【正文】 和涉密人員要與企業(yè)簽訂保密合同，承諾其對(duì)系統(tǒng)應(yīng)盡的安全保密義務(wù)。（2）建立機(jī)房主要設(shè)備維護(hù)記錄文檔；及時(shí)檢查機(jī)房主要設(shè)備，確保設(shè)備處于正常狀態(tài)。 設(shè)備管理首先是設(shè)備購(gòu)置登記：對(duì)所有設(shè)備均應(yīng)建立項(xiàng)目齊全、管理嚴(yán)格的購(gòu)置、移交、使用、維護(hù)、維修和報(bào)廢等登記制度，并認(rèn)真做好登記及檢查工作，保證設(shè)備管理工作正規(guī)化。雙方在維修記錄上簽字。（1）重要的操作系統(tǒng)和應(yīng)用軟件應(yīng)在安全管理員的監(jiān)督下進(jìn)行安裝。軟件更新后，軟件的新舊版本均應(yīng)登記造冊(cè)，由專人保管。（3）定期對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)及其它相關(guān)軟件進(jìn)行稽核審計(jì)，分析與安全有關(guān)的事件，堵塞漏洞。（2）口令的長(zhǎng)度根據(jù)訪問(wèn)等級(jí)確定；涉及國(guó)家絕密級(jí)的信息的口令不少于十二個(gè)字符（或六個(gè)漢字）：涉及國(guó)家機(jī)密級(jí)信息的口令不少于十個(gè)字符(或五個(gè)漢字) [10]。（4）口令傳送必須加密，并與用戶身份識(shí)別碼一一對(duì)應(yīng)。 網(wǎng)絡(luò)管理（1）缺少必要安全措施的網(wǎng)絡(luò)不能正式投入使用。（3)由專人實(shí)施對(duì)網(wǎng)絡(luò)的統(tǒng)一管理、監(jiān)督與控制，網(wǎng)絡(luò)調(diào)整及運(yùn)行狀況詳細(xì)記錄歸檔。（2）及時(shí)對(duì)審計(jì)內(nèi)容進(jìn)行分析，找出潛在的安全威脅和異常行為，追查發(fā)生異常行為的原因和人員。（4）定期將審計(jì)結(jié)果報(bào)企業(yè)領(lǐng)導(dǎo)，并歸檔。（1）根據(jù)不同的安全事件和故障類型，按照最壞程度制定相應(yīng)的應(yīng)急措施，進(jìn)行測(cè)試和演練。（3）事后要分析原因，總結(jié)教訓(xùn)，彌補(bǔ)系統(tǒng)的脆弱性，完善安全策略、服務(wù)和過(guò)程。但如何建立信息安全管理體系，卻有多種方法和手段，但根本方法是要建立健全的信息安全管理制度和采用相應(yīng)的技術(shù)手段。下面通過(guò)百川科技有限公司的信息安全管理體系的建立過(guò)程，來(lái)說(shuō)明怎樣建立企業(yè)信息安全體系。成都百川科技有限公司（簡(jiǎn)稱百川公司）是一家專業(yè)機(jī)械制造廠家，公司從1999年開始采用計(jì)算機(jī)技術(shù)應(yīng)用于產(chǎn)品開發(fā)、生產(chǎn)管理之中，形成了具有百川特色的信息化應(yīng)用體系。信息安全體系管理與控制中心信息安全風(fēng)險(xiǎn)分析與評(píng)估信息安全防護(hù)策略與制度信息安全防護(hù)技術(shù)實(shí)施信息安全管理效果分析評(píng)估圖41 百川公司信息安全防護(hù)體系建立過(guò)程示意圖（1）信息安全風(fēng)險(xiǎn)分析與評(píng)估是建立信息安全管理體系的第一步，利用“失誤模型及后果分析法”技術(shù)，發(fā)現(xiàn)系統(tǒng)中每一個(gè)環(huán)節(jié)所產(chǎn)生的（或潛在的）失誤條件，對(duì)信息安全的影響程度。（3）信息安全防護(hù)技術(shù)實(shí)施是對(duì)信息安全防護(hù)策略與制度執(zhí)行情況的監(jiān)控手段，是維護(hù)信息安全管理體系的保障。通過(guò)信息安全管理效果分析和評(píng)估，可以不斷發(fā)現(xiàn)新的安全漏洞和隱患，進(jìn)一步完善信息安全防護(hù)策略和制度。兩者是有機(jī)的統(tǒng)一體?？偨?jīng)理辦公室和公司信息中心是信息安全管理體系的管理部門，總經(jīng)理辦公室主要負(fù)責(zé)建立涉及企業(yè)信息安全管理體系的各種行政管理制度和日常的監(jiān)督檢查，信息中心負(fù)責(zé)計(jì)算機(jī)硬件、軟件、局域網(wǎng)、操作日志、各部門子系統(tǒng)管理員的購(gòu)買、維護(hù)、監(jiān)督和授權(quán)等。百川公司對(duì)各級(jí)員工分為兩類五級(jí)，即普通工作人員的初級(jí)、中級(jí)、高級(jí)3級(jí)和管理人員2級(jí)。百川公司針對(duì)企業(yè)信息安全管理體系的要求，設(shè)置了專門人員負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全管理體系的日常維護(hù)。系統(tǒng)管理員主要負(fù)責(zé)企業(yè)局域網(wǎng)的建設(shè)和維護(hù)、外購(gòu)軟件的安全性能測(cè)試以及日志管理員、安全管理員、數(shù)據(jù)管理員和文件打印員的權(quán)限分配和授權(quán)。經(jīng)過(guò)整理的日志文件，通過(guò)數(shù)據(jù)管理員進(jìn)行備份與保存。數(shù)據(jù)管理員主要負(fù)責(zé)定期對(duì)企業(yè)各系統(tǒng)所產(chǎn)生的數(shù)據(jù)、電子文擋進(jìn)行有效備份，確保數(shù)據(jù)和電子文擋的安全，以便在企業(yè)信息網(wǎng)絡(luò)出現(xiàn)“災(zāi)難”時(shí)恢復(fù)數(shù)據(jù)和電子文擋。文件打印員主要負(fù)責(zé)與產(chǎn)品開發(fā)有關(guān)的技術(shù)文擋、企業(yè)允許外發(fā)文擋的打印，所打印的電子文檔必須得到相關(guān)權(quán)限的批準(zhǔn)和授權(quán)。在百川公司計(jì)算機(jī)應(yīng)用軟件中，通過(guò)對(duì)商品化軟件的二次開發(fā)和設(shè)定，使所有應(yīng)用軟件，如CAD、WORD等建立了軟件操作登錄窗口，每個(gè)操作人員必須輸入自己的用戶名和登錄口令，方可進(jìn)入或啟動(dòng)軟件進(jìn)行操作。（3） 信息安全防護(hù)技術(shù)實(shí)施：百川公司局域網(wǎng)拓?fù)鋱D如圖42：圖42 百川公司計(jì)算機(jī)局域網(wǎng)拓?fù)鋱D百川公司根據(jù)其具體業(yè)務(wù)和部門來(lái)進(jìn)行局域網(wǎng)的構(gòu)建，為了保護(hù)信息的安全，主要采用了以下技術(shù)：防火墻技術(shù)從拓?fù)鋱D上可以很清晰的看出來(lái)，百川公司采用的防火墻部署結(jié)構(gòu)是屏蔽子網(wǎng)體系結(jié)構(gòu)。這種部署能大大降低黑客對(duì)內(nèi)網(wǎng)的攻擊，因?yàn)槿肭终弑仨殢耐庀騼?nèi)突破3個(gè)不同的設(shè)備才能侵襲內(nèi)部網(wǎng)絡(luò)：外部路由器，堡壘主機(jī)，還有內(nèi)部路由器。入侵檢測(cè)技術(shù)防火墻只是一種被動(dòng)防御性的網(wǎng)絡(luò)安全工具，僅僅使用防火墻是不夠的。公司采用的是ISS公司（國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司）的RealSecure入侵檢測(cè)系統(tǒng)。當(dāng)檢測(cè)到攻擊時(shí)，系統(tǒng)能即刻做出響應(yīng)，進(jìn)行告警/通知（向控制臺(tái)告警、向安全管理員發(fā)Email、SNMPtrap、查看實(shí)時(shí)會(huì)話和通報(bào)其他控制臺(tái)），記錄現(xiàn)場(chǎng)（記錄事件日志及整個(gè)會(huì)話），采取安全響應(yīng)行動(dòng)（終止入侵連接、調(diào)整網(wǎng)絡(luò)設(shè)備配置，如防火墻、執(zhí)行特定的用戶響應(yīng)程序）。公司根據(jù)信息的敏感程度對(duì)局域網(wǎng)進(jìn)行了劃分，這樣能有效的保證信息的安全，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。 認(rèn)證技術(shù)公司主要采用了身份認(rèn)證技術(shù)和數(shù)字簽名技術(shù)。而對(duì)于公司和其他公司的業(yè)務(wù)往來(lái)，就需要用到數(shù)字簽名技術(shù)，來(lái)保證雙方數(shù)據(jù)傳輸?shù)陌踩院筒豢煞裾J(rèn)性。前者主要用于一般重要性且經(jīng)常要用到的信息；后者主要用于重要的不經(jīng)常進(jìn)行變更的信息。病毒防治技術(shù)百川公司網(wǎng)絡(luò)防病毒方案的組成采用多層次結(jié)構(gòu)，智能化，全自動(dòng)，集中管理，強(qiáng)制策略執(zhí)行以及多平臺(tái)支持的技術(shù)，在網(wǎng)絡(luò)結(jié)構(gòu)的每一個(gè)層次，每一個(gè)平臺(tái)，每一種環(huán)境下都有相應(yīng)的防病毒產(chǎn)品對(duì)其進(jìn)行防病毒保護(hù)，如在防火墻、網(wǎng)關(guān)，服務(wù)器以及工作站等都有相應(yīng)的防病毒產(chǎn)品。通過(guò)這幾個(gè)部分的有機(jī)協(xié)作工作，很好的解決了病毒對(duì)企業(yè)信息的破壞。確定合理的信息安全措施，防止因過(guò)分強(qiáng)調(diào)信息安全而大幅度降低系統(tǒng)運(yùn)行質(zhì)量和性能，妥善處理信息安全與運(yùn)行質(zhì)量及性能的關(guān)系，進(jìn)一步規(guī)范系統(tǒng)運(yùn)行規(guī)則，建立符合標(biāo)準(zhǔn)與合理相結(jié)合的安全措施，可提高系統(tǒng)的運(yùn)行效果。結(jié) 論企業(yè)信息系統(tǒng)是企業(yè)信息化的核心設(shè)施，必須建立完善的、智能化的網(wǎng)絡(luò)安全防范體系，確保網(wǎng)絡(luò)的安全、穩(wěn)定、高效地運(yùn)行。技術(shù)方面主要側(cè)重于防范非法用戶的攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理?？傊?，企業(yè)信息系統(tǒng)的安全問(wèn)題將會(huì)越來(lái)越得到人們的重視，其不但是一個(gè)技術(shù)難題，同時(shí)更是一個(gè)管理安全的問(wèn)題。因此，企業(yè)必須綜合考慮各種相關(guān)因素，制定合理的目標(biāo)、規(guī)劃相應(yīng)的技術(shù)方案等。參考文獻(xiàn)[1][J].科海故事博覽，2009，(2)：1013.[2]王秀和，[J].中國(guó)教育技術(shù)設(shè)備，2007，（3）:13.[3][M].北京:人民郵電出版社，2003.[5][M].廣州:華南理工大學(xué)出版社，2006.[6]常建平，靳慧云，[M].北京:中國(guó)人民公安大學(xué)出版社，2002.注意：所有參考文獻(xiàn)只列出期刊、著作。致 謝本論文是2010年12月至2011年5月底在成都信息工程學(xué)院銀杏酒店管理學(xué)院完成的。王老師每次都耐心地給我分析論文的可取之處和不足之處，提出修改意見，從初稿到定稿給了我很大鼓勵(lì)。另外，還要感謝學(xué)院圖書館給予無(wú)私的數(shù)據(jù)資料等支持。盡我所知，除文中已經(jīng)特別注明引用的內(nèi)容和致謝的地方外，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫過(guò)的研究成果。本人完全意識(shí)到本聲明的法律結(jié)果由本人承擔(dān)。論文密級(jí)：□公開 □保密（___年__月至__年__月）(保密的學(xué)位論文在解密后應(yīng)遵守此協(xié)議)作者簽名：_______ 導(dǎo)師簽名：______________年_____月_____日 _______年_____月_____日獨(dú) 創(chuàng) 聲 明本人鄭重聲明：所呈交的畢業(yè)設(shè)計(jì)(論文)，是本人在指導(dǎo)老師的指導(dǎo)下，獨(dú)立進(jìn)行研究工作所取得的成果，成果不存在知識(shí)產(chǎn)權(quán)爭(zhēng)議。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體均已在文中以明確方式標(biāo)明。 畢業(yè)設(shè)計(jì)（論文）使用授權(quán)聲明本人完全了解濱州學(xué)院關(guān)于收集、保存、使用畢業(yè)設(shè)計(jì)（論文）的規(guī)定。（保密論文在解密后遵守此規(guī)定）首先非常感謝學(xué)校開設(shè)這個(gè)課題，為本人日后從事計(jì)算機(jī)方面的工作提供了經(jīng)驗(yàn)，奠定了基礎(chǔ)。本次畢業(yè)設(shè)計(jì)是對(duì)我大學(xué)四年學(xué)習(xí)下來(lái)最好的檢驗(yàn)。這期間凝聚了很多人的心血，在此我表示由衷的感謝。首先，我要特別感謝我的知道郭謙功老師對(duì)我的悉心指導(dǎo)，在我的論文書寫及設(shè)計(jì)過(guò)程中給了我大量的幫助和指導(dǎo)，為我理清了設(shè)計(jì)思路和操作方法，并對(duì)我所做的課題提出了有效的改進(jìn)方案。從他身上，我學(xué)到了許多能受益終生的東西。其次，我要感謝大學(xué)四年中所有的任課老師和輔導(dǎo)員在學(xué)習(xí)期間對(duì)我的嚴(yán)格要求，感謝他們對(duì)我學(xué)習(xí)上和生活上的幫助，使我了解了許多專業(yè)知識(shí)和為人的道理，能夠在今后的生活道路上有繼續(xù)奮斗的力量。最后，我要感謝我的父母對(duì)我的關(guān)系和理解，如果沒有他們?cè)谖业膶W(xué)習(xí)生涯中的無(wú)私奉獻(xiàn)和默默支持，我將無(wú)法順利完成今天的學(xué)業(yè)。從這里走出，對(duì)我的人生來(lái)說(shuō)，將是踏上一個(gè)新的征程，要把所學(xué)的知識(shí)應(yīng)用到實(shí)際工作中去。感謝老師四年來(lái)對(duì)我孜孜不倦的教誨，對(duì)我成長(zhǎng)的關(guān)心和愛護(hù)。四年的風(fēng)風(fēng)雨雨，我們一同走過(guò)，充滿著關(guān)愛，給我留下了值得珍藏的最美好的記憶。最后，我要特別感謝我的導(dǎo)師趙達(dá)睿老師、和研究生助教熊偉麗老師。老師們認(rèn)真負(fù)責(zé)的工作態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和深厚的理論水平都使我收益匪淺。在論文的撰寫過(guò)程中老師們給予我很大的幫助，幫助解決了不少的難點(diǎn)，使得論文能夠及時(shí)完成，這里一并表示真誠(chéng)的