網(wǎng)絡(luò)信息安全總結(jié)匯總十篇

序論：好文章的創(chuàng)作是一個(gè)不斷探索和完善的過程，我們?yōu)槟扑]十篇網(wǎng)絡(luò)信息安全總結(jié)范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來更深刻的閱讀感受。

篇（1）

為進(jìn)一步加強(qiáng)全委網(wǎng)絡(luò)信息系統(tǒng)安全管理工作，我委成立了網(wǎng)絡(luò)和信息安全督查自查領(lǐng)導(dǎo)小組，由主任任組長(zhǎng)，副主任任副組長(zhǎng)，綜合股張俊為成員。做到分工明確,責(zé)任具體到人。制定了自查方案，嚴(yán)格按照自查目錄情況表進(jìn)行了自查。

二、我委網(wǎng)絡(luò)安全現(xiàn)狀

1、網(wǎng)絡(luò)安全方面。我委配備了防病毒軟件，采用了強(qiáng)口令密碼、數(shù)據(jù)庫(kù)存儲(chǔ)備份、移動(dòng)存儲(chǔ)設(shè)備管理、數(shù)據(jù)加密等安全防護(hù)措施，明確了網(wǎng)絡(luò)安全責(zé)任，強(qiáng)化了網(wǎng)絡(luò)安全工作。

2、信息系統(tǒng)安全方面。實(shí)行領(lǐng)導(dǎo)審查簽字制度,凡上傳網(wǎng)站的信息，須經(jīng)有關(guān)領(lǐng)導(dǎo)審查簽字后方可上傳。

3、日常管理方面。切實(shí)抓好外網(wǎng)、網(wǎng)站和應(yīng)用軟件“五層管理”，確保“計(jì)算機(jī)不上網(wǎng)，上網(wǎng)計(jì)算機(jī)不”，嚴(yán)格按照保密要求處理光盤、硬盤、U盤、移動(dòng)硬盤等管理、維修和銷毀工作。

4、硬件設(shè)備情況。硬件設(shè)備使用合理，軟件設(shè)置規(guī)范，設(shè)備運(yùn)行狀況良好。我委每臺(tái)終端機(jī)都安裝了防病毒軟件，系統(tǒng)相關(guān)設(shè)備的應(yīng)用一直采取規(guī)范化管理，硬件設(shè)備的使用符合國(guó)家相關(guān)產(chǎn)品質(zhì)量安全規(guī)定，單位硬件的運(yùn)行環(huán)境符合要求，打印機(jī)配件、色帶架等基本使用設(shè)備原裝產(chǎn)品。

5、通訊設(shè)備運(yùn)轉(zhuǎn)正常。我委網(wǎng)絡(luò)系統(tǒng)的組成結(jié)構(gòu)及其配置合理，并符合有關(guān)的安全規(guī)定；網(wǎng)絡(luò)使用的各種硬件設(shè)備、軟件和網(wǎng)絡(luò)接口也是通過安全檢驗(yàn)、鑒定合格后才投入使用的，自安裝以來運(yùn)轉(zhuǎn)基本正常。

6、嚴(yán)格管理、規(guī)范設(shè)備維護(hù)。我委對(duì)電腦及其設(shè)備實(shí)行“誰使用、誰管理、誰負(fù)責(zé)”的管理制度。在管理方面我們一是堅(jiān)持“制度管人”。二是強(qiáng)化信息安全教育、提高員工計(jì)算機(jī)技能。同時(shí)在委開展網(wǎng)絡(luò)安全知識(shí)宣傳，使全體職工意識(shí)到計(jì)算機(jī)安全保護(hù)是“三防一保”工作的有機(jī)組成部分，而且在新形勢(shì)下，計(jì)算機(jī)犯罪還將成為安全保衛(wèi)工作的重要內(nèi)容。

三、網(wǎng)絡(luò)安全存在的不足及整改措施

我們?cè)谧圆檫^程中發(fā)現(xiàn)了一些管理方面存在的薄弱環(huán)節(jié)，今后還要在以下幾個(gè)方面進(jìn)行改進(jìn)：

1、對(duì)于線路不整齊、暴露的，立即對(duì)線路進(jìn)行限期整改，并做好防鼠、防火安全工作。

篇（2）

一、網(wǎng)絡(luò)安全管理：我院的網(wǎng)絡(luò)分為互聯(lián)網(wǎng)和院內(nèi)局域網(wǎng)，兩網(wǎng)絡(luò)實(shí)現(xiàn)物理隔離，以確保兩網(wǎng)能夠獨(dú)立、安全、高效運(yùn)行。

重點(diǎn)抓好“三大安全”排查。

1.硬件安全，包括防雷、防火、防盜和UPS電源連接等。醫(yī)院HIS服務(wù)器機(jī)房嚴(yán)格按照機(jī)房標(biāo)準(zhǔn)建設(shè)，工作人員堅(jiān)持每天巡查，排除安全隱患。X光室、檢驗(yàn)室都有UPS電源保護(hù)，可以保證短時(shí)間斷電情況下，設(shè)備運(yùn)行正常，不至于因突然斷電致設(shè)備損壞。

2.網(wǎng)絡(luò)安全:包括網(wǎng)絡(luò)結(jié)構(gòu)、密碼管理、IP管理、互聯(lián)網(wǎng)行為管理等；網(wǎng)絡(luò)結(jié)構(gòu)包括網(wǎng)絡(luò)結(jié)構(gòu)合理，網(wǎng)絡(luò)連接的穩(wěn)定性，網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器、光纖收發(fā)器等）的穩(wěn)定性。HIS系統(tǒng)的操作員每人有自己的登錄名和密碼，并分配相應(yīng)的操作員權(quán)限，不得使用其他人的操作賬戶，賬戶施行“誰使用、誰管理、誰負(fù)責(zé)”的管理制度。疾病預(yù)防控制（含免疫規(guī)劃等）信息系統(tǒng)、婦幼健康信息系統(tǒng)都有專人負(fù)責(zé)操作，并簽訂安全承諾書。互聯(lián)網(wǎng)和院內(nèi)局域網(wǎng)均施行固定IP地址，由醫(yī)院統(tǒng)一分配、管理，不允許私自添加新IP。

二、數(shù)據(jù)庫(kù)安全管理：我院目前運(yùn)行的數(shù)據(jù)庫(kù)為HIS數(shù)據(jù)庫(kù)，是醫(yī)院診療、劃價(jià)、收費(fèi)、查詢、統(tǒng)計(jì)等各項(xiàng)業(yè)務(wù)能夠正常進(jìn)行的基礎(chǔ)，為確保醫(yī)院各項(xiàng)業(yè)務(wù)正常、高效運(yùn)行，數(shù)據(jù)庫(kù)安全管理是極為有必要的。

數(shù)據(jù)庫(kù)容災(zāi)備份是數(shù)據(jù)庫(kù)安全管理中極為重要的一部分，是數(shù)據(jù)庫(kù)有效、安全運(yùn)行的最后保障，也是保障數(shù)據(jù)庫(kù)信息能夠長(zhǎng)期保存的有效措施。我院采用的備份類型為完全備份，系統(tǒng)管理員手動(dòng)將數(shù)據(jù)庫(kù)中數(shù)據(jù)備份到移動(dòng)硬盤上。

三、軟件管理：目前我院在運(yùn)行的軟件主要分為三類：HIS系統(tǒng)、常用辦公軟件和殺毒軟件。

篇（3）

Research Into the Information Security Status Quo at Home and Abroad

Lin Lin

（Information Security Department of the Patent Office Beijing 100088）

【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis， for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect， standardization of information security system provides some reference opinions.

【 Keywords 】 information security； planning； specification； perfect； information system

1 引言

在當(dāng)今全球一體化的環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應(yīng)用。許多組織對(duì)其信息系統(tǒng)不斷增長(zhǎng)的依賴性，加上在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)、收益和機(jī)會(huì)，使得信息安全管理成為信息化管理越來越關(guān)鍵的一部分。面對(duì)越來越嚴(yán)峻的安全形勢(shì)，世界各國(guó)高度重視信息安全保障。2015年已然過半，在安全行業(yè)，不同規(guī)模的攻擊者，無論是技術(shù)還是組織都在快速提升。相比之下美國(guó)信息安全保障體系建設(shè)比較完善，信息保障已成為美軍組織實(shí)施信息化作戰(zhàn)的指導(dǎo)思想。

國(guó)際上信息安全標(biāo)準(zhǔn)化工作興起于20世紀(jì)70年代中期，80年代有了較快的發(fā)展，90年代引起了世界各國(guó)的普遍關(guān)注。目前世界上有近300個(gè)國(guó)際和區(qū)域性組織制定標(biāo)準(zhǔn)或技術(shù)規(guī)則，與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有幾個(gè)：ISO（國(guó)際標(biāo)準(zhǔn)化組織）、IEC（國(guó)際電工委員會(huì)）、ITU（國(guó)際電信聯(lián)盟）、IETF（Internet工程任務(wù)組）等。除了上述標(biāo)準(zhǔn)組織，世界各國(guó)的官方機(jī)構(gòu)和行業(yè)監(jiān)管機(jī)構(gòu)還有許多信息安全方面的標(biāo)準(zhǔn)、指引和建議的操作實(shí)踐。

2 國(guó)外IT新技術(shù)信息安全

隨著全球信息化浪潮的不斷推進(jìn)，信息技術(shù)正在經(jīng)歷一場(chǎng)新的革命，使社會(huì)經(jīng)濟(jì)生活各方面都發(fā)生著日新月異的變化。虛擬化、云計(jì)算、物聯(lián)網(wǎng)、IPv6等新技術(shù)、新應(yīng)用和新模式的出現(xiàn)，對(duì)信息安全提出了新的要求，拓展了信息安全產(chǎn)業(yè)的發(fā)展空間。同時(shí)，新技術(shù)、新應(yīng)用和新模式在國(guó)外市場(chǎng)的全面開拓將加快國(guó)外信息安全技術(shù)創(chuàng)新速度，催生云安全等新的信息安全應(yīng)用領(lǐng)域，為國(guó)外企業(yè)與國(guó)際同步發(fā)展提供了契機(jī)。

2.1 云計(jì)算

“云安全”是繼“云計(jì)算”、“云存儲(chǔ)”之后出現(xiàn)的“云”技術(shù)的重要應(yīng)用，已經(jīng)在反病毒軟件中取得了廣泛的應(yīng)用，發(fā)揮了良好的效果。在病毒與反病毒軟件的技術(shù)競(jìng)爭(zhēng)當(dāng)中為反病毒軟件奪得了先機(jī)。云安全聯(lián)盟CSA是在2009年的RSA大會(huì)上宣布成立的，云安全聯(lián)盟成立的目的是為了在云計(jì)算環(huán)境下提供最佳的安全方案。同時(shí)云安全聯(lián)盟列出了云計(jì)算的七大安全風(fēng)險(xiǎn)：（1）數(shù)據(jù)丟失/泄漏；（2）共享技術(shù)漏洞；（3）內(nèi)部控制；（4）賬戶、服務(wù)和通信劫持；（5）不安全的應(yīng)用程序接口；（6）沒有正確運(yùn)用云計(jì)算；（7）透明度問題。

2.2 虛擬化

咨詢公司Gartner將虛擬化技術(shù)列為2013年十大戰(zhàn)略技術(shù)第一位，而在2014年初預(yù)測(cè)中，更是大膽斷言到2015年20%的企業(yè)將不再擁有IT資產(chǎn)，因?yàn)槎鄠€(gè)內(nèi)在關(guān)聯(lián)的趨勢(shì)正在推動(dòng)企業(yè)去逐步減少IT硬件資產(chǎn)，這些趨勢(shì)主要是虛擬化、云計(jì)算服務(wù)等。而虛擬化技術(shù)，作為云計(jì)算的一個(gè)支撐技術(shù)，必將成為未來最重要的最值得研究的IT技術(shù)之一。雖然目前針對(duì)各組件安全的保護(hù)措施不少，但是從CVE的公告中可以看出安全威脅仍然存在。目前針對(duì)虛擬化環(huán)境的主要威脅有三類：逃逸威脅、流量分析與隱蔽信道以及Host OS與Guest OS之間的共享問題。

2.3 物聯(lián)網(wǎng)

物聯(lián)網(wǎng)和互聯(lián)網(wǎng)一樣，都是一把“雙刃劍”。物聯(lián)網(wǎng)是一種虛擬網(wǎng)絡(luò)與現(xiàn)實(shí)世界實(shí)時(shí)交互的新型系統(tǒng)，其特點(diǎn)是無處不在的數(shù)據(jù)感知、以無線為主的信息傳輸、智能化的信息處理。根據(jù)物聯(lián)網(wǎng)自身的特點(diǎn)，物聯(lián)網(wǎng)除了面對(duì)移動(dòng)通信網(wǎng)絡(luò)的傳統(tǒng)網(wǎng)絡(luò)安全問題之外，還存在著一些與已有移動(dòng)網(wǎng)絡(luò)安全不同的特殊安全問題。這是由于物聯(lián)網(wǎng)是由大量的機(jī)器構(gòu)成，缺少人對(duì)設(shè)備的有效監(jiān)控，并且數(shù)量龐大，設(shè)備集群等相關(guān)特點(diǎn)造成的，這些特殊的安全問題主要有幾個(gè)方面：（l）物聯(lián)網(wǎng)機(jī)器/感知節(jié)點(diǎn)的本地安全問題；（2）感知網(wǎng)絡(luò)的傳輸與信息安全問題；（3）核心網(wǎng)絡(luò)的傳輸與信息安全問題；（4）物聯(lián)網(wǎng)應(yīng)用的安全問題。

2.4 IPv6

為適應(yīng)Intemet的迅速發(fā)展及對(duì)網(wǎng)絡(luò)安全性的需要，由IETF（The Internet Engineer Task Force）建議制定的下一代網(wǎng)際協(xié)議（IPNextGeneration Protocol，IPng），又被稱為IP版本6（1Pv6），除了擴(kuò)展到128位地址來解決地址匱乏外，在網(wǎng)絡(luò)安全上也做了多項(xiàng)改進(jìn)，可以有效地提高網(wǎng)絡(luò)的安全性。

由于IPv6與IPv4網(wǎng)絡(luò)將會(huì)，網(wǎng)絡(luò)必然會(huì)同時(shí)存在兩者的安全問題，或由此產(chǎn)生新的安全漏洞。已經(jīng)發(fā)現(xiàn)從IPv4向IPv6轉(zhuǎn)移時(shí)出現(xiàn)的一些安全漏洞，例如黑客可以使用IPv6非法訪問采用了IPv4和IPv6兩種協(xié)議的LAN的網(wǎng)絡(luò)資源，攻擊者可以通過安裝了雙棧的使用IPv6的主機(jī)，建立由IPv6到IPv4的隧道，繞過防火墻對(duì)IPv4進(jìn)行攻擊。

3 國(guó)外信息安全發(fā)展趨勢(shì)

據(jù)Gartner分析，當(dāng)前國(guó)際大型企業(yè)在信息安全領(lǐng)域主要有幾個(gè)發(fā)展趨勢(shì)：（1） 信息安全投資從基礎(chǔ)架構(gòu)向應(yīng)用系統(tǒng)轉(zhuǎn)移；（2）信息安全的重心從技術(shù)向管理轉(zhuǎn)移；（3）信息安全管理與企業(yè)風(fēng)險(xiǎn)管理、內(nèi)控體系建設(shè)的結(jié)合日益緊密；（4）信息技術(shù)逐步向信息安全管理滲透。結(jié)合大型企業(yè)信息安全發(fā)展趨勢(shì)，國(guó)際各大咨詢公司、廠商等機(jī)構(gòu)紛紛提出了符合大型企業(yè)業(yè)務(wù)和信息化發(fā)展需要的信息安全體系架構(gòu)模型，著力建立全面的企業(yè)信息安全體系架構(gòu)，使企業(yè)的信息安全保護(hù)模式從較為單一的保護(hù)模式發(fā)展成為系統(tǒng)、全面的保護(hù)模式。

4 國(guó)外信息安全總結(jié)

信息安全在國(guó)外已經(jīng)上升到了國(guó)家戰(zhàn)略層次，國(guó)外的信息安全總體發(fā)展領(lǐng)先于國(guó)內(nèi)，特別是歐美，研究國(guó)外的信息安全現(xiàn)狀有助于我國(guó)的信息安全規(guī)劃。國(guó)外的主流的信息安全體系框架較多，都有其適用范圍和缺點(diǎn)，并不完全符合我國(guó)現(xiàn)狀，可選取框架的先進(jìn)理念和組成部分為我國(guó)所用，如IATF的縱深防御理念和分層分區(qū)理念、ISO27000的信息安全管理模型、IBM的安全治理模塊等。

5 國(guó)內(nèi)信息安全綜述

目前，國(guó)家開始高度重視信息安全問題，以等級(jí)保護(hù)和分級(jí)保護(hù)工作為主要手段，加強(qiáng)我國(guó)企事業(yè)單位的信息安全保障水平。 目前我國(guó)信息于網(wǎng)絡(luò)安全的防護(hù)能力處于發(fā)展的初級(jí)階段，許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)，信息與網(wǎng)絡(luò)安全，目前處于忙于封堵現(xiàn)有信息系統(tǒng)的安全漏洞，要解決這 些迫在眉睫的問題，歸根結(jié)底取決于信息安全保障體系的建設(shè)。

6 國(guó)內(nèi)信息安全標(biāo)準(zhǔn)

國(guó)內(nèi)的安全標(biāo)準(zhǔn)組織主要有信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（CITS）、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)、公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)、國(guó)家保密局、國(guó)家密碼管理委員會(huì)等部門。

在信息安全標(biāo)準(zhǔn)方面，我國(guó)已了《信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議》、《信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施證書管理協(xié)議》等幾十項(xiàng)重要的國(guó)家信息安全基礎(chǔ)標(biāo)準(zhǔn)，初步形成了包括基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)和測(cè)評(píng)標(biāo)準(zhǔn)在內(nèi)的信息安全標(biāo)準(zhǔn)體系框架。

7 國(guó)內(nèi)IT新技術(shù)信息安全

7.1 云計(jì)算

目前我國(guó)的云計(jì)算應(yīng)用還處于初始階段，關(guān)注的重點(diǎn)是數(shù)據(jù)中心建設(shè)、虛擬化技術(shù)方面，因此，我國(guó)的云安全技術(shù)多數(shù)集中在虛擬化安全方面，對(duì)于云應(yīng)用的安全技術(shù)所涉及的還不多。雖然當(dāng)前眾多廠商提出了各種云安全解決方案，但云安全仍處于起步階段，除了可能發(fā)生的大規(guī)模計(jì)算資源的系統(tǒng)故障外，云計(jì)算安全隱患還包括缺乏統(tǒng)一的安全標(biāo)準(zhǔn)、適用法規(guī)、以及對(duì)于用戶的隱私保護(hù)、數(shù)據(jù)、遷移、傳輸安全、災(zāi)備等問題。

7.2 虛擬化

由于虛擬化技術(shù)能夠通過服務(wù)器整合而顯著降低投資成本，并通過構(gòu)建內(nèi)部云和外部云節(jié)省大量的運(yùn)營(yíng)成本，因此加速了虛擬化在全球范圍的普及與應(yīng)用。目前許多預(yù)測(cè)已經(jīng)成為現(xiàn)實(shí)：存儲(chǔ)虛擬化真正落地、高端應(yīng)用程序虛擬化漸成主流、網(wǎng)絡(luò)虛擬化逐漸普及、虛擬化數(shù)據(jù)中心朝著云計(jì)算的方向大步邁進(jìn)、管理工具比以往更加關(guān)注虛擬數(shù)據(jù)中心。在虛擬化技術(shù)應(yīng)用方面，企業(yè)桌面虛擬化、手機(jī)虛擬化、面向虛擬化的安全解決方案、虛擬化推動(dòng)綠色中心發(fā)展等領(lǐng)域也取得了長(zhǎng)足進(jìn)步，發(fā)展勢(shì)頭比之前預(yù)想的還要迅猛。

7.3 IPv6

我國(guó)IPv6標(biāo)準(zhǔn)整體上仍處于跟隨國(guó)際標(biāo)準(zhǔn)的地位，IPv6標(biāo)準(zhǔn)進(jìn)展與國(guó)際標(biāo)準(zhǔn)基本一致，在過渡類標(biāo)準(zhǔn)方面有所創(chuàng)新（如軟線技術(shù)標(biāo)準(zhǔn)和 IVI技術(shù)標(biāo)準(zhǔn)等），已進(jìn)入國(guó)際標(biāo)準(zhǔn)。中國(guó)運(yùn)營(yíng)企業(yè)在IPv6網(wǎng)絡(luò)的發(fā)展，奠定了中國(guó)在世界范圍內(nèi)IPv6領(lǐng)域的地位，積累了一定的運(yùn)營(yíng)經(jīng)驗(yàn)。但總體來看，我國(guó)IPv6運(yùn)營(yíng)業(yè)發(fā)展緩慢，主要體現(xiàn)在IPv6網(wǎng)絡(luò)集中在骨干網(wǎng)層面，向邊緣網(wǎng)絡(luò)延伸不足，難以為IPv6特色業(yè)務(wù)的開發(fā)和規(guī)模商用提供有效平臺(tái)。此外，由于運(yùn)營(yíng)企業(yè)積極申請(qǐng)IPv4地址，或采用私有地址，對(duì)于發(fā)展IPv6用戶并不積極，直接影響了其他產(chǎn)業(yè)環(huán)節(jié)的IPv6投入力度。

8 國(guó)內(nèi)信息安全發(fā)展趨勢(shì)

隨著信息技術(shù)的快速發(fā)展和廣泛應(yīng)用，基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全、信息資源安全以及個(gè)人信息安全等問題與日俱增，應(yīng)用安全日益受到關(guān)注，主動(dòng)防御技術(shù)成為信息安全技術(shù)發(fā)展的重點(diǎn)。

第一，向系統(tǒng)化、主動(dòng)防御方向發(fā)展。信息安全保障逐步由傳統(tǒng)的被動(dòng)防護(hù)轉(zhuǎn)向"監(jiān)測(cè)-響應(yīng)式"的主動(dòng)防御，產(chǎn)品功能集成化、系統(tǒng)化趨勢(shì)明顯，功能越來越豐富，性能不斷提高；產(chǎn)品問自適應(yīng)聯(lián)動(dòng)防護(hù)、綜合防御水平不斷提高。

第二，向網(wǎng)絡(luò)化、智能化方向發(fā)展。計(jì)算技術(shù)的重心從計(jì)算機(jī)轉(zhuǎn)向互聯(lián)網(wǎng)，互聯(lián)網(wǎng)正在逐步成為軟件開發(fā)、部署、運(yùn)行和服務(wù)的平臺(tái)，對(duì)高效防范和綜合治理的要求日益提高，信息安全產(chǎn)品向網(wǎng)絡(luò)化、智能化方向發(fā)展。網(wǎng)絡(luò)身份認(rèn)證、安全智能技術(shù)、新型密碼算法等信息安全技術(shù)日益受到重視。

第三，向服務(wù)化方向發(fā)展。信息安全內(nèi)容正從技術(shù)、產(chǎn)品主導(dǎo)向技術(shù)、產(chǎn)品、服務(wù)并重調(diào)整，安全服務(wù)逐步成為發(fā)展重點(diǎn)。

9 國(guó)內(nèi)信息安全總結(jié)

國(guó)內(nèi)的信息安全較國(guó)外有一定距離，不過也正在快速趕上，國(guó)內(nèi)現(xiàn)在以等級(jí)保護(hù)體系和分級(jí)保護(hù)體系為主要手段，以保護(hù)重點(diǎn)為特點(diǎn)，強(qiáng)制實(shí)施以提高對(duì)重點(diǎn)系統(tǒng)和設(shè)施的信息安全保障水平，國(guó)內(nèi)的信息安全標(biāo)準(zhǔn)通過引進(jìn)和消化也已經(jīng)初步成了體系，我國(guó)在規(guī)劃時(shí)，需考慮合規(guī)因素，如等級(jí)保護(hù)和分級(jí)保護(hù)。國(guó)內(nèi)的信息安全體系框架較少，主要是等級(jí)保護(hù)和分級(jí)保護(hù)，也有國(guó)內(nèi)專家個(gè)人推崇的框架，總體來講，以合規(guī)為主要目的。

參考資料

[1] 中華人民共和國(guó)國(guó)務(wù)院.中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例.1994.

[2] 公安部，國(guó)家保密局，國(guó)家密碼管理局，國(guó)務(wù)院信息化工作辦公室.信息安全等級(jí)保護(hù)管理辦法.2007.

[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.

[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.

[5] Trustwave .2012 Global Security Report，2012.

篇（4）

近年來，在互聯(lián)網(wǎng)內(nèi)容不斷革新的新形勢(shì)下，網(wǎng)絡(luò)安全委員會(huì)始終認(rèn)真貫徹落實(shí)各項(xiàng)法律法規(guī)的相關(guān)要求，結(jié)合實(shí)際情況，不斷完善網(wǎng)絡(luò)安全工作機(jī)制，提高基礎(chǔ)管理和專業(yè)隊(duì)伍技能水平，同時(shí)積極開展網(wǎng)絡(luò)安全知識(shí)技能宣傳和普及，努力提高安全管控能力，切實(shí)保障綠色、健康的互聯(lián)網(wǎng)接入環(huán)境。現(xiàn)將2019年重點(diǎn)工作匯總?cè)缦拢?/p>

1. 強(qiáng)化組織建設(shè)，堅(jiān)決打擊違規(guī)網(wǎng)站及違法犯罪行為

過去的一年，網(wǎng)絡(luò)安全工作委員會(huì)帶頭強(qiáng)化自身組織建設(shè)，完善內(nèi)部管理制度與規(guī)范；對(duì)有關(guān)單位接入網(wǎng)站的備案信息積極核查，緊緊圍繞違法犯罪內(nèi)容進(jìn)行監(jiān)督管理，及時(shí)接收并處理違法和不良信息舉報(bào)，并積極協(xié)助執(zhí)法機(jī)關(guān)對(duì)涉案網(wǎng)站調(diào)查取證。2019年全年，清理違規(guī)網(wǎng)站16083個(gè)，涉及鏈接2946013條，協(xié)助執(zhí)法單位調(diào)查取證79起，有效處理不良信息舉報(bào)7965個(gè)。

2. 積極參與2019河南省互聯(lián)網(wǎng)大會(huì)、網(wǎng)絡(luò)安全競(jìng)賽等活動(dòng)

為加快科技創(chuàng)新，發(fā)展數(shù)字經(jīng)濟(jì)，助推實(shí)體經(jīng)濟(jì)與傳統(tǒng)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型，聚焦大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全、為互聯(lián)網(wǎng)發(fā)展保駕護(hù)航，網(wǎng)絡(luò)安全工作委員會(huì)積極參加2019河南省第六屆互聯(lián)網(wǎng)大會(huì)，并在主管部門領(lǐng)導(dǎo)的支持下參與承辦了“安全護(hù)航  數(shù)創(chuàng)未來”分會(huì)；分會(huì)場(chǎng)上特邀中國(guó)科學(xué)院計(jì)算技術(shù)研究所大數(shù)據(jù)研究院院長(zhǎng)王元卓、北京賽博英杰科技有限公司創(chuàng)始人兼董事長(zhǎng)譚曉生、沃通電子認(rèn)證服務(wù)有限公司 CTO王高華、阿里云華中大區(qū)安全總監(jiān)馬睿博、百度安全總經(jīng)理馬杰、中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)副理事長(zhǎng)杜躍進(jìn)等網(wǎng)絡(luò)安全領(lǐng)域?qū)＜壹皩W(xué)者，分別作《大數(shù)據(jù)驅(qū)動(dòng)數(shù)字經(jīng)濟(jì)》、《智能化安全運(yùn)營(yíng)，護(hù)航數(shù)字化未來》《解讀<密碼法>，數(shù)據(jù)加密保護(hù)是重點(diǎn)》《構(gòu)安全生態(tài)，建AI未來》《云安全應(yīng)用的新實(shí)踐》《大安全亟待升級(jí)》等主題演講，深度探討以云計(jì)算、大數(shù)據(jù)、人工智能、5G等新一代信息技術(shù)為核心，以新時(shí)期網(wǎng)絡(luò)安全為基石，助力企業(yè)數(shù)字化轉(zhuǎn)型，構(gòu)建并全力護(hù)航數(shù)字經(jīng)濟(jì)時(shí)代。

除此之外，網(wǎng)絡(luò)安全委員會(huì)始終重視并堅(jiān)持培養(yǎng)技術(shù)人才，2019年7月積極參加主管部門組織的網(wǎng)絡(luò)安全競(jìng)賽，并積極為賽場(chǎng)提供場(chǎng)地、設(shè)備及網(wǎng)絡(luò)環(huán)境等，以確保比賽的順利進(jìn)行。

3. 全力保障國(guó)家重要會(huì)議和活動(dòng)安保工作

網(wǎng)絡(luò)安全工作委員會(huì)積極開展安全教育學(xué)習(xí)工作，組織相關(guān)單位學(xué)習(xí)安全相關(guān)的法律法規(guī)，并開展考核。在2019年民族運(yùn)動(dòng)會(huì)和70周年大慶安保期間，及時(shí)將安保工作的目的、要求和內(nèi)容傳達(dá)到相關(guān)負(fù)責(zé)人，以確保安保工作的落地與執(zhí)行。除此之外，安保期間相關(guān)企業(yè)單位專設(shè)專人值班，實(shí)行7*24工作制度，并適時(shí)信息安全安保工作的通知，設(shè)置緊急信息接收、反饋與處理通道，第一時(shí)間接收上級(jí)主管單位的指令、處理并反饋；全力完成重點(diǎn)階段的安全保障工作。

二、目前存在的問題和建議

網(wǎng)民的網(wǎng)絡(luò)安全技能仍需提高

自《網(wǎng)絡(luò)安全法》普及以來，明顯感覺到網(wǎng)民的網(wǎng)絡(luò)安全意識(shí)有了顯著提升，但是有些用戶雖重視，但苦于未配置技術(shù)人員或技術(shù)人員能力達(dá)不到要求，導(dǎo)致即使知道網(wǎng)站存在安全隱患也不能及時(shí)得到解決。希望主管部門在宣傳安全意識(shí)的基礎(chǔ)上，增加一些基礎(chǔ)安全防范技能方面的內(nèi)容。

三、2020年工作設(shè)想

當(dāng)下，隨著《網(wǎng)絡(luò)安全法》的普及，網(wǎng)民對(duì)打擊網(wǎng)絡(luò)有害信息和不法行為的呼聲更為強(qiáng)烈,尤其是數(shù)據(jù)泄露、釣魚網(wǎng)站等詐騙事件的頻發(fā)，維護(hù)網(wǎng)絡(luò)安全已是迫在眉睫、刻不容緩。基于此，2020年將從以下幾個(gè)方面開展網(wǎng)絡(luò)安全工作：

1. 做好自我規(guī)范，加強(qiáng)組織溝通

委員會(huì)將繼續(xù)完善組織建設(shè)，通過組織會(huì)議、行業(yè)沙龍等形式為會(huì)員單位創(chuàng)造更多的交流機(jī)會(huì)，集中發(fā)揮各會(huì)員單位的優(yōu)勢(shì)，共同促進(jìn)我省互聯(lián)網(wǎng)行業(yè)健康，共同參與維護(hù)我省網(wǎng)絡(luò)安全。除此之外，委員會(huì)始終堅(jiān)持“堅(jiān)決打擊違規(guī)網(wǎng)站及違法犯罪行為”的決心，聯(lián)合各成員單位，對(duì)發(fā)現(xiàn)可疑線索及時(shí)上報(bào)主管部門，并積極協(xié)助其鎖定證據(jù)。

2. 堅(jiān)持投入，大力培養(yǎng)技術(shù)人才

2020年委員會(huì)將繼續(xù)強(qiáng)化網(wǎng)絡(luò)安全隊(duì)伍建設(shè)，完善網(wǎng)絡(luò)與信息安全專業(yè)的學(xué)習(xí)、培訓(xùn)及考核平臺(tái)；并積極組織相關(guān)單位參加各項(xiàng)網(wǎng)絡(luò)安全技能大賽，切實(shí)提升網(wǎng)絡(luò)安全保障能力和水平。

3. 做好重要時(shí)期的網(wǎng)絡(luò)安全保障工作

2020年，國(guó)家網(wǎng)絡(luò)安全宣傳周將在鄭州舉辦，網(wǎng)絡(luò)安全工作委員會(huì)將全力領(lǐng)導(dǎo)各相關(guān)單位各盡其責(zé)，充分發(fā)揮“警務(wù)室”等機(jī)構(gòu)在政企間的橋梁作用，共同為該活動(dòng)做好準(zhǔn)備工作，。

篇（5）

1引言

隨著科學(xué)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)信息技術(shù)更是在各大企業(yè)得以應(yīng)用。可以說信息技術(shù)是一把雙刃劍，在給企業(yè)帶來巨大利益的同時(shí)也帶來了很大的風(fēng)險(xiǎn)。而供電企業(yè)是國(guó)家的重要基礎(chǔ)設(shè)施的行業(yè)，它的安全更是關(guān)乎著整個(gè)國(guó)家的電力發(fā)展甚至說電力企業(yè)發(fā)生任何意外都會(huì)影響到我們整個(gè)國(guó)家的經(jīng)濟(jì)、國(guó)際地位等各方面的發(fā)展。因此說，供電企業(yè)的信息安全不容小覷。供電企業(yè)的信息安全隱患主要分為內(nèi)因和外因。供電企業(yè)在抵擋外來的信息侵略時(shí)會(huì)設(shè)置各種軟、硬件措施，這的確對(duì)于抵擋外來侵略起到了一定的作用。但是對(duì)于內(nèi)部來說這就毫無意義了。內(nèi)部信息安全得不到保障比外來侵略更加可怕。所以在處理供電企業(yè)的信息安全問題上一定要謹(jǐn)慎認(rèn)真。

2信息安全隱患

2.1信息安全的定義

信息安全總的來說是指信息在傳播過程中能夠不受外界的干擾，保證信息的安全、真實(shí)、可靠、保密以及完整性。并且能夠完好無損的傳輸?shù)侥康牡亍?/p>

2.2隱患的定義

隱患分為潛在隱患、動(dòng)態(tài)隱患、靜態(tài)隱患等各種，主要是指事故發(fā)生的原因。

2.3隱患的影響

有的隱患并不會(huì)造成很大的影響，這種隱患危險(xiǎn)性相對(duì)較低；有的隱患雖然不會(huì)導(dǎo)致很大的危險(xiǎn)發(fā)生，但是仍然會(huì)對(duì)企業(yè)造成一定的不良影響：還有的隱患就相對(duì)危險(xiǎn)了，會(huì)對(duì)企業(yè)造成相當(dāng)程度的損害，如果是信息安全得到破壞，企業(yè)的各種有效信息很有可能得到泄露；最為嚴(yán)重的一種就是會(huì)對(duì)企業(yè)造成不可挽回的嚴(yán)重破壞，甚至?xí)沟谜麄€(gè)企業(yè)系統(tǒng)癱瘓。

2.4信息安全隱患的形成

（1）通過對(duì)“物”的管理不善造成的各種影響：信息的傳播需要通信電路，而通信電路出現(xiàn)問題如果沒有及時(shí)發(fā)現(xiàn)并治理就會(huì)造成通信不便。在信息系統(tǒng)中不管是軟硬件的老化或者失效也會(huì)造成信息傳播不便。（2）通過對(duì)“人”的管理不善造成的各種影響：人是最難把握的一類高級(jí)生物，既然是人為操作就不可能一直不犯錯(cuò)誤。而網(wǎng)絡(luò)這個(gè)大系統(tǒng)又是由多方面的人員共同完成。在信息傳輸過程中，有些操作人員可能并沒有很清楚自身的操作能力，那么在操作過程中就會(huì)出現(xiàn)各種各樣的問題。

3關(guān)于信息安全隱患的排查

3.1排查的目的

隱患如果沒有及時(shí)消除就會(huì)造成很嚴(yán)重的后果，如果是輕度隱患造成的影響還相對(duì)小一些，但是如果是重度隱患就會(huì)造成無法挽回的后果。所以說，排查隱患的存在是非常有必要的。排查隱患的目的主要是在于能夠及早發(fā)現(xiàn)各種嚴(yán)重隱患，在關(guān)鍵部位重點(diǎn)關(guān)注，不讓檢查工作浮于表面，認(rèn)真負(fù)責(zé)信息安全的檢查。排查隱患的工作做好有利于企業(yè)提高自身網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。供電企業(yè)的信息安全排查的第一步做好了才有機(jī)會(huì)更好地完成后邊的步驟，有利于供電企業(yè)持續(xù)正常的為國(guó)家社會(huì)和人民服務(wù)。

3.2排查的范圍

排查分為終端、系統(tǒng)排查，設(shè)備、網(wǎng)絡(luò)排查，人員、管理排查。排查過程中更是要認(rèn)真仔細(xì)，決不能放過任何可疑的細(xì)節(jié)，要做到全面、細(xì)致。

4關(guān)于隱患的治理

4.1排查方法

信息安全不是兒戲，需要專業(yè)的知識(shí)來對(duì)安全隱患進(jìn)行排查。主要分為以下兩個(gè)方法：督查信息安全、排查信息隱患。我們重點(diǎn)來說一下督查信息安全。督查信息安全，顧名思義，就是對(duì)信息進(jìn)行監(jiān)督和檢查。主要分為日常監(jiān)督、專項(xiàng)監(jiān)督、年度監(jiān)督。

4.2排查流程

根據(jù)國(guó)家的法律法規(guī)，在對(duì)信息安全隱患進(jìn)行排查時(shí)，也要遵循一定的法規(guī)流程。信息安全的排查工作也是要由專業(yè)部門統(tǒng)一組織領(lǐng)導(dǎo)進(jìn)行。由專門的信息監(jiān)督人員、檢查人員進(jìn)行排查。由專門的技術(shù)人員對(duì)排查結(jié)果進(jìn)行分析總結(jié)并且分類整理所得到的信息。

4.3隱患的治理

（1）國(guó)家相關(guān)法律部門制定相應(yīng)的法律法規(guī)，對(duì)信息安全提出明確的保護(hù)方案和違反這一法規(guī)所會(huì)受到的處罰。并對(duì)破壞供電企業(yè)信息安全的行為高度重視，重點(diǎn)處置。（2）在隱患發(fā)生前有專業(yè)技術(shù)人員對(duì)各個(gè)方面進(jìn)行完美的檢查，并且制定出各種意外方案以備不時(shí)之需。（3）對(duì)于在信息傳播過程中由于設(shè)備問題所出現(xiàn)的問題要由專業(yè)的技術(shù)人員加以修正，而且在此之前，信息技術(shù)監(jiān)督小組成員應(yīng)當(dāng)提前預(yù)料到各種情況，這樣才能對(duì)在各種情況發(fā)生時(shí)臨危不亂。（4）定期檢查。不管是什么季節(jié)、什么時(shí)間都應(yīng)該有相關(guān)的技術(shù)人員對(duì)供電企業(yè)的各種信息、通信系統(tǒng)是否正常運(yùn)行進(jìn)行檢查維修。如有必要，還應(yīng)該開展各種演練活動(dòng)，提高值班人員的素質(zhì)和應(yīng)變能力。（5）加強(qiáng)培訓(xùn)。要對(duì)供電企業(yè)內(nèi)部人員進(jìn)行安全教育和技術(shù)培訓(xùn)，不僅提高理論水平還有實(shí)踐能力，加強(qiáng)安全意識(shí)。

5結(jié)束語

信息安全是現(xiàn)當(dāng)代各個(gè)企業(yè)必須面臨的重要問題，而供電企業(yè)作為國(guó)家的重點(diǎn)基礎(chǔ)設(shè)施企業(yè)更是要加以高度重視。信息安全不僅僅是信息部門的事情更是企業(yè)所有人的問題。供電企業(yè)要做到全員參與，制定更加合理的制度，不斷提高信息安全水平。

篇（6）

中圖分類號(hào)：TP393.08

中小企業(yè)是整個(gè)經(jīng)濟(jì)社會(huì)的主要組成部分，由于它依然在發(fā)展的初期過程中，因此中小企業(yè)并沒有更多的經(jīng)歷和資金投入到網(wǎng)絡(luò)信息技術(shù)的管理當(dāng)中。因?yàn)榫W(wǎng)絡(luò)信息安全給中小企業(yè)造成的困擾也不斷發(fā)生，實(shí)際上，在我國(guó)中小企業(yè)信息丟失的情況時(shí)有發(fā)生，我國(guó)不少報(bào)紙也在不斷呼吁中小企業(yè)增加企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理功能和投入。本文就中小企業(yè)所面臨的網(wǎng)絡(luò)安全問題進(jìn)行了分析。

1中小企業(yè)網(wǎng)絡(luò)安全問題

從當(dāng)前企業(yè)的內(nèi)外部網(wǎng)絡(luò)中，我們可以認(rèn)為企業(yè)內(nèi)部信息安全網(wǎng)絡(luò)體系需要所面臨的安全問題有如下內(nèi)容：

1.1外網(wǎng)信息安全

中小企業(yè)主要依靠快速獲得信息、快速轉(zhuǎn)型、快速提供各種解決方案而獲得訂單或資源。然而當(dāng)前快速信息的來源主要是從網(wǎng)絡(luò)中而來，因此互聯(lián)網(wǎng)的信息交流成為了中小企業(yè)發(fā)展的主要工具，而互聯(lián)網(wǎng)內(nèi)部的黑客攻擊、病毒傳播、垃圾郵件、蠕蟲攻擊等已經(jīng)成為威脅中小企業(yè)外網(wǎng)的主要內(nèi)容。

1.2內(nèi)網(wǎng)信息安全

在摒棄了外網(wǎng)威脅之外，企業(yè)的員工不少利用網(wǎng)絡(luò)處理私人事務(wù)，而對(duì)計(jì)算機(jī)進(jìn)行不當(dāng)使用，因而造成了企業(yè)網(wǎng)絡(luò)資源大量消耗，帶病毒的U盤、光盤等介質(zhì)在相互電腦之間傳播，間諜軟件在不斷復(fù)制企業(yè)的信息，這都使得不少企業(yè)內(nèi)部信息在網(wǎng)絡(luò)之間泄露給競(jìng)爭(zhēng)對(duì)手。

1.3企業(yè)內(nèi)部網(wǎng)絡(luò)之間信息安全

隨著中小企業(yè)的不斷壯大和發(fā)展，不少企業(yè)已經(jīng)形成了企業(yè)總部、分支機(jī)構(gòu)、移動(dòng)辦公人員、倉(cāng)儲(chǔ)人員都分開辦公的互動(dòng)運(yùn)營(yíng)模式，而在移動(dòng)辦公人員所使用的互聯(lián)網(wǎng)電腦之間的信息共享安全成為中小企業(yè)在成長(zhǎng)過程之中不得不考慮的問題。

2防范對(duì)策

企業(yè)的管理人員應(yīng)該知道，要真正防止中小企業(yè)網(wǎng)絡(luò)安全問題的發(fā)生是不可能的，這是因?yàn)殡S著網(wǎng)絡(luò)安全防護(hù)升級(jí)過程，黑客侵入、病毒感染、木馬傳送等技術(shù)也在不斷更新。因此要真正提升企業(yè)網(wǎng)絡(luò)安全更應(yīng)該從根本上進(jìn)行，即對(duì)企業(yè)出入口信息進(jìn)行嚴(yán)格控制和管理，對(duì)員工進(jìn)行管理和教育，并實(shí)時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞和安全問題檢查，及時(shí)提出相應(yīng)的安全評(píng)估風(fēng)險(xiǎn)，提出補(bǔ)救措施，并有效的防止黑客的入侵和病毒擴(kuò)散。具體而言要做到實(shí)施企業(yè)防火墻控制、入侵檢查防御、網(wǎng)絡(luò)安全漏洞修復(fù)、重要文件及內(nèi)部資料管理等方式。

2.1防火墻實(shí)施方案

企業(yè)應(yīng)當(dāng)從網(wǎng)絡(luò)的內(nèi)部考慮，對(duì)于企業(yè)內(nèi)外部使用合適的防火墻管理軟件，而本文所建議的防火墻軟件應(yīng)當(dāng)設(shè)置為兩臺(tái)防火墻，一臺(tái)防火墻對(duì)業(yè)務(wù)網(wǎng)與企業(yè)內(nèi)網(wǎng)進(jìn)行隔離，另一臺(tái)防火墻對(duì)Internet與企業(yè)內(nèi)網(wǎng)之間進(jìn)行隔離，其中DNS、郵件等對(duì)外服務(wù)器連接在防火墻的DMZ區(qū)與內(nèi)、外網(wǎng)間進(jìn)行隔離。

防火墻主要的功能在于保護(hù)整個(gè)網(wǎng)絡(luò)之間數(shù)據(jù)信息傳遞的交流安全，因?yàn)樗鼞?yīng)當(dāng)設(shè)置的安全過濾權(quán)限為：對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源目的/目標(biāo)地址之間的審核和管理，嚴(yán)格審核外網(wǎng)用戶的非法登錄，限制和記錄外網(wǎng)用戶的數(shù)據(jù)包傳遞。及時(shí)防范外部的服務(wù)攻擊，定期檢測(cè)和查看防火墻的訪問日志，對(duì)防火墻管理人員的嚴(yán)格控制。

防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。

2.2入侵檢測(cè)方案

在核心交換機(jī)監(jiān)控端口部署CA入侵檢測(cè)系統(tǒng)(eTrust Intrusion Detection)，并在不同網(wǎng)段(本地或遠(yuǎn)程)上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測(cè)，對(duì)網(wǎng)絡(luò)入侵進(jìn)行檢測(cè)和響應(yīng)。

入侵檢測(cè)系統(tǒng)實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，以動(dòng)態(tài)圖形方式展現(xiàn)出來，使管理員能夠時(shí)刻掌握當(dāng)前內(nèi)外網(wǎng)之間正在進(jìn)行的連接和訪問情況；運(yùn)用協(xié)議分析和模式匹配方法，可以有效地識(shí)別各種網(wǎng)絡(luò)攻擊和異常現(xiàn)象，如拒絕服務(wù)攻擊，非授權(quán)訪問嘗試，預(yù)攻擊探測(cè)等；當(dāng)攻擊發(fā)生時(shí)，可根據(jù)管理員的配置以多種方式發(fā)出實(shí)時(shí)報(bào)警；對(duì)于嚴(yán)重的網(wǎng)絡(luò)入侵事件，也可由入侵檢測(cè)引擎直接發(fā)出阻斷信號(hào)切斷發(fā)生攻擊的連接，還可以動(dòng)態(tài)地調(diào)整防火墻的防護(hù)策略，使得防火墻成為一個(gè)動(dòng)態(tài)的智能的防護(hù)體系。

2.3網(wǎng)絡(luò)安全漏洞

不少企業(yè)內(nèi)部為了便于交流，紛紛架設(shè)了WWW、郵件、視頻服務(wù)器，而其中最重要的是企業(yè)內(nèi)部的財(cái)務(wù)系統(tǒng)服務(wù)器，對(duì)于管理人員而言，無法及時(shí)有效的了解每個(gè)服務(wù)器之間和網(wǎng)絡(luò)內(nèi)部的安全缺陷和漏洞管理，因此使用漏洞掃描和及時(shí)修復(fù)漏洞、對(duì)當(dāng)前漏洞進(jìn)行分析和評(píng)估工作，成為增強(qiáng)網(wǎng)絡(luò)安全性的主要方法。

2.4重要文件及內(nèi)部資料管理

對(duì)于中小型企業(yè)定期進(jìn)行重要資料的管理和備份是很有必要的，這能夠防止企業(yè)內(nèi)部數(shù)據(jù)因?yàn)楦鞣N軟硬件故障、病毒侵襲和黑客破壞而導(dǎo)致整個(gè)系統(tǒng)資源崩潰造成重大的損失。因此中小企業(yè)應(yīng)當(dāng)積極的選用各種功能完善，使用靈活的備份軟件進(jìn)行資源的備份和恢復(fù)，全面的保護(hù)數(shù)據(jù)的安全。

在服務(wù)器、企業(yè)內(nèi)部機(jī)子在運(yùn)行重要數(shù)據(jù)時(shí)，要實(shí)時(shí)動(dòng)態(tài)加密，自覺的對(duì)各種文件進(jìn)行分級(jí)、分類管理、特別對(duì)重要的系統(tǒng)文件、重要的可執(zhí)行文件進(jìn)行寫保護(hù)、并使用安全有效的數(shù)據(jù)存儲(chǔ)、備份及時(shí)，必要時(shí)采用物理或邏輯隔離措施來保證信息資源的安全和穩(wěn)定。

3總結(jié)

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，極大地改變了人們的生活方式，中小企業(yè)在享受網(wǎng)絡(luò)技術(shù)帶來好處的同時(shí)，也面臨著日益突出的安全問題。筆者針對(duì)昆明市某普洱茶城在分布模式下制定的安全防護(hù)策略，探討了中小企業(yè)的網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全防護(hù)是一個(gè)綜合性的工程，無論采取何種措施，安全總是相對(duì)的，因而作為網(wǎng)絡(luò)安全管理員，應(yīng)隨網(wǎng)絡(luò)安全狀況及安全需求的變化，適度的調(diào)整安全策略，這樣才能做到有的放矢

參考文獻(xiàn)：

[1]張宏.網(wǎng)絡(luò)安全基礎(chǔ)[M].機(jī)械工業(yè)出版社,2004(1):21-24.

[2]Anne Carasik-Henmi等.防火墻核心技術(shù)精解[M].中國(guó)水利水電出版社,2005(1):10-14.

篇（7）

他們坦然面對(duì)記者說出了這背后的故事。

國(guó)稅總局在風(fēng)險(xiǎn)評(píng)估實(shí)踐中總結(jié)出的差距分析法

有句話是這么說的：道路是什么，道路是人在沒有路的地方用腳踩出來的。

人生的道路是這樣，信息安全之路也是這樣。當(dāng)安全威脅成為信息化進(jìn)程最大阻礙的時(shí)候，如何踩出一條網(wǎng)絡(luò)信息安全之路，就成為政府主管部門思考的問題。

2006年，為貫徹落實(shí)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào)文件)，形成與國(guó)際標(biāo)準(zhǔn)相銜接的中國(guó)特色的信息安全標(biāo)準(zhǔn)體系，以更好應(yīng)對(duì)未來日益嚴(yán)峻的信息安全威脅，國(guó)務(wù)院信息化工作辦公室會(huì)同相關(guān)部門，組織了三項(xiàng)信息安全試點(diǎn)，包括：電子政務(wù)信息安全試點(diǎn)、信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)、信息安全管理標(biāo)準(zhǔn)應(yīng)用試點(diǎn)。總共有三十余家試點(diǎn)單位參加了相關(guān)試點(diǎn)工作。

因?yàn)樯婕皣?guó)家信息安全未來標(biāo)準(zhǔn)和技術(shù)道路的探索，所有的試點(diǎn)單位一直都仿佛蒙上一層神秘的面紗。這些探索者究竟做了一些什么工作？它們的先行又為我國(guó)信息安全事業(yè)踏出什么樣的實(shí)踐之路？近日，在國(guó)信辦召開的全國(guó)地方信息安全處長(zhǎng)會(huì)議間歇，記者走近本次試點(diǎn)工作六個(gè)優(yōu)秀試點(diǎn)單位代表，揭開了一直罩在這些試點(diǎn)單位頭上那層神秘的面紗，看到了他們的努力和汗水，以及試點(diǎn)工作探*索出來的寶貴經(jīng)驗(yàn)。政務(wù)馳入安全互聯(lián)網(wǎng)模式

試點(diǎn)方向：電子政務(wù)信息安全

訪談人物：河南省濟(jì)源市信息辦副主任焦依平

電子政務(wù)是國(guó)家信息化的重中之重，而信息安全又是電子政務(wù)順利完成的重中之重。

為貫徹落實(shí)中辦發(fā)27號(hào)文件精神，研究解決電子政務(wù)信息安全建設(shè)和管理中的一些共性問題，探索電子政務(wù)信息安全保障方法，國(guó)信辦會(huì)同國(guó)家保密局、國(guó)家密碼管理局、公安部十一局，從2005年10月開始，在廣東、河南、天津、重慶4個(gè)省市開展了電子政務(wù)信息安全試點(diǎn)。

這4個(gè)試點(diǎn)具體方向各有不同，其中河南濟(jì)源市探索的方向是如何基于互聯(lián)網(wǎng)開展電子政務(wù)建設(shè)、保障信息安全問題。“我們按照‘保安全，促應(yīng)用’的思路，構(gòu)建了基于互聯(lián)網(wǎng)的電子政務(wù)信息安全保障體系，探索出了一條低成本建設(shè)電子政務(wù)的新路子。”焦依平現(xiàn)在談起試點(diǎn)，依然抑制不住激動(dòng)的心情。

焦依平介紹說，濟(jì)源市通信光纖現(xiàn)已覆蓋到村，政務(wù)部門全部接入了互聯(lián)網(wǎng)，但是統(tǒng)計(jì)下來，濟(jì)源市政務(wù)信息中部分總量不超過3%。如果僅為了3%的信息傳遞投入巨資建專網(wǎng)，顯然投入和效益不能平衡，這也與電子政務(wù)建設(shè)的初衷相違背。為此，濟(jì)源市按照國(guó)信辦和河南省信息辦的要求，不拉專線，完全基于互聯(lián)網(wǎng)，開展電子政務(wù)建設(shè)。

濟(jì)源市試點(diǎn)系統(tǒng)建設(shè)內(nèi)容包括以下幾項(xiàng)：一是基于互聯(lián)網(wǎng)建設(shè)連接全市所有黨政部門和鄉(xiāng)鎮(zhèn)的電子政務(wù)網(wǎng)絡(luò)；二是在互聯(lián)網(wǎng)上建設(shè)政務(wù)辦公、項(xiàng)目審批管理、12345便民熱線、新農(nóng)村信息服務(wù)等4個(gè)應(yīng)用系統(tǒng)；三是在進(jìn)行網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)的同時(shí)開展信息安全試點(diǎn)，建設(shè)基于互聯(lián)網(wǎng)電子政務(wù)信息安全支撐平臺(tái)。

那么，如何真正用技術(shù)實(shí)現(xiàn)政務(wù)網(wǎng)絡(luò)互聯(lián)網(wǎng)辦公的安全需求呢？焦依平介紹說，試點(diǎn)工程遵循信息安全系統(tǒng)工程思想，按照“適度安全，促進(jìn)應(yīng)用，綜合防范”的原則和等級(jí)保護(hù)的要求，采用集成創(chuàng)新的技術(shù)路線，綜合運(yùn)用以密碼為核心的信息安全技術(shù)，合理配置信息安全保密設(shè)備和安全策略，建設(shè)一個(gè)技術(shù)先進(jìn)、安全可靠的基于互聯(lián)網(wǎng)的電子政務(wù)信息安全支撐平臺(tái)，形成一體化的分級(jí)防護(hù)安全保障體系，為電子政務(wù)提供可靠、有效的安全保障。

從安全技術(shù)實(shí)現(xiàn)上，據(jù)焦依平介紹，濟(jì)源市試點(diǎn)工程的安全支撐平臺(tái)涉及網(wǎng)絡(luò)安全和應(yīng)用安全兩部分，本次試點(diǎn)網(wǎng)絡(luò)安全系統(tǒng)共建設(shè)7個(gè)安全子系統(tǒng)：一是VPN系統(tǒng)，由VPN密碼機(jī)、VPN客戶端和VPN管理系統(tǒng)組成，共同完成域間安全互聯(lián)、移動(dòng)安全接入、用戶接入控制與網(wǎng)絡(luò)邊界安全等功能，其中中心機(jī)房的VPN密碼機(jī)帶有防火墻功能；二是統(tǒng)一身份認(rèn)證與授權(quán)管理系統(tǒng)，完成用戶統(tǒng)一身份認(rèn)證、授權(quán)管理等功能；三是網(wǎng)絡(luò)防病毒系統(tǒng)，部署于安全服務(wù)區(qū)，完成網(wǎng)絡(luò)防病毒功能；四是網(wǎng)頁(yè)防篡改系統(tǒng)，部署于政府網(wǎng)站，提供網(wǎng)站立即恢復(fù)的手段和功能；五是入侵檢測(cè)系統(tǒng)，部署于中心交換機(jī)，對(duì)網(wǎng)絡(luò)入侵事件進(jìn)行主動(dòng)防御；六是網(wǎng)絡(luò)審計(jì)系統(tǒng)部署于中心交換機(jī)，對(duì)網(wǎng)絡(luò)事件進(jìn)行記錄，方便事后追蹤；七是桌面安全防護(hù)系統(tǒng)，部署在用戶終端，提供網(wǎng)絡(luò)防護(hù)、病毒防護(hù)、存儲(chǔ)安全、郵件安全等一體化的終端安全保護(hù)。

對(duì)于目前試點(diǎn)效果，焦依平認(rèn)為，從實(shí)際效果來說，一是低成本建設(shè)了安全的政務(wù)網(wǎng)絡(luò)，實(shí)際投入620萬元，比原計(jì)劃專網(wǎng)方式預(yù)算總投資節(jié)約48.3%；二是實(shí)現(xiàn)了安全政務(wù)辦公和可信政務(wù)服務(wù)，全市各部門已100%實(shí)現(xiàn)了安全互聯(lián)，網(wǎng)絡(luò)可達(dá)鄉(xiāng)鎮(zhèn)，試點(diǎn)村；三是實(shí)現(xiàn)了安全的移動(dòng)辦公，打破了電子政務(wù)應(yīng)用只能在本地訪問的局限。而從長(zhǎng)遠(yuǎn)來講，濟(jì)源市已經(jīng)初步建成安全、開放、實(shí)用的全面基于互聯(lián)網(wǎng)的電子政務(wù)系統(tǒng)。

電子政務(wù)內(nèi)外互通

試點(diǎn)方向：電子政務(wù)信息安全

訪談人物：廣東省信息中心副主任曾強(qiáng)

目前，妨礙電子政務(wù)系統(tǒng)互聯(lián)互通的主要原因就是由此帶來的信息安全問題。跟濟(jì)源市試點(diǎn)方向不同，廣東省的試點(diǎn)方向主要是通過等級(jí)保護(hù)，探索解決省、市、縣(區(qū))電子政務(wù)系統(tǒng)的信息共享與互聯(lián)互通問題。曾強(qiáng)介紹說，面對(duì)國(guó)信辦試點(diǎn)布置的這個(gè)大命題，廣東省將試點(diǎn)命題細(xì)化成以下幾個(gè)方面：由廣東省民政廳及東莞、深圳兩市民政局以及地下救助站完成民政4個(gè)業(yè)務(wù)系統(tǒng)縱向互聯(lián)互通試點(diǎn)；由省政府辦公廳完成視頻會(huì)議系統(tǒng)省府門戶網(wǎng)站試點(diǎn)；由佛山市政府完成財(cái)稅庫(kù)銀互聯(lián)互通系統(tǒng)試點(diǎn)；由江門市政府完成開放互聯(lián)環(huán)境下的信息安全解決方案試點(diǎn)；由佛山市南海區(qū)政府完成大社保6個(gè)分系統(tǒng)橫向互聯(lián)互通試點(diǎn)。

關(guān)于如何解決在不同的電子政務(wù)系統(tǒng)之間，安全實(shí)現(xiàn)互聯(lián)互通以及資源共享問題，曾強(qiáng)介紹說，試點(diǎn)工作中，廣東省綜合運(yùn)用等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估相結(jié)合的方法，確定了解決互聯(lián)互通問題的基本思路：一是明確系統(tǒng)的重要程度，確定系統(tǒng)安全等級(jí)，采取與系統(tǒng)安全等級(jí)相適應(yīng)的安全保護(hù)措施；二是按照有條件互聯(lián)、共享可控制的原則，確定需要共享的系統(tǒng)和應(yīng)用以及需要共享的數(shù)據(jù)，保證只共享那些確實(shí)需要共享的數(shù)據(jù)，以保護(hù)系統(tǒng)中原有信息的安全；三是在進(jìn)行系統(tǒng)互聯(lián)的部門之間建立共同的安全管理機(jī)制，明確系統(tǒng)互聯(lián)后的安全管理責(zé)任、管理邊界、安全事件協(xié)同處理等機(jī)制；四是對(duì)系統(tǒng)互聯(lián)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，全面分析低安全等級(jí)的系統(tǒng)給高安全等級(jí)的系統(tǒng)帶來的安全風(fēng)險(xiǎn)；五是針對(duì)系統(tǒng)互聯(lián)的安全風(fēng)險(xiǎn)，確定關(guān)鍵的安全控制要素，如互聯(lián)邊界的訪問控制、系統(tǒng)互聯(lián)的安全傳輸?shù)龋⒙鋵?shí)具體的安全措施，保障系統(tǒng)互聯(lián)、數(shù)據(jù)共享的安全。

在以上措施的執(zhí)行下，廣東省取得了初步成功，形成了《廣東省電子政務(wù)系統(tǒng)定級(jí)規(guī)范》、《廣東省電子政務(wù)系統(tǒng)互聯(lián)互通安全規(guī)范》等地方指導(dǎo)性文件。

風(fēng)險(xiǎn)規(guī)避預(yù)先保障

試點(diǎn)方向：信息安全風(fēng)險(xiǎn)評(píng)估

訪談人物：國(guó)家稅務(wù)總局處長(zhǎng)李建彬

上海市信息化委員會(huì)信息安全測(cè)評(píng)中心

總工程師應(yīng)力

信息網(wǎng)絡(luò)，風(fēng)險(xiǎn)無處不在，防患于未然是上上之策。這也是風(fēng)險(xiǎn)評(píng)估安全保障的內(nèi)涵所在。國(guó)信辦于2005年2月組織北京市、上海市、黑龍江省、云南省、中國(guó)人民銀行、國(guó)家稅務(wù)總局、國(guó)家電網(wǎng)公司、國(guó)家信息中心等地方和部門開展信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作。

國(guó)家稅務(wù)總局在廣東地稅南海數(shù)據(jù)中心所進(jìn)行的風(fēng)險(xiǎn)評(píng)估試點(diǎn)，最大的亮點(diǎn)就是具有創(chuàng)新精神的“差距分析法”。

李建彬在介紹廣東南海試點(diǎn)經(jīng)驗(yàn)時(shí)，將差距分析法用一句話概括，就是“通過找出安全目標(biāo)與現(xiàn)實(shí)系統(tǒng)差距，從而得出風(fēng)險(xiǎn)分析報(bào)告”。在試點(diǎn)工作中，李建彬感觸最深的就是，要對(duì)系統(tǒng)生命周期的整個(gè)過程都持續(xù)不斷地引入風(fēng)險(xiǎn)評(píng)估，盡量避免“先運(yùn)行，后評(píng)估”的亡羊補(bǔ)牢式工作流程，以降低信息系統(tǒng)整體的信息安全風(fēng)險(xiǎn)等級(jí)。此外，李建彬還提出在風(fēng)險(xiǎn)評(píng)估工作具體實(shí)施過程中必須重點(diǎn)考慮以下幾點(diǎn)：

首先是風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)有密切的關(guān)系。類別和級(jí)別都是信息系統(tǒng)的固有屬性，通過風(fēng)險(xiǎn)評(píng)估可以識(shí)別系統(tǒng)的類別和安全級(jí)別，從而落實(shí)“等級(jí)保護(hù)”這一國(guó)家政策。但是系統(tǒng)的安全級(jí)別不應(yīng)該一刀切，可考慮將系統(tǒng)最高安全級(jí)別部分的安全等級(jí)作為系統(tǒng)的安全等級(jí)。其次是系統(tǒng)分析是系統(tǒng)安全評(píng)估的基礎(chǔ)工作。再次是行業(yè)性系統(tǒng)安全要求在風(fēng)險(xiǎn)評(píng)估中起決定作用，不同行業(yè)的系統(tǒng)有著不同的安全要求，必須為不同行業(yè)、不同類型的系統(tǒng)制定適應(yīng)其特點(diǎn)的系統(tǒng)安全要求。最后，通過安全風(fēng)險(xiǎn)評(píng)估工作進(jìn)一步完善系統(tǒng)安全總體設(shè)計(jì)。

上海市在很早的時(shí)候就開始對(duì)風(fēng)險(xiǎn)評(píng)估進(jìn)行探索。2002年上海市就確立180家重點(diǎn)信息安全責(zé)任單位(2004年調(diào)整為163家)，涉及重要政府部門、公共事業(yè)單位、基礎(chǔ)網(wǎng)絡(luò)和涉及國(guó)計(jì)民生的重要信息系統(tǒng)。2006年，上海市了《上海市公共信息系統(tǒng)安全測(cè)評(píng)管理辦法》，又于2007年1月出臺(tái)了《上海市市級(jí)機(jī)關(guān)信息系統(tǒng)建設(shè)與管理指南》。之后，上海市信息委又出臺(tái)了關(guān)于風(fēng)險(xiǎn)評(píng)估工作的實(shí)施意見，明確建立自評(píng)估與檢查評(píng)估制度的原則、工作安排。

上海市信息安全測(cè)評(píng)中心總工程師應(yīng)力博士在介紹上海市的風(fēng)險(xiǎn)評(píng)估實(shí)踐經(jīng)驗(yàn)時(shí)，多次強(qiáng)調(diào)要引導(dǎo)各單位進(jìn)行自評(píng)估建設(shè)，讓信息安全風(fēng)險(xiǎn)評(píng)估成為政府及企事業(yè)信息安全建設(shè)的常態(tài)，在系統(tǒng)的設(shè)計(jì)階段、驗(yàn)收階段、運(yùn)行階段，都需要進(jìn)行風(fēng)險(xiǎn)評(píng)估工作，形成“預(yù)防為主，持續(xù)改進(jìn)”的風(fēng)險(xiǎn)評(píng)估機(jī)制。應(yīng)力認(rèn)為，對(duì)信息安全主管機(jī)關(guān)來說，風(fēng)險(xiǎn)評(píng)估是一種管理措施，通過風(fēng)險(xiǎn)評(píng)估，領(lǐng)導(dǎo)者可以了解信息系統(tǒng)的安全現(xiàn)狀，從而為管理決策提供依據(jù)。

信息安全重在管理

試點(diǎn)方向：信息安全管理標(biāo)準(zhǔn)應(yīng)用

訪談人物：北京市海淀區(qū)信息辦主任張澤根

深交所ISMS項(xiàng)目組張興東

有專家提出：“信息安全系統(tǒng)是三分技術(shù)，七分管理。”可見信息安全管理在整個(gè)信息安全保障體系中的重要性。

國(guó)信辦網(wǎng)絡(luò)與信息安全組與全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)共同于2006年3月開始，在北京市、上海市、國(guó)家稅務(wù)總局、中國(guó)證監(jiān)會(huì)和武漢鋼鐵(集團(tuán))公司選取了相關(guān)單位，對(duì)國(guó)際上通用的，也是已經(jīng)列入國(guó)家標(biāo)準(zhǔn)制、修訂計(jì)劃的兩個(gè)信息安全管理標(biāo)準(zhǔn)，即ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理使用規(guī)則》，組織了應(yīng)用試點(diǎn)。

北京市海淀區(qū)信息辦張澤根主任在具體介紹北京市海淀區(qū)信息安全管理體系實(shí)踐經(jīng)驗(yàn)時(shí)，感觸最深的就是在參考國(guó)際標(biāo)準(zhǔn)ISO/IEC27001和ISO/IEC17799的基礎(chǔ)上，結(jié)合海淀區(qū)原有ISO9001管理體系，取得了事半功倍的實(shí)際效果。通過ISMS的運(yùn)行實(shí)踐，海淀區(qū)信息辦建立了信息安全管理體系，為進(jìn)一步通過ISO/IEC27001認(rèn)證做了很好的準(zhǔn)備，同時(shí)還對(duì)ISMS與風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)的關(guān)系進(jìn)行了有益的探索。ISMS為解決海淀區(qū)信息安全問題，提供了良好的方法和管理機(jī)制，并且為政府的信息化建設(shè)通過避免安全事故和合理分配經(jīng)費(fèi)兩種方式很好地節(jié)約了建設(shè)經(jīng)費(fèi)。

篇（8）

在通信領(lǐng)域，信息安全尤為重要，它是通信安全的重要環(huán)節(jié)。在通信組織運(yùn)作時(shí)，信息安全是維護(hù)通信安全的重要內(nèi)容。通信涉及到我們生活的許多方面，小到人與人之間聯(lián)系的紐帶，大到國(guó)與國(guó)之間的信息交流。因此，研究信息安全和防護(hù)具有重要的現(xiàn)實(shí)意義。

一、通信運(yùn)用中加強(qiáng)信息安全和防護(hù)的必要性

1.1搞好信息安全防護(hù)是確保國(guó)家安全的重要前提

眾所周知，未來的社會(huì)是信息化的社會(huì)，網(wǎng)絡(luò)空間的爭(zhēng)奪尤其激烈。信息化成為國(guó)家之間競(jìng)爭(zhēng)的焦點(diǎn)，如果信息安全防護(hù)工作跟不上，一個(gè)國(guó)家可能面臨信息被竊、網(wǎng)絡(luò)被毀、指揮系統(tǒng)癱瘓、制信息權(quán)喪失的嚴(yán)重后果。因此，信息安全防護(hù)不僅是未來戰(zhàn)爭(zhēng)勝利的重要保障，而且將作為交戰(zhàn)雙方信息攻防的重要手段，貫穿戰(zhàn)爭(zhēng)的全過程。一旦信息安全出現(xiàn)問題，可能導(dǎo)致整個(gè)國(guó)家的經(jīng)濟(jì)癱瘓，戰(zhàn)爭(zhēng)和軍事領(lǐng)域是這樣，政治、經(jīng)濟(jì)、文化、科技等領(lǐng)域也不例外。信息安全關(guān)系到國(guó)家的生死存亡，關(guān)系到世界的安定和平。比如，美國(guó)加利弗尼亞州銀行協(xié)會(huì)的曾經(jīng)發(fā)出一份報(bào)告，稱如果該銀行的數(shù)據(jù)庫(kù)系統(tǒng)遭到網(wǎng)絡(luò)“黑客”的破壞，造成的后果將是致命的，3天就會(huì)影響加州的經(jīng)濟(jì)，5天就能波及全美經(jīng)濟(jì)，7天會(huì)使全世界經(jīng)濟(jì)遭受損失。鑒于信息安全如此重要，美國(guó)國(guó)家委員會(huì)早在2000年初的《國(guó)家安全戰(zhàn)備報(bào)告》里就強(qiáng)調(diào)：執(zhí)行國(guó)家安全政策時(shí)把信息安全放在重要位置。俄羅斯于2000年通過的《國(guó)家信息安全學(xué)說》，第一次把信息安全擺在戰(zhàn)略地位。并從理論和時(shí)間中加強(qiáng)信息安全的防護(hù)。近年來，我國(guó)也越來越重視信息安全問題，相關(guān)的研究層出不窮，為我國(guó)信息安全的發(fā)展奠定了基礎(chǔ)。

1.2我國(guó)信息安全面臨的形勢(shì)十分嚴(yán)峻

信息安全是國(guó)家安全的重要組成部分，它不僅體現(xiàn)在軍事信息安全上，同時(shí)也涉及到政治、經(jīng)濟(jì)、文化等各方面。當(dāng)今社會(huì)，由于國(guó)家活動(dòng)對(duì)信息和信息網(wǎng)絡(luò)的依賴性越來越大，所以一旦信息系統(tǒng)遭到破壞，就可能導(dǎo)致整個(gè)國(guó)家能源供應(yīng)的中斷、經(jīng)濟(jì)活動(dòng)的癱瘓、國(guó)防力量的削弱和社會(huì)秩序的混亂，其后果不堪設(shè)想。由于我國(guó)信息化起步較晚，目前信息化系統(tǒng)大多數(shù)還處在“不設(shè)防’，的狀態(tài)下，國(guó)防信息安全的形勢(shì)十分嚴(yán)峻。具體體現(xiàn)在以卜幾個(gè)方面：首先，全社會(huì)對(duì)信息安全的認(rèn)識(shí)還比較模糊。很多人對(duì)信息安全缺乏足夠的了解，對(duì)因忽視信息安全而可能造成的重大危害還認(rèn)識(shí)不足，信息安全觀念還十分淡薄。因此，在研究開發(fā)信息系統(tǒng)過程中對(duì)信息安全問題不夠重視，許多應(yīng)用系統(tǒng)處在不設(shè)防狀態(tài)，具有極大的風(fēng)險(xiǎn)性和危險(xiǎn)性。其次，我國(guó)的信息化系統(tǒng)還嚴(yán)重依賴大量的信息技術(shù)及設(shè)備極有可能對(duì)我國(guó)信息系統(tǒng)埋下不安全的隱患。無論是在計(jì)算機(jī)硬件上，還是在計(jì)算機(jī)軟件上，我國(guó)信息化系統(tǒng)的國(guó)產(chǎn)率還較低，而在引進(jìn)國(guó)外技術(shù)和設(shè)備的過程中，又缺乏必要的信息安全檢測(cè)和改造。再次，在軍事領(lǐng)域，通過網(wǎng)絡(luò)泄密的事故屢有發(fā)生，敵對(duì)勢(shì)力“黑客”攻擊對(duì)我軍事信息安全危害極大。最后，我國(guó)國(guó)家信息安全防護(hù)管理機(jī)構(gòu)缺乏權(quán)威，協(xié)調(diào)不夠，對(duì)信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割、相互隔離，管理混亂，缺乏與信息化進(jìn)程相一致的國(guó)家信息安全總體規(guī)劃，妨礙了信息安全管理的方針、原則和國(guó)家有關(guān)法規(guī)的貫徹執(zhí)行。

二、通信中存在的信息安全問題

2.1信息網(wǎng)絡(luò)安全意識(shí)有待加強(qiáng)

我國(guó)的信息在傳輸?shù)倪^程中，特別是軍事信息，由于存在擴(kuò)散和較為敏感的特征，有的人利用了這一特點(diǎn)采取種種手段截獲信息，以便了解和掌握對(duì)方的新措施。更有甚者，在信息網(wǎng)絡(luò)運(yùn)行管理和使用中，更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此，我們更要深層次地加強(qiáng)網(wǎng)絡(luò)安全方面的觀念，認(rèn)識(shí)到信息安全防護(hù)工作不僅僅是操作人員的“專利”，它更需要所有相關(guān)人員來共同防護(hù)。

2.2信息網(wǎng)絡(luò)安全核心技術(shù)貧乏  

目前，我國(guó)在信息安全技術(shù)領(lǐng)域自主知識(shí)產(chǎn)權(quán)產(chǎn)品少采用的基礎(chǔ)硬件操作系統(tǒng)和數(shù)據(jù)庫(kù)等系統(tǒng)軟件大部分依賴國(guó)外產(chǎn)品。有些設(shè)備更是拿來就用，忽略了一定的安全隱患。技術(shù)上的落后，使得設(shè)備受制于人。因此，我們要加大對(duì)信息網(wǎng)絡(luò)安全關(guān)鍵技術(shù)的研發(fā)，避免出現(xiàn)信息泄露的“后門”。

2.3信息網(wǎng)絡(luò)安全防護(hù)體系不完善

防護(hù)體系是系統(tǒng)頂層設(shè)計(jì)的一個(gè)重要組成部分，是保證各系統(tǒng)之間可集成、可互操作的關(guān)鍵。以前信息網(wǎng)絡(luò)安全防護(hù)主要是進(jìn)行一對(duì)一的攻防，技術(shù)單一。現(xiàn)代化的信息網(wǎng)絡(luò)安全防護(hù)體系已經(jīng)成為一個(gè)規(guī)模龐大、技術(shù)復(fù)雜、獨(dú)具特色的重要信息子系統(tǒng)，并擔(dān)負(fù)著網(wǎng)絡(luò)攻防對(duì)抗的重任。因此，現(xiàn)代化信息網(wǎng)絡(luò)安全防護(hù)體系的建立應(yīng)具有多效地安全防護(hù)機(jī)制、安全防護(hù)服務(wù)和相應(yīng)的安全防護(hù)管理措施等內(nèi)容。

2.4信息網(wǎng)絡(luò)安全管理人才缺乏 

高級(jí)系統(tǒng)管理人才缺乏，已成為影響我軍信息網(wǎng)絡(luò)安全防護(hù)的因素之一。信息網(wǎng)絡(luò)安全管理人才不僅要精通計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，還要熟悉安全技術(shù)。既要具有豐富的網(wǎng)絡(luò)工程建設(shè)經(jīng)驗(yàn)，又要具備管理知識(shí)。顯然，加大信息安全人才的培養(yǎng)任重而道遠(yuǎn)。

三、通信組織運(yùn)用中的網(wǎng)絡(luò)安全防護(hù)

網(wǎng)絡(luò)安全是通信系統(tǒng)安全的重要環(huán)節(jié)。保障通信組織的安全主要是保障網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全備受關(guān)注，如何防范病毒入侵、保護(hù)信息安全是人們關(guān)心的問題，筆者總結(jié)了幾點(diǎn)常用的防范措施，遵循這些措施可以降低風(fēng)險(xiǎn)發(fā)生的概率，進(jìn)而降低通信組織中信息安全事故發(fā)生的概率。

3.1數(shù)據(jù)備份

對(duì)重要信息資料要及時(shí)備份，或預(yù)存影像資料，保證資料的安全和完整。設(shè)置口令，定期更換，以防止人為因素導(dǎo)致重要資料的泄露和丟失。利用鏡像技術(shù)，在磁盤子系統(tǒng)中有兩個(gè)系統(tǒng)進(jìn)行同樣的工作，當(dāng)其中一個(gè)系統(tǒng)故障時(shí)，另一個(gè)系統(tǒng)仍然能正常工作。加密對(duì)網(wǎng)絡(luò)通信加密，以防止網(wǎng)絡(luò)被竊聽和截取，尤其是絕密文件更要加密處理，并定期更換密碼。另外，文件廢棄處理時(shí)對(duì)重要文件粉碎處理，并確保文件不可識(shí)別。

3.2防治病毒

保障信息系統(tǒng)安全的另一個(gè)重要措施是病毒防治。安裝殺毒軟件，定期檢查病毒。嚴(yán)格檢查引入的軟盤或下載的軟件和文檔的安全性，保證在使用前對(duì)軟盤進(jìn)行病毒檢查，殺毒軟件應(yīng)及時(shí)更新版本。一旦發(fā)現(xiàn)正在流行的病毒，要及時(shí)采取相應(yīng)的措施，保障信息資料的安全。

3.3提高物理安全

物理安全是保障網(wǎng)絡(luò)和信息系統(tǒng)安全的基本保障，機(jī)房的安全尤為重要，要嚴(yán)格監(jiān)管機(jī)房人員的出入，堅(jiān)決執(zhí)行出入管理制度，對(duì)機(jī)房工作人員要嚴(yán)格審查，做到專人專職、專職專責(zé)。另外，可以在機(jī)房安裝許多裝置以確保計(jì)算機(jī)和計(jì)算機(jī)設(shè)備的安全，例如用高強(qiáng)度電纜在計(jì)算機(jī)的機(jī)箱穿過。但是，所有其他裝置的安裝，都要確保不損害或者妨礙計(jì)算機(jī)的操作。

3.4安裝補(bǔ)丁軟件

為避免人為因素（如黑客攻擊）對(duì)計(jì)算機(jī)造成威脅，要及時(shí)安裝各種安全補(bǔ)丁程序，不要給入侵者以可乘之機(jī)。一旦系統(tǒng)存在安全漏洞，將會(huì)迅速傳播，若不及時(shí)修正，可能導(dǎo)致無法預(yù)料的結(jié)果。為了保障系統(tǒng)的安全運(yùn)行，可以及時(shí)關(guān)注一些大公司的網(wǎng)站上的系統(tǒng)安全漏洞說明，根據(jù)其附有的解決方法，及時(shí)安裝補(bǔ)丁軟件。用戶可以經(jīng)常訪問這些站點(diǎn)以獲取有用的信息。

3.5構(gòu)筑防火墻

構(gòu)筑系統(tǒng)防火墻是一種很有效的防御措施。防火墻是有經(jīng)驗(yàn)豐富的專業(yè)技術(shù)人員設(shè)置的，能阻止一般性病毒入侵系統(tǒng)。防火墻的不足之處是很難防止來自內(nèi)部的攻擊，也不能阻止惡意代碼的入侵，如病毒和特洛伊木馬。

四、加強(qiáng)通信運(yùn)用中的信息安全與防護(hù)的幾點(diǎn)建議

為了應(yīng)付信息安全所面臨的嚴(yán)峻挑戰(zhàn)，我們有必要從以下幾個(gè)方面著手，加強(qiáng)國(guó)防信息安全建設(shè)。

4.1要加強(qiáng)宣傳教育，切實(shí)增強(qiáng)全民的國(guó)防信息安全意識(shí)

在全社會(huì)范圍內(nèi)普及信息安全知識(shí)，樹立敵情觀念、紀(jì)律觀念和法制觀念，強(qiáng)化社會(huì)各界的信息安全意識(shí)，營(yíng)造一個(gè)良好的信息安全防護(hù)環(huán)境。各級(jí)領(lǐng)導(dǎo)要充分認(rèn)識(shí)自己在信息安全防護(hù)工作中的重大責(zé)仟‘一方而要經(jīng)常分析新形勢(shì)卜信息安全工作形勢(shì)，自覺針對(duì)存在的薄弱環(huán)節(jié)，采取各種措施，把這項(xiàng)工作做好；另一方面要結(jié)合工作實(shí)際，進(jìn)行以安全防護(hù)知識(shí)、理論、技術(shù)以及有關(guān)法規(guī)為內(nèi)容的自我學(xué)習(xí)和教育。

4.2要建立完備的信息安全法律法規(guī)

信息安全需要建立完備的法律法規(guī)保護(hù)。自國(guó)家《保密法》頒布實(shí)施以來，我國(guó)先后制定和頒布了《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī)，但從整體上看，我國(guó)信息安全法規(guī)建設(shè)尚處在起步階段，層次不高，具備完整性、適用性和針對(duì)性的信息安全法律體系尚未完全形成。因此，我們應(yīng)當(dāng)加快信息安全有關(guān)法律法規(guī)的研究，及早建立我國(guó)信息安全法律法規(guī)體系。

4.3要加強(qiáng)信息管理

要成立國(guó)家信息安全機(jī)構(gòu)，研究確立國(guó)家信息安全的重大決策，制定和國(guó)家信息安全政策。在此基礎(chǔ)上，成立地方各部門的信息安全管理機(jī)構(gòu)，建立相應(yīng)的信息安全管理制度，對(duì)其所屬地區(qū)和部門內(nèi)的信息安全實(shí)行統(tǒng)一管理。

4.4要加強(qiáng)信息安全技術(shù)開發(fā)，提高信息安全防護(hù)技術(shù)水平

沒有先進(jìn)、有效的信息安全技術(shù)，國(guó)家信息安全就是一句空話。因此，我們必須借鑒國(guó)外先進(jìn)技術(shù)，自主進(jìn)行信息安全關(guān)鍵技術(shù)的研發(fā)和運(yùn)用。大力發(fā)展防火墻技術(shù)，開發(fā)出高度安全性、高度透明性和高度網(wǎng)絡(luò)化的國(guó)產(chǎn)自主知識(shí)產(chǎn)權(quán)的防火墻。積極發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)病毒防治技術(shù)，加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全管理，為保護(hù)國(guó)家信息安全打卜一個(gè)良好的基礎(chǔ)。

4.5加強(qiáng)計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范加強(qiáng)網(wǎng)絡(luò)安全防范是風(fēng)險(xiǎn)防范的重要環(huán)節(jié)

首先，可以采取更新技術(shù)、更新設(shè)備的方式。并且要加強(qiáng)工作人員風(fēng)險(xiǎn)意識(shí)，加大網(wǎng)絡(luò)安全教育的投入。其次，重要數(shù)據(jù)和信息要及時(shí)備份，也可采用影像技術(shù)提高資料的完整性。第三，及時(shí)更新殺毒軟件版本，殺毒軟件可將部分病毒拒之門外，殺毒軟件更新提高了防御病毒攻擊的能力。第五，對(duì)重要信息采取加密技術(shù)，密碼設(shè)置應(yīng)包含數(shù)字、字母和其他字符。加密處理可以防止內(nèi)部信息在網(wǎng)絡(luò)上被非授權(quán)用戶攔截。第六，嚴(yán)格執(zhí)行權(quán)限控制，做好信息安全管理工作。“三分技術(shù)，七分管理”，可見信息安全管理在預(yù)防風(fēng)險(xiǎn)時(shí)的重要性，只有加強(qiáng)監(jiān)管和管理，才能使信息安全更上一個(gè)臺(tái)階。

4.6建立和完善計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)防范的管理制度

建立完善的防范風(fēng)險(xiǎn)的制度是預(yù)防風(fēng)險(xiǎn)的基礎(chǔ)，是進(jìn)行信息安全管理和防護(hù)的標(biāo)準(zhǔn)。首先，要高度重視安全問題。隨著信息技術(shù)的發(fā)展，攻擊者的攻擊手段也在不斷進(jìn)化，面對(duì)高智商的入侵者，我們必須不惜投入大量人力、物力、財(cái)力來研究和防范風(fēng)險(xiǎn)。在研究安全技術(shù)和防范風(fēng)險(xiǎn)的策略時(shí)，可以借鑒國(guó)外相關(guān)研究，尤其是一些發(fā)達(dá)國(guó)家，他們信息技術(shù)起步早，風(fēng)險(xiǎn)評(píng)估研究也很成熟，我們可以借鑒他們的管理措施，結(jié)合我們的實(shí)際，應(yīng)用到風(fēng)險(xiǎn)防范中，形成風(fēng)險(xiǎn)管理制度，嚴(yán)格執(zhí)行。

篇（9）

童瀛遇到的最新的網(wǎng)絡(luò)犯罪方法是利用微信紅包賭博，最新的應(yīng)用是阿里的花唄，通過大量盜取支付寶用戶賬戶，幫助該賬戶提升信用，再利用信用惡意套取現(xiàn)金。

 

網(wǎng)絡(luò)犯罪呈現(xiàn)隱密性強(qiáng)、復(fù)雜性強(qiáng)、國(guó)際化趨勢(shì)等特點(diǎn)。然而，網(wǎng)絡(luò)犯罪的危害性遠(yuǎn)比一般的犯罪危害程度更大、更廣泛。以盜竊為例，一般盜竊案涉案的金額主要是現(xiàn)金，最多達(dá)到幾十萬、幾百萬元的水平。而童瀛近期遇到的2個(gè)江蘇網(wǎng)絡(luò)詐騙案的涉案金額則達(dá)到1200萬和1300萬元。

 

DDoS攻擊(分布式拒絕服務(wù)攻擊)是比較常見的網(wǎng)絡(luò)犯罪攻擊方式。據(jù)統(tǒng)計(jì)，大約有50%的在線游戲公司和700A的商業(yè)公司遭受過DDoS攻擊;政府部門的情況更為嚴(yán)重，80%都曾遭受過DDoS攻擊。

 

童瀛指出，DDoS攻擊一般分為3個(gè)階段。第一階段是僵尸網(wǎng)絡(luò)，第二階段是反射攻擊，第三階段是智能、物聯(lián)網(wǎng)設(shè)備。1998年，DDoS攻擊主要來源于技術(shù)炫耀者;2003年，進(jìn)入黑吃黑階段;2008年，DDoS攻擊組織開始統(tǒng)一市場(chǎng)，向上發(fā)展，公安部還曾組織專項(xiàng)打擊行動(dòng);2010年以來，DDoS攻擊呈現(xiàn)全面蔓延的態(tài)勢(shì)。

 

童瀛總結(jié)DDoS攻擊的目的主要是行業(yè)競(jìng)爭(zhēng)、敲詐性勒索和惡意報(bào)復(fù)。2014年11月，南通市多家網(wǎng)吧遭受DDoS攻擊，就是敲詐性勒索。今年3月，蘇州蝸牛公司遭遇的DDoS攻擊，則是惡意報(bào)復(fù)。

 

童瀛表示，作為黑客有高額金錢回報(bào)、網(wǎng)絡(luò)犯罪成本低的特性，很容易導(dǎo)致網(wǎng)絡(luò)犯罪。然而，網(wǎng)絡(luò)犯罪所需要受到的法律制裁后果也很嚴(yán)重。據(jù)了解，目前，我國(guó)法律所界定的網(wǎng)絡(luò)犯罪主要有3種，包括非法侵入計(jì)算機(jī)系統(tǒng)罪、破壞計(jì)算機(jī)信息系統(tǒng)罪、利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施的犯罪(例如網(wǎng)絡(luò)傳銷等)。

 

一般情況下，只要利用網(wǎng)絡(luò)違法所得的金額在5000元、癱瘓1萬名網(wǎng)絡(luò)用戶1個(gè)小時(shí)以上的時(shí)間、非法控制了20臺(tái)以上的電腦，公安部門就可以立案。 而按照我國(guó)刑法286條第1款的規(guī)定，違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處5年以下有期徒刑或者拘役;后果特別嚴(yán)重的，處5年以上有期徒刑。

 

因此，童瀛建議，網(wǎng)安人員在網(wǎng)絡(luò)安全的道路上不要走偏，不要陷入犯罪的漩渦;中小企業(yè)要健全應(yīng)急響應(yīng)機(jī)制，盡可能多留存日志，如果遭受攻擊，最好的應(yīng)對(duì)方法是報(bào)警;涉網(wǎng)單位要盡量提高自身的安全;普通網(wǎng)民盡量不要上非法網(wǎng)站，并從官方網(wǎng)站下載相應(yīng)軟件。如何保證P2P金融安全

 

自從余額寶推出之后，各個(gè)“寶寶”都開始涌現(xiàn)，金融行業(yè)在互聯(lián)網(wǎng)上得到了迅速的發(fā)展，開啟了互聯(lián)網(wǎng)金融時(shí)代。其中，P2P金融作為把投資者、借貸者拉在一起的平臺(tái)和渠道，由于其15%左右的平均投資回報(bào)率受眾多投資者追捧。 然而，作為創(chuàng)新的互聯(lián)網(wǎng)+模式，P2P金融也面臨著雙重的常見風(fēng)險(xiǎn)，既有來自互聯(lián)網(wǎng)的風(fēng)險(xiǎn)，也有來自金融業(yè)的風(fēng)險(xiǎn)。“白帽子大會(huì)”上，萬達(dá)電商安全主任工程師林鵬深度解析了如何保證P2P金融安全。

 

NSTRT團(tuán)隊(duì)收集了在2014年互聯(lián)網(wǎng)金融行業(yè)中的134份安全漏洞報(bào)告，其中來自業(yè)務(wù)設(shè)計(jì)缺陷的漏洞占主要比例，達(dá)到27%。而P2P的業(yè)務(wù)流程，一般包括注冊(cè)、綁卡、充值、購(gòu)買理財(cái)、回收資金等步驟。 在注冊(cè)環(huán)節(jié)，羊毛黨擼羊毛(活躍在各P2P平臺(tái)上，專門參加注冊(cè)送積分、返現(xiàn)等優(yōu)惠活動(dòng)，以此賺取小額獎(jiǎng)勵(lì))是一個(gè)普遍存在的現(xiàn)象。有時(shí)候，羊毛黨還會(huì)和銀行、平臺(tái)內(nèi)外勾結(jié)，圈起大量注冊(cè)用戶綁卡后卷錢跑路。這種現(xiàn)象并不少見。

 

“目前已經(jīng)形成了羊毛黨團(tuán)體，內(nèi)部分工明確。其中，家庭婦女和學(xué)生居多，基本都是兼職。很多人不知道P2P是什么，只是為賺錢照著做。”林鵬說。 林鵬指出，應(yīng)對(duì)羊毛黨的方法是要遏制他們的收入途徑。在投資方面，從業(yè)務(wù)角度防套利，不能讓人空手套白狼;利用羊毛黨防止被平臺(tái)反擼的心態(tài)，減少羊毛黨收益，提高收益門檻;還有人工識(shí)別(客服掛電話)、機(jī)器識(shí)別、大數(shù)據(jù)應(yīng)用等。

 

在綁卡的環(huán)節(jié)，容易出現(xiàn)用戶套現(xiàn)行為。雖然一般都有實(shí)名驗(yàn)證身份證號(hào)、姓名和銀行預(yù)留姓名的環(huán)節(jié)，但小的P2P平臺(tái)通常是借用公安部接口校驗(yàn)身份證信息，想要騙過這些小平臺(tái)并不難，因此并沒有起到真正實(shí)名驗(yàn)證的作用。 林鵬表示，虛對(duì)綁卡環(huán)節(jié)的用戶套現(xiàn)，P2P平臺(tái)要有4要素驗(yàn)證，包括身份證、銀行預(yù)留手機(jī)、姓名和銀行卡號(hào)，另外還要有小額打款驗(yàn)證。這些內(nèi)容應(yīng)該是所有涉及到互聯(lián)網(wǎng)金融的公司需要去做的。

 

根據(jù)調(diào)查，參與P2P業(yè)務(wù)的以男性為主，年齡在20～40歲之間，晚上18點(diǎn)是用戶投資高峰時(shí)段，以微信和新浪微博傳播方式為主，尤其是微信的比例達(dá)到99.4%，股票和基金是這些人最關(guān)注的投資品種。林鵬指出，對(duì)于P2P平臺(tái)來說，符合這些條件的基本上可以認(rèn)定為合法用戶，不符合的懷疑為非法用戶。

 

是否是非法用戶也可以通過用戶行為判斷。一般正常的用戶行為包括一整套業(yè)務(wù)流程，從注冊(cè)登錄到充值、投資、回款和提現(xiàn)。而異常的用戶行為從注冊(cè)登錄后就一直停滯在編輯資料的環(huán)節(jié)。

 

篇（10）

1.引言

 

在醫(yī)療過程中，患者疾病和醫(yī)療行為的信息會(huì)形成關(guān)于患者的身體特征、健康狀況的客觀記錄。這些記錄既包括患者身體特征記錄、診斷記錄以及其他和健康相關(guān)的情況，還包括這些情況蘊(yùn)涵的其他關(guān)鍵信息。患者的關(guān)鍵信息因診療服務(wù)需要被醫(yī)療機(jī)構(gòu)以及醫(yī)護(hù)人員合法獲悉，而不希望他人也知悉的個(gè)人情況，即患者的隱私，通常包括：姓名、性別、出生日期、家庭地址、聯(lián)系方式、既往史等。

 

患者的診療信息通過數(shù)據(jù)交換或者是其他的途徑，會(huì)出現(xiàn)在因特網(wǎng)或者內(nèi)部網(wǎng)絡(luò)環(huán)境中，在數(shù)據(jù)交換的路徑中，就需要建立有效的數(shù)據(jù)安全保障機(jī)制來防止數(shù)據(jù)的泄露。

 

2.問題提出

 

目前區(qū)域衛(wèi)生信息平臺(tái)一部分作用是數(shù)據(jù)中轉(zhuǎn)以及全程健康檔案的管理。隨著區(qū)域的發(fā)展以及應(yīng)用的加深，區(qū)域平臺(tái)將會(huì)在數(shù)據(jù)協(xié)同以及服務(wù)協(xié)同領(lǐng)域發(fā)揮其重要作用。隨著數(shù)據(jù)協(xié)同等多方面的應(yīng)用加深，對(duì)數(shù)據(jù)安全以及數(shù)據(jù)隱私的要求會(huì)比現(xiàn)階段更加迫切。眾多省級(jí)平臺(tái)的建設(shè)方案中，已將該點(diǎn)作為重點(diǎn)內(nèi)容進(jìn)行建設(shè)。目前區(qū)域平臺(tái)主要將先進(jìn)的業(yè)務(wù)理念作為亮點(diǎn)，而較忽略隱藏在業(yè)務(wù)之下的保障體系，如安全和隱私。如果有一個(gè)較為系統(tǒng)及全面的保障體系，能夠在協(xié)同的各個(gè)步驟進(jìn)行無縫的嵌入，保證數(shù)據(jù)協(xié)同的安全。先進(jìn)的業(yè)務(wù)加完備的保障體系，是否能夠?qū)^(qū)域平臺(tái)提高一個(gè)層次呢?而現(xiàn)今區(qū)域衛(wèi)生信息平臺(tái)又是如何建立該體系的呢?

 

3.問題分析

 

根據(jù)前面提出的問題，我們開始分析。區(qū)域衛(wèi)生信息平臺(tái)中協(xié)同與共享都屬于數(shù)據(jù)的協(xié)同，協(xié)同的步驟簡(jiǎn)單可概括為發(fā)起請(qǐng)求-數(shù)據(jù)傳入-請(qǐng)求驗(yàn)證-生成數(shù)據(jù)-數(shù)據(jù)返回-結(jié)束請(qǐng)求。在這幾個(gè)步驟當(dāng)中，又可以簡(jiǎn)要概括為數(shù)據(jù)傳輸、身份認(rèn)證、請(qǐng)求審計(jì)、數(shù)據(jù)生成(數(shù)據(jù)隱私動(dòng)作)等。

 

下面，我們圍繞著上述幾個(gè)大點(diǎn)開始建立安全與隱私體系。

 

4.安全體系設(shè)計(jì)

 

目前，區(qū)域衛(wèi)生信息平臺(tái)的安全保護(hù)措施主要有以下幾種：

 

1) 數(shù)據(jù)傳輸加密

 

傳輸過程采用高強(qiáng)度基于1024bit的公鑰/私鑰加密機(jī)制保證網(wǎng)絡(luò)傳輸?shù)陌踩?基于銀行支付的安全標(biāo)準(zhǔn))。公鑰-私鑰對(duì)由衛(wèi)生管理機(jī)構(gòu)統(tǒng)一發(fā)放，并且周期性更新，加密算法采用RSA標(biāo)準(zhǔn)算法。如果數(shù)據(jù)在傳輸過程中被惡意截取，因?yàn)闆]有密鑰也無法解密查看傳輸?shù)膬?nèi)容，可以最大程度的保證市民數(shù)據(jù)的安全。

 

為了保證加密的效率，系統(tǒng)采用數(shù)字信封技術(shù)來實(shí)現(xiàn)，既保證了網(wǎng)絡(luò)的安全傳輸，又保證了加密效率。

 

4.1.1 數(shù)據(jù)上行過程

 

a) 首先獲取隨機(jī)DES鑰匙，采用DES算法對(duì)傳輸內(nèi)容加密，然后醫(yī)療機(jī)構(gòu)采用衛(wèi)生管理機(jī)構(gòu)公布的公鑰把DES鑰匙進(jìn)行加密形成數(shù)字信封，最后把密文和數(shù)字信封通過網(wǎng)絡(luò)傳輸?shù)叫l(wèi)生管理機(jī)構(gòu)。

 

b) 衛(wèi)生管理機(jī)構(gòu)收到加密數(shù)據(jù)包后，使用自己的私鑰(私鑰存儲(chǔ)在衛(wèi)生廳本地，不在網(wǎng)絡(luò)上傳輸)采用RSA算法對(duì)信封解密獲取DES鑰匙，然后采用DES算法對(duì)加密包解密，獲取原始數(shù)據(jù)內(nèi)容，保存至數(shù)據(jù)庫(kù)。

 

4.1.2 數(shù)據(jù)下行過程

 

a) 醫(yī)療機(jī)構(gòu)(第三方系統(tǒng))(下稱請(qǐng)求方)發(fā)起服務(wù)請(qǐng)求。

 

b) 衛(wèi)生管理機(jī)構(gòu)接收到請(qǐng)求后從數(shù)據(jù)庫(kù)查找對(duì)應(yīng)的數(shù)據(jù)內(nèi)容，采用DES算法對(duì)數(shù)據(jù)進(jìn)行加密，然后獲取請(qǐng)求方的公鑰，采用RSA算法把DES鑰匙加密形成數(shù)字信封，一起和加密內(nèi)容發(fā)送給請(qǐng)求方。

 

c) 請(qǐng)求方獲取到加密包后，使用自己的私鑰和RSA算法對(duì)數(shù)字信封解密獲取DES鑰匙，然后采用DES算法對(duì)加密包解密，查看數(shù)據(jù)原始內(nèi)容。

 

2) 身份認(rèn)證與權(quán)限控制

 

4.2.1 主體身份認(rèn)證

 

確保每個(gè)用戶必須具有唯一的身份標(biāo)識(shí)和唯一的身份鑒別信息，確保來源合法。當(dāng)請(qǐng)求方偽造時(shí)，系統(tǒng)可以主動(dòng)的鑒別出，并積極拒絕。

 

4.2.2 操作權(quán)限控制

 

操作權(quán)限是基于應(yīng)用層次的權(quán)限控制，在用戶使用應(yīng)用系統(tǒng)當(dāng)中，不同角色的個(gè)體有著不同的操作權(quán)限，比如登錄、新增、刪除、修改、導(dǎo)出等，對(duì)個(gè)體進(jìn)行授權(quán)后，只能操作有權(quán)限的動(dòng)作。

 

4.2.3 數(shù)據(jù)權(quán)限控制

 

數(shù)據(jù)權(quán)限基于全方位的數(shù)據(jù)結(jié)構(gòu)，將已有的關(guān)系型數(shù)據(jù)庫(kù)維護(hù)到系統(tǒng)當(dāng)中(元數(shù)據(jù))。對(duì)數(shù)據(jù)進(jìn)行分割，將數(shù)據(jù)區(qū)塊按需要分發(fā)給用戶，用戶在獲取之前被數(shù)據(jù)權(quán)限攔截器進(jìn)行攔截，查看到的數(shù)據(jù)是其有權(quán)限查看的那部分。

 

3) 審計(jì)日志

 

審計(jì)日志是在應(yīng)用層次的審計(jì)操作，對(duì)用戶在使用應(yīng)用系統(tǒng)中的的行為進(jìn)行收集、統(tǒng)計(jì)、分析，對(duì)出現(xiàn)或者可能出現(xiàn)的安全問題進(jìn)行提醒，并為事后的責(zé)任問題提供支持。

 

4.3.1 行為審計(jì)記錄

 

平臺(tái)主要記錄每個(gè)業(yè)務(wù)用戶的關(guān)鍵操作，如用戶登錄、退出、批量導(dǎo)出數(shù)據(jù)等關(guān)鍵行為。審計(jì)記錄一般包括事件的日期，事件，類型，主體，結(jié)果等相關(guān)內(nèi)容。為了減少資源的消耗，審計(jì)日志一般保留半年。

 

4.3.2 對(duì)安全信息的統(tǒng)計(jì)分析

 

通過對(duì)海量審計(jì)記錄的分析，通過建立多維度，多條件的分析模型，對(duì)用戶的關(guān)鍵操作進(jìn)行關(guān)聯(lián)分析，并得出各類數(shù)據(jù)報(bào)表，便于運(yùn)維人員從多角度進(jìn)行監(jiān)控

 

5.隱私體系設(shè)計(jì)

 

隱私設(shè)計(jì)體系基于元數(shù)據(jù)，對(duì)最小粒度的個(gè)體進(jìn)行隱私設(shè)置，通過隱私規(guī)則執(zhí)行引擎進(jìn)行處理后，得到經(jīng)過隱理的數(shù)據(jù)。

 

1) 隱私規(guī)則定義

 

隱私規(guī)則定制了平臺(tái)內(nèi)資源的隱私程度級(jí)別和形式。其中隱私規(guī)則包含了對(duì)平臺(tái)資源數(shù)據(jù)的模糊、隱藏、替換、過濾操作、匿名的規(guī)則管理。平臺(tái)可以根據(jù)實(shí)際應(yīng)用場(chǎng)景，配置規(guī)則，對(duì)資源進(jìn)行隱理，對(duì)查詢數(shù)據(jù)的進(jìn)行過濾，或者對(duì)查詢字段的模糊處理，如用戶身份證等進(jìn)行部分替換“*”處理。

 

2) 隱私規(guī)則分配

 

隱私規(guī)則創(chuàng)建完后，需要對(duì)規(guī)則進(jìn)行一個(gè)有效的分配，才能使其得到一個(gè)有效的利用。隱私保護(hù)規(guī)則創(chuàng)建完后，一般情況下，將規(guī)則分配給用戶，用戶在請(qǐng)求數(shù)據(jù)時(shí)，經(jīng)過隱私規(guī)則執(zhí)行引擎進(jìn)行模糊操作，最終出來的數(shù)據(jù)即為隱私后的數(shù)據(jù)。

 

3) 隱私規(guī)則執(zhí)行引擎

 

隱私規(guī)則執(zhí)行器，是對(duì)分配的隱私規(guī)則進(jìn)行一個(gè)有效執(zhí)行的核心攔截處理部件。平臺(tái)對(duì)外提供的服務(wù)都會(huì)經(jīng)過隱私規(guī)則執(zhí)行器，自動(dòng)識(shí)別隱私保護(hù)規(guī)則，返回或者共享的數(shù)據(jù)是經(jīng)過隱私設(shè)定的數(shù)據(jù)。

 

數(shù)據(jù)的隱私操作為數(shù)據(jù)密集型計(jì)算，隱私規(guī)則執(zhí)行器需要有良好的計(jì)算能力，作為平臺(tái)不可或缺的組件，采用分布式服務(wù)的理念進(jìn)行設(shè)計(jì)，在用戶發(fā)起一次隱私計(jì)算時(shí)，通過分發(fā)器均勻分發(fā)給隱私執(zhí)行引擎，再由合并算法進(jìn)行隱私合并，最終形成一份完整的隱私數(shù)據(jù)。

 

6.總結(jié)