第一篇：淺談管理信息系統(tǒng)安全策略研究

淺談管理信息系統(tǒng)安全策略研究

本文重點探討信息系統(tǒng)的安全措施，及影響計算機網(wǎng)絡(luò)安全的主要因素，增強防范意思，確保計算機網(wǎng)絡(luò)信息安全性、保密性、完整性和可靠性。

關(guān)鍵詞: 管理系統(tǒng) 系統(tǒng)安全 信息科學(xué) 加密技術(shù) 防火墻

隨著信息時代的發(fā)展，計算機網(wǎng)絡(luò)得到了廣泛應(yīng)用，網(wǎng)絡(luò)的安全性已成為不同使用層次的用戶共同關(guān)心的問題。人們都希望自己的網(wǎng)絡(luò)系統(tǒng)能更加安全可靠地運行。但隨著網(wǎng)絡(luò)信息傳輸量的急劇增長，一些機構(gòu)和部門上網(wǎng)的數(shù)據(jù)也會遭到不同程度的破壞。攻擊者可以竊取網(wǎng)絡(luò)上的信息，竊用口令、篡改數(shù)據(jù)庫內(nèi)容，釋放計算機病毒等。這致使數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅，所以解決好網(wǎng)絡(luò)的安全性、可靠性問題，是確保網(wǎng)絡(luò)正常運行的前提和保障，更好地為企事業(yè)單位提供信息咨詢、信息檢索、信息存取等服務(wù)。

一、管理信息系統(tǒng)的發(fā)展歷史

管理信息系統(tǒng)的概念起源很早。早在20世紀(jì)初，隨著科學(xué)技術(shù)和社會經(jīng)濟的迅速發(fā)展，人們迫切要求文獻信息管理工作的發(fā)展速度與之相互適應(yīng)。20世紀(jì)30年代，柏德就強調(diào)了決策在組織管理中的作用。50年代，西蒙提出了管理依賴于信息和決策的概念。同一時代維納發(fā)表了控制論與管理，他把管理過程當(dāng)成一個控制過程，此時計算機已用于會計工作。

管理信息系統(tǒng)已經(jīng)逐步成為一個獨立的學(xué)科分支，它繼承了其他眾多學(xué)科的理論及其應(yīng)用技術(shù)，它與信息科學(xué)、系統(tǒng)科學(xué)、計算機科學(xué)、控制理論、統(tǒng)計學(xué)、會計學(xué)、經(jīng)濟學(xué)、管理科學(xué)有著十分密切的聯(lián)系。同時，它又廣泛地應(yīng)用于工業(yè)、農(nóng)業(yè)、交通、運輸、文化、教育、衛(wèi)生、體育以及各種社會經(jīng)濟活動的信息管理之中，并起著極其重要的作用，顯示出強大的生命力。

隨著社會的不斷進步、科學(xué)技術(shù)快速發(fā)展，管理工作越來越重要。在現(xiàn)代管理科學(xué)體系中，管理信息系統(tǒng)正不斷發(fā)展、逐步完善，它已被公認(rèn)為是一門不可替代的嶄新學(xué)科。計算機作為現(xiàn)代化的工具與手段，已成為信息處理的重要工具。計算機的應(yīng)用范圍越來越廣，最終導(dǎo)致了管理信息系統(tǒng)的產(chǎn)生。

管理信息系統(tǒng)依賴于管理和科學(xué)技術(shù)的發(fā)展而形成、依賴于電子計算機的發(fā)展而發(fā)展的，管理信息系統(tǒng)是與電子計算機同步發(fā)展的，它是現(xiàn)代化管理的標(biāo)志。

二、國內(nèi)信息系統(tǒng)發(fā)展現(xiàn)狀、存在問題

企業(yè)是國民經(jīng)濟的基礎(chǔ)，而企業(yè)信息系統(tǒng)建設(shè)是企業(yè)走向現(xiàn)代化的必由之路。我國目前各類企業(yè)在近20年來，不同程度上都遇到了企業(yè)信息系統(tǒng)建設(shè)的問題。80年代以來，國家有關(guān)部門就一直非常重視企業(yè)信息化的推進。90年代以后，隨著微型計算機、互連網(wǎng)等迅速普及，計算機技術(shù)對企業(yè)的影響越來越大，企業(yè)信息化進一步為人們所重視。

在信息化快速發(fā)展的時代，我們在充分肯定這些已經(jīng)取得的成果同時也不能忽視一些普遍存在的問題。在過去10年左右，我國企業(yè)信息系統(tǒng)建設(shè)雖然轟轟烈烈地發(fā)展，但其成功率并不是很理想。一些企業(yè)已經(jīng)投入使用的模塊，實際中并未發(fā)揮作用，它只是針對一些局部系統(tǒng)，或特定類型的產(chǎn)品處于試運行階段。一些企業(yè)中的計算機的97%是用來做文字處理工作，有1/5的計算機是經(jīng)常用來玩游戲的。這些調(diào)查、結(jié)果分析都說明：我國企業(yè)目前雖然使用計算機已經(jīng)比較普遍，但許多信息系統(tǒng)的應(yīng)用情況卻并沒有達到預(yù)想的效果。

三、信息系統(tǒng)開發(fā)的緊迫性

隨著企業(yè)規(guī)模的擴大和市場競爭的更加激烈，各行各業(yè)都愈來愈認(rèn)識到人力資源管理的重要性及提升企業(yè)自身人力資源管理水平的迫切性，而人力資源管理水平的提升不僅需要高素質(zhì)的管理人員，而且也需要信息化工具進行輔助。隨著中國企業(yè)管理水平的提高，人才的爭奪與管理已成為中國所面臨的嚴(yán)重問題。要面對高強度的競爭無疑是需要優(yōu)秀的管理人才，而科學(xué)管理的實施是離不開數(shù)字化的工具做輔助。特別在組織規(guī)模不斷擴大的今天，做為管理人員和單位領(lǐng)導(dǎo)者要想對單位進行有效的管理和正確的決策就必須借助于數(shù)字化管理工具。

四、網(wǎng)絡(luò)安全應(yīng)具備的功能及影響信息系統(tǒng)安全的主要因素

1、計算機網(wǎng)絡(luò)應(yīng)用系統(tǒng)必須具備以下功能：

（1）訪問控制（2）檢查安全漏洞（3）攻擊監(jiān)控（4）加密通訊（5）認(rèn)證（6）備份和恢復(fù)（7）多層防御（8）?設(shè)立安全監(jiān)控中心

2、影響信息系統(tǒng)安全的主要因素

(1)信息系統(tǒng)在穩(wěn)定性和可擴充性方面存在。由于設(shè)計系統(tǒng)的不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響。

(2)網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)。主要是文件服務(wù)器，它是網(wǎng)絡(luò)的中樞，其運行穩(wěn)定性、功能完善性直接影響信息系統(tǒng)的質(zhì)量。設(shè)計和選型考慮欠周密，影響網(wǎng)絡(luò)的可靠性、擴充性和升級換代。

(3)缺乏安全策略。許多站點在防火墻配置上無意識地擴大了訪問權(quán)限，忽視了這些權(quán)限可能會被其他人員濫用。

(4)管理制度不健全，網(wǎng)絡(luò)管理、維護不力。

五、?網(wǎng)絡(luò)安全應(yīng)具備的防范措施

1.信息系統(tǒng)結(jié)構(gòu)設(shè)計合理與否是網(wǎng)絡(luò)安全運行的關(guān)鍵。全面分析信息系統(tǒng)設(shè)計的每個環(huán)節(jié)是企事業(yè)單位建立安全可靠的信息工程的首要任務(wù)。在總體設(shè)計方面要注意以下幾個問題：對接入以太網(wǎng)上任一節(jié)點進行偵聽，捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，竊取關(guān)鍵信息。為了解除這個信息系統(tǒng)固有的安全隱患，可采取以下措施：(1)網(wǎng)絡(luò)分段技術(shù)的應(yīng)用從源頭杜絕網(wǎng)絡(luò)的安全隱患問題。局域網(wǎng)采取物理分段與邏輯分段，來實現(xiàn)對局域網(wǎng)的安全控制，目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，防止非法偵聽，保證信息的安全暢通。(2)解除隱患的另一方法是交換式集線器代替共享式集線器。

2.強化計算機管理是信息系統(tǒng)安全的保證

(1)加強設(shè)施管理，確保計算機網(wǎng)絡(luò)系統(tǒng)實體安全。健全安全管理制度，防止非法用戶進入計算機控制室和其它各種非法行為的發(fā)生。在保護計算機系統(tǒng)、打印機、網(wǎng)絡(luò)服務(wù)器等外部設(shè)備和能信鏈路上下大功夫，并不定期的對運行溫度、濕度、清潔度、供電接頭、三防措施、志線、設(shè)備等進行檢查、測試和維護。著力改善抑制、防止電磁泄漏的能力，確保計算機系統(tǒng)有一個良好的電磁兼容的工作環(huán)境。

(2)強化訪問控制，力求計算機網(wǎng)絡(luò)系統(tǒng)正常運行。

第一，建立入網(wǎng)訪問功能模塊。通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達攻擊目標(biāo)之前。入網(wǎng)訪問控制為網(wǎng)絡(luò)提供了第一層訪問控制。它允許哪些用戶可以登錄到網(wǎng)絡(luò)服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為3個過程：用戶名的識別與驗證；用戶口令的識別與驗證；用戶賬號的檢查。在3個過程中如果其中一個不能成立，系統(tǒng)就視為非法用戶，則不能訪問。

第二，建立網(wǎng)絡(luò)的權(quán)限控制模塊。網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提

出的一種安全保護措施?？梢愿鶕?jù)訪問權(quán)限將用戶分為3種類型：特殊用戶、一般用戶、審計用戶。

第三，建立屬性安全服務(wù)模塊。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。網(wǎng)絡(luò)屬性可以控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄、文件的查看、執(zhí)行、隱含、共享及系統(tǒng)屬性等，還可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。

第四，建立檔案信息加密制度。主動地加密通訊，可使攻擊者不能了解、修改敏感信息。良好的認(rèn)證體系可防止攻擊者假冒合法用戶，防止數(shù)據(jù)非法泄漏。第五，建立完善的備份及恢復(fù)機制。良好的備份和恢復(fù)機制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。同時，建立強大的數(shù)據(jù)庫觸發(fā)器和恢復(fù)重要數(shù)據(jù)的操作以及更新任務(wù)，確保在任何情況下使重要數(shù)據(jù)均能最大限度地得到恢復(fù)。

第六，建立網(wǎng)絡(luò)服務(wù)器安全設(shè)置模塊。網(wǎng)絡(luò)服務(wù)器的安全控制包括設(shè)置口令鎖定服務(wù)器控制臺；設(shè)置服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔；安裝防火墻。

第七、建立安全監(jiān)控設(shè)施。為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護及緊急情況服務(wù)。

綜上所述，對于計算機網(wǎng)絡(luò)傳輸?shù)陌踩珕栴}，我們必須要做到以下幾點。第一，應(yīng)嚴(yán)格限制上網(wǎng)用戶所訪問的系統(tǒng)信息和資源，這一功能可通過在訪問服務(wù)器上防火墻來實現(xiàn)。第二，應(yīng)加強對上網(wǎng)用戶的身份認(rèn)證，使用RADIUS等專用身份驗證服務(wù)器?？梢詫崿F(xiàn)對上網(wǎng)用戶帳號的統(tǒng)一管理；在身份驗證過程中采用加密的手段，避免用戶口令泄露的可能性。第三，在數(shù)據(jù)傳輸過程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。VPN在提供網(wǎng)間數(shù)據(jù)加密的同時，也提供了針對單機用戶的加密客戶端軟件，即采用軟件加密的技術(shù)來保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

參考文獻

[1]??計算機網(wǎng)絡(luò)技術(shù).西安電子科技大學(xué)出版社,?2001

[2]??計算機網(wǎng)絡(luò)與通信.北京大學(xué)出版社,?1999.[3]??計算機學(xué)報.?2001-2006.[4]?電腦報.?2000-2002.??

第二篇：管理信息系統(tǒng)安全策略

管理信息系統(tǒng)安全策略

對于企業(yè)競爭來說，資料的保密和安全是非常重要的。資料的保密和安全涉及以下幾個方面：

1、資料自身的完整性和規(guī)范性；

2、資料存儲的安全性；

3、資料的維護（更新）和引用（查閱）的管理手續(xù)（即流程）的規(guī)范性及權(quán)力限定的嚴(yán)謹(jǐn)性。

用一句通俗的話來歸納，在企業(yè)中，只有通過授權(quán)的人（崗位）才可使用（包括維護和引用）相關(guān)的資料，嚴(yán)禁未經(jīng)過授權(quán)的人（崗位）非法使用資料。而對于（計算機）管理信息系統(tǒng)應(yīng)用來說，資料包括基礎(chǔ)（技術(shù)）數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。首選要求數(shù)據(jù)（即資料）要具有良好的共享性，其次要求流程（即業(yè)務(wù)）處理具有連貫性。

基于上述兩者之間的需求，要求（計算機）管理信息系統(tǒng)本身應(yīng)具有下列基本功能：

1、保證企業(yè)資料的完整性和一致性（關(guān)系數(shù)據(jù)庫本身功能可解決）；

2、資料存儲的安全可靠性（可通過配置高性能的數(shù)據(jù)庫服務(wù)器、備份及加強服務(wù)器的保安管理可解決）；

3、通過強有力的權(quán)限管理功能，將企業(yè)所有的數(shù)據(jù)根據(jù)實際情況定義出所有者（機構(gòu)）。同時授權(quán)（控制）每個人（崗位）的功能模塊（業(yè)務(wù)操作）使用權(quán)限，所能查閱及維護的數(shù)據(jù)的范圍（即能查閱哪些機構(gòu)的數(shù)據(jù)，在軟件系統(tǒng)中表現(xiàn)為數(shù)據(jù)表中的記錄行），以及查閱及維護數(shù)據(jù)的哪些明細(xì)屬性（在軟件系統(tǒng)中表現(xiàn)為數(shù)據(jù)表的列）；

4、結(jié)合企業(yè)運作的實際情況和未來需要，可定義出各業(yè)務(wù)之間的工作（操作）流程。

第三篇：網(wǎng)絡(luò)安全策略研究論文

計算機網(wǎng)絡(luò)是一個開放和自由的網(wǎng)絡(luò)，它在大大增強了網(wǎng)絡(luò)信息服務(wù)靈活性的同時，也給黑客攻擊和入侵敞開了方便之門。不僅傳統(tǒng)的病毒借助互聯(lián)網(wǎng)加快了其傳播速度并擴大了其傳播范圍，而且各種針對網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊方法層出不窮。這些黑客把先進的計算機網(wǎng)絡(luò)技術(shù)，當(dāng)成一種新式犯罪工具和手段，不僅影響了網(wǎng)絡(luò)穩(wěn)定運行和用戶的正常使用，造成重大經(jīng)濟損失，而且會威脅到國家安全。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為影響一個國家的政治、經(jīng)濟、軍事和人民生活的重大關(guān)鍵問題。近年來，網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性開始成為世界各國共同關(guān)注的焦點。文章分析了幾種常見的網(wǎng)絡(luò)入侵方法以及在此基礎(chǔ)上探討了網(wǎng)絡(luò)安全的幾點策略。

一、常見的幾種網(wǎng)絡(luò)入侵方法

由于計算機網(wǎng)絡(luò)的設(shè)計初衷是資源共享、分散控制、分組交換，這決定了互聯(lián)網(wǎng)具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而易舉地進入各級網(wǎng)絡(luò)，并將破壞行為迅速地在網(wǎng)絡(luò)中傳播。同時，計算機網(wǎng)絡(luò)還有著自然社會中所不具有的隱蔽性：無法有效識別網(wǎng)絡(luò)用戶的真實身份；由于互聯(lián)網(wǎng)上信息以二進制數(shù)碼，即數(shù)字化的形式存在，所以操作者能比較容易地在數(shù)據(jù)傳播過程中改變信息內(nèi)容。計算機網(wǎng)絡(luò)的傳輸協(xié)議及操作系統(tǒng)也存在設(shè)計上的缺陷和漏洞，從而導(dǎo)致各種被攻擊的潛在危險層出不窮，這使網(wǎng)絡(luò)安全問題與傳統(tǒng)的各種安全問題相比面臨著更加嚴(yán)峻的挑戰(zhàn)，黑客們也正是利用這樣的特征研發(fā)出了各種各樣的攻擊和入侵方法：

1.通過偽裝發(fā)動攻擊

利用軟件偽造Ip包，把自己偽裝成被信任主機的地址，與目標(biāo)主機進行會話，一旦攻擊者冒充成功，就可以在目標(biāo)主機并不知曉的情況下成功實施欺騙或入侵；或者，通過偽造Ip地址、路由條目、DNS解析地址，使受攻擊服務(wù)器無法辨別這些請求或無法正常響應(yīng)這些請求，從而造成緩沖區(qū)阻塞或死機；或者，通過將局域網(wǎng)中的某臺機器Ip地址設(shè)置為網(wǎng)關(guān)地址，導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包無法正常轉(zhuǎn)發(fā)而使某一網(wǎng)段癱瘓。

2.利用開放端口漏洞發(fā)動攻擊

利用操作系統(tǒng)中某些服務(wù)開放的端口發(fā)動緩沖區(qū)溢出攻擊。這主要是由于軟件中邊界條件、函數(shù)指針等方面設(shè)計不當(dāng)或缺乏限制，因而造成地址空間錯誤的一種漏洞。利用軟件系統(tǒng)中對某種特定類型的報文或請求沒有處理，導(dǎo)致軟件遇到這種類型的報文時運行出現(xiàn)異常，從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。

3.通過木馬程序進行入侵或發(fā)動攻擊

木馬是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點，一旦被成功植入到目標(biāo)主機中，計算機就成為黑客控制的傀儡主機，黑客成了超級用戶。木馬程序可以被用來收集系統(tǒng)中的重要信息，如口令、賬號、密碼等。此外，黑客可以遠(yuǎn)程控制傀儡主機對別的主機發(fā)動攻擊，如DDoS攻擊就是大量傀儡主機接到攻擊命令后，同時向被攻擊目標(biāo)發(fā)送大量的服務(wù)請求數(shù)據(jù)包。

4.嗅探器和掃描攻擊

嗅探器是利用計算機的網(wǎng)絡(luò)接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種技術(shù)。網(wǎng)絡(luò)嗅探器通過被動地監(jiān)聽網(wǎng)絡(luò)通信、分析數(shù)據(jù)來非法獲得用戶名、口令等重要信息，它對網(wǎng)絡(luò)安全的威脅來自其被動性和非干擾性，使得網(wǎng)絡(luò)嗅探具有很強的隱蔽性，往往讓網(wǎng)絡(luò)信息泄密變得不容易被發(fā)現(xiàn)。掃描，是指針對系統(tǒng)漏洞，對系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為。由于漏洞普遍存在，掃描手段往往會被惡意使用和隱蔽使用，探測他人主機的有用信息，作為實施下一步攻擊的前奏。

為了應(yīng)對不斷更新的網(wǎng)絡(luò)攻擊手段，網(wǎng)絡(luò)安全技術(shù)也經(jīng)歷了從被動防護到主動檢測的發(fā)展過程。主要的網(wǎng)絡(luò)安全技術(shù)包括：防火墻、VpN、防毒墻、入侵檢測、入侵防御、漏洞掃描。其中防病毒、防火墻和VpN屬早期的被動防護技術(shù)，入侵檢測、入侵防

御和漏洞掃描屬主動檢測技術(shù)，這些技術(shù)領(lǐng)域的研究成果已經(jīng)成為眾多信息安全產(chǎn)品的基礎(chǔ)。

二、網(wǎng)絡(luò)的安全策略分析

早期的網(wǎng)絡(luò)防護技術(shù)的出發(fā)點是首先劃分出明確的網(wǎng)絡(luò)邊界，然后通過在網(wǎng)絡(luò)邊界處對流經(jīng)的信息利用各種控制方法進行檢查，只有符合規(guī)定的信息才可以通過網(wǎng)絡(luò)邊界，從而達到阻止對網(wǎng)絡(luò)攻擊、入侵的目的。主要的網(wǎng)絡(luò)防護技術(shù)包括：

1.防火墻

防火墻是一種隔離控制技術(shù)，通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強制實施訪問控制，常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過；狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性；應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實現(xiàn)，它使用一個運行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，其目的在于隱蔽被保護網(wǎng)絡(luò)的具體細(xì)節(jié)，保護其中的主機及其數(shù)據(jù)。

2.VpN

VpN（Virtual private Network）即虛擬專用網(wǎng)絡(luò)，它是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。它可以幫助異地用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商與內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。為了保障信息的安全，VpN技術(shù)采用了鑒別、訪問控制、保密性和完整性等措施，以防止信息被泄露、篡改和復(fù)制。VpN技術(shù)可以在不同的傳輸協(xié)議層實現(xiàn)，如在應(yīng)用層有SSL協(xié)議，它廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序，提供對等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密；在會話層有Socks協(xié)議，在該協(xié)議中，客戶程序通過Socks客戶端的1080端口透過防火墻發(fā)起連接，建立到Socks服務(wù)器的VpN隧道；在網(wǎng)絡(luò)層有IpSec協(xié)議，它是一種由IETF設(shè)計的端到端的確保Ip層通信安全的機制，對Ip包進行的IpSec處理有AH（Authentication Header）和ESp（Encapsulating Security payload）兩種方式。

3.防毒墻

防毒墻是指位于網(wǎng)絡(luò)入口處，用于對網(wǎng)絡(luò)傳輸中的病毒進行過濾的網(wǎng)絡(luò)安全設(shè)備。防火墻能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進行分析，但它對從允許連接的電腦上發(fā)送過來的病毒數(shù)據(jù)流卻是無能為力的，因為它無法識別合法數(shù)據(jù)包中是否存在病毒這一情況；防毒墻則是為了解決防火墻這種防毒缺陷而產(chǎn)生的一種安全設(shè)備。防毒墻使用簽名技術(shù)在網(wǎng)關(guān)處進行查毒工作，阻止網(wǎng)絡(luò)蠕蟲(Worm)和僵尸網(wǎng)絡(luò)(BOT)的擴散。此外，管理人員能夠定義分組的安全策略，以過濾網(wǎng)絡(luò)流量并阻止特定文件傳輸、文件類型擴展名、即時通信信道、批量或單獨的Ip/MAC地址，以及TCp/UDp端口和協(xié)議。

三、網(wǎng)絡(luò)檢測技術(shù)分析

人們意識到僅僅依靠防護技術(shù)是無法擋住所有攻擊，于是以檢測為主要標(biāo)志的安全技術(shù)應(yīng)運而生。這類技術(shù)的基本思想是通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動來識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊。包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。主要的網(wǎng)絡(luò)安全檢測技術(shù)有：

1.入侵檢測

入侵檢測系統(tǒng)（Intrusion Detection System,IDS）是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動來識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。作為防火墻的有效補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付已知和未知網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

2.入侵防御

入侵防御系統(tǒng)（Intrusion prevention System,IpS）則是一種主動的、積極的入侵防范、阻止系統(tǒng)。IpS是基于IDS的、建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù)，IpS的檢測功能類似于IDS，防御功能類似于防火墻。IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動地檢測網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限；而IpS部署在網(wǎng)絡(luò)的進出口處，當(dāng)它檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。可以認(rèn)為IpS就是防火墻加上入侵檢測系統(tǒng)，但并不是說IpS可以代替防火墻或入侵檢測系統(tǒng)。防火墻是粒度比較粗的訪問控制產(chǎn)品，它在基于TCp/Ip協(xié)議的過濾方面表現(xiàn)出色，同時具備網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計、VpN等功能。

3.漏洞掃描

漏洞掃描技術(shù)是一項重要的主動防范安全技術(shù)，它主要通過以下兩種方法來檢查目標(biāo)主機是否存在漏洞：在端口掃描后得知目標(biāo)主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標(biāo)主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標(biāo)主機系統(tǒng)存在安全漏洞。發(fā)現(xiàn)系統(tǒng)漏洞的一種重要技術(shù)是蜜罐(Honeypot)系統(tǒng)，它是故意讓人攻擊的目標(biāo)，引誘黑客前來攻擊。通過對蜜罐系統(tǒng)記錄的攻擊行為進行分析，來發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的漏洞。

四、結(jié)語

盡管傳統(tǒng)的安全技術(shù)在保障網(wǎng)絡(luò)安全方面發(fā)揮了重要作用，但在一個巨大、開放、動態(tài)和復(fù)雜的互聯(lián)網(wǎng)中技術(shù)都存在著各種各樣的局限性。安全廠商在疲于奔命的升級產(chǎn)品的檢測數(shù)據(jù)庫，系統(tǒng)廠商在疲于奔命的修補產(chǎn)品漏洞，而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統(tǒng)的防病毒軟件只能用于防范計算機病毒，防火墻只能對非法訪問通信進行過濾，而入侵檢測系統(tǒng)只能被用來識別特定的惡意攻擊行為。在一個沒有得到全面防護的計算機設(shè)施中，安全問題的炸彈隨時都有爆炸的可能。用戶必須針對每種安全威脅部署相應(yīng)的防御手段，這樣使信息安全工作的復(fù)雜度和風(fēng)險性都難以下降。為了有效地解決日益突出的網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全研究人員和網(wǎng)絡(luò)安全企業(yè)也不斷推出新的網(wǎng)絡(luò)安全技術(shù)和安全產(chǎn)品。

參考文獻:

[1]周碧英:淺析計算機網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技,2008,24(3):18～19

[2]潘號良:面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全措施探討[J].軟件導(dǎo)刊, 2008,(3):74～75

[3]劉愛國李志梅談:電子商務(wù)中的網(wǎng)絡(luò)安全管理[J].商場現(xiàn)代化,2007,(499):76～77

[4]孫曉南:防火墻技術(shù)與網(wǎng)絡(luò)安全[J].科技信息,2008,(3): 199～120

[5]趙立志林偉:淺析網(wǎng)絡(luò)安全技術(shù)[J].民營科技,2008,(3):193

第四篇：淺析基于供應(yīng)鏈的企業(yè)物流管理信息系統(tǒng)及其安全策略

摘要: 企業(yè)物流管理信息系統(tǒng)(MIS)是應(yīng)用于企業(yè)物流管理的一種先進的管理思想和方法。在企業(yè)物流MIS中，企業(yè)可以隨時查詢庫存的動態(tài)信息，進行庫存物流信息化管理，在企業(yè)信息構(gòu)成的基礎(chǔ)上，構(gòu)建庫存管理信息系統(tǒng)設(shè)計的各個模塊的運行界面，系統(tǒng)的安全設(shè)計策略尤為重要。所以對供應(yīng)鏈進行研究分析，強化企業(yè)物流管理信息系統(tǒng)的安全策略具有決定性的意義。

關(guān)鍵詞: 物流;管理信息系統(tǒng);庫存管理;決策系統(tǒng)

現(xiàn)代物流是社會化大生產(chǎn)和科技發(fā)展到一定階段產(chǎn)生的新興服務(wù)業(yè)，現(xiàn)代物流是將采購、生產(chǎn)、銷售等傳統(tǒng)物流中各環(huán)節(jié)予以綜合考慮，追求包含采購、生產(chǎn)、銷售等在內(nèi)的貨物流轉(zhuǎn)的整體最佳狀態(tài)，最大限度地優(yōu)化從制造者到消費者之間的運輸和運輸流動信息的分配，并利用先進信息技術(shù)和專業(yè)能力盡可能地減少商品庫存、英語論文開題報告降低運輸費用，加快交貨時間并提高客戶服務(wù)水平。所謂企業(yè)物流，即企業(yè)中實物流動，是實現(xiàn)物料(包括全部原材料，半成品，成品)物理位置轉(zhuǎn)移的經(jīng)濟活動。

企業(yè)物流中的供應(yīng)鏈管理是把供應(yīng)鏈上的各個企業(yè)作為一個不可分割的整體，使供應(yīng)鏈上各企業(yè)分擔(dān)的采購、生產(chǎn)、分銷和銷售的職能成為一個協(xié)調(diào)發(fā)展的有機體。它最關(guān)鍵的是采用集成的思想和方法，而不僅僅是節(jié)點企業(yè)、技術(shù)方法等資源簡單的連接，而現(xiàn)代物流的重點仍然是放在管理庫存上，把庫存作為平衡有限的生產(chǎn)能力和適應(yīng)用戶變化的緩沖手段。供應(yīng)鏈管理關(guān)心的并不僅僅是貨物實體在供應(yīng)鏈中的流動，除了企業(yè)內(nèi)部與企業(yè)之間的運輸和實物分銷之外，供應(yīng)鏈管理還包括:（1）戰(zhàn)略性供應(yīng)商和用戶合作伙伴的關(guān)系管理；（2）供應(yīng)鏈產(chǎn)品需求預(yù)測和計劃；

（3）供應(yīng)鏈的設(shè)計(全球節(jié)點企業(yè)、資源、設(shè)備等的評價、選擇和定位)；（4）企業(yè)內(nèi)部與企業(yè)之間貨物供應(yīng)與需求管理；

（5）基于供應(yīng)鏈管理的產(chǎn)品設(shè)計與制造管理、生產(chǎn)集成化計劃、跟蹤和控制；（6）企業(yè)間資金流管理(匯率、成本)；

（7）基于供應(yīng)鏈的用戶服務(wù)與物流(運輸、庫存、包裝等)管理；（8）基于Internet的供應(yīng)鏈交互信息管理等。由此可見，供應(yīng)鏈管理不但涵蓋了現(xiàn)代物流管理的全部內(nèi)容，而且從更高的層次上解決了物流管理問題。物流被廣泛認(rèn)為是當(dāng)今影響企業(yè)競爭力的一個重要因素，因此對企業(yè)物流實施現(xiàn)代化的管理是企業(yè)一個強有力的發(fā)展空間。依托高新技術(shù)作為強有力的支撐，建設(shè)企業(yè)物流管理信息系統(tǒng)不僅有利于實現(xiàn)企業(yè)物流供應(yīng)鏈的一體化和信息化，提高物流管理的系統(tǒng)性和集成性，也將為企業(yè)與供應(yīng)商、銷售商、客戶間物流信息網(wǎng)絡(luò)的建設(shè)和供應(yīng)鏈一體化奠定良好的基礎(chǔ)圈。

一般MIS系統(tǒng)采用Microsoft公司的SQL Server 7.0。其出入庫管理模塊設(shè)計主要包括采購入庫管理主從明細(xì)表(HUOWRUKXINX,HUOWRUKMXB)、成品銷售出庫管理主從明細(xì)表(HUOWCHUKXINX,CAIGTUIKMXB)、采購?fù)素浌芾碇鲝拿骷?xì)表(CAIGTUIKXINX,CAIGTUIKMXB)、銷售退庫管理主從明細(xì)表(XIAOSTUIKXINX,XIAOST-UIKMXB)、倉庫設(shè)置(CANGKSHEZ)等。數(shù)據(jù)庫中的設(shè)計采用主從明細(xì)表，方便對表的修改。當(dāng)用戶錄入、修改、刪除主表數(shù)據(jù)時，從表中對應(yīng)的數(shù)據(jù)也相應(yīng)地被更新。例如，當(dāng)用戶刪除采購入庫管理中入庫單號為“1234”所在行的數(shù)據(jù)時，采購入庫管理從表中入庫單號為“1234”所在行的數(shù)據(jù)也將被刪除，那么在當(dāng)前庫存表中貨物編號為C9654所在行的數(shù)據(jù)也將被刪除。極大地方便了管理員對于數(shù)據(jù)的采集管理工作。

企業(yè)物流庫存管理系統(tǒng)的安全性包括數(shù)據(jù)操作安全和數(shù)據(jù)存儲安全。數(shù)據(jù)操作安全主要是為了防止人為因素對數(shù)據(jù)的破壞，防止非法用戶進入系統(tǒng)，盜取數(shù)據(jù)；保證合法用戶安全操作系統(tǒng)，所以在MIS系統(tǒng)中應(yīng)考慮用戶權(quán)限分配策略和安全日志策略。另外在選用操作平臺時對系統(tǒng)安全性進行綜合考慮，全面保證系統(tǒng)的數(shù)據(jù)操作安全。數(shù)據(jù)存儲安全是為了防止系統(tǒng)故障(如軟件病毒、機器物理損壞、誤操作等因素造成的系統(tǒng)故障)引起的數(shù)據(jù)丟失在這方面主要采取數(shù)據(jù)備份策略。其中權(quán)限分配策略旨在使用戶只能按給定的權(quán)限對指定的數(shù)據(jù)對象進行操作。權(quán)限分配策略可以在前端(應(yīng)用程序)和后臺(數(shù)據(jù)庫管理系統(tǒng))分別實現(xiàn)。后臺的權(quán)限分配是通過數(shù)據(jù)庫管理系統(tǒng)的功能來實現(xiàn)的。較大型的數(shù)據(jù)庫管理系統(tǒng)(如:MS SQL Server)都設(shè)計了功能強大的數(shù)據(jù)安全體系。數(shù)據(jù)對象的增、刪、改、查看、運行等操作權(quán)限都可以分配給相應(yīng)的用戶。通過后臺的權(quán)限分配，用戶只能對數(shù)據(jù)對象行使權(quán)限允許范圍內(nèi)的操作行為，而不能越權(quán)。前端的權(quán)限分配一般都是在客戶端時通過設(shè)置一定的程序使用的。用戶的操作行為通常是從用戶界面開始的，各種操作行為往往又和各個界面對象是綁定在一起的，用戶訪問不到數(shù)據(jù)對象，也就執(zhí)行不了數(shù)據(jù)對象所對應(yīng)的操作行為。將用戶的各種操作行為按需要進行詳細(xì)的劃分，并將這些操作行為綁定在對應(yīng)的界面對象上，將界面對象的訪問權(quán)力分配給用戶，就可以有效地將數(shù)據(jù)對象的操作權(quán)限分配給用戶。對于訪問權(quán)限的設(shè)置有兩種備選方案，兩種方案各有特色。第一種方案從數(shù)據(jù)底層限制對數(shù)據(jù)的訪問，數(shù)據(jù)操作更加安全，但它一般都只在網(wǎng)絡(luò)數(shù)據(jù)庫中采用，適用于較大型的數(shù)據(jù)庫應(yīng)用中，如ERP(企業(yè)資源規(guī)劃)。第二種方案是從界面對象上來限制用戶對數(shù)據(jù)的訪問，高級用戶往往都可以繞過界面對象而直接訪問數(shù)據(jù)文件來訪問數(shù)據(jù)，因此，為了保證其安全性，一般都和其它措施一起使用(如文件系統(tǒng)安全策略)。一般在中小型系統(tǒng)中采用。數(shù)據(jù)庫中的安全日志記錄了每一位用戶對系統(tǒng)的每一步操作行為，它就象一雙眼睛，時刻監(jiān)視著用戶對它的操作，如某用戶多次試圖登錄系統(tǒng)而未能進入，某用戶試圖越權(quán)操作某些數(shù)據(jù)，包括用戶的誤操作等，都會記錄到日志中。通過查看日志，就可以知道用戶是否有非法操作行為，誤操作行為和系統(tǒng)的異常情況。日志也記錄下了用戶對系統(tǒng)的操作端點，便于在系統(tǒng)異常的情況下及時恢復(fù)系統(tǒng)數(shù)據(jù)。

同時隨著系統(tǒng)的運行，數(shù)據(jù)庫中的數(shù)據(jù)是不斷變動的，為防止意外，須定期備份數(shù)據(jù)。數(shù)據(jù)備份的方式有硬盤陣列，光盤刻錄，專用數(shù)據(jù)備份機等，這些技術(shù)己經(jīng)相當(dāng)成熟。在企業(yè)物流庫存管理系統(tǒng)中，采用的是硬盤陣列的方式。這種方式成本低，性能可靠，而且還可以方便地實現(xiàn)數(shù)據(jù)定期自動備份。標(biāo)準(zhǔn)是一種極限:零庫存，即原材料和外購件庫中庫存為零。這是一個理想的狀態(tài)，在實際企業(yè)經(jīng)營活動中，這個極限是不可能達到的。因為供應(yīng)鏈?zhǔn)且粋€整體，需要協(xié)調(diào)各方活動才能取得最佳的整體績效。協(xié)調(diào)的目的是使?jié)M足一定服務(wù)質(zhì)量要求的信息可以無縫地、流暢地在供應(yīng)鏈中傳遞，從而使整個供應(yīng)鏈能夠根據(jù)用戶的要求步調(diào)一致，形成更為合理的供需關(guān)系，適應(yīng)復(fù)雜多變的市場環(huán)境。如果企業(yè)間缺乏協(xié)調(diào)與合作，就會導(dǎo)致交貨期的延遲和服務(wù)水平的下降，同時庫存水平也會因此而增加。為了應(yīng)付不確定性，結(jié)合JTT管理模式，供應(yīng)鏈上各個節(jié)點企業(yè)都設(shè)有一定的安全庫存，可以很好的解決企業(yè)達不到“零庫存”的問題。安全庫存SS(Safe Stock)是一種統(tǒng)計數(shù)據(jù)，它包含了人們的實際作業(yè)經(jīng)驗和統(tǒng)計計算結(jié)果。它與物料采購周期、統(tǒng)計月份需求量，最大差異量標(biāo)準(zhǔn)差有直接關(guān)系。安全庫存的數(shù)學(xué)模型與以下因素相關(guān)：(1)安全系數(shù)

由于供貨概率服從正態(tài)分布，在系統(tǒng)設(shè)計中，考慮到企業(yè)因為貨物供應(yīng)不足而導(dǎo)致缺貨的概率小于5%，企業(yè)不會因為缺貨而導(dǎo)致訂單消失，由正態(tài)分布表查得，當(dāng)安全系數(shù)為1.65時，從經(jīng)濟及較安全得角度出發(fā)，企業(yè)可以在不考慮缺貨損失的情況下，可以做到庫存數(shù)量的合理設(shè)置和控制，而不是越多越好。當(dāng)然，安全系數(shù)可以根據(jù)不同的企業(yè)、不同的外部環(huán)境選用不同的系數(shù)值。(2)訂貨周期 訂貨周期一般以月為單位，如果需要一周的，可以取T=0.25(月)。其中△M為差異量，它是在己知各月份需求量的條件下的需求量的最大差異量。修正系數(shù)C是企業(yè)歷史數(shù)據(jù)的數(shù)學(xué)統(tǒng)計結(jié)果。在系統(tǒng)中，利用上述公式和數(shù)據(jù)對企業(yè)的安全庫存進行了設(shè)置。同時，對企業(yè)庫存實行監(jiān)控。當(dāng)貨物出現(xiàn)積壓或缺貨情況時，英語論文開題報告系統(tǒng)會自動提示相應(yīng)報警信息。

基于物流供應(yīng)鏈的企業(yè)物流管理信息系統(tǒng)(MIS)正是應(yīng)用于企業(yè)物流管理的一種先進的管理思想和方法。在企業(yè)物流MIS中，企業(yè)應(yīng)充分重視供應(yīng)物流管理、生產(chǎn)物流管理、銷售物流管理三個環(huán)節(jié)。不僅以保證供應(yīng)為目標(biāo)，而且還是在以最低成本、最少消耗、以大保證來組織供應(yīng)，縮短整個生產(chǎn)的物流時間和物流距離，選取適宜的送貨方式、包裝方式、包裝水平、運輸路線等并采取各種方法實現(xiàn)銷售?；谶h(yuǎn)程操作平臺的企業(yè)物流庫存管理系統(tǒng)(MIS)，運用面向?qū)ο蠹夹g(shù)，實行多層分布式結(jié)構(gòu)，使系統(tǒng)便于網(wǎng)絡(luò)化。界面采用多文檔窗體MDI，運行可靠、界面友好、操作方便，將日益為企業(yè)物流管理過程信息化提供更加強有力的技術(shù)支持。

參考文獻：

[1]現(xiàn)代物流課題組.物流成本管理.廣州:廣東經(jīng)濟出版社.2002.[2]黃潔綱.存貯論理論及其應(yīng)用.上海:上?？茖W(xué)技術(shù)文獻出版社.1999.[3]李德.運籌學(xué).北京.清華大學(xué)出版社.2005.[4]秦明森.物流決策分析技術(shù).北京:中國物資出版社.2003.[5]吳清一.物流學(xué).北京:中國建材工業(yè)出版社.1996.[6]顧基發(fā).庫存控制管理.北京:煤炭工業(yè)出版社.2000.[7]劉志學(xué).現(xiàn)代物流手冊.北京:中國物資出版社.2002.[8]韓平.現(xiàn)代物流技術(shù).北京:中國物資出版社.2002.

第五篇：信息安全策略

信息安全策略

是一個有效的信息安全項目的基礎(chǔ)。從信息安全領(lǐng)域中發(fā)生的事件來看，信息安全策略的核心地位變得越來越明顯。例如，沒有安全策略，系統(tǒng)管理員將不能安全的安裝防火墻。策略規(guī)定了所允許的訪問控制、協(xié)議以及怎樣記錄與安全有關(guān)的事件。盡管信息安全策略是廉價的實施控制方式，但它們也是最難實施的。策略花費的僅僅是創(chuàng)建、批準(zhǔn)、交流所用的時間和精力，以及員工把策略整合形成日常行為規(guī)范所用的時間和精力。即使是雇傭外部顧問來輔助制定策略，與其它控制方法（特別是技術(shù)控制）相比，其花費也是較小的。策略的制定需要達成下述目標(biāo)：減少風(fēng)險，遵從法律和規(guī)則，確保組織運作的連續(xù)性、信息完整性和機密性。

信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動制定。組織為高層主管、董事會成員、戰(zhàn)略伙伴以及員工提供了內(nèi)部信息系統(tǒng)，對信息系統(tǒng)中信息特性的理解，能為策略制定提供有用的依據(jù)。應(yīng)當(dāng)重視對信息系統(tǒng)了解深刻的員工，所提出的組織當(dāng)前信息的主要特性，具體包括：什么信息是敏感的、什么信息是有價值的以及什么信息是關(guān)鍵的。

在制定一整套信息安全策略時，應(yīng)當(dāng)參考一份近期的風(fēng)險評估或信息審計，以便清楚了解組織當(dāng)前的信息安全需求。對曾出現(xiàn)的安全事件的總結(jié)，也是一份有價值的資料。也需要召開相關(guān)人員會議，比如首席信息官、物理安全主管、信息安全主管、內(nèi)部審計主管和人力資源主管等。

為了確定哪些部分需要進一步注意，應(yīng)收集組織當(dāng)前所有相關(guān)的策略文件，例如計算機操作策略、應(yīng)用系統(tǒng)開發(fā)策略、人力資源策略、物理安全策略。也可以參考國際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)來獲得指導(dǎo)。

資料收集階段的工作非常重要，很多時候因為工作量和實施難度被簡化操作。資料收集不全，調(diào)研不夠充分會導(dǎo)致新建的信息安全策略無法與組織的真正需求一致。也無法確保策略中的要求與管理目標(biāo)相一致。如果提出一套與組織文化明顯不一致的策略，更是一件很尷尬的事情。

在制定策略之前，對現(xiàn)狀進行徹底調(diào)研的另一個作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略應(yīng)當(dāng)與已有的信息系統(tǒng)結(jié)構(gòu)相一致，并對其完全支持。這一點不是針對信息安全體系結(jié)構(gòu)，而是針對信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定，以保障信息安全體系實施、運行。例如，互聯(lián)網(wǎng)訪問控制策略可使安全體系結(jié)構(gòu)具體化，也有利于選擇和實施恰當(dāng)?shù)姆阑饓Ξa(chǎn)品。

收集完上面所提到的材料后，也就是調(diào)研階段完成后，開始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿。初稿完成后，應(yīng)當(dāng)尋找直接相關(guān)人員對其進行小范圍的評審。對反饋意見進行修改后，逐漸的擴大評審的范圍。當(dāng)所有的支持部門做出修改后，交由信息安全管理委員會評審。

信息安全策略的制定過程有很高的政策性和個性，反復(fù)的評審過程能夠讓策略更加清晰、簡潔，更容易落地，為此在評審的過程中需要調(diào)動參與積極性，而不是抵觸。

評審過程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行官簽名。在人員合同中應(yīng)當(dāng)表明能予遵守并且這是繼續(xù)雇傭的條件。也應(yīng)當(dāng)發(fā)放到內(nèi)部服務(wù)器、網(wǎng)頁以及一些宣傳版面上的顯眼位置，并附有高層管理者的簽名，以表明信息安全策略文檔

得到高層領(lǐng)導(dǎo)強有力的支持。如果讓首席執(zhí)行官簽名不現(xiàn)實，由首席信息官簽名也可以。要注意僅有信息安全部門主管或同級的部門主管簽名，一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意很難實施，但經(jīng)驗表明，高層的支持對策略的實施落地是非常重要的。

一般來說，在信息安全策略文件評審過程中，會得到組織內(nèi)部各方多次評審和修訂，其中最為重要的是信息安全管理委員會。信息安全委員會一般由信息部門人員組成，參與者一般包括以下部門的成員：信息安全、內(nèi)部審計、物理安全、信息系統(tǒng)、人力資源、法律、財政和會計部。這樣一個委員會本質(zhì)上是監(jiān)督信息安全部門的工作，負(fù)責(zé)篩選提煉已提交的策略，以便在整個組織內(nèi)更好的實施落地。如果組織內(nèi)還沒有信息安全管理委員會，在制定信息安全策略的時候正是建立管理委員會的好時機，或由組織內(nèi)已存在的同職能部門擔(dān)任職責(zé)。

雖然制定了新的安全策略，還必須有一個適當(dāng)?shù)膶嵤┻^程，如果這些策略不能得到實施，將起不到任何作用，不能得到執(zhí)行的策略，可能比完全沒有策略更糟糕，因為這樣會教會員工作假和質(zhì)疑組織內(nèi)部執(zhí)行力，這也可能麻痹管理者認(rèn)為信息安全為題已經(jīng)處理雖然現(xiàn)實是另外一回事。

管理層常以為員工行為當(dāng)然以組織利益為重，這是一個欠考慮的想法。雖然策略不可能影響員工的個人價值觀，但管理層可以運用策略給員工提供機會，引導(dǎo)他們和組織的利益一致。策略告訴員工組織對他們的期望是什么。

新策略發(fā)布前，應(yīng)在內(nèi)部信息技術(shù)部門或?qū)徲嫴块T內(nèi)討論如果具體實施。新策略的執(zhí)行可能會遇到多樣化的問題?？梢酝ㄟ^績效評估和相應(yīng)獎懲制度來保證策略的執(zhí)行有效性。發(fā)現(xiàn)和懲罰違反策略的員工并不是目的。如果大量的人都不遵守，這就表明策略和相關(guān)的意識提升是無效的。在此情形下，需要尋找更有效的方式實施，或修改策略，以便更好的反映組織文化。

另有一些策略實施的建議：

在組織內(nèi)部網(wǎng)站或一些媒體發(fā)布策略—新策略應(yīng)發(fā)布在組織內(nèi)部網(wǎng)站上，加入相關(guān)鏈接讓用戶能很快定位感興趣的材料。

制定自我評估調(diào)查表—在新的策略實施時，制定評估表，填寫實施情況，就能明確哪些部門沒有遵守好、哪些地方需要額外加強控制。

制定遵守信息安全策略的員工協(xié)議表——應(yīng)當(dāng)編輯一個反映員工該如何遵守信息安全策略的法律協(xié)議表，或直接體現(xiàn)在員工合同中。

建立考察機制檢查員工是否理解策略——調(diào)查員工是否理解安全策略文檔中的重點。通過考試確定是否要增加培訓(xùn)和通告。

基礎(chǔ)信息安全培訓(xùn)課程——培訓(xùn)課程通過錄像或培訓(xùn)軟件存檔。不同策略對象可能要不同的培訓(xùn)課程。

分配策略落實負(fù)責(zé)人——按部門或?qū)嶋H情況分配負(fù)責(zé)人，落實責(zé)任。