資產安全管理范文精選

隨著寬帶網絡和用戶規模的不斷增長，用戶對寬帶接入業務的高可用性要求不斷增強，對電信運營商在IP城域、接入網絡和支撐系統提出了更高的安全性要求。本文從信息安全管理的理念、方法學和相關技術入手，結合電信IP城域網，提出電信IP城域網安全管理、風險評估和加固的實踐方法建議。

關鍵字（Keywords）：

安全管理、風險、弱點、評估、城域網、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對信息安全的定義是“保護信息系統和信息，防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏，保證信息系統能夠連續、可靠、正常的運行”。所以說信息安全應該理解為一個動態的管理過程，通過一系列的安全管理活動來保證信息和信息系統的安全需求得到持續滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。

信息安全管理的本質，可以看作是動態地對信息安全風險的管理，即要實現對信息和信息系統的風險進行有效管理和控制。標準ISO15408－1（信息安全風險管理和評估規則），給出了一個非常經典的信息安全風險管理模型，如下圖一所示：

摘要：面對煙草行業網絡安全工作的新形勢、新變化和新要求，結合行業信息化發展的特點及和行業各單位信息化資產的應用情況，以行業“分級分域、整體保護、積極預防、動態管理”的總體安全方針為指導，以網絡安全“雙線思維”為目標要求，構建基于信息化資產的網絡安全工作體系。該體系以信息資產為中心，以人和信息資產為管理對象，涵蓋安全形勢、政策體系、管理體系、技術體系、工作保障體系5項重點內容。網絡安全工作體系的建立可以全面指導行業各單位開展網絡安全工作，形成規范、有序、高效、全面的網絡安全工作機制。

關鍵詞：煙草行業網絡安全；資產；體系

近年來，在信息化飛速發展的同時，網絡安全形勢也日趨嚴峻和復雜。國家、行業以及各級主管部門，對網絡安全工作越來越重視，要求也越來越高。多次強調“網絡安全與信息化是一體之兩翼，驅動之雙輪”，“沒有網絡安全就沒有國家安全”。網絡安全工作已上升到國家戰略層面。因此網絡安全工作，除了關系到企業的自身利益外，也具有一定的政治意義。面對當前網絡安全工作的新形勢、新變化和新要求，以及煙草行業本身的特殊性。必須理清網絡安全工作的方方面面，形成一套相對完整的網絡安全工作體系，才能把網絡安全工作做的有條理、更全面、更輕省、見成效。

1構建基于網絡安全工作體系的原因

（1）網絡安全工作的本質是保護信息資產的安全。近些年網絡安全工作的開展，基本上也是圍繞信息化資產來開展的。如2014年開展的煙草行業信息系統全面梳理、全面診斷、全面加固整改情況專項檢查工作，2015年煙草行業信息系統賬號安全專項檢查工作，2016年開展的煙草行業信息系統應用安全專項檢查及同年開展的工控系統摸底調查，2017年業務信息系統風險調研都是圍繞信息系統資產開展的工作。2018年開展的煙草行業網絡安全檢查。將檢查范圍擴大到信息系統、終端計算機、網絡架構、安全產品的配備和使用情況、以及網絡安全主體責任落實情況等方面，也都是圍繞企業信息化資產進行；2019年開展的企業重要數據和個人信息梳理工作是圍繞數據資產開展。即將于2019年出臺的網絡安全等級保護制度，所針對的對象也是信息系統、基礎網絡、云平臺、物聯網、大數據、移動平臺等信息資產。由此可見網絡安全一切工作的根本和中心就是信息化資產。（2）缺乏系統的網絡安全工作體系來指導工作開展。網絡安全近幾年才開始重視，大多數企業網絡安全工作都是處在初級階段，網絡安全管理體系、技術體系、工作保障體系等還沒有完全建立起來。網絡安全工作錯綜復雜，大多數情況下，很多企業只是在做好日常網絡安全管理工作的同時，跟著上級主管部門的要求來開展各類工作，工作往往非常被動。若有相關工作體系來指導，網絡安全工作的開展將會更加主動。做起事來不至于東一榔頭西一棒槌，能夠清楚的知道“做什么，怎么做，什么時候做，做的效果如何”。

2基于信息化資產的網絡安全工作框架設計

1信息安全事件回顧

2013年中國網民遇到的各種安全問題的整體發生率如圖1所示。與2012年相比，2013年個人信息泄漏的比例有大幅的上升。從上圖也可看出，雖然個人信息泄漏被作為一個單獨項進行統計，但排在前三位的安全事件也是由個人信息的泄漏造成的。所以，綜合來看，個人的信息泄漏事件不容小覷。在這些事件的背后我們看到的是人員信息安全意識的缺失，企業信息安全管理的不足。為了幫助企業和個人提高信息安全意識水平，2012年底某IT企業了《2012年度中國企業員工信息安全意識調查報告》，經過對被調查企業的管理層人員及普通員工的大量數據分析和統計，參與本次接受調查訪問者的信息安全意識評價平均得分為77.48分。其中，受訪者在移動存儲介質安全方面的得分最高，為96.1分；在社會工程學信息安全方面的得分最低，為49.6分。因此，中國企業的信息安全意識依然有較大的提升空間。很多企業為保障企業數據信息安全，不惜花巨資投資購進防火墻、入侵檢測、防病毒等網絡安全產品。然而，企業內的安全事件遠比管理者的預想更為復雜、更為寬泛，人員的誤操作或無作為也會使這些工具失去其應有的作用。只有提高人員的安全意識和技能，才能真正使企業的信息安全設備發揮應有的作用。

2目前企業人員的信息安全管理主要存在的問題

（1）全體工作人員的信息安全意識不高；

（2）信息安全專業人員數量較少，工作流程不清晰；

（3）信息安全崗位職責劃分模糊；

【摘要】隨著電力改革的不斷推進、科學技術的快速發展，復雜大電網形勢帶來的一系列挑戰日漸嚴峻，基于此，本文簡單分析了復雜大電網下電力調度數據網面臨的安全管理問題，并深入探討了復雜大電網下電力調度數據網的安全管理模式，希望由此能夠為相關業內人士帶來一定啟發。

【關鍵詞】復雜大電網；電力調度數據網；安全管理

前言

近年來我國電力調度數據網的建設及應用不斷深化，網絡復雜度也隨著其規模的增大、承載數量的增多出現了顯著提高，但在復雜大電網的影響下，電力調度數據網的安全仍面臨著多方面的威脅，如缺乏高水平的網絡安全管理模式與數據網安全測試方法、安全設備配置不夠等，而為了盡可能消除這類威脅，正是本文圍繞復雜大電網下電力調度數據網安全管理模式開展具體研究的原因所在。

1復雜大電網下電力調度數據網面臨的安全管理問題

1.1問題分析

摘要：

隨著寬帶網絡和用戶規模的不斷增長，用戶對寬帶接入業務的高可用性要求不斷增強，對電信運營商在IP城域、接入網絡和支撐系統提出了更高的安全性要求。本文從信息安全管理的理念、方法學和相關技術入手，結合電信IP城域網，提出電信IP城域網安全管理、風險評估和加固的實踐方法建議。

關鍵字（Keywords）：

安全管理、風險、弱點、評估、城域網、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對信息安全的定義是“保護信息系統和信息，防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏，保證信息系統能夠連續、可靠、正常的運行”。所以說信息安全應該理解為一個動態的管理過程，通過一系列的安全管理活動來保證信息和信息系統的安全需求得到持續滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。