關于信息安全的論文

　　1 概述

　　隨著信息化新技術在電網中廣泛的使用，智能終端的接入數量和接入方式不斷增多，在給用戶帶來便利的同時，也引入了大量安全風險和新的挑戰，工控系統面臨的網絡安全威脅和風險也日益突出，所以開展智能電網環境下，工控系統信息安全防護研究迫在眉睫。

　　2 系統簡介

　　用電信息采集智能終端和配電自動化終端在系統組成上基本一致，典型的電力配用電智能設備的組成從結構上可分為三層：物理層、系統層、業務層。

　　終端設備一般由相關的物理硬件及其配套的軟件構成，軟件部分可分為系統層和業務層兩個層次。配用電智能設備的安全運行必須保障這些主要組成部分的安全性，一旦某一層次出現安全問題，都會造成整個設備運行出現異常。

　　3 安全威脅分析

　　智能電網重要特點就是要求計算設備隨時聯網，網絡化使得攻擊者可以隨時發起攻擊;另外一方面，隨著集成電路等工業技術的提高，嵌入式系統越來越智能化，這也給攻擊者植入病毒、木馬帶來了便利。近年來，在國內外由于嵌入式系統造成的電力系統事故屢有發生，比如有著名的伊朗Stuxnet震網病毒事件，該病毒專門針對PLC設備攻擊，通過修改PLC來改變工業生產控制系統的行為，一度導致伊朗核電站推遲發電。

　　下面分別對物理層、系統層、業務層進行說明。

　　3.1 物理層

　　物理層提供了系統運行的物理環境，為上層業務功能的實現提供了直接計算環境，包括CPU、主板、存儲器、電源等，其一般MCU方式實現，在體系結構上主要以ARM為主，存儲器一般采用容量較小的FLASH。

　　1 引言

　　隨著醫院的發展和信息化的進步，信息系統滲透到醫院的各個角落。醫院的醫療業務、教學、研究對信息系統的依賴性是不容置疑的。醫院的信息安全不僅是保證醫院有效秩序的前提 ，還是保障醫院的財務管理等方面巨大的支撐，并且安全的醫療信息數據才能夠有效地提高病人的治療效果、維護病人的權益。因此加強管理和監控，加強醫院有關信息安全系統方面的建設 ，是醫院良好有序發展的前提以及客觀要求[1]。因此對信息安全的認識從方方面面都得到了前所未有的重視。作為走在信息安全研究前列的大國，美、俄、日等國家都已制定自己的信息安全發展戰略和計劃，確保信息安全沿著正確的方向發展。2000年初美國出臺了電腦空間安全計劃，旨在加強關鍵基礎設施、計算機系統網絡免受威脅的防御能力。2000年7月日本信息技術戰略本部及信息安全會擬定了信息安全指導方針。2000年9月俄羅斯批準了《國家信息安全構想》，明確了保護信息安全的措施。

　　我國對信息安全研究起步較晚，目前已初步建成了國家信息安全組織保障體系[2]。我國在1994年頒布了《中華人民共和國計算機信息系統安全保護條例》。在以后的十幾年中，國家又出臺了多個法律、法規，對信息安全等級保護的具體內容、職責和工作方法做了具體的規定。在2007年公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室出臺了《信息安全等級保護管理辦法》。首都醫科大學附屬醫院北京婦產醫院(以下簡稱“北京婦產醫院”)正是借著《信息安全等級保護管理辦法》的實行，促進了院信息安全工作的發展，提高了信息安全的水平。從2007年到今天，院信息安全等級保護工作已經走到了第十個年頭。這十年信息安全建設大約分為兩個階段。

　　摘 要：管理信息系統的發展，是計算機信息技術發展的集中體現，推動了現代社會的發展，但管理信息系統存在的安全隱患，也成為其優化服務，創新性發展的重要制約因素。筆者針對管理信息系統的安全隱患，闡述了相應的幾點應對策略，強化對管理信息系統的安全構建。

　　關鍵詞： 管理信息系統;安全隱患;應對策略

　　在計算機信息技術快速發展的大背景之下，信息時代的到來，正轉變著人類生存生活的方式。當前，管理信息系統的應用日益廣泛，各行各業對其的依賴度越來越高，在享受其帶來的便捷與高效的過程中，管理信息系統的安全隱患問題卻日益突顯，其安全問題的出現，影響了管理信息系統的正常運行。因此，認清并分析管理信息系統存在的.安全隱患及安全管理存在的不足，有針對性的采取保護措施，是提高管理信息系統安全運行的有力保障。

　　1 信息系統安全體系結構

　　提供安全服務和管理機制，是信息系統安全體系結構的重要出發點。安全系統不僅僅是基于安全做出描述，而且對系統安全的整體性進行歸納。對于信息系統安全而言，其主要包括兩個方面的內容：一是信息安全保護;二是信息系統安全。

　　1.1 信息安全保護

　　在信息安全保護方面，強調信息的完整性、安全性、保密性和可控性。

　　1.2 系統安全

　　信息安全主要體現在運行方面，強調系統運行的過程中，能夠提供有效的信息服務。而對于信息系統安全體系，在筆者看來，需要從五個從面進行闡述與分析，計算機信息系統安全體系結構。

　　PLC雖然有著它固有的優勢，但面對客戶需求的不斷變化，PLC要想生存，就必須突破傳統模式，積極求新求變以適應新的市場發展，畢竟任何產品存在的根本都取決于用戶和市場的需求。

　　而具有低成本優勢的嵌入式PLC，正好能夠滿足這一需求，未來，智能化的嵌入式PLC勢必會更多地蠶食傳統PLC產品市場。

　　目前市場上的嵌入式PLC的發展呈現多元化發展，國內外企業均有很好的表現。例如德國赫優訊是一家以現場總線技術和芯片、模塊為主業的科技企業，極有發展活力。

　　他們推出的將現場總線技術和PLC技術結合的net PLC很有特色。國內幾年前就有華中科技大學在EASYCORE1.00核心芯片組中加載了嵌入式PLC系統軟件，作為硬件平臺，開發了多模入通道的嵌入式PLC。

　　還有一種發展路徑是以開發PLC與人機界面相結合的硬件/軟件一體化為目標的平臺，充分利用CASE(計算機輔助軟件工程)工具，結合各類嵌入式芯片的開發平臺和各種輸入/輸出通道的硬件電路庫，專為機電設備開發客制化、具有ODM性質的專用PLC。

　　一、嵌入式新型PLC的架構

　　目前，嵌入式自動生成技術面臨著諸多挑戰。在嵌入式軟件設計技術方面，主要表現在以下幾個方面：嵌入式系統越來越多采用SOC，帶來深度嵌入設計，平臺化需要硬件同步設計。構件化需要研究適應嵌入式計算特征的構件表達和組合，解決異構嵌入式構件的可組合性分析以及構件組合與驗證等系統構造問題。

　　當今世界正處于信息化的浪潮之中。中國也正在大力發展信息產業，廣泛深入地利用信息技術。在這樣的大背景下，信息安全就成為了保障國家安全和社會經濟穩定發展的重要基石。鑄就國家信息安全的鋼鐵長城需要更多擁有扎實理論基礎和高超技術本領的建設者，而培養這些高素質人才的歷史責任就落到了我國信息安全領域的教育和科研工作者肩上。

　　我本人長期從事信息安全專業研究生教育，也開設過多門信息安全專業課程，如“信息安全體系結構”、“計算機通信網絡安全”、“現代密碼學”，等。本文主要從信息安全專業研究生教育的角度談談我個人的一些體會和看法。

　　1信息安全專業研究生教育面臨“二次教育”

　　信息安全專業的研究生來自各個專業，知識背景、知識結構都大不一樣，一定要因材施教，進行“二次教育”。“二次教育”的目的是要充分利用學生前期教育的知識背景，找到他們的知識儲備在信息安全領域的切入點，選擇適合每個學生的研究方向，使他們既能獲得全面系統的信息安全專業知識又能發揮他們所長。

　　根據我們歷年來的信息安全專業研究生培養情況來看，這一專業的研究生主要來自計算機、通信、數學等專業，近幾年也逐漸出現了本科就讀信息安全專業的學生。

　　來自計算機、通信等工程類專業的學生通常對互聯網技術、通信技術以及計算機軟硬件知識都有較為全面的了解，動手能力較強，但大部分學生對信息安全專業所必需的密碼學、安全協議等方面的知識知之甚少，甚至完全是一片空白。針對這樣的情況，我們重點加強了這些學生在理論知識方面的教育培養，要求他們在選擇研究生專業基礎課時必須在理論課程中有一定數量和寬度的涉獵。同時指導學生閱讀學習信息安全相關理論知識的經典教材或著作，培養他們在理論學習上的興趣，實現課堂教育與學生自學的有機結合、互相助益。

　　在現代化辦公過程中，常常需要對相應的辦公文件信息進行必要的安全保護，如果使用比較專業的安全保護措施，對于大部分的辦公人員難以掌握，本文將從日常的現代化辦公工作入手，探討適用于普通辦公人員對辦公信息的安全保護策略，使辦公信息安全保護在現代化辦公工作中成為一種簡單易行的工作過程。

　　在日常生活中，經常會使用不同種類的辦公文件，而根據辦公文件的性質不同又分為普通級和保密級。對于普通級的文件，其安全系數基本上可以忽略不計，但對于保密級的文件，如何對文件進行必要的加密便成為日常辦公過程中需要考慮和實施的問題。

　　在對辦公文件的安全保護措施中，不乏有許許多多的方法策略，有專家級別的，有普通級別的，有專屬級別的，也有適合大眾級別的，……。為了針對大多數普通的用戶，讓安全保護策略更適合普通辦公人員，我們將探討日常辦公文件的安全保護。對日常辦公文件的安全保護主要是對辦公文件的偽裝及其加密。接下來就對具體的實施方案進行一一講解。

　　一、“障眼法”

　　所謂的“障眼法”，包含兩方面的含義，一是讓文件的內容得以隱藏，二是讓整個文件得以隱藏。

　　首先探討“文件內容隱藏”的情況。眾所周知，要看見白紙上的字，那是因為字的顏色和紙的顏色形成了對比，如果字的顏色和紙的顏色被設置為一種顏色，就可以暫時隱藏文件中的內容了。比如，在word軟件中編寫了相關的內容，在編寫完畢后，將所編寫的內容的顏色設置為紙張的顏色，并將語法錯誤檢測、段落標記顯示等功能去除，并將光標至于紙張的第一行第一列，然后保存文件。再次打開文件的時候，如果不太留意，則會誤認為這是一份空白文檔，以達到隱藏的效果，其實施的效果如圖1所示。該方法不足之處在與，雖然隱藏了文字信息，但是對于有經驗的操作人員來說，可以通過文件的大小來辨別是否包含有文字信息。

　　本文是一篇項目管理論文，本文以YD信息安全公司項目管理人員作為研究對象進行了勝任力要素的篩選和選擇。因此，本文勝任力模型適用于YD信息安全公司項目管理人員。該模型是否適合用于YD信息安全公司其他職能部門管理人員、是否適合用于其他信息網絡公司項目管理人員，需要根據實際情況做出判斷。

　　第1章緒論

　　1.1研究背景

　　21世紀是充滿競爭與變革的時代，隨著技術型產業的曬起，信息安全變得越發重要，行業的蓬勃發展使得企業間的競爭加劇，這使得YD信息安全公司必須通過調整自身現有資源來提高經營水平以應對這種復雜的經營環境。對于企業來說，主要優勢的獲得，在不斷獲得技術突破的同時，人起到的作用也不能忽視。目前YD公司的組織架構基本是扁平的，其中包含部門有科技服務事業部、行政人事部、財務中心 、營銷事業部、研發事業部、工控檢測與安全服務事業部、互聯網事業部和經營物采部。該企業擁有數百名從業人員，平均年齡約30歲，為一支充滿年輕力的團隊。管理人員比例為17.67%；技術開發人員比例為49.03%；技術支持與售后服務人員12.7%；生產人員比例為13.7%；銷售人員比例為6.9%。該企業技術人員占比很大，技術人員和研發項目對于信息網絡企業來說便是主要優勢，因此就該公司來說，對技術人員和項目的充分合理地運用就顯得尤為重要，這實質上就需要項目主管的個人技能到達很高的等級。項目管理人員作為聯系技術人貫和企業高層的紐帶，其領導能力和任務完成能力是關鍵。項目負責人擁有知識、技能、素質對項目是否成功有關鍵性的作用，他們能夠確定公司在市場上可以達到的高度。對人才的把握，在21世紀的今天關乎企業的生存，只有有效、長久的留住優秀人才，才能較為有效的減少公司的損失。

　　1計算機網絡信息安全管理的重要性

　　在人們的日常生活工作中，計算機網絡都發揮著極其重要的作用。但隨著人們對于計算機網絡的依賴程度日益加深，其安全性便成為了一個亟待重視的問題。計算機網絡實質上是一個虛擬的信息平臺，隨著人們利用程度的日益深度化，在計算機網絡上暴露出來的個人信息也將越來越多，很多不法分子常常通過對個人信息的竊取和盜用而進行犯罪行為，眾多網絡騙局也就應運而生。因此需要重視計算機網絡信息安全管理的重要性，根據不同情境制定相應的安全防護策略，保障網絡信息的安全性，構建穩定和安全的和諧社會。

　　2計算機網絡信息安全問題

　　2.1計算機系統自身問題

　　就計算機系統而言，一方面在理論意義上不存在任何完美的計算機系統，但凡是程序員編寫的系統，一定會有漏洞。這種漏洞可以稱之為自然漏洞，這種漏洞彼此之間的區別只在于其大小以及被發現的難易程度。另一方面程序員在編寫程序的過程中也會出現失誤，從而產生更多的漏洞，這種漏洞稱之為人為漏洞，受到程序員自身的專業水平影響。漏洞本身并不影響用戶的使用以及網絡信息安全，但是一旦被不法分子利用，就會造成損失。

　　2.2計算機病毒

　　計算機病毒是最普遍的計算機網絡信息安全問題，其主要特征表現為傳染性、隱蔽性、破壞性等。通常病毒的傳播途徑是瀏覽不安全的網頁、接收不明身份的數據、U盤攜帶等。病毒的本質是一種程序，它的.危害性在于會一步一步破壞用戶的計算機系統，最終導致計算機系統崩潰，影響用戶的正常使用。

　　1、 電子信息產品數據安全隱患問題

　　事實上，電子信息產品的應用范圍是非常廣的，其數量品種非常多，所以，電子信息產品的數據安全隱患存在較大的差異。但對這些數據安全隱患進行一番分析可發現，這些隱患主要可歸為以下 5 類：①電腦硬盤的數據安全隱患。在數據存儲中，電腦硬盤這種存儲方式是非常普遍的，由于種種限制，數據容易出現安全隱患。在所有電子信息產品中，硬盤的使用率非常高，如不注意進行安全防范，就很可能中毒，導致存儲文件受到破壞。②移動存儲的數據安全隱患。

　　移動存儲器包括的類型非常多，不僅包括移動硬盤和 U 盤，還包括內存卡和磁帶等。通過對這些移動存儲器進行分析，發現它們的體積往往較小，但是其容量較大，所以它們在電子信息產品中的應用也極其廣。移動存儲器中的數據安全問題是一個需要予以重視的問題。③電子設備內部存儲器的數據安全隱患。在電子設備的內部也有存儲器，人們往往不會重視這類數據安全隱患，所以也容易出現安全問題。④網絡中的數據安全隱患。當計算機越來越普及時，電腦的使用頻次逐漸增加，如果不加強對個人信息的.安全保護，違法事件的出現就不足為奇了。網絡資源在共享的同時，無疑也會增加信息泄露的風險。⑤數據庫的安全隱患。數據庫的安全不是絕對的，在數據庫中存在一系列的安全問題。圖 1 為復雜業務環境下數據庫的安全隱患。

　　2、電子信息產品數據安全問題防范措施。

　　2.1 數據常備份，防患于未然。

　　摘 要：隨著科技信息化腳步的加快，企業電力信息化的模式已初步形成，隨著人們對電力信息的需求不斷增大，對于提高電力信息內網安全水平也越來越高，本文主要提出了電力信息內網所存在的安全隱患和如何提高電力信息內網的安全措施，希望能夠促進電力信息內網安全水平的提高，建設一個電力信息化的社會。

　　關鍵詞：電力信息內網 信息安全 安全措施

　　隨著我國電力信息系統技術的不斷進步，電力信息內網已經成為企業發展必不可少的應用手段，這就要全電力信息內網的安全性要絕對可靠，企業電力信息系統主要是利用計算機進行管理和經營來進行工作的，電力信息內網的安全對于整個電力體統起著關鍵性的作用，所以電力信息內網的安全已經成為人們越來越關注的問題。為了保證電力信息內網的安全，必須提出相應的安全措施來應對存在的安全隱患，提高電力信息內網的安全防護，建立高水平的電力信息內網安全系統。

　　1 電力信息系統及組成系統

　　電力信息系統主要是通過計算機和數據庫通信網絡等設備對信息的數據進行采集分析和存儲傳輸，電力信息系統主要包括生產控制體統、行政管理系統和市場營銷系統。只有真正了解電力信息系統的內部結構，才能保證電力信息內網的安全性。

　　1.1 生產控制系統

　　電力信息系統的生產控制系統是為企業進行電力生產的服務，主要的作用是對于微機安全自動裝置的保護，通過電力之間的調度形成通信專網。電力信息的生產控制系統已經實現了從傳統的到現場地點進行操作控制到現代化的企業信息網絡化，生產系統的轉變與從前相比較具有很多優勢，避免了電力信息生產的誤差，既提高了電力生產信息的效率，又保證了電力信息系統的完整性和真實性。