導語：如何才能寫好一篇信息安全事件報告，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

    論文摘要：本文強調審計工作的安全、高效和信息化，從審計工作的現狀、發(fā)展瓶頸到信息化審計的制度健全、引入主機系統(tǒng)安全審計、業(yè)務系統(tǒng)安全審計等相關管理辦法、新技術或新理念和待解決的問題等方面，論述構建安全高效的審計信息化安全保障體系的措施。 

審計是客觀評價個人，組織、制度、程序、項目或產品。審計執(zhí)行是以確定有效性和可靠性的信息，還提供了一個可內控的評估系統(tǒng)。審計的目標是表達人、組織、系統(tǒng)等的評估意見，審計人員在測試環(huán)境中進行評估工作。審計必須出示合理并基本無誤的報表，通常是利用統(tǒng)計抽樣來完成。審計也是用來考察和防止虛假數據及欺騙行為，檢查、考證目標的完整性、準確性，以及檢查目標是否符合既定的標準、尺度和其它審計準則。實現審計的信息化，有利于管理層迅速準確的做出決定，對于政企業(yè)發(fā)展、社會經濟的進步都具有重要作用。目前，我國的審計工作尚存在性質認定模糊、工作范圍過于狹窄等問題，有待進一步加強和改進。 

審計的基礎工作是內部審計，內審是審計監(jiān)督體系中不可或缺的重要組成部分，是全面經濟管理必不可少的手段，是加強任何機構內部管理的必要，推動經濟管理向科學化方向發(fā)展的重要環(huán)節(jié)也是審計。因此說審計部門是其他監(jiān)督部門不能代替的，促進黨風廉政建設、加強對黨政領導干部及管理人員的監(jiān)督都可以通過審計來完成。審計應用與高新技術機構中，在防范風險中發(fā)揮著重要作用，也有助于領導層做出正確決策。 

 

一、審計工作的現狀及存在的問題 

 

隨著我國經濟迅猛發(fā)展，審計監(jiān)督力度不斷增強，審計范圍也不斷擴大。當前，審計方式已由財政財務審計向效益審計發(fā)展，由賬項基礎審計向制度基礎審計、風險基礎審計發(fā)展，由事后審計向事中、事前審計發(fā)展。審計管理上建立審計質量控制體系，要求審計機關把審計管理工作前移，把質量控制體系貫穿與審計工作中。在此趨勢下，傳統(tǒng)的審計方法暴露出其效率低、審計范圍小等劣勢，使得完成審計任務，達到審計目標越發(fā)缺乏及時性。 

(一)內部審計性質認定較為模糊。內部審計是市場經濟條件下，基于加強經營管理的內在需要，也是內部審計賴以存在的客觀基礎。但是，現代內部審計的產生卻是一個行政命令產物，強調外向。這種審計模式使人們對內部審計在性質認定上產生模糊，阻礙了內部審計的發(fā)展。內部審計很難融入經營管理中，審計工作很難正常開展，很難履行監(jiān)督評價職能和開展保證咨詢活動，因此就不能充分發(fā)揮其應有的內向的作用。 

(二)內部審計工作范圍過于狹窄。內部審計的目的在于為組織增加價值并提高組織的運作效率，其職能是監(jiān)督和服務。但是，我國內部審計工作的重心局限在財務收支的真實性及合規(guī)性審計。長久以來內部審計突出了監(jiān)督職能，而忽視了服務職能。內部審計認識水平、思想觀念的束縛以及管理體制等諸多因素，影響和阻礙著內審作用的有效發(fā)揮。原因有會計人員知識水平、業(yè)務素質不高，也有不重視法律、法規(guī)的因素，還有監(jiān)管不力、查處不嚴的原因。目前內部審計尚處在查錯階段，停留在調賬、糾正錯誤上，還不能多角度、深層次分析問題，沒有較國際先進的審計理念，我國內部審計的作用尚待開發(fā)。審計人員的計算機知識匱乏，不適應電算化、信息化的迅速發(fā)展。目前多數審計人員硬件知識掌握不熟練，軟件知識了解也不足，因此不能有效地評估信息系統(tǒng)的安全性、效益性。由于計算機審計軟件開發(fā)標準不同，功能也不完整，因此全面推廣計算機輔助審計就有一定難度，導致審計人員的知識和審計手段滯后于信息化的發(fā)展。 

 

二、信息化審計體系的健全 

 

當前國家審計信息化發(fā)展的趨勢是建立審計信息資源的標準化、共享化、公開化，逐步達到向現代審計方式的轉變。這一趨勢是隨著當前科學發(fā)展、和諧社會的推進，國家確立的公共財政建設、公共服務的實施、公共產品的提供應運而生的，三個“公共”的主旨是：國家財政資金的使用更注重民生；使用重點更注重服務；使用效益更注重民意。 

信息安全審計是任何機構內控、信息系統(tǒng)治理、安全風險控制等不可或缺的關鍵手段。收集并評估證據以決定一個計算機系統(tǒng)是否有效地做到保護資產、維護數據完整、完成目標，同時能更經濟的使用資源。信息安全審計與信息安全管理密切相關，信息安全審計的主要依據是出于不同的角度提出的控制體系的信息安全管理相關的標準。這些控制體系下的信息化審計可以有效地控制信息安全，從而達到安全審計的目的，提高信息系統(tǒng)的安全性。由此，國際組織也制定了相關文件規(guī)范填補信息系統(tǒng)審計方面的某些空白。例如《信息安全管理業(yè)務規(guī)范》通過了國際標準化組織iso的認可，正式成為國際標準。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務院辦公廳關利用計算機信息系統(tǒng)開展審計工作有關的通知》等文件，基本規(guī)范了內部審計機制，健全了內部審計機構；強調機構應加強內審工作，機構內部要形成有權就有責、用權受監(jiān)督的最佳氛圍；審計委員會直接對領導班子負責，其成員需具有相應的獨立性，委員會成員具良好的職業(yè)操守和能力，內審人員應當具備內審人員從業(yè)資格，其工作范圍不應受到人為限制。內部審計機構對審計過程中發(fā)現的重大問題，視具體情況，可以直接向審計委員會或者領導層報告。 

   　三、主機系統(tǒng)安全審計 

 

信息技術審計，或信息系統(tǒng)審計，是一個信息技術基礎設施控制范圍內的檢查。信息系統(tǒng)審計是一個通過收集和評價審計證據，對信息系統(tǒng)是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面做出判斷的過程。 

以技術劃分，信息化安全審計主要分為主機審計、網絡審計、應用審計、數據庫審計，綜合審計。簡單的說獲取、記錄被審計主機的狀態(tài)信息和敏感操作就是主機審計，主機審計可以從已有的系統(tǒng)審計記錄中提取相關信息，并以審計規(guī)則為標準來分析判斷被審計主機是否存在違規(guī)行為?？傊?，為了在最大限度保障安全的基礎上找到最佳途徑使得業(yè)務正常工作的一切行為及手段，而對計算機信息系統(tǒng)的薄弱環(huán)節(jié)進行檢測、評估及分析，都可稱作安全審計。 

主機安全審計系統(tǒng)中事件產生器、分析器和響應單元已經分別以智能審計主機、系統(tǒng)中心、管理與報警處置控制臺來替代。實現主機安全系統(tǒng)的審計包括系統(tǒng)安全審計、主機應用安全審計及用戶行為審計。智能審計替代主機安裝在網絡計算機用戶上，并按照設計思路監(jiān)視用戶操作行為，同時智能分析事件安全。從面向防護的對象可將主機安全審計系統(tǒng)分為系統(tǒng)安全審計、主機應用安全審計、用戶行為審計、移動數據防護審計等方面。 

 

四、待解決的若干問題 

 

計算機與信息系統(tǒng)廣泛使用，如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系，也就是建立安全策略體系、安全管理體系和安全技術體系。 

保護網絡設備、設施、介質，對操作系統(tǒng)、數據庫及服務系統(tǒng)進行漏洞修補和安全加固，對服務器建立嚴格審核。在安全管理上完善人員管理、資產管理、站點維護管理、災難管理、應急響應、安全服務、人才管理，形成一套比較完備的信息系統(tǒng)安全管理保障體系。 

防火墻是保證網絡安全的重要屏障，也是降低網絡安全風險的重要因素。vpn可以通過一個公用網絡建立一個臨時的、安壘的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。借助專業(yè)的防ddos系統(tǒng)，可以有效的阻止惡意攻擊。信息系統(tǒng)的安全需求是全方位的、系統(tǒng)的、整體的，需要從技術、管理等方面進行全面的安全設計和建設，有效提高信息系統(tǒng)的防護、檢側、響應、恢復能力，以抵御不斷出現的安全威脅與風險，保證系統(tǒng)長期穩(wěn)定可靠的運行。嚴格的安全管理制度，明確的安全職責劃分，合理的人員角色定義，都可以在很大程度上減少網絡的安全隱患。 

從戰(zhàn)略高度充分認識信息安全的重要性和緊迫性。健全安全管理組織體系，明確安全管理的相關組織、機構和職責，建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責任機制。為了確保突發(fā)重大安全事件時，能得到及時的響應和支援，信息系統(tǒng)必須建立和逐步完善應急響應支援體系，確保整個信息系統(tǒng)的安全穩(wěn)定運行。 

 

 

參考文獻： 

[1]宋新月，內部審計在經濟管理中的重要作用淺析[j]，知識經濟，2009 

篇2

2015年8月，互聯(lián)網網絡安全狀況整體評價為良。我國基礎網絡運行總體平穩(wěn)，互聯(lián)網骨干網各項監(jiān)測指標正常，未發(fā)生較大及以上網絡安全事件。在我國互聯(lián)網網絡安全環(huán)境方面，除境內木馬或僵尸程序的IP地址數量、感染飛客蠕蟲感染IP地址數量和境內仿冒網站的數量較7月有所增長外，其他各類網絡安全事件數量均有不同程度的下降。總體上，8月公共互聯(lián)網網絡安全態(tài)勢較7月有所好轉，評價指數在良的區(qū)間。

2基礎網絡安全

2015年8月，我國基礎網絡運行總體平穩(wěn)，互聯(lián)網骨干網各項監(jiān)測指標正常，未出現省級行政區(qū)域以上的、造成較大影響的基礎網絡運行故障，未發(fā)生較大及以上網絡安全事件，但存在一定數量的、流量不大的、針對互聯(lián)網基礎設施的拒絕服務攻擊事件。

3重要聯(lián)網信息系統(tǒng)安全

政府網站和金融行業(yè)網站仍然是不法分子攻擊的重點目標，安全漏洞是重要聯(lián)網信息系統(tǒng)遭遇攻擊的主要內因。8月，監(jiān)測發(fā)現境內被篡改政府網站數量為166個，較7月的223個下降25.6%，占境內被篡改網站的比例由2.7%下降到了2.2%；境內被植入后門的政府網站數量為550個，較7月的505個增長8.9%，占境內被植入后門網站的比例由3.9%上升到了5.0%；針對境內網站的仿冒頁面數量為20239個，較7月的17325個增長16.8%，這些仿冒頁面絕大多數是仿冒我國金融機構和著名社會機構。8月，國家信息安全漏洞共享平臺（CNVD1）共協(xié)調處置了1864起涉及我國政府部門，銀行、民航等重要信息系統(tǒng)部門以及電信、傳媒、公共衛(wèi)生、教育等相關行業(yè)的漏洞事件。這些事件大多數是網站程序存在SQL注入、弱口令以及權限繞過等漏洞，也有部分是信息系統(tǒng)采用的應用軟件存在漏洞，可能導致獲取后臺系統(tǒng)管理權限、信息泄露、惡意文件上傳等危害，甚至會導致主機存在被不法分子遠程控制的風險。

4公共網絡環(huán)境安全

2015年8月，根據國家計算機網絡應急技術處理協(xié)調中心（CNCERT）的監(jiān)測數據，我國互聯(lián)網網絡安全環(huán)境主要指標情況如下。

4.1惡意代碼活動監(jiān)測數據2015年8月，境內251萬余個IP地址對應的主機被木馬或僵尸程序控制，與7月的近215萬個相比增長16.7%。2014年9月～2015年8月，境內被木馬或僵尸程序控制的主機IP數量月度統(tǒng)計如圖1所示。2015年8月，境內27萬余個主機IP感染“飛客”蠕蟲，與7月的21萬余個相比增長27.1%。2014年9月～2015年8月，境內感染“飛客”蠕蟲的主機IP數量月度統(tǒng)計如圖2所示。2015年8月，CNCERT捕獲了大量新增惡意代碼文件，其中，按惡意代碼名稱統(tǒng)計新增82個；按惡意代碼家族統(tǒng)計新增11個。

4.2網站安全監(jiān)測數據2015年8月，境內被篡改網站的數量為7408個，與7月的8202個相比下降9.7%。2014年9月～2015年8月，境內網站被篡改數量的月度情況統(tǒng)計如圖3所示。2015年8月，境內被植入后門的網站數量為10992個，與7月的12920個相比減少17.5%。2014年9月～2015年8月，境內被植入后門的網站數量月度統(tǒng)計如圖4所示。2015年8月，CNCERT共監(jiān)測到針對境內網站的仿冒頁面有20239個，涉及域名16872個，IP地址2321個，平均每個IP地址承載8余個仿冒頁面。在這2321個IP地址中，91.2%位于境外，中國香港（占境外的32.8%）和美國（占境外的9.9%）居前兩位，分別承載了4911個和1023個仿冒頁面，如圖5所示。

4.3漏洞數據2015年8月，CNVD收集整理信息系統(tǒng)安全漏洞656個。其中，高危漏洞有273個，可被利用來實施遠程攻擊的漏洞有586個。

篇3

關鍵詞：IC卡；移動支付；信息化；支付安全

在近日召開的中國人民銀行科技工作會議上，央行表示今年或將全面推廣金融IC卡應用，并可能啟動全國范圍的芯片卡遷移。

根據中國央行工作人員介紹，IC卡的成本一般比普通的磁條卡高，但保密性更好，基于IC芯片的銀行卡能夠為持卡人提供更加安全和便捷的支付服務?？梢耘c社保、就醫(yī)、身份認證等其他需要實名的應用結合在一起，也可以加載會員、折扣等信息或其他附加信息。另外可以與小額支付、無線支付服務無縫連接，小額支付使用脫機方式、大額支付使用聯(lián)機借貸記授權，可以有效改善持卡人消費支付體驗。

目前工商銀行和交通銀行已經實現了全國性發(fā)卡，中國銀行、農業(yè)銀行以及建設銀行已經啟動了改造工作，另外中信、民生、招商、深發(fā)展等銀行也在積極地進行IC卡項目策劃。

此外，會議上還指出，2011年有以下幾個主要任務：一是落實人民銀行“兩地三中心”信息化安全運營布局：二是推進系統(tǒng)整合，加快數據架構和應用架構建設；三是完成網絡改造，提升人民銀行網絡對內對外服務水平：四是著力推進金融信息安全工作：五是全面推廣金融IC卡應用，啟動全國范圍的芯片卡遷移：六是加快構建統(tǒng)一規(guī)范的金融標準體系：七是完成“十二五”信息化規(guī)劃的編制并組織實施，加強規(guī)劃對建設項目的指導：八是強化軟件開發(fā)、認證檢測、安全應急、運行維護等綜合能力建設，不斷提升工作環(huán)節(jié)的質量和服務水平。

篇4

關鍵詞：windows終端；安全模板；安全策略；自動化部署

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)22-5326-04

Deploying Windows-Based Terminal Security Policy Based on Security Templates

TAN Ke-jiu1,2

(1.Hubei University of Technology, Wuhang 430068, China; 2.Hechi University, Yizhou 546300, China)

Abstract: With the increasing degree of institutional informationization, information security issues are also increasingly having a tremendous impact on the organization's security operationfs, and the terminal computer security and overall information security level of institutions is at stake. Windows operating systemhas a high market share in the global institutions terminal. It is an urgent to solve the problem that how to carry on the security policy deployment to the Windows office terminal, improve the effectiveness and efficiency of security management. This Paper will explore how to use the security templates provided by Microsoft and Windows command-line tool for office terminal deployment.

Key words: Windows-based terminal; security template; security policy; automation deployment

1 Windows辦公終端安全風險

終端計算機作為機構信息處理的一個重要組成部分，其安全事關整個信息系統(tǒng)。近年來的網絡安全形勢不容樂觀，國家互聯(lián)網應急中心的《2010年上半年中國互聯(lián)網網絡安全報告》指出2010年上半年CNCERT共接收到網絡安全事件報告與2009年上半年相比增長105%，給企業(yè)造成了不可挽回的經濟和政治上的損失。另據市場研究公司NetApplications的最新數據顯示，2010年Windows操作系統(tǒng)的全球市場占有率達91%，Windows系統(tǒng)占據著大部分企業(yè)、政府部門和學校的辦公電腦終端。

很多企事業(yè)單位的辦公終端數量多，分布地理位置分散又未進行集約管理，管理人員少而負責事務雜，用戶計算機水平參差不齊，出現信息安全問題多，管理員疲于奔命。如何更快速有效的對Windows終端進行安全策略部署、管理、監(jiān)測，是亟需解決的問題。本文將利用安全模板部署工具嘗試解決這一問題。

2 安全模板（Security Templates）

安全模板是基于文本的INF文件，該文件以特定格式定義了幾個安全區(qū)域的安全設置。這些安全區(qū)域包括密碼和帳戶鎖定策略，審核、用戶權利及安全選項策略，事件日志設置，受限制的組設置，系統(tǒng)服務設置，注冊表安全設置和文件系統(tǒng)安全設置。模板文件的某些章節(jié)包含由安全描述符定義語言(SDDL)定義的特定訪問控制列表(ACL)。

使用MMC系統(tǒng)控制臺的“安全模板”管理單元或文本編輯器來更改這些文件，進而使用MMC系統(tǒng)控制臺的“安全配置和分析”模塊或命令行工具將安全模板所定義的安全設置應用到計算機，利用該模塊分析計算機安全配置是否符合政策規(guī)定的安全級別，允許管理員跟蹤并確保計算機處在合適的安全狀態(tài)。

3 安全策略部署流程

建立合適的安全策略部署模型是實施有效安全管理的基礎，是實現安全管理可持續(xù)、可控制、可維護的依據，實現信息系統(tǒng)的可用性、保密性和完整性的保證，所以選擇適當的安全策略部署模型非常重要。參考國際通行的APPDRR網絡安全模型，安全策略生命周期部署模型見圖1。

通過Windows終端安全風險分析確認機構中信息終端中需要實施安全管理的具體對象，找出終端的安全短板和面臨的威脅，評估發(fā)生安全事件的概率，估算能承受的風險值，為安全策略制定與實施提供依據。

制定安全策略是整個Windows終端安全保障工程的關鍵環(huán)節(jié)，是在安全政策和安全管理原則的指導下，在安全風險評估結果和用戶需求基礎上，根據終端系統(tǒng)要實現的安全目標制定，目的是確保目標終端在應用此策略后能實現相當的安全級別。

策略實施就是在完成Windows終端安全策略制定后，通過一系列的安全技術和方法，利用系統(tǒng)自帶的安全管理工具或第三方安全管理軟件完成安全策略的實現、測試、部署工作，完成Windows終端系統(tǒng)保護，阻止安全事件發(fā)生，保證安全事件發(fā)生的概率和危害，都在機構可接受范圍之內。

安全策略實施后并非一勞永逸，我們需要定期檢測安全策略在Windows終端部署運行情況，安全管理工具是否按既定的方案保護終端計算機，詢問用戶在操作Windows終端時有無發(fā)現因為安全策略實施而導致的異常。在安全事件發(fā)生后，提取日志和重現事件來分析造成安全事件的原因，據此糾正Windows終端安全策略。這就要求在部署安全策略時應具有可追溯性，提供必要的安全策略實施備忘文件和終端系統(tǒng)安全日志記錄，以保證我們能實現有效的監(jiān)測和及時的響應。

4 Windows辦公終端風險分析

1) Windows終端漏洞層出不窮，利用第三方軟件漏洞攻擊系統(tǒng)事件頻發(fā)。從漏洞出現到被惡意利用的時間越來越短，給終端計算機造成嚴重威脅。終端計算機往往是機構管控的盲端，出現的系統(tǒng)漏洞不能得到及時修補，第三方軟件漏洞未能得到重視，給惡意軟件提供一個隱蔽的攻擊通道。

2) 病毒、木馬和惡意軟件攻擊。它們主要是通過網頁瀏覽、下載軟件、局域網和U盤等幾個途徑傳播。Windows終端未能進行正確的權限配置，大多以管理權限運行，導致病毒木馬入侵計算機后獲得高權限，造成嚴重危害。

3) 終端缺乏準入規(guī)范，造成終端的非授權訪問風險，破壞數據的完整性和機密性。用戶往往為了方便，將Windows終端設定為自動登陸，有的干脆不設置帳戶密碼，給Windows終端安全帶來隱患。

4) 用戶缺乏安全意識和安全知識。用戶的不當操作或對系統(tǒng)設置的隨意修改造成終端系統(tǒng)安全防線崩潰。如開啟Guest帳戶，設置不恰當的共享，使用弱密碼或空密碼，開啟不必要的服務項等。

5 安全策略制定

在安全策略規(guī)劃實施過程中，應當貫徹最小權限和最少服務原則、可追溯性原則、易用性與安全性統(tǒng)一原則和可維護性原則。

1) 最小權限和最小服務原則

帳戶安全。帳戶安全是信息系統(tǒng)安全的第一道防線，通過密碼安全策略來防止用戶使用空密碼或弱密碼，設置帳戶鎖定策略來防止暴力破解密碼，關閉一些特殊帳戶如Guest帳戶等。

系統(tǒng)服務安全。服務是后臺運行的應用程序，為本地和通過網絡訪問的用戶提供某些功能。根據用戶需要，禁止不必要的服務，授予或禁止用戶具有特定服務項的權限。如禁用Remote Registry、TCP/IP NetBIOS Helper、Workstation和Server服務等。

文件系統(tǒng)權限。禁止用戶寫入某些容易被病毒利用的目錄，禁止用戶訪問某些文件和禁止一些危險程序運行來提高系統(tǒng)安全級別。如禁止用戶從硬盤分區(qū)根目錄下運行程序，避免用戶雙擊硬盤根目錄導致誤執(zhí)行病毒程序。

注冊表安全。注冊表是Windows特有用于保存系統(tǒng)和軟件相關信息的數據庫，病毒木馬經常利用注冊表實現得開機自啟動功能。有必要對病毒和木馬經常利用的注冊表項進行安全配置，禁止用戶寫入某些風險度較高的注冊表項，如自啟動項，Image File Execution Options映像劫持項等。

網絡訪問權限設置。辦公終端是辦公網絡的一個有機組成，因此面臨著非法入侵、數據泄密和網絡濫用等威脅，采取措施控制網絡的訪問權限，設置一道無形的防火墻。通過“本地安全策略”禁止SAM帳戶的匿名枚舉，不允許SAM帳戶和共享的匿名枚舉，禁止匿名SID/名稱轉換等，通過防火墻關閉危險端口，阻止可疑程序訪問該計算機或從該計算機訪問網絡。

用戶權利控制。用戶對計算機具有各種權利，這些用戶權利將直接決定他們的訪問行為。我們要嚴格控制用戶對計算機的訪問權利，限制用戶使用一些特殊的權利，比如管理審核和安全日志、還原文件及目錄權限，降低網絡訪問程序的運行權限級別。對只進行諸如文字處理、工作管理一類應用的辦公終端，使用受限帳戶登陸即可，要限制用戶使用高權限帳戶登陸系統(tǒng)、運行程序。禁止用戶隨意修改系統(tǒng)配置文件，卸載殺毒軟件和非法安裝ActiveX控件，開啟終端計算機的緩沖區(qū)溢出保護功能等。

2) 可追溯性

合適的安全事件日志設定。安全事件日志是安全事件的收集、保存和顯示的重要工具，對于安全事件的識別、處理和調查非常重要，在發(fā)生安全事件后，可通過安全日志追蹤事件產生的來龍去脈。必須在系統(tǒng)安全策略中設置好審核策略和設定事件日志存儲、維護和訪問控制，保證安全事件日志能在安全事件發(fā)生后提供事后分析所應有的功能，方便系統(tǒng)管理員做出相應對策，并可以根據安全事件日志優(yōu)化安全模板。

審核重點目錄和文件的訪問，審核重點程序和用戶的行為。利用Windows提供的審核功能對一些安全風險較大的目錄、文件和程序進行審核，比如對病毒木馬容易利用的CMD.exe、Net.exe和Reg.exe等程序設置審核，對權限最大的administrators帳戶組的操作進行審核。這些必要的審核方便我們在發(fā)生安全事件后可通過事件日志分析事件發(fā)生過程，迅速定位安全威脅，進而能使安全響應更準確，提高安全管理的效果和效率。

3) 可擴展性和可維護性

維護信息系統(tǒng)的安全并不是一個靜態(tài)過程，而是不斷的動態(tài)變化，用戶需求改變、安裝軟件變化和硬件的改變，都有可能要求重新審視安全策略應用是否達到合適的安全級別，所以安全策略部署過程都應具備良好的可擴展性和可維護性。通過安全模板管理工具對安全模板進行管理，注重安全模板版本管理，每次升級修改都有日志，做到安全策略配置文件的可控可管。

4) 易用性與安全性統(tǒng)一

做好需求分析，保證安全性與易用性相統(tǒng)一。信息系統(tǒng)的安全性強度總是和信息系統(tǒng)的易用性相矛盾的，高安全性必然導致易用性下降，用戶操作時極易產生挫敗感而影響工作效率。我們在設計和實施安全策略前，要做好需求分析，盡可能使系統(tǒng)擁有足夠的安全級別，又能保證易用性。比如放開某些安全風險較小的權限和將某些系統(tǒng)設置功能隱藏等。

6 基于安全模塊的安全策略部署

6.1 創(chuàng)建與修改安全策略模板

微軟在系統(tǒng)管理控制臺中提供了“安全模板”管理單元用來創(chuàng)建、修改和管理安全模板文件?！鞍踩０濉惫芾韱卧峁┝艘粋€功能強大的圖形界面，管理員可以方便地按層次結構導航到某個安全屬性設置區(qū)域進行編輯修改。微軟在Windows中提供了七個預配置的安全模板文件供系統(tǒng)管理人員參考，默認情況下，這些管理模板存儲在“\%Systemroot%\Security\Templates”目錄中，在“安全模板”管理單元可以直接讀取。

為了管理和配置方便，我們需要使用虛擬機或專門配置一臺母機，安裝和終端同樣的軟件，模擬出相同環(huán)境進行調試。

安全模板創(chuàng)建與修改操作步驟如下：

1) 首先，運行MMC命令，打開Microsoft管理控制臺，并在“文件”――“選項”確認控制臺處于“作者模式”，使用戶具有訪問所有MMC功能的全部權限。

2) 在“控制臺”菜單上，單擊“添加/刪除管理單元”，然后單擊“添加”。選擇“安全模板”，單擊“添加”――“關閉”――“確定”。將配置好的控制臺保存到合適的位置，此處我們使用“D:\SafeSet”。

3) 在“安全模板”管理單元中，右鍵單擊“安全模板”，選擇“新加模板搜索路徑”，將路徑設定為“D:\SafeSet”。

4) 在新建的路徑上右擊，選擇“新加模板”，設置好模板名和描述。

5) 根據定義好的安全策略在控制臺上對安全模板進行編輯。每個設置項的屬性中都有相關項的解釋說明，避免在設置時誤操作而引發(fā)不良后果。

6) 將該模板以“SafeSetTemplate_Base.inf”保存到“D:\SafeSet”備用。

6.2 測試安全策略模板

微軟在系統(tǒng)管理控制臺中還提供了“安全配置和分析”管理單元，它是一個圖形化實用程序，用于配置和分析與系統(tǒng)安全相關的各個方面?！鞍踩耘渲谩笨梢灾苯优渲帽镜叵到y(tǒng)的安全性，利用安全數據庫，可以導入由“安全模板”創(chuàng)建的安全模板，并將這些模板應用于本地計算機，立即使用模板中指定的級別配置系統(tǒng)安全性。操作步驟如下：

1) 首先在控制臺中添加“安全配置和分析”模塊，操作步驟類似于上述添加“安全模板”的方法。

2) 右擊“安全配置和分析”單元，選擇“打開數據庫”，導航到“D:\SafeSet”，在“文件名”輸入框中輸入“SafeSetDb.sdb”，新建安全數據庫文件，單擊“打開”。

3) 在彈出的“導入模板”對話框，導航到“D:\SafeSet”，導入我們做好的安全模板。

4) 右擊“安全配置和分析”單元，選擇“立即配置計算機”，在彈出的“配置系統(tǒng)”窗口中設置好錯誤日志文件路徑和文件名，如“D:\SafeSet\SafeSetConfigureLog.txt”，確定并開始執(zhí)行配置計算機操作。

5) 通過檢查日志文件確認應用安全策略模板的過程有無異常。如果發(fā)現異常，可以直接在“安全配置和分析”模塊中修改相關選項，重新進行配置計算機操作，并導出改后的安全模板設置覆蓋原來的模板文件。

6) 盡管部分設置已經被應用，但是它們在執(zhí)行“Gpupeate.exe”命令或重啟計算機之后才生效。所以關閉“安全配置和分析”工具并重啟計算機，對照安全策略配置檢驗表進行檢查，檢查所做安全策略配置是否達到預期目的，反復進行安全策略模板修改與應用其到試驗的系統(tǒng)中，直到符合要求后開始編寫自動化部署文件。

6.3 生成安全策略模板自動化部署腳本

使用“安全配置和分析”工具可以實現單臺計算機安全策略配置和分析，但使用該工具在多臺計算機上完成案例策略配置和分析不方便。微軟為此提供了secedit.exe命令行工具以便系統(tǒng)管理員完成企業(yè)級的部署，該命令行允許我們使用安全數據庫中的安全性設置來配置系統(tǒng)。語法如下：

Secedit /configure /dbfilename [/cfgfilename] [/overwrite] [/areasarea1area2...] [/logfilename] [/quiet]

/dbfilename 定義用來執(zhí)行安全性配置的數據庫。

/cfgfilename 定義導入到數據庫的安全性模板。

/logfilename 定義要記錄配置操作狀態(tài)的文件。

利用命令行工具構建安全策略模板自動化部署腳本，并完成其它Windows終端優(yōu)化和安全配置操作，比如帳戶配置、安全登陸操作提示等。

在“D:\SAFESET”中新建“SafeSet.CMD”，用記事本打開并輸入以下內容并保存：

@Echo off

Set Soft=XX學院Windows終端系統(tǒng)自動配置程序

Set Grade=Base

Set Version=V1.2.20110202

:Start

CLS

Color FC

Title %Soft%[安全級別：%Grade%][版本：%Version%]

Echo %Soft%[版本：%Version%]

Echo.

Set Choice=

Set /P Choice=腳本將在您的系統(tǒng)中應用設定好的安全策略，請按"Y"鍵繼續(xù)，終止運行請按"Q"：

If "%Choice%"=="" Goto Start

IF Not "%Choice%"=="" Set Choice=%Choice:~0,1%

If /I "%Choice%"=="Y" Goto ConStartPre

If /I "%Choice%"=="Q" Exit

Goto Start

Echo開始用戶帳戶配置

:ConStartPre

Echo.

Echo.

Set AdminPasswords=

Set UserPasswords=

Set /P AdminPasswords=請輸入內置管理帳戶Adminstrator的密碼（請務必確認后再回車）：

Set /P UserPasswords=請輸入日常工作帳戶User的密碼（請務必確認后再回車）：

Set Choice=

Set /P Choice=請檢查您輸入的密碼是否正確，請按"Y"鍵繼續(xù)，任意鍵重新輸入密碼：

If "%Choice%"=="" Goto Start

IF Not "%Choice%"=="" Set Choice=%Choice:~0,1%

If /I "%Choice%"=="Y" (GotoConStart) Else Goto ConstartPre

:ConStart

Net user administrator %AdminPasswords% /FULLNAME:"管理用戶"

Net user user %UserPasswords% /add /FULLNAME:"日常工作" /USERCOMMENT:"受限用戶" /COMMENT:"這是日常工作專用的受限帳戶" /EXPIRES:NEVER

Net user guest /active:no

Echo配置帳戶完成，開始進行系統(tǒng)安全策略部署...

Secedit /configure /db SecSetDb.sdb /cfgSafeSet Template_Base.inf /overwrite /quiet /logSafeSet ConfigureLog.txt

Echo系統(tǒng)安全策略部署完成，請按任意鍵退出。

6.4 實施

將在 “D:\SafeSet”目錄下生成的所有文件復制到目標機，以管理員權限運行“SafeSet.CMD”腳本，根據提示完成安全策略在Windows終端的部署。我們可以依照上文所述步驟，依據終端計算機等級保護的不同安全需要和不同的安全保護政策，設計出不同的安全策略部署模板，方便管理。

7 安全策略檢查與響應

Windows系統(tǒng)管理控臺中的“安全配置和分析”管理單元的安全性分析工具，允許系統(tǒng)管理員對Windows終端安全策略部署情況進行檢查，提供詳細的安全分析結果，對不符合安全策略要求的做出可視化的標記，跟蹤并確保在每臺計算機上有足夠的安全級，檢測在系統(tǒng)長期運行過程中出現的安全故障。利用該工具定期檢測Windows終端安全策略保護系統(tǒng)情況，保證安全策略得到有效執(zhí)行。

8 總結

本文提出的使用安全模板結合腳本技術對Windows操作系統(tǒng)進行安全策略部署方法，應用于辦公信息系統(tǒng)安全管理工作中，基本實現安全政策要求的可用性、可追溯性、可擴展性和可維護的目標，對于信息安全管理人員應對信息系統(tǒng)安全威脅和進行批量安全策略部署，具有一定的借鑒意義。

參考文獻：

[1] 操作系統(tǒng)市場市場的占有率[EB/OL]./operating-system-market-share.aspx?qprid=8&qptimeframe=Y&qpsp=2010&qpnp=1.

[2] 國家互聯(lián)網應急中心.2010年上半年中國互聯(lián)網網絡安全報告[EB/OL]..cn/UserFiles/File/2010 first half.pdf.

[3] 余磊.信息安全戰(zhàn)――企業(yè)信息安全建設之道[M].上海:東方出版社,2010.

[4] 程迎春.Windows安全應用策略和實施方案手冊[M].北京:人民郵電出版社,2005.

篇5

2005年7月，美國聯(lián)邦政府審計署向美國國會提交了《信息安全年度報告》（以下簡稱美國報告），其題目是《信息安全：相關法規(guī)執(zhí)行方面有所成就，但是仍然存在薄弱之處》。美國報告指出，聯(lián)邦政府各個分支機構以及眾多事關國計民生的部門，包括能源、供水、電信、國防以及應急服務部門，他們的日常工作已經廣泛依賴計算機信息系統(tǒng)以及電子數據。這些信息系統(tǒng)、數據的安全非常重要，信息安全措施要防止數據篡改，保證核心業(yè)務連續(xù)性，預防數據欺騙以及阻止敏感信息泄漏。

美國政務的五大安全隱患

美國審計署發(fā)現，美國聯(lián)邦政府24個部門信息系統(tǒng)普遍存在安全隱患，主要體現在以下5個方面：訪問控制并未有效實施、軟件變更控制并非總是有效、職責劃分沒有始終如一地執(zhí)行、業(yè)務持續(xù)性計劃經常是不充分的、部門信息安全規(guī)劃沒有全面地應用。

訪問控制

它保證只有經過授權的用戶才可以閱讀、修改或者刪除數據。訪問控制包括電子方式以及物理方式，前者包括賬號控制、密碼控制以及用戶權限控制，后者包括門衛(wèi)、門鎖等方式。24個部門中有23個部門在訪問控制方面存在隱患。例如，有的信息系統(tǒng)允許用戶使用非常簡單的詞語做密碼，這使得黑客很容易破解密碼。物理控制方面，有的部門并未有效采用門鎖、門卡等手段。

軟件變更控制

軟件變更控制確保只有經過授權的軟件程序才可以被安裝，軟件變更控制也會監(jiān)控敏感程序、數據的使用情況。24個部門中有22個存在這方面的漏洞，例如軟件系統(tǒng)沒有采用正確流程進行升級。此外，有的信息系統(tǒng)在程序調整方面的批準、測試以及實施的文檔記錄沒有良好維護，以至于出錯的或者有預謀的程序將會嚴重威脅到系統(tǒng)安全。

職責劃分

職責劃分降低個人進行錯誤操作而沒有被發(fā)現的風險。24個部門中有14個存在這方面的隱患，主要體現在系統(tǒng)管理和系統(tǒng)安全管理沒有很好地分清。例如，有的部門用戶可以在系統(tǒng)中添加并不存在的賬號并獲得很高的權限，用這個賬號從事的活動沒人監(jiān)管。

業(yè)務連續(xù)計劃

確保計算機相關的業(yè)務在緊急情況下不出現嚴重中斷，例如出現地震、火災等破壞活動的時候。20個部門存在這一方面的隱患。在審計署2005年4月提交的報告中已經指出，不到一半的部門有應急指揮通訊錄，很少的部門記錄了重要文件分布情況，大多數機構沒有測試、檢驗、演習他們的業(yè)務連續(xù)計劃以確保災難發(fā)生時可以應用這些計劃。

部門級別的安全規(guī)劃

上述問題的存在，主要是因為各個部門沒有強有力的信息安全管理規(guī)劃。部門級別的安全規(guī)劃提供工作框架，確保全部門能夠理解風險并且有效控制、合理采取措施。這個方面，所有的部門都存在隱患，他們都沒有制定全面的信息安全規(guī)劃，尤其是新型的安全威脅方面，包括垃圾郵件、釣魚以及間諜程序。

我國可借鑒什么

我國在信息系統(tǒng)安全管理方面開展工作的時間不長，相關經驗不多，許多應建立的規(guī)章制度還在摸索之中。2005年7月剛剛的《2005中國信息化發(fā)展報告》談到信息安全的時候，提到蠕蟲和病毒在網上傳播十分猖獗、木馬事件潛在威脅巨大、各類網絡違法犯罪日益突出，但沒有專門介紹電子政務的安全現狀。

重視管理機制制度

《2005中國信息化發(fā)展報告》指出，要加強對信息安全工作的領導，建立健全信息安全領導責任機制，明確主管領導，落實責任部門，建立和完善信息安全監(jiān)控體系，加強以密碼技術為基礎的信息保護和網絡信任體系的建設。

重視管理機制制度這一方面，中美兩國有相近之處。美國《聯(lián)邦信息安全管理法案》認為，聯(lián)邦政府存在信息安全隱患最根本原因是缺乏有效的信息安全管理規(guī)劃?；诖?，美國《聯(lián)邦信息安全管理法案》要求政府建立一套全面的信息安全控制管理框架。不僅如此，考慮到各個機構在信息安全管理規(guī)劃方面難免出現漏洞，美國《聯(lián)邦信息安全管理法案》制定了一套完善的評估機制，包括部門定期自檢以及管理和預算辦公室、國家標準技術研究院以及其他獨立機構的評估。

《聯(lián)邦信息安全管理法案》要求美國聯(lián)邦政府各個機構的信息安全報告包含如下信息：風險評估情況、政策和流程、個別系統(tǒng)的安全規(guī)劃、相關培訓情況、年度測試和評估情況、采取的對策、信息安全事件報告以及運行連續(xù)性。

美國的評估機制，保證了部門領導在意識上定期關注各自部門的信息安全，又使得他們有能力全面深入了解本部門信息安全的方方面面。這樣，既提高了部門領導對信息安全的重視程度，又采用完善的制度來提高各個部門發(fā)現、報告和共享信息安全隱患的能力。與美國相比，我們還沒有明確提出要建立全方位的評估體系。

完善標準法規(guī)體系

《2005中國信息化發(fā)展報告》指出，抓緊制定信息安全等級保護的管理辦法和技術指南，建立信息安全等級保護制度，加強信息安全法制建設和標準化建設。

在標準法規(guī)、技術指南方面，我國政府主要精力集中在信息安全等級保護方面。比較而言，美國政府制訂的標準法規(guī)、技術指南則更為全面。美國《聯(lián)邦信息安全管理法案》規(guī)定，由美國國家標準技術研究院（NIST）負責為政府各個部門提供相關法規(guī)制度或技術援助，進行信息安全方面的研究，并且參與國家安全體系相關標準的開發(fā)。

安全不僅是技術問題，同時還是社會和法律問題。與美國相比，我國在標準的制定、認證、檢測等方面有待于進一步的加強。信息安全標準方面，我國有國家信息安全產品測評認證中心、公安部、國家質量技術監(jiān)督局等多個部門參與這方面的工作，而美國則在法案中明確表示由美國國家標準技術研究院一家來完成。還有一點值得注意的是，我國信息安全標準的培訓、認證和檢測機構中，有一些是贏利機構，這在某種程度上降低了其公證性。

加強信息安全培訓

《2005中國信息化發(fā)展報告》指出，加強信息安全學科、人才培養(yǎng)。

聯(lián)邦信息安全管理法案要求，聯(lián)邦政府各個機構對政府雇員以及合同商的雇員進行信息安全培訓，這些機構在年度評估報告中要標明參與培訓人員的數量以及所占比例。2005年的報告指出，所有24個部門都對本部門60％以上的職員進行了培訓。美國報告指出，如果不能提供最新的信息安全培訓，將會給政府機構的信息安全帶來安全隱患。例如，美國大多數部門沒有對雇員提供無線局域網方面的信息安全培訓，這使得他們在建設沒有認證措施的無線局域網的時候，不了解其安全隱患。

由此可見，美國政府更注重日常的培訓工作，而不僅僅是學校培養(yǎng)。信息安全，需要有數學算法、軟件、硬件等諸多方面的理論支持。但對于很多現有的隱患來說，更重要的是提高普通用戶的安全意識。例如美國政府提到的無線局域網問題，我國政府在科研方面正在開發(fā)WAPI，希望以此來增強系統(tǒng)的安全性。但是，有許多無線局域網是內置了安全認證程序而根本沒有啟用。

信息安全是個系統(tǒng)工程，既要有高屋建瓴的頂層設計、整體框架，又要有體貼入微的法規(guī)標準、行動指南，還要有資金支持、日常培訓以及監(jiān)察制度，需要恩威并重。同美國信息安全報告談到的情況相比，在我國政府部門中宣傳信息安全的重要性，并且保證相關人員有能力、有方法了解其現狀，懂得如何降低風險，這些都是任重而道遠的。

鏈接

國家信息化領導小組第一次會議決定，把電子政務建設作為今后一個時期我國信息化工作的重點，政府先行，帶動國民經濟和社會發(fā)展信息化。

在電子政務建設中和安全相關的主要任務是：

基本建立電子政務網絡與信息安全保障體系。要組織建立我國電子政務網絡與信息安全保障體系框架，逐步完善安全管理體制，建立電子政務信任體系，加強關鍵性安全技術產品的研究和開發(fā)，建立應急支援中心和數據災難備份基礎設施。

篇6

昆德拉上任時就承認云計算可能存在隱私泄露或其它安全隱患，但表示不能因此而錯過云計算的速度和效率[3]。2009年5月召開的云計算倡議工業(yè)界峰會[2，7]上，美國產業(yè)界認識到云計算在法律法規(guī)和政策以及IT安全和隱私方面的挑戰(zhàn)，深入討論了云計算認證認可、訪問控制和身份管理、數據和應用安全、可移植性和互操作性以及服務級別協(xié)議（SLA等。5月份的《遠景分析》中指出了與新技術服務交付模型相關的風險，包括政策的變化、動態(tài)應用的實施以及動態(tài)環(huán)境的安全保障，要求建立一個項目管理辦公室來實施工業(yè)界最佳實踐和政府項目管理方面的政策。10月份國家標準和技術研究所（NIST在《有效安全地使用云計算范式》[8]的研究報告中分析了云計算安全的眾多優(yōu)勢和挑戰(zhàn)。2010年2月美國啟動了政府范圍的云計算解決方案的安全認證認可過程的開發(fā)[9]。8月CIOC了《聯(lián)邦部門和機構使用云計算的隱私建議》[10]，指出云環(huán)境下隱私風險跟法律法規(guī)、隱私數據存儲位置、云服務商服務條款和隱私保護策略有關，并指出了9類風險，通過使用相關標準、簽署隱私保護的補充合同條款、進行隱私門檻分析和隱私影響評估、充分考慮相關的隱私保護法律，可以有效加強云計算環(huán)境下的隱私保護。9月非盈利組織MITRE給出了《政府客戶云計算SLA考慮》[11]。11月份，NIST、GSA、CIOC以及信息安全及身份管理委員會（ISIMC等組成的團隊歷時18個月提出了《美國政府云計算安全評估和授權建議方案》[12]，該方案由云計算安全要求基線、持續(xù)監(jiān)視、評估和授權三部分組成。12月，在《改革聯(lián)邦信息技術管理的25點實施計劃》中指出安全、互操作性、可移植性是云計算被接納的主要障礙。2011年1月國土安全部(DHS)給出了《從安全角度看云計算：聯(lián)邦IT管理者入門》[13]讀本，指出了聯(lián)邦面臨的16項關鍵安全挑戰(zhàn)：隱私、司法、調查與電子發(fā)現、數據保留、過程驗證、多租戶、安全評估、共享風險、人員安全甄選、分布式數據中心、物理安全、程序編碼安全、數據泄露、未來的規(guī)章制度、云計算應用、有能力的IT人員挑戰(zhàn)，NIST了《公共云計算安全和隱私指南》[14]和《完全虛擬化技術安全指南》[15]。2月份的《聯(lián)邦云計算戰(zhàn)略》指出在管理云服務時要主動監(jiān)視和定期評估，確保一個安全可信的環(huán)境，并做出了戰(zhàn)略部署，包括推動聯(lián)邦風險和授權管理項目（FedRAMP、DHS要每6個月或按需一個安全威脅TOP列表并給出合適的安全控制措施和方法，NIST要一些安全技術指南。2011年12月OMB了一項關于“云計算環(huán)境下信息系統(tǒng)安全授權”的首席信息官備忘錄[16]，正式設立FedRAMP項目。2012年2月成立了FedRAMP項目聯(lián)合授權委員會（JAB[17]并了《FedRAMP概念框架（CONOPS》[18]、《FedRAMP安全控制措施》[19]。

美國聯(lián)邦政府云計算安全策略分析

美國聯(lián)邦政府在推動云計算一開始就認識到云計算安全和隱私、可移植性和互操作性是云計算被接納的主要障礙，并給予了高度重視。美國聯(lián)邦政府認為，對于云服務要實施基于風險的安全管理，在控制風險的基礎上，充分利用云計算高效、快捷、利于革新等重要優(yōu)勢，并啟動了聯(lián)邦風險和授權管理項目（FedRAMP。首先，明確了云計算安全管理的政府部門角色及其職責：1聯(lián)合授權委員會（JAB：成立了由國防部（DOD、DHS、GSA三方組成的聯(lián)合授權委員會JAB，主要負責制定更新安全基線要求、批準第三方評估機構認可標準、設立優(yōu)先順序并評審云服務授權包、對云服務供應進行初始授權等；2FedRAMP項目管理辦公室（FedRAMPPMO：設立于GSA，負責管理評估、授權、持續(xù)監(jiān)視過程等,并與NIST合作實施對第三方評估組織的符合性評估；3國土安全部：主要負責監(jiān)視、響應、報告安全事件，為可信互聯(lián)網聯(lián)接提供指南等；4各執(zhí)行部門或機構：按照DHS、JAB等要求評估、授權、使用和監(jiān)視云服務等，并每年4月向CIOC提供由本部門CIO和CFO簽發(fā)的認證；5首席信息官委員會：負責出版和分發(fā)來自FedRAMPPMO和JAB的信息。其次，明確了FedRAMP項目相關方的角色和職責（如圖1。這些角色中除了DHS、JAB、FedRAMPPMO、各執(zhí)行部門或機構、CIOC外，還包括云服務商（CSP和第三方評估組織（3PAO。云服務商實現安全控制措施；創(chuàng)建滿足FedRAMP需求的安全評估包；與第三方評估機構聯(lián)系，執(zhí)行初始的系統(tǒng)評估，以及運行中所需的評估與授權；維護連續(xù)監(jiān)視項目；遵從有關變更管理和安全事件報告的聯(lián)邦需求。第三方評估組織保持滿足FedRAMP所需的獨立性和技術優(yōu)勢；對CSP系統(tǒng)執(zhí)行獨立評估，并創(chuàng)建滿足FedRAMP需求的安全評估包清單。美國聯(lián)邦政府注重對云計算安全管理的頂層設計。在政策法規(guī)的指導下，以安全控制基線為基本要求，以評估和授權以及監(jiān)視為管理抓手，同時提供模板、指南等協(xié)助手段，建立了云計算安全管理的立體體系（如圖2。政策備忘錄：OMB于2011年12月8日，為政府級云計算安全提供方向和高級框架。安全控制基線：基于NIST的SP800-53第三版中所描述的安全控制措施指南，補充和增強了控制措施，以應對云計算系統(tǒng)特定的安全脆弱性。FedRAMP的安全控制基線于2012年1月6號單獨。運營概念（CONOPS：提供對FedRAMP的運營模型與關鍵過程的概述。運營模型：FedRAMP的運營模型基于OMB的政策備忘錄，明確FedRAMP實現的關鍵組織，對各個組織運營角色與職責進行抽象描述。關鍵過程：指“安全評估與授權”、“第三方評估”、“正在進行的評估與授權”，它們?yōu)镕edRAMP運營過程的三個主要功能。詳細的模板與指南：云服務商與第三方評估組織在FedRAMP整個過程中需要這些文檔模板作為文檔規(guī)范。

篇7

為深入貫徹國家電網公司“11.18”安全生產工作會議精神，落實《國家電網公司2007年安全生產工作意見》，進一步加強公司安全生產工作，特提出公司系統(tǒng)2007年安全生產工作意見。

(一)工作思路

緊緊圍繞“一強三優(yōu)”發(fā)展戰(zhàn)略和“三抓一創(chuàng)”工作思路，堅持“安全第一，預防為主”的方針，更新安全理念，樹立科學安全觀；以防止電網大面積停電事故為首要任務，強化電網安全措施；以杜絕人員責任事故為重點，深入開展安全生產年活動；進一步強化安全生產各項措施，嚴厲打擊違章違紀，全面實現全年安全生產目標，確保湖南電網安全穩(wěn)定運行。

（二）工作目標

突出“三?！保罕Ｃ?、保網、保主設備。

確保“六無”：無生產人身死亡事故、無重大電網事故、無重大設備事故、無水電廠垮壩事故、無重大生產場所火災事故、無特大交通事故。

實現“三少一杜絕”：減少一般電網和設備事故、減少輸電線路一類障礙、減少違章違紀、杜絕110千伏及以上惡性誤操作事故。

（三）具體工作意見

第一條 建立開展“愛心活動”、實施“平安工程”常態(tài)機制。開展“愛心活動”、實施“平安工程”，是公司全面落實科學發(fā)展觀，促進和諧企業(yè)建設的重大戰(zhàn)略，是堅持以人為本、確保安全穩(wěn)定的重大舉措，是一項長期的重要工作。為抓好這項工作，一是要制訂安全生產開展“愛心活動”、實施“平安工程”工作制度，建立開展“愛心活動”、實施“平安工程”工作的常態(tài)機制。二是在認真總結2006年安全生產開展“愛心活動”、實施“平安工程”工作經驗的基礎上，繼續(xù)開展“無違章工作現場”活動，以保護人的生命、杜絕責任事故、確保電網平安為根本目的，把工作重心放在員工、班組、作業(yè)現場，深入落實公司貫徹《國家電網公司安全生產開展“愛心活動”、實施“平安工程”十條措施》的實施意見。三是建設“平安文化”，培育“平安理念”，樹立“風險可以防范、失誤應該避免、事故能夠控制、違章就是事故”的理念，大力營造“以人為本、珍惜生命、遵章守紀、安全文明”的氛圍，讓“奉獻愛心”融入員工的人生觀和價值觀，夯實和諧企業(yè)的基礎，促進和諧企業(yè)的建設。

第二條 扎實開展“安全生產年”活動，全面實現2007年安全生產目標。按照公司決定，2007年為“安全生產年”。各單位領導要高度重視，加強組織領導，深刻領會活動的重要意義，扎實開展好“安全生產年”活動。一是要結合安全生產實際，按照公司“安全生產年”活動方案進行部署和安排，認真研究制訂工作方案和措施，落實各項工作的部門、責任人，確保取得實效。二是要廣泛宣傳動員，應充分運用公司系統(tǒng)廣播、電視、報刊、安全信息平臺等媒體，大力宣傳“遵章守紀，構建和諧”的主題，大力宣傳公司《安全生產“違章下崗”實施規(guī)定》，以“三鐵”反“三違”， 樹立“遵章光榮、違章下崗” 的良好意識，保障員工平安。三是通過開展一系列安全活動，落實“安全生產年”活動的措施，促進安全生產責任制的落實，在安全生產方面做到領導更加重視、氣氛更加濃厚、措施更加得力、員工更加自覺、設備更加健康、電網更加安全，全面實現2007年安全生產目標。

第三條 加強管理，強化措施，提高電網安全穩(wěn)定運行水平。

確保電網安全穩(wěn)定運行，是公司安全工作的重要任務。在加強電網管理方面，一是堅持電網統(tǒng)一調度，嚴肅調度紀律，嚴格執(zhí)行調度規(guī)程和有關規(guī)定，保證生產、調度系統(tǒng)指令暢通，切實維護好電網運行秩序。二是根據電網負荷、設備健康狀況等運行情況的變化，合理安排電網運行方式，按照規(guī)定留有必須的旋轉備用和事故備用，確保電網安全穩(wěn)定和可靠供電。三是要認真吸取國內外電網事故教訓，積極開展大電網安全穩(wěn)定問題及低頻振蕩問題的研究，完善電網安全穩(wěn)定控制措施，利用科技手段，加強低周低壓減載裝置管理，構筑保證電網安全穩(wěn)定的“三道防線”。四是提高電網事故應急處理水平，根據電網運行特點，制定電網事故處理預案和滾動修編黑啟動方案。重點落實防止樞紐變電站全停和保廠（站）用電措施，組織實施電網反事故演習，提高調度、運行人員處理事故和應對突發(fā)事件的能力。五是做好各類安全檢查工作，認真開展春季、夏季、秋季和冬季的安全大檢查工作，做好重要政治活動和節(jié)假日保電檢查及各類專項安全檢查工作。檢查工作必須加強領導，精心組織，力戒形式主義，做到有計劃、有布置、有重點、有落實、有反饋。

在強化繼電保護專業(yè)管理方面，一是針對2006年繼電保護存在的問題，加強管理，認真做好電網元件、35千伏及以下重合閘等保護、自動裝置的技術監(jiān)督工作，排查整改設備隱患，進一步提高繼電保護正確動作率。二是認真落實國家電網公司《防止電網事故十八項重大反事故措施》，各單位要對照繼電保護反措相關要求，全面檢查落實反措情況，明確時間要求和責任人。三是加強繼電保護全過程的技術監(jiān)督，依據相關技術規(guī)程、規(guī)范，重點做好繼電保護裝置和綜合自動化裝置投產驗收工作，繼電保護反事故措施未落實的工程項目，不得交接和驗收。

在生產技術管理、監(jiān)督工作方面，一是開展對設備的整治，使設備更加健康。二是推進設備評估，開展狀態(tài)檢修工作。以設備評估結果為主要依據，以主變壓器為突破口大力推進輸變電設備狀態(tài)檢修工作，2007年要對40%以上已到大修期限的主變壓器進行狀態(tài)評估，根據評估結果重新確定大修時間。三是強化設備薄弱環(huán)節(jié)的監(jiān)督，發(fā)揮新技術、新設備、新方法在技術監(jiān)督方面的作用，及時排查、整改缺陷，提高設備健康水平。四是落實電力設施保護的技防和人防措施，保證設備安全。

第四條 建立安全生產風險管理體系，開展好安全風險評估和安全性評價工作。按照《國家電網公司安全生產風險管理體系規(guī)范》要求，一是要建立健全安全生產風險管理體系，深入推進安全生產風險評估的研究及試點工作。以安全生產風險評估為重點，強化安全生產預防意識和基礎管理，針對人身事故和人員責任事故的突出問題，認真研究防范人身事故和人員責任事故的安全風險評估標準，通過對人的行為以及影響人的行為的各種因素、各個環(huán)節(jié)進行評價，找出存在問題，提高防范風險的針對性、可操作性和實用性措施，消除隱患，努力減少人身事故和人員責任事故。二是結合《國家電網公司企業(yè)安全風險評估標準》，著力開展安全風險評估宣傳動員和教育培訓工作，使各級人員牢固樹立安全風險意識，增強員工安全風險和危害的辨識能力，為實施安全生產風險管理做好準備。三是試點單位（長沙、株洲、永州電業(yè)局和東江電廠）要按照國家電網公司關于安全風險評估兩個文件的要求，結合實際制定方案，組織評估，加強過程控制，注重實效。公司將組織專家進行評審，積累和總結經驗，以便推廣和持續(xù)改進。四是做好安全性評價工作，開展好輸電網、縣級企業(yè)、并網電廠設備和基建工程項目的安全性評價工作，組織排查電網薄弱環(huán)節(jié)和設備重大隱患，實施重大隱患監(jiān)控整改，實現安全風險評估和安全性評價工作的閉環(huán)管理。通過開展安全風險評估和安全性評價工作，逐步建立符合企業(yè)實際的安全生產風險管理體系，逐步實現安全管理從事后管理向預防管理為主轉變，從要我安全到我要安全、我會安全轉變。

第五條 健全安全生產應急管理體系，組織制定各類應急預案。按照《國家電網公司應急工作管理規(guī)定》的要求，一是要落實應急保障體系的建設，首先要建立各級應急機構，健全搶險救災物質的儲備制度，配齊專（兼）職人員，組建應急搶修隊伍。二是要規(guī)范公司應急預案體系的結構，補充完善各類應急預案。各單位要定時間、定部門組織編寫好各類應急預案，做好評審和上報備案，確保預案符合實際，以滿足各類突發(fā)事件的需要。三是加強應急預案演練，提高應對重大事故、自然災害等突發(fā)事件的處置能力。四是積極響應各級政府對公共衛(wèi)生和社會治安等突發(fā)事件的應急管理要求，促進應急處置的協(xié)調配合和職責落實，建立聯(lián)動協(xié)調機制。五是開展專項監(jiān)督檢查，重點監(jiān)督14個地級城市電網大面積停電應急處置預案編制、演練和評估工作及電廠的黑啟動工作方案編制、演練和評估工作，加強應急管理工作制度化、規(guī)范化和系統(tǒng)化建設。

第六條 深入推進反事故斗爭，減少事故。反事故斗爭是公司系統(tǒng)安全生產的長期任務。各單位、各部門要按照《國家電網公司反事故斗爭二十五條重點措施》的要求，繼續(xù)深入落實公司反事故斗爭二十七條措施，切實抓好領導層、管理層、執(zhí)行層三個層面的“對照檢查”，落實安全責任制。二是要把反事故斗爭與安全工作實際結合起來，與公司安全目標結合起來，突出開展反人員責任事故的斗爭。各單位都要制定實施措施，強化針對性和可操作性。三是要突出重點，強化措施，充分吸取國外大面積停電事故和去年華中電網 “7.1”大面積停電事故教訓，開展隱患排查與治理，強化電網應急處置工作，確保不發(fā)生重大電網事故。四是與重大設備事故作斗爭。開展主設備隱患清理整治工作，對可能構成重大設備事故的主設備建立檔案，重點監(jiān)督，及時發(fā)現和消除重大設備隱患。在變電方面，開展變壓器專項整治活動，大幅度減少變壓器（和高抗）強迫停運事件。進一步做好變電站的接地改造工作和220千伏變電站瓷瓶探傷技術的監(jiān)督及紅外測溫工作，開展變電站直流系統(tǒng)和非電量保護的全面清查與整改，減少故障。在輸電方面，進一步做好輸電線路防雷擊、防污閃、防山火、防冰災工作和紅外測溫工作，重點對35千伏及以上運行年限超過30年的老舊輸變電設備或缺陷較多的設備進行綜合治理，減少線路故障率。在基建方面，重點突出對大型施工機具缺陷的排查。在水電廠方面，要突出大壩和主機、主變的技術監(jiān)督工作，提高水電廠設備健康水平。

通過反事故斗爭，杜絕由于人員責任、設備問題和外部因素造成的人身、電網、設備事故，確保公司2007年度安全目標的全面實現。

第七條 落實安全監(jiān)督體系職責，強化專項安全監(jiān)督。為充分發(fā)揮安全監(jiān)督體系的作用，必須認真履行安全監(jiān)察體系的職責，進一步完善常規(guī)監(jiān)督、專項監(jiān)督、事故監(jiān)察三者相結合的監(jiān)督機制。落實安全監(jiān)督職責，要強化全面、全員、全過程、全方位安全管理的監(jiān)督，做到責任到位、措施到位，不斷強化執(zhí)行力。要進一步落實事故監(jiān)察職責，嚴格貫徹執(zhí)行《電力生產事故調查規(guī)程》和《國家電網公司人身傷亡統(tǒng)計分析管理規(guī)定》，做好事故調查處理與統(tǒng)計分析工作，按照“四全”安全監(jiān)督與管理要求，將農電生產和人身傷亡事故、通信安全、計算機網絡與信息安全事件統(tǒng)一納入事故管理體系。全面開展人身傷亡事故統(tǒng)計分析，掌握事故規(guī)律，深刻吸取事故教訓，采取預防措施。在開展專項安全監(jiān)督方面，針對2006年安全生產的薄弱環(huán)節(jié)，一是開展以防人員責任事故為主的現場專項安全監(jiān)督，著重貫徹新《安規(guī)》，重點打擊26種嚴重違章行為，減少直至杜絕人員責任事故。二是開展應急預案專項安全監(jiān)督，督促應急體系的建設，補充完善各類應急預案，提高應對突發(fā)事件的處理能力與速度。三是開展危險點分析與預控措施的專項安全生產監(jiān)督，促進現場作業(yè)危險點分析與預控措施的有效實施，將作業(yè)中的風險降到最低，有效防范人員責任事故的發(fā)生。四是開展班組建設專項安全監(jiān)督，以班組建設安全管理部分為標準，以現場安全管理為重點，強化基礎管理，促進創(chuàng)建“無違章班組”和“無違章工作現場”活動的開展，夯實企業(yè)的安全基礎。五是開展“兩措”費用落實情況的專項安全監(jiān)督，督促各單位足額劃撥“兩措”費用，保證“兩措”費用真正落到生產一線。六是開展交通安全專項監(jiān)督，監(jiān)督《七項硬性措施》貫徹執(zhí)行情況，確保交通安全。七是開展消防專項監(jiān)督，重點是無人值班變電站消防報警裝置是否完好和消防設施是否齊備。

第八條 加強安全教育培訓，提高員工安全素質。安全教育培訓是提高員工安全素質、保障安全生產的重要措施。全面提高員工安全素質，必須加大培訓力度，創(chuàng)新培訓工作機制。一是要突出分層次、分級培訓，充分發(fā)揮基層班組和車間的作用，建立車間、班組培訓制度，并下達培訓次數、指標，檢查考核培訓效果；二是要突出針對性，注重現場培訓、崗位培訓和實際操作，缺什么，補（培訓）什么。對廠、局（公司）領導干部的安全培訓要集中組織，分批開展，學習安全生產方針政策和法律、法規(guī)以及國內外先進的安全管理理念和現代安全管理知識等，提高領導干部安全管理水平。今年要對安監(jiān)人員組織持證上崗培訓，學習安全生產方針政策及法律法規(guī)、規(guī)程規(guī)定、安全生產風險管理方法，提高安全監(jiān)察人員業(yè)務能力。對一線人員的培訓重點是崗位技能、標準化作業(yè)和《安規(guī)》培訓，做到真正懂業(yè)務、懂技術，熟悉標準，能實施標準化作業(yè)，做到持證上崗。新人員入廠培訓，要強化紀律教育，必須將26種嚴重違章行為作為重點培訓內容，象“三大紀律八項注意”一樣提出來，使他們牢牢記住，為以后拒絕違章打下基礎。針對2006年作業(yè)現場中出現的違章現象，必須強化《安規(guī)》、“雙票”、“26種嚴重違章行為”和標準化作業(yè)指導書等安全規(guī)程制度的培訓，注重提高解決崗位實際問題和“三不傷害”的能力，讓大家讀規(guī)程、懂規(guī)程，做到按章指揮，照規(guī)程辦事。

第九條 加強建設項目全過程安全監(jiān)督與管理。根據國家電網公司對基建安全管理的規(guī)定，落實《國家電網公司建設項目安全風險管理若干規(guī)定》，規(guī)范建設項目全過程安全監(jiān)督與管理。一是要加強基建施工單位工程項目管理力度，各施工基建單位一定要根據各自施工能力承接業(yè)務，不得超能力承接，再層層轉包。對電網新、改、擴建工程，必須組織技術力量，妥善管理，精心組織施工，嚴格遵守有關規(guī)章制度，確保安全。送變電公司要特別加強特高壓試驗示范工程施工現場安全監(jiān)督與管理，定期開展施工現場安全檢查，督促落實安全組織措施、技術措施，確保特高壓試驗示范工程建設安全；二是要進一步落實安全生產責任制，重點落實項目法人的安全責任和監(jiān)理部門責任制，加強對各類危險場所、重要施工作業(yè)點的安全監(jiān)理，以確保施工全過程的安全。三是要加強現場安全文明施工，繼續(xù)開展安全文明施工競賽活動，全面推行安全性評價，對500千伏電網工程都要進行施工項目安全性評價，嚴格執(zhí)行危險點分析和安全預控措施。四是要加強外包施工隊伍的管理，發(fā)包單位必須嚴格審查外包施工隊伍的安全資質，未經安全資質審查或審查不合格的堅決不能錄用。在簽訂合同時應有“如果分包方不遵守安全規(guī)程，甲方可以隨時更換”的條款，促使他們加強安全管理。發(fā)現外包員工違規(guī)，要馬上清退。五是要按照公司要求簽訂《施工安全協(xié)議書（范本）》，以規(guī)范基建工程分（承）包工程安全管理，降低企業(yè)安全風險，嚴禁以包代管。六是要認真吸取“7.4”和“11.19”事故的教訓，開展施工機械安全隱患專項安全監(jiān)督，仔細排查，杜絕各類施工機械超期服役，確保人身和設備安全。七是嚴格招投標管理，加強承包商和供貨商資質管理和業(yè)績考核，推行安全業(yè)績與工程項目招投標聯(lián)動機制。八是要關心關愛施工單位一線人員、農民工的基本利益，充分調動積極性，構建和諧文明施工氛圍。

第十條 落實責任，強化農電安全生產管理工作。認真貫徹《國家電網公司關于加強安全生產工作的決定》和《國家電網公司安全生產職責規(guī)范》的要求，按照“誰主管、誰負責”的原則，以農電六項機制為手段， 進一步提高農電安全管理水平。一是理順農電安全保證和監(jiān)督體系的關系，做到職責明確，界面清晰，農電安全保證體系以安全管理為主，農電安全監(jiān)督體系以監(jiān)督為主，按照職責分工全面落實各自的責任。二是進一步落實農電監(jiān)督體系的職責，規(guī)范農電安全事故調查監(jiān)督統(tǒng)計考核機制，將農電生產人身事故納入各級安全監(jiān)督事故調查統(tǒng)計體系，按照農電安全管理考核制度，統(tǒng)一監(jiān)管考核。三是為防止農電人身事故，要立足農村供電所，全面落實“三防十要”反事故措施，開展農電標準化作業(yè)，強化作業(yè)現場安全風險防范，規(guī)范作業(yè)人員的行為，杜絕工作的隨意性，確?，F場安全。四是繼續(xù)開展縣供電企業(yè)安全性評價，今年完成全部縣供電企業(yè)的安全性評價查評工作，夯實農電安全基礎。五是加強農電員工的培訓教育，開展縣供電企業(yè)負責人、供電所長、工作負責人的《安規(guī)》和安全知識調考工作，提高安全技能和防范意識，提高遵守工作紀律和執(zhí)行規(guī)章制度的自覺性。六是進一步做好農村安全用電“三道防線”的構建工作，第一是做好農村安全用電宣傳工作；第二是做好臺區(qū)總保護和家用漏電保護器使用的調研，規(guī)范臺區(qū)總保護器的運用，提高臺區(qū)總保護器的安裝率、投運率和正確動作率；第三是加大整治低壓線路工作的力度，著力整治農村危及人身安全的低壓線路，防止對地距離不夠或線路斷線導致的事故。

第十一條 加強多經和交通安全管理工作。根據國家電網公司對多經系統(tǒng)安全管理的規(guī)定，在安全管理上實行“誰主管，誰負責”的要求，多經系統(tǒng)要加大力度，提高安全管理和監(jiān)督水平。一是要進一步建立健全安全生產規(guī)章制度，完善安全生產保障體系和監(jiān)督體系。監(jiān)督體系要有專門的機構和人員，充分發(fā)揮安全生產保障體系和監(jiān)督體系的作用。二是針對多經系統(tǒng)施工隊伍雜，“三工”、外聘勞務隊伍多的特點，要參照基建系統(tǒng)的管理模式，加強對外包隊伍和“三工”人員的安全管理和監(jiān)督，嚴格審查外包隊伍的安全資質，簽訂合同及安全責任書，明確雙方職責。三是施工前必須進行安全教育和安全技術措施交底，認真審查施工“三措”，在安全管理和監(jiān)督工作上禁止以包代管。四是原則要求“三工”人員應從有法人資質的勞務隊伍中招用，降低企業(yè)安全風險。

篇8

關鍵詞:信息;網絡安全;管理策略

中圖分類號:F270文獻標志碼:A文章編號:1673-291X(2010)30-0015-02

隨著企業(yè)信息網絡建設與不斷的發(fā)展,信息化已成為企業(yè)發(fā)展的大趨勢,信息網絡安全就顯得尤為重要。由于計算機網絡具有聯(lián)結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此,網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性。

一、信息網絡的安全管理系統(tǒng)的建立

信息網絡安全管理系統(tǒng)的建立,是實現對信息網絡安全的整體管理。它將使安全管理與安全策略變得可視化、具體化、可操作,在將與整體安全有關的各項安全技術和產品組合為一個規(guī)范的、整體的、集中的安全平臺上的同時,使技術因素、策略因素以及人員因素能夠更加緊密地結合在一起,從而提高用戶在安全領域的整體安全效益。下面對信息網絡安全管理系統(tǒng)技術需求和功能要求進行分析。

(一)技術分析

1.在信息網絡安全管理系統(tǒng)的設計上,應該用到以下技術:安全綜合管理系統(tǒng)體系結構構造理論和技術;安全部件之間的聯(lián)動技術;安全部件互動協(xié)議與接口技術;網絡拓撲結構自動發(fā)掘技術;網絡數據的相關性分析和統(tǒng)計分析算法;網絡事件的多維描述技術。

2.信息網絡安全管理系統(tǒng)應具有安全保密第一:安全保密與系統(tǒng)性能是相互矛盾的,彼此相互影響、相互制約,在這種情況下,系統(tǒng)遵循安全與保密第一的原則,信息網絡安全管理系統(tǒng)在設計、實施、運行、管理、維護過程中,應始終把系統(tǒng)的安全與保密放在首要的位置。在信息網絡安全管理系統(tǒng)設計,尤其在身份認證、信任管理和授權管理方面,應采用先進的加密技術,實現全方位的信任和授權管理。因此,對信息安全管理系統(tǒng)而言,針對單個系統(tǒng)的全部管理并非是本系統(tǒng)的重點,而應該投入更多的力量在于:集中式、全方位、可視化的體現;獨立安全設備管理中不完善或未實現的部分;獨立安全設備的數據、響應、策略的集中處理。

(二)功能分析

1.分級管理與全網統(tǒng)一的管理機制:網絡安全是分區(qū)域和時段的,實施分級與統(tǒng)一的管理機制可以對全網進行有效的管理,不僅體現區(qū)域管理的靈活性,還表現在抵御潛在網絡威脅的有效性,管理中心可以根據自己網絡的實際情況配置自己的策略,將每日的安全事件報告給上一級,由上一級進行統(tǒng)一分析。上一級可以對全網實施有效的控制,比如采用基于web的電子政務的形式,要求下一級管理中心更改策略、打補丁、安全產品升級等。

2.安全設備的網絡自動拓撲:系統(tǒng)能夠自動找出正確的網絡結構,并以圖形方式顯示出來,給用戶管理網絡提供極大的幫助。這方面的內容包括:自動搜索用戶關心的安全設備;網絡中安全設備之間的拓撲關系;根據網絡拓撲關系自動生成拓撲圖;能夠反映當前安全設備以及網絡狀態(tài)的界面。

3.安全設備實時狀態(tài)監(jiān)測:安全設備如果發(fā)生故障而又沒有及時發(fā)現,可能會造成很大的損失。所以必須不間斷地監(jiān)測安全設備的工作狀況。如某一設備不能正常工作,則在安全設備拓撲圖上應能直觀的反映出來。實時狀態(tài)監(jiān)測的特點是:(1)高度兼容性:由于各種安全設備的差別很大,實時狀態(tài)監(jiān)測具有高度兼容性,支持各種常用協(xié)議,能夠最大程度地支持現有的各種安全設備。(2)智能化:狀態(tài)監(jiān)測有一定的智能化,對安全設備的運行狀態(tài)提前作出預測,做到防患于未然。(3)易用性:實時狀態(tài)監(jiān)測不是把各種設備的差別處理轉移給用戶,而是能夠提供易用的方式幫助用戶管理設備。

4.高效而全面的反應報警機制:報警形式多樣:如響鈴、郵件、短消息、電話通知等?；谟脩艉偷燃壍膱缶?可以根據安全的等級,負責處理問題的用戶,做出不同方式、針對不同對象的報警響應。

5.安全設備日志統(tǒng)計分析:可以根據用戶需求生成一段時間內網絡設備與安全設備各種數據的統(tǒng)計報表。

二、信息網絡的安全策略

企業(yè)信息網絡面臨安全的威脅來自:(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎等都會對網絡安全帶來威脅。(2)人為的惡意攻擊:這是計算機網絡所面臨的最大威脅,造成極大的危害,并導致機密數據的泄漏。(3)網絡軟件的漏洞:網絡軟件不可能是百分之百的無缺陷和無漏洞的,這些是因為安全措施不完善所招致。

(一)物理安全策略

物理安全策略的目的是保護計算機系統(tǒng)、網絡服務器、打印機等硬件實體和通信鏈路免受破壞和攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進入計算機控制室。

(二)訪問控制策略

訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統(tǒng)安全、保護網絡資源的重要手段。訪問控制可以說是保證網絡安全最重要的核心策略之一。

1.入網訪問控制:入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源。用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。

2.權限控制:網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設備能夠執(zhí)行哪些操作?？梢愿鶕L問權限將用戶分為以下幾類:(1)特殊用戶(即系統(tǒng)管理員);(2)一般用戶,系統(tǒng)管理員根據他們的實際需要為他們分配操作權限。

(三)目錄級控制策略

網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種:系統(tǒng)管理員權限、讀權限、寫權限、創(chuàng)建權限、刪除權限、修改權限、文件查找權限、存取控制權限。

三、網絡安全管理策略

在網絡安全中,除了采用技術措施之外,加強網絡的安全管理,制定有關規(guī)章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。網絡的安全管理策略包括:確定安全管理等級和安全管理范圍;制定有關網絡操作;使用規(guī)程和人員出入機房管理制度;制定網絡系統(tǒng)的維護制度和應急措施等。