信息安全管理大全11篇

緒論：寫(xiě)作既是個(gè)人情感的抒發(fā)，也是對(duì)學(xué)術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇信息安全管理范文，希望它們能為您的寫(xiě)作提供參考和啟發(fā)。

篇（1）

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）27-6080-03

人類(lèi)進(jìn)入信息化社會(huì)，社會(huì)發(fā)展對(duì)信息化的依賴(lài)程度越來(lái)越大，一方面信息化成果已成為社會(huì)的重要資源，在政治、經(jīng)濟(jì)、國(guó)防、教育、科技、生活等發(fā)面發(fā)揮著重要的作用，另一方面由于信息技術(shù)的迅猛發(fā)展而帶來(lái)的信息安全事件、事故層出不窮，信息安全問(wèn)題與矛盾日益突出。信息安全工程是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的系統(tǒng)工程，其包括關(guān)鍵基礎(chǔ)設(shè)施及硬件安全、運(yùn)行安全、軟件安全、通信安全、人員安全、傳輸安全、網(wǎng)絡(luò)安全、人員安全等。組織要實(shí)現(xiàn)信息安全目標(biāo)，就必須建立一套行之有效信息安全管理與技術(shù)有機(jī)結(jié)合的安全防范體系。信息安全管理包括制定信息安全策略（包括計(jì)劃、程序、流程與記錄等）、風(fēng)險(xiǎn)評(píng)估、控制目標(biāo)的選擇、控制措施的實(shí)施以及信息安全管理測(cè)評(píng)等。管理大師德魯克曾經(jīng)說(shuō)過(guò)“無(wú)法度量就無(wú)法管理”[1]，強(qiáng)調(diào)了測(cè)量對(duì)組織管理的重要意義，信息安全管理同樣也離不開(kāi)測(cè)評(píng)。如何對(duì)信息安全管理有效性等進(jìn)行測(cè)量，根據(jù)測(cè)量的結(jié)果對(duì)組織信息安全管理情況進(jìn)行評(píng)價(jià)并進(jìn)一步指導(dǎo)信息安全管理，提高信息安全管理能力和水平，目前已經(jīng)成為信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)[2]。

信息安全管理測(cè)評(píng)是組織圍繞信息化持續(xù)發(fā)展與信息安全保障的現(xiàn)狀和未來(lái)綜合能力的反映，不僅是對(duì)過(guò)去和現(xiàn)在的能力展現(xiàn)，而且為未來(lái)發(fā)展提供保障和動(dòng)力。在我國(guó)，目前關(guān)于信息安全管理測(cè)評(píng)研究剛處于起步階段，還沒(méi)有一套可供使用的信息安全測(cè)評(píng)體系標(biāo)準(zhǔn)、方法等。因此，開(kāi)展信息安全管理測(cè)評(píng)研究，對(duì)組織信息化建設(shè)既具有重要的現(xiàn)實(shí)意義也具有長(zhǎng)遠(yuǎn)的持續(xù)發(fā)展意義。

1 信息安全管理測(cè)評(píng)發(fā)展綜述與需求

關(guān)于信息安全測(cè)評(píng)，美國(guó)早在2002年通過(guò)的《聯(lián)邦信息安全管理法案》中就要求各機(jī)構(gòu)每年必須對(duì)其信息安全實(shí)踐進(jìn)行獨(dú)立測(cè)評(píng)，以確認(rèn)其有效性。這種測(cè)評(píng)主要包括對(duì)管理、運(yùn)行和技術(shù)三要素的控制和測(cè)試，其頻率視風(fēng)險(xiǎn)情況而定，但不能少于每年一次。在獨(dú)立評(píng)價(jià)的基礎(chǔ)上，聯(lián)邦管理與預(yù)算局應(yīng)向國(guó)會(huì)上報(bào)評(píng)價(jià)匯總結(jié)果；而聯(lián)邦審計(jì)署則需要周期性地評(píng)價(jià)并向國(guó)會(huì)匯報(bào)各機(jī)構(gòu)信息安全策略和實(shí)踐的有效性以及相關(guān)要求的執(zhí)行情況。

2003年7月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（National Institute of Standards and Technology，NIST）了NIST SP 800-55《信息技術(shù)系統(tǒng)安全測(cè)量指南》，其包括以下內(nèi)容[3]：

1） 角色和職責(zé)：介紹發(fā)展和執(zhí)行信息安全測(cè)量的主要任務(wù)和職責(zé)。

2） 信息安全測(cè)量背景：介紹測(cè)量定義、進(jìn)行信息安全測(cè)量的好處、測(cè)量類(lèi)型、幾種可以進(jìn)行信息安全測(cè)量的控制、成功測(cè)量的重要因素、測(cè)量對(duì)管理、報(bào)告和決策的作用。

3） 測(cè)量發(fā)展和執(zhí)行過(guò)程：介紹用于信息安全測(cè)量發(fā)展的方法。

4） 測(cè)量項(xiàng)目執(zhí)行：討論可以影響安全測(cè)量項(xiàng)目的技術(shù)執(zhí)行的各種因素。

5） 以附件的形式給出的16種測(cè)量的模板。

2004年11月17日，美國(guó)的企業(yè)信息安全工作組（Corporate Information Security Working Group，CISWG）了CISWG CS1/05-0079《帶有支撐管理測(cè)量的信息安全計(jì)劃要素》[4]，2005年國(guó)際標(biāo)準(zhǔn)化組織（ISO/IEC SC27）提出了信息安全管理體系（Information Security Management Systems，ISMS）的系列標(biāo)準(zhǔn)——ISO27000系列。2005年1月10日又了修訂版，并作為針對(duì)ISO/IEC 2nd WD27004 的貢獻(xiàn)文檔提交給ISO/IEC JTC1 SC27，該文檔是根據(jù)CISWG的最佳實(shí)踐和測(cè)量小組的報(bào)告改編。

2005年8月31日，美國(guó)國(guó)際系統(tǒng)安全工程協(xié)會(huì)（International System Security Engineering Association，ISSEA）針對(duì)ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5]（ISSEA測(cè)量的貢獻(xiàn)背景）和“ISSEA Metrics”[6]（ISSEA測(cè)量）兩個(gè)貢獻(xiàn)文檔。

2009年國(guó)際標(biāo)準(zhǔn)化組織（ISO）了ISO/IEC 27004：2009（信息技術(shù)一安全技術(shù)一信息安全管理測(cè)量）標(biāo)準(zhǔn)，為如何建立及測(cè)量ISMS及其控制措施提供了指導(dǎo)性建議[7]。

信息安全管理體系是信息安全保障體系的重要組成部分。近年來(lái)，隨著組織對(duì)信息安全保障工作重視程度的日益增強(qiáng)，不少組織都依據(jù)標(biāo)準(zhǔn)GB/T 22081-2008建立了一套比較完善的ISMS來(lái)保護(hù)組織的重要信息資產(chǎn)，但是體系建立起來(lái)了，不少管理者都對(duì)ISMS的運(yùn)行效果極其控制措施的有效性，持懷疑的態(tài)度。故此組織很有必要建立一套相應(yīng)的測(cè)評(píng)方法來(lái)全面的對(duì)ISMS的運(yùn)行情況進(jìn)行科學(xué)的評(píng)價(jià)，進(jìn)一步提升ISMS的執(zhí)行力。該文研究的信息安全管理測(cè)評(píng)將為確定ISMS的實(shí)現(xiàn)目標(biāo)，衡量ISMS執(zhí)行的效力和效率提供一些思想、方法，其結(jié)果具有客觀的可比性，還可以作為信息安全風(fēng)險(xiǎn)管理、安全投入優(yōu)化和安全實(shí)現(xiàn)變更的客觀依據(jù)，有助于降低安全風(fēng)險(xiǎn)，減少安全事件的概率和影響，改進(jìn)安全控制和管理過(guò)程的效率或降低其成本。

2 信息安全管理測(cè)評(píng)研究?jī)?nèi)容

信息安全管理測(cè)評(píng)是信息安全管理體系的重要部分，是信息安全管理測(cè)量與評(píng)價(jià)的綜合。信息安全管理測(cè)量的結(jié)果是信息安全績(jī)效評(píng)價(jià)的依據(jù)。信息安全管理測(cè)量比較具體，信息安全管理評(píng)價(jià)則通過(guò)具體來(lái)反映宏觀。

2.1 信息安全管理測(cè)評(píng)要素及其框架

信息安全管理測(cè)評(píng)要素包括：測(cè)評(píng)實(shí)體及其屬性、基礎(chǔ)測(cè)評(píng)方式、基礎(chǔ)測(cè)評(píng)變量、導(dǎo)出測(cè)評(píng)制式、導(dǎo)出測(cè)評(píng)變量、測(cè)評(píng)方法、測(cè)評(píng)基線、測(cè)評(píng)函數(shù)、分析模型、指示器、決策準(zhǔn)則、測(cè)評(píng)需求和可測(cè)評(píng)概念等，其框架如圖3.1信息安全測(cè)評(píng)框架所示，包括：基于什么樣的需求來(lái)測(cè)評(píng)（即測(cè)評(píng)需求），對(duì)什么進(jìn)行測(cè)評(píng)（即實(shí)體及其屬性），用什么指標(biāo)體系來(lái)測(cè)評(píng)（包括測(cè)評(píng)制式、測(cè)評(píng)變量和測(cè)評(píng)尺度），用什么方法來(lái)測(cè)評(píng)（即測(cè)評(píng)方法），用什么函數(shù)來(lái)計(jì)算測(cè)評(píng)結(jié)果（即測(cè)評(píng)函數(shù)），用什么模型來(lái)分析測(cè)評(píng)結(jié)果（即分析模型），用什么方式來(lái)使分析結(jié)果能夠輔助決策（即指示器）等問(wèn)題。

信息需求是測(cè)評(píng)需求方提出的對(duì)測(cè)評(píng)結(jié)果信息的需求。信息需求源自于組織的使命和業(yè)務(wù)目標(biāo)，與相關(guān)利益者的利益訴求密切相關(guān)。指示器的生成和分析模型的選擇是以信息需求為導(dǎo)向的。

決策準(zhǔn)則是一種決定下一步行為的閾值。他有助于解釋測(cè)評(píng)的結(jié)果。決策準(zhǔn)則可能出自或基于對(duì)預(yù)期行為在概念上的理解和判斷。決策準(zhǔn)則可以從歷史數(shù)據(jù)、計(jì)劃和探索中導(dǎo)出，或作為統(tǒng)計(jì)控制限度或統(tǒng)計(jì)信心限度計(jì)算出來(lái)。

可測(cè)評(píng)概念是實(shí)體屬性與信息需求之間的抽象關(guān)系，體現(xiàn)將可測(cè)評(píng)屬性關(guān)聯(lián)到信息需求以及如何關(guān)聯(lián)的思想?？蓽y(cè)評(píng)概念的例子有生產(chǎn)力、質(zhì)量、風(fēng)險(xiǎn)、績(jī)效、能力、成熟度和客戶價(jià)值等。實(shí)體是能通過(guò)測(cè)評(píng)屬性描述的對(duì)象。一個(gè)實(shí)體是測(cè)評(píng)其屬性的一個(gè)對(duì)象，例如，過(guò)程、產(chǎn)品、系統(tǒng)、項(xiàng)目或資源。一個(gè)實(shí)體可能有一個(gè)或多個(gè)滿足信息需求的屬性。實(shí)踐中，一個(gè)實(shí)體可被歸類(lèi)于多個(gè)上述類(lèi)別。他可以是有形的也可是無(wú)形的。信息安全管理測(cè)評(píng)的實(shí)體包括信息安全管理體系建立過(guò)程中所有的控制項(xiàng)（信息安全管理測(cè)評(píng)要素）。屬性是實(shí)體可測(cè)評(píng)的、物理的或抽象的性質(zhì)。一個(gè)屬性是能被人或自動(dòng)手段定量或定性區(qū)分的一個(gè)實(shí)體的某一特性或特征。一個(gè)實(shí)體可能有多個(gè)屬性，其中只有一些可能對(duì)測(cè)評(píng)有價(jià)值。測(cè)評(píng)模型實(shí)例化的第一步是選擇與信息需求最相關(guān)的屬性。一個(gè)給定屬性可能被結(jié)合到支持不同信息需求的多個(gè)測(cè)評(píng)構(gòu)造中。信息安全管理測(cè)評(píng)主要測(cè)評(píng)的是每一項(xiàng)控制措施的屬性（信息安全管理測(cè)評(píng)指標(biāo)）。

測(cè)評(píng)是以確定量值為目的的一組操作。信息安全管理測(cè)評(píng)是確定控制項(xiàng)的每一個(gè)具體指標(biāo)的一組操作，可以有多種測(cè)評(píng)方法?；A(chǔ)測(cè)評(píng)是依照屬性和定量方法而定義的測(cè)評(píng)方法，是用來(lái)直接測(cè)評(píng)某一屬性的，是根據(jù)屬性和量化他的方法來(lái)定義，他捕獲單獨(dú)屬性的信息，其功能獨(dú)立于其他測(cè)評(píng)。信息安全管理基礎(chǔ)測(cè)評(píng)是對(duì)于控制項(xiàng)的指標(biāo)可以直接測(cè)評(píng)出來(lái)的量。導(dǎo)出測(cè)評(píng)是通過(guò)測(cè)評(píng)其他屬性來(lái)間接地測(cè)評(píng)某一屬性的測(cè)評(píng)，是根據(jù)屬性之間的關(guān)系來(lái)定義，他捕獲多個(gè)屬性或多個(gè)實(shí)體的相同屬性的信息，其功能依賴(lài)于基礎(chǔ)測(cè)評(píng)的，是兩個(gè)或更多基礎(chǔ)測(cè)評(píng)值得函數(shù)。

測(cè)評(píng)尺度是一組連續(xù)或離散的數(shù)字量值（如小數(shù)/百分比/自然數(shù)等）或離散的可數(shù)量值（如高/中/低/等）。測(cè)評(píng)尺度是規(guī)范測(cè)評(píng)變量取值的類(lèi)型和范圍。測(cè)評(píng)方法將所測(cè)評(píng)屬性的量級(jí)影射到一個(gè)測(cè)評(píng)尺度上的量值后賦給測(cè)評(píng)變量。

測(cè)評(píng)尺度根據(jù)尺度上量值之間關(guān)系的性質(zhì)分為四種類(lèi)型：

名義（Nominal） ：測(cè)評(píng)值是直呼其名。

序數(shù)（Ordinal） ：測(cè)評(píng)值是有等級(jí)的。

間隔（Interval） ：測(cè)評(píng)值是等距離的，對(duì)應(yīng)于屬性的等量，不可能是零值。

比率（Ratio） ：測(cè)評(píng)值是等距離的，對(duì)應(yīng)于屬性的等量，無(wú)該屬性為零值。

測(cè)評(píng)單位是作為慣例定義和被廣泛接受的一個(gè)特定量。他被用作比較相同種類(lèi)量值的基準(zhǔn)，以表達(dá)他們相對(duì)于此量的量級(jí)。只有用相同測(cè)評(píng)單位表達(dá)的量值才能直接比較。測(cè)評(píng)單位的例子有公尺、公斤和小時(shí)等。

測(cè)評(píng)函數(shù)是將兩個(gè)或更多測(cè)評(píng)變量結(jié)合成導(dǎo)出測(cè)評(píng)變量的算法。導(dǎo)出測(cè)評(píng)變量的尺度和單位依賴(lài)于作為函數(shù)輸入的測(cè)評(píng)變量的尺度和單位以及他們通過(guò)函數(shù)結(jié)合的運(yùn)算方式。分析模型是將一個(gè)或多個(gè)測(cè)評(píng)變量轉(zhuǎn)化為指示器的算法。他是基于對(duì)測(cè)評(píng)變量和/或他們經(jīng)過(guò)一段時(shí)間的表現(xiàn)之間的預(yù)期關(guān)系的理解或假設(shè)。分析模型產(chǎn)生與信息需求相關(guān)的評(píng)估或評(píng)價(jià)。測(cè)評(píng)方法和測(cè)評(píng)尺度影響分析模型的選擇。

測(cè)評(píng)計(jì)劃定義了測(cè)評(píng)實(shí)施的目標(biāo)、方法、步驟和資源。測(cè)評(píng)頻率是測(cè)評(píng)計(jì)劃的執(zhí)行頻率。測(cè)評(píng)計(jì)劃應(yīng)按規(guī)定的頻度定期地或在必要的時(shí)候不定期地執(zhí)行。定期執(zhí)行的規(guī)定頻度應(yīng)建立在信息效益的需求與獲得他的成本之間的折中，可以是每周、每月、每季度或每年等。不定期執(zhí)行的必要時(shí)候包括ISMS初始規(guī)劃和實(shí)施以及ISMS本身或運(yùn)行環(huán)境發(fā)生重大變化。

2.2 信息安全管理測(cè)評(píng)量表體系

任何測(cè)評(píng)都必須具備參照點(diǎn)、單位和量表三個(gè)要素。信息安全測(cè)評(píng)指標(biāo)體系是信息安全測(cè)評(píng)的基礎(chǔ)，是對(duì)指定屬性的評(píng)價(jià)，這些屬性與測(cè)評(píng)需求方的信息保障需求相關(guān)聯(lián)，對(duì)他們進(jìn)行評(píng)價(jià)為測(cè)評(píng)需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現(xiàn)給測(cè)評(píng)需求方的。標(biāo)準(zhǔn)GB/T 22081-2008是進(jìn)行信息安全管理所參照的標(biāo)準(zhǔn)，其從信息安全方針、信息安全組織、法律法規(guī)符合性等11個(gè)方面，提出了133個(gè)控制措施供使用者在信息安全管理過(guò)程中選擇適當(dāng)?shù)目刂拼胧﹣?lái)加強(qiáng)信息安全管理。該標(biāo)準(zhǔn)所提供的控制措施基本能覆蓋信息安全管理的各個(gè)方面。在建立信息安全管理測(cè)評(píng)指標(biāo)體系的實(shí)踐中，通常以控制措施的實(shí)施情況作為指標(biāo)，建立預(yù)選指標(biāo)集，通過(guò)對(duì)預(yù)選指標(biāo)集的分析，采用專(zhuān)家咨詢(xún)的方式篩選出能全面反映信息安全管理有效性的具體指標(biāo)。

3 信息安全管理測(cè)評(píng)方法探討

測(cè)評(píng)方法通常影響到用于給定屬性的測(cè)評(píng)尺度類(lèi)型。例如，主觀測(cè)評(píng)方法通常只支持序數(shù)或名義類(lèi)型的測(cè)評(píng)尺度。測(cè)評(píng)方法是使用指定的測(cè)評(píng)制式量化屬性的操作邏輯序列。操作可能包括計(jì)算發(fā)生次數(shù)或觀察經(jīng)過(guò)時(shí)間等。同樣的測(cè)評(píng)方法可能適用于多個(gè)屬性。然而，每一個(gè)屬性和測(cè)評(píng)方法的獨(dú)特結(jié)合產(chǎn)生一個(gè)不同的基礎(chǔ)測(cè)評(píng)。測(cè)評(píng)方法可能采用多種方式實(shí)現(xiàn)。測(cè)評(píng)規(guī)程描述給定機(jī)構(gòu)背景下測(cè)評(píng)方法的特定實(shí)現(xiàn)。

測(cè)評(píng)方法根據(jù)量化屬性的操作性質(zhì)分為兩種類(lèi)型：

主觀：含有人為判斷的量化。

客觀：基于數(shù)字規(guī)則（如計(jì)數(shù)）的量化。這些規(guī)則可能通過(guò)人或自動(dòng)手段來(lái)實(shí)現(xiàn)。

測(cè)評(píng)方法的可能例子有：調(diào)查觀察、問(wèn)卷、知識(shí)評(píng)估、視察、再執(zhí)行、系統(tǒng)咨詢(xún)、測(cè)試（相關(guān)技術(shù)有設(shè)計(jì)測(cè)試和操作有效性測(cè)試等）、統(tǒng)計(jì)（相關(guān)技術(shù)有描述統(tǒng)計(jì)、假設(shè)檢驗(yàn)、測(cè)評(píng)分析、過(guò)程能力分析、回歸分析、可靠性分析、取樣、模擬、統(tǒng)計(jì)過(guò)程控制（SPC， statistical Process control） 圖和時(shí)序分析等）。

4 結(jié)束語(yǔ)

當(dāng)前，信息安全領(lǐng)域的測(cè)評(píng)研究多側(cè)重于對(duì)技術(shù)產(chǎn)品、系統(tǒng)性能等方面的測(cè)評(píng)，其中信息安全風(fēng)險(xiǎn)評(píng)估可通過(guò)對(duì)重要信息資產(chǎn)面臨的風(fēng)險(xiǎn)、脆弱性的評(píng)價(jià)掌握組織的信息安全狀況；信息安全審計(jì)則只是對(duì)信息安全相關(guān)行為和活動(dòng)提供相關(guān)證據(jù)；而信息安全管理評(píng)審則是符合性審核，他們都不能對(duì)信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評(píng)價(jià)。因此，非常有必要對(duì)信息安全管理的有效性進(jìn)行測(cè)評(píng)，這將有助于了解信息安全管理過(guò)程中所采取的控制措施的有效性以及控制措施的執(zhí)行情況，為管理者決策提供依據(jù)，也能為組織信息安全管理過(guò)程的持續(xù)改進(jìn)提供足夠的幫助，達(dá)到更好地管理信息安全的最終目的。

參考文獻(xiàn)：

[1] 閆世杰，閔樂(lè)泉，趙戰(zhàn)生.信息安全管理測(cè)量研究[J].信息安全與通信保密，2009，5：53.

[2] 朱英菊，陳長(zhǎng)松.信息安全管理有效性的測(cè)量[J].信息網(wǎng)絡(luò)安全，2009，1：87-88.

[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper， 2003.

[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics ， Adapted from the report of the Best Practices and Metrics Teams ， Corporate Information Security Working Group （ CISWG ） ， 2004-11-17 （ Revised 2005-01-10 ）.

篇（2）

計(jì)算機(jī)網(wǎng)絡(luò)信息安全的含義很廣，隨著情景的不同會(huì)發(fā)生一些變化。不同用戶對(duì)網(wǎng)絡(luò)信息安全的認(rèn)識(shí)和要求也不盡相同，一般用戶可能僅希望個(gè)人隱私或保密信息在網(wǎng)絡(luò)上傳輸時(shí)不受侵犯，避免被人竊聽(tīng)，篡改或者偽造；對(duì)網(wǎng)絡(luò)服務(wù)上來(lái)說(shuō)，除關(guān)心網(wǎng)絡(luò)信息安全問(wèn)題外，還要考慮突發(fā)的自然災(zāi)害等原因?qū)W(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)功能發(fā)生異常時(shí)恢復(fù)網(wǎng)絡(luò)通信和正常服務(wù)。

一般來(lái)講，網(wǎng)絡(luò)信息安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸?shù)男畔⒌陌踩?。從技術(shù)上說(shuō)，網(wǎng)絡(luò)信息安全防范系統(tǒng)包括操作系統(tǒng)、應(yīng)用系統(tǒng)、防病毒系統(tǒng)、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)、通信加密、災(zāi)難恢復(fù)、安全掃描等多個(gè)安全組件組成、單靠一項(xiàng)措施很難保證網(wǎng)絡(luò)信息安全。因此，網(wǎng)絡(luò)信息安全是一項(xiàng)非常復(fù)雜的系統(tǒng)工程，已成為信息技術(shù)的一個(gè)重要領(lǐng)域。

二、計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題的分類(lèi)

1.自然災(zāi)害

與一般電子系統(tǒng)一樣，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)只不過(guò)是一種電子線路，網(wǎng)絡(luò)信息實(shí)際上是一種電信號(hào)，溫度、濕度、振動(dòng)、沖擊、污染等方面的異常因素都可影響網(wǎng)絡(luò)的正常運(yùn)行。網(wǎng)絡(luò)中心若無(wú)較為完善的防震、防火、防水、避雷、防電磁泄漏或干擾等設(shè)施，抵御自然災(zāi)害和意外事故的能力就會(huì)很差。在網(wǎng)絡(luò)的日常運(yùn)行中，僅僅由非正常斷電導(dǎo)致的設(shè)備損壞和數(shù)據(jù)丟失所造成的損壞就非常驚人。因?yàn)閺?qiáng)烈噪音和電磁輻射，比如雷電、高壓輸電等，也會(huì)導(dǎo)致網(wǎng)絡(luò)信噪比下降，誤碼率增加，威脅到網(wǎng)絡(luò)信息安全。

2.計(jì)算機(jī)犯罪

計(jì)算機(jī)犯罪通常是利用竊取口令等手段非法侵入計(jì)算機(jī)信息系統(tǒng)，傳播有害信息，惡意破壞計(jì)算機(jī)軟硬件系統(tǒng)，以致實(shí)施貪污、盜竊、詐騙等重大犯罪活動(dòng)。目前已報(bào)道的ATM機(jī)上的詐騙活動(dòng)，就是利用高科技手段記錄用戶的銀行卡信息，然后竊取用戶存款；還有一些非法分子利用盜竊游戲帳號(hào)，進(jìn)行牟利活動(dòng)。

3.垃圾郵件和網(wǎng)絡(luò)黑客

一些非法分子利用電子郵件地址的“公開(kāi)性”進(jìn)行商業(yè)廣告、宗教宣傳、政治蠱惑等活動(dòng)，強(qiáng)迫別人接受無(wú)用的垃圾郵件。與計(jì)算機(jī)病毒不同，黑客軟件的主要目的不是對(duì)系統(tǒng)進(jìn)行破壞，而是竊取計(jì)算機(jī)網(wǎng)絡(luò)用戶的信息。目前黑客軟件的概念界定還存在一些爭(zhēng)議，一種較為普遍的被接受的觀點(diǎn)認(rèn)為黑客軟件是指那些在用戶不知情的情況下進(jìn)行非法安裝并提供給第三者的軟件。

4.計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是一種具有破壞性的小程序，具有很強(qiáng)的隱藏性和潛伏性，常常是依附在其他用戶程序上，在這些用戶程序運(yùn)行時(shí)侵入系統(tǒng)并進(jìn)行擴(kuò)散。計(jì)算機(jī)感染病毒后，輕則系統(tǒng)工作效率降低，重則導(dǎo)致系統(tǒng)癱瘓，甚至是全部數(shù)據(jù)丟失，給用戶造成巨大的損失。

三、計(jì)算機(jī)網(wǎng)絡(luò)信息安全防范措施

1.建立強(qiáng)有力的網(wǎng)絡(luò)安全體系

要提高服務(wù)器的安全性，就必須建立一個(gè)整體的、完善的、強(qiáng)有力的計(jì)算機(jī)網(wǎng)絡(luò)安全體系。只有對(duì)整個(gè)網(wǎng)絡(luò)制定并實(shí)施統(tǒng)一的安全體系，才能有效的保護(hù)好包括服務(wù)器在內(nèi)的每個(gè)設(shè)備。

對(duì)服務(wù)器而言，安全管理主要包括幾個(gè)方面：嚴(yán)格保護(hù)網(wǎng)絡(luò)機(jī)房的安全，必須注意做好防火防盜，切實(shí)從管理的角度保護(hù)好服務(wù)器的安全；服務(wù)器需要長(zhǎng)時(shí)間不簡(jiǎn)斷地工作，必須為服務(wù)器配備長(zhǎng)時(shí)間的在線UPS；加強(qiáng)機(jī)房管理，非相關(guān)人員不準(zhǔn)進(jìn)入網(wǎng)絡(luò)機(jī)房，尤其是要禁止除網(wǎng)絡(luò)管理人員授權(quán)外的任何人員操作服務(wù)器；網(wǎng)絡(luò)管理員在對(duì)網(wǎng)絡(luò)進(jìn)行日常維護(hù)和其他維護(hù)時(shí)，都必須進(jìn)行記錄。

另一方面，要盡可能利用現(xiàn)有的各種安全技術(shù)來(lái)保障服務(wù)器的安全。目前最常用的安全技術(shù)包括過(guò)濾技術(shù)、防火墻技術(shù)、安全套接層技術(shù)等。這些技術(shù)從不同的層面對(duì)網(wǎng)絡(luò)進(jìn)行安全防護(hù)，具體描述如下：

1.1包過(guò)濾

在網(wǎng)絡(luò)系統(tǒng)中，包過(guò)濾技術(shù)可以防止某些主機(jī)隨意訪問(wèn)另外一些主機(jī)。包過(guò)濾功能通常可以在路由器中實(shí)現(xiàn)，具有包過(guò)濾功能的路由器叫做包過(guò)濾路由器，由網(wǎng)絡(luò)管理員進(jìn)行配置。包過(guò)濾的主要工作是檢查每個(gè)包頭部中的有關(guān)字段（如數(shù)據(jù)包的源地址、目標(biāo)地址、源端口、目的端口等），并根據(jù)網(wǎng)絡(luò)管理員指定的過(guò)濾策略允許或阻止帶有這些字段的數(shù)據(jù)包通過(guò)；此外，包過(guò)濾路由器通常還能檢查出數(shù)據(jù)包所傳遞的是哪種服務(wù)，并對(duì)其進(jìn)行過(guò)濾。

1.2防火墻

防火墻將網(wǎng)絡(luò)分成內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩部分，并認(rèn)為內(nèi)部網(wǎng)絡(luò)是安全的和可信任的，而外部網(wǎng)絡(luò)是不太安全和不太可信任的。防火墻檢測(cè)所有進(jìn)出內(nèi)部網(wǎng)的信息流，防止為經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)。除了具有包過(guò)濾功能外，防火墻通常還可以對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行安全控制和信息過(guò)濾，具有人證、日志、記費(fèi)等各種功能。防火墻的實(shí)現(xiàn)技術(shù)非常復(fù)雜，由于所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息流都需要通過(guò)防火墻的處理，因此對(duì)其可靠性和處理效率都有很高的要求。

1.3 SSL協(xié)議

安全套接層SSL協(xié)議是目前應(yīng)用最廣泛的安全傳輸協(xié)議之一。它作為Web安全性解決方案最初由Netscape 公司于1995年提出?，F(xiàn)在SSL已經(jīng)作為事實(shí)上的標(biāo)準(zhǔn)為眾多網(wǎng)絡(luò)產(chǎn)品提供商所采購(gòu)。SSL利用公開(kāi)密鑰加密技術(shù)和秘密密鑰加密技術(shù)，在傳輸層提供安全的數(shù)據(jù)傳遞通道。

2.采用信息確認(rèn)技術(shù)

安全系統(tǒng)的建立都依賴(lài)于系統(tǒng)用戶之間存在的各種信任關(guān)系，目前在安全解決方案中，多采用二種確認(rèn)方式。一種是第三方信任，另一種是直接信任，以防止信息被非法竊取或偽造，可靠的信息確認(rèn)技術(shù)應(yīng)具有：具有合法身份的用戶可以校驗(yàn)所接收的信息是否真實(shí)可靠，并且十分清楚發(fā)送方是誰(shuí)；發(fā)送信息者必須是合法身份用戶，任何人不可能冒名頂替?zhèn)卧煨畔?；出現(xiàn)異常時(shí)，可由認(rèn)證系統(tǒng)進(jìn)行處理。

3.入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是一種網(wǎng)絡(luò)安全技術(shù)，目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)，斷開(kāi)網(wǎng)絡(luò)連接等。實(shí)時(shí)入侵檢測(cè)能力之所以重要，首先是它能夠作為防火墻技術(shù)的補(bǔ)充，彌補(bǔ)防火墻技術(shù)的不足，能對(duì)付來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊，其次是它能夠大大縮短“黑客”可利用的入侵時(shí)間。

人們應(yīng)當(dāng)清醒地認(rèn)識(shí)到，安全只是相對(duì)的，永遠(yuǎn)也不會(huì)有絕對(duì)的安全。隨著網(wǎng)絡(luò)體系結(jié)構(gòu)和應(yīng)用的變化，網(wǎng)絡(luò)會(huì)出現(xiàn)新的風(fēng)險(xiǎn)和安全漏洞，這就需要人們不斷地補(bǔ)充和完善相應(yīng)的解決方案，以期最大限度地保障網(wǎng)絡(luò)信息的安全。

篇（3）

用戶接口是用戶操作界面以及用戶私人信息管理。安全協(xié)議包括連接網(wǎng)絡(luò)協(xié)議、用戶個(gè)人身份確定協(xié)議等。通信接口的安全保障是依賴(lài)于安全協(xié)議的工作、在通常情況下，通信接口的實(shí)現(xiàn)方式包括兩種：第一是用戶在進(jìn)入互聯(lián)網(wǎng)時(shí)，才開(kāi)啟安全服務(wù)，并運(yùn)行安全體制，用戶所傳輸?shù)男畔⒍际墙?jīng)過(guò)系統(tǒng)的加密處理，然后被傳輸?shù)交ヂ?lián)網(wǎng)上，或者是數(shù)據(jù)鏈路，是比較透明的互聯(lián)網(wǎng)信息傳輸與交換。此種方法很容易實(shí)現(xiàn)，而且不用對(duì)用戶目前所使用的系統(tǒng)做一絲改動(dòng)，用戶所要投入的資金也比較少。第二種是修改目前的通信協(xié)議，在互聯(lián)網(wǎng)與應(yīng)用之間增加一個(gè)安全層，使信息的安全處理變得透明化以及自動(dòng)化。安全管理系統(tǒng)是一個(gè)包含很多程序的軟件包，主要負(fù)責(zé)用戶界面上安全管理器的正常工作，可以使得用戶很容易地控制計(jì)算機(jī)上信息的傳輸，保證安全。我們通常把這個(gè)系統(tǒng)安裝在用戶計(jì)算機(jī)的終端，或者是網(wǎng)絡(luò)節(jié)點(diǎn)。安全支撐系統(tǒng)是整個(gè)安全管理系統(tǒng)最值得信任的一方，其物理安全以及邏輯安全是非常重要的，需要得到嚴(yán)密而全面的防護(hù)。

二、安全管理系統(tǒng)的實(shí)現(xiàn)

安全管理系統(tǒng)總共包括以上的內(nèi)容，具體的實(shí)現(xiàn)有很多的問(wèn)題，需要有條不紊的進(jìn)行。以下是針對(duì)管理系統(tǒng)實(shí)現(xiàn)所采取的具體的實(shí)現(xiàn)步驟，按照這些步驟來(lái)一步一步進(jìn)行，不會(huì)出現(xiàn)混亂的情況，而且條理清晰，可以降低出錯(cuò)的幾率，也可以保證管理系統(tǒng)的質(zhì)量。

（一）熟知互聯(lián)網(wǎng)的狀況，估計(jì)風(fēng)險(xiǎn)及各種木馬攻擊

互聯(lián)網(wǎng)上的信息安全保障是很薄弱的一個(gè)環(huán)節(jié)，如果防護(hù)措施做不好，就會(huì)經(jīng)常受到黑客的攻擊，盜取信息，甚至泄露出去，造成個(gè)人或者是企業(yè)的損失。為了預(yù)防或者是擊退這些攻擊，需要全面地了解平時(shí)所有的攻擊方式、攻擊方位，還有要了解哪些部分是比較薄弱的地方，給予加強(qiáng)保護(hù)。只有掌握了攻擊的全面資料，才可能有針對(duì)性地做出比較全面而可靠的保護(hù)措施。

（二）安全策略的制定與優(yōu)化

安全管理系統(tǒng)需要一個(gè)明確的目標(biāo)與原則，這就是安全策略。安全策略的優(yōu)化需要考慮以下幾個(gè)方面：第一需要從系統(tǒng)整體出發(fā)，咨詢(xún)用戶的需求，根據(jù)應(yīng)用的環(huán)境來(lái)制定策略，這其中包含各個(gè)子系統(tǒng)的策略制定。第二需要考慮策略的制定會(huì)不會(huì)對(duì)原有的系統(tǒng)產(chǎn)生什么負(fù)面的影響，比如通信延時(shí)等。第三，策略的制定要方便用戶對(duì)計(jì)算機(jī)的操作，包括控制，管理以及配置等。第四，用戶界面要人性化。第五，投資的金額要少。

（三）安全模型

模型可以把抽象的問(wèn)題具體化，使問(wèn)題簡(jiǎn)單起來(lái)，不再那么復(fù)雜，尋求到更好地解決辦法，制定更加完善的安全策略，就像是教師教學(xué)時(shí)經(jīng)常使用各種模型，讓學(xué)生容易理解深?yuàn)W的問(wèn)題。模型包括整個(gè)系統(tǒng)中的所有子系統(tǒng)，這些子系統(tǒng)在上面的內(nèi)容已經(jīng)有過(guò)闡述。

（四）安全服務(wù)的選擇以及實(shí)現(xiàn)

應(yīng)用密碼技術(shù)，來(lái)實(shí)現(xiàn)向用戶所保證的安全服務(wù)。這是一種現(xiàn)代的技術(shù)，能夠保障整個(gè)系統(tǒng)的安全性，保護(hù)用戶的私人信息，使用戶不用再擔(dān)心個(gè)人資料的泄漏，保障用戶的個(gè)人利益。安全服務(wù)有兩條實(shí)現(xiàn)的途徑，分別為軟件編程以及硬件芯片，其中在通過(guò)軟件編程來(lái)實(shí)現(xiàn)安全服務(wù)時(shí)，需要注意機(jī)身的內(nèi)存，優(yōu)化系統(tǒng)的流程，增加程序運(yùn)行時(shí)的穩(wěn)定，以及降低運(yùn)算時(shí)間。

篇（4）

2創(chuàng)新點(diǎn)

為順應(yīng)移動(dòng)互聯(lián)網(wǎng)時(shí)代，運(yùn)營(yíng)商從基礎(chǔ)通信運(yùn)營(yíng)向流量運(yùn)營(yíng)轉(zhuǎn)型的新趨勢(shì)，湖北移動(dòng)確定了“業(yè)務(wù)轉(zhuǎn)型，安全先行”的發(fā)展思路，堅(jiān)持“以安全保發(fā)展、以發(fā)展促安全”。在已有的網(wǎng)絡(luò)與信息安全管理辦法的基礎(chǔ)上，積極開(kāi)展適應(yīng)移動(dòng)互聯(lián)網(wǎng)時(shí)代安全管理體系建設(shè)，不斷推進(jìn)科學(xué)的安全管理方法，做到六“注重”六“突出”，即：（1）注重整體規(guī)劃，突出體系建設(shè)，促進(jìn)職責(zé)高效履行。制定下發(fā)安全標(biāo)準(zhǔn)化管理與評(píng)價(jià)體系建設(shè)計(jì)劃，內(nèi)容涵蓋安全工作方針目標(biāo)、安全目標(biāo)、各方職責(zé)、安全管理體系和模式、安全設(shè)施和機(jī)房環(huán)境保護(hù)設(shè)施標(biāo)準(zhǔn)、安全文明操作保證金、安全考核與獎(jiǎng)懲、過(guò)程的主要控制措施、應(yīng)急準(zhǔn)備和響應(yīng)等方面。嚴(yán)格按計(jì)劃有序開(kāi)展體系建設(shè)工作；嚴(yán)格按體系文件要求開(kāi)展業(yè)務(wù)或系統(tǒng)試運(yùn)行工作；加強(qiáng)保證與監(jiān)督體系的建設(shè)。（2）注重文化建設(shè)，突出信息安全特色，促進(jìn)習(xí)慣養(yǎng)成。以人為本，加強(qiáng)企業(yè)安全文化建設(shè)，促使安全文化落地，提高員工安全與風(fēng)險(xiǎn)防范意識(shí)。（3）注重教育培訓(xùn)，突出行業(yè)特色，達(dá)到安全管理效果。通過(guò)多種渠道、形式多樣的安全教育和培訓(xùn)方式，組織各單位安全管理人員開(kāi)展安全教育和培訓(xùn)工作：一是安排專(zhuān)家和行業(yè)資深人士進(jìn)行專(zhuān)題講座；二是在專(zhuān)題培訓(xùn)的基礎(chǔ)上，做好網(wǎng)絡(luò)與信息安全專(zhuān)項(xiàng)工作如何開(kāi)展的培訓(xùn)。（4）注重設(shè)備管理，突出針對(duì)特色，實(shí)現(xiàn)安全管理精細(xì)化。首先，網(wǎng)絡(luò)設(shè)備較多，加強(qiáng)網(wǎng)絡(luò)安全管理提高設(shè)備安全可靠性是首要任務(wù)，為此各維護(hù)單位對(duì)每臺(tái)設(shè)備均建立了安全技術(shù)臺(tái)帳，臺(tái)帳包括運(yùn)行記錄、檢查保養(yǎng)記錄和定期檢驗(yàn)記錄。其次，組織精干力量先后兩次對(duì)所有設(shè)備、流程、機(jī)房進(jìn)行全面的安全評(píng)估工作。第三，使隱患排查整改形成機(jī)制。（5）注重安全投入，突出專(zhuān)用特色，合理使用安全生產(chǎn)費(fèi)用。認(rèn)真落實(shí)安全管理費(fèi)用投入長(zhǎng)效機(jī)制，加大安全費(fèi)用的管理，做到專(zhuān)款專(zhuān)用，確保安全生產(chǎn)費(fèi)用規(guī)范化、合理化和足額投入。并加強(qiáng)安全生產(chǎn)保證金的管理，建立安全生產(chǎn)保證金并實(shí)行年底考核的機(jī)制，有效促進(jìn)了安全管理工作。（6）注重應(yīng)急預(yù)案，突出超前特色，安全管理贏在主動(dòng)。在安全管理中，把預(yù)防工作落到實(shí)處，建立健全了應(yīng)急處置機(jī)構(gòu)，將應(yīng)急處置工作進(jìn)一步制度化，規(guī)范化，形成了完整的安全事故預(yù)防體系。同時(shí)，開(kāi)展形式多樣、符合實(shí)際的應(yīng)急演練。

篇（5）

我國(guó)檢察機(jī)關(guān)的信息化建設(shè)從2000年起步至今，經(jīng)歷了由點(diǎn)及面，由弱漸強(qiáng)的發(fā)展階段，并在全國(guó)范圍內(nèi)初步形成了較為系統(tǒng)的信息一體化網(wǎng)絡(luò)。隨著“科技強(qiáng)檢”進(jìn)程的逐步深入，檢察人的傳統(tǒng)思維和工作模式勢(shì)必會(huì)經(jīng)歷前所未有的變化。也正是在這種網(wǎng)絡(luò)化日盛的趨勢(shì)下，檢察機(jī)關(guān)的信息化建設(shè)成為了檢察事業(yè)發(fā)展的重要課題。

1、檢察信息網(wǎng)絡(luò)建設(shè)的現(xiàn)狀

按照高檢院“213”工程和全國(guó)檢察機(jī)關(guān)信息化建設(shè)工作“統(tǒng)一規(guī)劃、統(tǒng)一技術(shù)、統(tǒng)一規(guī)范、統(tǒng)一應(yīng)用軟件和統(tǒng)一歸口管理”的原則，目前全國(guó)省市級(jí)檢察機(jī)關(guān)的二級(jí)專(zhuān)線網(wǎng)絡(luò)已經(jīng)逐步進(jìn)入應(yīng)用階段，市級(jí)院與省級(jí)院以及省級(jí)院與高檢院之間的專(zhuān)線電話、視頻會(huì)議和計(jì)算機(jī)數(shù)據(jù)傳輸?shù)摹叭W(wǎng)合一”也基本能夠?qū)崿F(xiàn)，而且一些技術(shù)較為先進(jìn)的地區(qū)也率先完成了三級(jí)專(zhuān)線網(wǎng)絡(luò)的搭建。部分基層檢察院的內(nèi)部局域網(wǎng)絡(luò)已經(jīng)能夠?qū)z察業(yè)務(wù)、辦公事務(wù)、綜合業(yè)務(wù)和全面檢索等應(yīng)用系統(tǒng)運(yùn)用于實(shí)際的檢察工作中，同時(shí)依靠較為成型的網(wǎng)絡(luò)系統(tǒng)，并輔之以充足的數(shù)據(jù)庫(kù)資源，保證了上下級(jí)院之間直接的視頻、數(shù)據(jù)、語(yǔ)音的傳輸，并基本滿足了與其他兄弟院之間進(jìn)行廣泛數(shù)據(jù)交換的互聯(lián)要求。

2、檢察信息系統(tǒng)的應(yīng)用狀況與面臨的困惑

檢察信息系統(tǒng)是檢察業(yè)務(wù)工作同以計(jì)算機(jī)技術(shù)為核心的信息技術(shù)相結(jié)合的產(chǎn)物，是管理科學(xué)與系統(tǒng)科學(xué)在檢察業(yè)務(wù)實(shí)踐中的具體應(yīng)用。檢察信息化水平的高低是判斷檢察工作的重要標(biāo)尺。目前在我國(guó)，檢察機(jī)關(guān)已不同程度地將計(jì)算機(jī)作為辦公、辦案的必要輔助工具，檢察人員的計(jì)算機(jī)應(yīng)用能力較之幾年前有了相當(dāng)程度的提高，檢察業(yè)務(wù)軟件、網(wǎng)絡(luò)辦公軟件以及其他的輔助處理軟件也普遍地應(yīng)用于日常的工作之中。同時(shí)，相當(dāng)一部分檢察院已經(jīng)開(kāi)通了網(wǎng)站，并通過(guò)這一媒介，信息、收集反饋，形成了具有自身特色的網(wǎng)絡(luò)工作平臺(tái)?？梢哉f(shuō)，檢察信息化的不斷普及為全面建設(shè)和完善檢察信息系統(tǒng)提供良好的契機(jī)，同時(shí)也奠定了應(yīng)用與發(fā)展的必要基礎(chǔ)。

當(dāng)然，在肯定成績(jī)的同時(shí)，我們也應(yīng)清醒地認(rèn)識(shí)到現(xiàn)階段檢察信息化建設(shè)中存在的諸多不足。首先，目前我國(guó)檢察機(jī)關(guān)信息化建設(shè)還處于剛剛起步階段，網(wǎng)絡(luò)應(yīng)用水平普遍不高，絕大多數(shù)的應(yīng)用還僅局限于檢察業(yè)務(wù)的某些小的領(lǐng)域，單項(xiàng)應(yīng)用較為普遍，大而全、廣而深的應(yīng)用體系尚未成型。其次，檢察信息技術(shù)主要仍以平民技術(shù)為主，專(zhuān)業(yè)化、職業(yè)化的應(yīng)用并不理想，在缺乏相關(guān)專(zhuān)業(yè)人才的情勢(shì)下，技術(shù)水平較為幼稚，系統(tǒng)的標(biāo)準(zhǔn)化、通用性和易用性都還處于較低的層面。再則，目前檢察機(jī)關(guān)網(wǎng)絡(luò)信息化建設(shè)與檢察業(yè)務(wù)實(shí)際存在明顯的脫節(jié)，檢察業(yè)務(wù)軟件的開(kāi)發(fā)與維護(hù)還有許多不盡如人意之處，檢察信息系統(tǒng)的網(wǎng)絡(luò)互連效果以及安全保密功能還有待進(jìn)一步加強(qiáng)。

客觀地講，當(dāng)前的檢察信息系統(tǒng)仍處于探索和成型階段。做個(gè)不形象的比喻，如果將未來(lái)成熟的檢察信息系統(tǒng)擬制為一個(gè)健康的成年個(gè)體的話，目前的檢察信息網(wǎng)絡(luò)則像一個(gè)處在哺乳期的嬰兒，四肢俱全，生機(jī)無(wú)限，但未脫襁褓，需要給予更多的關(guān)注。

二、流行在檢察信息系統(tǒng)中的sars――網(wǎng)絡(luò)不安全因素。

網(wǎng)絡(luò)中的不安全因素，之所以稱(chēng)其為sars，并非危言聳聽(tīng)。在當(dāng)前的檢察信息網(wǎng)絡(luò)中，存在著種種高危的“致病”因素。這些因素往往顯見(jiàn)的或潛在的、習(xí)慣的或不經(jīng)意的影響著檢察信息系統(tǒng)的穩(wěn)定和安全。

1、病毒入侵與黑客攻擊

網(wǎng)絡(luò)病毒的入侵、感染與黑客的惡意攻擊、破壞是影響當(dāng)前檢察信息網(wǎng)絡(luò)安全的主要因素。目前，全球發(fā)現(xiàn)的病毒數(shù)以萬(wàn)計(jì)，并以每天十種以上的速度增長(zhǎng)，可以說(shuō)每時(shí)每刻網(wǎng)絡(luò)都在經(jīng)受著新的病毒或其變種的沖擊。通過(guò)網(wǎng)絡(luò)渠道傳播的蠕蟲(chóng)病毒、木馬程序以及腳本病毒，不管從傳播速度、破壞性還是波及范圍都讓人不可小視。

而對(duì)于網(wǎng)絡(luò)系統(tǒng)而言，黑客攻擊較之病毒威脅則更加讓人防不勝防?；ヂ?lián)網(wǎng)20多萬(wàn)個(gè)黑客網(wǎng)站上，提供了大量的黑客技術(shù)資料，詳細(xì)地介紹了黑客的攻擊方法，并提供免費(fèi)的攻擊軟件。在網(wǎng)絡(luò)立法十分匱乏、跟蹤防范手段有限的今天，面對(duì)網(wǎng)絡(luò)黑客針對(duì)操作系統(tǒng)以及應(yīng)用軟件漏洞的頻繁地、具有隱蔽性的攻擊，我們所要承受的威脅往往是毀滅性的。

2、網(wǎng)絡(luò)硬件、軟件方面存在的缺陷與漏洞

檢察信息網(wǎng)絡(luò)主要是以各級(jí)檢察機(jī)關(guān)的局域網(wǎng)作為其構(gòu)成單元。與銀行、郵電等行業(yè)相比，目前，檢察機(jī)關(guān)的局域網(wǎng)建設(shè)還存在著明顯的差距。從硬件上講，檢察系統(tǒng)的網(wǎng)絡(luò)產(chǎn)品尤其是關(guān)鍵部位的配套設(shè)施還相對(duì)較為落后，核心部件的性能還不能完全滿足檢察機(jī)關(guān)信息化的發(fā)展要求。雖然，部分檢察局域網(wǎng)絡(luò)在某些應(yīng)用功能上能夠基本滿足網(wǎng)上辦公和無(wú)紙化辦公的現(xiàn)實(shí)需要，但長(zhǎng)遠(yuǎn)地講，目前檢察機(jī)關(guān)局域網(wǎng)內(nèi)部的數(shù)據(jù)交換設(shè)備、服務(wù)器設(shè)備以及網(wǎng)絡(luò)硬件環(huán)境的合理性與穩(wěn)定性并不容樂(lè)觀，如不給予足夠地重視，勢(shì)必會(huì)給網(wǎng)絡(luò)運(yùn)行的穩(wěn)定和安全留下隱患。

在軟件方面，由于網(wǎng)絡(luò)的基礎(chǔ)協(xié)議tcp/ip本身缺乏相應(yīng)的安全機(jī)制，所以基與此存在的任何網(wǎng)絡(luò)都無(wú)法擺脫不安全因素的困擾。而目前廣泛運(yùn)行在檢察網(wǎng)絡(luò)中的微軟windows操作系統(tǒng)更是破綻百出，由于默認(rèn)的情況下系統(tǒng)開(kāi)放了絕大多數(shù)的端口，所以使得監(jiān)聽(tīng)和攻擊變得輕而易舉、防不勝防。再加之相當(dāng)數(shù)量的辦公軟件與網(wǎng)絡(luò)軟件自身開(kāi)發(fā)的局限性，存在著這樣或那樣的bug，同時(shí)軟件的后期服務(wù)又不可避免具有滯后性，所以形容當(dāng)前的網(wǎng)絡(luò)“風(fēng)雨飄搖”一點(diǎn)也不為過(guò)。

3、使用人員的不良習(xí)慣與非法操作

如果將以上兩點(diǎn)看作是病源和病毒的話，那么人的因素可能就要算作是將二者緊密結(jié)合，產(chǎn)生巨大破壞作用的主要媒介了。客觀的講，目前檢察機(jī)關(guān)的網(wǎng)絡(luò)操作水平仍處在相對(duì)較低的水平，網(wǎng)絡(luò)使用者中普遍存在著操作不規(guī)范和軟件盲目應(yīng)用的現(xiàn)象。相當(dāng)一部分檢察網(wǎng)絡(luò)用戶對(duì)于網(wǎng)絡(luò)存儲(chǔ)介質(zhì)的使用缺乏安全和保密意識(shí)，對(duì)硬件的維護(hù)缺少必要的常識(shí)，帶來(lái)數(shù)據(jù)在存儲(chǔ)與傳遞環(huán)節(jié)不必要的隱患。同時(shí)，由于操作熟練程度的原因，網(wǎng)絡(luò)中的誤操作率相對(duì)較高，系統(tǒng)宕機(jī)的情況時(shí)有發(fā)生，一方面造成了網(wǎng)絡(luò)資源的浪費(fèi)，另一方面也給本地?cái)?shù)據(jù)帶來(lái)了一定的危險(xiǎn)。

此外，由于檢察機(jī)關(guān)的業(yè)務(wù)工作與實(shí)際應(yīng)用的需要，所以局域網(wǎng)用戶的權(quán)限相對(duì)較高，使用者的操作空間相對(duì)較大。部分具有較高計(jì)算機(jī)水平的用戶，會(huì)利用授權(quán)非法地進(jìn)行系統(tǒng)設(shè)置或通過(guò)黑客軟件的幫助突破權(quán)限獲取其他用戶信息乃至信息。這些惡意行為的出現(xiàn)，不僅擾亂了網(wǎng)絡(luò)內(nèi)部的正常秩序，同時(shí)也為更多“偷窺者”大開(kāi)方便之門(mén)。

4、網(wǎng)絡(luò)管理與相關(guān)制度的不足

網(wǎng)絡(luò)信息系統(tǒng)三分靠建，七分靠管。嚴(yán)格的管理與健全的制度是保障檢察信息系統(tǒng)安全的主要手段。但是事實(shí)上，目前各級(jí)檢察機(jī)關(guān)的信息系統(tǒng)并沒(méi)有建立起較為健全、完善的管理制度，網(wǎng)絡(luò)管理缺乏嚴(yán)格的標(biāo)準(zhǔn)，大多數(shù)檢察機(jī)關(guān)仍采取較為粗獷的管理模式。主要表現(xiàn)在：

第一，網(wǎng)絡(luò)管理僅僅作為后勤保障工作的一部分，缺乏必要的領(lǐng)導(dǎo)機(jī)制，重視程度有待進(jìn)一步加強(qiáng)。

第二，網(wǎng)絡(luò)管理人員充當(dāng)“消防員”，以“排險(xiǎn)”代“管理”，缺乏全民“防火意識(shí)”，干警的信息安全責(zé)任感亟待提高。

第三，網(wǎng)絡(luò)管理缺乏必要的程序性規(guī)則，在遇到突發(fā)事件時(shí)，往往容易造成網(wǎng)絡(luò)系統(tǒng)的內(nèi)部混亂。

第四，網(wǎng)絡(luò)信息收集、整理工作不夠細(xì)致，網(wǎng)絡(luò)內(nèi)部機(jī)器的跟蹤機(jī)制還不盡如人意。在用戶應(yīng)用相對(duì)隨意性的條件下，往往出現(xiàn)“用而不管，管卻不能”的尷尬局面。

第五，與安全級(jí)別相適應(yīng)的網(wǎng)絡(luò)安全責(zé)任制度還沒(méi)有完全建立，使用者的網(wǎng)絡(luò)操作安全風(fēng)險(xiǎn)沒(méi)有明確的承擔(dān)主體，所以使用中缺少必要的注意。網(wǎng)絡(luò)管理在“使用免責(zé)”的情況下，很難形成安全防護(hù)的有效底線。

三、構(gòu)想中的檢察信息系統(tǒng)安全防范體系

針對(duì)以上問(wèn)題，筆者認(rèn)為，要建立、健全檢察信息系統(tǒng)的安全防護(hù)體系首先需要從檢察機(jī)關(guān)信息安全性的要求出發(fā)，充分結(jié)合當(dāng)前檢察信息網(wǎng)絡(luò)的建設(shè)現(xiàn)狀，從整體上把握，重規(guī)劃，抓落實(shí)。其次，要摒棄一勞永逸的短期行為，在網(wǎng)絡(luò)項(xiàng)目投入、網(wǎng)絡(luò)設(shè)施建設(shè)上做好長(zhǎng)期的規(guī)劃，同時(shí)應(yīng)具有適當(dāng)?shù)某靶?，從檢察信息化長(zhǎng)遠(yuǎn)的發(fā)展趨勢(shì)著眼，保持投入的連續(xù)性，積極追求網(wǎng)絡(luò)效能的最大化。其次，在信息化建設(shè)的過(guò)程中，檢察機(jī)關(guān)還應(yīng)充分重視制度化的建設(shè)，形成較為完善的保障體系，使得網(wǎng)絡(luò)的運(yùn)行與管理能夠在正確的軌道上持續(xù)發(fā)展。當(dāng)然，強(qiáng)調(diào)整體規(guī)劃與設(shè)計(jì)的同時(shí)，我們還應(yīng)認(rèn)真做好網(wǎng)絡(luò)應(yīng)用技術(shù)的普及與網(wǎng)絡(luò)安全意識(shí)的培養(yǎng)工作，將檢察信息系統(tǒng)中源于技術(shù)局限以及使用者主觀因素而產(chǎn)生的種種隱患和損失降到最低程度。

基于上述幾點(diǎn)構(gòu)想，下面筆者將從實(shí)際的應(yīng)用出發(fā)，對(duì)檢察信息安全防范體系的具體實(shí)現(xiàn)，作細(xì)化論述：

第一，做好檢察信息系統(tǒng)整體的安全評(píng)估與規(guī)劃，為安全防范體系的構(gòu)建奠定基礎(chǔ)。

檢察機(jī)關(guān)的網(wǎng)絡(luò)信息化建設(shè)有別于其他應(yīng)用網(wǎng)絡(luò)的一個(gè)顯著特征就是對(duì)于安全性有著更為嚴(yán)格的要求。在構(gòu)造安全防范體系的過(guò)程中，我們需要全面地了解自身網(wǎng)絡(luò)可能會(huì)面臨怎樣的安全狀況，這就使得我們不得不對(duì)譬如網(wǎng)絡(luò)會(huì)受到那些攻擊，網(wǎng)絡(luò)系統(tǒng)內(nèi)部的數(shù)據(jù)安全級(jí)別是何等級(jí)，網(wǎng)絡(luò)遭遇突發(fā)性安全問(wèn)題時(shí)應(yīng)如何反應(yīng)，局域網(wǎng)絡(luò)內(nèi)部的域應(yīng)怎樣設(shè)定，用戶的權(quán)限應(yīng)給予哪些控制等問(wèn)題進(jìn)行初步地認(rèn)定和判斷。通過(guò)進(jìn)行安全評(píng)估，確定相應(yīng)的安全建設(shè)規(guī)劃。

當(dāng)然，在加大投入的同時(shí)，也應(yīng)當(dāng)正確處理安全成本與網(wǎng)絡(luò)效能之間的辯證關(guān)系，切忌將安全問(wèn)題絕對(duì)化，不能讓安全設(shè)備和手段的使用降低網(wǎng)絡(luò)應(yīng)用的實(shí)際效果，尋求可用行與可靠性的平衡點(diǎn)。在安全建設(shè)中要注重網(wǎng)絡(luò)安全的整體效果，盡量運(yùn)用較為成熟、穩(wěn)定的軟、硬件及技術(shù)，同時(shí)，針對(duì)目前檢察網(wǎng)絡(luò)所采用的微軟系統(tǒng)平臺(tái)，借助于win2000操作系統(tǒng)的域控制功能，對(duì)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)進(jìn)行劃分、管理，從而既滿足了對(duì)內(nèi)部用戶的管理要求，同時(shí)又在雙向信任關(guān)系的域－森林結(jié)構(gòu)中實(shí)現(xiàn)同級(jí)、上下級(jí)院之間的安全信息交流。

第二，加強(qiáng)網(wǎng)絡(luò)安全組織、管理的制度化建設(shè)，從制度的層面構(gòu)造安全防范體系。

健全檢察機(jī)關(guān)網(wǎng)絡(luò)安全管理的關(guān)鍵在于將其上升到制度的層面，以制度化促進(jìn)管理的規(guī)范化。網(wǎng)絡(luò)安全管理的制度化建設(shè)需要做好兩方面的工作，首先要建立明確的安全管理組織體系，設(shè)置相應(yīng)的領(lǐng)導(dǎo)機(jī)構(gòu)，機(jī)構(gòu)以院主管領(lǐng)導(dǎo)、技術(shù)部門(mén)領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理人員、網(wǎng)絡(luò)安全聯(lián)絡(luò)員組成，全面負(fù)責(zé)局域網(wǎng)的日常維護(hù)、管理工作。網(wǎng)絡(luò)安全聯(lián)絡(luò)員由各科室選定，負(fù)責(zé)本部門(mén)網(wǎng)絡(luò)應(yīng)用過(guò)程中的信息上報(bào)和反饋工作。網(wǎng)絡(luò)管理領(lǐng)導(dǎo)小組可以根據(jù)全院的實(shí)際情況，協(xié)調(diào)管理人員進(jìn)行及時(shí)的維護(hù)，這樣不僅有利于人員分工、整合，同時(shí)也保證了網(wǎng)絡(luò)管理的有序進(jìn)行。其次，要加快網(wǎng)絡(luò)安全管理的規(guī)范性章程的制定，將網(wǎng)絡(luò)管理的各項(xiàng)工作以制度化的形式確定下來(lái)。具體來(lái)講，要盡快形成信息系統(tǒng)重要場(chǎng)所、設(shè)施的安全管理制度，例如服務(wù)器機(jī)房的管理制度；要盡快制定網(wǎng)絡(luò)安全操作的管理制度，尤其是網(wǎng)絡(luò)用戶的軟件使用與技術(shù)應(yīng)用的規(guī)范化標(biāo)準(zhǔn)；同時(shí)，也要進(jìn)一步研究網(wǎng)絡(luò)遭遇突發(fā)事件時(shí)的安全策略，形成網(wǎng)絡(luò)安全的應(yīng)急保障制度，并針對(duì)網(wǎng)絡(luò)安全責(zé)任事故進(jìn)行制度化約束，追究責(zé)任人的主觀過(guò)錯(cuò)。

當(dāng)然，制度化建設(shè)應(yīng)當(dāng)包含檢察信息網(wǎng)絡(luò)管理的各個(gè)方面，遠(yuǎn)非以上幾點(diǎn)，它需要我們?cè)谘a(bǔ)充、修訂的過(guò)程中不斷健全、完善。

第三，提高網(wǎng)絡(luò)應(yīng)用與管理的技術(shù)水平，彌補(bǔ)自身缺陷，減少外來(lái)風(fēng)險(xiǎn)。

在當(dāng)前檢察信息網(wǎng)絡(luò)的安全威脅中，病毒及惡意攻擊可能是其最主要的方面。但我們應(yīng)清醒地認(rèn)識(shí)到，任何的病毒與黑客技術(shù)都是針對(duì)網(wǎng)絡(luò)系統(tǒng)的漏洞而發(fā)起的。而在網(wǎng)絡(luò)應(yīng)用過(guò)程中，大多數(shù)使用者對(duì)于病毒及外來(lái)攻擊的恐懼往往要大于對(duì)自身系統(tǒng)漏洞的擔(dān)心。要解決這一問(wèn)題，首先要使網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)病毒及黑客攻擊有必要的認(rèn)識(shí)，并了解病毒感染的主要渠道，同時(shí)要加強(qiáng)網(wǎng)絡(luò)應(yīng)用的規(guī)范化培訓(xùn)，整體提高操作的技術(shù)水平，最大程度地減少人為因素造成的安全隱患。此外，在網(wǎng)絡(luò)管理中，對(duì)操作系統(tǒng)的漏洞應(yīng)及時(shí)的安裝安全補(bǔ)丁，并留意微軟定期的安全公告，關(guān)閉操作系統(tǒng)中并不常用的默認(rèn)端口，防止為惡意攻擊留下“后門(mén)”。同時(shí)，對(duì)網(wǎng)絡(luò)中的應(yīng)用軟件進(jìn)行全面檢查，盡量避免使用來(lái)歷不明的盜版軟件，將軟件的選擇導(dǎo)向正版化、網(wǎng)絡(luò)化的軌道，逐漸減少對(duì)于盜版軟件、試用版軟件以及共享版軟件的依賴(lài)。

同時(shí)，充分利用win2000系統(tǒng)的域功能，嚴(yán)格控制網(wǎng)絡(luò)客戶端機(jī)器的超級(jí)用戶帳號(hào)，設(shè)定所有用戶必須登錄域中進(jìn)行網(wǎng)絡(luò)操作，設(shè)定所有用戶（預(yù)留guest帳號(hào)可以另外處理）的ip地址和網(wǎng)卡物理地址進(jìn)行綁定、所有無(wú)需移動(dòng)辦公的用戶帳號(hào)和ip地址綁定，實(shí)施嚴(yán)密的身份識(shí)別和訪問(wèn)控制。

第四，加強(qiáng)應(yīng)急策略下的物理安全、數(shù)據(jù)保護(hù)與日志管理，健全安全保障體系。

篇（6）

2.缺乏綜合性的安全解決方案。在實(shí)踐過(guò)程中，高校圖書(shū)館為了保證信息安全運(yùn)行，使用了大量的硬件防火墻、入侵監(jiān)測(cè)系統(tǒng)和殺毒軟件。從長(zhǎng)遠(yuǎn)講，這些措施還不能遠(yuǎn)遠(yuǎn)不能解決問(wèn)題，高校圖書(shū)館在信息安全管理方面依然缺乏綜合性的解決方案，雖然也有各種信息安全管理規(guī)章制度和某些解決方案，沒(méi)有一個(gè)系統(tǒng)來(lái)組織這些規(guī)章制度和解決方案。

二、信息時(shí)代條件下創(chuàng)新高校圖書(shū)館信息安全管理的主要措施

（一）必須要對(duì)管理信息系統(tǒng)進(jìn)行科學(xué)規(guī)劃。對(duì)于高校圖書(shū)館來(lái)講，進(jìn)行管理信息系統(tǒng)創(chuàng)新，也離不開(kāi)這個(gè)步驟，也必須做好前期的調(diào)查研究工作，研究擬開(kāi)發(fā)設(shè)計(jì)的管理信息系統(tǒng)在本館的可行性、以及使用后的效果性等內(nèi)容?？茖W(xué)規(guī)劃所設(shè)計(jì)到的主要內(nèi)容有：制定前期科學(xué)、完善的主要目標(biāo)，并對(duì)管理信息系統(tǒng)長(zhǎng)期發(fā)展方案進(jìn)行編，以確定管理信息系統(tǒng)在整個(gè)組織中發(fā)展方向、使用規(guī)模以及發(fā)展進(jìn)程；開(kāi)展初步調(diào)查，其目的是為了合理地確定系統(tǒng)目標(biāo)，進(jìn)行系統(tǒng)總體分析以及可行性研究，摸清本圖書(shū)館在管理信息系統(tǒng)建設(shè)存在的迫切性、主要不足、可行性和可能性；在初步調(diào)查的基礎(chǔ)上，形成詳實(shí)的調(diào)研報(bào)告，為后期系統(tǒng)詳細(xì)調(diào)研奠定基礎(chǔ)。

（二）對(duì)圖書(shū)館管理信息安全管理系統(tǒng)實(shí)施可行性分析。在前期初步調(diào)查的過(guò)程中，嚴(yán)格執(zhí)行調(diào)查內(nèi)容，明確圖書(shū)館管理信息系統(tǒng)的目標(biāo)，對(duì)現(xiàn)行系統(tǒng)的基本情況作出初步了解、明確可行性。結(jié)合管理信息系統(tǒng)對(duì)運(yùn)行環(huán)境、資源要求等條件進(jìn)行考量，判斷出圖書(shū)館所擬上管理信息系統(tǒng)是否具有必要性和可能性。對(duì)管理信息系統(tǒng)現(xiàn)存的主要不足、問(wèn)題、緊迫性、希望新的管理系統(tǒng)所能夠帶來(lái)主要功能、開(kāi)發(fā)態(tài)度、資金保障、專(zhuān)業(yè)人員配備、后期維護(hù)與管理等方面進(jìn)行全方位了解。

（三）開(kāi)發(fā)創(chuàng)新高校圖書(shū)館信息安全管理的新型系統(tǒng)。管理信息系統(tǒng)開(kāi)發(fā)創(chuàng)新是更好提高管理效能的重要手段。當(dāng)前高校圖書(shū)館生存發(fā)展的宏觀、微觀環(huán)境已經(jīng)發(fā)生了深刻變化；高校圖書(shū)館職能的發(fā)揮必須要建立在充分隨時(shí)隨地取得準(zhǔn)確而及時(shí)的管理決策方面的內(nèi)部信息與外部信息，甚至是與高校圖書(shū)館管理過(guò)程中各項(xiàng)決策決議執(zhí)行情況的反饋信息，以實(shí)現(xiàn)對(duì)高校圖書(shū)館業(yè)務(wù)與管理的及時(shí)調(diào)控。管理信息系統(tǒng)主要的功能不但能夠有效進(jìn)行數(shù)據(jù)與信息的搜集、處理、而且還具備了預(yù)測(cè)和控制功能；在高校圖書(shū)館實(shí)施管理信息系統(tǒng)創(chuàng)新，對(duì)于高校圖書(shū)館管理曾來(lái)講，能夠有效解決在管理中所面臨的半結(jié)構(gòu)化問(wèn)題和非結(jié)構(gòu)化問(wèn)題，有效提高一種定性與定量分析的方法，有效提高管理效率和決策的科學(xué)化水平。

篇（7）

GB/T28449—2012《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作的測(cè)評(píng)過(guò)程，既適用于測(cè)評(píng)機(jī)構(gòu)、信息系統(tǒng)的主管部門(mén)及運(yùn)營(yíng)使用單位對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的安全測(cè)試評(píng)價(jià)，也適用于信息系統(tǒng)的運(yùn)營(yíng)使用單位在信息系統(tǒng)定級(jí)工作完成之后，對(duì)信息系統(tǒng)的安全保護(hù)現(xiàn)狀進(jìn)行的測(cè)試評(píng)價(jià)，獲取信息系統(tǒng)的全面保護(hù)需求。GB/T28448—2012《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》針對(duì)信息系統(tǒng)中的單項(xiàng)安全措施和多個(gè)安全措施的綜合防范，對(duì)應(yīng)地提出單元測(cè)評(píng)和整體測(cè)評(píng)的技術(shù)要求，用以指導(dǎo)測(cè)評(píng)人員從信息安全等級(jí)保護(hù)的角度對(duì)信息系統(tǒng)進(jìn)行測(cè)試評(píng)估。GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》根據(jù)現(xiàn)有技術(shù)的發(fā)展水平，提出和規(guī)定了不同安全保護(hù)等級(jí)信息系統(tǒng)的最低保護(hù)要求，即基本安全要求，包括基本技術(shù)要求和基本管理要求，該標(biāo)準(zhǔn)適用于指導(dǎo)不同安全保護(hù)等級(jí)信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。

2整合實(shí)施的思路

2.1審核與測(cè)評(píng)的過(guò)程整合整合是為了在組織內(nèi)部建立一套信息安全管理體系及制度，而且該制度既符合信息安全管理體系又符合信息系統(tǒng)安全等級(jí)保護(hù)的管理要求，并給組織帶來(lái)收益，避免不必要的沖突和資源浪費(fèi)。根據(jù)對(duì)審核和測(cè)評(píng)的過(guò)程分析得知審核從表面上執(zhí)行了測(cè)評(píng)的管理內(nèi)容，但從整個(gè)審核和測(cè)評(píng)活動(dòng)可得出，兩者的活動(dòng)內(nèi)容和組織方式非常相似，因此具備很強(qiáng)的整合條件，兩者的具體活動(dòng)如表1所示。

2.2審核與測(cè)評(píng)的控制措施整合整合GB/T22239—2008中的控制措施部分與GB/T22080—2008的附錄A完全可行，且整合后可避免多余、重復(fù)的管理資源。如GB/T22239—2008三級(jí)信息系統(tǒng)對(duì)資產(chǎn)管理的要求和GB/T22080—2008中的“A.7資產(chǎn)管理”基本保持了一致，具體標(biāo)準(zhǔn)條款映射如表2所示。若組織內(nèi)存在等級(jí)保護(hù)三級(jí)或三級(jí)以上的信息系統(tǒng)，則該組織應(yīng)建立信息安全管理制度體系，這與組織單獨(dú)建立ISMS所達(dá)到的目標(biāo)基本一樣，從整合的角度來(lái)看，通過(guò)實(shí)施整合，可以取得“一舉兩得”的效果。具體的整合檢查表如表3所示。

篇（8）

在社會(huì)經(jīng)濟(jì)發(fā)展的沖擊下，電子信息技術(shù)在社會(huì)生活與生產(chǎn)中已被廣泛應(yīng)用，給社會(huì)生產(chǎn)注入了新的力量。電子信息技術(shù)在為人們的生活帶來(lái)便利的同時(shí)，其發(fā)展也面臨一定的挑戰(zhàn)。在科學(xué)技術(shù)快速發(fā)展的沖擊下，電子信息安全管理成為電子信息技術(shù)發(fā)展中的重點(diǎn)，也成為發(fā)展需要重點(diǎn)解決的問(wèn)題。因此，研究電子信息安全管理具有很大的現(xiàn)實(shí)意義，可以為電子信息技術(shù)更好的發(fā)展提供有利條件。

1電子信息、信息安全的相關(guān)概念

電子信息技術(shù)是時(shí)展下一門(mén)新型的計(jì)算機(jī)技術(shù)，主要負(fù)責(zé)對(duì)電子信息進(jìn)行處理與控制，是對(duì)計(jì)算機(jī)現(xiàn)代化技術(shù)的靈活應(yīng)用。電子信息技術(shù)需要收集、存儲(chǔ)與傳輸信息，實(shí)現(xiàn)對(duì)信息數(shù)據(jù)的傳輸與共享，對(duì)電子設(shè)備的運(yùn)行也發(fā)揮著很大的作用，充分發(fā)揮信息數(shù)據(jù)的優(yōu)勢(shì)。電子信息技術(shù)在應(yīng)用過(guò)程中，需要形成一個(gè)體系完善的信息系統(tǒng)，設(shè)計(jì)與開(kāi)發(fā)信息系統(tǒng)，使得電子信息可以更好發(fā)揮作用。信息安全主要是指利用一種加密技術(shù)，對(duì)電子信息進(jìn)行管理，并且保持信息的保密性、完整性和有效性，從而更好保證電子信息的安全。電子信息在收集、存儲(chǔ)與傳輸?shù)倪^(guò)程中，易受到外界條件的影響與一些不法侵害而導(dǎo)致信息的流失，因此，就需要重點(diǎn)加強(qiáng)電子信息安全管理，對(duì)信息進(jìn)行安全管理，更好地保護(hù)信息。

2電子信息的安全因素

2.1完整性

在電子信息技術(shù)的發(fā)展中，電子信息的完整性是其中較為重要的部分，也是電子信息發(fā)展的關(guān)鍵。在電子信息的收集、存儲(chǔ)與傳輸過(guò)程中，電子信息會(huì)被隨意篡改，從而使得電子信息的完整性遭到破壞。在電子信息收集、存儲(chǔ)與傳輸?shù)倪^(guò)程中，還需要重點(diǎn)注意電子信息的流失問(wèn)題，避免電子信息被盜取，而對(duì)電子信息造成不好的影響。電子信息的完整性是電子信息發(fā)展的基礎(chǔ)，可以為電子信息更好發(fā)展提供有利條件。

2.2機(jī)密性

電子信息的機(jī)密性是電子信息發(fā)展的核心所在，也是發(fā)展中不可忽視的問(wèn)題。在企業(yè)與各部門(mén)之間的信息傳輸與交流過(guò)程中，一些電子信息的機(jī)密性是比較強(qiáng)的，信息的泄露對(duì)其生存與發(fā)展有著直接的影響，嚴(yán)重的還會(huì)導(dǎo)致企業(yè)與部門(mén)發(fā)展停滯。為了保證電子信息的機(jī)密性，就需要重點(diǎn)應(yīng)用電子信息安全管理技術(shù)，通過(guò)一些技術(shù)手段來(lái)對(duì)電子信息進(jìn)行加密，從而防止出現(xiàn)一些篡改、破壞、竊取信息的行為，增強(qiáng)電子信息的安全性。

2.3有效性

電子信息的傳播價(jià)值就在于電子信息的有效性，為各方面工作更好進(jìn)行提供更好的條件。電子信息的傳輸是為了更好實(shí)現(xiàn)信息的傳遞與共享，從而為一些社會(huì)生活與生產(chǎn)中的交易提供優(yōu)勢(shì)，也可以充分發(fā)揮信息傳輸?shù)淖饔?。?duì)于信息傳輸?shù)挠行裕托枰獜?qiáng)化電子設(shè)備，保證硬件與網(wǎng)絡(luò)的安全，使得信息的傳輸更加安全，保證信息的有效性的同時(shí)，也為信息傳輸?shù)臅r(shí)效性提供保障。

3電子信息安全的隱患

3.1竊取信息

在信息傳輸?shù)倪^(guò)程中，會(huì)有一些竊取信息的行為，會(huì)導(dǎo)致信息泄露與流失，從而對(duì)電子信息保密性與完整性造成影響。一些技術(shù)手段較高的黑客可以在信息傳輸過(guò)程中攔截信息，就可以獲取一定的信息量。信息數(shù)據(jù)是有一定的規(guī)律的，黑客往往通過(guò)所盜取的信息就可以分析出全部的信息，進(jìn)而完成對(duì)信息的竊取。黑客竊取電子信息是有一定手段的，對(duì)電子信息的安全影響比較大，一些信息的泄露與流失會(huì)對(duì)企業(yè)造成很大的影響，甚至?xí){到企業(yè)的生存與發(fā)展。

3.2篡改信息

在信息傳輸?shù)倪^(guò)程中，除了盜取信息外，還會(huì)隨意篡改信息。隨意篡改信息，在很大程度上會(huì)破壞信息的完整性。信息被隨意篡改，就會(huì)使得信息不準(zhǔn)確，接收者就會(huì)接收到錯(cuò)誤的信息，從而對(duì)接收者造成很大的影響，接收者可能會(huì)作出一些錯(cuò)誤的判斷與決策。隨意篡改信息，主要對(duì)接收者造成影響，不能充分發(fā)揮信息的優(yōu)勢(shì)。

3.3信息假冒

信息假冒是冒充合法用戶接收與傳輸信息，向接收者發(fā)送自己編造的信息，從而對(duì)接收者造成誤導(dǎo)。信息假冒一般是攔截合法的信息，然后再以信息傳輸?shù)暮戏ㄓ脩舻纳矸菥幵煨畔?，繼而將假的信息傳輸給接收者。或者可以不用攔截信息，可以直接冒充身份編造信息，例如偽造用戶或商戶的收、定貨單據(jù)等。

3.4信息破壞

信息破壞是一種破壞性較大的行為，一般破壞者會(huì)直接侵入用戶的網(wǎng)絡(luò)，通過(guò)一些病毒來(lái)控制用戶的網(wǎng)絡(luò)，從而可以修改權(quán)限，對(duì)用戶的網(wǎng)絡(luò)造成較為嚴(yán)重的破壞。信息破壞所造成的影響是比較大的，嚴(yán)重的會(huì)造成網(wǎng)絡(luò)癱瘓，后期的網(wǎng)絡(luò)修復(fù)工作難度也比較大，極不利于電子信息的傳輸。

4電子信息安全技術(shù)

4.1防火墻技術(shù)

隨著社會(huì)的進(jìn)步、科學(xué)技術(shù)的發(fā)展，網(wǎng)絡(luò)成為人們社會(huì)生活與生產(chǎn)中較為重要的部分，在社會(huì)生活與生產(chǎn)中也發(fā)揮著很大的作用。防火墻技術(shù)在網(wǎng)絡(luò)中的應(yīng)用比較廣泛，主要用于防止黑客與病毒對(duì)網(wǎng)絡(luò)安全造成威脅與破壞。網(wǎng)絡(luò)黑客與病毒會(huì)入侵網(wǎng)絡(luò)，而防火墻技術(shù)在一定程度上可以對(duì)其進(jìn)行攔截，這是網(wǎng)絡(luò)安全運(yùn)行最基礎(chǔ)的保障措施。對(duì)于網(wǎng)絡(luò)運(yùn)行中隨意篡改信息的現(xiàn)象，防火墻技術(shù)也可以發(fā)揮作用，避免這種現(xiàn)象的發(fā)生，在一定程度上保證網(wǎng)絡(luò)運(yùn)行的安全。

4.2加密技術(shù)

加密技術(shù)在電子信息安全管理中的應(yīng)用也比較廣泛，一般主要對(duì)電子信息進(jìn)行加密處理。加密技術(shù)主要有公開(kāi)密鑰和私用密鑰，私用密鑰主要用于信息的加密，而公開(kāi)密鑰主要用于信息的解密，兩者是相匹配的，如果兩者不能匹配，則沒(méi)有查看信息的權(quán)限。加密技術(shù)對(duì)電子信息的安全保障程度較高，因?yàn)樗接妹荑€加密信息是以密文的形式進(jìn)行的，在對(duì)信息進(jìn)行解密時(shí)，公開(kāi)密鑰就會(huì)把密文翻譯為文字，從而加強(qiáng)對(duì)信息安全的管理，在發(fā)生信息被竊取現(xiàn)象時(shí)，也不用擔(dān)心信息泄露與流失。

4.3認(rèn)證技術(shù)

認(rèn)證技術(shù)分為消息認(rèn)證、身份認(rèn)證和生物認(rèn)證三種類(lèi)型，每個(gè)類(lèi)型的作用都是不同的。消息認(rèn)證是通過(guò)用戶名與密碼的形式對(duì)信息進(jìn)行加密的認(rèn)證方式，這種方式的安全沒(méi)有保障，用戶名與密碼易被竊取。身份認(rèn)證的針對(duì)性比較強(qiáng)，一般用于特殊身份的認(rèn)證，如學(xué)校學(xué)生這種用戶身份，只有符合身份特征的人，才可以查看信息。生物認(rèn)證的安全性比較高，一般用人的身體特征如虹膜、指紋等作為認(rèn)證特征。身份認(rèn)證的安全性是最高的，但是其投資建設(shè)成本比較高，在當(dāng)前的電子信息安全管理中并沒(méi)有被廣泛應(yīng)用。

5提高電子信息安全性的策略

5.1提高電子信息安全認(rèn)識(shí)

網(wǎng)絡(luò)在社會(huì)生活與生產(chǎn)中已被廣泛應(yīng)用，加強(qiáng)網(wǎng)絡(luò)中信息安全管理工作是十分重要的，也發(fā)揮著很大的作用。首先，要對(duì)電子信息安全管理有正確的認(rèn)識(shí)，并且提高對(duì)其的重視，根據(jù)網(wǎng)絡(luò)發(fā)展的現(xiàn)狀與其中存在的問(wèn)題，優(yōu)化電子信息安全管理技術(shù)。其次，要根據(jù)電子信息安全管理的需要，靈活應(yīng)用電子信息安全管理技術(shù)，充分發(fā)揮技術(shù)的優(yōu)勢(shì)，為電子信息安全提供保障。

5.2構(gòu)建電子信息安全管理體制

電子信息安全管理工作的進(jìn)行離不開(kāi)較為完善且全面的安全管理體制，安全管理體制是工作進(jìn)行的前提，可以為電子信息安全管理工作更好進(jìn)行提供基礎(chǔ)與指導(dǎo)。在對(duì)電子信息進(jìn)行安全管理的過(guò)程中，要加強(qiáng)對(duì)電子信息的研究，并且深入了解電子信息安全管理技術(shù)的實(shí)質(zhì)與要求。首先，制定較為科學(xué)合理的制度規(guī)范網(wǎng)絡(luò)行為與現(xiàn)象，避免網(wǎng)絡(luò)混亂而對(duì)信息安全造成影響。其次，通過(guò)較為合理的制度，綜合各方面的影響因素，再根據(jù)信息安全管理技術(shù)的要求，形成較為具體、全面的管理體制。一種較為系統(tǒng)的管理體系，可以使得工作的進(jìn)行更加有序，也可以避免一些病毒和黑客的入侵，促進(jìn)電子信息安全管理工作更好進(jìn)行。

5.3培養(yǎng)電子信息安全專(zhuān)業(yè)人才

專(zhuān)業(yè)人才對(duì)于工作的進(jìn)行有著直接的影響，也需要重點(diǎn)關(guān)注。電子信息安全管理技術(shù)在當(dāng)前的發(fā)展中取得了很大的成效，但是，電子信息安全專(zhuān)業(yè)人才相對(duì)較為缺乏，使得技術(shù)的應(yīng)用與管理受到了一定的限制。隨著科學(xué)技術(shù)的發(fā)展，電子信息安全管理技術(shù)對(duì)于人才的要求提高，需要有較強(qiáng)的專(zhuān)業(yè)性。在電子信息安全專(zhuān)業(yè)人才培養(yǎng)中，首先對(duì)人才的選拔有嚴(yán)格要求，繼而對(duì)人才進(jìn)行重點(diǎn)的培訓(xùn)，提高其專(zhuān)業(yè)水平。還可以將一定的資金用于國(guó)外技術(shù)的學(xué)習(xí)，根據(jù)自身發(fā)展的實(shí)際情況，提高人才的綜合能力。還需要對(duì)人才進(jìn)行思想教育，提高其對(duì)信息安全管理的重視，并且提高其責(zé)任感。在日常的工作中，定期對(duì)人才進(jìn)行審核，規(guī)范其行為，促進(jìn)綜合素質(zhì)的提高。

5.4定期評(píng)估、改進(jìn)安全防護(hù)軟件系統(tǒng)

評(píng)估工作在電子信息安全管理工作的進(jìn)行與發(fā)展中是十分重要的，也是非常關(guān)鍵的。社會(huì)在不斷發(fā)展，技術(shù)也在不斷更新，評(píng)估工作可以為改進(jìn)工作提供依據(jù)與方向。在電子信息安全管理中，定期評(píng)估安全防護(hù)軟件系統(tǒng)，可以發(fā)現(xiàn)安全管理中存在的不足與發(fā)展的優(yōu)勢(shì)，對(duì)于存在的不足，可以以人們的評(píng)估為依據(jù)，對(duì)問(wèn)題進(jìn)行處理，更好滿足人們的需要。在工作中還需要不斷積累經(jīng)驗(yàn)，改進(jìn)與優(yōu)化電子信息安全管理技術(shù)，充分發(fā)揮技術(shù)的優(yōu)勢(shì)，促進(jìn)管理工作更好進(jìn)行。

6結(jié)語(yǔ)

在時(shí)展潮流的沖擊下，電子信息存在一定的安全隱患，電子信息安全管理引起了人們的關(guān)注。在電子信息安全管理工作中，需要深度研究電子信息發(fā)展的情況與安全影響因素，并且有針對(duì)性地解決，為電子信息提供安全保障。網(wǎng)絡(luò)技術(shù)也是在不斷發(fā)展與更新的，也需要?jiǎng)?chuàng)新網(wǎng)絡(luò)技術(shù)，為電子信息安全管理工作的進(jìn)行提供有利條件。

參考文獻(xiàn)

篇（9）

一、電子信息安全管理中存在的問(wèn)題

1.安全防范意識(shí)落后

我國(guó)的信息技術(shù)迅猛發(fā)展，人們沉浸在便利的喜悅中，忽略了安全管理。由于電子商務(wù)處于初步發(fā)展階段，很多技術(shù)方面尚不成熟，一些高標(biāo)準(zhǔn)的電子商務(wù)平臺(tái)尚還沒(méi)有搭建起來(lái)，對(duì)黑客缺乏防御的小型電子商務(wù)平臺(tái)雖然隨處可見(jiàn)，但其缺乏有效的安全管理，經(jīng)營(yíng)者麻痹大意，心存僥幸，認(rèn)為“黑客”雖然存在，但是自身未必遭受攻擊，他們更多地關(guān)注業(yè)務(wù)的發(fā)展，重視平臺(tái)規(guī)模的擴(kuò)大和系統(tǒng)功能的開(kāi)發(fā)。在這種情況下，系統(tǒng)缺乏安全防御，一旦受到攻擊，立即癱瘓不能運(yùn)轉(zhuǎn)和造成損失。此外，有些管理者為了防御黑客，在市場(chǎng)上購(gòu)買(mǎi)了一些大眾化的安全管理軟件，便覺(jué)得安裝了這些“高新”產(chǎn)品，就會(huì)高枕無(wú)憂，永遠(yuǎn)安全的使用電子商務(wù)。結(jié)果，常常事與愿違，造成巨大的損失。

2.信息安全技術(shù)匱乏

經(jīng)過(guò)一段時(shí)間的努力，國(guó)內(nèi)的信息安全管理技術(shù)不斷提升，連續(xù)邁上新的臺(tái)階，情況喜人。但是，我們也要有自知之明，因?yàn)楹驮S多西方國(guó)家相比，信息安全防御與控制技術(shù)相對(duì)落后很多，并且，我們?cè)诮?jīng)費(fèi)的投入方面，有明顯的差距；自主研發(fā)技術(shù)存在的不足之處多多，亟需改善。我們更要清楚的一點(diǎn)是：我們的技術(shù)，很多都是借鑒國(guó)外的經(jīng)驗(yàn)，缺乏獨(dú)創(chuàng)。如此步人后塵，電子信息安全管理質(zhì)量難以有質(zhì)的突破。

3.信息安全產(chǎn)品鑒定混亂無(wú)序

為了安全起見(jiàn)，很多企業(yè)花費(fèi)不菲，購(gòu)買(mǎi)了一些安全方面的軟件，殊不知，這些產(chǎn)品在一般情況下，確實(shí)能夠起到電子信息使用平臺(tái)的安全作用，但如果病毒強(qiáng)大，絕對(duì)的安全便難以保證?？v觀市場(chǎng)上的安全軟件產(chǎn)品，良莠不齊，并且，目前市場(chǎng)上對(duì)于安全產(chǎn)品的鑒定沒(méi)有統(tǒng)一標(biāo)準(zhǔn)，各執(zhí)一說(shuō)，很多都是主觀判斷，由此產(chǎn)生隱患。

二、電子信息安全管理的有效措施

在電子信息安全管理方面，一旦出現(xiàn)問(wèn)題，就會(huì)造成損失，一些企業(yè)“吃一塹長(zhǎng)一智”，采取了相關(guān)措施，不過(guò)，調(diào)查表明，大多數(shù)企業(yè)存在“重技術(shù)，輕管理”的情況，而且由于一些企業(yè)尚未造成重大損失，管理層對(duì)安全問(wèn)題漠不關(guān)心，或重視不夠。下面針對(duì)加強(qiáng)電子信息安全管理的主要措施做一探討。

1.構(gòu)建完善的管理組織機(jī)構(gòu)，加強(qiáng)管理

電子信息安全管理組織機(jī)構(gòu)的完善有力地促進(jìn)了企業(yè)的發(fā)展，從安全決策到認(rèn)真執(zhí)行，層層構(gòu)架，發(fā)揮職能。管理框架的構(gòu)建要集思廣益，審慎剴切；安全制度的審批須一絲不茍，審查入微；安全職責(zé)的分配必須認(rèn)真到位，監(jiān)督有力；遵照網(wǎng)絡(luò)系統(tǒng)安全制度，嚴(yán)肅執(zhí)行，進(jìn)行網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)。如屬于大型的電子商務(wù)平臺(tái)或者集團(tuán)企業(yè)，更加需要增加投入，比如聘請(qǐng)有造詣的專(zhuān)家成立顧問(wèn)組織，以便企業(yè)進(jìn)行疑難咨詢(xún)，或是參照出現(xiàn)的問(wèn)題出列解決方案，爾后進(jìn)一步對(duì)責(zé)任進(jìn)行調(diào)查、評(píng)估。

2.電子信息安全管理制度有待進(jìn)一步完善

電子信息安全管理制度主要包括兩方面的內(nèi)容，第一點(diǎn)就是構(gòu)建電子信息控制制度，第二點(diǎn)是出現(xiàn)問(wèn)題之后的解決策略。關(guān)于第一點(diǎn)，需要明確責(zé)任，注重細(xì)節(jié)，出現(xiàn)任何情況都要嚴(yán)格審核，并且定期檢查；至于第二點(diǎn)，注意信息傳遞過(guò)程中的信息維護(hù)，密切跟蹤，及時(shí)報(bào)告，達(dá)到有效監(jiān)督。最后，備份數(shù)據(jù)文件儲(chǔ)存。

3.專(zhuān)業(yè)亟待提升

互聯(lián)網(wǎng)的發(fā)展突飛猛進(jìn)，普及千家萬(wàn)戶，安全技術(shù)的研發(fā)相對(duì)于互聯(lián)網(wǎng)的發(fā)展遠(yuǎn)遠(yuǎn)落后，原因諸多，最重要的一點(diǎn)就是缺乏過(guò)硬的技術(shù)人員。一般而言，電子商務(wù)規(guī)模越大，電子信息安全管理隊(duì)伍的陣容也要隨之?dāng)U充，只有電子信息安全管理隊(duì)伍強(qiáng)大，才能夠產(chǎn)生無(wú)窮的智慧與應(yīng)對(duì)措施，保證電子商務(wù)平臺(tái)的安全。

4.系統(tǒng)安全檢測(cè)

黑客一詞被用于泛指那些專(zhuān)門(mén)利用電腦網(wǎng)絡(luò)和系統(tǒng)安全漏洞對(duì)網(wǎng)絡(luò)進(jìn)行攻擊破壞或竊取資料的人。病毒與黑客不斷變換手段，頻頻對(duì)電子商務(wù)系統(tǒng)采取攻擊行動(dòng)，有時(shí)候能導(dǎo)致整個(gè)系統(tǒng)癱瘓。出現(xiàn)意外情況，要立即檢測(cè)，要經(jīng)常更換密碼，設(shè)置復(fù)雜一些的密碼，要經(jīng)常對(duì)防火墻進(jìn)行檢查，系統(tǒng)功能是否保持，是否出現(xiàn)漏洞等，要細(xì)致入微，不能有一絲一毫的疏忽，嚴(yán)防黑客侵入。

5.建立保護(hù)系統(tǒng)的方案

時(shí)常進(jìn)行安全檢測(cè)，一旦系統(tǒng)的安全檢測(cè)失靈，必須立即建立系統(tǒng)安全防護(hù)措施。系統(tǒng)安全管理極其復(fù)雜，缺乏安全可靠的保護(hù)，電子商務(wù)在網(wǎng)絡(luò)平臺(tái)失去有效的依靠，隨時(shí)會(huì)出現(xiàn)漏洞。反之，安全策略嚴(yán)謹(jǐn)，防護(hù)得力，即便系統(tǒng)遭受攻擊，也會(huì)及時(shí)發(fā)現(xiàn)，能將損失最小化。

6.管理培訓(xùn)的重要性

防護(hù)系統(tǒng)的工作人員，要進(jìn)行考試錄用、上崗培訓(xùn)，企業(yè)經(jīng)常進(jìn)行人員培訓(xùn)，定期學(xué)習(xí)安全策略和規(guī)章制度。讓每一個(gè)員工加強(qiáng)安全觀念，提升對(duì)信息安全的重視，認(rèn)識(shí)到防護(hù)的重要性，堅(jiān)守崗位，忠于職守，明了企業(yè)安全規(guī)章制度的含義。

三、結(jié)語(yǔ)

綜上所述，近年來(lái)經(jīng)濟(jì)騰飛，經(jīng)濟(jì)全球化進(jìn)程不斷加快，計(jì)算機(jī)技術(shù)無(wú)所不在，網(wǎng)絡(luò)暢通無(wú)極，人們?cè)诰W(wǎng)絡(luò)平臺(tái)上進(jìn)行商務(wù)管理、學(xué)習(xí)、游戲、查找資料、購(gòu)物匯款等等，網(wǎng)絡(luò)信息交互平臺(tái)已經(jīng)深入大家的生活，人們已經(jīng)一日不可沒(méi)有網(wǎng)絡(luò)的存在。網(wǎng)絡(luò)如此不可或缺，隨著計(jì)算機(jī)病毒造成的一次次的損失，人們對(duì)電子信息安全管理質(zhì)量憂心忡忡。

在這一背景下，很多電子信息安全管理研究機(jī)構(gòu)紛紛推出各類(lèi)電子信息安全管理產(chǎn)品，盡管其對(duì)確保信息安全起到了一定的功效，但是，一切并不是萬(wàn)能的。這也使得人們明白了技術(shù)產(chǎn)品并不僅僅是安全管理工作的全部。本文結(jié)合當(dāng)前電子信息安全管理現(xiàn)狀，提出了一些相應(yīng)的應(yīng)對(duì)措施，希望能夠有效提升電子信息安全管理的質(zhì)量。

參考文獻(xiàn)：

篇（10）

1.1 管理者的安全意識(shí)不強(qiáng)

檔案信息化水平不斷提升，這也使檔案信息安全問(wèn)題越來(lái)越突出。當(dāng)前很多檔案管理人員對(duì)于檔案信息安全的重要性和緊迫性缺乏有效的認(rèn)知，特別是當(dāng)前檔案網(wǎng)站安全、計(jì)算機(jī)系統(tǒng)安全等問(wèn)題普遍得不到重視。由于檔案管理者對(duì)數(shù)字檔案信息安全意識(shí)缺乏，這也導(dǎo)致普遍民眾對(duì)數(shù)字檔案信息的安全問(wèn)題更是一無(wú)所知。很大一部分檔案管理人員在日常工作中都沒(méi)有意識(shí)到數(shù)字檔案存在的安全隱患，這些數(shù)字檔案信息可能隨時(shí)消失不見(jiàn)，對(duì)風(fēng)險(xiǎn)缺乏有效的認(rèn)知，這也造成數(shù)字檔案信息安全問(wèn)題始終存在，這對(duì)于數(shù)字檔案信息安全管理工作帶來(lái)了較大的挑戰(zhàn)和難度。

1.2 數(shù)字檔案信息安全管理技術(shù)滯后

隨著信息技術(shù)的快速發(fā)展，數(shù)字檔案檔案安全技術(shù)也緊跟信息技術(shù)發(fā)展步伐取得了較快的發(fā)展，但在發(fā)展過(guò)程中存在著技術(shù)層面專(zhuān)業(yè)問(wèn)題的制約，這就導(dǎo)致數(shù)字檔案信息安全管理技術(shù)相對(duì)滯后。在實(shí)際工作中，往往都是檔案信息安全問(wèn)題出現(xiàn)后，數(shù)字檔案信息安全技術(shù)才能針對(duì)出現(xiàn)的問(wèn)題進(jìn)行改進(jìn)，從而取得技術(shù)上的發(fā)展。即在數(shù)字檔案信息管理工作中，安全隱患一直存在，風(fēng)險(xiǎn)一直管觀存在，數(shù)字檔案信息安全時(shí)刻受到威脅，因此要??際工作中需要有效的降低風(fēng)險(xiǎn)，即應(yīng)用數(shù)字檔案信息安全技術(shù)來(lái)將風(fēng)險(xiǎn)降至最低水平。

1.3 數(shù)字檔案信息安全管理制度不完善

現(xiàn)今我國(guó)在數(shù)字檔案信息安全領(lǐng)域的制度不夠健全，所以才會(huì)在實(shí)際的數(shù)字檔案信息安全管理中出現(xiàn)許多紕漏。由于數(shù)字信息安全管理制度的殘缺導(dǎo)致我國(guó)的數(shù)字檔案信息安全管理水平普遍偏低。從實(shí)際出發(fā)，我國(guó)大部分的檔案管理部門(mén)都制定了相應(yīng)的數(shù)字檔案信息管理制度，許多制度都是為了應(yīng)付檢查才制定的，相互抄襲的情況比較多，這樣的情況就會(huì)造成所制定的制度并不能與實(shí)際的數(shù)字檔案信息安全管理工作相匹配。對(duì)實(shí)際的數(shù)字檔案信息安全管理工作起不到任何制約與指導(dǎo)作用，甚至可能造成安全隱患給數(shù)字檔案信息安全管理工作帶來(lái)不必要的麻煩。

2 加強(qiáng)數(shù)字檔案信息安全管理的策略分析

2.1 加強(qiáng)對(duì)工作人員的培訓(xùn)，樹(shù)立安全防范意識(shí)

隨著檔案信息化的不斷發(fā)展，檔案數(shù)字化全面普及率已成為檔案工作發(fā)展的必然趨勢(shì)。為了能夠更好的提高數(shù)字檔案信息管理的安全，需要遵循以人為本原則，重視檔案管理人員的培訓(xùn)工作，努力提高檔案管理人員的專(zhuān)業(yè)技能。在具體培訓(xùn)過(guò)程中，要加強(qiáng)對(duì)檔案管理人員信息安全知識(shí)的講解，使檔案管理人員樹(shù)立安全防范意識(shí)，認(rèn)識(shí)到數(shù)字檔案安全管理的重要性，并能夠在實(shí)際工作中利用安全技術(shù)來(lái)維護(hù)數(shù)字檔案信息的安全。培訓(xùn)過(guò)程中還要重視檔案管理人員計(jì)算機(jī)技術(shù)水平的提升，這樣在實(shí)際工作中才能更熟練的應(yīng)用檔案管理系統(tǒng)，提高檔案管理系統(tǒng)的先進(jìn)性，從而更好的實(shí)現(xiàn)對(duì)數(shù)字檔案信息的有效管理。

2.2 提高重要信息的加密性和計(jì)算機(jī)的安全性

網(wǎng)絡(luò)環(huán)境的不安全會(huì)影響數(shù)字檔案信息的安全性，因此要加大對(duì)網(wǎng)絡(luò)環(huán)境的保護(hù)力度，提高計(jì)算機(jī)環(huán)境的安全性。為防止重要信息被黑客入侵盜取，要加強(qiáng)對(duì)信息的加密保護(hù)，保證數(shù)字檔案信息的保密性，在網(wǎng)絡(luò)層能夠安全、自由的傳遞，特別是對(duì)帶有密級(jí)的數(shù)字檔案信息系統(tǒng)，更應(yīng)該加強(qiáng)文件的加密保護(hù)能力，保護(hù)重要的檔案信息。對(duì)計(jì)算機(jī)要定期的清理，防止留下的瀏覽記錄被別有用心的人利用，可能會(huì)從中得到很多私人信息，提高計(jì)算機(jī)系統(tǒng)的安全性。因此在計(jì)算機(jī)上必然安全可靠的殺毒軟件和防火墻，做好安全防范工作，降低計(jì)算機(jī)系統(tǒng)受到病毒破壞及黑客攻擊的可能性，提高計(jì)算機(jī)系統(tǒng)的安全水平。同時(shí)檔案管理人員還要熟練應(yīng)用計(jì)算機(jī)軟件，并定期對(duì)病毒庫(kù)進(jìn)行更新，強(qiáng)化計(jì)算機(jī)系統(tǒng)的安全防范，有效的提高數(shù)字檔案信息的安全性和可靠性。

2.3 健全數(shù)字檔案信息安全管理制度與法律

篇（11）

二、健全法律法規(guī)

加強(qiáng)法律法規(guī)的完善性，保證數(shù)字化檔案信息安全管理工作的規(guī)范執(zhí)行。在該執(zhí)行期間，需要從法律法規(guī)角度對(duì)其進(jìn)行研究，基于信息化時(shí)展需要，為民營(yíng)企業(yè)的檔案信息安全管理工作營(yíng)造良好的發(fā)展氛圍。執(zhí)行過(guò)程中，需要根據(jù)信息化發(fā)展要求、檔案信息的主要特征，為其制定完善的法律法規(guī)。在該體系執(zhí)行時(shí)，不僅能加強(qiáng)民營(yíng)企業(yè)數(shù)字化檔案信息管理工作的?范化，實(shí)現(xiàn)信息的開(kāi)放性發(fā)展，還能保證民營(yíng)企業(yè)檔案信息完整、真實(shí)使用。在現(xiàn)代化發(fā)展背景下，民營(yíng)企業(yè)面臨較大的挑戰(zhàn)，為了提高檔案信息管理能力，還需要建立完善的管理制度，分析數(shù)字化檔案信息安全管理工作中存在的一些影響因素，保證制度的有效執(zhí)行，保證在具體實(shí)施工作中，能夠?qū)踩砟顫B透到企業(yè)檔案信息管理工作中去。在實(shí)施工作中，還要為數(shù)字化檔案信息管理工作提供備份制度，其中，需要包括登記、異地使用制度等。不僅如此，還要促進(jìn)數(shù)字化檔案開(kāi)放工作的執(zhí)行期間，保證能夠開(kāi)放一些信息。還需要為檔案信息的數(shù)字化管理建立維護(hù)制度，促進(jìn)管理工作流程的規(guī)范發(fā)展，保證工作中各個(gè)環(huán)節(jié)的人員職責(zé)都能充分落實(shí)，實(shí)現(xiàn)任務(wù)分布明確，職責(zé)合理等，在不同崗位上，遵循不同的工作事項(xiàng)和流程，這樣才能使檔案信息管理工作符合新時(shí)期的發(fā)展要求，維持民營(yíng)企業(yè)的健康進(jìn)步。

三、利用先進(jìn)手段

在民營(yíng)企業(yè)不斷進(jìn)步與發(fā)展的背景下，為了提升數(shù)字化檔案信息安全管理水平，需要引進(jìn)先進(jìn)執(zhí)行手段。先進(jìn)手段的引入能夠?yàn)槊駹I(yíng)企業(yè)的檔案信息管理工作提供有效保障，在內(nèi)部管理工作中，需要相關(guān)部門(mén)根據(jù)自身的發(fā)展條件，借鑒一些成功經(jīng)歷，引入有效的數(shù)字化檔案信息安全軟件，促進(jìn)信息安全設(shè)備的有效配置，保證企業(yè)在數(shù)字化檔案管理工作中，提高其中的技術(shù)含量。不僅如此，在具體執(zhí)行期間，還需要根據(jù)企業(yè)建立的數(shù)字化管理系統(tǒng)化，分析運(yùn)行的實(shí)際情況，對(duì)計(jì)算機(jī)的硬件和軟件進(jìn)行優(yōu)化選擇，提高其使用性能。在對(duì)計(jì)算機(jī)軟件與硬件進(jìn)行選擇過(guò)程中，要重視計(jì)算機(jī)的品牌和服務(wù)器，以全方位的角度對(duì)計(jì)算機(jī)硬件的兼容性、可擴(kuò)展性進(jìn)行思考、嚴(yán)格審核，在該工作中，不僅能避免產(chǎn)生數(shù)據(jù)丟失現(xiàn)象，還能實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)的優(yōu)化升級(jí)。并且，還需要為其設(shè)置信息訪問(wèn)認(rèn)證工作，開(kāi)發(fā)防病毒軟件，為數(shù)字化檔案信息執(zhí)行加密工作，這樣不僅能防止數(shù)據(jù)信息被非法侵入，還能促進(jìn)數(shù)字化檔案信息的安全管理。

四、提高人員素質(zhì)