信息安全保障范例6篇

前言：中文期刊網精心挑選了信息安全保障范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

信息安全保障范文1

論文關鍵詞：信息安全　漏洞挖掘　漏洞利用　病毒　云安全　保障模式變革

論文摘要：互聯網時代的來臨給人們帶來便利的同時也使信息安全與網絡安全形勢日益嚴峻。形形的漏洞層出不窮，傳統的安全保障模式已經無法有效地應對當前的威脅。本文分析了信息安全形勢和現狀，闡述了由漏洞挖掘、漏洞利用所構成的病毒產業鏈對現有安全技術和理念的沖擊。根據病毒產業鏈中各個環節的特點，提出了基于“云安全”思想的新型的安全保障模式，使之能夠快速感知和捕獲新的威脅，并從源頭上予以監控。

l　引言

信息安全與網絡安全的概念正在與時俱進，它從早期的通信保密發展到關注信息的保密、完整、可用、可控和不可否認的信息安全，再到如今的信息保障和信息保障體系。單純的保密和靜態的保障模式都已經不能適應今天的需要。信息安全保障依賴人、操作和技術實現組織的業務運作，穩健的信息保障模式意味著信息保障和政策、步驟、技術與機制在整個組織的信息基礎設施的所有層面上均能得以實施。

近年以來，我國的信息安全形勢發生著影響深遠的變化，透過種種紛繁蕪雜的現象，可以發現一些規律和趨勢，一些未來信息安全保障模式變革初現端倪。

2　信息安全形勢及分析

據英國《簡氏戰略報告》和其它網絡組織對世界各國信息防護能力的評估，我國被列入防護能力最低的國家之一，排名大大低于美國、俄羅斯和以色列等信息安全強國，排在印度、韓國之后。我國已成為信息安全惡性事件的重災區，國內與網絡有關的各類違法行為以每年高于30％的速度遞增。根據國家互聯網應急響應中心的監測結果，目前我國95％與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入，其中銀行、金融和證券機構是黑客攻擊的重點。

在互聯網的催化下，計算機病毒領域正發生著深刻變革，病毒產業化經營的趨勢日益顯現。一條可怕的病毒產業鏈正悄然生成。

傳統的黑客尋找安全漏洞、編寫漏洞利用工具、傳播病毒、操控受害主機等環節都需要自己手工完成。然而，現在由于整個鏈條通過互聯網運作，從挖掘漏洞、漏洞利用、病毒傳播到受害主機的操控，已經形成了一個高效的流水線，不同的黑客可以選擇自己擅長的環節運作并牟取利潤，從而使得整個病毒產業的運作效率更高。黑客產業化經營產生了嚴重的負面影響：

首先，病毒產業鏈的形成意味著更高的生產效率。一些經驗豐富的黑客甚至可以編寫出自動化的處理程序對已有的病毒進行變形，從而生產出大量新種類的病毒。面對井噴式的病毒增長，當前的病毒防范技術存在以下三大局限：①新樣本巨量增加、單個樣本的生存期縮短，現有技術無法及時截獲新樣本。②即使能夠截獲，則每天高達數十萬的新樣本數量，也在嚴重考驗著對于樣本的分析、處理能力。③即使能夠分析處理，則如何能夠讓中斷在最短時間內獲取最新的病毒樣本庫，成為重要的問題。

其次，病毒產業鏈的形成意味著更多的未知漏洞被發現。在互聯網的協作模式下，黑客間通過共享技術和成果，漏洞挖掘能力大幅提升，速度遠遠超過了操作系統和軟件生產商的補丁速度。

再次，黑客通過租用更好的服務器、更大的帶寬，為漏洞利用和病毒傳播提供硬件上的便利；利用互聯網論壇、博客等，高級黑客雇傭“軟件民工”來編寫更強的驅動程序，加入病毒中加強對抗功能。大量軟件民工的加入，使得病毒產業鏈條更趨“正規化、專業化”，效率也進一步提高。

最后，黑客通過使用自動化的“肉雞”管理工具，達到控制海量的受害主機并且利用其作為繼續牟取商業利潤的目的。至此整個黑客產業內部形成了一個封閉的以黑客養黑客的“良性循環”圈。

3　漏洞挖捆與利用

病毒產業能有今天的局面，與其突破了漏洞挖掘的瓶頸息息相關。而漏洞挖掘也是我們尋找漏洞、彌補漏洞的有利工具，這是一柄雙刃劍。

3．1漏洞存在的必然性

首先，由于internet中存在著大量早期的系統，包括低級設備、舊的系統等，擁有這些早期系統的組織沒有足夠的資源去維護、升級，從而保留了大量己知的未被修補的漏洞。其次，不斷升級中的系統和各種應用軟件，由于要盡快推向市場，往往沒有足夠的時間進行嚴格的測試，不可避免地存在大量安全隱患。再次，在軟件開發中，由于開發成本、開發周期、系統規模過分龐大等等原因，bug的存在有其固有性，這些bug往往是安全隱患的源頭。另外，過分龐大的網絡在連接、組織、管理等方面涉及到很多因素，不同的硬件平臺、不同的系統平臺、不同的應用服務交織在一起，在某種特定限制下安全的網絡，由于限制條件改變，也會漏洞百出。

3．2漏洞挖掘技術

漏洞挖掘技術并不單純的只使用一種方法，根據不同的應用有選擇地使用自下而上或者自上而下技術，發揮每種技術的優勢，才能達到更好的效果。下面是常用的漏洞挖掘方法：

(1)安全掃描技術。安全掃描也稱為脆弱性評估，其基本原理是采用模擬攻擊的方式對目標系統可能存在的已知安全漏洞進行逐項檢測。借助于安全掃描技術，人們可以發現主機和網絡系統存在的對外開放的端口、提供的服務、某些系統信息、錯誤的配置等，從而檢測出已知的安全漏洞，探查主機和網絡系統的入侵點。

(2)手工分析。針對開源軟件，手工分析一般是通過源碼閱讀工具，例如sourceinsight等，來提高源碼檢索和查詢的速度。簡單的分析一般都是先在系統中尋找strcpy0之類不安全的庫函數調用進行審查，進一步地審核安全庫函數和循環之類的使用。非開源軟件與開源軟件相比又有些不同，非開源軟件的主要局限性是由于只能在反匯編獲得的匯編代碼基礎上進行分析。在針對非開源軟件的漏洞分析中，反編引擎和調試器扮演了最蘑要的角色，如ida　pro是目前性能較好的反匯編工具。

(3)靜態檢查。靜態檢查根據軟件類型分為兩類，針對開源軟件的靜態檢查和針對非開源軟件的靜態檢查。前者主要使用編譯技術在代碼掃描或者編譯期間確定相關的判斷信息，然后根據這些信息對特定的漏洞模型進行檢查。而后者主要是基于反匯編平臺idapro，使用自下而上的分析方法，對二進制文件中的庫函數調用，循環操作等做檢查，其側重點主要在于靜態的數據流回溯和對軟件的逆向工程。

(4)動態檢查。動態檢查也稱為運行時檢查，基本的原理就是通過操作系統提供的資源監視接口和調試接口獲取運行時目標程序的運行狀態和運行數據。目前常用的動態檢查方法主要有環境錯誤注入法和數據流分析法。以上介紹的各種漏洞挖掘技術之間并不是完全獨立的，各種技術往往通過融合來互相彌補缺陷，從而構造功能強大的漏洞挖掘工具。

3．3漏洞利用

漏洞的價值體現在利用，如果一個漏洞沒有得到廣泛的利用便失去了意義。通常，從技術層面上講，黑客可以通過遠程/本地溢出、腳本注入等手段，利用漏洞對目標主機進行滲透，包括對主機信息和敏感文件的獲取、獲得主機控制權、監視主機活動、破壞系統、暗藏后門等，而當前漏洞利用的主要趨勢是更趨向于web攻擊,其最終日標是要在日標主機(主要針對服務器)上植入可以綜合利用上面的幾種挖掘技術的復合型病毒，達到其各種目的。

4　新型信息安全模式分析

最近的兩三年間，在與病毒產業此消彼漲的較量中，信息安全保障體系的格局，包括相關技術、架構、形態發生了一些深遠、重大的變化，大致歸納為以下三個方面：第一，細分和拓展。信息安全的功能和應用正在從過去簡單的攻擊行為和病毒防范開始向各種各樣新的聯網應用業務拓展，開始向網絡周邊拓展。如現在常見的對于帳號的安全保護、密碼的安全保護、游戲的安全保護、電子商務支付過程的安全保護等，都是信息安全功能和應用的細分與拓展。

第二，信息安全保障一體化的趨向。從終端用戶來說，他們希望信息安全保障除了能夠專業化地解決他們具體應用環節里面臨的各種各樣的具體問題之外，更希望整體的、一體化的信息安全解決方案貫穿業務的全過程，貫穿it企業架構的全流程。因此，許多不同的安全廠商都在進行自身的安全產品、體系架構的整合，針對性地應用到個人客戶的方方面面，表現出信息安全保障一體化的趨向。

第三，安全分布結構的變化。在服務器端，不管是相關市場的投入還是企業的需要，乃至相關的企業對服務器市場的重視都在發生重大的變化。這樣的變化對安全的分布結構產生了重大的影響，在這方面，各個安全廠商無論在服務器安全還是客戶端安全都加入了許多新型功能，甚至都在從體系結構方面提出一些新模式。

透過技術、架構、形態的新發展，我們看到了·些規律和趨勢，吏看到了一些未來信息安傘保障模式變節的端倪。既然客在互聯的催化下實現產業化，那么信息安全保障呢?將互聯網上的每個終端用戶的力量調動起來，使整個互聯網就將成為一個安全保障工具，這樣的模式就是未來信息安全保障的模式，被一些機構和安全廠商命名為“云安全”。

在“云安全”模式中，參與安全保障的不僅是安全機構和安全產品生產商，更有終端用戶——客戶端的參與。“云安全”并不是一種安全技術，而是一種將安全互聯網化的理念。

“云安全”的客戶端區別于通常意義的單機客戶端，而是一個傳統的客戶端進行互聯網化改造的客戶端，它是感知、捕獲、抵御互聯網威脅的前端，除了具有傳統單機客戶端的檢測功能以外還有基于互聯網協作的行為特征檢測和基于互聯網協作的資源防護功能，因此它可以在感知到威脅的同時，迅速把威脅傳遞給“云安全”的威脅信息數據中心。威脅信息數據中心是收集威脅信息并提供給客戶端協作信息的機構，它具有兩個功能：一是收集威脅信息；二是客戶端協作信息的查詢和反饋。首先，從“云安全”的客戶端收集、截獲的惡意威脅信息，及時傳遞給數據中心，然后傳遞給來源挖掘和挖掘服務集群，來源挖掘和挖掘服務集群會根據這些數據來挖掘惡意威脅的來源，通過協作分析找到源頭，進而對源頭進行控制，如果不能控制，則至少可以對源頭進行檢測。然后，將所有收集到的信息集中到自動分析處理系統，由其形成一個解決方案，傳遞給服務器，服務器再回傳客戶端，或者是形成一個互聯網的基礎服務，傳遞給所有安全合作伙伴，形成一個互聯網技術服務，使整個網絡都享受該安全解決方案。

概括而言，“云安全”模式具有以下特點：第一，快速感知，快速捕獲新的威脅?！霸瓢踩钡臄祿行目梢圆⑿蟹眨ㄟ^互聯網大大提高威脅捕獲效率。第二，“云安全”的客戶端具有專業的感知能力。通過威脅挖掘集群的及時檢測，可以從源頭監控互聯網威脅。

互聯網已經進入web2．o時代，web2．0的特點就是重在用戶參與，而“云安全”模式已經讓用戶進入了安全的2．o時代。在黑客產業化經營的新威脅的形勢下，也只有互聯網化的“云安全”保障模式才能與之對抗。

4　結柬語

信息安全保障范文2

計算機網絡是一個互動交流的平臺，因特網信息相對繁雜，因為其開放性，所以極易引發惡意利用等問題。而黑客入侵就位居其中之列，黑客們往往會鉆網絡漏洞的空隙，趁虛而入，進而竊取密碼等相關隱私信息或加以破壞，最嚴重情況下可能造成整個網絡的癱瘓。外部攻擊致使安全隱患頻發。除了外部黑客惡意破壞，企業員工結合各種辦法同外界相互勾結，致使企業受損現象也是時有發生的。企業員工素質及能力存在不均衡現象，有較為優秀的，當然也有些魚目混珠的，致使理念上產生偏差，比如像導致信息出現格式化、主要數據丟失、無用信息鋪天蓋地等狀況。部分擁有技術能力員工，能夠對指定應用程序進行修改，讓該類程序特定時間內運行致使企業大批私密信息外泄，為企業帶來無法估量的經濟損失。還有些如入無人之境像走綠燈一樣隨便進入信息內部系統，并且對計算機運行實行監控，這種行為是比較惡劣還有嚴重的。企業內部員工，只有少部分對網絡系統擁有合法訪問權，除此以外我們國家大部分企業使用的網絡軟硬件都是結合專有企業產品，這樣就導致部分廠商對計算機的網絡訪問是具有合法權限的，另外警察與部分政府相關工作人員對企業信息訪問也是合法的。

2計算機的網絡安全問題

網絡信息條件下，計算機的網絡安全相關問題大多集中在計算機軟件開發途中。軟件本身存在漏洞對信息安全構成威脅可以說是最大的。信息化建設過程中，要對使用軟件加大注意力。應用網絡的時候，信息傳輸不會因為網絡故障而終止，但因為網絡功能基礎就是計算機相關系統軟件使用，因為系統本身問題致使該部分漏洞成為攻擊者違法犯罪的可乘之機。除了軟件本身與網絡本身問題，相關管理人員選擇也是很重要的一個環節，信息化建設途中結合大型軟件的使用，對使用者在依照說明對軟件進行使用的時候提出了更高的要求，對軟件升級也是提升信息安全不錯的選擇。使用的時候，應當將密碼及用戶名保存視為重點關注事項，不應當選擇設備本身默認密碼及用戶名。

3信息安全保障對策

企業信息化建設中對于信息安全同企業發展兩者相輔相成、缺一不可，這種意識一定要樹立起來。我們不妨進行一下聯想，假使企業重要信息被盜取亦或是出現外泄情況，那么后果將是不堪設想的。因此企業先要做的事情就是安全意識的培養，只有意識和理念樹立起來，后續工作開展才可以更加便利。（1）對設備進行定期檢查。計算機網絡設備是計算機的網絡系統中極為重要的一部分，定期對設備安全性進行檢查，是保障計算機網絡安全運行的前提。設備安全得以維護了，網絡的傳輸介質就得以維護了，經常使用相應軟件對端口進行維護是計算機網絡安全的必要工作。（2）設置防火墻確保網絡的安全運行。防火墻是保護網絡安全中一項形而有效的舉措。當黑客入侵時，防火墻就起到積極屏障與杜絕的作用。防火墻位于網絡連接處，它對網絡連接起到了控制作用，并對外部的非法用戶加以限制與阻攔，保護內部資源不受侵害，對數據傳輸也起到干涉作用。防火墻相當于一層網絡保護膜，它可以對盜竊與破壞活動加以阻撓。防火墻具有非常強的防范作用，它可以積極阻攔外界的進攻和滲透，我們也可以毫不夸張的說它是網絡的保鏢。（3）強化企業管理工作結合信息安全種類與等級想出針對性的解決策略，并且提前想出多種安全事故應對構想。但凡有信息安全的危機發生的時候，企業要快速組織應急小組，結合危機管理預案及處理步驟，對危機進行處理，切記不要慌張，要冷靜沉思，積極靈活應對，避免操作不當而使事態變得更為嚴重無可挽回。除此以外，對于信息安全相關知識做相關教育和培訓的工作，綜合提升工作人員危機處理能力也是極其有必要的。（4）提升企業員工綜合素質及能力信息安全可以看成是一項整體的、系統化的工程，信息安全要靠信息化建設當中，結合系統面對的整體威脅，攻擊，漏洞等采取相應應對措施。人是所有工作開展的先決條件，只有擁有一支能力強、素質高的管理班子，才可以于日常管理當中對各項工作操作的更為專業化，假使有問題產生的話，也可以第一時間想出專業應對方法及策略，對于信息系統安全建設可以說是有著非常大的幫助的。

4結語

信息安全保障范文3

一、檔案信息安全存在的問題

1.環境方面存在的問題

（1）軟環境方面存在的問題。①缺乏檔案安全保障意識。檔案工作是關系國家和社會發展的一件大事，然而，長期以來一些民眾對于這項工作卻存在偏見，很難認識到這項工作的特殊性與重要性，不能得到社會公眾應有的支持和肯定。②檔案事業發展緩慢。雖然各級政府對于檔案工作給予了一定的關心和支持，但力度不夠，收效不佳，檔案工作還沒有得到足夠的重視。③檔案安全保障資金不足。⑵硬環境方面存在的問題。①自然災害因素的威脅。在檔案庫房選址時一定要充分考慮這些因素，規避可能帶來的風險。②檔案存儲環境和載體的問題。載體的性質也會決定著檔案信息的壽命。傳統的檔案載體以紙質方式為主，現在除了紙質檔案以外，還有U盤、硬盤等電子檔案。

2.法規方面存在的問題

（1）檔案安全方面的法律法規還不完善。有關檔案方面的法律法規還比較少，而且不夠成熟，法律法規的滯后必然會給檔案日常管理帶來不必要的麻煩。因此，應抓緊制定和落實檔案方面的法律法規，并不斷進行細化。⑵檔案針對性安全法規建設步伐緩慢。盡管我國已經出臺了一些有關檔案安全方面的法規，但這些安全法規并不能完全適應檔案工作的實際需要，也沒有很好的貫徹執行，目前，我國還沒有完全針對電子檔案方面的法律法規。因此，建立和完善檔案方面針對性的安全法規迫在眉睫。

3.技術方面存在的問題

⑴實體檔案安全技術方面的問題。實體檔案一般具有原始唯一性，在保存過程中需要格外小心，一旦遭到破壞便很難修復，給檔案信息造成一定的損失。怎樣運用高新技術對檔案進行修復，使檔案得以更好的保存是廣大檔案工作者亟待研究和解決的問題。⑵電子檔案安全技術方面的問題。電子檔案在運用過程中常常會出現的系統安全以及網絡安全等問題，需要引起高度重視，并采取有效措施加以解決，以保障電子檔案的信息安全。

4.管理方面存在的問題

隨著檔案整理、保存和利用等方面的變化，檔案管理的理念、思路與方法也應隨之改變?，F代檔案管理不僅要求對實體檔案進行管理，還要對電子檔案進行規范。當前我國的檔案管理方式還相對單一，管理方法還相對滯后，管理制度還很不健全，甚至還在沿用傳統的老辦法進行現代檔案管理，這樣勢必會影響檔案管理的效率和效果，也會影響檔案信息的安全和穩定。

二、檔案信息安全保障的有效措施

1.軟件和硬件方面的建設

⑴檔案信息安全的思想基礎。要對檔案信息安全的方式、內容和主體有清醒的認識和理解，要逐步培養和建立系統化和科學化的檔案保護理念，并貫穿于日常檔案管理工作的始終。安全意識的養成不是一朝一夕的，需要檔案工作者、信息利用者和社會三者的互動和作用，檔案工作者是主導，信息利用者是動力，社會是前提。各級檔案參與者要從思想上重視起來，從行動上表現出來，自覺學習和踐行檔案安全教育，培養信息安全的意識，加強信息安全的道德建設。⑵檔案信息安全的資金支持。檔案部門是國家非營利性事業機構，檔案環境建設、設備更換和軟件維護等方面所需費用都完全依靠國家和政府的劃撥。這些費用往往很難滿足檔案工作的實際需要，還存在一定的資金缺口，這就需要各級檔案部門開動腦筋，發揮所長，多種途徑籌措資金，以推動檔案工作向前發展。⑶檔案保存環境方面的建設。檔案可以分為實體檔案和電子檔案，不同類型的檔案應該采用相應的措施。①紙質類檔案。紙的質量好壞直接影響著檔案信息安全的周期，紙張的耐久性如何跟化學成分的特性、原料的品質以及紙張的生產工藝等因素有關。檔案的文字安全是紙質檔案信息安全的關鍵，字跡耐久性一般受字跡的色素和組合比例的影響。②磁帶、膠片類檔案。磁帶和光盤等數字影像檔案應遠離磁場，避免因消磁而造成損失。膠片裝具材料一般可分為金屬材料、紙質和塑料三種，金屬的膠片裝具較為安全，使用壽命也較長。③光盤類檔案。光盤檔案的保存保管也需要特別注意。光盤的壽命受內外兩方面環境的制約，內部因素主要指的光盤的成分和類型，外部因素主要指的是光盤的功率和讀寫方式等。

2.政策法規方面的建設

⑴法律法規體系的建設。目前我國關于檔案信息安全保障的法律法規比較少，還屬于起步階段，加強這方面法律法規的建設刻不容緩，國家應該給予關注。⑵針對性法律法規的建設。關于針對性法律法規的建設應該從以下幾個方面入手：①修改和完善檔案法?！稒n案法》對于檔案信息安全的執法檢查項目要做明確規定，并定期對有關項目進行檢查督導，同時要大力宣傳和引導，樹立檔案工作人員的法律責任意識和安全意識。②建立和完善電子檔案安全法規。我國在電子檔案方面的法律法規很少，而且很不健全，因而對電子檔案缺乏有效管理，出現一些安全問題。一方面要加強計算機網絡的安全和指導，對網絡環境下電子檔案信息安全進行特殊保護。另一方面加強保護電子檔案信息內容的立法，保證信息資源的完整性、真實性和有效性。

3.安全技術保障方面的建設

⑴實體檔案信息安全保障方面的技術。①實體檔案保存技術。主要涉及建筑的保護、驅蟲的保護、裝幀的保護和分類的保護等。在實際工作中，要依據檔案類型的差別，采取恰當的保存方法，提高檔案保存的技術。要對紙質檔案、磁盤、光盤和膠片等實體檔案進行分類保管，這樣有利于保管環境的建設和維護，有利于檔案的信息安全，也有利于檔案的開放共享。②實體檔案修復技術。檔案在保存保管中由于各種內外因素的影響難免會出現字跡不清、磨損變形、紙張老化、磁盤損壞以及膠片褪色等現象。紙質檔案的修復技術主要有去酸的技術、去污的技術和檔案載體轉換的技術等。電子檔案的修復技術主要是照片檔案修復技術，而光盤、磁盤以及磁帶等的修復相對困難，一旦損壞便很難修復，最好做適當備份。實體檔案的保管，有條件的檔案機構建議實行三套管理，一套進行封存保管，不對外使用；一套進行異地備份，完全封存；一套可以開放共享，發揮其信息價值，確保檔案的萬無一失。⑵電子檔案信息安全保障技術。與電子檔案信息安全保障技術有關的內容主要包括：數據安全技術、系統安全技術、網絡安全技術、用戶安全技術、防寫技術等。隨著信息技術的快速發展，以云計算為特征的新型網絡開始出現，具有隨需隨取和按需收費的特點，將會成為信息產業的第三次革命。

4.檔案信息安全管理方面的建設

⑴檔案信息安全組織體系。國家檔案局應該在中央設立檔案信息安全管理部門，對全國有關這方面的工作進行統一監督和管理，各地方檔案部門應該成立相應的科室，對該方面的法規政策進行大力宣傳和落實。⑵檔案信息安全管理制度。①建立健全檔案信息安全管理制度體系。國家檔案局應該組織相關專家，制定我國現階段這方面工作的總體方針和發展目標，對全國的檔案信息安全保障工作進行宏觀指導和管理。同時，各地方檔案部門應該在國家法規和政策的指導下制定符合本地實際的地方制度和辦法。②加強檔案信息安全保密制度建設。各級檔案部門要加強檔案信息安全保密的教育，培養員工的保密意識，提高自身的職業道德，貫徹落實檔案工作的各項規定。③建立電子檔案信息安全管理體系。在體系建設中，逐步建立嚴格的檔案保管制度，完善和發展電子檔案的形成制度，規范數字檔案的開放共享制度。⑶檔案信息安全執行力度。檔案信息安全保障，制度的建立是基礎，制度的落實才是核心。制定的制度如果不嚴格貫徹執行就如同虛設，就發揮不了應有的作用。因此，可以成立專門的檔案安全工作領導小組，并實行領導負責制，發揮領導的模范帶頭作用，定期對檔案信息安全進行大檢查，一旦發現問題，立刻進行解決，避免拖泥帶水。

信息安全保障范文4

【 關鍵詞 】 信息安全；信息安全保障體系；國家大劇院

Exploration of Information Security Framework for National Center for the Performing Arts

Liu Zhen-yu

（National Center for the Performing Arts BeiJing 100031）

【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that， information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique， management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.

【 Keywords 】 information security； information security framework； national center for the performing arts

1 背景

隨著信息技術的飛速發展，人類正以前所未有的速度進入以網絡為主的信息時代，網絡的快速發展不僅促進了人們的通信和交流，同時也帶來了商業和經濟模式的巨大變革。

國家大劇院是國家新建的重要文化設施，也是一處別具特色的景觀勝地。作為北京市國家級標志性文化設施，國家大劇院的建設與運行體現了正在迅速崛起和復興的中國在精神文化領域的追求，因此，依托信息化手段宣傳和服務于廣大文化藝術愛好者是國家大劇院電子商務網站建設的宗旨，使之成為“國家表演藝術最高殿堂、藝術普及教育的引領者、中外藝術交流最大平臺、文化創意產業重要基地”。

國家大劇院網絡及信息系統從2007開始逐步建設，建設初期主要滿足國家大劇院演出宣傳、文藝教育、演出票務、公眾服務、內部辦公和訪問互聯網的需求，官方網站電子商務平臺承擔著對外宣傳及網上售票業務。隨著國家大劇院近幾年影響力和地位的不斷提升以及業務的發展壯大，對信息化建設提出了更高要求，同時對信息安全的需求也越來越迫切，結合國家等級保護制度來進行安全保障建設成為國家大劇院信息化建設的有益補充。

2 現狀及問題

目前國家大劇院局域網骨干帶寬為千兆，雙核心。已部署的安全設施，如在整個局域網的出口均部署了防火墻，內網服務器域邊界部署了防火墻；在門戶網站出口部署了流量控制和入侵防御設備；內部終端還廣泛部署了防病毒軟件，以防范計算機病毒在局域網內傳播和破壞。國家大劇院正在運行的業務系統主要包括網站系統、票務系統、藝術資料管理系統、OA系統、財務系統及郵件系統等。

根據對國家大劇院信息化及信息安全現狀的分析，結合國內外信息安全發展態勢，發現國家大劇院面臨著一些信息安全問題及風險。

假冒網站、網站掛馬等安全風險。據權威統計，2011年下半年，檢測新增掛馬網站獨立網址246萬，平均每日100萬人次訪問此類掛馬鏈接，新增釣魚盜號欺詐類網站獨立網址492萬，共攔截10億余次釣魚盜號欺詐類網址，平均每日600萬人次訪問此類欺詐類鏈接。假冒網站獨占鰲頭的是電商網購類，而且仿冒范圍不斷擴散，通過國家大劇院運維人員統計觀察，越來越多的黑客、病毒、不法機構和人員對國家大劇院電子商務網站系統的正常運行產生威脅，網站業務系統隨時都可能遭受惡意攻擊。

系統入侵或網絡攻擊風險。由于系統保護措施不到位，可能導致國家大劇院票務等對外網站系統的域名劫持、DDoS攻擊等安全風險。同時，也可能由于軟件漏洞或者安全意識單薄等造成內部郵件等信息泄露。

非授權訪問風險。由于國家大劇院內部辦公等信息系統邊界缺乏訪問控制設施，并且在網絡可信接入、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，未授權者可通過網絡非法訪問網站及系統服務器，并進行非法讀取、篡改和破壞數據等不良行為，構成對內部數據及信息系統的重大隱患。

數據安全風險。媒資庫建設完成后將承載大量的媒體資料，這些有藝術價值的音像資料是國家大劇院的寶貴資產，一旦由于自然災害、人員非法入侵、內部人員誤操作等造成數據丟失損壞，將對國家大劇院造成重大損失。

媒體資源庫音像資料版權風險。目前，劇院已經為視頻在線傳播及直播提供服務平臺，然而提供的音視頻服務面臨版權盜用、盜鏈和惡意下載等問題，容易對劇院和公眾利益帶來損害。

內控管理風險。據權威調查報告顯示，內部員工的粗心大意是企業信息安全的最大威脅，由此造成的安全事故高達78%。目前，由于國家大劇院內部員工的安全意識還相對淡薄，存在進入業務系統的登錄口令設置過于簡單，私自訪問不安全網站，私自接入不安全設備等問題，這些都給大劇院信息系統造成了極大的安全隱患和威脅。

3 信息安全保障體系探索

3.1 總體目標

通過對國家大劇院信息安全現狀、問題以及信息安全建設需求的分析，可知國家大劇院信息安全保障體系建設的總體目標是按照國家信息安全等級保護相關要求，從風險控制、技術設施、管理體制及運維服務等方面入手，基于成熟的安全技術，借鑒先進可行的管理理念，加強外御威脅防護、構建內控管理機制、強化數據保護措施，建立和完善信息安全管理體制，加強安全服務保障，設計適合國家大劇院信息化發展的安全保障體系，從而確保業務流程可控、業務狀態可視，保障業務整體安全。

3.2 設計思路

針對國家大劇院安全保障目標，在信息安全保障體系設計上基于幾種設計思路。

3.2.1構建網站可信機制

通過第三方網站身份誠信認證來確保網站真實性，可幫助網民判斷網站的真實性。同時，基于可信證書類產品，確保系統管理用戶身份的真實性。其次，借助社會力量來實現假冒網站的定位、侵權取證等服務，從而有效打擊防范欺詐類網站并且協助維權。

3.2.2建設安全可靠的辦公網絡平臺

積極推進信息安全等級保護建設，通過制定安全策略、部署安全設備，完善安全保密管理制度，加強安全運維支撐建設，從物理安全、網絡安全、主機安全、應用安全、數據安全、流程安全、人員安全等多方面保障系統的安全穩定運行。

3.2.3建立網絡信任服務

通過為網絡管理員、網站維護人員頒發數字證書，部署網絡可信接入及遠程安全接入設施來構建劇院內部的網絡信任服務體系，保證信息系統及媒資庫資源的可靠訪問，確保我院信息資源安全。

3.3 體系框架

在國家大劇院信息系統安全保障體系設計以及實現中，將在國家相關的安全政策、法規、標準、要求的指導下，制定可具體操作的安全策略，構建國家大劇院網站系統安全技術系統、安全管理體系以及安全運行體系，形成集防護、檢測、評估、響應、恢復于一體的整體安全保障體系，從而實現物理安全、網絡安全、主機安全、數據安全和應用安全，以滿足國家大劇院網站系統全方位的安全保護需求。國家大劇院信息系統整體安全保障體系模型如圖1所示。

國家大劇院信息系統整體安全保障體系模型主要由三個方面組成。

3.3.1安全技術體系

參考國家標準《信息安全技術 信息系統等級保護安全設計技術要求》按照威脅分析，將信息資產劃分為若干保護對象，并按照“一個中心”管理下的“三重保護”的設計框架，構建國家大劇院信息安全技術體系保障機制和策略，為國家大劇院信息系統的運行提供安全保護環境。該環境共包括四部分：安全計算環境、安全區域邊界、安全通信網絡和安全管理中心。

3.3.2安全管理體系

以國家大劇院現有業務系統所服務對象為基礎，建立完善的安全管理體系，建立信息安全管理機構、制定信息安全管理制度、設置信息安全管理崗位。

3.3.3安全運維服務體系

針對業務安全運行的需要，以日常巡檢、咨詢、評估等建立有效的運維服務機制，加強對資產管理的分析、隱患發現、策略審核考評等，不斷發現平臺在運行中的安全隱患，降低系統脆弱性和面臨潛在的威脅帶來的影響及損失，以及時對安全策略實現完善和防護措施的改進提升。

3.4 信息安全體系建設實踐

國家大劇院信息安全保障工作經過長期的努力，已經初見成效。在安全體系的建設實踐中，總結出幾點實踐經驗。

3.4.1制定標準規范，奠定保障基礎

信息安全保障建設的一項重要工作之一是參照國家等級保護的技術要求完成相應的合規性檢查。因此，國家大劇院應據此建立適合國家大劇院的信息安全管理基線，堅持常態化管理和動態控制，達到并保持國家相關安全主管部門的安全審計要求。

3.4.2重視管理，制度先行

信息安全是一個動態發展的過程，每年隨著業務發展變化而變化，同時隨著信息安全技術的不斷演變，都會出現新的安全防護技術的使用。經過多年實踐證明，每個系統或者防護設備上線前，都必須在遵守總體防護規范的前提下，編制好具有針對性的管理要求，才有有效降低安全風險引入的可能。

3.4.3定期組織代碼審計和滲透測試等系統檢測

代碼安全審計是通過人工分析和工具掃描的方式檢驗應用程序的源代碼，利用大量的代碼安全規則，來分析源代碼中的違反規則部分，進而確定可能存在的安全漏洞和隱患。應用系統生命周期安全的從SDL實踐上看，安全做的越早效果越好（但開發模式改動的成本也相對比較大），代碼審計作為保證代碼安全的最低低線，其作用是不可取代的。

另外，除了從代碼開發過程中保證開發出安全的應用系統以外，針對已開發的系統，國家大劇院還組織第三方測試機構，從攻擊者視角檢測信息系統安全防護能力是否達到，是否存在成功攻入系統的途徑。

4 信息安全建設意義

通過構建信息安全保障平臺，保障我劇院信息系統可安全合規運行。基于國家信息安全等級保護制度要求，建設國家大劇院信息系統整體安全保障體系模型信息安全保障基礎設施，制定安全策略，為國家大劇院系統提供安全可靠的運行環境。

提高國家大劇院電子票務等信息系統的安全運行平穩度。通過在信息安全技術、信息安全保密管理等多維度的體系保障建設，保障網站真實性、打擊假冒網站，大大提高國家大劇院信息系統安全穩定運行的平穩度。

提高用戶的安全便捷以及系統安全管理能力。通過構建可信的電子票務運營環境，為用戶提供身份認證及網絡信任機制，加強用戶的身份、資金安全保障，并且提高系統安全管理能力。

提升安全隱患發現能力。安全隱患的發現能力是信息安全管理中的關鍵能力，關系到能否將風險消除在事件發生之前。通過建立入侵監測系統、防病毒系統以及定期的安全脆弱性檢測等，大大提升我劇院信息系統的安全隱患發現能力。

5 結束語

建設和完善信息安全保障體系是為了保證國家大劇院的業務在今后發展過程中對信息安全建設的要求。

信息安全保障體系建設涵蓋安全管理體系、安全技術體系、安全運維體系的復雜系統工程，是一項長期性的專業的細致的認為，需要以信息安全技術為基礎，持續投入大量的人力和物力。為使國家大劇院建設成為國際化、現代化的大劇院提供有力的信息安全保障。

參考文獻

[1] 關于大力推進信息化發展和切實保障信息安全的若干意見（國發[2012]23號）.

[2] 信息安全管理實用規則（GB/T 22081-2008）.

[3] 信息系統等級保護安全設計技術要求（GBT25070-2010）.

[4] 信息系統安全等級保護體系框架（GA/T 708-2007）.

[5] 國家大劇院電子商務網站系統安全保障方案.內部資料，2010.

[6] 國家大劇院安全服務保障方案.內部資料，2011.

信息安全保障范文5

[關鍵詞]檔案信息；安全；保密；管理

近兩年來，有關部門發現并查處了一些檔案信息泄密事件，發現了影響檔案信息安全的重大隱患，這些問題的存在我們提出了檔案信息安全管理的重要課題。尤其是在網絡盛行，黑客入侵，木馬植入的時代，我們更應提高警惕和高度重視。下面就如果做檔案信息安全保障工作進行淺析。

一、提高檔案的保密意識。

近年來，有些部門對政府公開信息審核把關不嚴，把一些的文件上網公布，以致把檔案在網上開放，嚴重危害了我們國家的信息安全。因此檔案部門要站在國家安全的高度，增強檔案保密工作的責任感和使命感，不斷強化檔案保密工作。要認真學習《檔案法》、《保密法》等相關知識，自覺履行保守國家秘密的義務。對于上網開放的檔案一定要做到凡是和內容敏感的檔案都不要公開或開放，更不要上互聯網，做到的不上網，上網的不。對紙質檔案、磁性介質的借閱、保管、銷毀等要嚴格遵守保密制度，不要有任何僥幸與松懈心理。同時要經常開展檔案安全教育工作，把檔案安全的重要性提到檔案工作的重要位置，尤其要把檔案泄密的危害和后果闡明講透，使檔案安全意識深入人心。

二、完善保密檔案的借閱制度

檔案借閱是檔案管理工作的主要形式之一。為充分發揮檔案的作用，既方便檔案利用，又確保檔案的安全完整，要制定完善的檔案借閱制度、外借制度。各項借閱規章制度的條文要簡單而嚴謹，便于執行，確保保密檔案的安全。保密檔案的借閱、移出、銷毀等要嚴格按規定的手續辦理，要填寫借閱、移出、銷毀單，由直接領導簽字。借閱檔案要填寫登記表及借閱卡，手續齊備方可借閱。借閱人要嚴格遵守保密制度，禁止轉借泄密。保密檔案使用完畢，歸還時要認真核對、檢查，對私自撕拆、涂改、缺頁少項的檔案要追究借閱人責任，并復原檔案。借閱的檔案如果丟失，失密、泄密等問題，要及時查明原因，向主管領導報告，進行補救。保密檔案的借閱時間不得超過一年，因項目周期長而不能及時歸還的，要及時辦理續借手續。要推行對已有復印件的檔案原件進行封存的做法，無特殊情況的，不再提供檔案原件，對借閱檔案的要以復印件的形式提供使用，以延長檔案壽命。

三、加強電子檔案安全維護

電子文件歸檔不同于紙質文件的歸檔，它的歸檔屬于數字化信息形式歸檔，是按照有關電子檔案的歸檔要求將整理好的電子文件以數字化形式轉存在磁性材料或光盤等載體上保存。因此，必須采取技術保障措施，使其所形成的電子檔案和紙質檔案一樣，保證其信息安全可靠，具有依據、查考和憑證的作用。一是設置訪問控制，從而保證電子文件信息在內的網絡資源不被非法訪問和非法利用；二是提供信息加密措施。在多數情況下，信息加密是保證電子文件機密性的唯一方法；由于加密和解密使用不同的密鑰，因此第三者很難從中解出原文內容，無法篡改其內容，從而保護電子文件在傳輸過程中的原始性和真實性；三是建立網絡防火墻。防火墻可進行網絡通信掃描，過濾一些攻擊，以阻止其在目標計算機上被執行。防火墻還可以關閉不使用的端口，還能禁止特定端口的流出通信，禁止來自特殊站點的訪問，從而阻止來自不明入侵者的所有通信；四是簽名技術。通過簽名技術可以確保電子文件的真實性以及進行身份信息驗證，以此確認其內容是否被篡改或是否為偽造；五是設置防寫措施。如將電子文件設置為“只讀”狀態，這樣用戶只能讀取信息，而不能對此信息做任何修改，從而有效地防止用戶更改電子文件，確保電子文件的安全性、真實性；六是信息備份與恢復。由于網絡的不安全性，給電子文件信息的安全帶來嚴重威脅。盡管我們可采取一些方法和技術提高網絡的安全性，但網絡上風險無處不在，難免會發生信息丟失和失真的現象。因此建立信息備份與恢復系統是保護電子檔案的必要手段，一旦信息丟失或失真，可及時地進行電子文件數據的恢復。

四、加強檔案室安全管理

信息安全保障范文6

1.等級保護

1)主要內容

等級保護是指導我國信息安全保障體系總體建設的基礎管理原則，是圍繞信息安全保障全過程的一項基礎性管理制度，其核心內容是對信息安全分等級、按標準進行建設、管理和監督。

2)優點

等級保護適用于宏觀層面，是一種大范圍“基線安全”，適用于行業主管部門對信息安全的總體把握與監控。

3)缺點

具體到某個組織的信息安全保護而言，等級保護的粒度劃分較粗，在滿足組織對信息安全的精細控制要求方面還存在不足。因此，在滿足監管部門的等級保護要求之后，組織還可進一步把等級細化到各種層次的安全域，直至對一個個的信息資產進行有效管理。

2.信息安全管理體系(ISMS)

1)主要內容

類似于質量之于ISO9000，ISMS是組織為提高信息安全管理水平，按照ISO27001的要求，在整體或特定范圍內監理的信息安全方針和目標，以及完成這些目標所用的方法和體系。它是直接管理活動的結果，表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。

2)優點

ISMS涉及了信息安全的11個領域，133個控制措施，基本涵蓋了信息安全的方方面面，適用于各種類型的組織用來建立一個總體的安全控制框架;ISMS更注重于把“安全管理”當作一種制度來建設，通過建立統一的方針、策略，以及規范化安全規則，使ISMS實施主體能有效地識別風險，持續不斷地采取管控措施，以把風險降低到組織可接受的程度。

3)缺點

它只是描述了建立ISMS的思想、框架，但對如何建立ISMS并沒有一個詳細明確的定義，也沒有描述ISMS的最終形態;沒有確定建立信息安全體系的具體方法與技術。因此，ISMS對實施者來說留下來很大的可操作空間，不同的組織和不同實施著對ISMS標準的把握可能差別很大，ISMS總體水平也會有高下之分。

3.風險評估

1)主要內容

風險評估是獲知組織當前風險水平的一種手段，在金融、電子商務等許多領域都是有風險及風險評估需求的存在。當風險評估應用于IT安全領域時，就是對信息安全的風險評估。

2)優點

風險評估從早起簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作，逐漸過渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分體現以資產為出發點、以威脅為觸發、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。

國內這幾年對信息安全風險評估的研究進展較快，具體的評估方法也在不斷改進。原國信辦2004年組織完成了《信息安全風險評估指南》及《信息安全風險管理指南》標準草案的制定，并在其中規定了信息安全風險評估的工作流程、評估內容、評估方法和風險判斷準測，對規范我國信息安全風險評估的做法具有很好的指導意義。

3)缺點

《信息安全風險評估指南》所確定的風險評估方法還只是一個通用的方法論，具體到一個特定的單位，要對其中的風險進行準確地識別與量化仍熱是一件困難的事情，在很大程度上要取決于評估者的經驗。