信息安全方針全文(5篇)

摘要：信息安全作為國家安全重要組成部分為各國共識，各國紛紛出臺自己的信息安全戰(zhàn)略和政策，加強自身信息安全保障體系建設。新形勢下我國提出“以信息化帶動工業(yè)化，發(fā)揮后發(fā)優(yōu)勢，實現(xiàn)社會生產力了跨越式發(fā)展”，并將信息安全與政治、經濟、文化、國防安全作為國家安全基石。電力企業(yè)事關國計民生基礎性行業(yè)，如何利用現(xiàn)代信息技術提高供電企業(yè)管理水平和電網穩(wěn)定運行顯得尤為重要?；诖?，將從制度管理、人員和技術等方面討論基層供電企業(yè)信息安全建設的建議。

關鍵詞：信息安全；管理體系；PKI/CA；MPLSVPN；基線

在供電企業(yè)現(xiàn)代信息技術廣泛運用生產經營、綜合管理之中，實現(xiàn)資源和信息共享，為領導提供相關輔助決策。保障企業(yè)信息安全是企業(yè)領導層、專業(yè)人員及企業(yè)全員共同面對的。信息安全是集管理、人員、設備、技術為一體系統(tǒng)工程，木桶原理可以很好地詮釋信息安全，一個企業(yè)安全不取決于最強項，而取決最短板。信息安全需從制度建設、體系架構、一體化防控體系、人員意識、專業(yè)人員技術水平等多方面共同建設，才能有效提高企業(yè)信息安全，才能為企業(yè)生產、經營保駕護航。

1基層供電信息安全現(xiàn)狀

基層供電企業(yè)信息安全建設方面，在制度建設、安全分區(qū)、網絡架構、一體化防護、人員意識、專業(yè)人員技術水平等多方面存在不同程度問題。

1.1管理制度不健全，制度多重化

信息安全制度建設方面較為被動，大多數(shù)都是現(xiàn)實之中出現(xiàn)某一問題，然后一個相關制度，制度修修補補。同一類問題有時出現(xiàn)不同管理規(guī)定里，處理辦法不一，甚至發(fā)生沖突。原有信息安全管理制度寬泛，操作性較差。信息系統(tǒng)建設渠道不同，未提前進行信息安全方面考慮，管理職責不明，導致部分信息安全工作開始不順暢。

一、信息安全管理問題的研究

安全管理在整個系統(tǒng)和信息安全工作中占有非常重要的地位，目的是保證系統(tǒng)用戶和信息資源不被非法使用，同時保證信息管理系統(tǒng)本身不出現(xiàn)未經授權的訪問。據(jù)分析,在整個系統(tǒng)安全工作中，管理(包括管理和法律法規(guī)方面)所占比重高達70%,而技術(包括技術和實體)占30%。信息安全管理相對于信息安全技術來說是“軟”技術。分析近幾年情況，信息安全管理有以下幾個方面內容：

1.制訂信息安全發(fā)展戰(zhàn)略和計劃

制訂發(fā)展戰(zhàn)略和計劃是發(fā)達國家一貫的做法。美、俄、日、英、法等國家都已經或正在制訂自己的信息安全發(fā)展戰(zhàn)略和發(fā)展計劃，確保信息安全沿著正確的方向發(fā)展。2000年初，美國出臺了電腦空間安全計劃，旨在加強關鍵基礎設施、計算機系統(tǒng)和網絡免受威脅的防御能力。2000年7月日本信息技術戰(zhàn)略本部及信息安全會議擬定了信息安全指導方針。2000年9月12日，俄羅斯批準了《國家信息安全構想》，明確了確保信息安全應采取的措施。英國和法國也正在制訂各自的信息安全發(fā)展戰(zhàn)略。我國還沒有制訂國家級的信息安全發(fā)展戰(zhàn)略，但在“十五”規(guī)劃中已有提及，國內學者也提出了類似建議。另外，在我國2001年度《高技術研究發(fā)展計劃》中提出了信息安全的科研攻關課題“，863”計劃信息安全技術發(fā)展戰(zhàn)略研究專家組制訂了《信息安全技術應急計劃》。

2.加強信息安全立法，實現(xiàn)統(tǒng)一和規(guī)范管理

以法律的形式規(guī)定和規(guī)范信息安全工作是有效實施安全措施的最有力保證。制定網絡信息安全規(guī)則的先鋒是各大門戶網站，美國的雅虎和美國在線等網站都在實踐中形成了一套自己的信息安全管理辦法。2000年1月，美國聯(lián)邦政府了《保障信息系統(tǒng)國家計劃》。2000年10月1日，美國的《電子簽名法案》正式生效。2000年10月5日美國參議院通過了《互聯(lián)網網絡完備性及關鍵設備保護法案》。自1999年至今，美國國會已通過涉及計算機、互聯(lián)網和信息安全問題的法律文件379個，還設立了總統(tǒng)關鍵基礎設施保護委員會，負責安全工作的全國總協(xié)調。日本郵政省于2000年6月8日公布了旨在對付黑客的《信息網絡安全可靠性基準》的補充修改方案,提出制訂了風險管理的“信息安全準則”的指導原則。2000年9月,俄羅斯實施了關于網絡信息安全的法律。法國也成立了協(xié)調的信息安全機構，由決策層、操作層、技術層及工業(yè)層組成。1994年2月，國務院頒布了我國第一部有關計算機信息系統(tǒng)方面的法律法規(guī)，即《中華人民共和國計算機信息系統(tǒng)安全保護條例》。1996年國務院頒布《中華人民共和國計算機信息網絡國際聯(lián)網管理暫行規(guī)定》。全國人大常委會對計算機犯罪也高度重視，1997年《刑法》修改，增加了懲治計算機犯罪的法律條款(共3條5款)，使得打擊計算機犯罪有法可依。

3.積極制訂信息安全國際和國家標準

1網絡會計信息安全影響因素

網絡會計是基于會計核算網絡化的思想，基于電子商務時代集約化發(fā)展趨勢，打破傳統(tǒng)的分散式管理模式，構建標準統(tǒng)一、核算規(guī)范、程序合規(guī)、交易完善、數(shù)據(jù)一體化、自動靈活生成報表的電子商務核算平臺。在電子商務時代，影響網絡會計信息安全的因素很多，網絡會計面對的安全挑戰(zhàn)主要來自4個方面。

1.1管理缺失

科學有效的管理在保障網絡會計信息安全過程中起主導作用。管理因素主要是人的影響，比如操作人員故意、未經授權篡改數(shù)據(jù)或者不按操作規(guī)程操作，都會直接影響原始會計信息的準確性、真實性和可靠性；又如操作人員設置過于簡單的驗證密碼，導致會計系統(tǒng)易被非法入侵。

1.2網絡及硬件故障

硬件故障包括電源、輸入/輸出設備、內存、硬盤等，比如，存儲信息的磁盤損毀或系統(tǒng)突然掉電無備份電源接入，都會造成災難性事故。

1.3軟件系統(tǒng)不完善

一、計算機信息系統(tǒng)安全風險評估的作用分析

根據(jù)以往學者研究及實踐表明，對計算機信息安全保障的工作可歸納為安全管理、安全組織以及安全技術等三方面的體系建設。而確保其保障工作的順利展開需以信息安全的風險評估作為核心內容。因此對風險評估的作用主要體現(xiàn)在：首先，信息安全保障需以風險評估作為基礎。對計算機信息系統(tǒng)進行風險評估過程多集中在對系統(tǒng)所面臨的安全性、可靠性等方面的風險，并在此基礎上做出相應的防范、控制、轉移以及分散等策略。其次，信息安全風險管理中的風險評估是重要環(huán)節(jié)。從《信息安全管理系統(tǒng)要求》中不難發(fā)現(xiàn)，對ISMS的建立、實施以及維護等方面都應充分發(fā)揮風險評估的作用。最后，風險評估的核查作用。驗收信息系統(tǒng)設計安裝等是否滿足安全標準時，風險評估可提供具體的數(shù)據(jù)參考。同時在維護信息系統(tǒng)貴過程中，通過風險評估也可將系統(tǒng)對環(huán)境變化的適應能力以及相關的安全措施進行核查。若出現(xiàn)信息系統(tǒng)出現(xiàn)故障問題時，風險評估又可對其中的風險作出分析并采取相應的技術或管理措施。

二、計算機信息系統(tǒng)安全風險的評估方法分析

（一）以定性與定量為主的評估方法。

計算機信息系統(tǒng)安全風險評估方法中應用較為廣泛的主要為定性評估方式，其分析內容大多為信息系統(tǒng)威脅事件可能發(fā)生的概率及其可能造成的損失。通常以指定期望值進行表示如高值、中值以及低值等。但這種方式無法將風險的大小作出正確判斷。另外定量分析方法對威脅事件發(fā)生的可能性與其所造成的損失評估時，首先會對特定資產價值進行分析，再以客觀數(shù)據(jù)為依據(jù)對威脅頻率進行計算，當完成威脅影響系數(shù)的計算后，便將三者綜合分析，最終推出計算風險的等級。

（二）以知識和模型為基礎的風險評估。

以知識為基礎的風險評估通常會根據(jù)安全專家的評估經驗為依據(jù)，優(yōu)勢在于風險評估的結構框架、實施計劃以及保護措施可被提供，對較為相似的機構可直接利用以往的保護措施等便可實現(xiàn)機構安全風險的降低。另外以模型為基礎的評估方式可將計算機信息系統(tǒng)自身的風險及其與外部環(huán)境交互過程中存在的不利因素等進行分析，以此實現(xiàn)對系統(tǒng)安全風險的定性評估。

摘要:為了培養(yǎng)學生處理學習和工作中遇到的信息安全問題的綜合能力，建設一個高質量的網絡信息安全實驗室是十分必要的。本文提出了一個網絡信息安全實驗室的建設方案，詳細介紹了網絡信息安全教學實驗室的總體規(guī)劃，安全實訓教學平臺和網絡空間安全攻防靶場競賽平臺。本文提出的方案可為高校網絡信息安全實驗室的建設和發(fā)展提供參考與借鑒。

關鍵詞:網絡信息安全；實驗室建設；方案

1引言

目前社會各行各業(yè)的業(yè)務逐步向網上遷移，大量公民個人隱私信息和敏感數(shù)據(jù)在網上登記、傳輸和保存。然而，有些重點行業(yè)、單位和企業(yè)的思想理念跟不上網絡的發(fā)展，憂患意識和安全意識普遍不強，安全保護措施不健全，導致系統(tǒng)和網站存在高危漏洞，極大地增加了公民隱私信息被偷被盜的風險。提高網絡信息從業(yè)人員對信息安全技術的認知和掌握，以及對實際應用操作相關技術的能力是防止信息安全事件發(fā)生的重要方面。這就需要在高校在培養(yǎng)計算機專業(yè)的學生時，要以提高學生掌握信息安全技術的實踐能力為主要的教學目標[1-3]。近年來，華南理工大學計算機學院雖然開設了網絡安全、信息安全等內容的課程，其中也包括了較多的攻防實驗、實踐及信息安全攻防競賽，但是總體上各種實驗大多數(shù)偏重理論的驗證，仍較缺乏針對性、設計性及探索性實驗，學生難以直接利用所學的知識對抗社會黑客非法侵入控制計算機信息系統(tǒng)，計算機病毒、木馬和網絡攻擊、入侵等嚴重威脅。為了模擬學習這些網絡信息安全對抗新技術、新方案，需要對高校計算機網絡信息安全實驗室軟、硬件設備提出更高的要求[4-5]。為此，本文提出了一個網絡信息安全實驗室的建設方案。按照方案中的網絡信息安全實驗室規(guī)劃及建設改造思路，實施信息安全的教學改革。

2實驗室建設重要性

2.1信息安全的人才需求

網絡信息安全技術人員要求既要有系統(tǒng)性信息安全技術理論知識，又要有豐富的實踐應用經驗，因此需要系統(tǒng)性知識教學訓練及專門實踐培訓才能滿足行業(yè)需求。網絡信息安全技術規(guī)劃、應用實施都要強調實踐綜合能力。現(xiàn)在社會上雖然有一些從事信息安全技術的從業(yè)人員，其中大多數(shù)是計算機或相關專業(yè)的畢業(yè)生，他們有一定的計算機網絡專業(yè)理論基礎，也掌握了一定的信息安全技術技術，但與信息安全技術專業(yè)所要求的理論水平和實踐能力相差太大。目前，國內網絡安全技術人才的需求仍有近100萬多的缺口，特別是高級戰(zhàn)略人才和專業(yè)技術人才尤其匱乏。相對應的網絡安全崗位的技能要求具有熟練掌握注入、嗅探、緩沖區(qū)溢出等網絡攻防技術，會靈活運用各種攻防、滲透工具，了解各類滲透技術的手法和思維方式，能獨立分析及解決滲透安全事件。企業(yè)普遍要求安全專業(yè)人才在技術方面具備寬泛的理論知識，同時還應具有更強的實踐操作能力，從網絡安全、防入侵、防漏洞、系統(tǒng)安全等形成一個多角度的綜合型技術人才[6]。政府相關部門和各大、中企業(yè)都越來越高度重視內部網絡應用安全，各行各業(yè)都高度依賴網絡進行業(yè)務聯(lián)系。社會對于信息安全的人才的巨大需求，給學校的人才培養(yǎng)提出了新的挑戰(zhàn)。高校培養(yǎng)學生的目標應該是使學生必須掌握網絡安全相關防范技術和實踐操作技能，既能滿足全社會需求，又符合學校的辦學宗旨和理念。為了達到使學生適應社會的實際需要這個培養(yǎng)目標，教學中必須要具有相應的實驗條件支撐。建立適應計算機網絡技術高速發(fā)展，為了防范攻擊，規(guī)劃建設覆蓋各個層次教學和實驗要求的網絡信息安全實驗室，在信息安全、網絡應用及操作、安全攻防靶場競賽等層次提供全面的實驗環(huán)境，學生通過一系列的驗證、綜合、設計類型實驗實踐，進攻與防御比賽等方式，以創(chuàng)新型實驗研究，掌握計算機信息安全技術的基本理論知識和實操技能，強化對知識的理解掌握和靈活運用，解決實際應用中的問題[7-8]。學校堅持基礎研究與應用研究并重，決心創(chuàng)新人才培養(yǎng)模式。通過不斷更新實驗教學理念，樹立現(xiàn)代教育思想和觀點，創(chuàng)新實驗教學課程，開發(fā)實驗教學應用輔助軟件，將現(xiàn)代信息技術手段應用于網絡信息安全專業(yè)的教學和科研，注重培養(yǎng)學生信息安全理論與實踐相結合的綜合能力，注重培養(yǎng)本科學生實事求是的科學態(tài)度和勇于開拓的創(chuàng)新意識，以利于創(chuàng)新型、應用型、復合型等各類人才的培養(yǎng)；更新教學內容，提高教學水平，促進最新實踐成果向教學層面轉化；總之，使其成為全省相同研究領域的專門人才庫和人才培養(yǎng)、培訓基地。如圖1所示，網絡信息安全學習基本知識，學生畢業(yè)后就業(yè)的基本方向。計算機網絡信息安全專業(yè)主要是為各類企事業(yè)單位、政府機構和IT行業(yè)，培養(yǎng)道德、智力、身體、全面發(fā)展，有良好的綜合素質和信息安全的基礎理論知識，并掌握信息安全產品的安裝和調試、數(shù)據(jù)庫的安全管理、網絡病毒預防、網站安全管理、防火墻安全策略研究和配置，安全風險評估和測試等基本技術，能在各類企事業(yè)單位、政府部門從事計算機信息安全管理員、網絡管理員、信息安全工程師，電子政務、電子商務部門的工作和其他工作,也能在互聯(lián)網從事信息安全產品營銷和技術支持服務的高質量的專業(yè)人才[9]。