緒論：寫作既是個人情感的抒發(fā)，也是對學(xué)術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇信息安全管理范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2013）27-6080-03

人類進入信息化社會，社會發(fā)展對信息化的依賴程度越來越大，一方面信息化成果已成為社會的重要資源，在政治、經(jīng)濟、國防、教育、科技、生活等發(fā)面發(fā)揮著重要的作用，另一方面由于信息技術(shù)的迅猛發(fā)展而帶來的信息安全事件、事故層出不窮，信息安全問題與矛盾日益突出。信息安全工程是一個多層面、多因素的、綜合的、動態(tài)的系統(tǒng)工程，其包括關(guān)鍵基礎(chǔ)設(shè)施及硬件安全、運行安全、軟件安全、通信安全、人員安全、傳輸安全、網(wǎng)絡(luò)安全、人員安全等。組織要實現(xiàn)信息安全目標(biāo)，就必須建立一套行之有效信息安全管理與技術(shù)有機結(jié)合的安全防范體系。信息安全管理包括制定信息安全策略（包括計劃、程序、流程與記錄等）、風(fēng)險評估、控制目標(biāo)的選擇、控制措施的實施以及信息安全管理測評等。管理大師德魯克曾經(jīng)說過“無法度量就無法管理”[1]，強調(diào)了測量對組織管理的重要意義，信息安全管理同樣也離不開測評。如何對信息安全管理有效性等進行測量，根據(jù)測量的結(jié)果對組織信息安全管理情況進行評價并進一步指導(dǎo)信息安全管理，提高信息安全管理能力和水平，目前已經(jīng)成為信息安全領(lǐng)域的一個研究熱點[2]。

信息安全管理測評是組織圍繞信息化持續(xù)發(fā)展與信息安全保障的現(xiàn)狀和未來綜合能力的反映，不僅是對過去和現(xiàn)在的能力展現(xiàn)，而且為未來發(fā)展提供保障和動力。在我國，目前關(guān)于信息安全管理測評研究剛處于起步階段，還沒有一套可供使用的信息安全測評體系標(biāo)準(zhǔn)、方法等。因此，開展信息安全管理測評研究，對組織信息化建設(shè)既具有重要的現(xiàn)實意義也具有長遠的持續(xù)發(fā)展意義。

1 信息安全管理測評發(fā)展綜述與需求

關(guān)于信息安全測評，美國早在2002年通過的《聯(lián)邦信息安全管理法案》中就要求各機構(gòu)每年必須對其信息安全實踐進行獨立測評，以確認(rèn)其有效性。這種測評主要包括對管理、運行和技術(shù)三要素的控制和測試，其頻率視風(fēng)險情況而定，但不能少于每年一次。在獨立評價的基礎(chǔ)上，聯(lián)邦管理與預(yù)算局應(yīng)向國會上報評價匯總結(jié)果；而聯(lián)邦審計署則需要周期性地評價并向國會匯報各機構(gòu)信息安全策略和實踐的有效性以及相關(guān)要求的執(zhí)行情況。

2003年7月，美國國家標(biāo)準(zhǔn)與技術(shù)研究所（National Institute of Standards and Technology，NIST）了NIST SP 800-55《信息技術(shù)系統(tǒng)安全測量指南》，其包括以下內(nèi)容[3]：

1） 角色和職責(zé)：介紹發(fā)展和執(zhí)行信息安全測量的主要任務(wù)和職責(zé)。

2） 信息安全測量背景：介紹測量定義、進行信息安全測量的好處、測量類型、幾種可以進行信息安全測量的控制、成功測量的重要因素、測量對管理、報告和決策的作用。

3） 測量發(fā)展和執(zhí)行過程：介紹用于信息安全測量發(fā)展的方法。

4） 測量項目執(zhí)行：討論可以影響安全測量項目的技術(shù)執(zhí)行的各種因素。

5） 以附件的形式給出的16種測量的模板。

2004年11月17日，美國的企業(yè)信息安全工作組（Corporate Information Security Working Group，CISWG）了CISWG CS1/05-0079《帶有支撐管理測量的信息安全計劃要素》[4]，2005年國際標(biāo)準(zhǔn)化組織（ISO/IEC SC27）提出了信息安全管理體系（Information Security Management Systems，ISMS）的系列標(biāo)準(zhǔn)——ISO27000系列。2005年1月10日又了修訂版，并作為針對ISO/IEC 2nd WD27004 的貢獻文檔提交給ISO/IEC JTC1 SC27，該文檔是根據(jù)CISWG的最佳實踐和測量小組的報告改編。

2005年8月31日，美國國際系統(tǒng)安全工程協(xié)會（International System Security Engineering Association，ISSEA）針對ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5]（ISSEA測量的貢獻背景）和“ISSEA Metrics”[6]（ISSEA測量）兩個貢獻文檔。

2009年國際標(biāo)準(zhǔn)化組織（ISO）了ISO/IEC 27004：2009（信息技術(shù)一安全技術(shù)一信息安全管理測量）標(biāo)準(zhǔn)，為如何建立及測量ISMS及其控制措施提供了指導(dǎo)性建議[7]。

信息安全管理體系是信息安全保障體系的重要組成部分。近年來，隨著組織對信息安全保障工作重視程度的日益增強，不少組織都依據(jù)標(biāo)準(zhǔn)GB/T 22081-2008建立了一套比較完善的ISMS來保護組織的重要信息資產(chǎn)，但是體系建立起來了，不少管理者都對ISMS的運行效果極其控制措施的有效性，持懷疑的態(tài)度。故此組織很有必要建立一套相應(yīng)的測評方法來全面的對ISMS的運行情況進行科學(xué)的評價，進一步提升ISMS的執(zhí)行力。該文研究的信息安全管理測評將為確定ISMS的實現(xiàn)目標(biāo)，衡量ISMS執(zhí)行的效力和效率提供一些思想、方法，其結(jié)果具有客觀的可比性，還可以作為信息安全風(fēng)險管理、安全投入優(yōu)化和安全實現(xiàn)變更的客觀依據(jù)，有助于降低安全風(fēng)險，減少安全事件的概率和影響，改進安全控制和管理過程的效率或降低其成本。

2 信息安全管理測評研究內(nèi)容

信息安全管理測評是信息安全管理體系的重要部分，是信息安全管理測量與評價的綜合。信息安全管理測量的結(jié)果是信息安全績效評價的依據(jù)。信息安全管理測量比較具體，信息安全管理評價則通過具體來反映宏觀。

2.1 信息安全管理測評要素及其框架

信息安全管理測評要素包括：測評實體及其屬性、基礎(chǔ)測評方式、基礎(chǔ)測評變量、導(dǎo)出測評制式、導(dǎo)出測評變量、測評方法、測評基線、測評函數(shù)、分析模型、指示器、決策準(zhǔn)則、測評需求和可測評概念等，其框架如圖3.1信息安全測評框架所示，包括：基于什么樣的需求來測評（即測評需求），對什么進行測評（即實體及其屬性），用什么指標(biāo)體系來測評（包括測評制式、測評變量和測評尺度），用什么方法來測評（即測評方法），用什么函數(shù)來計算測評結(jié)果（即測評函數(shù)），用什么模型來分析測評結(jié)果（即分析模型），用什么方式來使分析結(jié)果能夠輔助決策（即指示器）等問題。

信息需求是測評需求方提出的對測評結(jié)果信息的需求。信息需求源自于組織的使命和業(yè)務(wù)目標(biāo)，與相關(guān)利益者的利益訴求密切相關(guān)。指示器的生成和分析模型的選擇是以信息需求為導(dǎo)向的。

決策準(zhǔn)則是一種決定下一步行為的閾值。他有助于解釋測評的結(jié)果。決策準(zhǔn)則可能出自或基于對預(yù)期行為在概念上的理解和判斷。決策準(zhǔn)則可以從歷史數(shù)據(jù)、計劃和探索中導(dǎo)出，或作為統(tǒng)計控制限度或統(tǒng)計信心限度計算出來。

可測評概念是實體屬性與信息需求之間的抽象關(guān)系，體現(xiàn)將可測評屬性關(guān)聯(lián)到信息需求以及如何關(guān)聯(lián)的思想。可測評概念的例子有生產(chǎn)力、質(zhì)量、風(fēng)險、績效、能力、成熟度和客戶價值等。實體是能通過測評屬性描述的對象。一個實體是測評其屬性的一個對象，例如，過程、產(chǎn)品、系統(tǒng)、項目或資源。一個實體可能有一個或多個滿足信息需求的屬性。實踐中，一個實體可被歸類于多個上述類別。他可以是有形的也可是無形的。信息安全管理測評的實體包括信息安全管理體系建立過程中所有的控制項（信息安全管理測評要素）。屬性是實體可測評的、物理的或抽象的性質(zhì)。一個屬性是能被人或自動手段定量或定性區(qū)分的一個實體的某一特性或特征。一個實體可能有多個屬性，其中只有一些可能對測評有價值。測評模型實例化的第一步是選擇與信息需求最相關(guān)的屬性。一個給定屬性可能被結(jié)合到支持不同信息需求的多個測評構(gòu)造中。信息安全管理測評主要測評的是每一項控制措施的屬性（信息安全管理測評指標(biāo)）。

測評是以確定量值為目的的一組操作。信息安全管理測評是確定控制項的每一個具體指標(biāo)的一組操作，可以有多種測評方法。基礎(chǔ)測評是依照屬性和定量方法而定義的測評方法，是用來直接測評某一屬性的，是根據(jù)屬性和量化他的方法來定義，他捕獲單獨屬性的信息，其功能獨立于其他測評。信息安全管理基礎(chǔ)測評是對于控制項的指標(biāo)可以直接測評出來的量。導(dǎo)出測評是通過測評其他屬性來間接地測評某一屬性的測評，是根據(jù)屬性之間的關(guān)系來定義，他捕獲多個屬性或多個實體的相同屬性的信息，其功能依賴于基礎(chǔ)測評的，是兩個或更多基礎(chǔ)測評值得函數(shù)。

測評尺度是一組連續(xù)或離散的數(shù)字量值（如小數(shù)/百分比/自然數(shù)等）或離散的可數(shù)量值（如高/中/低/等）。測評尺度是規(guī)范測評變量取值的類型和范圍。測評方法將所測評屬性的量級影射到一個測評尺度上的量值后賦給測評變量。

測評尺度根據(jù)尺度上量值之間關(guān)系的性質(zhì)分為四種類型：

名義（Nominal） ：測評值是直呼其名。

序數(shù)（Ordinal） ：測評值是有等級的。

間隔（Interval） ：測評值是等距離的，對應(yīng)于屬性的等量，不可能是零值。

比率（Ratio） ：測評值是等距離的，對應(yīng)于屬性的等量，無該屬性為零值。

測評單位是作為慣例定義和被廣泛接受的一個特定量。他被用作比較相同種類量值的基準(zhǔn)，以表達他們相對于此量的量級。只有用相同測評單位表達的量值才能直接比較。測評單位的例子有公尺、公斤和小時等。

測評函數(shù)是將兩個或更多測評變量結(jié)合成導(dǎo)出測評變量的算法。導(dǎo)出測評變量的尺度和單位依賴于作為函數(shù)輸入的測評變量的尺度和單位以及他們通過函數(shù)結(jié)合的運算方式。分析模型是將一個或多個測評變量轉(zhuǎn)化為指示器的算法。他是基于對測評變量和/或他們經(jīng)過一段時間的表現(xiàn)之間的預(yù)期關(guān)系的理解或假設(shè)。分析模型產(chǎn)生與信息需求相關(guān)的評估或評價。測評方法和測評尺度影響分析模型的選擇。

測評計劃定義了測評實施的目標(biāo)、方法、步驟和資源。測評頻率是測評計劃的執(zhí)行頻率。測評計劃應(yīng)按規(guī)定的頻度定期地或在必要的時候不定期地執(zhí)行。定期執(zhí)行的規(guī)定頻度應(yīng)建立在信息效益的需求與獲得他的成本之間的折中，可以是每周、每月、每季度或每年等。不定期執(zhí)行的必要時候包括ISMS初始規(guī)劃和實施以及ISMS本身或運行環(huán)境發(fā)生重大變化。

2.2 信息安全管理測評量表體系

任何測評都必須具備參照點、單位和量表三個要素。信息安全測評指標(biāo)體系是信息安全測評的基礎(chǔ)，是對指定屬性的評價，這些屬性與測評需求方的信息保障需求相關(guān)聯(lián)，對他們進行評價為測評需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現(xiàn)給測評需求方的。標(biāo)準(zhǔn)GB/T 22081-2008是進行信息安全管理所參照的標(biāo)準(zhǔn)，其從信息安全方針、信息安全組織、法律法規(guī)符合性等11個方面，提出了133個控制措施供使用者在信息安全管理過程中選擇適當(dāng)?shù)目刂拼胧﹣砑訌娦畔踩芾怼Ｔ摌?biāo)準(zhǔn)所提供的控制措施基本能覆蓋信息安全管理的各個方面。在建立信息安全管理測評指標(biāo)體系的實踐中，通常以控制措施的實施情況作為指標(biāo)，建立預(yù)選指標(biāo)集，通過對預(yù)選指標(biāo)集的分析，采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標(biāo)。

3 信息安全管理測評方法探討

測評方法通常影響到用于給定屬性的測評尺度類型。例如，主觀測評方法通常只支持序數(shù)或名義類型的測評尺度。測評方法是使用指定的測評制式量化屬性的操作邏輯序列。操作可能包括計算發(fā)生次數(shù)或觀察經(jīng)過時間等。同樣的測評方法可能適用于多個屬性。然而，每一個屬性和測評方法的獨特結(jié)合產(chǎn)生一個不同的基礎(chǔ)測評。測評方法可能采用多種方式實現(xiàn)。測評規(guī)程描述給定機構(gòu)背景下測評方法的特定實現(xiàn)。

測評方法根據(jù)量化屬性的操作性質(zhì)分為兩種類型：

主觀：含有人為判斷的量化。

客觀：基于數(shù)字規(guī)則（如計數(shù)）的量化。這些規(guī)則可能通過人或自動手段來實現(xiàn)。

測評方法的可能例子有：調(diào)查觀察、問卷、知識評估、視察、再執(zhí)行、系統(tǒng)咨詢、測試（相關(guān)技術(shù)有設(shè)計測試和操作有效性測試等）、統(tǒng)計（相關(guān)技術(shù)有描述統(tǒng)計、假設(shè)檢驗、測評分析、過程能力分析、回歸分析、可靠性分析、取樣、模擬、統(tǒng)計過程控制（SPC， statistical Process control） 圖和時序分析等）。

4 結(jié)束語

當(dāng)前，信息安全領(lǐng)域的測評研究多側(cè)重于對技術(shù)產(chǎn)品、系統(tǒng)性能等方面的測評，其中信息安全風(fēng)險評估可通過對重要信息資產(chǎn)面臨的風(fēng)險、脆弱性的評價掌握組織的信息安全狀況；信息安全審計則只是對信息安全相關(guān)行為和活動提供相關(guān)證據(jù)；而信息安全管理評審則是符合性審核，他們都不能對信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評價。因此，非常有必要對信息安全管理的有效性進行測評，這將有助于了解信息安全管理過程中所采取的控制措施的有效性以及控制措施的執(zhí)行情況，為管理者決策提供依據(jù)，也能為組織信息安全管理過程的持續(xù)改進提供足夠的幫助，達到更好地管理信息安全的最終目的。

參考文獻：

[1] 閆世杰，閔樂泉，趙戰(zhàn)生.信息安全管理測量研究[J].信息安全與通信保密，2009，5：53.

[2] 朱英菊，陳長松.信息安全管理有效性的測量[J].信息網(wǎng)絡(luò)安全，2009，1：87-88.

[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper， 2003.

[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics ， Adapted from the report of the Best Practices and Metrics Teams ， Corporate Information Security Working Group （ CISWG ） ， 2004-11-17 （ Revised 2005-01-10 ）.

篇（2）

計算機網(wǎng)絡(luò)信息安全的含義很廣，隨著情景的不同會發(fā)生一些變化。不同用戶對網(wǎng)絡(luò)信息安全的認(rèn)識和要求也不盡相同，一般用戶可能僅希望個人隱私或保密信息在網(wǎng)絡(luò)上傳輸時不受侵犯，避免被人竊聽，篡改或者偽造；對網(wǎng)絡(luò)服務(wù)上來說，除關(guān)心網(wǎng)絡(luò)信息安全問題外，還要考慮突發(fā)的自然災(zāi)害等原因?qū)W(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)功能發(fā)生異常時恢復(fù)網(wǎng)絡(luò)通信和正常服務(wù)。

一般來講，網(wǎng)絡(luò)信息安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸?shù)男畔⒌陌踩募夹g(shù)上說，網(wǎng)絡(luò)信息安全防范系統(tǒng)包括操作系統(tǒng)、應(yīng)用系統(tǒng)、防病毒系統(tǒng)、防火墻、入侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計、通信加密、災(zāi)難恢復(fù)、安全掃描等多個安全組件組成、單靠一項措施很難保證網(wǎng)絡(luò)信息安全。因此，網(wǎng)絡(luò)信息安全是一項非常復(fù)雜的系統(tǒng)工程，已成為信息技術(shù)的一個重要領(lǐng)域。

二、計算機網(wǎng)絡(luò)信息安全問題的分類

1.自然災(zāi)害

與一般電子系統(tǒng)一樣，計算機網(wǎng)絡(luò)系統(tǒng)只不過是一種電子線路，網(wǎng)絡(luò)信息實際上是一種電信號，溫度、濕度、振動、沖擊、污染等方面的異常因素都可影響網(wǎng)絡(luò)的正常運行。網(wǎng)絡(luò)中心若無較為完善的防震、防火、防水、避雷、防電磁泄漏或干擾等設(shè)施，抵御自然災(zāi)害和意外事故的能力就會很差。在網(wǎng)絡(luò)的日常運行中，僅僅由非正常斷電導(dǎo)致的設(shè)備損壞和數(shù)據(jù)丟失所造成的損壞就非常驚人。因為強烈噪音和電磁輻射，比如雷電、高壓輸電等，也會導(dǎo)致網(wǎng)絡(luò)信噪比下降，誤碼率增加，威脅到網(wǎng)絡(luò)信息安全。

2.計算機犯罪

計算機犯罪通常是利用竊取口令等手段非法侵入計算機信息系統(tǒng)，傳播有害信息，惡意破壞計算機軟硬件系統(tǒng)，以致實施貪污、盜竊、詐騙等重大犯罪活動。目前已報道的ATM機上的詐騙活動，就是利用高科技手段記錄用戶的銀行卡信息，然后竊取用戶存款；還有一些非法分子利用盜竊游戲帳號，進行牟利活動。

3.垃圾郵件和網(wǎng)絡(luò)黑客

一些非法分子利用電子郵件地址的“公開性”進行商業(yè)廣告、宗教宣傳、政治蠱惑等活動，強迫別人接受無用的垃圾郵件。與計算機病毒不同，黑客軟件的主要目的不是對系統(tǒng)進行破壞，而是竊取計算機網(wǎng)絡(luò)用戶的信息。目前黑客軟件的概念界定還存在一些爭議，一種較為普遍的被接受的觀點認(rèn)為黑客軟件是指那些在用戶不知情的情況下進行非法安裝并提供給第三者的軟件。

4.計算機病毒

計算機病毒是一種具有破壞性的小程序，具有很強的隱藏性和潛伏性，常常是依附在其他用戶程序上，在這些用戶程序運行時侵入系統(tǒng)并進行擴散。計算機感染病毒后，輕則系統(tǒng)工作效率降低，重則導(dǎo)致系統(tǒng)癱瘓，甚至是全部數(shù)據(jù)丟失，給用戶造成巨大的損失。

三、計算機網(wǎng)絡(luò)信息安全防范措施

1.建立強有力的網(wǎng)絡(luò)安全體系

要提高服務(wù)器的安全性，就必須建立一個整體的、完善的、強有力的計算機網(wǎng)絡(luò)安全體系。只有對整個網(wǎng)絡(luò)制定并實施統(tǒng)一的安全體系，才能有效的保護好包括服務(wù)器在內(nèi)的每個設(shè)備。

對服務(wù)器而言，安全管理主要包括幾個方面：嚴(yán)格保護網(wǎng)絡(luò)機房的安全，必須注意做好防火防盜，切實從管理的角度保護好服務(wù)器的安全；服務(wù)器需要長時間不簡斷地工作，必須為服務(wù)器配備長時間的在線UPS；加強機房管理，非相關(guān)人員不準(zhǔn)進入網(wǎng)絡(luò)機房，尤其是要禁止除網(wǎng)絡(luò)管理人員授權(quán)外的任何人員操作服務(wù)器；網(wǎng)絡(luò)管理員在對網(wǎng)絡(luò)進行日常維護和其他維護時，都必須進行記錄。

另一方面，要盡可能利用現(xiàn)有的各種安全技術(shù)來保障服務(wù)器的安全。目前最常用的安全技術(shù)包括過濾技術(shù)、防火墻技術(shù)、安全套接層技術(shù)等。這些技術(shù)從不同的層面對網(wǎng)絡(luò)進行安全防護，具體描述如下：

1.1包過濾

在網(wǎng)絡(luò)系統(tǒng)中，包過濾技術(shù)可以防止某些主機隨意訪問另外一些主機。包過濾功能通常可以在路由器中實現(xiàn)，具有包過濾功能的路由器叫做包過濾路由器，由網(wǎng)絡(luò)管理員進行配置。包過濾的主要工作是檢查每個包頭部中的有關(guān)字段（如數(shù)據(jù)包的源地址、目標(biāo)地址、源端口、目的端口等），并根據(jù)網(wǎng)絡(luò)管理員指定的過濾策略允許或阻止帶有這些字段的數(shù)據(jù)包通過；此外，包過濾路由器通常還能檢查出數(shù)據(jù)包所傳遞的是哪種服務(wù)，并對其進行過濾。

1.2防火墻

防火墻將網(wǎng)絡(luò)分成內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩部分，并認(rèn)為內(nèi)部網(wǎng)絡(luò)是安全的和可信任的，而外部網(wǎng)絡(luò)是不太安全和不太可信任的。防火墻檢測所有進出內(nèi)部網(wǎng)的信息流，防止為經(jīng)授權(quán)的通信進出被保護的內(nèi)部網(wǎng)絡(luò)。除了具有包過濾功能外，防火墻通常還可以對應(yīng)用層數(shù)據(jù)進行安全控制和信息過濾，具有人證、日志、記費等各種功能。防火墻的實現(xiàn)技術(shù)非常復(fù)雜，由于所有進出內(nèi)部網(wǎng)絡(luò)的信息流都需要通過防火墻的處理，因此對其可靠性和處理效率都有很高的要求。

1.3 SSL協(xié)議

安全套接層SSL協(xié)議是目前應(yīng)用最廣泛的安全傳輸協(xié)議之一。它作為Web安全性解決方案最初由Netscape 公司于1995年提出。現(xiàn)在SSL已經(jīng)作為事實上的標(biāo)準(zhǔn)為眾多網(wǎng)絡(luò)產(chǎn)品提供商所采購。SSL利用公開密鑰加密技術(shù)和秘密密鑰加密技術(shù)，在傳輸層提供安全的數(shù)據(jù)傳遞通道。

2.采用信息確認(rèn)技術(shù)

安全系統(tǒng)的建立都依賴于系統(tǒng)用戶之間存在的各種信任關(guān)系，目前在安全解決方案中，多采用二種確認(rèn)方式。一種是第三方信任，另一種是直接信任，以防止信息被非法竊取或偽造，可靠的信息確認(rèn)技術(shù)應(yīng)具有：具有合法身份的用戶可以校驗所接收的信息是否真實可靠，并且十分清楚發(fā)送方是誰；發(fā)送信息者必須是合法身份用戶，任何人不可能冒名頂替?zhèn)卧煨畔ⅲ怀霈F(xiàn)異常時，可由認(rèn)證系統(tǒng)進行處理。

3.入侵檢測技術(shù)

入侵檢測技術(shù)是一種網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的入侵檢測及采取相應(yīng)的防護手段，如記錄證據(jù)用于跟蹤和恢復(fù)，斷開網(wǎng)絡(luò)連接等。實時入侵檢測能力之所以重要，首先是它能夠作為防火墻技術(shù)的補充，彌補防火墻技術(shù)的不足，能對付來自內(nèi)部網(wǎng)絡(luò)的攻擊，其次是它能夠大大縮短“黑客”可利用的入侵時間。

人們應(yīng)當(dāng)清醒地認(rèn)識到，安全只是相對的，永遠也不會有絕對的安全。隨著網(wǎng)絡(luò)體系結(jié)構(gòu)和應(yīng)用的變化，網(wǎng)絡(luò)會出現(xiàn)新的風(fēng)險和安全漏洞，這就需要人們不斷地補充和完善相應(yīng)的解決方案，以期最大限度地保障網(wǎng)絡(luò)信息的安全。

篇（3）

用戶接口是用戶操作界面以及用戶私人信息管理。安全協(xié)議包括連接網(wǎng)絡(luò)協(xié)議、用戶個人身份確定協(xié)議等。通信接口的安全保障是依賴于安全協(xié)議的工作、在通常情況下，通信接口的實現(xiàn)方式包括兩種：第一是用戶在進入互聯(lián)網(wǎng)時，才開啟安全服務(wù)，并運行安全體制，用戶所傳輸?shù)男畔⒍际墙?jīng)過系統(tǒng)的加密處理，然后被傳輸?shù)交ヂ?lián)網(wǎng)上，或者是數(shù)據(jù)鏈路，是比較透明的互聯(lián)網(wǎng)信息傳輸與交換。此種方法很容易實現(xiàn)，而且不用對用戶目前所使用的系統(tǒng)做一絲改動，用戶所要投入的資金也比較少。第二種是修改目前的通信協(xié)議，在互聯(lián)網(wǎng)與應(yīng)用之間增加一個安全層，使信息的安全處理變得透明化以及自動化。安全管理系統(tǒng)是一個包含很多程序的軟件包，主要負(fù)責(zé)用戶界面上安全管理器的正常工作，可以使得用戶很容易地控制計算機上信息的傳輸，保證安全。我們通常把這個系統(tǒng)安裝在用戶計算機的終端，或者是網(wǎng)絡(luò)節(jié)點。安全支撐系統(tǒng)是整個安全管理系統(tǒng)最值得信任的一方，其物理安全以及邏輯安全是非常重要的，需要得到嚴(yán)密而全面的防護。

二、安全管理系統(tǒng)的實現(xiàn)

安全管理系統(tǒng)總共包括以上的內(nèi)容，具體的實現(xiàn)有很多的問題，需要有條不紊的進行。以下是針對管理系統(tǒng)實現(xiàn)所采取的具體的實現(xiàn)步驟，按照這些步驟來一步一步進行，不會出現(xiàn)混亂的情況，而且條理清晰，可以降低出錯的幾率，也可以保證管理系統(tǒng)的質(zhì)量。

（一）熟知互聯(lián)網(wǎng)的狀況，估計風(fēng)險及各種木馬攻擊

互聯(lián)網(wǎng)上的信息安全保障是很薄弱的一個環(huán)節(jié)，如果防護措施做不好，就會經(jīng)常受到黑客的攻擊，盜取信息，甚至泄露出去，造成個人或者是企業(yè)的損失。為了預(yù)防或者是擊退這些攻擊，需要全面地了解平時所有的攻擊方式、攻擊方位，還有要了解哪些部分是比較薄弱的地方，給予加強保護。只有掌握了攻擊的全面資料，才可能有針對性地做出比較全面而可靠的保護措施。

（二）安全策略的制定與優(yōu)化

安全管理系統(tǒng)需要一個明確的目標(biāo)與原則，這就是安全策略。安全策略的優(yōu)化需要考慮以下幾個方面：第一需要從系統(tǒng)整體出發(fā)，咨詢用戶的需求，根據(jù)應(yīng)用的環(huán)境來制定策略，這其中包含各個子系統(tǒng)的策略制定。第二需要考慮策略的制定會不會對原有的系統(tǒng)產(chǎn)生什么負(fù)面的影響，比如通信延時等。第三，策略的制定要方便用戶對計算機的操作，包括控制，管理以及配置等。第四，用戶界面要人性化。第五，投資的金額要少。

（三）安全模型

模型可以把抽象的問題具體化，使問題簡單起來，不再那么復(fù)雜，尋求到更好地解決辦法，制定更加完善的安全策略，就像是教師教學(xué)時經(jīng)常使用各種模型，讓學(xué)生容易理解深奧的問題。模型包括整個系統(tǒng)中的所有子系統(tǒng)，這些子系統(tǒng)在上面的內(nèi)容已經(jīng)有過闡述。

（四）安全服務(wù)的選擇以及實現(xiàn)

應(yīng)用密碼技術(shù)，來實現(xiàn)向用戶所保證的安全服務(wù)。這是一種現(xiàn)代的技術(shù)，能夠保障整個系統(tǒng)的安全性，保護用戶的私人信息，使用戶不用再擔(dān)心個人資料的泄漏，保障用戶的個人利益。安全服務(wù)有兩條實現(xiàn)的途徑，分別為軟件編程以及硬件芯片，其中在通過軟件編程來實現(xiàn)安全服務(wù)時，需要注意機身的內(nèi)存，優(yōu)化系統(tǒng)的流程，增加程序運行時的穩(wěn)定，以及降低運算時間。

篇（4）

2創(chuàng)新點

為順應(yīng)移動互聯(lián)網(wǎng)時代，運營商從基礎(chǔ)通信運營向流量運營轉(zhuǎn)型的新趨勢，湖北移動確定了“業(yè)務(wù)轉(zhuǎn)型，安全先行”的發(fā)展思路，堅持“以安全保發(fā)展、以發(fā)展促安全”。在已有的網(wǎng)絡(luò)與信息安全管理辦法的基礎(chǔ)上，積極開展適應(yīng)移動互聯(lián)網(wǎng)時代安全管理體系建設(shè)，不斷推進科學(xué)的安全管理方法，做到六“注重”六“突出”，即：（1）注重整體規(guī)劃，突出體系建設(shè)，促進職責(zé)高效履行。制定下發(fā)安全標(biāo)準(zhǔn)化管理與評價體系建設(shè)計劃，內(nèi)容涵蓋安全工作方針目標(biāo)、安全目標(biāo)、各方職責(zé)、安全管理體系和模式、安全設(shè)施和機房環(huán)境保護設(shè)施標(biāo)準(zhǔn)、安全文明操作保證金、安全考核與獎懲、過程的主要控制措施、應(yīng)急準(zhǔn)備和響應(yīng)等方面。嚴(yán)格按計劃有序開展體系建設(shè)工作；嚴(yán)格按體系文件要求開展業(yè)務(wù)或系統(tǒng)試運行工作；加強保證與監(jiān)督體系的建設(shè)。（2）注重文化建設(shè)，突出信息安全特色，促進習(xí)慣養(yǎng)成。以人為本，加強企業(yè)安全文化建設(shè)，促使安全文化落地，提高員工安全與風(fēng)險防范意識。（3）注重教育培訓(xùn)，突出行業(yè)特色，達到安全管理效果。通過多種渠道、形式多樣的安全教育和培訓(xùn)方式，組織各單位安全管理人員開展安全教育和培訓(xùn)工作：一是安排專家和行業(yè)資深人士進行專題講座；二是在專題培訓(xùn)的基礎(chǔ)上，做好網(wǎng)絡(luò)與信息安全專項工作如何開展的培訓(xùn)。（4）注重設(shè)備管理，突出針對特色，實現(xiàn)安全管理精細(xì)化。首先，網(wǎng)絡(luò)設(shè)備較多，加強網(wǎng)絡(luò)安全管理提高設(shè)備安全可靠性是首要任務(wù)，為此各維護單位對每臺設(shè)備均建立了安全技術(shù)臺帳，臺帳包括運行記錄、檢查保養(yǎng)記錄和定期檢驗記錄。其次，組織精干力量先后兩次對所有設(shè)備、流程、機房進行全面的安全評估工作。第三，使隱患排查整改形成機制。（5）注重安全投入，突出專用特色，合理使用安全生產(chǎn)費用。認(rèn)真落實安全管理費用投入長效機制，加大安全費用的管理，做到專款專用，確保安全生產(chǎn)費用規(guī)范化、合理化和足額投入。并加強安全生產(chǎn)保證金的管理，建立安全生產(chǎn)保證金并實行年底考核的機制，有效促進了安全管理工作。（6）注重應(yīng)急預(yù)案，突出超前特色，安全管理贏在主動。在安全管理中，把預(yù)防工作落到實處，建立健全了應(yīng)急處置機構(gòu)，將應(yīng)急處置工作進一步制度化，規(guī)范化，形成了完整的安全事故預(yù)防體系。同時，開展形式多樣、符合實際的應(yīng)急演練。

篇（5）

我國檢察機關(guān)的信息化建設(shè)從2000年起步至今，經(jīng)歷了由點及面，由弱漸強的發(fā)展階段，并在全國范圍內(nèi)初步形成了較為系統(tǒng)的信息一體化網(wǎng)絡(luò)。隨著“科技強檢”進程的逐步深入，檢察人的傳統(tǒng)思維和工作模式勢必會經(jīng)歷前所未有的變化。也正是在這種網(wǎng)絡(luò)化日盛的趨勢下，檢察機關(guān)的信息化建設(shè)成為了檢察事業(yè)發(fā)展的重要課題。

1、檢察信息網(wǎng)絡(luò)建設(shè)的現(xiàn)狀

按照高檢院“213”工程和全國檢察機關(guān)信息化建設(shè)工作“統(tǒng)一規(guī)劃、統(tǒng)一技術(shù)、統(tǒng)一規(guī)范、統(tǒng)一應(yīng)用軟件和統(tǒng)一歸口管理”的原則，目前全國省市級檢察機關(guān)的二級專線網(wǎng)絡(luò)已經(jīng)逐步進入應(yīng)用階段，市級院與省級院以及省級院與高檢院之間的專線電話、視頻會議和計算機數(shù)據(jù)傳輸?shù)摹叭W(wǎng)合一”也基本能夠?qū)崿F(xiàn)，而且一些技術(shù)較為先進的地區(qū)也率先完成了三級專線網(wǎng)絡(luò)的搭建。部分基層檢察院的內(nèi)部局域網(wǎng)絡(luò)已經(jīng)能夠?qū)z察業(yè)務(wù)、辦公事務(wù)、綜合業(yè)務(wù)和全面檢索等應(yīng)用系統(tǒng)運用于實際的檢察工作中，同時依靠較為成型的網(wǎng)絡(luò)系統(tǒng)，并輔之以充足的數(shù)據(jù)庫資源，保證了上下級院之間直接的視頻、數(shù)據(jù)、語音的傳輸，并基本滿足了與其他兄弟院之間進行廣泛數(shù)據(jù)交換的互聯(lián)要求。

2、檢察信息系統(tǒng)的應(yīng)用狀況與面臨的困惑

檢察信息系統(tǒng)是檢察業(yè)務(wù)工作同以計算機技術(shù)為核心的信息技術(shù)相結(jié)合的產(chǎn)物，是管理科學(xué)與系統(tǒng)科學(xué)在檢察業(yè)務(wù)實踐中的具體應(yīng)用。檢察信息化水平的高低是判斷檢察工作的重要標(biāo)尺。目前在我國，檢察機關(guān)已不同程度地將計算機作為辦公、辦案的必要輔助工具，檢察人員的計算機應(yīng)用能力較之幾年前有了相當(dāng)程度的提高，檢察業(yè)務(wù)軟件、網(wǎng)絡(luò)辦公軟件以及其他的輔助處理軟件也普遍地應(yīng)用于日常的工作之中。同時，相當(dāng)一部分檢察院已經(jīng)開通了網(wǎng)站，并通過這一媒介，信息、收集反饋，形成了具有自身特色的網(wǎng)絡(luò)工作平臺。可以說，檢察信息化的不斷普及為全面建設(shè)和完善檢察信息系統(tǒng)提供良好的契機，同時也奠定了應(yīng)用與發(fā)展的必要基礎(chǔ)。

當(dāng)然，在肯定成績的同時，我們也應(yīng)清醒地認(rèn)識到現(xiàn)階段檢察信息化建設(shè)中存在的諸多不足。首先，目前我國檢察機關(guān)信息化建設(shè)還處于剛剛起步階段，網(wǎng)絡(luò)應(yīng)用水平普遍不高，絕大多數(shù)的應(yīng)用還僅局限于檢察業(yè)務(wù)的某些小的領(lǐng)域，單項應(yīng)用較為普遍，大而全、廣而深的應(yīng)用體系尚未成型。其次，檢察信息技術(shù)主要仍以平民技術(shù)為主，專業(yè)化、職業(yè)化的應(yīng)用并不理想，在缺乏相關(guān)專業(yè)人才的情勢下，技術(shù)水平較為幼稚，系統(tǒng)的標(biāo)準(zhǔn)化、通用性和易用性都還處于較低的層面。再則，目前檢察機關(guān)網(wǎng)絡(luò)信息化建設(shè)與檢察業(yè)務(wù)實際存在明顯的脫節(jié)，檢察業(yè)務(wù)軟件的開發(fā)與維護還有許多不盡如人意之處，檢察信息系統(tǒng)的網(wǎng)絡(luò)互連效果以及安全保密功能還有待進一步加強。

客觀地講，當(dāng)前的檢察信息系統(tǒng)仍處于探索和成型階段。做個不形象的比喻，如果將未來成熟的檢察信息系統(tǒng)擬制為一個健康的成年個體的話，目前的檢察信息網(wǎng)絡(luò)則像一個處在哺乳期的嬰兒，四肢俱全，生機無限，但未脫襁褓，需要給予更多的關(guān)注。

二、流行在檢察信息系統(tǒng)中的sars――網(wǎng)絡(luò)不安全因素。

網(wǎng)絡(luò)中的不安全因素，之所以稱其為sars，并非危言聳聽。在當(dāng)前的檢察信息網(wǎng)絡(luò)中，存在著種種高危的“致病”因素。這些因素往往顯見的或潛在的、習(xí)慣的或不經(jīng)意的影響著檢察信息系統(tǒng)的穩(wěn)定和安全。

1、病毒入侵與黑客攻擊

網(wǎng)絡(luò)病毒的入侵、感染與黑客的惡意攻擊、破壞是影響當(dāng)前檢察信息網(wǎng)絡(luò)安全的主要因素。目前，全球發(fā)現(xiàn)的病毒數(shù)以萬計，并以每天十種以上的速度增長，可以說每時每刻網(wǎng)絡(luò)都在經(jīng)受著新的病毒或其變種的沖擊。通過網(wǎng)絡(luò)渠道傳播的蠕蟲病毒、木馬程序以及腳本病毒，不管從傳播速度、破壞性還是波及范圍都讓人不可小視。

而對于網(wǎng)絡(luò)系統(tǒng)而言，黑客攻擊較之病毒威脅則更加讓人防不勝防。互聯(lián)網(wǎng)20多萬個黑客網(wǎng)站上，提供了大量的黑客技術(shù)資料，詳細(xì)地介紹了黑客的攻擊方法，并提供免費的攻擊軟件。在網(wǎng)絡(luò)立法十分匱乏、跟蹤防范手段有限的今天，面對網(wǎng)絡(luò)黑客針對操作系統(tǒng)以及應(yīng)用軟件漏洞的頻繁地、具有隱蔽性的攻擊，我們所要承受的威脅往往是毀滅性的。

2、網(wǎng)絡(luò)硬件、軟件方面存在的缺陷與漏洞

檢察信息網(wǎng)絡(luò)主要是以各級檢察機關(guān)的局域網(wǎng)作為其構(gòu)成單元。與銀行、郵電等行業(yè)相比，目前，檢察機關(guān)的局域網(wǎng)建設(shè)還存在著明顯的差距。從硬件上講，檢察系統(tǒng)的網(wǎng)絡(luò)產(chǎn)品尤其是關(guān)鍵部位的配套設(shè)施還相對較為落后，核心部件的性能還不能完全滿足檢察機關(guān)信息化的發(fā)展要求。雖然，部分檢察局域網(wǎng)絡(luò)在某些應(yīng)用功能上能夠基本滿足網(wǎng)上辦公和無紙化辦公的現(xiàn)實需要，但長遠地講，目前檢察機關(guān)局域網(wǎng)內(nèi)部的數(shù)據(jù)交換設(shè)備、服務(wù)器設(shè)備以及網(wǎng)絡(luò)硬件環(huán)境的合理性與穩(wěn)定性并不容樂觀，如不給予足夠地重視，勢必會給網(wǎng)絡(luò)運行的穩(wěn)定和安全留下隱患。

在軟件方面，由于網(wǎng)絡(luò)的基礎(chǔ)協(xié)議tcp/ip本身缺乏相應(yīng)的安全機制，所以基與此存在的任何網(wǎng)絡(luò)都無法擺脫不安全因素的困擾。而目前廣泛運行在檢察網(wǎng)絡(luò)中的微軟windows操作系統(tǒng)更是破綻百出，由于默認(rèn)的情況下系統(tǒng)開放了絕大多數(shù)的端口，所以使得監(jiān)聽和攻擊變得輕而易舉、防不勝防。再加之相當(dāng)數(shù)量的辦公軟件與網(wǎng)絡(luò)軟件自身開發(fā)的局限性，存在著這樣或那樣的bug，同時軟件的后期服務(wù)又不可避免具有滯后性，所以形容當(dāng)前的網(wǎng)絡(luò)“風(fēng)雨飄搖”一點也不為過。

3、使用人員的不良習(xí)慣與非法操作

如果將以上兩點看作是病源和病毒的話，那么人的因素可能就要算作是將二者緊密結(jié)合，產(chǎn)生巨大破壞作用的主要媒介了。客觀的講，目前檢察機關(guān)的網(wǎng)絡(luò)操作水平仍處在相對較低的水平，網(wǎng)絡(luò)使用者中普遍存在著操作不規(guī)范和軟件盲目應(yīng)用的現(xiàn)象。相當(dāng)一部分檢察網(wǎng)絡(luò)用戶對于網(wǎng)絡(luò)存儲介質(zhì)的使用缺乏安全和保密意識，對硬件的維護缺少必要的常識，帶來數(shù)據(jù)在存儲與傳遞環(huán)節(jié)不必要的隱患。同時，由于操作熟練程度的原因，網(wǎng)絡(luò)中的誤操作率相對較高，系統(tǒng)宕機的情況時有發(fā)生，一方面造成了網(wǎng)絡(luò)資源的浪費，另一方面也給本地數(shù)據(jù)帶來了一定的危險。

此外，由于檢察機關(guān)的業(yè)務(wù)工作與實際應(yīng)用的需要，所以局域網(wǎng)用戶的權(quán)限相對較高，使用者的操作空間相對較大。部分具有較高計算機水平的用戶，會利用授權(quán)非法地進行系統(tǒng)設(shè)置或通過黑客軟件的幫助突破權(quán)限獲取其他用戶信息乃至信息。這些惡意行為的出現(xiàn)，不僅擾亂了網(wǎng)絡(luò)內(nèi)部的正常秩序，同時也為更多“偷窺者”大開方便之門。

4、網(wǎng)絡(luò)管理與相關(guān)制度的不足

網(wǎng)絡(luò)信息系統(tǒng)三分靠建，七分靠管。嚴(yán)格的管理與健全的制度是保障檢察信息系統(tǒng)安全的主要手段。但是事實上，目前各級檢察機關(guān)的信息系統(tǒng)并沒有建立起較為健全、完善的管理制度，網(wǎng)絡(luò)管理缺乏嚴(yán)格的標(biāo)準(zhǔn)，大多數(shù)檢察機關(guān)仍采取較為粗獷的管理模式。主要表現(xiàn)在：

第一，網(wǎng)絡(luò)管理僅僅作為后勤保障工作的一部分，缺乏必要的領(lǐng)導(dǎo)機制，重視程度有待進一步加強。

第二，網(wǎng)絡(luò)管理人員充當(dāng)“消防員”，以“排險”代“管理”，缺乏全民“防火意識”，干警的信息安全責(zé)任感亟待提高。

第三，網(wǎng)絡(luò)管理缺乏必要的程序性規(guī)則，在遇到突發(fā)事件時，往往容易造成網(wǎng)絡(luò)系統(tǒng)的內(nèi)部混亂。

第四，網(wǎng)絡(luò)信息收集、整理工作不夠細(xì)致，網(wǎng)絡(luò)內(nèi)部機器的跟蹤機制還不盡如人意。在用戶應(yīng)用相對隨意性的條件下，往往出現(xiàn)“用而不管，管卻不能”的尷尬局面。

第五，與安全級別相適應(yīng)的網(wǎng)絡(luò)安全責(zé)任制度還沒有完全建立，使用者的網(wǎng)絡(luò)操作安全風(fēng)險沒有明確的承擔(dān)主體，所以使用中缺少必要的注意。網(wǎng)絡(luò)管理在“使用免責(zé)”的情況下，很難形成安全防護的有效底線。

三、構(gòu)想中的檢察信息系統(tǒng)安全防范體系

針對以上問題，筆者認(rèn)為，要建立、健全檢察信息系統(tǒng)的安全防護體系首先需要從檢察機關(guān)信息安全性的要求出發(fā)，充分結(jié)合當(dāng)前檢察信息網(wǎng)絡(luò)的建設(shè)現(xiàn)狀，從整體上把握，重規(guī)劃，抓落實。其次，要摒棄一勞永逸的短期行為，在網(wǎng)絡(luò)項目投入、網(wǎng)絡(luò)設(shè)施建設(shè)上做好長期的規(guī)劃，同時應(yīng)具有適當(dāng)?shù)某靶裕瑥臋z察信息化長遠的發(fā)展趨勢著眼，保持投入的連續(xù)性，積極追求網(wǎng)絡(luò)效能的最大化。其次，在信息化建設(shè)的過程中，檢察機關(guān)還應(yīng)充分重視制度化的建設(shè)，形成較為完善的保障體系，使得網(wǎng)絡(luò)的運行與管理能夠在正確的軌道上持續(xù)發(fā)展。當(dāng)然，強調(diào)整體規(guī)劃與設(shè)計的同時，我們還應(yīng)認(rèn)真做好網(wǎng)絡(luò)應(yīng)用技術(shù)的普及與網(wǎng)絡(luò)安全意識的培養(yǎng)工作，將檢察信息系統(tǒng)中源于技術(shù)局限以及使用者主觀因素而產(chǎn)生的種種隱患和損失降到最低程度。

基于上述幾點構(gòu)想，下面筆者將從實際的應(yīng)用出發(fā)，對檢察信息安全防范體系的具體實現(xiàn)，作細(xì)化論述：

第一，做好檢察信息系統(tǒng)整體的安全評估與規(guī)劃，為安全防范體系的構(gòu)建奠定基礎(chǔ)。

檢察機關(guān)的網(wǎng)絡(luò)信息化建設(shè)有別于其他應(yīng)用網(wǎng)絡(luò)的一個顯著特征就是對于安全性有著更為嚴(yán)格的要求。在構(gòu)造安全防范體系的過程中，我們需要全面地了解自身網(wǎng)絡(luò)可能會面臨怎樣的安全狀況，這就使得我們不得不對譬如網(wǎng)絡(luò)會受到那些攻擊，網(wǎng)絡(luò)系統(tǒng)內(nèi)部的數(shù)據(jù)安全級別是何等級，網(wǎng)絡(luò)遭遇突發(fā)性安全問題時應(yīng)如何反應(yīng)，局域網(wǎng)絡(luò)內(nèi)部的域應(yīng)怎樣設(shè)定，用戶的權(quán)限應(yīng)給予哪些控制等問題進行初步地認(rèn)定和判斷。通過進行安全評估，確定相應(yīng)的安全建設(shè)規(guī)劃。

當(dāng)然，在加大投入的同時，也應(yīng)當(dāng)正確處理安全成本與網(wǎng)絡(luò)效能之間的辯證關(guān)系，切忌將安全問題絕對化，不能讓安全設(shè)備和手段的使用降低網(wǎng)絡(luò)應(yīng)用的實際效果，尋求可用行與可靠性的平衡點。在安全建設(shè)中要注重網(wǎng)絡(luò)安全的整體效果，盡量運用較為成熟、穩(wěn)定的軟、硬件及技術(shù)，同時，針對目前檢察網(wǎng)絡(luò)所采用的微軟系統(tǒng)平臺，借助于win2000操作系統(tǒng)的域控制功能，對網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)進行劃分、管理，從而既滿足了對內(nèi)部用戶的管理要求，同時又在雙向信任關(guān)系的域－森林結(jié)構(gòu)中實現(xiàn)同級、上下級院之間的安全信息交流。

第二，加強網(wǎng)絡(luò)安全組織、管理的制度化建設(shè)，從制度的層面構(gòu)造安全防范體系。

健全檢察機關(guān)網(wǎng)絡(luò)安全管理的關(guān)鍵在于將其上升到制度的層面，以制度化促進管理的規(guī)范化。網(wǎng)絡(luò)安全管理的制度化建設(shè)需要做好兩方面的工作，首先要建立明確的安全管理組織體系，設(shè)置相應(yīng)的領(lǐng)導(dǎo)機構(gòu)，機構(gòu)以院主管領(lǐng)導(dǎo)、技術(shù)部門領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理人員、網(wǎng)絡(luò)安全聯(lián)絡(luò)員組成，全面負(fù)責(zé)局域網(wǎng)的日常維護、管理工作。網(wǎng)絡(luò)安全聯(lián)絡(luò)員由各科室選定，負(fù)責(zé)本部門網(wǎng)絡(luò)應(yīng)用過程中的信息上報和反饋工作。網(wǎng)絡(luò)管理領(lǐng)導(dǎo)小組可以根據(jù)全院的實際情況，協(xié)調(diào)管理人員進行及時的維護，這樣不僅有利于人員分工、整合，同時也保證了網(wǎng)絡(luò)管理的有序進行。其次，要加快網(wǎng)絡(luò)安全管理的規(guī)范性章程的制定，將網(wǎng)絡(luò)管理的各項工作以制度化的形式確定下來。具體來講，要盡快形成信息系統(tǒng)重要場所、設(shè)施的安全管理制度，例如服務(wù)器機房的管理制度；要盡快制定網(wǎng)絡(luò)安全操作的管理制度，尤其是網(wǎng)絡(luò)用戶的軟件使用與技術(shù)應(yīng)用的規(guī)范化標(biāo)準(zhǔn)；同時，也要進一步研究網(wǎng)絡(luò)遭遇突發(fā)事件時的安全策略，形成網(wǎng)絡(luò)安全的應(yīng)急保障制度，并針對網(wǎng)絡(luò)安全責(zé)任事故進行制度化約束，追究責(zé)任人的主觀過錯。

當(dāng)然，制度化建設(shè)應(yīng)當(dāng)包含檢察信息網(wǎng)絡(luò)管理的各個方面，遠非以上幾點，它需要我們在補充、修訂的過程中不斷健全、完善。

第三，提高網(wǎng)絡(luò)應(yīng)用與管理的技術(shù)水平，彌補自身缺陷，減少外來風(fēng)險。

在當(dāng)前檢察信息網(wǎng)絡(luò)的安全威脅中，病毒及惡意攻擊可能是其最主要的方面。但我們應(yīng)清醒地認(rèn)識到，任何的病毒與黑客技術(shù)都是針對網(wǎng)絡(luò)系統(tǒng)的漏洞而發(fā)起的。而在網(wǎng)絡(luò)應(yīng)用過程中，大多數(shù)使用者對于病毒及外來攻擊的恐懼往往要大于對自身系統(tǒng)漏洞的擔(dān)心。要解決這一問題，首先要使網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)病毒及黑客攻擊有必要的認(rèn)識，并了解病毒感染的主要渠道，同時要加強網(wǎng)絡(luò)應(yīng)用的規(guī)范化培訓(xùn)，整體提高操作的技術(shù)水平，最大程度地減少人為因素造成的安全隱患。此外，在網(wǎng)絡(luò)管理中，對操作系統(tǒng)的漏洞應(yīng)及時的安裝安全補丁，并留意微軟定期的安全公告，關(guān)閉操作系統(tǒng)中并不常用的默認(rèn)端口，防止為惡意攻擊留下“后門”。同時，對網(wǎng)絡(luò)中的應(yīng)用軟件進行全面檢查，盡量避免使用來歷不明的盜版軟件，將軟件的選擇導(dǎo)向正版化、網(wǎng)絡(luò)化的軌道，逐漸減少對于盜版軟件、試用版軟件以及共享版軟件的依賴。

同時，充分利用win2000系統(tǒng)的域功能，嚴(yán)格控制網(wǎng)絡(luò)客戶端機器的超級用戶帳號，設(shè)定所有用戶必須登錄域中進行網(wǎng)絡(luò)操作，設(shè)定所有用戶（預(yù)留guest帳號可以另外處理）的ip地址和網(wǎng)卡物理地址進行綁定、所有無需移動辦公的用戶帳號和ip地址綁定，實施嚴(yán)密的身份識別和訪問控制。

第四，加強應(yīng)急策略下的物理安全、數(shù)據(jù)保護與日志管理，健全安全保障體系。

篇（6）

2.缺乏綜合性的安全解決方案。在實踐過程中，高校圖書館為了保證信息安全運行，使用了大量的硬件防火墻、入侵監(jiān)測系統(tǒng)和殺毒軟件。從長遠講，這些措施還不能遠遠不能解決問題，高校圖書館在信息安全管理方面依然缺乏綜合性的解決方案，雖然也有各種信息安全管理規(guī)章制度和某些解決方案，沒有一個系統(tǒng)來組織這些規(guī)章制度和解決方案。

二、信息時代條件下創(chuàng)新高校圖書館信息安全管理的主要措施

（一）必須要對管理信息系統(tǒng)進行科學(xué)規(guī)劃。對于高校圖書館來講，進行管理信息系統(tǒng)創(chuàng)新，也離不開這個步驟，也必須做好前期的調(diào)查研究工作，研究擬開發(fā)設(shè)計的管理信息系統(tǒng)在本館的可行性、以及使用后的效果性等內(nèi)容。科學(xué)規(guī)劃所設(shè)計到的主要內(nèi)容有：制定前期科學(xué)、完善的主要目標(biāo)，并對管理信息系統(tǒng)長期發(fā)展方案進行編，以確定管理信息系統(tǒng)在整個組織中發(fā)展方向、使用規(guī)模以及發(fā)展進程；開展初步調(diào)查，其目的是為了合理地確定系統(tǒng)目標(biāo)，進行系統(tǒng)總體分析以及可行性研究，摸清本圖書館在管理信息系統(tǒng)建設(shè)存在的迫切性、主要不足、可行性和可能性；在初步調(diào)查的基礎(chǔ)上，形成詳實的調(diào)研報告，為后期系統(tǒng)詳細(xì)調(diào)研奠定基礎(chǔ)。

（二）對圖書館管理信息安全管理系統(tǒng)實施可行性分析。在前期初步調(diào)查的過程中，嚴(yán)格執(zhí)行調(diào)查內(nèi)容，明確圖書館管理信息系統(tǒng)的目標(biāo)，對現(xiàn)行系統(tǒng)的基本情況作出初步了解、明確可行性。結(jié)合管理信息系統(tǒng)對運行環(huán)境、資源要求等條件進行考量，判斷出圖書館所擬上管理信息系統(tǒng)是否具有必要性和可能性。對管理信息系統(tǒng)現(xiàn)存的主要不足、問題、緊迫性、希望新的管理系統(tǒng)所能夠帶來主要功能、開發(fā)態(tài)度、資金保障、專業(yè)人員配備、后期維護與管理等方面進行全方位了解。

（三）開發(fā)創(chuàng)新高校圖書館信息安全管理的新型系統(tǒng)。管理信息系統(tǒng)開發(fā)創(chuàng)新是更好提高管理效能的重要手段。當(dāng)前高校圖書館生存發(fā)展的宏觀、微觀環(huán)境已經(jīng)發(fā)生了深刻變化；高校圖書館職能的發(fā)揮必須要建立在充分隨時隨地取得準(zhǔn)確而及時的管理決策方面的內(nèi)部信息與外部信息，甚至是與高校圖書館管理過程中各項決策決議執(zhí)行情況的反饋信息，以實現(xiàn)對高校圖書館業(yè)務(wù)與管理的及時調(diào)控。管理信息系統(tǒng)主要的功能不但能夠有效進行數(shù)據(jù)與信息的搜集、處理、而且還具備了預(yù)測和控制功能；在高校圖書館實施管理信息系統(tǒng)創(chuàng)新，對于高校圖書館管理曾來講，能夠有效解決在管理中所面臨的半結(jié)構(gòu)化問題和非結(jié)構(gòu)化問題，有效提高一種定性與定量分析的方法，有效提高管理效率和決策的科學(xué)化水平。

篇（7）

GB/T28449—2012《信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南》規(guī)定了信息系統(tǒng)安全等級保護測評工作的測評過程，既適用于測評機構(gòu)、信息系統(tǒng)的主管部門及運營使用單位對信息系統(tǒng)安全等級保護狀況進行的安全測試評價，也適用于信息系統(tǒng)的運營使用單位在信息系統(tǒng)定級工作完成之后，對信息系統(tǒng)的安全保護現(xiàn)狀進行的測試評價，獲取信息系統(tǒng)的全面保護需求。GB/T28448—2012《信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》針對信息系統(tǒng)中的單項安全措施和多個安全措施的綜合防范，對應(yīng)地提出單元測評和整體測評的技術(shù)要求，用以指導(dǎo)測評人員從信息安全等級保護的角度對信息系統(tǒng)進行測試評估。GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》根據(jù)現(xiàn)有技術(shù)的發(fā)展水平，提出和規(guī)定了不同安全保護等級信息系統(tǒng)的最低保護要求，即基本安全要求，包括基本技術(shù)要求和基本管理要求，該標(biāo)準(zhǔn)適用于指導(dǎo)不同安全保護等級信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。

2整合實施的思路

2.1審核與測評的過程整合整合是為了在組織內(nèi)部建立一套信息安全管理體系及制度，而且該制度既符合信息安全管理體系又符合信息系統(tǒng)安全等級保護的管理要求，并給組織帶來收益，避免不必要的沖突和資源浪費。根據(jù)對審核和測評的過程分析得知審核從表面上執(zhí)行了測評的管理內(nèi)容，但從整個審核和測評活動可得出，兩者的活動內(nèi)容和組織方式非常相似，因此具備很強的整合條件，兩者的具體活動如表1所示。

2.2審核與測評的控制措施整合整合GB/T22239—2008中的控制措施部分與GB/T22080—2008的附錄A完全可行，且整合后可避免多余、重復(fù)的管理資源。如GB/T22239—2008三級信息系統(tǒng)對資產(chǎn)管理的要求和GB/T22080—2008中的“A.7資產(chǎn)管理”基本保持了一致，具體標(biāo)準(zhǔn)條款映射如表2所示。若組織內(nèi)存在等級保護三級或三級以上的信息系統(tǒng)，則該組織應(yīng)建立信息安全管理制度體系，這與組織單獨建立ISMS所達到的目標(biāo)基本一樣，從整合的角度來看，通過實施整合，可以取得“一舉兩得”的效果。具體的整合檢查表如表3所示。

篇（8）

在社會經(jīng)濟發(fā)展的沖擊下，電子信息技術(shù)在社會生活與生產(chǎn)中已被廣泛應(yīng)用，給社會生產(chǎn)注入了新的力量。電子信息技術(shù)在為人們的生活帶來便利的同時，其發(fā)展也面臨一定的挑戰(zhàn)。在科學(xué)技術(shù)快速發(fā)展的沖擊下，電子信息安全管理成為電子信息技術(shù)發(fā)展中的重點，也成為發(fā)展需要重點解決的問題。因此，研究電子信息安全管理具有很大的現(xiàn)實意義，可以為電子信息技術(shù)更好的發(fā)展提供有利條件。

1電子信息、信息安全的相關(guān)概念

電子信息技術(shù)是時展下一門新型的計算機技術(shù)，主要負(fù)責(zé)對電子信息進行處理與控制，是對計算機現(xiàn)代化技術(shù)的靈活應(yīng)用。電子信息技術(shù)需要收集、存儲與傳輸信息，實現(xiàn)對信息數(shù)據(jù)的傳輸與共享，對電子設(shè)備的運行也發(fā)揮著很大的作用，充分發(fā)揮信息數(shù)據(jù)的優(yōu)勢。電子信息技術(shù)在應(yīng)用過程中，需要形成一個體系完善的信息系統(tǒng)，設(shè)計與開發(fā)信息系統(tǒng)，使得電子信息可以更好發(fā)揮作用。信息安全主要是指利用一種加密技術(shù)，對電子信息進行管理，并且保持信息的保密性、完整性和有效性，從而更好保證電子信息的安全。電子信息在收集、存儲與傳輸?shù)倪^程中，易受到外界條件的影響與一些不法侵害而導(dǎo)致信息的流失，因此，就需要重點加強電子信息安全管理，對信息進行安全管理，更好地保護信息。

2電子信息的安全因素

2.1完整性

在電子信息技術(shù)的發(fā)展中，電子信息的完整性是其中較為重要的部分，也是電子信息發(fā)展的關(guān)鍵。在電子信息的收集、存儲與傳輸過程中，電子信息會被隨意篡改，從而使得電子信息的完整性遭到破壞。在電子信息收集、存儲與傳輸?shù)倪^程中，還需要重點注意電子信息的流失問題，避免電子信息被盜取，而對電子信息造成不好的影響。電子信息的完整性是電子信息發(fā)展的基礎(chǔ)，可以為電子信息更好發(fā)展提供有利條件。

2.2機密性

電子信息的機密性是電子信息發(fā)展的核心所在，也是發(fā)展中不可忽視的問題。在企業(yè)與各部門之間的信息傳輸與交流過程中，一些電子信息的機密性是比較強的，信息的泄露對其生存與發(fā)展有著直接的影響，嚴(yán)重的還會導(dǎo)致企業(yè)與部門發(fā)展停滯。為了保證電子信息的機密性，就需要重點應(yīng)用電子信息安全管理技術(shù)，通過一些技術(shù)手段來對電子信息進行加密，從而防止出現(xiàn)一些篡改、破壞、竊取信息的行為，增強電子信息的安全性。

2.3有效性

電子信息的傳播價值就在于電子信息的有效性，為各方面工作更好進行提供更好的條件。電子信息的傳輸是為了更好實現(xiàn)信息的傳遞與共享，從而為一些社會生活與生產(chǎn)中的交易提供優(yōu)勢，也可以充分發(fā)揮信息傳輸?shù)淖饔谩τ谛畔鬏數(shù)挠行裕托枰獜娀娮釉O(shè)備，保證硬件與網(wǎng)絡(luò)的安全，使得信息的傳輸更加安全，保證信息的有效性的同時，也為信息傳輸?shù)臅r效性提供保障。

3電子信息安全的隱患

3.1竊取信息

在信息傳輸?shù)倪^程中，會有一些竊取信息的行為，會導(dǎo)致信息泄露與流失，從而對電子信息保密性與完整性造成影響。一些技術(shù)手段較高的黑客可以在信息傳輸過程中攔截信息，就可以獲取一定的信息量。信息數(shù)據(jù)是有一定的規(guī)律的，黑客往往通過所盜取的信息就可以分析出全部的信息，進而完成對信息的竊取。黑客竊取電子信息是有一定手段的，對電子信息的安全影響比較大，一些信息的泄露與流失會對企業(yè)造成很大的影響，甚至?xí){到企業(yè)的生存與發(fā)展。

3.2篡改信息

在信息傳輸?shù)倪^程中，除了盜取信息外，還會隨意篡改信息。隨意篡改信息，在很大程度上會破壞信息的完整性。信息被隨意篡改，就會使得信息不準(zhǔn)確，接收者就會接收到錯誤的信息，從而對接收者造成很大的影響，接收者可能會作出一些錯誤的判斷與決策。隨意篡改信息，主要對接收者造成影響，不能充分發(fā)揮信息的優(yōu)勢。

3.3信息假冒

信息假冒是冒充合法用戶接收與傳輸信息，向接收者發(fā)送自己編造的信息，從而對接收者造成誤導(dǎo)。信息假冒一般是攔截合法的信息，然后再以信息傳輸?shù)暮戏ㄓ脩舻纳矸菥幵煨畔ⅲ^而將假的信息傳輸給接收者。或者可以不用攔截信息，可以直接冒充身份編造信息，例如偽造用戶或商戶的收、定貨單據(jù)等。

3.4信息破壞

信息破壞是一種破壞性較大的行為，一般破壞者會直接侵入用戶的網(wǎng)絡(luò)，通過一些病毒來控制用戶的網(wǎng)絡(luò)，從而可以修改權(quán)限，對用戶的網(wǎng)絡(luò)造成較為嚴(yán)重的破壞。信息破壞所造成的影響是比較大的，嚴(yán)重的會造成網(wǎng)絡(luò)癱瘓，后期的網(wǎng)絡(luò)修復(fù)工作難度也比較大，極不利于電子信息的傳輸。

4電子信息安全技術(shù)

4.1防火墻技術(shù)

隨著社會的進步、科學(xué)技術(shù)的發(fā)展，網(wǎng)絡(luò)成為人們社會生活與生產(chǎn)中較為重要的部分，在社會生活與生產(chǎn)中也發(fā)揮著很大的作用。防火墻技術(shù)在網(wǎng)絡(luò)中的應(yīng)用比較廣泛，主要用于防止黑客與病毒對網(wǎng)絡(luò)安全造成威脅與破壞。網(wǎng)絡(luò)黑客與病毒會入侵網(wǎng)絡(luò)，而防火墻技術(shù)在一定程度上可以對其進行攔截，這是網(wǎng)絡(luò)安全運行最基礎(chǔ)的保障措施。對于網(wǎng)絡(luò)運行中隨意篡改信息的現(xiàn)象，防火墻技術(shù)也可以發(fā)揮作用，避免這種現(xiàn)象的發(fā)生，在一定程度上保證網(wǎng)絡(luò)運行的安全。

4.2加密技術(shù)

加密技術(shù)在電子信息安全管理中的應(yīng)用也比較廣泛，一般主要對電子信息進行加密處理。加密技術(shù)主要有公開密鑰和私用密鑰，私用密鑰主要用于信息的加密，而公開密鑰主要用于信息的解密，兩者是相匹配的，如果兩者不能匹配，則沒有查看信息的權(quán)限。加密技術(shù)對電子信息的安全保障程度較高，因為私用密鑰加密信息是以密文的形式進行的，在對信息進行解密時，公開密鑰就會把密文翻譯為文字，從而加強對信息安全的管理，在發(fā)生信息被竊取現(xiàn)象時，也不用擔(dān)心信息泄露與流失。

4.3認(rèn)證技術(shù)

認(rèn)證技術(shù)分為消息認(rèn)證、身份認(rèn)證和生物認(rèn)證三種類型，每個類型的作用都是不同的。消息認(rèn)證是通過用戶名與密碼的形式對信息進行加密的認(rèn)證方式，這種方式的安全沒有保障，用戶名與密碼易被竊取。身份認(rèn)證的針對性比較強，一般用于特殊身份的認(rèn)證，如學(xué)校學(xué)生這種用戶身份，只有符合身份特征的人，才可以查看信息。生物認(rèn)證的安全性比較高，一般用人的身體特征如虹膜、指紋等作為認(rèn)證特征。身份認(rèn)證的安全性是最高的，但是其投資建設(shè)成本比較高，在當(dāng)前的電子信息安全管理中并沒有被廣泛應(yīng)用。

5提高電子信息安全性的策略

5.1提高電子信息安全認(rèn)識

網(wǎng)絡(luò)在社會生活與生產(chǎn)中已被廣泛應(yīng)用，加強網(wǎng)絡(luò)中信息安全管理工作是十分重要的，也發(fā)揮著很大的作用。首先，要對電子信息安全管理有正確的認(rèn)識，并且提高對其的重視，根據(jù)網(wǎng)絡(luò)發(fā)展的現(xiàn)狀與其中存在的問題，優(yōu)化電子信息安全管理技術(shù)。其次，要根據(jù)電子信息安全管理的需要，靈活應(yīng)用電子信息安全管理技術(shù)，充分發(fā)揮技術(shù)的優(yōu)勢，為電子信息安全提供保障。

5.2構(gòu)建電子信息安全管理體制

電子信息安全管理工作的進行離不開較為完善且全面的安全管理體制，安全管理體制是工作進行的前提，可以為電子信息安全管理工作更好進行提供基礎(chǔ)與指導(dǎo)。在對電子信息進行安全管理的過程中，要加強對電子信息的研究，并且深入了解電子信息安全管理技術(shù)的實質(zhì)與要求。首先，制定較為科學(xué)合理的制度規(guī)范網(wǎng)絡(luò)行為與現(xiàn)象，避免網(wǎng)絡(luò)混亂而對信息安全造成影響。其次，通過較為合理的制度，綜合各方面的影響因素，再根據(jù)信息安全管理技術(shù)的要求，形成較為具體、全面的管理體制。一種較為系統(tǒng)的管理體系，可以使得工作的進行更加有序，也可以避免一些病毒和黑客的入侵，促進電子信息安全管理工作更好進行。

5.3培養(yǎng)電子信息安全專業(yè)人才

專業(yè)人才對于工作的進行有著直接的影響，也需要重點關(guān)注。電子信息安全管理技術(shù)在當(dāng)前的發(fā)展中取得了很大的成效，但是，電子信息安全專業(yè)人才相對較為缺乏，使得技術(shù)的應(yīng)用與管理受到了一定的限制。隨著科學(xué)技術(shù)的發(fā)展，電子信息安全管理技術(shù)對于人才的要求提高，需要有較強的專業(yè)性。在電子信息安全專業(yè)人才培養(yǎng)中，首先對人才的選拔有嚴(yán)格要求，繼而對人才進行重點的培訓(xùn)，提高其專業(yè)水平。還可以將一定的資金用于國外技術(shù)的學(xué)習(xí)，根據(jù)自身發(fā)展的實際情況，提高人才的綜合能力。還需要對人才進行思想教育，提高其對信息安全管理的重視，并且提高其責(zé)任感。在日常的工作中，定期對人才進行審核，規(guī)范其行為，促進綜合素質(zhì)的提高。

5.4定期評估、改進安全防護軟件系統(tǒng)

評估工作在電子信息安全管理工作的進行與發(fā)展中是十分重要的，也是非常關(guān)鍵的。社會在不斷發(fā)展，技術(shù)也在不斷更新，評估工作可以為改進工作提供依據(jù)與方向。在電子信息安全管理中，定期評估安全防護軟件系統(tǒng)，可以發(fā)現(xiàn)安全管理中存在的不足與發(fā)展的優(yōu)勢，對于存在的不足，可以以人們的評估為依據(jù)，對問題進行處理，更好滿足人們的需要。在工作中還需要不斷積累經(jīng)驗，改進與優(yōu)化電子信息安全管理技術(shù)，充分發(fā)揮技術(shù)的優(yōu)勢，促進管理工作更好進行。

6結(jié)語

在時展潮流的沖擊下，電子信息存在一定的安全隱患，電子信息安全管理引起了人們的關(guān)注。在電子信息安全管理工作中，需要深度研究電子信息發(fā)展的情況與安全影響因素，并且有針對性地解決，為電子信息提供安全保障。網(wǎng)絡(luò)技術(shù)也是在不斷發(fā)展與更新的，也需要創(chuàng)新網(wǎng)絡(luò)技術(shù)，為電子信息安全管理工作的進行提供有利條件。

參考文獻

篇（9）

一、電子信息安全管理中存在的問題

1.安全防范意識落后

我國的信息技術(shù)迅猛發(fā)展，人們沉浸在便利的喜悅中，忽略了安全管理。由于電子商務(wù)處于初步發(fā)展階段，很多技術(shù)方面尚不成熟，一些高標(biāo)準(zhǔn)的電子商務(wù)平臺尚還沒有搭建起來，對黑客缺乏防御的小型電子商務(wù)平臺雖然隨處可見，但其缺乏有效的安全管理，經(jīng)營者麻痹大意，心存僥幸，認(rèn)為“黑客”雖然存在，但是自身未必遭受攻擊，他們更多地關(guān)注業(yè)務(wù)的發(fā)展，重視平臺規(guī)模的擴大和系統(tǒng)功能的開發(fā)。在這種情況下，系統(tǒng)缺乏安全防御，一旦受到攻擊，立即癱瘓不能運轉(zhuǎn)和造成損失。此外，有些管理者為了防御黑客，在市場上購買了一些大眾化的安全管理軟件，便覺得安裝了這些“高新”產(chǎn)品，就會高枕無憂，永遠安全的使用電子商務(wù)。結(jié)果，常常事與愿違，造成巨大的損失。

2.信息安全技術(shù)匱乏

經(jīng)過一段時間的努力，國內(nèi)的信息安全管理技術(shù)不斷提升，連續(xù)邁上新的臺階，情況喜人。但是，我們也要有自知之明，因為和許多西方國家相比，信息安全防御與控制技術(shù)相對落后很多，并且，我們在經(jīng)費的投入方面，有明顯的差距；自主研發(fā)技術(shù)存在的不足之處多多，亟需改善。我們更要清楚的一點是：我們的技術(shù)，很多都是借鑒國外的經(jīng)驗，缺乏獨創(chuàng)。如此步人后塵，電子信息安全管理質(zhì)量難以有質(zhì)的突破。

3.信息安全產(chǎn)品鑒定混亂無序

為了安全起見，很多企業(yè)花費不菲，購買了一些安全方面的軟件，殊不知，這些產(chǎn)品在一般情況下，確實能夠起到電子信息使用平臺的安全作用，但如果病毒強大，絕對的安全便難以保證。縱觀市場上的安全軟件產(chǎn)品，良莠不齊，并且，目前市場上對于安全產(chǎn)品的鑒定沒有統(tǒng)一標(biāo)準(zhǔn)，各執(zhí)一說，很多都是主觀判斷，由此產(chǎn)生隱患。

二、電子信息安全管理的有效措施

在電子信息安全管理方面，一旦出現(xiàn)問題，就會造成損失，一些企業(yè)“吃一塹長一智”，采取了相關(guān)措施，不過，調(diào)查表明，大多數(shù)企業(yè)存在“重技術(shù)，輕管理”的情況，而且由于一些企業(yè)尚未造成重大損失，管理層對安全問題漠不關(guān)心，或重視不夠。下面針對加強電子信息安全管理的主要措施做一探討。

1.構(gòu)建完善的管理組織機構(gòu)，加強管理

電子信息安全管理組織機構(gòu)的完善有力地促進了企業(yè)的發(fā)展，從安全決策到認(rèn)真執(zhí)行，層層構(gòu)架，發(fā)揮職能。管理框架的構(gòu)建要集思廣益，審慎剴切；安全制度的審批須一絲不茍，審查入微；安全職責(zé)的分配必須認(rèn)真到位，監(jiān)督有力；遵照網(wǎng)絡(luò)系統(tǒng)安全制度，嚴(yán)肅執(zhí)行，進行網(wǎng)絡(luò)系統(tǒng)的日常維護。如屬于大型的電子商務(wù)平臺或者集團企業(yè)，更加需要增加投入，比如聘請有造詣的專家成立顧問組織，以便企業(yè)進行疑難咨詢，或是參照出現(xiàn)的問題出列解決方案，爾后進一步對責(zé)任進行調(diào)查、評估。

2.電子信息安全管理制度有待進一步完善

電子信息安全管理制度主要包括兩方面的內(nèi)容，第一點就是構(gòu)建電子信息控制制度，第二點是出現(xiàn)問題之后的解決策略。關(guān)于第一點，需要明確責(zé)任，注重細(xì)節(jié)，出現(xiàn)任何情況都要嚴(yán)格審核，并且定期檢查；至于第二點，注意信息傳遞過程中的信息維護，密切跟蹤，及時報告，達到有效監(jiān)督。最后，備份數(shù)據(jù)文件儲存。

3.專業(yè)亟待提升

互聯(lián)網(wǎng)的發(fā)展突飛猛進，普及千家萬戶，安全技術(shù)的研發(fā)相對于互聯(lián)網(wǎng)的發(fā)展遠遠落后，原因諸多，最重要的一點就是缺乏過硬的技術(shù)人員。一般而言，電子商務(wù)規(guī)模越大，電子信息安全管理隊伍的陣容也要隨之?dāng)U充，只有電子信息安全管理隊伍強大，才能夠產(chǎn)生無窮的智慧與應(yīng)對措施，保證電子商務(wù)平臺的安全。

4.系統(tǒng)安全檢測

黑客一詞被用于泛指那些專門利用電腦網(wǎng)絡(luò)和系統(tǒng)安全漏洞對網(wǎng)絡(luò)進行攻擊破壞或竊取資料的人。病毒與黑客不斷變換手段，頻頻對電子商務(wù)系統(tǒng)采取攻擊行動，有時候能導(dǎo)致整個系統(tǒng)癱瘓。出現(xiàn)意外情況，要立即檢測，要經(jīng)常更換密碼，設(shè)置復(fù)雜一些的密碼，要經(jīng)常對防火墻進行檢查，系統(tǒng)功能是否保持，是否出現(xiàn)漏洞等，要細(xì)致入微，不能有一絲一毫的疏忽，嚴(yán)防黑客侵入。

5.建立保護系統(tǒng)的方案

時常進行安全檢測，一旦系統(tǒng)的安全檢測失靈，必須立即建立系統(tǒng)安全防護措施。系統(tǒng)安全管理極其復(fù)雜，缺乏安全可靠的保護，電子商務(wù)在網(wǎng)絡(luò)平臺失去有效的依靠，隨時會出現(xiàn)漏洞。反之，安全策略嚴(yán)謹(jǐn)，防護得力，即便系統(tǒng)遭受攻擊，也會及時發(fā)現(xiàn)，能將損失最小化。

6.管理培訓(xùn)的重要性

防護系統(tǒng)的工作人員，要進行考試錄用、上崗培訓(xùn)，企業(yè)經(jīng)常進行人員培訓(xùn)，定期學(xué)習(xí)安全策略和規(guī)章制度。讓每一個員工加強安全觀念，提升對信息安全的重視，認(rèn)識到防護的重要性，堅守崗位，忠于職守，明了企業(yè)安全規(guī)章制度的含義。

三、結(jié)語

綜上所述，近年來經(jīng)濟騰飛，經(jīng)濟全球化進程不斷加快，計算機技術(shù)無所不在，網(wǎng)絡(luò)暢通無極，人們在網(wǎng)絡(luò)平臺上進行商務(wù)管理、學(xué)習(xí)、游戲、查找資料、購物匯款等等，網(wǎng)絡(luò)信息交互平臺已經(jīng)深入大家的生活，人們已經(jīng)一日不可沒有網(wǎng)絡(luò)的存在。網(wǎng)絡(luò)如此不可或缺，隨著計算機病毒造成的一次次的損失，人們對電子信息安全管理質(zhì)量憂心忡忡。

在這一背景下，很多電子信息安全管理研究機構(gòu)紛紛推出各類電子信息安全管理產(chǎn)品，盡管其對確保信息安全起到了一定的功效，但是，一切并不是萬能的。這也使得人們明白了技術(shù)產(chǎn)品并不僅僅是安全管理工作的全部。本文結(jié)合當(dāng)前電子信息安全管理現(xiàn)狀，提出了一些相應(yīng)的應(yīng)對措施，希望能夠有效提升電子信息安全管理的質(zhì)量。

參考文獻：

篇（10）

1.1 管理者的安全意識不強

檔案信息化水平不斷提升，這也使檔案信息安全問題越來越突出。當(dāng)前很多檔案管理人員對于檔案信息安全的重要性和緊迫性缺乏有效的認(rèn)知，特別是當(dāng)前檔案網(wǎng)站安全、計算機系統(tǒng)安全等問題普遍得不到重視。由于檔案管理者對數(shù)字檔案信息安全意識缺乏，這也導(dǎo)致普遍民眾對數(shù)字檔案信息的安全問題更是一無所知。很大一部分檔案管理人員在日常工作中都沒有意識到數(shù)字檔案存在的安全隱患，這些數(shù)字檔案信息可能隨時消失不見，對風(fēng)險缺乏有效的認(rèn)知，這也造成數(shù)字檔案信息安全問題始終存在，這對于數(shù)字檔案信息安全管理工作帶來了較大的挑戰(zhàn)和難度。

1.2 數(shù)字檔案信息安全管理技術(shù)滯后

隨著信息技術(shù)的快速發(fā)展，數(shù)字檔案檔案安全技術(shù)也緊跟信息技術(shù)發(fā)展步伐取得了較快的發(fā)展，但在發(fā)展過程中存在著技術(shù)層面專業(yè)問題的制約，這就導(dǎo)致數(shù)字檔案信息安全管理技術(shù)相對滯后。在實際工作中，往往都是檔案信息安全問題出現(xiàn)后，數(shù)字檔案信息安全技術(shù)才能針對出現(xiàn)的問題進行改進，從而取得技術(shù)上的發(fā)展。即在數(shù)字檔案信息管理工作中，安全隱患一直存在，風(fēng)險一直管觀存在，數(shù)字檔案信息安全時刻受到威脅，因此要??際工作中需要有效的降低風(fēng)險，即應(yīng)用數(shù)字檔案信息安全技術(shù)來將風(fēng)險降至最低水平。

1.3 數(shù)字檔案信息安全管理制度不完善

現(xiàn)今我國在數(shù)字檔案信息安全領(lǐng)域的制度不夠健全，所以才會在實際的數(shù)字檔案信息安全管理中出現(xiàn)許多紕漏。由于數(shù)字信息安全管理制度的殘缺導(dǎo)致我國的數(shù)字檔案信息安全管理水平普遍偏低。從實際出發(fā)，我國大部分的檔案管理部門都制定了相應(yīng)的數(shù)字檔案信息管理制度，許多制度都是為了應(yīng)付檢查才制定的，相互抄襲的情況比較多，這樣的情況就會造成所制定的制度并不能與實際的數(shù)字檔案信息安全管理工作相匹配。對實際的數(shù)字檔案信息安全管理工作起不到任何制約與指導(dǎo)作用，甚至可能造成安全隱患給數(shù)字檔案信息安全管理工作帶來不必要的麻煩。

2 加強數(shù)字檔案信息安全管理的策略分析

2.1 加強對工作人員的培訓(xùn)，樹立安全防范意識

隨著檔案信息化的不斷發(fā)展，檔案數(shù)字化全面普及率已成為檔案工作發(fā)展的必然趨勢。為了能夠更好的提高數(shù)字檔案信息管理的安全，需要遵循以人為本原則，重視檔案管理人員的培訓(xùn)工作，努力提高檔案管理人員的專業(yè)技能。在具體培訓(xùn)過程中，要加強對檔案管理人員信息安全知識的講解，使檔案管理人員樹立安全防范意識，認(rèn)識到數(shù)字檔案安全管理的重要性，并能夠在實際工作中利用安全技術(shù)來維護數(shù)字檔案信息的安全。培訓(xùn)過程中還要重視檔案管理人員計算機技術(shù)水平的提升，這樣在實際工作中才能更熟練的應(yīng)用檔案管理系統(tǒng)，提高檔案管理系統(tǒng)的先進性，從而更好的實現(xiàn)對數(shù)字檔案信息的有效管理。

2.2 提高重要信息的加密性和計算機的安全性

網(wǎng)絡(luò)環(huán)境的不安全會影響數(shù)字檔案信息的安全性，因此要加大對網(wǎng)絡(luò)環(huán)境的保護力度，提高計算機環(huán)境的安全性。為防止重要信息被黑客入侵盜取，要加強對信息的加密保護，保證數(shù)字檔案信息的保密性，在網(wǎng)絡(luò)層能夠安全、自由的傳遞，特別是對帶有密級的數(shù)字檔案信息系統(tǒng)，更應(yīng)該加強文件的加密保護能力，保護重要的檔案信息。對計算機要定期的清理，防止留下的瀏覽記錄被別有用心的人利用，可能會從中得到很多私人信息，提高計算機系統(tǒng)的安全性。因此在計算機上必然安全可靠的殺毒軟件和防火墻，做好安全防范工作，降低計算機系統(tǒng)受到病毒破壞及黑客攻擊的可能性，提高計算機系統(tǒng)的安全水平。同時檔案管理人員還要熟練應(yīng)用計算機軟件，并定期對病毒庫進行更新，強化計算機系統(tǒng)的安全防范，有效的提高數(shù)字檔案信息的安全性和可靠性。

2.3 健全數(shù)字檔案信息安全管理制度與法律

篇（11）

二、健全法律法規(guī)

加強法律法規(guī)的完善性，保證數(shù)字化檔案信息安全管理工作的規(guī)范執(zhí)行。在該執(zhí)行期間，需要從法律法規(guī)角度對其進行研究，基于信息化時展需要，為民營企業(yè)的檔案信息安全管理工作營造良好的發(fā)展氛圍。執(zhí)行過程中，需要根據(jù)信息化發(fā)展要求、檔案信息的主要特征，為其制定完善的法律法規(guī)。在該體系執(zhí)行時，不僅能加強民營企業(yè)數(shù)字化檔案信息管理工作的?范化，實現(xiàn)信息的開放性發(fā)展，還能保證民營企業(yè)檔案信息完整、真實使用。在現(xiàn)代化發(fā)展背景下，民營企業(yè)面臨較大的挑戰(zhàn)，為了提高檔案信息管理能力，還需要建立完善的管理制度，分析數(shù)字化檔案信息安全管理工作中存在的一些影響因素，保證制度的有效執(zhí)行，保證在具體實施工作中，能夠?qū)踩砟顫B透到企業(yè)檔案信息管理工作中去。在實施工作中，還要為數(shù)字化檔案信息管理工作提供備份制度，其中，需要包括登記、異地使用制度等。不僅如此，還要促進數(shù)字化檔案開放工作的執(zhí)行期間，保證能夠開放一些信息。還需要為檔案信息的數(shù)字化管理建立維護制度，促進管理工作流程的規(guī)范發(fā)展，保證工作中各個環(huán)節(jié)的人員職責(zé)都能充分落實，實現(xiàn)任務(wù)分布明確，職責(zé)合理等，在不同崗位上，遵循不同的工作事項和流程，這樣才能使檔案信息管理工作符合新時期的發(fā)展要求，維持民營企業(yè)的健康進步。

三、利用先進手段

在民營企業(yè)不斷進步與發(fā)展的背景下，為了提升數(shù)字化檔案信息安全管理水平，需要引進先進執(zhí)行手段。先進手段的引入能夠為民營企業(yè)的檔案信息管理工作提供有效保障，在內(nèi)部管理工作中，需要相關(guān)部門根據(jù)自身的發(fā)展條件，借鑒一些成功經(jīng)歷，引入有效的數(shù)字化檔案信息安全軟件，促進信息安全設(shè)備的有效配置，保證企業(yè)在數(shù)字化檔案管理工作中，提高其中的技術(shù)含量。不僅如此，在具體執(zhí)行期間，還需要根據(jù)企業(yè)建立的數(shù)字化管理系統(tǒng)化，分析運行的實際情況，對計算機的硬件和軟件進行優(yōu)化選擇，提高其使用性能。在對計算機軟件與硬件進行選擇過程中，要重視計算機的品牌和服務(wù)器，以全方位的角度對計算機硬件的兼容性、可擴展性進行思考、嚴(yán)格審核，在該工作中，不僅能避免產(chǎn)生數(shù)據(jù)丟失現(xiàn)象，還能實現(xiàn)計算機系統(tǒng)的優(yōu)化升級。并且，還需要為其設(shè)置信息訪問認(rèn)證工作，開發(fā)防病毒軟件，為數(shù)字化檔案信息執(zhí)行加密工作，這樣不僅能防止數(shù)據(jù)信息被非法侵入，還能促進數(shù)字化檔案信息的安全管理。

四、提高人員素質(zhì)