信息安全方针和策略精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的信息安全方针和策略主题范文，仅供参考，欢迎阅读并收藏。

第1篇：信息安全方针和策略范文

论文摘要:文章首先分析了信息安全外包存在的风险，根据风险提出信息安全外包的管理框架，并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制，并获得与外包商合作的最大收益。

1信息安全外包的风险

1.1信任风险

企业是否能与信息安全服务的外包商建立良好的工作和信任关系，仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息，并全面了解其企业和系统的安全状况，而这些重要的信息如果被有意或无意地对公众散播出去，则会对企业造成巨大的损害。并且，如若企业无法信任外包商，不对外包商提供一些关键信息的话，则会造成外包商在运作过程中的信息不完全，从而导致某些环节的失效，这也会对服务质量造成影响。因此，信任是双方合作的基础，也是很大程度上风险规避的重点内容。

1.2依赖风险

企业很容易对某个信息安全服务的外包商产生依赖性，并受其商业变化、商业伙伴和其他企业的影响，恰当的风险缓释方法是将安全服务外包给多个服务外包商，但相应地会加大支出并造成管理上的困难，企业将失去三种灵活性:第一种是短期灵活性，即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力，即在短期到中期的事件范围内所需的灵活性，这是一种以新的方式处理变革而再造业务流程和战略的能力，再造能力即包括了信息技术;第三种灵活性就是进化性，其本质是中期到长期的灵活性，它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。

1.3所有权风险

不管外包商提供服务的范围如何，企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责，并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到，应该将信息安全作为其首要责任，并进行安全培训课程，增强常规企业的安全意识。

1.4共享环境风脸

信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险，因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器)，这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。

1.5实施过程风险

启动一个可管理的安全服务关系可能引起企业到服务外包商，或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡，这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划，并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。

1.6合作关系失败将导致的风险

如果企业和服务商的合作关系失败，企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的，而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败，如同其他商业关系一样，它需要给予足够的重视、关注，同时还需要合作关系双方进行频繁的沟通。

2信息安全外包的管理框架

要进行成功的信息安全外包活动，就要建立起一个完善的管理框架，这对于企业实施和管理外包活动，协调与外包商的关系，最大可能降低外包风险，从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分，分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准，然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后，双方共同制定适合企业的信息安全外包的控制方法，协调优化企业的信息安全相关部门的企业结构，同时加强管理与外包商的关系。

3信息安全外包风险管理的实施

3.1制定信息安全方针

信息安全方针在很多时候又称为信息安全策略，信息安全方针指的是在一个企业内，指导如何对资产，包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义，定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明，以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义，而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。

3.2选择信息安全管理的标准

信息安全管理体系标准BS7799与信息安全管理标准IS013335是目前通用的信息安全管理的标准:

(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准，是国际上具有代表性的信息安全管理体系标准，标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。

(2)IS013335:IS013335《IT安全管理方针》主要是给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分，分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。

3.3确定信息安全外包的流程

企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度，识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案，然后进行合乎规范的评估，识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估，或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后，外包商授予企业独立评估方评估权限，并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节，以减少任何对可用性，服务程度，客户满意度等的影响。在评估执行后的一段特殊时间内，与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存，企业将这些文档作为评估的重要工具，对外包商的服务绩效进行考核。评估结束后，对事件解决方案和优先级的检查都将记录在相应的文件中，以便今后双方在服务和信息安全管理上进行改进。

3.4制定信息安全外包服务的控制规则

依照信息安全外包服务的控制规则，主要分为三部分内容:第一部分定义了服务规则的框架，主要阐明信息安全服务要如何执行，执行的通用标准和量度，服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求，这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求，服务范围等方面的内容;第三部分是安全要求，包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。

3.5信息安全外包的企业结构管理具体的优化方案如下:

(1)首席安全官:CSO是公司的高层安全执行者，他需要直接向高层执行者进行工作汇报，主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSO需要监督和协调各项安全措施在公司的执行情况，并确定安全工作的标准和主动性，包括信息技术、人力资源、通信、法律、设备管理等部门。

(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部IT人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术。

(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官，客户企业的CIO和CSO，外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议，负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。

(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更，新的技术手段的应用，服务优先等级的更换以及服务的财政问题等，咨询委员会的成员包括企业内部的TI’人员和安全专员，还有财务部门、人力资源部门、业务部门的相关人员，以及外包商的具体项目的负责人。

(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题，工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系，将突出的问题组建成项目进行解决，并将无法解决的问题提交给咨询委员会。

(7)服务交换中心:服务交换中心由双方人员组成，其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门，发掘出企业中潜在的信息安全的问题和漏洞，并将这些问题报告给安全工作组。

（8）指令问题管理小组:这个小组的人员组成全部为企业内部人员，包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后，或者，是当CSO了关于信息安全的企业改进方案之后，这些解决方案都将传送给指令问题管理小组，这个小组的人员经过学习讨论后，继而将其到各个业务部门。

(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。

第2篇：信息安全方针和策略范文

关键词 信息系统；安全；保障体系；技术；信息技术基础设施

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2013）14-0137-02

油服信息技术应用与集中程度的不断深入提高，信息安全保障体系建设工作已成为信息化建设过程中的重要组成部分。油服具有地域分布广、业务复杂多样等特点，在信息安全形势多变的情况下，独立分散的安全措施已无法更好地满足安全防护需求。信息安全若不能得到很好的保障，将给公司的业务正常运作及办公稳定性、高效性和有效性带来影响。因此，需完善公司的信息安全政策方针、规划并建立符合油服实际情况的信息安全保障体系，采用先进的安全管理过程模式，完善信息安全管理制度与规范，提高员工的信息安全意识，提升风险控制及保障水平，以支撑油服核心业务的健康发展。

1 信息安全保障体系

1.1 信息安全保障体系建设需求

油服在信息安全方面已部署了部分信息安全防护措施，如划分安全域、部署边界访问控制设备、配备入侵防御系统、部署统一的防恶意代码软件等。与此同时，每年都开展信息系统安全测评工作，对公司的信息系统进行安全等级测评差距分析、安全问题整改咨询核查以及渗透性测试等，从而能够较为全面的掌握当前各信息系统和信息安全管理制度的建设、运维和使用情况，以提高信息系统的安全防护能力。但从总体来看，仍缺乏信息安全保障体系框架，总体安全方针和策略不够明确，安全区域划分不够细致，网络设备和重要服务器的安全策略缺乏统一标准，未部署安全运维管理中心，无法真正起到纵深安全防御的效用。

1.2 信息安全保障体系目标与定位

信息安全保障体系的建设要结合油服的信息安全需求、网络应用现状及未来发展趋势，在风险评估的基础上，明确与等级保护相适应的安全策略及具体的实施办法。对全网进行合理的安全域划分，技术与管理并重的同时，以应用与实效为主导，从网络、应用系统、组织管理等方面，保障油服信息安全，形成集检测、响应、恢复、防护为一体的安全保障体系。

2 油服信息安全保障体系架构模型

油服信息安全保障体系框架采用“结构化”的分析和控制方法，纵向把保护对象分成安全计算环境、安全区域边界和安全通信网络；横向把控制体系分成安全管理、安全技术和安全运行的控制体系，同时通过“一个安全管理中心”的安全管理概念和模式，形成一个依托于安全保护对象为基础，横向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心“三个体系、一个中心、三重防护”的信息安全保障体系

框架。

2.1 安全管理体系

根据等级保护基本要求的相关内容，信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求。

2.2 安全技术体系

根据等级保护基本要求的相关内容，通过安全技术在物理、网络、主机、应用和数据各个层面的实施，建立与实际情况相结合的安全技术体系。

2.3 安全运行体系

根据等级保护基本要求的相关内容，信息安全运行体系重点落实系统建设管理和系统运维管理的相关控制要求，并与实际情况相结合，形成符合等级保护要求的信息安全运行体系

框架。

2.4 安全管理中心

根据等级保护基本要求和安全设计技术要求的相关内容，通过“自动、平台化”的方式，对信息安全管理、技术、运行三个体系的相关控制内容，结合实际情况加以落实。

3 油服信息安全保障体系架构设计

3.1 安全管理体系架构设计

信息安全管理体系架构的设计可从以下3方面开展。

3.1.1 信息安全组织

油服信息安全组织为信息安全管理委员会，各业务部门为信息安全小组，部门经理为本小组的第一安全责任人。同时，定义了组织中各职能角色的职责，以此指导信息安全工作开展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及时反映公司的信息安全风险动态，便于灵活地修订与更新；另一方面确保信息安全技术与管理人员及用户能够了解哪些是禁止做的，哪些是必须做的。

3.1.3 人员安全管理

在人员安全管理方面，可以通过对人员录用、调用、离岗、考核、培训教育和第三方人员安全几个方面进行设计。

3.2 安全技术体系架构设计

信息安全技术体系架构设计可从以下3个方面开展。

3.2.1 信息安全服务架构

信息安全服务架构设计分为保护、检测、响应与恢复四个环节，实现对信息可用性、完整性和机密性的保护，监测检查系统存在的安全漏洞，对危害系统安全的事件行为做出响应

处理。

3.2.2 信息技术基础设施安全架构

信息技术基础设施安全架构以网络安全架构为主体，结合系统软硬件进行安全配置和部署。网络安全架构的规划根据网络所承载的应用系统特性和所面临的风险划分不同的网络安全域，并实施安全防护措施。

3.2.3 应用安全架构

应用系统的信息安全保障是在信息技术基础设施安全架构上，更多地关注已有的信息安全服务是否被充分利用。为满足业务系统对信息安全的需求，通过在业务系统中实现集成保障信息安全的机制，从而达到信息安全技术控制要求。

3.3 安全运行体系架构设计

油服信息安全运行体系架构设计主要从以下3个方面开展。

3.3.1 信息系统安全等级划分

油服信息系统安全等级划分从信息资产等级、网络系统等级和应用系统等级三个方面进行定义。

3.3.2 信息安全技术控制

信息安全技术控制是由系统自身自动完成的安全控制。主要在信息系统的网络层、系统层和应用层，包含身份鉴别、访问控制、安全审计等五大类通用技术。

3.3.3 信息安全运作控制

信息安全运作控制是在油服业务运作和信息技术运作过程中进行实施的运作类安全控制，包括控制针对的主要风险点及具体分类。

4 结束语

在油服业务不断拓展，国际化步伐不断深入的过程中，信息系统在公司发展中的作用和地位日趋重要。公司对信息系统的依赖性也在不断增长，信息安全也愈发重要。健全油服信息安全保障体系，为实现“制度标准化、工作制度化”的管理常态奠定了坚实的基础。油服信息安全保障体系不仅从物理网络安全、系统应用安全、数据和用户安全等方面入手，还从安全域划分、安全边界防护、主动监控、访问控制和应急响应等方面综合考虑，进一步加强落实信息安全等级保护的基本要求，初步实现对网络与应用系统细粒度、全方位的安全管控，从而更为有效地提升了油服在信息安全方面的管理水平。

参考文献

[1]马永.浅谈企业信息安全保障体系建设[J].计算机安全，2007（7）：72-75.

[2]王朗.一个信息安全保障体系模型的研究和设计[J].北京师范大学学报（自然科学版），2004（2）：58-62.

[3]黄海鹰.信息安全保障体系建设研究[J].数字图书馆论坛，2009（9）：13-15.

第3篇：信息安全方针和策略范文

关键词：信息安全；管理体系；PKI/CA；MPLS VPN；基线

在供电企业现代信息技术广泛运用生产经营、综合管理之中，实现资源和信息共享，为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程，木桶原理可以很好地诠释信息安全，一个企业安全不取决于最强项，而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设，才能有效提高企业信息安全，才能为企业生产、经营保驾护航。

1基层供电信息安全现状

基层供电企业信息安全建设方面，在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。

1.1管理制度不健全，制度多重化

信息安全制度建设方面较为被动，大多数都是现实之中出现某一问题，然后一个相关制度，制度修修补补。同一类问题有时出现不同管理规定里，处理办法不一，甚至发生冲突。原有信息安全管理制度宽泛，操作性较差。信息系统建设渠道不同，未提前进行信息安全方面考虑，管理职责不明，导致部分信息安全工作开始不顺畅。

1.2安全区域划分不明，网络架构不清晰

基层供电企业系统建设主要由上级推广系统和自建系统，系统建设时候相当部分系统未充分考虑系统，特别是业务部门自建系统更甚。网络建设需要什么就连接什么，存在服务器、终端、外联区域不明显，网络架构不清晰。

1.3未建立一体化安全防护体系

从近些年已经发生的各类信息安全事件来看，内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足，存在网络带宽滥用；终端接入没有相应准入控制，不满足网络安全需求用户接入办公网络，网络环境安全构成极大风险；内部人员对核心服务器和网络设备未建立统一内部控制机制；移动介质未实施注册制管理等问题。

1.4未建立行之有效设备基线标准

网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求，在设备和系统中常常保留有默认缺省安全配置项，这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时，没有统一基线标准，没有对设备和系统进行相应基线加固，企业存在潜在风险。

1.5信息安全意识较差，技术水平参差不齐

企业信息安全认识存在认识上误区，常常认为我们有较强信息安全保护设备，外部不易攻破内部，事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等，这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新，未取得专门信息安全专业人员资质，处理问题能力表现参差不齐。

2必要性

信息安全为国家安全重要组成部门，电力企业信息安全为国家信息安全的重要元素，电网安全事关国计民生。2014年2月，国家成立中央网络安全和信息化领导小组，将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件，前几年发生伊朗核电站“震网”病毒（Stuxnet病毒）网络攻击，其中一个关键问题就是利用移动介质摆渡来进行攻击，造成设备瘫痪，这一系列信息安全事件都事关国家安全，因此人人都要有信息安全意识。首先要防止企业机密数据（财务、人资、投资、客户等）泄漏；其次，保持数据真实性和完整性，错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失；最后，信息的可用性，防止由于人员、流程和技术服务的中断而影响业务的正常运作，业务赖以生存的关键系统如失效，不能得到及时有效恢复，会造成重大损失。建立严格的访问控制，前面数据分级时有制定数据的“所有者”及给敏感数据进行分级，按照分级的要求制定严格的访问控制策略，基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限；权限分离原则是将不同的工作职能分开，只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为，提高工作效率，保护企业有限网络资源应用于主要生产经营上来。

3特点探析

通过我们对基层供电企业在信息安全存在问题及必要性来看，主要是管理制度、网络信息安全技术、人员意识等方面存在问题，有以下特点。

3.1管理制度方面

常说信息安全“三方技术、七分管理”，制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度，基层供电企业遵照执行，可以根据各单位具体情况进一步细化，让管理制度落地。从企业总体信息安全方针到具体专业制度管理上，实现全网一体化，规范化。

3.2网络信息安全技术方面

上级专业主管部门，站在企业高度，制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划，分布实施，最终实现企业网络信息安全防控一体化。

3.3信息安全意识培养方面

企业员工信息安全意识培养是个长期的过程，不是通过一次两次培训就能解决的，采取形式多样化方式来培养员工安全意识，可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员，要让他们养成按照制度办事习惯，用户需要申请某项资源，严格按照制度执行，填写相应资源申请，有时候领导打招呼也要按照制度流程来执行。长此以往，人人都会知道自己该做什么，不该做什么，该怎么做，企业信息安全意识就会得到极大提高。

3.4专业技术人员水平方面

信息安全技术日新月异，不学习就落后，不断收集信息安全方面信息，共同讨论相关话题，建立相应培训机制，专业人员实行持证上岗，提升专业人员实际解决问题能力，有效提高人员专业素养，成为企业信息安全方面专家。

4实施和开展

从2009年开始，先后进行一系列信息安全建设，涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面，整体提高基层供电企业信息安全状况。

4.1信息安全制度建设

2010年开始信息安全体系ISO27001、27002建设，结合企业情况，形成30个信息安全相关文件，涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平，先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设，基层供电企业有章可循，全网信息安全依据统一，明确短板情况。

4.2建设一体化网络与信息安全防控

首先依据电监会5号文件要求，网络架构按照三层四区原则进行部署建设，生产实时控制大区（Ⅰ、Ⅱ区）与信息管理大区（Ⅲ、Ⅳ区）之间采用国家强制认证单向数据隔离装置进行强制隔离，网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区，在综合数据网上，利用MPLSVPN，根据划分不同VPN业务、隔离相互间数据交叉。建立全网PKI/CA系统，构建企业员工在企业数字身份认证系统，已建成系统进行未采用PKI登陆系统，进行相应改造结合PKI/CA系统，采用PKI登陆，在建系统用户登陆必须集成PKI登陆。根据企业信息安全要求，进行互联网统一出口，部署统一互联网防控设备，建立统一上网行为管理策略，规范员工上网行为，合理使用有限互联网资源，审计员工上网日志，以备不时之需。建立企业统一病毒防护系统，实现病毒软件统一安装，病毒库自动更新，防护策略统一下发，定期统计病毒分布情况，同时作为终端接入内网必备选项，对终端病毒态势比较严重用户进行督促整改，有效防止病毒在企业内部蔓延，进一步进化内网环境。建立统一网络边界安全防护，在企业内网边界合理部署防火墙、IPS、UTM，并将其产生日志发送到统一安全管理平台，进行日志管理分析，展现企业内部信息安全态势，预警企业内部信息安全存在问题。利用AD域或PKI/CA进行用户身份认证，建设统一桌面管理，所有内网用户必须满足最基本防病毒、安全助手、IT监控要求方可接入内网，系统启用强制安全策略，终端采用采用DHCP，用户不能自动修改IP地址，在DHCP服务器上实现IP与MAC地址及人员绑定，杜绝用户私自更换IP地址引起冲突。安全认证方面可以采用NACC或交换机802.1x方式进行，不满足要求用户，自动重定向到指定网站进行安全合规性检查，满足要求后自动接入内网，强制所有用户采用统一网络安全准入规则。实行移动介质注册制，极大提高终端安全性，有效保护企业信息资产。建立内部运维控制机制，实现4A统一安全管理，认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池，按照用户需求，提交相应申请材料，授权访问特定设备和资源，并对用户访问行为全程记录审计。

5结语

第4篇：信息安全方针和策略范文

关键词：电力制造企业；计算机网络；安全

一、安全风险分析

电力制造企业计算机网络一般都会将生产控制系统和管理信息系统绝对分隔开来，以避免外来因素对生产系统造成损害，在生产控制系统中常见的风险一般为生产设备和控制系统的故障。管理网络中常见的风险种类比较多，通常可以划分为系统合法用户造成的威胁、系统非法用户造成的威胁、系统组建造成的威胁和物理环境的威胁。比如比较常见的风险有操作系统和数据库存在漏洞、合法用户的操作错误、行为抵赖、身份假冒（滥用授权）、电源中断、通信中断、软硬件故障、计算机病毒（恶意代码）等，上述风险所造成的后果一般为数据丢失或数据错误，使数据可用性大大降低。网络中的线路中断、病毒发作或工作站失效、假冒他人言论等风险，会使数据完整性和保密性大大降低。鉴于管理网络中风险的种类多、受到攻击的可能性较大，因此生产控制系统和管理系统之间尽量减少物理连接。当需要数据传输时必须利用专用的通信线路和单向传输方式，一般采用防火墙或专用隔离装置。

二、安全需求分析

一般电力制造企业的安全系统规划主要从安全产品、安全策略、安全的人三方面着手，其中安全策略足安全系统的核心，直接影响安全产品效能的发挥和人员的安全性（包括教育培训和管理制度），定置好的安全策略将成为企业打造网络安全最重要的环节，必须引起发电企业高度重视。安全产品主要为控制和抵御黑客和计算机病毒（包括恶意代码）通过各种形式对网络信息系统发起的恶意攻击和破坏，是抵御外部集团式攻击、确保各业务系统之间不产生消极影响的技术手段和工具，是确保业务和业务数据的完整性和准确性的基本保障，需要兼顾成本和实效。安全的人员是企业经营链中的细胞，既可以成为良性资产又可能成为主要的威胁，也可以使安全稳固又可能非法访问和泄密，需要加强教育和制度约束。

三、安全思想和原则

电力制造企业信息安全的主要目标一般可以综述为：注重“电力生产”的企业使命，一切为生产经营服务；服从“集约化管理”的企业战略，树立集团平台理念；保证“信息化长效机制和体制”，保证企业生产控制系统不受干扰。保证系统安全事件（计算机病毒、篡改网页、网络攻击等）不发生，保证敏感信息不外露，保障意外事件及时响应与及时恢复，数据不丢失。（1）先进的网络安全技术是网络安全的根本保证。影响网络安全的方面有物理安全、网络隔离技术、加密与认证、网络安全漏洞扫描、网络反病毒、网络入侵检测和最小化原则等多种因素，它们是设计信息安全方案所必须考虑的，是制定信息安全方案的策略和技术实现的基础。要选择相应的安全机制，集成先进的安全技术，形成全方位的安全系统。（2）严格的安全管理是确保安全策略落实的基础。计算机网络使用机构、企业、单位应建立相应的网络管理办法，加强内部管理，建立适合的网络安全管理系统和管理制度，加强培训和用户管理，加强安全审计和跟踪体系，提高人员对整体网络安全意识。（3）严格的法律法规是网络安全保障坚强的后盾。建立健全与网络安全相关的法律法规，加强安全教育和宣传，严肃网络规章制度和纪律。对网络犯罪严惩不贷。

四、安全策略与方法

1、物理安全策略和方法。

物理安全的目的是保护路由器、交换机、工作站、网络服务器、打印机等硬件实体和通信链路的设计，包括建设符合标准的中心机房，提供冗余电力供应和防静电、防火等设施，免受自然灾害、人为破坏和搭线窃听等攻击行为。还要建立完备的机房安全管理制度，防止非法人员进入机房进行偷窃和破坏活动等，并妥善保管备份磁带和文档资料：要建立设备访问控制，其作用是通过维护访问到表以及可审查性，验证用户的身份和权限，防止和控制越权操作。

2、访问控制策略和方法。

网络安全的目的是将企业信息资源分层次和等级进行保护，主要是根据业务功能、信息保密级别、安全等级等要求的差异将网络进行编址与分段隔离，由此可以将攻击和入侵造成的威胁分别限制在较小的子网内，提高网络的整体安全水平，目前路由器、虚拟局域网VL心、防火墙是当前主要的网络分段的主要手段。而访问管理控制是限制系统内资源的分等级和层次使用，是防止非法访问的第一道防线。访问控制主要手段是身份认证，以用户名和密码的验证为主，必要时可将密码技术和安全管理中心结合起来，实现多重防护体系，防止内容非法泄漏，保证应用环境安全、应用区域边界安全和网络通信安全。

3、开放的网络服务策略和方法。

Internet安全策略是既利用广泛、快捷的网络信息资源，又保护自己不遭受外部攻击。主要方法是注重接入技术，利用防火墙来构建坚固的大门，同时对Web服务和FTP服务采取积极审查的态度，更要强化内部网络用户的责任感和守约，必要时增加审计手段。

4、电子邮件安全策略和方法。

电子邮件策略主要是针对邮件的使用规则、邮件的管理以及保密环境中电子邮件的使用制定的。针对目前利用电子邮件犯罪的事件和垃圾邮件泛滥现象越来越多，迫使防范技术快速发展，电力制造企业可以在电子邮件安全方案加大投入或委托专业公司进行。

5、网络反病毒策略和方法。

每个电力制造企业为了处理计算机病毒感染事件，都要消耗大量的时间和精力，而且还会造成一些无法挽回的损失，必须制定反计算机病毒的策略。目前反病毒技术已由扫描、检查、杀毒发展到了到实时监控，并且针对特殊的应用服务还出现了相应的防毒系统，如网关型病毒防火墙以及邮件反病毒系统等。

目前，计算机网络与信息安全已经被纳入电力制造企业的安全生产管理体系中，并根据“谁主管、谁负责、联合保护、协调处置”的原则，实行“安全第一、预防为主、管理与技术并重、综合防范”的方针，在建立健全电力制造企业内部信息安全组织体系的同时，制定完善的信息安全管理措施，建立从上而下的信息安全培训体系，根据科学的网络安全策略，采用适合的安全产品，确保各项电力应用系统和控制系统能够安全稳定的运行，为电力制造企业创造新业绩铺路架桥。

参考文献

第5篇：信息安全方针和策略范文

自20世纪80年代以来，随着信息技术迅速渗透到社会经济的各个领域，尤其是Internet/Intranet技术和电子商务（Ecommerce）的广泛应用，推动着人类社会从工业经济时代向网络经济时代和信息化社会的方向前进。在这个动态演进的过程中，经济发展越来越需要信息的支持，信息已成为经济发展的战略资源和社会管理的基本要素。

企业的信息化建设对于企业发展具有重要的战略意义。对信息的采集、共享、利用和传播成为决定企业竞争力的关键因素。只有实现信息化，企业才可能实现企业生产经营活动的运营自动化、管理网络化、决策智能化，从而理顺和提高企业的管理水平，提高设计效率，降低企业的库存，节约占用资金，降低生产成本，改善职工的工作环境，缩短企业的服务时间和提高企业的客户满意度，并可及时地获取客户需求，实现按订单生产。

但是，信息化也使企业同时承受着巨大的信息安全的风险。据统计，全球平均20秒就发生一次计算机病毒入侵；互联网上的防火墙大约25%被攻破；窃取商业信息的事件平均以每月260%的速度增加；约70%的网络主管报告了因机密信息泄露而受损失。我国公安机关2002年共受理各类信息网络违法犯罪案件6633起，与上年相比增长45.9%，其中利用计算机实施的违法犯罪5301起，占案件总数的79.9%.而病毒的泛滥，更让国内众多企业蒙受了巨额经济损失。加强信息安全建设，已成了目前国内外企业迫在眉睫的大事。

二、信息安全和信息安全管理

根据国际标准化组织（ISO）的定义，信息安全是“在技术上和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。信息安全是一个动态的复杂过程，它贯穿于信息资产和信息系统的整个生命周期。

信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资源进行分析，依据风险评估的结果为信息系统选择适当的安全措施，妥善应对可能发生的风险。信息安全的目标就是要保证敏感数据的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）[1].为了达到这个目的，人们建立起信息安全管理体系（InformationSecurityManagementSystems）。它是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的系统，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。

在信息安全管理体系中，通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等建立起信息安全管理框架。在该体系中，人们在技术层面作了许多卓越而富有成效的工作来保障企业信息安全，如密码学和访问控制等。但仅仅依靠技术手段不可能彻底解决信息安全问题。这是因为，信息以及信息用户的社会属性决定了信息安全中存在非技术因素，而从属于非技术因素的问题，无法依靠单纯的技术手段加以解决[2].非技术手段主要包括法律手段、经济手段和行政手段等，在市场经济环境中，企业应首选法律和经济手段来保护信息安全。

三、法务会计师在企业信息安全管理中的作用

信息及信息用户的社会属性使得法务会计师为企业提供专业服务成为必要，而法务会计师独特的知识结构和专业经验使得其在企业信息安全管理发挥其独特作用提供了可能。根据信息安全风险的成因，法务会计师可以因地制宜地制定相关对策。当前威胁企业信息安全的主要成因是：

1.技术风险。主要包括信息电磁化风险和系统及软件风险。在网络环境下，企业的各种票证和帐单等以人眼无法直接辨别的电磁信息的形式在网上传递并存储于磁性介质中，在传递及存储过程中均有被攻击者篡改或截获的可能。

2.人员风险。由于企业中负责具体业务的人员并不一定熟悉计算机操作，因此在系统使用过程中极有可能出现由于人员操作不当而造成的意外损失。而由于系统管理涉及企业重要机密，操作人员是否会利用职权之便对信息进行破坏或剽窃也是企业管理者应该关注的重要问题。

3.法律风险。网络的出现和广泛应用对传统社会产生了强烈的冲击，旧有的法律法规体系已不能完全适应、指导和规范网络安全的实践。网络本身的虚拟性、实时性、广泛性要求更加切实可行，更加完备的标准准则和法律法规的出现。

现阶段，面对信息安全的威胁，企业缺乏有力的系统性的对应措施和策略，基本处于“头痛医头、脚痛医脚”的状态，解决方案手段单一，缺乏多种手段的共同治理。很多组织已经越来越意识到要真正达到信息安全的目标仅仅通过信息安全技术和产品是不可能实现的，结合法律、制度等社会性手段的信息安全管理体系（ISMS）的搭建才能实现信息系统的整体安全保障。因为，很多企业信息资产安全管理方面除了存在信息安全技术薄弱方面的原因外，还存在如下一些问题如，信息安全管理制度过于简单，内容不全；交叉重复，混乱无章；求大求全，无针对性；锁在柜中，无人问津；以及制度执行中的人为破坏等等。

建立包含技术和法律等手段的多层面的信息安全管理体系可以强化员工的信息安全意识，规范组织的信息安全行为，对组织的关键信息资产进行全面系统的保护，维持竞争优势；在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；使组织的商业伙伴和客户对组织充满信心，提高组织的知名度与信任度。因为信息安全事关企业信息资产和业务安全，需要通过法制渠道满足企业在电子商务和管理环境中维护竞争优势的需要，法务会计师可以充分利用其在法律和会计信息管理方面的优势，为企业建立有效的信息资产保护计划提供有价值的服务，并依法追究相关组织和人员的责任。

第6篇：信息安全方针和策略范文

信息技术的飞速发展冲击着各行各业,给全球房地产业也带来一场深刻的变革和发展的契机。在政府的牵头和推动下,在房地产业各界积极参与和实践下,中国房地产业已取得卓有成效的成果,呈现全面信息化的发展势头。具体表现在:

(1)房地产政务信息化成效显着。

许多城市利用信息技术开发了房地产政务管理软件,有效地改进了行政管理,提高了工作效率,完善了政府对房地产市场的监控和预测能力。

(2)房地产企业信息化取得长足进展。

房地产经营方式开始打上信息时代的烙印。一些房地产企业建立了企业内部网站,提高了信息传输速度,加快了企业决策速度,提高了办事效率。此外,各种针对房地产企业的计算机软件,如房屋销售软件、物业管理软件、租赁软件、房地产可行性分析软件、房地产开发管理软件等,也得到了广泛的开发和应用。

(3)初步建立了房地产宏观监测系统。

为适应我国房地产业发展的内在要求,针对市场信息零散、盲目投资行为大量存在等状况,我国已建立包括中房预警系统、中房指数、国房景气指数等在内的房地产宏观监测系统。

(4)智能化小区和网络小区建设步伐加快。

近年来,住宅的智能化功能被列为评价楼盘综合性能的不可缺少的一个重要指标,智能化住宅已逐步进入普通人的生活。社区提供与外界进行数据交换的软硬件设施和服务是家居功能向外拓展的必要条件。智能化的物业管理深入到各单位住宅,真正实现建筑智能化到社区管理的智能化。

(5)房地产网站发展迅速。

由于房地产业自身的行业特点,使其在网上具有更大的优势,房地产业各界都以最快的速度建立或准备建立自己的网站,将网络作为房地产信息的主要渠道。房地产网站建设提供了全天候、全方位市场服务的新模式,建立房地产在线咨询服务系统,引入城市电子地图,实现网上售楼,改变了传统的购房方式。同国外相比,我国房地产信息化整体水平较低,地区差异较大,东西部发展不平衡,仍存在诸多制约因素,还有很长的路要走。但是,房地产业唯有实现信息化,唯有与网络结合,才能焕发出新的活力。建立和完善房地产企业的网络系统,实现总公司与下属子公司之间的双向沟通和信息共享。通过信息平台的整合,为企业管理决策提供全方位、完整的信息数据,使企业的管理逐步走向信息化,建立企业网站,使其向房地产行业和管理信息服务方向转化,加强与员工的沟通,将信息化手段应用于具体管理工作的流程中。以国家信息化工作的指导方针“统一规划、联合建设、推广应用、发展产业、资源共享”为房地产企业信息化工作的指导思想,将房地产企业的管理全部数字化,充分利用先进的信息技术,使本企业集团形成一个管理对象数字化、管理专业网络化、数据动态实时化、管理决策科学化的现代企业,走一条结合自身特点,依托信息技术发展房地产信息化产业的振兴之路。

二、企业信息安全防范

随着企业信息化的发展,办公自动化、财务管理系统,企业相关业务系统等生产经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业内外部网络来传输。这在提高生产效率和管理水平的同时,也带来了不同以往的安全风险和问题。通过网络传输的数据信息如被非法用户截取,导致泄露企业机密;如被非法篡改,造成数据混乱,信息错误,造成工作失误等。另一方面,病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据丢失,对企业的生产管理以及经济效益等造成不可估量的损失。因此,如何保护企业机密,保障企业信息安全,成为企业信息化发展中需要面临和解决的问题,提上了企业的议事日程。企业信息安全管理即针对当前企业面临的病毒泛滥、黑客入侵、恶意软件、信息失控等复杂的应用环境制定相应的防御措施,保护企业信息和企业信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为企业信息和企业信息系统提供保密性、完整性、真实性、可用性、不可否认。企业信息安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。首先,企业必须根据实际情况全面做好安全风险评估。第二,采用信息安全新技术,建立信息安全防护体系。综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。企业根据自身信息系统建设和应用的步伐,建立完整的信息安全防护体系,统筹规划,分步实施。第

第7篇：信息安全方针和策略范文

对于具有开发性、国际性和自由度的互联网在增加应用自由度的同时，也存在着太多太复杂的安全隐患，信息安全令人担扰。有人这样说：“如果上网，你所受到的安全威胁将增大几倍；而如果不上网，则你所得到的服务将减少几倍”。因此，可信网络已经成为当前研究的热点话题。网络应为科研服务，作为校园网在提高管理效率、促进教科研发展、方便校园生活的同时，网络中的各种安全问题也层出不穷，提高IT安全建设和管理水平已成为高校信息化建设中不容忽视的重要工作内容。

2 校园网安全面临的困难

现在大多数校园网以Windows作为系统平台，因为其功能太多，太复杂了（Windows操作系统就有上千万行程序），致使操作系统都不可能做到完全正确，所以其它系统的安全性能都是很难保证的。对于具有更复杂环境的校园网来说，不但面临着系统安全及其威胁，而且还具有自已的特殊性。一方面，学生的好奇心强，一些学生社会责任感较轻，喜欢挑战；另一方面，校园网的网络条件普遍较好，计算机来源又较为复杂，隐蔽的IP地址使之更容易实施网络攻击。同时，教育信息化管理中长期形成的“重技术，轻管理”的思想，也使得校园网的安全形势更加严峻。

随着信息技术的不断发展，病毒传播的途径越来越多样化。对于校园网管理人员而言，还不得不面对大面积的ARP欺骗病毒，这对于用户群庞大而导致可控性和有序性很差的校园网提出了巨大的挑战，构建校园网络应急响应机制迫在眉睫。

3 校园网应急响应机制的建立

2007年6-7月间，由教育部科技发展中心主办、中国教育网络杂志承办的“2007教育行业信息安全大会”在北京等地召开。会议对“高校建立应急响应机制”进行了专题问卷调查，调查结果显示，66%的高校未建立安全应急响应机制，33%的高校计划在年内建立学校的安全应急响应机制。由此可见还有大部分高校在网络安全管理方面还需加大力度，仅凭单纯的安全产品和简单的防御技术是无法抵挡攻击的，必须依靠应急响应等一套完整的服务管理机制，建立其相应的流程，通过加强学习努力提高队伍的技术水平及响应能力，从技术和管理两个维度保证网络安全。

校园网应急响应是指在校园网内行使CERT/CC（计算机紧急响应小组及其协调中心）的职能，对校园网内的各网络应用部门和用户提供网络安全事件的快速响应或技术支持服务，也对校园网内的各接入单位及用户提供安全事件响应相关的咨询服务。校园网应急响应组的主要职能是：对计算机网络系统的安全事件一是进行紧急反应，尽快恢复系统或网络的正常运转。二是要使系统和网络设施所遭受的破坏最小化。三是对影响系统和网络安全的漏洞及防治措施进行通报，对安全风险进行评估等。

比较完善的网络安全机制，应包括网络安全服务、网络安全管理和用户安全意识三方面。因此，校园网应急响应组依据其职责不同分为以下三个安全工作小组。

（1）事件处理工作小组及职能：主要负责安全事件的应急与救援、事件的分析、安全警报的等。主要职能是服务，制定和实施校园网安全策略及网络安全突发事件应急响应预案；监测网络运行日常状态，及时安全公告、安全建议和安全警报，当发生了安全事件时及时向CERT热线响应；解答用户的安全方面的咨询；定期对网内用户进行风险评估等。

（2）技术研发工作小组及职能：主要通过研发，寻求安全漏洞的解决方案，应急处理的信息与技术支持平台。主要职能是安全研究，研究内容是校园网常用网络攻击技术及防范。

（3）教育培训工作小组及职能：建立应急处理服务队伍，通过各种形式的培训提高全校师生的网络安全意识，加强师生行为安全。主要职能是宣传教育，对校园网用户进行安全知识的教育与网络安全技术培训，使其提高自我保护意识，自觉关注网络上最新的病毒和黑客攻击，自主解决网络安全问题。

应急响应是全方位的工作，再好的经验也是具有不可复制性，无论建立何种模式的机制，最重要的是要与高校网络自身特点相结合，建立有自身特色的应急响应机制并在实践过程中不断改进和完善。一个良好的响应机制要技术力量到位、部门责任明确、合作流程清晰，并遵循可行性、高效率、高效益和低风险的原则。因此我们应通过加强主动性，使安全故障的应急响应能力从报警向预警的道路上迈出坚实的步伐，为从容不迫应对网络突发安全事件打下基础。

第8篇：信息安全方针和策略范文

关键词:网络安全;安全漏洞;防火墙

中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 06-0000-01

Guarantee of Network Information Security

Li Chunyu,Li Gang

(Anyang Institute of Technology,Computer Engineering Department,Anyang455000,Chian)

Abstract:With the advent of information age,network and information security issues has also been impressively put forward to the world.This paper analyzes the network information security problems according to the actual need to introduce some specific preventive measures to improve the security of computer network information.

Keywords:Network security;Security vulnerabilities;Firewall

一、概述

随着信息化时代的到来,“腾讯QQ”、“淘宝”已走进千家万户,带来了经济的繁荣和发展,丰富和活跃了人们的精神文化生活,大大推进了社会文明建设的进程,但同时随着人们信息化期望程度的加深,网络与信息安全问题也已赫然摆在世人面前,网络信息的安全问题,不论社会还是网络技术方面,已是当务之急。

二、讨论:网络信息方面存在的安全问题

(一)病毒、木马威胁加剧

据国内信息安全厂商瑞星公司2008年11月份报告统计显示,2008年的前10个月,互联网上共出现新病毒9306985个,是2007年同期的12.16倍,木马病毒和后门程序之和超过776万,占总体病毒的83.4%,病毒数量呈现出了井喷式爆发。病毒木马的机械化生产加速了新变种的产生,大量出现的系统及第三方应用程序漏洞为病毒木马传播提供了更广泛的途径。

(二)安全漏洞

2008年安全漏洞被曝光的频率及数量比以往都要多。存在的主要十大安全漏洞分别是:浏览器漏洞、Adobe Flash漏洞、ActiveX漏洞、SQL注入式攻击、Adobe Acrobat阅读器漏洞、CMS漏洞、Apple QuickTime漏洞、Web2.0元素(如Facebook应用、网络广告等)、Realplayer漏洞和DNS缓存漏洞等。

(三)黑客行为,数据泄露

根据国家计算机病毒应急处理中心的分析报告,2007年全国计算机病毒感染率已经高达91.5%,其中相当部分已经被黑客控制。黑客行为其核心特点是利用网络用户的失误或系统的脆弱性因素,针对特定目标进行拒绝服务攻击或侵占。

(四)垃圾邮件的泛滥

其核心特点是以广播的方式鲸吞网络资源,影响网络用户的正常活动。附带调查性垃圾邮件,以获取终端用户的个人信息为目的。一旦用户链接到目的网址,会被要求填写一张个人信息表。这些信息可能被出售给营销公司,也可能用于将来发送垃圾邮件。

(五)有害信息的恶意传播

其核心特点是以广泛传播有害言论的方式,来控制、影响社会的舆论。

三、结论:网络信息安全的防护措施

(一)以人为本,确保安全制度的建立和落实

根据实际情况和所采用的技术条件,制定出切实可行又比较全面的各类安全管理制度。

要强化工作人员的安全教育和法制教育,真正认识到计算机网络系统安全的重要性和解决这一问题的长期性、艰巨性及复杂性。

(二)利用访问与控制策略,确保网络信息安全

访问控制策略是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护用,而访问控制是保证网络安全最重要的核心策略之一。访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7个方面的内容。

(三)利用防火墙控制网络信息安全

防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙总体上分为包过滤、应用级网关和服务器等几大类型。

数据包过滤和应用网关防火墙仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系, 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。

服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术, 其特点是将所有跨越防火墙的网络通信链路分为两段。服务也对过往的数据包进行分析、注册登记, 形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。

(四)利用数据加密技术控制网络信息安全

数据传输加密技术目的是对传输中的数据流加密,常用的方针有线路加密和端到端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护的。后者则指信息由发送者端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将被自动重组、解密,成为可读数据。数据存储加密技术目的是防止在存储环节的数据失密。

数据传输加密技术是为增强普通关系数据库管理系统的安全性,提供一个安全适用的数据库加密平台,对数据库存储的内容实施有效保护。它通过数据库存储加密等安全方法实现了数据库数据存储保密和完整性要求,使得数据库以密文方式存储并在密态方式下工作,确保了数据安全。

随着计算机技术和通信技术的发展,计算机网络将日益成为重要信息交换手段,渗透到社会生活的各个领域,只有采取强有力的安全策略,才能保障网络信息的安全性

参考文献:

[1]汪海慧.浅议网络安全问题及防范对策[J].信息技术,2007

[2]赵丹丽,管建和.网络通信与安全探讨[J].软件导刊,2008

第9篇：信息安全方针和策略范文

[论文关键词】电力信息安全策略

[论文摘要]通过对电力系统计算机网络存在的网络安全问厦的分析，提出相应的安全对策，并介绍应用于电力系统计算机网络的网络安全技术。

在全球信息化的推动下，计算机信息网络作用不断扩大的同时，信息网络的安全也变得日益重要，一旦遭受破坏，其影响或损失也十分巨大，电力系统信息安全是电力系统安全运行和对社会可靠供电的保障，是一项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。应结合电力工业特点，深入分析电力系统信息安全存在的问题，探讨建立电力系统信息安全体系，保证电网安全稳定运行，提高电力企业社会效益和经济效益，更好地为国民经济高速发展和满足人民生活需要服务。

研究电力系统信息安全问题、制定电力系统信息遭受内部外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。

一、电力系统的信息安全体系

信息安全指的是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。包括保密性、完雅性、可用性、真实性、可靠性、责任性等几个方面。

信息安全涉及的因素有，物理安全、信息安全、网络安全、文化安全。

作为全方位的、整体的信息安全体系是分层次的，不同层次反映了不同的安全问题。

信息安全应该实行分层保护措施，有以下五个方面，

①物理层面安全，环境安全、设备安全、介质安全，②网络层面安全，网络运行安全，网络传输安全，网络边界安全，③系统层面安全，操作系统安全，数据库管理系统安全，④应用层面安全，办公系统安全，业务系统安全，服务系统安全，⑤管理层面安全，安全管理制度，部门与人员的组织规则。

二、电力系统的信息安全策略

电力系统的信息安全具有访问方式多样，用户群庞大、网络行为突发性较高等特点。信息安全问题需从网络规划设计阶段就仔细考虑，并在实际运行中严格管理。为了保障信息安全，采取的策略如下：

(一)设备安全策略

这是在企业网规划设计阶段就应充分考虑安全问题。将一些重要的设备，如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空，并有明显标记，防止意外损坏。对于终端设备，如工作站、小型交挟机、集线器和其它转接设备要落实到人，进行严格管理。

(一)安全技术策略

为了达到保障信息安全的目的，要采取各种安全技术，其不可缺少的技术层措施如下：

1．防火墙技术。防火墙是用于将信任网络与非信任网络隔离的一种技术，它通过单一集中的安全检查点，强制实糟相应的安全策略进行检查，防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间，信息的共享、整合与调用，都需要在不同网段之间对这些访问行为进行过滤和控制，阻断攻击破坏行为，分权限合理享用信息资源。

2．病毒防护技术。为免受病毒造成的损失，要采用的多层防病毒体系。即在每台Pc机上安装防病毒软件客户端，在服务器上安装基于服务器的防病毒软件，在网关上安装基于网关的防病毒软件。必须在信息系统的各个环节采用全网全面的防病毒策略，在计算机病毒预防、检测和病毒库的升级分发等环节统一管理，建立较完善的管理制度，才能有效的防止和控制病毒的侵害。

3．虚拟局域网技术(VLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域，每一个VLAN都包含1组有着相同需求的计算机工作站，与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分，所以同一个LAN内的各工作站无须放置在同一物理空间里，既这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。

4．数据与系统备份技术。电力企业的数据库必须定期进行备份，按其重要程度确定数据备份等级。配置数据备份策略，建立企业数据备份中心，采用先进灾难恢复技术，对关键业务的数据与应用系统进行备份，制定详尽的应用数据备份和数据库故障恢复预案，并进行定期预演。确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统，从而保证信息系统的可用性和可靠性。

5．安全审计技术。随着系统规模的扩展与安全设施的完善，应该引入集中智能的安全审计系统，通过技术手段，实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。

6．建立信息安全身份认证体系。CA是CertificateAuthority的缩写，即证书授权。在电子商务系统中，所有实体的证书都是由证书授权中心(CA中心)分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。电力市场交易系统就其实质来说，是一个典型的电子商务系统，它必须保证交易数据安全。在电力市场技术支持系统中，作为市场成员交易各方的身份确认、物流控制、财务结算、实时数据交换系统中，均需要权威、安全的身份认证系统。在电力系统中，电子商务逐步扩展到电力营销系统、电力物质采购系统、电力燃料供应系统等许多方面。因此，建立全国和网、省公司的cA机构，对企业员工上网用户统一身份认证和数字签名等安全认证，对系统中关键业务进行安全审计，并开展与银行之间、上下级CA机构之间、其他需要CA机构之间的交叉认证的技术研究及试点工作。

(三)组织管理策略

信息安全是技术措施和组织管理措施的统一，“三分技术、七分管理”。据统计，在所有的计算机安全事件中，属于管理方面的原因比重高达70%以上。没有管理，就没有安全。再好的第三方安全技术和产品，如果没有科学的组织管理配合，都会形同虚设。

1．安全意识与安全技能。通过普及安全知识的培训，可以提高电力企业职员安全知识和安全意识，使他们具备一些基本的安全防护意识和发现解决某些常见安全问题的能力。通过专业安全培训提高操作维护者的安全操作技能，然后再配合第三方安全技术和产品，将使信息安全保障工作得到提升。

2．安全策略与制度。电力企业应该从企业发展角度对整体的信息安全工作提供方针性指导，制定一套指导性的、统一的安全策略和制度。没有标准，无法衡量信息的安全，没有法规，无从遵循信息安全的制度，没有策略，无法形成安全防护体系。安全策略和制度管理是法律管理的形式化、具体化，是法规与管理的接口和信息安全得以实现的重要保证。

3．安全组织与岗位。电力企业的组织体系应实行“统一组织、分散管理”的方式，建立一个有效、独立的信息安全部门作为企业的信息安全管理机构，全面负责企业范围内的信息安全管理和维护工作。安全岗位是信息系统安全管理机构，根据系统安全需要设定的负责某一个或某几个安全事务的职位，岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列。这样在全企业范围内形成信息安全管理的专一工作，使各级信息技术部门也因此会很好配合信息安全推行工作。