安全保障管理策略范文

导语：想要提升您的写作水平，创作出令人难忘的文章？我们精心为您整理的5篇安全保障管理策略范例，将为您的写作提供有力的支持和灵感！

篇1

[关键词]：信息系统安全管理

随着信息技术以其惊人的发展速度向社会各个领域渗透，高效、便利与快捷的优势已不言而喻，管理实现代化、网络化、信息化已迫在眉睫，势在必行。然而，信息技术是一把“双刃剑”，在计算机和网络技术为档案管理提供便利的同时，其自身的脆弱性、技术的垄断性以及人为破坏等因素，又威胁到信息的安全，因而在信息化管理过程中，针对信息安全存在的威胁，有着高度警惕的思想和有效防范的措施。

一、信息安全的含义

信息社会的安全问题不仅涉及到个人权益、企业生存、金融风险防范、社会稳定和国家安全，甚至关系到环境安全、生态安全和人类安全。它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共、国家信息安全的总和，是一个多层次、多因素、多目标的复合系统。现代信息安全主要包括两个方面的含义，即运行系统的安全和系统信息的安全。

1、运行系统的安全

运行系统的安全，包括严格而科学的管理，如对信息网络系统的组织管理、监督检查，规章制度的建立、落实与完善，管理人员的责任心、预见性、警惕性、使命感等;法律、政策的保护，如用户是否有合法权利，政策是否允许等;物理控制安全，如机房加锁、线路安全、环境适宜等:硬件运行安全;操作系统安全，如数据文件是否保护等;灾害、的避免和解除;防止电磁信息泄漏等。

2、系统信息的安全，包括:用户口令鉴别;用户存取权限控制;数据存取权限、方式控制、审计跟踪、数据加密等。从要素来看，信息安全是过程、政策、标准、管理、指导、监控、法规、培训和工具技术的有机总和。信息安全问题主要依靠密码、数字签名、身份认证、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制加以解决。

二、企业管理中信息安全的需求

企业现代化的运作和管理是依赖于企业的网络和国际互联网。信息化给企业管理带来的是高效的运作和对外信息的交换等的极大好处。信息系统的应用都依赖与网络，这就会有许多安全间题需要解决，归纳起来主要有以下一些安全问题需要解决。

1、对人的安全需求

管理的对象是人，人是信息安全面临的最大风险，人的思想和情绪是最为复杂的，员工有的可能利用公司的网络开些小玩笑，甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给企业的正常运作和管理造成极大的安全风险。

对于不满公司的内部管理人员如果把内部网络结构、管理员用户名及口令以及企业信息系统的一些重要信息传播给外人带来信息泄漏风险，甚至是商业和法律的风险。

还有如果存在不适当的信息系统授权，会导致未经授权的人获取不适当的信息。操作失误或疏忽会导致信息系统的错误动作或产生垃圾信息;恶意篡改数据、修改系统时间、修改系统配置、恶意导入或删除信息系统的数据，可能导致重大经济案件的发生。有令不行、有禁不止等人为因素形成的风险，是信息化管理中最主要的安全问题。

2、对应用系统的安全需求

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的，应用的安全性也动态。这就需要我们对不同的应用，采取相应的安全措施，降低应用的安全风险。

如果在企业的管理系统中没有考虑必要的安全模块的设计，或安全设计存在缺陷，都会导致管理系统安全免疫能力不足。没有完善、严格的安全系统管理机制，会导致机房管理、口令管理、授权管理、用户管理、服务器管理、网络管理、备份管理、病毒管理等方面出现问题，轻则产生垃圾信息，重则发生系统中断、信息被非法获取。

当前企业的管理系统己是一个庞大的网络化系统，在网络内存在众多的中小型机、服务器、前置机、路由器、终端设备，也包括数据库、操作系统、中间件、应用系统等软件系统。网络中的任何一个环节均可能出现故障，一旦出现故障便有可能造成系统中断，将会影响到整个企业的管理和运作。

3、对数据的安全需求

对于企业的管理和运作，最为宝贵的财富就是数据。要保证系统稳定可靠地运行，就要保护基于计算机的信息，也就是存储在计算机内的数据。虽然，计算机技术的发展给人们的日常生活提供了很多便利，然而，人为的操作错误，系统软件或应用软件的缺陷、硬件的损毁、电脑病毒、黑客攻击、自然灾难等等诸多因素都有可能造成计算机中数据的丢失，从而给企业造成无可估量的损失。此时，最关键的问题在于如何尽快恢复计算机系统，使其能正常运行。

三、制定信息安全策略

信息安全不是网络安全，如果将注意力过多地集中在网络层，往往会掩盖信息安全更加本质的内涵，信息安全不只是网络保护问题，而应该是能够帮助企业实现业务目标的一整套技术手段和措施。信息安全是通过制定实施一整套适当的安全策略实现的。必须建立起一整套的安全策略，确保满足企业管理的安全目标。

要制定一组最优的信息安全策略主要的要素包括如下几个方面：

1.要保护的对象

Ø硬件和软件

硬件和软件是支持企业运作和管理进行的平台，它们应该有策略保护。所以，拥有一份完整的系统软件硬件清单是非常重要的，这当中应该包括一张网络图。有很多方法来生成这份清单和网络图，无论用什么方法，必须确定所有东西都被记录了。

Ø非信息类资源

清单和策略一样，不仅仅和软硬有关。既应该有文档来记录程序、硬件、系统和本地管理过程，也应该有文档描述技术业务过程的方方面面。后者可以包括公司业务如何运作等信息，也可以展示易受攻击的区域。

同样的，清单应该包括所有的正式打印表格，印有公司名字页眉的信纸以及其它带有官方名称的材料。一个使用公司空白支票和正式信纸的人可以假冒公司的官员，进而盗用资金甚至损坏公司名誉。所以，必须把这些物品包括在清单里面，以使策略能够保护这些资产。

Ø记录人力资源

最重要和最昂贵的资源是人力资源，这些人操作和维护那些清单上记录的物品。

2.判断系统保护应该针对哪些人

定义访问是了解每个系统和网络组件如何被访问的过程。明白了信息资源是如何被访问的，就能够确定策略应该集中在谁身上。对于数据访问来说，有以下几个需要考虑到的方面:

a)对信息或资源的授权和未授权访问:

b)无意或者未授权的信息泄密;

c)执行程序概要:

d)漏洞和用户错误。

3、数据安全的考虑

我们使用计算机和网络所作的每一件事情都造成了数据的流动和使用。所有的公司、组织和政府机构，不论它们从事什么工作，都在收集和使用数据。即使是制造商的操作也离不开关键数据的处理，包括定价、车间自动化和存货清单控制。由于数据的重要性，所以定义策略的时候，了解数据的使用和结构是编写安全策略的基本要求。

4、备份、文档存储和数据处理

把数据备份到外部站点或者其它介质上，有关这方面的策略和在线访问信息策略是同样重要的。备份数据可以包括财政信息、客户往来记录甚至当前业务过程的拷贝。备份策略需要考虑的情况的包括:数据如何存档，在准备丢弃数据的时候应该作些什么。

上述组成要素最基本的。随着信息环境的变化、网络技术的更新、组织业务的变更，我们可以增加新的要素。总之，组织制定出的信息安全策略要达到控制安全保护措施的实施的目的。

四、结语

信息的安全问题是一个动态和相对的问题，信息安全的管理必须制定适当的安全策略并严格实施，才能为管理工作实现信息化提供信息安全保障。

参考文献

[1]赵战生，信息安全保障技术发展—动态与印象，中科院信息安全国家重点实验室会议报告，2001年

篇2

2014年以来，集团公司、油田全面开展从严管理年活动，从领导的重视程度、问题排查的细致，整改措施的制定，具体工作的落实，可以说规格是空前的，我结合自身的实际工作，讲一点体会和感想。

都说安全工作难干，但是在我看来难干的不是工作，而是协调身边的人一同干工作，面对全厂数千个生产现场，几千名职工的工作行为，怎样才能确保制度落实到位，怎样才能保证不出事故？

一、责任要落实到位，让大家感到压力

近一年多来，我感受到的最显著的一个变化，就是各部门的态度有了转变，以前，我们安全工作者最常听的一句话是“你们安全又怎样怎样”，那时是我们安全部门跟在后面要求大家去检查，而现在呢，各个业务部门主动组织检查，邀请我们去协助。在这方面，还是有一点建议。安全工作是个万金油的工作，但在某些专业知识上有所欠缺，我们最希望见到的是专业部门能够从专业的角度找出问题、查出隐患，看看专业系统内部是怎么开展日常工作，从而保障生产安全的，而不是单纯的大家一起来查安全资料、查现场安全。可能这有点吹毛求疵，但是作为一个安全管理者，内心最希望的是安全管理人员真正能成为一个监管者，当然，我们也知道这是一个职能、角色转变的必经过程，但这是一个努力的方向，也是我们工作的目标。

二、教育要警示为主，让大家触动内心

以往的安全教育，包括“我要安全”的教育大都是正面的教育和引导，但是现在看来仅有正面的教育和引导是不行的，要加大反面警示和惩处的力度，这个惩处也是一种教育，通过加大惩处的力度，真正消除干部职工的侥幸心理，切实使大家从内心里提高安全意识，真正把自己的生命当回事，把别人的生命当回事。要进一步收集整理各专业事故相关资料，制作多媒体学习资料，下发各单位作为安全教育的常规教材，把事故当成一种资源来利用好。

三、制度要一贯坚持，让大家习成自然

以我们厂的一个事情为例，从前年起，我们维修大队制定制度，凡进入生产、施工现场都必须带安全帽，无论有没有坠物风险。刚开始，职工有抵触情绪，觉得是矫枉过正，在一次动火监护的时候，一名气焊工跟我说，他去参加局里的一个技术比赛前的训练，当他进入现场准备练习的时候，很自然的就把安全帽呆在了头上，其他单位的职工都笑话他，啥时候也不忘带帽子啊，他笑了笑说；“习惯了”。还是一次动火监护，在分离器区焊接流程，由于长时间的下蹲工作，一名焊工起身时没有站稳，一下子就载向了身侧的阀门丝杠，尽管有丝杠护套和安全帽的双重保护，安全帽还是被磕出了一个印记。这仅仅是一个例子，当严格的要求大家都习以为常了，我们的管理就到位了。

四、监管要严上加严，让大家明白底线

有着200年历史的杜邦企业的安全文化，共分为4个阶段，自然本能反应阶段―依赖严格的监督阶段―独立自主管理阶段―互助团队管理阶段，以目前安全水平看我们仍处在第二阶段，需要依赖严格的监督。安全工作得罪人，安全监管就更要狠下心去，不下狠心就没有效果，不能光靠空喊，你不狠就有人对你狠，你不严就有人对你严，你不处理违章就有人处理你，等出了事故再检讨，再反思，一切都晚了。不是说出了事故怕被处理，而是出了事故以后，一些人走了就再也回不来了。所以说，我们搞监管，自身底气要硬，我们是为了工作，是为了事业，是为了他人的生命。

五、考核要公正公开，让大家看到差距

没有严格的要求，就没有安全的效益，趋利避害是人最原始、最基础的行为准则，怎样才能把这个“利”让大家看得到，把这个“害”让大家体会得到，我觉得就是要在考核上下功夫。二季度油田下发了考核公报，十几单位因违章问题被处罚，我们厂领导看了很有感触，不但在月度会上专门通报，还在厂内下发让全体科室、单位组织学习。坦率的讲，从日常监督检查发现的问题推算，全采油厂每天都有着违章问题发生，怎样杜绝违章，还是要转到如何改变职工行为上来。

篇3

中图分类号：G202 文献标志码：A 文章编号：1000-8772（2013）09-0170-03

引言

在当前的错综复杂的信息环境中，信息随着信息环境多样化的发展，变得更加的丰富与多样。在信息的传播过程中，信息异化现象的越发明显，不仅给人们获取和利用信息带来了障碍。而且也进一步地影响了人们信息活动的安全。

“异化”（alienation）源于拉丁语alienation，有转让、疏远、脱离、差异和分离之意。所谓信息异化，是指人们创造的信息在生产、传播和利用等活动过程中，因受到各种因素的干扰，而导致信息丧失原有的内涵，甚至反客为主演变成外在的支配、统治和控制人的异己力量。简单地说，信息异化就是作为主体的人与作为客体的信息之间产生关系的颠倒，从而使人丢失了自身的主体性。由此可以看出，信息异化扭曲了信息的本质，直接影响了信息的合理利用，而如何客观的认识信息异化环境，准确处理信息异化问题，是我们必须解决的核心问题。

信息安全是信息异化所涉及到的最为敏感且重要的问题之一。关于信息异化在信息安全方面的研究，其采用的处理手段主要集中在信息导航、信息过滤控制以及信息安全保密角度三个方面。信息导航作为展示信息资源内容与结构的基本手段，以有序化的方式体现无序化的信息，为用户提供方便快捷的信息指引；网络信息过滤作为筛选信息、满足用户需求的有效方法，通过运用一定的标准和工具，从大量的动态网络信息流中根据用户的信息需求选取相关的信息或剔除不相关信息；信息安全保密控制的核心在于融合管理、技术、执法几种手段综合加以治理，通过内部网的安全保密技术以及内部网与外部网的防火墙技术隔离技术确保内部网的安全，同时细化电子文件密集，完善身份验证、存取控制、数据完整性、数据机密性、防火墙技术、安全协议等手段，实现信息安全技术的应用。

现阶段对于信息异化中信息安全的研究大多都处于强针对性条件下的研究现状，单一的目的性导致了信息异化影响无法完全消失，信息污染无法被彻底地清除，信息安全依旧得不到完善的保障。因此，本文旨在参照目前信息异化的现状处理的不足，在分析现有的安全保障系统缺陷的条件下，提出一套系统性的安全保障模式。

一、现有的企业信息安全保障系统

目前，国内外与信息异化环境下的信息安全保障相关的系统结构主要为OPSEC安全保障策略和网络信息创新平台。

（一）安全保障策略（OPSEC）系统

OPSEC安全保障策略（Operation Seeurity），是美国国家安全局依照企业反竞争情报的理念设计的一套以分析信息的价值人手，针对信息的价值来确定所要采取的保护策略的安全保障系统。OPSEC的运行机制是通过鉴别和分析竞争对手想要获得的决定竞争成败的关键信息，确定关键信息的危害程度，采取措施进行补救减少威胁，同时对自身信息系统的所有过程进行检验和分析。找到直接危害信息安全的弱点并采取弥补措施，通过对自身弱点的分析，找到弥补措施的平衡点，并最终综合上述所有的环节进行研究，制定出综合应对策略嘲。

OPSEC在通过运用过程中通过全面分析信息找出存在的漏洞，通过分析这些漏洞是否值得保护而进行的筛选信息保护。OPSEC的应用偏重于针对一定信息的异化处理和安全保障，有利于在低投入的条件下从根本上清除相关的信息污染，但降低了针对信息自身的多变性和时效性的异化分析。

（二）网络信息创新平台模式

网络信息创新平台即建立在技术进步基础之上，利用信息科学的基本原理和方法实现人类信息处理扩展的技术模式。网络创新平台的着重点在于虚实与创新有机结合的信息技术模式，从提高信息技术的综合水平上加强安全保密措施。虚实与创新有机结合的信息技术模式，在于针对现代信息技术发展造成信息生产者创新能力的丢失以及虚假信息扩散的现状，发展出的一种将虚实和创新有机结合的信息技术模式，通过信息的时效性、开放性等特征，将各种现实信息紧密联系，实现不同媒介信息的融合，提升信息的创新价值，在信息生产的阶段，由于信息技术的促使信息量逐步提升使得信息在急剧增加的同时质量下降，而提高信息技术的信息加工传递的速率以及信息的辨别处理能力。当今的技术漏洞使信息安全受到了威胁，成为威胁信息安全的隐患。信息系统安全保密技术是防止信息污染发生的一项关键性技术系统，保障信息活动逐步规范化。

网络信息创新平台在理论上建立起了针对信息异化环境的信息安全保障系统，通过从信息的生产源人手，进一步体现信息的本质并兼顾自身的安全保障，对信息的处理和安全保障更加规范化。但目前信息安全的发展缺乏在信息安全应用上的创新研究，研究与应用发展不平衡性，没有覆盖信息安全的主要方向。

二、企业信息安全保障系统构建与分析

（一）核心目标

信息安全保障系统是指在信息环境下由信息安全的各个组成部分相互联系且相辅相成所建立的总体结构。在信息异化的环境下，信息污染将成为信息安全的首要威胁之一，因此对于信息异化的处理将成为信息安全保障的首要工作。

信息安全保障系统能否具有可行性的关键，在于系统自身能否解决异化环境中信息污染的处理问题，以及能否适应当前所面对的各种客观的信息安全保障环境和日益加剧的安全系统漏洞。

（二）企业信息安全保障系统结构构建

信息异化环境下的企业信息安全保障系统（如图1所示），该系统的关键在于将异化后的信息通过信息清理模块的初步处理，使信息的核心价值得以体现，再通过安全保障模块的核心进行分析处理与安全保护模块的信息加密，防止信息受到二次异化，从而使得信息价值得到充分的利用。

（三）企业信息安全保障系统的运行机制

信息异化环境下企业信息安全保障系统的运行机制（如图2所示）：将信息异化环境中被异化的信息提取并选择与自身安全有关联的信息进行关键词挖掘，通过对异化信息中的核心词汇进行提取用以找到合适的信息源，同时对同信息源或同类关键词汇进行合成从而形成关键信息并进行分析和制定安全保障策略，最后通过设置的保密措施来对安全保障策略进行实施和成效反馈。因此，该信息安全保障系统中应包含信息清理模块、安全保障策略模块以及自身的安全保护模块三个部分。

（四）企业信息安全保障系统功能分析

1 信息清理模块

信息清理模块主要用以对信息异化环境中受到异化的信息进行初处理，其具体的实施功能为信息源选取、关键词挖掘和信息集成。

（1）信息源选取。对信息异化环境中的信息进行过滤，选取与目前对自身安全有关的信息，并确认信息的信息源。（2）关键词挖掘。通过对与自身安全相关联的信息进行语义挖掘，判断并找出信息中的核心词汇。（3）信息集成。明确信息的信息源，并将其与被挖掘出来的信息关键词进行关联分析，同时通过将信息源所发出的所有与自身目前相关的信息与挖掘LIJ的信息关键词进行匹配，找到合适的信息体进行合成。

2 安全保障模块

安全保障模块是以信息分析，策略制定和实施以及成效反馈为主要步骤来进行的信息安全保障活动。

（1）信息分析。将已经合成的信息进行分析，发现其对自身信息安全产生的威胁，并找到自身信息安全存在的漏洞。（2）策略制定。对信息威胁和发现的信息漏洞进行综合研究，制定}H相关补救策略，同时进一步加强总体性的信息安全保障。（3）策略实施。针对所制定的策略细节进行加密保护，再将加密后的策略信息进行实施和传递存储。（4）成效反馈。基于策略实施后的成效进行反馈研究，并将结果进行加密后返送至信息分析功能板块，通过对反馈的成效分析，查漏补缺，进一步制定和完善信息安全保障策略。

3 安全保护模块

安全保护模块的主要功能是保密措施，其运行机制在于对安全保障模块中保障措施的实施和反馈进行的加密保护，并通过一系列实践活动进一步对策略的实施给予保障。

三、实验分析与验证

（一）信息清理

目前从网络销售平台中，将某手机品牌制造企业生产的E型手机选取三条相关信息：

信息1：本品牌产品本月综合关注排行有所提升；

信息2：此E型手机的总销量为近两百四十台；

信息3：此E型手机本月销量上升一个百分点。

（二）信息挖掘与集成

现分别将以上三条信息的关键词进行挖掘与集成，即如下表所示：

（三）安全保障

根据集成信息进行分析，可以得出本产品具有一定的市场潜力，在品牌效应促使下产品销量也正在逐步提升，因此，保障品牌的可信度以及产品的好评率是取得客户信任的关键一环。针对此现象，制定出进一步打造品牌效应，加强广告宣传力度以及实行产品促销活动，争取更广泛的客户群体的提升策略。

在策略进行的同时，开展有偿回访，积极深入了解客户的内心需求，并针对客户的需求进一步完善产品的功能，并在产品平台的基础上研发功能更加全面的软件，进行升级下载。

（四）安全保护

在策略制定的过程中，为了获取准确的客户信息。需要在客户回访中，深入了解客户购机的背景以及用途，同时进行多层次的交流以及实行多次的效应评估和完善评价。在品牌宣传的过程中实施相关信息的及时反馈，并在促销活动中体现品牌诚信以及公信度，从而进一步保障策略准确的实施和虚假异化信息的有效防范。

四、结论

信息是人及其活动中不可缺少的要素之一。在社会信息环境中，信息异化会促使人们表现出对自己创造的信息环境的不适感。针对信息异化现象的控制，需遵循信息生产、传播和利用的利他法则。因此，信息行为也必须像其他行为一样受道德与法律的双重规范的约束。对于信息异化的控制，需努力寻找其根源，从多个角度进行控制研究，有效控制信息异化。

通过对于目前所提出的信息异化环境下的企业信息安全保障系统的阐述，我们可以从中发现系统性综合性的信息安全保障模式可以在信息异化的环境下，针对特定的信息进行相关异化分析，并在内部和外部环境下的信息综合评价进行安全保护。但作为系统性的运作模式，各模块由于其间特性的不同，从而导致的模块之间的衔接较为简单，因而形成了信息安全保护相对较低、对于个别综合性较大的异化信息所需进行的处理力度略显不够的状况。因此，进一步提升信息安全的防范指数，促进信息异化环境下的信息安全运作系统各模块间的衔接，下一步所需研究的核心问题。

参考文献：

[1]刘丹丹，孙瑞英，网络环境下信息异化的心理原因探析[J]图书馆学研究，2009，33（4）

[2]孙瑞英。信息异化问题的理性思考[J]情报科学，2007，25（3）：340-344

[3]曾忠禄，情报制胜[M]，北京：企业管理出版社，2000：281-283

[4]俞培宁，信息异化的成因及对策研究[J]，图书馆学研究，2011（3）：9-11

篇4

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599　（2012）　19-0000-02

1 网络安全问题概述

1.1 网络安全的现状。2011年，我国境内与互联网连接的用户有60%以上的用户受到境外用户的攻击。仅在过去的两年我国遭到网络安全攻击的计算机IP地址就超过了100多万个，被黑客攻击的网站将近5万个；在网络病毒威胁方面，我国仅被一种网络病毒感染的计算机数量就超过了1800万台，占全球感染主机总量的30％，位列全球第一。近些年关于漏洞多，木马、病毒猖獗；网络瘫痪、网站被篡改、系统被入侵；网银转款、网上诈骗等网络安全问题的报道也非常多，网络安全现状令人堪忧。

1.2 网络面临的问题与挑战。随着计算机网络通信技术的高速发展，人们的工作和生活越来越离不开计算机网络信息通信系统，近些年，新涌现出来的网络信息安全问题已成为全球广泛关注的焦点问题，人们在在网络信息安全方面面临着各种各样的问题，来自网络安全的各种挑战非常严峻。

首先，计算机网络信息系统不断从传统的专有系统想当前的通用操作系统转变，也就是说，当前的网络信息系统越来越开放，再加上，绝大多数网络通信系统采用的是TCP/IP网络传输协议来进行网络通信服务的，而TCP/IP网络传输协议由于自身安全性不足，给网络信息系统的安全就带来了一定的挑战；其次，随着国际互联网网络这一大环境的不断改变，针对网络信息系统的安全威胁不断表现出多样化和多源化的特点，针对网络系统的安全威胁的多样化和多源化，需要构建一个纵深的、立体的、全方位的网络安全解决方案，这就为网络安全防御系统的复杂性和可控性问题提出了挑战；最后，在过去的几年中，有很多组织机构部门对自身的网络信息系统的安全建设进行了大量的人力和资金投入，并花费了大量的资金用来进行网络系统安全设备的采购，以采集大量的网络通信日志及网络安全攻击报警信息，但问题是，所采集的这些信息并没有被得到充分的利用，以至于许多未被明确的网络安全风险，依然保留在网络信息系统中，从而对网络信息系统的安全构成威胁。

2 认识网络安全保障体系

2.1 网络安全保障体系的提出。随着信息化的发展，政府或企业对信息资源的依赖程度越来越大，没有各种信息系统的支持，很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱，更容易受到损害，更应该加以妥善保护。而目前，随着互联网和网络技术的发展，对于政府或企业的信息系统来讲，更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系，来有效的保障信息系统的全面安全。于是，网络安全保障体系应运而生，其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设，让政府或企业的网络系统面临的风险能够达到一个可以控制的标准，进一步保障网络信息系统的安全稳定运行。

网络安全保障体系是针对传统网络安全管理体系的一种重大变革。它依托安全知识库和工作流程驱动将包括主机、网络设备和安全设备等在内的不同资产和存放在不同位置中的大量的安全信息进行范式化、汇总、过滤和关联分析，形成基于资产/域的统一等级的威胁与风险管理，并对威胁与风险进行响应和处理，该系统可以极大地提高网络信息安全的可控性。

2.2 网络安全保障体系的作用。网络安全保障体系在网络信息安全管理中具有十分重要的作用，主要体现在如下三个方面：首先，网络安全保障体系可以对整个网络系统中不同的安全设备进行有效的管理，而且可以对重要的网络通信设备资产实施完善的管理和等级保护；其次，网络安全保障体系可以有效帮助网络安全管理人员准确分析现有网络信息系统所面临的安全威胁，从而可以帮助管理人员制定合理的网络安全应急响应流程；最后，网络安全保障体系可以通过过对网络风险进行量化，实现对网络风险的有效监控和管理。

3 网络安全保障体系的构建策略

3.1 确定网络安全保障体系构建的具体目标。网络安全保障体系建设是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分，通过信息安全治理来达到具体的建设目标。其中，信息安全的组织体系是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构，主要包括决策、管理、执行和监管机构四部分组成；信息安全的策略体系是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。

3.2 确定适合的网络安全保障体系构建的方法。（1）网络安全管理基础理论。网络安全保障体系的安全管理方法就是通过建立一套基于有效的应用控制机制的安全保障体系，实现网络应用系统与安全管理系统的有效融合，确保网络信息系统的安全可靠性。（2）建立有效的网络安全保障体系。一是网络信息安全组织保障体系作为网络信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定，建立的网络安全保障体系可以在完善信息安全管理与控制的流程上发挥重要作用；二是网络信息安全技术保障体系作为网络安全保障体系的重要支撑，有效利用访问控制、身份鉴别、数据完整性、数据保密性等安全机制，是实现网络安全防护的重要技术手段；三是网络信息安全运维保障体系可以通过对网络信息系统的安全运行管理，实现整个网络信息系统安全监控、运行管理、事件处理的规范化，充分保障网络信息系统的稳定可靠运行。

3.3 建立网络安全保障体系组织架构。网络安全组织体系是网络信息安全管理工作的保障，以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。因此，需要根据该组织的网络信息安全总体框架结合实际情况，确定该网络组织信息安全管理组织架构。其中，网络安全保障体系组织架构主要包括如下内容：一是网络信息安全组织架构。针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果；二是信息安全角色和职责，主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责；三是安全教育与培训。主要包括对安全意识与认知，安全技能培训，安全专业教育等几个方面的要求；四是合作与沟通。与上级监管部门，同级兄弟单位，本单位内部，供应商，安全业界专家等各方的沟通与合作。

3.4 建立网络安全保障体系管理体系。（1）网络访问控制。用户访问管理规范及对应表单、网络访问控制规范与对应表单、操作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单。（2）网络通信与操作管理。网络安全管理规范与对应表单、Internet服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单。（3）网络信息系统的获取与维护。网络信息系统的获取与维护即要求明确网络信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单和相关的软件系统。

参考文献：

篇5

对于电子档案而言，其主要是建立在计算机和网络技术的基础之上，属于相对较新的事物，对档案工作具有极大的推动作用。但是，在实际应用中，鉴于诸多因素的影响，使得其在安全问题上面临挑战，因此，要加强电子档案信息安全保障系统建设。

一、对电子档案信息安全保障体系概念的分析

电子档案的信息安全保障体系，主要是借助一定的安全策略，应用先进和科学的安全技术，实现对电子档案信息的有效防护和监控，保证电子档案信息在整个保存和处理中的安全性，提高并保证档案信息的真实性和完整性，彰显动态的调整功能，主要是由防护、检测、反应和恢复四个环节，实现持续发展的动态过程。

二、全面介绍电子档案信息安全保障体系的组成部分

（一）重视法制标准保障的全面建设。1.注重建立更加专业的电子档案信息安全法律。当前，电子档案信息安全相关法律主要在刑法、档案法中有所体现，但是，缺少专业性的电子档案信息安全法，在一定程度上使得电子档案信息在保护和执行方面力度不够。因此，需要重视安全法规的建设，形成具有针对性的安全保障措施，针对破坏现象，进行相应的处理，同时，强化执法强度，保障电子档案管理能够有法可依，强化执法力度。2.重视完整的电子档案信息安全立法。在档案信息安全立法中，缺乏严谨的结构体系，缺陷比较明显，主要包含相关的公开制度、隐私权法律制度、网络知识产权等。3.形成全面的档案信息安全标准体系。对于档案信息安全标准体系，其发展较晚，属于初级发展时期，缺乏完整性和健全性，因此，要立足基础、技术和管理标准，进行标准体系的建设。在系统运行中，要注重对新型系统的设计、验收、运行和维护，在根本上实现电子档案安全管理的有序进行。

（二）做好基础设施保证建设工作。对于电子档案信息的传递和运行，基础设施建设必不可少，主要是立足硬件系统和运行技术架构，实现对安全信息技术环境的营造。在基础安全架构中，要立足网络安全架构，结合软硬件，实现安全系统的有效部署。在进行架构设计的时候，需要针对功能进行分区，实现对网络功能的明确，设置保护等级，同时，进行信息访问权限的限制。

（三）全面加强组织管理保证建设。1.将先进的管理思想渗透其中。对于电子档案，需要重视前端和全程控制管理思想，立足文件到档案的全周期监控，能够及时发现其中的问题，保证监督的有效性。要重视分级管理，结合文件价值，进行安全管理，强化管理力度。要将风险管理的思想融入其中，进行有效评估，形成对策，降低档案安全风险。2.重视建立权威性的信息安全管理机构。对于档案管理机构，只有保证其权威性，才能提高管理工作的高度。在组织上，需要重视职能的划分，在根本上保证对信息安全管理工作的战略性指导，也能够做好具体工作，形成详细的应对策略。3.重视对基础设施配置的管控。在进行基础设置配置的时候，需要重视对各种参数的考量，保证其根本的稳定性与可靠性，达到安全运行的目的。同时，要重视对地址的选择，保证各方面要求能够达到技术要求。4.设计更具可靠的电子档案安全管理系统。对于电子档案管理而言，信息技术十分关键，需要保证安全性与稳定性。为此，在设计的时候，结合控制的思想，立足档案管理的责任，在根本上满足档案安全功能的需要，尤其是强化权限、监控等功能等。

（四）加强安全技术保障工作。1.将物理安全平台的构件作为重要工作来抓。对于网络电子信息的安全性，物理安全发挥重要的作用，主要针对环境、设备和媒体安全几个方面，有效防护环境的安全性，保证设备稳定性，避免干扰现象，保证数据的安全性。2.加强对电子档案安全管理的网络支持。主要包含传输和业务网络两个部分。其中，传输网络安全能够有效维护电子档案传输的稳定性，有效保证网络服务的可靠性。而对于业务网络安全，主要对病毒的防范、对防火墙的设置以及对网络的监控，实现对档案信息系统业务资源的有效防护。

三、结语

综上，电子档案信息安全保障体系具有系统和综合性，重视法制建设标准，立足基础安全设施，重视整体安全策略和组装，借助先进的安全防范机制，保障档案信息资源的高安全性、高可靠性和高可用性。同时，积极促进档案整体信息化应用水平的全面提高，为信息化建设保驾护航。

【参考文献】

[1]黄昌瑛.电子档案信息安全保障策略研究[D].福建师范大学，2007.