管理信息系統(tǒng)安全策略

歡迎閱讀本文檔，希望本文檔能對(duì)您有所幫助!歡迎閱讀本文檔，希望本文檔能對(duì)您有所幫助!感謝閱讀本文檔，希望本文檔能對(duì)您有所幫助感謝閱讀本文檔，希望本文檔能對(duì)您有所幫助歡迎閱讀本文檔，希望本文檔能對(duì)您有所幫助!感謝閱讀本文檔，希望本文檔能對(duì)您有所幫助管理信息系統(tǒng)安全策略對(duì)于企業(yè)競(jìng)爭(zhēng)來(lái)說(shuō)，資料的保密和安全是非常重要的。資料的保密和安全涉及以下幾個(gè)方面：

1、資料自身的完整性和規(guī)范性；

2、資料存儲(chǔ)的安全性；

3、資料的維護(hù)（更新）和引用（查閱）的管理手續(xù)（即流程）的規(guī)范性及權(quán)力限定的嚴(yán)謹(jǐn)性。

用一句通俗的話來(lái)歸納，在企業(yè)中，只有通過(guò)授權(quán)的人（崗位）才可使用（包括維護(hù)和引用）相關(guān)的資料，嚴(yán)禁未經(jīng)過(guò)授權(quán)的人（崗位）非法使用資料。而對(duì)于（計(jì)算機(jī)）管理信息系統(tǒng)應(yīng)用來(lái)說(shuō)，資料包括基礎(chǔ)（技術(shù)）數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。首選要求數(shù)據(jù)（即資料）要具有良好的共享性，其次要求流程（即業(yè)務(wù)）處理具有連貫性。

基于上述兩者之間的需求，要求（計(jì)算機(jī)）管理信息系統(tǒng)本身應(yīng)具有下列基本功能：

1、保證企業(yè)資料的完整性和一致性（關(guān)系數(shù)據(jù)庫(kù)本身功能可解決）；

2、資料存儲(chǔ)的安全可靠性（可通過(guò)配置高性能的數(shù)據(jù)庫(kù)服務(wù)器、備份及加強(qiáng)服務(wù)器的保安管理可解決）；

3、通過(guò)強(qiáng)有力的權(quán)限管理功能，將企業(yè)所有的數(shù)據(jù)根據(jù)實(shí)際情況定義出所有者（機(jī)構(gòu)）。同時(shí)授權(quán)（控制）每個(gè)人（崗位）的功能模塊（業(yè)務(wù)操作）使用權(quán)限，所能查閱及維護(hù)的數(shù)據(jù)的范圍（即能查閱哪些機(jī)構(gòu)的數(shù)據(jù)，在軟件系統(tǒng)中表現(xiàn)為數(shù)據(jù)表中的記錄行），以及查閱及維護(hù)數(shù)據(jù)的哪些明細(xì)屬性（在軟件系統(tǒng)中表現(xiàn)為數(shù)據(jù)表的列）；

4、結(jié)合企業(yè)運(yùn)作的實(shí)際情況和未來(lái)需要，可定義出各業(yè)務(wù)之間的工作（操作）流程。

第二篇：稅務(wù)系統(tǒng)信息安全策略論文編號(hào)：6g21112101

稅務(wù)系統(tǒng)信息安全策略

劉宏斌李懷永

內(nèi)容題要：

隨著稅收信息化程度不斷提高，稅收工作對(duì)信息系統(tǒng)的依賴性不斷增大，稅務(wù)信息安全顯得更加重要。本文主要通過(guò)分析稅務(wù)信息化的網(wǎng)絡(luò)安全的重要性和內(nèi)部網(wǎng)網(wǎng)絡(luò)信息存在的安全問(wèn)題來(lái)提出稅務(wù)信息化的網(wǎng)絡(luò)安全實(shí)施方案。

關(guān)鍵詞：稅務(wù)信息化、信息安全、安全策略

計(jì)算機(jī)軟硬件技術(shù)的發(fā)展和互聯(lián)網(wǎng)技術(shù)的普及，為電子稅務(wù)的發(fā)展奠定了基礎(chǔ)。尤其是國(guó)家金稅工程的建設(shè)和應(yīng)用，使稅務(wù)部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務(wù)可以最大限度地確保國(guó)家的稅收收入，但卻面臨著系統(tǒng)安全性的難題。雖然我國(guó)稅務(wù)信息化建設(shè)自開始金稅工程以來(lái)，取得了長(zhǎng)足進(jìn)步，極大提高了稅務(wù)工作效率和質(zhì)量。但稅務(wù)系統(tǒng)本身也暴露出了一系列要改進(jìn)的問(wèn)題，各種應(yīng)用軟件自成體系、重復(fù)開發(fā)、信息集中程度低。隨著信息化水平的不斷提高，基于信息網(wǎng)絡(luò)及計(jì)算機(jī)的犯罪事件也日益增加。稅務(wù)系統(tǒng)所面臨的信息網(wǎng)絡(luò)安全威脅不容忽視。建立稅務(wù)管理信息化網(wǎng)絡(luò)安全體系，要求人們必須提高對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)，增強(qiáng)防范意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全管理，采取先進(jìn)有效的技術(shù)防范措施。本文主要通過(guò)分析稅務(wù)信息化的網(wǎng)絡(luò)安全威脅和內(nèi)部網(wǎng)網(wǎng)絡(luò)信息管理的安全策略和技術(shù)來(lái)提出稅務(wù)信息化的網(wǎng)絡(luò)安全實(shí)施方案。

一、稅務(wù)機(jī)關(guān)信息安全的重要性

稅收是國(guó)家財(cái)政收入的重要途徑，相關(guān)的稅務(wù)系統(tǒng)業(yè)務(wù)要求其具有準(zhǔn)確性、公證性和完整性的特點(diǎn)，隨著稅收信息化程度不斷提高，稅收工作對(duì)信息系統(tǒng)的依賴性不斷增大，稅務(wù)信息安全顯得更加重要。稅務(wù)信息系統(tǒng)已經(jīng)覆蓋到全國(guó)鄉(xiāng)鎮(zhèn)，點(diǎn)多面廣，信息安全防范難度加大，稅務(wù)機(jī)關(guān)信息系統(tǒng)安全基礎(chǔ)條件不足、管理力量薄弱，成為稅務(wù)信息安全的重點(diǎn)和難點(diǎn)。因此保證稅務(wù)信息系統(tǒng)的安全性意義重大。稅務(wù)系統(tǒng)作為電子政務(wù)系統(tǒng)的一部分，屬國(guó)家基礎(chǔ)信息建設(shè)，其基本特點(diǎn)是：網(wǎng)絡(luò)地域廣、信息系統(tǒng)服務(wù)對(duì)象復(fù)雜；稅務(wù)信息具有數(shù)據(jù)集中、安全性要求高；應(yīng)用系統(tǒng)的種類較多，網(wǎng)絡(luò)系統(tǒng)安全設(shè)備數(shù)量大，種類多，管理難度大。稅務(wù)系統(tǒng)是一個(gè)及其龐大復(fù)雜的系統(tǒng)，從業(yè)務(wù)上有國(guó)稅、地稅之分，從地域來(lái)說(shuō)通過(guò)總局、省局、市局?jǐn)?shù)據(jù)中心的三層數(shù)據(jù)分布和總局、省局、市局及縣/區(qū)級(jí)、分局/所五層網(wǎng)絡(luò)管理結(jié)構(gòu)。網(wǎng)絡(luò)結(jié)點(diǎn)眾多、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)出口不計(jì)其數(shù)、操作系統(tǒng)種類繁多、應(yīng)用系統(tǒng)五花八門、網(wǎng)絡(luò)機(jī)構(gòu)極其復(fù)雜。面對(duì)如此復(fù)雜的系統(tǒng)，其內(nèi)部安全隱患隨處可見，經(jīng)過(guò)不斷的研究和探索，目前已經(jīng)積累了大量解決稅務(wù)系統(tǒng)信息基礎(chǔ)設(shè)施安全的方法和經(jīng)驗(yàn)，形成一整套稅務(wù)系統(tǒng)的安全保障方法，相關(guān)安全保障的體系也在不斷完善和發(fā)展中。

二、稅務(wù)系統(tǒng)內(nèi)部網(wǎng)存在的安全問(wèn)題

稅務(wù)信息化的網(wǎng)絡(luò)為計(jì)算機(jī)內(nèi)部網(wǎng)，內(nèi)部網(wǎng)是獨(dú)立于其他任何網(wǎng)絡(luò)的獨(dú)立網(wǎng)絡(luò)，這里所謂的獨(dú)立是指的物理上的獨(dú)立，因此保證保密內(nèi)部網(wǎng)的網(wǎng)絡(luò)與信息安全也具有特有的要求。稅務(wù)內(nèi)網(wǎng)安全的問(wèn)題主要表現(xiàn)為：

1、物理地域廣。內(nèi)網(wǎng)設(shè)備地理位置分散，內(nèi)網(wǎng)用戶水平參差不齊，承載業(yè)務(wù)不同，安全需求各異，從而決定了內(nèi)網(wǎng)安全建設(shè)的復(fù)雜性和多元性；

2、網(wǎng)絡(luò)邊界的擴(kuò)大。遠(yuǎn)程撥號(hào)用戶、移動(dòng)辦公用戶、vpn用戶、分支機(jī)構(gòu)、合作伙伴、供應(yīng)商、無(wú)線局域網(wǎng)等等已經(jīng)大大地?cái)U(kuò)展了網(wǎng)絡(luò)的邊界，使得邊界保護(hù)更加困難；稅務(wù)分局、稅務(wù)所等分支機(jī)構(gòu)的局域網(wǎng)與上級(jí)稅務(wù)骨干網(wǎng)的連接，無(wú)論采用adsl、xdsl寬帶，還是采用ddn、sdh專線，基本沒有路由安全和防止入侵的技術(shù)措施。

3、病毒/蠕蟲/特洛伊木馬。病毒蠕蟲大規(guī)模泛濫、新的蠕蟲不斷出現(xiàn)，給內(nèi)網(wǎng)用戶帶來(lái)?yè)p失，以及網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲攻擊等安全問(wèn)題后，不能做到及時(shí)地阻斷、隔離；一般是以尋找后門、竊取密碼和重要文件為主，還可以對(duì)電腦進(jìn)行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強(qiáng)的隱蔽性、突發(fā)性和攻擊性。由于具有很強(qiáng)的隱蔽性，用戶往往是在自己的密碼被盜、機(jī)密文件丟失的情況下才知道自己中了木馬。部分內(nèi)部網(wǎng)絡(luò)終端缺少有效的安全防護(hù)，業(yè)務(wù)資料和私人信息混存，不設(shè)開機(jī)口令，沒有讀寫控制，業(yè)務(wù)系統(tǒng)登錄口令簡(jiǎn)單且長(zhǎng)期不變，移動(dòng)存儲(chǔ)設(shè)備不按規(guī)定使用，病毒和垃圾信息充斥。

4、身份欺騙。內(nèi)網(wǎng)安全防范措施相對(duì)脆弱，不能有效抵御來(lái)自內(nèi)外部的入侵和攻擊的問(wèn)題，安全策略不能得到及時(shí)地分發(fā)和執(zhí)行，最終導(dǎo)致安全策略形同虛設(shè)；主要方式有：ip欺騙、arp欺騙、dns欺騙、web欺騙、電子郵件欺騙、源路由欺騙（通過(guò)指定路由，以假冒身份與其他主機(jī)進(jìn)行合法通信或發(fā)送假報(bào)文，使受攻擊主機(jī)出現(xiàn)錯(cuò)誤動(dòng)作）、地址欺騙（包括偽造源地址和偽造中間站點(diǎn)）等。

5、內(nèi)網(wǎng)非法主機(jī)外聯(lián)。非法主機(jī)的接入、內(nèi)部網(wǎng)非法通過(guò)modem、無(wú)線網(wǎng)卡非法外聯(lián)等的安全防范不足從而引入安全風(fēng)險(xiǎn)。有的終端在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間來(lái)回?fù)Q用，一些只應(yīng)在內(nèi)部網(wǎng)上運(yùn)行的操作系統(tǒng)、應(yīng)用軟件和業(yè)務(wù)數(shù)據(jù)沒有與互聯(lián)網(wǎng)實(shí)行“隔離”，存在潛在風(fēng)險(xiǎn)。

6、缺乏上網(wǎng)行為管理監(jiān)控。缺乏對(duì)內(nèi)網(wǎng)用戶行為（收發(fā)郵件，web頁(yè)面訪問(wèn)，文件上傳下載等等）進(jìn)行監(jiān)控的手段，導(dǎo)致組織機(jī)密信息和隱私泄漏。內(nèi)部網(wǎng)上設(shè)備和信息共享范圍廣，信息發(fā)布和公開比較隨意，不少重要或敏感信息只有發(fā)布沒有管理，缺少防止惡意攻擊信息系統(tǒng)和竊取保密信息的技術(shù)手段和措施。內(nèi)外網(wǎng)間的安全解決方案和選購(gòu)的設(shè)備等，不少?zèng)]有經(jīng)過(guò)權(quán)威部門的檢測(cè)和認(rèn)定，系統(tǒng)運(yùn)行中缺少嚴(yán)格的跟蹤監(jiān)控，存在安全隱患。

7、其他安全威脅緩沖區(qū)溢出。緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過(guò)了緩沖區(qū)本身的容量。溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上，一小部分?jǐn)?shù)據(jù)或者一套指令的溢出就可能導(dǎo)致一個(gè)程序或者操作系統(tǒng)崩潰。

三、稅務(wù)信息化的網(wǎng)絡(luò)安全實(shí)施方案

1、做好信息安全風(fēng)險(xiǎn)評(píng)估

為確保稅務(wù)信息資產(chǎn)的安全，應(yīng)定期組織業(yè)務(wù)、技術(shù)和管理等專業(yè)人員進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，制定科學(xué)的安全預(yù)算。

信息安全評(píng)估應(yīng)著重于以下問(wèn)題：

（1）確定可能對(duì)信息資產(chǎn)造成危害的威脅，包括計(jì)算機(jī)病毒、黑客和自然災(zāi)害等。

（2）通過(guò)歷史資料和專家的經(jīng)驗(yàn)確定威脅實(shí)施的可能性。（3）對(duì)可能受到威脅影響的信息資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的級(jí)別，確定所有信息資產(chǎn)的重要程度。

（4）對(duì)最重要的、最敏感的信息資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞。

（5）準(zhǔn)確了解網(wǎng)絡(luò)和系統(tǒng)的安全現(xiàn)狀。（6）明晰網(wǎng)絡(luò)和系統(tǒng)的安全需求。（7）確定網(wǎng)絡(luò)和系統(tǒng)的安全策略。（8）制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案。

（9）向上級(jí)提交安全保障體系建設(shè)的意見和建議。

（10）通過(guò)項(xiàng)目實(shí)施和培訓(xùn)，培養(yǎng)自己的安全技術(shù)骨干及隊(duì)伍。

2、加強(qiáng)信息安全管理

信息安全“三分技術(shù)，七分管理”，安全管理是信息安全的核心，建立健全安全管理制度是安全管理的關(guān)鍵。規(guī)范化的安全管理，能夠最大限度地遏制或避免各種危害，是保障計(jì)算機(jī)信息安全的最重要環(huán)節(jié)。

（1）建立健全信息安全管理組織，明確領(lǐng)導(dǎo)體制和工作機(jī)制。（2）建立健全信息安全管理制度，落實(shí)安全防范責(zé)任制。（3）廣泛開展計(jì)算機(jī)信息安全宣傳，提高全員信息安全意識(shí)，建立信息安全培訓(xùn)機(jī)制，組織開展多層次、多方位的信息安全培訓(xùn)，提高全員信息安全防范技能。

（4）開展經(jīng)常性的安全檢查，切實(shí)整改安全隱患，不斷改進(jìn)信息安全管理工作。

（5）科學(xué)評(píng)定信息系統(tǒng)及信息資產(chǎn)的重要級(jí)別，確定信息安全工作重點(diǎn)，制定近、中、遠(yuǎn)期信息安全工作規(guī)劃。

3、完善信息安全技術(shù)手段

信息安全離不開安全技術(shù)的實(shí)施和安全技術(shù)防范體系的建立?；鶎訂挝灰詤f(xié)助和配合總局、省局統(tǒng)一的信息安全體系建設(shè)為主，自主建設(shè)為輔，且以內(nèi)網(wǎng)和內(nèi)部的防范為重點(diǎn)。

（1）病毒防范。建立嚴(yán)密的、全方位的、統(tǒng)一的網(wǎng)絡(luò)病毒防范系統(tǒng)，實(shí)行統(tǒng)一的殺毒組件分發(fā)、維護(hù)、更新和報(bào)警等，重點(diǎn)防控網(wǎng)絡(luò)終端、移動(dòng)存儲(chǔ)設(shè)備的病毒入侵和傳染。

（2）身份鑒別與訪問(wèn)控制。嚴(yán)格設(shè)定所有應(yīng)用系統(tǒng)用戶的崗位和權(quán)限，改變傳統(tǒng)的用戶名加口令的辦法，使用基于密碼技術(shù)、生物統(tǒng)計(jì)技術(shù)等新型的、可靠的電子身份鑒別技術(shù)，把好進(jìn)入系統(tǒng)的第一道關(guān)卡，防止非授權(quán)用戶進(jìn)入各級(jí)信息系統(tǒng)。

（3）安全審計(jì)。對(duì)網(wǎng)絡(luò)的web瀏覽、web發(fā)布、郵件、即時(shí)通信、ftp和遠(yuǎn)程登錄等行為進(jìn)行全面審計(jì)，對(duì)重要數(shù)據(jù)庫(kù)的訪問(wèn)對(duì)象、訪問(wèn)時(shí)間、訪問(wèn)類型和訪問(wèn)內(nèi)容進(jìn)行嚴(yán)密跟蹤，及時(shí)掌握整個(gè)網(wǎng)絡(luò)動(dòng)態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，記錄網(wǎng)上一切行為，為安全事件的處置和查證提供全面依據(jù)和確鑿證據(jù)。

（4）入侵檢測(cè)。對(duì)內(nèi)部網(wǎng)中主要的網(wǎng)段進(jìn)行實(shí)時(shí)入侵監(jiān)測(cè)，動(dòng)態(tài)地監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出及時(shí)的響應(yīng)，及時(shí)發(fā)現(xiàn)網(wǎng)上攻擊行為并作出得當(dāng)?shù)奶幹谩?/p>

（5）信息加密。對(duì)重要信息資料、數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸，防止重要信息被篡改、偽造、竊取和泄漏。

稅務(wù)機(jī)關(guān)要立足實(shí)際，切實(shí)解決好人員、資金、技術(shù)問(wèn)題，把信息安全管理工作放在應(yīng)有位置，逐步實(shí)現(xiàn)信息安全的規(guī)范化、制度化管理，不斷建立和完善信息安全技術(shù)防范體系，為稅收征管信息化提供有力的安全保障。

結(jié)束語(yǔ)

解決信息系統(tǒng)的安全不是一個(gè)獨(dú)立的項(xiàng)目問(wèn)題，安全策略包括各種安全方案、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理規(guī)范等，是整個(gè)信息系統(tǒng)安全建設(shè)的依據(jù)?，F(xiàn)有的安全保障體系一般基于深度防御技術(shù)框架，若能進(jìn)一步利用現(xiàn)代信息處理技術(shù)中的人工智能技術(shù)、嵌入式技術(shù)、主動(dòng)技術(shù)、實(shí)時(shí)技術(shù)等，將形成更加完善的信息安全管理體系。稅務(wù)信息安全直接關(guān)系到稅收信息化建設(shè)的成敗，必須引起稅務(wù)機(jī)關(guān)和每一位稅務(wù)人的重視。科學(xué)技術(shù)的發(fā)展不一定能對(duì)任何事物的本質(zhì)和現(xiàn)象都產(chǎn)生影響，技術(shù)只有與先進(jìn)的管理思想、管理體制相結(jié)合，才能產(chǎn)生巨大的效益。

參考文獻(xiàn)：

（1）戴宗坤，羅萬(wàn)伯等.信息系統(tǒng)安全[m].電子工業(yè)出版社，2021.（2）黃章勇.信息安全概論.2021年第1版.出版社：北京郵電大學(xué)出版社，2021：7-58（3）孫銳，王純.信息安全原理及應(yīng)用.2021年7月第1版.清華大學(xué)出版社，2021：17-21（4）王聰生.信息與網(wǎng)絡(luò)安全中的若干問(wèn)題.電力信息化[j]，2021（7）.（5）白巖，甄真，倫志軍，周芮.計(jì)算機(jī)網(wǎng)絡(luò)信息管理及其安全.現(xiàn)代情報(bào)[j]，2021，8（8）.（6）王純斌.淺議計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理.哈爾濱市委黨校學(xué)報(bào)[j]，2021（9）.（7）趙月霞.信息網(wǎng)絡(luò)安全設(shè)計(jì)與應(yīng)用.寧夏電力[j]，2021（1）.（8）陳月波.網(wǎng)絡(luò)信息安全[m].武漢：武漢理工大學(xué)出版社，2021.（9）鐘樂(lè)海，王朝斌，李艷梅.網(wǎng)絡(luò)安全技術(shù)[m].北京：電子工業(yè)出版社，2021.（10）張千里.網(wǎng)絡(luò)安全基礎(chǔ)與應(yīng)用[m].北京：人民郵電出版社，2021.（11）吳金龍，蔡燦輝，王晉隆.網(wǎng)絡(luò)安全[m].北京：高等教育出版社，2021.（12）熊心志.計(jì)算機(jī)網(wǎng)絡(luò)信息安全初探.計(jì)算機(jī)科學(xué).2021，33卷.b12期：60-62（13）網(wǎng)絡(luò)信息安全及防范技術(shù)分析.中國(guó)科技信息.2021，16期：149-151

（作者單位：盤錦市大洼縣國(guó)稅局）

本文重點(diǎn)探討信息系統(tǒng)的安全措施，及影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素，增強(qiáng)防范意思，確保計(jì)算機(jī)網(wǎng)絡(luò)信息安全性、保密性、完整性和可靠性。

關(guān)鍵詞：管理系統(tǒng)系統(tǒng)安全信息科學(xué)加密技術(shù)防火墻

隨著信息時(shí)代的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛應(yīng)用，網(wǎng)絡(luò)的安全性已成為不同使用層次的用戶共同關(guān)心的問(wèn)題。人們都希望自己的網(wǎng)絡(luò)系統(tǒng)能更加安全可靠地運(yùn)行。但隨著網(wǎng)絡(luò)信息傳輸量的急劇增長(zhǎng)，一些機(jī)構(gòu)和部門上網(wǎng)的數(shù)據(jù)也會(huì)遭到不同程度的破壞。攻擊者可以竊取網(wǎng)絡(luò)上的信息，竊用口令、篡改數(shù)據(jù)庫(kù)內(nèi)容，釋放計(jì)算機(jī)病毒等。這致使數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅，所以解決好網(wǎng)絡(luò)的安全性、可靠性問(wèn)題，是確保網(wǎng)絡(luò)正常運(yùn)行的前提和保障，更好地為企事業(yè)單位提供信息咨詢、信息檢索、信息存取等服務(wù)。

一、管理信息系統(tǒng)的發(fā)展歷史

管理信息系統(tǒng)的概念起源很早。早在20世紀(jì)初，隨著科學(xué)技術(shù)和社會(huì)經(jīng)濟(jì)的迅速發(fā)展，人們迫切要求文獻(xiàn)信息管理工作的發(fā)展速度與之相互適應(yīng)。20世紀(jì)30年代，柏德就強(qiáng)調(diào)了決策在組織管理中的作用。50年代，西蒙提出了管理依賴于信息和決策的概念。同一時(shí)代維納發(fā)表了控制論與管理，他把管理過(guò)程當(dāng)成一個(gè)控制過(guò)程，此時(shí)計(jì)算機(jī)已用于會(huì)計(jì)工作。

管理信息系統(tǒng)已經(jīng)逐步成為一個(gè)獨(dú)立的學(xué)科分支，它繼承了其他眾多學(xué)科的理論及其應(yīng)用技術(shù)，它與信息科學(xué)、系統(tǒng)科學(xué)、計(jì)算機(jī)科學(xué)、控制理論、統(tǒng)計(jì)學(xué)、會(huì)計(jì)學(xué)、經(jīng)濟(jì)學(xué)、管理科學(xué)有著十分密切的聯(lián)系。同時(shí)，它又廣泛地應(yīng)用于工業(yè)、農(nóng)業(yè)、交通、運(yùn)輸、文化、教育、衛(wèi)生、體育以及各種社會(huì)經(jīng)濟(jì)活動(dòng)的信息管理之中，并起著極其重要的作用，顯示出強(qiáng)大的生命力。

隨著社會(huì)的不斷進(jìn)步、科學(xué)技術(shù)快速發(fā)展，管理工作越來(lái)越重要。在現(xiàn)代管理科學(xué)體系中，管理信息系統(tǒng)正不斷發(fā)展、逐步完善，它已被公認(rèn)為是一門不可替代的嶄新學(xué)科。計(jì)算機(jī)作為現(xiàn)代化的工具與手段，已成為信息處理的重要工具。計(jì)算機(jī)的應(yīng)用范圍越來(lái)越廣，最終導(dǎo)致了管理信息系統(tǒng)的產(chǎn)生。

管理信息系統(tǒng)依賴于管理和科學(xué)技術(shù)的發(fā)展而形成、依賴于電子計(jì)算機(jī)的發(fā)展而發(fā)展的，管理信息系統(tǒng)是與電子計(jì)算機(jī)同步發(fā)展的，它是現(xiàn)代化管理的標(biāo)志。

二、國(guó)內(nèi)信息系統(tǒng)發(fā)展現(xiàn)狀、存在問(wèn)題

企業(yè)是國(guó)民經(jīng)濟(jì)的基礎(chǔ)，而企業(yè)信息系統(tǒng)建設(shè)是企業(yè)走向現(xiàn)代化的必由之路。我國(guó)目前各類企業(yè)在近20年來(lái)，不同程度上都遇到了企業(yè)信息系統(tǒng)建設(shè)的問(wèn)題。80年代以來(lái)，國(guó)家有關(guān)部門就一直非常重視企業(yè)信息化的推進(jìn)。90年代以后，隨著微型計(jì)算機(jī)、互連網(wǎng)等迅速普及，計(jì)算機(jī)技術(shù)對(duì)企業(yè)的影響越來(lái)越大，企業(yè)信息化進(jìn)一步為人們所重視。

在信息化快速發(fā)展的時(shí)代，我們?cè)诔浞挚隙ㄟ@些已經(jīng)取得的成果同時(shí)也不能忽視一些普遍存在的問(wèn)題。在過(guò)去10年左右，我國(guó)企業(yè)信息系統(tǒng)建設(shè)雖然轟轟烈烈地發(fā)展，但其成功率并不是很理想。一些企業(yè)已經(jīng)投入使用的模塊，實(shí)際中并未發(fā)揮作用，它只是針對(duì)一些局部系統(tǒng)，或特定類型的產(chǎn)品處于試運(yùn)行階段。一些企業(yè)中的計(jì)算機(jī)的97%是用來(lái)做文字處理工作，有1/5的計(jì)算機(jī)是經(jīng)常用來(lái)玩游戲的。這些調(diào)查、結(jié)果分析都說(shuō)明：我國(guó)企業(yè)目前雖然使用計(jì)算機(jī)已經(jīng)比較普遍，但許多信息系統(tǒng)的應(yīng)用情況卻并沒有達(dá)到預(yù)想的效果。

三、信息系統(tǒng)開發(fā)的緊迫性

隨著企業(yè)規(guī)模的擴(kuò)大和市場(chǎng)競(jìng)爭(zhēng)的更加激烈，各行各業(yè)都愈來(lái)愈認(rèn)識(shí)到人力資源管理的重要性及提升企業(yè)自身人力資源管理水平的迫切性，而人力資源管理水平的提升不僅需要高素質(zhì)的管理人員，而且也需要信息化工具進(jìn)行輔助。隨著中國(guó)企業(yè)管理水平的提高，人才的爭(zhēng)奪與管理已成為中國(guó)所面臨的嚴(yán)重問(wèn)題。要面對(duì)高強(qiáng)度的競(jìng)爭(zhēng)無(wú)疑是需要優(yōu)秀的管理人才，而科學(xué)管理的實(shí)施是離不開數(shù)字化的工具做輔助。特別在組織規(guī)模不斷擴(kuò)大的今天，做為管理人員和單位領(lǐng)導(dǎo)者要想對(duì)單位進(jìn)行有效的管理和正確的決策就必須借助于數(shù)字化管理工具。

四、網(wǎng)絡(luò)安全應(yīng)具備的功能及影響信息系統(tǒng)安全的主要因素

1、計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)必須具備以下功能：

（1）訪問(wèn)控制（2）檢查安全漏洞（3）攻擊監(jiān)控（4）加密通訊（5）認(rèn)證（6）備份和恢復(fù)（7）多層防御（8）。設(shè)立安全監(jiān)控中心

2、影響信息系統(tǒng)安全的主要因素

（1）信息系統(tǒng)在穩(wěn)定性和可擴(kuò)充性方面存在。由于設(shè)計(jì)系統(tǒng)的不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響。

（2）網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)。主要是文件服務(wù)器，它是網(wǎng)絡(luò)的中樞，其運(yùn)行穩(wěn)定性、功能完善性直接影響信息系統(tǒng)的質(zhì)量。設(shè)計(jì)和選型考慮欠周密，影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級(jí)換代。

（3）缺乏安全策略。許多站點(diǎn)在防火墻配置上無(wú)意識(shí)地?cái)U(kuò)大了訪問(wèn)權(quán)限，忽視了這些權(quán)限可能會(huì)被其他人員濫用。

（4）管理制度不健全，網(wǎng)絡(luò)管理、維護(hù)不力。

五、。網(wǎng)絡(luò)安全應(yīng)具備的防范措施

1.信息系統(tǒng)結(jié)構(gòu)設(shè)計(jì)合理與否是網(wǎng)絡(luò)安全運(yùn)行的關(guān)鍵。全面分析信息系統(tǒng)設(shè)計(jì)的每個(gè)環(huán)節(jié)是企事業(yè)單位建立安全可靠的信息工程的首要任務(wù)。在總體設(shè)計(jì)方面要注意以下幾個(gè)問(wèn)題：對(duì)接入以太網(wǎng)上任一節(jié)點(diǎn)進(jìn)行偵聽，捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對(duì)其進(jìn)行解包分析，竊取關(guān)鍵信息。為了解除這個(gè)信息系統(tǒng)固有的安全隱患，可采取以下措施：（1）網(wǎng)絡(luò)分段技術(shù)的應(yīng)用從源頭杜絕網(wǎng)絡(luò)的安全隱患問(wèn)題。局域網(wǎng)采取物理分段與邏輯分段，來(lái)實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制，目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，防止非法偵聽，保證信息的安全暢通。（2）解除隱患的另一方法是交換式集線器代替共享式集線器。

2.強(qiáng)化計(jì)算機(jī)管理是信息系統(tǒng)安全的保證

（1）加強(qiáng)設(shè)施管理，確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)實(shí)體安全。健全安全管理制度，防止非法用戶進(jìn)入計(jì)算機(jī)控制室和其它各種非法行為的發(fā)生。在保護(hù)計(jì)算機(jī)系統(tǒng)、打印機(jī)、網(wǎng)絡(luò)服務(wù)器等外部設(shè)備和能信鏈路上下大功夫，并不定期的對(duì)運(yùn)行溫度、濕度、清潔度、供電接頭、三防措施、志線、設(shè)備等進(jìn)行檢查、測(cè)試和維護(hù)。著力改善抑制、防止電磁泄漏的能力，確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容的工作環(huán)境。

（2）強(qiáng)化訪問(wèn)控制，力求計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。

第一，建立入網(wǎng)訪問(wèn)功能模塊。通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪問(wèn)控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)提供了第一層訪問(wèn)控制。它允許哪些用戶可以登錄到網(wǎng)絡(luò)服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。用戶的入網(wǎng)訪問(wèn)控制可分為3個(gè)過(guò)程：用戶名的識(shí)別與驗(yàn)證；用戶口令的識(shí)別與驗(yàn)證；用戶賬號(hào)的檢查。在3個(gè)過(guò)程中如果其中一個(gè)不能成立，系統(tǒng)就視為非法用戶，則不能訪問(wèn)。

第二，建立網(wǎng)絡(luò)的權(quán)限控制模塊。網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提

出的一種安全保護(hù)措施?？梢愿鶕?jù)訪問(wèn)權(quán)限將用戶分為3種類型：特殊用戶、一般用戶、審計(jì)用戶。

第三，建立屬性安全服務(wù)模塊。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)。網(wǎng)絡(luò)屬性可以控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄、文件的查看、執(zhí)行、隱含、共享及系統(tǒng)屬性等，還可以保護(hù)重要的目錄和文件，防止用戶對(duì)目錄和文件的誤刪除、執(zhí)行修改、顯示等。

第四，建立檔案信息加密制度。主動(dòng)地加密通訊，可使攻擊者不能了解、修改敏感信息。良好的認(rèn)證體系可防止攻擊者假冒合法用戶，防止數(shù)據(jù)非法泄漏。第五，建立完善的備份及恢復(fù)機(jī)制。良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。同時(shí)，建立強(qiáng)大的數(shù)據(jù)庫(kù)觸發(fā)器和恢復(fù)重要數(shù)據(jù)的操作以及更新任務(wù)，確保在任何情況下使重要數(shù)據(jù)均能最大限度地得到恢復(fù)。

第六，建立網(wǎng)絡(luò)服務(wù)器安全設(shè)置模塊。網(wǎng)絡(luò)服務(wù)器的安全控制包括設(shè)置口令鎖定服務(wù)器控制臺(tái)；設(shè)置服務(wù)器登錄時(shí)間限制、非法訪問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔；安裝防火墻。

第七、建立安全監(jiān)控設(shè)施。為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù)。

綜上所述，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)傳輸?shù)陌踩珕?wèn)題，我們必須要做到以下幾點(diǎn)。第一，應(yīng)嚴(yán)格限制上網(wǎng)用戶所訪問(wèn)的系統(tǒng)信息和資源，這一功能可通過(guò)在訪問(wèn)服務(wù)器上防火墻來(lái)實(shí)現(xiàn)。第二，應(yīng)加強(qiáng)對(duì)上網(wǎng)用戶的身份認(rèn)證，使用radius等專用身份驗(yàn)證服務(wù)器。可以實(shí)現(xiàn)對(duì)上網(wǎng)用戶帳號(hào)的統(tǒng)一管理；在身份驗(yàn)證過(guò)程中采用加密的手段，避免用戶口令泄露的可能性。第三，在數(shù)據(jù)傳輸過(guò)程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。vpn在提供網(wǎng)間數(shù)據(jù)加密的同時(shí)，也提供了針對(duì)單機(jī)用戶的加密客戶端軟件，即采用軟件加密的技術(shù)來(lái)保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

參考文獻(xiàn)

[1]。。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù).西安電子科技大學(xué)出版社，。2021

[2]。。計(jì)算機(jī)網(wǎng)絡(luò)與通信.北京大學(xué)出版社，。1999.

[3]。。計(jì)算機(jī)學(xué)報(bào).。2021-2021.

[4]。電腦報(bào).。2021-2021.。。

第四篇：信息系統(tǒng)安全管理制度信息安全管理制度

為維護(hù)公司信息安全，保證公司網(wǎng)絡(luò)環(huán)境的穩(wěn)定，特制定本制度。

一、互聯(lián)網(wǎng)使用管理互聯(lián)網(wǎng)使用管理互聯(lián)網(wǎng)使用管理互聯(lián)網(wǎng)使用管理

1、禁止利用公司計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)制作、復(fù)制、查閱和傳播危害國(guó)家安全、泄露公司秘密、非法網(wǎng)站及與工作無(wú)關(guān)的網(wǎng)頁(yè)等信息。行政部門建立網(wǎng)管監(jiān)控渠道對(duì)員工上網(wǎng)信息進(jìn)行監(jiān)督。一經(jīng)發(fā)現(xiàn)，視情節(jié)嚴(yán)重給予警告、通報(bào)批評(píng)、扣發(fā)工資500-1000元/次、辭退等處罰。

2、未經(jīng)允許，禁止進(jìn)入公司計(jì)算機(jī)信息網(wǎng)絡(luò)或者使用計(jì)算機(jī)信息網(wǎng)絡(luò)資源、對(duì)公司計(jì)算機(jī)信息網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加的、對(duì)公司計(jì)算機(jī)信息網(wǎng)絡(luò)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加、故意制作、傳播計(jì)算機(jī)病毒等破壞性程序的等其它危害公司計(jì)算機(jī)信息系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)安全的。一經(jīng)發(fā)現(xiàn)，視情節(jié)嚴(yán)重給予警告、通報(bào)批評(píng)、扣發(fā)工資1000-2021元/次、辭退等處罰。

3、公司網(wǎng)絡(luò)采取分組開通域名方式，防止木馬蠕蟲病毒造成計(jì)算機(jī)運(yùn)行速度降低、網(wǎng)絡(luò)堵塞、帳號(hào)密碼安全系數(shù)降低。

二、網(wǎng)站信息管理

1、公司網(wǎng)站發(fā)布、轉(zhuǎn)載信息依據(jù)國(guó)家有關(guān)規(guī)定執(zhí)行，不包含違反國(guó)家各項(xiàng)法律法規(guī)的內(nèi)容。

2、公司網(wǎng)站內(nèi)容定期進(jìn)行備份，由網(wǎng)管員保管，并對(duì)相應(yīng)操作系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行安全保護(hù)。

3、公司網(wǎng)管加強(qiáng)對(duì)上網(wǎng)設(shè)備及相關(guān)信息的安全檢查，對(duì)網(wǎng)站系統(tǒng)的安全進(jìn)行實(shí)時(shí)監(jiān)控。

4、嚴(yán)格執(zhí)行公司保密規(guī)定，凡涉及公司秘密內(nèi)容的科研資料及文件、內(nèi)部辦公信息或暫不宜公開的事項(xiàng)不得上網(wǎng)；

5、所有上網(wǎng)稿件須經(jīng)分管領(lǐng)導(dǎo)審批后，由企劃部門統(tǒng)一上傳。

三、軟件管理軟件管理軟件管理軟件管理

1、公司軟件產(chǎn)品的采購(gòu)、軟件的使用分配及版權(quán)控制等由行政部門信息系統(tǒng)管理員統(tǒng)一進(jìn)行，任何部門和員工不得擅自采購(gòu)。

2、公司提供的全部軟件僅限于員工完成公司的工作使用。未經(jīng)許可，不得將公司購(gòu)買或開發(fā)的軟件擅自提供給第三人。

3、操作系統(tǒng)由公司統(tǒng)一提供。禁止安裝使用其它來(lái)源的操作系統(tǒng)，特別是未經(jīng)授權(quán)的非法拷貝。擅自使用造成的一切后果由使用人自行承擔(dān)，對(duì)于造成損失的，將視情節(jié)及危害程度嚴(yán)重給予警告、通報(bào)批評(píng)、扣發(fā)工資100-200元/次等處罰。

4、一般應(yīng)用軟件統(tǒng)一在公司文件服務(wù)器上提供常用軟件安裝目錄，不提供安裝光盤（操作系統(tǒng)除外）。安裝非公司提供的軟件導(dǎo)致系統(tǒng)損害，信息丟失的，將視情節(jié)及危害程度嚴(yán)重給予警告、通報(bào)批評(píng)、扣發(fā)工資100-300元/次、辭退等處罰。

5、公司小范圍使用的專業(yè)版權(quán)軟件，使用人需在自行備份并由信息系統(tǒng)管理員驗(yàn)證后才可進(jìn)行安裝。

6、禁止安裝使用非工作用軟件。其它工作所需的應(yīng)用軟件，可由使用部門申請(qǐng)，再由行政部門統(tǒng)一發(fā)布。

四、計(jì)算機(jī)病毒管理

1、集團(tuán)計(jì)算機(jī)病毒管理由集團(tuán)信息辦負(fù)責(zé)進(jìn)行規(guī)劃、實(shí)施和監(jiān)控。

2、員工應(yīng)樹立預(yù)防計(jì)算機(jī)病毒的意識(shí)和熟知預(yù)防計(jì)算機(jī)病毒的措施，及時(shí)更新系統(tǒng)漏洞和使用殺毒軟件。具體內(nèi)容包括：（1）及時(shí)更新微軟補(bǔ)丁，每周至少更新一次。當(dāng)屏幕右下角有自動(dòng)更新的圖標(biāo)時(shí)，要及時(shí)安裝。（2）有些特殊的軟件（如sqlserver等），及時(shí)到相應(yīng)網(wǎng)站打補(bǔ)丁。（3）及時(shí)安裝殺毒軟件和升級(jí)殺毒軟件病毒特征庫(kù)。嚴(yán)禁因殺毒軟件影響性能，而把殺毒軟件卸載。每周至少更新一次，確保殺毒軟件為最新版本。（4）嚴(yán)禁

打開來(lái)歷不明的郵件。能判斷為病毒郵件的，立即刪除；不能判斷的聯(lián)系信息系統(tǒng)管理員解決。當(dāng)計(jì)算機(jī)感染病毒后，請(qǐng)及時(shí)斷開網(wǎng)線，使用殺毒軟件查殺和查看操作系統(tǒng)和應(yīng)用軟件的補(bǔ)丁是否及時(shí)更新；嚴(yán)重者請(qǐng)及時(shí)聯(lián)系信息辦信息系統(tǒng)管理員解決。（5）當(dāng)有新病毒通過(guò)某些軟件（如：，msn）傳播時(shí)，請(qǐng)立即關(guān)閉相應(yīng)軟件或拔掉網(wǎng)線。查殺問(wèn)題解決后，方可繼續(xù)使用。

3、凡未按以上預(yù)防計(jì)算機(jī)病毒步驟執(zhí)行而造成機(jī)器感染病毒并傳播者，第一次給予警告、第二次給予通報(bào)批評(píng)，第三次及以上將給予通報(bào)批評(píng)并扣發(fā)工資50-100元/次。

五、網(wǎng)絡(luò)資源管理

1、集團(tuán)網(wǎng)絡(luò)資源和服務(wù)器由集團(tuán)信息辦信息系統(tǒng)管理員統(tǒng)一進(jìn)行規(guī)劃、管理和監(jiān)督。

2、服務(wù)器及個(gè)人用機(jī)的管理：（1）部門級(jí)及以上服務(wù)器必須指定專人負(fù)責(zé)管理，并在行政部門備案，未經(jīng)授權(quán)，非管理員不得對(duì)其進(jìn)行操作。（2）部門級(jí)及以上的服務(wù)器管理員有責(zé)任對(duì)其負(fù)責(zé)的服務(wù)器進(jìn)行例行檢查，包括：服務(wù)器的cpu、內(nèi)存、硬盤等資源利用情況；服務(wù)器上運(yùn)行的服務(wù)使用情況；服務(wù)器上運(yùn)行的os及時(shí)升級(jí)；服務(wù)器上運(yùn)行的殺毒軟件的及時(shí)更新；（3）服務(wù)器管理員要做好服務(wù)器的備份工作，至少每季度有一份完整異地（異機(jī)）備份，重要數(shù)據(jù)及時(shí)備份。信息系統(tǒng)管理員有責(zé)任監(jiān)督、協(xié)調(diào)其備份工作。（4）個(gè)人和部門未經(jīng)行政部門批準(zhǔn)不得私自設(shè)立服務(wù)器。（5）服務(wù)器管理員每月定期對(duì)服務(wù)器做一次全面檢查，并填寫服務(wù)器檢查日志。（6）服務(wù)器管理員每季度需修改服務(wù)器密碼一次。當(dāng)服務(wù)器管理員有變更時(shí)，管理員密碼需及時(shí)更改。（7）員工應(yīng)避免隨意共享工作相關(guān)資料，若需共享，應(yīng)指定合理權(quán)限，并在完成后及時(shí)取消；嚴(yán)禁未經(jīng)信息系統(tǒng)管理部門批準(zhǔn)，擅自共享給局域網(wǎng)內(nèi)所有用戶。（8）員工應(yīng)自行維護(hù)電腦的正常使用，并按照網(wǎng)管的要求進(jìn)行設(shè)置及及時(shí)進(jìn)行補(bǔ)丁更新，不得擅自退出域、去除域管理員權(quán)限、修改主機(jī)名、修改ip等。

3、ip地址的管理。（1）ip地址由行政部門統(tǒng)一規(guī)劃管理。未經(jīng)許可，不得擅自更改任何設(shè)備的ip地址。（2）公司申請(qǐng)的公網(wǎng)ip任何人不得私用。（3）工作需要公網(wǎng)ip，需申請(qǐng)信息部批準(zhǔn)后，方可使用。（4）公司公網(wǎng)ip使用無(wú)工作需要時(shí)，立即停止使用，并通知行政部門收回。（5）ftp等特殊服務(wù)器的使用須經(jīng)行政部門批準(zhǔn)，且不得擅自更改使用用途。

六、機(jī)房管理

1、人員管理。相關(guān)維護(hù)人員憑門禁卡或密碼進(jìn)出機(jī)房，其它人員不得擅入。如確需進(jìn)入機(jī)房的其它工作人員，應(yīng)向相關(guān)部門提出申請(qǐng)，并做相應(yīng)的登記備案后，在相關(guān)人員的陪同下入內(nèi)。信息系統(tǒng)管理員有權(quán)在場(chǎng)監(jiān)控及記錄入內(nèi)者的工作情況。

2、機(jī)房設(shè)備管理。參照公司固定資產(chǎn)管理制度進(jìn)行管理。非電源性電子設(shè)備（如路由器，服務(wù)器等）必須接不間斷電源，保證數(shù)據(jù)在突然斷電時(shí)不致丟失；機(jī)房溫度應(yīng)保持在22±2℃。工作時(shí)間，非工作時(shí)間公司保安應(yīng)定時(shí)巡視機(jī)房，確保機(jī)房環(huán)境、供電及溫度正常；如出現(xiàn)機(jī)房溫度超過(guò)30攝氏度警戒線、停電等異常情況，應(yīng)與管理員聯(lián)絡(luò)，立刻采取必要措施保障機(jī)房設(shè)備的安全。

3、信息管理。任何人員（包括管理員）在機(jī)房信息設(shè)備上進(jìn)行更改操作，都需記錄備案。未經(jīng)管理員許可在機(jī)房?jī)?nèi)擅自進(jìn)行操作者，可視情節(jié)給予通報(bào)批評(píng)、扣發(fā)工資200-500元；情節(jié)嚴(yán)重的，可予以辭退。

4、施工管理。公司機(jī)房建設(shè)應(yīng)符合機(jī)房建設(shè)的有關(guān)標(biāo)準(zhǔn)和規(guī)定；在公司機(jī)房?jī)?nèi)施工，須由信息安全部經(jīng)理批準(zhǔn)，并有網(wǎng)絡(luò)管理員或授權(quán)的公司保安監(jiān)督施工現(xiàn)場(chǎng)。

七、電子設(shè)備使用管理

1、電子設(shè)備的新增購(gòu)買申請(qǐng)先采用調(diào)配方式，若無(wú)法調(diào)配同等配置的，才予購(gòu)買。使用管理參照公司固定資產(chǎn)管理制度。

2、計(jì)算機(jī)及其輔助設(shè)備一經(jīng)領(lǐng)用，使用人員需嚴(yán)格按照設(shè)備使用說(shuō)明書和管理員制定的相關(guān)使用規(guī)定操作。對(duì)丟失、擅自轉(zhuǎn)讓、人為毀損造成無(wú)法修復(fù)等損失，可視情節(jié)給予警告、通報(bào)批評(píng)、按價(jià)賠償。（1）臺(tái)式計(jì)算機(jī)：非經(jīng)信息管理員工同意不得擅自打開機(jī)箱。（2）筆記本電腦設(shè)備：a、不同品牌型號(hào)的零配件不可互換使用。b、用于移動(dòng)辦公，絕對(duì)不允許作為服務(wù)器共享操作。c、應(yīng)保持出廠預(yù)裝的正版操作系統(tǒng)，保留硬盤中的隱藏分區(qū)。如確因工作需要重新安裝其它操作系統(tǒng)（如win2021等），需由系統(tǒng)管理員進(jìn)行。不允許私自重新分區(qū)格式化，將原出廠隱藏區(qū)格式化刪除。

3、非經(jīng)許可，不得將個(gè)人臺(tái)式電腦及相關(guān)設(shè)備帶入公司，特殊情況，需辦理相關(guān)登記手續(xù)。

4、員工不得隨意增減配件，不得在未經(jīng)管理員許可的情況下對(duì)硬盤做低級(jí)格式化。未經(jīng)行政部門批準(zhǔn)，嚴(yán)禁將臺(tái)式電腦及其它電子設(shè)備帶出公司。私自調(diào)配電子設(shè)備（含配件），可視情節(jié)給予警告、通報(bào)批評(píng)、扣發(fā)工資200-500元/次。

八、信息系統(tǒng)管理員

1、管理權(quán)限和責(zé)任（1）負(fù)責(zé)公司各信息系統(tǒng)的信息安全、日常維護(hù)、系統(tǒng)管理等。（2）嚴(yán)格遵守公司制定的相關(guān)信息安全管理制度，履行工作職責(zé)。（3）制定各信息系統(tǒng)的管理維護(hù)標(biāo)準(zhǔn)，包含用戶及權(quán)限建立與變更標(biāo)準(zhǔn)及流程、定期檢查制度、違約處罰條款等，送交信息安全主管部門審核備案，并嚴(yán)格執(zhí)行。（4）信息系統(tǒng)管理員必須簽訂《關(guān)鍵職位員工之保密承諾書》。

2、職責(zé)規(guī)范（1）推動(dòng)員工樹立信息系統(tǒng)安全防范意識(shí)，完善公司信息安全保障機(jī)制，逐步建立以預(yù)防、發(fā)現(xiàn)、響應(yīng)、恢復(fù)為基礎(chǔ)的信息安全管理機(jī)制。（2）遵守職業(yè)道德，嚴(yán)守保密制度，不以任何形式攜帶走所接觸的、了解的、獲知的、掌握的、使用的集團(tuán)任何資料；不向任何單位和個(gè)人泄露、透露或披露在工作期間所接觸到、了解到、知悉的、被告知的集團(tuán)商業(yè)秘密（包括技術(shù)秘密和經(jīng)營(yíng)秘密）；未經(jīng)公司書面同意，不擅自使用已接觸到、了解到、知悉或被告之的商業(yè)秘密；不利用已知的公司資源（如公司信息系統(tǒng)缺陷、口令等），做違反國(guó)家法規(guī)、竊取公司商業(yè)秘密、攻擊公司服務(wù)器等行為。（3）端正服務(wù)態(tài)度，對(duì)員工的需求積極快速響應(yīng)，并提供迅速、周到的技術(shù)服務(wù)支持。

九、附則：

1、本制度解釋權(quán)歸集團(tuán)信息辦。

2、本制度自頒布之日起施行。

第五篇：信息系統(tǒng)安全管理規(guī)范信息系統(tǒng)安全管理規(guī)范

1、目標(biāo)

此文檔用于規(guī)范公司業(yè)務(wù)系統(tǒng)的安全管理，安全管理所達(dá)到的目標(biāo)如下：

確保業(yè)務(wù)系統(tǒng)中所有數(shù)據(jù)及文件的有效保護(hù)，未經(jīng)許可的用戶無(wú)法訪問(wèn)數(shù)據(jù)。對(duì)用戶權(quán)限進(jìn)行合理規(guī)劃，使系統(tǒng)在安全狀態(tài)下滿足工作的需求。

2、機(jī)房訪問(wèn)控制

機(jī)房做為設(shè)備的集中地，對(duì)于進(jìn)入有嚴(yán)格的要求。只有公司指定的系統(tǒng)管理員及數(shù)據(jù)庫(kù)管理員才有權(quán)限申請(qǐng)進(jìn)入機(jī)房。系統(tǒng)管理員及數(shù)據(jù)庫(kù)管理員因工作需要進(jìn)入機(jī)房前必須經(jīng)過(guò)公司書面批準(zhǔn)。嚴(yán)格遵守機(jī)房管理制度。

3、操作系統(tǒng)訪問(wèn)控制

保護(hù)系統(tǒng)數(shù)據(jù)安全的第一道防線是保障網(wǎng)絡(luò)訪問(wèn)的安全，不允許未經(jīng)許可的用戶進(jìn)入到公司網(wǎng)絡(luò)中。第二道防線就是要控制存放數(shù)據(jù)及應(yīng)用文件的主機(jī)系統(tǒng)不能被未經(jīng)許可的用戶直接訪問(wèn)。為防止主機(jī)系統(tǒng)被不安全訪問(wèn)，采取以下措施：操作系統(tǒng)級(jí)的超級(jí)管理用戶口令、數(shù)據(jù)庫(kù)管理用戶口令、應(yīng)用管理用戶口令只能由系統(tǒng)管理員設(shè)定并經(jīng)辦公室審核，１個(gè)月做一次修改，口令要向其他人員保密。在應(yīng)用系統(tǒng)實(shí)施階段，考慮到應(yīng)用軟件提供商需要對(duì)自己的產(chǎn)品進(jìn)行調(diào)試，可以在調(diào)試時(shí)將應(yīng)用管理用戶口令暫時(shí)開放給應(yīng)用軟件提供商；調(diào)試一結(jié)束系統(tǒng)管理員馬上更改口令。對(duì)口令設(shè)定必需滿足以下規(guī)范：最多允許嘗試次數(shù)口令最長(zhǎng)有效期口令的最大長(zhǎng)度口令的最小長(zhǎng)度530天不受限6口令的唯一性要求。

4、系統(tǒng)的安全控制

最近三次所更改的口令不能相同通過(guò)口令控制及對(duì)象的安全控制實(shí)現(xiàn)。

5、數(shù)據(jù)庫(kù)訪問(wèn)控制

為有效的保障業(yè)務(wù)數(shù)據(jù)的安全，采取以下措施：

數(shù)據(jù)庫(kù)內(nèi)具有較高權(quán)限的管理用戶口令由辦公室數(shù)據(jù)庫(kù)管理員設(shè)定，并由辦公室審核，不能向其他人開放?？诹畋仨殻眰€(gè)月做一次修改。業(yè)務(wù)系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)對(duì)象創(chuàng)建用戶的口令由辦公室數(shù)據(jù)庫(kù)管理員設(shè)定，由辦公室審核。不能向其他人開放?？诹畋仨?個(gè)月做一次修改。

對(duì)口令設(shè)定必需滿足以下規(guī)范：

口令最長(zhǎng)有效期口令的最大長(zhǎng)度口令的最小長(zhǎng)度口令的唯一性要求30天不受限6最近三次所更改的口令不能相同根據(jù)操作需求，在數(shù)據(jù)庫(kù)中分別建立對(duì)業(yè)務(wù)數(shù)據(jù)只有“增、刪、改”權(quán)限的用戶；對(duì)業(yè)務(wù)數(shù)據(jù)只有“查詢”權(quán)限的用戶。不同的操作需求開

放不同權(quán)限的用戶。除辦公室門的人員外，其他部門的任何人員均沒有權(quán)限從后臺(tái)數(shù)據(jù)庫(kù)直接進(jìn)行數(shù)據(jù)的“增、刪、改”操作對(duì)于業(yè)務(wù)必須的后臺(tái)job或批處理，必須由辦公室門人員執(zhí)行。

6、應(yīng)用系統(tǒng)訪問(wèn)控制

應(yīng)用系統(tǒng)訪問(wèn)依靠系統(tǒng)內(nèi)部定義的操作用戶權(quán)限來(lái)控制，操作用戶權(quán)限控制到菜單一級(jí)，對(duì)于操作用戶的安全管理有如下規(guī)范：

所有應(yīng)用級(jí)的操作用戶及初始口令統(tǒng)一由辦公室門設(shè)定，以個(gè)人郵件的形式分別發(fā)給各部門的操作人員。各部門操作人員在首次登錄時(shí)必須修改口令，口令必須１個(gè)月做一次修改。

對(duì)于口令設(shè)定必需滿足以下規(guī)范：

口令最長(zhǎng)有效期口令的最大長(zhǎng)度口令的最小長(zhǎng)度口令的唯一性要求30天不受限6最近三次所更改的口令不能相同操作人員不能將自己的用戶及口令隨意告訴他人所有使用者的認(rèn)可都由系統(tǒng)管理員來(lái)逐一分配。必須由部門經(jīng)理提交訪問(wèn)權(quán)認(rèn)可的申請(qǐng)表，然后由辦公室批準(zhǔn)。當(dāng)應(yīng)用系統(tǒng)中需要加入新的使用者時(shí)，首先使用者需要填寫“權(quán)限申請(qǐng)表”。該申請(qǐng)表應(yīng)該得到部門經(jīng)理和辦公室的共同批準(zhǔn)。之后，it系統(tǒng)管理