網(wǎng)絡(luò)資產(chǎn)安全管理精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)資產(chǎn)安全管理主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)資產(chǎn)安全管理范文

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長，用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強，對電信運營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險評估和加固的實踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險、弱點、評估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對信息安全的定義是“保護信息系統(tǒng)和信息，防止其因為偶然或惡意侵犯而導(dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運行”。所以說信息安全應(yīng)該理解為一個動態(tài)的管理過程，通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。

信息安全管理的本質(zhì)，可以看作是動態(tài)地對信息安全風(fēng)險的管理，即要實現(xiàn)對信息和信息系統(tǒng)的風(fēng)險進行有效管理和控制。標(biāo)準(zhǔn)ISO15408－1（信息安全風(fēng)險管理和評估規(guī)則），給出了一個非常經(jīng)典的信息安全風(fēng)險管理模型，如下圖一所示：

圖一信息安全風(fēng)險管理模型

既然信息安全是一個管理過程，則對PDCA模型有適用性，結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT（計劃－實施與部署－監(jiān)控與評估－維護和改進）的循環(huán)過程。

圖二信息安全體系的“PDCA”管理模型

2建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實際情況，建設(shè)適合于自身的ISMS信息安全管理體系，ISMS的構(gòu)建包含以下主要步驟：

（1）確定ISMS的范疇和安全邊界

（2）在范疇內(nèi)定義信息安全策略、方針和指南

（3）對范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進行風(fēng)險評估

a)Planning（規(guī)劃）

b)InformationGathering（信息搜集）

c)RiskAnalysis（風(fēng)險分析）

uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評估)

uThreatAnalysis（威脅分析）

uVulnerabilityAnalysis（弱點分析）

u資產(chǎn)/威脅/弱點的映射表

uImpact&LikelihoodAssessment（影響和可能性評估）

uRiskResultAnalysis（風(fēng)險結(jié)果分析）

d)Identifying&SelectingSafeguards（鑒別和選擇防護措施）

e)Monitoring&Implementation（監(jiān)控和實施）

f)Effectestimation（效果檢查與評估）

（4）實施和運營初步的ISMS體系

（5）對ISMS運營的過程和效果進行監(jiān)控

（6）在運營中對ISMS進行不斷優(yōu)化

3IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理主要實踐步驟

目前，寬帶IP網(wǎng)絡(luò)所接入的客戶對網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來越高，且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運營者意識到有必要對IP寬帶網(wǎng)絡(luò)進行系統(tǒng)的安全管理，以使得能夠動態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險。

由于網(wǎng)絡(luò)運營者目前對于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗和人才隊伍，所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類咨詢項目一般按照以下幾個階段，進行項目實踐：

3.1項目準(zhǔn)備階段。

a)主要搜集和分析與項目相關(guān)的背景信息；

b)和客戶溝通并明確項目范圍、目標(biāo)與藍(lán)圖；

c)建議并明確項目成員組成和分工；

d)對項目約束條件和風(fēng)險進行聲明；

e)對客戶領(lǐng)導(dǎo)和項目成員進行意識、知識或工具培訓(xùn)；

f)匯報項目進度計劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。

3.2項目執(zhí)行階段。

a)在項目范圍內(nèi)進行安全域劃分；

b)分安全域進行資料搜集和訪談，包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機和數(shù)據(jù)庫配置信息、機房和環(huán)境安全條件、已有的安全防護措施、曾經(jīng)發(fā)生過的安全事件信息等；

c)在各個安全域進行資產(chǎn)鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析，形成資產(chǎn)表、威脅評估表、風(fēng)險評估表和風(fēng)險關(guān)系映射表；

d)對存在的主要風(fēng)險進行風(fēng)險等級綜合評價，并按照重要次序，給出相應(yīng)的防護措施選擇和風(fēng)險處置建議。

3.3項目總結(jié)階段

a)項目中產(chǎn)生的策略、指南等文檔進行審核和批準(zhǔn)；

b)對項目資產(chǎn)鑒別報告、風(fēng)險分析報告進行審核和批準(zhǔn)；

c)對需要進行的相關(guān)風(fēng)險處置建議進行項目安排；

4IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理實踐要點分析

運營商IP寬帶網(wǎng)絡(luò)和常見的針對以主機為核心的IT系統(tǒng)的安全風(fēng)險管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險管理的方法和資料。在項目執(zhí)行的不同階段，需要特別注意以下要點：

4.1安全目標(biāo)

充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量。

4.2項目范疇

應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng)：如網(wǎng)管系統(tǒng)、AAA平臺、DNS等。

4.3項目成員

應(yīng)該得到運營商高層領(lǐng)導(dǎo)的明確支持，項目組長應(yīng)該具備管理大型安全咨詢項目經(jīng)驗的人承擔(dān)，且項目成員除了包含一些專業(yè)安全評估人員之外，還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員。

4.4背景信息搜集：

背景信息搜集之前，應(yīng)該對信息搜集對象進行分組，即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含：

a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)

b)城域網(wǎng)結(jié)構(gòu)和配置

c)接入網(wǎng)結(jié)構(gòu)和配置

d)AAA平臺系統(tǒng)結(jié)構(gòu)和配置

e)DNS系統(tǒng)結(jié)構(gòu)和配置

f)相關(guān)主機和設(shè)備的軟硬件信息

g)相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口

h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲和安全需求信息

i)已有的安全事故記錄

j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施

k)相關(guān)機房的物理環(huán)境信息

l)已有的安全管理策略、規(guī)定和指南

m)其它相關(guān)

4.5資產(chǎn)鑒別

資產(chǎn)鑒別應(yīng)該自頂向下進行鑒別，必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺、DNS平臺、網(wǎng)管系統(tǒng)等一級資產(chǎn)組；然后可以在一級資產(chǎn)組內(nèi)，按照功能或地域進行劃分二級資產(chǎn)組，如AAA平臺一級資產(chǎn)組可以劃分為RADIUS組、DB組、計費組、網(wǎng)絡(luò)通信設(shè)備組等二級資產(chǎn)組；進一步可以針對各個二級資產(chǎn)組的每個設(shè)備進行更為細(xì)致的資產(chǎn)鑒別，鑒別其設(shè)備類型、地址配置、軟硬件配置等信息。

4.6威脅分析

威脅分析應(yīng)該具有針對性，即按照不同的資產(chǎn)組進行針對性威脅分析。如針對IP城域網(wǎng)，其主要風(fēng)險可能是：蠕蟲、P2P、路由攻擊、路由設(shè)備入侵等；而對于DNS或AAA平臺，其主要風(fēng)險可能包括：主機病毒、后門程序、應(yīng)用服務(wù)的DOS攻擊、主機入侵、數(shù)據(jù)庫攻擊、DNS釣魚等。

4.7威脅影響分析

是指對不同威脅其可能造成的危害進行評定，作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運營商意見，尤其要充分考慮威脅發(fā)生后可能造成的社會影響和信譽影響。

4.8威脅可能性分析

是指某種威脅可能發(fā)生的概率，其發(fā)生概率評定非常困難，所以一般情況下都應(yīng)該采用定性的分析方法，制定出一套評價規(guī)則，主要由運營商管理人員按照規(guī)則進行評價。

第2篇：網(wǎng)絡(luò)資產(chǎn)安全管理范文

關(guān)鍵詞：終端；安全；管理

1 網(wǎng)絡(luò)終端管理面臨的問題

1.1 終端安全管理問題

在終端使用U盤，尤其是外來U盤等移動介質(zhì)比較容易把計算機病毒帶進內(nèi)網(wǎng)，終端管理員對移動介質(zhì)的安全使用無法有效管控。有一些辦公計算機非法使用違規(guī)軟件，安裝使用與辦公無關(guān)的軟件，管理員無法對軟件的安裝過程及軟件執(zhí)行所啟動的進程進行控制，對于其他不安全的進程以及服務(wù)也沒辦法加以監(jiān)控。管理員無法快捷知曉單位到底有多少網(wǎng)終端，桌面終端是否已經(jīng)全部安裝公司統(tǒng)一版本的防病毒系統(tǒng)，重要補丁的安裝率是否已經(jīng)達到公司的安全管理要求等。

1.2 非法外聯(lián)問題

雖然每年都進行全員的信息安全知識培訓(xùn)宣傳，但是供電企業(yè)依然存在有內(nèi)網(wǎng)終端用戶通過撥號或3G上網(wǎng)卡等形式私自接入外部網(wǎng)絡(luò)的情況。這種情況等于給黑客開了一個后門，黑客極可能通過該主機進而對內(nèi)部網(wǎng)絡(luò)的其他主機進行攻擊，直接威脅供電企業(yè)信息網(wǎng)絡(luò)的安全性，更為嚴(yán)重的會導(dǎo)致內(nèi)部資料的泄露，給單位造成無法逆轉(zhuǎn)的嚴(yán)重?fù)p失。

1.3 IT資產(chǎn)管理問題

對于一個創(chuàng)建國際先進國內(nèi)領(lǐng)先的電網(wǎng)公司來講，資產(chǎn)全生命周期管理尤為重要。在信息領(lǐng)域，IT資產(chǎn)的精細(xì)化管理將是非常重要的一個組成部分。但是目前IT資產(chǎn)的管理現(xiàn)狀是基本上是手工登記資產(chǎn)，資產(chǎn)的變更統(tǒng)計更新不及時，信息管理員不能全面的掌握終端計算機的軟硬件資產(chǎn)，對于終端上硬件的變化就無從知曉，可能造成單位硬件資產(chǎn)的流失。

1.4 終端維護管理效率問題

供電企業(yè)內(nèi)網(wǎng)終端數(shù)量龐大，地點分散，個別營業(yè)廳地處偏僻，如某供電局19個供電所分布在各個山區(qū)鄉(xiāng)鎮(zhèn)，離市區(qū)距離遠(yuǎn)，現(xiàn)場維護工作非常麻煩，信息運維人員處理一些簡單的問題來回都得花一天時間。本來信息班人手就不足，只有三人，到現(xiàn)場處理一個很小的問題花一天時間，終端維護管理效率非常低，同時也造成人力資源的巨大浪費。

2 桌面管理系統(tǒng)架構(gòu)及管理部署

為了解決以上內(nèi)網(wǎng)桌面終端安全管理所遇到的幾個問題，公司部署上線了統(tǒng)一桌面管理系統(tǒng)。系統(tǒng)主要由安裝在各計算機設(shè)備上的客戶端（Client）軟件和安裝在管理服務(wù)器上的控制端（Server）軟件兩部分進行功能處理，供電局不同區(qū)域部門將終端信息上報，管理人員通過前臺瀏覽器（Browser）訪問后臺管理信息數(shù)據(jù)庫（Server）對終端設(shè)備情況進行管理，包括策略指定，終端違規(guī)行為報警日志分析等。首先終端計算機注冊北信源桌面安全管理客戶端，將終端信息上報給服務(wù)器主程序，北信源服務(wù)器主程序就是這里說說的區(qū)域管理器，區(qū)域管理器將終端信息寫入管理信息庫及（sql數(shù)據(jù)庫）。管理員通過中央管理配置平臺（web管理平臺）進行信息查詢和指令下達。區(qū)域管理器通過對指令的分析處理再下達給客戶端。

本系統(tǒng)可以進行無限制的多級級聯(lián)部署，各級網(wǎng)絡(luò)獨立安裝相應(yīng)的管理軟件。下級管理節(jié)點統(tǒng)一匯總本級的報警信息和統(tǒng)計信息，統(tǒng)一上報管理節(jié)點；上級管理節(jié)點的管理策略、命令。系統(tǒng)將來可根據(jù)實際需要在客戶端數(shù)量、管理層次和功能擴展上進行無縫平滑擴展。供電企業(yè)內(nèi)部通過系統(tǒng)級聯(lián)，實現(xiàn)對下級地市服務(wù)器的管理。一級就是廣東電網(wǎng)有限責(zé)任公司，下級是19個地市局。級聯(lián)之后，各地市供電局可以對自己區(qū)域進行單獨管理，省公司對下級進行統(tǒng)一的部分強制管理及有效的報警信息篩選。

這是客戶端、服務(wù)器、管理配置平臺三者之間的一個關(guān)系圖（見圖1）。

3 桌面管理系統(tǒng)實現(xiàn)功能及預(yù)計達到的效果

3.1 終端安全管理

系統(tǒng)實現(xiàn)對移動介質(zhì)進行注冊管理，只有經(jīng)過桌面系統(tǒng)注冊過的移動存儲設(shè)備才可以在供電企業(yè)內(nèi)網(wǎng)計算機使用，有效防止U盤病毒感染桌面終端。通過檢查和審計注冊表，防止未授權(quán)用戶添加、更改、刪除注冊表相關(guān)內(nèi)容，審計用戶訪問注冊表的操作，如出現(xiàn)違規(guī)注冊表項時進行客戶端提示或上報，有效防止非法使用違規(guī)軟件。通過本地注冊情況統(tǒng)計，可以清晰地看出本地計算機注冊數(shù)、安裝殺毒軟件數(shù)量、已打重要補丁臺數(shù)、殺毒軟件覆蓋率、重要補丁安裝率等重要信息安全考核指標(biāo)，如達不到公司的要求立刻整改。

3.2 非法外聯(lián)行為監(jiān)控

系統(tǒng)提供了通過審計報警違規(guī)外聯(lián)事件檢索可以實現(xiàn)非法外聯(lián)告警功能，可以對所有安裝了此系統(tǒng)的桌面終端進行實時監(jiān)控。監(jiān)視內(nèi)網(wǎng)中違規(guī)網(wǎng)絡(luò)連接（私自接入3G網(wǎng)卡等）行為，一旦發(fā)現(xiàn)內(nèi)網(wǎng)計算機接入互聯(lián)網(wǎng)或者其它網(wǎng)絡(luò)，客戶端立即進行本機報警，并對違規(guī)行為做出相應(yīng)的處理，如關(guān)機、斷網(wǎng)、鎖定等，同時上報到中央控制臺，為管理員的安全管理提供重要信息。

3.3 IT資產(chǎn)管理

桌面終端安裝客戶端程序注冊成功后，客戶端程序會自動收集主機CPU、內(nèi)存、硬盤、網(wǎng)卡MAC地址、主板芯片、主板上的板卡等主要硬件信息并自動上報給服務(wù)器端。信息管理人員登錄管理平臺后通過按區(qū)域查詢資產(chǎn)信息即可以查看本單位所有內(nèi)網(wǎng)終端信息，還可以通過硬件變化查詢來了解硬件變化情況，并可對其變化報警。這樣保證了內(nèi)網(wǎng)終端硬件設(shè)備的有效管理，防止資產(chǎn)流失。

3.4 終端遠(yuǎn)程維護管理

系統(tǒng)提供遠(yuǎn)程協(xié)助功能，此功能是在服務(wù)器端對客戶端機器進行的“接管”級別的操作。信息運維人員可以通過輸入IP地址、計算機名或者用戶名查找出需要遠(yuǎn)程控制的終端，向此終端發(fā)送對話框式的消息待對方接受后進行點對點控制。通過這一功能進行終端常見故障的排除和遠(yuǎn)程解決，大大節(jié)省人力物力，有效解決信息運維人員對內(nèi)網(wǎng)終端維護管理效率低下的問題。

4 結(jié)束語

以上所列出的只是工作中經(jīng)常使用的桌面管理系統(tǒng)中的一部份功能，通過實施桌面管理系統(tǒng)項目，實現(xiàn)對桌面終端的安全管理、遠(yuǎn)程控制、資產(chǎn)管理和審計報警管理的需要，解決了企業(yè)內(nèi)網(wǎng)桌面終端安全管理中的若干問題，同時也減輕了信息運維人員的工作，保證網(wǎng)絡(luò)的暢通，更加確保了日常工作的正常運行。此系統(tǒng)的部署和應(yīng)用有效提高桌面終端的安全管理水平，提升了桌面終端運行維護自動化程度和桌面終端運行維護服務(wù)水平，提高了IT資產(chǎn)管理的精細(xì)化水平和供電企業(yè)信息化管理水平。

參考文獻

[1]何斌，張立厚.信息管理：原理與方法[M].北京：清華大學(xué)出版社，2006.

[2]王義申.終端安全管理系統(tǒng)在企事業(yè)單位內(nèi)網(wǎng)應(yīng)用的分析[J].計算機安全，2007，7.

[3]柴育峰.桌面終端系統(tǒng)在企業(yè)內(nèi)網(wǎng)的應(yīng)用[J].科技視界，2012，2.

第3篇：網(wǎng)絡(luò)資產(chǎn)安全管理范文

隨著計算機信息技術(shù)的高速發(fā)展，人們工作、生活越來越離不開網(wǎng)絡(luò)，網(wǎng)絡(luò)是企業(yè)辦公的重要信息載體和傳輸渠道。網(wǎng)絡(luò)的普及不但提高了人們的工作效率，微信等通訊工具使人們通訊和交流變得越來越簡單，各種云端存儲使海量信息儲存成為現(xiàn)實。

2石油行業(yè)信息網(wǎng)絡(luò)安全管理存在的安全隱患

無論是反病毒還是反入侵，或者對其他安全威脅的防范，其目的主要都是保護數(shù)據(jù)的安全———避免公司內(nèi)部重要數(shù)據(jù)的被盜或丟失、無意識泄密、違反制度的泄密、主動泄密等行為。

2.1外部非法接入。

包括客戶、訪客、合作商、合作伙伴等在不經(jīng)過部門信息中心允許情況下與油田公司網(wǎng)絡(luò)的連接，而這些電腦在很多時候是游離于企業(yè)安全體系的有效管理之外的。

2.2局域網(wǎng)病毒、惡意軟件的泛濫。

公司內(nèi)部員工對電腦的了解甚少，沒有良好的防范意識，造成病毒、惡意軟件在局域網(wǎng)內(nèi)廣泛傳播以至于影響到網(wǎng)絡(luò)系統(tǒng)的正常運行。

2.3資產(chǎn)管理失控。

網(wǎng)絡(luò)用戶存在不確定性，每個資產(chǎn)硬件配件（cpu、硬盤、內(nèi)存等）隨意拆卸組裝，隨意更換計算機系統(tǒng)，應(yīng)用軟件安裝混亂，外設(shè)（U盤、移動硬盤等）無節(jié)制使用。

2.4網(wǎng)絡(luò)資源濫用。

IP未經(jīng)允許被占用，違規(guī)使用，瘋狂下載電影占用網(wǎng)絡(luò)帶寬和流量，上班時間聊天、游戲等行為，影響網(wǎng)絡(luò)的穩(wěn)定，降低了運行效率。

3常用技術(shù)防范措施與應(yīng)用缺陷

3.1防火墻技術(shù)。

目前，防火墻技術(shù)已經(jīng)成為網(wǎng)絡(luò)中必不可少的環(huán)節(jié)，通過防火墻技術(shù)，實現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離，使用有效的安全設(shè)置一定程度上保障了企業(yè)局域網(wǎng)的安全。

3.2計算機病毒防護技術(shù)。

即通過建立SYMANTEC網(wǎng)絡(luò)防病毒軟件系統(tǒng)，為企業(yè)內(nèi)部員工提供有效的桌面安全防護技術(shù)手段，提高了計算機終端防病毒與查殺病毒的能力。

3.3入侵檢測系統(tǒng)。

入侵檢測幫助辦公計算機系統(tǒng)應(yīng)對網(wǎng)絡(luò)攻擊，提高了系統(tǒng)安全管理員的管理能力，保持了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。從網(wǎng)絡(luò)中的各個關(guān)鍵點收集和分析信息，確認(rèn)網(wǎng)絡(luò)中是否存在違反安全策略的行為和遭到網(wǎng)絡(luò)攻擊的可疑跡象。

3.4應(yīng)用網(wǎng)絡(luò)分析器檢測網(wǎng)絡(luò)運行狀況。

部署如Sniffer等掃描工具，通過其對網(wǎng)絡(luò)中某臺主機或整個網(wǎng)絡(luò)的數(shù)據(jù)進行檢測、分析、診斷、將網(wǎng)絡(luò)中的故障、安全、性能問題形象地展現(xiàn)出來。為監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況等提供了有效的管理手段。

3.5交換機安全管理配置策略。

綜合評估石油企業(yè)網(wǎng)絡(luò)，在節(jié)點設(shè)備部署上以可控設(shè)備為主，通常的可控設(shè)備都具備遵循標(biāo)準(zhǔn)協(xié)議的網(wǎng)絡(luò)安全方案。較為常用的安全策略包括IP與MAC綁定、ACL訪問控制、QOS等。通過一系列的安全策略，有效提高了對企業(yè)網(wǎng)絡(luò)的管理。

3.6部署內(nèi)網(wǎng)安全管理系統(tǒng)。

目前，企業(yè)局域網(wǎng)的安全威脅70%來自于內(nèi)部員工的計算機。針對計算機終端桌面存在的問題，目前出現(xiàn)的主流產(chǎn)品是內(nèi)網(wǎng)安全管理系統(tǒng)。其采取C/S架構(gòu)，實現(xiàn)對網(wǎng)絡(luò)終端的強制性管理方法。后臺管理中心采取B/S結(jié)構(gòu)，實現(xiàn)與管理終端交互式管控。

4多種技術(shù)措施聯(lián)動，保障網(wǎng)絡(luò)與信息安全

4.1網(wǎng)絡(luò)邊界管理

①防火墻。通過包過濾技術(shù)來實現(xiàn)允許或阻隔訪問與被訪問的對象，對通過內(nèi)容進行過濾以保護用戶有效合法獲取網(wǎng)絡(luò)信息；通過防火墻上的NAT技術(shù)實現(xiàn)內(nèi)外地址動態(tài)轉(zhuǎn)換，使需要保護的內(nèi)部網(wǎng)絡(luò)主機地址映射成防火墻上的為數(shù)不多的互聯(lián)網(wǎng)IP地址。②入侵檢測系統(tǒng)。入侵檢測作為防火墻的合理補充，幫助辦公計算機系統(tǒng)應(yīng)對網(wǎng)絡(luò)攻擊，提高了系統(tǒng)安全管理員的管理能力，保持了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。③防病毒系統(tǒng)。應(yīng)用防病毒技術(shù)，建立全面的網(wǎng)絡(luò)防病毒體系；在網(wǎng)絡(luò)中心或匯聚中心選擇部署諸如Symantec等防病毒服務(wù)器，按照分級方式，實行服務(wù)器到終端機強制管理方式，實現(xiàn)逐級升級病毒定義文件，制定定期病毒庫升級與掃描策略，提高計算機終端防病毒與查殺病毒的能力。

4.2安全桌面管理。

桌面安全管理產(chǎn)品能夠解決網(wǎng)絡(luò)安全管理工作中遇到的常見問題。在網(wǎng)絡(luò)安全管理中提高了對計算機終端的控制能力，企業(yè)桌面安全管理系統(tǒng)包括區(qū)域配置管理、安全策略、補丁分發(fā)、數(shù)據(jù)查詢、終端管理、運維監(jiān)控、報表管理、報警管理、級聯(lián)總控、系統(tǒng)維護等。

4.3網(wǎng)絡(luò)信息管理。

對于網(wǎng)絡(luò)信息要按等級采取相應(yīng)必要的隔離手段：①建立專網(wǎng)，達到專網(wǎng)專用；②信息通過技術(shù)手段進行加密管理；③信息與互聯(lián)網(wǎng)隔離。

4.4網(wǎng)絡(luò)安全管理防范體系。

根據(jù)防范網(wǎng)絡(luò)安全攻擊的需求、對應(yīng)安全機制需要的安全服務(wù)等因素以及需要達到的安全目標(biāo)，參照“系統(tǒng)安全工程能力成熟模型”和信息安全管理標(biāo)準(zhǔn)等國際標(biāo)準(zhǔn)。

5結(jié)束語

第4篇：網(wǎng)絡(luò)資產(chǎn)安全管理范文

關(guān)鍵詞：電力；信息化；安全問題

中圖分類號：[TM622]文獻標(biāo)識碼：A

一、電力系統(tǒng)信息安全概念和保護現(xiàn)狀

電力系統(tǒng)信息安全是電力系統(tǒng)安全運行和對社會可靠供電的保障，是一項涉及電網(wǎng)調(diào)度自動化、繼電保護及安全裝置、廠、站自動化、配電網(wǎng)自動化、電力負(fù)荷控制、電力市場交易、電力營銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營和管理方面的多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。結(jié)合電力工業(yè)特點，電力工業(yè)信息網(wǎng)絡(luò)系統(tǒng)和電力運行實時控制系統(tǒng)，分析電力系統(tǒng)信息安全存在的問題，電力系統(tǒng)信息沒有建立安全體系，只是購買了防病毒軟件和防火墻。有的網(wǎng)絡(luò)連防火墻也沒有，沒有對網(wǎng)絡(luò)安全做統(tǒng)一長遠(yuǎn)的歸劃。網(wǎng)絡(luò)中有許多的安全隱患。因此急需建立同電力行業(yè)特點相適應(yīng)的計算機信息安全體系。

二、目前電力企業(yè)網(wǎng)絡(luò)信息安全管理存在的主要問題

電力企業(yè)在網(wǎng)絡(luò)信息安全管理方面存在以下問題。

（一）信息化機構(gòu)建設(shè)尚需進一步健全

信息部門未受到應(yīng)有的重視。信息部門在電力公司沒有專門機構(gòu)配置，沒有規(guī)范的建制和崗位，這種狀況勢必不能適應(yīng)信息化對人才、機構(gòu)的要求。

（二） 企業(yè)管理革新滯后于信息化發(fā)展進程

相對于信息技術(shù)的發(fā)展與應(yīng)用，電力企業(yè)管理革新處于落后狀況，最終導(dǎo)致了信息系統(tǒng)未能發(fā)揮預(yù)期的、應(yīng)有的作用。

（三）網(wǎng)絡(luò)信息安全管理需要成為企業(yè)安全文化的重要組成部分

目前，在電力企業(yè)安全文化建設(shè)中，信息安全管理仍然處于從屬地位，需要進行不斷努力，使之成為企業(yè)安全文化的中堅力量。

（四）網(wǎng)絡(luò)信息安全風(fēng)險的存在

電力企業(yè)網(wǎng)絡(luò)信息安全與一般企業(yè)網(wǎng)絡(luò)信息同樣具備多方面的安全風(fēng)險，主要表現(xiàn)在以下幾方面：

1、網(wǎng)絡(luò)結(jié)構(gòu)不合理

2、來自互聯(lián)網(wǎng)的風(fēng)險

3、來自企業(yè)內(nèi)部的風(fēng)險

4 、病毒的侵害

5 、管理人員素質(zhì)風(fēng)險

6、 系統(tǒng)的安全風(fēng)險

三、電力企業(yè)網(wǎng)絡(luò)信息安全管理問題的成因分析

（一）安全意識淡薄是網(wǎng)絡(luò)信息安全的瓶頸

技術(shù)人員往往對網(wǎng)絡(luò)信息的安全性無暇顧及，安全意識相當(dāng)?shù)　ｋ娏ζ髽I(yè)注重的是網(wǎng)絡(luò)效應(yīng)，對安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防范的要求，網(wǎng)絡(luò)信息安全處于被動的封堵漏涮狀態(tài)。

（二） 運行管理機制的缺陷和不足制約了安全防范的力度

從目前的運行管理機制來看，有以下幾方面的缺陷和不足：

1、 網(wǎng)絡(luò)安全管理方面人才匱乏

2、 安全措施不到位

3、缺乏綜合性的解決方案

四、 網(wǎng)絡(luò)信息安全管理的內(nèi)容

（一） 風(fēng)險管理

識別企業(yè)的信息資產(chǎn)，評估威脅這些資產(chǎn)的風(fēng)險，評估假定這些風(fēng)險成為現(xiàn)實時企業(yè)所承受的災(zāi)難和損失。通過降低風(fēng)險、避免風(fēng)險、轉(zhuǎn)嫁風(fēng)險、接受風(fēng)險等多種風(fēng)險管理方式，來協(xié)助管理部門制定企業(yè)信息安全策略。

（二）安全策略

信息安全策略是企業(yè)安全的最高方針，由高級管理部門支持，必須形成書面文檔，廣泛到企業(yè)所有員工手中。

（三）安全教育

信息安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容，其實施力度將直接關(guān)系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證信息安全的成功和有效，高級管理部門應(yīng)當(dāng)對企業(yè)各級管理人員、用戶、技術(shù)人員進行安全培訓(xùn)，所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行企業(yè)信息安全策略。

五、 加強電力企業(yè)網(wǎng)絡(luò)信息安全管理的建議

（一）重視安全規(guī)劃

企業(yè)網(wǎng)絡(luò)安全規(guī)劃的目的就是要對網(wǎng)絡(luò)的安全問題有一個全面的思考，要以系統(tǒng)的觀點去考慮安全問題。要進行有效的安全管理，必須建立起一套系統(tǒng)全面的信息安全管理體系。

（二）合理劃分安全域

電力企業(yè)是完全實行物理隔離的企業(yè)網(wǎng)絡(luò)，在內(nèi)網(wǎng)上仍然要合理劃分安全域。要根據(jù)整體的安全規(guī)劃和信息安全密級，從邏輯上劃分核心重點防范區(qū)域、一般防范區(qū)域和開放區(qū)域。重點防范的區(qū)域是網(wǎng)絡(luò)安全的核心。

（三） 加強安全管理。重視制度建設(shè)

1、加強日志管理與安全審計

2、建立內(nèi)網(wǎng)的統(tǒng)一認(rèn)證系統(tǒng)

3、建立病毒防護體系

4、重視網(wǎng)絡(luò)管理制度建設(shè)

嚴(yán)格的管理制度，是保證企業(yè)信息網(wǎng)絡(luò)安全的重要措施之一。

（1）領(lǐng)導(dǎo)應(yīng)當(dāng)高度重視網(wǎng)絡(luò)信息安全問題。

（2）加強基礎(chǔ)設(shè)施和運行環(huán)境的管理建設(shè)。

（3）建立必要的安全管理制度。

（4）堅持安全管理原則、多人負(fù)責(zé)原則。

(5）定期督導(dǎo)檢查制度。

（四）加強企業(yè)員工和網(wǎng)絡(luò)管理人員安全意識教育

對于網(wǎng)絡(luò)信息安全，企業(yè)員工和網(wǎng)絡(luò)管理人員的素質(zhì)非常重要。

1、在安全教育具體實施過程中應(yīng)該有一定的層次性。

（1)對主管信息安全工作的高級負(fù)責(zé)人或各級管理人員，重點掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部門的建立和管理制度的制訂等。

（2)對負(fù)責(zé)信息安全運行管理及維護的技術(shù)人員，重點是充分理解信息安全管理策略、安全評估基本方法、安全操作和維護技術(shù)運用等。

2、對于特定人員的安全培訓(xùn)

對于關(guān)鍵崗位和特殊崗位的人員，通過送往專業(yè)機構(gòu)學(xué)習(xí)和培訓(xùn)，使其獲得特定的安全方面的知識和技能。

六、總 論

電力網(wǎng)絡(luò)安全是一個系統(tǒng)的，全局的管理問題，網(wǎng)絡(luò)上的任何一個漏洞，都會導(dǎo)致全網(wǎng)的安全問題，我們應(yīng)該用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度以及專業(yè)措施。解決網(wǎng)絡(luò)信息安全問題，技術(shù)是安全的主體，管理是安全的靈魂。加強信息安全管理，建立安全長效機制才能有效的解決電力系統(tǒng)網(wǎng)絡(luò)安全問題，只有將有效的安全管理實踐自始至終貫徹落實于信息安全當(dāng)中，網(wǎng)絡(luò)安全的長期性和穩(wěn)定性才能有所保證。在企業(yè)中建立安全文化，并將網(wǎng)絡(luò)信息安全管理貫徹到整個企業(yè)文化體系中才是最根本的解決辦法。

參考文獻：

[1] 周冰.電力信息化切入核心[J].《信息系統(tǒng)工程》，2003年.

第5篇：網(wǎng)絡(luò)資產(chǎn)安全管理范文

沒有安全，何以生存，遑論發(fā)展；而信息時代安全的核心內(nèi)容之一，便是信息安全。蓋緣于此，世界上主要發(fā)達國家始終十分重視信息安全工作。

1998年5月22日，美國克林頓政府頒布了《保護美國關(guān)鍵基礎(chǔ)設(shè)施》總統(tǒng)令（PDD63），圍繞“信息安全”成立了包括全國信息安全委員會、全國信息安全同盟、關(guān)鍵基礎(chǔ)設(shè)施保障辦公室、首席信息官委員會等10余各全國性機構(gòu)。同年，美國國家安全局（NSA）制定了《信息安全保障框架》（IATF），提出了深度防御策略。2000年發(fā)表了《總統(tǒng)國家安全戰(zhàn)略報告》，首次將信息安全明確列入其中。布什政府在911之后成立了國土安全部、國家KIP委員會，并于2002年和2003年陸續(xù)頒布了《國家保障數(shù)字空間安全策略》、《國家安全戰(zhàn)略報告》和《網(wǎng)絡(luò)空間安全國家戰(zhàn)略計劃》。奧巴馬總統(tǒng)上臺不久，就親自主導(dǎo)了為期60天的信息安全評估項目，并于2009年5月公布了《美國網(wǎng)絡(luò)安全評估》報告，評估了美國政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略、策略和標(biāo)準(zhǔn)，指出了存在的問題，并提出相應(yīng)的行動計劃。在此基礎(chǔ)上，美國政府成立了網(wǎng)絡(luò)安全辦公室，任命了網(wǎng)絡(luò)安全協(xié)調(diào)官。2010年6月，美國國防部正式成立了由戰(zhàn)略司令部領(lǐng)導(dǎo)的網(wǎng)絡(luò)戰(zhàn)司令部，于2010年10月正式運行。2015年年底，美國《網(wǎng)絡(luò)安全法》獲得正式通過，成為美國當(dāng)前規(guī)制網(wǎng)絡(luò)安全信息共享的一部較為完備的法律，首次明確了網(wǎng)絡(luò)安全信息共享的范圍，并通過修訂2002年《國土安全法》的相關(guān)內(nèi)容，規(guī)范國家網(wǎng)絡(luò)安全增強、聯(lián)邦網(wǎng)絡(luò)安全人事評估及其他網(wǎng)絡(luò)事項。

俄羅斯則早在1995年便頒布了《聯(lián)邦信息、信息化和信息保護法》，明確界定了信息資源開放和保密的范疇，提出了保護信息的法律責(zé)任。1997年俄羅斯出臺的《俄羅斯國家安全構(gòu)想》中明確提出，“保障國家安全應(yīng)把保障國家經(jīng)濟安全放在第一位”，而“信息安全又是經(jīng)濟安全的重中之重”。2000年普京總統(tǒng)批準(zhǔn)了《國家信息安全學(xué)說》，明確了俄羅斯聯(lián)邦信息安全建設(shè)的目的、任務(wù)、原則和主要內(nèi)容。

我國政府高度重視信息安全工作，早在1994年，國務(wù)院便以147號令頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》；2003年國務(wù)院成立應(yīng)急辦，頒布了《國家突發(fā)公共衛(wèi)生事件應(yīng)急條例》；2006年公布了《國家突發(fā)公共事件總體應(yīng)急預(yù)案》和《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》，確定了4大公共事件及網(wǎng)絡(luò)信息安全事件的應(yīng)急措施預(yù)案；2007年制定了《國家突發(fā)事件應(yīng)對法》。此外，信息產(chǎn)業(yè)部、工信部以及各地方政府和部門在近十余年時間里也陸續(xù)出臺了各類與信息安全相關(guān)的法律法規(guī)。信息安全在我國的國家層面上受到高度重視，目前已上升為國家戰(zhàn)略。相應(yīng)地，信息安全工作也已成為各行各業(yè)信息化戰(zhàn)略規(guī)劃和信息化建設(shè)中不可或缺的內(nèi)容，氣象部門也不例外。

信息安全是一個永恒的主題，信息安全工作永遠(yuǎn)沒有終結(jié)的一刻。在國家大力倡導(dǎo)信息化、互聯(lián)網(wǎng)+、大數(shù)據(jù)應(yīng)用和信息安全的現(xiàn)在，認(rèn)真系統(tǒng)地回顧和審視氣象信息安全工作，是完全必要的，因為這可使我們及早發(fā)現(xiàn)問題、查漏補缺，使氣象信息安全工作進一步發(fā)揮出應(yīng)有的作用。

二、信息安全的本質(zhì)

（一）信息安全的內(nèi)涵和特征

信息是氣象部門最寶貴的資產(chǎn)，是氣象部門賴以立身的最為珍貴的資源。因此，必須對所有氣象信息進行妥善的保護。

按業(yè)界的規(guī)范定義，信息安全主要指信息的保密性、完整性和可用性的保持，即：通過采用計算機軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，保護信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲等各個環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞，保障業(yè)務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，最大限度地獲取業(yè)務(wù)回報。其中：保密性是指確保只有那些被授予特定權(quán)限的人才能夠訪問到信息；完整性是指保證信息和處理方法的正確性和完整性；可用性則是指確保那些已被授權(quán)的用戶在其需要的時候，確實可以訪問到所需信息。此屬常識，不予展開。

信息安全具有如下特征：

1. 信息安全是系統(tǒng)的安全

信息產(chǎn)生于系統(tǒng)、存在于系統(tǒng)、被系統(tǒng)所使用并由系統(tǒng)發(fā)揮其作用，所有與信息相關(guān)的各系統(tǒng)皆必須納入信息安全的視野，予以充分的關(guān)注和考慮。此外，信息安全是整體的安全，所有與信息相關(guān)的部分由信息串聯(lián)而構(gòu)成一個相對完整的系統(tǒng)，它的安全直接關(guān)系到信息的安全。

2. 信息安全是動態(tài)的安全

信息的安全保障是一個動態(tài)的過程，沒有永久的安全，也不存在滿足信息安全的充分條件，信息安全問題不可能一勞永逸地予以解決。保護信息安全不可能是絕對的，而是多種約束條件下的折衷的選擇。隨著事物的發(fā)展和技術(shù)的進步，約束條件必然發(fā)生變化，而約束條件的變化又將必然導(dǎo)致信息安全方針、策略和措施的相應(yīng)調(diào)整和變化。

3. 信息安全是無邊界的安全

網(wǎng)絡(luò)的廣泛互聯(lián)使得信息系統(tǒng)環(huán)境的邊界越來越模糊，傳統(tǒng)意義上的國界、前方和后方正在消失，人們幾乎可以從任何地點、任何時間對任何對象發(fā)起網(wǎng)絡(luò)攻擊，因此信息安全是廣泛的、無國界的，它無法單憑一個國家、地區(qū)或部門就能完全控制，需要從全球信息化角度綜合考慮和整體布局。

4. 信息安全是非傳統(tǒng)的安全

傳統(tǒng)的具有典型外在物理特征的安全因素（如：軍事、自然災(zāi)害、人為暴力破壞等等）已無法涵蓋信息安全所應(yīng)考慮的全部范疇。在沒有諸如軍事入侵、自然災(zāi)害、傳統(tǒng)意義上的恐怖襲擊等情況下，信息和信息系統(tǒng)的安全依然會受到諸如計算機病毒、黑客攻擊、計算機犯罪、信息垃圾和信息污染等嚴(yán)重威脅。國家的電信、金融、能源、交通等核心領(lǐng)域，氣象部門的數(shù)據(jù)通信、信息處理等核心系統(tǒng)，可能在極短的時間內(nèi)被攻擊癱瘓，導(dǎo)致社會運轉(zhuǎn)的癱瘓和氣象業(yè)務(wù)的崩潰，而此時所有系統(tǒng)的物理器件并未因此而發(fā)生實質(zhì)性的損傷。

信息安全既是信息技術(shù)問題，也是組織管理問題。因為信息安全最終必將落實到信息系統(tǒng)的安全層面上，并最終由一個個具體的信息技術(shù)和相關(guān)產(chǎn)品的有機組合予以實現(xiàn)，沒有符合實際的明確的安全目標(biāo)和方針、科學(xué)的設(shè)計、認(rèn)真的維護、以及不斷地主動發(fā)現(xiàn)新的安全問題并及時予以解決，是無法有效地形成安全環(huán)境的；就一個部門而言，一個相對安全的環(huán)境的構(gòu)成必須從人的行為規(guī)范、安全體系的科學(xué)設(shè)計以及部門內(nèi)部安全環(huán)境的構(gòu)成等諸多方面綜合考慮、整體設(shè)計，方才可能。因此信息安全并非單純是技術(shù)和技術(shù)產(chǎn)品問題，更是組織管理問題，無法單憑技術(shù)手段予以解決。

此外，從法律、輿論以及信息戰(zhàn)和虛擬空間等更高層面考慮，信息安全也是社會問題和國家安全問題。此非本文所考慮的范圍，故不予展開。

（二）信息安全的一些認(rèn)識誤區(qū)

應(yīng)當(dāng)承認(rèn)，由于各種原因，至今氣象部門的一些同事中，對信息安全仍存在一定的認(rèn)識誤區(qū)，以下問題應(yīng)予充分重視：

1. 單純的安全技術(shù)和產(chǎn)品的應(yīng)用不能解決信息安全

信息安全問題并非單純的技術(shù)問題，信息安全技術(shù)和產(chǎn)品的簡單應(yīng)用并不意味著部門整體的信息安全，不能指望簡單地規(guī)劃了DMZ區(qū)、在局域網(wǎng)出入端配置了防火墻、在個人電腦中安裝了殺毒軟件、遠(yuǎn)程通信采用VPN技術(shù)后，部門的信息安全問題便可基本解決。事實上，諸如防火墻、堡壘機、殺毒軟件等安全產(chǎn)品，僅僅是構(gòu)建部門信息安全防護體系的磚石，如果沒有科學(xué)的整體設(shè)計和有效的實施方案，單憑磚石和瓦塊的簡單甚至隨意堆壘，是無法構(gòu)建成有效的安全防護體系的。因此：

防火墻+ 堡壘機+ 殺毒軟件≠信息安全

2. 業(yè)務(wù)連續(xù)性的有效保障不能替代部門的信息安全

業(yè)務(wù)連續(xù)性的有效保障是部門行政領(lǐng)導(dǎo)最為關(guān)注的安全問題之一，為此往往不惜代價不計成本，而建立業(yè)務(wù)備份中心或災(zāi)難備份中心是目前較為流行的保障措施。但備份中心的建立也并不一定意味著部門整體的信息安全，因為業(yè)務(wù)連續(xù)性的保障僅屬于信息安全三要素中“信息可用性”的范疇，如果不同時考慮信息的保密性和完整性，同樣無法從整體上解決部門的信息安全問題；而信息的私密性和完整性與備份中心之間并無必然聯(lián)系。因此：

備份中心≠信息安全

3. 網(wǎng)絡(luò)防御不能代替信息安全

傳統(tǒng)意義上的網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)協(xié)議安全、網(wǎng)絡(luò)設(shè)備安全和網(wǎng)絡(luò)架構(gòu)安全，側(cè)重于網(wǎng)絡(luò)自身的健壯性以及抗網(wǎng)絡(luò)攻擊的能力。然而如果網(wǎng)絡(luò)上運行的系統(tǒng)自身存在一定缺陷、軟件存在BUG，以及人為操作失誤（如：誤刪除、誤修改等），則上述內(nèi)容和措施便將束手無策。所以，網(wǎng)絡(luò)的抗攻擊和抗偷盜能力不能完全解決信息安全問題。

類似的認(rèn)識誤區(qū)還有若干，限于篇幅，不再枚舉。

三、基于風(fēng)險管理的信息安全管理

（一）信息安全管理

統(tǒng)計結(jié)果表明，在所有信息安全事故中，只有20%～30%是由于黑客入侵或其他外部原因造成的，其余的70%～80%則是因內(nèi)部員工的疏忽或有意違規(guī)而造成的。站在全局的高度上來考察信息和網(wǎng)絡(luò)安全的全貌就會發(fā)現(xiàn)：安全問題實際上都是人的問題，單憑技術(shù)手段是無法予以根本解決的。

信息安全是一個多層面、多因素的過程，如果僅憑一時的需要，頭疼醫(yī)頭腳疼醫(yī)腳地制定一些控制措施和引入某些技術(shù)產(chǎn)品，難免掛一漏萬、顧此失彼，使得信息安全這只“木桶”出現(xiàn)若干“短板”，從而無法提高信息安全的整體水平。

對于信息安全而言，技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵。如同磚瓦建材需要良好的設(shè)計和施工才能搭建成堅固耐用的建筑，安全技術(shù)和安全產(chǎn)品需要通過管理的組織職能方才能夠發(fā)揮出最佳效果。事實充分證明，管理良好的系統(tǒng)遠(yuǎn)比技術(shù)雖然高超但管理混亂不堪的系統(tǒng)安全得多。因此，先進科學(xué)的、易于理解且方便操作的安全策略對信息安全至關(guān)重要；而建立一個管理框架，讓好的安全策略在這個框架內(nèi)可重復(fù)實施，并不斷得到修正，就會擁有持續(xù)的安全。

所謂信息安全管理，是指部門或組織中為了完成信息安全目標(biāo)，針對信息系統(tǒng)，遵循安全策略，按照規(guī)定的程序，運用恰當(dāng)?shù)姆椒?，而進行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動和過程；是通過維護信息的保密性、完整性和可用性，來管理和保護組織所有的信息資產(chǎn)的一項體制；是部門或組織中用于指導(dǎo)和管理各種控制信息安全風(fēng)險的一組相互協(xié)調(diào)的活動。有效的信息安全管理要盡量做到在有限的成本下，保證將安全風(fēng)險控制在可接受的范圍之內(nèi)。

信息安全管理包括：安全規(guī)劃、風(fēng)險管理、應(yīng)急計劃、安全教育培訓(xùn)、安全系統(tǒng)評估、安全認(rèn)證等多方面內(nèi)容。

（二）基于風(fēng)險的信息安全

1. 安全和風(fēng)險

步履蹣跚的耄耋老人終日待在家中肯定比在熙熙攘攘的大街上行走安全，但即使在家中，也仍有因行走或站立不穩(wěn)而跌倒的可能，不如身邊陪有專人看護安全；然即便家中有專人看護，也不如將老人長期安置在醫(yī)院，在全套設(shè)備和專業(yè)醫(yī)護人員看護下安全，如此等等。可見，所謂安全都是相對而言的，沒有絕對的安全；而安全的效果或等級越高，往往付出的代價或成本也越高，信息安全也是如此。

安全是相對于風(fēng)險而言的，某種安全水平的達到意味著某種或某類風(fēng)險的得以規(guī)避：雙機熱備技術(shù)可以避免單點故障所導(dǎo)致的業(yè)務(wù)中斷，兩地三中心災(zāi)備模式可以保證即便在發(fā)生局地嚴(yán)重災(zāi)害時部門業(yè)務(wù)的連續(xù)性。但絕對的安全是沒有的：雙機熱備技術(shù)無法避免供電系統(tǒng)故障的風(fēng)險，而大型隕石撞擊地球，將導(dǎo)致生態(tài)系統(tǒng)的崩潰和物種滅絕，遑論災(zāi)備兩地三中心以及部門業(yè)務(wù)連續(xù)性了。

然而，風(fēng)險是由可能性與后果的組合來計算和度量的。盡管兩地三中心災(zāi)備模式無法應(yīng)對地球遭遇大型隕石撞擊的毀滅性災(zāi)害，但該災(zāi)害發(fā)生的可能性卻微乎其微，未來數(shù)百年幾乎沒有可能。因此此災(zāi)雖然為害甚烈，但發(fā)生的可能性卻幾近于零，不必予以考慮。

2. 風(fēng)險管理

絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)險也是不現(xiàn)實的。同時，規(guī)避風(fēng)險是需要代價的，規(guī)避的風(fēng)險種類越多，所付出的代價往往越大。就計算機系統(tǒng)而言，安全性越高，其可用性往往越低，需要付出的成本也越大。因此，信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過恰當(dāng)、足夠、綜合的安全措施來控制風(fēng)險，使殘余風(fēng)險降低到可接受的程度。亦即，需要在安全性和可用性，以及安全性和成本投入之間做出一種平衡。

所以，根本上說，信息安全是一個風(fēng)險管理過程，而不是一個技術(shù)實現(xiàn)過程。

風(fēng)險管理是指如何在一個肯定有風(fēng)險的環(huán)境里，利用有限的資源把風(fēng)險減至最低的管理過程。風(fēng)險管理包括對風(fēng)險的量度、評估和應(yīng)變策略等。理想的風(fēng)險管理，是一連串排好優(yōu)先次序的過程，使導(dǎo)致最大損失及最可能發(fā)生的安全事件優(yōu)先處理、而相對風(fēng)險較低的事件則押后處理。

風(fēng)險管理的首要內(nèi)容之一，是風(fēng)險識別和風(fēng)險評估。因為，信息安全體系的建立首先需要確定信息安全的需求，而獲取信息安全需求的主要手段就是安全風(fēng)險評估。因此，信息安全風(fēng)險評估是信息安全管理體系建立的基礎(chǔ)；沒有風(fēng)險評估，信息安全管理體系的建立就沒有依據(jù)。

風(fēng)險管理的另一項重要內(nèi)容，就是對風(fēng)險評估的結(jié)果進行相應(yīng)的風(fēng)險處置，只有對已知風(fēng)險逐一進行有針對性的妥善處置，才能化解和規(guī)避這些風(fēng)險，達到信息安全的目的。因此，風(fēng)險處置是信息安全的核心。從本質(zhì)上講，風(fēng)險處置的最佳集合就是信息安全管理體系的控制措施集合；而控制目標(biāo)、控制手段、實施指南的邏輯梳理、以形成這些風(fēng)險控制措施集合的過程，就是信息安全體系的建立過程。亦即，信息安全管理體系的核心就是這些最佳控制措施的集合。

需要強調(diào)的是，由于信息安全風(fēng)險和事件不可能完全避免，因此信息安全管理必須以風(fēng)險管理的方式，不求完全消除風(fēng)險，但求限制、化解和規(guī)避風(fēng)險。而好的風(fēng)險管理過程可以讓氣象部門以最具有成本效益的方式運行，并且使已知的風(fēng)險維持在可接受的水平，使氣象部門可以用一種一致的、條理清晰的方式來組織有限的資源，確定風(fēng)險處置優(yōu)先級，更好地管理風(fēng)險，而不是將保貴的資源用于解決所有可能的風(fēng)險。

事物是在不斷變化的，新的風(fēng)險不斷出現(xiàn)，因此風(fēng)險管理過程需要不斷改進、完善、更新和提高。

四、當(dāng)前氣象信息安全存在的問題

盡管氣象部門至今尚未發(fā)生重大信息安全事件，但這并不能說明氣象部門的信息安全工作已萬事大吉，信息安全體系固若金湯。依照信息安全管理的規(guī)范考察，氣象部門的信息安全工作至少存在如下問題：

（一）基礎(chǔ)工作存在缺失

1. 信息安全目標(biāo)

通常意義下的信息安全目標(biāo)，一般都是確保信息的機密性、完整性、可用性，以及可控性和不可否認(rèn)性等等。但部門不同，具體的情況不同，安全性需求的程度、信息安全所面臨的風(fēng)險、付出的代價也各有不同；如：就信息的機密性而言，軍事部門的要求遠(yuǎn)遠(yuǎn)高于氣象部門；而就信息的可用性而言，氣象部門對業(yè)務(wù)連續(xù)性的要求也較土地勘測管理部門為高。因此，泛泛的信息安全目標(biāo)沒有任何意義，所有可用的信息安全目標(biāo)都是切合部門具體實際情況的，是本土化、部門化的。

沒有切合氣象部門具體實際情況的、具有鮮明氣象特色的信息安全目標(biāo)，是目前存在的突出問題。

必須明確，氣象部門信息安全目標(biāo)的確定，是管理層的職責(zé)。管理層對信息安全目標(biāo)的要求，決定了氣象部門信息安全工作的走向。氣象信息業(yè)務(wù)部門負(fù)責(zé)氣象信息安全既定目標(biāo)的具體落實，其工作的質(zhì)量和效率，決定了氣象部門是否能夠達到信息安全管理的目標(biāo)。

2. 信息安全方針

信息安全方針是為信息安全工作提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及相應(yīng)的支持舉措。信息安全方針應(yīng)該做到：對本部門的信息安全加以定義，陳述管理層對信息安全的意圖，明確分工和責(zé)任，約定信息安全管理的范圍，對特定的原則、標(biāo)準(zhǔn)和遵守要求進行說明，等等。氣象部門的信息安全方針至少應(yīng)當(dāng)說明以下問題：氣象信息安全的整體目標(biāo)、范圍以及重要性，氣象信息安全工作的基本原則，風(fēng)險評估和風(fēng)險控制措施的架構(gòu)，需要遵守的法規(guī)和制度，信息安全責(zé)任分配，信息系統(tǒng)用戶和運行維護人員應(yīng)該遵守的規(guī)則，等等。

遺憾的是，以此為基本內(nèi)容的信息安全方針，至今在氣象部門尚未確立。

3. 信息安全組織機構(gòu)

為有效實施部門的信息安全管理，保障和實施部門的信息安全，在部門內(nèi)部建立信息安全組織架構(gòu)（或指定現(xiàn)有單位承擔(dān)其相應(yīng)職責(zé)）是十分必要的。

在一個部門或機構(gòu)中，安全角色與責(zé)任的不明確是實施信息安全過程中的最大障礙。因此，建立信息安全組織并落實相應(yīng)責(zé)任，是該部門實施信息安全管理的第一步。這些組織機構(gòu)需要高層管理者的參與（如本部門信息化領(lǐng)導(dǎo)小組），以負(fù)責(zé)重大決策，提供資源并對工作方向、職責(zé)分配給出清晰的說明，等等。此外，信息安全組織成員還應(yīng)包括與信息安全相關(guān)的所有部門（如行政、人事、安保、采購、外聯(lián)），以便各司其責(zé)，協(xié)調(diào)配合。

遺憾的是，類似的組織機構(gòu)在氣象部門內(nèi)即便已經(jīng)存在，至今也未真正履行其應(yīng)負(fù)的職責(zé)。

4. 信息資產(chǎn)管理

信息資產(chǎn)管理的主要內(nèi)容包括：識別信息資產(chǎn)，確定信息資產(chǎn)的屬主及責(zé)任方，信息資產(chǎn)的安全需求分類，以及各類信息資產(chǎn)的安全策略和具體措施，等等。

就氣象部門而言，對信息資產(chǎn)（即：氣象信息資源和氣象信息系統(tǒng)）進行識別、明確歸屬以及分類等工作，有利于信息安全措施的有效實施。以分類為例：我們知道，對某特定氣象資料或業(yè)務(wù)系統(tǒng)實施過多和過度的保護不僅浪費資源，而且不利于資料效益的充分發(fā)揮和系統(tǒng)的正常運行；而若保護不力，則更可能導(dǎo)致氣象信息數(shù)據(jù)和系統(tǒng)產(chǎn)生重大安全隱患，乃至出現(xiàn)安全事故。對氣象信息資產(chǎn)進行分類，可明確界定各具體資產(chǎn)的保護需求和等級，如此可以根據(jù)類別的不同，調(diào)整合適的資源、財力、物力，對重要的氣象信息資源和系統(tǒng)實施有針對性的、符合其特點的信息安全重點保護，如此等等。

同樣遺憾的是，氣象部門至今尚未實施真正意義上的完整的氣象信息資產(chǎn)管理。

類似缺失的基礎(chǔ)工作還有很多，不再枚舉。

基礎(chǔ)工作的缺失，導(dǎo)致氣象信息安全工作的不扎實、不穩(wěn)固，是氣象信息安全工作長期滯后于信息化基礎(chǔ)建設(shè)的主要原因之一。

（二）完整的信息安全管理體系尚未建成

按照ISO的定義，信息安全管理體系（ISMS：Information Security Management System）是“組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動的結(jié)果，表示為方針、原則、目標(biāo)、方法、計劃、活動、程序、過程和資源的集合”。

信息安全管理體系要求部門或組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇安全事件控制目標(biāo)和相應(yīng)處置措施等一系列活動，來建立信息安全管理體系。該體系是基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險評估而建立起來的，它體現(xiàn)以預(yù)防控制為主的思想，強調(diào)遵守國家有關(guān)信息安全的法律法規(guī)及其它地方、行業(yè)的相關(guān)要求。該體系強調(diào)全過程管理和動態(tài)控制，本著控制費用與風(fēng)險相平衡的原則，合理選擇安全控制方式。該體系同時強調(diào)保護部門所擁有的關(guān)鍵性信息資產(chǎn)（而不見得是全部信息資產(chǎn)），確保需要保護的信息的保密性、完整性和可用性，以最佳效益的形式維護部門的合法利益、保持部門的業(yè)務(wù)連續(xù)性。

由于基礎(chǔ)性工作尚未全部就緒，目前氣象部門尚未建立真正意義上的、基于風(fēng)險管理的科學(xué)而完整的氣象信息安全管理體系。

在氣象部門建立完整的信息安全管理體系，可以對氣象部門的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，在信息系統(tǒng)受到侵襲時確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；并使氣象部門在信息安全工作領(lǐng)域?qū)崿F(xiàn)動態(tài)的、系統(tǒng)地、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達到可接受的信息安全水平。此外，完整的信息安全管理體系的建立，也可使部門外協(xié)作單位對氣象部門的安全能力充滿信心，這一點在當(dāng)前大數(shù)據(jù)應(yīng)用浪潮正在全社會迅速漫延的背景下，尤其重要。

（三）業(yè)務(wù)格局的分散加大了安全管理問題的復(fù)雜度

目前氣象部門依然沿用著已延續(xù)數(shù)十年的國省地縣四級業(yè)務(wù)層級，而業(yè)務(wù)系統(tǒng)的屬地化，以及諸如“具備業(yè)務(wù)功能意味著擁有業(yè)務(wù)系統(tǒng)、擁有業(yè)務(wù)系統(tǒng)意味著擁有信息資產(chǎn)以及基礎(chǔ)資源和設(shè)施”等傳統(tǒng)觀念的束縛，使得各個業(yè)務(wù)系統(tǒng)在地理分布上呈現(xiàn)出全國遍地開花的局面，各級業(yè)務(wù)單位都擁有自己的信息業(yè)務(wù)系統(tǒng)和相應(yīng)的局地信息業(yè)務(wù)環(huán)境。彼此通過內(nèi)部專網(wǎng)（VPN）或甚至通過互聯(lián)網(wǎng)進行互聯(lián)，在全國形成網(wǎng)狀與樹狀相結(jié)合的、十分復(fù)雜的業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)。

由于各級單位都在當(dāng)?shù)負(fù)碛懈髯砸?guī)模不等的信息業(yè)務(wù)系統(tǒng)及相應(yīng)環(huán)境（包括為業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)支撐的氣象數(shù)據(jù)庫），因此各單位都面臨著本單位的信息安全管理問題。尤其是一些氣象數(shù)據(jù)在各級業(yè)務(wù)單位的廣泛復(fù)制，使得各級業(yè)務(wù)單位中數(shù)據(jù)同質(zhì)化現(xiàn)象十分突出，也為這些數(shù)據(jù)的保密性和完整性（包括一致性）的保持增加了大量變數(shù)。此外，由于編制所限，地縣兩級業(yè)務(wù)單位中IT技術(shù)人員奇缺，既無法保障信息業(yè)務(wù)系統(tǒng)的日常維護，更無法為本單位信息安全提供專業(yè)化管理。

這種業(yè)務(wù)格局的分散，加大了氣象部門信息安全管理問題的復(fù)雜度。

限于篇幅，其余問題不再枚舉。

五、建立完整的氣象信息安全管理體系

綜上所述，在氣象部門建立完整的氣象信息安全管理體系，是非常必要的；就目前全社會所倡導(dǎo)的大數(shù)據(jù)應(yīng)用和云計算趨勢而言，這項工作具有較強的緊迫性，應(yīng)盡早開展相應(yīng)的工作。歸納起來，有如下幾點：

（一）適時著手建立完整的氣象信息安全管理體系

1. 完成基礎(chǔ)性工作

應(yīng)盡早明確信息安全的方針，為氣象部門信息安全工作確定目標(biāo)、范圍、責(zé)任、原則、標(biāo)準(zhǔn)、架構(gòu)和法律法規(guī)。

應(yīng)以適當(dāng)方式組建或明確氣象信息安全的管理和實施機構(gòu)，并確保所有相關(guān)單位能夠悉數(shù)納入其中，明確分工和職責(zé)，以便各司其職，彼此協(xié)調(diào)工作。

應(yīng)在管理層的統(tǒng)一組織下，以適當(dāng)?shù)男问?，全面完成氣象部門內(nèi)部的信息資產(chǎn)普查、歸屬認(rèn)定、安全需求等級劃分以及安全等級保護措施等，制定氣象信息資產(chǎn)管理策略、制度和方法，逐步推廣實施，從而完成氣象信息資產(chǎn)的有效管理。

2. 適時進行信息安全風(fēng)險評估并制訂風(fēng)險處置方案

制定風(fēng)險評估方案、選擇評估方法，以此為依據(jù)完成氣象信息安全風(fēng)險要素識別，發(fā)現(xiàn)系統(tǒng)存在的威脅和系統(tǒng)的脆弱性，并確定相應(yīng)的控制措施。在此基礎(chǔ)上，對所有風(fēng)險逐一判斷其發(fā)生的可能性和影響的范圍及程度，綜合各種分析結(jié)果，最終逐一判定這些風(fēng)險各自的等級。

在風(fēng)險等級判定的基礎(chǔ)上，以“將風(fēng)險始終控制在可接受范圍內(nèi)”為宗旨，制訂有針對性的風(fēng)險處置方案，包括：可接受風(fēng)險的甄別和確定，不可接受風(fēng)險的控制程度，風(fēng)險處置方式的選擇和控制措施的確定，制訂具體的氣象信息安全方案和綜合控制措施，科學(xué)合理地運用“減低風(fēng)險”、“轉(zhuǎn)移風(fēng)險”、“規(guī)避風(fēng)險”和“接受風(fēng)險”等方法，形成綜合的氣象信息安全風(fēng)險處置方案，并部署實施。

3. 建立完整的氣象信息安全管理體系

在上述工作以及其它相關(guān)工作的基礎(chǔ)上，參照BS 7799-2：2002 《信息安全管理體系規(guī)范》、 ISO/ IEC17799：2000《信息技術(shù)-信息安全管理實施細(xì)則》等國際標(biāo)準(zhǔn)，以及GB/T22080-2008《信息安全管理體系要求》、GB/T20269-2006《信息系統(tǒng)安全管理要求》、GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》等國家標(biāo)準(zhǔn)，完成組織落實、措施落實、方案落實和相應(yīng)文檔的編寫，以及所有相關(guān)的審查、職責(zé)界定和制度建設(shè)，以構(gòu)成氣象部門的信息安全管理體系。

（二）將信息安全管理體系納入氣象信息化戰(zhàn)略之中

信息安全與信息化發(fā)展息息相關(guān)，是一切信息化工作的基礎(chǔ)，涉及到信息化工作的方方面面。氣象部門是以信息采集、分析處理和為工作特征的典型的信息應(yīng)用部門，氣象業(yè)務(wù)系統(tǒng)是典型的信息系統(tǒng)，因此信息安全對于氣象部門尤為重要。氣象事業(yè)的健康發(fā)展離不開信息化，也同樣離不開信息安全。氣象信息安全應(yīng)當(dāng)是氣象信息化工作中最為重要的內(nèi)容之一，氣象信息安全管理體系的構(gòu)建和持續(xù)改進也應(yīng)當(dāng)成為未來氣象信息化戰(zhàn)略中極其重要的內(nèi)容。

信息安全是管理問題而非技術(shù)問題，從某種角度看，信息安全管理體系是以策略為核心，以管理為基礎(chǔ)，以技術(shù)為手段的安全理念的具體落實。有什么樣的理念，就有什么樣的方針、策略、制度措施和體系架構(gòu)。無法想象在管理理念和安全意識十分落后的思維環(huán)境中，能夠構(gòu)建起科學(xué)完備的信息安全管理體系來。因此，安全管理理念的全面提高和安全意識的充分到位，是氣象信息安全所有工作正常開展的前提。就氣象部門管理層而言，著力消除曾長時間彌漫于全部門信息安全領(lǐng)域的重技術(shù)輕管理的觀念，將關(guān)注點從研究安全技術(shù)和產(chǎn)品應(yīng)用轉(zhuǎn)移到信息資產(chǎn)管理、風(fēng)險識別和控制以及整體安全戰(zhàn)略的制定等管理層面上來，是其不可推卸的責(zé)任。應(yīng)當(dāng)在全部門倡導(dǎo)信息安全意識、制定并推行信息安全制度、確定信息安全責(zé)任、組織信息安全培訓(xùn)，構(gòu)建起完整的氣象信息安全管理體系。

六、結(jié)語

在政府大力強調(diào)信息安全意識，強力推動信息安全工作的背景下，各行各業(yè)均把信息安全工作列入本部門或單位的工作議程，氣象部門也是如此。但如何科學(xué)有效地構(gòu)建起具有鮮明氣象特色的信息安全防護體系，充分把控所有已知的安全風(fēng)險，使有限的投入得到最大限度的安全回報，這是氣象部門管理層和IT工作者需要認(rèn)真研究并努力實踐的工作。

信息安全首先是意識問題、觀念問題，要想真正打造安全的業(yè)務(wù)環(huán)境，在氣象部門全體員工中（特別是在管理層干部中）樹立良好的安全意識，是至關(guān)重要的。

2014年，在深刻領(lǐng)會主席“沒有信息化就沒有現(xiàn)代化”的重要指示精神后，氣象部門提出了“沒有信息化就沒有氣象現(xiàn)代化”的口號。那么，針對提出的“沒有信息安全就沒有國家安全”的另一重要論斷，氣象部門是否也應(yīng)提出相應(yīng)的口號――

“沒有信息安全，就沒有氣象業(yè)務(wù)安全”。

第6篇：網(wǎng)絡(luò)資產(chǎn)安全管理范文

關(guān)鍵詞：安全運維；技術(shù)支撐；信息安全

中圖分類號：TP3 文獻標(biāo)識碼：A

1 引言（Introduction）

為進一步規(guī)范信息安全管理，提高信息安全管理水平，建設(shè)一套集“監(jiān)、管、控”功能為一體的安全運維管理平臺勢在必行[1，2]，通過對IT基礎(chǔ)設(shè)施與應(yīng)用系統(tǒng)的集中監(jiān)控，實時反映IT資源的運行狀況，對事件、問題、變更、配置等運維服務(wù)進行集中處理，最終實現(xiàn)信息資產(chǎn)可知、運行狀態(tài)可視、服務(wù)流程可管、運維操作可控，全面提升信息安全保障能力，有效支撐業(yè)務(wù)系統(tǒng)的穩(wěn)定運行，為運維工作提供有效技術(shù)支撐。

2 IT運維中存在的問題（Problems in the operation

management）

隨著IT業(yè)務(wù)和規(guī)模不斷在擴展，給信息中心人員的管理帶來了一定程度上的難度，主要體現(xiàn)在以下幾個方面：

一是隨著網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜，傳統(tǒng)的“來電響應(yīng)式”的IT運維管理模式無法及時發(fā)現(xiàn)潛在的網(wǎng)絡(luò)異常及隱患，如何實現(xiàn)網(wǎng)絡(luò)的事前管理和透明化監(jiān)控是保障應(yīng)用系統(tǒng)穩(wěn)定運行、核心業(yè)務(wù)正常運轉(zhuǎn)的關(guān)鍵。

二是業(yè)務(wù)系統(tǒng)的數(shù)量不斷增多，往往是業(yè)務(wù)部門向信息中心反映系統(tǒng)出現(xiàn)問題后，運維人員才發(fā)現(xiàn)系統(tǒng)出現(xiàn)了故障，具有滯后性。同時無法從業(yè)務(wù)角度來審視系統(tǒng)的健康度，導(dǎo)致故障無法快速定位業(yè)務(wù)故障點，也無法通過資源的故障判斷它所影響到的業(yè)務(wù)系統(tǒng)等。

三是缺少有效技術(shù)手段，對網(wǎng)絡(luò)邊界完整性進行監(jiān)控與管理，不能及時發(fā)現(xiàn)私自內(nèi)聯(lián)與非法外聯(lián)等高風(fēng)險行為。對業(yè)務(wù)訪問、后臺運維等操作行為缺少必要的監(jiān)控與審計管理技術(shù)手段。

3 建設(shè)內(nèi)容（The content of the construction）

信息系統(tǒng)安全運維管理平臺應(yīng)該包括以下內(nèi)容：

3.1 綜合監(jiān)控管理子系統(tǒng)

綜合監(jiān)控管理子系統(tǒng)實現(xiàn)對IT基礎(chǔ)層的路由交換設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫、中間件、服務(wù)等以及資源關(guān)聯(lián)的應(yīng)用進程、端口、日志等的全面監(jiān)管，幫助管理人員及時了解IT架構(gòu)（各類IT資源）的運行情況，形成安全事件關(guān)聯(lián)分析，支持策略管理，能自動或手工設(shè)定啟動相關(guān)事件處理流程。

3.2 安全運維服務(wù)管理子系統(tǒng)

運維服務(wù)管理子系統(tǒng)是安全管理、日常工作和服務(wù)管理的有機結(jié)合。運維服務(wù)管理子系統(tǒng)應(yīng)基于ITIL（運維管理最佳實踐等）和實際管理需求，提供服務(wù)流程管理、業(yè)務(wù)資源管理、安全管理為主的綜合性管理，以保障運維管理的規(guī)范化和標(biāo)準(zhǔn)化，提升日常運維管理效能。

3.2.1 安全信息采集與分析

采集各種廠商、各種類型的日志信息，針對采集的各類安全要素信息，實現(xiàn)性能與可用性分析、配置符合性分析、安全事件分析、脆弱性分析、風(fēng)險分析和宏觀態(tài)勢分析。其中，風(fēng)險分析包括了資產(chǎn)價值分析、影響性分析、弱點分析、威脅分析等；宏觀態(tài)勢分析包括了地址熵分析、熱點分析、關(guān)鍵安全指標(biāo)分析、業(yè)務(wù)健康度分析、關(guān)鍵管理指標(biāo)分析?？杉傻谌桨踩芾碇行能浖?。

（1）安全事件采集

根據(jù)前期從各種網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲、應(yīng)用等對象收集的各種安全資源、對象的安全事件、安全配置、安全漏洞、資產(chǎn)信息等數(shù)據(jù)，進行范式化處理，把各種不同表達方式的日志轉(zhuǎn)換成的統(tǒng)一的描述形式。

（2）安全事件分析

透過智能化的安全事件關(guān)聯(lián)分析，提供基于規(guī)則的關(guān)聯(lián)分析、基于情境的關(guān)聯(lián)分析和基于行為的關(guān)聯(lián)分析技術(shù)。

管理對象的日志量和告警事件量應(yīng)在應(yīng)用系統(tǒng)拓?fù)鋱D顯示；用戶點擊拓?fù)涔?jié)點可以查詢事件和告警信息詳情；可以對一段時間內(nèi)的安全事件進行行為分析，形象化地展示海量安全事件之間的關(guān)聯(lián)關(guān)系，從宏觀的角度來協(xié)助定位安全問題。

安全事件以可視化視圖展示，具備多種展現(xiàn)手段，至少包括事件拓?fù)鋱D、IP全球定位圖、動態(tài)事件移動圖、事件多維分析圖、資產(chǎn)拓?fù)鋱D等。

3.2.2 安全隱患預(yù)警與處置

采用主動管理方式，能夠在威脅發(fā)生之前進行事前安全管理。主要提供安全威脅預(yù)警管理、主動漏洞掃描管理、主動攻擊測試等方式配合進行安全核查。

安全威脅預(yù)警管理，用戶可以通過預(yù)警管理功能內(nèi)部及外部的早期預(yù)警信息，并與資產(chǎn)進行關(guān)聯(lián)，分析出可能受影響的資產(chǎn)，提前讓用戶了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患。

主動漏洞掃描管理，能夠主動地、定期自動化地發(fā)起漏洞掃描、攻擊測試等，并將掃描結(jié)果與資產(chǎn)進行匹配，進行資產(chǎn)和業(yè)務(wù)的脆弱性管理。

配合安全檢查管理，夠協(xié)助運維管理人員建立安全配置基線管理體系，實現(xiàn)資產(chǎn)安全配置檢查工作的標(biāo)準(zhǔn)化、自動化，并將其納入全網(wǎng)業(yè)務(wù)脆弱性和風(fēng)險管控體系。

3.2.3 告警管理

為了全面的收集各類事件告警，系統(tǒng)應(yīng)提供所有事件告警的統(tǒng)一管理。

（1）告警內(nèi)容

告警內(nèi)容包含事件的節(jié)點、類型、級別、位置、相關(guān)業(yè)務(wù)等，幫助運維人員在收到故障報警時能夠迅速了解故障相關(guān)的資源、人員、業(yè)務(wù)等信息，快速作出反應(yīng)。

（2）告警處理

系統(tǒng)需要針對各業(yè)務(wù)系統(tǒng)涉及IT資源環(huán)境進行實時故障處理。它能從主機和業(yè)務(wù)系統(tǒng)的各個環(huán)節(jié)收集事件信息，通過對這些信息的過濾、處理、關(guān)聯(lián)，分遞給相關(guān)人員，使得最重要的故障能夠優(yōu)先地被關(guān)注及處理。

告警消息能按照應(yīng)用類別、消息種類、消息級別和處理崗位進行分類處理。消息種類可分為：操作系統(tǒng)、數(shù)據(jù)庫、中間件、存儲、硬件、應(yīng)用、安全和網(wǎng)絡(luò)等。

（3）告警

能對告警級別進行自定義，根據(jù)級別確定電話告警，短信告警，郵件告警的方式進行報警。

3.2.4 風(fēng)險管理

信息安全風(fēng)險管理工作是在安全信息分析與處理功能的基礎(chǔ)上進行信息安全風(fēng)險評估、信息安全整改任務(wù)等工作。

信息安全風(fēng)險評估，根據(jù)安全信息分析結(jié)果開展風(fēng)險評估流程，將風(fēng)險評估結(jié)果形成豐富而詳細(xì)的圖形及報表。

信息安全整改，將信息安全風(fēng)險評估信息匯總，歸并各個部門需處置的信息安全風(fēng)險，進行集中處置工作并進行整改落實情況分析。

4 結(jié)論（Conclusion）

建立以資產(chǎn)管理為基礎(chǔ)，項目管理為紐帶，以信息系統(tǒng)為核心，建立對IT業(yè)務(wù)的全生命周期的完整管理，從狀態(tài)監(jiān)控、行為審計、風(fēng)險評估、服務(wù)管理四個維度建立起來的一套適合安全運維工作需求的統(tǒng)一業(yè)務(wù)支撐平臺，使得各類用戶能夠?qū)ο到y(tǒng)的關(guān)聯(lián)性、健康性、可用性、風(fēng)險性、連續(xù)性、安全性等多維度進行精確度量、分析評估，實現(xiàn)事后運維向事中運維以至向事前防范的轉(zhuǎn)變，最終實現(xiàn)信息系統(tǒng)的持續(xù)安全運營。

參考文獻（References）

[1] 景義瓊.基于ITIL的網(wǎng)絡(luò)運維管理系統(tǒng)的設(shè)計與實現(xiàn)[D].復(fù)

旦大學(xué)，2010：15-18.

[2] 李榮華.基于ITIL的IT運維管理系統(tǒng)的設(shè)計與實現(xiàn)[D].北京

郵電大學(xué)，2010：13-15.

[3] 李.電子政務(wù)運維管理的關(guān)注因素[J].信息化建設(shè)，2009

（02）：1-2.

第7篇：網(wǎng)絡(luò)資產(chǎn)安全管理范文

關(guān)鍵詞：信息安全管理；風(fēng)險評估；監(jiān)控

中圖分類號：TP393.08

信息是現(xiàn)代社會中不可缺少的一項重要元素，尤其是在商業(yè)活動中，信息已經(jīng)成為市場競爭的重要手段，因此對信息安全的管理在商業(yè)活動中顯得尤為重要。信息安全管理體系（Information Security Management System，簡稱為ISMS），是建立和維持信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進行運作，保持體系運作的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個文件化的信息安全管理體系，其中應(yīng)闡述被保護的資產(chǎn)、組織風(fēng)險管理的方法、控制目標(biāo)及控制方式和需要的保證程度。

1 信息安全的風(fēng)險評估與策略

1.1 信息安全的風(fēng)險評估

信息安全管理屬于風(fēng)險管理，即如何在一個確定有風(fēng)險的環(huán)境里把風(fēng)險減至最低的管理過程。因此，管理的核心要素就是對風(fēng)險進行準(zhǔn)確識別和有效的評估，通過對信息安全進行風(fēng)險評估可以獲得安全管理的需求，幫助組織制定出最佳的信息安全管理策略，并且將風(fēng)險控制在可承受的范圍之內(nèi)。一個科學(xué)、合理的信息安全風(fēng)險評估策略應(yīng)該具有形影的標(biāo)準(zhǔn)體系、技術(shù)措施、組織框架以及法律法規(guī)。

1.2 信息安全策略

信息安全策略（Information Security Policy）是一個組織機構(gòu)中解決信息安全問題的重要組成部分。在一個組織內(nèi)部，通常是由技術(shù)管理者指定信息安全策略，如果是一個較為龐大的組織，制定信息安全策略的則可能是一個技術(shù)團隊。信息安全策略是基于風(fēng)險評估結(jié)果以保護組織的信息資產(chǎn)。信息安全策略對訪問組織的不同資產(chǎn)進行權(quán)限設(shè)定，它是組織管理人員在建立、使用和審計信息系統(tǒng)時的信息來源。

信息安全策略具有非常廣泛的應(yīng)用范圍，在其基礎(chǔ)上做出的安全決定需要提供一個較高層次的原則性觀點。一個組織的信息安全策略能夠反映出一個組織對現(xiàn)實和未來安全風(fēng)險的認(rèn)識水平，對于組織內(nèi)部業(yè)務(wù)人員和技術(shù)人員安全風(fēng)險的處理。信息俺去那策略的制定同時還需要參考相關(guān)標(biāo)準(zhǔn)文本和安全管理的經(jīng)驗。

1.3 信息安全管理措施

信息加密技術(shù)是網(wǎng)絡(luò)安全管理的核心問題，通過對網(wǎng)絡(luò)傳輸?shù)男畔①Y源進行加密，以確保傳遞過程中的安全性和可靠性。用戶通過互聯(lián)網(wǎng)進行網(wǎng)絡(luò)訪問時，應(yīng)該能夠控制訪問屬于自己的數(shù)據(jù)的訪問者身份，并且可以對訪問者的訪問情況進行審核。這種訪問權(quán)限的控制，需要開發(fā)相應(yīng)的權(quán)限控制程度，以作為安全防范措施使用。

用戶在對云計算網(wǎng)絡(luò)的數(shù)據(jù)進行存儲時，其他用戶及云服務(wù)提供商在未被所有者允許的情況下不得對數(shù)據(jù)進行查看及更改。這需要將數(shù)據(jù)在網(wǎng)絡(luò)存儲時，對其他用戶實行存儲隔離措施，同時對服務(wù)提供商實行存儲加密和文件系統(tǒng)的加密措施。鑒于云平臺的搭建多數(shù)基于商業(yè)方面，因此用戶的數(shù)據(jù)在基于云計算的網(wǎng)絡(luò)上進行傳輸時要具有極高的保密性，包括在計算中心的內(nèi)部網(wǎng)絡(luò)和開放互聯(lián)網(wǎng)絡(luò)上。所以，應(yīng)該對所傳輸?shù)臄?shù)據(jù)信息在傳輸層進行加密（HTTPS、VPN和SSL等），對服務(wù)提供商進行網(wǎng)絡(luò)加密。由于基于云計算的網(wǎng)絡(luò)的數(shù)據(jù)重要性，為了防止各種數(shù)據(jù)毀滅性災(zāi)難和突發(fā)性事件，進行按期定時的數(shù)據(jù)備份，使用數(shù)據(jù)庫鏡像策略和分布式存儲策略等，是確保網(wǎng)絡(luò)信息安全的一系列防范措施。

病毒對互聯(lián)網(wǎng)的安全威脅最為嚴(yán)重，主要可以通過病毒防御技術(shù)提升信息管理安全性。病毒是利用計算機軟硬件系統(tǒng)的缺陷，在原本正常運行的程序中插入的一段能夠破壞計算機或數(shù)據(jù)的指令或代碼段，從而在執(zhí)行時影響計算機系統(tǒng)的正常運作而不易被人察覺，對計算機及信息安全的威脅最大。針對日益猖獗的計算機病毒，選擇一款適合系統(tǒng)使用環(huán)境的反病毒軟件顯得尤為重要，發(fā)現(xiàn)病毒侵入應(yīng)該及時查殺，同時要注意按時地更新病毒庫，并升級反病毒軟件版本。在殺毒的同時做好預(yù)防工作是最為行之有效的措施。防火墻是設(shè)置在不同類型網(wǎng)絡(luò)間的一系列硬件和軟件的集合，旨在控制不同網(wǎng)絡(luò)間的訪問、拒絕外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)資源的非法訪問，保證通過防火墻的數(shù)據(jù)包符合預(yù)設(shè)的安全策略，從而確保了網(wǎng)絡(luò)信息的服務(wù)安全。

入侵檢測作為防火墻技術(shù)的補充手段，是對成功繞過防火墻限制而入侵內(nèi)部網(wǎng)絡(luò)系統(tǒng)的行為進行技術(shù)攻防的策略。其實質(zhì)是在不損耗網(wǎng)絡(luò)性能的前提下進行監(jiān)聽分析用戶系統(tǒng)活動和違反安全策略的行為，對已威脅網(wǎng)絡(luò)安全的入侵行為識別并發(fā)出警報，同時生成異常行為分析，評估入侵行為帶來的損害程度。

目前，利用防火墻和入侵檢測相結(jié)合的方式，是防護網(wǎng)絡(luò)、拒絕外部網(wǎng)絡(luò)攻擊的最有效手段之一。任何一個系統(tǒng)都會存在安全漏洞，這包含已知的和未知的在應(yīng)用軟件和操作系統(tǒng)兩方面上的安全漏洞。在進行漏洞掃描時，可以及時系統(tǒng)和網(wǎng)絡(luò)存在的安全漏洞，并打上漏洞補丁，進行主動防御。在使用時可以將漏洞掃描與防火墻技術(shù)、入侵檢測技術(shù)三者相結(jié)合，形成網(wǎng)絡(luò)安全防范和防御的“黃金三角”。數(shù)據(jù)加密分為對稱性和非對稱性加密兩種，是在發(fā)送端以某種算法將數(shù)據(jù)明文轉(zhuǎn)換成密文，在接收端以密鑰進行解密，從而保證信息在網(wǎng)絡(luò)存儲和傳輸?shù)倪^程中都是保密的，并且對網(wǎng)絡(luò)環(huán)境沒有任何特別的要求和限制。數(shù)據(jù)加密技術(shù)與防火墻技術(shù)相比較，對于信息安全的防護作用是全局性的，也是最后一道防線。

系統(tǒng)備份和數(shù)據(jù)恢復(fù)，是指對系統(tǒng)的重要核心數(shù)據(jù)和資料進行備份，當(dāng)切防范和防御技術(shù)都失效并且計算機網(wǎng)絡(luò)遭到黑客攻擊時，能夠?qū)ο到y(tǒng)實施立即恢復(fù)的手段，這也是保證信息安全的挽救措施。除了以上所提及的技術(shù)性手段之外，大力開展信息安全教育和完善相關(guān)法律法規(guī)作為人為防范措施也不容被忽視。近年來，信息安全威脅之一的網(wǎng)絡(luò)欺騙就是因為當(dāng)事人的信息安全意識淡薄和相關(guān)的調(diào)查取證困難造成的。因此，有必要做出改善措施，與技術(shù)手段相結(jié)合對信息安全發(fā)揮行之有效的影響。

2 結(jié)束語

綜上所述，隨著計算機技術(shù)、網(wǎng)絡(luò)通信技術(shù)和高密度存儲技術(shù)的發(fā)展，電子信息化進程在各個領(lǐng)域中得到了廣泛推廣和不斷深入研究。結(jié)合當(dāng)今社會的信息量爆炸式的增長情況，以及現(xiàn)階段的研究成果得出結(jié)論，當(dāng)今電子信息工程的安全問題和信息的有效利用問題仍將為研究的重點。本文重點研究了信息安全管理體系，根據(jù)信息安全管理的標(biāo)準(zhǔn)以及信息安全風(fēng)險的特征，提出了一些具有針對性的信息安全管理措施，以實現(xiàn)對信息安全風(fēng)險的有效評估和準(zhǔn)確預(yù)測，危險性安全管理體系的實施提供重要保證。

參考文獻：

[1]張健.電子文件信息安全管理評估體系研究[J].檔案學(xué)通訊，2011，4.

[2]馬曉珺，趙哲.電子商務(wù)信息安全管理體系研究[J].安陽市師范學(xué)院學(xué)報，2008，2.

[3]劉曉紅.信息安全管理體系認(rèn)證及認(rèn)可[J].認(rèn)證技術(shù)，2011，5.

[4]喬甜.基于全員參與的信息安全管理體系研究[J].科技致富向?qū)В?013，6.

[5]王新輝，張建，李偉濤.基于生命周期分析信息安全管理體系[J].計算機技術(shù)與發(fā)展，2012，3.

第8篇：網(wǎng)絡(luò)資產(chǎn)安全管理范文

自20世紀(jì)80年代以來，隨著信息技術(shù)迅速滲透到社會經(jīng)濟的各個領(lǐng)域，尤其是Internet/Intranet技術(shù)和電子商務(wù)（Ecommerce）的廣泛應(yīng)用，推動著人類社會從工業(yè)經(jīng)濟時代向網(wǎng)絡(luò)經(jīng)濟時代和信息化社會的方向前進。在這個動態(tài)演進的過程中，經(jīng)濟發(fā)展越來越需要信息的支持，信息已成為經(jīng)濟發(fā)展的戰(zhàn)略資源和社會管理的基本要素。

企業(yè)的信息化建設(shè)對于企業(yè)發(fā)展具有重要的戰(zhàn)略意義。對信息的采集、共享、利用和傳播成為決定企業(yè)競爭力的關(guān)鍵因素。只有實現(xiàn)信息化，企業(yè)才可能實現(xiàn)企業(yè)生產(chǎn)經(jīng)營活動的運營自動化、管理網(wǎng)絡(luò)化、決策智能化，從而理順和提高企業(yè)的管理水平，提高設(shè)計效率，降低企業(yè)的庫存，節(jié)約占用資金，降低生產(chǎn)成本，改善職工的工作環(huán)境，縮短企業(yè)的服務(wù)時間和提高企業(yè)的客戶滿意度，并可及時地獲取客戶需求，實現(xiàn)按訂單生產(chǎn)。

但是，信息化也使企業(yè)同時承受著巨大的信息安全的風(fēng)險。據(jù)統(tǒng)計，全球平均20秒就發(fā)生一次計算機病毒入侵；互聯(lián)網(wǎng)上的防火墻大約25%被攻破；竊取商業(yè)信息的事件平均以每月260%的速度增加；約70%的網(wǎng)絡(luò)主管報告了因機密信息泄露而受損失。我國公安機關(guān)2002年共受理各類信息網(wǎng)絡(luò)違法犯罪案件6633起，與上年相比增長45.9%，其中利用計算機實施的違法犯罪5301起，占案件總數(shù)的79.9%.而病毒的泛濫，更讓國內(nèi)眾多企業(yè)蒙受了巨額經(jīng)濟損失。加強信息安全建設(shè)，已成了目前國內(nèi)外企業(yè)迫在眉睫的大事。

二、信息安全和信息安全管理

根據(jù)國際標(biāo)準(zhǔn)化組織（ISO）的定義，信息安全是“在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露”。信息安全是一個動態(tài)的復(fù)雜過程，它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個生命周期。

信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進行的破壞以及自然危害。必須按照風(fēng)險管理的思想，對可能的威脅、脆弱性和需要保護的信息資源進行分析，依據(jù)風(fēng)險評估的結(jié)果為信息系統(tǒng)選擇適當(dāng)?shù)陌踩胧咨茟?yīng)對可能發(fā)生的風(fēng)險。信息安全的目標(biāo)就是要保證敏感數(shù)據(jù)的機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）[1].為了達到這個目的，人們建立起信息安全管理體系（InformationSecurityManagementSystems）。它是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的系統(tǒng)，表示成方針、原則、目標(biāo)、方法、過程、核查表（Checklists）等要素的集合。

在信息安全管理體系中，通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)與控制方式等建立起信息安全管理框架。在該體系中，人們在技術(shù)層面作了許多卓越而富有成效的工作來保障企業(yè)信息安全，如密碼學(xué)和訪問控制等。但僅僅依靠技術(shù)手段不可能徹底解決信息安全問題。這是因為，信息以及信息用戶的社會屬性決定了信息安全中存在非技術(shù)因素，而從屬于非技術(shù)因素的問題，無法依靠單純的技術(shù)手段加以解決[2].非技術(shù)手段主要包括法律手段、經(jīng)濟手段和行政手段等，在市場經(jīng)濟環(huán)境中，企業(yè)應(yīng)首選法律和經(jīng)濟手段來保護信息安全。

三、法務(wù)會計師在企業(yè)信息安全管理中的作用

信息及信息用戶的社會屬性使得法務(wù)會計師為企業(yè)提供專業(yè)服務(wù)成為必要，而法務(wù)會計師獨特的知識結(jié)構(gòu)和專業(yè)經(jīng)驗使得其在企業(yè)信息安全管理發(fā)揮其獨特作用提供了可能。根據(jù)信息安全風(fēng)險的成因，法務(wù)會計師可以因地制宜地制定相關(guān)對策。當(dāng)前威脅企業(yè)信息安全的主要成因是：

1.技術(shù)風(fēng)險。主要包括信息電磁化風(fēng)險和系統(tǒng)及軟件風(fēng)險。在網(wǎng)絡(luò)環(huán)境下，企業(yè)的各種票證和帳單等以人眼無法直接辨別的電磁信息的形式在網(wǎng)上傳遞并存儲于磁性介質(zhì)中，在傳遞及存儲過程中均有被攻擊者篡改或截獲的可能。

2.人員風(fēng)險。由于企業(yè)中負(fù)責(zé)具體業(yè)務(wù)的人員并不一定熟悉計算機操作，因此在系統(tǒng)使用過程中極有可能出現(xiàn)由于人員操作不當(dāng)而造成的意外損失。而由于系統(tǒng)管理涉及企業(yè)重要機密，操作人員是否會利用職權(quán)之便對信息進行破壞或剽竊也是企業(yè)管理者應(yīng)該關(guān)注的重要問題。

3.法律風(fēng)險。網(wǎng)絡(luò)的出現(xiàn)和廣泛應(yīng)用對傳統(tǒng)社會產(chǎn)生了強烈的沖擊，舊有的法律法規(guī)體系已不能完全適應(yīng)、指導(dǎo)和規(guī)范網(wǎng)絡(luò)安全的實踐。網(wǎng)絡(luò)本身的虛擬性、實時性、廣泛性要求更加切實可行，更加完備的標(biāo)準(zhǔn)準(zhǔn)則和法律法規(guī)的出現(xiàn)。

現(xiàn)階段，面對信息安全的威脅，企業(yè)缺乏有力的系統(tǒng)性的對應(yīng)措施和策略，基本處于“頭痛醫(yī)頭、腳痛醫(yī)腳”的狀態(tài)，解決方案手段單一，缺乏多種手段的共同治理。很多組織已經(jīng)越來越意識到要真正達到信息安全的目標(biāo)僅僅通過信息安全技術(shù)和產(chǎn)品是不可能實現(xiàn)的，結(jié)合法律、制度等社會性手段的信息安全管理體系（ISMS）的搭建才能實現(xiàn)信息系統(tǒng)的整體安全保障。因為，很多企業(yè)信息資產(chǎn)安全管理方面除了存在信息安全技術(shù)薄弱方面的原因外，還存在如下一些問題如，信息安全管理制度過于簡單，內(nèi)容不全；交叉重復(fù)，混亂無章；求大求全，無針對性；鎖在柜中，無人問津；以及制度執(zhí)行中的人為破壞等等。

建立包含技術(shù)和法律等手段的多層面的信息安全管理體系可以強化員工的信息安全意識，規(guī)范組織的信息安全行為，對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢；在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；使組織的商業(yè)伙伴和客戶對組織充滿信心，提高組織的知名度與信任度。因為信息安全事關(guān)企業(yè)信息資產(chǎn)和業(yè)務(wù)安全，需要通過法制渠道滿足企業(yè)在電子商務(wù)和管理環(huán)境中維護競爭優(yōu)勢的需要，法務(wù)會計師可以充分利用其在法律和會計信息管理方面的優(yōu)勢，為企業(yè)建立有效的信息資產(chǎn)保護計劃提供有價值的服務(wù)，并依法追究相關(guān)組織和人員的責(zé)任。

第9篇：網(wǎng)絡(luò)資產(chǎn)安全管理范文

關(guān)鍵詞：風(fēng)險評估；動態(tài)性；信息安全管理；脆弱性；威脅

中圖分類號：TP311 文獻標(biāo)識碼：A 文章編號：1007—9599 （2012） 14—0000—02

一、引言

隨著信息化的快速發(fā)展，信息系統(tǒng)在各行業(yè)領(lǐng)域發(fā)揮越來越大的作用，但隨之而來的安全問題卻成為制約信息化快速健康發(fā)展的短板。如今各類網(wǎng)絡(luò)攻擊事件不逐年增多，雖然通過部署一系列安全設(shè)備，如防火墻、防毒墻、IDS、IPS以及其他諸如上網(wǎng)行為管理軟件等等，以期增加安全防護水平，然而通常由于信息主管部門人員力量有限，安全設(shè)備形成的大量數(shù)據(jù)信息，無法在第一時間對潛在的危險進行有效收集、分析和處理，以致無法快速進行系統(tǒng)地評估，掌控全局安全狀態(tài)。

及時的全局信息系統(tǒng)風(fēng)險管理是對系統(tǒng)安全現(xiàn)狀進行管控的一種有效措施，其遵循PDCA循環(huán)模式管理，即P（Plan：計劃）、D（Do：執(zhí)行）、C（Check：檢查）和A（Action：行動）。其最早由美國質(zhì)量管理專家戴明提出來，旨在通過不斷循環(huán)，對系統(tǒng)進行檢測、加固，使安全防范水平得到進一步提高。它是一種動態(tài)的檢測機制，其精髓就是對系統(tǒng)進行有效的風(fēng)險評估，反觀現(xiàn)今常采用的評估方法，多為靜態(tài)模式，其結(jié)果只限于指定時間點的風(fēng)險值，存在滯后性，無法反映二個連續(xù)檢測點風(fēng)險值變化情況。如假使以期通過PDCA模式提高安全性，選擇動態(tài)模式的風(fēng)險評估成為必然。

二、風(fēng)險評估理念

日常安全風(fēng)險產(chǎn)生的原因主要為威脅因素利用資產(chǎn)脆弱性，對系統(tǒng)產(chǎn)生危害，表現(xiàn)方式主要有可能導(dǎo)致系統(tǒng)非正常運行，數(shù)據(jù)的完整性、可用性、保密性受到侵害。風(fēng)險評估是管理風(fēng)險的重要手段，在標(biāo)準(zhǔn)ISO/IEC17799中對于風(fēng)險評估作了如下定義：信息及信息處理設(shè)備的威脅、影響和弱點以及三者發(fā)生的可能性的評估。其內(nèi)在因素之間關(guān)系如圖1—1所示：

三、動態(tài)風(fēng)險評估

（一）系統(tǒng)結(jié)構(gòu)

動態(tài)風(fēng)險評估架構(gòu)由五部分組成，包括安全檢測模塊、信息管理模塊、事件資源庫模塊、規(guī)則資源庫模塊以及風(fēng)險評估模塊。安全檢測模塊主要通過安全檢測設(shè)備實時監(jiān)控系統(tǒng)中隱藏的威脅信息并發(fā)出告警信息，信息管理模塊主要負(fù)責(zé)接收告警信息并輸出為統(tǒng)一格式，事件資源庫模塊收集威脅評估、資產(chǎn)脆弱性評估結(jié)果，規(guī)則資源庫用于存儲風(fēng)險評估計算方式（公式），風(fēng)險評估模塊通過整合信息管理模塊的輸出值，依據(jù)規(guī)則資源庫的風(fēng)險評估計算方式計算系統(tǒng)的風(fēng)險值。其結(jié)構(gòu)圖如1—2所示：

（二）評估方法

1.資產(chǎn)評估

資產(chǎn)評估包括資產(chǎn)識別和價值評估兩部分。資產(chǎn)識別即首先識別有價值的資產(chǎn)，列入評估清單，形式有物理資產(chǎn)、信息資產(chǎn)、人員、服務(wù)、組織的聲譽等，這里以網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫所含信息為主。數(shù)據(jù)信息的保護即為維持其完整性、可用性和保密性，通過收集、分析網(wǎng)絡(luò)中相關(guān)計算機運行屬性，以及在整個系統(tǒng)運行過程中的作用和被攻擊后需要修復(fù)所產(chǎn)生的費用等，確定資產(chǎn)價值。

2.脆弱性分析

脆弱性是指系統(tǒng)存在的安全薄弱環(huán)節(jié)，容易被威脅利用并造成損失，其主要可以分為管理脆弱性和技術(shù)脆弱性。這里討論以技術(shù)脆弱性為主，主要為信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備中存在的可能導(dǎo)致未授權(quán)操作的脆弱性節(jié)點，該類脆弱性通?？梢允褂么嗳跣話呙韫ぞ摺⒙┒磼呙柘到y(tǒng)、安全審計工具等方式獲得。

3.威脅分析

威脅主要為損害資產(chǎn)完整性、保密性、可用性的行為，通過安全檢測模塊如防火墻、防毒墻、IDS以及其他安全防護設(shè)備告警、觸發(fā)形成，經(jīng)常表現(xiàn)為一種未預(yù)期的突發(fā)事件。

威脅分析首先需要列出可能存在的所有可能導(dǎo)致資產(chǎn)損害的因素，如物理因素、系統(tǒng)因素、人為因素等，其次執(zhí)行威脅發(fā)生可能性概率分析和潛在損失分析，根據(jù)分析結(jié)果，定量計算出威脅值并作標(biāo)識，進一步形成應(yīng)對策略。

4.計算資產(chǎn)的動態(tài)風(fēng)險

資產(chǎn)的風(fēng)險隨著安全設(shè)備檢測出不同安全事件而有不同的變化，其標(biāo)識信息包括：安全設(shè)備編碼、威脅的類型、源地址、目的地址、源端口、目的端口以及威脅發(fā)生的時間等，此外，每個安全設(shè)備報警的準(zhǔn)確率也是可以確定的。

如果組織網(wǎng)絡(luò)中主機的資產(chǎn)價值用Ai表示，在某個時刻各主機的風(fēng)險值為Ri，則此時網(wǎng)絡(luò)整體風(fēng)險值R為：R= 。當(dāng)某個安全設(shè)備產(chǎn)生一個報警事件時，首先根據(jù)其報警信息中的目的地址查看目的主機的威脅列表中是否存在此威脅，如果威脅存在，則讀出目的主機的資產(chǎn)價值A(chǔ)i、該威脅可能對資產(chǎn)造成影響的權(quán)重WTi以及報警前目的主機的風(fēng)險值Ri，并根據(jù)該威脅的源地址得到威脅主體的動機指數(shù)Mi和能力值Ci。若用P表示報警設(shè)備的準(zhǔn)確率，T表示威脅值，則該威脅產(chǎn)生的風(fēng)險值r可以通過以下公式計算：r=Ai×T×P，T=Mi×Ci×WTi。假定單個威脅產(chǎn)生的風(fēng)險的閾值是v，網(wǎng)絡(luò)中主機的風(fēng)險閾值為VH，整個網(wǎng)絡(luò)的風(fēng)險閾值為VN，對于某個報警事件產(chǎn)生的風(fēng)險值r，首先將其與v進行比較，如果r≥v，根據(jù)威脅分析階段所確定的相應(yīng)對策對該威脅進行響應(yīng)。如果r

四、總結(jié)

風(fēng)險評估當(dāng)前已成為加固信息系統(tǒng)安全的重要步驟之一，隨著信息安全管理體系理念的推廣，其影響范圍越來越大，也越來越獲得重視。而實施動態(tài)的評估預(yù)警機制則更充分有效地發(fā)揮了風(fēng)險評估的作用，對于實際生產(chǎn)和安全管控有十分重要的意義。

參考文獻：

[1]GB/T20984信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范，2007

[2]GB/T19715.1——2005信息技術(shù)信息技術(shù)安全管理指南第1部分：信息技術(shù)安全概念和模型（150/IECTR13335—1：1996，IDT）

[3]王蓮芬，許樹柏.層次分析法引論[M].北京：中國人民大學(xué)出版社，1990

[4]馮登國，張陽，張玉清.信息安全風(fēng)險評估綜述[J].通信學(xué)報，2004，25，7：10—18