網絡信息安全總結匯總十篇

序論：好文章的創作是一個不斷探索和完善的過程，我們為您推薦十篇網絡信息安全總結范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

篇（1）

為進一步加強全委網絡信息系統安全管理工作，我委成立了網絡和信息安全督查自查領導小組，由主任任組長，副主任任副組長，綜合股張俊為成員。做到分工明確,責任具體到人。制定了自查方案，嚴格按照自查目錄情況表進行了自查。

二、我委網絡安全現狀

1、網絡安全方面。我委配備了防病毒軟件，采用了強口令密碼、數據庫存儲備份、移動存儲設備管理、數據加密等安全防護措施，明確了網絡安全責任，強化了網絡安全工作。

2、信息系統安全方面。實行領導審查簽字制度,凡上傳網站的信息，須經有關領導審查簽字后方可上傳。

3、日常管理方面。切實抓好外網、網站和應用軟件“五層管理”，確保“計算機不上網，上網計算機不”，嚴格按照保密要求處理光盤、硬盤、U盤、移動硬盤等管理、維修和銷毀工作。

4、硬件設備情況。硬件設備使用合理，軟件設置規范，設備運行狀況良好。我委每臺終端機都安裝了防病毒軟件，系統相關設備的應用一直采取規范化管理，硬件設備的使用符合國家相關產品質量安全規定，單位硬件的運行環境符合要求，打印機配件、色帶架等基本使用設備原裝產品。

5、通訊設備運轉正常。我委網絡系統的組成結構及其配置合理，并符合有關的安全規定；網絡使用的各種硬件設備、軟件和網絡接口也是通過安全檢驗、鑒定合格后才投入使用的，自安裝以來運轉基本正常。

6、嚴格管理、規范設備維護。我委對電腦及其設備實行“誰使用、誰管理、誰負責”的管理制度。在管理方面我們一是堅持“制度管人”。二是強化信息安全教育、提高員工計算機技能。同時在委開展網絡安全知識宣傳，使全體職工意識到計算機安全保護是“三防一保”工作的有機組成部分，而且在新形勢下，計算機犯罪還將成為安全保衛工作的重要內容。

三、網絡安全存在的不足及整改措施

我們在自查過程中發現了一些管理方面存在的薄弱環節，今后還要在以下幾個方面進行改進：

1、對于線路不整齊、暴露的，立即對線路進行限期整改，并做好防鼠、防火安全工作。

篇（2）

一、網絡安全管理：我院的網絡分為互聯網和院內局域網，兩網絡實現物理隔離，以確保兩網能夠獨立、安全、高效運行。

重點抓好“三大安全”排查。

1.硬件安全，包括防雷、防火、防盜和UPS電源連接等。醫院HIS服務器機房嚴格按照機房標準建設，工作人員堅持每天巡查，排除安全隱患。X光室、檢驗室都有UPS電源保護，可以保證短時間斷電情況下，設備運行正常，不至于因突然斷電致設備損壞。

2.網絡安全:包括網絡結構、密碼管理、IP管理、互聯網行為管理等；網絡結構包括網絡結構合理，網絡連接的穩定性，網絡設備（交換機、路由器、光纖收發器等）的穩定性。HIS系統的操作員每人有自己的登錄名和密碼，并分配相應的操作員權限，不得使用其他人的操作賬戶，賬戶施行“誰使用、誰管理、誰負責”的管理制度。疾病預防控制（含免疫規劃等）信息系統、婦幼健康信息系統都有專人負責操作，并簽訂安全承諾書。互聯網和院內局域網均施行固定IP地址，由醫院統一分配、管理，不允許私自添加新IP。

二、數據庫安全管理：我院目前運行的數據庫為HIS數據庫，是醫院診療、劃價、收費、查詢、統計等各項業務能夠正常進行的基礎，為確保醫院各項業務正常、高效運行，數據庫安全管理是極為有必要的。

數據庫容災備份是數據庫安全管理中極為重要的一部分，是數據庫有效、安全運行的最后保障，也是保障數據庫信息能夠長期保存的有效措施。我院采用的備份類型為完全備份，系統管理員手動將數據庫中數據備份到移動硬盤上。

三、軟件管理：目前我院在運行的軟件主要分為三類：HIS系統、常用辦公軟件和殺毒軟件。

篇（3）

Research Into the Information Security Status Quo at Home and Abroad

Lin Lin

（Information Security Department of the Patent Office Beijing 100088）

【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis， for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect， standardization of information security system provides some reference opinions.

【 Keywords 】 information security； planning； specification； perfect； information system

1 引言

在當今全球一體化的環境中，信息的重要性被廣泛接受，信息系統在商業和政府組織中得到了真正的廣泛的應用。許多組織對其信息系統不斷增長的依賴性，加上在信息系統上運作業務的風險、收益和機會，使得信息安全管理成為信息化管理越來越關鍵的一部分。面對越來越嚴峻的安全形勢，世界各國高度重視信息安全保障。2015年已然過半，在安全行業，不同規模的攻擊者，無論是技術還是組織都在快速提升。相比之下美國信息安全保障體系建設比較完善，信息保障已成為美軍組織實施信息化作戰的指導思想。

國際上信息安全標準化工作興起于20世紀70年代中期，80年代有了較快的發展，90年代引起了世界各國的普遍關注。目前世界上有近300個國際和區域性組織制定標準或技術規則，與信息安全標準化有關的組織主要有幾個：ISO（國際標準化組織）、IEC（國際電工委員會）、ITU（國際電信聯盟）、IETF（Internet工程任務組）等。除了上述標準組織，世界各國的官方機構和行業監管機構還有許多信息安全方面的標準、指引和建議的操作實踐。

2 國外IT新技術信息安全

隨著全球信息化浪潮的不斷推進，信息技術正在經歷一場新的革命，使社會經濟生活各方面都發生著日新月異的變化。虛擬化、云計算、物聯網、IPv6等新技術、新應用和新模式的出現，對信息安全提出了新的要求，拓展了信息安全產業的發展空間。同時，新技術、新應用和新模式在國外市場的全面開拓將加快國外信息安全技術創新速度，催生云安全等新的信息安全應用領域，為國外企業與國際同步發展提供了契機。

2.1 云計算

“云安全”是繼“云計算”、“云存儲”之后出現的“云”技術的重要應用，已經在反病毒軟件中取得了廣泛的應用，發揮了良好的效果。在病毒與反病毒軟件的技術競爭當中為反病毒軟件奪得了先機。云安全聯盟CSA是在2009年的RSA大會上宣布成立的，云安全聯盟成立的目的是為了在云計算環境下提供最佳的安全方案。同時云安全聯盟列出了云計算的七大安全風險：（1）數據丟失/泄漏；（2）共享技術漏洞；（3）內部控制；（4）賬戶、服務和通信劫持；（5）不安全的應用程序接口；（6）沒有正確運用云計算；（7）透明度問題。

2.2 虛擬化

咨詢公司Gartner將虛擬化技術列為2013年十大戰略技術第一位，而在2014年初預測中，更是大膽斷言到2015年20%的企業將不再擁有IT資產，因為多個內在關聯的趨勢正在推動企業去逐步減少IT硬件資產，這些趨勢主要是虛擬化、云計算服務等。而虛擬化技術，作為云計算的一個支撐技術，必將成為未來最重要的最值得研究的IT技術之一。雖然目前針對各組件安全的保護措施不少，但是從CVE的公告中可以看出安全威脅仍然存在。目前針對虛擬化環境的主要威脅有三類：逃逸威脅、流量分析與隱蔽信道以及Host OS與Guest OS之間的共享問題。

2.3 物聯網

物聯網和互聯網一樣，都是一把“雙刃劍”。物聯網是一種虛擬網絡與現實世界實時交互的新型系統，其特點是無處不在的數據感知、以無線為主的信息傳輸、智能化的信息處理。根據物聯網自身的特點，物聯網除了面對移動通信網絡的傳統網絡安全問題之外，還存在著一些與已有移動網絡安全不同的特殊安全問題。這是由于物聯網是由大量的機器構成，缺少人對設備的有效監控，并且數量龐大，設備集群等相關特點造成的，這些特殊的安全問題主要有幾個方面：（l）物聯網機器/感知節點的本地安全問題；（2）感知網絡的傳輸與信息安全問題；（3）核心網絡的傳輸與信息安全問題；（4）物聯網應用的安全問題。

2.4 IPv6

為適應Intemet的迅速發展及對網絡安全性的需要，由IETF（The Internet Engineer Task Force）建議制定的下一代網際協議（IPNextGeneration Protocol，IPng），又被稱為IP版本6（1Pv6），除了擴展到128位地址來解決地址匱乏外，在網絡安全上也做了多項改進，可以有效地提高網絡的安全性。

由于IPv6與IPv4網絡將會，網絡必然會同時存在兩者的安全問題，或由此產生新的安全漏洞。已經發現從IPv4向IPv6轉移時出現的一些安全漏洞，例如黑客可以使用IPv6非法訪問采用了IPv4和IPv6兩種協議的LAN的網絡資源，攻擊者可以通過安裝了雙棧的使用IPv6的主機，建立由IPv6到IPv4的隧道，繞過防火墻對IPv4進行攻擊。

3 國外信息安全發展趨勢

據Gartner分析，當前國際大型企業在信息安全領域主要有幾個發展趨勢：（1） 信息安全投資從基礎架構向應用系統轉移；（2）信息安全的重心從技術向管理轉移；（3）信息安全管理與企業風險管理、內控體系建設的結合日益緊密；（4）信息技術逐步向信息安全管理滲透。結合大型企業信息安全發展趨勢，國際各大咨詢公司、廠商等機構紛紛提出了符合大型企業業務和信息化發展需要的信息安全體系架構模型，著力建立全面的企業信息安全體系架構，使企業的信息安全保護模式從較為單一的保護模式發展成為系統、全面的保護模式。

4 國外信息安全總結

信息安全在國外已經上升到了國家戰略層次，國外的信息安全總體發展領先于國內，特別是歐美，研究國外的信息安全現狀有助于我國的信息安全規劃。國外的主流的信息安全體系框架較多，都有其適用范圍和缺點，并不完全符合我國現狀，可選取框架的先進理念和組成部分為我國所用，如IATF的縱深防御理念和分層分區理念、ISO27000的信息安全管理模型、IBM的安全治理模塊等。

5 國內信息安全綜述

目前，國家開始高度重視信息安全問題，以等級保護和分級保護工作為主要手段，加強我國企事業單位的信息安全保障水平。 目前我國信息于網絡安全的防護能力處于發展的初級階段，許多應用系統處于不設防狀態，信息與網絡安全，目前處于忙于封堵現有信息系統的安全漏洞，要解決這 些迫在眉睫的問題，歸根結底取決于信息安全保障體系的建設。

6 國內信息安全標準

國內的安全標準組織主要有信息技術安全標準化技術委員會（CITS）、中國通信標準化協會（CCSA）下轄的網絡與信息安全技術工作委員會、公安部信息系統安全標準化技術委員會、國家保密局、國家密碼管理委員會等部門。

在信息安全標準方面，我國已了《信息技術 安全技術 公鑰基礎設施在線證書狀態協議》、《信息技術 安全技術 公鑰基礎設施證書管理協議》等幾十項重要的國家信息安全基礎標準，初步形成了包括基礎標準、技術標準、管理標準和測評標準在內的信息安全標準體系框架。

7 國內IT新技術信息安全

7.1 云計算

目前我國的云計算應用還處于初始階段，關注的重點是數據中心建設、虛擬化技術方面，因此，我國的云安全技術多數集中在虛擬化安全方面，對于云應用的安全技術所涉及的還不多。雖然當前眾多廠商提出了各種云安全解決方案，但云安全仍處于起步階段，除了可能發生的大規模計算資源的系統故障外，云計算安全隱患還包括缺乏統一的安全標準、適用法規、以及對于用戶的隱私保護、數據、遷移、傳輸安全、災備等問題。

7.2 虛擬化

由于虛擬化技術能夠通過服務器整合而顯著降低投資成本，并通過構建內部云和外部云節省大量的運營成本，因此加速了虛擬化在全球范圍的普及與應用。目前許多預測已經成為現實：存儲虛擬化真正落地、高端應用程序虛擬化漸成主流、網絡虛擬化逐漸普及、虛擬化數據中心朝著云計算的方向大步邁進、管理工具比以往更加關注虛擬數據中心。在虛擬化技術應用方面，企業桌面虛擬化、手機虛擬化、面向虛擬化的安全解決方案、虛擬化推動綠色中心發展等領域也取得了長足進步，發展勢頭比之前預想的還要迅猛。

7.3 IPv6

我國IPv6標準整體上仍處于跟隨國際標準的地位，IPv6標準進展與國際標準基本一致，在過渡類標準方面有所創新（如軟線技術標準和 IVI技術標準等），已進入國際標準。中國運營企業在IPv6網絡的發展，奠定了中國在世界范圍內IPv6領域的地位，積累了一定的運營經驗。但總體來看，我國IPv6運營業發展緩慢，主要體現在IPv6網絡集中在骨干網層面，向邊緣網絡延伸不足，難以為IPv6特色業務的開發和規模商用提供有效平臺。此外，由于運營企業積極申請IPv4地址，或采用私有地址，對于發展IPv6用戶并不積極，直接影響了其他產業環節的IPv6投入力度。

8 國內信息安全發展趨勢

隨著信息技術的快速發展和廣泛應用，基礎信息網絡和重要信息系統安全、信息資源安全以及個人信息安全等問題與日俱增，應用安全日益受到關注，主動防御技術成為信息安全技術發展的重點。

第一，向系統化、主動防御方向發展。信息安全保障逐步由傳統的被動防護轉向"監測-響應式"的主動防御，產品功能集成化、系統化趨勢明顯，功能越來越豐富，性能不斷提高；產品問自適應聯動防護、綜合防御水平不斷提高。

第二，向網絡化、智能化方向發展。計算技術的重心從計算機轉向互聯網，互聯網正在逐步成為軟件開發、部署、運行和服務的平臺，對高效防范和綜合治理的要求日益提高，信息安全產品向網絡化、智能化方向發展。網絡身份認證、安全智能技術、新型密碼算法等信息安全技術日益受到重視。

第三，向服務化方向發展。信息安全內容正從技術、產品主導向技術、產品、服務并重調整，安全服務逐步成為發展重點。

9 國內信息安全總結

國內的信息安全較國外有一定距離，不過也正在快速趕上，國內現在以等級保護體系和分級保護體系為主要手段，以保護重點為特點，強制實施以提高對重點系統和設施的信息安全保障水平，國內的信息安全標準通過引進和消化也已經初步成了體系，我國在規劃時，需考慮合規因素，如等級保護和分級保護。國內的信息安全體系框架較少，主要是等級保護和分級保護，也有國內專家個人推崇的框架，總體來講，以合規為主要目的。

參考資料

[1] 中華人民共和國國務院.中華人民共和國計算機信息系統安全保護條例.1994.

[2] 公安部，國家保密局，國家密碼管理局，國務院信息化工作辦公室.信息安全等級保護管理辦法.2007.

[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.

[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.

[5] Trustwave .2012 Global Security Report，2012.

篇（4）

近年來，在互聯網內容不斷革新的新形勢下，網絡安全委員會始終認真貫徹落實各項法律法規的相關要求，結合實際情況，不斷完善網絡安全工作機制，提高基礎管理和專業隊伍技能水平，同時積極開展網絡安全知識技能宣傳和普及，努力提高安全管控能力，切實保障綠色、健康的互聯網接入環境。現將2019年重點工作匯總如下：

1. 強化組織建設，堅決打擊違規網站及違法犯罪行為

過去的一年，網絡安全工作委員會帶頭強化自身組織建設，完善內部管理制度與規范；對有關單位接入網站的備案信息積極核查，緊緊圍繞違法犯罪內容進行監督管理，及時接收并處理違法和不良信息舉報，并積極協助執法機關對涉案網站調查取證。2019年全年，清理違規網站16083個，涉及鏈接2946013條，協助執法單位調查取證79起，有效處理不良信息舉報7965個。

2. 積極參與2019河南省互聯網大會、網絡安全競賽等活動

為加快科技創新，發展數字經濟，助推實體經濟與傳統產業數字化轉型，聚焦大數據時代網絡安全、為互聯網發展保駕護航，網絡安全工作委員會積極參加2019河南省第六屆互聯網大會，并在主管部門領導的支持下參與承辦了“安全護航  數創未來”分會；分會場上特邀中國科學院計算技術研究所大數據研究院院長王元卓、北京賽博英杰科技有限公司創始人兼董事長譚曉生、沃通電子認證服務有限公司 CTO王高華、阿里云華中大區安全總監馬睿博、百度安全總經理馬杰、中國網絡空間安全協會副理事長杜躍進等網絡安全領域專家及學者，分別作《大數據驅動數字經濟》、《智能化安全運營，護航數字化未來》《解讀<密碼法>，數據加密保護是重點》《構安全生態，建AI未來》《云安全應用的新實踐》《大安全亟待升級》等主題演講，深度探討以云計算、大數據、人工智能、5G等新一代信息技術為核心，以新時期網絡安全為基石，助力企業數字化轉型，構建并全力護航數字經濟時代。

除此之外，網絡安全委員會始終重視并堅持培養技術人才，2019年7月積極參加主管部門組織的網絡安全競賽，并積極為賽場提供場地、設備及網絡環境等，以確保比賽的順利進行。

3. 全力保障國家重要會議和活動安保工作

網絡安全工作委員會積極開展安全教育學習工作，組織相關單位學習安全相關的法律法規，并開展考核。在2019年民族運動會和70周年大慶安保期間，及時將安保工作的目的、要求和內容傳達到相關負責人，以確保安保工作的落地與執行。除此之外，安保期間相關企業單位專設專人值班，實行7*24工作制度，并適時信息安全安保工作的通知，設置緊急信息接收、反饋與處理通道，第一時間接收上級主管單位的指令、處理并反饋；全力完成重點階段的安全保障工作。

二、目前存在的問題和建議

網民的網絡安全技能仍需提高

自《網絡安全法》普及以來，明顯感覺到網民的網絡安全意識有了顯著提升，但是有些用戶雖重視，但苦于未配置技術人員或技術人員能力達不到要求，導致即使知道網站存在安全隱患也不能及時得到解決。希望主管部門在宣傳安全意識的基礎上，增加一些基礎安全防范技能方面的內容。

三、2020年工作設想

當下，隨著《網絡安全法》的普及，網民對打擊網絡有害信息和不法行為的呼聲更為強烈,尤其是數據泄露、釣魚網站等詐騙事件的頻發，維護網絡安全已是迫在眉睫、刻不容緩。基于此，2020年將從以下幾個方面開展網絡安全工作：

1. 做好自我規范，加強組織溝通

委員會將繼續完善組織建設，通過組織會議、行業沙龍等形式為會員單位創造更多的交流機會，集中發揮各會員單位的優勢，共同促進我省互聯網行業健康，共同參與維護我省網絡安全。除此之外，委員會始終堅持“堅決打擊違規網站及違法犯罪行為”的決心，聯合各成員單位，對發現可疑線索及時上報主管部門，并積極協助其鎖定證據。

2. 堅持投入，大力培養技術人才

2020年委員會將繼續強化網絡安全隊伍建設，完善網絡與信息安全專業的學習、培訓及考核平臺；并積極組織相關單位參加各項網絡安全技能大賽，切實提升網絡安全保障能力和水平。

3. 做好重要時期的網絡安全保障工作

2020年，國家網絡安全宣傳周將在鄭州舉辦，網絡安全工作委員會將全力領導各相關單位各盡其責，充分發揮“警務室”等機構在政企間的橋梁作用，共同為該活動做好準備工作，。

篇（5）

1引言

隨著科學技術的不斷發展，網絡信息技術更是在各大企業得以應用。可以說信息技術是一把雙刃劍，在給企業帶來巨大利益的同時也帶來了很大的風險。而供電企業是國家的重要基礎設施的行業，它的安全更是關乎著整個國家的電力發展甚至說電力企業發生任何意外都會影響到我們整個國家的經濟、國際地位等各方面的發展。因此說，供電企業的信息安全不容小覷。供電企業的信息安全隱患主要分為內因和外因。供電企業在抵擋外來的信息侵略時會設置各種軟、硬件措施，這的確對于抵擋外來侵略起到了一定的作用。但是對于內部來說這就毫無意義了。內部信息安全得不到保障比外來侵略更加可怕。所以在處理供電企業的信息安全問題上一定要謹慎認真。

2信息安全隱患

2.1信息安全的定義

信息安全總的來說是指信息在傳播過程中能夠不受外界的干擾，保證信息的安全、真實、可靠、保密以及完整性。并且能夠完好無損的傳輸到目的地。

2.2隱患的定義

隱患分為潛在隱患、動態隱患、靜態隱患等各種，主要是指事故發生的原因。

2.3隱患的影響

有的隱患并不會造成很大的影響，這種隱患危險性相對較低；有的隱患雖然不會導致很大的危險發生，但是仍然會對企業造成一定的不良影響：還有的隱患就相對危險了，會對企業造成相當程度的損害，如果是信息安全得到破壞，企業的各種有效信息很有可能得到泄露；最為嚴重的一種就是會對企業造成不可挽回的嚴重破壞，甚至會使得整個企業系統癱瘓。

2.4信息安全隱患的形成

（1）通過對“物”的管理不善造成的各種影響：信息的傳播需要通信電路，而通信電路出現問題如果沒有及時發現并治理就會造成通信不便。在信息系統中不管是軟硬件的老化或者失效也會造成信息傳播不便。（2）通過對“人”的管理不善造成的各種影響：人是最難把握的一類高級生物，既然是人為操作就不可能一直不犯錯誤。而網絡這個大系統又是由多方面的人員共同完成。在信息傳輸過程中，有些操作人員可能并沒有很清楚自身的操作能力，那么在操作過程中就會出現各種各樣的問題。

3關于信息安全隱患的排查

3.1排查的目的

隱患如果沒有及時消除就會造成很嚴重的后果，如果是輕度隱患造成的影響還相對小一些，但是如果是重度隱患就會造成無法挽回的后果。所以說，排查隱患的存在是非常有必要的。排查隱患的目的主要是在于能夠及早發現各種嚴重隱患，在關鍵部位重點關注，不讓檢查工作浮于表面，認真負責信息安全的檢查。排查隱患的工作做好有利于企業提高自身網絡系統的安全性和可靠性。供電企業的信息安全排查的第一步做好了才有機會更好地完成后邊的步驟，有利于供電企業持續正常的為國家社會和人民服務。

3.2排查的范圍

排查分為終端、系統排查，設備、網絡排查，人員、管理排查。排查過程中更是要認真仔細，決不能放過任何可疑的細節，要做到全面、細致。

4關于隱患的治理

4.1排查方法

信息安全不是兒戲，需要專業的知識來對安全隱患進行排查。主要分為以下兩個方法：督查信息安全、排查信息隱患。我們重點來說一下督查信息安全。督查信息安全，顧名思義，就是對信息進行監督和檢查。主要分為日常監督、專項監督、年度監督。

4.2排查流程

根據國家的法律法規，在對信息安全隱患進行排查時，也要遵循一定的法規流程。信息安全的排查工作也是要由專業部門統一組織領導進行。由專門的信息監督人員、檢查人員進行排查。由專門的技術人員對排查結果進行分析總結并且分類整理所得到的信息。

4.3隱患的治理

（1）國家相關法律部門制定相應的法律法規，對信息安全提出明確的保護方案和違反這一法規所會受到的處罰。并對破壞供電企業信息安全的行為高度重視，重點處置。（2）在隱患發生前有專業技術人員對各個方面進行完美的檢查，并且制定出各種意外方案以備不時之需。（3）對于在信息傳播過程中由于設備問題所出現的問題要由專業的技術人員加以修正，而且在此之前，信息技術監督小組成員應當提前預料到各種情況，這樣才能對在各種情況發生時臨危不亂。（4）定期檢查。不管是什么季節、什么時間都應該有相關的技術人員對供電企業的各種信息、通信系統是否正常運行進行檢查維修。如有必要，還應該開展各種演練活動，提高值班人員的素質和應變能力。（5）加強培訓。要對供電企業內部人員進行安全教育和技術培訓，不僅提高理論水平還有實踐能力，加強安全意識。

5結束語

信息安全是現當代各個企業必須面臨的重要問題，而供電企業作為國家的重點基礎設施企業更是要加以高度重視。信息安全不僅僅是信息部門的事情更是企業所有人的問題。供電企業要做到全員參與，制定更加合理的制度，不斷提高信息安全水平。

篇（6）

中圖分類號：TP393.08

中小企業是整個經濟社會的主要組成部分，由于它依然在發展的初期過程中，因此中小企業并沒有更多的經歷和資金投入到網絡信息技術的管理當中。因為網絡信息安全給中小企業造成的困擾也不斷發生，實際上，在我國中小企業信息丟失的情況時有發生，我國不少報紙也在不斷呼吁中小企業增加企業內部網絡安全管理功能和投入。本文就中小企業所面臨的網絡安全問題進行了分析。

1中小企業網絡安全問題

從當前企業的內外部網絡中，我們可以認為企業內部信息安全網絡體系需要所面臨的安全問題有如下內容：

1.1外網信息安全

中小企業主要依靠快速獲得信息、快速轉型、快速提供各種解決方案而獲得訂單或資源。然而當前快速信息的來源主要是從網絡中而來，因此互聯網的信息交流成為了中小企業發展的主要工具，而互聯網內部的黑客攻擊、病毒傳播、垃圾郵件、蠕蟲攻擊等已經成為威脅中小企業外網的主要內容。

1.2內網信息安全

在摒棄了外網威脅之外，企業的員工不少利用網絡處理私人事務，而對計算機進行不當使用，因而造成了企業網絡資源大量消耗，帶病毒的U盤、光盤等介質在相互電腦之間傳播，間諜軟件在不斷復制企業的信息，這都使得不少企業內部信息在網絡之間泄露給競爭對手。

1.3企業內部網絡之間信息安全

隨著中小企業的不斷壯大和發展，不少企業已經形成了企業總部、分支機構、移動辦公人員、倉儲人員都分開辦公的互動運營模式，而在移動辦公人員所使用的互聯網電腦之間的信息共享安全成為中小企業在成長過程之中不得不考慮的問題。

2防范對策

企業的管理人員應該知道，要真正防止中小企業網絡安全問題的發生是不可能的，這是因為隨著網絡安全防護升級過程，黑客侵入、病毒感染、木馬傳送等技術也在不斷更新。因此要真正提升企業網絡安全更應該從根本上進行，即對企業出入口信息進行嚴格控制和管理，對員工進行管理和教育，并實時對網絡系統進行漏洞和安全問題檢查，及時提出相應的安全評估風險，提出補救措施，并有效的防止黑客的入侵和病毒擴散。具體而言要做到實施企業防火墻控制、入侵檢查防御、網絡安全漏洞修復、重要文件及內部資料管理等方式。

2.1防火墻實施方案

企業應當從網絡的內部考慮，對于企業內外部使用合適的防火墻管理軟件，而本文所建議的防火墻軟件應當設置為兩臺防火墻，一臺防火墻對業務網與企業內網進行隔離，另一臺防火墻對Internet與企業內網之間進行隔離，其中DNS、郵件等對外服務器連接在防火墻的DMZ區與內、外網間進行隔離。

防火墻主要的功能在于保護整個網絡之間數據信息傳遞的交流安全，因為它應當設置的安全過濾權限為：對網絡數據包的協議、端口、源目的/目標地址之間的審核和管理，嚴格審核外網用戶的非法登錄，限制和記錄外網用戶的數據包傳遞。及時防范外部的服務攻擊，定期檢測和查看防火墻的訪問日志，對防火墻管理人員的嚴格控制。

防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。

2.2入侵檢測方案

在核心交換機監控端口部署CA入侵檢測系統(eTrust Intrusion Detection)，并在不同網段(本地或遠程)上安裝由中央工作站控制的網絡入侵檢測，對網絡入侵進行檢測和響應。

入侵檢測系統實時捕獲內外網之間傳輸的所有數據，以動態圖形方式展現出來，使管理員能夠時刻掌握當前內外網之間正在進行的連接和訪問情況；運用協議分析和模式匹配方法，可以有效地識別各種網絡攻擊和異常現象，如拒絕服務攻擊，非授權訪問嘗試，預攻擊探測等；當攻擊發生時，可根據管理員的配置以多種方式發出實時報警；對于嚴重的網絡入侵事件，也可由入侵檢測引擎直接發出阻斷信號切斷發生攻擊的連接，還可以動態地調整防火墻的防護策略，使得防火墻成為一個動態的智能的防護體系。

2.3網絡安全漏洞

不少企業內部為了便于交流，紛紛架設了WWW、郵件、視頻服務器，而其中最重要的是企業內部的財務系統服務器，對于管理人員而言，無法及時有效的了解每個服務器之間和網絡內部的安全缺陷和漏洞管理，因此使用漏洞掃描和及時修復漏洞、對當前漏洞進行分析和評估工作，成為增強網絡安全性的主要方法。

2.4重要文件及內部資料管理

對于中小型企業定期進行重要資料的管理和備份是很有必要的，這能夠防止企業內部數據因為各種軟硬件故障、病毒侵襲和黑客破壞而導致整個系統資源崩潰造成重大的損失。因此中小企業應當積極的選用各種功能完善，使用靈活的備份軟件進行資源的備份和恢復，全面的保護數據的安全。

在服務器、企業內部機子在運行重要數據時，要實時動態加密，自覺的對各種文件進行分級、分類管理、特別對重要的系統文件、重要的可執行文件進行寫保護、并使用安全有效的數據存儲、備份及時，必要時采用物理或邏輯隔離措施來保證信息資源的安全和穩定。

3總結

網絡技術的飛速發展，極大地改變了人們的生活方式，中小企業在享受網絡技術帶來好處的同時，也面臨著日益突出的安全問題。筆者針對昆明市某普洱茶城在分布模式下制定的安全防護策略，探討了中小企業的網絡安全問題。網絡安全防護是一個綜合性的工程，無論采取何種措施，安全總是相對的，因而作為網絡安全管理員，應隨網絡安全狀況及安全需求的變化，適度的調整安全策略，這樣才能做到有的放矢

參考文獻：

[1]張宏.網絡安全基礎[M].機械工業出版社,2004(1):21-24.

[2]Anne Carasik-Henmi等.防火墻核心技術精解[M].中國水利水電出版社,2005(1):10-14.

篇（7）

他們坦然面對記者說出了這背后的故事。

國稅總局在風險評估實踐中總結出的差距分析法

有句話是這么說的：道路是什么，道路是人在沒有路的地方用腳踩出來的。

人生的道路是這樣，信息安全之路也是這樣。當安全威脅成為信息化進程最大阻礙的時候，如何踩出一條網絡信息安全之路，就成為政府主管部門思考的問題。

2006年，為貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號文件)，形成與國際標準相銜接的中國特色的信息安全標準體系，以更好應對未來日益嚴峻的信息安全威脅，國務院信息化工作辦公室會同相關部門，組織了三項信息安全試點，包括：電子政務信息安全試點、信息安全風險評估試點、信息安全管理標準應用試點。總共有三十余家試點單位參加了相關試點工作。

因為涉及國家信息安全未來標準和技術道路的探索，所有的試點單位一直都仿佛蒙上一層神秘的面紗。這些探索者究竟做了一些什么工作？它們的先行又為我國信息安全事業踏出什么樣的實踐之路？近日，在國信辦召開的全國地方信息安全處長會議間歇，記者走近本次試點工作六個優秀試點單位代表，揭開了一直罩在這些試點單位頭上那層神秘的面紗，看到了他們的努力和汗水，以及試點工作探*索出來的寶貴經驗。政務馳入安全互聯網模式

試點方向：電子政務信息安全

訪談人物：河南省濟源市信息辦副主任焦依平

電子政務是國家信息化的重中之重，而信息安全又是電子政務順利完成的重中之重。

為貫徹落實中辦發27號文件精神，研究解決電子政務信息安全建設和管理中的一些共性問題，探索電子政務信息安全保障方法，國信辦會同國家保密局、國家密碼管理局、公安部十一局，從2005年10月開始，在廣東、河南、天津、重慶4個省市開展了電子政務信息安全試點。

這4個試點具體方向各有不同，其中河南濟源市探索的方向是如何基于互聯網開展電子政務建設、保障信息安全問題。“我們按照‘保安全，促應用’的思路，構建了基于互聯網的電子政務信息安全保障體系，探索出了一條低成本建設電子政務的新路子。”焦依平現在談起試點，依然抑制不住激動的心情。

焦依平介紹說，濟源市通信光纖現已覆蓋到村，政務部門全部接入了互聯網，但是統計下來，濟源市政務信息中部分總量不超過3%。如果僅為了3%的信息傳遞投入巨資建專網，顯然投入和效益不能平衡，這也與電子政務建設的初衷相違背。為此，濟源市按照國信辦和河南省信息辦的要求，不拉專線，完全基于互聯網，開展電子政務建設。

濟源市試點系統建設內容包括以下幾項：一是基于互聯網建設連接全市所有黨政部門和鄉鎮的電子政務網絡；二是在互聯網上建設政務辦公、項目審批管理、12345便民熱線、新農村信息服務等4個應用系統；三是在進行網絡和應用系統建設的同時開展信息安全試點，建設基于互聯網電子政務信息安全支撐平臺。

那么，如何真正用技術實現政務網絡互聯網辦公的安全需求呢？焦依平介紹說，試點工程遵循信息安全系統工程思想，按照“適度安全，促進應用，綜合防范”的原則和等級保護的要求，采用集成創新的技術路線，綜合運用以密碼為核心的信息安全技術，合理配置信息安全保密設備和安全策略，建設一個技術先進、安全可靠的基于互聯網的電子政務信息安全支撐平臺，形成一體化的分級防護安全保障體系，為電子政務提供可靠、有效的安全保障。

從安全技術實現上，據焦依平介紹，濟源市試點工程的安全支撐平臺涉及網絡安全和應用安全兩部分，本次試點網絡安全系統共建設7個安全子系統：一是VPN系統，由VPN密碼機、VPN客戶端和VPN管理系統組成，共同完成域間安全互聯、移動安全接入、用戶接入控制與網絡邊界安全等功能，其中中心機房的VPN密碼機帶有防火墻功能；二是統一身份認證與授權管理系統，完成用戶統一身份認證、授權管理等功能；三是網絡防病毒系統，部署于安全服務區，完成網絡防病毒功能；四是網頁防篡改系統，部署于政府網站，提供網站立即恢復的手段和功能；五是入侵檢測系統，部署于中心交換機，對網絡入侵事件進行主動防御；六是網絡審計系統部署于中心交換機，對網絡事件進行記錄，方便事后追蹤；七是桌面安全防護系統，部署在用戶終端，提供網絡防護、病毒防護、存儲安全、郵件安全等一體化的終端安全保護。

對于目前試點效果，焦依平認為，從實際效果來說，一是低成本建設了安全的政務網絡，實際投入620萬元，比原計劃專網方式預算總投資節約48.3%；二是實現了安全政務辦公和可信政務服務，全市各部門已100%實現了安全互聯，網絡可達鄉鎮，試點村；三是實現了安全的移動辦公，打破了電子政務應用只能在本地訪問的局限。而從長遠來講，濟源市已經初步建成安全、開放、實用的全面基于互聯網的電子政務系統。

電子政務內外互通

試點方向：電子政務信息安全

訪談人物：廣東省信息中心副主任曾強

目前，妨礙電子政務系統互聯互通的主要原因就是由此帶來的信息安全問題。跟濟源市試點方向不同，廣東省的試點方向主要是通過等級保護，探索解決省、市、縣(區)電子政務系統的信息共享與互聯互通問題。曾強介紹說，面對國信辦試點布置的這個大命題，廣東省將試點命題細化成以下幾個方面：由廣東省民政廳及東莞、深圳兩市民政局以及地下救助站完成民政4個業務系統縱向互聯互通試點；由省政府辦公廳完成視頻會議系統省府門戶網站試點；由佛山市政府完成財稅庫銀互聯互通系統試點；由江門市政府完成開放互聯環境下的信息安全解決方案試點；由佛山市南海區政府完成大社保6個分系統橫向互聯互通試點。

關于如何解決在不同的電子政務系統之間，安全實現互聯互通以及資源共享問題，曾強介紹說，試點工作中，廣東省綜合運用等級保護和風險評估相結合的方法，確定了解決互聯互通問題的基本思路：一是明確系統的重要程度，確定系統安全等級，采取與系統安全等級相適應的安全保護措施；二是按照有條件互聯、共享可控制的原則，確定需要共享的系統和應用以及需要共享的數據，保證只共享那些確實需要共享的數據，以保護系統中原有信息的安全；三是在進行系統互聯的部門之間建立共同的安全管理機制，明確系統互聯后的安全管理責任、管理邊界、安全事件協同處理等機制；四是對系統互聯的安全風險進行評估，全面分析低安全等級的系統給高安全等級的系統帶來的安全風險；五是針對系統互聯的安全風險，確定關鍵的安全控制要素，如互聯邊界的訪問控制、系統互聯的安全傳輸等，并落實具體的安全措施，保障系統互聯、數據共享的安全。

在以上措施的執行下，廣東省取得了初步成功，形成了《廣東省電子政務系統定級規范》、《廣東省電子政務系統互聯互通安全規范》等地方指導性文件。

風險規避預先保障

試點方向：信息安全風險評估

訪談人物：國家稅務總局處長李建彬

上海市信息化委員會信息安全測評中心

總工程師應力

信息網絡，風險無處不在，防患于未然是上上之策。這也是風險評估安全保障的內涵所在。國信辦于2005年2月組織北京市、上海市、黑龍江省、云南省、中國人民銀行、國家稅務總局、國家電網公司、國家信息中心等地方和部門開展信息安全風險評估試點工作。

國家稅務總局在廣東地稅南海數據中心所進行的風險評估試點，最大的亮點就是具有創新精神的“差距分析法”。

李建彬在介紹廣東南海試點經驗時，將差距分析法用一句話概括，就是“通過找出安全目標與現實系統差距，從而得出風險分析報告”。在試點工作中，李建彬感觸最深的就是，要對系統生命周期的整個過程都持續不斷地引入風險評估，盡量避免“先運行，后評估”的亡羊補牢式工作流程，以降低信息系統整體的信息安全風險等級。此外，李建彬還提出在風險評估工作具體實施過程中必須重點考慮以下幾點：

首先是風險評估與等級保護有密切的關系。類別和級別都是信息系統的固有屬性，通過風險評估可以識別系統的類別和安全級別，從而落實“等級保護”這一國家政策。但是系統的安全級別不應該一刀切，可考慮將系統最高安全級別部分的安全等級作為系統的安全等級。其次是系統分析是系統安全評估的基礎工作。再次是行業性系統安全要求在風險評估中起決定作用，不同行業的系統有著不同的安全要求，必須為不同行業、不同類型的系統制定適應其特點的系統安全要求。最后，通過安全風險評估工作進一步完善系統安全總體設計。

上海市在很早的時候就開始對風險評估進行探索。2002年上海市就確立180家重點信息安全責任單位(2004年調整為163家)，涉及重要政府部門、公共事業單位、基礎網絡和涉及國計民生的重要信息系統。2006年，上海市了《上海市公共信息系統安全測評管理辦法》，又于2007年1月出臺了《上海市市級機關信息系統建設與管理指南》。之后，上海市信息委又出臺了關于風險評估工作的實施意見，明確建立自評估與檢查評估制度的原則、工作安排。

上海市信息安全測評中心總工程師應力博士在介紹上海市的風險評估實踐經驗時，多次強調要引導各單位進行自評估建設，讓信息安全風險評估成為政府及企事業信息安全建設的常態，在系統的設計階段、驗收階段、運行階段，都需要進行風險評估工作，形成“預防為主，持續改進”的風險評估機制。應力認為，對信息安全主管機關來說，風險評估是一種管理措施，通過風險評估，領導者可以了解信息系統的安全現狀，從而為管理決策提供依據。

信息安全重在管理

試點方向：信息安全管理標準應用

訪談人物：北京市海淀區信息辦主任張澤根

深交所ISMS項目組張興東

有專家提出：“信息安全系統是三分技術，七分管理。”可見信息安全管理在整個信息安全保障體系中的重要性。

國信辦網絡與信息安全組與全國信息安全標準化技術委員會共同于2006年3月開始，在北京市、上海市、國家稅務總局、中國證監會和武漢鋼鐵(集團)公司選取了相關單位，對國際上通用的，也是已經列入國家標準制、修訂計劃的兩個信息安全管理標準，即ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理使用規則》，組織了應用試點。

北京市海淀區信息辦張澤根主任在具體介紹北京市海淀區信息安全管理體系實踐經驗時，感觸最深的就是在參考國際標準ISO/IEC27001和ISO/IEC17799的基礎上，結合海淀區原有ISO9001管理體系，取得了事半功倍的實際效果。通過ISMS的運行實踐，海淀區信息辦建立了信息安全管理體系，為進一步通過ISO/IEC27001認證做了很好的準備，同時還對ISMS與風險評估和等級保護的關系進行了有益的探索。ISMS為解決海淀區信息安全問題，提供了良好的方法和管理機制，并且為政府的信息化建設通過避免安全事故和合理分配經費兩種方式很好地節約了建設經費。

篇（8）

在通信領域，信息安全尤為重要，它是通信安全的重要環節。在通信組織運作時，信息安全是維護通信安全的重要內容。通信涉及到我們生活的許多方面，小到人與人之間聯系的紐帶，大到國與國之間的信息交流。因此，研究信息安全和防護具有重要的現實意義。

一、通信運用中加強信息安全和防護的必要性

1.1搞好信息安全防護是確保國家安全的重要前提

眾所周知，未來的社會是信息化的社會，網絡空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點，如果信息安全防護工作跟不上，一個國家可能面臨信息被竊、網絡被毀、指揮系統癱瘓、制信息權喪失的嚴重后果。因此，信息安全防護不僅是未來戰爭勝利的重要保障，而且將作為交戰雙方信息攻防的重要手段，貫穿戰爭的全過程。一旦信息安全出現問題，可能導致整個國家的經濟癱瘓，戰爭和軍事領域是這樣，政治、經濟、文化、科技等領域也不例外。信息安全關系到國家的生死存亡，關系到世界的安定和平。比如，美國加利弗尼亞州銀行協會的曾經發出一份報告，稱如果該銀行的數據庫系統遭到網絡“黑客”的破壞，造成的后果將是致命的，3天就會影響加州的經濟，5天就能波及全美經濟，7天會使全世界經濟遭受損失。鑒于信息安全如此重要，美國國家委員會早在2000年初的《國家安全戰備報告》里就強調：執行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學說》，第一次把信息安全擺在戰略地位。并從理論和時間中加強信息安全的防護。近年來，我國也越來越重視信息安全問題，相關的研究層出不窮，為我國信息安全的發展奠定了基礎。

1.2我國信息安全面臨的形勢十分嚴峻

信息安全是國家安全的重要組成部分，它不僅體現在軍事信息安全上，同時也涉及到政治、經濟、文化等各方面。當今社會，由于國家活動對信息和信息網絡的依賴性越來越大，所以一旦信息系統遭到破壞，就可能導致整個國家能源供應的中斷、經濟活動的癱瘓、國防力量的削弱和社會秩序的混亂，其后果不堪設想。由于我國信息化起步較晚，目前信息化系統大多數還處在“不設防’，的狀態下，國防信息安全的形勢十分嚴峻。具體體現在以卜幾個方面：首先，全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解，對因忽視信息安全而可能造成的重大危害還認識不足，信息安全觀念還十分淡薄。因此，在研究開發信息系統過程中對信息安全問題不夠重視，許多應用系統處在不設防狀態，具有極大的風險性和危險性。其次，我國的信息化系統還嚴重依賴大量的信息技術及設備極有可能對我國信息系統埋下不安全的隱患。無論是在計算機硬件上，還是在計算機軟件上，我國信息化系統的國產率還較低，而在引進國外技術和設備的過程中，又缺乏必要的信息安全檢測和改造。再次，在軍事領域，通過網絡泄密的事故屢有發生，敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后，我國國家信息安全防護管理機構缺乏權威，協調不夠，對信息系統的監督管理還不夠有力。各信息系統條塊分割、相互隔離，管理混亂，缺乏與信息化進程相一致的國家信息安全總體規劃，妨礙了信息安全管理的方針、原則和國家有關法規的貫徹執行。

二、通信中存在的信息安全問題

2.1信息網絡安全意識有待加強

我國的信息在傳輸的過程中，特別是軍事信息，由于存在擴散和較為敏感的特征，有的人利用了這一特點采取種種手段截獲信息，以便了解和掌握對方的新措施。更有甚者，在信息網絡運行管理和使用中，更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此，我們更要深層次地加強網絡安全方面的觀念，認識到信息安全防護工作不僅僅是操作人員的“專利”，它更需要所有相關人員來共同防護。

2.2信息網絡安全核心技術貧乏  

目前，我國在信息安全技術領域自主知識產權產品少采用的基礎硬件操作系統和數據庫等系統軟件大部分依賴國外產品。有些設備更是拿來就用，忽略了一定的安全隱患。技術上的落后，使得設備受制于人。因此，我們要加大對信息網絡安全關鍵技術的研發，避免出現信息泄露的“后門”。

2.3信息網絡安全防護體系不完善

防護體系是系統頂層設計的一個重要組成部分，是保證各系統之間可集成、可互操作的關鍵。以前信息網絡安全防護主要是進行一對一的攻防，技術單一。現代化的信息網絡安全防護體系已經成為一個規模龐大、技術復雜、獨具特色的重要信息子系統，并擔負著網絡攻防對抗的重任。因此，現代化信息網絡安全防護體系的建立應具有多效地安全防護機制、安全防護服務和相應的安全防護管理措施等內容。

2.4信息網絡安全管理人才缺乏 

高級系統管理人才缺乏，已成為影響我軍信息網絡安全防護的因素之一。信息網絡安全管理人才不僅要精通計算機網絡技術，還要熟悉安全技術。既要具有豐富的網絡工程建設經驗，又要具備管理知識。顯然，加大信息安全人才的培養任重而道遠。

三、通信組織運用中的網絡安全防護

網絡安全是通信系統安全的重要環節。保障通信組織的安全主要是保障網絡安全。網絡安全備受關注，如何防范病毒入侵、保護信息安全是人們關心的問題，筆者總結了幾點常用的防范措施，遵循這些措施可以降低風險發生的概率，進而降低通信組織中信息安全事故發生的概率。

3.1數據備份

對重要信息資料要及時備份，或預存影像資料，保證資料的安全和完整。設置口令，定期更換，以防止人為因素導致重要資料的泄露和丟失。利用鏡像技術，在磁盤子系統中有兩個系統進行同樣的工作，當其中一個系統故障時，另一個系統仍然能正常工作。加密對網絡通信加密，以防止網絡被竊聽和截取，尤其是絕密文件更要加密處理，并定期更換密碼。另外，文件廢棄處理時對重要文件粉碎處理，并確保文件不可識別。

3.2防治病毒

保障信息系統安全的另一個重要措施是病毒防治。安裝殺毒軟件，定期檢查病毒。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性，保證在使用前對軟盤進行病毒檢查，殺毒軟件應及時更新版本。一旦發現正在流行的病毒，要及時采取相應的措施，保障信息資料的安全。

3.3提高物理安全

物理安全是保障網絡和信息系統安全的基本保障，機房的安全尤為重要，要嚴格監管機房人員的出入，堅決執行出入管理制度，對機房工作人員要嚴格審查，做到專人專職、專職專責。另外，可以在機房安裝許多裝置以確保計算機和計算機設備的安全，例如用高強度電纜在計算機的機箱穿過。但是，所有其他裝置的安裝，都要確保不損害或者妨礙計算機的操作。

3.4安裝補丁軟件

為避免人為因素（如黑客攻擊）對計算機造成威脅，要及時安裝各種安全補丁程序，不要給入侵者以可乘之機。一旦系統存在安全漏洞，將會迅速傳播，若不及時修正，可能導致無法預料的結果。為了保障系統的安全運行，可以及時關注一些大公司的網站上的系統安全漏洞說明，根據其附有的解決方法，及時安裝補丁軟件。用戶可以經常訪問這些站點以獲取有用的信息。

3.5構筑防火墻

構筑系統防火墻是一種很有效的防御措施。防火墻是有經驗豐富的專業技術人員設置的，能阻止一般性病毒入侵系統。防火墻的不足之處是很難防止來自內部的攻擊，也不能阻止惡意代碼的入侵，如病毒和特洛伊木馬。

四、加強通信運用中的信息安全與防護的幾點建議

為了應付信息安全所面臨的嚴峻挑戰，我們有必要從以下幾個方面著手，加強國防信息安全建設。

4.1要加強宣傳教育，切實增強全民的國防信息安全意識

在全社會范圍內普及信息安全知識，樹立敵情觀念、紀律觀念和法制觀念，強化社會各界的信息安全意識，營造一個良好的信息安全防護環境。各級領導要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經常分析新形勢卜信息安全工作形勢，自覺針對存在的薄弱環節，采取各種措施，把這項工作做好；另一方面要結合工作實際，進行以安全防護知識、理論、技術以及有關法規為內容的自我學習和教育。

4.2要建立完備的信息安全法律法規

信息安全需要建立完備的法律法規保護。自國家《保密法》頒布實施以來，我國先后制定和頒布了《關于維護互聯網安全的決定》、《計算機信息網絡國際聯網安全保護管理辦法》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息系統國際聯網保密管理規定》、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》、《計算機信息系統安全專用產品分類原則》、《金融機構計算機信息系統安全保護工作暫行規定》等一系列信息安全方面的法律法規，但從整體上看，我國信息安全法規建設尚處在起步階段，層次不高，具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此，我們應當加快信息安全有關法律法規的研究，及早建立我國信息安全法律法規體系。

4.3要加強信息管理

要成立國家信息安全機構，研究確立國家信息安全的重大決策，制定和國家信息安全政策。在此基礎上，成立地方各部門的信息安全管理機構，建立相應的信息安全管理制度，對其所屬地區和部門內的信息安全實行統一管理。

4.4要加強信息安全技術開發，提高信息安全防護技術水平

沒有先進、有效的信息安全技術，國家信息安全就是一句空話。因此，我們必須借鑒國外先進技術，自主進行信息安全關鍵技術的研發和運用。大力發展防火墻技術，開發出高度安全性、高度透明性和高度網絡化的國產自主知識產權的防火墻。積極發展計算機網絡病毒防治技術，加強計算機網絡安全管理，為保護國家信息安全打卜一個良好的基礎。

4.5加強計算機系統網絡風險的防范加強網絡安全防范是風險防范的重要環節

首先，可以采取更新技術、更新設備的方式。并且要加強工作人員風險意識，加大網絡安全教育的投入。其次，重要數據和信息要及時備份，也可采用影像技術提高資料的完整性。第三，及時更新殺毒軟件版本，殺毒軟件可將部分病毒拒之門外，殺毒軟件更新提高了防御病毒攻擊的能力。第五，對重要信息采取加密技術，密碼設置應包含數字、字母和其他字符。加密處理可以防止內部信息在網絡上被非授權用戶攔截。第六，嚴格執行權限控制，做好信息安全管理工作。“三分技術，七分管理”，可見信息安全管理在預防風險時的重要性，只有加強監管和管理，才能使信息安全更上一個臺階。

4.6建立和完善計算機系統風險防范的管理制度

建立完善的防范風險的制度是預防風險的基礎，是進行信息安全管理和防護的標準。首先，要高度重視安全問題。隨著信息技術的發展，攻擊者的攻擊手段也在不斷進化，面對高智商的入侵者，我們必須不惜投入大量人力、物力、財力來研究和防范風險。在研究安全技術和防范風險的策略時，可以借鑒國外相關研究，尤其是一些發達國家，他們信息技術起步早，風險評估研究也很成熟，我們可以借鑒他們的管理措施，結合我們的實際，應用到風險防范中，形成風險管理制度，嚴格執行。

篇（9）

童瀛遇到的最新的網絡犯罪方法是利用微信紅包賭博，最新的應用是阿里的花唄，通過大量盜取支付寶用戶賬戶，幫助該賬戶提升信用，再利用信用惡意套取現金。

 

網絡犯罪呈現隱密性強、復雜性強、國際化趨勢等特點。然而，網絡犯罪的危害性遠比一般的犯罪危害程度更大、更廣泛。以盜竊為例，一般盜竊案涉案的金額主要是現金，最多達到幾十萬、幾百萬元的水平。而童瀛近期遇到的2個江蘇網絡詐騙案的涉案金額則達到1200萬和1300萬元。

 

DDoS攻擊(分布式拒絕服務攻擊)是比較常見的網絡犯罪攻擊方式。據統計，大約有50%的在線游戲公司和700A的商業公司遭受過DDoS攻擊;政府部門的情況更為嚴重，80%都曾遭受過DDoS攻擊。

 

童瀛指出，DDoS攻擊一般分為3個階段。第一階段是僵尸網絡，第二階段是反射攻擊，第三階段是智能、物聯網設備。1998年，DDoS攻擊主要來源于技術炫耀者;2003年，進入黑吃黑階段;2008年，DDoS攻擊組織開始統一市場，向上發展，公安部還曾組織專項打擊行動;2010年以來，DDoS攻擊呈現全面蔓延的態勢。

 

童瀛總結DDoS攻擊的目的主要是行業競爭、敲詐性勒索和惡意報復。2014年11月，南通市多家網吧遭受DDoS攻擊，就是敲詐性勒索。今年3月，蘇州蝸牛公司遭遇的DDoS攻擊，則是惡意報復。

 

童瀛表示，作為黑客有高額金錢回報、網絡犯罪成本低的特性，很容易導致網絡犯罪。然而，網絡犯罪所需要受到的法律制裁后果也很嚴重。據了解，目前，我國法律所界定的網絡犯罪主要有3種，包括非法侵入計算機系統罪、破壞計算機信息系統罪、利用計算機網絡實施的犯罪(例如網絡傳銷等)。

 

一般情況下，只要利用網絡違法所得的金額在5000元、癱瘓1萬名網絡用戶1個小時以上的時間、非法控制了20臺以上的電腦，公安部門就可以立案。 而按照我國刑法286條第1款的規定，違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，后果嚴重的，處5年以下有期徒刑或者拘役;后果特別嚴重的，處5年以上有期徒刑。

 

因此，童瀛建議，網安人員在網絡安全的道路上不要走偏，不要陷入犯罪的漩渦;中小企業要健全應急響應機制，盡可能多留存日志，如果遭受攻擊，最好的應對方法是報警;涉網單位要盡量提高自身的安全;普通網民盡量不要上非法網站，并從官方網站下載相應軟件。如何保證P2P金融安全

 

自從余額寶推出之后，各個“寶寶”都開始涌現，金融行業在互聯網上得到了迅速的發展，開啟了互聯網金融時代。其中，P2P金融作為把投資者、借貸者拉在一起的平臺和渠道，由于其15%左右的平均投資回報率受眾多投資者追捧。 然而，作為創新的互聯網+模式，P2P金融也面臨著雙重的常見風險，既有來自互聯網的風險，也有來自金融業的風險。“白帽子大會”上，萬達電商安全主任工程師林鵬深度解析了如何保證P2P金融安全。

 

NSTRT團隊收集了在2014年互聯網金融行業中的134份安全漏洞報告，其中來自業務設計缺陷的漏洞占主要比例，達到27%。而P2P的業務流程，一般包括注冊、綁卡、充值、購買理財、回收資金等步驟。 在注冊環節，羊毛黨擼羊毛(活躍在各P2P平臺上，專門參加注冊送積分、返現等優惠活動，以此賺取小額獎勵)是一個普遍存在的現象。有時候，羊毛黨還會和銀行、平臺內外勾結，圈起大量注冊用戶綁卡后卷錢跑路。這種現象并不少見。

 

“目前已經形成了羊毛黨團體，內部分工明確。其中，家庭婦女和學生居多，基本都是兼職。很多人不知道P2P是什么，只是為賺錢照著做。”林鵬說。 林鵬指出，應對羊毛黨的方法是要遏制他們的收入途徑。在投資方面，從業務角度防套利，不能讓人空手套白狼;利用羊毛黨防止被平臺反擼的心態，減少羊毛黨收益，提高收益門檻;還有人工識別(客服掛電話)、機器識別、大數據應用等。

 

在綁卡的環節，容易出現用戶套現行為。雖然一般都有實名驗證身份證號、姓名和銀行預留姓名的環節，但小的P2P平臺通常是借用公安部接口校驗身份證信息，想要騙過這些小平臺并不難，因此并沒有起到真正實名驗證的作用。 林鵬表示，虛對綁卡環節的用戶套現，P2P平臺要有4要素驗證，包括身份證、銀行預留手機、姓名和銀行卡號，另外還要有小額打款驗證。這些內容應該是所有涉及到互聯網金融的公司需要去做的。

 

根據調查，參與P2P業務的以男性為主，年齡在20～40歲之間，晚上18點是用戶投資高峰時段，以微信和新浪微博傳播方式為主，尤其是微信的比例達到99.4%，股票和基金是這些人最關注的投資品種。林鵬指出，對于P2P平臺來說，符合這些條件的基本上可以認定為合法用戶，不符合的懷疑為非法用戶。

 

是否是非法用戶也可以通過用戶行為判斷。一般正常的用戶行為包括一整套業務流程，從注冊登錄到充值、投資、回款和提現。而異常的用戶行為從注冊登錄后就一直停滯在編輯資料的環節。

 

篇（10）

1.引言

 

在醫療過程中，患者疾病和醫療行為的信息會形成關于患者的身體特征、健康狀況的客觀記錄。這些記錄既包括患者身體特征記錄、診斷記錄以及其他和健康相關的情況，還包括這些情況蘊涵的其他關鍵信息。患者的關鍵信息因診療服務需要被醫療機構以及醫護人員合法獲悉，而不希望他人也知悉的個人情況，即患者的隱私，通常包括：姓名、性別、出生日期、家庭地址、聯系方式、既往史等。

 

患者的診療信息通過數據交換或者是其他的途徑，會出現在因特網或者內部網絡環境中，在數據交換的路徑中，就需要建立有效的數據安全保障機制來防止數據的泄露。

 

2.問題提出

 

目前區域衛生信息平臺一部分作用是數據中轉以及全程健康檔案的管理。隨著區域的發展以及應用的加深，區域平臺將會在數據協同以及服務協同領域發揮其重要作用。隨著數據協同等多方面的應用加深，對數據安全以及數據隱私的要求會比現階段更加迫切。眾多省級平臺的建設方案中，已將該點作為重點內容進行建設。目前區域平臺主要將先進的業務理念作為亮點，而較忽略隱藏在業務之下的保障體系，如安全和隱私。如果有一個較為系統及全面的保障體系，能夠在協同的各個步驟進行無縫的嵌入，保證數據協同的安全。先進的業務加完備的保障體系，是否能夠將區域平臺提高一個層次呢?而現今區域衛生信息平臺又是如何建立該體系的呢?

 

3.問題分析

 

根據前面提出的問題，我們開始分析。區域衛生信息平臺中協同與共享都屬于數據的協同，協同的步驟簡單可概括為發起請求-數據傳入-請求驗證-生成數據-數據返回-結束請求。在這幾個步驟當中，又可以簡要概括為數據傳輸、身份認證、請求審計、數據生成(數據隱私動作)等。

 

下面，我們圍繞著上述幾個大點開始建立安全與隱私體系。

 

4.安全體系設計

 

目前，區域衛生信息平臺的安全保護措施主要有以下幾種：

 

1) 數據傳輸加密

 

傳輸過程采用高強度基于1024bit的公鑰/私鑰加密機制保證網絡傳輸的安全(基于銀行支付的安全標準)。公鑰-私鑰對由衛生管理機構統一發放，并且周期性更新，加密算法采用RSA標準算法。如果數據在傳輸過程中被惡意截取，因為沒有密鑰也無法解密查看傳輸的內容，可以最大程度的保證市民數據的安全。

 

為了保證加密的效率，系統采用數字信封技術來實現，既保證了網絡的安全傳輸，又保證了加密效率。

 

4.1.1 數據上行過程

 

a) 首先獲取隨機DES鑰匙，采用DES算法對傳輸內容加密，然后醫療機構采用衛生管理機構公布的公鑰把DES鑰匙進行加密形成數字信封，最后把密文和數字信封通過網絡傳輸到衛生管理機構。

 

b) 衛生管理機構收到加密數據包后，使用自己的私鑰(私鑰存儲在衛生廳本地，不在網絡上傳輸)采用RSA算法對信封解密獲取DES鑰匙，然后采用DES算法對加密包解密，獲取原始數據內容，保存至數據庫。

 

4.1.2 數據下行過程

 

a) 醫療機構(第三方系統)(下稱請求方)發起服務請求。

 

b) 衛生管理機構接收到請求后從數據庫查找對應的數據內容，采用DES算法對數據進行加密，然后獲取請求方的公鑰，采用RSA算法把DES鑰匙加密形成數字信封，一起和加密內容發送給請求方。

 

c) 請求方獲取到加密包后，使用自己的私鑰和RSA算法對數字信封解密獲取DES鑰匙，然后采用DES算法對加密包解密，查看數據原始內容。

 

2) 身份認證與權限控制

 

4.2.1 主體身份認證

 

確保每個用戶必須具有唯一的身份標識和唯一的身份鑒別信息，確保來源合法。當請求方偽造時，系統可以主動的鑒別出，并積極拒絕。

 

4.2.2 操作權限控制

 

操作權限是基于應用層次的權限控制，在用戶使用應用系統當中，不同角色的個體有著不同的操作權限，比如登錄、新增、刪除、修改、導出等，對個體進行授權后，只能操作有權限的動作。

 

4.2.3 數據權限控制

 

數據權限基于全方位的數據結構，將已有的關系型數據庫維護到系統當中(元數據)。對數據進行分割，將數據區塊按需要分發給用戶，用戶在獲取之前被數據權限攔截器進行攔截，查看到的數據是其有權限查看的那部分。

 

3) 審計日志

 

審計日志是在應用層次的審計操作，對用戶在使用應用系統中的的行為進行收集、統計、分析，對出現或者可能出現的安全問題進行提醒，并為事后的責任問題提供支持。

 

4.3.1 行為審計記錄

 

平臺主要記錄每個業務用戶的關鍵操作，如用戶登錄、退出、批量導出數據等關鍵行為。審計記錄一般包括事件的日期，事件，類型，主體，結果等相關內容。為了減少資源的消耗，審計日志一般保留半年。

 

4.3.2 對安全信息的統計分析

 

通過對海量審計記錄的分析，通過建立多維度，多條件的分析模型，對用戶的關鍵操作進行關聯分析，并得出各類數據報表，便于運維人員從多角度進行監控

 

5.隱私體系設計

 

隱私設計體系基于元數據，對最小粒度的個體進行隱私設置，通過隱私規則執行引擎進行處理后，得到經過隱理的數據。

 

1) 隱私規則定義

 

隱私規則定制了平臺內資源的隱私程度級別和形式。其中隱私規則包含了對平臺資源數據的模糊、隱藏、替換、過濾操作、匿名的規則管理。平臺可以根據實際應用場景，配置規則，對資源進行隱理，對查詢數據的進行過濾，或者對查詢字段的模糊處理，如用戶身份證等進行部分替換“*”處理。

 

2) 隱私規則分配

 

隱私規則創建完后，需要對規則進行一個有效的分配，才能使其得到一個有效的利用。隱私保護規則創建完后，一般情況下，將規則分配給用戶，用戶在請求數據時，經過隱私規則執行引擎進行模糊操作，最終出來的數據即為隱私后的數據。

 

3) 隱私規則執行引擎

 

隱私規則執行器，是對分配的隱私規則進行一個有效執行的核心攔截處理部件。平臺對外提供的服務都會經過隱私規則執行器，自動識別隱私保護規則，返回或者共享的數據是經過隱私設定的數據。

 

數據的隱私操作為數據密集型計算，隱私規則執行器需要有良好的計算能力，作為平臺不可或缺的組件，采用分布式服務的理念進行設計，在用戶發起一次隱私計算時，通過分發器均勻分發給隱私執行引擎，再由合并算法進行隱私合并，最終形成一份完整的隱私數據。

 

6.總結