网络信息安全总结汇总十篇

序论：好文章的创作是一个不断探索和完善的过程，我们为您推荐十篇网络信息安全总结范例，希望它们能助您一臂之力，提升您的阅读品质，带来更深刻的阅读感受。

篇（1）

为进一步加强全委网络信息系统安全管理工作，我委成立了网络和信息安全督查自查领导小组，由主任任组长，副主任任副组长，综合股张俊为成员。做到分工明确,责任具体到人。制定了自查方案，严格按照自查目录情况表进行了自查。

二、我委网络安全现状

1、网络安全方面。我委配备了防病毒软件，采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施，明确了网络安全责任，强化了网络安全工作。

2、信息系统安全方面。实行领导审查签字制度,凡上传网站的信息，须经有关领导审查签字后方可上传。

3、日常管理方面。切实抓好外网、网站和应用软件“五层管理”，确保“计算机不上网，上网计算机不”，严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。

4、硬件设备情况。硬件设备使用合理，软件设置规范，设备运行状况良好。我委每台终端机都安装了防病毒软件，系统相关设备的应用一直采取规范化管理，硬件设备的使用符合国家相关产品质量安全规定，单位硬件的运行环境符合要求，打印机配件、色带架等基本使用设备原装产品。

5、通讯设备运转正常。我委网络系统的组成结构及其配置合理，并符合有关的安全规定；网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的，自安装以来运转基本正常。

6、严格管理、规范设备维护。我委对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在委开展网络安全知识宣传，使全体职工意识到计算机安全保护是“三防一保”工作的有机组成部分，而且在新形势下，计算机犯罪还将成为安全保卫工作的重要内容。

三、网络安全存在的不足及整改措施

我们在自查过程中发现了一些管理方面存在的薄弱环节，今后还要在以下几个方面进行改进：

1、对于线路不整齐、暴露的，立即对线路进行限期整改，并做好防鼠、防火安全工作。

篇（2）

一、网络安全管理：我院的网络分为互联网和院内局域网，两网络实现物理隔离，以确保两网能够独立、安全、高效运行。

重点抓好“三大安全”排查。

1.硬件安全，包括防雷、防火、防盗和UPS电源连接等。医院HIS服务器机房严格按照机房标准建设，工作人员坚持每天巡查，排除安全隐患。X光室、检验室都有UPS电源保护，可以保证短时间断电情况下，设备运行正常，不至于因突然断电致设备损坏。

2.网络安全:包括网络结构、密码管理、IP管理、互联网行为管理等；网络结构包括网络结构合理，网络连接的稳定性，网络设备（交换机、路由器、光纤收发器等）的稳定性。HIS系统的操作员每人有自己的登录名和密码，并分配相应的操作员权限，不得使用其他人的操作账户，账户施行“谁使用、谁管理、谁负责”的管理制度。疾病预防控制（含免疫规划等）信息系统、妇幼健康信息系统都有专人负责操作，并签订安全承诺书。互联网和院内局域网均施行固定IP地址，由医院统一分配、管理，不允许私自添加新IP。

二、数据库安全管理：我院目前运行的数据库为HIS数据库，是医院诊疗、划价、收费、查询、统计等各项业务能够正常进行的基础，为确保医院各项业务正常、高效运行，数据库安全管理是极为有必要的。

数据库容灾备份是数据库安全管理中极为重要的一部分，是数据库有效、安全运行的最后保障，也是保障数据库信息能够长期保存的有效措施。我院采用的备份类型为完全备份，系统管理员手动将数据库中数据备份到移动硬盘上。

三、软件管理：目前我院在运行的软件主要分为三类：HIS系统、常用办公软件和杀毒软件。

篇（3）

Research Into the Information Security Status Quo at Home and Abroad

Lin Lin

（Information Security Department of the Patent Office Beijing 100088）

【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis， for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect， standardization of information security system provides some reference opinions.

【 Keywords 】 information security； planning； specification； perfect； information system

1 引言

在当今全球一体化的环境中，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全管理成为信息化管理越来越关键的一部分。面对越来越严峻的安全形势，世界各国高度重视信息安全保障。2015年已然过半，在安全行业，不同规模的攻击者，无论是技术还是组织都在快速提升。相比之下美国信息安全保障体系建设比较完善，信息保障已成为美军组织实施信息化作战的指导思想。

国际上信息安全标准化工作兴起于20世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技术规则，与信息安全标准化有关的组织主要有几个：ISO（国际标准化组织）、IEC（国际电工委员会）、ITU（国际电信联盟）、IETF（Internet工程任务组）等。除了上述标准组织，世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。

2 国外IT新技术信息安全

随着全球信息化浪潮的不断推进，信息技术正在经历一场新的革命，使社会经济生活各方面都发生着日新月异的变化。虚拟化、云计算、物联网、IPv6等新技术、新应用和新模式的出现，对信息安全提出了新的要求，拓展了信息安全产业的发展空间。同时，新技术、新应用和新模式在国外市场的全面开拓将加快国外信息安全技术创新速度，催生云安全等新的信息安全应用领域，为国外企业与国际同步发展提供了契机。

2.1 云计算

“云安全”是继“云计算”、“云存储”之后出现的“云”技术的重要应用，已经在反病毒软件中取得了广泛的应用，发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。云安全联盟CSA是在2009年的RSA大会上宣布成立的，云安全联盟成立的目的是为了在云计算环境下提供最佳的安全方案。同时云安全联盟列出了云计算的七大安全风险：（1）数据丢失/泄漏；（2）共享技术漏洞；（3）内部控制；（4）账户、服务和通信劫持；（5）不安全的应用程序接口；（6）没有正确运用云计算；（7）透明度问题。

2.2 虚拟化

咨询公司Gartner将虚拟化技术列为2013年十大战略技术第一位，而在2014年初预测中，更是大胆断言到2015年20%的企业将不再拥有IT资产，因为多个内在关联的趋势正在推动企业去逐步减少IT硬件资产，这些趋势主要是虚拟化、云计算服务等。而虚拟化技术，作为云计算的一个支撑技术，必将成为未来最重要的最值得研究的IT技术之一。虽然目前针对各组件安全的保护措施不少，但是从CVE的公告中可以看出安全威胁仍然存在。目前针对虚拟化环境的主要威胁有三类：逃逸威胁、流量分析与隐蔽信道以及Host OS与Guest OS之间的共享问题。

2.3 物联网

物联网和互联网一样，都是一把“双刃剑”。物联网是一种虚拟网络与现实世界实时交互的新型系统，其特点是无处不在的数据感知、以无线为主的信息传输、智能化的信息处理。根据物联网自身的特点，物联网除了面对移动通信网络的传统网络安全问题之外，还存在着一些与已有移动网络安全不同的特殊安全问题。这是由于物联网是由大量的机器构成，缺少人对设备的有效监控，并且数量庞大，设备集群等相关特点造成的，这些特殊的安全问题主要有几个方面：（l）物联网机器/感知节点的本地安全问题；（2）感知网络的传输与信息安全问题；（3）核心网络的传输与信息安全问题；（4）物联网应用的安全问题。

2.4 IPv6

为适应Intemet的迅速发展及对网络安全性的需要，由IETF（The Internet Engineer Task Force）建议制定的下一代网际协议（IPNextGeneration Protocol，IPng），又被称为IP版本6（1Pv6），除了扩展到128位地址来解决地址匮乏外，在网络安全上也做了多项改进，可以有效地提高网络的安全性。

由于IPv6与IPv4网络将会，网络必然会同时存在两者的安全问题，或由此产生新的安全漏洞。已经发现从IPv4向IPv6转移时出现的一些安全漏洞，例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源，攻击者可以通过安装了双栈的使用IPv6的主机，建立由IPv6到IPv4的隧道，绕过防火墙对IPv4进行攻击。

3 国外信息安全发展趋势

据Gartner分析，当前国际大型企业在信息安全领域主要有几个发展趋势：（1） 信息安全投资从基础架构向应用系统转移；（2）信息安全的重心从技术向管理转移；（3）信息安全管理与企业风险管理、内控体系建设的结合日益紧密；（4）信息技术逐步向信息安全管理渗透。结合大型企业信息安全发展趋势，国际各大咨询公司、厂商等机构纷纷提出了符合大型企业业务和信息化发展需要的信息安全体系架构模型，着力建立全面的企业信息安全体系架构，使企业的信息安全保护模式从较为单一的保护模式发展成为系统、全面的保护模式。

4 国外信息安全总结

信息安全在国外已经上升到了国家战略层次，国外的信息安全总体发展领先于国内，特别是欧美，研究国外的信息安全现状有助于我国的信息安全规划。国外的主流的信息安全体系框架较多，都有其适用范围和缺点，并不完全符合我国现状，可选取框架的先进理念和组成部分为我国所用，如IATF的纵深防御理念和分层分区理念、ISO27000的信息安全管理模型、IBM的安全治理模块等。

5 国内信息安全综述

目前，国家开始高度重视信息安全问题，以等级保护和分级保护工作为主要手段，加强我国企事业单位的信息安全保障水平。 目前我国信息于网络安全的防护能力处于发展的初级阶段，许多应用系统处于不设防状态，信息与网络安全，目前处于忙于封堵现有信息系统的安全漏洞，要解决这 些迫在眉睫的问题，归根结底取决于信息安全保障体系的建设。

6 国内信息安全标准

国内的安全标准组织主要有信息技术安全标准化技术委员会（CITS）、中国通信标准化协会（CCSA）下辖的网络与信息安全技术工作委员会、公安部信息系统安全标准化技术委员会、国家保密局、国家密码管理委员会等部门。

在信息安全标准方面，我国已了《信息技术 安全技术 公钥基础设施在线证书状态协议》、《信息技术 安全技术 公钥基础设施证书管理协议》等几十项重要的国家信息安全基础标准，初步形成了包括基础标准、技术标准、管理标准和测评标准在内的信息安全标准体系框架。

7 国内IT新技术信息安全

7.1 云计算

目前我国的云计算应用还处于初始阶段，关注的重点是数据中心建设、虚拟化技术方面，因此，我国的云安全技术多数集中在虚拟化安全方面，对于云应用的安全技术所涉及的还不多。虽然当前众多厂商提出了各种云安全解决方案，但云安全仍处于起步阶段，除了可能发生的大规模计算资源的系统故障外，云计算安全隐患还包括缺乏统一的安全标准、适用法规、以及对于用户的隐私保护、数据、迁移、传输安全、灾备等问题。

7.2 虚拟化

由于虚拟化技术能够通过服务器整合而显著降低投资成本，并通过构建内部云和外部云节省大量的运营成本，因此加速了虚拟化在全球范围的普及与应用。目前许多预测已经成为现实：存储虚拟化真正落地、高端应用程序虚拟化渐成主流、网络虚拟化逐渐普及、虚拟化数据中心朝着云计算的方向大步迈进、管理工具比以往更加关注虚拟数据中心。在虚拟化技术应用方面，企业桌面虚拟化、手机虚拟化、面向虚拟化的安全解决方案、虚拟化推动绿色中心发展等领域也取得了长足进步，发展势头比之前预想的还要迅猛。

7.3 IPv6

我国IPv6标准整体上仍处于跟随国际标准的地位，IPv6标准进展与国际标准基本一致，在过渡类标准方面有所创新（如软线技术标准和 IVI技术标准等），已进入国际标准。中国运营企业在IPv6网络的发展，奠定了中国在世界范围内IPv6领域的地位，积累了一定的运营经验。但总体来看，我国IPv6运营业发展缓慢，主要体现在IPv6网络集中在骨干网层面，向边缘网络延伸不足，难以为IPv6特色业务的开发和规模商用提供有效平台。此外，由于运营企业积极申请IPv4地址，或采用私有地址，对于发展IPv6用户并不积极，直接影响了其他产业环节的IPv6投入力度。

8 国内信息安全发展趋势

随着信息技术的快速发展和广泛应用，基础信息网络和重要信息系统安全、信息资源安全以及个人信息安全等问题与日俱增，应用安全日益受到关注，主动防御技术成为信息安全技术发展的重点。

第一，向系统化、主动防御方向发展。信息安全保障逐步由传统的被动防护转向"监测-响应式"的主动防御，产品功能集成化、系统化趋势明显，功能越来越丰富，性能不断提高；产品问自适应联动防护、综合防御水平不断提高。

第二，向网络化、智能化方向发展。计算技术的重心从计算机转向互联网，互联网正在逐步成为软件开发、部署、运行和服务的平台，对高效防范和综合治理的要求日益提高，信息安全产品向网络化、智能化方向发展。网络身份认证、安全智能技术、新型密码算法等信息安全技术日益受到重视。

第三，向服务化方向发展。信息安全内容正从技术、产品主导向技术、产品、服务并重调整，安全服务逐步成为发展重点。

9 国内信息安全总结

国内的信息安全较国外有一定距离，不过也正在快速赶上，国内现在以等级保护体系和分级保护体系为主要手段，以保护重点为特点，强制实施以提高对重点系统和设施的信息安全保障水平，国内的信息安全标准通过引进和消化也已经初步成了体系，我国在规划时，需考虑合规因素，如等级保护和分级保护。国内的信息安全体系框架较少，主要是等级保护和分级保护，也有国内专家个人推崇的框架，总体来讲，以合规为主要目的。

参考资料

[1] 中华人民共和国国务院.中华人民共和国计算机信息系统安全保护条例.1994.

[2] 公安部，国家保密局，国家密码管理局，国务院信息化工作办公室.信息安全等级保护管理办法.2007.

[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.

[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.

[5] Trustwave .2012 Global Security Report，2012.

篇（4）

近年来，在互联网内容不断革新的新形势下，网络安全委员会始终认真贯彻落实各项法律法规的相关要求，结合实际情况，不断完善网络安全工作机制，提高基础管理和专业队伍技能水平，同时积极开展网络安全知识技能宣传和普及，努力提高安全管控能力，切实保障绿色、健康的互联网接入环境。现将2019年重点工作汇总如下：

1. 强化组织建设，坚决打击违规网站及违法犯罪行为

过去的一年，网络安全工作委员会带头强化自身组织建设，完善内部管理制度与规范；对有关单位接入网站的备案信息积极核查，紧紧围绕违法犯罪内容进行监督管理，及时接收并处理违法和不良信息举报，并积极协助执法机关对涉案网站调查取证。2019年全年，清理违规网站16083个，涉及链接2946013条，协助执法单位调查取证79起，有效处理不良信息举报7965个。

2. 积极参与2019河南省互联网大会、网络安全竞赛等活动

为加快科技创新，发展数字经济，助推实体经济与传统产业数字化转型，聚焦大数据时代网络安全、为互联网发展保驾护航，网络安全工作委员会积极参加2019河南省第六届互联网大会，并在主管部门领导的支持下参与承办了“安全护航  数创未来”分会；分会场上特邀中国科学院计算技术研究所大数据研究院院长王元卓、北京赛博英杰科技有限公司创始人兼董事长谭晓生、沃通电子认证服务有限公司 CTO王高华、阿里云华中大区安全总监马睿博、百度安全总经理马杰、中国网络空间安全协会副理事长杜跃进等网络安全领域专家及学者，分别作《大数据驱动数字经济》、《智能化安全运营，护航数字化未来》《解读<密码法>，数据加密保护是重点》《构安全生态，建AI未来》《云安全应用的新实践》《大安全亟待升级》等主题演讲，深度探讨以云计算、大数据、人工智能、5G等新一代信息技术为核心，以新时期网络安全为基石，助力企业数字化转型，构建并全力护航数字经济时代。

除此之外，网络安全委员会始终重视并坚持培养技术人才，2019年7月积极参加主管部门组织的网络安全竞赛，并积极为赛场提供场地、设备及网络环境等，以确保比赛的顺利进行。

3. 全力保障国家重要会议和活动安保工作

网络安全工作委员会积极开展安全教育学习工作，组织相关单位学习安全相关的法律法规，并开展考核。在2019年民族运动会和70周年大庆安保期间，及时将安保工作的目的、要求和内容传达到相关负责人，以确保安保工作的落地与执行。除此之外，安保期间相关企业单位专设专人值班，实行7*24工作制度，并适时信息安全安保工作的通知，设置紧急信息接收、反馈与处理通道，第一时间接收上级主管单位的指令、处理并反馈；全力完成重点阶段的安全保障工作。

二、目前存在的问题和建议

网民的网络安全技能仍需提高

自《网络安全法》普及以来，明显感觉到网民的网络安全意识有了显著提升，但是有些用户虽重视，但苦于未配置技术人员或技术人员能力达不到要求，导致即使知道网站存在安全隐患也不能及时得到解决。希望主管部门在宣传安全意识的基础上，增加一些基础安全防范技能方面的内容。

三、2020年工作设想

当下，随着《网络安全法》的普及，网民对打击网络有害信息和不法行为的呼声更为强烈,尤其是数据泄露、钓鱼网站等诈骗事件的频发，维护网络安全已是迫在眉睫、刻不容缓。基于此，2020年将从以下几个方面开展网络安全工作：

1. 做好自我规范，加强组织沟通

委员会将继续完善组织建设，通过组织会议、行业沙龙等形式为会员单位创造更多的交流机会，集中发挥各会员单位的优势，共同促进我省互联网行业健康，共同参与维护我省网络安全。除此之外，委员会始终坚持“坚决打击违规网站及违法犯罪行为”的决心，联合各成员单位，对发现可疑线索及时上报主管部门，并积极协助其锁定证据。

2. 坚持投入，大力培养技术人才

2020年委员会将继续强化网络安全队伍建设，完善网络与信息安全专业的学习、培训及考核平台；并积极组织相关单位参加各项网络安全技能大赛，切实提升网络安全保障能力和水平。

3. 做好重要时期的网络安全保障工作

2020年，国家网络安全宣传周将在郑州举办，网络安全工作委员会将全力领导各相关单位各尽其责，充分发挥“警务室”等机构在政企间的桥梁作用，共同为该活动做好准备工作，。

篇（5）

1引言

随着科学技术的不断发展，网络信息技术更是在各大企业得以应用。可以说信息技术是一把双刃剑，在给企业带来巨大利益的同时也带来了很大的风险。而供电企业是国家的重要基础设施的行业，它的安全更是关乎着整个国家的电力发展甚至说电力企业发生任何意外都会影响到我们整个国家的经济、国际地位等各方面的发展。因此说，供电企业的信息安全不容小觑。供电企业的信息安全隐患主要分为内因和外因。供电企业在抵挡外来的信息侵略时会设置各种软、硬件措施，这的确对于抵挡外来侵略起到了一定的作用。但是对于内部来说这就毫无意义了。内部信息安全得不到保障比外来侵略更加可怕。所以在处理供电企业的信息安全问题上一定要谨慎认真。

2信息安全隐患

2.1信息安全的定义

信息安全总的来说是指信息在传播过程中能够不受外界的干扰，保证信息的安全、真实、可靠、保密以及完整性。并且能够完好无损的传输到目的地。

2.2隐患的定义

隐患分为潜在隐患、动态隐患、静态隐患等各种，主要是指事故发生的原因。

2.3隐患的影响

有的隐患并不会造成很大的影响，这种隐患危险性相对较低；有的隐患虽然不会导致很大的危险发生，但是仍然会对企业造成一定的不良影响：还有的隐患就相对危险了，会对企业造成相当程度的损害，如果是信息安全得到破坏，企业的各种有效信息很有可能得到泄露；最为严重的一种就是会对企业造成不可挽回的严重破坏，甚至会使得整个企业系统瘫痪。

2.4信息安全隐患的形成

（1）通过对“物”的管理不善造成的各种影响：信息的传播需要通信电路，而通信电路出现问题如果没有及时发现并治理就会造成通信不便。在信息系统中不管是软硬件的老化或者失效也会造成信息传播不便。（2）通过对“人”的管理不善造成的各种影响：人是最难把握的一类高级生物，既然是人为操作就不可能一直不犯错误。而网络这个大系统又是由多方面的人员共同完成。在信息传输过程中，有些操作人员可能并没有很清楚自身的操作能力，那么在操作过程中就会出现各种各样的问题。

3关于信息安全隐患的排查

3.1排查的目的

隐患如果没有及时消除就会造成很严重的后果，如果是轻度隐患造成的影响还相对小一些，但是如果是重度隐患就会造成无法挽回的后果。所以说，排查隐患的存在是非常有必要的。排查隐患的目的主要是在于能够及早发现各种严重隐患，在关键部位重点关注，不让检查工作浮于表面，认真负责信息安全的检查。排查隐患的工作做好有利于企业提高自身网络系统的安全性和可靠性。供电企业的信息安全排查的第一步做好了才有机会更好地完成后边的步骤，有利于供电企业持续正常的为国家社会和人民服务。

3.2排查的范围

排查分为终端、系统排查，设备、网络排查，人员、管理排查。排查过程中更是要认真仔细，决不能放过任何可疑的细节，要做到全面、细致。

4关于隐患的治理

4.1排查方法

信息安全不是儿戏，需要专业的知识来对安全隐患进行排查。主要分为以下两个方法：督查信息安全、排查信息隐患。我们重点来说一下督查信息安全。督查信息安全，顾名思义，就是对信息进行监督和检查。主要分为日常监督、专项监督、年度监督。

4.2排查流程

根据国家的法律法规，在对信息安全隐患进行排查时，也要遵循一定的法规流程。信息安全的排查工作也是要由专业部门统一组织领导进行。由专门的信息监督人员、检查人员进行排查。由专门的技术人员对排查结果进行分析总结并且分类整理所得到的信息。

4.3隐患的治理

（1）国家相关法律部门制定相应的法律法规，对信息安全提出明确的保护方案和违反这一法规所会受到的处罚。并对破坏供电企业信息安全的行为高度重视，重点处置。（2）在隐患发生前有专业技术人员对各个方面进行完美的检查，并且制定出各种意外方案以备不时之需。（3）对于在信息传播过程中由于设备问题所出现的问题要由专业的技术人员加以修正，而且在此之前，信息技术监督小组成员应当提前预料到各种情况，这样才能对在各种情况发生时临危不乱。（4）定期检查。不管是什么季节、什么时间都应该有相关的技术人员对供电企业的各种信息、通信系统是否正常运行进行检查维修。如有必要，还应该开展各种演练活动，提高值班人员的素质和应变能力。（5）加强培训。要对供电企业内部人员进行安全教育和技术培训，不仅提高理论水平还有实践能力，加强安全意识。

5结束语

信息安全是现当代各个企业必须面临的重要问题，而供电企业作为国家的重点基础设施企业更是要加以高度重视。信息安全不仅仅是信息部门的事情更是企业所有人的问题。供电企业要做到全员参与，制定更加合理的制度，不断提高信息安全水平。

篇（6）

中图分类号：TP393.08

中小企业是整个经济社会的主要组成部分，由于它依然在发展的初期过程中，因此中小企业并没有更多的经历和资金投入到网络信息技术的管理当中。因为网络信息安全给中小企业造成的困扰也不断发生，实际上，在我国中小企业信息丢失的情况时有发生，我国不少报纸也在不断呼吁中小企业增加企业内部网络安全管理功能和投入。本文就中小企业所面临的网络安全问题进行了分析。

1中小企业网络安全问题

从当前企业的内外部网络中，我们可以认为企业内部信息安全网络体系需要所面临的安全问题有如下内容：

1.1外网信息安全

中小企业主要依靠快速获得信息、快速转型、快速提供各种解决方案而获得订单或资源。然而当前快速信息的来源主要是从网络中而来，因此互联网的信息交流成为了中小企业发展的主要工具，而互联网内部的黑客攻击、病毒传播、垃圾邮件、蠕虫攻击等已经成为威胁中小企业外网的主要内容。

1.2内网信息安全

在摒弃了外网威胁之外，企业的员工不少利用网络处理私人事务，而对计算机进行不当使用，因而造成了企业网络资源大量消耗，带病毒的U盘、光盘等介质在相互电脑之间传播，间谍软件在不断复制企业的信息，这都使得不少企业内部信息在网络之间泄露给竞争对手。

1.3企业内部网络之间信息安全

随着中小企业的不断壮大和发展，不少企业已经形成了企业总部、分支机构、移动办公人员、仓储人员都分开办公的互动运营模式，而在移动办公人员所使用的互联网电脑之间的信息共享安全成为中小企业在成长过程之中不得不考虑的问题。

2防范对策

企业的管理人员应该知道，要真正防止中小企业网络安全问题的发生是不可能的，这是因为随着网络安全防护升级过程，黑客侵入、病毒感染、木马传送等技术也在不断更新。因此要真正提升企业网络安全更应该从根本上进行，即对企业出入口信息进行严格控制和管理，对员工进行管理和教育，并实时对网络系统进行漏洞和安全问题检查，及时提出相应的安全评估风险，提出补救措施，并有效的防止黑客的入侵和病毒扩散。具体而言要做到实施企业防火墙控制、入侵检查防御、网络安全漏洞修复、重要文件及内部资料管理等方式。

2.1防火墙实施方案

企业应当从网络的内部考虑，对于企业内外部使用合适的防火墙管理软件，而本文所建议的防火墙软件应当设置为两台防火墙，一台防火墙对业务网与企业内网进行隔离，另一台防火墙对Internet与企业内网之间进行隔离，其中DNS、邮件等对外服务器连接在防火墙的DMZ区与内、外网间进行隔离。

防火墙主要的功能在于保护整个网络之间数据信息传递的交流安全，因为它应当设置的安全过滤权限为：对网络数据包的协议、端口、源目的/目标地址之间的审核和管理，严格审核外网用户的非法登录，限制和记录外网用户的数据包传递。及时防范外部的服务攻击，定期检测和查看防火墙的访问日志，对防火墙管理人员的严格控制。

防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。

2.2入侵检测方案

在核心交换机监控端口部署CA入侵检测系统(eTrust Intrusion Detection)，并在不同网段(本地或远程)上安装由中央工作站控制的网络入侵检测，对网络入侵进行检测和响应。

入侵检测系统实时捕获内外网之间传输的所有数据，以动态图形方式展现出来，使管理员能够时刻掌握当前内外网之间正在进行的连接和访问情况；运用协议分析和模式匹配方法，可以有效地识别各种网络攻击和异常现象，如拒绝服务攻击，非授权访问尝试，预攻击探测等；当攻击发生时，可根据管理员的配置以多种方式发出实时报警；对于严重的网络入侵事件，也可由入侵检测引擎直接发出阻断信号切断发生攻击的连接，还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态的智能的防护体系。

2.3网络安全漏洞

不少企业内部为了便于交流，纷纷架设了WWW、邮件、视频服务器，而其中最重要的是企业内部的财务系统服务器，对于管理人员而言，无法及时有效的了解每个服务器之间和网络内部的安全缺陷和漏洞管理，因此使用漏洞扫描和及时修复漏洞、对当前漏洞进行分析和评估工作，成为增强网络安全性的主要方法。

2.4重要文件及内部资料管理

对于中小型企业定期进行重要资料的管理和备份是很有必要的，这能够防止企业内部数据因为各种软硬件故障、病毒侵袭和黑客破坏而导致整个系统资源崩溃造成重大的损失。因此中小企业应当积极的选用各种功能完善，使用灵活的备份软件进行资源的备份和恢复，全面的保护数据的安全。

在服务器、企业内部机子在运行重要数据时，要实时动态加密，自觉的对各种文件进行分级、分类管理、特别对重要的系统文件、重要的可执行文件进行写保护、并使用安全有效的数据存储、备份及时，必要时采用物理或逻辑隔离措施来保证信息资源的安全和稳定。

3总结

网络技术的飞速发展，极大地改变了人们的生活方式，中小企业在享受网络技术带来好处的同时，也面临着日益突出的安全问题。笔者针对昆明市某普洱茶城在分布模式下制定的安全防护策略，探讨了中小企业的网络安全问题。网络安全防护是一个综合性的工程，无论采取何种措施，安全总是相对的，因而作为网络安全管理员，应随网络安全状况及安全需求的变化，适度的调整安全策略，这样才能做到有的放矢

参考文献：

[1]张宏.网络安全基础[M].机械工业出版社,2004(1):21-24.

[2]Anne Carasik-Henmi等.防火墙核心技术精解[M].中国水利水电出版社,2005(1):10-14.

篇（7）

他们坦然面对记者说出了这背后的故事。

国税总局在风险评估实践中总结出的差距分析法

有句话是这么说的：道路是什么，道路是人在没有路的地方用脚踩出来的。

人生的道路是这样，信息安全之路也是这样。当安全威胁成为信息化进程最大阻碍的时候，如何踩出一条网络信息安全之路，就成为政府主管部门思考的问题。

2006年，为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件)，形成与国际标准相衔接的中国特色的信息安全标准体系，以更好应对未来日益严峻的信息安全威胁，国务院信息化工作办公室会同相关部门，组织了三项信息安全试点，包括：电子政务信息安全试点、信息安全风险评估试点、信息安全管理标准应用试点。总共有三十余家试点单位参加了相关试点工作。

因为涉及国家信息安全未来标准和技术道路的探索，所有的试点单位一直都仿佛蒙上一层神秘的面纱。这些探索者究竟做了一些什么工作？它们的先行又为我国信息安全事业踏出什么样的实践之路？近日，在国信办召开的全国地方信息安全处长会议间歇，记者走近本次试点工作六个优秀试点单位代表，揭开了一直罩在这些试点单位头上那层神秘的面纱，看到了他们的努力和汗水，以及试点工作探*索出来的宝贵经验。政务驰入安全互联网模式

试点方向：电子政务信息安全

访谈人物：河南省济源市信息办副主任焦依平

电子政务是国家信息化的重中之重，而信息安全又是电子政务顺利完成的重中之重。

为贯彻落实中办发27号文件精神，研究解决电子政务信息安全建设和管理中的一些共性问题，探索电子政务信息安全保障方法，国信办会同国家保密局、国家密码管理局、公安部十一局，从2005年10月开始，在广东、河南、天津、重庆4个省市开展了电子政务信息安全试点。

这4个试点具体方向各有不同，其中河南济源市探索的方向是如何基于互联网开展电子政务建设、保障信息安全问题。“我们按照‘保安全，促应用’的思路，构建了基于互联网的电子政务信息安全保障体系，探索出了一条低成本建设电子政务的新路子。”焦依平现在谈起试点，依然抑制不住激动的心情。

焦依平介绍说，济源市通信光纤现已覆盖到村，政务部门全部接入了互联网，但是统计下来，济源市政务信息中部分总量不超过3%。如果仅为了3%的信息传递投入巨资建专网，显然投入和效益不能平衡，这也与电子政务建设的初衷相违背。为此，济源市按照国信办和河南省信息办的要求，不拉专线，完全基于互联网，开展电子政务建设。

济源市试点系统建设内容包括以下几项：一是基于互联网建设连接全市所有党政部门和乡镇的电子政务网络；二是在互联网上建设政务办公、项目审批管理、12345便民热线、新农村信息服务等4个应用系统；三是在进行网络和应用系统建设的同时开展信息安全试点，建设基于互联网电子政务信息安全支撑平台。

那么，如何真正用技术实现政务网络互联网办公的安全需求呢？焦依平介绍说，试点工程遵循信息安全系统工程思想，按照“适度安全，促进应用，综合防范”的原则和等级保护的要求，采用集成创新的技术路线，综合运用以密码为核心的信息安全技术，合理配置信息安全保密设备和安全策略，建设一个技术先进、安全可靠的基于互联网的电子政务信息安全支撑平台，形成一体化的分级防护安全保障体系，为电子政务提供可靠、有效的安全保障。

从安全技术实现上，据焦依平介绍，济源市试点工程的安全支撑平台涉及网络安全和应用安全两部分，本次试点网络安全系统共建设7个安全子系统：一是VPN系统，由VPN密码机、VPN客户端和VPN管理系统组成，共同完成域间安全互联、移动安全接入、用户接入控制与网络边界安全等功能，其中中心机房的VPN密码机带有防火墙功能；二是统一身份认证与授权管理系统，完成用户统一身份认证、授权管理等功能；三是网络防病毒系统，部署于安全服务区，完成网络防病毒功能；四是网页防篡改系统，部署于政府网站，提供网站立即恢复的手段和功能；五是入侵检测系统，部署于中心交换机，对网络入侵事件进行主动防御；六是网络审计系统部署于中心交换机，对网络事件进行记录，方便事后追踪；七是桌面安全防护系统，部署在用户终端，提供网络防护、病毒防护、存储安全、邮件安全等一体化的终端安全保护。

对于目前试点效果，焦依平认为，从实际效果来说，一是低成本建设了安全的政务网络，实际投入620万元，比原计划专网方式预算总投资节约48.3%；二是实现了安全政务办公和可信政务服务，全市各部门已100%实现了安全互联，网络可达乡镇，试点村；三是实现了安全的移动办公，打破了电子政务应用只能在本地访问的局限。而从长远来讲，济源市已经初步建成安全、开放、实用的全面基于互联网的电子政务系统。

电子政务内外互通

试点方向：电子政务信息安全

访谈人物：广东省信息中心副主任曾强

目前，妨碍电子政务系统互联互通的主要原因就是由此带来的信息安全问题。跟济源市试点方向不同，广东省的试点方向主要是通过等级保护，探索解决省、市、县(区)电子政务系统的信息共享与互联互通问题。曾强介绍说，面对国信办试点布置的这个大命题，广东省将试点命题细化成以下几个方面：由广东省民政厅及东莞、深圳两市民政局以及地下救助站完成民政4个业务系统纵向互联互通试点；由省政府办公厅完成视频会议系统省府门户网站试点；由佛山市政府完成财税库银互联互通系统试点；由江门市政府完成开放互联环境下的信息安全解决方案试点；由佛山市南海区政府完成大社保6个分系统横向互联互通试点。

关于如何解决在不同的电子政务系统之间，安全实现互联互通以及资源共享问题，曾强介绍说，试点工作中，广东省综合运用等级保护和风险评估相结合的方法，确定了解决互联互通问题的基本思路：一是明确系统的重要程度，确定系统安全等级，采取与系统安全等级相适应的安全保护措施；二是按照有条件互联、共享可控制的原则，确定需要共享的系统和应用以及需要共享的数据，保证只共享那些确实需要共享的数据，以保护系统中原有信息的安全；三是在进行系统互联的部门之间建立共同的安全管理机制，明确系统互联后的安全管理责任、管理边界、安全事件协同处理等机制；四是对系统互联的安全风险进行评估，全面分析低安全等级的系统给高安全等级的系统带来的安全风险；五是针对系统互联的安全风险，确定关键的安全控制要素，如互联边界的访问控制、系统互联的安全传输等，并落实具体的安全措施，保障系统互联、数据共享的安全。

在以上措施的执行下，广东省取得了初步成功，形成了《广东省电子政务系统定级规范》、《广东省电子政务系统互联互通安全规范》等地方指导性文件。

风险规避预先保障

试点方向：信息安全风险评估

访谈人物：国家税务总局处长李建彬

上海市信息化委员会信息安全测评中心

总工程师应力

信息网络，风险无处不在，防患于未然是上上之策。这也是风险评估安全保障的内涵所在。国信办于2005年2月组织北京市、上海市、黑龙江省、云南省、中国人民银行、国家税务总局、国家电网公司、国家信息中心等地方和部门开展信息安全风险评估试点工作。

国家税务总局在广东地税南海数据中心所进行的风险评估试点，最大的亮点就是具有创新精神的“差距分析法”。

李建彬在介绍广东南海试点经验时，将差距分析法用一句话概括，就是“通过找出安全目标与现实系统差距，从而得出风险分析报告”。在试点工作中，李建彬感触最深的就是，要对系统生命周期的整个过程都持续不断地引入风险评估，尽量避免“先运行，后评估”的亡羊补牢式工作流程，以降低信息系统整体的信息安全风险等级。此外，李建彬还提出在风险评估工作具体实施过程中必须重点考虑以下几点：

首先是风险评估与等级保护有密切的关系。类别和级别都是信息系统的固有属性，通过风险评估可以识别系统的类别和安全级别，从而落实“等级保护”这一国家政策。但是系统的安全级别不应该一刀切，可考虑将系统最高安全级别部分的安全等级作为系统的安全等级。其次是系统分析是系统安全评估的基础工作。再次是行业性系统安全要求在风险评估中起决定作用，不同行业的系统有着不同的安全要求，必须为不同行业、不同类型的系统制定适应其特点的系统安全要求。最后，通过安全风险评估工作进一步完善系统安全总体设计。

上海市在很早的时候就开始对风险评估进行探索。2002年上海市就确立180家重点信息安全责任单位(2004年调整为163家)，涉及重要政府部门、公共事业单位、基础网络和涉及国计民生的重要信息系统。2006年，上海市了《上海市公共信息系统安全测评管理办法》，又于2007年1月出台了《上海市市级机关信息系统建设与管理指南》。之后，上海市信息委又出台了关于风险评估工作的实施意见，明确建立自评估与检查评估制度的原则、工作安排。

上海市信息安全测评中心总工程师应力博士在介绍上海市的风险评估实践经验时，多次强调要引导各单位进行自评估建设，让信息安全风险评估成为政府及企事业信息安全建设的常态，在系统的设计阶段、验收阶段、运行阶段，都需要进行风险评估工作，形成“预防为主，持续改进”的风险评估机制。应力认为，对信息安全主管机关来说，风险评估是一种管理措施，通过风险评估，领导者可以了解信息系统的安全现状，从而为管理决策提供依据。

信息安全重在管理

试点方向：信息安全管理标准应用

访谈人物：北京市海淀区信息办主任张泽根

深交所ISMS项目组张兴东

有专家提出：“信息安全系统是三分技术，七分管理。”可见信息安全管理在整个信息安全保障体系中的重要性。

国信办网络与信息安全组与全国信息安全标准化技术委员会共同于2006年3月开始，在北京市、上海市、国家税务总局、中国证监会和武汉钢铁(集团)公司选取了相关单位，对国际上通用的，也是已经列入国家标准制、修订计划的两个信息安全管理标准，即ISO/IEC 27001:2005《信息安全管理体系要求》和ISO/IEC 17799:2005《信息安全管理使用规则》，组织了应用试点。

北京市海淀区信息办张泽根主任在具体介绍北京市海淀区信息安全管理体系实践经验时，感触最深的就是在参考国际标准ISO/IEC27001和ISO/IEC17799的基础上，结合海淀区原有ISO9001管理体系，取得了事半功倍的实际效果。通过ISMS的运行实践，海淀区信息办建立了信息安全管理体系，为进一步通过ISO/IEC27001认证做了很好的准备，同时还对ISMS与风险评估和等级保护的关系进行了有益的探索。ISMS为解决海淀区信息安全问题，提供了良好的方法和管理机制，并且为政府的信息化建设通过避免安全事故和合理分配经费两种方式很好地节约了建设经费。

篇（8）

在通信领域，信息安全尤为重要，它是通信安全的重要环节。在通信组织运作时，信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面，小到人与人之间联系的纽带，大到国与国之间的信息交流。因此，研究信息安全和防护具有重要的现实意义。

一、通信运用中加强信息安全和防护的必要性

1.1搞好信息安全防护是确保国家安全的重要前提

众所周知，未来的社会是信息化的社会，网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点，如果信息安全防护工作跟不上，一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此，信息安全防护不仅是未来战争胜利的重要保障，而且将作为交战双方信息攻防的重要手段，贯穿战争的全过程。一旦信息安全出现问题，可能导致整个国家的经济瘫痪，战争和军事领域是这样，政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡，关系到世界的安定和平。比如，美国加利弗尼亚州银行协会的曾经发出一份报告，称如果该银行的数据库系统遭到网络“黑客”的破坏，造成的后果将是致命的，3天就会影响加州的经济，5天就能波及全美经济，7天会使全世界经济遭受损失。鉴于信息安全如此重要，美国国家委员会早在2000年初的《国家安全战备报告》里就强调：执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》，第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来，我国也越来越重视信息安全问题，相关的研究层出不穷，为我国信息安全的发展奠定了基础。

1.2我国信息安全面临的形势十分严峻

信息安全是国家安全的重要组成部分，它不仅体现在军事信息安全上，同时也涉及到政治、经济、文化等各方面。当今社会，由于国家活动对信息和信息网络的依赖性越来越大，所以一旦信息系统遭到破坏，就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱，其后果不堪设想。由于我国信息化起步较晚，目前信息化系统大多数还处在“不设防’，的状态下，国防信息安全的形势十分严峻。具体体现在以卜几个方面：首先，全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解，对因忽视信息安全而可能造成的重大危害还认识不足，信息安全观念还十分淡薄。因此，在研究开发信息系统过程中对信息安全问题不够重视，许多应用系统处在不设防状态，具有极大的风险性和危险性。其次，我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上，还是在计算机软件上，我国信息化系统的国产率还较低，而在引进国外技术和设备的过程中，又缺乏必要的信息安全检测和改造。再次，在军事领域，通过网络泄密的事故屡有发生，敌对势力“黑客”攻击对我军事信息安全危害极大。最后，我国国家信息安全防护管理机构缺乏权威，协调不够，对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离，管理混乱，缺乏与信息化进程相一致的国家信息安全总体规划，妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。

二、通信中存在的信息安全问题

2.1信息网络安全意识有待加强

我国的信息在传输的过程中，特别是军事信息，由于存在扩散和较为敏感的特征，有的人利用了这一特点采取种种手段截获信息，以便了解和掌握对方的新措施。更有甚者，在信息网络运行管理和使用中，更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此，我们更要深层次地加强网络安全方面的观念，认识到信息安全防护工作不仅仅是操作人员的“专利”，它更需要所有相关人员来共同防护。

2.2信息网络安全核心技术贫乏  

目前，我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用，忽略了一定的安全隐患。技术上的落后，使得设备受制于人。因此，我们要加大对信息网络安全关键技术的研发，避免出现信息泄露的“后门”。

2.3信息网络安全防护体系不完善

防护体系是系统顶层设计的一个重要组成部分，是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防，技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统，并担负着网络攻防对抗的重任。因此，现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。

2.4信息网络安全管理人才缺乏 

高级系统管理人才缺乏，已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术，还要熟悉安全技术。既要具有丰富的网络工程建设经验，又要具备管理知识。显然，加大信息安全人才的培养任重而道远。

三、通信组织运用中的网络安全防护

网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注，如何防范病毒入侵、保护信息安全是人们关心的问题，笔者总结了几点常用的防范措施，遵循这些措施可以降低风险发生的概率，进而降低通信组织中信息安全事故发生的概率。

3.1数据备份

对重要信息资料要及时备份，或预存影像资料，保证资料的安全和完整。设置口令，定期更换，以防止人为因素导致重要资料的泄露和丢失。利用镜像技术，在磁盘子系统中有两个系统进行同样的工作，当其中一个系统故障时，另一个系统仍然能正常工作。加密对网络通信加密，以防止网络被窃听和截取，尤其是绝密文件更要加密处理，并定期更换密码。另外，文件废弃处理时对重要文件粉碎处理，并确保文件不可识别。

3.2防治病毒

保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件，定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性，保证在使用前对软盘进行病毒检查，杀毒软件应及时更新版本。一旦发现正在流行的病毒，要及时采取相应的措施，保障信息资料的安全。

3.3提高物理安全

物理安全是保障网络和信息系统安全的基本保障，机房的安全尤为重要，要严格监管机房人员的出入，坚决执行出入管理制度，对机房工作人员要严格审查，做到专人专职、专职专责。另外，可以在机房安装许多装置以确保计算机和计算机设备的安全，例如用高强度电缆在计算机的机箱穿过。但是，所有其他装置的安装，都要确保不损害或者妨碍计算机的操作。

3.4安装补丁软件

为避免人为因素（如黑客攻击）对计算机造成威胁，要及时安装各种安全补丁程序，不要给入侵者以可乘之机。一旦系统存在安全漏洞，将会迅速传播，若不及时修正，可能导致无法预料的结果。为了保障系统的安全运行，可以及时关注一些大公司的网站上的系统安全漏洞说明，根据其附有的解决方法，及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。

3.5构筑防火墙

构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的，能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击，也不能阻止恶意代码的入侵，如病毒和特洛伊木马。

四、加强通信运用中的信息安全与防护的几点建议

为了应付信息安全所面临的严峻挑战，我们有必要从以下几个方面着手，加强国防信息安全建设。

4.1要加强宣传教育，切实增强全民的国防信息安全意识

在全社会范围内普及信息安全知识，树立敌情观念、纪律观念和法制观念，强化社会各界的信息安全意识，营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势，自觉针对存在的薄弱环节，采取各种措施，把这项工作做好；另一方面要结合工作实际，进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。

4.2要建立完备的信息安全法律法规

信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来，我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规，但从整体上看，我国信息安全法规建设尚处在起步阶段，层次不高，具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此，我们应当加快信息安全有关法律法规的研究，及早建立我国信息安全法律法规体系。

4.3要加强信息管理

要成立国家信息安全机构，研究确立国家信息安全的重大决策，制定和国家信息安全政策。在此基础上，成立地方各部门的信息安全管理机构，建立相应的信息安全管理制度，对其所属地区和部门内的信息安全实行统一管理。

4.4要加强信息安全技术开发，提高信息安全防护技术水平

没有先进、有效的信息安全技术，国家信息安全就是一句空话。因此，我们必须借鉴国外先进技术，自主进行信息安全关键技术的研发和运用。大力发展防火墙技术，开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术，加强计算机网络安全管理，为保护国家信息安全打卜一个良好的基础。

4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节

首先，可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识，加大网络安全教育的投入。其次，重要数据和信息要及时备份，也可采用影像技术提高资料的完整性。第三，及时更新杀毒软件版本，杀毒软件可将部分病毒拒之门外，杀毒软件更新提高了防御病毒攻击的能力。第五，对重要信息采取加密技术，密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六，严格执行权限控制，做好信息安全管理工作。“三分技术，七分管理”，可见信息安全管理在预防风险时的重要性，只有加强监管和管理，才能使信息安全更上一个台阶。

4.6建立和完善计算机系统风险防范的管理制度

建立完善的防范风险的制度是预防风险的基础，是进行信息安全管理和防护的标准。首先，要高度重视安全问题。随着信息技术的发展，攻击者的攻击手段也在不断进化，面对高智商的入侵者，我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时，可以借鉴国外相关研究，尤其是一些发达国家，他们信息技术起步早，风险评估研究也很成熟，我们可以借鉴他们的管理措施，结合我们的实际，应用到风险防范中，形成风险管理制度，严格执行。

篇（9）

童瀛遇到的最新的网络犯罪方法是利用微信红包赌博，最新的应用是阿里的花呗，通过大量盗取支付宝用户账户，帮助该账户提升信用，再利用信用恶意套取现金。

 

网络犯罪呈现隐密性强、复杂性强、国际化趋势等特点。然而，网络犯罪的危害性远比一般的犯罪危害程度更大、更广泛。以盗窃为例，一般盗窃案涉案的金额主要是现金，最多达到几十万、几百万元的水平。而童瀛近期遇到的2个江苏网络诈骗案的涉案金额则达到1200万和1300万元。

 

DDoS攻击(分布式拒绝服务攻击)是比较常见的网络犯罪攻击方式。据统计，大约有50%的在线游戏公司和700A的商业公司遭受过DDoS攻击;政府部门的情况更为严重，80%都曾遭受过DDoS攻击。

 

童瀛指出，DDoS攻击一般分为3个阶段。第一阶段是僵尸网络，第二阶段是反射攻击，第三阶段是智能、物联网设备。1998年，DDoS攻击主要来源于技术炫耀者;2003年，进入黑吃黑阶段;2008年，DDoS攻击组织开始统一市场，向上发展，公安部还曾组织专项打击行动;2010年以来，DDoS攻击呈现全面蔓延的态势。

 

童瀛总结DDoS攻击的目的主要是行业竞争、敲诈性勒索和恶意报复。2014年11月，南通市多家网吧遭受DDoS攻击，就是敲诈性勒索。今年3月，苏州蜗牛公司遭遇的DDoS攻击，则是恶意报复。

 

童瀛表示，作为黑客有高额金钱回报、网络犯罪成本低的特性，很容易导致网络犯罪。然而，网络犯罪所需要受到的法律制裁后果也很严重。据了解，目前，我国法律所界定的网络犯罪主要有3种，包括非法侵入计算机系统罪、破坏计算机信息系统罪、利用计算机网络实施的犯罪(例如网络传销等)。

 

一般情况下，只要利用网络违法所得的金额在5000元、瘫痪1万名网络用户1个小时以上的时间、非法控制了20台以上的电脑，公安部门就可以立案。 而按照我国刑法286条第1款的规定，违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处5年以下有期徒刑或者拘役;后果特别严重的，处5年以上有期徒刑。

 

因此，童瀛建议，网安人员在网络安全的道路上不要走偏，不要陷入犯罪的漩涡;中小企业要健全应急响应机制，尽可能多留存日志，如果遭受攻击，最好的应对方法是报警;涉网单位要尽量提高自身的安全;普通网民尽量不要上非法网站，并从官方网站下载相应软件。如何保证P2P金融安全

 

自从余额宝推出之后，各个“宝宝”都开始涌现，金融行业在互联网上得到了迅速的发展，开启了互联网金融时代。其中，P2P金融作为把投资者、借贷者拉在一起的平台和渠道，由于其15%左右的平均投资回报率受众多投资者追捧。 然而，作为创新的互联网+模式，P2P金融也面临着双重的常见风险，既有来自互联网的风险，也有来自金融业的风险。“白帽子大会”上，万达电商安全主任工程师林鹏深度解析了如何保证P2P金融安全。

 

NSTRT团队收集了在2014年互联网金融行业中的134份安全漏洞报告，其中来自业务设计缺陷的漏洞占主要比例，达到27%。而P2P的业务流程，一般包括注册、绑卡、充值、购买理财、回收资金等步骤。 在注册环节，羊毛党撸羊毛(活跃在各P2P平台上，专门参加注册送积分、返现等优惠活动，以此赚取小额奖励)是一个普遍存在的现象。有时候，羊毛党还会和银行、平台内外勾结，圈起大量注册用户绑卡后卷钱跑路。这种现象并不少见。

 

“目前已经形成了羊毛党团体，内部分工明确。其中，家庭妇女和学生居多，基本都是兼职。很多人不知道P2P是什么，只是为赚钱照着做。”林鹏说。 林鹏指出，应对羊毛党的方法是要遏制他们的收入途径。在投资方面，从业务角度防套利，不能让人空手套白狼;利用羊毛党防止被平台反撸的心态，减少羊毛党收益，提高收益门槛;还有人工识别(客服挂电话)、机器识别、大数据应用等。

 

在绑卡的环节，容易出现用户套现行为。虽然一般都有实名验证身份证号、姓名和银行预留姓名的环节，但小的P2P平台通常是借用公安部接口校验身份证信息，想要骗过这些小平台并不难，因此并没有起到真正实名验证的作用。 林鹏表示，虚对绑卡环节的用户套现，P2P平台要有4要素验证，包括身份证、银行预留手机、姓名和银行卡号，另外还要有小额打款验证。这些内容应该是所有涉及到互联网金融的公司需要去做的。

 

根据调查，参与P2P业务的以男性为主，年龄在20～40岁之间，晚上18点是用户投资高峰时段，以微信和新浪微博传播方式为主，尤其是微信的比例达到99.4%，股票和基金是这些人最关注的投资品种。林鹏指出，对于P2P平台来说，符合这些条件的基本上可以认定为合法用户，不符合的怀疑为非法用户。

 

是否是非法用户也可以通过用户行为判断。一般正常的用户行为包括一整套业务流程，从注册登录到充值、投资、回款和提现。而异常的用户行为从注册登录后就一直停滞在编辑资料的环节。

 

篇（10）

1.引言

 

在医疗过程中，患者疾病和医疗行为的信息会形成关于患者的身体特征、健康状况的客观记录。这些记录既包括患者身体特征记录、诊断记录以及其他和健康相关的情况，还包括这些情况蕴涵的其他关键信息。患者的关键信息因诊疗服务需要被医疗机构以及医护人员合法获悉，而不希望他人也知悉的个人情况，即患者的隐私，通常包括：姓名、性别、出生日期、家庭地址、联系方式、既往史等。

 

患者的诊疗信息通过数据交换或者是其他的途径，会出现在因特网或者内部网络环境中，在数据交换的路径中，就需要建立有效的数据安全保障机制来防止数据的泄露。

 

2.问题提出

 

目前区域卫生信息平台一部分作用是数据中转以及全程健康档案的管理。随着区域的发展以及应用的加深，区域平台将会在数据协同以及服务协同领域发挥其重要作用。随着数据协同等多方面的应用加深，对数据安全以及数据隐私的要求会比现阶段更加迫切。众多省级平台的建设方案中，已将该点作为重点内容进行建设。目前区域平台主要将先进的业务理念作为亮点，而较忽略隐藏在业务之下的保障体系，如安全和隐私。如果有一个较为系统及全面的保障体系，能够在协同的各个步骤进行无缝的嵌入，保证数据协同的安全。先进的业务加完备的保障体系，是否能够将区域平台提高一个层次呢?而现今区域卫生信息平台又是如何建立该体系的呢?

 

3.问题分析

 

根据前面提出的问题，我们开始分析。区域卫生信息平台中协同与共享都属于数据的协同，协同的步骤简单可概括为发起请求-数据传入-请求验证-生成数据-数据返回-结束请求。在这几个步骤当中，又可以简要概括为数据传输、身份认证、请求审计、数据生成(数据隐私动作)等。

 

下面，我们围绕着上述几个大点开始建立安全与隐私体系。

 

4.安全体系设计

 

目前，区域卫生信息平台的安全保护措施主要有以下几种：

 

1) 数据传输加密

 

传输过程采用高强度基于1024bit的公钥/私钥加密机制保证网络传输的安全(基于银行支付的安全标准)。公钥-私钥对由卫生管理机构统一发放，并且周期性更新，加密算法采用RSA标准算法。如果数据在传输过程中被恶意截取，因为没有密钥也无法解密查看传输的内容，可以最大程度的保证市民数据的安全。

 

为了保证加密的效率，系统采用数字信封技术来实现，既保证了网络的安全传输，又保证了加密效率。

 

4.1.1 数据上行过程

 

a) 首先获取随机DES钥匙，采用DES算法对传输内容加密，然后医疗机构采用卫生管理机构公布的公钥把DES钥匙进行加密形成数字信封，最后把密文和数字信封通过网络传输到卫生管理机构。

 

b) 卫生管理机构收到加密数据包后，使用自己的私钥(私钥存储在卫生厅本地，不在网络上传输)采用RSA算法对信封解密获取DES钥匙，然后采用DES算法对加密包解密，获取原始数据内容，保存至数据库。

 

4.1.2 数据下行过程

 

a) 医疗机构(第三方系统)(下称请求方)发起服务请求。

 

b) 卫生管理机构接收到请求后从数据库查找对应的数据内容，采用DES算法对数据进行加密，然后获取请求方的公钥，采用RSA算法把DES钥匙加密形成数字信封，一起和加密内容发送给请求方。

 

c) 请求方获取到加密包后，使用自己的私钥和RSA算法对数字信封解密获取DES钥匙，然后采用DES算法对加密包解密，查看数据原始内容。

 

2) 身份认证与权限控制

 

4.2.1 主体身份认证

 

确保每个用户必须具有唯一的身份标识和唯一的身份鉴别信息，确保来源合法。当请求方伪造时，系统可以主动的鉴别出，并积极拒绝。

 

4.2.2 操作权限控制

 

操作权限是基于应用层次的权限控制，在用户使用应用系统当中，不同角色的个体有着不同的操作权限，比如登录、新增、删除、修改、导出等，对个体进行授权后，只能操作有权限的动作。

 

4.2.3 数据权限控制

 

数据权限基于全方位的数据结构，将已有的关系型数据库维护到系统当中(元数据)。对数据进行分割，将数据区块按需要分发给用户，用户在获取之前被数据权限拦截器进行拦截，查看到的数据是其有权限查看的那部分。

 

3) 审计日志

 

审计日志是在应用层次的审计操作，对用户在使用应用系统中的的行为进行收集、统计、分析，对出现或者可能出现的安全问题进行提醒，并为事后的责任问题提供支持。

 

4.3.1 行为审计记录

 

平台主要记录每个业务用户的关键操作，如用户登录、退出、批量导出数据等关键行为。审计记录一般包括事件的日期，事件，类型，主体，结果等相关内容。为了减少资源的消耗，审计日志一般保留半年。

 

4.3.2 对安全信息的统计分析

 

通过对海量审计记录的分析，通过建立多维度，多条件的分析模型，对用户的关键操作进行关联分析，并得出各类数据报表，便于运维人员从多角度进行监控

 

5.隐私体系设计

 

隐私设计体系基于元数据，对最小粒度的个体进行隐私设置，通过隐私规则执行引擎进行处理后，得到经过隐理的数据。

 

1) 隐私规则定义

 

隐私规则定制了平台内资源的隐私程度级别和形式。其中隐私规则包含了对平台资源数据的模糊、隐藏、替换、过滤操作、匿名的规则管理。平台可以根据实际应用场景，配置规则，对资源进行隐理，对查询数据的进行过滤，或者对查询字段的模糊处理，如用户身份证等进行部分替换“*”处理。

 

2) 隐私规则分配

 

隐私规则创建完后，需要对规则进行一个有效的分配，才能使其得到一个有效的利用。隐私保护规则创建完后，一般情况下，将规则分配给用户，用户在请求数据时，经过隐私规则执行引擎进行模糊操作，最终出来的数据即为隐私后的数据。

 

3) 隐私规则执行引擎

 

隐私规则执行器，是对分配的隐私规则进行一个有效执行的核心拦截处理部件。平台对外提供的服务都会经过隐私规则执行器，自动识别隐私保护规则，返回或者共享的数据是经过隐私设定的数据。

 

数据的隐私操作为数据密集型计算，隐私规则执行器需要有良好的计算能力，作为平台不可或缺的组件，采用分布式服务的理念进行设计，在用户发起一次隐私计算时，通过分发器均匀分发给隐私执行引擎，再由合并算法进行隐私合并，最终形成一份完整的隐私数据。

 

6.总结