工程信息安全管理精品(七篇)

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇工程信息安全管理范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

關鍵詞：軟件工程；數據信息；安全管理；

文章編號：1674-3520（2015）-09-00-01

隨著社會經濟的快速發展，人們對于信息的公開化、透明化的要求越來越高，同時信息資源的管理也面臨巨大的困擾，信息安全問題已經成為影響人們數據存儲的重要因素。現代企業出于安全和利益需要，對于很多信息不能公開或者一定時期內不能向外界公布，這時就需要應用安全保密技術。

一、保密技術對數據信息安全的重要性

保密技術是企業為獲得自身利益和安全，將與自身發展密切相關的信息進行隱藏的一種手段，隨著互聯網的快速發展，企業信息的保密也越發重要。保守企業秘密是指嚴格按照有關經濟法律和企業內部的規章制度，將涉及信息和信息的載體控制在一定的范圍之內，限制知悉的人員，同時也包含了企業自身或內部員工保守秘密的職責，并以此采取相應的保密活動。通常情況下，屬于保密范疇的信息，都應當明確內容，并規定相應的期限，在此階段內，保密主體不能夠擅自改變，并且其知悉范圍是通過強制性手段和措施來實現控制的。

二、數據信息安全保密技術類型

（一）口令保護。對數據信息設置口令是數據信息安全的基礎保障。在對數據保密信息設置安全保障的過程中，可以先根據計算機技術設置登錄密碼，并確保密碼的復雜性，如字母與數字混合、大小寫字母與數字混合等，以免被黑客破解。如果有提示密碼可能被盜的消息，則應當及時辨別消息的真實性，并登錄到安全中心重新設置密碼，從而確保數據信息登錄的安全性和可靠性。

（二）數據加密。在信息的存儲及傳輸過程中有一個重要的手段，就是對數據進行加密，這樣才能夠保證數據信息的安全性，從而提升信息保密的抗攻擊度。所謂數據加密，主要是指根據較為規律的加密變化方法，對需要設置密碼的數據進行加密處理，由此得到需要密鑰才能識別的數據。加密變化不僅能夠保護數據，還能夠檢測數據的完整陛，是現代數據信息系統安全中最常用也是最重要的保密技術手段之一。數據加密和解密的算法和操作一般都由一組密碼進行控制，形成加密密鑰和相應的解密密鑰。在數據信息傳輸的過程中，可以根據相應的加密密鑰，加密數據信息，然后根據解密密鑰得出相應的數據信息。在此過程中，大大保障了數據信息的安全，避免被破解。

（三）存取控制。為保證用戶能夠存取相關權限內的數據，已經具備使用權的用戶必須事先將定義好的用戶操作權限進行存取控制。在一般情況下，只要將存取權限的定義通過科學的編譯處理，將處理后的數據信息存儲到相應的數據庫中。如果用戶對數據庫發出使用信息的命令請求，數據庫操作管理系統會通過對數據字典進行查找，來檢查每個用戶權限是否合法。如果存在不合法的行為，則可能是用于用戶的請求不符合數據庫存儲定義，并超出了相應的操作權限，這樣則會導致數據庫對于用戶的指令無法識別，并拒絕執行。因此，只有在采取存取控制保護措施下，數據庫才能夠對發出請求的用戶進行識別，并對用戶身份的合法性進行驗證。同時還需要注意不同用戶之問的標識符都具有一定差異，經過識別和驗證后，用戶才能夠獲取進入數據庫的指令，以此確保數據信息的安全性，為用戶提供一個良好的數據應用環境。

三、增強數據信息安全保密技術

（一）數字簽名技術。在計算機網絡通信中，經常會出現一些假冒、偽造、篡改的數據信息，對企業應用數據信息造成了嚴重影響，對此，采取相應的技術保護措施也就顯得非常重要。數字簽名技術主要是指對數據信息的接收方身份進行核實，在相應的報文上面簽名，以免事后影響到數據信息的真實性。在交換數據信息協議的過程中，接收方能夠對發送方的數據信息進行鑒別，并且不能夠出現否認這一發送信息的行為。通過在數據簽名技術中應用不對稱的加密技術，能夠明確文件發送的真實性，而通過解密與加密技術，能夠實現對數據信息傳輸過程的良好控制，以免出現信息泄露的情況。

（二）接入控制技術。接入控制技術主要是指針對用戶所應用的計算機信息系統進行有效控制，實現一般用戶對數據庫信息的資源共享，這是避免非法入侵者竊取信息的另一關卡。對于需要密切保密的數據信息庫，用戶在訪問之前應當明確是否能夠登陸，及登陸之后是否涉及保密信息，以加強數據信息控制。在對絕密級信息系統進行處理時，訪問應當控制到每個用戶。在系統內部用戶非授權的接入控制中，任意訪問控制是指用戶可以隨意在系統中規定的范圍內活動，這對于用戶來說較為方便，而且成本費用也比較低廉。但是此種做法的安全性較低，如果有用戶進行強制訪問，勢必會導致外來信息入侵系統。對此，采用強制訪問方法能夠有效避免非法入侵行為，雖然安全費用較大，但是安全系數較高。

（三）跟蹤審計技術。跟蹤審計技術主要是指對數據信息的應用過程進行事后的審計處理，也就是一種事后追查手段，對數據系統的安全操作情況進行詳細記錄。通過采用此種技術，如果數據庫系統出現泄密事件，能夠對泄密事件的發生時問、地點及過程進行記錄，同時對數據庫信息進行實時監控，并給出詳細的分析報告，以保證數據庫系統的可靠性。跟蹤審計技術可以分為好幾種類型，如數據庫跟蹤審計、操作系統跟蹤審計等。這些技術的應用及實施，能夠加強對數據庫信息的安全限制，以免再次出現病毒入侵的情況。

（三）防火墻技術。防火墻技術主要是指對計算機網絡的接入進行有效控制，如果有外部用戶采用非法手段接入訪問內部資源，防火墻能夠進行識別并進行相應的反擊處理，從而將不良信息隔在網絡之外。防火墻的基本功能是對網絡數據信息進行過濾處理，同時對外來用戶的訪問進行分析和管理，攔截不安全信息，將網絡攻擊擋在網絡之外。

四、結束語

對數據信息進行安全保密管理是信息安全的關鍵，也是安全管理的核心。隨著現代科學技術的不斷發展，信息化條件下的保密工作和傳統的保密工作已經有了截然不同的特點。因此，在未來的發展過程中，對于數據信息的安全保密顯得更加重要，需要進一步改進相關技術，需要企業不斷努力。

參考文獻：

[1]趙楠 IT系統數據信息安全解決方案解析[期刊論文]-科技資訊 2013（15）

篇(2)

【關鍵詞】鐵路信息;安全管理;標準體系

隨著高新技術的不斷發展與完善，世界進入了信息時代，各種信息流在短時間內進入到了人們生活、工作的方方面面。當前，對信息的運用、管理與安全保障已經成為了人們重點關注的話題。傳統的信息安全管理通常將常規的信息系統安全設備作為重點內容，通過這些安全設備為信息安全樹立屏障。這種方式雖然具有一定的效果，但是并沒有達到人們的期待。通過相關的實踐證明，信息安全工作需要從技術、管理與法制三個方面入手。因此，實現鐵路信息安全管理及其標準體系的建立已經非常迫切。

1 信息安全管理及其標準體系建立的意義

信息安全管理體系（Information Securitry Management Syst ems，ISMS）指的是組織在整個或者特定的范圍內，信息安全放在與目標的建立、實現等需要的策略與方針體系，主要的作用是對組織的信息安全進行保障。

首先，通過信息安全管理體系的建立，能夠促進組織中員工信息安全意識的有效提高，能夠促進員工信息安全行為的有效規范。通過信息安全管理體系能夠提高組織應對突發事件的能力，提高信息管理工作的安全性與可靠性，使組織能夠進入到高效、持續發展的良性循環中。其次，通過信息安全管理體系能夠對信息系統進行有效的安全風險監管與控制，通過與風險評估、等級保護等工作實現相互之間的結合與連接，確保信息系統能夠在受到外部侵襲的情況下保持業務開展，同時將損失降低到最小程度。最后，通過信息安全管理體系實現安全管理方式的動態化與系統化、制度化，確保信息安全保障能夠實現成本最低、效率最高，提高組織的競爭力。

2 鐵路信息安全管理及其標準體系的建立

2.1 鐵路信息安全管理體系模型

在鐵路系統信息安全工作的組織、實施與監督過程中，信息安全管理體系是非常重要的基礎，對鐵路運輸生產安全管理有著非常重要的影響。鐵路信息安全管理體系模型實際上就是對鐵路信息安全管理體系進行了具體化的表述，使鐵路系統信息化安全策略，通過鐵路信息安全管理體系模型確保安全策略的完整性與一致性。

通過相關的實踐可知，鐵路信息安全管理處于持續的發展過程中，包括四個循環階段：第一，計劃階段。計劃階段是安全信息管理的準備階段，為以下三個階段的活動奠定了堅實的基礎。計劃階段中包括組織建立、責任分配、目標與策略確立等內容，具體來講包括風險評估、安全措施選擇及安全計劃、業務計劃、培訓技術制定等。第二，實施階段。實施階段是對計劃階段確定的目標進行實現，主要的內容包括安全策略、安全措施、安全意識培訓等。第三，檢查階段。檢查階段主要是通過監視、審計、評估等手段對計劃階段目標實施情況進行檢查，檢查的具體內容包括安全策略、目標、程序及標準等，檢查結果將為下一步措施的選擇提供依據。第四，改進階段。改進階段主要是通過檢查結果對相應的措施進行改進，如果改進效果不佳則直接進入到新的安全管理周期中，從而確保信息安全的發展與改進。

2.2 鐵路信息安全管理體系建設中應注意的問題

當前，信息技術已經在鐵路運輸生產、經營、管理等多個領域中得到了廣泛的應用，安全工作已經提升到了與鐵路其他專業同等重要的地位，這也在一定程度上說明了鐵路信息安全在鐵路運輸安全方面所發揮的重要作用。因此，在現代化鐵路建設中，鐵路信息安全管理體系的建設與完善已經成為了發展的必然。在鐵路信息安全管理體系建設中應注意的問題包括：

2.2.1 管理方法不能夠盲目照搬

國內外在文化背景方面存在著較大的差異性，產生的管理方法也并不相同，在借鑒的過程中應該將國內鐵路實際情況作為依據，不能夠盲目照搬。當前，國外鐵路系統的風險管理與安全評估往往更加的完整與規范，我國的鐵路信息系統卻有待于完善。我國的鐵路信息系統也具有自身的一些特點，應該結合這些特點實現符合我國鐵路特色的信息安全管理與評估的標準體系的建立。

2.2.2 在信息安全風險管理與評估操作中采用信息技術手段

當前，我國的鐵路信息安全風險管理與安全評估工作都是按照相關的規范與辦法進行人工核查工作，一方面工作量比較大、效率比較低，另一方面核查成本比較高，對信息安全風險管理與安全評估工作造成一定的不良影響，可行性、有效性較低。因此，在信息安全風險管理與評估操作中采用信息技術手段。

2.2.3 注重鐵路信息系統的整體信息安全

在鐵路信息安全中，要注重鐵路信息系統的整體信息安全，不能夠以個別的單位或者部門為單位進行關注。通過相關的實踐證明，如果沒有從總體上對鐵路信息系統的網絡安全進行考慮與設計，局部信息安全工程必然會出現返工或者重做的情況。

2.3 鐵路信息安全管理體系建設的方法

鐵路信息安全管理體系具有系統化、程序化與文件化的特點，其建立的基礎為系統、全面、科學的安全風險評估，建立的原則包括法制性原則、動態性原則、過程性原則、合理性原則等，通過這些措施確保鐵路信息安全。鐵路信息安全管理體系中包含了非常繁雜的內容，而且體系的規模較大、投資較多，在建設的過程中并不能夠一步到位。對于鐵路信息安全管理體系而言，不同的部門與單位應該具有一定的特殊性，依據自身的特點與實際情況選擇合理的鐵路信息安全管理體系，從而更好地滿足鐵路信息系統整體安全要求，

鐵路信息安全管理體系建設的步驟主要包括：第一，做好鐵路信息安全管理體系的策劃工作、準備工作，具體的內容包括員工教育培訓工作、體系建設計劃擬定工作、信息安全管理現狀調研工作、資源配置與管理工作。第二，明確鐵路信息安全管理體系的適用范圍，一方面要確保鐵路信息安全管理體系覆蓋到單位的整體，另一方面要確保個別部門能夠適用。第三，信息安全管理現狀調查，依據相關的技術與標準對信息系統進行處理與傳輸、存儲等進行安全屬性調研工作;第四，實現信息安全管理框架的建立，從不同的層面對信息系統進行安全規劃，實現安全體系與安全解決方案的建立。第五，實施信息安全管理體系運行和改進工作，即按照體系文件的控制要求進行審核、批準、和實施，正式進入運行階段。第六，實施信息安全管理體系的審核工作，即開展體系評價以獲得審核證據，用來判斷信息安全管理體系的有效性。

3 總結

在鐵路建設過程中，鐵路信息化越來越重要。只有實現了鐵路的信息化才能夠最終實現鐵路現代化，從而確保鐵路的快速發展。在鐵路系統中，一方面需要從安全技術方面下手，另一方面需要從管理方面下功夫，實現鐵路信息安全管理及其標準體系的建立。

參考文獻：

[1]周張俊.對建設鐵路信息安全管理標準體系的探討[J].鐵道經濟研究，2014（06）.

[2]李劍鋒，鈕亮，段林茂，魏軍.供應鏈信息安全現狀及體系框架研究[J].江蘇商論，2013（03）.

[3]劉剛.鐵路信息安全等級保護自查方案設計[J].鐵路計算機應用，2015（02）.

[4]于新輝，張建，李偉濤. 基于生命周期分析信息安全管理體系[J].計算機技術與發展，2012（03）.

[5]祝詠升，周澤巖，張彥，姚洪磊.鐵路信息系統安全測評服務體系的研究[J].信息系統工程，2011（12）.

篇(3)

【關鍵詞】信息安全；評估；標準；對策

保證信息安全不發生外泄現象，是至關重要的?？墒?，現在我國信息安全保障和其它先進國家相比，仍難望其項背，還有不少問題迫切需要我們著手解決：

中國保證信息安全工作經歷了三個時期。第一時期是不用聯網，只作用于單一電腦的查殺和防控病毒軟件；第二個時期是獨立的防止病毒產品向為保證信息安全采用的成套裝備過渡時期；第三個時期是建設保證信息安全的系統時期。

1 需要解決與注意的問題

信息安全保障的內容和深度不斷得到擴展和加深，但依然存在著“頭痛醫頭，腳痛醫腳”的片面性，沒有從系統工程的角度來考慮和對待信息安全保障問題；信息安全保障問題的解決既不能只依靠純粹的技術，也不能靠簡單的安全產品的堆砌，它要依賴于復雜的系統工程、信息安全工程（system security engineering）；信息安全就是人們把利用工程的理論、定義、辦法和技術進行信息安全的開發實施與維護的經過，是把通過歲月檢驗證明沒有錯誤的工程實施步驟管理技術和當前能夠得到的最好的技術方法相結合的過程；由于國家8個重點信息系統和3個重點基礎網絡本身均為復雜的大型信息系統，因此必須采用系統化方法對其信息安全保障的效果和長效性進行評估。

2 安全檢測標準

2.1 CC 標準

1993年6月，美國、加拿大及歐洲四國協商共同起草了《信息技術安全評估公共標準CCITSE（commoncriteria of information technical securityevaluation）》，簡稱 CC，它是國際標準化組織統一現有多種準則的結果。CC標準，一方面可以支持產品（最終已在系統中安裝的產品）中安全特征的技術性要求評估，另一方面描述了用戶對安全性的技術需求。然而，CC 沒有包括對物理安全、行政管理措施、密碼機制等方面的評估，且未能體現動態的安全要求。因此，CC標準主要還是一套技術性標準。

2.2 BS 7799標準

BS 7799標準是由英國標準協會（BSI）制定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，包括：BS 7799-1∶1999《信息安全管理實施細則》是組織建立并實施信息安全管理體系的一個指導性的準則；BS7799-2∶2002 以 BS 7799-1∶1999為指南，詳細說明按照 PDCA 模型，建立、實施及文件化信息安全管理體系（ISMS）的要求。

2.3 SSE-CMM 標準

SSE-CMM（System Security EngineeringCapability Maturity Model）模型是 CMM 在系統安全工程這個具體領域應用而產生的一個分支，是美國國家安全局（NSA）領導開發的，它專門用于系統安全工程的能力成熟度模型。

3 網絡安全框架考察的項目

對網絡安全進行考察的項目包括：限制訪問以及網絡審核記錄：對網絡涉及的區域進行有效訪問控制；對網絡實施入侵檢測和漏洞評估；進行網絡日志審計并統一日志時間基準線；網絡框架：設計適宜的拓撲結構；合乎系統需求的區域分界；對無線網接入方式進行選擇方式；對周邊網絡接入進行安全控制和冗余設計；對網絡流量進行監控和管理；對網絡設備和鏈路進行冗余設計；網絡安全管理：采用安全的網絡管理協議；建立網絡安全事件響應體系；對網絡設備進行安全管理。網絡設備是否進行了安全配置，并且驗證設備沒有已知的漏洞等。對網絡設置密碼：在網絡運輸過程中可以根據其特點對數字設置密碼；在認證設備時對比較敏感的信息進行加密。

4 安全信息檢測辦法

4.1 調整材料和訪問

調整材料和訪問是對安全信息檢測的手段。評估人員首先通過對信息系統的網絡拓撲圖、安全運作記錄、相關的管理制度、規范、技術文檔、歷史事件、日志等的研究和剖析，從更高的層次上發現網絡系統中存在的安全脆弱性。并找準信息資產體現為一個業務流時所流經的網絡節點，查看關鍵網絡節點的設備安全策略是否得當，利用技術手段驗證安全策略是否有效。評估專家經驗在安全顧問咨詢服務中處于不可替代的關鍵地位。通過對客戶訪談、技術資料進行分析，分析設備的安全性能，而且注意把自己的實際體會納入網絡安全的檢測中。

4.2 工具發現

工具發現是利用掃描器掃描設備上的缺陷，發現危險的地方和錯誤的配置。利用檢測掃描數據庫、應用程序和主機，利用已有的安全漏洞知識庫，模擬黑客的攻擊方法，檢測網絡協議、網絡服務、網絡設備、應用系統等各主機設備所存在的安全隱患和漏洞。漏洞掃描主要依靠帶有安全漏洞知識庫的網絡安全掃描工具對信息資產進行基于網絡層面安全掃描，其特點是能對被評估目標進行覆蓋面廣泛的安全漏洞查找，并且評估環境與被評估對象在線運行的環境完全一致，從而把主機、應用系統、網絡設備中存在的不利于安全的因素恰切地展現出來。

4.3 滲透評估

滲透評估是為了讓使用的人員能夠知道網絡當前存在的危險以及會產生的后果，從而進行預防。滲透評估的關鍵是經過辨別業務產業，搭配一定手段進行探測，判斷可能存在的攻擊路徑，并且利用技術手段技術實現。由于滲透測試偏重于黑盒測試，因此可能對被測試目標造成不可預知的風險；此外對于性能比較敏感的測試目標，如一些實時性要求比較高的系統，由于滲透測試的某些手段可能引起網絡流量的增加，因此可能會引起被測試目標的服務質量降低。由于中國電信運營商的網絡規范龐大，因此在滲透測試的難度也較大。因此，滲透層次上既包括了網絡層的滲透測試，也包括了系統層的滲透測試及應用層的滲透測試。合法滲透測試的一般流程為兩大步驟，即預攻擊探測階段、驗證攻擊階段、滲透實施階段。不涉及安裝后門、遠程控制等活動。

我國信息安全要想得到保證，需要有一定的信息安全監測辦法。依靠信息安全監測辦法對中國業務系統和信息系統整體分析和多方面衡量，將對中國信息安全結論的量化提供強有力的幫助，給我國所做出的重要決策實行保密，對中國籌劃安全信息建設以及投入，甚至包括制定安全信息決策、探究與拓寬安全技術，都至關重要。因而，制定我國信息安全檢測辦法，是一項不容忽視的重要工作。

【參考文獻】

[1]曹一家，姚歡，黃小慶，等.基于D-S證據理論的變電站通信系統信息安全評估[J].電力自動化設備，2011，31（6）：1-5.

[2]焦波，李輝，黃東，等.基于變權證據合成的信息安全評估[J].計算機工程，2012，38（21）：126-128，132.

[3]張海霞，連一峰.基于測試床模擬的通用安全評估框架[J].信息網絡安全，2013，（z1）：13-16.

篇(4)

[關鍵詞] 信息安全市場 管理軟件 藍海定位點

在國內隨著信息安全產品成為炙手可熱的焦點，網絡設備廠商與專業信息安全廠商之間戰火重燃。從此前的思科、H3C進軍安全市場，到2006年百度以“整合資源”的方式高調進人，可以看出更多的網絡企業越來越關注信息安全產業。不能否認，這對于當前整體安全領域的形勢是有利的，但網絡設備廠商與專業安全廠商之間的競爭，對于先占市場先機的專業安全廠商仍是一個嚴峻的挑戰。因此，身處競爭激烈的信息安全市場的專業安全廠商，應如何恰當地選擇屬于自己的“藍海”，延續在信息安全市場的些許優勢尤為重要。

一、信息安全市場現狀

在網絡安全產品的平行市場中，政府繼續保持了市場份額第一位，電信和金融行業的市場份額分列第二和第三位，這主要得益于電子政務市場保持高速的增長，而電信、金融等行業的信息化建設相對放緩。從各類IT安全產品部署情況來看，“防病毒系統”、“防火墻”、和“入侵檢測與防御系統”仍然是最常見的安全產品。在2007年，SSL VPN在用戶得普及程度也逐步擴大，已經有接近15.2%得用戶部署了SSL VPN產品。而對于一些高級的安全產品，比如“企業資源管理”和“系統漏洞評估系統”等，部署的用戶則較少。

二、信息安全行業本質

1.信息安全市場需求特征

從需求方而言，對信息安全的迫切需求，即在信息廣泛流通而導致的巨大風險時，就有了對信息安全的需求。因此，信息產業發展得越快，對信息安全產品的需求也就越大。在中國網絡安全產品的垂直市場中，政府、大中型企業仍占據最大市場份額，但市場份額同比有所降低；教育和家庭市場對于網絡安全產品的需求較為平穩，市場份額變化不大。影響信息安全產品市場需求的主要因素有以下幾個：(1)信息本身帶給使用者的收益大?。菏找嬖酱?，要求保護的愿望越強烈，對信息安全產品的需求也就越強烈。(2)信息的流動渠道暢通程度和被攻擊的可能性(外部環境的安全性)：渠道越暢通，信息資源共享越深入，信息流傳開的可能性越大，損失產生的可能性也就越大，對信息安全產品的需求也就越大。(3)對信息安全產品需求還具有一個突出特點：對選定的往往希望它與其他各種信息產品具有兼容性。由此可見，信息本身對使用者收益越大、信息流動越暢通、被攻擊可能性越大的用戶越可能成為信息安全產品市場的聚焦點。

2.信息安全需求本質

（1)三分技術、七分管理。信息系統已經成為政府及企業這個復雜系統中的神經網絡。一個政府或企業，管理信息的機密性、完整性和認證性深刻地影響著企業的生產經營管理。因此，現代政府和企業需要構建和維護安全的信息系統，而這并不是僅僅依靠計算機技術人員就能夠完成的。信息安全主要是一個管理問題，而不是技術問題。

（2)無法測量，就無從管理。信息安全“三分技術，七分管理”的思想已被廣泛接受，然而在實際的安全實踐中，安全管理依然被人們忽視。導致這種局面的一個重要原因是安全管理的效果未能得到科學的評價。一方面安全管理的有效性難以評價，相對于安全技術，安全管理包括了眾多的非量化的難以測量的因素，所以評價工作難度較大；另一方面，人們過分依賴信息安全技術的實踐應用，而對于安全管理的評價研究卻比較零散。

（3)安全問題以“短板”為切入點。雖然制訂了較多的制度和標準，當信息化發展到一定程度，這些制度就顯得很單薄，就事論事的管理方式必然會產生安全管理的盲區。

（4)動態管理。在信息安全管理過程中，重點是抓好人員安全、風險評估、信息安全事件、保持業務持續性等重要環節，采取明確職責、動態檢查、嚴格考核等措施，使信息安全走上常態管理之路。

三、藍海的定位點――信息安全管理軟件

近期，《Information Week》研究部和埃森哲咨詢公司合作進行了第九年度“全球安全調查”，該調查全面揭示了商業計算環境所面臨的各種威脅。在受訪者當中，有57%的美國公司表示在過去一年中曾遭受病毒攻擊，34%曾受到蠕蟲的攻擊，18%經歷了拒絕服務攻擊；而中國的情形更差一些，有23%的公司表示其客戶數據安全受到威脅，27%的公司遭受了身份竊取形式的攻擊，受訪的2193名安全專家和商業經理中，58%的人認為安全管理已成為當務之急?？梢姡畔踩枨笾黧w必將對信息安全管理的軟件產品與服務產生迫切的需求。

針對安全管理的疏忽和漏洞統計及動態處理的相關解決方案必將有極強的吸附性。實際上目前一個組織對信息安全政策的實施度、信息安全保障的實際效果等都亟需客觀系統性的評價，而軟件行業的解決方案將準確高效的處理這些復雜的系統工程難題。

國際信息安全管理度量標準及模式開始在我國被廣泛認可。但信息安全管理標準是抽象的,因此在實施過程中需要選用那些已經對其進行充分量化的信息安全管理軟件,通過這些軟件,組織可以盡早的發現其內部的信息安全管理中所存在的薄弱點和威脅,并制定出決策方案使其損失降至最低。目前國外較常用的ASSET、COBRA和Callio Secura 17799三款軟件。

信息技術及管理學科的人才力量。在科研人才方面，目前我國重點高校都設置了與信息安全相關的專業，在管理學科領域，也出現了一些依托互聯網技術而產生的新專業。從職場人才來看，我國已具備了一批有戰斗力的網絡警察、反病毒工程師、紅客(信息安全員)等。與此同時，我國組織了大量的信息安全領域專家，成立了中國信息協會信息安全專業委員會等，為領導和指揮我國信息安全產業的發展提供了穩固的人才基礎。

參考文獻:

篇(5)

【關鍵詞】電子檔案；開放利用；信息安全保障；問題與對策

一、我國電子檔案安全管理發展現狀分析

電子檔案是依附于計算機網絡技術發展起來的，進入21世紀后，電子檔案逐漸取代傳統書面檔案管理模式。隨著計算機網絡工程技術的不斷改革和創新。電子檔案的管理模式、存在類型、儲存方式都發生了很大的變化，檔案的數據化管理和自動化管理是電子檔案管理發展的重要方向。電子檔案信息泄漏、盜竊事件，在各國家檔子檔案管理中頻發，這種“盜竊”現象不僅給國家帶來了巨大的經濟損失，也降低了電子檔案信息管理的可信度。如何提高電子檔案信息管理的安全性、穩定性已成為廣大計算機網絡工程技術人員研究談論的熱點問題，本文針對電子檔案形成、處理、儲存、運輸等方面問題進行深入分析和研究，探討對電子檔案安全管理有效的解決對策。

二、電子檔案信息安全面臨的威脅和問題

（一）電子檔案信息安全特點

網絡安全是電子檔案信息安全的重要保證，所以互聯網是電子檔案信息安全管理的前提，電子檔案信息安全主要體現在以下幾個方面：（1）電子檔案信息的真實性，電子檔案信息在開放利用過程中會經常被“篡改”，任何網絡用戶都可以根據自己的個人意愿決定電子檔案信息的內容；（2）電子檔案信息的完整性，電子檔案信息在虛擬的網絡環境下，經常會受到黑客、病毒的攻擊，這種惡意攻擊會嚴重影響電子檔案信息的完整性；（3）電子檔案信息的長效性，數字檔案信息對網絡的依賴性很強，一旦網絡癱瘓，那么電子檔案信息也會隨之消失，所以要想保證網絡信息的長效性，必須提高國家互聯網的安全性能和維護力度。

（二）影響電子信息安全的因素

1. 網絡安全

綜上分析可知，網絡是電子檔案信息實現儲存、傳輸的主要載體，網絡的安全對電子檔案的安全管理具有重要影響意義，目前網絡安全維護方面存在很多問題，其結構的不嚴謹性、不穩定性、脆弱性，導致電子信息面臨著嚴峻的網絡安全隱患。因為電子檔案信息在開放利用的環境下進行信息交流，所以國家通常不會對其網絡進行信息訪問權限。

2. 外部環境不穩定

外部環境對電子檔案硬件設備的威脅很大，其帶來的安全問題有可能會直接導致電子檔案信息的停運、丟失、損壞。電源是維持整個電子檔案系統正常運營的重要硬件，如果電源不穩定，那么電子檔案也會受到安全威脅。因為工業技術的不斷發展，很多企業的電子檔案都是在強磁、強壓、強輻射的環境下運行的，計算機網絡會受到這些外部環境的影響，使其電子檔案信息在儲存、傳輸過程中出現“安全危機”問題。

3. 電子檔案信息的滯后性

1996年國家檔案局就成立了電子文件歸檔與電子檔案管理研究領導小組，開展電子文檔管理方法、技術、標注和構建管理體系等方面的研究，經過多年研究和發展，電子檔案管理辦法雖然已經取得了顯著成績，但是電子檔案信息的滯后性仍影響著電子檔案信息的安全發展。

三、提高電子檔案信息安全性的幾點合理性建議

本文通過對電子檔案信息安全問題進行系統分析可知，要想在開放利用環境下實現電子檔案的安全管理，必須從根本入手，深化國家安全網絡基礎建設，設置網絡安全屏障，其具體實施步驟如下：（1）建立穩定的網絡環境，加強網絡安全基礎設施建設，提高計算機、儲存設備的防水、防火、抗震性能；（2）摒棄傳統的電子檔案安全管理觀念，從思想上認識電子檔案信息安全管理的必要性和重要性；（3）培養公眾檔案維護意識，為電子檔案信息安全保護奠定堅實的群眾基礎；（4）設置安全保障屏障，積極開發先進技術，如，路由安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全管理技術、系統漏洞檢測技術、病毒查殺技術等；（5）建立完善的電子檔案信息安全保障體系，圍繞電子檔案信息的安全管理目標，確定電子安全信息管理的指導思想，深入探討管理措施、管理內容、管理要求；（6）明確各部門電子檔案信息安全管理職責和支撐體系，如安全防護技術支撐、法律法規支撐、環境和設備安全支撐，人才資金支撐，讓電子檔案安全信息管理成為全社會共同努力的信息安全保障的目標。

四、結語

通過上文對電子檔案信息安全管理進行分析可知，我國有關電子檔案信息安全管理中仍存在很多管理漏洞，要想提高社會電子檔案信息的資源共享性和安全性，必須提升電子檔案信息安全管理地位，使電子檔案信息安全管理問題成為全國關注的焦點問題。

參考文獻

[1] 馬仁杰，劉俊玲.論電子檔案開放利用中信息安全保障存在的問題與對策[J].檔案學通訊，2012，13（04）：101-113.

[2] 陳振.檔案開放利用與信息安全保障研究[J].山東大學學報，2013（06）：103-115.

篇(6)

關鍵詞：信息安全；勒索病毒；黑客

針對最近出現的勒索病毒，某油田生產型企業通過網絡與信息安全情況通報，并采取緊急相關措施，包括斷網、及時更新操作系統補丁、更新MicrosoftOffice/wordpad遠程執行代碼漏洞、禁用WMI服務、禁用445端口等措施，及時避免勒索病毒。通過此次信息安全事件，我們進行了深入細致地分析，為今后生產型油田企業提供了寶貴的信息安全意見及措施方案。

1分析結論

1.1網絡情況分析

目前，企業內部是內部網絡，與外部網絡進行隔離;通過指定服務器授權，內部用戶才能連接到外部網絡。企業內部網絡，根據區域不同，分為不同的區域段、不同段域；同時，由于生產原因，又分為陸地網絡和海上網絡；陸地和海上網絡通過衛星、微波等方式進行連接。

1.2個人辦公電腦信息安全情況分析

個人辦公電腦，主要是以Windows7及以上版本為主；辦公軟件以Office\OutLook為主；同時由于專業、工作原因，各個技術人員會使用專業化很強的軟件。比如AutoCAD、ProE等。其中，還存在一定數量的WindowsXP操作系統的用戶，此情況以老同志居多。存在著信息安全意識不強，不想升級及僥幸心理等。針對Windows操作系統及Office\OutLook，定期進行系統補丁檢查。而專業化很強軟件，一般采取服務器用戶ID授權模式。但仍然感覺存在不同信息安全。

1.3服務器、工作站安全情況分析

(1）機房與外界采取防火墻隔離；服務器與外網，進行斷開處理；(2）服務器一般采取虛擬機管理；（虛擬機采用SymantecEndpointProtection進行病毒、漏洞管理）(3）服務器采取本地備份、異地備份等各種方式。(4）信息中心、數據中心都建立系統測試服務器，最大可能保證信息系統及軟件系統的安全性。

2信息安全防護技術方法及措施

2.1信息安全防護管理方面要求

(1）提高信息安全意識(2）有效地進行信息安全培訓(3）針對組織管理上存在漏洞，信息化管理進行把控(4）定期進行信息安全演練，做好防護意識

2.2個人計算機電腦防護

(1）安裝殺毒軟件，及時更新系統補丁(2）對于陌生郵件，提高警惕，避免打開(3）打開防火墻，設置安全接入規則(4）安裝專業軟件，需在信息管理人員指導下完成(5）個人計算機重要資料，要定期進行備份處理

2.3服務器及工作站建立總體防護體系

在油田生產型企業中，服務器、工作站是信息安全管理中的重中之中，因此必須要對此進行重點信息安全管理及防護。(1)加強機房管理建立機房管理制度，禁止陌生人進入機房并接入機房網絡；如需接入網絡，需向信息安全人員提出申請并進行嚴格審批。關于軟件信息系統測試及，請在指定測試服務器上完成其相關信息安全檢查。只有通過信息安全檢查后，才可以部署在生產服務器上。機房要有相關災備方案及措施。(2)加強防火墻管理防火墻對于服務器及工作站來說，就相當于其衛兵；只有嚴格制定物理防火墻的相關準入、準出規則、訪問機制，并定期進行接入接出數據端口掃描工作同，及時發現頻繁或異常點，并進行跟蹤、研究、調查，及時避免漏洞出現。(3)建立信息安全管理信息系統企業及公司可建立總體信息安全管理信息系統，從一般信息安全培訓到專業防護指導；從對普通用戶計算機漏洞掃描到專業服務器平常日志、端口數據分析異常點，軟件授權、用戶認證等，建立統一、整體、完善的管理信息系統，從而提高整體信息安全管理水平。

2.4內部需要加強認證

油田生產型企業，由于其工作性質決定其在內部網絡、系統程序等方面，需要加強認證機制。建立良好的認證管理流程，從申請到接入，從信息系統用戶管理等方面加強管理。從而避免惡意用戶或程序訪問及接入。同時還要通過整體網絡系統掃描機制，可以有效防護惡意攻擊。

3結語

通過上述信息安全分析，油田生產型企業信息安全總體上處于安全級別，能夠有效避免、防護病毒攻擊及系統漏洞。但在細節上仍然存在一些漏洞：1)、網絡上存在可以隨意接入未認證個人電腦的可能性；2）、內部個人計算機存在通過郵件、通信網絡等方式被攻擊模式；3）、服務器端仍存在補丁不及時、病毒庫更新延遲等情況；4）服務端無法識別內部網絡內的安全用戶和陌生用戶；5）遠程傳輸數據仍有可能被攻擊的可能性等。信息安全仍然需要關注，需要不斷提升管理、技術及防護水平。為信息安全管理提供了參考。具體意見如下：(1)加強信息安全防護管理方面要求，不僅用戶意識到組織管理，從個人計算機漏洞管理到信息系統的管理，都需要加強信息安全防護管理方面要求。從各個層面，加強信息安全漏洞及缺失點管控。(2)重點加強服務器及工作站信息安全管理工作，通過防火墻、機房管理制度、軟件專業漏洞掃描工具使用、機房災備、信息系統的安全管理等各個方面加強管理。(3)內部認證制度建立，更好防護網絡的安全性，從根本上杜絕惡意接入和惡意破環。(4)建立整體企業信息安全管理信息系統，提高整體信息安全管理水平。

參考文獻：

[1]DafyddStuttard、MarcusPinto[著]石華耀、傅志紅[譯]，黑客攻防技術寶典WEB實戰篇（第2版），人民郵電出版社，2012-7:115-207.

篇(7)

一、電子檔案中信息安全管理的必要性

電子檔案對于企業來說是一種無形資產，尤其是在網絡化、信息化日益重要的21世紀，電子檔案信息更是企業所有的一種不可估量的無形價值，對于某些單位來說，電子檔案不僅是記載重要客戶信息的載體，同時又是企業成功開拓市場的重要信息資源，此外，重視并建立起電子檔案信息安全管理系統，對于某些企業來說，不僅是對客戶的隱私的保護，同時又是取得客戶信任的重要前提，亦是在激烈的市場競爭中立于不敗之地的重要保障。

二、電子檔案中信息安全管理存在的問題

網絡環境是一個極為復雜的虛擬環境，其帶有很大的安全隱患，使得電子檔案管理在網絡環境下存在很大的風險及漏洞，出現泄密、偽造等問題，給電子檔案管理工作帶來很多的挑戰與潛在風險。

（一）黑客入侵

我國高校越來越重視對電子計算機技術人員的培養，一方面為我國經濟發展輸送了大量知識技術型人才，另一方面也出現了一些黑客分子。這些人擁有很高的計算機水平，專門攻破各網站，并獲取大量電子信息資源，以謀取個人利益，給電子檔案信息安全管理帶來了威脅。

（二）計算機病毒的傳播

計算機病毒的傳播形式多樣，即使一個鏈接也可能是潛在的計算機病毒。電腦系統一旦染上這些病毒，嚴重威脅到了電子檔案信息的安全性。

（三）個別檔案管理人員職業道德素質的低下

個別單位的電子檔案管理人員在金錢等其他方面的誘惑下，違背自己的職業操守，以非法的途徑向某些單位人員出售電子檔案信息。

三、電子檔案中信息安全管理問題的解決措施

電子檔案的信息安全管理主要表現為對信息安全存在的潛在風險的一種主動性預防和控制，是為減少甚至是杜絕信息安全管理出現漏洞時，給個人或者企事業單位所帶來的損失。

（一）開發研究更加嚴密、技術水平

更高的電子檔案管理系統。在電子檔案管理系統的開發設計上，應該聘請具有更高資格、更高技術水平的計算機專業人才進行開發設計，并設置多道保護程序，進行反復試驗，尋找潛在的風險漏洞，一旦發現，立刻修補。

（二）安裝防火墻和殺毒軟件

為保障單位電子檔案資源的安全性，應督促單位安裝防火墻，保障單位內部局域網的安全，使其在與外網之前形成一道安全屏障。此外，應督促每臺電腦安裝殺毒軟件，每天進行電腦殺毒。

（三）規范和完善電子檔案信息安全

管理制度，加強對相關工作人員的道德素質教育單位內部應建立起完善的電子檔案制度，采取規范性電子檔案信息安全管理措施。加強對工作人員的道德素質教育，獎罰分明。

（四）其它一些對策