導(dǎo)語：如何才能寫好一篇信息安全事件報告，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

    論文摘要：本文強(qiáng)調(diào)審計工作的安全、高效和信息化，從審計工作的現(xiàn)狀、發(fā)展瓶頸到信息化審計的制度健全、引入主機(jī)系統(tǒng)安全審計、業(yè)務(wù)系統(tǒng)安全審計等相關(guān)管理辦法、新技術(shù)或新理念和待解決的問題等方面，論述構(gòu)建安全高效的審計信息化安全保障體系的措施。 

審計是客觀評價個人，組織、制度、程序、項(xiàng)目或產(chǎn)品。審計執(zhí)行是以確定有效性和可靠性的信息，還提供了一個可內(nèi)控的評估系統(tǒng)。審計的目標(biāo)是表達(dá)人、組織、系統(tǒng)等的評估意見，審計人員在測試環(huán)境中進(jìn)行評估工作。審計必須出示合理并基本無誤的報表，通常是利用統(tǒng)計抽樣來完成。審計也是用來考察和防止虛假數(shù)據(jù)及欺騙行為，檢查、考證目標(biāo)的完整性、準(zhǔn)確性，以及檢查目標(biāo)是否符合既定的標(biāo)準(zhǔn)、尺度和其它審計準(zhǔn)則。實(shí)現(xiàn)審計的信息化，有利于管理層迅速準(zhǔn)確的做出決定，對于政企業(yè)發(fā)展、社會經(jīng)濟(jì)的進(jìn)步都具有重要作用。目前，我國的審計工作尚存在性質(zhì)認(rèn)定模糊、工作范圍過于狹窄等問題，有待進(jìn)一步加強(qiáng)和改進(jìn)。 

審計的基礎(chǔ)工作是內(nèi)部審計，內(nèi)審是審計監(jiān)督體系中不可或缺的重要組成部分，是全面經(jīng)濟(jì)管理必不可少的手段，是加強(qiáng)任何機(jī)構(gòu)內(nèi)部管理的必要，推動經(jīng)濟(jì)管理向科學(xué)化方向發(fā)展的重要環(huán)節(jié)也是審計。因此說審計部門是其他監(jiān)督部門不能代替的，促進(jìn)黨風(fēng)廉政建設(shè)、加強(qiáng)對黨政領(lǐng)導(dǎo)干部及管理人員的監(jiān)督都可以通過審計來完成。審計應(yīng)用與高新技術(shù)機(jī)構(gòu)中，在防范風(fēng)險中發(fā)揮著重要作用，也有助于領(lǐng)導(dǎo)層做出正確決策。 

 

一、審計工作的現(xiàn)狀及存在的問題 

 

隨著我國經(jīng)濟(jì)迅猛發(fā)展，審計監(jiān)督力度不斷增強(qiáng)，審計范圍也不斷擴(kuò)大。當(dāng)前，審計方式已由財政財務(wù)審計向效益審計發(fā)展，由賬項(xiàng)基礎(chǔ)審計向制度基礎(chǔ)審計、風(fēng)險基礎(chǔ)審計發(fā)展，由事后審計向事中、事前審計發(fā)展。審計管理上建立審計質(zhì)量控制體系，要求審計機(jī)關(guān)把審計管理工作前移，把質(zhì)量控制體系貫穿與審計工作中。在此趨勢下，傳統(tǒng)的審計方法暴露出其效率低、審計范圍小等劣勢，使得完成審計任務(wù)，達(dá)到審計目標(biāo)越發(fā)缺乏及時性。 

(一)內(nèi)部審計性質(zhì)認(rèn)定較為模糊。內(nèi)部審計是市場經(jīng)濟(jì)條件下，基于加強(qiáng)經(jīng)營管理的內(nèi)在需要，也是內(nèi)部審計賴以存在的客觀基礎(chǔ)。但是，現(xiàn)代內(nèi)部審計的產(chǎn)生卻是一個行政命令產(chǎn)物，強(qiáng)調(diào)外向。這種審計模式使人們對內(nèi)部審計在性質(zhì)認(rèn)定上產(chǎn)生模糊，阻礙了內(nèi)部審計的發(fā)展。內(nèi)部審計很難融入經(jīng)營管理中，審計工作很難正常開展，很難履行監(jiān)督評價職能和開展保證咨詢活動，因此就不能充分發(fā)揮其應(yīng)有的內(nèi)向的作用。 

(二)內(nèi)部審計工作范圍過于狹窄。內(nèi)部審計的目的在于為組織增加價值并提高組織的運(yùn)作效率，其職能是監(jiān)督和服務(wù)。但是，我國內(nèi)部審計工作的重心局限在財務(wù)收支的真實(shí)性及合規(guī)性審計。長久以來內(nèi)部審計突出了監(jiān)督職能，而忽視了服務(wù)職能。內(nèi)部審計認(rèn)識水平、思想觀念的束縛以及管理體制等諸多因素，影響和阻礙著內(nèi)審作用的有效發(fā)揮。原因有會計人員知識水平、業(yè)務(wù)素質(zhì)不高，也有不重視法律、法規(guī)的因素，還有監(jiān)管不力、查處不嚴(yán)的原因。目前內(nèi)部審計尚處在查錯階段，停留在調(diào)賬、糾正錯誤上，還不能多角度、深層次分析問題，沒有較國際先進(jìn)的審計理念，我國內(nèi)部審計的作用尚待開發(fā)。審計人員的計算機(jī)知識匱乏，不適應(yīng)電算化、信息化的迅速發(fā)展。目前多數(shù)審計人員硬件知識掌握不熟練，軟件知識了解也不足，因此不能有效地評估信息系統(tǒng)的安全性、效益性。由于計算機(jī)審計軟件開發(fā)標(biāo)準(zhǔn)不同，功能也不完整，因此全面推廣計算機(jī)輔助審計就有一定難度，導(dǎo)致審計人員的知識和審計手段滯后于信息化的發(fā)展。 

 

二、信息化審計體系的健全 

 

當(dāng)前國家審計信息化發(fā)展的趨勢是建立審計信息資源的標(biāo)準(zhǔn)化、共享化、公開化，逐步達(dá)到向現(xiàn)代審計方式的轉(zhuǎn)變。這一趨勢是隨著當(dāng)前科學(xué)發(fā)展、和諧社會的推進(jìn)，國家確立的公共財政建設(shè)、公共服務(wù)的實(shí)施、公共產(chǎn)品的提供應(yīng)運(yùn)而生的，三個“公共”的主旨是：國家財政資金的使用更注重民生；使用重點(diǎn)更注重服務(wù)；使用效益更注重民意。 

信息安全審計是任何機(jī)構(gòu)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險控制等不可或缺的關(guān)鍵手段。收集并評估證據(jù)以決定一個計算機(jī)系統(tǒng)是否有效地做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成目標(biāo)，同時能更經(jīng)濟(jì)的使用資源。信息安全審計與信息安全管理密切相關(guān)，信息安全審計的主要依據(jù)是出于不同的角度提出的控制體系的信息安全管理相關(guān)的標(biāo)準(zhǔn)。這些控制體系下的信息化審計可以有效地控制信息安全，從而達(dá)到安全審計的目的，提高信息系統(tǒng)的安全性。由此，國際組織也制定了相關(guān)文件規(guī)范填補(bǔ)信息系統(tǒng)審計方面的某些空白。例如《信息安全管理業(yè)務(wù)規(guī)范》通過了國際標(biāo)準(zhǔn)化組織iso的認(rèn)可，正式成為國際標(biāo)準(zhǔn)。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務(wù)院辦公廳關(guān)利用計算機(jī)信息系統(tǒng)開展審計工作有關(guān)的通知》等文件，基本規(guī)范了內(nèi)部審計機(jī)制，健全了內(nèi)部審計機(jī)構(gòu)；強(qiáng)調(diào)機(jī)構(gòu)應(yīng)加強(qiáng)內(nèi)審工作，機(jī)構(gòu)內(nèi)部要形成有權(quán)就有責(zé)、用權(quán)受監(jiān)督的最佳氛圍；審計委員會直接對領(lǐng)導(dǎo)班子負(fù)責(zé)，其成員需具有相應(yīng)的獨(dú)立性，委員會成員具良好的職業(yè)操守和能力，內(nèi)審人員應(yīng)當(dāng)具備內(nèi)審人員從業(yè)資格，其工作范圍不應(yīng)受到人為限制。內(nèi)部審計機(jī)構(gòu)對審計過程中發(fā)現(xiàn)的重大問題，視具體情況，可以直接向?qū)徲嬑瘑T會或者領(lǐng)導(dǎo)層報告。 

   　三、主機(jī)系統(tǒng)安全審計 

 

信息技術(shù)審計，或信息系統(tǒng)審計，是一個信息技術(shù)基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。 

以技術(shù)劃分，信息化安全審計主要分為主機(jī)審計、網(wǎng)絡(luò)審計、應(yīng)用審計、數(shù)據(jù)庫審計，綜合審計。簡單的說獲取、記錄被審計主機(jī)的狀態(tài)信息和敏感操作就是主機(jī)審計，主機(jī)審計可以從已有的系統(tǒng)審計記錄中提取相關(guān)信息，并以審計規(guī)則為標(biāo)準(zhǔn)來分析判斷被審計主機(jī)是否存在違規(guī)行為?？傊瑸榱嗽谧畲笙薅缺Ｕ习踩幕A(chǔ)上找到最佳途徑使得業(yè)務(wù)正常工作的一切行為及手段，而對計算機(jī)信息系統(tǒng)的薄弱環(huán)節(jié)進(jìn)行檢測、評估及分析，都可稱作安全審計。 

主機(jī)安全審計系統(tǒng)中事件產(chǎn)生器、分析器和響應(yīng)單元已經(jīng)分別以智能審計主機(jī)、系統(tǒng)中心、管理與報警處置控制臺來替代。實(shí)現(xiàn)主機(jī)安全系統(tǒng)的審計包括系統(tǒng)安全審計、主機(jī)應(yīng)用安全審計及用戶行為審計。智能審計替代主機(jī)安裝在網(wǎng)絡(luò)計算機(jī)用戶上，并按照設(shè)計思路監(jiān)視用戶操作行為，同時智能分析事件安全。從面向防護(hù)的對象可將主機(jī)安全審計系統(tǒng)分為系統(tǒng)安全審計、主機(jī)應(yīng)用安全審計、用戶行為審計、移動數(shù)據(jù)防護(hù)審計等方面。 

 

四、待解決的若干問題 

 

計算機(jī)與信息系統(tǒng)廣泛使用，如何加強(qiáng)對終端用戶計算機(jī)的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系，也就是建立安全策略體系、安全管理體系和安全技術(shù)體系。 

保護(hù)網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì)，對操作系統(tǒng)、數(shù)據(jù)庫及服務(wù)系統(tǒng)進(jìn)行漏洞修補(bǔ)和安全加固，對服務(wù)器建立嚴(yán)格審核。在安全管理上完善人員管理、資產(chǎn)管理、站點(diǎn)維護(hù)管理、災(zāi)難管理、應(yīng)急響應(yīng)、安全服務(wù)、人才管理，形成一套比較完備的信息系統(tǒng)安全管理保障體系。 

防火墻是保證網(wǎng)絡(luò)安全的重要屏障，也是降低網(wǎng)絡(luò)安全風(fēng)險的重要因素。vpn可以通過一個公用網(wǎng)絡(luò)建立一個臨時的、安壘的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。借助專業(yè)的防ddos系統(tǒng)，可以有效的阻止惡意攻擊。信息系統(tǒng)的安全需求是全方位的、系統(tǒng)的、整體的，需要從技術(shù)、管理等方面進(jìn)行全面的安全設(shè)計和建設(shè)，有效提高信息系統(tǒng)的防護(hù)、檢側(cè)、響應(yīng)、恢復(fù)能力，以抵御不斷出現(xiàn)的安全威脅與風(fēng)險，保證系統(tǒng)長期穩(wěn)定可靠的運(yùn)行。嚴(yán)格的安全管理制度，明確的安全職責(zé)劃分，合理的人員角色定義，都可以在很大程度上減少網(wǎng)絡(luò)的安全隱患。 

從戰(zhàn)略高度充分認(rèn)識信息安全的重要性和緊迫性。健全安全管理組織體系，明確安全管理的相關(guān)組織、機(jī)構(gòu)和職責(zé)，建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責(zé)任機(jī)制。為了確保突發(fā)重大安全事件時，能得到及時的響應(yīng)和支援，信息系統(tǒng)必須建立和逐步完善應(yīng)急響應(yīng)支援體系，確保整個信息系統(tǒng)的安全穩(wěn)定運(yùn)行。 

 

 

參考文獻(xiàn)： 

[1]宋新月，內(nèi)部審計在經(jīng)濟(jì)管理中的重要作用淺析[j]，知識經(jīng)濟(jì)，2009 

篇2

2015年8月，互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況整體評價為良。我國基礎(chǔ)網(wǎng)絡(luò)運(yùn)行總體平穩(wěn)，互聯(lián)網(wǎng)骨干網(wǎng)各項(xiàng)監(jiān)測指標(biāo)正常，未發(fā)生較大及以上網(wǎng)絡(luò)安全事件。在我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境方面，除境內(nèi)木馬或僵尸程序的IP地址數(shù)量、感染飛客蠕蟲感染IP地址數(shù)量和境內(nèi)仿冒網(wǎng)站的數(shù)量較7月有所增長外，其他各類網(wǎng)絡(luò)安全事件數(shù)量均有不同程度的下降?？傮w上，8月公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢較7月有所好轉(zhuǎn)，評價指數(shù)在良的區(qū)間。

2基礎(chǔ)網(wǎng)絡(luò)安全

2015年8月，我國基礎(chǔ)網(wǎng)絡(luò)運(yùn)行總體平穩(wěn)，互聯(lián)網(wǎng)骨干網(wǎng)各項(xiàng)監(jiān)測指標(biāo)正常，未出現(xiàn)省級行政區(qū)域以上的、造成較大影響的基礎(chǔ)網(wǎng)絡(luò)運(yùn)行故障，未發(fā)生較大及以上網(wǎng)絡(luò)安全事件，但存在一定數(shù)量的、流量不大的、針對互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的拒絕服務(wù)攻擊事件。

3重要聯(lián)網(wǎng)信息系統(tǒng)安全

政府網(wǎng)站和金融行業(yè)網(wǎng)站仍然是不法分子攻擊的重點(diǎn)目標(biāo)，安全漏洞是重要聯(lián)網(wǎng)信息系統(tǒng)遭遇攻擊的主要內(nèi)因。8月，監(jiān)測發(fā)現(xiàn)境內(nèi)被篡改政府網(wǎng)站數(shù)量為166個，較7月的223個下降25.6%，占境內(nèi)被篡改網(wǎng)站的比例由2.7%下降到了2.2%；境內(nèi)被植入后門的政府網(wǎng)站數(shù)量為550個，較7月的505個增長8.9%，占境內(nèi)被植入后門網(wǎng)站的比例由3.9%上升到了5.0%；針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量為20239個，較7月的17325個增長16.8%，這些仿冒頁面絕大多數(shù)是仿冒我國金融機(jī)構(gòu)和著名社會機(jī)構(gòu)。8月，國家信息安全漏洞共享平臺（CNVD1）共協(xié)調(diào)處置了1864起涉及我國政府部門，銀行、民航等重要信息系統(tǒng)部門以及電信、傳媒、公共衛(wèi)生、教育等相關(guān)行業(yè)的漏洞事件。這些事件大多數(shù)是網(wǎng)站程序存在SQL注入、弱口令以及權(quán)限繞過等漏洞，也有部分是信息系統(tǒng)采用的應(yīng)用軟件存在漏洞，可能導(dǎo)致獲取后臺系統(tǒng)管理權(quán)限、信息泄露、惡意文件上傳等危害，甚至?xí)?dǎo)致主機(jī)存在被不法分子遠(yuǎn)程控制的風(fēng)險。

4公共網(wǎng)絡(luò)環(huán)境安全

2015年8月，根據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT）的監(jiān)測數(shù)據(jù)，我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境主要指標(biāo)情況如下。

4.1惡意代碼活動監(jiān)測數(shù)據(jù)2015年8月，境內(nèi)251萬余個IP地址對應(yīng)的主機(jī)被木馬或僵尸程序控制，與7月的近215萬個相比增長16.7%。2014年9月～2015年8月，境內(nèi)被木馬或僵尸程序控制的主機(jī)IP數(shù)量月度統(tǒng)計如圖1所示。2015年8月，境內(nèi)27萬余個主機(jī)IP感染“飛客”蠕蟲，與7月的21萬余個相比增長27.1%。2014年9月～2015年8月，境內(nèi)感染“飛客”蠕蟲的主機(jī)IP數(shù)量月度統(tǒng)計如圖2所示。2015年8月，CNCERT捕獲了大量新增惡意代碼文件，其中，按惡意代碼名稱統(tǒng)計新增82個；按惡意代碼家族統(tǒng)計新增11個。

4.2網(wǎng)站安全監(jiān)測數(shù)據(jù)2015年8月，境內(nèi)被篡改網(wǎng)站的數(shù)量為7408個，與7月的8202個相比下降9.7%。2014年9月～2015年8月，境內(nèi)網(wǎng)站被篡改數(shù)量的月度情況統(tǒng)計如圖3所示。2015年8月，境內(nèi)被植入后門的網(wǎng)站數(shù)量為10992個，與7月的12920個相比減少17.5%。2014年9月～2015年8月，境內(nèi)被植入后門的網(wǎng)站數(shù)量月度統(tǒng)計如圖4所示。2015年8月，CNCERT共監(jiān)測到針對境內(nèi)網(wǎng)站的仿冒頁面有20239個，涉及域名16872個，IP地址2321個，平均每個IP地址承載8余個仿冒頁面。在這2321個IP地址中，91.2%位于境外，中國香港（占境外的32.8%）和美國（占境外的9.9%）居前兩位，分別承載了4911個和1023個仿冒頁面，如圖5所示。

4.3漏洞數(shù)據(jù)2015年8月，CNVD收集整理信息系統(tǒng)安全漏洞656個。其中，高危漏洞有273個，可被利用來實(shí)施遠(yuǎn)程攻擊的漏洞有586個。

篇3

關(guān)鍵詞：IC卡；移動支付；信息化；支付安全

在近日召開的中國人民銀行科技工作會議上，央行表示今年或?qū)⑷嫱茝V金融IC卡應(yīng)用，并可能啟動全國范圍的芯片卡遷移。

根據(jù)中國央行工作人員介紹，IC卡的成本一般比普通的磁條卡高，但保密性更好，基于IC芯片的銀行卡能夠?yàn)槌挚ㄈ颂峁└影踩捅憬莸闹Ц斗?wù)?？梢耘c社保、就醫(yī)、身份認(rèn)證等其他需要實(shí)名的應(yīng)用結(jié)合在一起，也可以加載會員、折扣等信息或其他附加信息。另外可以與小額支付、無線支付服務(wù)無縫連接，小額支付使用脫機(jī)方式、大額支付使用聯(lián)機(jī)借貸記授權(quán)，可以有效改善持卡人消費(fèi)支付體驗(yàn)。

目前工商銀行和交通銀行已經(jīng)實(shí)現(xiàn)了全國性發(fā)卡，中國銀行、農(nóng)業(yè)銀行以及建設(shè)銀行已經(jīng)啟動了改造工作，另外中信、民生、招商、深發(fā)展等銀行也在積極地進(jìn)行IC卡項(xiàng)目策劃。

此外，會議上還指出，2011年有以下幾個主要任務(wù)：一是落實(shí)人民銀行“兩地三中心”信息化安全運(yùn)營布局：二是推進(jìn)系統(tǒng)整合，加快數(shù)據(jù)架構(gòu)和應(yīng)用架構(gòu)建設(shè)；三是完成網(wǎng)絡(luò)改造，提升人民銀行網(wǎng)絡(luò)對內(nèi)對外服務(wù)水平：四是著力推進(jìn)金融信息安全工作：五是全面推廣金融IC卡應(yīng)用，啟動全國范圍的芯片卡遷移：六是加快構(gòu)建統(tǒng)一規(guī)范的金融標(biāo)準(zhǔn)體系：七是完成“十二五”信息化規(guī)劃的編制并組織實(shí)施，加強(qiáng)規(guī)劃對建設(shè)項(xiàng)目的指導(dǎo)：八是強(qiáng)化軟件開發(fā)、認(rèn)證檢測、安全應(yīng)急、運(yùn)行維護(hù)等綜合能力建設(shè)，不斷提升工作環(huán)節(jié)的質(zhì)量和服務(wù)水平。

篇4

關(guān)鍵詞：windows終端；安全模板；安全策略；自動化部署

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2011)22-5326-04

Deploying Windows-Based Terminal Security Policy Based on Security Templates

TAN Ke-jiu1,2

(1.Hubei University of Technology, Wuhang 430068, China; 2.Hechi University, Yizhou 546300, China)

Abstract: With the increasing degree of institutional informationization, information security issues are also increasingly having a tremendous impact on the organization's security operationfs, and the terminal computer security and overall information security level of institutions is at stake. Windows operating systemhas a high market share in the global institutions terminal. It is an urgent to solve the problem that how to carry on the security policy deployment to the Windows office terminal, improve the effectiveness and efficiency of security management. This Paper will explore how to use the security templates provided by Microsoft and Windows command-line tool for office terminal deployment.

Key words: Windows-based terminal; security template; security policy; automation deployment

1 Windows辦公終端安全風(fēng)險

終端計算機(jī)作為機(jī)構(gòu)信息處理的一個重要組成部分，其安全事關(guān)整個信息系統(tǒng)。近年來的網(wǎng)絡(luò)安全形勢不容樂觀，國家互聯(lián)網(wǎng)應(yīng)急中心的《2010年上半年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》指出2010年上半年CNCERT共接收到網(wǎng)絡(luò)安全事件報告與2009年上半年相比增長105%，給企業(yè)造成了不可挽回的經(jīng)濟(jì)和政治上的損失。另據(jù)市場研究公司NetApplications的最新數(shù)據(jù)顯示，2010年Windows操作系統(tǒng)的全球市場占有率達(dá)91%，Windows系統(tǒng)占據(jù)著大部分企業(yè)、政府部門和學(xué)校的辦公電腦終端。

很多企事業(yè)單位的辦公終端數(shù)量多，分布地理位置分散又未進(jìn)行集約管理，管理人員少而負(fù)責(zé)事務(wù)雜，用戶計算機(jī)水平參差不齊，出現(xiàn)信息安全問題多，管理員疲于奔命。如何更快速有效的對Windows終端進(jìn)行安全策略部署、管理、監(jiān)測，是亟需解決的問題。本文將利用安全模板部署工具嘗試解決這一問題。

2 安全模板（Security Templates）

安全模板是基于文本的INF文件，該文件以特定格式定義了幾個安全區(qū)域的安全設(shè)置。這些安全區(qū)域包括密碼和帳戶鎖定策略，審核、用戶權(quán)利及安全選項(xiàng)策略，事件日志設(shè)置，受限制的組設(shè)置，系統(tǒng)服務(wù)設(shè)置，注冊表安全設(shè)置和文件系統(tǒng)安全設(shè)置。模板文件的某些章節(jié)包含由安全描述符定義語言(SDDL)定義的特定訪問控制列表(ACL)。

使用MMC系統(tǒng)控制臺的“安全模板”管理單元或文本編輯器來更改這些文件，進(jìn)而使用MMC系統(tǒng)控制臺的“安全配置和分析”模塊或命令行工具將安全模板所定義的安全設(shè)置應(yīng)用到計算機(jī)，利用該模塊分析計算機(jī)安全配置是否符合政策規(guī)定的安全級別，允許管理員跟蹤并確保計算機(jī)處在合適的安全狀態(tài)。

3 安全策略部署流程

建立合適的安全策略部署模型是實(shí)施有效安全管理的基礎(chǔ)，是實(shí)現(xiàn)安全管理可持續(xù)、可控制、可維護(hù)的依據(jù)，實(shí)現(xiàn)信息系統(tǒng)的可用性、保密性和完整性的保證，所以選擇適當(dāng)?shù)陌踩呗圆渴鹉Ｐ头浅Ｖ匾?。參考國際通行的APPDRR網(wǎng)絡(luò)安全模型，安全策略生命周期部署模型見圖1。

通過Windows終端安全風(fēng)險分析確認(rèn)機(jī)構(gòu)中信息終端中需要實(shí)施安全管理的具體對象，找出終端的安全短板和面臨的威脅，評估發(fā)生安全事件的概率，估算能承受的風(fēng)險值，為安全策略制定與實(shí)施提供依據(jù)。

制定安全策略是整個Windows終端安全保障工程的關(guān)鍵環(huán)節(jié)，是在安全政策和安全管理原則的指導(dǎo)下，在安全風(fēng)險評估結(jié)果和用戶需求基礎(chǔ)上，根據(jù)終端系統(tǒng)要實(shí)現(xiàn)的安全目標(biāo)制定，目的是確保目標(biāo)終端在應(yīng)用此策略后能實(shí)現(xiàn)相當(dāng)?shù)陌踩墑e。

策略實(shí)施就是在完成Windows終端安全策略制定后，通過一系列的安全技術(shù)和方法，利用系統(tǒng)自帶的安全管理工具或第三方安全管理軟件完成安全策略的實(shí)現(xiàn)、測試、部署工作，完成Windows終端系統(tǒng)保護(hù)，阻止安全事件發(fā)生，保證安全事件發(fā)生的概率和危害，都在機(jī)構(gòu)可接受范圍之內(nèi)。

安全策略實(shí)施后并非一勞永逸，我們需要定期檢測安全策略在Windows終端部署運(yùn)行情況，安全管理工具是否按既定的方案保護(hù)終端計算機(jī)，詢問用戶在操作Windows終端時有無發(fā)現(xiàn)因?yàn)榘踩呗詫?shí)施而導(dǎo)致的異常。在安全事件發(fā)生后，提取日志和重現(xiàn)事件來分析造成安全事件的原因，據(jù)此糾正Windows終端安全策略。這就要求在部署安全策略時應(yīng)具有可追溯性，提供必要的安全策略實(shí)施備忘文件和終端系統(tǒng)安全日志記錄，以保證我們能實(shí)現(xiàn)有效的監(jiān)測和及時的響應(yīng)。

4 Windows辦公終端風(fēng)險分析

1) Windows終端漏洞層出不窮，利用第三方軟件漏洞攻擊系統(tǒng)事件頻發(fā)。從漏洞出現(xiàn)到被惡意利用的時間越來越短，給終端計算機(jī)造成嚴(yán)重威脅。終端計算機(jī)往往是機(jī)構(gòu)管控的盲端，出現(xiàn)的系統(tǒng)漏洞不能得到及時修補(bǔ)，第三方軟件漏洞未能得到重視，給惡意軟件提供一個隱蔽的攻擊通道。

2) 病毒、木馬和惡意軟件攻擊。它們主要是通過網(wǎng)頁瀏覽、下載軟件、局域網(wǎng)和U盤等幾個途徑傳播。Windows終端未能進(jìn)行正確的權(quán)限配置，大多以管理權(quán)限運(yùn)行，導(dǎo)致病毒木馬入侵計算機(jī)后獲得高權(quán)限，造成嚴(yán)重危害。

3) 終端缺乏準(zhǔn)入規(guī)范，造成終端的非授權(quán)訪問風(fēng)險，破壞數(shù)據(jù)的完整性和機(jī)密性。用戶往往為了方便，將Windows終端設(shè)定為自動登陸，有的干脆不設(shè)置帳戶密碼，給Windows終端安全帶來隱患。

4) 用戶缺乏安全意識和安全知識。用戶的不當(dāng)操作或?qū)ο到y(tǒng)設(shè)置的隨意修改造成終端系統(tǒng)安全防線崩潰。如開啟Guest帳戶，設(shè)置不恰當(dāng)?shù)墓蚕?，使用弱密碼或空密碼，開啟不必要的服務(wù)項(xiàng)等。

5 安全策略制定

在安全策略規(guī)劃實(shí)施過程中，應(yīng)當(dāng)貫徹最小權(quán)限和最少服務(wù)原則、可追溯性原則、易用性與安全性統(tǒng)一原則和可維護(hù)性原則。

1) 最小權(quán)限和最小服務(wù)原則

帳戶安全。帳戶安全是信息系統(tǒng)安全的第一道防線，通過密碼安全策略來防止用戶使用空密碼或弱密碼，設(shè)置帳戶鎖定策略來防止暴力破解密碼，關(guān)閉一些特殊帳戶如Guest帳戶等。

系統(tǒng)服務(wù)安全。服務(wù)是后臺運(yùn)行的應(yīng)用程序，為本地和通過網(wǎng)絡(luò)訪問的用戶提供某些功能。根據(jù)用戶需要，禁止不必要的服務(wù)，授予或禁止用戶具有特定服務(wù)項(xiàng)的權(quán)限。如禁用Remote Registry、TCP/IP NetBIOS Helper、Workstation和Server服務(wù)等。

文件系統(tǒng)權(quán)限。禁止用戶寫入某些容易被病毒利用的目錄，禁止用戶訪問某些文件和禁止一些危險程序運(yùn)行來提高系統(tǒng)安全級別。如禁止用戶從硬盤分區(qū)根目錄下運(yùn)行程序，避免用戶雙擊硬盤根目錄導(dǎo)致誤執(zhí)行病毒程序。

注冊表安全。注冊表是Windows特有用于保存系統(tǒng)和軟件相關(guān)信息的數(shù)據(jù)庫，病毒木馬經(jīng)常利用注冊表實(shí)現(xiàn)得開機(jī)自啟動功能。有必要對病毒和木馬經(jīng)常利用的注冊表項(xiàng)進(jìn)行安全配置，禁止用戶寫入某些風(fēng)險度較高的注冊表項(xiàng)，如自啟動項(xiàng)，Image File Execution Options映像劫持項(xiàng)等。

網(wǎng)絡(luò)訪問權(quán)限設(shè)置。辦公終端是辦公網(wǎng)絡(luò)的一個有機(jī)組成，因此面臨著非法入侵、數(shù)據(jù)泄密和網(wǎng)絡(luò)濫用等威脅，采取措施控制網(wǎng)絡(luò)的訪問權(quán)限，設(shè)置一道無形的防火墻。通過“本地安全策略”禁止SAM帳戶的匿名枚舉，不允許SAM帳戶和共享的匿名枚舉，禁止匿名SID/名稱轉(zhuǎn)換等，通過防火墻關(guān)閉危險端口，阻止可疑程序訪問該計算機(jī)或從該計算機(jī)訪問網(wǎng)絡(luò)。

用戶權(quán)利控制。用戶對計算機(jī)具有各種權(quán)利，這些用戶權(quán)利將直接決定他們的訪問行為。我們要嚴(yán)格控制用戶對計算機(jī)的訪問權(quán)利，限制用戶使用一些特殊的權(quán)利，比如管理審核和安全日志、還原文件及目錄權(quán)限，降低網(wǎng)絡(luò)訪問程序的運(yùn)行權(quán)限級別。對只進(jìn)行諸如文字處理、工作管理一類應(yīng)用的辦公終端，使用受限帳戶登陸即可，要限制用戶使用高權(quán)限帳戶登陸系統(tǒng)、運(yùn)行程序。禁止用戶隨意修改系統(tǒng)配置文件，卸載殺毒軟件和非法安裝ActiveX控件，開啟終端計算機(jī)的緩沖區(qū)溢出保護(hù)功能等。

2) 可追溯性

合適的安全事件日志設(shè)定。安全事件日志是安全事件的收集、保存和顯示的重要工具，對于安全事件的識別、處理和調(diào)查非常重要，在發(fā)生安全事件后，可通過安全日志追蹤事件產(chǎn)生的來龍去脈。必須在系統(tǒng)安全策略中設(shè)置好審核策略和設(shè)定事件日志存儲、維護(hù)和訪問控制，保證安全事件日志能在安全事件發(fā)生后提供事后分析所應(yīng)有的功能，方便系統(tǒng)管理員做出相應(yīng)對策，并可以根據(jù)安全事件日志優(yōu)化安全模板。

審核重點(diǎn)目錄和文件的訪問，審核重點(diǎn)程序和用戶的行為。利用Windows提供的審核功能對一些安全風(fēng)險較大的目錄、文件和程序進(jìn)行審核，比如對病毒木馬容易利用的CMD.exe、Net.exe和Reg.exe等程序設(shè)置審核，對權(quán)限最大的administrators帳戶組的操作進(jìn)行審核。這些必要的審核方便我們在發(fā)生安全事件后可通過事件日志分析事件發(fā)生過程，迅速定位安全威脅，進(jìn)而能使安全響應(yīng)更準(zhǔn)確，提高安全管理的效果和效率。

3) 可擴(kuò)展性和可維護(hù)性

維護(hù)信息系統(tǒng)的安全并不是一個靜態(tài)過程，而是不斷的動態(tài)變化，用戶需求改變、安裝軟件變化和硬件的改變，都有可能要求重新審視安全策略應(yīng)用是否達(dá)到合適的安全級別，所以安全策略部署過程都應(yīng)具備良好的可擴(kuò)展性和可維護(hù)性。通過安全模板管理工具對安全模板進(jìn)行管理，注重安全模板版本管理，每次升級修改都有日志，做到安全策略配置文件的可控可管。

4) 易用性與安全性統(tǒng)一

做好需求分析，保證安全性與易用性相統(tǒng)一。信息系統(tǒng)的安全性強(qiáng)度總是和信息系統(tǒng)的易用性相矛盾的，高安全性必然導(dǎo)致易用性下降，用戶操作時極易產(chǎn)生挫敗感而影響工作效率。我們在設(shè)計和實(shí)施安全策略前，要做好需求分析，盡可能使系統(tǒng)擁有足夠的安全級別，又能保證易用性。比如放開某些安全風(fēng)險較小的權(quán)限和將某些系統(tǒng)設(shè)置功能隱藏等。

6 基于安全模塊的安全策略部署

6.1 創(chuàng)建與修改安全策略模板

微軟在系統(tǒng)管理控制臺中提供了“安全模板”管理單元用來創(chuàng)建、修改和管理安全模板文件?！鞍踩０濉惫芾韱卧峁┝艘粋€功能強(qiáng)大的圖形界面，管理員可以方便地按層次結(jié)構(gòu)導(dǎo)航到某個安全屬性設(shè)置區(qū)域進(jìn)行編輯修改。微軟在Windows中提供了七個預(yù)配置的安全模板文件供系統(tǒng)管理人員參考，默認(rèn)情況下，這些管理模板存儲在“\%Systemroot%\Security\Templates”目錄中，在“安全模板”管理單元可以直接讀取。

為了管理和配置方便，我們需要使用虛擬機(jī)或?qū)ｉT配置一臺母機(jī)，安裝和終端同樣的軟件，模擬出相同環(huán)境進(jìn)行調(diào)試。

安全模板創(chuàng)建與修改操作步驟如下：

1) 首先，運(yùn)行MMC命令，打開Microsoft管理控制臺，并在“文件”――“選項(xiàng)”確認(rèn)控制臺處于“作者模式”，使用戶具有訪問所有MMC功能的全部權(quán)限。

2) 在“控制臺”菜單上，單擊“添加/刪除管理單元”，然后單擊“添加”。選擇“安全模板”，單擊“添加”――“關(guān)閉”――“確定”。將配置好的控制臺保存到合適的位置，此處我們使用“D:\SafeSet”。

3) 在“安全模板”管理單元中，右鍵單擊“安全模板”，選擇“新加模板搜索路徑”，將路徑設(shè)定為“D:\SafeSet”。

4) 在新建的路徑上右擊，選擇“新加模板”，設(shè)置好模板名和描述。

5) 根據(jù)定義好的安全策略在控制臺上對安全模板進(jìn)行編輯。每個設(shè)置項(xiàng)的屬性中都有相關(guān)項(xiàng)的解釋說明，避免在設(shè)置時誤操作而引發(fā)不良后果。

6) 將該模板以“SafeSetTemplate_Base.inf”保存到“D:\SafeSet”備用。

6.2 測試安全策略模板

微軟在系統(tǒng)管理控制臺中還提供了“安全配置和分析”管理單元，它是一個圖形化實(shí)用程序，用于配置和分析與系統(tǒng)安全相關(guān)的各個方面。“安全性配置”可以直接配置本地系統(tǒng)的安全性，利用安全數(shù)據(jù)庫，可以導(dǎo)入由“安全模板”創(chuàng)建的安全模板，并將這些模板應(yīng)用于本地計算機(jī)，立即使用模板中指定的級別配置系統(tǒng)安全性。操作步驟如下：

1) 首先在控制臺中添加“安全配置和分析”模塊，操作步驟類似于上述添加“安全模板”的方法。

2) 右擊“安全配置和分析”單元，選擇“打開數(shù)據(jù)庫”，導(dǎo)航到“D:\SafeSet”，在“文件名”輸入框中輸入“SafeSetDb.sdb”，新建安全數(shù)據(jù)庫文件，單擊“打開”。

3) 在彈出的“導(dǎo)入模板”對話框，導(dǎo)航到“D:\SafeSet”，導(dǎo)入我們做好的安全模板。

4) 右擊“安全配置和分析”單元，選擇“立即配置計算機(jī)”，在彈出的“配置系統(tǒng)”窗口中設(shè)置好錯誤日志文件路徑和文件名，如“D:\SafeSet\SafeSetConfigureLog.txt”，確定并開始執(zhí)行配置計算機(jī)操作。

5) 通過檢查日志文件確認(rèn)應(yīng)用安全策略模板的過程有無異常。如果發(fā)現(xiàn)異常，可以直接在“安全配置和分析”模塊中修改相關(guān)選項(xiàng)，重新進(jìn)行配置計算機(jī)操作，并導(dǎo)出改后的安全模板設(shè)置覆蓋原來的模板文件。

6) 盡管部分設(shè)置已經(jīng)被應(yīng)用，但是它們在執(zhí)行“Gpupeate.exe”命令或重啟計算機(jī)之后才生效。所以關(guān)閉“安全配置和分析”工具并重啟計算機(jī)，對照安全策略配置檢驗(yàn)表進(jìn)行檢查，檢查所做安全策略配置是否達(dá)到預(yù)期目的，反復(fù)進(jìn)行安全策略模板修改與應(yīng)用其到試驗(yàn)的系統(tǒng)中，直到符合要求后開始編寫自動化部署文件。

6.3 生成安全策略模板自動化部署腳本

使用“安全配置和分析”工具可以實(shí)現(xiàn)單臺計算機(jī)安全策略配置和分析，但使用該工具在多臺計算機(jī)上完成案例策略配置和分析不方便。微軟為此提供了secedit.exe命令行工具以便系統(tǒng)管理員完成企業(yè)級的部署，該命令行允許我們使用安全數(shù)據(jù)庫中的安全性設(shè)置來配置系統(tǒng)。語法如下：

Secedit /configure /dbfilename [/cfgfilename] [/overwrite] [/areasarea1area2...] [/logfilename] [/quiet]

/dbfilename 定義用來執(zhí)行安全性配置的數(shù)據(jù)庫。

/cfgfilename 定義導(dǎo)入到數(shù)據(jù)庫的安全性模板。

/logfilename 定義要記錄配置操作狀態(tài)的文件。

利用命令行工具構(gòu)建安全策略模板自動化部署腳本，并完成其它Windows終端優(yōu)化和安全配置操作，比如帳戶配置、安全登陸操作提示等。

在“D:\SAFESET”中新建“SafeSet.CMD”，用記事本打開并輸入以下內(nèi)容并保存：

@Echo off

Set Soft=XX學(xué)院Windows終端系統(tǒng)自動配置程序

Set Grade=Base

Set Version=V1.2.20110202

:Start

CLS

Color FC

Title %Soft%[安全級別：%Grade%][版本：%Version%]

Echo %Soft%[版本：%Version%]

Echo.

Set Choice=

Set /P Choice=腳本將在您的系統(tǒng)中應(yīng)用設(shè)定好的安全策略，請按"Y"鍵繼續(xù)，終止運(yùn)行請按"Q"：

If "%Choice%"=="" Goto Start

IF Not "%Choice%"=="" Set Choice=%Choice:~0,1%

If /I "%Choice%"=="Y" Goto ConStartPre

If /I "%Choice%"=="Q" Exit

Goto Start

Echo開始用戶帳戶配置

:ConStartPre

Echo.

Echo.

Set AdminPasswords=

Set UserPasswords=

Set /P AdminPasswords=請輸入內(nèi)置管理帳戶Adminstrator的密碼（請務(wù)必確認(rèn)后再回車）：

Set /P UserPasswords=請輸入日常工作帳戶User的密碼（請務(wù)必確認(rèn)后再回車）：

Set Choice=

Set /P Choice=請檢查您輸入的密碼是否正確，請按"Y"鍵繼續(xù)，任意鍵重新輸入密碼：

If "%Choice%"=="" Goto Start

IF Not "%Choice%"=="" Set Choice=%Choice:~0,1%

If /I "%Choice%"=="Y" (GotoConStart) Else Goto ConstartPre

:ConStart

Net user administrator %AdminPasswords% /FULLNAME:"管理用戶"

Net user user %UserPasswords% /add /FULLNAME:"日常工作" /USERCOMMENT:"受限用戶" /COMMENT:"這是日常工作專用的受限帳戶" /EXPIRES:NEVER

Net user guest /active:no

Echo配置帳戶完成，開始進(jìn)行系統(tǒng)安全策略部署...

Secedit /configure /db SecSetDb.sdb /cfgSafeSet Template_Base.inf /overwrite /quiet /logSafeSet ConfigureLog.txt

Echo系統(tǒng)安全策略部署完成，請按任意鍵退出。

6.4 實(shí)施

將在 “D:\SafeSet”目錄下生成的所有文件復(fù)制到目標(biāo)機(jī)，以管理員權(quán)限運(yùn)行“SafeSet.CMD”腳本，根據(jù)提示完成安全策略在Windows終端的部署。我們可以依照上文所述步驟，依據(jù)終端計算機(jī)等級保護(hù)的不同安全需要和不同的安全保護(hù)政策，設(shè)計出不同的安全策略部署模板，方便管理。

7 安全策略檢查與響應(yīng)

Windows系統(tǒng)管理控臺中的“安全配置和分析”管理單元的安全性分析工具，允許系統(tǒng)管理員對Windows終端安全策略部署情況進(jìn)行檢查，提供詳細(xì)的安全分析結(jié)果，對不符合安全策略要求的做出可視化的標(biāo)記，跟蹤并確保在每臺計算機(jī)上有足夠的安全級，檢測在系統(tǒng)長期運(yùn)行過程中出現(xiàn)的安全故障。利用該工具定期檢測Windows終端安全策略保護(hù)系統(tǒng)情況，保證安全策略得到有效執(zhí)行。

8 總結(jié)

本文提出的使用安全模板結(jié)合腳本技術(shù)對Windows操作系統(tǒng)進(jìn)行安全策略部署方法，應(yīng)用于辦公信息系統(tǒng)安全管理工作中，基本實(shí)現(xiàn)安全政策要求的可用性、可追溯性、可擴(kuò)展性和可維護(hù)的目標(biāo)，對于信息安全管理人員應(yīng)對信息系統(tǒng)安全威脅和進(jìn)行批量安全策略部署，具有一定的借鑒意義。

參考文獻(xiàn)：

[1] 操作系統(tǒng)市場市場的占有率[EB/OL]./operating-system-market-share.aspx?qprid=8&qptimeframe=Y&qpsp=2010&qpnp=1.

[2] 國家互聯(lián)網(wǎng)應(yīng)急中心.2010年上半年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告[EB/OL]..cn/UserFiles/File/2010 first half.pdf.

[3] 余磊.信息安全戰(zhàn)――企業(yè)信息安全建設(shè)之道[M].上海:東方出版社,2010.

[4] 程迎春.Windows安全應(yīng)用策略和實(shí)施方案手冊[M].北京:人民郵電出版社,2005.

篇5

2005年7月，美國聯(lián)邦政府審計署向美國國會提交了《信息安全年度報告》（以下簡稱美國報告），其題目是《信息安全：相關(guān)法規(guī)執(zhí)行方面有所成就，但是仍然存在薄弱之處》。美國報告指出，聯(lián)邦政府各個分支機(jī)構(gòu)以及眾多事關(guān)國計民生的部門，包括能源、供水、電信、國防以及應(yīng)急服務(wù)部門，他們的日常工作已經(jīng)廣泛依賴計算機(jī)信息系統(tǒng)以及電子數(shù)據(jù)。這些信息系統(tǒng)、數(shù)據(jù)的安全非常重要，信息安全措施要防止數(shù)據(jù)篡改，保證核心業(yè)務(wù)連續(xù)性，預(yù)防數(shù)據(jù)欺騙以及阻止敏感信息泄漏。

美國政務(wù)的五大安全隱患

美國審計署發(fā)現(xiàn)，美國聯(lián)邦政府24個部門信息系統(tǒng)普遍存在安全隱患，主要體現(xiàn)在以下5個方面：訪問控制并未有效實(shí)施、軟件變更控制并非總是有效、職責(zé)劃分沒有始終如一地執(zhí)行、業(yè)務(wù)持續(xù)性計劃經(jīng)常是不充分的、部門信息安全規(guī)劃沒有全面地應(yīng)用。

訪問控制

它保證只有經(jīng)過授權(quán)的用戶才可以閱讀、修改或者刪除數(shù)據(jù)。訪問控制包括電子方式以及物理方式，前者包括賬號控制、密碼控制以及用戶權(quán)限控制，后者包括門衛(wèi)、門鎖等方式。24個部門中有23個部門在訪問控制方面存在隱患。例如，有的信息系統(tǒng)允許用戶使用非常簡單的詞語做密碼，這使得黑客很容易破解密碼。物理控制方面，有的部門并未有效采用門鎖、門卡等手段。

軟件變更控制

軟件變更控制確保只有經(jīng)過授權(quán)的軟件程序才可以被安裝，軟件變更控制也會監(jiān)控敏感程序、數(shù)據(jù)的使用情況。24個部門中有22個存在這方面的漏洞，例如軟件系統(tǒng)沒有采用正確流程進(jìn)行升級。此外，有的信息系統(tǒng)在程序調(diào)整方面的批準(zhǔn)、測試以及實(shí)施的文檔記錄沒有良好維護(hù)，以至于出錯的或者有預(yù)謀的程序?qū)?yán)重威脅到系統(tǒng)安全。

職責(zé)劃分

職責(zé)劃分降低個人進(jìn)行錯誤操作而沒有被發(fā)現(xiàn)的風(fēng)險。24個部門中有14個存在這方面的隱患，主要體現(xiàn)在系統(tǒng)管理和系統(tǒng)安全管理沒有很好地分清。例如，有的部門用戶可以在系統(tǒng)中添加并不存在的賬號并獲得很高的權(quán)限，用這個賬號從事的活動沒人監(jiān)管。

業(yè)務(wù)連續(xù)計劃

確保計算機(jī)相關(guān)的業(yè)務(wù)在緊急情況下不出現(xiàn)嚴(yán)重中斷，例如出現(xiàn)地震、火災(zāi)等破壞活動的時候。20個部門存在這一方面的隱患。在審計署2005年4月提交的報告中已經(jīng)指出，不到一半的部門有應(yīng)急指揮通訊錄，很少的部門記錄了重要文件分布情況，大多數(shù)機(jī)構(gòu)沒有測試、檢驗(yàn)、演習(xí)他們的業(yè)務(wù)連續(xù)計劃以確保災(zāi)難發(fā)生時可以應(yīng)用這些計劃。

部門級別的安全規(guī)劃

上述問題的存在，主要是因?yàn)楦鱾€部門沒有強(qiáng)有力的信息安全管理規(guī)劃。部門級別的安全規(guī)劃提供工作框架，確保全部門能夠理解風(fēng)險并且有效控制、合理采取措施。這個方面，所有的部門都存在隱患，他們都沒有制定全面的信息安全規(guī)劃，尤其是新型的安全威脅方面，包括垃圾郵件、釣魚以及間諜程序。

我國可借鑒什么

我國在信息系統(tǒng)安全管理方面開展工作的時間不長，相關(guān)經(jīng)驗(yàn)不多，許多應(yīng)建立的規(guī)章制度還在摸索之中。2005年7月剛剛的《2005中國信息化發(fā)展報告》談到信息安全的時候，提到蠕蟲和病毒在網(wǎng)上傳播十分猖獗、木馬事件潛在威脅巨大、各類網(wǎng)絡(luò)違法犯罪日益突出，但沒有專門介紹電子政務(wù)的安全現(xiàn)狀。

重視管理機(jī)制制度

《2005中國信息化發(fā)展報告》指出，要加強(qiáng)對信息安全工作的領(lǐng)導(dǎo)，建立健全信息安全領(lǐng)導(dǎo)責(zé)任機(jī)制，明確主管領(lǐng)導(dǎo)，落實(shí)責(zé)任部門，建立和完善信息安全監(jiān)控體系，加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系的建設(shè)。

重視管理機(jī)制制度這一方面，中美兩國有相近之處。美國《聯(lián)邦信息安全管理法案》認(rèn)為，聯(lián)邦政府存在信息安全隱患最根本原因是缺乏有效的信息安全管理規(guī)劃?；诖耍绹堵?lián)邦信息安全管理法案》要求政府建立一套全面的信息安全控制管理框架。不僅如此，考慮到各個機(jī)構(gòu)在信息安全管理規(guī)劃方面難免出現(xiàn)漏洞，美國《聯(lián)邦信息安全管理法案》制定了一套完善的評估機(jī)制，包括部門定期自檢以及管理和預(yù)算辦公室、國家標(biāo)準(zhǔn)技術(shù)研究院以及其他獨(dú)立機(jī)構(gòu)的評估。

《聯(lián)邦信息安全管理法案》要求美國聯(lián)邦政府各個機(jī)構(gòu)的信息安全報告包含如下信息：風(fēng)險評估情況、政策和流程、個別系統(tǒng)的安全規(guī)劃、相關(guān)培訓(xùn)情況、年度測試和評估情況、采取的對策、信息安全事件報告以及運(yùn)行連續(xù)性。

美國的評估機(jī)制，保證了部門領(lǐng)導(dǎo)在意識上定期關(guān)注各自部門的信息安全，又使得他們有能力全面深入了解本部門信息安全的方方面面。這樣，既提高了部門領(lǐng)導(dǎo)對信息安全的重視程度，又采用完善的制度來提高各個部門發(fā)現(xiàn)、報告和共享信息安全隱患的能力。與美國相比，我們還沒有明確提出要建立全方位的評估體系。

完善標(biāo)準(zhǔn)法規(guī)體系

《2005中國信息化發(fā)展報告》指出，抓緊制定信息安全等級保護(hù)的管理辦法和技術(shù)指南，建立信息安全等級保護(hù)制度，加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)。

在標(biāo)準(zhǔn)法規(guī)、技術(shù)指南方面，我國政府主要精力集中在信息安全等級保護(hù)方面。比較而言，美國政府制訂的標(biāo)準(zhǔn)法規(guī)、技術(shù)指南則更為全面。美國《聯(lián)邦信息安全管理法案》規(guī)定，由美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）負(fù)責(zé)為政府各個部門提供相關(guān)法規(guī)制度或技術(shù)援助，進(jìn)行信息安全方面的研究，并且參與國家安全體系相關(guān)標(biāo)準(zhǔn)的開發(fā)。

安全不僅是技術(shù)問題，同時還是社會和法律問題。與美國相比，我國在標(biāo)準(zhǔn)的制定、認(rèn)證、檢測等方面有待于進(jìn)一步的加強(qiáng)。信息安全標(biāo)準(zhǔn)方面，我國有國家信息安全產(chǎn)品測評認(rèn)證中心、公安部、國家質(zhì)量技術(shù)監(jiān)督局等多個部門參與這方面的工作，而美國則在法案中明確表示由美國國家標(biāo)準(zhǔn)技術(shù)研究院一家來完成。還有一點(diǎn)值得注意的是，我國信息安全標(biāo)準(zhǔn)的培訓(xùn)、認(rèn)證和檢測機(jī)構(gòu)中，有一些是贏利機(jī)構(gòu)，這在某種程度上降低了其公證性。

加強(qiáng)信息安全培訓(xùn)

《2005中國信息化發(fā)展報告》指出，加強(qiáng)信息安全學(xué)科、人才培養(yǎng)。

聯(lián)邦信息安全管理法案要求，聯(lián)邦政府各個機(jī)構(gòu)對政府雇員以及合同商的雇員進(jìn)行信息安全培訓(xùn)，這些機(jī)構(gòu)在年度評估報告中要標(biāo)明參與培訓(xùn)人員的數(shù)量以及所占比例。2005年的報告指出，所有24個部門都對本部門60％以上的職員進(jìn)行了培訓(xùn)。美國報告指出，如果不能提供最新的信息安全培訓(xùn)，將會給政府機(jī)構(gòu)的信息安全帶來安全隱患。例如，美國大多數(shù)部門沒有對雇員提供無線局域網(wǎng)方面的信息安全培訓(xùn)，這使得他們在建設(shè)沒有認(rèn)證措施的無線局域網(wǎng)的時候，不了解其安全隱患。

由此可見，美國政府更注重日常的培訓(xùn)工作，而不僅僅是學(xué)校培養(yǎng)。信息安全，需要有數(shù)學(xué)算法、軟件、硬件等諸多方面的理論支持。但對于很多現(xiàn)有的隱患來說，更重要的是提高普通用戶的安全意識。例如美國政府提到的無線局域網(wǎng)問題，我國政府在科研方面正在開發(fā)WAPI，希望以此來增強(qiáng)系統(tǒng)的安全性。但是，有許多無線局域網(wǎng)是內(nèi)置了安全認(rèn)證程序而根本沒有啟用。

信息安全是個系統(tǒng)工程，既要有高屋建瓴的頂層設(shè)計、整體框架，又要有體貼入微的法規(guī)標(biāo)準(zhǔn)、行動指南，還要有資金支持、日常培訓(xùn)以及監(jiān)察制度，需要恩威并重。同美國信息安全報告談到的情況相比，在我國政府部門中宣傳信息安全的重要性，并且保證相關(guān)人員有能力、有方法了解其現(xiàn)狀，懂得如何降低風(fēng)險，這些都是任重而道遠(yuǎn)的。

鏈接

國家信息化領(lǐng)導(dǎo)小組第一次會議決定，把電子政務(wù)建設(shè)作為今后一個時期我國信息化工作的重點(diǎn)，政府先行，帶動國民經(jīng)濟(jì)和社會發(fā)展信息化。

在電子政務(wù)建設(shè)中和安全相關(guān)的主要任務(wù)是：

基本建立電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系。要組織建立我國電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系框架，逐步完善安全管理體制，建立電子政務(wù)信任體系，加強(qiáng)關(guān)鍵性安全技術(shù)產(chǎn)品的研究和開發(fā)，建立應(yīng)急支援中心和數(shù)據(jù)災(zāi)難備份基礎(chǔ)設(shè)施。

篇6

昆德拉上任時就承認(rèn)云計算可能存在隱私泄露或其它安全隱患，但表示不能因此而錯過云計算的速度和效率[3]。2009年5月召開的云計算倡議工業(yè)界峰會[2，7]上，美國產(chǎn)業(yè)界認(rèn)識到云計算在法律法規(guī)和政策以及IT安全和隱私方面的挑戰(zhàn)，深入討論了云計算認(rèn)證認(rèn)可、訪問控制和身份管理、數(shù)據(jù)和應(yīng)用安全、可移植性和互操作性以及服務(wù)級別協(xié)議（SLA等。5月份的《遠(yuǎn)景分析》中指出了與新技術(shù)服務(wù)交付模型相關(guān)的風(fēng)險，包括政策的變化、動態(tài)應(yīng)用的實(shí)施以及動態(tài)環(huán)境的安全保障，要求建立一個項(xiàng)目管理辦公室來實(shí)施工業(yè)界最佳實(shí)踐和政府項(xiàng)目管理方面的政策。10月份國家標(biāo)準(zhǔn)和技術(shù)研究所（NIST在《有效安全地使用云計算范式》[8]的研究報告中分析了云計算安全的眾多優(yōu)勢和挑戰(zhàn)。2010年2月美國啟動了政府范圍的云計算解決方案的安全認(rèn)證認(rèn)可過程的開發(fā)[9]。8月CIOC了《聯(lián)邦部門和機(jī)構(gòu)使用云計算的隱私建議》[10]，指出云環(huán)境下隱私風(fēng)險跟法律法規(guī)、隱私數(shù)據(jù)存儲位置、云服務(wù)商服務(wù)條款和隱私保護(hù)策略有關(guān)，并指出了9類風(fēng)險，通過使用相關(guān)標(biāo)準(zhǔn)、簽署隱私保護(hù)的補(bǔ)充合同條款、進(jìn)行隱私門檻分析和隱私影響評估、充分考慮相關(guān)的隱私保護(hù)法律，可以有效加強(qiáng)云計算環(huán)境下的隱私保護(hù)。9月非盈利組織MITRE給出了《政府客戶云計算SLA考慮》[11]。11月份，NIST、GSA、CIOC以及信息安全及身份管理委員會（ISIMC等組成的團(tuán)隊(duì)歷時18個月提出了《美國政府云計算安全評估和授權(quán)建議方案》[12]，該方案由云計算安全要求基線、持續(xù)監(jiān)視、評估和授權(quán)三部分組成。12月，在《改革聯(lián)邦信息技術(shù)管理的25點(diǎn)實(shí)施計劃》中指出安全、互操作性、可移植性是云計算被接納的主要障礙。2011年1月國土安全部(DHS)給出了《從安全角度看云計算：聯(lián)邦I(lǐng)T管理者入門》[13]讀本，指出了聯(lián)邦面臨的16項(xiàng)關(guān)鍵安全挑戰(zhàn)：隱私、司法、調(diào)查與電子發(fā)現(xiàn)、數(shù)據(jù)保留、過程驗(yàn)證、多租戶、安全評估、共享風(fēng)險、人員安全甄選、分布式數(shù)據(jù)中心、物理安全、程序編碼安全、數(shù)據(jù)泄露、未來的規(guī)章制度、云計算應(yīng)用、有能力的IT人員挑戰(zhàn)，NIST了《公共云計算安全和隱私指南》[14]和《完全虛擬化技術(shù)安全指南》[15]。2月份的《聯(lián)邦云計算戰(zhàn)略》指出在管理云服務(wù)時要主動監(jiān)視和定期評估，確保一個安全可信的環(huán)境，并做出了戰(zhàn)略部署，包括推動聯(lián)邦風(fēng)險和授權(quán)管理項(xiàng)目（FedRAMP、DHS要每6個月或按需一個安全威脅TOP列表并給出合適的安全控制措施和方法，NIST要一些安全技術(shù)指南。2011年12月OMB了一項(xiàng)關(guān)于“云計算環(huán)境下信息系統(tǒng)安全授權(quán)”的首席信息官備忘錄[16]，正式設(shè)立FedRAMP項(xiàng)目。2012年2月成立了FedRAMP項(xiàng)目聯(lián)合授權(quán)委員會（JAB[17]并了《FedRAMP概念框架（CONOPS》[18]、《FedRAMP安全控制措施》[19]。

美國聯(lián)邦政府云計算安全策略分析

美國聯(lián)邦政府在推動云計算一開始就認(rèn)識到云計算安全和隱私、可移植性和互操作性是云計算被接納的主要障礙，并給予了高度重視。美國聯(lián)邦政府認(rèn)為，對于云服務(wù)要實(shí)施基于風(fēng)險的安全管理，在控制風(fēng)險的基礎(chǔ)上，充分利用云計算高效、快捷、利于革新等重要優(yōu)勢，并啟動了聯(lián)邦風(fēng)險和授權(quán)管理項(xiàng)目（FedRAMP。首先，明確了云計算安全管理的政府部門角色及其職責(zé)：1聯(lián)合授權(quán)委員會（JAB：成立了由國防部（DOD、DHS、GSA三方組成的聯(lián)合授權(quán)委員會JAB，主要負(fù)責(zé)制定更新安全基線要求、批準(zhǔn)第三方評估機(jī)構(gòu)認(rèn)可標(biāo)準(zhǔn)、設(shè)立優(yōu)先順序并評審云服務(wù)授權(quán)包、對云服務(wù)供應(yīng)進(jìn)行初始授權(quán)等；2FedRAMP項(xiàng)目管理辦公室（FedRAMPPMO：設(shè)立于GSA，負(fù)責(zé)管理評估、授權(quán)、持續(xù)監(jiān)視過程等,并與NIST合作實(shí)施對第三方評估組織的符合性評估；3國土安全部：主要負(fù)責(zé)監(jiān)視、響應(yīng)、報告安全事件，為可信互聯(lián)網(wǎng)聯(lián)接提供指南等；4各執(zhí)行部門或機(jī)構(gòu)：按照DHS、JAB等要求評估、授權(quán)、使用和監(jiān)視云服務(wù)等，并每年4月向CIOC提供由本部門CIO和CFO簽發(fā)的認(rèn)證；5首席信息官委員會：負(fù)責(zé)出版和分發(fā)來自FedRAMPPMO和JAB的信息。其次，明確了FedRAMP項(xiàng)目相關(guān)方的角色和職責(zé)（如圖1。這些角色中除了DHS、JAB、FedRAMPPMO、各執(zhí)行部門或機(jī)構(gòu)、CIOC外，還包括云服務(wù)商（CSP和第三方評估組織（3PAO。云服務(wù)商實(shí)現(xiàn)安全控制措施；創(chuàng)建滿足FedRAMP需求的安全評估包；與第三方評估機(jī)構(gòu)聯(lián)系，執(zhí)行初始的系統(tǒng)評估，以及運(yùn)行中所需的評估與授權(quán)；維護(hù)連續(xù)監(jiān)視項(xiàng)目；遵從有關(guān)變更管理和安全事件報告的聯(lián)邦需求。第三方評估組織保持滿足FedRAMP所需的獨(dú)立性和技術(shù)優(yōu)勢；對CSP系統(tǒng)執(zhí)行獨(dú)立評估，并創(chuàng)建滿足FedRAMP需求的安全評估包清單。美國聯(lián)邦政府注重對云計算安全管理的頂層設(shè)計。在政策法規(guī)的指導(dǎo)下，以安全控制基線為基本要求，以評估和授權(quán)以及監(jiān)視為管理抓手，同時提供模板、指南等協(xié)助手段，建立了云計算安全管理的立體體系（如圖2。政策備忘錄：OMB于2011年12月8日，為政府級云計算安全提供方向和高級框架。安全控制基線：基于NIST的SP800-53第三版中所描述的安全控制措施指南，補(bǔ)充和增強(qiáng)了控制措施，以應(yīng)對云計算系統(tǒng)特定的安全脆弱性。FedRAMP的安全控制基線于2012年1月6號單獨(dú)。運(yùn)營概念（CONOPS：提供對FedRAMP的運(yùn)營模型與關(guān)鍵過程的概述。運(yùn)營模型：FedRAMP的運(yùn)營模型基于OMB的政策備忘錄，明確FedRAMP實(shí)現(xiàn)的關(guān)鍵組織，對各個組織運(yùn)營角色與職責(zé)進(jìn)行抽象描述。關(guān)鍵過程：指“安全評估與授權(quán)”、“第三方評估”、“正在進(jìn)行的評估與授權(quán)”，它們?yōu)镕edRAMP運(yùn)營過程的三個主要功能。詳細(xì)的模板與指南：云服務(wù)商與第三方評估組織在FedRAMP整個過程中需要這些文檔模板作為文檔規(guī)范。

篇7

為深入貫徹國家電網(wǎng)公司“11.18”安全生產(chǎn)工作會議精神，落實(shí)《國家電網(wǎng)公司2007年安全生產(chǎn)工作意見》，進(jìn)一步加強(qiáng)公司安全生產(chǎn)工作，特提出公司系統(tǒng)2007年安全生產(chǎn)工作意見。

(一)工作思路

緊緊圍繞“一強(qiáng)三優(yōu)”發(fā)展戰(zhàn)略和“三抓一創(chuàng)”工作思路，堅持“安全第一，預(yù)防為主”的方針，更新安全理念，樹立科學(xué)安全觀；以防止電網(wǎng)大面積停電事故為首要任務(wù)，強(qiáng)化電網(wǎng)安全措施；以杜絕人員責(zé)任事故為重點(diǎn)，深入開展安全生產(chǎn)年活動；進(jìn)一步強(qiáng)化安全生產(chǎn)各項(xiàng)措施，嚴(yán)厲打擊違章違紀(jì)，全面實(shí)現(xiàn)全年安全生產(chǎn)目標(biāo)，確保湖南電網(wǎng)安全穩(wěn)定運(yùn)行。

（二）工作目標(biāo)

突出“三保”：保命、保網(wǎng)、保主設(shè)備。

確保“六無”：無生產(chǎn)人身死亡事故、無重大電網(wǎng)事故、無重大設(shè)備事故、無水電廠垮壩事故、無重大生產(chǎn)場所火災(zāi)事故、無特大交通事故。

實(shí)現(xiàn)“三少一杜絕”：減少一般電網(wǎng)和設(shè)備事故、減少輸電線路一類障礙、減少違章違紀(jì)、杜絕110千伏及以上惡性誤操作事故。

（三）具體工作意見

第一條 建立開展“愛心活動”、實(shí)施“平安工程”常態(tài)機(jī)制。開展“愛心活動”、實(shí)施“平安工程”，是公司全面落實(shí)科學(xué)發(fā)展觀，促進(jìn)和諧企業(yè)建設(shè)的重大戰(zhàn)略，是堅持以人為本、確保安全穩(wěn)定的重大舉措，是一項(xiàng)長期的重要工作。為抓好這項(xiàng)工作，一是要制訂安全生產(chǎn)開展“愛心活動”、實(shí)施“平安工程”工作制度，建立開展“愛心活動”、實(shí)施“平安工程”工作的常態(tài)機(jī)制。二是在認(rèn)真總結(jié)2006年安全生產(chǎn)開展“愛心活動”、實(shí)施“平安工程”工作經(jīng)驗(yàn)的基礎(chǔ)上，繼續(xù)開展“無違章工作現(xiàn)場”活動，以保護(hù)人的生命、杜絕責(zé)任事故、確保電網(wǎng)平安為根本目的，把工作重心放在員工、班組、作業(yè)現(xiàn)場，深入落實(shí)公司貫徹《國家電網(wǎng)公司安全生產(chǎn)開展“愛心活動”、實(shí)施“平安工程”十條措施》的實(shí)施意見。三是建設(shè)“平安文化”，培育“平安理念”，樹立“風(fēng)險可以防范、失誤應(yīng)該避免、事故能夠控制、違章就是事故”的理念，大力營造“以人為本、珍惜生命、遵章守紀(jì)、安全文明”的氛圍，讓“奉獻(xiàn)愛心”融入員工的人生觀和價值觀，夯實(shí)和諧企業(yè)的基礎(chǔ)，促進(jìn)和諧企業(yè)的建設(shè)。

第二條 扎實(shí)開展“安全生產(chǎn)年”活動，全面實(shí)現(xiàn)2007年安全生產(chǎn)目標(biāo)。按照公司決定，2007年為“安全生產(chǎn)年”。各單位領(lǐng)導(dǎo)要高度重視，加強(qiáng)組織領(lǐng)導(dǎo)，深刻領(lǐng)會活動的重要意義，扎實(shí)開展好“安全生產(chǎn)年”活動。一是要結(jié)合安全生產(chǎn)實(shí)際，按照公司“安全生產(chǎn)年”活動方案進(jìn)行部署和安排，認(rèn)真研究制訂工作方案和措施，落實(shí)各項(xiàng)工作的部門、責(zé)任人，確保取得實(shí)效。二是要廣泛宣傳動員，應(yīng)充分運(yùn)用公司系統(tǒng)廣播、電視、報刊、安全信息平臺等媒體，大力宣傳“遵章守紀(jì)，構(gòu)建和諧”的主題，大力宣傳公司《安全生產(chǎn)“違章下崗”實(shí)施規(guī)定》，以“三鐵”反“三違”， 樹立“遵章光榮、違章下崗” 的良好意識，保障員工平安。三是通過開展一系列安全活動，落實(shí)“安全生產(chǎn)年”活動的措施，促進(jìn)安全生產(chǎn)責(zé)任制的落實(shí)，在安全生產(chǎn)方面做到領(lǐng)導(dǎo)更加重視、氣氛更加濃厚、措施更加得力、員工更加自覺、設(shè)備更加健康、電網(wǎng)更加安全，全面實(shí)現(xiàn)2007年安全生產(chǎn)目標(biāo)。

第三條 加強(qiáng)管理，強(qiáng)化措施，提高電網(wǎng)安全穩(wěn)定運(yùn)行水平。

確保電網(wǎng)安全穩(wěn)定運(yùn)行，是公司安全工作的重要任務(wù)。在加強(qiáng)電網(wǎng)管理方面，一是堅持電網(wǎng)統(tǒng)一調(diào)度，嚴(yán)肅調(diào)度紀(jì)律，嚴(yán)格執(zhí)行調(diào)度規(guī)程和有關(guān)規(guī)定，保證生產(chǎn)、調(diào)度系統(tǒng)指令暢通，切實(shí)維護(hù)好電網(wǎng)運(yùn)行秩序。二是根據(jù)電網(wǎng)負(fù)荷、設(shè)備健康狀況等運(yùn)行情況的變化，合理安排電網(wǎng)運(yùn)行方式，按照規(guī)定留有必須的旋轉(zhuǎn)備用和事故備用，確保電網(wǎng)安全穩(wěn)定和可靠供電。三是要認(rèn)真吸取國內(nèi)外電網(wǎng)事故教訓(xùn)，積極開展大電網(wǎng)安全穩(wěn)定問題及低頻振蕩問題的研究，完善電網(wǎng)安全穩(wěn)定控制措施，利用科技手段，加強(qiáng)低周低壓減載裝置管理，構(gòu)筑保證電網(wǎng)安全穩(wěn)定的“三道防線”。四是提高電網(wǎng)事故應(yīng)急處理水平，根據(jù)電網(wǎng)運(yùn)行特點(diǎn)，制定電網(wǎng)事故處理預(yù)案和滾動修編黑啟動方案。重點(diǎn)落實(shí)防止樞紐變電站全停和保廠（站）用電措施，組織實(shí)施電網(wǎng)反事故演習(xí)，提高調(diào)度、運(yùn)行人員處理事故和應(yīng)對突發(fā)事件的能力。五是做好各類安全檢查工作，認(rèn)真開展春季、夏季、秋季和冬季的安全大檢查工作，做好重要政治活動和節(jié)假日保電檢查及各類專項(xiàng)安全檢查工作。檢查工作必須加強(qiáng)領(lǐng)導(dǎo)，精心組織，力戒形式主義，做到有計劃、有布置、有重點(diǎn)、有落實(shí)、有反饋。

在強(qiáng)化繼電保護(hù)專業(yè)管理方面，一是針對2006年繼電保護(hù)存在的問題，加強(qiáng)管理，認(rèn)真做好電網(wǎng)元件、35千伏及以下重合閘等保護(hù)、自動裝置的技術(shù)監(jiān)督工作，排查整改設(shè)備隱患，進(jìn)一步提高繼電保護(hù)正確動作率。二是認(rèn)真落實(shí)國家電網(wǎng)公司《防止電網(wǎng)事故十八項(xiàng)重大反事故措施》，各單位要對照繼電保護(hù)反措相關(guān)要求，全面檢查落實(shí)反措情況，明確時間要求和責(zé)任人。三是加強(qiáng)繼電保護(hù)全過程的技術(shù)監(jiān)督，依據(jù)相關(guān)技術(shù)規(guī)程、規(guī)范，重點(diǎn)做好繼電保護(hù)裝置和綜合自動化裝置投產(chǎn)驗(yàn)收工作，繼電保護(hù)反事故措施未落實(shí)的工程項(xiàng)目，不得交接和驗(yàn)收。

在生產(chǎn)技術(shù)管理、監(jiān)督工作方面，一是開展對設(shè)備的整治，使設(shè)備更加健康。二是推進(jìn)設(shè)備評估，開展?fàn)顟B(tài)檢修工作。以設(shè)備評估結(jié)果為主要依據(jù)，以主變壓器為突破口大力推進(jìn)輸變電設(shè)備狀態(tài)檢修工作，2007年要對40%以上已到大修期限的主變壓器進(jìn)行狀態(tài)評估，根據(jù)評估結(jié)果重新確定大修時間。三是強(qiáng)化設(shè)備薄弱環(huán)節(jié)的監(jiān)督，發(fā)揮新技術(shù)、新設(shè)備、新方法在技術(shù)監(jiān)督方面的作用，及時排查、整改缺陷，提高設(shè)備健康水平。四是落實(shí)電力設(shè)施保護(hù)的技防和人防措施，保證設(shè)備安全。

第四條 建立安全生產(chǎn)風(fēng)險管理體系，開展好安全風(fēng)險評估和安全性評價工作。按照《國家電網(wǎng)公司安全生產(chǎn)風(fēng)險管理體系規(guī)范》要求，一是要建立健全安全生產(chǎn)風(fēng)險管理體系，深入推進(jìn)安全生產(chǎn)風(fēng)險評估的研究及試點(diǎn)工作。以安全生產(chǎn)風(fēng)險評估為重點(diǎn)，強(qiáng)化安全生產(chǎn)預(yù)防意識和基礎(chǔ)管理，針對人身事故和人員責(zé)任事故的突出問題，認(rèn)真研究防范人身事故和人員責(zé)任事故的安全風(fēng)險評估標(biāo)準(zhǔn)，通過對人的行為以及影響人的行為的各種因素、各個環(huán)節(jié)進(jìn)行評價，找出存在問題，提高防范風(fēng)險的針對性、可操作性和實(shí)用性措施，消除隱患，努力減少人身事故和人員責(zé)任事故。二是結(jié)合《國家電網(wǎng)公司企業(yè)安全風(fēng)險評估標(biāo)準(zhǔn)》，著力開展安全風(fēng)險評估宣傳動員和教育培訓(xùn)工作，使各級人員牢固樹立安全風(fēng)險意識，增強(qiáng)員工安全風(fēng)險和危害的辨識能力，為實(shí)施安全生產(chǎn)風(fēng)險管理做好準(zhǔn)備。三是試點(diǎn)單位（長沙、株洲、永州電業(yè)局和東江電廠）要按照國家電網(wǎng)公司關(guān)于安全風(fēng)險評估兩個文件的要求，結(jié)合實(shí)際制定方案，組織評估，加強(qiáng)過程控制，注重實(shí)效。公司將組織專家進(jìn)行評審，積累和總結(jié)經(jīng)驗(yàn)，以便推廣和持續(xù)改進(jìn)。四是做好安全性評價工作，開展好輸電網(wǎng)、縣級企業(yè)、并網(wǎng)電廠設(shè)備和基建工程項(xiàng)目的安全性評價工作，組織排查電網(wǎng)薄弱環(huán)節(jié)和設(shè)備重大隱患，實(shí)施重大隱患監(jiān)控整改，實(shí)現(xiàn)安全風(fēng)險評估和安全性評價工作的閉環(huán)管理。通過開展安全風(fēng)險評估和安全性評價工作，逐步建立符合企業(yè)實(shí)際的安全生產(chǎn)風(fēng)險管理體系，逐步實(shí)現(xiàn)安全管理從事后管理向預(yù)防管理為主轉(zhuǎn)變，從要我安全到我要安全、我會安全轉(zhuǎn)變。

第五條 健全安全生產(chǎn)應(yīng)急管理體系，組織制定各類應(yīng)急預(yù)案。按照《國家電網(wǎng)公司應(yīng)急工作管理規(guī)定》的要求，一是要落實(shí)應(yīng)急保障體系的建設(shè)，首先要建立各級應(yīng)急機(jī)構(gòu)，健全搶險救災(zāi)物質(zhì)的儲備制度，配齊專（兼）職人員，組建應(yīng)急搶修隊(duì)伍。二是要規(guī)范公司應(yīng)急預(yù)案體系的結(jié)構(gòu)，補(bǔ)充完善各類應(yīng)急預(yù)案。各單位要定時間、定部門組織編寫好各類應(yīng)急預(yù)案，做好評審和上報備案，確保預(yù)案符合實(shí)際，以滿足各類突發(fā)事件的需要。三是加強(qiáng)應(yīng)急預(yù)案演練，提高應(yīng)對重大事故、自然災(zāi)害等突發(fā)事件的處置能力。四是積極響應(yīng)各級政府對公共衛(wèi)生和社會治安等突發(fā)事件的應(yīng)急管理要求，促進(jìn)應(yīng)急處置的協(xié)調(diào)配合和職責(zé)落實(shí)，建立聯(lián)動協(xié)調(diào)機(jī)制。五是開展專項(xiàng)監(jiān)督檢查，重點(diǎn)監(jiān)督14個地級城市電網(wǎng)大面積停電應(yīng)急處置預(yù)案編制、演練和評估工作及電廠的黑啟動工作方案編制、演練和評估工作，加強(qiáng)應(yīng)急管理工作制度化、規(guī)范化和系統(tǒng)化建設(shè)。

第六條 深入推進(jìn)反事故斗爭，減少事故。反事故斗爭是公司系統(tǒng)安全生產(chǎn)的長期任務(wù)。各單位、各部門要按照《國家電網(wǎng)公司反事故斗爭二十五條重點(diǎn)措施》的要求，繼續(xù)深入落實(shí)公司反事故斗爭二十七條措施，切實(shí)抓好領(lǐng)導(dǎo)層、管理層、執(zhí)行層三個層面的“對照檢查”，落實(shí)安全責(zé)任制。二是要把反事故斗爭與安全工作實(shí)際結(jié)合起來，與公司安全目標(biāo)結(jié)合起來，突出開展反人員責(zé)任事故的斗爭。各單位都要制定實(shí)施措施，強(qiáng)化針對性和可操作性。三是要突出重點(diǎn)，強(qiáng)化措施，充分吸取國外大面積停電事故和去年華中電網(wǎng) “7.1”大面積停電事故教訓(xùn)，開展隱患排查與治理，強(qiáng)化電網(wǎng)應(yīng)急處置工作，確保不發(fā)生重大電網(wǎng)事故。四是與重大設(shè)備事故作斗爭。開展主設(shè)備隱患清理整治工作，對可能構(gòu)成重大設(shè)備事故的主設(shè)備建立檔案，重點(diǎn)監(jiān)督，及時發(fā)現(xiàn)和消除重大設(shè)備隱患。在變電方面，開展變壓器專項(xiàng)整治活動，大幅度減少變壓器（和高抗）強(qiáng)迫停運(yùn)事件。進(jìn)一步做好變電站的接地改造工作和220千伏變電站瓷瓶探傷技術(shù)的監(jiān)督及紅外測溫工作，開展變電站直流系統(tǒng)和非電量保護(hù)的全面清查與整改，減少故障。在輸電方面，進(jìn)一步做好輸電線路防雷擊、防污閃、防山火、防冰災(zāi)工作和紅外測溫工作，重點(diǎn)對35千伏及以上運(yùn)行年限超過30年的老舊輸變電設(shè)備或缺陷較多的設(shè)備進(jìn)行綜合治理，減少線路故障率。在基建方面，重點(diǎn)突出對大型施工機(jī)具缺陷的排查。在水電廠方面，要突出大壩和主機(jī)、主變的技術(shù)監(jiān)督工作，提高水電廠設(shè)備健康水平。

通過反事故斗爭，杜絕由于人員責(zé)任、設(shè)備問題和外部因素造成的人身、電網(wǎng)、設(shè)備事故，確保公司2007年度安全目標(biāo)的全面實(shí)現(xiàn)。

第七條 落實(shí)安全監(jiān)督體系職責(zé)，強(qiáng)化專項(xiàng)安全監(jiān)督。為充分發(fā)揮安全監(jiān)督體系的作用，必須認(rèn)真履行安全監(jiān)察體系的職責(zé)，進(jìn)一步完善常規(guī)監(jiān)督、專項(xiàng)監(jiān)督、事故監(jiān)察三者相結(jié)合的監(jiān)督機(jī)制。落實(shí)安全監(jiān)督職責(zé)，要強(qiáng)化全面、全員、全過程、全方位安全管理的監(jiān)督，做到責(zé)任到位、措施到位，不斷強(qiáng)化執(zhí)行力。要進(jìn)一步落實(shí)事故監(jiān)察職責(zé)，嚴(yán)格貫徹執(zhí)行《電力生產(chǎn)事故調(diào)查規(guī)程》和《國家電網(wǎng)公司人身傷亡統(tǒng)計分析管理規(guī)定》，做好事故調(diào)查處理與統(tǒng)計分析工作，按照“四全”安全監(jiān)督與管理要求，將農(nóng)電生產(chǎn)和人身傷亡事故、通信安全、計算機(jī)網(wǎng)絡(luò)與信息安全事件統(tǒng)一納入事故管理體系。全面開展人身傷亡事故統(tǒng)計分析，掌握事故規(guī)律，深刻吸取事故教訓(xùn)，采取預(yù)防措施。在開展專項(xiàng)安全監(jiān)督方面，針對2006年安全生產(chǎn)的薄弱環(huán)節(jié)，一是開展以防人員責(zé)任事故為主的現(xiàn)場專項(xiàng)安全監(jiān)督，著重貫徹新《安規(guī)》，重點(diǎn)打擊26種嚴(yán)重違章行為，減少直至杜絕人員責(zé)任事故。二是開展應(yīng)急預(yù)案專項(xiàng)安全監(jiān)督，督促應(yīng)急體系的建設(shè)，補(bǔ)充完善各類應(yīng)急預(yù)案，提高應(yīng)對突發(fā)事件的處理能力與速度。三是開展危險點(diǎn)分析與預(yù)控措施的專項(xiàng)安全生產(chǎn)監(jiān)督，促進(jìn)現(xiàn)場作業(yè)危險點(diǎn)分析與預(yù)控措施的有效實(shí)施，將作業(yè)中的風(fēng)險降到最低，有效防范人員責(zé)任事故的發(fā)生。四是開展班組建設(shè)專項(xiàng)安全監(jiān)督，以班組建設(shè)安全管理部分為標(biāo)準(zhǔn)，以現(xiàn)場安全管理為重點(diǎn)，強(qiáng)化基礎(chǔ)管理，促進(jìn)創(chuàng)建“無違章班組”和“無違章工作現(xiàn)場”活動的開展，夯實(shí)企業(yè)的安全基礎(chǔ)。五是開展“兩措”費(fèi)用落實(shí)情況的專項(xiàng)安全監(jiān)督，督促各單位足額劃撥“兩措”費(fèi)用，保證“兩措”費(fèi)用真正落到生產(chǎn)一線。六是開展交通安全專項(xiàng)監(jiān)督，監(jiān)督《七項(xiàng)硬性措施》貫徹執(zhí)行情況，確保交通安全。七是開展消防專項(xiàng)監(jiān)督，重點(diǎn)是無人值班變電站消防報警裝置是否完好和消防設(shè)施是否齊備。

第八條 加強(qiáng)安全教育培訓(xùn)，提高員工安全素質(zhì)。安全教育培訓(xùn)是提高員工安全素質(zhì)、保障安全生產(chǎn)的重要措施。全面提高員工安全素質(zhì)，必須加大培訓(xùn)力度，創(chuàng)新培訓(xùn)工作機(jī)制。一是要突出分層次、分級培訓(xùn)，充分發(fā)揮基層班組和車間的作用，建立車間、班組培訓(xùn)制度，并下達(dá)培訓(xùn)次數(shù)、指標(biāo)，檢查考核培訓(xùn)效果；二是要突出針對性，注重現(xiàn)場培訓(xùn)、崗位培訓(xùn)和實(shí)際操作，缺什么，補(bǔ)（培訓(xùn)）什么。對廠、局（公司）領(lǐng)導(dǎo)干部的安全培訓(xùn)要集中組織，分批開展，學(xué)習(xí)安全生產(chǎn)方針政策和法律、法規(guī)以及國內(nèi)外先進(jìn)的安全管理理念和現(xiàn)代安全管理知識等，提高領(lǐng)導(dǎo)干部安全管理水平。今年要對安監(jiān)人員組織持證上崗培訓(xùn)，學(xué)習(xí)安全生產(chǎn)方針政策及法律法規(guī)、規(guī)程規(guī)定、安全生產(chǎn)風(fēng)險管理方法，提高安全監(jiān)察人員業(yè)務(wù)能力。對一線人員的培訓(xùn)重點(diǎn)是崗位技能、標(biāo)準(zhǔn)化作業(yè)和《安規(guī)》培訓(xùn)，做到真正懂業(yè)務(wù)、懂技術(shù)，熟悉標(biāo)準(zhǔn)，能實(shí)施標(biāo)準(zhǔn)化作業(yè)，做到持證上崗。新人員入廠培訓(xùn)，要強(qiáng)化紀(jì)律教育，必須將26種嚴(yán)重違章行為作為重點(diǎn)培訓(xùn)內(nèi)容，象“三大紀(jì)律八項(xiàng)注意”一樣提出來，使他們牢牢記住，為以后拒絕違章打下基礎(chǔ)。針對2006年作業(yè)現(xiàn)場中出現(xiàn)的違章現(xiàn)象，必須強(qiáng)化《安規(guī)》、“雙票”、“26種嚴(yán)重違章行為”和標(biāo)準(zhǔn)化作業(yè)指導(dǎo)書等安全規(guī)程制度的培訓(xùn)，注重提高解決崗位實(shí)際問題和“三不傷害”的能力，讓大家讀規(guī)程、懂規(guī)程，做到按章指揮，照規(guī)程辦事。

第九條 加強(qiáng)建設(shè)項(xiàng)目全過程安全監(jiān)督與管理。根據(jù)國家電網(wǎng)公司對基建安全管理的規(guī)定，落實(shí)《國家電網(wǎng)公司建設(shè)項(xiàng)目安全風(fēng)險管理若干規(guī)定》，規(guī)范建設(shè)項(xiàng)目全過程安全監(jiān)督與管理。一是要加強(qiáng)基建施工單位工程項(xiàng)目管理力度，各施工基建單位一定要根據(jù)各自施工能力承接業(yè)務(wù)，不得超能力承接，再層層轉(zhuǎn)包。對電網(wǎng)新、改、擴(kuò)建工程，必須組織技術(shù)力量，妥善管理，精心組織施工，嚴(yán)格遵守有關(guān)規(guī)章制度，確保安全。送變電公司要特別加強(qiáng)特高壓試驗(yàn)示范工程施工現(xiàn)場安全監(jiān)督與管理，定期開展施工現(xiàn)場安全檢查，督促落實(shí)安全組織措施、技術(shù)措施，確保特高壓試驗(yàn)示范工程建設(shè)安全；二是要進(jìn)一步落實(shí)安全生產(chǎn)責(zé)任制，重點(diǎn)落實(shí)項(xiàng)目法人的安全責(zé)任和監(jiān)理部門責(zé)任制，加強(qiáng)對各類危險場所、重要施工作業(yè)點(diǎn)的安全監(jiān)理，以確保施工全過程的安全。三是要加強(qiáng)現(xiàn)場安全文明施工，繼續(xù)開展安全文明施工競賽活動，全面推行安全性評價，對500千伏電網(wǎng)工程都要進(jìn)行施工項(xiàng)目安全性評價，嚴(yán)格執(zhí)行危險點(diǎn)分析和安全預(yù)控措施。四是要加強(qiáng)外包施工隊(duì)伍的管理，發(fā)包單位必須嚴(yán)格審查外包施工隊(duì)伍的安全資質(zhì)，未經(jīng)安全資質(zhì)審查或?qū)彶椴缓细竦膱詻Q不能錄用。在簽訂合同時應(yīng)有“如果分包方不遵守安全規(guī)程，甲方可以隨時更換”的條款，促使他們加強(qiáng)安全管理。發(fā)現(xiàn)外包員工違規(guī)，要馬上清退。五是要按照公司要求簽訂《施工安全協(xié)議書（范本）》，以規(guī)范基建工程分（承）包工程安全管理，降低企業(yè)安全風(fēng)險，嚴(yán)禁以包代管。六是要認(rèn)真吸取“7.4”和“11.19”事故的教訓(xùn)，開展施工機(jī)械安全隱患專項(xiàng)安全監(jiān)督，仔細(xì)排查，杜絕各類施工機(jī)械超期服役，確保人身和設(shè)備安全。七是嚴(yán)格招投標(biāo)管理，加強(qiáng)承包商和供貨商資質(zhì)管理和業(yè)績考核，推行安全業(yè)績與工程項(xiàng)目招投標(biāo)聯(lián)動機(jī)制。八是要關(guān)心關(guān)愛施工單位一線人員、農(nóng)民工的基本利益，充分調(diào)動積極性，構(gòu)建和諧文明施工氛圍。

第十條 落實(shí)責(zé)任，強(qiáng)化農(nóng)電安全生產(chǎn)管理工作。認(rèn)真貫徹《國家電網(wǎng)公司關(guān)于加強(qiáng)安全生產(chǎn)工作的決定》和《國家電網(wǎng)公司安全生產(chǎn)職責(zé)規(guī)范》的要求，按照“誰主管、誰負(fù)責(zé)”的原則，以農(nóng)電六項(xiàng)機(jī)制為手段， 進(jìn)一步提高農(nóng)電安全管理水平。一是理順農(nóng)電安全保證和監(jiān)督體系的關(guān)系，做到職責(zé)明確，界面清晰，農(nóng)電安全保證體系以安全管理為主，農(nóng)電安全監(jiān)督體系以監(jiān)督為主，按照職責(zé)分工全面落實(shí)各自的責(zé)任。二是進(jìn)一步落實(shí)農(nóng)電監(jiān)督體系的職責(zé)，規(guī)范農(nóng)電安全事故調(diào)查監(jiān)督統(tǒng)計考核機(jī)制，將農(nóng)電生產(chǎn)人身事故納入各級安全監(jiān)督事故調(diào)查統(tǒng)計體系，按照農(nóng)電安全管理考核制度，統(tǒng)一監(jiān)管考核。三是為防止農(nóng)電人身事故，要立足農(nóng)村供電所，全面落實(shí)“三防十要”反事故措施，開展農(nóng)電標(biāo)準(zhǔn)化作業(yè)，強(qiáng)化作業(yè)現(xiàn)場安全風(fēng)險防范，規(guī)范作業(yè)人員的行為，杜絕工作的隨意性，確?，F(xiàn)場安全。四是繼續(xù)開展縣供電企業(yè)安全性評價，今年完成全部縣供電企業(yè)的安全性評價查評工作，夯實(shí)農(nóng)電安全基礎(chǔ)。五是加強(qiáng)農(nóng)電員工的培訓(xùn)教育，開展縣供電企業(yè)負(fù)責(zé)人、供電所長、工作負(fù)責(zé)人的《安規(guī)》和安全知識調(diào)考工作，提高安全技能和防范意識，提高遵守工作紀(jì)律和執(zhí)行規(guī)章制度的自覺性。六是進(jìn)一步做好農(nóng)村安全用電“三道防線”的構(gòu)建工作，第一是做好農(nóng)村安全用電宣傳工作；第二是做好臺區(qū)總保護(hù)和家用漏電保護(hù)器使用的調(diào)研，規(guī)范臺區(qū)總保護(hù)器的運(yùn)用，提高臺區(qū)總保護(hù)器的安裝率、投運(yùn)率和正確動作率；第三是加大整治低壓線路工作的力度，著力整治農(nóng)村危及人身安全的低壓線路，防止對地距離不夠或線路斷線導(dǎo)致的事故。

第十一條 加強(qiáng)多經(jīng)和交通安全管理工作。根據(jù)國家電網(wǎng)公司對多經(jīng)系統(tǒng)安全管理的規(guī)定，在安全管理上實(shí)行“誰主管，誰負(fù)責(zé)”的要求，多經(jīng)系統(tǒng)要加大力度，提高安全管理和監(jiān)督水平。一是要進(jìn)一步建立健全安全生產(chǎn)規(guī)章制度，完善安全生產(chǎn)保障體系和監(jiān)督體系。監(jiān)督體系要有專門的機(jī)構(gòu)和人員，充分發(fā)揮安全生產(chǎn)保障體系和監(jiān)督體系的作用。二是針對多經(jīng)系統(tǒng)施工隊(duì)伍雜，“三工”、外聘勞務(wù)隊(duì)伍多的特點(diǎn)，要參照基建系統(tǒng)的管理模式，加強(qiáng)對外包隊(duì)伍和“三工”人員的安全管理和監(jiān)督，嚴(yán)格審查外包隊(duì)伍的安全資質(zhì)，簽訂合同及安全責(zé)任書，明確雙方職責(zé)。三是施工前必須進(jìn)行安全教育和安全技術(shù)措施交底，認(rèn)真審查施工“三措”，在安全管理和監(jiān)督工作上禁止以包代管。四是原則要求“三工”人員應(yīng)從有法人資質(zhì)的勞務(wù)隊(duì)伍中招用，降低企業(yè)安全風(fēng)險。

篇8

關(guān)鍵詞:信息;網(wǎng)絡(luò)安全;管理策略

中圖分類號:F270文獻(xiàn)標(biāo)志碼:A文章編號:1673-291X(2010)30-0015-02

隨著企業(yè)信息網(wǎng)絡(luò)建設(shè)與不斷的發(fā)展,信息化已成為企業(yè)發(fā)展的大趨勢,信息網(wǎng)絡(luò)安全就顯得尤為重要。由于計算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征,無論是在局域網(wǎng)還是在廣域網(wǎng)中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此,網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

一、信息網(wǎng)絡(luò)的安全管理系統(tǒng)的建立

信息網(wǎng)絡(luò)安全管理系統(tǒng)的建立,是實(shí)現(xiàn)對信息網(wǎng)絡(luò)安全的整體管理。它將使安全管理與安全策略變得可視化、具體化、可操作,在將與整體安全有關(guān)的各項(xiàng)安全技術(shù)和產(chǎn)品組合為一個規(guī)范的、整體的、集中的安全平臺上的同時,使技術(shù)因素、策略因素以及人員因素能夠更加緊密地結(jié)合在一起,從而提高用戶在安全領(lǐng)域的整體安全效益。下面對信息網(wǎng)絡(luò)安全管理系統(tǒng)技術(shù)需求和功能要求進(jìn)行分析。

(一)技術(shù)分析

1.在信息網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計上,應(yīng)該用到以下技術(shù):安全綜合管理系統(tǒng)體系結(jié)構(gòu)構(gòu)造理論和技術(shù);安全部件之間的聯(lián)動技術(shù);安全部件互動協(xié)議與接口技術(shù);網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)自動發(fā)掘技術(shù);網(wǎng)絡(luò)數(shù)據(jù)的相關(guān)性分析和統(tǒng)計分析算法;網(wǎng)絡(luò)事件的多維描述技術(shù)。

2.信息網(wǎng)絡(luò)安全管理系統(tǒng)應(yīng)具有安全保密第一:安全保密與系統(tǒng)性能是相互矛盾的,彼此相互影響、相互制約,在這種情況下,系統(tǒng)遵循安全與保密第一的原則,信息網(wǎng)絡(luò)安全管理系統(tǒng)在設(shè)計、實(shí)施、運(yùn)行、管理、維護(hù)過程中,應(yīng)始終把系統(tǒng)的安全與保密放在首要的位置。在信息網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計,尤其在身份認(rèn)證、信任管理和授權(quán)管理方面,應(yīng)采用先進(jìn)的加密技術(shù),實(shí)現(xiàn)全方位的信任和授權(quán)管理。因此,對信息安全管理系統(tǒng)而言,針對單個系統(tǒng)的全部管理并非是本系統(tǒng)的重點(diǎn),而應(yīng)該投入更多的力量在于:集中式、全方位、可視化的體現(xiàn);獨(dú)立安全設(shè)備管理中不完善或未實(shí)現(xiàn)的部分;獨(dú)立安全設(shè)備的數(shù)據(jù)、響應(yīng)、策略的集中處理。

(二)功能分析

1.分級管理與全網(wǎng)統(tǒng)一的管理機(jī)制:網(wǎng)絡(luò)安全是分區(qū)域和時段的,實(shí)施分級與統(tǒng)一的管理機(jī)制可以對全網(wǎng)進(jìn)行有效的管理,不僅體現(xiàn)區(qū)域管理的靈活性,還表現(xiàn)在抵御潛在網(wǎng)絡(luò)威脅的有效性,管理中心可以根據(jù)自己網(wǎng)絡(luò)的實(shí)際情況配置自己的策略,將每日的安全事件報告給上一級,由上一級進(jìn)行統(tǒng)一分析。上一級可以對全網(wǎng)實(shí)施有效的控制,比如采用基于web的電子政務(wù)的形式,要求下一級管理中心更改策略、打補(bǔ)丁、安全產(chǎn)品升級等。

2.安全設(shè)備的網(wǎng)絡(luò)自動拓?fù)?系統(tǒng)能夠自動找出正確的網(wǎng)絡(luò)結(jié)構(gòu),并以圖形方式顯示出來,給用戶管理網(wǎng)絡(luò)提供極大的幫助。這方面的內(nèi)容包括:自動搜索用戶關(guān)心的安全設(shè)備;網(wǎng)絡(luò)中安全設(shè)備之間的拓?fù)潢P(guān)系;根據(jù)網(wǎng)絡(luò)拓?fù)潢P(guān)系自動生成拓?fù)鋱D;能夠反映當(dāng)前安全設(shè)備以及網(wǎng)絡(luò)狀態(tài)的界面。

3.安全設(shè)備實(shí)時狀態(tài)監(jiān)測:安全設(shè)備如果發(fā)生故障而又沒有及時發(fā)現(xiàn),可能會造成很大的損失。所以必須不間斷地監(jiān)測安全設(shè)備的工作狀況。如某一設(shè)備不能正常工作,則在安全設(shè)備拓?fù)鋱D上應(yīng)能直觀的反映出來。實(shí)時狀態(tài)監(jiān)測的特點(diǎn)是:(1)高度兼容性:由于各種安全設(shè)備的差別很大,實(shí)時狀態(tài)監(jiān)測具有高度兼容性,支持各種常用協(xié)議,能夠最大程度地支持現(xiàn)有的各種安全設(shè)備。(2)智能化:狀態(tài)監(jiān)測有一定的智能化,對安全設(shè)備的運(yùn)行狀態(tài)提前作出預(yù)測,做到防患于未然。(3)易用性:實(shí)時狀態(tài)監(jiān)測不是把各種設(shè)備的差別處理轉(zhuǎn)移給用戶,而是能夠提供易用的方式幫助用戶管理設(shè)備。

4.高效而全面的反應(yīng)報警機(jī)制:報警形式多樣:如響鈴、郵件、短消息、電話通知等?；谟脩艉偷燃壍膱缶?可以根據(jù)安全的等級,負(fù)責(zé)處理問題的用戶,做出不同方式、針對不同對象的報警響應(yīng)。

5.安全設(shè)備日志統(tǒng)計分析:可以根據(jù)用戶需求生成一段時間內(nèi)網(wǎng)絡(luò)設(shè)備與安全設(shè)備各種數(shù)據(jù)的統(tǒng)計報表。

二、信息網(wǎng)絡(luò)的安全策略

企業(yè)信息網(wǎng)絡(luò)面臨安全的威脅來自:(1)人為的無意失誤:如操作員安全配置不當(dāng)造成的安全漏洞,用戶安全意識不強(qiáng),用戶口令選擇不慎等都會對網(wǎng)絡(luò)安全帶來威脅。(2)人為的惡意攻擊:這是計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅,造成極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。(3)網(wǎng)絡(luò)軟件的漏洞:網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的,這些是因?yàn)榘踩胧┎煌晟扑兄隆?/p>

(一)物理安全策略

物理安全策略的目的是保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受破壞和攻擊;驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作;確保計算機(jī)系統(tǒng)有一個良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進(jìn)入計算機(jī)控制室。

(二)訪問控制策略

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

1.入網(wǎng)訪問控制:入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源。用戶的入網(wǎng)訪問控制可分為三個步驟:用戶名的識別與驗(yàn)證、用戶口令的識別與驗(yàn)證、用戶賬號的缺省限制檢查。

2.權(quán)限控制:網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作?？梢愿鶕?jù)訪問權(quán)限將用戶分為以下幾類:(1)特殊用戶(即系統(tǒng)管理員);(2)一般用戶,系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限。

(三)目錄級控制策略

網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效,用戶還可進(jìn)一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種:系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、存取控制權(quán)限。

三、網(wǎng)絡(luò)安全管理策略

在網(wǎng)絡(luò)安全中,除了采用技術(shù)措施之外,加強(qiáng)網(wǎng)絡(luò)的安全管理,制定有關(guān)規(guī)章制度,對于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行,將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括:確定安全管理等級和安全管理范圍;制定有關(guān)網(wǎng)絡(luò)操作;使用規(guī)程和人員出入機(jī)房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。