序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇企業(yè)信息安全現(xiàn)狀范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

關鍵詞：信息化信息安全網絡安全

根據(jù)國家統(tǒng)計局年初公布的數(shù)字顯示，國內企業(yè)總體的99％都是中小企業(yè)，他們貢獻了超過一半的國內GDP。但截止到目前，這些中小企業(yè)的信息化水平仍然比較落后，其中針對信息安全的投人，更是鳳毛麟角。

對于國內占大多數(shù)的中小企業(yè)來說，如何在充分利用信息化優(yōu)勢的同時，更好地保護自身的信息資產，已經成為一個嚴峻的挑戰(zhàn)。特別是近兩年來，網絡上的病毒、攻擊事件頻發(fā)，信息安全問題正在日益成為中小企業(yè)信息化進程中的難題。

一、什么是信息安全

信息是一種資產，與其它重要的資產一樣，它對一個組織而言具有一定的價值，因此需要適當?shù)募右员Ｗo，而信息又可以以多種形式存在。如可以打印或者寫在紙上，以數(shù)字化的方式存儲，通過郵局郵寄或電子手段發(fā)送，表現(xiàn)在膠片上或以談話的方式說出來?？傊?，信息無論以什么形式存在，以什么方式存儲、傳輸或共享，都應得到恰當?shù)谋Ｗo。

所謂信息安全是指信息具有如下特征：

安全性：確保信息僅可讓授權獲取的人士訪問；完整性：保護信息和處理方法的準確和完善；可用性：確保授權人需要時可以獲取信息和相應的資產。

信息安全是指使信息避免一系列威脅，保障商務的連續(xù)性，最大限度地減少業(yè)務的損失，從而最大限度地獲取投資和商務的回報。它主要涉及到信息傳輸?shù)陌踩?、信息存儲的安全、以及網絡傳輸信息內容的審計三個方面，它可以通過實施一整套恰當?shù)拇胧﹣慝@得。但目前我國的信息安全令人堪憂，隨著政府上網和企業(yè)信息化的推進，越來越多的企業(yè)的日常業(yè)務已經無法脫離網絡和信息技術的支持，那么我國中小企業(yè)的信息安全現(xiàn)狀如何呢?

二、我國企業(yè)信息安全的現(xiàn)狀

（一）企業(yè)的重視程度

隨著信息化的加快，企業(yè)信息安全越來越受到重視，而我國的中小企業(yè)信息安全現(xiàn)階段正處于初級階段。在推進企業(yè)信息化的進程中，有些中小企業(yè)對于信息化概念的認識遠遠不夠，它們認為購置幾臺電腦放到公司，日常用來打打字，將單個機器連結到網上企業(yè)就信息化了，遠遠沒有認識到信息技術給企業(yè)所能帶來的巨大的變化，對于網絡安全更是沒有意識。

據(jù)調查，目前國內90％的網站存在安全問題，其主要原因是企業(yè)管理者缺少或沒有安全意識。某些企業(yè)網絡管理員甚至認為其公司規(guī)模較小，不會成為黑客的攻擊目標。如此態(tài)度，網絡安全更是無從談起。

（二）資金、技術、人員方面情況

已建立了企業(yè)內部信息化平臺的企業(yè)，由于資金、技術等方面的原因，還沒有把重點放到網絡安全管理上，尤其是中小企業(yè)的安全問題一直隱患重重。

據(jù)了解，許多中小企業(yè)沒有專門的網絡管理員，一般采用兼職管理方式，這使中小企業(yè)的網絡管理在安全性方面存在嚴重的漏洞，與大型企業(yè)相比，它們更容易受到網絡病毒的侵害，損失也比較嚴重。

根據(jù)IDC對年我國政府、企業(yè)用戶的信息安全狀況分析，約有34．8％的企業(yè)因內部雇員的行為(包括對內部資源的不合理使用和對內部數(shù)據(jù)缺乏有效保護)而造成企業(yè)出現(xiàn)安全問題。

（三）網絡維護、運行、升級方面的情況

在網絡的維護、運行、升級等事務性工作方面，由于工作繁重而且成本較高，一些善于精打細算的中小企業(yè)在防范黑客及病毒方面舍不得投入，據(jù)相關調查數(shù)據(jù)資料統(tǒng)計，國內七成以上的中小企業(yè)，一是缺乏基本的企業(yè)防毒知識，購買一些單機版防毒產品來防護整個企業(yè)網絡的安全。二是采購了并不適合自身網絡系統(tǒng)的企業(yè)防毒產品，因此留下許多安全隱患。三是技術力量薄弱，雖然部署了企業(yè)防毒產品，但是這些產品操作難度大、使用復雜，最終導致很難全面發(fā)揮效用，甚至成了擺設，這樣一來企業(yè)內部網絡就根本沒有什么安全而言。

三、如何保證我國中小企業(yè)的信息安全

（一）從企業(yè)的自身情況考慮

要解決中小企業(yè)網絡信息安全問題，不能僅依靠企業(yè)的安全設施和網絡安全產品，而應該考慮如何提高企業(yè)自身的網絡安全意識，將信息安全問題提升到重視的高度，要重視“人”的因素。具體表現(xiàn)在以下兩個方面：

1．提高安全認識

定期對企業(yè)員工進行網絡安全教育培訓深化企業(yè)的全員信息安全意識，企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行，對安全問題要做到預先考慮和防備。

2．要求中小企業(yè)在上網的過程中要做到“一做三不要”

（1）將存有重要數(shù)據(jù)的電腦堅決同網絡隔離，同時設置開機密碼，并將軟驅、硬盤加密鎖定，進行三級保護。

（2）不要在自己的系統(tǒng)之內使用任何具有記憶命令的程序，因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發(fā)生的一切。

（3）不在網上的任何場合下隨意透露自己企業(yè)的任何安全信息。

（4）不要啟動系統(tǒng)資源共享功能，最后要盡量減少企業(yè)資源暴露在外部網上的機會和次數(shù)，減少黑客進攻的機會。

（二）從網絡安全角度考慮

1．從網絡安全服務商的角度來說，服務商要重視中小企業(yè)對網絡安全解決方案的需要，充分考慮中小企業(yè)的現(xiàn)實狀況，仔細調查和分析中小企業(yè)的安全因素，開發(fā)出適合中小企業(yè)實際情況的網絡安全綜合解決方案。此外，還應該注意投入大量精力在安全策略的施行及安全教育的開展方面，這樣才能為中小企業(yè)信息安全工作的順利開展提供堅實的保證。

2．要用防火墻將企業(yè)的局域網(Intranet)與互聯(lián)網之間進行隔離。由于網絡攻擊不斷升級，對應的防火墻軟件也應該及時跟著升級，這樣就要求我們企業(yè)的網管人員要經常到有關網站上下載最新的補丁程序，以便進行網絡維護，同時經常掃描整個內部網絡，以發(fā)現(xiàn)任何安全隱患并及時更改，才能做到有備無患。

3．企業(yè)用戶最好自己學會如何調試和管理自己的局域網系統(tǒng)，不要經常請別人來協(xié)助管理。中小企業(yè)要培養(yǎng)自己解決安全問題的能力，提高自己的信息安全技術。如果缺乏這方面的人才就應該去引進或者培養(yǎng)相關人才。

4．內部網絡系統(tǒng)的密碼要定期修改。

由于許多黑客利用窮舉法來破解密碼，像John這一類的密碼破解程序可從因特網上免費下載，只要加上一個足夠大的字典在足夠快的機器上沒日沒夜地運行，就可以獲得需要的賬號及密碼，因此，經常修改密碼對付這種盜用就顯得十分奏效。當然，設定密碼也有很深的學問，只有隨意性強、有足夠的長度并及時更新的密碼才能算是比較安全的密碼。

5．要經常使用殺毒軟件來維護局域網系統(tǒng)不受病毒攻擊?，F(xiàn)在國內的殺毒軟件都推出了清除某些特洛伊木馬的功能，可以不定期地在脫機的情況下進行檢查和清除。另外，有的殺毒軟件還提供網絡實時監(jiān)控功能，這一功能可以在黑客從遠端執(zhí)行用戶機器上的文件時，提供報警或讓執(zhí)行失敗，使黑客向用戶機器上載可執(zhí)行文件后無法正確執(zhí)行，從而避免了進一步的損失。

6．同其它企業(yè)進行聯(lián)合，共同抵制黑客的入侵，一旦被入侵要及時向有關部門匯報，并共同查找入侵來源，鎖定黑客IP地址。將網絡的TCP起時限制在15分鐘以內，減少黑客入侵的機會。并擴大連接表，增加黑客填寫整個連接表的難度。

四、結束語

篇(2)

關鍵詞:電信企業(yè)；信息安全；風險防控；管理體系；建設；研究

一、電信企業(yè)信息管理的現(xiàn)狀與作用

(一)電信企業(yè)信息管理體系的現(xiàn)狀

隨著社會的發(fā)展，無論是個人還是企業(yè)，都越來越離不開科學技術。這也導致科技所引發(fā)的信息安全管理體系的問題出現(xiàn)。1、針對信息安全管理體系的建設沒有創(chuàng)建出專門的管理機構由于在信息管理方面，企業(yè)沒有一個系統(tǒng)的較為權威的管理部門及相關組織，其管理權限分散在建設、運維、系統(tǒng)支撐、市場等部門，在很大程度上致使企業(yè)信息管理中的相關法規(guī)得不到正常有效的運行。2、未能充分的考慮企業(yè)相關管理部門與信息安全管理體系的建設完善由于電信企業(yè)的特殊性，在具體的信息安全建設管理中，信息體系建設和信息安全管理的工作不夠協(xié)調，使得企業(yè)在信息安全管理的相關工作上沒法進行積極主動實施，導致了企業(yè)信息安全管理體系建設工作的沒能與相關體系升級換代同步進行。3、企業(yè)信息管理建設滯后對于相關部門而言，信息安全管理常常局限于使用比較局部的安全產品進行保障，這樣就容易形成被動的使用相關辦法來應對信息安全的漏洞風險，導致此類方法嚴重缺乏科學性，而且由于使用范圍的局限，從而也不完全能夠抵御安全問題給企業(yè)所帶來的運營風險。

(二)企業(yè)信息安全管理的作用

信息安全管理體系的建設是對企業(yè)來說非常重要，尤其是電信企業(yè)，通過信息安全管理體系的建設，不僅有利于提高相關部門的工作人員的信息安全意識，而且還能夠加強對信息安全的管理組織的規(guī)范管理，通過充分有效的安全信息維護，能夠幫助企業(yè)在信息管理受到嚴重威脅時可以及時消除風險，從而維護國家、企業(yè)、廣大用戶的切身利益，確保電信企業(yè)在國家信息建安全戰(zhàn)略中的中流砥柱作用。

二、電信企業(yè)信息管理建設的有效方法

(一)制定有效的信息管理計劃

在企業(yè)管理中，有效的信息安全管理，是企業(yè)發(fā)展的前提；信息管理建設需要有效的策劃：1、教育培訓在企業(yè)管理中，做好教育培訓工作是非常重要的，通過相關培訓，不但能夠提高相關人員的安全信息管理意識，強化相關人員實際操作能力，而且還可以為信息管理體系吸引大量的相關人才。2、制定信息安全管理計劃制定管理的相關計劃是企業(yè)發(fā)展中的關鍵環(huán)節(jié)，所以，為了企業(yè)的可持續(xù)發(fā)展，相關部門需要制定信息管理體系建設的標準，擬定相關計劃。

(二)電信企業(yè)信息管理建設的范圍

對于一個企業(yè)來說，確定信息管理體系的范圍是非常重要的，其需要相關部門人員根據(jù)實際情況來進行重點有效的管理，這個管理的范圍就是安全管理體系的范圍。這一范圍還可分為整體范圍與個別信息安全管理范圍，通過不同的部門可對管理組織進行劃分，并在一定的程度上進行不同力度的管理。就電信企業(yè)而言，主要涉及企業(yè)信息管理和用戶信息管理，其安全體系建設貫穿在企業(yè)運行的全過程。

(三)建立企業(yè)信息管理框架

對一個企業(yè)而言，企業(yè)的信息管理必須建立起一個嚴格的管理模式。具體步驟如下：1、信息安全管理體制的計劃在規(guī)劃信息安全管理體系時，首先的一個步驟就是對企業(yè)的信息安全管理有一個明確的計劃。這樣一來不僅能夠對后續(xù)工作做了一個提前的準備，有利于建立管理機構，而且還能夠對管理的責任做出明確的規(guī)定，能夠更好的確立管理目標，評估管理風險。2、企業(yè)信息安全管理的實施有了一定的企業(yè)信息安全管理體系的計劃，接下來的一個重要步驟就是計劃的實施過程，過程主要有信息安全管理方法應用和相關措施落實等。3、企業(yè)信息安全管理體制的檢查這個階段的工作開展要做好充分的準備，因為這一階段是整個計劃的關鍵階段，主要通過審計、自我評估或借助第三方審核等方法來對計劃實施的效果進行審查。

三、結束語

綜上所述，“我國電信運營企業(yè)的信息安全風險無處不在，安全形勢日益嚴峻，迫切需要系統(tǒng)、科學、有效的信息安全風險管理體系理論指導管理工作實踐。”通過本文，我們了解到我國電信企業(yè)的信息安全管理體系方面的現(xiàn)狀以及信息安全管理的重要性，通過相關部門的共同努力，切實提高信息安全管理水平，維護好國家安全和公共利益安全，為建設信息化強國做出應有的貢獻。

參考文獻:

[1]鄭敏.關于信息安全管理體系建設的研究[J].計算機光盤軟件與應用,2014

[2]曾劍秋,程廣煥,楊萌柯.電信運營企業(yè)信息安全風險管理體系研究[J].科技管理研究,2016

篇(3)

【關鍵詞】信息安全 管理 控制 構建

1 企業(yè)信息安全的現(xiàn)狀

隨著企業(yè)信息化水平的提升，大多數(shù)企業(yè)在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備，但信息安全防護理念還停留在防的階段，信息安全策略都是在安全事件發(fā)生后再補救，導致了企業(yè)信息防范的主動性和意識不高，信息安全防護水平已經越來越不適應當今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求。

2 企業(yè)信息系統(tǒng)安全防護的構建原則

企業(yè)信息化安全建設的目標是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構建企業(yè)信息安全體系時應該遵循以下幾個原則：

2.1 建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規(guī)范，來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善。基本企業(yè)信息安全管理過程包括：分析企業(yè)數(shù)字化資產評估和風險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴謹?shù)膱?zhí)行策略、選用安全可靠的的防護產品等。

2.2 提高企業(yè)員工自身的信息安全防范意識

在企業(yè)信息化系統(tǒng)安全管理中，防護設備和防護策略只是其中的一部分，企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實施信息化安全管理時，絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實施企業(yè)信息安全前，應制定企業(yè)員工信息安全行為規(guī)范，有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運行，保證企業(yè)信息安全。其次階段遞進的培訓信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓，強化企業(yè)員工對信息安全的概念，提升員工的安全意識。使員工的行為符合整個企業(yè)信息安全的防范要求。

2.3 及時優(yōu)化更新企業(yè)信息安全防護技術

當企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時，就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源，并且可以根據(jù)員工級別分配人員訪問權限，達到企業(yè)敏感信息的安全保障。

3 企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設架構，在滿足終端安全、網絡安全、應用安全、數(shù)據(jù)安全等安全防護體系時，我們需要重點關注以下幾個方面：

3.1 實施終端安全，規(guī)范終端用戶行為

在企業(yè)信息安全事件中，數(shù)字化成果泄漏是屬于危害最為嚴重的一種行為。企業(yè)信息安全體系建立前，企業(yè)員工對自己的個人行為不規(guī)范，造成了員工可以通過很多方式實現(xiàn)信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為，我們在建設安全防護體系時，僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業(yè)信息化平臺前，就對用戶的終端系統(tǒng)進行安全規(guī)范檢查，符合企業(yè)制定的終端安全要求后再接入企業(yè)內網。同時配合上網行為管理的策略對員工的上網行為進行審計，使得企業(yè)員工的操作行為符合企業(yè)制定的上網行為規(guī)范，從終端用戶提升企業(yè)的防護水平。

3.2 建設安全完善的VPN接入平臺

企業(yè)在信息化建設中，考慮總部和分支機構的信息化需要，必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接，這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下，就必須做好對于移動終端的身份認證識別。其實我們在設備采購時，可以要求設備商做好多種接入方式的需求，并且?guī)椭髽I(yè)搭建認證方式。這將有利于企業(yè)日常維護，提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3 優(yōu)化企業(yè)網絡的隔離性和控制性

在規(guī)劃企業(yè)網絡安全邊際時，要面對多個部門和分支結構，合理的規(guī)劃安全網絡邊際將是關鍵。企業(yè)的網絡體系可以分為：物理層；數(shù)據(jù)鏈路層；網絡層；傳輸層；會話層；表示層；應用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風險的重要環(huán)節(jié)。在企業(yè)多樣化網絡環(huán)境的背景下，根據(jù)企業(yè)安全優(yōu)先級及面臨的風險程度，做出適合企業(yè)信息安全的防護策略和訪問控制策略。根據(jù)相應防護設備進行深層次的安全防護，真正實現(xiàn)OSI的L2～L7層的安全防護。

3.4 實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理

為企業(yè)信息安全構建統(tǒng)一的安全防護體系，重要的優(yōu)勢就是能實現(xiàn)對全網安全設備及安全事件的統(tǒng)一管理，做到對整個網絡安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設備工作時會產生大量的安全日志，如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發(fā)生時，企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構建信息安全體系時，就必須要考慮安全設備日志之間的統(tǒng)一化，設定相應的訪問控制和安全策略實現(xiàn)日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。

4 結束語

信息安全的主要內容就是保護企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實施信息安全防護過程中是一個長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護規(guī)劃，實施過程中根據(jù)不斷出現(xiàn)的情況及時調整安全策略和訪問控制，保證備份數(shù)據(jù)的安全性可靠性。同時全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護管理規(guī)定，這樣才能為企業(yè)的信息安全提供生命力和主動性，真正為企業(yè)的核心業(yè)務提供安全保障。

參考文獻

[1]郝宏志.企業(yè)信息管理師[M].北京：機械工業(yè)出版社，2005.

[2]蔣培靜.歐美國家如何培養(yǎng)網絡安全意識[J].中國教育網絡，2008（7）：48-49.

作者簡介

常勝（1982-），男，回族，天津市人?，F(xiàn)為中國市政工程華北設計研究總院有限公司工程師。研究方向為網絡安全與服務器規(guī)劃部署。

篇(4)

由于電力企業(yè)以發(fā)電、經營電力為主，信息網絡安全問題并沒有得到足夠重視，管理方面存在重技術輕管理的問題，未建立完善的信息安全管理制度，面對上級檢查，簡單應付，腦子里輕視信息安全，信息安全觀念淡薄，這都會增加企業(yè)信息系統(tǒng)的安全風險。例如，缺少對企業(yè)職工的信息安全教育培訓、缺少定期對信息運維人員的安全技能的培訓等等，都會嚴重威脅企業(yè)信息網絡的安全。電力企業(yè)在針對信息系統(tǒng)的應用和信息網絡安全兩個方面時，更加注重的是前者。以此同時，可能部分職工還存在僥幸心理，忽視了網絡安全問題的重要性。

2電力企業(yè)網絡信息安全管理的有效策略

2.1注重建設基礎設施和管理運行環(huán)境

需要嚴格的管理配電室、信息、通信機房等關鍵性的基礎設施，對防水、防火、防盜裝置進行合理配備；對電力二次設備安全防護要做到，安全分區(qū)、網絡專用、橫向隔離、縱向認證，生產控制大區(qū)與信息管理大區(qū)要做好物理強隔離；機房需要安裝監(jiān)控報警設備和動環(huán)監(jiān)測系統(tǒng)；對桌面終端和主機等設備要做好補丁更新，控制權限；在網絡安全設備上要做好安全策略；做好流量監(jiān)測和行為監(jiān)測；此外，建立設備運行日志，對設備的運行狀況進行記錄，并且建立操作規(guī)程，從而保證信息系統(tǒng)運行的穩(wěn)定性和安全性。

2.2建立并完善信息安全管理制度

建立健全信息安全管理制度，注重安全管理，確保根據(jù)安全管理制度進行操作；做好安全防護記錄、制定應急響應預案、系統(tǒng)操作規(guī)程、用戶應用手冊、網絡安全規(guī)范、管理好口令、落實安全保密要求、人員分工、管理機房建設方案等制度，確保信息系統(tǒng)運行的穩(wěn)定性和安全性。由內至外，全面的貫徹，實施動態(tài)性地管理，持續(xù)提高信息安全、優(yōu)化網絡拓撲結構。

2.3注重信息安全反違章督察工作的開展

建立信息安全督察隊伍，明確職責，按照信息安全要求，開展定期的督察，發(fā)現(xiàn)問題，限期整改。電力企業(yè)要對企業(yè)信息系統(tǒng)軟硬件設施、容災系統(tǒng)、桌面終端、防護策略等進行定期督查，實現(xiàn)信息安全設備加固和更新，培養(yǎng)信息安全督查專家隊伍，交叉互查、發(fā)現(xiàn)并解決問題，提高信息系統(tǒng)的安全性。

2.4積極探索電力企業(yè)信息安全等級保護

信息安全等級保護指的是，對涉及國計民生的基礎信息網絡和重要信息系統(tǒng)按照其重要程度及實際安全需求，合理投入，分級進行保護，分類指導，分階段實施，保障信息系統(tǒng)安全。針對電力企業(yè)信息系統(tǒng)，應建立相應的信息安全等級保護機制。技術上分級落實物理安全、網絡安全、主機安全、應用安全、數(shù)據(jù)安全；管理上要建立對應的安全管理制度、設置安全管理機構、做好人員安全管理、系統(tǒng)建設、運維管理。

2.5明確員工信息安全責任，實現(xiàn)企業(yè)信息安全文化建設

針對企業(yè)的所有員工，關鍵是明確自己需要擔負的安全責任、熟悉有關的安全策略，理解一系列的信息安全要求。針對信息運維人員，需要對信息安全的管理策略進行有效地把握，明確安全評估的策略，準確使用維護技術安全操作；針對管理電力企業(yè)信息網絡安全的管理人員，關鍵在于對企業(yè)的信息安全管理制度、信息安全體系的組成、信息安全目標的把握和熟悉。以上述作為基礎，實現(xiàn)企業(yè)信息安全文化的建設。

2.6提升人員的信息安全意識

針對電力企業(yè)信息安全而言，員工信息安全意識的提高十分關鍵。企業(yè)需要組織一系列有關的信息安全知識培訓，培養(yǎng)員工應用電腦的良好習慣，比如不允許在企業(yè)的電腦上使用未加密的存儲介質，不應當將無關軟件或者是游戲軟件安裝在終端上，對桌面終端進行強口令設置，以及啟用安全組策略，備份關鍵性的文件等，從而使員工的信息安全意識逐步提高。

3結語

篇(5)

關鍵詞：航空企業(yè)；信息系統(tǒng)；安全處理；現(xiàn)狀；體系

中圖分類號：TP393.08

隨著計算機網絡技術的不斷發(fā)展，信息數(shù)據(jù)系統(tǒng)廣泛應用于航空企業(yè)的信息管理中。然而，航空企業(yè)因其服務行業(yè)的特性，需要不斷將航班等外部信息傳播發(fā)送給旅客，另一方面，航空企業(yè)內部管理信息卻需要做到嚴格的保密，這就對航空企業(yè)的信息系統(tǒng)安全處理提出了高要求，航空企業(yè)必須建立一套全面完備的信息安全處理體系，只有這樣，才能提高航空運輸信息的安全水平，保障航空企業(yè)的穩(wěn)定發(fā)展。

1 航空企業(yè)信息系統(tǒng)安全管處理現(xiàn)狀

近年來，我國航空企業(yè)已經開始廣泛應用信息管理系統(tǒng)。在這些企業(yè)的信息系統(tǒng)中，包含了對交通服務、航班導航、天氣情況以及企業(yè)內部信息的各類應用，航空企業(yè)信息管理部門需要將這些信息進行整合，構建成為一個完整的信息管理系統(tǒng)。然而，從目前航空企業(yè)的信息系統(tǒng)安全管理來看，多數(shù)航空企業(yè)在進行信息系統(tǒng)安全管理的研究時，都是將重點集中在某一特定領域，通過病毒檢測系統(tǒng)、認證系統(tǒng)等對特定領域進行信息安全處理，并沒有一個全面完整的信息安全處理體系。

另外，國家有關部門已經加強了對航空信息安全的重視，中國民用航空局頒布了關于管理民用航空安全信息的規(guī)定，通過將各航空企業(yè)的信息管理系統(tǒng)進行統(tǒng)一監(jiān)督，統(tǒng)籌管理全行業(yè)的信息安全管理系統(tǒng)。無論從當今形勢發(fā)展來看，還是從國家有關部門對信息系統(tǒng)安全管理的重視程度來看，建立一套完整的信息系統(tǒng)安全處理體系對于航空企業(yè)都是非常有必要的。

2 構建航空企業(yè)信息系統(tǒng)安全處理體系

在對信息系統(tǒng)安全處理體系進行構建時，應當遵循可行性、靈活性、擴展性等原則，使信息系統(tǒng)的安全處理能夠滿足信息的完整性、保密性和可用性。在進行信息系統(tǒng)安全處理體系構建時，可以用到的安全技術大致包括計算機病毒防范技術、信息偵測技術、安全操作平臺技術、安全審計和入侵預警技術、內容分級監(jiān)管技術等。

2.1 構建航空企業(yè)信息系統(tǒng)安全處理體系的初始步驟

（1）確定控制用戶訪問的安全處理系統(tǒng)。在進行訪問權的控制時，可以設置相應的客戶端界面，利用DCE/Kerberos身份驗證機制，只要用戶輸入的個人信息得到驗證后，用戶才能進行下一步訪問。還可以設置一種封閉策略，只有得到授權的用戶才能獲得相應信息。但是，在通過限制用戶訪問來達到信息安全處理的效果時，應當注意對數(shù)據(jù)信息的最大共享原則，使用戶能夠通過客戶端獲得對所有數(shù)據(jù)的訪問權，除非是不應當開放的保密性數(shù)據(jù)。

（2）建立備份制度和事務日志制度等。對于信息系統(tǒng)而言，其安全性總會受到一定的威脅，企業(yè)在進行信息系統(tǒng)的安全處理時，還應當重視對數(shù)據(jù)的備份，使數(shù)據(jù)能夠在受到安全威脅后得到有效恢復。

（3）確定信息數(shù)據(jù)安全的最小單位。在構建航空企業(yè)信息系統(tǒng)的安全處理體系時，可以將屬性或關系作為最小安全單位，從而滿足對信息安全性的高要求。

2.2 進一步構建航空企業(yè)信息系統(tǒng)安全處理體系的策略

在航空企業(yè)信息管理系統(tǒng)中，安全處理內部保密信息是很重要的，但對需要向外界公布的信息數(shù)據(jù)也不容輕視，因此僅僅依靠DCE/Kerberos身份驗證機制無法進行全面的安全處理。

（1）建立信息系統(tǒng)的自行監(jiān)控和預警機制

保障信息系統(tǒng)高效穩(wěn)定的運轉是航空企業(yè)進行各項業(yè)務的關鍵，因此，在進行信息系統(tǒng)的安全處理時，首先應當做到的就是對系統(tǒng)運行的監(jiān)控和預警，從而能夠早發(fā)現(xiàn)、早解決系統(tǒng)運行問題，避免影響航空業(yè)務的運行。

（2）應用各種安全產品，構建全面的防御體系

在航空企業(yè)信息系統(tǒng)建立安全處理體系時，航空企業(yè)應當加大投入力度，建立一個全面的防御體系，從而減少安全問題的產生。例如，在建立防病毒、防黑客體系時，可以通過部署應用漏洞掃描軟件、防病毒軟件等安全產品，構建出一個全面的防御體系，將信息系統(tǒng)的內部運轉充分控制起來，從而能夠及早發(fā)現(xiàn)安全問題，及早解決。

（3）設置控制用戶訪問的安全處理策略

航空企業(yè)的信息系統(tǒng)在為用戶提供服務時，使用的是一種端對端的信息交流方式，因此，保障信息傳遞過程中的信息安全，防止信息遭到修改是信息安全處理的重點。SOAP協(xié)議基于XML數(shù)據(jù)結構，它可以為用戶提供信息交換的平臺。為保護SOAP協(xié)議的安全性，進而保障信息安全，我們可以進行用戶查詢權、修改權及刪除權的設定，通過設立安全矩陣的方式將各類信息及各類人員的權限進行分類處理，從而提高信息管理系統(tǒng)的運行效率，如下表1所示。

通過這種矩陣式分類，就可以直觀地將各部門權限表現(xiàn)出來，從而達到對信息系統(tǒng)客戶端的有效管理。

（4）實現(xiàn)信息系統(tǒng)各子系統(tǒng)之間訪問管理的安全性

在信息系統(tǒng)的使用中，用戶對資源的使用往往會涉及到整個系統(tǒng)中的多數(shù)子系統(tǒng)，在訪問這些子系統(tǒng)時，系統(tǒng)需要對授權進行逐一判斷，這就會使系統(tǒng)屬性發(fā)生改變，安全隱患也就隨之而來，因此，應當建立一種訪問控制體系，用于對訪問各子系統(tǒng)信息資源的安全處理。

UCON模型，就是適應現(xiàn)代業(yè)務流程訪問控制而產生的新型模型，包含了主體、客體和權限三個基本元素，它將義務、條件和授權作為了決策進程的一部分，提供了一種更好的決策能力。這種模型區(qū)別于其他訪問控制模型之處就在于它的可變屬性，可變屬性可以隨著訪問對象的改變而發(fā)生改變，這種模型解決了傳統(tǒng)的訪問控制技術缺乏綜合性的問題，并涵蓋了安全和隱私兩個重要方面，是一種具有決策連續(xù)性和屬性易變性特點的訪問控制模型。通過對UCON模型和數(shù)據(jù)庫管理系統(tǒng)的綜合使用，可以有效保護信息系統(tǒng)的數(shù)據(jù)資源，并能夠在結合其他技術的基礎上，對計算機系統(tǒng)資源和網絡資源進行保護，從而達到航空企業(yè)信息系統(tǒng)安全處理的目標，防止非法訪問現(xiàn)象的發(fā)生。

2.3 構建完善的航空企業(yè)信息系統(tǒng)安全處理體系

一個完整的信息系統(tǒng)安全處理體系，必須涵蓋了從客戶端到服務提供端，再到訪問控制端的安全處理流程。首先，對于客戶端安全處理環(huán)節(jié)的實現(xiàn)，可以借助用戶身份信息的收集和對服務返回結果的安全處理，并運用DCE/Kerberos身份驗證機制等安全平臺操作技術對信息系統(tǒng)的安全性進行管理。其次，是對服務提供端安全處理的實現(xiàn)，這一環(huán)節(jié)包括了對用戶身份的驗證和對數(shù)據(jù)傳輸?shù)陌踩幚?，可以使用SOAP協(xié)議等安全審計技術為信息系統(tǒng)提供安全保障。最后，是對訪問控制端安全處理的實現(xiàn)，這一環(huán)節(jié)可以分為對系統(tǒng)各環(huán)節(jié)的信息匹配和對訪問控制服務的安全處理，是整個信息系統(tǒng)安全處理的重要環(huán)節(jié)，在構建系統(tǒng)安全處理體系時，可以使用UCON模型將訪問控制權具體化，并設立安全矩陣，最終達到信息系統(tǒng)安全處理的目的。

總結：

航空企業(yè)的行業(yè)特性，決定了構建符合其行業(yè)特點的信息系統(tǒng)安全處理體系是一個復雜而繁瑣的過程，企業(yè)信息安全管理部門應當從實際出發(fā)，結合企業(yè)信息系統(tǒng)的客戶端、服務端以及數(shù)據(jù)庫對信息安全的不同要求，運用現(xiàn)代化技術，依據(jù)信息系統(tǒng)設計原則，構建一個既能滿足共享性，又能滿足保密性的獨特的安全處理體系。另外，企業(yè)管理部門不僅要加大對技術的扶持和研發(fā)，還應當注重對企業(yè)內部人員的信息安全教育，能夠建立一個完善的信息系統(tǒng)管理制度，從而使企業(yè)人員能夠積極進行信息系統(tǒng)的安全防護。

參考文獻：

[1]郝梁怡.淺析民航空管信息安全管理[J].中國科技縱橫，2013（12）.

[2]張云高.基于SMS關鍵要素的航空公司安全管理信息系統(tǒng)分析與設計[J].電子科技大學，2011（1）.

[3]田波，吳倩，甄浩.航空公司信息安全管理系統(tǒng)的構建與安全保障體系研究[J].情報科學，2011（9）.

[4]白瑜.基于UCON的訪問控制的應用[J].電力學報，2012（6）.

[5]付茂沼.民用航空信息安全研究[J].中國民航飛行學院學報，2010（3）.

[6]姜鵬.民航空管信息處理系統(tǒng)的安全保障[J].中國新技術新產品，2011（13）.

篇(6)

摘 要：在現(xiàn)階段的發(fā)展中，已經完全進入到網絡時代，幾乎所有的工作實施，都是依靠網絡設備、網絡技術來進行實施的。為了能夠在今后的網絡環(huán)境下，實現(xiàn)工作水平的大幅度提升，必須將企業(yè)信息安全管理更好的鞏固，要求在管理的策略和具體手段上，告別既往的多項不足，要創(chuàng)造出較高的價值。文章就此展開討論，并提出合理化建議。

關鍵詞：網絡環(huán)境；企業(yè)；信息安全；管理

從客觀的角度來分析，企業(yè)信息安全管理在開展的過程中，有很多工作的實施，都不能利用單一的手段來完成?，F(xiàn)如今的信息安全，已經成為了全社會都非常矚目的內容，如果在最終的工作上表現(xiàn)為缺失現(xiàn)象，不僅容易造成強烈的隱患和沖突，還會對很多領域的發(fā)展構成嚴重的威脅，這是需要在日后工作中積極面對的，不能有任何的嚴重損失。

一、網絡環(huán)境下企業(yè)信息安全管理現(xiàn)狀

1.建立信息安全管理體系框架

從已經掌握的情況來看，很多地方的企業(yè)信息安全管理，都在不斷的建立信息安全管理w系框架，希望由此來對網絡環(huán)境做出更好的優(yōu)化處理，實現(xiàn)企業(yè)信息安全管理的更大進步。我國在現(xiàn)階段的發(fā)展中，正處于一個非常重要的階段，企業(yè)更加是國家的核心組成部分，為了更好應對網絡環(huán)境所帶來的挑戰(zhàn)，在相關的政策、規(guī)范頒布上是比較突出的。例如，國務院辦公廳在現(xiàn)下的工作中，對于網絡環(huán)境開展了深入的分析，同時先后頒布了特別多的政策、法令，對于信息安全等級評估保護的具體措施、檢查核實方法等，都做出了明確的規(guī)范；對于使用單位信息安全管理制度，做出了進一步的深化處理；直接引導、推進了信息安全系統(tǒng)的持續(xù)應用，在發(fā)展空間上得到了明顯的擴大。

2.信息安全管理體系的審核

企業(yè)信息安全管理在開展的過程中，必須在網絡環(huán)境方面深入的關注，絕對不能有任何的違背現(xiàn)象發(fā)生。從既往的工作來看，有些企業(yè)對于信息安全管理，總是追求短期上的效果，對長期的規(guī)劃表現(xiàn)不足，雖然很大程度上對網絡環(huán)境做出了充分的利用，但實際上創(chuàng)造的價值，還是有待提升的。鑒于這種現(xiàn)象的發(fā)生，網絡環(huán)境下的企業(yè)信息安全管理，開始不斷的做出變革，特別是在信息安全管理體系的審核上，基本上是按照最嚴格的方法來完成的。例如，在ISMS審核過程中，其主要指的是，機構為驗證所有安全程序，采用的系統(tǒng)的、獨立的檢查和評價。通過開展ISMS審核處理，能夠對申請認證的單位，提供較多的支持與幫助，在企業(yè)信息安全管理方面有綜合的判定與分析。除此之外，ISMS審核工作的開展，還表現(xiàn)為突出的自我保證手段，其能夠將多項問題做出一個明確的分析，無論是在波及范圍上，還是在具體的處理方式上，都能夠給予較多的參考和指導，很少出現(xiàn)嚴重的偏差。

二、網絡環(huán)境下企業(yè)信息安全管理的對策

1.物理安全管理

在現(xiàn)階段的發(fā)展中，網絡環(huán)境已經成為了不可扭轉的趨勢，想要在今后的企業(yè)信息安全管理中取得理想的效果，必須將網絡環(huán)境有效的利用，在硬性規(guī)范下，針對物理安全管理持續(xù)的加強，這是實踐方面的工作，不能有任何的忽視。簡單而言，物理安全管理在開展的過程中，會將信息系統(tǒng)開展全面的檢查分析，包括信息系統(tǒng)的保密性、完整性、可用性等等，會在相關的硬件設施上、線路上，都做出詳細的分析，而后提交相應的物理安全管理報告。企業(yè)根據(jù)這份報告，再結合客觀實際以后，決定具體的改善辦法。在除此之外，物理安全管理在開展的過程中，對于企業(yè)網絡工程的設計、施工等，都會產生較大的幫助?，F(xiàn)下的很多企業(yè)信息安全管理，都會在網絡工程方面投入較多的努力，為了更好的協(xié)調網絡工程的硬件設備、網絡體系等，必須在網絡設備的安全性、可靠性方面提升。例如，通過物理安全管理的實施，能夠針對網絡設備、系統(tǒng)的運作空間做出分析，在溫度、濕度等物理因素上積極的把控，避免造成嚴重的損失。

2.人員安全管理

在企業(yè)信息安全管理當中，網絡環(huán)境下的誘惑較多，同時在相關的影響因素上，也在不斷的增加。為了確保在企業(yè)信息安全管理方面，能夠按照科學的方向來前進，有必要將人員安全管理更好的改善，針對多項工作的實施，都要從長遠的角度來出發(fā)，這樣才能更好的提高管理水平。首先，所有的工作人員，在相應的權限上都要積極的設定，要避免企業(yè)信息安全管理的員工權限混亂現(xiàn)象，達到相互之間的制衡效果，避免在信息方面出現(xiàn)嚴重的泄漏。其次，對于人員安全管理，有必要開展技術性的專業(yè)培訓，要求列舉大量的技術案例分析，讓所有的工作人員意識到，錯誤的工作方法，以及某些極端的行為，會給企業(yè)帶來嚴重的損失，部分情況下，甚至會產生法律上的責任和問題，要求員工在態(tài)度上，以及工作實踐上，都可以嚴格的要求自己，而后對將來的工作負責。第三，必須積極的招聘、引進網絡人才，將企業(yè)信息安全管理的體系不斷健全，尤其是在網絡平臺的打造、客戶端的建設、日常信息管理措施的實施上，都要形成良性工作循環(huán)。

3.軟件應用和系統(tǒng)安全管理

網絡環(huán)境下的企業(yè)信息安全管理，表現(xiàn)為持續(xù)進步的特點，根本不可能長久維持在固有的水平上。我們在實施企業(yè)信息安全管理的過程中，對于軟件應用和系統(tǒng)安全管理，必須不斷的加深研討，要從多個角度出發(fā)，創(chuàng)造出較高的價值。首先，軟件應用上，企業(yè)必須根據(jù)自身的需求，為不同層級、不同部門的員工，選定差異化的工作軟件，要提高工作質量和工作效率。同時，對于軟件本身的分析要不斷的拓展，從是否付費、是否存在軟件沖突、是否具備較高的兼容性等方面，均要進行大量的探討，要防止造成工作上的嚴重疏漏，提高工作效率。其次，對于系統(tǒng)安全管理而言，必須堅持定期維護、更新，要求從外部聘請專業(yè)人員，進行系統(tǒng)的積極分析和測試，發(fā)現(xiàn)問題后，及時的采用網絡技術來彌補，同時增加相應的軟件防護和程序補丁，促使系統(tǒng)的日常運營，能夠達到更加穩(wěn)定的目標。

4.設備的運行與安全管理

除了上述的幾項工作內容外，企業(yè)信息安全管理在實施的過程中，還需要在設備的運行與安全管理上投入較多的努力。當下的設備研究力度有所加深，特別是在重要元件上，市場上的更新?lián)Q代速度不斷的加快，企業(yè)必須對設備本身、設備元件開展積極的分析，不能盲目的跟風更換，也不能長久的維持在既有的水準上，要確保設備的運行，能夠長期保持在高效狀態(tài)，可以將安全管理工作更好的改善，減少矛盾。網絡系統(tǒng)穩(wěn)定高效的運行，對于企業(yè)來說是非常重要的。企業(yè)要加強對網絡的科學管理，及時排除網絡故障，對設備、運行安全進行全方位管理，是保障信息系統(tǒng)安全的重要前提。設備、運行安全管理包括設備的選型、檢測、安裝、登記、使用、維修、儲存以及故障管理、性能管理、變更管理和排障工具等。隨著網絡普及和企業(yè)信息化業(yè)務的不斷拓展，信息成為一種重要的戰(zhàn)略資源，信息安全保障能力成為一個企業(yè)綜合能力的重要組成部分。

三、總結

本文對網絡環(huán)境下企業(yè)信息安全管理展開討論，現(xiàn)階段的工作實施中，整體上得到的效果比較顯著，未表現(xiàn)出嚴重的隱患。日后，應該在網絡環(huán)境方面不斷的優(yōu)化，將企業(yè)信息安全管理的體系不斷的健全。除此之外，在開展企業(yè)信息安全管理時，一定要持續(xù)性的實施，要不斷的跟隨國家倡導內容，對社會潮流做出把控，在重點工作上積極的提升。

參考文獻：

[1]于倩，李靈君.網絡環(huán)境下企業(yè)信息安全管理的對策分析[J].網絡安全技術與應用，2017，（01）：16-17.

[2]錢濃林，洪芳華，朱利軍，肖鋒，徐F欣.”互聯(lián)網+“環(huán)境下企業(yè)信息安全管理策略[J].經營與管理，2017，（01）：128-130.

[3]張黎明.網絡環(huán)境下企業(yè)信息安全管理的對策分析[J].商，2016，（19）：2.

[4]宋晴.網絡環(huán)境下企業(yè)信息安全管理對策研究[J].通訊世界，2015，（14）：256.

篇(7)

 

在21世紀的社會發(fā)展新時代，網絡、計算機、信息技術被大量的企業(yè)納入到自身的生產經營管理之中，在基本運行中會涉及到企業(yè)眾多的機密文件和信息，直接關系的企業(yè)的發(fā)展運行，所以，一旦出現(xiàn)安全問題就會對企業(yè)產生重要的影響。

 

所以，在不斷深化的應用中，企業(yè)開始注重對信息安全的管理，并通過多樣化的技術手段和方式來進行強化，但是這樣的方式決定了對安全管理的有效性不能進行合理的把握和控制，并且對整體的安全水準也沒有實現(xiàn)準確的衡量。所以，如果企業(yè)只是強化了信息安全在技術方面的建設，而并沒有開展有效的安全管理評估工作，就會使信息安全系統(tǒng)在整體的規(guī)劃中存在缺陷和漏洞，所以，進行信息安全管理的有效性測量是極為重要的。

 

企業(yè)也逐漸認識到其重要性，使得近年來，我國企業(yè)對于信息安全有效性的測量需求不斷增多，但是，在這方面我國起步較晚，存在著很多不足和缺陷，這就需要在有效的研究中尋找適當?shù)姆椒▉硖嵘郎y量的整體有效性。

 

一、信息安全管理有效性測量的目的

 

通過實現(xiàn)有效性的測量，能夠真實評估和反映企業(yè)信息安全管理的整體水平，以使企業(yè)在后續(xù)的信息安全管理中有明確的發(fā)展目標和整體方向。企業(yè)進行信息系統(tǒng)的建立時，往往會依據(jù)企業(yè)自身的發(fā)展需求、信息組成、安全標準、組織結構、利益關系等方面的需求進行，進而構筑相應的信息安全的整體體系和相關模型。

 

通過對企業(yè)的信息安全管理進行有效性的測量，可以在技術的管理支撐下客觀真實的反映企業(yè)信息管理的整體性評估，會能實現(xiàn)對企業(yè)信息安全管理目標的運行程度進行說明，并能對企業(yè)信息安全管理的系統(tǒng)效能開展準確科學的評測，為企業(yè)提供進行信息安全管理考核的基本依據(jù)[1]。

 

就企業(yè)的整體發(fā)展實際來看，如果不開展信息安全管理的有效性測量，會使企業(yè)的整體管理水平只依賴于基本測評狀態(tài)下的運行管理水平，難以同真實的信息安全運行環(huán)境相脫離，造成企業(yè)在安全管理過程中的漏洞和誤差，使得企業(yè)在正常的運營和發(fā)展中的實際需求同所進行信息安全管理的整體水平不相一致，并且在對基礎環(huán)節(jié)下的表面數(shù)據(jù)有所依賴時，并不能發(fā)現(xiàn)運行中的不足和缺陷，更遑論進行有效合理的解決，極大化的為企業(yè)的發(fā)展運行埋下了信息安全的運行隱患。

 

而通過有效性的測量活動，能夠準確的將企業(yè)在信息安全方面的漏洞進行定位，并且還能夠有效指導基本的解決策略，有效保障企業(yè)信息管理系統(tǒng)的整體安全和有效。

 

二、信息安全管理有效性的測量方法

 

在開展信息安全管理有效性的測量時，需要對進行測量的指標進行量化的處理，并最終形成具有實際可行性的量化測量指標。在測量中，不同的指標則需要不同的測量方法來進行，一般而言，具有風險分析、問卷調查、內部審核、滲透性測試、個人訪談、內外對比、風險評估、報表統(tǒng)計等不同的方法。

 

通過不同指標的不同測量之后，能夠得得出各個指標的測度結果，在此基礎上再根據(jù)不同的技術需要對結果進行科學有效的取值管理，給各個指標賦予不同的安全分險權重，然后綜合計算企業(yè)信息安全管理有效性的整體水平[2]。比如在進行信息安全管理整體運行的有效性測量時，在對基本技術要求進行測量評估時，還需要對企業(yè)的環(huán)境安全、人員安全、業(yè)務聯(lián)系、安全意識、事件管理等開展管理有效性的評估，以保障最終結果的綜合有效性。

 

在信息安全管理有效性的測量發(fā)展中，相關專業(yè)機構提出了同通過整體的系統(tǒng)模型來實現(xiàn)信息系統(tǒng)的整體安全性的方法。通過信息安全測量模型的建立，將信息系統(tǒng)運行中需要進行安全檢測的對象中的某一些屬性在通過一系列的檢測管理過程之后，得出最后的測量結果，其中最為重要的就是測量方法和基本測度。將測量對象的多個屬性應用不同的測量方法之后就能夠得到基本測度，而基本測量方法的獲取是通過多樣化的數(shù)據(jù)資源進行測量對象的數(shù)據(jù)獲取，比如風險評估結果、日志報表統(tǒng)計記錄、調查表、測量結果等途徑。

 

就我國當前進行信息安全管理有效性測量的方式而言，在設定環(huán)節(jié)相對復雜和冗余，但在基本的項目實踐中得出如下的基本運行方法：

 

2.1審計監(jiān)控系統(tǒng)回顧

 

在進行檢測時，需要盡可能的發(fā)現(xiàn)各個環(huán)節(jié)所存在違反和潛在信息安全的現(xiàn)象和事件，以實現(xiàn)有效的防治，實現(xiàn)影響的最小化[3]。

 

2.2糾正預防措施驗證

 

對已經納入整體有效性測量計劃的糾正預防措施，在開展檢測時進行檢查和回顧，以保證檢驗過程中對于信息安全管理系統(tǒng)所采取的各項措施是否合乎當下的現(xiàn)狀和企業(yè)具體要求。

 

2.3信息安全事故統(tǒng)計

 

主要是對已經發(fā)生過的安全事件進行統(tǒng)計和分析，以為檢測的有效性提供更加高效合理的方法指引，以實現(xiàn)進行更高角度的評估以及在控制措施方面的有效性。

 

這樣的方式是將基本的計劃和檢測方式實現(xiàn)了有效的結合，并在各種方法的支撐下，實現(xiàn)綜合型的檢測，做到有效的預防和糾正，從不同的層面反應了進行信息安全檢測的有效性，并保障整體運行體系的完整有效性，進而形成一個有效的良性循環(huán)。

 

三、結束語

 

就我國的整體實際而言，信息安全管理有效性的測量方法，還處于基礎的起步階段，而且相關的各項理論研究和測量指標等也均沒有達到完善的階段，這就需要進行不斷的發(fā)展和探索，而且實踐證明，進行信息安全管理有效性的研究是有著極為廣闊的發(fā)展前景的，在保障整體信息運行管理的安全性基礎上，能夠使企業(yè)提升整體的競爭力和自身生存能力，并且能夠將測量中發(fā)現(xiàn)的問題和相關數(shù)據(jù)進行分析，然后具有針對性的使企業(yè)所存在的風險得到最大化的控制，最終達到基本業(yè)務的正常有效運行。