序論：好文章的創(chuàng)作是一個(gè)不斷探索和完善的過(guò)程，我們?yōu)槟扑]十篇安全保障管理策略范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來(lái)更深刻的閱讀感受。

篇（1）

[關(guān)鍵詞]：信息系統(tǒng)安全管理

隨著信息技術(shù)以其驚人的發(fā)展速度向社會(huì)各個(gè)領(lǐng)域滲透，高效、便利與快捷的優(yōu)勢(shì)已不言而喻，管理實(shí)現(xiàn)代化、網(wǎng)絡(luò)化、信息化已迫在眉睫，勢(shì)在必行。然而，信息技術(shù)是一把“雙刃劍”，在計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)為檔案管理提供便利的同時(shí)，其自身的脆弱性、技術(shù)的壟斷性以及人為破壞等因素，又威脅到信息的安全，因而在信息化管理過(guò)程中，針對(duì)信息安全存在的威脅，有著高度警惕的思想和有效防范的措施。

一、信息安全的含義

信息社會(huì)的安全問(wèn)題不僅涉及到個(gè)人權(quán)益、企業(yè)生存、金融風(fēng)險(xiǎn)防范、社會(huì)穩(wěn)定和國(guó)家安全，甚至關(guān)系到環(huán)境安全、生態(tài)安全和人類安全。它是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全與公共、國(guó)家信息安全的總和，是一個(gè)多層次、多因素、多目標(biāo)的復(fù)合系統(tǒng)。現(xiàn)代信息安全主要包括兩個(gè)方面的含義，即運(yùn)行系統(tǒng)的安全和系統(tǒng)信息的安全。

1、運(yùn)行系統(tǒng)的安全

運(yùn)行系統(tǒng)的安全，包括嚴(yán)格而科學(xué)的管理，如對(duì)信息網(wǎng)絡(luò)系統(tǒng)的組織管理、監(jiān)督檢查，規(guī)章制度的建立、落實(shí)與完善，管理人員的責(zé)任心、預(yù)見(jiàn)性、警惕性、使命感等;法律、政策的保護(hù)，如用戶是否有合法權(quán)利，政策是否允許等;物理控制安全，如機(jī)房加鎖、線路安全、環(huán)境適宜等:硬件運(yùn)行安全;操作系統(tǒng)安全，如數(shù)據(jù)文件是否保護(hù)等;災(zāi)害、的避免和解除;防止電磁信息泄漏等。

2、系統(tǒng)信息的安全，包括:用戶口令鑒別;用戶存取權(quán)限控制;數(shù)據(jù)存取權(quán)限、方式控制、審計(jì)跟蹤、數(shù)據(jù)加密等。從要素來(lái)看，信息安全是過(guò)程、政策、標(biāo)準(zhǔn)、管理、指導(dǎo)、監(jiān)控、法規(guī)、培訓(xùn)和工具技術(shù)的有機(jī)總和。信息安全問(wèn)題主要依靠密碼、數(shù)字簽名、身份認(rèn)證、防火墻、安全審計(jì)、災(zāi)難恢復(fù)、防病毒、防黑客入侵等安全機(jī)制加以解決。

二、企業(yè)管理中信息安全的需求

企業(yè)現(xiàn)代化的運(yùn)作和管理是依賴于企業(yè)的網(wǎng)絡(luò)和國(guó)際互聯(lián)網(wǎng)。信息化給企業(yè)管理帶來(lái)的是高效的運(yùn)作和對(duì)外信息的交換等的極大好處。信息系統(tǒng)的應(yīng)用都依賴與網(wǎng)絡(luò)，這就會(huì)有許多安全間題需要解決，歸納起來(lái)主要有以下一些安全問(wèn)題需要解決。

1、對(duì)人的安全需求

管理的對(duì)象是人，人是信息安全面臨的最大風(fēng)險(xiǎn)，人的思想和情緒是最為復(fù)雜的，員工有的可能利用公司的網(wǎng)絡(luò)開(kāi)些小玩笑，甚至破壞。如傳出至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)等等。這些都將給企業(yè)的正常運(yùn)作和管理造成極大的安全風(fēng)險(xiǎn)。

對(duì)于不滿公司的內(nèi)部管理人員如果把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及企業(yè)信息系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)，甚至是商業(yè)和法律的風(fēng)險(xiǎn)。

還有如果存在不適當(dāng)?shù)男畔⑾到y(tǒng)授權(quán)，會(huì)導(dǎo)致未經(jīng)授權(quán)的人獲取不適當(dāng)?shù)男畔ⅰ２僮魇д`或疏忽會(huì)導(dǎo)致信息系統(tǒng)的錯(cuò)誤動(dòng)作或產(chǎn)生垃圾信息;惡意篡改數(shù)據(jù)、修改系統(tǒng)時(shí)間、修改系統(tǒng)配置、惡意導(dǎo)入或刪除信息系統(tǒng)的數(shù)據(jù)，可能導(dǎo)致重大經(jīng)濟(jì)案件的發(fā)生。有令不行、有禁不止等人為因素形成的風(fēng)險(xiǎn)，是信息化管理中最主要的安全問(wèn)題。

2、對(duì)應(yīng)用系統(tǒng)的安全需求

應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的，應(yīng)用的安全性也動(dòng)態(tài)。這就需要我們對(duì)不同的應(yīng)用，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。

如果在企業(yè)的管理系統(tǒng)中沒(méi)有考慮必要的安全模塊的設(shè)計(jì)，或安全設(shè)計(jì)存在缺陷，都會(huì)導(dǎo)致管理系統(tǒng)安全免疫能力不足。沒(méi)有完善、嚴(yán)格的安全系統(tǒng)管理機(jī)制，會(huì)導(dǎo)致機(jī)房管理、口令管理、授權(quán)管理、用戶管理、服務(wù)器管理、網(wǎng)絡(luò)管理、備份管理、病毒管理等方面出現(xiàn)問(wèn)題，輕則產(chǎn)生垃圾信息，重則發(fā)生系統(tǒng)中斷、信息被非法獲取。

當(dāng)前企業(yè)的管理系統(tǒng)己是一個(gè)龐大的網(wǎng)絡(luò)化系統(tǒng)，在網(wǎng)絡(luò)內(nèi)存在眾多的中小型機(jī)、服務(wù)器、前置機(jī)、路由器、終端設(shè)備，也包括數(shù)據(jù)庫(kù)、操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)等軟件系統(tǒng)。網(wǎng)絡(luò)中的任何一個(gè)環(huán)節(jié)均可能出現(xiàn)故障，一旦出現(xiàn)故障便有可能造成系統(tǒng)中斷，將會(huì)影響到整個(gè)企業(yè)的管理和運(yùn)作。

3、對(duì)數(shù)據(jù)的安全需求

對(duì)于企業(yè)的管理和運(yùn)作，最為寶貴的財(cái)富就是數(shù)據(jù)。要保證系統(tǒng)穩(wěn)定可靠地運(yùn)行，就要保護(hù)基于計(jì)算機(jī)的信息，也就是存儲(chǔ)在計(jì)算機(jī)內(nèi)的數(shù)據(jù)。雖然，計(jì)算機(jī)技術(shù)的發(fā)展給人們的日常生活提供了很多便利，然而，人為的操作錯(cuò)誤，系統(tǒng)軟件或應(yīng)用軟件的缺陷、硬件的損毀、電腦病毒、黑客攻擊、自然災(zāi)難等等諸多因素都有可能造成計(jì)算機(jī)中數(shù)據(jù)的丟失，從而給企業(yè)造成無(wú)可估量的損失。此時(shí)，最關(guān)鍵的問(wèn)題在于如何盡快恢復(fù)計(jì)算機(jī)系統(tǒng)，使其能正常運(yùn)行。

三、制定信息安全策略

信息安全不是網(wǎng)絡(luò)安全，如果將注意力過(guò)多地集中在網(wǎng)絡(luò)層，往往會(huì)掩蓋信息安全更加本質(zhì)的內(nèi)涵，信息安全不只是網(wǎng)絡(luò)保護(hù)問(wèn)題，而應(yīng)該是能夠幫助企業(yè)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的一整套技術(shù)手段和措施。信息安全是通過(guò)制定實(shí)施一整套適當(dāng)?shù)陌踩呗詫?shí)現(xiàn)的。必須建立起一整套的安全策略，確保滿足企業(yè)管理的安全目標(biāo)。

要制定一組最優(yōu)的信息安全策略主要的要素包括如下幾個(gè)方面：

1.要保護(hù)的對(duì)象

Ø硬件和軟件

硬件和軟件是支持企業(yè)運(yùn)作和管理進(jìn)行的平臺(tái)，它們應(yīng)該有策略保護(hù)。所以，擁有一份完整的系統(tǒng)軟件硬件清單是非常重要的，這當(dāng)中應(yīng)該包括一張網(wǎng)絡(luò)圖。有很多方法來(lái)生成這份清單和網(wǎng)絡(luò)圖，無(wú)論用什么方法，必須確定所有東西都被記錄了。

Ø非信息類資源

清單和策略一樣，不僅僅和軟硬有關(guān)。既應(yīng)該有文檔來(lái)記錄程序、硬件、系統(tǒng)和本地管理過(guò)程，也應(yīng)該有文檔描述技術(shù)業(yè)務(wù)過(guò)程的方方面面。后者可以包括公司業(yè)務(wù)如何運(yùn)作等信息，也可以展示易受攻擊的區(qū)域。

同樣的，清單應(yīng)該包括所有的正式打印表格，印有公司名字頁(yè)眉的信紙以及其它帶有官方名稱的材料。一個(gè)使用公司空白支票和正式信紙的人可以假冒公司的官員，進(jìn)而盜用資金甚至損壞公司名譽(yù)。所以，必須把這些物品包括在清單里面，以使策略能夠保護(hù)這些資產(chǎn)。

Ø記錄人力資源

最重要和最昂貴的資源是人力資源，這些人操作和維護(hù)那些清單上記錄的物品。

2.判斷系統(tǒng)保護(hù)應(yīng)該針對(duì)哪些人

定義訪問(wèn)是了解每個(gè)系統(tǒng)和網(wǎng)絡(luò)組件如何被訪問(wèn)的過(guò)程。明白了信息資源是如何被訪問(wèn)的，就能夠確定策略應(yīng)該集中在誰(shuí)身上。對(duì)于數(shù)據(jù)訪問(wèn)來(lái)說(shuō)，有以下幾個(gè)需要考慮到的方面:

a)對(duì)信息或資源的授權(quán)和未授權(quán)訪問(wèn):

b)無(wú)意或者未授權(quán)的信息泄密;

c)執(zhí)行程序概要:

d)漏洞和用戶錯(cuò)誤。

3、數(shù)據(jù)安全的考慮

我們使用計(jì)算機(jī)和網(wǎng)絡(luò)所作的每一件事情都造成了數(shù)據(jù)的流動(dòng)和使用。所有的公司、組織和政府機(jī)構(gòu)，不論它們從事什么工作，都在收集和使用數(shù)據(jù)。即使是制造商的操作也離不開(kāi)關(guān)鍵數(shù)據(jù)的處理，包括定價(jià)、車(chē)間自動(dòng)化和存貨清單控制。由于數(shù)據(jù)的重要性，所以定義策略的時(shí)候，了解數(shù)據(jù)的使用和結(jié)構(gòu)是編寫(xiě)安全策略的基本要求。

4、備份、文檔存儲(chǔ)和數(shù)據(jù)處理

把數(shù)據(jù)備份到外部站點(diǎn)或者其它介質(zhì)上，有關(guān)這方面的策略和在線訪問(wèn)信息策略是同樣重要的。備份數(shù)據(jù)可以包括財(cái)政信息、客戶往來(lái)記錄甚至當(dāng)前業(yè)務(wù)過(guò)程的拷貝。備份策略需要考慮的情況的包括:數(shù)據(jù)如何存檔，在準(zhǔn)備丟棄數(shù)據(jù)的時(shí)候應(yīng)該作些什么。

上述組成要素最基本的。隨著信息環(huán)境的變化、網(wǎng)絡(luò)技術(shù)的更新、組織業(yè)務(wù)的變更，我們可以增加新的要素?？傊M織制定出的信息安全策略要達(dá)到控制安全保護(hù)措施的實(shí)施的目的。

四、結(jié)語(yǔ)

信息的安全問(wèn)題是一個(gè)動(dòng)態(tài)和相對(duì)的問(wèn)題，信息安全的管理必須制定適當(dāng)?shù)陌踩呗圆?yán)格實(shí)施，才能為管理工作實(shí)現(xiàn)信息化提供信息安全保障。

參考文獻(xiàn)

[1]趙戰(zhàn)生，信息安全保障技術(shù)發(fā)展—?jiǎng)討B(tài)與印象，中科院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室會(huì)議報(bào)告，2001年

篇（2）

中圖分類號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2010)20-5501-02

1 高職院校教學(xué)管理系統(tǒng)應(yīng)用的背景和現(xiàn)狀分析

隨著近年來(lái)我國(guó)教育改革的深化，素質(zhì)教育的全面推進(jìn)，高校擴(kuò)招政策的出臺(tái)，高職院校辦學(xué)規(guī)模不斷擴(kuò)大，對(duì)教學(xué)管理部門(mén)而言，增加工作量的同時(shí)工作難度也增加了，管理手段的落后直接影響教學(xué)質(zhì)量和辦學(xué)水平。面對(duì)挑戰(zhàn)，許多高職院校紛紛啟動(dòng)并加快了數(shù)字化校園建設(shè)的步伐，相繼建成校園網(wǎng)，搭建了數(shù)字化校園的硬件平臺(tái)，運(yùn)用教學(xué)管理系統(tǒng)，將日常教學(xué)管理事務(wù)納入信息化和網(wǎng)絡(luò)化管理中。

根據(jù)系統(tǒng)的開(kāi)發(fā)時(shí)期、使用要求、技術(shù)實(shí)現(xiàn)方式等差異，可以將高職院校教學(xué)管理系統(tǒng)劃分為三個(gè)不同的發(fā)展階段：1）是單機(jī)管理系統(tǒng)。這種系統(tǒng)功能單一落后，軟件實(shí)現(xiàn)簡(jiǎn)單、性能差，主要用于完成某些單方面的教學(xué)管理功能。2）是采用C/S工作模式局域網(wǎng)管理系統(tǒng)。具有強(qiáng)大的數(shù)據(jù)操作和事物處理能力，模型直觀簡(jiǎn)潔，易于人們理解和接受。但隨著學(xué)校規(guī)模的日益擴(kuò)大，軟件功能的不停升級(jí)，二層C/S模式的局限性逐漸彰顯：① C/S模式的開(kāi)發(fā)和維護(hù)成本較高，因?yàn)閷?duì)不同的客戶端要開(kāi)發(fā)不同的程序，并且應(yīng)用程序的安裝、修改和升級(jí)均必須在所有的客戶機(jī)上走一遍；② 隨著客戶端對(duì)數(shù)據(jù)處理功能的要求增加，客戶端的負(fù)荷越來(lái)越重，造成“胖”客戶端現(xiàn)象，打擊了系統(tǒng)的整體性能；③ 數(shù)據(jù)安全性不好，因?yàn)榭蛻舳顺绦蚩梢灾苯釉L問(wèn)數(shù)據(jù)庫(kù)服務(wù)器，因此在客戶端計(jì)算機(jī)上的其他程序也有途徑訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器，從而使數(shù)據(jù)庫(kù)的安全性受到威脅。3）是以web技術(shù)為基礎(chǔ)基于B/S工作模式的教學(xué)管理系統(tǒng)。這是隨著web技術(shù)的興起，繼承發(fā)展于C/S模式的一種改進(jìn)模式。該模式利用不斷成熟和普及的瀏覽器技術(shù)，將數(shù)據(jù)存放在數(shù)據(jù)庫(kù)服務(wù)器上，業(yè)務(wù)處理程序在應(yīng)用服務(wù)器上存放和運(yùn)行，這種結(jié)構(gòu)不僅把客戶機(jī)從沉重的負(fù)擔(dān)和不斷對(duì)其提高性能的要求中解放出來(lái)，也把技術(shù)維護(hù)人員從繁重的維護(hù)升級(jí)工作中解脫出來(lái)。這種三層結(jié)構(gòu)層與層之間相互獨(dú)立，任何一層的改變不影響其他層的功能，從根本上改變了二層C/S體系結(jié)構(gòu)的缺陷，是應(yīng)用系統(tǒng)體系結(jié)構(gòu)中的一次深刻變革，成為當(dāng)前教學(xué)管理系統(tǒng)的首選體系結(jié)構(gòu)。

2 基于web技術(shù)基于B/S工作模式的教學(xué)管理系統(tǒng)

我校是一所具有50年辦學(xué)經(jīng)驗(yàn)的國(guó)家級(jí)重點(diǎn)職業(yè)學(xué)校，在冊(cè)學(xué)生維持在8000人次左右，現(xiàn)有6大專業(yè)體系，高職專業(yè)12個(gè)，中專專業(yè)近20個(gè)，課程共650多門(mén)，每學(xué)期平均需制定專業(yè)教學(xué)計(jì)劃25個(gè)，安排授課課時(shí)4000多節(jié)，安排任課教師300余人，日常教學(xué)管理工作量較繁重，并且我校存在分校區(qū)辦學(xué)模式，地理位置跨度較大，基于以上實(shí)際情況，經(jīng)過(guò)對(duì)三代教學(xué)管理系統(tǒng)優(yōu)缺點(diǎn)的分析，2005年，我校建成基于B/S工作模式的教學(xué)管理系統(tǒng)，依托該系統(tǒng)，實(shí)現(xiàn)了各校區(qū)教學(xué)信息的有效溝通，將教學(xué)管理者和教師們從繁重的手工傳統(tǒng)工作模式中解放出來(lái)，從而把工作精力投入到提高管理水平和提高教學(xué)質(zhì)量的工作中。

隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展和校園信息化水平的提高，基于B/S工作模式的教學(xué)管理系統(tǒng)已成為學(xué)校教學(xué)管理工作必不可少的組成部分。與此同時(shí)，系統(tǒng)所蘊(yùn)藏的風(fēng)險(xiǎn)也成為無(wú)法回避的問(wèn)題。雖然，基于B/S的網(wǎng)絡(luò)應(yīng)用是比較成熟的，特別是在JAVA這樣的跨平臺(tái)語(yǔ)言出現(xiàn)之后，B/S架構(gòu)的管理系統(tǒng)得到相當(dāng)廣泛的應(yīng)用，但該結(jié)構(gòu)在系統(tǒng)安全性上仍存在硬傷。相較C/S系統(tǒng)而言，B/S系統(tǒng)在客戶機(jī)與數(shù)據(jù)庫(kù)之間增加了一層WEB服務(wù)器，使兩者不再直接連接，客戶機(jī)無(wú)法直接對(duì)數(shù)據(jù)庫(kù)操作，可有效地隔離用戶對(duì)核心數(shù)據(jù)的危險(xiǎn)性訪問(wèn)，但由于C/S的相對(duì)專用性和封閉性，整個(gè)C/S系統(tǒng)相對(duì)安全，而B(niǎo)/S的開(kāi)放性，使得這種結(jié)構(gòu)的系統(tǒng)更容易受到來(lái)自internet 上的攻擊。

3 B/S工作模式下數(shù)據(jù)安全性策略分析

保證數(shù)據(jù)安全是教學(xué)管理系統(tǒng)正常運(yùn)行和教學(xué)工作正常運(yùn)轉(zhuǎn)的前提?；贐/S工作模式的教學(xué)管理系統(tǒng)采用后端數(shù)據(jù)庫(kù)的動(dòng)態(tài)頁(yè)面生成技術(shù)，用戶通過(guò)internet平臺(tái)不僅可以進(jìn)行靜態(tài)信息瀏覽，而且可以進(jìn)行數(shù)據(jù)庫(kù)訪問(wèn)和數(shù)據(jù)處理，如何保證數(shù)據(jù)的安全性，是系統(tǒng)亟待解決的問(wèn)題。

策略①：抑制控制，強(qiáng)化系統(tǒng)安全設(shè)計(jì)，即在系統(tǒng)設(shè)計(jì)、編程和測(cè)試階段，通過(guò)采取有效的措施堵塞漏洞，抑制風(fēng)險(xiǎn)產(chǎn)生。

網(wǎng)絡(luò)安全層次：采用路由器的IP過(guò)濾功能、網(wǎng)關(guān)、防火墻、服務(wù)器等方式將校園網(wǎng)與internet相連時(shí)起到隔離作用；并將校園網(wǎng)劃分為多個(gè)子網(wǎng)，有效減少網(wǎng)絡(luò)頻帶壓力，使大部分信息在子網(wǎng)范圍內(nèi)傳輸，減少信息外泄的機(jī)會(huì)，實(shí)現(xiàn)IP地址身份驗(yàn)證機(jī)制，防止持有非法IP地址的人訪問(wèn)本子網(wǎng)的資源。

服務(wù)器安全層次：

首先檢查用戶的合法性及身份驗(yàn)證，采用在網(wǎng)絡(luò)中設(shè)一登陸驗(yàn)證服務(wù)器的方法；在web服務(wù)器上設(shè)計(jì)有相應(yīng)的權(quán)限限制，只有合法用戶才能通過(guò)網(wǎng)頁(yè)來(lái)訪問(wèn)事物處理程序。

策略②：預(yù)防控制，采用基于B/S和C/S混合模式的教學(xué)管理系統(tǒng)，充分發(fā)揮了兩種模式各自優(yōu)點(diǎn)，尤其在系統(tǒng)安全性保障方面，集成兩種模式的長(zhǎng)處，從預(yù)防角度達(dá)到控制風(fēng)險(xiǎn)的目的。

基于B/S工作模式的教學(xué)管理系統(tǒng)并沒(méi)有將C/S系統(tǒng)擠出管理系統(tǒng)領(lǐng)域，相反，隨著PC機(jī)硬件配置的不斷提高，客戶端的“肥胖”不再影響健康，而網(wǎng)絡(luò)服務(wù)器的承載能力和網(wǎng)絡(luò)本身的安全隱患卻成了制約B/S系統(tǒng)結(jié)構(gòu)的瓶頸，因此選擇何種工作模式的教學(xué)管理系統(tǒng)取決于實(shí)際應(yīng)用方式，即能否適應(yīng)學(xué)校辦學(xué)模式，滿足廣大師生的教學(xué)需求。我校教學(xué)管理系統(tǒng)分成教學(xué)計(jì)劃、課程管理、學(xué)籍管理、成績(jī)管理、選課管理、師資管理、信息、系統(tǒng)管理等模塊。在上述模塊中，由于學(xué)籍、成績(jī)、教學(xué)計(jì)劃、師資管理等需要較高的安全性和較強(qiáng)的交互性，同時(shí)需要處理大量的數(shù)據(jù)，因此這部分子系統(tǒng)適合采用傳統(tǒng)的C/S模式；而信息與學(xué)生信息查詢及選課管理則具有適用范圍廣、安全互性要求不高等特點(diǎn)，這部分可采用B/S模式。

策略③：恢復(fù)控制，即在系統(tǒng)風(fēng)險(xiǎn)導(dǎo)致的損害實(shí)際發(fā)生時(shí)，必須有有效的系統(tǒng)修復(fù)措施。

目前，幾乎所有的教學(xué)管理系統(tǒng)，無(wú)論基于何種工作模式，都是以數(shù)據(jù)庫(kù)系統(tǒng)為平臺(tái)，我校的教學(xué)管理系統(tǒng)也是運(yùn)行于SQL Server2000服務(wù)器，管理制度不完善、系統(tǒng)管理人員的意外操作、破壞性病毒攻擊、自然災(zāi)害等原因都可能導(dǎo)致數(shù)據(jù)庫(kù)遭破壞，因此從數(shù)據(jù)庫(kù)層面保證系統(tǒng)數(shù)據(jù)安全是保障系統(tǒng)數(shù)據(jù)安全性的根本途徑。在現(xiàn)有技術(shù)條件下，系統(tǒng)管理員定期做好備份是保證數(shù)據(jù)庫(kù)安全的重要措施，一旦數(shù)據(jù)庫(kù)系統(tǒng)出現(xiàn)故障，就能利用備份數(shù)據(jù)及時(shí)采取有效措施，恢復(fù)系統(tǒng)功能。

SQL Server2000支持四種備份類型，在實(shí)際工作中應(yīng)根據(jù)具體情況進(jìn)行選擇。四種備份類型的功能及其優(yōu)勢(shì)如表1所示：

表1 SQL Server2000數(shù)據(jù)庫(kù)備份類型

對(duì)于這四種備份類型，可結(jié)合實(shí)際情況制定相應(yīng)的備份策略。我校的處理方法是：教師提交成績(jī)單前，做一次數(shù)據(jù)庫(kù)的完全備份，成績(jī)提交期間每日進(jìn)行差異備份，隨時(shí)可以恢復(fù)到故障點(diǎn)以前的狀態(tài)。因?yàn)樵诮處熖峤怀煽?jī)單期間，數(shù)據(jù)庫(kù)處于隨時(shí)更新的狀態(tài)，因此制定良好的計(jì)劃和適合需求的備份策略才能保證數(shù)據(jù)庫(kù)的安全，保障系統(tǒng)正常運(yùn)行。同時(shí)還應(yīng)選擇相應(yīng)的時(shí)間間隔生成事物日志備份，可把數(shù)據(jù)恢復(fù)到意外發(fā)生時(shí)的即時(shí)點(diǎn)。

4 結(jié)束語(yǔ)

目前，B/S體系結(jié)構(gòu)在管理信息系統(tǒng)的開(kāi)發(fā)中日益顯示主導(dǎo)作用，但作為一名系統(tǒng)管理員，除了選擇適合本校辦校實(shí)際的管理系統(tǒng)之外，必須充分考慮基于該工作模式的系統(tǒng)能否在安全性能上有更好的表現(xiàn)，這是衡量系統(tǒng)性能的重要指標(biāo)之一，是關(guān)系到學(xué)校教學(xué)管理工作能否正常進(jìn)行的核心問(wèn)題。

參考文獻(xiàn)：

[1] 邵莉,梁興建.數(shù)據(jù)庫(kù)備份策略及恢復(fù)措施研究[J].四川理工學(xué)院學(xué)報(bào):自然科學(xué)版,2009(2):14.

篇（3）

當(dāng)前我國(guó)交通電子政務(wù)實(shí)施過(guò)程的兩大矛盾的解決，依賴于安全、穩(wěn)定、可靠的交通運(yùn)輸電子政務(wù)平臺(tái)信息安全保障體系。對(duì)于電子政務(wù)平臺(tái)實(shí)施過(guò)程中所面臨的信息安全保障問(wèn)題，我國(guó)早在2003年9月頒發(fā)的《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》中明確提出了建立等級(jí)保護(hù)制度和風(fēng)險(xiǎn)管理體系的要求。2004年11月，公安部等國(guó)家四部委聯(lián)合推出信息安全等級(jí)保護(hù)要求、測(cè)評(píng)準(zhǔn)則和實(shí)施指南，為政務(wù)領(lǐng)域進(jìn)一步建立政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)管理體系提供了技術(shù)基礎(chǔ)和指導(dǎo)。交通運(yùn)輸部也于2008年12月頒布的《交通運(yùn)輸電子政務(wù)網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)技術(shù)指南》中對(duì)交通電子政務(wù)平臺(tái)的安全保障體系作了詳細(xì)的技術(shù)規(guī)范。

隨著交通政府機(jī)構(gòu)的信息安全基礎(chǔ)建設(shè)日趨完善，建立一套信息安全管理平臺(tái)，既滿足電子政務(wù)平臺(tái)的開(kāi)放性和可訪問(wèn)性，又保證電子政務(wù)平臺(tái)的安全性，也日益迫切。交通電子政務(wù)信息安全保障體系可從以下幾個(gè)角度進(jìn)行充分構(gòu)建：

1信息安全保障體系及其基本要求

信息安全保障體系是基于PKI體系而開(kāi)發(fā)的為多個(gè)應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證、訪問(wèn)控制、應(yīng)用審計(jì)和遠(yuǎn)程接入的應(yīng)用安全網(wǎng)關(guān)系統(tǒng)，它可以將不同地理位置、不同基礎(chǔ)設(shè)施（主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等）中分散且海量的安全信息進(jìn)行樣式化、匯總、過(guò)濾和關(guān)聯(lián)分析，形成基于基礎(chǔ)設(shè)施與域的統(tǒng)一等級(jí)的威脅與風(fēng)險(xiǎn)管理，并依托安全知識(shí)庫(kù)和工作流程驅(qū)動(dòng)，對(duì)威脅與風(fēng)險(xiǎn)進(jìn)行響應(yīng)和處理。信息安全保障體系的基本要求主要體現(xiàn)在以下幾個(gè)方面：

1）保密性。主要體現(xiàn)在誰(shuí)能擁有信息，如何保證秘密和敏感信息僅為授權(quán)者享有。

2）完整性。主要體現(xiàn)在擁有的信息是否正確以及如何保證信息從真實(shí)的信源發(fā)往真實(shí)的信宿，傳輸、存儲(chǔ)、處理中未被刪改、增添、替換。

3）可用性。主要體現(xiàn)在信息和信息系統(tǒng)是否能夠使用以及如何保證信息和信息系統(tǒng)隨時(shí)可為授權(quán)者提供服務(wù)而不被非授權(quán)者濫用。

4）可控性。主要體現(xiàn)在是否能夠監(jiān)控管理信息和系統(tǒng)以及如何保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理。

5）不可否認(rèn)性。主要體現(xiàn)在信息行為人為信息行為承擔(dān)責(zé)任，保證信息行為人不能否認(rèn)其信息行為。

總之，信息安全保障體系的基本要求主要從技術(shù)和管理兩個(gè)層面得以實(shí)現(xiàn)。技術(shù)層面在實(shí)現(xiàn)信息資源的公開(kāi)性、共享性和可訪問(wèn)性的同時(shí)，通過(guò)主機(jī)安全、網(wǎng)絡(luò)安全、物理安全、數(shù)據(jù)安全和應(yīng)用安全等技術(shù)要素保障信息的安全性。管理層面則可通過(guò)安全管理機(jī)制、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理以及系統(tǒng)運(yùn)營(yíng)管理等規(guī)范化機(jī)制得以保障信息的安全性。

2交通電子政務(wù)平臺(tái)信息安全保障體系的構(gòu)建

交通電子政務(wù)平臺(tái)的信息安全保障體系，應(yīng)該由組織體系、技術(shù)體系、運(yùn)營(yíng)體系、策略體系和保障對(duì)象體系等共同組成。

2.1安全組織體系。政府高度重視交通運(yùn)輸信息化工作的同時(shí)，堅(jiān)持把“積極防御，綜合防范”放在優(yōu)先位置，首先要求成立專門(mén)的信息安全領(lǐng)導(dǎo)小組。信息安全領(lǐng)導(dǎo)小組可由交通主管領(lǐng)導(dǎo)擔(dān)任領(lǐng)導(dǎo)小組組長(zhǎng)主管信息安全工作，下設(shè)信息安全工作組，各管理部門(mén)負(fù)責(zé)人、業(yè)務(wù)部門(mén)負(fù)責(zé)人為成員。

2.2安全技術(shù)體系。交通電子政務(wù)平臺(tái)的安全技術(shù)體系可搭建專業(yè)的安全管理運(yùn)營(yíng)中心，并從基礎(chǔ)設(shè)施安全和應(yīng)用安全兩個(gè)方面去搭建安全技術(shù)支撐體系。

2.3安全運(yùn)營(yíng)體系。交通電子政務(wù)的安全運(yùn)營(yíng)體系一般可由安全體系推廣與落實(shí)、項(xiàng)目建設(shè)的安全管理、安全風(fēng)險(xiǎn)管理與控制和日常安全運(yùn)行與維護(hù)四個(gè)部分組成。安全運(yùn)營(yíng)體系是一個(gè)完整的過(guò)程體系，在交通電子政務(wù)平臺(tái)的整個(gè)過(guò)程中，正常的運(yùn)作流程，其信息流遵循自上而下的流程，即交通上級(jí)部門(mén)根據(jù)電子政務(wù)平臺(tái)信息安全需求的目標(biāo)、規(guī)劃和控制要求做計(jì)劃，下級(jí)交通部門(mén)根據(jù)計(jì)劃進(jìn)行執(zhí)行、檢查和改進(jìn)。而若交通電子政務(wù)平臺(tái)其安全性出現(xiàn)威脅，影響正常的運(yùn)作流程時(shí)，此時(shí)信息流則遵循自下而上的逆向過(guò)程，下級(jí)交通部門(mén)向上級(jí)部門(mén)報(bào)送安全事件，上級(jí)部門(mén)根據(jù)其安全事件進(jìn)行分析、總結(jié)和改進(jìn)。

篇（4）

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599?。?012）　19-0000-02

1 網(wǎng)絡(luò)安全問(wèn)題概述

1.1 網(wǎng)絡(luò)安全的現(xiàn)狀。2011年，我國(guó)境內(nèi)與互聯(lián)網(wǎng)連接的用戶有60%以上的用戶受到境外用戶的攻擊。僅在過(guò)去的兩年我國(guó)遭到網(wǎng)絡(luò)安全攻擊的計(jì)算機(jī)IP地址就超過(guò)了100多萬(wàn)個(gè)，被黑客攻擊的網(wǎng)站將近5萬(wàn)個(gè)；在網(wǎng)絡(luò)病毒威脅方面，我國(guó)僅被一種網(wǎng)絡(luò)病毒感染的計(jì)算機(jī)數(shù)量就超過(guò)了1800萬(wàn)臺(tái)，占全球感染主機(jī)總量的30％，位列全球第一。近些年關(guān)于漏洞多，木馬、病毒猖獗；網(wǎng)絡(luò)癱瘓、網(wǎng)站被篡改、系統(tǒng)被入侵；網(wǎng)銀轉(zhuǎn)款、網(wǎng)上詐騙等網(wǎng)絡(luò)安全問(wèn)題的報(bào)道也非常多，網(wǎng)絡(luò)安全現(xiàn)狀令人堪憂。

1.2 網(wǎng)絡(luò)面臨的問(wèn)題與挑戰(zhàn)。隨著計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)的高速發(fā)展，人們的工作和生活越來(lái)越離不開(kāi)計(jì)算機(jī)網(wǎng)絡(luò)信息通信系統(tǒng)，近些年，新涌現(xiàn)出來(lái)的網(wǎng)絡(luò)信息安全問(wèn)題已成為全球廣泛關(guān)注的焦點(diǎn)問(wèn)題，人們?cè)谠诰W(wǎng)絡(luò)信息安全方面面臨著各種各樣的問(wèn)題，來(lái)自網(wǎng)絡(luò)安全的各種挑戰(zhàn)非常嚴(yán)峻。

首先，計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)不斷從傳統(tǒng)的專有系統(tǒng)想當(dāng)前的通用操作系統(tǒng)轉(zhuǎn)變，也就是說(shuō)，當(dāng)前的網(wǎng)絡(luò)信息系統(tǒng)越來(lái)越開(kāi)放，再加上，絕大多數(shù)網(wǎng)絡(luò)通信系統(tǒng)采用的是TCP/IP網(wǎng)絡(luò)傳輸協(xié)議來(lái)進(jìn)行網(wǎng)絡(luò)通信服務(wù)的，而TCP/IP網(wǎng)絡(luò)傳輸協(xié)議由于自身安全性不足，給網(wǎng)絡(luò)信息系統(tǒng)的安全就帶來(lái)了一定的挑戰(zhàn)；其次，隨著國(guó)際互聯(lián)網(wǎng)網(wǎng)絡(luò)這一大環(huán)境的不斷改變，針對(duì)網(wǎng)絡(luò)信息系統(tǒng)的安全威脅不斷表現(xiàn)出多樣化和多源化的特點(diǎn)，針對(duì)網(wǎng)絡(luò)系統(tǒng)的安全威脅的多樣化和多源化，需要構(gòu)建一個(gè)縱深的、立體的、全方位的網(wǎng)絡(luò)安全解決方案，這就為網(wǎng)絡(luò)安全防御系統(tǒng)的復(fù)雜性和可控性問(wèn)題提出了挑戰(zhàn)；最后，在過(guò)去的幾年中，有很多組織機(jī)構(gòu)部門(mén)對(duì)自身的網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)進(jìn)行了大量的人力和資金投入，并花費(fèi)了大量的資金用來(lái)進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全設(shè)備的采購(gòu)，以采集大量的網(wǎng)絡(luò)通信日志及網(wǎng)絡(luò)安全攻擊報(bào)警信息，但問(wèn)題是，所采集的這些信息并沒(méi)有被得到充分的利用，以至于許多未被明確的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，依然保留在網(wǎng)絡(luò)信息系統(tǒng)中，從而對(duì)網(wǎng)絡(luò)信息系統(tǒng)的安全構(gòu)成威脅。

2 認(rèn)識(shí)網(wǎng)絡(luò)安全保障體系

2.1 網(wǎng)絡(luò)安全保障體系的提出。隨著信息化的發(fā)展，政府或企業(yè)對(duì)信息資源的依賴程度越來(lái)越大，沒(méi)有各種信息系統(tǒng)的支持，很多政府或企業(yè)其核心的業(yè)務(wù)和職能幾乎無(wú)法正常運(yùn)行。這無(wú)疑說(shuō)明信息系統(tǒng)比傳統(tǒng)的實(shí)物資產(chǎn)更加脆弱，更容易受到損害，更應(yīng)該加以妥善保護(hù)。而目前，隨著互聯(lián)網(wǎng)和網(wǎng)絡(luò)技術(shù)的發(fā)展，對(duì)于政府或企業(yè)的信息系統(tǒng)來(lái)講，更是面臨著更大的風(fēng)險(xiǎn)和挑戰(zhàn)。這就使得更多的用戶、廠商和標(biāo)準(zhǔn)化組織都在尋求一種完善的體系，來(lái)有效的保障信息系統(tǒng)的全面安全。于是，網(wǎng)絡(luò)安全保障體系應(yīng)運(yùn)而生，其主要目的是通過(guò)信息安全管理體系、信息安全技術(shù)體系以及信息安全運(yùn)維體系的綜合有效的建設(shè)，讓政府或企業(yè)的網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險(xiǎn)能夠達(dá)到一個(gè)可以控制的標(biāo)準(zhǔn)，進(jìn)一步保障網(wǎng)絡(luò)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

網(wǎng)絡(luò)安全保障體系是針對(duì)傳統(tǒng)網(wǎng)絡(luò)安全管理體系的一種重大變革。它依托安全知識(shí)庫(kù)和工作流程驅(qū)動(dòng)將包括主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等在內(nèi)的不同資產(chǎn)和存放在不同位置中的大量的安全信息進(jìn)行范式化、匯總、過(guò)濾和關(guān)聯(lián)分析，形成基于資產(chǎn)/域的統(tǒng)一等級(jí)的威脅與風(fēng)險(xiǎn)管理，并對(duì)威脅與風(fēng)險(xiǎn)進(jìn)行響應(yīng)和處理，該系統(tǒng)可以極大地提高網(wǎng)絡(luò)信息安全的可控性。

2.2 網(wǎng)絡(luò)安全保障體系的作用。網(wǎng)絡(luò)安全保障體系在網(wǎng)絡(luò)信息安全管理中具有十分重要的作用，主要體現(xiàn)在如下三個(gè)方面：首先，網(wǎng)絡(luò)安全保障體系可以對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)中不同的安全設(shè)備進(jìn)行有效的管理，而且可以對(duì)重要的網(wǎng)絡(luò)通信設(shè)備資產(chǎn)實(shí)施完善的管理和等級(jí)保護(hù)；其次，網(wǎng)絡(luò)安全保障體系可以有效幫助網(wǎng)絡(luò)安全管理人員準(zhǔn)確分析現(xiàn)有網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全威脅，從而可以幫助管理人員制定合理的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程；最后，網(wǎng)絡(luò)安全保障體系可以通過(guò)過(guò)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行量化，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的有效監(jiān)控和管理。

3 網(wǎng)絡(luò)安全保障體系的構(gòu)建策略

3.1 確定網(wǎng)絡(luò)安全保障體系構(gòu)建的具體目標(biāo)。網(wǎng)絡(luò)安全保障體系建設(shè)是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它包括信息安全組織和策略體系兩大部分，通過(guò)信息安全治理來(lái)達(dá)到具體的建設(shè)目標(biāo)。其中，信息安全的組織體系是指為了在某個(gè)組織內(nèi)部為了完成信息安全的方針和目標(biāo)而組成的特定的組織結(jié)構(gòu)，主要包括決策、管理、執(zhí)行和監(jiān)管機(jī)構(gòu)四部分組成；信息安全的策略體系是指信息安全總體方針框架、規(guī)范和信息安全管理規(guī)范、流程、制度的總和。

3.2 確定適合的網(wǎng)絡(luò)安全保障體系構(gòu)建的方法。（1）網(wǎng)絡(luò)安全管理基礎(chǔ)理論。網(wǎng)絡(luò)安全保障體系的安全管理方法就是通過(guò)建立一套基于有效的應(yīng)用控制機(jī)制的安全保障體系，實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用系統(tǒng)與安全管理系統(tǒng)的有效融合，確保網(wǎng)絡(luò)信息系統(tǒng)的安全可靠性。（2）建立有效的網(wǎng)絡(luò)安全保障體系。一是網(wǎng)絡(luò)信息安全組織保障體系作為網(wǎng)絡(luò)信息安全組織、運(yùn)作、技術(shù)體系標(biāo)準(zhǔn)化、制度化后形成的一整套對(duì)信息安全的管理規(guī)定，建立的網(wǎng)絡(luò)安全保障體系可以在完善信息安全管理與控制的流程上發(fā)揮重要作用；二是網(wǎng)絡(luò)信息安全技術(shù)保障體系作為網(wǎng)絡(luò)安全保障體系的重要支撐，有效利用訪問(wèn)控制、身份鑒別、數(shù)據(jù)完整性、數(shù)據(jù)保密性等安全機(jī)制，是實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)的重要技術(shù)手段；三是網(wǎng)絡(luò)信息安全運(yùn)維保障體系可以通過(guò)對(duì)網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)行管理，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)信息系統(tǒng)安全監(jiān)控、運(yùn)行管理、事件處理的規(guī)范化，充分保障網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定可靠運(yùn)行。

3.3 建立網(wǎng)絡(luò)安全保障體系組織架構(gòu)。網(wǎng)絡(luò)安全組織體系是網(wǎng)絡(luò)信息安全管理工作的保障，以保證在實(shí)際工作中有相關(guān)的管理崗位對(duì)相應(yīng)的控制點(diǎn)進(jìn)行控制。因此，需要根據(jù)該組織的網(wǎng)絡(luò)信息安全總體框架結(jié)合實(shí)際情況，確定該網(wǎng)絡(luò)組織信息安全管理組織架構(gòu)。其中，網(wǎng)絡(luò)安全保障體系組織架構(gòu)主要包括如下內(nèi)容：一是網(wǎng)絡(luò)信息安全組織架構(gòu)。針對(duì)該組織內(nèi)部負(fù)責(zé)開(kāi)展信息安全決策、管理、執(zhí)行和監(jiān)控等工作的各部門(mén)進(jìn)行結(jié)構(gòu)化、系統(tǒng)化的結(jié)果；二是信息安全角色和職責(zé)，主要是針對(duì)信息安全組織中的個(gè)體在信息安全工作中扮演的各種角色進(jìn)行定義、劃分和明確職責(zé)；三是安全教育與培訓(xùn)。主要包括對(duì)安全意識(shí)與認(rèn)知，安全技能培訓(xùn)，安全專業(yè)教育等幾個(gè)方面的要求；四是合作與溝通。與上級(jí)監(jiān)管部門(mén)，同級(jí)兄弟單位，本單位內(nèi)部，供應(yīng)商，安全業(yè)界專家等各方的溝通與合作。

3.4 建立網(wǎng)絡(luò)安全保障體系管理體系。（1）網(wǎng)絡(luò)訪問(wèn)控制。用戶訪問(wèn)管理規(guī)范及對(duì)應(yīng)表單、網(wǎng)絡(luò)訪問(wèn)控制規(guī)范與對(duì)應(yīng)表單、操作系統(tǒng)訪問(wèn)控制規(guī)范及對(duì)應(yīng)表單、應(yīng)用及信息訪問(wèn)規(guī)范及對(duì)應(yīng)表單、移動(dòng)計(jì)算及遠(yuǎn)程訪問(wèn)規(guī)范及對(duì)應(yīng)表單。（2）網(wǎng)絡(luò)通信與操作管理。網(wǎng)絡(luò)安全管理規(guī)范與對(duì)應(yīng)表單、Internet服務(wù)使用安全管理規(guī)范及對(duì)應(yīng)表單、惡意代碼防范規(guī)范、存儲(chǔ)及移動(dòng)介質(zhì)安全管理規(guī)范與對(duì)應(yīng)表單。（3）網(wǎng)絡(luò)信息系統(tǒng)的獲取與維護(hù)。網(wǎng)絡(luò)信息系統(tǒng)的獲取與維護(hù)即要求明確網(wǎng)絡(luò)信息安全項(xiàng)目立項(xiàng)管理規(guī)范及對(duì)應(yīng)表單、軟件安全開(kāi)發(fā)管理規(guī)范及對(duì)應(yīng)表單和相關(guān)的軟件系統(tǒng)。

參考文獻(xiàn)：

篇（5）

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2016）12（b）-0100-02

電力公司的安全防護(hù)體系根據(jù)省、市、縣安全防護(hù)不同層面防護(hù)要求各有側(cè)重、相互支撐、互為補(bǔ)充。根據(jù)各信息系統(tǒng)重要程度設(shè)計(jì)安全防護(hù)體系“三橫四縱”的總體架，建立信息安全防護(hù)體系。

1 信息安全防護(hù)策略設(shè)計(jì)目標(biāo)

信息安全保障體系的建設(shè)緊緊圍繞安全管理、安全技術(shù)和安全運(yùn)維3個(gè)方面，在每個(gè)方面都有相應(yīng)的具體目標(biāo)。達(dá)到這個(gè)目標(biāo)就能為綜合服務(wù)平臺(tái)構(gòu)建一個(gè)多層次、多角度的立體縱深防御體系。

安全管理的建設(shè)目標(biāo)：

確定安全組織和責(zé)任劃分，確定安全策略，確定信息資產(chǎn)分類和分級(jí)。

實(shí)現(xiàn)安全變更管理、安全補(bǔ)丁管理、安全備份管理、應(yīng)急響應(yīng)計(jì)劃、業(yè)務(wù)持續(xù)性計(jì)劃、安全核心流程。

安全培訓(xùn)與教育、安全控制要求：

對(duì)信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，達(dá)到ISO27001管理標(biāo)準(zhǔn)。

安全技術(shù)的建設(shè)目標(biāo)：

根據(jù)業(yè)務(wù)需求劃分不同的安全域，安全邊界進(jìn)行防護(hù)。

實(shí)現(xiàn)安全系統(tǒng)強(qiáng)化功能、建立網(wǎng)絡(luò)和主機(jī)入侵檢測(cè)機(jī)制、實(shí)現(xiàn)高危數(shù)據(jù)加密傳輸、關(guān)鍵系統(tǒng)的日志審計(jì)、建立病毒防范體系、建立身份認(rèn)證體系、訪問(wèn)控制體系、遠(yuǎn)程訪問(wèn)安全機(jī)制。

建立數(shù)據(jù)安全存儲(chǔ)體系、時(shí)間同步機(jī)制、集中安全審計(jì)體系、安全事件管理平臺(tái)。

安全運(yùn)維的建設(shè)目標(biāo)：

建立定期風(fēng)險(xiǎn)評(píng)估機(jī)制。

定期對(duì)日志進(jìn)行審計(jì)、定期進(jìn)行滲透測(cè)試。

完善安全信息上報(bào)機(jī)制、定期對(duì)安全策略和標(biāo)準(zhǔn)進(jìn)行評(píng)估和修訂。

顯示安全的運(yùn)維外包。

2 電力信息安全建設(shè)體系內(nèi)容

電力信息系統(tǒng)信息安全保障體系采用了“三橫四縱”的總體架構(gòu)，即橫向上分為3個(gè)層次，分別為應(yīng)用層、技術(shù)層、管理層；技術(shù)層次中縱向又分為4種主要體系，即以基礎(chǔ)安全服務(wù)設(shè)施、數(shù)據(jù)安全保護(hù)、網(wǎng)絡(luò)接入保護(hù)、平臺(tái)安全管理為支柱，信息安全基礎(chǔ)設(shè)施為基礎(chǔ)，通過(guò)信息安全管理體系為業(yè)務(wù)應(yīng)用提供可靠的安全保障。

一是應(yīng)用層。這是安全保障體系的主要對(duì)象。信息化建設(shè)的終極目標(biāo)是提供給用戶好用、易用、夠用的應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)是為了滿足不同用戶的不同業(yè)務(wù)需求，安全保障體系保障的核心就是應(yīng)用系統(tǒng)及其數(shù)據(jù)。

二是技術(shù)層。這是信息安全保障體系的主要體系。目前包括技術(shù)支撐體系、技術(shù)保障體系、網(wǎng)絡(luò)信任體系、安全服務(wù)體系。這4種體系已經(jīng)經(jīng)過(guò)多年的探索和建立，應(yīng)該說(shuō)已經(jīng)覆蓋了技術(shù)上的所有方面。

三是管理層。包括等級(jí)保護(hù)安全策略、安全管理制度、法律法規(guī)和技術(shù)標(biāo)準(zhǔn)。通常說(shuō)“三分技術(shù)、七分管理”，再好的技術(shù)也需要完善的管理才能保證技術(shù)發(fā)揮最大的效能。

3 信息安全防護(hù)設(shè)計(jì)

電力系統(tǒng)是一個(gè)由內(nèi)網(wǎng)、外網(wǎng)兩種網(wǎng)絡(luò)域構(gòu)成的龐大信息系統(tǒng)。各個(gè)網(wǎng)絡(luò)域執(zhí)行著不同的服務(wù)內(nèi)容：內(nèi)網(wǎng)是一個(gè)完整的電力系統(tǒng)辦公自動(dòng)化環(huán)境，外網(wǎng)擔(dān)負(fù)著與公眾間信息溝通的責(zé)任。

如此復(fù)雜的應(yīng)用環(huán)境給系統(tǒng)帶來(lái)了大量潛在的安全隱患：黑客利用外網(wǎng)或?qū)＞W(wǎng)攻擊內(nèi)部網(wǎng)絡(luò)、數(shù)據(jù)在傳輸過(guò)程中的泄露、網(wǎng)頁(yè)遭篡改、偽造身份進(jìn)入系統(tǒng)、操作系統(tǒng)漏洞、病毒等。這些安全隱患不可能依靠某種單一的安全技術(shù)就能得到解決，必須在電力信息系統(tǒng)整體安全需求的基礎(chǔ)上構(gòu)筑一個(gè)完整的安全服務(wù)體系。

構(gòu)建一個(gè)完整的安全防護(hù)體系有組織地實(shí)現(xiàn)上述安全需求，我們提出的安全保障平臺(tái)由基礎(chǔ)安全服務(wù)設(shè)施、數(shù)據(jù)安全保護(hù)、網(wǎng)絡(luò)接入保護(hù)、平臺(tái)安全管理組成。

（1）基礎(chǔ)安全服務(wù)設(shè)施。

基礎(chǔ)安全服務(wù)設(shè)施防護(hù)設(shè)計(jì)主要包括部署平臺(tái)的應(yīng)用系統(tǒng)的身份認(rèn)證與訪問(wèn)控制、基礎(chǔ)環(huán)境安全保護(hù)（訪問(wèn)控制、防火墻、入侵檢測(cè)、安全審計(jì)、VPN）。

（2）數(shù)據(jù)安全保護(hù)。

數(shù)據(jù)安全保護(hù)方案是為部署在電力信息系統(tǒng)提供數(shù)據(jù)傳輸、數(shù)據(jù)訪問(wèn)和數(shù)據(jù)存儲(chǔ)備份恢復(fù)的安全保障措施，主要分為4類：應(yīng)用保護(hù)、數(shù)據(jù)傳輸交換保護(hù)、數(shù)據(jù)備份與恢復(fù)設(shè)計(jì)。

（3）網(wǎng)絡(luò)接入保護(hù)。

統(tǒng)一管理集中建設(shè)互聯(lián)網(wǎng)接入點(diǎn)，實(shí)現(xiàn)電力各部門(mén)互聯(lián)網(wǎng)的安全接入和可管可控可剝離；各部門(mén)在統(tǒng)一的安全技術(shù)體系下，根據(jù)各自信息下發(fā)指令信息包括針對(duì)省級(jí)安全等級(jí)，建設(shè)、升級(jí)、完善安全系統(tǒng)；依托平臺(tái)建設(shè)省級(jí)安全接入機(jī)制，實(shí)現(xiàn)與接入統(tǒng)一監(jiān)控、統(tǒng)一管理和統(tǒng)一服務(wù)。

（4）平臺(tái)安全管理。

安全管理體系是信息安全保障體系建設(shè)的一個(gè)重要環(huán)節(jié)，安全管理體系的建設(shè)內(nèi)容包括：建立完善等級(jí)保護(hù)安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)運(yùn)維管理、系統(tǒng)運(yùn)維管理。

4 結(jié)語(yǔ)

該課題對(duì)電力公司信息安全防護(hù)策略和防護(hù)設(shè)計(jì)進(jìn)行研究，電力信息化安全服務(wù)平臺(tái)也基于電力信息系統(tǒng)安全需求設(shè)計(jì)安全防護(hù)體系，面向系統(tǒng)管理員、安全管理員提供安全保障，為各級(jí)信息化安全管理對(duì)安全監(jiān)管、信息共享和提供安全保障支撐。

參考文獻(xiàn)

[1] 高鵬，范杰，郭騫.電力系統(tǒng)信息安全技術(shù)督查策略研究[C]//電力通信管理暨智能電網(wǎng)通信技術(shù)論壇論文集.2012.

[2] 余勇，林為民，俞鋼.電力信息系統(tǒng)安全保障體系的研究[C]//2004年世界工程師大會(huì)電力和能源分會(huì)場(chǎng)論文集.2004.

篇（6）

校園網(wǎng)安全系統(tǒng)的建設(shè)目標(biāo)是根據(jù)學(xué)校信息網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用模式，針對(duì)可能存在的安全漏洞和安全需求，在不同層次上提出安全級(jí)別要求，并提出相應(yīng)的解決方案，制訂相應(yīng)的安全策略，編制安全規(guī)劃，采用合理、先進(jìn)的技術(shù)實(shí)施安全工程，加強(qiáng)安全管理，保證系統(tǒng)的安全性。

對(duì)于這樣規(guī)模龐大、結(jié)構(gòu)復(fù)雜、涉及人員眾多的網(wǎng)絡(luò)體系需要建立全網(wǎng)安全保障系統(tǒng)，針對(duì)不同的業(yè)務(wù)特征進(jìn)行合理的安全保障，確保業(yè)務(wù)系統(tǒng)的安全運(yùn)行。

我們?cè)谠O(shè)計(jì)學(xué)校信息安全保障體系的過(guò)程中，借鑒IATF的信息安全保障體系模型構(gòu)建學(xué)校信息安全保障體系的技術(shù)體系和管理體系，這些體系構(gòu)成學(xué)校所需的安全體系。在技術(shù)體系和管理體系中的安全控制和對(duì)策的選擇和定制中，采用“最佳實(shí)施”方法，通過(guò)列舉滿足實(shí)際需求和實(shí)際應(yīng)用來(lái)構(gòu)造安全保障體系。

在學(xué)校安全保障體系設(shè)計(jì)過(guò)程中，整體性一直是最核心的問(wèn)題，因此為了保障安全體系具有一定的完整性，避免對(duì)安全問(wèn)題的遺漏，需要在方法論中引入了安全框架模型。

安全保障體系框架示意圖

上圖中，最下層是安全體系要保護(hù)的對(duì)象，根據(jù)信息資產(chǎn)邏輯圖，將保護(hù)對(duì)象分成計(jì)算區(qū)域、區(qū)域邊界、通信網(wǎng)絡(luò)和基礎(chǔ)設(shè)施（指PKI/PMI/KMI中心和應(yīng)急響應(yīng)中心）等。計(jì)算區(qū)域部分主要指提供業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)，計(jì)算區(qū)域內(nèi)部可以根據(jù)學(xué)校信息化的實(shí)際需求進(jìn)一步細(xì)分為子區(qū)域，邊界和通信網(wǎng)絡(luò)。對(duì)不同區(qū)域、邊界和通信網(wǎng)絡(luò)，其安全需求是不同的。保護(hù)對(duì)象框架將學(xué)校信息系統(tǒng)的安全問(wèn)題細(xì)分為一組結(jié)構(gòu)化的安全需求。

通過(guò)將對(duì)策框架中的所有安全控制中的策略，組織，技術(shù)和運(yùn)作分別提煉，組成相應(yīng)的策略體系、組織體系、技術(shù)體系和運(yùn)作體系。每個(gè)體系由對(duì)策框架組成，對(duì)策框架由一組安全控制組成，這些安全控制是根據(jù)保護(hù)對(duì)象中的安全需求設(shè)計(jì)和選擇出來(lái)的。每一條安全控制都包含策略，組織，技術(shù)和運(yùn)作四個(gè)要素。

在校園網(wǎng)的信息系統(tǒng)安全等級(jí)保護(hù)方面，國(guó)內(nèi)尚未制定相關(guān)標(biāo)準(zhǔn)，但可以參考公安部制定的《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》進(jìn)行設(shè)計(jì)?；景踩蠓譃榛炯夹g(shù)要求和基本管理要求兩大類。技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要通過(guò)在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來(lái)實(shí)現(xiàn)；管理類安全要求與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān)，主要通過(guò)控制各種角色的活動(dòng)，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來(lái)實(shí)現(xiàn)。

基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)層面提出；基本管理要求從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面提出，基本技術(shù)要求和基本管理要求是確保信息系統(tǒng)安全不可分割的兩個(gè)部分。

根據(jù)公安部《信息系統(tǒng)等級(jí)保護(hù)技術(shù)要求》中相應(yīng)技術(shù)要求，以滿足物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及存?zhèn)浞莼謴?fù)等幾方面的基本要求為前提。

在基于人、技術(shù)及運(yùn)行的信息安全縱深防御體系中，對(duì)人的行為的控制是信息安全保障最主要的方面。下圖所示為信息安全管理體系框架，該體系包括安全方針、安全策略、安全組織、人員安全、物理安全、安全制度與管理辦法、安全標(biāo)準(zhǔn)與規(guī)范、安全政策、安全法律法規(guī)與標(biāo)準(zhǔn)、安全培訓(xùn)以及安全規(guī)范。

安全管理體系框架圖

安全策略作為建立安全機(jī)制必須首要考慮的核心，它對(duì)安全措施的具體實(shí)踐提供指導(dǎo)和支持。制定一套系統(tǒng)、科學(xué)的安全策略是指導(dǎo)學(xué)校等級(jí)化信息安全保障體系安全建設(shè)的重要內(nèi)容。

建立安全組織機(jī)構(gòu)、完善安全管理制度，建立有效的工作機(jī)制，做到事有人管，職責(zé)分工明確是有效防范由于內(nèi)部人員有意無(wú)意對(duì)系統(tǒng)造成破壞的有效保障措施。

在組織安全方針、安全策略、安全制度與管理方法、安全標(biāo)準(zhǔn)與規(guī)范的建設(shè)過(guò)程中充分體現(xiàn)國(guó)家安全政策、安全法律法規(guī)與標(biāo)準(zhǔn)是組織充分保障信息系統(tǒng)安全的基礎(chǔ)。國(guó)家安全政策、安全法律法規(guī)與標(biāo)準(zhǔn)從國(guó)家和行業(yè)的角度制約信息安全，組織必須遵循國(guó)家和相關(guān)主管部門(mén)關(guān)于信息系統(tǒng)安全方面的法律法規(guī)、政策和制度。

篇（7）

1而目前，隨著互聯(lián)網(wǎng)和網(wǎng)絡(luò)技術(shù)的發(fā)展，對(duì)于政府或企業(yè)的信息系統(tǒng)來(lái)講，更是面臨著更大的風(fēng)險(xiǎn)和挑戰(zhàn)。這就使得更多的用戶、廠商和標(biāo)準(zhǔn)化組織都在尋求一種完善的體系，來(lái)有效的保障信息系統(tǒng)的全面安全。于是，網(wǎng)絡(luò)安全保障體系應(yīng)運(yùn)而生，其主要目的是通過(guò)信息安全管理體系、信息安全技術(shù)體系以及信息安全運(yùn)維體系的綜合有效的建設(shè)，讓政府或企業(yè)的網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險(xiǎn)能夠達(dá)到一個(gè)可以控制的標(biāo)準(zhǔn)，進(jìn)一步保障網(wǎng)絡(luò)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

網(wǎng)絡(luò)安全保障體系是針對(duì)傳統(tǒng)網(wǎng)絡(luò)安全管理體系的一種重大變革。它依托安全知識(shí)庫(kù)和工作流程驅(qū)動(dòng)將包括主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等在內(nèi)的不同資產(chǎn)和存放在不同位置中的大量的安全信息進(jìn)行范式化、匯總、過(guò)濾和關(guān)聯(lián)分析，形成基于資產(chǎn)/域的統(tǒng)一等級(jí)的威脅與風(fēng)險(xiǎn)管理，并對(duì)威脅與風(fēng)險(xiǎn)進(jìn)行響應(yīng)和處理，該系統(tǒng)可以極大地提高網(wǎng)絡(luò)信息安全的可控性。

2網(wǎng)絡(luò)安全保障體系的作用。網(wǎng)絡(luò)安全保障體系在網(wǎng)絡(luò)信息安全管理中具有十分重要的作用，主要體現(xiàn)在如下三個(gè)方面：首先，網(wǎng)絡(luò)安全保障體系可以對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)中不同的安全設(shè)備進(jìn)行有效的管理，而且可以對(duì)重要的網(wǎng)絡(luò)通信設(shè)備資產(chǎn)實(shí)施完善的管理和等級(jí)保護(hù)；其次，網(wǎng)絡(luò)安全保障體系可以有效幫助網(wǎng)絡(luò)安全管理人員準(zhǔn)確分析現(xiàn)有網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全威脅，從而可以幫助管理人員制定合理的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程；最后，網(wǎng)絡(luò)安全保障體系可以通過(guò)過(guò)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行量化，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的有效監(jiān)控和管理。

網(wǎng)絡(luò)安全保障體系的構(gòu)建策略

1確定網(wǎng)絡(luò)安全保障體系構(gòu)建的具體目標(biāo)。網(wǎng)絡(luò)安全保障體系建設(shè)是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它包括信息安全組織和策略體系兩大部分，通過(guò)信息安全治理來(lái)達(dá)到具體的建設(shè)目標(biāo)。其中，信息安全的組織體系是指為了在某個(gè)組織內(nèi)部為了完成信息安全的方針和目標(biāo)而組成的特定的組織結(jié)構(gòu)，主要包括決策、管理、執(zhí)行和監(jiān)管機(jī)構(gòu)四部分組成；信息安全的策略體系是指信息安全總體方針框架、規(guī)范和信息安全管理規(guī)范、流程、制度的總和。

篇（8）

中圖分類號(hào)：TP393.08

隨著現(xiàn)代科技尤其是網(wǎng)絡(luò)技術(shù)和電腦科技的發(fā)展，各政府機(jī)關(guān)都已建立起計(jì)算機(jī)網(wǎng)絡(luò)，并通過(guò)聯(lián)網(wǎng)技術(shù)在工作中進(jìn)行信息交流和資源共享。這對(duì)于各個(gè)行政機(jī)關(guān)加強(qiáng)部門(mén)管理，并實(shí)現(xiàn)監(jiān)督所屬管轄范圍的企事業(yè)單位的要求具有相當(dāng)?shù)膸椭?。不可否認(rèn)的是，網(wǎng)絡(luò)信息往往會(huì)面臨許多安全方面的問(wèn)題。

行政機(jī)關(guān)的所使用的網(wǎng)絡(luò)信息系統(tǒng)通常是需要聯(lián)網(wǎng)使用的，通過(guò)該系統(tǒng)建立的平臺(tái)，為工作人員提供信息的交流、傳遞、管理以及其他業(yè)務(wù)的辦理等多種服務(wù)。同時(shí)該系統(tǒng)的內(nèi)部數(shù)據(jù)庫(kù)還可以對(duì)網(wǎng)絡(luò)資源或信息進(jìn)行采集、管理和，并為相關(guān)的行政部門(mén)提供服務(wù)，以有助于其開(kāi)展網(wǎng)絡(luò)視頻會(huì)議或?qū)崿F(xiàn)審批流程的順利進(jìn)行，等等。因而成為了各部門(mén)工作開(kāi)展的必備手段并有利于其工作效率的提高。

由于各行政機(jī)關(guān)的數(shù)據(jù)檔案等往往具有不對(duì)外公開(kāi)的性質(zhì)，因此對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)來(lái)說(shuō)，在滿足各部門(mén)的工作需求的基礎(chǔ)上，還應(yīng)具有易操作性以及高度的保密性和安全性。而實(shí)際上網(wǎng)絡(luò)信息在傳遞和管理時(shí)往往會(huì)面臨許多不安全的問(wèn)題如黑客和惡意軟件的攻擊等，因此應(yīng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全予以高度保障。

1影響計(jì)算機(jī)網(wǎng)絡(luò)信息安全的各個(gè)要素

由于計(jì)算機(jī)網(wǎng)絡(luò)的結(jié)構(gòu)體系比較復(fù)雜，且其各個(gè)結(jié)構(gòu)存在著較大的差異，因而容易導(dǎo)致兼容性方面出現(xiàn)問(wèn)題。此外，國(guó)際標(biāo)準(zhǔn)化組織根據(jù)互聯(lián)網(wǎng)模型的開(kāi)放系統(tǒng)將網(wǎng)絡(luò)信息的傳遞和互動(dòng)劃分為七層，以保證各種網(wǎng)絡(luò)信息都能在與其相適的結(jié)構(gòu)層次上展開(kāi)互動(dòng)和交流。以下將根據(jù)這些層次結(jié)構(gòu)的規(guī)劃，對(duì)影響計(jì)算機(jī)網(wǎng)絡(luò)信息安全的各個(gè)要素進(jìn)行討論并提出相應(yīng)的安全保障策略。

1.1系統(tǒng)方面的安全要素

系統(tǒng)方面的安全要素指的是除硬件之外的軟件系統(tǒng)環(huán)境。其安全性集中地體現(xiàn)為總部服務(wù)器及其下屬終端系統(tǒng)的網(wǎng)絡(luò)操作安全。其有效性主要在于操作系統(tǒng)內(nèi)部所存在的缺陷及其對(duì)于安全方面所進(jìn)行的配置、用戶在機(jī)制進(jìn)行操作和管理時(shí)的認(rèn)證或訪問(wèn)身份方面的安全保障以及針對(duì)系統(tǒng)方面的各種攻擊所展開(kāi)的防御等等。

1.2網(wǎng)絡(luò)方面的安全要素

網(wǎng)絡(luò)方面的安全要素主要是指在進(jìn)行信息傳遞和互動(dòng)時(shí)的安全保障措施。它主要體現(xiàn)為保障網(wǎng)絡(luò)傳輸時(shí)的信息完整和內(nèi)容隱私；保證信息資源、網(wǎng)絡(luò)系統(tǒng)以及訪問(wèn)者的身份認(rèn)證等方面的機(jī)制控制安全；保障系統(tǒng)及其硬件設(shè)備對(duì)于惡意攻擊的檢測(cè)和預(yù)防等方面的安全以及域名解析系統(tǒng)的安全性等等。

1.3管理和應(yīng)用方面的安全要素

網(wǎng)絡(luò)信息在管理和應(yīng)用方面的安全要素是指在對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)和信息應(yīng)用軟件的安全性進(jìn)行考慮的基礎(chǔ)上，對(duì)包括網(wǎng)絡(luò)設(shè)備的技術(shù)和安全管理、安全管理規(guī)范和制度、機(jī)構(gòu)人員的安全組織培訓(xùn)、網(wǎng)絡(luò)信息應(yīng)用平臺(tái)、web服務(wù)器、電子郵件系統(tǒng)、網(wǎng)絡(luò)信息系統(tǒng)、以及來(lái)自于病毒軟件的威脅等方面展開(kāi)的安全保障措施。

1.4物理方面的安全要素

物理方面的安全要素主要有網(wǎng)絡(luò)設(shè)備、通信線路以及相應(yīng)的環(huán)境安全保障等等。其中主要是指設(shè)備的互動(dòng)鏈接所遵守的物理協(xié)議標(biāo)準(zhǔn)、網(wǎng)絡(luò)信息的傳輸線路與通信線路的安全性、軟、硬件設(shè)備所具有的抗干擾性、設(shè)備運(yùn)行時(shí)的空氣溫濕度及清潔度等方面的網(wǎng)絡(luò)環(huán)境條件和電源方面的安全保障和備用等要素。

2網(wǎng)絡(luò)安全模型及相應(yīng)的安全保障策略

2.1網(wǎng)絡(luò)安全模型

想要更好地保障行政機(jī)關(guān)計(jì)算機(jī)網(wǎng)絡(luò)信息安全就應(yīng)該建立起人員、技術(shù)和管理三者合一的全面的網(wǎng)絡(luò)安全模型，從而對(duì)行政機(jī)關(guān)計(jì)算機(jī)網(wǎng)絡(luò)信息安全提供全方位的保證。

其中人員是決定所建設(shè)的網(wǎng)絡(luò)信息安全模型是否有效的關(guān)鍵因素。這是因?yàn)楣ぷ魅藛T既是對(duì)技術(shù)進(jìn)行安全操作的主體，又是開(kāi)展安全管理的主要參與者。其中，工作人員的業(yè)務(wù)水平和知識(shí)結(jié)構(gòu)是安全有效性得以保障的重要影響因素。

技術(shù)則是指網(wǎng)絡(luò)信息互動(dòng)時(shí)所使用的服務(wù)和設(shè)備方面的支持以及其他所需要的技能和工具，它是實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的基本保證。而管理是指對(duì)網(wǎng)絡(luò)信息安全的流程進(jìn)行策劃和組織等方面。工作人員對(duì)行政機(jī)關(guān)計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理的決策判斷也是影響安全保障有效性的關(guān)鍵。

此外，由于行政機(jī)關(guān)的計(jì)算機(jī)網(wǎng)絡(luò)信息安全需要時(shí)常進(jìn)行檢查以便及時(shí)發(fā)現(xiàn)問(wèn)題并進(jìn)行改善，因此在建構(gòu)網(wǎng)絡(luò)安全模型時(shí)要按照“防護(hù)、檢測(cè)、發(fā)現(xiàn)、改善和防護(hù)”的循環(huán)策略開(kāi)展相關(guān)的工作。

2.2相應(yīng)的安全保障策略

（1）系統(tǒng)安全保障策略。通過(guò)采用性能穩(wěn)定的Linux這樣的多方網(wǎng)絡(luò)操作系統(tǒng)來(lái)奠定服務(wù)器運(yùn)行的環(huán)境基礎(chǔ)，以嚴(yán)格控制權(quán)限并驗(yàn)證身份的方式來(lái)實(shí)現(xiàn)安全保障，同時(shí)對(duì)用戶登陸、資料審計(jì)以及文件簽名等環(huán)節(jié)進(jìn)行控制以檢測(cè)并維護(hù)系統(tǒng)安全，并經(jīng)常升級(jí)系統(tǒng)、補(bǔ)齊漏洞以保障系統(tǒng)安全的恢復(fù)，此外還可對(duì)用戶進(jìn)行系統(tǒng)操作的權(quán)限進(jìn)行定時(shí)更新。（2）網(wǎng)絡(luò)安全保障策略。通過(guò)采用服務(wù)器、防火墻、訪問(wèn)控制列表、防病毒軟件和掃描器等安全措施來(lái)保障網(wǎng)絡(luò)安全，并利用網(wǎng)絡(luò)三層交換機(jī)對(duì)不同的網(wǎng)絡(luò)服務(wù)需求進(jìn)行劃分，對(duì)所劃分的網(wǎng)段主機(jī)及其子網(wǎng)的檢測(cè)節(jié)點(diǎn)用入侵檢測(cè)系統(tǒng)進(jìn)行掃描，再制定出的相應(yīng)的安全策略并做出相應(yīng)的分析、執(zhí)行和改善，以此來(lái)提高網(wǎng)絡(luò)信息的安全保障。（3）管理和應(yīng)用安全保障策略。通過(guò)控制訪問(wèn)權(quán)限并時(shí)常更新、驗(yàn)證身份并對(duì)訪問(wèn)組件進(jìn)行加密的方式來(lái)實(shí)現(xiàn)安全保障，同時(shí)經(jīng)常檢測(cè)應(yīng)用程序日志和散列的文件簽名并建立起相關(guān)的安全管理制度以及相關(guān)的人力資源組織規(guī)則和標(biāo)準(zhǔn)，事件發(fā)生后要及時(shí)通知使用者，并通過(guò)對(duì)數(shù)據(jù)進(jìn)行備份的措施來(lái)實(shí)現(xiàn)數(shù)據(jù)恢復(fù)，制定出緊急響應(yīng)預(yù)案并統(tǒng)計(jì)違規(guī)操作行為，時(shí)常更新或調(diào)整網(wǎng)絡(luò)安全的組織流程，并培訓(xùn)工作者的相關(guān)技能。（4）物理安全保障策略。通過(guò)消防、環(huán)境隔離門(mén)禁、溫濕度控制以及設(shè)備保護(hù)等系統(tǒng)的采用實(shí)現(xiàn)物理安全保障，同時(shí)配備相應(yīng)裝置進(jìn)行探測(cè)和感應(yīng)，通過(guò)監(jiān)控中心的自動(dòng)響應(yīng)設(shè)備對(duì)發(fā)生的事故進(jìn)行自動(dòng)保護(hù)，同時(shí)相關(guān)工作人員也及時(shí)發(fā)現(xiàn)問(wèn)題并予以正確處理，定時(shí)檢測(cè)網(wǎng)絡(luò)安全設(shè)備并對(duì)其軟、硬件進(jìn)行修復(fù)或更換，若有必要可硬更換新設(shè)備。（5）重視各行政機(jī)關(guān)工作人員的安全作用。對(duì)于行政機(jī)關(guān)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的維護(hù)，除了上述安全保障措施以外，還應(yīng)重視各行政機(jī)關(guān)工作人員的安全作用。這是保障網(wǎng)絡(luò)信息安全的重要因素，因?yàn)樯鲜龈鞣矫娴囊責(zé)o法排除工作人員的參與。具體說(shuō)來(lái)，發(fā)揮人員方面的作用主要有以下幾點(diǎn)。首先有關(guān)部門(mén)的領(lǐng)導(dǎo)應(yīng)對(duì)網(wǎng)絡(luò)信息安全予以高度重視。其次在于相關(guān)工作人員應(yīng)有意識(shí)地增加信息安全知識(shí)以提高自身的網(wǎng)絡(luò)信息安全意識(shí)。再次是網(wǎng)絡(luò)技術(shù)人員要經(jīng)常對(duì)設(shè)備進(jìn)行巡檢并定期維護(hù)并修正相應(yīng)的安全策略。最后管理人員還應(yīng)對(duì)員工的安全問(wèn)題進(jìn)行定期檢查。

3結(jié)論

綜上所述，對(duì)行政機(jī)關(guān)的計(jì)算機(jī)網(wǎng)絡(luò)信息安全實(shí)施保障需要調(diào)動(dòng)許多方面的安全因素，從而展開(kāi)全面細(xì)致的系統(tǒng)維護(hù)，這就要求有關(guān)工作人員有意識(shí)地在實(shí)際操作中增加自己的知識(shí)和經(jīng)驗(yàn)，實(shí)現(xiàn)人員、技術(shù)和管理三位一體的安全系統(tǒng)，以更好地保障行政機(jī)關(guān)的網(wǎng)絡(luò)安全。

參考文獻(xiàn)：

[1]胡世昌.計(jì)算機(jī)網(wǎng)絡(luò)安全隱患分析與防范措施探討[J].信息與電腦(理論版),2010(10).

[2]王薪凱,姚衡,王亨.計(jì)算機(jī)網(wǎng)絡(luò)信息安全與防范[J].硅谷,2011(04).

篇（9）

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2016）11-0-03

0 引 言

隨著電子政務(wù)外網(wǎng)的發(fā)展，各省市電子政務(wù)外網(wǎng)平臺(tái)的建設(shè)均已成熟，多數(shù)省市電子政務(wù)外網(wǎng)平臺(tái)建設(shè)之初采用的是物理機(jī)傳統(tǒng)架構(gòu)部署方式。隨著信息技術(shù)的發(fā)展，云計(jì)算技術(shù)應(yīng)運(yùn)而生，電子政務(wù)云平臺(tái)的建設(shè)風(fēng)生水起。然而無(wú)論是傳統(tǒng)架構(gòu)還是在云計(jì)算環(huán)境下，電子政務(wù)外網(wǎng)平臺(tái)面臨的風(fēng)險(xiǎn)越來(lái)越多，本文就這兩種架構(gòu)下電子政務(wù)外網(wǎng)平臺(tái)的安全如何建設(shè)進(jìn)行分析，提出相應(yīng)的解決方案。

1 建設(shè)方案

電子政務(wù)外網(wǎng)平臺(tái)的安全建設(shè)應(yīng)根據(jù)業(yè)務(wù)應(yīng)用特點(diǎn)及平臺(tái)架構(gòu)層特性，應(yīng)用入侵檢測(cè)、入侵防御、防病毒網(wǎng)關(guān)、數(shù)據(jù)加密、身份認(rèn)證、安全存儲(chǔ)等安全技術(shù)，構(gòu)建面向應(yīng)用的縱深安全防御體系。電子政務(wù)外網(wǎng)平臺(tái)安全建設(shè)可從分析確定定級(jí)對(duì)象及安全等級(jí)、構(gòu)建安全保障體系、明確安全邊界、安全技術(shù)保障、安全運(yùn)維保障、安全制度保障、云計(jì)算環(huán)境下電子政務(wù)外網(wǎng)平臺(tái)安全保障幾方面考慮。

1.1 分析確定定級(jí)對(duì)象及安全等級(jí)

信息系統(tǒng)安全等級(jí)共分為五級(jí)，根據(jù)“中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局 中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)”的《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（GB/T 22240-2008）》，結(jié)合國(guó)家相關(guān)行業(yè)標(biāo)準(zhǔn)規(guī)范，分析確定定級(jí)對(duì)象及安全等級(jí)。本文以構(gòu)建信息系統(tǒng)安全等級(jí)第三級(jí)標(biāo)準(zhǔn)安全建設(shè)進(jìn)行探討。

1.2 構(gòu)建安全保障體系

電子政務(wù)外網(wǎng)平臺(tái)安全保障可從安全技術(shù)保障、安全運(yùn)維保障、安全制度保障三個(gè)方面著手考慮，根據(jù)“中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局 中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)”的《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)基本要求（GB/T 22239-2008）》進(jìn)行建設(shè)。物理機(jī)傳統(tǒng)架構(gòu)下的電子政務(wù)外網(wǎng)平臺(tái)安全保障體系架構(gòu)如圖1所示。

1.3 明確安全邊界

1.3.1 安全邊界劃分原則

安全邊界劃分原則[1]如下所示：

（1）以保障電子政務(wù)外網(wǎng)平臺(tái)信息系統(tǒng)的業(yè)務(wù)、管理、控制數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)流的安全為根本出發(fā)點(diǎn)，保障平臺(tái)安全；

（2）每個(gè)安全域的信息資產(chǎn)價(jià)值相近，具有相同或相近的安全等級(jí)、安全環(huán)境、安全策略等；

（3）根據(jù)“信息安全等?！币?，網(wǎng)絡(luò)規(guī)劃時(shí)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；

（4）根據(jù)《國(guó)家電子政務(wù)外網(wǎng)跨網(wǎng)數(shù)據(jù)安全交換技術(shù)要求與實(shí)施指南》，部署數(shù)據(jù)安全交換隔離系統(tǒng)，保障數(shù)據(jù)交換安全；

（5）對(duì)接入邊界進(jìn)行安全防護(hù)。

1.3.2 安全邊界劃分

電子政務(wù)外網(wǎng)平臺(tái)可劃分為DMZ區(qū)、內(nèi)部數(shù)據(jù)中心、互聯(lián)網(wǎng)出口區(qū)、安全及運(yùn)維管理區(qū)、邊界接入?yún)^(qū)五大區(qū)域。電子政務(wù)外網(wǎng)安全邊界劃分圖如圖2所示。

（1）DMZ區(qū)

DMZ區(qū)部署面向互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)，包括門(mén)戶網(wǎng)站、郵件服務(wù)等，應(yīng)根據(jù)實(shí)際需求部署相應(yīng)的安全策略。

（2）內(nèi)部數(shù)據(jù)中心

內(nèi)部數(shù)據(jù)中心區(qū)部署協(xié)同辦公等內(nèi)部應(yīng)用系統(tǒng)，可根據(jù)實(shí)際需求分為多個(gè)邏輯區(qū)域，如辦公業(yè)務(wù)區(qū)、測(cè)試區(qū)等，應(yīng)根據(jù)實(shí)際需求部署相應(yīng)安全策略。

（3）互聯(lián)網(wǎng)出口區(qū)

互聯(lián)網(wǎng)出口區(qū)為電子政務(wù)外網(wǎng)平臺(tái)互聯(lián)網(wǎng)接入邊界，與運(yùn)營(yíng)商網(wǎng)絡(luò)直連。該區(qū)域直接面向互聯(lián)網(wǎng)出口區(qū)域，易被不法分子利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)系統(tǒng)硬件、軟件進(jìn)行攻擊，可在該區(qū)部署相應(yīng)的防火墻策略，并結(jié)合入侵防御、安全審計(jì)等技術(shù)提供立體的、全面的、有效的安全防護(hù)，允許合法用戶通過(guò)互聯(lián)網(wǎng)訪問(wèn)電子政務(wù)外網(wǎng)。

（4）安全及運(yùn)維管理區(qū)

提供安全管理運(yùn)維服務(wù)，保障電子政務(wù)外網(wǎng)平臺(tái)的安全。提供統(tǒng)一網(wǎng)絡(luò)管控運(yùn)維服務(wù)，保障整網(wǎng)設(shè)備及業(yè)務(wù)系統(tǒng)信息正常運(yùn)行。

（5）邊界接入?yún)^(qū)

根據(jù)國(guó)家相關(guān)規(guī)范，對(duì)專網(wǎng)、企事業(yè)接入單位或其它系統(tǒng)接入電子政務(wù)外網(wǎng)時(shí)，應(yīng)在訪問(wèn)邊界部署防火墻、入侵防御系統(tǒng)，與“政務(wù)云”實(shí)現(xiàn)物理邏輯隔離，進(jìn)行安全防護(hù)。

1.4 安全技術(shù)保障

采用傳統(tǒng)架構(gòu)的電子政務(wù)外網(wǎng)平臺(tái)技術(shù)安全保障可從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面進(jìn)行考慮，可通過(guò)部署相應(yīng)產(chǎn)品或配置服務(wù)進(jìn)行安全保障。

1.4.1 物理安全

物理安全主要涉及環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等。具體包括物理位置選擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面。該部分主要體現(xiàn)為機(jī)房及弱電的建設(shè)標(biāo)準(zhǔn)、規(guī)范，技術(shù)環(huán)節(jié)應(yīng)符合相關(guān)等級(jí)保護(hù)要求。

1.4.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要包括網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等，具體包括結(jié)構(gòu)安全、訪問(wèn)控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)七個(gè)方面，關(guān)鍵安全技術(shù)保障措施如下所示：

（1）劃分安全域，根據(jù)各安全域安全建設(shè)需求采用相應(yīng)的安全策略。

（2）通過(guò)合理部署IPS、防火墻對(duì)網(wǎng)絡(luò)進(jìn)行邊界隔離和訪問(wèn)控制，并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的實(shí)時(shí)監(jiān)測(cè)，即時(shí)中斷、調(diào)整或隔離一些不正?；蚓哂袀π缘木W(wǎng)絡(luò)行為。

（3）部署防DDoS攻擊設(shè)備，及時(shí)發(fā)現(xiàn)背景流量中各種類型的攻擊流量，針對(duì)攻擊類型迅速對(duì)攻擊流量進(jìn)行攔截，保證正常流量通過(guò)。

（4）可在互聯(lián)網(wǎng)出口處部署鏈路負(fù)載均衡設(shè)備，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。

（5）采用上網(wǎng)行為管理、流量控制等設(shè)備，對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控管理，實(shí)現(xiàn)員工對(duì)終端計(jì)算機(jī)的管理和控制，規(guī)范員工上網(wǎng)行為，提高工作效率，實(shí)現(xiàn)流量控制和帶寬管理，優(yōu)化網(wǎng)絡(luò)。

（6）對(duì)關(guān)鍵設(shè)備采用冗余設(shè)計(jì)，并在重要網(wǎng)段配置ACL策略以保障帶寬優(yōu)先級(jí)。

（7）采用安全審計(jì)技術(shù)，按照一定的安全策略，利用記錄、系統(tǒng)活動(dòng)和用戶活動(dòng)等信息，檢查、審查和檢驗(yàn)操作事件的環(huán)境及活動(dòng)，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能。

1.4.3 主機(jī)、應(yīng)用安全

主機(jī)安全主要包括訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、惡意代碼防護(hù)等幾個(gè)方面。應(yīng)用安全主要包括身份鑒別、訪問(wèn)控制、安全審計(jì)、抗抵賴性等幾方面，關(guān)鍵安全技術(shù)保障措施如下所示：

（1）惡意代碼可直接利用操作系統(tǒng)或應(yīng)用程序的漏洞進(jìn)行傳播，可部署惡意代碼監(jiān)測(cè)、病毒防護(hù)系統(tǒng)及漏洞掃描等系統(tǒng)，通過(guò)主動(dòng)防御可有效阻止病毒的傳播，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)、主機(jī)、應(yīng)用及數(shù)據(jù)庫(kù)漏洞并修復(fù)，保障電子政務(wù)外網(wǎng)平臺(tái)安全。

（2）利用身份認(rèn)證技術(shù)及訪問(wèn)控制策略等技術(shù)保障主機(jī)應(yīng)用安全，不允許非預(yù)期客戶訪問(wèn)。

（3）運(yùn)用審計(jì)技術(shù)保障主機(jī)應(yīng)用安全，實(shí)時(shí)收集和監(jiān)控信息系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng)，以便進(jìn)行集中報(bào)警、記錄、分析、處理。

（4）采用應(yīng)用負(fù)載均衡技術(shù)、操作系統(tǒng)用戶登錄等技術(shù)實(shí)現(xiàn)資源的優(yōu)化控制。

（5）可部署Web應(yīng)用防火墻、網(wǎng)頁(yè)防篡改等系統(tǒng)，做到事前主動(dòng)防御，智能分析、屏蔽或阻斷對(duì)目錄中的網(wǎng)頁(yè)、電子文檔、圖片、數(shù)據(jù)庫(kù)等類型文件的非法篡改和破壞，保障系統(tǒng)業(yè)務(wù)的正常運(yùn)營(yíng)，全方位保護(hù)Web應(yīng)用安全。

1.4.4 數(shù)據(jù)安全

數(shù)據(jù)安全主要包括數(shù)據(jù)的保密性、完整性及備份和恢復(fù)，關(guān)鍵安全技術(shù)保障措施如下所示：

（1）可對(duì)不同類型業(yè)務(wù)數(shù)據(jù)進(jìn)行物理上或邏輯上隔離，并建設(shè)數(shù)據(jù)交換與隔離系統(tǒng)以保障不同安全等級(jí)的網(wǎng)絡(luò)間的數(shù)據(jù)交換安全。

（2）采用雙因素認(rèn)證進(jìn)行數(shù)據(jù)訪問(wèn)控制，不允許非預(yù)期客戶訪問(wèn)，對(duì)違規(guī)操作實(shí)時(shí)審計(jì)報(bào)警。

（3）采用VPN、數(shù)據(jù)加密、消息數(shù)據(jù)簽名、摘要等技術(shù)對(duì)數(shù)據(jù)傳輸進(jìn)行加密，防止越權(quán)訪問(wèn)機(jī)密信息或惡意篡改。

（4）采用數(shù)據(jù)庫(kù)冗余部署，防范數(shù)據(jù)丟失風(fēng)險(xiǎn)，為業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行提供保障，可考慮建設(shè)同城或異地容災(zāi)。

（5）部署數(shù)據(jù)庫(kù)審計(jì)設(shè)備可在不影響被保護(hù)數(shù)據(jù)庫(kù)性能的情況下，對(duì)數(shù)據(jù)庫(kù)的操作實(shí)現(xiàn)跟蹤記錄、定位，實(shí)現(xiàn)數(shù)據(jù)庫(kù)的在線監(jiān)控，為數(shù)據(jù)庫(kù)系統(tǒng)的安全運(yùn)行提供了有力保障。

1.5 安全運(yùn)維保障

安全運(yùn)維保障可通過(guò)安全管理平臺(tái)，建立與安全工作相配套的集中管理手段，提供統(tǒng)一展現(xiàn)、統(tǒng)一告警、統(tǒng)一運(yùn)維流程處理等服務(wù)，可使管理人員快速準(zhǔn)確的掌握網(wǎng)絡(luò)整體運(yùn)行狀況，整體反映電子政務(wù)外網(wǎng)平臺(tái)安全問(wèn)題，體現(xiàn)安全投資的價(jià)值，提高安全運(yùn)維管理水平。安全運(yùn)維管理平臺(tái)需考慮與安全各專項(xiàng)系統(tǒng)、網(wǎng)管系統(tǒng)和運(yùn)管系統(tǒng)之間以及上下級(jí)系統(tǒng)之間的接口。

1.6 安全制度保障

面對(duì)形形的安全解決方案，“三分技術(shù)、七分管理”。若僅有安全技術(shù)防護(hù)，而無(wú)嚴(yán)格的安全管理相配合，則難以保障網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全。系統(tǒng)必須有嚴(yán)密的安全管理體制來(lái)保證系統(tǒng)安全。安全制度保障可從安全管理組織、安全管理制度、安全管理手段等方面考慮，建立完善的應(yīng)急體制。

1.7 云計(jì)算環(huán)境下電子政務(wù)外網(wǎng)平臺(tái)的安全保障

云技術(shù)是基于云計(jì)算商業(yè)模式應(yīng)用的網(wǎng)絡(luò)技術(shù)、信息技術(shù)、整合技術(shù)、管理平臺(tái)技術(shù)、應(yīng)用技術(shù)等的總稱，可以組成資源池，按需所用，靈活便利。隨著時(shí)代的發(fā)展，云計(jì)算技術(shù)已變成信息系統(tǒng)主流基礎(chǔ)架構(gòu)支撐。由于云計(jì)算平臺(tái)重要支撐技術(shù)是采用虛擬化實(shí)現(xiàn)資源的邏輯抽象和統(tǒng)一表示，因此在云計(jì)算環(huán)境下進(jìn)行電子政務(wù)外網(wǎng)云平臺(tái)安全保障體系建設(shè)，僅僅采用傳統(tǒng)的安全技術(shù)是不夠的，除滿足上述物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全技術(shù)保障，運(yùn)維安全保障，安全制度保障需求之外，還應(yīng)考慮虛擬化帶來(lái)的新的安全風(fēng)險(xiǎn)。云計(jì)算環(huán)境下電子政務(wù)外網(wǎng)云平臺(tái)安全保障體系如圖3所示。

1.8 虛擬化安全

當(dāng)前，云計(jì)算虛擬化安全技術(shù)還不成熟，對(duì)虛擬化的安全防護(hù)和保障技術(shù)測(cè)評(píng)則成為云環(huán)境等級(jí)保護(hù)的一大難題，主要涉及的安全包括虛擬機(jī)逃逸防范、虛擬機(jī)通信風(fēng)險(xiǎn)、虛擬機(jī)管理平臺(tái)安全等方面?？刹扇∪缦掳踩Ｕ洗胧2]：

（1）將可信計(jì)算技術(shù)與虛擬化技術(shù)相結(jié)合，構(gòu)建可信的虛擬化平臺(tái)，形成完整的信任鏈；

（2）可建設(shè)分級(jí)訪問(wèn)控制機(jī)制，根據(jù)分層分級(jí)原則制定訪問(wèn)控制策略，實(shí)現(xiàn)對(duì)平臺(tái)中所有虛擬機(jī)的監(jiān)控管理，為數(shù)據(jù)的安全使用和訪問(wèn)建立一道屏障；

（3）可通過(guò)虛擬防火墻、虛擬IPS、虛擬防病毒軟件或虛擬安全網(wǎng)關(guān)等技術(shù)實(shí)現(xiàn)虛擬機(jī)間的安全隔離。

2 SDS安全保障技術(shù)簡(jiǎn)介

軟件定義安全（Software Defined Security，SDS）是從軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）延伸而來(lái)，將安全資源進(jìn)行池化，通過(guò)軟件進(jìn)行統(tǒng)一調(diào)度，以完成相應(yīng)的安全功能，實(shí)現(xiàn)靈活的安全防護(hù)。簡(jiǎn)單來(lái)說(shuō)，傳統(tǒng)的安全設(shè)備是單一防護(hù)軟件架構(gòu)在一臺(tái)硬件設(shè)備之上，通常串接或旁掛于網(wǎng)絡(luò)中，不僅將網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化，對(duì)不同廠家的安全設(shè)備進(jìn)行統(tǒng)一管理的復(fù)雜度也較高，需單獨(dú)的物理安裝空間。而SDS可以將其看作一個(gè)軟件，靈活調(diào)配安全設(shè)備資源，實(shí)現(xiàn)靈活的網(wǎng)絡(luò)安全防護(hù)框架，方便調(diào)整。

3 結(jié) 語(yǔ)

在大數(shù)據(jù)時(shí)代下，SDS是順應(yīng)時(shí)展趨勢(shì)、簡(jiǎn)化安全管理的訴求，但由于SDS應(yīng)用尚未完全成熟，仍需經(jīng)過(guò)實(shí)踐的檢驗(yàn)。

篇（10）

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用需求的牽引，網(wǎng)絡(luò)規(guī)模和應(yīng)用范圍不斷擴(kuò)大，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)變得更加嚴(yán)重和復(fù)雜。凡是涉及到保障銀行正常營(yíng)業(yè)的所有問(wèn)題，如信息技術(shù)設(shè)備和金融信息系統(tǒng)軟件的正常運(yùn)行、信息系統(tǒng)中業(yè)務(wù)信息及商業(yè)機(jī)密的妥善保存等，都與金融信息系統(tǒng)的安全有關(guān)，都要采取相應(yīng)的安全風(fēng)險(xiǎn)防范措施。目前，針對(duì)互聯(lián)網(wǎng)的應(yīng)用還缺乏有效的安全措施和手段，這嚴(yán)重限制了銀行系統(tǒng)通過(guò)互聯(lián)網(wǎng)對(duì)外提供服務(wù)的范圍和種類，迫切需要構(gòu)建更加科學(xué)合理的金融信息系統(tǒng)安全保障體系。

1金融信息系統(tǒng)安全保障體系總體架構(gòu)

    金融信息系統(tǒng)安全保障體系包括物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和安全管理，其總體架構(gòu)見(jiàn)圖1.

2安全保障系統(tǒng)構(gòu)成

    下面從物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和安全管理等方面來(lái)描述金融信息系統(tǒng)安全保障系統(tǒng)的構(gòu)成.

2. 1物理安全

    物理安全是保障整個(gè)網(wǎng)絡(luò)與信息系統(tǒng)安全的前提。物理安全主要涉及環(huán)境安全、設(shè)備安全和介質(zhì)安全。環(huán)境安全主要是指防雷、防水、防火、防電磁輻射等內(nèi)容;設(shè)備安全主要包括設(shè)備的防盜、防毀、防止線路被截獲、抗電磁干擾及電源保護(hù)等;介質(zhì)安全指存儲(chǔ)數(shù)據(jù)信息的介質(zhì)安全。

2. 2系統(tǒng)安全

    1)網(wǎng)絡(luò)結(jié)構(gòu)安全主要指網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否合理、線路是否有冗余。

    2)操作系統(tǒng)安全指應(yīng)采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)，關(guān)閉不常用卻存在安全隱患的應(yīng)用，對(duì)一些保存有用戶信息及其口令的關(guān)鍵文件的使用權(quán)限進(jìn)行嚴(yán)格限制。

    3)應(yīng)用系統(tǒng)安全應(yīng)用服務(wù)器盡量關(guān)閉不經(jīng)常使用的協(xié)議及協(xié)議端口號(hào)，加強(qiáng)登錄身份認(rèn)證，嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在合法的范圍內(nèi)。

    4)系統(tǒng)備份與恢復(fù)機(jī)制它是保護(hù)金融信息系統(tǒng)崩潰后快速恢復(fù)的重要技術(shù)措施，在系統(tǒng)運(yùn)行時(shí)，應(yīng)采取必要的技術(shù)手段對(duì)網(wǎng)絡(luò)及主機(jī)設(shè)備配置、金融業(yè)務(wù)系統(tǒng)等進(jìn)行備份，在故障或?yàn)?zāi)難發(fā)生時(shí)，迅速恢復(fù)系統(tǒng)到最新?tīng)顟B(tài)。

2. 3網(wǎng)絡(luò)安全

    1)隔離與訪間控制機(jī)制該機(jī)制可根據(jù)不同用戶安全級(jí)別或不同部門(mén)的安全需求，利用3層交換機(jī)來(lái)劃分虛擬子網(wǎng)(vlan);在不同業(yè)務(wù)系統(tǒng)之間劃分mpls vpn，實(shí)現(xiàn)受控互訪、隔離和信息共享;在網(wǎng)絡(luò)中配備防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)外或網(wǎng)絡(luò)內(nèi)部不同安全域之間的隔離與訪問(wèn)控制。

    2)通信保密通過(guò)采取數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層加密等措施，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中重要信息傳送的保護(hù)。

    3)入侵檢測(cè)根據(jù)已有的、最新的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)段的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)，從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。

    4)網(wǎng)絡(luò)安全掃描系統(tǒng)通過(guò)對(duì)網(wǎng)絡(luò)中所有部件進(jìn)行掃描、分析和評(píng)估，發(fā)現(xiàn)并報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞，評(píng)估安全風(fēng)險(xiǎn)，提出補(bǔ)救措施等。

2.4應(yīng)用安全

    1)訪問(wèn)控制根據(jù)金融信息系統(tǒng)建設(shè)的需要，采取自主訪問(wèn)控制或強(qiáng)制訪問(wèn)控制機(jī)制，對(duì)用戶和資源分配不同的授權(quán)級(jí)，以控制用戶對(duì)資源的訪問(wèn)。

    2)身份識(shí)別和驗(yàn)證涉及到收集驗(yàn)證數(shù)據(jù)、安全傳輸數(shù)據(jù)、查證當(dāng)前用戶是否仍是目前使用系統(tǒng)的用戶等。

    3)數(shù)據(jù)備份與恢復(fù)機(jī)制該機(jī)制是保護(hù)金融系統(tǒng)中數(shù)據(jù)資源的重要技術(shù)措施。在業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行時(shí)，應(yīng)采取磁盤(pán)鏡像、磁盤(pán)陣列、磁帶庫(kù)等技術(shù)手段，對(duì)數(shù)據(jù)信息進(jìn)行備份，并在故障或?yàn)?zāi)難發(fā)生時(shí)，采取適當(dāng)?shù)幕謴?fù)策略，修復(fù)系統(tǒng)中被破壞的或不正確的數(shù)據(jù)，使之恢復(fù)到一致性狀態(tài)。

    4 ) pk/ca認(rèn)證系統(tǒng)通過(guò)建立該系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)的身份認(rèn)證和訪問(wèn)控制，同時(shí)還可實(shí)現(xiàn)網(wǎng)絡(luò)文件傳輸?shù)谋Ｃ苄?、真?shí)性、完整性和文件的抗抵賴性。

2. 5安全管理

    金融信息系統(tǒng)是一個(gè)包括橫向、縱向連接的多級(jí)網(wǎng)絡(luò)，運(yùn)行著多個(gè)業(yè)務(wù)系統(tǒng)。為實(shí)現(xiàn)對(duì)金融信息系統(tǒng)的安全管理，應(yīng)設(shè)置安全管理中心，對(duì)安全事件、設(shè)備故障信息等進(jìn)行集中分析和處置，并在此基礎(chǔ)士實(shí)施統(tǒng)一規(guī)劃、集中管理、嚴(yán)格規(guī)章、明確責(zé)任和動(dòng)態(tài)監(jiān)控，確保金融信息系統(tǒng)安全可靠運(yùn)行。

3安全保障措施

3. 1設(shè)置安全保障策略

    1)總體安全策略在金融信息系統(tǒng)安全保障體系構(gòu)建中，應(yīng)遵循以下總體安全策略圈:①未經(jīng)允許的訪問(wèn)都要嚴(yán)格禁止;②允許的訪問(wèn)都要經(jīng)過(guò)認(rèn)證、授權(quán)才能進(jìn)行;③重要信息在網(wǎng)上傳輸要經(jīng)過(guò)加密措施。

    2)網(wǎng)絡(luò)邊界安全策略和聯(lián)動(dòng)策略在金融信息系統(tǒng)網(wǎng)絡(luò)和internet之間設(shè)置防火墻，以隱藏和保護(hù)金融信息系統(tǒng)網(wǎng)絡(luò);在網(wǎng)絡(luò)核心節(jié)點(diǎn)與各業(yè)務(wù)系統(tǒng)局域網(wǎng)邊界之間設(shè)置防火墻，允許授權(quán)用戶訪問(wèn)該局域網(wǎng)內(nèi)的特定資源;按業(yè)務(wù)和行政歸屬，在橫向和縱向網(wǎng)絡(luò)上通過(guò)采用mpls vpn技術(shù)進(jìn)行vpn劃分，實(shí)現(xiàn)有效隔離;網(wǎng)絡(luò)設(shè)備如防火墻、人侵檢測(cè)系統(tǒng)、交換機(jī)、路由器、網(wǎng)絡(luò)防病毒系統(tǒng)和訪問(wèn)控制系統(tǒng)等，既可以單獨(dú)運(yùn)行，還可以通過(guò)聯(lián)動(dòng)策略，一旦發(fā)現(xiàn)非法人侵，人侵檢測(cè)系統(tǒng)會(huì)通知相應(yīng)的安全產(chǎn)品實(shí)施聯(lián)動(dòng)保護(hù)，有效地確保金融信息系統(tǒng)網(wǎng)絡(luò)的安全。

3. 2部署安全技術(shù)和安全產(chǎn)品

    為確保金融信息系統(tǒng)的安全可靠運(yùn)行，遵循安全保障體系總體架構(gòu)和安全保障策略，應(yīng)在金融信息系統(tǒng)中部署相應(yīng)的安全技術(shù)和安全產(chǎn)品。

    1)劃分安全域根據(jù)金融信息系統(tǒng)的功能及業(yè)務(wù)特征，按照等級(jí)保護(hù)思想，將其劃分為省網(wǎng)絡(luò)管理中心局域網(wǎng)、省級(jí)城域網(wǎng)接入單位的接人網(wǎng)絡(luò)等安全區(qū)域，對(duì)不同安全域?qū)嵤┑燃?jí)保護(hù)，既方便了用戶使用，又加強(qiáng)了安全防護(hù)。

    2)防火墻技術(shù)防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵人，通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

    3)mpls vpn技術(shù)由于金融信息系統(tǒng)承載多個(gè)相對(duì)獨(dú)立的業(yè)務(wù)系統(tǒng)，各業(yè)務(wù)系統(tǒng)為不同的職能部門(mén)開(kāi)展業(yè)務(wù)提供服務(wù)。因此，應(yīng)采用mplsvpn技術(shù)，按照業(yè)務(wù)系統(tǒng)和業(yè)務(wù)類型進(jìn)行縱向vpn和橫向vpn劃分，實(shí)現(xiàn)不同業(yè)務(wù)系統(tǒng)之間的安全隔離及全網(wǎng)對(duì)不同業(yè)務(wù)系統(tǒng)的統(tǒng)一管理。

    4)人侵檢測(cè)系統(tǒng)在金融信息系統(tǒng)中設(shè)置人侵檢測(cè)系統(tǒng)，對(duì)系統(tǒng)的網(wǎng)絡(luò)安全狀態(tài)進(jìn)行定期的檢查，對(duì)人侵事件進(jìn)行報(bào)警并記錄，并通過(guò)完整的安全策略，利用人侵檢測(cè)系統(tǒng)與防火墻的有效互動(dòng)，對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)施全方位保護(hù)。

    5)防病毒系統(tǒng)在網(wǎng)絡(luò)中對(duì)所有可能造成危害的病毒源或通道配置對(duì)應(yīng)的防病毒軟件。該系統(tǒng)提供集中式的管理，將反病毒程序的安裝、執(zhí)行、預(yù)約掃描、更新升級(jí)、病毒碼分發(fā)和共享等日常的管理維護(hù)工作化繁為簡(jiǎn)，對(duì)病毒進(jìn)行實(shí)時(shí)監(jiān)控，使網(wǎng)絡(luò)免遭病毒的人侵和危害。

    6)違規(guī)外聯(lián)監(jiān)控系統(tǒng)通過(guò)該系統(tǒng)對(duì)非法連接國(guó)際互聯(lián)網(wǎng)行為進(jìn)行監(jiān)測(cè)，對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)的主機(jī)撥號(hào)、雙網(wǎng)卡、服務(wù)器等多種上網(wǎng)行為進(jìn)行集中統(tǒng)一管理。違規(guī)外聯(lián)監(jiān)控系統(tǒng)根據(jù)監(jiān)控策略，可對(duì)非法連接進(jìn)行切斷或報(bào)警，同時(shí)記錄、存儲(chǔ)、查詢相關(guān)信息。

    7)安全評(píng)估系統(tǒng)該系統(tǒng)對(duì)工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)應(yīng)用等各種對(duì)象可能存在的安全漏洞進(jìn)行逐項(xiàng)檢查，根據(jù)掃描結(jié)果向系統(tǒng)提供安全性分析報(bào)告。安全掃描技術(shù)與防火墻、人侵檢測(cè)系統(tǒng)互相配合與聯(lián)動(dòng)，能夠提供安全性更高的網(wǎng)絡(luò)。