信息保障体系化运用研究论文提纲

转载以下资料，仅供参考：如何有效构建信息安全保障体系；随着信息化的发展，政府或企业对信息资源的依赖程度；通常所指的信息安全保障体系包含了信息安全的管理体；构建第一步确定信息安全管理体系建设具体目标；信息安全管理体系建设是组织在整体或特定范围内建立；信息安全的组织体系：是指为了在某个组织内部为了完；的特定的组织结构，其中包括：决策、管理、执行和监；信息安全的策略体系：是指信息安全总体如何有效构建信息安全保障体系随着信息化的发展，政府或企业对信息资源的依赖程度越来越大，没有各种信息系统的支持，很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说 明信息系统比传统的实物资产更加脆弱，更容易受到损害，更应该加以妥善保护。而目前，随着互联网和网络技术的发展，对于政府或企业的信息系统来讲，更是面 临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系，来有效的保障信息系统的全面安全。于是，信息安全保障体系应运而 生，其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设，让政府或企业的信息系统面临的风险能够达到一个可以控制 的标准，进一步保障信息系统的运行效率。通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。构建第一步 确定信息安全管理体系建设具体目标信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分，通过信息安全治理来达到具体的建设目标。信息安全的组织体系：是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构，其中包括：决策、管理、执行和监管机构四部分组成。信息安全的策略体系：是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次：第一层 策略总纲策略总纲是该团体组织内信息安全方面的基本制度，是组织内任何部门和人不能违反的，说明了信息安全工作的总体要求。第二层 技术指南和管理规定遵循策略总纲的原则，结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分：技术指南：从技术角度提出要求和方法；管理规定：侧重组织和管理，明确职责和要求，并提供考核依据。第三层 操作手册、工作细则、实施流程遵循策略总纲的原则和技术指南和管理规定，结合实际工作，针对具体系统，对第二层的技术指南和管理规定进行细化，形成可指导和规范具体工作的操作手册及工作流程，保证安全工作的制度化、日常化。构建第二步 确定适合的信息安全建设方法论太极多年信息安全建设积累的信息安全保障体系建设方法论，也称“1-5-4-3-4”。即：运用1个基础理论，参照5个标准，围绕4个体系，形成3道防线，最终实现4个目标。一、风险管理基础理论信息系统风险管理方法论就是建立统一安全保障体系，建立有效的应用控制机制，实现应用系统与安全系统全面集成，形成完备的信息系统流程控制体系，确保信息系统的效率与效果。二、遵循五个相关国内国际标准在信息安全保障体系的建立过程中我们充分遵循国内国际的相关标准:ISO 27001标准等级保护建设分级保护建设IT流程控制管理（COBIT）IT流程与服务管理（ITIL/ISO20000）三、建立四个信息安全保障体系信息安全组织保障体系：建立信息安全决策、管理、执行以及监管的机构，明确各级机构的角色与职责，完善信息安全管理与控制的流程。信息安全管理保障体系：是信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定。信息安全技术保障体系：综合利用各种成熟的信息安全技术与产品，实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能。信息安全运维保障体系：在信息安全管理体系规范和指导下，通过安全运行管理，规范运行管理、安全监控、事件处理、变更管理过程，及时、准确、快速地处理安全问题，保障业务平台系统和应用系统的稳定可靠运行。四、三道防线第一道防线：由管理体系、组织体系、技术保系构成完备的安全管理体制与基础安全设施，形成对安全苗头进行事前防范的第一道防线，为业务运行安全打下良好的基础。第二道防线：由技术体系、运维体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警，及时排除安全隐患，确保业务系统持续、可靠地运行。第三道防线：由技术体系构成事后控制的第三道防线。针对各种突发灾难事件，对重要信息系统建立灾备系统，定期进行应急演练，形成快速响应、快速恢复的机制，将灾难造成的损失降到组织可以接受的程度。五、四大保障目标信息安全：保护政府或企业业务数据和信息的机密性、完整性和可用性。系统安全：确保政府或企业网络系统、主机操作系统、中间件系统、数据库系统及应用系统的安全。物理安全：使业务和管理信息系统相关的环境安全、设备安全及存储介质安全的需要得到必要的保证。运行安全：确保业务和管理信息系统的各种运行操作、日常监控、变更维护符合规范操作的要求，保证系统运行稳定可靠。构建第三步 充分的现状调研和风险评估过程在现状调研阶段，我们要充分了解政府或企业的组织架构、业务环境、信息系统流程等实际情况。只有了解政府或企业的组织架构和性质，才能确定该组织信息安 全保障体系所遵循的标准，另外，还要充分了解政府或企业的文化，保证管理体系与相关文化的融合性，以便于后期的推广、宣贯和实施。在调研时，采用“假设为 导向，事实为基础”的方法，假定该政府或企业满足相关标准的所有控制要求，那么将通过人工访谈、调查问卷等等各种方式和手段去收集信息，证明或者证伪该组 织的控制措施符合所有标准的要求，然后在此基础上，对比现状和标准要求进行差距分析。在风险评估阶段，首先对于信息系统的风险评估．其中涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：对资产进行识别，并对资产的价值进行赋值；?对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；?对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；?根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；?根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；?根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。?其次，进行信息系统流程的风险评估。根据“国际知名咨询机构Gartner的调查结果”以及我们在实践中证实发现，要减少信息系统故障最有效的方式之 一，就是进行有效的流程管理。因此需要在保证“静态资产”安全的基础上，对IT相关业务流程进行有效管理，以保护业务流程这类“动态资产”的安全。构建第四步 设计建立信息安全保障体系总体框架在充分进行现状调研、风险分析与评估的基础上，建立组织的信息安全保障体系总纲，总纲将全面覆盖该组织的信息安全方针、策略、框架、计划、执行、检查和 改进所有环节，并对未来3-5年信息安全建设提出了明确的安全目标和规范。信息安全体系框架设计在综合了现状调研、风险评估、组织架构和信息安全总纲后， 还需要综合考虑了风险管理、监管机构的法律法规、国内国际相关标准的符合性。为确保信息安全建设目标的实现，导出该组织未来信息安全任务，信息安全保障体 系总体框架设计文件（一级文件）将包括：信息安全保障体系总体框架设计报告；信息安全保障体系建设规划报告；??信息安全保障体系将依据信息安全保障体系模型，从安全组织、安全管理、安全技术和安全运维四个方面展开而得到。对展开的四个方面再做进一步的分解和比较详细的规定将得到整个政府部门或企业信息安全保障体系的二级文件。具体二级文件包括：信息安全组织体系：组织架构、角色责任、教育与培训、合作与沟通信息安全管理体系：信息资产管理；人力资源安全；物理与环境安全；通信与操作管理；访问控制；信息系统获取与维护；业务连续性管理；符合性；信息安全技术体系：物理层、网络层、系统层、应用层、终端层技术规范；信息安全运维体系：日常运维层面的相关工作方式、流程、管理等。包括：事件管理、问题管理、配置管理、变更管理、发布管理，服务台。构建第五步 设计建立信息安全保障体系组织架构信息安全组织体系是信息安全管理工作的保障，以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。我们根据该组织的信息安全总体框架结合实际情况，确定该组织信息安全管理组织架构。信息安全组织架构：针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果。?信息安全角色和职责：主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责。?安全教育与培训：主要包括对安全意识与认知，安全技能培训，安全专业教育等几个方面的要求。?合作与沟通：与上级监管部门，同级兄弟单位，本单位内部，供应商，安全业界专家等各方的沟通与合作?构建第六步 设计建立信息安全保障体系管理体系根据信息安全总体框架设计，结合风险评估的结果以及该组织的信息系统建设的实际情况，参照相关标准建立信息安全管理体系的三、四级文件，具体包括：资产管理：信息系统敏感性分类与标识实施规范与对应表单、信息系统分类控制实规范与对应表单?人力资源安全：内部员工信息安全守则、第三方人员安全管理规范与对应表单、保密协议?物理与环境安全：物理安全区域划分与标识规范以及对应表单、机房安全管理规范与对应表单、门禁系统安全管理规范与对应表单?访问控制：用户访问管理规范及对应表单、网络访问控制规范与对应表单、操作系统访问控制规范及对应表单、应用及信息访问规；通信与操作管理：网络安全管理规范与对应表单、In；信息系统获取与维护：信息安全项目立项管理规范及对；业务连续性管理：业务连续性管理过程规范及对应表单；符合性：行业适用法律法规跟踪管理规范及对应表单?；最终形成整体的信息安全管理体系，务必要符合整个组；操作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单?通信与操作管理：网络安全管理规范与对应表单、Internet服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单?信息系统获取与维护：信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单、软件系统漏洞管理规范及对应表单?业务连续性管理：业务连续性管理过程规范及对应表单、业务影响分析规范及对应表单?符合性：行业适用法律法规跟踪管理规范及对应表单?最终形成整体的信息安全管理体系，务必要符合整个组织的战略目标、远景、组织文化和实际情况并做相应融合，在整个实施过程还需要进行全程的贯穿性培训． 将整体信息安全保障体系建设的意义传递给组织的每个角落，提高整体的信息安全意识。这样几方面的结合才能使建设更有效。

网络信息评价研究综述[摘要] 通过参考国内外网络信息资源优化配置的文献，从内容、原则、模式与措施等方面对网络信息资源优化配置进行了分析，并提出基于信息生态理论的研究建议。 [关键词] 网络信息资源 优化配置 信息生态 随着计算机网络的普及与信息技术的迅猛发展，我国的网站数量剧增，目前网民人数已经超过美国，成为世界网民人数最多的国家，无论是政府、企业还是用户，对信息资源的使用有了新的要求。虽然网络信息资源的容量曾几何级数的增长，但信息来源分散，质量参差不齐，缺乏必要的组织与控制，这都严重影响了信息资源的获取及使用，信息资源的优化配置成为信息管理者所关注的问题。 网络信息资源配置是以人们对网络信息资源的需求为出发点，以追求网络信息资源配置的效率和质量为指针，通过设计网络上信息资源的流向，进一步规划分配网络信息资源的类型、内容、数量、时间、空间等方面的分布，最终达到为网络用户提供便捷的信息服务和信息资源被合理有效利用的目的。 一、研究的必要性 1.技术的变革与互联网的发展。信息技术的发展一日千里，技术架构经历了信息孤岛、以局域网为支撑的内部集成、以Internet为技术平台的分布式系统。体系结构从单层结构发展到3层乃至多层结构，从C-S结构到B-S结构。互联网的出现是现代科学技术高速发展的产物，它所涌现的信息资源的海量与包容性是其他任何信息媒介所无法比拟的。信息资源管理也有数据管理—信息管理—知识管理—信息生态的不同阶段。技术的发展进步及互联网的飞速发展对信息资源管理提出的更高的要求，必须充分考虑到其引起的变革。 2.网络信息资源的特点。从内容上看,网络信息资源具有分布广、数量大、种类多和不稳定的特点；从形式上看，网络信息资源具有非线性、交互性、动态性、累积性、多样性的特点；从信息资源的质量上来看，网络信息资源又具有良莠不齐，真假莫辨的特点。目前网络信息资源的使用现状仍存在很多问题:一是网络信息资源缺乏有效组织；二是信息检准率较低，网上信息资源分散、无序现象加剧；三是网络信息资源缺乏深层次的开发。只有对网络信息资源进行积极有效的组织和管理,才能带来真正有序的信息空间，实现信息资源效用的最大化。 3.企业所存在的问题。大多数企业应用系统处于“信息孤岛”状态，单体应用、部门级应用居多，企业级集成应用少。应用系统的数据以不同形式存储在不同的数据库中，而且各个业务系统通常分别由不同的职能部门管理和维护，分布在不同的地域，加之网络与信息安全性的防护措施，使得这些系统功能之间相互交叉，有着重复的信息和数据，但相互之间却很难进行畅通的信息交流与共享，形成了一个个“信息孤岛”。 4.环境的变化。目前企业的管理者一般都有企业信息化的战略构想，开发管理信息系统、建立电子商务平台、进行企业流程重组等正在如火如荼的开展。但是,在进行信息化改造的时候,决策者容易忽视环境的因素给企业信息化建设带来的影响，如社会、政策、经济、技术等。特别是进入到21世纪以后，企业所处的经济环境已从相对稳定、变化可预测的线性时代步入不断发生激烈变化的非线性时代。过去，信息资源管理通过给予企业信息保障，来向企业决策提供各种预测方案。但现在所提供的预测跟不上环境的变化，信息管理对企业环境的不适用已是必然，只有适合环境的企业才能生存和发展下去。在信息社会中各种事物的变化越来越快,“变”成了惟一不变的因素。要适应迅速变化的信息环境就得了解信息环境, 企业内外部环境将对信息资源管理的效用与效率产生重要影响，正视环境的变化并采取相应的策略才能解决企业所面临的问题。 二、研究内容 1.网络信息资源优化配置内容。大多数国内学者从网络信息分布的时间、空间和数量特征三个方面论述了网络信息资源配置的内容。李楠澜将网络信息资源配置内容总结概括为网络信息资源的时间矢量配置、空间矢量配置以及品种类型上的配置和在数量上的配置等四方面的内容。就品种类型配置，又从媒体类型、内容、时效性、归属特性及保密程度进行区分。 2.网络信息资源优化配置原则。刘水养指出网络信息资源的配置应在一定原则的指导下，通过多种不同模式的调配有序、高效地进行，使得网络信息资源发挥出最大的效用，从而达到优化配置的目的。他认为应该遵循宏观调控原则、以市场需求为导向原则、质量保证原则、集成配置与互补合作原则、效率优先、兼顾公平原则、集中与分散相结合原则、品种多样化原则等。 许恩元在《网络信息资源优化配置原则与模式新论》中引入了信息资源有效配置的理论依据—帕累托最优理论。分别就社会福利最大化原则、需求导向原则、公平原则、协调共享原则、市场手段与政府手段互补原则、合理分工与综合发展相结合原则等进行分析。 3.网络信息资源优化配置模式。网络信息资源配置的模式包括宏观配置和微观配置两方面的内容。宏观配置就是政府通过宏观手段对信息资源的配置提供政策性的指导，是一种政府层面的行政干预行为。对于宏观配置研究者一般从加强信息基础设施建设、完善信息政策和信息法规、设置均衡配置的指导目标、引入竞争机制及调控增量信息资源的规划与建设等方面进行了论述。 微观配置就是信息的制作、传播部门在政府宏观调控指导下对网络信息资源在时间、空间和数量等要素上作适时的配置，是一种技术性、操作性行为。重点需要网络信息资源在时间、空间、数量、类型、及技术的配置。 郭东强等认为应该将生态学及生态平衡的理念引入企业信息系统中形成企业信息生态系统。当企业信息生态系统发展到成熟阶段，各类的企业信息的比重、数量趋于平衡，信息的流向和流动趋于稳定，即达到企业信息生态系统的平衡状态。此时，整个社会经济资源达到最优化配置，经济主体不仅达到经济效益、社会效益，同时也实现了生态效益。同时他还建议正视过度依赖技术、使用技术给企业的信息环境带来的危害，提出“以人为本”的管理模式，注重人的因素，使人的作用得以充分发挥。 4.网络信息资源优化配置措施。大部分学者从宏观角度进行了研究，高丹从宏观上的提出相应建议：加强信息基础设施建设、有层次的配置信息资源、积极参与信息资源的开发、提高信息人员的素质、培育高效的信息市场。李颖认为要研究用户需求，建立全国性的网络信息资源管理协调机构，建立高质量的数据库及法律保障机制。陈德敏从技术角度对网络信息资源的管理进行研究，分别是MARC格式、DC元数据格式、应用分类法、应用主题法。 王玉在《论协同电子商务下的信息资源优化配置》中，谈到协同电子商务的建立必须从整个行业出发，研究各个企业的信息和资源的共享和集成，以及企业之间在市场环境中的合作和协调机制，建立能为企业提供一个从企业到行业到区域企业的集成信息支撑平台。这些都符合企业信息生态系统及生态圈的要求及动态演化的特点，当企业信息生态圈建设和发展到成熟阶段时 ,各类企业信息的比重、数量和企业群的比例趋于平衡 ,信息的流向与流量趋于稳定，即达到企业信息生态圈平衡。这种平衡是社会经济中市场平衡的真实反映 ,这时各种社会资源的配置趋于优化状态。 通过考察网络信息资源的优化配置的研究现状,网络环境下信息资源的优化配置和有效的开发利用是目前信息资源管理研究的一个热点问题。国内诸多学者对网络信息资源优化配置的内涵、原则、措施等内容行了分析，他们对基于网络环境下的信息资源优化配置的必要性都十分认同，但缺乏具体的实例分析及模型的建立，另外对于网络信息环境所出现的变化及与信息资源优化配置的模式也缺乏相应的研究。 三、研究建议 网络的广泛应用与发展使信息资源的交流和共享更加便捷，同时也对传统的信息组织与管理形成了很大冲击。网络信息爆炸、无序、优劣混杂 ,缺乏统一的组织与控制 ,严重阻碍了信息资源的利用，因此基于信息生态的理论对网络信息资源的优化配置的研究就尤为必要。 自20世纪90年代后期以来，随着生态学理论的引入，信息生态成为其一个重要的分支，信息生态问题已经成为现代信息管理界的一个研究热点，与以往片面强调技术的作用不同，信息生态通过对人、技术、信息和环境进行综合考察。 1997年，美国管理科学家达文波特（Thomas ）在《信息生态学：掌握信息与知识环境》一书中首次提出信息生态学（Information Ecology）的概念，将生态理念引入企业的信息管理中，从而开辟了信息管理的新领域。 1999年，纳笛(Bonnie. A. Nardi)和欧戴(Vicki L. O' Day)合作撰写了《信息生态：用心使用技术》中，将信息生态定义为“特定环境里由人、实践、价值和技术构成的一个系统”，认为信息生态系统里占核心地位的不是技术，而是由技术支持的人的活动。 国内学者对信息生态的研究有代表性的是蒋录全在2003年出版的《信息生态与社会可持续发展》中对信息生态进行了系统研究。他认为信息生态涉及信息、人和环境三大要素，信息生态就是研究信息—人—环境之间的相互影响和相互作用，进而在此基础上推导其整个生态系统的生成演和发展。而张福学认为信息生态只是一个比喻式的概念,意在利用“生态”这一比喻培育新的思想和理论。 对于信息生态理论中一个重要的研究内容是信息生态环境，蒋录全博士将信息生态环境因子定义为：信息环境中对人类及社会组织的成长、行为、发展、流动和分布以及社会进化与发展有着直接或间接影响的环境要素。信息环境因子主要可分为:人类因子、信息因子、信息技术因子、信息政策法律与信息伦理因子、信息文化因子等。而在网络环境中不容回避的一个事实就是信息生态失衡。 信息生态平衡是指信息、人、环境之间的均衡状态。信息生态失衡指以上要素处于不平衡状态，即信息生态系统内部和外部交换的信息受阻或其自身要素与子系统之间的比例失调等。谢立虹在《网络空间中的信息生态问题》中提出其主要现象有信息超载、信息污染、信息垄断和信息侵犯等4个方面。李凤石认为信息生态生态失衡的主要表现为信息资源分布失衡、信息爆炸等。 对于解决信息生态失衡的措施学者们从不同的角度进行了分析，田春虎认为调节信息生态失衡的方法包括从系统角度出发进行整体规划与布局，实现信息资源共享，保持信息生态系统的平衡与稳定；加大研究与开发投入，提高技术的创新能力；调整人员结构，提高信息素养；加强对网络信息生态系统的管理等。孟瑞玲从制定信息政策和信息法规、加强信息门户网站和信息地图建设方面提出了解决方法。此外，应金萍等提出实施信息分级制度，以净化信息环境整合传统理论优势，进行信息伦理学研究，加强信息伦理道德建设强化信息市场管理等具体措施。 借鉴信息生态的思路为解决企业信息化及信息资源优化配置提供了一个很好的思路。以往企业进行信息化建设往往是片面地强调某一方面的重要性,而不是从生态系统的角度来综合考虑,从而导致结果与预期相差甚远。从信息生态的角度分析及评价企业信息资源管理是现代环境下企业必须重视的一个问题。 刘文燕等在《从信息生态角度谈企业信息化》中谈到信息时代企业可持续发展的理想状态是为员工建立良好的信息生态环境，使企业成为一个信息生态化的企业。企业信息生态化是关于企业信息管理的一种新范式,从生态学的角度来考察企业信息管理中的系统性以及人与企业信息环境中之间的相互性，这种新范式是“以人为本”的一种信息管理方法，与“技术至上”的信息管理方法存在明显差异，为企业解决信息问题指出了新方向。李佳洋认为技术本身并不能解决企业组织的信息问题，只有当管理者改变“技术至上”的观念并且开始关注企业信息环境中存在的问题，才可能改变现状，建立合理稳定的企业信息生态系统，为企业的发展营造平衡和谐环境。 虽然国内学术界对信息生态问题研究的历史还不长，但已围绕它进行了较为全面的探讨和分析，提出了许多有价值的观点和对策，这将有助于信息生态学这一新兴学科的理论构建，并对解决信息生态失衡及信息资源管理问题具有现实的指导意义。 随着信息社会的飞速发展，技术的变革，环境的变化及信息的多样性以及需求的复杂性和个性化，对信息资源管理提出了新的课题。这要求我们从信息生态的理论从总体上加以解决。通过信息、人和环境的协调发展，强调网络信息化资源配置的效益性,使信息化资源配置达到最佳、效益最优, 这是网络资源优化配置的努力方向。

推荐下海宇安全数据防泄密系统 海宇安全防泄密系统，能够帮助企业构建起完善的防泄密体系，通过详尽细致的操作审计、全面严格的操作授权和安全可靠的透明加密三重保护全复面保护企业的信息资产，使得企业实现"事前防御—事中控制—事后审计"的完制整的信息防泄露流程 企业重要文件只能在部署了海宇安全防泄密的环境中使用，脱离了安全环境则需要进行申请外发、员工离线加密等加密权限，确保重zd要资料始终处于保护中 重要文件的操作行为全程资料进行详细审计，文件的操作权限可根据部门和职位进行分配，任何潜在的泄密渠道都会进行详细的监控