引言：易發(fā)表網(wǎng)憑借豐富的文秘實(shí)踐，為您精心挑選了九篇信息安全管理論文范例。如需獲取更多原創(chuàng)內(nèi)容，可隨時(shí)聯(lián)系我們的客服老師。

第1篇

1.1崗位人員安全意識(shí)薄弱

崗位人員隨便下載安裝個(gè)人需要的軟件程序，往往會(huì)在安裝軟件的過(guò)程中直接將一些安裝程序中附帶的插件也裝在了操作系統(tǒng)中，如果是惡性插件，必然會(huì)造成系統(tǒng)的不穩(wěn)定，嚴(yán)重者甚至?xí)斐?a href="http://www.jgrkcie.cn/haowen/36422.html" target="_blank">信息安全事件的發(fā)生，這些事件的發(fā)生很大程度上就是因?yàn)閸徫蝗藛T安全意識(shí)薄弱所造成的。安全意識(shí)薄弱的因素有很多，一是相關(guān)技術(shù)部門沒(méi)有長(zhǎng)期的進(jìn)行圖書館信息安全意識(shí)的思想灌輸；二是崗位人員本身對(duì)信息安全意識(shí)重視不夠。

1.2人員安全管理制度不完善，執(zhí)行力不高

制度的制定給予管理提供依據(jù)，無(wú)制度便無(wú)章可循，相關(guān)工作就會(huì)混亂無(wú)章。雖然多數(shù)高職院校圖書館在人員安全管理方面都制定了相關(guān)的管理制度，但制度的內(nèi)容不夠完善，很多細(xì)節(jié)問(wèn)題不夠全面，甚至只是“白紙黑字”而已，形同虛設(shè)，而且執(zhí)行起來(lái)也不夠徹底，執(zhí)行力不高。這大多數(shù)高職院校尤其是民辦性質(zhì)的高職院校圖書館都普通存在這樣的現(xiàn)象。

2人員安全管理策略

要解決人員安全管理不當(dāng)帶來(lái)的信息安全問(wèn)題，必須要比較全面地完善人員安全方面的管理制度，提高執(zhí)行力。具體策略如下：

2.1技術(shù)人員崗位分工協(xié)作

對(duì)于技術(shù)人員充足的高職院校圖書館，可以將技術(shù)人員劃分為三個(gè)崗位：硬件安全人員、軟件安全人員和網(wǎng)絡(luò)數(shù)據(jù)人員。根據(jù)圖書館的實(shí)際情況出發(fā)，將這三類技術(shù)人員進(jìn)行分工協(xié)作，日常工作中完成各自崗位上的職責(zé)。具體劃分可以參考附表。

2.2崗位人員安全管理

2.2.1崗位人員的聘用審核

大多數(shù)圖書館都會(huì)每年進(jìn)行一次崗位人員的招聘，因此，每年崗位人員的聘用必須經(jīng)過(guò)嚴(yán)格的政審并且考核其業(yè)務(wù)能力，尤其是安全保密方面的能力。對(duì)于信息安全意識(shí)強(qiáng)的，工作業(yè)務(wù)能力高的，要擇優(yōu)錄取。嚴(yán)格的聘用審核可以將一些毫無(wú)信息安全意識(shí)的聘用人員扼殺在圖書館外。

2.2.2崗位人員工作機(jī)使用限制

保障圖書館數(shù)字信息的全面安全與崗位人員是否正確使用工作機(jī)有很大的關(guān)系，不法黑客就是利用非技術(shù)人員亂下載亂安裝插件的陋習(xí)造成的系統(tǒng)漏洞進(jìn)行系統(tǒng)的攻擊。根據(jù)各館的實(shí)際工作需要，可以對(duì)工作機(jī)的使用作必要的使用說(shuō)明，例如可以這樣限制：①不得隨意下載安裝存在安全隱患的插件或其他與圖書館工作無(wú)關(guān)的軟件，例如：證券軟件、視頻軟件等。②不得隨意瀏覽不安全不健康的網(wǎng)頁(yè)；③如有需要安裝工作需要的軟件，須聯(lián)系技術(shù)人員為其下載安全；④遇到信息管理系統(tǒng)客戶端無(wú)法正常使用的情況，不要自行卸載或重裝，須聯(lián)系技術(shù)人員解決問(wèn)題；⑤其他的一些使用原則。

2.2.3崗位人員安全意識(shí)培訓(xùn)

信息安全意識(shí)對(duì)于信息至上的圖書館而言是非常重要的，如果崗位人員都安全意識(shí)高，完全可以避免很多信息安全事件的發(fā)生。安全培訓(xùn)可以根據(jù)圖書館制定信息安全培訓(xùn)制度與培訓(xùn)計(jì)劃，有針對(duì)性地有重點(diǎn)地定時(shí)對(duì)不同崗位的工作人員進(jìn)行培訓(xùn)。例如：X館在每個(gè)學(xué)期末的全館學(xué)期工作總結(jié)會(huì)議上，信息技術(shù)部主任都會(huì)對(duì)全館的工作人員進(jìn)行迫切高度強(qiáng)調(diào)信息安全意識(shí)的重要性。

2.2.4崗位人員功能賬號(hào)統(tǒng)一管理

圖書館信息管理系統(tǒng)包括編目、流通、期刊、系統(tǒng)管理、檢索、采訪等幾個(gè)子功能系統(tǒng)，不同崗位的工作人員擁有相應(yīng)的子系統(tǒng)功能賬號(hào)。為了保證數(shù)字信息的安全，崗位人員功能賬號(hào)的使用必須統(tǒng)一由相關(guān)部門（信息技術(shù)部）分配管理，提出有效的管理分配原則，例如：一個(gè)崗位人員只能擁有該崗位的功能賬號(hào)，不得擁有其他崗位的功能賬號(hào)；對(duì)于某些崗位人員有業(yè)務(wù)工作需求，需要其他崗位的功能賬號(hào)，可以設(shè)置多個(gè)公共功能賬號(hào)提供使用，需求者必須向信息技術(shù)部門提出申請(qǐng)；新進(jìn)的崗位人員需向信息技術(shù)部相關(guān)工作人員申請(qǐng)賬號(hào)；崗位人員需要修改賬號(hào)或密碼，必須向技術(shù)部相關(guān)工作人員提出需求給予修改。

2.3讀者用戶安全管理

圖書館的信息是為讀者用戶服務(wù)的，信息訪問(wèn)量最大的群體就是讀者用戶，讀者用戶是否安全訪問(wèn)也直接影響著信息管理系統(tǒng)的信息安全。因此，圖書館有必要采取有效措施，制定確實(shí)可行的讀者用戶安全訪問(wèn)管理制度，確保讀者用戶訪問(wèn)圖書館信息的安全。可以通過(guò)以下方式提高讀者的信息安全意識(shí)：①每年新生入學(xué)，圖書館可以通過(guò)開展新生入館教育的形式對(duì)新生讀者進(jìn)行信息安全意識(shí)的提高，通過(guò)用戶安全培訓(xùn)，提高用戶安全意識(shí)，使其自覺(jué)遵守安全制度。②通過(guò)網(wǎng)絡(luò)宣傳、現(xiàn)場(chǎng)海報(bào)宣傳，小冊(cè)子派發(fā)宣傳、講座演講宣傳等形式對(duì)讀者長(zhǎng)期進(jìn)行信息安全意識(shí)的宣傳，提升讀者的信息素養(yǎng)，讓讀者掌握簡(jiǎn)單有效的病毒攻擊防護(hù)技巧。

3結(jié)束語(yǔ)

第2篇

（1）內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不健全。

現(xiàn)階段，我國(guó)的供電企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不夠健全，未能達(dá)成建立在供電企業(yè)內(nèi)部網(wǎng)絡(luò)信息化的理想狀態(tài)。中部市、縣級(jí)供電公司因?yàn)闂l件有限，信息安全工作相對(duì)投入較少，安全隱患較大，各種安全保障措施較為薄弱，未能建立一個(gè)健全的內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)。但隨著各類信息系統(tǒng)不斷上線投運(yùn)，財(cái)務(wù)、營(yíng)銷、生產(chǎn)各專業(yè)都有相關(guān)的信息系統(tǒng)投入應(yīng)用，相對(duì)薄弱的網(wǎng)絡(luò)系統(tǒng)必將成為整個(gè)信息管理模式的最短板。

（2）存在于網(wǎng)絡(luò)信息化機(jī)構(gòu)漏洞較多。

目前在我國(guó)供電企業(yè)中，網(wǎng)絡(luò)信息化管理并未建立一個(gè)完整系統(tǒng)的體系，供電網(wǎng)絡(luò)的各類系統(tǒng)對(duì)于關(guān)鍵流程流轉(zhuǎn)、數(shù)據(jù)存儲(chǔ)等都非常的重要，不能出現(xiàn)絲毫的問(wèn)題，但是所承載網(wǎng)絡(luò)平臺(tái)的可靠性卻不高，安全管理漏洞也較多，使得信息管理發(fā)展極不平衡。信息化作為一項(xiàng)系統(tǒng)的工程，未能有專門的部門來(lái)負(fù)責(zé)執(zhí)行和管理。網(wǎng)絡(luò)信息安全作為我國(guó)供電企業(yè)安全文化的重要組成部分，針對(duì)現(xiàn)今我國(guó)供電企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀來(lái)看，計(jì)算機(jī)病毒，黑客攻擊造成的關(guān)鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡(luò)安全隱患。各種計(jì)算機(jī)準(zhǔn)入技術(shù)，可移動(dòng)存儲(chǔ)介質(zhì)加密技術(shù)的應(yīng)用，給企業(yè)信息網(wǎng)絡(luò)安全帶來(lái)了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實(shí)是：操作系統(tǒng)正版化程度嚴(yán)重不足。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新，針對(duì)操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計(jì)算機(jī)網(wǎng)絡(luò)病毒的出現(xiàn)，就會(huì)對(duì)企業(yè)內(nèi)部計(jì)算機(jī)進(jìn)行大規(guī)模的傳播，給目前相對(duì)公開化的網(wǎng)絡(luò)一個(gè)有機(jī)可乘的機(jī)會(huì)，對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行惡意破壞，導(dǎo)致計(jì)算機(jī)系統(tǒng)崩潰。不法分力趁機(jī)竊取國(guó)家供電企業(yè)的相關(guān)文件，篡改供電系統(tǒng)相關(guān)數(shù)據(jù)，對(duì)國(guó)家供電系統(tǒng)進(jìn)行毀滅性的攻擊，甚至致使整個(gè)供電系統(tǒng)出現(xiàn)大面積癱瘓。

（3）職工安全防范意識(shí)不夠。

想要保證我國(guó)網(wǎng)絡(luò)信息的安全，就必須要提高供電企業(yè)員工的綜合素質(zhì)，目前國(guó)內(nèi)供電企業(yè)職員的安全防范意識(shí)不強(qiáng)，水平參差不齊，多數(shù)為年輕職員，實(shí)際操作的能力較低，缺少應(yīng)對(duì)突發(fā)事件應(yīng)對(duì)措施知識(shí)的積累。且多數(shù)老齡職工難以對(duì)網(wǎng)絡(luò)信息完全掌握，跟不上信息化更新狀態(tài)，與新型網(wǎng)絡(luò)技術(shù)相脫軌。

2網(wǎng)絡(luò)信息安全管理在供電企業(yè)中的應(yīng)用

造成供電企業(yè)的信息安全的威脅主要來(lái)自兩個(gè)方面，一方面是國(guó)家供電企業(yè)本身設(shè)備上的信息安全威脅，另一方面就是外界網(wǎng)絡(luò)惡意的攻擊其中以外界攻擊的方式存在的較多。現(xiàn)階段我國(guó)供電企業(yè)的相關(guān)部門都在使用計(jì)算機(jī)對(duì)網(wǎng)絡(luò)安全進(jìn)行監(jiān)督和管理，難以保證所有計(jì)算機(jī)完全處在安全狀態(tài)。一般情況下某臺(tái)計(jì)算機(jī)泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺(jué)的，這就需要加強(qiáng)我國(guó)供電企業(yè)進(jìn)行安全的管理，建立病毒防護(hù)體系，及時(shí)更新網(wǎng)絡(luò)防病毒軟件，針對(duì)性地引進(jìn)遠(yuǎn)程協(xié)助設(shè)備，提高警報(bào)設(shè)備的水平。供電企業(yè)的信息系統(tǒng)一個(gè)較為龐大且繁雜的系統(tǒng)，在這個(gè)系統(tǒng)中存在信息安全風(fēng)險(xiǎn)也是必然的。在這種情況下就要最大程度地降低存在的風(fēng)險(xiǎn)，對(duì)經(jīng)歷的風(fēng)險(xiǎn)進(jìn)行剖析，制定針對(duì)性的風(fēng)險(xiǎn)評(píng)估政策，確立供電企業(yè)信息系統(tǒng)安全是以制定針對(duì)性風(fēng)險(xiǎn)評(píng)估政策為前提的，根據(jù)信息安全工作的緊迫需求做好全面的風(fēng)險(xiǎn)評(píng)估至關(guān)重要。“掌握核心技術(shù)”不只是一句簡(jiǎn)單的廣告詞語(yǔ)，還是國(guó)家和各個(gè)企業(yè)都應(yīng)該一直貫徹落實(shí)的方針政策。為了避免外界對(duì)我國(guó)供電企業(yè)信息技術(shù)的操控，國(guó)家相關(guān)部門就必須實(shí)行自主研發(fā)信息安全管理體系，有效地運(yùn)用高科技網(wǎng)絡(luò)技術(shù)促使安全策略、安全服務(wù)和安全機(jī)制的相結(jié)合，大力開發(fā)信息網(wǎng)絡(luò)，促進(jìn)科技管理水平的快速提高，以保證我國(guó)供電信息管理的安全。

3結(jié)語(yǔ)

第3篇

現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，為我國(guó)檔案信息管理提供了現(xiàn)代化的管理手段和方式。檔案信息是社會(huì)生產(chǎn)活動(dòng)的真實(shí)記錄，是一種不可否認(rèn)的社會(huì)史實(shí)；另外站在更高的角度來(lái)講，檔案又是一種重要的信息資源，與社會(huì)生活和經(jīng)濟(jì)活動(dòng)密不可分。從目前來(lái)看，可利用的社會(huì)資源越來(lái)越少，社會(huì)上的虛假信息越來(lái)越多，人們?yōu)榱俗陨淼陌l(fā)展，不惜一切代價(jià)獲取真實(shí)的信息資源。重要的檔案信息資源對(duì)個(gè)人來(lái)說(shuō)，可能為個(gè)人的成功提供了機(jī)會(huì)；對(duì)一個(gè)企業(yè)來(lái)說(shuō)，可能是幫助企業(yè)渡過(guò)難關(guān)，獲得最大效益的法寶；對(duì)一個(gè)國(guó)家來(lái)說(shuō)，信息資源甚至決定國(guó)家的興衰。由此可見，檔案信息資源在國(guó)家社會(huì)生活的方方面面發(fā)揮著深遠(yuǎn)的影響，具有重要的價(jià)值。因此，做好檔案信息的安全管理工作是當(dāng)前檔案工作的重中之重。

二、檔案信息安全管理的現(xiàn)狀分析

近年來(lái)隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，我國(guó)的檔案管理模式基本上分為兩種：實(shí)體檔案信息管理和電子檔案信息管理。下面針對(duì)不同的檔案信息管理模式，對(duì)其現(xiàn)狀和存在的問(wèn)題進(jìn)行分析。

1.實(shí)體檔案信息管理

實(shí)體檔案信息管理是長(zhǎng)期以來(lái)一直沿用的管理方法。實(shí)體檔案信息管理需要大量的檔案館庫(kù)做支撐，但是我國(guó)目前的檔案館庫(kù)多是20世紀(jì)80年代的建筑，特別是在經(jīng)濟(jì)發(fā)展相對(duì)緩慢、生活貧困的地區(qū)，其中不少檔案館庫(kù)及設(shè)施在漫長(zhǎng)的歲月演變中變得破敗不堪，檔案庫(kù)房的功能大大減弱，這對(duì)檔案信息的存放和保管構(gòu)成了嚴(yán)重的威脅。不僅檔案館庫(kù)等建筑設(shè)施的狀況影響檔案信息的安全，在檔案信息管理中同樣存在嚴(yán)重的安全漏洞。主要表現(xiàn)在以下幾方面：首先，字跡不清晰。受到歷史條件的制約，以前很多紙質(zhì)檔案書寫所用的材料不符合規(guī)范，形成大量的鉛筆、圓珠筆字跡，再加上時(shí)間久遠(yuǎn)，檔案保護(hù)不當(dāng)，造成檔案字跡模糊不清晰。其次，檔案信息保護(hù)環(huán)境不良。在檔案存放和保管過(guò)程中，由于存放環(huán)境的惡劣導(dǎo)致檔案的破壞屢見不鮮。最后，檔案的自然損壞嚴(yán)重。檔案信息的自然損壞主要是歷史原因所致，由于存放時(shí)間比較久遠(yuǎn)，記錄檔案信息的載體經(jīng)過(guò)漫長(zhǎng)的時(shí)期發(fā)生了不同程度的損壞，導(dǎo)致所記錄的檔案信息隨之發(fā)生損壞。

2.電子檔案信息管理

隨著經(jīng)濟(jì)發(fā)展水平的不斷提高，特別是計(jì)算機(jī)、互聯(lián)網(wǎng)和信息技術(shù)的出現(xiàn)和應(yīng)用，為檔案信息管理提供了新的管理手段和方法。電子檔案信息管理不僅保證了檔案管理的高效性，還節(jié)省了檔案信息管理的經(jīng)濟(jì)成本。但是由于受到技術(shù)發(fā)展水平的限制，電子檔案信息管理受到網(wǎng)絡(luò)黑客的攻擊和威脅，電子檔案信息管理工作同樣面臨嚴(yán)峻的安全問(wèn)題，主要存在以下兩方面問(wèn)題。

(1)檔案信息在查詢利用過(guò)程中面臨安全威脅

由于目前經(jīng)濟(jì)發(fā)展水平的限制，電子檔案信息管理并沒(méi)有形成統(tǒng)一的機(jī)制。因此導(dǎo)致電子檔案信息系統(tǒng)平臺(tái)不一致，在管理上無(wú)法達(dá)到統(tǒng)一規(guī)范，造成電子檔案信息管理網(wǎng)絡(luò)環(huán)境不穩(wěn)定，極易遭受網(wǎng)絡(luò)攻擊。目前并沒(méi)有專門為電子檔案信息管理建立的安全可靠的局域網(wǎng)，也沒(méi)有針對(duì)檔案信息安全管理的完善的法律法規(guī)，這種管理上的不到位致使電子檔案信息在利用的過(guò)程中受到網(wǎng)絡(luò)環(huán)境的影響和損害。

(2)電子檔案信息管理系統(tǒng)功能不夠強(qiáng)大

電子檔案信息是一種重要的信息資源，一個(gè)單位檔案信息的失竊可能會(huì)給一個(gè)企業(yè)帶來(lái)巨大的經(jīng)濟(jì)損失，一個(gè)國(guó)家的檔案信息泄漏，嚴(yán)重的會(huì)引發(fā)國(guó)與國(guó)之間的矛盾或戰(zhàn)爭(zhēng)。盡管國(guó)家對(duì)電子檔案信息管理十分重視，并且出臺(tái)了涉及國(guó)家秘密的信息系統(tǒng)審批管理相關(guān)法律法規(guī)，但是由于受到各種條件的限制，不少地區(qū)的電子檔案信息管理系統(tǒng)功能并不能達(dá)到國(guó)家相關(guān)規(guī)定的要求，從而使檔案信息安全面臨極大風(fēng)險(xiǎn)。具體到系統(tǒng)的登錄權(quán)限、身份識(shí)別、數(shù)字認(rèn)證、指紋識(shí)別等功能都有待進(jìn)一步的完善和提高。

三、檔案信息安全管理措施探析

1.增強(qiáng)檔案實(shí)體管理

檔案實(shí)體管理是一種重要的管理形式，針對(duì)檔案實(shí)體管理中出現(xiàn)的問(wèn)題，應(yīng)著力發(fā)揮國(guó)家的財(cái)政支撐作用，對(duì)不符合標(biāo)準(zhǔn)的館庫(kù)及時(shí)進(jìn)行修整，對(duì)庫(kù)房的防護(hù)功能定期進(jìn)行檢查和確認(rèn)，確保檔案信息管理硬件環(huán)境的安全。

2.營(yíng)造電子檔案網(wǎng)絡(luò)安全環(huán)境

眾所周知，檔案信息具有嚴(yán)格的保密性，是十分重要的信息資源。這就要求我們一定要營(yíng)造一個(gè)安全的電子檔案網(wǎng)絡(luò)環(huán)境。首先對(duì)于網(wǎng)絡(luò)應(yīng)用的硬件和軟件系統(tǒng)要進(jìn)行有效的保護(hù)，防止網(wǎng)絡(luò)黑客及病毒的襲擊是不容忽視的，要不斷研究和升級(jí)防范網(wǎng)絡(luò)黑客攻擊的技術(shù)，將檔案信息的安全隱患降到最低。其次還要對(duì)電子檔案的網(wǎng)絡(luò)系統(tǒng)功能進(jìn)行完善和升級(jí)，對(duì)網(wǎng)絡(luò)系統(tǒng)的登入采用先進(jìn)的指紋識(shí)別技術(shù)，進(jìn)行嚴(yán)格的身份驗(yàn)證，從而建立強(qiáng)大的網(wǎng)絡(luò)系統(tǒng)。

3.加強(qiáng)行政保護(hù)

檔案信息來(lái)源于社會(huì)生活和社會(huì)生產(chǎn)，為國(guó)家經(jīng)濟(jì)建設(shè)和經(jīng)濟(jì)活動(dòng)的開展提供必要的信息支持。隨著國(guó)家經(jīng)濟(jì)建設(shè)的不斷發(fā)展，檔案信息的發(fā)展與傳播步伐也越來(lái)越快，并逐漸對(duì)社會(huì)生活的各個(gè)領(lǐng)域產(chǎn)生不可估量的影響和作用。首先國(guó)家要重視并宣傳檔案信息的重要性，使人們普遍樹立檔案信息的保密意識(shí)，其次還要采取一定的行政手段，制定相關(guān)的法律法規(guī)，約束和規(guī)范檔案信息安全管理，特別要對(duì)電子檔案網(wǎng)絡(luò)安全管理系統(tǒng)制定嚴(yán)格的規(guī)范，從而在制度保障的前提下建立強(qiáng)大的檔案信息安全系統(tǒng)。

四、結(jié)語(yǔ)

第4篇

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長(zhǎng)，用戶對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對(duì)電信運(yùn)營(yíng)商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評(píng)估和加固的實(shí)踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評(píng)估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對(duì)信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說(shuō)信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過(guò)程，通過(guò)一系列的安全管理活動(dòng)來(lái)保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。

信息安全管理的本質(zhì)，可以看作是動(dòng)態(tài)地對(duì)信息安全風(fēng)險(xiǎn)的管理，即要實(shí)現(xiàn)對(duì)信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效管理和控制。標(biāo)準(zhǔn)ISO15408－1（信息安全風(fēng)險(xiǎn)管理和評(píng)估規(guī)則），給出了一個(gè)非常經(jīng)典的信息安全風(fēng)險(xiǎn)管理模型，如下圖一所示：

圖一信息安全風(fēng)險(xiǎn)管理模型

既然信息安全是一個(gè)管理過(guò)程，則對(duì)PDCA模型有適用性，結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過(guò)程就是PLAN-DO-CHECK-ACT（計(jì)劃－實(shí)施與部署－監(jiān)控與評(píng)估－維護(hù)和改進(jìn)）的循環(huán)過(guò)程。

圖二信息安全體系的“PDCA”管理模型

2建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實(shí)際情況，建設(shè)適合于自身的ISMS信息安全管理體系，ISMS的構(gòu)建包含以下主要步驟：

（1）確定ISMS的范疇和安全邊界

（2）在范疇內(nèi)定義信息安全策略、方針和指南

（3）對(duì)范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估

a)Planning（規(guī)劃）

b)InformationGathering（信息搜集）

c)RiskAnalysis（風(fēng)險(xiǎn)分析）

uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評(píng)估)

uThreatAnalysis（威脅分析）

uVulnerabilityAnalysis（弱點(diǎn)分析）

u資產(chǎn)/威脅/弱點(diǎn)的映射表

uImpact&LikelihoodAssessment（影響和可能性評(píng)估）

uRiskResultAnalysis（風(fēng)險(xiǎn)結(jié)果分析）

d)Identifying&SelectingSafeguards（鑒別和選擇防護(hù)措施）

e)Monitoring&Implementation（監(jiān)控和實(shí)施）

f)Effectestimation（效果檢查與評(píng)估）

（4）實(shí)施和運(yùn)營(yíng)初步的ISMS體系

（5）對(duì)ISMS運(yùn)營(yíng)的過(guò)程和效果進(jìn)行監(jiān)控

（6）在運(yùn)營(yíng)中對(duì)ISMS進(jìn)行不斷優(yōu)化

3IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理主要實(shí)踐步驟

目前，寬帶IP網(wǎng)絡(luò)所接入的客戶對(duì)網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來(lái)越高，且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運(yùn)營(yíng)者意識(shí)到有必要對(duì)IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理，以使得能夠動(dòng)態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險(xiǎn)。

由于網(wǎng)絡(luò)運(yùn)營(yíng)者目前對(duì)于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗(yàn)和人才隊(duì)伍，所以一般采用信息安全咨詢外包的方式來(lái)建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類咨詢項(xiàng)目一般按照以下幾個(gè)階段，進(jìn)行項(xiàng)目實(shí)踐：

3.1項(xiàng)目準(zhǔn)備階段。

a)主要搜集和分析與項(xiàng)目相關(guān)的背景信息；

b)和客戶溝通并明確項(xiàng)目范圍、目標(biāo)與藍(lán)圖；

c)建議并明確項(xiàng)目成員組成和分工；

d)對(duì)項(xiàng)目約束條件和風(fēng)險(xiǎn)進(jìn)行聲明；

e)對(duì)客戶領(lǐng)導(dǎo)和項(xiàng)目成員進(jìn)行意識(shí)、知識(shí)或工具培訓(xùn)；

f)匯報(bào)項(xiàng)目進(jìn)度計(jì)劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。

3.2項(xiàng)目執(zhí)行階段。

a)在項(xiàng)目范圍內(nèi)進(jìn)行安全域劃分；

b)分安全域進(jìn)行資料搜集和訪談，包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫(kù)配置信息、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過(guò)的安全事件信息等；

c)在各個(gè)安全域進(jìn)行資產(chǎn)鑒別、價(jià)值分析、威脅分析、弱點(diǎn)分析、可能性分析和影響分析，形成資產(chǎn)表、威脅評(píng)估表、風(fēng)險(xiǎn)評(píng)估表和風(fēng)險(xiǎn)關(guān)系映射表；

d)對(duì)存在的主要風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)等級(jí)綜合評(píng)價(jià)，并按照重要次序，給出相應(yīng)的防護(hù)措施選擇和風(fēng)險(xiǎn)處置建議。

3.3項(xiàng)目總結(jié)階段

a)項(xiàng)目中產(chǎn)生的策略、指南等文檔進(jìn)行審核和批準(zhǔn)；

b)對(duì)項(xiàng)目資產(chǎn)鑒別報(bào)告、風(fēng)險(xiǎn)分析報(bào)告進(jìn)行審核和批準(zhǔn)；

c)對(duì)需要進(jìn)行的相關(guān)風(fēng)險(xiǎn)處置建議進(jìn)行項(xiàng)目安排；

4IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐要點(diǎn)分析

運(yùn)營(yíng)商IP寬帶網(wǎng)絡(luò)和常見的針對(duì)以主機(jī)為核心的IT系統(tǒng)的安全風(fēng)險(xiǎn)管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險(xiǎn)管理的方法和資料。在項(xiàng)目執(zhí)行的不同階段，需要特別注意以下要點(diǎn)：

4.1安全目標(biāo)

充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量。

4.2項(xiàng)目范疇

應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng)：如網(wǎng)管系統(tǒng)、AAA平臺(tái)、DNS等。

4.3項(xiàng)目成員

應(yīng)該得到運(yùn)營(yíng)商高層領(lǐng)導(dǎo)的明確支持，項(xiàng)目組長(zhǎng)應(yīng)該具備管理大型安全咨詢項(xiàng)目經(jīng)驗(yàn)的人承擔(dān)，且項(xiàng)目成員除了包含一些專業(yè)安全評(píng)估人員之外，還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護(hù)”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員。

4.4背景信息搜集：

背景信息搜集之前，應(yīng)該對(duì)信息搜集對(duì)象進(jìn)行分組，即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含：

a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)

b)城域網(wǎng)結(jié)構(gòu)和配置

c)接入網(wǎng)結(jié)構(gòu)和配置

d)AAA平臺(tái)系統(tǒng)結(jié)構(gòu)和配置

e)DNS系統(tǒng)結(jié)構(gòu)和配置

f)相關(guān)主機(jī)和設(shè)備的軟硬件信息

g)相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口

h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲(chǔ)和安全需求信息

i)已有的安全事故記錄

j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施

k)相關(guān)機(jī)房的物理環(huán)境信息

l)已有的安全管理策略、規(guī)定和指南

m)其它相關(guān)

4.5資產(chǎn)鑒別

資產(chǎn)鑒別應(yīng)該自頂向下進(jìn)行鑒別，必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺(tái)、DNS平臺(tái)、網(wǎng)管系統(tǒng)等一級(jí)資產(chǎn)組；然后可以在一級(jí)資產(chǎn)組內(nèi)，按照功能或地域進(jìn)行劃分二級(jí)資產(chǎn)組，如AAA平臺(tái)一級(jí)資產(chǎn)組可以劃分為RADIUS組、DB組、計(jì)費(fèi)組、網(wǎng)絡(luò)通信設(shè)備組等二級(jí)資產(chǎn)組；進(jìn)一步可以針對(duì)各個(gè)二級(jí)資產(chǎn)組的每個(gè)設(shè)備進(jìn)行更為細(xì)致的資產(chǎn)鑒別，鑒別其設(shè)備類型、地址配置、軟硬件配置等信息。

4.6威脅分析

威脅分析應(yīng)該具有針對(duì)性，即按照不同的資產(chǎn)組進(jìn)行針對(duì)性威脅分析。如針對(duì)IP城域網(wǎng)，其主要風(fēng)險(xiǎn)可能是：蠕蟲、P2P、路由攻擊、路由設(shè)備入侵等；而對(duì)于DNS或AAA平臺(tái)，其主要風(fēng)險(xiǎn)可能包括：主機(jī)病毒、后門程序、應(yīng)用服務(wù)的DOS攻擊、主機(jī)入侵、數(shù)據(jù)庫(kù)攻擊、DNS釣魚等。

4.7威脅影響分析

是指對(duì)不同威脅其可能造成的危害進(jìn)行評(píng)定，作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運(yùn)營(yíng)商意見，尤其要充分考慮威脅發(fā)生后可能造成的社會(huì)影響和信譽(yù)影響。

4.8威脅可能性分析

是指某種威脅可能發(fā)生的概率，其發(fā)生概率評(píng)定非常困難，所以一般情況下都應(yīng)該采用定性的分析方法，制定出一套評(píng)價(jià)規(guī)則，主要由運(yùn)營(yíng)商管理人員按照規(guī)則進(jìn)行評(píng)價(jià)。

第5篇

信息系統(tǒng)的風(fēng)險(xiǎn)性可以分為人為性風(fēng)險(xiǎn)和非人為性風(fēng)險(xiǎn),非人為性風(fēng)險(xiǎn)主要包括環(huán)境和系統(tǒng)風(fēng)險(xiǎn)。信息系統(tǒng)的脆弱性主要包括硬件、軟件、管理以及運(yùn)行環(huán)境等四個(gè)方向,從硬件方向講,指硬件設(shè)備存在的漏洞和缺陷。從軟件方向講,在信息系統(tǒng)的研發(fā)過(guò)程中所產(chǎn)生的錯(cuò)誤信息,進(jìn)而導(dǎo)致系統(tǒng)出現(xiàn)漏洞,對(duì)安全造成嚴(yán)重危害。從管理方面講,是指在日常管理和應(yīng)急預(yù)案管理的過(guò)程中存在問(wèn)題。從運(yùn)行環(huán)境方面講,指的是辦公室、計(jì)算機(jī)房、溫度、濕度以及照明條件等情況導(dǎo)致的系統(tǒng)漏洞。

2信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)評(píng)估方法

2.1信息安全風(fēng)險(xiǎn)評(píng)估內(nèi)容

信息安全風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容包括評(píng)估資產(chǎn)的威脅性和脆弱性,對(duì)已有安全措施進(jìn)行風(fēng)險(xiǎn)評(píng)估分析。信息資產(chǎn)是指對(duì)信息資源產(chǎn)生一定利用價(jià)值的總稱,是信息安全評(píng)估中的重點(diǎn)保護(hù)對(duì)象,主要分為人員、數(shù)據(jù)、軟件和硬件等資源,根據(jù)各種資源的完整性、保密性以及可用性進(jìn)行等級(jí)劃分,評(píng)估組織系統(tǒng)中資產(chǎn)的威脅性,包括直接威脅和間接威脅等,根本目的在于對(duì)安全風(fēng)險(xiǎn)需求的分析,建立風(fēng)險(xiǎn)防范措施,有效降低信息安全的威脅性因素。

2.2風(fēng)險(xiǎn)評(píng)估方法

信息系統(tǒng)管理中的信息安全風(fēng)險(xiǎn)評(píng)估方法較多,本文主要從人工評(píng)估法和定性評(píng)估法兩方面進(jìn)行分析。人工評(píng)估法。又稱為手工評(píng)估法,是指在整個(gè)風(fēng)險(xiǎn)評(píng)估的過(guò)程中,運(yùn)用人工作業(yè)的形式進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,通過(guò)對(duì)資產(chǎn)、投資成本的風(fēng)險(xiǎn)的安全需求、威脅性、脆弱性以及安全措施等,進(jìn)行有效評(píng)估,根據(jù)其風(fēng)險(xiǎn)效益制定出與之相對(duì)應(yīng)的決策。定性評(píng)估法。定性評(píng)估法是根據(jù)專業(yè)機(jī)構(gòu)以及專家等對(duì)風(fēng)險(xiǎn)的判斷分析,屬于一種相對(duì)主觀的評(píng)估方法,該評(píng)估方法偏向于關(guān)注風(fēng)險(xiǎn)帶來(lái)的損失,忽略了風(fēng)險(xiǎn)的發(fā)生頻率。其他評(píng)估方法包括工具輔助評(píng)估和定量評(píng)估等方法。

2.3層次分析方法

通過(guò)運(yùn)用層次分析法對(duì)信息安全的評(píng)價(jià)體系進(jìn)行構(gòu)建,進(jìn)而對(duì)風(fēng)險(xiǎn)進(jìn)行綜合性評(píng)價(jià)。通過(guò)運(yùn)用層次分析法對(duì)信息安全的風(fēng)險(xiǎn)作出評(píng)估,評(píng)價(jià)信息安全風(fēng)險(xiǎn)所涉及到的各個(gè)要素間的相對(duì)重要的權(quán)數(shù),根據(jù)各個(gè)要素的排序,作出橫向比較分析,為信息安全的風(fēng)險(xiǎn)評(píng)估提供可靠依據(jù)。對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估中,通過(guò)運(yùn)用層次分析法進(jìn)行有效評(píng)估,進(jìn)而增強(qiáng)風(fēng)險(xiǎn)評(píng)估的有效性。通過(guò)分析資產(chǎn)、威脅性、脆弱性以及安全措施的四個(gè)評(píng)價(jià)指標(biāo)體系,對(duì)安全風(fēng)險(xiǎn)進(jìn)行合理性的分析評(píng)估,降低安全風(fēng)險(xiǎn)系數(shù)。

3結(jié)語(yǔ)

第6篇

（一）電力安全管理信息系統(tǒng)的核心設(shè)計(jì)

工作電力安全生產(chǎn)管理信息系統(tǒng)的重點(diǎn)在于對(duì)設(shè)備的全生命周期進(jìn)行有效管理，這使得對(duì)數(shù)據(jù)儲(chǔ)存及數(shù)據(jù)傳輸設(shè)計(jì)工作擁有高標(biāo)準(zhǔn)、高要求的特點(diǎn)。

1、數(shù)據(jù)儲(chǔ)存的具體設(shè)計(jì)

CIM模型包含邏輯包20個(gè)，設(shè)備資源類定義300有余，對(duì)電力系統(tǒng)應(yīng)用進(jìn)行了全方位的統(tǒng)一描述，作用是為電網(wǎng)設(shè)備數(shù)據(jù)提供儲(chǔ)存空間。電力公司的信息整合工作以國(guó)際通用的IEC61970標(biāo)準(zhǔn)為主體標(biāo)準(zhǔn)依據(jù)，以國(guó)際通用的IEC61968標(biāo)準(zhǔn)為主要參照標(biāo)準(zhǔn)。其中，IEC61970系列標(biāo)準(zhǔn)也可以被叫做EMS-API系列標(biāo)準(zhǔn)，此系列標(biāo)準(zhǔn)由CIM與GIS兩部分組成。CIM的作用是為能量管理系統(tǒng)信息提供綜合邏輯框架圖。CIM具有描繪能量管理系統(tǒng)中所有主要對(duì)象的功能，使得它被很多應(yīng)用程序所需要，具有很強(qiáng)的應(yīng)用價(jià)值。電力公司基礎(chǔ)數(shù)據(jù)模型的建立離不開CIM功能上的支持。由于CIM并不具有業(yè)務(wù)流程數(shù)據(jù)的功能，所以包括缺陷管理數(shù)據(jù)、缺陷圖片數(shù)據(jù)及缺陷細(xì)分類型數(shù)據(jù)等要以表格的方式在Oracle數(shù)據(jù)庫(kù)折嬌陜西省地方電力（集團(tuán)）有限公司神木供電分公司719300中進(jìn)行存儲(chǔ)。

2、電力安全管理信息系統(tǒng)的接口

設(shè)計(jì)電力安全管理信息系統(tǒng)的接口需要分別提供對(duì)CIM模型、GIS系統(tǒng)及普通數(shù)據(jù)庫(kù)的接口。由于電力安全管理信息系統(tǒng)接口需要集成大量其他系統(tǒng)，所以在設(shè)計(jì)上比較復(fù)雜。采取數(shù)據(jù)總線加適配器模式可以很好的解決這一問(wèn)題。數(shù)據(jù)總線加適配器模式具有傳遞格式統(tǒng)一的特點(diǎn)，可以明顯提高對(duì)不同系統(tǒng)數(shù)據(jù)進(jìn)行集成的便捷性，同時(shí)也為以后的系統(tǒng)擴(kuò)展工作提供了方便。

二、電力安全生產(chǎn)管理信息系統(tǒng)實(shí)現(xiàn)

（一）系統(tǒng)實(shí)現(xiàn)的開發(fā)環(huán)境

電力安全生產(chǎn)管理信息系統(tǒng)作為WEB項(xiàng)目中的一種，它的開發(fā)以JAVA技術(shù)為基礎(chǔ)。電力安全生產(chǎn)管理信息系統(tǒng)的開發(fā)需要對(duì)以下軟件進(jìn)行運(yùn)用：利用Dreamweaver8.0軟件進(jìn)行網(wǎng)頁(yè)制作；以Tomcat5.5作為JAVA集成開發(fā)環(huán)境；以O(shè)racle10g或CIMserver作為數(shù)據(jù)庫(kù)系統(tǒng)軟件；以EOS或Eclipse作為系統(tǒng)開發(fā)平臺(tái)。電力安全生產(chǎn)管理信息系統(tǒng)的開發(fā)也對(duì)計(jì)算機(jī)系統(tǒng)配置提出了高要求，具體要求如下：操作系統(tǒng)需要Window2003及以上版本；2G以上的中央處理器內(nèi)存；2~4G的內(nèi)存條容量及200G以上的硬盤空間。同時(shí)，WEB服務(wù)器版本為浪潮NP370D。

（二）電力安全生產(chǎn)管理信息系統(tǒng)界面的實(shí)現(xiàn)

在對(duì)電力安全生產(chǎn)管理信息系統(tǒng)界面進(jìn)行設(shè)計(jì)時(shí)要確保做到以下幾點(diǎn)：首先，應(yīng)力求做到系統(tǒng)界面的簡(jiǎn)潔感和美感的統(tǒng)一，使系統(tǒng)界面實(shí)現(xiàn)便捷性和可操作性；其次，在對(duì)菜單進(jìn)行設(shè)計(jì)時(shí)，要做到手動(dòng)和自動(dòng)化的完美統(tǒng)一；在對(duì)登陸界面的設(shè)計(jì)時(shí)應(yīng)添加合理的操作權(quán)限，使不同部門的工作人員只能對(duì)其職能范圍內(nèi)的內(nèi)容進(jìn)行瀏覽和操作；要最大限度的保證系統(tǒng)信息的準(zhǔn)確性和可靠性，提高操作安全度，保證企業(yè)重要內(nèi)部機(jī)密不被泄露。

（三）電力安全生產(chǎn)管理信息系統(tǒng)功能模塊的實(shí)現(xiàn)

電力安全生產(chǎn)管理信息系統(tǒng)由十余個(gè)模塊共同組成，其功能異常龐大，具備極強(qiáng)的實(shí)用性。由于電力安全生產(chǎn)管理信息系統(tǒng)對(duì)于電力生產(chǎn)管理來(lái)說(shuō)具有非凡的重要意義，所以要盡最大可能的確保電力安全生產(chǎn)管理信息系統(tǒng)的安全和可靠，同時(shí)也要讓系統(tǒng)能夠在今后繼續(xù)實(shí)現(xiàn)功能的拓展。在對(duì)數(shù)據(jù)庫(kù)進(jìn)行實(shí)際操作時(shí)，要充分借鑒其他軟件系統(tǒng)的長(zhǎng)處，對(duì)數(shù)據(jù)庫(kù)采取統(tǒng)一的操作。同時(shí)，要充分考慮到數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)具有可變動(dòng)的特征，應(yīng)采取單一配置文件保存的方式對(duì)各類操作碼及屬性進(jìn)行保存，以防止數(shù)據(jù)出現(xiàn)混亂與丟失。

三、結(jié)語(yǔ)

第7篇

（一）采用系統(tǒng)的思想

網(wǎng)絡(luò)安全的建設(shè)是一個(gè)系統(tǒng)工程，它需要對(duì)影響信息系統(tǒng)安全的各種因素進(jìn)行綜合考慮，同時(shí)需要對(duì)信息系統(tǒng)運(yùn)行的全過(guò)程進(jìn)行綜合分析，實(shí)現(xiàn)預(yù)警、防護(hù)、恢復(fù)等網(wǎng)絡(luò)安全的全過(guò)程環(huán)節(jié)的無(wú)縫銜接；另一方面要充分考慮技術(shù)、管理、人員等影響網(wǎng)絡(luò)安全的主要因素，實(shí)現(xiàn)技術(shù)、管理、人員的協(xié)同作戰(zhàn)。

（二）強(qiáng)調(diào)風(fēng)險(xiǎn)管理

基于風(fēng)險(xiǎn)管理，體現(xiàn)預(yù)防控制為主的思想，強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制，確保信息的保密性、完整性和可用性，保持系統(tǒng)運(yùn)作的持續(xù)性。

（三）動(dòng)態(tài)的安全管理

公安信息網(wǎng)絡(luò)安全模型中的“動(dòng)態(tài)”網(wǎng)絡(luò)安全有兩個(gè)含義：一是整個(gè)網(wǎng)絡(luò)的安全目標(biāo)是動(dòng)態(tài)的，而不再是傳統(tǒng)的、一旦部署完畢就固定不變的，從而支持部分或者全網(wǎng)范圍內(nèi)安全級(jí)別的動(dòng)態(tài)調(diào)整；二是達(dá)到安全目標(biāo)的手段、途徑必須能夠根據(jù)周邊/內(nèi)部環(huán)境的變化進(jìn)行動(dòng)態(tài)調(diào)整。

二、基于策略的動(dòng)態(tài)安全管理模型的定義

基于上述指導(dǎo)思想，建立基于策略的動(dòng)態(tài)安全管理模型，主要包括四類要素：人員、管理、策略、流程（技術(shù)產(chǎn)品）。安全策略確定后，需要根據(jù)組織切實(shí)的安全需要，以上述定義的安全策略為基礎(chǔ)，將安全周期內(nèi)各個(gè)階段的、反映不同安全需求的防護(hù)手段和實(shí)施方法以一種利于連動(dòng)的、協(xié)同的方式組織起來(lái)，提高系統(tǒng)的安全性。總的指導(dǎo)原則是：第一，防護(hù)是基礎(chǔ)，是基本條件，它包含了對(duì)系統(tǒng)的靜態(tài)保護(hù)措施，是保護(hù)信息系統(tǒng)必須實(shí)現(xiàn)的部分。第二，檢測(cè)和預(yù)測(cè)是手段，是擴(kuò)展條件，提供對(duì)系統(tǒng)的動(dòng)態(tài)監(jiān)測(cè)措施，是保護(hù)信息系統(tǒng)須擴(kuò)展實(shí)現(xiàn)的部分。第三，響應(yīng)是目標(biāo)，是進(jìn)行安全控制和緩解入侵威脅的期望結(jié)果，反應(yīng)了系統(tǒng)的安全控制力度，是保護(hù)信息系統(tǒng)須優(yōu)先實(shí)現(xiàn)的部分。這些不同的安全技術(shù)和產(chǎn)品按照統(tǒng)一的策略集成在一起，保持防護(hù)、監(jiān)測(cè)、預(yù)警、恢復(fù)的動(dòng)態(tài)過(guò)程的無(wú)縫銜接，并隨著環(huán)境的變化而進(jìn)行適當(dāng)?shù)恼{(diào)整，這樣就能夠針對(duì)系統(tǒng)的薄弱環(huán)節(jié)有的放矢，有效防范，從而完善信息安全防護(hù)系統(tǒng)。

三、基于策略的動(dòng)態(tài)安全管理模型的實(shí)施過(guò)程

在公安信息安全管理體系的建立、實(shí)施和改進(jìn)的過(guò)程中引用PDCA（Plan-Do-Check-Act）模型，按照PDCA模型將信息安全管理體系分解成風(fēng)險(xiǎn)評(píng)估、安全設(shè)計(jì)與執(zhí)行、安全管理和再評(píng)估四個(gè)子過(guò)程。組織通過(guò)持續(xù)的執(zhí)行這些過(guò)程而使自身的信息安全水平得到不斷的提高。PDCA模型的主要過(guò)程如下：

（一）計(jì)劃（Plan）

計(jì)劃就是根據(jù)組織的業(yè)務(wù)目標(biāo)與安全要求，在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，建立信息安全框架。包括下面三項(xiàng)主要工作：

1.明確安全目標(biāo)，制定安全方針根據(jù)公安專用網(wǎng)絡(luò)信息安全需求及有關(guān)法律法規(guī)要求，制定信息安全方針、策略，通過(guò)風(fēng)險(xiǎn)評(píng)估建立控制目標(biāo)與控制方式，包括公安系統(tǒng)工程必要的過(guò)程與持續(xù)性計(jì)劃。

2.定義信息安全管理的范圍信息安全管理范圍的確定需要重點(diǎn)確定信息安全管理的領(lǐng)域，公安信息安全管理部門需要根據(jù)公安系統(tǒng)工程的實(shí)際情況，在整個(gè)金盾工程規(guī)劃中或者各業(yè)務(wù)部門構(gòu)架信息安全管理框架。

3.明確管理職責(zé)成立相應(yīng)的安全管理職能部門，明確管理職責(zé)，同時(shí)要對(duì)所有相關(guān)人員進(jìn)行信息安全策略的培訓(xùn)，對(duì)信息安全負(fù)有特殊責(zé)任的人員要進(jìn)行特殊的培訓(xùn)，以使信息安全方針真正植根于所有公安干警的腦海并落實(shí)到實(shí)際工作中。

（二）實(shí)施（Do）

實(shí)施過(guò)程就是按照所選定的控制目標(biāo)與方式進(jìn)行信息安全控制，即安全管理職能部門按照公安信息安全管理策略、程序、規(guī)章等規(guī)定的要求進(jìn)行信息安全管理實(shí)施。在實(shí)施過(guò)程中，以公安信息安全管理策略為核心，監(jiān)測(cè)、安全保護(hù)措施、風(fēng)險(xiǎn)評(píng)估、補(bǔ)救組成一個(gè)循環(huán)鏈，其中信息安全管理策略是保證整個(gè)安全系統(tǒng)能夠動(dòng)態(tài)、自適應(yīng)運(yùn)行的核心。

1.選擇安全策略根據(jù)公安業(yè)務(wù)目標(biāo)、公安信息安全管理目標(biāo)、公安信息安全管理指導(dǎo)方針選擇或制定信息安全策略。

2.部署安全策略對(duì)于高層策略，在此階段，首先應(yīng)將各種全局的高層策略規(guī)范編譯成低級(jí)（基本）策略。根據(jù)底層的服務(wù)或是應(yīng)用的要求將策略編譯成執(zhí)行組件可以理解的形式，針對(duì)特定類型的策略實(shí)施封裝具體實(shí)施策略所需的行為，封裝執(zhí)行策略所必需的實(shí)現(xiàn)代碼，這些代碼與底層實(shí)現(xiàn)有關(guān)。將策略分發(fā)并載入到相應(yīng)的策略實(shí)施中，繼而可以對(duì)策略對(duì)象執(zhí)行啟用、禁用、卸載等策略操作。

3.執(zhí)行安全策略（1）監(jiān)測(cè)。對(duì)公安信息系統(tǒng)進(jìn)行安全保護(hù)以后并不能完全消除信息安全風(fēng)險(xiǎn)，所以要定期地監(jiān)控整個(gè)信息系統(tǒng)以發(fā)現(xiàn)不正常的活動(dòng)。（2）進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估主要對(duì)公安信息安全管理范圍內(nèi)的數(shù)據(jù)信息進(jìn)行鑒定和估價(jià)，然后對(duì)數(shù)據(jù)信息面對(duì)的各種威脅進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全管理措施進(jìn)行鑒定。（3）公安信息安全風(fēng)險(xiǎn)處置。根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)處置，公安信息安全風(fēng)險(xiǎn)處置措施主要包括降低風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)、轉(zhuǎn)嫁風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)等，使得公安業(yè)務(wù)可以正常進(jìn)行，并重新進(jìn)行風(fēng)險(xiǎn)分析與評(píng)估，增加或更改原有的信息安全保護(hù)措施。在公安信息系統(tǒng)正常運(yùn)行時(shí)，要定期地對(duì)系統(tǒng)進(jìn)行備份。（4）根據(jù)公安信息安全策略調(diào)整控制安全措施。由于信息安全是一個(gè)動(dòng)態(tài)的系統(tǒng)工程，安全管理職能部門應(yīng)實(shí)時(shí)對(duì)選擇的管理目標(biāo)和管理措施加以校驗(yàn)和調(diào)整，以適應(yīng)變化了的情況，使公安系統(tǒng)數(shù)據(jù)資源得到有效、經(jīng)濟(jì)、合理的保護(hù)。

（三）檢查（Check）

檢查就是根據(jù)安全目標(biāo)、安全標(biāo)準(zhǔn)，審查變化中環(huán)境的風(fēng)險(xiǎn)水平，執(zhí)行內(nèi)部信息安全管理體系審計(jì)，報(bào)告安全管理的有效性，在實(shí)踐中檢查制定的安全目標(biāo)是否合適、安全策略和控制手段是否能夠保證安全目標(biāo)的實(shí)現(xiàn)，系統(tǒng)還有哪些漏洞。

（四）改進(jìn)（Action）

改進(jìn)就是對(duì)信息安全管理體系實(shí)行改進(jìn)，以適應(yīng)環(huán)境的變化。改進(jìn)內(nèi)容包括三部分：一是系統(tǒng)的安全目標(biāo)、安全指導(dǎo)思想、安全管理制度、安全策略。二是安全技術(shù)手段的改進(jìn)。隨著安全技術(shù)和安全產(chǎn)品的改進(jìn)，系統(tǒng)的安全技術(shù)手段也要不定期地更換。但更換后的安全技術(shù)手段仍然要遵循相應(yīng)的信息安全策略。三是對(duì)人員的改進(jìn)。安全管理措施和手段改進(jìn)后，要對(duì)民警要進(jìn)行安全教育與培訓(xùn)，并根據(jù)民警的不同角色為其制定不同的安全職責(zé)和年度信息安全計(jì)劃，并按照計(jì)劃進(jìn)行工作，年底時(shí)要對(duì)安全計(jì)劃的執(zhí)行情況進(jìn)行檢查。

四、結(jié)束語(yǔ)

第8篇

為了對(duì)信息進(jìn)行有力的管理和控制以及有效處理，鋁礦安全標(biāo)準(zhǔn)化管理信息系統(tǒng)作為一個(gè)現(xiàn)代化企業(yè)的信息化管理系統(tǒng)必須進(jìn)行有效的設(shè)置。建立一個(gè)安全系統(tǒng)的重要意義在于對(duì)單個(gè)信息進(jìn)行有效管理，進(jìn)而形成一個(gè)安全信息管理中心，有助于對(duì)危險(xiǎn)信息進(jìn)行及時(shí)的監(jiān)控、預(yù)防和應(yīng)對(duì)。通過(guò)近幾年來(lái)越來(lái)越多鋁礦企業(yè)對(duì)于安全標(biāo)準(zhǔn)化管理信息系統(tǒng)的開發(fā)與應(yīng)用，我們看到了有力的作用。尤其是找到與自己企業(yè)相適應(yīng)的安全管理系統(tǒng)，對(duì)于礦業(yè)集團(tuán)的健康運(yùn)營(yíng)會(huì)有著重要的影響。不僅能夠預(yù)知安全隱患，而且可以及時(shí)應(yīng)對(duì)與解決所發(fā)現(xiàn)的安全隱患。通過(guò)這種系統(tǒng)的研發(fā)與運(yùn)用不僅提高了工作效率而且能夠使得信息得到及時(shí)的暢通傳輸。因此，越來(lái)越多的鋁礦企業(yè)重視和運(yùn)用這種系統(tǒng)。

2鋁礦安全標(biāo)準(zhǔn)化管理信息系統(tǒng)設(shè)計(jì)

如同礦山安全標(biāo)準(zhǔn)化管理系統(tǒng)設(shè)計(jì)，鋁礦安全標(biāo)準(zhǔn)化管理信息系統(tǒng)也需要包括14個(gè)元素，不僅需要安全還需要包含健康兩個(gè)方面。系統(tǒng)的運(yùn)行模式需要按照準(zhǔn)備->組織->實(shí)行->檢修->評(píng)審這樣的一個(gè)流程來(lái)進(jìn)行操作。任何一個(gè)礦業(yè)集團(tuán)必須要遵循礦山安全標(biāo)準(zhǔn)化管理系統(tǒng)的14要素，從而獲得大量安群信息實(shí)現(xiàn)統(tǒng)一管理，進(jìn)而保證施工安全，營(yíng)造有秩序的生產(chǎn)環(huán)境，創(chuàng)造經(jīng)濟(jì)效益。

2.1系統(tǒng)實(shí)現(xiàn)功能

鋁礦企業(yè)在進(jìn)行安全標(biāo)準(zhǔn)化管理信息系統(tǒng)構(gòu)建的時(shí)候要注意系統(tǒng)需要實(shí)現(xiàn)如下功能：首先是這個(gè)系統(tǒng)在使用者搜索相關(guān)文獻(xiàn)資料時(shí)能夠快速的進(jìn)行檢索，為使用者提供強(qiáng)有力的理論支持。同時(shí)還要方便各個(gè)部門查詢到其他以及本部門的獎(jiǎng)懲以及安全排名情況，使得信息及時(shí)有效快速的傳遞到相應(yīng)部門，為員工了解企業(yè)提供便利。其次安全標(biāo)準(zhǔn)化管理信息系統(tǒng)的設(shè)計(jì)要讓人容易接受，易操作，只有這樣才能使得多數(shù)員工能夠自己動(dòng)手操作，即系統(tǒng)要便于多數(shù)人。同時(shí)系統(tǒng)還要及時(shí)更新實(shí)時(shí)情況，能夠隨著各種動(dòng)態(tài)信息及時(shí)更新，并時(shí)常處于一個(gè)比較活躍的狀態(tài)。再次就是系統(tǒng)要具有存儲(chǔ)和管理文件資料的功能，方便使用者隨時(shí)隨地對(duì)于文件資料的獲取。并且系統(tǒng)的設(shè)計(jì)是與多媒體信息技術(shù)互相關(guān)聯(lián)的，必須要考慮到一些潛在的安全隱患，做好漏洞處理。

2.2系統(tǒng)模式開發(fā)

首先是系統(tǒng)技術(shù)的運(yùn)用，考慮到安全標(biāo)準(zhǔn)化的信息管理，系統(tǒng)功能的實(shí)現(xiàn)需要運(yùn)用多想技術(shù)進(jìn)行支持。第一個(gè)首先要提到的就是企業(yè)局域網(wǎng)內(nèi)開發(fā)的web軟件是基于internet技術(shù)的，從而實(shí)現(xiàn)比較優(yōu)惠的成本運(yùn)行。第二個(gè)就是運(yùn)用組建開發(fā)過(guò)程，提高信息化平臺(tái)開發(fā)效率及系統(tǒng)的穩(wěn)定性和可維護(hù)性。再一個(gè)就是通過(guò)XML實(shí)現(xiàn)一個(gè)比較靈活多變的配置策略，使得系統(tǒng)和數(shù)據(jù)庫(kù)的服務(wù)器可以在局域網(wǎng)中進(jìn)行比較自由靈活的配置。其次就是系統(tǒng)的運(yùn)行。安全標(biāo)準(zhǔn)化管理信息系統(tǒng)是一個(gè)比較科學(xué)規(guī)范和系統(tǒng)的管理系統(tǒng)，主要是為了做好危險(xiǎn)源的識(shí)別和風(fēng)險(xiǎn)的評(píng)估控制。礦業(yè)集團(tuán)的安全管理就是突破傳統(tǒng)的管理模式，加強(qiáng)比較整體和縱向橫向的發(fā)展，運(yùn)用一種全新的現(xiàn)代技術(shù)和原理進(jìn)行管理操作。在整個(gè)系統(tǒng)的運(yùn)行過(guò)程中部件要做好管理體系的思想和方法，還要做好風(fēng)險(xiǎn)管理。通過(guò)系統(tǒng)運(yùn)行實(shí)現(xiàn)安全生產(chǎn)的目的，在消除安全事故隱患的同時(shí)，也要降低安全事故的發(fā)生頻率，提高生產(chǎn)效益。同時(shí)安全標(biāo)準(zhǔn)化系統(tǒng)將礦山錯(cuò)綜復(fù)雜的安全管理事務(wù)融合在一起,減少了日常工作量,提高了生產(chǎn)效率。而且系統(tǒng)化的管理還減少了紙質(zhì)成本，在實(shí)現(xiàn)高效管理的同時(shí)節(jié)約了成本。在安全標(biāo)準(zhǔn)化管理信息系統(tǒng)這個(gè)平臺(tái)基礎(chǔ)上，系統(tǒng)運(yùn)行中的各個(gè)環(huán)節(jié)將會(huì)更加良好，員利用也可得到有效的提高。

2.3安全標(biāo)準(zhǔn)化管理信息系統(tǒng)設(shè)計(jì)流程

首先，企業(yè)內(nèi)部的系統(tǒng)使用者都需要一個(gè)獨(dú)立的帳號(hào)進(jìn)行系統(tǒng)的使用和查詢，考慮到安全系統(tǒng)的重要性，每個(gè)用戶還需要有特定的權(quán)限，這個(gè)需要系統(tǒng)管理員根據(jù)每個(gè)用戶的職責(zé)進(jìn)行授權(quán)。其次，在授權(quán)管理滯后，管理者需要運(yùn)用自己的管理權(quán)限將各個(gè)相關(guān)的規(guī)劃上傳至系統(tǒng)，這樣一來(lái)每個(gè)員工都可以清晰明了的看到每個(gè)時(shí)期的安全記錄。再次，就是安全規(guī)劃方面的計(jì)劃需要在系統(tǒng)首頁(yè)進(jìn)行現(xiàn)實(shí)，這樣每個(gè)用戶可以了解到與自己先關(guān)的任務(wù)信息，通過(guò)這個(gè)在自己的工作中了解到重點(diǎn)在哪里。管理者也能根據(jù)此信息制定一個(gè)比較詳細(xì)合理的監(jiān)督時(shí)間，及時(shí)對(duì)下級(jí)工作狀態(tài)進(jìn)行檢查，通過(guò)監(jiān)察記錄將相關(guān)信息記錄在系統(tǒng)。

3進(jìn)行系統(tǒng)研發(fā)時(shí)的注意事項(xiàng)

3.1加強(qiáng)對(duì)鋁礦安全標(biāo)準(zhǔn)化管理信息系統(tǒng)的認(rèn)識(shí)

對(duì)于整個(gè)集團(tuán)的員工要加強(qiáng)安全系統(tǒng)的宣傳教育，從思想上意識(shí)上重視安全生產(chǎn)。同時(shí)對(duì)于這一安全系統(tǒng)的建設(shè)做好準(zhǔn)備，與此同時(shí)可以將鋁礦工作中的安全隱患在員工的思想中重申一遍，可以使得自身對(duì)于生命安全的保障有更加充足的認(rèn)識(shí)。

3.2處理好鋁礦安全質(zhì)量標(biāo)準(zhǔn)化的工作

在進(jìn)行安全標(biāo)準(zhǔn)化管理信息系統(tǒng)建設(shè)的時(shí)候，做好部門分工，尤其是管理人員，一定要明確自己部門的工作，做好分管部門的日常工作和分工，從而帶動(dòng)下級(jí)積極建設(shè)鋁礦安全標(biāo)準(zhǔn)化管理。另外，一定要合理安排經(jīng)驗(yàn)豐富的員工進(jìn)行定期的安全工作檢查，并根據(jù)檢查情況制定合理的解決辦法，從而提高鋁礦企業(yè)的運(yùn)作效率。

3.3對(duì)于鋁礦安全標(biāo)準(zhǔn)化管理信息系統(tǒng)的建設(shè)，要明確分工職責(zé)

第9篇

醫(yī)院信息系統(tǒng)的常態(tài)運(yùn)行和醫(yī)療數(shù)據(jù)資源的保存、利用與開發(fā)對(duì)醫(yī)院發(fā)展起著非常重要的作用．因此作為信息系統(tǒng)的“神經(jīng)中樞”及數(shù)據(jù)存儲(chǔ)中心的機(jī)房標(biāo)準(zhǔn)設(shè)計(jì)就顯得尤為重要。如何使中心機(jī)房?jī)?nèi)的設(shè)備安全有效地運(yùn)行，如何保證數(shù)據(jù)及時(shí)有效地滿足醫(yī)院應(yīng)用，很重要的一個(gè)環(huán)節(jié)就是計(jì)算機(jī)機(jī)房建設(shè)。中心機(jī)房的安全應(yīng)注意計(jì)算機(jī)機(jī)房的場(chǎng)地環(huán)境、計(jì)算機(jī)設(shè)備及場(chǎng)地的防雷、防火和機(jī)房用電安全技術(shù)的要求等問(wèn)題。機(jī)房安全是整個(gè)計(jì)算機(jī)系統(tǒng)安全的前提，所以在新建、改建和擴(kuò)建的計(jì)算機(jī)機(jī)房，在具體施工建設(shè)中都有許多技術(shù)問(wèn)題要解決，從計(jì)算機(jī)系統(tǒng)自身存在的問(wèn)題、環(huán)境導(dǎo)致的安全問(wèn)題和人為的錯(cuò)誤操作及各種計(jì)算機(jī)犯罪導(dǎo)致的安全問(wèn)題入手，規(guī)范機(jī)房管理，機(jī)房安全是可以得到保障的。

2服務(wù)器及服務(wù)器操作系統(tǒng)安全

隨著醫(yī)院業(yè)務(wù)對(duì)IT系統(tǒng)的依賴不斷增大，用戶對(duì)于醫(yī)院系統(tǒng)的可用性要求也不斷上升。一旦某一臺(tái)服務(wù)器由于軟件、硬件或人為原因發(fā)生問(wèn)題時(shí)，系統(tǒng)必須維持正常運(yùn)行。因此，應(yīng)采用雙機(jī)熱備份的方式實(shí)現(xiàn)系統(tǒng)集群，提高系統(tǒng)可用性。服務(wù)器以主從或互備方式工作，通過(guò)心跳線偵查另一臺(tái)服務(wù)器的工作情況，一旦某臺(tái)機(jī)器發(fā)生故障，另外一臺(tái)立即自動(dòng)接管，

變成工作主機(jī)，平時(shí)某臺(tái)機(jī)器需要重啟時(shí)，管理員可以在節(jié)點(diǎn)間任意切換，整個(gè)過(guò)程只要幾秒鐘，將系統(tǒng)中斷的影響降到最低。此外，還可以采用第三臺(tái)服務(wù)器做集群的備份服務(wù)器。在制度上，建立服務(wù)器管理制度及防護(hù)措施，如：安全審計(jì)、入侵檢測(cè)（IDS）、防病毒、定期檢查運(yùn)行情況、定期重啟等。

3網(wǎng)絡(luò)安全

惡意攻擊是醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信急。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。網(wǎng)絡(luò)黑客和計(jì)算機(jī)病毒對(duì)企業(yè)網(wǎng)絡(luò)(內(nèi)聯(lián)網(wǎng))和公網(wǎng)安全構(gòu)成巨大威脅，每年企業(yè)和網(wǎng)絡(luò)運(yùn)營(yíng)商都要花費(fèi)大量的人力和物力用于這方而的網(wǎng)絡(luò)安全防范，因此防范人為的惡意攻擊將是醫(yī)院網(wǎng)絡(luò)安全工作的重點(diǎn)。

醫(yī)院網(wǎng)絡(luò)信息安全是一個(gè)整體的問(wèn)題，系統(tǒng)網(wǎng)絡(luò)所產(chǎn)生數(shù)據(jù)是醫(yī)院賴以生存的寶貴財(cái)富，一旦數(shù)據(jù)丟失或出現(xiàn)其他問(wèn)題，都會(huì)給醫(yī)院建設(shè)帶來(lái)不可估量巨大的損失。所以必須高度重視，必須要從管理與技術(shù)相結(jié)合的高度，制定與時(shí)俱進(jìn)的整體管理策略，并切實(shí)認(rèn)真地實(shí)施這些策略，才能達(dá)到提高網(wǎng)絡(luò)信息系統(tǒng)安全性的目的。

4數(shù)據(jù)庫(kù)安全

在醫(yī)院信息系統(tǒng)的后臺(tái)，數(shù)據(jù)信息是整個(gè)系統(tǒng)的靈魂，其安全性至關(guān)重要，而數(shù)據(jù)庫(kù)管理系統(tǒng)是保證數(shù)據(jù)能有效保存、查詢、分析等的基礎(chǔ)；數(shù)據(jù)被安全存儲(chǔ)、合法地訪問(wèn)數(shù)據(jù)庫(kù)以及跟蹤監(jiān)視數(shù)據(jù)庫(kù)，都必須具有數(shù)據(jù)有效訪問(wèn)權(quán)限，所以應(yīng)該實(shí)現(xiàn)：數(shù)據(jù)庫(kù)管理系統(tǒng)提供的用戶名、口令識(shí)別，試圖、使用權(quán)限控制、審計(jì)、數(shù)據(jù)加密等管理措施；數(shù)據(jù)庫(kù)權(quán)限的劃分清晰，如登錄權(quán)限、資源管理權(quán)限和數(shù)據(jù)庫(kù)管理權(quán)限；數(shù)據(jù)表的建立、數(shù)據(jù)查詢、存儲(chǔ)過(guò)程的執(zhí)行等的權(quán)限必須清晰；建立用戶審計(jì)，記錄每次操作的用戶的詳細(xì)情況；建立系統(tǒng)審計(jì)，記錄系統(tǒng)級(jí)命令和數(shù)據(jù)庫(kù)服務(wù)器本身的使用情況。

醫(yī)院如何開展信息安全工作，應(yīng)該本著從實(shí)際出發(fā)的精神，先進(jìn)行風(fēng)險(xiǎn)評(píng)估，研究信息系統(tǒng)存在的漏洞缺陷、面臨的風(fēng)險(xiǎn)與威脅，對(duì)于可能發(fā)現(xiàn)的漏洞、風(fēng)險(xiǎn)，制定相應(yīng)的策略:首先在技術(shù)上，確定操作系統(tǒng)類型、安全級(jí)別，以選擇合適的安全的服務(wù)器系統(tǒng)和相關(guān)的安全硬件；再確定適當(dāng)?shù)木W(wǎng)絡(luò)系統(tǒng)，從安全角度予以驗(yàn)證；選擇合適的應(yīng)用系統(tǒng)，特別要強(qiáng)調(diào)應(yīng)用系統(tǒng)的身份認(rèn)證與授權(quán)。在行為上，對(duì)網(wǎng)絡(luò)行為、各種操作進(jìn)行實(shí)時(shí)的監(jiān)控，對(duì)各種行為規(guī)范進(jìn)行分類管理，規(guī)定行為規(guī)范的范圍和期限，對(duì)不同類型、不同敏感度的信息，規(guī)定合適的管理制度和使用方法，限制一些不安全的行為。在管理上，制定各項(xiàng)安全制度，并定期檢查、督促落實(shí)；確定醫(yī)院的安全領(lǐng)導(dǎo)小組，合理分配職責(zé)，做到責(zé)任到人。

當(dāng)然，還要意識(shí)到信息安全工作的開展有可能會(huì)影響到系統(tǒng)使用的方便性，畢竟，安全和方便是矛盾的統(tǒng)一體，要安全就不會(huì)很方便，相關(guān)工作效率必定降低，要方便則安全得不到保證，因此必須權(quán)衡估量。

參考文獻(xiàn)：

[1]王淑容，劉平.醫(yī)院管理信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).四川輕化工學(xué)院學(xué)報(bào).2002.

[2]上海市醫(yī)院計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)安全策略.上海市衛(wèi)生局信息中心.2003.