信息安全研究论文(9篇)

第一篇：中小企业信息安全管理问题分析

摘要：信息安全管理的有效落实，是新时期中小企业战略性发展的重要保障。本文分析中小企业信息安全管理中存在的问题与不足，并以此作为阐述的切入口，从体系的建立、制度的完善等方面，阐述新时期深化中小企业信息安全管理的应对措施。

关键词：中小企业；信息安全管理；制度

开放的互联网环境，快速发展的网络科技，都强调中小企业在立足发展的同时，要着力于企业信息安全管理工作的开展。这是基于自身发展的内在要求，也是优化内控管理的重要之举。当前，中小企业信息安全管理问题突出，无论是制度的不完善性，还是管理体系的缺乏，都需要中小企业应立足于实际的经营管理需求，建立起完善的信息安全管理体系，并制定完善的管理制度，满足企业经营发展的需求，提高企业信息安全管理能力。

1中小企业信息安全管理中存在的问题

1.1对信息安全管理缺乏重视，安全管理流于形式

在网络信息时代，构建安全的信息环境是企业构建可持续发展战略的重要保障。在企业内控管理的优化与调整中，信息安全管理是其重要部分。然而，由于企业管理层缺乏足够重视，导致企业信息安全管理落实不到位。特别是对于中小企业而言，一是缺乏足够的资金投入，在安全信息管理的人员配置、硬软件设施的购买等方面，难以满足企业信息安全管理的需求；二是中小企业信息化建设起步晚，缺乏一定的发展基础，信息安全管理措施不足。因此，中小企业在信息安全管理过程中，面临管理发展的尴尬与瓶颈，缺乏信息安全管理的基础建设，滞后于企业可持续发展的现实需求。

1.2信息安全管理技术落后，难以构建完备的信息安全管理体系

快速发展的网络信息技术，推动中小企业现代信息化的建设，但也给企业信息安全管理带来新的要求。在传统的网络环境中，依托简单的加密技术、防火墙，便可以为企业信息安全管理构建完善的防御体系。但是，日益频繁的黑客、病毒攻击，强调信息安全管理技术的先进性，为企业构建完备的信息安全管理体系。而中小企业在信息安全管理体系的构建中，管理体系不完善，信息安全管理技术落后，单一的安全防御结构，显然难以确保信息安全管理工作的全面开展，企业信息安全问题突出。

1.3信息安全管理制度不完善，缺乏完善的制度保障

完善的管理制度是规范和引导信息安全管理的重要保障。中小企业在发展过程中，更多地强调短期经济效益的追求，而忽视长远发展战略的构建。信息安全管理制度的建立，与企业经营管理制度的建立相分离，导致信息安全管理制度的主体地位不突出，制度的完善性、制度执行的保障性都存在明显不足。企业职工安全意识薄弱，在计算机操作等方面，浏览不安全网站，私自下载软件，对企业信息安全系统造成威胁。此外，企业计算机安全防御体系存在漏洞，相关的杀毒软件未能及时更新，为黑客、病毒攻击创造了一定的内在基础。

2深化中小企业信息安全管理的应对措施

2.1建立健全信息安全管理体系，提高安全管理的有效性

为更好地满足发展的需求，中小企业应重视信息安全管理体系的建立，优化现行的信息安全管理。中小企业在建立信息安全管理体系的过程中，应抓好三个方面的工作：一是信息安全管理体系应立足于企业的实际情况，针对企业的生产经营需求，建立具有企业特色的安全管理体系；二是着力于安全评估标准的建立，确保安全管理的科学化；三是强化企业信息安全文化的建立，规范并引导职工正确的思想行为。如图1所示，是中小企业信息安全管理模型。从图1可知，在信息安全管理体系的构建中，安全维度的建立从资源安全、技术安全和管理安全三个维度，全方位为企业信息安全管理构建良好的安全管理模式。这对于中小企业而言，不仅提高了信息安全管理的有效性，也推进了企业信息现代化建设，对企业可持续发展具有十分重要的意义。

2.2建立健全信息安全管理制度，为安全管理提供制度保障

中小企业在内控管理方面，缺乏管理制度的有力保障。特别是信息安全管理制度的缺失，不利于企业内控管理工作的全面开展。因此，企业要扎实推进信息安全管理制度的建立，从组织部门的设立、管理责任的落实、人员的配置等方面，确保信息安全管理有效开展。同时。结合企业的实际情况，构建完善、可靠的信息安全防范体系。此外，企业要强化对信息安全管理工作的重视，从责任到人，到主要领导亲自负责，确保信息安全管理落地，也确保信息安全契合企业经营管理的内在需求，营造安全可靠的网络信息环境。

2.3提供完备的技术保障，构建信息安全防范体系

在开放式互联网环境下，企业安全管理所面临的完全问题比较突出。多元化的问题风险，强调中小企业构建信息安全防范体系的必要性。信息安全防范体系的构建，建立在完备的技术保障之上。先进的杀毒软件、防火墙技术等，都是企业构建信息安全防范体系所必需的技术保障。对于黑客、病毒的恶意攻击，需要中小企业提高信息安全防范等级。如图2所示，是典型的Internet/Intranet防火墙设置。防火墙技术作为安全防范体系的重要组成部分，在企业信息安全防范中起到十分重要的作用。内外网络之间搭建起防范屏障，很大程度上能够确保企业的网络信息安全，保障企业网络操作正常进行。因此，无论是杀毒软件还是防火墙技术，都是中小企业构建安全防御体系所必要的技术保障。此外，随着黑客、病毒的不断升级，也强调企业应不断更新杀毒软件，安装配置更高的防火墙等技术，从而提高企业信息安全防御能力，确保中小企业的信息安全。

3结语

综上所述，中小企业所面临的信息安全管理问题比较突出。多样化问题强调中小企业在信息安全管理的过程中应扎实做到：（1）建立健全信息安全管理体系，提高安全管理的有效性；（2）建立健全信息安全管理制度，为安全管理提供制度保障；（3）提供完备的技术保障，构建信息安全防范体系。从本质上优化中小企业信息管理策略，确保企业信息安全，是推进企业可持续发展的重要基础，从而不断加速中小企业的现代化建设。

参考文献

[1]潘爱武.谈中小企业信息安全问题及对策[J].东方企业文化,2012(17).

[2]江丽.我国中小企业融资难原因分析及对策[D].南昌:江西财经大学,2014.

[3]陈俊豪.浅析中小企业电子商务中的信息安全问题[J].中国商贸,2010(11):142-143.

[4]徐黎源.中小企业信息安全管理模型[J].科技经济市场,2009(9):88-89.

[5]赵晓华.网络环境下河北中小企业信息安全问题研究[J].科技资讯,2013(11):140-141.

作者：汤毅 姚晓津 邓冲 黄仙阳 黄强 单位：精诚瑞宝计算机系统有限公司

第二篇：信息安全管理中信息安全态势分析

摘要：信息安全管理是确保信息安全的重要基础。它更强调信息分析技术等的有效应用，从而为信息安全管理提供更完备的分析体系。本文研究信息安全动态分析，从微观动态分析、宏观动态分析两个方面，阐述信息安全态势分析在信息安全管理中应用，旨在强化对信息安全动态分析的认识，并为今后相关领域的研究提供一定的参考。

关键词：信息安全；管理；动态分析；微观；宏观

信息安全管理是一项复杂而系统的工作。安全管理的有效性、全面性，都强调信息动态分析的有效开展，从而为信息安全管理提供定量化的安全分析。当前，信息安全动态分析已广泛应用于信息安全管理中，通过宏观动态分析与微观动态分析，为信息安全管理提供了更加完善、科学的管理依据，提高了信息安全管理能力。当前，复杂的信息安全环境强调动态分析的立足点不仅仅在于构建局域性的安全环境，更强调立足于企业的战略性发展，从而为企业发展提供重要依据。因此，本文研究的重点在于如何依托动态分析，对信息安全管理进行优化与与调整，从而提高信息安全管理的有效性、科学性。

1信息安全管理中宏观态势分析的应用

在信息安全管理中，宏观态势分析主要在于微观技术领域。基于有效的评估、预测，对信息安全的情况进行分析。一般情况下，宏观动态分析主要从稳定性、脆弱性及威胁性等几个方面对信息安全进行描述，从而为信息安全管理构建多元化的发展基础。宏观动态分析在企业信息安全管理中的应用主要包括以下几个方面。

1.1企业战略发展的构建及核心业务、资产

在多元化的市场环境下，企业战略性发展的构建很大程度上依托于企业信息安全管理的推进，以更好地实现企业的战略性发展目标。为此，在宏观动态分析中，需要对企业未来一段时间（一般为3-5年）的战略发展变迁及核心业务、资产等情况进行考虑分析，这是动态分析助力企业战略发展的内在要求。例如，在宏观动态分析中，应针对企业的生产经营情况，确认核心业务、资产是否出现转移；核心资产是否出现折旧等。这对于企业战略性发展的构建以及战略性发展目标的达成，都具有十分重要的现实意义。

1.2信息安全环境的发展趋势

网络信息时代的快速发展，强调宏观动态分析应对信息安全环境的发展趋势进行分析，这对于提高企业信息安全管理能力至关重要。对于现代企业而言，信息安全管理的开展一方面要基于自身实际情况，如业务、系统等，考虑自身内在信息安全的影响因素；另一方面，也要对信息技术的发展趋势、信息安全环境等进行重点考虑，针对可能引发额外风险的重点因素，重点考虑，重点防范，实现更有价值的信息安全管理。

1.3社会环境及法律法规的影响要求

在企业生产经营发展的过程中，政治经济事件对信息安全的影响，相关法律法规对企业经营的要求，都是动态分析中需要着重考虑和分析的要素。在宏观动态分析中，以上三点要素在风险定量评估中能够起到重要的指导作用。对实际操作情况而言，可以利用“Threat（威胁）=impact×likelihood（影响×可能性）”对风险影响进行表示。基于动态分析对风险实现定量评估，这对于信息风险管理而言，无疑具有重要的意义，可提高信息安全管理的针对性、有效性。当然，对于该公式，可以进行适当拓展，进而将风险的表达更加全面。即有“Risk（威胁）=asset×vulnerability×threat（资产×脆弱性×威胁）”由此可以知道，宏观层面的因素对“威胁”值起到了至关重要的影响。无论是社会环境，还是安全环境趋势，其值的增加都是构成威胁的重要来源。与此同时，基于宏观动态分析，为企业战略性的安全管理提供了一定的参考依据，且对微观动态分析提供了量化的重要依据。这进一步强化了动态分析的针对性，并对企业信息安全建设提供指导。

2信息安全管理中微观态势分析的应用

在微观动态分析领域，无论是理论研究还是实践操作，都已发展到一定程度。理论与实践并重的应用及发展情形，强化其在企业信息安全管理中的重要作用。在对微观动态分析中，需要提及“Endsley模型”。该模型最大的亮点在于将感知进行划分，分为“感知”“理解”“预测”三个层次，进而强化信息处理能力。“Endsley模型”的成功构建，推动了动态分析在信息安全管理中的应用和推广。在“Endsley模型”基础上，美国提出了“JDL模型”。该模型在优化控制与管理功能等方面进行有效优化与调整，进而提高了模型的应用性及实用价值。如图1所示，是“JDL模型”的应用图。从图1可以知道，基于数据采集、预处理及事件关联性识别等功能模块的实现，进一步提高了动态分析的实效性。通过模型的不断优化与调整，强调模型在功能构建上更好地满足于信息安全管理的现实需求。与此同时，在模型不断优化、技术不断发展的大环境下，微观动态分析技术已逐步成熟，并在信息安全管理平台中得到有效应用。无论是在应用效果还是应用价值上，都表现出微观动态分析在信息安全管理中应用的重要性，对推进信息安全管理现代化发展起到重要的推动作用。因此，这也是大力发展动态分析技术，拓展其在信息安全管理领域应用发展的重要基础。微观动态分析的应用在很大程度上推动了动态分析技术的发展，也深化其在信息安全管理领域中的应用价值。当前，随着信息技术的不断发展、模型的不断优化，其在应用中的性能也在逐步提升，尤其是在风险分析、应急响应处理等方面。这些功能的优化与完善，有助于信息安全管理系统的构建，满足现代信息安全管理的现实需求。

3结语

综上所述，信息安全管理是一项技术性强、系统性复杂的工作，强调技术性发展的完备性，更强调动态分析在其中的有效应用。当前，随着动态分析技术的不断发展，它在信息安全管理中的应用日益广泛。尤其是微观动态分析在信息安全管理平台的应用，进一步提高了动态分析的实际应用价值。本文阐述的立足面在于两点：一是基于宏观层面的动态分析，为企业战略性构建及发展环境的分析起到重要的指导性意义；二是基于微观层面的动态分析，依托各种模型的建立与优化（如“Endsley模型”“JDL模型”），强化动态分析的实际应用价值。此外，随着微观分析技术的不断发展，它在信息安全管理平台中的应用对推动微观动态分析技术应用及发展，具有十分重要的意义。

参考文献

[1]李汉巨,梁万龙,刘俊华.信息安全管理现状分析[J].信息与电脑,2013(11).

[2]高鹏.电力企业信息安全问题探讨[J].行政事业资产与财务,2013(8):131.

[3]王伟.资源视角的电力企业信息系统运维风险分析[J].西安邮电大学学报,2013(1):121-124.

[4]毕海英.信息安全产品的现状及态势分析[J].现代信息技术,2013(7).

[5]梁晶晶,黄河涛.局域网安全问题的现状及技术分析[J].科技信息,2010(26).

[6]安睿.基于bagging的电力信息安全态势分析系统的研究与实现[D].北京:华北电力大学,2012.

作者：汤毅 施泽寰 薛拥华 龚军 刘板浩 单位：精诚瑞宝计算机系统有限公司

第三篇：人事档案信息安全管理思考

人事档案是人事、组织、劳资等部门在培养、选拔和使用人员的工作活动中形成的，是个人经历、学历、社会关系、思想品德、业务能力、工作状况以及奖励处罚等方面的原始记录，是个人参与社会方方面面活动的记载和个人自然情况的真实反映。人事档案信息安全管理是指存在于人事档案信息的收集、整理、保管、鉴定、统计和提供利用全过程的安全管理活动。由于人事档案涉及每个人的切身利益，如何实现人事档案信息安全管理效率的最大化无疑成为了当前关注的重点话题。

一、加强人事档案信息安全管理的必要性

1、人事档案自身性质决定信息安全管理的重要性

人事档案具有真实性、动态性、现实性、专业性、机密性等特点，它与个人职称申报、定级、政审等紧密联系在一起，是综合考察及使用的重要依据之一，更是对流动人员管理的重要凭证。当前我国养老、医疗、失业保险等福利政策的制定、完善、推广也是与人事档案密切关联。因此，必须要全面加强人事档案信息安全管理，保障人事档案资料的完整性、真实性及有效性。

2、人事档案信息安全管理的现实紧迫性

人事档案信息安全管理的现实紧迫性主要体现在人事档案对国家、用人单位及个人都具有至关重要的作用方面。从目前我国人事档案信息管理的现状来看，弃档、死档、无头档案、档案丢失、档案资料失真等问题较为普遍，给国家、用人单位及个人带来了巨大的损失，同时也造成了当前人事档案管理效率的低下。因此，就必须进一步加强人事档案信息安全管理，以强化人事档案的社会功能。

3、人事档案信息安全管理的技术可行性

信息时代快速发展的今天，新一代信息技术已经广泛渗透到我们的日常生活、学习和工作中。但是许多地区的人事档案信息安全管理出于安全和保密的原则，其管理模式还是停留在纸质载体上，这俨然与当前社会信息化发展格格不入。为此，在保障人事档案信息安全与保密的前提之下，应当适当的引入新一代信息技术，便于快速、方便的利用。总体而言，新一代信息技术既呼唤现有人事档案管理的深化改革，同时又为人事档案信息安全管理提供了有力的支撑条件。

二、当前人事档案信息安全管理存在的突出问题

1、人事档案信息安全管理基础设施滞后

本文人事档案信息安全管理基础设施特指计算机网络系统、通信系统、电力分配系统等新一代信息网络技术手段，可实现人事档案信息管理的简单化。由于人事档案信息安全管理基础设施的滞后，包括人事档案设备落后、运行环境恶劣、设备兼容匹配性差、信息存储介质保管环境等问题，又可直接导致人事档案信息安全面临灾难性的后果。在这个过程中，人事档案信息安全管理基础设施一旦发生致命性的损坏，就会使所有产生、流转和保管的人事档案电子资料出现数据错误，不可读取或是全部丢失，严重威胁人事档案信息安全。

2、人事档案信息安全管理系统比较脆弱

人事档案信息安全管理系统比较脆弱也是当前人事档案信息安全管理存在的一个突出问题。例如，人事档案计算机网络可以提供相互交流的平台，也可间接影响到人事档案信息安全。当人事档案计算机网络出现硬件故障、软件故障或者其他技术性故障都会直接威胁到人事档案信息安全。又例如，在人事档案信息安全系统设计的过程中，受到设计者本身的技术能力和设计模式的限制，会给人事档案信息安全管理系统留下不同程度的缺陷或漏洞。如再出现人事档案信息安全管理人员在人事档案资料的传送、存储及处理过程中的违规操纵情况，也会大大削弱人事档案信息安全管理系统的稳定性，威胁人事档案信息安全。

3、人事档案信息安全管理人员责任意识落后

人事档案信息安全管理人员责任意识落后，主要体现在对人事档案信息安全管理的认识不足、重视程度不够、责任心不强，从而不能够及时发现并处理人事档案信息安全管理中已存在的漏洞以及可能出现的安全隐患。同时，在实践操作过程中，部分人事档案信息安全管理人员未能严格执行按期修改人事档案信息安全管理系统密码等操作规程，大大降低了人事档案信息安全程度。

三、加强人事档案信息安全管理的实现途径

1、完善人事档案信息安全管理法规与标准

完善人事档案信息安全管理法规与标准，是在严格遵守人事档案工作法律、法规、标准的同时，要求各级人事档案管理部门还需结合本单位的实际情况制定有效的标准规范，且该规范还需要做到与相关法律法规相协调，与现行人事档案信息安全管理的实践工作相配套，最大程度上确保人事档案信息不丢失、不损坏、不失真、不泄密。同时，完备的人事档案信息安全管理法规与标准，还要通过多种形式的活动提升自身和社会法律意识，真正建立一套以更好的维护人事档案信息安全。完善人事档案信息安全管理法规与标准。

2、建立人事档案信息安全管理保障应急机制

结合当前人事档案信息安全管理的新形势，从保护国家资源战略的高度出发，必须要建立人事档案信息安全管理保障应急机制，预先估计潜在的危机和后果，提升人事档案信息安全管理的处置能力，做好全方位的应急准备。要建立人事档案信息安全管理责任制度，制定人事档案和电子档案保管、保密和利用操作流程，完善人事档案的鉴定程度和方法，并对人事档案信息安全管理制度的执行情况进行定期督查，确保各项制度能够高效、准确的运行。

3、强化人事档案信息安全管理人员责任意识

强化人事档案信息安全管理人员责任意识，首先需要人事档案管理部门领导和档案管理工作者树立正确的人事档案信息安全管理观念，坚持“积极防御”、“综合防治”、“以防为主”、“防治结合”的方针，不断增强人事档案信息安全管理的使命感、责任心，并提升人事档案信息安全管理部门对建立和发展人事档案信息网络的认识程度。同时也要重视人事档案信息安全管理人员的思想政治和职业道德教育，多渠道、有目的的对档案管理人员进行业务培训。通过开展形式多样的人事档案信息安全管理教育活动，保障其深刻认识人事档案信息安全管理的重要性。

作者：陈静 单位：陕西广播电视台

第四篇：金保工程信息安全建设强化策略

摘要：金保工程信息安全建设能够确保我国电子政务信息平台有效工作，由于金保工程主要是应用电子信息技术对国家、省级、市级三个级别政府机构的基金监管、公共服务、宏观决策等工作进行数据统计和管理，因此，强化金保工程信息安全建设是对国家信息安全负责的重要体现。

关键词：金保工程；信息安全建设；建立健全管理制度；提高安全技术水平

金保工程信息安全建设是我国三个级别政府机构电子政务信息安全的重要保障，其体现了我国现代化信息技术水平，因此，在强化金保工程信息安全建设时首先要加强我国现代化信息建设，培养大量现代化信息高端技术人才，在电子政务信息技术软件的设计中运用高端技术以保证金保工程信息安全建设。

1金保工程概述

1.1金保工程概念

金保工程是指我国应用现代电子信息技术对国家、省级和市级这三个级别政府中的公共服务、基金监管、宏观决策和社会保障四项基本业务功能进行数据分析和统筹，最终使全国的劳动保障等电子政务工程统一。

1.2金保工程特点

金保工程的具体特点包括以下几个方面。第一，金保工程的建设标准统一，具体包括信息技术标准统一和业务规范统一两个方面。其中信息技术标准统一是指信息技术中的IP、接口、域名、和安全等方面统一[1]。业务规范化统一是指金保工程的业务工作流程从国家到省级再到市级按照严格的上下级规范进行统一标准。第二，金保工程具有纵向建设、横向对接一体化的特点。具体是指在金保工程建设工作中要从国家大局出发，对中央、省级和市级统一规划标准，在业务上的对接要进行一体化规划。

2金保工程信息安全建设现状

目前，我国金保工程信息安全现状如下。第一，在国家金保工程信息安全建设管理中存在管理制度不够完善的问题。金保工程信息技术安全建设管理者没有建立完善的信息安全管理制度，在信息安全管理中没有行之有效的管理制度和管理原则。在金保工程信息安全管理工作中对管理人员的工作缺乏约束力，因此，导致金保工程的信息安全得不到有效保障[2]。在金保工程信息安全管理中没有建立健全奖惩制度，使信息安全管理人员在信息安全管理工作中缺乏对工作的热情和积极性，使他们在工作中出现怠慢工作的现象，影响了金保工程信息安全管理工作效率。第二，管理人员的信息安全管理意识不足。金保工程信息安全管理人员属于国家公务人员，目前部分管理人员工作态度不够端正，在信息安全管理工作中缺乏一定的责任心。其缺乏职业道德，在工作中出现混日子的问题。同时由于信息安全管理人员在入职前对其专业技能有严格要求，而在入职后由于工作态度的问题及信息安全管理意识不到位，导致没有继续加强职业技能学习与训练，使专业技能水平停滞不前，影响了金保工程信息安全技术升级，进而影响到我国金保工程信息安全管理质量。第三，由于我国信息技术起步较晚，因此，我国的信息技术水平在一定程度上与发达国家之间存在一定差距。而金保工程中对国家劳动保障等业务一体化电子政务管理存在大量国家机密信息，因此，金保工程信息安全管理需要高端信息技术作为保障。目前，由于我国各行业对信息技术人才需求剧增，导致信息技术人才供不应求，同时我国对信息技术人才的物质保障不及其他发达国家，也导致了大量超高端信息技术人才外流，使我国金保工程信息安全管理部门人才缺失，影响了金保工程信息安全建设质量。

3强化金保工程信息安全建设的对策

3.1建立健全管理制度

由于在我国金保工程信息安全建设中存在信息安全管理部门管理制度不健全的现状，影响了我国金保工程信息安全[3]，因此，信息安全管理部门应建立健全管理体制，在信息安全管理制度中严格规范金保工程信息管理工作，将信息安全责任严格落实到每一位管理人员身上，使信息安全管理人员在工作中明确自身职责，避免由于职责不明导致部分人员消极怠工，为工作中的不负责任找借口。同时信息管理部门应制定严厉奖惩制度，给予积极工作表现优异的管理人员经济奖励和职称奖励，使表现出色的管理人员充分调动工作积极性，进而为其他工作人员树立榜样。对在信息安全管理工作中缺乏责任心，混日子的工作人员给予降级惩罚，对在信息安全工作中由于不负责任导致出现严重信息安全问题的管理人员给予辞退的惩罚。这种严厉的奖惩制度能够起到立竿见影的作用，同时由于经济利益的驱使也能够充分调动信息安全管理人员的工作积极性。

3.2提高管理人员安全建设意识

提高金保工程信息安全管理人员的安全建设意识，能够有效提高金保工程信息建设安全度。提高信息安全管理人员的安全意识，首先要提高他们的职业道德素质。信息安全管理部门应定期对信息安全管理人员进行职业道德素质培训，使他们时刻保持良好的职业道德素质，使其对金保工程信息安全管理工作有正确认识[4]。在培训信息安全管理人员的职业道德素质时，应重点培训金保工程信息安全的重要性，使管理人员意识到信息安全管理是保障国家机密信息安全的重要前提，国家机密的外漏将会影响社会生活的安全稳定和人们的生命财产安全，因此，信息管理人员的信息安全管理工作具有重要意义。信息安全管理人员意识到自身工作对国家与社会的重要性，就会重新审视自己的工作，从而充分自身的信息安全建设意识，使我国金保工程信息安全建设得到有效保障。

3.3提高安全技术水平

由于金保工程是利用现代信息技术开展政府电子政务信息工作的，因此，信息技术水平直接影响金保工程信息安全。根据我国现阶段高端和超高端电子信息技术人才供不应求的局面[5]，国家应大力扶持信息技术院校培养大量信息技术人才，同时对超高端信息技术人才委以重任，给其丰厚薪资报酬以吸引大量信息技术人才不断研发和更新信息安全系统，开发出更安全的信息安全软件为政府所用，为我国金保工程信息系统提供安全保障[6]。另外，还应进一步建立健全安全防护体系，对重要信息进行加密传输，避免信息在传输过程中被窃取；配备实时监控及入侵检测系统，加强对重要网段和关键服务器的保护；采用网络防病毒系统，并与单机防病毒软件相结合；建立重要系统数据的备份机制，并实现关键主机系统的冗余备份和灾难恢复；建立服务于金保工程信息系统的数字认证服务，利用数字证书系统实现重要数据的加密传输、身份认证等。从而最大程度地确保金保工程的安全，提高金保工程信息安全建设水平。

4结语

随着我国信息技术飞速发展，各级政府部门采用电子政务信息平台进行办公。我国金保工程通过现代化信息技术对中央、省级和市级进行劳动保障等业务的统一，使国家政府部门实时有效开展国家上下级别政府部门之间的工作，使国家各级政府部门的工作得到统一规范，促进了国家社会发展。由于信息技术中存在一定的信息安全问题，导致国家金保工程信息安全受到威胁，对我国机密信息安全不利，因此，加强金保工程信息安全建设势在必行。

参考文献

[1]朱国丰.金保工程：建设统一规范的公共服务网络[N].中国劳动保障报,2008-10-30(003).

[2]张竹松.社会保障工作要重视“金保工程”信息安全建设[N].大理日报(汉),2013-11-30(A03).

[3]洪黎明.医保跨省联网还需政策发力[N].人民邮电,2014-04-21(006).

[4]秦子龙.中国电子政务信息安全现状与策略(二)[N].政府采购信息报,2013-07-19(007).

[5]秦子龙.中国电子政务信息安全现状与策略（一）[N].政府采购信息报,2013-07-12(007).

[6]边玉芳.服务下沉做贴近百姓的好帮手[N].中国劳动保障报,2010-01-09(006).

作者：胡恒金 单位：睢宁县人力资源和社会保障局

第五篇：移动互联网的信息安全研究

【摘要】科学技术的进步推动了移动互联网技术的发展，移动互联网被广泛应用于生产和生活中的同时，也面临着一些发展问题，在信息传输和应用方面存在较大的安全问隐患，必须针对移动互联网应用中的问题制定有效的对策，加强信息的安全管理。本文结合移动互联网应用过程中暴露的安全问题，提出了移动互联网信息安全管理策略。

【关键词】移动互联网；信息安全；策略探讨

中国移动互联网发展于2005年，目前以WAP为主要的信息传输方式。在国内移动互联网产品不断完善的过程中，用户的上网速度和上网体验发生了重大的改变，多种通信产品成为移动互联网应用的主流。移动互联网用户将信息交换作为重要业务，因此信息交换的安全性成为人们的关注的热点。针对目前移动互联网产品应用中的安全问题，必须制定有效的防护措施，保证信息安全。近几年我国电力行业保持着较快的发展速度，作为国民经济的基础产业，电力产业也取得了很大的成绩，发电机容量和发电量居世界第二位。随着我国国民经济的快速发展和人民生活水平的不断提高，对电力的依赖程度也越来越高。电力需求与国民经济密切相关，电力弹性系数反映了用电增长速度与国民经济增长速度的相对关系。

1移动互联网与电力建设背景分析

随着电网基础和分布式发电技术的改革，现代化输电和配电将体现出智能化特点，最大限度地节约能源，新能源技术也将重新定义人类新生活，其中移动互联网作为重要的纽带将电网技术和多种智能终端设备联系起来，为了人们的生活提供了便利。中国是全球最具活力的新兴市场，随着移动互联网的发展，智能设备成为人们生活的伴侣，近年来电力开发行业将移动互联网应用到电力建设中，很大程度上促进了电网建设的加速，电工产业不断优化升级。另外，在移动互联网兴起的过程中，电力开发生产技术不断发展，电力企业的营销模式也将发生巨大的转变。目前4G网络引领移动互联网发展，移动APP为电力生产带来了便利，以电力建设中的焊接工作为例，微信、QQ、拍照、微摄影、WPSOffice办公平台、备忘录等智能APP功能在焊接工作中的作用日益重要，有利于办公平台的优化，移动互联网成为计划、任务、进度管理、会议通知、质量管理等的重要工具。为了拍出高清图片，焊接人员更新智能拍照软件，记录焊接的影像资料，通过微信、QQ群在线交流，在施工过程中，充分应用WPSOffice办公平台软件，在施工现场查阅焊接规程、技能考核等文件，将智能终端作为迷你办公室，很大程度上提高了管理水平。移动互联网的发展带动信息消费的增长，信息消费的发展空间更加广阔，以电子商务和移动互联网信息的消费迅速增长，电力开发企业借助这一发展优势，将其作为发展就会促进产业进步。

2移动互联网主要信息安全问题

2.1移动APP在电力应用中的问题

随着智能电网建设进度的加快，很多智能型移动APP被应用于电力建设中，其中有管理方面的软件，也有用户端的缴费软件，层出不穷的第三方软件为人们的生活提供了便利，同时也暴露出一定的安全问题。例如移动APP恶意读取用户位置信息、泄露企业管理计划、云端数据丢失等，移动APP的安全问题也成为人们关注的热点，电力规划和建设过程中必须保障数据安全，维护用户利益。

2.2运营模式引起的安全问题

移动互联网产品应用过程中，将多种信息交换业务作为核心，成为互联网中重要的运营模式，传统运营商将网络作为核心，运营商和移动互联网有着本质的区别[1]。当今社会有很多丰富的个性化服务进入移动互联网中，例如手机广告、视频、APP等。同时移动互联网可以为用户提供多种增值服务，体现出鲜明的产品特色，多种业务内容也成为移动互联网业务发展的重点，因此不同个性化服务的供应商成为移动互联网快速发展的直接动力，但是在发展过程中也暴露出一些问题，例如供应商为了获取更高的经济效益，将一些骚扰广告和不健康内容添加到WAP网站上，用户误点击后将会收取一定的费用，在违背社会道德的同时，逐渐演变为严重的产业问题和社会问题。

2.3由IP引起的安全问题

与传统的多级和多层通信网络不同，移动互联网应用扁平化网络技术，将IP化作为网络核心，但是IP网络本身具有较大的安全漏洞，自身也存在着较大的安全威胁。在网络信息技术不断发展和普及的过程中，安全问题也受到广泛关注，多种网络攻击逐渐成为公众网络的主要危害，作为承载网络的核心部分也必将受到较大的影响。在核心网架构上，移动互联网的管理信息、用户信息和控制信息将会同步传输，终端用户可以随时访问核心网，将会把核心网暴露在用户端。在这种网络环境下，运营商的核心网络和业务网络中不断出现严重的安全问题，例如2009年5月19日晚9点左右，华南地区出现大面积网络故障，不仅网络连接出现问题，而且用户的信息安全也受到严重的威胁，专家分析后确认该问题由DNS的零日溢出引起的，对DNS进行大量的查询请求导致DNS服务器出现DDOS攻击，运营商的DNS出现问题。互联网应用过程中DNS服务器出现较多DDOS攻击，形式也逐渐多样化，例如利用缓冲区溢出、应用较大流量堵塞带宽、伪造的DNS服务器发送大量的查询请求等。网络技术应用的同时，移动互联网向全IP化发展，原来只在互联网上出现的安全问题现已逐渐转移到移动互联网上。

2.4智能终端引起的安全问题

目前移动互联网在网络接入方面表现出鲜明的多样化特征，不仅仅应用一种网络接入方式，用户可以按照需求采取多种接入方法，随时都可以进行移动互联网访问。针对手机用户而言，上网的粘性和上网时长不断增加，因此手机网络也表现出常态化特征，用户在使用手机的过程中实现了碎片化沟通，信息类应用逐渐向娱乐和商务方向发展。与传统网络用户不同的是，移动互联网应用多种形式的终端设备，传统用户终端一般包括通信网的所中附属设备，而移动互联网全部应用智能终端。在移动互联网能不断完善和成熟的过程中，移动智能终端也逐渐表现出多样化的特点，智能终端也因此成为安全问题频发的部分，安全风险不断加大，移动智能终端在推动移动数据业务进步的同时，很多用户都将面临着信息安全问题。另外，移动智能终端表现出多样化和开放化特点的同时，信息交换的安全风险加大，在移动互联网发展的过程中，移动企业一直处于市场发展的主导地位，企业的发展重点依旧是移动智能终端的研究和探索，因此一定给你智能终端的安全性很容易被企业忽视，与移动智能终端相关的安全问题也会逐渐暴露[2]。例如，收集APP会恶意设置吸费部分或者不健康内容的连接，手机上网规模不断增大的同时，手机使用过程中的安全问题也将逐渐明显。移动互联网的开发软件层出不穷，收集第三方软件的研究人员也不断增多，在商业发展需求不断提高的同时，应用软件逐渐增多，但是目前在第三方软件的控制管理方面还存在缺陷，无法保障信息安全。例如有些手机软件恶意读取用户位置信息和短信内容，给用户信息安全带来了较大的威胁[3]。

3移动互联网信息安全策略

3.1完善信息安全法规建设

结合国内目前的情况来看，在互联网信息安全管理方面，立方层次较低，不同的层次见还存在一定的协调问题，目前已有的移动互联网法律还有待完善，将现有的法律应用于移动互联网建设中将会缺乏一定的科学性和权威性。目前，移动互联网接入过程中面临着较大的问题，移动互联网行业还没有施行手机实名制的法律，因此在移动互联网应用的过程中缺乏针对性的法律，无法对网民的行为构成有力的约束，也不能保护人们的信息安全。法律是移动互联网进行有效管控的保障。在完善法律法规的过程中，需要结合实际已发系诶套用户和移动互联网运营企业之间的关系，避免两者出现较大的业务矛盾。为了建立科学有效的移动互联网法律体系，必须结合国内的发展现状，勇于借鉴国外的方法，将信息安全和移动互联网安全独立开，针对独立额部分建立针对性的法律法规。结合国内移动互联网发展的实际情况，移动互联网安全管理过程中的立法工作需要从以下三个方面着手：①完善手机实名制制度，加大隐私保护力度；②建立信息安全法，不断完善与当今移动互联网信息安全相关的法规；③不断加强对互联网管理和移动互联网管理的监督。

3.2加快移动互联网信息安全机构建设

严格的立法是政府对移动互联进行监督管理的重要依据，结合国家移动互联网的发展形势，必须经信息安全管理和移动互联网安全管理分开。针对国内网络监督管理机构建设，需要通信网络的优势对移动互联网发展目标进行统一规划，为信息安全的管理和监督提供有利的依据[4]。针对部级信息安全管理机构而言，必须在互联网信息安全管理的过程中切实负起责任，彻底改变信息安全制度制定过程中的问题。国家在建立统一的安全管理机构时，以法制建设为依托，设置专家咨询委员会，专家咨询委员会作为参谋机构的同时，对安全信息管理提供合理的建议。

3.3完善移动终端管理方案

移动终端管理过程中，重点需要加大对安全技术的研究力度，将注意力集中到移动互联网手机安全技术方面。同时协调不同管理机构之间的关系，构建科学严谨的管理链条，完善安全管理部门的监督政策，公安部门加大查处力度，完善与司法环节相关的法规。用户应用手机的过程中，必须具有较高的安全意识，政府加强对用户的安全教育，同时对第三方软件商家进行有力的监督。企业单位不断加强内部保密机制，对涉密文件进行严格管理。

4结束语

移动互联网不断发展的过程中，用户将重点放在智能产品的功能上，信息安全一直存在较大的安全隐患，为了保证移动互联网健康稳定发展，必须针对具体问题制定有效的对策。本文从移动互联网中暴露的安全问题出发，提出了信息安全保障的策略，可以为移动互联网信息安全建设提供就借鉴。

参考文献

[1]罗军舟，吴文甲，杨明，等.移动互联网：终端、网络与服务[J].计算机学报，2011，34（11）：202.

[2]陈遥，夏亮亮，谭辉，等.移动互联网环境下终端与服务器安全交互的研究[J].南京信息工程大学学报，2015，7（5）：142.

[3]涂静，田增山，周非，等.移动互联网安全终端的设计与实现[J].电子技术应用，2013，39（10）：162.

[4]范红，杜大海，王冠，等.移动互联网安全测评关键技术研究[J].中兴通讯技术，2015，36（3）：38.

作者：徐晨1 倪舜2 单位：1.嘉兴市恒光电力建设有限责任公司华创分公司 2.国网浙江省电力公司嘉兴供电公司

第六篇：内网准入及终端管控在信息安全保护实践思考

【摘要】为防范政府部门、金融机构等单位敏感信息泄露、提高信息安全保护能力，本文从单位内网准入及终端管控技术入手，在分析研究两者技术原理的基础上，结合自身项目实践，给出了一种把住终端“准入”、“管住”两个关键环节的技术方案。实践证明，该方案有效提升了单位信息安全保护水平，达到了预期目标。

【关键词】内网准入；终端管控；信息安全保护

1引言

对数据保密性要求高的政府部门、金融机构等单位，防止敏感信息泄露始终是一个严峻的课题。在信息安全保护实践中，各单位往往对数据集中的后台服务端投入精力较多，对来自终端的威胁重视不足。来自终端的威胁主要为两方面：一是内部网络接入层侵入。二是内部计算机终端安全管理失控。信息安全事件调查经验表明，多数信息泄露安全事件的突破口来自终端。因此，各单位在防范敏感信息泄露时，应对来自终端的威胁给予足够的重视，牢牢把住终端“准入”、“管住”两个关键环节。

2原理分析

2.1网络准入与终端安全之间的关系

内部网络准入，是指在人事管理层面识别用户身份后，通过技术手段给予合法用户、合法设备接入的过程。计算机终端安全，是指包含非法外联监控、移动存储管理等在内的一系列安全防范措施，是一个单位信息安全管理制度的技术化实现，构成了对合法接入终端的安全基线。达到终端安全基线是目的，网络准入是重要的前置保障手段。在实践中，只有把网络准入与终端管控结合起来，才能有效实现内网信息安全保护。

2.2网络准入实现原理

当前国际主流的企业级实现技术主要有802.1x认证、安全网关认证等。实施802.1x认证方式的前提是交换机支持802.1x认证协议。交换机与认证服务器联动，根据认证服务器下发的认证结果，提供基于端口的准入控制。这种认证方式的优势是若在接入层实施，终端互访控制力度很强。认证前，交换机接入端口关闭，终端完全隔离。认证后，接入端口开启，相同VLAN内的终端可以互访。缺点是实施、维护过程中网络部门的工作量很大，并且无法从原理上解决终端用户在交换机端口以下私接HUB的问题。实施安全网关认证方式需要在生产网络中添加硬件安全网关（防火墙）设备，旁路部署在核心交换机侧或汇聚交换机侧。然后通过在交换机上添加策略路由（Policybasedrouting），将需要认证的IP地址范围内终端流量上拉至安全网关进行身份认证。安全网关接收认证服务器下发的动态ACL，对流量选择回注至交换机或丢弃，从而达到网络准入的效果。这种认证方式的优势是配置实施简单，对现有生产网络改动要求小，并且因为采取三层认证方式，对人员、部门迁移支持性好，同时还能够有效防止私接HUB的情况。缺点是由于控制点在核心侧或汇聚侧，安全网关对终端之间的互访行为控制力度较弱。

2.3终端安全实现原理

为确保管控效果，企业级产品基本实现模式均为在计算机客户端驻留程序，对信息保密要求较高的单位常见的需求包括以下几方面：安全状态检查。最基础的要求包括是否安装了要求版本的杀毒软件，病毒库定义是否保持更新等。此类功能主要通过安全软件读取系统注册表及扫描特定位置文件系统实现。移动存储管理。根据各单位信息安全管理要求等级不同，检查是否存在违规使用移动存储介质管理的情况。此类功能主要通过安全软件提升运行权限后向操作系统底层驱动注入代码实现。非法外联监控。对信息保密要求高的单位，接入内网的计算机终端通常都是禁止与互联网直接或间接连通的。检查非法外联的通常做法是安全软件定期检查与某个互联网地址的连通性，若有连通便会触发监控报警。

3项目实践案例

笔者作为项目负责人，于近期完成了一次单位内网准入与终端管控项目建设工作。该项目实施环境为政府机构办公内网，实施目标网络运行着单位内部办公系统以及大量对外服务的业务系统，生产网络割接需要慎重。同时，在严格管控USB存储介质等外设使用的制度要求下，又因业务特点，需要使用品种型号各异的Ukey等特种设备。因此该项目建设中必须遵循对现有生产网络及系统影响最小的原则。为达到上述目标，笔者在对网络准入及终端管控技术进行研究的基础上，对市场相关主流产品进行了长达半年的多方调研与测试选型。根据单位综合布线基础设施现状、业务系统特点等实际情况，最终确定了使用硬件安全网关实现准入，在客户端驻留程序与安全网关联动实现终端管控的技术路线。在项目实施中，笔者总结了以下几点经验：（1）终端安全管控软件部署应严格遵循“充分测试，稳步推进”的原则。由于终端安全软件本身原理决定的底层侵入性（提权运行、操作系统驱动及协议栈注入等），部署过程必须先选取运行重要业务系统、特种外设部门的计算机为试点，局部安装客户端，排查兼容性风险，积累部署经验。（2）网络准入实施应注意排查哑终端盲点，细粒度开展网络割接。因网络准入控制功能需要在终端安装程序与防火墙交互实现，对不能安装的哑终端（如网络打印机等非PC类设备），需在硬件网关设备上做特殊策略放行。在利用策略路由进行流量上拉时，本质是对生产网络的割接。为便于控制与回退，建议采取细粒度方案，以部门或楼层VLAN为单位逐个进行实施。笔者实施的项目上线试运行后，从功能、性能及兼容性几方面看，均较好地实现了项目建设需求。同时笔者通过组织对现有内网在网设备管理制度开展修订完善，以制度和技术相结合的方式，形成了单位内网终端准入控制闭环，进一步提高了内网信息安全保障水平。

4结语

信息安全保障能否落实，往往在于一个“细”字。要实现对信息安全闭环式管理，仅仅重视信息系统服务端的保护是不够的，必须重视对每个入网终端的安全管理。同时，我们也必须认识到，对一个单位的信息安全管理而言，永远是“三分技术，七分管理”。再好的技术手段，也只有和管理制度相结合，并加以强力执行，才能达到预定的安全目标。

作者：薛金川 单位：中国人民银行营业管理部

第七篇：互联网时代计算机信息安全研究

摘要：随着计算机技术的飞速发展，当前社会已逐步进入信息时代，计算机已融入人们的日常生活，成为人们生活和工作中必不可少的工具，计算机信息网络是当今社会发展的重要保障。斯诺登曝光美国的“棱镜”监控计划，使得人们见识到计算机大数据巨大能力的同时，更唤起人们对信息安全的重视。计算机不仅给生活工和作带来便利快捷，也带来了相关信息安全问题。笔者对计算机信息安全及所面临的问题、计算机信息安全的重要性及防范措施进行分析。

关键词：信息时代；计算机信息安全；加密技术；制定相关法律

互联网时代是一个大容量信息时代，随着计算机网络技术的广泛运用，信息安全问题逐渐受到人们重视。QQ、微信等社交软件逐渐替代了传统社交方法，支付宝、网上银行等网络购物软件也逐渐融入生活中。但是在使用这些相关的网络产品时，不可避免地需要透露部分个人信息，一旦信息流失，可能造成不必要损失。在当今网络普及的情况下，在使用网络时应注重个人信息的保护。

1计算机信息安全概述

计算机信息安全的定义为：需保证信息的保密性、真实性、完整性、未授权拷贝及所寄生系统的安全性。简单理解就是使信息系统中的硬件、软件、数据、物理环境等技术设施受到保护，实现系统运行的连续性，不会遭到有意或无意的破坏、更改、泄露，保证信息服务不中断[1]。网络环境下的信息安全体系是保证用户信息安全的基础，其中包含计算机操作系统、安全协议、安全机制等。信息安全对个人或商业集团，乃至于国家都是很重要的问题。信息是一种资源，因其普遍性、共享性、增值性、可处理性及多效用性对人们日常生活具有重大意义。保障信息安全的根本是保护信息系统和信息网络中的数据资源免遭多方面的破坏及干扰，即保证信息数据的安全性。2015年，两会已将网络安全法列入相关立法计划中。网络安全法的制定是规范及监管计算机信息安全的有力保障。随着高科技的快速发展，不断融入社会各个领域中，包括政治、经济、军事及文化等。现代信息社会的主要特征之一就是通过网络获取信息及传播信息。网络技术的日益成熟，人们在享受网络技术给生活带来诸多便利的同时，也应注意保护个人信息安全，计算机信息安全必须具有相对强大的保护手段，确保网络信息的安全、完整。

2计算机信息安全的意义

近年来，我国已成为世界上互联网用户数量最多的国家，也是世界上互联网发展普及速度最快的国家。我国的计算机技术在给人们生活和工作带来诸多便利的同时，也同样有着大量信息安全问题，如之前12306火车票订票官网的用户信息泄露事件，引起社会各界广泛关注，类似事件近年来频频发生，个人隐私在不知不觉中被泄露。网络信息安全问题源于信息技术的飞速发展及广泛应用，但是又不仅仅是计算机信息技术造成的，不但表现为人们过度依赖计算机信息技术，自计算机信息技术、信息内容、信息活动及信息基础设施的控制力等概念提出之时开始，自然表现为对物理环境、个人行为的过度依赖[2]。网络信息安全是一种基础安全，目前我国社会信息化程度日益加深，计算机信息网络已与社会生产、人们生活活动、国家机关等各种企业组织活动紧密结合在一起，社会经济发展、国家政治外交、国防军事活动都逐渐依赖于庞大而薄弱的计算机网络信息系统。计算机网络信息系统逐渐成为政治、经济、文化及社会活动的基础平台和中央枢纽。

3信息安全面临的问题

当前无处不在的计算机用户终端、时刻都在进行的网络传输、互动频繁的社交网络使得互联网一直在产生巨大的数据内存，在海量数据背后存在着巨大经济及政治利益。当前计算机信息技术面临以下几种威胁。第一，计算机病毒的威胁，随着Internet技术的快速发展，病毒的感染、传播能力及途径也由原来的单一简单变得复杂、隐秘。第二，黑客的攻击，黑客攻击已成为近年来计算机网络中经常出现的状况，黑客利用计算机系统、网络协议及数据库等方面的系统漏洞及防火墙的薄弱防护能力，使用后门程序、信息炸弹、密码破解等手段入侵计算机系统，盗窃系统保密信息，破坏信息或占用系统资源。第三，信息传递的安全风险，企业与外部单位、国外相关公司进行广泛的工作交流，大量日常工作信息、数据都需要通过互联网进行传输。使用网络传输信息会被非法用户截取进而泄露企业机密；被非法篡改，造成数据混乱、信息错误进而对工作造成影响；非法用户假冒身份，虚假信息，造成企业生产运行出现混乱，造成不可估量的破坏及损失[3]。第四，随着软件系统规模的不断扩大，不可避免地存在安全漏洞，任何一个软件系统在设计过程中可能由于程序员的大意、设计中的缺陷等原因而存在漏洞，这也是网络安全面对的主要问题。

4信息安全防范对策

面对当前计算机信息时代的数据特点，保障人们信息安全是首要解决的问题。制定信息安全防范对策，首先要提高访问控制方面的安全指数，防止用户通过非法途径入侵他人计算机系统对其造成损失。需要使用认证机制，此项访问控制通过身份认证、报文认证、访问授权、数字签名等途径得以实现。还应加强对网络安全监测，对网络整体的运行过程进行动态监测，减少病毒的入侵破坏。其次，加强对数据传输的保护，在数据传输过程中对病毒进行拦截和相应的病毒检测，要防患于未然。对数据的连接层进行加密，减少数据在进行传输过程中被盗窃的风险，然后对传输层和应用层进行加密，防止网络应用程序对数据私自加密或解密。最后，加深网络用户对网络安全的认知程度，加强对用户网络安全意识的培养，进一步普及相关网络安全知识，正确引导网络用户以提升对网络安全的认识[4]。设立专门监管计算机网络安全的相关部门，制定保护计算机网络安全的相关法律，为其健康发展提供法律依靠。

5结语

网络安全应有足够强的安全保护措施，保障网络信息的安全性、完整性及可用性。计算机网络信息的安全需要提升到一个新的高度，充分发挥计算机信息网络的积极作用，推进经济、文化、军事及社会活动的健康发展。只有加强网络与信息安全管理，增强安全意识，不断改进和发展网络安全保密技术，才能防范于未然，减少国家、企业或个人的损失。信息时代的来临，给人们日常生活带来诸多便利，但生活在计算机信息飞速发展的时代，个人信息安全的重要性日益凸显，应了解计算机信息网络，加强对个人信息的防范意识，学习相应的信息安全保护措施，在享受计算机信息时代给生活带来便利的同时，使得个人信息安全得到保障。

参考文献

[1]赵建功.浅谈信息时代下计算机电子商务的安全策略[J].中国高新技术企业,2015(9):81-82.

[2]宗俊超.浅谈网络信息处理与安全方面的计算机应用[J].科技创新与应用,2013(12):50.

[3]王颖波.计算机信息安全技术及防护研究[J].计算机光盘软件与应用,2013(22):171-172.

[4]王磊.关于计算机网络信息安全及防护策略探究[J].电脑知识与技术,2014(19):4414-4416.

作者：白云 单位：湖北工程学院

第八篇： WEB访问行为中的信息安全分析

【摘要】网络技术的迅猛发展，应用领域的不断扩大，导致信息安全问题日益突出。信息安全正逐渐成为一个综合性的多层面的问题。它是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识、控制。本文就人们日常的网络访问行为中，可能会导致信息安全问题的用户行为进行分析研究，寻求一种安全、文明的访问行为。

【关键词】网络访问；访问行为；信息安全

0引言

互联网是由若干个计算机网络互相连接而组成的网络，目前最大的互联网是因特网，它由众多的计算机网络互相连接组成、覆盖全球的开放性网络，广泛应用于社会经济、教育、文化传播等等方面。我国互联网的产生虽然比较晚，但是经过几十年的发展，依托于中国国民经济和政府体制改革的成果，已经显露出巨大的发展潜力[1]。中国已经成为国际互联网的一部分，并且将会成为最大的互联网用户群体。随着社会的发展，人们对网络信息的需求和依赖日益增强，计算机网络已经悄然进入寻常百姓的生活，渗透了衣、食、住、行、娱等各个领域。网络技术的高度发展，为我们进行现代化建设提供了技术保障。然而，网络应用中却存在着许多不安全因素，其主要表现在信息泄漏、信息篡改、非法使用网络资源、非法信息渗透、假冒信息等等。本文就人们日常的网络访问行为中，可能会导致信息安全问题的用户行为进行分析研究，寻求一种安全、文明的访问行为。

1计算机网络的信息安全隐患

计算机网络信息安全主要面临两类威胁，一类是计算机信息泄漏，另一类是数据破坏。由于计算机系统脆弱的安全性，只要用计算机来处理、存储和传输数据就会存在安全隐患。近年来，随着计算机网络信息泄漏和信息破坏事件不断上长的趋势，计算机信息安全问题已经从单一的技术问题，演变成为突出的社会问题，因此，计算机网络信息系统的安全与防范显得越发重要。计算机网络的三个最重要功能是数据通信、资源共享和分布处理，在这些环节当中，都存在信息安全问题。信息安全是指利用网络管理控制和技术措施，防止网络本身及网上传输的信息数据被故意地或偶然地非授权泄漏、更改、破坏，或使网上传输的信息被非法系统辨认、控制，即确保网上传输的信息数据的完整性、保密性、可用性受到保护[1]。目前，在网络信息安全方面，主要存在以下的安全隐患：

1.1网络中存在的不安全因素

用户可以通过网络自由和获取各类信息，因此，网络的威胁也来自方方面面。在这些威胁中最主要的是在计算机协议或证书中存在的不安全性因素[3]，如计算机协议主要包括：FTP、IP/TCP协议、SSL、NFS、SET等协议，这些协议中如果存在漏洞网络入侵者就能够根据这些漏洞搜索用户名，可以猜测到机器密码口令，攻击计算机防火墙。数字证书则是通过标志交易各方身份信息的一系列数据，提供了一种验证各自身份的方式，用户可以用它来识别对方的身份。当一些恶意、非法的伪造数字安全证书被安装后，网络信息就被完全暴露。而且，网络用户对计算机及网络知识了解并不多，一旦页面上出现的诸多提示，往往是一路“确定”下去。

1.2数据库管理系统的不安全

数据库管理系统是基于分级管理的理念而建立，本身就存在缺陷。因此，由于数据库的不安全因素的存在就会将用户上网浏览的痕迹泄漏，用户在网上存储和浏览的信息，通过这些用户的账号，密码都会被泄漏，这样就会大大威胁到用户的财产隐私安全。

1.3计算机操作系统存在的不安全因素

计算机的整个支撑软件是它的操作系统，电脑中的所有程序运行都靠支撑软件为其提供环境。一旦网络入侵者控制了操作系统，那么用户口令就会被泄露，用户在各个程序中残留的信息就会被入侵者截取。

2获取网络用户信息的方式分析

智慧城市概念的提出，伴随着网络帝国的崛起、移动技术的融合发展，知识社会环境下的智慧城市是继数字城市之后信息化城市发展的高级形态。从内容上看，信息化过程可分为信息的生产、应用和保障三大方面。信息的获取方式多种多样，涉及到网络用户信息的方式有如下几种类型：（1）网络及系统漏洞：在传统安全防御技术中，系统的后门因其隐蔽性而被人们所忽视，作为网络协议和网络服务实现的载体，网络操作系统本身负有不可推卸的责任，在程序运行过程中存在的缺陷和漏洞在所难免。由于防火墙对这类入侵的拦截力度不足，导致这类入侵行为可以堂而皇之经过防火墙而很难被察觉。Cookie这种网络小甜饼是一些会自动运行的小程序。网站设计师使用它们来为你提供方便而高效的服务[2]。但同时通过使用这些小程序，商业公司和网络入侵者能够轻易获得你机器上的信息。JavaJava作为一种技术，一直备受争议，现实中有无数利用Java的漏洞成功入侵案例。（2）网络恶意攻击：通俗来说就是网络黑客攻击和网络病毒，这两类问题是目前公认的网络安全公敌。随着计算机文化在社会各个阶层的渗透，使得这类攻击变得越来越容易，一旦发现有关目标机器的详细资料，利用程序工具，对目标机器的文件资料、配置进行阅读、拷贝、修改等等[4]。网络病毒传播利用用户访问自己的网站或下载文件资料的同时传播病毒，以达到窃取信息的目的。（3）社交软件：有超过95%的网民正在使用的各类工具软件，它的及时、便捷给大家带来方便的同时，也给信息的泄漏带来可乘之机。如“微信三点定位”引发的热议，折射出了公众对隐私暴露的不安。个人信息与隐私界定标准的模糊让人头疼，用户亦因此不自觉地泄露个人信息。（4）用户习惯：当使用者在使用某网站的某些认证时，每当有窗口弹出显示认证和授权时，绝大多数人会毫不犹豫地按下“Yes”。这就好比你购买商品时，售货员问：“把你钱包给我，请相信我会取出合适数量的钱替您付款，您说好吗？”你一定会斩钉截铁地回答：“No”这两种情况本质上完全一样。

3网络访问行为调查分析

那些非法窃取在线信息和通讯的黑客入侵者以及试图保护信息安全的人们已经陷入一场军备竞赛。每年都会发生各种入侵攻击，日益进化的网络技术导致安全行业努力利用现有工具抵抗攻击，同时收集有关新威胁的情报[3]。用户也是这一问题的一部分，他们粗心或者恶意的网络行为让入侵者有机可乘，或者直接导致网络泄密。通过对不同年龄段人群进行网络访问的行为调查，共发放500份调查问卷，内容涉及网络访问需求、访问类型、访问行为方式、具体问题的处理方式和一些网络安全基本知识，回收到有效的问卷486份，对问卷进行统计分析后，得到了以下的网络访问行为的分析结果：从不同群体对网络的需要比例来看（见图1），网络速度是第一位的需求，安全性要求摆在末位，显示受访者的网络安全意识淡薄，甚至把网络速度作为衡量网络使用效果、计算机质量好坏的判断依据。针对不同受访群体的网络访问类型（见图2），从统计结果来看，社交软件是普遍使用较多的应用。据DCCI互联网数据中心联合360手机安全中心的《2015年Android手机隐私安全报告》显示，要求读取设备信息以91%的比例高居首位，占比76.8%的读取位置信息位居第二。无论是PC端还是手机移动终端，使用相关软件时，都应该进行相应的安全设置，以保护个人信息与隐私的安全。电子邮件在中青年人群应用较多，需要注意的是当电子邮件中有附件时，应使用下载附件的邮件阅读方式，而非直接打开进行在线阅读的方式，这样可以有效杜绝恶意软件的传播与在线运行行为。根据不同人群对计算机及网络安全的关注情况来看（见图3），老年群体的计算机及网络安全状态令人担心，在这些措施当中，依赖第三方安全管理软件进行计算机与网络的安全管理比重较大，显示了网民对计算机与网络知识薄弱，这样就存在着如何选择合适的第三方安全管理软件的问题。更令人担忧的是，网民普遍存在对计算机及网络相应的安全设置不明白、不清楚的现象，没有设置好的计算机与网络软硬件环境，这就意味着信息安全的第一道防线不攻自破，此时更谈不上网络访问行为中的信息安全了。从不同群体网络访问时遇到的问题比例来看（见图4），网络骚扰信息、虚假信息较多，而且成为普遍的现象。这些问卷显示，在网络上下载一些软件后，经常会自动弹出一些页面，当用户不经意点击链接后，可能跳转到欺骗网站、虚假页面等网络陷阱中去，进而导致信息安全得不到有效保护，甚至产生人生安全、财产损失等严重后果。

4结论

计算机网络信息安全面临的威胁中，除了管理层面的数据破坏所带来的问题外，另一类是用户层面的计算机信息泄漏[4]。导致计算机信息泄漏的途径有很多。首先，必须有一个安全可靠的计算机及网络环境，在人们日常的网络访问行为中，要学会进行必要的计算机及网络的相关安全设置，及时下载系统及软件补丁，安装杀毒软件和防火墙等安全管理软件，营造良好网络访问环境；其次，是在进行网络访问时，要有真假信息的甄别能力，网络信息量庞大，学会辨别是非是信息安全、文明上网的有效举措；最后，对于用户而言，更为重要的是良好网络访问习惯的养成，在正规网站下载软件，遇到网页提示要认真看清读懂，不随便在论坛及社交网站个人敏感信息，树立牢固的信息安全防范意识，保护好个人隐私。

【参考文献】

［1］蒋蔚．网络行为管理系统研宄及设计[D]．浙江工业大学,2012．

［2］杨宗长,徐继生,孙洪．Web访问者网络行为跟踪[J]．计算机安全,2004(8)．

［3］RossAnderson．齐宁（译）．信息安全工程[M]．北京:清华大学出版社,2012．

［4］王宇,阎慧．信息安全保密技术[M]．北京:国防工业出版社,2010．

第九篇：电力信息安全保障体系建设思考

【摘要】如今，伴随着科学技术的迅猛发展，我国电力企业各个方面的工作，也得到了大幅度的进步。电力信息安全保障体系，是电力发展事业各组成部分中的重要环节，在维持电力企业的正常运行、日常管理和营销管理等方面，起着至关重要的作用。因此，电力信息的安全问题，一直是电力企业所关注的重要内容之一，各个企业对于电力信息也逐渐重视起来。以下是笔者结合当前电力信息安全保障体系建设的实际情况，就在电力企业中，电力信息系统的安全领域出现的问题，进行有效详细的研究与分析，希望通过此次研究，能够对电力信息安全保障体系的建设领域的发展，起到一定的促进作用，为我国电力工作的发展，献计献策。

【关键词】电力信息；安全保障；体系建设；探讨研究

所谓的电力信息系统，主要的内容包括信息网络、应用系统、网络服务系统、存储与备份系统、安全系统、辅助系统等。除此以外，上述系统的附属设备也在电力信息系统的行列内。本系统所涉及的技术，大致有数据加密技术、防火墙、入侵检测技术、网络扫描技术，以及访问控制技术等。虽然安全架构在设计上出现问题与管理方面出现问题，是引发信息系统安全问题的主要因素，但还是有其他因素存在。因此，在电力信息系统安全保障体系的建设，要考虑电网运行安全方面以外，还要经过信息安全系统的的建设、信息安全管理的建设和信息安全策略的建设三个阶段。

一、电力信息安全保障体系存在的问题

随着科学技术的不断发展，计算机技术也在不断进步，黑客是摆在我们面前不可忽视的问题。因此电力系统在正常运行的情况下，就很容易受到黑客的攻击，造成病毒的侵入，所以对电力信息的安全保障体系的建设予以加强，变得迫在眉睫。现如今，电力信息安全存在的主要问题，大致包括信息安全意识薄弱、信息安全运作机制不完善、信息安全保障工作没有常态化、系统安全设计不足，以及短板现象显著等。在大多数电力企业中，信息安全问题常常被忽视，有的甚至处于不防御状态。信息安全运作机制不完善，在不完善的业务连续性计划，不规范的信息文档和测试数据的管理中，有所体现。那么，怎么样去应对这些问题呢？使这些问题能够迎刃而解呢？主要从信息安全管理和信息安全技术两方面入手。其中，信息安全评估、建立安全管理组织、信息安全运行管理、安全策略规划和安全监督审计等，均属于信息安全管理范畴。而信息安全技术大致包括通用信息安全技术手段，也就是安全服务，比如访问管理、防恶意代码、身份认证和审核跟踪等等。

二、电力信息安全保障体系的策略与管理

结合当前形势与公司实际,要不断进行管理的创新与技术的实践。从管理层面讲，要对组织机构、系统运行维护、规章制度、相关工作人员教育等进行全面控制和管理；而从技术的层面出发，做到防护物理、主机系统、网络、数据应用等等各方面的安全性,同时在安全可靠前提下，建设一套高效、先进、实用的信息安全保障体系，支撑助力生产专业化与管理现代化，保障电力信息的安全性。制定电力信息安全策略，应该保证在国家信息安全等级保护政策的前提下进行，本着提升电力企业整体防篡改、防泄密、防攻击等综合能力的原则，进行策略的制定。电力信息安全的运行，在保证对基础环境、主营业务系统、软硬件平台等等运行维护的同时，还要确保运维技术规范、运维流程和定检等标准或机制的建立。另外，访问控制和身份认证，可以将主机系统、安全设备、应用系统，网络设备等的身份认证，进行统一管理。审计和监控，也可提高信息的安全性，对问题发生时的反应速度，也能够得以提升，对安全问题的发生，起到了有效的预防。在电力管理信息大区网络内部，还应建立能够对病毒进行预防、隔离、检测和清除的机制。这样，可以大大降低未知病毒的入侵率。

三、结论

总而言之，加强电力信息安全保障体系的建设，是新时期电力工作者热衷研究的一大科题，更是今后的工作方向。在电力信息系统安全保障体系建设的过程中，我们必须要以“坚持实事求是、以人为本”的方针为原则，系统性的分析影响电力信息系统运行安全与管理的因素，结合如今电力信息系统安全保障的实际情况，以最佳的建设原则与思路，对电力信息系统安全保障体系进行完善，为电力企业的健康长远发展做出突出的贡献。

参考文献

[1]李志茹,张华峰,党倩.电网企业信息系统安全防护措施的研究与探讨[J].电力信息化.2012(04)。

[2]香柱平.有关电力企业信息中心网络安全及防护措施的探讨[J].中小企业管理与科技(下旬刊).2010(05)。

[3]张建华,王昕伟,蒋程,于雷,俞悦,余加喜.基于蒙特卡罗方法的风电场有功出力的概率性评估[J].电力系统保护与控制.2014(03)。

[4]丁冬,刘宗歧,杨水丽,吴小刚,李婷婷.基于模糊控制的电池储能系统辅助AGC调频方法[J].电力系统保护与控制.2015(08)。

[5]肖英;信息保障及其评价指标应用基础研究[D];武汉大学;2006年。

[6]顾恺恺;基于信息安全控制原理的安全网格服务器模型研究与实现[D];南京航空航天大学;2007年。

作者：唐勇 单位：国网四川省电力公司电力科学研究院