前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇信息安全技術(shù)報告范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

信息安全技術(shù)報告范文第1篇

1 調(diào)研項目的設計與調(diào)研范圍及方法

1.1 項目設計。“十一五”期間，省人口計生委全面推進人口信息化管理，啟動建設國家中部人口信息中心和河南全員人口統(tǒng)籌管理信息系統(tǒng)（“金人”工程）。以省級集中方式實現(xiàn)全員戶籍人口和流動人口信息管理，個案信息納入省庫管理，人口計生信息化網(wǎng)絡已經(jīng)覆蓋省、市、縣、鄉(xiāng)和30%以上的行政村。信息工作全面推開，數(shù)字檔案信息安全管理出現(xiàn)了許多亟待解決的問題。項目目的是為摸清數(shù)字檔案信息安全現(xiàn)狀，發(fā)現(xiàn)信息安全管理工作中存在的問題及困難，提出合理化建議，以便采取有針對性的措施。

1.2 調(diào)研范圍與方式。此次調(diào)研從2011年3月起至2013年3月30日止，在全省隨機選取4個省級計生部門（省計生科研院、省藥具管理站和省計生協(xié)會、省計生干部學院）、26個市級計生部門（包括市計生委、市藥具站、市協(xié)會、市技術(shù)指導站）、63個縣區(qū)級計生部門（包括縣計生委、縣計生指導站、縣藥具站）單位和個人，發(fā)放調(diào)查表200份，收回問卷196份，有效率98%。

主要運用問卷調(diào)查、電話采訪與實地調(diào)研相結(jié)合的方法，把影響數(shù)字檔案信息安全的管理、硬件設施和人員素質(zhì)三個方面作為問卷設計和訪談內(nèi)容。根據(jù)國家有關(guān)的電子文件歸檔管理文件和計生系統(tǒng)的實際，針對單位和個人設計了兩張問卷，單位問卷設置了21道題目，個人問卷設置了2大類題，16道小題。

2 數(shù)字檔案信息安全現(xiàn)狀與調(diào)查分析

2.1 數(shù)字檔案業(yè)務概況。在省級機構(gòu)，2個單位有綜合檔案室，其他單位檔案按照業(yè)務劃分科室管理，都有專兼職固定的檔案員，單位檔案管理狀況較好，數(shù)字檔案占全部檔案資料的7%；受編制限制和工作業(yè)務限制，市縣區(qū)級計生檔案部門紙質(zhì)檔案文件來源少，最少的內(nèi)部發(fā)文只有10件，數(shù)字檔案數(shù)量更少，沒有實現(xiàn)集中管理；全系統(tǒng)的檔案管理工作大多停留在傳統(tǒng)的保管紙質(zhì)檔案文件的工作模式上，電子文件不能有效歸檔，從而無法實現(xiàn)妥善保管。

2.2 管理體制情況。參與調(diào)研的單位中，數(shù)字檔案信息安全工作均實行統(tǒng)一領導、分級管理的模式，包括業(yè)務督導和組織培訓。省市級單位按要求全部參加全省人口計生系統(tǒng)網(wǎng)絡安全培訓班，對網(wǎng)絡基礎知識、交換原理、路由技術(shù)與路由器、信息安全有一定了解。對本單位檔案部門或下屬單位檔案工作主要通過組織人員參加基本業(yè)務或?qū)ｎ}培訓班（如安裝統(tǒng)一的管理軟件）以及個別指導的方式進行。市縣級計生部門的數(shù)字檔案信息安全工作以接受上級監(jiān)督指導為主，95%單位把數(shù)字檔案信息安全工作納入了年度工作計劃或“十二五”檔案數(shù)字加工與信息安全發(fā)展規(guī)劃；用于數(shù)字檔案信息安全工作所需經(jīng)費全部來自財政撥款，投入比例信息大都不愿透露，無法了解到；參與調(diào)研單位全部配備信息員和專、兼職人員管理數(shù)字檔案信息工作。

2.3 制度建設情況。在省人口計生委突發(fā)公共事件應急處理工作領導小組領導下，出臺了《河南省人口計生委突發(fā)公共事件應急預案》，其中包含了數(shù)字檔案信息安全內(nèi)容。70%以上的單位有信息安全緊急預案，但是數(shù)字檔案信息安全專項制度缺失。

2.4 硬件配備情況。安全基礎設施是數(shù)字檔案信息安全管理的保障。對安全基礎設施包括設備配置、網(wǎng)站建設、是否安裝防病毒設施等方面進行了調(diào)研。在被調(diào)研的單位中，98.89%市縣人口計生委單機配備數(shù)量和機關(guān)公務員編制人數(shù)（不含機房設備和筆記本計算機）持平，市縣藥具站單機配備數(shù)量達到每個業(yè)務科室至少1臺標準，95.37%以上單位計算機安裝有防火墻，但在入侵檢測、信息加密方面設施不足；大多應用office辦公軟件對檔案進行目錄級管理，數(shù)字化管理檔案水平普遍偏低；省級、市級計生部門全部建有網(wǎng)站和局域網(wǎng)，26個市級調(diào)研單位中安裝數(shù)字化檔案采集轉(zhuǎn)化系統(tǒng)的有6個，占23.08%；安裝在線檔案存儲管理與安全系統(tǒng)的有4個，占15.38%，縣區(qū)級計生部門安全設施建設在經(jīng)費緊張的情況下，投入較少。

2.5 人員數(shù)字檔案信息安全素質(zhì)情況。從參加調(diào)研的196名工作人員中了解到，工作上大量使用計算機，每天使用電腦工作2小時～5小時的有83人，占總數(shù)的42.34%，使用5小時～8小時的有54人，占總數(shù)的27.55%。使用電腦的主要目的，選工作的有164人，占總數(shù)的83.67%；查閱資料的有129人，占總數(shù)的65.82%。人員學歷水平，中專學歷的有31人，占總數(shù)的15.81%；大專以上學歷的有94人，占總數(shù)的47.95%；本科以上學歷的有67人，占總數(shù)的34.18%；碩士學位的有1人，占總數(shù)的0.05%。

平常工作中，使用殺毒軟件的有193人，占總數(shù)的98.47%；能夠自行處理病毒（求助他人或者找專業(yè)人士）的有161人，占總數(shù)的82.14%。在“您了解哪類信息安全技術(shù)和產(chǎn)品”問題的備選答案“防火墻、反病毒軟件、反垃圾郵件、動態(tài)密碼令牌”中，選擇最多的是防火墻，占總數(shù)的83.81%。認為當前數(shù)字檔案信息安全障礙主要有：選擇信息安全人才不夠的有66人，占總數(shù)的33.67%；選擇技術(shù)不過關(guān)的有60人，占總數(shù)的30.61%；選擇普遍缺乏信息安全意識的有44人，占總數(shù)的22.45%。參加了計算機安全知識培訓的有158人，占總數(shù)的80.61%，其中，參加本單位檔案信息安全培訓的有77人，占總數(shù)的39.29%，參加計生委培訓的有85人，占總數(shù)的43.37%，86.53%的人員只接受過一次培訓。

3 關(guān)于我省計生系統(tǒng)數(shù)字檔案安全的建議

通過定量和定性的分析，得出當前計生系統(tǒng)的數(shù)字檔案信息安全存在以下問題：檔案的數(shù)字化水平偏低，多數(shù)人員對數(shù)字檔案信息安全管理的重要性、緊迫性認識不足，認為保障信息安全就是保障數(shù)字檔案信息安全；對數(shù)字檔案信息安全知識了解甚少，認為保障數(shù)字檔案信息安全就是安裝殺毒軟件、設置防火墻；接受檔案業(yè)務培訓和數(shù)字檔案信息安全教育頻次偏低；行業(yè)性的數(shù)字檔案信息安全制度缺失；缺乏專業(yè)數(shù)字檔案安全管理人才和硬件設備等問題，與當前數(shù)字檔案信息安全工作發(fā)展有相當大差距，與大量應用計算機工作實際情況極不協(xié)調(diào)。針對以上問題，提出如下建議：

一是加強數(shù)字檔案信息安全意識教育和宣傳。建議在已有的人口數(shù)據(jù)信息平臺的基礎上，利用全員、流動人口、利導、人事、財務等人口信息系統(tǒng)服務基層，同時宣傳檔案和數(shù)字檔案信息安全知識，以期達到良好效果。在實際工作中，加強宣傳和管理力度，將數(shù)字檔案信息安全工作實行工作考核制，納入年度考核和目標考評。

二是培養(yǎng)復合型人才。專業(yè)信息安全管理人才是保障信息安全的最有效措施。對計生部門全體人員根據(jù)對象的業(yè)務需求分層級、有重點、有周期地組織數(shù)字檔案信息安全知識培訓，提高數(shù)字檔案安全意識水平，并保證各層級檔案人員接受培訓的頻次。如通過上級對下級的業(yè)務監(jiān)督指導或參加相關(guān)的數(shù)字檔案信息安全培訓、組建QQ業(yè)務群、制作數(shù)字檔案整理流程教學光盤、電子版制度匯編及業(yè)務手冊等手段，實行多渠道、多層次、多類型的方法培養(yǎng)人才，提高隊伍的整體數(shù)字檔案信息安全業(yè)務素質(zhì)。

三是建立健全數(shù)字檔案信息安全規(guī)章制度。針對調(diào)研中發(fā)現(xiàn)的缺乏人口計生數(shù)字檔案信息安全標準規(guī)范體系問題，今后，應著重建立管理制度：首先是實行數(shù)字檔案信息安全管理崗位責任制，做到分工明確、層層負責，確保網(wǎng)絡、系統(tǒng)和數(shù)據(jù)的安全，讓參與數(shù)字檔案信息安全保障的所有人員都能夠按照確定的要求去行動。其次是建立符合實際的數(shù)字檔案信息安全管理制度。根據(jù)數(shù)字檔案業(yè)務實際，對數(shù)字檔案信息化管理的軟件、操作系統(tǒng)、數(shù)據(jù)的維護、防災和恢復建立相關(guān)制度，制定應急處置預案。定期開展應急演練，提高整體數(shù)字檔案信息安全防范水平。最后是業(yè)務工作制度化，對新發(fā)現(xiàn)的問題，如人口科技檔案、免費計生項目電子檔案的歸檔范圍及整理方式等制定相應的管理規(guī)范，及時統(tǒng)一歸檔，為科技業(yè)務工作提供高質(zhì)量的數(shù)據(jù)支持。

四是項目帶動，加快數(shù)字檔案信息硬件設施的建設。數(shù)字檔案信息安全工作包括人財物投入、軟硬件的集成，需要資金、技術(shù)、政策等各方面的支持，通過計劃生育科技服務項目帶動數(shù)字檔案信息安全工作是很好的一個途徑，爭取把數(shù)字檔案信息安全建設納入信息化建設總體規(guī)劃中，從項目獲取數(shù)字檔案信息安全建設的專項資金支持。例如，我院的孕前優(yōu)生項目數(shù)據(jù)庫的建設，不僅為項目提供了所需的軟硬件設施，也推動了單位的數(shù)字檔案信息安全網(wǎng)絡建設。

計劃生育系統(tǒng)形成的檔案，含有大量民生信息，與改善民生、維護廣大人民群眾的合法權(quán)益息息相關(guān)，數(shù)字檔案信息安全顯得尤為重要。由于此次調(diào)研樣本量有限，難免使所得結(jié)論存在一定的局限性。期望此次調(diào)研對計生系統(tǒng)不同層級的部門數(shù)字檔案信息安全工作所作的客觀描述，能為推進和改善計生數(shù)字檔案安全工作提供參考。

信息安全技術(shù)報告范文第2篇

 

安全技術(shù)需自主研發(fā)

 

網(wǎng)絡信息安全行業(yè)不是普通行業(yè)，是關(guān)系到國家安全的特殊行業(yè)，中國國產(chǎn)企業(yè)在從事信息安全行業(yè)時，需要有強烈的愛國主義情懷和刻苦研發(fā)技術(shù)的實干精神。

 

表示，中國的信息安全更應重視核心技術(shù)的自主研發(fā)能力。在電子銀行與移動支付興起的今天，金融業(yè)務中電子銀行和證券等領域面臨著網(wǎng)絡攻擊、病毒侵擾、非法竊取賬戶信息、客戶信息泄漏等新的信息安全問題。眾人科技研發(fā)的‘iKEY多因素動態(tài)密碼身份認證系統(tǒng)’正是針對信息安全問題所研發(fā)的認證系統(tǒng)。

 

記者了解到，“iKEY多因素動態(tài)密碼身份認證系統(tǒng)”是基于時間同步技術(shù)的多因素認證系統(tǒng)，該系統(tǒng)已獲得了國家密碼管理局頒發(fā)的國內(nèi)首張動態(tài)口令產(chǎn)品證書，相關(guān)的專用安全芯片也獲得了國內(nèi)產(chǎn)品型號證書。

 

去介質(zhì)下的認證技術(shù)

 

最新數(shù)據(jù)顯示，截止2015年底，全國網(wǎng)民數(shù)規(guī)模已達到6.88億人，手機網(wǎng)民數(shù)達到6.2億人，占網(wǎng)民總數(shù)的90.1%，其中網(wǎng)購用戶規(guī)模達到4.13億，比例高達六成;截至2015年12月，網(wǎng)上支付用戶規(guī)模達4.16億人，手機網(wǎng)上支付用戶規(guī)模達3.58億人，增長率為64.5%。網(wǎng)民手機網(wǎng)上支付的比例由2014年底的39.0%提升至57.7%。

 

龐大的網(wǎng)民逐漸使用起網(wǎng)上支付這種便捷移動的方式，但背后卻有著巨大的網(wǎng)絡安全隱患。就中國而言，每年造成805億資金損失，人均124元。其中約4500萬網(wǎng)民近一年遭受經(jīng)濟損失在1000元以上，全球范圍內(nèi)的網(wǎng)絡犯罪掘金已高達3萬億美金。

 

推測，隨著支付、存款、轉(zhuǎn)賬、理財、信貸等金融服務的線上化，未來金融服務不再依賴于實體的銀行卡，銀行物理網(wǎng)點也將轉(zhuǎn)型并逐漸消失，未來銀行的介質(zhì)是可以多元化的，比如虹膜、指紋等，甚至銀行卡實體會“消失”或者虛擬化。

 

基于這些實際情況，上海眾人網(wǎng)絡安全技術(shù)有限公司的研發(fā)團隊最新發(fā)明了移動互聯(lián)網(wǎng)創(chuàng)新密碼技術(shù)——SOTP，即“多因素動態(tài)可重構(gòu)的確定真實性認證技術(shù)”，實現(xiàn)了密鑰和算法的融合，在無需增加硬件的前提下，采用軟件方式解決移動設備中存儲密鑰的關(guān)鍵性問題。表示：“該項技術(shù)從加密協(xié)議到密碼算法的所有部件都由眾人科技自主研發(fā)，在業(yè)界具有領先優(yōu)勢。”

 

提高全民安全意識

 

據(jù)《中國網(wǎng)民權(quán)益保護調(diào)查報告(2015)》顯示，79.2%的中國網(wǎng)民個人身份信息被泄露過，包括網(wǎng)民的姓名、學歷、家庭住址、身份證號和工作單位等;63.4%的網(wǎng)民個人網(wǎng)上活動信息被泄露過，包括通話記錄、網(wǎng)購記錄、網(wǎng)站瀏覽痕跡、IP地址等等。

 

未來，隨著民眾對信息安全的重視，信息安全技術(shù)逐漸升溫，很多信息網(wǎng)絡企業(yè)開始積極投身到這個領域，說：“網(wǎng)絡信息安全企業(yè)不同于普通行業(yè)，信息安全人士需要有持久的耐心，由于安全密碼行業(yè)的認證許可門檻高，研發(fā)的新技術(shù)從獲得政府監(jiān)管部門的認證許可，到產(chǎn)品真正被市場認可并應用，需要經(jīng)過漫長的時間。”

 

另一方面，認為提高廣大民眾和企業(yè)的信息安全意識是發(fā)展自主信息安全產(chǎn)品的根本與前提。但大多數(shù)人對信息安全還停留在模糊認識的階段，為此，眾人科技團隊曾四處奔走為信息安全搖旗吶喊，致力于提高廣大民主的信息安全意識，增進公眾對信息安全的關(guān)注和投入，為信息安全行業(yè)的發(fā)展創(chuàng)造一個良好的環(huán)境。

信息安全技術(shù)報告范文第3篇

關(guān)鍵詞：計算機技術(shù) 網(wǎng)絡 不安全問題 信息安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2013）02-0172-01

隨著計算機網(wǎng)絡的發(fā)展，它的開放性，共享，互聯(lián)程度的增加，網(wǎng)絡的重要性和對社會的影響越來越大。網(wǎng)絡與信息安全問題日益突出，已成為國家安全，社會穩(wěn)定和人民生活，網(wǎng)絡安全技術(shù)的發(fā)展及相應的網(wǎng)絡技術(shù)，安全、有序、高效的網(wǎng)絡安全運行，是保證網(wǎng)絡的一個關(guān)鍵，高效，有序的應用。

1 網(wǎng)絡信息不安全原因

不安全的網(wǎng)絡從總體上看主要來自兩方面，一是人為和自然災害；另一方面是網(wǎng)絡系統(tǒng)本身的缺陷。人的原因是人的入侵和攻擊，破壞網(wǎng)絡系統(tǒng)的正常運行。一些“黑客”計算機病毒可以方便地在網(wǎng)絡中傳播，入侵和攻擊，摧毀單位或個人計算機系統(tǒng)，竊取機密信息和帳戶密碼，從事各種違法犯罪活動。自然災害的主要原因是指火災，洪水，暴雨，雷電，地震的破壞，環(huán)境（溫度，濕度，振動，沖擊，污染的影響）。據(jù)調(diào)查，許多大型計算機房，沒有地震，防水，雷擊，電磁泄漏或干擾措施，接地系統(tǒng)缺乏周密考慮，因而抵抗自然災害和意外事故，計算機信息系統(tǒng)不能正常、可靠地運行，這是常見的。設備損壞，數(shù)據(jù)丟失等現(xiàn)象。

2 網(wǎng)絡信息安全的現(xiàn)狀和特點

根據(jù)中國互聯(lián)網(wǎng)絡信息中心，中國的統(tǒng)計數(shù)據(jù)顯示，截至2010年12月31日，中國網(wǎng)民規(guī)模占全球互聯(lián)網(wǎng)用戶總數(shù)的23.2%，在亞洲互聯(lián)網(wǎng)用戶總數(shù)的55.4%。網(wǎng)絡購物用戶規(guī)模達161000000人，網(wǎng)絡購物用戶每年增長48.6%，是增長最快的應用程序用戶。互聯(lián)網(wǎng)已經(jīng)融入到人們的生活，所有的學習領域，使人們的生活變得豐富多彩，但也帶來了許多安全問題，并越來越嚴重。主要表現(xiàn)在以下幾個方面：

2.1 網(wǎng)絡安全防范意識薄弱

目前，企業(yè)已在其內(nèi)部辦公網(wǎng)絡的數(shù)據(jù)進行整合，從上到下建立一個數(shù)據(jù)采集系統(tǒng)，網(wǎng)上辦公系統(tǒng)，對網(wǎng)絡的需求越來越大，但相比于網(wǎng)絡安全的維護網(wǎng)絡安全投資網(wǎng)絡建設的投資遠遠落后。許多人沒有目的和清晰的認識，對本單位網(wǎng)絡安全現(xiàn)狀，有許多認知盲區(qū)，沒有形成主動預防的意識，積極響應，更不用說提高網(wǎng)絡監(jiān)測，保護，響應，恢復和戰(zhàn)斗了。

2.2 病毒泛濫防不勝防

據(jù)公安部的《第九次全國信息網(wǎng)絡安全狀況與計算機病毒疫情調(diào)查報告》。在已發(fā)生的網(wǎng)絡信息安全事件中，感染計算機病毒、蠕蟲和木馬程序的情況占全部類型的70.5%。

目前，加重計算機病毒木馬本土化的趨勢，品種更快，更多的變化，潛伏性和隱蔽性增強，識別難度更大，和殺毒軟件的能力更強，攻擊目標是明確的，顯著的盈利目標。因此，一個計算機用戶賬號密碼被盜的現(xiàn)象越來越多。木馬病毒傳播的主要渠道是網(wǎng)頁掛馬和移動存儲介質(zhì)中，網(wǎng)頁，網(wǎng)頁木馬和可移動的存儲介質(zhì)，其中的網(wǎng)頁木馬出現(xiàn)復合化的趨勢。病毒，木馬，蠕動蔓延的長期影響的總體情況，網(wǎng)絡與信息安全。

2.3 黑客的威脅

黑客們利用單位的安全漏洞，非法訪問內(nèi)部網(wǎng)絡，未經(jīng)許可，任何修改各類數(shù)據(jù)，非法獲取相關(guān)信息，擾亂了網(wǎng)絡的秩序。

3 網(wǎng)絡安全的防范策略

加強網(wǎng)絡安全技術(shù)應用：（1）虛擬網(wǎng)絡技術(shù)的使用，網(wǎng)絡監(jiān)控和入侵的預防手段。（2）用于保護網(wǎng)絡免受黑客防火墻技術(shù)。（3）檢測和病毒查殺病毒保護技術(shù)。（4）為了保證應用平臺和操作系統(tǒng)，利用電子郵件安全應用系統(tǒng)的安全技術(shù)。有關(guān)法律、法規(guī)和提高網(wǎng)絡安全教育。除了上面提到的技術(shù)手段，大力開展網(wǎng)絡安全教育和完善有關(guān)法律法規(guī)，為人工措施不容忽視。近年來，網(wǎng)絡安全威脅，網(wǎng)絡欺騙是因為網(wǎng)絡安全意識的淡薄等相關(guān)的原因。因此，有必要進行改進，結(jié)合網(wǎng)絡安全技術(shù)手段發(fā)揮有效的影響。

參考文獻

[1]唐明雙.論對計算機網(wǎng)絡安全及建設的研究[J].數(shù)字技術(shù)與應用.2012（12）.

[2]王大鵬.計算機網(wǎng)絡安全與防范策略研究[J].科技視界.2012（26）.

[3]朝曉華.淺析計算機信息安全技術(shù)[J].黑龍江科技信息，2010，15.

[4]關(guān)良輝.電力企業(yè)局域網(wǎng)的信息安全研究[J].電力安全技術(shù)，2010.（6）.

信息安全技術(shù)報告范文第4篇

【 關(guān)鍵詞 】 信息安全；電力企業(yè)；風險評估；管理模式

1 引言

在如今的信息化社會中，信息通過共享傳遞實現(xiàn)其價值。在信息交換的過程中，人們肯定會擔心自己的信息泄露，所以信息安全備受關(guān)注，企業(yè)的信息安全就更為重要了。但是網(wǎng)絡是一個開放互聯(lián)的環(huán)境，接入網(wǎng)絡的方式多樣，再加上技術(shù)存在的漏洞或者人們可能的操作失誤等，信息安全問題一刻不容忽視。尤其是電力，是國家規(guī)定的重要信息安全領域。所以電力企業(yè)要把信息安全管理體系的建設，作為重要的一環(huán)納入到整個企業(yè)管理體系中去。

2 電力企業(yè)信息管理體系建設的依據(jù)

關(guān)于企業(yè)的安全管理體系方面的標準有很多。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個部分內(nèi)容：信息安全管理實施規(guī)則和信息安全管理體系規(guī)范。信息安全管理實施規(guī)則是一個基礎性指導文件，里面有10大管理項、36個執(zhí)行的目標和127種控制的方法，可以作為開發(fā)人員在信息安全管理體系開發(fā)過程中的一個參考文檔。信息安全管理體系規(guī)范則詳細描述了在建立、施工和維護信息安全管理體系過程的要求，并提出了一些具體操作的建議。

國際標準化組織也了很多關(guān)于信息安全技術(shù)的標準，如ISO x系列、ISO/IEC x系列等。我國也制定了一系列的信息安全標準，如GB 15851―1995。

關(guān)于企業(yè)信息安全管理體系方面的標準眾多，如何針對企業(yè)自身實際情況選擇合適的參考標準很重要，尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì)，選擇信息安全體系建設的參考標準更要謹慎。我國電力企業(yè)已經(jīng)引入了一些國際化標準作為建立和維護企業(yè)運轉(zhuǎn)的保證，關(guān)于信息安全體系的標準也應納入到保證企業(yè)運轉(zhuǎn)的一系列參考中去。電力企業(yè)總體應有一致的安全信息管理體系參考標準，但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境，所以在總體一致的信息安全標準的情況下，也應該根據(jù)企業(yè)自身地區(qū)、人文、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標準作為建立、實施和維護信息安全管理體系的依據(jù)。信息安全管理體系顧全大局又要有所側(cè)重的體現(xiàn)電力企業(yè)安全標準的要求。

3 信息安全管理體系里的重要環(huán)節(jié)

3.1 硬件環(huán)境要求

信息安全管理體系并沒有特別要求添加什么特別的設備，只是對企業(yè)用到的設備做一些要求。電力企業(yè)一般采用內(nèi)外網(wǎng)結(jié)合的方式，內(nèi)外網(wǎng)設備要盡量進行物理隔離。企業(yè)每個員工基本都有自己的移動設備，如手機等，為了增加信息安全的系數(shù)，企業(yè)可以限制公司設備的無線網(wǎng)絡拓展。另外，實時監(jiān)控系統(tǒng)也應該覆蓋企業(yè)的重要設備，監(jiān)控硬件設備的安全。

3.2 軟件環(huán)境要求

在企業(yè)設備（主要是計算機）上部署相關(guān)軟件環(huán)境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等，以此防止網(wǎng)絡攻擊或者提高安全系數(shù)。另外，企業(yè)設備所用系統(tǒng)的安全漏洞修復、數(shù)據(jù)的加密解密、數(shù)據(jù)的備份恢復及數(shù)據(jù)傳輸通道的加密解密等問題，都在信息安全管理體系設計的考慮范疇。

3.3 企業(yè)員工管理

盡管現(xiàn)在一直倡導智能化，但是企業(yè)內(nèi)進行設備等操作的主體還是員工。不管是對設備終端操作來進行信息的首發(fā)，還是對企業(yè)軟硬件系統(tǒng)進行維護工作，都是有員工來進行的。所以，對企業(yè)內(nèi)部員工進行信息安全培訓，提高員工的信息安全防范意識，讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對不同的職位，在員工上崗前應該進行相關(guān)的信息安全方面的培訓，然后對培訓結(jié)果進行考核，不合格的人員不準上崗。在崗的人員也要定期進行培訓與考核。另外，如果有條件的話，企業(yè)應該定期（例如每年）進行一次信息安全的相關(guān)演習。

另外，電力企業(yè)有些項目是外包給其他相應公司的，這時候會有施工人員和駐場人員在電力企業(yè)，對這些人員也應該進行電力企業(yè)信息安全的培訓。

3.4 信息安全管理體系的風險系數(shù)評估

風險評估在信息安全管理體系中是確定企業(yè)信息安全需求的一個重要途徑，它是對企業(yè)的信息資產(chǎn)所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用下所帶來的風險可能性的評測。風險評估的主要任務是：檢測評估對象所面臨的各種風險，估計風險的概率和可能帶來的負面影響的程度，確定信息安全管理體系承受風險的能力，確定不同風險發(fā)生后消減和控制的優(yōu)先級，對消除風險提出建議。在信息安全管理體系的風險系數(shù)評估過程中，形成《風險系數(shù)評估報告》、《風險處理方案》等文檔，作為對信息安全管理體系進行調(diào)整的參考。風險系數(shù)的評估要盡可能全面的反映企業(yè)的信息安全管理體系，除了常規(guī)手段，也可以使用一些相應的軟件工具的結(jié)果作為參考。另外很值得注意的是企業(yè)的員工對風險的理解，企業(yè)員工對他們所操作的對象有比較深刻的理解，對其中可能存在的不足也有自己的見解，在風險系數(shù)評估的過程中，可以進行一些員工的問卷調(diào)查等，把員工對風險的認識納入風險評估的考慮范疇。

企業(yè)的設備會老舊更換，員工也會更換，所以企業(yè)的信息安全是動態(tài)的，因此風險評估工作也要視具體情況定期進行，針對當前情況作評估報告，然后制定相應的風險處理方案。還有，之所以要建立信息安全管理體系，其中很重要的一點就是體系內(nèi)各個模塊的結(jié)合，信息安全管理體系的風險評估與關(guān)鍵內(nèi)容的實時監(jiān)控就應該結(jié)合起來。

為了降低信息安全管理體系的風險系數(shù)，提升信息安全等級，要做的工作很多。滲透測試就是其中很有必要的一項工作。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式，來評估企業(yè)計算機網(wǎng)絡系統(tǒng)安全的一種評測方法。這個測試過程會對系統(tǒng)的可知的所有弱點、技術(shù)方面的缺陷或者漏洞等作主動的分析。滲透測試對于網(wǎng)絡信息安全的組織具有實際應用價值。隨著技術(shù)的不斷進步，可能還會出現(xiàn)其他的更有價值的信息安全技術(shù)，作為信息安全備受矚目的電力企業(yè)，應當時刻關(guān)注相關(guān)技術(shù)的進展，并及時將它們納入企業(yè)信息安全管理體系中來。

3.5 信息安全管理體系的管理模式

文章前面提到企業(yè)信息安全是動態(tài)的，所以信息安全管理體系需要建立一個長效的機制，針對最新的情況及時對自身作出調(diào)整，使信息安全管理體系有效的運行。現(xiàn)在一般會采用PDCA循環(huán)過程模式：計劃，依照體系整個的方針和目標，建立與控制風險系數(shù)、提高信息安全的有關(guān)的安全方針、過程、指標和程序等；執(zhí)行：實施和運作計劃中建立的方針、過程、程序等；評測：根據(jù)方針、目標等，評估業(yè)績，并形成報告，也就是文章前面說到的風險系數(shù)評估；舉措：采取主動糾正或預防措施對體系進行調(diào)整，進一步提高體系運作的有效性。這四個步驟循環(huán)運轉(zhuǎn)，成為一個閉環(huán)，是信息安全管理體系得到持續(xù)的改進。

4 重要技術(shù)及展望

4.1 安全隔離技術(shù)

電力企業(yè)的信息網(wǎng)絡是由內(nèi)外網(wǎng)兩部分組成，從被防御的角度來看的話，內(nèi)網(wǎng)的主要安全防護技術(shù)為防火墻、桌面弱口令監(jiān)控、入侵檢測技術(shù)等；而主動防護則主要采用的是安全隔離技術(shù)等。安全隔離技術(shù)包括物理隔離、協(xié)議隔離技術(shù)和防火墻技術(shù)。一般電力企業(yè)采用了物理隔離與防火墻技術(shù)，在內(nèi)網(wǎng)設立防火墻，在內(nèi)外網(wǎng)之間進行物理隔離。

4.2 數(shù)據(jù)加密技術(shù)

企業(yè)的數(shù)據(jù)在傳輸過程中一般都要進行加密來降低信息泄露的風險。可以根據(jù)電力企業(yè)內(nèi)部具體的安全要求，對規(guī)定的文檔、視圖等在傳輸前進行數(shù)據(jù)加密。尤其是電力企業(yè)通過外網(wǎng)傳輸?shù)臅r候，除了對數(shù)據(jù)進行加密外，還應該在鏈路兩端進行通道加密。

4.3 終端弱口令監(jiān)控技術(shù)

終端設備眾多，而且是業(yè)務應用的主要入口，所以終端口令關(guān)乎業(yè)務數(shù)據(jù)的安全以及整個系統(tǒng)的正常運轉(zhuǎn)。如果終端口令過于簡單薄弱，相當于沒有設定而將設備暴露。終端的信息安全是電力企業(yè)信息安全的第一道防線，因此采用桌面系統(tǒng)弱口令監(jiān)控技術(shù)來加強這第一道防線的穩(wěn)固性對電力企業(yè)的信息安全非常重要。

電力企業(yè)信息安全管理體系是一個復雜的系統(tǒng)，包含眾多的安全技術(shù)，如數(shù)據(jù)備份及災難恢復技術(shù)、終端安全檢查與用戶身份認證技術(shù)、虛擬專用網(wǎng)技術(shù)、協(xié)議隔離技術(shù)等。凡是與信息安全相關(guān)的技術(shù)，電力企業(yè)都應當關(guān)注，并根據(jù)企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去。

智能化已成為不管是研究還是社會應用的熱門詞匯。電力企業(yè)的信息安全管理體系是否可以智能化呢？不妨做一個展望，電力企業(yè)的信息安全管理體系有了很強的自我學習與自我改進的能力，在信息安全環(huán)境越來越復雜，信息量越來越龐大的情況下是否會更能發(fā)揮信息安全管理體系的作用呢？這應該是值得期待的。

5 防病毒軟件部署

電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署，如防病毒軟件部署、桌面弱口令監(jiān)控系統(tǒng)部署、系統(tǒng)安全衛(wèi)士部署等。但是它們的部署情況類似，這里用防病毒軟件的部署來展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況。如圖1所示為防病毒軟件的部署框架。

殺毒軟件種類有很多，這里以賽門鐵克殺毒軟件為例。企業(yè)版的賽門鐵克防病毒軟件系統(tǒng)相比單機版增加了網(wǎng)絡管理的功能，能夠很大程度地減輕維護人員的工作量。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運行，在電力企業(yè)內(nèi)部正式使用時，盡量準備一立的服務器作為防病毒軟件專用的服務器。

服務器安裝配置好賽門鐵克防病毒軟件后，可以遠程控制客戶端與下級升級服務器的軟件安裝與升級。

電力企業(yè)內(nèi)網(wǎng)可能是禁止接入外網(wǎng)的，這樣的話，防病毒軟件的更新可能無法自動完成。防病毒軟件需要升級的時候，維護人員在通過外網(wǎng)在相應網(wǎng)址下載賽門鐵克升級包，然后通過安全U盤拷貝到防病毒軟件系統(tǒng)專用服務器進行升級操作。在圖1中，省電力公司的防病毒管理控制臺獲得升級包可以下發(fā)給下級升級服務器和客戶端進行防病毒軟件系統(tǒng)的自動升級更新。圖1是一個簡單的框圖，如果電力企業(yè)的內(nèi)網(wǎng)規(guī)模很大的話，還可以更多級地分布部署。

6 結(jié)束語

電力企業(yè)的信息安全與企業(yè)的生產(chǎn)與經(jīng)營管理密切相關(guān)，是企業(yè)整個管理系統(tǒng)的一部分。信息安全管理體系是一個整體性的管理工作，把體系中涉及的內(nèi)容統(tǒng)一進行管理，讓它們協(xié)調(diào)運作，實現(xiàn)信息安全管理體系的功能。電力企業(yè)信息安全的建立與體系不斷的改進定能穩(wěn)定、有效地維護企業(yè)的信息安全。

參考文獻

[1] 王志強，李建剛.電網(wǎng)企業(yè)信息安全管理體系建設[J].浙江省電力公司，2008，6（3）：26-29.

[2] 陳賀，宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化，2014，17（1）：74-76.

[3] 郭建，顧志強.電力企業(yè)信息安全現(xiàn)狀分析及管理對策[J].信息技術(shù)，2013（1）：180-187.

[4] 沈軍.火力發(fā)電廠信息你安全體系構(gòu)建與應用[J].電力信息通信技術(shù)，2013，11（8）：103-108.

[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密，2010，01（10）：68-71.

[6] 楊柳.構(gòu)建供電企業(yè)信息安全體系[J].電腦知識與技術(shù)，2005（29）.

[7] 曹鳴鵬， 趙偉， 許林英. J2EE技術(shù)及其實現(xiàn)[J]. 計算機應用，2001， 21（10）： 20-23.

[8] 江和平.淺談網(wǎng)絡信息安全技術(shù)[J].現(xiàn)代情報學，2004（14）：125-127.

作者簡介：

崔阿軍（1984-），男，甘肅平?jīng)鋈耍T士研究生，工程師；主要研究方向和關(guān)注領域：電力信息通信安全技術(shù)研究。

張馴（1984-），男，江蘇揚州人，本科，工程師；主要研究方向和關(guān)注領域：電力信息通信安全技術(shù)研究。

李志茹（1984-），女，山東平度人，碩士研究生，工程師；主要研究方向和關(guān)注領域：信息化建設及安全技術(shù)。

龔波（1981-），男，湖南新邵人，本科，工程師；主要研究方向和關(guān)注領域：電力信息化建設及安全技術(shù)。

信息安全技術(shù)報告范文第5篇

【 關(guān)鍵詞 】 中小商業(yè)銀行；等級保護；信息科技風險管理；信息安全體系框架

1 中小銀行等級保護咨詢服務的背景

隨著信息技術(shù)的不斷進步與發(fā)展，信息系統(tǒng)的安全建設顯得尤為重要。2012年6月29日人民銀行下發(fā)了“銀發(fā)【2012】163號”文件，為進一步落實《信息安全等級保護管理辦法》（公通字〔2007〕 43號文印發(fā)），加強對銀行業(yè)信息安全等級保護工作的指導，結(jié)合近年來銀行業(yè)信息安全等級保護工作開展情況，人民銀行給出了銀行業(yè)金融機構(gòu)信息系統(tǒng)安全等級保護定級的指導意見，至此，正式的拉開了中小商業(yè)銀行等級保護建設和整改工作的序幕。

2 等級保護咨詢服務的項目目標

國內(nèi)中小銀行在信息安全的發(fā)展程度，大部分處于自我認知的階段，一邊忙于業(yè)務發(fā)展的保障需要，一邊又要應對上級監(jiān)管部門的監(jiān)督檢查，對于安全建設來說，大部分沒有納入到戰(zhàn)略的層面來考慮。因此，借助于等級保護咨詢服務來建立的這樣一套信息安全體系，必須同時滿足公安部等級保護基本要求、人民銀行等級保護的測評要求和銀監(jiān)會關(guān)于IT風險管理的要求。這些目標相輔相承，互為補充。只有將通用的要求、標準、規(guī)范落實到自己IT風險管理體系的各方面，建立適合自己業(yè)務特點與發(fā)展需求的信息安全體系，才能達到有效管理風險、進行IT治理的目的，并最終通過等級測評。

3 等級保護咨詢服務的總體思路

中小銀行在咨詢服務項目需要主動地全面的考量自身情況，綜合分析人民銀行、銀監(jiān)會和等級保護的要求，在現(xiàn)有的安全工作基礎之上，建立統(tǒng)一的信息安全體系，同時滿足這些主要的監(jiān)管要求。這樣面臨檢查時，只要客觀反映出當前狀態(tài)就可以，有效降低臨時的材料組織工作。

同時滿足三方面監(jiān)管要求的信息安全體系，這個信息安全體系將以公安部的等級保護《基本要求》、人民銀行的《等保測評指南》和銀監(jiān)會《管理指引》為主要依據(jù)來搭建起框架，以各專項監(jiān)管指引為各個領域的具體工作指導，以ISO27000為代表的國內(nèi)外信息安全標準為補充。

4 等級保護咨詢服務的內(nèi)容

等級保護的咨詢服務具體實施過程可參考公安部下發(fā)的《信息系統(tǒng)安全等級保護實施指南》，“指南”中將等級保護工作分為了定級備案、規(guī)劃設計、建設整改和等級測評四大過程。

4.1 系統(tǒng)定級

系統(tǒng)定級階段需要完成的工作。

1） 等級保護的導入培訓：在進行咨詢服務之前，需要對銀行相關(guān)科室信息人員進行等級保護的內(nèi)容培訓。只要講清楚等保是什么，需要各級人員配合的工作點是什么就可以了。

2） 系統(tǒng)業(yè)務安全域劃分：這個階段需要進行信息搜集和資產(chǎn)調(diào)研。明確業(yè)務系統(tǒng)的范圍、邊界、功能、以及重要性等。

3） 編寫系統(tǒng)定級報告和備案表：定級報告和備案表都是按照公安部等保辦公室的通用模版來編寫的，內(nèi)容包含了系統(tǒng)功能描述、網(wǎng)絡拓撲、定級的理由和依據(jù)等。

4） 召開專家評審會、獲得備案證明：召開專家評審會并獲得備案證明可視為一個里程碑式的階段性成果，因為定級和備案是等級保護工作開展的前提，如果級別定錯了，或者專家有不同的評審意見，則后續(xù)的設計方案、整改方案均無法執(zhí)行。同時，對于銀行信息科技部門的領導而言，服務工作做的怎么樣無法量化，但是備案證書是看的見，摸的著的，如果能在評審會現(xiàn)場當場頒發(fā)，則意義更加重大。

4.2 規(guī)劃與設計

規(guī)劃與設計階段的主要工作就是進行等級差距分析和風險評估。

1） 技術(shù)層面可直接參考人民銀行關(guān)于金融行業(yè)的“測評指南”來完成，可操作性較強。可分物理、網(wǎng)絡、主機、應用、數(shù)據(jù)五個層面進行差距評估，同時對網(wǎng)絡流量和網(wǎng)絡協(xié)議進行簡單的分析，通過漏洞掃描設備、配置核查設備、滲透工具等進行風險分析，輸出風險評估報告和技術(shù)層面的差距評估報告。

2） 管理層面上，等保的管理要求相對薄弱，集中體現(xiàn)在運維管理等方面，如果要達到人民銀行和銀監(jiān)會的標準，還有很多需要加強和補充的地方，可以對現(xiàn)有的制度文檔進行一個簡單的梳理，用最短的時間完成等保的管理制度調(diào)研。

4.3 實施與整改

實施與整改階段需要按照規(guī)劃階段的設計方案進行實施，以滿足等級保護安全體系的建設要求。

1） 組織體系整改：安全管理組織應形成由主管領導牽頭的信息安全領導小組、具體信息安全職能部門負責日常工作的組織模式。可參考已成立的《等保領導小組》設立模式，但應具體到管理員崗位。

2） 管理體系整改：按照等級保護的要求補充或重新制定管理制度，根據(jù)咨詢方提供的制度模版，銀行可根據(jù)自身的實際業(yè)務需求進行修改，并經(jīng)內(nèi)部討論修訂后，下文試運行。

3） 技術(shù)體系整改：技術(shù)體系整改應從三個層面進行考慮。

制定技術(shù)規(guī)范：包括windows、AIX、Informix、tuxedo、cisco等主流設備的安全配置規(guī)范；可考慮聘請專業(yè)安全公司進行咨詢服務，制定適合銀行長期發(fā)展的安全策略和技術(shù)安全規(guī)范。

安全配置加固：根據(jù)已制定的技術(shù)規(guī)范進行主機、服務器、網(wǎng)絡設備、安全設備的全面的安全加固。

安全設備采購：在安全技術(shù)體系的具體實現(xiàn)過程中，需要落實安全技術(shù)詳細設計方案中的具體技術(shù)要求，將先進的信息安全技術(shù)落實到具體安全產(chǎn)品中，形成合理、有效、可靠的安全防護體系。

4.4 等級測評

根據(jù)人民銀行的《金融行業(yè)信息安全等級保護測評服務安全指引》選擇具有資質(zhì)的第三方測評機構(gòu)進行等級測評，一般當?shù)毓矙C關(guān)會指定2-3家評估中心進行等級測評，如果銀行自行聯(lián)系省外的測評機構(gòu)，可能需要事先跟當?shù)厥」矎d取得聯(lián)系，確保該測評機構(gòu)的測評報告在本省是受到認可的。

實際上做了咨詢服務之后，等級測評的工作就變的非常簡單，因為咨詢方會在規(guī)劃與設計階段就會與測評中心取得聯(lián)系，確保其設計方案和整改實施方案得到專家和測評中心的認可，保障其順利實施。所以在等級測評的時候，測評師從進場到出具評測報告大概只需一周左右的時間。

5 結(jié)束語

關(guān)于金融業(yè)等級保護的建設工作，是今后兩年的一個重點工作，尤其是中小銀行可借助合規(guī)要求，由信息科技部門立項，向行內(nèi)申請更多的資源來完善自身的安全體系建設工作。

參考文獻

[1] 武冬立.銀行業(yè)安全防范建設指南.長安出版社，2008-11-1.

[2]李宗怡. 中國銀行安全網(wǎng)構(gòu)建基礎研究.經(jīng)濟管理出版社，2006-6-1.

[3] 劉志友.商業(yè)銀行安全問題研究.中國金融出版社， 2010-3-1.

[4] 曹子建，趙宇峰，容曉峰.網(wǎng)絡入侵檢測與防火墻聯(lián)動平臺設計[J].信息網(wǎng)絡安全，2012，（09）：12-14.

[5] 傅慧.動態(tài)包過濾防火墻規(guī)則優(yōu)化研究[J].信息網(wǎng)絡安全，2012，（12）：12-14.