前言：中文期刊網(wǎng)精心挑選了信息安全服務(wù)范文供你參考和學(xué)習(xí)，希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感，歡迎閱讀。

信息安全服務(wù)范文1

遠(yuǎn)望電子已獲得浙江省“雙軟企業(yè)”認(rèn)定及國家級高新技術(shù)企業(yè)認(rèn)證，是國家創(chuàng)新基金支持單位、浙江省軟件服務(wù)業(yè)重點扶持企業(yè)、“國家863信息系統(tǒng)安全等級保護(hù)產(chǎn)業(yè)技術(shù)創(chuàng)新戰(zhàn)略聯(lián)盟”成員、浙江省計算機(jī)學(xué)會信息安全專業(yè)委員會委員》。

遠(yuǎn)望電子是浙江省信息安全標(biāo)準(zhǔn)化技術(shù)委員會委員、公安部《公安綜合信息安全管理平臺技術(shù)規(guī)范》主要起草單位，同時還是浙江省治安監(jiān)控網(wǎng)絡(luò)綜合保障系統(tǒng)行業(yè)標(biāo)準(zhǔn)》、工業(yè)和信息化部《信息安全技術(shù)政府部門信息安全管理指南》（國家標(biāo)準(zhǔn)），及全國信息安全標(biāo)準(zhǔn)化委員會《信息系統(tǒng)安全管理平臺產(chǎn)品技術(shù)要求和測試評價方法》（國家標(biāo)準(zhǔn)）參與起草單位。

遠(yuǎn)望電子本著誠信為本的經(jīng)營理念，連續(xù)多年均被評為AAA級信用等級單位。

遠(yuǎn)望電子與公安部第一研究所、公安部安全與警用電子產(chǎn)品檢測中心、西北工業(yè)大學(xué)、杭州電子科技大學(xué)等科研院所建立了長期友好合作關(guān)系，從而提升了公司的軟件研發(fā)、人力資源開發(fā)、人才培養(yǎng)和儲備能力。

遠(yuǎn)望電子自主研發(fā)的信息與網(wǎng)絡(luò)安全管理平臺及監(jiān)管系統(tǒng)等在國內(nèi)二十余個省市的公安、法院、政府、保密等領(lǐng)域及大型企事業(yè)單位得到了廣泛應(yīng)用。近年來，遠(yuǎn)望電子開發(fā)的信息與網(wǎng)絡(luò)安全平臺已在浙江省公安廳及所屬116個單位全面部署應(yīng)用。浙江省公安廳借助該平臺建立了較完善的信息安全綜合保障體系，連續(xù)五年在全國公安信息安全綜合評比中名列第一。

遠(yuǎn)望信息與網(wǎng)絡(luò)安全管理平臺及監(jiān)管系統(tǒng)，融業(yè)務(wù)管理（規(guī)范、組織、培訓(xùn)、服務(wù)）、工作流程、應(yīng)急響應(yīng)（預(yù)警、查處、通報、報告）和安全技術(shù)應(yīng)用（監(jiān)測、發(fā)現(xiàn)、處置）為一體，集成了各類信息安全監(jiān)管、分析技術(shù)，實現(xiàn)了對網(wǎng)絡(luò)邊界安全、保密安全、網(wǎng)站安全、主機(jī)基礎(chǔ)安全，以及各類威脅信息安全的違規(guī)行為、資源占用行為等的有效監(jiān)測、處置和管理。

產(chǎn)品同時結(jié)合工作流技術(shù)，實現(xiàn)了監(jiān)測、警示、處置、反饋、考核五位一體安全管理工作模式，建立起長效的信息安全管理工作機(jī)制，并將其日?；?、常態(tài)化，實現(xiàn)了信息安全管理工作的信息化、網(wǎng)絡(luò)化。

遠(yuǎn)望信息與網(wǎng)絡(luò)安全產(chǎn)品被列入“2010年度全國公安信息系統(tǒng)安全大檢查”指定檢查工具，并獲得公安部2011年科學(xué)技術(shù)獎。

遠(yuǎn)望信息與網(wǎng)絡(luò)安全管理平臺及監(jiān)管系統(tǒng)針對安全風(fēng)險產(chǎn)生的根源，對網(wǎng)絡(luò)中的安全事件和安全風(fēng)險進(jìn)行全程全網(wǎng)監(jiān)測、管控，在技術(shù)的層面上突破了網(wǎng)絡(luò)邊界的定位、信息的準(zhǔn)確鑒別、網(wǎng)站的定位，以及應(yīng)用分析和監(jiān)管等難題。

該平臺能對信息網(wǎng)絡(luò)進(jìn)行全程全網(wǎng)實時監(jiān)管，全面、清晰掌握網(wǎng)絡(luò)系統(tǒng)狀況，及時發(fā)現(xiàn)并分析、處置各類安全事件和風(fēng)險隱患。

信息安全服務(wù)范文2

遵循“務(wù)實求新”的傳統(tǒng)，永達(dá)電子潛心研制，大膽創(chuàng)新，積極實踐，憑借多年積累的安全管理理論研究基礎(chǔ)，形成了以“安全管理與控制平臺”為核心的一系列技術(shù)成果，并將這些成果產(chǎn)業(yè)化，成功地投入到國家重大信息安全等級保護(hù)工程建設(shè)中。

秉承“卓越創(chuàng)新”的理念，公司獲得多項技術(shù)專利并成功應(yīng)用于政府、交通、通信、金融等領(lǐng)域。本著“多元協(xié)作”的價值觀，公司與國內(nèi)外眾多IT廠商、科研院校廣泛合作，分別與IBM、HP建立了“Linux聯(lián)合實驗室”和“IA-64J技術(shù)應(yīng)用研發(fā)中心”，主動與各界分享信息安全領(lǐng)域的先進(jìn)技術(shù)和成功經(jīng)驗。

公司獲得的資質(zhì)有：國家信息安全服務(wù)二級資質(zhì)；涉及國家秘密的計算機(jī)信息系統(tǒng)集成甲級資質(zhì)；ISO9001：2008質(zhì)量管理體系認(rèn)證、深圳市重點軟件企業(yè)；計算機(jī)信息系統(tǒng)集成二級資質(zhì)、商用密碼產(chǎn)品定點生產(chǎn)與銷售單位。

公司獲得榮譽有：四川省科技進(jìn)步二等獎、國家火炬計劃項目證書、國家重點新產(chǎn)品證書、奧運政務(wù)網(wǎng)絡(luò)和信息安全優(yōu)秀服務(wù)企業(yè)、鐵道科技獎勵證書、知識產(chǎn)權(quán)優(yōu)勢企業(yè)、國家“863”立項支持單位。

永達(dá)安全管理與控制平臺是永達(dá)SOC安全體系中的核心，是信息安全的數(shù)據(jù)中心和分析決策中樞，匯聚并分析信息系統(tǒng)中安全事件，制定并分發(fā)安全策略，實現(xiàn)信息系統(tǒng)安全風(fēng)險集中管理、監(jiān)控。

信息安全服務(wù)范文3

 

現(xiàn)今信息技術(shù)在電力行業(yè)中廣泛應(yīng)用，雙向互動服務(wù)由于大量使用了通信、網(wǎng)絡(luò)和自動化等新技術(shù)，使自身的安全問題變得更加復(fù)雜、更加緊迫。信息安全問題顯得越來越重要，它不僅威脅到電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)和優(yōu)質(zhì)運行，而且影響著電力系統(tǒng)信息化建設(shè)的實現(xiàn)進(jìn)程。

 

針對上述情況，本文在雙向互動服務(wù)平臺物理架構(gòu)的基礎(chǔ)上，分析雙向互動服務(wù)的安全防護(hù)需求，并由此提出了一套切實有效的保護(hù)方案，對跨區(qū)通信進(jìn)行重點防護(hù)，提升整體信息安全防護(hù)能力，實現(xiàn)對雙向互動服務(wù)信息的有力支撐和保障。

 

1 雙向互動服務(wù)平臺物理架構(gòu)

 

雙向互動服務(wù)平臺的物理架構(gòu)包括：

 

a.安全架構(gòu)：終端安全接入平臺，公網(wǎng)與DMZ區(qū)(隔離區(qū))通過防火墻進(jìn)行防護(hù)，DMZ區(qū)(隔離區(qū))與信息外網(wǎng)通過防火墻隔離，信息外網(wǎng)與信息內(nèi)網(wǎng)通過網(wǎng)絡(luò)物理隔離裝置隔離;專網(wǎng)(電力應(yīng)用專網(wǎng)VPN)越過DMZ區(qū)(隔離區(qū))，通過防火墻接入，實現(xiàn)與信息外網(wǎng)通訊，信息外網(wǎng)與信息內(nèi)網(wǎng)通過安全接入網(wǎng)關(guān)實現(xiàn)安全接入。

 

b.內(nèi)外互動：所有應(yīng)用部署分信息內(nèi)網(wǎng)部署和信息外網(wǎng)部署，移動作業(yè)、控制類的涉及敏感數(shù)據(jù)的互動服務(wù)部署在信息內(nèi)網(wǎng)，普通互動服務(wù)部署在信息外網(wǎng)。

 

c.通信方式：電力專網(wǎng)(包括電力應(yīng)用專網(wǎng)VPN)、互聯(lián)網(wǎng)(家庭寬帶)、2G/3G/4G無線公網(wǎng)無線專網(wǎng)(VPN)、電力載波(PLC)、RS485、Zigbee、RFID、其它無線等。

 

2 雙向互動服務(wù)安全防護(hù)需求分析

 

從網(wǎng)絡(luò)邊界安全防護(hù)、網(wǎng)絡(luò)環(huán)境安全防護(hù)、主站和終端設(shè)備的主機(jī)安全防護(hù)、業(yè)務(wù)應(yīng)用系統(tǒng)安全防護(hù)等四個方面提出雙向互動服務(wù)的安全防護(hù)需求。

 

(1)網(wǎng)絡(luò)邊界安全防護(hù)需求

 

雙向互動服務(wù)需要對信息數(shù)據(jù)的流入流出建設(shè)相應(yīng)的邊界安全防范措施(如防火墻系統(tǒng))和數(shù)據(jù)的入侵檢測系統(tǒng)。由于雙向互動服務(wù)平臺中屬于企業(yè)信息網(wǎng)絡(luò)的管理大區(qū)，同生產(chǎn)大區(qū)之間應(yīng)該實現(xiàn)邏輯隔離，但管理大區(qū)和生產(chǎn)大區(qū)之間要相互交換數(shù)據(jù)，所以在網(wǎng)絡(luò)大區(qū)之間應(yīng)建設(shè)安全隔離與信息交換設(shè)備，如隔離網(wǎng)閘。

 

(2)網(wǎng)絡(luò)環(huán)境安全防護(hù)需求

 

需要針對雙向互動服務(wù)的整個網(wǎng)絡(luò)環(huán)境建立完整的網(wǎng)絡(luò)環(huán)境安全防護(hù)手段。網(wǎng)絡(luò)環(huán)境安全防護(hù)需要對系統(tǒng)中的組網(wǎng)方式、網(wǎng)絡(luò)設(shè)備以及經(jīng)過網(wǎng)絡(luò)傳輸?shù)臉I(yè)務(wù)信息流進(jìn)行安全控制措施設(shè)計。

 

針對黑客入侵的威脅，需要增加入侵檢測系統(tǒng)，以防止黑客的威脅和及時發(fā)現(xiàn)入侵;需要對病毒及惡意代碼的威脅建立相應(yīng)的安全措施。

 

(3)主站和終端設(shè)備主機(jī)安全防護(hù)需求

 

需要對操作系統(tǒng)和數(shù)據(jù)庫的漏洞增加相應(yīng)的安全防范措施，對主站和終端設(shè)備提供防竊、防破壞、用電安全的措施。為滿足數(shù)據(jù)終端存儲和系統(tǒng)訪問控制、終端設(shè)備網(wǎng)絡(luò)安全認(rèn)證、數(shù)據(jù)加解密等安全需求，可使用安全認(rèn)證芯片所提供的密碼服務(wù)功能，保障主站與終端設(shè)備的安全。

 

(4)業(yè)務(wù)應(yīng)用安全防護(hù)需求

 

業(yè)務(wù)應(yīng)用系統(tǒng)安全防護(hù)需求應(yīng)從使用安全和數(shù)據(jù)安全兩個層面進(jìn)行描述。

 

1)系統(tǒng)使用安全需求。該項需求包括管理規(guī)章、系統(tǒng)備份、密碼管理、測試及運行、操作記錄等方面安全需求。

 

2)系統(tǒng)數(shù)據(jù)安全需求。該項需求包括系統(tǒng)數(shù)據(jù)、用戶身份數(shù)據(jù)、傳輸數(shù)據(jù)、交易數(shù)據(jù)、終端數(shù)據(jù)等安全需求。

 

3 雙向互動服務(wù)安全防護(hù)方案

 

雙向互動服務(wù)安全防護(hù)方案應(yīng)該基于上述物理架構(gòu)，從邊界防護(hù)、網(wǎng)絡(luò)安全防護(hù)、主機(jī)安全防護(hù)、應(yīng)用與數(shù)據(jù)安全防護(hù)等四個方面進(jìn)行設(shè)計，具體如下所示：

 

(1)邊界防護(hù)。1)橫向網(wǎng)絡(luò)邊界：橫向域間邊界安全防護(hù)是針對各安全域間的通信數(shù)據(jù)流傳輸所制定的安全防護(hù)措施，各系統(tǒng)跨安全域進(jìn)行數(shù)據(jù)交換時應(yīng)當(dāng)采取適當(dāng)?shù)陌踩雷o(hù)措施以保證所交換數(shù)據(jù)的安全。2)縱向網(wǎng)絡(luò)邊界：信息內(nèi)網(wǎng)縱向上下級單位邊界，此外，如果平級單位間有信息傳輸，也按照此類邊界進(jìn)行安全防護(hù)。3)第三方網(wǎng)絡(luò)邊界：信息內(nèi)網(wǎng)第三方邊界指信息內(nèi)網(wǎng)與其他第三方網(wǎng)絡(luò)連接所形成的網(wǎng)絡(luò)邊界，在雙向互動服務(wù)中指通過公網(wǎng)信道(GPRS、 CDMA)接入信息內(nèi)網(wǎng)的網(wǎng)絡(luò)邊界。

 

(2)網(wǎng)絡(luò)安全防護(hù)。網(wǎng)絡(luò)安全防護(hù)面向企業(yè)的整體支撐性網(wǎng)絡(luò)，以及為各安全域提供網(wǎng)絡(luò)支撐平臺的網(wǎng)絡(luò)環(huán)境設(shè)施，網(wǎng)絡(luò)環(huán)境具體包括網(wǎng)絡(luò)中提供連接的路由、交換設(shè)備及安全防護(hù)體系建設(shè)所引入的安全設(shè)備、網(wǎng)絡(luò)基礎(chǔ)服務(wù)設(shè)施。

 

(3)主機(jī)安全防護(hù)。雙向互動服務(wù)的主機(jī)安全防護(hù)主要包括系統(tǒng)服務(wù)器及用戶計算機(jī)終端的安全防護(hù)。服務(wù)器主要包括數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、網(wǎng)絡(luò)服務(wù)器、WEB服務(wù)器、文件與通信服務(wù)器、接口服務(wù)器等。計算機(jī)終端包括各地市供電公司遠(yuǎn)程工作站、省級公司工作站的臺式機(jī)與筆記本計算機(jī)等。

 

(4)應(yīng)用數(shù)據(jù)安全防護(hù)。應(yīng)用安全防護(hù)包括對于主站應(yīng)用系統(tǒng)本身的防護(hù)，用戶接口安全防護(hù)、系統(tǒng)間數(shù)據(jù)接口的安全防護(hù)、系統(tǒng)內(nèi)數(shù)據(jù)接口的安全防護(hù)。應(yīng)用安全防護(hù)的目標(biāo)是通過采取身份認(rèn)證、訪問控制等安全措施，保證應(yīng)用系統(tǒng)自身的安全性，以及與其他系統(tǒng)進(jìn)行數(shù)據(jù)交互時所傳輸數(shù)據(jù)的安全性;采取審計措施在安全事件發(fā)生前發(fā)現(xiàn)入侵企圖或在安全事件發(fā)生后進(jìn)行審計追蹤。

 

4 結(jié)論

 

用戶是電力系統(tǒng)服務(wù)的最終對象，隨著智能電網(wǎng)的發(fā)展，對于用戶側(cè)信息互動平臺的研究越來越多。傳統(tǒng)的信息安全防護(hù)技術(shù)已經(jīng)不能滿足電力系統(tǒng)的安全需求，面對用戶側(cè)雙向互動功能安全防護(hù)的問題，本文闡述了雙向互動服務(wù)平臺物理架構(gòu)，分析了雙向互動服務(wù)的安全防護(hù)需求，并由此提供了一套可靠的解決方案，為雙向互動服務(wù)信息安全提供了有力支撐和保障。

信息安全服務(wù)范文4

1 信息系統(tǒng)安全概述

信息安全是指信息系統(tǒng)中的硬件、軟件、網(wǎng)絡(luò)、數(shù)據(jù)等受到保護(hù)，不因偶然的或故意的原因而遭到刪除、更改、泄露等，系統(tǒng)連續(xù)正常地運行，信息系統(tǒng)的服務(wù)不中斷[1]。信息系統(tǒng)安全問題主要存在于硬件環(huán)境、軟件、系統(tǒng)配置、用戶管理等多個層面，具有動態(tài)性、時效性、復(fù)雜性、隱蔽性、多樣性等特征，其內(nèi)容主要包括信息的機(jī)密性、完整性和可用性三個方面。機(jī)密性是指重要信息不被泄露，不被非授權(quán)的組織、個人和計算機(jī)程序使用；完整性是指信息不被篡改或破環(huán)，保證信息的真實性，否則，一旦信息被篡改或破壞，將帶來嚴(yán)重的后果；可用性是指合法用戶或程序可以及時、正常地使用信息。圖書館信息系統(tǒng)主要包括館藏書目數(shù)據(jù)、讀者信息、各種數(shù)據(jù)庫、圖書館自動化系統(tǒng)、圖書館自建的特色數(shù)據(jù)等，其中很多數(shù)據(jù)已經(jīng)接入廣域網(wǎng)。圖書館信息系統(tǒng)是圖書館幾年甚至是十幾年工作的積累，一旦遭到破壞，損失將會非常慘重，甚至?xí)斐烧麄€圖書館工作的癱瘓。因此，圖書館對安全問題必須要有足夠的認(rèn)識和重視，積極采取有效的對策，保障信息系統(tǒng)的保密性、完整性、可用性等，促進(jìn)圖書館信息系統(tǒng)持續(xù)健康發(fā)展。

2 影響圖書館信息系統(tǒng)安全的主要因素

2.1 信息系統(tǒng)的硬件及軟件環(huán)境

硬件環(huán)境包括系統(tǒng)所處的外界環(huán)境、硬件設(shè)備安全等。圖書館機(jī)房應(yīng)有合適的、符合規(guī)定的工作溫度、溫度、穩(wěn)定的供電系統(tǒng)、可靠的不間斷電源等，以保證系統(tǒng)安全運行。硬件設(shè)備安全主要包括硬件的材料、集成電路與總線設(shè)計、制作工藝、電磁輻射、信號屏蔽、設(shè)備安裝等方面。硬件存在缺陷可直接影響其使用壽命和信息信息系統(tǒng)的安全，甚至造成信息系統(tǒng)不可修復(fù)的物理損毀。因此，在購買硬件設(shè)備時，一定要把好質(zhì)量關(guān)，為信息系統(tǒng)安全打下基礎(chǔ)。

軟件系統(tǒng)環(huán)境主要包括操作系統(tǒng)、應(yīng)用軟件及數(shù)據(jù)庫設(shè)計等方面。操作系統(tǒng)控制和管理系統(tǒng)所有硬件和軟件資源，是計算機(jī)操作的核心，技術(shù)人員要對每種操作系統(tǒng)的特點有充分的了解，尤其是每種操作系統(tǒng)存在的漏洞要引起重視，在服務(wù)器上選用適合本館的操作系統(tǒng)。圖書館管理信息系統(tǒng)是圖書館主要的應(yīng)用軟件之一，目前的各種管理系統(tǒng)在設(shè)計與使用中都有不同程度的缺陷，一旦被人非法利用，將會對系統(tǒng)安全造成重大威脅。因此對軟件存在的Bug，要及時打補丁，更新版本。在數(shù)據(jù)庫軟件方面，應(yīng)重視用戶授權(quán)、身份識別、訪問控制、數(shù)據(jù)加密等安全問題，目前常用的ORACLE、SQL等都具有較高的可靠性與安全性。

2.2 信息系統(tǒng)遭受攻擊

黑客主要是利用計算機(jī)網(wǎng)絡(luò)軟硬件的漏洞、缺陷以及操作者的專業(yè)知識不足等攻擊信息系統(tǒng)，主要有植入病毒、木馬、口令入侵、虛假網(wǎng)頁、發(fā)送大量垃圾郵件、攻擊計算機(jī)系統(tǒng)的安全漏洞等方式。病毒具有破壞性、復(fù)制性和傳染性，一旦感染病毒很容易造成數(shù)據(jù)丟失、系統(tǒng)崩潰等；信息系統(tǒng)中一旦被植入了木馬，非授權(quán)人員可遠(yuǎn)程控制計算機(jī)，而且非常隱蔽，很難被發(fā)現(xiàn)。口令入侵是通過利用目的主機(jī)某些合法的賬號或口令，實施攻擊。黑客可以向用戶發(fā)送某些已經(jīng)修改過的網(wǎng)頁，當(dāng)用戶瀏覽惡意網(wǎng)頁的時候，網(wǎng)頁就會自動向黑客的服務(wù)器發(fā)出請求，黑客就可以利用這些惡意網(wǎng)頁欺騙用戶。攻擊者可向目標(biāo)的郵箱發(fā)送大量垃圾郵件，導(dǎo)致郵箱無法正常運行和使用。有的攻擊者利用操作系統(tǒng)或應(yīng)用軟件本身具有安全漏洞，特別準(zhǔn)備攻擊字符，達(dá)到訪問計算機(jī)的根目錄的目的，甚至能掌握圖書館網(wǎng)絡(luò)的絕對控制權(quán)。

3 圖書館信息系統(tǒng)安全應(yīng)對策略

要解決信息系統(tǒng)的安全問題，必須建立一支高素質(zhì)的信息安全維護(hù)隊伍，加強對技術(shù)人員的培訓(xùn)，努力學(xué)習(xí)先進(jìn)的技術(shù)，做到與時俱進(jìn)，能夠隨時解決信息系統(tǒng)中的安全問題。還應(yīng)該規(guī)范各種規(guī)章制度，并嚴(yán)格執(zhí)行，做到對不同的工作人員明確定義其工作職責(zé)，能在出現(xiàn)問題時找到第一責(zé)任人；要做到嚴(yán)把權(quán)限關(guān)，圖書館工作人員的帳號密碼要妥善保管，嚴(yán)防機(jī)密文件被隨意訪問；要制定清晰完善的操作流程，規(guī)范計算機(jī)網(wǎng)絡(luò)的應(yīng)用和操作。以下重點從技術(shù)角度來分析信息系統(tǒng)安全問題的應(yīng)對策略：

3.1 數(shù)據(jù)備份

數(shù)據(jù)是圖書館信息系統(tǒng)中最重要的部分，軟硬件故障及病毒、木馬等都可能造成數(shù)據(jù)的破壞、丟失，建立并嚴(yán)格執(zhí)行數(shù)據(jù)備份與恢復(fù)制度是信息系統(tǒng)安全保障的基本要求。圖書館信息系統(tǒng)中數(shù)據(jù)備份應(yīng)做到及時、準(zhǔn)確、完整。常用的備份策略主要有三種：完全備份、增量備份和差分備份，不同的圖書館可以根據(jù)實際情況來選擇相應(yīng)的備份策略。備份的數(shù)據(jù)還應(yīng)注意進(jìn)行恢復(fù)測試，保證在需要恢復(fù)時能夠完整準(zhǔn)確地恢復(fù)。

3.2 防火墻技術(shù)

防火墻是建立在被保護(hù)網(wǎng)絡(luò)和外網(wǎng)之間的一道屏障，依照某種特定的規(guī)則，允許或限制網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸，盡可能地屏蔽外部非法入侵，具有很好的保護(hù)作用，在很大程度上防止了受保護(hù)網(wǎng)絡(luò)受到黑客的攻擊[2]，但是防火墻無法阻攔網(wǎng)絡(luò)內(nèi)部的非法操作。防火墻的類型主要有網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻，圖書館可根據(jù)具體情況進(jìn)行配置，以維護(hù)信息系統(tǒng)的安全運行。

3.3 防病毒技術(shù)

安裝正版殺毒軟件并定期升級，開啟殺毒軟件的實時監(jiān)控程序；從網(wǎng)上下載軟件要慎重，選擇信譽較好的大型網(wǎng)站下載；下載的軟件在安裝之前要先進(jìn)行查毒；來歷不明的電子郵件不要隨意打開，防止病毒郵件感染計算機(jī)；不要瀏覽非法網(wǎng)站等；定期用殺毒軟件進(jìn)行全盤掃描；該升級和打補丁的軟件要及時升級和打補丁；在插U盤或光盤的時候，先進(jìn)行查毒。通過以上措施，基本上可以預(yù)防病毒和木馬。

3.4 訪問控制技術(shù)

訪問控制技術(shù)是指用戶在進(jìn)入系?y時，先要進(jìn)行身份識別，獲得合法性之后，方可登錄系統(tǒng)，主要目的是防止非法用戶進(jìn)入[3]。身份識別的技術(shù)主要有用戶口令、密鑰、用戶識別卡（光卡、磁卡等）、體貌特征（含指紋、簽字等）等。信息系統(tǒng)管理者對不同的用戶設(shè)置不同的訪問權(quán)限，定義可使用的系統(tǒng)功能和資源，防止權(quán)限濫用。

信息安全服務(wù)范文5

一、加強知識產(chǎn)權(quán)的保護(hù)

（一）培養(yǎng)知識產(chǎn)權(quán)保護(hù)意識

數(shù)字檔案館可通過培訓(xùn)、講座和BBS討論等方式來向檔案館工作人員和咨詢用戶傳授與知識產(chǎn)權(quán)保護(hù)相關(guān)的法律知識，增強其知識產(chǎn)權(quán)保護(hù)意識，減少數(shù)字檔案館服務(wù)過程中知識產(chǎn)權(quán)侵權(quán)問題的發(fā)生。

（二）加強立法保護(hù)

目前，我國在網(wǎng)絡(luò)知識產(chǎn)權(quán)的專門立法及網(wǎng)絡(luò)作品的法律保護(hù)方面還很薄弱，只有一些相關(guān)的法規(guī)可供借鑒，如《互聯(lián)網(wǎng)著作權(quán)行政保護(hù)辦法》、《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》、《著作權(quán)法及實施條例》、《專利法及實施條例》等。雖然這些法規(guī)條例對于網(wǎng)絡(luò)信息環(huán)境的有序化、法制化起到了很好的規(guī)范作用，但我國還應(yīng)不斷完善相應(yīng)的法制環(huán)境，借鑒國際上網(wǎng)絡(luò)知識產(chǎn)權(quán)立法的成功經(jīng)驗和通行慣例，加快我國網(wǎng)絡(luò)信息環(huán)境的知識產(chǎn)權(quán)立法，建立完整的法律保障體系。

（三）完善數(shù)字檔案館工作制度

檔案利用既要符合檔案法律法規(guī)，又要符合知識產(chǎn)權(quán)法律法規(guī)。目前，檔案法律法規(guī)同知識產(chǎn)權(quán)法律法規(guī)之間確實存在著相互協(xié)調(diào)的問題，《檔案法實施辦法》規(guī)定“利用、公布檔案，不得違反國家有關(guān)知識產(chǎn)權(quán)保護(hù)的法律規(guī)定”。因此，對于現(xiàn)行檔案法律法規(guī)，有必要認(rèn)真進(jìn)行清理，將那些與知識產(chǎn)權(quán)法律法規(guī)有沖突的條款加以修訂，使數(shù)字檔案館避免不必要的知識產(chǎn)權(quán)糾紛。

二、把握信息服務(wù)的尺度

各國版權(quán)法都在不同程度上賦予數(shù)字檔案館對信息資源“合理使用”的權(quán)利，以保證最大限度地實現(xiàn)信息資源的利用與共享。數(shù)字化信息資源的合理使用應(yīng)以其知識產(chǎn)權(quán)保護(hù)為基礎(chǔ)，傳播信息應(yīng)以取得權(quán)利人的授權(quán)許可為前提，以免造成對知識產(chǎn)權(quán)的侵犯。數(shù)字檔案館要努力營造尊重知識產(chǎn)權(quán)的環(huán)境，澄清服務(wù)中使用的各項資源的知識產(chǎn)權(quán)問題，把握好尺度，遵循“合理使用”限定的范圍、權(quán)限。

三、慎重對待超文本鏈接

在超文本鏈接設(shè)鏈時，應(yīng)提倡使用正當(dāng)鏈接，即使用外鏈方式直接鏈接到他人的網(wǎng)站首頁，注意保護(hù)被鏈網(wǎng)頁的完整性，少用容易引起侵權(quán)糾紛的內(nèi)鏈方式。在網(wǎng)頁中，設(shè)鏈要慎用加框鏈接，如果必須使用，應(yīng)事先取得被鏈接者的許可，避免發(fā)生版權(quán)糾紛。對于其他網(wǎng)站不正當(dāng)鏈接，可采取ASP技術(shù)，使其他網(wǎng)站的任何鏈接必須首先鏈接到首頁后才能進(jìn)一步鏈接，以保證網(wǎng)站網(wǎng)頁的完整性。DRS中所提供的鏈接服務(wù)若涉及侵權(quán)作品，在收到著作權(quán)人要求停止鏈接時，有義務(wù)采取積極措施，立即移除，制止侵權(quán)行為繼續(xù)發(fā)生。只要在版權(quán)人提出侵權(quán)通知后及時采取移除措施，就不會承擔(dān)連帶責(zé)任。

四、強化參考源知識產(chǎn)權(quán)保護(hù)

（一）加強參考源的知識產(chǎn)權(quán)立法

加強數(shù)字檔案館參考源立法，盡快建立適當(dāng)?shù)膮⒖荚幢Ｗo(hù)制度，為數(shù)字檔案館信息活動提供法律保護(hù)。在制定數(shù)字檔案館數(shù)據(jù)制度時，應(yīng)遵循穩(wěn)定性、銜接性、前瞻性和立法主動原則，結(jié)合我國的實際情況，在充分借鑒國際先進(jìn)經(jīng)驗的基礎(chǔ)上，制定中國特色的參考源知識產(chǎn)權(quán)保護(hù)的法律，既充分保護(hù)著作權(quán)人的合法利益，又給予參考源投資者一定的鼓勵，從而促進(jìn)社會信息產(chǎn)業(yè)和數(shù)字檔案館的良好發(fā)展及多元服務(wù)。

（二）建立和完善法定許可制度

法定許可使用是除合理使用以外的另一種對權(quán)利人的權(quán)利加以限制的形式。它是指根據(jù)法律的直接規(guī)定，以特定的方式使用已發(fā)表的作品，雖不需著作權(quán)人的許可，但應(yīng)向著作權(quán)人支付使用費，并尊重著作權(quán)人的其他權(quán)利的制度。著作權(quán)制度的核心是通過適度保護(hù)作者依法享有的經(jīng)濟(jì)權(quán)利與精神權(quán)利，禁止或限制不勞而獲，從而激勵知識創(chuàng)新和知識擴(kuò)散活動，平衡作者利益與社會公眾利益之間的關(guān)系。法定許可制度有利于促進(jìn)數(shù)字檔案館的發(fā)展。

五、數(shù)字檔案館的知識產(chǎn)權(quán)相關(guān)聲明

在知識產(chǎn)權(quán)不成熟的環(huán)境中，采用與知識產(chǎn)權(quán)相關(guān)的聲明。如著作權(quán)聲明、合理使用聲明、用戶須知聲明、免責(zé)聲明，能規(guī)避侵權(quán)風(fēng)險，減少甚至豁免侵權(quán)責(zé)任。大多數(shù)數(shù)字檔案館都有相關(guān)聲明，其中采用用戶須知聲明的形式最為普遍，即在用戶須知的條例中大致列有數(shù)字檔案館服務(wù)范圍、方式及用戶使用檔案館資源的合理限制。

六、優(yōu)化技術(shù)支持

數(shù)字檔案館的正常運行最終要依賴于技術(shù)。根據(jù)不同類型的數(shù)字化信息資源，如不在著作權(quán)保護(hù)期內(nèi)的作品、公有領(lǐng)域的作品、受版權(quán)保護(hù)的作品，或購置的各種數(shù)據(jù)庫等，都應(yīng)按有關(guān)規(guī)定，采用不同的技術(shù)手段實現(xiàn)其知識產(chǎn)權(quán)保護(hù)。目前，有以下幾種方法對知識產(chǎn)權(quán)保護(hù)提供技術(shù)支持：一是加強權(quán)限設(shè)置，合法用戶可通過口令訪問，或通過IP地址設(shè)置，限定某IP網(wǎng)段的用戶可以訪問。二是在網(wǎng)絡(luò)傳輸過程中采用加密與數(shù)字簽名技術(shù)，防止網(wǎng)絡(luò)信息在傳輸時被竊取或破壞。三是采用數(shù)字水印技術(shù)，使用戶只能在屏幕上閱讀。一旦該文本被復(fù)制，則該水印會在文本中央明顯地顯示版本信息；要想正常閱讀、復(fù)制文本，用戶只有向作者申請合法使用。四是CA認(rèn)證技術(shù)，用戶可通過向版權(quán)控制機(jī)構(gòu)申請獲得CA證書，成為合法用戶，才可以正常使用。

信息安全服務(wù)范文6

論文關(guān)鍵詞：政府；信息安全；信息安全人事管理

隨著我國信息化建設(shè)的不斷推進(jìn)以及電子政務(wù)的持續(xù)發(fā)展，政府信息安全事故也頻頻發(fā)生。

資料表明，七成以上的政府信息安全事故是由政府內(nèi)部相關(guān)工作人員引發(fā)的?？梢?，在信息安全事件中起決定作用的是人，人是信息安全保障T作中最活躍的因素。信息安全人事管理是指以現(xiàn)代人力資源管理理論為基礎(chǔ)，從招聘選拔、人員培訓(xùn)、人員使用、績效考核、人員激勵、離職管理等主要職能人手，對組織中信息安全人員進(jìn)行科學(xué)管理、合理配置和有效開發(fā)，籍以實現(xiàn)組織信息安全管理目標(biāo)的活動。信息安全人事管理是信息安全管理的核心。作為信息安全保障的一個關(guān)鍵要素，信息安全人事管理的強化實施可以為政府搭建起一道牢固的“人力防火墻”。本文將現(xiàn)代人力資源管理相關(guān)理論與信息安全工作特點結(jié)合起來，發(fā)掘與提煉信息安全人事管理各主要職能具有特殊性與規(guī)律性的實務(wù)要點，以期為有關(guān)方面提供借鑒和參考。

一、信息安全人員招募與選拔

招募與選拔是政府信息安全人員的“入口”，直接影響到信息安全工作的質(zhì)量和效率。信息安全人員的招募與選拔實務(wù)應(yīng)該把握以下要點：

1．從招募與選拔的標(biāo)準(zhǔn)上看，突出對個人品德及專業(yè)知識的要求。信息安全工作具有保密性、綜合性、層次性和規(guī)范性等特點，進(jìn)而決定了信息安全從業(yè)人員具有諸多特殊性及要求：他們在工作中會接觸到關(guān)系國家及組織榮辱興衰、生死存亡的大量秘密，保守秘密是他們的基本職業(yè)道德；他們必須不斷學(xué)習(xí)，對自己的知識與能力進(jìn)行“升級”，才能適應(yīng)信息時代信息安全工作的需要；他們必須遵守更多的規(guī)定，而且在組織中具有明確的職責(zé)，不能越雷池半步。這些都表明，信息安全人員必須具有更高的品德修養(yǎng)。這對應(yīng)聘者提出更高的標(biāo)準(zhǔn)及要求：必須具有很強的組織紀(jì)律性和保密意識；具有很強的團(tuán)隊意識和合作精神，愿意為組織利益犧牲個人利益；具有長遠(yuǎn)眼光和接納新事物的胸懷，不斷更新自身素質(zhì)。組織可以通過面試、心理測驗、背景審查等選拔方式考察應(yīng)聘者的德行。此外，管理與技術(shù)是做好信息安全工作的兩大法寶，因此是否具備一定的信息安全管理與技術(shù)專業(yè)知識是信息安全人員招聘的另外一個主要標(biāo)準(zhǔn)。組織可以通過筆試來考察應(yīng)聘者專業(yè)知識掌握的程度，并根據(jù)職位的不同定位來確定不同的考察重點。

2．從招募的途徑上看，在內(nèi)部招募和外部招募相結(jié)合的基礎(chǔ)上，突出內(nèi)部招募。內(nèi)部招募是指從組織內(nèi)部發(fā)現(xiàn)并培養(yǎng)所需要的各種人才，其方式包括內(nèi)部晉升、崗位輪換和返聘等；外部招募是指按照一定的標(biāo)準(zhǔn)和程序，從組織外部的眾多候選人中挑選符合空缺職位要求的人員，其方式包括人才招聘會與校園招聘等。內(nèi)部招募和外部招募各有優(yōu)劣，兩者結(jié)合起來可使招募效果最大化。由于信息安全工作的保密性要求，信息安全人員招募一般突出依賴內(nèi)部招募，這主要是為了人員安全可靠的考慮，確保信息安全人員的穩(wěn)定性。信息安全關(guān)鍵或領(lǐng)導(dǎo)職位出現(xiàn)空缺尤為如此。不過，由于當(dāng)前我國政府信息安全人才仍舊匱乏，所以當(dāng)內(nèi)部招募滿足不了組織用人需求時也適當(dāng)考慮外部招募。招募非關(guān)鍵性信息安全人員時尤為如此。

3．從選拔的過程上看，尤為重視背景審查和保密協(xié)議簽訂兩個環(huán)節(jié)。一般單位選拔人員可能也進(jìn)行背景審查，但不一定是必須的，或者審查的過程與結(jié)果不一定非常嚴(yán)格與仔細(xì)。與之不同的是，信息安全人員的選拔尤為重視背景審查這個環(huán)節(jié)。該環(huán)節(jié)不僅不可或缺，而且在審查的時間、內(nèi)容、過程、結(jié)果等方面比一般人員審查有更高的要求。其意義在于保證信息安全人員招聘的準(zhǔn)確性與可靠性，并在“人口”或“源頭”上控制信息安全人事風(fēng)險。例如，美國中央情報局聯(lián)邦調(diào)查局等部門在選拔關(guān)鍵涉密人員過程中經(jīng)常采用“心理測謊術(shù)”等高科技手段來對候選人進(jìn)行審查，以確定候選人的誠實度、心理健康度或意志力等。此外，一旦候選人接受了工作，錄用合同就成為重要的安全手段。在合同中，組織可以將“政策認(rèn)可”作為招聘的一個基本要求即在合同中附上一個保密協(xié)議，要求候選人在將來的工作甚至離職后的一段時間中，必須遵守組織相關(guān)保密規(guī)定，擔(dān)負(fù)起保障組織信息安全的責(zé)任，否則就會

二、信息安全人員培訓(xùn)

信息安全人員培訓(xùn)是通過各種方式幫助信息安全人員習(xí)得相關(guān)的知識、技能、觀念和態(tài)度的學(xué)習(xí)過程以及開發(fā)其潛能的各種活動。其實務(wù)要點包括：

1．從培訓(xùn)原則看，堅持保密性原則和適時性原則。保密性原則是指信息安全人員的培訓(xùn)要做好保密工作，特別是對于培訓(xùn)內(nèi)容、時間和地點等，不可隨意泄露，以免引起不必要的麻煩。此外，適時性原則主要是為了順應(yīng)當(dāng)前信息安全科技發(fā)展迅猛、更新?lián)Q代速度加快而提出來的。信息安全人員培訓(xùn)只有遵循適時性原則，才能使信息安全人員跟蹤本領(lǐng)域科技發(fā)展最新動態(tài)，掌握最先進(jìn)的知識與技能，以防止思想觀念陳舊與知識技能老化。

2．從培訓(xùn)內(nèi)容看，側(cè)重于信息安全意識與信息安全知識與技能培訓(xùn)。高度的信息安全意識是信息安全人員必須具備的基本素質(zhì)。信息安全意識貫穿于員工工作的始終，但是工作時間越長員工大多會出現(xiàn)倦怠，信息安全意識便會降低逐漸放松警惕，信息安全風(fēng)險隨之倍增，所以加大信息安全意識培訓(xùn)力度勢在必行。政府可以使用各種媒介進(jìn)行宣傳，包括鼠標(biāo)墊、水杯、鋼筆或在工作期間經(jīng)常使用的任何物體上，在這些物體上印制上安全標(biāo)語，用來提醒員工注意安全如在鼠標(biāo)墊上印上“BeSafe：Think BethreYouClick”，使信息安全人員在每天工作時都最先考慮信息安全，樹立自覺維護(hù)信息安全的意識。此外，信息安全行業(yè)的綜合性使得組織必須根據(jù)學(xué)用一致的原則，加強對信息安全人員進(jìn)行信息安全知識與技能的培訓(xùn)。只有不斷給員工“輸入”新觀念、新知識與新技術(shù)，使其掌握信息安全的基本原理、要求和慣例，才能提高其技術(shù)與管理水平。

三、信息安全人員使用

信息安全人員使用是指組織通過各種人事政策，促使信息安全人員與信息安全工作兩者之間實現(xiàn)“人事相宜”、“人職匹配”等，以保障組織信息安全。信息安全人員使用實務(wù)要點是：

1．堅持責(zé)任分離和可監(jiān)控原則。責(zé)任分離是一種控制機(jī)制，用來減少一個人破壞信息安全，

威脅到信息的機(jī)密性、完整性和可用性的機(jī)會。其具體要求是：(1)明確信息安全系統(tǒng)中每個人的職責(zé)，要求“誰管理，誰負(fù)責(zé)”；(2)關(guān)鍵崗位的人員不得再兼任其他職位，嚴(yán)格控制使用兼職人員；(3)避免一個人從事某項信息安全行為或保管組織所有安全信息；(4)堅持崗位輪換原則，確保一個員工的工作有另一個員工進(jìn)行審核；(5)重要的任務(wù)有兩人以上共同完成。此外，可監(jiān)控原則是對責(zé)任分離原則的量化，使組織能夠?qū)π畔踩藛T的工作內(nèi)容進(jìn)行監(jiān)督，進(jìn)行明確的審查。其具體要求包括：每位員工對所有的相關(guān)操作做好記錄，以便核查；重要的更改活動如更改配置，更新信息系統(tǒng)等，必須按層級權(quán)限申報，獲得批準(zhǔn)后方可實施；沒有日期、沒有內(nèi)容、沒有人簽署而無法追查的活動，必須嚴(yán)格禁止。而且，由于員工非工作時間的種種表現(xiàn)也會影響信息安全，因此除了對員工在工作時間的表現(xiàn)進(jìn)行監(jiān)督，還必須掌握其非工作時間的一些異常表現(xiàn)。

2．防范信息安全人事風(fēng)險。信息安全人事風(fēng)險是指由于組織內(nèi)信息安全人員的行為偏離組織期望和目標(biāo)或違背客觀規(guī)律、越軌等給組織信息安全造成的損失或危害。它主要是由于信息安全人員的使用不當(dāng)而導(dǎo)致破壞計算機(jī)系統(tǒng)、越權(quán)處理公務(wù)等所造成的危害。人是信息安全中最活躍的因素，因此預(yù)防由人為因素導(dǎo)致的信息安全風(fēng)險是信息安全人事風(fēng)險防范的重中之重。政府可以采取以下措施防范信息安全人事風(fēng)險：首先通過培訓(xùn)等方式，提高信息安全人員對信息安全人事風(fēng)險的認(rèn)識，增強防范意識；其次，健全人事管理周邊制度，如督察制度、處理與反饋制度、懲罰制度、反饋制度等，以實現(xiàn)對信息安全人事風(fēng)險的全過程監(jiān)控。第，大力建設(shè)以人為本、誠實守信等有利于防范人事風(fēng)險的文化氛圍，提高信息安全人員的免疫力。

四、信息安全人員績效考核

信息安全人員績效考核是指按照事先確定的信息安全工作目標(biāo)及衡量標(biāo)準(zhǔn)，考察信息安全人員實際完成工作情況的過程。績效考核的結(jié)果是組織進(jìn)行人事決策的基本依據(jù)。信息安全人員績效考核是確保人員安全的有效手段，并可以幫助員工提高工作績效，促進(jìn)員工和組織共同發(fā)展。它包括以下實務(wù)要點：

1．從績效考核的原則上看，堅持重點考核與分級分類考核相結(jié)合。重點考核是指對于那些涉密程度深、安全等級高的關(guān)鍵崗位的人員定期進(jìn)行考核。其目的在于保證重點崗位的重要信息安全。分級分類考核是按照組織中對于安全保護(hù)等級的劃分，制定不同的考核方法，有針對性地進(jìn)行考核。2007年我國臺的《信息安全等級保護(hù)管理辦法》將信息安全分五級防護(hù)：第一級為自主保護(hù)級，第二級為指導(dǎo)保護(hù)級，第級為監(jiān)督保護(hù)級，第四級為強制保護(hù)級，第五級為專控保護(hù)級。很明顯，處于不同等級中的信息安全人員的職責(zé)與涉密程度是不一樣的，加上不同崗位上不同類型的人員，如系統(tǒng)主管人員、數(shù)據(jù)錄入人員、程序員等職責(zé)和要求也不同，岡此有必要遵循分級分類原則，避免“一刀切”的做法。

受到處罰。候選人只有在保密協(xié)議上簽字，承諾遵守相關(guān)政策，組織才能錄用。

二、信息安全人員培訓(xùn)

信息安全人員培訓(xùn)是通過各種方式幫助信息安全人員習(xí)得相關(guān)的知識、技能、觀念和態(tài)度的學(xué)習(xí)過程以及開發(fā)其潛能的各種活動。其實務(wù)要點包括：

1．從培訓(xùn)原則看，堅持保密性原則和適時性原則。保密性原則是指信息安全人員的培訓(xùn)要做好保密工作，特別是對于培訓(xùn)內(nèi)容、時間和地點等，不可隨意泄露，以免引起不必要的麻煩。此外，適時性原則主要是為了順應(yīng)當(dāng)前信息安全科技發(fā)展迅猛、更新?lián)Q代速度加快而提出來的。信息安全人員培訓(xùn)只有遵循適時性原則，才能使信息安全人員跟蹤本領(lǐng)域科技發(fā)展最新動態(tài)，掌握最先進(jìn)的知識與技能，以防止思想觀念陳舊與知識技能老化。

2．從培訓(xùn)內(nèi)容看，側(cè)重于信息安全意識與信息安全知識與技能培訓(xùn)。高度的信息安全意識是信息安全人員必須具備的基本素質(zhì)。信息安全意識貫穿于員工工作的始終，但是工作時間越長員工大多會出現(xiàn)倦怠，信息安全意識便會降低逐漸放松警惕，信息安全風(fēng)險隨之倍增，所以加大信息安全意識培訓(xùn)力度勢在必行。政府可以使用各種媒介進(jìn)行宣傳，包括鼠標(biāo)墊、水杯、鋼筆或在工作期間經(jīng)常使用的任何物體上，在這些物體上印制上安全標(biāo)語，用來提醒員工注意安全如在鼠標(biāo)墊上印上“BeSafe：Think BethreYouClick”，使信息安全人員在每天工作時都最先考慮信息安全，樹立自覺維護(hù)信息安全的意識。此外，信息安全行業(yè)的綜合性使得組織必須根據(jù)學(xué)用一致的原則，加強對信息安全人員進(jìn)行信息安全知識與技能的培訓(xùn)。只有不斷給員工“輸入”新觀念、新知識與新技術(shù)，使其掌握信息安全的基本原理、要求和慣例，才能提高其技術(shù)與管理水平。

三、信息安全人員使用

信息安全人員使用是指組織通過各種人事政策，促使信息安全人員與信息安全工作兩者之間實現(xiàn)“人事相宜”、“人職匹配”等，以保障組織信息安全。信息安全人員使用實務(wù)要點是：

1．堅持責(zé)任分離和可監(jiān)控原則。責(zé)任分離是一種控制機(jī)制，用來減少一個人破壞信息安全，

威脅到信息的機(jī)密性、完整性和可用性的機(jī)會。其具體要求是：(1)明確信息安全系統(tǒng)中每個人的職責(zé)，要求“誰管理，誰負(fù)責(zé)”；(2)關(guān)鍵崗位的人員不得再兼任其他職位，嚴(yán)格控制使用兼職人員；(3)避免一個人從事某項信息安全行為或保管組織所有安全信息；(4)堅持崗位輪換原則，確保一個員工的工作有另一個員工進(jìn)行審核；(5)重要的任務(wù)有兩人以上共同完成。此外，可監(jiān)控原則是對責(zé)任分離原則的量化，使組織能夠?qū)π畔踩藛T的工作內(nèi)容進(jìn)行監(jiān)督，進(jìn)行明確的審查。其具體要求包括：每位員工對所有的相關(guān)操作做好記錄，以便核查；重要的更改活動如更改配置，更新信息系統(tǒng)等，必須按層級權(quán)限申報，獲得批準(zhǔn)后方可實施；沒有日期、沒有內(nèi)容、沒有人簽署而無法追查的活動，必須嚴(yán)格禁止。而且，由于員工非工作時間的種種表現(xiàn)也會影響信息安全，因此除了對員工在工作時間的表現(xiàn)進(jìn)行監(jiān)督，還必須掌握其非工作時間的一些異常表現(xiàn)。

2．防范信息安全人事風(fēng)險。信息安全人事風(fēng)險是指由于組織內(nèi)信息安全人員的行為偏離組織期望和目標(biāo)或違背客觀規(guī)律、越軌等給組織信息安全造成的損失或危害。它主要是由于信息安全人員的使用不當(dāng)而導(dǎo)致破壞計算機(jī)系統(tǒng)、越權(quán)處理公務(wù)等所造成的危害。人是信息安全中最活躍的因素，因此預(yù)防由人為因素導(dǎo)致的信息安全風(fēng)險是信息安全人事風(fēng)險防范的重中之重。政府可以采取以下措施防范信息安全人事風(fēng)險：首先通過培訓(xùn)等方式，提高信息安全人員對信息安全人事風(fēng)險的認(rèn)識，增強防范意識；其次，健全人事管理周邊制度，如督察制度、處理與反饋制度、懲罰制度、反饋制度等，以實現(xiàn)對信息安全人事風(fēng)險的全過程監(jiān)控。第，大力建設(shè)以人為本、誠實守信等有利于防范人事風(fēng)險的文化氛圍，提高信息安全人員的免疫力。

四、信息安全人員績效考核

信息安全人員績效考核是指按照事先確定的信息安全工作目標(biāo)及衡量標(biāo)準(zhǔn)，考察信息安全人員實際完成工作情況的過程。績效考核的結(jié)果是組織進(jìn)行人事決策的基本依據(jù)。信息安全人員績效考核是確保人員安全的有效手段，并可以幫助員工提高工作績效，促進(jìn)員工和組織共同發(fā)展。它包括以下實務(wù)要點：

1．從績效考核的原則上看，堅持重點考核與分級分類考核相結(jié)合。重點考核是指對于那些涉密程度深、安全等級高的關(guān)鍵崗位的人員定期進(jìn)行考核。其目的在于保證重點崗位的重要信息安全。分級分類考核是按照組織中對于安全保護(hù)等級的劃分，制定不同的考核方法，有針對性地進(jìn)行考核。2007年我國臺的《信息安全等級保護(hù)管理辦法》將信息安全分五級防護(hù)：第一級為自主保護(hù)級，第二級為指導(dǎo)保護(hù)級，第級為監(jiān)督保護(hù)級，第四級為強制保護(hù)級，第五級為?？乇Ｗo(hù)級。很明顯，處于不同等級中的信息安全人員的職責(zé)與涉密程度是不一樣的，加上不同崗位上不同類型的人員，如系統(tǒng)主管人員、數(shù)據(jù)錄入人員、程序員等職責(zé)和要求也不同，岡此有必要遵循分級分類原則，避免“一刀切”的做法。

2．從績效考核的內(nèi)容上看，突出考核信息安全人員的道德品質(zhì)與工作事故情況，而且不僅考核工作時間內(nèi)的表現(xiàn)，也考核工作時間外的表現(xiàn)。一般的組織在員工進(jìn)行績效考核時，多依據(jù)“事后”的工作結(jié)果及業(yè)績，業(yè)績高則評價高，業(yè)績低則評價低。但是信息安全這一行業(yè)具有其特殊性，單純以“事后”的結(jié)果與業(yè)績作為考核標(biāo)準(zhǔn)，難免會在組織內(nèi)出現(xiàn)業(yè)績高、品德低以及不重視過程的人員，進(jìn)而存組織內(nèi)埋下安全隱患，因此應(yīng)突出考核信息安全人員在工作過程中所表現(xiàn)出來的道德品質(zhì)、心理素質(zhì)、忠誠度等。這些素質(zhì)是一個人的行為指向標(biāo)，決定一個人的行為方向，其一般標(biāo)準(zhǔn)是責(zé)任心強、遵守職業(yè)道德、具有進(jìn)取精神、作風(fēng)正派、遵紀(jì)守法等。而且，由于信息安全工作對安全性要求明顯，岡此還要突出考核信息安全人員存工作過程中是否能恪盡職守，有無工作事故的發(fā)生。另外，必須通過日常考核掌握信息安全工作人員工作時間外的表現(xiàn)，包括是否存在隨便與人交往問題，家庭關(guān)系是否和諧，生活作風(fēng)是否正常，以及非工作行為是否怪異等等。

3．從績效考核的期間看，以平時考核為主。信息安全人員的工作由于涉及到安全問題，因此不能像一般丁作人員那樣以年終考核為主，而應(yīng)突出平時考核以實現(xiàn)日常監(jiān)控，并達(dá)到天天、時時、秒秒不安全問題。基于此，信息安全人員績效考核可實施“月考”、“周考”，甚至“日考”，可以說，考核時間越短越有利于確保安全。安全問題無小事，若不重視平時考核，由此引發(fā)的哪怕是一眨眼功夫發(fā)生的事故，也有可能導(dǎo)致組織在安全上“功虧一簣”、“全盤皆輸”?？己酥芷诙屉m然做起來麻煩，但“安全問題高于一切”，只要有利于保障信息安全，工作上“麻煩”一點是值得的。

五、信息安全人員激勵

信息安全人員激勵的關(guān)鍵是調(diào)動工作積極性，激發(fā)信息安全人員的潛能去實現(xiàn)工作目標(biāo)，實務(wù)要點包括：

1．重視滿足歸屬、人際交往與尊重的需要。內(nèi)容型激勵理論認(rèn)為，組織滿足員工的歸屬、人際交往與尊重等需要可以激勵員工努力工作。而信息安全人員，特別是關(guān)鍵涉密人員的工作基本上是單調(diào)、枯燥、責(zé)任重大的，他們經(jīng)常需要長時間值班或加班，長期處于全封閉或半封閉式的環(huán)境中，在單位及花在工作上的時間要比常人多得多，生活及社交空間相對狹小，所以組織更要設(shè)法滿足其歸屬、人際交往與尊重的需要，而這主要依靠在單位及崗位上與領(lǐng)導(dǎo)或同事之間的相互溝通與關(guān)愛中得以實現(xiàn)。因此，組織必須創(chuàng)設(shè)關(guān)系融洽、和諧的工作氛圍，建立良好的上下級與同事關(guān)系，多關(guān)心、愛護(hù)、支持信息安全人員，以滿足他們歸屬等需要，激發(fā)他們的工作積極性。

2．強化目標(biāo)激勵。過程型激勵理論認(rèn)為，明確而可行的工作目標(biāo)可以牽引員工積極付出行動以實現(xiàn)目標(biāo)。由于信息安全工作責(zé)任重、壓力大，同時又相對封閉與單調(diào)，容易導(dǎo)致信息安全人員產(chǎn)生工作倦怠和目標(biāo)迷失等不良現(xiàn)象，進(jìn)而影響到他們職業(yè)發(fā)展與組織目標(biāo)的實現(xiàn)。對此，應(yīng)幫助信息安全人員樹立合理可行的工作目標(biāo)，特別要通過引導(dǎo)他們認(rèn)識到自己所從事工作的光榮與神圣，進(jìn)而激勵他們努力干好信息安全工作，以此獲得職業(yè)發(fā)展與心理滿足等。

六、信息安全人員離職管理