審計(jì)信息安全管理精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的審計(jì)信息安全管理主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：審計(jì)信息安全管理范文

【關(guān)鍵詞】保密意識(shí) 審計(jì)信息安全

審計(jì)信息是審計(jì)人員在工作中運(yùn)用一定的技術(shù)、方法、手段，收集加工提煉整理的業(yè)務(wù)信息，是反映和體現(xiàn)審計(jì)工作成果的重要載體，主要包括審計(jì)工作信息和審計(jì)項(xiàng)目信息，涉及銀行敏感信息及經(jīng)營(yíng)決策管理的商業(yè)秘密。審計(jì)人員泄密風(fēng)險(xiǎn)如影隨形，無(wú)時(shí)不在，審計(jì)信息保密事關(guān)銀行信息安全和審計(jì)聲譽(yù)。因此，審計(jì)人員肩負(fù)審計(jì)數(shù)據(jù)及信息安全的重任，牢固樹(shù)立保密意識(shí)、嚴(yán)格履行保密職責(zé)、執(zhí)行保密紀(jì)律是每個(gè)審計(jì)人員義不容辭的責(zé)任。

一、審計(jì)信息渠道

審計(jì)信息主要來(lái)源于審計(jì)管理系統(tǒng)及平臺(tái)信息和審計(jì)業(yè)務(wù)信息收集兩個(gè)方面：

第一，審計(jì)管理系統(tǒng)及平臺(tái)信息是審計(jì)人員在實(shí)施審計(jì)項(xiàng)目、進(jìn)行審計(jì)管理的過(guò)程中，通過(guò)審計(jì)應(yīng)用系統(tǒng)及平臺(tái)獲取審計(jì)業(yè)務(wù)操作與管理的業(yè)務(wù)和數(shù)據(jù)信息，包括非現(xiàn)場(chǎng)審計(jì)系統(tǒng)（OAS系統(tǒng)）信息、審計(jì)管理信息系統(tǒng)（AMIS系統(tǒng)）信息、審計(jì)知識(shí)庫(kù)系統(tǒng)信息、任期經(jīng)濟(jì)責(zé)任審計(jì)信息資料庫(kù)信息、總審計(jì)室信息平臺(tái)等信息。

第二，審計(jì)業(yè)務(wù)信息是審計(jì)項(xiàng)目和日常審計(jì)工作中由各級(jí)機(jī)構(gòu)提供的業(yè)務(wù)信息以及審計(jì)項(xiàng)目信息。業(yè)務(wù)信息包括審計(jì)機(jī)構(gòu)審計(jì)計(jì)劃、審計(jì)研究成果、被審計(jì)機(jī)構(gòu)經(jīng)營(yíng)計(jì)劃及業(yè)務(wù)指標(biāo)、客戶(hù)及其賬戶(hù)信息、業(yè)務(wù)管理信息等，以及通過(guò)Notes郵箱、辦公自動(dòng)化系統(tǒng)（OA系統(tǒng)）、檔案管理信息系統(tǒng)等收集整理的各類(lèi)業(yè)務(wù)信息。審計(jì)項(xiàng)目信息包括審計(jì)方案、審計(jì)報(bào)告、審計(jì)模型、審計(jì)證據(jù)、審計(jì)工作底稿，以及審計(jì)過(guò)程中通過(guò)會(huì)計(jì)檔案管理系統(tǒng)、UAAP統(tǒng)一報(bào)表平臺(tái)、對(duì)公信貸業(yè)務(wù)流程系統(tǒng)（CLPM系統(tǒng)）、個(gè)人信貸管理系統(tǒng)（A+P系統(tǒng)）、信貸管理系統(tǒng)（CMISII系統(tǒng)）、ODSB二期及ERPF報(bào)表查詢(xún)等收集加工整理的各類(lèi)信息。

二、主要問(wèn)題和風(fēng)險(xiǎn)

（一）審計(jì)信息未集中管理，存在泄密的潛在風(fēng)險(xiǎn)隱患

便攜式計(jì)算機(jī)是審計(jì)人員的必備工具，其中存儲(chǔ)大量重要信息，實(shí)施審計(jì)項(xiàng)目按照審計(jì)方案要求分組開(kāi)展，審計(jì)現(xiàn)場(chǎng)點(diǎn)多面廣，審計(jì)資料不便于集中，審計(jì)人員注重信息資料使用忽視保密管理，對(duì)敏感及信息未經(jīng)加密處理采取保密措施，形成審計(jì)信息安全隱患。一是項(xiàng)目實(shí)施過(guò)程中審計(jì)信息處于分散失控狀態(tài)，缺乏安全管理；二是審計(jì)項(xiàng)目結(jié)束后，由于未明確和指定專(zhuān)人負(fù)責(zé)歸集審計(jì)項(xiàng)目信息，致使審計(jì)人員未及時(shí)清理、歸集移除審計(jì)項(xiàng)目電子信息資料，長(zhǎng)久滯留審計(jì)人員計(jì)算機(jī)中將可能導(dǎo)致審計(jì)信息流失和泄密。

（二）計(jì)算機(jī)上網(wǎng)導(dǎo)致審計(jì)信息失密，造成損失形成銀行聲譽(yù)風(fēng)險(xiǎn)

計(jì)算機(jī)上網(wǎng)成為信息泄露的主要途徑，計(jì)算機(jī)使用無(wú)線(xiàn)鍵盤(pán)或鼠標(biāo)上網(wǎng)、移動(dòng)存儲(chǔ)介質(zhì)與聯(lián)網(wǎng)計(jì)算機(jī)交叉使用將會(huì)導(dǎo)致失泄密。一是審計(jì)人員因工作需要，有時(shí)通過(guò)互聯(lián)網(wǎng)傳送或下載工作信息，或上網(wǎng)查詢(xún)信貸客戶(hù)企業(yè)注冊(cè)登記等信息，如果客戶(hù)敏感信息被不法分子截獲并利用，給客戶(hù)帶來(lái)不利影響的同時(shí)，將會(huì)導(dǎo)致銀行聲譽(yù)風(fēng)險(xiǎn)的嚴(yán)重后果。二是審計(jì)人員使用的計(jì)算機(jī)、U盤(pán)等磁介質(zhì)若不采取保密措施，未經(jīng)加密在互聯(lián)網(wǎng)上傳輸行內(nèi)重要數(shù)據(jù)或信息，被竊密者運(yùn)用技術(shù)軟件竊取，無(wú)意中將泄露銀行敏感信息或商業(yè)秘密，給銀行造成無(wú)可估量的損失。

（三）審計(jì)管理系統(tǒng)用戶(hù)認(rèn)證安全機(jī)制低、對(duì)客戶(hù)敏感信息訪(fǎng)問(wèn)無(wú)控制

由于非現(xiàn)場(chǎng)審計(jì)系統(tǒng)對(duì)相關(guān)敏感數(shù)據(jù)字段未能加密，在審計(jì)項(xiàng)目實(shí)施過(guò)程中，審計(jì)人員登錄系統(tǒng)可任意查詢(xún)導(dǎo)出相關(guān)的信息及數(shù)據(jù)，存在敏感信息和商業(yè)秘密泄漏的風(fēng)險(xiǎn)。

三、審計(jì)信息安全管理措施

第一，健全制度，落實(shí)責(zé)任。為加強(qiáng)審計(jì)信息安全保密，對(duì)于計(jì)算機(jī)設(shè)備使用管理、審計(jì)管理系統(tǒng)運(yùn)行管理及數(shù)據(jù)信息安全保密管理，制定信息安全管理制度，明確責(zé)任，落實(shí)保密職責(zé)。

第二，加強(qiáng)安全保密培訓(xùn)和教育，筑牢審計(jì)人員的安全和風(fēng)險(xiǎn)意識(shí)。一是要警鐘長(zhǎng)鳴，加強(qiáng)警示教育，做到防患于未然。二是建立信息安全的長(zhǎng)效機(jī)制，將審計(jì)信息安全保密作為審計(jì)人員培訓(xùn)教育的重要內(nèi)容，使之深刻認(rèn)識(shí)安全無(wú)小事，牢記“失之毫厘、謬以千里”道理，始終繃緊安全保密意識(shí)的弦，嚴(yán)守保密紀(jì)律，自覺(jué)履行保密職責(zé)。

第三，加強(qiáng)審計(jì)系統(tǒng)用戶(hù)管理，嚴(yán)格用戶(hù)操作權(quán)限，禁止將用戶(hù)口令及UKEY轉(zhuǎn)借他人使用。在未開(kāi)展審計(jì)項(xiàng)目階段限制非現(xiàn)場(chǎng)審計(jì)系統(tǒng)操作用戶(hù)，使用系統(tǒng)必須經(jīng)過(guò)申請(qǐng)批準(zhǔn)，以防止敏感信息泄露。搭建開(kāi)放的非現(xiàn)場(chǎng)審計(jì)系統(tǒng)學(xué)習(xí)培訓(xùn)環(huán)境，提供審計(jì)人員用于學(xué)習(xí)操作非現(xiàn)場(chǎng)系統(tǒng)。

第四，利用管理信息平臺(tái)FTP服務(wù)器對(duì)審計(jì)重要信息進(jìn)行管理，實(shí)現(xiàn)遠(yuǎn)程資源共享，審計(jì)人員可查詢(xún)相關(guān)工作信息，本機(jī)不再保存敏感信息和數(shù)據(jù)，切實(shí)防范便攜機(jī)或移動(dòng)硬盤(pán)存儲(chǔ)審計(jì)信息失泄密的風(fēng)險(xiǎn)隱患。

第五，落實(shí)安全管理責(zé)任，簽訂《審計(jì)崗位人員保密協(xié)議》，強(qiáng)化保密意識(shí)，約束審計(jì)信息保密行為。

第六，加強(qiáng)計(jì)算機(jī)管理，嚴(yán)防信息失泄密。設(shè)置屏幕保護(hù)的時(shí)間和密碼，確保在長(zhǎng)時(shí)間不使用計(jì)算機(jī)時(shí)對(duì)屏幕上和系統(tǒng)內(nèi)的敏感信息進(jìn)行安全保護(hù)。計(jì)算機(jī)做到專(zhuān)機(jī)專(zhuān)用，與互聯(lián)網(wǎng)物理隔離，禁止通過(guò)電子郵箱或互聯(lián)網(wǎng)傳輸及重要工作信息，避免移動(dòng)存儲(chǔ)介質(zhì)交叉使用。

第七，應(yīng)用技術(shù)手段加強(qiáng)信息安全管理，審計(jì)條線(xiàn)全員推廣使用Windows7（企業(yè)版）操作系統(tǒng)，應(yīng)用全盤(pán)加密（BitLocker）功能，能夠有效降低因設(shè)備物理丟失導(dǎo)致的審計(jì)信息泄露風(fēng)險(xiǎn)，有助于加強(qiáng)審計(jì)信息安全管理。

第2篇：審計(jì)信息安全管理范文

1．強(qiáng)化“制度”管理，為創(chuàng)建信息安全區(qū)提供制度保障。

我們根據(jù)《中國(guó)人民銀行信息安全管理規(guī)定》和《河南省人民銀行系統(tǒng)規(guī)范化管理辦法》的相關(guān)要求，結(jié)合當(dāng)?shù)氐膶?shí)際，建立和完善組織機(jī)構(gòu)建設(shè)、計(jì)算機(jī)安全設(shè)備管理、系統(tǒng)操作規(guī)程設(shè)計(jì)、網(wǎng)絡(luò)建設(shè)的安全規(guī)劃與立項(xiàng)、信息系統(tǒng)安全審計(jì)、應(yīng)急處理預(yù)案建設(shè)、目標(biāo)責(zé)任制落實(shí)等一整套涉及信息安全管理的規(guī)章制度，為各項(xiàng)工作創(chuàng)建的落實(shí)奠定一個(gè)完善的制度基礎(chǔ)。與此同時(shí)，嚴(yán)格信息安全管理檢查制度。科技部門(mén)每季會(huì)同保衛(wèi)部門(mén)、人事部門(mén)、內(nèi)審部門(mén)、紀(jì)委組織一次中支機(jī)關(guān)和轄內(nèi)的信息安全檢查，每次都制定了詳細(xì)的檢查方案，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后及時(shí)形成檢查報(bào)告，報(bào)中支信息安全領(lǐng)導(dǎo)小組，并經(jīng)信息安全領(lǐng)導(dǎo)小組審閱后將檢查整改報(bào)告送達(dá)被檢查單位，限期整改并進(jìn)行后續(xù)跟蹤。

2．強(qiáng)化“組織”領(lǐng)導(dǎo)，為創(chuàng)建信息安全區(qū)提供組織保證。

一方面中支機(jī)關(guān)及所轄縣（市）支行都按要求成立以行長(zhǎng)為組長(zhǎng)、其他領(lǐng)導(dǎo)班子成員任副組長(zhǎng)、部門(mén)負(fù)責(zé)人為成員的信息安全領(lǐng)導(dǎo)小組。另一方面機(jī)關(guān)各部門(mén)設(shè)立信息安全管理崗位，指定一名責(zé)任心強(qiáng)，熟悉計(jì)算機(jī)相關(guān)知識(shí)的職工為信息安全員，具體負(fù)責(zé)本部門(mén)信息安全管理的有關(guān)事宜。信息安全領(lǐng)導(dǎo)小組下設(shè)辦公室，由科技科具體負(fù)責(zé)協(xié)調(diào)機(jī)關(guān)及轄內(nèi)信息安全管理工作，為信息安全領(lǐng)導(dǎo)小組提供重大事項(xiàng)決策的有關(guān)事宜，為信息安全管理提供高效的組織保證。

3．強(qiáng)化“操作”規(guī)程，確保信息安全區(qū)創(chuàng)建工作的規(guī)范化。

明確的崗位目標(biāo)與操作規(guī)程是金融信息安全區(qū)創(chuàng)建的重要一環(huán)。我們對(duì)中支信息安全管理員（部門(mén)計(jì)算機(jī)安全員）、技術(shù)支持人員、業(yè)務(wù)操作人員、一般計(jì)算機(jī)用戶(hù)等確定各自的崗位目標(biāo)和操作規(guī)程及應(yīng)當(dāng)承擔(dān)的安全義務(wù)。同時(shí)制訂了明確的崗位操作規(guī)程，做到責(zé)權(quán)明晰，操作規(guī)范。同時(shí)，我們加強(qiáng)部門(mén)之間的協(xié)調(diào)，要求各部門(mén)都要制訂業(yè)務(wù)應(yīng)急預(yù)案和詳細(xì)的操作規(guī)程，然后由科技科進(jìn)行匯總、協(xié)調(diào)，形成有效的聯(lián)防機(jī)制。

4．強(qiáng)化“責(zé)任”管理，加大金融信息安全區(qū)的創(chuàng)建力度。

按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，根據(jù)不同層次制訂不同內(nèi)容的信息安全管理責(zé)任書(shū)，落實(shí)各項(xiàng)責(zé)任制，信息安全領(lǐng)導(dǎo)小組組長(zhǎng)與副組長(zhǎng)和各縣（市）支行行長(zhǎng)、副組長(zhǎng)與分管部門(mén)負(fù)責(zé)人、部門(mén)負(fù)責(zé)人與崗位責(zé)任人層層簽訂信息安全責(zé)任書(shū)，對(duì)沒(méi)有按照規(guī)定簽訂責(zé)任書(shū)的部門(mén)，在出現(xiàn)安全事故時(shí)，按照“上溯一級(jí)”的原則，追究當(dāng)事人的直接責(zé)任和部門(mén)負(fù)責(zé)人的領(lǐng)導(dǎo)責(zé)任。

5．強(qiáng)化“技術(shù)”指導(dǎo)，為創(chuàng)建信息安全區(qū)的提供智力支持。

重點(diǎn)強(qiáng)化了中支各部門(mén)計(jì)算機(jī)信息安全人員及所轄縣市支行安全管理人員的技術(shù)指導(dǎo)和信息安全知識(shí)的傳播，通過(guò)舉辦不同形式的信息安全培訓(xùn)班，提高他們自覺(jué)防范的意識(shí)和技能，為信息安全打好第一道防線(xiàn)。

6．強(qiáng)化“監(jiān)督”管理，鞏固金融信息安全區(qū)創(chuàng)建成果。

第3篇：審計(jì)信息安全管理范文

兩個(gè)發(fā)展階段

衛(wèi)生監(jiān)督中心信息安全等級(jí)保護(hù)工作大致經(jīng)歷了兩個(gè)發(fā)展階段。

啟動(dòng)與探索階段（2007年～2008年）：2007年12月，原衛(wèi)生部組織專(zhuān)家組對(duì)部直屬機(jī)關(guān)報(bào)送的信息安全等級(jí)保護(hù)定級(jí)情況進(jìn)行了評(píng)審。衛(wèi)生監(jiān)督中心的衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)和衛(wèi)生行政許可受理評(píng)審系統(tǒng)確定為第三級(jí)保護(hù)，衛(wèi)生監(jiān)督中心網(wǎng)站確定為第二級(jí)保護(hù)。衛(wèi)生監(jiān)督中心在了解了信息安全等級(jí)保護(hù)制度的同時(shí)，啟動(dòng)了信息安全等級(jí)保護(hù)相關(guān)工作。為摸清信息安全隱患，2008年衛(wèi)生監(jiān)督中心聘請(qǐng)了具有信息安全相關(guān)資質(zhì)的信息安全咨詢(xún)公司對(duì)等保涉及的信息系統(tǒng)進(jìn)行了信息安全測(cè)評(píng)，并制定了相應(yīng)的整改方案。由于2008年信息安全整改資金等原因，未開(kāi)展相關(guān)整改工作。

發(fā)展階段（2009年至今）：本著統(tǒng)籌考慮、分布實(shí)施的原則，在實(shí)施國(guó)家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)建設(shè)項(xiàng)目之初就參照等級(jí)保護(hù)有關(guān)要求規(guī)劃和設(shè)計(jì)業(yè)務(wù)應(yīng)用系統(tǒng)及其運(yùn)行環(huán)境，同時(shí)積極開(kāi)展等級(jí)保護(hù)備案等工作。在國(guó)家級(jí)項(xiàng)目二期中，專(zhuān)項(xiàng)對(duì)信息安全進(jìn)行加固。并每年邀請(qǐng)公安部信息安全等級(jí)保護(hù)評(píng)估中心，對(duì)衛(wèi)生監(jiān)督中心的第三級(jí)保護(hù)系統(tǒng)進(jìn)行了安全等級(jí)測(cè)評(píng)。

截至目前，衛(wèi)生監(jiān)督中心共有3個(gè)信息安全等級(jí)保護(hù)第三級(jí)的信息系統(tǒng)，4個(gè)信息安全等級(jí)保護(hù)第二級(jí)的信息系統(tǒng)。

信息安全技術(shù)體系

衛(wèi)生監(jiān)督信息系統(tǒng)信息安全技術(shù)體系建設(shè)，嚴(yán)格遵循等級(jí)保護(hù)第三級(jí)的技術(shù)要求進(jìn)行詳細(xì)設(shè)計(jì)、技術(shù)選擇、產(chǎn)品選型、產(chǎn)品部署。技術(shù)體系從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等5個(gè)方面進(jìn)行設(shè)計(jì)。

1.物理安全

衛(wèi)生監(jiān)督中心現(xiàn)有南北兩個(gè)機(jī)房，機(jī)房及相關(guān)配套設(shè)施面積總計(jì)160平方米。北機(jī)房部署等級(jí)保護(hù)第三級(jí)信息系統(tǒng)，南機(jī)房部署等級(jí)保護(hù)第二級(jí)信息系統(tǒng)，實(shí)現(xiàn)了第三級(jí)系統(tǒng)與第二級(jí)系統(tǒng)物理環(huán)境隔離。根據(jù)等級(jí)保護(hù)有關(guān)要求，機(jī)房均采用了精密空調(diào)、門(mén)禁系統(tǒng)、環(huán)境監(jiān)測(cè)系統(tǒng)等設(shè)備設(shè)施及技術(shù)手段，有效地保證了機(jī)房的物理安全。

2.網(wǎng)絡(luò)安全

主干網(wǎng)絡(luò)鏈路均采用雙鏈路連接，關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備均采用雙機(jī)冗余方式，避免單點(diǎn)故障。采用防火墻、入侵防護(hù)系統(tǒng)、DDoS系統(tǒng)進(jìn)行邊界防護(hù)，各網(wǎng)絡(luò)區(qū)域之間采用防火墻進(jìn)行區(qū)域隔離，在對(duì)外服務(wù)區(qū)部署了入侵檢測(cè)系統(tǒng)，在交換服務(wù)區(qū)部署了網(wǎng)絡(luò)審計(jì)系統(tǒng)。在核心數(shù)據(jù)區(qū)部署了數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)行為進(jìn)行監(jiān)控和記錄。在安全管理區(qū)部署安全管理系統(tǒng)，實(shí)現(xiàn)設(shè)備日志的統(tǒng)一收集及分析。

3.主機(jī)安全

所有服務(wù)器和管理終端配置了密碼安全策略；禁止用戶(hù)遠(yuǎn)程管理，管理用戶(hù)必須進(jìn)入機(jī)房通過(guò)KVM進(jìn)行本地管理；所有服務(wù)器和管理終端進(jìn)行了補(bǔ)丁更新，刪除了多余賬戶(hù)，關(guān)閉了不必要的端口和服務(wù)；所有服務(wù)器和管理終端開(kāi)啟了安全審計(jì)功能；通過(guò)對(duì)數(shù)據(jù)庫(kù)的安全配置，實(shí)現(xiàn)管理用戶(hù)和特權(quán)用戶(hù)的分離，并實(shí)現(xiàn)最小授權(quán)要求。

4.應(yīng)用安全

衛(wèi)生監(jiān)督中心7個(gè)應(yīng)用系統(tǒng)均完成了定級(jí)備案，并按照等級(jí)保護(hù)要求開(kāi)展了測(cè)評(píng)工作。應(yīng)用服務(wù)器采取了集群工作部署，保證了系統(tǒng)的高可用性，同時(shí)建立了安全審計(jì)功能模塊，記錄登錄日志、業(yè)務(wù)操作日志、系統(tǒng)操作日志3種日志，并實(shí)現(xiàn)查詢(xún)和審計(jì)統(tǒng)計(jì)功能，配置了獨(dú)立的審計(jì)賬戶(hù)。門(mén)戶(hù)網(wǎng)站也采用了網(wǎng)頁(yè)防篡改、DDoS等系統(tǒng)。信息安全等級(jí)保護(hù)第三級(jí)系統(tǒng)管理人員及高權(quán)限用戶(hù)均使用CA證書(shū)登錄相應(yīng)系統(tǒng)。

5.數(shù)據(jù)安全及備份恢復(fù)

衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器使用了雙機(jī)熱備，應(yīng)用服務(wù)器采用多機(jī)負(fù)載均衡，每天本地備份，保證了業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定和可靠運(yùn)行。其余等級(jí)保護(hù)第三級(jí)信息系統(tǒng)使用了雙機(jī)備份，無(wú)論是軟件還是硬件問(wèn)題，都可以及時(shí)準(zhǔn)確地進(jìn)行恢復(fù)并正常提供服務(wù)。同時(shí)，衛(wèi)生監(jiān)督中心在云南建立了異地?cái)?shù)據(jù)備份中心，每天進(jìn)行增量備份，每周對(duì)數(shù)據(jù)進(jìn)行一次全備份。備份數(shù)據(jù)在一定時(shí)間內(nèi)進(jìn)行恢復(fù)測(cè)試，保證備份的有效性。

信息安全管理體系

在開(kāi)展信息安全等級(jí)保護(hù)工作中，我們深刻體會(huì)到，信息安全工作“三分靠技術(shù)，七分靠管理”。為保證信息安全等級(jí)保護(hù)工作順利進(jìn)行，參考ISO/IEC 27001《信息安全管理體系要求》，衛(wèi)生監(jiān)督中心建立了符合實(shí)際工作情況的信息安全管理制度體系，明確了“統(tǒng)一領(lǐng)導(dǎo)，技管并重；預(yù)防為主，責(zé)權(quán)分明；重點(diǎn)防護(hù)，適度安全”的安全方針，涵蓋等級(jí)保護(hù)管理要求中安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五大方面的要求。

衛(wèi)生監(jiān)督中心建立了較為完善的信息安全責(zé)任制，設(shè)立了信息安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組組長(zhǎng)由衛(wèi)生監(jiān)督中心主任擔(dān)任，成員由衛(wèi)生監(jiān)督中心有關(guān)處室負(fù)責(zé)人組成，信息處作為信息安全工作辦公室負(fù)責(zé)衛(wèi)生監(jiān)督中心日常信息安全管理工作。信息處設(shè)立了信息安全管理崗位，分別為網(wǎng)絡(luò)管理員、系統(tǒng)管理員、應(yīng)用管理員、安全管理員、安全審計(jì)員、機(jī)房管理員，并建立了信息安全崗位責(zé)任制度。

此外，衛(wèi)生監(jiān)督中心依據(jù)上年度運(yùn)維中存在的信息安全隱患每年對(duì)其進(jìn)行修訂，確保信息安全工作落到實(shí)處。

信息安全運(yùn)維體系

在信息安全工作中，建立信息安全管理制度不是目的，要以信息安全等級(jí)保護(hù)有關(guān)要求指導(dǎo)信息安全運(yùn)維實(shí)踐。

衛(wèi)生監(jiān)督中心結(jié)合實(shí)際情況，編制了《國(guó)家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)運(yùn)行維護(hù)工作規(guī)范》，從運(yùn)行維護(hù)流程、資源管理和環(huán)境管理三個(gè)方面進(jìn)行了規(guī)范，將安全運(yùn)維理念落到實(shí)處。

運(yùn)維人員在實(shí)際工作中，嚴(yán)格按照工作規(guī)范要求。利用衛(wèi)生監(jiān)督中心OA系統(tǒng)，建立了統(tǒng)一的服務(wù)臺(tái)，實(shí)現(xiàn)了事件、問(wèn)題的全流程閉環(huán)管理（即：發(fā)現(xiàn)問(wèn)題、登記問(wèn)題、解決問(wèn)題、解決反饋、解決確認(rèn)）。年均處理信息安全事件近百件，將信息安全問(wèn)題消滅在萌芽階段，有效地保證了信息系統(tǒng)穩(wěn)定運(yùn)行，保證了衛(wèi)生監(jiān)督中心信息安全目標(biāo)和方針的實(shí)現(xiàn)。

信息安全等級(jí)保護(hù)實(shí)踐經(jīng)驗(yàn)

1.規(guī)范管理，細(xì)化流程

衛(wèi)生監(jiān)督中心從安全管理制度、安全管理組織機(jī)構(gòu)及人員、安全建設(shè)管理和安全運(yùn)維管理等方面建立了較為完善的安全管理體系。通過(guò)管理體系的建設(shè)，為國(guó)家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)運(yùn)維管理工作中安全管理提供了重要指導(dǎo)。

國(guó)家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)運(yùn)維工作從安全管理體系的建設(shè)中吸取了很多有益經(jīng)驗(yàn)，不僅合理調(diào)配了運(yùn)維管理人員，落實(shí)了運(yùn)維管理組織機(jī)構(gòu)和崗位職責(zé)，而且細(xì)化了運(yùn)維管理流程，形成了“二級(jí)三線(xiàn)”的運(yùn)維處理機(jī)制。

2.循序漸進(jìn)，持續(xù)完善

第4篇：審計(jì)信息安全管理范文

信息安全的總需求是邊界安全、網(wǎng)絡(luò)安全、主機(jī)安全、終端安全、應(yīng)用安全和數(shù)據(jù)安全的最終目標(biāo)，是確保信息機(jī)密性、完整性、可用性、可控性和抗抵賴(lài)性，以及企業(yè)對(duì)信息資源的控制［1］。2009年福建公司開(kāi)展了等級(jí)保護(hù)工作，結(jié)合今年福建公司安全防護(hù)體系建設(shè)和等保測(cè)評(píng)成果，證明信息安全防護(hù)重點(diǎn)在于管理。現(xiàn)代企業(yè)管理實(shí)踐也證明，任何工作均是3分技術(shù)，7分管理。電網(wǎng)企業(yè)信息安全工作也不例外，技術(shù)只是最基本的手段，規(guī)范、科學(xué)的管理才是發(fā)展根本的保障［2］。

2信息安全防護(hù)體系設(shè)計(jì)

2.1信息安全防護(hù)體系總體框架

在對(duì)多種信息安全防護(hù)體系進(jìn)行研究分析后，參照ISO/27001信息安全管理標(biāo)準(zhǔn)，根據(jù)國(guó)家電網(wǎng)公司電網(wǎng)信息安全等級(jí)保護(hù)“雙網(wǎng)雙機(jī)、分區(qū)分域、等級(jí)防護(hù)、多層防御”原則，提出電網(wǎng)企業(yè)的信息安全防護(hù)體系框架。電網(wǎng)企業(yè)信息安全防護(hù)體系建設(shè)可從管理和技術(shù)層面進(jìn)行［3］。該體系框架根據(jù)規(guī)劃設(shè)計(jì)、開(kāi)發(fā)測(cè)試、實(shí)施上線(xiàn)、運(yùn)行維護(hù)、系統(tǒng)使用和廢棄下線(xiàn)6個(gè)環(huán)節(jié)的信息系統(tǒng)生命周期特征制定全過(guò)程安全管理;從物理、邊界、網(wǎng)絡(luò)、主機(jī)、終端、應(yīng)用、數(shù)據(jù)7個(gè)方面制定全方位的技術(shù)防護(hù)措施。

2.2信息安全防護(hù)管理體系設(shè)計(jì)

電網(wǎng)企業(yè)信息安全在信息系統(tǒng)建設(shè)、運(yùn)行、維護(hù)、管理的全過(guò)程中，任何一個(gè)環(huán)節(jié)的疏漏均有可能給信息系統(tǒng)帶來(lái)危害。根據(jù)信息系統(tǒng)全生命周期，從規(guī)劃設(shè)計(jì)、開(kāi)發(fā)測(cè)試、實(shí)施上線(xiàn)、運(yùn)行維護(hù)、系統(tǒng)使用和廢棄下線(xiàn)6個(gè)環(huán)節(jié)，設(shè)計(jì)覆蓋信息安全管理、運(yùn)行、監(jiān)督、使用職責(zé)的安全管控流程［3－4］。

2.2.1網(wǎng)絡(luò)與信息系統(tǒng)安全管理

網(wǎng)絡(luò)與信息系統(tǒng)是企業(yè)現(xiàn)代化管理的重點(diǎn)。由于網(wǎng)絡(luò)與信息系統(tǒng)的動(dòng)態(tài)性、復(fù)雜性和脆弱性，建立健全的信息安全管理體系已成為了保障網(wǎng)絡(luò)與信息系統(tǒng)安全的重要手段。網(wǎng)絡(luò)與信息系統(tǒng)的安全管理依照國(guó)家電網(wǎng)公司制定的《國(guó)家電網(wǎng)公司信息網(wǎng)絡(luò)運(yùn)行管理規(guī)程(試行)》，遵循信息安全等級(jí)保護(hù)“雙網(wǎng)雙機(jī)、分區(qū)分域、等級(jí)防護(hù)、多層防御”的原則。

2.2.2人員安全管理與崗位職責(zé)管理

安全問(wèn)題的特點(diǎn)為“3分技術(shù)、7分管理”，而管理的核心是人，對(duì)于人員安全管理與崗位職責(zé)管理其主要包含如下管理內(nèi)容:(1)崗位職責(zé)。制定崗位責(zé)任書(shū)，明確各崗位信息安全責(zé)任。(2)持證上崗。安全工作人員持證上崗。(3)保密管理。與員工簽訂保密協(xié)議，并定期進(jìn)行檢查與考核。(4)安全培訓(xùn)。對(duì)員工進(jìn)行定期安全培訓(xùn)。(5)離職管理。對(duì)離崗離職人員賬號(hào)、權(quán)限及信息資產(chǎn)進(jìn)行清理和移交。

2.2.3全過(guò)程安全管理

(1)系統(tǒng)規(guī)劃設(shè)計(jì)安全管理的主要內(nèi)容包括:1)分析和確認(rèn)系統(tǒng)安全需求。2)確定系統(tǒng)安全保護(hù)等級(jí)并備案。3)制定安全防護(hù)方案并進(jìn)行評(píng)審。(2)系統(tǒng)研發(fā)安全管理的主要內(nèi)容包括:1)制訂研發(fā)安全管理機(jī)制，確保開(kāi)發(fā)全過(guò)程信息安全。2)加強(qiáng)開(kāi)發(fā)環(huán)境安全管理，與實(shí)際運(yùn)行環(huán)境及辦公環(huán)境安全隔離。3)嚴(yán)格按照安全防護(hù)方案進(jìn)行安全功能開(kāi)發(fā)并定期進(jìn)行審查。4)定期對(duì)研發(fā)單位環(huán)境和研發(fā)管理流程進(jìn)行安全督查。(3)系統(tǒng)實(shí)施與上線(xiàn)安全管理的主要內(nèi)容包括:1)嚴(yán)格按照設(shè)計(jì)方案對(duì)網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)等進(jìn)行安全配置。2)嚴(yán)格遵循各項(xiàng)操作規(guī)程，避免誤操作。3)組織安全測(cè)評(píng)機(jī)構(gòu)進(jìn)行上線(xiàn)環(huán)境安全測(cè)評(píng)。4)及時(shí)對(duì)系統(tǒng)試運(yùn)行期間發(fā)現(xiàn)的安全隱患進(jìn)行整改。(4)系統(tǒng)運(yùn)行維護(hù)安全管理的主要內(nèi)容包括:1)遵循運(yùn)維安全規(guī)程，執(zhí)行各項(xiàng)運(yùn)維操作。2)對(duì)系統(tǒng)安全運(yùn)行狀況進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)采取預(yù)警和應(yīng)急處置措施。3)定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)測(cè)評(píng)與整改。4)建立系統(tǒng)漏洞補(bǔ)丁的安全測(cè)試、分發(fā)和安裝管理機(jī)制。5)根據(jù)數(shù)據(jù)重要性進(jìn)行數(shù)據(jù)備份，并定期進(jìn)行恢復(fù)測(cè)試。(5)系統(tǒng)使用安全管理的主要內(nèi)容包括:1)終端準(zhǔn)入控制，對(duì)各種移動(dòng)作業(yè)、采集、專(zhuān)控等終端進(jìn)行安全測(cè)評(píng)。2)終端外聯(lián)控制，禁止終端跨網(wǎng)絡(luò)接入。3)系統(tǒng)賬號(hào)和權(quán)限管理，對(duì)系統(tǒng)使用人員及其權(quán)限進(jìn)行嚴(yán)格管理。4)終端使用管理，防止終端交叉使用、用戶(hù)越權(quán)訪(fǎng)問(wèn)等。5)終端數(shù)據(jù)存儲(chǔ)、處理時(shí)的安全保護(hù)。6)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的安全管理。7)終端維修管理，由運(yùn)維機(jī)構(gòu)統(tǒng)一處理。8)終端下線(xiàn)、報(bào)廢時(shí)的安全管理，對(duì)終端數(shù)據(jù)進(jìn)行安全處理。(6)系統(tǒng)廢棄下線(xiàn)安全管理的主要內(nèi)容包括:1)評(píng)估系統(tǒng)下線(xiàn)對(duì)其它系統(tǒng)的安全性影響，制定下線(xiàn)方案并進(jìn)行評(píng)審。2)系統(tǒng)下線(xiàn)前對(duì)重要數(shù)據(jù)進(jìn)行備份和遷移。3)系統(tǒng)下線(xiàn)后對(duì)不再使用的數(shù)據(jù)與存儲(chǔ)介質(zhì)進(jìn)行銷(xiāo)毀或安全處理。4)系統(tǒng)下線(xiàn)后及時(shí)進(jìn)行備案。

2.2.4系統(tǒng)測(cè)試評(píng)估安全機(jī)制與評(píng)價(jià)考核

信息系統(tǒng)建成后必須經(jīng)過(guò)試運(yùn)行并對(duì)系統(tǒng)的安全性、可靠性和應(yīng)急措施進(jìn)行全面測(cè)試，測(cè)試和試運(yùn)行通過(guò)后方可投入正式運(yùn)行，信息安全風(fēng)險(xiǎn)評(píng)估包括資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估、現(xiàn)有安全措施評(píng)估、風(fēng)險(xiǎn)計(jì)算和分析、風(fēng)險(xiǎn)決策和安全建議等評(píng)估內(nèi)容。安全管理機(jī)制的主要內(nèi)容包括:事件管理、安全督查、等保管理、備案管理，應(yīng)急管理等。

3信息安全防護(hù)體系

電網(wǎng)企業(yè)信息安全防護(hù)體系的設(shè)計(jì)［5］，主要從物理、邊界、網(wǎng)絡(luò)、主機(jī)、終端、應(yīng)用、數(shù)據(jù)7個(gè)方面進(jìn)行，遵循環(huán)境分離、安全分域、網(wǎng)絡(luò)隔離、終端準(zhǔn)入、補(bǔ)丁加固、數(shù)據(jù)分級(jí)、安全接入、基線(xiàn)配置、應(yīng)用審計(jì)、密鑰應(yīng)用等技術(shù)原則，輔以相應(yīng)的技術(shù)措施實(shí)現(xiàn)全面的安全防護(hù)［6］。

3.1物理安全

物理環(huán)境分為室內(nèi)物理環(huán)境和室外物理環(huán)境，根據(jù)設(shè)備部署安裝位置的不同，選擇相應(yīng)的防護(hù)措施。室內(nèi)機(jī)房物理環(huán)境安全需滿(mǎn)足對(duì)應(yīng)信息系統(tǒng)安全等級(jí)的等級(jí)保護(hù)物理安全要求，室外設(shè)備物理安全需滿(mǎn)足國(guó)家要求。具體安全措施如下:(1)機(jī)房分區(qū)、門(mén)禁等準(zhǔn)入控制。(2)設(shè)備物理安全需滿(mǎn)足國(guó)家對(duì)于防盜、電氣、環(huán)境、噪音、電磁、機(jī)械結(jié)構(gòu)、銘牌、防腐蝕、防火、防雷、電源等要求。(3)機(jī)柜/機(jī)箱應(yīng)避免可能造成的人身安全隱患，符合安裝設(shè)備的技術(shù)需求。(4)機(jī)柜/機(jī)箱外應(yīng)設(shè)有警告標(biāo)記，并能進(jìn)行實(shí)時(shí)監(jiān)控，在遭受破壞時(shí)能及時(shí)通知監(jiān)控中心。(5)研發(fā)場(chǎng)所分離并采取準(zhǔn)入控制

3.2邊界安全

邊界安全防護(hù)目標(biāo)是使邊界的內(nèi)部不受來(lái)自外部的攻擊，同時(shí)也用于防止惡意的內(nèi)部人員跨越邊界對(duì)外實(shí)施攻擊，或外部人員通過(guò)開(kāi)放接口、隱蔽通道進(jìn)入內(nèi)部網(wǎng)絡(luò);在發(fā)生安全事件前期能夠通過(guò)對(duì)安全日志及入侵檢測(cè)事件的分析發(fā)現(xiàn)攻擊企圖，安全事件發(fā)生后可以提供入侵事件記錄以進(jìn)行審計(jì)追蹤。

3.3網(wǎng)絡(luò)安全

網(wǎng)絡(luò)環(huán)境安全防護(hù)的目標(biāo)是防范惡意人員通過(guò)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)系統(tǒng)進(jìn)行攻擊和信息竊取，在安全事件發(fā)生前可以通過(guò)集中的日志審計(jì)、入侵檢測(cè)事件分析等手段，以及對(duì)信息內(nèi)外網(wǎng)網(wǎng)絡(luò)、終端以及防護(hù)設(shè)備等安全狀態(tài)的感知和監(jiān)測(cè)，實(shí)現(xiàn)安全事件的提前預(yù)警;在安全事件發(fā)生后可以通過(guò)集中的事件審計(jì)系統(tǒng)及入侵檢測(cè)系統(tǒng)進(jìn)行事件追蹤、事件源定位，及時(shí)制定相應(yīng)的安全策略防止事件再次發(fā)生;并能實(shí)現(xiàn)事后審計(jì)，對(duì)惡意行為和操作的追查稽核、探測(cè)入侵、重建事件和系統(tǒng)條件，生成問(wèn)題報(bào)告。

3.4主機(jī)安全

主機(jī)系統(tǒng)安全的目標(biāo)是采用信息保障技術(shù)確保業(yè)務(wù)數(shù)據(jù)在進(jìn)入、離開(kāi)或駐留服務(wù)器時(shí)保持可用性、完整性和保密性，采用相應(yīng)的身份認(rèn)證、訪(fǎng)問(wèn)控制等手段阻止未授權(quán)訪(fǎng)問(wèn)，采用主機(jī)防火墻、入侵檢測(cè)等技術(shù)確保主機(jī)系統(tǒng)的安全，進(jìn)行事件日志審核以發(fā)現(xiàn)入侵企圖，在安全事件發(fā)生后通過(guò)對(duì)事件日志的分析進(jìn)行審計(jì)追蹤，確認(rèn)事件對(duì)主機(jī)的損害程度以進(jìn)行后續(xù)處理。

3.5終端安全

終端安全防護(hù)目標(biāo)是確保智能電網(wǎng)業(yè)務(wù)系統(tǒng)終端、信息內(nèi)外網(wǎng)辦公計(jì)算機(jī)終端以及接入信息內(nèi)、外網(wǎng)的各種業(yè)務(wù)終端的安全。目前重點(diǎn)終端類(lèi)型包括:(1)配電網(wǎng)子站終端。(2)信息內(nèi)、外網(wǎng)辦公計(jì)算機(jī)終端。(3)移動(dòng)作業(yè)終端。(4)信息采集類(lèi)終端。對(duì)于各種終端，需要根據(jù)具體終端的類(lèi)型、應(yīng)用環(huán)境以及通信方式等選擇適宜的防護(hù)措施。

3.6應(yīng)用安全

按照國(guó)家信息安全等級(jí)保護(hù)的要求，根據(jù)確定的等級(jí)，部署身份鑒別及訪(fǎng)問(wèn)控制、數(shù)據(jù)加密、應(yīng)用安全加固、應(yīng)用安全審計(jì)、剩余信息保護(hù)、抗抵賴(lài)、資源控制、等應(yīng)用層安全防護(hù)措施。

3.7數(shù)據(jù)安全

對(duì)數(shù)據(jù)的安全防護(hù)分為數(shù)據(jù)的災(zāi)難恢復(fù)、域內(nèi)數(shù)據(jù)接口安全防護(hù)和域間數(shù)據(jù)接口安全防護(hù)。域內(nèi)數(shù)據(jù)接口是指數(shù)據(jù)交換發(fā)生在同一個(gè)安全域的內(nèi)部，由于同一個(gè)安全域的不同應(yīng)用系統(tǒng)之間需要通過(guò)網(wǎng)絡(luò)共享數(shù)據(jù)，而設(shè)置的數(shù)據(jù)接口;域間數(shù)據(jù)接口是指發(fā)生在不同的安全域間，由于跨安全域的不同應(yīng)用系統(tǒng)間需要交換數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口。

4結(jié)束語(yǔ)

第5篇：審計(jì)信息安全管理范文

 

云計(jì)算服務(wù)是指將大量用網(wǎng)絡(luò)連接的計(jì)算資源統(tǒng)一管理和調(diào)度，構(gòu)成一個(gè)計(jì)算資源池向用戶(hù)按需服務(wù)。基于云計(jì)算是一種提供信息技術(shù)服務(wù)的模式，積極推進(jìn)云計(jì)算在政府部門(mén)的應(yīng)用，獲取和采用以社會(huì)化方式提供的云計(jì)算服務(wù)，將有利于減少各部門(mén)分散重復(fù)建設(shè)，有利于降低信息化成本、提高資源利用率。但云計(jì)算還處于不斷發(fā)展階段，技術(shù)架構(gòu)復(fù)雜，采用社會(huì)化的云計(jì)算服務(wù)，使用者的數(shù)據(jù)和業(yè)務(wù)從自己的數(shù)據(jù)中心轉(zhuǎn)移到云服務(wù)商的平臺(tái)中心，大量數(shù)據(jù)集中，使云計(jì)算面臨新的安全風(fēng)險(xiǎn)。當(dāng)政府部門(mén)采用云計(jì)算服務(wù)，尤其是社會(huì)化的云計(jì)算服務(wù)時(shí)，應(yīng)特別關(guān)注信息安全問(wèn)題。因此政府部門(mén)在采購(gòu)云計(jì)算服務(wù)時(shí)，要做好采用云計(jì)算服務(wù)的前期分析和規(guī)劃，選擇合適的云服務(wù)商，對(duì)云計(jì)算服務(wù)進(jìn)行運(yùn)行監(jiān)管，考慮退出云計(jì)算服務(wù)和更好云服務(wù)商的安全風(fēng)險(xiǎn)，做好在云計(jì)算服務(wù)的生命周期采取相應(yīng)的安全技術(shù)和管理措施，保障數(shù)據(jù)和業(yè)務(wù)的安全，安全使用云計(jì)算服務(wù)。

 

1 云計(jì)算服務(wù)信息安全管理存在的風(fēng)險(xiǎn)

 

在傳統(tǒng)模式下，客戶(hù)的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)都位于客戶(hù)的數(shù)據(jù)中心，在客戶(hù)的直接管理和控制下。在云計(jì)算環(huán)境里，客戶(hù)將自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云計(jì)算平臺(tái)上，失去了對(duì)這些數(shù)據(jù)和業(yè)務(wù)的直接控制能力。存在諸多潛在的風(fēng)險(xiǎn)。

 

(1)客戶(hù)對(duì)數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱及與云服務(wù)商之間的責(zé)任難以界定。客戶(hù)數(shù)據(jù)以及在后續(xù)運(yùn)行過(guò)程中生成、獲取的數(shù)據(jù)都處于云服務(wù)商的直接控制下，云服務(wù)商具有訪(fǎng)問(wèn)、利用或操控客戶(hù)數(shù)據(jù)的能力，增加了客戶(hù)數(shù)據(jù)和業(yè)務(wù)的風(fēng)險(xiǎn)。缺乏數(shù)據(jù)安全的責(zé)任主體界定的問(wèn)題。

 

(2)可能產(chǎn)生司法管轄及容易產(chǎn)生對(duì)云服務(wù)商的過(guò)度依賴(lài)問(wèn)題。在云計(jì)算環(huán)境里，數(shù)據(jù)的實(shí)際存儲(chǔ)位置往往不受客戶(hù)控制，客戶(hù)的數(shù)據(jù)可能存儲(chǔ)在境外數(shù)據(jù)中心，改變了數(shù)據(jù)和業(yè)務(wù)的司法管轄關(guān)系。由于缺乏統(tǒng)一的標(biāo)準(zhǔn)和接口，不同云計(jì)算平臺(tái)上的客戶(hù)數(shù)據(jù)和業(yè)務(wù)難以相互遷移，導(dǎo)致客戶(hù)對(duì)云服務(wù)商過(guò)度依賴(lài)

 

(3)數(shù)據(jù)保護(hù)更加困難，所有權(quán)保障面臨風(fēng)險(xiǎn)。云計(jì)算平臺(tái)采用虛擬化等技術(shù)實(shí)現(xiàn)多客戶(hù)共享計(jì)算，資源，隨著復(fù)雜性的增加，實(shí)施有效的數(shù)據(jù)保護(hù)措施更加困難，客戶(hù)數(shù)據(jù)被未授權(quán)訪(fǎng)問(wèn)、篡改、泄露和丟失的風(fēng)險(xiǎn)增大。

 

2 云計(jì)算服務(wù)信息安全管理的要求

 

采用云計(jì)算服務(wù)期間，為了能夠保障云計(jì)算服務(wù)的安全，需對(duì)客戶(hù)和云服務(wù)商在信息安全管理方面提出要求。

 

2.1 安全責(zé)任及安全管理水平不變

 

信息安全管理責(zé)任不應(yīng)隨服務(wù)外包而轉(zhuǎn)移，無(wú)論客戶(hù)數(shù)據(jù)和業(yè)務(wù)是處于內(nèi)部信息系統(tǒng)還是云服務(wù)商的云計(jì)算平臺(tái)上，客戶(hù)都是信息安全的最終責(zé)任人。承載客戶(hù)數(shù)據(jù)和業(yè)務(wù)的云計(jì)算平臺(tái)應(yīng)按照政府信息系統(tǒng)安全管理要求進(jìn)行管理，為客戶(hù)提供云計(jì)算服務(wù)的云服務(wù)商應(yīng)遵守政府信息系統(tǒng)安全管理政策及標(biāo)準(zhǔn)。

 

2.2 資源的所有權(quán)及司法管轄關(guān)系不變

 

客戶(hù)提供給云服務(wù)商的數(shù)據(jù)、設(shè)備等資源，以及云計(jì)算平臺(tái)上客戶(hù)業(yè)務(wù)系統(tǒng)運(yùn)行過(guò)程中收集、產(chǎn)生、存儲(chǔ)的數(shù)據(jù)和文檔等都應(yīng)屬客戶(hù)所有，客戶(hù)對(duì)這些資源的訪(fǎng)問(wèn)、利用、支配等權(quán)利不受限制。

 

客戶(hù)數(shù)據(jù)和業(yè)務(wù)的司法管轄權(quán)不應(yīng)因采用云計(jì)算服務(wù)而改變。

 

2.3 堅(jiān)持先審后用原則

 

云服務(wù)商應(yīng)具備保障客戶(hù)數(shù)據(jù)和業(yè)務(wù)系統(tǒng)安全的能力，并通過(guò)安全審查。客戶(hù)應(yīng)選擇通過(guò)審查的云服務(wù)商，并監(jiān)督云服務(wù)商切實(shí)履行安全責(zé)任，落實(shí)安全管理和防護(hù)措施。

 

3 云計(jì)算服務(wù)的信息安全技術(shù)能力的要求

 

云服務(wù)商在提供云計(jì)算服務(wù)時(shí)，要相應(yīng)具備云計(jì)算服務(wù)的信息安全技術(shù)能力要求，以保障云計(jì)算環(huán)境中客戶(hù)信息和業(yè)務(wù)的安全，具體要求如下。

 

3.1 系統(tǒng)開(kāi)發(fā)與供應(yīng)鏈安全及系統(tǒng)與通信保護(hù)

 

云服務(wù)商應(yīng)在開(kāi)發(fā)云計(jì)算平臺(tái)時(shí)對(duì)其提供充分保護(hù)，對(duì)信息系統(tǒng)、組件和服務(wù)的開(kāi)發(fā)商提供相應(yīng)要求，為云計(jì)算平臺(tái)配置足夠的資源，并充分考慮安全需求。云服務(wù)商應(yīng)在云計(jì)算平臺(tái)的外部邊界和內(nèi)部關(guān)鍵邊界上監(jiān)視、控制和保護(hù)網(wǎng)絡(luò)通信，并采用結(jié)構(gòu)化設(shè)計(jì)、軟件開(kāi)發(fā)技術(shù)和軟件工程方法有效保護(hù)云計(jì)算平臺(tái)的安全性。

 

3.2 訪(fǎng)問(wèn)控制及配置管理

 

云服務(wù)商應(yīng)嚴(yán)格保護(hù)云計(jì)算平臺(tái)的客戶(hù)數(shù)據(jù)，在允許人員、進(jìn)程、設(shè)備訪(fǎng)問(wèn)云計(jì)算平臺(tái)之前，應(yīng)對(duì)其進(jìn)行身份標(biāo)識(shí)及鑒別，并限制其可執(zhí)行的操作和使用的功能。云服務(wù)商應(yīng)對(duì)云計(jì)算平臺(tái)進(jìn)行配置管理，設(shè)置和實(shí)現(xiàn)云計(jì)算平臺(tái)中各類(lèi)產(chǎn)品的安全配置參數(shù)。

 

3.3 維護(hù)及應(yīng)急響應(yīng)與災(zāi)備

 

云服務(wù)商應(yīng)維護(hù)好云計(jì)算平臺(tái)設(shè)施和軟件系統(tǒng)，并對(duì)維護(hù)所使用的工具、技術(shù)、機(jī)制以及維護(hù)人員進(jìn)行有效的控制，且做好相關(guān)記錄。云服務(wù)商應(yīng)為云計(jì)算平臺(tái)制定應(yīng)急響應(yīng)計(jì)劃，并定期演練，確保在緊急情況下重要信息資源的可用性。

 

3.4 審計(jì)及風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控

 

云服務(wù)商應(yīng)根據(jù)安全需求和客戶(hù)要求，制定可審計(jì)事件清單，明確審計(jì)記錄內(nèi)容，實(shí)施審計(jì)并妥善保存審計(jì)記錄，對(duì)審計(jì)記錄進(jìn)行定期分析和審查。云服務(wù)商應(yīng)定期或在威脅環(huán)境發(fā)生變化時(shí)，對(duì)云計(jì)算平臺(tái)進(jìn)行風(fēng)險(xiǎn)評(píng)估，確保云計(jì)算平臺(tái)的安全風(fēng)險(xiǎn)處于可接受水平。云服務(wù)商應(yīng)制定監(jiān)控目標(biāo)清單，對(duì)目標(biāo)進(jìn)行持續(xù)安全監(jiān)控，并在發(fā)生異常和非授權(quán)情況時(shí)發(fā)出警報(bào)。

 

3.5 安全組織與人員及物理與環(huán)境保護(hù)

 

云服務(wù)商應(yīng)確保能夠接觸客戶(hù)信息或業(yè)務(wù)的各類(lèi)人員上崗時(shí)具備履行其安全責(zé)任的素質(zhì)和能力，還應(yīng)在授予相關(guān)人員訪(fǎng)問(wèn)權(quán)限之前對(duì)其進(jìn)行審查并定期復(fù)查。云服務(wù)商應(yīng)確保機(jī)房位于中國(guó)境內(nèi)、機(jī)房選址、設(shè)計(jì)、供電、消防、溫濕度控制等符合相關(guān)標(biāo)準(zhǔn)的要求，云服務(wù)商應(yīng)對(duì)機(jī)房進(jìn)行監(jiān)控。

 

4 結(jié)語(yǔ)

 

本文通過(guò)云計(jì)算服務(wù)中信息安全管理存在的風(fēng)險(xiǎn)、云計(jì)算服務(wù)信息安全管理及技術(shù)能力等方面進(jìn)行闡述，提出了云計(jì)算服務(wù)信息安全管理的具體措施及技術(shù)能力的具體要求，從管理及技術(shù)方面確保云計(jì)算服務(wù)的信息安全，保障云計(jì)算服務(wù)安全。

第6篇：審計(jì)信息安全管理范文

關(guān)鍵詞：信息安全；需求；分析

中圖分類(lèi)號(hào)：TP309.2文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044(2008)36-2844-02

The Requirement of Information Security the Analysis for An Enterprise of Fujian

CHEN Rong-sheng, GUO Yong, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: For information on the degree of rising-to-business information security threats are increasing, according to the standards of information security framework for an enterprise's information security status of the analysis, come to conclusions, and the enterprise in the information security requirement.

Key words: information security; requirement; analysis

1 引言

隨著信息化程度的不斷提高和互聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展，新的信息安全風(fēng)險(xiǎn)也隨之不斷暴露出來(lái)。原先由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī)，引起大范圍的癱瘓和損失。根據(jù)CNCERT 統(tǒng)計(jì)報(bào)告指出，2007年接受網(wǎng)絡(luò)安全事件報(bào)告同比2006年增長(zhǎng)近3倍，目前我國(guó)大陸地區(qū)約1500多萬(wàn)個(gè)IP 地址被植入木馬程序，位居全球第二位（其中福建省占10%，居全國(guó)第三位）；有28477個(gè)網(wǎng)站被篡改（其中政府網(wǎng)站占16%）；網(wǎng)站仿冒事件占居全球第二位；拒絕服務(wù)攻擊事件頻繁發(fā)生。

針對(duì)于次，為福建企業(yè)制定一個(gè)統(tǒng)一、規(guī)范的信息安全體系結(jié)構(gòu)是迫在眉睫的。本文根據(jù)福建企業(yè)特點(diǎn)，參照國(guó)內(nèi)外有的規(guī)范和理論體系，制定了企業(yè)信息安全需求調(diào)研計(jì)劃，并對(duì)調(diào)研結(jié)果進(jìn)行分析，為進(jìn)一步制定信息安全體系結(jié)構(gòu)和具體實(shí)施建議奠定堅(jiān)實(shí)基礎(chǔ)。整個(gè)分析報(bào)告按照?qǐng)D1的步驟形成。

2 分析報(bào)告指導(dǎo)理論模型框架

2.1 總體指導(dǎo)模型

一個(gè)完整的信息安全體系由組織體系、技術(shù)體系和管理體系組成，如圖2所示。

其中，組織體系是有關(guān)信息安全工作部門(mén)集合，這些部門(mén)負(fù)責(zé)信息安全技術(shù)和管理資源的整合和使用；技術(shù)體系則是從技術(shù)的角度考察安全，通過(guò)綜合集成方式而形成的技術(shù)集合，技術(shù)體系包含內(nèi)容有安全防護(hù)、安全檢測(cè)、安全審計(jì)、應(yīng)急響應(yīng)恢復(fù)、密碼、物理安全、安全機(jī)制與安全服務(wù)等；管理體系則是根據(jù)具體信息系統(tǒng)的環(huán)境，而采取管理方法和管理措施的集合，管理體系涉及到的主要內(nèi)容管理制度、管理規(guī)范、教育培訓(xùn)、管理流程等。

2.2 ISO/IEC 15408 標(biāo)準(zhǔn)

圖1 分析報(bào)告形成流程

圖2 信息安全體系結(jié)構(gòu)

圖3 GB/T18336 標(biāo)準(zhǔn)要素關(guān)系

信息技術(shù)安全性評(píng)估通用準(zhǔn)則ISO15408已被頒布為國(guó)家標(biāo)準(zhǔn)GB/T18336，簡(jiǎn)稱(chēng)通用準(zhǔn)則（CC），它是評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則。該標(biāo)準(zhǔn)提供關(guān)于信息資產(chǎn)的安全分析框架，其中安全分析涉及到資產(chǎn)、威脅、脆弱性、安全措施、風(fēng)險(xiǎn)等各個(gè)要素，各要素之間相互作用，如圖3所示。資產(chǎn)因?yàn)槠鋬r(jià)值而受到威脅，威脅者利用資產(chǎn)的脆弱性構(gòu)成威脅。安全措施則是對(duì)資產(chǎn)進(jìn)行保護(hù)，修補(bǔ)資產(chǎn)的脆弱性，從而可降低資產(chǎn)的風(fēng)險(xiǎn)。

3 分析報(bào)告素材獲取

作為分析報(bào)告，必須要有真實(shí)的分析素材才能得出可靠的分析結(jié)論。我們?cè)谒夭墨@取方法、獲取內(nèi)容、獲取對(duì)象和最后素材整理上都有具體規(guī)范。

3.1 獲取方法

在素材獲取方法上，采取安全訪(fǎng)談、調(diào)查問(wèn)卷、文檔資料收集等3種工作方法來(lái)獲取信息安全需求。

3.2 獲取對(duì)象與內(nèi)容

素材獲取對(duì)象為兩種類(lèi)型，分別為部門(mén)領(lǐng)導(dǎo)和普通員工。其中：部門(mén)領(lǐng)導(dǎo)主要側(cè)重于信息安全管理、崗位、流程、資產(chǎn)和培訓(xùn)方面的信息獲取；普通員工主要側(cè)重于信息安全崗位責(zé)任、操作習(xí)慣和安全配置與管理方面的信息獲取。

素材獲取內(nèi)容分三個(gè)方面：一是管理調(diào)研；二是業(yè)務(wù)；三是的IT技術(shù)調(diào)研。素材獲取內(nèi)容安排有五種類(lèi)型，其中：管理類(lèi)2種，分別為高層管理訪(fǎng)談和中層部門(mén)領(lǐng)導(dǎo)訪(fǎng)談；技術(shù)類(lèi)2種，分別為網(wǎng)絡(luò)安全訪(fǎng)談和主機(jī)及數(shù)據(jù)庫(kù)信息安全訪(fǎng)談；業(yè)務(wù)類(lèi)1種，為業(yè)務(wù)及應(yīng)用系統(tǒng)安全訪(fǎng)談。

最后的素材資料整理分為管理和技術(shù)兩大類(lèi)資料。

4 目前信息安全現(xiàn)狀的分析

4.1 組織現(xiàn)狀分析

通過(guò)對(duì)最后資料的分析看出，目前有一些企業(yè)對(duì)信息安全的管理還是十分重視的，很多成立了自己的安全小組，安全小組也定義了各個(gè)崗位，并明確了職責(zé)。安全小組目前的還存在著幾點(diǎn)不足的地方：

1）安全小組的人員大部分是兼職工作，安全工作往往和本職工作之間存在的工作上時(shí)間沖突問(wèn)題；2）安全小組的側(cè)重于生產(chǎn)安全，信息安全的工作內(nèi)容不夠突出，信息安全的專(zhuān)業(yè)性不夠強(qiáng)；3）信息的安全的監(jiān)督機(jī)制有，并有一些安全考核的指標(biāo)，較難執(zhí)行，執(zhí)行力不夠；4）信息安全的人事培訓(xùn)管理已經(jīng)作得比較好，可以增加信息安全方面專(zhuān)家的培訓(xùn)內(nèi)容，更好的提高每個(gè)員工的信息安全意識(shí)。

4.2 信息安全管理現(xiàn)狀

目前，許多已經(jīng)有IT支持能力的企業(yè)在信息安全管理方面還有以下地方可以完善：對(duì)信息安全策略定義可以進(jìn)一步完善；控制方式比較分散，不夠統(tǒng)一；制度上可進(jìn)一步細(xì)化，增強(qiáng)可操作性；在項(xiàng)目的安全管理上還有很多可以完善的地方；增加人力投入，加強(qiáng)安全管控。

4.3 信息安全技術(shù)現(xiàn)狀

通過(guò)對(duì)最后技術(shù)資料的分析，得知以下信息安全基本情況：

1）主機(jī)的安全運(yùn)行有專(zhuān)門(mén)的技術(shù)人員支持和維護(hù)，建立了比較全面的安全操作規(guī)范，具備應(yīng)對(duì)突發(fā)事件的能力，能夠比較好的保障主機(jī)系統(tǒng)工作的連續(xù)性和完整性；2）主機(jī)系統(tǒng)的安全管理主要涉及到服務(wù)器硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用服務(wù)系統(tǒng)等內(nèi)容，密鑰管理手段不科學(xué)，主機(jī)系統(tǒng)的日志缺乏定期的安全分析，主機(jī)的安全風(fēng)險(xiǎn)依賴(lài)于管理者的安全配置，缺少安全管理工具和安全監(jiān)測(cè)措施；3）主機(jī)安全人員配備上沒(méi)有專(zhuān)職的系統(tǒng)安全管理員，一個(gè)人需要管理多臺(tái)主機(jī)設(shè)備，主要靠人工監(jiān)視主機(jī)系統(tǒng)的運(yùn)作管理；4）用戶(hù)安全管理方面，口令管理手段不科學(xué)；5）主機(jī)漏洞修補(bǔ)方面不及時(shí)，已知漏洞不能完全堵上；6）主機(jī)系統(tǒng)的安全管理手段主要依賴(lài)系統(tǒng)自身提供的安全措施；7）主機(jī)系統(tǒng)的日志沒(méi)有無(wú)遠(yuǎn)程備份日志服務(wù)器；8）主機(jī)設(shè)備類(lèi)型多，監(jiān)測(cè)和管理手段依靠人工方式，沒(méi)有自動(dòng)工具；9）系統(tǒng)人員管理一般從遠(yuǎn)程管理主機(jī)，沒(méi)有全部采取遠(yuǎn)程安全措施；10）部門(mén)分工按職能劃分，未按系統(tǒng)劃分。

5 分析結(jié)論：信息安全需求

基于以上分析，得出了以下結(jié)論，主要分為信息安全整體需求和集體歸納。

5.1 信息安全整體需求

大部分的企業(yè)沒(méi)有建立起完善的信息安全組織、管理團(tuán)隊(duì)，技術(shù)方面欠缺。從總體上考慮，信息安全管理需要解決以下問(wèn)題：

1）企業(yè)內(nèi)部的信息安全組織結(jié)構(gòu)的協(xié)調(diào)一致性；2）技術(shù)和管理方法的發(fā)展均衡性；3）公司內(nèi)部的業(yè)務(wù)發(fā)展急迫性與信息安全建設(shè)周期性之間的矛盾；4）員工之間對(duì)信息安全認(rèn)知的差異性；5）與第三方機(jī)構(gòu)（供應(yīng)商、服務(wù)商、應(yīng)用開(kāi)發(fā)商）之間的信息安全管理關(guān)系。

5.2 信息安全需求的集體歸納

5.2.1 信息安全組織與管理

根據(jù)上述對(duì)信息安全組織和管理現(xiàn)狀的分析，安全組織與管理總體需求可以歸納為：在組織方面，建立打造一支具有專(zhuān)業(yè)水準(zhǔn)和過(guò)硬本領(lǐng)的信息安全隊(duì)伍；在管理方面建立相應(yīng)的信息安全管理措施。

5.2.2 網(wǎng)絡(luò)安全需求

網(wǎng)絡(luò)安全，其目標(biāo)是網(wǎng)絡(luò)的機(jī)密性、可用性、完整性和可控制性，不致因網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)通信協(xié)議、網(wǎng)絡(luò)管理受到人為和自然因素的危害，而導(dǎo)致網(wǎng)絡(luò)傳輸信息丟失、泄露或破壞。集體為：

1）集中統(tǒng)一的網(wǎng)絡(luò)接入認(rèn)證、授權(quán)、審計(jì)安全技術(shù)；2）集中統(tǒng)一的網(wǎng)絡(luò)安全狀態(tài)監(jiān)測(cè)技術(shù)；3）針對(duì)通訊網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)開(kāi)發(fā)安全檢查工具集，包括網(wǎng)絡(luò)安全策略執(zhí)行檢查、網(wǎng)絡(luò)漏洞掃描、網(wǎng)絡(luò)滲透測(cè)試等；4）能夠支持網(wǎng)絡(luò)的安全綜合管理平臺(tái)，能夠支持網(wǎng)絡(luò)用戶(hù)安全管理。

5.2.3 主機(jī)系統(tǒng)安全需求

主機(jī)系統(tǒng)的安全需求歸納如下：

1）諸多主機(jī)的集中認(rèn)證、授權(quán)、審計(jì)安全管理技術(shù)；2）針對(duì)主機(jī)系統(tǒng)的安全狀態(tài)監(jiān)測(cè)技術(shù)；3）針對(duì)主機(jī)系統(tǒng)的安全檢查工具包；4）能夠支持主機(jī)的安全綜合管理平臺(tái)。

5.2.4 數(shù)據(jù)安全需求

數(shù)據(jù)安全，是指包括數(shù)據(jù)生成、數(shù)據(jù)處理、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)利用、數(shù)據(jù)銷(xiāo)毀等過(guò)程的安全。其目標(biāo)是保證數(shù)據(jù)的保密性、可用性、完整性、可控制性，確保不因數(shù)據(jù)操作、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)傳輸、管理等因素受到人為的或自然因素的危害而引起數(shù)據(jù)丟失、泄露或破壞。具體需求要求如下：

1）需要建立一個(gè)支持認(rèn)證、授權(quán)、審計(jì)、安全等功能的數(shù)據(jù)生命周期管理機(jī)制；2）需要建立一套數(shù)據(jù)攻擊防范系統(tǒng)，包括非法行為監(jiān)控、威脅報(bào)警、數(shù)據(jù)垃圾過(guò)濾等；3）需要建立一套數(shù)據(jù)容災(zāi)系統(tǒng)，能夠提供數(shù)據(jù)應(yīng)急響應(yīng)、防止失竊、損毀和發(fā)霉變質(zhì)。

5.2.5 應(yīng)用系統(tǒng)安全需求

應(yīng)用系統(tǒng)安全，是指包括需求調(diào)查、系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、維護(hù)中所涉及到的安全問(wèn)題。其目標(biāo)是應(yīng)用信息系統(tǒng)的保密性、可用性、完整性、可控制性，不致因需求調(diào)查、系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、維護(hù)過(guò)程受到人為和自然因素的危害，從而導(dǎo)致應(yīng)用信息系統(tǒng)數(shù)據(jù)丟失、泄露或破壞。應(yīng)用方面的安全需求歸納如下：

1）需要建立一套關(guān)于應(yīng)用系統(tǒng)分類(lèi)、應(yīng)用系統(tǒng)安全接口、應(yīng)用系統(tǒng)操作流程等方面的應(yīng)用系統(tǒng)管理規(guī)范；2）需要建立一套獨(dú)立的應(yīng)用系統(tǒng)安全測(cè)試環(huán)境，滿(mǎn)足應(yīng)用系統(tǒng)上線(xiàn)前能夠得到充分的安全測(cè)試；3）需要建立一個(gè)基于角色認(rèn)證、授權(quán)、審計(jì)的授權(quán)管理系統(tǒng)，能夠支持按員工的工作崗位授權(quán)管理，能夠支持事后責(zé)任追查的法律依據(jù)；4）需要建立一個(gè)統(tǒng)一集中的應(yīng)用系統(tǒng)監(jiān)控管理平臺(tái)，能夠支持檢測(cè)到異常的操作。

6 結(jié)束語(yǔ)

文章通過(guò)對(duì)福建某企業(yè)的信息安全現(xiàn)狀進(jìn)行相關(guān)素材獲取，依照信息安全體系相關(guān)標(biāo)準(zhǔn)對(duì)整理后資料進(jìn)行分析，得出了該企業(yè)的信息安全現(xiàn)狀的評(píng)估結(jié)論，并提出了此類(lèi)企業(yè)在信息安全體系建設(shè)上的需求分析。本文的結(jié)論，對(duì)此類(lèi)企業(yè)的信息安全體系建設(shè)有一定的參考意義。

參考文獻(xiàn)：

[1] 張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京:科學(xué)出版社,2003.

[2] Christopher Alberts, Audrey Dorofee. Managing Information Security Risks. Pearson Education, Inc. 2003:10,80~82.

[3] 董良喜,王嘉禎,康廣.計(jì)算機(jī)網(wǎng)絡(luò)威脅發(fā)生可能性評(píng)價(jià)指標(biāo)研究[J]. 計(jì)算機(jī)工程與應(yīng)用，2004,40(26):143~148.

第7篇：審計(jì)信息安全管理范文

針對(duì)近年來(lái)頻繁發(fā)生的網(wǎng)絡(luò)犯罪事件，許多學(xué)者以及相關(guān)認(rèn)識(shí)開(kāi)始不斷研究與應(yīng)用更多的安全防護(hù)技術(shù)，其中較為常見(jiàn)的技術(shù)包括防火墻、入侵檢測(cè)、數(shù)據(jù)加密以及VPN等技術(shù)。其中在防火墻技術(shù)方面，其主要通過(guò)安全網(wǎng)關(guān)的構(gòu)建對(duì)外部網(wǎng)絡(luò)攻擊行為進(jìn)行攔截，并有效監(jiān)控網(wǎng)絡(luò)運(yùn)行的整體情況，是保證網(wǎng)絡(luò)信息安全的重要措施。但其在應(yīng)用中對(duì)病毒或黑客入侵的阻止并非萬(wàn)能，需同其他防護(hù)措施共同配合。在入侵檢測(cè)技術(shù)方面，其作用在于利用相關(guān)硬件軟件實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)流，若發(fā)現(xiàn)入侵?jǐn)?shù)據(jù)可能對(duì)網(wǎng)絡(luò)安全造成威脅將采取相應(yīng)的反應(yīng)動(dòng)作如禁止啟動(dòng)或切斷網(wǎng)絡(luò)等。在數(shù)據(jù)加密方面，主要對(duì)傳輸與存儲(chǔ)的數(shù)據(jù)進(jìn)行加密，常用到加密鑰匙的方式實(shí)現(xiàn)防止數(shù)據(jù)外泄與竊取的目標(biāo)。另外在VPN技術(shù)應(yīng)用方面，其結(jié)合訪(fǎng)問(wèn)控制與加密措施，保證數(shù)據(jù)僅在可信公共信道中進(jìn)行傳輸。綜合來(lái)看，網(wǎng)絡(luò)信息的安全很難通過(guò)其中一種技術(shù)手段實(shí)現(xiàn)，即使現(xiàn)階段比較前沿的如PKI關(guān)鍵技術(shù)或防毒墻等，應(yīng)用中都需配有其他輔技術(shù)，因此需構(gòu)建更為有效的安全管理體系勢(shì)在必行。

2網(wǎng)絡(luò)信息安全存在的主要風(fēng)險(xiǎn)問(wèn)題

現(xiàn)階段網(wǎng)絡(luò)信息安全的主要風(fēng)險(xiǎn)可具體細(xì)化為：①?gòu)木W(wǎng)絡(luò)層面。包括傳輸數(shù)據(jù)時(shí)存在的被篡改或竊取情況、網(wǎng)絡(luò)邊界方面的風(fēng)險(xiǎn)、過(guò)于單一的入侵檢測(cè)手段以及審計(jì)系統(tǒng)的設(shè)計(jì)不完善等。②從系統(tǒng)層面。大多操作系統(tǒng)以及軟件程序等本身在設(shè)計(jì)過(guò)程中便存在較多漏洞，若在使用中忽視對(duì)其進(jìn)行定期更新與漏洞修復(fù)，很容易使系統(tǒng)安全受到木馬病毒威脅。③從應(yīng)用層面。其存在的信息安全問(wèn)題主要體現(xiàn)在用戶(hù)進(jìn)行業(yè)務(wù)信息提交過(guò)程中可能被竊聽(tīng)或篡改、內(nèi)網(wǎng)與外網(wǎng)交互使用為不法分子創(chuàng)造入侵條件等方面。④從管理層面。許多機(jī)關(guān)單位在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理制度方面缺乏一定的實(shí)效性，且存在設(shè)備通用、內(nèi)外網(wǎng)混用等問(wèn)題，許多如外部訪(fǎng)問(wèn)或訪(fǎng)問(wèn)權(quán)限等方面的設(shè)計(jì)并不嚴(yán)格，不利于網(wǎng)絡(luò)信息安全性的提高。⑤從人員角度。網(wǎng)絡(luò)安全得以保障關(guān)鍵在于相關(guān)人員是否具備相關(guān)的網(wǎng)絡(luò)安全技術(shù)與安全技術(shù)，無(wú)論安全意識(shí)的缺失或技術(shù)能力不足都可能帶來(lái)一定的安全風(fēng)險(xiǎn)。

3管理體系的具體構(gòu)建思路

針對(duì)現(xiàn)行網(wǎng)絡(luò)信息安全的相關(guān)防護(hù)技術(shù)與實(shí)際存在的安全威脅問(wèn)題，在構(gòu)建安全管理體系過(guò)程中主要可從兩方面進(jìn)行，包括技術(shù)應(yīng)用與網(wǎng)絡(luò)安全管理兩方面，只有保證對(duì)二者采取相應(yīng)的防御戰(zhàn)略才可實(shí)現(xiàn)信息安全保障的目標(biāo)。

（1）安全技術(shù)的應(yīng)用

對(duì)于現(xiàn)行技術(shù)層面中存在的安全風(fēng)險(xiǎn)問(wèn)題，除前文中提及的防火墻與入侵檢測(cè)技術(shù)外，還需在系統(tǒng)設(shè)計(jì)中采取以下幾方面技術(shù)策略：①注重聯(lián)動(dòng)方式與具體配置。在將防火墻與入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)聯(lián)動(dòng)的基礎(chǔ)上，還需保證防火墻與IDS進(jìn)行聯(lián)動(dòng)，這樣可相互配合對(duì)攻擊行為進(jìn)行阻斷，但需注意IDS控制臺(tái)應(yīng)在網(wǎng)中進(jìn)行部署，或在其他區(qū)域SOC區(qū)中設(shè)置。②引入防病毒系統(tǒng)。對(duì)于現(xiàn)行多樣化的病毒形式很難利用簡(jiǎn)單的病毒軟件消除病毒，應(yīng)在防毒系統(tǒng)應(yīng)用中保證其不會(huì)占用過(guò)多的系統(tǒng)資源，且對(duì)核心服務(wù)器具有極強(qiáng)的防毒能力，如現(xiàn)階段常用的OfficeScan，在防治病毒方面具有良好的效果。③審計(jì)系統(tǒng)的完善。在系統(tǒng)內(nèi)部網(wǎng)絡(luò)中應(yīng)進(jìn)行安全審計(jì)系統(tǒng)的設(shè)計(jì)，保證其能夠?qū)ο嚓P(guān)的網(wǎng)絡(luò)行為、設(shè)備運(yùn)行狀態(tài)進(jìn)行綜合審計(jì)，及時(shí)找出存在的隱患。另外，設(shè)計(jì)過(guò)程中還可引入其他方面的技術(shù)措施如漏洞掃描、過(guò)濾網(wǎng)關(guān)或終端系統(tǒng)等方面，對(duì)網(wǎng)絡(luò)信息安全性的提高可起到重要作用。

（2）網(wǎng)絡(luò)安全管理工作

管權(quán)管理體系構(gòu)建中除考慮引入相應(yīng)的技術(shù)防護(hù)措施外，還需注重網(wǎng)絡(luò)信息管理水平的提高。注重相關(guān)人員網(wǎng)絡(luò)技術(shù)水平以及安全意識(shí)的提高，可通過(guò)相關(guān)的培訓(xùn)工作使人員正確認(rèn)識(shí)木馬病毒、網(wǎng)絡(luò)攻擊行為等。同時(shí)在安全管理制度方面應(yīng)不斷完善，如機(jī)房管理制度、操作管理制度以及技術(shù)保障制度等，以此確保應(yīng)對(duì)風(fēng)險(xiǎn)的能力得以增強(qiáng)。

4結(jié)論

第8篇：審計(jì)信息安全管理范文

一、AMIS和OAS的應(yīng)用成效

隨著審計(jì)系統(tǒng)的升級(jí)、優(yōu)化以及審計(jì)人員越來(lái)越熟練地掌握和運(yùn)用，AMIS和OAS兩大信息系統(tǒng)已經(jīng)成為審計(jì)人員必備的審計(jì)工具，被廣泛應(yīng)用于審計(jì)各個(gè)環(huán)節(jié)和各類(lèi)項(xiàng)目之中，取得可觀(guān)的成效。1．AMIS發(fā)揮的功效。一是提高審計(jì)工作效率。作為審計(jì)信息的管理工具，AMIS對(duì)信息的采集、分析、記錄和存儲(chǔ)有利于提高審計(jì)業(yè)務(wù)的整體效率和管理水平，節(jié)約人力和財(cái)務(wù)成本，促進(jìn)審計(jì)工作更加高效。二是規(guī)范審計(jì)操作流程。AMIS對(duì)審計(jì)項(xiàng)目操作流程規(guī)范化提出了剛性要求，要求審計(jì)項(xiàng)目的管理和實(shí)施必須遵從系統(tǒng)的既定流程和規(guī)則，而不能主觀(guān)隨意地操作，規(guī)避了審計(jì)風(fēng)險(xiǎn)。三是促進(jìn)審計(jì)跟蹤成效。通過(guò)篩查AMIS存儲(chǔ)的以往審計(jì)發(fā)現(xiàn)，跟蹤審計(jì)事項(xiàng)，督促被審計(jì)單位及時(shí)整改，并對(duì)整改的真實(shí)性、持續(xù)性和系統(tǒng)性做出評(píng)價(jià)，更好地發(fā)揮審計(jì)的職能作用。四是成為審計(jì)人員的良師益友。由于AMIS涵蓋了審計(jì)人員需要的大部分知識(shí)和信息，且操作方法簡(jiǎn)便，其中的知識(shí)庫(kù)子系統(tǒng)已成為審計(jì)人員的知識(shí)寶庫(kù)，是學(xué)習(xí)和實(shí)施審計(jì)項(xiàng)目的典籍，在審計(jì)條線(xiàn)得到廣泛使用和認(rèn)可。2．OAS取得的效果。一是實(shí)現(xiàn)業(yè)務(wù)全面檢查和常態(tài)化監(jiān)測(cè)。由OAS獲得較全面的業(yè)務(wù)數(shù)據(jù)，通過(guò)統(tǒng)計(jì)分析，對(duì)經(jīng)營(yíng)管理的整體情況進(jìn)行全面的評(píng)價(jià)；同時(shí)，OAS定期加載被審計(jì)單位的交易數(shù)據(jù)，依據(jù)動(dòng)態(tài)信息，實(shí)行常態(tài)化審計(jì)監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)、揭示關(guān)鍵控制環(huán)節(jié)的風(fēng)險(xiǎn)苗頭和經(jīng)營(yíng)管理中存在的問(wèn)題，為管理層預(yù)警信號(hào)、提供決策支持，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的防預(yù)性控制，提高審計(jì)的時(shí)效性，充分體現(xiàn)審計(jì)的價(jià)值。二是增強(qiáng)審計(jì)抽樣的科學(xué)性。審計(jì)抽樣是審計(jì)活動(dòng)的重要環(huán)節(jié)，通過(guò)樣本推斷總體，進(jìn)而判斷出總體情況，樣本質(zhì)量的高低及其代表性的強(qiáng)弱，對(duì)審計(jì)結(jié)論的合理性和可靠性、審計(jì)目標(biāo)的實(shí)現(xiàn)尤為重要。OAS具有強(qiáng)大的審計(jì)抽樣功能，統(tǒng)一抽樣標(biāo)準(zhǔn)和樣本規(guī)模，有效避免人為偏差，大大提高審計(jì)樣本的質(zhì)量和審計(jì)查證的準(zhǔn)確度。三是形成資源共享。內(nèi)部審計(jì)機(jī)構(gòu)秉承為建設(shè)銀行經(jīng)營(yíng)發(fā)展保駕護(hù)航的審計(jì)理念，對(duì)駐地的一級(jí)分行開(kāi)放使用OAS，實(shí)現(xiàn)了資源的共享。近年來(lái)，已對(duì)主要的條線(xiàn)管理部門(mén)開(kāi)放了OAS的外部用戶(hù)使用權(quán)限，并且對(duì)業(yè)務(wù)部門(mén)直接提出的數(shù)據(jù)需求，及時(shí)給予支持和滿(mǎn)足，取得了一定的成效，得到駐地分行的肯定。

二、建設(shè)銀行內(nèi)部審計(jì)信息系統(tǒng)存在的問(wèn)題

（一）AMIS存在的主要問(wèn)題

自AMIS上線(xiàn)以來(lái)，雖然幾經(jīng)優(yōu)化和改進(jìn)，不斷增強(qiáng)其應(yīng)用性能，但是隨著審計(jì)工作精細(xì)化管理要求的不斷提升，該系統(tǒng)的部分應(yīng)用功能仍有優(yōu)化和拓展的空間。其主要問(wèn)題表現(xiàn)為：一是檢索功能有待提高。AMIS未采用智能搜索引擎技術(shù)，雖設(shè)置了高級(jí)搜索，但需要準(zhǔn)確地輸入“關(guān)鍵字”，查詢(xún)效率低，影響了使用效率。二是審計(jì)發(fā)現(xiàn)的歸納整理有待細(xì)化。以往審計(jì)發(fā)現(xiàn)的問(wèn)題未進(jìn)行細(xì)致的整理，尤其針對(duì)屢查屢犯的問(wèn)題未加以梳理和歸納，影響了審計(jì)成果的充分利用和深入研究，不利于跟蹤審計(jì)的深度開(kāi)展。三是經(jīng)濟(jì)責(zé)任審計(jì)資料庫(kù)建設(shè)尚未納入子模塊。經(jīng)濟(jì)責(zé)任審計(jì)已成為內(nèi)部審計(jì)一項(xiàng)重要的業(yè)務(wù)內(nèi)容，而且受到企業(yè)高管層及外部監(jiān)管機(jī)構(gòu)的高度重視，審計(jì)流程建設(shè)快速，投入的資源較充足。建設(shè)銀行各審計(jì)機(jī)構(gòu)雖采取一定的技術(shù)方法，定期地搜集、存儲(chǔ)了大量的文字和數(shù)據(jù)資料，但尚未將其納入AMIS之中，不便于對(duì)資源的挖掘和利用。

（二）OAS凸現(xiàn)的主要問(wèn)題

在內(nèi)部審計(jì)充分應(yīng)用OAS的同時(shí)，隨著審計(jì)要求的不斷提高，逐漸凸現(xiàn)系統(tǒng)運(yùn)行效率低、應(yīng)用管理制度不健全等問(wèn)題，具體表現(xiàn)為：一是項(xiàng)目需求與資源有限的供給矛盾突出。審計(jì)項(xiàng)目對(duì)OAS的依賴(lài)程度越來(lái)越高，按審計(jì)計(jì)劃實(shí)施的審計(jì)項(xiàng)目、非項(xiàng)目任務(wù)下發(fā)的模型、為滿(mǎn)足日常非現(xiàn)場(chǎng)系統(tǒng)的使用需求進(jìn)行研究的試運(yùn)行模型等，使服務(wù)器運(yùn)行承載著重負(fù)，進(jìn)而導(dǎo)致模型運(yùn)行時(shí)間相對(duì)集中，即使審計(jì)人員加班加點(diǎn)夜以繼日地完成運(yùn)行任務(wù)，由于多用戶(hù)爭(zhēng)用資源出現(xiàn)的運(yùn)行錯(cuò)誤，難以保證運(yùn)行結(jié)果的正確性。因此，審計(jì)項(xiàng)目需求與服務(wù)器資源供給之間日益突出的矛盾，已經(jīng)成為當(dāng)前非現(xiàn)場(chǎng)服務(wù)器運(yùn)行管理亟待解決的問(wèn)題。二是信息安全制度建設(shè)不健全。OAS的數(shù)據(jù)信息在采集、傳遞、加工、存儲(chǔ)、銷(xiāo)毀等數(shù)據(jù)生命周期過(guò)程中產(chǎn)生的安全風(fēng)險(xiǎn)，需要建立制度予以規(guī)范和防控，但審計(jì)機(jī)構(gòu)尚未全部建立數(shù)據(jù)安全管理制度。同時(shí)，信息安全管理是一項(xiàng)持續(xù)性的體系化工作，如果僅關(guān)注具體信息風(fēng)險(xiǎn)安全控制則很難彌補(bǔ)過(guò)程中的缺陷，還應(yīng)強(qiáng)化信息安全的全流程管理，并根據(jù)風(fēng)險(xiǎn)環(huán)境變化不斷加以完善。三是應(yīng)用能力有待提高。OAS已成為內(nèi)部審計(jì)的重要工具，但是要使用的得心應(yīng)手，能夠靈活地創(chuàng)建審計(jì)模型，還需要具有一定的應(yīng)用技能，如具備計(jì)算機(jī)編程基礎(chǔ)、熟悉各項(xiàng)業(yè)務(wù)流程、解讀文件制度的能力。審計(jì)機(jī)構(gòu)通過(guò)對(duì)信息系統(tǒng)應(yīng)用能力的考評(píng)結(jié)果顯示，那些從事審計(jì)工作時(shí)間較長(zhǎng)、年齡偏大的審計(jì)人員雖業(yè)務(wù)經(jīng)驗(yàn)豐富，但計(jì)算機(jī)編程能力不足；而新招入的年輕審計(jì)人員學(xué)習(xí)能力較強(qiáng)，通過(guò)強(qiáng)化訓(xùn)練能很快達(dá)到技能等級(jí)，但是業(yè)務(wù)經(jīng)驗(yàn)不足。這種現(xiàn)象在各審計(jì)機(jī)構(gòu)普遍存在，影響了審計(jì)質(zhì)量。

三、加強(qiáng)建設(shè)銀行信息系統(tǒng)建設(shè)的對(duì)策

（一）完善AMIS的對(duì)策

在AMIS系統(tǒng)現(xiàn)有結(jié)構(gòu)的基礎(chǔ)上，增強(qiáng)審計(jì)數(shù)據(jù)的維護(hù)和審計(jì)成果的利用，拓展知識(shí)生產(chǎn)、管理和應(yīng)用。優(yōu)化方案的核心內(nèi)容應(yīng)包括：一是引入智能搜索引擎，便于知識(shí)庫(kù)快速檢索。如引用Lucene等技術(shù)，以支持Office文檔、PDF、網(wǎng)頁(yè)文檔等多種格式文檔的搜索。應(yīng)配置高級(jí)搜索功能，支持關(guān)鍵字的邏輯運(yùn)算搜索，能同時(shí)含有兩個(gè)關(guān)鍵字文檔篩選。輸入關(guān)鍵字時(shí)，可以識(shí)別拼音、漢字和聯(lián)想最常用的詞組，并按照搜索頻率的高低排序。搜索結(jié)果應(yīng)能顯示文檔名稱(chēng)、更新日期、部分摘要，查找的關(guān)鍵字在摘要和顯示文檔中以高亮突出。還可配置分類(lèi)搜索功能，支持多維度分類(lèi)方法，包括按文件所有者、文檔類(lèi)型、審計(jì)依據(jù)、審計(jì)成果、最新更新等維度搜索。其中最新更新維度，需按照更新時(shí)間順序排列最近更新的文檔，便于用戶(hù)了解最新知識(shí)狀態(tài)。二是優(yōu)化審計(jì)發(fā)現(xiàn)庫(kù)子模塊功能，促進(jìn)跟蹤審計(jì)。跟蹤審計(jì)已成為檢驗(yàn)審計(jì)成效、提高審計(jì)質(zhì)量的一項(xiàng)重要工作，應(yīng)在審計(jì)發(fā)現(xiàn)庫(kù)中增加對(duì)“整改三性”問(wèn)題的提示功能。按照同類(lèi)問(wèn)題的出現(xiàn)次數(shù)、前后時(shí)間差、營(yíng)業(yè)機(jī)構(gòu)分布等情況進(jìn)行計(jì)算、轉(zhuǎn)換為系統(tǒng)的程序代碼，使系統(tǒng)在接收整改信息時(shí)，能夠自動(dòng)識(shí)別并提示整改真實(shí)性、持續(xù)性和系統(tǒng)性的問(wèn)題，同時(shí)支持相關(guān)信息的查詢(xún)和統(tǒng)計(jì)。三是增設(shè)任期資料庫(kù)，加大信息擴(kuò)載量。將任期資料庫(kù)納入AMIS后臺(tái)系統(tǒng)，增建為一個(gè)三級(jí)模塊，再配置不同級(jí)別的開(kāi)放權(quán)限，便于跨區(qū)域的經(jīng)濟(jì)責(zé)任審計(jì)項(xiàng)目及跟蹤審計(jì)項(xiàng)目的開(kāi)展。四是創(chuàng)建接口，加大知識(shí)信息的獲取力度。采用文檔管理技術(shù)，將原先要由不同系統(tǒng)處理的各類(lèi)文檔集中在一個(gè)平臺(tái)統(tǒng)一管理，實(shí)現(xiàn)文檔的分類(lèi)歸檔、外部特征管理、關(guān)鍵詞管理等。同時(shí)，采用自動(dòng)維護(hù)和手工維護(hù)等多種方式，通過(guò)接口實(shí)現(xiàn)審計(jì)知識(shí)庫(kù)系統(tǒng)與OA、NOTES等相關(guān)信息系統(tǒng)的交互，通過(guò)搜索引擎訪(fǎng)問(wèn)總行企業(yè)網(wǎng)門(mén)戶(hù)、建設(shè)銀行知識(shí)庫(kù)系統(tǒng)、檔案管理系統(tǒng)等自動(dòng)獲取知識(shí)，還能以鏈接訪(fǎng)問(wèn)其他的信息資訊系統(tǒng)，實(shí)時(shí)獲取信息，加大知識(shí)積累。

（二）優(yōu)化OAS的策略

第9篇：審計(jì)信息安全管理范文

【 關(guān)鍵詞 】 高校；科研機(jī)構(gòu)；信息安全；對(duì)策

Discussion on Scientific Research Institution of Universities in

Information Security Management and Measures

Zhang Jian-hua

(President Office, Beijing University of Aeronautics and Astronautics Beijing 100191)

【 Abstract 】 In the light of the information security management problems of scientific research institution of universities, the measures are put forward to enhance the construction of information security level strategy from management and technology two respects.

【 Keywords 】 universities; scientific research institution; information security; measures

1 引言

隨著信息技術(shù)的發(fā)展和信息化應(yīng)用的日趨深入，信息安全建設(shè)及其應(yīng)用正在成為教育科研單位日常教育管理和科研生產(chǎn)不可或缺的一環(huán)。高校等科研單位對(duì)信息安全管理的認(rèn)識(shí)程度越來(lái)越高，研究院等單位的信息系統(tǒng)規(guī)模和水平也在不斷攀升，然而隨著高校各系統(tǒng)建設(shè)程度的不斷完善，以高校為代表的科研機(jī)構(gòu)的信息安全管理問(wèn)題也愈加突出。

2 高校科研機(jī)構(gòu)存在的信息安全管理問(wèn)題

近年來(lái)，高校等科研機(jī)構(gòu)逐步認(rèn)識(shí)到信息安全對(duì)于自身的重要性，于是不少單位成立了“信息管理部門(mén)”來(lái)推行統(tǒng)一的管理規(guī)范和進(jìn)行信息安全知識(shí)普及，其主要目的是為了從安全技術(shù)和管理兩個(gè)方面來(lái)解決高校中科研機(jī)構(gòu)的信息安全問(wèn)題，充分提高機(jī)構(gòu)人員的信息安全管理意識(shí)和保密工作的能力。當(dāng)下，雖然有一些高校的科研單位在信息安全和管理建設(shè)方面已經(jīng)取得了長(zhǎng)足的進(jìn)步，但其科研單位內(nèi)部仍然存在著很多問(wèn)題。

(1)首先，在以往長(zhǎng)期封閉的科研環(huán)境影響下，相關(guān)科研人員目前依然不具備良好的安全意識(shí)，對(duì)于信息安全的認(rèn)識(shí)水平不高。同時(shí)高校等相關(guān)管理部門(mén)較容易忽視信息安全在其科研系統(tǒng)中的發(fā)展戰(zhàn)略和計(jì)劃，這些都間接導(dǎo)致了信息安全管理制度推行力度不夠，實(shí)施安全教育的硬性條件有限。其次，由于學(xué)科建設(shè)和專(zhuān)業(yè)水平所限，也使得國(guó)內(nèi)技術(shù)過(guò)硬的信息安全專(zhuān)業(yè)人才供應(yīng)不足，間接影響了相關(guān)單位的人才儲(chǔ)備水平。

(2)當(dāng)下許多高校等科研單位在信息系統(tǒng)不斷增加的情況下，對(duì)以往基礎(chǔ)設(shè)施配備水平存在著一定的依賴(lài)性，不能夠很好的適應(yīng)新環(huán)境。在信息系統(tǒng)運(yùn)作業(yè)務(wù)的安全風(fēng)險(xiǎn)和意識(shí)提升上，又缺乏有效性驗(yàn)證與評(píng)估辦法。現(xiàn)實(shí)中的任何信息系統(tǒng)都是一連串復(fù)雜的環(huán)節(jié)，信息安全措施必須滲透到信息系統(tǒng)的每一個(gè)部位，其中一些問(wèn)題的解決方案，需要信息系統(tǒng)的設(shè)計(jì)人員、測(cè)試人員和使用人員都熟知并能夠成為規(guī)范來(lái)遵守。

(3)不安全因素對(duì)于信息系統(tǒng)而言總是存在的，沒(méi)有任何一個(gè)信息管理方法能提供絕對(duì)的保障。因此，高校等科研單位在認(rèn)識(shí)和進(jìn)行信息系統(tǒng)安全管理教育的時(shí)候，應(yīng)該著重加強(qiáng)基層人員的信息安全管理實(shí)踐教育，應(yīng)讓相關(guān)人員充分意識(shí)到，雖然信息安全建設(shè)并非意在建設(shè)一個(gè)創(chuàng)收的平臺(tái)，但它是一個(gè)保障科研成果和提升工作效率的平臺(tái)。管理者有必要做出適合科研單位進(jìn)行教育實(shí)施的信息安全教育發(fā)展戰(zhàn)略和計(jì)劃，充分加強(qiáng)信息安全教育在管理實(shí)踐上的投入，嚴(yán)格有效地執(zhí)行相應(yīng)的安全策略、安全措施和安全管理制度，以最大限度避免使用和管理信息系統(tǒng)時(shí)的固有風(fēng)險(xiǎn)。

(4)近年來(lái)，我國(guó)大型科研單位相繼出現(xiàn)過(guò)不同程度的泄密事件，這些事件的直接后果是不僅導(dǎo)致了科研成果的流失，還造成了較大程度的經(jīng)濟(jì)損失和不良的社會(huì)影響。雖然各大信息系統(tǒng)工程和信息化程度要求非常高的相關(guān)行業(yè)，也都出臺(tái)了對(duì)信息安全技術(shù)產(chǎn)品的應(yīng)用標(biāo)準(zhǔn)和規(guī)范，但只有建立一個(gè)嚴(yán)格的信息安全管理策略，才能全面的保障其安全性。

3 解決高校科研機(jī)構(gòu)存在的信息安全的對(duì)策

3.1 技術(shù)層面

在技術(shù)層面上：高校科研管理系統(tǒng)是以計(jì)算機(jī)和數(shù)據(jù)庫(kù)通信網(wǎng)絡(luò)為基礎(chǔ)的應(yīng)用管理系統(tǒng)，是一個(gè)開(kāi)放式的互聯(lián)網(wǎng)絡(luò)系統(tǒng)，與網(wǎng)絡(luò)系統(tǒng)連接的任何終端用戶(hù)都可以進(jìn)人和訪(fǎng)問(wèn)網(wǎng)絡(luò)中的資源。作為信息通訊數(shù)據(jù)平臺(tái)，其所受到的安全威脅主要存在于信息通信傳輸、存儲(chǔ)和加工的各個(gè)階段。因此在制定技術(shù)對(duì)策方面就需要制定統(tǒng)一全面的安全策略，同時(shí)也注重建設(shè)統(tǒng)一認(rèn)證和授權(quán)管理系統(tǒng)，通過(guò)硬件接入設(shè)備和定制化管理軟件的配合部署，加強(qiáng)網(wǎng)絡(luò)層面和應(yīng)用層面的安全資源整合，形成覆蓋全網(wǎng)的科研信息化安全保障能力，并充分利用自主創(chuàng)新的科研信息化安全技術(shù)，不斷增強(qiáng)基礎(chǔ)運(yùn)行平臺(tái)的網(wǎng)絡(luò)安全能力，為科研信息化基礎(chǔ)環(huán)境和應(yīng)用系統(tǒng)提供有力的安全保障。

在保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要應(yīng)用系統(tǒng)的安全方面，一方面需要構(gòu)建身份認(rèn)證管理系統(tǒng)、網(wǎng)絡(luò)安全管理平臺(tái)、惡意代碼防護(hù)系統(tǒng)、安全審計(jì)平臺(tái)等面向全網(wǎng)用戶(hù)的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，實(shí)現(xiàn)實(shí)時(shí)預(yù)警、事件分析、決策支持、資源調(diào)度等功能；另一方面需要建立起包括安全咨詢(xún)、安全規(guī)劃、安全檢測(cè)、安全培訓(xùn)等環(huán)節(jié)在內(nèi)的安全服務(wù)體系，引入除技術(shù)體系和管理體系以外的第三方服務(wù)支持，實(shí)現(xiàn)安全事件的及時(shí)發(fā)現(xiàn)。

3.2 管理和教育層面

在管理和教育層面上：以企業(yè)為參考標(biāo)度，對(duì)高校科研機(jī)構(gòu)工作人員進(jìn)行信息安全意識(shí)以及管理實(shí)踐知識(shí)的普及，將信息安全管理理念提到戰(zhàn)略高度來(lái)看待。充分遵循信息安全流程制定相應(yīng)管理制度，除技術(shù)保障外，將人員、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)和管理規(guī)程的有機(jī)集合充分納入其中。充分認(rèn)識(shí)到信息安全管理實(shí)踐是保障信息實(shí)現(xiàn)有效管理與控制的重要途徑。所在部門(mén)應(yīng)客觀(guān)評(píng)估實(shí)現(xiàn)信息安全管理的需求水平，落實(shí)安全的組織和管理人員，明確每個(gè)人的角色與職責(zé)；制定并開(kāi)發(fā)安全規(guī)劃和策略，定期開(kāi)展培訓(xùn)和工作會(huì)議；實(shí)施風(fēng)險(xiǎn)管理制度，制定業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難環(huán)境下恢復(fù)計(jì)劃；選擇實(shí)施安全措施；保證配置、變更的正確與安全；進(jìn)行安全審計(jì)；保證維護(hù)支持；進(jìn)行監(jiān)控、檢查、處理安全事件。針對(duì)專(zhuān)業(yè)人員的培訓(xùn)和績(jī)效需要有效結(jié)合目標(biāo)管理和信息安全管理兩方面來(lái)展開(kāi)。

3.3 管理政策層面

在整個(gè)管理策略的制定上：建議采用分級(jí)策略，如果高校對(duì)于自身科研信息安全風(fēng)險(xiǎn)水平認(rèn)定為較高，而自身建設(shè)能力有限，則可以考慮與相關(guān)專(zhuān)業(yè)咨詢(xún)機(jī)構(gòu)合作，引入專(zhuān)家機(jī)制來(lái)完成相關(guān)工作，提升建設(shè)效率。

4 結(jié)束語(yǔ)

在國(guó)家大力推行科教興國(guó)與自主創(chuàng)新發(fā)展戰(zhàn)略的今天，信息安全建設(shè)對(duì)于保障科技創(chuàng)新自有成果，確保自主知識(shí)產(chǎn)權(quán)的創(chuàng)造價(jià)值，都有著極其重要的作用。而如何確保其信息安全能夠?qū)崿F(xiàn)自主可控的目標(biāo)，也是以高校為代表的科研機(jī)構(gòu)行使和保障自身合法權(quán)益的重要途徑。因此我們必須綜合多方因素，系統(tǒng)考量，盡可能提供全面的、多方位的信息安全建設(shè)策略和信息安全管理與教育規(guī)范，以切實(shí)滿(mǎn)足高校等科研單位對(duì)信息安全保障體系的需求，降低科研成果的安全風(fēng)險(xiǎn)，發(fā)揮高效的科研效率，保障科研生產(chǎn)的安全順利進(jìn)行。

參考文獻(xiàn)

[1] 張廣欽．信息管理教程[M]．北京：北京大學(xué)出版社，2005.

[2] 徐茂智．信息安全概論[M]．北京：人民郵電出版社，2007.

[3] 彭盛宏.淺析校園網(wǎng)存在的安全隱患及其對(duì)策[J].信息安全與技術(shù)，2012，(1).