信息安全管理精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇信息安全管理，期待它們能激發您的靈感。

篇1

【關鍵詞】 信息安全 違規外聯 電力企業

一、前言

國網公司現已建成覆蓋至基層生產班站及營業站所的信息內網。隨著SG186工程的全面投入運行，從職能部室到一線班組，電力企業所有的業務數據都依賴網絡進行流轉，電網企業生產和經營對信息網絡和信息系統的依賴程度越來越高信息安全的重要性日益凸顯。國網公司已將網絡與信息安全納入公司安全管理體系。

一直以來，信息安全防御理念常局限于常規的網關級別（防火墻等）、網絡邊界（漏洞掃描、安全審計）等方面的防御，重要的安全設施大多集中于核心機房、網絡入口處，在這些設備的嚴密監控下，來自網絡外部的安全威脅已大大減少，尤其實行內外網隔離、雙網雙機后，來自于互聯網的威脅微乎其微。而內網辦公終端由于分布地點廣泛，管控難度大，加之現在無線上網卡、無線wifi和智能手機的興起，內網計算機接入互聯網的事件時有發生，一旦使用人員將內網計算機通過以上方式接入互聯網，即造成違規外聯事件。由于違規外聯開通了一條無任何保護措施進出內外網的通道，一旦遭遇黑客襲擊，就可能造成信息泄露、重要數據丟失、病毒入侵、網絡癱瘓等信息安全事故，給企業信息安全帶來重大的安全隱患和風險。

二、強化管理、落實責任，監培并進

1、將違規外聯明確寫入公司各項規章制度，并納入經濟責任考核。在《公司信息系統安全管理辦法》中，對杜絕違規外聯事件進行了明確的要求：所有內網計算機必須粘貼防止違規外聯提示卡，嚴禁將接入過互聯網未經處理的計算機接入內網，嚴禁在普通計算機上安裝雙網卡，嚴禁將智能設備（3G手機、無線網卡等）插入內網計算機USB端口，嚴禁在辦公區通過路由器連接外網，杜絕違規外聯行為。 一旦發生違規外聯事件，依據《企業信息化工作評級實施細則》，按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則對事件責任人進行嚴肅處理和經濟考核，并在全公司通報批評。將信息安全責任落實到人。

2、加大違規外聯宣貫和培訓力度。信息安全工作，重在預防，將一切安全事件消滅在萌芽狀態，才能確保信息系統安全穩定運行。分層次組織開展公司在崗員工，尤其是新員工的信息安全教育培訓工作，即重點培訓各部門信息化管理人員，各級管理人員培訓本部門技術人員，本部門技術人員培訓一線員工。通過分層式培訓，提高了培訓效果，同時各級管理人員、技術人員作為下級培訓對象講師提高了自身素質，強化了信息安全關鍵點的作用。確保違規外聯事件的嚴重性、危害性和工作機理已宣貫至公司每一位員工，實現全員重視、全員掌握，做到內網計算機“離座就鎖屏，下班就關機”的工作習慣。

3、加強外來工作人員管控。加強外來工作人員信息安全教育，并簽訂《第三方人員現場安全合同書》，嚴禁外來工作人員計算機接入公司內外網。對第三方人員工作過程全程監控，防止因外來工作人員擅自操作造成違規外聯事件。

二、加強技術管控，從源頭杜絕安全事件的發生

2.1嚴格執行“雙網雙機”

嚴禁在信息內網和外網交叉使用計算機。對要求接入信息內、外網的計算機，需向本人核實該計算機之前網絡接入情況，對內外網絡接入方式有變化、或者是不清楚的情況，需對計算機進行硬盤格式化并重裝系統后方可接入網絡。

2.2安裝桌面終端，設置強口令，防止違規外聯

實時監控全公司內網終端桌面終端系統安裝率，確保所有內網計算機桌面終端安裝率達100%。設置桌面終端策略，一旦發生違規外聯，系統立即采取斷網措施，并對終端用戶進行警示。要求全部內網計算機設置開機強口令（數字+字母+特殊符號，且大于8位），防止非本人操作的違規外聯行為。通過桌面終端系統對內網計算機開機強口令進行實時監控。

2.3做好溫馨提示，明確內外網設備，防止違規外聯

做到每一臺內網計算機均粘貼信息安全提示標簽提示員工切勿內網計算機接入外網網絡，無線網卡及智能手機切勿接入內網。內外網網絡端口模塊、網線端口都要有明顯標識，防止員工誤接網絡。

2.4實行內網計算機IP、MAC綁定和外網計算機IP、認證賬號綁定

加強IP地址綁定，從交換機端口對接入內網的計算機進行IP、MAC地址綁定，確保除本計算機外，其余計算機無法通過該端口接入內網。

通過外網審計（網康科技）對外網IP和用戶認證賬戶進行綁定，完善外網用戶和計算機基礎資料，做到全局外網終端和用戶可控。

篇2

企業要想在市場當中生存并發展，不僅僅要提升企業競爭力，還需要時時刻刻關注企業的信息安全。現代市場競爭十分激烈，只有做好企業的信息安全管理，才能避免企業因為信息管理的疏漏造成相關的損失。

近十年來，企業的生產經營越來越離不開網絡，離不開計算機，企業的每一項活動都需要計算機與網絡的參與，企業的管理需要借助相關的計算機軟件，企業的銷售需要運用到電子商務，企業的倉儲管理需要數據庫系統的支持，在企業感受到計算機帶來生產經營便利的同時，企業也不得不重視由計算機網絡所帶來的信息安全問題。通過分析我國企業信息安全管理的相關資料，可以發現我國企業在信息安全管理上所做的努力顯然無法與西方企業相比，我國企業在信息安全管理這條路上還有很長的路要走。

我國企業在信息管理上起步較晚，同時受制于觀念，技術，人力等各個方面的因素，我國企業在信息安全管理上存在十分嚴重的漏洞。不僅如此，企業信息安全管理受到各方面的威脅，各類病毒層出不窮，釣魚軟件，木馬也防不勝防，我國企業信息安全管理所面臨的考驗十分嚴峻。企業的信息安全管理不僅僅是企業自身的事，企業是我國經濟發展最重要的角色，倘若我國企業在信息安全管理上存在漏洞，這也將直接影響我國的經濟發展，這并不是危言聳聽。

因此，加強我國企業信息安全管理勢在必行，必須采取有效的舉措提升我國企業信息安全管理水平。開展我國企業信息安全管理工作不僅僅需要政府的支持，企業自身也應當充分認識到企業信息安全管理對于企業自身的重要性，企業信息安全管理并不是一件小事，理應得到足夠的重視。下面本文將首先介紹影響我國企業信息安全管理的幾點因素，結合各種影響我國企業信息安全的幾點因素展開探討，在此基礎上，分析我國企業在信息安全管理中常用的手段，并通過借鑒國外優秀企業在信息安全管理的經驗，對更好地完善我國企業信息安全管理提出幾點意見與建議。

二、企業面臨的信息安全管理風險

1.企業內部管理缺陷

企業要想提升信息安全管理的水平，其中很重要的一個步驟在于完善企業的管理制度。企業的信息安全管理會受到許許多多的因數影響，但是做好企業信息安全管理的基礎在于提升企業的內部管理水平。企業內部管理的制度涉及到企業生產經營的方方面面，倘若企業在內部管理制度上存在缺陷，那么做好企業的信息安全管理也就無從談起了。常見的影響企業信息安全管理的制度缺陷有以下幾個方面。第一，企業對于企業內部信息安全管理的工作人員缺乏監督。企業信息安全管理必須建立在企業信息安全管理工作人員認知履行職責，規范操作的基礎上，倘若企業對于信息安全管理的工作人員缺乏監督，那么久很難保證企業整個信息安全管理系統的行之有效。第二，企業對于企業內部信息安全管理工作人員缺乏培訓，企業內部并沒有指定相關的信息安全管理規章制度。要想完善企業的信息安全管理，就必須做到對企業內部信息安全管理的每一個環節都一絲不茍，對每一個可能存在信息安全漏洞的地方都要嚴格管理，對每一項信息安全管理的工作步驟都做明確要求。要想確保企業內部信息安全管理系統的平穩運行，只有從規范企業內部信息安全管理的行為規范上著手。第三，企業內部信息安全管理系統投入不足。這一點在我國大型企業上并不存在，我國大型企業擁有足夠的資金，足夠的人力資本，足夠技術投入，相比較于我國中小型企業，在信息安全管理工作上具有較大的優勢。可是，我國大型企業畢竟是少數，我國中小企業的數量十分巨大，中小企業并沒有相應的資金，人員，技術投入，中小企業受制于現實條件，在信息安全管理系統上所做的工作嚴重不足，我國中小企業在信息安全上所面臨的風險十分巨大。

2.影響企業信息安全管理的外部因素

影響我國企業信息安全管理的外部因素有許多。常見的影響我國企業信息安全管理的外部因素包括病毒，木馬，釣魚網站等等。不論是誰出于怎么樣的目的破壞企業的信息安全，較為常見的手段也就是通過黑客攻擊企業的信息安全管理系統。我國企業在應對黑客的攻擊時往往處于較為被動的局面，一方面，黑客屬于主動攻擊，主動攻擊的前提在于對于企業的內部信息安全管理系統有著較為全面的了解，并且往往已經掌握了企業內部信息安全管理系統所存在的安全漏洞，另一方面，我國絕大多數企業在信息安全管理系統的投入有限，企業內部信息安全管理的工作人員在技術手段上與黑客比較并沒有優勢。即使企業內部信息安全管理的工作人員最終能夠戰勝黑客，但是，由于缺乏完善的信息安全手段，對企業內部重要的信息保護不足，黑客對企業的信息安全所造成的影響往往也是致命的。反擊黑客的攻擊行為往往具有滯后性，因此，即使戰勝了黑客，但是黑客對企業信息安全的攻擊行為往往已經發生，企業必然會因此造成相應的損失，在現代企業經營管理信息化的背景下，這樣的攻擊行為對企業造成的損失往往是企業不能夠承擔的，很有可能影響一個企業最基本的生存。

三、完善企業信息安全管理的幾點建議

1.建立信息安全密碼

密碼技術近年來在應用中不斷成熟，越來越多企業開始將密碼技術應用到企業信息安全管理中去，這是一個十分正確的選擇。企業內部信息具有重要價值，密碼技術是企業信息安全最為關鍵的一道屏障。密碼的形式十分多樣，企業應當根據自身情況正確選擇密碼的形式，密碼技術是一項十分成熟的技術，應當得到更多的關注，并且將這項技術全面應用到企業內部信息安全管理當中去。企業內部信息得到密碼的保護，能夠在企業內部信息不慎泄露后得到最大化的保護，對于企業內部信息的密碼也應當嚴格保密，做好相關的密碼保護工作。

2.建立安全管理制度

企業信息安全管理制度的建立需要多方面的配合，同時，企業信息安全管理制度的建立是一項十分復雜的工作，必須在實踐的過程中不斷完善。建立企業內部信息安全管理制度是為了更加規范地保證企業內部信息的安全，也對企業內部信息安全管理人員的工作內容，工作步驟做了明確規定，這對于企業內部形成信息安全管理的長效機制具有重要價值。企業信息安全管理制度應當與企業的實際生產經營情況相結合，在盡可能不影響企業正常工作的前提下，對企業的信息安全作出明確規定。常見的規定包括定期組織企業內部信息安全管理工作人員進行信息安全的例行檢查；對企業內部信息安全管理人員的工作做到全面監督，有效反饋等等。

3.建立數據庫的備份與恢復機制

現如今，外界主動攻擊企業信息安全的事件越來越頻發，企業在被外界攻擊信息安全后所造成的損失往往無法挽回，同時這些信息對于企業具有十分重要的價值，倘若能夠及時恢復相關信息，能夠在很大程度上減小企業所遭受的損失，因此，建立一套基于數據庫信息備份與還原的信息安全管理機制十分重要。企業內部信息系統數據庫的備份，可以有效保障企業信息系統非法入侵后的系統恢復工作。備份是對數據庫內容保護最為穩定和容易的一種方法。當不穩定因素發生的時候，能夠保證企業網絡信息的正常運行。而恢復的理解，就是在不限定因素發展之后利用網絡技術的備份功能用來對數據庫內容進行重新恢復并正常使用的功能。

4.建立網絡安全預警系統

一般這種情況可以分為人為預警和病毒預警兩個方面。 在電腦中的重要位置安裝上網絡入侵監測體系，可以便于對電腦的技術和安全性在發展危害行為或改變。入侵監測體系還能通過設立在固定時間對制定要求的位置進行監督和控制，判斷哪些系統是具有危害性的，但是防火墻還不能夠準確判斷的系統。主要針對的是從企業內部管理出現漏洞后對自身安全系統的“侵略”行為。而病毒預警系統通常是采用對企業內部網絡的全部數據進行監督監控的行為，確保在一天每個時間段內都對數據包傳送掃描一旦發展病毒就要馬上進行危險信息提示，使得相關工作人員可以很快的通過定位查找的方法找到病毒的發出地。同時，在短時間內陸續產生通過快速掃描出來的網絡日志和調查報告，為企業專業人員查找病毒具體來源提供便利條件。

篇3

關鍵詞：信息安全；管理體系；ISMS

中圖分類號：TP315　文獻標識碼：A　文章編號：1009-8631(2010)05-0171-02

一、概述

當前，信息資源的開發和利用，已成為信息化建設的核心。信息作為一種重要的資產，已成為大家的共識。其一旦損毀、丟失、或被不失當地曝光。將會給組織帶來一系列損失。這些損失是我們不愿意面對的。因此信息安全越來越成為大家關注的熱點問題。前國家科技部部長徐冠華曾經指出：“沒有信息安全保障的信息工程一定是豆腐渣工程”。

所謂信息安全，是針對技術和管理來說的，為信息處理體統提供安全保護，保護計算機軟硬件及信息內容不因偶然意外和惡意的原因而遭到破壞、更改和泄漏。信息安全包括實體安全、運行安全、信息(針對信息內容)安全和管理安全四個方面：

1)實體安全是指保護計算機設備、網絡設施以及其他通信與存儲介質免遭地震、水災、火災、有害氣體和其他環境事故破壞的措施、過程。

2)運行安全是指為保障系統功能的安全實現。提供一套安全措施(如風險分析、審計跟蹤、備份與恢復、應急措施)來保護信息處理過程的安全。

3)信息安全是指防止信息資源的非授權泄漏、更改、破壞，或使信息被非法系統辨別、控制和否認。即確保信息的完整性、機密性、可用性和可控性。

4)管理安全是指通過信息安全相關的法律法令和規章制度以及安全管理手段，確保系統安全生存和運營。

信息安全是一個多層面、多因素、綜合和動態的過程。安全措施必須滲透到所有的環節。才能獲得全面的保護。為了防范和減少風險，一般的信息系統都部署了基本的防御和檢測體系，如防火墻、防病毒軟件、入侵檢測系統、漏洞掃描設備等等。這些安全技術和安全設備及軟件的應用，在很大程度上提高了信息系統的安全性。但是這樣做不能從根本上降低安全風險。解決安全問題。因為不能把信息安全問題僅僅當做是技術問題，日常所說的防范黑客入侵和病毒感染只能是信息安全問題的一個方面。一方面由于所有安全產品的功能都是針對某一類問題，并不能應用到所有問題上，所以說它們的功能相對比較狹窄，因此想通過設置安全產品來徹底解決信息安全問題是不可能的；另一方面，信息安全問題并不是固定的、靜態的，它會隨著信息系統和操作流程的改變而變化。而設置安全產品則是一種靜態的解決辦法。一般情況下，當產品安裝和配置一段時期后，舊的問題解決了。新的安全問題就會產生，安全產品無法進行動態調整來適應安全問題的變化。有效解決上述問題的關鍵是搭建一個信息安全體系。建設體系化管理手段，通過安全產品的輔助，從而保障信息系統的安全。

二、搭建信息安全管理體系

(一)BS7799

信息安全管理體系是安全管理和安全控制的有效結合體，通過分析信息安全各個環節的實際需求情況和風險情況，建立科學合理的安全控制措施，并且同信息系統審計相結合，從而保證信息資產的安全性、完整性和可用性。國際上制定的信息安全管理標準主要有：英國標準協會制定的信息安全管理體系標準-BS7799；國際信息系統審計與控制協會制定的信息和相關技術控制目標-COBIT；是目前國際上通用的信息系統審計標準；英國政府的中央計算機和通信機構提出的一套IT服務管理標準-ITIL；國際標準化組織(IS01和國際電工委員會(IEC)所制定信息安全管理標準-IS0／IECl335。其中BS7799英國的工業、政府和商業共同需求而發展的一個標準，于1995年2月制定的、世界上第一個信息安全管理體系標準。經過不斷的修訂，目前已經成為信息安全管理領域的權威標準。其兩個組成部分目前已分別成為IS017799和IS027001標準。BST799涵蓋了安全所應涉及的方方面面，全面而不失操作性，提供了一個可持續發展提高的信息安全管理環境。在該標準中，信息安全已經不只是人們傳統上所講的安全，而是成為一種系統化和全局化的觀念。和以往的安全體系相比，該標準提出的信息安全管理體系(SMS)具有系統化、程序化和文檔化的管理特點。

(二)息安全管理體系(ISMs)

信息安全管理體系(LSMS)是組織整體管理體系的一個重要組成部分，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。基于對業務風險的分析和認識，ISMS包括建立、實施、操作、監視、復查、維護和改進信息安全等一系列的管理活動。IS027001是建立和維護信息安全管理體系的準繩，它一般是要求通過確定的過程來建立ISMS框架：確定體系范圍，制定信息安全策略，明確管理職責，通過風險評估確定控制目標和控制方式。整個體系一旦建立起來，組織就必須實施、維護和不斷改進ISMS，保持整個體系運作的有效性。

(三)ISMS搭建步驟

當一個組織建立和管理信息安全體系時。BS7799提供了指導性的建議，即遵循PDCA(Plan，Check和Act)的持續改進的管理模式。PDCA循環實際上是有效進行任何一項工作的合乎邏輯的工作程序。對于搭建和管理信息安全體系，其PDCA過程如下：

1)信息安全體系(PLAN)

在PLAN階段通過風險評估來了解安全需求，根據需求設計解決方案。根據BS7799-2。搭建ISMS一般有如下步驟：

A、定義安全方針：信息安全方針是組織的信息安全委員會制定的高層文件，用于指導組織如何對資產，包括敏感信息進行管理、保護和分配的規則和指示。

B、定義1SMS的范圍：ISMS的范圍是需要重點進行信息安全管理的領域，組織可根據自己的實際情況。在整個組織范圍內、或者在個別部門或領域架構ISMS。

C、實施風險評估：首先對ISMS范圍內的信息資產進行鑒定或估計，然后對信息資產面對的各種威脅和脆弱性進行評估，同時對已存在的或規劃的安全控制措施進行鑒定。

D、風險管理：根據風險評估與現狀調查的結果。確定安全需求，決定如何對信息資產實施保護及保護到何種程度限(如接受風險、避免風險、轉移風險或降低風險)。

E、選擇控制目標和控制措施：根據風險評估和風險管理的結果，選擇合適的控制目標和控制措施來滿足特定的安全需求。可以從BS7799-1的中進行選擇，也可以應選擇一些其它適宜的控制方式。

F、準備適用性申明(SOA)：SOA是適合組織需要的控制目標和控制的評論，記錄組織內相關的風險控制目標和針對每種風險所采取的各種控制措施。

2)實施信息安全體系(D01

在DO階段將解決方案付諸實現，實施組織所選擇的控制目標與控制措施。

3)檢查信息安全體系(cHECK)

在CH ECK階段進行有關方針、程序、標準與法律法規的符合性檢查，對存在的問題采取措施，予以改進，以保證控制措施的有效運行。在此過程中，要根據風險評估的對象及范圍的變化情況。以及時調整或完善控制措施。常見的檢查措施有：日常檢查、從其他處學習、內部ISMS審核、管理評審、趨勢分析等。

4)改進信息安全體系(ACT)

在ACT階段對ISMS進行評價。以檢查階段發現的問題為基礎，尋求改進的機會，采取相應的措施進行調整與改進。

篇4

一、在企業內部開展檔案信息安全管理的必要性

企業的檔案信息記錄了企業在生產經營過程中所有有價值的資料信息，不僅是企業發展歷史的記憶，更是企業內部一筆隱形的寶貴財富。企業的檔案信息包含了企業的核心機密，如設備、關鍵的技術資料等，都會對企業的生存和發展起到非常重要的作用，如果不采取有效地措施，落實檔案信息安全管理，信息的泄露會對企業的發展產生極大的威脅，嚴重的話，甚至會影響整個企業的生存。落實企業的檔案信息安全管理，就是采取有效地措施，有計劃地進行檔案安全管理，提升企業管理檔案的水平，避免檔案泄露給企業帶來損失，為企業的長遠發展提供保障。

二、現階段檔案信息安全隱患的表現

1.檔案信息制度不健全

二十一世紀，檔案的信息化發展迅速，然而檔案信息化相關的安全管理制度卻仍未建立起來，在某一個層面上就給了不法之徒鉆空子的機會，不僅危害了檔案信息安全性，也給企業、個人帶來不可挽回的經濟利益損失。例如，在利用檔案解決問題時候，檔案管理者如果覺得檔案利用者提供問題具有典型代表意義，就可能將此問題納入資訊庫，如果檔案管理者缺乏必要的檔案信息管理保護意識，不對檔案利用者的信息進行必要的處理，就有可能導致檔案利用者的信息泄露，影響檔案利用者基本權益。

2.檔案的網絡化、電子化管理

網絡技術給檔案信息的管理帶來了一定便利，然而病毒、黑客的襲擊卻嚴重地破壞了檔案信息的安全性。如果不法之徒利用木馬程序侵入檔案管理系統，就會導致檔案信息數據的破壞，信息的篡改銷毀會導致檔案管理的混亂，有人提出了利用光盤、硬盤等介質為載體的檔案存儲管理方式，雖然在一定程度上降低了木馬病毒和黑客的襲擊，但是光盤、硬盤介質由于不穩定、易損壞、難保存、更新慢等特點，難以實現檔案格式快速轉化，進而導致檔案數據丟失，不利于檔案信息的安全管理工作落實。

3.檔案管理威脅信息安全

檔案的信息化管理對檔案管理人員提出了更高的要求，管理者不僅需要豐富的檔案管理知識，還需要對互聯網、計算機的操作有一定的了解。其次，由于檔案管理人員缺乏必要的檔案管理技能，不了解檔案管理相關的設備和軟件，不熟練操作，甚至是錯誤操作都會破壞檔案數據，損壞檔案數據進而造成檔案信息安全隱患。

三、檔案信息安全管理策略

1.樹立安全檔案信息管理意識

在企業內部樹立全體員工的檔案信息安全管理意識，改變人們“檔案信息管理”不重要的思想，只有保證企業員工具有檔案信息管理的安全意識，才能確保他們時時注重檔案信息的安全，也才能夠保證企業的檔案信息管理安全。

2.建立健全檔案信息管理制度

建立相關的檔案信息安全管理制度，強化企業內部管理，明確檔案信息安全管理的責任體系，保證相關的管理工作順利進行。根據相關部門資料顯示，絕大多數的網絡入侵案件都可以通過強化企業管理來有效避免，而大多數的檔案信息丟失或損壞，都是由于工作人員操作計算機不當造成的。因此，企業必須強化檔案信息安全管理制度的建設，組建專業的團隊，確定團隊的領導班子，完善信息安全責任體制，嚴厲獎懲措施，充分調動工作人員的工作積極性。

3.落實檔案信息內容的安全管理

定期對企業內部的計算機進行全面的殺毒，保證相關的保護措施有效開啟，盡可能的降低計算機病毒和黑客對檔案信息的攻擊。在進行檔案信息管理的工作時，一旦涉及網頁操作，一定要對計算機進行病毒的實時監控，過濾、阻止那些可能存在隱患的網頁，為檔案信息的安全提供保障。在涉及相關軟件運行的時候，一定要做好殺毒監控工作，實時監控計算機的防火墻狀態，以保證檔案信息的安全。值得一提的是，為了保證檔案信息內容的安全，應該對檔案工作管理人員的行為作出一定的限制，如禁止管理人員隨意使用U盤進行資料的拷貝，并督促檔案管理人員進行檔案信息工作的備份，提高檔案信息的安全性。值得一提的是，除了上述三種措施以外，企業還可以利用安全可靠的檔案管理技術，嚴格檔案的管理措施來提升檔案信息的安全管理。

四、結束語

篇5

【關鍵詞】新安全觀 大數據 網絡信息安全 評價體系

1 引言

我國新安全觀是以為核心的第三代領導集體根據當時國際形式提出“互信、互利、平等、協作”為原則的中國安全觀。其具有豐富內涵與鮮明的特色，已被國際社會廣泛接受和認可。新安全觀在深化與完善階段仍在與理論創新不斷互動、磨合與有機統一。直至全球化不斷發展的今天，當互聯網技術已經覆蓋了各個領域并產生深遠影響的時候，特別是大數據背景下的信息量呈海量爆發時，網絡信息安全管理問題成為中國新安全^環境下需首要面對的研究項目。

現有的網絡信息安全控制體系中有很多信息安全管理的方法和策略，然而在面對大數據背景下的海量數據量時的能力明顯不足。建立一套適應大數據背景的網絡信息安全機制是當前網絡信息安全管理研究的重點。本文通過對相關領域文獻的收集與研究，從大數據背景下網絡信息安全管理特點出發，提出了以安全控制三要素“人、環境、技術”為中心的控制模型，建立安全評價體系。技術路線為大數據環境下網絡信息安全問題的提出相關概念控制要素控制機制評價體系控制策略。

2 基本理論

2.1 大數據的概念與作用特點

大數據概念指以計算機技術為基礎的無法常規處理的操作數據，其出現表明了當前的信息技術的進化規模的龐大，需要采用更加高效、經濟、智能的處理模式。

大數據存在數據規模巨大，數據海量的特性（Volume）、結構多樣化，數據類型復雜特性（Variety）、有價值信息密度低特性（Value）、信息處理速度快特性（Velocity）、復雜性特性（Complexity）。簡單來說即通過4V+C進行描述。大數據的作用總結為：

（1）新一代的信息技術的融合與應用的節點，即各網絡技術的應用形態。

（2）信息產業發展的新途徑，在信息服務領域會加快網絡技術產業的發展。

（3）提升核心競爭力的關鍵因素，是保持社會穩定，加快經濟發展，提升國家綜合實力的重要手段。

（4）可改變相應的科學研究方法，如社會科學的基本研究方法的抽樣調查不再具有普遍適用性。緊跟大數據時代特色成為學科發展新的方向。

2.2 網絡信息安全的定義與特點

網絡信息安全是一個全新的概念，還沒有在各個國家之間形成統一的認知，自2001年聯合國信息安全會議后，各國對網絡信息安全的認識逐漸發展，達成共識的信息安全特征為信息的完整性、信息的保密性、信息的可用性、信息的可控性及信息抗否認性五個特征。我國的信息安全專家又將網絡信息安全分解為環境、系統、程序與數據四個方面，即保證網絡系統的軟硬件與系統數據的安全。

網絡信息安全與國家安全觀中的政治安全、經濟安全、軍事安全息息相關而又不同于它們具有其自身獨特特點，特點包括：

2.2.1 脆弱性

互聯網的開放性決定了互聯網是一個脆弱性的系統，開放程度越大脆弱性越高即安全性越低。主要表現在系統設計、維護等多個環節。

2.2.2 突發性

對網絡信息安全造成突然性破壞的因素多是計算機病毒。計算機病毒具有破壞性、傳播性、潛伏性、復制性和不可預測性，其突發程度能夠迅速破壞或竊取系統中數據。全球性：互聯網的互動與互聯將全球一體化為“地球村”，互聯網的完全開放特性使網絡信息安全不分國界，不分地域。

2.3 目前網絡信息安全控制機制與評價

目前的網絡信息安全控制管理要素為：

（1）控制者，即網絡信息安全管理者。

（2）控制對象，以人員、財務等資源為主要內容的信息數據庫。

（3）控制手段與工具，管理者組織機構、原則、法規及管理方法等。在大數據背景下網絡信息安全控制機制即是認定安全控制對象，組織管理者與工作人員針對網絡信息安全問題進行有效分配任務，制定實用的管理規章制度的過程。

對當前網絡信息安全控制的評價需堅持科學性原則。由于當前的大數據背景下的網絡信息具有的綜合特性，因此對其評價也應從全面性入手進行數據收集量化和簡化評價。目前在評價方面的研究多為通過實踐調查建立評價指標體系，該方法只能選擇客觀存在的評價指標而不能選擇偶然因素影響下的指標。因此需要全面的選取指標以增大選取空間，還要量化評價因素最終才能夠揭示事物的本來面目。

3 大數據與網絡信息安全

3.1 大數據背景下網絡信息安全問題的成因

大數據背景下的網絡信息安全問題存在著安全事故趨勢的上升、基礎薄弱和時刻面臨新挑戰。其成因包括：

3.1.1 技術層面問題

技術層面問題又分為硬件設備缺陷和軟件的后門及漏洞。網絡戰已然存在并屢屢發生，黑客利用漏洞與后門作為武器，使漏洞如軍火一般大有市場，嚴重危害了網絡的安全環境。

3.1.2 人員層面問題

人員的控制的影響是所有問題的根源，網絡信息安全問題也是如此。從使用人員的安全防護意思，到技術人員的崗位責任心，到專業人員的鉆空子，再到不法人員的非法獲利都會對網絡安全系統造成嚴重的危害，是影響網絡信息安全的主體。

3.1.3 管理層面問題

網絡信息安全管理制度與管理體系的不健全也會危及網絡安全系數。表現為管理人員的不夠重視、技術人員的麻痹大意、技術人員與使用者的教育及培訓欠缺、監督機制的不完善。在新安全觀背景下的網絡信息安全已成為國家安全重要組成部分，所面臨的形勢相當嚴峻。對于我國基礎薄弱的網絡信息安全系統的建設是當前亟待解決的問題

3.2 針對大數據背景的管理機制構建要素

大數據背景下的網絡信息安全具有以下特點，改變原有數據保護原則；巨大的價值誘惑引發數據有更大的安全隱患；技術發展將數據安全隱患進一步放大。我國相關法律的不健全使網絡信息安全形勢更加不容樂觀。我國目前面臨形勢為大數據網絡攻擊危害巨大，用戶隱私易泄露，存儲存在隱患。根據以上特點難點，本文提出了控制職能的構成要三素“人員、環境、技術”，是對前文“控制者、控制對象、控制手段與工具”的職能要素進行的概括處理。大數據背景下的網絡信息安全控制機制的建立將圍繞這三要素展開：

3.2.1 將控制者開闊為網絡控制人員，包括管理者本身和管理ο

針對我國目前網絡信息安全管理工作現狀與大數據的特殊性，首先需要網絡信息服務提供商在處理用戶數據的時候采取安全合理的操作流程，保護用戶數據信息免受非法侵害。而服務提供商的運營行為需接受相關法律約束與監管，避免服務提供者在大數據利益驅使下對用戶的主動侵害。同時，用戶的個人信息知情權也應該得到有效維護，并在信息受到非法侵害時得到通知或警告。

3.2.2 將控制對象概括為“環境”，大數據背景下的網絡環境包括網絡設施、網絡文化與網絡政策性法律

網絡設施的正常運轉與維護是互聯網運行的根本。面對大數據背景下的海量數據信息，降低存儲成本、合理充分利用資源、構建存儲于管理體系、挖掘計算機體系、升級網絡設施、優化算法、提高系統吞吐率等一系列手段是保障網絡信息安全的基礎，健康的網絡文化和完善的相關政策與法規保是網絡信息安全控制機制的有效保障。

3.2.3 技術，是網絡信息安全必不可少的要素

在大數據背景下安全技術首先從“防”做起，防火墻通過授權信息隔離內部與外部網絡，具有防止作用。其次為“密”即數據加密技術，使數據在傳輸過程中的安全性得到一定的保障。再者為“控”即網絡監控與檢測技術，通過監控軟件與監控硬件對外部入侵系統行為和無授權的內部用戶行為進行處理。最后為“審”即安全審計技術，主要目的為：

（1）威懾警示潛在攻擊者。

（2）測試系統控制情況，將其調整到與安全策略相一致。

（3）評估破壞事件程度，為恢復和追責提供依據。

（4）發揮系統管理員的協作作用。

3.3 根據管理機制要素建模

通過前文分析認為，大數據背景下建立網絡信息安全管理機制模型應從“人員、環境、技術”三要素的角度出發。網絡信息安全控制機制人員層模型如圖1所示。

在網絡信息安全管理機制中，網絡信息安全問題的源頭為網絡用戶的行為，而所要保障的也是網絡用戶的正當權益。因此人員處于核心地位，人員層為核心動力層。環境層則通過各種方式創造安全的網絡環境，起到支撐作用。技術層則通過各種安全技術措施來構建防護層。在大數據背景下通過安全防護與實時監控兩方面對信息安全進行控制管理，安全模型的構建也需要借助大數據信息安全技術以確保大數據下各個節點間安全通信。

4 結論

本文遵從國家新安全觀的核心內容與實踐要求，對網絡信息安全的實際情況進行了分析調研。以大數據背景為著眼點，提出了大數據背景下的網絡信息安全管理要素為“人員、環境、技術”，并提出網絡信息安全管理機制，圍繞三要素建立網絡信息安全管理機制模型。分析驗證了三要素對網絡信息安全的影響作用，為大數據背景下的網絡信息安全工作提供了理論指導和實踐指導，為國家新安全觀工作的開展提供了幫助。

參考文獻

[1]劉海燕，黃睿，黃軒.基于主題爬蟲的漏洞庫維護系統[J].計算機與現代化，2014（08）：67-70.

[2]孫國瑞，華錦芝，劉思帆，等.實時風險評估模型的研究與實現[J].計算機科學與探索，2015，9（04）：462-474.

[3]黃國彬，鄭琳.大數據信息安全風險框架及應對策略研究[J].圖書館學研究，2015（13）：24-29.

[4]Benaroch M，Chernobai A，Goldstein J.An internal control perspective on the market value consequences of IT operational risk events[J].International Journal of Accounting Information Systems，2012，13（04）：357-381.

作者簡介

秦瑞峰（1982-），男，山西省臨縣人。碩士研究生。現為呂梁學院離石師范分校講師。主要研究方向為網絡安全。