序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇信息安全服務范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

IT服務外包井噴式發(fā)展

在強調企業(yè)核心競爭力的今天，越來越多的公司將IT服務外包作為企業(yè)長期戰(zhàn)略成本管理的新興工具。服務外包的實質是企業(yè)和服務商之間的“委托―”關系。企業(yè)需要對自己重新進行定位，截取價值鏈中較短的部分，縮小經(jīng)營范圍，在此基礎上重新配置企業(yè)的各種資源，將資源集中到最能反映企業(yè)優(yōu)勢的領域，從而更好地構筑競爭優(yōu)勢，以此獲得可持續(xù)發(fā)展的能力。

隨著企業(yè)業(yè)務發(fā)展過程中信息系統(tǒng)所涉及的內容越來越多、結構越來越龐大，企業(yè)信息化再也不僅僅是IT部門自己的事情。企業(yè)市場競爭壓力越來越大，在信息化建設和管理期間迎來了嚴峻的考驗。一方面是IT部門人員少、系統(tǒng)多、任務重，另一方面是公司要求IT部門削減成本、并消除由于缺乏內部控制和運作準則導致的混亂狀態(tài)，以更高效地服務業(yè)務部門。

在多重壓力之下，許多企業(yè)認為IT部門最重要的工作是確保信息和流程的順暢，而服務器、存儲系統(tǒng)、網(wǎng)絡或者交換機等設備并不是最重要。因此，許多企業(yè)傾向于將某些應用系統(tǒng)、基礎設施和部分非核心系統(tǒng)外包給服務商負責維護。

IT服務外包的風險

企業(yè)借外部力量提供專業(yè)化服務、將部分非核心業(yè)務進行離岸資源外包的過程中，面臨著管控、運營等一系列風險，其中最重要的是信息安全風險的威脅。

從表面上看，采用IT外包策略不但可以節(jié)約成本，還能提高效率。但事實上，許多企業(yè)對IT外包都有許多道不盡的愛恨情仇。外包是一柄雙刃劍，其好處是可以向企業(yè)灌輸技術與人才，幫助企業(yè)擺脫繁瑣的IT業(yè)務――有效的外包能讓公司更好的專注于核心業(yè)務。

但是進行IT外包并不是一件輕松的事情，如果處理不好，不僅不會帶來預期的效益，反而會變成一場噩夢和致命的災難。所以對于企業(yè)IT主管部門而言，必須具有很強的經(jīng)驗和管理技能，才能談“外包” 二字。

IT外包服務要成為一種商品，就必須形成一套規(guī)范和標準，以約束買賣雙方。但目前國內IT外包服務領域既無統(tǒng)一規(guī)范也無公認標準。概念模糊的用戶，面對同樣概念模糊的IT廠商，如何評估、簽合同、質量控制和定價等都是潛在的“風險”。

此外，IT外包還面臨著 IT管理的復雜性、軟件缺失、知識產(chǎn)權以及IT外包服務提供商自身能否健康成長等風險。因此企業(yè)需要在風險、成本與效果、效率之間找到平衡點。

同時，由于委托方和方之間可能存在信息不對稱和信息扭曲等問題，加之市場及宏觀環(huán)境的不確定性，導致委托方在實施外包過程中承擔著種種風險。

外包服務關鍵詞：信息安全

企業(yè)在IT服務外包過程中面臨的最大挑戰(zhàn)，就是如何確保企業(yè)信息和數(shù)據(jù)的安全，如何建立起有效的信息安全管控框架，以符合企業(yè)信息安全要求。

首先，確認企業(yè)內部信息安全管控過程是否可持續(xù)監(jiān)管和優(yōu)化。在信息防泄漏的“戰(zhàn)爭”中，相比于躲在暗處的泄密者和安全威脅，站在明處的企業(yè)顯然略失先機。但如果企業(yè)能夠做到預先防御，在對手出招之前采取針對性的保護措施，就能從根本上“轉被動為主動”，做好內部數(shù)據(jù)安全防護。

因此，良好的信息防泄體系的前提就是要時刻掌握企業(yè)動態(tài)，做到要有的放矢。很重要的一點是要實現(xiàn)內部操作的“可視化”，以隨時監(jiān)測整個信息系統(tǒng)的安全狀況，做到迅速反應，甚至還能預測到潛在的風險，化被動防御為積極防御。

其次，企業(yè)信息安全體系設計需進行全局評估和建設，規(guī)避疏漏和風險。安全領域中的木桶理論和馬其頓防線的故事相信大家都了解――無論怎么豪華的防線，一個漏洞就可以毀滅所有一切。在企業(yè)中，有時候可能是一個小小的系統(tǒng)漏洞就可能毀滅了幾百萬投資的努力，或者一個無意的非法補丁行為就讓企業(yè)蒙受損失。

因此，在解決安全問題之時，不能僅僅依賴透明加密等技術手段，“頭痛醫(yī)頭，腳痛醫(yī)腳”地堆砌不同安全產(chǎn)品及封堵安全漏洞，而是需要站在一個更高的戰(zhàn)略角度來通盤考慮。如果缺乏整體的分析視角，企業(yè)可能會忽視或者低估某個安全攻擊的真正威脅，采取的安全措施也可能無法解決真正的問題。

所以，在實際的防泄漏建設中，必須從整體上來評估企業(yè)的信息安全狀況，運用統(tǒng)一平臺來進行風險和安全管理，檢測出內部問題，從而描繪出整個企業(yè)當前安全情況的更清晰和更準確的圖景，采取針對性的防護措施，最大限度降低企業(yè)的安全風險。

另外，要有安全和防護等級措施。企業(yè)在構建立體化、全方位的整體信息防泄體系時并不是一刀切，不分輕重地在全公司范圍內采取相同的策略，這樣雖然看似達到了最為安全的效果，但對業(yè)務造成的巨大影響，以及因此產(chǎn)生的高額成本，對企業(yè)來說，都是巨大的負擔。

對信息安全來說，威脅和風險往往和高價值的信息資產(chǎn)聯(lián)系在一起，安全保護工作也就應該輕重有別，將重點放在高價值的信息資產(chǎn)上。在安全建設過程中，對程度高的部門或崗位進行力度大的防御，對程度低的部門采取相應的安全防御。同時衡量提升安全性可能帶來的業(yè)務操作上的麻煩、企業(yè)安全成本等問題，是企業(yè)必須要做的事情。

在企業(yè)實施安全防護等級風險評估過程中，往往需要結合企業(yè)的實際情況，對三種技術手段整合運用：首先，在全公司范圍內進行安全審計，掌握企業(yè)操作，發(fā)現(xiàn)安全隱患；其次，對特殊崗位和部門，進行嚴格管控，限制信息的帶出；最后，在核心部門內部，對機密信息進行透明加密。這樣既可保證公司的正常業(yè)務運作，又能有的放矢地實現(xiàn)最優(yōu)化的信息防泄漏管理，還大大節(jié)約了投資成本。

此外，利用科學可行的安全策略和必要的技術手段實現(xiàn)動態(tài)性防護。動態(tài)性的信息泄露防護，對于目前泄密方式日益增多的企業(yè)來說，非常重要。某些企業(yè)往往在安全事件發(fā)生之后才對現(xiàn)在的策略進行被動的調整。這種“吃一塹、長一智”的防護模式，對于企業(yè)而言，有可能是致命的。一旦出了安全事故，恐怕亡羊補牢，為時已晚。

企業(yè)需要建立一個動態(tài)性的安全防護，前瞻性地發(fā)現(xiàn)安全威脅，并通過對技術或管理上的策略進行及時調整更新，防范潛在的安全風險。

最后要強調的是，信息安全體系必須便于使用和維護。如今，市場上五花八門的信息防泄漏產(chǎn)品讓企業(yè)眼花繚亂，企業(yè)期望這種“強強組合”能給企業(yè)套上萬無一失的金鐘罩。殊不知這種做法往往意味著企業(yè)必須付出較高的成本，并增加了技術的復雜性，還容易導致產(chǎn)品軟件沖突等問題，企業(yè)雖然“裝”了安全產(chǎn)品，但根本“用”不了。

目前，能夠提供整體解決方案的單一安全產(chǎn)品可謂不錯的選擇，它能夠幫助企業(yè)建立統(tǒng)一的安全管理平臺，無論企業(yè)安全邊界防護、還是內部使用，都做了整體全面的考慮，同時簡化了日常的操作與管理、降低了系統(tǒng)的資源占用、避免了軟件沖突等多種問題，使用維護亦非常方便，大大節(jié)約了IT人員的時間和精力。

綜上所述，如企業(yè)信息防泄漏建設符合以上檢測標準，說明該企業(yè)已經(jīng)建立了一個完善的整體信息防泄漏體系，機密信息也得到了最大化的保護，實現(xiàn)了“成本、效率、安全”三者的最佳平衡，這也是近年來被大家認可的“整體信息防泄漏”理念的核心。

實際上，信息防泄本身就是一種博弈，是企業(yè)和人的博弈。它是一場思維的交鋒，企業(yè)只有掌握了內部的行為操作，同時針對內部安全威脅建立全面、立體化的安全防護，信息防泄才會立于不敗之地。

天璣外包信息安全管控體系

天璣科技提供的IT外包（IT Outsourcing）服務，即“承接企業(yè)IT系統(tǒng)維護與管理，按雙方服務協(xié)議內容完成相關服務”的業(yè)務模式。

隨著客戶對信息安全管理的要求越來越高，天璣科技把IT外包的信息安全管理放在首位，積極貫徹基于風險的管理方法，針對IT服務外包中的安全管理進行了系統(tǒng)思考和有益的嘗試。

外包基礎和簡單重復的服務：考慮到信息安全管理問題，天璣科技初期外包服務范圍主要以基礎服務外包為主，即將IT系統(tǒng)日常的硬件與軟件維護、Helpdesk呼叫中心、信息系統(tǒng)的編碼等活動外包，而對于IT系統(tǒng)的規(guī)劃與管理、核心應用系統(tǒng)（如ERP、CRM）的設計與維護仍然由企業(yè)IT部門承擔。這樣避免了IT服務人員接觸組織的核心系統(tǒng)信息，降低了IT服務外包對IT系統(tǒng)敏感部分帶來的安全風險。

具備信息安全管理資質：由于IT外包服務過程中，IT服務人員必然會接觸到企業(yè)的系統(tǒng)設備甚至是內容，如何成為一家可靠安全的IT服務外包供應商也是在進行IT服務外包前必須考慮的重要方面。天璣科技是一家已經(jīng)建立起完善的信息安全管理體系，并通過了BSI安全認證審核的IT服務外包供應商，專門從事IT服務外，擁有很多有影響的大客戶。天璣科技會根據(jù)服務內容簽訂責任明確的服務合同，在服務合同中詳細闡明雙方在服務提供過程中對信息安全的責任十分關鍵。

強化日常服務的安全管理：信息安全管理的要求應該體現(xiàn)在IT服務日常管理的各個方面，主要包括：日常活動規(guī)范的建立；服務變更控制；服務人員管理；安全事件處理；業(yè)務持續(xù)管理；知識產(chǎn)權保護和監(jiān)控與審核等內容。

日?；顒右?guī)范的建立：針對服務協(xié)議中明確的服務內容，建立規(guī)范的服務流程是開展IT服務活動的基礎。企業(yè)信息化主管部門根據(jù)雙方簽訂的服務協(xié)議，與供應商IT服務主管人員一起建立一套完整的服務規(guī)范。服務規(guī)范中對服務過程中的安全風險均采取了適當?shù)目刂拼胧_保了服務活動滿足企業(yè)信息安全管理策略的要求。

服務變更控制：天璣科技遵從在調整其服務流程和變更服務技術前必須事前進行溝通，在企業(yè)評估變更的影響并確認采取了響應控制措施后才能進行服務過程的變更。

服務人員管理：服務人員是IT服務活動的直接執(zhí)行者。為確保服務人員能夠滿足要求，天璣科技明確規(guī)定了IT服務人員的能力要求和標準，確保只有技術能力強、認真負責的服務人員才能進入服務項目組。同時，對服務人員篩選、培訓和變動也提出了具體要求。

安全事件管理：發(fā)生安全事件后，雙方人員的協(xié)調和互動將直接影響對事件處理的結果。在服務過程中發(fā)生和發(fā)現(xiàn)的信息安全事件必須第一時間上報企業(yè)主管部門，在企業(yè)主管部門的組織下完成對安全事件的處理。

業(yè)務持續(xù)管理：由于企業(yè)將核心網(wǎng)絡和系統(tǒng)硬件均托管給了IT服務供應商進行日常維護。IT服務供應商是否具備滿足組織業(yè)務需求的業(yè)務持續(xù)管理能力，成為保證企業(yè)信息系統(tǒng)業(yè)務持續(xù)的關鍵。在企業(yè)整個業(yè)務持續(xù)管理的框架下，對IT服務供應商的業(yè)務持續(xù)管理能力提出了明確的要求，在服務協(xié)議中進行了明確的定義。同時，針對具體服務系統(tǒng)雙方共同制定了相應的災難恢復計劃。

知識產(chǎn)權保護：桌面服務中如何保護組織以及相關方的知識智力產(chǎn)權，是需要在進行IT服務外包過程中管理和控制的重要內容。天璣科技在軟件安裝和服務過程中工具的使用過程都明確規(guī)定了對軟件許可證的跟蹤與管理要求，確保服務活動滿足對知識產(chǎn)權保護的要求。

篇(2)

現(xiàn)在的社會發(fā)展迅速，科技普及，信息傳輸速度快，人與人之間的交往因為大數(shù)據(jù)時代的到來變得越來越密切，這與云服務的發(fā)展密不可分，它的出現(xiàn)是大數(shù)據(jù)時代的又一巨變。

【關鍵詞】大數(shù)據(jù)時代 云服務 信息安全

在大數(shù)據(jù)快速發(fā)展的同時，“云服務”信息安全保護已經(jīng)延伸到了眾多領域。大數(shù)據(jù)離不開“云服務”，“云服務”離不開信息安全，云數(shù)據(jù)在為大數(shù)據(jù)提供平臺的同時，要確保數(shù)據(jù)的私密安全。尤其在一些重要的領域，信息的泄露會對個人、企業(yè)、乃至國家造成嚴重的損失，所以在這種情況下，信息安全保護極其重要，是確保大數(shù)據(jù)和“云服務”穩(wěn)定并且持續(xù)發(fā)展的重要前提。

1 大數(shù)據(jù)時代“云服務”的特征

在信息發(fā)達的現(xiàn)代社會，“云服務”帶給我們非常好的數(shù)據(jù)存儲平臺。我們可以將自己的信息放到云端，以便于隨時隨地的應用。將云服務的主要特征劃分為以下幾個方面：一，方便快捷?！霸品铡钡钠占埃沟檬褂谜呔哂辛艘粋€內存大且不易丟失的存儲工具，人們只要將數(shù)據(jù)信息傳到上面，就可以放心的查看，使用，大大的節(jié)省了時間，給人們的生活帶來便捷。二，高性能，高可靠性。“云服務”的各個單元相互獨立，不會互相影響，它們有各自的軟件及硬件資源，提供了高性能的服務。同時，在云端，提供各種數(shù)據(jù)的存儲以及備份，還可以在工作失誤的情況下，提供恢復的服務，大大的提高了使用的可靠性。三，隱私問題的保護和安全性有待提高。每件事情都有兩面性，“云服務”也有。如何保證用戶的數(shù)據(jù)不被非法的查看、盜竊、修改，是現(xiàn)在技術方面要著重考慮的問題。

2 “云服務”信息安全隱患產(chǎn)生原因

2.1 前期開發(fā)階段安全性不高

軟件在開發(fā)過程中，設計者沒有考慮到來自互聯(lián)網(wǎng)方面的各種危害，沒有對軟件本身的安全度加固。還有就是監(jiān)管不到位，使用者沒有注意到軟件的防護與定期監(jiān)管，就會使得各種惡意軟件有了入侵的機會。

2.2 使用者安全意識淡薄

使用者在注冊登錄的時候設置的密碼過于簡單，大大的降低了安全度。此外，沒有做好安全加固和內部訪問設限等都是潛在的安全隱患。

2.3 黑客對信息的竊取

因為“云服務”的大范圍使用，用戶會將很多重要信息傳到云端，這樣就吸引大部分的競爭者。他們想要竊取并修改對方的信息，以造成對方的巨大損失，這樣就產(chǎn)生了很多侵入別人信息內部的黑客。黑客是“云服務”信息安全的重大隱患。

2.4 相關使用法律不規(guī)范

“云服務”的相關法律法規(guī)存在不規(guī)范之處，其對于使用者缺乏有效的監(jiān)管與約束，從而造成了大量的使用者肆意妄為的現(xiàn)象頻頻發(fā)生。

3 大數(shù)據(jù)時代“云服務”信息安全保護的重要性

因為“云服務”使用的范圍廣泛，大到國家，軍隊的相關信息，小到企業(yè)，個人的相關信息都與“云服務”密切相關。一個信息的泄露有可能影響到全局的發(fā)展，所以提高安全性是必要的。

信息是一種資源，而信息安全主要包括信息的完整性、可用性、保密性和可靠性。完整性是指確保信息完整，不能丟失。當用戶將數(shù)據(jù)傳輸?shù)皆贫耍_保數(shù)據(jù)永久存在，這樣才可以讓廣大的使用者產(chǎn)生信任，吸引更多的使用者。可用性是指數(shù)據(jù)傳輸成功后，當用戶再次使用，應確保數(shù)據(jù)仍舊可以被使用。保密性是指信息不能被泄露和修改。最后一個可靠性是指這個平臺無論是本身存儲方面，還是后期的管理方面，都要確保萬無一失。這樣才能使“云服務”更加廣泛、放心地被使用。

4 “云服務”信息安全保護措施

4.1 加強技術保護

技術能力的提高是信息安全保護的直接方式。在網(wǎng)絡普及的現(xiàn)代，侵權者的手段在不斷的提高，過去保護的方法已經(jīng)被破解，為了信息的安全存儲，技術方面的提高迫在眉睫。在各方面迅速發(fā)展的情況下，研究新型的技術，培養(yǎng)高技術人才是網(wǎng)絡信息安全保護的重大任務。

4.2 加強監(jiān)管能力

這里的監(jiān)管包括軟件自身的監(jiān)管，行政監(jiān)管和本身使用規(guī)范的監(jiān)管三方面。件自身的監(jiān)管就是要增強軟件自身防惡意侵襲和對軟件時刻監(jiān)管的能力，只有這個能力增強了，軟件自身的可靠性也就大大的提高了。行政監(jiān)管就是網(wǎng)絡安全部門要制定相關的制度，必須明確使用者權限以及越權的相關懲罰。本身使用的監(jiān)管就是使用者本身要有自我約束能力。

4.3 增強加密系統(tǒng)

設置加密系統(tǒng)，首先要設定用戶權限。具體表現(xiàn)為；為不同用戶設置不同的使用權限，當非本人操作時，就會發(fā)出報警和自動加鎖。其次要對數(shù)據(jù)進行加密，當用戶申請訪問數(shù)據(jù)時，就會有相應的解密，如果解密成功，就可以訪問。反之，就會發(fā)出報警。當然，針對時間長久遺忘了相關加密信息的使用者，也應該有相關的驗證，然后重新獲取。

4.4 增加相關保護法則

近年來，國家越來越致力于大數(shù)據(jù)的應用，那么越來越多的重要信息被傳入到“云服務”。這些數(shù)據(jù)都是至關重要的，應該添加重要的法則加以約束。

5 結語

大數(shù)據(jù)和“云服務”的時代已經(jīng)到來，各行各業(yè)得到了迅速的發(fā)展，這給我們帶來眾多益處的同時也帶來了更多的機遇和挑戰(zhàn)。我們應該積極的面對，不斷地發(fā)展，提高使用的安全性，讓使用者更加放心的使用，讓時代快速發(fā)展。

參考文獻

[1]李佳倩.大數(shù)據(jù)時代的信息安全問題[J].信息安全導論論文，2015.

篇(3)

 

1 社區(qū)衛(wèi)生服務中心信息安全背景

 

20世紀90年代以來，信息技術不斷創(chuàng)新，信息產(chǎn)業(yè)持續(xù)發(fā)展，信息網(wǎng)絡廣泛普及，特別是原衛(wèi)生部《衛(wèi)生信息化發(fā)展規(guī)劃(2011～2015年)》之后，明確了衛(wèi)生信息化是深化醫(yī)藥衛(wèi)生體制改革的重要內容。那么作為整個衛(wèi)生信息化體系的“網(wǎng)底”的社區(qū)衛(wèi)生服務中心，其重要性不言而喻。隨著衛(wèi)生信息化的建設不斷擴展和深入，依托于區(qū)域衛(wèi)生信息中心的各類應用系統(tǒng)不斷上線推廣應用。網(wǎng)絡與數(shù)據(jù)安全已逐步成為各項衛(wèi)生信息工作開展的重要基礎依托。因此社區(qū)衛(wèi)生服務中心作為區(qū)域衛(wèi)生信息中心的重要結點。信息安全管理就顯得尤為重要。

 

2 什么是信息安全管理

 

“三分技術，七分管理”是信息安全保障工作中經(jīng)常提到的。可見，信息安全管理是信息安全保障的至關重要的組成部分。信息安全管理(Information Security Management)指組織中為了完成信息安全目標，遵循安全策略，按照規(guī)定的程序，運用恰當?shù)姆椒?，而進行的規(guī)劃、組織、指導、協(xié)調和控制等活動。作為組織完成的管理體系中的一個重要環(huán)節(jié)，它構成了信息安全具有能動性的部分，是指導和控制組織相互協(xié)調完成關于信息安全風險的活動，其對象就是包括人員在內的各類信息相關資產(chǎn)。在社區(qū)衛(wèi)生服務中心由于信息系統(tǒng)應用較為廣泛，基本包含了醫(yī)療、護理、醫(yī)技、行政等所有科室及其人員。

 

長期以來，社區(qū)衛(wèi)生服務中心在信息安全建設方面，存在重技術輕管理、重產(chǎn)品功能輕安全管理、缺乏整體性信息安全體系考慮等各方面的問題。區(qū)域衛(wèi)生信息中心采用集中管理的信息安全技術及產(chǎn)品的應用，一定程度上可以來解決社區(qū)衛(wèi)生服務中心在網(wǎng)絡傳輸時的信息安全問題。但是僅僅靠這些產(chǎn)品和技術還不夠，即使采購和使用了足夠先進、足夠多的信息安全產(chǎn)品，仍然無法避免一些信息安全事件的發(fā)生。近年來，由于管理不善、操作失誤等原因導致的衛(wèi)生信息及病患基本信息泄露的安全事件數(shù)量不斷攀升，更加劇了社區(qū)衛(wèi)生服務中心需要信息安全管理的迫切性。

 

3 社區(qū)衛(wèi)生服務中心信息安全管理作用

 

社區(qū)衛(wèi)生服務中心信息安全管理的作用體現(xiàn)任以下幾個方面。

 

3.1信息安全管理是社區(qū)衛(wèi)生服務中心組織整體管理的重要的、固有的組織部分，是組織實現(xiàn)中心業(yè)務目標的重要保障。在信息時代的今天，信息安全威脅已經(jīng)成為社區(qū)衛(wèi)生服務中心等醫(yī)療機構業(yè)務正常運營和持續(xù)發(fā)展的最大威脅。如在社區(qū)衛(wèi)生服務中心發(fā)生的費用結算85%以上通過醫(yī)保信息系統(tǒng)來進行，所有的醫(yī)生工作站都依托中心服務器來提供數(shù)據(jù)進行操作，醫(yī)技部門也通過信息系統(tǒng)獲取病人信息和傳送結果。一旦信息系統(tǒng)發(fā)生故障對于社區(qū)衛(wèi)生服務中心來說是災難性的。因此中心需要信息安全管理，有其必然性。

 

3.2信息安全管理是信息安全技術的融合劑，是各項技術措施能夠發(fā)揮作用的重要保障。安全技術是信息安全控制的重要手段，許多信息系統(tǒng)的安全性保障都要依靠技術手段來實現(xiàn)，但光有安全技術還不行，要讓安全技術發(fā)揮應有的作用，必然要有適當?shù)墓芾沓绦虻闹С郑駝t，安全技術職能趨于僵化和失敗。如果說安全技術是信息安全的構筑材料，那么信息安全管理就是融合劑和催化劑，良好的管理可以變廢為寶，使現(xiàn)有的各項技術相互配合發(fā)揮應有的作用，而糟糕的管理會使技術措施變得毫無用處。實現(xiàn)信息安全，技術和產(chǎn)品是基礎，管理才是關鍵。在信息安全保障工作中必須管理與技術并重，進行綜合防范，才能有效保障安全，這也是實現(xiàn)信息安全目標的必由之路

 

3.3信息安全管理是預防、阻止或減少信息安全事件發(fā)生的重要保障。早期人們對于信息安全的認識主要側重在技術措施的開發(fā)和利用上，這種技術主導論的思路能夠解決信息安全的一部分問題，但卻解決不了根本，據(jù)權威機構統(tǒng)計表明，信息安全問題大約70%以上是由管理方面原因造成的，大多數(shù)信息安全事件的發(fā)生，與其說是技術上的原因，不如說是管理不善造成的。因此解決信息安全問題、防止發(fā)生信息安全事件不應僅從技術方面著手，同時更應加強信息安全的管理工作。

 

信息安全涉及的范疇非常廣，信息安全不是產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術、操作三者緊密結合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展的動態(tài)過程。因此，要求社區(qū)衛(wèi)生服務中心的相關人員正確理解信息安全、理解信息安全管理的關鍵作用，以更好地開展信息安全管理工作。強調信息安全管理的作用，并不是要削弱信息安全技術的作用;開展信息安全管理工作，要處理好管理和技術的關系，要堅持管理與技術并重的原則，這也是信息安全保障工作的主要原則之一。

 

4 社區(qū)衛(wèi)生服務中心信息安全管理控制措施

 

在我國對于信息安全等同采用IS0 27002：2005，命名為《信息技術安全技術信息安全管理實用規(guī)則》(GB/T 22081-2008)。信息安全是通過實施一組合適的控制措施而達到的，包括策略、過程、規(guī)程、組織結構以及軟件和硬件功能?？梢妼τ谏鐓^(qū)衛(wèi)生服務中心的信息安全來說，安全控制措施是必要且十分重要的。其中比較重要的如下：

 

4.1安全方針 社區(qū)衛(wèi)生服務中心的信息安全方針控制目標，是指中心的信息安全方針能夠依據(jù)業(yè)務的要求和相關法律法規(guī)提供管理指導并支持信息安全。社區(qū)衛(wèi)生服務中心信息安全方針文件的內容應包含中心管理者的管理承諾、組織管理信息安全的方法、中心信息安全整體目標和范圍的定義、中心管理者意圖的聲明、控制目標和控制措施的框架、重要安全策略、原則、標準和符合性要求說明、中心信息安全管理的一般和特定職責的定義、支持方針的文件的引用等。

 

4.2信息安全組織 信息安全組織一般分為內部組織和外部組織。社區(qū)衛(wèi)生服務中心內部組織的信息安全控制目標是指在中心內管理信息安全。組織的安全建立在每一位人員不同責任分工的劃分，不同的責任會有不同的工作指導原則。其中應當包括信息安全的管理承諾、信息安全協(xié)調、信息安全職責的分配、信息處理的授權、保密協(xié)議、信息安全的獨立評審等。社區(qū)衛(wèi)生服務中心外部組織的信息安全控制目標是保持中心被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理的安全。主要包括中心與系統(tǒng)外單位信息通信相關風險的識別、處理相關的安全問題和處理第三方協(xié)議中的安全問題等。

 

4.3人力資源安全 人員在中心的信息安全管理中是一個最重要的因素，有資料表明，70%的安全問題是來自人員管理的疏漏，為了對人員有一個有效的管理，需要從任用之前、任用中、任用的終止或變更三項控制目標進行管理。

 

4.3.1任用之前控制是指社區(qū)衛(wèi)生服務中心任用人員之前為了確保人力資源的安全，需考慮到角色是否適合相應崗位，以降低設施被竊、信息泄露和誤用的風險，這一目標的實現(xiàn)需通過角色和職責、審查、任用條款和條件三項控制措施的落實來保障。

 

4.3.2任用中社區(qū)衛(wèi)生服務中心的信息安全控制目標就是確保所有的員工、承包方人員和第三方人員知悉信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針，以減少人為過失的風險。

 

4.3.3社區(qū)衛(wèi)生服務中心發(fā)生任用的終止或變更時，應確保信息的安全不外泄，確保員工、承包方人員和第三方人員以一個規(guī)范的方式退出或改變其任用關系?？梢酝ㄟ^終止職責、資產(chǎn)的歸還、撤銷訪問權限等控制措施來實現(xiàn)。

 

4.4物理和環(huán)境安全 社區(qū)衛(wèi)生服務中心的物理和環(huán)境安全可以從安全區(qū)域和設備安全來入手管理。定義安全區(qū)域是為了防止對中心場所和信息的未授權物理訪問、損壞和干擾。可以通過設置物理安全邊界、物理入口控制、辦公室房間和設施的安全保護、外部和環(huán)境的安全防護、在安全區(qū)域工作、公共訪問和交接區(qū)安全。設備安全是指防止由于資產(chǎn)丟失、損壞、失竊而危及社區(qū)衛(wèi)生服務中心的資產(chǎn)安全以及信息安全。中心可通過設備安置和保護、支持性設施、布纜安全、設備維護、場所外的設備安全、設備的安全處置和再利用，資產(chǎn)的移動等措施來進行保障。

 

4.5通信和操作管理 社區(qū)衛(wèi)生服務中心的通信和操作管理一般可從操作規(guī)程和職責、第三方服務交付管理、系統(tǒng)規(guī)劃和驗收、防范惡意和移動代碼、備份、網(wǎng)絡安全管理、介質處置、信息的交換、電子商務服務、監(jiān)視等方面入手。

 

4.6訪問控制 對于社區(qū)衛(wèi)生服務中心來說，訪問控制可從訪問控制的業(yè)務要求、用戶訪問管理、用戶職責、網(wǎng)絡訪問控制、操作系統(tǒng)訪問控制、應用和信息訪問控制、移動計算和遠程工作等控制目標來入手。

 

4.7信息安全事件管理 社區(qū)衛(wèi)生服務中心的信息安全事件管理可以從報告信息安全事態(tài)和弱點、信息安全事件和改進的管理兩個控制目標入手進行管理。

 

4.7.1報告信息安全事態(tài)和弱點這項控制目標旨在確保中心與信息系統(tǒng)有關的信息安全事態(tài)和弱點能夠以某種方式傳達，以便及時采取糾正措施。該目標下有報告信息安全事態(tài)和報告安全弱點這兩項控制措施來保障這一目標的實現(xiàn)。①報告信息安全事態(tài)控制措施，是指信息安全事態(tài)應該盡可能快地通過適當?shù)墓芾砬肋M行報告。實施過程中應建立正式的信息安全事態(tài)報告程序，以及在收到信息安全事態(tài)報告后采取措施的事件響應和上報程序。②報告安全弱點控制措施，是指中心應要求信息系統(tǒng)和服務的所有職員、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統(tǒng)或服務的安全弱點。報告機制應盡可能容易、易理解和方便可用。應告知他們在任何情況下，都不應試圖去證明被懷疑的弱點。

 

4.7.2信息安全事件和改進的管理。社區(qū)衛(wèi)生服務中心信息安全事件和改進的管理這一控制目標旨在確保采用一致和有效的方法對信息安全事件進行管理。中心可以用職責和程序的控制措施、對信息安全事件的總結、證據(jù)的收集三項控制措施來保障這一目標的實現(xiàn)。①職責和程序的控制措施。它是指中心應當建立管理職責和程序，以確保能對信息安全事件做出快速、有效和有序的響應。該項措施實施時除了對中心的信息安全事態(tài)和弱點進行報告外，還應利用對系統(tǒng)、報警和脆弱性的監(jiān)視來檢測中心信息安全事件。遵循嚴格的信息安全事件管理程序的前提是中心需建立規(guī)程以處理不同類型的信息安全事件，如惡意代碼、拒絕服務、信息系統(tǒng)故障和服務丟失、違反保密性和完整性、信息系統(tǒng)誤用等。中心除了考慮正常的應急計劃還要考慮事件原因的分析和確定、遏制事件影響擴大的策略、向合適的機構報告所采取的措施等。②中心對信息安全事件的總結控制措施，是指社區(qū)衛(wèi)生服務中心應有一套機制量化和監(jiān)視信息安全事件的類型、數(shù)量和代價。從信息安全事件評價中獲取的信息應用來識別再發(fā)生的事件或高影響的事件。③證據(jù)的收集。證據(jù)的收集對于社區(qū)衛(wèi)生服務中心來說，是指當中心的一個信息安全事件涉及到訴訟(民事的或刑事的)，需要進一步對個人或組織進行起訴時，應收集、保留和呈遞證據(jù)，以使證據(jù)符合相關訴訟管轄權。過程有：為應對懲罰措施而收集和提交證據(jù)，應制定和遵循內部程序，為了獲得被容許的證據(jù)，中心應確保其信息系統(tǒng)符合任何公布的標準或實用規(guī)則來產(chǎn)生被容許的證據(jù)：任何法律取證工作應僅在證據(jù)材料的拷貝上進行。

 

4.8業(yè)務連續(xù)性管理 對于社區(qū)衛(wèi)生服務中心來說業(yè)務連續(xù)性管理是指防止中心業(yè)務中斷，保證中心重要業(yè)務流程不受重大故障與災難的影響。業(yè)務連續(xù)性管理過程中包含信息安全，該控制措施是指應為貫穿于組織的業(yè)務連續(xù)性開發(fā)和保持一個管理過程。解決中心的業(yè)務連續(xù)性所需的信息安全要求，保護關鍵業(yè)務過程免受信息系統(tǒng)重大失誤或災難的影響，并確保他們的及時恢復。應包含中心的信息安全、業(yè)務連續(xù)性和風險評估、制定和實施包含信息安全的連續(xù)性計劃、業(yè)務連續(xù)性計劃框架、測試、維護和再評估業(yè)務連續(xù)性計劃等內容。

 

5 社區(qū)衛(wèi)生服務機構信息安全的展望

 

對于社區(qū)衛(wèi)生服務中心來說信息安全保障不僅僅是一門技術學科，信息安全保障應綜合技術、管理和人。在中心的管理上，信息安全保障應考慮建立綜合的信息化的組織管理體系，明晰相應的崗位職責、規(guī)章制度并嚴格執(zhí)行等等。在人員上，應加強所有使用信息系統(tǒng)人員的安全意識和技能，以及中心從事信息系統(tǒng)專業(yè)人員的專業(yè)技能和能力。社區(qū)衛(wèi)生服務中心的信息安全保障亦不是一種項目性的暫時行為，而是融入信息系統(tǒng)生命周期的全過程的保障。信息安全保障不是一種打補丁，頭疼醫(yī)頭、腳疼醫(yī)腳的臨時行為，而是一種系統(tǒng)化、體系化的保障過程。信息安全保障的目的不僅僅是保障信息系統(tǒng)本身，信息安全保障的根本目的是通過保障信息系統(tǒng)進而保障運行于信息系統(tǒng)之上的中心業(yè)務系統(tǒng)。信息安全保障應以業(yè)務為主導、以社區(qū)衛(wèi)生服務中心的使命、社會職責和社會服務性為出發(fā)點和落腳點。社區(qū)衛(wèi)生服務中心的信息安全保障不僅僅是孤立的自身的問題，信息安全保障是一個社會化的、需要各方參與的工作。信息安全保障不僅僅是孤立的自身的問題，信息系統(tǒng)需要電信、電力等基礎設施的支持、信息系統(tǒng)需要承擔保密、公共安全、國家安全等社會職責，信息安全保障工作是一個社會化的、需要各方參與的綜合的工作。社區(qū)衛(wèi)生服務中心的信息安全保障是主觀和客觀的結合。沒有絕對的安全，信息安全保障并不提供絕對的安全，信息安全保障是討論風險和策略，討論適度安全。因此，它是一個需要持之以恒和不斷完善與發(fā)展的工作。

篇(4)

【Key words】Cloud computing； Digital library； Information resources； Security policy

0 引言

圖書館擁有大量的紙質資料、電子資源、文獻資料和多媒體資源等，充分利用圖書館的這些資源盡可能發(fā)揮出最大的利用價值。隨著當今時代計算機和網(wǎng)絡技術的快速發(fā)展，傳統(tǒng)的圖書館服務模式難以跟上步伐，基于云計算的數(shù)字圖書館應用而生，這種全新的服務模式可以將圖書館中分散的數(shù)字信息進行有效的整合、調度和分配，為用戶提供最便捷的使用方式，可以最大程度的滿足用戶的需求。但于互聯(lián)網(wǎng)本身潛在的安全隱患、黑客的惡意攻擊和病毒的傳播等，使得數(shù)字圖書館資源安全面臨風險。建立切實可信的信息安全策略和手段，使數(shù)字圖書館系統(tǒng)工作能夠穩(wěn)定有序的進行。

1 云計算

云計算是將分布式處理、并行處理、虛擬化和網(wǎng)格計算以及互聯(lián)網(wǎng)相結合的一種先進的資源服務模式，它將計算工作分布在多個的服務器構成的資源池上，使用戶能夠按所需獲取計算能力、存儲空間和信息服務。一般由存儲與計算機服務器、寬帶資源等大型服務器的集群，通過專門的軟件進行自動管理，同時也可以進行自我的維護，無需人工參與。云計算中，軟件和硬件可以成為資源而提供給用戶使用，用戶可以動態(tài)申請所需資源，云計算對軟件和硬件資源可以進行很好的分配，用戶能夠更加專注自己的業(yè)務，提高工作效率和降低成本。由于云計算具備動態(tài)擴展、伸縮特性，隨著用戶的不斷增長，云計算可以根據(jù)不斷對系統(tǒng)進行擴展。此外，云計算的物理資源利用率高，使得其運行管理成本大幅度降低，使其在數(shù)字圖書館構建中擁有非常好的性能價格比。云計算的層次架構可分為三層，其結構層次及提供服務如下圖1所示：

云計算的主要特點有：（1）穩(wěn)定性：具備良好的容錯能力，當某個節(jié)點發(fā)生故障時，云計算平臺能快速找到故障并恢復；（2）高擴展性：云計算平臺具有高擴展性和靈活的彈性，能夠動態(tài)地滿足用戶規(guī)模的增長和需要；（3）虛擬化：云計算通過虛擬化技術將分布式的物理和數(shù)字資源進行虛擬化，統(tǒng)一存放在數(shù)據(jù)中心，用戶可以在任何地方使用終端來獲取服務；（4）通用性：云計算環(huán)境下可以構造出各種功能的應用，滿意用戶的大部分需求（5）成本低廉：云平臺的特殊容錯機制可以采用極其廉價物理資源，資源成本低。且具有強大的軟硬件資源，并有專業(yè)的維護團隊，維護成本大大降低。

2 數(shù)字圖書館的特點

數(shù)字圖書館是采用高新數(shù)字技術處理和存儲紙質圖書、電子文獻、多媒體資料等的圖書館。它把各個不同區(qū)域、不同形式的信息資源通過數(shù)字技術存儲，以便于跨區(qū)域的傳播和服務用戶，它涉及信息資源加工、存儲、檢索、傳輸和利用的全過程。數(shù)字圖書館改變了傳統(tǒng)圖書館的服務模式，擴大了信息處理的數(shù)字化服務平臺，體現(xiàn)了高科技在圖書館管理工作中的重要性，使圖書館管理工作能安全智能的運作。數(shù)字圖書館具有智能化、信息化、一體化等特點。近年來，云計算技術在數(shù)字圖書館的建設中得到大力推廣，提高了圖書館數(shù)據(jù)庫的可用性，實現(xiàn)了信息安全系統(tǒng)的多功能改造。

數(shù)字圖書館的主要特點有：（1）占用空間小且易保存：將重要紙質資料存放在磁盤或硬盤中，所占用的物理資源相對較少，同時通過計算機設備查閱，避免了翻閱過多和保存過久而損壞；（2）檢索快捷：采用了高科技的數(shù)字圖書館能提供一站式服務，用戶通過統(tǒng)一的界面操作就能夠快速地查詢到自己所需的信息；（3）資源共享：數(shù)字圖書館的信息資源可以一份供多人共享，且不受地理位置和時間的限制，實現(xiàn)了資源共享，提高了資源利用率；（4）資源定制能力增強：數(shù)字圖書館成為信息資源主體和客體，更具個性化定制能力；（5）動態(tài)集成性：數(shù)字圖書館利用各種技術對各種信息進行整合，使各種異構資源形成一個有機整體。

3 云計算環(huán)境下數(shù)字圖書館存在的安全隱患

基于云計算的數(shù)字圖書館是虛擬的，是在網(wǎng)絡環(huán)境下超大規(guī)模的、分布式的、可以實現(xiàn)跨庫鏈接的知識檢索中心。面對復雜的網(wǎng)絡環(huán)境和越來越多的黑客，云計算環(huán)境下的數(shù)字圖書館存在一些安全風險問題，它主要體現(xiàn)在以下幾個方面：

（1）用戶認證的安全：數(shù)字圖書館采用了數(shù)字化技術、虛擬化分布式技術技術等，系統(tǒng)管理員個人技能水平有限會造成系統(tǒng)數(shù)據(jù)的泄露和損壞。同時由于系統(tǒng)管理員有權限對數(shù)字圖書館云服務平臺進行操作，可以蓄意泄露或破壞信息資源。（2）數(shù)據(jù)的安全：在云計算環(huán)境下的數(shù)字圖書館系統(tǒng)中，信息資源都處于共享狀態(tài)，在傳輸和存儲過程中即使采用了數(shù)據(jù)加密方案，也無法確保做到萬無一失。同時在很多情況下數(shù)據(jù)加密方法并不是有效的，且加密后會降低系統(tǒng)的效率。（3）系統(tǒng)的安全：數(shù)字圖書館云服務平臺上系統(tǒng)安全漏洞和應用軟件的安全性不足都是潛在的安全隱患。隨著圖書館典藏規(guī)模的不斷壯大和用戶數(shù)量的不斷增加，圖書館內檢索終端、服務器節(jié)點、監(jiān)控設備數(shù)量持續(xù)增長，系統(tǒng)處理數(shù)據(jù)速率降低，數(shù)據(jù)處理過程易受到限制，這些都會降低圖書館云服務平臺的服務效率。

4 云計算環(huán)境下的安全策略

基于以上提出的數(shù)字圖書館云平臺存在的安全問題，可以采用一些安全可信的技術手段，確保數(shù)字圖書館云平臺正常提供服務的同時，還能最大程度的保障圖書館信息資源的完整性、一致性和保密性。本次對于數(shù)字圖書館云平臺的安全問題主要從應用層安全、數(shù)據(jù)安全和網(wǎng)絡層安全三個方面進行設計。

4.1 應用層安全

應用層是提供用戶交互和各個應用軟件服務的接口，應用層是保障數(shù)字圖書館云平臺能夠高效、快速和穩(wěn)定的服務。該層是數(shù)字圖書館云服務平臺的入口，采用web形式向用戶提供提供統(tǒng)一的服務界面。在數(shù)字圖書館云服務平臺中，影響到應用層安全的主要因素有超級管理員的權限、一般管理員、圖書館管理員和普通用戶等幾個方面，所有用戶登錄到數(shù)字圖書館云服務平臺都需要通過身份驗證才能對數(shù)據(jù)庫的進行操作。本次設計的數(shù)字圖書館云服務平臺對于用戶的權限也進行了劃分，如表1所示：

超級管理員具有最高權限，能對任何用戶進行增刪改。以外，要確保管理員操作和維護的安全性，也就要確保數(shù)字圖書館云服務平臺的安全。這就要求管理人員要具備相應的專業(yè)技能外和良好的職業(yè)素質。

4.2 數(shù)據(jù)安全

數(shù)據(jù)的安全是數(shù)字圖書館云服務平臺最重要的內容，但是考慮到系統(tǒng)自身的漏洞和應用軟件的漏洞會使數(shù)字的安全遭到威脅，目前最佳的解決方案是利用云計算的分布式特點，將圖書館的個人數(shù)據(jù)和其他用戶的數(shù)據(jù)隔離開來，同時對一些機密敏感的體，服務模式發(fā)展呈現(xiàn)多樣化。由于自身的學數(shù)據(jù)進行加密存儲?？紤]到數(shù)據(jù)以靜態(tài)和動態(tài)并存的方式存在，對于信息的加密應從傳輸和存儲兩個方面來加密重要數(shù)據(jù)。在傳輸數(shù)據(jù)時，設計采用 ESA非對稱加密算法進行加密，保證了傳輸信息的安全性。對于存儲的靜態(tài)信息的加密是一個復雜的過程，主要作用就是防止重要數(shù)據(jù)丟失，即使黑客通過非法的手段得到加密后的數(shù)據(jù)，也不能獲得原數(shù)據(jù)。另外，云計算會是比較復雜的平臺，即容易發(fā)生無法預估的系統(tǒng)運行故障和數(shù)據(jù)丟失情況，我們必須定期做好數(shù)據(jù)的備份和恢復工作，最大程度地確保系統(tǒng)穩(wěn)定的運行。

4.3 網(wǎng)絡層安全

由于數(shù)字圖書館云服務平臺是完全在互聯(lián)網(wǎng)環(huán)境下運行的，如果在系統(tǒng)和外部傳輸數(shù)據(jù)時采用傳統(tǒng)的HTTP傳輸方式，系統(tǒng)端口就很容易遭網(wǎng)絡攻擊，從而造成圖書館數(shù)據(jù)資源泄露，應用層的安全也就難以得到保障。針對上述情況，可以采用超文本傳輸協(xié)議HTTPS 進行傳輸，對于數(shù)字圖書館云服務平臺和外部鏈接的一些端口，通過安全域把虛擬機組合到一起，通過云計算平臺的端口過濾功能限制用戶對域的訪問。數(shù)字圖書館云服務平臺的網(wǎng)絡安全架構如圖2所示：

篇(5)

關鍵詞：信息安全安全屬性安全建設

我國信息化安全建設任務非常艱巨，主要包括各種業(yè)務的社會公網(wǎng)、行業(yè)專網(wǎng)、互聯(lián)網(wǎng)等信息基礎設施運營、管理和服務的安全自主保障、安全監(jiān)管、安全應急和打擊信息犯罪為核心的威懾體系的建設，其內容包括網(wǎng)絡系統(tǒng)安全建設、領域和企業(yè)的業(yè)務信息化安全建設、網(wǎng)絡內容與行為的安全建設和用戶關注的網(wǎng)絡安全建設等方面。這些安全建設對于不同的領域和領導層面關注的內容、對象和程度各不相同。網(wǎng)絡信息安全是一個完整的、系統(tǒng)的概念。它既是一個理論問題，同時又是一個工程實踐問題。由于互聯(lián)網(wǎng)的開發(fā)性、復雜性和多樣性，使得網(wǎng)絡安全系統(tǒng)需要有一個完整的、嚴謹?shù)捏w系結構來保證網(wǎng)絡中信息的安全。

1 信息安全的定義及目標

信息的定義，從廣義上講，信息是任何一個事物的運動狀態(tài)以及運動狀態(tài)形式的變化，它是一種客觀存在。狹義的信息的含義是指信息接受主體所感覺到并能理解的東西。ISO 13335《信息技術安全管理指南》定義：信息是通過在數(shù)據(jù)上施加某此約定而賦予這此數(shù)據(jù)的特殊含義。信息是無形的，借助于信息媒體以多種形式存在和傳播，同時。信息也是一種重要資產(chǎn)，具有價值，需要保護。信息安全的目標是信息資產(chǎn)被泄露意味著保密性受到影響，被更改意味著完整性受到影響，被破壞意味著可用性受到影響。而保密性、完整性和可用性三個基本屬性是信息安全的最終目標。信息安全的保護對象包括了計算機硬件、軟件和數(shù)據(jù)。就本質而言，信息安全所針對的均是“信息”這種資源的“安全”，對信息安全的理解應從信息化背景出發(fā)，最終落實在信息的安全屬性上。

2 構建網(wǎng)絡信息化安全的意義

能否有效地保護信息資源，保護信息化進程健康、有序、可持續(xù)發(fā)展，直接關乎國家安危，關乎民族興亡，是國家、民族的頭等大事。沒有信息安全，就沒有真正意義上的政治安全，就沒有穩(wěn)固的經(jīng)濟安全和軍事安全，更沒有完整意義上的國家安全。信息安全是信息技術發(fā)展過程之中提出的課題，在信息化的大背景下被推上了歷史舞臺。信息安全不是最終目的，它只是服務于信息化的一種手段，其針對的是信息化這種戰(zhàn)略資源的安全，其主旨在于為信息化保駕護航。

3 網(wǎng)絡信息化的安全屬性

信息安全的概念與信息的本質屬性有著必然的聯(lián)系，它是信息的本質屬性所體現(xiàn)的安全意義。說安全屬性研究首先要從安全定義講起，安全定義分很多的層次，為什么分層次，我們隨著它的演變來看的，信息安全最初目標，叫數(shù)據(jù)安全，它關心的是數(shù)據(jù)自身，所以是一個狹義的數(shù)據(jù)安全，是保護信息自身的安全。

3.1 保密性（Confidentiality）

在傳統(tǒng)信息環(huán)境中，普通人通過郵政系統(tǒng)發(fā)信件時，為了個人隱私要裝上信封。可是到了信息化時代，信息在網(wǎng)上傳播時，如果沒有這個“信封”，那么所有的信息都是“明信片”，不再有秘密可言，這便是信息安全中的保密性需求。保密性是指信息不被泄露給非授權的用戶、實體或進程，或被其利用的特性。保密性不但包括信息內容的保密，還包括信息狀態(tài)的保密。

3.2 完整性（Integrality）

完整性是指信息未經(jīng)授權不能進行更改的特性。即信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性與機密性不同，機密性要求信息不被泄露給未授權的人，而完整性則要求信息不致受到各種原因的破壞。

3.3 易用性（Availability）

易用性是信息可被授權實體訪問并按需求使用的特性。在授權用戶或實體需要信息服務時，信息服務應該可以使用，或者是信息系統(tǒng)部分受損或需要降級使用時，仍能為授權用戶提供有效服務。易用性一般用系統(tǒng)正常使用時間和整個工作時間之比來度量。

4 構建網(wǎng)絡信息化安全管理體系

在面向網(wǎng)絡信息的安全系統(tǒng)中，安全管理是應得到高度重視的。這是因為，據(jù)相關部門統(tǒng)計，在所有的計算機安全事件中，約有52％是人為因素造成的，25％是由火災、水災等自然災害引起的，技術錯誤占10％，組織內部人員作案占10％，僅有3％左右是由外部不法人員攻擊造成的。簡單歸類，屬于管理方面的原因比重高達70％以上，這正應了人們常說的“三分技術，七分管理”的箋言。因此，解決網(wǎng)絡與信息安全問題，不僅應從技術方面著手，更應加強網(wǎng)絡住所的管理工作。

好的網(wǎng)絡信息化安全管理體現(xiàn)在以下幾個方面：在組織內部建立全面的信息安全管理體系，強調信息安全是一個管理過程，而非技術過程；強調信息保密性、完整性、易用性三者在關鍵流程中運用的平衡；把信息提高到組織資產(chǎn)的高度，強調對組織信息資產(chǎn)進行價值及影響評估，對信息資產(chǎn)的脆弱性及其面臨的威脅進行分析，運用風險評估、風險管理手段管理信息安全，使組織風險降低到可接受的水平；從法律和最好的實踐經(jīng)驗角度，實施全面的控制措施，使組織信息安全威脅的方方面面置于嚴密控制之下；強調領導在信息安全管理中的作用；強調信息安全方針在管理體系中的作用；強調對信息技術及工具的實時和有效管理；強調組織運作的連續(xù)性及業(yè)務連續(xù)性的管理；強調信息安全管理水平的不斷提高及對流程的策劃、實施、檢查和改進的過程；信息安全應該是一個以“價值”為基礎的過程，即信息安全管理應是一個有附加價值，并講究投入產(chǎn)出比的過程。

5 關注信息化安全服務的綜合性、高技術性和對策性特點

信息安全產(chǎn)業(yè)有其鮮明的特點，雖然產(chǎn)生于信息化和信息系統(tǒng)，依然與通常的IT服務有許多區(qū)別。信息化安全的基本特征是服務性的。這種服務性與一般軟件的服務性是不同的。一般應用系統(tǒng)或產(chǎn)品的服務主要是維護和培訓，通常服務是非對策性的、非動態(tài)的和比較固定的。信息化安全服務是對策性的、動態(tài)性的、不斷產(chǎn)生新內容的和似乎永遠不能成熟等特性。信息化安全服務范疇幾乎包括了整個信息化所包括的所有產(chǎn)品和系統(tǒng)，其服務的綜合性和復雜性是顯而易見的。信息化安全服務是最高技術的服務，無論從設計角度和使用的角度都要求深入、熟練和非常專業(yè)。我們可以驕傲地說，信息化安全服務是世界上最偉大的服務業(yè)，也是最困難的服務業(yè)。信息化安全服務的復雜性、高成本特性要求信息化安全企業(yè)必須在安全服務的遠程化和化的推進方面做出不懈努力，不斷降低服務成本。

6 結語

網(wǎng)絡信息安全不僅僅是一個純技術層面的問題，單靠技術因素不足以保證網(wǎng)絡中信息的安全。網(wǎng)絡信息安全還涉及到法律、管理、標準等多方面的問題。因此，信息安全是一個相當復雜的問題，只有協(xié)調好這些體系之間的關系，才能有效保證系統(tǒng)的安全。

參考文獻

篇(6)

我國信息化發(fā)展空前迅速，信息安全保障需求已成為信息化發(fā)展的重要部分。如何以信息化提升綜合國力，并在信息化快速發(fā)展的同時確保國家的信息安全，已成為各國政府關心的熱點問題。

中國信息化建設在突飛猛進的同時，也面臨著一系列的信息安全隱患。關鍵信息的安全管理漏洞，將會給政府、電信、金融、民航等重點行業(yè)帶來不可估量的嚴重后果。病毒的大肆傳播與黑客的不斷攻擊等事件的發(fā)生，也將造成巨大的經(jīng)濟損失，甚至威脅到國家的安全。

建立國家信息安全保障體系

信息安全保障體系的建設策略是要建立信息安全防護能力，要具有隱患發(fā)現(xiàn)能力、網(wǎng)絡反應能力、信息對抗能力。

信息安全技術保障體系的建立要強調自主研發(fā)與創(chuàng)新，要組建研發(fā)國家隊與普遍推動相結合，推動自主知識產(chǎn)權與專利，建設技術工程中心與加速產(chǎn)品孵化，加大技術研發(fā)專項基金，全面推動與突出重點的技術研發(fā)相結合。要建立縱深的防御體系，采用網(wǎng)絡信息安全域的劃分與隔離控制、內部網(wǎng)安全服務與控制策略、外部網(wǎng)安全服務與控制策略、互聯(lián)網(wǎng)安全服務與控制策略、公共干線的安全服務與控制策略、計算環(huán)境的安全服務機制、多級設防與科學部署策略、全局安全檢測、集成管理、聯(lián)動控制與恢復等手段來保障信息安全。此外，要采用信息系統(tǒng)安全工程的控制方法和安全技術產(chǎn)品與系統(tǒng)互操作性策略。

建立資質認證機制和監(jiān)理機制，形成社會化服務和行政監(jiān)管體系。要建立基于數(shù)字證書的信任體系、信息安全測評與評估體系、應急響應與支援體系、計算機病毒防治與服務體系，建立災難恢復基礎設施和密鑰管理基礎設施。

在搭建國家信息安全保障體系框架時，要建立信息安全標準與法規(guī)環(huán)境，這就需要強力推動信息安全標準化工作、加強信息安全標準的研發(fā)、評審、審批，加快信息安全法規(guī)的制訂以及相關法規(guī)的制訂。此外，還需要培養(yǎng)大量高級信息安全人才。

信息安全需要技術保障

信息安全保障，從保密性、完整性、可用性、可控性、不可否認性等安全屬性的需要，以及在預警、保護、檢測、響應、恢復及反擊等環(huán)節(jié)提出了諸多的技術需求。

目前，國際上出現(xiàn)了一個叫"MALWERE(壞件)"的新概念，它把計算機病毒、蠕蟲、邏輯炸彈、特洛伊木馬、愚弄和下流玩笑程序以及惡意代碼都包括在內。在這個概念的推動下，計算機病毒檢測功能必將逐步有所擴充。

現(xiàn)在的防火墻在功能上有了許多擴展和延伸，許多產(chǎn)品把VPN的功能加入到防火墻中，也有把入侵檢測(IDS)、病毒檢測等功能模塊加入防火墻之中。

為了實現(xiàn)對各種安全模塊的集中管理，共享安全事件審計分析信息，統(tǒng)一制訂和實施安全策略，還出現(xiàn)了集中安全管理平臺的研制開發(fā)。

政府信息化采購應兼顧信息安全

政務信息化政府采購不僅應滿足經(jīng)濟指標，也應兼顧信息安全?，F(xiàn)在我國《政府采購法》已經(jīng)出臺，這將有利于政務信息化的信息安全，也有利于本國IT企業(yè)的發(fā)展。

在政府采購中，電子政務占有重要的地位。據(jù)預測，2002年中國電子政務市場總投資將達到350億元，比2001年增長23.4％；2002年～2004年中國電子政務總體市場年復合增長率為25.7％。按照這一速度計算，5年后電子政務市場的投資額將突破1000億元，因此它將成為國內外企業(yè)關注的一個焦點。

《政府采購法》支持本國產(chǎn)業(yè)

采購法中明確規(guī)定，除一些特殊情況外，政府采購應當采購本國貨物、工程和服務(包括本國軟件和服務)，這個規(guī)定既有利于本國企業(yè)，也有利于保障信息安全。

加入WTO并不等于立刻開放政府采購市場，因為加入WTO并不等于加入《政府采購協(xié)議》(GPA)。GPA是所謂"復邊貿易協(xié)議"，僅對簽字成員方有效，我國在兩年后才會談判是否加入GPA。而在我國加入WTO的GPA之前，根據(jù)國際慣例，可以通過政府采購扶持本國產(chǎn)業(yè)。

政府采購支持NC推廣

目前，具有我國自主知識產(chǎn)權、非Wintel架構(采用方舟CPU和LinuxOS)的NC已經(jīng)開始在學校、銀行等單位應用。它具有信息安全性好、容易管理和維護、成本低等優(yōu)點，非常適合在電子政務中推廣應用?，F(xiàn)在國家有關部門要求在電子政務中采用NC，因此可以在政務信息化項目的招標中，將上述這些指標列入招標條件，那么NC將明顯勝過PC。只要依法采購，NC就可以首先在政務信息化中得到推廣，然后在政府的帶動下，逐步推廣到其他領域，逐步改變我國計算機產(chǎn)業(yè)的"無芯"狀態(tài)。

篇(7)

【關鍵詞】 煙草 信息安全 體系 建設

隨著煙草行業(yè)的不斷發(fā)展，企業(yè)對信息化建設的要求越來越高。目前，煙草行業(yè)，尤其是以地市級煙草企業(yè)為代表的卷煙銷售終端企業(yè)，在信息安全建設上給予的重視越來越高，資金的投入也越來越大，地市級煙草企業(yè)信息安全工作有了保障。

1 信息安全體系規(guī)劃原則

根據(jù)國家和行業(yè)信息安全相關政策和標準，安全體系規(guī)劃與設計工作遵循以下的建設原則：

（1）重點保護原則。針對核心的服務支撐平臺，應采取足夠強度的安全防護措施，確保核心業(yè)務不間斷運行。

（2）靈活性原則。因信息技術日新月異的發(fā)展，而相應的安全標準滯后，應靈活設計相應的防護措施。

（3）責任制原則。安全管理應做到“誰主管，誰負責”，注重安全規(guī)章制度、應急響應的落實執(zhí)行。

（4）實用性原則。以確保信息系統(tǒng)性能和安全為前提，充分利用資源，保障安全運行。

2 信息安全體系管理范圍

以地市級煙草企業(yè)中心機房核心網(wǎng)絡和系統(tǒng)為主，覆蓋市局（公司）、各縣級局（營銷部）、基層專賣管理所等，安全體系包括范圍：應用安全、網(wǎng)絡安全、主機安全、數(shù)據(jù)安全、終端安全等。

3 信息安全體系規(guī)劃框架

按照等級化保護“積極防御、綜合防范”的方針，地市級煙草企業(yè)信息化建設需要進行整體安全體系規(guī)劃設計，全面提高信息安全防護能力。

在綜合評估信息化安全現(xiàn)狀的基礎上，從管理和技術來進行信息安全管理工作。信息安全體系建設思路是：以保護信息系統(tǒng)為核心，嚴格參考等級保護的思路和標準，滿足地市級煙草企業(yè)信息系統(tǒng)在物理層面、網(wǎng)絡層面、系統(tǒng)層面、應用層面和管理層面的安全需求，為各項業(yè)務的開展提供有力保障。信息安全體系框架如圖1所示：

4 信息安全管理體系建設

從實際情況出發(fā)，體系包括安全組織機構、安全管理制度、人員安全、安全教育培訓在內的安全管理體系。

4.1 組織機構

由決策機構、管理機構、和執(zhí)行機構三個層面組成信息安全組織機構，并通過合理的組織結構設置、人員配備和工作職責劃分，對信息安全工作實行全方位管理。

4.2 安全制度

信息安全規(guī)章制度是所有與信息安全有關的人員必須共同遵守的行為準則。應從信息安全組織機構和崗位職責、人員管理制度、信息系統(tǒng)管理制度、機房管理制度、網(wǎng)絡管理制度等。

4.3 人員安全

通過管理控制手段，確保單位內部人員以及第三方人員的安全意識，包括人員的崗前安全技能培訓、保密協(xié)議的簽訂等幾個方面。

4.4 安全教育培訓

通過有計劃培訓和教育手段，確保工作人員充分認識信息安全的重要性，具備符合要求的安全意識、知識和技能，提高其進行信息安全防護的主動性、自覺性和能力。

5 信息安全技術體系建設

按照等級保護方法，對信息系統(tǒng)進行安全區(qū)域的劃分，并根據(jù)保護強度來采用相應的安全技術，實行分區(qū)域、分級管理。基礎性保護措施實現(xiàn)后，建立地市級煙草企業(yè)的信息安全管理平臺，對地市級煙草企業(yè)整體信息系統(tǒng)的統(tǒng)一安全管理。

5.1 劃分安全區(qū)域

根據(jù)信息化資產(chǎn)屬性，可劃分為服務器區(qū)域、終端區(qū)域。目前，各業(yè)務域的服務器直接連接至核心交換機，無法對各個服務器區(qū)之間劃分明確邊界，在服務器區(qū)和核心交換機之間增加匯聚交換機，服務器經(jīng)過匯聚交換機的匯聚再上聯(lián)至核心交換機。對局域網(wǎng)按照業(yè)務功能區(qū)建立不同的VLAN，分別賦予相應級別的服務訪問權限和安全防護措施。安全域網(wǎng)絡拓撲如圖2示：

一級安全域包括范圍：地市級煙草企業(yè)辦公區(qū)域、縣公司辦公區(qū)域、移動訪問用戶區(qū)域。部署上網(wǎng)行為管理、殺毒軟件等防護措施。二級安全域包括對象：業(yè)務與管理服務器區(qū)域、網(wǎng)站服務器區(qū)域、公共平臺服務器區(qū)（防病毒服務器、網(wǎng)管服務器）等。部署操作系統(tǒng)加固、身份認證、漏洞掃描、文件數(shù)據(jù)加密以及安全審計等措施。三級安全域包括數(shù)據(jù)服務器區(qū)域、存儲備份區(qū)域以及核心交換機、主干路由器等。部署核心交換設備、鏈路冗余備份，加載廣域網(wǎng)路由QOS策略，采用數(shù)據(jù)庫高強度口令訪問等措施。

5.2 保護計算環(huán)境

“云計算”和虛擬化技術的發(fā)展，打破了傳統(tǒng)意義上按物理位置劃分的計算環(huán)境。依照不同的保護等級，分別進行加強用戶身份鑒別、標記和強制訪問控制、系統(tǒng)安全審計、用戶數(shù)據(jù)完整性保護、保密性保護、系統(tǒng)安全監(jiān)測等措施。

5.3 區(qū)域邊界保護

邊界保護是一組功能的集合，包括邊界的訪問控制、包過濾、入侵監(jiān)測、惡意代碼防護以及區(qū)域邊界完整性保護等。在技術上通過防火墻、入侵防護、病毒過濾、終端安全管理等措施來實現(xiàn)保護。

5.4 通信網(wǎng)絡防護

信息系統(tǒng)的互聯(lián)互通是建立在安全暢通的通信網(wǎng)絡基礎之上。通訊網(wǎng)絡的構成主要包括網(wǎng)絡傳輸設備、軟件和通信介質。保護通信網(wǎng)絡的安全措施有：網(wǎng)絡安全監(jiān)控、網(wǎng)絡審計、網(wǎng)絡冗余或備份以及可靠網(wǎng)絡設備接入。一是利用入侵防護系統(tǒng)以及UTM在關鍵的計算環(huán)境邊界，進行安全監(jiān)控，防止非法的訪問；二是對骨干網(wǎng)中的防火墻設備進行配置，制定安全訪問控制策略，設置授信的訪問區(qū)域；啟用安全審計功能，對經(jīng)過防火墻訪問關鍵的IP、系統(tǒng)或數(shù)據(jù)進行記錄、監(jiān)控；通過網(wǎng)閘技術，對不同網(wǎng)絡進行物理隔離。通過VLAN技術對內部網(wǎng)絡進行邏輯隔離。

5.5 數(shù)據(jù)安全防護

建立數(shù)據(jù)安全備份和恢復機制，部署數(shù)據(jù)備份和恢復系統(tǒng)，制定相應的數(shù)據(jù)備份與恢復策略，完成對數(shù)據(jù)的自動備份，并建立數(shù)據(jù)恢復機制。建立異地數(shù)據(jù)級災備中心，在系統(tǒng)出現(xiàn)災難事故時，能夠恢復數(shù)據(jù)使系統(tǒng)應用正常運行。

5.6 信息安全平臺