前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇個(gè)人信息安全管理辦法范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

個(gè)人信息安全管理辦法范文第1篇

關(guān)鍵詞：網(wǎng)絡(luò)；個(gè)人信息安全；信息竊取；“地下經(jīng)濟(jì)”

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1673-0992（2011）04-0234-01

一、信息安全現(xiàn)狀

（一）定義

信息安全是指由于各種原因引起的信息泄露、信息丟失、信息篡改、信息虛假、信息滯后、信息不完善等，以及由此帶來的風(fēng)險(xiǎn)。具體的表現(xiàn)有：竊取商業(yè)機(jī)密；泄漏商業(yè)機(jī)密；篡改交易信息，破壞信息的真實(shí)性和完整性；接收或發(fā)送虛假信息，破壞交易、盜取交易成果；偽造交易信息；非法刪除交易信息；交易信息丟失；病毒破壞；黑客入侵等。

（二）現(xiàn)狀

目前，一個(gè)突出問題是網(wǎng)絡(luò)上個(gè)人信息的丟失和被非法竊取。2009年3月15日，央視315晚會(huì)曝光了海量信息科技網(wǎng)盜竊個(gè)人信息的實(shí)錄，給國人極大震驚。“海量信息科技網(wǎng)，全國各地的車主信息，各大銀行用戶數(shù)據(jù)，甚至股民信息等等，這個(gè)網(wǎng)站一應(yīng)俱全，而且價(jià)格也極其低廉。我們僅僅花了100元就買到了1000條各種各樣的信息，上面詳細(xì)記錄了姓名、手機(jī)號(hào)碼、身份證號(hào)碼等等，應(yīng)有盡有。如果說上面這些信息你覺得還不夠全面，接下來的這個(gè)木馬程序一定會(huì)讓你心驚肉跳，種了這種木馬后，電腦會(huì)在你毫不知情的情況下在網(wǎng)上隨意任人擺布?！边@個(gè)事件典型的反映在信息化時(shí)代高速發(fā)展的今天，個(gè)人信息安全問題的解決提上日程已是刻不容緩。

隨著網(wǎng)上交易和電子商務(wù)的發(fā)展，個(gè)人信息網(wǎng)上流通日益頻繁，加上“產(chǎn)業(yè)化的一個(gè)明顯標(biāo)志是病毒制造者從單純的炫耀技術(shù)，轉(zhuǎn)變?yōu)橐垣@利為目的。前者希望病毒盡量被更多人知道，而后者希望最大限度地隱蔽以更多地獲利”，而且，目前國內(nèi)對(duì)于這方面并無專門的法律予以裁制，因此，網(wǎng)絡(luò)上個(gè)人信息安全問題已經(jīng)日益凸顯。

二、應(yīng)對(duì)措施

（一）法律措施

據(jù)了解，目前的《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》中規(guī)定，制造和傳播病毒是違法的，但是對(duì)于木馬、黑客程序等并沒有清晰的界定，這也是木馬程序制造者敢于利用網(wǎng)絡(luò)公開叫賣的根本原因。此外，目前在打擊新形式犯罪中還存在著立案難、取證難、定罪難等難題。黃澄清說，面對(duì)黑色病毒產(chǎn)業(yè)鏈，必須站在維護(hù)國家安全和促進(jìn)中國互聯(lián)網(wǎng)健康快速發(fā)展的高度來保障網(wǎng)絡(luò)安全，建立網(wǎng)絡(luò)安全國家應(yīng)急體系，加大對(duì)網(wǎng)絡(luò)安全領(lǐng)域犯罪的打擊，完善立法。

從個(gè)人來說，很多網(wǎng)絡(luò)個(gè)人信息安全問題的產(chǎn)生，一方面是利益的驅(qū)動(dòng)，但是另一個(gè)很重大的問題是法律真空的存在使侵犯?jìng)€(gè)人信息安全對(duì)的行徑得不到有效的制裁，并且被侵權(quán)者也不能夠借助法律的武器有效的保護(hù)自己的利益，這就更加助長了侵權(quán)行為的發(fā)生。從我國經(jīng)濟(jì)發(fā)展趨勢(shì)來說，經(jīng)濟(jì)發(fā)展和信息發(fā)展聯(lián)系愈益緊密，必須加快法治建設(shè)水平，使之適應(yīng)我國經(jīng)濟(jì)快速發(fā)展的需要。

在實(shí)踐層面上：“一是要準(zhǔn)確界定利用網(wǎng)絡(luò)技術(shù)犯罪案件的管轄范圍，這樣有利于劃清國家安全公安、檢察、法院等單位的職責(zé)，打擊違法犯罪!二是針對(duì)當(dāng)前利用網(wǎng)絡(luò)技術(shù)犯罪的獨(dú)特特點(diǎn)和發(fā)展趨勢(shì)，制定一套完整的法律，如制定《國家網(wǎng)絡(luò)安全法》等，并在實(shí)踐中加以完善!三是對(duì)各類利用電腦犯罪的立案標(biāo)準(zhǔn)，應(yīng)有明確的司法解釋。以便于基層安全、司法部門操作，保證查辦工作的順利進(jìn)行!”

（二）自我保護(hù)措施

防患于未然，自我保護(hù)是保護(hù)自己個(gè)人信息安全重要手段。首先。當(dāng)我們遇到一些必須輸入個(gè)人信息才能登錄的網(wǎng)址或完成操作時(shí)，我們輸人的個(gè)人數(shù)據(jù)必須限于最小的范圍，并且，妥善保管自己的口令、帳號(hào)密碼，并不時(shí)修改。其次，謹(jǐn)慎注意該網(wǎng)站是否有針對(duì)個(gè)人數(shù)據(jù)保護(hù)的聲明和措施，對(duì)那些可以匿名登錄的網(wǎng)站要堅(jiān)決匿名登錄。最后，對(duì)于移動(dòng)存儲(chǔ)設(shè)備，因其傳染病毒的可能性加大，因此，要選擇相對(duì)比較保險(xiǎn)的移動(dòng)存儲(chǔ)設(shè)備。如選用趨勢(shì)維C片，它“價(jià)格更加便宜，更重要的趨勢(shì)科技將獨(dú)有的安全存儲(chǔ)掃描引擎植入到u盤中，而不只是將殺毒軟件向u盤簡單復(fù)制。也正因?yàn)榇?，趨?shì)維C片具備個(gè)人防火墻，防間諜軟件防網(wǎng)絡(luò)欺詐。漏洞檢查、垃圾郵件過濾、家長控制、專用網(wǎng)絡(luò)控制、無線網(wǎng)絡(luò)安全等其它所謂殺毒u盤產(chǎn)品所不具備的功能?！?/p>

（三）技術(shù)保護(hù)措施

1.網(wǎng)絡(luò)防火墻技術(shù)

防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng)，對(duì)內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護(hù)。目前的防火墻分為兩大類：一類是簡單的包過濾技術(shù)，它是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)管和服務(wù)器，可針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議，且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。

2.采用安全通信措施，保障個(gè)人數(shù)據(jù)的傳輸安全

為保證數(shù)據(jù)傳輸線路的安全，可將集中器和調(diào)制解調(diào)器放在受監(jiān)視的地方，定期檢測(cè)是否有搭線竊聽、外連或破壞行為。通過路由選擇控制來限制某些不安全通路。也可采用鑒別技術(shù)來鑒別通信方的實(shí)體身份和特權(quán)，常用的方法有報(bào)文鑒別，數(shù)字簽名和終端識(shí)別。此外，還可以通過加密算法來實(shí)現(xiàn)數(shù)據(jù)的加密，例如美國數(shù)據(jù)加密標(biāo)準(zhǔn)DES和因特網(wǎng)免費(fèi)提供的PGP系統(tǒng)。

3.加強(qiáng)對(duì)用戶的管理

在網(wǎng)上銀行管理中，身份驗(yàn)證和訪問授權(quán)是網(wǎng)上管理用戶的基本措施?？诹?、安全賬號(hào)和密碼是最常用的驗(yàn)證，可以通過采用加長口令，使用較大字符集構(gòu)造口令、限制用戶鍵人口令次數(shù)及用戶注冊(cè)時(shí)間等方法來保證用戶登錄的安全性，或通過采用訪問授權(quán)來控制或限制用戶對(duì)資源的利用。

4.加強(qiáng)對(duì)病毒的測(cè)控

網(wǎng)絡(luò)個(gè)人信息主要是由病毒和木馬進(jìn)行竊取，病毒對(duì)計(jì)算機(jī)系統(tǒng)的危害最大，為防止計(jì)算機(jī)病毒和木馬的危害，可以通過限制軟盤的拷貝進(jìn)入；采用集中式防病毒管理模式，對(duì)整個(gè)局域網(wǎng)中所有節(jié)點(diǎn)實(shí)行集中管理和控制，通過各種檢測(cè)方法(特征碼掃描、完整性檢查、變形分析、推斷分析等)檢測(cè)病毒，自動(dòng)進(jìn)行特征碼更新，實(shí)時(shí)清除病毒。

參考文獻(xiàn)：

[1]王中鋒，李尚.計(jì)算機(jī)網(wǎng)絡(luò)安全管理淺議[J].南昌教育學(xué)院學(xué)報(bào).2010年04期

個(gè)人信息安全管理辦法范文第2篇

關(guān)鍵詞：互聯(lián)網(wǎng)金融；風(fēng)險(xiǎn)；影響因素；防范機(jī)制

互聯(lián)網(wǎng)金融發(fā)展到現(xiàn)階段主要有第三方支付、P2P借貸模式、眾籌、小微金融模式等。與傳統(tǒng)的金融行業(yè)相比較，互聯(lián)網(wǎng)金融的邊際成本較低、更新速度較快、客戶精準(zhǔn)服務(wù)程度較高等?；ヂ?lián)網(wǎng)金融在為人們提供方便的同時(shí)也面臨著一定程度的風(fēng)險(xiǎn)影響因素。因此，需要對(duì)風(fēng)險(xiǎn)影響因素進(jìn)行總結(jié)，并對(duì)其防范機(jī)制進(jìn)行逐步完善，為互聯(lián)網(wǎng)金融未來的發(fā)展提供保障。

一、互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)影響因素分析

雖然互聯(lián)網(wǎng)金融具有其非常明顯的特點(diǎn)，且有較多應(yīng)用優(yōu)勢(shì)，但是受到多種因素的影響，使得互聯(lián)網(wǎng)金融面臨著一定的風(fēng)險(xiǎn)。

（一）安全風(fēng)險(xiǎn)影響因素第一，外部欺詐。外部欺詐是當(dāng)前互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)中表現(xiàn)最為明顯的風(fēng)險(xiǎn)影響因素，其主要表現(xiàn)為：發(fā)送欺詐性電子郵件和短信，通過中獎(jiǎng)、顧問等多種形式誘使用戶填寫身份證號(hào)、密碼等個(gè)人因素信息，以盜取用戶的資金；偽冒銀行機(jī)構(gòu)客服誘使用戶告知驗(yàn)證碼和賬戶密碼；在網(wǎng)站的各種可下載內(nèi)容中隱藏木馬程序，并在木馬的攻擊下盜取用戶的賬號(hào)密碼；用非法手段模仿用戶的親朋好友，誘使其為對(duì)方賬戶打款等。這種欺詐方式的技術(shù)水平高、金額小、速度快、隱蔽性好，且對(duì)于互聯(lián)網(wǎng)金融機(jī)構(gòu)來說的防御難度較大。第二，內(nèi)部管理失當(dāng)。內(nèi)部管理失當(dāng)?shù)木唧w風(fēng)險(xiǎn)事件包含多種情況，例如交易管理失控、技術(shù)以及信息安全防控存在漏洞、資金管理不到位、人員管理不到位等。在內(nèi)容管理失當(dāng)?shù)母鞣N事件中，資金挪用、產(chǎn)品服務(wù)缺陷以及用戶個(gè)人隱私信息泄露等事件是非常容易導(dǎo)致互聯(lián)網(wǎng)金融企業(yè)出現(xiàn)信任危機(jī)的，甚至嚴(yán)重的情況還會(huì)成為社會(huì)關(guān)注的焦點(diǎn)。

（二）網(wǎng)絡(luò)信任風(fēng)險(xiǎn)影響因素第一，社會(huì)信用體系不健全?；ヂ?lián)網(wǎng)金融行業(yè)的發(fā)展良莠不齊、魚龍混雜，為了保護(hù)個(gè)人信息安全，很多互聯(lián)網(wǎng)金融企業(yè)還不能夠與我國征信系統(tǒng)進(jìn)行對(duì)接。在無法對(duì)用戶個(gè)人信用進(jìn)行征信查詢的背景下，互聯(lián)網(wǎng)金融機(jī)構(gòu)在對(duì)用戶風(fēng)險(xiǎn)識(shí)別和綜合評(píng)價(jià)的過程中就會(huì)依靠其他信息，如：水電費(fèi)繳納是否拖欠等，導(dǎo)致“長尾”情況嚴(yán)重，且風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性不高。第二，信息不對(duì)稱導(dǎo)致的信任危機(jī)。互聯(lián)網(wǎng)金融是一種虛擬性的經(jīng)營模式，其虛擬的交易特征很容易產(chǎn)生信任危機(jī)，特別是當(dāng)信息不對(duì)稱的前提下，信息優(yōu)勢(shì)的一方在利益的驅(qū)使下可能會(huì)存在欺騙對(duì)方的情況。

（三）法律風(fēng)險(xiǎn)影響因素在互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)中，所有的風(fēng)險(xiǎn)問題到最后都會(huì)轉(zhuǎn)化為法律風(fēng)險(xiǎn)。雖然我國已經(jīng)出臺(tái)了諸如《消費(fèi)者權(quán)益保護(hù)法》《網(wǎng)絡(luò)交易管理辦法》《征信業(yè)管理?xiàng)l例》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等多個(gè)法律法規(guī)來對(duì)互聯(lián)網(wǎng)金融進(jìn)行約束和管理，但是由于互聯(lián)網(wǎng)金融的發(fā)展還處在探索的階段，在法律建設(shè)方面呈現(xiàn)出分散、零星、不完整、不成體系的狀態(tài)，所以一些不法分子會(huì)鉆法律空子，利用不法手段來獲取更多的利益，也讓互聯(lián)網(wǎng)金融的交易環(huán)境面臨著較高的風(fēng)險(xiǎn)。

二、互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)防范機(jī)制的完善措施

（一）建立互聯(lián)網(wǎng)金融安全管理體系第一，創(chuàng)新以安全合作為主的模式。在安全管理體系的建設(shè)過程中，不同的主體要發(fā)揮不同的作用。對(duì)于互聯(lián)網(wǎng)企業(yè)來說，應(yīng)當(dāng)要平衡互聯(lián)網(wǎng)金融企業(yè)的經(jīng)營效率和安全之間的關(guān)系，在提升用戶體驗(yàn)的過程注重金融風(fēng)險(xiǎn)的識(shí)別與控制，整個(gè)產(chǎn)業(yè)鏈中高度配合，以提升互聯(lián)網(wǎng)金融企業(yè)的效益。對(duì)于政府相關(guān)監(jiān)管部門來說，其應(yīng)當(dāng)以互聯(lián)網(wǎng)金融安全與效率為核心監(jiān)管目標(biāo)，積極推動(dòng)銀行、互聯(lián)網(wǎng)金融以及用戶之間的配合，同時(shí)要建立統(tǒng)一的標(biāo)準(zhǔn)，讓網(wǎng)絡(luò)支付能夠遵循統(tǒng)一的標(biāo)準(zhǔn)、競(jìng)爭有序。第二，加強(qiáng)互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)相關(guān)教育?；ヂ?lián)網(wǎng)金融企業(yè)需要加強(qiáng)風(fēng)險(xiǎn)方面的教育。一方面要保證用戶信息的安全性，向用戶介紹殺毒軟件、加密軟件、密碼設(shè)置的重要性，并引導(dǎo)用戶正確使用，避免個(gè)人隱私信息泄露，同時(shí)引導(dǎo)用戶正確識(shí)別安全產(chǎn)品，提升用戶的安全風(fēng)險(xiǎn)防范綜合水平。另一方面，互聯(lián)網(wǎng)金融企業(yè)可以利用各種新媒體途徑來對(duì)風(fēng)險(xiǎn)和安全教育等進(jìn)行宣傳和教育，向普羅大眾普及互聯(lián)網(wǎng)金融安全管理知識(shí)，提高社會(huì)公眾風(fēng)險(xiǎn)防范意識(shí)，這樣，不法分子就不會(huì)有機(jī)可乘。

（二）安全技術(shù)的進(jìn)一步應(yīng)用第一，各種反黑技術(shù)的綜合使用。安全技術(shù)的使用是保證互聯(lián)網(wǎng)金融環(huán)境安全的重要技術(shù)手段，因此，互聯(lián)網(wǎng)金融企業(yè)應(yīng)當(dāng)要加強(qiáng)各種反黑技術(shù)的使用，例如安全掃描工具、防火墻技術(shù)、反病毒技術(shù)、加密技術(shù)等。以反病毒技術(shù)為例，在互聯(lián)網(wǎng)金融企業(yè)進(jìn)行反病毒的過程中主要涉及到以下內(nèi)容：通過系統(tǒng)監(jiān)控、加密程序等預(yù)防計(jì)算機(jī)以及相關(guān)網(wǎng)絡(luò)中存在的病毒；通過關(guān)鍵字技術(shù)、變化文件長度等來檢測(cè)計(jì)算機(jī)及相關(guān)網(wǎng)絡(luò)中的病毒，同時(shí)判斷病毒的特征；通過病毒刪除程序、恢復(fù)源文件軟件等來分析并清除計(jì)算機(jī)的病毒。第二，智能實(shí)時(shí)防控系統(tǒng)的應(yīng)用。智能實(shí)時(shí)防控系統(tǒng)的應(yīng)用能夠?qū)︼L(fēng)險(xiǎn)進(jìn)行自動(dòng)識(shí)別，實(shí)現(xiàn)全方位的自動(dòng)化監(jiān)控?；ヂ?lián)網(wǎng)金融企業(yè)可以利用智能實(shí)時(shí)防控系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析、預(yù)警以及控制等，并對(duì)用戶的行為進(jìn)行監(jiān)控，進(jìn)行風(fēng)險(xiǎn)的稽查、處置等。同時(shí)，通過該系統(tǒng)可以對(duì)交易過程中的交易風(fēng)險(xiǎn)、賬戶風(fēng)險(xiǎn)、違規(guī)風(fēng)險(xiǎn)等進(jìn)行全方位的監(jiān)控，對(duì)風(fēng)險(xiǎn)事件的全過程進(jìn)行響應(yīng)，有效降低互聯(lián)網(wǎng)金融中存在的欺詐行為、洗錢行為的發(fā)生幾率。

個(gè)人信息安全管理辦法范文第3篇

[論文摘要]隨著Internet的不斷發(fā)展，伴隨而來的網(wǎng)絡(luò)信息安全問題越來越引人關(guān)注。計(jì)算機(jī)信息一旦遭受破壞，將給單位造成嚴(yán)重的損失。就網(wǎng)絡(luò)信息安全問題，對(duì)可能產(chǎn)生的安全因素進(jìn)行剖析，并采取一定的措施。

一、信息安全的概念

目前，我國《計(jì)算機(jī)信息安全保護(hù)條例》的權(quán)威定義是：通過計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)手段，使計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)庫等受到保護(hù)，最大可能不因偶然的或惡意的因素而遭破壞、更改或泄密，系統(tǒng)能夠正常運(yùn)行，使用戶獲得對(duì)信息使用的安全感。信息安全的目的是保護(hù)信息處理系統(tǒng)中存儲(chǔ)、處理的信息的安全，其基本屬性有：完整性、可用性、保密性、可控性、可靠性。

二、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全因素剖析

（一）來自計(jì)算機(jī)網(wǎng)絡(luò)的病毒攻擊

目前，計(jì)算機(jī)病毒的制造者大多利用Internet網(wǎng)絡(luò)進(jìn)行傳播，所以廣大用戶很大可能要遭到病毒的攻擊。病毒可能會(huì)感染大量的機(jī)器系統(tǒng)，也可能會(huì)大量占用網(wǎng)絡(luò)帶寬，阻塞正常流量，如：發(fā)送垃圾郵件的病毒，從而影響計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行。

（二）軟件本身的漏洞問題

任何軟件都有漏洞，這是客觀事實(shí)。就是美國微軟公司，全球的軟件霸主，也不例外。但是這些漏洞恰恰是非法用戶竊取用戶信息和破壞信息的主要途徑。針對(duì)固有的安全漏洞進(jìn)行攻擊，主要有：①協(xié)議漏洞。利用POP3等協(xié)議的漏洞發(fā)動(dòng)，獲得系統(tǒng)管理員的特權(quán)；②緩沖區(qū)溢出。攻擊者利用該漏洞發(fā)送超長的指令，超出緩沖區(qū)能處理的限度，造成系統(tǒng)運(yùn)行的不穩(wěn)定，使用戶不能正常工作；③口令攻擊。黑客通過破譯，獲得合法的口令，而入侵到系統(tǒng)中 。還有IP地址轟擊等方法，不一一舉例。

（三）來自競(jìng)爭對(duì)手的破壞

俗話說：同行是冤家。有的企業(yè)利用不正當(dāng)手段，對(duì)同行進(jìn)行破壞。攻擊對(duì)方的網(wǎng)站或篡改對(duì)方的信息，或在其他網(wǎng)站上散布謠言，破壞競(jìng)爭對(duì)手的良好形象。有的轟擊對(duì)方的IP地址，使對(duì)方的網(wǎng)站不能正常工作。

（四）用戶使用不慎產(chǎn)生的后果

計(jì)算機(jī)管理人員平時(shí)工作馬虎，不細(xì)心，沒有形成規(guī)范的操作，也沒有制定相應(yīng)的規(guī)章制度。很多管理人員安全意識(shí)不強(qiáng)，將自己的生日或工號(hào)作為系統(tǒng)口令，或?qū)挝坏馁~號(hào)隨意轉(zhuǎn)借他人使用，從而造成信息的丟失或篡改。

三、網(wǎng)絡(luò)信息安全的應(yīng)對(duì)措施

（一）加強(qiáng)入網(wǎng)的訪問控制

入網(wǎng)訪問控制是網(wǎng)絡(luò)的第一道關(guān)口，主要通過驗(yàn)證用戶賬號(hào)、口令等來控制用戶的非法訪問。對(duì)用戶賬號(hào)、口令應(yīng)作嚴(yán)格的規(guī)定，如：口令和賬號(hào)要盡可能地長，數(shù)字和字母混合，避免用生日、工號(hào)等常見的東西作口令，盡量復(fù)雜化，而且要定期更新，以防他人竊取。目前安全性較高的是USBKEY認(rèn)證方法，這種方法采用軟硬件相結(jié)合，很好地解決了安全性與易用性之間的矛盾。USBKEY是一種USB接口的硬件設(shè)備，用戶的密鑰或數(shù)字證書無需存于內(nèi)存，也無需通過網(wǎng)絡(luò)傳播。因此，大大增強(qiáng)了用戶使用信息的安全性。

（二）加強(qiáng)病毒防范

為了能有效地預(yù)防病毒并清除病毒，必須建立起有效的病毒防范體系，這包括漏洞檢測(cè)、病毒預(yù)防、病毒查殺、病毒隔離等措施，要建立病毒預(yù)警機(jī)制，以提高對(duì)病毒的反應(yīng)速度，并有效加強(qiáng)對(duì)病毒的處理能力。主要從以下四個(gè)方面來闡述：

1．漏洞檢測(cè)。主要是采用專業(yè)工具對(duì)系統(tǒng)進(jìn)行漏洞檢測(cè)，及時(shí)安裝補(bǔ)丁程序，杜絕病毒發(fā)作的條件。

2．病毒預(yù)防。要從制度上堵塞漏洞，建立一套行之有效的制度；不要隨意使用外來光盤、移動(dòng)硬盤、U盤等存儲(chǔ)設(shè)備。

3．病毒查殺。主要是對(duì)病毒實(shí)時(shí)檢測(cè)，清除已知的病毒。要對(duì)病毒庫及時(shí)更新，保證病毒庫是最新的。這樣，才可能查殺最新的病毒。

4．病毒隔離。主要是對(duì)不能殺掉的病毒進(jìn)行隔離，以防病毒再次傳播。

（三）進(jìn)行數(shù)據(jù)加密傳輸

為防止信息泄漏，被競(jìng)爭對(duì)手利用，可對(duì)傳輸數(shù)據(jù)進(jìn)行加密，并以密文的形式傳輸。即使在傳輸過程中被截獲，截獲者沒有相應(yīng)的解密規(guī)則，也無法破譯，從而保證信息傳輸中的安全性。比如：微軟公司的Windows XP就有這樣的數(shù)據(jù)加密功能。

（四）采用防火墻技術(shù)

應(yīng)用過濾防火墻技術(shù)能實(shí)現(xiàn)對(duì)數(shù)據(jù)包的包頭進(jìn)行檢查，根據(jù)其IP源地址和目標(biāo)地址做出放行或丟棄決定，但對(duì)其攜帶的內(nèi)容不作檢查；應(yīng)用防火墻技術(shù)能對(duì)數(shù)據(jù)包所攜帶的內(nèi)容進(jìn)行檢查，但對(duì)數(shù)據(jù)包頭無法檢查。因此，綜合采用包過濾防火墻技術(shù)和防火墻技術(shù)，既能實(shí)現(xiàn)對(duì)數(shù)據(jù)包頭的檢查，又能實(shí)現(xiàn)對(duì)其攜帶內(nèi)容的檢查。

（五）應(yīng)建立嚴(yán)格的數(shù)據(jù)備份制度

一要重視數(shù)據(jù)備份的重要性，認(rèn)為它很有意義，是一個(gè)必要的防范措施；二要嚴(yán)格執(zhí)行數(shù)據(jù)備份制度。要定期或不定期備份，對(duì)重要數(shù)據(jù)要有多個(gè)備份。因?yàn)闅⒍拒浖皇侨f能的，以防萬一，很有必要建立數(shù)據(jù)備份制度。

（六）加強(qiáng)安全管理

安全管理對(duì)于計(jì)算機(jī)系統(tǒng)的安全以及可靠運(yùn)行具有十分重要的作用。就目前而言，應(yīng)做到以下幾點(diǎn)：

1．樹立守法觀念，加強(qiáng)法制教育。有關(guān)計(jì)算機(jī)和網(wǎng)絡(luò)的一些法律知識(shí)，要了解并熟悉，如：《中國信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等條例，培養(yǎng)良好的法律意識(shí)。

2．制定并嚴(yán)格執(zhí)行各項(xiàng)安全管理規(guī)章制度。包括出入機(jī)房制度、機(jī)房衛(wèi)生管理制度、在崗人員責(zé)任制、機(jī)房維護(hù)制度、應(yīng)急預(yù)案等。

3．建立檢查機(jī)制。定期或不定期地對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行安全例行檢查，要有記錄，看落實(shí)情況，以免流于形式。

（七）培養(yǎng)用戶的信息安全意識(shí)

個(gè)人信息安全管理辦法范文第4篇

關(guān)鍵詞：第三方支付安全問題解決辦法

一、第三方支付的概念

和以前由傳統(tǒng)的由中央銀行，銀行，非銀行金融機(jī)構(gòu)，在境內(nèi)開辦的外資、僑資、中外合資金融機(jī)構(gòu)所組成的完整金融機(jī)構(gòu)體系獨(dú)自運(yùn)作不同，現(xiàn)如今，已經(jīng)有越來越多的非金融機(jī)構(gòu)參加到金融體系的運(yùn)作之中。非金融機(jī)構(gòu)提供支付服務(wù)、與銀行業(yè)既合作又競(jìng)爭，已經(jīng)成為一支重要的力量。這種合作尤其體現(xiàn)在一些和國內(nèi)玩各大銀行簽約并具備一定實(shí)力和信譽(yù)保障的第三方支付服務(wù)商提供的交易支持平臺(tái)，即上文所說的第三方支付。這個(gè)交易平臺(tái)在收付款人和各個(gè)法人組織之間作為中介機(jī)構(gòu)提供了貨幣資金轉(zhuǎn)移服務(wù)，包括現(xiàn)行的網(wǎng)絡(luò)支付、預(yù)付卡的發(fā)行與受理、預(yù)付資金的管理與銀行卡收單，及主流金融機(jī)構(gòu)確定的其他支付服務(wù)的作為第三方支付平臺(tái)的非金融機(jī)構(gòu)，也就是我們提到的“第三方支付機(jī)構(gòu)”[1]。

二、第三方支付存在的主要安全問題

伴隨著第三方支付的迅猛發(fā)展的，必然是一系列亟需我們解決的重要安全問題。我國支付方面的法律相對(duì)比較落后，在支付過程中容易留下許多漏洞，使許多不法商人有機(jī)可趁。目前存在的數(shù)百家第三方支付機(jī)構(gòu)中，魚龍混雜，質(zhì)量參差不齊，用戶的交易安全和個(gè)人信息其實(shí)存在很大的風(fēng)險(xiǎn)。

1．應(yīng)用程序中存在安全漏洞導(dǎo)致信用卡套現(xiàn)、洗錢問題層出不窮

第三方支付技術(shù)門檻較低，在第三方支付平臺(tái)的搭建中沒有對(duì)安全防護(hù)能力給予足夠的重視,致使系統(tǒng)可能存在信息管理，支付安全等方面的問題。通過專業(yè)安全系統(tǒng)的不定時(shí)抽量檢測(cè)，發(fā)現(xiàn)了許多存在的重要隱患，如SQL注入、跨站腳本、網(wǎng)絡(luò)釣魚以及登錄方式不安全，用戶信息泄漏等[2]。顯然，在第三方支付平臺(tái)的建設(shè)過程中，安全防護(hù)的環(huán)節(jié)是相對(duì)不受重視的，太快的發(fā)展與不過硬的安全防護(hù)措施必然會(huì)使安全防護(hù)環(huán)節(jié)顯得很薄弱，讓存在的安全問題顯得更為突出并造成很大的信用危機(jī)以及一種不健康的交易狀況。根據(jù)資料，主要存在以下幾個(gè)問題：

（1）安全設(shè)備以及防火墻不完善

（2）沒有對(duì)平臺(tái)部署實(shí)施監(jiān)控系統(tǒng)

（3）重要網(wǎng)絡(luò)設(shè)備的物理環(huán)境不安全，容易出現(xiàn)人為操作篡改數(shù)據(jù)

（4）應(yīng)對(duì)突發(fā)事件的處理能力不足

并且，在支付中，有相當(dāng)一部分屬于虛擬貨幣的交易，比如騰訊公司的Q幣，移動(dòng)通訊公司的話費(fèi)充值等，不排除有些人通過設(shè)立多個(gè)賬戶，從事虛假的虛擬貨幣交易，以此轉(zhuǎn)移不法資金，已達(dá)到洗錢的目的。

2．安全管理機(jī)構(gòu)不健全，安全保障的技術(shù)手段需要改進(jìn)

目前第三方支付平臺(tái)普遍采用的技術(shù)安全保障手段――數(shù)字證書，其并不是真正意義的獨(dú)立第三方CA認(rèn)證，而是內(nèi)部建設(shè)一套符合實(shí)際要求的證書注冊(cè)審計(jì)系統(tǒng)，是自身具備證書申請(qǐng)、審批、下載、證書狀態(tài)在線查詢、證書撤銷等功能。然而這種數(shù)字證書并沒有法律效力。并且，從當(dāng)下的網(wǎng)絡(luò)現(xiàn)狀來看，信息安全管理制度還不成體系，沒有建立總體方針，安全管理制度和操作規(guī)程缺失，安全策略存在著很大的不完整。

3．個(gè)人信息不能得到保護(hù)造成了許多賬戶資金被盜，網(wǎng)絡(luò)詐騙時(shí)有發(fā)生

許多第三方支付平臺(tái)要求用戶提供真實(shí)姓名、銀行卡號(hào)甚至身份證號(hào)，然后這些平臺(tái)中，個(gè)別網(wǎng)站在信息管理上存在很大問題，致使這些信息很容易被竊取，造成客戶隱私的泄露。第三方支付平臺(tái)隱私管理政策不合理，免責(zé)條款過多，大多把最終解釋全留給自己，使用戶不得不同意這些條款并且當(dāng)自己利益受到損失的時(shí)候，沒有辦法有效的進(jìn)行反擊。

4. 第三方支付平臺(tái)本身不是金融機(jī)構(gòu)，用戶的安全意識(shí)薄弱

目前，國內(nèi)的第三方支付企業(yè)屬于非金融機(jī)構(gòu)，是有限責(zé)任公司的性質(zhì)，一旦公司出現(xiàn)破產(chǎn)等情形，則可能引發(fā)劇烈的多米諾骨牌的效應(yīng)，導(dǎo)致其他的企業(yè)資金鏈出現(xiàn)問題。然后很多用戶沒有意識(shí)到，即使是附屬于某些著名的網(wǎng)站，第三方支付平臺(tái)也存在一個(gè)信用問題，不能盲目信任。相對(duì)銀行金融機(jī)構(gòu)，非金融機(jī)構(gòu)對(duì)于安全問題的認(rèn)識(shí)還遠(yuǎn)不能及，對(duì)用重要信息

三、針對(duì)國內(nèi)主流第三方支付平臺(tái)的安全策略分析以及監(jiān)督管理

隨著第三方支付平臺(tái)交易規(guī)模的逐漸擴(kuò)大，電子商務(wù)的影響已經(jīng)越來越大，在各個(gè)領(lǐng)域?qū)用婢袧B透。因此，有關(guān)非金融機(jī)構(gòu)備付金管理、網(wǎng)絡(luò)系統(tǒng)穩(wěn)定性以及消費(fèi)者權(quán)益保護(hù)等問題，已經(jīng)引起了廣大群眾的高度關(guān)注。采取措施促進(jìn)非金融機(jī)構(gòu)和第三方支付平臺(tái)的健康發(fā)展，會(huì)很大程度上影響電子商務(wù)的成敗，關(guān)系到整個(gè)交易平臺(tái)的正常進(jìn)行。

1．加強(qiáng)實(shí)名認(rèn)證、全額賠付應(yīng)對(duì)資金被盜和網(wǎng)絡(luò)詐騙。第三方支付機(jī)構(gòu)應(yīng)加強(qiáng)安全檢查，及時(shí)修復(fù)安全漏洞

早在2006年7月，支付寶就推出了支付寶認(rèn)證服務(wù)，對(duì)所有使用支付寶的賣家進(jìn)行雙重身份認(rèn)定，即身份證和銀行卡的認(rèn)證。除了與公安部全國公寓身份證號(hào)碼查詢服務(wù)中心合作檢驗(yàn)身份證的真?zhèn)危Ц秾毢Ｓ蚋鞔笊虡I(yè)銀行進(jìn)行合作，利用銀行賬戶實(shí)名制信息來校驗(yàn)用戶填寫的姓名和銀行賬戶號(hào)碼是否準(zhǔn)確。并且，支付寶公司還在國內(nèi)率先推出了全額賠付制度和交易安全基金，網(wǎng)絡(luò)欺詐發(fā)生率僅為萬分之二。

2．配合國家出行的制度，配合央行加大力度打擊各種詐騙

2009年4月，中國人民銀行公告，對(duì)從事支付業(yè)務(wù)的非金融機(jī)構(gòu)進(jìn)行登記。

2010年6月14日，中國人民銀行《非金融機(jī)構(gòu)支付服務(wù)管理辦法》，對(duì)非金融機(jī)構(gòu)支付業(yè)務(wù)實(shí)施行政許可。

2010年12月，中國人民銀行《非金融支付服務(wù)管理辦法實(shí)施細(xì)則》[3]。

這些不僅對(duì)作為第三那方支付平臺(tái)的非金融機(jī)構(gòu)做出嚴(yán)格規(guī)定，同時(shí)也對(duì)支付平臺(tái)的用戶加以嚴(yán)格管理，此舉無疑會(huì)對(duì)網(wǎng)絡(luò)非法套現(xiàn)造成打擊。央行對(duì)非金融機(jī)構(gòu)的支付的技術(shù)和安全性的高度重視，技術(shù)和安全監(jiān)測(cè)是非金融機(jī)構(gòu)申請(qǐng)?jiān)S可證過程中最關(guān)鍵也是最嚴(yán)格的環(huán)節(jié)。

3．第三方支付機(jī)構(gòu)應(yīng)增強(qiáng)安全意識(shí)，加強(qiáng)信息安全體系建設(shè)，爭取早日拿到央行的電子支付牌照

完善網(wǎng)絡(luò)信息安全管理制度，加強(qiáng)交易平臺(tái)的安全管理，增強(qiáng)客戶對(duì)交易平臺(tái)的信任。對(duì)第三方支付平臺(tái)操作人員進(jìn)行統(tǒng)一的安全知識(shí)和專業(yè)知識(shí)的培訓(xùn)，加強(qiáng)這個(gè)操作隊(duì)伍的安全組織性。及時(shí)出臺(tái)主流有效的針對(duì)安全漏洞的安全措施與策略并積極落實(shí)。同時(shí)對(duì)所有用戶進(jìn)行安全信息管理的知識(shí)普及。

并且根據(jù)中國之聲新聞縱橫報(bào)道，央行支付結(jié)算司相關(guān)工作人員表示，首批第三方支付牌照已在2010年年底發(fā)放。因此，獲得官方認(rèn)證是主流第三方支付平臺(tái)的必經(jīng)之路[4]。

四、結(jié)束語

相信隨著電子支付的發(fā)展，這些非金融機(jī)構(gòu)從事電子支付業(yè)務(wù)會(huì)成為電子支付發(fā)展的不可逆轉(zhuǎn)的趨勢(shì)，然而這同樣要求非金融機(jī)構(gòu)即這些第三支付平臺(tái)有更完善的信息安全管理系統(tǒng)，為用戶提供一個(gè)更加安全的交易平臺(tái)。一旦第三方支付交易平臺(tái)存在的問題得到解決，突破了網(wǎng)上交易中的信用問題，其必將成為引導(dǎo)網(wǎng)絡(luò)消費(fèi)者走入健康發(fā)展的軌道，成為促進(jìn)中國網(wǎng)上支付完善和發(fā)展的主要途徑和必然趨勢(shì)。同時(shí)，第三方支付服務(wù)也將成為解脫誠信困擾，邁向下一里程碑的重要環(huán)節(jié)之一，成為電子商務(wù)發(fā)展的助推器。

參考文獻(xiàn)：

[1]林小燕.基于第三方電子商務(wù)平臺(tái)的C2C貿(mào)易[M].廈門大學(xué)出版社，2010.

[2]劉建國.電子商務(wù)安全管理與支付[M]， 立信會(huì)計(jì)出版社，2011

個(gè)人信息安全管理辦法范文第5篇

1.1高校信息安全的概念

目前，信息安全并沒有明確的定義。ISO/IEC17799中將信息安全定義為：通過實(shí)施一組控制而達(dá)到的、包括策略、措施、過程、組織結(jié)構(gòu)及軟件功能，是對(duì)機(jī)密性、完整性和可用性保護(hù)的一種特性。美國對(duì)信息安全的定義是：對(duì)信息、系統(tǒng)以及使用、存儲(chǔ)和傳輸信息的硬件的保護(hù)。美國從技術(shù)和管理兩個(gè)角度出發(fā)，將信息安全概括為信息環(huán)境安全、信息數(shù)據(jù)安全、信息程序安全、信息運(yùn)行系統(tǒng)安全四個(gè)方面。沈昌祥院士將信息安全定義為：“保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、修改和破壞，為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認(rèn)性。”我國關(guān)于信息安全的定義基本上從技術(shù)和管理角度提出（主要指信息系統(tǒng)安全）。在本文中，筆者將高校信息安全界定為：高校信息安全是指確保涵蓋信息處理系統(tǒng)的安全、信息自身的安全和信息利用安全在內(nèi)的，從電腦硬件安全、處理系統(tǒng)運(yùn)行安全、信息數(shù)據(jù)安全、信息內(nèi)容本身安全四個(gè)維度出發(fā)，對(duì)具有機(jī)密性、完整性和可用性的高校信息保護(hù)的一種特性。

1.2高校信息安全的內(nèi)容

通過上文對(duì)高校信息安全概念的界定，筆者認(rèn)為高校信息安全主要內(nèi)容歸納為以下四個(gè)方面：一是從物理安全維度看，主要是校園網(wǎng)絡(luò)內(nèi)運(yùn)行的硬件設(shè)備的安全。涉及的是動(dòng)力安全、設(shè)備安全、電磁安全、環(huán)境安全等；二是從運(yùn)行安全維度看，主要涉及網(wǎng)絡(luò)系統(tǒng)的可控性、可用性、可信賴性等，即保障信息系統(tǒng)不被篡改、破壞或不被非法操作等；三是從數(shù)據(jù)安全維度看，保障校園網(wǎng)絡(luò)中流通數(shù)據(jù)的安全，既網(wǎng)絡(luò)中的數(shù)據(jù)不被篡改、非法增刪、復(fù)制、解密、盜用等；四是從內(nèi)容安全維度看，是對(duì)信息本身內(nèi)容真實(shí)性的鑒定、隱藏信息的發(fā)現(xiàn)以及對(duì)信息的選擇性阻斷。其中物理安全和運(yùn)行安全是信息安全的基礎(chǔ)。

1.3高校信息風(fēng)險(xiǎn)表現(xiàn)及信息安全保障之必要性

高校信息風(fēng)險(xiǎn)主要表現(xiàn)為：一是高校“信息風(fēng)險(xiǎn)人群”比例遠(yuǎn)高于國內(nèi)其他行業(yè)“風(fēng)險(xiǎn)人群”。據(jù)360安全中心的《2013年第一季度中國個(gè)人電腦網(wǎng)上安全報(bào)告》顯示，國內(nèi)高校“風(fēng)險(xiǎn)人群”比例為28.7%。比全國“風(fēng)險(xiǎn)人群”的25.8%高近3個(gè)百分點(diǎn)。二是高校引發(fā)信息安全的因素種類繁多。除自然因素外，如計(jì)算機(jī)病毒、黑客、釣魚網(wǎng)站、非法入侵盜號(hào)、系統(tǒng)的漏洞、人為操作等。三是高校的私有機(jī)密信息如學(xué)校公共數(shù)據(jù)、師生的個(gè)人信息、財(cái)務(wù)信息、檔案信息、設(shè)備資產(chǎn)信息、教務(wù)信息等重要數(shù)據(jù)容易泄露或被非法竊取。針對(duì)高校信息風(fēng)險(xiǎn)表現(xiàn)，積極探索高校信息安全保障策略具有重大意義。一是有利于提高高校信息安全管理整體意識(shí)；二是有助于制定行之有效的信息安全管理制度，三是能促進(jìn)高校信息安全保障機(jī)制的不斷完善，有效推進(jìn)高校信息化進(jìn)程；四是是能提高師生信息安全意識(shí)，促進(jìn)我國信息安全專業(yè)人才的培養(yǎng)。

2高校信息安全風(fēng)險(xiǎn)分析

信息風(fēng)險(xiǎn)分析是一種主動(dòng)識(shí)別信息風(fēng)險(xiǎn)的過程。筆者分別采用定性分析、定量分析、定性和定量相結(jié)合的方法對(duì)高?，F(xiàn)實(shí)信息系統(tǒng)的實(shí)際情況做了調(diào)查研究、結(jié)合學(xué)校信息泄露案例進(jìn)行分析，從共性上看，認(rèn)為信息安全風(fēng)險(xiǎn)因素可以歸納為以下幾類。

2.1高校信息安全保護(hù)機(jī)制普遍存在認(rèn)識(shí)不足，防護(hù)不夠的現(xiàn)象

首先，高校網(wǎng)絡(luò)系統(tǒng)使用人員信息安全意識(shí)淡薄。主要表現(xiàn)為大學(xué)生對(duì)信息安全缺乏足夠的重視，高校沒有成型的大學(xué)生信息安全教育模式，對(duì)大學(xué)生進(jìn)行信息安全教育處于形式。高校對(duì)大學(xué)生的信息安全教育不夠重視，嚴(yán)重滯后于信息技術(shù)的發(fā)展。大學(xué)生對(duì)學(xué)校信息安全缺乏正確認(rèn)識(shí)，對(duì)相關(guān)信息安全法律法規(guī)缺乏了解，信息安全意識(shí)淡薄。作為系統(tǒng)使用人員的教師，由于缺乏必要的信息安全知識(shí)和信息技術(shù)，對(duì)信息安全防護(hù)漠不關(guān)心，片面的以為學(xué)校信息安全屬于專業(yè)技術(shù)人員，于己無關(guān)。其次，高校信息管理人員安全意識(shí)淡薄。對(duì)于缺乏信息安全教育專業(yè)培訓(xùn)的技術(shù)管理人員來說，他們?nèi)狈?ldquo;防黑防毒”意識(shí)，對(duì)于來自外部或內(nèi)部的惡意攻擊缺乏警惕性，缺乏積極防御、保障信息安全的主動(dòng)性。再次，高校信息安全專業(yè)人才的培養(yǎng)尚處于起步階段，高校貧缺專業(yè)信息安全管理人才。由于缺乏專業(yè)信息安全人才的專業(yè)指導(dǎo)，導(dǎo)致高校信息安全建設(shè)缺乏系統(tǒng)規(guī)劃和整體布局，對(duì)信息風(fēng)險(xiǎn)認(rèn)識(shí)不夠，分析不徹底，所制定的信息保障策略存在漏洞。最后，對(duì)信息系統(tǒng)安全漏洞未能及時(shí)、定期修復(fù)。安全漏洞是指在網(wǎng)絡(luò)系統(tǒng)硬件、軟件、協(xié)議和系統(tǒng)安全策略存在的缺陷和錯(cuò)誤。攻擊者就是通過研究這些漏洞向高校的信息系統(tǒng)傳播病毒，或者人為控制計(jì)算機(jī)系統(tǒng)。管理者只有及時(shí)修復(fù)這些漏洞，才可以確保信息安全。

2.2高校信息安全制度不健全，存在信息安全管理漏洞

雖然高校信息化普及很快，但大部分高校對(duì)信息安全在監(jiān)督和管理上都存在著漏洞。高校在信息安全管理上缺乏健全的制度，高校內(nèi)部管理相對(duì)松散，已有的制度大多數(shù)是趨于形式的要求而設(shè)立，沒有嚴(yán)格的監(jiān)督檢查機(jī)制，甚至連信息安全領(lǐng)導(dǎo)小組都未成立，對(duì)突發(fā)的信息安全問題缺乏應(yīng)急處置預(yù)案，出現(xiàn)頭痛醫(yī)頭，腳痛醫(yī)腳的忙亂應(yīng)對(duì)現(xiàn)象。據(jù)初步統(tǒng)計(jì)，大部分的信息安全問題是由于管理疏忽或者管理不善造成的，因此，從管理角度加強(qiáng)信息管理，是能夠有效保障信息安全的。

2.3高校信息安全投入不足，安全保障設(shè)施不健全

目前高校數(shù)字化建設(shè)已經(jīng)取得一定成績，數(shù)字化教學(xué)、管理、服務(wù)基本普及。但在管理和保障信息安全的設(shè)備上投入資金十分有限。首先因?yàn)橛糜诒Ｕ闲畔踩O(shè)備成本較高，而信息風(fēng)險(xiǎn)的不確定性導(dǎo)致信息安全本身又不被領(lǐng)導(dǎo)充分重視，大部分高校安全保障配套設(shè)施陳舊；其次伴隨高校擴(kuò)張，大部分高校網(wǎng)絡(luò)缺乏戰(zhàn)略發(fā)展規(guī)劃，網(wǎng)絡(luò)邊界設(shè)備之間缺乏有效的聯(lián)動(dòng)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不合理，內(nèi)網(wǎng)和外網(wǎng)在數(shù)據(jù)交換及數(shù)據(jù)流轉(zhuǎn)方面存在不安全因素；最后為節(jié)約網(wǎng)絡(luò)運(yùn)行成本，學(xué)校采取與網(wǎng)絡(luò)營銷商合作的方式來減少學(xué)校網(wǎng)絡(luò)運(yùn)行維護(hù)人員，忽視對(duì)網(wǎng)絡(luò)安全維護(hù)方面的投入。

2.4高校缺乏對(duì)BYOD、云計(jì)算和大數(shù)據(jù)安全問題應(yīng)對(duì)方案

由于在智能手機(jī)、平板電腦、超極本的智能終端使用某些應(yīng)用比在PC上操作方式更簡單快捷，2013年移動(dòng)辦公設(shè)備的信息安全問題成為安全信息的新問題。調(diào)查顯示，高校基本上還沒有制定相關(guān)的BYOD安全管理政策，以具體規(guī)定師生員工如何在學(xué)習(xí)工作場(chǎng)所中使用自己的移動(dòng)。如何在確保信息安全的情況下更好的利用BYOD帶來好處成為高校信息安全風(fēng)險(xiǎn)分析的重要任務(wù)。高校在云計(jì)算信息安全方面專注于保護(hù)云計(jì)算主機(jī)站點(diǎn)的數(shù)據(jù)安全，對(duì)從移動(dòng)終端訪問云數(shù)據(jù)的用戶安全重視不夠，他們經(jīng)常面臨數(shù)據(jù)泄露、數(shù)據(jù)丟失、賬戶劫持、不安全的API、拒絕服務(wù)攻擊、內(nèi)部人員的惡意操作、云計(jì)算服務(wù)的濫用、云服務(wù)規(guī)劃不合理、共享技術(shù)的漏洞等問題。

3高校信息安全保障策略

建立高效、協(xié)調(diào)、集成的數(shù)字化辦公系統(tǒng)是長春理工大學(xué)成為綜合性、研究型、開放式的國內(nèi)一流大學(xué)的信息化保障，如何保障信息安全便成為建設(shè)數(shù)字化辦公系統(tǒng)需要面對(duì)的首要問題。

3.1加強(qiáng)信息安全知識(shí)教育和技能培訓(xùn)，從信息主體層面增強(qiáng)網(wǎng)絡(luò)安全防護(hù)

為從根本上增強(qiáng)網(wǎng)絡(luò)安全防護(hù)，長春理工大學(xué)采取了一系列措施提高網(wǎng)絡(luò)信息主體——師生的信息安全防范意識(shí)和防范技能。一是加強(qiáng)國內(nèi)外信息安全法律法規(guī)教育，增強(qiáng)師生信息安全法律意識(shí)。如：長春理工大學(xué)定期組織管理員、信息源接入人員、廣大師生學(xué)習(xí)《計(jì)算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》、《網(wǎng)絡(luò)安全管理制度》及《信息審核、登記制度》等國內(nèi)外信息安全法律法規(guī)教育，普及信息安全知識(shí)，提高師生安全保密素質(zhì)，讓師生明確維護(hù)信息安全的重要性和維護(hù)信息安全人人有責(zé)，充分發(fā)揮師生在信息安全維護(hù)中的主體作用。二是對(duì)師生進(jìn)行信息安全技術(shù)培訓(xùn)，提高師生信息安全防御技能。信息安全技術(shù)培訓(xùn)主要是針對(duì)師生的實(shí)際需求，開展計(jì)算機(jī)應(yīng)用和網(wǎng)絡(luò)運(yùn)用技能的培訓(xùn)，培養(yǎng)學(xué)生基本的網(wǎng)絡(luò)防御技能。長春理工大學(xué)多年來一直堅(jiān)持定期邀請(qǐng)專職技術(shù)人員對(duì)學(xué)校師生進(jìn)行信息安全技術(shù)培訓(xùn)。如電腦操作系統(tǒng)定期更新，及時(shí)修補(bǔ)電腦安全漏洞，辨別不良網(wǎng)站等知識(shí)，讓師生學(xué)會(huì)日常的安全操作和系統(tǒng)維護(hù)。

3.2堅(jiān)持校園網(wǎng)硬件投入和有效信息技術(shù)的充分融合，確保網(wǎng)絡(luò)運(yùn)行安全

首先，建立完整的校園網(wǎng)絡(luò)病毒防御體系。一是安裝正版殺毒軟件。如：長春理工大學(xué)將正版的殺毒軟件掛在學(xué)校的信息中心網(wǎng)站上，讓學(xué)校教師免費(fèi)使用正版殺毒軟件，通過利用正版殺毒軟件定期掃描殺毒，及時(shí)修復(fù)系統(tǒng)漏洞，遇到問題及時(shí)向軟件開發(fā)商發(fā)送錯(cuò)誤報(bào)告并進(jìn)行分析，定期升級(jí)防毒軟件、更新病毒庫等，有效保障了學(xué)校電腦的安全運(yùn)行。二是詳細(xì)設(shè)置防火墻防范策略。對(duì)操作系統(tǒng)的端口配置嚴(yán)格把關(guān)，必須及時(shí)做到開放該開放的，關(guān)閉不需要的端口。對(duì)外提供網(wǎng)絡(luò)服務(wù)的服務(wù)器。把必須利用的端口開放，其他的端口必須全部關(guān)閉。三是安裝與配置IDS入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)主要監(jiān)控內(nèi)部網(wǎng)絡(luò)操作行為及多種攻擊，是檢測(cè)防火墻過濾后的隱匿攻擊。四是安裝漏洞掃描系統(tǒng)。如：長春理工大學(xué)為每位教工電腦安裝漏洞掃描系統(tǒng)，采用主動(dòng)探測(cè)的方式快速獲取目標(biāo)設(shè)備的脆弱點(diǎn)，從而協(xié)助系統(tǒng)操作人員對(duì)目標(biāo)系統(tǒng)建立風(fēng)險(xiǎn)快照。分別采用ping掃描、端口掃描、OS探測(cè)、脆弱點(diǎn)探測(cè)等技術(shù)對(duì)指定的遠(yuǎn)程或本地的計(jì)算機(jī)系統(tǒng)的安全威脅進(jìn)行定期掃描檢測(cè)，及時(shí)修補(bǔ)各種漏洞。其次，以防內(nèi)為主，內(nèi)外兼防為輔，確保信息終端平臺(tái)的可信賴性。安全終端平臺(tái)的建設(shè)依靠密碼服務(wù)和安全操作系統(tǒng)支持。一是確保終端平臺(tái)用戶的合法性，用戶只能根據(jù)規(guī)定的權(quán)限和控制規(guī)則進(jìn)行操作；二是采用身份認(rèn)證、訪問控制、密碼加密等措施，構(gòu)建計(jì)算機(jī)系統(tǒng)應(yīng)用環(huán)境安全，如：長春理工大學(xué)教師采用一卡通的上網(wǎng)卡號(hào)進(jìn)行身份認(rèn)證；三是建立提供認(rèn)證、授權(quán)、檢測(cè)、應(yīng)急和處理非法訪問服務(wù)的信息安全管理中心，提供互聯(lián)互通的密碼配置，公鑰證書等密碼服務(wù)措施。具體保障措施如下：選用LOTUSNOTES／DOMINO作為辦公自動(dòng)化系統(tǒng)的主要開發(fā)平臺(tái)。(1)數(shù)據(jù)加密。包括使用秘鑰對(duì)電子郵件文檔加密；網(wǎng)絡(luò)端口級(jí)加密；使用SSL對(duì)在INTERNET客戶機(jī)和DOMINO服務(wù)器間或在NOTES工作站和INTERNET服務(wù)器間傳送的住處進(jìn)行加密；域、文檔和數(shù)據(jù)庫加密。（2）NOTES的數(shù)字簽名，身份認(rèn)證包括NOTES工作站與DOMINO服務(wù)器之間的認(rèn)證以及客戶端與mMmo服務(wù)器之間的認(rèn)證。（3）NOTES還允許用戶通過建立群組的角色的方式來規(guī)劃NOTES數(shù)據(jù)庫的訪問安全性。（4）利用雙網(wǎng)卡主機(jī)技術(shù)實(shí)現(xiàn)辦公網(wǎng)絡(luò)安全隔離。（5）引入第三方的公鑰基礎(chǔ)結(jié)構(gòu)（PK），進(jìn)一步改善網(wǎng)絡(luò)系統(tǒng)的安全性。

3.3建構(gòu)多重信息安全管理渠道，加強(qiáng)信息安全運(yùn)行的制度保障

首先，設(shè)置層次明晰，職能合理的信息安全管理機(jī)構(gòu)。依照“預(yù)防為主，綜合治理”、“制度防范和技術(shù)防范相結(jié)合”的原則，信息安全管理實(shí)行三級(jí)管理機(jī)制，由領(lǐng)導(dǎo)決策并負(fù)監(jiān)督，中層干部管理，基層操作者具體執(zhí)行。以長春理工大學(xué)為例，近年來學(xué)校建立了信息安全管理的三級(jí)管理機(jī)制，成立了專門的信息中心，處級(jí)單位，配備具有專業(yè)知識(shí)的工作人員，由一名副校長分管學(xué)校信息安全工作，中層領(lǐng)導(dǎo)分管本部門的信息安全工作，基層建立兼職信息員隊(duì)伍，具體負(fù)責(zé)本部門的信息安全工作，使得信息安全工作層層落實(shí)。同時(shí)學(xué)校還制定了具體的組織體系和信息安全工作職責(zé)，厘清三級(jí)體制下各級(jí)各部門的具體職責(zé)；制定了《長春理工大學(xué)信息員管理辦法》，詳細(xì)規(guī)定各信息安全崗位人員管理考核辦法，使信息安全工作落到實(shí)處。其次，建立常規(guī)管理制度、應(yīng)急處理和定期評(píng)估制度。一是針對(duì)信息安全具有復(fù)雜性、動(dòng)態(tài)性和突發(fā)性強(qiáng)的特點(diǎn)，制定常規(guī)化信息管理制度。如長春理工大學(xué)先后制定了《長春理工大學(xué)操作系統(tǒng)和數(shù)據(jù)庫的安全配置程序管理制度》、《長春理工大學(xué)網(wǎng)絡(luò)信息中心機(jī)房管理制度》、《長春理工大學(xué)計(jì)算機(jī)案件和事故報(bào)告制度》、《長春理工大學(xué)計(jì)算機(jī)病毒及有害數(shù)據(jù)報(bào)告制度》、《長春理工大學(xué)病毒檢測(cè)和安全漏洞檢測(cè)制度》、《長春理工大學(xué)網(wǎng)絡(luò)設(shè)備管理制度》、《長春理工大學(xué)信息審核制度》等多項(xiàng)信息管理制度。二是制定應(yīng)急處理機(jī)制，對(duì)于突發(fā)的、涉及范圍廣，危害性大或影響深的信息安全事件采取有效的應(yīng)對(duì)措施，有效控制信息危機(jī)的發(fā)生。如長春理工大學(xué)成立信息危機(jī)應(yīng)急處理小組，及時(shí)應(yīng)急處理方案和信息，有效控制信息危機(jī)的發(fā)生。三是注意日常信息安全動(dòng)態(tài)，建立定時(shí)測(cè)評(píng)，不定期檢查，隨時(shí)抽查的信息檢查制度，如：長春理工大學(xué)建立了信息檢查制度，不定期檢查各基層單位信息安全情況，并對(duì)相關(guān)測(cè)評(píng)、檢查、抽查的情況進(jìn)行匯總形成相關(guān)信息安全檢查日志，及時(shí)通報(bào)相關(guān)部門。

3.4設(shè)立信息技術(shù)咨詢指導(dǎo)部門，促進(jìn)信息安全防護(hù)與前沿信息技術(shù)的緊密結(jié)合

沒有一勞永逸的信息安全保障策略。隨著信息技術(shù)的發(fā)展，保障策略要不斷更新、完善。例如：長春理工大學(xué)組建專業(yè)技術(shù)咨詢指導(dǎo)部門，成立了長春理工大學(xué)信息中心，由專職工作人員跟蹤最前沿的安全信息及新信息技術(shù)的發(fā)展動(dòng)態(tài)，尋找已有防御網(wǎng)絡(luò)隱患，積極引進(jìn)前沿網(wǎng)絡(luò)技術(shù)，并為信息安全保障系統(tǒng)建設(shè)提供專業(yè)、合理、可行化建議，積極完善和革新信息安全保護(hù)措施，取得了較好的效果。學(xué)校還將最新的技術(shù)發(fā)展及時(shí)體現(xiàn)在校園網(wǎng)絡(luò)系統(tǒng)中，并對(duì)相關(guān)信息維護(hù)人員進(jìn)行專業(yè)化培訓(xùn)，應(yīng)對(duì)隨時(shí)可能爆發(fā)的信息安全事件，增加廣大師生的信息安全知識(shí)，提高信息安全意識(shí)，使學(xué)校的信息安全工作切實(shí)做到實(shí)處，收到了實(shí)效。

4結(jié)語