網絡資產安全管理范例6篇

前言：中文期刊網精心挑選了網絡資產安全管理范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡資產安全管理范文1

隨著寬帶網絡和用戶規模的不斷增長，用戶對寬帶接入業務的高可用性要求不斷增強，對電信運營商在IP城域、接入網絡和支撐系統提出了更高的安全性要求。本文從信息安全管理的理念、方法學和相關技術入手，結合電信IP城域網，提出電信IP城域網安全管理、風險評估和加固的實踐方法建議。

關鍵字（Keywords）：

安全管理、風險、弱點、評估、城域網、IP、AAA、DNS

1 信息安全管理概述

普遍意義上，對信息安全的定義是“保護信息系統和信息，防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏，保證信息系統能夠連續、可靠、正常的運行”。所以說信息安全應該理解為一個動態的管理過程，通過一系列的安全管理活動來保證信息和信息系統的安全需求得到持續滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。

信息安全管理的本質，可以看作是動態地對信息安全風險的管理，即要實現對信息和信息系統的風險進行有效管理和控制。標準ISO15408－1（信息安全風險管理和評估規則），給出了一個非常經典的信息安全風險管理模型，如下圖一所示：

既然信息安全是一個管理過程，則對PDCA模型有適用性，結合信息安全管理相關標準BS7799(ISO17799)，信息安全管理過程就是PLAN-DO-CHECK-ACT（計劃－實施與部署－監控與評估－維護和改進）的循環過程。

2 建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關標準、結合企業信息系統實際情況，建設適合于自身的ISMS信息安全管理體系，ISMS的構建包含以下主要步驟：

（1） 確定ISMS的范疇和安全邊界

（2） 在范疇內定義信息安全策略、方針和指南

（3） 對范疇內的相關信息和信息系統進行風險評估

a) Planning（規劃）

b) Information Gathering（信息搜集）

c) Risk Analysis（風險分析）

u Assets Identification & valuation(資產鑒別與資產評估)

u Threat Analysis（威脅分析）

u Vulnerability Analysis（弱點分析）

u 資產/威脅/弱點的映射表

u Impact & Likelihood Assessment（影響和可能性評估）

u Risk Result Analysis（風險結果分析）

d) Identifying & Selecting Safeguards（鑒別和選擇防護措施）

e) Monitoring & Implementation（監控和實施）

f) Effect estimation（效果檢查與評估）

（4） 實施和運營初步的ISMS體系

（5） 對ISMS運營的過程和效果進行監控

（6） 在運營中對ISMS進行不斷優化

3 IP寬帶網絡安全風險管理主要實踐步驟

目前，寬帶IP網絡所接入的客戶對網絡可用性和自身信息系統的安全性需求越來越高，且IP寬帶網絡及客戶所處的信息安全環境和所面臨的主要安全威脅又在不斷變化。IP寬帶網絡的運營者意識到有必要對IP寬帶網絡進行系統的安全管理，以使得能夠動態的了解、管理和控制各種可能存在的安全風險。

由于網絡運營者目前對于信息安全管理還缺乏相應的管理經驗和人才隊伍，所以一般采用信息安全咨詢外包的方式來建立IP寬帶網絡的信息安全管理體系。此類咨詢項目一般按照以下幾個階段，進行項目實踐：

3.1 項目準備階段。

a) 主要搜集和分析與項目相關的背景信息；

b) 和客戶溝通并明確項目范圍、目標與藍圖；

c) 建議并明確項目成員組成和分工；

d) 對項目約束條件和風險進行聲明；

e) 對客戶領導和項目成員進行意識、知識或工具培訓；

f) 匯報項目進度計劃并獲得客戶領導批準等。

3.2 項目執行階段。

a) 在項目范圍內進行安全域劃分；

b) 分安全域進行資料搜集和訪談，包括用戶規模、用戶分布、網絡結構、路由協議與策略、認證協議與策略、DNS服務策略、相關主機和數據庫配置信息、機房和環境安全條件、已有的安全防護措施、曾經發生過的安全事件信息等；

c) 在各個安全域進行資產鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析，形成資產表、威脅評估表、風險評估表和風險關系映射表；

d) 對存在的主要風險進行風險等級綜合評價，并按照重要次序，給出相應的防護措施選擇和風險處置建議。

3.3 項目總結階段

a) 項目中產生的策略、指南等文檔進行審核和批準；

b) 對項目資產鑒別報告、風險分析報告進行審核和批準；

c) 對需要進行的相關風險處置建議進行項目安排；

4 IP寬帶網絡安全風險管理實踐要點分析

運營商IP寬帶網絡和常見的針對以主機為核心的IT系統的安全風險管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風險管理的方法和資料。在項目執行的不同階段，需要特別注意以下要點：

4.1 安全目標

充分保證自身IP寬帶網絡及相關管理支撐系統的安全性、保證客戶的業務可用性和質量。

4.2 項目范疇

應該包含寬帶IP骨干網、IP城域網、IP接入網及接入網關設備、管理支撐系統：如網管系統、AAA平臺、DNS等。

4.3 項目成員

應該得到運營商高層領導的明確支持，項目組長應該具備管理大型安全咨詢項目經驗的人承擔，且項目成員除了包含一些專業安全評估人員之外，還應該包含與寬帶IP相關的“業務與網絡規劃”、“設備與系統維護”、“業務管理”和“相關系統集成商和軟件開發商”人員。

4.4 背景信息搜集：

背景信息搜集之前，應該對信息搜集對象進行分組，即分為IP骨干網小組、IP接入網小組、管理支撐系統小組等。分組搜集的信息應包含：

a) IP寬帶網絡總體架構

b) 城域網結構和配置

c) 接入網結構和配置

d) AAA平臺系統結構和配置

e) DNS系統結構和配置

f) 相關主機和設備的軟硬件信息

g) 相關業務操作規范、流程和接口

h) 相關業務數據的生成、存儲和安全需求信息

i) 已有的安全事故記錄

j) 已有的安全產品和已經部署的安全控制措施

k) 相關機房的物理環境信息

l) 已有的安全管理策略、規定和指南

m) 其它相關

4.5 資產鑒別

資產鑒別應該自頂向下進行鑒別，必須具備層次性。最頂層可以將資產鑒別為城域網、接入網、AAA平臺、DNS平臺、網管系統等一級資產組；然后可以在一級資產組內，按照功能或地域進行劃分二級資產組，如AAA平臺一級資產組可以劃分為RADIUS組、DB組、計費組、網絡通信設備組等二級資產組；進一步可以針對各個二級資產組的每個設備進行更為細致的資產鑒別，鑒別其設備類型、地址配置、軟硬件配置等信息。

4.6 威脅分析

威脅分析應該具有針對性，即按照不同的資產組進行針對性威脅分析。如針對IP城域網，其主要風險可能是：蠕蟲、P2P、路由攻擊、路由設備入侵等；而對于DNS或AAA平臺，其主要風險可能包括：主機病毒、后門程序、應用服務的DOS攻擊、主機入侵、數據庫攻擊、DNS釣魚等。

4.7 威脅影響分析

是指對不同威脅其可能造成的危害進行評定，作為下一步是否采取或采取何種處置措施的參考依據。在威脅影響分析中應該充分參考運營商意見，尤其要充分考慮威脅發生后可能造成的社會影響和信譽影響。

4.8 威脅可能性分析

是指某種威脅可能發生的概率，其發生概率評定非常困難，所以一般情況下都應該采用定性的分析方法，制定出一套評價規則，主要由運營商管理人員按照規則進行評價。

網絡資產安全管理范文2

關鍵詞：中小企業；電子信息；安全技術

1 電子信息安全的內涵

對于買方來說電子信息主要優點是方便快捷、操作起來比較簡單。電子信息對于賣方來說主要優點是管理比較方便并且成本較低，但是電子信息最大的缺點就是買賣雙方不能進行交流，主要是貨幣與貨品的交換，并且交易都是通過網絡進行的，之所以交易能夠順利完成，主要的原因是兩者之間存在著誠信。關于誠信主要有兩個方面的內容：有一種系統軟件在買賣的過程中起到安全保障的作用，能將虛擬的貨幣符號轉化成真實的貨幣，同時也能對交易起到保護作用，其中主要是對貨幣賬戶起到安全保障的作用。要想研究電子信息安全，首先要了解信息的內涵。信息主要是指資料、數據以及知識以不同的形式存在，在中小企業中這類信息主要是指買賣雙方的有關信息和資料，犯罪分子能通過非法的手段對電子信息中的買賣雙方采取詐騙行為，或者是通過網絡對進行入侵和盜竊。信息安全管理標準對信息做出了詳細的定義，信息也是屬于資產，與其他的資產相同，對中小企業的發展有著重要的作用，是需要法律保護的。信息安全管理標準將信息劃分為八個部分，主要包括物理資產、文檔資產、文字資產、服務資產、軟件資產、數據資產以及人力資源資產。

中小企業的電子信息主要是以網絡為載體，網絡的交流主要通過數據的傳輸得以實現，網上交易就是交流過程中的主要內容。所以，在信息安全的范疇中電子信息安全技術就成為了重點問題。關于電子信息安全技術的研究大多是關于技術的，但是對于中小企業來說，不僅要對技術進行改進，也要重視管理層，避免信息出現安全問題。

2 電子信息安全的理論

我國關于電子信息安全的研究，仍然較為落后。在國際中的關于信息安全的主要理論為：三觀安全理論、信息循環理論以及信息安全模型理論。

三觀安全理論。在中小企業的電子信息安全系統中，三觀安全理論主要將其分為三個方面的內容，即微觀、中觀以及宏觀。這個理論主要是將宏觀層面的安全理念轉化成微觀層面的管理理念，進而對服務與生產進行指導。

信息安全模型理論。信息安全模型理論是信息安全管理發展過程中的產物，信息安全模型理論主要是將人、軟件、操作以及信息系統相結合，并且全面的保護網絡信息系統。主要倡導的是一種新的安全觀念，并且提出了不能僅靠程序與軟件對系統信息安全進行保護，要注重動態保護。此外，關于電子信息安全問題不能只依賴于安全技術，也要重視管理層安全理念的創新。

電子信息的循環理論。在實施網絡信息安全的過程中電子信息的循環理論將其劃分為四個方面：計劃、執行、檢查以及改進。這四個方面是一個循環的過程，也是一個周期，在循環的過程中，將這個過程看作是一個整體的信息安全管理體制，而不是將其看成某一管理過程。

3 電子信息安全技術對加強中小企業信息安全的作用

上文所述的三個信息安全理論對中小企業的信息安全管理有著重要的作用，主要有以下幾個方面的內容。第一是信息安全領域的建設，第二是中小型企業中加強建設信息安全組織。美國信息安全研究所首次提出了信息安全領域，信息安全領域主要是指根據信息的不同保密程度創建相應的保密級別，網絡控件的安裝要結合用戶信息的不同安全級別，安全信息的選擇要適合用戶的保密級別。在中小企業中，電子信息與資料的分類系統應該有統一的部門進行管理，然后對信息進行分類，并采取不同程度的加密與保密，這類信息主要包含文檔、電子商務的相關資料以及服務等。將這些信息進行分類、保密、歸檔以及整合，有利于中小企業電子信息的調試。

對于中小企業來說，一直都存在電子信息安全性不夠的問題，這主要同企業內部安全管理不足有關，安全管理的工作缺少專業的管理，很多的小型企業并沒有統一的信息安全管理部門。企業安全管理部門的主要職能包含這幾個方面的內容：同企業人力資源管理部門相互配合共同完成工作內容，要定期的審查一些特殊崗位的員工，一旦發現有違反安全規則的情況，要重新進行審查。同時還要對員工進行保密的培訓；組織各個部門的工作，并對各個部門的工作進行協調，使企業的安全目標以及戰略得以實現；企業的安全管理部門主要是對安全問題的管理、計劃以及決策負責。也是企業的應急部門，要想避免企業信息的泄露，信息安全管理部門就必須加強對信息的管理；多聯系各個地區的信息機構以及信息安全管理部門，這樣能給企業帶來新的信息安全管理觀念以及安全技術；采取信息安全報告制，定期的向管理部門匯報信息安全的保護狀況，對于一些重要的事件要及時的匯報，取得管理層對信息安全管理工作的支持。

在網絡工程發展的同時，電子信息也得到了發展，電子信息在企業的發展中有著重要的作用，企業對其也越發的依賴電子信息。但是這只是一個虛擬的場所，主要通過網絡這個載體來完成交易，因此安全技術問題成為了企業普遍關注的問題。

[參考文獻]

[1]陳光匡，興華.信息系統安全風險評估研究[J].網絡安全技術與應用，2009（7）.

[2]向宏，艾鵬，等.電子政務系統安全域的劃分與等級保護[J].重慶工學院學報，2009（2）.

網絡資產安全管理范文3

認識網絡安全保障體系

1而目前，隨著互聯網和網絡技術的發展，對于政府或企業的信息系統來講，更是面臨著更大的風險和挑戰。這就使得更多的用戶、廠商和標準化組織都在尋求一種完善的體系，來有效的保障信息系統的全面安全。于是，網絡安全保障體系應運而生，其主要目的是通過信息安全管理體系、信息安全技術體系以及信息安全運維體系的綜合有效的建設，讓政府或企業的網絡系統面臨的風險能夠達到一個可以控制的標準，進一步保障網絡信息系統的安全穩定運行。

網絡安全保障體系是針對傳統網絡安全管理體系的一種重大變革。它依托安全知識庫和工作流程驅動將包括主機、網絡設備和安全設備等在內的不同資產和存放在不同位置中的大量的安全信息進行范式化、匯總、過濾和關聯分析，形成基于資產/域的統一等級的威脅與風險管理，并對威脅與風險進行響應和處理，該系統可以極大地提高網絡信息安全的可控性。

2網絡安全保障體系的作用。網絡安全保障體系在網絡信息安全管理中具有十分重要的作用，主要體現在如下三個方面：首先，網絡安全保障體系可以對整個網絡系統中不同的安全設備進行有效的管理，而且可以對重要的網絡通信設備資產實施完善的管理和等級保護；其次，網絡安全保障體系可以有效幫助網絡安全管理人員準確分析現有網絡信息系統所面臨的安全威脅，從而可以幫助管理人員制定合理的網絡安全應急響應流程；最后，網絡安全保障體系可以通過過對網絡風險進行量化，實現對網絡風險的有效監控和管理。

網絡安全保障體系的構建策略

1確定網絡安全保障體系構建的具體目標。網絡安全保障體系建設是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。它包括信息安全組織和策略體系兩大部分，通過信息安全治理來達到具體的建設目標。其中，信息安全的組織體系是指為了在某個組織內部為了完成信息安全的方針和目標而組成的特定的組織結構，主要包括決策、管理、執行和監管機構四部分組成；信息安全的策略體系是指信息安全總體方針框架、規范和信息安全管理規范、流程、制度的總和。

2確定適合的網絡安全保障體系構建的方法。（1）網絡安全管理基礎理論。網絡安全保障體系的安全管理方法就是通過建立一套基于有效的應用控制機制的安全保障體系，實現網絡應用系統與安全管理系統的有效融合，確保網絡信息系統的安全可靠性。（2）建立有效的網絡安全保障體系。一是網絡信息安全組織保障體系作為網絡信息安全組織、運作、技術體系標準化、制度化后形成的一整套對信息安全的管理規定，建立的網絡安全保障體系可以在完善信息安全管理與控制的流程上發揮重要作用；二是網絡信息安全技術保障體系作為網絡安全保障體系的重要支撐，有效利用訪問控制、身份鑒別、數據完整性、數據保密性等安全機制，是實現網絡安全防護的重要技術手段；三是網絡信息安全運維保障體系可以通過對網絡信息系統的安全運行管理，實現整個網絡信息系統安全監控、運行管理、事件處理的規范化，充分保障網絡信息系統的穩定可靠運行。

網絡資產安全管理范文4

關鍵詞：信息安全安全屬性安全建設

我國信息化安全建設任務非常艱巨，主要包括各種業務的社會公網、行業專網、互聯網等信息基礎設施運營、管理和服務的安全自主保障、安全監管、安全應急和打擊信息犯罪為核心的威懾體系的建設，其內容包括網絡系統安全建設、領域和企業的業務信息化安全建設、網絡內容與行為的安全建設和用戶關注的網絡安全建設等方面。這些安全建設對于不同的領域和領導層面關注的內容、對象和程度各不相同。網絡信息安全是一個完整的、系統的概念。它既是一個理論問題，同時又是一個工程實踐問題。由于互聯網的開發性、復雜性和多樣性，使得網絡安全系統需要有一個完整的、嚴謹的體系結構來保證網絡中信息的安全。

1 信息安全的定義及目標

信息的定義，從廣義上講，信息是任何一個事物的運動狀態以及運動狀態形式的變化，它是一種客觀存在。狹義的信息的含義是指信息接受主體所感覺到并能理解的東西。ISO 13335《信息技術安全管理指南》定義：信息是通過在數據上施加某此約定而賦予這此數據的特殊含義。信息是無形的，借助于信息媒體以多種形式存在和傳播，同時。信息也是一種重要資產，具有價值，需要保護。信息安全的目標是信息資產被泄露意味著保密性受到影響，被更改意味著完整性受到影響，被破壞意味著可用性受到影響。而保密性、完整性和可用性三個基本屬性是信息安全的最終目標。信息安全的保護對象包括了計算機硬件、軟件和數據。就本質而言，信息安全所針對的均是“信息”這種資源的“安全”，對信息安全的理解應從信息化背景出發，最終落實在信息的安全屬性上。

2 構建網絡信息化安全的意義

能否有效地保護信息資源，保護信息化進程健康、有序、可持續發展，直接關乎國家安危，關乎民族興亡，是國家、民族的頭等大事。沒有信息安全，就沒有真正意義上的政治安全，就沒有穩固的經濟安全和軍事安全，更沒有完整意義上的國家安全。信息安全是信息技術發展過程之中提出的課題，在信息化的大背景下被推上了歷史舞臺。信息安全不是最終目的，它只是服務于信息化的一種手段，其針對的是信息化這種戰略資源的安全，其主旨在于為信息化保駕護航。

3 網絡信息化的安全屬性

信息安全的概念與信息的本質屬性有著必然的聯系，它是信息的本質屬性所體現的安全意義。說安全屬性研究首先要從安全定義講起，安全定義分很多的層次，為什么分層次，我們隨著它的演變來看的，信息安全最初目標，叫數據安全，它關心的是數據自身，所以是一個狹義的數據安全，是保護信息自身的安全。

3.1 保密性（Confidentiality）

在傳統信息環境中，普通人通過郵政系統發信件時，為了個人隱私要裝上信封?？墒堑搅诵畔⒒瘯r代，信息在網上傳播時，如果沒有這個“信封”，那么所有的信息都是“明信片”，不再有秘密可言，這便是信息安全中的保密性需求。保密性是指信息不被泄露給非授權的用戶、實體或進程，或被其利用的特性。保密性不但包括信息內容的保密，還包括信息狀態的保密。

3.2 完整性（Integrality）

完整性是指信息未經授權不能進行更改的特性。即信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性與機密性不同，機密性要求信息不被泄露給未授權的人，而完整性則要求信息不致受到各種原因的破壞。

3.3 易用性（Availability）

易用性是信息可被授權實體訪問并按需求使用的特性。在授權用戶或實體需要信息服務時，信息服務應該可以使用，或者是信息系統部分受損或需要降級使用時，仍能為授權用戶提供有效服務。易用性一般用系統正常使用時間和整個工作時間之比來度量。

4 構建網絡信息化安全管理體系

在面向網絡信息的安全系統中，安全管理是應得到高度重視的。這是因為，據相關部門統計，在所有的計算機安全事件中，約有52％是人為因素造成的，25％是由火災、水災等自然災害引起的，技術錯誤占10％，組織內部人員作案占10％，僅有3％左右是由外部不法人員攻擊造成的。簡單歸類，屬于管理方面的原因比重高達70％以上，這正應了人們常說的“三分技術，七分管理”的箋言。因此，解決網絡與信息安全問題，不僅應從技術方面著手，更應加強網絡住所的管理工作。

好的網絡信息化安全管理體現在以下幾個方面：在組織內部建立全面的信息安全管理體系，強調信息安全是一個管理過程，而非技術過程；強調信息保密性、完整性、易用性三者在關鍵流程中運用的平衡；把信息提高到組織資產的高度，強調對組織信息資產進行價值及影響評估，對信息資產的脆弱性及其面臨的威脅進行分析，運用風險評估、風險管理手段管理信息安全，使組織風險降低到可接受的水平；從法律和最好的實踐經驗角度，實施全面的控制措施，使組織信息安全威脅的方方面面置于嚴密控制之下；強調領導在信息安全管理中的作用；強調信息安全方針在管理體系中的作用；強調對信息技術及工具的實時和有效管理；強調組織運作的連續性及業務連續性的管理；強調信息安全管理水平的不斷提高及對流程的策劃、實施、檢查和改進的過程；信息安全應該是一個以“價值”為基礎的過程，即信息安全管理應是一個有附加價值，并講究投入產出比的過程。

5 關注信息化安全服務的綜合性、高技術性和對策性特點

信息安全產業有其鮮明的特點，雖然產生于信息化和信息系統，依然與通常的IT服務有許多區別。信息化安全的基本特征是服務性的。這種服務性與一般軟件的服務性是不同的。一般應用系統或產品的服務主要是維護和培訓，通常服務是非對策性的、非動態的和比較固定的。信息化安全服務是對策性的、動態性的、不斷產生新內容的和似乎永遠不能成熟等特性。信息化安全服務范疇幾乎包括了整個信息化所包括的所有產品和系統，其服務的綜合性和復雜性是顯而易見的。信息化安全服務是最高技術的服務，無論從設計角度和使用的角度都要求深入、熟練和非常專業。我們可以驕傲地說，信息化安全服務是世界上最偉大的服務業，也是最困難的服務業。信息化安全服務的復雜性、高成本特性要求信息化安全企業必須在安全服務的遠程化和化的推進方面做出不懈努力，不斷降低服務成本。

6 結語

網絡信息安全不僅僅是一個純技術層面的問題，單靠技術因素不足以保證網絡中信息的安全。網絡信息安全還涉及到法律、管理、標準等多方面的問題。因此，信息安全是一個相當復雜的問題，只有協調好這些體系之間的關系，才能有效保證系統的安全。

參考文獻

網絡資產安全管理范文5

【關鍵詞】信息資產；管理；流程；措施

【中圖分類號】F273.4

【文獻標識碼】A

【文章編號】1672—5158（2012）10-0130-01

1　引言

信息資源是指企業生產及管理過程中所涉及到的文檔、數據以及生產和承載數據的軟硬件系統（設備）的總和。國務院頒發的《2006-2020年國家信息化發展戰略》指出：“進入21世紀，信息資源日益成為重要生產要素、無形資產和社會財富”，正式明確信息是一種資產。

信息資產是指由企業擁有或者控制的、能夠為企業帶來經濟利益的信息資源，企業信息資產具有來源渠道多、更新周期快、分布范圍廣、流轉頻率高、公私通用性強、配件調換方便等特點，因此，企業信息資產管理，既有別于傳統意義上的固定資產管理，也不同于ERP（企業資源計劃）、EAM（企業資產管理）等系統中的資產管理概念，它在具備常規企業資產管理特征的同時，更注重于資產的識別及其動態的管理，進而為ISMS（信息安全管理體系）提供準確、可靠的識別信息，為企業信息和承載信息的網絡環境、終端設備及業務應用的安全穩定運行提供基本保障。

2　信息資產管理現狀分析

隨著企業信息化水平的不斷提高，信息資產管理對信息網絡安全管理與信息系統運維管理的影響越來越大。為此，國家電網公司下發了“信息計劃（2008／37號文件”，將信息資產中的物理資產和軟件分為7大類31小類（不包括復印機、照相機、錄像機等辦公設備和移動存儲介質），要求建立包括設備序列號及各種性能參數的資產信息數據庫和設備臺賬，并定期統計、上傳信息資產報表，其目的是實現企業信息資產“賬、卡、物”一致和資產存在狀態“可控、在控、能控”，以滿足信息安全管理需要。

同時，國網公司還通過信息安全技術督查和信息網絡綜合運維監管系統，進一步加強了企業信息資產監管工作力度。盡管如此，我們的信息資產管理還是存在著制度不健全、臺賬不完整、存在狀態不清楚、報表數據不準確等問題，不能滿足企業網絡及信息安全管理需要，主要原因是：

第一，信息資產的所有權與控制權分離，管理手段落后、監管乏力。長期以來，企業信息資產一直是二級單位使用、信息部門統計、財務部門監管，實際上是二級單位在行使常用信息資產的調配控制權。資產管理、統計報表、配置審批相互脫節，管配置的不掌握資產的配置情況和用戶需求，管資產的不知道資產的存量情況和存在狀態，信息管理部門則是無法全面掌握資產的來源、數量、配置及具體使用情況。

第二，信息資產來源渠道多、配置變化快，統計報表不能真實反映企業信息資產現狀。企業信息資產除正常計劃購置外，還有工程項目配套的、業務應用系統建設附帶的、推廣應用項目配備的、工作需要特批的、主管部門下發的、其它費用變通的等等，由于沒有有效的歸口管理制度和專職信息資產管理人員，信息管理部門不能完全掌握資產來源情況，現有信息資產報表不能真實反映企業信息資產的實際情況，更不能為信息安全管理提供準確、可靠的數據保證。

第三，信息（數據庫和數據文件）管理近乎空白，企業數據資源浪費嚴重?，F行的信息資產管理還局限在物理資產（含軟件）管理的層面上，對其它資產，尤其是最為重要的資產——信息的管理，還沒有納入信息資產管理工作中。企業信息化過程中產生的大量運行數據，大都是根據業務應用情況分別存貯，作為歷史數據保存下來，并形成一個個信息孤島。業務系統升級或更新改造后，許多歷史數據沒有導入新系統，而是隨著原系統的報廢而被束之高閣，并將隨著業務管理人員的更新和時間的流逝而被遺棄。

3　規范管理信息資產的具體措施

規范信息資產管理流程、完善信息資產管理措施，是提高信息安全技術督查管理水平、提高企業信息網絡安全可靠性的基礎和保證。

3.1　健全制度、規范流程是信息資產“可控、在控、能控”的保證。

根據國網公司資產全壽命周期管理、信息系統運行維護工作規范、信息資產統計報表、信息安全督查規范等文件要求，梳理工作內容與管理流程、明確崗位職責與業務關系，建立以“信息資產數據庫”為核心、信息管理部門歸口負責、專人管理的企業信息資產管理與考核體系，明確相關部門的職責、權限和義務，確保信息資產管理部門與物資采購、財務核算、人力資源、系統運維等部門齊抓共管、密切配合，實現企業信息資產管理與“人財物集約化”、“信息網絡綜合運維監管系統”的在線聯動、信息共享。

3.2　集中管控、統一調配是信息資產臺賬準確、“賬、卡、物”一致的關鍵。

企業信息資產集中管控、歸口管理、統一調配，二級單位或個人只有使用權沒有調配權，用戶對所用資產安全負全責。作為日常辦公工具，信息資產落到個人賬上，直至達到報廢年限、履行報廢程序后，再以舊換新；使用人調換工作崗位后，所用信息資產隨人同時調轉；特殊情況需要增減配置時，必須履行簽報審批程序并按規定調配；使用人退休或調離本企業前，必須履行信息資產移交簽字程序，否則人資管理部門不得辦理退休或調離手續。

新增加的信息資產嚴格履行申報登記制度，不管是那條渠道進來的信息資產，到貨驗收單和使用分配表均須到信息資產管理部門登記造冊，保證信息資產數據庫的完整性、信息資產臺賬的準確性和“賬、卡、物”的一致性。

3.3　科學管理是降低信息網絡安全風險、提高運維水平的基礎。

信息網絡安全督察和信息系統運維管理需求的日益增長，對信息資產的管理提出了更高的要求。信息資產管理除實現資產基本特性、物理位置、管理責任的登記造冊與統計查詢外，還應該反映信息資產的邏輯位置、關聯關系、存在歷史、當前狀態、最終去向等管理屬性。只有將常規的平面管理方式提升到現代的立體管理方式，才能使信息資產管理與信息網絡安全技術管理相輔相成，從而有效降低網絡及信息安全風險、提高信息網絡運維管理水平。

3.4　數據應用是企業信息化的根本目的、是信息資產管理的更高目標。

有形資產的購置和維護需要成本，信息（數據）的獲取和存貯也需要成本。在加強物理信息資產管理的同時，加速研究、制定企業數據（數據庫和數據文件）資產的管控制度，將其與物理資產一樣管理，并通過對此類資產的開發利用，為企業創造效益。應在完成企業數據總體規劃的基礎上，規范企業數據庫內容及其管理措施；業務應用系統投入運行后，必須建立包括數據庫結構、存貯格式等屬性在內的數據管理檔案；業務應用系統升級或更新改造后，必須將原系統運行數據全部導入新系統中，保證企業數據的連續性和完整性；建立信息資產管理與企業數據的關聯關系，以提高數據檢索和查閱效率。企業數據的共享和有效利用，是企業信息化建設的根本目的，也是信息資產管理的更高目標。

4　結語

隨著全球“數字化”及“物聯網”的快速發展，國家電網公司也加快了“數字電網”和“智能化電廠”的建設步伐，企業信息資產將再次急驟增加，相應的信息安全管理和信息系統運維任務也會更加繁重。因此，建立健全信息資產管控制度，明確信息資產管理流程，強化企業數據等無形資產的管理與利用，實現信息資產管理的制度化、程序化、規范化，既是企業信息網絡安全和信息系統運維管理的需要，更是企業信息化發展和“數字電網”建設的必然。

參考文獻

[1]《國家電網公司資產全壽命周期管理評估指標體系》

[2]《關于開展國家電網公司信息系統設備（軟件）統計工作的通知》

網絡資產安全管理范文6

網絡安全的發展經歷了三個階段: 一是防火墻、防病毒與IDS(入侵檢測系統)部署的初級階段。二是隨著網絡擴大，各種業務從相互獨立到共同運營，網絡管理中出現的安全域的概念，利用隔離技術把網絡分為邏輯的安全區域，并大量使用區域邊界防護與脆弱性掃描與用戶接入控制技術，此時的安全技術分為防護、監控、審計、認證、掃描等多種體系，紛繁復雜，稱為安全建設階段。三是把各個分離的安全體系統一管理、統一運營，我們稱為安全管理階段，最典型的就是綜合性安全運營中心(Security Operation Center)SOC的建設。從這個階段開始，網絡安全開始走上業務安全的新臺階，業務連續性管理BCM(Business Continuity Management)成為業務安全評價的重點。

SOC是安全技術“大集成”過程中產生的，最初是為了解決安全設備的管理與海量安全事件的集中分析而開發的平臺，后來由于安全涉及的方面較多，SOC逐漸演化成所有與安全相關的問題集中處理中心：設備管理、配置下發、統一認證、事件分析、安全評估、策略優化、應急反應、行為審計等等。能把全部安全的信息綜合分析，統一的策略調度當然是理想的，但是SOC要管理的事如此之多，實現就是大難題?；诓煌睦斫?，市場出現的各種SOC也各取所長，有風險評估為基礎的TSOC，有策略管理的NSOC，有審計為主的ASOC，還有干脆是安全日志分析為主的專用平臺。

各種SOC特點各異，但都是圍繞安全管理的過程來進行的，對應了安全事件管理的事前、事中、事后三個階段，事前重點是防護措施的部署，排兵布陣；事中是安全的監控與應急響應，對于可以預知的危險可以防護，但對于未知的危險只能是監控，先發現再想辦法解決；事后是對安全事件的分析與取證，對于監控中沒有報警的事件的事后分析。由此SOC的功能發展延伸為下面三個維度：

安全防護管理: 負責安全網絡設備的管理與基礎安全體系的運營。是安全事件出現前的各種防護管理，其鮮明的特征就是制定的各種安全策略并下發到相關的安全設備。

監控與應急調度中心: 對安全事件綜合分析，根據威脅程度進行預警，并對各種事件做出及時的應對反應。

審計管理平臺: 事件的取證與重現、安全合規性審計、數據的統計分析、歷史數據的挖掘。安全的審計安全管理的事后“總結”，也是安全防護的依據。如圖所示。