信息安全策略论文

信息安全策略论文（共9篇）

篇1：信息安全策略论文

信息安全策略

是一个有效的信息安全项目的基础。从信息安全领域中发生的事件来看，信息安全策略的核心地位变得越来越明显。例如，没有安全策略，系统管理员将不能安全的安装防火墙。策略规定了所允许的访问控制、协议以及怎样记录与安全有关的事件。尽管信息安全策略是廉价的实施控制方式，但它们也是最难实施的。策略花费的仅仅是创建、批准、交流所用的时间和精力，以及员工把策略整合形成日常行为规范所用的时间和精力。即使是雇佣外部顾问来辅助制定策略，与其它控制方法（特别是技术控制）相比，其花费也是较小的。策略的制定需要达成下述目标：减少风险，遵从法律和规则，确保组织运作的连续性、信息完整性和机密性。

信息安全策略应主要依靠组织所处理和使用的信息特性推动制定。组织为高层主管、董事会成员、战略伙伴以及员工提供了内部信息系统，对信息系统中信息特性的理解，能为策略制定提供有用的依据。应当重视对信息系统了解深刻的员工，所提出的组织当前信息的主要特性，具体包括：什么信息是敏感的、什么信息是有价值的以及什么信息是关键的。

在制定一整套信息安全策略时，应当参考一份近期的风险评估或信息审计，以便清楚了解组织当前的信息安全需求。对曾出现的安全事件的总结，也是一份有价值的资料。也需要召开相关人员会议，比如首席信息官、物理安全主管、信息安全主管、内部审计主管和人力资源主管等。

为了确定哪些部分需要进一步注意，应收集组织当前所有相关的策略文件，例如计算机操作策略、应用系统开发策略、人力资源策略、物理安全策略。也可以参考国际标准、行业标准来获得指导。

资料收集阶段的工作非常重要，很多时候因为工作量和实施难度被简化操作。资料收集不全，调研不够充分会导致新建的信息安全策略无法与组织的真正需求一致。也无法确保策略中的要求与管理目标相一致。如果提出一套与组织文化明显不一致的策略，更是一件很尴尬的事情。

在制定策略之前，对现状进行彻底调研的另一个作用是要弄清楚内部信息系统体系结构。信息安全策略应当与已有的信息系统结构相一致，并对其完全支持。这一点不是针对信息安全体系结构，而是针对信息系统体系结构。信息安全策略一般在信息系统体系结构确立以后制定，以保障信息安全体系实施、运行。例如，互联网访问控制策略可使安全体系结构具体化，也有利于选择和实施恰当的防火墙产品。

收集完上面所提到的材料后，也就是调研阶段完成后，开始根据前期的调研资料制定信息安全策略文档初稿。初稿完成后，应当寻找直接相关人员对其进行小范围的评审。对反馈意见进行修改后，逐渐的扩大评审的范围。当所有的支持部门做出修改后，交由信息安全管理委员会评审。

信息安全策略的制定过程有很高的政策性和个性，反复的评审过程能够让策略更加清晰、简洁，更容易落地，为此在评审的过程中需要调动参与积极性，而不是抵触。

评审过程的最后一步一般由总经理、总裁、首席执行官签名。在人员合同中应当表明能予遵守并且这是继续雇佣的条件。也应当发放到内部服务器、网页以及一些宣传版面上的显眼位置，并附有高层管理者的签名，以表明信息安全策略文档

得到高层领导强有力的支持。如果让首席执行官签名不现实，由首席信息官签名也可以。要注意仅有信息安全部门主管或同级的部门主管签名，一般不足以表明高层管理者的同意和支持。虽然获得高层管理者的同意很难实施，但经验表明，高层的支持对策略的实施落地是非常重要的。

一般来说，在信息安全策略文件评审过程中，会得到组织内部各方多次评审和修订，其中最为重要的是信息安全管理委员会。信息安全委员会一般由信息部门人员组成，参与者一般包括以下部门的成员：信息安全、内部审计、物理安全、信息系统、人力资源、法律、财政和会计部。这样一个委员会本质上是监督信息安全部门的工作，负责筛选提炼已提交的策略，以便在整个组织内更好的实施落地。如果组织内还没有信息安全管理委员会，在制定信息安全策略的时候正是建立管理委员会的好时机，或由组织内已存在的同职能部门担任职责。

虽然制定了新的安全策略，还必须有一个适当的实施过程，如果这些策略不能得到实施，将起不到任何作用，不能得到执行的策略，可能比完全没有策略更糟糕，因为这样会教会员工作假和质疑组织内部执行力，这也可能麻痹管理者认为信息安全为题已经处理虽然现实是另外一回事。

管理层常以为员工行为当然以组织利益为重，这是一个欠考虑的想法。虽然策略不可能影响员工的个人价值观，但管理层可以运用策略给员工提供机会，引导他们和组织的利益一致。策略告诉员工组织对他们的期望是什么。

新策略发布前，应在内部信息技术部门或审计部门内讨论如果具体实施。新策略的执行可能会遇到多样化的问题。可以通过绩效评估和相应奖惩制度来保证策略的执行有效性。发现和惩罚违反策略的员工并不是目的。如果大量的人都不遵守，这就表明策略和相关的意识提升是无效的。在此情形下，需要寻找更有效的方式实施，或修改策略，以便更好的反映组织文化。

另有一些策略实施的建议：

在组织内部网站或一些媒体发布策略—新策略应发布在组织内部网站上，加入相关链接让用户能很快定位感兴趣的材料。

制定自我评估调查表—在新的策略实施时，制定评估表，填写实施情况，就能明确哪些部门没有遵守好、哪些地方需要额外加强控制。

制定遵守信息安全策略的员工协议表——应当编辑一个反映员工该如何遵守信息安全策略的法律协议表，或直接体现在员工合同中。

建立考察机制检查员工是否理解策略——调查员工是否理解安全策略文档中的重点。通过考试确定是否要增加培训和通告。

基础信息安全培训课程——培训课程通过录像或培训软件存档。不同策略对象可能要不同的培训课程。

分配策略落实负责人——按部门或实际情况分配负责人，落实责任。

篇2：信息安全策略论文

1范围

信息系统是技术密集的大型复杂的网络化人机系统，其面临的安全问题非常突出。为了保障海南电网信息通信分公司（以下简称“公司”）信息系统的安全可靠运行，依据《信息系统安全等级保护基本要求》等相关标准法规制定本策略纲要。本纲要适用于公司信息系统。总体目标

总体目标：保护公司信息系统的硬件、软件、业务信息和数据、通信网络设备等资源的安全，有效防范各类安全事故，合法合规发展各类信息系统，确保为社会提供高效稳定的电力服务。规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件，其随后所有的修改单或修订版均不适用于本标准（不包括勘误、通知单），然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件，其最新版本适用于本标准

《信息安全技术 信息系统安全保障评估框架》（GB/T 20274.1-2006）《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006）

《信息安全技术 信息系统安全等级保护基本要求》（GBT 22239-2008）本标准未涉及的管理内容，参照国家、电力行业、南方电网公司的有关标准和规定执行。总体方针

4.1组织与体制

构筑确保信息安全所必需的组织与体制，明确其责任与权限。

4.2 遵守法令法规

遵守与信息安全有关的法令法规，制定并遵守按基本方针所制定的信息安全相关的规定。

4.3信息资产的分类与管理

按照重要级别信息资产进行分类，并妥善管理。

4.4培训与教育

为使相关人员全面了解信息安全的重要性，适当开展针对性培训与教育教育活动。使他们充分认识信息安全的重要性以及掌握正确的管理方法。

4.5物理性保护

为避免非法入侵、干扰及破坏信息资产等事故的发生，对其保管场所与保管办法加以明确。

4.6技术性保护

为切实保护信息资产不受来自外部的非法入侵，对信息系统的登录方法、使用限制、网络管理等采取适当的措施。

4.7运用

为确保基本方针的实际成效，在对遵守情况进行监督的同时，对违反基本方针时的处置办法及针对来自外部的非法入侵等紧急事态采取的应对措施等加以规定。

4.8评价及复审

随着社会环境的变化、技术的进步等，应定期对基本方针与运用方式进行评价与复审安全策略

5.1安全管理制度

在信息安全中，最活跃的因素是人，对人的管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以及企业文化的熏陶，这些功能的实现都是以完备的安全管理政策和制度为前提。安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。

安全管理制度重点关注管理制度、制定和发布、评审和修订三方面。

目的是根据系统的安全等级，依照国家相关法律法规及政策标准，建立信息安全的各项管理规范和技术标准，规范基础设施建设、系统和网络平台建设、应用系统开发、运行管理等重要环节，奠定信息安全的基础。

5.2安全管理机构

建立组织管理体系是为了建立自上而下的信息安全工作管理体系，确定安全管理组织机构的职责，统筹规划、专家决策，以推动信息安全工作的开展。

公司成立信息安全领导小组，是信息安全的最高决策机构，负责研究重大事件，落实方针政策，制定实施策略和原则，开展安全普及教育等。下设办公室负责信息安全领导小组的日常事务。

信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。组长均由公司负责人担任。

5.3人员安全管理

通过建立安全岗位责任制，最大限度降低人为失误所造成的风险。人是决定性因素，人员安全管理的原则是：职责分离、有限授权、相互制约、任期审计。

人员安全管理的要素包括：安全管理人员配备、信息系统关键岗位、人员录用、人员离岗、人员考核与审查、第三方人员管理等。

信息安全人员的配备和变更情况，应向上一级单位报告、备案。

信息安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及公司业务核心技术的信息安全人员调离单位，必须进行离岗审计，并在规定的脱密期后，方可调离。

5.4系统建设管理

信息系统的安全管理贯穿系统的整个生命周期，系统建设管理主要关注的是生命周期中的前三个阶段（初始、采购、实施）中各项安全管理活动。

系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑，具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择十一个控制点。

5.5系统运维管理

目的是保障信息系统日常运行的安全稳定，对运行环境、技术支持、操作使用、病毒防范、备份措施、文档建立等全方位管理。包括用户管理、运行操作管理、运行维护管理、外包服务管理、有关安全机制保障、安全管理控制平台等方面的管理要素。

对运行过程的任何变化，数据、软件、物理设置等，都应实施技术监控和管理手段以确保其完整性，防止信息非法复制、篡改，任何查询和变更操作需经过授权和合法性验证。

应急管理也是运维的重要内容，目的是分析信息系统可能出现的紧急事件或灾难，建立一整套应急措施，以保障核心业务的快速恢复和持续稳定运行。应急计划包括应急处理和灾难恢复策略、应急计划、应急计划的实施保障等管理要素。

在海南省电网公司统一的应急规划下，针对信息系统面临的各种应急场景编制相应的应急预案，并经过测试演练修订，同时宣传普及。

5.6物理安全

目的是保护计算机设备、设施（含网络）以及信息系统免遭自然灾害和其他形式的破坏，保证信息系统的实体安全。

有关物理环境的选址和设计应遵照相关标准，配备防火、防水、防雷击、防静电、防鼠害等机房措施，维持系统不间断运行能力，确保信息系统运行的安全可靠。

对重要安全设备的选择，需符合国家相关标准规范，相关证书齐全。

严格确定设备的合法使用人，建立详细运行日志和维护记录。

5.7网络安全

目的是有效防范网络体系的安全风险，为业务应用系统提供安全、可靠、稳定的网络管理和技术平台。

对于依赖网络架构安全的业务应用系统，需根据其安全级别，实施相应的访问控制、身份认证、审计等安全服务机制；在网络边界处，需根据资源的保护等级，实施相应安全级别的防火墙、认证、审计、动态检测等技术，防范信息资源的非法访问、篡改和破坏。

5.8主机安全

主机安全包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机，服务器则包括应用程序、网络、web、文件与通信等服务器。主机承载着各种应用，是保护信息安全的中坚力量。

主机安全需着重关注和加强身份鉴别、访问控制、恶意代码防范、安全审计、入侵防范几个方面，同时定期或不定期的进行安全评估（含渗透性测试）和加固，实时确保主机的健壮性。

5.9应用安全

应用安全成是信息系统整体防御的最后一道防线，目的是保障业务应用系统开发过程及最终产品的安全性。

在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的应用是形成其他应用的基础，是基本的应用；业务应用采纳基本应用的功能以满足特定业务的要求；故最终是保护系统的各种业务应用程序的安全运行。

应用系统的总体需求计划阶段，应全面评估系统的安全风险，确定系统的访问控制、身份认证、审计跟踪等安全需求；总体架构设计阶段，应实施安全需求设计，确立安全服务机制、开发人员技术要求和操作规程；应用系统的实现阶段，应全程实施质量控制，防止程序后门，减少代码漏洞；在上线运行之前，应充分进行局部功能、整体功能、压力测试，以及系统安全性能、操作流程、应急方案的测试。5.10数据安全及备份恢复

信息系统处理的各种数据（用户数据、系统数据、业务数据等）在维持系统正常运行上起着至关重要的作用。由于信息系统的各个层面（网络、主机、应用等）都对各类数据进行传输、存储和处理等，因此，对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。

数据备份也是防止数据被破坏后无法恢复的重要手段，而硬件备份等更是保证系统可用的重要内容。附 则

 本标准由海南电网公司信息通信分公司负责解释。

篇3：信息安全策略论文

本书共包括15章的征文和12个附录,全文100多万文字。主要领域包括:安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与操作管理、访问控制、信息系统的获取及开发与维护、信息安全事件管理、业务连续性管理、符合性,除此之外,在内容上还涵盖了密码学、供应商管理等新内容。本书(第12 版)顺应新技术发展情况,增加了最新的信息技术与管理内容,适用于新形势下的信息安全管理和应用。

本书可作为企业、政府部门编制信息安全策略的参考工具书,也可作为信息安全服务商、信息安全从业人员、研究机构、高等院校的重要参考资料。

作者:查尔斯·克雷森·伍德高卓刘炯邓小四等译

出版社:化学工业出版社

定价:980 元(购买2 册八折优惠)

书款另加:15% 邮费

工业和信息化部电子工业标准化研究院标准咨询服务部:

函购传真:(010)64102617

函购电话:(010)64102617联系人:高伟E-mail:1584691088@qq.com

负责地区:四川、重庆、陕西、山西、辽宁、黑龙江、浙江

函购电话:(010)64102617联系人:吴敏E-mail:wum9217@163.com

负责地区:江苏、上海、广东、天津、湖南、广西、贵州

函购电话:(010)64102616联系人:杨靳娇E-mail:87803142@qq.com

负责地区:安徽、湖北、吉林、云南、福建、江西、甘肃、新疆

函购电话:(010)64102616联系人:申铁燕E-mail:sty19021977@qq.com

负责地区:河北、河南、山东、宁夏、内蒙古、西藏、青海、海南

北京门市电话:(010)64102612联系人:张雯E-mail:710982143@qq.com

门市传真:(010)64102612开户行:工商行北京北新桥支行

网址: www.cesinet.com账号:0200004309088116710

篇4：网络信息安全策略浅析

关键词：计算机；网络；安全；防火墙

中图分类号：TP393 文献标识码：A文章编号：1007-9599 (2011) 08-0000-01

Network Information Security Policy Analysis

Zhang Jiwang

(Harbin Information Engineering Vocational Technical School,Harbin150000,China)

Abstract:This paper discusses the network environment,information security technology,network saboteurs intent and possible means are described,focusing on network security policy and the common network information security technology are discussed.

Keywords:Computer;Network;Security;Firewall

一、引言

安全的核心是人，必须以人为核心进行安全管理，采用各种先进的安全技术，使系统免受非法攻击，排除没有访问权限的使用者窃取系统机密信息，确保系统安全可靠地运行。

二、网络安全策略

计算机网络安全策略是关于网络安全问题的总的原则、对安全使用的要求及怎样保障网络的安全运行。在制定安全策略时，首先需要确定的原则为：准许访问除明确拒绝以外的全部服务还是拒绝访问明确准许以外的所有服务。前者由于用户可能使用不安全的服务而危及网络安全，只有在网络的实验阶段才可采用，后者一般被选择作为总的原则，总的原则确定后还应考虑的问题有：

（一）将系统资源分类，确定需保护的资源及其保护的级别，规定可以访问资源的实体和能够执行的动作。

（二）根据网络使用单位的实际需要确定内部网的服务类型，规定内部用户和外部用户能够使用的服务种类。

（三）规定审计功能，记录用户的活动及资源使用情况。

三、信息安全技术

网络安全性与每一层都有关系。在物理层，可通过把传输线封装在包含压氩气的封装管中来挫败偷听。任何钻管的尝试都会导致漏气、减压，并能触发警报装置。一些军用系统就采用了这种装置。在数据链路层，点点线上的分组在离开一台机器时被编上密码，到达另一台时再解码。在网络层，可以安装防火墙来限制分组的进出。在传输层，整个连接都能被加密（端端，即过程到过程）。在应用层可想办法采用一种通用的方法有效地解决身份认证或反拒认问题。

网络信息安全技术通常从防止信息窃密和防止信息破坏两方面来考虑。

防止信息窃密的技术通常采用通信反侦察、防电磁泄露、防火墙技术、密钥管理、通信保密、文件保密、报文鉴别、数字签名、存储加密等。

（一）通信反侦察。网络在传输信息过程中很容易被网络破坏者侦收，为了防止这一点，有线电通信常采用光缆和可防窃听的保密电缆线路等；无线电通信则通常采用扩频技术、悴发传输技术、毫米波和激光通信技术等，这几种通信手段都具有强的抗截获能力和抗干扰能力。

（二）防电磁泄露。计算机系统电磁辐射泄露也会使信息失密，因此，通常采用机房屏蔽和设备屏蔽技术来抑制和防护电磁辐射泄漏。机房屏蔽是用屏蔽室对计算机系统实施屏蔽。屏蔽性能最好的是采用实体的钢和钢板的双层屏蔽以及双层间绝缘的屏蔽室。设备屏蔽，比如为防止视频显示器电磁辐射，在其玻璃止喷涂一层导电薄膜，在玻璃周围用导电条将导电薄膜与机壳相连接地，达到屏蔽电磁场的效果。另外，还要从设备的研制和生产上加以考虑（如改善电路布局、搞好电源线路和信号线路滤波等）电子设备电磁辐射的防护和抑制。

（三）防火墙技术。防火墙是目前所有保护网络的方法中最能普遍接受的方法，而且防火墙技术还属于新兴技术，95％的入侵者无法突破防火墙。防火墙的主要功能是控制对受保护网络的非法往返访问，他通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用来防范内外部的非法访问。防火墙是阻止网络入侵者对网络进行访问的任何设备。此设备通常是软件和硬件的组合体，他通常根据一些规则来挑选想要或不想要的地址。防火墙可用软件构成，也可由硬件或软、硬件共同构成。软件部分可以是专利软件、共享软件或免费软件，而硬件部分是指能支持软件部分运行的任何硬件。网络中的防火墙主要有包过滤器和应用网关两种类型。

（四）密钥管理。网络安全系统运行效率的高低与密钥管理密切相关，若对于DES和RSA密码体制丢失密钥，则整个网络安全系统变成为虚有。密钥管理由密钥的产生、分配和安装三个部分组成。

（五）通信保密。在计算机网络中，通信保密分为链路加密、节点加密和端对端加密。在三种方式中，端端加密从成本、灵活性和保密性方面看是优于其他两种方式。端端加密指的是在发送结点加密数据，在中间结点传送加密数据（数据不以明文出现），而在接受结点解密数据。

（六）报文鉴别。报文鉴别能提供对传输报文数据的有效性及完整性的验证，它是数据保密的一部分。它允许每个通信者验证收报文的来源、内容、时间性和规定的目的的地址。

（七）文件保密。网络中的重要资源是文件，网络安全系统一般采用口令、访问控制等安全措施，但这些措施抗渗透性不强，容易被伪造、假冒，从而使非法用户侵入文件名系统，针对这种攻击，必须采用文件加密来保护。这样，即使非法用户获得了文件，也无法看懂，只有文件的合法使用者用自己的秘密密钥，才能看到文件的真实原文。

（八）数字签名。在网络环境中，签署决定和文件是各部门负责人经常要做的事，因此在网络中要解决与书写签名有对等功能的数字签名问题。数字签名可以采用DES体制或RES体制，对于DES体制需要复杂的协议，并需要第三方仲裁服务。而公开密钥算法得到的数字签名是通用的、一般的签名，因为他能为任何存取发送方公开密钥的人所证实，因此RES体制常被采用。为达到只有合法发送方才能通过所持有的密钥对数据解密，人们通常把数据保密通信和数字签名合为一体。

参考文献：

[1]吴煜煜.网络与信息安全教程(21世纪高等院校计算机系列教材)[M].北京:水利水电出版社,2006

[2]杨茂云.信息与网络安全使用教程[M].北京:电子工业出版社,2007

篇5：信息安全工作总体方针和安全策略

以满足业务运行要求，遵守行业规程，实施等级保护及风险管理，确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断为总体目标。

2.范围

本案适用于某单位信息安全整体工作。在全单位范围内给予执行，由某部门对该项工作的落实和执行进行监督，由某部门配合某部门对本案的有效性进行持续改进。

3.原则

以谁主管谁负责为原则（或者采用其他原则例如：“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等）。

4.策略框架

建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序，并在关联制度文档中定义出相关的安全角色，并对其赋予管理职责。“以人为本”，通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。4.1 物理方面

依据实际情况建立机房管理制度，明确机房的出入管理办法，机房介质存放方式，机房设备维护周期及维护方式，机房设备信息保密要求，机房温湿度控制

方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。4.2网络方面

从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人，建立网络维护方面相关操作办法并由某人或某部门监督执行看，确保各信息系统网络运行情况稳定、可靠、正常的运行。4.3主机方面

要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下，建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人，对主机关键信息进行定期备份。4.4应用方面

从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行，建立完善的维护操作规程以及明确定期备份内容。4.5数据方面

对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法，并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。4.6

建设和管理方面 4.6.1 信息安全管理机制

成立信息安全管理主要机构或部门，设立安全主管等主要安全角色，依据信

息安全等级保护三级标准（要求），建立信息系统的整体管理办法。4.6.2 信息安全管理组织

分别建立安全管理岗位和机构的职责文件，对机构和人员的职责进行明确。建立信息发布、变更、审批等流程和制度类文件，增强制度的有效性。建立安全审核和检查的相关制度及报告方式。4.6.3 人员安全管理要求

对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序进行明确。

4.6.4 信息安全等级保护工作及风险评估要求

定期对已备案的信息系统进行等级保护测评，以保证信息系统运行风险维持在较低水平，不断增强系统的稳定性和安全性。4.6.5 报告安全事件要求

对突发安全事件建立应急预案管理制度和相关操作办法，并定期组织人员进行演练，以保证信息系统在面临突发事件时能够在较短时间内恢复正常的使用。4.6.6 业务持续性要求

根据对系统的等级测评、风险评估等间接问题挖掘，及时改进信息系统的各类弊端，包括业务弊端，应建立相关改进措施或改进办法，以保证对信息系统的业务持续性要求。

4.6.7 违反信息安全要求的惩罚

建立惩处办法，对违反信息安全总体方针、安全策略的、程序流程和管理措施的人员，依照问题的严重性进行惩罚。

5.相关文件

5.1 《信息安全各部门安全需求及控制措施》 5.2 《信息安全各部门安全工作执行程序》 5.3 《机房安全管理制度》 5.4 《网络安全管理制度》 5.5 《系统安全管理制度》 5.6 《设备操作规程》 5.7 《岗位职责文件》

5.8 《信息安全管理机构组成文件》 5.9 《人事管理制度》/《员工手册》 5.10 5.11 《应急预案管理制度》

篇6：网络与信息安全策略

通过建立统一的、立体的、多维的信息安全管理体系。

安全管理机构需要制定一系列严格的管理制度和建立电子政务信息安全机制来保障共建共享的信息安全。

管理制度包括系统运行维护管理制度、文档资料管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、安全等级保护制度等。

电子政务的信息安全机制是指实现信息安全目标的支持元素，它主要包括以下3方面的内容：

一是支撑机制。

作为大多数信息安全能力的共同基础，支撑机制是最常用的安全机制。

支撑机制包括标识和命名、密钥管理、安全管理、系统保护。

二是防护机制。

主要用于防止安全事故的发生，受保护的通讯、身份鉴别、授权、访问控制、拒绝否认、事务隐私。

三是检测和恢复机制。

主要用于检测共享系统中安全事故的发生并采取措施减少安全事故的负面影响。

包括审计、入侵检测和容忍、完整性验证、安全状态重置。

⒊加强信息安全标准化建设

建立健全信息安全法律体系和标准化体系，并且将标准化体系纳入法律体系和法制范畴，使其具有强制实施的法律效力。

这是促进信息化建设健康发展、构建信息安全保障新体系的内在要求和主要内容。

通过学习和借鉴国外先进经验，认真总结自身经验，积极探索加强信息安全法制建设和标准化建设的新思路。

这方面的重点是综合考虑信息网络系统安全立法的整体结构，尽快建成门类齐全、结构严谨、层次分明、内在和谐、功能合理、统一规范的信息安全法律法规体系，用来调节信息安全领域的各种法律关系。

加强信息安全标准化建设，根据信息安全评估的国际通行准则，参照国际标准，学习借鉴先进国家的成功经验，从实际出发，抓紧制定急需的信息系统安全等级保护标准、系统评估标准、产品检测标准、公钥基础设施标准、电子身份认证标准、防火墙技术标准以及关键技术、产品、系统、服务商资质、专业技术人员资质、各类管理过程与测评的标准等。

建立健全信息安全标准化体系，重视现有的信息安全标准的贯彻实施，充分发挥其基础性、规范性的作用。

⒋大力培养信息安全专业人才

信息安全的保障离不开专业的技术人员，信息安全管理的核心要素是高素质的人和技术队伍。

人是保证信息安全的最重要的因素，因为法律、管理、技术都要人去掌握。

信息安全管理人员的安全意识、素质水平、创新能力直接影响到信息的安全。

必须重视和加强对信息安全专业人才的培养，全面提高人员的道德品质和技术水平，这是保障信息安全的关键所在。

通过大众传播媒介、远程教育、组织各种专题讲座和培训班等方式，培养各种层次和类型的信息安全专业人才。

篇7：网络信息安全保障策略

[关键词]计算机网络; 信息安全; 保障策略; 防火墙; 预防措施

1网络信息安全定义及研究意义

1.1网络信息安全定义

网络安全从本质上来讲就是指网络系统中流动和保存的数据，不受到偶然的或者恶意的破坏、泄露、更改，系统能连续正常工作，网络服务不中断。而从广义上来说，凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。

1.2网络信息安全研究意义

篇8：信息安全策略论文

我院是一所综合性三级甲等医院,医院信息系统历经10多年的努力已完成了门诊、住院HIS、LIS、PACS、麻醉手术管理、输血管理等系统建设,建成了拥有3500多个信息点、1800多个终端工作站的有线和无线局域网络系统。医院网络已覆盖门诊、住院、检查、检验、治疗、实验室及管理部门(科室)。软件及相关系统也多次升级改造,已建成一套基于医院信息系统应用的服务于医、教、研、管理、办公的全流程、多系统、网络化的体系。系统的安全性将直接影响到医疗活动能否正常运作。因此,建立一个完整的安全体系,显得越来越重要。许多医院曾经因此蒙受过巨大的损失,为了有效避免网络灾难的发生,我们有针对性的从理论与实践的角度进行了初步的探索和研究,逐步形成了一套实用、有效的安全管理体系,取得了较好的效果。

根据《信息安全技术信息系统安全等级保护基本要求》,结合医院实际,制定了我院信息系统安全策略:实体可信,行为可控,资源可管,事件可查,运行可靠的原则。

1 依据及技术

《计算机信息系统安全保护等级划分准则》GB17859-1999、《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》GB/T 22239—2008。防恶意代码技术:主要通过防毒、终端防护等手段实现;数据防护技术:主要通过终端防护、数据防泄露、数据加密等手段实现;PC生命周期管理:通过资产生命周期管理产品,配合采购、使用、维护、报废等资产管理各环节的操作流程,进行标准化、流程化管理;通过身份认证、备份恢复等技术手段加强终端安全的管理;网络访问控制:主要是通过终端的网络准入机制进行策略遵从和强制策略执行,并实施网络接入的控制;通过防火墙、隔离网闸实现网络不通安全区域分隔;管理和报告问题:通常需要建立一个安全管理平台将上述技术手段、产品相关的事件、日志等进行集中收集和分析,形成综合性的管理性报告,满足管理需要。

2 总体框架

任何一个安全工作的落实,都依赖于组织(人)、技术、流程作为支撑。结合医院的实际情况,我们提出了从网络、系统、数据,终端的行为,以及整体管理几个方面的全方位安全总体规划框架(图1),并提出了相应的规划内容。

3 安全策略内容

3.1 机房及物理线路安全

机房的设计和管理要符合国家规范。建立较为完善的机房监控设施,包括:门禁、供电、漏水、温湿度等,设置警戒值并能通过声、光及短信报警。机房应采用两路供电系统,设置专用配电箱,与其它负荷应分别供电。主机房配备的不间断电源(UPS),保证8h的后备供电量。还须做好防火、防雷、防静电和接地工作,确保机房安全。在各栋的楼层设置专用配线间,专人负责管理,主干光缆冗余布放。

3.2 网络安全与准入控制

遵循安全分区、横向隔离、纵向认证的原则。内网与外网应用(医保、新农合等),使用防火墙、IDS(入侵检测)、隔离网闸设备,实现网络访问控制、流量及连接数控制、内容过滤、入侵检测、VPN(虚拟专用网)接入。院区局域网为3层架构,交换机均为cisco产品。按科室(部门)及工作站用途(如医生、护士、财务)规划ip地址和vlan,在核心交换机上配置多生成树协议(Multiple Spanning Tree Protocol,MSTP)+GLBP(Gateway Load Balancing Protocol,网关负载均衡协议)进行vlan融合和逻辑隔离,在接入层交换机上进行cisco的端口安全配置,当MAC地址改变时,端口将自动变迁为shutdown状态,阻止非授权设备接入内部网络,实现不同安全区域的独立化、差异化防护。

通过用户名+口令和标准的RADIUS服务器配合,完成对用户的身份认证的强制检查。进行基于角色的访问控制技术,实现用户的分级管理及系统管理员、安全管理员与审计管理员的三权分立。通过终端准入控制、Windows2003的活动目录或RADIUS服务器来控制第三方合作人员准入。

3.3 系统及应用安全

虚拟机服务器的管理已经成为服务器管理中很重要的一部分,通过虚拟机管理解决方案,通过统一的平台架构对于VMWARE ESX进行统一有效的管理,将虚拟机服务器管理纳入服务器管理规范中。

内部网络部署Symantec™Endpoint Protection 12.1基于特征的防病毒和反间谍软件防护。它提供代理端,通过管理控制台即可进行管理,从而简化端点安全管理,如策略更新、统一的集中报告及授权许可和维护计划。使用威胁防御能力,能够保护端点免遭目标性攻击以及之前没有发现的未知攻击。使用主动防御,从而建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。建立统一部署、统一管理的个人防火墙,个人防火墙依据应用程序、主机ip地址及vlan、通讯特征,制定过滤规则,阻止/容许端口和协议进出。利用个人防火墙技术,一方面可以防止病毒利用漏洞渗透进入终端,另一方面,可以有效地阻断病毒传播路径。在核心交换机上将各vlan转发的数据包镜像到入侵检测系统(IDS)上,入侵检测和防火墙设备联动,产生自动阻断识别的攻击行为和误操作,这样即实现了各网段黑客攻击行为的检测,也及时对重要区域的攻击行为进行阻断。定期对相关日志进行收集、审计、分析,以发现系统的脆弱性和漏洞。定期进行安全检查、风险分析和安全隐患整改。

配置主域、备份域服务器,应用Windows2003的活动目录,根据科室(部门)及工作站用途及用户角色,建立域树、域,规划组织单元,建立组策略规则,利用组策略管理组织单元中的用户,实现应用程序的统一部署,保证各类工作站具有统一的用户界面、统一的应用软件版本,同时软件限制策略可以防止计算机环境中被安装运行未知的或不被信任的软件(阻止通过exe文件进行软件安装;阻止终端透过msi文件进行软件安装);并能实现补丁的统一发布。

3.4 数据备份与容灾

对数据库采用日备份、差量备份策略,将生产数据库数据备份到带库中,即便当天数据出现了错误的情况下仍然可以将数据库恢复到前2小时的状态,保障将数据损失控制在最小情况;建立在线存储、近线存储和离线存储的三级存储机制,每天将30天前的生产数据转储到近线存储和离线存储阵列中,这样既保证了历史数据的安全,也确保了新增数据存储的高效响应。在院区相距1500米的另1楼体内,建设双活应用级容灾被用机房,以保证医院24h系统不间断运行。

3.5 资产管理与运维

建立运维管理系统,对终端以及服务器进行全面管理,从购买到部署、使用到管理,维护到报废。控制台可对资产变更自动监控,及时反映资产变化状况,能实现全面的收集,快速统计分析,快速生成满足各个部门所需要的资产报表,为资产评估以及更新提供依据。资产信息自动收集(如计算机硬件信息、安装的软件包、操作系统配置等),可协助实现终端以及服务器管理的合规性、可管理性。同时,也作为故障申报平台,记录申报的设备故障、维修维护结果记录,从而建立运维知识库,提高信息设备资产的维护、管理效率。

3.6 安全管理组织机构

建立以信息主管副院长为负责人、信息中心为安全技术实施、管理负责、科室设置安全管理员的三级安全组织机构,坚持“谁主管谁负责,谁运行谁负责”的原则。

3.7 安全管理制度

我院制定了一套较为健全完善的安全管理制度建立并有效执行,安全管理制度包括:《信息中心岗位职责》、《信息中心保密制度》、《信息中心值班制度》、《中心机房管理制度》、《信息中心设备管理制度》、《信息系统设备维修流程》、《信息中心网站管理办法》、《信息系统查询统计功能和规定》、《信息系统安全巡检制度》、《信息系统人员权限设置制度》、《医院信息变更与发布管理制度》、《计算机信息资源共享管理制度》、《个人桌面终端管理办法》、《医院计算机网络安全管理制度》、《信息中心应急预案》等,从组织和制度上强化安全管理。

4 结束语

我们清楚的认识到,无论所使用安全技术有多先进,都只是实现信息安全的手段而已,三分技术,七分管理,信息安全源于有效的管理,为此,我们建立了信息安全管理机构,坚持“谁主管谁负责,谁运行谁负责”的原则;坚持决策层参与信息安全管理工作,建立健全了安全管理制度,它是计算机网络安全的重要保证,需要不断加大计算机信息网络的规范化管理力度。我们也清楚的认识到信息安全建设、管理工作要坚持从实际出发,区分不同情况,分级、分类、分阶段进行信息安全建设和管理。加强各工作站操作人员的教育和培训,在医务人员中普及安全知识,对安全管理人员进行专门培训和考核。只有从安全技术、安全服务、和安全管理三个方面高度重视,不断提高,才能保障医院信息系统健康稳定的运行。

参考文献

[1]杨俊志.医院信息系统安全体系建设实践[J].医学信息.2011.

[2]GB50174-2008.电子信息系统机房设计规范.[S].

[3]GB9361,计算站场地安全要求[S].

[4]GB2887.计算站场地技术条件[S].

[5]曾凡.医院信息系统安全策略中值得关注的问题[J].重庆医学.2009.

[6]李娜,卢沙林.军队医院网络信息系统的安全分析[J].计算机与现代化.2011.

[7]胡建理,李小华,周斌.医院信息系统安全保障策略探析[J].中国数字医学.2010.

[8]王越,杨平利,李卫军.涉密计算机信息安全管理体系的设计与实现[J].计算机工程与设计.2010.

[9]王保中,庄军,刘侃等.应用活动目录加强医院网络管理[J].医疗卫生装备.2008.

篇9：医院信息系统安全防控策略

[关键词]医院；信息系统；安全防控；策略

[中图分类号]TP393.08

[文献标识码]A

[文章编号]1672—5158（2013）05—0431—01

1医院中心机房安全防控建设

1.1服务器安全架构

为了确保承担数据库服务器的小型机能持续不断提供服务，提升医院信息系统整体稳定性，可以采用将两台小型机经由心跳连接的方式来组建双机热备架构，并将磁盘阵列存储系统也使用双阵列镜像结构，存储系统和小型机之间经由SAN交换机来进行数据交换。使用双机热备系统架构，不管是对系统进行维护需要重启另一台服务器，也不必在人工干涉情况下完成自动接管系统，提供持续服务，确保用户端使用的持续性。

1.2机房电源系统安全架构

为了提升医院中心机房供电系统运转的稳定性、安全性，可以采用两台UPS冗余架构，可以采用并联冗余或者是串联冗余，采用双UPS冗余架构能够确保一台能持续提供稳定的电源，如果是另外一台出现故障的话，也不会出现医院中心机房断电的情况，确保电源系统稳定性。

2网络系统安全防控建设

2.1核心交换层架构

医院核心交换层架构，可以考虑采用2台核心交换机来建设核心交换层的冗余模式。在该架构下，如果是一台核心交换机出现故障的话，另外一台还能实现全负荷工作。此外，主干网络链路方面也需要建设冗余模式，也就是汇接设备与主干设备间的链接需要使用线路冗余方式。当主干网络中的线路出现故障情况下，可以充分采用冗余线路，能正常进行数据传输。

2.2科学划分网络安全系统

医院网络是大型复杂网络系统，为了能确保医院整个系统的安全运转，需参照组网技术将业务网络分为三层，分别是接人层、汇聚层与核心层，分别使用接人层交换机、汇聚交换机以及核心交换机等设备，并且将网络规划成多个VEAN，这样能让每一个VLAN组建逻辑子网，做到覆盖多个网络设备，让不同地理位置的用户能加入到该逻辑子网内。之所以划分VLAN是为了控制网络的广播风暴，控制逻辑网段大小与客户访问权限等，大大提升交换式网络安全性与整体性能。除了使用网络技术外，还可以将医院中的网络系统根据使用功能，分为内网与外网，对内网与外网进行安全分离，避免出现互联网与医院业务网混搭的情况，杜绝医院医疗数据经由互联网外泄，禁止外部非法用户入侵医院内网进行非法破坏。

3用户端系统安全防控建设

用户端涉及到的人员比较多，包含医生、技师、护士、收费人员等，每一个人的使用权限存在差别，对电脑使用方式上也不一样，这就需要做好用户端电脑的日常维护工作。首先，对医院内网的终端安装病毒查杀软件，并且定期进行木马、病毒查杀，与此同时，用户端的个人电脑需要安全桌面终端管理系统，便于医院电脑信息技术人员能对用户端电脑进行监控与管理。其次，对于接人到医院内网的所有终端计算机，全部拆掉光驱，并且禁用移动存储设备，避免因为使用外接设备，造成木马、病毒的入侵。最后，还需要做好对系统盘备份工作。可以采用Ghost软件来制作系统盘镜像，便于用户端个人计算机因为感染病毒或者是计算机系统崩溃的情况下，能快速恢复到工作状态。

总之，医院信息系统安全防控建设，对确保医院正常运转起到保驾护航的作用。为此，采取医院中心机房安全防控建设，网络系统安全防控建设，用户端系统安全防控建设等防控措施，从根本上提升医院信息系统的安全水平，推动医院信息安全建设再上一个新台阶。

参考文献

[1]武志红.医院信息系统的安全维护措列[J]中国医学装备，2009（01）

[2]丁振波.浅论医院信息系统的安全管理[J].今日科苑，2009（06）