前言：尋找寫(xiě)作靈感？中文期刊網(wǎng)用心挑選的信息時(shí)代電子信息安全管理探討，希望能為您的閱讀和創(chuàng)作帶來(lái)靈感，歡迎大家閱讀并分享。

1電子信息安全管理概述

1.1電子信息安全管理概念

從當(dāng)前經(jīng)濟(jì)社會(huì)發(fā)展情況來(lái)看，信息安全問(wèn)題主要來(lái)源于信息技術(shù)，隨著信息技術(shù)在現(xiàn)代經(jīng)濟(jì)、社會(huì)生活中應(yīng)用范圍進(jìn)一步擴(kuò)大，其對(duì)經(jīng)濟(jì)、社會(huì)發(fā)展的影響也是十分明顯的。人們很早就已經(jīng)開(kāi)始了對(duì)電子信息安全的研究，但從研究結(jié)果來(lái)看，單獨(dú)依靠技術(shù)手段是難以實(shí)現(xiàn)電子信息安全管理的。例如，在當(dāng)前電腦防護(hù)中，防火墻、網(wǎng)絡(luò)安全控制系統(tǒng)被大范圍使用，但電子信息安全現(xiàn)象依然屢見(jiàn)不鮮，對(duì)技術(shù)人員而言，為獲得更好的電子信息安全管理效果，需要重點(diǎn)考慮防火墻安全策略設(shè)計(jì)以及其物理保護(hù)控制問(wèn)題，通過(guò)適當(dāng)?shù)某绦蛑С謥?lái)充分發(fā)揮信息系統(tǒng)作用。總體而言，信息安全管理=信息安全技術(shù)+信息安全管理支持。

1.2電子信息安全管理模型分析

在當(dāng)前電子信息安全管理模型設(shè)置中，主要堅(jiān)持傳統(tǒng)PDCA模式如圖1所示進(jìn)行優(yōu)化，其具體內(nèi)容為：①P（策劃）：根據(jù)組織業(yè)務(wù)運(yùn)足要求與相關(guān)法律，確定本次電子信息安全管理的范圍與要求，并通過(guò)相應(yīng)的安全風(fēng)險(xiǎn)評(píng)估，確定控制目標(biāo)與方式，并明確業(yè)務(wù)持續(xù)性計(jì)劃。②D（實(shí)施）：在安全管理實(shí)施過(guò)程中，技術(shù)人員根據(jù)既定的組織計(jì)劃對(duì)所選目標(biāo)進(jìn)行安全控制。③C（檢查）：根據(jù)質(zhì)量控制目標(biāo)與法律法規(guī)要求，監(jiān)視、驗(yàn)證安全管理過(guò)程與信息系統(tǒng)安全系數(shù)，及時(shí)總結(jié)安全現(xiàn)象并收集其中參數(shù)變化信息。④A（行動(dòng)）：根據(jù)檢查結(jié)果，分析安全管理措施的有效性，并持續(xù)改進(jìn)。

2電子信息安全管理風(fēng)險(xiǎn)評(píng)估

2.1風(fēng)險(xiǎn)評(píng)估概念及模型

2.1.1風(fēng)險(xiǎn)評(píng)估概念

風(fēng)險(xiǎn)評(píng)估的核心就是對(duì)風(fēng)險(xiǎn)源的分析，在電子信息安全管理中，風(fēng)險(xiǎn)評(píng)估的作用十分明顯。以企業(yè)為例，企業(yè)電子信息安全問(wèn)題表現(xiàn)是多方面的，并且相互之間的作用、聯(lián)系各不相同，若不能正確認(rèn)識(shí)各個(gè)安全問(wèn)題對(duì)企業(yè)電子信息安全問(wèn)題的影響，將會(huì)對(duì)企業(yè)造成大量損傷。而在進(jìn)行風(fēng)險(xiǎn)評(píng)估后，所有影響企業(yè)電子信息安全的要素都將被羅列出來(lái)，并根據(jù)本企業(yè)的實(shí)際情況、類(lèi)似企業(yè)情況等，判斷易誘發(fā)電子信息安全問(wèn)題的要素，確保后續(xù)電子信息安全管理的科學(xué)性。

2.1.2風(fēng)險(xiǎn)評(píng)估模型

風(fēng)險(xiǎn)評(píng)估作為一個(gè)系統(tǒng)性工程，其具備相應(yīng)的理論基礎(chǔ)，并能根據(jù)相關(guān)理論對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，常見(jiàn)的原理形式主要表現(xiàn)為：大數(shù)定律、慣性原理、統(tǒng)計(jì)推斷原理等。當(dāng)前在風(fēng)險(xiǎn)評(píng)估模型設(shè)計(jì)中，已經(jīng)被研發(fā)出很多成熟的模型，包括人們所熟知的基于時(shí)間的PDR模型、動(dòng)態(tài)安全APPDER模型等。

2.2風(fēng)險(xiǎn)計(jì)算模型

在確定其風(fēng)險(xiǎn)內(nèi)容后，要對(duì)其風(fēng)險(xiǎn)值進(jìn)行計(jì)算。本文結(jié)合威脅識(shí)別的相關(guān)內(nèi)容，確定其計(jì)算模型為：R=f（AWT）式中：R代表風(fēng)險(xiǎn)；A代表資產(chǎn)；W代表脆薄弱點(diǎn)；T代表目標(biāo)主體所面臨的風(fēng)險(xiǎn)現(xiàn)象。

3電子信息安全管理技術(shù)分析

3.1技術(shù)維

技術(shù)維的核心就是進(jìn)一步強(qiáng)化技術(shù)手段的安全保障作用，其所涵蓋的內(nèi)容主要包括計(jì)算機(jī)系統(tǒng)安全、網(wǎng)絡(luò)安全等。

3.1.1計(jì)算機(jī)系統(tǒng)安全

（1）硬件安全。在電子信息安全管理中，硬件安全主要處理設(shè)備故障對(duì)系統(tǒng)安全造成的影響，建立容錯(cuò)系統(tǒng)是硬件安全的關(guān)鍵。采用雙機(jī)容錯(cuò)模式，兩臺(tái)計(jì)算機(jī)上設(shè)置相同的系統(tǒng)，分別設(shè)置兩個(gè)服務(wù)器處理系統(tǒng)運(yùn)行，保證在某臺(tái)計(jì)算機(jī)出現(xiàn)故障后，另一臺(tái)計(jì)算機(jī)能有效承擔(dān)所有工作。同時(shí)，要針對(duì)系統(tǒng)重要運(yùn)行設(shè)備設(shè)置電源，必要時(shí)可以對(duì)整個(gè)機(jī)房建立單獨(dú)供電室，并以多種線路的方式提供電源。（2）軟件安全。系統(tǒng)設(shè)置：以C++語(yǔ)言編寫(xiě)設(shè)備多串口控制驅(qū)動(dòng)，并通過(guò)Java中的JNI技術(shù)顯示系統(tǒng)調(diào)用。在條件允許情況下，在后臺(tái)數(shù)據(jù)庫(kù)建設(shè)中以O(shè)racle技術(shù)實(shí)現(xiàn)系統(tǒng)構(gòu)造，并通過(guò)傳統(tǒng)的數(shù)據(jù)庫(kù)建立模型進(jìn)行構(gòu)建，該技術(shù)的要點(diǎn)為：①在主程序中建設(shè)數(shù)據(jù)庫(kù)，并實(shí)現(xiàn)數(shù)據(jù)庫(kù)的鏈接；②通過(guò)SQL語(yǔ)言操作獲數(shù)據(jù)，并根據(jù)既定的操作要求進(jìn)行數(shù)據(jù)處理；③鏈接數(shù)據(jù)庫(kù)。在經(jīng)過(guò)上述三個(gè)環(huán)節(jié)處理后，即可建立一次連接數(shù)據(jù)庫(kù)。但要注意的是，按照上述步驟建立的數(shù)據(jù)庫(kù)只能接受低頻次的操作要求，一旦頻次過(guò)高，系統(tǒng)所面臨的運(yùn)行壓力增大，最終影響系統(tǒng)運(yùn)行效果。安全管理：在軟件安全管理中，主要通過(guò)權(quán)限認(rèn)證進(jìn)行角色訪問(wèn)控制，以企業(yè)為例，對(duì)其安全管理內(nèi)容進(jìn)行確定。①角色分配：建立用戶管理模塊，該模塊主要具備用戶信息增加、刪除、修改等功能，并建立用戶管理員與一般用戶。在系統(tǒng)功能實(shí)現(xiàn)中，將功能代碼布添加至管理角色權(quán)限中，并保存操作數(shù)據(jù)；創(chuàng)建用戶賬號(hào)，使用戶登錄系統(tǒng)能瀏覽器權(quán)限內(nèi)部的內(nèi)容。②加入身份信息：系統(tǒng)登錄過(guò)程中先查詢相關(guān)用戶是否存在，若提示用戶存在，則按照其權(quán)限為其提供信息，并統(tǒng)計(jì)員工權(quán)限。

3.1.2網(wǎng)絡(luò)控制措施

（1）安全協(xié)議：安全協(xié)議對(duì)電子信息安全性產(chǎn)生重要影響。目前，TCP/IP協(xié)議已經(jīng)被廣泛使用，但協(xié)議中依然存在漏洞。其改進(jìn)措施主要為：修改、補(bǔ)充原有協(xié)議或在傳輸層與網(wǎng)絡(luò)應(yīng)用層之間設(shè)置安全子層。（2）網(wǎng)間隔離技術(shù)：網(wǎng)間隔離技術(shù)是一種成熟的網(wǎng)域連接技術(shù)，其具體技術(shù)內(nèi)容表現(xiàn)為：①服務(wù)器。控制兩個(gè)網(wǎng)域之間的直接通訊行為，所有防火墻外的計(jì)算機(jī)主要通過(guò)服務(wù)器實(shí)現(xiàn)訪問(wèn)過(guò)程。在此過(guò)程中，服務(wù)器能控制對(duì)方訪問(wèn)級(jí)別，根據(jù)防火墻要求控制對(duì)方訪問(wèn)行為，當(dāng)對(duì)方訪問(wèn)行為超出限制范圍時(shí)，服務(wù)器將會(huì)組織。②路由器與過(guò)濾器。路由器能通過(guò)特定端口控制過(guò)濾器數(shù)據(jù)，通過(guò)對(duì)其加以路由實(shí)現(xiàn)控制；過(guò)濾器能選擇通過(guò)網(wǎng)絡(luò)層數(shù)據(jù)包，并以數(shù)據(jù)包為基礎(chǔ)，確定IP目標(biāo)地址與IP源信息，判斷數(shù)據(jù)包能否通過(guò)。

3.1.3信息保護(hù)措施

保密技術(shù)是常見(jiàn)的信息保護(hù)措施，其操作要點(diǎn)主要包括：①通過(guò)網(wǎng)絡(luò)操作系統(tǒng)提供的保密技術(shù)進(jìn)行保密處理；②重視對(duì)數(shù)據(jù)庫(kù)信息保密。針對(duì)可讀形式的數(shù)據(jù)庫(kù)，需要控制數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限，必要時(shí)可以建立監(jiān)控系統(tǒng)監(jiān)督數(shù)據(jù)庫(kù)瀏覽服務(wù)情況。針對(duì)安全服務(wù)器支持訪問(wèn)情況，采取強(qiáng)制控制措施，實(shí)現(xiàn)多級(jí)授權(quán)描述；③通過(guò)現(xiàn)代加密技術(shù)，實(shí)現(xiàn)信息重組，只有信息發(fā)送、接受雙方才能還原原有信息。

3.2管理維

（1）計(jì)算機(jī)場(chǎng)地安全管理。計(jì)算機(jī)場(chǎng)地是整個(gè)信息系統(tǒng)的核心，要將主機(jī)房選址于日常安全管理作為整個(gè)工作的核心。在計(jì)算機(jī)場(chǎng)地選址中，要綜合考慮地震、臺(tái)風(fēng)等多種自然因素對(duì)房屋結(jié)構(gòu)的要求，施工過(guò)程應(yīng)滿足國(guó)家《計(jì)算機(jī)場(chǎng)地安全要求》的相關(guān)內(nèi)容。在主機(jī)房設(shè)備環(huán)境控制中，重視防塵、防火處理。（2）信息系統(tǒng)資料管理。信息系統(tǒng)資料管理主要針對(duì)系統(tǒng)信息進(jìn)行控制。這些需要保護(hù)的資料可分為兩類(lèi)：軟件系統(tǒng)記錄資料與系統(tǒng)設(shè)備檔案。在管理過(guò)程中，技術(shù)人員根據(jù)上述資料的種類(lèi)與使用范圍對(duì)其進(jìn)行整理。（3）緊急恢復(fù)管理。緊急恢復(fù)管理又被成為災(zāi)難恢復(fù)，是指災(zāi)難發(fā)生后迅速采取處理措施，以降低電子安全問(wèn)題造成的損失。在緊急恢復(fù)管理中，應(yīng)該以明確的保護(hù)等級(jí)為前提，計(jì)劃內(nèi)容主要針對(duì)具體應(yīng)急方案，能清晰明了講述恢復(fù)的方法與步驟。（4）設(shè)立信息安全檢查表。信息安全檢查表的主要功能是針對(duì)對(duì)象日常工作信息進(jìn)行安全管理，在該檢查表中，主要內(nèi)容包括信息安全通知、信息安全檢查工作、信息安全檢查表格等。

4結(jié)束語(yǔ)

主要討論了信息時(shí)代背景下的電子信息安全管理的相關(guān)問(wèn)題。對(duì)相關(guān)工作人員而言，在開(kāi)展電子信息安全管理中，要正確認(rèn)識(shí)本單位在信息安全管理中可能出現(xiàn)的風(fēng)險(xiǎn)現(xiàn)象，并在充分掌握各個(gè)安全因素的基礎(chǔ)上，進(jìn)一步完善電子信息安全管理方法，為獲得更好的電子信息安全管理效果奠定基礎(chǔ)。

作者：陳越我 單位：中國(guó)電子科技集團(tuán)公司第十八研究所