數(shù)據(jù)安全管理體系精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的數(shù)據(jù)安全管理體系主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：數(shù)據(jù)安全管理體系范文

關(guān)鍵詞：管理信息系統(tǒng)（MIS）；數(shù)據(jù)庫

一 、完善用戶識別

用戶身份的正確識別與檢驗(yàn)是MIS安全的門戶。為了有效可靠地管理用戶權(quán)限，保證系統(tǒng)的安全，需要一套可靠完善的身份鑒別機(jī)制。

（1）在MIS的數(shù)據(jù)庫中創(chuàng)建一個(gè)用戶表，為每個(gè)用戶分配一個(gè)唯一的用戶編碼和一個(gè)唯一的用戶密碼，并且用戶的密碼只能由用戶自己管理。當(dāng)用戶要登錄數(shù)據(jù)庫管理系統(tǒng)時(shí)，必須提供正確的用戶編碼和密碼方能進(jìn)人該系統(tǒng)。

（2）我們還可以利用數(shù)據(jù)濾網(wǎng)功能，也就是過濾功能。在用戶登錄界面，對用戶輸人的用戶標(biāo)識和密碼先進(jìn)行過濾，把單引號、分號、 、％ 等“危險(xiǎn)字符”全部過濾掉，再進(jìn)行數(shù)據(jù)語句的構(gòu)造，可大大降低攻擊者成功的概率。

（3）我們可以通過限制用戶輸入數(shù)據(jù)的長度，例如限制用戶輸入數(shù)據(jù)的字符最多不能超過8位，這樣就可以大大降低系統(tǒng)被攻擊的風(fēng)險(xiǎn)，增加了入侵者插入有害代碼的難度，確保了系統(tǒng)的安全。

（4）設(shè)置數(shù)據(jù)庫系統(tǒng)口令，數(shù)據(jù)庫系統(tǒng)口令也是是身份鑒別、保證系統(tǒng)安全的最常見、最方便的一種方法。它是登錄訪問數(shù)據(jù)庫系統(tǒng)所需的口令。應(yīng)用程序要存取數(shù)據(jù)庫表，必須先登錄數(shù)據(jù)庫，應(yīng)用程序憑借用戶提供的正確口令就能順利登錄數(shù)據(jù)庫。所有的口令值不要嵌入程序，應(yīng)隱蔽到某一數(shù)據(jù)庫中，這樣就避免了修改的麻煩，有了數(shù)據(jù)庫口令，就可以阻止有害侵入，增加了系統(tǒng)的安全性。

二 、訪問權(quán)限控制

訪問權(quán)限控制是數(shù)據(jù)庫系統(tǒng)在利用角色管理數(shù)據(jù)庫安全性方面采取的基本措施。

通過驗(yàn)證用戶名稱和口令。防止非數(shù)據(jù)庫系統(tǒng)用戶注冊到數(shù)據(jù)庫，對數(shù)據(jù)庫進(jìn)行非法存取操作。

授予用戶一定的權(quán)限，限制用戶操縱數(shù)據(jù)庫的權(quán)力；授予用戶對數(shù)據(jù)庫實(shí)體的存取執(zhí)行權(quán)限。阻止用戶訪問非授權(quán)數(shù)據(jù)，提供數(shù)據(jù)庫實(shí)體存取審計(jì)機(jī)制。使數(shù)據(jù)庫管理員可以監(jiān)視數(shù)據(jù)庫中數(shù)據(jù)的存取情況和系統(tǒng)資源的使用情況，采用視圖機(jī)制限制存取基表的行和列集合。對所有客戶端按工作性質(zhì)分類。分別授予不同的用戶角色。對不同的用戶角色。根據(jù)其使用的數(shù)據(jù)源。分別授予不同的數(shù)據(jù)庫對象存取權(quán)限。

三、 數(shù)據(jù)加密

在MIS中，為了防止非法用戶進(jìn)入系統(tǒng)、竊取機(jī)密信息或非授權(quán)用戶越權(quán)操作數(shù)據(jù)，必須對數(shù)據(jù)進(jìn)行加密處理。

對MIS中的數(shù)據(jù)庫加密處理有三種基本方式：

（1） 文件加密：將涉及重要信息的文件進(jìn)行加密，進(jìn)入MIS應(yīng)用系統(tǒng)時(shí)解密，在退出應(yīng)用系統(tǒng)時(shí)再進(jìn)行加密。

（2）記錄加密：與文件加密類似，但加密的單位是記錄而不是文件。

（3）字段加密：即直接對數(shù)據(jù)庫的最小單位一字段進(jìn)行加密，加密算法是加密的核心， 目前可應(yīng)用的國際公認(rèn)的密碼算法主要有：DES(數(shù)據(jù)加密標(biāo)準(zhǔn))、RSA（公鑰密碼體制)、劉氏高強(qiáng)度公開加密算法等。

除此之外還有硬性加密，硬加密指的是用物理方法進(jìn)行加密，如在存放在文件的磁盤上用激光打孔進(jìn)行加密等。

通過數(shù)據(jù)庫加密有效地防止了通過瀏覽數(shù)據(jù)庫表的方式獲得用戶登錄信息。

四 、審計(jì)與追蹤

數(shù)據(jù)審計(jì)的目的在于：當(dāng)數(shù)據(jù)被竊取或破壞時(shí)，能及時(shí)發(fā)現(xiàn)和補(bǔ)救，即及時(shí)發(fā)現(xiàn)問題的原因， 為維護(hù)數(shù)據(jù)的完整性提供保障。數(shù)據(jù)審計(jì)可 在MIS的多個(gè)層次上實(shí)現(xiàn)，其中在操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)上實(shí)現(xiàn)時(shí)，系統(tǒng)開銷較大，而在功能層、用戶層等層次上采取適當(dāng)?shù)膶徲?jì)措施則較好。

應(yīng)用系統(tǒng)常用的審計(jì)措施有：

（1）取軌運(yùn)行法：該方法要求對數(shù)據(jù)的操作由兩個(gè)用戶在不同的工作站上完成，一個(gè)用戶的操作必須經(jīng)過另一個(gè)用戶的審核通過后方能生效。

（2）軌跡法；該方法對應(yīng)用系統(tǒng)中的一切操作都記錄在案，并由專人定期檢查，從而監(jiān)督系統(tǒng)運(yùn)行情況。

五 、備份與恢復(fù)

數(shù)據(jù)庫可以通過用戶識別、訪問權(quán)限限制、數(shù)據(jù)加密等保護(hù)措施使得管理信息系統(tǒng)健康運(yùn)行，但難保百無一疏，而且現(xiàn)實(shí)中還存在其他很多原因造成數(shù)據(jù)的丟失，比如誤刪除，硬件老化，不可抗力，系統(tǒng)抵御能力差等等方面，所以加強(qiáng)對數(shù)據(jù)的備份工作至關(guān)重要。

備份工作有幾點(diǎn)因素需要考慮，比如：

1、備份周期。(根據(jù)數(shù)據(jù)的重要程度，可以選擇不同的時(shí)間進(jìn)行備份，以便清晰明了)。

2、使用靜態(tài)備份還是動(dòng)態(tài)備份，(動(dòng)態(tài)備份也即允許數(shù)據(jù)庫運(yùn)行時(shí)進(jìn)行備份)。

3、僅使用全備份還是共同使用全備份和增量備份。

4、使用什么介質(zhì)(硬盤，光盤等)。

5、使用人工備份還是設(shè)計(jì)好的自動(dòng)備份程序。

6、檢驗(yàn)備份完整性的周期。

7、備份存儲的空間是否防竊、防磁干擾、防火。

8、是否指定其他人實(shí)行備份，備份者是否享有必要的登錄號和口令。

9、在負(fù)責(zé)備份和恢復(fù)的主要人員缺席的情況下，是否有其他人能代替。

其次我們還要注意務(wù)必使計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)備份自動(dòng)化，以減少系統(tǒng)管理員的工作量。使數(shù)據(jù)備份工作制度化，科學(xué)化。做好介質(zhì)管理工作，防止讀寫操作的錯(cuò)誤。

對數(shù)據(jù)存儲，形成分門別類的介質(zhì)存儲，使數(shù)據(jù)的保存更細(xì)致、科學(xué)。介質(zhì)自動(dòng)清洗輪轉(zhuǎn)，提高介質(zhì)的安全性和使用壽命。還要以備份服務(wù)器形成備份中心，對各種平臺的應(yīng)用系統(tǒng)及其他信息數(shù)據(jù)進(jìn)行集中的備份。

另外系統(tǒng)管理員還可以在任意一臺工作站上管理、監(jiān)控、配置備份系統(tǒng)，實(shí)現(xiàn)分布處理、集中管理。

最后維護(hù)人員要盡量地恢復(fù)損壞的整個(gè)文件系統(tǒng)和各類數(shù)據(jù)。備份系統(tǒng)還應(yīng)考慮網(wǎng)絡(luò)帶寬對備份性能的影響、備份服務(wù)器的平臺選擇及安全性、備份系統(tǒng)容量的適度冗余、備份系統(tǒng)良好的擴(kuò)展性等。

結(jié)語：

以上只是論述了數(shù)據(jù)庫在管理信息系統(tǒng)中安全的幾個(gè)重要方面和體現(xiàn)，還有其他一些方面沒有專門提到。這些管理不到位。雖然不會(huì)導(dǎo)致系統(tǒng)癱瘓。但也會(huì)造成系統(tǒng)部分功能的暫時(shí)性終止。例如如果回退段數(shù)量不夠或剩余空間不夠。都可以造成有些大的數(shù)據(jù)提交不成功。因此，對于數(shù)據(jù)庫系統(tǒng)的安全問題馬虎不得。

參考文獻(xiàn)：

[1]李寧，陳彬．MIS系統(tǒng)權(quán)限管理中的安全性問題探討[J].教育周刊，2008（11）.

[2]薩師煊，王珊．《數(shù)據(jù)庫系統(tǒng)概論》(第三版)[M].教育出版社，2000.

第2篇：數(shù)據(jù)安全管理體系范文

[關(guān)鍵詞]信息安全管理 評估模型 管理體系

中圖分類號：P9.T3308 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-914X（2016）21-0400-01

1、 引言

隨著信息化建設(shè)的發(fā)展，信息安全越來越多的受到人們的重視，企業(yè)信息安全重點(diǎn)面臨的問題主要表現(xiàn)在[1]：1）網(wǎng)絡(luò)受到外部的惡意攻擊，部分單位無終端接入控制措施，使企業(yè)的正常業(yè)務(wù)無法開展或相關(guān)重要數(shù)據(jù)被盜??；2）網(wǎng)站受到黑客攻擊，由于部分掌握網(wǎng)絡(luò)技術(shù)的不法人員查詢到破解網(wǎng)站所存在的漏洞，加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權(quán)限，使得網(wǎng)站陷入癱瘓；3）信息的監(jiān)管不利產(chǎn)生不良的影響，通常情況下信息沒有主管部門負(fù)責(zé)審核導(dǎo)致監(jiān)管不到位，那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上，造成不良影響；4）計(jì)算機(jī)病毒的危害，相關(guān)系統(tǒng)不及時(shí)更新補(bǔ)丁和升級，受到病毒入侵并加以利用，篡改應(yīng)用系統(tǒng)信息或獲取管理權(quán)限，使得應(yīng)用系統(tǒng)丟失重要信息。

當(dāng)前，有關(guān)信息系統(tǒng)的安全評價(jià)雖然存在著多種多樣的具體實(shí)踐方式，但在目前還沒有形成系統(tǒng)化和形式化的評價(jià)理論和方法。評價(jià)模型基本是基于灰色理論（Gray Theory）或者模糊（Fuzzy）數(shù)學(xué)，而評價(jià)方法基本上用層次分析法AHP[2]（Analytic Hierarchy Process）或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結(jié)合，建立了安全評價(jià)體系，并運(yùn)用隸屬函數(shù)和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統(tǒng)安全的某一個(gè)方面出發(fā)，如技術(shù)、管理、過程、人員等，著重于評估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實(shí)踐規(guī)范。在操作上主觀隨意性較強(qiáng)，其評估過程主要依靠測試者的技術(shù)水平和對網(wǎng)絡(luò)系統(tǒng)的了解程度，缺乏統(tǒng)一的、系統(tǒng)化的安全評估框架，很多評估準(zhǔn)則和指標(biāo)沒有與被評價(jià)對象的實(shí)際運(yùn)行情況和信息安全保障的效果結(jié)合起來。

大型企業(yè)信息安全管理體系的研究，就是為了尋找一個(gè)科學(xué)、合理的管理體系，并根據(jù)該體系和方法對大型企業(yè)的信息安全狀況和水平進(jìn)行評價(jià)，對信息安全管理績效進(jìn)行考核。

2、 大型企業(yè)信息安全管理體系的內(nèi)涵

通過管理體系的應(yīng)用，將對大型企業(yè)信息安全產(chǎn)生非常重要的作用。一是可以對企業(yè)信息安全的水平做出客觀的反應(yīng)，認(rèn)識企業(yè)信息安全存在的不足之處，發(fā)揮考評體系的指導(dǎo)作用，引導(dǎo)企業(yè)“信息安全”工作健康科學(xué)發(fā)展；二是可以為企業(yè)信息安全的建設(shè)指明方向，為信息安全的發(fā)展提供有力支撐；三是可以幫助企業(yè)管理者建立起一套科學(xué)的信息安全管理系統(tǒng)，有效控制信息化活動(dòng)的進(jìn)程，提高信息安全級別，減少因信息安全事件引起的損失，有利于正確引導(dǎo)和規(guī)范企業(yè)的信息化建設(shè)，指導(dǎo)企業(yè)科學(xué)發(fā)展具有重要的意義。

3、 大型企業(yè)信息安全管理體系的主要做法

為了大型企業(yè)信息安全管理體系的建立，提出了管理體系的目標(biāo)：對于信息安全方面出現(xiàn)的問題，達(dá)到防范目的；對于信息安全工作進(jìn)行查漏補(bǔ)缺，加強(qiáng)管理；通過評估體系的考核，落實(shí)相關(guān)信息安全文件、推進(jìn)信息安全工作，為企業(yè)信息安全的建設(shè)指明方向，同時(shí)注重管理體系整體的時(shí)效性，根據(jù)信息安全發(fā)展的不同階段進(jìn)行及時(shí)更新。

1） 建立大型企業(yè)信息安全體系

信息安全體系總體設(shè)計(jì)。信息安全體系設(shè)計(jì)共分為三級，包含9個(gè)一級指標(biāo)，14個(gè)二級指標(biāo)，27個(gè)三級指標(biāo)。一級指標(biāo)和二級指標(biāo)為共性指標(biāo)，三級指標(biāo)為數(shù)據(jù)采集項(xiàng)。一級指標(biāo)包括：網(wǎng)絡(luò)安全管理、環(huán)境安全管理、應(yīng)用系統(tǒng)安全管理、數(shù)據(jù)安全管理、終端安全管理、操作安全管理、網(wǎng)絡(luò)信息安全、移動(dòng)信息化安全、服務(wù)器掃描情況。一級和二級指標(biāo)結(jié)構(gòu)圖如下：

2）信息安全考評指標(biāo)的權(quán)重設(shè)計(jì)

指標(biāo)權(quán)重理論思路。具體權(quán)重根據(jù)德爾菲法[4]、層次分析法，結(jié)合政策導(dǎo)向確定。

管理體系的指標(biāo)權(quán)重確定方法設(shè)計(jì)過程中，選取兩組技術(shù)、管理等方面的專家，其中一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度，確定各指標(biāo)的相對重要性，采用層次分析法確定各指標(biāo)的權(quán)重。另外一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度，對各指標(biāo)按百分制進(jìn)行賦值，確定各指標(biāo)的權(quán)重。綜合兩組專家的意見，初步確定各指標(biāo)的權(quán)重，再組織專家研討會(huì)，最終確定各指標(biāo)的權(quán)重。

企業(yè)信息安全考評指標(biāo)總分計(jì)算方法：

I=Σ（Pi*Wi） （1）

I表示指標(biāo)體系的總得分；Pi表示第i個(gè)指標(biāo)的得分，各指標(biāo)得滿分都是100分；Wi表示第i個(gè)指標(biāo)的權(quán)重，所有指標(biāo)權(quán)重的和為100%。

3）建設(shè)大型企業(yè)信息化評價(jià)管理系統(tǒng)

為了實(shí)施信息安全措施體系，以信息安全體系、信息安全文件和考評制度為基礎(chǔ)，研發(fā)包括信息安全在內(nèi)的大型企業(yè)信息化評價(jià)管理系統(tǒng)。通過使用該系統(tǒng)，將減輕信息化管理部門的負(fù)擔(dān)，填報(bào)和匯總數(shù)據(jù)的效率顯著提高，最為突出的是以上報(bào)數(shù)據(jù)為基礎(chǔ)，可以自動(dòng)、實(shí)時(shí)地形成各種統(tǒng)計(jì)、分析圖表，從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計(jì)工作，大大減輕了信息化管理部門的工作強(qiáng)度，增加了信息化管理部門對新情況快速反應(yīng)能力。

系統(tǒng)整體架構(gòu)由數(shù)據(jù)庫層、框架服務(wù)層、應(yīng)用邏輯層、界面表現(xiàn)層組成，系統(tǒng)部署了tomcat下運(yùn)行的I@Report和BI@Report作為框架服務(wù)層，并在此基礎(chǔ)上開發(fā)了業(yè)務(wù)系統(tǒng)。

系統(tǒng)主要實(shí)現(xiàn)了如下功能：

編碼同步、基層權(quán)限管理、評價(jià)初始化、基層初評、數(shù)據(jù)提交、部門權(quán)限管理（含單位、指標(biāo)項(xiàng)）、管理部門復(fù)評、信息稽核、數(shù)據(jù)計(jì)算、統(tǒng)計(jì)管理、查詢管理、決策模型。

建立統(tǒng)一的數(shù)據(jù)報(bào)送平臺，提高企業(yè)信息整合水平。

建立在線交流及公告平臺。

系統(tǒng)根據(jù)建立的數(shù)學(xué)模型進(jìn)行綜合分析，可自動(dòng)、實(shí)時(shí)地形成各種統(tǒng)計(jì)分析圖表、報(bào)告等，例如：信息化評級、信息化水平評測報(bào)告。

4、 結(jié)束語

通過大型企業(yè)信息安全管理體系的實(shí)施，使企業(yè)信息化水平評估體系更加完善，在考評信息化建設(shè)水平的同時(shí)，又對信息安全水平等級有所提升。

參考文獻(xiàn)

[1] 周學(xué)廣，劉藝.信息安全學(xué)[M].北京：機(jī)械工業(yè)出版社，2003.

[2] 常建娥，蔣太立.層次分析法確定權(quán)重的研究[J].武漢理工大學(xué)學(xué)報(bào)，信息與管理工程版，2007，1（29）：153-156.

第3篇：數(shù)據(jù)安全管理體系范文

關(guān)鍵詞：提高；網(wǎng)絡(luò)；安全

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044(2009)05-1071-01

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，氣象業(yè)務(wù)現(xiàn)代化、信息化、辦公自動(dòng)化程度的加快，氣象系統(tǒng)內(nèi)部以及與外界的信息交流量和交流面在逐步擴(kuò)大，這給網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理員提出了更高的要求，特別是與Intermet連接后，網(wǎng)絡(luò)病毒的傳播、黑客的攻擊愈來愈嚴(yán)重，氣象信息的安全性也就受到威脅，因此就目前臺站氣象網(wǎng)絡(luò)安全隱患和防范措施是值得探討和重視的。

2 重視管理臺站氣象網(wǎng)絡(luò)安全

2.1 存在隱患

臺站業(yè)務(wù)人員計(jì)算機(jī)水平的高低參差不齊，且無專職網(wǎng)絡(luò)管理人員，使氣象網(wǎng)絡(luò)的安全潛伏著極大的危機(jī)，主要表現(xiàn)在以下幾個(gè)方面：

① 隨意使用外來U盤、移動(dòng)硬盤、光盤。由于人們認(rèn)識不到位，防范意識差，人人都可以隨意買一些盤放人計(jì)算機(jī)，用來玩游戲等非業(yè)務(wù)使用，無意甚至有意將病毒、黑客程序帶人計(jì)算機(jī)，給計(jì)算機(jī)和網(wǎng)絡(luò)埋下不安全的隱患。

② 隨意使用Intemet網(wǎng)進(jìn)行收、發(fā)信息，電子郵件的普通使用，各種信息來者不拒，有用無用程序都去下載，然后在本單位網(wǎng)內(nèi)不加防范地傳播，造成病毒和黑客程序傳播，一旦網(wǎng)絡(luò)防御被攻破，輕者網(wǎng)絡(luò)癱瘓，重者將造成系統(tǒng)損壞或數(shù)據(jù)丟失的惡果。

③ 人為修改設(shè)置，氣象數(shù)據(jù)庫中的數(shù)據(jù)在不斷更新和增加，部分人員因?yàn)榉N種原因，對正確的設(shè)置加以修改，致使新的數(shù)據(jù)不能及時(shí)填入，而應(yīng)保留的數(shù)據(jù)被清除，在工作當(dāng)中若不能及時(shí)發(fā)現(xiàn)后果是造成氣象資料數(shù)據(jù)庫數(shù)據(jù)不完整，資料不準(zhǔn)確，而運(yùn)用這樣的資料做出的資料結(jié)論，其偏差通常較大，甚至?xí)贸鱿喾吹慕Y(jié)論。

2.2 上機(jī)人員的管理

以上三種現(xiàn)象可能會(huì)時(shí)常發(fā)生，要徹底改變這些間題是一個(gè)長期而重要的工作任務(wù)。就目前來看，從以下三方面著手解決是比較實(shí)際的：第一，提高業(yè)務(wù)人員的素質(zhì)，加強(qiáng)職業(yè)道德教育，提高思想覺悟，正確認(rèn)識氣象網(wǎng)絡(luò)和數(shù)據(jù)安全的熏要意義；第二，加強(qiáng)制度建設(shè)，將氣象計(jì)算機(jī)網(wǎng)絡(luò)管理納人專職管理編制，尤其是臺站氣象網(wǎng)與資料庫，目前正處于管理的薄弱環(huán)節(jié)，隨著氣象自動(dòng)化建設(shè)的發(fā)展，必須設(shè)專職管理人員，管理必須有章可尋，責(zé)任明確，對有意進(jìn)行惡意操作的人和事要嚴(yán)肅處理，有效防止人為破壞；第三，加強(qiáng)計(jì)算機(jī)知識培訓(xùn)，讓業(yè)務(wù)人員不但能使用計(jì)算機(jī)，還會(huì)保護(hù)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、減少無意損壞、杜絕人為破壞。

3 臺站氣象網(wǎng)絡(luò)安全管理體系的建立

隨著臺站大氣監(jiān)測自動(dòng)化系統(tǒng)、生態(tài)環(huán)境監(jiān)側(cè)，Intemet的不斷應(yīng)用、計(jì)算機(jī)網(wǎng)絡(luò)、信息傳輸?shù)陌踩珕栴}也日趨突出，這就要求我們，必須根據(jù)臺站氣象信息網(wǎng)絡(luò)的安金要求，構(gòu)建適用的安全體系，從而有效地保證氣象信息網(wǎng)絡(luò)的安全。

3.1 安全需求分析

“知己知彼，百戰(zhàn)不殆”。只有明確網(wǎng)絡(luò)的安全需求，才能有針對性地構(gòu)建適合的安全體系結(jié)構(gòu)，從而有效地保證網(wǎng)絡(luò)系統(tǒng)的安全。

3.2 安全風(fēng)險(xiǎn)管理

妥全風(fēng)險(xiǎn)管理是對安全需求分析結(jié)果中存在的安全威脅和業(yè)務(wù)安全需求進(jìn)行風(fēng)險(xiǎn)評估，以組織和部門可以接受的投資，實(shí)現(xiàn)最大限度的安全。風(fēng)險(xiǎn)評估為制定組織和部門的安全策略和構(gòu)架安全體系結(jié)構(gòu)提供直接的依據(jù)。

3.3 制定安全策略

根據(jù)組織和部門的安全需求和風(fēng)險(xiǎn)評估的結(jié)論，制定組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)安全策略。

3.4 定期安全審核

安全審核的首要任務(wù)是審核組織的安全策略是否被有效地和正確地執(zhí)行;其次，由于網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的過程，組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)的配置可能經(jīng)常變化，因此組織和部門對安全的需求也會(huì)發(fā)生變化，組織的安全策略需要進(jìn)行相應(yīng)地調(diào)整。為了在發(fā)生變化時(shí)，安全策略和控制措施能夠及時(shí)反映這種變化，必須進(jìn)行定期安全審核。

3.5上下聯(lián)動(dòng)，專業(yè)支持

計(jì)算機(jī)網(wǎng)絡(luò)安全同必要的上下聯(lián)動(dòng)和外部支持是分不開的。通過上下聯(lián)動(dòng)專業(yè)的安全服務(wù)機(jī)構(gòu)的支持，將使網(wǎng)絡(luò)安全體系更加完善，并可以得到更新的安全資訊，為計(jì)算機(jī)網(wǎng)絡(luò)安全提供安全預(yù)警。

第4篇：數(shù)據(jù)安全管理體系范文

關(guān)鍵詞:信息安全;設(shè)施云;云安全;滲透測試

中圖分類號:TP309 文獻(xiàn)標(biāo)識碼:B

1引言

云計(jì)算作為一種新的服務(wù)模式，用戶在享受它帶來的便利性、低成本等優(yōu)越性的同時(shí)，也對其安全性疑慮重重。如何保障云計(jì)算安全成為云計(jì)算系統(tǒng)亟需解決的問題。此外，從近期發(fā)生的與云計(jì)算相關(guān)的一系列安全事件可以看出，傳統(tǒng)的安全威脅在云計(jì)算服務(wù)中同樣存在，而且由于云計(jì)算虛擬化、資源共享、彈性分配等特點(diǎn)，相比傳統(tǒng)的IT系統(tǒng)，又面臨新的安全威脅。遼寧省交通廳云數(shù)據(jù)中心基礎(chǔ)設(shè)施平臺于2015年全面啟動(dòng)建設(shè)。為解決遼寧省交通廳尤其是云數(shù)據(jù)中心面臨的安全問題，遼寧省云環(huán)境下交通信息安全策略研究課題以遼寧省交通行業(yè)重要信息系統(tǒng)為對象，分析其面臨的信息安全問題與挑戰(zhàn)，以提升遼寧省交通行業(yè)現(xiàn)有信息安全水平。本文首先總結(jié)了云安全的新威脅，然后通過分析遼寧交通云安全的風(fēng)險(xiǎn)，明確遼寧交通設(shè)施云安全建設(shè)目標(biāo)，提出遼寧省云環(huán)境下交通信息安全策略的研究重點(diǎn)和相關(guān)內(nèi)容。

2云安全新威脅

2．1虛擬化平臺的安全威脅

如同傳統(tǒng)的IT系統(tǒng)一樣，虛擬化平臺也可能存在大量漏洞或錯(cuò)誤的情況。如果VM上存在漏洞，使得攻擊者完全控制一個(gè)VM后，通過利用各種虛擬化管理平臺安全漏洞，可以進(jìn)一步滲透到虛擬化管理平臺甚至其它VM中。這就是所謂的虛擬機(jī)逃逸。同時(shí)還可能導(dǎo)致數(shù)據(jù)泄漏以及針對其它VM的DoS攻擊。

2．2隱蔽信道攻擊

隱蔽信道(CovertChannel)是指允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的通信信道，通過構(gòu)建隱蔽信道可以實(shí)現(xiàn)從高安全級主體向低安全級別主體的信息傳輸，是導(dǎo)致信息泄露的重要威脅。這種攻擊的源頭可以是來自虛擬化環(huán)境以外的其他實(shí)體，也可以是來自虛擬化系統(tǒng)中其它物理主機(jī)上的VM，還可以是相同物理機(jī)上的其它VM。

2．3側(cè)信道攻擊

側(cè)信道攻擊是一種新型密碼分析方法，其利用硬件的物理屬性(如功耗、電磁輻射、聲音、紅外熱影像等)來發(fā)現(xiàn)CPU利用率、內(nèi)存訪問模式等信息，進(jìn)而達(dá)到獲取加密密鑰，破解密碼系統(tǒng)的目的。這類攻擊實(shí)施起來相當(dāng)困難，需要對主機(jī)進(jìn)行直接的物理訪問。例如通過監(jiān)控?cái)?shù)據(jù)進(jìn)出運(yùn)行著加密算法的硬件系統(tǒng)上的CPU和內(nèi)存所花費(fèi)的時(shí)間，來分析密鑰的長度。再例如，可以對CPU或加密芯片的功耗進(jìn)行觀察分析。芯片上的功耗可以產(chǎn)生熱量，冷卻效應(yīng)可以將熱量移走。芯片上溫度的變化引起機(jī)械伸縮，這些伸縮可以產(chǎn)生音量很低的噪聲。在虛擬化環(huán)境下，通過查看計(jì)算機(jī)的內(nèi)存緩存，攻擊者可以獲得一些關(guān)于什么時(shí)候用戶在同一臺設(shè)備上利用鍵盤訪問啟用SSH終端的計(jì)算機(jī)等基本信息。通過測量鍵盤敲擊時(shí)間間隔，他們最終可以使用和Berkeley他們一樣的技術(shù)來計(jì)算出通過計(jì)算機(jī)輸入了什么。還能估算出當(dāng)計(jì)算機(jī)執(zhí)行例如加載特定網(wǎng)頁等這樣簡單任務(wù)時(shí)候的緩存活動(dòng)。這種方法可以被用于查看有多少因特網(wǎng)用戶正在訪問一臺服務(wù)器，甚至是他們正在查看哪一個(gè)網(wǎng)頁。為了讓他們簡單的攻擊行為奏效，攻擊者不僅能計(jì)算出哪一個(gè)服務(wù)器正在運(yùn)行他們希望攻擊的程序，還能找到一個(gè)在這臺服務(wù)器上找到特定程序的方法。這并不容易做到，因?yàn)閺亩x上來看云計(jì)算會(huì)讓這種信息對用戶是不可見的。

2．4虛擬機(jī)的安全威脅

(1)虛擬機(jī)資源隔離不當(dāng)，出現(xiàn)非授權(quán)訪問。多租戶共享計(jì)算資源帶來的風(fēng)險(xiǎn)，包括一個(gè)租戶的VM資源故障導(dǎo)致另一個(gè)租戶的VM不可用，或一個(gè)租戶非授權(quán)訪問其他租戶的VM。(2)虛擬機(jī)鏡像文件或自身管理防護(hù)措施不足，引發(fā)安全問題。(3)虛擬機(jī)訪問控制不嚴(yán)格或不完善，對虛擬機(jī)賬號、密碼或認(rèn)證方式控制不足，導(dǎo)致非授權(quán)訪問。(4)虛擬機(jī)之間的通信安全防護(hù)不足，導(dǎo)致出現(xiàn)攻擊、嗅探。(5)VM之間的攻擊和嗅探。VM之間進(jìn)行嗅探或竊聽，監(jiān)視虛擬機(jī)網(wǎng)絡(luò)上數(shù)據(jù)(例如明文密碼或者配置信息)傳輸信息的行為。利用簡單的數(shù)據(jù)包探測器，攻擊者可以很輕松地讀取VM網(wǎng)絡(luò)上所有的明文傳輸信息。虛擬機(jī)遷移時(shí)安全策略不足，引發(fā)安全問題。(6)虛擬機(jī)遷移過程。虛擬機(jī)遷移過程中出現(xiàn)安全策略、安全參數(shù)的改變，導(dǎo)致錯(cuò)誤授權(quán)、計(jì)費(fèi)錯(cuò)誤等問題;攻擊者利用虛擬機(jī)遷移過程中的漏洞對虛擬機(jī)形成攻擊。(7)特權(quán)(超級)虛擬機(jī)存在安全隱患，造成對其他VM的非法攻擊或篡改。

2．5API安全

云計(jì)算系統(tǒng)通過開放應(yīng)用程序接口來對外提供各種云計(jì)算服務(wù)。因此，開放應(yīng)用程序接口的訪問控制、操作權(quán)限管理以及惡意代碼審查等在整個(gè)云計(jì)算系統(tǒng)中就顯得非常重要。一旦應(yīng)用程序接口的訪問控制或權(quán)限管理不當(dāng)，將會(huì)對云計(jì)算系統(tǒng)造成非法訪問，導(dǎo)致不必要的數(shù)據(jù)泄露。具體包括虛擬機(jī)與云管理平臺之間API的通信安全。

2．6數(shù)據(jù)安全

(1)數(shù)據(jù)隔離在云計(jì)算系統(tǒng)中，當(dāng)一個(gè)文件存儲到云計(jì)算系統(tǒng)中時(shí)，它可能會(huì)被分割成若干個(gè)碎片并存儲在不同的存儲空間上。而且來自不同租戶的重要數(shù)據(jù)和文件可能會(huì)被存儲，因此數(shù)據(jù)隔離和數(shù)據(jù)保護(hù)在云計(jì)算系統(tǒng)中非常重要。數(shù)據(jù)隔離不當(dāng)，就會(huì)造成其他租戶非法訪問別的租戶的數(shù)據(jù)，從而造成數(shù)據(jù)泄露。(2)數(shù)據(jù)泄露、隱私保護(hù)云計(jì)算系統(tǒng)的防數(shù)據(jù)泄露和隱私保護(hù)，一方面需要防止來自云平臺中其他租戶對數(shù)據(jù)的竊取，另一方面還需要防止來自云平臺內(nèi)部，如系統(tǒng)管理員對用戶數(shù)據(jù)的泄漏。在傳統(tǒng)體系中，信息是存儲在單位內(nèi)部的服務(wù)器或者個(gè)人電腦、設(shè)備上的，能夠保證較好的數(shù)據(jù)隱私性。然而，在云計(jì)算中數(shù)據(jù)是存儲在云端服務(wù)器上的，因此用戶喪失了對隱私數(shù)據(jù)的物理保護(hù)能力。同時(shí)，用戶需要通過互聯(lián)網(wǎng)傳輸數(shù)據(jù)，更加增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。除此之外，數(shù)據(jù)的完整性也是用戶數(shù)據(jù)安全的重要需求。如何保障用戶數(shù)據(jù)不損毀、不受未授權(quán)修改，以及所有合法的用戶操作被準(zhǔn)確執(zhí)行是云安全的重要議題。最后，云平臺還需要保證用戶數(shù)據(jù)的一致性，即多個(gè)用戶所看到的保存在云端的同一份數(shù)據(jù)是完全相同的。攻擊者可以通過數(shù)據(jù)的不一致性訪問未授權(quán)的數(shù)據(jù)，或者實(shí)施進(jìn)一步的攻擊。(3)刪除后剩余數(shù)據(jù)的非法恢復(fù)用戶數(shù)據(jù)被刪除后變成了剩余數(shù)據(jù)，存放這些剩余數(shù)據(jù)的空間可以被釋放給其他租戶使用，這些數(shù)據(jù)如果沒有經(jīng)過特殊處理，其他租戶或惡意運(yùn)維人員可能獲取到原來租戶的私密信息。

2．7云計(jì)算資源的濫用

豐富的云計(jì)算資源極其強(qiáng)大的處理能力，在向用戶提供正常服務(wù)的同時(shí)，也有可能成為攻擊者通過惡意使用或?yàn)E用并發(fā)起網(wǎng)絡(luò)攻擊的有效工具。一些惡意用戶通過利用云計(jì)算服務(wù)的這些特性，更加方便地實(shí)施各種破壞活動(dòng)。密碼破解者、DoS攻擊者、垃圾郵件發(fā)送者、惡意代碼制作者以及其它惡意攻擊者都可以使用云計(jì)算環(huán)境提供的豐富資源開展攻擊，從而進(jìn)一步擴(kuò)大攻擊面及其影響力。

2．8惡意的內(nèi)部運(yùn)維人員

與傳統(tǒng)計(jì)算模式相比，云計(jì)算環(huán)境下用戶所有數(shù)據(jù)全部在云端。云服務(wù)商內(nèi)部的運(yùn)維人員能夠接觸到越來越多的云租戶的數(shù)據(jù)，這種訪問范圍的擴(kuò)大，以及缺乏有效的監(jiān)督和管理，增加了惡意的“內(nèi)部運(yùn)維人員”濫用數(shù)據(jù)和服務(wù)、甚至實(shí)施犯罪的可能性，也使得惡意內(nèi)部運(yùn)維人員的安全威脅變得更為嚴(yán)重。

3遼寧省交通設(shè)施云安全建設(shè)目標(biāo)

3．1遼寧省交通“云”數(shù)據(jù)中心建設(shè)目標(biāo)

在遼寧省交通廳的《遼寧省公路水路信息化發(fā)展指導(dǎo)意見》的發(fā)展總目標(biāo)中，特別指出:“建立具備大數(shù)據(jù)處理能力的省級交通“云”數(shù)據(jù)中心，實(shí)現(xiàn)交通信息資源共享和業(yè)務(wù)協(xié)同”。在建設(shè)任務(wù)中，明確了“信息化支撐體系建設(shè)”的內(nèi)容，其中“信息化基礎(chǔ)設(shè)施建設(shè)”中提到:『完成基于“云”架構(gòu)的近遠(yuǎn)期規(guī)劃，先期完成對服務(wù)器、存儲、網(wǎng)絡(luò)等硬件資源的整合，實(shí)現(xiàn)負(fù)載均衡、資源動(dòng)態(tài)分配，提高整體工作效率，降低建設(shè)、使用及維護(hù)成本。依據(jù)《遼寧省公路水路信息化發(fā)展指導(dǎo)意見》的指導(dǎo)內(nèi)容，根據(jù)遼寧省交通運(yùn)輸行業(yè)信息化發(fā)展現(xiàn)狀，考慮行業(yè)未來幾年的業(yè)務(wù)發(fā)展需要，緊隨國際上先進(jìn)的、成熟的云計(jì)算、大數(shù)據(jù)等技術(shù)，規(guī)劃遼寧省交通云基礎(chǔ)設(shè)施平臺，充分滿足省廳及各直屬單位三到五年的基礎(chǔ)設(shè)施需要，并為未來建設(shè)“云”數(shù)據(jù)中心做好準(zhǔn)備，秉承“理念先進(jìn)、結(jié)合實(shí)際、投資節(jié)省、適度超前”的思想，為全省信息化提供完備的基礎(chǔ)設(shè)施支撐。

3．2遼寧省交通設(shè)施云安全風(fēng)險(xiǎn)分析

遼寧省交通“云”數(shù)據(jù)中心的建設(shè)目標(biāo)是滿足省廳及各直屬單位三到五年的基礎(chǔ)設(shè)施需要。其特點(diǎn)包括:遼寧省交通“云”數(shù)據(jù)中心目前只涉及設(shè)施云，沒有架構(gòu)云和服務(wù)云，結(jié)構(gòu)相對簡單;只考慮省廳及各直屬單位三到五年使用，規(guī)模有限;只在行業(yè)內(nèi)部使用，信息安全管理有保障;此外，由于系統(tǒng)采用國際上比較成熟的云管理產(chǎn)品，云產(chǎn)品自身安全風(fēng)險(xiǎn)較低，而且對于發(fā)現(xiàn)產(chǎn)品的漏洞廠商也可負(fù)責(zé)解決。遼寧省交通設(shè)施云安全管理目前最大的風(fēng)險(xiǎn)是由于遼寧省交通“云”數(shù)據(jù)中心建成并使用后造成的風(fēng)險(xiǎn)集中，而現(xiàn)有的省廳及各直屬單位是按照信息安全等級保護(hù)二級進(jìn)行管理的。為解決這個(gè)問題，首先要解決云安全的技術(shù)要求。由于目前國內(nèi)沒有可以參考的技術(shù)要求，因此要首先編制云安全的技術(shù)要求標(biāo)準(zhǔn)。其次，由于云安全的技術(shù)要求標(biāo)準(zhǔn)是個(gè)新要求，與等級保護(hù)常規(guī)檢查依據(jù)不匹配，因此要有配套的信息安全滲透測試檢查標(biāo)準(zhǔn)。此外，還應(yīng)把交通廳信息安全管理體系達(dá)到信息安全三級的要求，應(yīng)補(bǔ)充滿足相應(yīng)級別要求的信息安全管理體系。最后，為保證信息安全管理的落地，應(yīng)有配套的管理軟件。

3．3遼寧省交通設(shè)施云安全建設(shè)目標(biāo)

依據(jù)《遼寧省公路水路信息化發(fā)展指導(dǎo)意見》的指導(dǎo)內(nèi)容，根據(jù)遼寧省交通“云”數(shù)據(jù)中心發(fā)展規(guī)劃，建設(shè)設(shè)施云安全技術(shù)標(biāo)準(zhǔn)、滲透測試檢查標(biāo)準(zhǔn)、廳信息系統(tǒng)安全管理體系和云安全策略管理軟件，關(guān)注省廳及各直屬單位三到五年的“云”數(shù)據(jù)中心需要，并為建設(shè)和管理“云”數(shù)據(jù)中心做好信息安全策略指導(dǎo)，為交通“云”數(shù)據(jù)中心安全管理及廳信息安全管理水平提升提供重要的技術(shù)支撐。

4遼寧省云環(huán)境下交通信息安全策略研究重點(diǎn)內(nèi)容

遼寧省云環(huán)境下交通信息安全策略研究的重點(diǎn)包括設(shè)施云安全技術(shù)標(biāo)準(zhǔn)、滲透測試檢查標(biāo)準(zhǔn)、廳信息系統(tǒng)安全管理體系和云安全策略管理軟件。

4．1設(shè)施云安全技術(shù)標(biāo)準(zhǔn)

設(shè)施云安全技術(shù)要求標(biāo)準(zhǔn)的編制目的是為指導(dǎo)和規(guī)范針對云環(huán)境下交通行業(yè)相關(guān)信息安全管理，介紹了云環(huán)境下遼寧省交通信息安全的基本內(nèi)容和基本要求，針對交通行業(yè)設(shè)施云及相關(guān)信息系統(tǒng)提出了設(shè)施云管理框架、安全的技術(shù)要求和管理要求。

4．2滲透測試檢查標(biāo)準(zhǔn)滲透測試檢查標(biāo)準(zhǔn)的編制目的是為指導(dǎo)和規(guī)范

針對遼寧省交通行業(yè)信息系統(tǒng)的滲透測試檢查工作，明確了滲透測試檢查的基本概念、原則、實(shí)施流程、在各階段的工作內(nèi)容和基本要求。

4．3遼寧省交通廳信息系統(tǒng)安全管理體系

遼寧省交通廳信息系統(tǒng)安全管理體系的編制目的是遼寧省交通廳信息安全管理體系達(dá)到信息安全等級保護(hù)三級水平及云環(huán)境信息安全管理的要求，建設(shè)包括覆蓋信息安全管理體系方針、組織機(jī)構(gòu)和崗位職責(zé)規(guī)定、信息安全管理、計(jì)算機(jī)機(jī)房管理、計(jì)算機(jī)設(shè)備管理、計(jì)算機(jī)網(wǎng)絡(luò)管理、介質(zhì)安全管理、人員信息安全管理、軟件系統(tǒng)開發(fā)安全管控、數(shù)據(jù)備份和恢復(fù)管理、第三方信息安全管理、信息安全檢查管理、信息安全審計(jì)管理、信息安全審批管理、信息系統(tǒng)建設(shè)、信息系統(tǒng)日志管理、信息安全事件管理、變更管理、賬號與密碼管理、防病毒管理、信息資產(chǎn)安全管理、信息資產(chǎn)分類管理和信息系統(tǒng)應(yīng)急預(yù)案等多項(xiàng)管理制度。

4．4云安全策略管理軟件

云安全策略管理軟件設(shè)計(jì)的目的是保障上述研究成果在遼寧省交通行業(yè)快速推廣以及相關(guān)信息安全管理要求落地。其主要內(nèi)容是利用計(jì)算機(jī)軟件開發(fā)技術(shù)，開發(fā)B/S軟件，實(shí)現(xiàn)信息安全知識共享，并依據(jù)上述技術(shù)標(biāo)準(zhǔn)和管理制度實(shí)現(xiàn)過程控制和信息管理。

5結(jié)論

第5篇：數(shù)據(jù)安全管理體系范文

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；安全管理；EAD

中圖分類號：TP393.08

1 安全管理體系結(jié)構(gòu)及功能

1.1 安全管理體系結(jié)構(gòu)

網(wǎng)絡(luò)安全是企業(yè)安全有效運(yùn)行的保障，安全管理體系主要包括安全策略、安全運(yùn)作、安全管理等。安全策略管理是企業(yè)網(wǎng)絡(luò)安全運(yùn)行的體系基礎(chǔ)，有利于項(xiàng)目建設(shè)規(guī)范化管理和運(yùn)行和安全工作的開展。安全基礎(chǔ)設(shè)施系統(tǒng)主要有訪問控制、桌面管理、認(rèn)證管理、防垃圾系統(tǒng)、服務(wù)器監(jiān)控與日志統(tǒng)一管理系統(tǒng)、漏洞掃描系統(tǒng)、服務(wù)器加固系統(tǒng)等。萊鋼計(jì)算機(jī)網(wǎng)絡(luò)整體架構(gòu)圖如圖1所示。

1.2 安全管理系統(tǒng)功能

安全管理系統(tǒng)的功能將所管轄的IP計(jì)算機(jī)信息根據(jù)分類登記，有利于其他安全管理模塊進(jìn)行數(shù)據(jù)連接和信息共享，并配備服務(wù)器和交換機(jī)加固工具，及時(shí)掌握網(wǎng)絡(luò)中各個(gè)系統(tǒng)的最新安全風(fēng)險(xiǎn)動(dòng)態(tài)，并及時(shí)的對服務(wù)器文件、進(jìn)程、注冊表等進(jìn)行保護(hù)。安全監(jiān)控系統(tǒng)是監(jiān)控全網(wǎng)事件報(bào)警信息，對當(dāng)前事件進(jìn)行安全監(jiān)督和實(shí)時(shí)監(jiān)控，有利于企業(yè)網(wǎng)絡(luò)安全運(yùn)行和業(yè)務(wù)系統(tǒng)的安全性，監(jiān)控的產(chǎn)品主要包括網(wǎng)絡(luò)中的設(shè)備、日志相關(guān)信息、相關(guān)事件的報(bào)警信息等。

2 網(wǎng)絡(luò)系統(tǒng)安全體系的設(shè)計(jì)與實(shí)施

2.1 身份認(rèn)證系統(tǒng)設(shè)計(jì)分析

網(wǎng)絡(luò)安全運(yùn)維管理中心設(shè)置在信息中心，擔(dān)負(fù)全網(wǎng)桌面安全管理，通過制定相關(guān)策略、委派安全角色，對全網(wǎng)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析和安全管理，并通過一系列的安全運(yùn)行策略建立安全身份認(rèn)證體系。萊鋼統(tǒng)一身份認(rèn)證系統(tǒng)架構(gòu)圖如圖2所示。

RSA SeucrID由認(rèn)證服務(wù)器RSA ACE/Server、軟件RSA ACE/Agent、認(rèn)證設(shè)備以及認(rèn)證應(yīng)用編程接口（API）組成。RSA ACE/Server軟件是網(wǎng)絡(luò)中的認(rèn)證引擎，由安全管理員或網(wǎng)絡(luò)管理員進(jìn)行維護(hù)。

2.2 計(jì)算機(jī)資產(chǎn)安全管理系統(tǒng)

計(jì)算機(jī)資產(chǎn)安全管理為萊鋼的高層管理人員提供全網(wǎng)資源的多維度分析報(bào)表。信息中心成為萊鋼的IT系統(tǒng)的“安全策略中心”、“安全管理中心”、“數(shù)據(jù)匯聚中心”和“報(bào)表總中心”。下設(shè)一級管理中心，分布在各分部，由總中心授權(quán)負(fù)責(zé)對分部人員權(quán)限管理和桌面系統(tǒng)管理，并具體實(shí)現(xiàn)對各終端桌面目錄、桌面管理、軟件分發(fā)、系統(tǒng)自動(dòng)升級管理、信息安全和管理監(jiān)控功能。軟件分發(fā)工具大大提高了萊鋼桌面計(jì)算機(jī)管理的自動(dòng)化程度，提高管理效率。自動(dòng)化的工作流程還可以避免人工操作帶來的風(fēng)險(xiǎn)，使萊鋼的桌面計(jì)算機(jī)上的資產(chǎn)得到更好的保護(hù)。通過軟件分發(fā)機(jī)制，從桌面計(jì)算機(jī)標(biāo)準(zhǔn)化支撐平臺將軟件分發(fā)到指定的桌面計(jì)算機(jī)和支撐平臺內(nèi)部指定的服務(wù)器，消除對桌面計(jì)算機(jī)和服務(wù)器的訪問等人為因素導(dǎo)致的錯(cuò)誤。及時(shí)安裝操作系統(tǒng)更新補(bǔ)丁，避免成為黑客和病毒的攻擊對象。及時(shí)安裝應(yīng)用程序的補(bǔ)丁，減少安全隱患，增加應(yīng)用程序穩(wěn)定性和功能。對服務(wù)器系統(tǒng)的補(bǔ)丁需要經(jīng)過評估對現(xiàn)有系統(tǒng)的影響，避免出現(xiàn)業(yè)務(wù)系統(tǒng)故障。服務(wù)器系統(tǒng)的補(bǔ)丁需要利用自動(dòng)檢測技術(shù)，通過人工的評估，再實(shí)現(xiàn)自動(dòng)分發(fā)和手工安裝。

2.3 EAD端點(diǎn)準(zhǔn)入防御體系

EAD安全準(zhǔn)入主要是通過身份認(rèn)證和安全策略檢查的方式，對未通過身份認(rèn)證或不符合安全策略的用戶終端進(jìn)行網(wǎng)絡(luò)隔離，并幫助終端進(jìn)行安全修復(fù)，以達(dá)到防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來安全威脅的目的。

2.4 網(wǎng)絡(luò)安全模型的設(shè)計(jì)

從網(wǎng)絡(luò)安全、應(yīng)用安全、管理安全的角度出發(fā)，設(shè)計(jì)歸納萊鋼網(wǎng)絡(luò)系統(tǒng)安全模型，主要包括：（1）網(wǎng)絡(luò)架構(gòu)防護(hù)：采用網(wǎng)絡(luò)邊界防毒、統(tǒng)一身份認(rèn)證技術(shù)和針對于網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)服務(wù)器的漏洞掃描技術(shù)；（2）應(yīng)用系統(tǒng)風(fēng)險(xiǎn)防護(hù)：采用的主要技術(shù)包括防病毒技術(shù)、服務(wù)器系統(tǒng)加固技術(shù)、計(jì)算機(jī)資產(chǎn)安全管理技術(shù)、補(bǔ)丁管理技術(shù)、主頁防篡改技術(shù)、防垃圾郵件技術(shù)、災(zāi)難備份恢復(fù)技術(shù)及統(tǒng)一日志管理技術(shù)；（3）安全管理體系建立：通過對安全策略進(jìn)行有效的和貫徹執(zhí)行，可以規(guī)范項(xiàng)目建設(shè)、運(yùn)行維護(hù)相關(guān)的安全內(nèi)容，指導(dǎo)各種安全工作的開展和流程，確保IP網(wǎng)的安全；（4）集中管理、整合監(jiān)控：對計(jì)算機(jī)系統(tǒng)進(jìn)行綜合集中管理，對日常的系統(tǒng)、網(wǎng)絡(luò)、資產(chǎn)以及安全等日常運(yùn)行能夠擁有較為統(tǒng)一的管理入口，對系統(tǒng)網(wǎng)絡(luò)可用性、資產(chǎn)有效性、安全防范諸多管理功能的組件進(jìn)行事件級的整合、分析和響應(yīng)。

3 結(jié)束語

互聯(lián)網(wǎng)已經(jīng)深度滲透到各個(gè)領(lǐng)域，成為事關(guān)國家安全的基礎(chǔ)設(shè)施和斗爭，網(wǎng)絡(luò)安全是保證各種應(yīng)用系統(tǒng)數(shù)據(jù)安全的重要基礎(chǔ)，必須加強(qiáng)和采取有效的預(yù)防措施，掌握網(wǎng)絡(luò)資源狀況及實(shí)用信息，可提高網(wǎng)絡(luò)管理的效率。

參考文獻(xiàn)：

[1]溫貴江.基于數(shù)據(jù)包過濾技術(shù)的個(gè)人防火墻系統(tǒng)設(shè)計(jì)與研究[D].吉林大學(xué)，2010.

[2]衷奇.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及應(yīng)對策略研究[D].南昌大學(xué)，2010.

第6篇：數(shù)據(jù)安全管理體系范文

關(guān)鍵詞：城市軌道交通 票務(wù)系統(tǒng) 安全管理

中圖分類號：P135 文獻(xiàn)標(biāo)識碼：A 文章編號：

城市軌道交通票務(wù)系統(tǒng)是集自動(dòng)售檢票系統(tǒng)，車票生產(chǎn)、配送、回收，地鐵收益核算系統(tǒng)等為一體的綜合系統(tǒng)，是地鐵公司直接面向乘客的窗口。它不但管理著地鐵運(yùn)營的經(jīng)濟(jì)命脈———票務(wù)收入,而且管理著地鐵各車站完整的動(dòng)態(tài)客流信息,為地鐵的運(yùn)營、管理和決策提供了大量科學(xué)數(shù)據(jù),是整個(gè)運(yùn)營體系的核心組成部分。因此,建立完善的票務(wù)系統(tǒng)安全管理體系,對確保城市軌道交通安全穩(wěn)定運(yùn)行是非常有必要的。

西安地鐵從2011年開通運(yùn)營以來，票務(wù)系統(tǒng)運(yùn)作有了顯著提高，尤其在票務(wù)系統(tǒng)安全管理方面積累了寶貴的經(jīng)驗(yàn)。

票務(wù)系統(tǒng)安全體系

票務(wù)系統(tǒng)安全體系按照模塊劃分，可分工AFC設(shè)備安全管理、收益核對安全管理、票卡運(yùn)作安全管理和票務(wù)信息安全管理幾部分。各部分可獨(dú)立成為一個(gè)體系進(jìn)行管理，而各部分之間又緊密聯(lián)系，相互影響和支持。

票務(wù)系統(tǒng)安全體系從管理上可分為機(jī)構(gòu)和文件管理、現(xiàn)場管理、應(yīng)急管理、風(fēng)險(xiǎn)控制管理和針對性管理五個(gè)方面。在這五方面中，機(jī)構(gòu)和文件是票務(wù)系統(tǒng)安全體系的根本，風(fēng)險(xiǎn)控制管理是票務(wù)系統(tǒng)安全體系的目的，現(xiàn)場管理、應(yīng)急管理、針對性管理為票務(wù)系統(tǒng)安全體系的關(guān)鍵手段和措施。只有體系中五個(gè)方面都進(jìn)行嚴(yán)格管理和把控，定期進(jìn)行票務(wù)系統(tǒng)風(fēng)險(xiǎn)控制評估，發(fā)現(xiàn)薄弱環(huán)節(jié)進(jìn)行信息反饋和整改，完成閉環(huán)管理，才能確保票務(wù)系統(tǒng)安全平穩(wěn)。

AFC設(shè)備安全管理

按照AFC系統(tǒng)的邏輯功能劃分，西安地鐵AFC系統(tǒng)可劃分為四個(gè)邏輯層次。分別為清分系統(tǒng)層、中央計(jì)算機(jī)系統(tǒng)層、車站計(jì)算機(jī)系統(tǒng)層、車站售檢票設(shè)備層。AFC系統(tǒng)采用的這種四層架構(gòu)，具有高可靠性、獨(dú)立運(yùn)行和管理的能力、不同層次以及整體系統(tǒng)的擴(kuò)展能力，降低了AFC系統(tǒng)運(yùn)營的風(fēng)險(xiǎn)。

除了進(jìn)行分層安全管理外，AFC系統(tǒng)重點(diǎn)針對終端設(shè)備進(jìn)行預(yù)防性維護(hù)。西安地鐵目前根據(jù)不同的設(shè)備類型和實(shí)際客流情況，將預(yù)防性維護(hù)分為計(jì)劃維護(hù)和專項(xiàng)維護(hù)，計(jì)劃性維護(hù)是指設(shè)備定期的維護(hù)，分為雙周檢、月檢、季檢、年檢四個(gè)等級；專項(xiàng)維護(hù)是根據(jù)設(shè)備在某一階段的情況制定臨時(shí)的預(yù)防或補(bǔ)救維護(hù)。所有預(yù)防性維護(hù)的目的都是為了確保設(shè)備穩(wěn)定的運(yùn)行，避免大規(guī)模的自動(dòng)售檢票設(shè)備故障。

日常巡檢是AFC設(shè)備安全的又一關(guān)鍵環(huán)節(jié)，對不同層次的AFC設(shè)備有不同的巡檢時(shí)間和巡檢標(biāo)準(zhǔn)。西安地鐵AFC設(shè)備巡檢時(shí)間為一日兩次，清分系統(tǒng)層和中央計(jì)算機(jī)系統(tǒng)層設(shè)備每日上午和夜間各一次，車站計(jì)算機(jī)系統(tǒng)層、車站售檢票設(shè)備層每日上午和下午各一次。有效的日常巡檢能第一時(shí)間發(fā)現(xiàn)設(shè)備存在問題，對設(shè)備重點(diǎn)安全點(diǎn)和安全隱患的及時(shí)排查確保了乘客的安全使用和票務(wù)數(shù)據(jù)的有效存儲和傳輸。

收益核對安全管理

收益核對安全管理應(yīng)從兩方面入手，分別是現(xiàn)金收益安全和報(bào)表核對安全。

（1）現(xiàn)金收益安全

操作員在TVM更換錢箱、補(bǔ)充車票時(shí),必須嚴(yán)格按照程序進(jìn)行, TVM、SC和CC將分別生成相應(yīng)的審核報(bào)告。在TVM和閘機(jī)所使用的錢箱和票箱都應(yīng)安裝唯一的電子標(biāo)識。錢箱還應(yīng)配備電子儲存模塊來記錄錢箱的使用記錄,如累計(jì)進(jìn)入該錢箱的現(xiàn)金金額、最后一次裝入設(shè)備和從設(shè)備取出的時(shí)間、最后一次取出時(shí)的該錢箱內(nèi)的現(xiàn)金金額、最后一次取出時(shí)的操作人員號碼等內(nèi)容。以上記錄可以通過專用的工具讀取。設(shè)備內(nèi)部結(jié)構(gòu)緊密、合理,操作人員不能直接接觸到TVM錢箱內(nèi)的現(xiàn)金和車票。在車站AFC票務(wù)管理室配備視頻監(jiān)視系統(tǒng)、密碼開門的門禁系統(tǒng)及火災(zāi)自動(dòng)報(bào)警系統(tǒng)設(shè)備。所有的交易信息都必須及時(shí)上傳到CC。

（2）報(bào)表核對安全

票務(wù)專職報(bào)表核對人員對每日TVM各單據(jù)，操作人員更換錢箱、補(bǔ)幣，售補(bǔ)票等操作臺賬進(jìn)行核對。在初次核對結(jié)束后還要由另外票務(wù)專職報(bào)表核對人員進(jìn)行二次核對確認(rèn)，確保核對的準(zhǔn)確性。車站報(bào)表統(tǒng)計(jì)收入還要和CC系統(tǒng)生成報(bào)表進(jìn)行核對，出現(xiàn)不一致的情況由專業(yè)技術(shù)人員對可能出現(xiàn)的收益安全問題進(jìn)行協(xié)查。從西安地鐵的經(jīng)驗(yàn)來看，大部分的不一致都是由于數(shù)據(jù)傳輸延遲所致。

因此，收益核對安全與AFC設(shè)備性能和人員操作有著緊密的聯(lián)系，控制人員規(guī)范操作，提高設(shè)備穩(wěn)定性是提高收益核對安全的關(guān)鍵所在。

票卡運(yùn)作安全管理

票卡運(yùn)作主要分為票卡生產(chǎn)和票卡使用安全。

（1）票卡生產(chǎn)安全

票卡的生產(chǎn)、存儲場所是地鐵安保系統(tǒng)中的重點(diǎn)監(jiān)控區(qū)。西安地鐵票卡生產(chǎn)室和票庫都設(shè)有專用門禁，進(jìn)入人員要嚴(yán)格審批、登記后能進(jìn)入。票卡生產(chǎn)過程必須嚴(yán)格按照程序進(jìn)行，生產(chǎn)設(shè)備的管理員密碼由關(guān)鍵人員保存。各級人員都有不同等級的車票生產(chǎn)權(quán)限，杜絕人員非法操作和誤操作。票卡清點(diǎn)、配送、回收、盤點(diǎn)等工作都嚴(yán)格實(shí)行雙人操作，一人操作一人復(fù)核，并要求完成詳細(xì)的臺賬記錄，保證車票數(shù)量準(zhǔn)確，防止地鐵資產(chǎn)流失。

（2）票卡使用安全

SAM卡實(shí)行嚴(yán)格的認(rèn)證車站級設(shè)備開機(jī)時(shí),將報(bào)告設(shè)備的SAM卡號,然后由SC應(yīng)用程序?qū)ζ溥M(jìn)行認(rèn)證,如出錯(cuò),監(jiān)控程序?qū)⒔o予報(bào)警,由操作人員進(jìn)行確認(rèn)。車站級設(shè)備在開機(jī)或SAM卡斷電時(shí),需要重新與SC的認(rèn)證系統(tǒng)在線進(jìn)行SAM卡認(rèn)證,成功后才能進(jìn)入正常工作模式。

當(dāng)老人票、學(xué)生票等部分優(yōu)惠票種使用時(shí),自動(dòng)檢票機(jī)會(huì)發(fā)出聲光報(bào)警,提醒站務(wù)人員進(jìn)行監(jiān)督;對于超程或無效的票卡,需在票務(wù)中心處理后才能使用。對票卡實(shí)施黑名單制度。將乘客掛失的票卡,被冒用的學(xué)生票、老人票、員工票或其他優(yōu)惠票種列入黑名單,禁止其繼續(xù)使用。設(shè)立票務(wù)稽查，對非法使用票卡的情況進(jìn)行查處。

票務(wù)信息安全管理

西安地鐵票務(wù)信息安全管理從信息安全管理制度、網(wǎng)絡(luò)設(shè)備防護(hù)、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)運(yùn)維管理等方面入手，建立了完整的票務(wù)信息安全管理體系。

為防止票務(wù)信息安全事故，票務(wù)信息安全管理體系對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；提供本地?cái)?shù)據(jù)庫備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放等安全限制；對網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；明確規(guī)定防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等；建立密碼使用管理制度等信息安全防護(hù)措施。同時(shí)制定票務(wù)信息安全方面的管理制度，說明票務(wù)信息安全工作的總體方針和安全策略，明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等，保證票務(wù)信息的安全。

結(jié)語

各個(gè)城市軌道交通票務(wù)安全系統(tǒng)都在各自軌道交通體系中占有舉足輕重的地位，西安地鐵票務(wù)安全體系的建立經(jīng)過了三年的摸索和實(shí)踐，已逐步完善并保證了票務(wù)系統(tǒng)安全平穩(wěn)的運(yùn)行。隨著員工業(yè)務(wù)能力的提升和設(shè)備技術(shù)改造的逐步開展，西安地鐵票務(wù)安全管理將向著信息化邁進(jìn)，屆時(shí)將呈現(xiàn)出高效、安全的票務(wù)系統(tǒng)，將為市民提供更加方便、快捷的出行體驗(yàn)。

參考文獻(xiàn)：

[1] 駱海瑛 丁耿.對自動(dòng)售檢票系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估的探討[ J ].城市軌道交通研究, 2008, 8: 9 12.

第7篇：數(shù)據(jù)安全管理體系范文

關(guān)鍵詞：企業(yè)；信息；安全管理

中圖分類號：U283.4 文獻(xiàn)標(biāo)識碼:A

企業(yè)信息安全管理是運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的薄弱點(diǎn)，提出有針對性的抵御威脅的防護(hù)對策和控制措施，這是企業(yè)推進(jìn)信息化進(jìn)程和促進(jìn)生產(chǎn)經(jīng)營管理的重要內(nèi)容，是保障企業(yè)信息系統(tǒng)正常運(yùn)行、高效應(yīng)用和健康發(fā)展的前提條件。

1我國企業(yè)信息安全管理存在的問題

1.1缺少企業(yè)信息安全的法規(guī)和規(guī)范。企業(yè)信息安全是一個(gè)比較新的領(lǐng)域，目前還缺少比較完善的法規(guī)，即便現(xiàn)有的法規(guī)，由于相關(guān)安全技術(shù)和手段還沒有成熟和標(biāo)準(zhǔn)化，法規(guī)也不能很好地被執(zhí)行，安全標(biāo)準(zhǔn)和規(guī)范的缺少，導(dǎo)致無從制定合理的安全策略并確保此策略能被有效執(zhí)行。

1.2存在物理安全風(fēng)險(xiǎn)。物理安全是指各種服務(wù)器、路由器、交換機(jī)、工作站等硬件設(shè)備和通信鏈路的安全。風(fēng)險(xiǎn)的來源有：水災(zāi)、火災(zāi)、雷擊等自然災(zāi)害，人為的破壞或誤操作外界的電磁干擾，設(shè)備固有的弱點(diǎn)或缺陷等。物理安全的威脅可以直接造成設(shè)備的損壞、系統(tǒng)和網(wǎng)絡(luò)的不可用、數(shù)據(jù)的直接損壞或丟失等。

1.3信息外泄現(xiàn)象時(shí)有發(fā)生。進(jìn)入信息化時(shí)代后，企業(yè)的諸多資料都由原先的紙介質(zhì)變成了電子文檔。電子文檔的特點(diǎn)就是復(fù)制十分容易，許多跳槽的員工和競爭對手都會(huì)將這些資料通過各種手段帶離企業(yè)。而且，在企業(yè)信息管理系統(tǒng)中，大量購、銷、存等業(yè)務(wù)、財(cái)務(wù)數(shù)據(jù)、文檔及客戶資料，以存儲介質(zhì)形式存在于計(jì)算機(jī)中，由于電磁輻射或數(shù)據(jù)可訪問性等弱點(diǎn)，受到人為和非人為因素的破壞。數(shù)據(jù)一旦遭到破壞，將會(huì)嚴(yán)重影響企業(yè)日常業(yè)務(wù)的正常運(yùn)作。因此，保證數(shù)據(jù)的安全，就是保證企業(yè)的安全。

1.4缺少安全管理制度和責(zé)任性。目前企業(yè)的安全解決方案，基本上只是一個(gè)安全產(chǎn)品方案，這使人們誤以為企業(yè)的信息安全只是信息技術(shù)部門的工作和責(zé)任，與其他人員不直接相關(guān)．但是一個(gè)企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的，因?yàn)樗麄儾攀瞧髽I(yè)信息系統(tǒng)的提供者和使用者，他們是影響信息安全系統(tǒng)能否達(dá)到預(yù)期要求的決定因素．

2加強(qiáng)我國企業(yè)信息安全管理的幾點(diǎn)建議

2.1全面提高職工的信息安全知識素質(zhì)，加強(qiáng)安全文化建設(shè)，提升防患水平，防微杜漸。對于信息安全工作的開展，不是系統(tǒng)管理部門的事，也不是系統(tǒng)使用部門的事，而是全體員工的事，必須要提高全體員工的信息安全意識。通過培訓(xùn)和考核等措施，提高員工對公司信息安全的認(rèn)識，讓信息安全成為業(yè)務(wù)開展的一部分，才能有效提高公司整體信息安全水平，也是信息安全工作得到有效的支持和推進(jìn)。在此基礎(chǔ)上，要建立適應(yīng)21世紀(jì)知識經(jīng)濟(jì)時(shí)代的企業(yè)信息安全文化，只有加強(qiáng)安全文化建設(shè)，才能適應(yīng)知識經(jīng)濟(jì)時(shí)代的發(fā)展。

2.2完善企業(yè)信息安全管理制度。首先，數(shù)據(jù)安全管理制度，即確保數(shù)據(jù)存儲介質(zhì)（設(shè)備）的安全；定時(shí)進(jìn)行數(shù)據(jù)備份，備份數(shù)據(jù)必須異地存放；對數(shù)據(jù)的操作需經(jīng)主管部門的審批、同意方可進(jìn)行；數(shù)據(jù)的清除、整理工作需兩人或兩人以上在場，并由相關(guān)部門進(jìn)行監(jiān)督、記錄。第二，準(zhǔn)入管理制度。準(zhǔn)入管理又稱密碼、權(quán)限管理，通過準(zhǔn)入系統(tǒng)可以判斷請求登錄的用戶是否是合法的、值得信任的。一個(gè)安全的準(zhǔn)入系統(tǒng)則需要收集請求登錄者的以下信息：一是請求方式。當(dāng)同一網(wǎng)段在單位時(shí)間內(nèi)多次請求登錄或多次登錄用戶、密碼錯(cuò)誤者，就應(yīng)在一定時(shí)間內(nèi)封閉其所在網(wǎng)段的請求，并發(fā)出報(bào)警信號。二是系統(tǒng)安全驗(yàn)證，即對登錄用戶的操作系統(tǒng)進(jìn)行安全證，并提示登錄用戶進(jìn)行一系列的修復(fù)操作。三是檢測設(shè)備自身數(shù)據(jù)是否被修改或篡改，并對登錄戶相應(yīng)的操作進(jìn)行記錄備案。

2.3采取傳統(tǒng)的信息安全防范策略。物理安全策略：包括環(huán)境安全、設(shè)備安全、媒體安全、信息資產(chǎn)的物理分布、人員的訪問控制、審計(jì)記錄、異常情況的追查等；網(wǎng)絡(luò)安全策略：包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的管理、網(wǎng)絡(luò)安全訪問措施、安全掃描、遠(yuǎn)程訪問、不同級別網(wǎng)絡(luò)的訪問控制方式、識別/認(rèn)證機(jī)制等；數(shù)據(jù)加密策略：包括加密算法、適用范圍、密鑰交換和管理等；數(shù)據(jù)備份策略：包括適用范圍、備份方式、備份數(shù)據(jù)的安全存儲、備份周期、負(fù)責(zé)人等；身份認(rèn)證及授權(quán)策略：包括認(rèn)證及授權(quán)機(jī)制、方式、審計(jì)記錄等；災(zāi)難恢復(fù)策略：包括負(fù)責(zé)人員、恢復(fù)機(jī)制、方式、歸檔管理、硬件、軟件等；事故處理、緊急響應(yīng)策略：包括響應(yīng)小組、聯(lián)系方式、事故處理計(jì)劃、控制過程等。

2.4實(shí)施、檢查和改進(jìn)信息安全管理體制。企業(yè)應(yīng)按照規(guī)劃階段編制安全管理體系文件的控制要求來實(shí)施活動(dòng)，主要實(shí)施和運(yùn)行ISMS方針、控制措施、過程和程序，包括安全策略、所選擇的安全措施或控制、安全意識和培訓(xùn)程序等。在實(shí)施期間，企業(yè)應(yīng)及時(shí)檢查發(fā)現(xiàn)規(guī)劃中存在的問題，找出問題根源，采取糾正措施，并按照更改控制程序要求對體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。信息安全實(shí)施過程的效果如何，需要通過監(jiān)視、審計(jì)、復(fù)查、評估等手段來進(jìn)行檢查，檢查的依據(jù)就是計(jì)劃階段建立的安全策略、目標(biāo)、程序，以及標(biāo)準(zhǔn)、法律法規(guī)和實(shí)踐經(jīng)驗(yàn)，檢查的結(jié)果是進(jìn)一步采取措施的依據(jù)。

2.5加強(qiáng)信息安全監(jiān)控，保障信息系統(tǒng)安全運(yùn)行。在信息安全監(jiān)控、信息安全配置和系統(tǒng)訪問控制方面，信息管理部門借助先進(jìn)成熟的信息技術(shù)，充分挖掘和利用現(xiàn)有資源功能潛力，進(jìn)一步提升企業(yè)信息系統(tǒng)的安全防范能力。例如，加強(qiáng)信息系統(tǒng)監(jiān)控管理和風(fēng)險(xiǎn)評估，優(yōu)化信息系統(tǒng)安全架構(gòu)，開展入侵檢測分析防范、核心網(wǎng)絡(luò)冗余和服務(wù)器架構(gòu)調(diào)整等工作，確保公司信息系統(tǒng)安全穩(wěn)定運(yùn)行。統(tǒng)一企業(yè)桌面安全管理體系，建立網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)，加強(qiáng)接入層管理、桌面安全管理和安全監(jiān)控管理，有效保障聯(lián)網(wǎng)計(jì)算機(jī)的安全運(yùn)行。優(yōu)化企業(yè)內(nèi)外網(wǎng)連接架構(gòu)和訪問控制策略，增加網(wǎng)絡(luò)出口流量監(jiān)控環(huán)節(jié)，使有限的網(wǎng)絡(luò)帶寬資源得到合理分配和充分利用。針對因特網(wǎng)瀏覽用戶違規(guī)現(xiàn)象較多，造成非授權(quán)用戶占用大量網(wǎng)絡(luò)資源的問題，加強(qiáng)用戶訪問監(jiān)控，嚴(yán)肅處理違規(guī)用戶，加強(qiáng)保密教育，促進(jìn)用戶規(guī)范使用信息系統(tǒng)。

2.6構(gòu)建信息安全管理團(tuán)隊(duì)。信息安全管理團(tuán)隊(duì)是由決策者、管理者以及計(jì)算機(jī)、信息、通訊、安全和網(wǎng)絡(luò)技術(shù)等方面的專家為提升企業(yè)信息安全管理水平而組建的團(tuán)隊(duì)。信息安全管理團(tuán)隊(duì)是企業(yè)信息安全管理的直接管理者，其管理能力、技術(shù)能力的高低會(huì)直接影響到企業(yè)信息安全管理的效率。因此必須增加對企業(yè)內(nèi)部信息安全管理人員、技術(shù)人員的定期培訓(xùn)，同時(shí)與外部專業(yè)技術(shù)企業(yè)建立長期有效的外部技術(shù)支持網(wǎng)絡(luò)，才能對企業(yè)信息安全事件做出及時(shí)、快速、準(zhǔn)確的響應(yīng)，確定并及時(shí)排除突發(fā)事件，使企業(yè)的風(fēng)險(xiǎn)和損失最小化，最終形成一套有效的一體化管理體系，給企業(yè)帶來更大的管理效益與管理效率的提升。

綜上所述，隨著網(wǎng)絡(luò)普及和企業(yè)信息化業(yè)務(wù)的不斷拓展，信息成為一種重要的戰(zhàn)略資源，信息安全保障能力成為一個(gè)企業(yè)綜合能力的重要組成部分。因此，要提高企業(yè)信息安全管理的效率，為企業(yè)決策提供信息支持，確保企業(yè)信息數(shù)據(jù)安全、可靠、真實(shí)，為企業(yè)發(fā)展和經(jīng)營管理提供有力保障。

參考文獻(xiàn)

第8篇：數(shù)據(jù)安全管理體系范文

1互聯(lián)網(wǎng)金融模式的安全隱患

由于互聯(lián)網(wǎng)金融在網(wǎng)絡(luò)平臺運(yùn)營的過程中具有開放性，這使互聯(lián)網(wǎng)金融面臨一系列安全隱患，嚴(yán)重的甚至?xí)霈F(xiàn)重大漏洞，直接導(dǎo)致我國金融系統(tǒng)出現(xiàn)問題。因而，應(yīng)當(dāng)對互聯(lián)網(wǎng)金融模式的安全隱患有清醒的理解和認(rèn)識，并從安全管理的角度深入分析互聯(lián)網(wǎng)金融模式安全隱患產(chǎn)生的原因，有的放矢地認(rèn)真加以應(yīng)對。從互聯(lián)網(wǎng)金融模式的安全隱患來看，主要包括以下幾個(gè)方面：由于互聯(lián)網(wǎng)金融具有很強(qiáng)的開放性，而且需要依托信息技術(shù)開展業(yè)務(wù)，這就使得互聯(lián)網(wǎng)金融模式需要更加高度重視技術(shù)創(chuàng)新，但由于個(gè)別互聯(lián)網(wǎng)金融平臺在發(fā)展的過程中不注重技術(shù)創(chuàng)新，特別是在安全管理方面不到位，如不注重對互聯(lián)網(wǎng)金融平臺各類數(shù)據(jù)、信息的有效管理，直接導(dǎo)致出現(xiàn)了數(shù)據(jù)、信息風(fēng)險(xiǎn)，甚至?xí)ヂ?lián)網(wǎng)金融平臺造成較大的影響；互聯(lián)網(wǎng)金融具有很強(qiáng)的互動(dòng)性，這就需要在發(fā)展的過程中更加重視防范和控制操作風(fēng)險(xiǎn)，但一些互聯(lián)網(wǎng)金融平臺在這方面還沒有引起足夠的重視，同時(shí)一些用戶也不注重加強(qiáng)安全風(fēng)險(xiǎn)防范與控制，在操作的過程中出現(xiàn)了諸多風(fēng)險(xiǎn)和漏洞，而且一些互聯(lián)網(wǎng)金融不注重對管理人員、服務(wù)人員、操作人員的教育和培訓(xùn)，職業(yè)素養(yǎng)和職業(yè)道德還比較薄弱，甚至出現(xiàn)了“監(jiān)守自盜”的現(xiàn)象；互聯(lián)網(wǎng)金融模式的安全隱患也表現(xiàn)為面臨一定的內(nèi)部控制風(fēng)險(xiǎn)，特別是由于一些互聯(lián)網(wǎng)金融在管理方面存在許多問題，而且也不注重內(nèi)部控制機(jī)制建設(shè)，內(nèi)部控制相對比較薄弱，直接導(dǎo)致一些互聯(lián)網(wǎng)金融在發(fā)展的過程中出現(xiàn)了諸多安全隱患。從總體上來看，盡管互聯(lián)網(wǎng)金融模式的安全隱患相對較多，但比較突出的就是在技術(shù)、操作、管理等諸多方面存在的一些漏洞，應(yīng)當(dāng)對此給予重視，同時(shí)也需要有關(guān)方面人員共同研究如何更有效地防范和控制互聯(lián)網(wǎng)金融模式安全隱患的方法和措施，唯有如此，才能促進(jìn)互聯(lián)網(wǎng)金融的健康發(fā)展。

2互聯(lián)網(wǎng)金融模式安全管理存在的問題

2.1互聯(lián)網(wǎng)金融安全管理重視程度不夠

從當(dāng)前互聯(lián)網(wǎng)金融安全管理存在的問題來看，比較突出的就是存在重視程度不夠的問題，直接導(dǎo)致互聯(lián)網(wǎng)金融安全管理受到了一定的影響，進(jìn)而出現(xiàn)了諸多安全隱患。有的互聯(lián)網(wǎng)金融平臺還沒有將防范和控制安全隱患上升到戰(zhàn)略層面，在安全管理方面缺乏科學(xué)、合理、有效的策略，同時(shí)在投入方面也不到位，直接導(dǎo)致互聯(lián)網(wǎng)金融安全管理體制不夠完善，安全管理的科學(xué)化水平、規(guī)范化能力仍然有待進(jìn)一步提升?；ヂ?lián)網(wǎng)金融安全管理重視程度不夠，還表現(xiàn)為一些地方?jīng)]有將互聯(lián)網(wǎng)金融安全管理工作納入到監(jiān)管體系當(dāng)中，不注重運(yùn)用科學(xué)的方法和措施加強(qiáng)互聯(lián)網(wǎng)金融平臺的監(jiān)管，特別是行業(yè)監(jiān)管體制還沒有形成，互聯(lián)網(wǎng)金融行業(yè)自我管理、自我監(jiān)督的意識和能力比較薄弱，同樣會(huì)制約互聯(lián)網(wǎng)金融安全管理工作向縱深開展。

2.2互聯(lián)網(wǎng)金融安全管理體系比較薄弱

對于有效應(yīng)用互聯(lián)網(wǎng)金融模式安全隱患來說，一定要進(jìn)一步健全和完善安全管理體系，但目前一些互聯(lián)網(wǎng)金融平臺在這方面還沒有進(jìn)行科學(xué)地設(shè)計(jì)，相關(guān)管理工作還沒有取得更大的突破。有的互聯(lián)網(wǎng)金融平臺還沒有對自身存在的安全隱患進(jìn)行深入調(diào)查研究與分析論證，在制定互聯(lián)網(wǎng)金融安全管理措施方面缺乏針對性，如內(nèi)部控制工作不夠到位，不僅缺乏全面控制能力，而且也不注重內(nèi)部控制的融合性建設(shè)，直接導(dǎo)致出現(xiàn)了很多操作風(fēng)險(xiǎn)。有的不注重對相關(guān)工作的設(shè)計(jì)和安排，如在發(fā)展互聯(lián)網(wǎng)金融的過程中對安全管理工作的重視性不足，各個(gè)方面還沒有形成強(qiáng)大的合力，在推動(dòng)互聯(lián)網(wǎng)金融可持續(xù)發(fā)展的過程中缺乏相關(guān)舉措等。有的盡管對互聯(lián)網(wǎng)金融安全管理進(jìn)行了一定的設(shè)計(jì)，同時(shí)也進(jìn)行了謀劃，但在具體的實(shí)施過程中不注重強(qiáng)化整體能力建設(shè)。

2.3互聯(lián)網(wǎng)金融安全管理機(jī)制相對滯后

健全和完善互聯(lián)網(wǎng)金融管理機(jī)制至關(guān)重要，但目前一些互聯(lián)網(wǎng)金融平臺還沒有建立科學(xué)、完善、系統(tǒng)、有效的互聯(lián)網(wǎng)金融安全管理機(jī)制，導(dǎo)致出現(xiàn)了諸多安全隱患。有的互聯(lián)網(wǎng)金融平臺盡管建立了相對比較完善的安全管理制度，但在執(zhí)行力方面相對比較薄弱，直接導(dǎo)致互聯(lián)網(wǎng)金融安全管理制度的作用無法得到有效地發(fā)揮。有的互聯(lián)網(wǎng)金融平臺則不注重建立有效的運(yùn)行機(jī)制，如在內(nèi)部安全管理與外部安全管理相結(jié)合方面不夠到位，特別是對外部風(fēng)險(xiǎn)因素缺乏深入的調(diào)查和分析，導(dǎo)致個(gè)別互聯(lián)網(wǎng)金融平臺面臨市場風(fēng)險(xiǎn)等。有的互聯(lián)網(wǎng)金融平臺沒有將安全管理與市場營銷進(jìn)行有效結(jié)合，如缺乏對互聯(lián)網(wǎng)金融產(chǎn)品的挖掘和創(chuàng)新，不注重建立有效的服務(wù)機(jī)制等，同樣會(huì)導(dǎo)致互聯(lián)網(wǎng)金融出現(xiàn)安全隱患。

2.4互聯(lián)網(wǎng)金融安全管理合力尚未形成

對于有效應(yīng)對互聯(lián)網(wǎng)金融安全隱患來說，還要在合力建設(shè)方面下工夫，但目前一些互聯(lián)網(wǎng)金融平臺在安全管理方面還沒有形成強(qiáng)大的工作合力，導(dǎo)致互聯(lián)網(wǎng)金融安全管理的全面性、全員性以及全程性不到位。有的互聯(lián)網(wǎng)金融平臺不注重優(yōu)化管理模式，特別是在投資項(xiàng)目調(diào)查分析方面比較薄弱，導(dǎo)致在投資決策方面出現(xiàn)了風(fēng)險(xiǎn)。有的互聯(lián)網(wǎng)金融平臺則不注重大力加強(qiáng)資源整合工作，在調(diào)動(dòng)方方面面力量和智慧集聚到互聯(lián)網(wǎng)金融安全風(fēng)險(xiǎn)管理的過程中缺乏效能性，如管理會(huì)計(jì)的應(yīng)用不合理，再比如沒有建立比較完善的技術(shù)安全管理平臺等，同樣會(huì)導(dǎo)致互聯(lián)網(wǎng)金融平臺面臨諸多安全隱患，需要引起重視，并采取切實(shí)有效的措施推動(dòng)安全管理合力建設(shè)。

3互聯(lián)網(wǎng)金融模式安全管理的優(yōu)化對策

3.1提高互聯(lián)網(wǎng)金融安全管理重視程度

對于互聯(lián)網(wǎng)金融平臺來說，要想更好地防范安全隱患，一定要進(jìn)一步提高互聯(lián)網(wǎng)金融安全管理的重視程度，特別是要切實(shí)加大相關(guān)方面的投入力度，夯實(shí)互聯(lián)網(wǎng)金融安全管理基礎(chǔ)，同時(shí)還要在完善管理體制方面狠下工夫，使互聯(lián)網(wǎng)金融安全管理工作能夠有條不紊地運(yùn)行，確保不出現(xiàn)安全風(fēng)險(xiǎn)。要切實(shí)加強(qiáng)對互聯(lián)網(wǎng)金融安全管理工作的投入力度，如加強(qiáng)教育和培訓(xùn)，強(qiáng)化相關(guān)人員的能力建設(shè)；將互聯(lián)網(wǎng)金融安全管理納入到企業(yè)文化建設(shè)當(dāng)中，加強(qiáng)有效引導(dǎo)，努力在互聯(lián)網(wǎng)金融平臺內(nèi)部形成互聯(lián)網(wǎng)金融安全管理工作的強(qiáng)大合力。要更加重視互聯(lián)網(wǎng)金融安全管理工作的整體性，將其納入到互聯(lián)網(wǎng)金融平臺改革、創(chuàng)新、發(fā)展體系當(dāng)中，發(fā)揮互聯(lián)網(wǎng)金融安全管理的基礎(chǔ)性作用。各級政府也要對互聯(lián)網(wǎng)金融安全管理工作給予高度重視，應(yīng)當(dāng)加大相關(guān)投入力度，而且還要在健全和完善互聯(lián)網(wǎng)金融監(jiān)管體制方面進(jìn)行改革和創(chuàng)新，努力使其能夠發(fā)揮多元化功能，進(jìn)而有效防范互聯(lián)網(wǎng)金融平臺可能出現(xiàn)的各類安全隱患。

3.2加強(qiáng)互聯(lián)網(wǎng)金融安全管理體系建設(shè)

對于科學(xué)應(yīng)對互聯(lián)網(wǎng)金融模式安全隱患來說，還要在加強(qiáng)互聯(lián)網(wǎng)金融安全管理體系建設(shè)方面狠下工夫，努力使其取得更大的成就。在具體的實(shí)施過程中，要大力加強(qiáng)互聯(lián)網(wǎng)金融安全管理工作的組織體系建設(shè)，除了要進(jìn)一步強(qiáng)化專業(yè)部門建設(shè)之外，更要高度重視各個(gè)部門之間的有效協(xié)調(diào)與配合，如建立相應(yīng)的組織機(jī)構(gòu)專門負(fù)責(zé)互聯(lián)網(wǎng)金融安全管理落實(shí)、監(jiān)督、考核等工作。加強(qiáng)互聯(lián)網(wǎng)金融安全管理體系建設(shè)，還要將互聯(lián)網(wǎng)金融安全管理與財(cái)務(wù)監(jiān)督、風(fēng)險(xiǎn)管理等緊密結(jié)合起來，加強(qiáng)各方面的有效融合，并運(yùn)用大數(shù)據(jù)技術(shù)、云計(jì)算技術(shù)等建立風(fēng)險(xiǎn)點(diǎn)監(jiān)測機(jī)制，最大限度地防范可能出現(xiàn)的各類安全隱患。要著眼于防范和控制可能出現(xiàn)的財(cái)務(wù)風(fēng)險(xiǎn)，切實(shí)加大互聯(lián)網(wǎng)金融平臺財(cái)務(wù)風(fēng)險(xiǎn)管理工作，如建立預(yù)算調(diào)節(jié)機(jī)制，并對預(yù)算進(jìn)度跟蹤、結(jié)果分析、績效考評，根據(jù)實(shí)際情況及時(shí)修正，嚴(yán)格執(zhí)行責(zé)任追究制度，確?；ヂ?lián)網(wǎng)金融平臺不出現(xiàn)財(cái)務(wù)風(fēng)險(xiǎn)。

3.3促進(jìn)互聯(lián)網(wǎng)金融安全管理機(jī)制優(yōu)化

互聯(lián)網(wǎng)金融要把健全和完善安全管理機(jī)制上升到更高層面，著眼于促進(jìn)互聯(lián)網(wǎng)金融安全管理規(guī)范化、科學(xué)化水平，積極探索符合互聯(lián)網(wǎng)金融可持續(xù)發(fā)展的管理機(jī)制。要根據(jù)法律法規(guī)來制定互聯(lián)網(wǎng)金融安全管理制度，同時(shí)還要進(jìn)一步加強(qiáng)制度的執(zhí)行力建設(shè)，引導(dǎo)廣大工作人員加強(qiáng)對互聯(lián)網(wǎng)金融安全管理的認(rèn)識，了解其重要性及存在的社會(huì)價(jià)值，拋棄傳統(tǒng)的觀點(diǎn)，明確各個(gè)部門的崗位職責(zé)，確?；ヂ?lián)網(wǎng)金融安全管理工作的正常運(yùn)轉(zhuǎn)，同時(shí)也要強(qiáng)化互聯(lián)網(wǎng)金融安全管理工作的整體性和效能性。要大力加強(qiáng)互聯(lián)網(wǎng)金融監(jiān)督機(jī)制建設(shè)，在具體的實(shí)施過程中可以將PDCA循環(huán)作為互聯(lián)網(wǎng)金融安全管理的重要方法，加強(qiáng)計(jì)劃、執(zhí)行、檢查、處理等四個(gè)階段的工作，并且要強(qiáng)化各個(gè)階段的緊密聯(lián)系，對互聯(lián)網(wǎng)金融安全管理的有效做法應(yīng)當(dāng)進(jìn)行總結(jié)和提升，對于存在的問題應(yīng)當(dāng)加大整改工作力度，只有這樣，才能使互聯(lián)網(wǎng)金融安全管理形成良性運(yùn)行機(jī)制，促進(jìn)互聯(lián)網(wǎng)金融安全管理效能化水平的顯著提升。

3.4推動(dòng)互聯(lián)網(wǎng)金融安全管理形成合力

第9篇：數(shù)據(jù)安全管理體系范文

亨達(dá)公司已取得了國家信息安全測評中心信息安全服務(wù)二級（全國最高等級）、注冊信息安全專業(yè)培訓(xùn)（CISP）授權(quán)機(jī)構(gòu)、國家信息安全認(rèn)證中心信息安全集成二級、應(yīng)急服務(wù)二級、風(fēng)險(xiǎn)評估二級、公安部等級保護(hù)測評、工業(yè)和信息化部通信信息網(wǎng)絡(luò)系統(tǒng)集成甲級、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成三級、國家計(jì)算機(jī)應(yīng)急技術(shù)協(xié)調(diào)處理中心（CNCERT/CC）信息安全服務(wù)技術(shù)支撐單位以及貴陽市國家保密局信息設(shè)備維修等一系列完善的通信與網(wǎng)絡(luò)信息安全專業(yè)服務(wù)資質(zhì)，通過了ISO9001：2008質(zhì)量管理體系認(rèn)證、ISO14001：2004環(huán)境管理體系認(rèn)證和OHSAS18001：2007職業(yè)健康安全管理體系認(rèn)證。

亨達(dá)集團(tuán)先后被評為 “貴州省通信行業(yè)協(xié)會(huì)副理事長單位”、“貴州省通信體育協(xié)會(huì)副主席單位”，連續(xù)五年被省工商行政管理局評為“重信用、守合同”單位，并獲得“全國十佳誠信單位”稱號。目前已建成了集網(wǎng)絡(luò)信息安全監(jiān)控、網(wǎng)絡(luò)攻防演練、信息安全培訓(xùn)、軟件開發(fā)以及信息安全產(chǎn)品測評認(rèn)證于一體的信息化綜合服務(wù)保障平臺。

亨達(dá)集團(tuán)自2011年底取得等級保護(hù)測評資質(zhì)以來，配合貴州省公安廳推進(jìn)信息系統(tǒng)等級保護(hù)測評工作，開展了近百家單位共計(jì)500多個(gè)信息系統(tǒng)的安全等級保護(hù)測評，包括貴州省財(cái)政廳、貴州省統(tǒng)計(jì)局、貴州省交通廳、中國工商銀行貴州分行、中國建設(shè)銀行貴州分行、貴陽銀行、貴陽海關(guān)、貴州省農(nóng)村商業(yè)銀行、遵義商行、貴州省人民醫(yī)院、貴州省腫瘤醫(yī)院、貴陽醫(yī)學(xué)院等各大單位重要信息系統(tǒng)。

基于亨達(dá)集團(tuán)作為貴州省優(yōu)秀通信建設(shè)與網(wǎng)絡(luò)信息安全服務(wù)企業(yè)，長期以來，一直與貴州省通信管理局保持著密切的合作與良好的溝通。公司自2009年起即已被國家計(jì)算機(jī)應(yīng)急技術(shù)協(xié)調(diào)處理中心和省通信管理局確立為大區(qū)級技術(shù)支撐單位。