信息安全事件報告

時間：2023-06-06 09:31:11

開篇：寫作不僅是一種記錄，更是一種創(chuàng)造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全事件報告，希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友，陪伴您不斷探索和進步。

第1篇

［關(guān)鍵詞］數(shù)據(jù)安全;文檔管理;保密

［中圖分類號］F270 ［文獻標識碼］A ［文章編號］1005-6432（2012）6-0065-02

1 企業(yè)的核心數(shù)據(jù)面臨內(nèi)外兩方面的安全保密隱患

1.1 缺乏統(tǒng)一管理

組織里某人或某些人起草的重要文件缺乏集中統(tǒng)一管理：企業(yè)員工的離職,電腦的丟失,有意或無意的刪除操作,或病毒的侵襲造成文件丟失。傳統(tǒng)上,像含有機密財務(wù)數(shù)據(jù)的投融資報告,月度、季度、年度銷售分析報告,財務(wù)分析報告,商業(yè)往來文件和合同,重要內(nèi)部會議的會議紀要等。這些對一個組織來講非常重要的文件大多是由組織里的某個人或某些人撰寫,保留在個人的電腦里,容易由于有意或者無意的原因造成文件丟失。

1.2 缺乏有效加密

很多企業(yè)在文檔和核心數(shù)據(jù)資產(chǎn)的加密方面意識不強,并且沒有有效的加密手段：文件在員工的電腦里可以輕松地通過電子郵箱、移動存儲設(shè)備、通信工具、打印設(shè)備等將文檔原文直接拷貝出來,最終導(dǎo)致信息的泄露。

2 加強文檔數(shù)據(jù)管理的手段

2.1 建立組織級文檔保護機制

一個組織中最難管理的是人員,要管理好企業(yè)的核心文檔首先要管理好這些文檔的管理者。建立一套合理而健全的機制,是具有關(guān)鍵意義的做法。組織內(nèi)信息安全制度的建立,往往比購買設(shè)備、提高技術(shù)還重要。國外信息安全管理的經(jīng)驗表明,大多數(shù)的攻擊來自系統(tǒng)內(nèi)部,并且外部可利用內(nèi)部進行攻擊。而對內(nèi)部攻擊的防范比對外部攻擊的防范更困難。防范內(nèi)部的安全攻擊,管理措施(行政的和法律的)顯得更為重要。建立并執(zhí)行一整套科學(xué)、合理、嚴密的管理制度,從每一個環(huán)節(jié)堵塞電子文檔信息安全的漏洞,這些環(huán)節(jié)包括從電子文件形成、處理、傳輸、收集、積累、整理、歸檔,到電子檔案的保管、提供利用的全過程,即要進行全過程管理,任何一個環(huán)節(jié)疏于管理,都有可能導(dǎo)致電子文檔信息的丟失或失真。加強對電子文件制作人員和管理人員的管理；電子文件制作過程要職責(zé)分明；電子文件形成后要及時積累；建立和執(zhí)行科學(xué)的歸檔制度；制定和嚴格執(zhí)行電子文檔的鑒定、保管制度和標準；加強對電子文檔利用活動的管理；建立電子文檔管理的記錄系統(tǒng)等。

2.2 利用數(shù)據(jù)安全保護軟件加強文檔管理

(1)加強訪問控制

訪問控制是網(wǎng)絡(luò)環(huán)境下電子文檔信息安全防范和保護的主要措施和手段,它的主要任務(wù)是保證包括電子文檔信息在內(nèi)的網(wǎng)絡(luò)資源不被非法訪問和非法使用。具體措施包括：入網(wǎng)訪問控制,控制組織內(nèi)的用戶是否用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制準許用戶的訪問時間和準入范圍；權(quán)限控制,控制用戶允許訪問哪些目錄、子目錄、文件和其他資源；指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作,如只讀、改寫、創(chuàng)建、刪除、查找、存取控制等,而最基本的控制是防止電子文檔的拷貝篡改和打印；

(2)數(shù)據(jù)加密

信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息的傳輸,確保不宜公開的電子文檔的非公開性。在多數(shù)情況下,信息加密是保證電子文檔機密性的唯一方法。如果有權(quán)使用受控文件的內(nèi)部人士將受控文件通過郵件,聊天工具,U盤等任何方式傳遞給第三者,第三者打開文件看到的是亂碼,確保信息不被泄露。

(3)文檔備份

由于網(wǎng)絡(luò)的不安全性,導(dǎo)致電子文檔信息易丟失或失真,給信息安全帶來嚴重威脅。盡管可以采取各種各樣的技術(shù)和方法來保證網(wǎng)絡(luò)的安全,但客觀地說,任何一個網(wǎng)絡(luò)都不能確保萬無一失,信息丟失和失真的現(xiàn)象難免不會發(fā)生。如果建立備份與恢復(fù)系統(tǒng),即使信息丟失和失真,也能夠做到有備無患,只要啟動該系統(tǒng),丟失或失真的信息就會重新恢復(fù)原來的面貌。

(4)事后跟蹤

企業(yè)在加強管控的同時還應(yīng)注意文檔泄露后的跟蹤管理。應(yīng)該準備好正常的事件報告和分類程序,這類程序用來報告可能對機構(gòu)的財產(chǎn)安全造成影響的不同種類的事件和弱點,所有的員工、合同方和第三方用戶都應(yīng)該知曉這套報告程序。他們需要盡可能快地將文檔泄露事件和弱點報告給指定的聯(lián)系方。組織應(yīng)明確信息安全事故報告的方式、報告的內(nèi)容、報告的受理部門,即安全事件應(yīng)在被發(fā)現(xiàn)之后盡快由適當?shù)氖芾硗緩竭M行通報。應(yīng)當盡可能快速地通過適當管理渠道來報告安全事故。組織的普通員工通常是安全事件的最早發(fā)現(xiàn)者,如果安全事件能及時發(fā)現(xiàn)并報告相應(yīng)的主管部門,作出及時的處理,能使組織的經(jīng)濟損失及聲譽損失降到最低。為及時發(fā)現(xiàn)安全事件,組織應(yīng)建立正式的報告程序,分別對安全事故的報告作出明確規(guī)定。應(yīng)當讓所有員工和第三方的簽約人都了解報告程序并鼓勵他們在安全事件發(fā)生的第一時間就盡快報告。還應(yīng)當建立起事故反應(yīng)機制,以便在接到事故報告時,有關(guān)部門能及時采取措施。應(yīng)當建立適當?shù)姆答仚C制,確保在處理完事故之后,使員工能夠知道所報告事故的處理結(jié)果。同時可以用這些事故來提高用戶的安全意識,使他們了解發(fā)生了什么情況、對這種情況怎樣做出反應(yīng)并且將來如何避免這些事故。針對不同的類型的安全事件,作出相應(yīng)的應(yīng)急計劃,規(guī)定事件處理步驟。

3 結(jié) 論

企業(yè)核心文檔的安全保密工作關(guān)系到企業(yè)的核心競爭力和可持續(xù)發(fā)展水平,加強保密工作、建立有效的防范機制、提高員工的保密意識、利用系統(tǒng)手段進行文檔管理是全面提高保密管理能力的有效途徑。

參考文獻：

［1］陳運.信息安全概要［J］.數(shù)據(jù)通信.2001(3)：36-38.

［2］同志敏.信息安全的內(nèi)容和實現(xiàn)［J］.軟件世界. 2002 (1)：17-19.

［3］吳江.信息安全的三個重要領(lǐng)域［J］.數(shù)據(jù)通信,2001(3)：19-21.

第2篇

―網(wǎng)御神州SecFox-UMS產(chǎn)品點評

在國內(nèi),SOC(安全運營中心)產(chǎn)品在信息安全市場上一直是個存在爭議的角色。由于安全廠商和服務(wù)提供商的理解存在差異,市場上有著許多以SOC命名卻又功能各異的產(chǎn)品。它們有著一些共同點,例如大多包含集中管理配置、日志信息收集、安全事件分析告警等模塊,提供了一個以資產(chǎn)為核心的集中管理平臺。但由于這類產(chǎn)品大多以安全事件為關(guān)鍵要素,用戶能看到的只是一宗宗獨立的事件報告,和業(yè)務(wù)沒有任何關(guān)聯(lián)。也就是說,如果遭到某種類型的攻擊,管理者可以從設(shè)備的運行狀況中有所了解,而此時業(yè)務(wù)的健康程度卻無從知曉。

安全不是用戶的最終目的,它存在的價值在于保證網(wǎng)絡(luò)基礎(chǔ)架構(gòu)能夠正常工作;而健康的網(wǎng)絡(luò),又是用戶業(yè)務(wù)正常開展的基礎(chǔ)。缺乏業(yè)務(wù)視角,是傳統(tǒng)SOC產(chǎn)品的致命短板,也是其無法吸引用戶關(guān)注的根本原因。近日,網(wǎng)御神州推出的SecFox-UMS統(tǒng)一安全管理產(chǎn)品,就以用戶最關(guān)心的業(yè)務(wù)狀況為核心,在信息收集、建模等環(huán)節(jié)注重了對業(yè)務(wù)的分析,為用戶提供了以業(yè)務(wù)健康為主的統(tǒng)一管理功能。

由于增加了對操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用及業(yè)務(wù)系統(tǒng)等角色的關(guān)注,SecFox-UMS在審計監(jiān)聽模式上也有所拓展,加入了HTTP、FTP、JDBC等應(yīng)用層協(xié)議。某些極端情況下,設(shè)備或應(yīng)用沒有提供任何監(jiān)聽手段。這個時候,SecFox-UMS還提供了一個硬件采集設(shè)備,采用旁路抓包的方式捕獲、解析原始操作和行為,再送到管理中心進行分析,保證了信息審計監(jiān)聽的全面性。除此之外,SecFox-UMS還可以對包括機房環(huán)境、網(wǎng)絡(luò)及安全基礎(chǔ)設(shè)施在內(nèi)的IT資源進行監(jiān)控,某種程度上可以替代機房環(huán)境監(jiān)控與網(wǎng)管系統(tǒng),降低了用戶監(jiān)管方面的成本與復(fù)雜性。

加入業(yè)務(wù)元素后的SecFox-UMS,與近段時間比較熱門的ADN(應(yīng)用交付)概念有了自然而然的聯(lián)系。同樣是針對業(yè)務(wù),現(xiàn)有ADN解決方案大多基于防火墻、IPS、流量控制等產(chǎn)品構(gòu)建,SecFox-UMS的出現(xiàn),在安全管理平臺領(lǐng)域提供了相應(yīng)的選擇。從某種意義上看,“安全”與“管理”的結(jié)合才是完美的信息安全整體解決方案,跨越了業(yè)務(wù)與基礎(chǔ)架構(gòu)間的鴻溝。

傳統(tǒng)的安全管理與業(yè)務(wù)到底有多大契合度,是很多用戶比較關(guān)心的問題。為此,筆者請網(wǎng)御神州SOC事業(yè)部產(chǎn)品總監(jiān)葉蓬針對一個實際案例進行了分析:一個用戶的遠程分支機構(gòu)通過廣域網(wǎng)與總部的數(shù)據(jù)中心相連接,VPN中有VoIP、文件共享等多種流量。針對業(yè)務(wù)不同的優(yōu)先級,用戶在兩端路由器上都做了相應(yīng)的QoS設(shè)置。那么當鏈路帶寬成為瓶頸,路由器開始丟棄報文的時候,SecFox-UMS能否甄別出不同業(yè)務(wù)的健康差別?據(jù)葉蓬介紹,在這個案例中,路由器的丟包告警與業(yè)務(wù)服務(wù)器的狀態(tài)日志都會是用戶業(yè)務(wù)設(shè)定的關(guān)鍵因素,SecFox-UMS有能力根據(jù)搜集處理的信息,將處于正常狀態(tài)、風(fēng)險狀態(tài)和不穩(wěn)定狀態(tài)的業(yè)務(wù)鑒別開來。另一方面,該產(chǎn)品也可以定位影響業(yè)務(wù)健康的原因,為用戶排障提供參考。

第3篇

關(guān)鍵詞：反恐反暴；安防建設(shè)；安全穩(wěn)定

2015年11月13日晚，法國巴黎發(fā)生一系列恐怖襲擊事件，死亡人數(shù)超過百人，震驚全球。該事件僅僅是2015年全球各地區(qū)暴力恐怖襲擊事件的“冰山一角”，此后，各國對暴力恐怖襲擊事件的關(guān)注度再一次提升。在復(fù)雜莫辨的國際斗爭環(huán)境之下，伴隨著國內(nèi)同期社會體制改革轉(zhuǎn)型，社會焦點矛盾沖突多發(fā)，整體安全形勢日益嚴峻，高校安全維穩(wěn)工作壓力長期存在。進入“十三五”新時期，深入推進高校各項改革發(fā)展，校園安全管理的內(nèi)涵和外延都在不斷擴大，呈現(xiàn)出社會化、多元化的綜合性特征，矛盾和風(fēng)險遞增。

1 學(xué)校安全維穩(wěn)工作面臨的主要問題

1.1 校園安全防控體系有待進一步完善

相對校內(nèi)外社會形勢與安全環(huán)境的發(fā)展要求，當前校園安全防控體系存在宏觀上系統(tǒng)設(shè)計不科學(xué)、不健全，微觀上各部門職責(zé)分工尚有交叉與漏洞，安全責(zé)任難以具體落實到位，安全隱患無法及時排查整改，綜合治理能力與管理力度不足等問題。

1.2 校園安全文化建設(shè)有待進一步加強

近幾年，隨著全國范圍內(nèi)“平安校園”創(chuàng)建活動的開展與推進，本著“以人為本”，構(gòu)建“和諧校園”為目標，在全國校園內(nèi)開展系統(tǒng)化的安全教育宣傳工作。但就每年的校園意外傷害與安全事故統(tǒng)計中仍可發(fā)現(xiàn)，師生員工不同程度上存在法律意識淡漠、安全知識欠缺、自我防護意識薄弱、處理應(yīng)急事件能力不足等問題。我們應(yīng)推進校園安全文化建設(shè)，全面提高師生全員的安全意識、法律知識、逃生能力，進而提升個人的安全防控能力。

1.3 技術(shù)防御水平有待進一步提升

其一，校園內(nèi)日常安保監(jiān)督工作主要依靠監(jiān)控平臺。對于每個校園逾千部的視頻監(jiān)控網(wǎng)點做到定期維護檢查和升級改造，對于不同的校區(qū)之間能夠建立聯(lián)網(wǎng)互通的安防平臺。其二，技防系統(tǒng)的建設(shè)和應(yīng)用重點局限于視頻監(jiān)控部分，交通監(jiān)管、報警機制、智能評估、數(shù)據(jù)分析、應(yīng)急指揮等功能應(yīng)用有待拓展，安全管理信息系統(tǒng)應(yīng)用有待開發(fā)。

1.4 物防設(shè)施條件有待進一步改善

第一，針對當前校園安全問題，特別是新形勢下反恐反暴安保要求，保衛(wèi)人員配套裝備設(shè)施需要與時俱進。第二，針對校園內(nèi)部人口密集區(qū)域，如食堂和宿舍樓宇的安保力量與安防設(shè)施有待加強。

2 學(xué)校安全工作的具體措施

2.1 以總體國家安全觀為指導(dǎo)，樹立政治安全、文化安全、科技安全、信息安全、生態(tài)安全、社會安全“六位一體”的校園安全整體防控理念

充分利用各大宣傳教育平臺，如校園官方微博與微信公眾號進行師生互動，校內(nèi)LED公告欄信息平臺，教學(xué)樓與宿舍樓宇宣傳欄，各類組織生活會等形式，宣傳學(xué)校安全教育文化，使廣大師生先重視，再學(xué)習(xí)，后受益。

2.2 以體制機制創(chuàng)新為動力，建立學(xué)校統(tǒng)一領(lǐng)導(dǎo)，綜治綜合協(xié)調(diào)，部門監(jiān)督管理，單位主體責(zé)任，師生員工全員參與，校地協(xié)調(diào)聯(lián)動的校園安全立體防控格局

學(xué)校分管領(lǐng)導(dǎo)作為安全工作第一負責(zé)人，落實各部門職責(zé)分工與單位主體責(zé)任，包括日常對校內(nèi)全體師生員工進行思想政治教育、心理健康教育、法制宣傳教育、道德操行管理、安全培訓(xùn)演練、應(yīng)急處理訓(xùn)練以及安全事件發(fā)生時的安全風(fēng)險評估工作、糾紛事故調(diào)動處理環(huán)節(jié)、安全隱患排查整改驗收、安全崗位責(zé)任落實制度。充分調(diào)動師生員工的主觀能動性，激勵全員參與校園治安防控體系建設(shè)，建立健全學(xué)生糾察隊與志愿消防隊等群眾性組織，做到群防群治，共同監(jiān)督管理，維護校園安全。

2.3 以校園突出安全問題為導(dǎo)向，建立預(yù)防、預(yù)警、管理、控制、打擊相結(jié)合的校園安全立體防控機制

預(yù)防機制在日常校園安全工作中穿行師生校園安全宣傳教育與應(yīng)急演練、安保隊伍安全培訓(xùn)、路面與樓宇巡查防控、門禁與重點部位值勤值守、安全隱患定期檢查與及時整改、提升技防水平與物防設(shè)備。預(yù)警機制在發(fā)生安全事件時及時啟動安全檢查與網(wǎng)絡(luò)巡查、進行安全穩(wěn)定形勢分析與情報信息會商、評估重大決策風(fēng)險、解決矛盾沖突與利益訴求，兼以輿論監(jiān)控機制，必要時提供法律援助與救濟救助。管理機制突出表現(xiàn)為車輛進出、外來人口、大型群眾性活動、重點場所與危險品管理等方面的協(xié)調(diào)管理力度。控制機制需要在安全事件發(fā)生之后能夠做到指揮部快速反應(yīng)、應(yīng)急指揮、迅速調(diào)配安保力量，及時高效地解決問題。打擊機制在安全事件方面上輕則進行批評教育，重則追究其法律責(zé)任。

2.4 以信息技術(shù)為引領(lǐng)，提升校園安全防控能力和綜合管理水平

在科技飛速發(fā)展的時代，以校園綜合防治信息技術(shù)平臺為依托，提高校園安全整體的防控水平和應(yīng)急管理能力。充分利用校內(nèi)報警機制、GIS與GPS系統(tǒng)、視頻監(jiān)控系統(tǒng)、信息系統(tǒng)、廣播通訊系統(tǒng)、車輛管理系統(tǒng)、樓宇門禁系統(tǒng)、門崗控制系統(tǒng)、消防控制系統(tǒng)等方面建立起全面化的校園安全管理體系，提升校園安全防控的綜合管理水平。

3 校園反恐應(yīng)急處置預(yù)案

3.1 適用范圍

針對校園內(nèi)部可能發(fā)生的，以制造校園恐慌和社會動亂，危害公共安全或者脅迫政府機關(guān)為目的，采取恐嚇、破壞、暴力等手段，造成或者意圖造成人身傷害、公共設(shè)施損毀、重大財產(chǎn)損失、校園或社會秩序混亂等嚴重社會危害的行為，如汽車沖撞，刀斧砍殺，縱火焚燒，劫持人質(zhì)，爆炸襲擊，槍擊，公共場所投放、化學(xué)毒劑、生物試劑、輻射源等，以及煽動、資助或者以其他方式協(xié)助實施上述活動的行為。

3.2 指導(dǎo)方針

貫徹落實上級有關(guān)校園反恐的工作部署，堅持“預(yù)防為主，單位負責(zé)，突出重點，保障安全”的防范方針和“第一時間反應(yīng)，第一時間到位，有效控制，高效處置”的應(yīng)急處置原則，切實提高校園反恐應(yīng)急處置能力，保障師生員工生命財產(chǎn)安全和校園安定穩(wěn)定。

3.3 啟動反恐應(yīng)急響應(yīng)機制

學(xué)校安保部門接到校園報警險情后，應(yīng)迅速報告反恐應(yīng)急指揮部門及學(xué)校辦公室，通知反恐領(lǐng)導(dǎo)小組成員單位負責(zé)人到指揮部集合，聯(lián)絡(luò)屬地反恐機構(gòu)和公安機關(guān)，校內(nèi)做好應(yīng)急準備。各門崗立即疏散校門口車輛和人員，關(guān)閉校園大門，執(zhí)械上崗，接應(yīng)公安人員，把持住車輛通道，防止施暴分子外逃。安保部門服從指揮，有條件時制伏施暴分子，無條件時等待公安人員。組織剩余力量，組成應(yīng)急隊伍，聽候指揮，準備增援，互通信息，協(xié)同防范。校醫(yī)院醫(yī)護人員待命，隨時準備搶救傷員。待施暴分子被制伏后，保護現(xiàn)場，解除安保預(yù)警，恢復(fù)校園秩序。切實做到一旦校園發(fā)生突發(fā)事件，能夠立即啟動相應(yīng)預(yù)案，及時組織并妥善處理好有關(guān)工作，確保突發(fā)事件報告及時、有效處置。完善應(yīng)急搶險、救援隊伍，構(gòu)建“統(tǒng)一指揮、職責(zé)明確、運轉(zhuǎn)有序、反應(yīng)迅速、信息暢通、處置有力”的應(yīng)急處置體系。

參考文獻：

[1] 白濤，許中華.高校危機管理對策初探[J].華南理工大學(xué)學(xué)報（社會科學(xué)版），2005（3）.

[2] 劉燕燕.高校治安保衛(wèi)工作的難點及對策[J].惠州學(xué)院學(xué)報，2007（6）.

第4篇

關(guān)鍵詞：商業(yè)銀行；電子商務(wù)；風(fēng)險管理

商業(yè)銀行從事金融業(yè)務(wù)面臨著市場風(fēng)險、信用風(fēng)險、以及操作風(fēng)險等，而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險發(fā)生的可能性以及風(fēng)險發(fā)生之后的破壞程度。2004年以來，我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大，仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。2005年上半年共收到網(wǎng)絡(luò)安全事件報告65679件，超過2004年全年案件數(shù)，商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略已成為理論與實踐中必須重視的課題。

一、信息安全管理的歷史演進與現(xiàn)階段的特點

信息安全管理的策略大體遵循事件驅(qū)動(技術(shù)和管理脫節(jié))－逐漸標準化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險管理(引入了風(fēng)險分析)的發(fā)展路徑。

(一)以事件驅(qū)動的初級階段時期

19世紀70年代安全主要是指物理設(shè)備和環(huán)境的安全，人與計算機之間的交互主要局限在大型計算機上的啞終端，安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段，由事件驅(qū)動，沒有形成規(guī)范的管理流程。在此階段的前期，只重視技術(shù)手段。后期開始重視管理手段，但是技術(shù)和管理之間脫節(jié)。許多組織對信息安全制定了相應(yīng)的規(guī)章和制度，但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負責(zé)、突擊式、事后糾正式的管理方式。

(二)標準化時期

企業(yè)開始將安全問題作為整體考慮，形成一套較為完整的安全管理策略，其中包括了安全管理的技術(shù)手段和管理制度(或稱運作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略，內(nèi)容也包括了技術(shù)手段、安全管理制度、人員安全教育等等，基本上形成體系，技術(shù)和管理手段綜合統(tǒng)一，但是安全風(fēng)險分析還存在不足之處。

(三)安全風(fēng)險管理策略時期

隨著電子商務(wù)安全管理發(fā)展到一個比較高的層次，安全管理策略也演進到安全風(fēng)險管理階段。主要特點如下：

1.安全風(fēng)險管理成為主流趨勢；在安全管理策略的演進過程中，技術(shù)和管理手段綜合統(tǒng)一、又融入了風(fēng)險管理的分析、防范策略，從而安全管理進入了安全風(fēng)險管理時期。西方商業(yè)銀行已對安全風(fēng)險管理形成共識。如安氏公司(is—One)，認為信息安全問題最終將歸結(jié)為風(fēng)險管理問題，風(fēng)險管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)。

2.安全風(fēng)險管理的國際標準和各國的規(guī)范逐漸形成并趨于完善。國際上關(guān)于安全風(fēng)險管理的標準有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》、英國標準協(xié)會制訂的BS7799等。各國也日益重視安全風(fēng)險管理，制定了許多規(guī)范。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險管理》等。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》，對國內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險管理給出了指導(dǎo)意見。

3.利用外部專業(yè)化機構(gòu)對金融機構(gòu)的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術(shù)風(fēng)險，在相當程度上取決于采用的信息技術(shù)的先進程度，系統(tǒng)的設(shè)計開發(fā)水平，以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等；銀行依靠傳統(tǒng)的風(fēng)險管理機制已很難識別、監(jiān)測、控制和管理相關(guān)風(fēng)險。同樣，監(jiān)管機構(gòu)也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監(jiān)控。因此，大部分國家都采用了依靠外部專業(yè)化機構(gòu)定期對電子銀行安全性進行評估的辦法，加強對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管。

4.在許多國家信息系統(tǒng)審計(Is Audit)作為一種信息技術(shù)服務(wù)被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務(wù)。業(yè)界的IT風(fēng)險分析師也成為一種職業(yè)，專門從事電子商務(wù)的安全風(fēng)險工作，從經(jīng)濟學(xué)的角度出發(fā)分析風(fēng)險，充分衡量保持安全的代價和收益之間的關(guān)系，尋求用最小的代價實現(xiàn)最大的效用，在風(fēng)險分析中也形成一套較為成熟的模式。

二、我國商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略的薄弱點

(一)系統(tǒng)管理思想缺乏

目前的電子商務(wù)安全風(fēng)險管理策略，在全局上缺乏系統(tǒng)論理論的指導(dǎo)，在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞，無法形成一張全面有序的安全網(wǎng)絡(luò)。

實踐中被采用的安全風(fēng)險管理策略，以及作為指導(dǎo)意見的規(guī)則規(guī)范，如《信息安全管理實務(wù)準則》(IS017799)、《信息技術(shù)安全性評估準則》(GB／T18336．1)、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》，盡管提出了比較全面的安全風(fēng)險管理方案，層次上也比較清晰，但是還不足以作為一個風(fēng)險防范系統(tǒng)。實踐中，電子商務(wù)組織是一個復(fù)雜的系統(tǒng)組織，電子商務(wù)的安全風(fēng)險管理體系和過程也是個復(fù)雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務(wù)安全風(fēng)險管理中是不可或缺的。

(二)風(fēng)險分析的模型與方法不成熟，定量分析不足

電子商務(wù)模式自身的發(fā)展歷史也不過20幾年，在風(fēng)險分析的定量技術(shù)上并不成熟；如BS7799中推薦的電子商務(wù)安全風(fēng)險管理中實施風(fēng)險評估時，往往將威脅發(fā)生的可能性定性劃分為幾個級別，將威脅所造成的影響也定性劃分為1～5級，實質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別，在操作上易行，但造成了度量的不精確。在進行監(jiān)控和審計之后，也存在無法量化、對比的問題。

(三)忽視與原有的傳統(tǒng)風(fēng)險管理策略的結(jié)合

本質(zhì)上，電子商務(wù)的安全風(fēng)險無非是新興的商業(yè)模式對傳統(tǒng)的風(fēng)險的改變，以及產(chǎn)生的在傳統(tǒng)風(fēng)險控制領(lǐng)域暫時無法明晰的新風(fēng)險；現(xiàn)有管理策略只從信息技術(shù)的角度、或者從偏重技術(shù)的角度看待問題，站在金融領(lǐng)域本身來分析研究較少。這種狀況導(dǎo)致了對電子商務(wù)安全風(fēng)險管理的研究無法立足于一個比較高的層次；忽略了風(fēng)險的整體性，只進行偏信息和技術(shù)的研究，導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險管理策略與金融機構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險管理策略存在差距。對于商業(yè)銀行而言，傳統(tǒng)金融業(yè)務(wù)的風(fēng)險控制與電子商務(wù)的技術(shù)風(fēng)險控制，兩個方面存在脫節(jié)，同樣屬于商業(yè)銀行的風(fēng)險，存在著不同的管理策略，導(dǎo)致多頭管理、資源浪費、機構(gòu)之間的扯皮，乃至缺位管理。

第5篇

論文摘要：隨著商業(yè)銀行網(wǎng)上業(yè)務(wù)的不斷發(fā)展，電子商務(wù)安全風(fēng)險管理策略成為理論與實踐中必須重視的課題。剖析現(xiàn)階段電子商務(wù)安全網(wǎng)風(fēng)險策略的薄弱點，發(fā)展商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略，應(yīng)借鑒成熟的傳統(tǒng)金融風(fēng)險度量中的一些方法改變電子商務(wù)安全管理對資產(chǎn)進行粗略的優(yōu)先級別排序，用系統(tǒng)管理思想構(gòu)建商業(yè)銀行電子商務(wù)安全管理框架，并將商務(wù)安全風(fēng)險納入風(fēng)險管理范疇。

一、信息安全管理的歷史演進與現(xiàn)階段的特點

(一)以事件驅(qū)動的初級階段時期

(二)標準化時期

(三)安全風(fēng)險管理策略時期

隨著電子商務(wù)安全管理發(fā)展到一個比較高的層次，安全管理策略也演進到安全風(fēng)險管理階段。主要特點如下：

二、我國商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略的薄弱點

(一)系統(tǒng)管理思想缺乏

(二)風(fēng)險分析的模型與方法不成熟，定量分析不足

(三)忽視與原有的傳統(tǒng)風(fēng)險管理策略的結(jié)合

(四)風(fēng)險管理策略無法依賴外部的信息安全管理行業(yè)

在發(fā)達國家，信息系統(tǒng)審計(Is Audit)作為一種信息技術(shù)服務(wù)被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務(wù)。IT風(fēng)險分析師也成為一種職業(yè)，專門從事電子商務(wù)的安全風(fēng)險工作。商業(yè)銀行采用依靠外部專業(yè)化機構(gòu)定期對電子銀行的安全性進行評估的辦法，提高對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管。而國內(nèi)初步建立了國家信息安全組織保障體系，制定和引進了一批重要的信息安全管理標準、法律法規(guī)，風(fēng)險評估工作得到了一定重視，但與發(fā)達國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。

(五)風(fēng)險管理策略中商業(yè)銀行的內(nèi)部風(fēng)險控制能力薄弱

我國商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險管理部門；但風(fēng)險控制部門的職能、權(quán)限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距，風(fēng)險控制實質(zhì)上仍然分散在各個子部門；風(fēng)險的評估、防范與控制實質(zhì)上完全依靠商業(yè)銀行的電子交易部門；風(fēng)險管理部門、內(nèi)審稽核部門實質(zhì)上無法控制電子商務(wù)安全風(fēng)險。例如，風(fēng)險管理部門接受了電子交易部的風(fēng)險控制報告，表面上履行的內(nèi)控審核的流程，但審核作用有限，無法完成電子商務(wù)安全風(fēng)險管理中的監(jiān)控與審計環(huán)節(jié)。

三、商業(yè)銀行的電子商務(wù)安全風(fēng)險管理策略的改進建議

(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略框架

利用系統(tǒng)理論作為總體的指導(dǎo)思想，將電子商務(wù)安全風(fēng)險管理策略本身當作一個開放的自適應(yīng)系統(tǒng)。將商業(yè)銀行電子商務(wù)安全風(fēng)險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。

在商業(yè)銀行電子商務(wù)安全風(fēng)險控制的流程中，經(jīng)過信息安全的風(fēng)險評估、資產(chǎn)識別和選擇、實施控制降低風(fēng)險的措施、將風(fēng)險控制在可接受的范圍內(nèi)，然后進行監(jiān)控和審計；尤其重要的是把監(jiān)控和審計所得到的內(nèi)容作為新一輪風(fēng)險分析輸入，從而開始新一輪的風(fēng)險管理過程。商業(yè)銀行電子商務(wù)安全風(fēng)險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán)，安全風(fēng)險管理的有效性就上一個臺階，商業(yè)銀行的安全管理水平變得到了提高。

(二)電子商務(wù)安全風(fēng)險管理中定量分析中的改進思路

商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險度量中的一些方法來改變電子商務(wù)安全風(fēng)險管理中對資產(chǎn)進行粗略的優(yōu)先級別排序的方法。實踐中，商業(yè)銀行對操作風(fēng)險的管理與對電子商務(wù)安全風(fēng)險管理有其相似之處。巴塞爾委員會對商業(yè)銀行的操作風(fēng)險的內(nèi)部計量法中規(guī)定，商業(yè)銀行內(nèi)部估計風(fēng)險敞口指標、損失事件發(fā)生的概率、風(fēng)險損失，巴塞爾委員會制定資本要求的轉(zhuǎn)換系數(shù)；在度量損失的分布時，主要利用統(tǒng)計和精算技術(shù)。商業(yè)銀行應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來，利用現(xiàn)有的度量方法進行精確的風(fēng)險定量分析的嘗試。

(三)將商業(yè)銀行電子商務(wù)安全風(fēng)險納入商業(yè)銀行總體風(fēng)險管理范疇

第6篇

另外，新型的量子計算也給數(shù)學(xué)密碼體制帶來了前所未有的潛在威脅。1994年P(guān)eterShor發(fā)現(xiàn)了第一個具體的量子算法'Shor量子分解算法的時間復(fù)雜度為D(刀2(109開)(10皿。朗))，它在設(shè)想的量子計算機上可以用輸入的多項式時間分解大數(shù)質(zhì)因子，因此它給RsA等公鑰密碼系統(tǒng)的安全性提出了嚴峻的挑戰(zhàn)。1996年Grover發(fā)現(xiàn)了非結(jié)構(gòu)化數(shù)據(jù)庫源于聯(lián)想網(wǎng)御神州專家新論搜索的Gmver迭代算，量子Grover搜索算法的時間復(fù)雜度為D(／Ⅳ)，它有可能解決經(jīng)典上所謂的NP完全問題。

2007年11月，加拿大D—wave公司宣稱研制成功28量子位的量子計算機系統(tǒng)；2008年12月，又宣稱成功研制了128量子位的量子處理器。業(yè)內(nèi)科學(xué)家們預(yù)測，到2020年左右量子計算機將進入實用階段。假如1024個量子位以上的量子計算機研究取得實質(zhì)性突破，那么256bit甚至512bit的對稱算法將不安全，RSA，ECC等非對稱密碼體制也將不安全。目前的私鑰密碼體制，公鑰密碼體制等都將面臨更新?lián)Q代的“困境”。因此，研究可以抵抗量子計算等高性能計算攻擊的新型密碼技術(shù)體制勢在必行。

根據(jù)Shannon信息論原理，如果隨機密鑰的高速在線分發(fā)問題能夠有效解決，那么利用一次一密亂碼本(OTP)就可以解決數(shù)據(jù)傳輸?shù)耐耆Ｃ軉栴}。但是隨機密鑰的高速在線分發(fā)面臨著一系列技術(shù)難題或者瓶頸(因為為了確保密鑰安全，需要采用復(fù)雜的加密手段和安全協(xié)議，限制了密鑰分發(fā)的速率；另外，密鑰的安全性也得不到完備性證明)。而量子通信系統(tǒng)可以解決隨機密鑰的高速在線保密分發(fā)問題，為0TP的廣泛應(yīng)用提供了技術(shù)可能性，進而可以解決數(shù)據(jù)傳輸?shù)耐耆Ｃ軉栴}。基于這樣一個亮點，量子保密通信特別是量子密鑰分發(fā)技術(shù)(QKD)得到了許多國家的高度關(guān)注并得到了快速發(fā)展。

目前，QKD作為一個物理上安全的保密體制，其實用化已是一個明顯的趨勢。2004年，華東師范大學(xué)在國內(nèi)首次實現(xiàn)了QKD原理樣機吼2005年，瑞士IDQmntique公司和美國MagQ公司都推出了商用QKD系統(tǒng)產(chǎn)品。2005年，美國BBN公司在DAPAR的資助下構(gòu)建了6節(jié)點的實驗網(wǎng)絡(luò)。

2008年，歐盟sECoQc組建了7節(jié)點的演示網(wǎng)絡(luò)。2009年。中國建設(shè)了8節(jié)點的“最子政務(wù)網(wǎng)”。可以說，國內(nèi)外對量子密鑰分發(fā)技術(shù)的研究已經(jīng)進入了工程實現(xiàn)的關(guān)鍵時期，目前已經(jīng)沒有產(chǎn)品化的技術(shù)障礙，其應(yīng)用基本上取決于市場。目前世界上最好的實驗記錄是：無中繼通信距離l87km，在線分發(fā)密鑰的速率lMb／s以上。

1技術(shù)原理和特色

根據(jù)量子力學(xué)原理，微觀世界遵循Hd‘規(guī)berg測不準原理和量子不可精確克隆定理。量子態(tài)測不準并且不能精確復(fù)制，這意味著，通過竊聽將不能得到確定的有效信息，也不能進行重復(fù)測量。更重要的是，任何針對量子信號的竊聽都將不可避免地留下痕跡，這為在線檢測竊聽提供了可能。量子態(tài)測不準導(dǎo)致的直接結(jié)果是任何人都不可能進行精確測量，從這個角度來分析，量子信道是“絕對安全”的；但是這種“絕對安全”是無意義的，因為從中得不到有效信息。合法通信雙方為了提取在量子信道中傳輸?shù)牧孔有畔ⅲ仨氁蕾嚫郊拥臈l件，即必須借助經(jīng)典信道進行輔助信息的交互，比如竊聽檢測所需要的交互信息必須通過可信輔助信道來傳送，這也決定了量子通信與經(jīng)典保密通信之間的互補關(guān)系。

量子信息是經(jīng)典信息在功能和性能上的擴展，量子通信系統(tǒng)具有經(jīng)典通信系統(tǒng)所具有的功能以及經(jīng)典通信系統(tǒng)所不具有的新功能(比如在線竊聽檢測)。如果采用一組正交態(tài)對0和l進行編碼和通信，那么通信雙方能夠進行確定測量，因此完全可以實現(xiàn)經(jīng)典通信系統(tǒng)的數(shù)據(jù)傳輸功能。當然，這種應(yīng)用與經(jīng)典通信系統(tǒng)相比較并沒有特殊的優(yōu)越性，因此在大多數(shù)情況下，量子通信是指基于量子測不準條件下的量子保密通信。

1.1量子密鑰分發(fā)

QKD基于Heisenberg測不準原理和量子不可克隆定理，其完全保密特性得到了證明。因此，至少在理論上，基于量子密鑰的oTP能夠解決通信數(shù)據(jù)的完全保密傳輸問題又因為這種綜合應(yīng)用具有體制上的簡潔性、理想的完全保密性和簡單的軟硬件實現(xiàn)性能等，代表了密碼系統(tǒng)發(fā)展和升級換代的一個趨勢。

如果QKD在密鑰分發(fā)速率方面取得了重大突破，比如達到50Mb／s，甚至達到1Gb／s以上，那么基于量子密鑰的oTP就能夠?qū)崿F(xiàn)保密語音通信、一些重要數(shù)據(jù)的實時保密通信等，并且這種應(yīng)用不存在所使用密鑰或者密碼算法可能存在安全漏洞的隱患。這種系統(tǒng)應(yīng)用無疑對現(xiàn)在的保密通信體制是一個極大的挑戰(zhàn)!當然，尋找QKD在現(xiàn)代保密通信系統(tǒng)中的應(yīng)用切入點是當務(wù)之急。

1.2量子身份識別量子身份識別是基于量子態(tài)身份信息的物理安全的身份

識別方案。量子身份識別信息是量子態(tài)，具有唯一性和不可復(fù)制性，這從根本上消除了身份信息被假冒或者事后否認的可能性。在量子計算條件下，如何利用量子態(tài)身份的唯一性和不可復(fù)制特性實現(xiàn)完全保密的量子身份識別具有非常重要的意義。一方面，這種方案不需要事先共享短密鑰，可以增加系統(tǒng)的可用性另一方面，量子身份識別信息基于量子態(tài)，具有唯一性和不可復(fù)制性，可以從根本上解決其安全問題。

但是，由于量子身份的重復(fù)使用等技術(shù)難題導(dǎo)致量子身份識別研究進展緩慢。

1.3量子保密通信體制

研究表明。QKD并不是量子保密通信的必要條件，因為人們已經(jīng)發(fā)現(xiàn)不依賴共享密鑰的量子保密直接通信方案110J，這也可能意味著未來的量子保密通信體制的安全性將可能不再依賴共享密鑰。但是，這并不影響QKD在一定時期內(nèi)得到廣泛應(yīng)用。量子保密通信在同時解決竊聽檢測、身份識別和信息保護等問題的條件下，將形成一個完備的保密通信體制。量子保密通信不依賴復(fù)雜的數(shù)據(jù)加密算法(當然，信息的本地存儲保護等依然需要安全的數(shù)據(jù)加密算法)，量子系統(tǒng)設(shè)備不，因此量子系統(tǒng)具有通用性，所有用戶的系統(tǒng)配置和功能可以做到完全一致，不存在系統(tǒng)分級和使用多種密碼算法等技術(shù)問題，因此可以說不存在互聯(lián)互通的技術(shù)障礙，它能使任何擁有量子保密通信終端的用戶之間實現(xiàn)完全保密的通信，這是目前的保密通信系統(tǒng)所不具有的功能。這種性能在保密通信中具有非常重要的作用。對于量子糾纏系統(tǒng)來說，由于糾纏粒子之間存在不受空間限制的關(guān)聯(lián)性，并且可以實現(xiàn)隱形傳態(tài)，似乎利用這種現(xiàn)象可以突破經(jīng)典通信的距離極限，但這是不可能的。因為糾纏粒子之間的通信依然依賴經(jīng)典信息交互，即在進行基于糾纏的測量之后還必須通過可信經(jīng)典信道進行相關(guān)測量信息交互之后，才能實現(xiàn)兩個糾纏粒子之間的通信，這也是量子糾纏不能實現(xiàn)超光速通信的一個關(guān)鍵原因。因此，在目前的量子通信模型下，量子通信在深水、深空通信中并沒有明顯的技術(shù)優(yōu)勢，也很難突破經(jīng)典通信的水下和深空通信的距離和速率極限。毋庸置疑，探索如何在新型的通信模型下突破經(jīng)典通信的極限，無論是對于理論創(chuàng)新還是對于國防軍事通信安全等都是非常有意義的。

2基礎(chǔ)研究與應(yīng)用趨勢

在QKD技術(shù)快速發(fā)展并日趨成熟的今天，量子保密通信體制還處于初級階段，量子保密通信系統(tǒng)由于系統(tǒng)自身的不穩(wěn)定性會造成一定的長期誤碼率(比如量子信號的調(diào)制解調(diào)過程和單光子探測器暗計數(shù)等都會引入一定的誤碼，這些誤碼在理論上無法與非法侵入所引起的誤碼進行區(qū)分)，如何克服這些誤碼的影響還有待于進一步解決。另外，QKD的應(yīng)用研究和量子保密通信基礎(chǔ)理論研究依然是量子保密通信體制研究的重點，其發(fā)展趨勢可以概括為：

(1)高速量子密鑰分發(fā)系統(tǒng)與應(yīng)用研究。對基于單光子實驗方案進行改進和完善，提高系統(tǒng)的穩(wěn)定性和效率，并進行QKD系統(tǒng)產(chǎn)品的研發(fā)。對基于量子糾纏、隱形傳態(tài)等量子特性的實驗方案進行深入研究，研究如何設(shè)計性能穩(wěn)定的QKD系統(tǒng)并在通信距離和通信效率上取得突破。

(2)量子保密通信基礎(chǔ)理論。研究新的量子密鑰分發(fā)、量子保密直接通信、量子身份識別、量子比特承諾協(xié)議等，完善量子保密通信體制理論研究量子保密通信網(wǎng)絡(luò)的基本架構(gòu)、工作原理和實現(xiàn)方案等：研究任意節(jié)點之間的互聯(lián)互通機理以及針對量子保密通信網(wǎng)絡(luò)的專用路由技術(shù)研究量子保密通信網(wǎng)絡(luò)與光纖通信網(wǎng)絡(luò)之間互聯(lián)互通技術(shù)。

目前，量子保密通信的實際應(yīng)用進程直接取決于市場需求和量子技術(shù)的發(fā)展。量子保密通信系統(tǒng)的關(guān)鍵技術(shù)主要包括：量子態(tài)的制備、分發(fā)和探測技術(shù)；量子系統(tǒng)穩(wěn)定性和抗干擾解決途徑；與光纖網(wǎng)絡(luò)的兼容性等。

隨著單光子制備、量子存儲和探測技術(shù)以及光纖傳輸?shù)认嚓P(guān)技術(shù)的進一步發(fā)展，量子保密通信將在國家重要領(lǐng)域內(nèi)的通信保密中扮演一個非常重要的角色。短期內(nèi)，QKD可以從根本上解決密鑰的高速在線分發(fā)問題，為oTP的廣泛使用提供一種可行的技術(shù)途徑。基于景子密鑰的oTP可以用于保密電話網(wǎng)、保密數(shù)據(jù)網(wǎng)等，實現(xiàn)各種數(shù)據(jù)的一次一密加密，確保數(shù)據(jù)的完全保密傳輸。中長期內(nèi)，能夠同時解決竊聽檢測、身份識別和信息保護的量子保密通信技術(shù)，可以提供一個完善的通信保密解決方案。

3應(yīng)對策略探討

為了積極應(yīng)對QKD和量子保密通信技術(shù)可能帶來的影響，并為相關(guān)技術(shù)發(fā)展創(chuàng)造良好的氛圍，促進量子保密通信技術(shù)的應(yīng)用推廣，及時采取科學(xué)的應(yīng)對策略非常必要。根據(jù)對國內(nèi)外量子通信研究現(xiàn)狀和趨勢的綜合調(diào)研分析，結(jié)合國內(nèi)的實際情況，以下對策或策略具有一定的代表性和較大的參考價值。

(1)信息安全形勢嚴峻，積極進行技術(shù)儲備，有備無惠。近幾年，一些典型的經(jīng)典密碼算法不斷被破譯或被發(fā)現(xiàn)存在致命漏洞，網(wǎng)絡(luò)計算和量子計算等高性能計算技術(shù)快速發(fā)展給經(jīng)典密碼算法帶來前所未有的沖擊和挑戰(zhàn)，經(jīng)典通信保密體制面臨更新?lián)Q代的抉擇。而量子保密通信技術(shù)代表了一個實際可行的新型技術(shù)方向，代表了未來信息安全市場的一個新方向。在積極探索量子保密通信體制的同時，尋求量子技術(shù)與經(jīng)典技術(shù)的“融合”，促進這種新型保密通信系統(tǒng)的應(yīng)用具有十分重要的現(xiàn)實意義。

(2)潛在資源需要整合，潛在市場需要發(fā)掘和培育。最子保密通信技術(shù)在保密傳輸方面有著十分明顯的技術(shù)優(yōu)勢。其中短期應(yīng)用前景十分明確，長期推廣應(yīng)用趨勢不可逆轉(zhuǎn)。但是，量子保密通信是一個綜合交叉技術(shù)學(xué)科，系統(tǒng)核心技術(shù)需要多學(xué)科專業(yè)人才聯(lián)合進行技術(shù)攻關(guān)，但是目前國內(nèi)相關(guān)研究主力依然集中在高校，基本上還處在“單兵作戰(zhàn)”的狀態(tài)，還不能形成具有核心競爭力的產(chǎn)品研發(fā)平臺。

美國MagiQ公司的副總裁AndrewHammond估計QKD短期市場份額將達到20億美元，在不久的未來其市場份額將達到10億美元／年。在今后幾年內(nèi)，國內(nèi)的市場份額派工流程與安全知識庫緊密相關(guān)，在故障處理時從安全知識庫中提供專家經(jīng)驗和歷史資料進行參考，在派工處理完畢后的反饋又放入安全知識庫中作為下次事件的歷史資料。安全知識庫包括安全知識文章、漏洞庫，補丁庫、事故案例庫等。

3.1報告報表網(wǎng)絡(luò)安全管理系統(tǒng)具有強大的事件分析報告和安全趨勢

報告系統(tǒng)。能夠收集和整理所有的安全事件報告，整理分析，產(chǎn)生針對不同閱讀者的專業(yè)安全報表。安全報表能夠?qū)⒁欢螘r期內(nèi)的整體安全狀況、攻擊來源、攻擊方式、攻擊目標、最多的和最少的攻擊排序、IP子網(wǎng)攻擊、IP子網(wǎng)攻擊目標、設(shè)備類型、事件警告類型、事件狀況類型和事件的嚴重性等等做出專業(yè)的分析報告。

3.2趨勢分析趨勢分析指依據(jù)網(wǎng)絡(luò)安全指標策略體系，將多源安全事

件經(jīng)編碼格式標準化、歸并關(guān)聯(lián)等處理后，進行安全指標映射與態(tài)勢數(shù)據(jù)生成，并借助多種可定制可視化視角而展現(xiàn)出來的網(wǎng)絡(luò)總體安全狀態(tài)和發(fā)展趨勢。經(jīng)過對安全事件、審計日志和一些輔助信息的分析，能夠生成實時態(tài)勢報表、態(tài)勢告警、態(tài)勢預(yù)案等安全態(tài)勢分析報告，對總體的安全建設(shè)提供有價值的指導(dǎo)意見。安全態(tài)勢分析需要綜合眾多最新的信息安全管理技術(shù)，具有極大的理論價值和實用價值。

第7篇

摘要本文簡述了辦公自動化的概念、特征及發(fā)展趨勢，也說明了當前企業(yè)實現(xiàn)辦公自動化過程中出現(xiàn)的問題及防治對策。

關(guān)鍵詞辦公自動化特征趨勢問題對策

一、前言

辦公自動化系統(tǒng)是由計算機技術(shù)、通訊技術(shù)等高新技術(shù)所支撐的輔助辦公的自動化手段，其主要包括：電子信箱、視聽、電子顯示屏、文字處理、共用信息庫、日常事務(wù)、網(wǎng)站管理等若干部分。它主要完成各類電子數(shù)據(jù)處理，對各類信息實施有效管理，輔助決策者做出正確迅速的決定或幫助其快捷迅速完成工作等功能。

辦公自動化是辦公人員利用現(xiàn)代科學(xué)技術(shù)的最新成果，借助先進的辦公設(shè)備，實現(xiàn)辦公科學(xué)化、自動化、電子化。其目的是最大限度提高辦公效率和改進辦公質(zhì)量，改善辦公環(huán)境和條件，輔助決策，減少或避免各種差錯，縮短辦公處理周期，通過科學(xué)的管理方法，借助于先進技術(shù)，提高管理和決策的科學(xué)化水平，從而實現(xiàn)辦公業(yè)務(wù)自動化。

二、辦公自動化系統(tǒng)的基本特征

（一）交互性

一般的數(shù)據(jù)處理是單一的控制流，有事先確定的輸入輸出，無需人的干預(yù)；辦公自動化系統(tǒng)則往往需要根據(jù)不同的輸入調(diào)動不同的控制，因而人機對話，人的干預(yù)是必不可少的。

（二）協(xié)同性

辦公活動通常是有組織的分層次的群體活動。因此，辦公自動化系統(tǒng)應(yīng)支持一個組織機構(gòu)內(nèi)的所有工作人員能夠進行協(xié)同工作，以完成一項共同的任務(wù)。

（三）多學(xué)科交叉

辦公自動化系統(tǒng)的建立和發(fā)展是相關(guān)的現(xiàn)代科學(xué)技術(shù)交叉融合的結(jié)果，是以計算機科學(xué)、信息科學(xué)、行為科學(xué)、管理科學(xué)、系統(tǒng)工程學(xué)和現(xiàn)代通信技術(shù)等作為支撐平臺的。

（四）網(wǎng)絡(luò)化

現(xiàn)代辦公自動化系統(tǒng)是基于計算機網(wǎng)絡(luò)的，包括局域網(wǎng)（LAN）、因特網(wǎng)（Internet）、內(nèi)聯(lián)網(wǎng)（Intranet）和外聯(lián)網(wǎng)（Extranet）等。

（五）對象的多樣性

對于事物處理型辦公自動化系統(tǒng)，應(yīng)用對象的需求相對比較一致，表現(xiàn)在有通用的商品化應(yīng)用軟件。而在信息管理型辦公自動化系統(tǒng)和決策支持型辦公自動化系統(tǒng)層次，則呈現(xiàn)出應(yīng)用對象多樣性的特征，表現(xiàn)在商品化OAS應(yīng)用軟件的行業(yè)性和專業(yè)性。

三、辦公自動化的發(fā)展趨勢

隨著三大核心支柱技術(shù)：網(wǎng)絡(luò)通訊技術(shù)計算機技術(shù)和數(shù)據(jù)庫技術(shù)的成熟，世界上的OA已進入了新的層次，在新的層次中系統(tǒng)有四個新的特點：

1．集成化。軟硬件及網(wǎng)絡(luò)產(chǎn)品的集成，人與系統(tǒng)的集成，單一辦公系統(tǒng)同社會公眾信息系統(tǒng)的集成，組成了“無逢集成”的開放式系統(tǒng)。

2．智能化。面向日常事務(wù)處理，輔助人們完成智能性勞動。

3．多媒體化。包括對數(shù)字文字圖象聲音和動畫的綜合處理。

4．運用電子數(shù)據(jù)交換。通過數(shù)據(jù)通訊網(wǎng)，在計算機間進行交換和自動化處理。

辦公自動化的趨勢，要求企業(yè)使用由綜合數(shù)據(jù)庫系統(tǒng)所提供的信息中，針對所需做出決策的課題，構(gòu)造或選用決策數(shù)字模式，結(jié)合有關(guān)內(nèi)部和外部的條件，由計算機執(zhí)行決策程序，作出相應(yīng)的決策。

四、目前企業(yè)辦公自動化的現(xiàn)狀及問題

（一）目前企業(yè)辦公自動化的現(xiàn)狀

我國的辦公自動化建設(shè)經(jīng)歷了一個較長的發(fā)展階段，目前企業(yè)的辦公自動化根據(jù)發(fā)展程度可以劃分為以下四類：

1．起步較慢，還停留在使用沒有聯(lián)網(wǎng)的計算機，使用MSoffice系列wps系列應(yīng)用軟件以提高個人辦公效率。

2．已經(jīng)建立了自己的intranet網(wǎng)絡(luò)，但沒有好的應(yīng)用系統(tǒng)支持協(xié)同工作，仍然是個人辦公。網(wǎng)絡(luò)處于閑置狀態(tài)，企業(yè)的投資沒有產(chǎn)生應(yīng)有的效益。

3．已經(jīng)建立了自己的intranet網(wǎng)絡(luò)，企業(yè)內(nèi)部員工通過電子郵件交流信息，實現(xiàn)了有限的協(xié)同工作，但產(chǎn)生的效益不明顯。

4．已經(jīng)建立了自己的intranet網(wǎng)絡(luò)：使用經(jīng)二次開發(fā)的通用辦公自動化系統(tǒng)；能較好地支持信息共享和協(xié)同工作，與外界聯(lián)系的信息渠道暢通；通過internet，宣傳企業(yè)的產(chǎn)品技術(shù)服務(wù)；intranet網(wǎng)絡(luò)已經(jīng)對企業(yè)的經(jīng)營產(chǎn)生了積極的效益。現(xiàn)在正著手開發(fā)或已經(jīng)在使用針對業(yè)務(wù)定制的綜合辦公自動化系統(tǒng)，實現(xiàn)科學(xué)的管理和決策，增強企業(yè)的競爭能力，使企業(yè)不斷發(fā)展壯大。

（二）企業(yè)實現(xiàn)辦公自動化面臨的問題

隨著計算機技術(shù)的發(fā)展，辦公自動化系統(tǒng)從最初的漢字輸入問題處理排版編輯查詢檢索等單機應(yīng)用軟件逐漸發(fā)展成為現(xiàn)代化的網(wǎng)絡(luò)辦公系統(tǒng)，通過聯(lián)網(wǎng)將單項辦公業(yè)務(wù)系統(tǒng)聯(lián)成一個辦公系統(tǒng)。再通過遠程網(wǎng)絡(luò)將多個系統(tǒng)聯(lián)結(jié)成更大范圍的辦公自動化系統(tǒng)。建立企業(yè)內(nèi)部網(wǎng)（intranet），企業(yè)外部網(wǎng)（extranet），已經(jīng)成為辦公自動化發(fā)展的必然趨勢。目前，在實現(xiàn)辦公自動化的進程中還有以下問題需要注意：

1．效率。辦公人員大都非計算機專業(yè)人員，他們的計算機知識尤其是計算機操作系統(tǒng)及硬件知識的缺乏，導(dǎo)致辦公效率的降低，也造成系統(tǒng)管理員工作量的增大，如系統(tǒng)維護、防毒治毒、軟件升級。計算機技術(shù)的發(fā)展可謂一日千里，軟硬件的升級換代將更加頻繁，這就意味著系統(tǒng)后期成本居高不下。

2．安全性。人們對信息的價值有了更深的認識，因而對信息的存儲和保密也就更加重視，而今，病毒的破壞黑客的入侵都將對系統(tǒng)信息以致命的打擊。防止重要部門的重要信息被竊或流失已成為工作中的當務(wù)之急。

五、企業(yè)實現(xiàn)辦公自動化的對策措施

（一）建立嚴格的使用權(quán)限和層次分明的管理制度

從保密和安全的角度，對進入辦公系統(tǒng)的用戶，采取按部門職務(wù)，進行優(yōu)先等級和功能模塊的設(shè)定。企業(yè)最高領(lǐng)導(dǎo)有權(quán)進入所有的模塊，能查看到所有文檔，但為了防止誤操作，封掉了有些不會用到的修改功能。企業(yè)最高領(lǐng)導(dǎo)有權(quán)簽發(fā)查閱人事資料等與本部門有關(guān)的工作。無密碼就進入不了系統(tǒng)，有密碼無權(quán)限時，進入了系統(tǒng)，也只是告訴你無權(quán)使用；有密碼有權(quán)限無功能，重要操作不顯示操作鈕。可見信息化部門要把握好角色權(quán)限和密碼的設(shè)定，這樣，辦公自動化系統(tǒng)的寶貴數(shù)據(jù)才能高枕無憂。要建立辦公自動化管理制度和考核辦法，明確單位的責(zé)任領(lǐng)導(dǎo)責(zé)任部門和直接責(zé)任人的工作職責(zé)和任務(wù)，制定相應(yīng)的獎懲措施，推行一套融管理監(jiān)督激勵相一致的有效機制。

（二）牢固樹立信息安全意識

1．要牢固樹立網(wǎng)絡(luò)安全意識。要樹立保密意識，高度重視網(wǎng)絡(luò)安全工作，不得將內(nèi)部的計算機設(shè)備和網(wǎng)絡(luò)接入網(wǎng)絡(luò)，不準在網(wǎng)上傳輸和存放信息。各單位主要責(zé)任人為網(wǎng)絡(luò)安全的第一責(zé)任人，信息員為具體責(zé)任人，各司其職，將工作落到實處。

2．要做好計算機信息網(wǎng)絡(luò)技術(shù)安全管理工作。信息化部門要加強技術(shù)及管理知識的學(xué)習(xí)，經(jīng)常對各單位網(wǎng)絡(luò)進行檢查，對存在的問題及時指出及時糾正，務(wù)必確保安全。建立安全事件報告制度，各單位一旦發(fā)現(xiàn)網(wǎng)絡(luò)安全事件，必須在第一時間向信息化部門報告。

3．要加強網(wǎng)絡(luò)設(shè)備的管理，凡安裝維護連接和設(shè)置，均由信息化部門統(tǒng)一負責(zé)，嚴禁隨意更換改變其物理的位置形態(tài)性能，嚴禁改變其連接關(guān)系運行狀態(tài)和系統(tǒng)的設(shè)置。

（三）要提高辦公人員計算機能力

辦公系統(tǒng)在初始啟動時，大量的資料需要輸入，許多表結(jié)構(gòu)需要進行設(shè)置。信息化部門的工作人員要從用戶的角度出發(fā)，提高辦公人員的計算機操作能力與基本維護能力。通過系統(tǒng)的培訓(xùn)使辦公人員能夠熟練的操作辦公自動化系統(tǒng)，保證了辦公自動化系統(tǒng)的良性運行。

（四）勤維護，常保養(yǎng)，使辦公自動化系統(tǒng)處于最佳的運行狀態(tài)中

優(yōu)秀范文