序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇安全保障管理策略范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

關(guān)鍵詞：檔案安全；保障體系；研究綜述

2010年5月12日，國家檔案局楊冬權(quán)局長在全國檔案安全系統(tǒng)建設(shè)工作會議上提出“建立確保檔案安全保密的檔案安全體系，全面提升檔案部門的安全保障能力”的號召，把檔案安全的重要性提升到一個新高度。[1]近年來，檔案安全保障體系研究已引起學界的關(guān)注，成為較熱的一個研究課題。我們課題組也在做檔案安全保障體系的研究，筆者期望對學者以往的研究做以歸納提煉，以資研究探索。

筆者于2011年12月22日，在萬方數(shù)據(jù)庫中，以“檔案安全保障體系”為檢索詞，起始年“2000”，結(jié)束年“2011”檢索到論文84篇。在維普中文科技期刊數(shù)據(jù)庫搜索到與“檔案安全保障體系”相關(guān)內(nèi)容論文20篇，筆者對其中相關(guān)度較高的文章進行了分析研究，綜述如下：

1 檔案安全保障體系的內(nèi)涵

檔案安全保障體系的建設(shè)具有持續(xù)性、多樣化、可完善性等特點，是一項復雜的系統(tǒng)工程。構(gòu)建檔案安全保障體系的前提是分析檔案安全保障體系的理論定位與實際應用的關(guān)系。

張美芳、王良城認為，目前，國內(nèi)外關(guān)于檔案安全保障體系的理解大致有三層含義：其一，控制環(huán)境，降低風險。這里的“環(huán)境”，是指檔案保管環(huán)境、物理環(huán)境、社會環(huán)境、信息存儲環(huán)境等，降低環(huán)境因素對檔案安全的影響，最大可能降低風險。其二，建立安全保障平臺，采取安全防護措施，使檔案盡可能保持穩(wěn)定狀態(tài)。其三，對已經(jīng)處于不安全環(huán)境中的檔案，采取各種措施使其達到新的穩(wěn)定狀態(tài)，保存其信息的可讀、可用和可藏。這三層含義包括檔案安全保障體系中社會因素、管理體制、組織體系、策略、政策法規(guī)、安全保障技術(shù)或安全保護效果的評價等較為宏觀的要素。[2]

2 檔案安全保障體系的構(gòu)建目標和指導思想

2.1 構(gòu)建目標。彭遠明認為，檔案安全保障體系建設(shè)的總體目標是：針對檔案的安全需求、管理現(xiàn)狀和存在問題進行安全風險分析，提出解決方案和預期目標，制定安全保護策略，形成集預測、保管、利用、搶救一體化的保障體系。[3]楊安蓮認為，檔案安全保障體系的構(gòu)建目標應該是：采取全面、科學、系統(tǒng)的安全保障策略，保證檔案信息的安全性、完整性和可用性，杜絕敏感信息、秘密信息和重要數(shù)據(jù)的泄密隱患，確保檔案信息的全面安全。[4]

2.2 指導思想。彭遠明認為，構(gòu)建檔案安全保障體系的指導思想是：在體系內(nèi)合理進行安全區(qū)域劃分，以應用和實效為主導，管理與技術(shù)為支撐，結(jié)合法規(guī)、制度、體制、組織管理，明確等級保護實施辦法，確保檔案的安全。[5]張美芳、王良城認為，檔案安全保障體系建設(shè)的指導思想應是：堅持嚴格保護、有效管理、分類指導、合理利用，以健全法律法規(guī)、提高人員素質(zhì)、加強規(guī)劃管理、完善基礎(chǔ)條件、強化監(jiān)管手段為重點，立足當前，著眼長遠，加快體制機制創(chuàng)新，加強統(tǒng)籌協(xié)調(diào)，全面增強檔案資源保護力度，推動我國檔案事業(yè)持續(xù)健康發(fā)展。[6]

3 檔案安全保障體系的建設(shè)原則

檔案安全保障體系的構(gòu)建應該根據(jù)檔案安全現(xiàn)狀及其面臨的威脅與隱患，從檔案安全保障工作的整體和全局的視角進行規(guī)范，在構(gòu)建過程中應該遵循一定的原則。彭遠明、張艷欣、楊安蓮、黃昌瑛、張勇等都提出了檔案安全保障體系的建設(shè)原則，筆者采用統(tǒng)計歸納的方法，從中提煉出以下共性原則：

3.1 標準規(guī)范原則。檔案安全保障體系的建構(gòu)和策略的選擇必須符合我國現(xiàn)行法律、法規(guī)的規(guī)定要求，必須遵循國際、國家的相關(guān)標準，嚴格遵照相關(guān)規(guī)章制度。[7][8]

3.2 科學實用原則。檔案安全保障體系應在充分調(diào)查研究的基礎(chǔ)上，以檔案安全風險分析結(jié)果為依據(jù)，探尋有針對性的特色理論，制定出科學的防范措施與方法，這些理論、措施與方法應當在實踐層面上具有可操作性。[9][10][11]

3.3 全面監(jiān)控原則。檔案安全保障工作是一個系統(tǒng)工程，需要對各個環(huán)節(jié)進行統(tǒng)一的綜合考慮、規(guī)劃和構(gòu)架，任何環(huán)節(jié)的安全缺陷都會造成對檔案安全的威脅。[12]

3.4 適度經(jīng)濟原則。根據(jù)檔案的等級決定建立什么水平的防范體系，根據(jù)風險評估和各單位的財力、物力決定資金投入的多少及如何分配使用資金，將資金用在最迫切的地方。既要考慮到系統(tǒng)的可操作性，又要保證安全保密機制的規(guī)模與性能滿足需要，實現(xiàn)安全保護效率與經(jīng)濟效益兼顧。[13][14][15]

3.5 動態(tài)發(fā)展原則。檔案安全保障體系的建設(shè)是一個長期的不斷完善的過程，所以，該體系要能夠隨著安全技術(shù)的發(fā)展、外部環(huán)境的變化、安全目標的調(diào)整，不斷調(diào)整安全策略，改進和完善檔案安全的方法與手段，應對不斷變化的檔案安全環(huán)境。[16][17][18][19]

3.6 自主創(chuàng)新原則。加強檔案安全保障方面的關(guān)鍵技術(shù)的研發(fā)，密切跟蹤國際先進技術(shù)的發(fā)展，提高自主創(chuàng)新能力，努力做到揚長避短，為我所用。[20][21]

4 構(gòu)建檔案安全保障體系的方案設(shè)計分析

許多學者對檔案安全保障體系的建設(shè)方案提出了自己的設(shè)想，他們從不同的角度切入問題，得出不同的結(jié)論，筆者根據(jù)學者的研究成果，總結(jié)出一套較為完善的檔案安全保障體系方案。

4.1 安全管理理論。理論從實踐中取得并能指導實踐，為實踐指明前進的方向。在先進理論的指導下，實踐往往能取得較好的成果，理論水平的高低因此也往往預示著現(xiàn)實中該領(lǐng)域的水平高低。

4.1.1 前端控制。前端控制思想具體到安全保障活動中是：檔案安全保障的標準化的建設(shè)與應用；為開展安全保障活動而制定的計劃方案、普查活動；人員配置合理和技術(shù)力量的前期儲備、設(shè)備的選擇和環(huán)境的控制、整個預防性安全保障活動的監(jiān)督、檢查和評估；為妥善保管檔案而選擇的裝具、包裝等；事先制訂的應急預案、搶救預案，等等。[22]

4.1.2 全程管理。全程管理是伴隨著檔案的生命周期而開展的一切安全保障管理活動。[23]包括日常維護、災難備份、利用與服務(wù)、恢復與搶救、質(zhì)量檢查與評估、風險預測，等等。[24]

4.1.3 后期監(jiān)督。后期監(jiān)督包括安全保障活動的評估、人員技術(shù)水平的評估、財政結(jié)算、開展安全保障活動后的總結(jié)報告、制度、規(guī)范或標準的完善、提供參考性的開展安全保障活動的經(jīng)驗、方法或模式。[25]

4.1.4 風險管理。構(gòu)建檔案安全的風險管理機制，依次進行安全風險計劃制訂、風險評估、風險控制、風險報告以及風險反饋。通過評估風險，識別判定風險大小，判定每種風險相對的檔案安全保護對策，并通過一定的方式方法進行風險控制，規(guī)避、轉(zhuǎn)移或降低風險對檔案造成的損害。[26][27]

4.1.5 人才教育培養(yǎng)。樹立科學的人才培養(yǎng)觀，建立科學合理的檔案安全人才培養(yǎng)體系，建立系統(tǒng)的人才資源培訓和貯備機制，加大人才培養(yǎng)的力度。[28]做到“有計劃、有重點、分層次、分類型、多形式、多途徑”地開展檔案安全人才的教育和培養(yǎng)。[29]

4.2 安全基礎(chǔ)設(shè)施

4.2.1 實體安全基礎(chǔ)設(shè)施。檔案實體安全基礎(chǔ)設(shè)施是指維護檔案安全、實施檔案正常管理、保障檔案開發(fā)利用，提供為全社會方便服務(wù)等工作而進行的基礎(chǔ)建設(shè)，包括檔案保管環(huán)境、檔案存儲設(shè)施、檔案利用設(shè)備、檔案維護監(jiān)控設(shè)備、檔案搶救與恢復設(shè)施等。[30]

4.2.2 信息安全基礎(chǔ)設(shè)施。檔案信息安全基礎(chǔ)設(shè)施是為信息安全服務(wù)的公共設(shè)施，為檔案部門的安全保障體系建設(shè)提供支撐和服務(wù)，主要包括：檔案信息系統(tǒng)PKI（網(wǎng)絡(luò)信任體系）、檔案信息災備中心、檔案信息系統(tǒng)應急響應支援中心、檔案信息安全測評認證中心、檔案信息安全服務(wù)中心（外包服務(wù)）、檔案信息安全執(zhí)法中心等。[31]

4.3 安全策略

4.3.1 實體安全策略。實體安全必須具備環(huán)境安全、設(shè)備安全和介質(zhì)安全等物理支撐環(huán)境，注重環(huán)境防范、設(shè)備監(jiān)控、介質(zhì)管理、技術(shù)維護等安全措施的完善，消除安全隱患，確保檔案安全。[32]

4.3.2 管理安全策略。針對檔案安全的管理需求，在完善人員管理、資源管理、利用服務(wù)、重點部位維護、災害防范、突發(fā)事件應急處置、專業(yè)人才教育培訓的基礎(chǔ)上，建立健全安全管理機制和制度，并結(jié)合管理技術(shù)，形成一套比較完備的檔案安全管理保障體系。[33][34]

4.3.3 網(wǎng)絡(luò)系統(tǒng)安全策略。強化操作系統(tǒng)、數(shù)據(jù)庫服務(wù)系統(tǒng)的漏洞修補和安全加固，對關(guān)鍵業(yè)務(wù)的服務(wù)器建立嚴格的審核機制；合理劃分安全域及邊界，建立有效的訪問控制制度；通過實施數(shù)據(jù)源隱藏，結(jié)構(gòu)化和縱深化區(qū)域防御消防黑客入侵、非法訪問、系統(tǒng)缺陷、病毒等安全隱患，保證檔案系統(tǒng)的持續(xù)、穩(wěn)定、可靠運行。[35][36][37]

4.4 安全技術(shù)。技術(shù)是影響檔案安全的關(guān)鍵因素，檔案安全技術(shù)是多方面、多層次的，包含預防、保護、修復和維護等技術(shù)，可以有效保證檔案安全。

4.4.1 基于實體的保護技術(shù)。主要有：①各類檔案載體的管理與保護技術(shù)；②檔案損壞的測試與評估技術(shù)；③受損檔案的修復技術(shù)。[38]

4.4.2 基于環(huán)境的防護技術(shù)。主要有：①庫房建筑標準與圍護結(jié)構(gòu)功能的設(shè)計、施工和實施；②檔案保管的設(shè)備設(shè)施和有效裝具；③檔案庫房和利用環(huán)境的監(jiān)測技術(shù)；④溫濕度調(diào)節(jié)與控制技術(shù)；⑤有害因素的控制和防護技術(shù)。[39]

4.4.3 基于信息的安全技術(shù)。主要有：①系統(tǒng)安全技術(shù)：操作系統(tǒng)安全和安全審計技術(shù)等；②數(shù)據(jù)安全技術(shù)：數(shù)據(jù)加密技術(shù)、應急響應技術(shù)、數(shù)據(jù)備份與容災技術(shù)、基于內(nèi)容的信息安全技術(shù)和數(shù)據(jù)庫安全技術(shù)等；③網(wǎng)絡(luò)安全技術(shù)：防火墻技術(shù)、防病毒技術(shù)、漏洞掃描技術(shù)、入侵檢測技術(shù)、物理隔離技術(shù)、服務(wù)技術(shù)、網(wǎng)絡(luò)監(jiān)控技術(shù)和虛擬網(wǎng)技術(shù)等；④用戶安全技術(shù)：身份認證技術(shù)、數(shù)字簽名技術(shù)和訪問控制技術(shù)等。[40]

4.4.4 基于災害的保護技術(shù)。主要有：①災害的預警與防范技術(shù)；②檔案災害的應急處置技術(shù)；③檔案次生危害的防范技術(shù)；④災后受損檔案的搶救與恢復技術(shù)。[41]

4.5 安全法規(guī)制度。完善的檔案安全法律法規(guī)和制度是保障檔案安全的基石，只有不斷制定和完善檔案安全法規(guī)制度，才能做到有法可依、違法必究，才能更好地維護檔案的安全。[42]

4.5.1 制定并遵循法規(guī)標準。各地方應根據(jù)國家標準，結(jié)合本地區(qū)、本系統(tǒng)、本單位的具體情況，制定相應的規(guī)范和標準，以使檔案安全管理規(guī)范化和標準化。[43]

4.5.2 建立健全檔案安全管理制度。包括：檔案歸檔安全制度、檔案整理安全制度、檔案查閱利用安全制度、檔案日常管理維護制度、檔案保密制度、檔案信息安全管理制度、檔案鑒定和銷毀制度、檔案資料出入庫管理制度以及重要檔案異地、異質(zhì)備份制度；[44]受損檔案搶救制度、電子檔案信息安全制度以及檔案安全行政責任制等。

4.5.3 建立完善檔案安全管理機制。包括：信息交換機制、法律保障機制、日常防范機制、災害預警機制、應急處置機制、[45]組織建設(shè)機制、制度建設(shè)機制、風險管理機制、人員管理機制等。

4.6 安全保護效果評價。對檔案安全保障體系評價的目的，是對檔案安全保障體系的有效性進行評估。[46]首先，確定待評價系統(tǒng)的范圍，選擇適當?shù)脑u價方法，確定適當?shù)脑u價指標。然后，收集有關(guān)數(shù)據(jù)進行統(tǒng)計分析，得出評價結(jié)果，再進行持續(xù)改進，以不斷提高檔案安全保障體系及其具體過程中的有效性和效率。[47]

4.6.1 評價方法。根據(jù)被評價對象本身的特性，在遵循客觀性、可操作性和有效性原則的基礎(chǔ)上選擇合適的評價方法。目前，存在的綜合評價方法有：屬性融為一體評價方法、模糊綜合評價方法、基于灰色理論的評價方法、基于粗糙集理論的評價方法。[48]

4.6.2 評價指標。根據(jù)國內(nèi)外的檔案安全評估標準，國家對檔案安全的基本要求，綜合考慮影響檔案安全的各種因素，建立檔案安全評價指標體系。包括：①物理安全評價指標：環(huán)境安全評價、設(shè)備安全評價、載體安全評價；[49]②管理安全評價指標：規(guī)章制度評價、工作流程評價、管理措施評價、業(yè)務(wù)技術(shù)評價；③技術(shù)安全評價指標：保護技術(shù)評價、網(wǎng)絡(luò)技術(shù)評價。[50]

5 結(jié)語

縱觀學者對檔案安全保障體系的研究，研究角度和切入點各有不同，觀點紛呈，但還是缺乏深入、系統(tǒng)的研究，有待于我們進一步思考、探討。

注：本文是河南省檔案局科技項目《檔案安全保障體系現(xiàn)狀調(diào)查》（項目編號：2011-B-51）階段性成果之一。

參考文獻：

[1]張照余.對建設(shè)檔案安全保障體系的幾點認識[J]. 浙江檔案，2011（1）：36～39.

[2][6][24]張美芳，王良城.檔案安全保障體系建設(shè)研究[J].檔案學研究，2010（1）：62～65.

[3][5][7][33][41]彭遠明.檔案安全保障體系構(gòu)建及其實現(xiàn)策略研究[J].上海檔案，2011（4）：14～17.

[4][12][15]楊安蓮.論電子文件信息安全保障體系的構(gòu)建[J].檔案學研究，2010（10）：75～78.

[8] [13] [17]張艷欣.檔案安全保障管理機構(gòu)的構(gòu)建[J].檔案管理，2010（5）：7～9.

[9][14][16][29]王茹熠.數(shù)字檔案信息安全防護對策分析[D].哈爾濱：黑龍江大學，2009.

[10 ][18][19]黃昌瑛.電子檔案信息安全保障策略研究[D]. 福州：福建師范大學，2007.

[11][20][21]張勇.數(shù)字檔案信息安全保障體系研究[D].蘇州：蘇州大學，2007.

[22][23][25]張美芳，董麗華，金彤.檔案安全保障體系的構(gòu)建[J].中國檔案，2010（4）：20～21.

[26]陳國云.從風險管理的視角探討電子文件安全管理問題[J].北京檔案，2008（6）：16～18.

[27]張迎春.檔案安全保障體系研究[D].安徽大學，2011

[28]方國慶.數(shù)字檔案信息安全保障體系建設(shè)中的問題與策略[J].機電兵船檔案，2010（5）：59～61.

[30]王良城.檔案安全保障體系建設(shè)基本任務(wù)探析[J].中國檔案，2010（4）：18～19.

[31] [40]項文新.檔案信息安全保障體系框架研究[J].檔案學研究，2010（2）：68～73.

[32][38]許桂清，李映天.檔案信息安全保障體系的建設(shè)與思考[J].檔案學研究，2010（3）：54～58.

[34]冉君宜.抓好“五個必須”構(gòu)建檔案安全保障體系[J].辦公室業(yè)務(wù)，2010（9）：55～56.

[35]陳慰湧，金更達.數(shù)字檔案館系統(tǒng)安全策略研究[J].浙江檔案，2008（7）：21～24.

[36]王凡，朱良兵.檔案安全保障體系建設(shè)實踐[J].貴州水力發(fā)電，2010（12）：76～78.

[37]周向陽.電子檔案信息安全保障體系建設(shè)的研究[J].機電兵船檔案，2010（5）：64～66.

[39]金玉蘭.關(guān)于加強檔案安全保障體系建設(shè)的思想[J].北京檔案.2010（8）：22～23.

[42]曹書芝.網(wǎng)絡(luò)背景下檔案信息的安全保障[J].蘭臺世界，2006（5）：2～3.

[43]宗文萍.基于價值鏈理論的檔案信息安全管理[J].檔案學研究，2005（1）：38～42.

[44]楊冬權(quán).以豐富館藏、提高安全保障能力和公共服務(wù)能力為重點，實現(xiàn)檔案館事業(yè)跨越——在全國檔案館工作會議上講話[J].檔案學研究，2009（6）：23～29.

[45]卞咸杰.論檔案信息安全保障機制的建立與完善[J].2007（6）：18～20.

[46][50]方婷，吳雁平.檔案安全保障指標體系建設(shè)研究[J].檔案管理，2011（6）：12~15.

[47]田淑華.電子檔案信息安全管理研究[D].太原：中北大學,2009.

篇(2)

關(guān)鍵詞：計算機；信息系統(tǒng)安全；現(xiàn)狀

計算機信息系統(tǒng)的安全，關(guān)乎使用者的信息隱私，對企業(yè)而言關(guān)乎企業(yè)經(jīng)濟發(fā)展，在當前的計算機信息系統(tǒng)的應用下，加強信息系統(tǒng)的安全保障工作就顯得格外重要。計算機信息系統(tǒng)的安全問題比較多樣，對使用者的信息安全有著很大威脅，通過從理論上對計算機信息系統(tǒng)安全防范措施的分析研究，就能從理論上對解決計算機信息系統(tǒng)安全提供支持，更好的促進計算機信息系統(tǒng)的作用發(fā)揮。

1計算機信息系統(tǒng)安全類型以及影響因素分析

1.1計算機信息系統(tǒng)安全類型分析

計算機信息系統(tǒng)安全有著諸多類型，其中在計算機的實體安全方面，主要就是信息安全以及網(wǎng)絡(luò)傳輸安全和軟硬件安全層面。從信息安全層面就是對信息的完整性以及保密性和可用性的安全保障。在網(wǎng)絡(luò)傳輸安全層面，由于計算機網(wǎng)絡(luò)種類多，比較容易出現(xiàn)信息傳輸中的安全問題，對網(wǎng)絡(luò)傳輸?shù)陌踩靡员ＷC也比較重要[1]。再有就是計算機軟硬件的安全，硬件時計算機信息系統(tǒng)的運行載體，在硬件的安全保障方面加強就比較重要。而軟件的安全就是在操作系統(tǒng)方面的應用安全性以及管理安全性的保障。計算機信息系統(tǒng)安全類型中的使用者安全內(nèi)容上，也是對系統(tǒng)安全保障的重要方法。主要就是計算機信息系統(tǒng)使用者的安全意識以及安全技術(shù)和法律意識的內(nèi)容，在這些層面得到了加強，對計算機信息系統(tǒng)的安全性也能有效保障。在當前的計算機使用者安全的現(xiàn)狀亟需改善，一些信息亂改以及亂拷貝的問題還比較突出[2]。在使用者的安全層面加強保障，對計算機信息系統(tǒng)安全就能有效保障。計算機信息系統(tǒng)的安全類型中的運行安全也比較重要。計算機運行的安全就是對信息的正確處理，以及對系統(tǒng)功能的充分發(fā)揮，保障計算機信息的安全性。在計算機運行安全方面涉及的內(nèi)容也比較多，其中的風險管理以及審計跟蹤和應急處理等管理都是比較重要的內(nèi)容。例如在風險管理層面，就是對計算機信息系統(tǒng)的安全防護的重要舉措，對計算機信息系統(tǒng)可能遇到的安全風險問題加以防御。

1.2計算機信息系統(tǒng)安全影響因素分析

影響計算機信息系統(tǒng)安全的因素表多樣，其中病毒是對計算機信息系統(tǒng)的安全有著直接影響的因素。計算機病毒自身有著潛伏性以及和迅速傳播的特性，對計算機信息系統(tǒng)的安全有著很大威脅，計算機病毒的出現(xiàn)會造成信息系統(tǒng)的癱瘓，造成信息數(shù)據(jù)的丟失，對整個網(wǎng)絡(luò)系統(tǒng)的安全性也有著很大威脅。計算機病毒自身的潛伏性比較突出，會依附在程序上以及軟件當中，在計算機信息系統(tǒng)的運行中，會不斷的擴大化，造成計算機信息系統(tǒng)的癱瘓，影響計算機的正常使用[3]。計算機信息安全系統(tǒng)的影響因素還體現(xiàn)在軟硬件漏洞上。系統(tǒng)的應用過程中，不管是計算機軟件還是計算機硬件，都會存在著一些漏洞，這些漏洞就是不法分子攻擊的突破口，一些黑客對計算機信息系統(tǒng)漏洞的利用，對系統(tǒng)進行破壞，竊取系統(tǒng)信息等。嚴重的會對整個網(wǎng)絡(luò)服務(wù)器造成癱瘓，對計算機用戶自身的利益有著嚴重損害。在不同計算機軟硬件的系統(tǒng)設(shè)置都會存有不同漏洞，這也是計算機信息系統(tǒng)安全的重要影響因素，對這些影響因素加以及時消除就顯得比較重要。計算機信息安全的影響因素還體現(xiàn)在人為層面。在受到人為因素的影響下，對計算機信息系統(tǒng)安全也會造成很大威脅。一些計算機用戶在安全意識上不強，對計算機系統(tǒng)的應用沒有注重安全設(shè)置，沒有對系統(tǒng)設(shè)置訪問權(quán)限，這就比較容易受到黑客的攻擊。在操作過程中的不慎，也會造成信息數(shù)據(jù)的丟失等[4]。這與這些層面的計算機信息系統(tǒng)安全問題，就要充分重視，對這些影響因素詳細分析，找到針對性的應對措施。

2計算機信息系統(tǒng)安全策略特征以及設(shè)計范圍及原則

2.1計算機信息系統(tǒng)安全策略特征體現(xiàn)分析

計算機信息系統(tǒng)的安全防范就要注重策略的科學制定，在安全策略的制定方面有著鮮明特征。安全策略實對計算機信息系統(tǒng)安全問題應對的重要舉措，在安全策略的完整性以及確定性和有效性特征上比較突出。在策略的整體性安全特征上比較重要，在對計算機信息系統(tǒng)設(shè)備的安全保障以及數(shù)據(jù)信息的安全保障和互聯(lián)網(wǎng)的安全等，都是比較重要的保護內(nèi)容[5]。在安全策略當中的確定性特征就是對安全隱患的防范要能確定，而有效性就是安全策略的制定要能有效的防范實際中的信息系統(tǒng)安全問題。

2.2計算機信息系統(tǒng)安全策略設(shè)計范圍分析

計算機信息系統(tǒng)的安全策略設(shè)計要注重范圍的有效把握，多方面結(jié)合將安全策略的完善性得以呈現(xiàn)。在對計算機信息系統(tǒng)的物理安全策略以及網(wǎng)絡(luò)安全策略和數(shù)據(jù)備份策略等，都要能和實際安全現(xiàn)狀相結(jié)合，在范圍上盡量的擴大化，只有這樣才能有助于計算機信息系統(tǒng)的安全保障。

2.3計算機信息系統(tǒng)安全策略設(shè)計原則分析

對計算機信息系統(tǒng)的安全策略設(shè)計過程中，要遵循相應的原則，只有如此才能真正有助于信息系統(tǒng)的安全保障。在對安全信息策略制定中，對先進網(wǎng)絡(luò)技術(shù)科學應用就要注重，還要重視對用戶自身的安全風險評估分析，對安全機制的選擇科學化，然后和技術(shù)應用相結(jié)合，從而形成全面的安全防范系統(tǒng)。在計算機信息系統(tǒng)安全策略設(shè)計中，在安全管理層面要加強重視，在計算機網(wǎng)絡(luò)使用中的安全管理辦法要完善，在對內(nèi)外部的管理都要進行全面加強，并要在對安全審計以及跟蹤體系加強建設(shè)，對網(wǎng)民的安全意識進行加強。從法律層面進行完善制定，做好計算機信息系統(tǒng)安全保障的后盾。

3計算機信息系統(tǒng)安全防范的策略和技術(shù)應用探究

3.1計算機信息系統(tǒng)安全防范的策略分析

第一，計算機運行環(huán)境的安全策略實施。計算機信息系統(tǒng)的安全防范措施制定要多樣化，其中的環(huán)境安全方面就比較重要。也就是對計算機的軟硬件的運行環(huán)境安全性要能加以保障，從具體的方法實施上，就要注重計算機的放置地點以及設(shè)施的結(jié)構(gòu)完善化，滿足實際應用需求。在計算機設(shè)備的放置地點要進行審查，要給計算機設(shè)備有足夠的擺放空間，具備多個入口以及安全出口，在對環(huán)境的防護設(shè)備層面，對信息的存放安全房間加以明確化。在空調(diào)調(diào)節(jié)系統(tǒng)的安全性上要加以保障，這就需要從計算機系統(tǒng)的運行溫度上以及濕度和潔凈度層面加強考慮。計算機系統(tǒng)運行中，有諸多的元器件都有熱量散發(fā)，高溫或者低溫對計算機系統(tǒng)元器件會帶來損害，所以在溫度控制上要充分重視，以及在濕度控制方面要加強，并要保持設(shè)備的潔凈度以及機房的潔凈度等[6]。還要注重防火機制的完善實施，對電源和供電的標準化要得以保證。第二，計算機數(shù)據(jù)備份策略實施。對計算機數(shù)據(jù)備份策略的實施，就要對回避儲存風險加以重視，以及在數(shù)據(jù)分類方面妥善處理，對業(yè)務(wù)數(shù)據(jù)以及關(guān)鍵系統(tǒng)數(shù)據(jù)的保護加強重視，在數(shù)據(jù)備份中可將網(wǎng)絡(luò)備份系統(tǒng)加以應用，通過集中式管理以及全自動備份和數(shù)據(jù)庫備份、恢復等方法的應用，都能對數(shù)據(jù)信息的安全性得以保障。還可對備份軟件加以應用，這樣也能有效保障數(shù)據(jù)信息的完整性。第三，計算機數(shù)據(jù)安全策略實施。計算機信息系統(tǒng)的安全保障方面，在數(shù)據(jù)信息的加密策略實施層面比較重要，在數(shù)據(jù)信息的加密過程以及被加密數(shù)據(jù)處理上要加強重視，數(shù)據(jù)信息加密后要保證不能從系統(tǒng)再進行讀取，對數(shù)據(jù)加密策略的編寫中，不要涉及太多的細節(jié)，信息數(shù)據(jù)的加密處理，對語言的簡單易懂要充分重視，避免采用高技術(shù)詞匯。在信息數(shù)據(jù)的加密策略實施中，主要對普通文件的日常保存以及歸納存檔和存儲轉(zhuǎn)移，數(shù)據(jù)信息的加密可結(jié)合信息的重要度來選擇加密方式。

3.2計算機信息系統(tǒng)安全防范技術(shù)應用

第一，防火墻技術(shù)的應用。對計算機信息系統(tǒng)安全防范技術(shù)應用，就要注重多方面技術(shù)應用。在對防火墻技術(shù)應用層面就要科學化，這是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)以及信息安全技術(shù)基礎(chǔ)上的安全防范技術(shù)。防火墻技術(shù)的應用，主要是設(shè)置在不同網(wǎng)絡(luò)的技術(shù)，是不用網(wǎng)絡(luò)以及安全域間信息唯一出入，在防火墻技術(shù)應用下就有著比較強的抗攻擊能力，安全信息系統(tǒng)的防護作用上比較突出，能對內(nèi)部網(wǎng)絡(luò)安全得以保障。在防護墻技術(shù)應用下，能將所有安全軟件配置在防火墻上，從而有效對網(wǎng)絡(luò)存取以及訪問實施監(jiān)控審計。第二，入侵檢測技術(shù)的應用。計算機信息系統(tǒng)安全防范方面，在入侵檢測技術(shù)的應用上就能發(fā)揮積極作用。入侵檢測技術(shù)的應用對計算機信息系統(tǒng)運行的安全保障比較突出，能對一些可疑的程序進行檢測，并進行攔截，對計算機的信息系統(tǒng)安全性保障有著積極作用。第三，網(wǎng)絡(luò)加密技術(shù)的應用。計算機信息系統(tǒng)安全防范技術(shù)的網(wǎng)絡(luò)加密技術(shù)應用比較重要，在替代密碼以及置換密碼是常規(guī)加密中的基本加密形式。若計算機網(wǎng)絡(luò)傳輸過程中明文為caesarcipher,那么密文對應為FDHVDUFLSKHU，明文與密文總是相差三個字符，為增加替代密碼的破譯難度，可適當增加明文密文的解鎖過程，進行多級加密。通過網(wǎng)絡(luò)加密技術(shù)的應用，對信息的安全以及傳輸安全就能起到保障作用。第四，脈沖編碼調(diào)制技術(shù)的應用。計算機信息系統(tǒng)安全保護中，在脈沖編碼調(diào)制技術(shù)的應用方面，進行模擬傳輸數(shù)據(jù)的波形在信道實施波形編碼后，對時間以及取值離散信號波形，如抽樣信號的頻率范圍設(shè)定為fm，在現(xiàn)行的系統(tǒng)抽樣頻率為2.0fm，大約是6000Hz，所以只有當信號頻率f≥2.0fm，才能對信息數(shù)據(jù)準確讀取。當前采用的是二進制編碼的方式，在對8位的PCM編碼的應用下，就能提高信息的安全保障。

4結(jié)束語

綜上所述，計算機信息系統(tǒng)的安全問題在當前已經(jīng)比較突出，加強計算機信息系統(tǒng)的安全保障就顯得比較重要。在對計算機信息系統(tǒng)安全的策略以及相應技術(shù)的研究分析下，就能為實際的計算機信息系統(tǒng)安全保障起到理論支持作用，希望能通過此次研究分析，對實際的計算機信息系統(tǒng)安全保障起到積極促進作用。

參考文獻

[1]邵芳.計算機信息安全存儲與利用的淺談[J].電子世界,2014(9).

[2]梁國權(quán).淺談計算機系統(tǒng)安全與計算機網(wǎng)絡(luò)安全[J].黑龍江科技信息,2014(35).

[3]曹壽慕.計算機信息安全的新特點[J].吉林省教育學院學報:學科版,2015(10).

[4]劉永波,譚凱諾.計算機系統(tǒng)安全綜述[J].中國高新技術(shù)企業(yè),2014(1).

[5]郭輝,孫國春,于秋水.計算機網(wǎng)絡(luò)的安全性分析[J].網(wǎng)絡(luò)與信息,2015(8).

篇(3)

關(guān)鍵詞：計算機技術(shù)；電子政務(wù)；安全保障

1電子政務(wù)發(fā)展及建設(shè)問題分析

從概念上來說，電子政務(wù)是政府在其進行社會管理和社會服務(wù)過程中使用計算機信息技術(shù)，超越政府各部門之間的職能和時空的界限和制約，目的是能夠達到促使政府政務(wù)的公平公正、高效廉潔、為民眾提供更加優(yōu)質(zhì)的服務(wù)。我國電子政務(wù)系統(tǒng)的雛形始于1993年，是伴隨著計算機信息技術(shù)的發(fā)展而出現(xiàn)的。隨著計算機技術(shù)的迅速發(fā)展，政府門戶網(wǎng)站、政府信息服務(wù)平臺等新興的電子政務(wù)形式也逐漸得到了應用。目前，基于計算機信息技術(shù)的電子政務(wù)系統(tǒng)的完善和創(chuàng)新是政府改革過程中的重要內(nèi)容。但在電子政務(wù)實施與發(fā)展過程中還存在著許多問題，如政府部門對電子政務(wù)系統(tǒng)建設(shè)的重視程度不高、專職工作人員自身素質(zhì)不高、電子政務(wù)系統(tǒng)的制度化管理不完善等，以及電子政務(wù)系統(tǒng)的安全保護技術(shù)不到位等。

（1）安全保障制度不健全。政府部門在對電子政務(wù)系統(tǒng)安全保障管理制度不健全、管理不到位，在電子政務(wù)系統(tǒng)建設(shè)維護時缺乏制度化的管理措施。而且，基于計算機信息技術(shù)電子政務(wù)的信息安全保障工作缺乏信息安全認證機制，非工作人員隨意進入網(wǎng)站機房或者利用用戶口令進入到網(wǎng)站系統(tǒng)當中。這些制度上的缺失導致信息技術(shù)的安全保障工作難度增大，難以應對緊急突發(fā)事件，無法保障系統(tǒng)的信息安全。

（2）內(nèi)部管理松懈。電子政務(wù)系統(tǒng)安全保障近年來問題屢屢發(fā)生，如政府門戶網(wǎng)站受到攻擊、主頁受到篡改、信息泄露事件等。分析原因，主要是從事電子政務(wù)系統(tǒng)安全保障管理工作的人員的安全意識、保密意識及工作責任心不強。甚至網(wǎng)站信息安全保障工作人員泄露內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)、用戶口令，或者是內(nèi)部工作人員惡意編寫破壞程序等，讓門戶網(wǎng)站信息的安全系數(shù)下降。可見，政府門戶網(wǎng)站信息泄露、網(wǎng)頁篡改的原因，許多時候并非安全保障技術(shù)水平不高所導致，更重要的嚴格內(nèi)部保障工作的管理。

2重視安全保障技術(shù)體系建設(shè)

加強電子政務(wù)系統(tǒng)安全保障體系的建設(shè)，就必須要提高信息安全保障技術(shù)水平，建設(shè)完善的政府安全信息技術(shù)監(jiān)控體系。政府主管門戶系統(tǒng)安全保障工作的部門，要高度重視電子政務(wù)系統(tǒng)的安全技術(shù)保障措施的完善，從硬件、軟件兩個方面加強建設(shè)。其一，要構(gòu)建起完善的互聯(lián)網(wǎng)病毒防御體系，安裝防病毒軟件并且及時進行更新，對軟件進行升級和維護，切實做到有效抵御互聯(lián)網(wǎng)上的惡意攻擊。其二，在信息安全保障系統(tǒng)中加入入侵檢測系統(tǒng)，把入侵檢測軟件和硬件設(shè)備相結(jié)合，作為防御病毒體系的補充，入侵檢測系統(tǒng)主動尋找、分析系統(tǒng)系統(tǒng)內(nèi)部的運行情況，將違反安全規(guī)則的對象和被攻擊的部分檢測出來，主動保護系統(tǒng)信息的安全。其三，要在硬件設(shè)備上及時更新升級，淘汰落后的硬件設(shè)備。防止由于設(shè)備使用時間長，導致安全保障能力下降。

3強化安全保障的制度建設(shè)

政府的電子政務(wù)系統(tǒng)，要嚴格按照國家對信息安全法律法規(guī)的標準建立起完善的信息安全管理制度。一要對計算機實施安全保密措施，定期更換計算機密碼，并且對網(wǎng)絡(luò)的訪問權(quán)限進行制度化管理，涉及重要內(nèi)容的信息必須要有專業(yè)的工作人員在專門的計算機上進行處理。二要對機房進行有效管理，完善機房的管理制度，對進入機房的設(shè)定進行權(quán)限規(guī)定。禁止攜帶對設(shè)備運行產(chǎn)生威脅的易燃易爆物品，設(shè)備的更換、更新進行登記，不定期檢查設(shè)備的運行狀態(tài)和機房的安全狀況。三要健全巡視上報制度，工作人員要定期對系統(tǒng)的論壇、留言板、門戶網(wǎng)站等進行檢查巡視，完善信息前關(guān)鍵詞和敏感字自動過濾的功能，密切關(guān)注社會發(fā)展的動態(tài)，更新敏感詞和關(guān)鍵詞，建立起垃圾郵件自動清理功能。如果在巡視過程中發(fā)現(xiàn)有違反法律法規(guī)的行為，及時向公安網(wǎng)絡(luò)部門報告。四要與公安部門建立起完善的聯(lián)系制度，打擊網(wǎng)絡(luò)信息犯罪的行為。通過完善政府電子政務(wù)系統(tǒng)安全保障制度，建立起長效的安全保障機制，減少因管理失當而產(chǎn)生的系統(tǒng)信息泄露、黑客入侵等行為的發(fā)生。

參考文獻

［1］張震，劉芬.行政環(huán)境與我國電子政務(wù)發(fā)展的策略研究［J］.中國公共安全（學術(shù)版），2007，（4）．

［2］樊繼福.陜西電子政務(wù)發(fā)展的策略研究［J］.西安郵電學院學報，2006，11，（6）.

［3］連成葉，李強.我國當前電子政務(wù)發(fā)展策略研究［J］.福建警察學院學報，2008，（6）．

篇(4)

【關(guān)鍵詞】電力信息系統(tǒng)；安全保障體系；建設(shè)原則；思路分析

【中圖分類號】P208 【文獻標識碼】A 【文章編號】1672-5158（2012）09-0046-01

隨著計算機技術(shù)與互聯(lián)網(wǎng)技術(shù)的發(fā)展，電力信息系統(tǒng)的安全在電力企業(yè)的正常運營、客戶營銷、財務(wù)管理以及電網(wǎng)調(diào)度等方面起著積極地促進作用。黑客與病毒以及安全漏洞在很大程度上威脅著電力企業(yè)的正常運營。因此，本文將從電力信息系統(tǒng)的安全保障體系的角度出發(fā)，對如何在電力企業(yè)中建立電力信息系統(tǒng)的安全保障體系的思路與原則進行有效性研究。

一、關(guān)于電力信息系統(tǒng)的概述

電力信息系統(tǒng)包括信息網(wǎng)絡(luò)、網(wǎng)絡(luò)服務(wù)系統(tǒng)、應用系統(tǒng)、安全系統(tǒng)、存儲與備份系統(tǒng)、輔助系統(tǒng)、終端計算機用戶設(shè)備等系統(tǒng)及上述系統(tǒng)的附屬設(shè)備。其所涉及的技術(shù)有：數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)、防火墻、訪問控制技術(shù)以及網(wǎng)絡(luò)掃描技術(shù)等。在網(wǎng)絡(luò)硬件方面，已基本實現(xiàn)千兆骨干網(wǎng)、百兆到桌面、三層交換以及VLAN等技術(shù)的普遍使用；而在軟件方面，主要包括辦公信息化系統(tǒng)、一體化整合平臺、安全生產(chǎn)管理信息系統(tǒng)、電力地理信息系統(tǒng)、營銷管理信息系統(tǒng)及各專業(yè)相關(guān)的應用子系統(tǒng)等。計算機及信息網(wǎng)絡(luò)系統(tǒng)在電力生產(chǎn)、調(diào)度、經(jīng)營、管理等各個領(lǐng)域有著十分廣泛的應用，在安全生產(chǎn)、節(jié)能消耗、降低成本、縮短工期、提高勞動生產(chǎn)率等方面取得了明顯的社會效益和經(jīng)濟效益。引發(fā)信息系統(tǒng)安全問題的因素包括安全架構(gòu)在設(shè)計上出現(xiàn)問題與管理方面出現(xiàn)問題。

二、針對電力信息系統(tǒng)安全保障體系建設(shè)原則的研究

電力信息系統(tǒng)安全保障體系建設(shè)不能只是簡單地局限在電網(wǎng)運行安全這個方面，需要經(jīng)過三個階段：一是信息安全系統(tǒng)的建設(shè)；二是信息安全管理的建設(shè)；三是信息安全策略的建設(shè)。隨著信息技術(shù)的發(fā)展與人們對信息安全人士的加深，電力用戶對電網(wǎng)的安全管理與用電需求也在發(fā)生著變化，由原先單一的產(chǎn)品逐漸向信息安全的管理與構(gòu)建轉(zhuǎn)變。由于電力企業(yè)在社會經(jīng)濟發(fā)展的特殊作用，因此在建設(shè)電力信息系統(tǒng)的安全保障體系的過程中，需要堅持以下四項原則：

（一）原則之一——動態(tài)性原則

在建設(shè)電力信息系統(tǒng)安全保障體系的過程主要堅持動態(tài)性原則，主要是因為無論哪個安全保障系統(tǒng)都有可能出現(xiàn)技術(shù)或者操作問題，不能為企業(yè)運行與管理提供真正的安全。再加上隨著黑客技術(shù)的發(fā)展，安全系統(tǒng)的保障能力也逐漸下降。所以，信息安全系統(tǒng)建設(shè)計劃要具有可擴展性，可以為電力信息系統(tǒng)提供安全預防與維護以及應急方案，

（二）原則之二——均衡性原則

在建設(shè)的過程中堅持均衡性原則，是因為安全保障體系是根據(jù)電力企業(yè)的安全生茶目標進行設(shè)置的，其中所涉及的各項技術(shù)都要經(jīng)過成本與效益方法的分析，以降低施工成本并提升企業(yè)的經(jīng)濟效益。

（三）原則之三——立體性原則

在建設(shè)的過程中堅持立體性原則，是因為安全保障體系建設(shè)不是一個簡單地系統(tǒng)建設(shè)。它所涉及的內(nèi)容包括：人文與自然環(huán)境、管理知識、相關(guān)技術(shù)以及法律法規(guī)等。因此在建設(shè)的過程中，不僅需要從橫向的方向進行考慮，還需要從縱向的方向進行考慮，以確保電力網(wǎng)絡(luò)的信息安全。

（四）原則之四——法令性原則

在建設(shè)的過程中堅持法令性原則，是源于《電力二次系統(tǒng)安全防護規(guī)定》的相關(guān)規(guī)定。管理信息大區(qū)要訪問電力生產(chǎn)控制大區(qū)內(nèi)的數(shù)據(jù)，需要在兩者之間安裝電力專用的橫向安全隔離設(shè)備，而且這類設(shè)備是經(jīng)過國家相關(guān)部門認定的。一旦背離法令性原則的設(shè)計施工方案都會對電力企業(yè)的正常運行帶來巨大的經(jīng)濟損失。

三、針對電力信息系統(tǒng)安全保障體系建設(shè)思路的研究

（一）思路之一——采取措施加強信息系統(tǒng)的安全運行與管理建設(shè)

要加強電力信息系統(tǒng)安全保障體系的安全運行與管理管理建設(shè)，需要做到以下三點：

一是要在電力信息系統(tǒng)安全保障體系的建設(shè)過程中，建立并完善多層次、動態(tài)、全方位的安全管理信息中心，有效控制因為安全技術(shù)問題所引起的混亂局面，將和體系安全有關(guān)的各項技術(shù)與方案聚合在一個具有整體性、安全性與系統(tǒng)性的平臺上，充分發(fā)揮人力因素、策略因素以及技術(shù)因素的優(yōu)勢，從而提升安全保障體系的質(zhì)量與水平。

二是要了解并掌握安全管理信息中心的基本內(nèi)容：設(shè)置相關(guān)機構(gòu)、完善相關(guān)的技術(shù)手段、加強基礎(chǔ)設(shè)施建設(shè)、明確各部門的職能、制定嚴格的規(guī)章制度以及培訓專業(yè)工作人員。

三是利用先進的計算機技術(shù)與網(wǎng)絡(luò)通訊技術(shù)研發(fā)信息安全的綜合管理系統(tǒng)，該系統(tǒng)除了具有分析電網(wǎng)運行信息、監(jiān)視電網(wǎng)設(shè)備運行狀態(tài)以及應急響應電網(wǎng)運行過程中的異常事件功能之外，還有數(shù)據(jù)搜集與分析功能、可視瀏覽功能等。信息安全的綜合管理系統(tǒng)在電力信息系統(tǒng)的安全保障體系中扮演著承上啟下的紐帶作用，它可以搜集電力網(wǎng)絡(luò)中的各種信息，并將這些信息進行整理歸類后進行分析處理，再反饋給管理人員。其中處理的信息包括：統(tǒng)計數(shù)據(jù)信息、報警數(shù)據(jù)信息以及歷史數(shù)據(jù)信息等。

（二）思路之二——采取措施加強電力信息系統(tǒng)中的信息安全系統(tǒng)建設(shè)

要加強對信息安全系統(tǒng)的建設(shè)，需要做到以下三點：

一是要保障電力信息系統(tǒng)中數(shù)據(jù)對象的安全，可以采取操作系統(tǒng)加固、數(shù)據(jù)指紋、主機加固、安裝防病毒系統(tǒng)以及數(shù)據(jù)加密的歌方式對需要保護的對象進行保護，同時要加強電力信息系統(tǒng)安全保障體系建設(shè)過程中的周圍環(huán)境的安全保護。

二是采取措施保障系統(tǒng)結(jié)構(gòu)的安全，其主要側(cè)重在體系的應用、網(wǎng)絡(luò)數(shù)據(jù)的應用以及信息數(shù)據(jù)的邊界界定，或者物理與邏輯方面的規(guī)劃，它是信息系統(tǒng)安全的前提條件，這種方式不僅可以有效地降低企業(yè)的施工與管理成本，同時也有助于解決數(shù)據(jù)泄密等問題。

三是保障信息系統(tǒng)流程的安全，其內(nèi)容包括兩個方面的內(nèi)容，首先是利用訪問控制與身份識別等技術(shù)手段，其次是加強流程管理等方面對信息流程的安全進行審核與風險評估，從而設(shè)計出有效進行信息流動控制的方案。

篇(5)

論文關(guān)鍵詞:信息系統(tǒng);安全管理;體系

現(xiàn)代金融業(yè)是基于信息、高度計算化、分散、相互依存的產(chǎn)業(yè),有人形象地把信息系統(tǒng)歸結(jié)為銀行業(yè)的“核心資本”。金融信息化帶來的是銀行業(yè)務(wù)信息系統(tǒng)在網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)關(guān)系、角色關(guān)系等方面的復雜化。而越是復雜的系統(tǒng),其安全風險就越高。在系統(tǒng)中每增加一種訪問的方式就增加了一些入侵的機會;每增加一些訪問的人群就引入了一些可能受到惡意破壞的風險。據(jù)2003年一項對全球前500家金融機構(gòu)的安全調(diào)查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受調(diào)查的機構(gòu)承認2002年曾受到一定形式的系統(tǒng)攻擊;美國聯(lián)邦法院2004年所作的一系列有關(guān)信息犯罪的案件中,有多件涉及金融機構(gòu)。這些統(tǒng)計數(shù)字和報道出的事件,只是我們面臨信息系統(tǒng)安全威脅的冰山一角,因此加速建設(shè)金融信息系統(tǒng)中的安全保障體系變得更加緊迫。

長期以來,人們對保障信息系統(tǒng)安全的手段偏重于依靠技術(shù),從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、漏洞掃描、身份認證等等。但事實上,僅僅依靠安全技術(shù)和安全產(chǎn)品保障信息系統(tǒng)安全的愿望卻往往難盡人意,許多復雜、多變的安全威脅和隱患靠安全產(chǎn)品是無法消除的。據(jù)有關(guān)部門統(tǒng)計,在所有的計算機安全事件中,約有52%是人為因素造成的,25%由火災、水災等自然災害引起,技術(shù)錯誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡單歸類,屬于管理方面的原因比重高達6O%以上,而這些安全問題中的95%是可以通過科學的信息安全管理來避免。因此,加強安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證,是金融信息系統(tǒng)安全體系建設(shè)的重點。

1安全管理體系構(gòu)建

信息安全源于有效的管理,使技術(shù)發(fā)揮最佳效果的基礎(chǔ)是要有一定的信息安全管理體系,只有在建立防范的基礎(chǔ)上,加強預警、監(jiān)控和安全反擊,才能使信息系統(tǒng)的安全維持在一個較高的水平之上。因此,安全管理體系的建設(shè)是確保信息系統(tǒng)安全的重要基礎(chǔ),是金融信息系統(tǒng)安全保障體系建設(shè)最為重要的一環(huán)。為在金融信息系統(tǒng)中建立全新的安全管理機制,最可行的做法是技術(shù)與管理并重,安全管理法規(guī)、措施和制度與整體安全解決方案相結(jié)合,并輔之以相應的安全管理工具,構(gòu)建科學、合理的安全管理體系。

金融信息系統(tǒng)安全管理體系是在金融信息系統(tǒng)安全保障整體解決方案基礎(chǔ)上構(gòu)建的,它包括信息安全法規(guī)、措施和制度,安全管理平臺及信息安全培訓和安全隊伍建設(shè),其示意圖如圖1所示。

2安全管理平臺

安全管理平臺是通過采用技術(shù)手段實施金融信息系統(tǒng)安全管理的平臺,它包括安全預警管理、安全監(jiān)控管理、安全防護與響應管理和安全反擊管理。

2.1安全預警管理

安全預警管理的功能由預警系統(tǒng)實現(xiàn),通過該系統(tǒng),可以在安全風險動態(tài)威脅和影響金融信息系統(tǒng)前,事先傳送相關(guān)的警示,讓管理員采取主動式的步驟,在安全風險影響運作前加以攔阻,從而預防全網(wǎng)業(yè)務(wù)中斷、效能損失或?qū)ζ涔娦抛u造成危害,達到提前保護自己的作用。安全預警系統(tǒng)通過追蹤最新的攻擊技術(shù),分析威脅信息以辨識出真正潛在的攻擊,迅速響應并提供定制化威脅分析及個性化的漏洞和惡意代碼告警服務(wù),幫助降低風險,防患于未然。

2.2安全監(jiān)控管理

通過安全監(jiān)控功能可以實時監(jiān)控金融信息系統(tǒng)的安全態(tài)勢、發(fā)生了哪些攻擊、出現(xiàn)了什么異常、系統(tǒng)存在什么漏洞以及產(chǎn)生了哪些危險日志等,因此安全監(jiān)控功能對于金融信息系統(tǒng)的安全保障體系來說是至關(guān)重要的。

1)基于實時性的安全監(jiān)控。通過在線方式管理金融信息系統(tǒng)中的資源狀態(tài)和實時安全事件,及時關(guān)注IT資源和安全風險的現(xiàn)狀和趨勢,通過實時監(jiān)控來提高系統(tǒng)的安全性和IT資源的效能。

2)基于智能化的安全監(jiān)控。利用智能信息處理技術(shù)對信息網(wǎng)絡(luò)中的各種安全事件進行智能處理,實現(xiàn)報警信息的精煉化,提高報警信息的可用信息量,降低安全設(shè)備的虛警和誤警,從而有效地提高安全保障系統(tǒng)中報警信息的可信度。

3)基于可視化的安全監(jiān)控。通過對安全事件分析過程與分析報告的可視化手段,如圖表/曲線/數(shù)據(jù)表/關(guān)聯(lián)關(guān)系圖等,提供詳細的入侵攻擊信息乃至重現(xiàn)攻擊場景,實現(xiàn)對入侵攻擊行為的追蹤,使得對安全事件的分析更為直觀,從而有效提高安全管理人員對于入侵攻擊的監(jiān)控理解,使安全系統(tǒng)的管理更為有效。

4)基于分布式的安全監(jiān)控。通過系統(tǒng)分布式的多級部署方式,可以實現(xiàn)對金融信息系統(tǒng)內(nèi)各個子系統(tǒng)的監(jiān)控和綜合分析能力,同時對不同安全保護等級的用戶提供相應的監(jiān)控界面和信息,從而嚴格滿足其安全等級劃分的用戶級要求。

2.3安全防護與響應管理

在金融信息系統(tǒng)的安全系統(tǒng)中由于安全的異構(gòu)屬性,因此會采用不同的安全技術(shù)和不同廠家的安全產(chǎn)品來實現(xiàn)安全防護的目的。通過安全防護與響應管理可以及時響應和優(yōu)化整個系統(tǒng)安全防護策略;最直接的響應就是提供多種方式,如報警燈、窗日、郵件、手機短信等向安全管理員報警,然后日志保存在本地數(shù)據(jù)庫或者異地數(shù)據(jù)庫中。

1)優(yōu)化安全策略分析。通過實時掌握自身的安全態(tài)勢,及各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)和業(yè)務(wù)系統(tǒng)的處理情況,輸出正常和非法個性化的安全策略報表,然后直接通知相應的安全管理人員或廠商對其自身策略進行優(yōu)化調(diào)整。

2)動態(tài)響應策略調(diào)整。通過對各種安全響應協(xié)議的支持,如SNMP、TOPSEC、聯(lián)動協(xié)議等,實現(xiàn)相關(guān)的安全防護技術(shù)策略的自動交互,同時通過專家知識庫能從全局的角度去響應安全事件很好地解決安全誤報問題。

3)安全服務(wù)自動協(xié)調(diào)。當智能分析和安全定位功能確認出安全事件或安全故障時,及時調(diào)派安全服務(wù)人員小組(或提供安全服務(wù)的供應商)進行相應的安全加固防護。

2.4安全反擊管理

安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。

1)安全事件的取證管理。取證在網(wǎng)絡(luò)與信息系統(tǒng)安全事件的調(diào)查中是非常有用的工具,通過對系統(tǒng)安全事件的存儲和分析,實現(xiàn)對安全事件的取證管理,給相關(guān)調(diào)查人員提供安全事件的直接取證。

2)安全事件的追蹤反擊。通過資源狀態(tài)分析、關(guān)聯(lián)分析、專家系統(tǒng)分析等有效手段,檢測到攻擊類型,并定位攻擊源。隨后,系統(tǒng)自動對目標進行掃描,并將掃描結(jié)果告知安全管理員,并提示安全管理員查詢知識庫,從中提取有效手段對攻擊源進行反擊控制。

3安全管理措施建議

在安全管

理技術(shù)手段的基礎(chǔ)上,還要提高安全管理水平。俗話說“三分技術(shù),七分管理”,由于金融信息系統(tǒng)相對比較封閉,對于金融信息系統(tǒng)安全來說,業(yè)務(wù)邏輯和操作規(guī)范的嚴密程度是關(guān)鍵。因此,加強金融信息系統(tǒng)的內(nèi)部安全管理措施,建立領(lǐng)導組織體系,完善落實內(nèi)控制度,強化日常操作管理,是提升安全管理水平的根本。

1)完善安全管理機構(gòu)的建設(shè)。目前,我國已經(jīng)把信息安全提到了促進經(jīng)濟發(fā)展、維護社會穩(wěn)定、保障國家安全、加強精神文明建設(shè)的高度,并提出了“積極防御、綜合防范”的信息安全管理方針,專門成立了網(wǎng)絡(luò)與信息安全領(lǐng)導小組、國家計算機網(wǎng)絡(luò)應急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC)、中國信息安全產(chǎn)品測評認證中心(簡稱CNITSEC)等,初步建成了國家信息安全組織保障體系。為確保金融信息系統(tǒng)的安全,在金融信息系統(tǒng)內(nèi)部應組建安全管理小組(或委員會),安全管理小組制定出符合企業(yè)需要的信息安全管理策略,具體包括安全管理人員的義務(wù)和職責、安全配置管理策略、系統(tǒng)連接安全策略、傳輸安全策略、審計與入侵安全策略、標簽策略、病毒防護策略、安全備份策略、物理安全策略、系統(tǒng)安全評估體系等內(nèi)容。安全管理應盡量把各種安全策略要求文檔化和規(guī)范化,以保證安全管理工作具有明確的依據(jù)或參照。

2)在保證信息系統(tǒng)設(shè)備的運行穩(wěn)定可靠和信息系統(tǒng)運行操作的安全可靠的前提下,增加安全機制,如進行安全域劃分,進行有針對性的安全設(shè)備部署和安全策略設(shè)置,以改進對重要區(qū)域的分割防護;增加入侵檢測系統(tǒng)、漏洞掃描、違規(guī)外聯(lián)等安全管理工具,進行定時監(jiān)控、事件管理和鑒定分析,以提高自身的動態(tài)防御能力;完善已有的防病毒系統(tǒng)、增加內(nèi)部信息系統(tǒng)的審計平臺,以便形成對內(nèi)部安全狀況的長期跟蹤和防護能力。

3)制定一系列必須的信息系統(tǒng)安全管理的法律法規(guī)及安全管理標準,狠抓內(nèi)網(wǎng)的用戶管理、行為管理、應用管理、內(nèi)容控制以及存儲管理;進一步完善互聯(lián)網(wǎng)應急響應管理措施,對關(guān)鍵設(shè)施或系統(tǒng)制定好應急預案,并定期更新和測試,全面提高預案制定水平和處理能力;建立一支“信息安全部隊”,專門負責信息網(wǎng)絡(luò)方面安全保障、安全監(jiān)管、安全應急和安全威懾方面的工作。

4)堅持“防內(nèi)為主,內(nèi)外兼防”的方針,加強登錄身份認證,嚴格限制登錄者的操作權(quán)限,充分利用操作系統(tǒng)和應用系統(tǒng)本身的日志功能,對用戶所訪問的信息進行跟蹤記錄,為系統(tǒng)審計提供依據(jù)。

5)重視和加強信息安全等級保護工作,對金融信息系統(tǒng)中的信息實施一般保護、指導保護、監(jiān)督保護和強制保護策略,尤其對重要信息實施強制保護和強制性認證,以確保金融業(yè)務(wù)信息的安全。

6)加強信息安全管理人才與安全隊伍建設(shè),特別是加大既懂技術(shù)又懂管理的復合型人才的培養(yǎng)力度。通過各種會議、網(wǎng)站、廣播、電視、報紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識,尤其是加強企業(yè)內(nèi)部人員的信息安全知識培訓與教育,提高員工的信息安全自律水平。

篇(6)

關(guān)鍵詞：山區(qū)高速公路；事故頻發(fā)；安全保障技術(shù)

一、山區(qū)高速公路事故特點

通過對我國現(xiàn)有山區(qū)高速公路交通事故數(shù)據(jù)進行分析，山區(qū)高速公路交通事故主要呈現(xiàn)出以下主要特征：

交通事故以重大惡通事故為主；交通事故形態(tài)以追尾碰撞事故為主，其次是側(cè)面碰撞、碰撞路側(cè)固定物和翻車事故；從肇事車型來看，事故車型以大貨車為主，其中超載貨車事故率高；從事故時間分布特征來看，夜間交通事故多發(fā)；從駕駛員條件來看，交通事故中以新駕駛員和外地駕駛員為主；從氣象條件來看，惡劣天氣極易誘發(fā)大面積交通事故。此外，由于駕駛員處置意外事件和采取措施不當誘發(fā)的交通事故比例高。

二、事故成因

道路交通系統(tǒng)是由人、車輛、道路和交通環(huán)境共同組成的一個復雜系統(tǒng)，系統(tǒng)中的任何一個要素都可能對行車安全產(chǎn)生不利的影響。

（一）道路因素

（1）道路線形：①平曲線：平曲線半徑與交通事故率關(guān)系很大，曲率越大，事故率愈高，尤其是曲率大于10°以上時，事故率急劇增加；②豎曲線：道路豎曲線半徑過小時，易造成駕駛員視野變小，視距變短，發(fā)生事故；③縱坡：長大縱坡對載重汽車行駛很不利，在山區(qū)高速公路的翻山越嶺路段，車輛往往需要長時間的連續(xù)爬坡，使車速減慢，妨礙后續(xù)的快速車輛，使超車需求增多，“強超硬會”的可能性增大，另一方面，下坡會使制動器制動效能減弱，更易發(fā)生交通事故；④線形組合：交通安全的可靠性不僅與平面線形、縱坡有關(guān)，而且與線形組合是否協(xié)調(diào)密切相關(guān)，雖然線形標準都符合規(guī)范，但線形組合不利仍然會導致事故增加。

（2）路面質(zhì)量：路面強度、穩(wěn)定性、平整度和抗滑性是影響山區(qū)高速公路安全行駛的重要因素。由于高速公路具有車速高的特點，路面結(jié)構(gòu)中較小的破損都可能導致大的交通事故。在美國賓夕法尼亞州的交通事故調(diào)查中發(fā)現(xiàn)，路面濕潤、降雪、結(jié)冰時的事故率分別為路面干燥時的2倍、5倍和8倍。

（二）交通環(huán)境的影響

（1）山區(qū)地質(zhì)水文及氣象條件復雜，道路填挖方高度大，兩側(cè)山體塌方、滑坡或者落石等地質(zhì)災害影響行車安全；（2）以往的山區(qū)高速公路建設(shè)往往將工作重點放在道路主體工程的設(shè)計和施工，而忽視了交通標志、標線等交通安全設(shè)施的投入和完善，從而導致較嚴重事故的發(fā)生。

（三）駕駛員因素

主要有以下因素組成：①嚴重超載；②措施不當；③疏忽大意；④行車間距不夠；⑤疲勞駕駛；⑥超速駕駛。

（四）車輛因素

車輛因素主要體現(xiàn)在制動性能失效、燈光失效、轉(zhuǎn)向失效等機械故障，從而導致駕駛員在高速行駛下無法及時避免交通事故的發(fā)生。其中，因制動不良、制動失效引發(fā)的交通事故達70%，是車輛引發(fā)山區(qū)高速路公路交通事故的主要原因。

三、安保技術(shù)措施

山區(qū)高速公路多地處崇山峻嶺，沿線地形起伏大，地質(zhì)狀況復雜。一旦發(fā)生交通事故，事故的嚴重度高，因此，保障山區(qū)高速公路的行車安全意義重大。山區(qū)高速公路在設(shè)計及運營管理過程中應根據(jù)實際地形判定交通事故危險路段，并建設(shè)完備的交通安全保障技術(shù)體系。總體上看，山區(qū)高速公路交通安全保障技術(shù)體系應包括如下五個層面：①交通管理措施；②控制車輛速度；③主動安全保障技術(shù)；④被動安全保障技術(shù)；⑤交通安全監(jiān)控和緊急救援系統(tǒng)。

四、管理措施

交通管理措施包括了超限超載治理策略和限制通行策略。如前所述，超限運輸是誘發(fā)交通事故的重要原因，山區(qū)高速公路宜在主線及各匝道入口設(shè)置超限檢測，限制超載車輛進入高速公路；同時，應基于氣象臺站的宏觀天氣預報以及在高速公路沿線設(shè)置的專用氣象檢測器進行氣象檢測，在不利氣象條件下制定高速公路限制通行策略，包括控制匝道入口車流、限制車輛運行速度、關(guān)閉高速公路等通行策略。

（一）管控車輛速度

超速不僅極易引發(fā)交通事故，同時還導致事故的嚴重度高。山區(qū)高速公路應采用一系列的工程技術(shù)措施來控制車輛的運行速度；應在高速公路主線、匝道、隧道及連接線上設(shè)置完善的限速標志，根據(jù)不同的車型、不同的氣象條件，限速標志應能提供不同的車輛限速標準；通過設(shè)置減速帶控制車輛速度，在山區(qū)高速公路的長下坡路段、隧道出口與下坡連接路段、高速公路連接線上的小半徑平曲線路段均應施劃有路面減速帶。當車輛通過減速帶時會產(chǎn)生強烈震動，并導致駕駛員產(chǎn)生不舒服的感覺，從而達到車輛減速的目的。

進行車輛超速檢測，當檢測到有車輛超速時，進行違章車輛抓怕并將相關(guān)信息傳輸至監(jiān)控中心，監(jiān)控中心或利用聲音提醒違章車輛駕駛員控制車速、或在可變信息板上顯示超速車輛的牌照號碼，同時在收費站進行違章超速車輛處理。這些措施均能大大減少超速行駛的車輛數(shù)，并有效確保行車安全。

（二）主動安全保障技術(shù)

主動交通安全技術(shù)又稱為積極交通安全技術(shù)，是指避免發(fā)生交通事故的各種技術(shù)措施的統(tǒng)稱，目的為“防止事故”。山區(qū)高速公路的主動安全保障技術(shù)一般包括：優(yōu)化道路線形、完善道路標志標線和強化道路信息三個方面。

（三）被動安全保障技術(shù)

被動交通安全技術(shù)又稱為消極交通安全技術(shù)，是指交通事故時和交通事故后減輕或避免對乘員及車輛傷害程度的各種技術(shù)措施的統(tǒng)稱，目的為“減輕事故后果”。山區(qū)高速公路的被動安全技術(shù)主要包括：提高護欄等級、設(shè)置避險車道和優(yōu)化停車帶三個方面。

（四）監(jiān)控及緊急救援

交通安全監(jiān)控及事故緊急救援是保障交通安全的重要措施，具有預警、服務(wù)和控制三大功能，系統(tǒng)主要包括氣象環(huán)境監(jiān)測系統(tǒng)、車輛安全行駛系統(tǒng)、智能化信息系統(tǒng)、事故緊急救援系統(tǒng)等子系統(tǒng)。一般要求在山區(qū)高速公路建設(shè)過程中，同步裝備交通安全監(jiān)控系統(tǒng)，管理部門可依托該系統(tǒng)加強雨、雪、霧、夜間等特殊天氣和時段條件下高速公路的管理，以便及時采取相應措施，確保道路安全暢通。同時還可對汽車行駛狀態(tài)進行監(jiān)測，如發(fā)現(xiàn)占道、超速、事故等情況，可及時予以處理，確保行車安全。

五、結(jié)語

對山區(qū)高速公路交通事故的防治，還需要針對事故的特點和成因采取引導與強制相結(jié)合的防控措施。本文主要分析了山區(qū)高速公路交通事故的特點，提出了山區(qū)高速公路交通安全保障技術(shù)體系。該體系涵蓋交通管理、車速控制、主動安全、被動安全、交通安全監(jiān)控等工程技術(shù)措施，這些措施不僅能強化道路的服務(wù)功能，還能有效確保山區(qū)高速公路的行車安全，在山區(qū)高速公路建設(shè)及運營過程中應逐步實施。

【參考文獻】

篇(7)

第一條 為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立、健全信息安全管理制度和運行機制，提高行業(yè)信息安全保障工作水平，切實保護投資者合法權(quán)益，根據(jù)國家有關(guān)法律、法規(guī)和相關(guān)規(guī)定，制定本辦法。

第二條本辦法適用于證券期貨市場的監(jiān)管機構(gòu)、行業(yè)自律組織及經(jīng)營機構(gòu)。監(jiān)管機構(gòu)為中國證券監(jiān)督管理委員會（以下簡稱“中國證監(jiān)會”）；行業(yè)自律組織包括證券、期貨交易所及其通信公司，證券登記結(jié)算公司、中國證券業(yè)協(xié)會和中國期貨業(yè)協(xié)會；經(jīng)營機構(gòu)包括證券、期貨公司，基金管理公司及證券、期貨投資咨詢公司。

第二章 安全職責劃分

第三條 中國證監(jiān)會負責證券期貨行業(yè)信息安全保障工作的監(jiān)督管理及組織協(xié)調(diào)。

第四條 證券、期貨交易所及其通信公司，登記結(jié)算公司，證券、期貨公司，基金管理公司，證券、期貨投資咨詢公司等是各自信息系統(tǒng)安全運營管理的責任主體單位（以下簡稱“主體單位”）。

第五條證券交易所負責證券交易、信息及市場監(jiān)管信息系統(tǒng)的安全運營。證券通信公司受證券交易所及證券登記結(jié)算公司、經(jīng)營機構(gòu)的委托，負責通信系統(tǒng)的安全運營，保障交易、結(jié)算等業(yè)務(wù)數(shù)據(jù)的及時安全傳送。期貨交易所負責期貨交易和結(jié)算處理、信息、市場監(jiān)管信息系統(tǒng)及通信系統(tǒng)的安全運營。

第六條 證券登記結(jié)算公司負責證券登記、結(jié)算業(yè)務(wù)信息系統(tǒng)的安全運營。

第七條 中國證券業(yè)協(xié)會負責證券公司、基金管理公司、證券投資咨詢公司等會員單位信息安全保障的組織、協(xié)調(diào)工作。

中國期貨業(yè)協(xié)會負責期貨公司、期貨投資咨詢公司等會員單位信息安全保障的組織、協(xié)調(diào)工作。

第八條 證券、期貨公司，基金管理公司及證券、期貨投資咨詢公司負責總部及下屬經(jīng)營機構(gòu)信息系統(tǒng)的安全運營。

第三章 安全目標與基本原則

第九條 信息安全保障工作的總體目標是確保信息和信息系統(tǒng)的完整性、保密性、可用性、時效性、可審查性和可控性，切實保護市場參與各方的合法權(quán)益，促進證券期貨市場的持續(xù)、穩(wěn)定、健康發(fā)展。

第十條 信息安全保障工作的具體目標是：

（一） 保護證券期貨業(yè)信息系統(tǒng)的物理環(huán)境、設(shè)備設(shè)施和運行環(huán)境，保證信息系統(tǒng)的環(huán)境安全；

（二） 確保信息內(nèi)容的合法性，保護信息在采集、傳輸、使用和存儲過程中的保密性、完整性、可用性、時效性、可審查性和可控性，保證信息的安全；

（三） 提高證券期貨業(yè)人員的信息安全意識、安全專業(yè)素質(zhì)以及安全管理與服務(wù)水平；

（四） 提高信息系統(tǒng)的可用率和災難恢復能力，為業(yè)務(wù)的可持續(xù)性運行提供保障。

第十一條 信息安全保障工作應遵循以下基本原則：

（一） 責任制原則：安全管理應做到“誰主管，誰負責”、“誰運營，誰負責”，注重以法律手段明確與他方的責任關(guān)系，通過契約、協(xié)調(diào)等方式與他方進行責任劃分，明確進行風險轉(zhuǎn)移，通過責任主體制約他方。

（二） 規(guī)范化原則：遵循國內(nèi)、國際的信息安全標準及行業(yè)規(guī)范，對信息系統(tǒng)實行等級保護。

（三） 全面統(tǒng)籌原則：信息安全保障工作應貫穿于信息化全過程，堅持統(tǒng)籌規(guī)劃、突出重點，安全與發(fā)展并進，管理與技術(shù)并重，應急防御與長效機制相結(jié)合。

（四） 實用性原則：在確保信息系統(tǒng)性能和安全的前提下，充分利用資源，講究實效，避免重復和盲目投資，積極采用國家法律法規(guī)允許的、成熟的先進技術(shù)和專業(yè)安全服務(wù)，運用科學的經(jīng)營管理方法，降低成本，保障安全運行。

第四章 安全保障要求

第十二條 主體單位應建立以安全組織體系為核心、安全管理體系為保障、安全技術(shù)體系為支撐的全面信息安全體系，保持三個體系穩(wěn)定、均衡發(fā)展。

第十三條 主體單位應建立明確的信息安全組織體系：

（一） 建立決策層、管理層和執(zhí)行層三層工作關(guān)系，明確信息安全主管領(lǐng)導，落實信息安全管理部門，指定信息安全執(zhí)行崗位；

（二） 設(shè)立專職的安全管理員和安全審計員崗位，分別負責信息安全工作的實施和審計；

（三） 通過多種安全培訓方式加強信息安全人才隊伍的建設(shè)，提高信息安全工作人員的技能水平，提高員工安全意識。

第十四條 主體單位應建立全面的信息安全管理體系：

（一） 制定統(tǒng)一的信息安全策略和全面、可操作的信息安全管理制度，指導和規(guī)范信息系統(tǒng)的安全規(guī)劃與建設(shè)，確保策略和制度得到恰當?shù)睦斫獠⒌玫接行У淖裱蛨?zhí)行；

（二） 加強信息系統(tǒng)資產(chǎn)安全管理，保護信息系統(tǒng)設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的安全，實行信息系統(tǒng)資產(chǎn)管理責任制，實現(xiàn)等級管理、密級管理，重點保護核心信息系統(tǒng)資產(chǎn)的安全；

（三） 強化信息系統(tǒng)的物理安全保護，執(zhí)行嚴格的機房安全管理、環(huán)境安全管理和有效的物理控制措施；

（四） 建立信息系統(tǒng)網(wǎng)絡(luò)、系統(tǒng)、應用等各層面的安全管理流程，實現(xiàn)對信息系統(tǒng)規(guī)劃、建設(shè)、運行、維護各個階段的安全管理，開發(fā)與運營獨立管理，嚴格執(zhí)行日常的實時管理和定期管理工作；

（五） 實現(xiàn)對信息系統(tǒng)的安全風險管理，對信息資產(chǎn)、威脅和脆弱性的狀況進行定期評估，及時發(fā)現(xiàn)安全隱患并進行預防性的保護，選擇適用、有效的安全措施。

第十五條 主體單位應建立有效的信息安全技術(shù)體系：

（一） 建立完善的安全預警體系，及時發(fā)現(xiàn)安全隱患；

（二） 強化現(xiàn)有的安全防護體系，實現(xiàn)對核心業(yè)務(wù)系統(tǒng)的重點保護；

（三） 建立有效的安全監(jiān)控體系，監(jiān)控核心業(yè)務(wù)系統(tǒng)，為進一步完善信息安全體系提供決策依據(jù)；

（四） 建立全面的應急響應體系，制定規(guī)范、完整的應急處理和響應流程，定期進行應急恢復的演練和測試，完善信息安全通報機制；

（五） 按照不同的安全保護等級建立相應的災難恢復體系，定期進行災難恢復的演練和測試，確保災難發(fā)生后能夠充分發(fā)揮備份的效能，降低造成的影響和損失。

第五章 附 則

第十六條 中國證監(jiān)會對證券期貨業(yè)信息系統(tǒng)安全保障情況組織安全檢查，檢查方式包括自檢查、委托檢查等方式。