前言：想要寫(xiě)出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇信息安全技術(shù)報(bào)告范文，相信會(huì)為您的寫(xiě)作帶來(lái)幫助，發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。

信息安全技術(shù)報(bào)告范文第1篇

1 調(diào)研項(xiàng)目的設(shè)計(jì)與調(diào)研范圍及方法

1.1 項(xiàng)目設(shè)計(jì)?！笆晃濉逼陂g，省人口計(jì)生委全面推進(jìn)人口信息化管理，啟動(dòng)建設(shè)國(guó)家中部人口信息中心和河南全員人口統(tǒng)籌管理信息系統(tǒng)（“金人”工程）。以省級(jí)集中方式實(shí)現(xiàn)全員戶籍人口和流動(dòng)人口信息管理，個(gè)案信息納入省庫(kù)管理，人口計(jì)生信息化網(wǎng)絡(luò)已經(jīng)覆蓋省、市、縣、鄉(xiāng)和30%以上的行政村。信息工作全面推開(kāi)，數(shù)字檔案信息安全管理出現(xiàn)了許多亟待解決的問(wèn)題。項(xiàng)目目的是為摸清數(shù)字檔案信息安全現(xiàn)狀，發(fā)現(xiàn)信息安全管理工作中存在的問(wèn)題及困難，提出合理化建議，以便采取有針對(duì)性的措施。

1.2 調(diào)研范圍與方式。此次調(diào)研從2011年3月起至2013年3月30日止，在全省隨機(jī)選取4個(gè)省級(jí)計(jì)生部門(mén)（省計(jì)生科研院、省藥具管理站和省計(jì)生協(xié)會(huì)、省計(jì)生干部學(xué)院）、26個(gè)市級(jí)計(jì)生部門(mén)（包括市計(jì)生委、市藥具站、市協(xié)會(huì)、市技術(shù)指導(dǎo)站）、63個(gè)縣區(qū)級(jí)計(jì)生部門(mén)（包括縣計(jì)生委、縣計(jì)生指導(dǎo)站、縣藥具站）單位和個(gè)人，發(fā)放調(diào)查表200份，收回問(wèn)卷196份，有效率98%。

主要運(yùn)用問(wèn)卷調(diào)查、電話采訪與實(shí)地調(diào)研相結(jié)合的方法，把影響數(shù)字檔案信息安全的管理、硬件設(shè)施和人員素質(zhì)三個(gè)方面作為問(wèn)卷設(shè)計(jì)和訪談內(nèi)容。根據(jù)國(guó)家有關(guān)的電子文件歸檔管理文件和計(jì)生系統(tǒng)的實(shí)際，針對(duì)單位和個(gè)人設(shè)計(jì)了兩張問(wèn)卷，單位問(wèn)卷設(shè)置了21道題目，個(gè)人問(wèn)卷設(shè)置了2大類題，16道小題。

2 數(shù)字檔案信息安全現(xiàn)狀與調(diào)查分析

2.1 數(shù)字檔案業(yè)務(wù)概況。在省級(jí)機(jī)構(gòu)，2個(gè)單位有綜合檔案室，其他單位檔案按照業(yè)務(wù)劃分科室管理，都有專兼職固定的檔案員，單位檔案管理狀況較好，數(shù)字檔案占全部檔案資料的7%；受編制限制和工作業(yè)務(wù)限制，市縣區(qū)級(jí)計(jì)生檔案部門(mén)紙質(zhì)檔案文件來(lái)源少，最少的內(nèi)部發(fā)文只有10件，數(shù)字檔案數(shù)量更少，沒(méi)有實(shí)現(xiàn)集中管理；全系統(tǒng)的檔案管理工作大多停留在傳統(tǒng)的保管紙質(zhì)檔案文件的工作模式上，電子文件不能有效歸檔，從而無(wú)法實(shí)現(xiàn)妥善保管。

2.2 管理體制情況。參與調(diào)研的單位中，數(shù)字檔案信息安全工作均實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理的模式，包括業(yè)務(wù)督導(dǎo)和組織培訓(xùn)。省市級(jí)單位按要求全部參加全省人口計(jì)生系統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)班，對(duì)網(wǎng)絡(luò)基礎(chǔ)知識(shí)、交換原理、路由技術(shù)與路由器、信息安全有一定了解。對(duì)本單位檔案部門(mén)或下屬單位檔案工作主要通過(guò)組織人員參加基本業(yè)務(wù)或?qū)ｎ}培訓(xùn)班（如安裝統(tǒng)一的管理軟件）以及個(gè)別指導(dǎo)的方式進(jìn)行。市縣級(jí)計(jì)生部門(mén)的數(shù)字檔案信息安全工作以接受上級(jí)監(jiān)督指導(dǎo)為主，95%單位把數(shù)字檔案信息安全工作納入了年度工作計(jì)劃或“十二五”檔案數(shù)字加工與信息安全發(fā)展規(guī)劃；用于數(shù)字檔案信息安全工作所需經(jīng)費(fèi)全部來(lái)自財(cái)政撥款，投入比例信息大都不愿透露，無(wú)法了解到；參與調(diào)研單位全部配備信息員和專、兼職人員管理數(shù)字檔案信息工作。

2.3 制度建設(shè)情況。在省人口計(jì)生委突發(fā)公共事件應(yīng)急處理工作領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)下，出臺(tái)了《河南省人口計(jì)生委突發(fā)公共事件應(yīng)急預(yù)案》，其中包含了數(shù)字檔案信息安全內(nèi)容。70%以上的單位有信息安全緊急預(yù)案，但是數(shù)字檔案信息安全專項(xiàng)制度缺失。

2.4 硬件配備情況。安全基礎(chǔ)設(shè)施是數(shù)字檔案信息安全管理的保障。對(duì)安全基礎(chǔ)設(shè)施包括設(shè)備配置、網(wǎng)站建設(shè)、是否安裝防病毒設(shè)施等方面進(jìn)行了調(diào)研。在被調(diào)研的單位中，98.89%市縣人口計(jì)生委單機(jī)配備數(shù)量和機(jī)關(guān)公務(wù)員編制人數(shù)（不含機(jī)房設(shè)備和筆記本計(jì)算機(jī)）持平，市縣藥具站單機(jī)配備數(shù)量達(dá)到每個(gè)業(yè)務(wù)科室至少1臺(tái)標(biāo)準(zhǔn)，95.37%以上單位計(jì)算機(jī)安裝有防火墻，但在入侵檢測(cè)、信息加密方面設(shè)施不足；大多應(yīng)用office辦公軟件對(duì)檔案進(jìn)行目錄級(jí)管理，數(shù)字化管理檔案水平普遍偏低；省級(jí)、市級(jí)計(jì)生部門(mén)全部建有網(wǎng)站和局域網(wǎng)，26個(gè)市級(jí)調(diào)研單位中安裝數(shù)字化檔案采集轉(zhuǎn)化系統(tǒng)的有6個(gè)，占23.08%；安裝在線檔案存儲(chǔ)管理與安全系統(tǒng)的有4個(gè)，占15.38%，縣區(qū)級(jí)計(jì)生部門(mén)安全設(shè)施建設(shè)在經(jīng)費(fèi)緊張的情況下，投入較少。

2.5 人員數(shù)字檔案信息安全素質(zhì)情況。從參加調(diào)研的196名工作人員中了解到，工作上大量使用計(jì)算機(jī)，每天使用電腦工作2小時(shí)～5小時(shí)的有83人，占總數(shù)的42.34%，使用5小時(shí)～8小時(shí)的有54人，占總數(shù)的27.55%。使用電腦的主要目的，選工作的有164人，占總數(shù)的83.67%；查閱資料的有129人，占總數(shù)的65.82%。人員學(xué)歷水平，中專學(xué)歷的有31人，占總數(shù)的15.81%；大專以上學(xué)歷的有94人，占總數(shù)的47.95%；本科以上學(xué)歷的有67人，占總數(shù)的34.18%；碩士學(xué)位的有1人，占總數(shù)的0.05%。

平常工作中，使用殺毒軟件的有193人，占總數(shù)的98.47%；能夠自行處理病毒（求助他人或者找專業(yè)人士）的有161人，占總數(shù)的82.14%。在“您了解哪類信息安全技術(shù)和產(chǎn)品”問(wèn)題的備選答案“防火墻、反病毒軟件、反垃圾郵件、動(dòng)態(tài)密碼令牌”中，選擇最多的是防火墻，占總數(shù)的83.81%。認(rèn)為當(dāng)前數(shù)字檔案信息安全障礙主要有：選擇信息安全人才不夠的有66人，占總數(shù)的33.67%；選擇技術(shù)不過(guò)關(guān)的有60人，占總數(shù)的30.61%；選擇普遍缺乏信息安全意識(shí)的有44人，占總數(shù)的22.45%。參加了計(jì)算機(jī)安全知識(shí)培訓(xùn)的有158人，占總數(shù)的80.61%，其中，參加本單位檔案信息安全培訓(xùn)的有77人，占總數(shù)的39.29%，參加計(jì)生委培訓(xùn)的有85人，占總數(shù)的43.37%，86.53%的人員只接受過(guò)一次培訓(xùn)。

3 關(guān)于我省計(jì)生系統(tǒng)數(shù)字檔案安全的建議

通過(guò)定量和定性的分析，得出當(dāng)前計(jì)生系統(tǒng)的數(shù)字檔案信息安全存在以下問(wèn)題：檔案的數(shù)字化水平偏低，多數(shù)人員對(duì)數(shù)字檔案信息安全管理的重要性、緊迫性認(rèn)識(shí)不足，認(rèn)為保障信息安全就是保障數(shù)字檔案信息安全；對(duì)數(shù)字檔案信息安全知識(shí)了解甚少，認(rèn)為保障數(shù)字檔案信息安全就是安裝殺毒軟件、設(shè)置防火墻；接受檔案業(yè)務(wù)培訓(xùn)和數(shù)字檔案信息安全教育頻次偏低；行業(yè)性的數(shù)字檔案信息安全制度缺失；缺乏專業(yè)數(shù)字檔案安全管理人才和硬件設(shè)備等問(wèn)題，與當(dāng)前數(shù)字檔案信息安全工作發(fā)展有相當(dāng)大差距，與大量應(yīng)用計(jì)算機(jī)工作實(shí)際情況極不協(xié)調(diào)。針對(duì)以上問(wèn)題，提出如下建議：

一是加強(qiáng)數(shù)字檔案信息安全意識(shí)教育和宣傳。建議在已有的人口數(shù)據(jù)信息平臺(tái)的基礎(chǔ)上，利用全員、流動(dòng)人口、利導(dǎo)、人事、財(cái)務(wù)等人口信息系統(tǒng)服務(wù)基層，同時(shí)宣傳檔案和數(shù)字檔案信息安全知識(shí)，以期達(dá)到良好效果。在實(shí)際工作中，加強(qiáng)宣傳和管理力度，將數(shù)字檔案信息安全工作實(shí)行工作考核制，納入年度考核和目標(biāo)考評(píng)。

二是培養(yǎng)復(fù)合型人才。專業(yè)信息安全管理人才是保障信息安全的最有效措施。對(duì)計(jì)生部門(mén)全體人員根據(jù)對(duì)象的業(yè)務(wù)需求分層級(jí)、有重點(diǎn)、有周期地組織數(shù)字檔案信息安全知識(shí)培訓(xùn)，提高數(shù)字檔案安全意識(shí)水平，并保證各層級(jí)檔案人員接受培訓(xùn)的頻次。如通過(guò)上級(jí)對(duì)下級(jí)的業(yè)務(wù)監(jiān)督指導(dǎo)或參加相關(guān)的數(shù)字檔案信息安全培訓(xùn)、組建QQ業(yè)務(wù)群、制作數(shù)字檔案整理流程教學(xué)光盤(pán)、電子版制度匯編及業(yè)務(wù)手冊(cè)等手段，實(shí)行多渠道、多層次、多類型的方法培養(yǎng)人才，提高隊(duì)伍的整體數(shù)字檔案信息安全業(yè)務(wù)素質(zhì)。

三是建立健全數(shù)字檔案信息安全規(guī)章制度。針對(duì)調(diào)研中發(fā)現(xiàn)的缺乏人口計(jì)生數(shù)字檔案信息安全標(biāo)準(zhǔn)規(guī)范體系問(wèn)題，今后，應(yīng)著重建立管理制度：首先是實(shí)行數(shù)字檔案信息安全管理崗位責(zé)任制，做到分工明確、層層負(fù)責(zé)，確保網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的安全，讓參與數(shù)字檔案信息安全保障的所有人員都能夠按照確定的要求去行動(dòng)。其次是建立符合實(shí)際的數(shù)字檔案信息安全管理制度。根據(jù)數(shù)字檔案業(yè)務(wù)實(shí)際，對(duì)數(shù)字檔案信息化管理的軟件、操作系統(tǒng)、數(shù)據(jù)的維護(hù)、防災(zāi)和恢復(fù)建立相關(guān)制度，制定應(yīng)急處置預(yù)案。定期開(kāi)展應(yīng)急演練，提高整體數(shù)字檔案信息安全防范水平。最后是業(yè)務(wù)工作制度化，對(duì)新發(fā)現(xiàn)的問(wèn)題，如人口科技檔案、免費(fèi)計(jì)生項(xiàng)目電子檔案的歸檔范圍及整理方式等制定相應(yīng)的管理規(guī)范，及時(shí)統(tǒng)一歸檔，為科技業(yè)務(wù)工作提供高質(zhì)量的數(shù)據(jù)支持。

四是項(xiàng)目帶動(dòng)，加快數(shù)字檔案信息硬件設(shè)施的建設(shè)。數(shù)字檔案信息安全工作包括人財(cái)物投入、軟硬件的集成，需要資金、技術(shù)、政策等各方面的支持，通過(guò)計(jì)劃生育科技服務(wù)項(xiàng)目帶動(dòng)數(shù)字檔案信息安全工作是很好的一個(gè)途徑，爭(zhēng)取把數(shù)字檔案信息安全建設(shè)納入信息化建設(shè)總體規(guī)劃中，從項(xiàng)目獲取數(shù)字檔案信息安全建設(shè)的專項(xiàng)資金支持。例如，我院的孕前優(yōu)生項(xiàng)目數(shù)據(jù)庫(kù)的建設(shè)，不僅為項(xiàng)目提供了所需的軟硬件設(shè)施，也推動(dòng)了單位的數(shù)字檔案信息安全網(wǎng)絡(luò)建設(shè)。

計(jì)劃生育系統(tǒng)形成的檔案，含有大量民生信息，與改善民生、維護(hù)廣大人民群眾的合法權(quán)益息息相關(guān)，數(shù)字檔案信息安全顯得尤為重要。由于此次調(diào)研樣本量有限，難免使所得結(jié)論存在一定的局限性。期望此次調(diào)研對(duì)計(jì)生系統(tǒng)不同層級(jí)的部門(mén)數(shù)字檔案信息安全工作所作的客觀描述，能為推進(jìn)和改善計(jì)生數(shù)字檔案安全工作提供參考。

信息安全技術(shù)報(bào)告范文第2篇

 

安全技術(shù)需自主研發(fā)

 

網(wǎng)絡(luò)信息安全行業(yè)不是普通行業(yè)，是關(guān)系到國(guó)家安全的特殊行業(yè)，中國(guó)國(guó)產(chǎn)企業(yè)在從事信息安全行業(yè)時(shí)，需要有強(qiáng)烈的愛(ài)國(guó)主義情懷和刻苦研發(fā)技術(shù)的實(shí)干精神。

 

表示，中國(guó)的信息安全更應(yīng)重視核心技術(shù)的自主研發(fā)能力。在電子銀行與移動(dòng)支付興起的今天，金融業(yè)務(wù)中電子銀行和證券等領(lǐng)域面臨著網(wǎng)絡(luò)攻擊、病毒侵?jǐn)_、非法竊取賬戶信息、客戶信息泄漏等新的信息安全問(wèn)題。眾人科技研發(fā)的‘iKEY多因素動(dòng)態(tài)密碼身份認(rèn)證系統(tǒng)’正是針對(duì)信息安全問(wèn)題所研發(fā)的認(rèn)證系統(tǒng)。

 

記者了解到，“iKEY多因素動(dòng)態(tài)密碼身份認(rèn)證系統(tǒng)”是基于時(shí)間同步技術(shù)的多因素認(rèn)證系統(tǒng)，該系統(tǒng)已獲得了國(guó)家密碼管理局頒發(fā)的國(guó)內(nèi)首張動(dòng)態(tài)口令產(chǎn)品證書(shū)，相關(guān)的專用安全芯片也獲得了國(guó)內(nèi)產(chǎn)品型號(hào)證書(shū)。

 

去介質(zhì)下的認(rèn)證技術(shù)

 

最新數(shù)據(jù)顯示，截止2015年底，全國(guó)網(wǎng)民數(shù)規(guī)模已達(dá)到6.88億人，手機(jī)網(wǎng)民數(shù)達(dá)到6.2億人，占網(wǎng)民總數(shù)的90.1%，其中網(wǎng)購(gòu)用戶規(guī)模達(dá)到4.13億，比例高達(dá)六成;截至2015年12月，網(wǎng)上支付用戶規(guī)模達(dá)4.16億人，手機(jī)網(wǎng)上支付用戶規(guī)模達(dá)3.58億人，增長(zhǎng)率為64.5%。網(wǎng)民手機(jī)網(wǎng)上支付的比例由2014年底的39.0%提升至57.7%。

 

龐大的網(wǎng)民逐漸使用起網(wǎng)上支付這種便捷移動(dòng)的方式，但背后卻有著巨大的網(wǎng)絡(luò)安全隱患。就中國(guó)而言，每年造成805億資金損失，人均124元。其中約4500萬(wàn)網(wǎng)民近一年遭受經(jīng)濟(jì)損失在1000元以上，全球范圍內(nèi)的網(wǎng)絡(luò)犯罪掘金已高達(dá)3萬(wàn)億美金。

 

推測(cè)，隨著支付、存款、轉(zhuǎn)賬、理財(cái)、信貸等金融服務(wù)的線上化，未來(lái)金融服務(wù)不再依賴于實(shí)體的銀行卡，銀行物理網(wǎng)點(diǎn)也將轉(zhuǎn)型并逐漸消失，未來(lái)銀行的介質(zhì)是可以多元化的，比如虹膜、指紋等，甚至銀行卡實(shí)體會(huì)“消失”或者虛擬化。

 

基于這些實(shí)際情況，上海眾人網(wǎng)絡(luò)安全技術(shù)有限公司的研發(fā)團(tuán)隊(duì)最新發(fā)明了移動(dòng)互聯(lián)網(wǎng)創(chuàng)新密碼技術(shù)——SOTP，即“多因素動(dòng)態(tài)可重構(gòu)的確定真實(shí)性認(rèn)證技術(shù)”，實(shí)現(xiàn)了密鑰和算法的融合，在無(wú)需增加硬件的前提下，采用軟件方式解決移動(dòng)設(shè)備中存儲(chǔ)密鑰的關(guān)鍵性問(wèn)題。表示：“該項(xiàng)技術(shù)從加密協(xié)議到密碼算法的所有部件都由眾人科技自主研發(fā)，在業(yè)界具有領(lǐng)先優(yōu)勢(shì)?！?/p>

 

提高全民安全意識(shí)

 

據(jù)《中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告(2015)》顯示，79.2%的中國(guó)網(wǎng)民個(gè)人身份信息被泄露過(guò)，包括網(wǎng)民的姓名、學(xué)歷、家庭住址、身份證號(hào)和工作單位等;63.4%的網(wǎng)民個(gè)人網(wǎng)上活動(dòng)信息被泄露過(guò)，包括通話記錄、網(wǎng)購(gòu)記錄、網(wǎng)站瀏覽痕跡、IP地址等等。

 

未來(lái)，隨著民眾對(duì)信息安全的重視，信息安全技術(shù)逐漸升溫，很多信息網(wǎng)絡(luò)企業(yè)開(kāi)始積極投身到這個(gè)領(lǐng)域，說(shuō)：“網(wǎng)絡(luò)信息安全企業(yè)不同于普通行業(yè)，信息安全人士需要有持久的耐心，由于安全密碼行業(yè)的認(rèn)證許可門(mén)檻高，研發(fā)的新技術(shù)從獲得政府監(jiān)管部門(mén)的認(rèn)證許可，到產(chǎn)品真正被市場(chǎng)認(rèn)可并應(yīng)用，需要經(jīng)過(guò)漫長(zhǎng)的時(shí)間。”

 

另一方面，認(rèn)為提高廣大民眾和企業(yè)的信息安全意識(shí)是發(fā)展自主信息安全產(chǎn)品的根本與前提。但大多數(shù)人對(duì)信息安全還停留在模糊認(rèn)識(shí)的階段，為此，眾人科技團(tuán)隊(duì)曾四處奔走為信息安全搖旗吶喊，致力于提高廣大民主的信息安全意識(shí)，增進(jìn)公眾對(duì)信息安全的關(guān)注和投入，為信息安全行業(yè)的發(fā)展創(chuàng)造一個(gè)良好的環(huán)境。

信息安全技術(shù)報(bào)告范文第3篇

關(guān)鍵詞：計(jì)算機(jī)技術(shù) 網(wǎng)絡(luò) 不安全問(wèn)題 信息安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2013）02-0172-01

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，它的開(kāi)放性，共享，互聯(lián)程度的增加，網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響越來(lái)越大。網(wǎng)絡(luò)與信息安全問(wèn)題日益突出，已成為國(guó)家安全，社會(huì)穩(wěn)定和人民生活，網(wǎng)絡(luò)安全技術(shù)的發(fā)展及相應(yīng)的網(wǎng)絡(luò)技術(shù)，安全、有序、高效的網(wǎng)絡(luò)安全運(yùn)行，是保證網(wǎng)絡(luò)的一個(gè)關(guān)鍵，高效，有序的應(yīng)用。

1 網(wǎng)絡(luò)信息不安全原因

不安全的網(wǎng)絡(luò)從總體上看主要來(lái)自兩方面，一是人為和自然災(zāi)害；另一方面是網(wǎng)絡(luò)系統(tǒng)本身的缺陷。人的原因是人的入侵和攻擊，破壞網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。一些“黑客”計(jì)算機(jī)病毒可以方便地在網(wǎng)絡(luò)中傳播，入侵和攻擊，摧毀單位或個(gè)人計(jì)算機(jī)系統(tǒng)，竊取機(jī)密信息和帳戶密碼，從事各種違法犯罪活動(dòng)。自然災(zāi)害的主要原因是指火災(zāi)，洪水，暴雨，雷電，地震的破壞，環(huán)境（溫度，濕度，振動(dòng)，沖擊，污染的影響）。據(jù)調(diào)查，許多大型計(jì)算機(jī)房，沒(méi)有地震，防水，雷擊，電磁泄漏或干擾措施，接地系統(tǒng)缺乏周密考慮，因而抵抗自然災(zāi)害和意外事故，計(jì)算機(jī)信息系統(tǒng)不能正常、可靠地運(yùn)行，這是常見(jiàn)的。設(shè)備損壞，數(shù)據(jù)丟失等現(xiàn)象。

2 網(wǎng)絡(luò)信息安全的現(xiàn)狀和特點(diǎn)

根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心，中國(guó)的統(tǒng)計(jì)數(shù)據(jù)顯示，截至2010年12月31日，中國(guó)網(wǎng)民規(guī)模占全球互聯(lián)網(wǎng)用戶總數(shù)的23.2%，在亞洲互聯(lián)網(wǎng)用戶總數(shù)的55.4%。網(wǎng)絡(luò)購(gòu)物用戶規(guī)模達(dá)161000000人，網(wǎng)絡(luò)購(gòu)物用戶每年增長(zhǎng)48.6%，是增長(zhǎng)最快的應(yīng)用程序用戶。互聯(lián)網(wǎng)已經(jīng)融入到人們的生活，所有的學(xué)習(xí)領(lǐng)域，使人們的生活變得豐富多彩，但也帶來(lái)了許多安全問(wèn)題，并越來(lái)越嚴(yán)重。主要表現(xiàn)在以下幾個(gè)方面：

2.1 網(wǎng)絡(luò)安全防范意識(shí)薄弱

目前，企業(yè)已在其內(nèi)部辦公網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行整合，從上到下建立一個(gè)數(shù)據(jù)采集系統(tǒng)，網(wǎng)上辦公系統(tǒng)，對(duì)網(wǎng)絡(luò)的需求越來(lái)越大，但相比于網(wǎng)絡(luò)安全的維護(hù)網(wǎng)絡(luò)安全投資網(wǎng)絡(luò)建設(shè)的投資遠(yuǎn)遠(yuǎn)落后。許多人沒(méi)有目的和清晰的認(rèn)識(shí)，對(duì)本單位網(wǎng)絡(luò)安全現(xiàn)狀，有許多認(rèn)知盲區(qū)，沒(méi)有形成主動(dòng)預(yù)防的意識(shí)，積極響應(yīng)，更不用說(shuō)提高網(wǎng)絡(luò)監(jiān)測(cè)，保護(hù)，響應(yīng)，恢復(fù)和戰(zhàn)斗了。

2.2 病毒泛濫防不勝防

據(jù)公安部的《第九次全國(guó)信息網(wǎng)絡(luò)安全狀況與計(jì)算機(jī)病毒疫情調(diào)查報(bào)告》。在已發(fā)生的網(wǎng)絡(luò)信息安全事件中，感染計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序的情況占全部類型的70.5%。

目前，加重計(jì)算機(jī)病毒木馬本土化的趨勢(shì)，品種更快，更多的變化，潛伏性和隱蔽性增強(qiáng)，識(shí)別難度更大，和殺毒軟件的能力更強(qiáng)，攻擊目標(biāo)是明確的，顯著的盈利目標(biāo)。因此，一個(gè)計(jì)算機(jī)用戶賬號(hào)密碼被盜的現(xiàn)象越來(lái)越多。木馬病毒傳播的主要渠道是網(wǎng)頁(yè)掛馬和移動(dòng)存儲(chǔ)介質(zhì)中，網(wǎng)頁(yè)，網(wǎng)頁(yè)木馬和可移動(dòng)的存儲(chǔ)介質(zhì)，其中的網(wǎng)頁(yè)木馬出現(xiàn)復(fù)合化的趨勢(shì)。病毒，木馬，蠕動(dòng)蔓延的長(zhǎng)期影響的總體情況，網(wǎng)絡(luò)與信息安全。

2.3 黑客的威脅

黑客們利用單位的安全漏洞，非法訪問(wèn)內(nèi)部網(wǎng)絡(luò)，未經(jīng)許可，任何修改各類數(shù)據(jù)，非法獲取相關(guān)信息，擾亂了網(wǎng)絡(luò)的秩序。

3 網(wǎng)絡(luò)安全的防范策略

加強(qiáng)網(wǎng)絡(luò)安全技術(shù)應(yīng)用：（1）虛擬網(wǎng)絡(luò)技術(shù)的使用，網(wǎng)絡(luò)監(jiān)控和入侵的預(yù)防手段。（2）用于保護(hù)網(wǎng)絡(luò)免受黑客防火墻技術(shù)。（3）檢測(cè)和病毒查殺病毒保護(hù)技術(shù)。（4）為了保證應(yīng)用平臺(tái)和操作系統(tǒng)，利用電子郵件安全應(yīng)用系統(tǒng)的安全技術(shù)。有關(guān)法律、法規(guī)和提高網(wǎng)絡(luò)安全教育。除了上面提到的技術(shù)手段，大力開(kāi)展網(wǎng)絡(luò)安全教育和完善有關(guān)法律法規(guī)，為人工措施不容忽視。近年來(lái)，網(wǎng)絡(luò)安全威脅，網(wǎng)絡(luò)欺騙是因?yàn)榫W(wǎng)絡(luò)安全意識(shí)的淡薄等相關(guān)的原因。因此，有必要進(jìn)行改進(jìn)，結(jié)合網(wǎng)絡(luò)安全技術(shù)手段發(fā)揮有效的影響。

參考文獻(xiàn)

[1]唐明雙.論對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全及建設(shè)的研究[J].數(shù)字技術(shù)與應(yīng)用.2012（12）.

[2]王大鵬.計(jì)算機(jī)網(wǎng)絡(luò)安全與防范策略研究[J].科技視界.2012（26）.

[3]朝曉華.淺析計(jì)算機(jī)信息安全技術(shù)[J].黑龍江科技信息，2010，15.

[4]關(guān)良輝.電力企業(yè)局域網(wǎng)的信息安全研究[J].電力安全技術(shù)，2010.（6）.

信息安全技術(shù)報(bào)告范文第4篇

【 關(guān)鍵詞 】 信息安全；電力企業(yè)；風(fēng)險(xiǎn)評(píng)估；管理模式

1 引言

在如今的信息化社會(huì)中，信息通過(guò)共享傳遞實(shí)現(xiàn)其價(jià)值。在信息交換的過(guò)程中，人們肯定會(huì)擔(dān)心自己的信息泄露，所以信息安全備受關(guān)注，企業(yè)的信息安全就更為重要了。但是網(wǎng)絡(luò)是一個(gè)開(kāi)放互聯(lián)的環(huán)境，接入網(wǎng)絡(luò)的方式多樣，再加上技術(shù)存在的漏洞或者人們可能的操作失誤等，信息安全問(wèn)題一刻不容忽視。尤其是電力，是國(guó)家規(guī)定的重要信息安全領(lǐng)域。所以電力企業(yè)要把信息安全管理體系的建設(shè)，作為重要的一環(huán)納入到整個(gè)企業(yè)管理體系中去。

2 電力企業(yè)信息管理體系建設(shè)的依據(jù)

關(guān)于企業(yè)的安全管理體系方面的標(biāo)準(zhǔn)有很多。英國(guó)BSI/DISC的BDD信息管理委員會(huì)制定的安全管理體系主要包含兩個(gè)部分內(nèi)容：信息安全管理實(shí)施規(guī)則和信息安全管理體系規(guī)范。信息安全管理實(shí)施規(guī)則是一個(gè)基礎(chǔ)性指導(dǎo)文件，里面有10大管理項(xiàng)、36個(gè)執(zhí)行的目標(biāo)和127種控制的方法，可以作為開(kāi)發(fā)人員在信息安全管理體系開(kāi)發(fā)過(guò)程中的一個(gè)參考文檔。信息安全管理體系規(guī)范則詳細(xì)描述了在建立、施工和維護(hù)信息安全管理體系過(guò)程的要求，并提出了一些具體操作的建議。

國(guó)際標(biāo)準(zhǔn)化組織也了很多關(guān)于信息安全技術(shù)的標(biāo)準(zhǔn)，如ISO x系列、ISO/IEC x系列等。我國(guó)也制定了一系列的信息安全標(biāo)準(zhǔn)，如GB 15851―1995。

關(guān)于企業(yè)信息安全管理體系方面的標(biāo)準(zhǔn)眾多，如何針對(duì)企業(yè)自身實(shí)際情況選擇合適的參考標(biāo)準(zhǔn)很重要，尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì)，選擇信息安全體系建設(shè)的參考標(biāo)準(zhǔn)更要謹(jǐn)慎。我國(guó)電力企業(yè)已經(jīng)引入了一些國(guó)際化標(biāo)準(zhǔn)作為建立和維護(hù)企業(yè)運(yùn)轉(zhuǎn)的保證，關(guān)于信息安全體系的標(biāo)準(zhǔn)也應(yīng)納入到保證企業(yè)運(yùn)轉(zhuǎn)的一系列參考中去。電力企業(yè)總體應(yīng)有一致的安全信息管理體系參考標(biāo)準(zhǔn)，但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境，所以在總體一致的信息安全標(biāo)準(zhǔn)的情況下，也應(yīng)該根據(jù)企業(yè)自身地區(qū)、人文、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標(biāo)準(zhǔn)作為建立、實(shí)施和維護(hù)信息安全管理體系的依據(jù)。信息安全管理體系顧全大局又要有所側(cè)重的體現(xiàn)電力企業(yè)安全標(biāo)準(zhǔn)的要求。

3 信息安全管理體系里的重要環(huán)節(jié)

3.1 硬件環(huán)境要求

信息安全管理體系并沒(méi)有特別要求添加什么特別的設(shè)備，只是對(duì)企業(yè)用到的設(shè)備做一些要求。電力企業(yè)一般采用內(nèi)外網(wǎng)結(jié)合的方式，內(nèi)外網(wǎng)設(shè)備要盡量進(jìn)行物理隔離。企業(yè)每個(gè)員工基本都有自己的移動(dòng)設(shè)備，如手機(jī)等，為了增加信息安全的系數(shù)，企業(yè)可以限制公司設(shè)備的無(wú)線網(wǎng)絡(luò)拓展。另外，實(shí)時(shí)監(jiān)控系統(tǒng)也應(yīng)該覆蓋企業(yè)的重要設(shè)備，監(jiān)控硬件設(shè)備的安全。

3.2 軟件環(huán)境要求

在企業(yè)設(shè)備（主要是計(jì)算機(jī)）上部署相關(guān)軟件環(huán)境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等，以此防止網(wǎng)絡(luò)攻擊或者提高安全系數(shù)。另外，企業(yè)設(shè)備所用系統(tǒng)的安全漏洞修復(fù)、數(shù)據(jù)的加密解密、數(shù)據(jù)的備份恢復(fù)及數(shù)據(jù)傳輸通道的加密解密等問(wèn)題，都在信息安全管理體系設(shè)計(jì)的考慮范疇。

3.3 企業(yè)員工管理

盡管現(xiàn)在一直倡導(dǎo)智能化，但是企業(yè)內(nèi)進(jìn)行設(shè)備等操作的主體還是員工。不管是對(duì)設(shè)備終端操作來(lái)進(jìn)行信息的首發(fā)，還是對(duì)企業(yè)軟硬件系統(tǒng)進(jìn)行維護(hù)工作，都是有員工來(lái)進(jìn)行的。所以，對(duì)企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn)，提高員工的信息安全防范意識(shí)，讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對(duì)不同的職位，在員工上崗前應(yīng)該進(jìn)行相關(guān)的信息安全方面的培訓(xùn)，然后對(duì)培訓(xùn)結(jié)果進(jìn)行考核，不合格的人員不準(zhǔn)上崗。在崗的人員也要定期進(jìn)行培訓(xùn)與考核。另外，如果有條件的話，企業(yè)應(yīng)該定期（例如每年）進(jìn)行一次信息安全的相關(guān)演習(xí)。

另外，電力企業(yè)有些項(xiàng)目是外包給其他相應(yīng)公司的，這時(shí)候會(huì)有施工人員和駐場(chǎng)人員在電力企業(yè)，對(duì)這些人員也應(yīng)該進(jìn)行電力企業(yè)信息安全的培訓(xùn)。

3.4 信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評(píng)估

風(fēng)險(xiǎn)評(píng)估在信息安全管理體系中是確定企業(yè)信息安全需求的一個(gè)重要途徑，它是對(duì)企業(yè)的信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用下所帶來(lái)的風(fēng)險(xiǎn)可能性的評(píng)測(cè)。風(fēng)險(xiǎn)評(píng)估的主要任務(wù)是：檢測(cè)評(píng)估對(duì)象所面臨的各種風(fēng)險(xiǎn)，估計(jì)風(fēng)險(xiǎn)的概率和可能帶來(lái)的負(fù)面影響的程度，確定信息安全管理體系承受風(fēng)險(xiǎn)的能力，確定不同風(fēng)險(xiǎn)發(fā)生后消減和控制的優(yōu)先級(jí)，對(duì)消除風(fēng)險(xiǎn)提出建議。在信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評(píng)估過(guò)程中，形成《風(fēng)險(xiǎn)系數(shù)評(píng)估報(bào)告》、《風(fēng)險(xiǎn)處理方案》等文檔，作為對(duì)信息安全管理體系進(jìn)行調(diào)整的參考。風(fēng)險(xiǎn)系數(shù)的評(píng)估要盡可能全面的反映企業(yè)的信息安全管理體系，除了常規(guī)手段，也可以使用一些相應(yīng)的軟件工具的結(jié)果作為參考。另外很值得注意的是企業(yè)的員工對(duì)風(fēng)險(xiǎn)的理解，企業(yè)員工對(duì)他們所操作的對(duì)象有比較深刻的理解，對(duì)其中可能存在的不足也有自己的見(jiàn)解，在風(fēng)險(xiǎn)系數(shù)評(píng)估的過(guò)程中，可以進(jìn)行一些員工的問(wèn)卷調(diào)查等，把員工對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)納入風(fēng)險(xiǎn)評(píng)估的考慮范疇。

企業(yè)的設(shè)備會(huì)老舊更換，員工也會(huì)更換，所以企業(yè)的信息安全是動(dòng)態(tài)的，因此風(fēng)險(xiǎn)評(píng)估工作也要視具體情況定期進(jìn)行，針對(duì)當(dāng)前情況作評(píng)估報(bào)告，然后制定相應(yīng)的風(fēng)險(xiǎn)處理方案。還有，之所以要建立信息安全管理體系，其中很重要的一點(diǎn)就是體系內(nèi)各個(gè)模塊的結(jié)合，信息安全管理體系的風(fēng)險(xiǎn)評(píng)估與關(guān)鍵內(nèi)容的實(shí)時(shí)監(jiān)控就應(yīng)該結(jié)合起來(lái)。

為了降低信息安全管理體系的風(fēng)險(xiǎn)系數(shù)，提升信息安全等級(jí)，要做的工作很多。滲透測(cè)試就是其中很有必要的一項(xiàng)工作。滲透測(cè)試是測(cè)試人員通過(guò)模擬惡意攻擊者的攻擊方式，來(lái)評(píng)估企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)測(cè)方法。這個(gè)測(cè)試過(guò)程會(huì)對(duì)系統(tǒng)的可知的所有弱點(diǎn)、技術(shù)方面的缺陷或者漏洞等作主動(dòng)的分析。滲透測(cè)試對(duì)于網(wǎng)絡(luò)信息安全的組織具有實(shí)際應(yīng)用價(jià)值。隨著技術(shù)的不斷進(jìn)步，可能還會(huì)出現(xiàn)其他的更有價(jià)值的信息安全技術(shù)，作為信息安全備受矚目的電力企業(yè)，應(yīng)當(dāng)時(shí)刻關(guān)注相關(guān)技術(shù)的進(jìn)展，并及時(shí)將它們納入企業(yè)信息安全管理體系中來(lái)。

3.5 信息安全管理體系的管理模式

文章前面提到企業(yè)信息安全是動(dòng)態(tài)的，所以信息安全管理體系需要建立一個(gè)長(zhǎng)效的機(jī)制，針對(duì)最新的情況及時(shí)對(duì)自身作出調(diào)整，使信息安全管理體系有效的運(yùn)行?，F(xiàn)在一般會(huì)采用PDCA循環(huán)過(guò)程模式：計(jì)劃，依照體系整個(gè)的方針和目標(biāo)，建立與控制風(fēng)險(xiǎn)系數(shù)、提高信息安全的有關(guān)的安全方針、過(guò)程、指標(biāo)和程序等；執(zhí)行：實(shí)施和運(yùn)作計(jì)劃中建立的方針、過(guò)程、程序等；評(píng)測(cè)：根據(jù)方針、目標(biāo)等，評(píng)估業(yè)績(jī)，并形成報(bào)告，也就是文章前面說(shuō)到的風(fēng)險(xiǎn)系數(shù)評(píng)估；舉措：采取主動(dòng)糾正或預(yù)防措施對(duì)體系進(jìn)行調(diào)整，進(jìn)一步提高體系運(yùn)作的有效性。這四個(gè)步驟循環(huán)運(yùn)轉(zhuǎn)，成為一個(gè)閉環(huán)，是信息安全管理體系得到持續(xù)的改進(jìn)。

4 重要技術(shù)及展望

4.1 安全隔離技術(shù)

電力企業(yè)的信息網(wǎng)絡(luò)是由內(nèi)外網(wǎng)兩部分組成，從被防御的角度來(lái)看的話，內(nèi)網(wǎng)的主要安全防護(hù)技術(shù)為防火墻、桌面弱口令監(jiān)控、入侵檢測(cè)技術(shù)等；而主動(dòng)防護(hù)則主要采用的是安全隔離技術(shù)等。安全隔離技術(shù)包括物理隔離、協(xié)議隔離技術(shù)和防火墻技術(shù)。一般電力企業(yè)采用了物理隔離與防火墻技術(shù)，在內(nèi)網(wǎng)設(shè)立防火墻，在內(nèi)外網(wǎng)之間進(jìn)行物理隔離。

4.2 數(shù)據(jù)加密技術(shù)

企業(yè)的數(shù)據(jù)在傳輸過(guò)程中一般都要進(jìn)行加密來(lái)降低信息泄露的風(fēng)險(xiǎn)?？梢愿鶕?jù)電力企業(yè)內(nèi)部具體的安全要求，對(duì)規(guī)定的文檔、視圖等在傳輸前進(jìn)行數(shù)據(jù)加密。尤其是電力企業(yè)通過(guò)外網(wǎng)傳輸?shù)臅r(shí)候，除了對(duì)數(shù)據(jù)進(jìn)行加密外，還應(yīng)該在鏈路兩端進(jìn)行通道加密。

4.3 終端弱口令監(jiān)控技術(shù)

終端設(shè)備眾多，而且是業(yè)務(wù)應(yīng)用的主要入口，所以終端口令關(guān)乎業(yè)務(wù)數(shù)據(jù)的安全以及整個(gè)系統(tǒng)的正常運(yùn)轉(zhuǎn)。如果終端口令過(guò)于簡(jiǎn)單薄弱，相當(dāng)于沒(méi)有設(shè)定而將設(shè)備暴露。終端的信息安全是電力企業(yè)信息安全的第一道防線，因此采用桌面系統(tǒng)弱口令監(jiān)控技術(shù)來(lái)加強(qiáng)這第一道防線的穩(wěn)固性對(duì)電力企業(yè)的信息安全非常重要。

電力企業(yè)信息安全管理體系是一個(gè)復(fù)雜的系統(tǒng)，包含眾多的安全技術(shù)，如數(shù)據(jù)備份及災(zāi)難恢復(fù)技術(shù)、終端安全檢查與用戶身份認(rèn)證技術(shù)、虛擬專用網(wǎng)技術(shù)、協(xié)議隔離技術(shù)等。凡是與信息安全相關(guān)的技術(shù)，電力企業(yè)都應(yīng)當(dāng)關(guān)注，并根據(jù)企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去。

智能化已成為不管是研究還是社會(huì)應(yīng)用的熱門(mén)詞匯。電力企業(yè)的信息安全管理體系是否可以智能化呢？不妨做一個(gè)展望，電力企業(yè)的信息安全管理體系有了很強(qiáng)的自我學(xué)習(xí)與自我改進(jìn)的能力，在信息安全環(huán)境越來(lái)越復(fù)雜，信息量越來(lái)越龐大的情況下是否會(huì)更能發(fā)揮信息安全管理體系的作用呢？這應(yīng)該是值得期待的。

5 防病毒軟件部署

電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署，如防病毒軟件部署、桌面弱口令監(jiān)控系統(tǒng)部署、系統(tǒng)安全衛(wèi)士部署等。但是它們的部署情況類似，這里用防病毒軟件的部署來(lái)展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況。如圖1所示為防病毒軟件的部署框架。

殺毒軟件種類有很多，這里以賽門(mén)鐵克殺毒軟件為例。企業(yè)版的賽門(mén)鐵克防病毒軟件系統(tǒng)相比單機(jī)版增加了網(wǎng)絡(luò)管理的功能，能夠很大程度地減輕維護(hù)人員的工作量。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運(yùn)行，在電力企業(yè)內(nèi)部正式使用時(shí)，盡量準(zhǔn)備一立的服務(wù)器作為防病毒軟件專用的服務(wù)器。

服務(wù)器安裝配置好賽門(mén)鐵克防病毒軟件后，可以遠(yuǎn)程控制客戶端與下級(jí)升級(jí)服務(wù)器的軟件安裝與升級(jí)。

電力企業(yè)內(nèi)網(wǎng)可能是禁止接入外網(wǎng)的，這樣的話，防病毒軟件的更新可能無(wú)法自動(dòng)完成。防病毒軟件需要升級(jí)的時(shí)候，維護(hù)人員在通過(guò)外網(wǎng)在相應(yīng)網(wǎng)址下載賽門(mén)鐵克升級(jí)包，然后通過(guò)安全U盤(pán)拷貝到防病毒軟件系統(tǒng)專用服務(wù)器進(jìn)行升級(jí)操作。在圖1中，省電力公司的防病毒管理控制臺(tái)獲得升級(jí)包可以下發(fā)給下級(jí)升級(jí)服務(wù)器和客戶端進(jìn)行防病毒軟件系統(tǒng)的自動(dòng)升級(jí)更新。圖1是一個(gè)簡(jiǎn)單的框圖，如果電力企業(yè)的內(nèi)網(wǎng)規(guī)模很大的話，還可以更多級(jí)地分布部署。

6 結(jié)束語(yǔ)

電力企業(yè)的信息安全與企業(yè)的生產(chǎn)與經(jīng)營(yíng)管理密切相關(guān)，是企業(yè)整個(gè)管理系統(tǒng)的一部分。信息安全管理體系是一個(gè)整體性的管理工作，把體系中涉及的內(nèi)容統(tǒng)一進(jìn)行管理，讓它們協(xié)調(diào)運(yùn)作，實(shí)現(xiàn)信息安全管理體系的功能。電力企業(yè)信息安全的建立與體系不斷的改進(jìn)定能穩(wěn)定、有效地維護(hù)企業(yè)的信息安全。

參考文獻(xiàn)

[1] 王志強(qiáng)，李建剛.電網(wǎng)企業(yè)信息安全管理體系建設(shè)[J].浙江省電力公司，2008，6（3）：26-29.

[2] 陳賀，宮俊峰.淺析信息安全體系如何建立[J].中國(guó)管理信息化，2014，17（1）：74-76.

[3] 郭建，顧志強(qiáng).電力企業(yè)信息安全現(xiàn)狀分析及管理對(duì)策[J].信息技術(shù)，2013（1）：180-187.

[4] 沈軍.火力發(fā)電廠信息你安全體系構(gòu)建與應(yīng)用[J].電力信息通信技術(shù)，2013，11（8）：103-108.

[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密，2010，01（10）：68-71.

[6] 楊柳.構(gòu)建供電企業(yè)信息安全體系[J].電腦知識(shí)與技術(shù)，2005（29）.

[7] 曹鳴鵬， 趙偉， 許林英. J2EE技術(shù)及其實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用，2001， 21（10）： 20-23.

[8] 江和平.淺談網(wǎng)絡(luò)信息安全技術(shù)[J].現(xiàn)代情報(bào)學(xué)，2004（14）：125-127.

作者簡(jiǎn)介：

崔阿軍（1984-），男，甘肅平?jīng)鋈耍T士研究生，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息通信安全技術(shù)研究。

張馴（1984-），男，江蘇揚(yáng)州人，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息通信安全技術(shù)研究。

李志茹（1984-），女，山東平度人，碩士研究生，工程師；主要研究方向和關(guān)注領(lǐng)域：信息化建設(shè)及安全技術(shù)。

龔波（1981-），男，湖南新邵人，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息化建設(shè)及安全技術(shù)。

信息安全技術(shù)報(bào)告范文第5篇

【 關(guān)鍵詞 】 中小商業(yè)銀行；等級(jí)保護(hù)；信息科技風(fēng)險(xiǎn)管理；信息安全體系框架

1 中小銀行等級(jí)保護(hù)咨詢服務(wù)的背景

隨著信息技術(shù)的不斷進(jìn)步與發(fā)展，信息系統(tǒng)的安全建設(shè)顯得尤為重要。2012年6月29日人民銀行下發(fā)了“銀發(fā)【2012】163號(hào)”文件，為進(jìn)一步落實(shí)《信息安全等級(jí)保護(hù)管理辦法》（公通字〔2007〕 43號(hào)文印發(fā)），加強(qiáng)對(duì)銀行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)，結(jié)合近年來(lái)銀行業(yè)信息安全等級(jí)保護(hù)工作開(kāi)展情況，人民銀行給出了銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)的指導(dǎo)意見(jiàn)，至此，正式的拉開(kāi)了中小商業(yè)銀行等級(jí)保護(hù)建設(shè)和整改工作的序幕。

2 等級(jí)保護(hù)咨詢服務(wù)的項(xiàng)目目標(biāo)

國(guó)內(nèi)中小銀行在信息安全的發(fā)展程度，大部分處于自我認(rèn)知的階段，一邊忙于業(yè)務(wù)發(fā)展的保障需要，一邊又要應(yīng)對(duì)上級(jí)監(jiān)管部門(mén)的監(jiān)督檢查，對(duì)于安全建設(shè)來(lái)說(shuō)，大部分沒(méi)有納入到戰(zhàn)略的層面來(lái)考慮。因此，借助于等級(jí)保護(hù)咨詢服務(wù)來(lái)建立的這樣一套信息安全體系，必須同時(shí)滿足公安部等級(jí)保護(hù)基本要求、人民銀行等級(jí)保護(hù)的測(cè)評(píng)要求和銀監(jiān)會(huì)關(guān)于IT風(fēng)險(xiǎn)管理的要求。這些目標(biāo)相輔相承，互為補(bǔ)充。只有將通用的要求、標(biāo)準(zhǔn)、規(guī)范落實(shí)到自己IT風(fēng)險(xiǎn)管理體系的各方面，建立適合自己業(yè)務(wù)特點(diǎn)與發(fā)展需求的信息安全體系，才能達(dá)到有效管理風(fēng)險(xiǎn)、進(jìn)行IT治理的目的，并最終通過(guò)等級(jí)測(cè)評(píng)。

3 等級(jí)保護(hù)咨詢服務(wù)的總體思路

中小銀行在咨詢服務(wù)項(xiàng)目需要主動(dòng)地全面的考量自身情況，綜合分析人民銀行、銀監(jiān)會(huì)和等級(jí)保護(hù)的要求，在現(xiàn)有的安全工作基礎(chǔ)之上，建立統(tǒng)一的信息安全體系，同時(shí)滿足這些主要的監(jiān)管要求。這樣面臨檢查時(shí)，只要客觀反映出當(dāng)前狀態(tài)就可以，有效降低臨時(shí)的材料組織工作。

同時(shí)滿足三方面監(jiān)管要求的信息安全體系，這個(gè)信息安全體系將以公安部的等級(jí)保護(hù)《基本要求》、人民銀行的《等保測(cè)評(píng)指南》和銀監(jiān)會(huì)《管理指引》為主要依據(jù)來(lái)搭建起框架，以各專項(xiàng)監(jiān)管指引為各個(gè)領(lǐng)域的具體工作指導(dǎo)，以ISO27000為代表的國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)為補(bǔ)充。

4 等級(jí)保護(hù)咨詢服務(wù)的內(nèi)容

等級(jí)保護(hù)的咨詢服務(wù)具體實(shí)施過(guò)程可參考公安部下發(fā)的《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》，“指南”中將等級(jí)保護(hù)工作分為了定級(jí)備案、規(guī)劃設(shè)計(jì)、建設(shè)整改和等級(jí)測(cè)評(píng)四大過(guò)程。

4.1 系統(tǒng)定級(jí)

系統(tǒng)定級(jí)階段需要完成的工作。

1） 等級(jí)保護(hù)的導(dǎo)入培訓(xùn)：在進(jìn)行咨詢服務(wù)之前，需要對(duì)銀行相關(guān)科室信息人員進(jìn)行等級(jí)保護(hù)的內(nèi)容培訓(xùn)。只要講清楚等保是什么，需要各級(jí)人員配合的工作點(diǎn)是什么就可以了。

2） 系統(tǒng)業(yè)務(wù)安全域劃分：這個(gè)階段需要進(jìn)行信息搜集和資產(chǎn)調(diào)研。明確業(yè)務(wù)系統(tǒng)的范圍、邊界、功能、以及重要性等。

3） 編寫(xiě)系統(tǒng)定級(jí)報(bào)告和備案表：定級(jí)報(bào)告和備案表都是按照公安部等保辦公室的通用模版來(lái)編寫(xiě)的，內(nèi)容包含了系統(tǒng)功能描述、網(wǎng)絡(luò)拓?fù)洹⒍?jí)的理由和依據(jù)等。

4） 召開(kāi)專家評(píng)審會(huì)、獲得備案證明：召開(kāi)專家評(píng)審會(huì)并獲得備案證明可視為一個(gè)里程碑式的階段性成果，因?yàn)槎?jí)和備案是等級(jí)保護(hù)工作開(kāi)展的前提，如果級(jí)別定錯(cuò)了，或者專家有不同的評(píng)審意見(jiàn)，則后續(xù)的設(shè)計(jì)方案、整改方案均無(wú)法執(zhí)行。同時(shí)，對(duì)于銀行信息科技部門(mén)的領(lǐng)導(dǎo)而言，服務(wù)工作做的怎么樣無(wú)法量化，但是備案證書(shū)是看的見(jiàn)，摸的著的，如果能在評(píng)審會(huì)現(xiàn)場(chǎng)當(dāng)場(chǎng)頒發(fā)，則意義更加重大。

4.2 規(guī)劃與設(shè)計(jì)

規(guī)劃與設(shè)計(jì)階段的主要工作就是進(jìn)行等級(jí)差距分析和風(fēng)險(xiǎn)評(píng)估。

1） 技術(shù)層面可直接參考人民銀行關(guān)于金融行業(yè)的“測(cè)評(píng)指南”來(lái)完成，可操作性較強(qiáng)。可分物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)五個(gè)層面進(jìn)行差距評(píng)估，同時(shí)對(duì)網(wǎng)絡(luò)流量和網(wǎng)絡(luò)協(xié)議進(jìn)行簡(jiǎn)單的分析，通過(guò)漏洞掃描設(shè)備、配置核查設(shè)備、滲透工具等進(jìn)行風(fēng)險(xiǎn)分析，輸出風(fēng)險(xiǎn)評(píng)估報(bào)告和技術(shù)層面的差距評(píng)估報(bào)告。

2） 管理層面上，等保的管理要求相對(duì)薄弱，集中體現(xiàn)在運(yùn)維管理等方面，如果要達(dá)到人民銀行和銀監(jiān)會(huì)的標(biāo)準(zhǔn)，還有很多需要加強(qiáng)和補(bǔ)充的地方，可以對(duì)現(xiàn)有的制度文檔進(jìn)行一個(gè)簡(jiǎn)單的梳理，用最短的時(shí)間完成等保的管理制度調(diào)研。

4.3 實(shí)施與整改

實(shí)施與整改階段需要按照規(guī)劃階段的設(shè)計(jì)方案進(jìn)行實(shí)施，以滿足等級(jí)保護(hù)安全體系的建設(shè)要求。

1） 組織體系整改：安全管理組織應(yīng)形成由主管領(lǐng)導(dǎo)牽頭的信息安全領(lǐng)導(dǎo)小組、具體信息安全職能部門(mén)負(fù)責(zé)日常工作的組織模式?？蓞⒖家殉闪⒌摹兜缺ｎI(lǐng)導(dǎo)小組》設(shè)立模式，但應(yīng)具體到管理員崗位。

2） 管理體系整改：按照等級(jí)保護(hù)的要求補(bǔ)充或重新制定管理制度，根據(jù)咨詢方提供的制度模版，銀行可根據(jù)自身的實(shí)際業(yè)務(wù)需求進(jìn)行修改，并經(jīng)內(nèi)部討論修訂后，下文試運(yùn)行。

3） 技術(shù)體系整改：技術(shù)體系整改應(yīng)從三個(gè)層面進(jìn)行考慮。

制定技術(shù)規(guī)范：包括windows、AIX、Informix、tuxedo、cisco等主流設(shè)備的安全配置規(guī)范；可考慮聘請(qǐng)專業(yè)安全公司進(jìn)行咨詢服務(wù)，制定適合銀行長(zhǎng)期發(fā)展的安全策略和技術(shù)安全規(guī)范。

安全配置加固：根據(jù)已制定的技術(shù)規(guī)范進(jìn)行主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的全面的安全加固。

安全設(shè)備采購(gòu)：在安全技術(shù)體系的具體實(shí)現(xiàn)過(guò)程中，需要落實(shí)安全技術(shù)詳細(xì)設(shè)計(jì)方案中的具體技術(shù)要求，將先進(jìn)的信息安全技術(shù)落實(shí)到具體安全產(chǎn)品中，形成合理、有效、可靠的安全防護(hù)體系。

4.4 等級(jí)測(cè)評(píng)

根據(jù)人民銀行的《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》選擇具有資質(zhì)的第三方測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測(cè)評(píng)，一般當(dāng)?shù)毓矙C(jī)關(guān)會(huì)指定2-3家評(píng)估中心進(jìn)行等級(jí)測(cè)評(píng)，如果銀行自行聯(lián)系省外的測(cè)評(píng)機(jī)構(gòu)，可能需要事先跟當(dāng)?shù)厥」矎d取得聯(lián)系，確保該測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)報(bào)告在本省是受到認(rèn)可的。

實(shí)際上做了咨詢服務(wù)之后，等級(jí)測(cè)評(píng)的工作就變的非常簡(jiǎn)單，因?yàn)樽稍兎綍?huì)在規(guī)劃與設(shè)計(jì)階段就會(huì)與測(cè)評(píng)中心取得聯(lián)系，確保其設(shè)計(jì)方案和整改實(shí)施方案得到專家和測(cè)評(píng)中心的認(rèn)可，保障其順利實(shí)施。所以在等級(jí)測(cè)評(píng)的時(shí)候，測(cè)評(píng)師從進(jìn)場(chǎng)到出具評(píng)測(cè)報(bào)告大概只需一周左右的時(shí)間。

5 結(jié)束語(yǔ)

關(guān)于金融業(yè)等級(jí)保護(hù)的建設(shè)工作，是今后兩年的一個(gè)重點(diǎn)工作，尤其是中小銀行可借助合規(guī)要求，由信息科技部門(mén)立項(xiàng)，向行內(nèi)申請(qǐng)更多的資源來(lái)完善自身的安全體系建設(shè)工作。

參考文獻(xiàn)

[1] 武冬立.銀行業(yè)安全防范建設(shè)指南.長(zhǎng)安出版社，2008-11-1.

[2]李宗怡. 中國(guó)銀行安全網(wǎng)構(gòu)建基礎(chǔ)研究.經(jīng)濟(jì)管理出版社，2006-6-1.

[3] 劉志友.商業(yè)銀行安全問(wèn)題研究.中國(guó)金融出版社， 2010-3-1.

[4] 曹子建，趙宇峰，容曉峰.網(wǎng)絡(luò)入侵檢測(cè)與防火墻聯(lián)動(dòng)平臺(tái)設(shè)計(jì)[J].信息網(wǎng)絡(luò)安全，2012，（09）：12-14.

[5] 傅慧.動(dòng)態(tài)包過(guò)濾防火墻規(guī)則優(yōu)化研究[J].信息網(wǎng)絡(luò)安全，2012，（12）：12-14.