信息安全研究論文(9篇)

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息安全研究論文(9篇)范文，希望能給你帶來靈感和參考，敬請閱讀。

第一篇：中小企業(yè)信息安全管理問題分析

摘要：信息安全管理的有效落實，是新時期中小企業(yè)戰(zhàn)略性發(fā)展的重要保障。本文分析中小企業(yè)信息安全管理中存在的問題與不足，并以此作為闡述的切入口，從體系的建立、制度的完善等方面，闡述新時期深化中小企業(yè)信息安全管理的應對措施。

關鍵詞：中小企業(yè)；信息安全管理；制度

開放的互聯(lián)網(wǎng)環(huán)境，快速發(fā)展的網(wǎng)絡科技，都強調(diào)中小企業(yè)在立足發(fā)展的同時，要著力于企業(yè)信息安全管理工作的開展。這是基于自身發(fā)展的內(nèi)在要求，也是優(yōu)化內(nèi)控管理的重要之舉。當前，中小企業(yè)信息安全管理問題突出，無論是制度的不完善性，還是管理體系的缺乏，都需要中小企業(yè)應立足于實際的經(jīng)營管理需求，建立起完善的信息安全管理體系，并制定完善的管理制度，滿足企業(yè)經(jīng)營發(fā)展的需求，提高企業(yè)信息安全管理能力。

1中小企業(yè)信息安全管理中存在的問題

1.1對信息安全管理缺乏重視，安全管理流于形式

在網(wǎng)絡信息時代，構(gòu)建安全的信息環(huán)境是企業(yè)構(gòu)建可持續(xù)發(fā)展戰(zhàn)略的重要保障。在企業(yè)內(nèi)控管理的優(yōu)化與調(diào)整中，信息安全管理是其重要部分。然而，由于企業(yè)管理層缺乏足夠重視，導致企業(yè)信息安全管理落實不到位。特別是對于中小企業(yè)而言，一是缺乏足夠的資金投入，在安全信息管理的人員配置、硬軟件設施的購買等方面，難以滿足企業(yè)信息安全管理的需求；二是中小企業(yè)信息化建設起步晚，缺乏一定的發(fā)展基礎，信息安全管理措施不足。因此，中小企業(yè)在信息安全管理過程中，面臨管理發(fā)展的尷尬與瓶頸，缺乏信息安全管理的基礎建設，滯后于企業(yè)可持續(xù)發(fā)展的現(xiàn)實需求。

1.2信息安全管理技術落后，難以構(gòu)建完備的信息安全管理體系

快速發(fā)展的網(wǎng)絡信息技術，推動中小企業(yè)現(xiàn)代信息化的建設，但也給企業(yè)信息安全管理帶來新的要求。在傳統(tǒng)的網(wǎng)絡環(huán)境中，依托簡單的加密技術、防火墻，便可以為企業(yè)信息安全管理構(gòu)建完善的防御體系。但是，日益頻繁的黑客、病毒攻擊，強調(diào)信息安全管理技術的先進性，為企業(yè)構(gòu)建完備的信息安全管理體系。而中小企業(yè)在信息安全管理體系的構(gòu)建中，管理體系不完善，信息安全管理技術落后，單一的安全防御結(jié)構(gòu)，顯然難以確保信息安全管理工作的全面開展，企業(yè)信息安全問題突出。

1.3信息安全管理制度不完善，缺乏完善的制度保障

完善的管理制度是規(guī)范和引導信息安全管理的重要保障。中小企業(yè)在發(fā)展過程中，更多地強調(diào)短期經(jīng)濟效益的追求，而忽視長遠發(fā)展戰(zhàn)略的構(gòu)建。信息安全管理制度的建立，與企業(yè)經(jīng)營管理制度的建立相分離，導致信息安全管理制度的主體地位不突出，制度的完善性、制度執(zhí)行的保障性都存在明顯不足。企業(yè)職工安全意識薄弱，在計算機操作等方面，瀏覽不安全網(wǎng)站，私自下載軟件，對企業(yè)信息安全系統(tǒng)造成威脅。此外，企業(yè)計算機安全防御體系存在漏洞，相關的殺毒軟件未能及時更新，為黑客、病毒攻擊創(chuàng)造了一定的內(nèi)在基礎。

2深化中小企業(yè)信息安全管理的應對措施

2.1建立健全信息安全管理體系，提高安全管理的有效性

為更好地滿足發(fā)展的需求，中小企業(yè)應重視信息安全管理體系的建立，優(yōu)化現(xiàn)行的信息安全管理。中小企業(yè)在建立信息安全管理體系的過程中，應抓好三個方面的工作：一是信息安全管理體系應立足于企業(yè)的實際情況，針對企業(yè)的生產(chǎn)經(jīng)營需求，建立具有企業(yè)特色的安全管理體系；二是著力于安全評估標準的建立，確保安全管理的科學化；三是強化企業(yè)信息安全文化的建立，規(guī)范并引導職工正確的思想行為。如圖1所示，是中小企業(yè)信息安全管理模型。從圖1可知，在信息安全管理體系的構(gòu)建中，安全維度的建立從資源安全、技術安全和管理安全三個維度，全方位為企業(yè)信息安全管理構(gòu)建良好的安全管理模式。這對于中小企業(yè)而言，不僅提高了信息安全管理的有效性，也推進了企業(yè)信息現(xiàn)代化建設，對企業(yè)可持續(xù)發(fā)展具有十分重要的意義。

2.2建立健全信息安全管理制度，為安全管理提供制度保障

中小企業(yè)在內(nèi)控管理方面，缺乏管理制度的有力保障。特別是信息安全管理制度的缺失，不利于企業(yè)內(nèi)控管理工作的全面開展。因此，企業(yè)要扎實推進信息安全管理制度的建立，從組織部門的設立、管理責任的落實、人員的配置等方面，確保信息安全管理有效開展。同時。結(jié)合企業(yè)的實際情況，構(gòu)建完善、可靠的信息安全防范體系。此外，企業(yè)要強化對信息安全管理工作的重視，從責任到人，到主要領導親自負責，確保信息安全管理落地，也確保信息安全契合企業(yè)經(jīng)營管理的內(nèi)在需求，營造安全可靠的網(wǎng)絡信息環(huán)境。

2.3提供完備的技術保障，構(gòu)建信息安全防范體系

在開放式互聯(lián)網(wǎng)環(huán)境下，企業(yè)安全管理所面臨的完全問題比較突出。多元化的問題風險，強調(diào)中小企業(yè)構(gòu)建信息安全防范體系的必要性。信息安全防范體系的構(gòu)建，建立在完備的技術保障之上。先進的殺毒軟件、防火墻技術等，都是企業(yè)構(gòu)建信息安全防范體系所必需的技術保障。對于黑客、病毒的惡意攻擊，需要中小企業(yè)提高信息安全防范等級。如圖2所示，是典型的Internet/Intranet防火墻設置。防火墻技術作為安全防范體系的重要組成部分，在企業(yè)信息安全防范中起到十分重要的作用。內(nèi)外網(wǎng)絡之間搭建起防范屏障，很大程度上能夠確保企業(yè)的網(wǎng)絡信息安全，保障企業(yè)網(wǎng)絡操作正常進行。因此，無論是殺毒軟件還是防火墻技術，都是中小企業(yè)構(gòu)建安全防御體系所必要的技術保障。此外，隨著黑客、病毒的不斷升級，也強調(diào)企業(yè)應不斷更新殺毒軟件，安裝配置更高的防火墻等技術，從而提高企業(yè)信息安全防御能力，確保中小企業(yè)的信息安全。

3結(jié)語

綜上所述，中小企業(yè)所面臨的信息安全管理問題比較突出。多樣化問題強調(diào)中小企業(yè)在信息安全管理的過程中應扎實做到：（1）建立健全信息安全管理體系，提高安全管理的有效性；（2）建立健全信息安全管理制度，為安全管理提供制度保障；（3）提供完備的技術保障，構(gòu)建信息安全防范體系。從本質(zhì)上優(yōu)化中小企業(yè)信息管理策略，確保企業(yè)信息安全，是推進企業(yè)可持續(xù)發(fā)展的重要基礎，從而不斷加速中小企業(yè)的現(xiàn)代化建設。

參考文獻

[1]潘愛武.談中小企業(yè)信息安全問題及對策[J].東方企業(yè)文化,2012(17).

[2]江麗.我國中小企業(yè)融資難原因分析及對策[D].南昌:江西財經(jīng)大學,2014.

[3]陳俊豪.淺析中小企業(yè)電子商務中的信息安全問題[J].中國商貿(mào),2010(11):142-143.

[4]徐黎源.中小企業(yè)信息安全管理模型[J].科技經(jīng)濟市場,2009(9):88-89.

[5]趙曉華.網(wǎng)絡環(huán)境下河北中小企業(yè)信息安全問題研究[J].科技資訊,2013(11):140-141.

作者：湯毅 姚曉津 鄧沖 黃仙陽 黃強 單位：精誠瑞寶計算機系統(tǒng)有限公司

第二篇：信息安全管理中信息安全態(tài)勢分析

摘要：信息安全管理是確保信息安全的重要基礎。它更強調(diào)信息分析技術等的有效應用，從而為信息安全管理提供更完備的分析體系。本文研究信息安全動態(tài)分析，從微觀動態(tài)分析、宏觀動態(tài)分析兩個方面，闡述信息安全態(tài)勢分析在信息安全管理中應用，旨在強化對信息安全動態(tài)分析的認識，并為今后相關領域的研究提供一定的參考。

關鍵詞：信息安全；管理；動態(tài)分析；微觀；宏觀

信息安全管理是一項復雜而系統(tǒng)的工作。安全管理的有效性、全面性，都強調(diào)信息動態(tài)分析的有效開展，從而為信息安全管理提供定量化的安全分析。當前，信息安全動態(tài)分析已廣泛應用于信息安全管理中，通過宏觀動態(tài)分析與微觀動態(tài)分析，為信息安全管理提供了更加完善、科學的管理依據(jù)，提高了信息安全管理能力。當前，復雜的信息安全環(huán)境強調(diào)動態(tài)分析的立足點不僅僅在于構(gòu)建局域性的安全環(huán)境，更強調(diào)立足于企業(yè)的戰(zhàn)略性發(fā)展，從而為企業(yè)發(fā)展提供重要依據(jù)。因此，本文研究的重點在于如何依托動態(tài)分析，對信息安全管理進行優(yōu)化與與調(diào)整，從而提高信息安全管理的有效性、科學性。

1信息安全管理中宏觀態(tài)勢分析的應用

在信息安全管理中，宏觀態(tài)勢分析主要在于微觀技術領域?；谟行У脑u估、預測，對信息安全的情況進行分析。一般情況下，宏觀動態(tài)分析主要從穩(wěn)定性、脆弱性及威脅性等幾個方面對信息安全進行描述，從而為信息安全管理構(gòu)建多元化的發(fā)展基礎。宏觀動態(tài)分析在企業(yè)信息安全管理中的應用主要包括以下幾個方面。

1.1企業(yè)戰(zhàn)略發(fā)展的構(gòu)建及核心業(yè)務、資產(chǎn)

在多元化的市場環(huán)境下，企業(yè)戰(zhàn)略性發(fā)展的構(gòu)建很大程度上依托于企業(yè)信息安全管理的推進，以更好地實現(xiàn)企業(yè)的戰(zhàn)略性發(fā)展目標。為此，在宏觀動態(tài)分析中，需要對企業(yè)未來一段時間（一般為3-5年）的戰(zhàn)略發(fā)展變遷及核心業(yè)務、資產(chǎn)等情況進行考慮分析，這是動態(tài)分析助力企業(yè)戰(zhàn)略發(fā)展的內(nèi)在要求。例如，在宏觀動態(tài)分析中，應針對企業(yè)的生產(chǎn)經(jīng)營情況，確認核心業(yè)務、資產(chǎn)是否出現(xiàn)轉(zhuǎn)移；核心資產(chǎn)是否出現(xiàn)折舊等。這對于企業(yè)戰(zhàn)略性發(fā)展的構(gòu)建以及戰(zhàn)略性發(fā)展目標的達成，都具有十分重要的現(xiàn)實意義。

1.2信息安全環(huán)境的發(fā)展趨勢

網(wǎng)絡信息時代的快速發(fā)展，強調(diào)宏觀動態(tài)分析應對信息安全環(huán)境的發(fā)展趨勢進行分析，這對于提高企業(yè)信息安全管理能力至關重要。對于現(xiàn)代企業(yè)而言，信息安全管理的開展一方面要基于自身實際情況，如業(yè)務、系統(tǒng)等，考慮自身內(nèi)在信息安全的影響因素；另一方面，也要對信息技術的發(fā)展趨勢、信息安全環(huán)境等進行重點考慮，針對可能引發(fā)額外風險的重點因素，重點考慮，重點防范，實現(xiàn)更有價值的信息安全管理。

1.3社會環(huán)境及法律法規(guī)的影響要求

在企業(yè)生產(chǎn)經(jīng)營發(fā)展的過程中，政治經(jīng)濟事件對信息安全的影響，相關法律法規(guī)對企業(yè)經(jīng)營的要求，都是動態(tài)分析中需要著重考慮和分析的要素。在宏觀動態(tài)分析中，以上三點要素在風險定量評估中能夠起到重要的指導作用。對實際操作情況而言，可以利用“Threat（威脅）=impact×likelihood（影響×可能性）”對風險影響進行表示?；趧討B(tài)分析對風險實現(xiàn)定量評估，這對于信息風險管理而言，無疑具有重要的意義，可提高信息安全管理的針對性、有效性。當然，對于該公式，可以進行適當拓展，進而將風險的表達更加全面。即有“Risk（威脅）=asset×vulnerability×threat（資產(chǎn)×脆弱性×威脅）”由此可以知道，宏觀層面的因素對“威脅”值起到了至關重要的影響。無論是社會環(huán)境，還是安全環(huán)境趨勢，其值的增加都是構(gòu)成威脅的重要來源。與此同時，基于宏觀動態(tài)分析，為企業(yè)戰(zhàn)略性的安全管理提供了一定的參考依據(jù)，且對微觀動態(tài)分析提供了量化的重要依據(jù)。這進一步強化了動態(tài)分析的針對性，并對企業(yè)信息安全建設提供指導。

2信息安全管理中微觀態(tài)勢分析的應用

在微觀動態(tài)分析領域，無論是理論研究還是實踐操作，都已發(fā)展到一定程度。理論與實踐并重的應用及發(fā)展情形，強化其在企業(yè)信息安全管理中的重要作用。在對微觀動態(tài)分析中，需要提及“Endsley模型”。該模型最大的亮點在于將感知進行劃分，分為“感知”“理解”“預測”三個層次，進而強化信息處理能力?！癊ndsley模型”的成功構(gòu)建，推動了動態(tài)分析在信息安全管理中的應用和推廣。在“Endsley模型”基礎上，美國提出了“JDL模型”。該模型在優(yōu)化控制與管理功能等方面進行有效優(yōu)化與調(diào)整，進而提高了模型的應用性及實用價值。如圖1所示，是“JDL模型”的應用圖。從圖1可以知道，基于數(shù)據(jù)采集、預處理及事件關聯(lián)性識別等功能模塊的實現(xiàn)，進一步提高了動態(tài)分析的實效性。通過模型的不斷優(yōu)化與調(diào)整，強調(diào)模型在功能構(gòu)建上更好地滿足于信息安全管理的現(xiàn)實需求。與此同時，在模型不斷優(yōu)化、技術不斷發(fā)展的大環(huán)境下，微觀動態(tài)分析技術已逐步成熟，并在信息安全管理平臺中得到有效應用。無論是在應用效果還是應用價值上，都表現(xiàn)出微觀動態(tài)分析在信息安全管理中應用的重要性，對推進信息安全管理現(xiàn)代化發(fā)展起到重要的推動作用。因此，這也是大力發(fā)展動態(tài)分析技術，拓展其在信息安全管理領域應用發(fā)展的重要基礎。微觀動態(tài)分析的應用在很大程度上推動了動態(tài)分析技術的發(fā)展，也深化其在信息安全管理領域中的應用價值。當前，隨著信息技術的不斷發(fā)展、模型的不斷優(yōu)化，其在應用中的性能也在逐步提升，尤其是在風險分析、應急響應處理等方面。這些功能的優(yōu)化與完善，有助于信息安全管理系統(tǒng)的構(gòu)建，滿足現(xiàn)代信息安全管理的現(xiàn)實需求。

3結(jié)語

綜上所述，信息安全管理是一項技術性強、系統(tǒng)性復雜的工作，強調(diào)技術性發(fā)展的完備性，更強調(diào)動態(tài)分析在其中的有效應用。當前，隨著動態(tài)分析技術的不斷發(fā)展，它在信息安全管理中的應用日益廣泛。尤其是微觀動態(tài)分析在信息安全管理平臺的應用，進一步提高了動態(tài)分析的實際應用價值。本文闡述的立足面在于兩點：一是基于宏觀層面的動態(tài)分析，為企業(yè)戰(zhàn)略性構(gòu)建及發(fā)展環(huán)境的分析起到重要的指導性意義；二是基于微觀層面的動態(tài)分析，依托各種模型的建立與優(yōu)化（如“Endsley模型”“JDL模型”），強化動態(tài)分析的實際應用價值。此外，隨著微觀分析技術的不斷發(fā)展，它在信息安全管理平臺中的應用對推動微觀動態(tài)分析技術應用及發(fā)展，具有十分重要的意義。

參考文獻

[1]李漢巨,梁萬龍,劉俊華.信息安全管理現(xiàn)狀分析[J].信息與電腦,2013(11).

[2]高鵬.電力企業(yè)信息安全問題探討[J].行政事業(yè)資產(chǎn)與財務,2013(8):131.

[3]王偉.資源視角的電力企業(yè)信息系統(tǒng)運維風險分析[J].西安郵電大學學報,2013(1):121-124.

[4]畢海英.信息安全產(chǎn)品的現(xiàn)狀及態(tài)勢分析[J].現(xiàn)代信息技術,2013(7).

[5]梁晶晶,黃河濤.局域網(wǎng)安全問題的現(xiàn)狀及技術分析[J].科技信息,2010(26).

[6]安睿.基于bagging的電力信息安全態(tài)勢分析系統(tǒng)的研究與實現(xiàn)[D].北京:華北電力大學,2012.

作者：湯毅 施澤寰 薛擁華 龔軍 劉板浩 單位：精誠瑞寶計算機系統(tǒng)有限公司

第三篇：人事檔案信息安全管理思考

人事檔案是人事、組織、勞資等部門在培養(yǎng)、選拔和使用人員的工作活動中形成的，是個人經(jīng)歷、學歷、社會關系、思想品德、業(yè)務能力、工作狀況以及獎勵處罰等方面的原始記錄，是個人參與社會方方面面活動的記載和個人自然情況的真實反映。人事檔案信息安全管理是指存在于人事檔案信息的收集、整理、保管、鑒定、統(tǒng)計和提供利用全過程的安全管理活動。由于人事檔案涉及每個人的切身利益，如何實現(xiàn)人事檔案信息安全管理效率的最大化無疑成為了當前關注的重點話題。

一、加強人事檔案信息安全管理的必要性

1、人事檔案自身性質(zhì)決定信息安全管理的重要性

人事檔案具有真實性、動態(tài)性、現(xiàn)實性、專業(yè)性、機密性等特點，它與個人職稱申報、定級、政審等緊密聯(lián)系在一起，是綜合考察及使用的重要依據(jù)之一，更是對流動人員管理的重要憑證。當前我國養(yǎng)老、醫(yī)療、失業(yè)保險等福利政策的制定、完善、推廣也是與人事檔案密切關聯(lián)。因此，必須要全面加強人事檔案信息安全管理，保障人事檔案資料的完整性、真實性及有效性。

2、人事檔案信息安全管理的現(xiàn)實緊迫性

人事檔案信息安全管理的現(xiàn)實緊迫性主要體現(xiàn)在人事檔案對國家、用人單位及個人都具有至關重要的作用方面。從目前我國人事檔案信息管理的現(xiàn)狀來看，棄檔、死檔、無頭檔案、檔案丟失、檔案資料失真等問題較為普遍，給國家、用人單位及個人帶來了巨大的損失，同時也造成了當前人事檔案管理效率的低下。因此，就必須進一步加強人事檔案信息安全管理，以強化人事檔案的社會功能。

3、人事檔案信息安全管理的技術可行性

信息時代快速發(fā)展的今天，新一代信息技術已經(jīng)廣泛滲透到我們的日常生活、學習和工作中。但是許多地區(qū)的人事檔案信息安全管理出于安全和保密的原則，其管理模式還是停留在紙質(zhì)載體上，這儼然與當前社會信息化發(fā)展格格不入。為此，在保障人事檔案信息安全與保密的前提之下，應當適當?shù)囊胄乱淮畔⒓夹g，便于快速、方便的利用?？傮w而言，新一代信息技術既呼喚現(xiàn)有人事檔案管理的深化改革，同時又為人事檔案信息安全管理提供了有力的支撐條件。

二、當前人事檔案信息安全管理存在的突出問題

1、人事檔案信息安全管理基礎設施滯后

本文人事檔案信息安全管理基礎設施特指計算機網(wǎng)絡系統(tǒng)、通信系統(tǒng)、電力分配系統(tǒng)等新一代信息網(wǎng)絡技術手段，可實現(xiàn)人事檔案信息管理的簡單化。由于人事檔案信息安全管理基礎設施的滯后，包括人事檔案設備落后、運行環(huán)境惡劣、設備兼容匹配性差、信息存儲介質(zhì)保管環(huán)境等問題，又可直接導致人事檔案信息安全面臨災難性的后果。在這個過程中，人事檔案信息安全管理基礎設施一旦發(fā)生致命性的損壞，就會使所有產(chǎn)生、流轉(zhuǎn)和保管的人事檔案電子資料出現(xiàn)數(shù)據(jù)錯誤，不可讀取或是全部丟失，嚴重威脅人事檔案信息安全。

2、人事檔案信息安全管理系統(tǒng)比較脆弱

人事檔案信息安全管理系統(tǒng)比較脆弱也是當前人事檔案信息安全管理存在的一個突出問題。例如，人事檔案計算機網(wǎng)絡可以提供相互交流的平臺，也可間接影響到人事檔案信息安全。當人事檔案計算機網(wǎng)絡出現(xiàn)硬件故障、軟件故障或者其他技術性故障都會直接威脅到人事檔案信息安全。又例如，在人事檔案信息安全系統(tǒng)設計的過程中，受到設計者本身的技術能力和設計模式的限制，會給人事檔案信息安全管理系統(tǒng)留下不同程度的缺陷或漏洞。如再出現(xiàn)人事檔案信息安全管理人員在人事檔案資料的傳送、存儲及處理過程中的違規(guī)操縱情況，也會大大削弱人事檔案信息安全管理系統(tǒng)的穩(wěn)定性，威脅人事檔案信息安全。

3、人事檔案信息安全管理人員責任意識落后

人事檔案信息安全管理人員責任意識落后，主要體現(xiàn)在對人事檔案信息安全管理的認識不足、重視程度不夠、責任心不強，從而不能夠及時發(fā)現(xiàn)并處理人事檔案信息安全管理中已存在的漏洞以及可能出現(xiàn)的安全隱患。同時，在實踐操作過程中，部分人事檔案信息安全管理人員未能嚴格執(zhí)行按期修改人事檔案信息安全管理系統(tǒng)密碼等操作規(guī)程，大大降低了人事檔案信息安全程度。

三、加強人事檔案信息安全管理的實現(xiàn)途徑

1、完善人事檔案信息安全管理法規(guī)與標準

完善人事檔案信息安全管理法規(guī)與標準，是在嚴格遵守人事檔案工作法律、法規(guī)、標準的同時，要求各級人事檔案管理部門還需結(jié)合本單位的實際情況制定有效的標準規(guī)范，且該規(guī)范還需要做到與相關法律法規(guī)相協(xié)調(diào)，與現(xiàn)行人事檔案信息安全管理的實踐工作相配套，最大程度上確保人事檔案信息不丟失、不損壞、不失真、不泄密。同時，完備的人事檔案信息安全管理法規(guī)與標準，還要通過多種形式的活動提升自身和社會法律意識，真正建立一套以更好的維護人事檔案信息安全。完善人事檔案信息安全管理法規(guī)與標準。

2、建立人事檔案信息安全管理保障應急機制

結(jié)合當前人事檔案信息安全管理的新形勢，從保護國家資源戰(zhàn)略的高度出發(fā)，必須要建立人事檔案信息安全管理保障應急機制，預先估計潛在的危機和后果，提升人事檔案信息安全管理的處置能力，做好全方位的應急準備。要建立人事檔案信息安全管理責任制度，制定人事檔案和電子檔案保管、保密和利用操作流程，完善人事檔案的鑒定程度和方法，并對人事檔案信息安全管理制度的執(zhí)行情況進行定期督查，確保各項制度能夠高效、準確的運行。

3、強化人事檔案信息安全管理人員責任意識

強化人事檔案信息安全管理人員責任意識，首先需要人事檔案管理部門領導和檔案管理工作者樹立正確的人事檔案信息安全管理觀念，堅持“積極防御”、“綜合防治”、“以防為主”、“防治結(jié)合”的方針，不斷增強人事檔案信息安全管理的使命感、責任心，并提升人事檔案信息安全管理部門對建立和發(fā)展人事檔案信息網(wǎng)絡的認識程度。同時也要重視人事檔案信息安全管理人員的思想政治和職業(yè)道德教育，多渠道、有目的的對檔案管理人員進行業(yè)務培訓。通過開展形式多樣的人事檔案信息安全管理教育活動，保障其深刻認識人事檔案信息安全管理的重要性。

作者：陳靜 單位：陜西廣播電視臺

第四篇：金保工程信息安全建設強化策略

摘要：金保工程信息安全建設能夠確保我國電子政務信息平臺有效工作，由于金保工程主要是應用電子信息技術對國家、省級、市級三個級別政府機構(gòu)的基金監(jiān)管、公共服務、宏觀決策等工作進行數(shù)據(jù)統(tǒng)計和管理，因此，強化金保工程信息安全建設是對國家信息安全負責的重要體現(xiàn)。

關鍵詞：金保工程；信息安全建設；建立健全管理制度；提高安全技術水平

金保工程信息安全建設是我國三個級別政府機構(gòu)電子政務信息安全的重要保障，其體現(xiàn)了我國現(xiàn)代化信息技術水平，因此，在強化金保工程信息安全建設時首先要加強我國現(xiàn)代化信息建設，培養(yǎng)大量現(xiàn)代化信息高端技術人才，在電子政務信息技術軟件的設計中運用高端技術以保證金保工程信息安全建設。

1金保工程概述

1.1金保工程概念

金保工程是指我國應用現(xiàn)代電子信息技術對國家、省級和市級這三個級別政府中的公共服務、基金監(jiān)管、宏觀決策和社會保障四項基本業(yè)務功能進行數(shù)據(jù)分析和統(tǒng)籌，最終使全國的勞動保障等電子政務工程統(tǒng)一。

1.2金保工程特點

金保工程的具體特點包括以下幾個方面。第一，金保工程的建設標準統(tǒng)一，具體包括信息技術標準統(tǒng)一和業(yè)務規(guī)范統(tǒng)一兩個方面。其中信息技術標準統(tǒng)一是指信息技術中的IP、接口、域名、和安全等方面統(tǒng)一[1]。業(yè)務規(guī)范化統(tǒng)一是指金保工程的業(yè)務工作流程從國家到省級再到市級按照嚴格的上下級規(guī)范進行統(tǒng)一標準。第二，金保工程具有縱向建設、橫向?qū)右惑w化的特點。具體是指在金保工程建設工作中要從國家大局出發(fā)，對中央、省級和市級統(tǒng)一規(guī)劃標準，在業(yè)務上的對接要進行一體化規(guī)劃。

2金保工程信息安全建設現(xiàn)狀

目前，我國金保工程信息安全現(xiàn)狀如下。第一，在國家金保工程信息安全建設管理中存在管理制度不夠完善的問題。金保工程信息技術安全建設管理者沒有建立完善的信息安全管理制度，在信息安全管理中沒有行之有效的管理制度和管理原則。在金保工程信息安全管理工作中對管理人員的工作缺乏約束力，因此，導致金保工程的信息安全得不到有效保障[2]。在金保工程信息安全管理中沒有建立健全獎懲制度，使信息安全管理人員在信息安全管理工作中缺乏對工作的熱情和積極性，使他們在工作中出現(xiàn)怠慢工作的現(xiàn)象，影響了金保工程信息安全管理工作效率。第二，管理人員的信息安全管理意識不足。金保工程信息安全管理人員屬于國家公務人員，目前部分管理人員工作態(tài)度不夠端正，在信息安全管理工作中缺乏一定的責任心。其缺乏職業(yè)道德，在工作中出現(xiàn)混日子的問題。同時由于信息安全管理人員在入職前對其專業(yè)技能有嚴格要求，而在入職后由于工作態(tài)度的問題及信息安全管理意識不到位，導致沒有繼續(xù)加強職業(yè)技能學習與訓練，使專業(yè)技能水平停滯不前，影響了金保工程信息安全技術升級，進而影響到我國金保工程信息安全管理質(zhì)量。第三，由于我國信息技術起步較晚，因此，我國的信息技術水平在一定程度上與發(fā)達國家之間存在一定差距。而金保工程中對國家勞動保障等業(yè)務一體化電子政務管理存在大量國家機密信息，因此，金保工程信息安全管理需要高端信息技術作為保障。目前，由于我國各行業(yè)對信息技術人才需求劇增，導致信息技術人才供不應求，同時我國對信息技術人才的物質(zhì)保障不及其他發(fā)達國家，也導致了大量超高端信息技術人才外流，使我國金保工程信息安全管理部門人才缺失，影響了金保工程信息安全建設質(zhì)量。

3強化金保工程信息安全建設的對策

3.1建立健全管理制度

由于在我國金保工程信息安全建設中存在信息安全管理部門管理制度不健全的現(xiàn)狀，影響了我國金保工程信息安全[3]，因此，信息安全管理部門應建立健全管理體制，在信息安全管理制度中嚴格規(guī)范金保工程信息管理工作，將信息安全責任嚴格落實到每一位管理人員身上，使信息安全管理人員在工作中明確自身職責，避免由于職責不明導致部分人員消極怠工，為工作中的不負責任找借口。同時信息管理部門應制定嚴厲獎懲制度，給予積極工作表現(xiàn)優(yōu)異的管理人員經(jīng)濟獎勵和職稱獎勵，使表現(xiàn)出色的管理人員充分調(diào)動工作積極性，進而為其他工作人員樹立榜樣。對在信息安全管理工作中缺乏責任心，混日子的工作人員給予降級懲罰，對在信息安全工作中由于不負責任導致出現(xiàn)嚴重信息安全問題的管理人員給予辭退的懲罰。這種嚴厲的獎懲制度能夠起到立竿見影的作用，同時由于經(jīng)濟利益的驅(qū)使也能夠充分調(diào)動信息安全管理人員的工作積極性。

3.2提高管理人員安全建設意識

提高金保工程信息安全管理人員的安全建設意識，能夠有效提高金保工程信息建設安全度。提高信息安全管理人員的安全意識，首先要提高他們的職業(yè)道德素質(zhì)。信息安全管理部門應定期對信息安全管理人員進行職業(yè)道德素質(zhì)培訓，使他們時刻保持良好的職業(yè)道德素質(zhì)，使其對金保工程信息安全管理工作有正確認識[4]。在培訓信息安全管理人員的職業(yè)道德素質(zhì)時，應重點培訓金保工程信息安全的重要性，使管理人員意識到信息安全管理是保障國家機密信息安全的重要前提，國家機密的外漏將會影響社會生活的安全穩(wěn)定和人們的生命財產(chǎn)安全，因此，信息管理人員的信息安全管理工作具有重要意義。信息安全管理人員意識到自身工作對國家與社會的重要性，就會重新審視自己的工作，從而充分自身的信息安全建設意識，使我國金保工程信息安全建設得到有效保障。

3.3提高安全技術水平

由于金保工程是利用現(xiàn)代信息技術開展政府電子政務信息工作的，因此，信息技術水平直接影響金保工程信息安全。根據(jù)我國現(xiàn)階段高端和超高端電子信息技術人才供不應求的局面[5]，國家應大力扶持信息技術院校培養(yǎng)大量信息技術人才，同時對超高端信息技術人才委以重任，給其豐厚薪資報酬以吸引大量信息技術人才不斷研發(fā)和更新信息安全系統(tǒng)，開發(fā)出更安全的信息安全軟件為政府所用，為我國金保工程信息系統(tǒng)提供安全保障[6]。另外，還應進一步建立健全安全防護體系，對重要信息進行加密傳輸，避免信息在傳輸過程中被竊??；配備實時監(jiān)控及入侵檢測系統(tǒng)，加強對重要網(wǎng)段和關鍵服務器的保護；采用網(wǎng)絡防病毒系統(tǒng)，并與單機防病毒軟件相結(jié)合；建立重要系統(tǒng)數(shù)據(jù)的備份機制，并實現(xiàn)關鍵主機系統(tǒng)的冗余備份和災難恢復；建立服務于金保工程信息系統(tǒng)的數(shù)字認證服務，利用數(shù)字證書系統(tǒng)實現(xiàn)重要數(shù)據(jù)的加密傳輸、身份認證等。從而最大程度地確保金保工程的安全，提高金保工程信息安全建設水平。

4結(jié)語

隨著我國信息技術飛速發(fā)展，各級政府部門采用電子政務信息平臺進行辦公。我國金保工程通過現(xiàn)代化信息技術對中央、省級和市級進行勞動保障等業(yè)務的統(tǒng)一，使國家政府部門實時有效開展國家上下級別政府部門之間的工作，使國家各級政府部門的工作得到統(tǒng)一規(guī)范，促進了國家社會發(fā)展。由于信息技術中存在一定的信息安全問題，導致國家金保工程信息安全受到威脅，對我國機密信息安全不利，因此，加強金保工程信息安全建設勢在必行。

參考文獻

[1]朱國豐.金保工程：建設統(tǒng)一規(guī)范的公共服務網(wǎng)絡[N].中國勞動保障報,2008-10-30(003).

[2]張竹松.社會保障工作要重視“金保工程”信息安全建設[N].大理日報(漢),2013-11-30(A03).

[3]洪黎明.醫(yī)?？缡÷?lián)網(wǎng)還需政策發(fā)力[N].人民郵電,2014-04-21(006).

[4]秦子龍.中國電子政務信息安全現(xiàn)狀與策略(二)[N].政府采購信息報,2013-07-19(007).

[5]秦子龍.中國電子政務信息安全現(xiàn)狀與策略（一）[N].政府采購信息報,2013-07-12(007).

[6]邊玉芳.服務下沉做貼近百姓的好幫手[N].中國勞動保障報,2010-01-09(006).

作者：胡恒金 單位：睢寧縣人力資源和社會保障局

第五篇：移動互聯(lián)網(wǎng)的信息安全研究

【摘要】科學技術的進步推動了移動互聯(lián)網(wǎng)技術的發(fā)展，移動互聯(lián)網(wǎng)被廣泛應用于生產(chǎn)和生活中的同時，也面臨著一些發(fā)展問題，在信息傳輸和應用方面存在較大的安全問隱患，必須針對移動互聯(lián)網(wǎng)應用中的問題制定有效的對策，加強信息的安全管理。本文結(jié)合移動互聯(lián)網(wǎng)應用過程中暴露的安全問題，提出了移動互聯(lián)網(wǎng)信息安全管理策略。

【關鍵詞】移動互聯(lián)網(wǎng)；信息安全；策略探討

中國移動互聯(lián)網(wǎng)發(fā)展于2005年，目前以WAP為主要的信息傳輸方式。在國內(nèi)移動互聯(lián)網(wǎng)產(chǎn)品不斷完善的過程中，用戶的上網(wǎng)速度和上網(wǎng)體驗發(fā)生了重大的改變，多種通信產(chǎn)品成為移動互聯(lián)網(wǎng)應用的主流。移動互聯(lián)網(wǎng)用戶將信息交換作為重要業(yè)務，因此信息交換的安全性成為人們的關注的熱點。針對目前移動互聯(lián)網(wǎng)產(chǎn)品應用中的安全問題，必須制定有效的防護措施，保證信息安全。近幾年我國電力行業(yè)保持著較快的發(fā)展速度，作為國民經(jīng)濟的基礎產(chǎn)業(yè)，電力產(chǎn)業(yè)也取得了很大的成績，發(fā)電機容量和發(fā)電量居世界第二位。隨著我國國民經(jīng)濟的快速發(fā)展和人民生活水平的不斷提高，對電力的依賴程度也越來越高。電力需求與國民經(jīng)濟密切相關，電力彈性系數(shù)反映了用電增長速度與國民經(jīng)濟增長速度的相對關系。

1移動互聯(lián)網(wǎng)與電力建設背景分析

隨著電網(wǎng)基礎和分布式發(fā)電技術的改革，現(xiàn)代化輸電和配電將體現(xiàn)出智能化特點，最大限度地節(jié)約能源，新能源技術也將重新定義人類新生活，其中移動互聯(lián)網(wǎng)作為重要的紐帶將電網(wǎng)技術和多種智能終端設備聯(lián)系起來，為了人們的生活提供了便利。中國是全球最具活力的新興市場，隨著移動互聯(lián)網(wǎng)的發(fā)展，智能設備成為人們生活的伴侶，近年來電力開發(fā)行業(yè)將移動互聯(lián)網(wǎng)應用到電力建設中，很大程度上促進了電網(wǎng)建設的加速，電工產(chǎn)業(yè)不斷優(yōu)化升級。另外，在移動互聯(lián)網(wǎng)興起的過程中，電力開發(fā)生產(chǎn)技術不斷發(fā)展，電力企業(yè)的營銷模式也將發(fā)生巨大的轉(zhuǎn)變。目前4G網(wǎng)絡引領移動互聯(lián)網(wǎng)發(fā)展，移動APP為電力生產(chǎn)帶來了便利，以電力建設中的焊接工作為例，微信、QQ、拍照、微攝影、WPSOffice辦公平臺、備忘錄等智能APP功能在焊接工作中的作用日益重要，有利于辦公平臺的優(yōu)化，移動互聯(lián)網(wǎng)成為計劃、任務、進度管理、會議通知、質(zhì)量管理等的重要工具。為了拍出高清圖片，焊接人員更新智能拍照軟件，記錄焊接的影像資料，通過微信、QQ群在線交流，在施工過程中，充分應用WPSOffice辦公平臺軟件，在施工現(xiàn)場查閱焊接規(guī)程、技能考核等文件，將智能終端作為迷你辦公室，很大程度上提高了管理水平。移動互聯(lián)網(wǎng)的發(fā)展帶動信息消費的增長，信息消費的發(fā)展空間更加廣闊，以電子商務和移動互聯(lián)網(wǎng)信息的消費迅速增長，電力開發(fā)企業(yè)借助這一發(fā)展優(yōu)勢，將其作為發(fā)展就會促進產(chǎn)業(yè)進步。

2移動互聯(lián)網(wǎng)主要信息安全問題

2.1移動APP在電力應用中的問題

隨著智能電網(wǎng)建設進度的加快，很多智能型移動APP被應用于電力建設中，其中有管理方面的軟件，也有用戶端的繳費軟件，層出不窮的第三方軟件為人們的生活提供了便利，同時也暴露出一定的安全問題。例如移動APP惡意讀取用戶位置信息、泄露企業(yè)管理計劃、云端數(shù)據(jù)丟失等，移動APP的安全問題也成為人們關注的熱點，電力規(guī)劃和建設過程中必須保障數(shù)據(jù)安全，維護用戶利益。

2.2運營模式引起的安全問題

移動互聯(lián)網(wǎng)產(chǎn)品應用過程中，將多種信息交換業(yè)務作為核心，成為互聯(lián)網(wǎng)中重要的運營模式，傳統(tǒng)運營商將網(wǎng)絡作為核心，運營商和移動互聯(lián)網(wǎng)有著本質(zhì)的區(qū)別[1]。當今社會有很多豐富的個性化服務進入移動互聯(lián)網(wǎng)中，例如手機廣告、視頻、APP等。同時移動互聯(lián)網(wǎng)可以為用戶提供多種增值服務，體現(xiàn)出鮮明的產(chǎn)品特色，多種業(yè)務內(nèi)容也成為移動互聯(lián)網(wǎng)業(yè)務發(fā)展的重點，因此不同個性化服務的供應商成為移動互聯(lián)網(wǎng)快速發(fā)展的直接動力，但是在發(fā)展過程中也暴露出一些問題，例如供應商為了獲取更高的經(jīng)濟效益，將一些騷擾廣告和不健康內(nèi)容添加到WAP網(wǎng)站上，用戶誤點擊后將會收取一定的費用，在違背社會道德的同時，逐漸演變?yōu)閲乐氐漠a(chǎn)業(yè)問題和社會問題。

2.3由IP引起的安全問題

與傳統(tǒng)的多級和多層通信網(wǎng)絡不同，移動互聯(lián)網(wǎng)應用扁平化網(wǎng)絡技術，將IP化作為網(wǎng)絡核心，但是IP網(wǎng)絡本身具有較大的安全漏洞，自身也存在著較大的安全威脅。在網(wǎng)絡信息技術不斷發(fā)展和普及的過程中，安全問題也受到廣泛關注，多種網(wǎng)絡攻擊逐漸成為公眾網(wǎng)絡的主要危害，作為承載網(wǎng)絡的核心部分也必將受到較大的影響。在核心網(wǎng)架構(gòu)上，移動互聯(lián)網(wǎng)的管理信息、用戶信息和控制信息將會同步傳輸，終端用戶可以隨時訪問核心網(wǎng)，將會把核心網(wǎng)暴露在用戶端。在這種網(wǎng)絡環(huán)境下，運營商的核心網(wǎng)絡和業(yè)務網(wǎng)絡中不斷出現(xiàn)嚴重的安全問題，例如2009年5月19日晚9點左右，華南地區(qū)出現(xiàn)大面積網(wǎng)絡故障，不僅網(wǎng)絡連接出現(xiàn)問題，而且用戶的信息安全也受到嚴重的威脅，專家分析后確認該問題由DNS的零日溢出引起的，對DNS進行大量的查詢請求導致DNS服務器出現(xiàn)DDOS攻擊，運營商的DNS出現(xiàn)問題?；ヂ?lián)網(wǎng)應用過程中DNS服務器出現(xiàn)較多DDOS攻擊，形式也逐漸多樣化，例如利用緩沖區(qū)溢出、應用較大流量堵塞帶寬、偽造的DNS服務器發(fā)送大量的查詢請求等。網(wǎng)絡技術應用的同時，移動互聯(lián)網(wǎng)向全IP化發(fā)展，原來只在互聯(lián)網(wǎng)上出現(xiàn)的安全問題現(xiàn)已逐漸轉(zhuǎn)移到移動互聯(lián)網(wǎng)上。

2.4智能終端引起的安全問題

目前移動互聯(lián)網(wǎng)在網(wǎng)絡接入方面表現(xiàn)出鮮明的多樣化特征，不僅僅應用一種網(wǎng)絡接入方式，用戶可以按照需求采取多種接入方法，隨時都可以進行移動互聯(lián)網(wǎng)訪問。針對手機用戶而言，上網(wǎng)的粘性和上網(wǎng)時長不斷增加，因此手機網(wǎng)絡也表現(xiàn)出常態(tài)化特征，用戶在使用手機的過程中實現(xiàn)了碎片化溝通，信息類應用逐漸向娛樂和商務方向發(fā)展。與傳統(tǒng)網(wǎng)絡用戶不同的是，移動互聯(lián)網(wǎng)應用多種形式的終端設備，傳統(tǒng)用戶終端一般包括通信網(wǎng)的所中附屬設備，而移動互聯(lián)網(wǎng)全部應用智能終端。在移動互聯(lián)網(wǎng)能不斷完善和成熟的過程中，移動智能終端也逐漸表現(xiàn)出多樣化的特點，智能終端也因此成為安全問題頻發(fā)的部分，安全風險不斷加大，移動智能終端在推動移動數(shù)據(jù)業(yè)務進步的同時，很多用戶都將面臨著信息安全問題。另外，移動智能終端表現(xiàn)出多樣化和開放化特點的同時，信息交換的安全風險加大，在移動互聯(lián)網(wǎng)發(fā)展的過程中，移動企業(yè)一直處于市場發(fā)展的主導地位，企業(yè)的發(fā)展重點依舊是移動智能終端的研究和探索，因此一定給你智能終端的安全性很容易被企業(yè)忽視，與移動智能終端相關的安全問題也會逐漸暴露[2]。例如，收集APP會惡意設置吸費部分或者不健康內(nèi)容的連接，手機上網(wǎng)規(guī)模不斷增大的同時，手機使用過程中的安全問題也將逐漸明顯。移動互聯(lián)網(wǎng)的開發(fā)軟件層出不窮，收集第三方軟件的研究人員也不斷增多，在商業(yè)發(fā)展需求不斷提高的同時，應用軟件逐漸增多，但是目前在第三方軟件的控制管理方面還存在缺陷，無法保障信息安全。例如有些手機軟件惡意讀取用戶位置信息和短信內(nèi)容，給用戶信息安全帶來了較大的威脅[3]。

3移動互聯(lián)網(wǎng)信息安全策略

3.1完善信息安全法規(guī)建設

結(jié)合國內(nèi)目前的情況來看，在互聯(lián)網(wǎng)信息安全管理方面，立方層次較低，不同的層次見還存在一定的協(xié)調(diào)問題，目前已有的移動互聯(lián)網(wǎng)法律還有待完善，將現(xiàn)有的法律應用于移動互聯(lián)網(wǎng)建設中將會缺乏一定的科學性和權(quán)威性。目前，移動互聯(lián)網(wǎng)接入過程中面臨著較大的問題，移動互聯(lián)網(wǎng)行業(yè)還沒有施行手機實名制的法律，因此在移動互聯(lián)網(wǎng)應用的過程中缺乏針對性的法律，無法對網(wǎng)民的行為構(gòu)成有力的約束，也不能保護人們的信息安全。法律是移動互聯(lián)網(wǎng)進行有效管控的保障。在完善法律法規(guī)的過程中，需要結(jié)合實際已發(fā)系誒套用戶和移動互聯(lián)網(wǎng)運營企業(yè)之間的關系，避免兩者出現(xiàn)較大的業(yè)務矛盾。為了建立科學有效的移動互聯(lián)網(wǎng)法律體系，必須結(jié)合國內(nèi)的發(fā)展現(xiàn)狀，勇于借鑒國外的方法，將信息安全和移動互聯(lián)網(wǎng)安全獨立開，針對獨立額部分建立針對性的法律法規(guī)。結(jié)合國內(nèi)移動互聯(lián)網(wǎng)發(fā)展的實際情況，移動互聯(lián)網(wǎng)安全管理過程中的立法工作需要從以下三個方面著手：①完善手機實名制制度，加大隱私保護力度；②建立信息安全法，不斷完善與當今移動互聯(lián)網(wǎng)信息安全相關的法規(guī)；③不斷加強對互聯(lián)網(wǎng)管理和移動互聯(lián)網(wǎng)管理的監(jiān)督。

3.2加快移動互聯(lián)網(wǎng)信息安全機構(gòu)建設

嚴格的立法是政府對移動互聯(lián)進行監(jiān)督管理的重要依據(jù)，結(jié)合國家移動互聯(lián)網(wǎng)的發(fā)展形勢，必須經(jīng)信息安全管理和移動互聯(lián)網(wǎng)安全管理分開。針對國內(nèi)網(wǎng)絡監(jiān)督管理機構(gòu)建設，需要通信網(wǎng)絡的優(yōu)勢對移動互聯(lián)網(wǎng)發(fā)展目標進行統(tǒng)一規(guī)劃，為信息安全的管理和監(jiān)督提供有利的依據(jù)[4]。針對國家級信息安全管理機構(gòu)而言，必須在互聯(lián)網(wǎng)信息安全管理的過程中切實負起責任，徹底改變信息安全制度制定過程中的問題。國家在建立統(tǒng)一的安全管理機構(gòu)時，以法制建設為依托，設置專家咨詢委員會，專家咨詢委員會作為參謀機構(gòu)的同時，對安全信息管理提供合理的建議。

3.3完善移動終端管理方案

移動終端管理過程中，重點需要加大對安全技術的研究力度，將注意力集中到移動互聯(lián)網(wǎng)手機安全技術方面。同時協(xié)調(diào)不同管理機構(gòu)之間的關系，構(gòu)建科學嚴謹?shù)墓芾礞湕l，完善安全管理部門的監(jiān)督政策，公安部門加大查處力度，完善與司法環(huán)節(jié)相關的法規(guī)。用戶應用手機的過程中，必須具有較高的安全意識，政府加強對用戶的安全教育，同時對第三方軟件商家進行有力的監(jiān)督。企業(yè)單位不斷加強內(nèi)部保密機制，對涉密文件進行嚴格管理。

4結(jié)束語

移動互聯(lián)網(wǎng)不斷發(fā)展的過程中，用戶將重點放在智能產(chǎn)品的功能上，信息安全一直存在較大的安全隱患，為了保證移動互聯(lián)網(wǎng)健康穩(wěn)定發(fā)展，必須針對具體問題制定有效的對策。本文從移動互聯(lián)網(wǎng)中暴露的安全問題出發(fā)，提出了信息安全保障的策略，可以為移動互聯(lián)網(wǎng)信息安全建設提供就借鑒。

參考文獻

[1]羅軍舟，吳文甲，楊明，等.移動互聯(lián)網(wǎng)：終端、網(wǎng)絡與服務[J].計算機學報，2011，34（11）：202.

[2]陳遙，夏亮亮，譚輝，等.移動互聯(lián)網(wǎng)環(huán)境下終端與服務器安全交互的研究[J].南京信息工程大學學報，2015，7（5）：142.

[3]涂靜，田增山，周非，等.移動互聯(lián)網(wǎng)安全終端的設計與實現(xiàn)[J].電子技術應用，2013，39（10）：162.

[4]范紅，杜大海，王冠，等.移動互聯(lián)網(wǎng)安全測評關鍵技術研究[J].中興通訊技術，2015，36（3）：38.

作者：徐晨1 倪舜2 單位：1.嘉興市恒光電力建設有限責任公司華創(chuàng)分公司 2.國網(wǎng)浙江省電力公司嘉興供電公司

第六篇：內(nèi)網(wǎng)準入及終端管控在信息安全保護實踐思考

【摘要】為防范政府部門、金融機構(gòu)等單位敏感信息泄露、提高信息安全保護能力，本文從單位內(nèi)網(wǎng)準入及終端管控技術入手，在分析研究兩者技術原理的基礎上，結(jié)合自身項目實踐，給出了一種把住終端“準入”、“管住”兩個關鍵環(huán)節(jié)的技術方案。實踐證明，該方案有效提升了單位信息安全保護水平，達到了預期目標。

【關鍵詞】內(nèi)網(wǎng)準入；終端管控；信息安全保護

1引言

對數(shù)據(jù)保密性要求高的政府部門、金融機構(gòu)等單位，防止敏感信息泄露始終是一個嚴峻的課題。在信息安全保護實踐中，各單位往往對數(shù)據(jù)集中的后臺服務端投入精力較多，對來自終端的威脅重視不足。來自終端的威脅主要為兩方面：一是內(nèi)部網(wǎng)絡接入層侵入。二是內(nèi)部計算機終端安全管理失控。信息安全事件調(diào)查經(jīng)驗表明，多數(shù)信息泄露安全事件的突破口來自終端。因此，各單位在防范敏感信息泄露時，應對來自終端的威脅給予足夠的重視，牢牢把住終端“準入”、“管住”兩個關鍵環(huán)節(jié)。

2原理分析

2.1網(wǎng)絡準入與終端安全之間的關系

內(nèi)部網(wǎng)絡準入，是指在人事管理層面識別用戶身份后，通過技術手段給予合法用戶、合法設備接入的過程。計算機終端安全，是指包含非法外聯(lián)監(jiān)控、移動存儲管理等在內(nèi)的一系列安全防范措施，是一個單位信息安全管理制度的技術化實現(xiàn)，構(gòu)成了對合法接入終端的安全基線。達到終端安全基線是目的，網(wǎng)絡準入是重要的前置保障手段。在實踐中，只有把網(wǎng)絡準入與終端管控結(jié)合起來，才能有效實現(xiàn)內(nèi)網(wǎng)信息安全保護。

2.2網(wǎng)絡準入實現(xiàn)原理

當前國際主流的企業(yè)級實現(xiàn)技術主要有802.1x認證、安全網(wǎng)關認證等。實施802.1x認證方式的前提是交換機支持802.1x認證協(xié)議。交換機與認證服務器聯(lián)動，根據(jù)認證服務器下發(fā)的認證結(jié)果，提供基于端口的準入控制。這種認證方式的優(yōu)勢是若在接入層實施，終端互訪控制力度很強。認證前，交換機接入端口關閉，終端完全隔離。認證后，接入端口開啟，相同VLAN內(nèi)的終端可以互訪。缺點是實施、維護過程中網(wǎng)絡部門的工作量很大，并且無法從原理上解決終端用戶在交換機端口以下私接HUB的問題。實施安全網(wǎng)關認證方式需要在生產(chǎn)網(wǎng)絡中添加硬件安全網(wǎng)關（防火墻）設備，旁路部署在核心交換機側(cè)或匯聚交換機側(cè)。然后通過在交換機上添加策略路由（Policybasedrouting），將需要認證的IP地址范圍內(nèi)終端流量上拉至安全網(wǎng)關進行身份認證。安全網(wǎng)關接收認證服務器下發(fā)的動態(tài)ACL，對流量選擇回注至交換機或丟棄，從而達到網(wǎng)絡準入的效果。這種認證方式的優(yōu)勢是配置實施簡單，對現(xiàn)有生產(chǎn)網(wǎng)絡改動要求小，并且因為采取三層認證方式，對人員、部門遷移支持性好，同時還能夠有效防止私接HUB的情況。缺點是由于控制點在核心側(cè)或匯聚側(cè)，安全網(wǎng)關對終端之間的互訪行為控制力度較弱。

2.3終端安全實現(xiàn)原理

為確保管控效果，企業(yè)級產(chǎn)品基本實現(xiàn)模式均為在計算機客戶端駐留程序，對信息保密要求較高的單位常見的需求包括以下幾方面：安全狀態(tài)檢查。最基礎的要求包括是否安裝了要求版本的殺毒軟件，病毒庫定義是否保持更新等。此類功能主要通過安全軟件讀取系統(tǒng)注冊表及掃描特定位置文件系統(tǒng)實現(xiàn)。移動存儲管理。根據(jù)各單位信息安全管理要求等級不同，檢查是否存在違規(guī)使用移動存儲介質(zhì)管理的情況。此類功能主要通過安全軟件提升運行權(quán)限后向操作系統(tǒng)底層驅(qū)動注入代碼實現(xiàn)。非法外聯(lián)監(jiān)控。對信息保密要求高的單位，接入內(nèi)網(wǎng)的計算機終端通常都是禁止與互聯(lián)網(wǎng)直接或間接連通的。檢查非法外聯(lián)的通常做法是安全軟件定期檢查與某個互聯(lián)網(wǎng)地址的連通性，若有連通便會觸發(fā)監(jiān)控報警。

3項目實踐案例

筆者作為項目負責人，于近期完成了一次單位內(nèi)網(wǎng)準入與終端管控項目建設工作。該項目實施環(huán)境為政府機構(gòu)辦公內(nèi)網(wǎng)，實施目標網(wǎng)絡運行著單位內(nèi)部辦公系統(tǒng)以及大量對外服務的業(yè)務系統(tǒng)，生產(chǎn)網(wǎng)絡割接需要慎重。同時，在嚴格管控USB存儲介質(zhì)等外設使用的制度要求下，又因業(yè)務特點，需要使用品種型號各異的Ukey等特種設備。因此該項目建設中必須遵循對現(xiàn)有生產(chǎn)網(wǎng)絡及系統(tǒng)影響最小的原則。為達到上述目標，筆者在對網(wǎng)絡準入及終端管控技術進行研究的基礎上，對市場相關主流產(chǎn)品進行了長達半年的多方調(diào)研與測試選型。根據(jù)單位綜合布線基礎設施現(xiàn)狀、業(yè)務系統(tǒng)特點等實際情況，最終確定了使用硬件安全網(wǎng)關實現(xiàn)準入，在客戶端駐留程序與安全網(wǎng)關聯(lián)動實現(xiàn)終端管控的技術路線。在項目實施中，筆者總結(jié)了以下幾點經(jīng)驗：（1）終端安全管控軟件部署應嚴格遵循“充分測試，穩(wěn)步推進”的原則。由于終端安全軟件本身原理決定的底層侵入性（提權(quán)運行、操作系統(tǒng)驅(qū)動及協(xié)議棧注入等），部署過程必須先選取運行重要業(yè)務系統(tǒng)、特種外設部門的計算機為試點，局部安裝客戶端，排查兼容性風險，積累部署經(jīng)驗。（2）網(wǎng)絡準入實施應注意排查啞終端盲點，細粒度開展網(wǎng)絡割接。因網(wǎng)絡準入控制功能需要在終端安裝程序與防火墻交互實現(xiàn)，對不能安裝的啞終端（如網(wǎng)絡打印機等非PC類設備），需在硬件網(wǎng)關設備上做特殊策略放行。在利用策略路由進行流量上拉時，本質(zhì)是對生產(chǎn)網(wǎng)絡的割接。為便于控制與回退，建議采取細粒度方案，以部門或樓層VLAN為單位逐個進行實施。筆者實施的項目上線試運行后，從功能、性能及兼容性幾方面看，均較好地實現(xiàn)了項目建設需求。同時筆者通過組織對現(xiàn)有內(nèi)網(wǎng)在網(wǎng)設備管理制度開展修訂完善，以制度和技術相結(jié)合的方式，形成了單位內(nèi)網(wǎng)終端準入控制閉環(huán)，進一步提高了內(nèi)網(wǎng)信息安全保障水平。

4結(jié)語

信息安全保障能否落實，往往在于一個“細”字。要實現(xiàn)對信息安全閉環(huán)式管理，僅僅重視信息系統(tǒng)服務端的保護是不夠的，必須重視對每個入網(wǎng)終端的安全管理。同時，我們也必須認識到，對一個單位的信息安全管理而言，永遠是“三分技術，七分管理”。再好的技術手段，也只有和管理制度相結(jié)合，并加以強力執(zhí)行，才能達到預定的安全目標。

作者：薛金川 單位：中國人民銀行營業(yè)管理部

第七篇：互聯(lián)網(wǎng)時代計算機信息安全研究

摘要：隨著計算機技術的飛速發(fā)展，當前社會已逐步進入信息時代，計算機已融入人們的日常生活，成為人們生活和工作中必不可少的工具，計算機信息網(wǎng)絡是當今社會發(fā)展的重要保障。斯諾登曝光美國的“棱鏡”監(jiān)控計劃，使得人們見識到計算機大數(shù)據(jù)巨大能力的同時，更喚起人們對信息安全的重視。計算機不僅給生活工和作帶來便利快捷，也帶來了相關信息安全問題。筆者對計算機信息安全及所面臨的問題、計算機信息安全的重要性及防范措施進行分析。

關鍵詞：信息時代；計算機信息安全；加密技術；制定相關法律

互聯(lián)網(wǎng)時代是一個大容量信息時代，隨著計算機網(wǎng)絡技術的廣泛運用，信息安全問題逐漸受到人們重視。QQ、微信等社交軟件逐漸替代了傳統(tǒng)社交方法，支付寶、網(wǎng)上銀行等網(wǎng)絡購物軟件也逐漸融入生活中。但是在使用這些相關的網(wǎng)絡產(chǎn)品時，不可避免地需要透露部分個人信息，一旦信息流失，可能造成不必要損失。在當今網(wǎng)絡普及的情況下，在使用網(wǎng)絡時應注重個人信息的保護。

1計算機信息安全概述

計算機信息安全的定義為：需保證信息的保密性、真實性、完整性、未授權(quán)拷貝及所寄生系統(tǒng)的安全性。簡單理解就是使信息系統(tǒng)中的硬件、軟件、數(shù)據(jù)、物理環(huán)境等技術設施受到保護，實現(xiàn)系統(tǒng)運行的連續(xù)性，不會遭到有意或無意的破壞、更改、泄露，保證信息服務不中斷[1]。網(wǎng)絡環(huán)境下的信息安全體系是保證用戶信息安全的基礎，其中包含計算機操作系統(tǒng)、安全協(xié)議、安全機制等。信息安全對個人或商業(yè)集團，乃至于國家都是很重要的問題。信息是一種資源，因其普遍性、共享性、增值性、可處理性及多效用性對人們?nèi)粘Ｉ罹哂兄卮笠饬x。保障信息安全的根本是保護信息系統(tǒng)和信息網(wǎng)絡中的數(shù)據(jù)資源免遭多方面的破壞及干擾，即保證信息數(shù)據(jù)的安全性。2015年，兩會已將網(wǎng)絡安全法列入相關立法計劃中。網(wǎng)絡安全法的制定是規(guī)范及監(jiān)管計算機信息安全的有力保障。隨著高科技的快速發(fā)展，不斷融入社會各個領域中，包括政治、經(jīng)濟、軍事及文化等?，F(xiàn)代信息社會的主要特征之一就是通過網(wǎng)絡獲取信息及傳播信息。網(wǎng)絡技術的日益成熟，人們在享受網(wǎng)絡技術給生活帶來諸多便利的同時，也應注意保護個人信息安全，計算機信息安全必須具有相對強大的保護手段，確保網(wǎng)絡信息的安全、完整。

2計算機信息安全的意義

近年來，我國已成為世界上互聯(lián)網(wǎng)用戶數(shù)量最多的國家，也是世界上互聯(lián)網(wǎng)發(fā)展普及速度最快的國家。我國的計算機技術在給人們生活和工作帶來諸多便利的同時，也同樣有著大量信息安全問題，如之前12306火車票訂票官網(wǎng)的用戶信息泄露事件，引起社會各界廣泛關注，類似事件近年來頻頻發(fā)生，個人隱私在不知不覺中被泄露。網(wǎng)絡信息安全問題源于信息技術的飛速發(fā)展及廣泛應用，但是又不僅僅是計算機信息技術造成的，不但表現(xiàn)為人們過度依賴計算機信息技術，自計算機信息技術、信息內(nèi)容、信息活動及信息基礎設施的控制力等概念提出之時開始，自然表現(xiàn)為對物理環(huán)境、個人行為的過度依賴[2]。網(wǎng)絡信息安全是一種基礎安全，目前我國社會信息化程度日益加深，計算機信息網(wǎng)絡已與社會生產(chǎn)、人們生活活動、國家機關等各種企業(yè)組織活動緊密結(jié)合在一起，社會經(jīng)濟發(fā)展、國家政治外交、國防軍事活動都逐漸依賴于龐大而薄弱的計算機網(wǎng)絡信息系統(tǒng)。計算機網(wǎng)絡信息系統(tǒng)逐漸成為政治、經(jīng)濟、文化及社會活動的基礎平臺和中央樞紐。

3信息安全面臨的問題

當前無處不在的計算機用戶終端、時刻都在進行的網(wǎng)絡傳輸、互動頻繁的社交網(wǎng)絡使得互聯(lián)網(wǎng)一直在產(chǎn)生巨大的數(shù)據(jù)內(nèi)存，在海量數(shù)據(jù)背后存在著巨大經(jīng)濟及政治利益。當前計算機信息技術面臨以下幾種威脅。第一，計算機病毒的威脅，隨著Internet技術的快速發(fā)展，病毒的感染、傳播能力及途徑也由原來的單一簡單變得復雜、隱秘。第二，黑客的攻擊，黑客攻擊已成為近年來計算機網(wǎng)絡中經(jīng)常出現(xiàn)的狀況，黑客利用計算機系統(tǒng)、網(wǎng)絡協(xié)議及數(shù)據(jù)庫等方面的系統(tǒng)漏洞及防火墻的薄弱防護能力，使用后門程序、信息炸彈、密碼破解等手段入侵計算機系統(tǒng)，盜竊系統(tǒng)保密信息，破壞信息或占用系統(tǒng)資源。第三，信息傳遞的安全風險，企業(yè)與外部單位、國外相關公司進行廣泛的工作交流，大量日常工作信息、數(shù)據(jù)都需要通過互聯(lián)網(wǎng)進行傳輸。使用網(wǎng)絡傳輸信息會被非法用戶截取進而泄露企業(yè)機密；被非法篡改，造成數(shù)據(jù)混亂、信息錯誤進而對工作造成影響；非法用戶假冒身份，虛假信息，造成企業(yè)生產(chǎn)運行出現(xiàn)混亂，造成不可估量的破壞及損失[3]。第四，隨著軟件系統(tǒng)規(guī)模的不斷擴大，不可避免地存在安全漏洞，任何一個軟件系統(tǒng)在設計過程中可能由于程序員的大意、設計中的缺陷等原因而存在漏洞，這也是網(wǎng)絡安全面對的主要問題。

4信息安全防范對策

面對當前計算機信息時代的數(shù)據(jù)特點，保障人們信息安全是首要解決的問題。制定信息安全防范對策，首先要提高訪問控制方面的安全指數(shù)，防止用戶通過非法途徑入侵他人計算機系統(tǒng)對其造成損失。需要使用認證機制，此項訪問控制通過身份認證、報文認證、訪問授權(quán)、數(shù)字簽名等途徑得以實現(xiàn)。還應加強對網(wǎng)絡安全監(jiān)測，對網(wǎng)絡整體的運行過程進行動態(tài)監(jiān)測，減少病毒的入侵破壞。其次，加強對數(shù)據(jù)傳輸?shù)谋Ｗo，在數(shù)據(jù)傳輸過程中對病毒進行攔截和相應的病毒檢測，要防患于未然。對數(shù)據(jù)的連接層進行加密，減少數(shù)據(jù)在進行傳輸過程中被盜竊的風險，然后對傳輸層和應用層進行加密，防止網(wǎng)絡應用程序?qū)?shù)據(jù)私自加密或解密。最后，加深網(wǎng)絡用戶對網(wǎng)絡安全的認知程度，加強對用戶網(wǎng)絡安全意識的培養(yǎng)，進一步普及相關網(wǎng)絡安全知識，正確引導網(wǎng)絡用戶以提升對網(wǎng)絡安全的認識[4]。設立專門監(jiān)管計算機網(wǎng)絡安全的相關部門，制定保護計算機網(wǎng)絡安全的相關法律，為其健康發(fā)展提供法律依靠。

5結(jié)語

網(wǎng)絡安全應有足夠強的安全保護措施，保障網(wǎng)絡信息的安全性、完整性及可用性。計算機網(wǎng)絡信息的安全需要提升到一個新的高度，充分發(fā)揮計算機信息網(wǎng)絡的積極作用，推進經(jīng)濟、文化、軍事及社會活動的健康發(fā)展。只有加強網(wǎng)絡與信息安全管理，增強安全意識，不斷改進和發(fā)展網(wǎng)絡安全保密技術，才能防范于未然，減少國家、企業(yè)或個人的損失。信息時代的來臨，給人們?nèi)粘Ｉ顜碇T多便利，但生活在計算機信息飛速發(fā)展的時代，個人信息安全的重要性日益凸顯，應了解計算機信息網(wǎng)絡，加強對個人信息的防范意識，學習相應的信息安全保護措施，在享受計算機信息時代給生活帶來便利的同時，使得個人信息安全得到保障。

參考文獻

[1]趙建功.淺談信息時代下計算機電子商務的安全策略[J].中國高新技術企業(yè),2015(9):81-82.

[2]宗俊超.淺談網(wǎng)絡信息處理與安全方面的計算機應用[J].科技創(chuàng)新與應用,2013(12):50.

[3]王穎波.計算機信息安全技術及防護研究[J].計算機光盤軟件與應用,2013(22):171-172.

[4]王磊.關于計算機網(wǎng)絡信息安全及防護策略探究[J].電腦知識與技術,2014(19):4414-4416.

作者：白云 單位：湖北工程學院

第八篇： WEB訪問行為中的信息安全分析

【摘要】網(wǎng)絡技術的迅猛發(fā)展，應用領域的不斷擴大，導致信息安全問題日益突出。信息安全正逐漸成為一個綜合性的多層面的問題。它是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識、控制。本文就人們?nèi)粘５木W(wǎng)絡訪問行為中，可能會導致信息安全問題的用戶行為進行分析研究，尋求一種安全、文明的訪問行為。

【關鍵詞】網(wǎng)絡訪問；訪問行為；信息安全

0引言

互聯(lián)網(wǎng)是由若干個計算機網(wǎng)絡互相連接而組成的網(wǎng)絡，目前最大的互聯(lián)網(wǎng)是因特網(wǎng)，它由眾多的計算機網(wǎng)絡互相連接組成、覆蓋全球的開放性網(wǎng)絡，廣泛應用于社會經(jīng)濟、教育、文化傳播等等方面。我國互聯(lián)網(wǎng)的產(chǎn)生雖然比較晚，但是經(jīng)過幾十年的發(fā)展，依托于中國國民經(jīng)濟和政府體制改革的成果，已經(jīng)顯露出巨大的發(fā)展?jié)摿1]。中國已經(jīng)成為國際互聯(lián)網(wǎng)的一部分，并且將會成為最大的互聯(lián)網(wǎng)用戶群體。隨著社會的發(fā)展，人們對網(wǎng)絡信息的需求和依賴日益增強，計算機網(wǎng)絡已經(jīng)悄然進入尋常百姓的生活，滲透了衣、食、住、行、娛等各個領域。網(wǎng)絡技術的高度發(fā)展，為我們進行現(xiàn)代化建設提供了技術保障。然而，網(wǎng)絡應用中卻存在著許多不安全因素，其主要表現(xiàn)在信息泄漏、信息篡改、非法使用網(wǎng)絡資源、非法信息滲透、假冒信息等等。本文就人們?nèi)粘５木W(wǎng)絡訪問行為中，可能會導致信息安全問題的用戶行為進行分析研究，尋求一種安全、文明的訪問行為。

1計算機網(wǎng)絡的信息安全隱患

計算機網(wǎng)絡信息安全主要面臨兩類威脅，一類是計算機信息泄漏，另一類是數(shù)據(jù)破壞。由于計算機系統(tǒng)脆弱的安全性，只要用計算機來處理、存儲和傳輸數(shù)據(jù)就會存在安全隱患。近年來，隨著計算機網(wǎng)絡信息泄漏和信息破壞事件不斷上長的趨勢，計算機信息安全問題已經(jīng)從單一的技術問題，演變成為突出的社會問題，因此，計算機網(wǎng)絡信息系統(tǒng)的安全與防范顯得越發(fā)重要。計算機網(wǎng)絡的三個最重要功能是數(shù)據(jù)通信、資源共享和分布處理，在這些環(huán)節(jié)當中，都存在信息安全問題。信息安全是指利用網(wǎng)絡管理控制和技術措施，防止網(wǎng)絡本身及網(wǎng)上傳輸?shù)男畔?shù)據(jù)被故意地或偶然地非授權(quán)泄漏、更改、破壞，或使網(wǎng)上傳輸?shù)男畔⒈环欠ㄏ到y(tǒng)辨認、控制，即確保網(wǎng)上傳輸?shù)男畔?shù)據(jù)的完整性、保密性、可用性受到保護[1]。目前，在網(wǎng)絡信息安全方面，主要存在以下的安全隱患：

1.1網(wǎng)絡中存在的不安全因素

用戶可以通過網(wǎng)絡自由和獲取各類信息，因此，網(wǎng)絡的威脅也來自方方面面。在這些威脅中最主要的是在計算機協(xié)議或證書中存在的不安全性因素[3]，如計算機協(xié)議主要包括：FTP、IP/TCP協(xié)議、SSL、NFS、SET等協(xié)議，這些協(xié)議中如果存在漏洞網(wǎng)絡入侵者就能夠根據(jù)這些漏洞搜索用戶名，可以猜測到機器密碼口令，攻擊計算機防火墻。數(shù)字證書則是通過標志交易各方身份信息的一系列數(shù)據(jù)，提供了一種驗證各自身份的方式，用戶可以用它來識別對方的身份。當一些惡意、非法的偽造數(shù)字安全證書被安裝后，網(wǎng)絡信息就被完全暴露。而且，網(wǎng)絡用戶對計算機及網(wǎng)絡知識了解并不多，一旦頁面上出現(xiàn)的諸多提示，往往是一路“確定”下去。

1.2數(shù)據(jù)庫管理系統(tǒng)的不安全

數(shù)據(jù)庫管理系統(tǒng)是基于分級管理的理念而建立，本身就存在缺陷。因此，由于數(shù)據(jù)庫的不安全因素的存在就會將用戶上網(wǎng)瀏覽的痕跡泄漏，用戶在網(wǎng)上存儲和瀏覽的信息，通過這些用戶的賬號，密碼都會被泄漏，這樣就會大大威脅到用戶的財產(chǎn)隱私安全。

1.3計算機操作系統(tǒng)存在的不安全因素

計算機的整個支撐軟件是它的操作系統(tǒng)，電腦中的所有程序運行都靠支撐軟件為其提供環(huán)境。一旦網(wǎng)絡入侵者控制了操作系統(tǒng)，那么用戶口令就會被泄露，用戶在各個程序中殘留的信息就會被入侵者截取。

2獲取網(wǎng)絡用戶信息的方式分析

智慧城市概念的提出，伴隨著網(wǎng)絡帝國的崛起、移動技術的融合發(fā)展，知識社會環(huán)境下的智慧城市是繼數(shù)字城市之后信息化城市發(fā)展的高級形態(tài)。從內(nèi)容上看，信息化過程可分為信息的生產(chǎn)、應用和保障三大方面。信息的獲取方式多種多樣，涉及到網(wǎng)絡用戶信息的方式有如下幾種類型：（1）網(wǎng)絡及系統(tǒng)漏洞：在傳統(tǒng)安全防御技術中，系統(tǒng)的后門因其隱蔽性而被人們所忽視，作為網(wǎng)絡協(xié)議和網(wǎng)絡服務實現(xiàn)的載體，網(wǎng)絡操作系統(tǒng)本身負有不可推卸的責任，在程序運行過程中存在的缺陷和漏洞在所難免。由于防火墻對這類入侵的攔截力度不足，導致這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺。Cookie這種網(wǎng)絡小甜餅是一些會自動運行的小程序。網(wǎng)站設計師使用它們來為你提供方便而高效的服務[2]。但同時通過使用這些小程序，商業(yè)公司和網(wǎng)絡入侵者能夠輕易獲得你機器上的信息。JavaJava作為一種技術，一直備受爭議，現(xiàn)實中有無數(shù)利用Java的漏洞成功入侵案例。（2）網(wǎng)絡惡意攻擊：通俗來說就是網(wǎng)絡黑客攻擊和網(wǎng)絡病毒，這兩類問題是目前公認的網(wǎng)絡安全公敵。隨著計算機文化在社會各個階層的滲透，使得這類攻擊變得越來越容易，一旦發(fā)現(xiàn)有關目標機器的詳細資料，利用程序工具，對目標機器的文件資料、配置進行閱讀、拷貝、修改等等[4]。網(wǎng)絡病毒傳播利用用戶訪問自己的網(wǎng)站或下載文件資料的同時傳播病毒，以達到竊取信息的目的。（3）社交軟件：有超過95%的網(wǎng)民正在使用的各類工具軟件，它的及時、便捷給大家?guī)矸奖愕耐瑫r，也給信息的泄漏帶來可乘之機。如“微信三點定位”引發(fā)的熱議，折射出了公眾對隱私暴露的不安。個人信息與隱私界定標準的模糊讓人頭疼，用戶亦因此不自覺地泄露個人信息。（4）用戶習慣：當使用者在使用某網(wǎng)站的某些認證時，每當有窗口彈出顯示認證和授權(quán)時，絕大多數(shù)人會毫不猶豫地按下“Yes”。這就好比你購買商品時，售貨員問：“把你錢包給我，請相信我會取出合適數(shù)量的錢替您付款，您說好嗎？”你一定會斬釘截鐵地回答：“No”這兩種情況本質(zhì)上完全一樣。

3網(wǎng)絡訪問行為調(diào)查分析

那些非法竊取在線信息和通訊的黑客入侵者以及試圖保護信息安全的人們已經(jīng)陷入一場軍備競賽。每年都會發(fā)生各種入侵攻擊，日益進化的網(wǎng)絡技術導致安全行業(yè)努力利用現(xiàn)有工具抵抗攻擊，同時收集有關新威脅的情報[3]。用戶也是這一問題的一部分，他們粗心或者惡意的網(wǎng)絡行為讓入侵者有機可乘，或者直接導致網(wǎng)絡泄密。通過對不同年齡段人群進行網(wǎng)絡訪問的行為調(diào)查，共發(fā)放500份調(diào)查問卷，內(nèi)容涉及網(wǎng)絡訪問需求、訪問類型、訪問行為方式、具體問題的處理方式和一些網(wǎng)絡安全基本知識，回收到有效的問卷486份，對問卷進行統(tǒng)計分析后，得到了以下的網(wǎng)絡訪問行為的分析結(jié)果：從不同群體對網(wǎng)絡的需要比例來看（見圖1），網(wǎng)絡速度是第一位的需求，安全性要求擺在末位，顯示受訪者的網(wǎng)絡安全意識淡薄，甚至把網(wǎng)絡速度作為衡量網(wǎng)絡使用效果、計算機質(zhì)量好壞的判斷依據(jù)。針對不同受訪群體的網(wǎng)絡訪問類型（見圖2），從統(tǒng)計結(jié)果來看，社交軟件是普遍使用較多的應用。據(jù)DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心聯(lián)合360手機安全中心的《2015年Android手機隱私安全報告》顯示，要求讀取設備信息以91%的比例高居首位，占比76.8%的讀取位置信息位居第二。無論是PC端還是手機移動終端，使用相關軟件時，都應該進行相應的安全設置，以保護個人信息與隱私的安全。電子郵件在中青年人群應用較多，需要注意的是當電子郵件中有附件時，應使用下載附件的郵件閱讀方式，而非直接打開進行在線閱讀的方式，這樣可以有效杜絕惡意軟件的傳播與在線運行行為。根據(jù)不同人群對計算機及網(wǎng)絡安全的關注情況來看（見圖3），老年群體的計算機及網(wǎng)絡安全狀態(tài)令人擔心，在這些措施當中，依賴第三方安全管理軟件進行計算機與網(wǎng)絡的安全管理比重較大，顯示了網(wǎng)民對計算機與網(wǎng)絡知識薄弱，這樣就存在著如何選擇合適的第三方安全管理軟件的問題。更令人擔憂的是，網(wǎng)民普遍存在對計算機及網(wǎng)絡相應的安全設置不明白、不清楚的現(xiàn)象，沒有設置好的計算機與網(wǎng)絡軟硬件環(huán)境，這就意味著信息安全的第一道防線不攻自破，此時更談不上網(wǎng)絡訪問行為中的信息安全了。從不同群體網(wǎng)絡訪問時遇到的問題比例來看（見圖4），網(wǎng)絡騷擾信息、虛假信息較多，而且成為普遍的現(xiàn)象。這些問卷顯示，在網(wǎng)絡上下載一些軟件后，經(jīng)常會自動彈出一些頁面，當用戶不經(jīng)意點擊鏈接后，可能跳轉(zhuǎn)到欺騙網(wǎng)站、虛假頁面等網(wǎng)絡陷阱中去，進而導致信息安全得不到有效保護，甚至產(chǎn)生人生安全、財產(chǎn)損失等嚴重后果。

4結(jié)論

計算機網(wǎng)絡信息安全面臨的威脅中，除了管理層面的數(shù)據(jù)破壞所帶來的問題外，另一類是用戶層面的計算機信息泄漏[4]。導致計算機信息泄漏的途徑有很多。首先，必須有一個安全可靠的計算機及網(wǎng)絡環(huán)境，在人們?nèi)粘５木W(wǎng)絡訪問行為中，要學會進行必要的計算機及網(wǎng)絡的相關安全設置，及時下載系統(tǒng)及軟件補丁，安裝殺毒軟件和防火墻等安全管理軟件，營造良好網(wǎng)絡訪問環(huán)境；其次，是在進行網(wǎng)絡訪問時，要有真假信息的甄別能力，網(wǎng)絡信息量龐大，學會辨別是非是信息安全、文明上網(wǎng)的有效舉措；最后，對于用戶而言，更為重要的是良好網(wǎng)絡訪問習慣的養(yǎng)成，在正規(guī)網(wǎng)站下載軟件，遇到網(wǎng)頁提示要認真看清讀懂，不隨便在論壇及社交網(wǎng)站個人敏感信息，樹立牢固的信息安全防范意識，保護好個人隱私。

【參考文獻】

［1］蔣蔚．網(wǎng)絡行為管理系統(tǒng)研宄及設計[D]．浙江工業(yè)大學,2012．

［2］楊宗長,徐繼生,孫洪．Web訪問者網(wǎng)絡行為跟蹤[J]．計算機安全,2004(8)．

［3］RossAnderson．齊寧（譯）．信息安全工程[M]．北京:清華大學出版社,2012．

［4］王宇,閻慧．信息安全保密技術[M]．北京:國防工業(yè)出版社,2010．

第九篇：電力信息安全保障體系建設思考

【摘要】如今，伴隨著科學技術的迅猛發(fā)展，我國電力企業(yè)各個方面的工作，也得到了大幅度的進步。電力信息安全保障體系，是電力發(fā)展事業(yè)各組成部分中的重要環(huán)節(jié)，在維持電力企業(yè)的正常運行、日常管理和營銷管理等方面，起著至關重要的作用。因此，電力信息的安全問題，一直是電力企業(yè)所關注的重要內(nèi)容之一，各個企業(yè)對于電力信息也逐漸重視起來。以下是筆者結(jié)合當前電力信息安全保障體系建設的實際情況，就在電力企業(yè)中，電力信息系統(tǒng)的安全領域出現(xiàn)的問題，進行有效詳細的研究與分析，希望通過此次研究，能夠?qū)﹄娏π畔踩Ｕ象w系的建設領域的發(fā)展，起到一定的促進作用，為我國電力工作的發(fā)展，獻計獻策。

【關鍵詞】電力信息；安全保障；體系建設；探討研究

所謂的電力信息系統(tǒng)，主要的內(nèi)容包括信息網(wǎng)絡、應用系統(tǒng)、網(wǎng)絡服務系統(tǒng)、存儲與備份系統(tǒng)、安全系統(tǒng)、輔助系統(tǒng)等。除此以外，上述系統(tǒng)的附屬設備也在電力信息系統(tǒng)的行列內(nèi)。本系統(tǒng)所涉及的技術，大致有數(shù)據(jù)加密技術、防火墻、入侵檢測技術、網(wǎng)絡掃描技術，以及訪問控制技術等。雖然安全架構(gòu)在設計上出現(xiàn)問題與管理方面出現(xiàn)問題，是引發(fā)信息系統(tǒng)安全問題的主要因素，但還是有其他因素存在。因此，在電力信息系統(tǒng)安全保障體系的建設，要考慮電網(wǎng)運行安全方面以外，還要經(jīng)過信息安全系統(tǒng)的的建設、信息安全管理的建設和信息安全策略的建設三個階段。

一、電力信息安全保障體系存在的問題

隨著科學技術的不斷發(fā)展，計算機技術也在不斷進步，黑客是擺在我們面前不可忽視的問題。因此電力系統(tǒng)在正常運行的情況下，就很容易受到黑客的攻擊，造成病毒的侵入，所以對電力信息的安全保障體系的建設予以加強，變得迫在眉睫?，F(xiàn)如今，電力信息安全存在的主要問題，大致包括信息安全意識薄弱、信息安全運作機制不完善、信息安全保障工作沒有常態(tài)化、系統(tǒng)安全設計不足，以及短板現(xiàn)象顯著等。在大多數(shù)電力企業(yè)中，信息安全問題常常被忽視，有的甚至處于不防御狀態(tài)。信息安全運作機制不完善，在不完善的業(yè)務連續(xù)性計劃，不規(guī)范的信息文檔和測試數(shù)據(jù)的管理中，有所體現(xiàn)。那么，怎么樣去應對這些問題呢？使這些問題能夠迎刃而解呢？主要從信息安全管理和信息安全技術兩方面入手。其中，信息安全評估、建立安全管理組織、信息安全運行管理、安全策略規(guī)劃和安全監(jiān)督審計等，均屬于信息安全管理范疇。而信息安全技術大致包括通用信息安全技術手段，也就是安全服務，比如訪問管理、防惡意代碼、身份認證和審核跟蹤等等。

二、電力信息安全保障體系的策略與管理

結(jié)合當前形勢與公司實際,要不斷進行管理的創(chuàng)新與技術的實踐。從管理層面講，要對組織機構(gòu)、系統(tǒng)運行維護、規(guī)章制度、相關工作人員教育等進行全面控制和管理；而從技術的層面出發(fā)，做到防護物理、主機系統(tǒng)、網(wǎng)絡、數(shù)據(jù)應用等等各方面的安全性,同時在安全可靠前提下，建設一套高效、先進、實用的信息安全保障體系，支撐助力生產(chǎn)專業(yè)化與管理現(xiàn)代化，保障電力信息的安全性。制定電力信息安全策略，應該保證在國家信息安全等級保護政策的前提下進行，本著提升電力企業(yè)整體防篡改、防泄密、防攻擊等綜合能力的原則，進行策略的制定。電力信息安全的運行，在保證對基礎環(huán)境、主營業(yè)務系統(tǒng)、軟硬件平臺等等運行維護的同時，還要確保運維技術規(guī)范、運維流程和定檢等標準或機制的建立。另外，訪問控制和身份認證，可以將主機系統(tǒng)、安全設備、應用系統(tǒng)，網(wǎng)絡設備等的身份認證，進行統(tǒng)一管理。審計和監(jiān)控，也可提高信息的安全性，對問題發(fā)生時的反應速度，也能夠得以提升，對安全問題的發(fā)生，起到了有效的預防。在電力管理信息大區(qū)網(wǎng)絡內(nèi)部，還應建立能夠?qū)Σ《具M行預防、隔離、檢測和清除的機制。這樣，可以大大降低未知病毒的入侵率。

三、結(jié)論

總而言之，加強電力信息安全保障體系的建設，是新時期電力工作者熱衷研究的一大科題，更是今后的工作方向。在電力信息系統(tǒng)安全保障體系建設的過程中，我們必須要以“堅持實事求是、以人為本”的方針為原則，系統(tǒng)性的分析影響電力信息系統(tǒng)運行安全與管理的因素，結(jié)合如今電力信息系統(tǒng)安全保障的實際情況，以最佳的建設原則與思路，對電力信息系統(tǒng)安全保障體系進行完善，為電力企業(yè)的健康長遠發(fā)展做出突出的貢獻。

參考文獻

[1]李志茹,張華峰,黨倩.電網(wǎng)企業(yè)信息系統(tǒng)安全防護措施的研究與探討[J].電力信息化.2012(04)。

[2]香柱平.有關電力企業(yè)信息中心網(wǎng)絡安全及防護措施的探討[J].中小企業(yè)管理與科技(下旬刊).2010(05)。

[3]張建華,王昕偉,蔣程,于雷,俞悅,余加喜.基于蒙特卡羅方法的風電場有功出力的概率性評估[J].電力系統(tǒng)保護與控制.2014(03)。

[4]丁冬,劉宗歧,楊水麗,吳小剛,李婷婷.基于模糊控制的電池儲能系統(tǒng)輔助AGC調(diào)頻方法[J].電力系統(tǒng)保護與控制.2015(08)。

[5]肖英;信息保障及其評價指標應用基礎研究[D];武漢大學;2006年。

[6]顧愷愷;基于信息安全控制原理的安全網(wǎng)格服務器模型研究與實現(xiàn)[D];南京航空航天大學;2007年。

作者：唐勇 單位：國網(wǎng)四川省電力公司電力科學研究院