企業網絡安全法規

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業網絡安全法規范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

企業網絡安全法規范文第1篇

關鍵詞：網絡安全；防火墻；網絡管理；VPN

一、 前言

我國的網絡安全產業經過十多年的探索和發展已得到長足了發展。特別是近幾年來，隨著我國互聯網的普及以及政府和企業信息化建設步伐的加快，對網絡安全的需求也以前所未有的速度迅猛增長，這也是由于網絡安全問題的日益突出，促使網絡安全企業不斷采用最新安全技術，不斷推出滿足用戶需求、具有時代特色的安全產品，也進一步促進了網絡安全技術的發展。

二、 企業網絡安全系統現狀

如果想從根本上克服網絡安全問題，我們需要首先分析距真正意義上的網絡安全到底存在哪些差距。

就目前而言，企業的網絡安全還存在這樣或那樣的問題，離真正的安全的網絡還有不可逾越的差距。

1. 網絡安全管理體系不完善，需要通過實施策略對流程進行細化，其它體系也需要按照網絡安全管理體系和流程要求不斷完善其內容。

2. 涉及網絡安全的各個層次，特別是基層人員對網絡安全工作的重要性認識不足，必須強化把網絡安全作為一項重點工作開展，并對如何開展安全工作和需要做哪些安全工作、達到什么目標有明確要求。

3. 網絡安全管理組織不完整，現階段網絡/應用系統的安全工作基本上由各維護單位和人員承擔，安全責任相對比較分散，存在一定程度的安全責任無法落實到具體人的現象。

4. 具有普及性的安全教育和培訓不足，人員信息安全意識水平不統一。

5. 在物理與環境安全、系統和網絡安全管理、系統接入控制方面仍然存在一定差距，在安全策略、安全組織、人員管理、資產分類控制、安全審計方面存在明顯不足。

6. 防病毒系統沒有實現整體統一，存在防病毒的局部能力不足。

7. 網絡/應用系統防護上采取了防火墻等安全產品和硬件冗余等安全措施，但安全產品之間無法實現聯動，安全信息無法挖掘，安全防護效果低，投資重復，存在一定程度的安全孤島現象。另外，安全產品部署不均衡，各個系統部署了多個安全產品，但在系統邊界存在安全空白，沒有形成縱深的安全防護。

8. 對終端管理沒有統一策略，操作系統版本、操作系統補丁等沒有統一的標準和管理。

9. 沒有應急響應流程和業務持續性計劃，發生安全事件后的處理和恢復流程不足，對可能造成的業務中斷沒有緊急預案。

三、企業網絡安全對策

現階段，為了保證網絡的正常運行，可采用以下幾種技術方法：

1.防范網絡病毒。網絡病毒傳播擴散快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有適合于局域網的全方位防病毒產品。所以，最好使用全方位的防病毒產品，針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過全方位、多層次的防病毒系統的配置，通過定期或不定期的自動升級，使網絡免受病毒的侵襲。

2.設置防火墻。利用防火墻在網絡通信時執行一種訪問控制尺度，允許防火墻同意訪問的人與數據進入自己的內部網絡，同時將不允許的用戶與數據拒之門外，最大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。

3.VPN： 企業規模的擴大，不同分支機構之間的網絡連接既要考慮到安全可靠，又同時要考慮到成本問題，所有的網絡通訊均使用專線連接固然是安全，但成本因素卻是無法回避的問題。因而，安全、廉價的VPN技術應運而生并得到了廣泛的應用，通過在網絡邊界處架設VNP網關，實現企業的分支機構間通過Internet實現安全可靠的低成本連接。

4.采用入侵檢測系統。入侵檢測系統能夠識別出任何不希望有的活動，并限制這些活動，以保護系統的安全。內部局域網采用入侵檢測技術，最好采用混合入侵檢測，在網絡中同時采用基于網絡和基于主機的入侵檢測系統，構架成一套完整的主動防御體系。

5.建立網絡安全監測系統。在網絡的www服務器、E-mail服務器等中使用網絡安全監測系統，實時跟蹤、監視網絡，截獲網上傳輸的內容，并將其還原成完整的www、E-mail、FTP、Telnet應用的內容，同時建立保存相應記錄的數據庫，發現在網絡上傳輸的非法內容，及時向上級安全網管中心報告，予以解決。

6.利用網絡監聽并維護子網系統安全。對于網絡內部的侵襲，可以采用對各個子網建立一個具有一定功能的過濾文件，為管理人員分析自己的網絡運作狀態提供依據。設計一個子網專用的監聽程序，該軟件的主要功能是長期監聽子網絡內計算機間相互聯系的情況，為系統中各個服務器的過濾文件提供備份。

7.安全技術培訓

    提供層次化的安全專題講座，包括安全技術基礎、各操作系統安全、信息安全管理以及一系列培訓。

四、結論

綜合以上的分析，我們可以得出一個結論：那就是企業當前所面臨的安全形勢在變得更加嚴峻，不同種類的安全威脅混合在一起給企業網絡的安全帶來了極大的挑戰，從而要求我們的網絡安全解決方案集成不同的產品與技術，來針對性地抵御各種威脅。我們的總體目標就是通過信息與網絡安全工程的實施，建立完整的企業信息與網絡系統的安全防護體系，在安全法律、法規、政策的支持與指導下，通過制定客戶化的安全策略采用合適的安全技術和進行制度化的安全管理，保障企業信息與網絡系統穩定可靠地運行，確保企業與網絡資源受控合法地使用。

參考文獻：

[1]盧開澄：《計算機密碼學—計算機網絡中的數據預安全》（清華大學出版社 1998）

[2]余建斌：《黑客的攻擊手段及用戶對策》（北京人民郵電出版社 1998）

[3]蔡立軍：《計算機網絡安全技術》（中國水利水電出版社 2002）

企業網絡安全法規范文第2篇

[關鍵詞]大數據；中小企業；網絡營銷；網絡信息

1.引言

“大數據”是現代高科技時代的產物，2012年起被越來越多的國人提及，這不僅是技術上的變革，更是為我們提供了一個有效方法，對社會經濟生活各個領域產生了深遠的影響。據CNNIC的第36次《中國互聯網絡發展狀況統計報告》，截至2015年6月，我國網民規模達到6.68億，互聯網普及率達到48.8%，通過互聯網，掌握和使用大數據，可以為中小企業制定新營銷方案提供依據，為企業創造更多財富。

中小企業以其獨特的優勢在國民經濟發展中占有越來越重要的位置，成為經濟的新增長點，解決了社會就業難題，對于建設和諧社會具有不可替代的作用。網絡營銷是借助互聯網信息技術以實現企業營銷目標所開展的各種營銷活動。在大數據時代，有很多我們以前不敢想的事情發生，例如，在淘寶平臺，商家可以經過大數據的篩選，了解整個行業各品牌的銷售狀況，了解商家的排名和消費者的消費喜好。隨著網絡營銷在中小企業中的普及率不斷提高，有必要分析大數據時代下中小企業網絡營銷存在的問題并提出有針對性的對策供其參考。

2.中小企業網絡營銷現存問題

2.1大數據處理能力較弱

由于中小企業資金有限，不能全力投放到網站建設和網絡營銷中，導致其運營和管理方面存在效率低下、功能殘缺等弊端，不能全面開發、維護和利用。又由于網絡數據巨大，只有具備較強的信息技術處理能力才能對海量數據進行處理，而中小企業基礎建設和人才的匱乏，很難支撐和完成各項功能，很難充分利用大數據提供的信息資源改進產品和提高銷售水平。

2.2復合型網絡營銷人才短缺

面對快速發展的信息技術和網絡營銷手段，中小企業缺少既懂得網絡技術又精通營銷的復合型專業人才。本身各高校人才培養相對滯后，社會上懂技術又有實踐經驗的人才匱乏，又由于中小企業的待遇和發展前景不能夠吸引專業人才，導致與大企業競爭處于劣勢，缺少人才就不能很好利用大數據和現代營銷工具，使中小企業網絡營銷發展受到限制。

2.3網絡信息安全問題嚴重

大數據時代個人信息泄露嚴重，引起客戶不安全感，制約了網絡營銷的發展。中小企業可以通過分析瀏覽器記錄的客戶瀏覽習慣和購買興趣，可以根據消費者行為分析發現潛在客戶和新商機，創造出更大利潤，但客戶的個人信息同時也被掌握，如何保護客戶信息不僅僅是技術上的完善，還要有法律上的保障措施。目前，我國缺少相關法律法規，規范合理合法使用大數據的行為。

2.4配套服務水平有待提高

中小企業由于電子化水平的局限，影響了網絡營銷的實際效果，商品介紹、在線咨詢、貨款支付、物流配貨、售后服務等配套服務水平都不盡如人意，溝通不暢，影響客戶的購買積極性。大數據時代，中小企業如果不能收集、分析客戶相關信息，提供有針對性的服務，必將在與其他企業的競爭中被打敗。目前，特別是物流和售后服務方面問題較多，不能滿足客戶的要求，制約其發展。

2.5網絡營銷效果評估檢測機制不健全

很多中小企業對網絡營銷理解不夠，只是在網絡平臺上進行產品銷售，以為只是增加一個分銷渠道，認為銷售增長就是評價好壞的標準，沒有真正站在長期發展的高度提高企業社會知名度、提高品牌價值，沒有利用大數據從客戶角度分析以滿足客戶需求，提高客戶忠誠度，更沒有用專業的效果評估檢測手段對網絡營銷效果進行評測，直接影響企業未來發展。

3.基于大數據中小企業網絡營銷的對策

3.1重視網站建設和運營管理

中小企業要真正意識到網絡營銷的意義和無限潛力，重視網站建設，結合企業特點設計科學的網絡推廣方案，以客戶為本，依據大數據分析客戶的需求變化和購物喜好，加大資金投入力度，用心維護網站，實時更新和利用，根據越來越多樣化和個性化的需求，有針對性地開展網絡營銷活動，提高瀏覽者興趣，保持客戶的忠誠度，最終實現銷售的穩步增長。

3.2加強復合型網絡營銷人才隊伍建設

中小企業面對復合型網絡營銷人才不能滿足需要的現狀，應采取多種手段，一方面加大企業現有人員的培訓力度，加強網絡技術和營銷方面的專業知識培訓，增強實操能力；另一方面加大企業投入力度，運用有效的激勵機制吸引高水平復合型專業人才加入到企業中，組建人才隊伍，不斷完善選人、用人機制，適應時代要求，利用現代信息技術更好地完成網絡營銷工作。

3.3完善網絡信息安全法律法規

網絡信息安全的保障問題是推進網絡營銷發展的基礎條件，每名消費者都希望消費行為發生時自己的個人隱私權得到保護，企業有義務在利用大數據的同時提供安全保障措施保護好客戶的隱私安全，贏得客戶信任。政府必須給予支持，完善網絡安全的相關法律法規，同時進行監督，嚴懲破壞網絡秩序的違法行為，打擊虛假廣告、個人信息泄露，保證網絡環境的安全和穩定。

3.4提高網絡服務水平

中小企業要重視網絡服務，完善相關制度，優化網絡營銷系統，根據大數據分析結果提供個性化、24小時貼身服務，做到以客戶為中心，達到客戶滿意為止。安全快捷的網上支付環境，特別是物流渠道的選擇，要高效、迅捷，保障物流更好服務于現代網絡營銷。滿意的售后服務也是中小企業必須做到的，針對客戶的需求和訴求，建立完善的售后服務系統，保障企業良好信譽。

3.5建立科學的網絡營銷效果評估檢測體系

中小企業要采用科學有效的網絡營銷效果評估檢測手段，通過對比參考標準進行指標體系的核算，多方位、多角度、客觀評價網絡營銷效果，及時發現和分析網絡營銷過程中存在的問題，針對競爭對手情況并結合自身實際提出改進方案，完善網絡營銷方法，并要進行動態的調整和更新，達到更好效果，對企業產生長遠有益的影響。

3.6采用網絡營銷新手段

社會的發展和技術的進步，創新出新的營銷手段。中小企業要適應時代變化趨勢，結合自身特點，利用大數據分析客戶需求，選擇靈活有效的網絡營銷新手段，如通過與百度等大型門戶網站合作，提升搜索頻率和被訪問次數；借助網絡社區和論壇等開展針對化營銷；應用微信、手機APP等進行企業品牌推廣，降低成本，爭取更多商機。

企業網絡安全法規范文第3篇

一、電力企業信息安全風險分析

隨著企業的生產指揮,經營管理等經營活動越來越依賴于計算機信息系統,如果這些系統遭到破壞,造成數據損壞,信息泄漏,不能提供服務等問題,則將對電網的安全運行,電力企業的生產管理以及經濟效益等造成不可估量的損失,高技術在帶來便利與效率的同時,也帶來了新的安全風險和問題。

1、電力公司信息安全的主要風險分析

信息安全風險和信息化應用情況密切相關,和采用的信息技術也密切相關,電力公司信息系統面臨的主要風險存在于如下幾個方面:

（1）計算機病毒的威脅最為廣泛：計算機病毒自產生以來,一直就是計算機系統的頭號敵人,在電力企業信息安全問題中,計算機病毒發生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞,系統數據和文件系統破壞,系統無法提供服務甚至破壞后無法恢復,特別是系統中多年積累的重要數據的丟失,損失是災難性的。

在目前的局域網建成,廣域網聯通的條件下,計算機病毒的傳播更加迅速,一臺計算機感染病毒,在兩三天內可以感染到區域內所有單位的計算機系統。病毒傳播速度,感染和破壞規模與網絡尚未聯通之時相比,高出幾個數量級。

（2）網絡安全問題日益突出：企業網絡的聯通為信息傳遞提供了方便的途徑。企業有許多應用系統如:辦公自動化系統,用電營銷系統,遠程教育培訓系統等,通過廣域網傳遞數據。企業開通了互聯網專線寬帶上網,企業內部職工可以通過互聯網方便地收集獲取信息,發送電子郵件等。

網絡聯通也帶來了網絡安全問題。企業內部廣域網上的用戶數量多且難于進行管理,互聯網更是連接到國際上的各個地方,什么樣的用戶都有。內部網,互聯網上的一些用戶出于好奇的心理,或者蓄意破壞的動機,對電力公司網絡上的連接的計算機系統和設備進行入侵,攻擊等,影響網絡上信息的傳輸,破壞軟件系統和數據,盜取企業商業秘密和機密信息,非法使用網絡資源等,給企業造成巨大的損失。更有極少數人利用網絡進行非法的,影響國家安定團結的活動,造成很壞的影響。

如何加強網絡的安全防護,保護企業內部網上的信息系統和信息資源的安全,保證對信息網絡的合法使用,是目前一個熱門的安全課題,也是電力企業面臨的一個非常突出的安全問題。

（3）信息傳遞的安全不容忽視：隨著辦公自動化,財務管理系統,用電營銷系統等生產,經營方面的重要系統投入在線運行,越來越多的重要數據和機密信息都通過企業的內部廣域網來傳輸。同時電力公司和外部的政府,研究院所,以及國外有關公司都有著許多的工作聯系,日常許多信息,數據都需要通過互聯網來傳輸。

網絡中傳輸的這些信息面臨著各種安全風險,例如被非法用戶截取從而泄露企業機密;被非法篡改,造成數據混亂,信息錯誤從而造成工作失誤。非法用戶還有可能假冒合法身份,發送虛假信息,給正常的生產經營秩序帶來混亂,造成破壞和損失。因此,信息傳遞的安全性日益成為企業信息安全中重要的一環。

（4）用戶身份認證和信息系統的訪問控制急需加強：企業中的信息系統一般為特定范圍的用戶使用,信息系統中包含的信息和數據,也只對一定范圍的用戶開放,沒有得到授權的用戶不能訪問。為此各個信息系統中都設計了用戶管理功能,在系統中建立用戶,設置權限,管理和控制用戶對信息系統的訪問。這些措施在一定能夠程度上加強系統的安全性。但在實際應用中仍然存在一些問題。

一是部分應用系統的用戶權限管理功能過于簡單,不能靈活實現更細的權限控制,甚至簡單到要么都能看,要么都不能看。二是各應用系統沒有一個統一的用戶管理,企業的一個員工要使用到好幾個系統時,在每個應用系統中都要建立用戶賬號,口令和設置權限,用戶自己都記不住眾多的賬號和口令,使用起來非常不方便,更不用說賬號的有效管理和安全了。

如何為各應用系統提供統一的用戶管理和身份認證服務,是我們開發建設應用系統時必須考慮的一個共性的安全問題。

（5）實時控制系統和數據網絡的安全至關重要：電網的調度指揮,自動控制,微機保護等領域的計算機應用在電力企業中起步早,應用水平高,不但實現了對電網運行狀況的實時監視,還實現了對電網一次設備的遙控,遙調以及保護設備的遠方管理。隨著數據網的建設和應用,這些電網監視和控制方面的系統逐步從采用專線通道傳輸數據轉移到通過數據網絡來傳送數據和下發控制指控令。由于這些計算機系統可以直接管理和操作控制電網一次設備,系統的安全可靠,數據網的安全可靠,信息指令傳輸的實時性等直接關系著電網的安全,其安全等級要求高于一般的廣域網系統。

同時,這些電網控制和監視系統中的許多信息又是生產指揮,管理決策必不可少的,需要通過和生產管理局域網互聯,將數據傳送生產管理信息系統中,供各級領導和各專業管理人員察看,使用。數據網和生產管理局域網的互聯帶來了不同安全等級的網絡互連的安全問題。

（6）電子商務的安全逐步提上議事日程：隨著計算機信息系統在電力市場,用電營銷,財務管理等業務中的深入應用,電子商務在電力企業的應用開始起步。例如:電力市場系統中發電廠和電網公司之間的報價,電力交易,電費結算等都將通過計算機信息系統來實現和完成,這可以視為電子商務中常提到的B2B模式。用電營銷系統中的電費計費結算,用戶買電交費,銀電聯網代收電費等,是典型的電力公司和用戶之間的電子交易,可以視為電子商務中的B2C模式;以后還有物資采購等方面的電子商務系統。

隨著電子商務在電力企業中的應用逐步推廣和深入,如何保障電子交易的安全,可靠,即電子商務安全問題也會越來越突出。

二、解決信息安全問題的基本原則

統籌規劃,分步實施。要建立完整的信息安全防護體系,絕不能一哄而上,必須分清需求的輕重緩急,根據信息化建設的發展,結合信息系統建設和應用的步伐,統一規劃,分步建設,逐步投資。

1、做好安全風險的評估。進行安全系統的建設,首先必須做好安全狀況評估分析,評估應聘請專業信息安全咨詢公司,并組織企業內部信息人員和專業人員深度參與,全面進行信息安全風險評估,找出問題,確定需求,制定策略,再來實施,實施完成后還要定期評估和改進。

信息安全系統建設著重點在安全和穩定,應盡量采用成熟的技術和產品,不能過分求全求新。培養信息安全專門人才和加強信息安全管理工作必須與信息安全防護系統建設同步進行,才能真正發揮信息安全防護系統和設備的作用。

2、采用信息安全新技術,建立信息安全防護體系

企業信息安全面臨的問題很多,我們可以根據安全需求的輕重緩急,解決相關安全問題的信息安全技術的成熟度綜合考慮,分步實施。技術成熟的,能快速見效的安全系統先實施。

3、計算機防病毒系統

計算機防病毒系統是發展時間最長的信息安全技術,從硬件防病毒卡,單機版防病毒軟件到網絡版防病毒軟件,到企業版防病毒軟件,技術成熟且應用效果非常明顯。防病毒軟件系統的應用基本上可以防治絕大多數計算機病毒,保障信息系統的安全。

在目前的網絡環境下,能夠提供集中管理,服務器自動升級,客戶端病毒定義碼自動更新,支持多種操作系統平臺,多種應用平臺殺毒的企業版殺毒軟件,是電網公司這樣的大型企業的首選。個人版本的殺毒軟件適合家庭,小規模用戶。

4、網絡安全防護系統

信息資源訪問的安全是信息安全的一個重要內容,在信息系統建設的設計階段,就必須仔細分析,設計出合理的,靈活的用戶管理和權限控制機制,明確信息資源的訪問范圍,制定信息資源訪問策略。

對于已經投入使用的信息系統,可以通過采用增加安全訪問網關的方法,來增強原有系統的用戶管理和對信息資源訪問的控制,以及實現單點登陸訪問任意系統等功能。這種方式基本上不需要改動原來的系統,實施的技術難度相對小一些。對于新建系統,則最好采用統一身份認證平臺技術,來實現不同系統通過同一個用戶管理平臺實現用戶管理和訪問控制。

5、開展信息安全專題研究,為將來的應用做好準備

電網實時監視與控制系統的安全問題要求更高,技術難度更大,應開展專題研究。

國家有關部門和電力企業對電網實時監視與控制系統的安全問題高度重視,專門發文要求確保電網二次系統的計算機和網絡系統的安全,要實現調度控制系統,數據網與其他生產管理系統和網絡的有效隔離,甚至是物理隔離。

6、電子商務安全需要深入研究和逐步應用

電子商務的安全牽涉很多方面,包括嚴格,安全的身份的認證技術,對涉及商業機密的信息實現加密傳輸,采取數字簽名技術保證合同和交易的完整性及不可否認性等。這些方面又與信息安全基礎技術平臺密切相關,因此安全基礎平臺的建設對于電子商務的安全應用是至關重要的。目前已經有電子商務的應用系統投入在線使用,我們必須加快對電子商務的安全的研究和應用,否則將來會出現因電子在線交易不安全,不可靠的而導致電子商務系統無人敢用的局面。

7、依據法規,遵循標準,提高安全管理水平

信息安全的管理包括了法律法規的規定,責任的分化,策略的規劃,政策的制訂,流程的制作,操作的審議等等。雖然信息安全"七分管理,三分技術"的說法不是很精確,但管理的作用可見一斑。

三、解決信息安全問題的思路與對策

電力企業的信息安全管理相對來說還是一個較新的話題,國內其他電力企業也在積極研究和探討,以下是一些粗淺的看法。

1、依據國家法律,法規,建立企業信息安全管理制度

國家在信息安全方面了一系列的法律法規和技術標準,對信息網絡安全進行了明確的規定，并有專門的部門負責信息安全的管理和執法。企業首先必須遵守國家的這些法律法規和技術標準,企業也必須依據這些法律法規,來建立自己的管理標準,技術體系,發表信息安全工作。學習信息安全管理國際標準,提升企業信息安全管理水平，國際上的信息技術發展和應用比我們先進,在信息安全領域的研究起步比我們更早,取得了很多的成果和經驗,我們可以充分利用國際標準來發表我們的工作,提高水平,少走彎路。

信息安全是企業信息化工作中一項重要而且長期的工作,為此必須各單位建立一個信息安全工作的組織體系和常設機構,明確領導,設立專責人長期負責信息安全的管理工作和技術工作,長能保證信息安全工作長期的,有效的開展,才能取得好的成績。

2、開展全員信息安全教育和培訓活動

安全意識和相關技能的教育是企業安全管理中重要的內容,信息安全不僅僅是信息部門的事,它牽涉到企業所有的員工,為了保證安全的成功和有效,應當對企業各級管理人員,用戶,技術人員進行安全培訓,減少人為差錯,失誤造成的安全風險。

開展安全教育和培訓還應該注意安全知識的層次性,主管信息安全工作的負責人或各級管理人員,重點是了解,掌握企業信息安全的整體策略及目標,信息安全體系的構成,安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等;用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。

3、充分利用企業網絡條件,提供全面,及時和快捷的信息安全服務

山東省電力公司廣域網聯通了系統內的各個二級單位,各單位的局域網全部建成,在這種良好的網絡條件下,作為省公司一級的信息安全技術管理部門應建立計算機網絡應急處理的信息與技術支持平臺,安全公告,安全法規和技術標準,提供安全軟件下載,搜集安全問題,解答用戶疑問,提供在線的信息安全教育培訓,并為用戶提供一個相互交流經驗的場所。網絡方式的信息服務突破了時間,空間和地域的限制,是信息安全管理和服務的重要方式。

4、在發展中求安全

沒有百分之百安全的技術和防護系統黑客技術,計算機病毒等信息安全攻擊技術在不斷發展的,人們對它們的認識,掌握也不是完全的,安全防護軟件系統由于技術復雜,在研制開發過程中不可避免的會出現這樣或者那樣的問題,這勢必決定了安全防護系統和設備不可能百分百的防御各種已知的,未知的信息安全威脅。

不是所有的信息安全問題可以一次解決

人們對信息安全問題的認識是隨著技術和應用的發展而逐步提高的,不可能一次就發現所有的安全問題。信息安全生產廠家所生產的系統和設備,也僅僅是滿足某一些方面的安全需求,不是企業有某一方面的信息安全需求,市場上就有對應的成熟產品,因此不是所有的安全問題都可以找到有效的解決方案。

企業網絡安全法規范文第4篇

關鍵詞:電子商務;政策法規;支持體系

一、國內電子商務的現狀與存在的問題

電子商務(electronic commerce)指的是利用簡單、快捷、低成本的電子通訊方式而進行各種商貿活動。其主要包含兩個方面的內容:一是電子方式,二是商貿活動,也就是電子+商務。

20世紀90年代初,互聯網商業化和社會化的發展,從根本上改變了傳統的產業結構和市場運作方式,電子商務出現了前所未有的增長勢頭。美國政府就認為:電子商務的發展是未來1/4世紀世界經濟發展的一個重要推動力,甚至可以與200年前工業革命對經濟發展的促進相提并論。其國內著名的信息市場研究公司――國際數據公司也預測:在未來幾年內世界上可能出現的最大產業之一就是電子商務。為了能夠在電子商務的大潮中站穩腳,世界各國都紛紛將其作為發展重心,我國也不例外。

1996年2月中國國際電子商務中心的成立標志著我國電子商務的開始。根據CCID的研究分析資料:截至2002年12月,我國消費類電子商務網站2277家,其中綜合類網站285家,專業類網站1992家,能有效運行的737家;B2B網站1527家,其中綜合類網站189家,專業類網站1338家,能有效運行的796家;B2C電子商務交易額為25億元,年增長率90%;B2B交易額為1784億元,年增長率65.9%。與此同時,9大互聯網絡單位與中國國家互聯網交換中心(NAP)的互聯互通帶寬總和達到了21412M,寬帶接入取得了大幅度的增長,用戶數達417萬戶。同時,全國現代化支付系統也取得了實質性進展,2002年1月8日大額實時支付系統在北京、武漢兩地成功投入運行,2003年2月底前完成在上海、天津、濟南、沈陽、成都、西安、深圳和海口等11個經濟發達的主要城市推廣,初步形成了一個全國性的跨行、跨地區銀行卡信息交換網絡。

而2004年《電子簽名法》的頒布則更是我國電子商務發展過程中的里程碑事件,它是我國第一部真正意義上的電子商務法。相隔不到半年時間政府又出臺了《國務院辦公廳關于加快電子商務發展的若干意見》,這是第一個電子商務政策性文件,為我國電子商務的發展進一步規范了環境。

盡管我國電子商務取得的成績是可喜的,政府也為其發展做出了很大的努力,但從總體來看,目前我國電子商務的發展還面臨著嚴峻的內外環境:政策法規不健全,政企不分,壟斷依然存在,企業網絡意識相當薄弱,金融電子化還沒實現,信用制度不完整,相關專業人才十分缺乏。電子商務只是在媒體、技術方案提供商、網絡廠商中很熱,并且多數企業的電子商務還都處在最基礎的信息收集、和交流階段。

基于此,本文將在后續兩部分中結合國外先進的經驗探討一下如何構建我國強有力的電子商務政策法規體系,以支持電子商務向縱深方向發展。

二、國外(美國、日本)電子商務建設政策法規支持體系分析

電子商務的發展是新科技革命的結果,生產力的迅速發展勢必引發生產關系的相應調整,這種調整在電子商務上的重要體現之一就是建立和完善政策法規體系。電子商務政策法規的重要性與一個國家網絡經濟的發展程度是成正比的。世界上電子商務建設比較成功的幾個國家和地區――美國和日本都把制定和修改相應的政策法規放在了首要的位置。盡管這兩個國家的體制與我國不盡相同,但是比較分析它們的電子商務政策法規支持體系,無疑對我國這方面的建設具有積極的借鑒作用。

(一)美國

為了推動電子商務的發展,1996年克林頓政府倡導成立了美國政府電子商務工作組,由該組專門負責制定有關發展電子商務的政策法規,并提出了《全球電子商務綱要》。1997年7月1日,頒布了“全球電子商務框架”文件,該文件強調電子商務的發展應在政府引導的基礎上以民間為主,提出:鼓勵政府認可和接受正式的電子通信(即合同、公證文件等;鼓勵國內和國際規則的協調一致以更支持電子簽名和其他身份認證的可接受性;建立電子注冊處;推動建立其他形式的適當的、有效的國際商業交易的糾紛調解機制;建立軟件和電子數據的許可證交易、使用和權利轉讓;有關的標準和任選的合同履行規則。

隨后的1998年6月,美國國會通過了Internet免稅法案。同時美國商務部為企業設立了網上交易系統和投票競價系統,并為企業提供免費的信息服務。而美國國家標準與技術研究院也獲得了400萬美元的撥款用以研究企業電子商務技術的開發與推廣。另外,在電子支付政策方面,美國政府反對各國采取強制措施對電子支付進行管制。

從1999年1月1日起,美國政府要求聯邦政府所有對外采購均采用電子商務方式,這一舉措被認為是“將美國電子商務推上了高速列車”。另外,為了使公眾對電子商務的安全性放心,美國政府加大了對網上知識產權和數據安全的保護力度:一方面于同年的10月通過了《域名權保護法案》,規定域名與商標保護統一,不得冒用、非法注冊或使用與他人域名十分相似的域名進行網上商業活動;另一方面,積極推廣加密技術和數字簽名技術,倡導世界各國共同接受“經濟合作與發展組織”于1997年3月27日公布的電子資料加密政策。

至此,美國的電子商務在政府一系列政策法規的帶動下取得了飛速的進展。2003年美國B2B貿易的交易額達到了2萬7千億美元,據預測,2007年美國電子商務的交易額將達到2180億美元,相當于零售總額的8%,并將為美國節約至少5-15%的交易成本。電子商務的大好形勢也使美國本土的企業信息化建設進入了一個新的階段――供應鏈管理與客戶關系管理系統在美國已經得到了廣泛的應用。

(二)日本

日本政府在電子商務方面也是重磅出擊。1995年日本政府批準了總額為100億日元的B2C研究計劃用以研究電子結算和電子認證與安全性,同時批準了217.5億日元的B2B研究計劃。1996年又成立了“電子商務促進會”,通產省投資100億日元,聯合350家企業、50多萬用戶開展了聲勢浩大的電子商務促進計劃。1997年4月電信審議會發表了“21世紀的信息通信(中間報告)”提出制定“網絡空間法”等建議。1998年日本政府宣布將對Internet電子商務免稅。1999年11月,郵政省、通產省和法務省聯合公布了“與電子簽名和認證的法律條款――促進電子商務并為基于網絡的社會和經濟活動奠定基礎”的政策性文件。

到2000年,日本電子商務的交易額在亞太地區所占的份額達到了將近70%。2001年日本政府又制定了《關于電子簽名及認證業務的法案》,進一步推動了電子商務的飛速發展。

總而言之,電子商務的成長不僅取決于計算機和網絡技術的發展和成熟,而且在很大程度上取決于政府營造一種有利于電子商務發展的適宜環境。而上述各方面的政策法規構筑了美國、日本強大的電子商務政策法規支持體系,為其本土電子商務的發展提供了良好的外部環境。

三、對國內電子商務建設的啟示――構建有中國特色的電子商務政策法規支持體系

綜觀上述幾個國家的政府在電子商務發展的過程中所起的作用,我們不難看出:國家的政策法規往往對電子商務的建設起著極其重要的引導和創造先決條件的作用。重視電子商務必須先從創造良好的政策法規環境入手,無論是電子商務的啟動、發展還是普及都需要科學、合理、有力的政策環境激勵和法律法規規范。

因此,在這種情況下,我國政府更需加緊制定與此相關的政策法規以帶動電子商務向更深層次發展。具體如下:

第一,針對如何在我國發展電子商務并縮短在這一領域與發達國家的差距,最終形成我國的競爭優勢這一國家宏觀戰略性問題,政府應該制定有關我國電子商務發展總體戰略的藍圖性文件――《中國電子商務發展總體框架》,將電子商務作為一個產業來對待。

第二,政府應該加快大環境下的電子商務具體領域的政策法規建設,并注重和國內現有的電子商務方面政策法規的銜接問題,對現有的政策法規體系進行必要的調整。首先,以資源共享、行業標準與規范建設為重點,開展基于互聯網的行業電子商務應用以及發展新型服務模式與內容的面向消費者的電子商務應用并完善電子商務失信懲戒機制和網絡仲裁法;其次,推進以骨干企業供應鏈管理為重點的企業間電子商務的應用,制定骨干企業電子商務試點政策;再次,支持面向中小型企業、重點行業和區域的第三方電子交易與服務,積極研究第三方支付服務的相關法規,以完善在線支付體系,并重點修訂《電子簽名法》中有關電子支付與結算方面的規定,要嚴格控制電子支付與結算手續的正規化;最后,制定相關的政策法規鼓勵軟件企業開發電子稅收軟件。稅收的電子化非常有益于帶動企業電子商務的發展。另外,我國已經加入了WTO,現在面對的是國際的競爭,所以我國政府還必須制定符合國際標準,能與國際接軌的電子商務標準規范體系。

第三,加強網絡管理,維護網絡安全,為電子商務創造有利的運營環境。事實上在過去的幾年里,國家已經及時地對計算機軟件、信息系統安全和國際聯網等作了法律規范,并了《計算機軟件保護條例》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息系統國際互聯網保密管理規定》和《計算機信息網絡國際聯網管理暫行規定》等政策法規,這對推進全國電子商務的建設起到了積極的作用。但這遠遠不夠,我們應該看到:互聯網本身很難靠傳統的思維模式和管理手段去管理,特別是這種新興經濟的發展帶有很強的不確定性。因此,我們必須主動去適應這種新生事物的新特點,在修訂原有的政策法規基礎上,制定有關公共信息資源管理、網絡管理和數據保護等方面的政策法規,并設置可協助企業部署安全措施的專業部門以加強企業對網絡犯罪的防范,全面提高其信息安全防護能力,以維護正當的商家對商家和商家對消費者交易以及消費者的權益。同時要保護好基礎信息網絡,鼓勵公眾對網絡安全樹立必要的信心,加強信息內容安全,創造安全、健康的網絡環境并繼續加強安全監控體系、密鑰管理體系、網絡信任體系和應急響應體系等信息安全基礎設施建設,建立完善信息安全等級保護、風險評估制度。

這其中尤為重要的是加大網上知識產權的保護力度、管理力度和執法力度,維護企業品牌優勢和技術優勢,以樹立其搞電子商務的信心,其中重點應該研究國內管理軟件行業等方面法規的制定以及個人隱私法、信息安全法等的制定,以填補這些方面的法律空白。與此同時,還要繼續完善有關信息安全認證系統及防范措施,因此,今后一段時間,國家信息安全測評認證中心的工作重點應放在測評標準的建立和加強對授權測評機構的指導和管理測評認證體系的建設上,以構筑起國家維護信息安全的堅實防線。

參考文獻:

1、方美琪.電子商務概論[M].清華大學出版社,1999.

企業網絡安全法規范文第5篇

【關鍵詞】高職 信息安全人才 調研 課程體系

【中圖分類號】G 【文獻標識碼】A

【文章編號】0450-9889（2012）02C-0030-03

一、信息安全的重要意義

信息化時代，信息安全問題日漸凸顯。目前，我國整體的企業信息安全防護能力還很不夠，許多信息系統安全保護程度太低，甚至處于無防范狀態。

企業的正常運作離不開各方面信息資源的支持，如企業的經營計劃、生產流程、工藝配方、建設方案、設計圖紙、客戶資料以及各種重要數據等，這些信息資源都是企業長期積累下來的智慧結晶，與企業的生存和發展息息相關。這些重要信息一旦丟失或泄露，將會使企業喪失市場競爭優勢，甚至會面臨破產危機。

信息安全問題主要表現在以下幾個方面：一是計算機系統遭受病毒感染和破壞的情況相當嚴重；二是電腦黑客（包括商業間諜）活動已形成重要威脅；三是信息基礎設施面臨網絡安全的挑戰。除此之外，自然災難無法躲避。1993年，美國世貿中心大樓發生爆炸，一年后，能回到世貿大樓工作的公司由350家變成了150家，有200家公司由于無法取回原有重要信息而倒閉。據IDC（Internet Data Center，互聯網數據中心）的統計數字表明，美國在2000年以前的10年間發生過災難的公司中，有55％當時倒閉，剩下的45％中，也有29％因為數據丟失在兩年之內倒閉，生存下來的僅占16％。高德納公司（Gartner，全球最具權威的IT研究與顧問咨詢公司）的數據也表明，在經歷大型災難而導致系統停運的公司中有2/5再也沒有恢復運營，剩下的公司中也有1/3在兩年內破產。因此，企業需要一套完整的信息安全備份及容災解決方案，以確保業務數據能有效安全地備份和恢復，減少企業的損失。

由上可見，企業要保持健康可持續發展，信息安全是最基本的保證之一。

二、我國信息安全市場現狀

2007年9月的《中國IT安全市場分析與預測2007-2011（1H07）》指出，中國信息安全市場的規模持續擴大，當年為3.195億美元，同比增長27.0％。其中信息安全軟件市場在占整體市場的27.4％；比例最大的是信息安全硬件，為48.6％；信息安全服務市場僅占24.0％。對比高德納公司對全球信息安全市場分類的報告：信息安全服務市場占據整個信息安全市場57％的比例，網絡安全設備和安全軟件分別只占16％和27％。這充分說明了信息安全服務行業在整個安全市場中的重要地位與廣闊的發展前景。然而，中國信息安全服務市場僅占整個信息安全市場的24.0％，與國外成熟的IT信息安全服務市場相比，中國的信息安全服務市場有著非常大的發展空間。這正是高職信息安全技術專業人才培養的目標――該專業不是培養網絡安全設備的研發者或制造者，也不是培養安全軟件的開發人員，而是培養為企業信息安全提供保障服務的技術員。

賽迪網、美國國際數據集團以及互聯網實驗室的一些相關調查資料表明，未來7年，中國信息安全市場年復合增長率高達35％。聯想網御應用安全部產品經理何晨認為：近年安全市場的主要增長點在應用安全領域，以保障業務安全為核心、以人為本的設計理念將成為未來信息安全的主要關注點。

目前，社會需求與人才供給間存在著巨大差距。根據教育部2010年底的統計資料表明，我國每年信息安全人才缺口數以萬計。大量從事信息安全管理的人員往往是計算機網絡技術、通信技術專業的畢業生，并不具備信息安全管理所需的專業技能。信息安全人才無論是數量還是水平，都無法適應當今企業信息化形勢的需要，已經成為當前嚴重制約信息安全產業發展的瓶頸。

2009年10月13日，“國家信息技術緊缺人才培養工程首批人才實訓基地”在北京啟動，信息安全被列為緊缺人才領域之一建立了實訓基地，該基地的建設對提升我國信息產業的核心競爭力，實現信息產業由大到強的戰略轉變具有重大意義。

三、高職信息安全人才培養定位及能力分析

（一）高職信息安全人才培養定位

2001年，武漢大學創辦了我國第一個本科信息安全專業，目前我國已有60所本科院校開設了該專業。經過10年的建設，本科信息安全專業的培養目標及其課程體系已比較成熟。而高職院校是近幾年才開設信息安全專業的，其培養定位不明確，沒有與本科信息安全專業區分開來。不少高職信息安全專業設置了與本科相似的課程體系，只是把課程難度降低了，但這些理論知識還是讓高職學生畏懼，最終無法達到教學目標。有的高職信息安全專業設置的課程與傳統的網絡技術或通信技術專業課程相似，沒有建立一套完整的、符合信息安全應用領域要求的課程體系。上述情況導致了學生缺乏專業特長，難以對口就業。

高職信息安全技術人才培養定位在哪？其專業核心能力是什么？要解決這些問題，首先需要分析信息安全人才的技術水平等級及其能力要求。

根據國家職業標準，可以把信息安全技術人才的技術水平從低到高分為四個等級：一是信息安全技術員，要求具備基本信息安全知識和技能，能夠解決日常程序性工作中所遇到的信息安全問題；二是信息安全助理工程師，要求能夠對企業信息系統進行安全風險評估，能夠針對業已提出的特定企業的信息安全體系，選擇合理的安全技術和解決方案予以實現，并具備撰寫相應文檔和建議書的能力；三是信息安全工程師，要求掌握各個信息安全技術領域和體系規劃，具備專業信息安全技術管理能力，掌握信息安全的各個領域和體系規劃知識，具備從信息安全管理層面進行綜合性分析和總結的能力；四是高級信息安全專家，要求具備資深的信息安全理論和技術知識以及優秀的信息安全體系設計、規劃和領導能力，能夠把握信息安全技術的戰略發展方向，在信息安全領域具有突出成績或杰出貢獻。

根據各等級對從業人員的能力要求，分析可知：碩士、博士生具有深厚的理論知識、較強的科研能力，積累一定的工作經驗后，可以達到第四個等級；本科生也有較強的理論基礎和規劃、管理能力，培養定位可以在第三個等級；高職生是工作在生產第一線的應用型人才，要求具有較強的實踐能力，能做好日常安全維護工作，其培養定位適合在第一、第二等級。我國中小型企業正在迅速發展，其總數已占全國企業總數的99％以上，這些中小型企業對信息安全技術人才的需求都集中在中、低層次，也就是說，企業往往需要的是高素質、高技能的高職生，而不是做理論研究的碩士、博士或本科生。

（二）高職信息安全人才能力分析

鑒于信息安全技術人才的重要性且人才短缺，筆者作為專業負責人，已著手申報在柳州職業技術學院開設信息安全技術專業。為了做好該專業人才培養方案，專業團隊教師進行了廣泛的社會調研，并召開由10多名企業專家參與的新專業工作分析會，得出高職信息安全技術專業的培養目標、工作領域、就業崗位、技術要求和能力要求。

培養目標：培養具有良好職業道德，熟悉信息安全法律法規，可以集成信息安全系統，熟練應用信息安全產品，具有信息安全維護和管理能力的高素質、高技能專門人才。

工作領域：網絡搭建領域、信息安全管理領域、信息安全技術領域。

就業崗位：信息安全技術員、安全設備調試技術員、系統安全維護技術員、綜合布線技術員、安全加固技術員、信息資產風險管理員、安全評估技術員、網絡設備售前售后技術員等。

技術要求：備份與容災技術、信息管理技術、病毒防范技術、黑客防御技術、防火墻技術、IDS與IPS技術、TCP/IP高級技術、VPN技術、PKI與加密技術、設備安全配置、系統安全配置、服務器安全配置、風險評估技術等。

能力要求：制定信息安全規章制度、制定信息備份及容災解決方案、配置網絡安全設備、構建企業網絡、維護網絡安全、搭建信息化系統、設計并實施系統安全方案、系統風險評估等能力。

四、信息安全技術專業課程體系

本文以柳州職業技術學院信息安全技術專業課程為例進行探討。按照“企業需求與學生需求并重”的原則，形成由“內容”和“形式”兩個維度構成專業課程體系“二維”模型（見圖1）。兩個維度包括教育教學活動的四個模塊。不同的模塊發揮不同的作用，共同構成完整的課程體系，形成教育合力。

內容維度包括“基本素質教育體系”和“專業能力培養體系”，教學目標都來自企業對學生的需求，二者相互融合、彼此滲透。其中“基本素質教育體系”是人才培養的前提與基礎，主要以培養學生思想品德、職業素養、身心健康、應用基礎等方面基本素質為主，滲透專業特點和企業需求，重點解決學生“如何做一個社會人”的問題；“專業能力培養體系”是人才培養的專業化，主要培養學生的專業理論知識和專業技能，使學生具有良好的職業素養和較強的職業核心能力，解決學生“如何做一個職業人”的問題。

形式維度包括第一課堂和第二課堂，第二課堂是第一課堂的延伸和補充，二者是課程體系中不可或缺的重要組成部分。其中第一課堂側重系統知識的傳授和專業技能的培養，以課堂教學為主，是教育教學的主渠道；第二課堂側重實踐鍛煉和學生個性的發展，以學生課外實踐活動為主。

在學院課程體系“二維”模型思路的指導下，根據信息安全技術專業培養目標和技術、能力等要求，充分研討了該專業的人才培養特點，進行專業課程體系設計（見表1所示）。

從表1可以看出，課程體系設計緊緊圍繞企業的需要，為“技術要求”中列出的專業技術開設對應的課程；與企業專家共同研討，得出該專業的核心能力，并將對應的課程作為專業核心課程重點學習。其中，有一種能力很容易被忽視，即制定信息安全規章制度的能力，《信息周刊》研究部2008年的調查顯示，60％以上的網絡威脅和攻擊來自網絡內部，如未經授權的雇員對文件或數據的訪問、帶有公司數據的可移動設備遺失或失竊等，因此企業需要一套完善的信息安全管理制度來約束廣大員工的行為，保障企業的信息安全。

綜上所述，企業的需要是專業開設及其課程體系設置的指揮棒。如何采取適當的教學方法，使教與學更有效率，達到該專業人才培養目標，將是我們下一步要研究的工作。

【參考文獻】

［1］邢清華，米靖.職業院校推進校企合作的措施研究綜述［J］.職教論壇，2011（15）

【基金項目】2010年度廣西新世紀教學改革工程立項（2010JGB163）；柳州職業技術學院教學質量與教學改革項目（2009B006）