资产安全管理范文精选

随着宽带网络和用户规模的不断增长，用户对宽带接入业务的高可用性要求不断增强，对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手，结合电信IP城域网，提出电信IP城域网安全管理、风险评估和加固的实践方法建议。

关键字（Keywords）：

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1信息安全管理概述

普遍意义上，对信息安全的定义是“保护信息系统和信息，防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏，保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程，通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。

信息安全管理的本质，可以看作是动态地对信息安全风险的管理，即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408－1（信息安全风险管理和评估规则），给出了一个非常经典的信息安全风险管理模型，如下图一所示：

摘要：

随着宽带网络和用户规模的不断增长，用户对宽带接入业务的高可用性要求不断增强，对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手，结合电信IP城域网，提出电信IP城域网安全管理、风险评估和加固的实践方法建议。

关键字（Keywords）：

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1信息安全管理概述

普遍意义上，对信息安全的定义是“保护信息系统和信息，防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏，保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程，通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。

1信息安全事件回顾

2013年中国网民遇到的各种安全问题的整体发生率如图1所示。与2012年相比，2013年个人信息泄漏的比例有大幅的上升。从上图也可看出，虽然个人信息泄漏被作为一个单独项进行统计，但排在前三位的安全事件也是由个人信息的泄漏造成的。所以，综合来看，个人的信息泄漏事件不容小觑。在这些事件的背后我们看到的是人员信息安全意识的缺失，企业信息安全管理的不足。为了帮助企业和个人提高信息安全意识水平，2012年底某IT企业了《2012年度中国企业员工信息安全意识调查报告》，经过对被调查企业的管理层人员及普通员工的大量数据分析和统计，参与本次接受调查访问者的信息安全意识评价平均得分为77.48分。其中，受访者在移动存储介质安全方面的得分最高，为96.1分；在社会工程学信息安全方面的得分最低，为49.6分。因此，中国企业的信息安全意识依然有较大的提升空间。很多企业为保障企业数据信息安全，不惜花巨资投资购进防火墙、入侵检测、防病毒等网络安全产品。然而，企业内的安全事件远比管理者的预想更为复杂、更为宽泛，人员的误操作或无作为也会使这些工具失去其应有的作用。只有提高人员的安全意识和技能，才能真正使企业的信息安全设备发挥应有的作用。

2目前企业人员的信息安全管理主要存在的问题

（1）全体工作人员的信息安全意识不高；

（2）信息安全专业人员数量较少，工作流程不清晰；

（3）信息安全岗位职责划分模糊；

摘要：面对烟草行业网络安全工作的新形势、新变化和新要求，结合行业信息化发展的特点及和行业各单位信息化资产的应用情况，以行业“分级分域、整体保护、积极预防、动态管理”的总体安全方针为指导，以网络安全“双线思维”为目标要求，构建基于信息化资产的网络安全工作体系。该体系以信息资产为中心，以人和信息资产为管理对象，涵盖安全形势、政策体系、管理体系、技术体系、工作保障体系5项重点内容。网络安全工作体系的建立可以全面指导行业各单位开展网络安全工作，形成规范、有序、高效、全面的网络安全工作机制。

关键词：烟草行业网络安全；资产；体系

近年来，在信息化飞速发展的同时，网络安全形势也日趋严峻和复杂。国家、行业以及各级主管部门，对网络安全工作越来越重视，要求也越来越高。多次强调“网络安全与信息化是一体之两翼，驱动之双轮”，“没有网络安全就没有国家安全”。网络安全工作已上升到国家战略层面。因此网络安全工作，除了关系到企业的自身利益外，也具有一定的政治意义。面对当前网络安全工作的新形势、新变化和新要求，以及烟草行业本身的特殊性。必须理清网络安全工作的方方面面，形成一套相对完整的网络安全工作体系，才能把网络安全工作做的有条理、更全面、更轻省、见成效。

1构建基于网络安全工作体系的原因

（1）网络安全工作的本质是保护信息资产的安全。近些年网络安全工作的开展，基本上也是围绕信息化资产来开展的。如2014年开展的烟草行业信息系统全面梳理、全面诊断、全面加固整改情况专项检查工作，2015年烟草行业信息系统账号安全专项检查工作，2016年开展的烟草行业信息系统应用安全专项检查及同年开展的工控系统摸底调查，2017年业务信息系统风险调研都是围绕信息系统资产开展的工作。2018年开展的烟草行业网络安全检查。将检查范围扩大到信息系统、终端计算机、网络架构、安全产品的配备和使用情况、以及网络安全主体责任落实情况等方面，也都是围绕企业信息化资产进行；2019年开展的企业重要数据和个人信息梳理工作是围绕数据资产开展。即将于2019年出台的网络安全等级保护制度，所针对的对象也是信息系统、基础网络、云平台、物联网、大数据、移动平台等信息资产。由此可见网络安全一切工作的根本和中心就是信息化资产。（2）缺乏系统的网络安全工作体系来指导工作开展。网络安全近几年才开始重视，大多数企业网络安全工作都是处在初级阶段，网络安全管理体系、技术体系、工作保障体系等还没有完全建立起来。网络安全工作错综复杂，大多数情况下，很多企业只是在做好日常网络安全管理工作的同时，跟着上级主管部门的要求来开展各类工作，工作往往非常被动。若有相关工作体系来指导，网络安全工作的开展将会更加主动。做起事来不至于东一榔头西一棒槌，能够清楚的知道“做什么，怎么做，什么时候做，做的效果如何”。

2基于信息化资产的网络安全工作框架设计

【摘要】随着电力改革的不断推进、科学技术的快速发展，复杂大电网形势带来的一系列挑战日渐严峻，基于此，本文简单分析了复杂大电网下电力调度数据网面临的安全管理问题，并深入探讨了复杂大电网下电力调度数据网的安全管理模式，希望由此能够为相关业内人士带来一定启发。

【关键词】复杂大电网；电力调度数据网；安全管理

前言

近年来我国电力调度数据网的建设及应用不断深化，网络复杂度也随着其规模的增大、承载数量的增多出现了显著提高，但在复杂大电网的影响下，电力调度数据网的安全仍面临着多方面的威胁，如缺乏高水平的网络安全管理模式与数据网安全测试方法、安全设备配置不够等，而为了尽可能消除这类威胁，正是本文围绕复杂大电网下电力调度数据网安全管理模式开展具体研究的原因所在。

1复杂大电网下电力调度数据网面临的安全管理问题

1.1问题分析