第一篇：信息系統(tǒng)安全中的行為和政策問題

信息系統(tǒng)安全中的行為和政策問題：內(nèi)部威脅

Merrill Warkentin和Robert Willison

歐洲信息系統(tǒng)雜志（2009）18，101-105.DOI：10.1057/ejis.2009.12 現(xiàn)代全球經(jīng)濟(jì)﹑政治格局﹑技術(shù)基礎(chǔ)設(shè)施與社會文化的發(fā)展都導(dǎo)致了組織中的日益增加的動態(tài)與混亂的環(huán)境，這支持了信息系統(tǒng)在商業(yè)﹑政府和其他領(lǐng)域的應(yīng)用。因為我們的協(xié)會（經(jīng)濟(jì)﹑政策﹑軍事﹑合法﹑社會）是日益全球化和內(nèi)部鏈接的，由于我們更多的依賴于自動化的控制系統(tǒng)來為我們提供能源和服務(wù)，也因為我們建立了基于網(wǎng)絡(luò)的機(jī)制來協(xié)調(diào)全球化互動，所以我們需要向我們的系統(tǒng)和進(jìn)程介紹易損性弱點。越來越多的對網(wǎng)絡(luò)空間的依賴擴(kuò)大了我們的易損性—隔離不再是一個選項了。對于我們所依賴的信息系統(tǒng)，我們需要對它的各種各樣的威脅進(jìn)行理解和分析，與這種理解和分析的需要相比，之前所講的現(xiàn)象在任何方面都不是那么要緊和富有挑戰(zhàn)性了。

安全威脅有多種來源和成因。在Loch等人的分類學(xué)中，信息系統(tǒng)的安全威脅被分類為四種因素—外部原因（人為因素和非人為因素）和內(nèi)部原因（人為因素和非人為因素）。那些以工程和計算機(jī)科學(xué)為中心的研究主要是關(guān)于外部威脅的，現(xiàn)在已經(jīng)有很多的人工制品被開發(fā)出來保護(hù)組織的邊界（例如：入侵檢測系統(tǒng)﹑防火墻﹑防惡意破壞軟件等等）。在管理信息系統(tǒng)的研究傳統(tǒng)中，一直都采取很大的努力來調(diào)查信息系統(tǒng)安全威脅中的人為犯罪，特別是針對那些在企業(yè)組織中的人（在防火墻后，就類似這樣）。在Loch等人的框架中，威脅的來源是以人的意圖為特征的（目的性的VS偶然性的）。行為研究協(xié)會的許多關(guān)注是在信息系統(tǒng)安全政策上的，這些政策不被員工所服從。有些行為是基于目的的﹑有意的﹑惡意違規(guī)的（就像破壞活動﹑數(shù)據(jù)竊取﹑數(shù)據(jù)破壞等等），還有的行為是無意的和偶然的，包括忘記修改密碼，在離開工作地之前沒有下線，粗心地丟棄了一些敏感信息而不是將它粉碎。Warkentin在1995年擴(kuò)展了分類學(xué)來包括了低級的和高級的威脅，后者是一個有目的性的個體或者是一個尋找模糊弱點和造成巨大經(jīng)濟(jì)損失的組織，組織是通過堅持入侵來獲得最大化長遠(yuǎn)效益，從而給經(jīng)濟(jì)帶來嚴(yán)重?fù)p失。

那些來自于人們目的性行為的風(fēng)險是相當(dāng)危險的，尤其是在現(xiàn)在這樣充滿黑客﹑間諜﹑恐怖分子和犯罪團(tuán)伙的世界，犯罪團(tuán)伙是為了達(dá)到他們的目標(biāo)，會合作起來全球襲擊我們的信息資產(chǎn)。許多惡意的個體希望造成破壞和損失，為了政治原因或是軍事目的，有的惡意個體會竊取貿(mào)易秘密和法人所有權(quán)信息，有的會竊取財政信息來實施詐騙，有的會是身份盜用者，除了這些還有一些其他的犯罪行為。另一種風(fēng)險是由惡意軟件的新級別引起的，這種新級別使得軟件更隱蔽和更有效，能夠使軟件穿透最新的邊界防護(hù)。這些風(fēng)險包括病毒﹑蠕蟲﹑木馬程序﹑隱匿技術(shù)和分散的僵尸網(wǎng)絡(luò)襲擊。

但是，最大的威脅是內(nèi)部威脅--組織中作為防火墻信用代理人的成員（IM和Baskerville,2005年；Stantan等人，2005年；Willison，2006年；Willison和Backhouse,2006年）。這個員工和其他委托人用有效的用戶名和密碼來定期地和組織內(nèi)的信息財產(chǎn)相互作用。員工能夠?qū)π畔⑾到y(tǒng)的機(jī)密性﹑完整性和有效性造成損害，通過一些故意的行為（使員工不高興或者進(jìn)行間諜活動），或者他們可能會介紹風(fēng)險性通過對安全政策的被動不服從﹑怠惰﹑馬虎﹑低訓(xùn)練或者是缺少動力去有活力地保護(hù)完整性和一些敏感信息的私密性，這些敏感信息一般來自于組織和它的合作伙伴﹑委托人﹑顧客和其他。這被叫做“末端安全問題”（Warkentin等人，2004年）因為個體員工是信息系統(tǒng)及其網(wǎng)絡(luò)作業(yè)的末端。（我們有時會說最好的網(wǎng)絡(luò)作業(yè)安全問題--最脆弱的連接—是在鍵盤與椅子之間。）內(nèi)部的人經(jīng)常會通過他們的終端直接接近整個網(wǎng)絡(luò)工作，這樣會造成一個主要的威脅。在50個國家開展的一個對近1400家公司進(jìn)行的全球性調(diào)查中，研究者發(fā)現(xiàn)意識和個人問題保持了“最嚴(yán)峻的挑戰(zhàn)是傳遞成功的信息安全主動權(quán)”（Ernst和Young，2008年）。盡管社會工程提供了對付黑客的最少的抵抗路徑，在這項調(diào)查中只有19%的響應(yīng)者是進(jìn)行員工的社會工程測試，但是85%聲明開展網(wǎng)絡(luò)安全的定期測試。內(nèi)部威脅被重復(fù)說明是對信息安全的最大威脅，但是在倉促中用不斷增長經(jīng)驗的邊界控制來保護(hù)邊界的時候，這個威脅經(jīng)常被忽略。加深對訓(xùn)練﹑雇傭人員的注重，促使員工安心地工作將產(chǎn)生很大的報酬給實行了這種策略的組織。

大量的方法和觀點已經(jīng)被用來調(diào)查企業(yè)的信息系統(tǒng)安全管理。這個特殊事件的焦點是集中在私人電腦用戶﹑工作團(tuán)體﹑或者組織和它的進(jìn)程，之所以包括進(jìn)程是因為它與信息系統(tǒng)安全的追求相關(guān)。組織特有地開發(fā)和實施一些計劃﹑政策﹑協(xié)議和規(guī)程來保證信息資源的安全，伴隨著用戶訓(xùn)練項目和利用統(tǒng)治結(jié)構(gòu)來宣傳對安全政策和規(guī)程的服從（Warkentin和Johnston，2008年）。與這些努力相違背的是那些意圖做一些電腦犯罪的不誠實的員工，這就像那些粗心的或是無動機(jī)的員工，因為一些突然的和粗心的操作而不能維持系統(tǒng)的安全。是什么原因讓一些私人用戶和團(tuán)體來服從安全政策，而讓另一些人突然地或者是有目的地違反安全規(guī)則和程序？什么激勵因素和抑制條件是對保證服從或是對阻止類似于電腦犯罪﹑黑客﹑間諜或破壞活動等故意的行為是有效的？怎樣才能夠使服從安全政策和程序獲得成功？不服從的原因是什么？在組織環(huán)境中有什么因素能夠促使一個員工進(jìn)行電腦犯罪？我們該怎樣來理解這些違法者的犯罪行為？這些研究疑問促使我們來計劃這個特殊的問題。

研究者調(diào)查了關(guān)于安全政策服從和不服從的多種前情，毫無疑問地，理論根據(jù)是熟悉的一個例子—技術(shù)采用模型﹑組織行為﹑社會影響等等。我們相信，盡管這些是（將會繼續(xù)成為）了解個人動機(jī)的富有成效的領(lǐng)域，我們必須吸收新的探索計算機(jī)指令系統(tǒng)的道路。我們應(yīng)該開擴(kuò)我們的眼界和吸收新的理論基礎(chǔ)和新的方法論途徑。我們可以學(xué)習(xí)其他認(rèn)知的和行為的科學(xué)，包括犯罪判斷﹑教育﹑道德和其他。

服從問題很顯然是跟那些誠實員工的行為有關(guān)，他們不管什么原因，可能或不可能遵守一個組織的安全政策。然而，我們不能忘記在組織環(huán)境中的信息系統(tǒng)安全，那就會有一個其他形式的行為值得我們考慮—違法者的行為。有趣的是，這個研究領(lǐng)域沒有從信息系統(tǒng)安全協(xié)會獲得太多關(guān)注。但是有焦點是關(guān)于違法者有潛力去打開未來研究的初始領(lǐng)域。傳統(tǒng)地來說，信息系統(tǒng)安全對策被分成了四類，包括威懾﹑阻止﹑偵測與恢復(fù)（Forcht，1994年；Parker，1998年；Straub和Welke，1998年）。服從研究因此包括了試圖去促進(jìn)“阻止”的措施。員工行為導(dǎo)致密碼使用將成為一個顯著的例子。如果一個人服從或不服從政策，他或她的行為是與技術(shù)系統(tǒng)相聯(lián)系的，這會造成“阻止”電腦濫用。然而，由于對違法者行為的關(guān)注，我們是有可能從這個控制領(lǐng)域移開的。但是這要依賴于運用適當(dāng)?shù)睦碚撊?yīng)對適當(dāng)?shù)膯栴}。因為這樣的目標(biāo)，信息系統(tǒng)安全研究者不必去重新改變方向。相異理論現(xiàn)有的體系使得我們對違法者的行為有所了解，不僅是在犯罪中，更重要的是在犯罪過程之前。如果這些“適當(dāng)?shù)摹崩碚撃軌驈闹械玫?，那么就存在可能去進(jìn)一步了解第二種行為形式和擴(kuò)大安全保衛(wèi)的范圍，這種保衛(wèi)范圍將超越傳統(tǒng)的威懾﹑阻止﹑偵測和恢復(fù)級別（Straub和Welke，1998年）。

最近的一篇論文(Willison,2009)說明了這一點。盡管內(nèi)部威脅的研究越來越多,目前存在一個缺乏對員工的不滿情緒的問題的深入了解以及這在激發(fā)某種形式的計算機(jī)犯罪方面如何扮演了一個重要角色。為了解決這個問題, Willison(2009)利用一套理論稱為組織公平,它分析不同組織現(xiàn)象如何能夠影響員工對公平的認(rèn)知。有人認(rèn)為,通過應(yīng)用程序的這個理論,一個更好的理解提供了動態(tài)的不滿情緒。這使得實施措施能夠阻止形成,但也消散,預(yù)先存在的不滿情緒。重要的是,人們的不滿暫時解決之前,行為發(fā)生威懾通過。因此,通過應(yīng)用程序的組織公平,這提供了組織可能擴(kuò)大范圍的安全措施。盡管公司可能采用在很大程度上控制來阻止員工計算機(jī)犯罪,為什么不減輕的不滿情緒,從而阻止初始元素犯罪行為? 在術(shù)語總額的安全威脅是減輕在管理系統(tǒng)安全,就必須確定組所有可能的威脅,然后應(yīng)用一個公式(seeWarkentin,1995),為每個產(chǎn)品summates威脅的傷害是預(yù)期,應(yīng)該這種威脅發(fā)生,并且其發(fā)生的概率。例如,一個毀滅性的自然災(zāi)害可能會消滅一個數(shù)據(jù)中心,但其發(fā)生的幾率在一個特定的位置可能較低,而不準(zhǔn)確的數(shù)據(jù)條目的概率可能更高,但潛在的損失是很低的。重要的是,預(yù)期的值的總成本的一個惡意攻擊從知情人可以有一個更大的金融沖擊比無數(shù)次的行為、疏忽、遺漏或監(jiān)督由善意的,但不夠訓(xùn)練或很差的員工有熱情。事實上,什么使刑事內(nèi)幕威脅如此危險的是,這些個體犯罪在上下文的工作場所的環(huán)境提供他們目標(biāo)訓(xùn)練和暴露在非常的技能和知識(知識的會計程序,知識的安全缺陷,資歷和權(quán)威、計算機(jī)軟件技能等)。這使他們能夠執(zhí)行他們的犯罪行為。帕克(1998)主張考慮網(wǎng)絡(luò)罪犯來說,他們的技能、知識、資源、權(quán)力和動機(jī)。不誠實的員工經(jīng)常有這些屬性在豐度,當(dāng)這樣的一個威脅,在執(zhí)行金融后果可能是毀滅性的。放置一個更大的研究強(qiáng)調(diào)罪犯會因此似乎是一項有價值的事業(yè)。所以越來越重視個人誰犯前款罪的,而不是對個人僅僅小幅違規(guī),將會有更大的金融沖擊。這是主要的動機(jī)分析法理學(xué)的增加凈通過新眼鏡的社會學(xué)和犯罪學(xué)研究,包括越軌行為的研究,組織公平研究、代理理論、心理學(xué)理論、組織行為、感知組織的支持,和其他理論和方法為研究人類行為。我們相信這個呼吁研究代表了對未來可行的議程。

這個特殊的問題包括六個文件,所有這些考慮信息系統(tǒng)安全之間的關(guān)系和行為的員工為執(zhí)行這個函數(shù)。這種性質(zhì)的研究是及時的,而嘴唇服務(wù)付費的重要性是安全、問題引發(fā)了對學(xué)術(shù)研究的質(zhì)量在這個地區(qū)。Siponen等。(2008年),例如,回顧了文獻(xiàn)信息系統(tǒng)安全為1990-2004年期間,包括三個主要信息系統(tǒng)安全期刊和相關(guān)論文發(fā)現(xiàn)在前20信息系統(tǒng)期刊。覆蓋1280篇論文和分析方面的理論、方法和主題,結(jié)果發(fā)人深省。理論的應(yīng)用的一個關(guān)鍵元素被良好的研究,然而沒有理論是在1043年的論文引用。按照方法用于實證研究,論文的比例,進(jìn)行了現(xiàn)場研究(0.07%),調(diào)查(5.31%)、案例研究(2.65%),和行動研究(0.07%)被證明同樣缺乏。最后,盡管需要考慮更多的社會方面的信息事業(yè)系統(tǒng)安全長期以來被公認(rèn),主題安全教育和安全意識只占兩個和7個文件分別。這些數(shù)字告訴相比其他信息事業(yè)的成熟系統(tǒng)不同學(xué)科。一些信息系統(tǒng)的研究已經(jīng)指出,作為一門學(xué)科的成熟,應(yīng)用程序的理論和實證研究的數(shù)量會增(Farhoomand 1987;Farhoomand&Drury,1999;Vessey等,2002)。這是伴隨著移動從技術(shù)或更多的組織或管理焦點(Culnan,1987;Vessey等,2002)。同樣的,然而,不能說對信息系統(tǒng)安全。

我們的第一篇文章,通過Herath和Rao,專注于問題的最終用戶“遵守信息安全政策。更具體地說,他們進(jìn)步和測試一個集成模型,利用通用威懾理論、保護(hù)動機(jī)理論、組織承諾和分解理論計劃的行為。與312年員工調(diào)查從78年組織反應(yīng),研究探討了打算遵守信息安全政策。作為一個為數(shù)不多的在這一領(lǐng)域的實證研究,提出影響未來的搜索關(guān)鍵學(xué)術(shù)研究和信息系統(tǒng)安全從業(yè)人員。

同樣,Myyry, Siponen, Pahnila, Vartiainen,Vance也檢查合規(guī),但是而不是關(guān)注意圖,他們解決道德推理理論如何可能提供一些深入的違規(guī)行為的原因。因此，一個理論模型,解釋了不符合道德推理和價值觀的基礎(chǔ)上提出了?；诘赖掳l(fā)展理論的認(rèn)知由Kohlberg理論動機(jī)類型由施瓦茨,隨后的火電廠模型很大程度上是由作者的實驗研究結(jié)果。

Carol Hsu檢測了財政組織中的成員怎樣說明安全保證進(jìn)程的實施，也就是英國標(biāo)準(zhǔn)7799的第二部分。通過用一個解釋性的個案研究方法論，Hsu吸收了框架分析的概念來鑒定管理者們對不同群體的解釋，這些不同團(tuán)體是類似于檢定小組和其他的員工。通過這些解釋，每個團(tuán)體分派不同的含義給檢定進(jìn)程，檢定進(jìn)程可以影響到涉及相關(guān)安全操作的決定。Hsu因此提出管理者首先需要認(rèn)識到框架的不一致性，才能相對進(jìn)行調(diào)整來保證一致性和獲得全部的安全效益。

Boss, Kirsch, Angermeier, Shingler, and Boss 建立了一種模型來解釋員工的信息安全預(yù)防行為。他們的發(fā)現(xiàn)是基于一個普查，在普查中有提到當(dāng)個人察覺到安全政策是強(qiáng)制的，他們將會很主動的去做安全預(yù)防。而且，如果他們認(rèn)為堅固的管理是在評估他們的行為，他們將會更加有可能去服從。他們還注意了情感淡漠和電腦自我效能是信息安全行為的重要決定因素。個別員工可能會對安全政策的遵守?zé)o視，但是與管理者溝通過后也許會改變他們的觀點。此外，他們的研究說明了針對員工行為的獎勵措施在安全環(huán)境下是不起作用的，就像它在其他領(lǐng)域中一樣。

在我們下一篇文章中，我們提出了一個有趣的項目，是與安全鑒定中的密碼使用有關(guān)的。Zhang, Luo, Akkaladevi, and Ziegelmayer分析了從有經(jīng)驗認(rèn)知的觀點中來恢復(fù)多種密碼的問題。在這項研究中，作者認(rèn)識到用戶經(jīng)常危及密碼的保密性來改善可記憶性。使用者控制的密碼越多，就越難回想起來。原稿調(diào)查了干擾緩和措施對提高多樣密碼恢復(fù)的使用情況，并說明一系列的還原法可能會提高個人的回想認(rèn)識過程。在我們最后的文章里，Lee和Larson通過對小型和中型企業(yè)（服務(wù)器信息塊）高管們的調(diào)查了解了組織中抗惡意軟件的使用。應(yīng)用保護(hù)推動理論，作者調(diào)查了服務(wù)器信息塊的高管們，然后證明了威脅和頂部評價成功地預(yù)測了他們對抗惡意軟件的使用意圖，這個意圖直接導(dǎo)致了組織的采用。他們還決定了社會影響和采用決策中的預(yù)算問題。最后，賣主支持是對抗惡意軟件采用的一個關(guān)鍵的促進(jìn)因素，尤其是在信息技術(shù)集中的行業(yè)。

所以多樣的原因﹑動機(jī)﹑抑制因子和政策服從因素和電腦犯罪在文章中被分析。這些因素的特征在于三個方面（1）與信仰和意圖相關(guān)的安全和政策服從（包括道德和倫理原因），就像Herath ﹑Rao ﹑ Myyry﹑Siponen﹑Pahnila﹑ Vartiainen 和Vance分析的那樣。（2）分析領(lǐng)悟與感覺屬性，包括認(rèn)識過程，就像Hsu的論文 和Zhang﹑ Luo﹑ Akkaladevi和 Ziegelmayer 的論文所分析的那樣。（3）關(guān)注激勵的影響（或者缺少這些），包括漠視﹑敬畏和信心特征，加上在Boss﹑ Kirsch﹑Angermeier﹑Shingler﹑和Boss的論文和Lee和Larson 的論文中提到的應(yīng)對行為。綜合地說，手稿最精彩的部分提供了關(guān)于重要研究領(lǐng)域的一個有啟發(fā)性的觀點。

我們要謝謝很多的評論者，他們保證了嚴(yán)密的選拔過程，并且通過這三個階段的修正來幫助我們找到改進(jìn)每一份手稿的機(jī)會。因為這個過程，項目成果被極大的改進(jìn)了。在這個過程中，我們還要感謝Richard Baskerville的領(lǐng)導(dǎo)，感謝EJIS員工的支持。

第二篇：信息系統(tǒng)安全

數(shù)字簽名過程 “發(fā)送報文時，發(fā)送方用一個哈希函數(shù)從報文文本中生成報文摘要,然后用自己的私人密鑰對這個摘要進(jìn)行加密，這個加密后的摘要將作為報文的數(shù)字簽名和報文一起發(fā)送給接收方，接收方首先用與發(fā)送方一樣的哈希函數(shù)從接收到的原始報文中計算出報文摘要，接著再用發(fā)送方的公用密鑰來對報文附加的數(shù)字簽名進(jìn)行解密，如果這兩個摘要相同、那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。

數(shù)字簽名有兩種功效：一是能確定消息確實是由發(fā)送方簽名并發(fā)出來的，因為別人假冒不了發(fā)送方的簽名。二是數(shù)字簽名能確定消息的完整性。因為數(shù)字簽名的特點是它代表了文件的特征，文件如果發(fā)生改變，數(shù)字簽名的值也將發(fā)生變化。不同的文件將得到不同的數(shù)字簽名。一次數(shù)字簽名涉及到一個哈希函數(shù)、發(fā)送者的公鑰、發(fā)送者的私鑰?！边@報文鑒別的描述！數(shù)字簽名沒有那么復(fù)雜。數(shù)字簽名： 發(fā)送方用自己的密鑰對報文X進(jìn)行E運算，生成不可讀取的密文Esk，然后將Esx傳送給接收方，接收方為了核實簽名，用發(fā)送方的密鑰進(jìn)行D運算，還原報文。

口令攻擊的主要方法

1、社會工程學(xué)(social Engineering)，通過人際交往這一非技術(shù)手段以欺騙、套取的方式來獲得口令。避免此類攻擊的對策是加強(qiáng)用戶意識。

2、猜測攻擊。首先使用口令猜測程序進(jìn)行攻擊。口令猜測程序往往根據(jù)用戶定義口令的習(xí)慣猜測用戶口令，像名字縮寫、生日、寵物名、部門名等。在詳細(xì)了解用戶的社會背景之后，黑客可以列舉出幾百種可能的口令，并在很短的時間內(nèi)就可以完成猜測攻擊。

3、字典攻擊。如果猜測攻擊不成功，入侵者會繼續(xù)擴(kuò)大攻擊范圍，對所有英文單詞進(jìn)行嘗試，程序?qū)葱蛉〕鲆粋€又一個的單詞，進(jìn)行一次又一次嘗試，直到成功。據(jù)有的傳媒報導(dǎo)，對于一個有8萬個英文單詞的集合來說，入侵者不到一分半鐘就可試完。所以，如果用戶的口令不太長或是單詞、短語，那么很快就會被破譯出來。

4、窮舉攻擊。如果字典攻擊仍然不能夠成功，入侵者會采取窮舉攻擊。一般從長度為1的口令開始，按長度遞增進(jìn)行嘗試攻擊。由于人們往往偏愛簡單易記的口令，窮舉攻擊的成功率很高。如果每千分之一秒檢查一個口令，那么86%的口令可以在一周內(nèi)破譯出來。

5、混合攻擊，結(jié)合了字典攻擊和窮舉攻擊，先字典攻擊，再暴力攻擊。

避免以上四類攻擊的對策是加強(qiáng)口令策略。

6、直接破解系統(tǒng)口令文件。所有的攻擊都不能夠奏效，入侵者會尋找目標(biāo)主機(jī)的安全漏洞和薄弱環(huán)節(jié)，飼機(jī)偷走存放系統(tǒng)口令的文件，然后破譯加密的口令，以便冒充合法用戶訪問這臺主機(jī)。

7:網(wǎng)絡(luò)嗅探(sniffer)，通過嗅探器在局域網(wǎng)內(nèi)嗅探明文傳輸?shù)目诹钭址?。避免此類攻擊的對策是網(wǎng)絡(luò)傳輸采用加密傳輸?shù)姆绞竭M(jìn)行。

8:鍵盤記錄，在目標(biāo)系統(tǒng)中安裝鍵盤記錄后門，記錄操作員輸入的口令字符串，如很多間諜軟件，木馬等都可能會盜取你的口述。

9:其他攻擊方式，中間人攻擊、重放攻擊、生日攻擊、時間攻擊。

避免以上幾類攻擊的對策是加強(qiáng)用戶安全意識，采用安全的密碼系統(tǒng)，注意系統(tǒng)安全，避免感染間諜軟件、木馬等惡意程序。

第三篇：信息系統(tǒng)安全管理辦法

1.0

目的為保證集團(tuán)計算機(jī)信息系統(tǒng)的平安，防止信息泄密，特制定本管理辦

法。

2.0

適用范圍

本規(guī)定適用于本集團(tuán)的全體員工；適用于本公司所有辦公用計算機(jī)、網(wǎng)

絡(luò)布線和網(wǎng)絡(luò)連接設(shè)備。

3.0

職責(zé)

集團(tuán)人力行政中心統(tǒng)一負(fù)責(zé)管理和維護(hù)集團(tuán)各公司的計算機(jī)、打印機(jī)、電腦網(wǎng)絡(luò)等辦公自動化設(shè)備及各類軟件，并對計算機(jī)系統(tǒng)平安保密工作進(jìn)行指導(dǎo)、協(xié)調(diào)和監(jiān)督檢查；各部門主管負(fù)責(zé)本部門辦公設(shè)備和信息系統(tǒng)的平安保密工作，應(yīng)指定專人經(jīng)常進(jìn)行信息的平安情況檢查；定期查、殺病毒，確保系統(tǒng)平安運行。

4.0

具體管理方法

4.1

設(shè)備平安管理

4.1.1

非設(shè)備維護(hù)人員，不得私自拆裝計算機(jī)設(shè)備，不得私自變更網(wǎng)絡(luò)設(shè)備的連接，對非法操作造成的財產(chǎn)損失和網(wǎng)絡(luò)重大故障的有關(guān)人員，要追究

責(zé)任。

嚴(yán)禁帶電拔插計算機(jī)上的所有連線和設(shè)備〔鍵盤、鼠標(biāo)、打印機(jī)、軟件

狗等〕，以防止損壞設(shè)備。

4.1.3

除不可抗拒的原因外，禁止非法開、關(guān)機(jī)，關(guān)機(jī)后再次啟動電腦的間隔

時間不得低于1分鐘。

對外來軟盤、u盤等介質(zhì)應(yīng)先殺毒，以消除可能帶有的病毒。

嚴(yán)禁在開機(jī)狀態(tài)下移動計算機(jī)主機(jī)等設(shè)備。

4.1.6

未經(jīng)人力行政中心IT部門登記，不得將外來的筆記本電腦等設(shè)備私自接

入公司網(wǎng)絡(luò)。

4.2

軟件平安管理

4.2.1

計算機(jī)上使用的系統(tǒng)軟件由集團(tuán)人力行政中心有關(guān)技術(shù)人員進(jìn)行安裝，各部門使用的自購或開發(fā)的軟件必須由集團(tuán)人力行政中心技術(shù)員檢查確認(rèn)平安問題并建立軟件檔案前方可使用。

計算機(jī)使用人員應(yīng)遵守如下規(guī)定：

〔1〕不得隨意修改計算機(jī)和網(wǎng)絡(luò)上的配置參數(shù)、程序及信息資源；

〔2〕未經(jīng)防病毒檢查和平安性檢查，不得隨意拷入外來程序及數(shù)據(jù)；

〔3〕不得私自從因特網(wǎng)上下載非工作必需的軟件，以免影響其他人上網(wǎng)的速度。

〔4〕不得安裝與工作無關(guān)的軟件，嚴(yán)禁辦公時間在電腦上玩游戲、上網(wǎng)瀏覽色情網(wǎng)站或下載游戲軟件，工作時間不得上網(wǎng)聊天或進(jìn)入交友網(wǎng)站。

4.3

信息平安管理

4.3.1

各計算機(jī)用戶負(fù)責(zé)妥善處理本人使用的計算機(jī)上的信息，未經(jīng)許可不得

隨意拷貝、打印保密信息。

4.3.2不得向網(wǎng)絡(luò)輸入有害程序和信息或利用網(wǎng)絡(luò)查詢、傳播各種違法信息。

4.3.3向網(wǎng)站發(fā)布信息必須按相關(guān)規(guī)定審批前方可發(fā)布。

4.3.4需長期保存的文件不得放置在電腦C盤，應(yīng)放在D、E等盤，并及時備份〔建議采用光盤或U盤的方式，盡量不使用軟盤方式〕，以免由于系統(tǒng)出錯格式化造成文檔喪失，如因硬盤損壞等原因造成信息喪失的后果由當(dāng)事人及部門主管負(fù)責(zé)。

任何部門或個人發(fā)現(xiàn)計算機(jī)信息系統(tǒng)泄密和存在不平安因素，應(yīng)及時報

告集團(tuán)人力行政中心IT部門采取措施補(bǔ)救。

5.0

違反本管理方法按?獎懲制度?處理。

6.0

本管理方法解釋權(quán)歸屬集團(tuán)人力行政中心。如原有規(guī)定與本管理方法有沖突,以本管理方法為準(zhǔn)。

7.0

本管理方法自2021年1月1日起執(zhí)行。

第四篇：信息系統(tǒng)安全工作總結(jié)

2011年信息系統(tǒng)安全工作總結(jié)

為確保公司信息系統(tǒng)持續(xù)安全穩(wěn)定運行，我中心把此項工作列入重要議事日程，明確主管領(lǐng)導(dǎo)、責(zé)任部門和相關(guān)人員，制定相應(yīng)規(guī)章制度，確保了我中心公司信息系統(tǒng)持續(xù)安全穩(wěn)定運行?，F(xiàn)將2011年工作匯報如下：

一、安全管理制度落實情況

1、成立了信息安全管理機(jī)構(gòu)。明確信息安全工作由中心信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)，該領(lǐng)導(dǎo)小組由中心工會主席XX任組長，由中心安全部XX為信息專責(zé)，各系統(tǒng)使用人為成員。明確由中心信息中心負(fù)責(zé)具體公司信息系統(tǒng)安全維護(hù)日常工作。健全的機(jī)構(gòu)、明晰的人員分工為公司信息系統(tǒng)安全運行奠定了堅實的基礎(chǔ)。

2、建立了信息安全責(zé)任制。按責(zé)任規(guī)定：中心信息安全領(lǐng)導(dǎo)小組對信息安全負(fù)首責(zé)，主管領(lǐng)導(dǎo)負(fù)總責(zé)，管理人員負(fù)主責(zé)，具體使用人員負(fù)主責(zé)。

3、制定了計算機(jī)外網(wǎng)和公司網(wǎng)分離使用的相關(guān)保密管理制度。規(guī)定外網(wǎng)使用人員負(fù)責(zé)本臺電腦信息管護(hù)工作，公司網(wǎng)使用人員負(fù)責(zé)內(nèi)網(wǎng)保密管理，規(guī)定雙網(wǎng)間不得相互搭接，嚴(yán)禁泄密。

二、安全防范措施落實情況

1、公司網(wǎng)計算機(jī)按照公司管理規(guī)定，經(jīng)過了保密技術(shù)檢查，沒有同互聯(lián)網(wǎng)相連接，并安裝了防火墻，實行了物理隔離。同時安裝了金山殺毒軟件，加強(qiáng)了防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的功能。

2、檢測信息系統(tǒng)無安全漏洞，載有涉密內(nèi)容的移動存儲設(shè)備（包括軟盤、硬盤、光盤等）沒有帶離辦公地點，沒有出現(xiàn)涉密內(nèi)容在Internet相連的計算機(jī)系統(tǒng)中存儲、處理、傳輸。

三、應(yīng)急響應(yīng)機(jī)制建設(shè)情況

1、按照要求制定了應(yīng)急機(jī)構(gòu)及應(yīng)急預(yù)案等，做到了責(zé)任落實、人員到位、措施得力，并在中心內(nèi)進(jìn)行了廣泛的宣傳貫徹和培訓(xùn)，明確了應(yīng)急技術(shù)支援隊伍。

2、堅持和涉密計算機(jī)系統(tǒng)定點維修單位取得密切聯(lián)系，并商定在中心涉密計算機(jī)出現(xiàn)問題等應(yīng)急技術(shù)時給予最大程度的支持。

3、嚴(yán)格文件的收發(fā)，完善了清點、編號、簽收制度，并要求辦公室文員在每天下班前進(jìn)行系統(tǒng)檢查維護(hù)。

四、信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況

計算機(jī)的保密系統(tǒng)、公文處理軟件、信息安全產(chǎn)品、服務(wù)器、路由器、交換機(jī)等皆符合相關(guān)技術(shù)要求。

五、安全教育培訓(xùn)情況

1、派專人參加了公司組織的網(wǎng)絡(luò)系統(tǒng)安全和保密知識培訓(xùn)、安全技能培訓(xùn)等，并安排專人負(fù)責(zé)本中心的網(wǎng)絡(luò)安全管理和信息安全工作。

2、中心信息安全領(lǐng)導(dǎo)小組多次組織全中心職工學(xué)習(xí)了計算機(jī)的基本操作技能和信息安 全常識等內(nèi)容。

總之，在2011年里我單位沒有出現(xiàn)違反信息安全規(guī)定行為和造成泄密事故、信息、安全事故的情況發(fā)生。

六、存在的不足和整改措施

1、對信息安全投入力量有限。由于辦公費用緊張，對信息系統(tǒng)安全投入不足，硬件措施不能完全達(dá)到標(biāo)準(zhǔn)。

2、人員培訓(xùn)力度需要進(jìn)一步加強(qiáng)。2011年在人員培訓(xùn)上也下了不少工夫，使用內(nèi)網(wǎng)職工對于信息安全重要性的認(rèn)識需要進(jìn)一步提升，特別是崗位發(fā)生變化后，需要進(jìn)行上崗前的培訓(xùn)，合格后方能進(jìn)行相關(guān)工作，以進(jìn)一步確保信息安全。

在以后的信息安全工作中，我們將結(jié)合實際，主要在以下幾個方面進(jìn)行整改。

1、針對信息安全意識需進(jìn)一步提升問題，進(jìn)一步加大力度對計算機(jī)安全知識的培訓(xùn)教育，提高做好安全工作的主動性和自覺性。

2、針對設(shè)備維護(hù)、及時更新問題，加大對線路、系統(tǒng)等及時維護(hù)和保養(yǎng)，同時針對信息技術(shù)的快速發(fā)展的特點，加大更新力度。

3、針對信息安全工作水平不高問題。繼續(xù)努力，在落實責(zé)任制上下功夫，堅持執(zhí)行“誰主管誰負(fù)責(zé)，誰分管誰負(fù)責(zé)，誰維護(hù)誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的責(zé)任制方針，將上級的信息安全精神落實到實處，力爭把信息安全的管護(hù)提高到現(xiàn)代化水平，促進(jìn)中心計算機(jī)信息系統(tǒng)安全的防范和保密工作的順利進(jìn)行。

4、針對工作機(jī)制不夠完善問題。要堅持以制度為根本，在進(jìn)一步完善信息安全制度的同時，安排專人，完善設(shè)施，密切監(jiān)測，加大獎懲力度，隨時隨地解決可能發(fā)生的信息系統(tǒng)安全事故，確保此項工作穩(wěn)定運行。

第五篇：信息系統(tǒng)安全自查報告

信息系統(tǒng)安全自查報告

一、自查情況

1、安全制度落實情況: 目前我院已制定了<網(wǎng)絡(luò)安全管理制度>、<計算機(jī)信息系統(tǒng)安全保密管理制度>、<涉密人員管理制度>等制度并嚴(yán)格執(zhí)行。信息管護(hù)人員負(fù)責(zé)信息系統(tǒng)安全管理，密碼管理，且規(guī)定嚴(yán)禁外泄。

2、安全防范措施落實情況:(1)計算機(jī)經(jīng)過了信息系統(tǒng)安全技術(shù)檢查，并安裝了防火墻，同時配置安裝了專業(yè)殺毒軟件，加強(qiáng)了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。(2)禁止使用來歷不明或未經(jīng)殺毒的一切移動存儲介質(zhì)。(3)在安裝殺毒軟件時采用國家主管部門批準(zhǔn)的查毒殺毒軟件適時查毒和殺毒，不使用來歷不明、未經(jīng)殺毒的軟件、軟盤、光盤、u盤等載體，不訪問非法網(wǎng)站，自覺嚴(yán)格控制和阻斷病毒來源。在單位外的u盤，不得攜帶到單位內(nèi)使用。(4)安裝了準(zhǔn)入準(zhǔn)出管理系統(tǒng)，對內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過允許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查。對外來終端接入醫(yī)院網(wǎng)絡(luò)必須進(jìn)行健康度審查，直至符合相關(guān)要求后，經(jīng)管理員審核才能接入醫(yī)院網(wǎng)絡(luò)。對接入互聯(lián)網(wǎng)的終端計算機(jī)采取控制措施，包括實名接入認(rèn)證、IP地址與MAC地址綁定等，定期對終端計算機(jī)進(jìn)行安全審計；規(guī)范化使用終端軟硬件，不得擅自更改軟硬件配置，不得擅自安裝軟件，嚴(yán)禁在計算機(jī)上安裝非法盜版軟件；監(jiān)控系統(tǒng)開啟服務(wù)與程序情況，關(guān)閉不必要的服務(wù)、端口、來賓組等，防止惡意程序后臺運行，防止安裝過多應(yīng)用軟件及病毒、木馬程序的自運行；加強(qiáng)網(wǎng)絡(luò)訪問控制，防止計算機(jī)進(jìn)行違規(guī)互聯(lián)，防止信息因共享等方式進(jìn)行違規(guī)流轉(zhuǎn)，防止木馬、病毒在信息系統(tǒng)內(nèi)大規(guī)模爆發(fā)。(5)安裝了防病毒系統(tǒng)、威肋預(yù)警系統(tǒng)，服務(wù)器安裝支持統(tǒng)一管理的防病毒軟件，及時更新軟件版本和病毒庫;整改配備威脅管理平臺和殺軟，主機(jī)與網(wǎng)絡(luò)的防范產(chǎn)品統(tǒng)一管理，且必須與終端殺毒軟件屬不同的安全庫；定期（如每半年年）進(jìn)行系統(tǒng)漏洞掃描，并根據(jù)掃描發(fā)現(xiàn)的漏洞開展整改工作，應(yīng)定期（如每月）對惡意代碼查殺結(jié)果進(jìn)行分析，對于查殺發(fā)現(xiàn)的病毒及其傳播、感染方式進(jìn)行通告，并出具分析報告，及時更新操作系統(tǒng)的安全補(bǔ)丁，更新前應(yīng)對補(bǔ)丁進(jìn)行測試，確認(rèn)其不影響操作系統(tǒng)的業(yè)務(wù)性能后，再安裝系統(tǒng)安全補(bǔ)丁。(6)安裝了數(shù)據(jù)庫審計系統(tǒng)（防統(tǒng)方）軟件，審計范圍覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計記錄包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；保護(hù)審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等；對醫(yī)院數(shù)據(jù)庫幾張重要的表格（統(tǒng)方）采取相應(yīng)的安全措施，降低國家省里衛(wèi)計委三令五聲的統(tǒng)方信息泄露事件。整改配備數(shù)據(jù)庫審計系統(tǒng)（反統(tǒng)方），對重要客戶端的審計和審計報表計記錄的保護(hù)。部署數(shù)據(jù)庫審計系統(tǒng)，賦予安全管理員審計系統(tǒng)管理權(quán)限，其中系統(tǒng)管理員無審計系統(tǒng)日志訪問權(quán)限，安全管理員無數(shù)據(jù)庫系統(tǒng)管理權(quán)限；(7)安裝了網(wǎng)閘隔離設(shè)備，醫(yī)院內(nèi)網(wǎng)與外網(wǎng)原本是物理上隔離，因部份數(shù)據(jù)需要內(nèi)外網(wǎng)進(jìn)行交互，采用專用三機(jī)統(tǒng)的安全網(wǎng)閘來實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)交互，保障安全。

3、應(yīng)急響應(yīng)機(jī)制建設(shè)情況:(1)制定了初步應(yīng)急預(yù)案，并處于不斷完善階段。(2)對信息系統(tǒng)數(shù)據(jù)進(jìn)行定期備份，以降低或消除各種災(zāi)難對正常工作的影響。

4、信息技術(shù)產(chǎn)品應(yīng)用情況: 使用防火墻、安全網(wǎng)閘與入侵檢測系統(tǒng)，有效保護(hù)信息系統(tǒng)安全。

5、信息安全教育培訓(xùn)情況:(1)我院不斷加強(qiáng)對計算機(jī)使用者的安全培訓(xùn)工作，強(qiáng)化每一個使用者安全使用網(wǎng)絡(luò)的能力，提高安全防范意識，對每臺入網(wǎng)計算機(jī)的使用者、ip地址進(jìn)行登記造冊。(2)組織人員參加網(wǎng)絡(luò)安全員培訓(xùn)。增強(qiáng)內(nèi)部人員的信息安全防護(hù)意識，有效提高信息安全防護(hù)能力。

二、信息安全檢查發(fā)現(xiàn)的主要問題及整改情況

1、目前存在的問題:(1)規(guī)章制度體系初步建立，但還不夠完善，未能覆蓋信息系統(tǒng)安全的所有方面。(2)不少信息系統(tǒng)使用人員安全意識不強(qiáng)，在管理上缺乏主動性和自覺性。(3)網(wǎng)絡(luò)安全技術(shù)管理人員配備較少，信息系統(tǒng)安全方面投入的力量有限。

2、整改措施:(1)再次檢查規(guī)章制度各個環(huán)節(jié)的安全策略與安全制度，并對其中不完善部分進(jìn)行重新修訂與修改，切實增強(qiáng)信息安全制度的落實工作，不定期對安全制度執(zhí)行情況進(jìn)行檢查。(2)繼續(xù)加強(qiáng)人員的安全意識教育，提高人員安全工作的主動性和自覺性。(3)加大對線路、系統(tǒng)等的及時維護(hù)和保養(yǎng)，加大更新力度。提高安全工作的現(xiàn)代化水平，便于進(jìn)一步加強(qiáng)對計算機(jī)信息系統(tǒng)安全的防范和信息系統(tǒng)安全工作。

三、對信息安全檢查工作的意見和建議

1、加強(qiáng)信息網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn)，使安全技術(shù)人員及時更新信息網(wǎng)絡(luò)安全管理知識。

2、加強(qiáng)人員的信息安全意識，不斷地加強(qiáng)信息系統(tǒng)安全管理和技術(shù)防范水平。

3、增加安全管理的經(jīng)費。