信息安全方針全文(5篇)

摘要：信息安全作為國家安全重要組成部分為各國共識，各國紛紛出臺自己的信息安全戰略和政策，加強自身信息安全保障體系建設。新形勢下我國提出“以信息化帶動工業化，發揮后發優勢，實現社會生產力了跨越式發展”，并將信息安全與政治、經濟、文化、國防安全作為國家安全基石。電力企業事關國計民生基礎性行業，如何利用現代信息技術提高供電企業管理水平和電網穩定運行顯得尤為重要。基于此，將從制度管理、人員和技術等方面討論基層供電企業信息安全建設的建議。

關鍵詞：信息安全；管理體系；PKI/CA；MPLSVPN；基線

在供電企業現代信息技術廣泛運用生產經營、綜合管理之中，實現資源和信息共享，為領導提供相關輔助決策。保障企業信息安全是企業領導層、專業人員及企業全員共同面對的。信息安全是集管理、人員、設備、技術為一體系統工程，木桶原理可以很好地詮釋信息安全，一個企業安全不取決于最強項，而取決最短板。信息安全需從制度建設、體系架構、一體化防控體系、人員意識、專業人員技術水平等多方面共同建設，才能有效提高企業信息安全，才能為企業生產、經營保駕護航。

1基層供電信息安全現狀

基層供電企業信息安全建設方面，在制度建設、安全分區、網絡架構、一體化防護、人員意識、專業人員技術水平等多方面存在不同程度問題。

1.1管理制度不健全，制度多重化

信息安全制度建設方面較為被動，大多數都是現實之中出現某一問題，然后一個相關制度，制度修修補補。同一類問題有時出現不同管理規定里，處理辦法不一，甚至發生沖突。原有信息安全管理制度寬泛，操作性較差。信息系統建設渠道不同，未提前進行信息安全方面考慮，管理職責不明，導致部分信息安全工作開始不順暢。

一、信息安全管理問題的研究

安全管理在整個系統和信息安全工作中占有非常重要的地位，目的是保證系統用戶和信息資源不被非法使用，同時保證信息管理系統本身不出現未經授權的訪問。據分析,在整個系統安全工作中，管理(包括管理和法律法規方面)所占比重高達70%,而技術(包括技術和實體)占30%。信息安全管理相對于信息安全技術來說是“軟”技術。分析近幾年情況，信息安全管理有以下幾個方面內容：

1.制訂信息安全發展戰略和計劃

制訂發展戰略和計劃是發達國家一貫的做法。美、俄、日、英、法等國家都已經或正在制訂自己的信息安全發展戰略和發展計劃，確保信息安全沿著正確的方向發展。2000年初，美國出臺了電腦空間安全計劃，旨在加強關鍵基礎設施、計算機系統和網絡免受威脅的防御能力。2000年7月日本信息技術戰略本部及信息安全會議擬定了信息安全指導方針。2000年9月12日，俄羅斯批準了《國家信息安全構想》，明確了確保信息安全應采取的措施。英國和法國也正在制訂各自的信息安全發展戰略。我國還沒有制訂國家級的信息安全發展戰略，但在“十五”規劃中已有提及，國內學者也提出了類似建議。另外，在我國2001年度《高技術研究發展計劃》中提出了信息安全的科研攻關課題“，863”計劃信息安全技術發展戰略研究專家組制訂了《信息安全技術應急計劃》。

2.加強信息安全立法，實現統一和規范管理

以法律的形式規定和規范信息安全工作是有效實施安全措施的最有力保證。制定網絡信息安全規則的先鋒是各大門戶網站，美國的雅虎和美國在線等網站都在實踐中形成了一套自己的信息安全管理辦法。2000年1月，美國聯邦政府了《保障信息系統國家計劃》。2000年10月1日，美國的《電子簽名法案》正式生效。2000年10月5日美國參議院通過了《互聯網網絡完備性及關鍵設備保護法案》。自1999年至今，美國國會已通過涉及計算機、互聯網和信息安全問題的法律文件379個，還設立了總統關鍵基礎設施保護委員會，負責安全工作的全國總協調。日本郵政省于2000年6月8日公布了旨在對付黑客的《信息網絡安全可靠性基準》的補充修改方案,提出制訂了風險管理的“信息安全準則”的指導原則。2000年9月,俄羅斯實施了關于網絡信息安全的法律。法國也成立了協調的信息安全機構，由決策層、操作層、技術層及工業層組成。1994年2月，國務院頒布了我國第一部有關計算機信息系統方面的法律法規，即《中華人民共和國計算機信息系統安全保護條例》。1996年國務院頒布《中華人民共和國計算機信息網絡國際聯網管理暫行規定》。全國人大常委會對計算機犯罪也高度重視，1997年《刑法》修改，增加了懲治計算機犯罪的法律條款(共3條5款)，使得打擊計算機犯罪有法可依。

3.積極制訂信息安全國際和國家標準

1網絡會計信息安全影響因素

網絡會計是基于會計核算網絡化的思想，基于電子商務時代集約化發展趨勢，打破傳統的分散式管理模式，構建標準統一、核算規范、程序合規、交易完善、數據一體化、自動靈活生成報表的電子商務核算平臺。在電子商務時代，影響網絡會計信息安全的因素很多，網絡會計面對的安全挑戰主要來自4個方面。

1.1管理缺失

科學有效的管理在保障網絡會計信息安全過程中起主導作用。管理因素主要是人的影響，比如操作人員故意、未經授權篡改數據或者不按操作規程操作，都會直接影響原始會計信息的準確性、真實性和可靠性；又如操作人員設置過于簡單的驗證密碼，導致會計系統易被非法入侵。

1.2網絡及硬件故障

硬件故障包括電源、輸入/輸出設備、內存、硬盤等，比如，存儲信息的磁盤損毀或系統突然掉電無備份電源接入，都會造成災難性事故。

1.3軟件系統不完善

一、計算機信息系統安全風險評估的作用分析

根據以往學者研究及實踐表明，對計算機信息安全保障的工作可歸納為安全管理、安全組織以及安全技術等三方面的體系建設。而確保其保障工作的順利展開需以信息安全的風險評估作為核心內容。因此對風險評估的作用主要體現在：首先，信息安全保障需以風險評估作為基礎。對計算機信息系統進行風險評估過程多集中在對系統所面臨的安全性、可靠性等方面的風險，并在此基礎上做出相應的防范、控制、轉移以及分散等策略。其次，信息安全風險管理中的風險評估是重要環節。從《信息安全管理系統要求》中不難發現，對ISMS的建立、實施以及維護等方面都應充分發揮風險評估的作用。最后，風險評估的核查作用。驗收信息系統設計安裝等是否滿足安全標準時，風險評估可提供具體的數據參考。同時在維護信息系統貴過程中，通過風險評估也可將系統對環境變化的適應能力以及相關的安全措施進行核查。若出現信息系統出現故障問題時，風險評估又可對其中的風險作出分析并采取相應的技術或管理措施。

二、計算機信息系統安全風險的評估方法分析

（一）以定性與定量為主的評估方法。

計算機信息系統安全風險評估方法中應用較為廣泛的主要為定性評估方式，其分析內容大多為信息系統威脅事件可能發生的概率及其可能造成的損失。通常以指定期望值進行表示如高值、中值以及低值等。但這種方式無法將風險的大小作出正確判斷。另外定量分析方法對威脅事件發生的可能性與其所造成的損失評估時，首先會對特定資產價值進行分析，再以客觀數據為依據對威脅頻率進行計算，當完成威脅影響系數的計算后，便將三者綜合分析，最終推出計算風險的等級。

（二）以知識和模型為基礎的風險評估。

以知識為基礎的風險評估通常會根據安全專家的評估經驗為依據，優勢在于風險評估的結構框架、實施計劃以及保護措施可被提供，對較為相似的機構可直接利用以往的保護措施等便可實現機構安全風險的降低。另外以模型為基礎的評估方式可將計算機信息系統自身的風險及其與外部環境交互過程中存在的不利因素等進行分析，以此實現對系統安全風險的定性評估。

摘要:為了培養學生處理學習和工作中遇到的信息安全問題的綜合能力，建設一個高質量的網絡信息安全實驗室是十分必要的。本文提出了一個網絡信息安全實驗室的建設方案，詳細介紹了網絡信息安全教學實驗室的總體規劃，安全實訓教學平臺和網絡空間安全攻防靶場競賽平臺。本文提出的方案可為高校網絡信息安全實驗室的建設和發展提供參考與借鑒。

關鍵詞:網絡信息安全；實驗室建設；方案

1引言

目前社會各行各業的業務逐步向網上遷移，大量公民個人隱私信息和敏感數據在網上登記、傳輸和保存。然而，有些重點行業、單位和企業的思想理念跟不上網絡的發展，憂患意識和安全意識普遍不強，安全保護措施不健全，導致系統和網站存在高危漏洞，極大地增加了公民隱私信息被偷被盜的風險。提高網絡信息從業人員對信息安全技術的認知和掌握，以及對實際應用操作相關技術的能力是防止信息安全事件發生的重要方面。這就需要在高校在培養計算機專業的學生時，要以提高學生掌握信息安全技術的實踐能力為主要的教學目標[1-3]。近年來，華南理工大學計算機學院雖然開設了網絡安全、信息安全等內容的課程，其中也包括了較多的攻防實驗、實踐及信息安全攻防競賽，但是總體上各種實驗大多數偏重理論的驗證，仍較缺乏針對性、設計性及探索性實驗，學生難以直接利用所學的知識對抗社會黑客非法侵入控制計算機信息系統，計算機病毒、木馬和網絡攻擊、入侵等嚴重威脅。為了模擬學習這些網絡信息安全對抗新技術、新方案，需要對高校計算機網絡信息安全實驗室軟、硬件設備提出更高的要求[4-5]。為此，本文提出了一個網絡信息安全實驗室的建設方案。按照方案中的網絡信息安全實驗室規劃及建設改造思路，實施信息安全的教學改革。

2實驗室建設重要性

2.1信息安全的人才需求

網絡信息安全技術人員要求既要有系統性信息安全技術理論知識，又要有豐富的實踐應用經驗，因此需要系統性知識教學訓練及專門實踐培訓才能滿足行業需求。網絡信息安全技術規劃、應用實施都要強調實踐綜合能力。現在社會上雖然有一些從事信息安全技術的從業人員，其中大多數是計算機或相關專業的畢業生，他們有一定的計算機網絡專業理論基礎，也掌握了一定的信息安全技術技術，但與信息安全技術專業所要求的理論水平和實踐能力相差太大。目前，國內網絡安全技術人才的需求仍有近100萬多的缺口，特別是高級戰略人才和專業技術人才尤其匱乏。相對應的網絡安全崗位的技能要求具有熟練掌握注入、嗅探、緩沖區溢出等網絡攻防技術，會靈活運用各種攻防、滲透工具，了解各類滲透技術的手法和思維方式，能獨立分析及解決滲透安全事件。企業普遍要求安全專業人才在技術方面具備寬泛的理論知識，同時還應具有更強的實踐操作能力，從網絡安全、防入侵、防漏洞、系統安全等形成一個多角度的綜合型技術人才[6]。政府相關部門和各大、中企業都越來越高度重視內部網絡應用安全，各行各業都高度依賴網絡進行業務聯系。社會對于信息安全的人才的巨大需求，給學校的人才培養提出了新的挑戰。高校培養學生的目標應該是使學生必須掌握網絡安全相關防范技術和實踐操作技能，既能滿足全社會需求，又符合學校的辦學宗旨和理念。為了達到使學生適應社會的實際需要這個培養目標，教學中必須要具有相應的實驗條件支撐。建立適應計算機網絡技術高速發展，為了防范攻擊，規劃建設覆蓋各個層次教學和實驗要求的網絡信息安全實驗室，在信息安全、網絡應用及操作、安全攻防靶場競賽等層次提供全面的實驗環境，學生通過一系列的驗證、綜合、設計類型實驗實踐，進攻與防御比賽等方式，以創新型實驗研究，掌握計算機信息安全技術的基本理論知識和實操技能，強化對知識的理解掌握和靈活運用，解決實際應用中的問題[7-8]。學校堅持基礎研究與應用研究并重，決心創新人才培養模式。通過不斷更新實驗教學理念，樹立現代教育思想和觀點，創新實驗教學課程，開發實驗教學應用輔助軟件，將現代信息技術手段應用于網絡信息安全專業的教學和科研，注重培養學生信息安全理論與實踐相結合的綜合能力，注重培養本科學生實事求是的科學態度和勇于開拓的創新意識，以利于創新型、應用型、復合型等各類人才的培養；更新教學內容，提高教學水平，促進最新實踐成果向教學層面轉化；總之，使其成為全省相同研究領域的專門人才庫和人才培養、培訓基地。如圖1所示，網絡信息安全學習基本知識，學生畢業后就業的基本方向。計算機網絡信息安全專業主要是為各類企事業單位、政府機構和IT行業，培養道德、智力、身體、全面發展，有良好的綜合素質和信息安全的基礎理論知識，并掌握信息安全產品的安裝和調試、數據庫的安全管理、網絡病毒預防、網站安全管理、防火墻安全策略研究和配置，安全風險評估和測試等基本技術，能在各類企事業單位、政府部門從事計算機信息安全管理員、網絡管理員、信息安全工程師，電子政務、電子商務部門的工作和其他工作,也能在互聯網從事信息安全產品營銷和技術支持服務的高質量的專業人才[9]。