信息安全管理大全11篇

緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇信息安全管理范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）27-6080-03

人類進入信息化社會，社會發展對信息化的依賴程度越來越大，一方面信息化成果已成為社會的重要資源，在政治、經濟、國防、教育、科技、生活等發面發揮著重要的作用，另一方面由于信息技術的迅猛發展而帶來的信息安全事件、事故層出不窮，信息安全問題與矛盾日益突出。信息安全工程是一個多層面、多因素的、綜合的、動態的系統工程，其包括關鍵基礎設施及硬件安全、運行安全、軟件安全、通信安全、人員安全、傳輸安全、網絡安全、人員安全等。組織要實現信息安全目標，就必須建立一套行之有效信息安全管理與技術有機結合的安全防范體系。信息安全管理包括制定信息安全策略（包括計劃、程序、流程與記錄等）、風險評估、控制目標的選擇、控制措施的實施以及信息安全管理測評等。管理大師德魯克曾經說過“無法度量就無法管理”[1]，強調了測量對組織管理的重要意義，信息安全管理同樣也離不開測評。如何對信息安全管理有效性等進行測量，根據測量的結果對組織信息安全管理情況進行評價并進一步指導信息安全管理，提高信息安全管理能力和水平，目前已經成為信息安全領域的一個研究熱點[2]。

信息安全管理測評是組織圍繞信息化持續發展與信息安全保障的現狀和未來綜合能力的反映，不僅是對過去和現在的能力展現，而且為未來發展提供保障和動力。在我國，目前關于信息安全管理測評研究剛處于起步階段，還沒有一套可供使用的信息安全測評體系標準、方法等。因此，開展信息安全管理測評研究，對組織信息化建設既具有重要的現實意義也具有長遠的持續發展意義。

1 信息安全管理測評發展綜述與需求

關于信息安全測評，美國早在2002年通過的《聯邦信息安全管理法案》中就要求各機構每年必須對其信息安全實踐進行獨立測評，以確認其有效性。這種測評主要包括對管理、運行和技術三要素的控制和測試，其頻率視風險情況而定，但不能少于每年一次。在獨立評價的基礎上，聯邦管理與預算局應向國會上報評價匯總結果；而聯邦審計署則需要周期性地評價并向國會匯報各機構信息安全策略和實踐的有效性以及相關要求的執行情況。

2003年7月，美國國家標準與技術研究所（National Institute of Standards and Technology，NIST）了NIST SP 800-55《信息技術系統安全測量指南》，其包括以下內容[3]：

1） 角色和職責：介紹發展和執行信息安全測量的主要任務和職責。

2） 信息安全測量背景：介紹測量定義、進行信息安全測量的好處、測量類型、幾種可以進行信息安全測量的控制、成功測量的重要因素、測量對管理、報告和決策的作用。

3） 測量發展和執行過程：介紹用于信息安全測量發展的方法。

4） 測量項目執行：討論可以影響安全測量項目的技術執行的各種因素。

5） 以附件的形式給出的16種測量的模板。

2004年11月17日，美國的企業信息安全工作組（Corporate Information Security Working Group，CISWG）了CISWG CS1/05-0079《帶有支撐管理測量的信息安全計劃要素》[4]，2005年國際標準化組織（ISO/IEC SC27）提出了信息安全管理體系（Information Security Management Systems，ISMS）的系列標準——ISO27000系列。2005年1月10日又了修訂版，并作為針對ISO/IEC 2nd WD27004 的貢獻文檔提交給ISO/IEC JTC1 SC27，該文檔是根據CISWG的最佳實踐和測量小組的報告改編。

2005年8月31日，美國國際系統安全工程協會（International System Security Engineering Association，ISSEA）針對ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5]（ISSEA測量的貢獻背景）和“ISSEA Metrics”[6]（ISSEA測量）兩個貢獻文檔。

2009年國際標準化組織（ISO）了ISO/IEC 27004：2009（信息技術一安全技術一信息安全管理測量）標準，為如何建立及測量ISMS及其控制措施提供了指導性建議[7]。

信息安全管理體系是信息安全保障體系的重要組成部分。近年來，隨著組織對信息安全保障工作重視程度的日益增強，不少組織都依據標準GB/T 22081-2008建立了一套比較完善的ISMS來保護組織的重要信息資產，但是體系建立起來了，不少管理者都對ISMS的運行效果極其控制措施的有效性，持懷疑的態度。故此組織很有必要建立一套相應的測評方法來全面的對ISMS的運行情況進行科學的評價，進一步提升ISMS的執行力。該文研究的信息安全管理測評將為確定ISMS的實現目標，衡量ISMS執行的效力和效率提供一些思想、方法，其結果具有客觀的可比性，還可以作為信息安全風險管理、安全投入優化和安全實現變更的客觀依據，有助于降低安全風險，減少安全事件的概率和影響，改進安全控制和管理過程的效率或降低其成本。

2 信息安全管理測評研究內容

信息安全管理測評是信息安全管理體系的重要部分，是信息安全管理測量與評價的綜合。信息安全管理測量的結果是信息安全績效評價的依據。信息安全管理測量比較具體，信息安全管理評價則通過具體來反映宏觀。

2.1 信息安全管理測評要素及其框架

信息安全管理測評要素包括：測評實體及其屬性、基礎測評方式、基礎測評變量、導出測評制式、導出測評變量、測評方法、測評基線、測評函數、分析模型、指示器、決策準則、測評需求和可測評概念等，其框架如圖3.1信息安全測評框架所示，包括：基于什么樣的需求來測評（即測評需求），對什么進行測評（即實體及其屬性），用什么指標體系來測評（包括測評制式、測評變量和測評尺度），用什么方法來測評（即測評方法），用什么函數來計算測評結果（即測評函數），用什么模型來分析測評結果（即分析模型），用什么方式來使分析結果能夠輔助決策（即指示器）等問題。

信息需求是測評需求方提出的對測評結果信息的需求。信息需求源自于組織的使命和業務目標，與相關利益者的利益訴求密切相關。指示器的生成和分析模型的選擇是以信息需求為導向的。

決策準則是一種決定下一步行為的閾值。他有助于解釋測評的結果。決策準則可能出自或基于對預期行為在概念上的理解和判斷。決策準則可以從歷史數據、計劃和探索中導出，或作為統計控制限度或統計信心限度計算出來。

可測評概念是實體屬性與信息需求之間的抽象關系，體現將可測評屬性關聯到信息需求以及如何關聯的思想。可測評概念的例子有生產力、質量、風險、績效、能力、成熟度和客戶價值等。實體是能通過測評屬性描述的對象。一個實體是測評其屬性的一個對象，例如，過程、產品、系統、項目或資源。一個實體可能有一個或多個滿足信息需求的屬性。實踐中，一個實體可被歸類于多個上述類別。他可以是有形的也可是無形的。信息安全管理測評的實體包括信息安全管理體系建立過程中所有的控制項（信息安全管理測評要素）。屬性是實體可測評的、物理的或抽象的性質。一個屬性是能被人或自動手段定量或定性區分的一個實體的某一特性或特征。一個實體可能有多個屬性，其中只有一些可能對測評有價值。測評模型實例化的第一步是選擇與信息需求最相關的屬性。一個給定屬性可能被結合到支持不同信息需求的多個測評構造中。信息安全管理測評主要測評的是每一項控制措施的屬性（信息安全管理測評指標）。

測評是以確定量值為目的的一組操作。信息安全管理測評是確定控制項的每一個具體指標的一組操作，可以有多種測評方法。基礎測評是依照屬性和定量方法而定義的測評方法，是用來直接測評某一屬性的，是根據屬性和量化他的方法來定義，他捕獲單獨屬性的信息，其功能獨立于其他測評。信息安全管理基礎測評是對于控制項的指標可以直接測評出來的量。導出測評是通過測評其他屬性來間接地測評某一屬性的測評，是根據屬性之間的關系來定義，他捕獲多個屬性或多個實體的相同屬性的信息，其功能依賴于基礎測評的，是兩個或更多基礎測評值得函數。

測評尺度是一組連續或離散的數字量值（如小數/百分比/自然數等）或離散的可數量值（如高/中/低/等）。測評尺度是規范測評變量取值的類型和范圍。測評方法將所測評屬性的量級影射到一個測評尺度上的量值后賦給測評變量。

測評尺度根據尺度上量值之間關系的性質分為四種類型：

名義（Nominal） ：測評值是直呼其名。

序數（Ordinal） ：測評值是有等級的。

間隔（Interval） ：測評值是等距離的，對應于屬性的等量，不可能是零值。

比率（Ratio） ：測評值是等距離的，對應于屬性的等量，無該屬性為零值。

測評單位是作為慣例定義和被廣泛接受的一個特定量。他被用作比較相同種類量值的基準，以表達他們相對于此量的量級。只有用相同測評單位表達的量值才能直接比較。測評單位的例子有公尺、公斤和小時等。

測評函數是將兩個或更多測評變量結合成導出測評變量的算法。導出測評變量的尺度和單位依賴于作為函數輸入的測評變量的尺度和單位以及他們通過函數結合的運算方式。分析模型是將一個或多個測評變量轉化為指示器的算法。他是基于對測評變量和/或他們經過一段時間的表現之間的預期關系的理解或假設。分析模型產生與信息需求相關的評估或評價。測評方法和測評尺度影響分析模型的選擇。

測評計劃定義了測評實施的目標、方法、步驟和資源。測評頻率是測評計劃的執行頻率。測評計劃應按規定的頻度定期地或在必要的時候不定期地執行。定期執行的規定頻度應建立在信息效益的需求與獲得他的成本之間的折中，可以是每周、每月、每季度或每年等。不定期執行的必要時候包括ISMS初始規劃和實施以及ISMS本身或運行環境發生重大變化。

2.2 信息安全管理測評量表體系

任何測評都必須具備參照點、單位和量表三個要素。信息安全測評指標體系是信息安全測評的基礎，是對指定屬性的評價，這些屬性與測評需求方的信息保障需求相關聯，對他們進行評價為測評需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現給測評需求方的。標準GB/T 22081-2008是進行信息安全管理所參照的標準，其從信息安全方針、信息安全組織、法律法規符合性等11個方面，提出了133個控制措施供使用者在信息安全管理過程中選擇適當的控制措施來加強信息安全管理。該標準所提供的控制措施基本能覆蓋信息安全管理的各個方面。在建立信息安全管理測評指標體系的實踐中，通常以控制措施的實施情況作為指標，建立預選指標集，通過對預選指標集的分析，采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標。

3 信息安全管理測評方法探討

測評方法通常影響到用于給定屬性的測評尺度類型。例如，主觀測評方法通常只支持序數或名義類型的測評尺度。測評方法是使用指定的測評制式量化屬性的操作邏輯序列。操作可能包括計算發生次數或觀察經過時間等。同樣的測評方法可能適用于多個屬性。然而，每一個屬性和測評方法的獨特結合產生一個不同的基礎測評。測評方法可能采用多種方式實現。測評規程描述給定機構背景下測評方法的特定實現。

測評方法根據量化屬性的操作性質分為兩種類型：

主觀：含有人為判斷的量化。

客觀：基于數字規則（如計數）的量化。這些規則可能通過人或自動手段來實現。

測評方法的可能例子有：調查觀察、問卷、知識評估、視察、再執行、系統咨詢、測試（相關技術有設計測試和操作有效性測試等）、統計（相關技術有描述統計、假設檢驗、測評分析、過程能力分析、回歸分析、可靠性分析、取樣、模擬、統計過程控制（SPC， statistical Process control） 圖和時序分析等）。

4 結束語

當前，信息安全領域的測評研究多側重于對技術產品、系統性能等方面的測評，其中信息安全風險評估可通過對重要信息資產面臨的風險、脆弱性的評價掌握組織的信息安全狀況；信息安全審計則只是對信息安全相關行為和活動提供相關證據；而信息安全管理評審則是符合性審核，他們都不能對信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評價。因此，非常有必要對信息安全管理的有效性進行測評，這將有助于了解信息安全管理過程中所采取的控制措施的有效性以及控制措施的執行情況，為管理者決策提供依據，也能為組織信息安全管理過程的持續改進提供足夠的幫助，達到更好地管理信息安全的最終目的。

參考文獻：

[1] 閆世杰，閔樂泉，趙戰生.信息安全管理測量研究[J].信息安全與通信保密，2009，5：53.

[2] 朱英菊，陳長松.信息安全管理有效性的測量[J].信息網絡安全，2009，1：87-88.

[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper， 2003.

[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics ， Adapted from the report of the Best Practices and Metrics Teams ， Corporate Information Security Working Group （ CISWG ） ， 2004-11-17 （ Revised 2005-01-10 ）.

篇（2）

計算機網絡信息安全的含義很廣，隨著情景的不同會發生一些變化。不同用戶對網絡信息安全的認識和要求也不盡相同，一般用戶可能僅希望個人隱私或保密信息在網絡上傳輸時不受侵犯，避免被人竊聽，篡改或者偽造；對網絡服務上來說，除關心網絡信息安全問題外，還要考慮突發的自然災害等原因對網絡硬件的破壞，以及在網絡功能發生異常時恢復網絡通信和正常服務。

一般來講，網絡信息安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸的信息的安全。從技術上說，網絡信息安全防范系統包括操作系統、應用系統、防病毒系統、防火墻、入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成、單靠一項措施很難保證網絡信息安全。因此，網絡信息安全是一項非常復雜的系統工程，已成為信息技術的一個重要領域。

二、計算機網絡信息安全問題的分類

1.自然災害

與一般電子系統一樣，計算機網絡系統只不過是一種電子線路，網絡信息實際上是一種電信號，溫度、濕度、振動、沖擊、污染等方面的異常因素都可影響網絡的正常運行。網絡中心若無較為完善的防震、防火、防水、避雷、防電磁泄漏或干擾等設施，抵御自然災害和意外事故的能力就會很差。在網絡的日常運行中，僅僅由非正常斷電導致的設備損壞和數據丟失所造成的損壞就非常驚人。因為強烈噪音和電磁輻射，比如雷電、高壓輸電等，也會導致網絡信噪比下降，誤碼率增加，威脅到網絡信息安全。

2.計算機犯罪

計算機犯罪通常是利用竊取口令等手段非法侵入計算機信息系統，傳播有害信息，惡意破壞計算機軟硬件系統，以致實施貪污、盜竊、詐騙等重大犯罪活動。目前已報道的ATM機上的詐騙活動，就是利用高科技手段記錄用戶的銀行卡信息，然后竊取用戶存款；還有一些非法分子利用盜竊游戲帳號，進行牟利活動。

3.垃圾郵件和網絡黑客

一些非法分子利用電子郵件地址的“公開性”進行商業廣告、宗教宣傳、政治蠱惑等活動，強迫別人接受無用的垃圾郵件。與計算機病毒不同，黑客軟件的主要目的不是對系統進行破壞，而是竊取計算機網絡用戶的信息。目前黑客軟件的概念界定還存在一些爭議，一種較為普遍的被接受的觀點認為黑客軟件是指那些在用戶不知情的情況下進行非法安裝并提供給第三者的軟件。

4.計算機病毒

計算機病毒是一種具有破壞性的小程序，具有很強的隱藏性和潛伏性，常常是依附在其他用戶程序上，在這些用戶程序運行時侵入系統并進行擴散。計算機感染病毒后，輕則系統工作效率降低，重則導致系統癱瘓，甚至是全部數據丟失，給用戶造成巨大的損失。

三、計算機網絡信息安全防范措施

1.建立強有力的網絡安全體系

要提高服務器的安全性，就必須建立一個整體的、完善的、強有力的計算機網絡安全體系。只有對整個網絡制定并實施統一的安全體系，才能有效的保護好包括服務器在內的每個設備。

對服務器而言，安全管理主要包括幾個方面：嚴格保護網絡機房的安全，必須注意做好防火防盜，切實從管理的角度保護好服務器的安全；服務器需要長時間不簡斷地工作，必須為服務器配備長時間的在線UPS；加強機房管理，非相關人員不準進入網絡機房，尤其是要禁止除網絡管理人員授權外的任何人員操作服務器；網絡管理員在對網絡進行日常維護和其他維護時，都必須進行記錄。

另一方面，要盡可能利用現有的各種安全技術來保障服務器的安全。目前最常用的安全技術包括過濾技術、防火墻技術、安全套接層技術等。這些技術從不同的層面對網絡進行安全防護，具體描述如下：

1.1包過濾

在網絡系統中，包過濾技術可以防止某些主機隨意訪問另外一些主機。包過濾功能通常可以在路由器中實現，具有包過濾功能的路由器叫做包過濾路由器，由網絡管理員進行配置。包過濾的主要工作是檢查每個包頭部中的有關字段（如數據包的源地址、目標地址、源端口、目的端口等），并根據網絡管理員指定的過濾策略允許或阻止帶有這些字段的數據包通過；此外，包過濾路由器通常還能檢查出數據包所傳遞的是哪種服務，并對其進行過濾。

1.2防火墻

防火墻將網絡分成內部網絡和外部網絡兩部分，并認為內部網絡是安全的和可信任的，而外部網絡是不太安全和不太可信任的。防火墻檢測所有進出內部網的信息流，防止為經授權的通信進出被保護的內部網絡。除了具有包過濾功能外，防火墻通常還可以對應用層數據進行安全控制和信息過濾，具有人證、日志、記費等各種功能。防火墻的實現技術非常復雜，由于所有進出內部網絡的信息流都需要通過防火墻的處理，因此對其可靠性和處理效率都有很高的要求。

1.3 SSL協議

安全套接層SSL協議是目前應用最廣泛的安全傳輸協議之一。它作為Web安全性解決方案最初由Netscape 公司于1995年提出。現在SSL已經作為事實上的標準為眾多網絡產品提供商所采購。SSL利用公開密鑰加密技術和秘密密鑰加密技術，在傳輸層提供安全的數據傳遞通道。

2.采用信息確認技術

安全系統的建立都依賴于系統用戶之間存在的各種信任關系，目前在安全解決方案中，多采用二種確認方式。一種是第三方信任，另一種是直接信任，以防止信息被非法竊取或偽造，可靠的信息確認技術應具有：具有合法身份的用戶可以校驗所接收的信息是否真實可靠，并且十分清楚發送方是誰；發送信息者必須是合法身份用戶，任何人不可能冒名頂替偽造信息；出現異常時，可由認證系統進行處理。

3.入侵檢測技術

入侵檢測技術是一種網絡安全技術，目的是提供實時的入侵檢測及采取相應的防護手段，如記錄證據用于跟蹤和恢復，斷開網絡連接等。實時入侵檢測能力之所以重要，首先是它能夠作為防火墻技術的補充，彌補防火墻技術的不足，能對付來自內部網絡的攻擊，其次是它能夠大大縮短“黑客”可利用的入侵時間。

人們應當清醒地認識到，安全只是相對的，永遠也不會有絕對的安全。隨著網絡體系結構和應用的變化，網絡會出現新的風險和安全漏洞，這就需要人們不斷地補充和完善相應的解決方案，以期最大限度地保障網絡信息的安全。

篇（3）

用戶接口是用戶操作界面以及用戶私人信息管理。安全協議包括連接網絡協議、用戶個人身份確定協議等。通信接口的安全保障是依賴于安全協議的工作、在通常情況下，通信接口的實現方式包括兩種：第一是用戶在進入互聯網時，才開啟安全服務，并運行安全體制，用戶所傳輸的信息都是經過系統的加密處理，然后被傳輸到互聯網上，或者是數據鏈路，是比較透明的互聯網信息傳輸與交換。此種方法很容易實現，而且不用對用戶目前所使用的系統做一絲改動，用戶所要投入的資金也比較少。第二種是修改目前的通信協議，在互聯網與應用之間增加一個安全層，使信息的安全處理變得透明化以及自動化。安全管理系統是一個包含很多程序的軟件包，主要負責用戶界面上安全管理器的正常工作，可以使得用戶很容易地控制計算機上信息的傳輸，保證安全。我們通常把這個系統安裝在用戶計算機的終端，或者是網絡節點。安全支撐系統是整個安全管理系統最值得信任的一方，其物理安全以及邏輯安全是非常重要的，需要得到嚴密而全面的防護。

二、安全管理系統的實現

安全管理系統總共包括以上的內容，具體的實現有很多的問題，需要有條不紊的進行。以下是針對管理系統實現所采取的具體的實現步驟，按照這些步驟來一步一步進行，不會出現混亂的情況，而且條理清晰，可以降低出錯的幾率，也可以保證管理系統的質量。

（一）熟知互聯網的狀況，估計風險及各種木馬攻擊

互聯網上的信息安全保障是很薄弱的一個環節，如果防護措施做不好，就會經常受到黑客的攻擊，盜取信息，甚至泄露出去，造成個人或者是企業的損失。為了預防或者是擊退這些攻擊，需要全面地了解平時所有的攻擊方式、攻擊方位，還有要了解哪些部分是比較薄弱的地方，給予加強保護。只有掌握了攻擊的全面資料，才可能有針對性地做出比較全面而可靠的保護措施。

（二）安全策略的制定與優化

安全管理系統需要一個明確的目標與原則，這就是安全策略。安全策略的優化需要考慮以下幾個方面：第一需要從系統整體出發，咨詢用戶的需求，根據應用的環境來制定策略，這其中包含各個子系統的策略制定。第二需要考慮策略的制定會不會對原有的系統產生什么負面的影響，比如通信延時等。第三，策略的制定要方便用戶對計算機的操作，包括控制，管理以及配置等。第四，用戶界面要人性化。第五，投資的金額要少。

（三）安全模型

模型可以把抽象的問題具體化，使問題簡單起來，不再那么復雜，尋求到更好地解決辦法，制定更加完善的安全策略，就像是教師教學時經常使用各種模型，讓學生容易理解深奧的問題。模型包括整個系統中的所有子系統，這些子系統在上面的內容已經有過闡述。

（四）安全服務的選擇以及實現

應用密碼技術，來實現向用戶所保證的安全服務。這是一種現代的技術，能夠保障整個系統的安全性，保護用戶的私人信息，使用戶不用再擔心個人資料的泄漏，保障用戶的個人利益。安全服務有兩條實現的途徑，分別為軟件編程以及硬件芯片，其中在通過軟件編程來實現安全服務時，需要注意機身的內存，優化系統的流程，增加程序運行時的穩定，以及降低運算時間。

篇（4）

2創新點

為順應移動互聯網時代，運營商從基礎通信運營向流量運營轉型的新趨勢，湖北移動確定了“業務轉型，安全先行”的發展思路，堅持“以安全保發展、以發展促安全”。在已有的網絡與信息安全管理辦法的基礎上，積極開展適應移動互聯網時代安全管理體系建設，不斷推進科學的安全管理方法，做到六“注重”六“突出”，即：（1）注重整體規劃，突出體系建設，促進職責高效履行。制定下發安全標準化管理與評價體系建設計劃，內容涵蓋安全工作方針目標、安全目標、各方職責、安全管理體系和模式、安全設施和機房環境保護設施標準、安全文明操作保證金、安全考核與獎懲、過程的主要控制措施、應急準備和響應等方面。嚴格按計劃有序開展體系建設工作；嚴格按體系文件要求開展業務或系統試運行工作；加強保證與監督體系的建設。（2）注重文化建設，突出信息安全特色，促進習慣養成。以人為本，加強企業安全文化建設，促使安全文化落地，提高員工安全與風險防范意識。（3）注重教育培訓，突出行業特色，達到安全管理效果。通過多種渠道、形式多樣的安全教育和培訓方式，組織各單位安全管理人員開展安全教育和培訓工作：一是安排專家和行業資深人士進行專題講座；二是在專題培訓的基礎上，做好網絡與信息安全專項工作如何開展的培訓。（4）注重設備管理，突出針對特色，實現安全管理精細化。首先，網絡設備較多，加強網絡安全管理提高設備安全可靠性是首要任務，為此各維護單位對每臺設備均建立了安全技術臺帳，臺帳包括運行記錄、檢查保養記錄和定期檢驗記錄。其次，組織精干力量先后兩次對所有設備、流程、機房進行全面的安全評估工作。第三，使隱患排查整改形成機制。（5）注重安全投入，突出專用特色，合理使用安全生產費用。認真落實安全管理費用投入長效機制，加大安全費用的管理，做到專款專用，確保安全生產費用規范化、合理化和足額投入。并加強安全生產保證金的管理，建立安全生產保證金并實行年底考核的機制，有效促進了安全管理工作。（6）注重應急預案，突出超前特色，安全管理贏在主動。在安全管理中，把預防工作落到實處，建立健全了應急處置機構，將應急處置工作進一步制度化，規范化，形成了完整的安全事故預防體系。同時，開展形式多樣、符合實際的應急演練。

篇（5）

我國檢察機關的信息化建設從2000年起步至今，經歷了由點及面，由弱漸強的發展階段，并在全國范圍內初步形成了較為系統的信息一體化網絡。隨著“科技強檢”進程的逐步深入，檢察人的傳統思維和工作模式勢必會經歷前所未有的變化。也正是在這種網絡化日盛的趨勢下，檢察機關的信息化建設成為了檢察事業發展的重要課題。

1、檢察信息網絡建設的現狀

按照高檢院“213”工程和全國檢察機關信息化建設工作“統一規劃、統一技術、統一規范、統一應用軟件和統一歸口管理”的原則，目前全國省市級檢察機關的二級專線網絡已經逐步進入應用階段，市級院與省級院以及省級院與高檢院之間的專線電話、視頻會議和計算機數據傳輸的“三網合一”也基本能夠實現，而且一些技術較為先進的地區也率先完成了三級專線網絡的搭建。部分基層檢察院的內部局域網絡已經能夠將檢察業務、辦公事務、綜合業務和全面檢索等應用系統運用于實際的檢察工作中，同時依靠較為成型的網絡系統，并輔之以充足的數據庫資源，保證了上下級院之間直接的視頻、數據、語音的傳輸，并基本滿足了與其他兄弟院之間進行廣泛數據交換的互聯要求。

2、檢察信息系統的應用狀況與面臨的困惑

檢察信息系統是檢察業務工作同以計算機技術為核心的信息技術相結合的產物，是管理科學與系統科學在檢察業務實踐中的具體應用。檢察信息化水平的高低是判斷檢察工作的重要標尺。目前在我國，檢察機關已不同程度地將計算機作為辦公、辦案的必要輔助工具，檢察人員的計算機應用能力較之幾年前有了相當程度的提高，檢察業務軟件、網絡辦公軟件以及其他的輔助處理軟件也普遍地應用于日常的工作之中。同時，相當一部分檢察院已經開通了網站，并通過這一媒介，信息、收集反饋，形成了具有自身特色的網絡工作平臺。可以說，檢察信息化的不斷普及為全面建設和完善檢察信息系統提供良好的契機，同時也奠定了應用與發展的必要基礎。

當然，在肯定成績的同時，我們也應清醒地認識到現階段檢察信息化建設中存在的諸多不足。首先，目前我國檢察機關信息化建設還處于剛剛起步階段，網絡應用水平普遍不高，絕大多數的應用還僅局限于檢察業務的某些小的領域，單項應用較為普遍，大而全、廣而深的應用體系尚未成型。其次，檢察信息技術主要仍以平民技術為主，專業化、職業化的應用并不理想，在缺乏相關專業人才的情勢下，技術水平較為幼稚，系統的標準化、通用性和易用性都還處于較低的層面。再則，目前檢察機關網絡信息化建設與檢察業務實際存在明顯的脫節，檢察業務軟件的開發與維護還有許多不盡如人意之處，檢察信息系統的網絡互連效果以及安全保密功能還有待進一步加強。

客觀地講，當前的檢察信息系統仍處于探索和成型階段。做個不形象的比喻，如果將未來成熟的檢察信息系統擬制為一個健康的成年個體的話，目前的檢察信息網絡則像一個處在哺乳期的嬰兒，四肢俱全，生機無限，但未脫襁褓，需要給予更多的關注。

二、流行在檢察信息系統中的sars――網絡不安全因素。

網絡中的不安全因素，之所以稱其為sars，并非危言聳聽。在當前的檢察信息網絡中，存在著種種高危的“致病”因素。這些因素往往顯見的或潛在的、習慣的或不經意的影響著檢察信息系統的穩定和安全。

1、病毒入侵與黑客攻擊

網絡病毒的入侵、感染與黑客的惡意攻擊、破壞是影響當前檢察信息網絡安全的主要因素。目前，全球發現的病毒數以萬計，并以每天十種以上的速度增長，可以說每時每刻網絡都在經受著新的病毒或其變種的沖擊。通過網絡渠道傳播的蠕蟲病毒、木馬程序以及腳本病毒，不管從傳播速度、破壞性還是波及范圍都讓人不可小視。

而對于網絡系統而言，黑客攻擊較之病毒威脅則更加讓人防不勝防。互聯網20多萬個黑客網站上，提供了大量的黑客技術資料，詳細地介紹了黑客的攻擊方法，并提供免費的攻擊軟件。在網絡立法十分匱乏、跟蹤防范手段有限的今天，面對網絡黑客針對操作系統以及應用軟件漏洞的頻繁地、具有隱蔽性的攻擊，我們所要承受的威脅往往是毀滅性的。

2、網絡硬件、軟件方面存在的缺陷與漏洞

檢察信息網絡主要是以各級檢察機關的局域網作為其構成單元。與銀行、郵電等行業相比，目前，檢察機關的局域網建設還存在著明顯的差距。從硬件上講，檢察系統的網絡產品尤其是關鍵部位的配套設施還相對較為落后，核心部件的性能還不能完全滿足檢察機關信息化的發展要求。雖然，部分檢察局域網絡在某些應用功能上能夠基本滿足網上辦公和無紙化辦公的現實需要，但長遠地講，目前檢察機關局域網內部的數據交換設備、服務器設備以及網絡硬件環境的合理性與穩定性并不容樂觀，如不給予足夠地重視，勢必會給網絡運行的穩定和安全留下隱患。

在軟件方面，由于網絡的基礎協議tcp/ip本身缺乏相應的安全機制，所以基與此存在的任何網絡都無法擺脫不安全因素的困擾。而目前廣泛運行在檢察網絡中的微軟windows操作系統更是破綻百出，由于默認的情況下系統開放了絕大多數的端口，所以使得監聽和攻擊變得輕而易舉、防不勝防。再加之相當數量的辦公軟件與網絡軟件自身開發的局限性，存在著這樣或那樣的bug，同時軟件的后期服務又不可避免具有滯后性，所以形容當前的網絡“風雨飄搖”一點也不為過。

3、使用人員的不良習慣與非法操作

如果將以上兩點看作是病源和病毒的話，那么人的因素可能就要算作是將二者緊密結合，產生巨大破壞作用的主要媒介了。客觀的講，目前檢察機關的網絡操作水平仍處在相對較低的水平，網絡使用者中普遍存在著操作不規范和軟件盲目應用的現象。相當一部分檢察網絡用戶對于網絡存儲介質的使用缺乏安全和保密意識，對硬件的維護缺少必要的常識，帶來數據在存儲與傳遞環節不必要的隱患。同時，由于操作熟練程度的原因，網絡中的誤操作率相對較高，系統宕機的情況時有發生，一方面造成了網絡資源的浪費，另一方面也給本地數據帶來了一定的危險。

此外，由于檢察機關的業務工作與實際應用的需要，所以局域網用戶的權限相對較高，使用者的操作空間相對較大。部分具有較高計算機水平的用戶，會利用授權非法地進行系統設置或通過黑客軟件的幫助突破權限獲取其他用戶信息乃至信息。這些惡意行為的出現，不僅擾亂了網絡內部的正常秩序，同時也為更多“偷窺者”大開方便之門。

4、網絡管理與相關制度的不足

網絡信息系統三分靠建，七分靠管。嚴格的管理與健全的制度是保障檢察信息系統安全的主要手段。但是事實上，目前各級檢察機關的信息系統并沒有建立起較為健全、完善的管理制度，網絡管理缺乏嚴格的標準，大多數檢察機關仍采取較為粗獷的管理模式。主要表現在：

第一，網絡管理僅僅作為后勤保障工作的一部分，缺乏必要的領導機制，重視程度有待進一步加強。

第二，網絡管理人員充當“消防員”，以“排險”代“管理”，缺乏全民“防火意識”，干警的信息安全責任感亟待提高。

第三，網絡管理缺乏必要的程序性規則，在遇到突發事件時，往往容易造成網絡系統的內部混亂。

第四，網絡信息收集、整理工作不夠細致，網絡內部機器的跟蹤機制還不盡如人意。在用戶應用相對隨意性的條件下，往往出現“用而不管，管卻不能”的尷尬局面。

第五，與安全級別相適應的網絡安全責任制度還沒有完全建立，使用者的網絡操作安全風險沒有明確的承擔主體，所以使用中缺少必要的注意。網絡管理在“使用免責”的情況下，很難形成安全防護的有效底線。

三、構想中的檢察信息系統安全防范體系

針對以上問題，筆者認為，要建立、健全檢察信息系統的安全防護體系首先需要從檢察機關信息安全性的要求出發，充分結合當前檢察信息網絡的建設現狀，從整體上把握，重規劃，抓落實。其次，要摒棄一勞永逸的短期行為，在網絡項目投入、網絡設施建設上做好長期的規劃，同時應具有適當的超前性，從檢察信息化長遠的發展趨勢著眼，保持投入的連續性，積極追求網絡效能的最大化。其次，在信息化建設的過程中，檢察機關還應充分重視制度化的建設，形成較為完善的保障體系，使得網絡的運行與管理能夠在正確的軌道上持續發展。當然，強調整體規劃與設計的同時，我們還應認真做好網絡應用技術的普及與網絡安全意識的培養工作，將檢察信息系統中源于技術局限以及使用者主觀因素而產生的種種隱患和損失降到最低程度。

基于上述幾點構想，下面筆者將從實際的應用出發，對檢察信息安全防范體系的具體實現，作細化論述：

第一，做好檢察信息系統整體的安全評估與規劃，為安全防范體系的構建奠定基礎。

檢察機關的網絡信息化建設有別于其他應用網絡的一個顯著特征就是對于安全性有著更為嚴格的要求。在構造安全防范體系的過程中，我們需要全面地了解自身網絡可能會面臨怎樣的安全狀況，這就使得我們不得不對譬如網絡會受到那些攻擊，網絡系統內部的數據安全級別是何等級，網絡遭遇突發性安全問題時應如何反應，局域網絡內部的域應怎樣設定，用戶的權限應給予哪些控制等問題進行初步地認定和判斷。通過進行安全評估，確定相應的安全建設規劃。

當然，在加大投入的同時，也應當正確處理安全成本與網絡效能之間的辯證關系，切忌將安全問題絕對化，不能讓安全設備和手段的使用降低網絡應用的實際效果，尋求可用行與可靠性的平衡點。在安全建設中要注重網絡安全的整體效果，盡量運用較為成熟、穩定的軟、硬件及技術，同時，針對目前檢察網絡所采用的微軟系統平臺，借助于win2000操作系統的域控制功能，對網絡的內部結構進行劃分、管理，從而既滿足了對內部用戶的管理要求，同時又在雙向信任關系的域－森林結構中實現同級、上下級院之間的安全信息交流。

第二，加強網絡安全組織、管理的制度化建設，從制度的層面構造安全防范體系。

健全檢察機關網絡安全管理的關鍵在于將其上升到制度的層面，以制度化促進管理的規范化。網絡安全管理的制度化建設需要做好兩方面的工作，首先要建立明確的安全管理組織體系，設置相應的領導機構，機構以院主管領導、技術部門領導、網絡管理人員、網絡安全聯絡員組成，全面負責局域網的日常維護、管理工作。網絡安全聯絡員由各科室選定，負責本部門網絡應用過程中的信息上報和反饋工作。網絡管理領導小組可以根據全院的實際情況，協調管理人員進行及時的維護，這樣不僅有利于人員分工、整合，同時也保證了網絡管理的有序進行。其次，要加快網絡安全管理的規范性章程的制定，將網絡管理的各項工作以制度化的形式確定下來。具體來講，要盡快形成信息系統重要場所、設施的安全管理制度，例如服務器機房的管理制度；要盡快制定網絡安全操作的管理制度，尤其是網絡用戶的軟件使用與技術應用的規范化標準；同時，也要進一步研究網絡遭遇突發事件時的安全策略，形成網絡安全的應急保障制度，并針對網絡安全責任事故進行制度化約束，追究責任人的主觀過錯。

當然，制度化建設應當包含檢察信息網絡管理的各個方面，遠非以上幾點，它需要我們在補充、修訂的過程中不斷健全、完善。

第三，提高網絡應用與管理的技術水平，彌補自身缺陷，減少外來風險。

在當前檢察信息網絡的安全威脅中，病毒及惡意攻擊可能是其最主要的方面。但我們應清醒地認識到，任何的病毒與黑客技術都是針對網絡系統的漏洞而發起的。而在網絡應用過程中，大多數使用者對于病毒及外來攻擊的恐懼往往要大于對自身系統漏洞的擔心。要解決這一問題，首先要使網絡用戶對網絡病毒及黑客攻擊有必要的認識，并了解病毒感染的主要渠道，同時要加強網絡應用的規范化培訓，整體提高操作的技術水平，最大程度地減少人為因素造成的安全隱患。此外，在網絡管理中，對操作系統的漏洞應及時的安裝安全補丁，并留意微軟定期的安全公告，關閉操作系統中并不常用的默認端口，防止為惡意攻擊留下“后門”。同時，對網絡中的應用軟件進行全面檢查，盡量避免使用來歷不明的盜版軟件，將軟件的選擇導向正版化、網絡化的軌道，逐漸減少對于盜版軟件、試用版軟件以及共享版軟件的依賴。

同時，充分利用win2000系統的域功能，嚴格控制網絡客戶端機器的超級用戶帳號，設定所有用戶必須登錄域中進行網絡操作，設定所有用戶（預留guest帳號可以另外處理）的ip地址和網卡物理地址進行綁定、所有無需移動辦公的用戶帳號和ip地址綁定，實施嚴密的身份識別和訪問控制。

第四，加強應急策略下的物理安全、數據保護與日志管理，健全安全保障體系。

篇（6）

2.缺乏綜合性的安全解決方案。在實踐過程中，高校圖書館為了保證信息安全運行，使用了大量的硬件防火墻、入侵監測系統和殺毒軟件。從長遠講，這些措施還不能遠遠不能解決問題，高校圖書館在信息安全管理方面依然缺乏綜合性的解決方案，雖然也有各種信息安全管理規章制度和某些解決方案，沒有一個系統來組織這些規章制度和解決方案。

二、信息時代條件下創新高校圖書館信息安全管理的主要措施

（一）必須要對管理信息系統進行科學規劃。對于高校圖書館來講，進行管理信息系統創新，也離不開這個步驟，也必須做好前期的調查研究工作，研究擬開發設計的管理信息系統在本館的可行性、以及使用后的效果性等內容。科學規劃所設計到的主要內容有：制定前期科學、完善的主要目標，并對管理信息系統長期發展方案進行編，以確定管理信息系統在整個組織中發展方向、使用規模以及發展進程；開展初步調查，其目的是為了合理地確定系統目標，進行系統總體分析以及可行性研究，摸清本圖書館在管理信息系統建設存在的迫切性、主要不足、可行性和可能性；在初步調查的基礎上，形成詳實的調研報告，為后期系統詳細調研奠定基礎。

（二）對圖書館管理信息安全管理系統實施可行性分析。在前期初步調查的過程中，嚴格執行調查內容，明確圖書館管理信息系統的目標，對現行系統的基本情況作出初步了解、明確可行性。結合管理信息系統對運行環境、資源要求等條件進行考量，判斷出圖書館所擬上管理信息系統是否具有必要性和可能性。對管理信息系統現存的主要不足、問題、緊迫性、希望新的管理系統所能夠帶來主要功能、開發態度、資金保障、專業人員配備、后期維護與管理等方面進行全方位了解。

（三）開發創新高校圖書館信息安全管理的新型系統。管理信息系統開發創新是更好提高管理效能的重要手段。當前高校圖書館生存發展的宏觀、微觀環境已經發生了深刻變化；高校圖書館職能的發揮必須要建立在充分隨時隨地取得準確而及時的管理決策方面的內部信息與外部信息，甚至是與高校圖書館管理過程中各項決策決議執行情況的反饋信息，以實現對高校圖書館業務與管理的及時調控。管理信息系統主要的功能不但能夠有效進行數據與信息的搜集、處理、而且還具備了預測和控制功能；在高校圖書館實施管理信息系統創新，對于高校圖書館管理曾來講，能夠有效解決在管理中所面臨的半結構化問題和非結構化問題，有效提高一種定性與定量分析的方法，有效提高管理效率和決策的科學化水平。

篇（7）

GB/T28449—2012《信息安全技術信息系統安全等級保護測評過程指南》規定了信息系統安全等級保護測評工作的測評過程，既適用于測評機構、信息系統的主管部門及運營使用單位對信息系統安全等級保護狀況進行的安全測試評價，也適用于信息系統的運營使用單位在信息系統定級工作完成之后，對信息系統的安全保護現狀進行的測試評價，獲取信息系統的全面保護需求。GB/T28448—2012《信息安全技術信息系統安全等級保護測評要求》針對信息系統中的單項安全措施和多個安全措施的綜合防范，對應地提出單元測評和整體測評的技術要求，用以指導測評人員從信息安全等級保護的角度對信息系統進行測試評估。GB/T22239—2008《信息安全技術信息系統安全等級保護基本要求》根據現有技術的發展水平，提出和規定了不同安全保護等級信息系統的最低保護要求，即基本安全要求，包括基本技術要求和基本管理要求，該標準適用于指導不同安全保護等級信息系統的安全建設和監督管理。

2整合實施的思路

2.1審核與測評的過程整合整合是為了在組織內部建立一套信息安全管理體系及制度，而且該制度既符合信息安全管理體系又符合信息系統安全等級保護的管理要求，并給組織帶來收益，避免不必要的沖突和資源浪費。根據對審核和測評的過程分析得知審核從表面上執行了測評的管理內容，但從整個審核和測評活動可得出，兩者的活動內容和組織方式非常相似，因此具備很強的整合條件，兩者的具體活動如表1所示。

2.2審核與測評的控制措施整合整合GB/T22239—2008中的控制措施部分與GB/T22080—2008的附錄A完全可行，且整合后可避免多余、重復的管理資源。如GB/T22239—2008三級信息系統對資產管理的要求和GB/T22080—2008中的“A.7資產管理”基本保持了一致，具體標準條款映射如表2所示。若組織內存在等級保護三級或三級以上的信息系統，則該組織應建立信息安全管理制度體系，這與組織單獨建立ISMS所達到的目標基本一樣，從整合的角度來看，通過實施整合，可以取得“一舉兩得”的效果。具體的整合檢查表如表3所示。

篇（8）

在社會經濟發展的沖擊下，電子信息技術在社會生活與生產中已被廣泛應用，給社會生產注入了新的力量。電子信息技術在為人們的生活帶來便利的同時，其發展也面臨一定的挑戰。在科學技術快速發展的沖擊下，電子信息安全管理成為電子信息技術發展中的重點，也成為發展需要重點解決的問題。因此，研究電子信息安全管理具有很大的現實意義，可以為電子信息技術更好的發展提供有利條件。

1電子信息、信息安全的相關概念

電子信息技術是時展下一門新型的計算機技術，主要負責對電子信息進行處理與控制，是對計算機現代化技術的靈活應用。電子信息技術需要收集、存儲與傳輸信息，實現對信息數據的傳輸與共享，對電子設備的運行也發揮著很大的作用，充分發揮信息數據的優勢。電子信息技術在應用過程中，需要形成一個體系完善的信息系統，設計與開發信息系統，使得電子信息可以更好發揮作用。信息安全主要是指利用一種加密技術，對電子信息進行管理，并且保持信息的保密性、完整性和有效性，從而更好保證電子信息的安全。電子信息在收集、存儲與傳輸的過程中，易受到外界條件的影響與一些不法侵害而導致信息的流失，因此，就需要重點加強電子信息安全管理，對信息進行安全管理，更好地保護信息。

2電子信息的安全因素

2.1完整性

在電子信息技術的發展中，電子信息的完整性是其中較為重要的部分，也是電子信息發展的關鍵。在電子信息的收集、存儲與傳輸過程中，電子信息會被隨意篡改，從而使得電子信息的完整性遭到破壞。在電子信息收集、存儲與傳輸的過程中，還需要重點注意電子信息的流失問題，避免電子信息被盜取，而對電子信息造成不好的影響。電子信息的完整性是電子信息發展的基礎，可以為電子信息更好發展提供有利條件。

2.2機密性

電子信息的機密性是電子信息發展的核心所在，也是發展中不可忽視的問題。在企業與各部門之間的信息傳輸與交流過程中，一些電子信息的機密性是比較強的，信息的泄露對其生存與發展有著直接的影響，嚴重的還會導致企業與部門發展停滯。為了保證電子信息的機密性，就需要重點應用電子信息安全管理技術，通過一些技術手段來對電子信息進行加密，從而防止出現一些篡改、破壞、竊取信息的行為，增強電子信息的安全性。

2.3有效性

電子信息的傳播價值就在于電子信息的有效性，為各方面工作更好進行提供更好的條件。電子信息的傳輸是為了更好實現信息的傳遞與共享，從而為一些社會生活與生產中的交易提供優勢，也可以充分發揮信息傳輸的作用。對于信息傳輸的有效性，就需要強化電子設備，保證硬件與網絡的安全，使得信息的傳輸更加安全，保證信息的有效性的同時，也為信息傳輸的時效性提供保障。

3電子信息安全的隱患

3.1竊取信息

在信息傳輸的過程中，會有一些竊取信息的行為，會導致信息泄露與流失，從而對電子信息保密性與完整性造成影響。一些技術手段較高的黑客可以在信息傳輸過程中攔截信息，就可以獲取一定的信息量。信息數據是有一定的規律的，黑客往往通過所盜取的信息就可以分析出全部的信息，進而完成對信息的竊取。黑客竊取電子信息是有一定手段的，對電子信息的安全影響比較大，一些信息的泄露與流失會對企業造成很大的影響，甚至會威脅到企業的生存與發展。

3.2篡改信息

在信息傳輸的過程中，除了盜取信息外，還會隨意篡改信息。隨意篡改信息，在很大程度上會破壞信息的完整性。信息被隨意篡改，就會使得信息不準確，接收者就會接收到錯誤的信息，從而對接收者造成很大的影響，接收者可能會作出一些錯誤的判斷與決策。隨意篡改信息，主要對接收者造成影響，不能充分發揮信息的優勢。

3.3信息假冒

信息假冒是冒充合法用戶接收與傳輸信息，向接收者發送自己編造的信息，從而對接收者造成誤導。信息假冒一般是攔截合法的信息，然后再以信息傳輸的合法用戶的身份編造信息，繼而將假的信息傳輸給接收者。或者可以不用攔截信息，可以直接冒充身份編造信息，例如偽造用戶或商戶的收、定貨單據等。

3.4信息破壞

信息破壞是一種破壞性較大的行為，一般破壞者會直接侵入用戶的網絡，通過一些病毒來控制用戶的網絡，從而可以修改權限，對用戶的網絡造成較為嚴重的破壞。信息破壞所造成的影響是比較大的，嚴重的會造成網絡癱瘓，后期的網絡修復工作難度也比較大，極不利于電子信息的傳輸。

4電子信息安全技術

4.1防火墻技術

隨著社會的進步、科學技術的發展，網絡成為人們社會生活與生產中較為重要的部分，在社會生活與生產中也發揮著很大的作用。防火墻技術在網絡中的應用比較廣泛，主要用于防止黑客與病毒對網絡安全造成威脅與破壞。網絡黑客與病毒會入侵網絡，而防火墻技術在一定程度上可以對其進行攔截，這是網絡安全運行最基礎的保障措施。對于網絡運行中隨意篡改信息的現象，防火墻技術也可以發揮作用，避免這種現象的發生，在一定程度上保證網絡運行的安全。

4.2加密技術

加密技術在電子信息安全管理中的應用也比較廣泛，一般主要對電子信息進行加密處理。加密技術主要有公開密鑰和私用密鑰，私用密鑰主要用于信息的加密，而公開密鑰主要用于信息的解密，兩者是相匹配的，如果兩者不能匹配，則沒有查看信息的權限。加密技術對電子信息的安全保障程度較高，因為私用密鑰加密信息是以密文的形式進行的，在對信息進行解密時，公開密鑰就會把密文翻譯為文字，從而加強對信息安全的管理，在發生信息被竊取現象時，也不用擔心信息泄露與流失。

4.3認證技術

認證技術分為消息認證、身份認證和生物認證三種類型，每個類型的作用都是不同的。消息認證是通過用戶名與密碼的形式對信息進行加密的認證方式，這種方式的安全沒有保障，用戶名與密碼易被竊取。身份認證的針對性比較強，一般用于特殊身份的認證，如學校學生這種用戶身份，只有符合身份特征的人，才可以查看信息。生物認證的安全性比較高，一般用人的身體特征如虹膜、指紋等作為認證特征。身份認證的安全性是最高的，但是其投資建設成本比較高，在當前的電子信息安全管理中并沒有被廣泛應用。

5提高電子信息安全性的策略

5.1提高電子信息安全認識

網絡在社會生活與生產中已被廣泛應用，加強網絡中信息安全管理工作是十分重要的，也發揮著很大的作用。首先，要對電子信息安全管理有正確的認識，并且提高對其的重視，根據網絡發展的現狀與其中存在的問題，優化電子信息安全管理技術。其次，要根據電子信息安全管理的需要，靈活應用電子信息安全管理技術，充分發揮技術的優勢，為電子信息安全提供保障。

5.2構建電子信息安全管理體制

電子信息安全管理工作的進行離不開較為完善且全面的安全管理體制，安全管理體制是工作進行的前提，可以為電子信息安全管理工作更好進行提供基礎與指導。在對電子信息進行安全管理的過程中，要加強對電子信息的研究，并且深入了解電子信息安全管理技術的實質與要求。首先，制定較為科學合理的制度規范網絡行為與現象，避免網絡混亂而對信息安全造成影響。其次，通過較為合理的制度，綜合各方面的影響因素，再根據信息安全管理技術的要求，形成較為具體、全面的管理體制。一種較為系統的管理體系，可以使得工作的進行更加有序，也可以避免一些病毒和黑客的入侵，促進電子信息安全管理工作更好進行。

5.3培養電子信息安全專業人才

專業人才對于工作的進行有著直接的影響，也需要重點關注。電子信息安全管理技術在當前的發展中取得了很大的成效，但是，電子信息安全專業人才相對較為缺乏，使得技術的應用與管理受到了一定的限制。隨著科學技術的發展，電子信息安全管理技術對于人才的要求提高，需要有較強的專業性。在電子信息安全專業人才培養中，首先對人才的選拔有嚴格要求，繼而對人才進行重點的培訓，提高其專業水平。還可以將一定的資金用于國外技術的學習，根據自身發展的實際情況，提高人才的綜合能力。還需要對人才進行思想教育，提高其對信息安全管理的重視，并且提高其責任感。在日常的工作中，定期對人才進行審核，規范其行為，促進綜合素質的提高。

5.4定期評估、改進安全防護軟件系統

評估工作在電子信息安全管理工作的進行與發展中是十分重要的，也是非常關鍵的。社會在不斷發展，技術也在不斷更新，評估工作可以為改進工作提供依據與方向。在電子信息安全管理中，定期評估安全防護軟件系統，可以發現安全管理中存在的不足與發展的優勢，對于存在的不足，可以以人們的評估為依據，對問題進行處理，更好滿足人們的需要。在工作中還需要不斷積累經驗，改進與優化電子信息安全管理技術，充分發揮技術的優勢，促進管理工作更好進行。

6結語

在時展潮流的沖擊下，電子信息存在一定的安全隱患，電子信息安全管理引起了人們的關注。在電子信息安全管理工作中，需要深度研究電子信息發展的情況與安全影響因素，并且有針對性地解決，為電子信息提供安全保障。網絡技術也是在不斷發展與更新的，也需要創新網絡技術，為電子信息安全管理工作的進行提供有利條件。

參考文獻

篇（9）

一、電子信息安全管理中存在的問題

1.安全防范意識落后

我國的信息技術迅猛發展，人們沉浸在便利的喜悅中，忽略了安全管理。由于電子商務處于初步發展階段，很多技術方面尚不成熟，一些高標準的電子商務平臺尚還沒有搭建起來，對黑客缺乏防御的小型電子商務平臺雖然隨處可見，但其缺乏有效的安全管理，經營者麻痹大意，心存僥幸，認為“黑客”雖然存在，但是自身未必遭受攻擊，他們更多地關注業務的發展，重視平臺規模的擴大和系統功能的開發。在這種情況下，系統缺乏安全防御，一旦受到攻擊，立即癱瘓不能運轉和造成損失。此外，有些管理者為了防御黑客，在市場上購買了一些大眾化的安全管理軟件，便覺得安裝了這些“高新”產品，就會高枕無憂，永遠安全的使用電子商務。結果，常常事與愿違，造成巨大的損失。

2.信息安全技術匱乏

經過一段時間的努力，國內的信息安全管理技術不斷提升，連續邁上新的臺階，情況喜人。但是，我們也要有自知之明，因為和許多西方國家相比，信息安全防御與控制技術相對落后很多，并且，我們在經費的投入方面，有明顯的差距；自主研發技術存在的不足之處多多，亟需改善。我們更要清楚的一點是：我們的技術，很多都是借鑒國外的經驗，缺乏獨創。如此步人后塵，電子信息安全管理質量難以有質的突破。

3.信息安全產品鑒定混亂無序

為了安全起見，很多企業花費不菲，購買了一些安全方面的軟件，殊不知，這些產品在一般情況下，確實能夠起到電子信息使用平臺的安全作用，但如果病毒強大，絕對的安全便難以保證。縱觀市場上的安全軟件產品，良莠不齊，并且，目前市場上對于安全產品的鑒定沒有統一標準，各執一說，很多都是主觀判斷，由此產生隱患。

二、電子信息安全管理的有效措施

在電子信息安全管理方面，一旦出現問題，就會造成損失，一些企業“吃一塹長一智”，采取了相關措施，不過，調查表明，大多數企業存在“重技術，輕管理”的情況，而且由于一些企業尚未造成重大損失，管理層對安全問題漠不關心，或重視不夠。下面針對加強電子信息安全管理的主要措施做一探討。

1.構建完善的管理組織機構，加強管理

電子信息安全管理組織機構的完善有力地促進了企業的發展，從安全決策到認真執行，層層構架，發揮職能。管理框架的構建要集思廣益，審慎剴切；安全制度的審批須一絲不茍，審查入微；安全職責的分配必須認真到位，監督有力；遵照網絡系統安全制度，嚴肅執行，進行網絡系統的日常維護。如屬于大型的電子商務平臺或者集團企業，更加需要增加投入，比如聘請有造詣的專家成立顧問組織，以便企業進行疑難咨詢，或是參照出現的問題出列解決方案，爾后進一步對責任進行調查、評估。

2.電子信息安全管理制度有待進一步完善

電子信息安全管理制度主要包括兩方面的內容，第一點就是構建電子信息控制制度，第二點是出現問題之后的解決策略。關于第一點，需要明確責任，注重細節，出現任何情況都要嚴格審核，并且定期檢查；至于第二點，注意信息傳遞過程中的信息維護，密切跟蹤，及時報告，達到有效監督。最后，備份數據文件儲存。

3.專業亟待提升

互聯網的發展突飛猛進，普及千家萬戶，安全技術的研發相對于互聯網的發展遠遠落后，原因諸多，最重要的一點就是缺乏過硬的技術人員。一般而言，電子商務規模越大，電子信息安全管理隊伍的陣容也要隨之擴充，只有電子信息安全管理隊伍強大，才能夠產生無窮的智慧與應對措施，保證電子商務平臺的安全。

4.系統安全檢測

黑客一詞被用于泛指那些專門利用電腦網絡和系統安全漏洞對網絡進行攻擊破壞或竊取資料的人。病毒與黑客不斷變換手段，頻頻對電子商務系統采取攻擊行動，有時候能導致整個系統癱瘓。出現意外情況，要立即檢測，要經常更換密碼，設置復雜一些的密碼，要經常對防火墻進行檢查，系統功能是否保持，是否出現漏洞等，要細致入微，不能有一絲一毫的疏忽，嚴防黑客侵入。

5.建立保護系統的方案

時常進行安全檢測，一旦系統的安全檢測失靈，必須立即建立系統安全防護措施。系統安全管理極其復雜，缺乏安全可靠的保護，電子商務在網絡平臺失去有效的依靠，隨時會出現漏洞。反之，安全策略嚴謹，防護得力，即便系統遭受攻擊，也會及時發現，能將損失最小化。

6.管理培訓的重要性

防護系統的工作人員，要進行考試錄用、上崗培訓，企業經常進行人員培訓，定期學習安全策略和規章制度。讓每一個員工加強安全觀念，提升對信息安全的重視，認識到防護的重要性，堅守崗位，忠于職守，明了企業安全規章制度的含義。

三、結語

綜上所述，近年來經濟騰飛，經濟全球化進程不斷加快，計算機技術無所不在，網絡暢通無極，人們在網絡平臺上進行商務管理、學習、游戲、查找資料、購物匯款等等，網絡信息交互平臺已經深入大家的生活，人們已經一日不可沒有網絡的存在。網絡如此不可或缺，隨著計算機病毒造成的一次次的損失，人們對電子信息安全管理質量憂心忡忡。

在這一背景下，很多電子信息安全管理研究機構紛紛推出各類電子信息安全管理產品，盡管其對確保信息安全起到了一定的功效，但是，一切并不是萬能的。這也使得人們明白了技術產品并不僅僅是安全管理工作的全部。本文結合當前電子信息安全管理現狀，提出了一些相應的應對措施，希望能夠有效提升電子信息安全管理的質量。

參考文獻：

篇（10）

1.1 管理者的安全意識不強

檔案信息化水平不斷提升，這也使檔案信息安全問題越來越突出。當前很多檔案管理人員對于檔案信息安全的重要性和緊迫性缺乏有效的認知，特別是當前檔案網站安全、計算機系統安全等問題普遍得不到重視。由于檔案管理者對數字檔案信息安全意識缺乏，這也導致普遍民眾對數字檔案信息的安全問題更是一無所知。很大一部分檔案管理人員在日常工作中都沒有意識到數字檔案存在的安全隱患，這些數字檔案信息可能隨時消失不見，對風險缺乏有效的認知，這也造成數字檔案信息安全問題始終存在，這對于數字檔案信息安全管理工作帶來了較大的挑戰和難度。

1.2 數字檔案信息安全管理技術滯后

隨著信息技術的快速發展，數字檔案檔案安全技術也緊跟信息技術發展步伐取得了較快的發展，但在發展過程中存在著技術層面專業問題的制約，這就導致數字檔案信息安全管理技術相對滯后。在實際工作中，往往都是檔案信息安全問題出現后，數字檔案信息安全技術才能針對出現的問題進行改進，從而取得技術上的發展。即在數字檔案信息管理工作中，安全隱患一直存在，風險一直管觀存在，數字檔案信息安全時刻受到威脅，因此要??際工作中需要有效的降低風險，即應用數字檔案信息安全技術來將風險降至最低水平。

1.3 數字檔案信息安全管理制度不完善

現今我國在數字檔案信息安全領域的制度不夠健全，所以才會在實際的數字檔案信息安全管理中出現許多紕漏。由于數字信息安全管理制度的殘缺導致我國的數字檔案信息安全管理水平普遍偏低。從實際出發，我國大部分的檔案管理部門都制定了相應的數字檔案信息管理制度，許多制度都是為了應付檢查才制定的，相互抄襲的情況比較多，這樣的情況就會造成所制定的制度并不能與實際的數字檔案信息安全管理工作相匹配。對實際的數字檔案信息安全管理工作起不到任何制約與指導作用，甚至可能造成安全隱患給數字檔案信息安全管理工作帶來不必要的麻煩。

2 加強數字檔案信息安全管理的策略分析

2.1 加強對工作人員的培訓，樹立安全防范意識

隨著檔案信息化的不斷發展，檔案數字化全面普及率已成為檔案工作發展的必然趨勢。為了能夠更好的提高數字檔案信息管理的安全，需要遵循以人為本原則，重視檔案管理人員的培訓工作，努力提高檔案管理人員的專業技能。在具體培訓過程中，要加強對檔案管理人員信息安全知識的講解，使檔案管理人員樹立安全防范意識，認識到數字檔案安全管理的重要性，并能夠在實際工作中利用安全技術來維護數字檔案信息的安全。培訓過程中還要重視檔案管理人員計算機技術水平的提升，這樣在實際工作中才能更熟練的應用檔案管理系統，提高檔案管理系統的先進性，從而更好的實現對數字檔案信息的有效管理。

2.2 提高重要信息的加密性和計算機的安全性

網絡環境的不安全會影響數字檔案信息的安全性，因此要加大對網絡環境的保護力度，提高計算機環境的安全性。為防止重要信息被黑客入侵盜取，要加強對信息的加密保護，保證數字檔案信息的保密性，在網絡層能夠安全、自由的傳遞，特別是對帶有密級的數字檔案信息系統，更應該加強文件的加密保護能力，保護重要的檔案信息。對計算機要定期的清理，防止留下的瀏覽記錄被別有用心的人利用，可能會從中得到很多私人信息，提高計算機系統的安全性。因此在計算機上必然安全可靠的殺毒軟件和防火墻，做好安全防范工作，降低計算機系統受到病毒破壞及黑客攻擊的可能性，提高計算機系統的安全水平。同時檔案管理人員還要熟練應用計算機軟件，并定期對病毒庫進行更新，強化計算機系統的安全防范，有效的提高數字檔案信息的安全性和可靠性。

2.3 健全數字檔案信息安全管理制度與法律

篇（11）

二、健全法律法規

加強法律法規的完善性，保證數字化檔案信息安全管理工作的規范執行。在該執行期間，需要從法律法規角度對其進行研究，基于信息化時展需要，為民營企業的檔案信息安全管理工作營造良好的發展氛圍。執行過程中，需要根據信息化發展要求、檔案信息的主要特征，為其制定完善的法律法規。在該體系執行時，不僅能加強民營企業數字化檔案信息管理工作的?范化，實現信息的開放性發展，還能保證民營企業檔案信息完整、真實使用。在現代化發展背景下，民營企業面臨較大的挑戰，為了提高檔案信息管理能力，還需要建立完善的管理制度，分析數字化檔案信息安全管理工作中存在的一些影響因素，保證制度的有效執行，保證在具體實施工作中，能夠將安全理念滲透到企業檔案信息管理工作中去。在實施工作中，還要為數字化檔案信息管理工作提供備份制度，其中，需要包括登記、異地使用制度等。不僅如此，還要促進數字化檔案開放工作的執行期間，保證能夠開放一些信息。還需要為檔案信息的數字化管理建立維護制度，促進管理工作流程的規范發展，保證工作中各個環節的人員職責都能充分落實，實現任務分布明確，職責合理等，在不同崗位上，遵循不同的工作事項和流程，這樣才能使檔案信息管理工作符合新時期的發展要求，維持民營企業的健康進步。

三、利用先進手段

在民營企業不斷進步與發展的背景下，為了提升數字化檔案信息安全管理水平，需要引進先進執行手段。先進手段的引入能夠為民營企業的檔案信息管理工作提供有效保障，在內部管理工作中，需要相關部門根據自身的發展條件，借鑒一些成功經歷，引入有效的數字化檔案信息安全軟件，促進信息安全設備的有效配置，保證企業在數字化檔案管理工作中，提高其中的技術含量。不僅如此，在具體執行期間，還需要根據企業建立的數字化管理系統化，分析運行的實際情況，對計算機的硬件和軟件進行優化選擇，提高其使用性能。在對計算機軟件與硬件進行選擇過程中，要重視計算機的品牌和服務器，以全方位的角度對計算機硬件的兼容性、可擴展性進行思考、嚴格審核，在該工作中，不僅能避免產生數據丟失現象，還能實現計算機系統的優化升級。并且，還需要為其設置信息訪問認證工作，開發防病毒軟件，為數字化檔案信息執行加密工作，這樣不僅能防止數據信息被非法侵入，還能促進數字化檔案信息的安全管理。

四、提高人員素質