信息安全方針和策略精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全方針和策略主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全方針和策略范文

論文摘要:文章首先分析了信息安全外包存在的風險，根據風險提出信息安全外包的管理框架，并以此框架為基礎詳細探討了信息安全外包風險與管理的具體實施。文章以期時信息安全外包的風險進行控制，并獲得與外包商合作的最大收益。

1信息安全外包的風險

1.1信任風險

企業是否能與信息安全服務的外包商建立良好的工作和信任關系，仍是決定時候將安全服務外包的一個重要因素。因為信息安全的外包商可以訪問到企業的敏感信息，并全面了解其企業和系統的安全狀況，而這些重要的信息如果被有意或無意地對公眾散播出去，則會對企業造成巨大的損害。并且，如若企業無法信任外包商，不對外包商提供一些關鍵信息的話，則會造成外包商在運作過程中的信息不完全，從而導致某些環節的失效，這也會對服務質量造成影響。因此，信任是雙方合作的基礎，也是很大程度上風險規避的重點內容。

1.2依賴風險

企業很容易對某個信息安全服務的外包商產生依賴性，并受其商業變化、商業伙伴和其他企業的影響，恰當的風險緩釋方法是將安全服務外包給多個服務外包商，但相應地會加大支出并造成管理上的困難，企業將失去三種靈活性:第一種是短期靈活性，即企業重組資源的能力以及在經營環境發生變化時的應變能力;第二種是適應能力，即在短期到中期的事件范圍內所需的靈活性，這是一種以新的方式處理變革而再造業務流程和戰略的能力，再造能力即包括了信息技術;第三種靈活性就是進化性，其本質是中期到長期的靈活性，它產生于企業改造技術基本設施以利用新技術的時期。進化性的獲得需要對技術趨勢、商業趨勢的準確預測和確保雙方建立最佳聯盟的能力。

1.3所有權風險

不管外包商提供服務的范圍如何，企業都對基礎設施的安全操作和關鍵資產的保護持有所有權和責任。企業必須確定服務外包商有足夠的能力承擔職責，并且其服務級別協議條款支持這一職責的履行。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關人員意識到，應該將信息安全作為其首要責任，并進行安全培訓課程，增強常規企業的安全意識。

1.4共享環境風臉

信息安全服務的外包商使用的向多個企業提供服務的操作環境要比單獨的機構內部環境將包含更多的風險，因為共享的操作環境將支持在多企業之間共享數據傳輸(如公共網絡)或處理(如通用服務器)，這將會增加一個企業訪問另一企業敏感信息的可能性。這對企業而言也是一種風險。

1.5實施過程風險

啟動一個可管理的安全服務關系可能引起企業到服務外包商，或者一個服務外包商到另一個外包商之間的人員、過程、硬件、軟件或其他資產的復雜過渡，這一切都可能引起新的風險。企業應該要求外包商說明其高級實施計劃，并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風險的時間期限做出了限制。

1.6合作關系失敗將導致的風險

如果企業和服務商的合作關系失敗，企業將面臨極大的風險。合作關系失敗帶來的經濟損失、時間損失都是不言而喻的，而這種合作關系的失敗歸根究底來自于企業和服務外包商之間的服務計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關系在任何階段都有可能失敗，如同其他商業關系一樣，它需要給予足夠的重視、關注，同時還需要合作關系雙方進行頻繁的溝通。

2信息安全外包的管理框架

要進行成功的信息安全外包活動，就要建立起一個完善的管理框架，這對于企業實施和管理外包活動，協調與外包商的關系，最大可能降低外包風險，從而達到外包的目的是十分重要的。信息安全外包的管理框架的內容分為幾個主體部分，分別包括企業協同信息安全的外包商確定企業的信息安全的方針以及信息安全外包的安全標準，然后是對企業遭受的風險進行系統的評估.并根據方針和風險程度.決定風險管理的內容并確定信息安全外包的流程。之后，雙方共同制定適合企業的信息安全外包的控制方法，協調優化企業的信息安全相關部門的企業結構，同時加強管理與外包商的關系。

3信息安全外包風險管理的實施

3.1制定信息安全方針

信息安全方針在很多時候又稱為信息安全策略，信息安全方針指的是在一個企業內，指導如何對資產，包括敏感性信息進行管理、保護和分配的指導或者指示。信息安全的方針定義應該包括:(1)信息安全的定義，定義的內容包括信息安全的總體目標、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關闡述;(3)信息安全的原則和標準的簡要說明，以及遵守這些原則和標準對企業的重要性;(4)信息安全管理的總體性責任的定義。在信息安全方針的部分只需要對企業的各個部門的安全職能給出概括性的定義，而具體的信息安全保護的責任細節將留至服務標準的部分來闡明。

3.2選擇信息安全管理的標準

信息安全管理體系標準BS7799與信息安全管理標準IS013335是目前通用的信息安全管理的標準:

(1)BS7799:BS7799標準是由英國標準協會指定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，標準包括如下兩部分:BS7799-1;1999《信息安全管理實施細則》;BS7799-2:1999((信息安全管理體系規范》。

(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實施IT安全管理的建議和指南。該標準目前分為5個部分，分別是信息技術安全的概念和模型部分;信息技術安全的管理和計劃部分;信息技術安全的技術管理部分;防護和選擇部分以及外部連接的防護部分。

3.3確定信息安全外包的流程

企業要根據企業的商業特性、地理位置、資產和技術來對信息安全外包的范圍進行界定。界定的時候需要考慮如下兩個方面:(1)需要保護的信息系統、資產、技術;(2)實物場所(地理位置、部門等)。信息安全的外包商應該根據企業的信息安全方針和所要求的安全程度，識別所有需要管理和控制的風險的內容。企業需要協同信息安全的外包商選擇一個適合其安全要求的風險評估和風險管理方案，然后進行合乎規范的評估，識別目前面臨的風險。企業可以定期的選擇對服務外包商的站點和服務進行獨立評估，或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致后，外包商授予企業獨立評估方評估權限，并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關于檢查范圍的進一步消息和細節，以減少任何對可用性，服務程度，客戶滿意度等的影響。在評估執行后的一段特殊時間內，與外包商共享結果二互相討論并決定是否需要解決方案和/或開發計劃程序以應對由評估顯示的任何變化。評估所需要的相關材料和文檔在控制過程中都應該予以建立和保存，企業將這些文檔作為評估的重要工具，對外包商的服務績效進行考核。評估結束后，對事件解決方案和優先級的檢查都將記錄在相應的文件中，以便今后雙方在服務和信息安全管理上進行改進。

3.4制定信息安全外包服務的控制規則

依照信息安全外包服務的控制規則，主要分為三部分內容:第一部分定義了服務規則的框架，主要闡明信息安全服務要如何執行，執行的通用標準和量度，服務外包商以及各方的任務和職責;第二部分是信息安全服務的相關要求，這個部分具體分為高層服務需求;服務可用性;服務體系結構;服務硬件和服務軟件;服務度量;服務級別;報告要求，服務范圍等方面的內容;第三部分是安全要求，包括安全策略、程序和規章制度;連續計劃;可操作性和災難恢復;物理安全;數據控制;鑒定和認證;訪問控制;軟件完整性;安全資產配置;備份;監控和審計;事故管理等內容。

3.5信息安全外包的企業結構管理具體的優化方案如下:

(1)首席安全官:CSO是公司的高層安全執行者，他需要直接向高層執行者進行工作匯報，主要包括:首席執行官、首席運營官、首席財務官、主要管理部門的領導、首席法律顧問。CSO需要監督和協調各項安全措施在公司的執行情況，并確定安全工作的標準和主動性，包括信息技術、人力資源、通信、法律、設備管理等部門。

(2)安全小組:安全小組的人員組成包括信息安全外包商的專業人員以及客戶企業的內部IT人員和信息安全專員。這個小組的任務主要是依照信息安全服務的外包商與企業簽訂的服務控制規則來進行信息安全的技術。

(3)管理委員會:這是信息安全服務外包商和客戶雙方高層解決問題的機構。組成人員包括雙方的首席執行官，客戶企業的CIO和CSO，外包商的項目經理等相關的高層決策人員。這個委員會每年召開一次會議，負責審核年度的服務水平、企業的適應性、評估結果、關系變化等內容。

(4)咨詢委員會:咨詢委員會的會議主要解決計劃性問題。如服務水平的變更，新的技術手段的應用，服務優先等級的更換以及服務的財政問題等，咨詢委員會的成員包括企業內部的TI’人員和安全專員，還有財務部門、人力資源部門、業務部門的相關人員，以及外包商的具體項目的負責人。

(6)安全工作組:安全工作組的人員主要負責解決信息安全中某些特定的問題，工作組的人員組成也是來自服務外包商和企業雙方。工作組與服務交換中心密切聯系，將突出的問題組建成項目進行解決，并將無法解決的問題提交給咨詢委員會。

(7)服務交換中心:服務交換中心由雙方人員組成，其中主要人員是企業內部的各個業務部門中與信息安全相關的人員。他們負責聯絡各個業務部門，發掘出企業中潛在的信息安全的問題和漏洞，并將這些問題報告給安全工作組。

（8）指令問題管理小組:這個小組的人員組成全部為企業內部人員，包括信息安全專員以及各個業務部門的負責人。在安全小組的技術人員解決了企業中的安全性技術問題之后，或者，是當CSO了關于信息安全的企業改進方案之后，這些解決方案都將傳送給指令問題管理小組，這個小組的人員經過學習討論后，繼而將其到各個業務部門。

(9)監督委員會:這個委員會全部由企業內部人員組成。負責對外包商的服務過程的監督。

第2篇：信息安全方針和策略范文

關鍵詞 信息系統；安全；保障體系；技術；信息技術基礎設施

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2013）14-0137-02

油服信息技術應用與集中程度的不斷深入提高，信息安全保障體系建設工作已成為信息化建設過程中的重要組成部分。油服具有地域分布廣、業務復雜多樣等特點，在信息安全形勢多變的情況下，獨立分散的安全措施已無法更好地滿足安全防護需求。信息安全若不能得到很好的保障，將給公司的業務正常運作及辦公穩定性、高效性和有效性帶來影響。因此，需完善公司的信息安全政策方針、規劃并建立符合油服實際情況的信息安全保障體系，采用先進的安全管理過程模式，完善信息安全管理制度與規范，提高員工的信息安全意識，提升風險控制及保障水平，以支撐油服核心業務的健康發展。

1 信息安全保障體系

1.1 信息安全保障體系建設需求

油服在信息安全方面已部署了部分信息安全防護措施，如劃分安全域、部署邊界訪問控制設備、配備入侵防御系統、部署統一的防惡意代碼軟件等。與此同時，每年都開展信息系統安全測評工作，對公司的信息系統進行安全等級測評差距分析、安全問題整改咨詢核查以及滲透性測試等，從而能夠較為全面的掌握當前各信息系統和信息安全管理制度的建設、運維和使用情況，以提高信息系統的安全防護能力。但從總體來看，仍缺乏信息安全保障體系框架，總體安全方針和策略不夠明確，安全區域劃分不夠細致，網絡設備和重要服務器的安全策略缺乏統一標準，未部署安全運維管理中心，無法真正起到縱深安全防御的效用。

1.2 信息安全保障體系目標與定位

信息安全保障體系的建設要結合油服的信息安全需求、網絡應用現狀及未來發展趨勢，在風險評估的基礎上，明確與等級保護相適應的安全策略及具體的實施辦法。對全網進行合理的安全域劃分，技術與管理并重的同時，以應用與實效為主導，從網絡、應用系統、組織管理等方面，保障油服信息安全，形成集檢測、響應、恢復、防護為一體的安全保障體系。

2 油服信息安全保障體系架構模型

油服信息安全保障體系框架采用“結構化”的分析和控制方法，縱向把保護對象分成安全計算環境、安全區域邊界和安全通信網絡；橫向把控制體系分成安全管理、安全技術和安全運行的控制體系，同時通過“一個安全管理中心”的安全管理概念和模式，形成一個依托于安全保護對象為基礎，橫向建立安全管理體系、安全技術體系、安全運行體系和安全管理中心“三個體系、一個中心、三重防護”的信息安全保障體系

框架。

2.1 安全管理體系

根據等級保護基本要求的相關內容，信息安全管理體系重點落實安全管理制度、安全管理機構和人員安全管理的相關控制要求。

2.2 安全技術體系

根據等級保護基本要求的相關內容，通過安全技術在物理、網絡、主機、應用和數據各個層面的實施，建立與實際情況相結合的安全技術體系。

2.3 安全運行體系

根據等級保護基本要求的相關內容，信息安全運行體系重點落實系統建設管理和系統運維管理的相關控制要求，并與實際情況相結合，形成符合等級保護要求的信息安全運行體系

框架。

2.4 安全管理中心

根據等級保護基本要求和安全設計技術要求的相關內容，通過“自動、平臺化”的方式，對信息安全管理、技術、運行三個體系的相關控制內容，結合實際情況加以落實。

3 油服信息安全保障體系架構設計

3.1 安全管理體系架構設計

信息安全管理體系架構的設計可從以下3方面開展。

3.1.1 信息安全組織

油服信息安全組織為信息安全管理委員會，各業務部門為信息安全小組，部門經理為本小組的第一安全責任人。同時，定義了組織中各職能角色的職責，以此指導信息安全工作開展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及時反映公司的信息安全風險動態，便于靈活地修訂與更新；另一方面確保信息安全技術與管理人員及用戶能夠了解哪些是禁止做的，哪些是必須做的。

3.1.3 人員安全管理

在人員安全管理方面，可以通過對人員錄用、調用、離崗、考核、培訓教育和第三方人員安全幾個方面進行設計。

3.2 安全技術體系架構設計

信息安全技術體系架構設計可從以下3個方面開展。

3.2.1 信息安全服務架構

信息安全服務架構設計分為保護、檢測、響應與恢復四個環節，實現對信息可用性、完整性和機密性的保護，監測檢查系統存在的安全漏洞，對危害系統安全的事件行為做出響應

處理。

3.2.2 信息技術基礎設施安全架構

信息技術基礎設施安全架構以網絡安全架構為主體，結合系統軟硬件進行安全配置和部署。網絡安全架構的規劃根據網絡所承載的應用系統特性和所面臨的風險劃分不同的網絡安全域，并實施安全防護措施。

3.2.3 應用安全架構

應用系統的信息安全保障是在信息技術基礎設施安全架構上，更多地關注已有的信息安全服務是否被充分利用。為滿足業務系統對信息安全的需求，通過在業務系統中實現集成保障信息安全的機制，從而達到信息安全技術控制要求。

3.3 安全運行體系架構設計

油服信息安全運行體系架構設計主要從以下3個方面開展。

3.3.1 信息系統安全等級劃分

油服信息系統安全等級劃分從信息資產等級、網絡系統等級和應用系統等級三個方面進行定義。

3.3.2 信息安全技術控制

信息安全技術控制是由系統自身自動完成的安全控制。主要在信息系統的網絡層、系統層和應用層，包含身份鑒別、訪問控制、安全審計等五大類通用技術。

3.3.3 信息安全運作控制

信息安全運作控制是在油服業務運作和信息技術運作過程中進行實施的運作類安全控制，包括控制針對的主要風險點及具體分類。

4 結束語

在油服業務不斷拓展，國際化步伐不斷深入的過程中，信息系統在公司發展中的作用和地位日趨重要。公司對信息系統的依賴性也在不斷增長，信息安全也愈發重要。健全油服信息安全保障體系，為實現“制度標準化、工作制度化”的管理常態奠定了堅實的基礎。油服信息安全保障體系不僅從物理網絡安全、系統應用安全、數據和用戶安全等方面入手，還從安全域劃分、安全邊界防護、主動監控、訪問控制和應急響應等方面綜合考慮，進一步加強落實信息安全等級保護的基本要求，初步實現對網絡與應用系統細粒度、全方位的安全管控，從而更為有效地提升了油服在信息安全方面的管理水平。

參考文獻

[1]馬永.淺談企業信息安全保障體系建設[J].計算機安全，2007（7）：72-75.

[2]王朗.一個信息安全保障體系模型的研究和設計[J].北京師范大學學報（自然科學版），2004（2）：58-62.

[3]黃海鷹.信息安全保障體系建設研究[J].數字圖書館論壇，2009（9）：13-15.

第3篇：信息安全方針和策略范文

關鍵詞：信息安全；管理體系；PKI/CA；MPLS VPN；基線

在供電企業現代信息技術廣泛運用生產經營、綜合管理之中，實現資源和信息共享，為領導提供相關輔助決策。保障企業信息安全是企業領導層、專業人員及企業全員共同面對的。信息安全是集管理、人員、設備、技術為一體系統工程，木桶原理可以很好地詮釋信息安全，一個企業安全不取決于最強項，而取決最短板。信息安全需從制度建設、體系架構、一體化防控體系、人員意識、專業人員技術水平等多方面共同建設，才能有效提高企業信息安全，才能為企業生產、經營保駕護航。

1基層供電信息安全現狀

基層供電企業信息安全建設方面，在制度建設、安全分區、網絡架構、一體化防護、人員意識、專業人員技術水平等多方面存在不同程度問題。

1.1管理制度不健全，制度多重化

信息安全制度建設方面較為被動，大多數都是現實之中出現某一問題，然后一個相關制度，制度修修補補。同一類問題有時出現不同管理規定里，處理辦法不一，甚至發生沖突。原有信息安全管理制度寬泛，操作性較差。信息系統建設渠道不同，未提前進行信息安全方面考慮，管理職責不明，導致部分信息安全工作開始不順暢。

1.2安全區域劃分不明，網絡架構不清晰

基層供電企業系統建設主要由上級推廣系統和自建系統，系統建設時候相當部分系統未充分考慮系統，特別是業務部門自建系統更甚。網絡建設需要什么就連接什么，存在服務器、終端、外聯區域不明顯，網絡架構不清晰。

1.3未建立一體化安全防護體系

從近些年已經發生的各類信息安全事件來看，內部客戶端問題造成超過將近70%。內部終端用戶網絡行為控制不足，存在網絡帶寬濫用；終端接入沒有相應準入控制，不滿足網絡安全需求用戶接入辦公網絡，網絡環境安全構成極大風險；內部人員對核心服務器和網絡設備未建立統一內部控制機制；移動介質未實施注冊制管理等問題。

1.4未建立行之有效設備基線標準

網絡安全設備、操作系統、數據庫、中間件、應用系統等廠家為了某種方便需求，在設備和系統中常常保留有默認缺省安全配置項，這些恰恰是別人利用漏洞。基層供電企業在部署設備和系統時，沒有統一基線標準，沒有對設備和系統進行相應基線加固，企業存在潛在風險。

1.5信息安全意識較差，技術水平參差不齊

企業信息安全認識存在認識上誤區，常常認為我們有較強信息安全保護設備，外部不易攻破內部，事實上堡壘常常是從內部攻破的。比如企業員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業機密泄露等，這恰恰是基層供電企業全員信息安全意識較為薄弱表現。專業技術人員缺乏必要自我學習和知識主動更新，未取得專門信息安全專業人員資質，處理問題能力表現參差不齊。

2必要性

信息安全為國家安全重要組成部門，電力企業信息安全為國家信息安全的重要元素，電網安全事關國計民生。2014年2月，國家成立中央網絡安全和信息化領導小組，將網絡信息安全提升前所未有高度。近年發生的“棱鏡門”事件，前幾年發生伊朗核電站“震網”病毒（Stuxnet病毒）網絡攻擊，其中一個關鍵問題就是利用移動介質擺渡來進行攻擊，造成設備癱瘓，這一系列信息安全事件都事關國家安全，因此人人都要有信息安全意識。首先要防止企業機密數據（財務、人資、投資、客戶等）泄漏；其次，保持數據真實性和完整性，錯誤的或被篡改的不當信息可能會導致錯誤的決策或商業機會甚至信譽的喪失；最后，信息的可用性，防止由于人員、流程和技術服務的中斷而影響業務的正常運作，業務賴以生存的關鍵系統如失效，不能得到及時有效恢復，會造成重大損失。建立嚴格的訪問控制，前面數據分級時有制定數據的“所有者”及給敏感數據進行分級，按照分級的要求制定嚴格的訪問控制策略，基本的思想是最小特權原則和權限分離原則。最少特權是給定使用者最低的只需完成其工作任務的權限；權限分離原則是將不同的工作職能分開，只給相關職能有必要讓其知道的內容訪問權限。通過對內部網絡行為的監控可以規范內部的上網行為，提高工作效率，保護企業有限網絡資源應用于主要生產經營上來。

3特點探析

通過我們對基層供電企業在信息安全存在問題及必要性來看，主要是管理制度、網絡信息安全技術、人員意識等方面存在問題，有以下特點。

3.1管理制度方面

常說信息安全“三方技術、七分管理”，制度建設對信息安全保障至關重要。信息安全管理制度應該有上級主管部門建立一套統一管理制度，基層供電企業遵照執行，可以根據各單位具體情況進一步細化，讓管理制度落地。從企業總體信息安全方針到具體專業制度管理上，實現全網一體化，規范化。

3.2網絡信息安全技術方面

上級專業主管部門，站在企業高度，制定專業技術標準和技術細則。從網絡安全分區、網絡技術架構、互聯網接入和訪問方式、終端安全管理、網絡準入控制等方面統一規劃，分布實施，最終實現企業網絡信息安全防控一體化。

3.3信息安全意識培養方面

企業員工信息安全意識培養是個長期的過程，不是通過一次兩次培訓就能解決的，采取形式多樣化方式來培養員工安全意識，可以通過集中培訓講課、視頻宣傳、張貼宣傳畫等方式進行。針對專業人員，要讓他們養成按照制度辦事習慣，用戶需要申請某項資源，嚴格按照制度執行，填寫相應資源申請，有時候領導打招呼也要按照制度流程來執行。長此以往，人人都會知道自己該做什么，不該做什么，該怎么做，企業信息安全意識就會得到極大提高。

3.4專業技術人員水平方面

信息安全技術日新月異，不學習就落后，不斷收集信息安全方面信息，共同討論相關話題，建立相應培訓機制，專業人員實行持證上崗，提升專業人員實際解決問題能力，有效提高人員專業素養，成為企業信息安全方面專家。

4實施和開展

從2009年開始，先后進行一系列信息安全建設，涉及到信息安全制度建設、網絡信息安全體系架構、信息安全保障服務、人員培訓等方面，整體提高基層供電企業信息安全狀況。

4.1信息安全制度建設

2010年開始信息安全體系ISO27001、27002建設，結合企業情況，形成30個信息安全相關文件，涵蓋企業信息安全方針、等級保護、人員管理、機房管理、網絡信息系統運行維護管理、終端安全、病毒防護、介質管理、數據管理、日志管理、教育培訓等諸多方面。2013年為進一步提示公司信息化管理水平，先后增加修改建設管理、實用化管理、項目管理、信息安全管理、運維管理、綜合管理5個方面14個管理細則。經過這一系列制度建設，基層供電企業有章可循，全網信息安全依據統一，明確短板情況。

4.2建設一體化網絡與信息安全防控

首先依據電監會5號文件要求，網絡架構按照三層四區原則進行部署建設，生產實時控制大區（Ⅰ、Ⅱ區）與信息管理大區（Ⅲ、Ⅳ區）之間采用國家強制認證單向數據隔離裝置進行強制隔離，網絡架構采用核心、匯聚、接入部署。網絡接入按照功能劃分服務器區、網管區、核心交換區、用戶辦公區、外聯區、互聯網接入區，在綜合數據網上，利用MPLSVPN，根據劃分不同VPN業務、隔離相互間數據交叉。建立全網PKI/CA系統，構建企業員工在企業數字身份認證系統，已建成系統進行未采用PKI登陸系統，進行相應改造結合PKI/CA系統，采用PKI登陸，在建系統用戶登陸必須集成PKI登陸。根據企業信息安全要求，進行互聯網統一出口，部署統一互聯網防控設備，建立統一上網行為管理策略，規范員工上網行為，合理使用有限互聯網資源，審計員工上網日志，以備不時之需。建立企業統一病毒防護系統，實現病毒軟件統一安裝，病毒庫自動更新，防護策略統一下發，定期統計病毒分布情況，同時作為終端接入內網必備選項，對終端病毒態勢比較嚴重用戶進行督促整改，有效防止病毒在企業內部蔓延，進一步進化內網環境。建立統一網絡邊界安全防護，在企業內網邊界合理部署防火墻、IPS、UTM，并將其產生日志發送到統一安全管理平臺，進行日志管理分析，展現企業內部信息安全態勢，預警企業內部信息安全存在問題。利用AD域或PKI/CA進行用戶身份認證，建設統一桌面管理，所有內網用戶必須滿足最基本防病毒、安全助手、IT監控要求方可接入內網，系統啟用強制安全策略，終端采用采用DHCP，用戶不能自動修改IP地址，在DHCP服務器上實現IP與MAC地址及人員綁定，杜絕用戶私自更換IP地址引起沖突。安全認證方面可以采用NACC或交換機802.1x方式進行，不滿足要求用戶，自動重定向到指定網站進行安全合規性檢查，滿足要求后自動接入內網，強制所有用戶采用統一網絡安全準入規則。實行移動介質注冊制，極大提高終端安全性，有效保護企業信息資產。建立內部運維控制機制，實現4A統一安全管理，認證、賬號、授權、審計集中管控。規劃統一服務器、網絡設備資源池，按照用戶需求，提交相應申請材料，授權訪問特定設備和資源，并對用戶訪問行為全程記錄審計。

5結語

第4篇：信息安全方針和策略范文

關鍵詞：電力制造企業；計算機網絡；安全

一、安全風險分析

電力制造企業計算機網絡一般都會將生產控制系統和管理信息系統絕對分隔開來，以避免外來因素對生產系統造成損害，在生產控制系統中常見的風險一般為生產設備和控制系統的故障。管理網絡中常見的風險種類比較多，通常可以劃分為系統合法用戶造成的威脅、系統非法用戶造成的威脅、系統組建造成的威脅和物理環境的威脅。比如比較常見的風險有操作系統和數據庫存在漏洞、合法用戶的操作錯誤、行為抵賴、身份假冒（濫用授權）、電源中斷、通信中斷、軟硬件故障、計算機病毒（惡意代碼）等，上述風險所造成的后果一般為數據丟失或數據錯誤，使數據可用性大大降低。網絡中的線路中斷、病毒發作或工作站失效、假冒他人言論等風險，會使數據完整性和保密性大大降低。鑒于管理網絡中風險的種類多、受到攻擊的可能性較大，因此生產控制系統和管理系統之間盡量減少物理連接。當需要數據傳輸時必須利用專用的通信線路和單向傳輸方式，一般采用防火墻或專用隔離裝置。

二、安全需求分析

一般電力制造企業的安全系統規劃主要從安全產品、安全策略、安全的人三方面著手，其中安全策略足安全系統的核心，直接影響安全產品效能的發揮和人員的安全性（包括教育培訓和管理制度），定置好的安全策略將成為企業打造網絡安全最重要的環節，必須引起發電企業高度重視。安全產品主要為控制和抵御黑客和計算機病毒（包括惡意代碼）通過各種形式對網絡信息系統發起的惡意攻擊和破壞，是抵御外部集團式攻擊、確保各業務系統之間不產生消極影響的技術手段和工具，是確保業務和業務數據的完整性和準確性的基本保障，需要兼顧成本和實效。安全的人員是企業經營鏈中的細胞，既可以成為良性資產又可能成為主要的威脅，也可以使安全穩固又可能非法訪問和泄密，需要加強教育和制度約束。

三、安全思想和原則

電力制造企業信息安全的主要目標一般可以綜述為：注重“電力生產”的企業使命，一切為生產經營服務；服從“集約化管理”的企業戰略，樹立集團平臺理念；保證“信息化長效機制和體制”，保證企業生產控制系統不受干擾。保證系統安全事件（計算機病毒、篡改網頁、網絡攻擊等）不發生，保證敏感信息不外露，保障意外事件及時響應與及時恢復，數據不丟失。（1）先進的網絡安全技術是網絡安全的根本保證。影響網絡安全的方面有物理安全、網絡隔離技術、加密與認證、網絡安全漏洞掃描、網絡反病毒、網絡入侵檢測和最小化原則等多種因素，它們是設計信息安全方案所必須考慮的，是制定信息安全方案的策略和技術實現的基礎。要選擇相應的安全機制，集成先進的安全技術，形成全方位的安全系統。（2）嚴格的安全管理是確保安全策略落實的基礎。計算機網絡使用機構、企業、單位應建立相應的網絡管理辦法，加強內部管理，建立適合的網絡安全管理系統和管理制度，加強培訓和用戶管理，加強安全審計和跟蹤體系，提高人員對整體網絡安全意識。（3）嚴格的法律法規是網絡安全保障堅強的后盾。建立健全與網絡安全相關的法律法規，加強安全教育和宣傳，嚴肅網絡規章制度和紀律。對網絡犯罪嚴懲不貸。

四、安全策略與方法

1、物理安全策略和方法。

物理安全的目的是保護路由器、交換機、工作站、網絡服務器、打印機等硬件實體和通信鏈路的設計，包括建設符合標準的中心機房，提供冗余電力供應和防靜電、防火等設施，免受自然災害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機房安全管理制度，防止非法人員進入機房進行偷竊和破壞活動等，并妥善保管備份磁帶和文檔資料：要建立設備訪問控制，其作用是通過維護訪問到表以及可審查性，驗證用戶的身份和權限，防止和控制越權操作。

2、訪問控制策略和方法。

網絡安全的目的是將企業信息資源分層次和等級進行保護，主要是根據業務功能、信息保密級別、安全等級等要求的差異將網絡進行編址與分段隔離，由此可以將攻擊和入侵造成的威脅分別限制在較小的子網內，提高網絡的整體安全水平，目前路由器、虛擬局域網VL心、防火墻是當前主要的網絡分段的主要手段。而訪問管理控制是限制系統內資源的分等級和層次使用，是防止非法訪問的第一道防線。訪問控制主要手段是身份認證，以用戶名和密碼的驗證為主，必要時可將密碼技術和安全管理中心結合起來，實現多重防護體系，防止內容非法泄漏，保證應用環境安全、應用區域邊界安全和網絡通信安全。

3、開放的網絡服務策略和方法。

Internet安全策略是既利用廣泛、快捷的網絡信息資源，又保護自己不遭受外部攻擊。主要方法是注重接入技術，利用防火墻來構建堅固的大門，同時對Web服務和FTP服務采取積極審查的態度，更要強化內部網絡用戶的責任感和守約，必要時增加審計手段。

4、電子郵件安全策略和方法。

電子郵件策略主要是針對郵件的使用規則、郵件的管理以及保密環境中電子郵件的使用制定的。針對目前利用電子郵件犯罪的事件和垃圾郵件泛濫現象越來越多，迫使防范技術快速發展，電力制造企業可以在電子郵件安全方案加大投入或委托專業公司進行。

5、網絡反病毒策略和方法。

每個電力制造企業為了處理計算機病毒感染事件，都要消耗大量的時間和精力，而且還會造成一些無法挽回的損失，必須制定反計算機病毒的策略。目前反病毒技術已由掃描、檢查、殺毒發展到了到實時監控，并且針對特殊的應用服務還出現了相應的防毒系統，如網關型病毒防火墻以及郵件反病毒系統等。

目前，計算機網絡與信息安全已經被納入電力制造企業的安全生產管理體系中，并根據“誰主管、誰負責、聯合保護、協調處置”的原則，實行“安全第一、預防為主、管理與技術并重、綜合防范”的方針，在建立健全電力制造企業內部信息安全組織體系的同時，制定完善的信息安全管理措施，建立從上而下的信息安全培訓體系，根據科學的網絡安全策略，采用適合的安全產品，確保各項電力應用系統和控制系統能夠安全穩定的運行，為電力制造企業創造新業績鋪路架橋。

參考文獻

第5篇：信息安全方針和策略范文

自20世紀80年代以來，隨著信息技術迅速滲透到社會經濟的各個領域，尤其是Internet/Intranet技術和電子商務（Ecommerce）的廣泛應用，推動著人類社會從工業經濟時代向網絡經濟時代和信息化社會的方向前進。在這個動態演進的過程中，經濟發展越來越需要信息的支持，信息已成為經濟發展的戰略資源和社會管理的基本要素。

企業的信息化建設對于企業發展具有重要的戰略意義。對信息的采集、共享、利用和傳播成為決定企業競爭力的關鍵因素。只有實現信息化，企業才可能實現企業生產經營活動的運營自動化、管理網絡化、決策智能化，從而理順和提高企業的管理水平，提高設計效率，降低企業的庫存，節約占用資金，降低生產成本，改善職工的工作環境，縮短企業的服務時間和提高企業的客戶滿意度，并可及時地獲取客戶需求，實現按訂單生產。

但是，信息化也使企業同時承受著巨大的信息安全的風險。據統計，全球平均20秒就發生一次計算機病毒入侵；互聯網上的防火墻大約25%被攻破；竊取商業信息的事件平均以每月260%的速度增加；約70%的網絡主管報告了因機密信息泄露而受損失。我國公安機關2002年共受理各類信息網絡違法犯罪案件6633起，與上年相比增長45.9%，其中利用計算機實施的違法犯罪5301起，占案件總數的79.9%.而病毒的泛濫，更讓國內眾多企業蒙受了巨額經濟損失。加強信息安全建設，已成了目前國內外企業迫在眉睫的大事。

二、信息安全和信息安全管理

根據國際標準化組織（ISO）的定義，信息安全是“在技術上和管理上為數據處理系統建立的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和泄露”。信息安全是一個動態的復雜過程，它貫穿于信息資產和信息系統的整個生命周期。

信息安全的威脅來自于內部破壞、外部攻擊、內外勾結進行的破壞以及自然危害。必須按照風險管理的思想，對可能的威脅、脆弱性和需要保護的信息資源進行分析，依據風險評估的結果為信息系統選擇適當的安全措施，妥善應對可能發生的風險。信息安全的目標就是要保證敏感數據的機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）[1].為了達到這個目的，人們建立起信息安全管理體系（InformationSecurityManagementSystems）。它是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的系統，表示成方針、原則、目標、方法、過程、核查表（Checklists）等要素的集合。

在信息安全管理體系中，通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等建立起信息安全管理框架。在該體系中，人們在技術層面作了許多卓越而富有成效的工作來保障企業信息安全，如密碼學和訪問控制等。但僅僅依靠技術手段不可能徹底解決信息安全問題。這是因為，信息以及信息用戶的社會屬性決定了信息安全中存在非技術因素，而從屬于非技術因素的問題，無法依靠單純的技術手段加以解決[2].非技術手段主要包括法律手段、經濟手段和行政手段等，在市場經濟環境中，企業應首選法律和經濟手段來保護信息安全。

三、法務會計師在企業信息安全管理中的作用

信息及信息用戶的社會屬性使得法務會計師為企業提供專業服務成為必要，而法務會計師獨特的知識結構和專業經驗使得其在企業信息安全管理發揮其獨特作用提供了可能。根據信息安全風險的成因，法務會計師可以因地制宜地制定相關對策。當前威脅企業信息安全的主要成因是：

1.技術風險。主要包括信息電磁化風險和系統及軟件風險。在網絡環境下，企業的各種票證和帳單等以人眼無法直接辨別的電磁信息的形式在網上傳遞并存儲于磁性介質中，在傳遞及存儲過程中均有被攻擊者篡改或截獲的可能。

2.人員風險。由于企業中負責具體業務的人員并不一定熟悉計算機操作，因此在系統使用過程中極有可能出現由于人員操作不當而造成的意外損失。而由于系統管理涉及企業重要機密，操作人員是否會利用職權之便對信息進行破壞或剽竊也是企業管理者應該關注的重要問題。

3.法律風險。網絡的出現和廣泛應用對傳統社會產生了強烈的沖擊，舊有的法律法規體系已不能完全適應、指導和規范網絡安全的實踐。網絡本身的虛擬性、實時性、廣泛性要求更加切實可行，更加完備的標準準則和法律法規的出現。

現階段，面對信息安全的威脅，企業缺乏有力的系統性的對應措施和策略，基本處于“頭痛醫頭、腳痛醫腳”的狀態，解決方案手段單一，缺乏多種手段的共同治理。很多組織已經越來越意識到要真正達到信息安全的目標僅僅通過信息安全技術和產品是不可能實現的，結合法律、制度等社會性手段的信息安全管理體系（ISMS）的搭建才能實現信息系統的整體安全保障。因為，很多企業信息資產安全管理方面除了存在信息安全技術薄弱方面的原因外，還存在如下一些問題如，信息安全管理制度過于簡單，內容不全；交叉重復，混亂無章；求大求全，無針對性；鎖在柜中，無人問津；以及制度執行中的人為破壞等等。

建立包含技術和法律等手段的多層面的信息安全管理體系可以強化員工的信息安全意識，規范組織的信息安全行為，對組織的關鍵信息資產進行全面系統的保護，維持競爭優勢；在信息系統受到侵襲時，確保業務持續開展并將損失降到最低程度；使組織的商業伙伴和客戶對組織充滿信心，提高組織的知名度與信任度。因為信息安全事關企業信息資產和業務安全，需要通過法制渠道滿足企業在電子商務和管理環境中維護競爭優勢的需要，法務會計師可以充分利用其在法律和會計信息管理方面的優勢，為企業建立有效的信息資產保護計劃提供有價值的服務，并依法追究相關組織和人員的責任。

第6篇：信息安全方針和策略范文

信息技術的飛速發展沖擊著各行各業,給全球房地產業也帶來一場深刻的變革和發展的契機。在政府的牽頭和推動下,在房地產業各界積極參與和實踐下,中國房地產業已取得卓有成效的成果,呈現全面信息化的發展勢頭。具體表現在:

(1)房地產政務信息化成效顯著。

許多城市利用信息技術開發了房地產政務管理軟件,有效地改進了行政管理,提高了工作效率,完善了政府對房地產市場的監控和預測能力。

(2)房地產企業信息化取得長足進展。

房地產經營方式開始打上信息時代的烙印。一些房地產企業建立了企業內部網站,提高了信息傳輸速度,加快了企業決策速度,提高了辦事效率。此外,各種針對房地產企業的計算機軟件,如房屋銷售軟件、物業管理軟件、租賃軟件、房地產可行性分析軟件、房地產開發管理軟件等,也得到了廣泛的開發和應用。

(3)初步建立了房地產宏觀監測系統。

為適應我國房地產業發展的內在要求,針對市場信息零散、盲目投資行為大量存在等狀況,我國已建立包括中房預警系統、中房指數、國房景氣指數等在內的房地產宏觀監測系統。

(4)智能化小區和網絡小區建設步伐加快。

近年來,住宅的智能化功能被列為評價樓盤綜合性能的不可缺少的一個重要指標,智能化住宅已逐步進入普通人的生活。社區提供與外界進行數據交換的軟硬件設施和服務是家居功能向外拓展的必要條件。智能化的物業管理深入到各單位住宅,真正實現建筑智能化到社區管理的智能化。

(5)房地產網站發展迅速。

由于房地產業自身的行業特點,使其在網上具有更大的優勢,房地產業各界都以最快的速度建立或準備建立自己的網站,將網絡作為房地產信息的主要渠道。房地產網站建設提供了全天候、全方位市場服務的新模式,建立房地產在線咨詢服務系統,引入城市電子地圖,實現網上售樓,改變了傳統的購房方式。同國外相比,我國房地產信息化整體水平較低,地區差異較大,東西部發展不平衡,仍存在諸多制約因素,還有很長的路要走。但是,房地產業唯有實現信息化,唯有與網絡結合,才能煥發出新的活力。建立和完善房地產企業的網絡系統,實現總公司與下屬子公司之間的雙向溝通和信息共享。通過信息平臺的整合,為企業管理決策提供全方位、完整的信息數據,使企業的管理逐步走向信息化,建立企業網站,使其向房地產行業和管理信息服務方向轉化,加強與員工的溝通,將信息化手段應用于具體管理工作的流程中。以國家信息化工作的指導方針“統一規劃、聯合建設、推廣應用、發展產業、資源共享”為房地產企業信息化工作的指導思想,將房地產企業的管理全部數字化,充分利用先進的信息技術,使本企業集團形成一個管理對象數字化、管理專業網絡化、數據動態實時化、管理決策科學化的現代企業,走一條結合自身特點,依托信息技術發展房地產信息化產業的振興之路。

二、企業信息安全防范

隨著企業信息化的發展,辦公自動化、財務管理系統,企業相關業務系統等生產經營方面的重要系統投入在線運行,越來越多的重要數據和機密信息都通過企業內外部網絡來傳輸。這在提高生產效率和管理水平的同時,也帶來了不同以往的安全風險和問題。通過網絡傳輸的數據信息如被非法用戶截取,導致泄露企業機密;如被非法篡改,造成數據混亂,信息錯誤,造成工作失誤等。另一方面,病毒感染造成網絡通信阻塞,系統數據和文件系統破壞,系統無法提供服務甚至破壞后無法恢復,特別是系統中多年積累的重要數據丟失,對企業的生產管理以及經濟效益等造成不可估量的損失。因此,如何保護企業機密,保障企業信息安全,成為企業信息化發展中需要面臨和解決的問題,提上了企業的議事日程。企業信息安全管理即針對當前企業面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等復雜的應用環境制定相應的防御措施,保護企業信息和企業信息系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞,為企業信息和企業信息系統提供保密性、完整性、真實性、可用性、不可否認。企業信息安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。首先,企業必須根據實際情況全面做好安全風險評估。第二,采用信息安全新技術,建立信息安全防護體系。綜合各種計算機網絡信息系統安全技術,將安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網絡安全防護體系。企業根據自身信息系統建設和應用的步伐,建立完整的信息安全防護體系,統籌規劃,分步實施。第

第7篇：信息安全方針和策略范文

對于具有開發性、國際性和自由度的互聯網在增加應用自由度的同時，也存在著太多太復雜的安全隱患，信息安全令人擔擾。有人這樣說：“如果上網，你所受到的安全威脅將增大幾倍；而如果不上網，則你所得到的服務將減少幾倍”。因此，可信網絡已經成為當前研究的熱點話題。網絡應為科研服務，作為校園網在提高管理效率、促進教科研發展、方便校園生活的同時，網絡中的各種安全問題也層出不窮，提高IT安全建設和管理水平已成為高校信息化建設中不容忽視的重要工作內容。

2 校園網安全面臨的困難

現在大多數校園網以Windows作為系統平臺，因為其功能太多，太復雜了（Windows操作系統就有上千萬行程序），致使操作系統都不可能做到完全正確，所以其它系統的安全性能都是很難保證的。對于具有更復雜環境的校園網來說，不但面臨著系統安全及其威脅，而且還具有自已的特殊性。一方面，學生的好奇心強，一些學生社會責任感較輕，喜歡挑戰；另一方面，校園網的網絡條件普遍較好，計算機來源又較為復雜，隱蔽的IP地址使之更容易實施網絡攻擊。同時，教育信息化管理中長期形成的“重技術，輕管理”的思想，也使得校園網的安全形勢更加嚴峻。

隨著信息技術的不斷發展，病毒傳播的途徑越來越多樣化。對于校園網管理人員而言，還不得不面對大面積的ARP欺騙病毒，這對于用戶群龐大而導致可控性和有序性很差的校園網提出了巨大的挑戰，構建校園網絡應急響應機制迫在眉睫。

3 校園網應急響應機制的建立

2007年6-7月間，由教育部科技發展中心主辦、中國教育網絡雜志承辦的“2007教育行業信息安全大會”在北京等地召開。會議對“高校建立應急響應機制”進行了專題問卷調查，調查結果顯示，66%的高校未建立安全應急響應機制，33%的高校計劃在年內建立學校的安全應急響應機制。由此可見還有大部分高校在網絡安全管理方面還需加大力度，僅憑單純的安全產品和簡單的防御技術是無法抵擋攻擊的，必須依靠應急響應等一套完整的服務管理機制，建立其相應的流程，通過加強學習努力提高隊伍的技術水平及響應能力，從技術和管理兩個維度保證網絡安全。

校園網應急響應是指在校園網內行使CERT/CC（計算機緊急響應小組及其協調中心）的職能，對校園網內的各網絡應用部門和用戶提供網絡安全事件的快速響應或技術支持服務，也對校園網內的各接入單位及用戶提供安全事件響應相關的咨詢服務。校園網應急響應組的主要職能是：對計算機網絡系統的安全事件一是進行緊急反應，盡快恢復系統或網絡的正常運轉。二是要使系統和網絡設施所遭受的破壞最小化。三是對影響系統和網絡安全的漏洞及防治措施進行通報，對安全風險進行評估等。

比較完善的網絡安全機制，應包括網絡安全服務、網絡安全管理和用戶安全意識三方面。因此，校園網應急響應組依據其職責不同分為以下三個安全工作小組。

（1）事件處理工作小組及職能：主要負責安全事件的應急與救援、事件的分析、安全警報的等。主要職能是服務，制定和實施校園網安全策略及網絡安全突發事件應急響應預案；監測網絡運行日常狀態，及時安全公告、安全建議和安全警報，當發生了安全事件時及時向CERT熱線響應；解答用戶的安全方面的咨詢；定期對網內用戶進行風險評估等。

（2）技術研發工作小組及職能：主要通過研發，尋求安全漏洞的解決方案，應急處理的信息與技術支持平臺。主要職能是安全研究，研究內容是校園網常用網絡攻擊技術及防范。

（3）教育培訓工作小組及職能：建立應急處理服務隊伍，通過各種形式的培訓提高全校師生的網絡安全意識，加強師生行為安全。主要職能是宣傳教育，對校園網用戶進行安全知識的教育與網絡安全技術培訓，使其提高自我保護意識，自覺關注網絡上最新的病毒和黑客攻擊，自主解決網絡安全問題。

應急響應是全方位的工作，再好的經驗也是具有不可復制性，無論建立何種模式的機制，最重要的是要與高校網絡自身特點相結合，建立有自身特色的應急響應機制并在實踐過程中不斷改進和完善。一個良好的響應機制要技術力量到位、部門責任明確、合作流程清晰，并遵循可行性、高效率、高效益和低風險的原則。因此我們應通過加強主動性，使安全故障的應急響應能力從報警向預警的道路上邁出堅實的步伐，為從容不迫應對網絡突發安全事件打下基礎。

第8篇：信息安全方針和策略范文

關鍵詞:網絡安全;安全漏洞;防火墻

中圖分類號:TN915.08文獻標識碼:A文章編號:1007-9599 (2010) 06-0000-01

Guarantee of Network Information Security

Li Chunyu,Li Gang

(Anyang Institute of Technology,Computer Engineering Department,Anyang455000,Chian)

Abstract:With the advent of information age,network and information security issues has also been impressively put forward to the world.This paper analyzes the network information security problems according to the actual need to introduce some specific preventive measures to improve the security of computer network information.

Keywords:Network security;Security vulnerabilities;Firewall

一、概述

隨著信息化時代的到來,“騰訊QQ”、“淘寶”已走進千家萬戶,帶來了經濟的繁榮和發展,豐富和活躍了人們的精神文化生活,大大推進了社會文明建設的進程,但同時隨著人們信息化期望程度的加深,網絡與信息安全問題也已赫然擺在世人面前,網絡信息的安全問題,不論社會還是網絡技術方面,已是當務之急。

二、討論:網絡信息方面存在的安全問題

(一)病毒、木馬威脅加劇

據國內信息安全廠商瑞星公司2008年11月份報告統計顯示,2008年的前10個月,互聯網上共出現新病毒9306985個,是2007年同期的12.16倍,木馬病毒和后門程序之和超過776萬,占總體病毒的83.4%,病毒數量呈現出了井噴式爆發。病毒木馬的機械化生產加速了新變種的產生,大量出現的系統及第三方應用程序漏洞為病毒木馬傳播提供了更廣泛的途徑。

(二)安全漏洞

2008年安全漏洞被曝光的頻率及數量比以往都要多。存在的主要十大安全漏洞分別是:瀏覽器漏洞、Adobe Flash漏洞、ActiveX漏洞、SQL注入式攻擊、Adobe Acrobat閱讀器漏洞、CMS漏洞、Apple QuickTime漏洞、Web2.0元素(如Facebook應用、網絡廣告等)、Realplayer漏洞和DNS緩存漏洞等。

(三)黑客行為,數據泄露

根據國家計算機病毒應急處理中心的分析報告,2007年全國計算機病毒感染率已經高達91.5%,其中相當部分已經被黑客控制。黑客行為其核心特點是利用網絡用戶的失誤或系統的脆弱性因素,針對特定目標進行拒絕服務攻擊或侵占。

(四)垃圾郵件的泛濫

其核心特點是以廣播的方式鯨吞網絡資源,影響網絡用戶的正常活動。附帶調查性垃圾郵件,以獲取終端用戶的個人信息為目的。一旦用戶鏈接到目的網址,會被要求填寫一張個人信息表。這些信息可能被出售給營銷公司,也可能用于將來發送垃圾郵件。

(五)有害信息的惡意傳播

其核心特點是以廣泛傳播有害言論的方式,來控制、影響社會的輿論。

三、結論:網絡信息安全的防護措施

(一)以人為本,確保安全制度的建立和落實

根據實際情況和所采用的技術條件,制定出切實可行又比較全面的各類安全管理制度。

要強化工作人員的安全教育和法制教育,真正認識到計算機網絡系統安全的重要性和解決這一問題的長期性、艱巨性及復雜性。

(二)利用訪問與控制策略,確保網絡信息安全

訪問控制策略是網絡安全防范和保護的主要策略,其任務是保證網絡資源不被非法使用和非法訪問。各種網絡安全策略必須相互配合才能真正起到保護用,而訪問控制是保證網絡安全最重要的核心策略之一。訪問控制策略包括入網訪問控制策略、操作權限控制策略、目錄安全控制策略、屬性安全控制策略、網絡服務器安全控制策略、網絡監測、鎖定控制策略和防火墻控制策略等7個方面的內容。

(三)利用防火墻控制網絡信息安全

防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻總體上分為包過濾、應用級網關和服務器等幾大類型。

數據包過濾和應用網關防火墻僅僅依靠特定的邏輯判定是否允許數據包通過。一旦滿足邏輯,則防火墻內外的計算機系統建立直接聯系, 防火墻外部的用戶便有可能直接了解防火墻內部的網絡結構和運行狀態,這有利于實施非法訪問和攻擊。

服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人將它歸于應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火墻技術, 其特點是將所有跨越防火墻的網絡通信鏈路分為兩段。服務也對過往的數據包進行分析、注冊登記, 形成報告,同時當發現被攻擊跡象時會向網絡管理員發出警報,并保留攻擊痕跡。

(四)利用數據加密技術控制網絡信息安全

數據傳輸加密技術目的是對傳輸中的數據流加密,常用的方針有線路加密和端到端加密兩種。前者側重在線路上而不考慮信源與信宿,是對保密信息通過各線路采用不同的加密密鑰提供安全保護的。后者則指信息由發送者端自動加密,并進入TCP/IP數據包回封,然后作為不可閱讀和不可識別的數據穿過互聯網,當這些信息一旦到達目的地,將被自動重組、解密,成為可讀數據。數據存儲加密技術目的是防止在存儲環節的數據失密。

數據傳輸加密技術是為增強普通關系數據庫管理系統的安全性,提供一個安全適用的數據庫加密平臺,對數據庫存儲的內容實施有效保護。它通過數據庫存儲加密等安全方法實現了數據庫數據存儲保密和完整性要求,使得數據庫以密文方式存儲并在密態方式下工作,確保了數據安全。

隨著計算機技術和通信技術的發展,計算機網絡將日益成為重要信息交換手段,滲透到社會生活的各個領域,只有采取強有力的安全策略,才能保障網絡信息的安全性

參考文獻:

[1]汪海慧.淺議網絡安全問題及防范對策[J].信息技術,2007

[2]趙丹麗,管建和.網絡通信與安全探討[J].軟件導刊,2008

第9篇：信息安全方針和策略范文

[論文關鍵詞】電力信息安全策略

[論文摘要]通過對電力系統計算機網絡存在的網絡安全問廈的分析，提出相應的安全對策，并介紹應用于電力系統計算機網絡的網絡安全技術。

在全球信息化的推動下，計算機信息網絡作用不斷擴大的同時，信息網絡的安全也變得日益重要，一旦遭受破壞，其影響或損失也十分巨大，電力系統信息安全是電力系統安全運行和對社會可靠供電的保障，是一項涉及電網調度自動化、繼電保護及安全裝置、廠站自動化、配電網自動化、電力負荷控制、電力營銷、信息網絡系統等有關生產、經營和管理方面的多領域、復雜的大型系統工程。應結合電力工業特點，深入分析電力系統信息安全存在的問題，探討建立電力系統信息安全體系，保證電網安全穩定運行，提高電力企業社會效益和經濟效益，更好地為國民經濟高速發展和滿足人民生活需要服務。

研究電力系統信息安全問題、制定電力系統信息遭受內部外部攻擊時的防范與系統恢復措施等信息安全戰略是當前信息化工作的重要內容。

一、電力系統的信息安全體系

信息安全指的是為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實性、可靠性、責任性等幾個方面。

信息安全涉及的因素有，物理安全、信息安全、網絡安全、文化安全。

作為全方位的、整體的信息安全體系是分層次的，不同層次反映了不同的安全問題。

信息安全應該實行分層保護措施，有以下五個方面，

①物理層面安全，環境安全、設備安全、介質安全，②網絡層面安全，網絡運行安全，網絡傳輸安全，網絡邊界安全，③系統層面安全，操作系統安全，數據庫管理系統安全，④應用層面安全，辦公系統安全，業務系統安全，服務系統安全，⑤管理層面安全，安全管理制度，部門與人員的組織規則。

二、電力系統的信息安全策略

電力系統的信息安全具有訪問方式多樣，用戶群龐大、網絡行為突發性較高等特點。信息安全問題需從網絡規劃設計階段就仔細考慮，并在實際運行中嚴格管理。為了保障信息安全，采取的策略如下：

(一)設備安全策略

這是在企業網規劃設計階段就應充分考慮安全問題。將一些重要的設備，如各種服務器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空，并有明顯標記，防止意外損壞。對于終端設備，如工作站、小型交挾機、集線器和其它轉接設備要落實到人，進行嚴格管理。

(一)安全技術策略

為了達到保障信息安全的目的，要采取各種安全技術，其不可缺少的技術層措施如下：

1．防火墻技術。防火墻是用于將信任網絡與非信任網絡隔離的一種技術，它通過單一集中的安全檢查點，強制實糟相應的安全策略進行檢查，防止對重要信息資源進行非法存取和訪問。電力系統的生產、計量、營銷、調度管理等系統之間，信息的共享、整合與調用，都需要在不同網段之間對這些訪問行為進行過濾和控制，阻斷攻擊破壞行為，分權限合理享用信息資源。

2．病毒防護技術。為免受病毒造成的損失，要采用的多層防病毒體系。即在每臺Pc機上安裝防病毒軟件客戶端，在服務器上安裝基于服務器的防病毒軟件，在網關上安裝基于網關的防病毒軟件。必須在信息系統的各個環節采用全網全面的防病毒策略，在計算機病毒預防、檢測和病毒庫的升級分發等環節統一管理，建立較完善的管理制度，才能有效的防止和控制病毒的侵害。

3．虛擬局域網技術(VLAN技術)。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域，每一個VLAN都包含1組有著相同需求的計算機工作站，與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分，所以同一個LAN內的各工作站無須放置在同一物理空間里，既這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，有助于控制流量、控制廣播風暴、減少設備投資、簡化網絡管理、提高網絡的安全性。

4．數據與系統備份技術。電力企業的數據庫必須定期進行備份，按其重要程度確定數據備份等級。配置數據備份策略，建立企業數據備份中心，采用先進災難恢復技術，對關鍵業務的數據與應用系統進行備份，制定詳盡的應用數據備份和數據庫故障恢復預案，并進行定期預演。確保在數據損壞或系統崩潰的情況下能快速恢復數據與系統，從而保證信息系統的可用性和可靠性。

5．安全審計技術。隨著系統規模的擴展與安全設施的完善，應該引入集中智能的安全審計系統，通過技術手段，實現自動對網絡設備日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行統一安全審計，及時自動分析系統安全事件，實現系統安全運行管理。

6．建立信息安全身份認證體系。CA是CertificateAuthority的縮寫，即證書授權。在電子商務系統中，所有實體的證書都是由證書授權中心(CA中心)分發并簽名的。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場交易系統就其實質來說，是一個典型的電子商務系統，它必須保證交易數據安全。在電力市場技術支持系統中，作為市場成員交易各方的身份確認、物流控制、財務結算、實時數據交換系統中，均需要權威、安全的身份認證系統。在電力系統中，電子商務逐步擴展到電力營銷系統、電力物質采購系統、電力燃料供應系統等許多方面。因此，建立全國和網、省公司的cA機構，對企業員工上網用戶統一身份認證和數字簽名等安全認證，對系統中關鍵業務進行安全審計，并開展與銀行之間、上下級CA機構之間、其他需要CA機構之間的交叉認證的技術研究及試點工作。

(三)組織管理策略

信息安全是技術措施和組織管理措施的統一，“三分技術、七分管理”。據統計，在所有的計算機安全事件中，屬于管理方面的原因比重高達70%以上。沒有管理，就沒有安全。再好的第三方安全技術和產品，如果沒有科學的組織管理配合，都會形同虛設。

1．安全意識與安全技能。通過普及安全知識的培訓，可以提高電力企業職員安全知識和安全意識，使他們具備一些基本的安全防護意識和發現解決某些常見安全問題的能力。通過專業安全培訓提高操作維護者的安全操作技能，然后再配合第三方安全技術和產品，將使信息安全保障工作得到提升。

2．安全策略與制度。電力企業應該從企業發展角度對整體的信息安全工作提供方針性指導，制定一套指導性的、統一的安全策略和制度。沒有標準，無法衡量信息的安全，沒有法規，無從遵循信息安全的制度，沒有策略，無法形成安全防護體系。安全策略和制度管理是法律管理的形式化、具體化，是法規與管理的接口和信息安全得以實現的重要保證。

3．安全組織與崗位。電力企業的組織體系應實行“統一組織、分散管理”的方式，建立一個有效、獨立的信息安全部門作為企業的信息安全管理機構，全面負責企業范圍內的信息安全管理和維護工作。安全崗位是信息系統安全管理機構，根據系統安全需要設定的負責某一個或某幾個安全事務的職位，崗位在系統內部可以是具有垂直領導關系的若干層次的一個序列。這樣在全企業范圍內形成信息安全管理的專一工作，使各級信息技術部門也因此會很好配合信息安全推行工作。