信息安全保障精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全保障主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全保障范文

 

關鍵詞：信息安全　漏洞挖掘　漏洞利用　病毒　云安全　保障模式變革

l　引言

信息安全與網(wǎng)絡安全的概念正在與時俱進，它從早期的通信保密發(fā)展到關注信息的保密、完整、可用、可控和不可否認的信息安全，再到如今的信息保障和信息保障體系。單純的保密和靜態(tài)的保障模式都已經(jīng)不能適應今天的需要。信息安全保障依賴人、操作和技術實現(xiàn)組織的業(yè)務運作，穩(wěn)健的信息保障模式意味著信息保障和政策、步驟、技術與機制在整個組織的信息基礎設施的所有層面上均能得以實施。

近年以來，我國的信息安全形勢發(fā)生著影響深遠的變化，透過種種紛繁蕪雜的現(xiàn)象，可以發(fā)現(xiàn)一些規(guī)律和趨勢，一些未來信息安全保障模式變革初現(xiàn)端倪。

2　信息安全形勢及分析

據(jù)英國《簡氏戰(zhàn)略報告》和其它網(wǎng)絡組織對世界各國信息防護能力的評估，我國被列入防護能力最低的國家之一，排名大大低于美國、俄羅斯和以色列等信息安全強國，排在印度、韓國之后。我國已成為信息安全惡性事件的重災區(qū)，國內(nèi)與網(wǎng)絡有關的各類違法行為以每年高于30％的速度遞增。根據(jù)國家互聯(lián)網(wǎng)應急響應中心的監(jiān)測結(jié)果，目前我國95％與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡管理中心都遭受過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機構是黑客攻擊的重點。

在互聯(lián)網(wǎng)的催化下，計算機病毒領域正發(fā)生著深刻變革，病毒產(chǎn)業(yè)化經(jīng)營的趨勢日益顯現(xiàn)。一條可怕的病毒產(chǎn)業(yè)鏈正悄然生成。

傳統(tǒng)的黑客尋找安全漏洞、編寫漏洞利用工具、傳播病毒、操控受害主機等環(huán)節(jié)都需要自己手工完成。然而，現(xiàn)在由于整個鏈條通過互聯(lián)網(wǎng)運作，從挖掘漏洞、漏洞利用、病毒傳播到受害主機的操控，已經(jīng)形成了一個高效的流水線，不同的黑客可以選擇自己擅長的環(huán)節(jié)運作并牟取利潤，從而使得整個病毒產(chǎn)業(yè)的運作效率更高。黑客產(chǎn)業(yè)化經(jīng)營產(chǎn)生了嚴重的負面影響：

首先，病毒產(chǎn)業(yè)鏈的形成意味著更高的生產(chǎn)效率。一些經(jīng)驗豐富的黑客甚至可以編寫出自動化的處理程序?qū)σ延械牟《具M行變形，從而生產(chǎn)出大量新種類的病毒。面對井噴式的病毒增長，當前的病毒防范技術存在以下三大局限：①新樣本巨量增加、單個樣本的生存期縮短，現(xiàn)有技術無法及時截獲新樣本。②即使能夠截獲，則每天高達數(shù)十萬的新樣本數(shù)量，也在嚴重考驗著對于樣本的分析、處理能力。③即使能夠分析處理，則如何能夠讓中斷在最短時間內(nèi)獲取最新的病毒樣本庫，成為重要的問題。

其次，病毒產(chǎn)業(yè)鏈的形成意味著更多的未知漏洞被發(fā)現(xiàn)。在互聯(lián)網(wǎng)的協(xié)作模式下，黑客間通過共享技術和成果，漏洞挖掘能力大幅提升，速度遠遠超過了操作系統(tǒng)和軟件生產(chǎn)商的補丁速度。

再次，黑客通過租用更好的服務器、更大的帶寬，為漏洞利用和病毒傳播提供硬件上的便利；利用互聯(lián)網(wǎng)論壇、博客等，高級黑客雇傭“軟件民工”來編寫更強的驅(qū)動程序，加入病毒中加強對抗功能。大量軟件民工的加入，使得病毒產(chǎn)業(yè)鏈條更趨“正規(guī)化、專業(yè)化”，效率也進一步提高。

最后，黑客通過使用自動化的“肉雞”管理工具，達到控制海量的受害主機并且利用其作為繼續(xù)牟取商業(yè)利潤的目的。至此整個黑客產(chǎn)業(yè)內(nèi)部形成了一個封閉的以黑客養(yǎng)黑客的“良性循環(huán)”圈。

3　漏洞挖捆與利用

病毒產(chǎn)業(yè)能有今天的局面，與其突破了漏洞挖掘的瓶頸息息相關。而漏洞挖掘也是我們尋找漏洞、彌補漏洞的有利工具，這是一柄雙刃劍。

3．1漏洞存在的必然性

首先，由于Internet中存在著大量早期的系統(tǒng)，包括低級設備、舊的系統(tǒng)等，擁有這些早期系統(tǒng)的組織沒有足夠的資源去維護、升級，從而保留了大量己知的未被修補的漏洞。其次，不斷升級中的系統(tǒng)和各種應用軟件，由于要盡快推向市場，往往沒有足夠的時間進行嚴格的測試，不可避免地存在大量安全隱患。再次，在軟件開發(fā)中，由于開發(fā)成本、開發(fā)周期、系統(tǒng)規(guī)模過分龐大等等原因，Bug的存在有其固有性，這些Bug往往是安全隱患的源頭。另外，過分龐大的網(wǎng)絡在連接、組織、管理等方面涉及到很多因素，不同的硬件平臺、不同的系統(tǒng)平臺、不同的應用服務交織在一起，在某種特定限制下安全的網(wǎng)絡，由于限制條件改變，也會漏洞百出。

3．2漏洞挖掘技術

漏洞挖掘技術并不單純的只使用一種方法，根據(jù)不同的應用有選擇地使用自下而上或者自上而下技術，發(fā)揮每種技術的優(yōu)勢，才能達到更好的效果。下面是常用的漏洞挖掘方法：

(1)安全掃描技術。安全掃描也稱為脆弱性評估，其基本原理是采用模擬攻擊的方式對目標系統(tǒng)可能存在的已知安全漏洞進行逐項檢測。借助于安全掃描技術，人們可以發(fā)現(xiàn)主機和網(wǎng)絡系統(tǒng)存在的對外開放的端口、提供的服務、某些系統(tǒng)信息、錯誤的配置等，從而檢測出已知的安全漏洞，探查主機和網(wǎng)絡系統(tǒng)的入侵點。

(2)手工分析。針對開源軟件，手工分析一般是通過源碼閱讀工具，例如sourceinsight等，來提高源碼檢索和查詢的速度。簡單的分析一般都是先在系統(tǒng)中尋找strcpy0之類不安全的庫函數(shù)調(diào)用進行審查，進一步地審核安全庫函數(shù)和循環(huán)之類的使用。非開源軟件與開源軟件相比又有些不同，非開源軟件的主要局限性是由于只能在反匯編獲得的匯編代碼基礎上進行分析。在針對非開源軟件的漏洞分析中，反編引擎和調(diào)試器扮演了最蘑要的角色，如IDA　Pro是目前性能較好的反匯編工具。

(3)靜態(tài)檢查。靜態(tài)檢查根據(jù)軟件類型分為兩類，針對開源軟件的靜態(tài)檢查和針對非開源軟件的靜態(tài)檢查。前者主要使用編譯技術在代碼掃描或者編譯期間確定相關的判斷信息，然后根據(jù)這些信息對特定的漏洞模型進行檢查。而后者主要是基于反匯編平臺IDAPro，使用自下而上的分析方法，對二進制文件中的庫函數(shù)調(diào)用，循環(huán)操作等做檢查，其側(cè)重點主要在于靜態(tài)的數(shù)據(jù)流回溯和對軟件的逆向工程。

(4)動態(tài)檢查。動態(tài)檢查也稱為運行時檢查，基本的原理就是通過操作系統(tǒng)提供的資源監(jiān)視接口和調(diào)試接口獲取運行時目標程序的運行狀態(tài)和運行數(shù)據(jù)。目前常用的動態(tài)檢查方法主要有環(huán)境錯誤注入法和數(shù)據(jù)流分析法。以上介紹的各種漏洞挖掘技術之間并不是完全獨立的，各種技術往往通過融合來互相彌補缺陷，從而構造功能強大的漏洞挖掘工具。

第2篇：信息安全保障范文

關鍵詞：檔案信息；安全保障；體系；構建

今天是一個科技高速發(fā)展的時代，信息技術越來越發(fā)到，為人們的生活帶來了極大的便利性。社會發(fā)展朝著信息資源整合、共享的方向發(fā)展。隨著信息資源整合數(shù)字化的腳步不斷加快，信息網(wǎng)絡化逐漸普及，檔案信息化的進程不斷加快，數(shù)字檔案資源借助檔案信息系統(tǒng)管理程度不斷加深，檔案信息的安全性要求越來越高。因此，提高檔案信息風險控制能力，加強檔案信息安全管理水平，檔案信息資源的價值才能有效的發(fā)揮起來。

1 檔案信息安全保障體系建立的必要性

（一）檔案信息特點環(huán)境必要

檔案信息作為國家信息資源的重要組成部分，因其真實性等特點，需要不斷提高對檔案信息的重視程度，切實做好保護措施。今天，是信息化的時代，電子檔案的傳統(tǒng)特點隨著信息化的到來而受到質(zhì)疑。加強檔案保護的呼聲日漸高漲，檔案信息安全已經(jīng)從原本只做保管向安全保障的方向發(fā)展。對于檔案的保護工作在早期只在檔案保管與內(nèi)容保密上，到了中期，發(fā)展為保密、完整以及可用，最后發(fā)展為完整、保密、可用、真實、可控、可申以及不可抵賴。

（二）檔案信息安全價值必要。

實現(xiàn)檔案信息價值可以依賴檔案信息安全保障體系的建立，其具備現(xiàn)實基礎的意義。為社會提供服務以及供公眾使用的檔案信息必須具備真實、完整、準確、有效才行，這就需要檔案工作的所有環(huán)節(jié)都要把防護工作做到位，提高安全思想意識，嚴格按照“預防第一，防治結(jié)合”的方針，制定有效的措施，確保檔案信息的真是可用，并最大化檔案信息的價值，充分發(fā)揮其作用。檔案信息安全保障體系的建立，對檔案管理事業(yè)的發(fā)展以及國家信息安全保障體系的建立起到重要的推動作用。

2 影響檔案信息安全的因素

（一）自然因素

自然界是檔案信息資源存在與運用的主要方面，因此，自然災害對檔案信息的危害極大，能夠直接造成檔案信息資源的安全隱患發(fā)生。

（二）環(huán)境因素

為檔案信息帶來安全隱患的因素還有環(huán)境條件的不符合，比如，控制檔案信息的網(wǎng)絡中心以及工作站會因為環(huán)境要求不達標，在成電源質(zhì)量差、溫濕度不合適等現(xiàn)象，再加上空氣污染以及有害生物的作用下，很容易為檔案信息造成不利影響。

（三）技術因素

對于紙質(zhì)檔案來說，紙張自身的耐久性與造紙技術有著極大的關聯(lián)性。新型載體檔案而言，決定檔案信息的安全因素是載體的質(zhì)量、計算機技術等因素。比如網(wǎng)絡安全漏洞、計算機故障等，都會對信息安全帶來不利影響。

（四）社會因素

第一制約檔案信心安全的重要因素之一資金短缺。資金投入不足，很容易造成檔案信息安全軟、硬件設備的質(zhì)量問題。第二，社會暴力等因素，也會為檔案信息資源造成安全問題。隨著我國互聯(lián)網(wǎng)的不斷發(fā)展，各種勢力都會利用互聯(lián)網(wǎng)進行危險活動，因此，很容易造成檔案信息的安全問題。

3 檔案信息安全管理保障體系

檔案信息安全管理體系管理占據(jù)重要地位，另外還需要技術的達標。檔案信息安全技術保障體系需要檔案信息安全管理體系做支撐。劇相關統(tǒng)計表明，信息被盜、信息泄露的根源在于內(nèi)部管理的松懈，系統(tǒng)內(nèi)部是計算機安全問題的根源，這些情況的發(fā)生主要是因為相關人員思想意識松懈以及管理體制的缺失造成。所以，信息安全技術系統(tǒng)建立之后，相應的管理制度也要緊隨其后，兩者相輔相成，切實將檔案信息安全保障體系落到實處。

（一）建立健全檔案信息安全管理制度

相應的安全管理制度是檔案信息安全管理與檔案信息工作落實到位的重要保障。因此，首先要做好統(tǒng)籌規(guī)劃工作，將“收、管、存、用”落實到位，制定科學有效的檔案信息安全管理方案。其次，相應的檔案信息安全管理部門要設置，專門監(jiān)督檔案信息安全與保密管理工作，確保檔案信息系統(tǒng)各個方面的工作都落實到位。最后，相應的規(guī)章制度的建立，比如安全防范責任制、重要數(shù)據(jù)與文件管理制度、緊急備份與應急預案等。只有從制度上對安全工作進行約束與規(guī)范，才能提高安全管理工作，做好預防工作，將危害的損失降低到最小，切實將檔案信息安全體系作用發(fā)揮到最優(yōu)。

（二）加強人員檔案信息安全培訓提高安全意識

檔案信息安全保障體系的核心是人，這不僅是檔案信息系統(tǒng)的擁有者，也是管理者與使用者。因此，培養(yǎng)專業(yè)的檔案信息人才，建設檔案信息安全管理隊伍，提高相關工作人員的檔案信息安全意識，對不同層面的人員做好安全管理工作培訓是建設檔案信息安全保障體系的關鍵。只有將人員素質(zhì)提高了，檔案信息安全保障體系工作才能順利進行。

（三）制定n案信息安全標準規(guī)范

根據(jù)國內(nèi)相關法律法規(guī)以及行業(yè)標準規(guī)范、嚴格按照業(yè)界管理，結(jié)合自身實際情況，構建檔案信息安全保障體系?，F(xiàn)階段，國家檔案局以及編制好《檔案信息系統(tǒng)安全等級保護定級工作指南》，為指導各省級以上的檔案信息安全工作。但是，不可否認的是我國檔案信息安全保障體系還處在建設的初級階段，相比于信息安全保障體系的研究差距還很大，所以，在實施檔案信息安全保障體系的過程中，可以參考國內(nèi)外信息安全保障體系的相應標準規(guī)范。只有制定科學有效的檔案信息安全標準與規(guī)范，檔案信息安全工作才能有規(guī)可循，建設過程中不必要的工作也會相應的減少，從而更好的規(guī)范與保障檔案信息安全。

我國信息資源的重要組成部分之一檔案信息資源，對我國未來信息資源的安全有著重要的影響。檔案管理工作的最基本也是最重要的任務就是檔案信息安全保障工作。構建檔案信息安全保障體系是發(fā)展的必然結(jié)果，而這也是一個不能缺少的體系。檔案信息安全保障體系的構建，需要從檔案信息安全的各個方面做好整體的計劃，結(jié)合管理與技術，結(jié)合不斷變化的環(huán)境需要制定具體的措施，同時還要根據(jù)檔案工作的形式做好時時的調(diào)整與改進工作。

參考文獻

[1]宋丹.基于信息安全風險評估機制的檔案信息安全保障體系建設研究[J].檔案時空，2013（12）.

[2]顧倩倩.加強檔案安全保障體系建設確保事業(yè)單位檔案信息安全[J].才智， 2015（15）.

第3篇：信息安全保障范文

關鍵詞：檔案；安全保障；建設；研究

引言

檔案信息安全作為檔案管理工作的重中之重，一直以砭捅甘芄刈。但由于近年來受到自然災害和信息技術發(fā)展的影響，檔案信息安全再一次牽動了所有人的心，一旦發(fā)生安全隱患，將會造成一系列的連鎖反應，對國家以及人民的生活形成惡劣影響。所以，對于加強檔案信息安全保障體系的建設已是迫在眉睫。相關檔案部門應要不斷完善檔案信息管理體系，從理論和實踐兩個角度對檔案安全保障體系構建問題進行了全方位的分析和研究，以進一步提升了各級檔案部門的檔案安全保障能力。

1檔案信息安全保障體系構建的依據(jù)

首先，加強檔案的安全保障體系建設是針對我國當前的國情而定的體系準則。能源資源、信息資源是當前各個國家關注和爭奪的非常重要的戰(zhàn)略性資源，即使是國際上也都有真實的案例來反映出敵對勢力運用各種途徑和手段來獲取檔案信息，這也是當前新形勢下首要應對的挑戰(zhàn)。

其次，加強檔案的安全保障體系建設是應對自然災害的客觀需求。自然災害基本上人們只能盡最大努力去預防，現(xiàn)階段并沒有任何一種自然災害是人為可以控制的，像地震、火災、水災、海嘯、泥石流，等等，這些自然災害一旦發(fā)生時是沒有預知的，最重要的是這些自然災害沒有可抗拒性。因此對檔案的實體危害也是最大的。地震和海嘯對檔案館造成的后果是不可預知的，同時也給檔案館的災害防治工作敲響警鐘。

再次，加強檔案安全保障體系建設是為了更加有效地解決我國檔案安全體系存在問題的需求，很多檔案管理部門對檔案安全保障工作的理解都是非常的單一，其實檔案安全主要分為載體安全保障和信息安全保障兩種。一部分檔案是呈現(xiàn)出顯性狀態(tài)，而一部分檔案則是呈現(xiàn)出隱性狀態(tài)，但是由于對檔案安全保障體系理解的局限性，使得在實際的工作中，很多的檔案管理方法和檔案管理措施都非常傳統(tǒng)，沒有任何創(chuàng)新之處，安全工作的重心也出現(xiàn)了偏移，更加注重于基礎設施的投入，對檔案管理的長期維護并沒有投入太多的時間和精力，有些地區(qū)甚至對這部門是忽視的，沒有任何的精力投入，導致整個檔案管理缺乏足夠的安全意識和風險意識。

最后，檔案安全保障體系建設是提升檔案管理水平的有效途徑。檔案安全保障體系建設一定要以檔案安全保障理論為指導依據(jù)，在綜合了管理、人員、技術、手段的基礎上，創(chuàng)建動態(tài)的、開放的安全保障體系，進而有效保障檔案信息的安全。而創(chuàng)建檔案安全保障體系還能夠從根本上提高我國對檔案文獻的保存年限，實現(xiàn)檔案的全方位控制，從根本上解決檔案安全保障實施過程中的一些難題，提高檔案安全保障體系的水平。

檔案安全保障體系的構建還有效促進了我國檔案安全保障從機構層面向國家層面的轉(zhuǎn)變，從之前的單一技術向集成化技術轉(zhuǎn)變，不斷完善檔案管理措施和技術措施，將檔案安全保障體系成功的納入到我國的檔案建設計劃中。檔案安全保障體系的創(chuàng)建，意味著我國檔案安全保障能力建設逐漸向系統(tǒng)化、集成化和規(guī)范化的方向發(fā)展。

2檔案信息安全保障體系構建的研究

檔案安全保障體系會涉及檔案遭受安全威脅等多方面的問題，屬于非常復雜的系統(tǒng)性工程，而且目前的檔案安全管理以及檔案保存還存在很多不安全因素。研究人員通過對檔案風險進行分析和評估，確定了安全系統(tǒng)所面臨的安全風險，進而找出安全風險的一些防范措施，進一步保證了檔案管理的相關安全策略。檔案安全問題的解決不僅僅需要解決技術方面的問題，還需要對檔案安全保障各個環(huán)節(jié)的管理及組織問題進行詳細的分析對比，進而形成一個目標明確、技術措施有效的檔案安全保障體系，這一保障體系的核心思想主要是將檔案的管理全過程以及技術安全等措施設計成為一個相對完整的、統(tǒng)一的安全保護平臺，并且以管理活動為主線對檔案安全保障體系進行分層防御，從而實現(xiàn)檔案的層次性管理?，F(xiàn)階段我國的檔案安全保障體系主要包括三個子系統(tǒng)，分別是檔案管理安全子系統(tǒng)、檔案維護安全保障子系統(tǒng)和檔案新資源開發(fā)利用安全保障子系統(tǒng)，這三個子系統(tǒng)與檔案的生命周期息息相關，所覆蓋的領域也非常廣泛，檔案基本上涵蓋了我國社會各個領域的內(nèi)容。概括起來主要有以下幾個方面。

2.1安全基礎設施

安全基礎設施主要是指維護檔案安全、保障檔案開發(fā)利用，為社會提供方便服務而進行的一系列基礎性建設工作，這一階段對檔案管理的主要內(nèi)容有檔案的保管環(huán)境管理、檔案利用設備管理、檔案維護監(jiān)控設備管理，等等。

2.2安全組織管理

這里所說的安全組織管理主要是指對當前檔案機構部門安排與人員的教育培訓方面進行安全方面的強化。從整體組織上來不斷完善各個部門的安全管理職能，進一步加強各個部門之間的業(yè)務協(xié)調(diào)與經(jīng)驗交流，從管理層面上入手對工作人員進行培訓和管理，從實際的人員操作入手，對一些不規(guī)范的操作要及時的予以糾正，而對那些有較大操作問題的則需要進行安全意識方面的教育。

2.3安全全程控制

安全全程控制主要是指對檔案從形成立案之后直至銷毀的各個過程都要進行非常嚴格的控制。具體控制內(nèi)容如下：

第一是前端控制。這一階段需要工作人員在所有的安全保障活動之前進行設計和準備。

第二是日常檔案維護。這一階段主要是對檔案庫房中的一些檔案進行實時的安全監(jiān)控管理。

第三是對災難檔案進行備份處理。這一階段所接觸的重點是恢復那些因自然因素和人為因素造成損壞的檔案，及時發(fā)現(xiàn)問題，并快速響應問題。

第四是防止檔案信息出現(xiàn)損壞和丟失。禁止人員擅自損壞刪除檔案，對恢復和搶救檔案的過程要進行全程的記錄。盡量避免出現(xiàn)二次檔案傷害。

第五是對檔案進行質(zhì)量檢查和評估。在各項檔案工作完成之后，還要對檔案的質(zhì)量進行事前記錄和事后對比，并對不同階段的檔案質(zhì)量進行對比分析，查找出質(zhì)量較差的檔案，對其信息進行備份，并及時修復這批檔案。

第六是對檔案的風險進行預測。要對檔案工作的全過程都進行風險評估，及時預測可能存在的潛在風險以及可能出現(xiàn)的一些后果，做好準備工作，并創(chuàng)建風險評估模式與指標體系。

2.4安全法規(guī)標準

這一標準主要是制定了詳細的法律法規(guī)，是為了保障檔案中各項安全保障活動都能夠有法可尋。但是從我國當前的檔案管理情況來看，很多檔案館都還是沿用傳統(tǒng)的管理手段，檔案安全保障體系的建立與開發(fā)等制度都會出現(xiàn)這樣那樣的問題。由此可見，檔案安全保障體系的創(chuàng)建有利于檔案的系統(tǒng)化管理，對建設中國特色的檔案管理有極強的現(xiàn)實含義。

第4篇：信息安全保障范文

關鍵詞 信息系統(tǒng)；安全；保障體系；技術；信息技術基礎設施

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2013）14-0137-02

油服信息技術應用與集中程度的不斷深入提高，信息安全保障體系建設工作已成為信息化建設過程中的重要組成部分。油服具有地域分布廣、業(yè)務復雜多樣等特點，在信息安全形勢多變的情況下，獨立分散的安全措施已無法更好地滿足安全防護需求。信息安全若不能得到很好的保障，將給公司的業(yè)務正常運作及辦公穩(wěn)定性、高效性和有效性帶來影響。因此，需完善公司的信息安全政策方針、規(guī)劃并建立符合油服實際情況的信息安全保障體系，采用先進的安全管理過程模式，完善信息安全管理制度與規(guī)范，提高員工的信息安全意識，提升風險控制及保障水平，以支撐油服核心業(yè)務的健康發(fā)展。

1 信息安全保障體系

1.1 信息安全保障體系建設需求

油服在信息安全方面已部署了部分信息安全防護措施，如劃分安全域、部署邊界訪問控制設備、配備入侵防御系統(tǒng)、部署統(tǒng)一的防惡意代碼軟件等。與此同時，每年都開展信息系統(tǒng)安全測評工作，對公司的信息系統(tǒng)進行安全等級測評差距分析、安全問題整改咨詢核查以及滲透性測試等，從而能夠較為全面的掌握當前各信息系統(tǒng)和信息安全管理制度的建設、運維和使用情況，以提高信息系統(tǒng)的安全防護能力。但從總體來看，仍缺乏信息安全保障體系框架，總體安全方針和策略不夠明確，安全區(qū)域劃分不夠細致，網(wǎng)絡設備和重要服務器的安全策略缺乏統(tǒng)一標準，未部署安全運維管理中心，無法真正起到縱深安全防御的效用。

1.2 信息安全保障體系目標與定位

信息安全保障體系的建設要結(jié)合油服的信息安全需求、網(wǎng)絡應用現(xiàn)狀及未來發(fā)展趨勢，在風險評估的基礎上，明確與等級保護相適應的安全策略及具體的實施辦法。對全網(wǎng)進行合理的安全域劃分，技術與管理并重的同時，以應用與實效為主導，從網(wǎng)絡、應用系統(tǒng)、組織管理等方面，保障油服信息安全，形成集檢測、響應、恢復、防護為一體的安全保障體系。

2 油服信息安全保障體系架構模型

油服信息安全保障體系框架采用“結(jié)構化”的分析和控制方法，縱向把保護對象分成安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡；橫向把控制體系分成安全管理、安全技術和安全運行的控制體系，同時通過“一個安全管理中心”的安全管理概念和模式，形成一個依托于安全保護對象為基礎，橫向建立安全管理體系、安全技術體系、安全運行體系和安全管理中心“三個體系、一個中心、三重防護”的信息安全保障體系

框架。

2.1 安全管理體系

根據(jù)等級保護基本要求的相關內(nèi)容，信息安全管理體系重點落實安全管理制度、安全管理機構和人員安全管理的相關控制要求。

2.2 安全技術體系

根據(jù)等級保護基本要求的相關內(nèi)容，通過安全技術在物理、網(wǎng)絡、主機、應用和數(shù)據(jù)各個層面的實施，建立與實際情況相結(jié)合的安全技術體系。

2.3 安全運行體系

根據(jù)等級保護基本要求的相關內(nèi)容，信息安全運行體系重點落實系統(tǒng)建設管理和系統(tǒng)運維管理的相關控制要求，并與實際情況相結(jié)合，形成符合等級保護要求的信息安全運行體系

框架。

2.4 安全管理中心

根據(jù)等級保護基本要求和安全設計技術要求的相關內(nèi)容，通過“自動、平臺化”的方式，對信息安全管理、技術、運行三個體系的相關控制內(nèi)容，結(jié)合實際情況加以落實。

3 油服信息安全保障體系架構設計

3.1 安全管理體系架構設計

信息安全管理體系架構的設計可從以下3方面開展。

3.1.1 信息安全組織

油服信息安全組織為信息安全管理委員會，各業(yè)務部門為信息安全小組，部門經(jīng)理為本小組的第一安全責任人。同時，定義了組織中各職能角色的職責，以此指導信息安全工作開展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及時反映公司的信息安全風險動態(tài)，便于靈活地修訂與更新；另一方面確保信息安全技術與管理人員及用戶能夠了解哪些是禁止做的，哪些是必須做的。

3.1.3 人員安全管理

在人員安全管理方面，可以通過對人員錄用、調(diào)用、離崗、考核、培訓教育和第三方人員安全幾個方面進行設計。

3.2 安全技術體系架構設計

信息安全技術體系架構設計可從以下3個方面開展。

3.2.1 信息安全服務架構

信息安全服務架構設計分為保護、檢測、響應與恢復四個環(huán)節(jié)，實現(xiàn)對信息可用性、完整性和機密性的保護，監(jiān)測檢查系統(tǒng)存在的安全漏洞，對危害系統(tǒng)安全的事件行為做出響應

處理。

3.2.2 信息技術基礎設施安全架構

信息技術基礎設施安全架構以網(wǎng)絡安全架構為主體，結(jié)合系統(tǒng)軟硬件進行安全配置和部署。網(wǎng)絡安全架構的規(guī)劃根據(jù)網(wǎng)絡所承載的應用系統(tǒng)特性和所面臨的風險劃分不同的網(wǎng)絡安全域，并實施安全防護措施。

3.2.3 應用安全架構

應用系統(tǒng)的信息安全保障是在信息技術基礎設施安全架構上，更多地關注已有的信息安全服務是否被充分利用。為滿足業(yè)務系統(tǒng)對信息安全的需求，通過在業(yè)務系統(tǒng)中實現(xiàn)集成保障信息安全的機制，從而達到信息安全技術控制要求。

3.3 安全運行體系架構設計

油服信息安全運行體系架構設計主要從以下3個方面開展。

3.3.1 信息系統(tǒng)安全等級劃分

油服信息系統(tǒng)安全等級劃分從信息資產(chǎn)等級、網(wǎng)絡系統(tǒng)等級和應用系統(tǒng)等級三個方面進行定義。

3.3.2 信息安全技術控制

信息安全技術控制是由系統(tǒng)自身自動完成的安全控制。主要在信息系統(tǒng)的網(wǎng)絡層、系統(tǒng)層和應用層，包含身份鑒別、訪問控制、安全審計等五大類通用技術。

3.3.3 信息安全運作控制

信息安全運作控制是在油服業(yè)務運作和信息技術運作過程中進行實施的運作類安全控制，包括控制針對的主要風險點及具體分類。

4 結(jié)束語

在油服業(yè)務不斷拓展，國際化步伐不斷深入的過程中，信息系統(tǒng)在公司發(fā)展中的作用和地位日趨重要。公司對信息系統(tǒng)的依賴性也在不斷增長，信息安全也愈發(fā)重要。健全油服信息安全保障體系，為實現(xiàn)“制度標準化、工作制度化”的管理常態(tài)奠定了堅實的基礎。油服信息安全保障體系不僅從物理網(wǎng)絡安全、系統(tǒng)應用安全、數(shù)據(jù)和用戶安全等方面入手，還從安全域劃分、安全邊界防護、主動監(jiān)控、訪問控制和應急響應等方面綜合考慮，進一步加強落實信息安全等級保護的基本要求，初步實現(xiàn)對網(wǎng)絡與應用系統(tǒng)細粒度、全方位的安全管控，從而更為有效地提升了油服在信息安全方面的管理水平。

參考文獻

[1]馬永.淺談企業(yè)信息安全保障體系建設[J].計算機安全，2007（7）：72-75.

[2]王朗.一個信息安全保障體系模型的研究和設計[J].北京師范大學學報（自然科學版），2004（2）：58-62.

[3]黃海鷹.信息安全保障體系建設研究[J].數(shù)字圖書館論壇，2009（9）：13-15.

第5篇：信息安全保障范文

    1我省林業(yè)信息化安全形勢嚴峻

    我省林業(yè)系統(tǒng)信息安全面臨的形勢不容樂觀,從省直機關及部分地市單位的調(diào)查結(jié)果看,有39%的單位發(fā)生過信息安全事件,說明我省林業(yè)系統(tǒng)網(wǎng)絡和信息安全基礎還比較薄弱,保障機制尚待健全。主要有以下四個方面表現(xiàn)。

    1.1從發(fā)生信息安全事件的結(jié)構上看,超過半數(shù)的屬于感染病毒、木馬。引起事件的原因35.5%來自于單位外部,主要原因是未修補或升級軟件漏洞。42.2%的事件損失比較輕微,只有0.9%的事故屬于比較嚴重。而對于事件的覺察,36%是通過網(wǎng)絡管理員工作監(jiān)測發(fā)現(xiàn),22.7%是事后分析發(fā)現(xiàn)。這說明,我省林業(yè)網(wǎng)絡安全形勢總體上是好的,但也說明網(wǎng)絡與信息安全事件總體防范能力不足,缺乏對安全事件的提前預防。

    1.2從信息安全管理來看,有74%的單位制定了安全管理規(guī)章制度,78%的單位能做到隨時進行安全檢查,61.1%的部門在管理中采取口令加密。這說明林業(yè)系統(tǒng)內(nèi)大部門單位已經(jīng)認識到了信息安全的重要性,但管理手段單一,技術落后,缺乏有效的身份認證、授權管理和安全審計手段。

    1.3從信息安全投資來看,只有14.70%的單位信息安全投入達到了15%,70%的單位信息安全投資低于信息化項目總投資的10%,甚至還有7%的單位在信息安全方面從來沒有過投資。說明整體網(wǎng)絡與信息安全投入明顯不足。

    1.4從專職人員配備情況來看,只有46%的部門有專職的信息安全人員,大部分是兼職人員或外包服務。僅有3.8%的單位組織了對單位全體員工的信息安全培訓,而對于網(wǎng)絡安全管理技術人員的培訓也只有46%的單位搞過。從業(yè)人員不足,安全培訓少,也是影響信息安全的一個重要因素。上述現(xiàn)狀,反映出我省林業(yè)系統(tǒng)網(wǎng)絡與信息安全意識淡薄,信息系統(tǒng)綜合防范手段匱乏,信息安全管理薄弱,應急處理能力不強,信息安全管理和技術人才缺乏。隨著我省林業(yè)信息化建設和應用的加快,多樣化的侵害和信息安全隱患將會不斷地暴露出來,使我省林業(yè)網(wǎng)絡與信息安全工作面臨著更大的威脅和風險。

    2我省林業(yè)系統(tǒng)信息安全保障思路及主要任務

    省委省政府關于建設“平安山東”的決定,提出了把我省建設成為全國最穩(wěn)定、最安全的地區(qū)之一的明確目標和任務,切實加強網(wǎng)絡與信息安全保障工作是大力推進國民經(jīng)濟和社會信息化的重要保障,是平安山東建設的重要內(nèi)容。省政府印發(fā)的山東省國民經(jīng)濟和社會信息化的十二五規(guī)劃,把信息安全保障體系作為主要內(nèi)容之一。在此基礎上,林業(yè)信息化建設以全面提高網(wǎng)絡與信息安全的保障能力為己任,努力開創(chuàng)了我省信息化建設與信息安全保障體系相互適應、共同進步的新局面。

    2.1信息安全保障工作的思路以科學發(fā)展觀為指導,認真貫徹“積極防御,綜合防范”的方針,加強網(wǎng)絡信任體系、信息安全監(jiān)控體系和應急保障體系建設,全面提高林業(yè)系統(tǒng)網(wǎng)絡與信息安全防護和應急事件處置能力,重點保障我省林業(yè)基礎信息網(wǎng)絡和重要信息系統(tǒng)安全;強化林業(yè)信息安全制度建設和人才隊伍建設,充分發(fā)揮各方面的積極性,協(xié)同構筑我省網(wǎng)絡與信息安全保障體系。

    2.2信息安全保障工作的主要任務

    2.2.1建立健全我省信息安全管理體制,充分發(fā)揮網(wǎng)絡與信息安全建設的作用,建立了信息安全的通報制度,形成我省林業(yè)信息安全相關部門密切配合的良好機制。

    2.2.2積極推進了信息風險評估和等級保護制度的建立。省信息辦制定了山東省信息安全風險評估實施辦法,介紹了實施風險評估的方法和流程,十一五期間,已選取了多家單位作為試點,下一步將根據(jù)自己工作實施風險評估,并爭取在全省范圍內(nèi)推廣。

    2.2.3大力促進網(wǎng)絡與信息安全的制度建設,積極貫徹有關信息安全標準的應用和推廣,出臺了林業(yè)系統(tǒng)網(wǎng)絡信息安全建設的指導意見。

    2.2.4加強信息安全應急處置體系建設,利用現(xiàn)有的專業(yè)隊伍和技術資源,規(guī)劃和建設林業(yè)數(shù)據(jù)備份中心,啟動建設信息化應急技術處理中心,逐步實現(xiàn)為我省林業(yè)網(wǎng)絡信息安全提供預警、評測等服務,按照“誰主管誰負責、誰運營誰負責”的要求,各部門出現(xiàn)問題及時處理,如果處理不了,可以呼叫應急中心通過技術手段判斷突發(fā)事件的原因。

    2.2.5加強人才隊伍培養(yǎng)和建設。不定期的舉辦了面向工作人員提高安全意識、防范意識的培訓,對從事信息化的專業(yè)人員建立管理培訓的制度。

    3加快我省林業(yè)信息安全保障體系建設進程的建議林業(yè)信息安全保障體系的建設是關系我省民生的大事,做好這項工作十分重要。

    3.1充分認識做好信息安全保障工作的重要意義。目前對信息安全問題不少人仍然缺乏全面的、深刻的認識,現(xiàn)有各個部門在安全工作中缺乏安全防范的意識,安全防護注重于系統(tǒng)外部,忽略了系統(tǒng)內(nèi)部的安全管理措施,安全保障缺乏循環(huán)、良性的提高,不能自主發(fā)現(xiàn)和及時消除安全隱患,對安全工作仍然不同程度的存在“說起來重要,忙起來次要,干起來不要”的問題。各單位各部門要從經(jīng)濟發(fā)展、社會穩(wěn)定的高度充分認識信息安全的重要性,增強緊迫感、責任感和自覺性。

    3.2正確把握加強信息安全保障工作的總體要求。要堅持積極防御、綜合防范的方針,正確處理發(fā)展與安全的關系,堅持以發(fā)展求安全、以安全保發(fā)展,同時管理與技術并用,大力發(fā)展信息技術的同時,切實加強信息安全管理工作,努力從預防、監(jiān)控、應急處理和打擊犯罪等環(huán)節(jié)在法律、管理、技術、人才各方面采取各種措施全面提升信息安全的防護水平。

    3.3突出重點,抓好落實。各部門要制定工作重點,加強信息安全體系建設和管理,最大限度的控制和限制安全風險,重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)的安全,做好應急服務工作,盡可能的防止因信息安全問題造成的重要信息系統(tǒng)的大面積的出現(xiàn)問題。防止數(shù)據(jù)丟失和錯誤,避免對社會造成的損失。

第6篇：信息安全保障范文

關鍵字：校園；網(wǎng)絡；管理；信息；安全；保障

目前，校園網(wǎng)絡信息安全性的問題逐漸得到高級技工學校的關注,學校在不斷的完善校園網(wǎng)絡的管理以及信息安全保障的政策。校園網(wǎng)絡作為高級技工學校信息化建設的重點,確保網(wǎng)絡信息安全的完整性、保密性、可控性、可用性、不可否認性成為了學校保障網(wǎng)絡信息安全的重點工作。

一、校園網(wǎng)絡信息安全的特征

校園網(wǎng)絡信息安全需要具有完整性，確保信息在傳輸以及存儲的過程中可能被惡意的篡改，應該確保網(wǎng)絡信息的正確以及有效，避免被非授權人將信息的完整性破壞；校園網(wǎng)絡信息安全需要具有保密性，通過密碼技術對重要的信息采取保護措施或進行加密處理，避免重要信息的泄漏、丟失等，確保合法用戶能夠安全的使用信息；校園網(wǎng)絡信息安全需要具有可控性，使授權機構能夠控制信息的內(nèi)容以及具備監(jiān)控和管理傳播流向和方式的能力；校園網(wǎng)絡信息安全需要具有可用性，確保授權用戶能夠進入系統(tǒng)進行信息的訪問，防止非授權者惡意訪問系統(tǒng)，竊取、泄漏、破壞校園網(wǎng)絡的信息安全。與此同時，還應該防止網(wǎng)絡病毒引發(fā)的系統(tǒng)癱瘓，造成服務器拒絕用戶使用或被入侵者所用；校園網(wǎng)絡信息安全需要具有不可否認性，也可以稱之為不可抵賴性，當信息傳輸結(jié)束以后,信息傳輸雙方不能抵賴自身的行為，比如否認接收過對方的信息，通過信息源的證據(jù)，雙方就無法對完成的操作進行抵賴，能夠有效的防止發(fā)送方否認已經(jīng)傳輸過的信息。

二、校園網(wǎng)絡管理和信息安全保障的必要性

隨著計算機網(wǎng)絡的不斷發(fā)展,強化學校網(wǎng)絡安全管理的建設,不僅能夠提升學校整體的形象，還是學校發(fā)展成為信息化的必然趨勢。網(wǎng)絡安全對于校園整體形象和未來發(fā)展趨勢都有影響。校園網(wǎng)絡信息安全對于學生來說，能夠促進學生的全面發(fā)展，還能提高學校的整體經(jīng)濟效益。目前，學校的網(wǎng)絡中儲存了大量的文獻信息,網(wǎng)絡信息安全對于高級技校的教育工作有著重要的意義，教師進行教學越來越依賴計算機網(wǎng)絡，如果網(wǎng)絡的安全出現(xiàn)問題，信息資源被惡意篡改、丟失、刪除、破壞等，對于學校來說是無法彌補的經(jīng)濟以及資源損失。因此，校園網(wǎng)絡管理和信息安全保障對于高校來說十分重要，建設校園網(wǎng)絡的過程中，應該重視網(wǎng)絡運行的安全問題，引進先進的網(wǎng)絡技術，嚴格按照網(wǎng)絡安全管理規(guī)范，及時解決網(wǎng)絡系統(tǒng)可能出現(xiàn)的問題，確保校園網(wǎng)絡能夠安全、可靠、正常的運行。

三、校園網(wǎng)絡管理和信息安全保障的現(xiàn)狀

3.1校園網(wǎng)絡的安全受到威脅

目前，高級技工院校為了提高網(wǎng)絡的安全性,通常會配置網(wǎng)絡防火墻系統(tǒng)。然而防護墻是利用靜態(tài)技術只能起到防范的作用,并且防護的范圍不夠全面，防護的效果也不是十分明顯。為了采取更加有效的防護措施，高校需要采用動態(tài)防護技術，比如入侵檢測技術。如今病毒的傳播方式多種多樣，具有很強的破壞能力，并且傳播速度很快,一旦校園的某臺計算機被病毒入侵,主機系統(tǒng)就會受到影響，導致整個校園的網(wǎng)絡都會癱瘓。

3.2不重視校園網(wǎng)絡的管理

大部分的高級技工院校對于網(wǎng)絡管理問題，普遍是“重設備,輕管理”的理念，僅重視設備的購買,而忽視了對設備的管理。學校錯誤認為安裝防火墻、電腦管家以及殺毒軟件，就能起到信息安全防護的作用，其實信息安全還包含其他方面，安全防護設備在校園網(wǎng)絡中雖然得到了普遍應用，然而對于軟件的實踐應用只能解決一部分的信息安全問題。學校應該重視安全設備安裝后的管理問題，通過制定相關的管理規(guī)則，使用戶能夠合理的使用校園網(wǎng)絡，從而確保網(wǎng)絡信息的安全。

3.3用戶的校園網(wǎng)絡安全意識不夠高

高級技工學校用戶普遍缺乏網(wǎng)絡安全意識，需要不斷提高網(wǎng)絡安全意識，才能從根本上保障校園網(wǎng)絡信息的安全。對于學校來說，校園網(wǎng)絡用戶在網(wǎng)絡信息管理和保障中起到十分關鍵的作用，用戶的實踐操作行為直接影響信息的安全。目前，大部分校園網(wǎng)絡用戶,進行口令的選取時,忽視自身操作的規(guī)范性，導致校園網(wǎng)絡被惡意入侵。

四、校園網(wǎng)絡管理和信息安全保障的實踐策略

4.1完善校園網(wǎng)絡的訪問權限設置

校園網(wǎng)絡為了保證信息的安全需要設置網(wǎng)絡權限，通常校園網(wǎng)絡只提供給本校師生使用，這樣就能有效的減少不良信息傳播的途徑，避免病毒通過其他途徑破壞系統(tǒng)，從而保障校園網(wǎng)絡信息的安全。訪問權限設置能夠控制用戶的非法訪問，檢測用戶登陸的服務器以及用戶查看過的信息，使用戶的賬號能夠受到監(jiān)管，避免用戶信息被盜用，導致信息的泄漏。

4.2重要信息及時做好備份

校園網(wǎng)絡如果遭受到病毒的侵害，計算機系統(tǒng)就會受到損害，導致用戶的重要信息泄漏、丟失等，造成用戶的損失。因此，學校網(wǎng)絡的數(shù)據(jù)庫需要及時進行重要信息的備份，確保用戶的重要信息能夠通過備份系統(tǒng)找回，避免給用戶造成不便。

4.3監(jiān)控校園網(wǎng)絡的日志

做好校園網(wǎng)絡日志的監(jiān)控工作是高級技工學校的重點工作，對于保障信息安全起到了重要的作用。安全設備雖然能夠保障信息的安全，但是不能僅僅停留在表面，作為校園網(wǎng)絡的管理人員，應該不斷提高自身的素質(zhì)，進行安全設備性能、用途等多方面的深入研究，從而更好的管理校園網(wǎng)絡的信息。監(jiān)控校園網(wǎng)絡信息安全的對象有防火墻、檢測系統(tǒng)、服務器等，由于防護核心思想的差異，綜合使用監(jiān)控設備能夠有效的進行用戶訪問時間的跟蹤，了解用戶的登陸地點，登陸設備、登陸時間等，這些信息有助于學校管理和保障信息安全，了解校園網(wǎng)絡日志的具體來源和途徑，從而提高校園網(wǎng)絡的安全性。

4.4建立校園網(wǎng)絡管理相關的制度

高級技工學校應該制定相關的政策，強化用戶對信息安全防護的意識，提高自身的網(wǎng)絡素養(yǎng)。制定完善的制度管理體系，使用用戶能夠嚴格按照相關規(guī)定約束自身的行為，避免由于自身錯誤的操作，造成校園網(wǎng)絡信息的泄密、丟失等。由于校園網(wǎng)絡使用的用戶普遍為在校學生,因此學校可以結(jié)合學生的實際情況，設立網(wǎng)絡相關的選修課程,提高學生的網(wǎng)絡安全意識。與此同時，校園網(wǎng)絡使用的用戶還包括教師，學校應該對教師展開定期的培訓，提高教師的綜合素質(zhì)，從而做到言傳身教。通過不斷提高校園網(wǎng)絡用戶的整體素質(zhì)，網(wǎng)絡不良信息的傳播才能得到有效的控制，避免惡意入侵的非法用戶危害校園網(wǎng)絡的安全。

五、結(jié)語

綜上所述，校園網(wǎng)絡是一把雙刃劍,雖然為學生和教師的學習和教學工作帶來了方便，然而隨著網(wǎng)絡技術的不斷發(fā)展，信息安全的問題接踵而至，為了有效確保校園網(wǎng)絡信息的安全，學校需要不斷的完善校園網(wǎng)絡的訪問權限設置，對重要的信息及時做好備份，監(jiān)控校園網(wǎng)絡的日志，建立校園網(wǎng)絡管理相關的制度，從而提高校園網(wǎng)絡用戶的綜合素質(zhì)，提高校園網(wǎng)絡的安全性。

參考文獻

[1]楊梅,甘露,張林濤.校園網(wǎng)絡管理和信息安全保障實踐探討[J].玉林師范學院學報,2013,01:112-116.

[2]王平,趙仕偉,趙義平.淺談校園網(wǎng)絡管理與信息安全保障對策研究[J].網(wǎng)友世界,2014,06:5.

[3]徐喆.高校網(wǎng)絡安全存在的問題與對策研究[D].燕山大學,2012.

第7篇：信息安全保障范文

【關鍵詞】外匯 信息安全 風險 保障措施

近年來，國家外匯管理局加大了信息化建設步伐，信息系統(tǒng)已基本替代了手工操作用于處理外匯管理日常工作，在外匯監(jiān)管與服務的過程中發(fā)揮著越來越重要的作用，外匯業(yè)務信息系統(tǒng)的安全正常運行已成為外匯局開展業(yè)務開展的前提，任何一個環(huán)節(jié)的信息系安全管理缺失，都可能給外匯管理工作帶來嚴重的后果。

一、外匯信息系統(tǒng)和數(shù)據(jù)所面臨的風險

信息安全就是保護信息系統(tǒng)或信息網(wǎng)絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的保密性、完整性、可用性.可控性和平可否認性。

外匯管理信息系統(tǒng)和數(shù)據(jù)在采集、保存和使用等過程中存在諸多安全風險，例如硬盤損壞等物理環(huán)境風險，操作系統(tǒng)和網(wǎng)絡協(xié)議漏洞導致外匯信息數(shù)據(jù)被非法訪問、修改或惡意刪除，最終導致外匯信息喪失上述安全特性，從而影響了外匯業(yè)務的正常開展。本節(jié)僅結(jié)合外匯信息系統(tǒng)和數(shù)據(jù)實際情況，簡要介紹外匯信息常見的風險。

（一）電子設備存在軟件和硬件故障風險

外匯信息系統(tǒng)在運行過程往往會面臨硬件設備發(fā)生故障，軟件系統(tǒng)出現(xiàn)運行錯誤的風險，例如服務器電源設備老化、硬盤出現(xiàn)壞道無法讀寫、軟件崩潰、通訊網(wǎng)絡故障等問題。上述問題是外匯信息系統(tǒng)實際運維過程中最為常見風險源。

（二）人為操作風險

因人為操作外匯信息系統(tǒng)產(chǎn)生的未授權的數(shù)據(jù)訪問和數(shù)據(jù)修改、信息錯誤或虛假信息輸入、授權的終端用戶濫用、不完整處理等。產(chǎn)生該類風險的原因是用戶安全意識淡薄，未授權訪問數(shù)據(jù)造成外匯信息泄漏，數(shù)據(jù)手工處理導致的錯誤或虛假信息，未授權用戶操作等行為都會造成信息系統(tǒng)安全性風險。實際外匯信息系統(tǒng)運行中，人為事件造成損失的概率遠遠大于其他威脅造成損失的。

（三）系統(tǒng)風險

一般所用的計算機操作系統(tǒng)以及大量的應用軟件在組織業(yè)務交流的過程中使用，來自這些系統(tǒng)和應用軟件的問題和缺陷會對一系列系統(tǒng)造成影響，特別是在多個應用系統(tǒng)互聯(lián)時，影響會涉及整個組織的多個系統(tǒng)。例如，部分系統(tǒng)具有維護困難、結(jié)構不完善、缺乏文檔和設計有漏洞等多個隱患，有時就會在系統(tǒng)升級和安裝補丁的時候引入較高的風險。

（四）物理環(huán)境風險

由于組織缺乏對組織場所的安全保衛(wèi)，或者缺乏防水、防火、防雷等防護措施，在面臨自然災難時，可能會造成極大的損失。

二、外匯信息安全基本準則和特性

外匯信息系統(tǒng)是一個以保障外匯業(yè)務系統(tǒng)正常運行的專用的信息系統(tǒng)，近年來在不斷加大信息科技方面投入、加快信息化建設的過程中得到了有效整合和完善。為有效應對外匯信息系統(tǒng)安全風險，科技部門應同步提升科技管理制度的完整性和執(zhí)行力度、管理精細化程度。制定外匯信息系統(tǒng)安全的具體保障措施之前，首先需要我們認清信息安全的基本準則和一些特性：

（一）信息安全短板效應

對信息系統(tǒng)安全所涉及的領域進行安全保護即全面構筑外匯管理信息安全保障工作，重點加強對安全洼地、薄弱環(huán)節(jié)的安全防護。

（二）信息安全系統(tǒng)化

信息系統(tǒng)安全其實是一項系統(tǒng)工程，要從管理、技術、工程等層面總體考量，全面保障外匯管理局信息系統(tǒng)安全。

（三）信息安全動態(tài)化

信息安全保障措施所防范的對象是一個動態(tài)變化的過程，所以信息系統(tǒng)也應該隨著內(nèi)外部安全形勢的變化不斷改進。

（四）信息安全常態(tài)化

信息安全從時間角度看是一個長期存在的問題，只有在信息安全技術方面嚴格把握重點，綜合信息安全體系的可持續(xù)構建，才能保障外匯管理局信息系統(tǒng)安全。

（五）系統(tǒng)操作權責明確

信息系統(tǒng)安全的前提是要嚴格內(nèi)部授權，劃分各崗位職責，如加大內(nèi)控風險防范和控制。使各系統(tǒng)角色操作者權限形成相互制約的控制機制。

三、外匯信息安全保障應對措施

外匯信息安全工作應以信息系統(tǒng)所面臨的安全威脅依據(jù)，遵循基本準則，以信息基礎設施建設和安全管理制度為我切入點制定相應的防護措施。

（一）建立系統(tǒng)性的安全管理制度

安全管理制度要包括人員管理、資產(chǎn)管理、數(shù)據(jù)管理、網(wǎng)絡管理、運維管理、應急管理、事后審查等方面內(nèi)容

（二）建立良好的網(wǎng)絡信息安全防護體系

從物理環(huán)境安全、網(wǎng)絡邊界安全、設備安全、應用系統(tǒng)安全以及數(shù)據(jù)安全等方面部署相關的安全防護設備和措施。

（三）定期進行信息安全教育培訓

因信息技術行業(yè)快速發(fā)展，信息安全形勢也在不斷變化，外匯管理局科技部門可定期對轄內(nèi)外匯信息系統(tǒng)維護和操作人員進行信息系統(tǒng)安全培訓，更新安全知識。為了有效防范未知威脅和隱患，外匯管理局科技部門可對轄內(nèi)定期開展信息系統(tǒng)安全檢查，確保外匯信息系統(tǒng)安全有效運行，保障外匯信息的可控、可用和完整性。

（四）開展信息系統(tǒng)安全風險評估，進一步做好系統(tǒng)等保工作

首先對外匯信息系統(tǒng)安全進行風險評估，根據(jù)評估識別威脅外匯信息系統(tǒng)安全的風險，作為制定、實施安全策略、措施的基礎，風險評估同時也是外匯信息系統(tǒng)安全等級保護的重要前提與依據(jù)。其次確定信息系統(tǒng)安全級別，根據(jù)級別的不同，實施對應的保護措施，啟動對應級別的安全事件應急響應程序。

（五）運用入侵檢測等技術，預防惡意攻擊

隨著技術發(fā)展，當前惡意攻擊手段呈現(xiàn)越來越隱蔽的趨勢，需要科技部門采用具有預警功能的技術手段來應對，如入侵檢測、數(shù)據(jù)挖掘等技術，通過分析歷史數(shù)據(jù)，發(fā)現(xiàn)當前安全措施的缺陷，及時糾正和預防內(nèi)外部風險再次發(fā)生。

（六）完善監(jiān)督管理，實施信息安全自查與檢查相結(jié)合

查找現(xiàn)有信息化建設工作中的薄弱環(huán)節(jié)，井切實進行整改，建立良性的信息安全管理機制。開展信息安全檢查與自查是完善信息安全監(jiān)督管理工作的有效方式之一，其中信息安全檢查方案的設計是安全檢查的核心，科技部門需要根據(jù)外匯業(yè)務實際情況，將外匯管理局有關要求進行梳理完善，對相應風險點進行總結(jié)和歸納，科學設計了信息安全檢查方案。

參考文獻

[1]林國恩.信息系統(tǒng)安全[M].北京：電子工業(yè)出版社.2010

第8篇：信息安全保障范文

關鍵詞 內(nèi)網(wǎng)；信息安全；保障體系

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2013）16-0129-01

內(nèi)網(wǎng)的構建不僅需要工作人員將內(nèi)網(wǎng)的數(shù)據(jù)傳輸技術進行實時更新與維護，更加需要專業(yè)的信息管理員對內(nèi)網(wǎng)的信息內(nèi)容進行管理，確保內(nèi)網(wǎng)信息安全健康。保障體系作為一種以內(nèi)網(wǎng)信息為工作對象的管理體系，其工作的開展較多的依賴于體系各環(huán)節(jié)的協(xié)調(diào)。本文將從內(nèi)網(wǎng)信息安全的保障為中心，簡要分析推進該安全保障體系建設的措施。

1 內(nèi)網(wǎng)信息安全保障體系構建的重要性

1.1 對網(wǎng)絡環(huán)境的規(guī)范作用

隨著計算機網(wǎng)絡技術的廣泛應用，網(wǎng)絡已經(jīng)成為我國國民生活的一部分，信息傳播速度的不斷提升和觀念交流的及時有效逐漸的形成了對網(wǎng)絡環(huán)境的威脅。網(wǎng)絡環(huán)境是確保網(wǎng)絡信息安全、健康的基礎，只有確保網(wǎng)絡環(huán)境的清潔，網(wǎng)民的信息安全才有所保障。

推進內(nèi)網(wǎng)信息安全保障體系的建設對網(wǎng)絡環(huán)境有一定的規(guī)范作用。首先，內(nèi)網(wǎng)信息安全保障體系是針對網(wǎng)絡信息安全這項內(nèi)容的，而該項內(nèi)容是網(wǎng)絡環(huán)境中極為重要的部分，網(wǎng)民之間的信息交流構成網(wǎng)絡環(huán)境的基礎。保障體系的建立能夠有效地提高網(wǎng)絡環(huán)境的清潔力度。其次，內(nèi)網(wǎng)信息安全保障體系的建立有利于加強局域網(wǎng)絡的穩(wěn)定性，減少因網(wǎng)絡故障導致的全網(wǎng)癱瘓。

1.2 對用戶信息安全的保障作用

網(wǎng)絡用戶的信息安全一直都是網(wǎng)絡平臺信息管理者需要關注的重點。隨著網(wǎng)絡用戶數(shù)量的增加，網(wǎng)絡安全問題逐漸凸顯，部分網(wǎng)民私人信息泄露已經(jīng)成為網(wǎng)絡常態(tài)。建設內(nèi)網(wǎng)信息安全保障體系對用戶信息安全有著積極的意義。一方面，內(nèi)網(wǎng)信息安全要求工作者將網(wǎng)絡信息進行管理，并利用一定的網(wǎng)絡技術保護網(wǎng)民的信息資料安全；另一方面，內(nèi)網(wǎng)信息安全保障體系在建設過程中不斷地完善自身的應用技術，對推動網(wǎng)絡平臺的穩(wěn)定十分有利，從而能夠確保用戶的資料安全。

2 內(nèi)網(wǎng)安全風險分析

與外網(wǎng)的信息安全相比，內(nèi)網(wǎng)的信息安全工作的開展具有一定的困難，網(wǎng)絡黑客雖然不容易經(jīng)由翻墻技術進入局域網(wǎng)盜竊信息或者進行破壞活動，但通過局域網(wǎng)內(nèi)部人員的關系，內(nèi)網(wǎng)信息安全就有極大的安全隱患。

1） 內(nèi)網(wǎng)安全保障技術的防護性能不強，不能很好地開展網(wǎng)絡信息安全保障工作。內(nèi)網(wǎng)使用人員在進行信息交流時，其網(wǎng)絡信息的安全保障技術并沒有較大的技術性，簡單的黑客技術就能夠?qū)?nèi)網(wǎng)信息掌控到手。這是由多方面因素造成的。第一，內(nèi)網(wǎng)技術維護人員并沒有設定專門的安全保障技術，部分信息共享、使用等都只通過簡單口令的保護，防護手段不到位，另外，一些研發(fā)階段的技術也沒有提供專業(yè)的安全防護，導致數(shù)據(jù)和資料丟失現(xiàn)象較常見。

2） 內(nèi)網(wǎng)工作人員的信息安全防護意識不強。內(nèi)網(wǎng)的使用大部分都是統(tǒng)一范圍內(nèi)的單位員工或企業(yè)職員。這些人對內(nèi)網(wǎng)各部分信息都十分熟悉，因此，從一定程度上講，該網(wǎng)絡內(nèi)部的工作人員是威脅網(wǎng)絡安全的重要部分。員工渠道的信息泄露包括員工有意進行的泄露和員工無意開展的行為。一方面，部分員工的職業(yè)素質(zhì)不高，對所在企業(yè)的歸屬感不強，對企業(yè)重要資料的安全防護意識也就相對較弱，在被不法分子利用后，這部分員工極易成為網(wǎng)絡信息安全的最大威脅。另一方面，相當一部分員工對企業(yè)的重要資料的重視程度較高，但其對安全保障措施的運用卻不靈活，對技術保護不甚了解，因此，會出現(xiàn)無意的信息泄露，進而影響企業(yè)的資料安全。

內(nèi)部信息泄露手段主要有：資料的復制、電子郵件通信、辦公電腦與私人電腦混用、文件共享等，這些途徑不僅簡單快捷，節(jié)約時間，同時還是技術難度較低的行為。

3 推進內(nèi)網(wǎng)信息安全保障體系建設

內(nèi)網(wǎng)信息安全保障體系的建設需要工作人員結(jié)合其信息安全常出現(xiàn)的問題進行技術改進和工作落實。

3.1 規(guī)范網(wǎng)絡節(jié)點接入，減少信息安全隱患

我國目前的網(wǎng)絡接入狀態(tài)是，非內(nèi)網(wǎng)成員可以通過一定的技術輕松訪問內(nèi)部網(wǎng)絡，這一現(xiàn)象一方面是由于現(xiàn)代化的樓宇布線技術導致的，另一方面，科學技術的進步降低了內(nèi)網(wǎng)接入的難度。非內(nèi)網(wǎng)成員在進入內(nèi)網(wǎng)后，對內(nèi)網(wǎng)信息的安全形成威脅，部分核心數(shù)據(jù)面臨著被盜用泄露的風險，因此，工作人員需要針對這一問題展開工作，及時的發(fā)現(xiàn)未知接入點的存在，并根據(jù)其性質(zhì)進行隔離處理，減少信息泄露的可能。

非法接入點的規(guī)范工作還包括對計算機IP地址的轉(zhuǎn)變進行及時的記錄和分析，當該IP的轉(zhuǎn)換對局域網(wǎng)內(nèi)部信息的安全造成威脅時，工作人員要對該網(wǎng)絡進行阻斷。

病毒庫的更新也是保障內(nèi)網(wǎng)信息安全的要素之一。內(nèi)網(wǎng)的組成是多臺計算機的連接，這些計算機組中性能較差或者應用技術較落后的計算機往往是網(wǎng)絡安全工作中的重點，黑客在侵入內(nèi)網(wǎng)時多選擇在這一端口進入。因此，企業(yè)需要及時的進行病毒庫的更新，保障計算機的安全，降低黑客入侵的可行性。

3.2 完善內(nèi)網(wǎng)信息監(jiān)控系統(tǒng)，確保信息安全使用

內(nèi)網(wǎng)信息的安全不僅需要一定的技術支持，也需要有完善的內(nèi)網(wǎng)監(jiān)控系統(tǒng)的輔助。內(nèi)網(wǎng)中各種先進科學技術的應用以及軟件等的配合都為監(jiān)控工作的進行提供了可能。運行軟件、設備、網(wǎng)絡拓撲等都能夠積極參與到網(wǎng)絡信息安全監(jiān)控中來。工作人員需要針對不同的現(xiàn)象開展相應的工作，如中斷運行異常的軟件，控制移動設備在辦公主機上的運用，監(jiān)控系統(tǒng)運行情況等。實時監(jiān)控的進行是保障信息基本安全的有力措施，同時，企業(yè)需要對監(jiān)控措施的管理工作進行人員安排，確保監(jiān)控力度到位。

3.3 結(jié)合安全保障技術和安全管理理念，維護內(nèi)網(wǎng)信息安全

企業(yè)的內(nèi)網(wǎng)信息安全離不開技術和管理理念的支持，只有這兩者協(xié)作才能夠確保企業(yè)內(nèi)部工作的安全。

1）企業(yè)需要對內(nèi)網(wǎng)的安全保障技術進行革新，及時的應用先進的科學技術，對計算機組進行定期維護和系統(tǒng)升級，確保其功能的穩(wěn)定，減少系統(tǒng)漏洞的出現(xiàn)。積極鼓勵技術人員學習新知識，完善自身的知識儲備，研發(fā)出有自主知識產(chǎn)權的設備和系統(tǒng)，推動自身網(wǎng)絡技術的發(fā)展。

2）企業(yè)需要進行規(guī)章制度的建立。①企業(yè)要制定出完善的符合社會發(fā)展要求的網(wǎng)絡信息安全等級，為技術人員開展網(wǎng)絡信息維護提供數(shù)據(jù)參照；②企業(yè)要對辦公電腦和核心數(shù)據(jù)的使用人進行管理；③加強對內(nèi)網(wǎng)各環(huán)節(jié)的管理，保障數(shù)據(jù)訪問的設備安全。

4 結(jié)束語

內(nèi)網(wǎng)信息安全保障體系的建設需要相關技術人員積極的進行技術革新，研發(fā)出具有自主知識產(chǎn)權的系統(tǒng)和設備產(chǎn)品，改變目前國內(nèi)網(wǎng)絡技術受制于人的現(xiàn)狀。

參考文獻

[1]鄧波.內(nèi)網(wǎng)：應用需求與安全保障第七期電子政務沙龍權威支招[J].信息化建設，2012（02）.

[2]韓惠良，盧敬泰.內(nèi)網(wǎng)信息安全保障體系建設研究[J].信息網(wǎng)絡安全，2010（09）.

第9篇：信息安全保障范文

【關鍵詞】電信企業(yè)、用戶信息、安全

【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1672-5158（2013）01―0131―01

隨著信息爆炸時代的來臨和通信技術的快速發(fā)展，用戶的個人信息安全問題日益嚴重，信息泄露事件頻發(fā)。用戶信息一旦遭到泄露，將面臨信息曝光、垃圾短信、騷擾電話、電信欺詐甚至資金被盜等一系列風險。在此環(huán)境下，2012年“3.15”國際消費者權益日的主題即為“消費與安全”，新聞媒體也多次曝光了個別銀行、通信、快遞、醫(yī)院等行業(yè)不法人員泄露和出售客戶信息，給公眾造成巨大安全隱患的問題。由此可見，用戶信息安全已成為社會化和信息化快速發(fā)展進程中的一個重要問題。

近年來國家也逐步加大了對個人信息安全的保護力度。一方面從立法上逐步加大了對個人信息安全的保障，在民事責任方面認定用戶個人信息屬于個人隱私范疇，并在2009年通過的《侵權責任法》中明確將隱私權寫入了法律；在刑事責任方面，2009年頒布實施的《刑法修正案七》也新增了“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處罰金?！薄案`取或者以其他方法非法獲取上述信息，情節(jié)嚴重的，依照前款的規(guī)定處罰?！皢挝环盖皟煽钭锏模瑢挝慌刑幜P金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰?！绷硪环矫?，公安部也在北京、河北等20個省市區(qū)開展嚴厲打擊侵害公民個人信息違法犯罪的專項行動，抓獲嫌疑人1000余名，挖出信息源頭44個。

電信行業(yè)一直是客戶信息安全保障的重點行業(yè)。作為電信運營商，掌握著海量的用戶信息資源，尤其是2010年電話用戶實名登記工作推廣以來，運營商掌握的用戶信息從數(shù)量和質(zhì)量上都得到了進一步提升。一方面客戶信息真實、完善為電信企業(yè)向用戶提供個性化的服務提供了條件，也為通信安全提供了保障，但另一方面對電信運營企業(yè)保障用戶的信息、通信安全也提出了更高的要求。筆者總結(jié)多年的電信企業(yè)客戶信息管理經(jīng)驗，借鑒先進企業(yè)的管理方法，從明確電信用戶信鼠的范圍、電信用戶信息泄露的風險途徑、解決電信用戶信息安全的措施三個層面來探討如何保障電信用戶信息安全。

一、電信企業(yè)用戶信息包含的內(nèi)容

根據(jù)電信企業(yè)獲取客戶信息和提供通信服務的特點，電信用戶信息應是指個人與單位用戶的姓名或名稱、有效證件類型及證件號碼、住址（地址）、用戶號碼、聯(lián)系方式、繳費賬戶、通話清單、終端信息以及單位用戶的組織架構等基本信息、信息網(wǎng)絡建設等非通信的信息內(nèi)容。

二、電信企業(yè)用戶信息泄露的風險途徑

造成電信用戶信息泄露的風險主要是人員風險和系統(tǒng)風險。人員風險是指電信企業(yè)內(nèi)部和外部所有可以接觸到用戶信息的眾多人員泄露用戶信息的風險。企業(yè)內(nèi)部人員如營業(yè)人員、銷售人員、維護人員、客戶信息管理人員等；外部人員包括與電信企業(yè)合作的業(yè)務商、內(nèi)容提供商以及第三方維護人員等。

從系統(tǒng)風險上來講，由于電信企業(yè)IT系統(tǒng)業(yè)務網(wǎng)絡存在區(qū)域分散、數(shù)據(jù)分散、系統(tǒng)繁多、環(huán)境復雜等特點，建設了包括BSS、客服、CRM等多個業(yè)務支撐系統(tǒng)和OA辦公系統(tǒng)，各個系統(tǒng)上積累了大量的客戶信息和生產(chǎn)數(shù)據(jù)、運營信息等，每個系統(tǒng)的人員根據(jù)“使用”和“維護”又分為不同的角色，這些系統(tǒng)的終端覆蓋了內(nèi)網(wǎng)和外網(wǎng)、計算機和移動終端等多種形態(tài)的終端設備。由于這些特征的存在，電信企業(yè)客戶信息數(shù)據(jù)面臨著內(nèi)部和外部網(wǎng)絡的多重風險。

三、電信企業(yè)用戶信息安全保護的措施

保護電信客戶的信息安全，讓客戶享有安全、放心的通信服務是電信企業(yè)的責任和義務。筆者從通信行業(yè)服務角度來看，電信企業(yè)信息安全保障的關鍵需要從加強內(nèi)部管理、提升系統(tǒng)防范能力兩個方面得到提升。

（一）強化內(nèi)部管理，提升全員信息安全防范意識

首先作為電信企業(yè)要有大局意識，應自覺遵守國家的法律、法規(guī)，嚴格執(zhí)行《基礎電信企業(yè)信息安全責任管理辦法（試行）》。將保障用戶信息安全納入企業(yè)的保密體系，建立完善的用戶信息安全管理制度，規(guī)范從業(yè)務受理、客戶服務、運行維護、信息計費、外部合作等涉及客戶信息的各個關鍵環(huán)節(jié)的業(yè)務操作流程和規(guī)章制度，構建全面有效的用戶個人信息安全保護機制。比如要求營業(yè)和營銷人員不允許私自留存客戶信息；要求維護人員不允許私自下載和修改客戶信息；各系統(tǒng)賬號權限嚴格實施分級管理，不允許轉(zhuǎn)讓和越級使用；規(guī)范各類用戶信息的存儲介質(zhì)、存儲時限和銷毀方式，完善用戶資料銷毀管理制度和技術保障手段；針對外部商、合作單位要明確對用戶信息保密的業(yè)務和技術要求以及泄密后的相關處罰；定期開展用戶信息安全檢查，做到提前防范，最大限度保障用戶信息安全等。

另一方面企業(yè)要加強對企業(yè)員工的法制教育和思想政治教育，營造尊重和保護用戶信息安全的企業(yè)文化和經(jīng)營環(huán)境，提高全員的信息安全意識和法律意識。尤其是針對能夠接觸到用戶信息的員工、外包人員、商及合作單位的從業(yè)人員要與企業(yè)簽訂保密責任書，經(jīng)常性地組織開展案例教育、警示教育、相關法規(guī)和業(yè)務規(guī)范的考核等，提高從業(yè)人員的覺悟和防范意識。

（二）提高技術防控手段，提升系統(tǒng)防范能力

完善電信企業(yè)IT系統(tǒng)業(yè)務網(wǎng)絡的安全建設，構建用戶信息數(shù)據(jù)保密體系，精確定位用戶信息泄露風險，從外部和內(nèi)部防范兩方面提升系統(tǒng)的防范能力。

首先是做好外部防范，由于電信企業(yè)IT系統(tǒng)業(yè)務平臺繁雜，接入終端種類多，要保證各類終端和網(wǎng)絡安全地接入到業(yè)務系統(tǒng)中，就要不斷完善信息系統(tǒng)安全設備如防火墻、入侵檢測系統(tǒng)、病毒防護系統(tǒng)、認證系統(tǒng)等性能，對可訪問系統(tǒng)的計算機及移動終端等必須實施安全認證和安全策略防護，實現(xiàn)對用戶信息的“區(qū)域外保護”，嚴格防范黑客和外部不法人員竊取用戶信息。其次，由于大部分用戶信息泄露案件都是內(nèi)部人員制造，加強內(nèi)部網(wǎng)絡的風險防范更加重要。一方面要加強系統(tǒng)的認證安全能力和網(wǎng)絡賬號權限分級管控體系，加強對登陸人員的身份和權限核實，對于無論從業(yè)務平臺或后臺數(shù)據(jù)庫查閱和下載用戶的信息情況系統(tǒng)都要有完整的日志記錄；另一方面，如果用戶信息未經(jīng)加密安全處理，一旦下載存儲到計算機上系統(tǒng)將失去監(jiān)控權，有可能會造成信息恣意傳播而無法找到源頭，因此系統(tǒng)應自動實現(xiàn)數(shù)據(jù)落地加密及權限控制，同時對下載終端加強安全策略認證，提高下載用戶信息的安全度。