国产成人v爽在线免播放观看,日韩欧美色,久久99国产精品久久99软件,亚洲综合色网站,国产欧美日韩中文久久,色99在线,亚洲伦理一区二区

學(xué)習(xí)啦>論文大全>學(xué)科論文>計(jì)算機(jī)論文>

電大計(jì)算機(jī)論文

時(shí)間: 斯娃805 分享

  文科大學(xué)生學(xué)習(xí)計(jì)算機(jī)知識(shí)時(shí)會(huì)碰到許多障礙,其中因語(yǔ)言所引起的障礙是最常見(jiàn),也是最容易被忽視的。下面是學(xué)習(xí)啦小編為大家推薦的電大計(jì)算機(jī)論文,供大家參考。

  電大計(jì)算機(jī)論文范文一:電子商務(wù)信息安全論文

  1電子商務(wù)安全威脅與需求

  1.1主要安全威脅

  電子商務(wù)建設(shè)主要面臨著賬戶安全威脅、交易安全威脅、基礎(chǔ)網(wǎng)絡(luò)威脅、業(yè)務(wù)連續(xù)性威脅。

  (1)賬戶安全威脅。賬戶安全是電子商務(wù)信息安全的基礎(chǔ),賬戶安全威脅主要來(lái)源于賬戶被盜與垃圾注冊(cè)。

  (2)交易安全威脅?,F(xiàn)階段在電子商務(wù)交易過(guò)程中發(fā)生的安全威脅主要包括惡意評(píng)價(jià)、交易欺詐、不良信息發(fā)布。

  (3)基礎(chǔ)網(wǎng)絡(luò)威脅。電子商務(wù)是構(gòu)建在互聯(lián)網(wǎng)上的交易平臺(tái),同樣面臨著DDoS、端口掃描、密碼暴力破解、網(wǎng)站后門(mén)等安全威脅。

  (4)業(yè)務(wù)連續(xù)性威脅。在電子商務(wù)領(lǐng)域主要面臨著特有的業(yè)務(wù)高彈性變化威脅,因?yàn)闃I(yè)務(wù)發(fā)展過(guò)快或網(wǎng)上促銷(xiāo)活動(dòng)等原因,電子商務(wù)企業(yè)會(huì)面臨著大量客戶訪問(wèn)超出現(xiàn)有系統(tǒng)設(shè)計(jì)容量的局面,而中小企業(yè)受限于資金規(guī)模導(dǎo)致其無(wú)力建設(shè)后備系統(tǒng)用于滿足無(wú)法預(yù)測(cè)的業(yè)務(wù)訪問(wèn)量,最終影響電子商務(wù)網(wǎng)站對(duì)外提供服務(wù)的連續(xù)性。

  1.2安全需求

  電子商務(wù)信息安全建設(shè)的需求主要來(lái)自于業(yè)務(wù)連續(xù)性、保護(hù)賬戶和交易信息安全、電子商務(wù)網(wǎng)站自身的安全性。

  (1)業(yè)務(wù)連續(xù)性是電子商務(wù)業(yè)務(wù)的第一要素,應(yīng)采用防DDoS技術(shù)、系統(tǒng)彈性擴(kuò)容技術(shù)來(lái)保障電子商務(wù)對(duì)外業(yè)務(wù)的連續(xù)性。

  (2)使用公共網(wǎng)絡(luò)的電子商務(wù)賬戶信息和在線交易中的信息宜受保護(hù),應(yīng)采用加密技術(shù)、黑名單、防釣魚(yú)、數(shù)字簽名技術(shù)來(lái)防止欺詐活動(dòng),保證賬戶和交易信息安全。

  (3)電子商務(wù)網(wǎng)站自身的安全性宜受保護(hù),應(yīng)采取檢測(cè)網(wǎng)站漏洞、掛馬、端口安全、網(wǎng)站后門(mén)等安全手段,防密碼暴力破解及管理員異地登錄預(yù)警等技術(shù)來(lái)保障系統(tǒng)的安全性。

  2電子商務(wù)信息安全的關(guān)鍵標(biāo)準(zhǔn)研制

  針對(duì)目前電子商務(wù)信息安全技術(shù)、管理、業(yè)務(wù)應(yīng)用等領(lǐng)域工作存在的界定不清、內(nèi)容不全、深度不統(tǒng)一等問(wèn)題,通過(guò)技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)進(jìn)行規(guī)范統(tǒng)一變得尤為重要。結(jié)合電子商務(wù)實(shí)際情況,在電子商務(wù)信息技術(shù)、業(yè)務(wù)應(yīng)用、安全管理等方面標(biāo)準(zhǔn)研究的基礎(chǔ)上,主要進(jìn)行以下標(biāo)準(zhǔn)研究。

  2.1電子商務(wù)信息安全技術(shù)標(biāo)準(zhǔn)

  確立電子商務(wù)信息安全保障總體架構(gòu),為電子商務(wù)所涉及的信息安全技術(shù)、信息業(yè)務(wù)應(yīng)用安全、信息安全管理等方面安全要求的實(shí)施提供指導(dǎo)。從需求分析、方案設(shè)計(jì)、安全評(píng)估、運(yùn)行等方面對(duì)信息安全建設(shè)實(shí)施給予指導(dǎo)。

  2.1.1業(yè)務(wù)應(yīng)用安全業(yè)務(wù)應(yīng)用安全是指在物理安全、網(wǎng)絡(luò)安全等安全環(huán)境的支持下,實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的安全目標(biāo),主要涉及到服務(wù)器端與客戶端相應(yīng)的安全服務(wù)。

  (1)服務(wù)器端的交易服務(wù)、數(shù)據(jù)服務(wù)、Web服務(wù)、文件服務(wù)等部件及其安全方面的屬性要求。交易服務(wù)及其安全屬性要求,為了使電子交易安全可靠,必須建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境,保證整個(gè)電子商務(wù)交易活動(dòng)中信息的安全性、匿名性和完整性,交易信息服務(wù)提供了安全、可靠的電子交易在線/離線運(yùn)算。數(shù)據(jù)服務(wù)及其安全屬性要求,局域網(wǎng)中的一臺(tái)或多臺(tái)計(jì)算機(jī)及其數(shù)據(jù)庫(kù)管理系統(tǒng)軟件共同構(gòu)成了數(shù)據(jù)庫(kù)服務(wù),數(shù)據(jù)庫(kù)服務(wù)為客戶應(yīng)用提供服務(wù)。這些服務(wù)是查詢、更新、事務(wù)管理、索引、高速緩存、查詢優(yōu)化、安全及多用戶存取控制等。通過(guò)傳輸層和應(yīng)用層安全協(xié)議、電子簽名、標(biāo)識(shí)與鑒別、密碼技術(shù)、抗抵賴(lài)、內(nèi)容安全、訪問(wèn)控制和PKI等實(shí)現(xiàn)安全防護(hù)。Web服務(wù)及其安全屬性要求,Web服務(wù)主要功能是提供信息傳輸與交換服務(wù)。主要解決網(wǎng)絡(luò)通信和信息交換過(guò)程中的訪問(wèn)控制、實(shí)體鑒別以及傳輸過(guò)程中的信息機(jī)密性、完整性問(wèn)題。文件服務(wù)及其安全屬性要求,在計(jì)算機(jī)網(wǎng)絡(luò)中,以文件數(shù)據(jù)共享為目標(biāo),需要將多臺(tái)計(jì)算機(jī)共享的文件存放于一臺(tái)計(jì)算機(jī)中。這臺(tái)計(jì)算機(jī)被稱(chēng)為文件服務(wù)器,文件服務(wù)器具有分時(shí)系統(tǒng)管理的全部功能,能夠?qū)θW(wǎng)統(tǒng)一管理,能夠提供網(wǎng)絡(luò)用戶訪問(wèn)文件、目錄的并發(fā)控制和安全保密措施。

  (2)客戶端的應(yīng)用程序模型分類(lèi)和安全方面的屬性要求??蛻舳说膽?yīng)用程序模型大致分為兩種:C/S(客戶端/服務(wù)器模型)和B/S(瀏覽器/服務(wù)器模型)??蛻舳说陌踩灾饕侵笐?yīng)用層次的安全性,主要通過(guò)用戶權(quán)限、角色分配來(lái)實(shí)現(xiàn)。對(duì)于客戶端應(yīng)用程序來(lái)說(shuō),通常需要通過(guò)公共密鑰基礎(chǔ)設(shè)施(PKI)為應(yīng)用提供可靠的安全服務(wù)。

  2.1.2信息安全建設(shè)實(shí)施電子商務(wù)信息安全建設(shè)流程可劃分為6個(gè)階段:風(fēng)險(xiǎn)評(píng)估、需求分析、方案設(shè)計(jì)、測(cè)試、系統(tǒng)安裝調(diào)試、正式運(yùn)行等。

  (1)風(fēng)險(xiǎn)評(píng)估。運(yùn)用風(fēng)險(xiǎn)評(píng)估方法計(jì)算企業(yè)整體的資產(chǎn)價(jià)值、弱點(diǎn)、威脅發(fā)生的幾率及可能造成的影響等。評(píng)估時(shí)應(yīng)考慮下面的因素:①信息安全可能造成的商業(yè)損失,并把損失的潛在后果也考慮進(jìn)來(lái)。②在極為普遍的危害和采取的相應(yīng)措施的作用下,故障實(shí)際發(fā)生的可能性。

  (2)需求分析。在項(xiàng)目的計(jì)劃階段,項(xiàng)目需求部門(mén)應(yīng)與項(xiàng)目建設(shè)部門(mén)共同討論信息系統(tǒng)的安全需求,明確重要的安全需求點(diǎn),安全需求分析應(yīng)該作為項(xiàng)目需求分析報(bào)告的組成部分。①項(xiàng)目需求部門(mén)與項(xiàng)目建設(shè)部門(mén)應(yīng)對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析,考慮業(yè)務(wù)處理流程中的技術(shù)控制要求、業(yè)務(wù)系統(tǒng)及其相關(guān)在線系統(tǒng)運(yùn)行過(guò)程中的安全控制要求,在滿足相關(guān)法律、法規(guī)、技術(shù)規(guī)范和標(biāo)準(zhǔn)等的約束下,確定系統(tǒng)的安全需求。②對(duì)系統(tǒng)安全應(yīng)遵循適度保護(hù)的原則,需在滿足以下基本要求的前提下,實(shí)施與業(yè)務(wù)安全等級(jí)相符合的安全機(jī)制:通過(guò)必要的技術(shù)手段建立適當(dāng)?shù)陌踩芸貦C(jī)制,保證數(shù)據(jù)信息在處理、存儲(chǔ)和傳輸過(guò)程中的完整性和安全性,防止數(shù)據(jù)信息被非法使用、篡改和復(fù)制。實(shí)施必要的數(shù)據(jù)備份和恢復(fù)控制。實(shí)施有效的用戶和密碼管理,能對(duì)不同級(jí)別的用戶進(jìn)行有限授權(quán),防止非法用戶的侵入和破壞。③系統(tǒng)的安全需求及其分析需經(jīng)過(guò)項(xiàng)目組內(nèi)部充分討論,項(xiàng)目需求方和項(xiàng)目建設(shè)方應(yīng)對(duì)安全需求及其分析的理解達(dá)成一致。

  (3)方案設(shè)計(jì)。項(xiàng)目建設(shè)部門(mén)應(yīng)根據(jù)確定的安全需求設(shè)計(jì)系統(tǒng)安全技術(shù)方案,應(yīng)滿足以下要求:系統(tǒng)安全技術(shù)方案要滿足所有安全需求,并符合公安部、工信部和主管部門(mén)的法規(guī)和標(biāo)準(zhǔn)要求。系統(tǒng)安全技術(shù)方案應(yīng)至少包括網(wǎng)絡(luò)安全設(shè)計(jì)、操作系統(tǒng)和數(shù)據(jù)庫(kù)安全、應(yīng)用軟件安全設(shè)計(jì)等部分。系統(tǒng)安全技術(shù)方案涉及采用的安全產(chǎn)品,應(yīng)符合國(guó)家有關(guān)法律法規(guī)。

  (4)測(cè)試。①信息系統(tǒng)安全功能測(cè)試在信息系統(tǒng)測(cè)試階段,應(yīng)根據(jù)信息系統(tǒng)安全功能需求進(jìn)行測(cè)試,確保所有設(shè)計(jì)的安全功能均能得到落實(shí)和實(shí)現(xiàn)。在測(cè)試報(bào)告或相關(guān)文檔中應(yīng)明確說(shuō)明檢查列表中各項(xiàng)安全功能的落實(shí)和實(shí)現(xiàn)情況。②測(cè)試過(guò)程的安全管理在信息系統(tǒng)開(kāi)發(fā)測(cè)試過(guò)程中,對(duì)于來(lái)自業(yè)務(wù)系統(tǒng)的數(shù)據(jù)要根據(jù)相關(guān)規(guī)定進(jìn)行變形處理,禁止在開(kāi)發(fā)或測(cè)試環(huán)境中直接使用生產(chǎn)系統(tǒng)的密鑰和用戶密碼等重要數(shù)據(jù)。測(cè)試環(huán)境要依據(jù)相關(guān)規(guī)定進(jìn)行合適的管理和安全防護(hù),并通過(guò)相應(yīng)的手段確保與生產(chǎn)系統(tǒng)、開(kāi)發(fā)系統(tǒng)隔離。

  (5)系統(tǒng)安裝調(diào)試。在信息系統(tǒng)安裝部署時(shí),應(yīng)采取相應(yīng)措施確保系統(tǒng)安全功能的實(shí)現(xiàn),對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)等軟件的安裝部署和配置應(yīng)該符合相應(yīng)的安全規(guī)范和標(biāo)準(zhǔn)。信息系統(tǒng)投產(chǎn)前應(yīng)進(jìn)行安全評(píng)估或?qū)彶?,通過(guò)審查系統(tǒng)設(shè)計(jì)文檔中的安全功能設(shè)計(jì)、系統(tǒng)測(cè)試文檔中的安全功能測(cè)試,確保系統(tǒng)本身安全功能的實(shí)現(xiàn)。通過(guò)審核系統(tǒng)安裝與配置過(guò)程或文檔,確保系統(tǒng)安全配置的落實(shí)與實(shí)現(xiàn)。

  (6)正式運(yùn)行。系統(tǒng)投入正式運(yùn)行后,需清除系統(tǒng)中各種臨時(shí)數(shù)據(jù),進(jìn)行管理權(quán)交接,開(kāi)發(fā)方不得隨意更改安全策略和系統(tǒng)配置。

  2.2電子商務(wù)平臺(tái)安全管理標(biāo)準(zhǔn)

  通過(guò)總結(jié)現(xiàn)有電子商務(wù)交易過(guò)程中遇到的安全問(wèn)題,經(jīng)過(guò)提煉和深化,系統(tǒng)規(guī)定電子商務(wù)交易平臺(tái)安全管理類(lèi)型,如用戶安全管理、交易安全管理、信息安全管理、管理安全規(guī)范等的系統(tǒng)規(guī)定。

  (1)用戶安全管理:主要對(duì)電商企業(yè)賬戶體系的安全和用戶信息的安全管理進(jìn)行規(guī)范;對(duì)用戶注冊(cè)、用戶信息的使用、用戶隱私保護(hù)、用戶發(fā)布信息的管理提供保護(hù)措施。

  (2)交易安全管理:主要對(duì)電商企業(yè)在交易過(guò)程中遇到的如商品質(zhì)量問(wèn)題、物流安全問(wèn)題、交易欺詐問(wèn)題、評(píng)價(jià)體系等進(jìn)行規(guī)定;以保障消費(fèi)者權(quán)益,建立健全的網(wǎng)上交易信譽(yù)體系。

  (3)信息安全管理:重點(diǎn)對(duì)電商企業(yè)在信息的發(fā)布、傳輸、管理、存儲(chǔ)、控制等進(jìn)行規(guī)定。

  (4)管理安全規(guī)范:重點(diǎn)對(duì)電商企業(yè)在安全管理中的人員配備、工作流設(shè)置、管理制度上做規(guī)定。

  電大計(jì)算機(jī)論文范文二:供電企業(yè)信息安全論文

  1電力行業(yè)信息安全合規(guī)管控遇到的難題和挑戰(zhàn)

  (1)檢查單位多、標(biāo)準(zhǔn)不一目前,供電企業(yè)經(jīng)常面臨著諸如安全等級(jí)保護(hù)、IT治理、安全督查、一體化風(fēng)險(xiǎn)評(píng)估、入網(wǎng)安評(píng)等合規(guī)標(biāo)準(zhǔn)的檢查和執(zhí)行問(wèn)題。以上檢查標(biāo)準(zhǔn)的關(guān)注點(diǎn)、執(zhí)行單位、檢查要求各不相同。

  (2)檢查手段、結(jié)果重復(fù)每年國(guó)家、行業(yè)或上級(jí)單位會(huì)定期下發(fā)相關(guān)檢查要求,并通過(guò)現(xiàn)場(chǎng)檢查、遠(yuǎn)程掃描、配置核查、滲透測(cè)試等手段對(duì)供電企業(yè)進(jìn)行合規(guī)性安全檢查,檢查內(nèi)容和結(jié)果容易存在一定的重復(fù)性,建立和整合統(tǒng)一風(fēng)險(xiǎn)庫(kù)也存在一定難度。

  (3)安全合規(guī)工作繁重供電企業(yè)安全人員在執(zhí)行安全合規(guī)工作的過(guò)程中,不可避免地要在每次合規(guī)檢查中面臨自查、加固、迎檢、整改、復(fù)查等一系列工作,當(dāng)此系列工作在一定時(shí)間內(nèi)重復(fù)出現(xiàn)的時(shí)候,合規(guī)管控工作將變得繁重且效率不高。

  (4)相關(guān)人員協(xié)調(diào)難度大信息安全管控工作往往跨越多個(gè)部門(mén),橫向溝通成本較大、難度也高。最常見(jiàn)的問(wèn)題就是實(shí)施方和相關(guān)配合人員因關(guān)注點(diǎn)不同而導(dǎo)致的工作分歧,若合規(guī)檢查時(shí)需要相關(guān)部門(mén)及人員多次重復(fù)性工作,往往導(dǎo)致人員情緒抵觸并影響工作效率。

  2多標(biāo)準(zhǔn)合規(guī)管控概念的提出

  針對(duì)以上信息安全合規(guī)管控工作中遇到的難題和挑戰(zhàn),本文提出了多標(biāo)準(zhǔn)合規(guī)管控的概念,試圖通過(guò)對(duì)各個(gè)合規(guī)標(biāo)準(zhǔn)進(jìn)行研究和學(xué)習(xí),探尋一條可以減輕合規(guī)管控過(guò)程中工作量繁重、重復(fù)的道路,研究一套把多個(gè)合規(guī)標(biāo)準(zhǔn)整合和統(tǒng)一的方法論。多標(biāo)準(zhǔn)合規(guī)管控,就是以現(xiàn)有的信息安全等級(jí)保護(hù)、IT治理、安全督查、一體化風(fēng)險(xiǎn)評(píng)估、入網(wǎng)安評(píng)、安全基線等標(biāo)準(zhǔn)為理論和參照基礎(chǔ),通過(guò)進(jìn)一步的比對(duì)梳理、分析、加工和整合,形成一個(gè)更具體的安全執(zhí)行標(biāo)準(zhǔn)庫(kù),覆蓋目前所有的檢查要求,是所有檢查標(biāo)準(zhǔn)的最大并集,利用此執(zhí)行標(biāo)準(zhǔn)指導(dǎo)信息安全的合規(guī)管控工作,爭(zhēng)取達(dá)到一次配置滿足多個(gè)標(biāo)準(zhǔn)的目的。

  3多標(biāo)準(zhǔn)合規(guī)管控體系建立

  本文以信息安全等級(jí)保護(hù)、IT治理、安全督查、一體化風(fēng)險(xiǎn)評(píng)估、入網(wǎng)安評(píng)、安全基線等標(biāo)準(zhǔn)為理論和參照基礎(chǔ),闡述多標(biāo)準(zhǔn)合規(guī)管控體系的建立過(guò)程。建立PDCA過(guò)程指導(dǎo)思想:通過(guò)對(duì)現(xiàn)有各個(gè)合規(guī)標(biāo)準(zhǔn)的體系文件、測(cè)評(píng)要求、規(guī)范標(biāo)準(zhǔn)進(jìn)行對(duì)比、分析、梳理和整合,制作出多標(biāo)準(zhǔn)合規(guī)管控體系的相關(guān)組件文檔,具體包括體系文件、配置方法、規(guī)范標(biāo)準(zhǔn)。主要研究步驟如下:

  (1)理解各信息安全檢查的要求、目的和目標(biāo)

 ?、侔踩燃?jí)保護(hù)信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

 ?、贗T治理IT治理是企業(yè)治理在信息時(shí)代的重要發(fā)展,用于描述企業(yè)或政府是否采用有效的機(jī)制,使得IT的應(yīng)用能夠完成組織賦予它的使命,同時(shí)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。

  ③安全督查信息安全督查是供電企業(yè)根據(jù)國(guó)家信息安全管理體系要求、結(jié)合供電企業(yè)信息技術(shù)監(jiān)督規(guī)范的要求建立的日常工作機(jī)制,負(fù)責(zé)各單位的信息安全技術(shù)指導(dǎo)、監(jiān)督、檢查、督促改進(jìn)等工作。

 ?、苋刖W(wǎng)安評(píng)為保障信息系統(tǒng)的正常運(yùn)行,需加強(qiáng)系統(tǒng)及設(shè)備入網(wǎng)管理,規(guī)范新設(shè)備入網(wǎng)前的相關(guān)活動(dòng)并進(jìn)行安全評(píng)測(cè),保障每一臺(tái)入網(wǎng)設(shè)備都符合企業(yè)安全規(guī)范要求,不會(huì)給現(xiàn)有網(wǎng)絡(luò)帶來(lái)新的安全隱患。

  (2)對(duì)各合規(guī)標(biāo)準(zhǔn)進(jìn)行對(duì)比分析,找出異同點(diǎn)通過(guò)仔細(xì)的分析對(duì)比,找出各合規(guī)標(biāo)準(zhǔn)要求項(xiàng)的差異并進(jìn)行標(biāo)注,研究差異的原因,探討差異點(diǎn)存在的價(jià)值。由于企業(yè)安全基線經(jīng)過(guò)多年的實(shí)踐和修正,具有較高的規(guī)范性和實(shí)操價(jià)值,符合供電企業(yè)的IT現(xiàn)狀,故以安全基線文檔為底板進(jìn)行增刪減優(yōu)化操作。

  (3)整合和梳理各合規(guī)標(biāo)準(zhǔn),形成備查項(xiàng)將各合規(guī)標(biāo)準(zhǔn)整合到統(tǒng)一文檔表格中,并以安全基線、等級(jí)保護(hù)測(cè)評(píng)要求文檔為主要參照物,對(duì)其他合規(guī)要求進(jìn)行梳理和排序。通過(guò)不同標(biāo)準(zhǔn)文件對(duì)相同控制點(diǎn)的不同描述進(jìn)行再加工,整合出一個(gè)覆蓋各個(gè)標(biāo)準(zhǔn)要求的執(zhí)行標(biāo)準(zhǔn)。此步驟不僅方便標(biāo)準(zhǔn)集合的制作,也保留了各個(gè)標(biāo)準(zhǔn)要求的原貌,方便日后查閱檢索。下表示例說(shuō)明某個(gè)信息安全控制點(diǎn)執(zhí)行標(biāo)準(zhǔn)集合:

  (4)整合多個(gè)合規(guī)標(biāo)準(zhǔn),形成具體執(zhí)行標(biāo)準(zhǔn)要求通過(guò)上一步驟對(duì)統(tǒng)一文檔產(chǎn)生的執(zhí)行標(biāo)準(zhǔn)集合進(jìn)行提煉和整合,排序形成涵蓋多個(gè)合規(guī)標(biāo)準(zhǔn)的具體執(zhí)行規(guī)范文檔。

  4多標(biāo)準(zhǔn)合規(guī)管控設(shè)計(jì)重點(diǎn)難點(diǎn)分析

  (1)設(shè)計(jì)過(guò)程考慮最小和最大安全保障問(wèn)題信息系統(tǒng)安全基線是一個(gè)信息系統(tǒng)的最小安全保證,即該信息系統(tǒng)最基本需要滿足的安全要求;而信息安全執(zhí)行標(biāo)準(zhǔn)在某一個(gè)程度上是一個(gè)信息系統(tǒng)的最大安全保證,即信息安全執(zhí)行標(biāo)準(zhǔn)已經(jīng)覆蓋了合規(guī)管控的多個(gè)標(biāo)準(zhǔn)要求。如何在最小安全保證和最大安全保證之間進(jìn)行取舍與平衡,是企業(yè)面臨的首要問(wèn)題。本文建議解決辦法是保留各個(gè)標(biāo)準(zhǔn)的要求文檔,供執(zhí)行人員備查,在實(shí)際執(zhí)行過(guò)程中根據(jù)系統(tǒng)級(jí)別進(jìn)行相應(yīng)的取舍。

  (2)設(shè)計(jì)過(guò)程考慮結(jié)果文檔的來(lái)源問(wèn)題信息安全執(zhí)行標(biāo)準(zhǔn)是一個(gè)實(shí)踐性文檔,在實(shí)踐的過(guò)程中難免會(huì)存在疑問(wèn)和顧慮,如何快速并準(zhǔn)確地定位到配置要求的來(lái)源和依據(jù)是面臨的第二個(gè)問(wèn)題。由于短期無(wú)法一次性創(chuàng)造一個(gè)安全合規(guī)體系,只能先對(duì)多個(gè)標(biāo)準(zhǔn)體系進(jìn)行整合和梳理,因此建議保留初始合規(guī)標(biāo)準(zhǔn)的原型,在執(zhí)行人員出現(xiàn)疑問(wèn)的時(shí)候能夠找到相關(guān)的依據(jù)。

  5結(jié)語(yǔ)

  本文以多年的供電企業(yè)信息安全合規(guī)管控執(zhí)行工作實(shí)踐為基礎(chǔ),對(duì)信息安全多標(biāo)準(zhǔn)合規(guī)管控體系的研究與實(shí)踐進(jìn)行了初步探討,也充分認(rèn)識(shí)到多標(biāo)準(zhǔn)合規(guī)管控執(zhí)行過(guò)程中存在的問(wèn)題和難點(diǎn),將結(jié)合信息安全要求及技術(shù)發(fā)展不斷評(píng)審、完善,逐步體現(xiàn)該體系的實(shí)用性和執(zhí)行價(jià)值,為信息安全合規(guī)管控工作提供一定的指導(dǎo)和參考作用。

892749