網絡安全保障體系建設精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網絡安全保障體系建設主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網絡安全保障體系建設范文

隨著我國檔案信息化建設工作已日漸深入，加強檔案信息安全保障體系的建設尤為重要。檔案信息安全保障體系，簡單來講，就是在檔案信息系統的整個生命周期內，從技術、管理和標準法規等多方面，以積極防御、適度安全和動態保障為安全保護原則，保障檔案信息安全的保密性、完整性、可用性、真實性、可核查性、抗抵賴性和可控性屬性，并保障系統安全的持續性的體系。檔案信息安全保障體系建設，是目前檔案信息化建設中的重要工作，全國上下都高度重視，也在不斷探索有效的構建方法，并加以規范和推廣。但是，在檔案信息安全保障體系建設中還存在一些不容忽視的問題。一是檔案信息化的有關法律、法規和制度不夠健全。目前，我國在檔案信息化建設過程中還沒有專門的法律、法規來對檔案信息化建設進行保護，僅僅依靠通用的計算機法律、法規來維護檔案信息化建設的安全。這對那些刻意攻擊、竊取、毀壞檔案信息的破壞分子來說實在是微不足道，一旦他們得逞，勢必給我國的檔案事業發展造成不可估量的損失。二是檔案信息化網絡建設中信息安全技術應用不夠全面。我國的檔案信息化網絡建設目前處于內網、專網和外網同時使用階段，隨著信息技術的不斷發展，信息競爭、黑客攻擊等人為惡意破壞因素的存在，檔案信息化網絡建設中信息安全技術應用不夠全面，使得檔案信息系統變得非常脆弱，易受來自各方面的攻擊。三是各級檔案部門的安全管理體制不夠完善。有資料表明，大部分的計算機安全保密問題來自其系統內部，世界上70%信息被盜和泄密來自于內部，這主要是因為人員麻痹和安全管理體制不完善所造成的。四是缺乏法律與制度支持。檔案信息化安全保障體系建設并非是一個單純的技術層面的問題，它還涉及到管理、意識和國家法律等各個層面，因此，檔案信息安全其實是一個綜合性的問題，各個環節緊密銜接在一起。使用相關安全產品的同時，應在組織與制度上采用相應措施加以完善。因此，需要從理論上進一步加強研究，切實為檔案信息安全保障體系建設提供堅實的思想保障，進一步健全檔案信息安全保障體系。

二、加強行政執法，為檔案安全保障體系提供法制保障

《檔案法》頒布實施以來，使檔案事業有法可依，并有力地促進了檔案事業的發展。但是，目前的檔案執法還處于初級階段，還存在著一些亟待解決的問題。有的檔案部門領導和工作人員缺乏對依法治檔、依法行政重要性和必要性的認識；一些單位重視業務指導，忽視依法監管，在貫徹實施《檔案法》過程中，還帶有主觀片面性和隨意性，未獲得人們所期望達到的效果。這就要求檔案行政管理部門進一步建立健全檔案執法監督制度，強化執法監督職能。一要從思想上入手，鞏固提高依法治檔、依法行政觀念。檔案行政管理部門是代表各級政府主管本地檔案事業的部門，也是《檔案法》所確定的檔案行政執法主體和監督機構，這也使得管理檔案事業有了法律的保障。我們的各級檔案工作者特別是領導干部首先要帶頭認真學習檔案法律、法規，做到知法、懂法、守法，并嚴格執法，帶頭依法辦事、依法行政。《檔案法》和《檔案法實施辦法》規定了檔案部門是行政執法部門，要履行法律法規賦予檔案部門的這一職能，應強化執法意識。二要從立法入手，完善檔案法規體系。在建立社會主義市場經濟體制過程中，真正做到執法機構依法行政，全體公民自覺守法，尚有待于法律體系的不斷完善，而檔案執法監督必須有完善的監督法律體系作為依據，健全完善操作性強的法律規章和相關監督條例，強化制約功能，是亟待解決的重要任務，各級地方人大、政府應依照《檔案法》結合本地區實際，制定出配套性、實用性、可操作性較強的法規、規章文件，依法明確檔案執法監督的形式、程序和手段，從而能夠實行科學、合理、有效的監督，確保檔案工作方針和法律法規的得以貫徹實施。三要從規范檔案行政執法入手，加強檔案監督制約機制的建設。在加強內部監督制約機制上，將檔案工作列入本單位的目標管理責任制中，考核指標主要由貫徹《檔案法》、檔案業務等方面組成，定期對檔案工作進行檢查，以引起部門的高度重視，加大對檔案依法管理工作的監督力度，確保機關檔案的安全性；在加強外部監督制約機制上，與外部檔案行政執法檢查部門加強聯系，通過行政執法部門對檔案工作的指導和專業性的檢查，對不規范或不符合要求的地方及時進行整改，以促進機關檔案工作依法管理。通過外部監督，強化機關檔案工作的法制建設。

三、加強制度建設，為檔案安全保障體系提供機制保障

1.建立組織保障體系。檔案安全保障體系建設需要有人來計劃、設計和管理，任何系統安全設施也不能完全由計算機系統獨立承擔系統安全保障的任務。一方面，各級檔案部門領導要高度重視，并積極實施有關檔案系統安全方面的各項措施；另一方面，讓工作人員和用戶對網絡安全性要有深入地了解，使他們積極地自覺地遵守各項信息系統安全制度和措施，防患于未然，就能降低檔案網絡信息系統的安全風險。檔案信息以及檔案工作者頭腦中的包括直覺知識、閱歷、情感等進行綜合、概括、提煉的知識。檔案信息專家能夠充分使用認知、自然、情感和行為各個組成部分,在顯性信息服務向隱性知識服務轉變的過程中發揮重要作用。所以,一個高水平的檔案館必須重視檔案信息專家的引進和培養,必須注重發揮檔案信息專家的作用。業務工作者也是掌握多項技能的復合型人才,要求機構中的每位員工都把信息化和檔案業務作為同等重要的基礎性工作來開展。2.建立制度保障體系。建立有效的管理制度是保障檔案信息安全的關鍵。規范檔案管理、保障檔案信息安全的永久性措施應該是建立程序化、制度化管理模式并嚴格執行、落實到位。這同樣需要分別制定相應的政策與規范,并采取必要的措施強化落實,做到制度正確,落實見效。要積極爭取上級有關部門的政策支持，根據檔案部門的實際情況，參考《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《中華人民共和國檔案法》、《中華人民共和國保密法》等法律、法規，制定出適合檔案部門的規章制度，以此約束所有用戶、系統管理員以及其他成員，保證檔案信息系統安全、可靠地正常運行。由于網絡設備和系統軟件本身存在一定的缺陷，再加上從事黑客的個人或組織技術在不斷升級，所以，檔案信息系統沒有絕對的安全，只有相對的安全。檔案信息化安全保障體系是一個動態的概念，面對檔案信息系統安全的諸多問題，必須時刻警惕，運用多種手段，不斷在技術上更新，管理體制上完善，人員素質和管理理念上緊跟網絡發展的步伐。只有時刻從檔案數據安全的方方面面出發，點滴不漏，常抓不懈，才能建立起完善的檔案信息安全保障體系，確保檔案信息系統的安全，保證檔案信息化建設順利進行。

四、加強設施建設，為檔案安全保障體系提供物質保障

一是加強檔案庫房建設。為了檔案工作的可持續發展，我們必須做好檔案實體的保護工作。因此，在檔案庫房與門窗的設計、防火材料、消防系統、庫房溫濕度、技術與管理方面，需要進一步加大投入。庫房是保管檔案的場所，檔案庫房多數是在機關辦公大樓上的，客觀上不具備建檔案庫房的條件。在這樣的情況下，首先要考慮檔案庫房的承重問題。一般作為檔案庫房，鋼筋的密度要大，數量要多，型號要粗。預防火災對機關檔案實體安全來說是頭等大事。隨著科學技術的發展，建筑材料、各種電器設備的種類日益增多，檔案庫房引起火災的危險性可能性進一步增大。火災是當今檔案部門的頭號災害，為預防火災，檔案庫房門口，必須配備消防器材，如手提滅器或手推移動滅火器等。檔案庫房要做好防火防潮的處理，保存的各種載體的檔案對溫濕度都有嚴格的要求，在技術參數范圍內，檔案能夠長久的保存。反之，溫濕度過高過低，都會影響檔案的壽命。門窗要嚴格按國家檔案局要求安裝。作為檔案實體安全的裝具，我們仍然要求采用可移動鐵皮柜和不可移動密集架，它具有防火、防鼠功能。檔案盒作為貼身裝具，制作檔案盒的牛皮紙要做去酸處理，這樣做，有利于檔案實體安全的保護。二是加強檔案數字化建設。在系統硬件設備方面，要做到：第一，內外網隔離。根據有關安全保密部門的網絡安全規定，的計算機信息系統，不得直接或間接與國際互聯網或其它公共信息網互相連接，必須實行隔離。因此，對檔案部門的內部網絡和國際互聯網，要嚴格地進行隔離，防止不宜公開的內部檔案信息通過網絡連接泄露到外部公眾網。第二，將內部網絡劃分成若干個安全級別不同的子網，實現內部一個網段與另一個網段的隔離。這樣，就能防止某一個網段的安全問題在整個網絡傳播，限制局部網絡安全問題對全局網絡安全造成的影響。第三，每個廠家的設備有它獨特的優點也有它不可克服的致命弱點，因此在選用檔案網絡設備時，盡量選用不同廠家不同型號的設備，做到優勢互補，封堵網絡漏洞，增強系統的安全性能。

五、加強技術建設，為檔案安全保障體系提供安全保障

網絡、計算機、存儲器和信息系統是數字化檔案信息生存的基礎,也是引發安全問題的風險基地。黑客攻擊、病毒蔓延、信息竊取、技術落后、制度不健全、管理不規范、措施不到位、治理不及時是產生不安全因素的根源,其中有客觀的因素,也有主觀的原因。因此,加強對客觀侵害行為的防范,對主管漏洞的治理,對安全事故的補救是保障網絡暢通、系統穩定、數據安全的重要措施。只有網絡和系統安全了,數字化檔案信息的安全才能得以保障。建立技術保障體系是提高網絡和系統免疫力的重要措施。1.保障網絡安全:防火墻和入侵檢測技術是常用的保障網絡安全的兩種手段,入侵檢測技術側重于監測、監控和預警,而防火墻則在內外網之間的訪問控制領域具有明顯的優勢、功能強大,效果明顯。面對網絡攻擊手段復雜度的不斷提高及融合能力的逐漸加強,要在網絡層采取安全技術的應用和安全產品的聯動啟用措施,全面提高網絡的綜合防范能力。2.保障系統安全:加強升級服務,做到無漏洞運行。目前各操作系統的開發商已經開通了專業通道,提供升級服務的補丁程序下載、安裝和檢測服務,而且大多是免費的,因此,能否做到系統的無漏洞運行,關鍵在于人們是否使用正版軟件,增強了安全意識并做到及時升級,及時打補丁，,保障每臺客戶端的無漏洞運行。3.保障檔案信息系統的安全:要做好系統用戶的安全管理,不給偷竊者以機會。

目前,保障合法用戶的做法是采取強身份認證、加密和防密碼偷竊等技術，并保證內部安全管理制度和措施的有效性實施與落實。4.保障檔案數據的安全:實行隔離、加密、備份等措施。安全管理的最終目的就是保障網絡上傳輸的、系統中存儲的、用戶訪問到的檔案數據和信息是真實、完整和有效的,并保障系統操作者能夠方便地訪問自身權限范圍內的數據,杜絕無權用戶進入系統,因此數據加密、硬盤加密、文件系統加密,增加系統存儲的復雜性等都成為保障數據安全的有效措施。5.病毒防范:建立網絡化的病毒防范體系,實現病毒庫的同步升級幾乎有網絡和計算機存在的地方,病毒都會伴隨。每臺計算機上都應安裝防病毒軟件系統,并及時更新病毒庫,而對于網絡環境下的一個組織而言,病毒殺不盡的原因則是網絡上至少有一臺機器有病毒,并在網上擴散傳播,因此購買網絡版的防病毒軟件,建立網絡化的病毒防范體系,實現病毒庫的統一管理,同步升級,是防范病毒侵害數字化檔案信息的有效措施之一。同時,加強對病毒知識的學習,提高機構中每位員工的主動防范意識和警惕性也是非常重要的保障措施。

第2篇：網絡安全保障體系建設范文

關鍵詞 信息系統；安全；保障體系；技術；信息技術基礎設施

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2013）14-0137-02

油服信息技術應用與集中程度的不斷深入提高，信息安全保障體系建設工作已成為信息化建設過程中的重要組成部分。油服具有地域分布廣、業務復雜多樣等特點，在信息安全形勢多變的情況下，獨立分散的安全措施已無法更好地滿足安全防護需求。信息安全若不能得到很好的保障，將給公司的業務正常運作及辦公穩定性、高效性和有效性帶來影響。因此，需完善公司的信息安全政策方針、規劃并建立符合油服實際情況的信息安全保障體系，采用先進的安全管理過程模式，完善信息安全管理制度與規范，提高員工的信息安全意識，提升風險控制及保障水平，以支撐油服核心業務的健康發展。

1 信息安全保障體系

1.1 信息安全保障體系建設需求

油服在信息安全方面已部署了部分信息安全防護措施，如劃分安全域、部署邊界訪問控制設備、配備入侵防御系統、部署統一的防惡意代碼軟件等。與此同時，每年都開展信息系統安全測評工作，對公司的信息系統進行安全等級測評差距分析、安全問題整改咨詢核查以及滲透性測試等，從而能夠較為全面的掌握當前各信息系統和信息安全管理制度的建設、運維和使用情況，以提高信息系統的安全防護能力。但從總體來看，仍缺乏信息安全保障體系框架，總體安全方針和策略不夠明確，安全區域劃分不夠細致，網絡設備和重要服務器的安全策略缺乏統一標準，未部署安全運維管理中心，無法真正起到縱深安全防御的效用。

1.2 信息安全保障體系目標與定位

信息安全保障體系的建設要結合油服的信息安全需求、網絡應用現狀及未來發展趨勢，在風險評估的基礎上，明確與等級保護相適應的安全策略及具體的實施辦法。對全網進行合理的安全域劃分，技術與管理并重的同時，以應用與實效為主導，從網絡、應用系統、組織管理等方面，保障油服信息安全，形成集檢測、響應、恢復、防護為一體的安全保障體系。

2 油服信息安全保障體系架構模型

油服信息安全保障體系框架采用“結構化”的分析和控制方法，縱向把保護對象分成安全計算環境、安全區域邊界和安全通信網絡；橫向把控制體系分成安全管理、安全技術和安全運行的控制體系，同時通過“一個安全管理中心”的安全管理概念和模式，形成一個依托于安全保護對象為基礎，橫向建立安全管理體系、安全技術體系、安全運行體系和安全管理中心“三個體系、一個中心、三重防護”的信息安全保障體系

框架。

2.1 安全管理體系

根據等級保護基本要求的相關內容，信息安全管理體系重點落實安全管理制度、安全管理機構和人員安全管理的相關控制要求。

2.2 安全技術體系

根據等級保護基本要求的相關內容，通過安全技術在物理、網絡、主機、應用和數據各個層面的實施，建立與實際情況相結合的安全技術體系。

2.3 安全運行體系

根據等級保護基本要求的相關內容，信息安全運行體系重點落實系統建設管理和系統運維管理的相關控制要求，并與實際情況相結合，形成符合等級保護要求的信息安全運行體系

框架。

2.4 安全管理中心

根據等級保護基本要求和安全設計技術要求的相關內容，通過“自動、平臺化”的方式，對信息安全管理、技術、運行三個體系的相關控制內容，結合實際情況加以落實。

3 油服信息安全保障體系架構設計

3.1 安全管理體系架構設計

信息安全管理體系架構的設計可從以下3方面開展。

3.1.1 信息安全組織

油服信息安全組織為信息安全管理委員會，各業務部門為信息安全小組，部門經理為本小組的第一安全責任人。同時，定義了組織中各職能角色的職責，以此指導信息安全工作開展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及時反映公司的信息安全風險動態，便于靈活地修訂與更新；另一方面確保信息安全技術與管理人員及用戶能夠了解哪些是禁止做的，哪些是必須做的。

3.1.3 人員安全管理

在人員安全管理方面，可以通過對人員錄用、調用、離崗、考核、培訓教育和第三方人員安全幾個方面進行設計。

3.2 安全技術體系架構設計

信息安全技術體系架構設計可從以下3個方面開展。

3.2.1 信息安全服務架構

信息安全服務架構設計分為保護、檢測、響應與恢復四個環節，實現對信息可用性、完整性和機密性的保護，監測檢查系統存在的安全漏洞，對危害系統安全的事件行為做出響應

處理。

3.2.2 信息技術基礎設施安全架構

信息技術基礎設施安全架構以網絡安全架構為主體，結合系統軟硬件進行安全配置和部署。網絡安全架構的規劃根據網絡所承載的應用系統特性和所面臨的風險劃分不同的網絡安全域，并實施安全防護措施。

3.2.3 應用安全架構

應用系統的信息安全保障是在信息技術基礎設施安全架構上，更多地關注已有的信息安全服務是否被充分利用。為滿足業務系統對信息安全的需求，通過在業務系統中實現集成保障信息安全的機制，從而達到信息安全技術控制要求。

3.3 安全運行體系架構設計

油服信息安全運行體系架構設計主要從以下3個方面開展。

3.3.1 信息系統安全等級劃分

油服信息系統安全等級劃分從信息資產等級、網絡系統等級和應用系統等級三個方面進行定義。

3.3.2 信息安全技術控制

信息安全技術控制是由系統自身自動完成的安全控制。主要在信息系統的網絡層、系統層和應用層，包含身份鑒別、訪問控制、安全審計等五大類通用技術。

3.3.3 信息安全運作控制

信息安全運作控制是在油服業務運作和信息技術運作過程中進行實施的運作類安全控制，包括控制針對的主要風險點及具體分類。

4 結束語

在油服業務不斷拓展，國際化步伐不斷深入的過程中，信息系統在公司發展中的作用和地位日趨重要。公司對信息系統的依賴性也在不斷增長，信息安全也愈發重要。健全油服信息安全保障體系，為實現“制度標準化、工作制度化”的管理常態奠定了堅實的基礎。油服信息安全保障體系不僅從物理網絡安全、系統應用安全、數據和用戶安全等方面入手，還從安全域劃分、安全邊界防護、主動監控、訪問控制和應急響應等方面綜合考慮，進一步加強落實信息安全等級保護的基本要求，初步實現對網絡與應用系統細粒度、全方位的安全管控，從而更為有效地提升了油服在信息安全方面的管理水平。

參考文獻

[1]馬永.淺談企業信息安全保障體系建設[J].計算機安全，2007（7）：72-75.

[2]王朗.一個信息安全保障體系模型的研究和設計[J].北京師范大學學報（自然科學版），2004（2）：58-62.

[3]黃海鷹.信息安全保障體系建設研究[J].數字圖書館論壇，2009（9）：13-15.

第3篇：網絡安全保障體系建設范文

 

1 網絡信息安全的內涵

 

網絡信息安全定義是：計算機網絡系統中的硬件、數據、程序等不會因為無意或惡意的原因遭到破壞、篡改、泄露，防止非授權的單位使用[1]。網絡系統能夠保持服務不受中斷，維持可靠運行。

 

不同的用戶對網絡信息安全的定義有所不同。作為普通民眾，他們希望自己的隱私信息能夠得到有效保護，不被他人竊取利用。對網絡安全管理員來說，他們希望始終有權限管控自己的網絡，并不受外界惡意入侵和破壞。對于國家安全部門而言，阻擋一切可能造成威脅的信息，并防止任何信息外泄是他們的工作目標。網絡信息安全，離不開技術和治理兩方面的努力。

 

2 目前網絡安全的主要技術

 

2.1 防火墻

 

防火墻是一個或一組網絡設備。防火墻的主要作用是加強兩個或兩個以上網絡中的訪問控制[2]。防火墻主要目的是保護網絡不受外界攻擊。通過對網絡設定防火墻，能對來自外部網絡的信息進行有效篩查，將安全的信息放行，將存在威脅的信息過濾。達到保護網絡安全的目的。

 

防火墻具有以下特點：(1)網絡之間的信息傳遞，都需要經過防火墻篩查;(2)只有符合安全策略的信息數據才能通過防火墻;(3)防火墻兼具保護和預防外部網絡入侵的功能。雖然防火墻對保護網絡安全具有良好效果，但其最大的缺陷在于會造成網絡服務于網絡間的數據傳輸速度大幅下降。這也是為了達到保護網絡安全所必須付出的代價。

 

2.2 數據加密技術

 

當今時代，信息是一把雙刃劍。它既能幫助團體或個人，令他們從中受益，同時也能成為威脅和破壞的工具。因此這就要求出現某種安全技術對信息進行有效保護，防止被惡意竊取或利用。

 

數據加密技術，是通過使用數字，對原有的信息進行重新組織。經過數字加密技術處理后的數據，除了合法使用者外，其他人難以將信息進行恢復。數據加密主要是對傳輸中的數據流進行加密。加密方法有線路加密與端對端加密兩種。線路加密側重于對傳輸線路加密，端對端加密是使用者在段的兩頭對信息進行加密處理，再經過TCP/IP數據包封裝后通過互聯網傳輸到目的地。到達目的地后收件人用相應的密匙對數據包解密，將信息恢復。

 

2.3 入侵檢測系統

 

入侵檢測技術是對外部網絡入侵行為進行檢測[3]。它通過不斷收集和分析網絡行為、安全日志并對數據進行審計，及時獲取系統中關鍵點信息，檢查網絡或系統是否存在被惡意攻擊或違反安全策略的行為。入侵檢測的任務主要包括：(1)對系統中用戶的各種活動進行監視;(2)檢查網絡系統存在的弱點;(3)將工作中的異常情況進行記錄和報告;(4)對數據完整性進行檢查;(5)遭受外來攻擊時報警。

 

3 加強計算機網絡信息安全對策

 

3.1 強化網絡安全保障體系建設

 

強化網絡安全保障體系建設，離不開多方面的共同努力。當前國家信息安全保障體系建設，應當圍繞以下幾方面：(1)深入研究和開發信息加密技術;(2)健全網絡信息安全體系;(3)強化網絡信息安全風險評估;(4)建立健全信息安全監控體系;(5)加大對信息安全應急處理工作的重視度。

 

在面對網絡信息安全威脅時，作為普通用戶應當提高自身網絡安全意識。在學習必要的網絡安全知識外，對來自外部網絡的突然進攻應當保持冷靜。作為企業用戶，網絡安全建設更加復雜，保護網絡信息安全的意義也更為深遠。首先，企業應當設計符合自身需要的安全策略，對重點對象提供有效保護。第二加強對用戶訪問權的控制，對非法用戶的操作進行嚴格限制，保護企業信息不受侵犯。

 

3.2 構建信息安全體系的措施

 

目前我國信息安全保障水平偏低，構建有效的網絡信息安全體系，需要社會各界的共同努力。沒有通力合作，難以應對日益復雜的網絡安全事件，而且網絡信息安全技術涉及面廣，技術難度大，單一組織或個人的網絡安全技術難以滿足各方面需求。

 

(1)加強國家宏觀調控。吸收發達國家網絡信息安全管理經驗，建立具有國家權威的網絡信息安全部門，由該部門對我國網絡信息安全體系建設路線、方針進行統籌規劃。

 

(2)完善相關法律法規。進一步完善我國相關網絡安全法律法規，保障信息安全產業的權益，加大對危害信息安全行為的處罰力度。

 

(3)鼓勵網絡安全技術領域投資。從國家的角度，鼓勵網絡安全技術領域投資包括加大財政對信息安全產業的直接投入，和給予信息安全產業相關企業、團體政策支持和補貼，擴大其發展規模。

 

(4)加強信息安全技術創新。我國目前正掀起“大眾創業，萬眾創新”的社會浪潮。在此背景之下，鼓勵安全信息技術創新，并給予高額獎勵，推動我國信息安全技術的發展。

 

4 結語

 

綜上，目前網絡信息安全正越來越受到關注。雖然目前有許多網絡安全產品保護用戶信息，但由于網絡自身仍存在安全隱患，因而來自外部攻擊難以從根本上消除。建立健全網絡信息安全體系，對未來促進我國互聯網發展將發揮巨大作用。

第4篇：網絡安全保障體系建設范文

 

1 綜合治理信息安全的戰略背景

 

IT管理技術發展歷程，從被動管理轉向主動管理，從服務導向轉向業務價值。在科學的IT管理方法論方面形成了一系列標準：諸如ITIL/ITSM以流程為中心的IT管理行業標準;ISO20000ITIL 的國際標準; COBIT面向IT審計的IT管理標準;COSO企業內部控制框架，面向內部控制;ISO17799：信息安全管理國際標準。當前有很多非常好的綜合性標準與規范可以參考，其中非常有名的就是ISO/IEC27000系列標準。ISO/IEC 27001通過PDCA過程，指導企業如何建立可持續改進的體系。

 

目前企業IT運維管理現狀。需求變化：IT本身快速變更;管理目標多角度變換并存。資源不足：IT 復雜性成長快于人員成長;IT 人員持續流動。業務影響：難以判斷事件對業務的影響和處理事件的優先級。信息孤島：IT 資源多樣性的，不能進行事件的關聯分析，缺少統一的健康視圖。IT網絡與信息系統運維存在監測盲點，缺少主動預警和事件分析機制。

 

如何把此項復雜的工程進行細化與落地，建立信息安全保障框架?在企業有限的IT資源(包括人員、系統等)等的前提下，IT運營面臨嚴峻的挑戰，企業多半缺乏信息系統應用開發能力，在很大程度上依賴于產品開發商的支持，為此，要想實現從混亂到清晰、從被動到主動、從應付到實現價值取向的服務思想，自主加外包的混合運維方式無疑是一種好的服務方式。

 

2 建立和實施信息安全保障體系思路和方法

 

針對IT管理問題和價值取向的服務方式，借鑒PDCA工作循環原理和標準化體系建設方法，從建立安全目標和組織體系、制度體系和技術體系等三個主要層面構建實施信息安全保障體系，以規范引導人、以標準流程引導人，以業績激勵人，從而促被動變主動，堅持持續改善，促進工作效率，促進安全保障。

 

2.1 建立和推行目標管理

 

體系建設應以目標管理為先導、循序漸進，按頂層布局、中層發力、底層推動內容設計與構建，為此，借鑒當前IT運維管理目標演進方式，確立各階段建設目標。

 

基礎架構建設階段(SMB)，手工維護階段。主要實現IT基礎架構建設。

 

網絡和系統監控(NSM)階段，重視自動化監控階段。主要實現IT設備維護和管理。

 

IT服務管理(ITSM)階段，重視流程管理階段。主要實現IT服務流程管理。

 

業務服務管理(BSM)階段，重視用戶服務質量與滿意度。主要實現IT與業務融合管理。

 

從IT投入和業務價值來看，前三個階段是間接業務價值，第四階段才是直接業務價值。

 

根據ITIL這個IT服務管理的方法論，先是搭建一個框架，借用工具的配合促進落地。如圖1、IT運維管理系統參考模型。

 

從安全目標出發，結合IT運維管理系統參考模型，每個階段的工作向著實現直接業務價值，不斷消除或減輕對性能的約束，促進IT產品或服務滿足確定的規范，實現企業效益最大化。服務好用屬性通過最終的績效和檢驗結果監視測量價值成分。如圖2。

 

2.2 規劃融合信息安全保障體系

 

通過從組織體系、制度體系、技術體系層面建立和實施縱深防御體系，實現穩健的信息安全保障狀態。

 

①組織體系：通過企業中高層的支持實現業務驅動和共同推動信息安全體系建設。當然，需要提出的問題，組織有可能要依賴長期可靠的合作伙伴：通過長期可靠的合作關系，快速引進外部專業資源和先進技術，可以幫助企業推動信息安全建設工作。為了幫助組織內外信息系統人員更好地遵守行業規范及法律要求，企業實施IT網絡與信息系統安全運維體系標準，組織應做到定期對全體員工進行信息安全相關教育，包括：技能、職責和意識，通過相關審核，證明組織具備實施體系的意識和能力。

 

②制度體系：企業IT網絡與信息系統安全運維系統建設的范圍包括機房安全、數據安全、網絡安全、服務器安全、業務應用安全、終端安全等。為此，企業應明確內部運維和外部協同的內容及其標準規范，包括績效標準。建立實施IT網絡與信息系統安全運維體系標準，首先把高效的信息安全做法固化下來形成規則制度或標準，成為組織中信息安全行為準則。保證事前預防、事中監控和事后審計等安全措施的得到有效執行與落實。

 

③技術體系：一般來說，網絡設備技術體系可以按照從上到下信息所流經的設備來部署工具。即從數據安全、終端安全、應用安全、操作系統與數據庫安全、網絡安全、物理安全六個方面來選擇不同的安全工具。按照“適度防御”原則，綜合采用各種安全工具進行組合，形成企業“適用的”安全技術防線。適時根據風險評估的結果，采取相應措施，降低風險。

 

其中，需要采用1～2種綜合管理的工具來幫助把所有的安全監控工具進行統一管控。例如SOC是給企業日常維護管理者使用，ITRM作為綜合風險呈現，是給企業風險或安全管理層使用。

 

④體系運行和監控：體系的日常運行和監控就是從信息的生命周期進行流程控制，即在信息的創建、使用、存儲、傳遞、更改、銷毀等各個階段進行安全控制。之前不能忽視在信息創建開發安全階段的一個細化控制手段。在運行體系建設中，往往需要結合流程分析來關注信息的生命周期安全。運行過程中還有一個應急管理，包括災備中心建設、業務連續性計劃、應急響應等等都有相應的標準與理論支持。特別是BS25999標準的頒布，給如何建立一套完善的應急體系提供了參考。

 

3 企業建立和實施信息安全保障體系實踐

 

面對網絡系統互連，網絡技術與設備的安全管理規范的完善這個復雜而且浩大的工程，井岡山卷煙廠不僅依靠個體分散的技術措施或者管理防護，而且結合國家、社會和個人的力量構建綜合保障體系。

 

①依據ISO9000、ISO14000和OHSAS18000標準，國家計算機網絡和信息安全相關法律法規，參考當前科學的IT管理方法論方面形成了一系列標準，結合YC/T384煙草企業安全生產標準等，識別這些與信息安全相關的法律法規及其它要求，將信息安全保障體系(框架)融合到企業質量、環境和職業健康安全(以下簡稱為三標)綜合管理體系。

 

②確定信息安全管理目標并分步實施企業三年信息化發展規劃。自2012年開始，企業對照YC/T384煙草企業安全生產標準要求，在梳理和評價2000年以來企業多個企業信息化三年實施規劃實踐環境以后，制訂了新的三年信息安全管理目標和建設規劃，將目標和規劃分解到各年度實施，并納入到企業年度三標綜合管理體系建設目標和管理績效考核。

 

③建立信息安全管理組織和工作標準，同時納入三標綜合管理體系管理考核。從體系結構上促成企業作業層、管理層(中間層)和決策層的信息化，實現企業的物資(服務)流、資金流和信息流的一體化，及時、準確和完整地傳遞企業的經營數據，保證企業的經營管理。利用信息化改進管理，形成企業信息安全文化，促進員工接受、理解和主動配合，不斷提升全員的信息安全意識和技能，從而使信息安全管理真正落到實處。

 

④建立和實施信息安全保障體系文件標準。根據國家信息安全相關的法律法規及其它要求，結合行業和企業的特點和發展趨勢，規范管理流程和模式。網絡與信息系統建設“立足長遠、分步實施、突出重點”，做到“統一規劃、統一標準、統一平臺、統一編碼”，同步實施信息系統等級保護制度，促進企業與信息系統項目合作單位、地方通訊和公安等部門的社會化合作主要方式。企業內部各項工作實現規范化、信息化，做到一切工作都按照程序辦，同時，事事處于相互制衡的環境之下、人人處于監督管理之中，從而形成職責明確、運轉協調、相互制衡的工作機制，為企業內部信息安全監管提供強有力的保障。

 

幾年來，企業堅持企業信息安全方針目標，以迅速響應服務為宗旨。企業信息安全保障體系建設緊緊圍繞建立科學、規范、和諧、統一、開放的管理體系，全面融入了質量、安全和環境管理體系一體化建設和實踐，截止到2015年底，企業共梳理建立或整合并實施安全保障類文件包括企業管理標準、技術標準和工作標準共計31個標準文件。通過創新與改善和體系審核、管理評審和提高文件執行率及持續改進方式保持了信息安全保障管理體系的持續改進和有效運行。

第5篇：網絡安全保障體系建設范文

關鍵詞：物聯網；政府；社會管理創新

一、物聯網與政府社會管理創新

（一）政府社會管理與社會管理創新

政府社會管理指政府對社會公共事務的一系列管理活動或過程，以改善和保障人民物質和文化生活為依歸。社會主義市場經濟體制要求政府轉變管理理念、范圍、模式和方法，構建政府和社會良性互動體系。社會管理創新是政府采用新的方法和技術通過制定專門的、系統的、規范的社會政策和法規，對社會公共事務的一系列管理活動和過程。

（二）社會管理創新與物聯網的聯系與作用

政府在社會管理過程中對于網絡的依賴越來越強。加之物聯網具有滲透性強、帶動作用大、綜合效益好的特點，物聯網的推動與發展有利于促進生產生活和社會管理方式向智能化、精細化、網絡化方向轉變，對于提高國民經濟和社會信息化水平，提升社會管理和公共服務水平，帶動社會管理服務方式的創新具有重要作用。物聯網可以大大提高政府公共事務管理、公共服務的能力和水平，促進政府服務向主動型服務轉變。

二、物聯網在應用于政府社會管理創新過程中的問題

（一）物聯網實施標準不統一，阻礙共同合作網絡的建設，管理平臺建設難產

物聯網的發展越來越迅速，現在大到汽車，小至微波爐，手機，都可以各種信號技術聯系在一起，這讓我們的生活變得更方便了，但是我們現在沒有辦法確保我們使用的設備是否具有網絡功能或者有網絡適用，因此物聯網要實現聯網容易，物物相連卻是問題。而且由于地域限制，各地的技術交流受到限制，一般經濟發達地區的物聯網實施標準要高于經濟欠發達地區物聯網建設的標準。這就造成社會共同合作網絡建設難以實現，從而造成管理平臺建設難產。因此，一個統一的物聯網標準的文件制定勢在必行。

（二）物聯網實施需要的財政資助的問題

2011年4月，財政部實施《物聯網發展專項資金管理暫行辦法》，將安排專項資金，鼓勵和支持企業以產業聯盟組織形式開展物聯網研發及應用活動。各地因為經濟因素的制約和各地政府對于物聯網技術的認識，財政預算和財政支出數額也存在很大差異，對于物聯網的重視程度也存在不小的差異。這就造成了物聯網實施的差異并且給物聯網的普及帶來經濟阻礙。

（三）相關參與主體信息安全與安全體系建設的問題

政府管理信息安全和參與管理公民的信息安全與個人隱私，安全體系建設的問題。如果網絡安全隱患的問題不能得到很好的解決，就將會在很大程度上制約物聯網的進一步發展。物聯網和互聯網是密不可分的。現有的網絡安全體系中，大部分機制仍然可以適用于物聯網，但是在物聯網安全體系的建設上，我們還需要根據物聯網的特征對其安全機制進行調整和補充。所以可以將多年積累的安全技術以及對數據安全的理解應用到物聯網中來，并研究與物聯網特征對應的安全機制。

（四）法律法規制度不健全

在物聯網的建設與運用過程中，涉及的法律問題非常多，可以說在每一個環節都有若干個法律問題。物聯網涉及的知識產權非常多，既需要知識產權管理部門作出詳細的規定，也需要從事物聯網的當事人高度重視對自身知識產權的保護和對他人知識產權的尊重。

三、政府在創新社會管理方式中對物聯網的科學應用

（一）統一規劃和領導

按照統籌規劃、分工協作、保障重點、急用先行的原則，建立高效的標準協調機制，積極推動自主技術標準的國際化，逐步完善物聯網標準體系。首先加速完成標準體系框架的建設。其次，積極推進共性和關鍵技術標準的研制。最后，加強專業化公共服務平臺建設。建立健全行業統計和運行監測分析工作體系，加強對重大項目建設的監督、檢查和處理，推動物聯網產業發展。

（二）加強參與主體的安全保護保障體系建設

建立信息安全保障體系，做好物聯網信息安全頂層設計。加強監督管理，做好物聯網重大項目的安全評測和風險評估，構建有效的預警和管理機制，大力提升信息安全保障能力。加強物聯網安全技術研發。重點開展隱私保護、節點的輕量級認證、訪問控制、密鑰管理、安全路由、入侵檢測與容侵容錯等安全技術研究，推動關鍵技術的國際標準化進程。建立并完善物聯網安全保障體系。建立以政府和行業主管部門為主導，第三方測試機構參與的物聯網信息安全保障體系，構建有效的預警和管理機制。對各類物聯網應用示范工程全面開展安全風險與系統可靠性評估工作。加強網絡基礎設施安全防護建設。加強對基礎設施性能的分析和行為預測，有針對性的做好網絡基礎設施的保護。

（三）完善物聯網相關法律法規

加強對國內外物聯網發展形勢研究，做好政策預研工作，針對發展中出現的熱點、難點問題，及時制定出臺相關管理辦法。總結推廣各地區、各部門的先進經驗，加強政策協調，制定促進物聯網健康有序發展的政策法規。

（四）人才隊伍建設并加大財政資助

重點培育一批影響力大、帶動性強的大企業；營造企業發展環境；加強產業聯盟建設。制定和落實相關人才引進和配套服務政策。加大力度培養各類物聯網人才，建立健全激勵機制，造就一批領軍人才和技術帶頭人。

增加物聯網發展專項資金規模，加大產業化專項等對物聯網的投入比重，鼓勵民資、外資投入物聯網領域。落實國家支持高新技術產業和戰略性新興產業發展的稅收政策，支持物聯網產業發展。

參考文獻：

[1]周潔，物聯網環境下我國政府公共服務的研究[D]. 西南交通大學.2012

第6篇：網絡安全保障體系建設范文

關鍵詞：檔案信息；安全保障；體系；構建

今天是一個科技高速發展的時代，信息技術越來越發到，為人們的生活帶來了極大的便利性。社會發展朝著信息資源整合、共享的方向發展。隨著信息資源整合數字化的腳步不斷加快，信息網絡化逐漸普及，檔案信息化的進程不斷加快，數字檔案資源借助檔案信息系統管理程度不斷加深，檔案信息的安全性要求越來越高。因此，提高檔案信息風險控制能力，加強檔案信息安全管理水平，檔案信息資源的價值才能有效的發揮起來。

1 檔案信息安全保障體系建立的必要性

（一）檔案信息特點環境必要

檔案信息作為國家信息資源的重要組成部分，因其真實性等特點，需要不斷提高對檔案信息的重視程度，切實做好保護措施。今天，是信息化的時代，電子檔案的傳統特點隨著信息化的到來而受到質疑。加強檔案保護的呼聲日漸高漲，檔案信息安全已經從原本只做保管向安全保障的方向發展。對于檔案的保護工作在早期只在檔案保管與內容保密上，到了中期，發展為保密、完整以及可用，最后發展為完整、保密、可用、真實、可控、可申以及不可抵賴。

（二）檔案信息安全價值必要。

實現檔案信息價值可以依賴檔案信息安全保障體系的建立，其具備現實基礎的意義。為社會提供服務以及供公眾使用的檔案信息必須具備真實、完整、準確、有效才行，這就需要檔案工作的所有環節都要把防護工作做到位，提高安全思想意識，嚴格按照“預防第一，防治結合”的方針，制定有效的措施，確保檔案信息的真是可用，并最大化檔案信息的價值，充分發揮其作用。檔案信息安全保障體系的建立，對檔案管理事業的發展以及國家信息安全保障體系的建立起到重要的推動作用。

2 影響檔案信息安全的因素

（一）自然因素

自然界是檔案信息資源存在與運用的主要方面，因此，自然災害對檔案信息的危害極大，能夠直接造成檔案信息資源的安全隱患發生。

（二）環境因素

為檔案信息帶來安全隱患的因素還有環境條件的不符合，比如，控制檔案信息的網絡中心以及工作站會因為環境要求不達標，在成電源質量差、溫濕度不合適等現象，再加上空氣污染以及有害生物的作用下，很容易為檔案信息造成不利影響。

（三）技術因素

對于紙質檔案來說，紙張自身的耐久性與造紙技術有著極大的關聯性。新型載體檔案而言，決定檔案信息的安全因素是載體的質量、計算機技術等因素。比如網絡安全漏洞、計算機故障等，都會對信息安全帶來不利影響。

（四）社會因素

第一制約檔案信心安全的重要因素之一資金短缺。資金投入不足，很容易造成檔案信息安全軟、硬件設備的質量問題。第二，社會暴力等因素，也會為檔案信息資源造成安全問題。隨著我國互聯網的不斷發展，各種勢力都會利用互聯網進行危險活動，因此，很容易造成檔案信息的安全問題。

3 檔案信息安全管理保障體系

檔案信息安全管理體系管理占據重要地位，另外還需要技術的達標。檔案信息安全技術保障體系需要檔案信息安全管理體系做支撐。劇相關統計表明，信息被盜、信息泄露的根源在于內部管理的松懈，系統內部是計算機安全問題的根源，這些情況的發生主要是因為相關人員思想意識松懈以及管理體制的缺失造成。所以，信息安全技術系統建立之后，相應的管理制度也要緊隨其后，兩者相輔相成，切實將檔案信息安全保障體系落到實處。

（一）建立健全檔案信息安全管理制度

相應的安全管理制度是檔案信息安全管理與檔案信息工作落實到位的重要保障。因此，首先要做好統籌規劃工作，將“收、管、存、用”落實到位，制定科學有效的檔案信息安全管理方案。其次，相應的檔案信息安全管理部門要設置，專門監督檔案信息安全與保密管理工作，確保檔案信息系統各個方面的工作都落實到位。最后，相應的規章制度的建立，比如安全防范責任制、重要數據與文件管理制度、緊急備份與應急預案等。只有從制度上對安全工作進行約束與規范，才能提高安全管理工作，做好預防工作，將危害的損失降低到最小，切實將檔案信息安全體系作用發揮到最優。

（二）加強人員檔案信息安全培訓提高安全意識

檔案信息安全保障體系的核心是人，這不僅是檔案信息系統的擁有者，也是管理者與使用者。因此，培養專業的檔案信息人才，建設檔案信息安全管理隊伍，提高相關工作人員的檔案信息安全意識，對不同層面的人員做好安全管理工作培訓是建設檔案信息安全保障體系的關鍵。只有將人員素質提高了，檔案信息安全保障體系工作才能順利進行。

（三）制定n案信息安全標準規范

根據國內相關法律法規以及行業標準規范、嚴格按照業界管理，結合自身實際情況，構建檔案信息安全保障體系。現階段，國家檔案局以及編制好《檔案信息系統安全等級保護定級工作指南》，為指導各省級以上的檔案信息安全工作。但是，不可否認的是我國檔案信息安全保障體系還處在建設的初級階段，相比于信息安全保障體系的研究差距還很大，所以，在實施檔案信息安全保障體系的過程中，可以參考國內外信息安全保障體系的相應標準規范。只有制定科學有效的檔案信息安全標準與規范，檔案信息安全工作才能有規可循，建設過程中不必要的工作也會相應的減少，從而更好的規范與保障檔案信息安全。

我國信息資源的重要組成部分之一檔案信息資源，對我國未來信息資源的安全有著重要的影響。檔案管理工作的最基本也是最重要的任務就是檔案信息安全保障工作。構建檔案信息安全保障體系是發展的必然結果，而這也是一個不能缺少的體系。檔案信息安全保障體系的構建，需要從檔案信息安全的各個方面做好整體的計劃，結合管理與技術，結合不斷變化的環境需要制定具體的措施，同時還要根據檔案工作的形式做好時時的調整與改進工作。

參考文獻

[1]宋丹.基于信息安全風險評估機制的檔案信息安全保障體系建設研究[J].檔案時空，2013（12）.

[2]顧倩倩.加強檔案安全保障體系建設確保事業單位檔案信息安全[J].才智， 2015（15）.

第7篇：網絡安全保障體系建設范文

隨著煙草行業信息化快速發展及云計算、虛擬化、移動應用等新興技術運用，使煙草行業的信息安全面臨新的挑戰，主要表現在以下幾點。

1.1核心軟硬件被國外壟斷，嚴重威脅行業信息安全

當前，煙草行業的信息系統基礎設施，包括主機、存儲、操作系統、數據庫、中間件等幾乎還很大程度上依賴于國外品牌，使得煙草行業信息系統比較容易被國外掌控，威脅煙草行業信息安全。

1.2傳統互聯網威脅向煙草行業輻射

隨著電子商務的快速發展，煙草行業信息系統由半封閉的行業內網向互聯網轉變，網上訂貨、網上營銷等新型業務與互聯網結合日益緊密，同樣面臨的網絡攻擊和威脅形勢日益復雜嚴峻，傳統互聯網威脅（如病毒、木馬等）也必將危及行業信息安全。

1.3新技術的應用使行業信息安全面臨更大挑戰

隨著云計算、虛擬化、移動應用等新興技術的快速發展和應用，極大地影響了信息系統的運行和服務方式，互聯網服務的開放性特點對煙草行業信息安全工作提出嚴峻的挑戰。

2煙草行業信息安全發展方向

近期，為處理好安全和發展的關系，適應信息技術發展形勢需要，提出以安全保發展、以發展促安全是未來一段時間信息安全建設和管理的重要方向。

2.1堅持自主安全可控，健全行業信息安全體系

信息安全自主可控作為行業信息化發展的重要保障，加大安全可靠的先進技術應用力度，提升對核心技術的自主掌控能力，保障行業信息化建設穩步推進，健全以防為主、軟硬結合的行業網絡安全體系。強化網絡基礎設施安全，加大安全可控關鍵軟硬件的應用比例，確保行業信息化高效安全平穩運行。

2.2堅持等級保護，提高安全管理水平

執行國家信息安全等級保護制度，以安全策略為核心，堅持技術和管理相結合，構建與行業信息化發展協調一致的行業網絡安全體系。

2.3強化安全運維機制，提升安全保障能力

目前，行業信息安全保障尚未全面融入信息化的“建管用”的各個環節，需要進一步建設、健全行業網絡安全保障體系，落實安全運維機制，提升安全綜合防范能力。

2.4完善應急處置體系，保證系統安全穩定運行

加強日常信息安全監控，進一步完善信息安全應急處置機制，充分評估信息系統面臨的威脅，并制訂覆蓋各類信息系統、各種信息安全事件的應急預案并進行演練，提升信息系統預警、應急處置和恢復能力，保障業務系統的連續穩定運行。

2.5煙草行業信息安全建設思路

隨著國家、行業主管單位對信息安全認識和要求的不斷深入，煙草行業信息系統綜合安全防范能力需要通過建立自主可控的信息安全技術體系；細化和完善信息安全法規制度、標準規范、流程細則的管理體系；和以“常態化”為目標，包括階段性運維、日常運維、應急工作三個角度的安全運維體系設計，從而提高信息系統信息安全綜合防范能力。

2.6建立系統安全基線，提升系統基礎防護能力

國家局針對信息安全工作下發了如《信息安全保障體系建設規范》《行業單位等級保護建設規范》等一系列的規范標準，同時以“三全工作”“安全檢查”為抓手推動信息安全保障體系的建設。但由于缺乏具體的操作層面的指南，各行業單位對標準規范和安全建設尚不能有效落地，不能執行到具體的業務系統以及所屬的主機、網絡設備等基礎設施層面。為保證信息系統整體安全水平，防止因為各類系統、設備的安全配置不到位而帶來安全風險，有必要針對信息系統建立其基本的安全要求（安全基線），確保信息系統具有基本的安全保護能力。

2.7建立自主可控信息安全技術體系

自主可控是信息安全的根本保障。建立自主可控的信息安全技術體系可以從以下方面著手：一是制訂行業信息安全技術產品準入要求，啟動核心信息技術產品的信息安全檢查和認證工作；二是加強對產品或系統的漏洞檢測和代碼審查，及時發現系統安全隱患，同時明確國外進口產品在使用過程的責任和義務；三是建立煙草行業新技術的安全標準規范，明確新技術的使用、運維和管理的方法和范圍。

2.8不斷完善行業信息安全標準規范體系

目前煙草行業已經陸續了一系列行業信息安全標準和規范，但是相對于信息化的快速發展來說還存在滯后性。制定、完善和細化行業信息安全標準規范，對于煙草信行業信息安全具有重要意義。例如，針對信息系統的建設，應制訂包含在信息系統規劃設計、開發建設、運行維護和停用廢棄等全生命周期的安全標準規范；針對移動應用，應制訂包含由移動終端、移動網絡、移動平臺、業務應用構成的移動安全框架和建設標準規范，為煙草行業的移動應用建設提供指導；針對煙草行業數據安全，應建立包括數據分類分級、數據分布、數據操作、數據備份和恢復在內數據安全標準規范，為合理保護和利用行業數據提供指導；針對第三方服務外包，制定第三方服務機構服務質量基本評價指標體系。

2.9建立安全運維管理服務體系

一是建立運維監控指標體系。通過對信息系統安全運維水平的層次化監控指標的建立，得到該業務系統的安全運維水平評級，以此來表明該業務系統的安全運維體系的建設成熟度。同時還應將表示安全運維水平的各個指標項建立針對某類安全事件的度量標準。建立監控指標不僅應當包括傳統的各種系統資源使用率、數據和應用工作狀態等，同時要加強對運維監控中發現的各種異常現象的監控分析，對風險隱患及時處理，同時根據運行分析結果動態評估系統的處理能力，動態優化系統資源配置。二是完善安全運維和管理工作。安全運維和管理工作應包含在信息系統規劃設計、開發建設、運行維護和停用廢棄等各環節，落實系統建設全生命周期各環節的安全指標和流程要求，做到基礎信息網絡、重要信息系統與安全防護設施同步規劃、同步建設、同步運行。三是完善應急處置機制，保障業務連續性。隨著行業數據的集中，各類信息系統整合的不斷推進，信息系統的技術體系日趨復雜，需要在日常運維過程中積累、提高對各種技術的把握、優化能力。充分評估各類信息系統潛在的威脅，并制訂和完善各類信息安全事件的應急預案，并定期開展應急演練。

2.10開展信息安全風險態勢感知體系研究

風險態勢感知體系是具有宏觀的角度對行業的整體網絡安全防護能力進行評估，同樣也應對整體安全管理水平進行評估，為提升信息系統整體安全防護能力提供決策支持；同時風險態勢感知體系應具備兩個維度的態勢感知能力。一方面，從安全本身的發展變化入手，通過對事件和威脅的分析來評估當前網絡的整體安全態勢，包括地址熵態勢分析、熱點事件分析和威脅態勢分析；另一方面，從信息系統所需要達成的安全管理水平入手，通過對一系列管理指標的度量，來評估當前信息系統的安全管理水平；建設完備的信息安全風險感知體系，是提高煙草領域信息安全的重要途徑之一。風險態勢感知體系的建設應按照信息安全等級保護的相關要求，建設針對信息系統所有的基礎設施包括終端、網絡、應用、系統、物理各個方面，以及信息系統在業務處理過程中的身份認證、訪問控制、數據與內容安全、監控審計、備份恢復等各個環節的信息安全風險態勢感知體系，提高信息系統的信息安全保障能力，提高信息安全事件的預警及防范能力。

3結語

第8篇：網絡安全保障體系建設范文

【關鍵詞】網絡安全；網絡攻擊；建設與規劃；校園網

1、網絡現狀

揚州Z校擁有多個互聯網出口線路，分別是電信100M、電信50M、網通100M、聯通1G和校園網100M。Z校擁有多個計算環境，網絡核心區是思科7609的雙核心交換機組，確保了Z校校園骨干網絡的可用性與高冗余性；數據中心是由直連在核心交換機上的眾多服務器組成；終端區分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外，還有一個獨立的無線校園網絡。Z校網絡信息安全保障能力已經初具規模，校園網絡中已部署防火墻、身份認證、上網行為管理、web應用防火墻等設備。原拓撲結構見圖1。

2、安全威脅分析

目前，Z校網絡安全保障能力雖然初具規模，但是，在信息安全建設方面仍然面臨諸多的問題，如，網絡中缺乏網管與安管系統、對網絡中的可疑情況，沒有分析、響應和處理的手段和流程、無法了解網絡的整體安全狀態，風險管理全憑感覺等等，以上種種問題表明，Z校需要對網絡安全進行一次全面的規劃，以便在今后的網絡安全工作中，建立一套有序、高效和完善的網絡安全體系。

2.1安全設備現狀

Z校部署的網絡安全防護設備較少。在校區的互聯網出口處，部署了一臺山石防火墻，在WEB服務器群前面部署了一臺WEB應用防火墻。

2.2外部網絡安全威脅

互聯網出現的網絡威脅種類繁多，外部網絡威脅一般是惡意入侵的網絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數據等為目的，對內網中的各種網絡設備發起攻擊，網絡中雖然有一些基礎的防護，但是，黑客們只要找到漏洞，就會利用內網用戶作跳板進行攻擊，最終攻破內網。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。

2.3內部網絡安全威脅

內部惡意入侵的主體是學生，還有一些網絡安全意識薄弱的教職工。Z校學生眾多，學生們可能本著好奇、試驗、炫技或者惡意破壞等目的，入侵學校網絡[2]。Z校某些教職工也可能瀏覽掛馬網站或者點擊來歷不明的郵件，照成網絡堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造，以提升鏈路穩定性，提高網絡的服務能力為出發點，Z校在安全改造實施中，應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率：Z校網絡出口與CERNET、Internet互聯，選擇了與電信和聯通兩家運營商合作。利用現有網絡出口鏈路資源，提升網絡訪問速度，最大化保障校園網內部用戶的網絡使用滿意度，同時又要合理節約鏈路成本，均衡使用各互聯網出口鏈路，是網絡安全建設的首要需求。2)實現關鍵設備的冗余性：互聯網邊界的下一代防火墻設備為整個網絡安全改造的核心設備，均以NAT模式或者路由模式部署，承載了整個校園網的業務處理，任何一個設備出現問題將直接導致業務不能夠連續運行，無任何備份措施，只能替換或者跳過出故障的設備，且只能以手工方式完成切換，無論從響應的及時性，還是從保障業務連續性的角度，都存在很大的延遲，為此需要將互聯網出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求：本次安全改造涉及安全設備數量較多，需要對所有安全設備進行統一日志收集、查詢工作，傳統單臺操作單臺部署的方式運維效率低下，所以需要專業集中監控、配置、管理的安全設備，統一對眾多安全設備進行集中監控、策略統一調度、統一升級備份和審計。

4、解決方案

網絡安全建設是一個長期的項目，不可能一蹴而就，一步到位，網絡安全過程建設中，在利用學校原有設備的基礎上，在資金、技術成熟的條件下，逐步實施。Z校網絡安全建設規劃分為短期建設和長期建設兩部分。

4.1短期網絡建設規劃

4.1.1短期部署規劃以安全區域的劃分為設計主線，從安全的角度分析各業務系統可能存在的安全隱患，根據應用系統的特點和安全評估是數據，劃分不同安全等級的區域[3]。通過安全區域的劃分，明確網絡邊界，形成清晰、簡潔的網絡架構，實現各業務系統之間嚴格的訪問安全互聯，有效的實現網絡之間，各業務系統之間的隔離和訪問控制。本次短期網絡建設，把整個網絡劃分為邊界安全防護區域、核心交換區域、安全管理區域、辦公接入區域、服務器集群區域和無線訪問控制區域。4.1.2部署設計網絡拓撲結構見圖2，從圖2可以看出，出口區域，互聯網邊界處的防火墻設備是整個網絡安全改造的核心設備，以NAT模式或者路由模式部署，無任何備份措施，為此需要再引入一臺同型號的防火墻設備，實現雙機冗余部署。同理，原城市熱點認證網關和行為管理設備需要再各補充一臺，組成雙機冗余方案。安全管理區域根據學校預算，部署幾臺安全設備。首先，部署一臺堡壘機，建立集中、主動的安全運維管控模式，降低人為安全風險；其次，部署一臺入侵檢測設備（IDS），實時、主動告警黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量，防止在出現攻擊后無數據可查；再部署一臺漏洞掃描設備，對網絡內部的設備進行漏洞掃描，找出存在的安全漏洞，根據漏洞掃描報告與安全預警通告，制定安全加固實施方案，以保證各系統功能的正常性和堅固性；最后，部署一臺安全審計設備（SAS），實時監控網絡環境中的網絡行為、通信內容，實現對網絡信息數據的監控。服務器集群區域，除了原有的WEB防火墻外，再部署一臺入侵防護設備（IPS），攔截網絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量，保護Z校的信息系統和網絡架構免受侵害，防止操作系統和應用程序損壞或宕機[4]。

4.2長期網絡建設規劃

網絡安全的防護是動態的、整體的，病毒傳播、黑客攻擊也不是靜態的。在網絡安全領域，不存在一個能完美的防范任何攻擊的網絡安全系統。在網絡中添加再多的網絡安全設備也不可能解決所有網絡安全方面的問題。想要構建一個相對安全的網絡系統，需要建立一套全方位的，從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前，網絡安全體系化建設結合重點設備保護的策略，再配合第三方安全廠商的安全服務是網絡安全建設的優選。4.2.1網絡體系化建設體系化建設指通過分析網絡的層次關系、安全需要和動態實施過程，建立一個科學的安全體系和模型，再根據安全體系和模型來分析網絡中存在的各種安全隱患，對這些安全隱患提出解決方案，最大程度解決網絡存在的安全風險。體系化建設需要從網絡安全的組織體系、技術體系和管理體系三方面著手，建立統一的安全保障體系。組織體系著眼于人員的組織架構，包括崗位設置、人員錄用、離崗、考核等[5]；技術體系分為物理安全、網絡安全、主機安全、系統運維管理、應用安全、數據安全及備份恢復等；管理體系側重于制度的梳理，包括信息安全工作的總體方針、規范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規程。4.2.2體系化設計網絡體系化建設要以組織體系為基礎，以管理體系為保障，以技術體系為支撐[6]，全局、均衡的考慮面臨的安全風險，采取不同強度的安全措施，提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點，安全體系為核心，安全指導為原則，體系建設為抓手，組織和制定安全實施策略和防范措施，在建設過程中不斷完善安全體系結構和安全防御體系，全方位、多層次滿足安全需求。

5、結語

從整個信息化安全體系來說，安全是技術與管理的一個有機整體，僅僅借助硬件產品進行的安全防護是不完整的、有局限的。安全問題，是從設備到人，從服務器上每個服務程序到Web防火墻、入侵防御系統、抗拒絕服務系統、漏洞掃描、傳統防火墻等安全產品的綜合問題，每一個環節，都是邁向網絡安全的步驟之一。文中的研究思路、解決方案，對兄弟院校的網絡安全建設和改造有參考價值。

參考文獻：

［1］王霞.數字化校園中網絡與信息安全問題及其解決方案［J］.科技信息，2012.7:183-184

［2］黃智勇.網絡安全防護系統設計與實現［D］.成都：電子科技大學，2011.11:2-3

［3］徐奇.校園網的安全信息安全體系與關鍵技術研究［D］.上海：上海交通大學，2009.5:1-4

［4］張旭輝.某民辦高校網絡信息安全方案的設計與實現［D］.西安:西安電子科技大學，2015.10:16-17

［5］陳堅.高校校園網網絡安全問題分析及解決方案設計［D］長春：長春工業大學，2016.3:23-31

第9篇：網絡安全保障體系建設范文

緊接著，全球最大的中文搜索引擎百度也遭遇攻擊，從而導致用戶不能正常訪問，眾多網站最近頻遭網絡攻擊的消息，不禁引起業界及廣大網民的深刻反思：“我們的互聯網真的安全嗎?”

據中國互聯網絡信息中心的調查報告，2009年我國網民規模達到3.84億人，普及率達28.9％，網民規模較2008年底增長8600萬人，年增長率為28.9％。中國互聯網呈現出前所未有的發展與繁榮。

然而，在高速發展的背后，我們不能忽視的是互聯網安全存在的極大漏洞，期盼互聯網增長的不僅有渴望信息的網民，也有心存不善的黑客，不僅有滾滾而來的財富，也有讓人猝不及防的損失。此次發生的政府網站篡改事件、百度被攻擊事件已經給我們敲響了警鐘：“重視互聯網安全刻不容緩!”

顯然，互聯網以其網絡的開放性、技術的滲透性、信息傳播的交互性而廣泛滲透到各個領域，有力地促進了經濟社會的發展。但同時，網絡信息安全問題日益突出，如不及時采取積極有效的應對措施，必將影響我國信息化的深入持續發展，對我國經濟社會的健康發展帶來不利影響。進一步加強網絡安全工作，創建一個健康、和諧的網絡環境，需要我們深入研究，落實措施。

首先，要深刻認識網絡安全工作的重要性和緊迫性。黨的十七大指出，要大力推進信息化與工業化的融合。推進信息化與工業化融合發展，對網絡安全必須有新的要求。信息化發展越深入，經濟社會對網絡的應用性越強，保證網絡安全就顯得越重要，要求也更高。因此，政府各級主管部門要從戰略高度認識網絡安全的重要性、緊迫性，始終堅持一手抓發展，一手抓管理。在加強互聯網發展，深入推動信息化進程的同時，采取有效措施做好網絡安全各項工作，著力構建一個技術先進、管理高效、安全可靠的網絡信息安全保障體系。

第二，要進一步完善網絡應急處理協調機制。網絡安全是一項跨部門、跨行業的系統工程，涉及政府部門、企業應用部門、行業組織、科研院校等方方面面，各方面要秉承共建共享的理念，建立起運轉靈活、反應快速的協調機制，形成合力有效應對各類網絡安全問題。特別是，移動互聯網安全防護體系建設包含網絡防護、重要業務系統防護、基礎設施安全防護等多個層面，包含外部威脅和內部管控、第三方管理等多個方位的安全需求，因此應全面考慮不同層面、多個方位的立體防護策略。

第三，要著力加強網絡安全隊伍建設和技術研究。要牢固樹立人才第一觀念，為加強網絡管理提供堅實的人才保障和智力支持。要發揮科研院所和高校的優勢，積極支持網絡安全學科專業和培訓機構的建設，努力培養一支管理能力強、業務水平高、技術素質過硬的復合型隊伍。不斷加強創新建設，是有效提升網絡安全水平的基礎，要加強相關技術，特別是關鍵核心技術的攻關力度，積極研究制訂和推動出臺有關扶持政策，有效應對網絡安全面臨的各種挑戰。

第四，要進一步加強網絡安全國際交流與合作。在立足我國國情，按照政府主導、多方參與、民主決策、透明高效的互聯網管理原則的基礎上，不斷增強應急協調能力，進一步加強網絡安全領域的國際交流與合作，推動形成公平合理的國際互聯網治理新格局，共同營造和維護良好的網絡環境。

第五，要加強網絡和信息安全戰略與規劃的研究，針對網絡信息安全的薄弱環節，不斷完善有關規章制度。如在當前的市場準入中，要求運營商必須承諾信息安全保障措施和信息安全責任，并監督其自覺履行相關義務。還要充分發揮行業自律及社會監督作用，利用行業自律組織完善行業規范、制定行業章程、推廣安全技術、倡導網絡文明。