隨著計算機信息化建設的飛速發展而信息系統在企業中所處的地位越來越重要。信息安全隨著信息技術的不斷發展而演變，其重要性日益越來越明顯，信息安全所包含的內容、范圍也不斷的變化。信息安全有三個中心目標。保密性：保證非授權操作不能獲取受保護的信息或計算機資源。

完整性：保證非授權操作小能修改數據。有效性：保證非授權操作不能破壞信息或計算機資源。信息安全的重點放在了保護信息，確保信息在存儲，處理，傳輸過程中及信息系統不被破壞，確保對合法用戶的服務和限制非授權用戶的服務，以及必要的防御攻擊的措施。

1企業信息安全風險分析

計算機信息系統在企業的生產、經營管理等方面發揮的作用越來越重要，如果這些信息系統及網絡系統遭到破壞，造成數據損壞，信息泄漏，不能正常運行等問題，則將對企業的生產管理以及經濟效益等造成不可估量的損失，信啟、技術在提高生產效率和管理水平的同時，也帶來了不同以往的安全風險和問題。

信息安全風險和信息化應用情況密切相關，和采用的信息技術也密切相關，公司信息系統面臨的主要風險存在于如下幾個方面。

計算機病毒的威脅：在業信息安全問題中，計算機病毒發生的頻率高，影響的面寬，并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞，系統數據和文件系統破壞，系統無法提供服務甚至破壞后無法恢復，特別是系統中多年積累的重要數據的丟失，損失是災難性的。

摘要：云計算的出現讓人們更容易獲取信息，對人們的學習、生活以及工作方式產生了巨大的影響，然而也帶來了一系列的信息安全問題，需要人們加以重視并進行深入研究。導致云計算下的信息安全出現問題的原因主要有：人為因素、云技術問題、缺乏相關法律法規以及國家管理信息的能力不足。筆者針對這些問題，提出了相應的云計算下的信息安全策略。

關鍵詞：云計算；信息安全；法律法規

1云計算下信息安全的問題

1.1人為原因導致的信息安全問題越來越多。很多信息安全問題并不是由于系統出錯，更多是在于人，人的因素決定了信息安全的狀態，不同人的可靠性是完全不同的，人為因素造成的信息安全問題，可以分成兩部分，分別是內部風險和外部風險，其中內部風險的來源比較多，如員工的蓄意攻擊、錯誤操作、疏忽大意等等都可能造成內部風險，而外部風險主要就是一些黑客的惡意攻擊。有關的調查數據顯示，網絡安全事故的各種原因中人為因素占據了近七成，因此，在今后的工作中最重要的任務就在于，根據人為因素出現的根本性原因，盡快研制出以人為本、符合人需求的云計算系統，從而保證云計算的安全。1.2云技術進步帶來了一系列新的安全風險。云計算之所以能夠存在，核心技術就在于虛擬化技術和多租戶技術，依賴于虛擬化技術，云計算實現了存儲主機等功能的虛擬化，提高了信息資源的應用效率，而多租戶技術的存在，則讓不同的用戶得以共享應用，從而縮減了運營成本。這兩種技術的存在和應用為人們帶來了許多便利，但同時也給云計算帶來了不可預知的安全問題。1.3云傳播弱化了國家對信息的管理和控制能力。近年來黨和政府對于互聯網的治理與控制力度越來越大，在有關的會議上就曾經提出互聯網技術的發展與信息主權之間的關聯，信息主權是一個國家能夠保護、管理信息的能力。云傳播的特征在于無須固定、無須延遲，且傳播的文件類型不受限制，目前已實現了智能化傳播的目標。云傳播的這種特征，很大程度上減弱了主權國家在信息管理方面所能起到的作用，讓信息的傳播變得自由而不受控制，各種各樣新的思想正在傳入中國，對人們過去的思想和心態產生沖擊，甚至對人們的政治觀念也有重要的影響。1.4過去的法律法規在處理云計算糾紛上不具備實效性。隨著信息技術的高度發展，各種各樣的法律問題頻頻出現，當然這種問題并不是隨云計算產生才出現，而是由來已久，但是云計算這種兼具虛擬化、遠程化的信息技術，讓法律問題變得愈發尖銳。有的研究人員就曾經指出，云計算的出現是技術創新的極大進步，但同時也是對法律影響最大的一種技術進步。過去的法律和規范在云計算下已無法發揮作用，數據所有權和應用權發生了沖突，數據和信息的安全問題究竟由誰處理尚有待確定。

2云計算下的信息安全對策

2.1提高云計算信息安全的管理水平。第一，提升領導工作水準，保障管理體系的合理性。2014年我國成立了互聯網信息管理安全部門，構建了一個信息安全管理的體系化方案，在這樣的大前提下，對國家信息安全的現狀進行研究，確定國家網絡安全方面的工作思路，提升有關部門對網絡平臺信息安全的控制能力；增強對信息基礎設施的控制，對現在已存在的國家信息安全部門進行整合，推動各部門信息共享，保證不同級別的政府之間、有關部門和企業之間的信息安全問題管理合作效率，確保信息安全戰略能夠真正落到實處；將信息安全管理的責任落實到基層地方政府，保證每個部門都能發揮出自己應有的作用，按照不同機構的不同任務分工制訂有針對性、有實效性的工作方法，保證信息安全管理體系完善。第二，加強安全監管，將服務運行的門檻變成直觀合理的標準。想要確定一系列的法律條文往往需要非常長的時間，所以為了盡快保證云計算下信息安全，需要從行業內部入手，把云計算的整個運營和應用流程變成可監督、可審核的工作，推廣云計算服務商的準入制度，以此為前提構建安全性穩定的、政府部門確認的產品和服務。第三，利用第三方監督管理手段，保證信息安全管理的日常平穩運行。為了對云計算進行強有力的監督，政府部門不僅僅要進行直接的監督管理，還需要構建一個對政府負責的監管機構，其主要任務就是對云計算服務商運營的安全情況進行分析，并且確認其中存在的安全風險，從而保證服務商的服務水準，監督管理的主要內容有國家制訂的一系列標準和規范以及服務協議，分別對運營商的安全風險和履職狀況進行評估。2.2制定云計算信息安全有關法律法規。第一，要建立科學合理的法律保障體系。政府部門要加強對云計算信息安全的法律法規的制定，要做到同時兼顧信息安全和云計算的發展。這就需要建立科學合理的云計算信息安全管理體系，加強人們對云計算信息安全的法律保護理念，并且轉變信息安全立法的作用，從控制信息的流通安全到解決云計算信息安全發展過程中的問題上。另外，要盡快完善信息安全立法，并以此為核心，對現有的法律法規進行修改和完善，保護個人信息，維護數據權利等，要將不同領域的法律區分開來，從而建立一套完整的信息安全法律體系。第二，建立雙向性的跨境信息流動法律規范。信息與數據能夠實現在安全的情況下自由流通是衡量云計算是否成功的重要指標，但是目前只有對信息的輸入不受限制，而對信息的輸出卻需要受到法律的制約。信息的輸出和輸入對于信息安全同樣重要，所以需要加強在這方面的法律規定，而且為了推動云計算產業的發展，要在信息安全的基礎上，加強與他國的交流，在維護我國合法權益的前提下，構建雙向性的跨境信息流動法律規范。第三，要主動接軌國際信息安全準則。目前，我國的云計算產業雖然已有了較大的進步，但是受限于發展時間，與國際標準相比還有很大的差距，所以，要通過政府相關部門的引導，加大對云計算產業的研究力度，并且實現產業化。另外，要加快與國際信息安全準則的接軌，確定符合中國實際情況的信息安全標準，必須要有所選擇，著重參與云計算在四個領域方面的國際標準的確定，四個領域分別為基礎規范、核心技術和產品標準、服務運營管理規范以及安全規范，這樣一來國內的有關標準才能和國際接軌，確保中國在云計算的發展上有一席之地。2.3推動信息安全技術發展。不斷加強對安全技術的研究和探索，這樣在風險發生時才能更好處理，也就是說需要從技術方面入手解決信息安全問題。具體來說可以從以下幾個部分進行理解。第一，加強和推動安全技術研究。云計算的發展給信息安全帶來了新的挑戰，因此，還需要對虛擬隔離技術進行研究，從而更好控制那些物理邊界不清晰的虛擬資源，在具體的VLAND的IP段劃分、多層次防范體系構建過程中，云計算下的信息安全就能夠得到一定的保證，另外，云訪問控制技術的開發也是必須要關注的技術發展方向，其能夠有效推動信息安全技術的進步。第二，必須要不斷提升對風險的抵抗能力。利用數據加密、數據刪除以及用戶信任級別授權等方式保證信息的安全性，盡可能降低信息安全問題發生的可能性。

【摘要】在互聯網技術迅速發展，以及計算機日漸普及的背景下，人們的生產生活方式發生了翻天覆地的變化，互聯網用戶數量與日俱增，數據信息的傳播更加依賴于網絡，給人們帶來了眾多便利。但是，在利用網絡傳輸信息過程中，經常會出現信息泄露、被惡意篡改、病毒木馬攻擊等問題，對用戶信息安全造成了極大威脅，同時也不利于構建穩定、有序的網絡環境。為保護用戶個人信息安全，就需要采用信息安全加密技術，文章詳細分析了RSA信息安全加密系統技術，并對其具體應用進行了討論，希望對構建網絡安全體系有所幫助。

【關鍵詞】RSA；信息安全；加密系統；設計與實現

當今社會已經進入到信息化時代，互聯網在生產生活中扮演著越來越重要的角色，而網絡安全問題也變得更為嚴峻。RSA作為一種應用最為廣泛的公鑰加密算法，對當前已知的大多數密碼攻擊，都能夠起到良好的抵御效果，并且還可以配合數字簽名技術進行信息安全加密，是目前公認的比較優秀的一種公鑰方案。隨著信息安全加密要求的不斷提高，以及對RSA算法研究的不斷深入，該項技術也變得更加成熟和完善，在信息安全加密系統中有著更為廣闊的應用空間。

1.信息安全加密技術簡要介紹

信息安全加密技術是在網絡化和信息化時代背景下，提出的一種用于保護信息安全的技術。當前，互聯網已經滲透到社會的各個領域和行業，人們對網絡的依賴程度不斷提高，在對信息進行存儲、傳輸和處理時，更加傾向于選擇網絡，這樣一來，用戶的個人信息都可以通過網絡查詢出來，用戶個人信息安全得不到有效保障。而信息安全加密技術的出現和應用，可以有效解決這一問題，對用戶個人信息起到了良好的保護作用。如果以信息安全加密密鑰為分類標準，則可以將其分為對稱密鑰加密技術和非對稱密鑰加密技術兩大類，其中非對稱密鑰加密技術又叫做公開密鑰加密技術，能夠與數字簽名技術結合使用，準確識別、核對信息發送者的身份，只有擁有解密密鑰的人員，才可順利通過審核對系統信息進行訪問和使用，在保護信息安全方面起到了重要作用[1]。在非對稱密鑰加密技術中，以RSA公鑰加密算法最為常見，應用也最為廣泛。

2.RSA信息安全加密系統技術原理及運行過程在應用

一、網絡與信息安全背景

隨著全球信息化水平的不斷提高，網絡與信息安全的重要性日趨增強。當前網絡與信息安全產業已成為對各國的國家安全、政治穩定、經濟發展、社會生活、健康文化等方方面面具有生存性和保障性支撐作用的關鍵產業。網絡與信息安全可能會影響個人的工作、生活，甚至會影響國家經濟發展、社會穩定、國防安全。因此，網絡與信息安全產業在整個產業布局乃至國家戰略格局中具有舉足輕重的地位和作用。

盡管如此，當前網絡與信息安全的現狀卻不容樂觀。以網絡攻擊為例：據調查2004年專門針對美國政府網站的非法入侵事件發生了5.4萬件，2005年升至7.9萬件。被入侵的政府網站包括國防部、國務院、能源部、國土安全部等重要政府職能部門。我國新華社曾報道，中國近60%的單位網絡曾發生過安全事件，其中包括國防部等政府部門。中國公安部進行的一項調查顯示，在被調查的7072家單位網絡中，有58%曾在2004年遭到過攻擊。這些單位包括金融機構和國防、商貿、能源和電信等政府部門。此外，我國每年都會出現包括網絡癱瘓、網絡突發事件在內的多種網絡安全事件。

因此，網絡與信息安全方面的研究是當前信息行業的研究重點。在國際上信息安全研究已成體系，20世紀70年代就已經開始標準化。當前有多個國際組織致力于網絡與信息安全方面的研究。隨著信息社會對網絡依賴性的不斷增加以及911等突發事件的出現，以美國為首的各個國家在網絡與信息安全方面都在加速研究。我國自2003年以來也在網絡與信息安全方面有了較大的進展，但是總體相對落后。

二、網絡與信息安全需求

網絡與信息安全研究涵蓋多樣內容，其中包括網絡自身的可用性、網絡的運營安全、信息傳遞的機密性、有害信息傳播控制等大量問題。然而通信參與的不同實體對網絡安全關心的內容不同，對網絡與信息安全又有不同的需求。在這里按照國家、用戶、運營商以及其他實體描述安全需求。

摘要：計算機網絡在各個行業中的普及下，為人們的生活與工作帶來便捷，但是信息安全問題也為其產生更多的困擾，稍不留神就會對人們帶來巨大影響。基于此，講述了使用信息安全防護策略的重要性，并對當前可能產生安全隱患的因素進行研究，重點闡述了安全防護技術，旨在為計算機領域科研人員工作提供幫助。

關鍵詞：信息安全；技術基礎；安全策略

當前社會中網絡的實用已經普及，隨著網絡信息安全性的降低，人們的隱私被泄露，財產被轉移，對其生活帶來嚴重的影響。基于此，國家開始重視網絡信息安全技術基礎與策略的研究，力求提升信息的安全性與隱私性，降低信息傳輸中的安全隱患。探索出適當的安全技術，為計算機網絡行業工作提供條件。

1信息安全防護策略使用的必要性

在互聯網與大數據普及的背景下，信息的傳輸以開放性與共享性為主，也正是這兩個特點，對其安全帶來影響，計算機運行時產生較多漏洞，人們傳輸信息的時候，可能稍不留神，就會泄露信息。在此形勢下，產生與信息安全相關的問題，嚴重者影響人們的生活，例如不法人員通過竊取計算機中信息資料，盜取網銀密碼轉出錢財，造成財產損失。另外一些特殊的組織，特別是保密性強的組織中一旦信息受到破壞，主要信息會流入敵對方，輕者對個人重者對國家的利益造成嚴重的損害。所以重視信息安全技術的使用，以安全策略提升計算機與信息傳輸的安全性很重要。

2現階段影響信息安全的因素

摘要:本文分析了大數據時代陜西城鎮居民信息安全素養的現狀，從政府、行業企業及個人三個方面提出了提升陜西城鎮居民信息安全素養的具體策略，對于大數據時代城鎮居民所面臨的信息安全具有針對性的作用，切實地提升了大數據時代城鎮居民信息安全素養。

關鍵詞:大數據;信息安全素養;風險評估技術;數據保護技術

隨著互聯網的迅猛發展，互聯網已經滲透到生活的方方面面，改變著人們的生活、工作方式，大數據時代也應運而生。陜西城鎮居民們享受著大數據帶來的方便和快捷:使用微信打車、交話費、購物、叫外賣;用QQ聊天、傳輸文件;用手機郵箱進行工作郵件收發;用淘寶、京東購物;用高德、百度地圖導航……與此同時由于西部地區比較落后的原因，從而也帶來了比較嚴重的安全問題網絡謠言屢禁不止、個人隱私乃至組織機密泄露事件頻發、網絡攻擊日益嚴重、網絡犯罪呈上升趨勢，這些頻繁的信息安全問題已經嚴重影響和干擾了人們的社會交往和社會參與，成為影響陜西省城鎮居民構建和諧社會的重要因素。

一、大數據時代陜西城鎮居民信息安全素養現狀

信息安全素養是指人們所具有的信息安全方面的一種基本素質和能力，是人員整體素養的一部分。(一)信息安全意識差，缺乏自我防護意識。大數據時代陜西城鎮居民在充分享受大數據時代的優越性的同時，他們的信息安全面卻面臨著嚴重的挑戰，其信息安素養遭受到空前嚴重的考驗。絕大多數的陜西城鎮居民信息安全保護意識淡薄，使大量真實的信息處于失控狀態，他們甚至根本就沒有意識到網絡空間存在的安全隱患，將私密信息放了上去讓盜取信息及非法利用信息的不法分子有機可乘。在日常生活中，陜西城鎮居民也難免無意地泄露自己的信息，比如辦理一些業務需要提供自己的個人信息，但卻沒有限制使用范圍;在填寫一些信息時，不去辨別必填項和可選填項，提供了一些沒必耍填寫的信息。上述這些情況都容易讓自己的信息泄露或被不當利用，甚至被不法分子利用，給陜西城鎮居民的日常工作、學習和生活帶來困擾，還可能會造成一定的經濟損失。(二)信息安全知識薄弱，自我分辨能力不足。陜西城鎮居民信息安全知識薄弱，大數據時代，互聯網上充斥著五花八門的觀念，形形色色的相互沖突的利益，在這樣一個巨大信息轟炸的大數據面前，陜西城鎮居民作為西部相對落后區域的居民由于信息安全知識少，難辨信息優劣真偽，易于輕信網絡謠言，散播謠言，跟風盲目攻擊他人，甚至編造虛假信息對他人進行誹謗。更為嚴重的是，有些人對上述行為缺乏最基本的是非認知和價值判斷，甚至以此為榮。(三)信息安全能力差，主動防御效果差。信息安全能力是體現信息安全素養的重要形式，在信息安全素養中有著舉足輕重的地位，能夠直接體現個人信息素養的高低。其主要內容大致包括:是否能夠正確設置密碼，并能以適當的頻率更改密碼，從而確保涉及隱私信息的安全性;提高警惕防止病毒程序的惡意攻擊、垃圾信息的入侵(如垃圾短信、郵件等)抵御網絡犯罪;遠離防范電信詐騙，防止各種APP從多渠道獲取解決個人信息安全問題的手段等。由于人們的惰性，大部分陜西城鎮居民在在多個設備或網絡服務上(如手機、PAD、計算機、wifi等設備上)使用相同的密碼;還有很大一部分人對其所有的涉及個人隱私的甚至電腦上重要業務文件、銀行密碼等都設置為同一個密碼。由于信息安全知識的不完善，有部分陜西城鎮居對于浩如煙海的網絡信息沒有辨別能力，人們在好奇心的驅使下經常會打開網絡上來歷不明的郵件、聊天工具或論壇、網頁彈出的鏈接，殊不知很多病毒、木馬通常都是以這種偽裝來欺騙人們。一旦打開就會使得當病毒有機可乘，病毒一旦進入手機、計算機以及PAD，就可能會刪除、修改信息，竊取商業機密和個人隱私，甚至會遠程操控我們的設備，對人們造成巨大的經濟損失和精神損失。對計算機病毒傳播途徑的了解，直接影響到計算機遭遇病毒侵害的可能性，進而影響到個人信息安全。大數據深入應用于各領域，成為促進組織和企業生產、運行和管理創新變革的重要驅動力，改變了企業組織的營銷方式和市場行為，很多企業都推出了自己的APP，這些社交和電商平臺本身既是信息的生產者又是信息的存儲、管理與使用者，信息的收集不一定都經過了公民本人的同意;收集到的信息進行加工處理是否告知公民本人也未可知;在分析處理的過程中是否涉及到了公民的個人隱私，也沒有得到考慮。

二、大數據時代陜西城鎮居民信息安全素養提升策略

摘要:我國當前已經進入信息時代，公民個人的信息存在于網絡環境中，其面臨的安全形勢越來越嚴峻，不斷出現侵害公民個人信息的犯罪行為，為了有力打擊侵害公民個人信息的犯罪行為，刑法還需制訂詳細條款，并認真落實法律規定，有效保障公民個人信息安全。

關鍵詞:信息安全;刑法;保障;研究

隨著我國信息化的快速發展，公民的身份證號、年齡、財產、住址等信息不斷應用于網絡當中，網絡信息化不但給人們的生產生活帶來了極大的方便而且也使大量個人信息泄露的可能性不斷增大。最近幾年，出現了大量的網絡詐騙與買賣個人信息等現象，讓很多人談網色變，侵害公民個人信息的行為越來越多。利用網絡得到公民的個人信息有著各種各樣的方法，而且投資較低，同時關于保護公民個人信息的法律法規還不健全，違法犯罪分子的犯罪成本較低，因此助長了犯罪分子的囂張氣焰。制訂完善的刑法條款，將侵害公民個人信息行為寫入刑法，才能有效保障公民的個人信息安全。

一、信息安全發展的現狀

信息安全的主要內容包括信息的保密性、可用性、完整性與不可否認性，再有，信息安全的定義也處于不斷發展過程中，隨著網絡的發展而呈現不同的階段性特點，由最初的單機信息安全到當前的網絡信息安全，個人信息安全經歷了三個重要階段，同時信息安全的內涵不斷增加。自出現電腦到上世紀80年代，信息主要以單機存儲的形式存在，由于個人信息只存儲到固定的電腦上，因此只需做到單機安全就可以了。80年代以后隨著進入局域網時代，雖然范圍有所增大但還只局限于一個較小的范圍，因此只需依靠技術手段就能保證安全。進入21世紀以來，網絡技術得到了前所未有的爆炸式發展，接入互聯網的電腦數不勝數，網絡環境與現實生活的聯系日益緊密，公民到任何單位辦事都需提供個人信息，導致泄露個人信息的機會大大增多，網絡安全成為擺在人們面前的重要問題，只依靠技術手段不能保障信息安全，還需借助完善的法律力量才能實現。保障信息安全的技術手段并不是萬能的，隨著出現新的網絡技術，極其堅固的信息防護系統也不能保障信息安全，隨著網絡信息技術的快速發展，人們不再過多依靠技術手段保障信息安全，將信息安全的保障措施寄托在法律方面。

二、我國刑法在保障信息安全中的作用

關鍵詞：信息安全風險防范

摘要：該文對企業信息安全所面臨的風險進行了深入探討，并提出了對應的解決安全問題的思路和方法。

隨著計算機信息化建設的飛速發展而信息系統在企業中所處的地位越來越重要。信息安全隨著信息技術的不斷發展而演變，其重要性日益越來越明顯，信息安全所包含的內容、范圍也不斷的變化。信息安全有三個中心目標。保密性：保證非授權操作不能獲取受保護的信息或計算機資源。完整性：保證非授權操作小能修改數據。有效性：保證非授權操作不能破壞信息或計算機資源。信息安全的重點放在了保護信息，確保信息在存儲，處理，傳輸過程中及信息系統不被破壞，確保對合法用戶的服務和限制非授權用戶的服務，以及必要的防御攻擊的措施。

1企業信息安全風險分析

計算機信息系統在企業的生產、經營管理等方面發揮的作用越來越重要，如果這些信息系統及網絡系統遭到破壞，造成數據損壞，信息泄漏，不能正常運行等問題，則將對企業的生產管理以及經濟效益等造成不可估量的損失，信啟、技術在提高生產效率和管理水平的同時，也帶來了不同以往的安全風險和問題。

信息安全風險和信息化應用情況密切相關，和采用的信息技術也密切相關，公司信息系統面臨的主要風險存在于如下幾個方面。

摘要：現階段我國的企業改革正如火如荼的進行著，企業要想在市場競爭中獲得發展優勢，就要注重信息化建設，并能保障IT系統信息安全。但是在實際當中，企業IT系統的信息安全問題還比較突出，影響了企業的進一步發展。本文主要就企業IT系統信息安全保障的重要性和存在的問題詳細分析，然后結合實際，對企業IT系統的信息安全策略實施詳細探究，希望能通過此次理論研究，對企業IT系統信息安全保障起到促進作用。

關鍵詞：企業;IT系統;信息安全

一、引言

信息安全管理的強化，對保障企業信息系統的安全性提高企業競爭力有著積極作用，這也是企業IT系統應用管理的重要內容。只有充分保障IT系統信息安全，才能提高企業整體管理水平，對企業在市場當中的進一步發展也有著促進作用。

二、企業IT系統信息安全保障的重要性和存在的問題

1.企業IT系統信息安全保障的重要性。面對新的發展時代，加強企業IT信息的安全保障就顯得比較重要，計算機技術的應用促進了企業的發展，尤其是對通信企業而言，保障系統的信息安全也是保護用戶的隱私。在信息化進程的進一步加快發展背景下，各個領域的發展對信息化的依賴也比較大，通信企業的計算機系統安全問題在信息化的發展進程中就更為突出，在信息安全保障的要求上也有著加強，滿足IT系統的安全性要求更加注重科學措施的實施。通信企業信息系統管理人員，在安全管理工作上就要進一步加強，對網絡的連接以及系統模塊的協調運作等更加重視，構建完善企業信息監控系統就顯得比較重要，從而保障信息流的完整安全。2.企業IT系統信息安全問題分析。根據相應的統計，企業信息安全的攻擊種類的種類已經不下20種，這對企業的信息安全就帶來了直接性的影響。多元化的發展環境下，通信企業的IT信息安全面臨的威脅也比較多，這些安全威脅的存在對通信企業的進一步發展就有著很大阻礙。主要的威脅問題有以下幾種：其一，軟硬件的運維安全問題。通信企業的IT系統的信息安全影響因素中，由于在軟硬件的運維管理上沒有得到加強，對信息安全就造成了很大影響。硬件的管理是信息安全中比較容易實現的，但往往會在管理中忽視，信息的丟失以及服務中斷，通常是硬件設備的斷電以及硬件損壞所致，在硬件的運行維護工作上沒有得到重視，從而就對信息的安全造成了危險。硬件的科學運維管理是對信息安全保障的基礎，在實際的管理中還有待進一步加強。其二，病毒的威脅問題。通信企業IT系統的信息安全威脅中，病毒是最為主要的威脅方式，在隨著計算機網絡技術的進一步發展下，病毒的種類也變得更多，多種多樣的病毒方式對計算機系統的信息安全就造成了很大威脅。在最早的病毒會造成服務器故障，以及破壞數據信息等，這對通信企業的IT系統信息安全造成的損害比較大，其中間諜軟件以及木馬和行為記錄軟件等是比較重要的病毒威脅方式。在新的發展時期，計算機病毒對通信企業的IT信息安全造成的威脅進一步加大，病毒的變異使得在防御上也增加了難度，在信息安全的保障方面面臨著巨大的挑戰。其三，黑客攻擊的問題。通信企業在IT信息安全管理上有著重大任務，一旦造成信息系統的攻擊問題，就會帶來嚴重的損害。在黑客技術的進一步提高下，入侵威脅的危害也進一步加大，在IT系統中的商業信息比較多，受到利益的趨勢，就使得非法系統侵入的人員也愈來愈專業化。一些黑客為了炫耀技術，就對計算機系統進行攻擊，造成信息的丟失等安全問題。

摘要信息安全評估標準是對信息安全產品或系統進行安全水平測定、評估的一類標準，本文介紹了國內外現有的信息安全評估標準，并對這些標準的特點、應用方式、適用范圍和實用價值進行了詳細的比較、討論；最后研究了安全評估標準中面臨的問題及進一步完善方法。

關鍵詞信息安全評估標準TCSECITSECCCBS7799/ISO7799GB17859-1999

0引言

進入21世紀，信息化對經濟社會發展的影響更加深刻。全球信息化正在引發當今世界的深刻變革，重塑世界政治、經濟、社會、文化和軍事發展的新格局。信息資源日益成為重要生產要素、無形資產和社會財富。信息安全的重要性與日俱增，成為各國面臨的共同挑戰。在《2006－2020年國家信息化發展戰略》中，“建設國家信息安全保障體系”已經做為我國信息化發展的9大戰略重點之一【1】。

信息安全評估是指評估機構依據信息安全評估標準，采用一定的方法（方案）對信息安全產品或系統安全性進行評價【2】。信息安全評估標準是信息安全評估的行動指南。在信息安全管理領域里，由于標準眾多，對于標準的爭論從未停息過，有ISO/IEC的國際標準17799、13335；西方國家，有美國國家標準和技術委員會（NIST）的特別出版物系列、英國標準協會（BSI）的7799系列；在我國，有風險管理、災難恢復的國家政策。本文將對目前主要使用的標準：TCSECITSECCCISO15408BS7799/ISO7799GB17859-1999進行逐一介紹并進行比較。

1安全評估標準介紹