信息网络安全体系分析

信息网络安全体系分析（精选12篇）

信息网络安全体系分析 第1篇

网络信息安全体系的危险性因素分析

1人为性因素

在网络应用中,相关维护人员没有定期对数据库进行补丁修复,没有合理的设置数据库访问权限,管理措施不到位,无形之中增加了网络系统的危险性。网络信息就会处于持续漏洞状态,方便了黑客、病毒的侵袭。黑客攻击和威胁,对计算机网络应用的安全性危害非常大,其一般通过破坏性攻击和非破坏性攻击两种进攻方式进行。前者网络黑客会破坏用户的电脑系统,盗取保密性的材料和数据,一般通过寻找漏洞,木马,电子邮件以及口令的方式攻击计算机系统。后者一般不会出现数据资料的窃取,主要是阻碍网络的正常运行,一般通过信息炸弹和拒绝服务的方式攻击系统。缺乏网络安全管理,现阶段,缺乏对网络安全的有效管理。比如说,分工不明确、缺乏对密码权限的管理等等,这些都会严重威胁着网络的安全性。这些危险因素的存在以及用户自身的疏忽大意,这些都会导致风险的加剧,成为黑客、病毒入侵的源头和导火索。病毒侵袭,计算机病毒是一种被植入的程序代码或指令,有着强大的自我复制功能,对计算机内的数据造成极大的损坏,进而影响系统运行的正常进行。这种病毒有着强大的破坏力,而且披着安全的外衣不容易被发现。这是对网络安全最大的风险,传播速度快、种类繁多。

2网络软件漏洞以及IP地址泄露

软软件自身存在的漏洞与缺陷,就可能成为网络安全的极大隐患。盗用IP地址,盗用IP地址的情况时常会发生,自己的IP被盗用,导致无法正常的进行网络连接。一般情况下,这些IP的权限都非常高,盗窃者通过盗用进而扰乱其正常的网络运行,不仅严重侵犯了用户的权益,给用户带来的严重的影响,而且,给网络的安全运行带来了巨大的威胁。

网络信息安全体系中关键技术分析

1数据库加密技术

网加密分为三种,数字加密、对称加密以及非对称加密。数据库加密技术这是网络数据库安全防范的核心措施。为了防止黑客通过操作系统、网络协议的安全漏洞直接进行数据库访问,必须进行数据库加密。主要有两种加密方式,一种是公开的密钥形式,也就是双密钥体系。这种体系下的用户有2个密钥:一个用于交换的、公开的;另一个是用于变换解密的、保密的。加密码是一种公开的,类似于电话号码,但是,只有对应的解密码才能够进行文件解密,这是截止到现在最有影响的一个密码体制。一种是DES密码体制,这是分组密码最为典型的代表,这种密码体制采用56bite密钥,每次处理64bite长度的组,集中在一小块芯片上实现算法。对数据库文件系统进行加密,系统还需要提供不同速度、安全强度的解密算法,因此,用户就可以根据文件的重要程度,设计适当的解密算法。

2防火墙技术

防火墙指的是在外界网络与本地网络之间的一道隔离防御系统。应用防火墙最重要的目的就是通过对网络入、出环节的控制,促使各项环节都需要经过防火墙检查,进而有效预防网络遭到外来因素的破坏与干扰,进一步达到保护内部网络不受非法访问。在本质上来讲,防火墙就是一种控制、隔离技术。在不安全的网络环境中积极构建相对安全的网络内部环境。站在逻辑层面来分析,防火墙不仅是一个限制器,还是一个分析器,防火墙要求所有网络数据流必须经过安全计划或策略确定,与此同时,在逻辑上对内外网络进行分离。防火墙功能如下:(1)提高网络安全性能.防火墙的应用,能大幅度提升内部网络的安全性能,降低安全风险。比如说,防火墙可以迫使NFS进出受网络保护。另外,防火墙还能够保护网络避免来自路由的攻击。防火墙能够拒绝各种不安全因素,并通知管理员。(2)强化网络安全,通过执行站点安全策略(比如说将审计、身份认证等安全软件)配备在防火墙内部。相对于传统的将安全问题分散到不同主机上的方式相比较,这种集中安全管理的防火墙更加经济、安全。(3)监控网络访问与存取,防火墙的应用,能够有效记录各种网络活动的开展,并且,对于可疑性的网络活动进行报警。能够为网络管理员提供全面的信息:谁在访问网络,在网路上访问什么信息。一旦防火墙监控到可疑动作,就会自动报警,并提供攻击与监测的具体信息。

结语

信息安全风险与信息安全体系结构 第2篇

信息安全风险与信息安全体系结构

摘 要 在计算机、手机、电话等通讯技术迅速发展的今天，信息安全风险成为当下全社会关注的热点问题。作为信息系统安全开发中的引导和约束主体，网络的应用范围无疑是广大的，从最初的游侠网络发展到今时今日的网络区域性，然而在使用网络带来的方便同时人们也面临着网络带来的信息失窃泄露隐患，因此本文针对网络信息安全进行介绍，对网络安全系统的构建问题加以讨论。 关键词 信息安全;风险评估;预防措施 中图分类号：TP393 文献标识码：A 文章编号：1671-759718-0056-01 信息安全的概念经历了一个漫长的发展过程，20世纪90年代以来得到了深化，进入21世纪，日益凸显。信息的存在范围是巨大的，大方向可以影响国家政治与军事的走向，小到企业之间的公司机密的安全，个人的隐秘信息安全等。安全作为信息系统领域的一个重要问题，在信息作战环境中的信息安全尤其举足轻重。如今，网络快速发展，所以网络环境下的信息安全体系是保证信息安全的关键。新一代信息网络体系结构保障了人们的信息安全。 1 信息的发展 在刚刚过去的几十年时间里，人们的不断发明创造，让信息技术发生了日新月异的变化。在现代网络技术逐渐的发展取代了人们传统的信息结构，从以往的写信报纸到了在网络上可以实现多方面信息的获取，实现了人们异地交流同步的最终目的，虽然网络还处于发展初期，但是其影响力超过现代任何一种信息传递模式，为此人们对于网络的依赖性就越发严重。但是由于网络安全问题所带来的信息非法获取以及私人信息泄露、机密信息丢失等问题频繁发生，世界上很多国家都遭到了网络信息窃取所带来的巨大损失，为此不少西方国家率先提出一系列网络信息安全维护措施，但是由于网络自身的特点这些措施所取得的收效并不高。 2 信息安全的重要意义 信息安全不仅关系信息自身的安全，更是对国家安全具有重大战略价值。信息安全关涉一个国家的政治安全，经济问题以及文化问题。信息安全不是一个纯粹的技术问题。信息是国家的眼睛和窗户，为此在我国进入网络信息时代后就更要注重自身网络信息的安全性，信息主导着国家的舆论方向，因此一条错误的信息或扭曲的信息都会在网络环境内造成巨大的破坏，这种破坏是多方向的，可能会引起一系列现实社会中的不安和动荡，因此针对网络信息的特点就需要格外注意这一系列问题。随着信息技术的`不断发展，信息的负面影响不仅仅表现在企业的经济损失，各种关于信息安全的侵权行为也开始肆意横行，网络的快速发展也给这些侵权行为提供了良好的载体，还有各种国家的机密被盗事件的频繁发生等等。因此，信息安全不容忽视，特别是国家信息安全，办公信息系统安全更不容忽视。 3 漏洞扫描技术与网络信息安全管理 3.1 漏洞扫描技术 网络信息化是通过电子计算机网络进行数据共享的一个过程，因此在上网获取信息的同时在一定角度上来讲也属于暴露了个人的信息，因此在网路普及的过程中个人信息的丢失就成为现代人用网安全最需要关注的地方了。从网络数据的共享上来管制信息漏洞，防止信息非法获取以及病毒针对系统漏洞进行个人信息的窃取。漏洞扫描的结果实际上就是系统安全性能的一个评估报告，因此成为网络安全解决方案中的一个重要组成部分。 3.2 网络信息安全体系 网络资源的信息共享是现代计算机技术最为热门的一个方向。网络实现了交流的平台提供，并且对于一些相关的异地化进行同化信息操作，降低交流困难，但是在日益进步的网络信息时代网络信息安全问题又成了热门话题以及网络应用人员的安全隐患，信息安全管理不仅需要还需要合理的信息安全管理政策及制度，而且还需要好的信息安全体系来保障。而在网络技术如此广泛的普及之下，保证上网环境的安全是首要的任务，因此针对于这一问题就要针对以下三方面进行梳理，保证上网的环境安全性，第一确保上网系统漏洞的检测，对防火墙个人信息保护软件等软件进行漏洞修复，对上网条例进行所属签订，对网络环境进行优化检查删除恶意软件。 4 制定信息安全管理策略及制度 1)制度的建立过程是从基础开始做起的，因此为了确保我国网络使用安全以及相关信息保护措施的到位就必须完善相关监管部门的专业技术，作为问题处理的单位相关的监管人员网络安全技术过硬才能灵活应对各类突发事件，并且对于层出不穷的网络信息安全问题进行识别，此外还需要定时定期的培训以及技术经验交流以适应逐渐发展的网络环境。 2)制定信息安全管理制度应遵循如下统一的安全管理原则：①规范化原则;②系统化原则制定安全策略;③综合保障原则;④以人为本原则;⑤首长负责原则;⑥预防原则;⑦风险评估原则;⑧动态原则;⑨成本效益原则。 3)立法保护确保网络安全法的执行力度，吸收西方网络安全工作经验总结出一套适合中国的网络使用安全方案，确保网络信息不出现非法流失。 4)建立既符合我国国情又能跟国际接轨的信息安全策略，确保信息最高的安全程度，保障每一位公民能够切实享受到隐私权，保护每位合法公民的财产不被侵犯。更希望信息安全保护能够走到世界的前沿，保护国家信息的绝对安全。 5 信息安全系统工程 网络安全系统的开发是离不开以下几个方面的。 1)系统构建。系统的构建过程属于细致的专业的过程，因此需要系统开发人员有十分充分的开发技术，并且对开发出的安全系统经常性、周期性的进行维护、检测以及漏洞修复。 2)识别信息安全问题隐患。随着网络科技的发展窃取信息的方式变得越发多种多样，因此识别这些窃取信息的网络安全问题就十分重要。 3)是安全问题的处理。处理技术是随着网络更新换代而发展变化的，由于网络的发展周期太快因此处理问题的方法就不可以局限于时间段而需要及时的针对问题进行处理方式的进化更新，优化相应的处理方式和处理技巧。 6 结束语 信息技术的发展让人类开始步入信息化，网络化的时代，促进了社会的繁荣与进步，给人们的学习，工作，生活带来了极大的方便，也使人们对计算机网络的生活有着极大的依赖性，并且随着网络科技的发展人们的生活与网络的结合会越来越紧密。因此，信息安全成为社会各界关心的问题。它系着个人，企业乃至国家的命脉，一定做好信息安全保护工程。 参考文献 [1]陈媛媛.计算机网络安全与防范策略探析[J].山西煤炭管理干部学院学报，2013(02). [2]王林.计算机网络信息安全防护策略[J].信息安全与技术，2013(05).

信息网络安全体系分析 第3篇

关键词：电力企业 信息系统 安全体系

1 概述

随着通信技术和网络技术的发展，接入企业信息网络的电力自动化、电量采集等控制业务越来越多，而且PMS等电力办公自动化系统也成为企业内各个部门日常工作中必不可少的协同办公系统。信息系统和网络信息安全关系着电网的安全运行以及整个企业的生产运行、电网调度、办公管理等各个方面，其重要性不置可否。维护电力企业安全生产，排除安全隐患，是目前电力企业信息系统安全方面重要的研究。

2 电力企业内信息系统存在的安全问题

能够对信息系统安全构成威胁的不稳定因素有很多，外部网络对企业网络的攻击，系统维护人员日常工作的操作失误，内部可能存在的恶意性质的蓄意破坏都有可能对信息系统造成严重打击。而重要的资料或文件通过信息系统造成外泄，也会对企业的正常运营构成威胁。归纳总结之后，将影响电力企业信息系统安全的问题主要分为以下几类：

2.1 物理层面形成的安全隐患 信息系统的基础是由计算机硬件、网络和通讯设备构成的。这种基于物理的存在造成了信息系统“相对”的脆弱性。严重的自然环境灾害（地震、电磁场、雷电），或者设备及网络连接线缆的老化等环境因素以及其他不可控的事故因素都有可能导致整个信息系统物理层次的损坏，从而导致整个系统出现故障甚至瘫痪。

2.2 管理层面的安全风险 管理层面的安全风险主要存在于以下几个方面：企业内部的安全管理、沟通联络防范措施的缺失以及与工作无关的网络访问。

①如果企业内没有完善对于信息系统的安全管理，或不能有效的提高企業员工对网络信息安全重要性的认识，则极易导致诸如用户口令过于简单、重要管理账号随意供不相关人员使用、重要信息资源密级不够或日常维护出现误操作等一系列威胁网络安全的行为发生。②电力企业的运行模式，随着企业的不断发展壮大，已经逐步发展为本部公司-地区级公司-省级公司-市级公司-县公司的运行模式。如果不能妥善处理各级公司之间在信息资源方面的“安全”共享，则有可能造成机密资料的丢失或外泄。沟通联络防范措施的缺失使各级公司之间的资料共享或协同办公等工作无法得到安全保障。③由于一般情况下企业员工网络访问行为可能是与业务无关的，比如游戏、聊天、视频、P2P下载等。这些与工作无关的行为将可能导致信息系统从外部网络被入侵或者机密资料被窃。

2.3　系统层面的安全风险　系统层面的安全风险主要分为三大类：人为的恶意攻击、系统内存在的漏洞及与病毒传播造成的安全隐患。①人为的恶意攻击是信息网络所面临的巨大威胁。一种是主动攻击，攻击者选择攻击系统的薄弱点进行攻击企业信息系统，然后破坏信息的机密性、可用性和完整性；另一种是被动攻击，主要目的是隐藏在信息系统正常工作的外表下，通过窃取网络传输的数据包获得信息的内容，造成企业内部信息外泄。这两种攻击方式均可对企业的内部信息网构成极大威胁，或导致机密资料的被窃。②系统内存在的漏洞极有可能被相对应的蠕虫病毒入侵，信息系统内的每一台计算机，都应该及时的更新各类漏洞补丁。但如果设置专门的维护人员，在短时间内完成对系统内上千乃至过万台计算机的升级工作，将会占用大量的人力，若要求计算机使用者本人进行更新升级，则会导致很多的升级作业不能及时进行或者拖延许久。每一台存在漏洞的计算机，又会对系统网络本身的安全运行构成威胁。③外部网络存在的病毒、恶意代码等不良因素可能通过各种途径侵入到企业的内部网络，即使绝大多数的系统漏洞能被升级补丁修复，还存在各类应用软件或不同的网络访问将病毒带入计算机系统。

3　电力企业信息系统安全的防范措施

为进一步加强电力企业信息网络的安全性，就必须结合电力企业的运营特点及其信息网络应用的实际情况，建立起符合企业要求的信息系统安全体系的防护框架。要完成此目的，首先要强化企业信息系统中安全技术的专业应用，其次要完善企业信息系统的管理制度。

3.1　防范措施的技术手段 技术手段是解决一切信息系统安全问题的关键，只有在技术层次达到了一定安全程度，才能在一定程度上提高企业信息系统的安全性。

3.1.1　加强基础设施建设，改善网络运行环境 网络运行环境直接关系着网络运行的稳定性，网络机房要配有门禁、监控、报警系统、机房专用灭火器、应急照明灯以及接地防雷等措施。机房、配电间的环境要整洁。设备标识、布线清晰整齐，UPS、空调定期检查，温湿要度符合要求，以此来保证网络环境安全。

网络规划应尽量多点迂回，传输网络尽量成环、成网，避免单节点失效导致多点失去网络连接的情况发生。着力优化网络路由，尽量避免城区路由节点，减少因线路中断导致的网络连接中断。

3.1.2　有效的网络防护技术，加强网络安全管理 目前用于解决网络安全的技术手段主要有防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)和虚拟专用网(VPN)。防火墙主要用于在内部网之间的界面上构造保护屏障，实现网络间的安全隔离。入侵检测系统可在不影响网络性能的情况下对网络传输进行监测，可以积极主动的防止或减轻网络威胁。VPN技术可以用来解决各级公司之间或各个系统之间的访问或数据传输的安全问题，其目的在于保证企业内部的关键数据能够安全地借助公共网络进行交换。

3.1.3 规范各级公司信息系统安全软件 供电企业应自上而下的统一部署各个分公司所使用的杀毒系统、外部网络监测系统、信息媒介监测系统、系统自动更新升级软件、备份和恢复系统。应做到系统内的网络设备能够及时更新升级，并且设置专人维护，确保各种自动管理系统的安全稳定运行。并且监测在网络内的计算机是否有不被允许的外部网络访问及外部信息媒介的接入。

3.1.4 内外网采取物理隔离 如果有需要，并且条件允许，可以采用最高效的解决信息网络安全问题的办法：将局域网与外网物理隔离，使局域网内的用户只能访问内网资源，外网计算机无法与内网相连接。通过这种方法可以很大程度地防止互联网上的病毒、流氓软件等的入侵，避免企业及用户个人的重要信息与数据的失窃，进而可以控制可能由此造成的无法估计的损失。

3.2 安全管理 技术手段虽然可以有效的解决部分信息系统安全问题，但是对于电力企业的信息系统的安全防范来说，单单使用技术手段是远远不够的，有效地管理是有效运营的保障。

3.2.1 加强信息安全管理，提高员工安全意识 员工的安全意识对于企业的信息安全也是至关重要的。通过开展多种形式的信息安全知识培训，可以提高员工的警惕性以及养成良好的计算机使用习惯。制定相关的网络信息安全管理规定，明确安全事故责任制，可以强化企业员工安全责任感和主人翁意识，杜绝信息网络使用泄密的情况发生。

3.2.2 完善管理制度，加强执行力度 为了控制威胁电力信息系统安全问题的人为因素，必须对加强有效的相关管理制度。通过建立完整的信息安全管理体系、运行维护体系，明确岗位职责，并按照规范的运维流程进行操作，制定信息网络故障抢修以及应急预案并定期进行演练。通过有了强大的制度保证，才可以更好地促进电力企业信息网络的安全稳定运行。

4 结论

电力企业网络信息安全是一个复杂的系统工程，不仅涉及到技术方面的限制，还牵扯到管理方面等多个层面。如果要得到相对高水平的安全措施，就必须将多种方法适当综合的应用。随着当今信息技术及计算机技术突飞猛进的发展，新的安全问题会出现，也会不断发生变化。企业中网络信息体系也必须依靠不断融合新的技术、新的安全手段并且通过不断的完善和加强自身的管理制度等措施来保障，才能得到一个较为安全的网络运行环境。但最终只有根据自身的运营特点及网络构成才能制定出对应的安全体系，并依靠对应的安全策略选择合理的信息安全体系结构，才能得到安全的系统，并使系统的安全能持续下去。

参考文献：

[1]张琨.发电企业信息安全风险分析及控制策略[J].电力信息化.2008.第6卷第7期.

[2]电力行业信息系统安全等级保护定级工作指导意见[J].电力信息化.2008(1):20-26.

电子政务信息安全体系分析 第4篇

一、信息安全的概念

从技术角度看, 信息安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科, 完整的信息安全概念应包含以下3个方面的内容。

1. 物理安全。

指保护计算机设备、设施、网络及其他媒体免受各类事故、意外破坏的措施和过程。物理安全又包括环境安全、设备安全和媒体安全3个方面。

2. 运行安全。

指为保障系统功能的安全实现, 提供一套安全措施来保护信息处理过程。它侧重于保证系统正常运行, 避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失。运行安全包括风险分析、审计跟踪、备份与恢复、应急4个方面。

3. 信息安全。

指防止信息被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制, 即确保信息的完整性、保密性、可用性和可控性。信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与鉴别7个方面。

二、信息安全对象的分类

网络信息根据使用范围可分为非保密信息、内部使用信息、受限使用信息和保密信息4类。而保密信息根据其保密程度又可分为秘密、机密、绝密3类, 是按照泄露后的损害程度来排序的, 其敏感程度依次递增。

三、信息安全现状分析

1. 网络信息安全威胁严重。

俗话说, 道高一尺, 魔高一丈。网络信息的安全性问题之所以难以解决, 是因为从某种意义上讲, 网络安全地对阵双方打的是一场没有胜负的战争, 而且这场战争会一直持续下去, 对阵双方的人员、战略战术、交战地点、斗争方式都在不断地变化, 没有任何人可以预测其发展趋势。因此, 对于任何企业、单位来说, 想一劳永逸地解决所有安全问题都是不可能的。

从肆虐全球的“熊猫烧香”病毒到英国政府重要资料丢失, 从五角大楼计算机系统被入侵到“维基解密”事件, 这些都为网络信息的安全敲响了警钟。威胁网络信息安全的新形式、新方法不断出现, 可以说, 当前网络安全面临着“病毒更毒, 黑客更黑”的严峻形势。

2. 信息人才缺乏。

目前, 由于缺乏专业性技术人员, 政府机关、单位、企业的网站, 多由第三方公司外包开发, 存在的安全漏洞较多, 也最容易出现信息安全问题。信息安全建设, 人才是关键。因此, 培养大量优秀的信息安全人才成为各单位信息安全领域的头等大事。目前, 我国只有少数大学能够培养信息安全方向的专业人才。这种供需缺口在一个比较长的时期内将无法得到改观, 甚至连一些信息安全领域的公司也存在人才短缺或流失的问题。

3. 个人安全意识薄弱。

由于网络安全知识的普及力度还不够, 不少单位的干部和职工信息安全意识不强, 普遍存在擅自将涉密介质带出办公室的现象, 极易造成涉密信息的外泄。通过互联网使用造成涉密储存介质不经意泄密的问题屡次发生。这都给电子政务的信息安全造成了严重威胁, 教训极其深刻。此外, 一些个人不经意的言语和行为甚至也会为黑客攻击提供信息和条件, 通过聊天软件泄露管理系统密码威胁到大局信息安全的事件时有发生。

四、如何建立电子政务的信息安全体系

电子政务的信息安全建设是在适当的信息安全保障体系和框架指导下进行的一项系统工程。这项工程应包括密切关联的4大体系, 即安全管理体系、预警检测体系、安全防护体系和响应恢复体系。

1. 安全管理体系。

建立健全安全管理体系, 最重要的是针对电子政务的现有情况制定统一的行政管理制度。当然, 根据当地网络的实际情况和具体网络应用的不同, 管理制度应有针对性, 以保证安全策略的统一性、一致性和可管理性。安全管理体系的建立要遵循以下原则:符合法律、法规、标准, 符合组织使命, 符合组织利益。

2. 预警检测体系。

预警检测体系包括入侵检测、漏洞检测、外联和接入检测、补丁管理等。

(1) 入侵检测。入侵检测系统可以了解网络的运行状况和发生的安全事件, 并根据安全事件来调整安全策略和防护手段, 同时改进实时响应和事后恢复的有效性, 为定期的安全评估和分析提供依据, 从而提高网络安全的整体水平。

(2) 漏洞检测。漏洞检测系统一般包括漏洞扫描引擎、控制中心、报表和显示中心及管理控制台4个功能组件。

(3) 外联和接入检测。外联和接入监控技术就是为了防范由于非法连接造成的安全问题而设计的, 它对内部人员的非法外联行为进行实时监控, 对物理隔离措施或安全限制规定进行有效性检查。

(4) 补丁管理。补丁管理应该纳入组织的安全体系。补丁管理的意义已经超出了传统的安全领域, 成为维护信息系统正常操作所必须具备的措施。电子政务需要部署补丁管理系统, 补丁可以被存储在本地网络以确保它们的更高可读性和加速分发。

3. 安全防护体系。

安全防护体系包括防火墙、身份鉴别与认证、访问控制、网络审计等内容。

(1) 防火墙。防火墙就是运行于软件和硬件上的、安装在特定网络边界的、实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障, 防止非法用户访问内部网络上的资源和非法向外传递内部信息。

(2) 身份鉴别与认证。身份鉴别与认证是系统的第一道安全屏障, 也是实施访问控制的基础, 具有十分重要的作用。因此, 身份鉴别与认证机制的强度如何, 将直接关系到整个系统的安全度。口令与令牌相结合的身份验证方式可以为大多数的场合提供足够的安全性。

(3) 访问控制。访问控制包括自主访问控制和强制访问控制两种。其中, 强制访问控制具有更高的安全性, 它给每个客体和主体分配了不同的安全属性, 系统通过比较主体和客体的安全属性来决定主体对客体的操作可行性。

(4) 网络审计。网络审计系统记录网络中发生的违规行为, 完整地记录各种信息的起始地址和使用者, 有利于事后追踪, 为调查取证提供第一手资料。

4. 响应恢复体系。

电子政务信息系统的安全策略中必须具备应急响应手段, 以保证电子政务发生安全事故后, 能够及时作出有效响应, 采取合适的应急措施处理事故。安全事件预警与应急响应体系主要针对危及电子政务信息系统安全的重大事件进行检测、预警、抑制、根除, 并从事件的影响中尽快恢复, 以确保电子政务信息系统的业务连续性。响应恢复体系包括应急响应和业务连续性计划两个方面。

信息网络安全体系分析 第5篇

编制说明

1.工作简况 1.1.任务来源

根据国家标准化管理委员会2017年下达的国家标准制修订计划，国家标准《信息安全技术 关键信息基础设施安全保障评价指标体系》由大唐电信科技产业集团（电信科学技术研究院）主办。

关键信息基础设正常运转，关系国家安全、经济发展、社会稳定，随着关键信息基础设施逐渐向网络化、泛在化、智能化发展，网络安全成为关键信息基础设施的重要目标。世界主要国家和地区高度重视，陆续出台了相关战略、规划、立法以及实施方案等，加大对关键信息基础设施的保护力度。近年来，随着我国网络强国战略的深化和实施，国家关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位日益突出，构建国家关键信息基础设施安全保障体系已迫在眉睫，是当前一项全局性、战略性任务。

2016年4月19日，总书记在网络安全和信息化工作座谈会上指出，“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。我们必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护。” 2016年8月12日，中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》（中网办发文〔2016〕5号），要求“按照深化标准化工作改革方案要求，整合精简强制性标准，在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。”2016年11月7日，全国人民代表大会常务委员会发布《中华人民共和国网络安全法》，明确指出“保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序”。2016年12月15日，国务院印发《“十三五”国家信息化规划》（国发〔2016〕73号），明确提出要构建关键信息基础设施安全保障体系。2016年12月27日，国家互联网信息办公室发布《国家网络空间安全战略》，要求“建立实施关键信息基础设施保护制度，从管理、技术、人才、资金等方面加大投入，依法综合施策，切实加强关键信息基础设施安全防护。”2017年7月10日，国家互联网信息办公室就《关键信息基础设施安全保护条例（征求意见稿）》公开征集意见。

目前国外主要国家对关键信息基础设施的保护起步较早，已出台关键信息基础设施的相关战略、规划、法律、标准、技术、监管等等一系列举措，大力加强关键信息基础设施安全建设，不断提升网络安全保障能力。对于我国而言，一方面，我国在引进外国先进技术、加快产业更新换代的同时，部分关键核心技术和设备受制于他国，存在系统受控、信息泄露发 1

现滞后等隐患，也给关键信息基础设施各领域带来许多安全隐患问题。另一方面，我国关键信息基础设施保护工作起步较晚、发展较慢，缺乏针对性、指导性的标准体系，无法适应新形势下的国际网络安全环境。本标准的制定主要为关键信息基础设施的政府管理部门提供态势判断和决策支持，为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持和方法参考。1.2.编制目的

本标准主要解决关键信息基础设施网络安全的评价问题。本标准主要用于：评价我国关键信息基础设施安全保障的现状，包括建设情况、运行情况以及所面临的威胁等；为政府管理层的关键信息基础设施态势判断和宏观决策提供支持；为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。1.3.主要工作过程 1、2014年，项目组完成网络安全保障评价指标体系阶段性研究报告。主要针对以下三个问题进行了深入研究：研究国外特别是美国、欧盟、联合国等国家、地区和国际组织在网络安全保障评价指标研究方面的资料，总结网络安全保障评价的相关方法、指标、规定和标准；研究新形势、新技术条件下我国网络安全保障工作面临的挑战，分析我国网络安全保障工作的新需求，对我国与网络安全保障评价有关的法规、制度、标准进行梳理和总结；在理论研究和实践调研的基础上，研究提出我国网络安全保障评价指标体系和评价方法。2、2014年12月-2015年6月，项目组赶赴电力、民航、电信、中国银行等相关行业（企业）进行调研。3、2015年1月-2015年7月，项目组根据项目要求开展了研讨会，针对调研结果中各行业在网络安全评价中的成功经验和出现的问题进行总结。4、2015年1月-2015年9月，项目组与关键信息设施保护等进行工作对接。5、2015年1月-2015年7月，项目组进行了广泛研讨，并咨询了专家意见：2015年1月，对研究提出的网络安全保障评价指标体系的初步框架，召开专家咨询会，听取了崔书昆、李守鹏等专家的意见；2015年6月，召开专家会，听取了中国电信基于大数据的网络安全态势评价工作的介绍；2015年7月，召开专家会听取了关于民航、电信、互联网领域安全指标体系的研究现状，与会专家对网络安全保障评价指标体系课题提出意见建议。6、2015年8月-2015年9月，与2015年网络安全检查工作、关键信息基础保护工作进行对接。7、2016年1月-2016年2月，与网络安全检查工作进行对接，采用指标体系对相关检查结果进行了统计测算，并撰写评价报告。8、2016年4月-2016年8月，针对指标体系在网络安全检查工作中的成功经验和出现的问题进行总结，进一步更新了指标体系。9、2016年9月-2017年2月，与关键信息设施检查办进行对接，对指标体系的实际应

用进行了深入讨论。10、2017年3月，项目组在草案初稿的基础上，召开行业专家会，形成草案修正稿。11、2017年4月，在全国信息安全标准化技术委员会2017年第一次工作组会议周上，项目组申请国家标准制定项目立项。12、2017年6月，“信息安全技术 关键信息基础设施安全保障指标体系”标准制定项目正式立项。13、2017年7月，项目组召开专家咨询会，听取了李守鹏、魏军、闵京华、韩正平、张立武等专家的意见。14、2017年7月，在全国信息安全标准化技术委员会WG7第二次全体会议上，项目组广泛听取专家意见，形成征求意见稿。1.4.承担单位

起草单位：大唐电信科技产业集团（电信科学技术研究院）

协作单位：国家信息中心、北京奇安信科技有限公司、北京国舜科技股份有限公司、北京匡恩网络科技有限责任公司、北京天融信科技有限公司等。

本部分主要起草人：韩晓露 吕欣 李阳 毕钰 郭晓萧等。2.编制原则和主要内容 2.1.编制原则

为保证所建立的“关键信息基础设施安全保障评价指标体系”有一个客观、统一的基础，在评价指标体系的设计及指标的选取过程中，主要遵循以下原则：

1、综合性原则

关键信息基础设施安全保障评价指标体系建设是通过从整体和全局上把握我国关键信息基础设施安全保障体系的建设效果、运行状况和整体态势，形成多维的、动态的、综合的关键信息基础设施安全保障评价指标体系。因此，标准设计的首要原则是综合性。

2、科学适用性原则

关键信息基础设施安全保障评价指标体系必须是在符合我国国情、充分认识关键信息基础设施安全保障评价指标体系的科学基础之上建立的。按照国家信息安全保障体系总目标的设计原则，把关键信息基础实施安全各构成要素作为一个有机整体来考虑。指标体系必须符合理论上的完备性、科学性和正确性，即指标概念必须具有明确完整的科学内涵。

适用性原则，就是指标体系应该能够在时空上覆盖我国关键信息基础设施安全保障评价的各个层面，满足系统在完整性和全面性方面的客观要求。尤其是必须考虑由于经济、地区等原因造成的各机构间发展状况的差异，尽量做到不对基础数据的收集工作造成困扰。这一原则的关键在于，最精简的指标体系全面反映关键信息基础设施安全保障的整体水平。

3、导向性原则

评价的目的不是单纯评出名次及优劣的程度，更重要的是引导和鼓励被评价对象向正确 的方向和目标发展，要引导我国关键信息基础设施安全的健康发展。

4、可操作性强原则

可操作性强直接关系到指标体系的落实与实施，包括数据的易获取性（具有一定的现实统计基础，所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的）、可靠性（通过规范数据的来源、标准等保证数据的可靠与可信）、易处理性（数据便于统计分析处理）以及结果的可用性（便于实际操作，能够服务于我国涉密信息系统安全评价的）等方面。

5、定性定量结合原则

在众多指标中，有些因素是反映最终效果的定性指标，有些是能够通过项目运行过程得到实际数据的定量指标。对于评价最终效果而言，指标体系中这两方面的因素都不可或缺。但为了使指标体系具有高度的操作性，必须在选取定性指标时，舍弃部分与实施效果关系不大的非关键因素，并且尽量将关键的定性指标融合到对权重分配的影响中去。该指标设计的定性定量结合原则就是将定性分析反映在权重上，定量分析反映在指标数据上。

6、可比性原则

可比性是衡量关键信息基础设施安全保障评价指标体系的实际效果的客观标准，是方案权威性的重要标志。关键信息基础设施安全保障评价指标应该既可以横向对比不同机构信息安全保障水平的差异、又能够纵向反映国家及各地区关键信息基础设施安全保障的历史进程和发展趋势。这一原则主要体现在对各级指标的定义、量化和加权等方面。2.2.主要内容

本标准概述了本标准各部分通用的基础性概念，给出了关键信息基础设施安全保障指标体系设计的指标框架和评价方法。本标准主要用于：评价我国关键信息基础设施安全保障的现状，包括建设情况、运行情况以及所面临的威胁等；为政府管理层的关键信息基础设施态势判断和宏观决策提供支持；为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。本标准主要框架如下：

前言 引言 1 范围 规范性引用文件 3 术语和定义 4 指标体系 5 指标释义

附录A（规范性附录）指标测量过程 参考文献

本标准主要贡献如下：

1、明确了标准的目标读者及其可能感兴趣的内容

指出标准主要由三个相互关联的部分组成：第1部分包括1-3节，描述了本标准的范围和所使用的术语与定义，对关键信息基础设施、关键信息基础设施安全保障、关键信息基础设施安全保障评价等概念进行了阐释；第2部分为第4节，详细描述了关键信息基础设施安全保障指标体系的体系框架和指标；第3部分包括第5节和附录A，给出了关键信息基础设施安全保障指标体系各具体指标的衡量标准和量化方法，为体系的可操作性提供了保证。

2、给出了关键信息基础设施的概念

关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。

《中华人民共和国网络安全法》规定：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

《国家网络空间安全战略》规定：国家关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统等。

3、指出关键信息基础设施安全保障评价围绕三个维度进行

关键信息基础设施安全保障评价围绕三个维度进行，即建设情况、运行能力和安全态势，并依据关键信息基础设施安全保障对象和内容进行分析和分解，一级指标包括战略保障指标、管理保障指标、安全防护指标、安全监测指标、应急处置指标、信息对抗指标、威胁指标、隐患指标、事件指标。

4、给出了指标测量的一般过程

关键信息基础设施安全保障指标测量的一般过程描述了指标如何依据测量对象的相关属性设立基本测度，应用相应的测量方法得出测量值，并通过分析模型将测量值折算成指标值，最终应用于保障指标体系。关键信息基础设施安全保障指标评价测量过程通过定性或定量的方式将测量对象进行量化以实现评价测量对象的目的。3.其他事项说明

a.在关键信息基础设施安全保障指标指标的体系建设和测量过程方面，试图使所提出的指标体系与测量过程具有一定的通用性，以便于指标体系的推广和扩展；

b.考虑到指标设计方面应用的可扩展性，在体系建设和测量过程之中，指标体系可以根据实际评价对象的特性做出相应的指标调整，以完善指标体系并得出合理公正的评价。

《信息安全技术 关键信息基础设施安全保障指标体系》标准编写组

构建立体信息安全体系 第6篇

天融信CEO于海波表示：“网络威胁瞬息万变，这就要求我们的安全防御体系也要有应对瞬息万变安全问题的能力，以识别、发现和感知最新的变化。”于海波提出了“安全是感知、安全是融合、安全是服务和安全是信赖”等新理念。

天融信通过前沿安全研究中心、天融信阿尔法实验室、企业博士后流动站、美国硅谷的安全分析实验室、与运营商共同搭建的安全云服务中心，构建了五位一体的企业级安全感知系统。尤其是安全云服务中心，提供了网站监控、设备监控、事件监控、可用性监控、舆情监控、云恢复、云加速等7x24小时的实时安全监控服务，并藉此实时跟踪全球最新安全态势。

于海波强调信息安全建设要有全面融合的思想，他认为未来的信息安全建设务必在技术层面要实现相互融合，天融信就在终端安全、边界安全、应用和数据安全、监控审计、安全管理等系列技术体系中进行融合。同时他还强调，安全有其独特的一面，产品必须和服务融合，整体安全也必将与业务融合。

在日前天融信举办的以“构建安全能力 ，提升业务价值”为主题的全国信息安全高层系列研讨会上，天融信展示了其全新的云安全服务业务。依托已经建成的多个安全云服务中心，天融信已经为上千个客户提供了7x24小时的安全服务，并以安全云服务中心为支撑为客户提供了专业安全咨询、评估、设计、建设、运维和应急响应服务。

天融信提出安全必须实现可信赖，不仅实现业务系统之间的可信，将安全的能力嵌入到每个系统之中，除技术层面信赖关系的建立以外，更需要打造一个安全信赖的生态链，构建用户和产品提供商、服务提供商之间的信赖关系，共同构建可信安全架构。

信息网络安全体系分析 第7篇

关键词：信息安全,计算机,安全

我国信息安全发展的大环境目前已日臻完善, 成立了全国信息技术标准化技术委员会、国家计算机病毒应急处理协调中心等机构。另外, 我国信息安全政策法规、标准制定也已经走入规范化进程。但信息安全是一个征途而不是一个目的地。新的技术, 新的业务需求和新的安全威胁不断地改变环境。

由于计算机和国际互联网的飞速普及, 中国目前已经成为炙手可热的黑客攻击目标。全球每天约有200万台PC机处于随时可能被攻击的失控状态, 而其中有20%的PC机来自中国。据公安部对全国信息网络安全状况和计算机病毒疫情调查显示, 我国信息网络安全事件发生比例为62.7%, 计算机病毒感染率为85.5%, 多次发生网络安全事件的比例为50%, 多次感染病毒的比例为66.8%, 可见, 我国信息安全体系安全性何等脆弱。笔者通过对目前信息安全体系安全现状进行分析并初探解决对策, 希望能对信息安全体系的发展有所作用。

一、信息安全存在的几大安全现状和威胁

第一, 前期, 微软对中国Winxp、offi ce用户反盗版黑屏事件已炒得沸沸扬扬, 但反思后可得知:计算机网络系统使用的软、硬件很大一部分是国外产品, 我国电脑制造业对许多硬件核心部件的研发、生产能力很弱, 关键部件完全处于受制于人的地位。并且对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。一旦发生重大情况, 那些隐藏在电脑芯片和操作软件中的后门就有可能在某种秘密指令下激活, 造成国内电脑网络、电信系统瘫痪。

第二, 全社会的信息安全意识虽然有所提高, 但将其提到实际日程中来的依然很少。国家计算机病毒应急处理协调中心进行的多次安全普查和评估中发现许多公司和企业, 甚至敏感单位的计算机网络系统基本处于不设防状态。有的即使其网络系统已由专业的安全服务商为其制定了安全策略, 但在一定时间后, 由于在网络的使用中发现没有以前的方便, 便私自更改安全策略, 等一旦遭到攻击已是悔之晚矣。

第三, 目前关于网络犯罪的法律还不健全。比如盗窃、删改他人系统信息属于犯罪行为, 但仅仅是观看, 既不进行破坏, 也不谋取私利算不算犯罪?还比如网上有很多BBS, 黑客在上边讨论软件漏洞、攻击手段等, 这既可以说是技术研究, 也可以说是提供攻击工具, 这又算不算犯罪呢?国内很多网站在遭到攻击后损失惨重, 为保证客户对其的信任, 为名誉起见往往并不积极追究黑客的法律责任, 这种“姑息养奸”的做法就进一步助长了黑客的嚣张气焰。

第四, 信息安全人才培养体系虽已初步形成, 但随着信息化进程加快和计算机的广泛应用, 电子商务、电子政务和电子金融的发展, 对信息安全专门人才的培养提出了更高要求, 目前我国信息安全人才培养还远远不能满足需要。

第五, 我国信息安全产业水平有待提高。一是安全应用需求不明, 产业技术推动性、应用针对性不够, 国内安全需求得不到很好满足;二是产品过度集中, 低水平重复严重。三是核心技术仍然受到制约, 产业化水平较低, 产品安全质量令人担忧。

二、解决方案初探

象火灾防范工作的防消结合一样, 合理的信息安全系统需要满足两方面的要求, 首先是要把计算机网络安全事件的发生率和损失可能性控制在可以接受的较低范围内, 其次是要使信息安全事故可以得到及时处理。

1、信息安全基础设施的必要性

尽管安全产品不是万能的, 配置各种安全产品并不能解决安全问题, 但计算机网络系统需要一些基础的保护设施。任何安全措施都建立在一定软硬件环境基础下, 有很多安全机制是操作系统和网络软件产品本身已经具备的, 而也有很多安全功能是需要专门安全产品才能实现的。因此需要根据用户的实际网络环境和应用情况, 决定配置那些安全产品。

2、信息安全专业服务的必要性

任何一种安全产品所能提供的服务都是有限的, 也是不全面的, 要有效发挥操作系统、应用软件和安全产品的安全功能, 必须进行全面的检测、合理的配置和适当的优化, 才能使整个安全系统良好地运转起来。而实现这些严密的安全措施需要第三方的专业信息安全人员的参与并发挥主要作用。鉴于未来网络威胁的严重性和信息战的可能性, 建立主动性的信息安全防御体系已经成为先进国家的研究重点之一, 而主动性安全防御体系中最重要的环节是一支专业化的信息安全服务力量。

三、结论:信息安全问题具有动态性, 必须统筹兼顾, 常抓不懈

计算机网络系统软硬件和应用情况在不断更新。引入新设备、新软件和新的应用, 都会带来新的安全问题。攻击技术每天都在发展, 新的攻击机制不断出现, 新的攻击机制决定了新病毒和新的黑客攻击手段会对原本已经比较安全的系统造成新的威胁。只有坚持对计算机网络系统进行有计划的, 长期进行的评估和审计工作, 才能保证最新的技术隐患会被及时识别和解决。如果不结合这些新的技术动态、人员动态和管理动态进行定期的安全性评估, 原本搭建好的安全体系将处于不可控的状态。

参考文献

[1]徐国芹.浅议如何建立企业信息安全体系架构[J].中国高新技术企业, 2009, (05) .

[2]陈伟, 向丽, 刘爽, 郭伟, 谢明政.企业信息安全体系架构[J].石油地球物理勘探, 2008, (S1) .

[3]冯剑红, 谢汶.电力信息安全体系结构研究及安全策略[J].四川电力技术, 2006, (03) .

信息网络安全体系分析 第8篇

随着现代科技的迅猛发展, 通信技术也得到长足的发展, 中国的通信产业高速运行, 通信市场竞争加大。在信息时代各通信公司为了争占市场, 纷纷加大通信网络的建设工作, 通信网络的建设是保证运营商赢得市场的关键。人们在追求信息技术快速应用、发展的过程中, 普遍要求建立一个有序、安全的氛围.然而信息系统的脆弱问题也越来越突出, 信息系统遭受攻击导致其运转及运营受负面影响的事件不断出现, 信息系统安全管理己经成为政府、行业、企业管理中越来越关键的部分, 信息系统的安全已成为人们广泛关注的焦点, 同时对信息系统进行必要的安全度量也是势在必行.然而, 传统的安全度量通常是单一指标的定性或者定量的分析, 现在己经不是人们所追求的目标.系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。恐怕没有绝对安全的操作系统可以选择, 无论是Microsoft的Windows NT或者其它任何商用UNIX操作系统, 其开发厂商必然有其Back-Door。因此, 我们可以得出如下结论:没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析, 选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台, 并对操作系统进行安全配置。而且, 必须加强登录过程的认证 (特别是在到达服务器主机之前的认证) , 确保用户的合法性;其次应该严格限制登录者的操作权限, 将其完成的操作限制在最小的范围内。网络与信息安全是一项系统工作, 电信运营企业只有建立一个科学全面的网络与信息安全保障体系, 有效管理和控制潜在的安全风险, 才能取得良好的效果, 保障企业的安全运营。

二、信息系统管理与网络通信中容易出现的问题

计算机网络安全面临的问题主要有:1.计算机病毒。信息技术的飞速发展极大地推动了计算机和网络的普及, 但同时也促进了计算机病毒的发展。计算机病毒本质上是一种可以自我复制的程序, 它对计算机造成的破坏性及其巨大, 甚至可能使整个信息系统瘫痪, 从早期的小球病毒到骇人听闻的CIH和美丽杀手, 到熊猫烧香, 再到典型的冲击波振荡波, 计算机病毒的种类和传播形式在不断发展变化着, 已经成为计算机面临的主要安全问题之一。2.黑客。黑客主要以发现和攻击网络操作系统的漏洞和缺陷为目的, 利用网络安全的脆弱性进行非法活动, 也可以称为计算机安全的外部攻击者。这些攻击者他们采用修改网页, 非法入侵主机破坏别人程序, 窃取网上或他人信息。他们有的是了窃取他国机密, 为政治服务;有的是为了与人竞争, 显示自己高超的技术, 赢得名声;有的是单纯未来破坏而破会, 制造网络恐怖活动等。以上重重手段虽然其目的不一样, 但是均对网络的信息安全系统构成威胁, 甚至有些网络攻击者 (黑客) 可以摧毁网络节点, 释放计算机病毒, 造成整个网络系统的瘫痪。3.内部攻击和破坏。内部攻击和破坏经常是一些人员利用自己对内部系统的了解, 有预谋的突破网络系统安全进行攻击, 由于内部入侵者更了解网络结构, 因此他们的非法行为将对网络系统造成更大威胁。特别是对于为企业来说, 企业内部的网络攻击和破坏有时甚至会成为其最大的网络威胁。比如那些对企业心怀不满的员工, 被解雇的职员, 受信任的客户, 咨询顾问等所有能进入企业内部网络系统的人都有可能对系统造成威胁。另外, 有些人网络安全意识缺乏, 不注意保护自己的账号, 密码等都可能会引起网络的安全问题。据有关部门统计, 此类问题在网络安全问题中的比例极高, 接近70%。4.拒绝服务。拒绝服务问题是指因为某些原因而导致计算机系统在执行任务 (或者程序) 时发生困难, 或者不能执行。这种问题的破坏性极大。

三、信息系统的管理和网络通信安全体系

保证计算机网络安全主要技术安全是网络赖以生存的保障, 只有安全得到保障, 网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展, 其涉及的技术面非常广, 主要的技术如认证、加密、防火墙及入侵检测是网络安全的重要防线。对合法用户进行认证可以防止非法用户获得对公司信息系统的访问, 使用认证机制还可以防止合法用户访问他们无权查看的信息。现列举几种如下:1.身份认证:当系统的用户要访问系统资源时要求确认是否是合法的用户, 这就是身份认证。常采用用户名和口令等最简易方法进行用户身份的认证识别。2.报文认证:主要是通信双方对通信的内容进行验证, 以保证报文由确认的发送方产生、报文传到了要发给的接受方、传送中报文没被修改过。3.访问授权:主要是确认用户对某资源的访问权限。4.数字签名:数字签名是一种使用加密认证电子信息的方法, 其平安性和有用性主要取决于用户私匙的保护和平安的哈希函数。数字签名技术是基于加密技术的, 可用对称加密算法、非对称加密算法或混合加密算法来实现。加密就是通过一种方式使信息变得混乱, 从而使未被授权的人看不懂它。主要存在两种主要的加密类型摘要:私匙加密和公匙加密私匙加密:私匙加密又称对称密匙加密, 因为用来加密信息的密匙就是解密信息所使用的密匙。对于网络安全建立全新网络安全机制, 必须深刻理解网络并能提供直接的解决方案, 因此, 最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行, 使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实, 所造成的对整个网络的损失都是难以估计的。因此, 网络的安全建设是信息网建设过程中重要的一环。建立有效的安全组织架构、落实具体的安全职责是支撑网络与信息安全保障体系有效运作的基础。网络与信息安全工作需要企业各级领导和全体员工的积极参与, 人是网络与信息安全工作中最重要的因素, 同时也是最薄弱的环节。以往由于企业在开展网络与信息安全工作时没有明确组织机构和落实安全职责, 导致信息安全工作往往是走形式, 不能有效地落地实施。

摘要：计算机网络信息安全与管理摘要随着计算机信息化建设的飞速发展, 社会信息化程度的不断提高, 计算机已普遍应用到日常工作、生活的每一个领域, 但随之而来的是, 计算机网络安全也受到全所未有的威胁, 计算机病毒无处不在, 黑客的猖獗, 都防不胜防。所以, 网络信息系统的安全与否已成为影响国家安全的重要因素。本文对信息系统管理与网络通信安全体系进行了分析。

关键词：信息系统,管理,网络通信,安全

参考文献

[1]毛光灿;移动通信安全研究[D];西南交通大学;2011年

信息网络安全体系分析 第9篇

随着我国经济的快速发展, 信息系统也跟随进入到了快速发展时期。网络信息系统在国家安全、经济建设以及高新科学技术都发挥着重要作用。由于信息系统的快速发展, 应用领域逐渐的进行变化, 从传统的小型业务系统逐渐向大型的关键业务系统扩展, 应用层次不断的进行深入, 网络的信息安全日益成为影响整个信息系统的重要问题。由于目前的网络系统基于TCP/IP协议, 具有充分的开放性与自由性, 为广大用户提供了很广阔的使用领域, 但同时也给网络安全带来到了极大的安全隐患。网络的信息安全体系的建设成为了一个急需解决的问题。作为我国国家安全重要的组成部分公安机关, 其网络系统的安全体系建设是首先要考虑的问题。本文分析了公安网络的信息安全当前面临的问题以及安全需求, 给出了公安网络的信息安全体系设计中, 通信平台、网络平台、应用平台以及安全管理平台的问题分析。

1 公安网络面临的安全问题分析

公安网络的信息安全一般来说是指公安网络系统要保障信息不受破坏、保护数据安全、保护服务安全以及保护通信安全等多个方面。尽管公安网络与公共网络进行隔离, 但是公安网络所覆盖的范围非常广, 使用公安网络的公安干警、司法部门的人员众多。不仅如此公安网络还连接着全国公安一级网络。使用人员的误操作或者非法操作都有可能导致信息的泄露与破坏。因此, 目前我国的公安网络的信息安全面临着许多的安全问题。

1.1 网络构成庞大, 访问控制不严

由于目前的公安网络拓扑结构庞大, 对伪装IP的判断以及网络用塞现象严重。另外, 目前用户的登录方式的安全级别尚未做到将本文真实的身份信息与登录口令做到单一映射。甚至有些地方的公安网络中, 仍然使用同一的用户名+口令的模式, 这些无疑会对公安网络的信息安全造成巨大的安全隐患, 造成非法入侵者对数据的破坏、盗取以及泄露安全机密。

1.2 公安网络系统中软件设计问题

由于公安网络系统的安全防护软件的开发周期与早期的系统分析不适合当前安全防护形势的原因。其公安网络操作系统与应用软件中存在很多的安全楼同, 这些漏洞的存在将对网络的正常运行构成很大的隐患。

1.3 病毒的防护漏洞

公安网络目前对网络病毒的防护手段十分有限, 没有建立专用的计算及病毒防护中心、监控中心, 这同样对公安网络的安全造成巨大隐患, “尼姆达”与“2003蠕虫王”等网络病毒曾对公安网络造成想打的危害, 造成网络拥堵、降低性能, 严重扰乱了公安系统的正常工作秩序。

1.4 信息安全的管理体制不完善

公安网络系统是与公共网络物理隔离的系统, 但是还未在整体上建立完善的安全结构体系, 在管理上缺乏安全标准以及使用条例, 甚至有些地方公安网络中的计算机出现公安网络与公共网络同时使用的现象, 这都对公安网络的信息安全带来不可忽视的安全威胁, 使非法入侵者有着可乘之机。

2 公安网络的信息安全体系结构设计

公安网络的信息安全体系结构设计, 是一项非常复杂的系统工程, 该体系对安全的需求是多层次, 多方面的。因此本文设计了比较完整的安全体系结构模型, 以保障整个系统的完备性以及安全性, 为公安网络的信息安全提供切实有效的安全服务保障。本文在借鉴了多种成熟的信息网络安全体系结构, 并且根据国家公安部提出的具体保障体系的指导思想, 设计了适应我国公安网络的信息安全体系。该体系从安全服务、协议层次以及系统单元三个维度, 综合立体的对公安信息网络的安全体系进行了设计。这个三个层次均包含了安全管理模块。

2.1 协议层次维度

本文从网络的七层协议模型来设计公安网络的安全体系结构中的协议层次。每一个协议层次都有专属的安全机制。对于某一项安全服务, 安全实现机制随着协议层次的不同而不同。例如, 审计跟踪的安全服务项目在网络层, 主要对审计记录与登录主机之间的流量进行分析, 对非法入侵进行实时监测。病毒防护层一般在应用层实现, 一般用来对访问事件进行监控, 监控内容为用户身份, 访问IP, 访问的应用等等进行日志统计。

2.2 安全服务维度

公安网络的信息安全体系中包括的安全服务有, 身份识别认证、访问控制权限、数据完整性和保密性以及抗抵赖组成了安全服务模型。在安全服务模型中, 每一个安全服务对应着不同类别的应用。这几种安全服务模型不是独立的是互相联系着的。进入公安网络安全体系的主体登录系统时, 要进行身份识别认证, 并且查找授权数据库, 以获得主体访问的权限, 如果通过验证与授权, 则对访问信息进行加密返回至主体, 主体通过解析进行信息获取。并且, 主体访问的过程被审计跟踪监测模块记录, 生成访问日志, 以便日后进行查验。

2.3 系统单元维度

公安网络的信息安全体系的实施阶段, 上述安全服务与协议等要集成在物理单元上, 从系统单元的维度看, 可分为以下几个层次。首先, 物理环境安全, 该层次保护计算机信息系统的基本设施安全, 能够有能力应对自然灾害以及人为物理误操作对安全体系的基础设施的干扰以及破坏。其次, 网络平台的安全, 主要保证网络的安全可靠运行, 保障通过交换机等网络设备的信息的安全。最后是应用系统的安全, 该层次提供了访问用户的身份认证、数据的保密性以及完整性, 权限访问等。

3 总结

本文分析了公安网络的信息安全当前面临的问题以及安全需求, 对公安网络的信息安全体系设计中, 协议层次、安全服务以及系统单元三个维度的结构设计问题进行了深入的分析。

摘要：随着社会科技的不断进步, 我国的网络信息系统建设进入快速发展阶段。网络信息系统在国家安全、经济建设以及高新科学技术都发挥着重要作用。作为我国国家安全重要的组成部分公安机关, 其网络系统的安全体系建设是首先要考虑的问题。本文分析了公安网络的信息安全当前面临的问题以及安全需求, 给出了公安网络的信息安全体系设计中, 通信平台、网络平台、应用平台以及安全管理平台的问题分析。

关键词：信息系统,公安网络,体系结构,安全体系

参考文献

[1]张兴东, 胡华平, 况晓辉, 陈辉忠.防火墙与入侵检测系统联动的研究与实现[J].计算机工程与科学, 2004 (04) .

[2]艾军.防火墙体系结构及功能分析[J].电脑知识与技术, 2004 (08) .

[3]单蓉胜, 王明政, 李建华.基于策略的网络安全模型及形式化描述[J].计算机工程与应用, 2003 (13) .

[4]陈科, 李之棠.网络入侵检测系统和防火墙集成的框架模型[J].计算机工程与科学, 2001 (02) .

[5]陈硕, 安常青, 李学农.分布式入侵检测系统及其认知能力[J].软件学报, 2001 (02) .

电力企业信息安全管理体系分析研究 第10篇

在如今的信息化社会中,信息通过共享传递实现其价值。 在信息交换的过程中,人们肯定会担心自己的信息泄露,所以信息安全备受关注,企业的信息安全就更为重要了。 但是网络是一个开放互联的环境,接入网络的方式多样,再加上技术存在的漏洞或者人们可能的操作失误等,信息安全问题一刻不容忽视。 尤其是电力,是国家规定的重要信息安全领域。 所以电力企业要把信息安全管理体系的建设,作为重要的一环纳入到整个企业管理体系中去。

2 电力企业信息管理体系建设的依据

关于企业的安全管理体系方面的标准有很多。 英国BSI/DISC的BDD信息管理委员会制定的安全管理体系主要包含两个部分内容:信息安全管理实施规则和信息安全管理体系规范。 信息安全管理实施规则是一个基础性指导文件,里面有10 大管理项、36 个执行的目标和127 种控制的方法,可以作为开发人员在信息安全管理体系开发过程中的一个参考文档。 信息安全管理体系规范则详细描述了在建立、施工和维护信息安全管理体系过程的要求,并提出了一些具体操作的建议。

国际标准化组织也发布了很多关于信息安全技术的标准,如ISO x系列、ISO/IEC x系列等。我国也制定了一系列的信息安全标准,如GB 15851—1995。

关于企业信息安全管理体系方面的标准众多,如何针对企业自身实际情况选择合适的参考标准很重要,尤其是电力企业有着与其他企业不同的一些特殊性质,选择信息安全体系建设的参考标准更要谨慎。 我国电力企业已经引入了一些国际化标准作为建立和维护企业运转的保证,关于信息安全体系的标准也应纳入到保证企业运转的一系列参考中去。 电力企业总体应有一致的安全信息管理体系参考标准,但是具体地区的公司又有着本身自己的特殊环境,所以在总体一致的信息安全标准的情况下,也应该根据企业自身地区、人文、政策等的不同制定一些企业内部自己信息安全标准作为建立、实施和维护信息安全管理体系的依据。 信息安全管理体系顾全大局又要有所侧重的体现电力企业安全标准的要求。

3 信息安全管理体系里的重要环节

3.1 硬件环境要求

信息安全管理体系并没有特别要求添加什么特别的设备,只是对企业用到的设备做一些要求。 电力企业一般采用内外网结合的方式,内外网设备要尽量进行物理隔离。 企业每个员工基本都有自己的移动设备,如手机等,为了增加信息安全的系数,企业可以限制公司设备的无线网络拓展。 另外,实时监控系统也应该覆盖企业的重要设备,监控硬件设备的安全。

3.2 软件环境要求

在企业设备(主要是计算机)上部署相关软件环境是信息安全管理体系中最重要的部分。 比如防病毒软件的部署、桌面系统弱口令监控软件的部署等,以此防止网络攻击或者提高安全系数。 另外,企业设备所用系统的安全漏洞修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题,都在信息安全管理体系设计的考虑范畴。

3.3 企业员工管理

尽管现在一直倡导智能化,但是企业内进行设备等操作的主体还是员工。 不管是对设备终端操作来进行信息的首发,还是对企业软硬件系统进行维护工作,都是有员工来进行的。 所以,对企业内部员工进行信息安全培训,提高员工的信息安全防范意识,让员工掌握一定的信息安全防范与处理手段是非常重要的事情。 针对不同的职位,在员工上岗前应该进行相关的信息安全方面的培训,然后对培训结果进行考核,不合格的人员不准上岗。 在岗的人员也要定期进行培训与考核。 另外,如果有条件的话,企业应该定期(例如每年)进行一次信息安全的相关演习。

另外, 电力企业有些项目是外包给其他相应公司的,这时候会有施工人员和驻场人员在电力企业,对这些人员也应该进行电力企业信息安全的培训。

3.4 信息安全管理体系的风险系数评估

风险评估在信息安全管理体系中是确定企业信息安全需求的一个重要途径, 它是对企业的信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用下所带来的风险可能性的评测。 风险评估的主要任务是:检测评估对象所面临的各种风险, 估计风险的概率和可能带来的负面影响的程度, 确定信息安全管理体系承受风险的能力,确定不同风险发生后消减和控制的优先级,对消除风险提出建议。 在信息安全管理体系的风险系数评估过程中,形成《风险系数评估报告》、《风险处理方案》等文档,作为对信息安全管理体系进行调整的参考。 风险系数的评估要尽可能全面的反映企业的信息安全管理体系,除了常规手段,也可以使用一些相应的软件工具的结果作为参考。 另外很值得注意的是企业的员工对风险的理解,企业员工对他们所操作的对象有比较深刻的理解,对其中可能存在的不足也有自己的见解, 在风险系数评估的过程中,可以进行一些员工的问卷调查等,把员工对风险的认识纳入风险评估的考虑范畴。

企业的设备会老旧更换,员工也会更换,所以企业的信息安全是动态的,因此风险评估工作也要视具体情况定期进行,针对当前情况作评估报告,然后制定相应的风险处理方案。 还有,之所以要建立信息安全管理体系, 其中很重要的一点就是体系内各个模块的结合,信息安全管理体系的风险评估与关键内容的实时监控就应该结合起来。

为了降低信息安全管理体系的风险系数,提升信息安全等级,要做的工作很多。 渗透测试就是其中很有必要的一项工作。 渗透测试是测试人员通过模拟恶意攻击者的攻击方式, 来评估企业计算机网络系统安全的一种评测方法。 这个测试过程会对系统的可知的所有弱点、技术方面的缺陷或者漏洞等作主动的分析。 渗透测试对于网络信息安全的组织具有实际应用价值。 随着技术的不断进步,可能还会出现其他的更有价值的信息安全技术,作为信息安全备受瞩目的电力企业, 应当时刻关注相关技术的进展,并及时将它们纳入企业信息安全管理体系中来。

3.5 信息安全管理体系的管理模式

文章前面提到企业信息安全是动态的,所以信息安全管理体系需要建立一个长效的机制,针对最新的情况及时对自身作出调整, 使信息安全管理体系有效的运行。 现在一般会采用PDCA循环过程模式:计划,依照体系整个的方针和目标,建立与控制风险系数、提高信息安全的有关的安全方针、过程、指标和程序等;执行:实施和运作计划中建立的方针、过程、程序等;评测:根据方针、目标等,评估业绩,并形成报告,也就是文章前面说到的风险系数评估;举措:采取主动纠正或预防措施对体系进行调整,进一步提高体系运作的有效性。 这四个步骤循环运转,成为一个闭环,是信息安全管理体系得到持续的改进。

4 重要技术及展望

4.1 安全隔离技术

电力企业的信息网络是由内外网两部分组成,从被防御的角度来看的话,内网的主要安全防护技术为防火墙、桌面弱口令监控、入侵检测技术等;而主动防护则主要采用的是安全隔离技术等。 安全隔离技术包括物理隔离、协议隔离技术和防火墙技术。 一般电力企业采用了物理隔离与防火墙技术,在内网设立防火墙,在内外网之间进行物理隔离。

4.2 数据加密技术

企业的数据在传输过程中一般都要进行加密来降低信息泄露的风险。 可以根据电力企业内部具体的安全要求,对规定的文档、视图等在传输前进行数据加密。 尤其是电力企业通过外网传输的时候,除了对数据进行加密外,还应该在链路两端进行通道加密。

4.3 终端弱口令监控技术

终端设备众多,而且是业务应用的主要入口,所以终端口令关乎业务数据的安全以及整个系统的正常运转。 如果终端口令过于简单薄弱,相当于没有设定而将设备暴露。 终端的信息安全是电力企业信息安全的第一道防线,因此采用桌面系统弱口令监控技术来加强这第一道防线的稳固性对电力企业的信息安全非常重要。

电力企业信息安全管理体系是一个复杂的系统,包含众多的安全技术,如数据备份及灾难恢复技术、终端安全检查与用户身份认证技术、虚拟专用网技术、协议隔离技术等。 凡是与信息安全相关的技术,电力企业都应当关注,并根据企业自身的情况决定是否将之纳入到信息安全管理体系中去。

智能化已成为不管是研究还是社会应用的热门词汇。 电力企业的信息安全管理体系是否可以智能化呢?不妨做一个展望,电力企业的信息安全管理体系有了很强的自我学习与自我改进的能力,在信息安全环境越来越复杂,信息量越来越庞大的情况下是否会更能发挥信息安全管理体系的作用呢? 这应该是值得期待的。

5 防病毒软件部署

电力企业信息安全管理体系有很多软件系统的部署,如防病毒软件部署、桌面弱口令监控系统部署、系统安全卫士部署等。 但是它们的部署情况类似,这里用防病毒软件的部署来展示电力企业信息安全管理体系中软件系统的部署情况。 如图1 所示为防病毒软件的部署框架。

杀毒软件种类有很多,这里以赛门铁克杀毒软件为例。 企业版的赛门铁克防病毒软件系统相比单机版增加了网络管理的功能,能够很大程度地减轻维护人员的工作量。 为了确保防病毒软件系统的稳定运行,在电力企业内部正式使用时,尽量准备一台独立的服务器作为防病毒软件专用的服务器。

服务器安装配置好赛门铁克防病毒软件后,可以远程控制客户端与下级升级服务器的软件安装与升级。

电力企业内网可能是禁止接入外网的, 这样的话,防病毒软件的更新可能无法自动完成。 防病毒软件需要升级的时候,维护人员在通过外网在相应网址下载赛门铁克升级包,然后通过安全U盘拷贝到防病毒软件系统专用服务器进行升级操作。 在图1 中,省电力公司的防病毒管理控制台获得升级包可以下发给下级升级服务器和客户端进行防病毒软件系统的自动升级更新。 图1是一个简单的框图, 如果电力企业的内网规模很大的话,还可以更多级地分布部署。

6 结束语

电力企业的信息安全与企业的生产与经营管理密切相关,是企业整个管理系统的一部分。 信息安全管理体系是一个整体性的管理工作,把体系中涉及的内容统一进行管理,让它们协调运作,实现信息安全管理体系的功能。 电力企业信息安全的建立与体系不断的改进定能稳定、有效地维护企业的信息安全。

摘要：电力企业里的人员众多,设备众多,为了保障企业的正常运转,就需要系统化的管理。而在整个企业的管理系统中非常重要的一环就是信息安全管理体系。论文主要对信息安全管理体系建设中的重要环节、重要技术等进行分析,并特别介绍了信息安全管理体系中防病毒软件的部署,来加深对信息安全管理体系的认识。

论我国网络信息安全法律体系构建 第11篇

关键词：网络信息；安全；法律体系；单行法

中图分类号：D920.4 文献标识码：A 文章编号：1671-864X（2016）05-0086-01

随着互联网的深入发展，信息安全成为当前互联网发展面临的重要瓶颈，因各种信息泄露给公民隐私造成的损失更是不计其数。因此，信息安全不仅是行业问题，更提高到社会的高度。只有不断完善我国现有信息安全法律体系，才能促进互联网行业的健康发展，进而保障社会和个人信息安全，维护每个自然人的合法权益。

一、当前我国信息安全立法存在的问题

（一）立法模式缺乏统一的基本法。

我国信息安全法律体系善未构成有机的统一整体。目前，专门针对信息安全的法律只有《关于加强网络信息保护的决定》，但这不能是真正意义上的法律。其他大部分大多是以行政法规、规章和司法解释，没有形成针对性、前瞻性的整套法律体系。

（二）现有法律可操作性不高。

目前，我国在信息安全的立法和管理大部分是以行政制度的方式体现，大部分采用的是禁止性条款，比较笼统和概况，可操作性不强。由此，在执法过程中，导致相关法律部门在对当事人进行处罚中，不能找到可操作性的规章和条款，给当事双方极大的分歧，同时也给法律的落实带来很大的障碍。

（三）缺乏科学性设计。

现存信息安全法中，大多强调加强对事前的审批和事后处罚，而对于网络信息安全事中部分则未引起足够重视，对相关主体的问责程序、问责条件等未作出明确的划定。同时，研究发现对执行中的不同法律主体的权利和义务没有也未进行明确规定，从而导致权利和义务出现不对等，没有起到法律的威慑作用。

二、国外网络信息安全立法给我国的借鉴

（一）制定不同领域的针对性法律法规。

西方国家在针对网络信息安全发生在人们的各个方面，如个人隐私、电子商务、未成年保护等领域，都有非常明确和针对性的规定，从而形成了非常完善的信息安全体系。以美国为例，在隐私保护方面，专门制定了《联邦互联网隐私保护法》；在未成年的保护方面，制定《儿童在线隐私权保护法》；电子商务方面制定《2002年电子政务法》。同时日本在网络信息的安全方面，也专门制定《反黑客法》等。因此，国际在网络信息方面出台的法律文件给我国信息安全的立法打开了大门，也给过提供参考借鉴。

（二）增加民事赔偿部分，增设罚金刑制度。

我国现行对网络信息方面的立法大都以行政法规方式进行规范，并通过刑法条款对网络犯罪进行处罚。因此，针对网络信息犯罪行为，在立法方面也应体现出相对应的刑事责任或行政责任。如对网络犯罪的处罚中，没有设置处理罚金部分，而在责任方面还主要以刑事责任为主。通过这种处罚方式发现，对犯罪分子的处罚比较单一，并且责任也不多元化。而对于网络信息安全中的信息泄露问题，通常给网络主体造成很大的损失。相比西方国家，在立法的早期已经设定罚金刑，除刑事责任、行政责任外，还必须辅助民事赔偿。

（三）完善制定我国法律规制。

目前，全国人大已经制定并出台了《关于加强网络信息保护的决定》，从而从法律层面填补了对网络个人信息和隐私保护的法律空白，但是对于商业信息方面的保护，如泄漏后的责任主体、制裁标准等还没有进行统一和明确的规定。而美国在对商业信息的保护中，则制定非常完善的法律制度，如《電子通信隐私法》。在该部法律中，明确规定对于非法入侵网络服务器、改变通信内容的行为，都必须承担相应的刑事和民事责任。而在《统一商业秘密法》中也明确规定，任何针对企业商业秘密的侵权行为都必须受到严厉处罚。因此，在逐步完善不同领域的的法律保护问题方面，我们还应该借鉴美国的经验，进一步完善和明确法律主体。

三、我国网络信息安全法律体系构建

（一）立法宗旨。

针对我国网络信息安全问题，习近平总书记在2014年召开的中央网络信息安全领导小组会议中则要求：“要抓紧制定立法规划，完善互联网信息内容管理、关键信息基础设施保护等法律法规，依法治理网络空间，维护公民合法权益。”因此，通过习近平总书记的要求，在立法方面应将保障网络信息安全、维护每一位公民的合法权益作为当前我国立法的根本宗旨，从而净化我国网络空间，保障国家和社会安全与稳定。同时，根据该立法宗旨，在立法中还应该亿保障安全与发展、实体与程序立法并重、权责与义务对等、高效等作为基本的原则。

（二）我国网络信息安全立法体系构建。

1.基本法构建。

网络安全基本法可以网络个人信息保护法作为开端，通过加强个人信息的保护作为，从而加强信息安全。在此处的个人信息，笔者认为可以从广义和狭义的角度进行考量。从广义的角度，个人与现实中的信息主体相同，即个人、法人、其他组织和国家等，都可以直接归纳到法人这个领域。而对于信息的理解，必须结合网络的特性，如笼统的指所有的信息的话，可能会限制网络的正常发展，将信息界定为具有私密性、人格性性质的信息。通过该界定，则将个人信息保护分为国家秘密保护、商业秘密保护、个人信息保护。而鉴于当前网络更新快，但立法慢的问题，可采用单行法或者分法的方式对个人信息进行保护。

2.加强对单行法的制定。

除从基本法的角度对网络信息安全进行保护外，针对一些特殊的领域还必须制定单行法法方式。如对国家地理信息安全方面，必须对电子地图中出现的关系国家重要机密的部分进行掩饰、隐藏，同时规定网络服务者在这些方面所具有的义务和责任。

3.其他相关信息安全规定。

对法律来讲，基本法或者是单行法的出台会存在一定的滞后性，因此针对该问题，可以通过修改现存的规范，从而及时应对网络信息安全保护中出现的新问题。通过及时调整相关的网络服务、网络监管等单行法律文本，并对涉及到网络信息安全的条款进行及时修正，从而全方位保障网络信息安全。

四、总结

总之，对于我国的网络信息安全保护问题，还有很长的路要走。本文则尝试通过对现存网络信息安全保护存在的问题入手，并结合国外在信息安全立法的成功经验，提出对我国网络信息安全保护的几点建议和对策，从而完善我国网络信息安全立法体系，促进互联网和社会的快速、和谐发展。

参考文献：

信息网络安全体系分析 第12篇

随着媒体对信息技术的依赖性日益增强[1]，信息系统必将成为网络媒体各项业务的关键平台，而且，各媒体对关键业务的可用性、业务延续性的要求越来越高，大多数网络媒体都要求提供7×24不间断的服务。所以，随着计算机网络信息系统的发展，信息安全保障体系必将发挥越来越重要的作用。在计算机和网络通信技术突飞猛进的今天，系统攻击技术也在随着信息安全理论的发展而发展。在这样的形势下，安全过程从头到尾实施一遍下来也只是一种静态的安全，不能适应变化的安全需要。[2]所以我们应该采用“自适应”的动态安全保障思想，在安全过程的实施过程当中不断地根据变化的形势更新系统的安全状态，让安全过程从防护、检测到响应恢复的每一步都对下一次的安全策略制定实施积极的影响，从而使得网络媒体的安全水平在不断进步的技术环境下也能保持一个较高的水平。

2、模型的主要设计思路

当前网络媒体在信息安全方面的需求是多方面，多层次的，单一的技术或者产品将难以满足网络媒体信息系统对安全的需求。所以，我们需要站在现有的安全体系理论和模型基础之上，设计一个较为完整的信息安全保障体系来应对网络媒体当前的安全需求。

2.1 遵循系统工程的设计思想来考虑体系的规划和建设

目前大多数的安全体系模型主要的着眼点大都还是停留在技术层面，而在信息安全理论已经发展到信息保障概念的今天，信息安全体系的规划和建设已经超出了纯技术的范畴，成为一个复杂的系统工程。所以，我们在进行网络媒体的信息安全保障体系的规划和建设时，应该站在整体上来进行考虑，不仅要注重技术体系，还要重视以人为中心的组织体系和媒体网站管理体系，将这三个安全要素进行有机的结合，按照系统工程的思路来进行规划和建设。

2.2 对安全单元进行分层考虑

OSI把传输数据的过程分解为一些最基本的元素，将与特定应用相关的网络功能标识出来分类并组成一些独立的功能层，这就是著名的ISO-RM七层模型。这种分析的办法使得信息传输的功能得以分解并局部化到一个具体的层次上，因而便于实现。在这种思路的启发下，我们也可以将需要得到安全保障的信息系统按照应用进行分层，每一层都定义一组与其他层次不同的功能，通过这种方式进行功能的定义和局部化，以便于其实现，从而建立一个兼顾整体性和灵活性的信息安全保障体系。

2.3 强调安全过程的动态性

P2DR模型突出了时间的概念，Pt>D t+R t

P2DR及其衍生模型具有较强的实际指导意义，主要是因为从P2DR模型开始就引入了时间维，从而强调了整个安全过程的动态性，同时也使得整个安全模型具有自适应的特点。这个思路对于我们要规划和建设的网络媒体信息安全保障体系而言是值得借鉴的，因为信息网络技术在不断地发展变化，整个信息环境也在逐渐地改变，这时候如果一个信息安全体系还一成不变的话，其保障能力必将逐日降低，从而带来不可预料的安全隐患。这就好比在一个下行的电梯上往上走，一旦停下来或者上行速度跟不上电梯的下行速度，都会造成绝对位置的降低。所以，网络媒体的信息安全保障体系必须具有跟随信息环境变化的动态性，这种动态性主要体现在安全过程当中[3]。

3. A2P2DR2动态综合性信息安全保障体系结构模型设计

3.1 模型的主要特点分析

系统性：信息保障不仅仅依赖于信息技术和信息安全过程本身，而是一个必须以相关法律、法规和政策为基础，综合涉及管理、技术、人员等要素的系统工程。而且，在安全单元方面，不仅考虑了通信网络和操作系统的安全问题，物理和应用这一高一低两个层次也系统地考虑到了；

动态性：防护、监测、响应恢复等各个安全过程的总结对下一阶段的安全分析评估具有反馈作用，然后可以在新的分析报告和评估结果基础之上制定新的安全策略，以调整整个信息系统的安全水平达到一个新的高度；

积极性：被动就容易挨打，只有不断进行主动的学习和提高，根据新的形势和变化积极改进安防措施，调整安防策略，才能将安全状态维持在一个较高的水平。

3.2 模型的多重保护层次分析

从安全过程考虑，A2P2DR2模型可以为网络信息系统建立三道防线，如上图。

安全保护：网络的第一道防线，能够阻止对网络的入侵和危害；

实时安全监测：第二道防线，可以及时发现入侵和破坏；

响应和恢复：网络的第三道防线，当攻击发生时维持网络“打不垮”，使网络在遭受攻击后能以最快的速度“起死回生”，最大程度上降低安全事件带来的损失。

由上图可以看出，模型的主要防护思路是从内部网角度出发来考虑的。内部网中存有大量的敏感信息，具有极高的价值，而它又是一种半封闭的集中式可控网络。因此，既要保证内部网不被非法入侵和破坏，网中的敏感信息不被泄漏，不被非法窃取和篡改，又要保证网内用户和外部网络之间能够正常连通，得到应有的服务，这就要求内部网必须建立一套完整的信息安全保障体系来保证真正的信息安全。

4．本模型的可行性分析

作为一项系统工程，信息安全保障体系的规划建设必然受到资源和时间的限制。因而在体系的模型定义阶段，我们应该进行一下可行性分析。

4.1．经济可行性

如前所述，随着媒体的主要业务逐渐向信息平台上转移，信息安全保障体系的建立已经成为网络媒体势在必行的措施之一。否则，因为信息安全事故而造成的损失将会是巨大的。而前面设计的模型强调的安全是系统性的安全，并不是仅仅将注意力放在需要投入比较大的安全产品和技术上面。通常而言，网络媒体只要对安全问题有比较明晰的认识，加强内部的管理，练好内功，就能从很大程度上提高整个系统的安全性，而这是不需要多少投入的。在此基础上，网络媒体可以通过安全风险管理来正确处理面临的风险，从而把有限的资金投入到最急需的、风险最大的地方。所以，模型的实施可以根据各个网络媒体的实际情况来考虑，在资金方面的灵活度是非常大的[4]。

4.2．技术可行性

安全技术是整个信息系统得到有效安全保障的基础之一。模型的设计过程中考虑到了网络媒体自身的技术力量。各个网络媒体背景不同，技术水平差别较大，因而不宜统一规划。模型推荐的思路是在自己技术力量的基础上来进行取长补短的建设，在自身力量达不到的技术层面上再考虑与其他厂商或部门的合作。这样一来可以节约有限的投入，二来可以充分发挥自己的技术优势，构建符合本网络媒体实际情况的安全体系。所以，在技术方面，模型的伸缩空间也是很大的，各网络媒体可以根据自己的技术力量来考虑。

4.3．法律可行性

模型本身就强调要以相关的法律法规和政策标准作为整个安全体系的基础，所以按照该模型建立的安全体系在法律可行性方面是毋庸置疑的。

综上分析，模型的设计具有相当的灵活性。按照模型所述，各网络媒体根据自身的实际情况，可以建立一个符合自身需要的信息安全保障体系。

摘要：信息安全保障体系结构是整个信息安全系统最高层的抽象描述。在信息安全系统的设计与建设过程中, 需要从全局的体系结构角度考虑安全问题的整体解决方案, 才能保证信息安全功能的完备性与一致性, 降低安全的代价和管理的开销。本文提出了一个A2P2DR2动态综合性信息安全保障体系模型, 为网络媒体及其他联网企事业单位信息安全保障问题的解决提供了新的参考。

关键词：动态性,信息系统,信息安全,保障体系

参考文献

[1]王谦, 陈放.我国电子政务信息安全及保障体系[J].网络安全技术与应用.2006, (04)

[2]谢宗晓.ISMS-站在组织战略高度部署信息安全[J].中国标准化.2007, (04)

[3]崔光耀.在全局的高度审视信息安全[J].信息安全与通信保密.2006, (08)