信息化网站建设与维护的安全策略_开题报告

一、文献综述

随着信息安全事 件的不断发生，信息安全的重要性呈指数增长的趋势。过去几年来，网站被黑客攻击、拒绝服务攻击增多、信用卡信息被盗等事件日益复杂，病毒和蠕虫所造成的损失不可估量。面对如此严峻的信息安全形势，许多单位投入大量资金购买安全设备、系统软件和系统服务来应对，但是，往往得不到预期的风险管理的效果。

实际上，解决信息安全问题的根本措施是需要结合企业网络和业务实际，通过正确的方法，建立一套适合企业的信息安全体系，并在企业中持续的运行、改进。以下将为企业在信息化建设过程中，如何更好的应对信息安全问题提供一些思路和方法。

（一）信息安全建设遇到的问题

信息安全投资越来越多，信息安全问题也越来越多。单位每年投入大量资金进行安全建设，买了很多信息安全设备，结果每年还是会遇到很多信息安全问题。领导批评，员工抱怨，信息中心主任也不知如何是好。安全管理制度形同虚设。单位在管理方面下了很大功夫，制定了制度，但是安全管理制度就像一阵风，风吹时很猛，但吹过了，也就完了，业务人员根本不拿制度当回事，有的认为制度本身就是形式，这种现象能改变吗？维护人员疲于奔命。单位虽完成了信息安全建设工作，但是信息化业务系统的可靠性及需求不断增长，让安全维护人员疲于奔命，对于突发事件无法做出迅速响应，消耗大量人员成本，工作做得也并不理想，信息中心领导对这种“救火式”安全维护无可奈何。同时，导致IT运维成本不但居高不下,且有明显的逐年增加的趋势，IT运维一时成为可有可无的鸡肋，投入大量资金购买的设备，也快成为摆设。从问题的表象来分析，产生现象的根源如下：缺乏系统的安全体系。很多企业，甚至大型知名企业，上了很多技术和产品，但安全管理跟不上，技术和产品未能发挥应有的作用；重视信息安全工程建设，但建设后的运维工作跟不上，信息安全隐患不能及时排查、整改，信息安全问题还是层出不穷；重视对外部信息安全风险等防范，疏忽了 对内部风险的控制，安全体系不全面，存在短板。对信息安全风险缺乏及时的评估、预警和控制。以及安全运维工作不重视。针对以上问题，建议企业在进行信息安全建设时，首先明确信息安全方针，设计信息安全策略，在此指导下构建信息安全管理体系、技术体系、运维体系。

（二）正确的信息安全建设之道

企业在进行信息安全建设时，应从企业整体IT规划的角度出发，将信息安全工作纳入IT部门一项重要的工作去从整体上进行规划。建立信息安全方针，确定信息安全策略，构建信息安全管理体系、技术体系和运维体系，并在实际工作中不断完善。企业在进行信息安全建设时，应从企业整体IT规划的角度出发，将信息安全工作纳入IT部门一项重要的工作去从整体上进行规划。建立信息安全方针，确定信息安全策略，构建信息安全管理体系、技术体系和运维体系，并在实际工作中不断完善。信息安全规划是以组织信息化战略规划为指导，以组织的信息资源规划为基础，确定信息系统的安全框架、管理模式与建设步骤。企业在信息安全规划的指导下建设的网络与信息环境，才可以在安全机制的控制与制约下，让各种业务解决方案、应用系统和数据都避免遭受负面因素带来的威胁。信息安全规划不应只是规划未来几个月，而是规划未来几年内如何达到组织信息化远景规划指导下的安全建设目标的一个过程。信息安全规划比单独购买信息安全产品更重要，只有信息安全的整体部署有计划、有方向、有目的、有配合，才能构成真正意义上的信息安全。

企业在进行信息安全规划时，首先应制定信息安全的方针目标，然后根据方针目标去制定具体的信息安全策略。而信息安全策略的落地，最终要靠建立信息安全管理体系、技术体系和运维体系三大体系去实现。

首先要成立信息安全领导小组。企业的信息安全建设应从单位发展的战略角度出发，首先成立由主管领导任责任人的信息安全领导小组，来统筹规划企业的信息安全发展战略，制定信息安全方针目标，确定信息安全策略，建立信息安全体系，构建全方位、立体化的防护系统。

其次制定信息安全方针。信息安全体系的建设，涉及面广、工作量大，必须坚持以下的方针原则，保证建设和运维的效果达到目标。

再次，制定信息安全策略。根据信息安全方针，制定信息安全策略，首先需要对组织信息化发展的历史情况进行深入和全面的调研，了解、分析信息安全现状，明确信息安全建设工作的内容和重点，并形成指导信息安全建设的总体策略。

最后，建立信息安全三大体系。在信息安全策略的指导下，通过构建安全管理体系、安全技术体系和安全运维体系三大体系，在既定方针目标的指引下，协同工作，相互支撑，相互促进，构成实时、动态和持续改进的全生命周期防护体系。

（三）全方位信息安全服务——为信息安全保驾护航

信息安全需要一个动态、立体的防护体系，包括安全设备、安全技术、安全管理等多个层面。通过规划、检测、评估、运维等360度的全方位服务，可帮助用户建立一个实时、动态、完善的防护体系。企业信息化建设时考虑到360度的信息安全体系建设，使得企业投资IT价值最大化。作为专业的第三方安全服务机构，我们为企业的信息安全保驾护航，解决企业IT全生命周期的安全问题。协助企业制定信息安全总体方针、策略，制定信息安全规划；规划实施过程中提供全过程专业的项目管理服务；建设阶段过程中提供风险评估与安全测评服务；建设完成后提供专业的信息安全运维服务。通过我们及时、专业、热情的服务，为您在进行IT建设时，确保信息安全工作同步实施，为您的规划落地保驾护航。

最佳实践

在企业进行信息安全相关建设时，经常会遇到一些带有共性的问题，我们想结合在行业内的多年经验，分享一些信息安全建设过程中的最佳实践。比如恰当的安全策略设计可有效控制信息安全投资，做好安全风险管理是信息安全项目成败的关键，安全检测评估可有效降低新系统建设引入的安全风险，完善的安全运维体系可有效预防入侵事件的发生，持续改进与审计机制是保持信息安全体系长效运转的关键，系统的信息安全体系建设可帮助用户建立全方位、立体化的信息安全“堡垒”以及完善的应急预案和应急支援体系是用户信息安全的“最后防线”。

二、^范文提纲

（一）信息安全建设遇到的问题 

1、信息安全建设常见问题

2、信息安全建设问题分析

（二）正确的信息安全建设之道

1、成立信息安全领导小组

2、制定信息安全方针

3、制定信息安全策略

4、建立信息安全三大体系

5、建立持续改进运行的长效机制

（三）全方位的信息安全服务为信息安全保驾护航

1、信息安全规划咨询服务

2、信息安全建设管理服务

3、信息安全检测评估服务

4、信息安全专业运维服务

（四）最佳实践

1、恰当的安全策略设计可有效控制信息安全投资

2、做好安全风险管理是信息安全项目成败的关键

3、安全检测评估可有效降低新系统建设引入的安全风险

4、完善的安全运维体系可有效预防入侵事件的发生

5、持续改进与审计机制是保持信息安全体系长效运转的关键

6、系统的信息安全体系建设可帮助用户建立全方位、立体化的信息安全“堡垒”

7、完善的应急预案和应急支援体系是用户信息安全的“最后防线”

（五）结束语

三、主要参考文献

1. 何萍,仲良.论如何构建医院信息系统的安全运行体系.算机应用与软件,2007,24(10): 202-204.

2.刘润平,万佩真.企业网络安全问题与对策[J].企业经济，2010，（7）:53～55 

3.苏荣.企事业单位数据网络安全威胁分析及防护对策[J].科技咨询,2010,(27):13～14 

4.张丽.浅谈中小企业网络安全与防护[J].信息与电脑.2010,(8):15 

5.刘明.浅析计算机网络安全管理[J].科技传播,2010,(9)：226～228

6.彭文娟.浅谈中小企业网络安全策略[J].科技信息.2010,(24):249～250  

7.肖锟.浅议网络环境下的企业信息安全管理[J].企业管理,2010,(8):20～23 

8.黄毅华.信息管理在网络安全中的应用[J].科技传播.2010,(1):10～11  

9.刘思斯.单位网络安全管理与防御对策[J].中国信息界,2010,(9):57～59  

10.邵 琳，刘 源.浅谈企业网络安全问题及其对策[J].科技传播,2010,(10):186～207 

11.潘路，张涛.网络系统信息安全问题研究[J].兰台世界,2009,(12):45 

12.张超,校园网络安全管理及体系结构的研究[D].华东师范大学，2009  

13.李华，高等教育信息化发展中的几个热点问题研究———网络安全与信息管理[J].电化教育研究，2009，(9):70～73  

14.孙晓妮.浅论网络信息的安全管理[J].黑龙江科技信息,2009,(14):68  

15.黄爱玉,郑继玲.企业内部网络的安全管理与防范措施[J].现代经济信息,2009,(13):268～270