网络信息安全预防措施研究论文

关键词：通道预防措施后勤网络

【摘要】随着不断发展的网络技术，人们每时每刻都在利用互联网与外界进行数据交换，网络信息的安全性已成为社会生活中的重要问题，确保网络信息的安全性已成为国家检查部门的重要任务之一。本文的研究重点是通过分析大数据环境下的网络信息安全特征，建立相对全面的网络信息安全保护路径，为大数据背景下网络信息安全工作提供了新的工作方法与标准。以下是小编精心整理的《网络信息安全预防措施研究论文(精选3篇)》相关资料，欢迎阅读！

网络信息安全预防措施研究论文篇1：

浅谈网络隐通道及其在军事后勤网络中的应用

摘要:文章主要通过对网络隐通道的分析及其预防措施,探讨了网络隐通道在军事后勤网络中的应用,这对改进军事网络安全防御系统具有一定的参考价值。

关键词:网络隐通道;军事后勤;TCP/IP协议

隐通道是指系统的一个用户以违反系统安全策略的方式传送信息给另外一个用户的机制。任何利用非正常的通信手段在网络中传递信息,突破网络安全机制的通道都可以称作隐通道。这种在网络环境下与网络协议应用关联密切的隐通道,一般称为“网络隐通道”,网络隐通道实际上是信息隐藏,可以说是密码学意义上的潜通道。

在我军后勤网络信息化建设过程中,研究网络隐通道(以下统称为隐通道)是十分有意义的。因为:①隐通道的分析与处理是开发符合B2及B2以上级信息安全系统的必要条件和关键技术之一,我国的相关标准中也非常重视隐通道的研究,并在安全保证部分明确给出了相应要求。②为了保证计算机网络的信息安全,许多网络都采取了严密的防范措施,设置了多种安全策略。但是,却不能够有效地防止非法程序利用那些本来不是用于通信目的的途径(如隐通道)来进行通信。③从网络攻击的角度来说,建立隐通道是有特殊的意义,经过前期的网络攻击活动,如果已经掌握了某个系统的控制权,如何绕过网络的安全机制,把系统中重要的信息“偷运”出来是一个非常艰巨的任务,隐通道可以担此重任。因此,在网络信息战中,隐通道具有非常重要的作用。

1网络隐通道的分析

由于网络隐通道与网络协议密切相关,而且TCP/IP协议在网络中应用的范围比较广泛,因此,文章从TCP/IP协议头结构的角度出发,对基于TCP/IP协议族建立的隐通道进行相关分析。

1.1 隐通道建立的基本途径

在TCP/IP协议族中,在设计上有很多安全方面的缺陷,由于这些缺陷的存在,网络隐通道才能够建立成功。在协议中,有很多设计得不严密的地方,可以用来秘密地隐藏信息。这就给建立隐通道秘密传输信息提供了场所。

①利用选项域和传输数据时通常很少用的域。在TCP协议和IP协议中,都有选项域字段。在许多TCP和IP数据包中,选项域都是不填充的。而对于防火墙而言,则很少对TCP和IP数据包包头的具体内容进行检查。

因此,在建立隐通道时,数据包的包头是比较理想的隐藏数据的场所。如果将数据包头内存储的信息经过加密变换,则建立隐通道的效果会更好。

②利用传输数据时必须强制填充的域。在TCP协议和IP协议中,在传输数据时,为了将数据正确的传送到目的主机,数据包头中有一些域是必须填写的,例如:TCP数据包头中的源端口域等。防火墙或入侵检测系统很容易忽视对它们的检查,因此,这些域也是隐藏信息的理想场所。

1.2隐通道建立的基本方法

根据建立隐通道的思想,基于TCP/IP协议的数据包头隐藏信息,有4种比较好的方法可以采用:①利用IP数据包头的ID域隐藏信息,建立隐通道;②利用TCP数据包头的序列号域SN隐藏信息,建立隐通道;③利用TCP数据包头的ACK域隐藏信息,通过第三方主机中转建立隐通道;④利用ICMP数据包隐藏信息,建立隐通道。

1.3网络隐通道的危害

在一般情况下,防火墙和入侵检测系统都不会检查协议数据包头中的内容,因此,隐通道很容易穿透网络安全设备的阻拦,甚至在一些防护措施比较严密的网络中,利用基于TCP/IP协议的数据包头建立的隐通道可以自由传输数据。

隐蔽通道是进行长期控制的通信手段而不是真正的攻击程序,最大的威胁在于其可能被特洛伊木马等恶意程序所利用。文章所研究的基于TCP/IP的网络隐蔽通道除了直接作为远程控制类软件的通信手段之外,还可能被作为“先锋组织”,用于先盗回主机的配置信息(包括代理密码等)等,为后续的远程控制类软件提供辅助信息。

2网络隐通道的防范措施

将已经建立的隐通道检测出来是比较困难的,因此,禁止隐通道建立的最好方法是预防。现在的许多网络安全产品对于隐通道的防御效果并不好,最具有代表性的就是防火墙和入侵检测系统。

2.1防火墙

在只有包过滤防火墙的网络中,文章讨论的网络隐蔽通道一般都是不可防御的,它们可以自由进出网络。有状态包检查防火墙对于IP隐通道和TCP隐通道有比较好的防护效果,而对于ICMP隐通道和利用第三方主机中转建立的隐通道的防护效果不太理想。

2.2入侵检测系统

入侵检测系统对基于TCP/IP协议的隐通道的防范作用比较差,可以说几乎不具备防护能力,主要原因如下。

①文章讨论的4种建立隐通道的方法,都是在某种网络协议的数据包包头中的某个域隐藏信息,而在数据包包体中没有攻击特征,有的数据包甚至只有包头而没有包体。这样,隐通道程序伪造的数据包包头都是正常的,与IDS已知的现有攻击方法的数据包包头特征相差甚远,因此,入侵检测系统很难找到攻击特征。②在数据包包头中隐藏的信息是经过编码变化的,因此,每个数据包的特征都不一样。以IP隐蔽通道为例,它是利用IP包头的ID域来隐藏信息。隐藏字母“H”和隐藏字母“E”的数据包的ID域完全不同,没有任何共同点,所以入侵检测系统很难识别隐通道。③在隐通道中,“违法”的信息是分布在许多不同的数据包中分开传输的,到了目的主机之后再重组。即使入侵检测系统截获了1个或几个数据包,它必须把这些数据包完全解密,然后,再将多个数据包中的数据前后联系起来,综合分析,才能够确定攻击特征,凭单个数据包很难发现攻击特征。这对于现有的商用入侵检测系统来说,可能性非常小。

防止隐通道的建立有一些好的技术途径。其中之一就是在网络中使用代理型防火墙并且进行严格的配置和管理。另外一种可行的方法就是使用网络地址转换(NAT)技术以及认证技术,将进出网络的数据包头彻底改变。然而在实际的网络应用中,有很多网络都没有使用这些方法,这就给隐通道的建立提供了可乘之机。

3网络隐通道在军事安全中的应用

①军事后勤网络的特点。信息化条件下,战争呈现出网络化、一体化的发展趋势,要求后勤保障系统全纵深实现无缝衔接,必须要保障网络安全。而目前我军网络在安全方面有防护手段单一和现有军事网络入侵检测效果较差的特点,因此需要在军事网络中对网络隐通道进行分析与处理,增强网络安全,提高防御能力。

②隐通道在网络攻击中的应用。网络隐通道与特洛伊木马相结合,在网络攻击中可以产生倍增的效果。利用上面的隐通道思想,可以非常方便地构造出实用的网络攻击程序。

建立隐通道是网络攻击活动的必要步骤之一。在取得目的主机的控制权后,如何穿透网络的防护体系,与被控制的主机进行通信是一个难点。隐通道可以解决这个问题。比如,将隐通道和特洛伊木马相结合,可以构造以下攻击手段:攻击者可以利用ICMP协议的特点,利用ICMP隐通道向被控制的主机发送操作命令,木马程序则在被攻击主机上接收并执行命令,然后利用隐通道将命令执行的结果返回给攻击者。这就是一个典型的网络攻击的应用。它将隐通道和木马技术结合起来,其中网络隐通道负责通信部分,木马程序负责在被攻击者主机本地执行各种操作,并且将执行的结果传给隐通道。

4结语

文章讨论的隐通道建立方法,只是使用了TCP/IP协议中数据包头的某些字段,其它字段同样也可以用来隐藏信息。另外,建立隐通道的思想是有通用性的,这种利用数据包包头隐藏信息,建立隐通道的方法在其它协议中也可以使用,比如:SNMP协议等,传输数据的效果可能略有差别,这和目标网络的具体网络环境和安全机制有关。

掌握网络隐通道的建立方法,目的在于知己知彼,更好地做好我军网络安全防范工作,更有利于安全策略的定制。这种通过数据包包头隐藏信息建立隐通道的方法给网络攻击技术增加了一种新的技术途径,同时它也是评估入侵检测系统和防火墙系统的重要手段。

参考文献:

[1]徐杰锋.基于TCP/IP协议的网络隐蔽通道研究[J].北京邮电大学学报,2003,(1).

[2] 王永杰,刘京菊,孙乐昌.网络数据通信中的隐蔽通道技术研究网络数据通信中的隐蔽通道技术研究[J].计算机工程,2003,(2).

作者：刘珊珊

网络信息安全预防措施研究论文篇2：

计算机网络信息安全及防护路径浅述

【关键词】计算机;信息安全;防护路径

Key words： computer; Information security; Protective path

随着全球不断发展计算机网络信息技术，该技术已取得前所未有的飞速发展。特别是近年来，智能网络终端计算机的数量持续增加，并且云計算中互联网数据的数量呈爆炸式增长，计算机不断引入新技术，具有“数量大、品种多、价值高、扩散速度快”等特点。因特网上的数据已逐渐进入大数据时代，网络信息的安全性已成为社会发展中的突出问题。当代社会的信息流主要以网络为载体，以电子信息为媒介，以智能网络计算机为终端来获取和交换信息。互联网深刻影响了人类政治、经济和文化的各个方面。尽管中国网络信息的安全起步较晚，但随着网络信息的发展，信息安全的重要性已经提高，网络信息安全已成为国家性战略之一，它受到越来越多的关注，相关法律法规不断完善，控制在线交流的内容和监督在线舆论已逐渐成为用于网络信息安全的常规方法。

1. 计算机网络信息安全的基本理论

1.1 计算机网络信息安全概念

计算机网络的信息安全属于一个综合主题，涉及统计学、密码学、通信学、数学、信息技术、数论和其他学科。一般而言，与网络上信息的完整性、机密性、真实性、可用性和控制能力有关的理论和技术均在网络信息安全范围内。从严格意义上讲，网络信息安全是指网络上的服务和信息的安全，可以确保网络系统中系统软件、硬件和数据的安全。

1.2 计算机网络信息安全的特点

计算机网络是一个开放系统，网络的漏洞也归因于其开放性。它们的不安全性主要表现为设计和开放程度越高，网络信息的安全性越低。开放本身代表了多个链接，例如网络的脆弱性和维护。尽管在计算机网络设计阶段就已经考虑到了信息安全的威胁，但是即使在计算机网络的开始就充分考虑了保护措施的情况下，在安全预防和控制的设计阶段也不是无可挑剔的。网络信息安全设计，在特定的操作过程中仍然受网络用户的欢迎。在计算机网络信息实施阶段和网络维护阶段，由于主观因素的作用，例如操作级别和管理员维护程度，更容易暴露安全漏洞以及存在的问题，由于网络密钥和各种软件的复杂性，安全性也出现了漏洞。

在大多数情况下计算机病毒会导致突然损坏并影响网络信息安全。病毒定义目前公认的是人为产生的代码或指令，可以快速传播并复制到计算机系统中其主要特征是破坏性、传播能力和再现性。在休眠过程中，计算机病毒不会影响正常的计算机程序，但是，一旦病毒爆炸，它将引起广泛而迅速的传播，从而导致信息和资料丢失，短时间内几乎所有网络系统都会极速冻结，形成严重的计算机网络信息安全问题。作为网络信息安全领域中的一个问题，信息安全可能会在未检测到的状态下显示出破坏性，同时又会迅速发起攻击，而没有给予安全保护任何反应时间。因此，网络信息安全的突然性要求信息安全部门在网络安全的治理过程中采取预防措施，以使损害最小化。信息在互联网上的迅速传播和冲击是信息通信或人类社会从未遇到过的新情况，互联网的相互作用和相互联系构成了整个世界信息网络。有时，计算机网络信息事故财产损失在全球范围内发生，并且金额巨大。同时，计算机网络的无限和完全开放的功能促进了某些网络安全攻击。因此，为了更好地保护国际网络信息的安全，必须改善国际合作。

2. 计算机网络信息安全存在的问题

2.1 网络信息安全的事故呈上升趋势

我国将计算机网络信息安全提升为国家战略之一，虽然网络信息技术的不断更新发展，保护计算机网络安全的技术方法却更新缓慢。主要体现在以下几点：计算机网络信息安全行业从业人员良莠不齐，技术手段落后，主要防护手段主要依赖国外先进技术，自主创新产品严重缺乏，信息安全防护软件全靠进口，成为我国计算机网络安全的极大隐患。应当快速完善信息安全监管制度，个体用户、企业组织、政府监管三者集中力量，形成网络信息安全监管保护网，实现更好计算机网络安全防护。

2.2 网络信息安全基础薄弱

中国的信息网络技术产业起步相对较晚，使中国计算机网络信息技术的发展处于被动状态。由于发达国家在信息产业中对中国信息产业的限制和阻碍，干涉我国信息安全产品的进口，造成了我国信息网络安全基础关键领域极其薄弱，容易遭到破坏和攻击。从基础设备上来看，我国许多重要部门使用的计算机CPU仍需进口。中国在计算机研究和开发方面取得了重大进展，领先世界上许多信息发达国家，但很多基础零件仍依赖发达国家进口，国内只能进行一些简单的加工组装等低利润环节。国外的技术垄断不仅带来丰厚的利润，而且严重威胁着中国计算机网络信息的安全。从国家的角度来看，对网络信息的安全性关注不足，许多部门和员工对网络信息的安全性关注不多。从企业角度说，强调技术而忽略安全性是当今网络信息安全中的一个突出主题，它表现为对信息设备和技术水平的过度搜索，但对信息安全性的了解不足和投资不足，很容易导致信息安全保护方面的空白，并容易造成企业的信息安全事故。

2.3 网络信息安全面临新的挑战

网络安全关乎国家安全，对国家政治、经济以及社会安全带来巨大隐患，网络信息平台已然成为各种文化意识的战场，这场战争虽无硝烟，但其破坏程度与严重性更大。可以看出，信息技术的进步不仅为中国提供了发展机会，而且还为外国敌对势力提供了信息获取渠道，这使机密情况下的安全性成为现实问题，产生了新情况。随着社会主义市场经济的发展和信息化建设的发展，网络信息安全的矛盾日益加剧。从全球的角度来看，信息技术的飞速发展为全球网络中的信息安全带来了新的挑战。网络计算机病毒、网络诈骗、网络黑客和其他安全陷阱也已逐步众所周知。针对性攻击、社交网络威胁、移动设备安全性和攻击工具包正在蓬勃发展，并且网络安全性也显示出新的发展趋势和特征。在传统的系统防御的基础上，三维集成了所有系统的优势，针对所有安全漏洞进行了三维保护。

3. 网络信息安全控制策略与防护路径

3.1 人员角度

当前信息安全工作的首要任务是加强网络用户安全，只有在保证网络用户信息安全的前提下，才能向用户提供信息上的心理安全，加深网络用户的安全行为。从管理的角度来看，它应该加强对网络用户的管理，规范其网络行为安全、文明地访问网络信息，并维护信息安全性。信息爆炸的时代，每个人的生活都与信息网络安全息息相关，但个人信息保护意识却日益淡漠。很多个人网络信息暴露，被盗用，都与和人保护意识不强有关。网络用户在没有安全意识的状态下把信息泄露出去，随便的输入个人关键信息，就可能被恶意盗用或滥用。网络攻击手段日益多样化，提高个人安全防护意识尤为重要，因此，加大网络用户信息防护安全意识，是网络信息安全的基础保障。例如，在设置个人密码时尽量设置难度较高的密码，密码如果过于简单，则容易被不法分子破译，提高密码难度有以下几个建议，不同账号不要用相同密码，不要用身份证号码、手机号码、亲人生日等作为密码，密码最好由字母、数字、符號等组成，强化破译难度来提高网络信息安全性。

网络信息服务商在计算机网络信息安全中起着决定性的作用，对于那些对数据保护力度不大，不负责任的服务商应给予一定的处罚，处罚方式有通报批评、罚款、撤销营业资格等。同时企业也应加强对网络安全风险的防护措施，确保个人及企业的财产信息的安全。例如，安装必要的杀毒软件，启动网络防火墙装置，对使用过的网络端口及时处理，避免被不法分子恶意利用造成公司财产损失。

信息安全是一个对专业要求很高的专业，因此我国应注重对网络信息安全人才的培养。在人才方面，加大网络信息科技的资金、政策等投入，组建专业化队伍，网络信息安全人才不仅要求有很高的专业技术水平，还应具有创新意识，创新能力，这样才能早日打断发达国家对网络信息科技领域的垄断。

3.2 环境角度

网络设施是计算机网络安全的硬件堡垒，重视网络设施建设与维护是至关重要的。应充分利用数据库系统、网络安全系统对网络信息进行保护。还应有效地对内部网络数据库进行管理，保障信息安全不泄露。除了避免网络黑客攻击，还应注意地震、火灾或人为破坏造成的数据丢失。建立网络信息安全标准环境，用统一的标准去规范网络信息安全工作，现有的标准发布部门各异，标准不一，不利于工作的向前推进，应统一制定网络参照标准。我国在网络信息安全立法方面已经建立起了基础框架，但是在内容上还是存在弊端。由于计算机网络信息安全破坏行为界定比较模糊，对责任划分不够明确，难以适应现在的网络信息安全的严峻形势。部分法规条例从实际执行上来看，仍停留在文字层面，并没有得到很好的执行，健全网络信息安全立法已迫在眉睫。

3.3 技术角度

我国应重视网络安全技术的自主创新，技术发展步伐落后，网络信息安全就得不到有力保障。随着大数据的开放，飞速发展的互联网信息新技术，对我国信息安全提出了新的挑战。而现在网络信息安全技术的核心部分仍掌握在发达国家手里，因此，加大力度投入网络信息安全技术的开发和应用是保障我国网络信息安全的重要指南。

4. 结语

大数据背景下网络信息安全问题日益严峻，网络信息技术的便利性不仅促进了社会经济，而且还带来了一些安全挑战。随着大数据技术的发展，网络信息安全问题将逐步得到控制和解决。相关研究也应以时代为背景，结合实践进行针对性的研究和调查，以促进计算机网络信息的使用安全性。

参考文献：

[1]田国文.基于计算机网络技术的计算机网络信息安全及其防护策略探讨[J].消费导刊，2020，（4）：212.

[2]戴传祇.探究计算机网络信息安全及防护措施[J].科技风，2020，（14）：126. DOI：10.19392/j.cnki.1671-7341.202014106.

[3]刘荣，吴万琼.计算机网络信息安全及其防护策略[J].信息记录材料，2020，21（4）：214-215.

[4]李晓智.计算机网络信息安全及其防护策略研究[J].数字技术与应用，2020，38（4）：191，193. DOI：10.19695/j.cnki.cn12-1369.2020.04.98.

[5]王海荣.计算机网络信息安全及防护策略研究与探讨[J].信息通信，2020，（4）：116-117.

[6]胡玲芳，孟丽，彭银.计算机网络信息安全及防护策略分析[J].科学与信息化，2020，（9）：40.

[7]李昕越.关于计算机网络信息安全及防护策略探究[J].数字通信世界，2020，（4）：147，22. DOI：10.3969/J.ISSN.1672-7274.2020.04.109.

[8]黄群昌.计算机网络信息安全及防护措施[J].电子世界，2020，（5）：177-178.

作者：任思颖

网络信息安全预防措施研究论文篇3：

浅析信息安全体系如何建立

[摘要] 信息安全体系建设已日渐受到企业的重视。笔者根据多年信息安全体系建设及系统运维经验，从信息安全体系建设理论依据、信息安全体系建设过程、信息安全体系建设的决定因素及意义等方面，对企业信息安全体系建立问题加以讨论。

[关键词] ISMS； PDCA；风险评估；资产识别；信息；安全；建立；体系

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 01. 038

1 信息安全体系的重要性

随着信息技术不断发展，信息系统已经成为一种不可缺少的信息交换工具，企业对于信息资源的依赖程度也越来越大。然而，由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性等特点，再加上本身存在技术弱点和人为的疏忽，导致信息系统容易受到计算机病毒、黑客或恶意软件的入侵，致使信息被破坏或窃取，使得信息系统比传统的实物资产显得更加脆弱。在这种大环境下，企业必须加强信息安全管理能力。但企业不单面临着信息安全方面问题，同时还面临经营合规方面的问题、系统可用性问题以及业务可持续问题等越来越多的问题。因此，要求我们探索建立一套完善的体系，来有效地保障信息系统的全面安全。

2 信息安全体系建设理论依据

信息安全管理体系（Information Security Management System， ISMS）是企业整体管理体系的一个部分，是企业在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。基于对业务风险的认识，ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。

在建设信息安全管理体系的方法上，ISO 27001标准为我们提供了指导性建议，即基于PDCA 的持续改进的管理模式。PDCA是一种通用的管理模式，适用于任何管理活动，体现了一种持续改进、维持平衡的思想，但具体到ISMS建立及认证项目上，就显得不够明确和细致，组织必须还要有一套切实可行的方法论，以符合项目过程实施的要求。在这方面，ISMS 实施及认证项目可以借鉴很多成熟的管理体系实施方法，比如IS0 9001，ISO/IEC 2700l， ISO/TS 16949 等，大致上说，这些管理体系都遵循所谓的PROC过程方法。

PROC 过程模型（Preparation-Realization-Operation-Certification）是对PDCA 管理模式的一种细化，它更富有针对性和实效性，并且更贴近认证审核自身的特点。PROC模型如图1所示。

3 信息安全体系建设过程

根据以往经验，整个信息安全管理体系建设项目可划分成5个阶段，如果每项内容的活动都能很好地完成，最终就能建立起有效的ISMS，实现信息安全建设总体目标，最终通过ISO/IEC 27001认证。

调研阶段：对业务范围内所有制度包括内部的管理规定或内控相关规定，对公司目前的管理状况进行系统、全面的了解和分析。通过技术人员人工检查和软件检测等方式对组织内部分关键网络、服务器等设备进行抽样漏洞扫描，并形成《漏洞扫描风险评估报告》。

资产识别与风险评估阶段：针对组织内部人员的实际情况，进行信息安全基础知识的普及和培训工作，让每位员工对信息安全体系建设活动有充分的理解和认识。对内部所有相关信息安全资产进行全面梳理，并且按照ISO/IEC 27001相关的信息资产识别和风险评估的要求，完成《信息资产清单》、《信息资产风险评估表》和《风险评估报告》。

设计策划阶段：通过分组现场讨论、领导访谈等多种方式对各业务部门涉及的信息安全相关内容进行细致研究和讨论。针对现有信息安全问题和潜在信息安全风险建立有效的防范和检查机制，并且形成有持续改进功能的信息安全监督审核管理制度，最终形成严格遵守ISO/IEC 27001认证审核标准的、符合组织业务发展需要的《信息安全管理体系文件》。体系对文件控制、记录控制、内部审核管理、管理评审、纠正预防措施控制、信息安全交流管理、信息资产管理、人力资源安全管理、物理环境安全、通信与操作管理（包括：笔记本电脑管理、变更管理、补丁管理、第三方服务管理、防范病毒及恶意软件管理、机房管理规定、介质管理规定、软件管理规定、数据备份管理、系统监控管理规定、电子邮件管理规定、设备管理规定）、访问控制、信息系统获取开发和维护、信息安全事件管理、业务持续性控制、符合性相关程序进行全面界定和要求。

实施阶段：项目小组要组织相关资源，依据风险评估结果选择控制措施，为实施有效的风险处理做好计划，管理者需要正式发布ISMS 体系并要求开始实施，通过普遍的培训活动来推广执行。 ISMS 建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。在此阶段，应该培训专门人员，建立起内部审查机制，通过内部审计、管理评审和模拟认证，来检查己建立的ISMS是否符合ISO/IEC 27001标准以及企业规范的要求。

认证阶段：经过一定时间运行，ISMS 达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。

4 信息安全体系建立的意义

通过建立信息安全管理体系，我们对信息安全事件及风险有了较为清楚的认识，同时掌握了一些规避和处理信息安全风险的方法，更重要的是我们重新梳理了组织内信息安全体系范围，明确了信息安全系统中人员相关职责，对维护范围内的各信息系统进行了全面的风险评估，并且通过风险评估涉及的内容确定了具体的控制目标和控制方式，引入了持续改进的戴明环管理思想，保证了体系运转的有效性。具体效果如下：

（1）制定了信息安全方针和多层次的安全策略，为各项信息安全管理活动提供指引和支持。

（2）通过信息风险评估挖掘了组织真实的信息安全需求。

加强了人员安全意识，建立了以预防为主的信息安全理念。

（3）根据信息安全发展趋势，建立了动态管理和持续改进的思想。

5 决定体系建立的重要因素

5.1 加强人员安全意识是推动体系实施的重要保障

信息安全体系在一个企业的成功建立并运行，需要整个企业从上到下的全体成员都有安全意识，并具备信息安全体系相关理论基础，才能保障信息安全体系各项活动内容顺利开展。为保证信息安全体系相关任务的执行人员能够尽职尽责，组织要确定体系内人员的职责；给予相关人员适当的培训，必要时，需要为特定任务招聘有经验的人员；评估培训效果。组织必须确保相关人员能够意识到其所进行的信息安全活动的重要性，并且清楚各自在实现ISMS 目标过程中参与的方式。

ISMS 培训工作应该分层次、分阶段、循序渐进地进行。借助培训，组织一方面可以向一般员工宣贯安全策略、提升其安全意识；另一方面，也可以向特定人员传递专业技能（例如风险评估方法、策略制定方法、安全操作技术等）。此外，面向管理人员的培训，能够提升组织整体的信息安全管理水平。通常来讲，组织应该考虑实施的培训内容包括：

（1）信息安全意识培训。在ISMS实施伊始或最终运行阶段，组织可以为所有人员提供信息安全意识培训，目的在于让所有与ISMS 相关的人员都了解信息安全管理基本要领，理解信息安全策略，知道信息安全问题所在，掌握应对和解决问题的方法和途径。

（2）信息安全管理基础培训。在ISMS准备阶段，组织可以向ISMS项目实施相关人员（例如风险评估小组人员、各部门代表等）提供1SO/IEC 27001基础培训，通过短期学习，帮助大家掌握ISO/IEC 27001标准的精髓，理解自身角色和责任，从而在ISMS项目实施过程中起到应有的作用。

（3） ISMS实施培训。组织可以向ISMS项目的核心人员提供ISMS实施方法的培训，包括风险评估方法、策略制定方法等，目的在于协作配合，共同推动ISMS项目有序且顺利地进行。

（4）信息安全综合技能培训。为了让ISMS能够长期稳定地运行下去，组织可以为相关人员提供信息安全操作技能的培训，目的在于提高其运营ISMS的技术能力，掌握处理问题的思路和方法。

5.2 建立符合企业需求的ISMS，保障体系顺利落地

（1）根据业务需求明确ISMS范围。范围的界定要从组织的业务出发，通过分析业务流程（尤其是核心业务），找到与此相关的人员、部门和职能，然后确定业务流程所依赖的信息系统和场所环境，最终从逻辑上和物理上对ISMS 的范围予以明确。需要注意的是，组织确定的ISMS 范围，必须是适合内外部客户所需的，且包含了与所有对信息安全具有影响的合作伙伴、供货商和客户的接触关系。为此，组织应该通过合同、服务水平协议（SLA）、谅解备忘录等方式来说明其在与合作伙伴、供货商以及客户接触时实施了信息安全管理。

（2）利用客观风险评估工具。风险评估应尽可能采用客观的风险评估工具，保证评估的准确、翔实。有效利用各种工具，可以帮助评估者更准确更全面地采集和分析数据，提升工作的自动化水平，并且最大程度上减少人为失误。当然，风险评估工具并不局限于完全技术性的产品，事实上很多评估工具都是评估者经验积累的成果，如调查问卷、扫描工具、风险评估软件等。

（3）构建合理的ISMS文件体系。文件首先应该符合业务运作和安全控制的实际情况，应该具有可操作性；不同层次的文件之间应该保持紧密关系并且协调一致，不能存在相互矛盾的地方；编写ISMS文件时，除了依据标准和相关法律法规之外，组织还应该充分考虑现行的策略、程序、制度和规范，有所继承，有所修正。

6 结论

企业的生存和发展，有赖于企业各项业务、管理活动的健康有序的进行，而信息化是企业一切业务、管理活动所依赖的基础。信息系统是否能够稳定、可靠、有效运作，直接关系到企业各项业务活动是否能够持续。因此，我们要对信息系统的保密性、完整性、可控性、可用性等提出全面具体的要求，建立持续改进的信息安全体系运行机制。在信息安全体系的全面应用过程中，必须重点关注以下重要事项：安全策略、目标和活动应该反映业务目标；实施信息安全的方法应该与组织的文化保持一致；来自高级管理层的明确的支持和承诺；向所有管理者和员工有效地推广安全意识；提供适当的培训和教育。