第一篇：管理信息系統(tǒng)安全策略

管理信息系統(tǒng)安全策略

對(duì)于企業(yè)競(jìng)爭(zhēng)來(lái)說(shuō)，資料的保密和安全是非常重要的。資料的保密和安全涉及以下幾個(gè)方面：

1、資料自身的完整性和規(guī)范性；

2、資料存儲(chǔ)的安全性；

3、資料的維護(hù)（更新）和引用（查閱）的管理手續(xù)（即流程）的規(guī)范性及權(quán)力限定的嚴(yán)謹(jǐn)性。

用一句通俗的話(huà)來(lái)歸納，在企業(yè)中，只有通過(guò)授權(quán)的人（崗位）才可使用（包括維護(hù)和引用）相關(guān)的資料，嚴(yán)禁未經(jīng)過(guò)授權(quán)的人（崗位）非法使用資料。而對(duì)于（計(jì)算機(jī)）管理信息系統(tǒng)應(yīng)用來(lái)說(shuō)，資料包括基礎(chǔ)（技術(shù)）數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。首選要求數(shù)據(jù)（即資料）要具有良好的共享性，其次要求流程（即業(yè)務(wù)）處理具有連貫性。

基于上述兩者之間的需求，要求（計(jì)算機(jī)）管理信息系統(tǒng)本身應(yīng)具有下列基本功能：

1、保證企業(yè)資料的完整性和一致性（關(guān)系數(shù)據(jù)庫(kù)本身功能可解決）；

2、資料存儲(chǔ)的安全可靠性（可通過(guò)配置高性能的數(shù)據(jù)庫(kù)服務(wù)器、備份及加強(qiáng)服務(wù)器的保安管理可解決）；

3、通過(guò)強(qiáng)有力的權(quán)限管理功能，將企業(yè)所有的數(shù)據(jù)根據(jù)實(shí)際情況定義出所有者（機(jī)構(gòu)）。同時(shí)授權(quán)（控制）每個(gè)人（崗位）的功能模塊（業(yè)務(wù)操作）使用權(quán)限，所能查閱及維護(hù)的數(shù)據(jù)的范圍（即能查閱哪些機(jī)構(gòu)的數(shù)據(jù)，在軟件系統(tǒng)中表現(xiàn)為數(shù)據(jù)表中的記錄行），以及查閱及維護(hù)數(shù)據(jù)的哪些明細(xì)屬性（在軟件系統(tǒng)中表現(xiàn)為數(shù)據(jù)表的列）；

4、結(jié)合企業(yè)運(yùn)作的實(shí)際情況和未來(lái)需要，可定義出各業(yè)務(wù)之間的工作（操作）流程。

第二篇：淺談管理信息系統(tǒng)安全策略研究

淺談管理信息系統(tǒng)安全策略研究

本文重點(diǎn)探討信息系統(tǒng)的安全措施，及影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素，增強(qiáng)防范意思，確保計(jì)算機(jī)網(wǎng)絡(luò)信息安全性、保密性、完整性和可靠性。

關(guān)鍵詞: 管理系統(tǒng) 系統(tǒng)安全 信息科學(xué) 加密技術(shù) 防火墻

隨著信息時(shí)代的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛應(yīng)用，網(wǎng)絡(luò)的安全性已成為不同使用層次的用戶(hù)共同關(guān)心的問(wèn)題。人們都希望自己的網(wǎng)絡(luò)系統(tǒng)能更加安全可靠地運(yùn)行。但隨著網(wǎng)絡(luò)信息傳輸量的急劇增長(zhǎng)，一些機(jī)構(gòu)和部門(mén)上網(wǎng)的數(shù)據(jù)也會(huì)遭到不同程度的破壞。攻擊者可以竊取網(wǎng)絡(luò)上的信息，竊用口令、篡改數(shù)據(jù)庫(kù)內(nèi)容，釋放計(jì)算機(jī)病毒等。這致使數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅，所以解決好網(wǎng)絡(luò)的安全性、可靠性問(wèn)題，是確保網(wǎng)絡(luò)正常運(yùn)行的前提和保障，更好地為企事業(yè)單位提供信息咨詢(xún)、信息檢索、信息存取等服務(wù)。

一、管理信息系統(tǒng)的發(fā)展歷史

管理信息系統(tǒng)的概念起源很早。早在20世紀(jì)初，隨著科學(xué)技術(shù)和社會(huì)經(jīng)濟(jì)的迅速發(fā)展，人們迫切要求文獻(xiàn)信息管理工作的發(fā)展速度與之相互適應(yīng)。20世紀(jì)30年代，柏德就強(qiáng)調(diào)了決策在組織管理中的作用。50年代，西蒙提出了管理依賴(lài)于信息和決策的概念。同一時(shí)代維納發(fā)表了控制論與管理，他把管理過(guò)程當(dāng)成一個(gè)控制過(guò)程，此時(shí)計(jì)算機(jī)已用于會(huì)計(jì)工作。

管理信息系統(tǒng)已經(jīng)逐步成為一個(gè)獨(dú)立的學(xué)科分支，它繼承了其他眾多學(xué)科的理論及其應(yīng)用技術(shù)，它與信息科學(xué)、系統(tǒng)科學(xué)、計(jì)算機(jī)科學(xué)、控制理論、統(tǒng)計(jì)學(xué)、會(huì)計(jì)學(xué)、經(jīng)濟(jì)學(xué)、管理科學(xué)有著十分密切的聯(lián)系。同時(shí)，它又廣泛地應(yīng)用于工業(yè)、農(nóng)業(yè)、交通、運(yùn)輸、文化、教育、衛(wèi)生、體育以及各種社會(huì)經(jīng)濟(jì)活動(dòng)的信息管理之中，并起著極其重要的作用，顯示出強(qiáng)大的生命力。

隨著社會(huì)的不斷進(jìn)步、科學(xué)技術(shù)快速發(fā)展，管理工作越來(lái)越重要。在現(xiàn)代管理科學(xué)體系中，管理信息系統(tǒng)正不斷發(fā)展、逐步完善，它已被公認(rèn)為是一門(mén)不可替代的嶄新學(xué)科。計(jì)算機(jī)作為現(xiàn)代化的工具與手段，已成為信息處理的重要工具。計(jì)算機(jī)的應(yīng)用范圍越來(lái)越廣，最終導(dǎo)致了管理信息系統(tǒng)的產(chǎn)生。

管理信息系統(tǒng)依賴(lài)于管理和科學(xué)技術(shù)的發(fā)展而形成、依賴(lài)于電子計(jì)算機(jī)的發(fā)展而發(fā)展的，管理信息系統(tǒng)是與電子計(jì)算機(jī)同步發(fā)展的，它是現(xiàn)代化管理的標(biāo)志。

二、國(guó)內(nèi)信息系統(tǒng)發(fā)展現(xiàn)狀、存在問(wèn)題

企業(yè)是國(guó)民經(jīng)濟(jì)的基礎(chǔ)，而企業(yè)信息系統(tǒng)建設(shè)是企業(yè)走向現(xiàn)代化的必由之路。我國(guó)目前各類(lèi)企業(yè)在近20年來(lái)，不同程度上都遇到了企業(yè)信息系統(tǒng)建設(shè)的問(wèn)題。80年代以來(lái)，國(guó)家有關(guān)部門(mén)就一直非常重視企業(yè)信息化的推進(jìn)。90年代以后，隨著微型計(jì)算機(jī)、互連網(wǎng)等迅速普及，計(jì)算機(jī)技術(shù)對(duì)企業(yè)的影響越來(lái)越大，企業(yè)信息化進(jìn)一步為人們所重視。

在信息化快速發(fā)展的時(shí)代，我們?cè)诔浞挚隙ㄟ@些已經(jīng)取得的成果同時(shí)也不能忽視一些普遍存在的問(wèn)題。在過(guò)去10年左右，我國(guó)企業(yè)信息系統(tǒng)建設(shè)雖然轟轟烈烈地發(fā)展，但其成功率并不是很理想。一些企業(yè)已經(jīng)投入使用的模塊，實(shí)際中并未發(fā)揮作用，它只是針對(duì)一些局部系統(tǒng)，或特定類(lèi)型的產(chǎn)品處于試運(yùn)行階段。一些企業(yè)中的計(jì)算機(jī)的97%是用來(lái)做文字處理工作，有1/5的計(jì)算機(jī)是經(jīng)常用來(lái)玩游戲的。這些調(diào)查、結(jié)果分析都說(shuō)明：我國(guó)企業(yè)目前雖然使用計(jì)算機(jī)已經(jīng)比較普遍，但許多信息系統(tǒng)的應(yīng)用情況卻并沒(méi)有達(dá)到預(yù)想的效果。

三、信息系統(tǒng)開(kāi)發(fā)的緊迫性

隨著企業(yè)規(guī)模的擴(kuò)大和市場(chǎng)競(jìng)爭(zhēng)的更加激烈，各行各業(yè)都愈來(lái)愈認(rèn)識(shí)到人力資源管理的重要性及提升企業(yè)自身人力資源管理水平的迫切性，而人力資源管理水平的提升不僅需要高素質(zhì)的管理人員，而且也需要信息化工具進(jìn)行輔助。隨著中國(guó)企業(yè)管理水平的提高，人才的爭(zhēng)奪與管理已成為中國(guó)所面臨的嚴(yán)重問(wèn)題。要面對(duì)高強(qiáng)度的競(jìng)爭(zhēng)無(wú)疑是需要優(yōu)秀的管理人才，而科學(xué)管理的實(shí)施是離不開(kāi)數(shù)字化的工具做輔助。特別在組織規(guī)模不斷擴(kuò)大的今天，做為管理人員和單位領(lǐng)導(dǎo)者要想對(duì)單位進(jìn)行有效的管理和正確的決策就必須借助于數(shù)字化管理工具。

四、網(wǎng)絡(luò)安全應(yīng)具備的功能及影響信息系統(tǒng)安全的主要因素

1、計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)必須具備以下功能：

（1）訪問(wèn)控制（2）檢查安全漏洞（3）攻擊監(jiān)控（4）加密通訊（5）認(rèn)證（6）備份和恢復(fù)（7）多層防御（8）?設(shè)立安全監(jiān)控中心

2、影響信息系統(tǒng)安全的主要因素

(1)信息系統(tǒng)在穩(wěn)定性和可擴(kuò)充性方面存在。由于設(shè)計(jì)系統(tǒng)的不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響。

(2)網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)。主要是文件服務(wù)器，它是網(wǎng)絡(luò)的中樞，其運(yùn)行穩(wěn)定性、功能完善性直接影響信息系統(tǒng)的質(zhì)量。設(shè)計(jì)和選型考慮欠周密，影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級(jí)換代。

(3)缺乏安全策略。許多站點(diǎn)在防火墻配置上無(wú)意識(shí)地?cái)U(kuò)大了訪問(wèn)權(quán)限，忽視了這些權(quán)限可能會(huì)被其他人員濫用。

(4)管理制度不健全，網(wǎng)絡(luò)管理、維護(hù)不力。

五、?網(wǎng)絡(luò)安全應(yīng)具備的防范措施

1.信息系統(tǒng)結(jié)構(gòu)設(shè)計(jì)合理與否是網(wǎng)絡(luò)安全運(yùn)行的關(guān)鍵。全面分析信息系統(tǒng)設(shè)計(jì)的每個(gè)環(huán)節(jié)是企事業(yè)單位建立安全可靠的信息工程的首要任務(wù)。在總體設(shè)計(jì)方面要注意以下幾個(gè)問(wèn)題：對(duì)接入以太網(wǎng)上任一節(jié)點(diǎn)進(jìn)行偵聽(tīng)，捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對(duì)其進(jìn)行解包分析，竊取關(guān)鍵信息。為了解除這個(gè)信息系統(tǒng)固有的安全隱患，可采取以下措施：(1)網(wǎng)絡(luò)分段技術(shù)的應(yīng)用從源頭杜絕網(wǎng)絡(luò)的安全隱患問(wèn)題。局域網(wǎng)采取物理分段與邏輯分段，來(lái)實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制，目的就是將非法用戶(hù)與敏感的網(wǎng)絡(luò)資源相互隔離，防止非法偵聽(tīng)，保證信息的安全暢通。(2)解除隱患的另一方法是交換式集線器代替共享式集線器。

2.強(qiáng)化計(jì)算機(jī)管理是信息系統(tǒng)安全的保證

(1)加強(qiáng)設(shè)施管理，確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)實(shí)體安全。健全安全管理制度，防止非法用戶(hù)進(jìn)入計(jì)算機(jī)控制室和其它各種非法行為的發(fā)生。在保護(hù)計(jì)算機(jī)系統(tǒng)、打印機(jī)、網(wǎng)絡(luò)服務(wù)器等外部設(shè)備和能信鏈路上下大功夫，并不定期的對(duì)運(yùn)行溫度、濕度、清潔度、供電接頭、三防措施、志線、設(shè)備等進(jìn)行檢查、測(cè)試和維護(hù)。著力改善抑制、防止電磁泄漏的能力，確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容的工作環(huán)境。

(2)強(qiáng)化訪問(wèn)控制，力求計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。

第一，建立入網(wǎng)訪問(wèn)功能模塊。通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪問(wèn)控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)提供了第一層訪問(wèn)控制。它允許哪些用戶(hù)可以登錄到網(wǎng)絡(luò)服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶(hù)入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。用戶(hù)的入網(wǎng)訪問(wèn)控制可分為3個(gè)過(guò)程：用戶(hù)名的識(shí)別與驗(yàn)證；用戶(hù)口令的識(shí)別與驗(yàn)證；用戶(hù)賬號(hào)的檢查。在3個(gè)過(guò)程中如果其中一個(gè)不能成立，系統(tǒng)就視為非法用戶(hù)，則不能訪問(wèn)。

第二，建立網(wǎng)絡(luò)的權(quán)限控制模塊。網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提

出的一種安全保護(hù)措施?？梢愿鶕?jù)訪問(wèn)權(quán)限將用戶(hù)分為3種類(lèi)型：特殊用戶(hù)、一般用戶(hù)、審計(jì)用戶(hù)。

第三，建立屬性安全服務(wù)模塊。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)。網(wǎng)絡(luò)屬性可以控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫(xiě)數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄、文件的查看、執(zhí)行、隱含、共享及系統(tǒng)屬性等，還可以保護(hù)重要的目錄和文件，防止用戶(hù)對(duì)目錄和文件的誤刪除、執(zhí)行修改、顯示等。

第四，建立檔案信息加密制度。主動(dòng)地加密通訊，可使攻擊者不能了解、修改敏感信息。良好的認(rèn)證體系可防止攻擊者假冒合法用戶(hù)，防止數(shù)據(jù)非法泄漏。第五，建立完善的備份及恢復(fù)機(jī)制。良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。同時(shí)，建立強(qiáng)大的數(shù)據(jù)庫(kù)觸發(fā)器和恢復(fù)重要數(shù)據(jù)的操作以及更新任務(wù)，確保在任何情況下使重要數(shù)據(jù)均能最大限度地得到恢復(fù)。

第六，建立網(wǎng)絡(luò)服務(wù)器安全設(shè)置模塊。網(wǎng)絡(luò)服務(wù)器的安全控制包括設(shè)置口令鎖定服務(wù)器控制臺(tái)；設(shè)置服務(wù)器登錄時(shí)間限制、非法訪問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔；安裝防火墻。

第七、建立安全監(jiān)控設(shè)施。為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù)。

綜上所述，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)傳輸?shù)陌踩珕?wèn)題，我們必須要做到以下幾點(diǎn)。第一，應(yīng)嚴(yán)格限制上網(wǎng)用戶(hù)所訪問(wèn)的系統(tǒng)信息和資源，這一功能可通過(guò)在訪問(wèn)服務(wù)器上防火墻來(lái)實(shí)現(xiàn)。第二，應(yīng)加強(qiáng)對(duì)上網(wǎng)用戶(hù)的身份認(rèn)證，使用RADIUS等專(zhuān)用身份驗(yàn)證服務(wù)器?？梢詫?shí)現(xiàn)對(duì)上網(wǎng)用戶(hù)帳號(hào)的統(tǒng)一管理；在身份驗(yàn)證過(guò)程中采用加密的手段，避免用戶(hù)口令泄露的可能性。第三，在數(shù)據(jù)傳輸過(guò)程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。VPN在提供網(wǎng)間數(shù)據(jù)加密的同時(shí)，也提供了針對(duì)單機(jī)用戶(hù)的加密客戶(hù)端軟件，即采用軟件加密的技術(shù)來(lái)保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

參考文獻(xiàn)

[1]??計(jì)算機(jī)網(wǎng)絡(luò)技術(shù).西安電子科技大學(xué)出版社,?2001

[2]??計(jì)算機(jī)網(wǎng)絡(luò)與通信.北京大學(xué)出版社,?1999.[3]??計(jì)算機(jī)學(xué)報(bào).?2001-2006.[4]?電腦報(bào).?2000-2002.??

第三篇：信息安全策略

信息安全策略

是一個(gè)有效的信息安全項(xiàng)目的基礎(chǔ)。從信息安全領(lǐng)域中發(fā)生的事件來(lái)看，信息安全策略的核心地位變得越來(lái)越明顯。例如，沒(méi)有安全策略，系統(tǒng)管理員將不能安全的安裝防火墻。策略規(guī)定了所允許的訪問(wèn)控制、協(xié)議以及怎樣記錄與安全有關(guān)的事件。盡管信息安全策略是廉價(jià)的實(shí)施控制方式，但它們也是最難實(shí)施的。策略花費(fèi)的僅僅是創(chuàng)建、批準(zhǔn)、交流所用的時(shí)間和精力，以及員工把策略整合形成日常行為規(guī)范所用的時(shí)間和精力。即使是雇傭外部顧問(wèn)來(lái)輔助制定策略，與其它控制方法（特別是技術(shù)控制）相比，其花費(fèi)也是較小的。策略的制定需要達(dá)成下述目標(biāo)：減少風(fēng)險(xiǎn)，遵從法律和規(guī)則，確保組織運(yùn)作的連續(xù)性、信息完整性和機(jī)密性。

信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動(dòng)制定。組織為高層主管、董事會(huì)成員、戰(zhàn)略伙伴以及員工提供了內(nèi)部信息系統(tǒng)，對(duì)信息系統(tǒng)中信息特性的理解，能為策略制定提供有用的依據(jù)。應(yīng)當(dāng)重視對(duì)信息系統(tǒng)了解深刻的員工，所提出的組織當(dāng)前信息的主要特性，具體包括：什么信息是敏感的、什么信息是有價(jià)值的以及什么信息是關(guān)鍵的。

在制定一整套信息安全策略時(shí)，應(yīng)當(dāng)參考一份近期的風(fēng)險(xiǎn)評(píng)估或信息審計(jì)，以便清楚了解組織當(dāng)前的信息安全需求。對(duì)曾出現(xiàn)的安全事件的總結(jié)，也是一份有價(jià)值的資料。也需要召開(kāi)相關(guān)人員會(huì)議，比如首席信息官、物理安全主管、信息安全主管、內(nèi)部審計(jì)主管和人力資源主管等。

為了確定哪些部分需要進(jìn)一步注意，應(yīng)收集組織當(dāng)前所有相關(guān)的策略文件，例如計(jì)算機(jī)操作策略、應(yīng)用系統(tǒng)開(kāi)發(fā)策略、人力資源策略、物理安全策略。也可以參考國(guó)際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)來(lái)獲得指導(dǎo)。

資料收集階段的工作非常重要，很多時(shí)候因?yàn)楣ぷ髁亢蛯?shí)施難度被簡(jiǎn)化操作。資料收集不全，調(diào)研不夠充分會(huì)導(dǎo)致新建的信息安全策略無(wú)法與組織的真正需求一致。也無(wú)法確保策略中的要求與管理目標(biāo)相一致。如果提出一套與組織文化明顯不一致的策略，更是一件很尷尬的事情。

在制定策略之前，對(duì)現(xiàn)狀進(jìn)行徹底調(diào)研的另一個(gè)作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略應(yīng)當(dāng)與已有的信息系統(tǒng)結(jié)構(gòu)相一致，并對(duì)其完全支持。這一點(diǎn)不是針對(duì)信息安全體系結(jié)構(gòu)，而是針對(duì)信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定，以保障信息安全體系實(shí)施、運(yùn)行。例如，互聯(lián)網(wǎng)訪問(wèn)控制策略可使安全體系結(jié)構(gòu)具體化，也有利于選擇和實(shí)施恰當(dāng)?shù)姆阑饓Ξa(chǎn)品。

收集完上面所提到的材料后，也就是調(diào)研階段完成后，開(kāi)始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿。初稿完成后，應(yīng)當(dāng)尋找直接相關(guān)人員對(duì)其進(jìn)行小范圍的評(píng)審。對(duì)反饋意見(jiàn)進(jìn)行修改后，逐漸的擴(kuò)大評(píng)審的范圍。當(dāng)所有的支持部門(mén)做出修改后，交由信息安全管理委員會(huì)評(píng)審。

信息安全策略的制定過(guò)程有很高的政策性和個(gè)性，反復(fù)的評(píng)審過(guò)程能夠讓策略更加清晰、簡(jiǎn)潔，更容易落地，為此在評(píng)審的過(guò)程中需要調(diào)動(dòng)參與積極性，而不是抵觸。

評(píng)審過(guò)程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行官簽名。在人員合同中應(yīng)當(dāng)表明能予遵守并且這是繼續(xù)雇傭的條件。也應(yīng)當(dāng)發(fā)放到內(nèi)部服務(wù)器、網(wǎng)頁(yè)以及一些宣傳版面上的顯眼位置，并附有高層管理者的簽名，以表明信息安全策略文檔

得到高層領(lǐng)導(dǎo)強(qiáng)有力的支持。如果讓首席執(zhí)行官簽名不現(xiàn)實(shí)，由首席信息官簽名也可以。要注意僅有信息安全部門(mén)主管或同級(jí)的部門(mén)主管簽名，一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意很難實(shí)施，但經(jīng)驗(yàn)表明，高層的支持對(duì)策略的實(shí)施落地是非常重要的。

一般來(lái)說(shuō)，在信息安全策略文件評(píng)審過(guò)程中，會(huì)得到組織內(nèi)部各方多次評(píng)審和修訂，其中最為重要的是信息安全管理委員會(huì)。信息安全委員會(huì)一般由信息部門(mén)人員組成，參與者一般包括以下部門(mén)的成員：信息安全、內(nèi)部審計(jì)、物理安全、信息系統(tǒng)、人力資源、法律、財(cái)政和會(huì)計(jì)部。這樣一個(gè)委員會(huì)本質(zhì)上是監(jiān)督信息安全部門(mén)的工作，負(fù)責(zé)篩選提煉已提交的策略，以便在整個(gè)組織內(nèi)更好的實(shí)施落地。如果組織內(nèi)還沒(méi)有信息安全管理委員會(huì)，在制定信息安全策略的時(shí)候正是建立管理委員會(huì)的好時(shí)機(jī)，或由組織內(nèi)已存在的同職能部門(mén)擔(dān)任職責(zé)。

雖然制定了新的安全策略，還必須有一個(gè)適當(dāng)?shù)膶?shí)施過(guò)程，如果這些策略不能得到實(shí)施，將起不到任何作用，不能得到執(zhí)行的策略，可能比完全沒(méi)有策略更糟糕，因?yàn)檫@樣會(huì)教會(huì)員工作假和質(zhì)疑組織內(nèi)部執(zhí)行力，這也可能麻痹管理者認(rèn)為信息安全為題已經(jīng)處理雖然現(xiàn)實(shí)是另外一回事。

管理層常以為員工行為當(dāng)然以組織利益為重，這是一個(gè)欠考慮的想法。雖然策略不可能影響員工的個(gè)人價(jià)值觀，但管理層可以運(yùn)用策略給員工提供機(jī)會(huì)，引導(dǎo)他們和組織的利益一致。策略告訴員工組織對(duì)他們的期望是什么。

新策略發(fā)布前，應(yīng)在內(nèi)部信息技術(shù)部門(mén)或?qū)徲?jì)部門(mén)內(nèi)討論如果具體實(shí)施。新策略的執(zhí)行可能會(huì)遇到多樣化的問(wèn)題?？梢酝ㄟ^(guò)績(jī)效評(píng)估和相應(yīng)獎(jiǎng)懲制度來(lái)保證策略的執(zhí)行有效性。發(fā)現(xiàn)和懲罰違反策略的員工并不是目的。如果大量的人都不遵守，這就表明策略和相關(guān)的意識(shí)提升是無(wú)效的。在此情形下，需要尋找更有效的方式實(shí)施，或修改策略，以便更好的反映組織文化。

另有一些策略實(shí)施的建議：

在組織內(nèi)部網(wǎng)站或一些媒體發(fā)布策略—新策略應(yīng)發(fā)布在組織內(nèi)部網(wǎng)站上，加入相關(guān)鏈接讓用戶(hù)能很快定位感興趣的材料。

制定自我評(píng)估調(diào)查表—在新的策略實(shí)施時(shí)，制定評(píng)估表，填寫(xiě)實(shí)施情況，就能明確哪些部門(mén)沒(méi)有遵守好、哪些地方需要額外加強(qiáng)控制。

制定遵守信息安全策略的員工協(xié)議表——應(yīng)當(dāng)編輯一個(gè)反映員工該如何遵守信息安全策略的法律協(xié)議表，或直接體現(xiàn)在員工合同中。

建立考察機(jī)制檢查員工是否理解策略——調(diào)查員工是否理解安全策略文檔中的重點(diǎn)。通過(guò)考試確定是否要增加培訓(xùn)和通告。

基礎(chǔ)信息安全培訓(xùn)課程——培訓(xùn)課程通過(guò)錄像或培訓(xùn)軟件存檔。不同策略對(duì)象可能要不同的培訓(xùn)課程。

分配策略落實(shí)負(fù)責(zé)人——按部門(mén)或?qū)嶋H情況分配負(fù)責(zé)人，落實(shí)責(zé)任。

第四篇：淺析基于供應(yīng)鏈的企業(yè)物流管理信息系統(tǒng)及其安全策略

摘要: 企業(yè)物流管理信息系統(tǒng)(MIS)是應(yīng)用于企業(yè)物流管理的一種先進(jìn)的管理思想和方法。在企業(yè)物流MIS中，企業(yè)可以隨時(shí)查詢(xún)庫(kù)存的動(dòng)態(tài)信息，進(jìn)行庫(kù)存物流信息化管理，在企業(yè)信息構(gòu)成的基礎(chǔ)上，構(gòu)建庫(kù)存管理信息系統(tǒng)設(shè)計(jì)的各個(gè)模塊的運(yùn)行界面，系統(tǒng)的安全設(shè)計(jì)策略尤為重要。所以對(duì)供應(yīng)鏈進(jìn)行研究分析，強(qiáng)化企業(yè)物流管理信息系統(tǒng)的安全策略具有決定性的意義。

關(guān)鍵詞: 物流;管理信息系統(tǒng);庫(kù)存管理;決策系統(tǒng)

現(xiàn)代物流是社會(huì)化大生產(chǎn)和科技發(fā)展到一定階段產(chǎn)生的新興服務(wù)業(yè)，現(xiàn)代物流是將采購(gòu)、生產(chǎn)、銷(xiāo)售等傳統(tǒng)物流中各環(huán)節(jié)予以綜合考慮，追求包含采購(gòu)、生產(chǎn)、銷(xiāo)售等在內(nèi)的貨物流轉(zhuǎn)的整體最佳狀態(tài)，最大限度地優(yōu)化從制造者到消費(fèi)者之間的運(yùn)輸和運(yùn)輸流動(dòng)信息的分配，并利用先進(jìn)信息技術(shù)和專(zhuān)業(yè)能力盡可能地減少商品庫(kù)存、英語(yǔ)論文開(kāi)題報(bào)告降低運(yùn)輸費(fèi)用，加快交貨時(shí)間并提高客戶(hù)服務(wù)水平。所謂企業(yè)物流，即企業(yè)中實(shí)物流動(dòng)，是實(shí)現(xiàn)物料(包括全部原材料，半成品，成品)物理位置轉(zhuǎn)移的經(jīng)濟(jì)活動(dòng)。

企業(yè)物流中的供應(yīng)鏈管理是把供應(yīng)鏈上的各個(gè)企業(yè)作為一個(gè)不可分割的整體，使供應(yīng)鏈上各企業(yè)分擔(dān)的采購(gòu)、生產(chǎn)、分銷(xiāo)和銷(xiāo)售的職能成為一個(gè)協(xié)調(diào)發(fā)展的有機(jī)體。它最關(guān)鍵的是采用集成的思想和方法，而不僅僅是節(jié)點(diǎn)企業(yè)、技術(shù)方法等資源簡(jiǎn)單的連接，而現(xiàn)代物流的重點(diǎn)仍然是放在管理庫(kù)存上，把庫(kù)存作為平衡有限的生產(chǎn)能力和適應(yīng)用戶(hù)變化的緩沖手段。供應(yīng)鏈管理關(guān)心的并不僅僅是貨物實(shí)體在供應(yīng)鏈中的流動(dòng)，除了企業(yè)內(nèi)部與企業(yè)之間的運(yùn)輸和實(shí)物分銷(xiāo)之外，供應(yīng)鏈管理還包括:（1）戰(zhàn)略性供應(yīng)商和用戶(hù)合作伙伴的關(guān)系管理；（2）供應(yīng)鏈產(chǎn)品需求預(yù)測(cè)和計(jì)劃；

（3）供應(yīng)鏈的設(shè)計(jì)(全球節(jié)點(diǎn)企業(yè)、資源、設(shè)備等的評(píng)價(jià)、選擇和定位)；（4）企業(yè)內(nèi)部與企業(yè)之間貨物供應(yīng)與需求管理；

（5）基于供應(yīng)鏈管理的產(chǎn)品設(shè)計(jì)與制造管理、生產(chǎn)集成化計(jì)劃、跟蹤和控制；（6）企業(yè)間資金流管理(匯率、成本)；

（7）基于供應(yīng)鏈的用戶(hù)服務(wù)與物流(運(yùn)輸、庫(kù)存、包裝等)管理；（8）基于Internet的供應(yīng)鏈交互信息管理等。由此可見(jiàn)，供應(yīng)鏈管理不但涵蓋了現(xiàn)代物流管理的全部?jī)?nèi)容，而且從更高的層次上解決了物流管理問(wèn)題。物流被廣泛認(rèn)為是當(dāng)今影響企業(yè)競(jìng)爭(zhēng)力的一個(gè)重要因素，因此對(duì)企業(yè)物流實(shí)施現(xiàn)代化的管理是企業(yè)一個(gè)強(qiáng)有力的發(fā)展空間。依托高新技術(shù)作為強(qiáng)有力的支撐，建設(shè)企業(yè)物流管理信息系統(tǒng)不僅有利于實(shí)現(xiàn)企業(yè)物流供應(yīng)鏈的一體化和信息化，提高物流管理的系統(tǒng)性和集成性，也將為企業(yè)與供應(yīng)商、銷(xiāo)售商、客戶(hù)間物流信息網(wǎng)絡(luò)的建設(shè)和供應(yīng)鏈一體化奠定良好的基礎(chǔ)圈。

一般MIS系統(tǒng)采用Microsoft公司的SQL Server 7.0。其出入庫(kù)管理模塊設(shè)計(jì)主要包括采購(gòu)入庫(kù)管理主從明細(xì)表(HUOWRUKXINX,HUOWRUKMXB)、成品銷(xiāo)售出庫(kù)管理主從明細(xì)表(HUOWCHUKXINX,CAIGTUIKMXB)、采購(gòu)?fù)素浌芾碇鲝拿骷?xì)表(CAIGTUIKXINX,CAIGTUIKMXB)、銷(xiāo)售退庫(kù)管理主從明細(xì)表(XIAOSTUIKXINX,XIAOST-UIKMXB)、倉(cāng)庫(kù)設(shè)置(CANGKSHEZ)等。數(shù)據(jù)庫(kù)中的設(shè)計(jì)采用主從明細(xì)表，方便對(duì)表的修改。當(dāng)用戶(hù)錄入、修改、刪除主表數(shù)據(jù)時(shí)，從表中對(duì)應(yīng)的數(shù)據(jù)也相應(yīng)地被更新。例如，當(dāng)用戶(hù)刪除采購(gòu)入庫(kù)管理中入庫(kù)單號(hào)為“1234”所在行的數(shù)據(jù)時(shí)，采購(gòu)入庫(kù)管理從表中入庫(kù)單號(hào)為“1234”所在行的數(shù)據(jù)也將被刪除，那么在當(dāng)前庫(kù)存表中貨物編號(hào)為C9654所在行的數(shù)據(jù)也將被刪除。極大地方便了管理員對(duì)于數(shù)據(jù)的采集管理工作。

企業(yè)物流庫(kù)存管理系統(tǒng)的安全性包括數(shù)據(jù)操作安全和數(shù)據(jù)存儲(chǔ)安全。數(shù)據(jù)操作安全主要是為了防止人為因素對(duì)數(shù)據(jù)的破壞，防止非法用戶(hù)進(jìn)入系統(tǒng)，盜取數(shù)據(jù)；保證合法用戶(hù)安全操作系統(tǒng)，所以在MIS系統(tǒng)中應(yīng)考慮用戶(hù)權(quán)限分配策略和安全日志策略。另外在選用操作平臺(tái)時(shí)對(duì)系統(tǒng)安全性進(jìn)行綜合考慮，全面保證系統(tǒng)的數(shù)據(jù)操作安全。數(shù)據(jù)存儲(chǔ)安全是為了防止系統(tǒng)故障(如軟件病毒、機(jī)器物理?yè)p壞、誤操作等因素造成的系統(tǒng)故障)引起的數(shù)據(jù)丟失在這方面主要采取數(shù)據(jù)備份策略。其中權(quán)限分配策略旨在使用戶(hù)只能按給定的權(quán)限對(duì)指定的數(shù)據(jù)對(duì)象進(jìn)行操作。權(quán)限分配策略可以在前端(應(yīng)用程序)和后臺(tái)(數(shù)據(jù)庫(kù)管理系統(tǒng))分別實(shí)現(xiàn)。后臺(tái)的權(quán)限分配是通過(guò)數(shù)據(jù)庫(kù)管理系統(tǒng)的功能來(lái)實(shí)現(xiàn)的。較大型的數(shù)據(jù)庫(kù)管理系統(tǒng)(如:MS SQL Server)都設(shè)計(jì)了功能強(qiáng)大的數(shù)據(jù)安全體系。數(shù)據(jù)對(duì)象的增、刪、改、查看、運(yùn)行等操作權(quán)限都可以分配給相應(yīng)的用戶(hù)。通過(guò)后臺(tái)的權(quán)限分配，用戶(hù)只能對(duì)數(shù)據(jù)對(duì)象行使權(quán)限允許范圍內(nèi)的操作行為，而不能越權(quán)。前端的權(quán)限分配一般都是在客戶(hù)端時(shí)通過(guò)設(shè)置一定的程序使用的。用戶(hù)的操作行為通常是從用戶(hù)界面開(kāi)始的，各種操作行為往往又和各個(gè)界面對(duì)象是綁定在一起的，用戶(hù)訪問(wèn)不到數(shù)據(jù)對(duì)象，也就執(zhí)行不了數(shù)據(jù)對(duì)象所對(duì)應(yīng)的操作行為。將用戶(hù)的各種操作行為按需要進(jìn)行詳細(xì)的劃分，并將這些操作行為綁定在對(duì)應(yīng)的界面對(duì)象上，將界面對(duì)象的訪問(wèn)權(quán)力分配給用戶(hù)，就可以有效地將數(shù)據(jù)對(duì)象的操作權(quán)限分配給用戶(hù)。對(duì)于訪問(wèn)權(quán)限的設(shè)置有兩種備選方案，兩種方案各有特色。第一種方案從數(shù)據(jù)底層限制對(duì)數(shù)據(jù)的訪問(wèn)，數(shù)據(jù)操作更加安全，但它一般都只在網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中采用，適用于較大型的數(shù)據(jù)庫(kù)應(yīng)用中，如ERP(企業(yè)資源規(guī)劃)。第二種方案是從界面對(duì)象上來(lái)限制用戶(hù)對(duì)數(shù)據(jù)的訪問(wèn)，高級(jí)用戶(hù)往往都可以繞過(guò)界面對(duì)象而直接訪問(wèn)數(shù)據(jù)文件來(lái)訪問(wèn)數(shù)據(jù)，因此，為了保證其安全性，一般都和其它措施一起使用(如文件系統(tǒng)安全策略)。一般在中小型系統(tǒng)中采用。數(shù)據(jù)庫(kù)中的安全日志記錄了每一位用戶(hù)對(duì)系統(tǒng)的每一步操作行為，它就象一雙眼睛，時(shí)刻監(jiān)視著用戶(hù)對(duì)它的操作，如某用戶(hù)多次試圖登錄系統(tǒng)而未能進(jìn)入，某用戶(hù)試圖越權(quán)操作某些數(shù)據(jù)，包括用戶(hù)的誤操作等，都會(huì)記錄到日志中。通過(guò)查看日志，就可以知道用戶(hù)是否有非法操作行為，誤操作行為和系統(tǒng)的異常情況。日志也記錄下了用戶(hù)對(duì)系統(tǒng)的操作端點(diǎn)，便于在系統(tǒng)異常的情況下及時(shí)恢復(fù)系統(tǒng)數(shù)據(jù)。

同時(shí)隨著系統(tǒng)的運(yùn)行，數(shù)據(jù)庫(kù)中的數(shù)據(jù)是不斷變動(dòng)的，為防止意外，須定期備份數(shù)據(jù)。數(shù)據(jù)備份的方式有硬盤(pán)陣列，光盤(pán)刻錄，專(zhuān)用數(shù)據(jù)備份機(jī)等，這些技術(shù)己經(jīng)相當(dāng)成熟。在企業(yè)物流庫(kù)存管理系統(tǒng)中，采用的是硬盤(pán)陣列的方式。這種方式成本低，性能可靠，而且還可以方便地實(shí)現(xiàn)數(shù)據(jù)定期自動(dòng)備份。標(biāo)準(zhǔn)是一種極限:零庫(kù)存，即原材料和外購(gòu)件庫(kù)中庫(kù)存為零。這是一個(gè)理想的狀態(tài)，在實(shí)際企業(yè)經(jīng)營(yíng)活動(dòng)中，這個(gè)極限是不可能達(dá)到的。因?yàn)楣?yīng)鏈?zhǔn)且粋€(gè)整體，需要協(xié)調(diào)各方活動(dòng)才能取得最佳的整體績(jī)效。協(xié)調(diào)的目的是使?jié)M足一定服務(wù)質(zhì)量要求的信息可以無(wú)縫地、流暢地在供應(yīng)鏈中傳遞，從而使整個(gè)供應(yīng)鏈能夠根據(jù)用戶(hù)的要求步調(diào)一致，形成更為合理的供需關(guān)系，適應(yīng)復(fù)雜多變的市場(chǎng)環(huán)境。如果企業(yè)間缺乏協(xié)調(diào)與合作，就會(huì)導(dǎo)致交貨期的延遲和服務(wù)水平的下降，同時(shí)庫(kù)存水平也會(huì)因此而增加。為了應(yīng)付不確定性，結(jié)合JTT管理模式，供應(yīng)鏈上各個(gè)節(jié)點(diǎn)企業(yè)都設(shè)有一定的安全庫(kù)存，可以很好的解決企業(yè)達(dá)不到“零庫(kù)存”的問(wèn)題。安全庫(kù)存SS(Safe Stock)是一種統(tǒng)計(jì)數(shù)據(jù)，它包含了人們的實(shí)際作業(yè)經(jīng)驗(yàn)和統(tǒng)計(jì)計(jì)算結(jié)果。它與物料采購(gòu)周期、統(tǒng)計(jì)月份需求量，最大差異量標(biāo)準(zhǔn)差有直接關(guān)系。安全庫(kù)存的數(shù)學(xué)模型與以下因素相關(guān)：(1)安全系數(shù)

由于供貨概率服從正態(tài)分布，在系統(tǒng)設(shè)計(jì)中，考慮到企業(yè)因?yàn)樨浳锕?yīng)不足而導(dǎo)致缺貨的概率小于5%，企業(yè)不會(huì)因?yàn)槿必浂鴮?dǎo)致訂單消失，由正態(tài)分布表查得，當(dāng)安全系數(shù)為1.65時(shí)，從經(jīng)濟(jì)及較安全得角度出發(fā)，企業(yè)可以在不考慮缺貨損失的情況下，可以做到庫(kù)存數(shù)量的合理設(shè)置和控制，而不是越多越好。當(dāng)然，安全系數(shù)可以根據(jù)不同的企業(yè)、不同的外部環(huán)境選用不同的系數(shù)值。(2)訂貨周期 訂貨周期一般以月為單位，如果需要一周的，可以取T=0.25(月)。其中△M為差異量，它是在己知各月份需求量的條件下的需求量的最大差異量。修正系數(shù)C是企業(yè)歷史數(shù)據(jù)的數(shù)學(xué)統(tǒng)計(jì)結(jié)果。在系統(tǒng)中，利用上述公式和數(shù)據(jù)對(duì)企業(yè)的安全庫(kù)存進(jìn)行了設(shè)置。同時(shí)，對(duì)企業(yè)庫(kù)存實(shí)行監(jiān)控。當(dāng)貨物出現(xiàn)積壓或缺貨情況時(shí)，英語(yǔ)論文開(kāi)題報(bào)告系統(tǒng)會(huì)自動(dòng)提示相應(yīng)報(bào)警信息。

基于物流供應(yīng)鏈的企業(yè)物流管理信息系統(tǒng)(MIS)正是應(yīng)用于企業(yè)物流管理的一種先進(jìn)的管理思想和方法。在企業(yè)物流MIS中，企業(yè)應(yīng)充分重視供應(yīng)物流管理、生產(chǎn)物流管理、銷(xiāo)售物流管理三個(gè)環(huán)節(jié)。不僅以保證供應(yīng)為目標(biāo)，而且還是在以最低成本、最少消耗、以大保證來(lái)組織供應(yīng)，縮短整個(gè)生產(chǎn)的物流時(shí)間和物流距離，選取適宜的送貨方式、包裝方式、包裝水平、運(yùn)輸路線等并采取各種方法實(shí)現(xiàn)銷(xiāo)售?；谶h(yuǎn)程操作平臺(tái)的企業(yè)物流庫(kù)存管理系統(tǒng)(MIS)，運(yùn)用面向?qū)ο蠹夹g(shù)，實(shí)行多層分布式結(jié)構(gòu)，使系統(tǒng)便于網(wǎng)絡(luò)化。界面采用多文檔窗體MDI，運(yùn)行可靠、界面友好、操作方便，將日益為企業(yè)物流管理過(guò)程信息化提供更加強(qiáng)有力的技術(shù)支持。

參考文獻(xiàn)：

[1]現(xiàn)代物流課題組.物流成本管理.廣州:廣東經(jīng)濟(jì)出版社.2002.[2]黃潔綱.存貯論理論及其應(yīng)用.上海:上海科學(xué)技術(shù)文獻(xiàn)出版社.1999.[3]李德.運(yùn)籌學(xué).北京.清華大學(xué)出版社.2005.[4]秦明森.物流決策分析技術(shù).北京:中國(guó)物資出版社.2003.[5]吳清一.物流學(xué).北京:中國(guó)建材工業(yè)出版社.1996.[6]顧基發(fā).庫(kù)存控制管理.北京:煤炭工業(yè)出版社.2000.[7]劉志學(xué).現(xiàn)代物流手冊(cè).北京:中國(guó)物資出版社.2002.[8]韓平.現(xiàn)代物流技術(shù).北京:中國(guó)物資出版社.2002.

第五篇：信息安全策略綱要

信息安全策略綱要

1范圍

信息系統(tǒng)是技術(shù)密集的大型復(fù)雜的網(wǎng)絡(luò)化人機(jī)系統(tǒng)，其面臨的安全問(wèn)題非常突出。為了保障海南電網(wǎng)信息通信分公司（以下簡(jiǎn)稱(chēng)“公司”）信息系統(tǒng)的安全可靠運(yùn)行，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等相關(guān)標(biāo)準(zhǔn)法規(guī)制定本策略綱要。本綱要適用于公司信息系統(tǒng)。總體目標(biāo)

總體目標(biāo)：保護(hù)公司信息系統(tǒng)的硬件、軟件、業(yè)務(wù)信息和數(shù)據(jù)、通信網(wǎng)絡(luò)設(shè)備等資源的安全，有效防范各類(lèi)安全事故，合法合規(guī)發(fā)展各類(lèi)信息系統(tǒng)，確保為社會(huì)提供高效穩(wěn)定的電力服務(wù)。規(guī)范性引用文件

下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡注明日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)（不包括勘誤、通知單），然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡未注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)

《信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架》（GB/T 20274.1-2006）《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T 20269-2006）

《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GBT 22239-2008）本標(biāo)準(zhǔn)未涉及的管理內(nèi)容，參照國(guó)家、電力行業(yè)、南方電網(wǎng)公司的有關(guān)標(biāo)準(zhǔn)和規(guī)定執(zhí)行?？傮w方針

4.1組織與體制

構(gòu)筑確保信息安全所必需的組織與體制，明確其責(zé)任與權(quán)限。

4.2 遵守法令法規(guī)

遵守與信息安全有關(guān)的法令法規(guī)，制定并遵守按基本方針?biāo)贫ǖ男畔踩嚓P(guān)的規(guī)定。

4.3信息資產(chǎn)的分類(lèi)與管理

按照重要級(jí)別信息資產(chǎn)進(jìn)行分類(lèi)，并妥善管理。

4.4培訓(xùn)與教育

為使相關(guān)人員全面了解信息安全的重要性，適當(dāng)開(kāi)展針對(duì)性培訓(xùn)與教育教育活動(dòng)。使他們充分認(rèn)識(shí)信息安全的重要性以及掌握正確的管理方法。

4.5物理性保護(hù)

為避免非法入侵、干擾及破壞信息資產(chǎn)等事故的發(fā)生，對(duì)其保管場(chǎng)所與保管辦法加以明確。

4.6技術(shù)性保護(hù)

為切實(shí)保護(hù)信息資產(chǎn)不受來(lái)自外部的非法入侵，對(duì)信息系統(tǒng)的登錄方法、使用限制、網(wǎng)絡(luò)管理等采取適當(dāng)?shù)拇胧?/p>

4.7運(yùn)用

為確?；痉结樀膶?shí)際成效，在對(duì)遵守情況進(jìn)行監(jiān)督的同時(shí)，對(duì)違反基本方針時(shí)的處置辦法及針對(duì)來(lái)自外部的非法入侵等緊急事態(tài)采取的應(yīng)對(duì)措施等加以規(guī)定。

4.8評(píng)價(jià)及復(fù)審

隨著社會(huì)環(huán)境的變化、技術(shù)的進(jìn)步等，應(yīng)定期對(duì)基本方針與運(yùn)用方式進(jìn)行評(píng)價(jià)與復(fù)審安全策略

5.1安全管理制度

在信息安全中，最活躍的因素是人，對(duì)人的管理包括法律、法規(guī)與政策的約束、安全指南的幫助、安全意識(shí)的提高、安全技能的培訓(xùn)、人力資源管理措施以及企業(yè)文化的熏陶，這些功能的實(shí)現(xiàn)都是以完備的安全管理政策和制度為前提。安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動(dòng)的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。

安全管理制度重點(diǎn)關(guān)注管理制度、制定和發(fā)布、評(píng)審和修訂三方面。

目的是根據(jù)系統(tǒng)的安全等級(jí)，依照國(guó)家相關(guān)法律法規(guī)及政策標(biāo)準(zhǔn)，建立信息安全的各項(xiàng)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，規(guī)范基礎(chǔ)設(shè)施建設(shè)、系統(tǒng)和網(wǎng)絡(luò)平臺(tái)建設(shè)、應(yīng)用系統(tǒng)開(kāi)發(fā)、運(yùn)行管理等重要環(huán)節(jié)，奠定信息安全的基礎(chǔ)。

5.2安全管理機(jī)構(gòu)

建立組織管理體系是為了建立自上而下的信息安全工作管理體系，確定安全管理組織機(jī)構(gòu)的職責(zé)，統(tǒng)籌規(guī)劃、專(zhuān)家決策，以推動(dòng)信息安全工作的開(kāi)展。

公司成立信息安全領(lǐng)導(dǎo)小組，是信息安全的最高決策機(jī)構(gòu)，負(fù)責(zé)研究重大事件，落實(shí)方針政策，制定實(shí)施策略和原則，開(kāi)展安全普及教育等。下設(shè)辦公室負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組的日常事務(wù)。

信息安全領(lǐng)導(dǎo)小組下設(shè)兩個(gè)工作組：信息安全工作組、應(yīng)急處理工作組。組長(zhǎng)均由公司負(fù)責(zé)人擔(dān)任。

5.3人員安全管理

通過(guò)建立安全崗位責(zé)任制，最大限度降低人為失誤所造成的風(fēng)險(xiǎn)。人是決定性因素，人員安全管理的原則是：職責(zé)分離、有限授權(quán)、相互制約、任期審計(jì)。

人員安全管理的要素包括：安全管理人員配備、信息系統(tǒng)關(guān)鍵崗位、人員錄用、人員離崗、人員考核與審查、第三方人員管理等。

信息安全人員的配備和變更情況，應(yīng)向上一級(jí)單位報(bào)告、備案。

信息安全人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及公司業(yè)務(wù)核心技術(shù)的信息安全人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，并在規(guī)定的脫密期后，方可調(diào)離。

5.4系統(tǒng)建設(shè)管理

信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個(gè)生命周期，系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的前三個(gè)階段（初始、采購(gòu)、實(shí)施）中各項(xiàng)安全管理活動(dòng)。

系統(tǒng)建設(shè)管理分別從工程實(shí)施建設(shè)前、建設(shè)過(guò)程以及建設(shè)完畢交付等三方面考慮，具體包括系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)和安全服務(wù)商選擇十一個(gè)控制點(diǎn)。

5.5系統(tǒng)運(yùn)維管理

目的是保障信息系統(tǒng)日常運(yùn)行的安全穩(wěn)定，對(duì)運(yùn)行環(huán)境、技術(shù)支持、操作使用、病毒防范、備份措施、文檔建立等全方位管理。包括用戶(hù)管理、運(yùn)行操作管理、運(yùn)行維護(hù)管理、外包服務(wù)管理、有關(guān)安全機(jī)制保障、安全管理控制平臺(tái)等方面的管理要素。

對(duì)運(yùn)行過(guò)程的任何變化，數(shù)據(jù)、軟件、物理設(shè)置等，都應(yīng)實(shí)施技術(shù)監(jiān)控和管理手段以確保其完整性，防止信息非法復(fù)制、篡改，任何查詢(xún)和變更操作需經(jīng)過(guò)授權(quán)和合法性驗(yàn)證。

應(yīng)急管理也是運(yùn)維的重要內(nèi)容，目的是分析信息系統(tǒng)可能出現(xiàn)的緊急事件或?yàn)?zāi)難，建立一整套應(yīng)急措施，以保障核心業(yè)務(wù)的快速恢復(fù)和持續(xù)穩(wěn)定運(yùn)行。應(yīng)急計(jì)劃包括應(yīng)急處理和災(zāi)難恢復(fù)策略、應(yīng)急計(jì)劃、應(yīng)急計(jì)劃的實(shí)施保障等管理要素。

在海南省電網(wǎng)公司統(tǒng)一的應(yīng)急規(guī)劃下，針對(duì)信息系統(tǒng)面臨的各種應(yīng)急場(chǎng)景編制相應(yīng)的應(yīng)急預(yù)案，并經(jīng)過(guò)測(cè)試演練修訂，同時(shí)宣傳普及。

5.6物理安全

目的是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及信息系統(tǒng)免遭自然災(zāi)害和其他形式的破壞，保證信息系統(tǒng)的實(shí)體安全。

有關(guān)物理環(huán)境的選址和設(shè)計(jì)應(yīng)遵照相關(guān)標(biāo)準(zhǔn)，配備防火、防水、防雷擊、防靜電、防鼠害等機(jī)房措施，維持系統(tǒng)不間斷運(yùn)行能力，確保信息系統(tǒng)運(yùn)行的安全可靠。

對(duì)重要安全設(shè)備的選擇，需符合國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)范，相關(guān)證書(shū)齊全。

嚴(yán)格確定設(shè)備的合法使用人，建立詳細(xì)運(yùn)行日志和維護(hù)記錄。

5.7網(wǎng)絡(luò)安全

目的是有效防范網(wǎng)絡(luò)體系的安全風(fēng)險(xiǎn)，為業(yè)務(wù)應(yīng)用系統(tǒng)提供安全、可靠、穩(wěn)定的網(wǎng)絡(luò)管理和技術(shù)平臺(tái)。

對(duì)于依賴(lài)網(wǎng)絡(luò)架構(gòu)安全的業(yè)務(wù)應(yīng)用系統(tǒng)，需根據(jù)其安全級(jí)別，實(shí)施相應(yīng)的訪問(wèn)控制、身份認(rèn)證、審計(jì)等安全服務(wù)機(jī)制；在網(wǎng)絡(luò)邊界處，需根據(jù)資源的保護(hù)等級(jí)，實(shí)施相應(yīng)安全級(jí)別的防火墻、認(rèn)證、審計(jì)、動(dòng)態(tài)檢測(cè)等技術(shù)，防范信息資源的非法訪問(wèn)、篡改和破壞。

5.8主機(jī)安全

主機(jī)安全包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)層面的安全。終端/工作站是帶外設(shè)的臺(tái)式機(jī)與筆記本計(jì)算機(jī)，服務(wù)器則包括應(yīng)用程序、網(wǎng)絡(luò)、web、文件與通信等服務(wù)器。主機(jī)承載著各種應(yīng)用，是保護(hù)信息安全的中堅(jiān)力量。

主機(jī)安全需著重關(guān)注和加強(qiáng)身份鑒別、訪問(wèn)控制、惡意代碼防范、安全審計(jì)、入侵防范幾個(gè)方面，同時(shí)定期或不定期的進(jìn)行安全評(píng)估（含滲透性測(cè)試）和加固，實(shí)時(shí)確保主機(jī)的健壯性。

5.9應(yīng)用安全

應(yīng)用安全成是信息系統(tǒng)整體防御的最后一道防線，目的是保障業(yè)務(wù)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程及最終產(chǎn)品的安全性。

在應(yīng)用層面運(yùn)行著信息系統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用以及特定業(yè)務(wù)應(yīng)用?；诰W(wǎng)絡(luò)的應(yīng)用是形成其他應(yīng)用的基礎(chǔ)，是基本的應(yīng)用；業(yè)務(wù)應(yīng)用采納基本應(yīng)用的功能以滿(mǎn)足特定業(yè)務(wù)的要求；故最終是保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序的安全運(yùn)行。

應(yīng)用系統(tǒng)的總體需求計(jì)劃階段，應(yīng)全面評(píng)估系統(tǒng)的安全風(fēng)險(xiǎn)，確定系統(tǒng)的訪問(wèn)控制、身份認(rèn)證、審計(jì)跟蹤等安全需求；總體架構(gòu)設(shè)計(jì)階段，應(yīng)實(shí)施安全需求設(shè)計(jì)，確立安全服務(wù)機(jī)制、開(kāi)發(fā)人員技術(shù)要求和操作規(guī)程；應(yīng)用系統(tǒng)的實(shí)現(xiàn)階段，應(yīng)全程實(shí)施質(zhì)量控制，防止程序后門(mén)，減少代碼漏洞；在上線運(yùn)行之前，應(yīng)充分進(jìn)行局部功能、整體功能、壓力測(cè)試，以及系統(tǒng)安全性能、操作流程、應(yīng)急方案的測(cè)試。5.10數(shù)據(jù)安全及備份恢復(fù)

信息系統(tǒng)處理的各種數(shù)據(jù)（用戶(hù)數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等）在維持系統(tǒng)正常運(yùn)行上起著至關(guān)重要的作用。由于信息系統(tǒng)的各個(gè)層面（網(wǎng)絡(luò)、主機(jī)、應(yīng)用等）都對(duì)各類(lèi)數(shù)據(jù)進(jìn)行傳輸、存儲(chǔ)和處理等，因此，對(duì)數(shù)據(jù)的保護(hù)需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)和操作系統(tǒng)、應(yīng)用程序等提供支持。

數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無(wú)法恢復(fù)的重要手段，而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容。附 則

? 本標(biāo)準(zhǔn)由海南電網(wǎng)公司信息通信分公司負(fù)責(zé)解釋。

? 本標(biāo)準(zhǔn)自頒布之日起實(shí)行。