信息安全论文范例

1对医院网络进行集中的安全管理

在物理架构上实现了整个网络架构的高度冗余、容错能力,在网络平台架构中或业务关键节点不存在设备或线路单点故障。我院网络架构主要分为5个部分：

①内网区-业务区域：内部业务系统、服务器及存储服务器所属的网络域；

②内网区-科室访问内部应用：此区域为业务终端所处的网络域，各科室业务终端中能访问内部业务平台；

③外网区：临床、行政普通办公区，用于用户访问互联网；

④外部接入区域：第三方接入域，如：新农合、省医保、市医保及银医一卡通等；

⑤外网网站区：医院门户网站所处的网络域，与其他网络域物理隔离。逻辑架构上实现整个信息化基础架构平台的合理区域化划分，尽量合理的设计和规划安全区域，调整逻辑架构，在网络骨干设备间实现三层架构，避免因为不同故障而引起对业务产生大范围影响。

1分析信息时代背景下的电子信息安全管理的重要性

1.1有效地保证社会经济的稳定性发展和建设

电子信息安全管理是为了适应当前的社会经济发展的要求而进行开展的，因为电子信息安全管理能够提升各个生产经营组织个体的信任度，并及时的进行经济投资，促使电子信息安全管理被有效地落实和实践。目前我国的现代化建设进程已经迈入了正轨，各个经济发展个体只有借助电子信息技术的安全管理原则，将自己公司或者组织内部的资料进行集中分配和处理，能够提高企业的日常工作效率，而且促使公司内部的资源和结构更加的具有优良性和全面性，所以在电子信息安全管理的要求下，才会多的更多的经济个体的信任，并且提升整个电子信息系统安全管理的开展意义。社会总体的经济进步和发展主要是依靠当前社会各个阶层的经济发展主体不断的进行生产革新以及管理创新，才推动了社会的总体经济进步。所以电子信息安全管理的开展实践和落实中，企业才会加大对于电子信息安全管理的认识，并不断的提升企业内部对于电子信息安全管理的实际操作能力，从而电子信息安全管理才能稳定社会的经济全面的发展和建设，全面的保障各个企业的日常工作运行和发展。

1.2提升国民对电子信息安全管理的认识

社会大众对位网络资源服务的主要对象，对于电子信息安全管理的开展具有全面的推动作用。大众要增强对于电子信息安全管理的认识，才能真正的提升国民素质，对于网络中的不良现象也能有效地抵制。所以大众人民在日常运用网络电子信息资源的时候，要注重对于本身电脑的保护，进行查毒、杀毒措施的落实，将威胁电子信息安全管理的潜在隐患进行及时的排除，从而进一步将电子信息安全管理落实起来，进而提升过敏对于电子信息安全管理的认识，真正的保护好电子信息。

2信息时代背景下的电子信息安全管理的主要方法

2.1树立电子信息安全管理的思想意识

1企业开展档案信息安全管理的必要性

企业档案信息是企业在生产、经营过程中形成的具有重要保存价值的记录，是企业的宝贵财富和历史记忆。档案信息中有的内容涉及到企业的核心机密，包括设备、关键技术资料等，这些档案信息对于企业的生存和发展至关重要，一旦出现信息泄露，将会对企业的生存和发展造成巨大的威胁。加强企业档案信息的安全管理就是进行有组织、有计划的实施一系列安全管理措施，能提高企业的档案管理水平和档案信息安全性，避免档案信息泄露给企业带来的巨大损失，为企业的长远发展打下坚实的基础。因此，企业开展档案信息安全管理极其必要。

2威胁档案信息安全的因素

现阶段，大量的档案信息都以数据信息的形式存储在计算机中，计算机是档案信息存储的载体，一旦计算机发生故障或者被黑客攻击，档案信息就存在泄漏的可能。现在对计算机档案信息产生威胁的因素包括计算机故障、病毒和黑客攻击以及人为操作故障导致的停机。计算机是由数量庞大的元器件构成的，计算机在使用过程中受电压、温度以及线路问题等很容易出现硬件故障，导致计算机出现蓝屏、死机等状况，而一旦计算机硬盘出现故障就会造成档案信息的丢失和破坏。计算机档案信息管理通过专业软件进行来实现的，一旦计算机软件出现问题，也会给档案信息的安全造成极大的威胁；病毒和黑客攻击是威胁档案信息安全的一个重要因素，虽然现阶段有很多杀毒和防火墙软件，但是这并不能保证计算机免于病毒和黑客的攻击；人为管理因素也是威胁档案信息安全的一大因素，有的工作人员操作不规范，存在人为操作故障或者错误删除数据等情况。除了计算机方面的因素外，机房消防安全、设备防雷、气候变化、自然灾害以及盗窃等都是威胁档案信息安全的因素。

3企业档案信息安全管理策略

3.1树立档案信息安全管理意识。

档案信息安全管理意识的树立是提高档案信息管理的重要措施，然而，目前大多数企业的档案信息安全管理都只是“说起来很重要，忙起来就忘掉”的现状，只有人人具有档案信息安全意识才能在工作中时刻注重档案信息的安全，促进企业的档案信息安全管理。所以，企业要加强对工作人员的档案信息安全意识培训工作，大力开展档案信息安全教育会议来提高和树立工作人员的档案信息安全意识。同时，企业还可以通过张贴标语、企业通知、内部报刊以及企业网站等多种途径来提高工作人员档信息安全意识。此外，企业还可以开展相关知识竞赛、专业技能挑战赛等相关的实战演练，科学、有效的提高工作人员的档案信息安全管理效率和水平。

一、石油销售系统的信息安全管理现状

1.销售系统设施建设。

硬件方面，各石油销售企业都具有设施完善的中心计算机系统，供电采用UPS方式，采用“双机热备”的核心服务器工作模式，以确保整个硬件的可靠性和安全性；网络方面，采用SDH光纤接入广域网，包括接入层、汇聚层、核心层。核心层中路由器和交换机采用双机模式，设备之间，层层之间以光纤方式连接，以均衡网络负载。除了安装必备的防火墙，部分企业为进一步提高安全防范能力还安装了外网入侵检测系统；大多数加油站采用SSLVPN方式访问企业内部网，以保证网络接入的安全性。在PC系统方面，大多数企业统一安装了企业版的病毒防护软件系统和桌面安全网络接入系统，实现PC机的MAC地址绑定。

2.销售系统信息化建设。

目前，企业的销售信息系统主要包括：加油卡系统、办公自动化系统、加油站零售管理系统、企业门户网站、ERP系统等。信息系统具有如下特点：一是用户众多，几乎所有企业管理人员都是各系统用户；二是应用领域广，涉及企业经营、管理、对外服务诸多方面；三是要求连续运转，如ERP系统必须满足7×24小时运转。由于信息系统的安全运转不仅关系到企业经营管理的可持续性，其数据的安全性和保密性更关系到广大客户的利益。所以，基于上述的原因，企业对销售信息系统的安全运转提出了更高的要求。

3.销售系统的信息安全现状。

石油销售管理系统是关系国家安全、经济命脉、社会稳定的重要信息系统，国家对其信息安全高度重视，并在《2006-2020年国家信息化发展战略》中强调，我国要全面加强国家信息安全保障体系的建设，大力增强国家信息安全保障能力，实现信息化建设与信息安全保障的协调发展。同时，国内石油销售企业也长期重视信息安全工作，逐步建立了相应的保障体系和规章制度，但还存在以下问题：

一、档案信息安全隐患的表现

（一）档案信息制度不健全带来的信息安全隐患

在档案信息化突飞猛进的背景下，相关的档案信息安全管理制度却未及时地建立起来，给别有用心的人窃取和不当利用档案信息以可乘之机，严重危害着档案信息的安全。比如，有的档案管理单位解答了档案利用者的问题，因为认为该问题具有代表性，就将该问题放入常见问题资讯库中。若该档案管理单位缺乏档案信息的保护制度和保密意识，没有对咨询人的个人信息进行必要的屏蔽和处理，可能会造成用户信息的泄露，侵犯档案利用者的隐私权。再比如，有的地市住房公积金管理网络系统由于缺乏相应的安全制度和技术保障措施，只需要输入公积金缴存人的姓名就可以查阅到其工资水平和住房公积金缴纳情况，而个人的收入状况属于个人不愿向外界透漏的的隐私，这就造成了个人档案信息的泄露。

（二）档案网络化管理带来的信息安全隐患

网络化管理给档案管理工作带来便利。但是，计算机感染木马病毒和遭受黑客恶意攻击的风险给档案信息的安全性带来隐患。木马程序一旦侵入档案管理系统，很可能会破坏档案信息数据，甚至会采取篡改、盗窃、销毁档案数据的破坏手段，造成档案管理的混乱，给档案数据的安全性带来致命损害。另外，以光盘、硬盘等存储介质为载体的电子数据档案有其自身不可克服的缺点，如信息数据不够稳定、易于损坏和难以固定保存等，加之档案存储设备更新速度很快，若不对档案存储设备以及相关的计算机硬件和软件及时更新，解决数字档案的格式转换等问题，极易造成档案数据丢失、毁损或无法顺利读取等情况发生。

（三）档案管理造成的信息安全隐患

档案信息化对档案管理人员的素质提出了更高的要求，要求档案管理人员不但要精通档案管理知识，还要精通互联网知识、计算机和相应档案管理软件的操作方法。但是，当前档案管理人员的年龄结构存在普遍偏大的状况。有些年龄较大的档案管理人员知识更新不够及时，仍然拘泥于传统的档案管理模式，对信息化的档案管理可能会感觉力不从心。因为对档案管理设备和档案管理软件研究不够深入，操作熟练程度不够等原因，在管理过程中容易造成档案数据意外删除等丢失毁损情况，构成档案信息的安全隐患。

一、关于高校档案数字化及档案信息安全

高校数字化的档案信息从传输、存储到显示利用都要通过计算机来实现，计算机和网络是生成和利用数字档案信息的基础和前提，离开计算机软硬件和网络的传输，数字化的档案信息就不可能读取和显示，因此，数字化档案信息对计算机及网络有很强的依赖性。然而众所周知，计算机及网络具有一定的不安全性，因为计算机网络的某些隐患，有时会使档案信息遭到毁灭性的破坏，这就产生了档案信息的安全问题。如何确保数字化档案信息的保密性、完整性、真实性和可利用性，给高校档案数字化工作带来了极大的挑战，对高校在档案数字化进程中采取先进技术和有效措施，保障高校档案信息安全提出了较高的要求。

二、数字化进程中高校档案信息安全现状

档案数字化给高校档案工作带来了新的生机，数字化档案信息的网络传输和查询在为社会提供广泛信息服务的同时，也给高校档案的信息安全带来了严峻挑战。例如：在数字化加工过程中，有的高校利用勤工助学学生或通过外包实现档案全文数字化，存在对学生培训不够和对数字化加工服务机构、加工场地、加工人员和加工成果等方面监管不到位，管理不规范的问题；有的高校档案管理人员没有经过正规的机要保密培训，在工作实践中，对已触“红线”的档案信息资料继续以常规方法挂网；有的政府信息安全部门对进行档案数字化工作的单位指导不到位等等。

1.高校档案数字化进程中没有完整的法律法规制度保护信息安全。

目前，各高校全文数字化工作主要依据《中华人民共和国档案法》、《高等学校档案管理办法》、《电子公文归档管理暂行办法》等法规。法规制度分散零乱，缺乏系统的规划和设计，对于高校档案信息安全保障法规不成体系，缺少专门的法规。

2.高校档案数字化没有统一技术规范标准。

一、既要强调自主可控又要防止闭关锁国

。其实自主可控今年已经被多次提到，尤其是去IOE。最近我参加了一个相关论坛，国产的厂商表面上都是信心满满，但是一些银行的客户，虽然不能说反对自主可控，但是实际上他们对于国产的产品是有一些顾虑。国家强调自主可控，通过设定一些市场准入门槛或者审查机制，从政策上限制，法律上限制这是正常的，各个国家也都在这么做，但是作为企业来说不能够一味地去强调自主可控，自主可控不等于安全，这个需要我们清醒的认识到。那么对于国外的技术也好、产品也好，我们还是要加强研究，对于一些风险点我们要区别对待。

二、既要关注技术发展又要重视应用创新。

技术的发展是我们安身立命的本钱，这是我们必须要发展的。但是在信息安全领域中应用不太被重视或者跟应用结合比较少，这是我们做的不足的地方。其实近几年商用密码行业出现了新的发展或者出现了更新换代的浪潮，在这个过程中国家密码管理局和人民银行共同促进了国产密码算法应用，从而带动了国产芯片、算法相关配套的产品和软件系统的发展，这是一个应用带动技术发展的很好例子。现在随着金融IC卡的推动，各个银行都在加快金融应用创新，我今年参加了几次金融应用创新的论坛，银行都在积极探讨模式，不管是芯片也好，手机也罢，各种应用模式都层出不穷且个个都具创意，尤其是像一些互联网企业，淘宝也在积极寻求突破，他们要参与到金融应用中来，互联网银行再加上二维码支付这些技术其实都需要我们厂商认真去研究，只有我们把这些应用研究透了我们才能够跟客户有一个公平对话的局面。我们的产品才能够增加附加值，才能够不停地更新换代，才能够避免陷入一味的价格战，地价竞争的态势。

三、既要引得进来也要走得出去。

这个方面重要的是走出去，一味防守是被动的，目前国家密码管理局也在推进国产密码国际化，作为我们产业界来说应该和政府形成良好的互动。有专家说现在产业界声音有点小，在国际上我们也应该积极参与一些国际化组织，积极参与国际市场的竞争，把火势烧到对方那边去。这样一方面能够锻炼我们的产品，另外也是开拓我们自己的市场。

四、既要公平竞争更要合作共赢。

1NIST关于信息技术安全培训的特别出版物

1.1SP800-16

NIST于1998年4月出版发行了SP800-16标准，这是对SP500-172的取代和更新，奠定了针对美国政府工作人员保密教育培训的总体框架和内容，提出了有效的框架并据此评估这一培训体系。SP800-16中提出了IT安全连续学习统一模型。模型基于学习是一个连续统一体这一前提，主要体现了以下观念。“安全意识”显然是所有员工所必须具备的，而“安全基础和文化”是那些以任何方式参与到IT系统的员工（包括承包方员工）所必须具备的。“安全基础和文化”是“意识培养”和“培训”之间的一个过渡阶段。它通过提供一套关键性安全术语和概念的通用基准，来为后续的培训打下基础。经过“安全基础和文化”后，培训的焦点集中于针对个人“相对于IT系统的角色和职责”来提供知识、技术和能力。在这一层，按照技术需求的不同，培训分为初级、中级、高级3个层次。“教育和经验”层着眼于开发能够实现复杂的跨学科活动和所需技能的能力及预见力，以促进IT安全专业化的发展，并与安全威胁发展和技术发展保持同步。按照知识的层次来看，学习是一个连续统一体，但是传授这些知识并不需要按部就班地进行。如果资源有限，组织有责任评估它们的IT安全培训需求范围和培训效果，使培训资源分配能够获得最大的投资回报。与早期美国推行的基于工作职称的教育培训不同，SP800-16旨在提供基于个人工作职能和角色的培训方案，将原本的“一职称一方案”变成了“一角色一方案”。尤其对于一个人在组织中具有多个角色的情况，SP800-16针对每个员工个人培养方案的不同需求灵活变通，力求满足每个角色的培训需求，提供复合式、全面的培训方案。此外，这种培训方法还对不同组织间职称标准划分不同的情况进行了统一，提高了同种角色、不同组织、不同职称间培训方案制定的一致性；同时，提供了开发课程的工具和学习效果评估体系，尽可能准确地确定不同角色、不同职责的每个学生的学习效果，为课程开发者提供全面、翔实的学习效果反馈，帮助保密培训课程、资料的开发者进一步优化教学培训过程。

1.2SP800-50

2003年10月NIST推出的SP800-50标准，它在SP800-16的基础之上更加注重项目在实施过程中机构资源的安全性，特别强调在IT安全意识培养和培训项目的整个生存周期中的4个关键步骤：（1）安全意识培养和培训项目的设计。做机构范围内的需求评估，制定和核准培训策略。为了支持机构已经设立的安全性培训目标，这一策略性的计划文档还需确定所要实现的任务。（2）安全意识培养和培训材料的开发。集中讨论了可利用的培训资源、范围、内容以及培训材料的开发。（3）项目实施。阐述安全意识培养和培训项目的有效沟通和实施，提出传送安全意识培养和培训材料的可选方式（如基于Web、远程教育、视频、网站等）。（4）项目实现之后。就保持项目的通用性和监控其有效性的问题给予指导，描述有效的反馈方式。SP800-50标准讨论了用于管理安全培训项目中的集中式、部分分散式、完全分散式3种比较普遍的模型。（1）集中式。所用责任都集中于核心的权威人士（如IT安全项目经理）。（2）部分分散式。培训方针和策略来自于核心的权威人士，但是实施的职责被分散。（3）完全分散式。只有方针的制订属于核心权威人士，而其他所有的任务均被委派给机构。模型的选用应基于项目的预算、资源分配、组织规模、任务的一致性以及整个组织的地理分布。

2NISTSP800-16的版本演变过程

1998年4月出版的SP800-16第一版首次提出IT安全连续学习统一模型，并设计基于角度和表现的培训模型。该模型按政府工作人员的职能将受训人员分为6种角色，即管理人员、采购人员、设计与开发人员、操作人员、检查测评人员以及普通使用人员。模型针对这6种角色设计了3个基本的培训领域（法律和法规、安全项目管理以及信息系统安全），并为此设计了安全培训课程框架，提出了培训有效性的评估方案。2009年3月NIST了SP800-16的第一次修订草案。一是明确信息安全培训职责，即对涉及信息安全培训的机构领导、首席信息技术执行官、高级机构信息安全官、管理人员、培训设计专家、对信息安全负有重要责任的人员以及用户等7类人员的职责划分。二是在信息安全培训课程的学习层次上强调知识水平的连贯性。三是对第一版的基于角色的培训提出了一个教学设计模型，即针对政府人员的信息安全需求，依次进行需求分析、课程设计、课程开发、培训实践和教学评估等五大环节，这使得信息安全的培训可以迭代改进。2013年10月NIST了对SP800-16的第二次修订版本草案，这次修订中首次提出了网络空间安全培训，因为美国2010年4月启动了《国家网络空间安全教育计划》（NationalInitiativeofCyberSecurityEducation，NICE），该计划旨在通过促进教育和培训来改善人的网络行为、技能和知识，从而增强美国整体的网络空间安全。这意味着美国政府已着手于将网络空间安全上升到国家安全的战略层面上来。2013年版的改动有以下几个方面：一是强调信息安全意识的培训应当在网络空间的背景下进行设计；二是在信息安全培训的目标对象中加入了对重要信息技术和网络空间安全负有责任的政府工作人员；三是对信息安全培训的评估体系进行了细化，即明确提出了评估培训的4个目的。不到半年时间，NIST再次了SP800-16的第三次修订草案，这个版本改动较小，主要是在信息安全培训的组织责任中加入了网络空间培训管理员/首席学习执行官。其职责包括：一是确保培训教材针对具体人员进行设计；二是确保培训教材对目标人员的有效性；三是为信息安全培训提供有效的反馈信息；四是对信息安全培训教材进行及时更新；五是重视培训效果的跟踪和汇报。