信息安全服務精品(七篇)

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇信息安全服務范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

IT服務外包井噴式發展

在強調企業核心競爭力的今天，越來越多的公司將IT服務外包作為企業長期戰略成本管理的新興工具。服務外包的實質是企業和服務商之間的“委托―”關系。企業需要對自己重新進行定位，截取價值鏈中較短的部分，縮小經營范圍，在此基礎上重新配置企業的各種資源，將資源集中到最能反映企業優勢的領域，從而更好地構筑競爭優勢，以此獲得可持續發展的能力。

隨著企業業務發展過程中信息系統所涉及的內容越來越多、結構越來越龐大，企業信息化再也不僅僅是IT部門自己的事情。企業市場競爭壓力越來越大，在信息化建設和管理期間迎來了嚴峻的考驗。一方面是IT部門人員少、系統多、任務重，另一方面是公司要求IT部門削減成本、并消除由于缺乏內部控制和運作準則導致的混亂狀態，以更高效地服務業務部門。

在多重壓力之下，許多企業認為IT部門最重要的工作是確保信息和流程的順暢，而服務器、存儲系統、網絡或者交換機等設備并不是最重要。因此，許多企業傾向于將某些應用系統、基礎設施和部分非核心系統外包給服務商負責維護。

IT服務外包的風險

企業借外部力量提供專業化服務、將部分非核心業務進行離岸資源外包的過程中，面臨著管控、運營等一系列風險，其中最重要的是信息安全風險的威脅。

從表面上看，采用IT外包策略不但可以節約成本，還能提高效率。但事實上，許多企業對IT外包都有許多道不盡的愛恨情仇。外包是一柄雙刃劍，其好處是可以向企業灌輸技術與人才，幫助企業擺脫繁瑣的IT業務――有效的外包能讓公司更好的專注于核心業務。

但是進行IT外包并不是一件輕松的事情，如果處理不好，不僅不會帶來預期的效益，反而會變成一場噩夢和致命的災難。所以對于企業IT主管部門而言，必須具有很強的經驗和管理技能，才能談“外包” 二字。

IT外包服務要成為一種商品，就必須形成一套規范和標準，以約束買賣雙方。但目前國內IT外包服務領域既無統一規范也無公認標準。概念模糊的用戶，面對同樣概念模糊的IT廠商，如何評估、簽合同、質量控制和定價等都是潛在的“風險”。

此外，IT外包還面臨著 IT管理的復雜性、軟件缺失、知識產權以及IT外包服務提供商自身能否健康成長等風險。因此企業需要在風險、成本與效果、效率之間找到平衡點。

同時，由于委托方和方之間可能存在信息不對稱和信息扭曲等問題，加之市場及宏觀環境的不確定性，導致委托方在實施外包過程中承擔著種種風險。

外包服務關鍵詞：信息安全

企業在IT服務外包過程中面臨的最大挑戰，就是如何確保企業信息和數據的安全，如何建立起有效的信息安全管控框架，以符合企業信息安全要求。

首先，確認企業內部信息安全管控過程是否可持續監管和優化。在信息防泄漏的“戰爭”中，相比于躲在暗處的泄密者和安全威脅，站在明處的企業顯然略失先機。但如果企業能夠做到預先防御，在對手出招之前采取針對性的保護措施，就能從根本上“轉被動為主動”，做好內部數據安全防護。

因此，良好的信息防泄體系的前提就是要時刻掌握企業動態，做到要有的放矢。很重要的一點是要實現內部操作的“可視化”，以隨時監測整個信息系統的安全狀況，做到迅速反應，甚至還能預測到潛在的風險，化被動防御為積極防御。

其次，企業信息安全體系設計需進行全局評估和建設，規避疏漏和風險。安全領域中的木桶理論和馬其頓防線的故事相信大家都了解――無論怎么豪華的防線，一個漏洞就可以毀滅所有一切。在企業中，有時候可能是一個小小的系統漏洞就可能毀滅了幾百萬投資的努力，或者一個無意的非法補丁行為就讓企業蒙受損失。

因此，在解決安全問題之時，不能僅僅依賴透明加密等技術手段，“頭痛醫頭，腳痛醫腳”地堆砌不同安全產品及封堵安全漏洞，而是需要站在一個更高的戰略角度來通盤考慮。如果缺乏整體的分析視角，企業可能會忽視或者低估某個安全攻擊的真正威脅，采取的安全措施也可能無法解決真正的問題。

所以，在實際的防泄漏建設中，必須從整體上來評估企業的信息安全狀況，運用統一平臺來進行風險和安全管理，檢測出內部問題，從而描繪出整個企業當前安全情況的更清晰和更準確的圖景，采取針對性的防護措施，最大限度降低企業的安全風險。

另外，要有安全和防護等級措施。企業在構建立體化、全方位的整體信息防泄體系時并不是一刀切，不分輕重地在全公司范圍內采取相同的策略，這樣雖然看似達到了最為安全的效果，但對業務造成的巨大影響，以及因此產生的高額成本，對企業來說，都是巨大的負擔。

對信息安全來說，威脅和風險往往和高價值的信息資產聯系在一起，安全保護工作也就應該輕重有別，將重點放在高價值的信息資產上。在安全建設過程中，對程度高的部門或崗位進行力度大的防御，對程度低的部門采取相應的安全防御。同時衡量提升安全性可能帶來的業務操作上的麻煩、企業安全成本等問題，是企業必須要做的事情。

在企業實施安全防護等級風險評估過程中，往往需要結合企業的實際情況，對三種技術手段整合運用：首先，在全公司范圍內進行安全審計，掌握企業操作，發現安全隱患；其次，對特殊崗位和部門，進行嚴格管控，限制信息的帶出；最后，在核心部門內部，對機密信息進行透明加密。這樣既可保證公司的正常業務運作，又能有的放矢地實現最優化的信息防泄漏管理，還大大節約了投資成本。

此外，利用科學可行的安全策略和必要的技術手段實現動態性防護。動態性的信息泄露防護，對于目前泄密方式日益增多的企業來說，非常重要。某些企業往往在安全事件發生之后才對現在的策略進行被動的調整。這種“吃一塹、長一智”的防護模式，對于企業而言，有可能是致命的。一旦出了安全事故，恐怕亡羊補牢，為時已晚。

企業需要建立一個動態性的安全防護，前瞻性地發現安全威脅，并通過對技術或管理上的策略進行及時調整更新，防范潛在的安全風險。

最后要強調的是，信息安全體系必須便于使用和維護。如今，市場上五花八門的信息防泄漏產品讓企業眼花繚亂，企業期望這種“強強組合”能給企業套上萬無一失的金鐘罩。殊不知這種做法往往意味著企業必須付出較高的成本，并增加了技術的復雜性，還容易導致產品軟件沖突等問題，企業雖然“裝”了安全產品，但根本“用”不了。

目前，能夠提供整體解決方案的單一安全產品可謂不錯的選擇，它能夠幫助企業建立統一的安全管理平臺，無論企業安全邊界防護、還是內部使用，都做了整體全面的考慮，同時簡化了日常的操作與管理、降低了系統的資源占用、避免了軟件沖突等多種問題，使用維護亦非常方便，大大節約了IT人員的時間和精力。

綜上所述，如企業信息防泄漏建設符合以上檢測標準，說明該企業已經建立了一個完善的整體信息防泄漏體系，機密信息也得到了最大化的保護，實現了“成本、效率、安全”三者的最佳平衡，這也是近年來被大家認可的“整體信息防泄漏”理念的核心。

實際上，信息防泄本身就是一種博弈，是企業和人的博弈。它是一場思維的交鋒，企業只有掌握了內部的行為操作，同時針對內部安全威脅建立全面、立體化的安全防護，信息防泄才會立于不敗之地。

天璣外包信息安全管控體系

天璣科技提供的IT外包（IT Outsourcing）服務，即“承接企業IT系統維護與管理，按雙方服務協議內容完成相關服務”的業務模式。

隨著客戶對信息安全管理的要求越來越高，天璣科技把IT外包的信息安全管理放在首位，積極貫徹基于風險的管理方法，針對IT服務外包中的安全管理進行了系統思考和有益的嘗試。

外包基礎和簡單重復的服務：考慮到信息安全管理問題，天璣科技初期外包服務范圍主要以基礎服務外包為主，即將IT系統日常的硬件與軟件維護、Helpdesk呼叫中心、信息系統的編碼等活動外包，而對于IT系統的規劃與管理、核心應用系統（如ERP、CRM）的設計與維護仍然由企業IT部門承擔。這樣避免了IT服務人員接觸組織的核心系統信息，降低了IT服務外包對IT系統敏感部分帶來的安全風險。

具備信息安全管理資質：由于IT外包服務過程中，IT服務人員必然會接觸到企業的系統設備甚至是內容，如何成為一家可靠安全的IT服務外包供應商也是在進行IT服務外包前必須考慮的重要方面。天璣科技是一家已經建立起完善的信息安全管理體系，并通過了BSI安全認證審核的IT服務外包供應商，專門從事IT服務外，擁有很多有影響的大客戶。天璣科技會根據服務內容簽訂責任明確的服務合同，在服務合同中詳細闡明雙方在服務提供過程中對信息安全的責任十分關鍵。

強化日常服務的安全管理：信息安全管理的要求應該體現在IT服務日常管理的各個方面，主要包括：日常活動規范的建立；服務變更控制；服務人員管理；安全事件處理；業務持續管理；知識產權保護和監控與審核等內容。

日常活動規范的建立：針對服務協議中明確的服務內容，建立規范的服務流程是開展IT服務活動的基礎。企業信息化主管部門根據雙方簽訂的服務協議，與供應商IT服務主管人員一起建立一套完整的服務規范。服務規范中對服務過程中的安全風險均采取了適當的控制措施，確保了服務活動滿足企業信息安全管理策略的要求。

服務變更控制：天璣科技遵從在調整其服務流程和變更服務技術前必須事前進行溝通，在企業評估變更的影響并確認采取了響應控制措施后才能進行服務過程的變更。

服務人員管理：服務人員是IT服務活動的直接執行者。為確保服務人員能夠滿足要求，天璣科技明確規定了IT服務人員的能力要求和標準，確保只有技術能力強、認真負責的服務人員才能進入服務項目組。同時，對服務人員篩選、培訓和變動也提出了具體要求。

安全事件管理：發生安全事件后，雙方人員的協調和互動將直接影響對事件處理的結果。在服務過程中發生和發現的信息安全事件必須第一時間上報企業主管部門，在企業主管部門的組織下完成對安全事件的處理。

業務持續管理：由于企業將核心網絡和系統硬件均托管給了IT服務供應商進行日常維護。IT服務供應商是否具備滿足組織業務需求的業務持續管理能力，成為保證企業信息系統業務持續的關鍵。在企業整個業務持續管理的框架下，對IT服務供應商的業務持續管理能力提出了明確的要求，在服務協議中進行了明確的定義。同時，針對具體服務系統雙方共同制定了相應的災難恢復計劃。

知識產權保護：桌面服務中如何保護組織以及相關方的知識智力產權，是需要在進行IT服務外包過程中管理和控制的重要內容。天璣科技在軟件安裝和服務過程中工具的使用過程都明確規定了對軟件許可證的跟蹤與管理要求，確保服務活動滿足對知識產權保護的要求。

篇(2)

現在的社會發展迅速，科技普及，信息傳輸速度快，人與人之間的交往因為大數據時代的到來變得越來越密切，這與云服務的發展密不可分，它的出現是大數據時代的又一巨變。

【關鍵詞】大數據時代 云服務 信息安全

在大數據快速發展的同時，“云服務”信息安全保護已經延伸到了眾多領域。大數據離不開“云服務”，“云服務”離不開信息安全，云數據在為大數據提供平臺的同時，要確保數據的私密安全。尤其在一些重要的領域，信息的泄露會對個人、企業、乃至國家造成嚴重的損失，所以在這種情況下，信息安全保護極其重要，是確保大數據和“云服務”穩定并且持續發展的重要前提。

1 大數據時代“云服務”的特征

在信息發達的現代社會，“云服務”帶給我們非常好的數據存儲平臺。我們可以將自己的信息放到云端，以便于隨時隨地的應用。將云服務的主要特征劃分為以下幾個方面：一，方便快捷?！霸品铡钡钠占?，使得使用者具有了一個內存大且不易丟失的存儲工具，人們只要將數據信息傳到上面，就可以放心的查看，使用，大大的節省了時間，給人們的生活帶來便捷。二，高性能，高可靠性?！霸品铡钡母鱾€單元相互獨立，不會互相影響，它們有各自的軟件及硬件資源，提供了高性能的服務。同時，在云端，提供各種數據的存儲以及備份，還可以在工作失誤的情況下，提供恢復的服務，大大的提高了使用的可靠性。三，隱私問題的保護和安全性有待提高。每件事情都有兩面性，“云服務”也有。如何保證用戶的數據不被非法的查看、盜竊、修改，是現在技術方面要著重考慮的問題。

2 “云服務”信息安全隱患產生原因

2.1 前期開發階段安全性不高

軟件在開發過程中，設計者沒有考慮到來自互聯網方面的各種危害，沒有對軟件本身的安全度加固。還有就是監管不到位，使用者沒有注意到軟件的防護與定期監管，就會使得各種惡意軟件有了入侵的機會。

2.2 使用者安全意識淡薄

使用者在注冊登錄的時候設置的密碼過于簡單，大大的降低了安全度。此外，沒有做好安全加固和內部訪問設限等都是潛在的安全隱患。

2.3 黑客對信息的竊取

因為“云服務”的大范圍使用，用戶會將很多重要信息傳到云端，這樣就吸引大部分的競爭者。他們想要竊取并修改對方的信息，以造成對方的巨大損失，這樣就產生了很多侵入別人信息內部的黑客。黑客是“云服務”信息安全的重大隱患。

2.4 相關使用法律不規范

“云服務”的相關法律法規存在不規范之處，其對于使用者缺乏有效的監管與約束，從而造成了大量的使用者肆意妄為的現象頻頻發生。

3 大數據時代“云服務”信息安全保護的重要性

因為“云服務”使用的范圍廣泛，大到國家，軍隊的相關信息，小到企業，個人的相關信息都與“云服務”密切相關。一個信息的泄露有可能影響到全局的發展，所以提高安全性是必要的。

信息是一種資源，而信息安全主要包括信息的完整性、可用性、保密性和可靠性。完整性是指確保信息完整，不能丟失。當用戶將數據傳輸到云端，要確保數據永久存在，這樣才可以讓廣大的使用者產生信任，吸引更多的使用者?？捎眯允侵笖祿鬏敵晒?，當用戶再次使用，應確保數據仍舊可以被使用。保密性是指信息不能被泄露和修改。最后一個可靠性是指這個平臺無論是本身存儲方面，還是后期的管理方面，都要確保萬無一失。這樣才能使“云服務”更加廣泛、放心地被使用。

4 “云服務”信息安全保護措施

4.1 加強技術保護

技術能力的提高是信息安全保護的直接方式。在網絡普及的現代，侵權者的手段在不斷的提高，過去保護的方法已經被破解，為了信息的安全存儲，技術方面的提高迫在眉睫。在各方面迅速發展的情況下，研究新型的技術，培養高技術人才是網絡信息安全保護的重大任務。

4.2 加強監管能力

這里的監管包括軟件自身的監管，行政監管和本身使用規范的監管三方面。件自身的監管就是要增強軟件自身防惡意侵襲和對軟件時刻監管的能力，只有這個能力增強了，軟件自身的可靠性也就大大的提高了。行政監管就是網絡安全部門要制定相關的制度，必須明確使用者權限以及越權的相關懲罰。本身使用的監管就是使用者本身要有自我約束能力。

4.3 增強加密系統

設置加密系統，首先要設定用戶權限。具體表現為；為不同用戶設置不同的使用權限，當非本人操作時，就會發出報警和自動加鎖。其次要對數據進行加密，當用戶申請訪問數據時，就會有相應的解密，如果解密成功，就可以訪問。反之，就會發出報警。當然，針對時間長久遺忘了相關加密信息的使用者，也應該有相關的驗證，然后重新獲取。

4.4 增加相關保護法則

近年來，國家越來越致力于大數據的應用，那么越來越多的重要信息被傳入到“云服務”。這些數據都是至關重要的，應該添加重要的法則加以約束。

5 結語

大數據和“云服務”的時代已經到來，各行各業得到了迅速的發展，這給我們帶來眾多益處的同時也帶來了更多的機遇和挑戰。我們應該積極的面對，不斷地發展，提高使用的安全性，讓使用者更加放心的使用，讓時代快速發展。

參考文獻

[1]李佳倩.大數據時代的信息安全問題[J].信息安全導論論文，2015.

篇(3)

 

1 社區衛生服務中心信息安全背景

 

20世紀90年代以來，信息技術不斷創新，信息產業持續發展，信息網絡廣泛普及，特別是原衛生部《衛生信息化發展規劃(2011～2015年)》之后，明確了衛生信息化是深化醫藥衛生體制改革的重要內容。那么作為整個衛生信息化體系的“網底”的社區衛生服務中心，其重要性不言而喻。隨著衛生信息化的建設不斷擴展和深入，依托于區域衛生信息中心的各類應用系統不斷上線推廣應用。網絡與數據安全已逐步成為各項衛生信息工作開展的重要基礎依托。因此社區衛生服務中心作為區域衛生信息中心的重要結點。信息安全管理就顯得尤為重要。

 

2 什么是信息安全管理

 

“三分技術，七分管理”是信息安全保障工作中經常提到的?？梢?，信息安全管理是信息安全保障的至關重要的組成部分。信息安全管理(Information Security Management)指組織中為了完成信息安全目標，遵循安全策略，按照規定的程序，運用恰當的方法，而進行的規劃、組織、指導、協調和控制等活動。作為組織完成的管理體系中的一個重要環節，它構成了信息安全具有能動性的部分，是指導和控制組織相互協調完成關于信息安全風險的活動，其對象就是包括人員在內的各類信息相關資產。在社區衛生服務中心由于信息系統應用較為廣泛，基本包含了醫療、護理、醫技、行政等所有科室及其人員。

 

長期以來，社區衛生服務中心在信息安全建設方面，存在重技術輕管理、重產品功能輕安全管理、缺乏整體性信息安全體系考慮等各方面的問題。區域衛生信息中心采用集中管理的信息安全技術及產品的應用，一定程度上可以來解決社區衛生服務中心在網絡傳輸時的信息安全問題。但是僅僅靠這些產品和技術還不夠，即使采購和使用了足夠先進、足夠多的信息安全產品，仍然無法避免一些信息安全事件的發生。近年來，由于管理不善、操作失誤等原因導致的衛生信息及病患基本信息泄露的安全事件數量不斷攀升，更加劇了社區衛生服務中心需要信息安全管理的迫切性。

 

3 社區衛生服務中心信息安全管理作用

 

社區衛生服務中心信息安全管理的作用體現任以下幾個方面。

 

3.1信息安全管理是社區衛生服務中心組織整體管理的重要的、固有的組織部分，是組織實現中心業務目標的重要保障。在信息時代的今天，信息安全威脅已經成為社區衛生服務中心等醫療機構業務正常運營和持續發展的最大威脅。如在社區衛生服務中心發生的費用結算85%以上通過醫保信息系統來進行，所有的醫生工作站都依托中心服務器來提供數據進行操作，醫技部門也通過信息系統獲取病人信息和傳送結果。一旦信息系統發生故障對于社區衛生服務中心來說是災難性的。因此中心需要信息安全管理，有其必然性。

 

3.2信息安全管理是信息安全技術的融合劑，是各項技術措施能夠發揮作用的重要保障。安全技術是信息安全控制的重要手段，許多信息系統的安全性保障都要依靠技術手段來實現，但光有安全技術還不行，要讓安全技術發揮應有的作用，必然要有適當的管理程序的支持，否則，安全技術職能趨于僵化和失敗。如果說安全技術是信息安全的構筑材料，那么信息安全管理就是融合劑和催化劑，良好的管理可以變廢為寶，使現有的各項技術相互配合發揮應有的作用，而糟糕的管理會使技術措施變得毫無用處。實現信息安全，技術和產品是基礎，管理才是關鍵。在信息安全保障工作中必須管理與技術并重，進行綜合防范，才能有效保障安全，這也是實現信息安全目標的必由之路

 

3.3信息安全管理是預防、阻止或減少信息安全事件發生的重要保障。早期人們對于信息安全的認識主要側重在技術措施的開發和利用上，這種技術主導論的思路能夠解決信息安全的一部分問題，但卻解決不了根本，據權威機構統計表明，信息安全問題大約70%以上是由管理方面原因造成的，大多數信息安全事件的發生，與其說是技術上的原因，不如說是管理不善造成的。因此解決信息安全問題、防止發生信息安全事件不應僅從技術方面著手，同時更應加強信息安全的管理工作。

 

信息安全涉及的范疇非常廣，信息安全不是產品的簡單堆積，也不是一次性的靜態過程，它是人員、技術、操作三者緊密結合的系統工程，是不斷演進、循環發展的動態過程。因此，要求社區衛生服務中心的相關人員正確理解信息安全、理解信息安全管理的關鍵作用，以更好地開展信息安全管理工作。強調信息安全管理的作用，并不是要削弱信息安全技術的作用;開展信息安全管理工作，要處理好管理和技術的關系，要堅持管理與技術并重的原則，這也是信息安全保障工作的主要原則之一。

 

4 社區衛生服務中心信息安全管理控制措施

 

在我國對于信息安全等同采用IS0 27002：2005，命名為《信息技術安全技術信息安全管理實用規則》(GB/T 22081-2008)。信息安全是通過實施一組合適的控制措施而達到的，包括策略、過程、規程、組織結構以及軟件和硬件功能?？梢妼τ谏鐓^衛生服務中心的信息安全來說，安全控制措施是必要且十分重要的。其中比較重要的如下：

 

4.1安全方針 社區衛生服務中心的信息安全方針控制目標，是指中心的信息安全方針能夠依據業務的要求和相關法律法規提供管理指導并支持信息安全。社區衛生服務中心信息安全方針文件的內容應包含中心管理者的管理承諾、組織管理信息安全的方法、中心信息安全整體目標和范圍的定義、中心管理者意圖的聲明、控制目標和控制措施的框架、重要安全策略、原則、標準和符合性要求說明、中心信息安全管理的一般和特定職責的定義、支持方針的文件的引用等。

 

4.2信息安全組織 信息安全組織一般分為內部組織和外部組織。社區衛生服務中心內部組織的信息安全控制目標是指在中心內管理信息安全。組織的安全建立在每一位人員不同責任分工的劃分，不同的責任會有不同的工作指導原則。其中應當包括信息安全的管理承諾、信息安全協調、信息安全職責的分配、信息處理的授權、保密協議、信息安全的獨立評審等。社區衛生服務中心外部組織的信息安全控制目標是保持中心被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理的安全。主要包括中心與系統外單位信息通信相關風險的識別、處理相關的安全問題和處理第三方協議中的安全問題等。

 

4.3人力資源安全 人員在中心的信息安全管理中是一個最重要的因素，有資料表明，70%的安全問題是來自人員管理的疏漏，為了對人員有一個有效的管理，需要從任用之前、任用中、任用的終止或變更三項控制目標進行管理。

 

4.3.1任用之前控制是指社區衛生服務中心任用人員之前為了確保人力資源的安全，需考慮到角色是否適合相應崗位，以降低設施被竊、信息泄露和誤用的風險，這一目標的實現需通過角色和職責、審查、任用條款和條件三項控制措施的落實來保障。

 

4.3.2任用中社區衛生服務中心的信息安全控制目標就是確保所有的員工、承包方人員和第三方人員知悉信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針，以減少人為過失的風險。

 

4.3.3社區衛生服務中心發生任用的終止或變更時，應確保信息的安全不外泄，確保員工、承包方人員和第三方人員以一個規范的方式退出或改變其任用關系?？梢酝ㄟ^終止職責、資產的歸還、撤銷訪問權限等控制措施來實現。

 

4.4物理和環境安全 社區衛生服務中心的物理和環境安全可以從安全區域和設備安全來入手管理。定義安全區域是為了防止對中心場所和信息的未授權物理訪問、損壞和干擾?？梢酝ㄟ^設置物理安全邊界、物理入口控制、辦公室房間和設施的安全保護、外部和環境的安全防護、在安全區域工作、公共訪問和交接區安全。設備安全是指防止由于資產丟失、損壞、失竊而危及社區衛生服務中心的資產安全以及信息安全。中心可通過設備安置和保護、支持性設施、布纜安全、設備維護、場所外的設備安全、設備的安全處置和再利用，資產的移動等措施來進行保障。

 

4.5通信和操作管理 社區衛生服務中心的通信和操作管理一般可從操作規程和職責、第三方服務交付管理、系統規劃和驗收、防范惡意和移動代碼、備份、網絡安全管理、介質處置、信息的交換、電子商務服務、監視等方面入手。

 

4.6訪問控制 對于社區衛生服務中心來說，訪問控制可從訪問控制的業務要求、用戶訪問管理、用戶職責、網絡訪問控制、操作系統訪問控制、應用和信息訪問控制、移動計算和遠程工作等控制目標來入手。

 

4.7信息安全事件管理 社區衛生服務中心的信息安全事件管理可以從報告信息安全事態和弱點、信息安全事件和改進的管理兩個控制目標入手進行管理。

 

4.7.1報告信息安全事態和弱點這項控制目標旨在確保中心與信息系統有關的信息安全事態和弱點能夠以某種方式傳達，以便及時采取糾正措施。該目標下有報告信息安全事態和報告安全弱點這兩項控制措施來保障這一目標的實現。①報告信息安全事態控制措施，是指信息安全事態應該盡可能快地通過適當的管理渠道進行報告。實施過程中應建立正式的信息安全事態報告程序，以及在收到信息安全事態報告后采取措施的事件響應和上報程序。②報告安全弱點控制措施，是指中心應要求信息系統和服務的所有職員、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統或服務的安全弱點。報告機制應盡可能容易、易理解和方便可用。應告知他們在任何情況下，都不應試圖去證明被懷疑的弱點。

 

4.7.2信息安全事件和改進的管理。社區衛生服務中心信息安全事件和改進的管理這一控制目標旨在確保采用一致和有效的方法對信息安全事件進行管理。中心可以用職責和程序的控制措施、對信息安全事件的總結、證據的收集三項控制措施來保障這一目標的實現。①職責和程序的控制措施。它是指中心應當建立管理職責和程序，以確保能對信息安全事件做出快速、有效和有序的響應。該項措施實施時除了對中心的信息安全事態和弱點進行報告外，還應利用對系統、報警和脆弱性的監視來檢測中心信息安全事件。遵循嚴格的信息安全事件管理程序的前提是中心需建立規程以處理不同類型的信息安全事件，如惡意代碼、拒絕服務、信息系統故障和服務丟失、違反保密性和完整性、信息系統誤用等。中心除了考慮正常的應急計劃還要考慮事件原因的分析和確定、遏制事件影響擴大的策略、向合適的機構報告所采取的措施等。②中心對信息安全事件的總結控制措施，是指社區衛生服務中心應有一套機制量化和監視信息安全事件的類型、數量和代價。從信息安全事件評價中獲取的信息應用來識別再發生的事件或高影響的事件。③證據的收集。證據的收集對于社區衛生服務中心來說，是指當中心的一個信息安全事件涉及到訴訟(民事的或刑事的)，需要進一步對個人或組織進行起訴時，應收集、保留和呈遞證據，以使證據符合相關訴訟管轄權。過程有：為應對懲罰措施而收集和提交證據，應制定和遵循內部程序，為了獲得被容許的證據，中心應確保其信息系統符合任何公布的標準或實用規則來產生被容許的證據：任何法律取證工作應僅在證據材料的拷貝上進行。

 

4.8業務連續性管理 對于社區衛生服務中心來說業務連續性管理是指防止中心業務中斷，保證中心重要業務流程不受重大故障與災難的影響。業務連續性管理過程中包含信息安全，該控制措施是指應為貫穿于組織的業務連續性開發和保持一個管理過程。解決中心的業務連續性所需的信息安全要求，保護關鍵業務過程免受信息系統重大失誤或災難的影響，并確保他們的及時恢復。應包含中心的信息安全、業務連續性和風險評估、制定和實施包含信息安全的連續性計劃、業務連續性計劃框架、測試、維護和再評估業務連續性計劃等內容。

 

5 社區衛生服務機構信息安全的展望

 

對于社區衛生服務中心來說信息安全保障不僅僅是一門技術學科，信息安全保障應綜合技術、管理和人。在中心的管理上，信息安全保障應考慮建立綜合的信息化的組織管理體系，明晰相應的崗位職責、規章制度并嚴格執行等等。在人員上，應加強所有使用信息系統人員的安全意識和技能，以及中心從事信息系統專業人員的專業技能和能力。社區衛生服務中心的信息安全保障亦不是一種項目性的暫時行為，而是融入信息系統生命周期的全過程的保障。信息安全保障不是一種打補丁，頭疼醫頭、腳疼醫腳的臨時行為，而是一種系統化、體系化的保障過程。信息安全保障的目的不僅僅是保障信息系統本身，信息安全保障的根本目的是通過保障信息系統進而保障運行于信息系統之上的中心業務系統。信息安全保障應以業務為主導、以社區衛生服務中心的使命、社會職責和社會服務性為出發點和落腳點。社區衛生服務中心的信息安全保障不僅僅是孤立的自身的問題，信息安全保障是一個社會化的、需要各方參與的工作。信息安全保障不僅僅是孤立的自身的問題，信息系統需要電信、電力等基礎設施的支持、信息系統需要承擔保密、公共安全、國家安全等社會職責，信息安全保障工作是一個社會化的、需要各方參與的綜合的工作。社區衛生服務中心的信息安全保障是主觀和客觀的結合。沒有絕對的安全，信息安全保障并不提供絕對的安全，信息安全保障是討論風險和策略，討論適度安全。因此，它是一個需要持之以恒和不斷完善與發展的工作。

篇(4)

【Key words】Cloud computing； Digital library； Information resources； Security policy

0 引言

圖書館擁有大量的紙質資料、電子資源、文獻資料和多媒體資源等，充分利用圖書館的這些資源盡可能發揮出最大的利用價值。隨著當今時代計算機和網絡技術的快速發展，傳統的圖書館服務模式難以跟上步伐，基于云計算的數字圖書館應用而生，這種全新的服務模式可以將圖書館中分散的數字信息進行有效的整合、調度和分配，為用戶提供最便捷的使用方式，可以最大程度的滿足用戶的需求。但于互聯網本身潛在的安全隱患、黑客的惡意攻擊和病毒的傳播等，使得數字圖書館資源安全面臨風險。建立切實可信的信息安全策略和手段，使數字圖書館系統工作能夠穩定有序的進行。

1 云計算

云計算是將分布式處理、并行處理、虛擬化和網格計算以及互聯網相結合的一種先進的資源服務模式，它將計算工作分布在多個的服務器構成的資源池上，使用戶能夠按所需獲取計算能力、存儲空間和信息服務。一般由存儲與計算機服務器、寬帶資源等大型服務器的集群，通過專門的軟件進行自動管理，同時也可以進行自我的維護，無需人工參與。云計算中，軟件和硬件可以成為資源而提供給用戶使用，用戶可以動態申請所需資源，云計算對軟件和硬件資源可以進行很好的分配，用戶能夠更加專注自己的業務，提高工作效率和降低成本。由于云計算具備動態擴展、伸縮特性，隨著用戶的不斷增長，云計算可以根據不斷對系統進行擴展。此外，云計算的物理資源利用率高，使得其運行管理成本大幅度降低，使其在數字圖書館構建中擁有非常好的性能價格比。云計算的層次架構可分為三層，其結構層次及提供服務如下圖1所示：

云計算的主要特點有：（1）穩定性：具備良好的容錯能力，當某個節點發生故障時，云計算平臺能快速找到故障并恢復；（2）高擴展性：云計算平臺具有高擴展性和靈活的彈性，能夠動態地滿足用戶規模的增長和需要；（3）虛擬化：云計算通過虛擬化技術將分布式的物理和數字資源進行虛擬化，統一存放在數據中心，用戶可以在任何地方使用終端來獲取服務；（4）通用性：云計算環境下可以構造出各種功能的應用，滿意用戶的大部分需求（5）成本低廉：云平臺的特殊容錯機制可以采用極其廉價物理資源，資源成本低。且具有強大的軟硬件資源，并有專業的維護團隊，維護成本大大降低。

2 數字圖書館的特點

數字圖書館是采用高新數字技術處理和存儲紙質圖書、電子文獻、多媒體資料等的圖書館。它把各個不同區域、不同形式的信息資源通過數字技術存儲，以便于跨區域的傳播和服務用戶，它涉及信息資源加工、存儲、檢索、傳輸和利用的全過程。數字圖書館改變了傳統圖書館的服務模式，擴大了信息處理的數字化服務平臺，體現了高科技在圖書館管理工作中的重要性，使圖書館管理工作能安全智能的運作。數字圖書館具有智能化、信息化、一體化等特點。近年來，云計算技術在數字圖書館的建設中得到大力推廣，提高了圖書館數據庫的可用性，實現了信息安全系統的多功能改造。

數字圖書館的主要特點有：（1）占用空間小且易保存：將重要紙質資料存放在磁盤或硬盤中，所占用的物理資源相對較少，同時通過計算機設備查閱，避免了翻閱過多和保存過久而損壞；（2）檢索快捷：采用了高科技的數字圖書館能提供一站式服務，用戶通過統一的界面操作就能夠快速地查詢到自己所需的信息；（3）資源共享：數字圖書館的信息資源可以一份供多人共享，且不受地理位置和時間的限制，實現了資源共享，提高了資源利用率；（4）資源定制能力增強：數字圖書館成為信息資源主體和客體，更具個性化定制能力；（5）動態集成性：數字圖書館利用各種技術對各種信息進行整合，使各種異構資源形成一個有機整體。

3 云計算環境下數字圖書館存在的安全隱患

基于云計算的數字圖書館是虛擬的，是在網絡環境下超大規模的、分布式的、可以實現跨庫鏈接的知識檢索中心。面對復雜的網絡環境和越來越多的黑客，云計算環境下的數字圖書館存在一些安全風險問題，它主要體現在以下幾個方面：

（1）用戶認證的安全：數字圖書館采用了數字化技術、虛擬化分布式技術技術等，系統管理員個人技能水平有限會造成系統數據的泄露和損壞。同時由于系統管理員有權限對數字圖書館云服務平臺進行操作，可以蓄意泄露或破壞信息資源。（2）數據的安全：在云計算環境下的數字圖書館系統中，信息資源都處于共享狀態，在傳輸和存儲過程中即使采用了數據加密方案，也無法確保做到萬無一失。同時在很多情況下數據加密方法并不是有效的，且加密后會降低系統的效率。（3）系統的安全：數字圖書館云服務平臺上系統安全漏洞和應用軟件的安全性不足都是潛在的安全隱患。隨著圖書館典藏規模的不斷壯大和用戶數量的不斷增加，圖書館內檢索終端、服務器節點、監控設備數量持續增長，系統處理數據速率降低，數據處理過程易受到限制，這些都會降低圖書館云服務平臺的服務效率。

4 云計算環境下的安全策略

基于以上提出的數字圖書館云平臺存在的安全問題，可以采用一些安全可信的技術手段，確保數字圖書館云平臺正常提供服務的同時，還能最大程度的保障圖書館信息資源的完整性、一致性和保密性。本次對于數字圖書館云平臺的安全問題主要從應用層安全、數據安全和網絡層安全三個方面進行設計。

4.1 應用層安全

應用層是提供用戶交互和各個應用軟件服務的接口，應用層是保障數字圖書館云平臺能夠高效、快速和穩定的服務。該層是數字圖書館云服務平臺的入口，采用web形式向用戶提供提供統一的服務界面。在數字圖書館云服務平臺中，影響到應用層安全的主要因素有超級管理員的權限、一般管理員、圖書館管理員和普通用戶等幾個方面，所有用戶登錄到數字圖書館云服務平臺都需要通過身份驗證才能對數據庫的進行操作。本次設計的數字圖書館云服務平臺對于用戶的權限也進行了劃分，如表1所示：

超級管理員具有最高權限，能對任何用戶進行增刪改。以外，要確保管理員操作和維護的安全性，也就要確保數字圖書館云服務平臺的安全。這就要求管理人員要具備相應的專業技能外和良好的職業素質。

4.2 數據安全

數據的安全是數字圖書館云服務平臺最重要的內容，但是考慮到系統自身的漏洞和應用軟件的漏洞會使數字的安全遭到威脅，目前最佳的解決方案是利用云計算的分布式特點，將圖書館的個人數據和其他用戶的數據隔離開來，同時對一些機密敏感的體，服務模式發展呈現多樣化。由于自身的學數據進行加密存儲。考慮到數據以靜態和動態并存的方式存在，對于信息的加密應從傳輸和存儲兩個方面來加密重要數據。在傳輸數據時，設計采用 ESA非對稱加密算法進行加密，保證了傳輸信息的安全性。對于存儲的靜態信息的加密是一個復雜的過程，主要作用就是防止重要數據丟失，即使黑客通過非法的手段得到加密后的數據，也不能獲得原數據。另外，云計算會是比較復雜的平臺，即容易發生無法預估的系統運行故障和數據丟失情況，我們必須定期做好數據的備份和恢復工作，最大程度地確保系統穩定的運行。

4.3 網絡層安全

由于數字圖書館云服務平臺是完全在互聯網環境下運行的，如果在系統和外部傳輸數據時采用傳統的HTTP傳輸方式，系統端口就很容易遭網絡攻擊，從而造成圖書館數據資源泄露，應用層的安全也就難以得到保障。針對上述情況，可以采用超文本傳輸協議HTTPS 進行傳輸，對于數字圖書館云服務平臺和外部鏈接的一些端口，通過安全域把虛擬機組合到一起，通過云計算平臺的端口過濾功能限制用戶對域的訪問。數字圖書館云服務平臺的網絡安全架構如圖2所示：

篇(5)

關鍵詞：信息安全安全屬性安全建設

我國信息化安全建設任務非常艱巨，主要包括各種業務的社會公網、行業專網、互聯網等信息基礎設施運營、管理和服務的安全自主保障、安全監管、安全應急和打擊信息犯罪為核心的威懾體系的建設，其內容包括網絡系統安全建設、領域和企業的業務信息化安全建設、網絡內容與行為的安全建設和用戶關注的網絡安全建設等方面。這些安全建設對于不同的領域和領導層面關注的內容、對象和程度各不相同。網絡信息安全是一個完整的、系統的概念。它既是一個理論問題，同時又是一個工程實踐問題。由于互聯網的開發性、復雜性和多樣性，使得網絡安全系統需要有一個完整的、嚴謹的體系結構來保證網絡中信息的安全。

1 信息安全的定義及目標

信息的定義，從廣義上講，信息是任何一個事物的運動狀態以及運動狀態形式的變化，它是一種客觀存在。狹義的信息的含義是指信息接受主體所感覺到并能理解的東西。ISO 13335《信息技術安全管理指南》定義：信息是通過在數據上施加某此約定而賦予這此數據的特殊含義。信息是無形的，借助于信息媒體以多種形式存在和傳播，同時。信息也是一種重要資產，具有價值，需要保護。信息安全的目標是信息資產被泄露意味著保密性受到影響，被更改意味著完整性受到影響，被破壞意味著可用性受到影響。而保密性、完整性和可用性三個基本屬性是信息安全的最終目標。信息安全的保護對象包括了計算機硬件、軟件和數據。就本質而言，信息安全所針對的均是“信息”這種資源的“安全”，對信息安全的理解應從信息化背景出發，最終落實在信息的安全屬性上。

2 構建網絡信息化安全的意義

能否有效地保護信息資源，保護信息化進程健康、有序、可持續發展，直接關乎國家安危，關乎民族興亡，是國家、民族的頭等大事。沒有信息安全，就沒有真正意義上的政治安全，就沒有穩固的經濟安全和軍事安全，更沒有完整意義上的國家安全。信息安全是信息技術發展過程之中提出的課題，在信息化的大背景下被推上了歷史舞臺。信息安全不是最終目的，它只是服務于信息化的一種手段，其針對的是信息化這種戰略資源的安全，其主旨在于為信息化保駕護航。

3 網絡信息化的安全屬性

信息安全的概念與信息的本質屬性有著必然的聯系，它是信息的本質屬性所體現的安全意義。說安全屬性研究首先要從安全定義講起，安全定義分很多的層次，為什么分層次，我們隨著它的演變來看的，信息安全最初目標，叫數據安全，它關心的是數據自身，所以是一個狹義的數據安全，是保護信息自身的安全。

3.1 保密性（Confidentiality）

在傳統信息環境中，普通人通過郵政系統發信件時，為了個人隱私要裝上信封?？墒堑搅诵畔⒒瘯r代，信息在網上傳播時，如果沒有這個“信封”，那么所有的信息都是“明信片”，不再有秘密可言，這便是信息安全中的保密性需求。保密性是指信息不被泄露給非授權的用戶、實體或進程，或被其利用的特性。保密性不但包括信息內容的保密，還包括信息狀態的保密。

3.2 完整性（Integrality）

完整性是指信息未經授權不能進行更改的特性。即信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性與機密性不同，機密性要求信息不被泄露給未授權的人，而完整性則要求信息不致受到各種原因的破壞。

3.3 易用性（Availability）

易用性是信息可被授權實體訪問并按需求使用的特性。在授權用戶或實體需要信息服務時，信息服務應該可以使用，或者是信息系統部分受損或需要降級使用時，仍能為授權用戶提供有效服務。易用性一般用系統正常使用時間和整個工作時間之比來度量。

4 構建網絡信息化安全管理體系

在面向網絡信息的安全系統中，安全管理是應得到高度重視的。這是因為，據相關部門統計，在所有的計算機安全事件中，約有52％是人為因素造成的，25％是由火災、水災等自然災害引起的，技術錯誤占10％，組織內部人員作案占10％，僅有3％左右是由外部不法人員攻擊造成的。簡單歸類，屬于管理方面的原因比重高達70％以上，這正應了人們常說的“三分技術，七分管理”的箋言。因此，解決網絡與信息安全問題，不僅應從技術方面著手，更應加強網絡住所的管理工作。

好的網絡信息化安全管理體現在以下幾個方面：在組織內部建立全面的信息安全管理體系，強調信息安全是一個管理過程，而非技術過程；強調信息保密性、完整性、易用性三者在關鍵流程中運用的平衡；把信息提高到組織資產的高度，強調對組織信息資產進行價值及影響評估，對信息資產的脆弱性及其面臨的威脅進行分析，運用風險評估、風險管理手段管理信息安全，使組織風險降低到可接受的水平；從法律和最好的實踐經驗角度，實施全面的控制措施，使組織信息安全威脅的方方面面置于嚴密控制之下；強調領導在信息安全管理中的作用；強調信息安全方針在管理體系中的作用；強調對信息技術及工具的實時和有效管理；強調組織運作的連續性及業務連續性的管理；強調信息安全管理水平的不斷提高及對流程的策劃、實施、檢查和改進的過程；信息安全應該是一個以“價值”為基礎的過程，即信息安全管理應是一個有附加價值，并講究投入產出比的過程。

5 關注信息化安全服務的綜合性、高技術性和對策性特點

信息安全產業有其鮮明的特點，雖然產生于信息化和信息系統，依然與通常的IT服務有許多區別。信息化安全的基本特征是服務性的。這種服務性與一般軟件的服務性是不同的。一般應用系統或產品的服務主要是維護和培訓，通常服務是非對策性的、非動態的和比較固定的。信息化安全服務是對策性的、動態性的、不斷產生新內容的和似乎永遠不能成熟等特性。信息化安全服務范疇幾乎包括了整個信息化所包括的所有產品和系統，其服務的綜合性和復雜性是顯而易見的。信息化安全服務是最高技術的服務，無論從設計角度和使用的角度都要求深入、熟練和非常專業。我們可以驕傲地說，信息化安全服務是世界上最偉大的服務業，也是最困難的服務業。信息化安全服務的復雜性、高成本特性要求信息化安全企業必須在安全服務的遠程化和化的推進方面做出不懈努力，不斷降低服務成本。

6 結語

網絡信息安全不僅僅是一個純技術層面的問題，單靠技術因素不足以保證網絡中信息的安全。網絡信息安全還涉及到法律、管理、標準等多方面的問題。因此，信息安全是一個相當復雜的問題，只有協調好這些體系之間的關系，才能有效保證系統的安全。

參考文獻

篇(6)

我國信息化發展空前迅速，信息安全保障需求已成為信息化發展的重要部分。如何以信息化提升綜合國力，并在信息化快速發展的同時確保國家的信息安全，已成為各國政府關心的熱點問題。

中國信息化建設在突飛猛進的同時，也面臨著一系列的信息安全隱患。關鍵信息的安全管理漏洞，將會給政府、電信、金融、民航等重點行業帶來不可估量的嚴重后果。病毒的大肆傳播與黑客的不斷攻擊等事件的發生，也將造成巨大的經濟損失，甚至威脅到國家的安全。

建立國家信息安全保障體系

信息安全保障體系的建設策略是要建立信息安全防護能力，要具有隱患發現能力、網絡反應能力、信息對抗能力。

信息安全技術保障體系的建立要強調自主研發與創新，要組建研發國家隊與普遍推動相結合，推動自主知識產權與專利，建設技術工程中心與加速產品孵化，加大技術研發專項基金，全面推動與突出重點的技術研發相結合。要建立縱深的防御體系，采用網絡信息安全域的劃分與隔離控制、內部網安全服務與控制策略、外部網安全服務與控制策略、互聯網安全服務與控制策略、公共干線的安全服務與控制策略、計算環境的安全服務機制、多級設防與科學部署策略、全局安全檢測、集成管理、聯動控制與恢復等手段來保障信息安全。此外，要采用信息系統安全工程的控制方法和安全技術產品與系統互操作性策略。

建立資質認證機制和監理機制，形成社會化服務和行政監管體系。要建立基于數字證書的信任體系、信息安全測評與評估體系、應急響應與支援體系、計算機病毒防治與服務體系，建立災難恢復基礎設施和密鑰管理基礎設施。

在搭建國家信息安全保障體系框架時，要建立信息安全標準與法規環境，這就需要強力推動信息安全標準化工作、加強信息安全標準的研發、評審、審批，加快信息安全法規的制訂以及相關法規的制訂。此外，還需要培養大量高級信息安全人才。

信息安全需要技術保障

信息安全保障，從保密性、完整性、可用性、可控性、不可否認性等安全屬性的需要，以及在預警、保護、檢測、響應、恢復及反擊等環節提出了諸多的技術需求。

目前，國際上出現了一個叫"MALWERE(壞件)"的新概念，它把計算機病毒、蠕蟲、邏輯炸彈、特洛伊木馬、愚弄和下流玩笑程序以及惡意代碼都包括在內。在這個概念的推動下，計算機病毒檢測功能必將逐步有所擴充。

現在的防火墻在功能上有了許多擴展和延伸，許多產品把VPN的功能加入到防火墻中，也有把入侵檢測(IDS)、病毒檢測等功能模塊加入防火墻之中。

為了實現對各種安全模塊的集中管理，共享安全事件審計分析信息，統一制訂和實施安全策略，還出現了集中安全管理平臺的研制開發。

政府信息化采購應兼顧信息安全

政務信息化政府采購不僅應滿足經濟指標，也應兼顧信息安全。現在我國《政府采購法》已經出臺，這將有利于政務信息化的信息安全，也有利于本國IT企業的發展。

在政府采購中，電子政務占有重要的地位。據預測，2002年中國電子政務市場總投資將達到350億元，比2001年增長23.4％；2002年～2004年中國電子政務總體市場年復合增長率為25.7％。按照這一速度計算，5年后電子政務市場的投資額將突破1000億元，因此它將成為國內外企業關注的一個焦點。

《政府采購法》支持本國產業

采購法中明確規定，除一些特殊情況外，政府采購應當采購本國貨物、工程和服務(包括本國軟件和服務)，這個規定既有利于本國企業，也有利于保障信息安全。

加入WTO并不等于立刻開放政府采購市場，因為加入WTO并不等于加入《政府采購協議》(GPA)。GPA是所謂"復邊貿易協議"，僅對簽字成員方有效，我國在兩年后才會談判是否加入GPA。而在我國加入WTO的GPA之前，根據國際慣例，可以通過政府采購扶持本國產業。

政府采購支持NC推廣

目前，具有我國自主知識產權、非Wintel架構(采用方舟CPU和LinuxOS)的NC已經開始在學校、銀行等單位應用。它具有信息安全性好、容易管理和維護、成本低等優點，非常適合在電子政務中推廣應用?，F在國家有關部門要求在電子政務中采用NC，因此可以在政務信息化項目的招標中，將上述這些指標列入招標條件，那么NC將明顯勝過PC。只要依法采購，NC就可以首先在政務信息化中得到推廣，然后在政府的帶動下，逐步推廣到其他領域，逐步改變我國計算機產業的"無芯"狀態。

篇(7)

【關鍵詞】 煙草 信息安全 體系 建設

隨著煙草行業的不斷發展，企業對信息化建設的要求越來越高。目前，煙草行業，尤其是以地市級煙草企業為代表的卷煙銷售終端企業，在信息安全建設上給予的重視越來越高，資金的投入也越來越大，地市級煙草企業信息安全工作有了保障。

1 信息安全體系規劃原則

根據國家和行業信息安全相關政策和標準，安全體系規劃與設計工作遵循以下的建設原則：

（1）重點保護原則。針對核心的服務支撐平臺，應采取足夠強度的安全防護措施，確保核心業務不間斷運行。

（2）靈活性原則。因信息技術日新月異的發展，而相應的安全標準滯后，應靈活設計相應的防護措施。

（3）責任制原則。安全管理應做到“誰主管，誰負責”，注重安全規章制度、應急響應的落實執行。

（4）實用性原則。以確保信息系統性能和安全為前提，充分利用資源，保障安全運行。

2 信息安全體系管理范圍

以地市級煙草企業中心機房核心網絡和系統為主，覆蓋市局（公司）、各縣級局（營銷部）、基層專賣管理所等，安全體系包括范圍：應用安全、網絡安全、主機安全、數據安全、終端安全等。

3 信息安全體系規劃框架

按照等級化保護“積極防御、綜合防范”的方針，地市級煙草企業信息化建設需要進行整體安全體系規劃設計，全面提高信息安全防護能力。

在綜合評估信息化安全現狀的基礎上，從管理和技術來進行信息安全管理工作。信息安全體系建設思路是：以保護信息系統為核心，嚴格參考等級保護的思路和標準，滿足地市級煙草企業信息系統在物理層面、網絡層面、系統層面、應用層面和管理層面的安全需求，為各項業務的開展提供有力保障。信息安全體系框架如圖1所示：

4 信息安全管理體系建設

從實際情況出發，體系包括安全組織機構、安全管理制度、人員安全、安全教育培訓在內的安全管理體系。

4.1 組織機構

由決策機構、管理機構、和執行機構三個層面組成信息安全組織機構，并通過合理的組織結構設置、人員配備和工作職責劃分，對信息安全工作實行全方位管理。

4.2 安全制度

信息安全規章制度是所有與信息安全有關的人員必須共同遵守的行為準則。應從信息安全組織機構和崗位職責、人員管理制度、信息系統管理制度、機房管理制度、網絡管理制度等。

4.3 人員安全

通過管理控制手段，確保單位內部人員以及第三方人員的安全意識，包括人員的崗前安全技能培訓、保密協議的簽訂等幾個方面。

4.4 安全教育培訓

通過有計劃培訓和教育手段，確保工作人員充分認識信息安全的重要性，具備符合要求的安全意識、知識和技能，提高其進行信息安全防護的主動性、自覺性和能力。

5 信息安全技術體系建設

按照等級保護方法，對信息系統進行安全區域的劃分，并根據保護強度來采用相應的安全技術，實行分區域、分級管理?；A性保護措施實現后，建立地市級煙草企業的信息安全管理平臺，對地市級煙草企業整體信息系統的統一安全管理。

5.1 劃分安全區域

根據信息化資產屬性，可劃分為服務器區域、終端區域。目前，各業務域的服務器直接連接至核心交換機，無法對各個服務器區之間劃分明確邊界，在服務器區和核心交換機之間增加匯聚交換機，服務器經過匯聚交換機的匯聚再上聯至核心交換機。對局域網按照業務功能區建立不同的VLAN，分別賦予相應級別的服務訪問權限和安全防護措施。安全域網絡拓撲如圖2示：

一級安全域包括范圍：地市級煙草企業辦公區域、縣公司辦公區域、移動訪問用戶區域。部署上網行為管理、殺毒軟件等防護措施。二級安全域包括對象：業務與管理服務器區域、網站服務器區域、公共平臺服務器區（防病毒服務器、網管服務器）等。部署操作系統加固、身份認證、漏洞掃描、文件數據加密以及安全審計等措施。三級安全域包括數據服務器區域、存儲備份區域以及核心交換機、主干路由器等。部署核心交換設備、鏈路冗余備份，加載廣域網路由QOS策略，采用數據庫高強度口令訪問等措施。

5.2 保護計算環境

“云計算”和虛擬化技術的發展，打破了傳統意義上按物理位置劃分的計算環境。依照不同的保護等級，分別進行加強用戶身份鑒別、標記和強制訪問控制、系統安全審計、用戶數據完整性保護、保密性保護、系統安全監測等措施。

5.3 區域邊界保護

邊界保護是一組功能的集合，包括邊界的訪問控制、包過濾、入侵監測、惡意代碼防護以及區域邊界完整性保護等。在技術上通過防火墻、入侵防護、病毒過濾、終端安全管理等措施來實現保護。

5.4 通信網絡防護

信息系統的互聯互通是建立在安全暢通的通信網絡基礎之上。通訊網絡的構成主要包括網絡傳輸設備、軟件和通信介質。保護通信網絡的安全措施有：網絡安全監控、網絡審計、網絡冗余或備份以及可靠網絡設備接入。一是利用入侵防護系統以及UTM在關鍵的計算環境邊界，進行安全監控，防止非法的訪問；二是對骨干網中的防火墻設備進行配置，制定安全訪問控制策略，設置授信的訪問區域；啟用安全審計功能，對經過防火墻訪問關鍵的IP、系統或數據進行記錄、監控；通過網閘技術，對不同網絡進行物理隔離。通過VLAN技術對內部網絡進行邏輯隔離。

5.5 數據安全防護

建立數據安全備份和恢復機制，部署數據備份和恢復系統，制定相應的數據備份與恢復策略，完成對數據的自動備份，并建立數據恢復機制。建立異地數據級災備中心，在系統出現災難事故時，能夠恢復數據使系統應用正常運行。

5.6 信息安全平臺