上世紀(jì)九十年代以來，嘉興電力局逐步建立了辦公自動(dòng)化（OA）、SAP系統(tǒng)、營銷管理、95598客戶服務(wù)、負(fù)荷管理、PI數(shù)據(jù)庫等諸多信息系統(tǒng)，企業(yè)信息化在安全生產(chǎn)、經(jīng)營管理、優(yōu)質(zhì)服務(wù)中發(fā)揮了極其重要的作用。與此同時(shí)，信息安全的籬笆墻也越扎越緊，有效地防范了外部的攻擊和內(nèi)部管理失控帶來的種種威脅。嘉興電力局先后被中電聯(lián)授予“信息化先進(jìn)單位”、“信息化標(biāo)桿企業(yè)”等光榮稱號(hào)。**年貫徹ISO/IEC27001：**信息安全管理標(biāo)準(zhǔn)，獲得了挪威船級(jí)社DNV公司認(rèn)證證書。

一、運(yùn)用系統(tǒng)的思想和方法，查找信息安全管理的“短扳”

隨著企業(yè)信息化的快速發(fā)展，信息安全管理工作顯得相對(duì)滯后。管理思想和方法落后。過去基本上是參照電網(wǎng)安全管理一些傳統(tǒng)做法，沒有體現(xiàn)信息化特點(diǎn)和要求，越來越不適應(yīng)信息系統(tǒng)的快速發(fā)展和變革；管理不夠全面。以往只考慮硬件、軟件，忽視了人、數(shù)據(jù)和文檔、服務(wù)、無形資產(chǎn)等重要對(duì)象，對(duì)外來人員也缺乏有效的識(shí)別管理；管理制度不夠系統(tǒng)。以前雖然制訂了較多的制度和標(biāo)準(zhǔn)，當(dāng)信息化發(fā)展到一定程度，這些制度就顯得很單薄，就事論事的管理方式必然會(huì)產(chǎn)生安全管理的盲區(qū)，有些制度內(nèi)容重復(fù)、交叉、不一致，有些制度不切實(shí)際，往往束之高閣；風(fēng)險(xiǎn)評(píng)估不夠科學(xué)。以往的信息風(fēng)險(xiǎn)評(píng)估不夠系統(tǒng)，主觀性過強(qiáng)，缺乏綜合平衡，抓不住重點(diǎn)，或過度保護(hù)，或產(chǎn)生管理死角，事后控制多，事前預(yù)控少，不能涵蓋信息系統(tǒng)的生命周期。

上述情形是企業(yè)在信息化建設(shè)中普遍感覺到的問題。隨著科學(xué)技術(shù)的進(jìn)步，企業(yè)信息運(yùn)行管理模式也發(fā)生了巨大的變化，為企業(yè)采用先進(jìn)管理方式、建立信息安全管理體系打下了扎實(shí)的基礎(chǔ)。為此，嘉興電力局根據(jù)國際上信息安全管理的最佳實(shí)踐，結(jié)合供電企業(yè)的實(shí)際，從信息安全風(fēng)險(xiǎn)評(píng)估管理入手，貫徹ISO/IEC27001：**信息安全管理標(biāo)準(zhǔn)，建立了信息安全管理體系。通過體系有效運(yùn)作，達(dá)到了供電企業(yè)信息安全管理“預(yù)控、能控、可控、在控”的目的。

二、從資產(chǎn)識(shí)別入手，搞好信息安全風(fēng)險(xiǎn)評(píng)估

按《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》，對(duì)所有的資產(chǎn)進(jìn)行了列表識(shí)別，并識(shí)別了資產(chǎn)的所有者。這些資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值。在風(fēng)險(xiǎn)評(píng)估中，共識(shí)別資產(chǎn)2810項(xiàng)，其中確定的重要資產(chǎn)總數(shù)為312項(xiàng)，形成了《重要資產(chǎn)清單》。

摘要：

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長(zhǎng)，用戶對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對(duì)電信運(yùn)營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評(píng)估和加固的實(shí)踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評(píng)估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對(duì)信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過程，通過一系列的安全管理活動(dòng)來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。

摘要：

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長(zhǎng)，用戶對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對(duì)電信運(yùn)營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評(píng)估和加固的實(shí)踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評(píng)估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對(duì)信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過程，通過一系列的安全管理活動(dòng)來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。

摘要：

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長(zhǎng)，用戶對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對(duì)電信運(yùn)營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評(píng)估和加固的實(shí)踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評(píng)估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對(duì)信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過程，通過一系列的安全管理活動(dòng)來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。

摘要：隨著信息時(shí)代的到來，信息安全已經(jīng)融入電力企業(yè)生產(chǎn)經(jīng)營活動(dòng)的方方面面。本文主要針對(duì)電力企業(yè)信息安全管理中存在的問題展開分析，指出電力企業(yè)目前在信息安全管理以及信息安全體系中存在的風(fēng)險(xiǎn)，并相應(yīng)地制定了高效的信息安全管理措施，以促進(jìn)信息安全管理問題的解決，并推進(jìn)電力企業(yè)信息安全管理水平的提升。

關(guān)鍵詞：電力信息；安全現(xiàn)狀；改善策略

電力系統(tǒng)是一個(gè)涉及了繼電保護(hù)、電網(wǎng)調(diào)度自動(dòng)化、配電網(wǎng)自動(dòng)化等方面的大型系統(tǒng)工程。在電力企業(yè)快速發(fā)展的背景之下，信息安全問題與電力企業(yè)生產(chǎn)經(jīng)營活動(dòng)存在緊密的聯(lián)系，直接影響著電力企業(yè)能否進(jìn)行安全生產(chǎn)。

1電力企業(yè)存在的主要信息安全管理風(fēng)險(xiǎn)

1.1信息安全體系層面。（1）信息網(wǎng)絡(luò)結(jié)構(gòu)與邊界風(fēng)險(xiǎn)。從信息網(wǎng)絡(luò)結(jié)構(gòu)方面來看，電力企業(yè)面臨著核心交換機(jī)選型缺乏合理性這一問題，比如，核心交換機(jī)屬于一臺(tái)二層交換機(jī)，只有充分利用系統(tǒng)才能夠有效地解決網(wǎng)絡(luò)安全問題。除此之外，絕大部分的電力企業(yè)會(huì)采用多種形式連接互聯(lián)網(wǎng)，但是不同的安全域間的網(wǎng)絡(luò)連接并未采取任何的訪問控制措施，導(dǎo)致互聯(lián)網(wǎng)訪問的過程中會(huì)面臨掃描攻擊、非法侵入以及DOS攻擊等各種問題。（2）病毒侵害與網(wǎng)絡(luò)攻擊。隨著電子郵件系統(tǒng)運(yùn)用范圍地?cái)U(kuò)大，加快了計(jì)算機(jī)病毒擴(kuò)散的速度，各種病毒會(huì)通過網(wǎng)絡(luò)進(jìn)行傳播，越來越多的電力企業(yè)網(wǎng)絡(luò)面臨著計(jì)算機(jī)病毒入侵的安全風(fēng)險(xiǎn)。現(xiàn)在的網(wǎng)絡(luò)攻擊手法結(jié)合了許多技術(shù)，多數(shù)電力企業(yè)雖然安裝了防病毒軟件，但是這些軟件僅僅起到病毒查殺的作用，無法阻止病毒傳播。針對(duì)網(wǎng)絡(luò)中傳播的蠕蟲，雖然入侵檢測(cè)系統(tǒng)可以檢查出來，但是無法對(duì)蠕蟲進(jìn)行徹底地清除。此外，運(yùn)用補(bǔ)丁管理雖然可以避免蠕蟲的感染，但是同樣無法實(shí)現(xiàn)對(duì)蠕蟲的查殺。除此之外，在現(xiàn)階段，企業(yè)各個(gè)安全產(chǎn)品大多是獨(dú)立工作，不能對(duì)病毒進(jìn)行系統(tǒng)化地查殺。（3）系統(tǒng)安全風(fēng)險(xiǎn)。就系統(tǒng)安全風(fēng)險(xiǎn)內(nèi)容來看，它具體指的是下面幾點(diǎn)內(nèi)容：第一，操作系統(tǒng)風(fēng)險(xiǎn)；第二，數(shù)據(jù)庫系統(tǒng)風(fēng)險(xiǎn)，第三，各類運(yùn)用系統(tǒng)風(fēng)險(xiǎn)。在現(xiàn)階段，許多電力企業(yè)將Windows操作系統(tǒng)作為主要的操作系統(tǒng)，然而任何操作系統(tǒng)都不可避免地存在漏洞，漏洞會(huì)給入侵者提供可乘之機(jī)，一旦入侵者掌握了管理員權(quán)限，必然會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊。1.2信息安全管理層面。（1）信息安全管理措施落實(shí)不到位。由于資金不足，許多的電力企業(yè)不能及時(shí)替換陳舊的操作系統(tǒng)和郵件程序，而入侵者極容易利用內(nèi)部網(wǎng)絡(luò)的缺陷來進(jìn)行攻擊。此外，由于企業(yè)的管理人員網(wǎng)絡(luò)安全意識(shí)淡薄，就會(huì)忽視同步升級(jí)用戶系統(tǒng)。另外，部分電力企業(yè)使用開放程度過高的操作系統(tǒng)，由于安全級(jí)別低下，加上未采取任何安全措施，就無法實(shí)現(xiàn)對(duì)黑客與信息炸彈地有效抵御。（2）企業(yè)信息管理革新滯后于技術(shù)發(fā)展。近些年，我國的信息技術(shù)快速發(fā)展，但是電力企業(yè)的管理水平一直沒有得到提升，雖然部分企業(yè)采用了最新的業(yè)務(wù)系統(tǒng)以及管理系統(tǒng)，但是并未及時(shí)更新管理模式，以至于無法充分發(fā)揮出信息系統(tǒng)的價(jià)值。信息安全工作是一項(xiàng)兼具復(fù)雜性與系統(tǒng)性的工作，對(duì)工作人員的專業(yè)水平有著較高的要求，所涉及的知識(shí)面十分的廣泛。很顯然，現(xiàn)階段的技術(shù)人員無法滿足新時(shí)期電力企業(yè)對(duì)信息安全管理工作的要求。（3）工作人員安全意識(shí)十分淡薄。目前，許多工作人員不能夠認(rèn)識(shí)到網(wǎng)絡(luò)信息安全的重要性，沒有拿出足夠的時(shí)間與精力投入到網(wǎng)絡(luò)信息安全的學(xué)習(xí)之中。此外，大多數(shù)電力企業(yè)的安全意識(shí)淡薄，忽視安全領(lǐng)域的投入，以至于網(wǎng)絡(luò)信息安全長(zhǎng)時(shí)間處于封堵漏涮狀態(tài)。與此同時(shí)，絕大部分工作人員缺乏良好的安全意識(shí)，對(duì)于共用口令、企業(yè)內(nèi)部信息傳播以及復(fù)制等涉及的安全問題了解不夠，給了黑客攻擊可乘之機(jī)，導(dǎo)致經(jīng)常出現(xiàn)信息泄露問題，最終影響了企業(yè)網(wǎng)絡(luò)信息的安全性。

2電力企業(yè)信息安全管理對(duì)策

1城市燃?xì)庑畔⒒ㄔO(shè)探索

1．1地理信息系統(tǒng)及數(shù)據(jù)采集與監(jiān)控系統(tǒng)

在燃?xì)馄髽I(yè)中應(yīng)用GIS系統(tǒng)，既能對(duì)燃?xì)夤芫€進(jìn)行電子化圖檔管理，也能實(shí)時(shí)監(jiān)控天然氣管網(wǎng)規(guī)劃、搶修等情況。GIS通過將現(xiàn)有的管網(wǎng)及周邊地理狀況、管線、設(shè)備等信息，集成為管線集輸?shù)木C合信息，然后，實(shí)時(shí)傳輸和展現(xiàn)給燃?xì)馄髽I(yè)相關(guān)管理人員，從而為燃?xì)夤芫€運(yùn)行、設(shè)備維護(hù)和安全管理，提供全面、準(zhǔn)確的參考依據(jù)。

1．1．1．?dāng)?shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)

SCADA系統(tǒng)是燃?xì)夤艿缿?yīng)急系統(tǒng)的重要組成部分，是一項(xiàng)集實(shí)時(shí)工控與調(diào)度信息管理為一體的大型的計(jì)算機(jī)應(yīng)用系統(tǒng)?？梢赃h(yuǎn)程監(jiān)控與管理各門站、調(diào)壓站等站點(diǎn)，確保燃?xì)庀到y(tǒng)運(yùn)行高效、安全、經(jīng)濟(jì)運(yùn)行。

1．2事故處理方案決策優(yōu)化與管網(wǎng)風(fēng)險(xiǎn)評(píng)價(jià)

編者按：本論文主要從信息是軟件企業(yè)的重要資源；保護(hù)企業(yè)信息的安全，建立實(shí)施信息安全管理體系是非常有效的途徑等進(jìn)行講述，包括了網(wǎng)絡(luò)共享與惡意代碼防控、信息化建設(shè)超速與安全規(guī)范不協(xié)調(diào)、信息產(chǎn)品國外引進(jìn)與安全自主控制、IT產(chǎn)品單一性和大規(guī)模攻擊問題、IT產(chǎn)品類型繁多和安全管理滯后矛盾、IT系統(tǒng)復(fù)雜性和漏洞管理、攻擊突發(fā)性和防范響應(yīng)滯后、口令安全設(shè)置和口令易記性難題等，具體資料請(qǐng)見：

論文摘要：隨著軟件行業(yè)特別是軟件外包行業(yè)在國內(nèi)的蓬勃發(fā)展，如何保證自身的信息安全成了擺在軟件企業(yè)面前的重要課題。文章通過對(duì)軟件企業(yè)現(xiàn)有信息安全問題的分析，提出了采用信息安全體系建設(shè)系統(tǒng)解決信息安全問題，著重闡述了信息安全風(fēng)險(xiǎn)管理的原理和方法在軟件行業(yè)中的應(yīng)用。

論文關(guān)鍵詞：軟件企業(yè)；信息安全；風(fēng)險(xiǎn)管理

隨著國家大力推動(dòng)軟件外包行業(yè)和IT行業(yè)的發(fā)展，軟件企業(yè)發(fā)展呈現(xiàn)良好態(tài)勢(shì)，在自身業(yè)務(wù)發(fā)展壯大的同時(shí)，軟件企業(yè)信息安全重要性日益凸顯?；ヂ?lián)網(wǎng)和IT技術(shù)的普及，使得應(yīng)用信息突破了時(shí)間和空間上的障礙，信息的價(jià)值在不斷提高。但與此同時(shí)，網(wǎng)頁篡改、計(jì)算機(jī)病毒、系統(tǒng)非法入侵、數(shù)據(jù)泄密、網(wǎng)站欺騙、服務(wù)癱瘓、漏洞非法利用等信息安全事件時(shí)有發(fā)生。據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局的調(diào)查結(jié)果顯示，2007年5月～2008年5月間，有62．7％的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件，其中，感染計(jì)算機(jī)病毒、蠕蟲和木馬程序的安全事件為85．5％，遭到端口掃描或網(wǎng)絡(luò)攻擊的占31．4％，垃圾郵件占25．4％。

信息是軟件企業(yè)的重要資源，是非常重要的“無形財(cái)富”，分析當(dāng)前的信息安全問題，有如下典型的信息安全問題急需解決。

(1)網(wǎng)絡(luò)共享與惡意代碼防控。

摘要：近年來，國內(nèi)外對(duì)信息安全的重視提到了一個(gè)新的高度，各個(gè)行業(yè)領(lǐng)域都展開了針對(duì)信息安全的網(wǎng)絡(luò)攻防演練，對(duì)信息安全管理又提出了很多新的要求。本文分析了在企業(yè)中對(duì)信息安全的管理，總結(jié)了問題與原因，提出了解決方案。

關(guān)鍵詞：信息安全管理；信息安全體系；網(wǎng)絡(luò)安全

1信息安全管理的重要性

信息安全問題是企業(yè)在管理中遇到的最新的問題，信息是數(shù)字的載體，現(xiàn)代化辦公都是利用各種信息來提高工作效率。而如何在提高效率的同時(shí)不僅要保障信息系統(tǒng)中各種數(shù)據(jù)的安全、還要保證數(shù)據(jù)的正確性、完整性、持續(xù)性、穩(wěn)定性等，成為非常重要的問題。從國家層面上來說也是很重視，已相繼出臺(tái)網(wǎng)絡(luò)安全方面的法律法規(guī)，2019年又修訂了信息系統(tǒng)安全等級(jí)保護(hù)的基本要求。信息安全主要指信息數(shù)據(jù)安全、信息設(shè)備安全、系統(tǒng)軟件安全等在內(nèi)的企業(yè)信息安全。一個(gè)大型企業(yè)的信息安全性不足的話，很容易造成機(jī)密信息泄露，文件和重要圖紙?jiān)馐芨`取或破壞，甚至重要的系統(tǒng)被黑客攻破導(dǎo)致企業(yè)正常的辦公和生產(chǎn)癱瘓。特別是國企有工控系統(tǒng)的，如果被攻破會(huì)導(dǎo)致數(shù)控機(jī)床失控或人員受傷。因此為了避免以上情況的出現(xiàn)，必須做好企業(yè)的信息安全管理。企業(yè)信息安全是否得到正確的管理，主要通過以下幾個(gè)方面來判斷：第一，完整性和正確性。要求信息數(shù)據(jù)在處理和傳輸過程中沒有遭到破壞或惡意修改。第二，保密性或隱私性。是指在信息數(shù)據(jù)不會(huì)泄露給沒有授權(quán)的個(gè)人或組織。第三，持續(xù)可用性。信息系統(tǒng)或網(wǎng)絡(luò)在被攻擊時(shí)，可迅速的恢復(fù)網(wǎng)絡(luò)使用和數(shù)據(jù)的持續(xù)可用，滿足企業(yè)業(yè)務(wù)要求。第四，可控制。企業(yè)必須有強(qiáng)制手段對(duì)網(wǎng)絡(luò)信息進(jìn)行監(jiān)控，有可查日志，從而在信息系統(tǒng)出現(xiàn)問題時(shí)可馬上進(jìn)行數(shù)據(jù)恢復(fù)，避免不必要的損失。

2分析信息安全隱患

2.1漏洞。漏洞包含兩個(gè)方面：操作系統(tǒng)漏洞和開發(fā)的信息平臺(tái)系統(tǒng)漏洞。計(jì)算機(jī)操作系統(tǒng)或服務(wù)器的操作系統(tǒng)本身就有很多漏洞，所以就需要不斷地更新補(bǔ)丁，但是常用端口還是有可以利用的漏洞，例如：9699、8080端口等，特別是遠(yuǎn)程端口經(jīng)常被利用或攻擊。而在信息系統(tǒng)中存在漏洞就更多，開發(fā)軟件中為了功能的便捷往往都會(huì)忽視網(wǎng)絡(luò)信息安全問題，造成系統(tǒng)中的數(shù)據(jù)很多都沒有基礎(chǔ)保護(hù)，如果用的完全是軟件開發(fā)公司的系統(tǒng)，更是有很多漏洞，而往往這些漏洞都是難以彌補(bǔ)的。2.2病毒。計(jì)算機(jī)病毒或網(wǎng)絡(luò)病毒，首先都是各種數(shù)據(jù)代碼組成并會(huì)傳播的，往往一臺(tái)有或者一個(gè)網(wǎng)端上有就會(huì)影響到整個(gè)網(wǎng)絡(luò)，不僅破壞系統(tǒng)運(yùn)行還能損毀數(shù)據(jù)；其次病毒有多樣的表現(xiàn)形式，并具有潛伏隱蔽性，而且還能升級(jí)，例如近年代表性的“勒索病毒”。病毒除了通過網(wǎng)絡(luò)傳播，最主要的傳播還是在介質(zhì)上，特別是U盤。因此防病毒，不僅要依靠防病毒軟件，還要有對(duì)介質(zhì)、網(wǎng)絡(luò)隔離、數(shù)據(jù)傳輸?shù)冗M(jìn)行嚴(yán)密的管理來控制。2.3環(huán)境和人為因素。網(wǎng)絡(luò)環(huán)境是信息安全保障的基礎(chǔ)，企業(yè)要加強(qiáng)基礎(chǔ)設(shè)施的投入，加強(qiáng)物理安全設(shè)備的管理。有些自然因素是無法避免的，例如雷電、防火、防水等。這些引發(fā)的災(zāi)害造成的信息安全事件，很容易影響網(wǎng)絡(luò)信息安全。在網(wǎng)絡(luò)環(huán)境中人絕對(duì)是關(guān)鍵因素，規(guī)范人的信息安全管理非常重要[1]。無論是信息安全的基礎(chǔ)設(shè)施如何，無論技術(shù)手段如何，也無論是惡意行為還是失誤操作，人都是信息安全事件發(fā)生的因素。企業(yè)員工對(duì)于網(wǎng)絡(luò)信息安全保護(hù)意識(shí)很薄弱，而專業(yè)的網(wǎng)絡(luò)技術(shù)人員在企事業(yè)中也很缺乏，而專職的信息安全管理人才更是少之又少。

編者按：本論文主要從網(wǎng)絡(luò)共享與惡意代碼防控；信息化建設(shè)超速與安全規(guī)范不協(xié)調(diào)；信息產(chǎn)品國外引進(jìn)與安全自主控制；IT產(chǎn)品單一性和大規(guī)模攻擊問題等進(jìn)行講述，包括了IT產(chǎn)品類型繁多和安全管理滯后矛盾、IT系統(tǒng)復(fù)雜性和漏洞管理、攻擊突發(fā)性和防范響應(yīng)滯后、口令安全設(shè)置和口令易記性難題等，具體資料請(qǐng)見：

論文摘要：隨著軟件行業(yè)特別是軟件外包行業(yè)在國內(nèi)的蓬勃發(fā)展，如何保證自身的信息安全成了擺在軟件企業(yè)面前的重要課題。文章通過對(duì)軟件企業(yè)現(xiàn)有信息安全問題的分析，提出了采用信息安全體系建設(shè)系統(tǒng)解決信息安全問題，著重闡述了信息安全風(fēng)險(xiǎn)管理的原理和方法在軟件行業(yè)中的應(yīng)用。

論文關(guān)鍵詞：軟件企業(yè)；信息安全；風(fēng)險(xiǎn)管理

隨著國家大力推動(dòng)軟件外包行業(yè)和IT行業(yè)的發(fā)展，軟件企業(yè)發(fā)展呈現(xiàn)良好態(tài)勢(shì)，在自身業(yè)務(wù)發(fā)展壯大的同時(shí)，軟件企業(yè)信息安全重要性日益凸顯?；ヂ?lián)網(wǎng)和IT技術(shù)的普及，使得應(yīng)用信息突破了時(shí)間和空間上的障礙，信息的價(jià)值在不斷提高。但與此同時(shí)，網(wǎng)頁篡改、計(jì)算機(jī)病毒、系統(tǒng)非法入侵、數(shù)據(jù)泄密、網(wǎng)站欺騙、服務(wù)癱瘓、漏洞非法利用等信息安全事件時(shí)有發(fā)生。據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局的調(diào)查結(jié)果顯示，2007年5月～2008年5月間，有62．7％的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件，其中，感染計(jì)算機(jī)病毒、蠕蟲和木馬程序的安全事件為85．5％，遭到端口掃描或網(wǎng)絡(luò)攻擊的占31．4％，垃圾郵件占25．4％。

信息是軟件企業(yè)的重要資源，是非常重要的“無形財(cái)富”，分析當(dāng)前的信息安全問題，有如下典型的信息安全問題急需解決。

(1)網(wǎng)絡(luò)共享與惡意代碼防控。

根據(jù)縣委、縣政府2010年安全生產(chǎn)工作的部署，結(jié)合縣安全生產(chǎn)委員會(huì)辦公室《安全生產(chǎn)綜合目標(biāo)管理考核辦法》的要求，本局高度重視全系統(tǒng)的安全生產(chǎn)管理工作，年初在總結(jié)考評(píng)2009年安全生產(chǎn)管理的基礎(chǔ)上，及時(shí)開大會(huì)動(dòng)員部署10年的安全生產(chǎn)目標(biāo)責(zé)任落實(shí)，現(xiàn)將上半場(chǎng)年安全生產(chǎn)管理工作有關(guān)情況總結(jié)如下：

一、加強(qiáng)領(lǐng)導(dǎo)，落實(shí)責(zé)任

為了切實(shí)抓好全系統(tǒng)安全生產(chǎn)管理工作，進(jìn)一步促進(jìn)本系統(tǒng)安全生產(chǎn)工作穩(wěn)定向好，縣局主要領(lǐng)導(dǎo)和分管安全管理工作的領(lǐng)導(dǎo)十分重視局安全領(lǐng)導(dǎo)小組的建設(shè)，認(rèn)真評(píng)估領(lǐng)導(dǎo)小組組成人員的合理與否，作用發(fā)揮程度好差，及時(shí)作出了保持安全領(lǐng)導(dǎo)小組組成成員的穩(wěn)定，并賦予相應(yīng)的工作要求。縣糧食局安全管理領(lǐng)導(dǎo)小組組成人員為局領(lǐng)導(dǎo)、相關(guān)科室負(fù)責(zé)人，二大公司的總經(jīng)理。堅(jiān)持單位主要領(lǐng)導(dǎo)負(fù)總責(zé)，分管領(lǐng)導(dǎo)具體抓，班子成員共同抓的“一崗雙責(zé)”領(lǐng)導(dǎo)體系。

在明確局安全管理工作領(lǐng)導(dǎo)小組后，針對(duì)本系統(tǒng)安全單位管理層次的要求，確定了局管責(zé)任主體單位三家，即海鹽縣糧食收儲(chǔ)有限責(zé)任公司，海鹽縣糧食資產(chǎn)管理有限公司及海鹽縣油脂有限責(zé)任公司。2010年1月14日，縣局召開了全系統(tǒng)安全生產(chǎn)管理責(zé)任簽約大會(huì)，縣局領(lǐng)導(dǎo)對(duì)2009年度較好完成安全管理工作，實(shí)現(xiàn)了全年安全無事故進(jìn)行認(rèn)真總結(jié)并給予表彰獎(jiǎng)勵(lì)，同時(shí)按二個(gè)層次分別進(jìn)行10年度安全目標(biāo)責(zé)任落實(shí)的責(zé)任簽約?？h局與三個(gè)單位進(jìn)行了安全責(zé)任狀簽約，二大公司與相應(yīng)的區(qū)域分公司簽訂安全生產(chǎn)管理責(zé)任書。會(huì)上要求各單位各職能部門要齊心協(xié)力，層層簽訂好安全生產(chǎn)管理的目標(biāo)和責(zé)任，各司其職，通過責(zé)任的落實(shí)和強(qiáng)化，把2010年的系統(tǒng)安全生產(chǎn)管理抓實(shí)抓出成效，為全縣安全生產(chǎn)穩(wěn)定向好盡好責(zé)任。

二、明確目標(biāo)，強(qiáng)化重點(diǎn)

10年2月，縣局以鹽糧管[2010]2號(hào)文件“關(guān)于做好2010年安全生產(chǎn)工作的意見”下發(fā)各局管單位，要求結(jié)合實(shí)際，根據(jù)國家和省、市、縣有關(guān)安全生產(chǎn)工作的要求，強(qiáng)化安全生產(chǎn)主體責(zé)任，明確安全生產(chǎn)管理的目標(biāo)，圍繞“儲(chǔ)糧、資產(chǎn)、生產(chǎn)、資金人員”五項(xiàng)重點(diǎn)內(nèi)容，把安全目標(biāo)和任務(wù)盡職履行好。