網絡信息安全計劃范文

導語：如何才能寫好一篇網絡信息安全計劃，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

一、網絡會計信息系統的安全風險主要表現

會計信息系統是一種特殊的信息系統,它除了一般信息系統的安全特征外,還具有自身的一些安全特點。會計信息系統的安全風險是指有人為的或非人為的因素是會計信息系統保護安全的能力的減弱,從而產生系統的信息失真、失竊,使單位的財產遭受損失,系統的硬件、軟件無法正常運行等結果發生的可能性。會計信息系統的安全風險主要表現在以下幾個方面。

1.會計信息的真實性、可靠性。開放性的網絡會計環境下,存在信息失真的風險。盡管信息傳遞的無紙化可以有效避免一些由于人為原因而導致會計失真的現象,但仍不能排除電子憑證、電子賬簿可能被隨意修改而不留痕跡的行為。傳統的依靠鑒章確保憑證有效性和明確經濟責任的手段不復存在。由于缺乏有效的確認標識,信息接受方有理由懷疑所獲取財務數據的真實性;同樣,作為信息發送方,也有類似的擔心,即傳遞的信息能否被接受方正確識別并下載。

2.企業重要的數據泄密。在信息技術高速發展的今天,信息在企業的經營管理中變得尤為重要,它已經成為企業的一項重要資本,甚至決定了企業的激烈的市場競爭中的成敗,企業的財務數據屬重大商業機密,在網絡傳遞過程中,有可能被競爭對手非法截取,導致造成不可估量的損失。因此,保證財務數據的安全亦不容忽視。

3.會計信息是否被篡改。會計信息在網上傳遞過程中,隨時可能被網絡黑客或競爭對手非法截取并惡意篡改,同時,病毒也會影響信息的安全性和真實性,這些都是亟待解決的問題。

4.網絡系統的安全性。網絡是一把雙刃劍,它使企業在利用lnternet網尋找潛在的貿易伙伴、完成網上交易的同時,也將自己暴露于風險之中。這些風險來自于:泄密與惡意攻擊。所謂泄密是指未授權人員非法侵入企業信息系統,竊取企業的商業機密,從而侵吞企業財產或賣出商業機密換取錢財。所謂惡意攻擊是指網絡黑客的蓄意破壞或者病毒的感染,將可能使整個系統陷于癱瘓。

二、網絡會計信息系統安全應考慮的一般原則

1.需求、風險、代價平衡分析的原則

任何網絡的絕對安全都是難以達到的,也不一定是必要的。對一個網絡要進行實際的研究,并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后確定本系統的安全策略。

2.綜合性、整體性原則

應運用系統工程的觀點、方法、分析網絡的安全及具體的措施。安全措施包括:行政法律手段、各種管理制度(人員審查、工作流等)以及專業技術措施。一個較好的安全措施往往是多種方法適當綜合的應用結果?？傊?不同的安全措施的代價、效果對不同的網絡并不完全相同,根據確定的安全策略制定出合理的網絡體系結構及網絡安全體系結構。

3.一致性原則

一致性原則是指網絡安全問題應存在于整個網絡的工作周期,制定的安全體系結構必須與網絡的安全需求相一致,安全的網絡系統設計及實施計劃、網絡驗證、驗收、運行等,都要有安全的內容及措施。實際上,在網絡建設的初期就應該考慮網絡安全對策,比等網絡建設好后再考慮安全措施不但較容易,且成本也大大的降低。

三、網絡會計信息系統安全的幾項措施

通過加強會計信息系統的安全建設與管理,提高會計信息系統安全的防護和反應綜合能力,使系統能夠抵御各種威脅,有效保護企業資產,提高會計的完整服務。在會計信息系統建設過程中,必須克服“重建設輕安全、重技術輕管理、重使用輕維護”的思想。應逐步建立以“檢查與管理、保密與防護、檢測與防治、測評與服務”為基本結構的安全管理和技術系統。通過管理和技術兩種手段,使會計信息系統的技術風險防范能力不斷提高到一個新的水平。為了更好的利用網絡會計帶來的優勢,保證信息數據質量和安全,應從以下幾方面入手,以網絡技術為基礎,結合會計需要,確保網絡安全有效的傳遞信息。

1.系統加密管理。在會計信息系統中,對一些須嚴格控制操作的環節,設上“雙口令”只有“雙口令”同時到位才能進行該操作。“雙口令”由分管該權限的兩個人各自按照規定設置,不得告知他人。對“雙口令”進行“并鑰”處理后,方可執行相應的操作。這樣不僅加強了控制管理,保證了數據安全,而且也保護了相關的人員,便于分清各自的責任。

2.形成網上公證由第三方牽制的安全機制。網絡環境下原始憑證用數字方式進行存儲,應利用網絡所特有的實時傳輸功能和日益豐富的互聯網服務項目,實現原始交易憑證的第三方監控(即網上公證)。

3.建立嚴格的數據存儲措施。為了提高系統數據的安全性和在意外情況下的“自救能力”,應建立雙備份,備份后的兩份數據應有不同的人員持有,另一份是非加密的,有具體操作人員使用。對一些重要的數據,可采用分布存儲。

篇2

1.1企業內部系統問題及漏洞

大多數企業內部的系統問題是由于電腦操作不當引起的，這種由內部操作問題引起的網絡故障一般屬于內部故障。導致這種故障的原因多是企業內部人員對于計算機操作和信息化管理的使用能力不足，這種故障會導致網絡不穩或網絡中斷等問題，這種屬于內部系統操作不當帶來的安全隱患，一般屬于比較容易處理的網絡故障。

1.2計算機硬件方面不足

計算機作為一種輔助工具，是信息化系統的主要硬件組成部分，它由多個部分組成，各個部分之間相互關聯、緊密合作，形成一個整體的計算機工作系統。如果其中任何一個部件出現問題，都會影響到整個計算機的正常工作。計算機部件的損壞主要是物理損壞，大都由網絡連接錯誤、線路損壞等原因造成，這些都是不可預測的，一旦發生問題，將影響計算機的正常穩定工作，造成硬件方面的損壞。除了上述因素，硬件方面的問題還存在于企業機房的安全管理和維護。機房是整個信息系統的核心部分，負責整個信息系統的數據傳輸，如果出現硬件上的問題，會影響企業內部信息系統的正常運行，嚴重的話，會導致整個系統癱瘓，造成大規模的影響，這是計算機硬件方面要注意的一個重要問題。

1.3外來威脅

外來威脅一般指外部的惡意攻擊，常見的外來威脅方式主要有計算機病毒、黑客入侵等。由于企業內部多釆取內網連接方式，一般內網連接建立在相互信任的基礎上，因此，其防御能力較為薄弱，系統在面臨外部攻擊時，電腦黑客往往利用這個薄弱環節對系統進行攻擊。此外，許多計算機程序本身也存在許多漏洞，隨著黑客攻擊的手段和渠道越來越多樣化，計算機系統安全面臨著巨大的挑戰，作為企業，應該對不良網絡環境提高警惕，提升計算機應用程序的安全防患力。

2計算機網絡安全的應對措施

2.1建立安全防火墻

防火墻是由計算機硬件設備和軟件組合而成。它是內部網絡和互聯網之間的一個安全保護屏障，也是內部網絡與外部網絡之間唯一的信息交換口。根據制定的安全策略，防火墻可以將不可訪問的IP進行阻擋，允許可以訪問的IP進行信息交換，以這樣的方式來高效避免不安全的[P和軟件的侵入和攻擊。

2.2建立終端防護

網絡終端是信息安全的最后關卡，無論是計算機、手機還是其他終端，都應該安裝并使用殺毒軟件和終端防火墻軟件，定期更新病毒庫，定期對終端進行體檢和查殺，及時安裝補丁，修復系統漏洞，查殺病毒和木馬，保證終端設備的正常。

2.3對數據進行加密

企業可以釆用數據加密技術來確保信息傳遞過程中的安全問題。數據加密技術是指在傳輸前使用加密算法和加密密鑰將明文轉變為密文，然后再將密文數據封裝成數據包后在互聯網上傳輸，接受者可以通過解密算法和解密密鑰將密文恢復成可讀數據，這種方法是數據傳輸中最安全有效的方法，保證了信息的安全性，如果沒有解密密鑰，想要恢復讀取數據是非常困難的。加密技術被廣泛的應用的信息科技領域，其中一個重要應用就是VPN即虛擬專用網，一些企業的各個部門分布在不同領域，各部門有與之相對應的內部局域網絡，如果想要將這些局域網連接起來，可以使用VPN技術。信息數據首先由發送端局域網傳送至路由器進行加密，隨后通過互聯網傳輸，最后到達目的局域網的路由器上，目的局域網路由器會對信息進行解密，這就實現了局域網的數據信息在互聯網的安全傳輸。

2.4提升計算機網絡環境的安全級別

為了保證網絡的正常使用，需要按照相關的規定要求對計算機網絡環境進行升級。一個良好的物理環境，可以提高相關網絡設備的安全性。網絡中心機房應該建立良好的電源、防雷防火系統，機房應該保證合適的溫度和濕度，需要配備可以提供至少2小時以上供電的UPS后備電源，以防停電時機房內設備仍可繼續工作，防止由斷電引起的信息數據丟失及設備的損壞。同時機房要設置煙感器、滅火器、自動噴淋設備，防止由外界因素而導致機房的損壞。

2.5建立應急恢復體系

做好應急響應措施，一旦發生緊急情況，在最短時間內保證系統的恢復運行及數據的安全。一種方法是建立磁盤陣列，將多塊硬盤按不同的方式組合起來形成一個硬盤組，從而時間比單個硬盤更高的存儲性能和提供數據備份的可能。另一種方法是建立雙擊熱備份服務系統，即主服務器由兩臺服務器組成，當其中一臺服務器損壞之后，另一臺自動成為其備份服務器，能夠繼續提供服務。此外，服務器和終端都要定期備份數據，以保證意外發生之后可以快速恢復。

2.6對上網行為進行管理

建立安全管理機制，規范上網行為，對局域網內部用戶用網絡行為進行管理。根據安全策略，對網絡使用者的身份、終端、時間、地點、文件下載、郵件收發等操作進行及時通信管理。上網行為管理阻止了非法用戶入侵，規范了合法用戶的網絡使用行為，及時發現和處理異常情況，避免入侵者通過網頁、文件和郵件對網絡進行入侵，造成信息安全事故。

2.7建立安全管理機構，強化制度管理

除了以技術手段保障網絡數據安全之外，制定有效的管理規范制度并成立相關機構進行落實執行也是保障網絡數據安全的重要手段。要加強管理，首先要建立健全、完善、規范的計算機網絡使用條例，制定維護網絡系統的章程和網絡應急方案。對執行人員進行專業培訓，定期對系統進行安全審計，包含曰志審計、行為審計，通過日志審計查看系統是否遭受外來攻擊，從而評估網絡配置是否合理，安全策略是否有效，追溯分析安全攻擊軌跡，為實時防御提供手段。同時也要對使用者的網絡行為進行審計，定期組織培訓，加強所有使用人員對網絡安全維護的意識，提高人員的安全素質，防范打擊計算機犯罪，并且定期對計算機終端進行檢查維護。

3結束語

篇3

1網絡信息化建設中存在的安全問題

1.1網絡信息化建設的安全基礎不牢

與一些發達國家相比，我國網絡信息化起步晚，發展較慢，在網絡信息產品的進口方面受到了一定的阻礙，因此我國的網絡信息化建設工作在很大程度上處于被動和落后的狀態。1.1.1硬件設備方面我國在網絡信息化建設過程中所需的計算機主要來源是一些進口國家，盡管我國在超級計算機方面的整體水平并不輸于國際先進水平，但仍然不能擺脫進口國的地位，甚至在進行核心零部件制造時，國內大部分廠商也是以加工和組裝為主，缺乏原創性。1.1.2軟件設備方面由于我國電腦操作平臺幾乎被美國微軟所壟斷，如果不善加應用微軟的操作系統，那么我國的大部分軟件和網絡在運行上都將有很大難度，容易導致網絡信息化建設長期處于被動狀態，受他人限制。在網絡信息化建設過程中，我國管理軟件幾乎全依賴進口，這導致我國網絡信息化建設受到一定程度威脅，而國外軟件生產商卻能獲得高額利潤。可見，我國網絡信息化安全防護系統較為薄弱，基礎也不牢固，對國外的軟件設備依賴性強，這些都是阻礙網絡信息化建設進步的不利因素。

1.2網絡信息化建設中缺乏安全意識

在進行網絡信息化建設的過程中，按照很多工作的展開情況來看，并沒有體現出對于網絡信息化建設安全問題的重視，技術和安全往往成為被忽略的對象。在網絡信息化建設過程中，人們總是過于關注技術和設備，很少認識到對于安全的投入量，也忽略了安全的重要性，這導致網絡信息化建設中的安全漏洞頻繁出現，進而引起安全事故的發生。此外，政府機關單位和一些企業雖然有心加大對于網絡信息化建設安全的重視程度，但網站管理系統仍存在不少系統漏洞和安全隱患，而且也沒有做出對網絡信息化建設安全和管理的重要強調，為給網絡信息化建設創造一個安全的工作環境，強化在網絡信息化建設中的安全管理工作很有必要。

1.3網絡信息化建設缺乏安全防護措施

我國的網絡信息化建設工作除了缺乏安全意識以外，還缺乏對于危險的抵御力，不能用最適合的方法進行自我保護。

1.4網絡信息化建設工作受網絡犯罪嚴重影響

為了謀取利益，網絡犯罪分子經常利用詐騙、投入木馬病毒等手段竊取用戶私密信息，破壞用戶工作機密，造成大量危害，雖然國家有心找到有效合理的方法抵御網絡犯罪，但由于網絡犯罪分子的狡猾和隱秘性，成效并不明顯。

2網絡信息化建設中的安全策略

2.1完善網絡信息化建設安全的法律法規

2.1.1網絡信息化建設安全立法應體現與時俱進精神我國現階段所具備的網絡信息化建設安全法律層次較低，雖然法律內容涉及多個方面，但法規太過簡單，不能對網絡信息技術的發展趨勢做出及時反應，因此應該加強網絡信息化建設安全法律法規的深度和涵蓋面，同時進一步完善已有體系，在完善的過程中借鑒國外相關經驗并結合自身實際情況來加強網絡信息化建設。2.1.2規范網絡信息的和傳播我國在網絡信息共享安全方面缺少有深度的研究，責任制度也并不完善，因此在規范網絡信息的和傳播時，應該從國家和公眾利益出發加強認識網絡信息監管的重要性，避免危害網絡信息的情況發生。2.1.3加快推動網絡信息化建設安全立法為跟上網絡信息技術快速前進的腳步，網絡信息化建設安全的立法方面應該具有一定的預見性，對信息可能產生的安全風險進行大致評估，對網絡信息技術的發展做出適時反應，使法律法規對網絡信息化建設進行更好的管理。只有這樣才能加強法律的可行性。

2.2強化網絡信息化建設安全管理對政府的作用

政府在網絡信息化建設安全管理工作中起著主導作用，應當制定和完善對網絡信息化建設安全相關的法律法規，注意網絡信息化建設是否在正常軌道上健康運行發展，監管并處理對網絡信息化建設安全存在威脅的行為。

2.3完善網絡信息化建設安全方式

2.3.1實行許可與準入制度在網絡信息化建設安全管理過程中實行許可與準入制度，可有效監管網絡信息化建設的安全，現在很多國家都采用了這種方式，使網絡信息化建設的安全管理得到很大成效，而我國在實行許可與準入制度時需要更多地完善并建立科學合理的控制機制和審查機制，通過控制在網絡上的信息找出并解決在網絡信息化建設過程中存在的安全問題。2.3.2提升安全技術層次提升網絡信息化建設安全的技術層次需要運用最先進的技術，并對其進行監管操作，這樣可以進一步加強實行網絡信息監管的效果。

2.4對網絡信息化建設安全防護設備進行更新

網絡信息建設本身具備靈活性和連通性，給網絡不良行為的發生創造了有利條件，而為了減少這種情況的發生并加快對網絡信息化安全的建設，互聯網企業需要持續更新防護設備，并隨時觀察設備的防護情況，以防網絡不良信息的入侵。另外，為了使全球性的安全防護技術得以廣泛應用，讓網絡信息化建設得到安全保障，我國網絡信息建設安全相關負責人員需要加強和國際同行業的聯系以達到網絡信息化建設安全平穩運行的目的。除此之外，為了使局域網技術有效運用于特定范圍內并起到對網絡信息化安全建設的保護作用，實現網絡靈活性的有效應對，國家網絡信息化建設相關負責人員應將局域網技術作為重點加以應用。

3結語

篇4

關鍵詞：電力系統；強化；計算機網絡；信息安全

中圖分類號：TP393.08 文獻標識碼：A

目前，許多計算機、網絡系統或應用系統設計中都存在不完善或實現過程中出現錯誤即安全的漏洞(BUG.)，使網絡入侵成為可能。系統通信協議和應用服務協議中存在的弱點被人惡意地濫用造成了對系統或網絡的侵害。為了保證計算機系統、網絡系統和信息安全，近年來針對不同的問題研發了許多技術和產品，解決了安全需求的許多方面問題，這些技術和產品包括:防火墻產品、VPN設備、安全路由器、信息網關、授權身份認證系統、信息加密技術、安全性分析工具和安全評枯、安全檢測預警系統用于實時監視網絡上的數據流量。

但是，計算機網絡系統不安全的一個最大的原因是人們沒有足夠的認識和采取盡可能完善的防護手段，而且INTERNET安全沒有標準的過程和方法，新的安全問題的出現需要新的技術和手段來解決，因此，網絡安全要達到100%是不可能，網絡安全是一個動態的、不斷完善的過程，要不斷地進行安全分析(系統風險分析、系統安全需求分析)，建立安全管理條例、安全標準、應用系統規則和數據應用分類，安全屏蔽系統的確定、系統安全策略的制定、安全系統軟件性能的評估等，以找到完善的安全解決方案。

1 網絡系統的數據開發原則

電力市場技術支持系統所涉及的數據種類繁雜、數據量巨大，各子系統間相互聯系，數據相互交換。只有從大系統的角度仔細設計數據庫，才能把不同的應用軟件有機地聯成整體，從而適應電力系統的發展和軟件功能的擴展。因此，數據庫系統功能的強弱將直接影響到整個電力市場技術支持系統功能的實現。對電力數據網絡系統的數據庫來說，既要實現數據的可靠性、一致性和共享性，還要保證數據的實時性和可用性。

1.1 數據一致性

數據一致性，即相關數據的一致性。為滿足實時性，實時庫要映射到各工作內存中，這就要由實時庫管理系統進行統一管理，保證實時庫同步更新和同步數據刷新。

1.2 數據共享性

數據共享性不單指數據“共用”，還指數據庫不依賴于各子系統，即為各子系統共用，這可采用如SQL Server，ORACLE等商用數據庫系統實現，還應滿足數據與程序嚴格分離，數據的增刪、更改不需改程序，如圖B一5所示。這就要求數據庫具有很好的通用性，具有通用的操作語言，具有通用的數據結構和接口。

1.3 數據安全性

電力網絡的數據庫安全性是電力市場運營的一項重要指標，主要體現在如下兩個方面。

1.3.1 使用操作系統帶來的安全性問題

當今的軟件系統集成和擴展技術有一個顯著特點，即可以通過程序動態連接和數據動態交換完成。這一特點越來越成為系統集成的主導方向，系統升級開發的工作量因此大大減少，更新換代的周期也越來越短，在市場中有利地位也越來越明顯。但也帶來了系統的不穩定性、參數的變異或丟失等弊病，有時會影響數據庫的通用性。

1.3.2 與外部網絡連接后帶來的安全性問題

在電力市場條件下，電力企業信息網與INTERNET或其他外部網絡連接是必然的。如何監測并過濾電力內部產生所有通向外部網絡的信息和從外部網絡傳來的信息，保護電力向絡絨據庫的敏感商業數據和有關電網安全以及各運行的數據不被盜取、不被黑客破壞和修改，并記錄來自各方信息發出的時間、地點和操作情況，是電力網絡數據庫面臨的一個現實而嚴峻的問題?，F有的保護免受非授權黑客人侵的防火技術有包過濾技術、流盆檢測技術、狀態監視技術等。包過濾技術可以防止非授權客戶地址產生的人侵信息在兩個網絡之間常用的隔離方法，但效率低下，過濾技術同樣不能防止以盜用護地址為手段的非法人侵，狀態監視技術在不影響網絡安全正常工作的前提下，對網絡通信的各個層次進行監視，還可以監視遠程調用RPC和UDP端口信息，達到包過濾技術、技術無法達到的目標。但防火技術并不是十分完美的，隨著通信、網絡技術的發展，必須研究數據庫與防火墻技術、反黑客技術等，達到確保網絡數據傳輸安全的技術措施。

2 電力企業信息網絡安全解決對策

2.1 加強基礎設施建設，改善網絡環境

信息中／心機房和各工作點設備的安置環境安全是電力企業網絡信息安全的根本。機房要有門禁、監控、報警系統、機房專用滅火器、應急照明燈以及接地防雷措施，機房、配電間環境整潔，設備標識、布線清晰整齊，UPS、空調定期檢查，溫濕要度符合要求，從而保證企業的網絡環境安全。

2.2 加強員工信息安全培訓，提高信息安全意識

員工的信息安全意識對于電力企業的信息安全是非常重要的。企業應該組織開展多種形式的信息安全知識培訓，使員工養成良好的計算機使用習慣，例如不要將與工作無關的存儲介質在單位的計算機上使用，不要在電腦上安裝游戲或無關軟件，設置安全的開機口令并定期更改，設置屏幕保護密碼，重要文件要備份等等，實現全員化教育，提高信息安全意識。

2.3 采用有效的網絡硬件，加強網絡安全管理

目前用于解決網絡安全問題的產品主要有防火墻、入侵檢測系統(IDS)、入侵防御系統(IPS)和虛擬專用網(VPN)。防火墻是指在內部網之間的界面上構造的保護屏障，可以實現網絡安全隔離。IDS是一種網絡安全系統，當有敵人或者惡意用戶試圖通過進入網絡甚至計算機系統時，能夠檢測出來，井進行報警，通知網絡采取措施進行響應。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測。它可以防止或減輕網絡威脅。IPS可以被視作是增加了主動阻斷功能的IDS，同時在性能和數據包的分析能力等方面都比IDS有了質的提升。IPS位于防火墻和網絡的設備之間。這樣，如果檢測到攻擊，IPS會在這種攻擊擴散到網絡的其他地方之前阻止這個惡意的通信。VPN主要解決的是企業之間或系統之間跨地域的訪問與數據傳輸的安全問題，其目的在于保證企業內部的關鍵數據能夠安全地借助公共網絡進行交換。目前電力系統企業之間已建立有電力系統廣域網，各企業與上級機關及企業之間可以不借助VPN作為主要的訪問與傳輸途徑。

結語

完整而準確的系統運行記錄，是進行系統評價、系統改進和系統審核的基礎，也是保證系統安全性的重要措施。一般應記錄每天系統運行的時間，完成了哪些輸出，輸出報告被送往哪些部門，系統資源占用倩況如何，數據文件或數據庫內容是否被更新，運行中出現了哪些問題與故障，發生故障時現場條件如何，采取了哪些排除故障的措施，效果怎樣等等。這些內容應記在正規的值班日志上。若有些內容是計算機自動記錄的(如資源占用等)，則應把結果附在日志中。發生故瘴時應注意保護現場，盡量完全地記下當時的情況，如屏幕顯示的內容，打印機給出的信息，人員當時的操作，現場的溫濕度及電壓等，這些記錄對排除故障有很大的參考價值。

參考文獻

[1]冷增祥.電力電子技術基礎[M].東南大學出版社，2006.

篇5

網絡會計電算化安全風險防范措施

會計電算化作為現代企業財務管理的重要途徑，與其及時、準確、高效的優勢有著密不可分的關系，它利用計算機把傳統的記賬模式與經濟管理相結合，大大提高了企業財務管理的水平和賬務數據的質量，與此同時也給財會人員帶來了諸多新的問題。

一、網絡會計電算化信息安全風險

網絡會計電算化的安全主要是指電算化系統能夠保持正常穩定運行，系統數據、信息的安全和完整。會計電算化的安全性一直是財會人員所擔心和考慮的問題，同時也是系統設計人員著重研究的重點。在傳統會計信息數據管理方面，人們已經研究出一套較為完善的安全保障措施和防范辦法，而財務管理實行會計電算化后，由于數據信息存儲、輸入、傳送方式等變化，使財務數據的安全受到了嚴重的威脅，其存在的安全隱患主要有以下幾點：

1、會計信息數據的失真

會計信息是指企業在生產經營過程中所產生財務數據，對于企業的的財務管理、財務分析、運營狀況、資產負載等方面起著至關重要的作用。會計信息的完整、真實和準確是財務數據管理的基本要求，如果會計電算話系統受到損壞，會直接導致會計信息數據的錯誤、丟失或篡改，致使信息失真，其中的不安全因素主要表現為：（1）硬件問題，如計算機存儲硬盤損壞，數據信息又沒有進行備份造成的數據丟失。

（2）人為因素，惡意破壞導致的數據丟失或被篡改。

（3）環境的不安全因素，如網絡環境下一些不法分子利用互聯網入侵會計電算化系統導致重要信息的泄露、截取和篡改，也會造成會計信息的不安全。

2、人為的行為

一些會計從業人員為了個人利益非法轉移資金、掩蓋真實財務數據、向企業競爭對手泄露商業機密等行為。人為的破壞系統軟件或數據故意造成財務賬務數據的丟失，從而掩蓋其非法目的，給企業帶來嚴重損失。會計電算化的人為舞弊行為主要有以下兩點：

（1）錄入篡改。在會計信息錄入時故意進行篡改或刪除數據，造成企業財務信息與事實不符。

（2）軟件篡改。在裝有會計電算化系統的計算機中植入惡意程序，便于其達到某種不法目的。

3、工作人員的因素

在實際操作中往往由于會計電算化內部操作人員的一時疏忽、或者責任心不強等因素造成財務數據錄入出現錯誤，最后導致會計信息不可靠。

4、病毒造成的系統錯誤、數據丟失

在網絡科技飛速發展的今天，病毒的傳播速度也越來越快，越來越隱蔽，除了通過傳統的光盤、存儲載體等設備進行傳播以外，現在還可以通過互聯網進行傳播，在計算機聯網的環境下，可以更隱蔽、更快速的進行病毒傳播，同時其造成的破壞和危害也是極大的。目前的網絡計算機病毒不僅能對計算機軟件造成破壞，還可以對計算機硬件造成損壞，從而造成無法挽回的后果，因此，如何防范計算機病毒也是會計電算化從業人員必須掌握的一項技能。

二、防范會計電算化信息安全隱患的對策

隨著我國經濟的飛速發展和現代化建設的逐步推進，會計電算化行業也有了突飛猛進的發展。但是，由于網絡會計電算化內的安全隱患沒有得到很好解決，給企業造成了嚴重的損失。因此，做好網絡會計電算化信息安全隱患的防范工作和對策對于我們今后的財務安全有著非常重要的意義。

1、提高會計電算化的網絡技術安全

對于需要進入網絡系統的信息必須得經過嚴格的審核，如果未經審核的信息一旦進入網絡系統，將會造成電算化系統的不安全，從而影響會計信息的準確性和穩定性。要加強信息導入、輸出時的監控管理力度，確保輸入數據的安全性和準確性。由于網絡環境下存在的諸多不安全因素，企業應該提升會計數據防火墻的防控力度，在企業的財務內部網絡與外部公共網絡之間設立一道屏障，對于需要訪問內部網絡的信息要進行多次認證，確保安全后方可進行訪問。同時，也要做好會計數據網絡傳輸過程中的安全防護，對于網絡傳輸的數據信息要進行加密處理，防止不法分子中途截取后進行惡意利用，即使數據被截取也能保證信息不被泄露。

2、做好重要數據的備份和硬件的維護

企業會計人員要定期為核心的會計數據進行備份，保證會計電算化系統出問題時的原始數據恢復。在信息數據備份時要盡量縮短備份周期，這樣可以在會計電算化系統或硬件出問題時減少數據的丟失。也可以通過拷貝功能將這些數據復制到一些可靠性較高的存儲載體上進行妥善保管。如果計算機系統有自動備份功能的話要合理進行設置，盡量避免因人為的錯誤導致的會計數據丟失。

3、合理分配系統操作員權限

會計電算化系統的權限分配在會計數據安全方面也起著至關重要的作用。在會計電算化工作中，不同級別和不同職務之間操作員的工作范圍也是各不相同的，他們操作系統的權限和訪問的數據信息也是不同的，所以各操作員的權限和訪問范圍必須通過最高的系統管理員進行分配、授權才能進行操作，這樣就避免了職務不同的操作員對軟件的誤操作，在一定程度上也杜絕和限制了操作員在系統中的行為。

4、做好計算機病毒的防護

隨著計算機互聯網技術的發展，計算機病毒也在不斷地推陳出新。各個行業都在采取措施來防范計算機病毒帶來的危害，針對層出不窮的計算機病毒攻擊和侵害，目前主要采取的防范措施有：

三、結束語

網絡會計電算化信息系統在給企業會計人員帶來方便的同時大大提高了企業的財務管理水平。只有做好會計電算化系統安全防護，才能讓會計電算化系統更好的為企業服務，所以，加強企業網絡信息的安全防護是十分必要的。參考文獻：

篇6

關鍵詞：信息化；網絡安全；企業；解決方案

0　引言

現代企業信息化網絡是基于內部傳輸網和Internet網絡的互聯網絡，由于公眾網絡是一個相對開放的平臺，網絡接入比較復雜，掛接的相關點比較多，網絡一旦接入公眾網絡，對于一些網絡安全比較敏感的數據，傳輸的安全性就比較弱，比較危險。本文將重點分析企業網絡系統安全性方面以及業務系統安全性方面存在的問題。

1　企業信息化網絡存在的安全隱患

1.1　Windows系統的安全隱患

Windows的安全機制不是外加的，而是建立在操作系統內部的，可以通過一定的系統參數、權限等設置使文件和其他資源免受不良用戶的威脅(破壞、非法的編輯等等)。例如設置系統時鐘，對用戶賬號、用戶權限及資源權限的合理分配等。

由于Windows系統的復雜性，以及系統的生存周期比較短，系統中存在大量已知和未知的漏洞。一些國際上的安全組織已經公示了大量的安全漏洞，其中一些漏洞可以導致入侵者獲得管理員的權限，而另一些漏洞則可以被用來實施拒絕服務攻擊。例如，Windows所采用的存儲數據庫和加密機制可導致一系列安全隱患：NT把用戶信息和加密口令保存于NTRegistry的SAM文件即安全賬戶管理(securityAccounts Management)數據庫中，由于采用的算法的原因，NT口令比較脆弱，容易被破譯。能解碼SAM數據庫并能破解口令的工具有：PWDump和NTCrack。這些工具可以很容易在Internet上得到。黑客可以利用這些工具發現漏洞而破譯―個或多個DomainAdministrator帳戶的口令，并且對NT域中所有主機進行破壞活動。

1.2　路由和交換設備的安全隱患

路由器是企業網絡的核心部件，它的安全將直接影響整個網絡的安全。路由器在缺省情況下只使用簡單的口令驗證用戶身份，并且在遠程TELNET登錄時以明文傳輸口令。一旦口令泄密，路由器將失去所有的保護能力。同時，路由器口令的弱點是沒有計數器功能，所以每個人都可以不限次數地嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。每個管理員都可能使用相同的口令，路由器對于誰曾經作過什么修改沒有跟蹤審計的能力。此外，路由器實現的某些動態路由協議存在一定的安全漏洞，有可能被惡意攻擊者利用來破壞網絡的路由設置，達到破壞網絡或為攻擊作準備的目的。

1.3　數據庫系統的安全隱患

一般的現代化企業信息系統包含著多套數據庫系統。數據庫系統是存儲重要信息的場所并擔負著管理這些數據信息的任務。數據庫的安全問題，在數據庫技術誕生之后就一直存在，并隨著數據庫技術的發展而不斷深化。如何保證和加強數據庫系統的安全性和保密性對于企業的正常、安全運行至關重要。

我們將企業數據庫系統分成兩個部分：一部分是數據庫，按照一定的方式存取各業務數據。一部分是數據庫管理系統(DBMS)，它為用戶及應用程序提供數據訪問，同時對數據庫進行管理，維護等多種功能。

數據庫系統的安全隱患有如下特點：涉及到信息在不同程度上的安全，即客體具有層次性和多項性；在DBMS中受到保護的客體可能是復雜的邏輯結構，若干復雜的邏輯結構可能映射到同一物理數據客體上，即客體邏輯結構與物理結構的分離；客體之間的信息相關性較大，應該考慮對特殊推理攻擊的防范。

2　企業信息化網絡安全策略的體系

網絡安全策略為網絡安全提供管理指導和支持。企業應該制定一套清晰的指導方針，并通過在組織內對網絡安全策略的和保持來證明對網絡安全的支持與承諾。

2.1　安全策略系列文檔結構

(1)最高方針

最高方針，屬于綱領性的安全策略主文檔，陳述本策略的目的、適用范圍、網絡安全的管理意圖、支持目標以及指導原則，網絡安全各個方面所應遵守的原則方法和指導性策略。安全策略的其他部分都從最高方針引申出來，并遵照最高方針，不與之發生違背和抵觸。

(2)技術規范和標準

技術標準和規范，包括各個網絡設備、主機操作系統和主要應用程序應遵守的安全配置和管理技術標準和規范。技術標準和規范將作為各個網絡設備、主機操作系統和應用程序安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標準，不允許發生違背和沖突。它向上遵照最高方針，向下延伸到安全操作流程，作為安全操作流程的依據。

(3)管理制度和規定

管理制度和規定包括各類管理規定、管理辦法和暫行規定。從安全策略主文檔中規定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規定、管理辦法和實施辦法，必須具有可操作性，而且必須得到有效推行和實施。它向上遵照最高方針，向下延伸到用戶簽署的文檔和協議。用戶協議必須遵照管理規定和管理辦法，不與之發生違背。

(4)組織機構和人員職責

安全管理組織機構和人員的安全職責，包括安全管理機構組織形式和運作方式，機構和人員的一般責任和具體責任。作為機構和員工工作時的具體職責依照，此部分必須具有可操作性，而目必須得到有效推行和實施。

(5)用戶協議

用戶簽署的文檔和協議，包括安全管理人員、網絡和系統管理員安全責任書、保密協議、安全使用承諾等等。作為員工或用戶對日常工作中遵守安全規定的承諾，也作為違背安全時處罰的依據。

2.2　策略體系的建立

目前的企業普遍缺乏完整的安全策略體系，沒有將政府高層對于網絡安全的重視體現在正式的、成文的、可操作的策略和規定上。企業應當建立策略體系，制定安全策略系列文檔。建議按照上面所描述的策略文檔結構，建立起安全策略文檔體系。

建議策略編制原則為建立一個統一的、體系完整的企業安全策略體系，內容覆蓋企業中的所有網絡、部門、人員、地點和分支機構。鑒于企業中的各個機構業務情況和網絡現狀差別很大，因此在整體的策略框架和體系下，允許各個機構根據各自情況，對策略體系中的管理制度、操作流程、用戶協議、組織和人員職責進行細化。但細化后的策略文檔必須依照企業統一制定的策略文檔中的規定，不允許發生違背和矛盾，其要求的安全程度只能持平或提高，不允許下降。

2.3　策略的有效和執行

安全策略系列文檔制定后，必須和有效執行。和執行過程中除了要得到企業高層領導的大力支持和推動外，還必須要有合適的、可行的和推動手段，同時在和執行前對每個本員要進行與其相關部分的充分培訓，保證每個人員都了解與其相關部分的內容。必須要注意到這是一個長期、艱苦的工作，需要付出艱苦的努力，而且由于牽扯到企業許多部門和絕大多數人，可能需要改變工作方式和流程，所以推行起

來阻力會相當大；同時安全策略本身存在的缺陷，包括不切實際的、太過復雜和繁瑣的、規定有缺欠的情況等，都會導致整體策略難以落實。

3　企業信息化網絡安全技術總體解決方案

參考以上所論述的，結合現有網絡安全核心技術，本文認為，企業信息化網絡總體的安全技術解決方案將圍繞著企業信息化網絡的物理層、網絡層、系統層、應用層和安全服務層搭建整體的解決方案，企業信息化網絡建設將著重從邊界防護、系統加固、認證授權、數據加密、集中管理五個方面進行，在企業信息化網絡中重點部署防火墻、入侵檢測、漏洞掃描、網絡防病毒、VPN五大子系統，并通過統一的平臺進行集中管理，從而實現企業信息化網絡安全既定的目標。

3.1　防火墻系統的引入

通過防火墻系統的引入，利用防火墻“邊界隔離+訪問控制”的功能，實現對進出企業網的訪問控制，特別是針對內網服務器資源的訪問，進行重點監控，可以提高企業網的網絡層面安全。防火墻子系統能夠與入侵檢測子系統進行聯動，當入侵檢測系統對網絡中的數據包進行細粒度檢測，發現異常，并通知防火墻時，防火墻會自動生成安全策略，將訪問源阻斷在防火墻之外。

3.2　入侵檢測子系統的引入

入侵檢測系統用于實時檢測針對重要網絡資源的網絡攻擊行為，它會對企業網內異常的訪問及數據包發出報警，以便企業的網絡管理人員及時采取有效的措施，防范重要的信息資產遭到破壞。同時，可在入侵檢測探測器與防火墻之間建立互動響應體系，當探測器檢測到攻擊行為時，向防火墻發出指令，防火墻根據入侵檢測系統上報的信息，自動生成動態規則，對發出異常訪問及數據包的源地址給予阻斷。入侵檢測和防火墻相互配合，能夠共同提高企業網整體網絡層面的安全性，兩個系統共同構成了企業網的邊界防護體系。

3.3　網絡防病毒子系統的引入

防病毒子系統用于實時查殺各種網絡病毒，可防范企業網遭到病毒的侵害。企業應在內部部署網關級、服務器級、郵件級，以及個人主機級的病毒防護。從整體上提高系統的容災能力，提升企業網整體網絡層面的安全性。

3.4　漏洞掃描子系統的引入

漏洞掃描子系統能定期分析網絡系統存在的安全隱患，把隱患消滅在萌牙狀態。針對企業網絡中存在眾多類型的操作系統、數據庫系統，運行著營銷系統、財務系統、客戶信息系統、人力資源系統等重要的應用，如何確保各類應用系統的穩定和眾多信息資產的安全，是企業信息化網絡中需要重點關注的問題。通過漏洞掃描子系統對操作系統、數據庫、網絡設備的掃描，定期提交漏洞及弱點報告，可大大提高企業網整體系統層面的安全性。該系統與病毒防范系統一起構成了企業網的系統加固平臺。

3.5　數據加密子系統的引入

通過對企業網重要數據的加密，確保數據在網絡中以密文的方式被傳遞，可以有效防范攻擊者通過偵聽網絡上傳輸的數據，竊取企業的重要數據，或以此為基礎實施進一步的攻擊，從而提高了企業網整體應用層面的安全性。

篇7

傳統的高效科研管理信息系統由于數據吞吐量大，給實際使用帶來了諸多不便，本文通過對大數據信息進行分類、篩選、管理、控制，提煉出“關鍵碎片信息”，并形成各學科或課題的碎片信息體系，大大提高了數據的指向效率，使系統更加快捷、高效。信息平臺提供了豐富了應用工具和云服務功能，可以便捷的對互聯接口和科研流程進行管理和控制。

【關鍵詞】碎片 科研數據庫 云服務 信息安全

1 引言

高校信息化自20世紀80年代開始逐步發展，最初主要用在財務管理領域。隨著信息管理便捷、高效、安全等優勢的體現，后勤管理、科研管理、學生管理等領域也開始引入信息管理系統，尤其是科研管理解決了過往學校對各學院的橫向及縱向項目缺乏實時跟蹤、管理不力等難題。

針對當前科研管理系統的現狀，本文提出了全新的“碎片化”建設方法及建設思路，以解決問題驅動為數據鏈，形成整個業務流程的數據閉環。同時，采用遠距離相互認證與密鑰協商機制，大大提高了科研管理信息系統的安全性。

2 基于“碎片化”的科研管理系統設計

碎片化服務的特點是截取信息的關鍵片段，建立最小服務單元，使信息化的處理流程更加清晰，對角色、權限的定位更加快捷。在應用的過程中，更容易實現定點定時定人的各種推送服務。同時，在理清數據源頭、規范數據標準、保持數據一致方面優勢明顯，由于業務應用的碎片化，每個業務需求都可以單獨定制，大大提高了系統的擴展性，降低了建設周期和維護成本。

2.1 科研管理信息系統服務架構

科研管理信息系統以碎片化服務、開放平臺、數據庫、云服務為主要框架?！八槠铡笔钦麄€業務流程的支撐；各課題組與科研管理系統通過信息化開放平臺進行交互；按照國家及學校的信息標準模型構建后臺數據庫，并以應用服務的建設為牽引不斷進行更新迭代；云服務為各用戶提供了更加便捷的個人信息存儲和管理服務。

2.2 信息“碎片化”處理

將大數據進行碎片化，本質上一個信息碎片管理與加工的過程。為了從“巨量信息”中提取出有價值的信息碎片，將“巨量信息”分為有意義和無意義的信息碎片，在有意義的信息碎片中進一步提煉出表征關鍵信息的碎片，如圖1所示。

從圖1中可以看出，信息的碎片化處理是一個層層深入挖掘信息的過程，首先需要在“巨量信息”中挖掘有意義而舍棄無意義信息碎片。大數據時代信息碎片的篩選將碎片進行分類管理，使信息碎片變得條理有序。由于科研課題具有獨特的專業性，關鍵信息碎片的篩選一般應由相應的學院或課題組在信息平臺上直接進行采集、編輯、分類等工作，并由管理員統一審核、編輯與等處理碎片信息，經過長期積累，形成相應學科或課題的體系。

在數據庫檢索過程中，關鍵是對碎片化的指向進行分析，對整個知識體系進行指向歸納，碎片信息猶如人體的各個部件，脫離了知識體系這個生命整體，任何一個部件都會失去原有的意義。如果把碎片知識比作積木，要想搭建高樓大廈，那么還需要進行結構化、系統化的設計與加工，要在汲取相關材料的基礎上，應用行之有效的科學方法，使碎片化學習過程中獲取的信息碎片體系化。

2.3 信息平臺軟件設計

信息平臺為“碎片化”服務提供了接入與運行的基礎環境，由管理中心、流程控制中心、互聯總線、應用組件、數據庫、云服務等六大核心功能中心組成，管理中心主要負責對系統進行個性化配置，如本地化部署方案、數據接口的提供、身份認證及安全管理等；流程控制中心可以猶地對科研管理流程進行增添、刪除、修改流程中的活動節點或更改業務邏輯，重新驗證發生變化的流程定義的正確性、合法性等；應用組件，包括校內主開發及第三方企業開發的各類應用，為科研管理系統提供各類應用工具；互聯總線負責管理各類接入科研管理信息系統的接口，如財務系統接口、學生管理系統接口等等；數據庫提供運行數據支撐；云服務提供各類便捷的云端存儲、管理、配置等功能。

3 科研管理信息系統安全設計

3.1 信息安全風險來源

在當前網絡環境下，科研管理信息系統安全性的威脅來源主要有以下幾個方面：

（1）非授權訪問。以假冒身份、尋找“后門”、盜竊賬戶等方式不經許可，對系統進行入侵。

（2）數據破壞。以非法手段對數據進行破壞，導致整個系統的數據發生致命錯誤，影響系統的正常運行。

（3）信息盜竊。通過隱蔽隧道，對傳輸過程中的數據進行竊取，危害極大。

（4）傳播病毒。利用軟件的漏洞對系統進行攻擊或散播病毒。

（5）服務攻擊。攻擊者不斷對網絡服務系統進行干擾，改變其作業流程，影響正常用戶的使用。

3.2 系統安全設計

高校課題中不乏牽扯到國家安全的保密性項目，一旦信息泄露，將會對國家和人民造成重大損失，因此必須系統的安全設計是重中之重。本文介紹的科研管理系統主要通過以下手段保障信息的安全：

（1）運用現代數據庫技術，結合檔案歸類、保密等級切實建設好電子檔案數據庫是保證電子檔案安全的重要途徑。為了保證電子檔案的安全性，可采用分布式存儲、災備技術，及時對電子檔案建立可靠的數據備份，實施異地保存。這樣可以有效地防止自然災害、黑客攻擊和病毒感染等，確保電子檔案的安全，提高遠程訪問的有效性，增強電子檔案數據庫系統的容錯率。根據管理人員職責，分別在電子檔案管理系統中分配有效的操作權限，合理劃分對電子檔案數據訪問的控制權限。對于每個電子檔案文件，必須標示文件生成過程，以保障電子檔案的真實性。

（2）創建電子檔案管理系統。一個完善的電子檔案管理系統應包括用戶模塊、分級管理人員模塊、系統控制模塊和系統認證模塊。用戶為了獲取相關檔案的利用，必須將其身份信息與利用請求發送給系統，系統根據請求內容將用戶信息和請求轉發給相應管理人員。管理人員驗證用戶信息的真實性和請求的合理性，利用遠距離相互認證與密鑰協商機制，證實雙方身份的真實性，并與用戶共享會話密鑰。管理人員利用自主控制策略，實現用戶權限管理。用戶對系統的訪問是一次性的，具有一定的時間限制。用戶解密后，獲取簽密文件，但是無法閱讀簽密文件，只可以驗證其有效性。如果驗證該文件確實是管理人員簽發的，用戶把簽密文件轉發送給管理系統，管理系統自動解密該文件，驗證簽名的有效性，獲取訪問消息，從而得知用戶能夠得到檔案的類別及其范圍限制等。管理人員的工作密鑰和系統的密鑰必須定時自動更新，以保障管理系統的前向安全性。如果通過驗證，系統啟動數據庫服務器，數據庫服務器訪問相應數據庫，最后生成利用文件。根據利用文件內容、用戶身份信息、管理人員身份等，自動產生認證簽章，并且運用數字水印技術，在文件上生成防偽水印。系統自動完成檔案利用的記錄，包含利用者的身份信息、訪問時間等，從而建立可靠、完整的檔案利用記錄。為了提高電子檔案的保密性、可靠性，應實現分級審核和權限審核等功能。

（3）電子檔案系統要配備先進的入侵檢測系統。電子檔案系統要配備先進的入侵檢測系統，及時發現來自網內外的非法入侵行為；安裝的殺毒軟件要及時更新病毒庫，真正做到御（敵）于網外；加強電子檔案系統的審計系統建設，設置自動啟動的電子檔案操作日志；從安全日志中分析入侵事件或非法訪問，運用網絡取證等手段有效遏制入侵、破壞電子檔案系統的犯罪行為。

4 結論

“碎片化”使數據流龐大的科研管理信息系統變得更加快捷、高效，在實際使用中取得了良好的效果。通過對大數據信息進行分解、篩選、管理，建立各學科、課題的關鍵碎片化信息，并構建相應的信息體系，提升了數據庫的指向和管理效率。

信息平臺提供了各種便捷的應用工具和云服務，可以高效的對互聯接口及科研流程進行管理和控制。

參考文獻

[1]吳秉健.信息碎片化[J].中國信息技術教育，2016（08）.

[2]陳遠，袁艷紅.網絡信息碎片化機理與對策研究[J].現代商貿工業，2012，24（01）：247-248.

[3]許劍茹.信息碎片化語境下移動終端導示系統設計研究[D].北京印刷學院，2014.

[4]周冰潔.碎片化信息的串聯性組織方式研究――設計資源平臺規劃設計[D].東華大學，2015.

篇8

 

一、加強頂層設計，確立信息安全教育國家戰略

 

1.《網絡空間安全國家戰略》

 

布什政府在2003年2月了《網絡空間安全國家戰略》，其中首次從國家層面提出了“提高網絡安全意識與培訓計劃”，指出，“除了信息技術系統的脆弱性外，要提高網絡的安全性至少面臨著兩個障礙：缺乏對安全問題的了解和認識;無法找到足夠多的經過培訓或通過認證的人員來建立并管理安全系統?！盀榇?，美國要開展全國性的增強安全意識活動，加強培訓和網絡安全專業人員資格認證。

 

2.《美國網絡安全評估》報告

 

2009年5月29日美國公布了《美國網絡安全評估》報告，評估了美國政府在網絡空間的安全戰略、策略和標準，指出了存在的問題，提出行動計戈IJ。所提議的優先行動計劃之一就是“加強公眾網絡安全教育”。

 

3.《國家網絡安全綜合計劃》(CNCI)

 

2010年3月2日，奧巴馬政府對前布什政府在2007年制定的一份國家網絡安全綜合計劃的部分內容進行解密。CNCI計劃提出要實現重要目標之一就是：“為了有效地保證持續的技術優勢和未來的網絡安全，必須制定一個技術熟練和精通網絡的勞動力和未來員工的有效渠道。擴大網絡教育，以加強未來的網絡安全環境。”

 

4.《國家網絡空間安全教育戰略計劃》

 

2011年8月11日，NIST授權《美國網絡

 

安全教育倡議戰略規劃：構建數字美國》草案，征求公眾意見。該規劃是美國網絡安全教育倡議(NICE)的首個戰略規劃，闡明了NICE的任務、遠景和目標。NICE旨在通過創新的網絡行為教育、培訓和加強相關意識，促進美國的經濟繁榮和保障國家安全，并通過以下三個目標實現這一愿景：增強公眾有關網上活動風險的意識;擴展能支持國家網絡安全的人員隊伍;建立和維持一支強大的具有全球競爭力的網絡安全隊伍。

 

二、做好立法工作，完善法規標隹體系

 

1.《聯邦信息安全管理法案》(FISMA)

 

2002年7月，美國政府制定了《聯邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美國政府已經認識到信息安全對美國經濟和國家安全利益的重要性，并從風險管理角度提出了一個有效的信息安全管理體系。信息安全教育與培訓是信息安全管理體系中一個重要環節。

 

FISMA法案明確要求：聯邦政府機構須為內外部相關人員提供信息安全風險的安全意識培訓，為此還提議了一個較為完善的國家安全意識及其培訓系統。

 

2.國防部(DoD)8570指令

 

2005年12月，為了更好地支持“全球信息網格計戈j”，美國國防部了8570指令。該指令涵蓋以下主要內容：建立技術基準，管理職員的信息保障技能;實現正規的信息保障勞動力技能培訓和認證活動;通過標準的測試認證檢驗信息保障人員的知識和技能;在基礎教育和實驗教育中，持續的增加信息保障內容。

 

3.聯邦政府信息技術安全培訓標準(FIPS)

 

FISMA法案明確指定NIST負責制定聯邦政府(除國防、情報部門以外)所使用的信息安全技術、產品和培訓方面的國家標準。目前，NIST已制定和兩部權威的信息安全培訓標準：《信息技術安全培訓要求：基于角色和表現的模型》(NISTSP800-16)和《建立信息安全意i只和培訓方案》(NISTSP800—50)cNIST在SP800—16標準中提出了信息安全培訓概念性的框架，依據這些框架，美國聯邦政府部門開展了很多綜合性的聯邦計算臟務(FSC)項目。

 

4.網絡安全法案

 

2010年3月24日，美國參議院商務、科學和運輸委員會全票通過了旨在加強美國網絡安全、幫助美國政府機構和企業有效應對網絡威脅的《網絡安全法案》。該法案要求政府機構和私營部門加強在網絡安全領域方面的信息共享，強調通過市場手段，鼓勵培養網絡安全人才，開發網絡安全產品和服務。

 

三、構建信息網絡安全組織機構，健全安全教育培訓管理體制

 

為了落實信息安全教育培訓相關政策和法律法規，美國將協調、執行、監督、管理等權利分配給多個政府部門，依據最新的《國家網絡安全教育戰略計劃》的思路，國家標準技術研究所(NIST)為整個計劃的負責單位，協調其他部門參與計劃的實施;國土安全部(DHS)、國防部(DoD)、國務院、教育部和國家科學基金會(NSF)協力加強公眾的信息安全意識;DHS、海關總署、NSF和國家安全局(NSA)共同加強從業人員f支術能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)負責建立高端網絡安全人才隊伍。

 

社會各界積極參與

 

行業協會已經站到了信息安全教育培訓的前沿，成為信息安全教育培訓的踐行者。其職責主要是協助有關部門制定信息安全教育與培訓的標準，組織持續的教育活動，并向內部成員單位實施培訓。行業協會自身作為提供教育和培訓的主體，一方面可以根據政府的引導和企業的需求來設置培訓內容;另一方面可以利用政府和產業界的資源，充分發揮其在信息安全領域內不可替代的社會職能。行業協會提供的培訓標準是政府制定的培訓標準的主要補充，為規范和完善美國信息安全培訓行業提供了切實可行的保障。

 

(1)國際信息系統審計協會(丨SACA)

 

國際信息系統審計協會(ISACA)是一個為信息管理、控制、安全和審計專業設定規范標準的全球性組織，會員遍布逾160個國家，總數超過86,000人。ISACA成立于1969年，除贊助舉辦國際會議外，還編輯出版《信息系統監控期刊》，制定國際信息系統的審計與監控標準，以及頒授國際廣泛認可的注冊信息系統審計師(CISA)專業資格認證。CISA認證體系已通過美國國家標準協會(ANSI)依照ISO/IEC17024:2003標準對其進行的資格鑒定。同時，美國國防部也認可了CISA認證，并將其納入到國防系統信息技術人員技能商業資格認證體系當中。這產生了以下四方面的作用：認可CISA認證所提供的特有資格和專業知識技能;保護認證的信譽并提供法律保護;增進消費者和公眾對本認證和持證者的信心;使跨國、跨行業的人才流動更加便利。

 

(2)美國系統網絡安全(SANS)研究院SANS是于1989年創立的美國非政府組織(NGO)，是一所具有代表性的從事網絡安全研究教育的專業機構。1999年SANS首次推出了安全技術認證程序(GIAC)。

 

GIAC認證程序有以下幾個特點：

 

GIAC提供超過20種的信息安全認證，其大多數符合DOD8570指令。GIAC依據國家標準對安全專業人員及開發人員進行各方面技能認證。GIAC安全認證分為入門級信息安全基礎認證(GISF)和高級安全要素認證(GSEC)。兩種認證都重點考察安全基礎知識，保證揺正人員擁有必備的安全技能。其它GIAC安全認證包括：認證防火墻分析師(確認設計、配置和監控路由器、防火墻和其它邊界設備所需的知識、技能和能力)、認證入侵分析師(評估考生配置和監控入侵檢測系統的知識)、認證事故處理員(考察考生處理事故和攻擊的能力)和認證司法辯論分析師(考查考生高效處理正式司法調查的能力。

 

(3)國際信息系統安全認證聯盟(ISC)2

 

國際信息系統安全核準聯盟(ISC)2成立于1989年，是一家致力于為全球信息系統安全從業人員提供信息安全專業技能培訓和認證的國際領先非營利組織。在(ISC)2各種認證中，CISSP數量最多。截至2010年底，全球共有75000名CISSP獲證人員，其中，美國獲證人員數量超過70%^CISSP獲證人員中，約30%在政府部門工作，40%從事信息安全月服務行業，30%從事用戶終端工作。

 

注冊信息系統安全專業人員通用知識體(CISSPCBK)提供了通用的信息安全術語和原理框架，使得全世界的信息安全專業人員能夠以相同的術語和理念，討論、辯論和解決信息安全相關問題。

篇9

根據相關理論，網絡信息安全主要受技術、操作及管理等三方面因素的影響。其中，管理是影響網絡信息安全最核心的因素，值得網絡信息安全工作中高度關注。

（1）技術。

主要指信息產品和過程，比如防火墻技術、殺毒軟件、侵入檢測技術及信息加密方法等。

（2）操作。

主要包括信息安全的強化機制與方法、各種信息安全威脅所引起的運行缺陷糾正措施、物理干預方法、數據備份機制、環境威脅規避方法等。

（3）管理。

一般指信息安全的非技術性領域，包含所應用的政策、員工培訓計劃、業務規劃策略等。其中，網絡安全信息領域所應用的“三全”工作模式便是近些年來大范圍推廣的網絡信息安全管理方法。

2信息安全及網絡安全“三全”工作模式探討

為確保信息安全工作基礎得以進一步的強化，提升信息安全的保障能力及提高運維服務能力，在網絡信息安全領域中應用“三全”工作模式顯得極其重要。主要可從以下渠道進行：

（1）健全信息化項目管理機制。

在信息化工作中，逐步落實《信息化工作職責一覽表》及《信息化工作整體流程圖》等制度的制定工作，并推進實際信息化建設與管理中的整體流程及職責落地工作。另外，還需要不斷完善信息項目管理機制及過程管控機制，不斷優化完善信息化管控體系管理手冊、過程管控文件、工作記錄文件及過程文件等不同等級的文檔，以確保項目推進規范化。項目得以順利推進的核心在于項目溝通協調監理機制的完善。

（2）推進信息安全長效機制建設。

在網絡信息安全工作中，以“三全”工作管理模式作為基本的契合點，不斷完善應用系統的“三全”基礎性信息庫，并依據信息基礎設施及業務系統的實際動態情況進行及時性地更新、調整，以確保信息化基礎性數據處于最新的狀態下。另外，加強應用系統技術性及信息管理問題的排查工作，提出相應的整改方法，明確整改責任人，限定最后的整改期限，確保整改工作得以高效、順利進行。

（3）加快信息安全保障體系構建。

開展應用系統的安全層級保護整改項目的穩健落地，積極評估信息安全風險，加強對信息安全的配置，網絡信息安全領域的管理體系咨詢工作；對現有及未來將采購的信息化應用產品、系統軟硬件平臺及自主開發的信息安全管控模塊與不同信息化平臺進行整合為具備特定信息安全等級的集成系統，并全面規劃企業網絡信息安全技術集成方案。另外，后續所開發的業務管理運營系統需確保與公司所推進的網絡信息安全管理體系相匹配，以扎實推進信息安全管控體系的實施落地。

（4）積極開展信息安全應急演練。

應急方案演練，是提升信息安全等級的重要渠道之一?？筛咝Ю弥苣嶋H，根據企業實際情況安排停機時間，結合企業實際情況編寫信息安全應急演練方案，按照應急演練通知，組織培訓、掌握應急方案，開展應急演練，現場實際操作等流程規范化、有序化地進行應急演練活動。對于應急演練中所發現的各項問題，應有計劃性地進行結語與評估，并認真研究有效的處理方法，提升企業網絡信息安全管控水平。

（5）加強網站及郵件系統安全防護。

在公共服務區外網入口區域部署防DNS攻擊、入侵實時監測、預防網絡篡改、網絡負載均衡、反垃圾郵件等軟硬件系統，為互聯網公共服務提供有效的保護策略。每個季度、每個月定期化地進行一次企業內部操作系統、應用系統的安全性檢測，提高網絡運行的安全穩定性。

3結語

篇10

根據__、__和__、__有關要求，為進一步加強網絡和信息安全管理工作，經__領導同意，現就有關事項通知如下。

一、建立健全網絡和信息安全管理制度

各單位要按照網絡與信息安全的有關法律、法規規定和工作要求，制定并組織實施本單位網絡與信息安全管理規章制度。要明確網絡與信息安全工作中的各種責任，規范計算機信息網絡系統內部控制及管理制度，切實做好本單位網絡與信息安全保障工作。

二、切實加強網絡和信息安全管理

各單位要設立計算機信息網絡系統應用管理領導小組，負責對計算機信息網絡系統建設及應用、管理、維護等工作進行指導、協調、檢查、監督。要建立本單位計算機信息網絡系統應用管理崗位責任制，明確主管領導，落實責任部門，各盡其職，常抓不懈，并按照“誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，切實履行好信息安全保障職責。

三、嚴格執行計算機網絡使用管理規定

各單位要提高計算機網絡使用安全意識，嚴禁計算機連接互聯網及其他公共信息網絡，嚴禁在非計算機上存儲、處理信息，嚴禁在與非計算機之間交叉使用移動存儲介質。辦公內網必須與互聯網及其他公共信息網絡實行物理隔離，并強化身份鑒別、訪問控制、安全審計等技術防護措施，有效監控違規操作，嚴防違規下載和敏感信息。嚴禁通過互聯網電子郵箱、即時通信工具等處理、傳遞、轉發和敏感信息。

四、加強網站信息審查監管

各單位通過門戶網站在互聯網上公開信息，要遵循不公開、公開不的原則，按照信息公開條例和有關規定，建立嚴格的審查制度。要對網站上的信息進行審核把關，審核內容包括：上網信息有無問題；上網信息目前對外是否適宜；信息中的文字、數據、圖表、圖像是否準確等。未經本單位領導許可嚴禁以單位的名義在網上信息，嚴禁交流傳播信息。堅持先審查、后公開，一事一審、全面審查。各單位網絡信息審查工作要有領導分管、部門負責、專人實施。

五、組織開展網絡和信息安全清理檢查