網絡信息安全培訓方案范文

導語：如何才能寫好一篇網絡信息安全培訓方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

1998年4月出版的SP800-16第一版首次提出IT安全連續學習統一模型，并設計基于角度和表現的培訓模型。該模型按政府工作人員的職能將受訓人員分為6種角色，即管理人員、采購人員、設計與開發人員、操作人員、檢查測評人員以及普通使用人員。模型針對這6種角色設計了3個基本的培訓領域（法律和法規、安全項目管理以及信息系統安全），并為此設計了安全培訓課程框架，提出了培訓有效性的評估方案。2009年3月NIST了SP800-16的第一次修訂草案。一是明確信息安全培訓職責，即對涉及信息安全培訓的機構領導、首席信息技術執行官、高級機構信息安全官、管理人員、培訓設計專家、對信息安全負有重要責任的人員以及用戶等7類人員的職責劃分。二是在信息安全培訓課程的學習層次上強調知識水平的連貫性。三是對第一版的基于角色的培訓提出了一個教學設計模型，即針對政府人員的信息安全需求，依次進行需求分析、課程設計、課程開發、培訓實踐和教學評估等五大環節，這使得信息安全的培訓可以迭代改進。2013年10月NIST了對SP800-16的第二次修訂版本草案，這次修訂中首次提出了網絡空間安全培訓，因為美國2010年4月啟動了《國家網絡空間安全教育計劃》（NationalInitiativeofCyberSecurityEducation，NICE），該計劃旨在通過促進教育和培訓來改善人的網絡行為、技能和知識，從而增強美國整體的網絡空間安全。這意味著美國政府已著手于將網絡空間安全上升到國家安全的戰略層面上來。2013年版的改動有以下幾個方面：一是強調信息安全意識的培訓應當在網絡空間的背景下進行設計；二是在信息安全培訓的目標對象中加入了對重要信息技術和網絡空間安全負有責任的政府工作人員；三是對信息安全培訓的評估體系進行了細化，即明確提出了評估培訓的4個目的。不到半年時間，NIST再次了SP800-16的第三次修訂草案，這個版本改動較小，主要是在信息安全培訓的組織責任中加入了網絡空間培訓管理員/首席學習執行官。其職責包括：一是確保培訓教材針對具體人員進行設計；二是確保培訓教材對目標人員的有效性；三是為信息安全培訓提供有效的反饋信息；四是對信息安全培訓教材進行及時更新；五是重視培訓效果的跟蹤和匯報。

2NIST特別出版物版本演變帶來的啟示

縱覽美國歷時17年對信息技術安全培訓指南的修訂過程，其發展特點如下：首先，該指南進行了頂層設計，即提出IT安全連續學習統一模型，設計基于角度和表現的培訓模型，對需要接受信息安全培訓的目標對象進行角色劃分，按照角色需求從法律法規、安全項目管理以及信息系統安全3個領域進行課程設計，初步提出了課程的評估框架。此后的3個版本都是在該體系結構下，從角色劃分、培訓領域和課程評估方法等3個方面進行充實、完善。其次，該指南具有可擴展性，即該指南的最初版本就設計了連續學習統一體，為培訓對象的知識結構發生變化后，如何滿足其信息安全的知識結構留下了足夠的學習空間。第三，該指南的實時更新性，即結合信息安全領域的新技術，對培訓目標對象和培訓課程進行實時更新。如在美國NICE計劃頒發之后，指南很快在培訓環節增加了對國家網絡空間安全的培訓內容。目前，我國的信息安全教育工作主要側重于專業技術人才的培養，對涉及使用信息系統的廣大普通用戶的相關信息安全常識的教育重視不夠，更確切地說，對公眾的信息安全常識教育的計劃和實施體系尚未建立。我國有關部門應該參照NISTSP800-16和SP800-50出臺適合我國國情的有關信息安全常識和培訓綱要的規范指南，以便完善我國的信息安全教育的完整體系，推進提高全民信息安全意識和技能的工作，為構建我國信息安全保障體系提供人員安全素質方面的基礎保證。

3結語

篇2

工業控制系統安全防護體系建設離不開相關安全標準體系的支持，國外一些發達國家在工業控制系統信息安全防護領域的標準研究工作幵展較早，進展較快。同際上已建立一些工控系統信息安全方面的國際及國家技術組織標準，包括1SA-99(即1EC62443)、NERCCIP�NIST:SP800_82、WIBM-2784�IEC62351等等。近年來，隨著我國信息安全等級保護政策的推進和實施力度不斷加大，_家對工業控制系統信息安全重視程度不斷加大，國家重要行業的工控系統信息安全防護建設也取得了長足的進步，研制并逐漸部署了相應的工業控制系統的標準體系，初步建立起了我國等級保護標準體系框架和信息安全標準體系框架，我國近年來工業控制系統信息安全標準建設內容。但從總體上講，我國工控信息安全防護的標準體系建設仍明顯滯后于工業控制系統的建設，同時在防護意識、防護策略、防護機制、法規標準等方面都存在不少問題。因此，建立覆蓋工控應用領域、覆蓋工控產品生命周期以及覆蓋工控系統業務層次的工控信息安全標準體系迫在眉睫，需要從五方面人手：

（1)在國家政策支持引導下，結合我同工控領域信息安全問題和現狀，分析工控系統信息安全保障體系建設需求，建立具有針對性的工控信息安全標準體系整體框架。

（2)開展重點標準的研制規劃，逐步豐富和完善覆蓋工控應用領域和產品生命周期的信息安全標準體系。

（3)積極跟蹤和參與閏際相關標準規范制定，實現與國際認證機構的互認，體現我國工業安全意志。

（4)加快推動我同相關標準規范的制定，建立完善的標準體系。

（5)加速人才隊伍培養，依據標準建設丁.控信息安全檢測認證能力。

2大力發展自主可控檢測認證工具集

我國工業控制系統信息安全領域長期受到核心技術限制、缺乏專業檢測認證工具等諸多因素影響，導致我國重要基礎設施面臨著嚴重的安全威脅，因此，突破工控信息安全領域的技術壁壘，研發0主可控的檢測認證工具集并與國際接軌勢在必行。在檢測認證工具集方面，閏際上是以ISASecure認證作為工業控制系統領域專業的安全認證標準，它是基于IEC62443標準系列發展安全認證流程的聯盟。ISASecure認證包含嵌入式設備安全認證�EDSA)�系統安全認證�SSA)和安全開發生命周期認證�SDLA)三個項目。目前，_際上已經獲得ISASecure認證認可的CRT測試工具有芬蘭Codenomi⑶n的Defensics�日本FFRI的RavenforICS以及加拿大Wurldtech的Achilles,而國內并沒有成熟的檢測認證工具產品。發展我國自主可控的檢測認證工具集將有助于改變我國工控信息安全領域缺乏核心技術的現狀，提高我同工控系統檢測發現和探查能力，從而提升我國工控信息安全水平。檢測認證工具集的研發應以“自主可控，安全可靠”作為技術指導思想，從前瞻性研究人手，研究國際先進的安全技術，研究工控領域安全協議棧，建立典型工控模型庫、工控信息漏洞庫，對工業生產控制系統內部的上位機�PLC)�服務器、網絡等資產信息、應ffl軟件、服務、開放端口、防火墻、數據庫審計等內容進行檢測掃描，提供漏洞檢測與發現、漏洞風險評估、可視化和漏洞修復建議等功能。通過自主可控檢測認證工具集的研發，為我閩工控企業徹底解決生產控制系統內部的信息安全隱患，保證工業生產的安全生產、安全管理。

3快速推進工業控制系統信息安全培訓

安全培訓為培養高素質工業控制系統信息安全相關人才、提升相關從業人員的專業技術及管理能力提供規范化、科學化的知識體系。我_工業控制系統信息安全培訓現狀面臨著培訓主體混雜、未形成規范、培訓內容指導性不強、培訓基準不夠完善以及以傳統信息安全為參照物等問題，作為工業控制系統信息安全體系中不可或缺的一環，安全培訓也處于亟待重視與完善的位置。

(1)以“標準”建設“培訓基準”：隨著工業控制系統信息安全領域國家標準和行業標準體系的不斷完善和發展，需要積極主導、參與各類相關標準的研究、編制、監督等工作，建設可供工控安全領域合理、高效、安全發展的文件環境，進而推動工控信息安全培訓基準的建設。

(2)以檢測與認證帶動安全培訓：在自主可控檢測認證工具集的基礎上，結合工控領域安全評估服務，建設中立性的檢測、認證環境，提供國家級的權威檢測認證服務，同時為培訓業務的開展提供更有指導性、實效性的基礎條件。以標準建設和自主可控檢測認證工具為基礎，從操作層面、技術層面、認證培訓以及職業教育層面建設工業控制系統信息安全培訓體系，提升圖3自主可控檢測認證工具集研發模型我國工控信息安全領域人員實踐操作技術能力和安全技能，加速人才隊伍培養。

4全面提供工業控制系統信息安全服務

為提升工控領域信息安全整體服務水平，在不斷健全國家相關標準和發展自主可控安全技術體系的基礎上，建設工業控制系統安全模擬仿真實驗平臺服務支撐環境，為行業用戶提供定制化的安全評估、安全咨詢、安全防護等服務。

(1)安全評估：研究制定安全評估的流程和方法，建設完備的安全評估體系；針對在役系統進行風險評估，提出整改、防護方案和建議，為相關企、事業單位提供安全評估服務，規范工控系統的安全建設。最終擁有完備的安全評估方法論，為工業控制領域各行業提供專業的安全評估服務；同時建立國內工業控制系統信息安全評估體系。

(2)安全咨詢：研究制定安全咨詢的流程和方法，建設完備的安全咨詢體系；針對產品研發、系統設計，融入信息安全技術，整體提升新建工控系統的安全性。最終擁有完整的安全咨詢體系，為各類工業控制領域提供專業的安全咨詢服務，逐步建立安全的工業控制系統模型庫。

(3)安全防護：研發工控領域自主可控的專用信息安全防護產品；全方位、多層次地針對工業控制系統提出信息安全防護解決方案；最終實現工控領域安全防護產品全面國產化；逐步完善自主可控的安全防護解決方案體系。

5總結

篇3

論文關鍵詞：電力；信息安全；解決方案；技術手段

1電力信息化應用和發展

目前，電力 企業 信息化建設硬件環境已經基本構建完成，硬件設備數量和網絡建設狀況良好，無論是在生產、調度還是營業等部門都已實現了信息化，企業信息化已經成為新世紀開局階段的潮流。在網絡硬件方面，基本上已經實現千兆骨干網；百兆到桌面，三層交換；vlan，mpls等技術也普及使用。在軟件方面，各應用十要包括調度自動化系統、生產管理信息系統、營銷信息系統、負荷監控系統及各專業相關的應用子系統等。 計算 機及信息網絡系統在電力生產、建設、經營、管理、科研、設計等各個領域有著十分廣泛的應用，安全生產、節能消耗、降低成本、縮短工期、提高勞動生產率等方面取得了明顯的社會效益和 經濟 效益，同時也逐步健全和完善了信息化管理機制，培養和建立了一支強有力的技術隊伍，有利促進了電力 工業 的發展。

2電力信息網安全現狀分析

結合電力生產特點，從電力信息系統和電力運行實時控制系統2個方面，分析電力系統信息安全存在的問題。電力信息系統已經初步建立其安全體系，將電力信息網絡和電力運行實時控制網絡進行隔離，網絡間設置了防火墻，購買了網絡防病毒軟件，有了數據備份設備。但電力信息網絡的安全是不平衡的，很多單位沒有網絡防火墻，沒有數據備份的概念，更沒有對網絡安全做統一，長遠的規劃，網絡中有許多的安全隱患。朝陽供電公司嚴格按照省公司的要求，對網絡安全進行了全方位的保護，防火墻、防病毒、入侵檢測、網管軟件的安裝、verjtas備份系統的使用，確保了信息的安全，為生產、營業提供了有效的技術支持。但有些方面還不是很完善，管理起來還是很吃力，給網絡的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問題。

3電力信息網安全風險分析

計算機及信息網絡安全意識亟待提高。電力系統各種計算機應用對信息安全的認識距離實際需要差距較大，對新出現的信息安全問題認識不足。

缺乏統一的信息安全管理規范。電力系統雖然對計算機安全一+直非常重視，但由于各種原因，目前還沒有一套統一、完善的能夠指導整個電力系統計算機及信息網絡系統安全運行的管理規范。

急需建立同電力行業特點相適應的計算機信息安全體系。相對來說，在計算機安全策略、安全技術和安全措施投入較少。為保證電力系統安全、穩定、高效運行，應建立一套結合電力計算機應用特點的計算機信息安全體系。

計算機網絡化使過去孤立的局域網在聯成廣域網后，面臨巨大的外部安全攻擊。電力系統較早的計算機系統一般都是內部的局域網，并沒有同外界連接。所以，早期的計算機安全只是防止外部破壞或者對內部人員的安全控制就可以了，但現在就必須要面對國際互聯網上各種安全攻擊，如網絡病毒、木馬和電腦黑客等。

數據庫數據和文件的明文存儲。電力系統計算機網絡中的信息一般存儲在由數據庫管理系統維護的數據庫中或操作系統文件中。以明文形式存儲的信息存在泄漏的可能，拿到存儲介質的人可以讀出這些信息；黑客可以饒過操作系統，數據庫管理系統的控制獲取這些信息；系統后門使軟硬件系統制造商很容易得到這些信息。弱身份認證。電力行業應用系統基本上基于商業軟硬件系統設計和開發，用戶身份認證基本上采用口令的鑒別模式，而這種模式很容易被攻破。有的應用系統還使用白己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數據庫或文件中，這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高、信息敏感性不斷增強的今天不能再使用了。沒有完善的數據備份措施。很多單位只是選擇一臺工作站備份一下數據就了事，沒有完善的數據備份設備、沒有數據備份策略、沒有備份的管理制度，沒有對數據備份的介質進行妥善保管。 

4電力信息網安全防護方案

4．1加強電力信息網安全 教育

安全意識和相關技能的教育是企業安全管理中重要的內容，其實施力度將直接關系到企業安全策略被理解的程度和被執行的效果。為了保證安全的成功和有效，高級管理部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。所有的企業人員必須了解并嚴格執行企業安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。

主管信息安全工作的高級負責人或各級管理人員，重點是了解、掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等。

信息用戶，重點是學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責等。當然，對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。在企業中建立安全文化并納入整個企業文化體系中才是最根本的解決辦法。

4．2電力信息髓安全防護技術措旌

(1)網絡防火墻：防火墻是企業局域網到外網的唯一出口，所有的訪問都將通過防火墻進行，不允許任何饒過防火墻的連接。d m z區放置了企業對外提供各項服務的服務器，既能夠保證提供正常的服務，又能夠有效地保護服務器不受攻擊。設置防火墻的訪問策略，遵循“缺省全部關閉，按需求開通的原則”，拒絕除明確許可證外的任何服務。

(2)物理隔離裝置：主要用于電力信息網的不同區之間的隔離，物理隔離裝置實際上是專用的防火墻，由于其不公開性，使得更難被黑客攻擊。

(3)入侵檢測系統：部署先進的分布式入侵檢測構架，最大限度地、全天候地實施監控，提供 企業 級的安全檢測手段。在事后分析的時候，可以清楚地界定責任人和責任時間，為 網絡 管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術，具有高可靠性、高識別率、規則更新迅速等特點。

(4)網絡隱患掃描系統：網絡隱患掃描系統能夠掃描網絡范圍內的所有支持tcp／ip協議的設備，掃描的對象包括掃描多種操作系統，掃描網絡設備包括：服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時，可以從網絡中不同的位置對網絡設備進行掃描。

掃描結束后生成詳細的安全評估報告，采用報表和圖形的形式對掃描結果進行分析，可以方便直觀地對用戶進行安全性能評估和檢查。

(5)網絡防病毒：為保護電力信息網絡受病毒侵害，保證網絡系統中信息的可用性，應構建從主機到服務器的完善的防病毒體系。以服務器作為網絡的核心，對整個網絡部署查、殺毒，服務器通過internet從免疫中心實時獲取最新的病毒碼信息，及時更新病毒代碼庫。同時，選擇的網絡防病毒軟件應能夠適應各種系統平臺、各種數據庫平臺、各種應用軟件。

(6)數據加密及傳輸安全：通過文件加密、信息摘要和訪問控制等安全措施，來實現文件存儲和傳輸的保密和完整性要求，實現對文件訪問的控制。對通信安全，采用數據加密，信息摘要和數字簽名等安全措施對通信過程中的信息進行保護，實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全，通過vpn技術，提高實時的信息傳播中的保密性和安全性。

(7)數據備份：對于企業來說，最珍貴的是存儲在存儲介質中的數據信息。數據備份和容錯方案是必不可少的，必須建立集中和分散相結合的數據備份設施及切合實際的數據備份策略。

(8)數據庫安全：通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性，并實現數據庫數據的訪問安全。 

4．3電力信息網安全防護管理措施

技術是安全的主體，管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中，網絡安全的長期性和穩定性才能有所保證。

(1)要加強信息人員的安全 教育 ，保持信息人員特別是網絡管理人員和安全管理人員的相對穩定，防止網路機密泄露，特別是注意人員調離時的網絡機密的泄露。

(2)對各類密碼要妥善管理，杜絕默認密碼，出廠密碼，無密碼，不要使用容易猜測的密碼。密碼要及時更新，特別是有人員調離時密碼一定要更新。

(3)技術管理，主要是指各種網絡設備，網絡安全設備的安全策略，如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略要切合實際。

(4)數據的備份策略要合理，備份要及時，備份介質保管要安全，要注意備份介質的異地保存。

(5)加強信息設備的物理安全，注意服務器、 計算 機、交換機、路由器、存儲介質等設備的防火、防盜、防水、防潮、防塵、防靜電等。

(6)注意信息介質的安全管理，備份的介質要防止丟失和被盜。報廢的介質要及時清除和銷毀，特別要注意送出修理的設備上存儲的信息的安全。

5電力信息網絡安全工作應注意的問題

(1)理順技術與管理的關系。

解決信息安全問題不能僅僅只從技術上考慮，要防止重技術輕管理的傾向，加強對人員的管理和培訓。

(2)解決安全和 經濟 合理的關系。安全方案要能適應長遠的 發展 和今后的局部調整，防止不斷改造，不斷投入。

(3)要進行有效的安全管理，必須建立起一套系統全面的信息安全管理體系，可以參照國際上通行的一些標準來實現。

(4)網絡安全是一個系統的、全局的管理問題，網絡上的任何一個漏洞，都會導致全網的安全問題，應該用系統工程的觀點、方法，分析網絡的安全及具體措施。

篇4

關鍵詞：火電廠工控系統；安全分區；網絡專用；橫向隔離；縱向認證；綜合防護

DOI：10.16640/ki.37-1222/t.2017.03.138

0 引言

在我國電力系統是由發電、輸電、變電、配電、用電和調度組成。其中發電企業是整個電力系統中起始環節，是整個能源閉環系統中最主要的生產環節。發電企業通常情況下，主要的發電形式為火力發電、水利發電和核能發電。其中火力發電占據整個發電企業發電量的比重最高。而新型的火力發電控制系統已向數字化、智能化、網絡化和人性化進行轉變，這勢必會將更多的IT技術應用到傳統的邏輯控制和數字控制中。相比互聯網信息安全領域的熱絡，工控安全作為信息安全的重要領域卻一直“備受冷落”。直到近期國外發生多起因黑客網絡攻擊導致工控系統癱瘓的事件，才引起人們對工控系統信息安全得以重視。

2015年國家能源局下發36號文《電力監控系統安全防護總體方案》，通過認真學習發現安全防護的總體原則與之前的電力二次安全防護原則增加了“綜合防護”。而“綜合防護”是對工控系統從主機、網絡設備、惡意代碼防范、應用安全控制、審計、備用及容災等多個層面進行信息安全防護的過程，目前在絕大多數火電廠都是未開展的工作，主要原因有兩個，一是：國內工控安全產品研發剛剛起步，火電廠也沒有成功實施的案例；二是：投資費用較高，風險預控把握不大。

1 工控系統信息安全方案的解決思路

在開展工控系統信息安全解決方案之前，有兩件準備工作需要做，即定期進行安全意識培訓和安全評估。

1.1 安全意識

生產系統的安全是建立在人員安全意識之上，一線生產人員應該保持一個良好的網絡安全防范意識和和安全操作習慣，這需要借助工控網絡安全培訓來形成安全意識。

1.2 安全評估

在充分了解和掌握現場工控系統存在的風險和安全隱患之后，才能制定符合現場實際的防護措施。電力生產安全防護評估工作要貫穿整個電力生產系統的規劃、設計、實施、運維和廢棄階段。

1.3 結構安全

“橫向隔x、縱向認證”在火電廠工控系統結構已經做的很好了，即在生產大區與管理信息大區采用單向隔離裝置，安全一區與安全二區之間有邏輯隔離的防火墻，而此防火墻只是基于四層以下進行訪問控制，對于報文負載部分沒有進行過濾，現實中的APT攻擊完全可以利用防火墻的不足，在一區、二區之間進行傳播。

2 火電廠工控系統信息安全現狀及應對措施

2.1 火電廠工控系統安全及現狀

典型的火電廠工控系統通常由控制回路、HMI（人機接口）、遠程診斷與維護工具三部分組件共同完成，控制回路用以控制邏輯運算，HMI執行信息交互，遠程診斷與維護工具確保出現異常的操作時進行診斷和恢復。與傳統的信息系統安全需求不同，工控系統設計需要兼顧應用場景與控制管理等多方面因素，以優先確保系統的高可用性和業務連續性。在這種設計理念的影響下，缺乏有效的工業安全防御和數據通信保密措施是很多工業控制系統所面臨的通病。

2.2 火電廠工控系統安全風險分析及應對措施

（1）安全風險一：操作系統與外接設備交互的風險性。追求可用性而犧牲安全，這是很多工業控制系統存在普遍現象，缺乏完整有效的安全策略與管理流程是當前我國工業控制系統的最大難題，很多已經實施了安全防御措施的工控網絡仍然會因為管理或操作上的失誤，造成系統出現潛在的安全短板。應對措施：制定關鍵設備信息安全的評測制度，防范關鍵設備中的預留后門及多余功能。對工控系統的設備、系統進行評測和檢測，確保關鍵設備、軟件沒有預埋的、不為我們所知的一些功能。落實工控系統的信息安全檢查制度，定期進行自查，這是加強信息安全工作的常規手段。加強工控系統病毒防治工作，落實工控系統防治病毒管理規定，控制系統訪問權限嚴格控制，移動存儲介質的使用應當符合管理規定。

（2）安全風險二：工控平臺的風險性。隨著TCP/IP等通用協議與開發標準引入工業控制系統，開放、透明的工業控制系統同樣為物聯網、云計算、移動互聯網等新興技術領域開辟出廣闊的想象空間。理論上，絕對的物理隔離網絡正因為需求和業務模式的改變而不再切實可行。目前，多數工控網絡僅通過部署防火墻（隔離網閘）來保證工業網絡與辦公網絡的相對隔離，各個工業自動化單元之間缺乏可靠的安全通信機制。應對措施：傳統的IT防火墻已無法滿足工業控制系統的需求，但越來越多的控制系統廠家注重網絡安全，在控制層面就加裝了防火墻。工業級防火墻的出現可以針對控制層的網絡協議作出相應的防護，對Modbus和OPC的協議內容進行檢查和連接管理。不管是控制系統本身自帶的防火墻還是專業的工業級防火墻，都可以針對工控平臺的風險性起到彌補作用。

（3） 安全風險三：網絡的風險性。通用以太網技術的引入讓工控系統變得更智能，也讓工控網絡愈發透明、開放、互聯，TCP/IP存在的威脅同樣會在工業網絡中重現。當前工控網絡主要的風險性集中體現為：邊界安全策略缺失；系統安全防御機制缺失；管理制度缺失或不完善；網絡配置規范缺失；監控與應急響應制度缺失；網絡通信保障機制缺失。應對措施：針對TCP/IP存在的威脅只用運用原有的防火墻及防護方法采取應對措施，而工控網絡的專屬控制協議防護則應更加有針對性：控制層和數據層的隔離防護，控制層網絡的冗余化等，都是可以有針對性的起到保護作用。

3 結語

其實不管是火電廠工控企業還是傳統企業，隨著信息化的深入，企業或多或少會遇到信息安全的問題，而隨著數據價值的不斷提高，這種影響對于企業來說也會越來越明顯。所以保護企業的核心數據安全是未來所有企業面臨的同樣問題，而面對不同企業不同的防護需求，采用靈活而具有針對性的安全防護設施或許才是最好的選擇。

參考文獻：

篇5

目前，電力企業信息化建設硬件環境已經基本構建完成，硬件設備數量和網絡建設狀況良好，無論是在生產、調度還是營業等部門都已實現了信息化，企業信息化已經成為新世紀開局階段的潮流。在網絡硬件方面，基本上已經實現千兆骨干網；百兆到桌面，三層交換；VLAN，MPLS等技術也普及使用。在軟件方面，各應用十要包括調度自動化系統、生產管理信息系統、營銷信息系統、負荷監控系統及各專業相關的應用子系統等。計算機及信息網絡系統在電力生產、建設、經營、管理、科研、設計等各個領域有著十分廣泛的應用，安全生產、節能消耗、降低成本、縮短工期、提高勞動生產率等方面取得了明顯的社會效益和經濟效益，同時也逐步健全和完善了信息化管理機制，培養和建立了一支強有力的技術隊伍，有利促進了電力工業的發展。

2電力信息網安全現狀分析

結合電力生產特點，從電力信息系統和電力運行實時控制系統2個方面，分析電力系統信息安全存在的問題。電力信息系統已經初步建立其安全體系，將電力信息網絡和電力運行實時控制網絡進行隔離，網絡間設置了防火墻，購買了網絡防病毒軟件，有了數據備份設備。但電力信息網絡的安全是不平衡的，很多單位沒有網絡防火墻，沒有數據備份的概念，更沒有對網絡安全做統一，長遠的規劃，網絡中有許多的安全隱患。朝陽供電公司嚴格按照省公司的要求，對網絡安全進行了全方位的保護，防火墻、防病毒、入侵檢測、網管軟件的安裝、VerJtas備份系統的使用，確保了信息的安全，為生產、營業提供了有效的技術支持。但有些方面還不是很完善，管理起來還是很吃力，給網絡的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問題。

3電力信息網安全風險分析

計算機及信息網絡安全意識亟待提高。電力系統各種計算機應用對信息安全的認識距離實際需要差距較大，對新出現的信息安全問題認識不足。

缺乏統一的信息安全管理規范。電力系統雖然對計算機安全一+直非常重視，但由于各種原因，目前還沒有一套統一、完善的能夠指導整個電力系統計算機及信息網絡系統安全運行的管理規范。

急需建立同電力行業特點相適應的計算機信息安全體系。相對來說，在計算機安全策略、安全技術和安全措施投入較少。為保證電力系統安全、穩定、高效運行，應建立一套結合電力計算機應用特點的計算機信息安全體系。

計算機網絡化使過去孤立的局域網在聯成廣域網后，面臨巨大的外部安全攻擊。電力系統較早的計算機系統一般都是內部的局域網，并沒有同外界連接。所以，早期的計算機安全只是防止外部破壞或者對內部人員的安全控制就可以了，但現在就必須要面對國際互聯網上各種安全攻擊，如網絡病毒、木馬和電腦黑客等。

數據庫數據和文件的明文存儲。電力系統計算機網絡中的信息一般存儲在由數據庫管理系統維護的數據庫中或操作系統文件中。以明文形式存儲的信息存在泄漏的可能，拿到存儲介質的人可以讀出這些信息；黑客可以饒過操作系統，數據庫管理系統的控制獲取這些信息；系統后門使軟硬件系統制造商很容易得到這些信息。弱身份認證。電力行業應用系統基本上基于商業軟硬件系統設計和開發，用戶身份認證基本上采用口令的鑒別模式，而這種模式很容易被攻破。有的應用系統還使用白己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數據庫或文件中，這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高、信息敏感性不斷增強的今天不能再使用了。沒有完善的數據備份措施。很多單位只是選擇一臺工作站備份一下數據就了事，沒有完善的數據備份設備、沒有數據備份策略、沒有備份的管理制度，沒有對數據備份的介質進行妥善保管。

4電力信息網安全防護方案

4．1加強電力信息網安全教育

安全意識和相關技能的教育是企業安全管理中重要的內容，其實施力度將直接關系到企業安全策略被理解的程度和被執行的效果。為了保證安全的成功和有效，高級管理部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。所有的企業人員必須了解并嚴格執行企業安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。

主管信息安全工作的高級負責人或各級管理人員，重點是了解、掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等。

信息用戶，重點是學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責等。當然，對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。在企業中建立安全文化并納入整個企業文化體系中才是最根本的解決辦法。

4．2電力信息髓安全防護技術措旌

(1)網絡防火墻：防火墻是企業局域網到外網的唯一出口，所有的訪問都將通過防火墻進行，不允許任何饒過防火墻的連接。DMZ區放置了企業對外提供各項服務的服務器，既能夠保證提供正常的服務，又能夠有效地保護服務器不受攻擊。設置防火墻的訪問策略，遵循“缺省全部關閉，按需求開通的原則”，拒絕除明確許可證外的任何服務。

(2)物理隔離裝置：主要用于電力信息網的不同區之間的隔離，物理隔離裝置實際上是專用的防火墻，由于其不公開性，使得更難被黑客攻擊。(3)入侵檢測系統：部署先進的分布式入侵檢測構架，最大限度地、全天候地實施監控，提供企業級的安全檢測手段。在事后分析的時候，可以清楚地界定責任人和責任時間，為網絡管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術，具有高可靠性、高識別率、規則更新迅速等特點。

(4)網絡隱患掃描系統：網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP／IP協議的設備，掃描的對象包括掃描多種操作系統，掃描網絡設備包括：服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時，可以從網絡中不同的位置對網絡設備進行掃描。

掃描結束后生成詳細的安全評估報告，采用報表和圖形的形式對掃描結果進行分析，可以方便直觀地對用戶進行安全性能評估和檢查。

(5)網絡防病毒：為保護電力信息網絡受病毒侵害，保證網絡系統中信息的可用性，應構建從主機到服務器的完善的防病毒體系。以服務器作為網絡的核心，對整個網絡部署查、殺毒，服務器通過Internet從免疫中心實時獲取最新的病毒碼信息，及時更新病毒代碼庫。同時，選擇的網絡防病毒軟件應能夠適應各種系統平臺、各種數據庫平臺、各種應用軟件。

(6)數據加密及傳輸安全：通過文件加密、信息摘要和訪問控制等安全措施，來實現文件存儲和傳輸的保密和完整性要求，實現對文件訪問的控制。對通信安全，采用數據加密，信息摘要和數字簽名等安全措施對通信過程中的信息進行保護，實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全，通過VPN技術，提高實時的信息傳播中的保密性和安全性。

(7)數據備份：對于企業來說，最珍貴的是存儲在存儲介質中的數據信息。數據備份和容錯方案是必不可少的，必須建立集中和分散相結合的數據備份設施及切合實際的數據備份策略。

(8)數據庫安全：通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性，并實現數據庫數據的訪問安全。

4．3電力信息網安全防護管理措施

技術是安全的主體，管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中，網絡安全的長期性和穩定性才能有所保證。

(1)要加強信息人員的安全教育，保持信息人員特別是網絡管理人員和安全管理人員的相對穩定，防止網路機密泄露，特別是注意人員調離時的網絡機密的泄露。

(2)對各類密碼要妥善管理，杜絕默認密碼，出廠密碼，無密碼，不要使用容易猜測的密碼。密碼要及時更新，特別是有人員調離時密碼一定要更新。

(3)技術管理，主要是指各種網絡設備，網絡安全設備的安全策略，如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略要切合實際。

(4)數據的備份策略要合理，備份要及時，備份介質保管要安全，要注意備份介質的異地保存。

(5)加強信息設備的物理安全，注意服務器、計算機、交換機、路由器、存儲介質等設備的防火、防盜、防水、防潮、防塵、防靜電等。

(6)注意信息介質的安全管理，備份的介質要防止丟失和被盜。報廢的介質要及時清除和銷毀，特別要注意送出修理的設備上存儲的信息的安全。

5電力信息網絡安全工作應注意的問題

(1)理順技術與管理的關系。解決信息安全問題不能僅僅只從技術上考慮，要防止重技術輕管理的傾向，加強對人員的管理和培訓。

(2)解決安全和經濟合理的關系。安全方案要能適應長遠的發展和今后的局部調整，防止不斷改造，不斷投入。

(3)要進行有效的安全管理，必須建立起一套系統全面的信息安全管理體系，可以參照國際上通行的一些標準來實現。

(4)網絡安全是一個系統的、全局的管理問題，網絡上的任何一個漏洞，都會導致全網的安全問題，應該用系統工程的觀點、方法，分析網絡的安全及具體措施。

篇6

【 關鍵詞 】 高校；科研機構；信息安全；對策

Discussion on Scientific Research Institution of Universities in

Information Security Management and Measures

Zhang Jian-hua

(President Office, Beijing University of Aeronautics and Astronautics Beijing 100191)

【 Abstract 】 In the light of the information security management problems of scientific research institution of universities, the measures are put forward to enhance the construction of information security level strategy from management and technology two respects.

【 Keywords 】 universities; scientific research institution; information security; measures

1 引言

隨著信息技術的發展和信息化應用的日趨深入，信息安全建設及其應用正在成為教育科研單位日常教育管理和科研生產不可或缺的一環。高校等科研單位對信息安全管理的認識程度越來越高，研究院等單位的信息系統規模和水平也在不斷攀升，然而隨著高校各系統建設程度的不斷完善，以高校為代表的科研機構的信息安全管理問題也愈加突出。

2 高校科研機構存在的信息安全管理問題

近年來，高校等科研機構逐步認識到信息安全對于自身的重要性，于是不少單位成立了“信息管理部門”來推行統一的管理規范和進行信息安全知識普及，其主要目的是為了從安全技術和管理兩個方面來解決高校中科研機構的信息安全問題，充分提高機構人員的信息安全管理意識和保密工作的能力。當下，雖然有一些高校的科研單位在信息安全和管理建設方面已經取得了長足的進步，但其科研單位內部仍然存在著很多問題。

(1)首先，在以往長期封閉的科研環境影響下，相關科研人員目前依然不具備良好的安全意識，對于信息安全的認識水平不高。同時高校等相關管理部門較容易忽視信息安全在其科研系統中的發展戰略和計劃，這些都間接導致了信息安全管理制度推行力度不夠，實施安全教育的硬性條件有限。其次，由于學科建設和專業水平所限，也使得國內技術過硬的信息安全專業人才供應不足，間接影響了相關單位的人才儲備水平。

(2)當下許多高校等科研單位在信息系統不斷增加的情況下，對以往基礎設施配備水平存在著一定的依賴性，不能夠很好的適應新環境。在信息系統運作業務的安全風險和意識提升上，又缺乏有效性驗證與評估辦法。現實中的任何信息系統都是一連串復雜的環節，信息安全措施必須滲透到信息系統的每一個部位，其中一些問題的解決方案，需要信息系統的設計人員、測試人員和使用人員都熟知并能夠成為規范來遵守。

(3)不安全因素對于信息系統而言總是存在的，沒有任何一個信息管理方法能提供絕對的保障。因此，高校等科研單位在認識和進行信息系統安全管理教育的時候，應該著重加強基層人員的信息安全管理實踐教育，應讓相關人員充分意識到，雖然信息安全建設并非意在建設一個創收的平臺，但它是一個保障科研成果和提升工作效率的平臺。管理者有必要做出適合科研單位進行教育實施的信息安全教育發展戰略和計劃，充分加強信息安全教育在管理實踐上的投入，嚴格有效地執行相應的安全策略、安全措施和安全管理制度，以最大限度避免使用和管理信息系統時的固有風險。

(4)近年來，我國大型科研單位相繼出現過不同程度的泄密事件，這些事件的直接后果是不僅導致了科研成果的流失，還造成了較大程度的經濟損失和不良的社會影響。雖然各大信息系統工程和信息化程度要求非常高的相關行業，也都出臺了對信息安全技術產品的應用標準和規范，但只有建立一個嚴格的信息安全管理策略，才能全面的保障其安全性。

3 解決高校科研機構存在的信息安全的對策

3.1 技術層面

在技術層面上：高校科研管理系統是以計算機和數據庫通信網絡為基礎的應用管理系統，是一個開放式的互聯網絡系統，與網絡系統連接的任何終端用戶都可以進人和訪問網絡中的資源。作為信息通訊數據平臺，其所受到的安全威脅主要存在于信息通信傳輸、存儲和加工的各個階段。因此在制定技術對策方面就需要制定統一全面的安全策略，同時也注重建設統一認證和授權管理系統，通過硬件接入設備和定制化管理軟件的配合部署，加強網絡層面和應用層面的安全資源整合，形成覆蓋全網的科研信息化安全保障能力，并充分利用自主創新的科研信息化安全技術，不斷增強基礎運行平臺的網絡安全能力，為科研信息化基礎環境和應用系統提供有力的安全保障。

在保障網絡基礎設施和重要應用系統的安全方面，一方面需要構建身份認證管理系統、網絡安全管理平臺、惡意代碼防護系統、安全審計平臺等面向全網用戶的網絡安全基礎設施，實現實時預警、事件分析、決策支持、資源調度等功能；另一方面需要建立起包括安全咨詢、安全規劃、安全檢測、安全培訓等環節在內的安全服務體系，引入除技術體系和管理體系以外的第三方服務支持，實現安全事件的及時發現。

3.2 管理和教育層面

在管理和教育層面上：以企業為參考標度，對高校科研機構工作人員進行信息安全意識以及管理實踐知識的普及，將信息安全管理理念提到戰略高度來看待。充分遵循信息安全流程制定相應管理制度，除技術保障外，將人員、網絡、環境有關的技術和管理規程的有機集合充分納入其中。充分認識到信息安全管理實踐是保障信息實現有效管理與控制的重要途徑。所在部門應客觀評估實現信息安全管理的需求水平，落實安全的組織和管理人員，明確每個人的角色與職責；制定并開發安全規劃和策略，定期開展培訓和工作會議；實施風險管理制度，制定業務持續性計劃和災難環境下恢復計劃；選擇實施安全措施；保證配置、變更的正確與安全；進行安全審計；保證維護支持；進行監控、檢查、處理安全事件。針對專業人員的培訓和績效需要有效結合目標管理和信息安全管理兩方面來展開。

3.3 管理政策層面

在整個管理策略的制定上：建議采用分級策略，如果高校對于自身科研信息安全風險水平認定為較高，而自身建設能力有限，則可以考慮與相關專業咨詢機構合作，引入專家機制來完成相關工作，提升建設效率。

4 結束語

在國家大力推行科教興國與自主創新發展戰略的今天，信息安全建設對于保障科技創新自有成果，確保自主知識產權的創造價值，都有著極其重要的作用。而如何確保其信息安全能夠實現自主可控的目標，也是以高校為代表的科研機構行使和保障自身合法權益的重要途徑。因此我們必須綜合多方因素，系統考量，盡可能提供全面的、多方位的信息安全建設策略和信息安全管理與教育規范，以切實滿足高校等科研單位對信息安全保障體系的需求，降低科研成果的安全風險，發揮高效的科研效率，保障科研生產的安全順利進行。

參考文獻

[1] 張廣欽．信息管理教程[M]．北京：北京大學出版社，2005.

[2] 徐茂智．信息安全概論[M]．北京：人民郵電出版社，2007.

[3] 彭盛宏.淺析校園網存在的安全隱患及其對策[J].信息安全與技術，2012，(1).

篇7

在通信計算機信息網絡化系統中通過電磁的方式對信息進行處理，并對所有單位的信息處理系統做服務，從而保護所有事業單位、企業、公司的信息安全就是通信計算機信息安全。確保信息的安全和正確，防止信息受到惡意傳播或篡改是通信計算機信息安全的主要目的。當今社會飛速發展，信息的處理進入到大數據云處理時代，也就是統一配置大量的互聯網所使用的信息資源，并向有需求的客戶發送有用的信息資源，從而實現大數據下對客戶的服務。信息的安全性若是在云計算、云處理的方式下得不到保障，被云計算所服務的對象的信息安全就會受到威脅，因此，我們必須保障通信計算機的信息安全。

2通信計算機存在的信息安全問題

人為密碼操作不當、黑客攻擊或病毒攻擊都會威脅到計算機的信息安全。通信計算機信息的物理安全與邏輯安全出現問題，也會帶來安全隱患。通常物理安全就是指計算機的硬件安全，若是在信息數據沒有備份的前提下計算機的硬件發生了問題，通信計算機的信息安全就會面臨著通信信息數據在不可預見的情況下消失的安全隱患；邏輯安全通常指對信息的不可缺失性、完整性的保護，通過保密設置來保障信息的可用性。下面將詳細介紹通信計算機中存在的信息安全問題。

2.1受到網絡黑客的攻擊

網絡黑客的攻擊是通信計算機面臨的最普遍也是最嚴重的安全問題。網絡黑客對通信計算機的攻擊主要有以下兩種方式：一是主動攻擊的方式，也就是黑客自主選擇其想要進行攻擊的計算機或網絡程序，然后用此對其所具有的信號做破壞，最終使得計算機內部的信號癱瘓或失效，進而一次性獲取其所想要得到的信息的方式；二是被動攻擊的方式，也就是在不對網絡信號進行破壞的前提下，黑客利用一定的技術來獲取非常重要的網絡信息的方式。主動攻擊的方式與被動攻擊的方式都會給通信計算的安全帶來直接并嚴重的威脅，給通信計算機的信息帶來安全隱患，都會使得計算機內部的關鍵重要信息得到泄露。

2.2受到病毒傳播的危害

通信計算機最常面臨的安全問題就是病毒傳播，并且病毒傳播可以給計算機的信息安全帶來非常嚴重的危害。由于計算機具有異常復雜、類型較多、可以自動復制傳播的特點，因此病毒一旦控制某個計算機，就會使得這個計算機不能正常的進行工作，并且會嚴重流失大量的信息，嚴重威脅到通信計算機的信息安全。因此，我們必須嚴加關注病毒傳播給通信計算機所帶來的安全問題，并努力提出相應的應對措施。

2.3用戶自身的安全意識較低

在計算機得到大面積的應用和普及之后，目前應用通信計算機的用戶很多，但是真正具備豐富專業的計算機知識或計算機技術的用戶鮮見，大多數用戶只是掌握了最基本的網絡使用功能用來查看和獲取有用的信息資源而已，因此他們對通信計算機網絡安全沒有全面透徹的意識與認識。

3保障通信計算機信息安全的對策

3.1設置復雜嚴密的計算機密碼

由于在當今云計算的時代，所設置密碼的復雜度直接決定了信息數據的安全性，因此，要想信息數據足夠安全，就必須設置異常復雜的密碼。從訪問服務器來說，由于某些企業或公司對重要客戶的重要信息設置密碼的程序及所設置的密碼過于簡單，從而給信息的安全性造成了嚴重的威脅。因此，只有設置足夠復雜的密碼，才能保障重要信息數據的安全性，需要盡量創造條件設置很難被破解的專業編碼。并且，為了有效地對信息安全實施保護，需要在公司或企業內部對密碼的設置制定相應合理的程序，主要包括規定密碼的設置條件、知道密碼的人群等。

3.2安裝并使用網絡防火墻及病毒查殺工具

網絡防火墻的運行原理主要是：首先，過濾技術，就是利用事先設定的標準或技術來篩選在網絡中正在傳播的信息，對可疑的信息進行排除，對安全信息開通綠色通道，從而達到保護網絡安全的目的；其次，監測狀態技術，就是通過系統化的監測網絡的搜索引擎來保存網絡中的動態信息，并把其用作網絡的參考標準，若是監測到某個網絡數據發生異常的變化，就馬上終止異常數據的繼續運行。并且病毒查殺工具（例如360木馬查殺）的使用能夠有效地避免計算機受到病毒的攻擊，從而保障計算機的信息安全。

3.3提高網絡工作者的安全技術與安全意識

必須從網絡工作者的實際出發，結合網絡安全問題及安全知識給網絡工作者開展有關網絡安全的宣傳與培訓，利用這一系列手段來提高他們的網絡安全意識，并使其對網絡攻擊所造成的嚴重后果有深刻的認識，從而在工作過程中保持較高的安全警惕性，時刻避免與防止發生網絡安全事故。另一方面，也可以對網絡工作者開展網絡技術培訓工作，保障他們能夠與先進的網絡知識有直接的接觸與了解，并使其熟練掌握與通信計算機有關的技術，這樣能夠降低他們在工作過程中發生失誤的狀況，并且能夠使網絡計算機的管理得到加強，提高計算網絡信息的可靠性與安全性。

3.4對信息數據管理者開展有效的培訓

要對有修改、查看通信信息數據權利的管理人員開展有效的計算機知識的培訓，提高他們的網絡信息安全意識。同時，企業在招聘的時候，要注意招聘具備通信計算機信息安全專業知識或素養的專業人才，因為他們可以在通信信息遭到破壞的第一時間對其實施有效的維修，能夠找回失掉的通信信息，最大程度上降低損失，保障通信計算機的信息安全。

3.5加強安全服務與管理

首先，要加強對通信計算機信息的安全服務，也就是在網絡的顯目位置對與網絡安全有關的知識進行展示，并廣泛征集客戶對網站設計的意見及建議，建立網絡信息安全評估部門，對運營和維修人員定期開展相應的安全培訓，實施安全巡檢制度，使對網絡的安全巡檢常態化。其次，要加強對通信計算機信息的安全管理，優化安全管理機構，完善安全管理制度，開發系統化的管理方案，建設系統化的運營與維修體系，盡最大努力降低通信計算機信息所受到的非技術問題的安全威脅。

4小結

篇8

風險管理是當前銀行經營活動的主旋律。在銀行界越來越依賴于信息技術的情況下，信息風險監督成為銀行信息化風險管理不可忽略的重要組成部分。雖然各銀行都有自己的信息安全主管部門，他們是信息安全的建設者、維護者，對信息安全有著豐富的現場經驗與專業經驗，但在他們身兼運動員和裁判員雙重身份的同時，已不足以向最高管理層保證信息安全的有效性。因此，建立科學的信息風險監督機制，對加強銀行風險管理，確保銀行信息系統的安全、穩定、持續有效地運行，就顯得尤為重要。

一、信息系統風險監督的概念及意義

信息風險監督是指對特定環境中的信息系統及其處理的傳輸和存儲的信息的保密性、完整性和可用性等進行監督，進而對其安全性進行風險分析、評估，找出潛在的致命缺陷和易被忽略的問題，為信息系統的安全設計，選擇合理的安全產品和安全管理提供可靠的依據。信息風險監督的內容包括信息系統的物理安全、系統安全、網絡安全、技術安全保障和安全管理控制五個部分。

信息風險監督是信息安全的基礎性工作，它是對信息系統的運行過程，進行安全監察、分析的一個持續工作，是分級防護和突出重點的具體體現。風險監督對信息安全具有非常重要的意義：首先，它能摸清情況，評判保護措施，可對信息安全有關的決策產生決定性的影響；其次，它是信息安全規劃的重要依據；第三，后評估是改進信息安全工作的依據和出發點。即：進行風險評估后，可以認清信息安全環境、信息安全狀況，有助于達成公式，明確責任，采取或完善等級保護、分級管理、分類指導等各種安全保障措施，使其更加經濟有效，并使信息安全策略保持一致性和持續性；第四，它是制定信息安全策略和戰略的基礎。因此，信息風險監督作為加強信息安全風險管理的重要組成部分，在整個銀行業信息風險管理中具有極其不可動搖的地位。

二、信息系統脆弱性的客觀存在需要風險監督

信息系統安全是相對的，沒有絕對的安全系統。它具有時效性、復雜性和不可避免的特點。隨著新的漏洞與攻擊方法的不斷發現，原來的安全的系統霎時變得危機四伏；加之，由于技術發展的局限和人類的能力限制，在程序設計之初人們不能認識所有的問題，失誤和考慮不周在所難免。因此，為了實現信息系統的安全、穩定運行這一目標，就必須采取一系列的安全制度和技術保障方法，對信息系統風險進行事先防患、事中控制、事后監督及糾正，以化解因信息系統的脆弱造成的金融風險。信息系統的脆弱性主要表現在以下幾個方面：

1、信息系統軟硬件本身存在著很大的脆弱性。一方面表現在設備的自然損耗、制造缺陷和不可預測的自然環境因素，如火災、水災、地震、戰爭等不可抗拒的自然災難。另一方面表現在由于技術發展的局限和人類的能力限制，面對龐大的操作系統、復雜的應用程序，在設計之初人們不能認識所有的問題，失誤和考慮不周在所難免。

2、銀行數據傳輸網絡的脆弱性。隨著金融網上業務的拓展，網上銀行、移動銀行、電子商務等，已成為銀行追逐的利潤增長點。銀行業務系統要順應開放和互連的趨勢，其信息安全范疇已經突破了以業務系統物理隔離和協議隔離為基礎的傳統銀行信息安全，在公網環境下防止黑客、病毒的破壞，在Internet上保證金融數據的安全采集、安全存儲、安全傳輸和安全處理，將是金融信息系統建設面臨的重要挑戰。

3、安全技術保障的欠缺。當前我國金融界的信息安全建設中存在著：整體安全系統建設的欠缺；內部網絡安全監控與防范的欠缺；智能與主動性安全防范體系建設的欠缺；全面集中安全管理策略平臺定制方面的欠缺。

4、信息風險是動態變化的，安全是相對的。只有在特定環境與特定配制下的安全，技術的發展和環境的變化使系統安全始終處于動態之中。日常管理中的不同配制會引入新的問題；新的系統組件同樣會引入新的問題，因此對它們監督必須長期的，并隨之變化而維護。

三、化解信息風險關鍵在于管理

我們面臨的信息安全問題還不僅在于IT技術的脆弱性，更在于不同價值觀的挑戰，在于不法之徒或敵對勢力集團的威脅。解決信息安全三分靠技術、七分靠管理。因此，加強對信息安全管理體系的建設是信息監督的重要任務和目的。一個好的信息安全管理體系，離不開以下幾個環節：

1、領導的重視。信息安全管理是一個復雜的、動態的系統工程，關系到安全項目的規劃、應用需求的分析、網絡技術運用、安全策略制定、人員分工人員安全培訓和規章制度建立的各個層面。這僅依靠技術人員的職能是無法完成的，必須有領導的高度重視與親身參與。

2、隨需求確定安全管理策略。隨著信息技術的不斷發展，一個完整信息安全策略的制訂和實施，是一個動態的延續過程。不同的系統有不同的安全需求，在有限的資金情況下，遵照國家和本部門有關信息安全的技術標準和管理規范，針對本部門專項應用，對數據管理和系統流程的各個環節進行安全評估，確定使用的安全技術、設定安全應用等級、明確人員職責、制定安全分步實施方案，達到安全和應用的科學平衡。

3、全員參與安全培訓。信息安全最大的威脅不是來自外部，而是內部人員對信息安全知識的缺乏。人是信息安全目標實現的主體，信息安全要靠全體員工共同努力，否則就會出現所謂的“木桶效應”。因此，加強信息安全培訓和法制教育就顯得尤為重要，通過對計算機安全知識的培訓和法制教育，使他們真正認識到計算機網絡系統安全的重要性和解決這一問題的長期性和艱巨性，真正了解遵守安全管理制度的必要性和違反制度帶來的后果，從而自覺把遵守規章制度貫徹到實際工作中去。全面提高全行員工的信息安全的防范能力。

同時，由于信息技術始終處于不斷的發展變化中，對信息安全管理員來說也是一個不斷學習、提高的過程，只有通過對安全理論、安全技術，安全產品培訓學習，才能阻擊各種多樣化的攻擊手段，化解信息風險。

4、狠抓制度建設和落實。根據金融信息化建設的總體要求，逐步健全一套完整的風險安全管理體系，以加強規范信息管理和制度控制，規范銀行管理和操作人員的行為，明確具體責任。同時，制定的各項制度要有很強的可操作性，只有這樣，才能保證它的有效實施。如：制定相應的機房出入管理制度，口令密碼管理制度等；制定嚴格的操作規程，操作規程要根據職責分離和對人負責的原則，各負其責，不能超越自己的管轄范圍；制定完善的系統維護制度，詳細記錄故障原因、維護內容和維護前后的情況。

篇9

論文關鍵詞：醫院信息系統　安全體系　網絡安　全數據安全

論文摘要：分析了目前威脅醫院網絡信息安全的各種因素結合網絡安全與管理工作的實踐，探討了構建醫院信息安全防御體系的措施。

中國醫院信息化建設經過20多年的發展歷程目前已經進入了一個高速發展時期。據2007年衛生部統計信息中心對全國3765所醫院(其中：三級以上663家：三級以下31o2家)進行信息化現狀調查顯示，超過80％的醫院建立了信息系統…。隨著信息網絡規模的不斷擴大，醫療和管理工作對信息系統的依賴性會越來越強。信息系統所承載的信息和服務安全性越發顯得重要。

1醫院信息安全現狀分析

隨著我們對信息安全的認識不斷深入，目前醫院信息安全建設存在諸多問題。

1．1信息安全策略不明確

醫院信息化工作的特殊性，對醫院信息安全提出了很高的要求。醫院信息安全建設是一個復雜的系統工程。有些醫院只注重各種網絡安全產品的采購沒有制定信息安全的中、長期規劃，沒有根據自己的信息安全目標制定符合醫院實際的安全管理策略，或者沒有根據網絡信息安全出現的一些新問題，及時調整醫院的信息安全策略。這些現象的出現，使醫院信息安全產品不能得到合理的配置和適當的優化，不能起到應有的作用。

1．2以計算機病毒、黑客攻擊等為代表的安全事件頻繁發生，危害日益嚴重

病毒泛濫、系統漏洞、黑客攻擊等諸多問題，已經直接影響到醫院的正常運營。目前，多數網絡安全事件都是由脆弱的用戶終端和“失控”的網絡使用行為引起的。在醫院網中，用戶終端不及時升級系統補丁和病毒庫的現象普遍存在；私設服務器、私自訪問外部網絡、濫用政府禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網絡，就等于給潛在的安全威脅敞開了大門，使安全威脅在更大范圍內快速擴散。保證用戶終端的安全、阻止威脅入侵網絡，對用戶的網絡訪問行為進行有效的控制，是保證醫院網絡安全運行的前提，也是目前醫院網絡安全管理急需解決的問題。

1．3安全孤島現象嚴重

目前，在醫院網絡安全建設中網絡、應用系統防護上雖然采取了防火墻等安全產品和硬件冗余等安全措施，但安全產品之間無法實現聯動，安全信息無法挖掘，安全防護效果低，投資重復，存在一定程度的安全孤島現象。另外，安全產品部署不均衡，各個系統部署了多個安全產品，但在系統邊界存在安全空白，沒有形成縱深的安全防護。

1．4信息安全意識不強，安全制度不健全

從許多安全案例來看，很多醫院要么未制定安全管理制度，要么制定后卻得不到實施。醫院內部員工計算機知識特別是信息安全知識和意識的缺乏是醫院信息化的一大隱患。加強對員工安全知識的培訓刻不容緩。

2醫院信息安全防范措施

醫院信息安全的任務是多方面的，根據當前信息安全的現狀，醫院信息安全應該是安全策略、安全技術和安全管理的完美結合。

2．1安全策略

醫院信息系統～旦投入運行，其數據安全問題就成為系統能否持續正常運行的關鍵。作為一個聯機事務系統，一些大中型醫院要求每天二十四小時不問斷運行，如門診掛號、收費、檢驗等系統，不能有太長時間的中斷，也絕對不允許數據丟失，稍有不慎就會造成災難性后果和巨大損失醫院信息系統在醫院各部門的應用，使得各類信息越來越集中，構成醫院的數據、信息中心，如何合理分配訪問權限，控制信息泄露以及惡意的破壞等信息的訪問控制尤其重要：pacs系統的應用以及電子病歷的應用，使得醫學數據量急劇膨脹，數據多樣化，以及數據安全性、實時性的要求越來越高，要求醫院信息系統(his)必須具有高可用性，完備可靠的數據存儲、備份。醫院要根據自身網絡的實際情況確定安全管理等級和安全管理范圍，制訂有關網絡操作使用規程和人員出入機房管理制度，制定網絡系統的維護制度和應急措施等，建立適合自身的網絡安全管理策略。網絡信息安全是一個整體的問題，需要從管理與技術相結合的高度，制定與時俱進的整體管理策略，并切實認真地實施這些策略，才能達到提高網絡信息系統安全性的目的。

在網絡安全實施的策略及步驟上應遵循輪回機制考慮以下五個方面的內容：制定統一的安全策略、購買相應的安全產品實施安全保護、監控網絡安全狀況(遇攻擊時可采取安全措施)、主動測試網絡安全隱患、生成網絡安全總體報告并改善安全策略。

2．2安全管理

從安全管理上，建立和完善安全管理規范和機制，切實加強和落實安全管理制度，加強安全培訓，增強醫務人員的安全防范意識以及制定網絡安全應急方案等。

2．2．1安全機構建設。設立專門的信息安全領導小組，明確主要領導、分管領導和信息科的相應責任職責，嚴格落實信息管理責任l。領導小組應不定期的組織信息安全檢查和應急安全演練。

2．2．2安全隊伍建設。通過引進、培訓等渠道，建設一支高水平、穩定的安全管理隊伍，是醫院信息系統能夠正常運行的保證。

2．2．3安全制度建設。建立一整套切實可行的安全制度，包括：物理安全、系統與數據安全、網絡安全、應用安全、運行安全和信息安全等各方面的規章制度，確保醫療工作有序進行。

2．2．4應急預案的制定與應急演練

依據醫院業務特點，以病人的容忍時間為衡量指標，建立不同層面、不同深度的應急演練。定期人為制造“故障點”，進行在線的技術性的分段應急演練和集中應急演練。同時信息科定期召開“系統安全分析會”。從技術層面上通過數據挖掘等手段，分析信息系統的歷史性能數據，預測信息系統的運轉趨勢，提前優化系統結構，從而降低信息系統出現故障的概率；另一方面，不斷總結信息系統既往故障和處理經驗，不斷調整技術安全策略和團隊應急處理能力，確保應急流程的時效性和可用性。不斷人為制造“故障點”不僅是對技術架構成熟度的考驗，而且還促進全員熟悉應急流程，提高應急處理能力，實現了技術和非技術的完美結合。

2．3安全技術

從安全技術實施上，要進行全面的安全漏洞檢測和分析，針對檢測和分析的結果制定防范措施和完整的解決方案。

2．3．1冗余技術

醫院信息網絡由于運行整個醫院的業務系統，需要保證網絡的正常運行，不因網絡的故障或變化引起醫院業務的瞬間質量惡化甚至內部業務系統的中斷。網絡作為數據處理及轉發中心，應充分考慮可靠性。網絡的可靠性通過冗余技術實現，包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等技術。

2．3．2建立安全的數據中心

醫療系統的數據類型豐富，在不斷的對數據進行讀取和存儲的同時，也帶來了數據丟失，數據被非法調用，數據遭惡意破壞等安全隱患。為了保證系統數據的安全，建立安全可靠的數據中心，能夠很有效的杜絕安全隱患，加強醫療系統的數據安全等級，保證各個醫療系統的健康運轉，確保病患的及時信息交互。融合的醫療系統數據中心包括了數據交換、安全防護、數據庫、存儲、服務器集群、災難備份／恢復，遠程優化等各個組件。

2．3．3加強客戶機管理

醫院信息的特點是分散處理、高度共享，用戶涉及醫生、護士、醫技人員和行政管理人員，因此需要制定一套統一且便于管理的客戶機管理方案。通過設定不同的訪問權限，加強網絡訪問控制的安全措施，控制用戶對特定數據的訪問，使每個用戶在整個系統中具有唯一的帳號，限定各用戶一定級別的訪問權限，如對系統盤符讀寫、光驅訪問、usb口的訪問、更改注冊表和控制面板的限制等。同時捆綁客戶機的ip與mac地址以防用戶隨意更改ip地址和隨意更換網絡插口等惡意行為，檢查用戶終端是否安裝了信息安全部門規定的安全軟件、防病毒軟件以及漏洞補丁等，從而阻止非法用戶和非法軟件入網以確保只有符合安全策略規定的終端才能連入醫療網絡。

2．3．4安裝安全監控系統

安全監控系統可充分利用醫院現有的網絡和安全投資，隨時監控和記錄各個終端以及網絡設備的運行情況，識別、隔離被攻擊的組件。與此同時，它可以強化行為管理，對各種網絡行為和操作進行實施監控，保持醫院內部安全策略的符合性。

2．3．5物理隔離

根據物理位置、功能區域、業務應用或者管理策略等劃分安全區域，不同的區域之間進行物理隔離。封閉醫療網絡中所有對外的接口，防止黑客、外部攻擊、避免病毒的侵入。

篇10

[關鍵詞]計算機 信息安全技術 相關概念 防護內容 防護措施

中圖分類號：TP393.0 文獻標識碼：A 文章編號：1009-914X（2016）28-0194-01

1.計算機信息安全的相關概念

計算機網絡安全指的是現代計算機網絡內部的安全環境維護，卞要保護的是計算機網絡系統中的硬盤、軟件中的數據資源，在沒有因為意外或惡意等情況下未遭遇人為型破壞和更改相關重要的數據信息，從而保障計算機網絡服務的正常運作。

2.計算機信息安全技術防護的內容

計算機信息安全防護，強化計算機信息安全管理的防護工作和防護內容較多。從現階段計拿機信息安全防護的實際情況來看，強化對計算機安全信息的管理可以從計算機安全技術入手，對計算機系統的安全信息存在的漏洞進行及時的檢測、修補和分析結合檢測分析得到的結果制定有效的防護方案建立完善的安全系統體系。其中安全系統體系包括安全防火墻、計算機網絡的殺毒軟件、入侵監測掃描系統等信息安全防護體系。從計算機信息安全管理方面來看，需要建立健全的信息安全制度，欄窀據信息安全管理制度的相關規定對計算機信息進行防護，加強管理人員的安全防護意識。此外，計算機信息安全防護還需要充分考慮計算機安全數據資源的合法使用、安全穩定運作數據資料存儲和傳輸的完整性、可控性、機密性和可用性等。

3.計算機信息安全防護中存在的問題

隨著計算機信息化技術的進一步發展，信息安全已經引起人們的高度關注。現階段計算機安全信息防護還存在諸多問題。計算機網絡系統的安全體系不夠完善，因此要保障計算機信息安全必須要配置一些安全信息設備，但是目前的安全技術水平偏低，安全信息質量得不到保障。此外計算機系統內部的應急措施的構建機制不夠健全，安全制度不完善，滿足不了信息安全的防護標準要求。近幾年來，我國用人單位對計算機催息安全管理工作越來越重視，但是有些單位的計算機安全信息防護意識薄弱，負責信息安全防護的管理人員業務素質偏低，計算機信息安全技術防護水平偏低。同時，一些企業對管理人員的信息安全培訓力度不足，對安全信息防護的設備費用的投入力度不足。因此，現階段我國企業的計算機信息安全防護水平與社會服務的程度偏低。

4.計算機信息安全防護的措施

4.1 注計算機病毒的防護

計算機網絡之間的病毒傳播速度較快。現代計算機網絡防護病毒必須要在互聯網環境下，對計算機的操作系統采取科學合理的防毒措施，有效防護計算機信息安全。現階段，從計算機信息行業來看，針對不同的操作系統，所采用的計算機防毒軟件的具體功能也會不一樣，但是能夠加強計算機用戶的信息安全防護利用安全掃描技術、訪問控制技術、信息過濾技術，制止惡性攻擊，加強計算機系統的安全性能，強化對計算機信息安全的防護。

4.2 信息安全技術

計算機信息安全技術主要包括實時的掃描技術、病毒情況研究報告技術、檢測技術、檢驗保護技術、防火墻、計算機信息安全管理技術等。企業需要建立完善的信息安全管理和防護制度，提高系統管理工作人員人員技術水平和職業道德素質。對重要的機密信息進行嚴格的開機查毒，及時地備份重要數據，對網站訪問進行肖致地控制，實現信息安全的防范和保護對數據庫進行備份和咬復實現防護和管理數據的完整性。利用數據流加密技術、公鑰密碼體制、單鑰密碼體制等密碼技術劉信息進行安全管理，保護信息的安全。切斷傳播途徑，對感染的計算機進行徹底性查毒，不使用來路不明的程序、軟盤等，不隨意打開可疑的郵件等。提高計算機網絡的抗病毒能力。在計算機上配置病毒防火墻，對計算機網絡文件進行及時地檢測和掃描。利用防病毒卡，對網絡文件訪問權限進行設置。

4.3 提高信息安全管理人員的技術防護水平

計算機信息安全不僅需要從技術上進行信息安全防范措施，同時也要采取有效的管理措施，貫徹落實計算機信息安全防護反律法規制度，提高計算機信息的安全性。對計算機管理人員進行培訓;建立完善的計算機信息安全管理機制，改進計算機信息安全管理能力，加強計算機信息安全的立法和執法力度，強化計算機信息管理的道德規范，提高管理人員對安全信息的防護意識;明確計算機系統管理人員的工作職責。此外，企業需要增加對計算機安全信息防護設備的投入費用，整體提高我國社會部門的計算機信息安全防護與社會服務水平。

5.結束語

綜合上述，計算機信息安全防護過程中存在著;信息安全管理體系不夠健全、信息安全制度不完善、負責信息安全防護的管理人員業務素質偏低等問題，這就要求企業從計算機病毒的防護、信息安全技術、信息安全管理人員的技術防護水平這三方面入手，全面提高計算機信息安全技術水平和管理人員對計算機信息的安全防護能力。

參考文獻