信息安全管理精选(五篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的5篇信息安全管理，期待它们能激发您的灵感。

篇1

【关键词】 信息安全 违规外联 电力企业

一、前言

国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行，从职能部室到一线班组，电力企业所有的业务数据都依赖网络进行流转，电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。

一直以来，信息安全防御理念常局限于常规的网关级别（防火墙等）、网络边界（漏洞扫描、安全审计）等方面的防御，重要的安全设施大多集中于核心机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁已大大减少，尤其实行内外网隔离、双网双机后，来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛，管控难度大，加之现在无线上网卡、无线wifi和智能手机的兴起，内网计算机接入互联网的事件时有发生，一旦使用人员将内网计算机通过以上方式接入互联网，即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道，一旦遭遇黑客袭击，就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故，给企业信息安全带来重大的安全隐患和风险。

二、强化管理、落实责任，监培并进

1、将违规外联明确写入公司各项规章制度，并纳入经济责任考核。在《公司信息系统安全管理办法》中，对杜绝违规外联事件进行了明确的要求：所有内网计算机必须粘贴防止违规外联提示卡，严禁将接入过互联网未经处理的计算机接入内网，严禁在普通计算机上安装双网卡，严禁将智能设备（3G手机、无线网卡等）插入内网计算机USB端口，严禁在办公区通过路由器连接外网，杜绝违规外联行为。 一旦发生违规外联事件，依据《企业信息化工作评级实施细则》，按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核，并在全公司通报批评。将信息安全责任落实到人。

2、加大违规外联宣贯和培训力度。信息安全工作，重在预防，将一切安全事件消灭在萌芽状态，才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工，尤其是新员工的信息安全教育培训工作，即重点培训各部门信息化管理人员，各级管理人员培训本部门技术人员，本部门技术人员培训一线员工。通过分层式培训，提高了培训效果，同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质，强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工，实现全员重视、全员掌握，做到内网计算机“离座就锁屏，下班就关机”的工作习惯。

3、加强外来工作人员管控。加强外来工作人员信息安全教育，并签订《第三方人员现场安全合同书》，严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控，防止因外来工作人员擅自操作造成违规外联事件。

二、加强技术管控，从源头杜绝安全事件的发生

2.1严格执行“双网双机”

严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机，需向本人核实该计算机之前网络接入情况，对内外网络接入方式有变化、或者是不清楚的情况，需对计算机进行硬盘格式化并重装系统后方可接入网络。

2.2安装桌面终端，设置强口令，防止违规外联

实时监控全公司内网终端桌面终端系统安装率，确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略，一旦发生违规外联，系统立即采取断网措施，并对终端用户进行警示。要求全部内网计算机设置开机强口令（数字+字母+特殊符号，且大于8位），防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。

2.3做好温馨提示，明确内外网设备，防止违规外联

做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络，无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识，防止员工误接网络。

2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定

加强IP地址绑定，从交换机端口对接入内网的计算机进行IP、MAC地址绑定，确保除本计算机外，其余计算机无法通过该端口接入内网。

通过外网审计（网康科技）对外网IP和用户认证账户进行绑定，完善外网用户和计算机基础资料，做到全局外网终端和用户可控。

篇2

企业要想在市场当中生存并发展，不仅仅要提升企业竞争力，还需要时时刻刻关注企业的信息安全。现代市场竞争十分激烈，只有做好企业的信息安全管理，才能避免企业因为信息管理的疏漏造成相关的损失。

近十年来，企业的生产经营越来越离不开网络，离不开计算机，企业的每一项活动都需要计算机与网络的参与，企业的管理需要借助相关的计算机软件，企业的销售需要运用到电子商务，企业的仓储管理需要数据库系统的支持，在企业感受到计算机带来生产经营便利的同时，企业也不得不重视由计算机网络所带来的信息安全问题。通过分析我国企业信息安全管理的相关资料，可以发现我国企业在信息安全管理上所做的努力显然无法与西方企业相比，我国企业在信息安全管理这条路上还有很长的路要走。

我国企业在信息管理上起步较晚，同时受制于观念，技术，人力等各个方面的因素，我国企业在信息安全管理上存在十分严重的漏洞。不仅如此，企业信息安全管理受到各方面的威胁，各类病毒层出不穷，钓鱼软件，木马也防不胜防，我国企业信息安全管理所面临的考验十分严峻。企业的信息安全管理不仅仅是企业自身的事，企业是我国经济发展最重要的角色，倘若我国企业在信息安全管理上存在漏洞，这也将直接影响我国的经济发展，这并不是危言耸听。

因此，加强我国企业信息安全管理势在必行，必须采取有效的举措提升我国企业信息安全管理水平。开展我国企业信息安全管理工作不仅仅需要政府的支持，企业自身也应当充分认识到企业信息安全管理对于企业自身的重要性，企业信息安全管理并不是一件小事，理应得到足够的重视。下面本文将首先介绍影响我国企业信息安全管理的几点因素，结合各种影响我国企业信息安全的几点因素展开探讨，在此基础上，分析我国企业在信息安全管理中常用的手段，并通过借鉴国外优秀企业在信息安全管理的经验，对更好地完善我国企业信息安全管理提出几点意见与建议。

二、企业面临的信息安全管理风险

1.企业内部管理缺陷

企业要想提升信息安全管理的水平，其中很重要的一个步骤在于完善企业的管理制度。企业的信息安全管理会受到许许多多的因数影响，但是做好企业信息安全管理的基础在于提升企业的内部管理水平。企业内部管理的制度涉及到企业生产经营的方方面面，倘若企业在内部管理制度上存在缺陷，那么做好企业的信息安全管理也就无从谈起了。常见的影响企业信息安全管理的制度缺陷有以下几个方面。第一，企业对于企业内部信息安全管理的工作人员缺乏监督。企业信息安全管理必须建立在企业信息安全管理工作人员认知履行职责，规范操作的基础上，倘若企业对于信息安全管理的工作人员缺乏监督，那么久很难保证企业整个信息安全管理系统的行之有效。第二，企业对于企业内部信息安全管理工作人员缺乏培训，企业内部并没有指定相关的信息安全管理规章制度。要想完善企业的信息安全管理，就必须做到对企业内部信息安全管理的每一个环节都一丝不苟，对每一个可能存在信息安全漏洞的地方都要严格管理，对每一项信息安全管理的工作步骤都做明确要求。要想确保企业内部信息安全管理系统的平稳运行，只有从规范企业内部信息安全管理的行为规范上着手。第三，企业内部信息安全管理系统投入不足。这一点在我国大型企业上并不存在，我国大型企业拥有足够的资金，足够的人力资本，足够技术投入，相比较于我国中小型企业，在信息安全管理工作上具有较大的优势。可是，我国大型企业毕竟是少数，我国中小企业的数量十分巨大，中小企业并没有相应的资金，人员，技术投入，中小企业受制于现实条件，在信息安全管理系统上所做的工作严重不足，我国中小企业在信息安全上所面临的风险十分巨大。

2.影响企业信息安全管理的外部因素

影响我国企业信息安全管理的外部因素有许多。常见的影响我国企业信息安全管理的外部因素包括病毒，木马，钓鱼网站等等。不论是谁出于怎么样的目的破坏企业的信息安全，较为常见的手段也就是通过黑客攻击企业的信息安全管理系统。我国企业在应对黑客的攻击时往往处于较为被动的局面，一方面，黑客属于主动攻击，主动攻击的前提在于对于企业的内部信息安全管理系统有着较为全面的了解，并且往往已经掌握了企业内部信息安全管理系统所存在的安全漏洞，另一方面，我国绝大多数企业在信息安全管理系统的投入有限，企业内部信息安全管理的工作人员在技术手段上与黑客比较并没有优势。即使企业内部信息安全管理的工作人员最终能够战胜黑客，但是，由于缺乏完善的信息安全手段，对企业内部重要的信息保护不足，黑客对企业的信息安全所造成的影响往往也是致命的。反击黑客的攻击行为往往具有滞后性，因此，即使战胜了黑客，但是黑客对企业信息安全的攻击行为往往已经发生，企业必然会因此造成相应的损失，在现代企业经营管理信息化的背景下，这样的攻击行为对企业造成的损失往往是企业不能够承担的，很有可能影响一个企业最基本的生存。

三、完善企业信息安全管理的几点建议

1.建立信息安全密码

密码技术近年来在应用中不断成熟，越来越多企业开始将密码技术应用到企业信息安全管理中去，这是一个十分正确的选择。企业内部信息具有重要价值，密码技术是企业信息安全最为关键的一道屏障。密码的形式十分多样，企业应当根据自身情况正确选择密码的形式，密码技术是一项十分成熟的技术，应当得到更多的关注，并且将这项技术全面应用到企业内部信息安全管理当中去。企业内部信息得到密码的保护，能够在企业内部信息不慎泄露后得到最大化的保护，对于企业内部信息的密码也应当严格保密，做好相关的密码保护工作。

2.建立安全管理制度

企业信息安全管理制度的建立需要多方面的配合，同时，企业信息安全管理制度的建立是一项十分复杂的工作，必须在实践的过程中不断完善。建立企业内部信息安全管理制度是为了更加规范地保证企业内部信息的安全，也对企业内部信息安全管理人员的工作内容，工作步骤做了明确规定，这对于企业内部形成信息安全管理的长效机制具有重要价值。企业信息安全管理制度应当与企业的实际生产经营情况相结合，在尽可能不影响企业正常工作的前提下，对企业的信息安全作出明确规定。常见的规定包括定期组织企业内部信息安全管理工作人员进行信息安全的例行检查；对企业内部信息安全管理人员的工作做到全面监督，有效反馈等等。

3.建立数据库的备份与恢复机制

现如今，外界主动攻击企业信息安全的事件越来越频发，企业在被外界攻击信息安全后所造成的损失往往无法挽回，同时这些信息对于企业具有十分重要的价值，倘若能够及时恢复相关信息，能够在很大程度上减小企业所遭受的损失，因此，建立一套基于数据库信息备份与还原的信息安全管理机制十分重要。企业内部信息系统数据库的备份，可以有效保障企业信息系统非法入侵后的系统恢复工作。备份是对数据库内容保护最为稳定和容易的一种方法。当不稳定因素发生的时候，能够保证企业网络信息的正常运行。而恢复的理解，就是在不限定因素发展之后利用网络技术的备份功能用来对数据库内容进行重新恢复并正常使用的功能。

4.建立网络安全预警系统

一般这种情况可以分为人为预警和病毒预警两个方面。 在电脑中的重要位置安装上网络入侵监测体系，可以便于对电脑的技术和安全性在发展危害行为或改变。入侵监测体系还能通过设立在固定时间对制定要求的位置进行监督和控制，判断哪些系统是具有危害性的，但是防火墙还不能够准确判断的系统。主要针对的是从企业内部管理出现漏洞后对自身安全系统的“侵略”行为。而病毒预警系统通常是采用对企业内部网络的全部数据进行监督监控的行为，确保在一天每个时间段内都对数据包传送扫描一旦发展病毒就要马上进行危险信息提示，使得相关工作人员可以很快的通过定位查找的方法找到病毒的发出地。同时，在短时间内陆续产生通过快速扫描出来的网络日志和调查报告，为企业专业人员查找病毒具体来源提供便利条件。

篇3

关键词：信息安全；管理体系；ISMS

中图分类号：TP315　文献标识码：A　文章编号：1009-8631(2010)05-0171-02

一、概述

当前，信息资源的开发和利用，已成为信息化建设的核心。信息作为一种重要的资产，已成为大家的共识。其一旦损毁、丢失、或被不失当地曝光。将会给组织带来一系列损失。这些损失是我们不愿意面对的。因此信息安全越来越成为大家关注的热点问题。前国家科技部部长徐冠华曾经指出：“没有信息安全保障的信息工程一定是豆腐渣工程”。

所谓信息安全，是针对技术和管理来说的，为信息处理体统提供安全保护，保护计算机软硬件及信息内容不因偶然意外和恶意的原因而遭到破坏、更改和泄漏。信息安全包括实体安全、运行安全、信息(针对信息内容)安全和管理安全四个方面：

1)实体安全是指保护计算机设备、网络设施以及其他通信与存储介质免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。

2)运行安全是指为保障系统功能的安全实现。提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。

3)信息安全是指防止信息资源的非授权泄漏、更改、破坏，或使信息被非法系统辨别、控制和否认。即确保信息的完整性、机密性、可用性和可控性。

4)管理安全是指通过信息安全相关的法律法令和规章制度以及安全管理手段，确保系统安全生存和运营。

信息安全是一个多层面、多因素、综合和动态的过程。安全措施必须渗透到所有的环节。才能获得全面的保护。为了防范和减少风险，一般的信息系统都部署了基本的防御和检测体系，如防火墙、防病毒软件、入侵检测系统、漏洞扫描设备等等。这些安全技术和安全设备及软件的应用，在很大程度上提高了信息系统的安全性。但是这样做不能从根本上降低安全风险。解决安全问题。因为不能把信息安全问题仅仅当做是技术问题，日常所说的防范黑客入侵和病毒感染只能是信息安全问题的一个方面。一方面由于所有安全产品的功能都是针对某一类问题，并不能应用到所有问题上，所以说它们的功能相对比较狭窄，因此想通过设置安全产品来彻底解决信息安全问题是不可能的；另一方面，信息安全问题并不是固定的、静态的，它会随着信息系统和操作流程的改变而变化。而设置安全产品则是一种静态的解决办法。一般情况下，当产品安装和配置一段时期后，旧的问题解决了。新的安全问题就会产生，安全产品无法进行动态调整来适应安全问题的变化。有效解决上述问题的关键是搭建一个信息安全体系。建设体系化管理手段，通过安全产品的辅助，从而保障信息系统的安全。

二、搭建信息安全管理体系

(一)BS7799

信息安全管理体系是安全管理和安全控制的有效结合体，通过分析信息安全各个环节的实际需求情况和风险情况，建立科学合理的安全控制措施，并且同信息系统审计相结合，从而保证信息资产的安全性、完整性和可用性。国际上制定的信息安全管理标准主要有：英国标准协会制定的信息安全管理体系标准-BS7799；国际信息系统审计与控制协会制定的信息和相关技术控制目标-COBIT；是目前国际上通用的信息系统审计标准；英国政府的中央计算机和通信机构提出的一套IT服务管理标准-ITIL；国际标准化组织(IS01和国际电工委员会(IEC)所制定信息安全管理标准-IS0／IECl335。其中BS7799英国的工业、政府和商业共同需求而发展的一个标准，于1995年2月制定的、世界上第一个信息安全管理体系标准。经过不断的修订，目前已经成为信息安全管理领域的权威标准。其两个组成部分目前已分别成为IS017799和IS027001标准。BST799涵盖了安全所应涉及的方方面面，全面而不失操作性，提供了一个可持续发展提高的信息安全管理环境。在该标准中，信息安全已经不只是人们传统上所讲的安全，而是成为一种系统化和全局化的观念。和以往的安全体系相比，该标准提出的信息安全管理体系(SMS)具有系统化、程序化和文档化的管理特点。

(二)息安全管理体系(ISMs)

信息安全管理体系(LSMS)是组织整体管理体系的一个重要组成部分，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。基于对业务风险的分析和认识，ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动。IS027001是建立和维护信息安全管理体系的准绳，它一般是要求通过确定的过程来建立ISMS框架：确定体系范围，制定信息安全策略，明确管理职责，通过风险评估确定控制目标和控制方式。整个体系一旦建立起来，组织就必须实施、维护和不断改进ISMS，保持整个体系运作的有效性。

(三)ISMS搭建步骤

当一个组织建立和管理信息安全体系时。BS7799提供了指导性的建议，即遵循PDCA(Plan，Check和Act)的持续改进的管理模式。PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。对于搭建和管理信息安全体系，其PDCA过程如下：

1)信息安全体系(PLAN)

在PLAN阶段通过风险评估来了解安全需求，根据需求设计解决方案。根据BS7799-2。搭建ISMS一般有如下步骤：

A、定义安全方针：信息安全方针是组织的信息安全委员会制定的高层文件，用于指导组织如何对资产，包括敏感信息进行管理、保护和分配的规则和指示。

B、定义1SMS的范围：ISMS的范围是需要重点进行信息安全管理的领域，组织可根据自己的实际情况。在整个组织范围内、或者在个别部门或领域架构ISMS。

C、实施风险评估：首先对ISMS范围内的信息资产进行鉴定或估计，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行鉴定。

D、风险管理：根据风险评估与现状调查的结果。确定安全需求，决定如何对信息资产实施保护及保护到何种程度限(如接受风险、避免风险、转移风险或降低风险)。

E、选择控制目标和控制措施：根据风险评估和风险管理的结果，选择合适的控制目标和控制措施来满足特定的安全需求。可以从BS7799-1的中进行选择，也可以应选择一些其它适宜的控制方式。

F、准备适用性申明(SOA)：SOA是适合组织需要的控制目标和控制的评论，记录组织内相关的风险控制目标和针对每种风险所采取的各种控制措施。

2)实施信息安全体系(D01

在DO阶段将解决方案付诸实现，实施组织所选择的控制目标与控制措施。

3)检查信息安全体系(cHECK)

在CH ECK阶段进行有关方针、程序、标准与法律法规的符合性检查，对存在的问题采取措施，予以改进，以保证控制措施的有效运行。在此过程中，要根据风险评估的对象及范围的变化情况。以及时调整或完善控制措施。常见的检查措施有：日常检查、从其他处学习、内部ISMS审核、管理评审、趋势分析等。

4)改进信息安全体系(ACT)

在ACT阶段对ISMS进行评价。以检查阶段发现的问题为基础，寻求改进的机会，采取相应的措施进行调整与改进。

篇4

一、在企业内部开展档案信息安全管理的必要性

企业的档案信息记录了企业在生产经营过程中所有有价值的资料信息，不仅是企业发展历史的记忆，更是企业内部一笔隐形的宝贵财富。企业的档案信息包含了企业的核心机密，如设备、关键的技术资料等，都会对企业的生存和发展起到非常重要的作用，如果不采取有效地措施，落实档案信息安全管理，信息的泄露会对企业的发展产生极大的威胁，严重的话，甚至会影响整个企业的生存。落实企业的档案信息安全管理，就是采取有效地措施，有计划地进行档案安全管理，提升企业管理档案的水平，避免档案泄露给企业带来损失，为企业的长远发展提供保障。

二、现阶段档案信息安全隐患的表现

1.档案信息制度不健全

二十一世纪，档案的信息化发展迅速，然而档案信息化相关的安全管理制度却仍未建立起来，在某一个层面上就给了不法之徒钻空子的机会，不仅危害了档案信息安全性，也给企业、个人带来不可挽回的经济利益损失。例如，在利用档案解决问题时候，档案管理者如果觉得档案利用者提供问题具有典型代表意义，就可能将此问题纳入资讯库，如果档案管理者缺乏必要的档案信息管理保护意识，不对档案利用者的信息进行必要的处理，就有可能导致档案利用者的信息泄露，影响档案利用者基本权益。

2.档案的网络化、电子化管理

网络技术给档案信息的管理带来了一定便利，然而病毒、黑客的袭击却严重地破坏了档案信息的安全性。如果不法之徒利用木马程序侵入档案管理系统，就会导致档案信息数据的破坏，信息的篡改销毁会导致档案管理的混乱，有人提出了利用光盘、硬盘等介质为载体的档案存储管理方式，虽然在一定程度上降低了木马病毒和黑客的袭击，但是光盘、硬盘介质由于不稳定、易损坏、难保存、更新慢等特点，难以实现档案格式快速转化，进而导致档案数据丢失，不利于档案信息的安全管理工作落实。

3.档案管理威胁信息安全

档案的信息化管理对档案管理人员提出了更高的要求，管理者不仅需要丰富的档案管理知识，还需要对互联网、计算机的操作有一定的了解。其次，由于档案管理人员缺乏必要的档案管理技能，不了解档案管理相关的设备和软件，不熟练操作，甚至是错误操作都会破坏档案数据，损坏档案数据进而造成档案信息安全隐患。

三、档案信息安全管理策略

1.树立安全档案信息管理意识

在企业内部树立全体员工的档案信息安全管理意识，改变人们“档案信息管理”不重要的思想，只有保证企业员工具有档案信息管理的安全意识，才能确保他们时时注重档案信息的安全，也才能够保证企业的档案信息管理安全。

2.建立健全档案信息管理制度

建立相关的档案信息安全管理制度，强化企业内部管理，明确档案信息安全管理的责任体系，保证相关的管理工作顺利进行。根据相关部门资料显示，绝大多数的网络入侵案件都可以通过强化企业管理来有效避免，而大多数的档案信息丢失或损坏，都是由于工作人员操作计算机不当造成的。因此，企业必须强化档案信息安全管理制度的建设，组建专业的团队，确定团队的领导班子，完善信息安全责任体制，严厉奖惩措施，充分调动工作人员的工作积极性。

3.落实档案信息内容的安全管理

定期对企业内部的计算机进行全面的杀毒，保证相关的保护措施有效开启，尽可能的降低计算机病毒和黑客对档案信息的攻击。在进行档案信息管理的工作时，一旦涉及网页操作，一定要对计算机进行病毒的实时监控，过滤、阻止那些可能存在隐患的网页，为档案信息的安全提供保障。在涉及相关软件运行的时候，一定要做好杀毒监控工作，实时监控计算机的防火墙状态，以保证档案信息的安全。值得一提的是，为了保证档案信息内容的安全，应该对档案工作管理人员的行为作出一定的限制，如禁止管理人员随意使用U盘进行资料的拷贝，并督促档案管理人员进行档案信息工作的备份，提高档案信息的安全性。值得一提的是，除了上述三种措施以外，企业还可以利用安全可靠的档案管理技术，严格档案的管理措施来提升档案信息的安全管理。

四、结束语

篇5

【关键词】新安全观 大数据 网络信息安全 评价体系

1 引言

我国新安全观是以为核心的第三代领导集体根据当时国际形式提出“互信、互利、平等、协作”为原则的中国安全观。其具有丰富内涵与鲜明的特色，已被国际社会广泛接受和认可。新安全观在深化与完善阶段仍在与理论创新不断互动、磨合与有机统一。直至全球化不断发展的今天，当互联网技术已经覆盖了各个领域并产生深远影响的时候，特别是大数据背景下的信息量呈海量爆发时，网络信息安全管理问题成为中国新安全^环境下需首要面对的研究项目。

现有的网络信息安全控制体系中有很多信息安全管理的方法和策略，然而在面对大数据背景下的海量数据量时的能力明显不足。建立一套适应大数据背景的网络信息安全机制是当前网络信息安全管理研究的重点。本文通过对相关领域文献的收集与研究，从大数据背景下网络信息安全管理特点出发，提出了以安全控制三要素“人、环境、技术”为中心的控制模型，建立安全评价体系。技术路线为大数据环境下网络信息安全问题的提出相关概念控制要素控制机制评价体系控制策略。

2 基本理论

2.1 大数据的概念与作用特点

大数据概念指以计算机技术为基础的无法常规处理的操作数据，其出现表明了当前的信息技术的进化规模的庞大，需要采用更加高效、经济、智能的处理模式。

大数据存在数据规模巨大，数据海量的特性（Volume）、结构多样化，数据类型复杂特性（Variety）、有价值信息密度低特性（Value）、信息处理速度快特性（Velocity）、复杂性特性（Complexity）。简单来说即通过4V+C进行描述。大数据的作用总结为：

（1）新一代的信息技术的融合与应用的节点，即各网络技术的应用形态。

（2）信息产业发展的新途径，在信息服务领域会加快网络技术产业的发展。

（3）提升核心竞争力的关键因素，是保持社会稳定，加快经济发展，提升国家综合实力的重要手段。

（4）可改变相应的科学研究方法，如社会科学的基本研究方法的抽样调查不再具有普遍适用性。紧跟大数据时代特色成为学科发展新的方向。

2.2 网络信息安全的定义与特点

网络信息安全是一个全新的概念，还没有在各个国家之间形成统一的认知，自2001年联合国信息安全会议后，各国对网络信息安全的认识逐渐发展，达成共识的信息安全特征为信息的完整性、信息的保密性、信息的可用性、信息的可控性及信息抗否认性五个特征。我国的信息安全专家又将网络信息安全分解为环境、系统、程序与数据四个方面，即保证网络系统的软硬件与系统数据的安全。

网络信息安全与国家安全观中的政治安全、经济安全、军事安全息息相关而又不同于它们具有其自身独特特点，特点包括：

2.2.1 脆弱性

互联网的开放性决定了互联网是一个脆弱性的系统，开放程度越大脆弱性越高即安全性越低。主要表现在系统设计、维护等多个环节。

2.2.2 突发性

对网络信息安全造成突然性破坏的因素多是计算机病毒。计算机病毒具有破坏性、传播性、潜伏性、复制性和不可预测性，其突发程度能够迅速破坏或窃取系统中数据。全球性：互联网的互动与互联将全球一体化为“地球村”，互联网的完全开放特性使网络信息安全不分国界，不分地域。

2.3 目前网络信息安全控制机制与评价

目前的网络信息安全控制管理要素为：

（1）控制者，即网络信息安全管理者。

（2）控制对象，以人员、财务等资源为主要内容的信息数据库。

（3）控制手段与工具，管理者组织机构、原则、法规及管理方法等。在大数据背景下网络信息安全控制机制即是认定安全控制对象，组织管理者与工作人员针对网络信息安全问题进行有效分配任务，制定实用的管理规章制度的过程。

对当前网络信息安全控制的评价需坚持科学性原则。由于当前的大数据背景下的网络信息具有的综合特性，因此对其评价也应从全面性入手进行数据收集量化和简化评价。目前在评价方面的研究多为通过实践调查建立评价指标体系，该方法只能选择客观存在的评价指标而不能选择偶然因素影响下的指标。因此需要全面的选取指标以增大选取空间，还要量化评价因素最终才能够揭示事物的本来面目。

3 大数据与网络信息安全

3.1 大数据背景下网络信息安全问题的成因

大数据背景下的网络信息安全问题存在着安全事故趋势的上升、基础薄弱和时刻面临新挑战。其成因包括：

3.1.1 技术层面问题

技术层面问题又分为硬件设备缺陷和软件的后门及漏洞。网络战已然存在并屡屡发生，黑客利用漏洞与后门作为武器，使漏洞如军火一般大有市场，严重危害了网络的安全环境。

3.1.2 人员层面问题

人员的控制的影响是所有问题的根源，网络信息安全问题也是如此。从使用人员的安全防护意思，到技术人员的岗位责任心，到专业人员的钻空子，再到不法人员的非法获利都会对网络安全系统造成严重的危害，是影响网络信息安全的主体。

3.1.3 管理层面问题

网络信息安全管理制度与管理体系的不健全也会危及网络安全系数。表现为管理人员的不够重视、技术人员的麻痹大意、技术人员与使用者的教育及培训欠缺、监督机制的不完善。在新安全观背景下的网络信息安全已成为国家安全重要组成部分，所面临的形势相当严峻。对于我国基础薄弱的网络信息安全系统的建设是当前亟待解决的问题

3.2 针对大数据背景的管理机制构建要素

大数据背景下的网络信息安全具有以下特点，改变原有数据保护原则；巨大的价值诱惑引发数据有更大的安全隐患；技术发展将数据安全隐患进一步放大。我国相关法律的不健全使网络信息安全形势更加不容乐观。我国目前面临形势为大数据网络攻击危害巨大，用户隐私易泄露，存储存在隐患。根据以上特点难点，本文提出了控制职能的构成要三素“人员、环境、技术”，是对前文“控制者、控制对象、控制手段与工具”的职能要素进行的概括处理。大数据背景下的网络信息安全控制机制的建立将围绕这三要素展开：

3.2.1 将控制者开阔为网络控制人员，包括管理者本身和管理ο

针对我国目前网络信息安全管理工作现状与大数据的特殊性，首先需要网络信息服务提供商在处理用户数据的时候采取安全合理的操作流程，保护用户数据信息免受非法侵害。而服务提供商的运营行为需接受相关法律约束与监管，避免服务提供者在大数据利益驱使下对用户的主动侵害。同时，用户的个人信息知情权也应该得到有效维护，并在信息受到非法侵害时得到通知或警告。

3.2.2 将控制对象概括为“环境”，大数据背景下的网络环境包括网络设施、网络文化与网络政策性法律

网络设施的正常运转与维护是互联网运行的根本。面对大数据背景下的海量数据信息，降低存储成本、合理充分利用资源、构建存储于管理体系、挖掘计算机体系、升级网络设施、优化算法、提高系统吞吐率等一系列手段是保障网络信息安全的基础，健康的网络文化和完善的相关政策与法规保是网络信息安全控制机制的有效保障。

3.2.3 技术，是网络信息安全必不可少的要素

在大数据背景下安全技术首先从“防”做起，防火墙通过授权信息隔离内部与外部网络，具有防止作用。其次为“密”即数据加密技术，使数据在传输过程中的安全性得到一定的保障。再者为“控”即网络监控与检测技术，通过监控软件与监控硬件对外部入侵系统行为和无授权的内部用户行为进行处理。最后为“审”即安全审计技术，主要目的为：

（1）威慑警示潜在攻击者。

（2）测试系统控制情况，将其调整到与安全策略相一致。

（3）评估破坏事件程度，为恢复和追责提供依据。

（4）发挥系统管理员的协作作用。

3.3 根据管理机制要素建模

通过前文分析认为，大数据背景下建立网络信息安全管理机制模型应从“人员、环境、技术”三要素的角度出发。网络信息安全控制机制人员层模型如图1所示。

在网络信息安全管理机制中，网络信息安全问题的源头为网络用户的行为，而所要保障的也是网络用户的正当权益。因此人员处于核心地位，人员层为核心动力层。环境层则通过各种方式创造安全的网络环境，起到支撑作用。技术层则通过各种安全技术措施来构建防护层。在大数据背景下通过安全防护与实时监控两方面对信息安全进行控制管理，安全模型的构建也需要借助大数据信息安全技术以确保大数据下各个节点间安全通信。

4 结论

本文遵从国家新安全观的核心内容与实践要求，对网络信息安全的实际情况进行了分析调研。以大数据背景为着眼点，提出了大数据背景下的网络信息安全管理要素为“人员、环境、技术”，并提出网络信息安全管理机制，围绕三要素建立网络信息安全管理机制模型。分析验证了三要素对网络信息安全的影响作用，为大数据背景下的网络信息安全工作提供了理论指导和实践指导，为国家新安全观工作的开展提供了帮助。

参考文献

[1]刘海燕，黄睿，黄轩.基于主题爬虫的漏洞库维护系统[J].计算机与现代化，2014（08）：67-70.

[2]孙国瑞，华锦芝，刘思帆，等.实时风险评估模型的研究与实现[J].计算机科学与探索，2015，9（04）：462-474.

[3]黄国彬，郑琳.大数据信息安全风险框架及应对策略研究[J].图书馆学研究，2015（13）：24-29.

[4]Benaroch M，Chernobai A，Goldstein J.An internal control perspective on the market value consequences of IT operational risk events[J].International Journal of Accounting Information Systems，2012，13（04）：357-381.

作者简介

秦瑞峰（1982-），男，山西省临县人。硕士研究生。现为吕梁学院离石师范分校讲师。主要研究方向为网络安全。