不分国界，不分地域。

2.3 目前网络信息安全控制机制与评价

目前的网络信息安全控制管理要素为：

（1）控制者，即网络信息安全管理者。

（2）控制对象，以人员、财务等资源为主要内容的信息数据库。

（3）控制手段与工具，管理者组织机构、原则、法规及管理方法等。在大数据背景下网络信息安全控制机制即是认定安全控制对象，组织管理者与工作人员针对网络信息安全问题进行有效分配任务，制定实用的管理规章制度的过程。

对当前网络信息安全控制的评价需坚持科学性原则。由于当前的大数据背景下的网络信息具有的综合特性，因此对其评价也应从全面性入手进行数据收集量化和简化评价。目前在评价方面的研究多为通过实践调查建立评价指标体系，该方法只能选择客观存在的评价指标而不能选择偶然因素影响下的指标。因此需要全面的选取指标以增大选取空间，还要量化评价因素最终才能够揭示事物的本来面目。

3 大数据与网络信息安全

3.1 大数据背景下网络信息安全问题的成因

大数据背景下的网络信息安全问题存在着安全事故趋势的上升、基础薄弱和时刻面临新挑战。其成因包括：

3.1.1 技术层面问题

技术层面问题又分为硬件设备缺陷和软件的后门及漏洞。网络战已然存在并屡屡发生，黑客利用漏洞与后门作为武器，使漏洞如军火一般大有市场，严重危害了网络的安全环境。

3.1.2 人员层面问题

人员的控制的影响是所有问题的根源，网络信息安全问题也是如此。从使用人员的安全防护意思，到技术人员的岗位责任心，到专业人员的钻空子，再到不法人员的非法获利都会对网络安全系统造成严重的危害，是影响网络信息安全的主体。

3.1.3 管理层面问题

网络信息安全管理制度与管理体系的不健全也会危及网络安全系数。表现为管理人员的不够重视、技术人员的麻痹大意、技术人员与使用者的教育及培训欠缺、监督机制的不完善。在新安全观背景下的网络信息安全已成为国家安全重要组成部分，所面临的形势相当严峻。对于我国基础薄弱的网络信息安全系统的建设是当前亟待解决的问题

3.2 针对大数据背景的管理机制构建要素

大数据背景下的网络信息安全具有以下特点，改变原有数据保护原则；巨大的价值诱惑引发数据有更大的安全隐患；技术发展将数据安全隐患进一步放大。我国相关法律的不健全使网络信息安全形势更加不容乐观。我国目前面临形势为大数据网络攻击危害巨大，用户隐私易泄露，存储存在隐患。根据以上特点难点，本文提出了控制职能的构成要三素“人员、环境、技术”，是对前文“控制者、控制对象、控制手段与工具”的职能要素进行的概括处理。大数据背景下的网络信息安全控制机制的建立将围绕这三要素展开：

3.2.1 将控制者开阔为网络控制人员，包括管理者本身和管理ο

针对我国目前网络信息安全管理工作现状与大数据的特殊性，首先需要网络信息服务提供商在处理用户数据的时候采取安全合理的操作流程，保护用户数据信息免受非法侵害。而服务提供商的运营行为需接受相关法律约束与监管，避免服务提供者在大数据利益驱使下对用户的主动侵害。同时，用户的个人信息知情权也应该得到有效维护，并在信息受到非法侵害时得到通知或警告。

3.2.2 将控制对象概括为“环境”，大数据背景下的网络环境包括网络设施、网络文化与网络政策性法律

网络设施的正常运转与维护是互联网运行的根本。面对大数据背景下的海量数据信息，降低存储成本、合理充分利用资源、构建存储于管理体系、挖掘计算机体系、升级网络设施、优化算法、提高系统吞吐率等一系列手段是保障网络信息安全的基础，健康的网络文化和完善的相关政策与法规保是网络信息安全控制机制的有效保障。

3.2.3 技术，是网络信息安全必不可少的要素

在大数据背景下安全技术首先从“防”做起，防火墙通过授权信息隔离内部与外部网络，具有防止作用。其次为“密”即数据加密技术，使数据在传输过程中的安全性得到一定的保障。再者为“控”即网络监控与检测技术，通过监控软件与监控硬件对外部入侵系统行为和无授权的内部用户行为进行处理。最后为“审”即安全审计技术，主要目的为：

（1）威慑警示潜在攻击者。

（2）测试系统控制情况，将其调整到与安全策略相一致。

（3）评估破坏事件程度，为恢复和追责提供依据。

（4）发挥系统管理员的协作作用。

3.3 根据管理机制要素建模

通过前文分析认为，大数据背景下建立网络信息安全管理机制模型应从“人员、环境、技术”三要素的角度出发。网络信息安全控制机制人员层模型如图1所示。

在网络信息安全管理机制中，网络信息安全问题的源头为网络用户的行为，而所要保障的也是网络用户的正当权益。因此人员处于核心地位，人员层为核心动力层。环境层则通过各种方式创造安全的网络环境，起到支撑作用。技术层则通过各种安全技术措施来构建防护层。在大数据背景下通过安全防护与实时监控两方面对信息安全进行控制管理，安全模型的构建也需要借助大数据信息安全技术以确保大数据下各个节点间安全通信。

4 结论

本文遵从国家新安全观的核心内容与实践要求，对网络信息安全的实际情况进行了分析调研。以大数据背景为着眼点，提出了大数据背景下的网络信息安全管理要素为“人员、环境、技术”，并提出网络信息安全管理机制，围绕三要素建立网络信息安全管理机制模型。分析验证了三要素对网络信息安全的影响作用，为大数据背景下的网络信息安全工作提供了理论指导和实践指导，为国家新安全观工作的开展提供了帮助。

参考文献

[1]刘海燕，黄睿，黄轩.基于主题爬虫的漏洞库维护系统[J].计算机与现代化，2014（08）：67-70.

[2]孙国瑞，华锦芝，刘思帆，等.实时风险评估模型的研究与实现[J].计算机科学与探索，2015，9（04）：462-474.

[3]黄国彬，郑琳.大数据信息安全风险框架及应对策略研究[J].图书馆学研究，2015（13）：24-29.

[4]Benaroch M，Chernobai A，Goldstein J.An internal control perspective on the market value consequences of IT operational risk events[J].International Journal of Accounting Information Systems，2012，13（04）：357-381.

作者简介

秦瑞峰（1982-），男，山西省临县人。硕士研究生。现为吕梁学院离石师范分校讲师。主要研究方向为网络安全。

篇6

关键词：网络；会计；安全；管理

会计信息的安全是指会计信息具有完整性、可用性、保密性和可靠性的状态，它来自于会计数据的完整和会计数据的安全，并保证会计信息的持续性和有效性。随着网络的发展，信息技术越来越多的渗透到会计领域，但传统会计软件的设计多是考虑从业务操作功能上满足会计实务的要求，对其安全性的考虑较少。会计信息化的辅助软件虽然具备了强大的信息安全技术，但是又易使人陷入技术决定一切的误区。迄今为止，网络环境下的多种安全技术尚未能够确保信息的安全性。企业只有从技术和管理两方面构建会计信息安全系统，充分考虑技术的持续有效性，重视对安全工程建成后的管理，才能最大限度地保障网络环境下会计信息的安全性。国际信息安全管理标准(ISO／IEC 17799:2005)对于信息系统安全管理和安全认证的分析表明，解决信息系统的安全问题不能只局限于技术。更重要的还在于管理。因此，要让安全技术发挥应有的作用，必然要有适当管理措施的支持。按照该标准(ISO/IEC 17799:2005)“制订自己的准则”的建议，探讨管理对于会计信息安全的重要作用，兼重管理和技术。对于真正实现会计信息安全目标具有重要意义。

一、目前会计信息安全的现状及研究

目前会计实务中的信息安全面临诸多问题。如会计管理越权、不相容岗位分工不清会导致会计信息的损坏：在网络环境下，伴随电子商务的发展而出现的会计数据载体无纸化使会计数据被篡改成为可能：网络本身的安全性问题，则可能会使会计数据在传输过程中受病毒、黑客的威胁等。目前国内被大量使用的传统会计软件主要是代替手工会计核算和减轻会计人员的计账工作量，本身的安全性设计相对较差，当其在网络环境下使用时，上述的某些问题就更加显著。据一份针对英国900家不同类型组织做的问卷调查，1999―2000年有超过一半的政府机构及2/3的民营组织，正面临信息科技的不法入侵、滥用甚至破坏。而对大部分组织而言，信息安全的问题尚无一个明确的解决方案。许多文献针对会计信息安全问题进行了研究，但大多集中在技术方面。如电子数据的存储加密技术、传输加密技术、密钥管理加密技术和确认加密技术、数字签名等。也有很多文献从不同的角度对会计信息安全的管理保障进行了有益的探讨。本文从内部控制，计算机软、硬件管理的角度，参考ISO/IEC 17799:2005推荐的部分控制措施，探讨了针对会计实务的信息安全管理控制方法，结合对信息安全技术应用的分析，阐述了会计信息安全管理系统的构建过程中需注意的几个薄弱环节。

二、会计信息安全管理

(一)内部控制

2002年美国FBI(联邦调查局)和CSI通过对484家公司的调查，安全威胁和安全事件研究统计表明：超过85％的安全威胁来自企业内部。本文先从企业内部分析网络环境下会计安全问题。

1、确保不相容岗位相分离。防止越权。管理越权、分工不清这些问题在传统会计模式下也会出现，但应用信息技术后，信息载体的无纸化等特点使此类问题更易出现且较隐蔽，多数文献指出，实行用户分级授权管理，建立岗位责任制，并赋予不同的操作权限，拒绝其他非授权用户的访问。对操作密码要严格管理，指定专人定期更换密码。在会计实务中可以推广应用生物识别技术，其具有更多优点，比如会计与出纳有不同的权限，拥有各自的密码，因为会计与出纳工作往来频繁，密码被对方获取的情况时有发生，影响了会计信息的安全性。而生物识别技术如指纹只能本人在场的情况下方可操作，并且不存在遗忘或丢失的问题。

2、保障原始数据安全性。信息来源复杂性、接触信息的部门和人员多样性，增加内部控制难度，使原始数据错误、信息篡改的风险加大。例如，原始凭证是进行会计核算的原始资料，是证明经济业务发生的唯一初始文件，有较强的法律效力。在网络环境下，有些原始凭证是通过网上交易取得。如电子单据、电子货币结算等网络经营业务。为使其与纸质原始凭证在安全性上达到同样的功效，多数文献提出的建议是利用网上公证技术及各种加密技术。但以磁(光)性介质为载体的凭证易被篡改或伪造而不留任何痕迹的问题是计算机及网络本身的缺陷，即使是采用了网上公证技术，其法律效力仍无法与印鉴相比，因此其安全性并不能超过纸质原始凭证，作为会计核算唯一凭据的原始凭证，其地位至关重要，所以网上交易完成后必须索要纸质原始凭证，以备核对、保留，尽可能确保会计信息完整性、可用性。

3、保障会计档案安全性。会计档案是唯一保存完整的会计历史资料，是核实已发生会计活动最重要的依据，信息技术应用于会计后，部分会计档案是以磁性介质存储的。若保管、备份策略和方法不合理，会形成会计安全隐患。例如，电子档案存储介质体积小、无纸化等特点与传统档案相比更易于被窃取或泄漏，所以管理人员必须持有上岗证。并且要经常进行档案法、保密法培训。在收集过程中要注意相关设备或软件的收集，使会计电子档案在将来任何时间都可查阅使用。企业备份电子档案的同时。应对已存档的电子档案定期检查、复制。电子档案的定期复制的时间应根据存储介质的性质而定，在不浪费成本同时保障会计档案安全。

2008年6月，财政部公布的《企业内部控制基本规范》第4章明确指出：“内部会计控制的方法主要包括：不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制……”有文献提出，将这些有效的内部控制方法、思想集成在软件功能中。单纯地依靠企业制定的内部控制制度来加以内部控制，当内部人员协同舞弊时，会导致内部控制制度的失效。将内部控制集成在会计软件中可以确保会计信息正确、安全。但将这些有效的内部控制方法、思想集成在软件功能中需要高素质会计人员及熟悉信息技术的人员参与，并且需要投入相当数量的资金。维护容易跟不上，因此现阶段对多数企业来说有一定困难，但资金、人员基础好的企业可以实施；并且要把基于PDCA(Plan，Do、Check和Act)的持续改进的管理模式应用其中。

(二)计算机硬件管理

PC客户端。数据存储设备，网络设备都会影响硬件系统安全。所以应制定主控机房和相应网络设备的管理制度，例如专

机专用。计算机机房充分满足防火、防潮、防尘、防磁和防辐射及恒温等技术要求，关键性的硬件设备可采用双机备份，硬件系统安全预警方案。同时采取相应的激励措施，把相应人员职责列入目标考核，与奖金相对应，提高其履行制度的积极性，确保计算机硬件安全。

(三)计算机软件管理

设计、开发的财务软件系统功能与用户实际操作不相适应，软件存在漏洞。软件售后服务不及时都会影响网络环境下会计安全。因此，在设计、开发和使用财务软件时，应重点考虑会计数据及会计软件系统自身的安全问题，采取的措施能有效确保系统安全运行。保障会计软件安全的具体措施有：

1、身份认证与权限控制。坚持多重登录和多重密码制。只有被赋予一定权限的人员、且密码核对吻合时才能进行相关业务操作，最好采用生物技术。 　2、软件升级必须慎重，与原系统有可兼容性，便于查阅往年会计电子档案。

3、定期备份计算机工作日志文件。

4、选择售后服务好、财政部推荐的会计软件企业的产品。

(四)人为因素的管理

现阶段。多数企业的会计人员业务经验丰富。而计算机专业知识和网络知识却知之甚少，不能很好地胜任计算机和互联网相关会计业务处理工作。复合型高素质人才的缺乏制约着信息技术在会计中的应用，部分网络会计人员虽然具备较高业务水平，但缺乏职业道德素质。他们凭借精通网络会计的优势进行非法转移电子资金和会计数据、泄密等活动。多数文献提出要加快调整现行会计教育体系，加大对现有会计人员关于网络会计知识的后续教育。同时由于现阶段我国会计人员不可能通过短期培训就成为复合型高素质人才，所以还要从实际出发，使信息技术逐步应用于会计，在现阶段辅助以传统手工会计，确保会计安全，如电子交易中原始凭证的确认与保留。

三、信息安全技术的应用

网络的开放性使网络易受攻击，网络的庞大性使病毒易滋生、传播，会计更易面临诸如泄密、黑客的侵袭而导致企业跨区域协同工作或与企业合作方网上交易时会计信息被盗或丢失等风险。计算机网络病毒的存在直接破坏系统内重要会计数据，使系统不能正常运行，影响会计数据和信息的安全性和真实性。给网络系统安全带来了极大危害。多数文献指出电子商务的信息安全在很大程度上依赖于技术的完善，这些技术包括加密技术、认证技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术等。但还应该注意以下方面。第一，采用以上技术的过程中需要花费一定的成本，一般情况下，费用是随着安全性的提高而增加的，所以在采用安全技术的同时要考虑成本收益因素。第二。破解安全技术的成本不需大于所保护会计信息的价值。如果盗取信息的人破解密码所花费的费用大于获得信息而得到的收益，将不会去截取信息。第三。好的系统和好的协议必须根据人的观念来进行设计。忽略易用性问题导致系统无法达到预期目标，安全功能非常难以理解，以至于用户无法正确使用，从而避开这些安全功能，或者完全不在使用该系统。第四。在网络本身存在种种安全性问题的情况下，要想保证会计的安全。在利用信息技术快捷的同时，在相当长的一段时间内仍要依靠印鉴来确保凭证、合同的有效性以明确经济责任。

四、结论

会计信息安全不仅依赖于会计信息技术的合理可靠应用。还依赖于一个完善的会计安全管理制度。既有的很多会计信息安全管理制度尚存一些薄弱环节，其完善是一个从实际出发的渐进过程。同时，会计信息技术在我国的应用也将是一个长期的过程，依赖于高素质技术人员的培训及各类相应配套设施的投资和建立。

参考文献：

1、潘婧，网络会计信息系统的安全风险及防范措施[J]，财会研究，2008(2)

2、谷增军，基于数据加密拉书的会计电子数据安全对策[J]，财会通讯，2008(2)

3、昊亚飞，李新友等，信息安全风险评估[J]，清华大学出版社，2007

4、李筱佳，会计信息化对会计实务的影响及对策[J]，财会研究，2009(6)

5、金丽荣，会计信息系统的安全控制措施[J]，科技资讯，2008(1)

6、尹晓伟IT环境下会计电算化内部控制研究[J]，会计之友，2008(11)

7、田志刚，刘秋生，现代管理型会计信息系统的内部控制研究[J]，会计研究，2008(10)

8、郝玉清，网络会计的信息安全问题及其防范策略[J]，北方经贸，2007(11)

篇7

1.1电子信息安全管理概念

从当前经济社会发展情况来看，信息安全问题主要来源于信息技术，随着信息技术在现代经济、社会生活中应用范围进一步扩大，其对经济、社会发展的影响也是十分明显的。人们很早就已经开始了对电子信息安全的研究，但从研究结果来看，单独依靠技术手段是难以实现电子信息安全管理的。例如，在当前电脑防护中，防火墙、网络安全控制系统被大范围使用，但电子信息安全现象依然屡见不鲜，对技术人员而言，为获得更好的电子信息安全管理效果，需要重点考虑防火墙安全策略设计以及其物理保护控制问题，通过适当的程序支持来充分发挥信息系统作用。总体而言，信息安全管理=信息安全技术+信息安全管理支持。

1.2电子信息安全管理模型分析

在当前电子信息安全管理模型设置中，主要坚持传统PDCA模式如图1所示进行优化，其具体内容为：①P（策划）：根据组织业务运足要求与相关法律，确定本次电子信息安全管理的范围与要求，并通过相应的安全风险评估，确定控制目标与方式，并明确业务持续性计划。②D（实施）：在安全管理实施过程中，技术人员根据既定的组织计划对所选目标进行安全控制。③C（检查）：根据质量控制目标与法律法规要求，监视、验证安全管理过程与信息系统安全系数，及时总结安全现象并收集其中参数变化信息。④A（行动）：根据检查结果，分析安全管理措施的有效性，并持续改进。

2电子信息安全管理风险评估

2.1风险评估概念及模型

2.1.1风险评估概念

风险评估的核心就是对风险源的分析，在电子信息安全管理中，风险评估的作用十分明显。以企业为例，企业电子信息安全问题表现是多方面的，并且相互之间的作用、联系各不相同，若不能正确认识各个安全问题对企业电子信息安全问题的影响，将会对企业造成大量损伤。而在进行风险评估后，所有影响企业电子信息安全的要素都将被罗列出来，并根据本企业的实际情况、类似企业情况等，判断易诱发电子信息安全问题的要素，确保后续电子信息安全管理的科学性。

2.1.2风险评估模型

风险评估作为一个系统性工程，其具备相应的理论基础，并能根据相关理论对风险进行评价，常见的原理形式主要表现为：大数定律、惯性原理、统计推断原理等。当前在风险评估模型设计中，已经被研发出很多成熟的模型，包括人们所熟知的基于时间的PDR模型、动态安全APPDER模型等。

2.2风险计算模型

在确定其风险内容后，要对其风险值进行计算。本文结合威胁识别的相关内容，确定其计算模型为：R=f（AWT）式中：R代表风险；A代表资产；W代表脆薄弱点；T代表目标主体所面临的风险现象。

3电子信息安全管理技术分析

3.1技术维

技术维的核心就是进一步强化技术手段的安全保障作用，其所涵盖的内容主要包括计算机系统安全、网络安全等。

3.1.1计算机系统安全

（1）硬件安全。在电子信息安全管理中，硬件安全主要处理设备故障对系统安全造成的影响，建立容错系统是硬件安全的关键。采用双机容错模式，两台计算机上设置相同的系统，分别设置两个服务器处理系统运行，保证在某台计算机出现故障后，另一台计算机能有效承担所有工作。同时，要针对系统重要运行设备设置电源，必要时可以对整个机房建立单独供电室，并以多种线路的方式提供电源。（2）软件安全。系统设置：以C++语言编写设备多串口控制驱动，并通过Java中的JNI技术显示系统调用。在条件允许情况下，在后台数据库建设中以Oracle技术实现系统构造，并通过传统的数据库建立模型进行构建，该技术的要点为：①在主程序中建设数据库，并实现数据库的链接；②通过SQL语言操作获数据，并根据既定的操作要求进行数据处理；③链接数据库。在经过上述三个环节处理后，即可建立一次连接数据库。但要注意的是，按照上述步骤建立的数据库只能接受低频次的操作要求，一旦频次过高，系统所面临的运行压力增大，最终影响系统运行效果。安全管理：在软件安全管理中，主要通过权限认证进行角色访问控制，以企业为例，对其安全管理内容进行确定。①角色分配：建立用户管理模块，该模块主要具备用户信息增加、删除、修改等功能，并建立用户管理员与一般用户。在系统功能实现中，将功能代码布添加至管理角色权限中，并保存操作数据；创建用户账号，使用户登录系统能浏览器权限内部的内容。②加入身份信息：系统登录过程中先查询相关用户是否存在，若提示用户存在，则按照其权限为其提供信息，并统计员工权限。

3.1.2网络控制措施

（1）安全协议：安全协议对电子信息安全性产生重要影响。目前，TCP/IP协议已经被广泛使用，但协议中依然存在漏洞。其改进措施主要为：修改、补充原有协议或在传输层与网络应用层之间设置安全子层。（2）网间隔离技术：网间隔离技术是一种成熟的网域连接技术，其具体技术内容表现为：①服务器。控制两个网域之间的直接通讯行为，所有防火墙外的计算机主要通过服务器实现访问过程。在此过程中，服务器能控制对方访问级别，根据防火墙要求控制对方访问行为，当对方访问行为超出限制范围时，服务器将会组织。②路由器与过滤器。路由器能通过特定端口控制过滤器数据，通过对其加以路由实现控制；过滤器能选择通过网络层数据包，并以数据包为基础，确定IP目标地址与IP源信息，判断数据包能否通过。

3.1.3信息保护措施

保密技术是常见的信息保护措施，其操作要点主要包括：①通过网络操作系统提供的保密技术进行保密处理；②重视对数据库信息保密。针对可读形式的数据库，需要控制数据库访问权限，必要时可以建立监控系统监督数据库浏览服务情况。针对安全服务器支持访问情况，采取强制控制措施，实现多级授权描述；③通过现代加密技术，实现信息重组，只有信息发送、接受双方才能还原原有信息。

3.2管理维

（1）计算机场地安全管理。计算机场地是整个信息系统的核心，要将主机房选址于日常安全管理作为整个工作的核心。在计算机场地选址中，要综合考虑地震、台风等多种自然因素对房屋结构的要求，施工过程应满足国家《计算机场地安全要求》的相关内容。在主机房设备环境控制中，重视防尘、防火处理。（2）信息系统资料管理。信息系统资料管理主要针对系统信息进行控制。这些需要保护的资料可分为两类：软件系统记录资料与系统设备档案。在管理过程中，技术人员根据上述资料的种类与使用范围对其进行整理。（3）紧急恢复管理。紧急恢复管理又被成为灾难恢复，是指灾难发生后迅速采取处理措施，以降低电子安全问题造成的损失。在紧急恢复管理中，应该以明确的保护等级为前提，计划内容主要针对具体应急方案，能清晰明了讲述恢复的方法与步骤。（4）设立信息安全检查表。信息安全检查表的主要功能是针对对象日常工作信息进行安全管理，在该检查表中，主要内容包括信息安全通知、信息安全检查工作、信息安全检查表格等。

4结束语

篇8

随着信息化时代的来临，人们的工作模式更加倾向于电子商务化。然而，电子信息安全管理问题亦是逐渐呈现出多样化。这为人们的工作和生活带来了很多的烦恼，甚至是经济上的损失。为此，加强电子信息安全管理质量已经刻不容缓。

电子信息安全管理中存在的问题

1 缺乏足够的信息安全防范意识

尽管我国的信息技术发展很快，但是，在电子商务方面还处于初期阶段，很多大规模、标准化的电子商务平台尚没有搭建起来。而在一些小型的电子商务平台，很多管理者认为自身遭受“黑客”攻击的可能性不大，所以，其常常存在侥幸心理，将更多的关注点放到了平台规模的扩大和系统功能开发上面。在这种思想的影响下，系统的信息安全管理能力相当薄弱，以至于常常成为攻击的对象。另外，还有很多管理者，对市场上的安全管理软件给予了绝对的信任，自己觉得只要安装了这些高新产品，就可以高枕无忧，但是，往往残酷的事实告诉他们不是这样的。

2 信息安全技术有所欠缺

目前，国内的信息安全管理技术已经取得了很大的进步，然而，相对于发达国家的信息安全防御与控制技术，还存在很大的一段差距。国内的自主研发技术无论是在经费上、还是人员上都存在很多不足之处。并且，大多数的技术研究机构都是过多地“借鉴”国外的先进技术。如此一来，国内的电子信息安全管理质量明显不高。

3 信息安全产品的鉴定缺乏科学、规范性

很多企业在电子信息安全管理方面，购置了大量的信息安全软件。这些软件在一定程度上能够有效地保证电子信息使用平台的安全。但是，其并不能绝对地保障信息安全。而且，在安全产品的鉴定方面，缺乏统一的鉴定标准，很多都是主观判断。

电子信息安全管理有效措施

目前，我国的很多企业在电子信息安全管理方面，普遍的“重技术，轻管理”，加之高层领导对信息安全管理的重视程度不足，以至于各项安全管理制度尚不完善。下面重点探索一些加强电子信息安全管理的主要措施。

1 构建完善的管理组织机构

电子信息安全管理组织机构主要包括了安全决策和执行组织。其中，前者的职能主要是负责管理框架的构建、安全制度的审批以及安全职责的分配以及监督。后者的主要工作是负责网络系统安全制度的拟定、制定的执行以及日常维护和业务培训等。如果是大型的电子商务平台或者集团企业，还可以聘请经验丰富的专家人员构成顾问组织。负责日常的业务咨询以及安全事件发生后的责任评估和调查等。

2 电子信息安全管理制度进一步完善

电子信息安全管理制度主要包括：（1）构建电子信息控制制度。在各个业务流程中，明确各业务人的权限，并将其纳入到内部控制制度当中，定期进行执行情况审核；（2）构建应急措施。在信息传递过程中，要对电子信息的记录、维护以及报告等环节进行有效监控。对数据文件进行定期备份。

3 提高安全方面的专业

目前，随着互联网的高度普及，安全技术的研发速度已经跟不上网络的发展速度，特别是在安全管理技术领域，而且，相应的技术人员也是严重不足。所以，要在电子商务规模不断扩大的同时，构建强大的电子信息安全管理队伍，提升安全技术的研究水平。

4 系统安全检测

病毒与黑客不断的变换着形式对系统进行着恶意的攻击，因此，技术人员要从多方位的技术角度对系统安全性进行检测。查看防火墙是否受到攻击；功能方面是否存在漏洞；密码设置的是否正确等，这些都需要技术人员认真的进行检测，稍有疏忽，就会受到恶意的攻击。

5 要建立保护系统的方案

系统的安全检测不能实时进行，这就需要建立系统安全防护措施。对于系统安全管理的复杂性，尤其是电子商务这个依靠网络平台的企业必须制定一套有效的安全策略，使系统的安全性进一步提高。只有建立了较为完善的安全策略，才能在系统受到攻击时，把损失降到最低。

6 定期进行信息安全管理培训

对有关人员进行上岗培训，建立人员培训计划，定期组织安全制度和规程方面的培训。通过教育和培训改变企业员工对信息安全的态度，使操作人员认识到信息安全对企业的重要性、企业安全规章制度的含义以及职责范围内需要注意的安全问题。

7 贯彻电子商务交易安全运作基本原则

包括职责分离、双人负责、任期有限、最小权限、个人可信赖性等。

结论

篇9

关键词：信息时代；信息安全；信息管理

1引言

国民经济的发展，带来的是科技的进步，得益于科技发展，信息技术在我国得到大范围的普及，如今我国已进入全民信息时代。信息时代下，大数据技术、云技术等信息交互技术成为时展弄潮儿。通过网络的搜索引擎、自媒体、电子商务等途径，个人的学习工作日趋方便，企业的生产和经营效率日趋提升。此外伴随“互联网+”在各行各业的深化应用，个人信息直接开始参与到社交、医疗等多个领域，在信息时代为人们带来便利的同时，人们的个人信息也推动了社会的信息化发展。基于以上背景，个人信息在网络中的传递，为不法分子提供了可乘之机，因此在信息时代下进行信息安全管理相关分析便显得尤为重要。通过分析，找寻提升信息安全的有效策略，提升人们在网络上的个人信息和企业信息安全，这也是当下信息时代应用互联网的人们的共同企求。

2信息安全的概念

信息安全是指信息网络的硬件、软件及系统内数据受到保护，不受恶意攻击和行为的破坏而损坏，保障系统正常持续运行，保障其内的信息传输不中断。PC端、移动端等载体的发展，进一步激发了互联网的深化发展。人与人之间的交互借助互联网突破了时间和空间的限制，沟通和交流变得前所未有的方便和快捷。信息传递的速度也是光速抵达，往往前一分钟黑龙江发生的大事件，后一分钟北京的人民便会知晓。信息时代下，除了人们获取信息的速度加快外，人们对信息获取的范围也极具提升。“两足不往门外迈，一眼看尽天下闻”成为现实，不用出门便可了解天下大事，可以知道远方纽约的天气状况，可以了解降息等相关的民生政策，许多疑问也可快速通过搜索引擎获取答案，信息技术正以不同的方式方便和改变着人们的生活。在人们使用信息技术获取信息的过程中，不可避免的会使用到个人信息进行授权，或者经由其他途径将自己的个人信息置于互联网之上，由于各种原因引发的个人和企业信息泄露，对个人和企业造成的损失是巨大的，因此需要通过宏观的策略和微观的技术手段来提升人们使用互联网的安全性，保障信息安全。

3推进信息安全工作的意义

3.1维持网络秩序的稳定与安全

人们使用互联网，从网络上获取各种各样需求的信息，人们也将个人的信息反馈到互联网上进行保存、传递、分享等。互联网的建设发展并非能够一直保持客观安全，互联网的维护工作由人来完成，网络安全工作需要进行实时维护，定期通过技更新术、补丁内容等维系互联网的稳定，不断的填补互联网中的漏洞，以防被有心人乘机而入，传播病毒或者窃取信息。推进信息安全工作，保障互联网秩序的稳定和安全，能够使互联网中存留的个人和企业信息不致泄露或者遗失，能够使互联网更好的为人们和企业服务，充分发挥互联网的便利性和快捷性。

3.2提升用户对信息安全的认知

开展和推进信息安全工作，通过网络宣传渠道等提醒人们对信息安全环境和信息安全传播加以重视。能够有效提升用户对信息安全的认知。通过宣传或科普，使人们能够基本了解信息在互联网中传播的规律，以及互联网当中存有的漏洞会对个人和企业信息造成泄露，从而对自己造成损失，由此加强个人和企业的互联网使用规范，能够有意识的去以规范个人信息安全行为带动全网的信息安全。

3.3维系社会安定，保障国民经济稳定

随着“互联网+”的深入发展，互联网与其承载的海量信息资源已经改变了各行各业的传统经营生态。一方面个人和企业经济收益与信息化时代挂钩，个人的知识产出、企业的消息传递、消息获取、技术革新等离不开信息安全，另一方面个人与企业的财务信息等同样处于互联网之中，存在于海量的信息之中，保障信息安全，就是切实保障个人和企业的财产安全不受侵犯。从以上两点来看，信息安全能够保障国民经济的可持续发展，也能够保障社会的稳定。

4信息安全面临的威胁

互联网以及大数据等技术的深化发展与应用，在为人们学习、生活、工作、生产等带来便利的同时，基于信息的传播原理，个人和企业的信息同样处在互联网和大数据的范畴之内，由于互联网技术存在的一些问题以及大数据技术的不够完善，信息技术的发展也带来了对个人隐私安全问题的威胁。具体来看，当今信息安全面临的威胁具体如下：

4.1个人隐私泄露

互联网和大数据时代，人们通过各种各样的信息平台进行信息资源的获取和交互操作，在这样的过程中，人们不可避免的会在这些平台上以个人信息录入的方式进行注册，便是在这样一次次操作的过程中，个人的身份证、银行卡、家庭住址、联系方式等信息代表的隐私，会由于平台信息的泄露而发生泄露，从而影响到个人隐私的安全，为个人带来极大的生活及财产安全隐患。这也是当今信息时代下，信息安全面临的最为普遍的一个问题，未来互联网和大数据等技术的发展，也要集中处理个人隐私泄露问题，通过不断及时填补互联网漏洞和完善大数据等技术来强化信息安全，确保个人隐私泄露的几率逐步下降。

4.2大数据技术的安全风险

大数据技术的应用，能够随时记录人们的阅读、购物、出行等喜好，省去了人们大量的选择时间，极大的方便了人们生活。同时大数据技术的使用还能帮助企业完成数据筛选、分析以及存储等多方面的需求，以便企业能够基于算法下的结果回馈，及时掌握市场动态和客户群体喜好，针对性的推出更加符合市场需求的产品和服务。大数据的技术应用广泛，但其存储技术却较为简单，通常采用的云端服务器存储模式一般为逐级分步法，这种存储方式在为个人和企业调用方面带来便利的同时，也由于结构简单而容易遭致黑客的轻击攻破，使内部存储的信息泄露，总的来说该主流存储方式方便由于，安全性不足。此外，当前大数据技术起步较晚，发展还不够完善，在信息采集的过程中往往无法一步到位，需要经过多个环节进行节点式的信息收集，收集环节的增多造成大数据技术使用的不便，同时提升了用户信息安全的风险。综上，大数据技术的使用，从目前来看无论是内部管理还是外部防御体系，在信息安全方面均有较明显的漏洞。

4.3智能终端的信息安全威胁

相比日趋成熟的PC端信息安全防护体系，信息时代下移动端的强势崛起，信息传递重心逐渐由PC端转向移动端，而移动端的安全防护体系比之PC端的信息安全防护体系要远远不如。移动端上有诸如微信、钉钉、QQ、地图、美团等一系列关乎着每一个个体身份、家庭住址、办公信息、联系方式等绝对隐私的应用。这些应用平台发生的信息泄露或者是由个人操作不当造成的信息泄露均会给个人的生活带来极大困扰。此外，移动端当中存储的信息、照片、视频等数据，同样容易发生泄露，因此人们需要加强对智能终端的信息安全防护。

5信息时代下信息安全防护策略

信息时代下，信息安全防护的工作不仅仅是信息安全管理人员应当重视的问题，它同我们每一个人都息息相关。信息技术因提供信息的便捷和信息的丰富为人们学习、生活、工作、生产等带去了极大便利的同时，因云端服务器结构、系统漏洞的客观问题会导致人们的信息发生泄露，因大数据技术发展不完善、防护措施体系不健全等外部人为管理原因会导致人们的信息发生泄露，最后因为个人信息安全意识薄弱和部分不法分子的存在同样会加大我们信息安全的风险。因此信息安全的防护策略要从以下几个方面着手：

5.1建立健全相关法规

信息时代下，基于互联网用户的增多，互联网相关的企业也在逐步的扩张。信息时代的快速发展，对经济建设的发展提供了有力帮助，同时也对人们的生活造成了深刻的影响，个人信息同互联网行业间的交互每时每刻都在发生着，包含个人的身份信息、联系方式、家庭住址、消费能力、收入水平、朋友圈等的个人信息，互联网企业的获取难度较低，因此有些不良企业以及外部的一些黑客通过出卖用户个人信息进行牟利或直接应用个人信息进行诈骗的事件层出不穷。相应的国家立法层面，当前的相关法律对危害他人信息安全行为的法律法规不够健全，法律完善的速度远远不及信息时展信息安全受侵害事件类型的增长速度。因此需要国家在未来的日子中，在深入了解网络行业发展现状以及危害信息安全典型事件后，并针对未来可能产生的新的一系列危害信息安全的行为进行法律的完善，同时也需要监督部门加强监督执法，从而保障个人和企业的信息安全。

5.2技术完善

人们通过信息技术进行信息内容的获取，同时也借助网络平台，实现的信息内容的传递和交互，通过网络平台将分布在不同时间和空间的人们连接到了一起，实现了零距离的沟通和交流，同时实现了零等待的信息传输，从而为人们的生活带去了便利。就在这样一个共享网络平台的使用过程中，发生的某些信息传递行为，不经意间自身包含身份、联系方式、银行账号等隐私信息会随之泄露，引发信息安全问题。此外，受限于互联网技术的不够成熟以及大数据等技术的不够完善，在信息传递和交互的过程中，部分不法分子会通过技术手段，找寻平台当中的技术漏洞，有目的的窃取用户和企业的隐私信息用以牟利。因此需要从技术层面加强信息安全，具体包含以下几个方面：

5.2.1加固网络节点，保障数据安全针对信息传递和交互在互联网中的各个节点进行防护，重点对服务器、交换机等进行加固，根本防护目的在于保障信息在传输过程中能够不会泄密。此外，大数据的长期传输会对网络中的各个节点造成严重的数据负担，因此要适时的更换或进阶各个节点的软硬件设施，提升各节点的数据处理能力。保护信息安全，保护数据不被窃取的首要前提是数据传输的效率能够保障。

5.2.2革新防火墙技术加强防护信息数据的传递均为虚拟数据的传输，对这些虚拟数据的传输和过滤，需要在本地网络中设置网络防火墙，以防火墙来阻隔那些网路中的不良信息和可能隐藏着的病毒文件。此外，防火墙还能够针对计算机本身防止端口泄密，以及当计算机发生被恶意攻击时能够迅速的启动防护程序，组织不良程序对计算机信息内容的窃取，保障核心数据不至泄露。新一代的防火墙技术的应用，可以针对应用识别、应用策略、网络安全策略、终端识别与审计这四个方面的内容进行提升。加强各项协议的理解，可以准确高效解析各式协议;更加高效的行为检测，可以精准识别网络流量的应用类型以及行为，由此规避黑客应用程序的攻击。

5.2.3建立额外的云备份数据建立额外的云备份数据适用于信息时代下的大数据技术应用层面，通过及时的检查和定期的备份本地存储在云端的数据，在数据被盗用的预警信息发出警报后，如果采取防卫措施无法有效组织个人信息的泄露，便要及时通过数据重置的操作强制停止不良程序和文件对计算机及网络系统的侵害。此外，云备份数据还能够对存储系统本身引发的存储障碍造成的信息遗失进行弥补。

5.3用户要加强个人信息保护意识

信息时代下保障信息安全，除了要依托外部的保障措施，用户也需要加强个人信息保护意识。目前的信息平台中，信息内容鱼龙混杂，网站品质良莠不齐，不乏有一些恶意钓鱼网站的存在。用户在信息获取的过程中，对这些恶意钓鱼网站和非法网站要具备基本的鉴别意识和能力，避免登入这类网站引发个人信息的泄露。同时应用杀毒软件定期对个人电脑、办公电脑等进行病毒查杀，尤其是在需要输入账号和密码前更应保障网络环境的安全。通过日常规范的互联网操作，可以有效规避信息获取和互动过程中可能遭遇的信息安全风险。

篇10

信息安全是指计算机网络系统中的硬件、软件和其他数据等不受非法用法的破坏，主要指未经授权的访问者无法使用访问数据和修改数据，而只给授权的用户提供数据服务和可信信息服务，并保证服务的完整性、可信性和机密性。电力信息安全是指供电系统中提供给用户或公司内部员工的数据是安全的、可信的。供电公司管理系统是个繁杂的系统，涉及用电客户和公司内部员工及第三方托管服务公司，系统的信息安全一直是公司发展的瓶颈。正确评估供电公司信息安全系统的合理性和安全性，针对安全风险进行分析，最后制订供电公司信息安全的策略非常重要，也是至关重要的。

2供电企业信息安全的影响因素

尽管供电公司投入了大量的财力、物力建设电网信息安全系统，但供电企业内部网络仍不健全，存在许多安全隐患。另外，供电公司信息化水平不高，信息安全保障措施薄弱也制约了其信息安全系统的建设。要构建一个健全的供电公司信息安全保障体系，就要首先分析供电公司信息安全的影响因素，对症下药，进一步提出供电企业加强信息安全管理的对策。

2.1不可抗拒因素

所谓“不可抗拒因素”，就是由于火灾、水灾、供电、雷电、地震等自然灾害影响，供电公司的供电线路、计算机网络信号、计算机数据等受到破坏，并威胁到供电公司的信息安全。

2.2计算机网络设备因素

供电公司计算机系统中使用大量的网络设备，包括集线器、网络服务器和路由器等，其正常运行关系着供电公司内部网络的正常运行，而计算机网络设备的安全直接关系着供电公司的正常运行。

2.3数据库安全因素

供电公司计算机系统监控用户峰值，管理用电客户信息及其他用户缴费等情况，计算机数据库的系统安全决定了供电企业的调度效率，也决定了供电公司公共信息的安全。供电公司应该使用专用网络设备，确保企业内部网络与外部互联网的隔离。

2.4管理因素

供电公司员工的业务素质和职业修养参差不齐，直接影响到供电公司的网络安全。供电公司应该建立过错追究制度，提高员工的信息化素质，有效防止和杜绝管理因素造成的信息安全问题。

3供电企业加强信息安全管理的对策

3.1提升员工信息安全防患意识

开展信息安全管理工作，并非仅仅是系统使用或者管理部门的事，而是企业所有职工的事，因此，要增强全体员工的信息安全和防患意识。通过采取培训和考核等有力措施，进一步提升全体员工对企业信息安全的认识，让信息安全成为企业日常工作业务的一个组成部分，从而提升企业整体信息安全水平。

3.2采用知识型管理

传统的安全管理大部分采取的是一种硬性的管理手段。在当今知识经济的时代，安全管理应当以知识管理为主，从而使得安全管理措施与手段也越来越知识化、数字化和智能化，促使信息安全管理工作进入一个崭新的阶段。

3.3设置系统用户权限

为了预防非法用户侵入系统，应按照用户不同的级别限制用户的权限，并投入资金开展安全技术督查和安全审计等相关活动。信息安全并非一朝一夕就能完成的事，它需要一个长期的过程才能达到较高的水平，需建立并完善相应的管理制度，从平时的基础工作着手，及时发现问题，汇报问题，分析问题并解决问题。

3.4防范计算机病毒攻击

加速信息安全管控措施的建设，在电力信息化工作中，办公自动化是其中一项非常重要的内容，而核心工作业务就是电子邮件的发送与接收，这也正是计算机病毒一个非常重要的传播渠道。因此，必须大力促进个人终端标准化工作的建设，实现病毒软件的自动更新、自动升级，不得随意下载并安装盗版软件；加强对木马病毒等的安全防范措施，对用户访问实施严格的控制。

3.5完善信息安全应急预案

严格规范信息安全事故通报程序，对于隐瞒信息事件的现象，必须严肃查处。对于国家和企业信息安全运行动态，要及时通报，分析事件，及时信息安全通告。对于己经制定的相关预案和安全措施，必须落到实处。另外，还要进一步加强信息安全技术督查队伍的建设，提高信息安全考核与执行的力度。

3.6建立信息安全保密机制

加强信息安全保密措施的落实，禁止将计算机连接到互联网及其他公共信息网络，完善外部人员访问的相关授权、审批程序。定期组织开展信息系统安全保密的各项检查工作，切实做好文档的登记、存档和解密等环节的工作。

4结束语

篇11

随着全球信息化建设的高速发展，网络中接入信息基础设施的数量不断增加，信息系统软件建设水平日益提高和完善，计算机网络信息的安全问题变得日益突出。人民防空是国防的重要组成部分，人防指挥网络的安全性尤为重要。如果不能很好解决存在于人防计算机网络中的安全隐患问题，将会引起人防泄密事件和网络被攻击事件的发生，更会严重影响到作为高科技作战辅助手段的计算机网络技术在人防信息化建设中的推广和应用，甚至会成为人防未来信息化战争中的“死穴”，直接影响人民防空战争行动。分析现阶段人防的网络安全存在的问题，并找出相应的对策，对当前人防计算机网络安全的建设和发展及把握未来战争形态具有十分重要的意义。

一、现阶段人防计算机网络存在的问题

（一）计算机网络安全技术问题

1．长期存在被病毒感染的风险。现代病毒可以借助文件、由文件、网页等诸多力式在网络中进行传播和蔓延，它们具有自启动功能，“常常”潜入系统核心与内存，为所欲为。计算机经常受感染，它们就会利用被控制的计算机为平台，破坏数据信息，毁损硬件设备，阻塞整个网络的正常信息传输，甚至造成整个人防计算机网络数据传输中断和系统瘫痪。

2．人防信息在网络中传输的安全可靠性低。隐私及人防信息存储在网络系统内，很容易被搜集而造成泄密。这些资料在传输过程中，由于要经过许多外节点，且难以查证，在任何中介节点均可能被读取或恶意修改，包括数据修改、重发和假冒。

3．存在来自网络外部、内部攻击的潜在威胁。网络无防备的电脑很容易受到局域网外部的入侵，修改硬盘数据，种下木马等。入侵者会有选择地破坏网络信息的有效性和完整性，或伪装为合法用户进入网络并占用人量资源，修改网络数据、窃取、破译机密信息、破坏软件执行，在中间站点拦截和读取绝密信息等。在网络内部，则会有些非法用户冒用合法用户的口令以合法身份登录网站后，查看机密信息，修改信息内容及破坏应用系统的运行。

（二）信息安全管理问题

对安全领域的投入和管理远远不能满足安全防范的要求。而且安全上出了问题，又没有行之有效的措施补救，有的甚至是采取关闭网络、禁止使用的消极手段，根本问题依然未得到实质性的解决。

二、加强人防计算机网络安全的对策

解决人防计算机网络中的安全问题，关键在于建立和完善人防计算机网络信息安全防护体系。总体对策是在技术层而上建立完整的网络安全解决方案，在管理层而上制定和落实一套严格的网络安全管理制度。

（一）网络安全技术对策

1．建立人防网络的权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。可以根据访问权限将用户分为3种类型：特殊用户（系统管理员）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。

2．建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台；设置服务器登录时间限制、非法访问者检测和关闭的时间间隔；安装非法防问设备等。安装非法防问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障，也是控制进、出两个方向通信的门槛。目前的防火墙有3种类型：一是双重宿主主机体系结构的防火墙；二是被屏蔽主机体系结构的防火墙；三是被屏蔽主机体系结构的防火墙。流行的软件有：金山毒霸、KV3000+、瑞星、KILL等。

3．建立档案信息加密制度。保密性是计算机系统安全的一个重要方面，主要是利用密码信息对加密数据进行处理，防止数据非法泄漏。利用计算机进行数据处理可大大提高工作效率，但在保密信息的收集、处理、使用、传输同时，也增加了泄密的可能性。因此对要传输的信息和存储在各种介质上的数据按密级进行加密是行之有效的保护措施之一。

4．建立网络智能型日志系统。日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中，日志将记录自某用户登录时起，到其退出系统时止，这所执行的所有操作，包括登录失败操作，对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户和执行操作的机器IP地址、操作类型、操作对象及操作执行时间等，以备日后审计核查之用。

5．建立完善的备份及恢复机制。为了防止存储设备的异常损坏，可采用由热插拔SCSI硬盘所组成的磁盘容错阵列，以RAID5的方式进行系统的实时热备份。同时，建立强大的数据库触发器和恢复重要数据的操作以及更新任务，确保在任何情况下使重要数据均能最大限度地得到恢复。建立安全管理机构，安全管理机构的健全与否，直接关系到一个计算机系统的安全。

（二）网络安全管理对策

1．强化思想教育、加强制度落实是网络安全管理上作的基础。搞好人防网络安全管理上，首要认真学习有关法规文件和安全教材，增强人防指挥网络安全保密观念，增长网络安全保密知识，提高网络保密素质，改善网络安全保密环境。还可以通过举办信息安全技术培训、举办网上信息战知识竞赛等系列活动，使广大职工牢固树立信息安全领域没有“和平期”的观念，在每个人的大脑中筑起人防网络信息安全的“防火墙”。

2．制定严格的信息安全管理制度。设立专门的信息安全管理机构，人员应包括领导和专业人员。按照不同任务进行确立各自的职责。根据人防的特点制定系列的规章制度。并规定指挥系统计算机不得随意安装来路不明的软件、不得打开陌生邮件，对违反规定的进行处理等等。

篇12

【关键词】企业；数字化；档案；管理

一、提高安全意识

在民营企业发展中，为了实现档案信息的数字化管理，需要领导提高安全意识。在一些企业中，受思想观念的制约，一些管理人员还在使用传统的方式。工作人员未掌握先进文化知识，导致安全管理工作面对较大问题。为了制约该现象的产生，在民营企业发展过程中，需要做好积极宣传与引导工作。如：利用电视、讲座、广播等方式实现教育宣传工作，为企业员工传授相关的法制知识。通过档案信息安全管理工作的数字化宣传工作，能够让企业人员增强安全意识，构建坚固的思想防线。在宣传工作中，还要将利益发展和安全作为主体，保证能够将数字化档案信息安全管理工作完好发展。在工作具体执行期间，还需要根据数字化档案信息安全工作执行期间的实际情况，实现统筹性规划，分项目实施。在企业积极引导下，明确人员的责任和意识，保证专业人员都能积极参与到档案信息安全管理工作中，从而实现民营企业数字化档案信息的安全发展。

二、健全法律法规

加强法律法规的完善性，保证数字化档案信息安全管理工作的规范执行。在该执行期间，需要从法律法规角度对其进行研究，基于信息化时展需要，为民营企业的档案信息安全管理工作营造良好的发展氛围。执行过程中，需要根据信息化发展要求、档案信息的主要特征，为其制定完善的法律法规。在该体系执行时，不仅能加强民营企业数字化档案信息管理工作的规范化，实现信息的开放性发展，还能保证民营企业档案信息完整、真实使用。在现代化发展背景下，民营企业面临较大的挑战，为了提高档案信息管理能力，还需要建立完善的管理制度，分析数字化档案信息安全管理工作中存在的一些影响因素，保证制度的有效执行，保证在具体实施工作中，能够将安全理念渗透到企业档案信息管理工作中去。在实施工作中，还要为数字化档案信息管理工作提供备份制度，其中，需要包括登记、异地使用制度等。不仅如此，还要促进数字化档案开放工作的执行期间，保证能够开放一些信息。还需要为档案信息的数字化管理建立维护制度，促进管理工作流程的规范发展，保证工作中各个环节的人员职责都能充分落实，实现任务分布明确，职责合理等，在不同岗位上，遵循不同的工作事项和流程，这样才能使档案信息管理工作符合新时期的发展要求，维持民营企业的健康进步。

三、利用先进手段

在民营企业不断进步与发展的背景下，为了提升数字化档案信息安全管理水平，需要引进先进执行手段。先进手段的引入能够为民营企业的档案信息管理工作提供有效保障，在内部管理工作中，需要相关部门根据自身的发展条件，借鉴一些成功经历，引入有效的数字化档案信息安全软件，促进信息安全设备的有效配置，保证企业在数字化档案管理工作中，提高其中的技术含量。不仅如此，在具体执行期间，还需要根据企业建立的数字化管理系统化，分析运行的实际情况，对计算机的硬件和软件进行优化选择，提高其使用性能。在对计算机软件与硬件进行选择过程中，要重视计算机的品牌和服务器，以全方位的角度对计算机硬件的兼容性、可扩展性进行思考、严格审核，在该工作中，不仅能避免产生数据丢失现象，还能实现计算机系统的优化升级。并且，还需要为其设置信息访问认证工作，开发防病毒软件，为数字化档案信息执行加密工作，这样不仅能防止数据信息被非法侵入，还能促进数字化档案信息的安全管理。

四、提高人员素质

提高工作人员的自身素质，增强工作人员的业务能力，能够为数字化档案信息安全管理工作提供保障。保障信息安全使用的主要因素是人，所以，提高工作人员的综合素质与业务水平十分重要。在当前网络发展环境下，为了促进数字化档案信息管理工作的有效执行，工作人员的能力高低与其存在较大关系，因此，需要提高管理工作人员的文化知识，引导他们掌握先进技术的利用方式，学会对计算机进行熟练使用。还要认识到档案信息管理知识的重要性，尤其在数字化发展趋势下，要实现理论与实践的充分结合，提高自身的安全意识，在工作中具备警惕意识，这样才能对安全风险进行有效防范。基于该情况的分析，在民营企业逐渐发展时期，提高工作人员与管理人员的业务能力和自身素质十分重要。尤其在数字化发展趋势下，不仅能为档案信息管理工作提供保障，维护执行工作的安全性，还能提升民营企业的地位，进而使其获得更高效益。

五、总结

对民营企业实现数字化信息管理工作，改变传统的发展趋势，保证其符合新时期的发展要求，一定要形成正确的管理意识，增强自身的安全理念和文化水平，在高速发展趋势下合理利用数字化管理方式，保证能够符合现代化社会发展的需求.

【参考文献】

[1]靳树梅.企业数字化档案管理工作的实践与思考[J].无线互联科技,2013(8):194-194.

[2]李春临.浅析企业数字化档案管理的优势[J].中国化工贸易,2015,7(16):307.

[3]喻丹.内容管理的企业数字化档案管理系统研究与应用[J].东方企业文化,2014(16):272-272.

篇13

关键词：数据时代；档案；信息安全；管理；分析

随着档案数量的不断增多，纸质档案的利用率大大缩减，计算机，网盘，网络数据库的应用方便了数据的录入及查询，面对越来越庞大的数据库，虽然也根据社会的需要进行合理的整合，但其安全问题却存在很多隐患，进步带来的。

1 “大数据”时代有关档案信息安全问题概述

1.1 计算机网络安全不稳定问题

计算机是人们日常生活中都会使用的一样工具，起着帮助人们学习娱乐和生活的作用，但它的安全性一直都不能得到保证，而大数据时代，数据的传输、数据的储存、数据的查阅都离不开计算机，这样就给档案的信息安全带来了隐患，虽然现代计算机和网络不断的在进步，但依然存在很多安全问题，因为网络环境错综复杂，计算机的硬件虽然及时更新，但也抵挡不住网络上的人为攻击，比如黑客和一些不法分子，利用病毒的入侵获取档案资源和各种信息数据，给档案资料库带来严重的损失，导致档案资源被泄露，网络管理系统崩溃的现象。

1.2 信息存储安全问题

在改变传统档案储存的纸质结构后，我们使用最多的就是电脑磁盘，光盘，硬盘储存，虽然给信息的储存带来方便，提高了档案的便携性，但是和纸张对比说，电子产品的寿命并不是永久的，它有一定的磨损率，在耐用性上面也不是很乐观，对储存的环境要求也相当的高，在不适的环境中，有时候一杯水，或者一次磕碰都会带来不可挽回的数据损失，如今科技发展快，生产计算机的商家因为竞争关系，几乎每天都在有所变化，我们固有的档案资料储存框架格式在计算机新科技的不断更新中，可能会失效无法操作更改，数据库的升级跟不上计算机的脚步，导致很多档案的信息变成乱码、破损甚至丢失。

1.3 非法访问问题

从前的档案安全管理，因为是档案的实体性，只需要提防有不法分子偷偷进入档案馆窃取档案信息资料，或严格规定档案管理者提取档案必须进行登记和写清详细情况便可，现在的档案管理与网络对接，网络的范围之大，背后的每个网民都可以使用其资源，用计算机进行操作，非法访问数不胜数，网络上的不法分子通过网络对档案资料库进行攻击，从而窃取其中的档案信息，有些重要的档案信息也在其中不保，非法入侵的频繁得手，究其原因，主要是因为管理人员有些对计算机操作不熟练，电脑不安装杀毒软件，防火墙未开，管理系统的密码过于简单，权限用户的分配不合理，等诸多问题。导致不法分子可以轻松攻破电子档案数据库，随意对其中的档案资料进行更改、窃取、阅读，在防治非法访问的问题上，也采取了办法，但也都只是可以坚持一段时间，不能长远防治，防治在进步，黑客等不法分子的手段也在跟着变化，目前我国对彻底抑制网络攻击还没有研究出完全的办法。

1.4 风险的种类

1.4.1 自然环境风险。计算机机房不符合规范要求，存在环境风险因素。

1.4.2 硬件系统风险。网络、服务器、客户端、存储设备等损坏、故障、老化风险。

1.4.3 应用系统风险。应用系统架构、应用系统功能、应用系统性能等方面，不完备、设计存在缺陷。

2 提高“大数据”时代档案信息安全的手段

2.1 制定目标，减少风险

在“大数据”时代，明确我们要运用档案来做什么，只有明确了目标，才能高效地进行档案管理，妥善保留有用的档案信息，销毁没用的档案信息，从而有效地节省查找档案信息的时问。确定了目标，才能把人力资源和时问资源利用在有用的档案信息的查找和管理上，以提高服务质量。此外，还应该把档案信息安全分类管理，可以将档案信息管理安全分为档案数据采集安全、档案信息管理系统安全、档案数据提供利用安全，设立专门的档案部门，安排专门的档案人员负责各个档案部分的管理工作，每个环节都设立问责制，以提高档案信息安全管理的质量和效率；在“大数据”时代，由于数据内容过于庞大，造成了档案信息失真和不规律，一些错误的信息参杂进来使信息混乱，这对于档案信息数据分析人员来说无疑是一个很大的挑战，这就要求档案信息数据分析人员在检验和查询时要注意信息的真实有效性。因此，在收集档案大数据信息之后，档案管理人员应该积极进行分析和效验，成立不同的数据模型，将数据分类存放，删除不准确的档案信息，确保保管的档案信息真实有效。

2.2 掌控“大数据”进展，随大数据的发展而发展

运用“大数据”信息改变了各行各业的运营模式的同时，也提高了工作效率。“大数据”时代的信息具备数据量大、运作速度快、更新速度快的特点，当然还具备随机性和复杂性，一般以文字、音频、视频为载体进行储存和传播，但是很多文字、图片、音频、视频会出现格式不符的问题，这是一大挑战，信息的传递应该更具便捷性。随着人们对信息的处理工具要求更高，档案信息应该不断借鉴“大数据”中非结构化数据库的处理方法，应避免因为非内容性问题导致的档案信息流失的现象。

2.3 建立档案数据库，保证档案信息安全

保障档案信息安全的最重要内容是完善信息数据库的建设，用户通过网络信息平台进行交流和沟通，在“大数据”时代，信息数据库的信息内容直接关系到档案信息是否安全。由于档案信息具有数量繁多、种类繁多、构造复杂等特点，增加了建设档案信息数据库的难度，档案管理人员对于数据库的精准筛查是保障数据库准确性、稳定性和完整性的前提条件。此外，建立档案数据中心也是保障档案信息安全的必要手段，随着档案数据信息的累计，档案数据问题的不断涌现，以往的档案数据中心由于设备落后、空间狭小、监控缺乏，己不足以支撑档案数据信息的安全，因此，档案数据中心的建立应该以运用现代化技术为标准，以提供快速化、自动化、管理集中化的服务。

结束语

档案的信息安全工作，在大数据的时代下，显得十分重要，档案信息安全工作从不是一蹴而就的，它需要在多方面的下，长久坚持阵地，在管理工作上制定上完善的管理机制，工作人员在档案的安全信息管理方面认真负责，只有这样才能提高整体数据库的管理，不能在出现安全问题时才想到挽回，确保档案信息安全的稳步向上发展路线，循序渐渐的完成，慢慢积累出安全问题的对策，长久的坚持才能做到更好。

参考文献

[1]陈洋华.档案数据管理与信息分析管理[J].企业改革与管理，2015（23）.

篇14

【 关键词 】 IT 项目；信息安全管理；措施

The Analysis of Information Safety Management for IT Program

Lin Ting

(Chaina Unionpay Data Services Co.,Ltd Shanghai 200001)

【 Abstract 】 Based on the information safety management of IT program in the confidential engineering, the analysis scope of information safety is defined, and the risk of the program is researched. According to the study, the control measurement is established so that it is effective to control and reduce the risk for the safety of information system.

【 Keywords 】 IT program; information safety management; measurement

1 引言

公司与军方合作比较广泛，有一个关于武器设计的项目。由于项目的特殊性，整个项目的安全要求高，本着“安全第一，应用第二”的原则，对内部网络的建设从发展的眼光出发，将前瞻性与实用性相结合，在分析信息系统风险的基础上，制定出信息系统风险应对措施，进行风险控制，降低信息系统的风险，保障信息系统的安全。

2 安全需求分析

2.1 信息安全范围需求

确保整个系统在建设之中和建设之后的维护的安全性同，所涉及的范围包括内容有：1）信息，包括数据、资料等; 2）硬件、软件；3）环境及支持设备；4）参与人员的管理；5）网络通讯设备；6）存储设备。

2.2 信息安全优先级需求

按由高到低的顺序，依次是关键岗位人员的管理、重要信息、存储信息的存储设备、网络通讯设备、服务、软件、硬件、环境支持设备。

3 风险识别与分析

风险识别与分析从潜在的危险和系统的安全威胁等方面进行。

3.1 潜在的威胁

潜在威胁主要来自内部和外部。其中来自内部的犯罪主要是其一：纯粹出于经济目的，或其他目的，利用自己可能的手段窃取信息，破坏信息系统;其二则是在外部罪犯的指使、收买下，在可能获得外部技术支持的情况下，对信息系统实施攻击。信息网络系统对两种内部人员的犯罪都应有所防备；该项目信息安全保密实施的重点是防止系统的破坏和信息的损失。

3.2 系统的安全威胁

该单位系统与外界是物理隔离，所以通信数据被窃听的概率很小。但仍然存在如下威胁:非法访问、电磁泄漏、假冒;抵赖、破坏网络的可用性、失误操作、病毒侵害、自然灾害和环境事故、电力中断。

4 风险响应规划

根据上面风险识别与风险分析结果，制定以下风险应对措施。

4.1 信息传输与存储方案

该单位信息网络系统是一个级别达到机密级的信息网络，因此，按照国家保密局的规定，秘密、机密信息在所科研区等封闭区域内的传输可采用光缆或屏蔽电缆，如果采用非屏蔽电缆而又不能满足与其他并行线的线间距要求时，必须采用远程加密传输。该单位的信息加密必须采用国家指定的算法，不得使用国外算法;该单位的信息加密可采用密文存储和存取控制两种方式;加密算法每三年必须更换，算法提供单位必须是同一家单位。

4.2 物理安全管理方案

对于出入存放机密级和机密级以上信息的设备地方，必须建立严格的审查登记制度，保证所有出入存放地的人员必须留有书面纪录，包括姓名，证件，部门，进入时间和离开时间;

处理机密级和机密级以上信息的设备必须放在有铁门、铁窗、铁柜的“三铁”保护措施的地方:系统中心机房应采取安全防范措施，确保非授权人员无法进入。处理秘密级、机密级信息的系统中心机房应采用有效的电子门控系统。处理绝密级信息和重要信息的系统中心机房门控系统应进行身份鉴别，应有电视监视系统，并建立磁屏蔽区域保护设施。

4.3 信息级别管理方案

所有信息处理、传输、存储、输入、输出设备均应按照保密部门所规定的密级确定相应的最高级别。密级的变化由保密部门确定后及时通知网管中心。设备的使用人必须清楚了解该级别的规定，并熟悉对该级别信息处理的要求。

4.4 介质安全使用管理方案

U盘、硬盘、光盘、磁带等介质应标明级别，并按相应密级管理。存储过信息的介质不能降低密级使用。不再使用的介质应及时销毁。介质的维修应保证所存储的信息不被泄露，维修应在本单位进行，维修点需由单位保密委员会指定或认可;必须在单位外维修的，必须指派专人全程跟踪负责，保证所存储的信息不被泄露。

4.5 身份管理方案

处理秘密级信息的系统可采用口令进行身份鉴别，口令长度不得少于8个字符，口令更换周期不得长于一个月;处理机密级信息的系统应采用IC卡(或USB-KEY)进行身份鉴别，也可采用口令或其他措施加口令的方式进行身份鉴别，口令长度不得少于10个字符，口令更换周期不得长于一周：系统所使用的口令不得由用户产生，应当由系统安全管理员集中产生供用户选用，并且应当有口令更换记录;应采用组成复杂、不易猜测的口令，一般应是大小写英文字母、数字、特殊字符中两者以上的组合。

4.6 数据备份与恢复方案

在内部网络系统中，主要设备、软件、数据、电源等应有备份，并具有在较短时间内恢复系统运行的能力。该单位信息系统中关键服务器系统均需要进行系统备份，尽量在系统崩溃以后能快速、简单、完全地恢复系统的运行。进行备份的最有效的方法是只备份那些对于系统崩溃恢复所必需的数据。核心服务器上的数据文件必须每周备份，而且必须每天进行文件增量备份;每天业务结束时进行增量备份。周备份的介质必须实行异地存储。异地存储要求包含多种备份介质。

4.7 防黑客方案

防火墙是用在网络出入口上的一种访问控制技术，是对付黑客的一种主要手段。防火墙技术的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。

防火墙在内部网络中发挥上述作用主要是通过两个层次的访问控制实现的，一个是由状态包过滤提供的基于IP地址的访问控制功能，另一个是由防火墙提供的基于应用协议的访问控制功能。另外，部分防火墙还提供地址映射服务，以隔离高子网。

4.8 事故应急方案

该单位制定了在该所内部网络发生安全事故时的应急响应步骤。安全事故包括失窃、用户口令丢失、可疑的系统访问(包括共享口令)、内部网络的入侵行为、计算机病毒等。以上安全事故被分为三个级别：

（1）一级安全事故损失最小，事故发生后需要在一个工作日内得到控制。此类安全事故只需与网络管理中心联系即可。该类事故包括:个人口令丢失或遗忘、可疑的共享行为等；（2）二级安全事故损失稍大，事故发生后需要在2h-4h内得到控制;此类安全事故需要通知所网络管理中心和所安全保密办公室。该类事故包括:可疑人员进入机房，使用计算机(或本所职工出现可疑行为);未授权的访问等；（3）三级安全事故发生后，必须立即防止事故危害扩散，同时必须立即通知所保密办、保密委，并视情况严重程度逐级上报。

4.9 风险监控的策略

（1）建立合理的、科学的信息安全工作体系：设立所决策层、管理层、执行层三层组织机构，制定各种管理制度与流程，采取相应的信息安全技术措施。

（2）风险控制主要途径:根据控制成本与风险平衡的原则，通过以下途径及主要措施将风险控制在可接受的范围。

1)避免风险:所内部网络与其他网络物理隔离，可以避免所内信息系统遭受来自外部的威胁。在公共信息网上采取适当的安全措施，降低来自外部的威胁。严禁在公共信息网上处理信息，降低外部威胁对所信息资产的影响;2)减少威胁:通过身份认证、访问控制、网络监控、入侵监测、审计和安装防病毒软件等技术措施，建立黑客防范系统和恶意代码防范系统，减少信息系统受到内部员工黑客行为和恶意代码攻击的机会;3)减少薄弱点:通过教育和培训强化员工的安全意识和安全操作技能;建立和完善信息安全管理制度，强化安全制度的检查和落实;4)减少威胁可能的影响程度:应用密码技术对信息的存储和传输进行加密处理;建立并实时业务系统的应急响应计划，此计划包括备份保护、应急响应、测试维护等活动的安全要求。

（3）安全解决方案动态调整:安全解决方案的基础是风险分析，应该根据风险的变化，进行动态调整。风险的变化来自两个方面：一是信息系统的脆弱性以及威胁技术发生变化；二是信息系统发生变更后可能产生的新的安全风险和风险变化。一成不变的静态风险管理，在风险发生变化时不仅起不到应有的安全作用，相反会产生负面影响。因此，风险管理应该动态进行，达到风险预测、实时响应、降低风险的良性循环能力。

5 案例实施结果

已经完成的项目的每一个阶段，实施风险措施后，进行动态监测，发现新的风险，及时调险应对措施，实施措施后，动态监测。如此反复循坏，达到了降低风险，减少威胁的目的，项目进展顺利，初步实现项目的目标。

参考文献

[1] 罗布・托姆塞特.极限项目管理.电子工业出版社，2005.

[2] 索威基.有效的项目管理.电子工业出版社，2002.1.

[3] 拉里・康斯坦丁.超越混沌：有效管理软件开发项目.电子工业出版社，2002.4.