信息安全技術報告

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇信息安全技術報告范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

信息安全技術報告范文第1篇

1 調研項目的設計與調研范圍及方法

1.1 項目設計?！笆晃濉逼陂g，省人口計生委全面推進人口信息化管理，啟動建設國家中部人口信息中心和河南全員人口統籌管理信息系統（“金人”工程）。以省級集中方式實現全員戶籍人口和流動人口信息管理，個案信息納入省庫管理，人口計生信息化網絡已經覆蓋省、市、縣、鄉和30%以上的行政村。信息工作全面推開，數字檔案信息安全管理出現了許多亟待解決的問題。項目目的是為摸清數字檔案信息安全現狀，發現信息安全管理工作中存在的問題及困難，提出合理化建議，以便采取有針對性的措施。

1.2 調研范圍與方式。此次調研從2011年3月起至2013年3月30日止，在全省隨機選取4個省級計生部門（省計生科研院、省藥具管理站和省計生協會、省計生干部學院）、26個市級計生部門（包括市計生委、市藥具站、市協會、市技術指導站）、63個縣區級計生部門（包括縣計生委、縣計生指導站、縣藥具站）單位和個人，發放調查表200份，收回問卷196份，有效率98%。

主要運用問卷調查、電話采訪與實地調研相結合的方法，把影響數字檔案信息安全的管理、硬件設施和人員素質三個方面作為問卷設計和訪談內容。根據國家有關的電子文件歸檔管理文件和計生系統的實際，針對單位和個人設計了兩張問卷，單位問卷設置了21道題目，個人問卷設置了2大類題，16道小題。

2 數字檔案信息安全現狀與調查分析

2.1 數字檔案業務概況。在省級機構，2個單位有綜合檔案室，其他單位檔案按照業務劃分科室管理，都有專兼職固定的檔案員，單位檔案管理狀況較好，數字檔案占全部檔案資料的7%；受編制限制和工作業務限制，市縣區級計生檔案部門紙質檔案文件來源少，最少的內部發文只有10件，數字檔案數量更少，沒有實現集中管理；全系統的檔案管理工作大多停留在傳統的保管紙質檔案文件的工作模式上，電子文件不能有效歸檔，從而無法實現妥善保管。

2.2 管理體制情況。參與調研的單位中，數字檔案信息安全工作均實行統一領導、分級管理的模式，包括業務督導和組織培訓。省市級單位按要求全部參加全省人口計生系統網絡安全培訓班，對網絡基礎知識、交換原理、路由技術與路由器、信息安全有一定了解。對本單位檔案部門或下屬單位檔案工作主要通過組織人員參加基本業務或專題培訓班（如安裝統一的管理軟件）以及個別指導的方式進行。市縣級計生部門的數字檔案信息安全工作以接受上級監督指導為主，95%單位把數字檔案信息安全工作納入了年度工作計劃或“十二五”檔案數字加工與信息安全發展規劃；用于數字檔案信息安全工作所需經費全部來自財政撥款，投入比例信息大都不愿透露，無法了解到；參與調研單位全部配備信息員和專、兼職人員管理數字檔案信息工作。

2.3 制度建設情況。在省人口計生委突發公共事件應急處理工作領導小組領導下，出臺了《河南省人口計生委突發公共事件應急預案》，其中包含了數字檔案信息安全內容。70%以上的單位有信息安全緊急預案，但是數字檔案信息安全專項制度缺失。

2.4 硬件配備情況。安全基礎設施是數字檔案信息安全管理的保障。對安全基礎設施包括設備配置、網站建設、是否安裝防病毒設施等方面進行了調研。在被調研的單位中，98.89%市縣人口計生委單機配備數量和機關公務員編制人數（不含機房設備和筆記本計算機）持平，市縣藥具站單機配備數量達到每個業務科室至少1臺標準，95.37%以上單位計算機安裝有防火墻，但在入侵檢測、信息加密方面設施不足；大多應用office辦公軟件對檔案進行目錄級管理，數字化管理檔案水平普遍偏低；省級、市級計生部門全部建有網站和局域網，26個市級調研單位中安裝數字化檔案采集轉化系統的有6個，占23.08%；安裝在線檔案存儲管理與安全系統的有4個，占15.38%，縣區級計生部門安全設施建設在經費緊張的情況下，投入較少。

2.5 人員數字檔案信息安全素質情況。從參加調研的196名工作人員中了解到，工作上大量使用計算機，每天使用電腦工作2小時～5小時的有83人，占總數的42.34%，使用5小時～8小時的有54人，占總數的27.55%。使用電腦的主要目的，選工作的有164人，占總數的83.67%；查閱資料的有129人，占總數的65.82%。人員學歷水平，中專學歷的有31人，占總數的15.81%；大專以上學歷的有94人，占總數的47.95%；本科以上學歷的有67人，占總數的34.18%；碩士學位的有1人，占總數的0.05%。

平常工作中，使用殺毒軟件的有193人，占總數的98.47%；能夠自行處理病毒（求助他人或者找專業人士）的有161人，占總數的82.14%。在“您了解哪類信息安全技術和產品”問題的備選答案“防火墻、反病毒軟件、反垃圾郵件、動態密碼令牌”中，選擇最多的是防火墻，占總數的83.81%。認為當前數字檔案信息安全障礙主要有：選擇信息安全人才不夠的有66人，占總數的33.67%；選擇技術不過關的有60人，占總數的30.61%；選擇普遍缺乏信息安全意識的有44人，占總數的22.45%。參加了計算機安全知識培訓的有158人，占總數的80.61%，其中，參加本單位檔案信息安全培訓的有77人，占總數的39.29%，參加計生委培訓的有85人，占總數的43.37%，86.53%的人員只接受過一次培訓。

3 關于我省計生系統數字檔案安全的建議

通過定量和定性的分析，得出當前計生系統的數字檔案信息安全存在以下問題：檔案的數字化水平偏低，多數人員對數字檔案信息安全管理的重要性、緊迫性認識不足，認為保障信息安全就是保障數字檔案信息安全；對數字檔案信息安全知識了解甚少，認為保障數字檔案信息安全就是安裝殺毒軟件、設置防火墻；接受檔案業務培訓和數字檔案信息安全教育頻次偏低；行業性的數字檔案信息安全制度缺失；缺乏專業數字檔案安全管理人才和硬件設備等問題，與當前數字檔案信息安全工作發展有相當大差距，與大量應用計算機工作實際情況極不協調。針對以上問題，提出如下建議：

一是加強數字檔案信息安全意識教育和宣傳。建議在已有的人口數據信息平臺的基礎上，利用全員、流動人口、利導、人事、財務等人口信息系統服務基層，同時宣傳檔案和數字檔案信息安全知識，以期達到良好效果。在實際工作中，加強宣傳和管理力度，將數字檔案信息安全工作實行工作考核制，納入年度考核和目標考評。

二是培養復合型人才。專業信息安全管理人才是保障信息安全的最有效措施。對計生部門全體人員根據對象的業務需求分層級、有重點、有周期地組織數字檔案信息安全知識培訓，提高數字檔案安全意識水平，并保證各層級檔案人員接受培訓的頻次。如通過上級對下級的業務監督指導或參加相關的數字檔案信息安全培訓、組建QQ業務群、制作數字檔案整理流程教學光盤、電子版制度匯編及業務手冊等手段，實行多渠道、多層次、多類型的方法培養人才，提高隊伍的整體數字檔案信息安全業務素質。

三是建立健全數字檔案信息安全規章制度。針對調研中發現的缺乏人口計生數字檔案信息安全標準規范體系問題，今后，應著重建立管理制度：首先是實行數字檔案信息安全管理崗位責任制，做到分工明確、層層負責，確保網絡、系統和數據的安全，讓參與數字檔案信息安全保障的所有人員都能夠按照確定的要求去行動。其次是建立符合實際的數字檔案信息安全管理制度。根據數字檔案業務實際，對數字檔案信息化管理的軟件、操作系統、數據的維護、防災和恢復建立相關制度，制定應急處置預案。定期開展應急演練，提高整體數字檔案信息安全防范水平。最后是業務工作制度化，對新發現的問題，如人口科技檔案、免費計生項目電子檔案的歸檔范圍及整理方式等制定相應的管理規范，及時統一歸檔，為科技業務工作提供高質量的數據支持。

四是項目帶動，加快數字檔案信息硬件設施的建設。數字檔案信息安全工作包括人財物投入、軟硬件的集成，需要資金、技術、政策等各方面的支持，通過計劃生育科技服務項目帶動數字檔案信息安全工作是很好的一個途徑，爭取把數字檔案信息安全建設納入信息化建設總體規劃中，從項目獲取數字檔案信息安全建設的專項資金支持。例如，我院的孕前優生項目數據庫的建設，不僅為項目提供了所需的軟硬件設施，也推動了單位的數字檔案信息安全網絡建設。

計劃生育系統形成的檔案，含有大量民生信息，與改善民生、維護廣大人民群眾的合法權益息息相關，數字檔案信息安全顯得尤為重要。由于此次調研樣本量有限，難免使所得結論存在一定的局限性。期望此次調研對計生系統不同層級的部門數字檔案信息安全工作所作的客觀描述，能為推進和改善計生數字檔案安全工作提供參考。

信息安全技術報告范文第2篇

 

安全技術需自主研發

 

網絡信息安全行業不是普通行業，是關系到國家安全的特殊行業，中國國產企業在從事信息安全行業時，需要有強烈的愛國主義情懷和刻苦研發技術的實干精神。

 

表示，中國的信息安全更應重視核心技術的自主研發能力。在電子銀行與移動支付興起的今天，金融業務中電子銀行和證券等領域面臨著網絡攻擊、病毒侵擾、非法竊取賬戶信息、客戶信息泄漏等新的信息安全問題。眾人科技研發的‘iKEY多因素動態密碼身份認證系統’正是針對信息安全問題所研發的認證系統。

 

記者了解到，“iKEY多因素動態密碼身份認證系統”是基于時間同步技術的多因素認證系統，該系統已獲得了國家密碼管理局頒發的國內首張動態口令產品證書，相關的專用安全芯片也獲得了國內產品型號證書。

 

去介質下的認證技術

 

最新數據顯示，截止2015年底，全國網民數規模已達到6.88億人，手機網民數達到6.2億人，占網民總數的90.1%，其中網購用戶規模達到4.13億，比例高達六成;截至2015年12月，網上支付用戶規模達4.16億人，手機網上支付用戶規模達3.58億人，增長率為64.5%。網民手機網上支付的比例由2014年底的39.0%提升至57.7%。

 

龐大的網民逐漸使用起網上支付這種便捷移動的方式，但背后卻有著巨大的網絡安全隱患。就中國而言，每年造成805億資金損失，人均124元。其中約4500萬網民近一年遭受經濟損失在1000元以上，全球范圍內的網絡犯罪掘金已高達3萬億美金。

 

推測，隨著支付、存款、轉賬、理財、信貸等金融服務的線上化，未來金融服務不再依賴于實體的銀行卡，銀行物理網點也將轉型并逐漸消失，未來銀行的介質是可以多元化的，比如虹膜、指紋等，甚至銀行卡實體會“消失”或者虛擬化。

 

基于這些實際情況，上海眾人網絡安全技術有限公司的研發團隊最新發明了移動互聯網創新密碼技術——SOTP，即“多因素動態可重構的確定真實性認證技術”，實現了密鑰和算法的融合，在無需增加硬件的前提下，采用軟件方式解決移動設備中存儲密鑰的關鍵性問題。表示：“該項技術從加密協議到密碼算法的所有部件都由眾人科技自主研發，在業界具有領先優勢。”

 

提高全民安全意識

 

據《中國網民權益保護調查報告(2015)》顯示，79.2%的中國網民個人身份信息被泄露過，包括網民的姓名、學歷、家庭住址、身份證號和工作單位等;63.4%的網民個人網上活動信息被泄露過，包括通話記錄、網購記錄、網站瀏覽痕跡、IP地址等等。

 

未來，隨著民眾對信息安全的重視，信息安全技術逐漸升溫，很多信息網絡企業開始積極投身到這個領域，說：“網絡信息安全企業不同于普通行業，信息安全人士需要有持久的耐心，由于安全密碼行業的認證許可門檻高，研發的新技術從獲得政府監管部門的認證許可，到產品真正被市場認可并應用，需要經過漫長的時間?！?/p>

 

另一方面，認為提高廣大民眾和企業的信息安全意識是發展自主信息安全產品的根本與前提。但大多數人對信息安全還停留在模糊認識的階段，為此，眾人科技團隊曾四處奔走為信息安全搖旗吶喊，致力于提高廣大民主的信息安全意識，增進公眾對信息安全的關注和投入，為信息安全行業的發展創造一個良好的環境。

信息安全技術報告范文第3篇

關鍵詞：計算機技術 網絡 不安全問題 信息安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2013）02-0172-01

隨著計算機網絡的發展，它的開放性，共享，互聯程度的增加，網絡的重要性和對社會的影響越來越大。網絡與信息安全問題日益突出，已成為國家安全，社會穩定和人民生活，網絡安全技術的發展及相應的網絡技術，安全、有序、高效的網絡安全運行，是保證網絡的一個關鍵，高效，有序的應用。

1 網絡信息不安全原因

不安全的網絡從總體上看主要來自兩方面，一是人為和自然災害；另一方面是網絡系統本身的缺陷。人的原因是人的入侵和攻擊，破壞網絡系統的正常運行。一些“黑客”計算機病毒可以方便地在網絡中傳播，入侵和攻擊，摧毀單位或個人計算機系統，竊取機密信息和帳戶密碼，從事各種違法犯罪活動。自然災害的主要原因是指火災，洪水，暴雨，雷電，地震的破壞，環境（溫度，濕度，振動，沖擊，污染的影響）。據調查，許多大型計算機房，沒有地震，防水，雷擊，電磁泄漏或干擾措施，接地系統缺乏周密考慮，因而抵抗自然災害和意外事故，計算機信息系統不能正常、可靠地運行，這是常見的。設備損壞，數據丟失等現象。

2 網絡信息安全的現狀和特點

根據中國互聯網絡信息中心，中國的統計數據顯示，截至2010年12月31日，中國網民規模占全球互聯網用戶總數的23.2%，在亞洲互聯網用戶總數的55.4%。網絡購物用戶規模達161000000人，網絡購物用戶每年增長48.6%，是增長最快的應用程序用戶。互聯網已經融入到人們的生活，所有的學習領域，使人們的生活變得豐富多彩，但也帶來了許多安全問題，并越來越嚴重。主要表現在以下幾個方面：

2.1 網絡安全防范意識薄弱

目前，企業已在其內部辦公網絡的數據進行整合，從上到下建立一個數據采集系統，網上辦公系統，對網絡的需求越來越大，但相比于網絡安全的維護網絡安全投資網絡建設的投資遠遠落后。許多人沒有目的和清晰的認識，對本單位網絡安全現狀，有許多認知盲區，沒有形成主動預防的意識，積極響應，更不用說提高網絡監測，保護，響應，恢復和戰斗了。

2.2 病毒泛濫防不勝防

據公安部的《第九次全國信息網絡安全狀況與計算機病毒疫情調查報告》。在已發生的網絡信息安全事件中，感染計算機病毒、蠕蟲和木馬程序的情況占全部類型的70.5%。

目前，加重計算機病毒木馬本土化的趨勢，品種更快，更多的變化，潛伏性和隱蔽性增強，識別難度更大，和殺毒軟件的能力更強，攻擊目標是明確的，顯著的盈利目標。因此，一個計算機用戶賬號密碼被盜的現象越來越多。木馬病毒傳播的主要渠道是網頁掛馬和移動存儲介質中，網頁，網頁木馬和可移動的存儲介質，其中的網頁木馬出現復合化的趨勢。病毒，木馬，蠕動蔓延的長期影響的總體情況，網絡與信息安全。

2.3 黑客的威脅

黑客們利用單位的安全漏洞，非法訪問內部網絡，未經許可，任何修改各類數據，非法獲取相關信息，擾亂了網絡的秩序。

3 網絡安全的防范策略

加強網絡安全技術應用：（1）虛擬網絡技術的使用，網絡監控和入侵的預防手段。（2）用于保護網絡免受黑客防火墻技術。（3）檢測和病毒查殺病毒保護技術。（4）為了保證應用平臺和操作系統，利用電子郵件安全應用系統的安全技術。有關法律、法規和提高網絡安全教育。除了上面提到的技術手段，大力開展網絡安全教育和完善有關法律法規，為人工措施不容忽視。近年來，網絡安全威脅，網絡欺騙是因為網絡安全意識的淡薄等相關的原因。因此，有必要進行改進，結合網絡安全技術手段發揮有效的影響。

參考文獻

[1]唐明雙.論對計算機網絡安全及建設的研究[J].數字技術與應用.2012（12）.

[2]王大鵬.計算機網絡安全與防范策略研究[J].科技視界.2012（26）.

[3]朝曉華.淺析計算機信息安全技術[J].黑龍江科技信息，2010，15.

[4]關良輝.電力企業局域網的信息安全研究[J].電力安全技術，2010.（6）.

信息安全技術報告范文第4篇

【 關鍵詞 】 信息安全；電力企業；風險評估；管理模式

1 引言

在如今的信息化社會中，信息通過共享傳遞實現其價值。在信息交換的過程中，人們肯定會擔心自己的信息泄露，所以信息安全備受關注，企業的信息安全就更為重要了。但是網絡是一個開放互聯的環境，接入網絡的方式多樣，再加上技術存在的漏洞或者人們可能的操作失誤等，信息安全問題一刻不容忽視。尤其是電力，是國家規定的重要信息安全領域。所以電力企業要把信息安全管理體系的建設，作為重要的一環納入到整個企業管理體系中去。

2 電力企業信息管理體系建設的依據

關于企業的安全管理體系方面的標準有很多。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個部分內容：信息安全管理實施規則和信息安全管理體系規范。信息安全管理實施規則是一個基礎性指導文件，里面有10大管理項、36個執行的目標和127種控制的方法，可以作為開發人員在信息安全管理體系開發過程中的一個參考文檔。信息安全管理體系規范則詳細描述了在建立、施工和維護信息安全管理體系過程的要求，并提出了一些具體操作的建議。

國際標準化組織也了很多關于信息安全技術的標準，如ISO x系列、ISO/IEC x系列等。我國也制定了一系列的信息安全標準，如GB 15851―1995。

關于企業信息安全管理體系方面的標準眾多，如何針對企業自身實際情況選擇合適的參考標準很重要，尤其是電力企業有著與其他企業不同的一些特殊性質，選擇信息安全體系建設的參考標準更要謹慎。我國電力企業已經引入了一些國際化標準作為建立和維護企業運轉的保證，關于信息安全體系的標準也應納入到保證企業運轉的一系列參考中去。電力企業總體應有一致的安全信息管理體系參考標準，但是具體地區的公司又有著本身自己的特殊環境，所以在總體一致的信息安全標準的情況下，也應該根據企業自身地區、人文、政策等的不同制定一些企業內部自己信息安全標準作為建立、實施和維護信息安全管理體系的依據。信息安全管理體系顧全大局又要有所側重的體現電力企業安全標準的要求。

3 信息安全管理體系里的重要環節

3.1 硬件環境要求

信息安全管理體系并沒有特別要求添加什么特別的設備，只是對企業用到的設備做一些要求。電力企業一般采用內外網結合的方式，內外網設備要盡量進行物理隔離。企業每個員工基本都有自己的移動設備，如手機等，為了增加信息安全的系數，企業可以限制公司設備的無線網絡拓展。另外，實時監控系統也應該覆蓋企業的重要設備，監控硬件設備的安全。

3.2 軟件環境要求

在企業設備（主要是計算機）上部署相關軟件環境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統弱口令監控軟件的部署等，以此防止網絡攻擊或者提高安全系數。另外，企業設備所用系統的安全漏洞修復、數據的加密解密、數據的備份恢復及數據傳輸通道的加密解密等問題，都在信息安全管理體系設計的考慮范疇。

3.3 企業員工管理

盡管現在一直倡導智能化，但是企業內進行設備等操作的主體還是員工。不管是對設備終端操作來進行信息的首發，還是對企業軟硬件系統進行維護工作，都是有員工來進行的。所以，對企業內部員工進行信息安全培訓，提高員工的信息安全防范意識，讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對不同的職位，在員工上崗前應該進行相關的信息安全方面的培訓，然后對培訓結果進行考核，不合格的人員不準上崗。在崗的人員也要定期進行培訓與考核。另外，如果有條件的話，企業應該定期（例如每年）進行一次信息安全的相關演習。

另外，電力企業有些項目是外包給其他相應公司的，這時候會有施工人員和駐場人員在電力企業，對這些人員也應該進行電力企業信息安全的培訓。

3.4 信息安全管理體系的風險系數評估

風險評估在信息安全管理體系中是確定企業信息安全需求的一個重要途徑，它是對企業的信息資產所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用下所帶來的風險可能性的評測。風險評估的主要任務是：檢測評估對象所面臨的各種風險，估計風險的概率和可能帶來的負面影響的程度，確定信息安全管理體系承受風險的能力，確定不同風險發生后消減和控制的優先級，對消除風險提出建議。在信息安全管理體系的風險系數評估過程中，形成《風險系數評估報告》、《風險處理方案》等文檔，作為對信息安全管理體系進行調整的參考。風險系數的評估要盡可能全面的反映企業的信息安全管理體系，除了常規手段，也可以使用一些相應的軟件工具的結果作為參考。另外很值得注意的是企業的員工對風險的理解，企業員工對他們所操作的對象有比較深刻的理解，對其中可能存在的不足也有自己的見解，在風險系數評估的過程中，可以進行一些員工的問卷調查等，把員工對風險的認識納入風險評估的考慮范疇。

企業的設備會老舊更換，員工也會更換，所以企業的信息安全是動態的，因此風險評估工作也要視具體情況定期進行，針對當前情況作評估報告，然后制定相應的風險處理方案。還有，之所以要建立信息安全管理體系，其中很重要的一點就是體系內各個模塊的結合，信息安全管理體系的風險評估與關鍵內容的實時監控就應該結合起來。

為了降低信息安全管理體系的風險系數，提升信息安全等級，要做的工作很多。滲透測試就是其中很有必要的一項工作。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式，來評估企業計算機網絡系統安全的一種評測方法。這個測試過程會對系統的可知的所有弱點、技術方面的缺陷或者漏洞等作主動的分析。滲透測試對于網絡信息安全的組織具有實際應用價值。隨著技術的不斷進步，可能還會出現其他的更有價值的信息安全技術，作為信息安全備受矚目的電力企業，應當時刻關注相關技術的進展，并及時將它們納入企業信息安全管理體系中來。

3.5 信息安全管理體系的管理模式

文章前面提到企業信息安全是動態的，所以信息安全管理體系需要建立一個長效的機制，針對最新的情況及時對自身作出調整，使信息安全管理體系有效的運行?，F在一般會采用PDCA循環過程模式：計劃，依照體系整個的方針和目標，建立與控制風險系數、提高信息安全的有關的安全方針、過程、指標和程序等；執行：實施和運作計劃中建立的方針、過程、程序等；評測：根據方針、目標等，評估業績，并形成報告，也就是文章前面說到的風險系數評估；舉措：采取主動糾正或預防措施對體系進行調整，進一步提高體系運作的有效性。這四個步驟循環運轉，成為一個閉環，是信息安全管理體系得到持續的改進。

4 重要技術及展望

4.1 安全隔離技術

電力企業的信息網絡是由內外網兩部分組成，從被防御的角度來看的話，內網的主要安全防護技術為防火墻、桌面弱口令監控、入侵檢測技術等；而主動防護則主要采用的是安全隔離技術等。安全隔離技術包括物理隔離、協議隔離技術和防火墻技術。一般電力企業采用了物理隔離與防火墻技術，在內網設立防火墻，在內外網之間進行物理隔離。

4.2 數據加密技術

企業的數據在傳輸過程中一般都要進行加密來降低信息泄露的風險。可以根據電力企業內部具體的安全要求，對規定的文檔、視圖等在傳輸前進行數據加密。尤其是電力企業通過外網傳輸的時候，除了對數據進行加密外，還應該在鏈路兩端進行通道加密。

4.3 終端弱口令監控技術

終端設備眾多，而且是業務應用的主要入口，所以終端口令關乎業務數據的安全以及整個系統的正常運轉。如果終端口令過于簡單薄弱，相當于沒有設定而將設備暴露。終端的信息安全是電力企業信息安全的第一道防線，因此采用桌面系統弱口令監控技術來加強這第一道防線的穩固性對電力企業的信息安全非常重要。

電力企業信息安全管理體系是一個復雜的系統，包含眾多的安全技術，如數據備份及災難恢復技術、終端安全檢查與用戶身份認證技術、虛擬專用網技術、協議隔離技術等。凡是與信息安全相關的技術，電力企業都應當關注，并根據企業自身的情況決定是否將之納入到信息安全管理體系中去。

智能化已成為不管是研究還是社會應用的熱門詞匯。電力企業的信息安全管理體系是否可以智能化呢？不妨做一個展望，電力企業的信息安全管理體系有了很強的自我學習與自我改進的能力，在信息安全環境越來越復雜，信息量越來越龐大的情況下是否會更能發揮信息安全管理體系的作用呢？這應該是值得期待的。

5 防病毒軟件部署

電力企業信息安全管理體系有很多軟件系統的部署，如防病毒軟件部署、桌面弱口令監控系統部署、系統安全衛士部署等。但是它們的部署情況類似，這里用防病毒軟件的部署來展示電力企業信息安全管理體系中軟件系統的部署情況。如圖1所示為防病毒軟件的部署框架。

殺毒軟件種類有很多，這里以賽門鐵克殺毒軟件為例。企業版的賽門鐵克防病毒軟件系統相比單機版增加了網絡管理的功能，能夠很大程度地減輕維護人員的工作量。為了確保防病毒軟件系統的穩定運行，在電力企業內部正式使用時，盡量準備一立的服務器作為防病毒軟件專用的服務器。

服務器安裝配置好賽門鐵克防病毒軟件后，可以遠程控制客戶端與下級升級服務器的軟件安裝與升級。

電力企業內網可能是禁止接入外網的，這樣的話，防病毒軟件的更新可能無法自動完成。防病毒軟件需要升級的時候，維護人員在通過外網在相應網址下載賽門鐵克升級包，然后通過安全U盤拷貝到防病毒軟件系統專用服務器進行升級操作。在圖1中，省電力公司的防病毒管理控制臺獲得升級包可以下發給下級升級服務器和客戶端進行防病毒軟件系統的自動升級更新。圖1是一個簡單的框圖，如果電力企業的內網規模很大的話，還可以更多級地分布部署。

6 結束語

電力企業的信息安全與企業的生產與經營管理密切相關，是企業整個管理系統的一部分。信息安全管理體系是一個整體性的管理工作，把體系中涉及的內容統一進行管理，讓它們協調運作，實現信息安全管理體系的功能。電力企業信息安全的建立與體系不斷的改進定能穩定、有效地維護企業的信息安全。

參考文獻

[1] 王志強，李建剛.電網企業信息安全管理體系建設[J].浙江省電力公司，2008，6（3）：26-29.

[2] 陳賀，宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化，2014，17（1）：74-76.

[3] 郭建，顧志強.電力企業信息安全現狀分析及管理對策[J].信息技術，2013（1）：180-187.

[4] 沈軍.火力發電廠信息你安全體系構建與應用[J].電力信息通信技術，2013，11（8）：103-108.

[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密，2010，01（10）：68-71.

[6] 楊柳.構建供電企業信息安全體系[J].電腦知識與技術，2005（29）.

[7] 曹鳴鵬， 趙偉， 許林英. J2EE技術及其實現[J]. 計算機應用，2001， 21（10）： 20-23.

[8] 江和平.淺談網絡信息安全技術[J].現代情報學，2004（14）：125-127.

作者簡介：

崔阿軍（1984-），男，甘肅平涼人，碩士研究生，工程師；主要研究方向和關注領域：電力信息通信安全技術研究。

張馴（1984-），男，江蘇揚州人，本科，工程師；主要研究方向和關注領域：電力信息通信安全技術研究。

李志茹（1984-），女，山東平度人，碩士研究生，工程師；主要研究方向和關注領域：信息化建設及安全技術。

龔波（1981-），男，湖南新邵人，本科，工程師；主要研究方向和關注領域：電力信息化建設及安全技術。

信息安全技術報告范文第5篇

【 關鍵詞 】 中小商業銀行；等級保護；信息科技風險管理；信息安全體系框架

1 中小銀行等級保護咨詢服務的背景

隨著信息技術的不斷進步與發展，信息系統的安全建設顯得尤為重要。2012年6月29日人民銀行下發了“銀發【2012】163號”文件，為進一步落實《信息安全等級保護管理辦法》（公通字〔2007〕 43號文印發），加強對銀行業信息安全等級保護工作的指導，結合近年來銀行業信息安全等級保護工作開展情況，人民銀行給出了銀行業金融機構信息系統安全等級保護定級的指導意見，至此，正式的拉開了中小商業銀行等級保護建設和整改工作的序幕。

2 等級保護咨詢服務的項目目標

國內中小銀行在信息安全的發展程度，大部分處于自我認知的階段，一邊忙于業務發展的保障需要，一邊又要應對上級監管部門的監督檢查，對于安全建設來說，大部分沒有納入到戰略的層面來考慮。因此，借助于等級保護咨詢服務來建立的這樣一套信息安全體系，必須同時滿足公安部等級保護基本要求、人民銀行等級保護的測評要求和銀監會關于IT風險管理的要求。這些目標相輔相承，互為補充。只有將通用的要求、標準、規范落實到自己IT風險管理體系的各方面，建立適合自己業務特點與發展需求的信息安全體系，才能達到有效管理風險、進行IT治理的目的，并最終通過等級測評。

3 等級保護咨詢服務的總體思路

中小銀行在咨詢服務項目需要主動地全面的考量自身情況，綜合分析人民銀行、銀監會和等級保護的要求，在現有的安全工作基礎之上，建立統一的信息安全體系，同時滿足這些主要的監管要求。這樣面臨檢查時，只要客觀反映出當前狀態就可以，有效降低臨時的材料組織工作。

同時滿足三方面監管要求的信息安全體系，這個信息安全體系將以公安部的等級保護《基本要求》、人民銀行的《等保測評指南》和銀監會《管理指引》為主要依據來搭建起框架，以各專項監管指引為各個領域的具體工作指導，以ISO27000為代表的國內外信息安全標準為補充。

4 等級保護咨詢服務的內容

等級保護的咨詢服務具體實施過程可參考公安部下發的《信息系統安全等級保護實施指南》，“指南”中將等級保護工作分為了定級備案、規劃設計、建設整改和等級測評四大過程。

4.1 系統定級

系統定級階段需要完成的工作。

1） 等級保護的導入培訓：在進行咨詢服務之前，需要對銀行相關科室信息人員進行等級保護的內容培訓。只要講清楚等保是什么，需要各級人員配合的工作點是什么就可以了。

2） 系統業務安全域劃分：這個階段需要進行信息搜集和資產調研。明確業務系統的范圍、邊界、功能、以及重要性等。

3） 編寫系統定級報告和備案表：定級報告和備案表都是按照公安部等保辦公室的通用模版來編寫的，內容包含了系統功能描述、網絡拓撲、定級的理由和依據等。

4） 召開專家評審會、獲得備案證明：召開專家評審會并獲得備案證明可視為一個里程碑式的階段性成果，因為定級和備案是等級保護工作開展的前提，如果級別定錯了，或者專家有不同的評審意見，則后續的設計方案、整改方案均無法執行。同時，對于銀行信息科技部門的領導而言，服務工作做的怎么樣無法量化，但是備案證書是看的見，摸的著的，如果能在評審會現場當場頒發，則意義更加重大。

4.2 規劃與設計

規劃與設計階段的主要工作就是進行等級差距分析和風險評估。

1） 技術層面可直接參考人民銀行關于金融行業的“測評指南”來完成，可操作性較強?？煞治锢?、網絡、主機、應用、數據五個層面進行差距評估，同時對網絡流量和網絡協議進行簡單的分析，通過漏洞掃描設備、配置核查設備、滲透工具等進行風險分析，輸出風險評估報告和技術層面的差距評估報告。

2） 管理層面上，等保的管理要求相對薄弱，集中體現在運維管理等方面，如果要達到人民銀行和銀監會的標準，還有很多需要加強和補充的地方，可以對現有的制度文檔進行一個簡單的梳理，用最短的時間完成等保的管理制度調研。

4.3 實施與整改

實施與整改階段需要按照規劃階段的設計方案進行實施，以滿足等級保護安全體系的建設要求。

1） 組織體系整改：安全管理組織應形成由主管領導牽頭的信息安全領導小組、具體信息安全職能部門負責日常工作的組織模式?？蓞⒖家殉闪⒌摹兜缺ｎI導小組》設立模式，但應具體到管理員崗位。

2） 管理體系整改：按照等級保護的要求補充或重新制定管理制度，根據咨詢方提供的制度模版，銀行可根據自身的實際業務需求進行修改，并經內部討論修訂后，下文試運行。

3） 技術體系整改：技術體系整改應從三個層面進行考慮。

制定技術規范：包括windows、AIX、Informix、tuxedo、cisco等主流設備的安全配置規范；可考慮聘請專業安全公司進行咨詢服務，制定適合銀行長期發展的安全策略和技術安全規范。

安全配置加固：根據已制定的技術規范進行主機、服務器、網絡設備、安全設備的全面的安全加固。

安全設備采購：在安全技術體系的具體實現過程中，需要落實安全技術詳細設計方案中的具體技術要求，將先進的信息安全技術落實到具體安全產品中，形成合理、有效、可靠的安全防護體系。

4.4 等級測評

根據人民銀行的《金融行業信息安全等級保護測評服務安全指引》選擇具有資質的第三方測評機構進行等級測評，一般當地公安機關會指定2-3家評估中心進行等級測評，如果銀行自行聯系省外的測評機構，可能需要事先跟當地省公安廳取得聯系，確保該測評機構的測評報告在本省是受到認可的。

實際上做了咨詢服務之后，等級測評的工作就變的非常簡單，因為咨詢方會在規劃與設計階段就會與測評中心取得聯系，確保其設計方案和整改實施方案得到專家和測評中心的認可，保障其順利實施。所以在等級測評的時候，測評師從進場到出具評測報告大概只需一周左右的時間。

5 結束語

關于金融業等級保護的建設工作，是今后兩年的一個重點工作，尤其是中小銀行可借助合規要求，由信息科技部門立項，向行內申請更多的資源來完善自身的安全體系建設工作。

參考文獻

[1] 武冬立.銀行業安全防范建設指南.長安出版社，2008-11-1.

[2]李宗怡. 中國銀行安全網構建基礎研究.經濟管理出版社，2006-6-1.

[3] 劉志友.商業銀行安全問題研究.中國金融出版社， 2010-3-1.

[4] 曹子建，趙宇峰，容曉峰.網絡入侵檢測與防火墻聯動平臺設計[J].信息網絡安全，2012，（09）：12-14.

[5] 傅慧.動態包過濾防火墻規則優化研究[J].信息網絡安全，2012，（12）：12-14.