信息安全管理策略实用13篇

信息安全管理策略篇1

1电子信息、信息安全的相关概念

电子信息技术是时展下一门新型的计算机技术，主要负责对电子信息进行处理与控制，是对计算机现代化技术的灵活应用。电子信息技术需要收集、存储与传输信息，实现对信息数据的传输与共享，对电子设备的运行也发挥着很大的作用，充分发挥信息数据的优势。电子信息技术在应用过程中，需要形成一个体系完善的信息系统，设计与开发信息系统，使得电子信息可以更好发挥作用。信息安全主要是指利用一种加密技术，对电子信息进行管理，并且保持信息的保密性、完整性和有效性，从而更好保证电子信息的安全。电子信息在收集、存储与传输的过程中，易受到外界条件的影响与一些不法侵害而导致信息的流失，因此，就需要重点加强电子信息安全管理，对信息进行安全管理，更好地保护信息。

2电子信息的安全因素

2.1完整性

在电子信息技术的发展中，电子信息的完整性是其中较为重要的部分，也是电子信息发展的关键。在电子信息的收集、存储与传输过程中，电子信息会被随意篡改，从而使得电子信息的完整性遭到破坏。在电子信息收集、存储与传输的过程中，还需要重点注意电子信息的流失问题，避免电子信息被盗取，而对电子信息造成不好的影响。电子信息的完整性是电子信息发展的基础，可以为电子信息更好发展提供有利条件。

2.2机密性

电子信息的机密性是电子信息发展的核心所在，也是发展中不可忽视的问题。在企业与各部门之间的信息传输与交流过程中，一些电子信息的机密性是比较强的，信息的泄露对其生存与发展有着直接的影响，严重的还会导致企业与部门发展停滞。为了保证电子信息的机密性，就需要重点应用电子信息安全管理技术，通过一些技术手段来对电子信息进行加密，从而防止出现一些篡改、破坏、窃取信息的行为，增强电子信息的安全性。

2.3有效性

电子信息的传播价值就在于电子信息的有效性，为各方面工作更好进行提供更好的条件。电子信息的传输是为了更好实现信息的传递与共享，从而为一些社会生活与生产中的交易提供优势，也可以充分发挥信息传输的作用。对于信息传输的有效性，就需要强化电子设备，保证硬件与网络的安全，使得信息的传输更加安全，保证信息的有效性的同时，也为信息传输的时效性提供保障。

3电子信息安全的隐患

3.1窃取信息

在信息传输的过程中，会有一些窃取信息的行为，会导致信息泄露与流失，从而对电子信息保密性与完整性造成影响。一些技术手段较高的黑客可以在信息传输过程中拦截信息，就可以获取一定的信息量。信息数据是有一定的规律的，黑客往往通过所盗取的信息就可以分析出全部的信息，进而完成对信息的窃取。黑客窃取电子信息是有一定手段的，对电子信息的安全影响比较大，一些信息的泄露与流失会对企业造成很大的影响，甚至会威胁到企业的生存与发展。

3.2篡改信息

在信息传输的过程中，除了盗取信息外，还会随意篡改信息。随意篡改信息，在很大程度上会破坏信息的完整性。信息被随意篡改，就会使得信息不准确，接收者就会接收到错误的信息，从而对接收者造成很大的影响，接收者可能会作出一些错误的判断与决策。随意篡改信息，主要对接收者造成影响，不能充分发挥信息的优势。

3.3信息假冒

信息假冒是冒充合法用户接收与传输信息，向接收者发送自己编造的信息，从而对接收者造成误导。信息假冒一般是拦截合法的信息，然后再以信息传输的合法用户的身份编造信息，继而将假的信息传输给接收者。或者可以不用拦截信息，可以直接冒充身份编造信息，例如伪造用户或商户的收、定货单据等。

3.4信息破坏

信息破坏是一种破坏性较大的行为，一般破坏者会直接侵入用户的网络，通过一些病毒来控制用户的网络，从而可以修改权限，对用户的网络造成较为严重的破坏。信息破坏所造成的影响是比较大的，严重的会造成网络瘫痪，后期的网络修复工作难度也比较大，极不利于电子信息的传输。

4电子信息安全技术

4.1防火墙技术

随着社会的进步、科学技术的发展，网络成为人们社会生活与生产中较为重要的部分，在社会生活与生产中也发挥着很大的作用。防火墙技术在网络中的应用比较广泛，主要用于防止黑客与病毒对网络安全造成威胁与破坏。网络黑客与病毒会入侵网络，而防火墙技术在一定程度上可以对其进行拦截，这是网络安全运行最基础的保障措施。对于网络运行中随意篡改信息的现象，防火墙技术也可以发挥作用，避免这种现象的发生，在一定程度上保证网络运行的安全。

4.2加密技术

加密技术在电子信息安全管理中的应用也比较广泛，一般主要对电子信息进行加密处理。加密技术主要有公开密钥和私用密钥，私用密钥主要用于信息的加密，而公开密钥主要用于信息的解密，两者是相匹配的，如果两者不能匹配，则没有查看信息的权限。加密技术对电子信息的安全保障程度较高，因为私用密钥加密信息是以密文的形式进行的，在对信息进行解密时，公开密钥就会把密文翻译为文字，从而加强对信息安全的管理，在发生信息被窃取现象时，也不用担心信息泄露与流失。

4.3认证技术

认证技术分为消息认证、身份认证和生物认证三种类型，每个类型的作用都是不同的。消息认证是通过用户名与密码的形式对信息进行加密的认证方式，这种方式的安全没有保障，用户名与密码易被窃取。身份认证的针对性比较强，一般用于特殊身份的认证，如学校学生这种用户身份，只有符合身份特征的人，才可以查看信息。生物认证的安全性比较高，一般用人的身体特征如虹膜、指纹等作为认证特征。身份认证的安全性是最高的，但是其投资建设成本比较高，在当前的电子信息安全管理中并没有被广泛应用。

5提高电子信息安全性的策略

5.1提高电子信息安全认识

网络在社会生活与生产中已被广泛应用，加强网络中信息安全管理工作是十分重要的，也发挥着很大的作用。首先，要对电子信息安全管理有正确的认识，并且提高对其的重视，根据网络发展的现状与其中存在的问题，优化电子信息安全管理技术。其次，要根据电子信息安全管理的需要，灵活应用电子信息安全管理技术，充分发挥技术的优势，为电子信息安全提供保障。

5.2构建电子信息安全管理体制

电子信息安全管理工作的进行离不开较为完善且全面的安全管理体制，安全管理体制是工作进行的前提，可以为电子信息安全管理工作更好进行提供基础与指导。在对电子信息进行安全管理的过程中，要加强对电子信息的研究，并且深入了解电子信息安全管理技术的实质与要求。首先，制定较为科学合理的制度规范网络行为与现象，避免网络混乱而对信息安全造成影响。其次，通过较为合理的制度，综合各方面的影响因素，再根据信息安全管理技术的要求，形成较为具体、全面的管理体制。一种较为系统的管理体系，可以使得工作的进行更加有序，也可以避免一些病毒和黑客的入侵，促进电子信息安全管理工作更好进行。

5.3培养电子信息安全专业人才

专业人才对于工作的进行有着直接的影响，也需要重点关注。电子信息安全管理技术在当前的发展中取得了很大的成效，但是，电子信息安全专业人才相对较为缺乏，使得技术的应用与管理受到了一定的限制。随着科学技术的发展，电子信息安全管理技术对于人才的要求提高，需要有较强的专业性。在电子信息安全专业人才培养中，首先对人才的选拔有严格要求，继而对人才进行重点的培训，提高其专业水平。还可以将一定的资金用于国外技术的学习，根据自身发展的实际情况，提高人才的综合能力。还需要对人才进行思想教育，提高其对信息安全管理的重视，并且提高其责任感。在日常的工作中，定期对人才进行审核，规范其行为，促进综合素质的提高。

5.4定期评估、改进安全防护软件系统

评估工作在电子信息安全管理工作的进行与发展中是十分重要的，也是非常关键的。社会在不断发展，技术也在不断更新，评估工作可以为改进工作提供依据与方向。在电子信息安全管理中，定期评估安全防护软件系统，可以发现安全管理中存在的不足与发展的优势，对于存在的不足，可以以人们的评估为依据，对问题进行处理，更好满足人们的需要。在工作中还需要不断积累经验，改进与优化电子信息安全管理技术，充分发挥技术的优势，促进管理工作更好进行。

6结语

在时展潮流的冲击下，电子信息存在一定的安全隐患，电子信息安全管理引起了人们的关注。在电子信息安全管理工作中，需要深度研究电子信息发展的情况与安全影响因素，并且有针对性地解决，为电子信息提供安全保障。网络技术也是在不断发展与更新的，也需要创新网络技术，为电子信息安全管理工作的进行提供有利条件。

参考文献

信息安全管理策略篇2

从电子业务的类型上来看，医院信息管理系统的复杂性比较高，为了实现系统众多的功能，设置的模块、业务及角色都比较多，由此导致系统面临的安全威胁比较多。以威胁的来源为依据，系统安全的威胁包含内部威胁与外部威胁两种，内部威胁主要是指医院内部人员带来的威胁，医院内部各个科室的人员会利用该系统开展各项医疗服务，比如填写电子病历、开处方等，如果各科室的工作人员所使用的电脑中带有病毒，那么登录系统后，病毒可能会影响系统的安全，导致系统业务的正常使用受到影响，此外，内部工作人员在利用移动存储设备访问信息管理系统时，如果移动存储设备中携带病毒，病毒会传染到电脑中，进而影响系统运行，此外，医院内部一些不法分子会非法登录到系统中篡改或删除系统中的数据，影响患者就诊的安全性，引起医患纠纷[1]。外部威胁来源于医院外部不法分子，在非授权的状态下，私自登录到医院的信息管理系统中，攻击系统、传播病毒、修改数据等，导致系统的运行、系统中的信息受到严重的影响。

二、加强医院信息管理系统安全的策略

（一）严格控制安全访问。

对于医院信息管理系统中的各项数据，医院各个科室中的人员可以实现共享，从访问者来看，医生、护士、行政管理人员、后勤管理人员等均可登录到系统中，增加了系统操作用户的复杂性，同时，也降低了系统的安全性。为了保证信息管理系统的安全性，需要严格的控制安全访问，依据不同的操作用户，给予用户不同的授权，同时，每个用户登录系统时的用户名和密码具有唯一性，从而有效地保证登录的安全性[2]。用户登录到系统中后，可以按照系统管理员赋予的权限进行相应的操作，而没有权限的模块和信息无法进行有效地方访问和操作，保证系统数据的安全性。此外，还应该提升系统用户对用户名和密码的保密意识，尽量地避免非授权用户登录到系统中，有效地保证系统处于安全的运行当中。

（二）采取多元化的防治病毒策略。

医院信息管理系统依托于计算机运行，而在计算机技术快速发展的过程中，病毒也随之产生并快速发展，严重威胁计算机的安全性，同时也影响系统的安全性。在系统运行的过程中，应采取多元化的防治病毒策略，降低病毒对系统安全的影响，对于系统中的各项数据，要通过备份软件进行相应的备份，依据数据的重要程度，制定定期备份的间隔时间，保证系统数据的安全性及完整性；医院内部电脑安装系统时，应选择正版系统，并做好电脑系统的维护工作，提升电脑系统受到攻击时的防御性；利用防火墙技术，保护系统运行的安全性，阻止外部恶意程序入侵系统，保证系统的安全性；在电脑中安装杀毒软件，选择具体的杀毒软件时，应购买正版软件，并加强对杀毒软件的管理，定期更新，定期利用杀毒软件检查电脑，预防病毒的入侵。

（三）数据备份与恢复策略。

医院每天接纳的患者数量众多，因此，信息管理系统中所包含的患者病例信息、医院管理信息、药物信息等数量众多，且这些信息对医院的发展来说作用重大，一旦受到篡改或删除，将会给医院带来严重的损失。为了保证系统中数据的安全性，可以在医院内部的各个电脑中安装数据备份软件，定期对各项医疗数据备份，系统遭到破坏导致数据丢失之后，即可利用数据恢复功能，恢复原有的数据，保证数据的安全性、完整性及准确性。启动和计划任务是后台数据库的主要功能，通过定时的方法，将主服务器中的日志定时的备份到备份服务器中，同时，这些日志也可以定时地会恢复到主服务器中，以此来保证系统数据的安全性。

结论

医院信息管理系统运行的过程中，面临的威胁包含外部威胁和内部威胁两种，通过控制安全访问策略、防病毒策略以及数据备份与恢复策略的实施，可有效地提升信息管理系统的安全性，增强医院的竞争实力，提高医院在社会中的影响力，并提高医院的经济效益。

参考文献

信息安全管理策略篇3

目前，在网络应用不断深入和技术频繁升级的同时，非法访问、恶意攻击等安全威胁也在不断推陈出新，愈演愈烈。防火墙、VPN、IDS、杀毒软件、身份认证、数据加密、安全审计等安全防护和管理系统在校园网中得到了广泛的应用。校园网由于资金或观念等方面的原因，大部分都相对重视防范来自网外的攻击，对来自内部的威胁往往没有良好的防范手段，网络管理人员一般的做法就是看见哪里有漏洞就想方设法去堵上。

但是，防火墙依赖于现成的规则库，安全规则是根据网络攻击行为需要而改变的，但是用户并不清楚网络新的攻击行为，不会及时更新规则，使得个人防火墙的安全保护力度有限；入侵检测系统需要现成的模式库，通过进行匹配来识别非法连接和攻击，就是说这两种技术都是被动的手段，都依赖于事先对非法连接、非法访问有一个清楚的认识，它们对己知的攻击将起到十分重要的作用，但是对于还没有在防火墙规则库和入侵检测模式库中建立规则和模式定义的未知攻击和非法行为，防火墙和入侵检测系统将一筹莫展；对于杀毒软件，用户是否安装以及安装后是否及时更新，管理员无从得知，另一方面，杀毒软件在病毒防范方面虽然有一定的效果，但还得与系统补丁的及时安装相配合，才能有效防范病毒的感染。

二、校园网信息系统安全管理的有效策略

从上面的分析可知，高校校园网的安全是一个涉及多方面的、极其复杂的系统工程。构建一个完整的网络安全系统，应该包括以下几方面的措施：

（一）加强信息安全的思想认识培养，树立信息安全第一的意识

加强对师生员工的信息安全意识和安全教育。网络中心应充分发挥其管理职能，与学校保卫处、学工部、校团委等相关部门协调配合，积极在全校范围内开展有关信息安全的宣传活动，邀请信息安全方面的专家对师生员工进行安全培训，定期举行关于信息安全的学术报告等等，将安全意识扩展为一种氛围，努力提高和强化学校内的信息安全观念意识，确立信息安全管理的基本思想与策略，加快信息安全人才的培养。这就将焦点从强制性的安全策略转换为自主接受的安全策略文化，这也是实现信息安全目标的基本前提。

（二）确保信息安全得到成熟有效的技术保证

先进的技术是网络安全的根本保障，如防毒、加密、入侵检测、身份认证、防火墙、关键设备与关键链路的冗余等，是实现安全网络的重要手段。用户通过风险评估，决定所需的安全服务种类，选择相应的安全机制，然后进行集成。在经费允许的情况下，优先选用成熟的先进技术，往往会起到事半功倍的效果。

（三）建立信息安全框架及安全组织机构

从战略视角来看，信息安全是一项包括技术层面、管理层面、法律层面的社会系统工程，延伸开来还应该包括观念和文化层面，例如从文化意义上构建信息技术的行为准则，培育网络空间的道德规范。安全组织包括建立健全组织体系，明确负责安全管理的主要领导、主管部门、技术支持部门和宣传、保卫部门。制定系统安全保障方案，实施安全宣传教育、安全监管和安全服务。在大多数高校，网络中心是信息安全的主管部门和技术支持部门，身兼管理和技术两项职能，但学校往往赋予网络中心的只有技术支持的职能，没有真正意义上的管理职能，出现安全事故只解决技术问题，遗留的很多问题就得不到明确的解决。而信息安全不是个产品，它是一个完整的过程。

（四）严格的安全管理

安全管理代表了安全防范体系中人的因素。安全不是简单的技术问题，不落实到管理，再好的技术、设备，再好的制度和措施也是徒劳的。一个有效的安全防范体系应该是以安全策略为核心，以安全技术为支撑，以安全管理为落实。网络安全要预防为主，只有不断增强安全意识、严格管理才能真正做到防患于未然，降低损失。

1)软件的安全管理

软件管理的对象包括操作系统、应用软件、数据库、安全软件、工具软件等，也包括对技术文档的管理。技术文档是指对系统设计研制、开发、运行、维护中所有技术问题的文字描述，它反映了系统的构造原理、实现方法等，为系统维护、修改和进一步开发提供了依据。

软件管理要专人负责，由责任心强、工作及业务能力高的人担任。对系统运

行情况，特别是异常情况必须进行严格的记录。

2)设备的安全管理

设备的管理包括设备的购置、使用、维修、储存等几个方面。对所有设备的购置、移交、使用、维护、维修和报废等均应建立项目齐全、管理严格的登记制度，并认真做好检查工作，保证设备管理工作正规化、日常化。每台或每套设备的使用均应制定专人负责，并建立详细的运行日志，由责任人进行设备的日常清洗及定期保养维护，保证设备处于最佳状态。

（五）高校信息安全治理的动态模型

高校的计算机网络信息系统已成为高校的教学、科研、行政管理等工作中重要的信息交换手段，发挥着越来越重要的作用。但是由于网络具有开放性、安全具有相对性，我们必须认清网络的脆弱性和潜在威胁。同时，随着新技术、新应用的出现，信息安全治理方案必定要不断进行修正、补充和完善。

参考文献：

信息安全管理策略篇4

网络信息管理是以信息技术为手段、研究网络上信息的分布构成、收集、处理、交换、开发利用和服务的学科。它是对网络信息及其服务，以保障服务和应用为目标，从信息资源组织、信息平台协调、用户权限管理和安全防范策略等方面进行全方位集成化协调管理。

主要包括四类信息管理：基础运行信息、服务器信息、用户信息和网络信息资源。

基础运行信息包括IP地址、域名系统和自治系统号（AS）。

服务器信息是提供网络信息服务的服务器相关信息。包括服务器的配置情况、信息服务和访问情况、负载均衡、信息服务的完整性和可用性，等等。

用户信息包括姓名、身份识别、部门、职位、职责权限和电子邮件等。它是安全访问控制的重要组成部分。目前，许多服务器使用push技术，直接将用户关心的信息推给用户，使得用户管理同信息资源管理也有关。

网络信息资源是指网络信息服务提供的信息资源。对它的管理主要包括信息、信息过滤、索引和导航的形式，等等。在实际环境环境中，信息在服务器上的分布是非线性的和分散的，信息是分布式的和异步式的，所以我们应该有序地安全信息，防止信息的不合理泄露和不良信息的引入。

二、园区网信息管理中的四个安全概念

园区网信息安全目标就是保证网系统资源的四个基本安全属性得以实现，即机密性、完整性、可用性和可控性。通俗地说，安全的目标就是实现网络信息的可用、可控、可信。

1.机密性

信息的机密性是指网上资源不泄露给非授权的用户、实体或程序，能够防止网上用户非授权获取网上资源。网络系统上传递的信息有些是非常重要的安全信息，若一旦攻击者通过监听手段获取到，就有可能危及网络系统整体安全，例如网络管理账号口令信息泄漏将会导致网络设备失控。

2.完整性

完整性是指网上信息或系统未经授权不能进行更改的特性。例如，电子邮件信息在存储或传输过程中保持不被删除、修改、伪造和插入等。

3.可用性

可用性是指授权的网上用户能够按照系统提供的途径访问网上资源。例如，网站服务能够防止拒绝服务攻击。

4.可控性

可控性是指网络具有可管理性，能够根据授权对网络进行检测和控制，使得管理者有效地控制网络用户的行为和网上信息的传播。这其中也包括防止网上实体否认其已经发生的网上行为，这一特性也称为抗抵赖性，保证了网上信息的来源及信息者的真实可信。例如，通过网络审计，可以记录访问者在网络系统中的活动。

三、信息管理策略与网络安全技术

园区网信息管理工作是一个复杂的系统工程，它既是技术问题，更是管理问题。只有采用先进合理的技术与严格规范的管理，才能使园区网络安全平稳地运行。我认为加强园区网的信息管理与安全防范需要从信息安全管理制度和网络安全技术两个方面综合考虑。

首先，加强园区网信息安全管理政策的建设。安全政策（Security Policy）描述园区网安全的目标和需求，是一个组织安全管理的需求说明，它是执行各项管理制度、技术措施的依据，一般规定“做什么”而不是“怎么做”，告诉用户哪些行为是允许的，哪些行为是不允许的，违反了这些约定将会受到怎样的处罚。目前很多单位以安全管理规定、安全条例、安全管理办法甚至以红头文件等形式。一个可行的安全政策应该根据我国的相关法律、法规，以及学校的管理制度和具体情况制定，不存在通用的、可实施的安全政策。安全政策应该让所有的园区网用户知道，对园区网用户，无论是部门单位还是用户个人，都可以签署入网协议的形式让用户知道安全管理政策，起到提高安全意识的作用，同时明确责任和义务，便于对安全事故的处理。

其次，健全园区信息安全管理体制和队伍。目前普遍认为园区网信息安全管理工作应该由网管中心独立承担，但事实上网络信息安全管理工作非常复杂，涉及了系、部各部门的人员和业务。因此必须由单位牵头组织和协调各部门的管理工作，比如，成立信息安全管理委员会和专门的办公室。另外，安全管理各项措施的实施，一般来说网管中心的人员比较少，单纯依靠网管中心的力量也是不现实、不充分的。园区网信息安全管理分级负责的组织体系建设仍然是非常必要的。

园区网络安全管理队伍要了解网络安全和信息保密管理法规，熟悉网络安全管理规律，有效掌握网络安全技术，具备网络信息安全管理经验，具有解决网络突发事件的应急能力;还要能以平等的身份，用用户熟悉的语言在网上与用户进行真诚的交流，引导用户自觉抵制网络垃圾的侵蚀，提高防范网络犯罪的意识，做到不制造信息垃圾，不搞非法入浸，自觉维护网络秩序，努力营造校园网络安全运行的优良环境，充分发挥园区网络在教育教学、科研、管理和服务中的作用。

增强用户安全意识和提高管理员安全技术的培训工作非常重要。我一直认为网络安全最薄弱的环节并不是技术的漏洞，而是人的漏洞。对于系统管理员一定要重视上岗培训。很多园区网数据服务器的管理员都是由临时兼职人员来担任的，这些人员基本没有经过必要的培训，容易留下大量的安全问题。对于这些岗位的安全培训是当前园区网安全管理非常迫切的环节，对于新用户的安全意识培训，新生入学教育和新员工上岗培训是两个比较好的时间，也可以开展一些职工的在职培训、会议提醒等形式的安全意识培训和基本技能的培训。

最后，采用网络安全技术。网络安全技术是一个十分复杂的系统工程。采用网络安全技术首先需要进行硬件的投入。我认为，采用的网络安全产品应该具有以下几大特点:网络安全产品具有安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；另外，网络安全产品的安全机制与技术可以不断升级，由于各种病毒和木马不断地变种，如果安全产品不能升级，新的病毒和木马就会给信息安全造成问题；网络安全产品具有可以进行网络入侵检测和安全审计的功能，这样当网络信息安全出现问题时能够及时地采取措施和事后查找非授权的行为。

四、结语

园区网的各种安全问题在信息管理中表现得尤为突出，园区网信息安全是一个系统工程，涉及整体网络安全和个人计算机安全，涉及园区内信息安全，也涉及个人信息资料安全，是一个不容忽视的重要问题，值得园区内用网人员都重视。加强信息的安全管理是当前非常迫切、充满挑战性的任务。各园区网应加强安全政策、安全管理组织和技术培训，增加安全管理的投入，共同做好信息的安全管理工作，建设一个安全、可靠的网络环境。

参考文献：

信息安全管理策略篇5

1做好安全规划

做好电力企业的网络安全信息规划需要做到以下两点：

（1）要对电力企业的网络管理进行科学合理的规划，要结合实际情况对电力企业的网络信息安全管理进行综合考量，从整体上对网络信息安全进行考虑和布置。网络安全信息管理的具体开展主要依靠于安全管理体系，这一点上可以参照一些国外经验；

（2）电力企业因自身的独特性质，需要使用物理隔离的方法将内外网隔离开来，内网方面要合理规划安全区域，要结合实际情况，将安全区域划分成重点防范区域与普通防范区域。电力企业信息安全的内部核心是重点防范区域，在此区域应当设置访问权限，权限不足的普通用户无法查看网页。重要的数据运行如OA系统和应用系统等应该在安全区域内进行，这样可以保证其信息安全。

2加强制度建设

安全制度是保障電力企业网络信息安全的关键部分，安全制度可以提升企业员工和企业领导对网络信息安全的意识，电力企业需要将安全制度作为企业的工作核心，要结合当前的实际情况，建立起符合电力企业网络信息安全的管理制度，具体操作如下：

（1）做好安全审计，很多入侵检测系统都有审计日志的功能，加强安全制度建设就需要利用好检测系统的审计功能，做好对网络日常工作的管理工作，对审计的数据必须要进行严格的管理，不经过允许任何人不得擅自修改删除审计记录。

（2）电力企业网络系统需要安装防病毒软件来保障网络信息的安全，安装的防病毒软件需要具备远程安装、报警及集中管理等功能。此外，电力企业要建立好网络使用管理制度，不要随便将网络上下载的数据复制在内网主机上，不要让来历不清的存储设备在企业的计算机中随意使用。

（3）电力企业的管理者要高度重视其企业的网络安全制度建设，不要把网络信息安全管理仅仅看作是技术部门的工作，企业中应建立起一支专门负责网络信息安全的工作领导小组，要做好对企业内所有职工的培训，最好能让每一名职工都拥有熟练掌握网络信息安全管理的能力。企业管理者要明确相关负责人的工作职责，定期对网络安全工作开展督导检查，管理制度需要具备严肃性、强制性和权威性，安全制度一旦形成，就必须要求职工严格执行。

3设置漏洞防护

随着当前计算机网络技术的迅速发展，很多已经投入运行性的网络信息系统和设备的技术漏洞也随着网络技术的不断发展而日益增加，这在很大程度上给了不法分子窃取电力企业网络信息系统数据的机会，对此电力企业需要做好以下两项工作：

（1）电力企业需要利用一些漏洞扫描技术来维护企业的网络安全，要对企业的网络信息系统经常开展扫描工作，从而及时发现系统漏洞并完成修复。这样可以提升企业网络信息安全系数，不但能阻断不法分子入侵企业信息系统的途径，还可以使企业避免需要经常性更换网络信息系统设备可能增加的经济负担，从而促进企业实现长远发展；

（2）电力企业需要提升对网络信息安全的风险防范意识，增强企业应对突发事件的应急处理能力，针对不同的信息安全风险需要设置好不同的预警机制。要定期检查企业的网络信息安全技术，防止网络安全漏洞的出现。还要及时做好对网络信息防护新手段的更新工作，从而提升企业网络信息系统的保护强度。

4提高管理手段

科学合理的企业网络信息安全管理手段不仅可以维持电力企业的工作进度，还能有效规避企业网络信息中所存在的安全隐患。提高企业网络信息安全管理手段需要做到以下两点：

（1）建立入侵保护系统IPS，提升企业网络信息安全管理指标。在电力企业网络管理系统中建立网络入侵保护系统IPS，可以为网络信息提供一种快速主动的防御体系，IPS的设计理念是对常规网络流量中携带的恶意数据包进行数据安全检测，若发现可疑数据IPS将发挥网络安全防御功能，来阻止可疑数据侵入电力系统的网络信息系统。与常规的网络防火墙相比，IPS具备更加完善的安全防御功能，其不仅能对网络恶意数据流量进行检测还能够及时消除隐患。此外，IPS还能为电力企业的网络提供虚拟补丁，从而预先对黑客攻击和网络病毒做出拦截，保证企业的网络不受损害；

（2）电力企业要加大对新型网络信息安全技术的研发投入，在组建企业网络信息安全系统时，要对系统各组成部分做严格检查，确保设备符合安全标准。对于组建网络信息系统所需要的设备和部件则必须要求供应商提供相应的安检报告，严防设备和部件的安全隐患。对于企业已投入使用的系统和设备，必须定期做好检查，以确保安全系统能够顺利有效的开展防护工作。

5总结

综上所述，本文通过维护电力企业网络信息安全管理的相关策略进行研究发现，运用做好安全规划、加强制度建设、设置漏洞防护和提高管理手段四项措施可以起到提升企业网络信息系统的保护强度、建立起符合电力企业网络信息安全的管理制度从而确保安全系统能够顺利有效的开展防护工作的良好效果，希望本文的研究可以更好的提升我国电力企业的网络信息系统的安全管理水平，为维护我国电力系统的安全运行做出贡献。

参考文献

信息安全管理策略篇6

1 数字档案信息安全管理中存在的问题

1.1 管理者的安全意识不强

档案信息化水平不断提升，这也使档案信息安全问题越来越突出。当前很多档案管理人员对于档案信息安全的重要性和紧迫性缺乏有效的认知，特别是当前档案网站安全、计算机系统安全等问题普遍得不到重视。由于档案管理者对数字档案信息安全意识缺乏，这也导致普遍民众对数字档案信息的安全问题更是一无所知。很大一部分档案管理人员在日常工作中都没有意识到数字档案存在的安全隐患，这些数字档案信息可能随时消失不见，对风险缺乏有效的认知，这也造成数字档案信息安全问题始终存在，这对于数字档案信息安全管理工作带来了较大的挑战和难度。

1.2 数字档案信息安全管理技术滞后

随着信息技术的快速发展，数字档案档案安全技术也紧跟信息技术发展步伐取得了较快的发展，但在发展过程中存在着技术层面专业问题的制约，这就导致数字档案信息安全管理技术相对滞后。在实际工作中，往往都是档案信息安全问题出现后，数字档案信息安全技术才能针对出现的问题进行改进，从而取得技术上的发展。即在数字档案信息管理工作中，安全隐患一直存在，风险一直管观存在，数字档案信息安全时刻受到威胁，因此要际工作中需要有效的降低风险，即应用数字档案信息安全技术来将风险降至最低水平。

1.3 数字档案信息安全管理制度不完善

现今我国在数字档案信息安全领域的制度不够健全，所以才会在实际的数字档案信息安全管理中出现许多纰漏。由于数字信息安全管理制度的残缺导致我国的数字档案信息安全管理水平普遍偏低。从实际出发，我国大部分的档案管理部门都制定了相应的数字档案信息管理制度，许多制度都是为了应付检查才制定的，相互抄袭的情况比较多，这样的情况就会造成所制定的制度并不能与实际的数字档案信息安全管理工作相匹配。对实际的数字档案信息安全管理工作起不到任何制约与指导作用，甚至可能造成安全隐患给数字档案信息安全管理工作带来不必要的麻烦。

2 加强数字档案信息安全管理的策略分析

2.1 加强对工作人员的培训，树立安全防范意识

随着档案信息化的不断发展，档案数字化全面普及率已成为档案工作发展的必然趋势。为了能够更好的提高数字档案信息管理的安全，需要遵循以人为本原则，重视档案管理人员的培训工作，努力提高档案管理人员的专业技能。在具体培训过程中，要加强对档案管理人员信息安全知识的讲解，使档案管理人员树立安全防范意识，认识到数字档案安全管理的重要性，并能够在实际工作中利用安全技术来维护数字档案信息的安全。培训过程中还要重视档案管理人员计算机技术水平的提升，这样在实际工作中才能更熟练的应用档案管理系统，提高档案管理系统的先进性，从而更好的实现对数字档案信息的有效管理。

2.2 提高重要信息的加密性和计算机的安全性

网络环境的不安全会影响数字档案信息的安全性，因此要加大对网络环境的保护力度，提高计算机环境的安全性。为防止重要信息被黑客入侵盗取，要加强对信息的加密保护，保证数字档案信息的保密性，在网络层能够安全、自由的传递，特别是对带有密级的数字档案信息系统，更应该加强文件的加密保护能力，保护重要的档案信息。对计算机要定期的清理，防止留下的浏览记录被别有用心的人利用，可能会从中得到很多私人信息，提高计算机系统的安全性。因此在计算机上必然安全可靠的杀毒软件和防火墙，做好安全防范工作，降低计算机系统受到病毒破坏及黑客攻击的可能性，提高计算机系统的安全水平。同时档案管理人员还要熟练应用计算机软件，并定期对病毒库进行更新，强化计算机系统的安全防范，有效的提高数字档案信息的安全性和可靠性。

2.3 健全数字档案信息安全管理制度与法律

数字档案信息安全管理是需要制度与法律作为强大的支撑的，所以要建立和完善数字档案安全管理的规章制度。制定数字档案信息安全管理的相关制度与法律是提高数字档案信息安全管理水平的一个有效方法。要做到数字档案信息安全管理其实是很难的，这其中所需要具备的条件很多、工程量极大。要结合管理工作中遇到的具体问题来制定与实际相符的并且执行性较强的数字档案信息安全管理制度。数字档案信息安全从根本上看主要是人在发挥主要作用，并且我国为了保障数字档案信息安全颁布了两部相关法律。从目前形势来看，数字档案信息管理还存在许多不足之处有待于进一步完善，如数字档案信息安全管理的相关制度与法律还需要进一步补充。还要从数字档案的形成之时起一直到归档保存，这其中在每一个过程都必须严格遵守规范的管理制度，这样才能从源头就开始对数字档案信息进行规范化管理，有利于后期的安全管理。

3 结束语

数字档案信息的安全管理具有复杂性和广泛性的特点，其是一个系统、持续性的过程，需要将安全防范意识贯穿到档案工作的每一个环节，时刻将数字档案信息安全放在首位。数字档案信息管理系统并不存在绝对的安全性，这也说明数字档案信息随时都存在被泄露的可能性，因此需要我们时刻保持警惕性，树立良好的安全防范意识，不断对数字档案管理系统进行完善，努力提高数字档案信息安全技术水平，确保数字档案信息的安全，使其更好的服务于社会和经济的发展。

参考文献

信息安全管理策略篇7

大型企业由于使用的单位数量多，单位分布区域广，通常需要通过互联网通道在各地进行数据的采集和存储，归积到一起处理，以保障财务系统数据的完整性。在这种模式下工作的开展虽然更加方便快捷，但也对财务信息的安全防护提出了更高的要求。

综上所述，财务管理信息系统面临三个方面风险：

（一）服务器应用客户端的安全风险

在全面电子信息化的大环境下，财务数据信息主要通过服务器进行存储和使用，不再依赖纸制的存储，这就要求保证服务器运行的稳定性和保密性。财务数据信息的保密性要求服务器本身作好防止信息外泄或被恶意篡改删除的风险控制。

（二）管理安全风险

除了上述提到的系统不稳定可能影响财务数据信息的安全，还有一个不可忽视的问题是财务人员违反财务管理信息系统操作规范，主要是某些财务人员在进行财务系统操作的时候违规操作，造成系统使用时候出现信息泄露、或者引入病毒等等，例如将主机联接到外网，违规使用移动硬盘、U盘等情况。

（三）入侵风险

为了扩展财务管理信息系统的使用范围，企业会将系统放置在网络环境下运行。在这样的环境下，一切信息都是可以被访问到的，即使设置了用户权限，对外部用户设置了防火墙屏障，但是还是有一部分人会有意无意地闯入系统，读取后台数据，甚至可能破坏网络设备和硬件，直接造成系统存储设备的损坏，导致数据被更改或丢失。

二、安全的财务管理信息系统架构

本文为安全管理设计出可扩展服务框架技术，它包括动态规划的框架、基础通信、存储管理、自定义协议的设置。如图1。

这种框架在设计中不仅保证不同功能拥有独立性，降低各功能服务之前的偶合性。同时还提高了各种功能代码的通用性，提供可重复使用的可能性，这样可以减少新功能开发中可能出现的重复工作。

系统组件以接口的形式实现了对外开放功能，所以对于模块之外用户来看，每个接口实现路径是透明的，外部用户只要知道了接口的固定调用方式，就可以实现接口的功能。被引用模块只需识别运行的调用模式，无须识别用户，这样的系统具有强大的扩展性。

三、财务管理信息系统安全技术分析

为了保障财务管理信息系统的安全，企业需要制定日常管理使用规范并要求使用者遵照执行，严控权限，针对财务管理信息系统的使用过程和存储过程系统部署如下安全措施策略：

（一）直接在线连接数据服务器的主机上财务数据安全保护策略

本类系统用户通过内、外网客户端可以直接在线连接数据服务器，实时完成数据交换，这要求数据库服务器有良好的稳定性和保密性，能够承载财务数据不断增长的数量，同时也要可以承受可能暴增的集中访问用户数量，最重要的是作好安全防护，防止外部其他用户登陆数据库服务器。

首先，需要给财务管理信息系统客户端登录的用户分配一个专用用户密码，配置数字证书甚至UKEY确保对非正常用户登陆的限制。服务器管理员还需要设置好防火墙，防止不相关用户登陆服务器后台窃取数据，有的公司会设置VPN连接模式，拒绝不相关用户登陆服务器获取数据资料。

此外，将财务管理信息系统内数据信息涉及到的所有的文件格式定义为需要加密的文件格式，整理存储到系统的策略库，并且保持检测文件格式变化进行动态调整。这样保障所有使用到本系统的人员，无论是内部人员还是外部人员，在使用财务管理信息系统的时候，只要操作的文件类型属于策略库内的范围，将被强制自动加密，确保系统内财务数据不被外部系统读取。

除了防止被动的被外部读取到系统内的财务信息数据外，系统还提供一种剪贴保护功能，预防使用人员主观行为上的泄密。这种保护功能下，系统自动识别运行的各个系统，将财务管理信息系统识别为可信和保护的系统，将其他系统视为受限制系统。在受信任系统运行的时候，受信任系统间的各种复制，剪贴，另存为等操作不会受到限制，正常进行；但是涉及到受信任系统内容的复制，剪贴，另存到不受信任系统的操作将会被限制。

（二）离线环境下机密财务数据安全管理策略：

大型企业通常是业务扩展地域范围比较大，在各个地区分别设立财务中心，为了连接各财务中心，集中收集数据，通常是通过互联网将各核算主体与总部数据库连接，进行各项业务处理。在数据接受和传送的过程里面，可能会遇到总部服务器接受数据包不完整的情况，产生的原因可能是网络的不稳定或者数据包过大。目前常用的处理方式是离线系统分割数据多次打包下载收取，然后在本地积累一定数量数据再打包上传总部服务器。业务主要处理过程在本地完成，总部服务器允许多次下载和上传，降低了实时网络状况对数据传输的影响。针对这种情况，提供离线文件的安全使用策略。详细设置如下：

1.安装加密文件，确保财务管理信息系统用户即使在离线状态下也可以正常使用，即同时在主机或服务器端设置策略，保障离线文件的安全使用安装财务系统的用户即使离线也能够安全使用企业的加密文件。通过控制台设定文件的离线使用策略来保护离线使用文件的安全：

第一步：打开本地安装加密文件；第二步：打开离线下载文件的加密文件；第三步：核对离线文件在加密文件下限制的有效时间等信息，进行核对。这样的设置下，使用离线文件的用户无论是在外地，或是办公地点外，都能在笔记本上使用这些应该保密的机密文件，同时，还保证这些文件不会被泄露。保障文件能够安全的离线访问，及时得到处理。

2.对离线文件进行共享或者受控权限操作的限制应从以下五个方面入手：

一是在线的用户如果需要将在线文件转出，在离线情况下使用，可以将文件进行授权脱机操作，这样就可以让同一用户在脱机状态下继续进行与在线一样的操作，并且传回在线系统。

二是受到保护的加密文件在共享时保留原有的方式。原来使用什么工具共享，之后仍然只能使用相同工具共享，但是共享时会增加更加细致的权限设置，确保文件使用。

三是在通过验证用户安装在本地的安全密文来打开离线的共享文件的同时，系统还可以让管理员或者提供共享人员设置离线文件共享的时间限制，通过时间的限制，来保障离线文件的时效性，超出有效时间，离线文件将会无法访问。

四是为离线文件设置各种类型的使用权限，包括但是不限于“阅读”“修改”“打印”“复制”“保存”“上传”等，生成一个压缩文件，与离线文件一起共享给离线的用户。离线用户接收到这个文件后，离线密文可以在授予的权限内解开文件，相应的用户只能按照事前设置的权限，对接收的文件进行访问处理。同时，为了保证系统对离线操作的掌控，所有文件在离线状态下的操作和权限信息，将会生成日志，如有超权等不当操作，将会形成特殊提示文件，告知使用者。当文件上传时，日志中将同时上传至服务器上，随时备查。

五是拥有访问修改等权限的用户，也不能通过邮件或者即时聊天软件将离线文件或是其内容向外传送；即使某些用户通过翻墙等手段将文件传送了，因为文件以加密形式存在，获取者将无法解读文件内容，获取信息，这样就保障了数据文件内容保密性。

信息安全管理策略篇8

一、信息传输的风险分析

计算机设备或者系统实现信息交互的基础是使用相同的通讯语言，即网络协议。目前，计算机网络普遍使用TCP/IP协议作为通讯的手段。安全问题在TCP/IP协议设计伊始并没有被重点关注和考虑，以至于网络发展越来越庞大、越来越复杂，其安全性问题也越来越突出。概括归纳起来安全问题主要集中和体现在“两个缺乏”：第一，认证识别和鉴别身份缺乏有效机制，通信双方彼此确认身份信息困难；第二，信息加密技术缺乏有效手段，传统的加密措施容易被破解，第三，可以轻易截获信息内容并予以篡改。1.嗅探和嗅探器。嗅探，通俗地说就是网络世界的“窃听”技术。嗅探器则是通过网络接口截获经过该接口的所有数据报文的软件工具。嗅探器的使用是一柄“双刃剑”：在网络安全维护方面，它可以解释数据包协议；诊断网络异常和问题；监视网络性能和流量；发现网络传输限制和瓶颈；将网络事件记入日志。在网络攻击方面，黑客会利用嗅探器的这些功能窃取网络中数据包的信息。2.嗅探截获过程。现有基于IPv4的网络使用明文传送信息数据，这种方式基本对黑客攻击者来说是不设防的，他们可以轻而易举地从数据包中还原原始信息；另外从数据包中黑客也可以得到如用户的IP地址、域名服务器的地址、网卡MAC地址、TCP连接的序列号等。地址信息与协议报文信息的复合信息一旦被破译，用户的数据包信息也就毫无秘密可言。

二、教务信息面临的截获风险

当前，负责管理高校学生成绩的教务网站由于建设早、规划少、更新慢、技术老等原因，存在很多软件漏洞，安全防护不到位，给了不良黑客可乘之机。新闻报道中犯罪嫌疑人采取各种手段攻击高校教务网站的新闻屡见不鲜，负责存储成绩、学历和各种证书信息的数据库成为重灾区，黑客们寻找到教务网站平台内部的漏洞和BUG，侵入后台数据库，操作原始数据向里面添加买家要求的各种违法数据。虽然数据的更改通过人工严格的甄别可以发现修改，但是需要耗费大量的人力资源和工作时间，面对成千上万条记录采用人工办法往往束手无策，因此，加强高校教务信息管理系统的安全防护迫在眉睫。

三、系统安全防护策略研究

从顶层设计角度来看，高校教务信息管理系统的构建、完善和维护无疑是一项繁杂的系统工程，它具有涉及领域广、工作强度大、体系结构复杂、维护完善时间长、随技术螺旋上升等特点，安全问题也不可能一蹴而就。既要从宏观上持续防御黑客的非法攻击，与时俱进的更新各种先进技术，以拒绝非法入侵者窃取和篡改核心数据；又要以“人”为核心完善机制，从而维护系统的安全稳定的运行。文中归纳为总体安全原则、多重保护原则、积极防御原则和扩展升级原则。1.总体安全原则。前文已经分析，构建高校教务信息管理系统是一项系统工程，不能看局部建个体，需要顶层设计、综合分析、分项论证、分别实施、有效整合。主要包括：身份认证口令、更新杀毒软件、系统容错机制以及存取控制日志等技术建设；严密的业务工作制度、分工协作制度、岗位负责制度、监察检查制度、完善维护制度以及法律法规制度等配套建设。安全防护体系考虑越周全出错出纰漏的概率就越少。用户、管理者、设备、资源、软件、机制等都是信息系统的要素对象，只有从顶层设计、全局出发、着眼关键、复合分析、回溯评估才能制定出行之有效的安全保障方法与措施。2.多重保护原则。没有无懈可击的防火墙，任何安全措施都有被攻破的风险。单一手段的防护被突破之后直接暴露了真实数据本身。解决的办法之一是采用多重保护原则隐藏数据，多重安全保障措施之间互支撑互补充逐层保护，系统一次性被突破的概率将大大降低，系统认证功能采用多重保护。而且黑客不得不留下更多的痕迹，这也为将来追根溯源查询问题提供了多种线索和证据。3.积极防御原则。在系统设计过程中，软件程序员和管理者应随时保持风险意识，尽可能采用自动化程度高、智能化更新快、一体化漏洞少的技术稳定产品，将安全防护的技术持续提高，在关键代码和功能的薄弱处设置提醒、告警功能，一旦出现提示在第一时间进行安全维护或者报警，积极防御防患未然。4.扩展升级原则。随着网络技术的日新月异，原本牢固的信息系统可能一夜之间变得脆弱不堪。技术天天革新，系统就会产生新的漏洞。因此在进行安全防护设计的同时，必须考虑信息系统的可扩展性、可嵌入性或者连接性。四、结束语创新建设和持续完善教务信息管理系统是一项旷日持久的系统性工程，要求防护措施既要求技术的先进性，也要求功能的可扩展性，也要适应网络技术的动态变化。本文在安全防护的策略上做了探讨，为同类信息系统建设提供一定的参考。

参考文献：

信息安全管理策略篇9

前言

近年来，我国信息化发展非常快，与之相对应的网络信息管理系统目前已经处在世界领先，正引领时代的发展。就目前来讲，笔者所在的电力系统各相关领域已经基本实现了信息化，由于信息化电力生产、电力营销等等这些方面起着越来越重要的作用，而企业的网络信息安全对企业的生产经营也有着重要意义，所以如果网络信息的安全性无法保障，那么必然会对企业造成比较大的影响。此外，网络正在逐渐扩大，所包含的结构内容也相对复杂，各个相关部门对网络的依赖性也比较高，所以，提高网络信息的安全性非常重要的。

1 网络信息不安全的原因

网络安全是一个比较系统的观点，网络安全技术的安全性能够直接影响整个系统的安全，比如，建立IP地址登记、系统认证、登录权限以及进行各项功能的限制和授权等等。网络信息的不安全性主要表现在对于信息的输入、输出、处理、储存以及输出过程中容易出现信息的虚假或者篡改现象，更为严重的会出现泄漏或者信息损坏现象，另外，网络自身的数据、系统也非常容易出现漏洞，再有就是存储设备出现一些故障导致网络不安全行为的出现。

1.1 非法登录式的入侵

整个网络数据库中包含大量的资料以及运行数据，其中一些保密级别非常高的资料，如果一旦被外界获取，会给企业造成极大威胁。如果没有权限设置，恶意攻击者就会通过非法手段攻击网络，侵入到系统中，这是一种非常严重的破坏行为。网络入侵的主要内容有：目的解析、破解密码、系统登录、数据窃取、消除痕迹等等。上述恶意现象极易出现，所以要从系统、信息、数据方面采取一定的防范措施。

1.2 非正常的软件应用

网络技术持续发展，计算机技术应用广泛，尤其是安全技术，因为不同类型的软件层出不穷，符合安全性能且免费的软件日益丰富。目前，电力企业的职员在进入岗位之前并没有进行专业的技术和网络知识培训，在网络上肆意下载软件，必然会造成网络安全性降低，从而给整个网络系统带来完全隐患。

1.3 网络病毒的传播

由于计算机技术发展迅速，寄生在其中的病毒也日益增多，经过仔细分析，病毒主要分为以下四类：既伴随型病毒、野蠕虫冶型病毒、寄生型病毒、诡秘型病毒、变型病毒，具体见表 1。

1.4 恶意网页

以网页为载体的病毒一般叫做网页病毒，其通常使用SCRIPT 语言编写恶意代码，通过浏览器中存在的漏洞进行病毒传播。只要用户使用浏览器登入到特点网站中，就会激活病毒，病毒会对计算机系统进行破坏行为。主要方式为篡改计算机注册表，改变浏览标题或者用户首页，改动设置功能，一旦计算机感染此病毒，必然会导致计算机一些功能无法使用，更为严重的会直接改变原有系统，用户无从防范。

1.5 软件本身的漏洞

由于软件开发过程中的疏忽以及软件自身特点或者因为编程语言的约束，比如计算机C语言就比Java语言效率高，但是漏洞也是非常容易出现的，而目前电脑中大部分都使用的是C语言，因此，用户在使用过程中必须经常进行补丁下载和修补，这些漏洞都是使用过程中才能发现的，一些不法分子利用这些漏洞进行非法活动。

2 网络信息安全的原则

网络信息安全的主要目的是保证电力的正常供应，保护保密信息不被泄露，重要信息完好。其具体安全原则如下：

（1）高水平的网络安全技术是保证信息安全的前提，将众多破坏安全的因素排出在外才能提高系统安全性，然后建立比较完善的安全机制，建立安全系统。

（2）严格的安全管理保证系统安全的基础，电力企业应根据自身特点建立适合的网络安全管理系统以及管理制度，保证内部运行安全，增强网络信息的安全性。

（3）完善的法律法规是保障安全性的保障，提高法律意识，大力宣传法律法规，对于危害安全的行为必须严惩。

3 网络信息安全管理措施

根据上述不安全因素，可以通过如下几个方面进行网络信息安全管理。

3.1 防火墙拦截

防火墙目前在计算机安全中应用比较广泛，通常手段是组织黑客入侵，为计算机建立一道安全屏障。计算机中设置相应的网络监控系统，避免恶意入侵，目前多数企业使用的防火墙+杀毒软件来保证网络安全。如此一来，即使防火墙失去作用，计算机还是可以不被侵入。

3.2 用户管理机制

计算机在实际引用中通常具备两种身份，一是本地计算机，二是网络的一个组成部分。同时计算机可以支持多用户使用模式，一台计算机可以设置非常多的账户，每个账户具备的权限是不同的。同一台计算机上，通过设置不同用户的权限来防止被恶意入侵。电力企业根据信息重要程度进行分层次的权限设置，保证所有加密数据处在比较严密的保护之中，将可能被入侵的部分严格控制在一个非常小的子网内，这必然能够提高整个网络系统的安全性。

3.3 密码管理权限机制

信息化环境下密码具有非常重要的意义，能够保护每个用户的隐私，而企业因为处在信息化环境中，密码的作用尤为明显，只要掌握住密码，就可以说是掌握了一定的信息和资源，一旦密码被破解或者丢失，则资源会被随时泄露出去，作为一个网络安全管理者，我更加知道密码在系统中的作用，而当前我们使用的计算机却存在非常多的安全隐患，比如密码设置成一些非常容易破解的字母或者数字，admin、123000等等这些简单的数字字母，虽然这些也可以称作是密码，但是其不能对系统起到任何保护作用，因为非常简单的破解软件就可以破解出来，因此，在密码安全方面需要采取有效的措施进行控制，例如：

（1）及时修改各类系统帐号初始化默认密码；

（2）密码不得少于8位数字；

（3）密码设置应为大小写字母、数字、特殊符号；

（4）密码应该经常修改，比如3个月改一次；

（5）不要把密码记录或粘贴在显眼处。

以此类推，服务器和网站的关门也是如此。

3.4 信息安全防范

计算机网络、服务器如果不做好防范措施，就会导致病毒入侵系统，会造成资料损失，因此，在网络、服务器方面要做好以下防护措施：

（1）要在边界处安装防火墙；

（2）要做好互联网统一出口的设置，以便能够方便在互联网访问时能够有效的对舆情进行监控；

（3）要做好上网行为控制和审计：利用技术手段（如上网行为管理器）统一禁止P2P下载（控制病毒、控制流量）、禁止视频访问、禁止访问不良网站；

（4）服务器、交换机安全基线配置：制定安全服务器和交换机的装机规范，并对在系统升级时及时打好补丁；

（5）定期漏洞扫描：发现高危主机并及时处理。

3.5 办公电脑安全与移动介质安全措施

（1）移动介质安全措施

因为现实工作中对软件提出了更高的要求，硬件技术也在逐步提供，使用频率以及使用条件复杂多变，所以必须要不断进行软件升级。同时，对于移动介质要做好控制，不能随便外接他人，外借确保不包含敏感信息，防止信息泄漏，并且在使用移动介质前先检查病毒，避免交叉感染病毒或木马。

（2）办公电脑安全：

办公电脑强制安装瑞星等防病毒软件，防病毒软件是保护用户的重要屏障，不得关闭和卸载；严禁在办公电脑上私自安装非授权的软件，不得私自更改安全设置；外来人员进入办公区域必须进行登记，电脑或移动介质不得私自接入公司网络，同时注意保护好自己的敏感信息防止外泄。

3.6 物理安全策略和方法

为了保护网络中的硬件，如打印机、交换机、工作站等等，必须要选择一些物理安全方法，主要就是保护这些硬件不被外界损坏，一般采取的方法是建设安全性能高的机房以及制定比较严格的安全管理制度，与一切可能存在危险的器件进行隔离，防止因为认为、环境所带来的破坏，避免不法分子进入现场进行破坏，将所有存档资料加密保存，需要查看时要进行身份验证，避免出现违规操作现象。

4 结束语

网络安全的宗旨是防止信息泄露，保证所有的信息数据的机密以及安全。本文着重对网络信息安全的存在因素和管理方法进行探讨，总结出网络信息管理中存在的不安全因素，并且提出相应的解决方法，希望能够为提高网络信息安全性做出一点贡献。

参考文献：

信息安全管理策略篇10

一、我国的信息安全现状

1.缺少法律体系的约束。

法律才是保障人民和国家利益的根本所在，才是保障信息安全的基本防线。我国的法律体系主要是由法律、行政法规以及规章等三层面的规定构成，信息行业作为一个新兴的行业，而且其涉及内容、影响范围以及运行模式都在不断的变化和革新，因此我国虽然对信息安全进行相关的立法保护，但是仍有不少法律没有涉及的部分，甚至原有的法律无法对新出现的信息板块进行约束。除此之外，我国的信息安全法律体系还存在一定的内容交叉问题，导致执法困境的现象，最终阻碍了我国法律对于信息安全的保护。

2.缺少严密的管理措施。

信息安全的管理是一个系统的工程，其包括了事前的教育培训和系统评估认证，还有预期懂的安全规划，事中的风险管理和应急措施，以及事后的总结和规划，各个内容之间存在明确的管理和责任。然而我国并没有在这个问题上进行详细的约定和规范，导致多头管理和权责交叉的现象出现，阻碍的信息安全管理效益，信息安全的保障机制不能高效运行。

3.缺乏信息安全意识。

信息安全不仅仅是制度和法律的保障，更多的应当是来自于每一个人在每一个层次上进行安全保护。然而大多数人都没有形成对于信息安全的足够认识，违规操作和风险运行的事件时有发生，极大的危害了信息安全的管理工作。这一方面说明了操作主体缺乏安全意识，另一方面也说明了主体没有受到相关的教育和培训。

4.忽略了技术和管理的重要性。

据不规则统计，大多数的安全问题都是由于操作技术和管理模式的缘故。尤其是现阶段，我国的企业发展十分迅速，也对信息部门有了一定的认识，然而却并源于投入更多的人力和物力来保障信息安全，往往会出现安全系统过时、技术人员能力不足或是身兼数职等现象，对信息安全的管理工作造成了极大的安全隐患。

二、信息安全的主要特点

1.趋利性。

近几年已经网络信息安全事件的多发期，由于互联网金融的发展，巨大的经济利益和信息网络联系在一起，引起不法分子的主义，这也从另一方面说明了信息安全的威胁主要是利益引发的，因此，这要求我国人民在进行经济利益相关的信息操作时需要更加的小心和细致。

2.多样性。

系统安全技术经过多年的病毒洗礼之后已经有了大幅度的提升，然而，不法分子对于病毒形式也有了更多的研究。各式各样的病毒软件被研发出来，对PC和移动终端造成了巨大的影响，过去常用的电子邮件病毒已经渐渐被遗忘，更多种类的病毒危害着用户的信息安全。

3.漏洞多发性。

信息安全事故的发生虽然有一部分来自于不当操作，但也不排除来自安全漏洞的原因。往往是由于用户没有对系统进行及时的更新，也没有对安全技术懂的革新引起足够的重视，造成漏洞信心安全事故问题居高不下。

三、防反信息安全风险的策略

1.构建并完善信息安全管理制度。

要保障信息的安全就必须建立完善的信息安全管理制度，进行统一规划和分工，保障各部门、更阶层甚至每个个体都各司其职，分工合作。其次，还需要保障管理的高效性，防止多头控制和协调不力的现象出现，保障权责统一。然后还需要在各省市甚至各县城都建立基层保护体制，维护各地区人民的信息安全利益。建立完善的监管合作机制，将政府、机构甚至个人联合起来，建立内外结合的安全管理体系，将信息安全落到实处。

2.强化信息安全法律体系的完善工作。

法律的建立和完善才是信息安全保护机制中最重要的组成部分，这对我国的法律法规建设工作提出了较高的要求。首先，我国政府应该加快对于信息安全管理的法律法规建设速度，对于相关的技术人员和执法人员团队的建设应当将职业意识和职业能力同时纳入考核体系，只有健全职业意识才能在执法过程中实现对于法律的执行，保障人民懂的根本利益。同时，各有关管理机构和部门也应当积极配合，主动协调，在履行自身义务的基础上也要把本职工作做好，对于信息安全管理工作贡献自身的一份力量。除此之外，法律的维护和执行需要社会各阶层的自觉维护，不仅仅是政府和机关，更包括各阶层的社会团体和个人，信息网络环境的安全需要大家集体来护卫。

3.加大信息安全违法犯罪的打击力度。

近年来，在网络违法犯罪的问题上，我国做出了巨大的努力，虽然取得了巨大的成就，但随着信息技术的不断更新换代，网络信息安全违法的形式变得越来越多样化。这要求，我国执法机关和部门在健全法律执行范围的基础，在打击力度上也要进一步强化，提高对于网络信息犯罪的预防、处理和控制等方面的能力，也要在信息安全的自我保护上多进行培训和教育，提高个体和群体对于信息安全技术和系统的认识和运行能力。最终，实现防治结合。

4.加大政策扶持，维系良好的信息安全环境。

首先要加强对于信息安全工作的扶持力度。例如：政府需要建立转型资金付出计划，帮助相关的部门和机关进行公益性和公共性的信息安全系统建设和技术普及工作，联合各相关企业进行技术研发和技术培训，明确各自对于信息安全的需求和期望，建立适合自身现状和发展的信息安全管理体系。其次是加强对于相关安全技术管理的人才培养。督促相关的教育机构强化对于社会信息安全管理的需求了解工作，切实调整自身的发展步伐，迎合市场需求，发展自身教育计划，建立专门的信息安全学习和进行机制，加快信息安全人才培养，发挥人才所产生的保护效益。

四、结语

信息网络是一把“双刃剑”，其在推动社会生产和人们生活方式发展的同时也带来了巨大的安全隐患。因此，人们在享受这种社会科技利益的同时，也要注意使用所引发的信息安全事故。因为，只有在安全条件下的运营才会给人们带来发展和效益增长。虽然现阶段已经有越来越多的人意识网络信息安全问题的重要性，不仅仅是政府和相关技术人员，更在不少的普通居民心中引起了足够的重视。只要坚定在党的领导，加强信息安全法律体系的构建，推动信息安全管理机制的建立，进一步强化对于安全信息的认识培训，推动我国信息安全产业的高速发展，我们就一定有信心在我国的网络发展中保障信息安全，维护国家和人民的利益。

参考文献：

[1]杨珂.浅谈网络信息安全现状[J].数字技术与应用,2013,02:172.

[2]薛鹏.信息安全的发展综述研究[J].华东师范大学学报(自然科学版),2015,S1:180-184.

[3]王世伟.论信息安全、网络安全、网络空间安全[J].中国图书馆学报,2015,02:72-84.

信息安全管理策略篇11

一、企业中信息安全管理经常存在的问题

日常安全管理中存在的主要问题，首先是用户安全意识和观念薄弱的占58%，第二位的是网络安全管理人员缺乏培训，占39%；其后，依次是保障经费投入不足、缺乏安全信息共享和安全产品不能满足要求。

不仅在日常管理中，在技术管理方面也存在一定的问题。在CSDN泄密门事件中，专业IT博客“月光博客”撰文表示“整个事件最不可思议的地方在于，像CSDN这样的以程序员和开发为核心的大型网站，居然采用明文存储密码”，“稍微懂一点编程的程序员都知道，为了用户的安全，应该在数据库里保存用户密码的加密信息，这样黑客即使下载了数据库，破解用户密码也不是一件容易的事情” 。可见，有些涉及技术方面的问题，也并不是单纯的技术问题，而是与技术人员安全意识不强、责任心不到位有关。

为了了解企业内部员工在信息安全问题上的看法及所做的努力，我们对一家电子商务企业和一家银行的部分工作人员进行了问卷和访谈调查，发现在企业员工中存在如下一些问题：

1.是信息安全意识方面，被调查者认为信息安全对企业和个人都非常重要。但大多数受访者对信息安全的问题了解很少等。

2.很多受访者认为信息安全属于技术人员的事情；与技术人员的交流非常少；忙于业务，没有时间去处理。

3.是用户认为信息安全管理措施效果不好。有些信息安全行为的规范标准虽然挂在网上或贴在墙上，很少有人去关注；公司发动的信息安全的培训活动没有收到好的效果。

二、信息安全问题的根源

通过对调查的结果进行深入分析，发现导致信息安全事件频发、风险损失严重的原因从根本上来说，有以下几个方面：

1.信息安全是一个多维问题，涉及到企业管理的方方面面。企业在信息安全问题上往往涉及多个部门。有些情况下，无法明确责任，使得信息安全得不到应有的重视以及有效的管理。

2.风险平衡理论认为，人会愿意承担一定程度的风险。这与你采用多少的安全防护措施无关。有时即使有条件可以到达绝对安全的状态，由于人性的缘故，也不会那样去做。

3.信息安全与效率和便利性本身是矛盾的。信息安全加强了，受到的约束也就多了，相应地效率也就降低了。比如简单规律地密码，可以不必费力去记；插入U盘时进行杀毒，必然要耽误时间；没有接入网络，不可能受到网络攻击，但也就失去了网上浏览所需信息、网络交流的自由，因此有人半开玩笑地说：“最安全的计算机是拔掉网络的那台计算机”。

4.由于某些缘故，网络中总是存在黑客，专门窃取信息或破坏网络系统。他们的水平都非常专业，一般的用户难以预防。所谓“道高一尺，魔高一丈”，信息安全的水平总是在这种攻击与防守中进步的。

5.信息安全问题的不确定性。信息安全问题的不确定性主要指是否发生风险的不确定性、无法精确地评估当前所面临的风险以及风险发生所带来的损失的难以把握。

所有这一切因素，都使得信息安全无法得到有效的关注和重视，无法采用有效的措施来预防和避免。这也是导致信息安全事件发生频率居高不下，风险损失较大的主要原因。转贴于

三、相关的建议和策略

针对企业信息安全的问题，文章运用管理学的理论进行论述。企业管理涉及四个功能：计划、组织、领导、控制。

1.从计划的角度来看：企业应当确立信息安全的发展战略，从战略的高度来对待和管理信息安全，确保信息安全所引发的风险达到可以接受的范围之内。从全局角度制定信息安全的策略，确立信息安全的目标，以及实现目标需要的行动方案。

2.从组织的角度来看：人力资源的管理的观点认为，企业的组织结构，取决于组织战略。在许多企业组织结构中，只有技术部门，没有信息安全管理部门。S.H.(basie) von Solms 曾讨论过，技术管理与安全管理两个部门必须设置成为两个独立的部门，否则无法保证安全评估的客观性。因此有必要设置一个专门负责信息安全管理的部门，这个部门并不负责具体的技术，但是要懂技术，主要是开展企业的安全培训工作、日常的安全管理工作、对存在的风险进行评估，最大限度地降低安全风险。

3.从领导的角度来看：根据wilde的风险平衡理论，一个人会愿意承担一定程度的风险。 “风险平衡”观念会让整个机构处于盲目乐观的过度自信状态，不管是企业的员工还是管理者都倾向于追求效率，从而忽视信息安全的投入。

在企业的管理过程中，应当加强信息安全、风险意识方面的培训和教育，增进员工与技术人员的面对面的沟通与交流，开展有效的安全意识活动。

4.从控制的角度来看：对风险的控制要求企业对自己的安全状况不断评估，时时防范。这就要求安全管理部门每隔一定时间向上汇报信息安全的进展情况，定期进行风险评估工作。

文章从管理学的角度来分析信息安全风险管理，对信息安全问题做了实地调查，分析了目前信息安全存在的一些问题，并对存在的问题的根源进行了深入的分析，最后文章运用管理学的理论，从计划、组织、领导、控制四个角度出了相应的建议和策略。

参考文献

[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.

[2]秦志华.企业管理[M].大连:东北财经大学出版社，2011，1.

信息安全管理策略篇12

1当前我国计算机信息安全管理的发展现状

通常情况下，计算机在运行过程中会有很多的信息资料在互联网上进行传播，如果这些信息资料不能得到很好的管控，就会为用户造成很大的损失。从计算机运行的原理来看，计算机通过接受用户的命令对其指定的操作指令进行识别然后再进行数据资料的分析存储，所以这一运行过程就是计算机信息的管控过程。当前随着社会的发展，人们越来越多的经济交往都通过计算机进行，不仅涉及到网络办公，而且很多客户在洽谈商业合作以及展示多媒体产品都通过电子计算机来进行工作，所以这一过程中会涉及到很多的商业机密信息。一旦计算机遭到网络黑客的攻击，就会导致信息泄露，长此以往，不仅计算机信息受到了很大的威胁，而且人们在运行数据的过程中也会导致巨大的计算机风险存在。通常而言，我国的计算机风险运行的源头主要分为三个不同的方面：①电磁波辐射；②网络设置存在风险；③计算机信息存储介质存在风险，但是从其风险的产生过程以及信息风险的危害来看，越来越多的计算机风险大多都是由于用户对风险管理的意识不强导致，常见的就是由于存储介质存在风险漏洞导致信息资料泄露，一般情况下，人们办公常用的存储介质分为移动硬盘、光盘以及U盘几种，很多用户都是通过移动存储介质与计算机直接进行连接然后再进行网络数据的传输或信息资料的转移，由于很多的用户对计算机安全风险识别以及管理能力不足，如果存储介质当中有网络病毒存在或者是由于用户本身工作不严谨导致信息丢失，不仅会导致个人计算机信息丢失或者泄露，如果情况严重则会为用户造成不可挽回的经济损失。通常用户在计算机系统中都不会进行网络权限设置，当用户直接通过节点以及端点等计算机服务器进行信息资料传输时，就容易导致信息资料发生泄露。所以从上述信息资料的泄露以及丢失的情况分析，大多都是由于人为原因或者计算机本身的网络原因导致，而计算机自身的风险问题就是通过电磁波辐射[2]从而将数据信息泄露出去，这种电磁波主要是计算机在运行中产生，因此为了减少人为因素和计算机电磁波辐射导致的信息泄露问题出现，需要技术人员采取一定的安全管理措施减少计算机电磁波的辐射以及不断提高用户的计算机网络安全运行意识，从而不断减少计算机信息网络安全威胁。

2常见的影响计算机信息安全的因素分析

通常情况下，计算机信息风险主要包括外部风险以及内部风险两大部分，网络黑客的攻击就是计算机网络外部风险，相反，计算机内部风险主要是由于计算机用户的操作失误以及安全风险意识不强、网络恶意攻击等原因导致，具体来讲主要包括如下几个方面的内容：

2.1网络黑客攻击导致信息安全降低

计算机的外部网络安全主要是由于计算机本身的性能漏洞导致计算机病毒存在，此时网络黑客就会乘机利用计算机的漏洞进行主动网络攻击与被动网络攻击，利用一切技术手段恶意窃取以及损坏、篡改计算机信息，常见的黑客网络攻击主要是利用技术手段窃取网络用户的信息，以达到非法获取信息与盈利的目的，还有另外一种情况就是黑客不是为了获取利益而是通过被动对网络上所传递的信息流进行随时监听，再经过对网络信息流的详细分析，从而经过进一步筛选获取对自己有价值的信息。

2.2计算机感染病毒导致信息数据丢失

由于互联网中的信息量十分庞大，所以用户在使用计算机进行网络信息的交互过程中就会通过Internet将用户的数据信息资料进行传播，一方面这种网络信息的传播来不仅会给计算机上网用户带来十分严重的危害，另一方面，计算机病毒有时可能会导致整个公用计算机网络发生瘫痪，更为严重的是计算机中的硬件系统会被由此而破坏，不仅数据信息等文件丢失，而且巨大的信息丢失会给用户带来无可挽回的损失。

2.3人为因素造成的信息资料丢失

与计算机的运行环境影响因素相比而言，人为因素所造成的计算机网络安全问题比较常见，通常是由于计算机用户对信息数据的安全管理工作不到位，再加上网络管理人员技术措施以及安全防范能力相对不足、信息安全意识较差等所几种因素的影响导致计算机信息泄密况出现，有些用户甚至会直接利用自己合法的身份去攻击和蓄意破坏计算机网络办公系统。

3常见的计算机网络安全管理的对策分析

3.1身份认证

身份认证技术[3]对于计算机信息的安全管理而言具有非常重要的作用，如果用户要在公用网络中运行和传播信息，就需要使用自己的合法身份信息经过实名认证才能进行相应的技术指令操作，所以随着我国经济社会的实名制制度的实施，身份认证技术不管是对于一个企业来讲还是对于计算机用户而言，都具有很重要的意义。计算机身份实名认证不仅是用户信息传播的有效保证，而且是社会经济活动顺利进行的保障。所以对于企业来讲，要通过完善企业内部的信息安全管理制度，定期对内部员工的身份认证数据进行系统分析以及存储，从而可以有效避免外来访客访问信息时出现严重的非法盗取信息的情况。

3.2漏洞扫描

除了使用实名认证信息对计算机中的信息数据进行匹配之外，还需要通过采取更加先进的技术手段减少信息的损失，当前已经进入了大数据时代，越来越多的信息数据充斥着我我们的生活，所以计算机用户需要提高信息的识别能力，在计算机网络中办公时，需要定期进行病毒扫描，减少计算机漏洞的存在，比如可以通过系统优化以及对计算机中的应用打补丁等方法来使计算机系统中的漏洞减少，进一步消除网络安全隐患。

3.3防火墙设置

防火墙技术[4]是在计算机信息安全的保护措施中最有效的措施之一。防火墙技术犹如在计算机网络中的对外接口中设置了一道安全屏障，这道安全屏障可以对计算机中的一切外来影响因素进行信息风险识别，一旦发现有不良情况就会立即进行自动屏蔽，所以防火墙的设置最大限度地限制了网络中黑客的非法访问以及信息攻击，从而有效减少了网络黑客攻击下计算机信息被恶意更改或者删除的情况发生。

3.4加密网络

网络加密技术在计算机信息的安全维护中也是一种十分重要的应用方式，主要是通过内部加密的方式将计算机中的有效信息保护起来，减少网络中的恶意病毒对重要数据资料进行攻击，因此通过计算机网络加密技术不仅能够在私人以及公用信息传递的过程中将被传输的数据资料信息IP地址自动进行加密处理，而且可以使整个办公网络系统更加安全可靠。

3.5系统容灾

相对与以上几种防护技术而言，系统容灾技术主要包括异地容灾以及本地容灾两种不同的技术，而本地容灾技术又分为磁带数据备份技术、快照数据保护技术以及磁盘保护技术三种。相反，异地容灾技术被分为网络容灾以及服务容灾、远程数据容灾三种不同的技术。远程数据容灾是指通过对计算机中的本地数据进行在线备份，从而减少计算机异地数据的系统存储，从而通过数据重构来将计算机中的所有数据进行保护。而服务容灾技术是指当计算机系统中存在网络信息安全隐患时，用户需要将计算机生产中心的一切数据信息业务进行转移到容灾中心运行，只有做到数据业务的自动无缝转移用户的信息安全才会得到保障，网络容灾技术是指计算机网络出现故障时，由于人为因素导致通信中断。

4结束语

总之，随着计算机网络业务的增加，计算机信息安全问题日益严重，因此相关人员必须采取科学的管理措施来维护计算机信息安全。在系统维护以及信息管理过程中，技术人员需要不断提升自己的专业素质，用户只有提高自己的安全防范意才能使我国计算机信息的安全问题得到有效改善。

参考文献

[1]刘广良.建设银行计算机网络信息系统安全管理策略研究[D].湖南大学，2014，06（07）：144~146.

[2]王越，杨平利，李卫军.计算机信息安全管理体系的设计与实现[J].计算机工程与设计，2015，18（12）：3964~3967+3971.

信息安全管理策略篇13

网络信息问题处理管理策略安全措施

网络的使用使人们的生活更加快捷方便，也使得人们的视野更加宽广，甚至使事业蒸蒸日上，在网络给人们带来好处的同时，也带来了一定程度上的严重后果。例如：加密数据的损失以及安全系统的崩溃等，因此解决网络安全隐患就显得尤为重要。

1网络信息安全的具体描述

在科技尚不发达的年代，人们并不关注网络，更不了解何为网络信息安全，但随着电脑的普及，网络深入人心，网络信息安全愈发受到重视。但何为网络信息安全，其实并没有很明确的定义，因为不同的领域或国家有不同的规定。同时，随着时代的发展，人们对信息安全的要求也更深一步，再加上现有网络信息不光只是单纯的信息，还混合人和技术，所以现代信息安全更加严谨、慎重。本文所说的信息安全一般是指一个独立国家的社会信息化状态及其信息技术不受到外来的影响与侵害。所以要确定信息是否安全就要充分了解信息所在的这个传递载体及网络，同时也要明白信息安全本身的具体特性。信息安全的特性有：（1）完整性。即信息在存储和传输过程中不存在任何的破坏遗漏等现象。（2）可用性。即所属信息是完全合法的。（3）保密性、可控性。即授权方可以有效控制信息的去向等。（4）可靠性。即信息真实质量保证受到客户认可。简单来说，信息安全就是在保证信息安全不损坏的基础上传输到指定地点。

2常见的网络信息安全问题

网络信息安全问题主要分为2类：一种针对信息本身的安全，另一种针对传输载体网络的安全。任何一种都会造成网络信息安全问题。综合来看，主要分为人为影响和软件或是系统本身存在的不足。人为影响有无意识行为，如操作出问题或者不会使用随意与人共享密码等；恶意攻击行为，主要代表是电脑黑客的存在，如利用编写的病毒程序刻意攻击用户电脑，或是在客户正常使用时，对信息进行拦截等。现有情况下，对网络信息安全传输的影响方式主要有信息的拦截破译、信息的伪造、信息的中断和信息的篡改。主要信息出现一丁点的纰漏都不能保证其完整性，所以都会造成信息安全问题。

3现有维护网络安全的技术

3.1“防火墙”安全保障技术

防火墙是一个针对多个网络中访问权限控制的网络设备，主要为了保护本地网络安全不受外来网络攻击。简单地说，防火墙就像二极管，对己方网络起到趋利避害的作用，而对外来网络则详细检查，在确保信息安全的情况下才会允许进入，若不安全则会阻止进入。相对地，防火墙也存在特有属性：首先是针对数据的双向筛选，即不仅是从外部网络进来的数据要审查，内部网络流出的数据也同样要接受审查。其次，符合规定的信息数据才能通过。再有，具有防侵入作用，即在未知来源的软件或是数据进入时会自动阻止，防止攻击原有网络信息。这样就能在一定程度上保证网络信息安全。当然，防火墙技术的使用也存在一定的问题，主要是在使用防火墙时会对网速等造成影响，所以在使用防火墙技术前应考虑清楚是否要安装。

3.2针对数据的加密技术

数据尤其是一些机密的数据非常重要，所以要重视数据的安全，而加密技术的产生就是为了保证数据不被窃取或者销毁。数据加密就像是为数据在原有基础上重新加上一把锁。只有使用者才拥有打开保护数据的锁的钥匙，而其他非法者都没办法解读其中的数据。一般数据加密有2种：即线路加密和端对端加密。2种方法的区别就在于一种是针对传输线路进行加密，而另一种则是在端的两头加密。具体分为对称加密和非对称加密。对称加密就是加密解密密钥，这种加密方式在一定程度上简化了操作过程，但其安全性就有一定程度的下降。非对称加密就是一对密钥一个负责加密另一个负责解密，2个密钥不一样，这样提高了数据安全性，因为要想破译加密数据就要同时解读2个密钥，相对地，难度就会增加很多。其中非对称加密的典型代表就是数字签名，通过“签名”对数据进行加密，在通过给定密钥解读签名来达到解锁数据。其中最主要的是密钥，因此对于密钥的管理就很重要。无论是从其产生作用到最后销毁都要严格管理。对于对称型密钥来说，只要买卖双方达成共识，互相保证交易过程的安全保密性，就能使对称加密过程更加简单，同时还使原有的难以区分的问题得到解决。

3.3控制访问权限的技术

顾名思义就是对所有的要求访问的用户按照自己的意愿进行对应的权限控制，对于那些带有恶意的用户杜绝访问，减少了本地网络信息的泄漏，更好地保护了信息的完整性。该技术是保护信息安全的重要手段，也是网络中比较基础的保护方式。但是，也存在一定的不足之处，如没有阻止被授权组织的能力。现今主要常见的控制访问权限的技术有：自主访问控制、强制访问控制及基于角色的访问控制。所谓自主访问控制即现有信息所属者拥有想让谁能访问的设置权限，即可以根据自己的情况按照自己的意愿来设置。这样就能在一定程度上过滤出一些不安全因素。再有，为保护个人信息等还可以自行设定额外的保护锁，就像腾讯QQ中空间相册可以有选择的另行设定密码是一个道理。而强制访问控制就是不受用户控制的，直接听命于生产方的那些。通俗来说就像你买一台电脑，电脑本身有很多系统是买来就带有的，且自己无法更改或删除的，这些系统就称为强制访问权限。基于角色的访问控制就是根据各部分数据或信息的不同，将之指定为不同的角色，在使用时直接根据角色的不同选择对应的访问权限，从而达到控制权限的效果。区别于常见类型的主要是中间角色的加入。认识到了所谓的访问控制，不得不看看访问控制机制又是怎样工作的。常见的技术支持有入网访问控制，就是对于登录使用时的权限控制；权限控制，即设定所拥有数据信息哪些能被访问，哪些不能被访问的技术；目录级安全控制，即在一定的级别区间内只能对此区间的数据等起到效果，没办法越级控制；属性安全控制，服务器安全控制，一般可锁定服务台或是锁定登录时间，只能在规定时间登录。这样就能有效保护数据安全不被破坏。

3.4虚拟网专业技术

就目前来看，针对网络信息安全问题最有效的就是虚拟专用网技术的研发，所谓虚拟专用网技术简单来说就是在公共网络中建立一个专用的信息通道，使得所需传递的信息能够安全的传递。

3.5针对是否有入侵现象的检测系统

就是随时随地对网络信息进行保护防范作用，及时检测是否有不安全因素的闯入，保证信息的安全。其操作流程是：首先对安全行为进行分析了解，然后查看系统各部分是否有漏洞，再扫描到已有攻击时应作出提醒，并将其记录在案，最后看所传输数据是否安全完整等。当然，还有很多维护网络安全的技术如身份认证技术、安全隔离技术等，正因为这些技术的存在才能使现在网络信息的安全。

4频发网络安全事故及其应对策略

由于网络系统的开发过程中总是伴有漏洞的产生，而漏洞不能及时安装补丁加以修复，往往会遭受网络攻击，但是网络攻击又有很多种攻击方法，有拒绝服务的攻击，就是攻击者使计算机不能正常提供服务，此类攻击一般伴有特定现象如被攻击对象中有很多TCP连接在运行，或是网速被拖慢导致无法有效与外界沟通交流等。还有利用型的攻击，对于此类攻击一般采用设置晦涩的口令或是下载安装特洛伊木马等方式来预防。再有就是收集信息类的攻击，其主要包括信息扫描技术即专门针对网络地址，连接端口的扫描并根据反响映射来找出自己所需要的信息的技术总和；对于体系结构的试探检测，最后是利用不同的信息服务。还有就是利用虚假信息来进行有效攻击的手段，像虚假的邮件、系统软件等。在网络安全事件多发的时候，为保证信息安全性就一定要进行有效的防治。首先要随时预防病毒的进入，对于重要数据信息要及时进行备份与恢复，要认识到网络安全的重要性。在对木马病毒的防治上，应首先认识到病毒侵入的常见表现，有运行速度变慢，莫名的死机或是有异常的电脑显示等。其次就是要安装杀毒软件。再有就是要把各个磁盘里的无用东西进行彻底的清除，最后则是把各系统硬盘中的垃圾等无用的东西清理掉，保证电脑的通畅运行，这样才能减少病毒藏匿于各垃圾软件中的概率，只有将这些无用软件都清理掉才能有效防止病毒的入侵，保证网络信息的安全。

5加强网络安全建设

随着科技的进步，使用网络的人也越来越多，通过网络进行交易的人也越来越多，此时的网络不单只是娱乐休闲的代名词，网络中所传输的信息更加重要，上至国家要事，下至百姓生活都与网络有着千丝万缕的关系。因此网络安全就成为关注的重点。只有网络安全，网络中所传输的重要信息才能获得好的保证，才能使社会和谐，国泰民安。基于此，应针对现在网络中存在的潜在威胁及常见漏洞提出相对应的解决方式，借此加强网络安全建设。首先，应从国家层面重视网络安全，制定有效的政策制度来规范网络运行及保证网络环境。但网络问题又是千奇百怪的，所以需要政府采用适当的方式方法来解决问题，并提高网络防御力。只有网络环境安全健康了，信息安全才能得到有效的保障。其次，应针对网络的使用者，即深刻认识网络安全的重要性。在购买电脑设备时就应该保证其质量，不要贪图便宜吃大亏，还有就是在买入设备后一定要及时下载安装防毒杀毒软件，预防病毒的入侵，保证网络环境的干净。再有就是要及时清理电脑各硬盘磁盘中不使用的软件安装包等，保证电脑的运行，也减少病毒的藏匿。最后，网络系统的开发者应认真编写系统程序，减少系统漏洞的产生，这样就能加强网络安全建设。

6结语

综上所述，现在有很多针对网络信息安全的科技，减少了网络问题，而且更多的新科技也在研发中。也就是说，网络安全问题的加强指日可待，但就目前来说，只要从各个方面提高保护意识，就能从一定程度上提高网络安全性。只有保证网络安全，人们才能更加放心地使用网络创造更多的财富与文明，使这个社会更加稳定和谐，使国家繁荣昌盛。

作者：李蟾膺单位：民航西南空管局

[参考文献]

[1]蒋耀平，李一军，王海伟.国家网络信息安全战略规划的国际比较研究[J].管理科学，2004（1）：66-71.

[2]华涛.网络信息安全与全球化时代信息安全国际体质的建立——关于微软视窗系统暗含NSA秘钥事件的思考[J].世界经济与政治，2010（3）：89-91.

[3]郑加峰.浅谈互联网安全与信息加密技术[J].情报探索，2012（1）：68-69.

[4]黄世权.网络安全及其基本方案解决[J].科技情报开发与经济，2004（12）：240-241.

[5]张正兰，许建.基于PKI的网络信息安全体系架构及应用研究[J].计算机与现代化，2004（1）：79-81.

[6]赵秦.计算机网络信息安全技术研究[J].中国新技术新产品，2012（14）：36-38.

[7].张明光.电子商务安全体系的探讨[J].计算机工程与设计，2011（2）：93-96.