導語：如何才能寫好一篇信息安全報告，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

醫(yī)院信息安全自查報告【一】

為進一步加強我院信息系統(tǒng)的安全管理，強化信息安全和保密意識，提高信息安全保障水平，按照省衛(wèi)計委《關于××省衛(wèi)生系統(tǒng)網(wǎng)絡與信息安全督導檢查工作的通知》文件要求，我院領導高度重視，成立專項管理組織機構，召開相關科室負責人會議，深入學習和認真貫徹落實文件精神，充分認識到開展網(wǎng)絡與信息安全自查工作的重要性和必要性，對自查工作做了詳細部署，由主管院長負責安排、協(xié)調相關檢查部門、監(jiān)督檢查項目，建立健全醫(yī)院網(wǎng)絡安全保密責任制和有關規(guī)章制度，嚴格落實有關網(wǎng)絡信息安全保密方面的各項規(guī)定，并針對全院各科室的網(wǎng)絡信息安全情況進行了專項檢查，現(xiàn)將自查情況匯報如下：

一、醫(yī)院網(wǎng)絡建設基本情況

我院信息管理系統(tǒng)于××年××月由××××科技有限公司對醫(yī)院信息管理系統(tǒng)(HIS系統(tǒng))進行升級。升級后的前臺維護由本院技術人員負責，后臺維護及以外事故處理由××××科技有限責任公司技術人員負責。

二、自查工作情況

1、機房安全檢查。機房安全主要包括：消防安全、用電安全、硬件安全、軟件維護安全、門窗安全和防雷安全等方面安全。醫(yī)院信息系統(tǒng)服務器機房嚴格按照機房標準建設，工作人員堅持每天定點巡查。系統(tǒng)服務器、多換機、路由器都有UPS電源保護，可以保證在斷電3個小時情況下，設備可以運行正常，不至于因突然斷電致設備損壞。

2、局域網(wǎng)絡安全檢查。主要包括網(wǎng)絡結構、密碼管理、IP管理、存儲介質管理等;HIS系統(tǒng)的操作員，每人有自己的登錄名和密碼，并分配相應的操作員權限，不得使用其他人的操作賬戶，賬戶施行“誰使用、誰管理、誰負責”的管理制度。院內局域網(wǎng)均施行固定IP地址，由醫(yī)院統(tǒng)一分配、管理，無法私自添加新IP，未經(jīng)分配的IP無法連接到院內局域網(wǎng)。我院局域網(wǎng)內所有計算機USB接口施行完全封閉，有效地避免了因外接介質(如U盤、移動硬盤)而引起中毒或泄密的發(fā)生。

3、數(shù)據(jù)庫安全管理。我院對數(shù)據(jù)安全性采取以下措施：

(1)將數(shù)據(jù)庫中需要保護的部分與其他部分相隔。

(2)采用授權規(guī)則，如賬戶、口令和權限控制等訪問控制方法。

(3)數(shù)據(jù)庫賬戶密碼專人管理、專人維護。

(4)數(shù)據(jù)庫用戶每6個月必須修改一次密碼。

(5)服務器采取虛擬化進行安全管理，當當前服務器出現(xiàn)問題時，及時切換到另一臺服務器，確?？蛻舳藰I(yè)務正常運行。

三、應急處置

我院HIS系統(tǒng)服務器運行安全、穩(wěn)定，并配備了大型UPS電源，可以保證在大面積斷電情況下，服務器可運行六小時左右。我院的HIS系統(tǒng)剛剛升級上線不久，服務器未發(fā)生過長宕機時間，但醫(yī)院仍然制定了應急處臵預案，并對收費操作員和護士進行了培訓，如果醫(yī)院出現(xiàn)大面積、長時間停電情況，HIS系統(tǒng)無法正常運行，將臨時開始手工收費、記賬、發(fā)藥，以確保診療活動能夠正常、有序地進行，待到HIS系統(tǒng)恢復正常工作時，再補打發(fā)票、補記收費項目。

四、存在問題

我院的網(wǎng)絡與信息安全工作做的比較認真、仔細，從未發(fā)生過重大的安全事故，各系統(tǒng)運轉穩(wěn)定，各項業(yè)務能夠正常運行。但自查中也發(fā)現(xiàn)了不足之處，如目前醫(yī)院信息技術人員少，信息安全力量有限，信息安全培訓不全面，信息安全意識還夠，個別科室缺乏維護信息安全的主動性和自覺性;應急演練開展不足;機房條件差;個別科室的計算機設備配臵偏低，服務期限偏長。

今后要加強信息技術人員的培養(yǎng)，提升信息安全技術水平，加強全院職工的信息安全教育，提高維護信息安全的主動性和自覺性，加大對醫(yī)院信息化建設投入，提升計算機設備配臵，進一步提高工作效率和系統(tǒng)運行的安全性。

醫(yī)院信息安全自查報告【二】

按照錫衛(wèi)計辦發(fā)【2019】132號文件通知精神，我院領導高度重視，召開相關科室負責人會議，深入學習和認真貫徹落實文件精神，充分認識到開展網(wǎng)絡與信息安全自查工作的重要性和必要性，對自查工作做了詳細部署，由主管院長負責安排信息安全自查工作，并就自查中發(fā)現(xiàn)的問題認真做好相關記錄，及時整改，完善?，F(xiàn)將我院信息安全工作自查情況匯報如下：

一、網(wǎng)絡安全管理：

我院的網(wǎng)絡分為互聯(lián)網(wǎng)和院內局域網(wǎng)，兩網(wǎng)絡實現(xiàn)物理隔離，以確保兩網(wǎng)能夠獨立、安全、高效運行。重點抓好“三大安全”排查。

1.硬件安全，包括防雷、防火、防盜和UPS電源連接等。醫(yī)院HIS服務器機房嚴格按照機房標準建設，工作人員堅持每天巡查，排除安全隱患。HIS服務器、多換機、路由器都有UPS電源保護，可以保證短時間斷電情況下，設備運行正常，不至于因突然斷電致設備損壞。此外，局域網(wǎng)內所有計算機USB接口施行完全封閉，這樣就有效地避免了因外接介質(如U盤、移動硬盤)而引起中毒或泄密的發(fā)生。

2.網(wǎng)絡安全:包括網(wǎng)絡結構、密碼管理、IP管理、互聯(lián)網(wǎng)行為管理等;網(wǎng)絡結構包括網(wǎng)絡結構合理，網(wǎng)絡連接的穩(wěn)定性，網(wǎng)絡設備(交換機、路由器、光纖收發(fā)器等)的穩(wěn)定性。HIS系統(tǒng)的操作員，每人有自己的登錄名和密碼，并分配相應的操作員權限，不得使用其他人的操作賬戶，賬戶施行“誰使用、誰管理、誰負責” 的管理制度?；ヂ?lián)網(wǎng)和院內局域網(wǎng)均施行固定IP地址，由醫(yī)院統(tǒng)一分配、管理，不允許私自添加新IP，未經(jīng)分配的IP均無法實現(xiàn)上網(wǎng)。

二、數(shù)據(jù)庫安全管理：

我院目前運行的數(shù)據(jù)庫是醫(yī)院診療、劃價、收費、查詢、統(tǒng)計等各項業(yè)務能夠正常進行的基礎，為確保醫(yī)院各項業(yè)務正常、高效運行，數(shù)據(jù)庫安全管理是極為有必要的。我院對數(shù)據(jù)安全性采取以下措施：(1)將數(shù)據(jù)庫中需要保護的部分與其他部分相隔。(2)采用授權規(guī)則，如賬戶、口令和權限控制等訪問控制方法。(3)對數(shù)據(jù)進行加密后存儲于數(shù)據(jù)庫

三、軟件管理：

目前我院在運行的軟件主要分為三類：HIS系統(tǒng)、常用辦公軟件和殺毒軟件。HIS系統(tǒng)是我院日常業(yè)務中最主要的軟件，是保障醫(yī)院診療活動正常進行的基礎，自2019年上線以來，運行比較穩(wěn)定，未出現(xiàn)過重大安全問題，并根據(jù)業(yè)務需要，不斷更新充實。對于新入職的員工，上崗前會進行一次培訓，向其講解HIS系統(tǒng)操作流程、規(guī)范，也包括安全知識，確保其在使用過程中不會出現(xiàn)重大安全問題。常用辦公軟件均由醫(yī)院信息科統(tǒng)一安裝，維護。殺毒軟件是保障電腦系統(tǒng)防病毒、防木馬、防篡改、防癱瘓、防攻擊、防泄密的有效工具。所有電腦，均安裝了正版殺毒軟件(瑞星殺毒軟件和360安全衛(wèi)士)，并定期更新病毒庫，以保證殺毒軟件的防御能力始終保持在很高的水平。

四、應急處臵：

篇2

此次調查以國內120家企事業(yè)單位為調查對象，涉及教育、信息技術單位、機械制造、政府機關、金融服務等五個行業(yè)，大多數(shù)處于江蘇省南京地區(qū)。調查時間范圍從2002年3月到2002年12月。有72家被調查單位填寫并寄回問卷，有效率為60%。

被訪單位以中小型單位居多，其中200-400人以上的單位占六成以上，另外值得強調的是，本次調查的針對性極強，被訪者多為單位的科技、信息或電腦主管、計算機專業(yè)人員和管理決策層人士，對網(wǎng)絡安全產品有極高的認知程度。從事計算機相關工作的被訪者達90%強，其中科技、信息或電腦主管占56.1%。

調查的內容主要包括被調查單位自然狀況、網(wǎng)絡應用狀況、網(wǎng)絡信息安全的軟硬件（包括規(guī)章制度）、緊急情況及應對措施和政府政策的支持等五個方面。

由此可見，本次調查的結果具有一定的代表性。

一、網(wǎng)絡安全問題不容樂觀

Internet技術的高速發(fā)展帶動了單位及政府各部門的上網(wǎng)工程，他們紛紛采用先進的互聯(lián)網(wǎng)技術建立自己的內部辦公網(wǎng)（Intranet）。在被訪的單位中，“已經(jīng)建立”單位內部網(wǎng)（Intranet）的單位達82.3%，“正在規(guī)劃”的單位占15.0%，只有2.7%的單位還未考慮單位內部網(wǎng)的建設。在Intranet已建成的單位中，平均每單位擁有1.3臺服務器及28.4臺客戶終端。

當問及被訪者對于信息系統(tǒng)安全的認識時，92.2%的被訪者認為信息系統(tǒng)的安全事關單位運行，其余認為不很重要的被訪單位均還未建立單位內部網(wǎng)。由此看來，享受到信息共享的單位已充分意識到網(wǎng)絡安全的重要性。在信息安全的六個領域，被訪者對其重要性的認知不一，90.3%的被訪者認為病毒防護最重要，81.7%的被訪者認為防止來自Internet的惡意入侵的重要性次之，排名第三重要的為服務器及數(shù)據(jù)庫應用的訪問控制和內部用戶口令管理、安全審計（均為75.9%），第四、五位為數(shù)據(jù)加密和虛擬單位網(wǎng)（59.4%）和身份鑒別、電子簽名（58.8%）。

在已建立單位內部網(wǎng)的單位中，其信息安全領域亟待解決的問題分別有病毒防護、防止來自Internet的惡意入侵、服務器及數(shù)據(jù)庫應用的訪問控制、內部用戶口令管理、安全審計、身份鑒別、電子簽名、數(shù)據(jù)加密和虛擬單位網(wǎng)。電腦主管對以上問題處理的緊急程度可以體現(xiàn)出其問題的重要性。在以上單位中，68.2%的被訪單位已感受到網(wǎng)絡安全的威脅，其中35.8%的被訪者認為威脅主要來自于單位外部，另外32.4%的被訪者認為威脅主要源于內部。

二、安全投入有待提高

從技術層面來看，網(wǎng)絡安全現(xiàn)在已經(jīng)有了各種各樣的解決方案，但在實際應用過程中，真正重視網(wǎng)絡安全的單位并不是很多。在國外單位的IT投資中，網(wǎng)絡安全投資將占20～30%，而在中國，單位對網(wǎng)絡安全的投資在整個IT系統(tǒng)投資中的比例不到10%。本次調查結果驗證了這一說法，高達75.5%的被訪單位能夠接受網(wǎng)絡安全產品投資在信息化建設總投資中的比例都在五個百分點以下。

“服務是增值商品”的概念在中國還不普及。在問及被訪者是否愿意接受免費或低價但需為此支付服務費用的網(wǎng)絡安全產品時，53.8%被訪者愿意，29.5%的被訪者認為無所謂，16.7%被訪者明確表示不愿意。在愿意接受服務費用的被訪者中，比例也不高，通常都在3%以下。

三、曾遇到的網(wǎng)絡安全問題及其處理

在問及被訪單位遭受病毒侵害的悲慘遭遇時，有18.0%的被訪單位很慶幸地回答“從沒有”遭受過病毒的侵害。在遭受侵害的單位中，頻率多為一年或更長（21.3%）、一個季度（21.0%）、半年（18.3%）和一個月（16.2%）。為免遭病毒和黑客的侵擾造成損失，14.8%的單位時時備份數(shù)據(jù)，25.3%的單位每天備份一次數(shù)據(jù)，28.2%的單位每周做一次備份，23.0%的被訪單位的備份頻率較為稀疏，為8天或更長時間。從以上數(shù)據(jù)中我們發(fā)現(xiàn)，單位備份數(shù)據(jù)的周期通常為時時備份、當天、一周。在從不備份的單位中，多是從未嘗試到病毒威力或長時間未遭受侵害的單位。在單位備份數(shù)據(jù)和文件時使用最多的介質是可擦寫光盤（48.8%）、軟盤（44.2%）和磁帶機（37.8%）。

隨著互聯(lián)網(wǎng)的日益普及，計算機安全問題不再僅僅局限于單機安全。由于病毒不僅可以通過軟盤，而且能通過網(wǎng)絡傳播，隨著聯(lián)入因特網(wǎng)的用戶不斷增加，受國際病毒傳播的機率大大增加，所以，使得計算機病毒防范、防治范圍也不斷擴大，加之計算機犯罪的手段近年來出現(xiàn)日趨新穎化、多樣化和隱蔽化的發(fā)展態(tài)勢。據(jù)被訪者對于不同類別的安全防護產品的市場潛力預測顯示，網(wǎng)絡防病毒產品的市場潛力最大，為54.3%，其次為網(wǎng)絡監(jiān)測產品（20.1%），再次為端到端安全通道及認證（13.8%），網(wǎng)絡安全評估審計產品和VPN產品的潛力較小，分別為7.9%和3.9%，由此可見病毒給單位帶來的巨大壓力。

調查顯示，所有單位遇到的首要網(wǎng)絡安全問題是病毒襲擊，其他安全問題依次是：未授權的信息存取、網(wǎng)站內容遭破壞、未授權的數(shù)據(jù)或配置的更改。從規(guī)模來看，50～100人的單位遇到的安全問題最多； 

對于網(wǎng)絡安全產品，目前使用最多的是防病毒軟件，在200個被訪用戶中，有191個正在使用防病毒產品，占總數(shù)的95.5％；其次是防火墻產品，使用者占45.0%。

在問及遭到攻擊后是否向政府相關法律部門報告時，65%的單位選擇不會，其中70%認為報告會引發(fā)消極影響（例如客戶對其保護其私人信息安全的能力的懷疑），12%的人為不知道向哪個部門報告，還有8%的認為采取內部補救措施比報告來得更好。

四、最迫切需要的網(wǎng)絡安全產品和服務

調查顯示，目前有36.5%的用戶對網(wǎng)絡安全產品無需求，無需求主要有兩種情況:一是已有網(wǎng)絡安全產品，暫無需求(70%);二是目前未遇到安全問題，購買安全產品還未納入議事日程（30%）。接下來，需要的網(wǎng)絡安全產品是防火墻、防病毒、黑客入侵監(jiān)測，分別占被訪者的31.5%、26.0%和18.5%。前兩種產品又是目前使用最多的產品，對于防病毒產品，單機版占近一半。黑客入侵監(jiān)測、漏洞掃描等也有許多用戶迫切需求，這說明一些用戶的總體網(wǎng)絡安全意識已經(jīng)提高。

在問及希望政府的支持方面，76.3%的單位認為政府相關部門應開通企業(yè)信息化管理咨詢熱線提供對口技術支持，20%希望政府開設信息安全方面的免費講座。96%的認為應該加強相關法律建設。

調查報告最后認為，我國國內企業(yè)的信息化基礎建設整體還比較落后，投入較少，對網(wǎng)絡信息安全缺乏足夠的重視，網(wǎng)絡信息安全前景不容樂觀。

南京審計學院《網(wǎng)絡經(jīng)濟及其風險防范》課題組

篇3

一、信息安全自查工作組織開展情況

1、成立了信息安全檢查行動小組。由臺長任組長，分管領導為副組長，相關科室負責人為組員的行動小組，負責對全臺的重要信息系統(tǒng)的全面指揮、排查并填記有關報表、建檔留存等。

2、信息安全檢查小組對照網(wǎng)絡與信息系統(tǒng)的實際情況進行了逐項排查、確認，并對自查結果進行了全面的核對、分析，提高了對全臺網(wǎng)絡與信息安全狀況的掌控。

二、信息安全工作情況

1、8月6日完成信息系統(tǒng)的自查工作部署，并研究制定自查實施方案，根據(jù)所承擔的業(yè)務要求和網(wǎng)絡邊界安全性對硬盤播出系統(tǒng)、非線性編輯系統(tǒng)、有線電視傳輸系統(tǒng)進行全面的梳理并綜合分析。

2、8月7日對硬盤播出系統(tǒng)、非線性編輯系統(tǒng)、有線電視傳輸系統(tǒng)進行了細致的自查工作。

（1）系統(tǒng)安全自查基本情況

硬盤播出系統(tǒng)為實時性系統(tǒng)，對主要業(yè)務影響較高。目前擁有dell服務器5臺、惠普服務器2臺、cisco交換機2臺，操作系統(tǒng)均采用windows系統(tǒng)，數(shù)據(jù)庫采用sqlserver，災備情況為數(shù)據(jù)級災備，該系統(tǒng)不與互聯(lián)網(wǎng)連接。

非線性編輯系統(tǒng)為非實時性系統(tǒng)，對主要業(yè)務影響較高。目前擁有dell服務器6臺、華為交換機1臺，網(wǎng)關采用uni操作系統(tǒng)，數(shù)據(jù)庫采用sqlserver，災備情況為數(shù)據(jù)災備，該系統(tǒng)不與互聯(lián)網(wǎng)連接，安全防護策略采用默認規(guī)則。

有線電視傳輸系統(tǒng)為實時性系統(tǒng)，對主要業(yè)務影響高，災備情況為數(shù)據(jù)災備，該系統(tǒng)不與互聯(lián)網(wǎng)連接。

（2）、安全管理自查情況

人員管理方面，指定專職信息安全員,成立信息安全管理機構和信息安全專職工作機構。重要崗位人員全部簽訂安全保密協(xié)議，制定了《人員離職離崗安全規(guī)定》、《外部人員訪問審批表》。

資產管理方面，指定了專人進行資產管理，完善了《資產管理制度》、《設備維修維護和報廢管理制度》，建立了《設備維修維護記錄表》。

存儲介質管理方面，完善了《存儲介質管理制度》，建立了《存儲介質管理記錄表》。

（3）、網(wǎng)絡與信息安全培訓情況

制定了《市廣播電視臺信息安全培訓計劃》，20__年上半年組織信息安全教育培訓2次，接受信息安全培訓人數(shù)40人，站單位中人數(shù)的20%。組織信息安全管理和技術人員參加專業(yè)培訓4次。

篇4

商城縣公安局網(wǎng)監(jiān)大隊：

我院在接到貴單位發(fā)來的《信息系統(tǒng)安全等保限期整改通知書》后，院領導高度重視，責成信息科按照要求進行整改，現(xiàn)在整改情況報告如下。

一、我院網(wǎng)絡安全等級保護工作概況

根據(jù)上級主管部門和行業(yè)主管部門要求，我院高度重視并開展了網(wǎng)絡安全等級保護相關工作，工作內容主要包含信息系統(tǒng)梳理、定級、備案、等級保護測評、安全建設整改等。我院目前運行的主要信息系統(tǒng)有：綜合業(yè)務信息系統(tǒng)。綜合業(yè)務信息系統(tǒng)是商城縣人民醫(yī)院核心醫(yī)療業(yè)務信息系統(tǒng)的集合，系統(tǒng)功能模塊主要包括醫(yī)院信息系統(tǒng)(HIS)、檢驗信息系統(tǒng)(LIS)、電子病歷系統(tǒng)(EMRS)、醫(yī)學影像信息系統(tǒng)(PACS)，其中醫(yī)院信息系統(tǒng)(HIS)、檢驗信息系統(tǒng)(LIS)、電子病歷系統(tǒng)(EMRS)由福建弘揚軟件股份有限公司開發(fā)建設并提供技術支持，醫(yī)學影像信息系統(tǒng)(PACS)由深圳中航信息科技產業(yè)股份有限公司開發(fā)建設并提供技術支持。

我院已于2018年11月完成了綜合業(yè)務信息系統(tǒng)的定級、備案、等級保護測評、專家評審等工作，系統(tǒng)安全保護等級為第二級（S2A2G2），等級保護測評機構為河南天祺信息安全技術有限公司，等級保護測評結論為基本符合，綜合得分為76.02分。在測評過程中，信息科已根據(jù)測評人員建議對能夠立即整改的安全問題進行了整改，如：服務器安全加固、訪問控制策略調整、安裝防病毒軟件、增加安全產品等。目前我院正在進行門戶網(wǎng)站的網(wǎng)絡安全等級保護測評工作。

二、安全問題整改情況

此次整改報告中涉及到的信息系統(tǒng)安全問題是我院于2018年11月委托河南天祺公司對醫(yī)院信息系統(tǒng)進行測評反饋的內容，主要包括應用服務器、數(shù)據(jù)庫服務器操作系統(tǒng)漏洞和Oracle漏洞等。針對應用服務器系統(tǒng)漏洞，我院及時與安全公司進行溝通，溝通后通過關閉部分系統(tǒng)服務和端口，更新必要的系統(tǒng)升級包等措施進行了及時的處理。針對Oracle數(shù)據(jù)庫存在的安全漏洞問題，我們與安全公司和軟件廠商進行了溝通，我院HIS系統(tǒng)于2012年底投入使用，數(shù)據(jù)庫版本為Oracle 11g，投入運行時間較早，且部署于內網(wǎng)環(huán)境中未及時進行漏洞修復。

經(jīng)過軟件開發(fā)廠商測試發(fā)現(xiàn)修復Oracle數(shù)據(jù)庫漏洞會影響HIS系統(tǒng)正常運行，并存在未知風險，為了既保證信息系統(tǒng)安全穩(wěn)定運行又降低信息系統(tǒng)面臨的安全隱患，我們主要采取控制數(shù)據(jù)庫訪問權限，切斷與服務器不必要的連接、限制數(shù)據(jù)庫管理人員權限等措施來降低數(shù)據(jù)庫安全漏洞造成的風險。具體措施為：第一由不同技術人員分別掌握數(shù)據(jù)庫服務器和數(shù)據(jù)庫的管理權限；第二數(shù)據(jù)庫服務器僅允許有業(yè)務需求的應用服務器連接，日常管理數(shù)據(jù)庫采用本地管理方式，數(shù)據(jù)庫不對外提供遠程訪問；第三對數(shù)據(jù)庫進行了安全加固，設置了強密碼、開啟了日志審計功能、禁用了數(shù)據(jù)庫默認用戶等。

我院高度重視網(wǎng)絡安全工作，醫(yī)院網(wǎng)絡中先后配備了防火墻、防毒墻、入侵防御、網(wǎng)絡版殺毒軟件、桌面終端管理等安全產品，并正在采購網(wǎng)閘、堡壘機、日志審計等安全產品，同時組建了醫(yī)院網(wǎng)絡安全小組，由三名技術人員負責網(wǎng)絡安全管理工作，使我院網(wǎng)絡安全管理水平大幅提升。

“沒有網(wǎng)絡安全，就沒有國家安全”。作為全縣醫(yī)療救治中心，醫(yī)院始終把信息網(wǎng)絡安全和醫(yī)療安全放在首位，不斷緊跟醫(yī)院發(fā)展和形勢需要，科學有效的推進網(wǎng)絡安全建設工作，并接受各級主管部門的監(jiān)督和管理。

篇5

關鍵詞：醫(yī)院；信息系統(tǒng)；網(wǎng)絡安全管理

近年來，各大企業(yè)都加快了信息化建設，企業(yè)信息化水平的提高是企業(yè)發(fā)展的必然趨勢。對于醫(yī)院來說，也不例外。當醫(yī)院的信息化水平得到有效提升的基礎上，便能夠使各項醫(yī)療工作更加優(yōu)化及完善，進而促進醫(yī)院的良性發(fā)展[1]。但從現(xiàn)狀來看，醫(yī)院信息化建設過程中的信息系統(tǒng)網(wǎng)絡尚且潛在一些較為明顯的風險。鑒于此，本文對“醫(yī)院信息系統(tǒng)網(wǎng)絡安全管理”進行分析與探討意義重大。

一、醫(yī)院信息系統(tǒng)網(wǎng)絡潛在風險分析

醫(yī)院信息化建設工作離不開信息系統(tǒng)網(wǎng)絡的構建，而構建信息系統(tǒng)網(wǎng)絡最為關鍵的是確保網(wǎng)絡安全的可靠性及網(wǎng)絡管理的完善，這樣才能夠使信息系統(tǒng)網(wǎng)絡處于正常、可靠且安全的運行環(huán)境。反之，如果信息系統(tǒng)網(wǎng)絡缺乏安全性，且存在管理缺失問題，則會大大影響信息系統(tǒng)網(wǎng)絡的正常、安全運行。從現(xiàn)狀來看，醫(yī)院信息系統(tǒng)網(wǎng)絡尚且存在一些較為明顯的風險，風險的存在會在很大程度上影響醫(yī)院信息化水平的提高。主要風險如下：

（1）自然災害風險。自然災害風險通常是難以避免的，比如水災、地震以及火災等事故，均會對計算機設備造成損害；嚴格意義上而言，這屬于一種物理性質的風險。

（2）人為因素風險。此類風險主要指的是人為出現(xiàn)的失誤及錯誤，進而引發(fā)一系列的網(wǎng)絡安全風險，例如遭遇黑客的攻擊、病毒入侵以及設備受到損壞等[2]。

（3）技術層面風險?；诰W(wǎng)絡運行過程中，由于受到內外部環(huán)境的影響，導致系統(tǒng)潛在問題，加之技術人員未能及時排查，便會使網(wǎng)絡受到安全方面的風險，例如：操作系統(tǒng)發(fā)生缺陷、應用系統(tǒng)運行受阻等。

（4）管理層面風險。醫(yī)院信息系統(tǒng)網(wǎng)絡需從技術與管理兩個方面加以完善，當管理制度缺乏、管理人員責任心不強以及管理規(guī)范程度不高的情況下，便很有可能誘發(fā)信息系統(tǒng)網(wǎng)絡風險。

二、醫(yī)院信息系統(tǒng)網(wǎng)絡安全管理策略探討

在上述分析過程中，認識到醫(yī)院信息系統(tǒng)網(wǎng)絡潛在一系列的風險，為了使醫(yī)院信息系統(tǒng)網(wǎng)絡的安全性及可靠性得到有效提升，便有必要做好其安全管理工作。具體安全管理策略如下：

1.設施設備方面的安全管理策略

一方面，由于醫(yī)院網(wǎng)絡中心屬于醫(yī)院信息系統(tǒng)的中心結構，同時負責信息的處理，并關系到醫(yī)院信息系統(tǒng)網(wǎng)絡的穩(wěn)定、安全運行，所以有必要對其加強管理：其一，對醫(yī)院中心機房供應質量好的電源；其二，將室內溫濕度控制在合理范圍內，取證溫度一般為23℃～25℃之間，相對濕度則需控制在40%～70%之間；其三，設置可靠的報警系統(tǒng)，并做好防靜電地板的鋪設；其四，做好防雷、防火方面的工作。

另一方面，針對醫(yī)院信息系統(tǒng)網(wǎng)絡設備采取安全管理措施，充分重視核心部位的設備，相關檢修人員需對硬件進行定期檢查、維護；同時，在軟件設備方面，需定期進行升級，加強軟件終端狀態(tài)檢測，對醫(yī)院的網(wǎng)絡動態(tài)及時掌控，遇到問題及時解決，進而確保醫(yī)院信息系統(tǒng)網(wǎng)絡的安全、可靠運行。

2.技術方面的安全管理策略

一方面，對防毒軟件進行合理安裝，及時更新病毒數(shù)據(jù)庫，針對潛在的病毒風險采取有效處理策略，落實“預防為主，解決為輔”的安全管理思想，以此將安全隱患消除在萌芽之中。

另一方面，對醫(yī)院信息系統(tǒng)內網(wǎng)設置防火墻，同時外網(wǎng)頁需要設置防火墻，控制非法用戶訪問，確保內網(wǎng)的安全性。此外，利用入侵檢測技術、數(shù)據(jù)安全訪問控制技術以及認證技術，使醫(yī)院信息系統(tǒng)網(wǎng)絡的安全等級得到全面提升，大大降低病毒入侵、黑客入侵以及非法用戶入侵等風險隱患的發(fā)生，進一步使醫(yī)院信息系統(tǒng)網(wǎng)絡時刻處于正常且安全的運行狀態(tài)當中。

3.人員方面的安全管理策略

在醫(yī)院信息系統(tǒng)網(wǎng)絡安全管理工作當中，管理工作人員起到了至關重要的作用。為了使該項工作的安全性得到有效提高，便有必要做好人員方面的安全管理工作。

一方面，構建完善的安全管理制度，以制度為導向，規(guī)范管理工作人員的工作行為習慣，使管理工作人員認識到做好醫(yī)院信息系統(tǒng)網(wǎng)絡安全管理工作的重要性，進而使管理工作人員在此項工作中提高積極性，明確自身職責，進一步為管理工作的優(yōu)化及完善奠定基礎。

另一方面，為管理工作人員提供學習與培訓的機會，通過管理基礎知識以及管理技巧等方面的培訓，使管理工作人員的整體管理能力水平得到有效提高，從而能夠在日常管理工作中技術找出潛在的問題或風險，以此為管理工作的優(yōu)化奠定基礎[3]。此外，還必要加強激勵機制建設，將培訓結果和晉升相掛鉤，提高管理人員參與管理培訓的積極性，進一步使管理人員能夠從中學習到真正的知識，當管理人員能夠認清現(xiàn)狀下醫(yī)院信息系統(tǒng)網(wǎng)絡安全管理風險問題，并及時組織各方人員對潛在管理風險加以排查的條件下，醫(yī)院信息系統(tǒng)網(wǎng)絡安全管理便能夠得到全面強化。

三、結語

通過本文的探究，認識到現(xiàn)狀下醫(yī)院信息系統(tǒng)網(wǎng)絡潛在風險諸多，因此有必要落實醫(yī)院信息系統(tǒng)網(wǎng)絡安全管理策略，在避免醫(yī)院信息系統(tǒng)網(wǎng)絡風險發(fā)生的基礎上，使醫(yī)院信息系統(tǒng)網(wǎng)絡的可靠性及安全性得到有效保障，進一步使醫(yī)院信息化建設水平得到有效提高?？偨Y起來，需從設施設備、技術以及人員三大方面出來，認真落實醫(yī)院信息系統(tǒng)網(wǎng)絡安全管理策略，最終為醫(yī)院的良性發(fā)展奠定夯實的基礎。

參考文獻

[1]賈鑫.基于醫(yī)院信息系統(tǒng)的網(wǎng)絡安全分析與設計[J].中國管理信息化，2013，16（10）：46-47.

[2]姚征.醫(yī)院信息系統(tǒng)網(wǎng)絡安全構建與實施[J].計算機光盤軟件與應用，2013，16（3）：77-78.

篇6

管理任務之變：需求增加導致設備管理任務增加

隨著用戶需求的不斷變化，數(shù)據(jù)中心承載著越來越重的任務量，無論是計算還是存儲或者網(wǎng)絡資源，其規(guī)模相比以往急劇擴大，而這也使得其他一些配套設備發(fā)生了相應的增長，以滿足應用的需求。

CPU計算能力的提高、硬盤存儲容量的增加，以及刀片服務器和高密度存儲的發(fā)展，都無法滿足如同洪水猛獸般洶涌而至的數(shù)據(jù)處理需求。因此，人們不得不將包括計算、存儲、網(wǎng)絡、供電和散熱等在內的部件累積起來，組成更大規(guī)模的數(shù)據(jù)中心。

安全技術之變：必須不斷適應新型IT

未來，所有的公司都將成為IT公司。這個觀點可能稍有些偏激，不過從另一個角度來看，這說明無論工作還是生活都已經(jīng)離不開IT。

云計算、虛擬化、大數(shù)據(jù)，近兩年來頻繁冒出的新技術，無一不是為由IT所承載的業(yè)務服務的。當這些新的技術到來之時，安全技術要與之匹配發(fā)展，以適應新環(huán)境、新技術下的安全需求。

從長遠到本源：數(shù)據(jù)加密或是最根本的防護

受限于10年前IT的發(fā)展水平，很多人都沒有意識到數(shù)據(jù)中心在“量”和“質”方面的變化，以至于很多組織和機構都不得不在新一輪的IT采購周期中花費大量的時間和金錢，購買新產品，以替換舊設備。這樣的事情每時每刻都在發(fā)生。

由于信息技術的發(fā)展，數(shù)據(jù)本身受到來自多方面的威脅。作為數(shù)據(jù)中心主要的服務對象，數(shù)據(jù)的保護是十分重要，并且需要長遠計劃的。但是面對變化和不斷更新的威脅，正面對抗似乎收效甚微，最好的選擇是本源的防護，即做到保護數(shù)據(jù)本源的同時，又能靈活應對各種安全環(huán)境的需求。而符合這種要求的安全技術就要屬加密技術了。數(shù)據(jù)中心的管理人員需要在不影響新的數(shù)據(jù)中心環(huán)境所帶來的性能和功能的前提下，確保數(shù)據(jù)中心的安全運營。

安全威脅攻擊的首要目標是數(shù)據(jù)中心

許多現(xiàn)代的網(wǎng)絡犯罪活動是專門以數(shù)據(jù)中心為攻擊目標而設計的，因為這些數(shù)據(jù)中心都托管和處理著海量的、高價值的數(shù)據(jù)信息，包括個人客戶數(shù)據(jù)資料、財務信息和企業(yè)知識產權等。因此，確保數(shù)據(jù)中心的安全運營是一項挑戰(zhàn)。非對稱的業(yè)務流量、定制化的應用程序、需要被路由到計算層之外并達到數(shù)據(jù)中心周邊的高流量數(shù)據(jù)、跨多個Hypervisor的虛擬化應用，以及地理上分散的數(shù)據(jù)中心等，增加了數(shù)據(jù)中心安全運營的難度，其結果可能是，在安全方案覆蓋范圍方面存在空白，可能對數(shù)據(jù)中心性能造成嚴重影響。人們不得不犧牲數(shù)據(jù)中心的功能，以適應安全的限制，采用復雜的安全解決方案，削弱了數(shù)據(jù)中心根據(jù)實際業(yè)務需求而動態(tài)地配置資源的能力等。

思科預測，到2017年，全球76%的數(shù)據(jù)中心流量將保留在數(shù)據(jù)中心內，而這些流量都是在虛擬環(huán)境中由存儲系統(tǒng)、生產系統(tǒng)和開發(fā)環(huán)境所生成的。早在2015年3月底，市場調研機構Gartner公司就曾經(jīng)預測，數(shù)據(jù)中心的連接每秒增加3000%。

現(xiàn)代數(shù)據(jù)中心為企業(yè)提供了大量的應用程序、服務和解決方案。許多企業(yè)和組織都要依賴分散在各個不同地理位置的數(shù)據(jù)中心所部署的服務，以支持它們不斷增長的云計算和流量需求。企業(yè)還需要制定新的更有效的戰(zhàn)略，比如大數(shù)據(jù)分析和業(yè)務連續(xù)性管理，使數(shù)據(jù)中心成為企業(yè)的一個更為關鍵的部分。但是，這也使得數(shù)據(jù)中心的資源成了惡意攻擊者攻擊的主要目標。這意味著數(shù)據(jù)中心的安全團隊實施數(shù)據(jù)中心的監(jiān)控和保護將變得更加困難。

信息安全已經(jīng)上升到國家戰(zhàn)略層面，亟須加大安全投入

網(wǎng)絡空間已成為國家繼陸、海、空、天四個疆域之后的第五疆域，與其他疆域一樣，網(wǎng)絡空間也須體現(xiàn)國家，而保障網(wǎng)絡空間安全就是保障國家。

自2013年“斯諾登”事件爆發(fā)以后，國際社會又相繼爆發(fā)了土耳其泄密事件、巴拿馬文件泄密事件等震驚海內外的重大安全事故，網(wǎng)絡攻擊手段不斷推陳出新、網(wǎng)絡攻擊技術不斷升級發(fā)展。隨著中央網(wǎng)絡安全和信息化領導小組的成立，信息安全已經(jīng)上升到國家戰(zhàn)略層面，國家對網(wǎng)絡信息安全的重視上升到了新的高度。但是目前，我國網(wǎng)絡安全產業(yè)的整體規(guī)模和投入與歐美發(fā)達國家相比，差距巨大，必須奮起直追。

Gartner公司2015年的數(shù)據(jù)顯示，2015年全年，全球信息安全支出達833.78億美元，其中北美地區(qū)339.38億美元，西歐地區(qū)225.14億美元，大中華區(qū)只有32.15億美元，與經(jīng)濟體量明顯不相稱，僅為美國的9%。IDC的數(shù)據(jù)顯示，我國信息安全投入占IT投入的比重為1%～2%，而同期北美和歐洲的企業(yè)對信息安全的投入占IT支出比重達到8%～14%。信息安全投入上的嚴重不足，導致我國自主研發(fā)的信息安全技術和設備難以快速轉化為成果，應用于實踐，從而使我國網(wǎng)絡安全面臨巨大隱患。

大數(shù)據(jù)、智慧城市的發(fā)展導致數(shù)據(jù)量爆發(fā)式增長

篇7

上周，滬深300指數(shù)上漲4.43%，計算機行業(yè)上漲6.78%，行業(yè)跑贏大盤2.35個百分點，其中硬件板塊上漲6.88%，軟件板塊上漲5.02%，IT服務板塊上漲10.86%。個股方面，匯金股份、銀江股份、海聯(lián)訊等漲幅居前，而安碩信息、創(chuàng)意信息、綠盟科技等則跌幅居前。

國際市場動態(tài)

蘋果IBM合作開發(fā)的企業(yè)級iOS應用達100項；福特明年將在加州公路測試無人駕駛汽車；蘋果在臺灣設立實驗室，研發(fā)尖端顯示技術。

國內市場動態(tài)

中國電科與微軟成立合資公司，研發(fā)本土操作系統(tǒng)；工信部印發(fā)貫徹落實互聯(lián)網(wǎng)+行動計劃，聚焦智能制造；與銀聯(lián)達成合作，蘋果三星移動支付同步入華。

A股上市公司重要動態(tài)信息

航天信息：擬3億元參與設立產業(yè)投資基金；易華錄：預中標12億智慧城市建設項目；同有科技：中標5699萬元合同；東軟集團：定增募資29億加碼大數(shù)據(jù)業(yè)務；京天利：擬897萬收購天彩經(jīng)紀100%股份加碼保險業(yè)務；南威軟件：與重慶市江北區(qū)人民政府簽12億智慧城市協(xié)議；易華錄：與國家老齡委合作拓展智慧養(yǎng)老；三泰控股：與新希望簽訂合作協(xié)議拓展速遞易業(yè)務；金證股份：擬投資1.45億元設立互聯(lián)信用保證保險公司。

投資策略

上周，大盤止跌回升，全周以上漲報收，中小板及創(chuàng)業(yè)板亦表現(xiàn)較好并跑贏大盤。計算機行業(yè)延續(xù)較好表現(xiàn)，繼續(xù)上行并跑贏大盤，IT服務板塊繼續(xù)強勢，在子板塊中漲幅突出。個股方面，受板塊整體行情及互聯(lián)網(wǎng)大會召開等刺激，漲多跌少，其中新復牌個股補漲需求強勁，漲幅居前。上周，互聯(lián)網(wǎng)大會順利召開，主席在講話中多次提及維護網(wǎng)絡安全、建立網(wǎng)絡秩序等，網(wǎng)絡安全、大數(shù)據(jù)成為本次大會的核心議題。

我們認為，在國家經(jīng)濟轉型升級的過程中，大數(shù)據(jù)及互聯(lián)網(wǎng)+等將成為重要手段，國家在頂層已經(jīng)出臺相應政策引導大數(shù)據(jù)及互聯(lián)網(wǎng)+戰(zhàn)略實施，而在我國經(jīng)濟互聯(lián)網(wǎng)化率不斷提升的大背景下，維護網(wǎng)絡安全、建立良好網(wǎng)絡生態(tài)將成為重要根基，因此網(wǎng)絡安全、自主可控等將貫穿整個互聯(lián)網(wǎng)經(jīng)濟發(fā)展的始終。

綜上，我們認為應沿以下兩條主線進行行業(yè)內長期配置：

1)信息安全、自主可控。重點關注自主可控軟硬件產品及其他安全產品；

篇8

 

1 社區(qū)衛(wèi)生服務中心信息安全背景

 

20世紀90年代以來，信息技術不斷創(chuàng)新，信息產業(yè)持續(xù)發(fā)展，信息網(wǎng)絡廣泛普及，特別是原衛(wèi)生部《衛(wèi)生信息化發(fā)展規(guī)劃(2011～2015年)》之后，明確了衛(wèi)生信息化是深化醫(yī)藥衛(wèi)生體制改革的重要內容。那么作為整個衛(wèi)生信息化體系的“網(wǎng)底”的社區(qū)衛(wèi)生服務中心，其重要性不言而喻。隨著衛(wèi)生信息化的建設不斷擴展和深入，依托于區(qū)域衛(wèi)生信息中心的各類應用系統(tǒng)不斷上線推廣應用。網(wǎng)絡與數(shù)據(jù)安全已逐步成為各項衛(wèi)生信息工作開展的重要基礎依托。因此社區(qū)衛(wèi)生服務中心作為區(qū)域衛(wèi)生信息中心的重要結點。信息安全管理就顯得尤為重要。

 

2 什么是信息安全管理

 

“三分技術，七分管理”是信息安全保障工作中經(jīng)常提到的?？梢?，信息安全管理是信息安全保障的至關重要的組成部分。信息安全管理(Information Security Management)指組織中為了完成信息安全目標，遵循安全策略，按照規(guī)定的程序，運用恰當?shù)姆椒ǎM行的規(guī)劃、組織、指導、協(xié)調和控制等活動。作為組織完成的管理體系中的一個重要環(huán)節(jié)，它構成了信息安全具有能動性的部分，是指導和控制組織相互協(xié)調完成關于信息安全風險的活動，其對象就是包括人員在內的各類信息相關資產。在社區(qū)衛(wèi)生服務中心由于信息系統(tǒng)應用較為廣泛，基本包含了醫(yī)療、護理、醫(yī)技、行政等所有科室及其人員。

 

長期以來，社區(qū)衛(wèi)生服務中心在信息安全建設方面，存在重技術輕管理、重產品功能輕安全管理、缺乏整體性信息安全體系考慮等各方面的問題。區(qū)域衛(wèi)生信息中心采用集中管理的信息安全技術及產品的應用，一定程度上可以來解決社區(qū)衛(wèi)生服務中心在網(wǎng)絡傳輸時的信息安全問題。但是僅僅靠這些產品和技術還不夠，即使采購和使用了足夠先進、足夠多的信息安全產品，仍然無法避免一些信息安全事件的發(fā)生。近年來，由于管理不善、操作失誤等原因導致的衛(wèi)生信息及病患基本信息泄露的安全事件數(shù)量不斷攀升，更加劇了社區(qū)衛(wèi)生服務中心需要信息安全管理的迫切性。

 

3 社區(qū)衛(wèi)生服務中心信息安全管理作用

 

社區(qū)衛(wèi)生服務中心信息安全管理的作用體現(xiàn)任以下幾個方面。

 

3.1信息安全管理是社區(qū)衛(wèi)生服務中心組織整體管理的重要的、固有的組織部分，是組織實現(xiàn)中心業(yè)務目標的重要保障。在信息時代的今天，信息安全威脅已經(jīng)成為社區(qū)衛(wèi)生服務中心等醫(yī)療機構業(yè)務正常運營和持續(xù)發(fā)展的最大威脅。如在社區(qū)衛(wèi)生服務中心發(fā)生的費用結算85%以上通過醫(yī)保信息系統(tǒng)來進行，所有的醫(yī)生工作站都依托中心服務器來提供數(shù)據(jù)進行操作，醫(yī)技部門也通過信息系統(tǒng)獲取病人信息和傳送結果。一旦信息系統(tǒng)發(fā)生故障對于社區(qū)衛(wèi)生服務中心來說是災難性的。因此中心需要信息安全管理，有其必然性。

 

3.2信息安全管理是信息安全技術的融合劑，是各項技術措施能夠發(fā)揮作用的重要保障。安全技術是信息安全控制的重要手段，許多信息系統(tǒng)的安全性保障都要依靠技術手段來實現(xiàn)，但光有安全技術還不行，要讓安全技術發(fā)揮應有的作用，必然要有適當?shù)墓芾沓绦虻闹С?，否則，安全技術職能趨于僵化和失敗。如果說安全技術是信息安全的構筑材料，那么信息安全管理就是融合劑和催化劑，良好的管理可以變廢為寶，使現(xiàn)有的各項技術相互配合發(fā)揮應有的作用，而糟糕的管理會使技術措施變得毫無用處。實現(xiàn)信息安全，技術和產品是基礎，管理才是關鍵。在信息安全保障工作中必須管理與技術并重，進行綜合防范，才能有效保障安全，這也是實現(xiàn)信息安全目標的必由之路

 

3.3信息安全管理是預防、阻止或減少信息安全事件發(fā)生的重要保障。早期人們對于信息安全的認識主要側重在技術措施的開發(fā)和利用上，這種技術主導論的思路能夠解決信息安全的一部分問題，但卻解決不了根本，據(jù)權威機構統(tǒng)計表明，信息安全問題大約70%以上是由管理方面原因造成的，大多數(shù)信息安全事件的發(fā)生，與其說是技術上的原因，不如說是管理不善造成的。因此解決信息安全問題、防止發(fā)生信息安全事件不應僅從技術方面著手，同時更應加強信息安全的管理工作。

 

信息安全涉及的范疇非常廣，信息安全不是產品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術、操作三者緊密結合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展的動態(tài)過程。因此，要求社區(qū)衛(wèi)生服務中心的相關人員正確理解信息安全、理解信息安全管理的關鍵作用，以更好地開展信息安全管理工作。強調信息安全管理的作用，并不是要削弱信息安全技術的作用;開展信息安全管理工作，要處理好管理和技術的關系，要堅持管理與技術并重的原則，這也是信息安全保障工作的主要原則之一。

 

4 社區(qū)衛(wèi)生服務中心信息安全管理控制措施

 

在我國對于信息安全等同采用IS0 27002：2005，命名為《信息技術安全技術信息安全管理實用規(guī)則》(GB/T 22081-2008)。信息安全是通過實施一組合適的控制措施而達到的，包括策略、過程、規(guī)程、組織結構以及軟件和硬件功能?？梢妼τ谏鐓^(qū)衛(wèi)生服務中心的信息安全來說，安全控制措施是必要且十分重要的。其中比較重要的如下：

 

4.1安全方針 社區(qū)衛(wèi)生服務中心的信息安全方針控制目標，是指中心的信息安全方針能夠依據(jù)業(yè)務的要求和相關法律法規(guī)提供管理指導并支持信息安全。社區(qū)衛(wèi)生服務中心信息安全方針文件的內容應包含中心管理者的管理承諾、組織管理信息安全的方法、中心信息安全整體目標和范圍的定義、中心管理者意圖的聲明、控制目標和控制措施的框架、重要安全策略、原則、標準和符合性要求說明、中心信息安全管理的一般和特定職責的定義、支持方針的文件的引用等。

 

4.2信息安全組織 信息安全組織一般分為內部組織和外部組織。社區(qū)衛(wèi)生服務中心內部組織的信息安全控制目標是指在中心內管理信息安全。組織的安全建立在每一位人員不同責任分工的劃分，不同的責任會有不同的工作指導原則。其中應當包括信息安全的管理承諾、信息安全協(xié)調、信息安全職責的分配、信息處理的授權、保密協(xié)議、信息安全的獨立評審等。社區(qū)衛(wèi)生服務中心外部組織的信息安全控制目標是保持中心被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理的安全。主要包括中心與系統(tǒng)外單位信息通信相關風險的識別、處理相關的安全問題和處理第三方協(xié)議中的安全問題等。

 

4.3人力資源安全 人員在中心的信息安全管理中是一個最重要的因素，有資料表明，70%的安全問題是來自人員管理的疏漏，為了對人員有一個有效的管理，需要從任用之前、任用中、任用的終止或變更三項控制目標進行管理。

 

4.3.1任用之前控制是指社區(qū)衛(wèi)生服務中心任用人員之前為了確保人力資源的安全，需考慮到角色是否適合相應崗位，以降低設施被竊、信息泄露和誤用的風險，這一目標的實現(xiàn)需通過角色和職責、審查、任用條款和條件三項控制措施的落實來保障。

 

4.3.2任用中社區(qū)衛(wèi)生服務中心的信息安全控制目標就是確保所有的員工、承包方人員和第三方人員知悉信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針，以減少人為過失的風險。

 

4.3.3社區(qū)衛(wèi)生服務中心發(fā)生任用的終止或變更時，應確保信息的安全不外泄，確保員工、承包方人員和第三方人員以一個規(guī)范的方式退出或改變其任用關系。可以通過終止職責、資產的歸還、撤銷訪問權限等控制措施來實現(xiàn)。

 

4.4物理和環(huán)境安全 社區(qū)衛(wèi)生服務中心的物理和環(huán)境安全可以從安全區(qū)域和設備安全來入手管理。定義安全區(qū)域是為了防止對中心場所和信息的未授權物理訪問、損壞和干擾。可以通過設置物理安全邊界、物理入口控制、辦公室房間和設施的安全保護、外部和環(huán)境的安全防護、在安全區(qū)域工作、公共訪問和交接區(qū)安全。設備安全是指防止由于資產丟失、損壞、失竊而危及社區(qū)衛(wèi)生服務中心的資產安全以及信息安全。中心可通過設備安置和保護、支持性設施、布纜安全、設備維護、場所外的設備安全、設備的安全處置和再利用，資產的移動等措施來進行保障。

 

4.5通信和操作管理 社區(qū)衛(wèi)生服務中心的通信和操作管理一般可從操作規(guī)程和職責、第三方服務交付管理、系統(tǒng)規(guī)劃和驗收、防范惡意和移動代碼、備份、網(wǎng)絡安全管理、介質處置、信息的交換、電子商務服務、監(jiān)視等方面入手。

 

4.6訪問控制 對于社區(qū)衛(wèi)生服務中心來說，訪問控制可從訪問控制的業(yè)務要求、用戶訪問管理、用戶職責、網(wǎng)絡訪問控制、操作系統(tǒng)訪問控制、應用和信息訪問控制、移動計算和遠程工作等控制目標來入手。

 

4.7信息安全事件管理 社區(qū)衛(wèi)生服務中心的信息安全事件管理可以從報告信息安全事態(tài)和弱點、信息安全事件和改進的管理兩個控制目標入手進行管理。

 

4.7.1報告信息安全事態(tài)和弱點這項控制目標旨在確保中心與信息系統(tǒng)有關的信息安全事態(tài)和弱點能夠以某種方式傳達，以便及時采取糾正措施。該目標下有報告信息安全事態(tài)和報告安全弱點這兩項控制措施來保障這一目標的實現(xiàn)。①報告信息安全事態(tài)控制措施，是指信息安全事態(tài)應該盡可能快地通過適當?shù)墓芾砬肋M行報告。實施過程中應建立正式的信息安全事態(tài)報告程序，以及在收到信息安全事態(tài)報告后采取措施的事件響應和上報程序。②報告安全弱點控制措施，是指中心應要求信息系統(tǒng)和服務的所有職員、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統(tǒng)或服務的安全弱點。報告機制應盡可能容易、易理解和方便可用。應告知他們在任何情況下，都不應試圖去證明被懷疑的弱點。

 

4.7.2信息安全事件和改進的管理。社區(qū)衛(wèi)生服務中心信息安全事件和改進的管理這一控制目標旨在確保采用一致和有效的方法對信息安全事件進行管理。中心可以用職責和程序的控制措施、對信息安全事件的總結、證據(jù)的收集三項控制措施來保障這一目標的實現(xiàn)。①職責和程序的控制措施。它是指中心應當建立管理職責和程序，以確保能對信息安全事件做出快速、有效和有序的響應。該項措施實施時除了對中心的信息安全事態(tài)和弱點進行報告外，還應利用對系統(tǒng)、報警和脆弱性的監(jiān)視來檢測中心信息安全事件。遵循嚴格的信息安全事件管理程序的前提是中心需建立規(guī)程以處理不同類型的信息安全事件，如惡意代碼、拒絕服務、信息系統(tǒng)故障和服務丟失、違反保密性和完整性、信息系統(tǒng)誤用等。中心除了考慮正常的應急計劃還要考慮事件原因的分析和確定、遏制事件影響擴大的策略、向合適的機構報告所采取的措施等。②中心對信息安全事件的總結控制措施，是指社區(qū)衛(wèi)生服務中心應有一套機制量化和監(jiān)視信息安全事件的類型、數(shù)量和代價。從信息安全事件評價中獲取的信息應用來識別再發(fā)生的事件或高影響的事件。③證據(jù)的收集。證據(jù)的收集對于社區(qū)衛(wèi)生服務中心來說，是指當中心的一個信息安全事件涉及到訴訟(民事的或刑事的)，需要進一步對個人或組織進行起訴時，應收集、保留和呈遞證據(jù)，以使證據(jù)符合相關訴訟管轄權。過程有：為應對懲罰措施而收集和提交證據(jù)，應制定和遵循內部程序，為了獲得被容許的證據(jù)，中心應確保其信息系統(tǒng)符合任何公布的標準或實用規(guī)則來產生被容許的證據(jù)：任何法律取證工作應僅在證據(jù)材料的拷貝上進行。

 

4.8業(yè)務連續(xù)性管理 對于社區(qū)衛(wèi)生服務中心來說業(yè)務連續(xù)性管理是指防止中心業(yè)務中斷，保證中心重要業(yè)務流程不受重大故障與災難的影響。業(yè)務連續(xù)性管理過程中包含信息安全，該控制措施是指應為貫穿于組織的業(yè)務連續(xù)性開發(fā)和保持一個管理過程。解決中心的業(yè)務連續(xù)性所需的信息安全要求，保護關鍵業(yè)務過程免受信息系統(tǒng)重大失誤或災難的影響，并確保他們的及時恢復。應包含中心的信息安全、業(yè)務連續(xù)性和風險評估、制定和實施包含信息安全的連續(xù)性計劃、業(yè)務連續(xù)性計劃框架、測試、維護和再評估業(yè)務連續(xù)性計劃等內容。

 

5 社區(qū)衛(wèi)生服務機構信息安全的展望

 

對于社區(qū)衛(wèi)生服務中心來說信息安全保障不僅僅是一門技術學科，信息安全保障應綜合技術、管理和人。在中心的管理上，信息安全保障應考慮建立綜合的信息化的組織管理體系，明晰相應的崗位職責、規(guī)章制度并嚴格執(zhí)行等等。在人員上，應加強所有使用信息系統(tǒng)人員的安全意識和技能，以及中心從事信息系統(tǒng)專業(yè)人員的專業(yè)技能和能力。社區(qū)衛(wèi)生服務中心的信息安全保障亦不是一種項目性的暫時行為，而是融入信息系統(tǒng)生命周期的全過程的保障。信息安全保障不是一種打補丁，頭疼醫(yī)頭、腳疼醫(yī)腳的臨時行為，而是一種系統(tǒng)化、體系化的保障過程。信息安全保障的目的不僅僅是保障信息系統(tǒng)本身，信息安全保障的根本目的是通過保障信息系統(tǒng)進而保障運行于信息系統(tǒng)之上的中心業(yè)務系統(tǒng)。信息安全保障應以業(yè)務為主導、以社區(qū)衛(wèi)生服務中心的使命、社會職責和社會服務性為出發(fā)點和落腳點。社區(qū)衛(wèi)生服務中心的信息安全保障不僅僅是孤立的自身的問題，信息安全保障是一個社會化的、需要各方參與的工作。信息安全保障不僅僅是孤立的自身的問題，信息系統(tǒng)需要電信、電力等基礎設施的支持、信息系統(tǒng)需要承擔保密、公共安全、國家安全等社會職責，信息安全保障工作是一個社會化的、需要各方參與的綜合的工作。社區(qū)衛(wèi)生服務中心的信息安全保障是主觀和客觀的結合。沒有絕對的安全，信息安全保障并不提供絕對的安全，信息安全保障是討論風險和策略，討論適度安全。因此，它是一個需要持之以恒和不斷完善與發(fā)展的工作。

篇9

關鍵詞：信息安全；需求；分析

中圖分類號：TP309.2文獻標識碼：A 文章編號：1009-3044(2008)36-2844-02

The Requirement of Information Security the Analysis for An Enterprise of Fujian

CHEN Rong-sheng, GUO Yong, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: For information on the degree of rising-to-business information security threats are increasing, according to the standards of information security framework for an enterprise's information security status of the analysis, come to conclusions, and the enterprise in the information security requirement.

Key words: information security; requirement; analysis

1 引言

隨著信息化程度的不斷提高和互聯(lián)網(wǎng)應用的不斷發(fā)展，新的信息安全風險也隨之不斷暴露出來。原先由單個計算機安全事故引起的損害可能傳播到其他系統(tǒng)和主機，引起大范圍的癱瘓和損失。根據(jù)CNCERT 統(tǒng)計報告指出，2007年接受網(wǎng)絡安全事件報告同比2006年增長近3倍，目前我國大陸地區(qū)約1500多萬個IP 地址被植入木馬程序，位居全球第二位（其中福建省占10%，居全國第三位）；有28477個網(wǎng)站被篡改（其中政府網(wǎng)站占16%）；網(wǎng)站仿冒事件占居全球第二位；拒絕服務攻擊事件頻繁發(fā)生。

針對于次，為福建企業(yè)制定一個統(tǒng)一、規(guī)范的信息安全體系結構是迫在眉睫的。本文根據(jù)福建企業(yè)特點，參照國內外有的規(guī)范和理論體系，制定了企業(yè)信息安全需求調研計劃，并對調研結果進行分析，為進一步制定信息安全體系結構和具體實施建議奠定堅實基礎。整個分析報告按照圖1的步驟形成。

2 分析報告指導理論模型框架

2.1 總體指導模型

一個完整的信息安全體系由組織體系、技術體系和管理體系組成，如圖2所示。

其中，組織體系是有關信息安全工作部門集合，這些部門負責信息安全技術和管理資源的整合和使用；技術體系則是從技術的角度考察安全，通過綜合集成方式而形成的技術集合，技術體系包含內容有安全防護、安全檢測、安全審計、應急響應恢復、密碼、物理安全、安全機制與安全服務等；管理體系則是根據(jù)具體信息系統(tǒng)的環(huán)境，而采取管理方法和管理措施的集合，管理體系涉及到的主要內容管理制度、管理規(guī)范、教育培訓、管理流程等。

2.2 ISO/IEC 15408 標準

圖1 分析報告形成流程

圖2 信息安全體系結構

圖3 GB/T18336 標準要素關系

信息技術安全性評估通用準則ISO15408已被頒布為國家標準GB/T18336，簡稱通用準則（CC），它是評估信息技術產品和系統(tǒng)安全性的基礎準則。該標準提供關于信息資產的安全分析框架，其中安全分析涉及到資產、威脅、脆弱性、安全措施、風險等各個要素，各要素之間相互作用，如圖3所示。資產因為其價值而受到威脅，威脅者利用資產的脆弱性構成威脅。安全措施則是對資產進行保護，修補資產的脆弱性，從而可降低資產的風險。

3 分析報告素材獲取

作為分析報告，必須要有真實的分析素材才能得出可靠的分析結論。我們在素材獲取方法、獲取內容、獲取對象和最后素材整理上都有具體規(guī)范。

3.1 獲取方法

在素材獲取方法上，采取安全訪談、調查問卷、文檔資料收集等3種工作方法來獲取信息安全需求。

3.2 獲取對象與內容

素材獲取對象為兩種類型，分別為部門領導和普通員工。其中：部門領導主要側重于信息安全管理、崗位、流程、資產和培訓方面的信息獲取；普通員工主要側重于信息安全崗位責任、操作習慣和安全配置與管理方面的信息獲取。

素材獲取內容分三個方面：一是管理調研；二是業(yè)務；三是的IT技術調研。素材獲取內容安排有五種類型，其中：管理類2種，分別為高層管理訪談和中層部門領導訪談；技術類2種，分別為網(wǎng)絡安全訪談和主機及數(shù)據(jù)庫信息安全訪談；業(yè)務類1種，為業(yè)務及應用系統(tǒng)安全訪談。

最后的素材資料整理分為管理和技術兩大類資料。

4 目前信息安全現(xiàn)狀的分析

4.1 組織現(xiàn)狀分析

通過對最后資料的分析看出，目前有一些企業(yè)對信息安全的管理還是十分重視的，很多成立了自己的安全小組，安全小組也定義了各個崗位，并明確了職責。安全小組目前的還存在著幾點不足的地方：

1）安全小組的人員大部分是兼職工作，安全工作往往和本職工作之間存在的工作上時間沖突問題；2）安全小組的側重于生產安全，信息安全的工作內容不夠突出，信息安全的專業(yè)性不夠強；3）信息的安全的監(jiān)督機制有，并有一些安全考核的指標，較難執(zhí)行，執(zhí)行力不夠；4）信息安全的人事培訓管理已經(jīng)作得比較好，可以增加信息安全方面專家的培訓內容，更好的提高每個員工的信息安全意識。

4.2 信息安全管理現(xiàn)狀

目前，許多已經(jīng)有IT支持能力的企業(yè)在信息安全管理方面還有以下地方可以完善：對信息安全策略定義可以進一步完善；控制方式比較分散，不夠統(tǒng)一；制度上可進一步細化，增強可操作性；在項目的安全管理上還有很多可以完善的地方；增加人力投入，加強安全管控。

4.3 信息安全技術現(xiàn)狀

通過對最后技術資料的分析，得知以下信息安全基本情況：

1）主機的安全運行有專門的技術人員支持和維護，建立了比較全面的安全操作規(guī)范，具備應對突發(fā)事件的能力，能夠比較好的保障主機系統(tǒng)工作的連續(xù)性和完整性；2）主機系統(tǒng)的安全管理主要涉及到服務器硬件、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用服務系統(tǒng)等內容，密鑰管理手段不科學，主機系統(tǒng)的日志缺乏定期的安全分析，主機的安全風險依賴于管理者的安全配置，缺少安全管理工具和安全監(jiān)測措施；3）主機安全人員配備上沒有專職的系統(tǒng)安全管理員，一個人需要管理多臺主機設備，主要靠人工監(jiān)視主機系統(tǒng)的運作管理；4）用戶安全管理方面，口令管理手段不科學；5）主機漏洞修補方面不及時，已知漏洞不能完全堵上；6）主機系統(tǒng)的安全管理手段主要依賴系統(tǒng)自身提供的安全措施；7）主機系統(tǒng)的日志沒有無遠程備份日志服務器；8）主機設備類型多，監(jiān)測和管理手段依靠人工方式，沒有自動工具；9）系統(tǒng)人員管理一般從遠程管理主機，沒有全部采取遠程安全措施；10）部門分工按職能劃分，未按系統(tǒng)劃分。

5 分析結論：信息安全需求

基于以上分析，得出了以下結論，主要分為信息安全整體需求和集體歸納。

5.1 信息安全整體需求

大部分的企業(yè)沒有建立起完善的信息安全組織、管理團隊，技術方面欠缺。從總體上考慮，信息安全管理需要解決以下問題：

1）企業(yè)內部的信息安全組織結構的協(xié)調一致性；2）技術和管理方法的發(fā)展均衡性；3）公司內部的業(yè)務發(fā)展急迫性與信息安全建設周期性之間的矛盾；4）員工之間對信息安全認知的差異性；5）與第三方機構（供應商、服務商、應用開發(fā)商）之間的信息安全管理關系。

5.2 信息安全需求的集體歸納

5.2.1 信息安全組織與管理

根據(jù)上述對信息安全組織和管理現(xiàn)狀的分析，安全組織與管理總體需求可以歸納為：在組織方面，建立打造一支具有專業(yè)水準和過硬本領的信息安全隊伍；在管理方面建立相應的信息安全管理措施。

5.2.2 網(wǎng)絡安全需求

網(wǎng)絡安全，其目標是網(wǎng)絡的機密性、可用性、完整性和可控制性，不致因網(wǎng)絡設備、網(wǎng)絡通信協(xié)議、網(wǎng)絡管理受到人為和自然因素的危害，而導致網(wǎng)絡傳輸信息丟失、泄露或破壞。集體為：

1）集中統(tǒng)一的網(wǎng)絡接入認證、授權、審計安全技術；2）集中統(tǒng)一的網(wǎng)絡安全狀態(tài)監(jiān)測技術；3）針對通訊網(wǎng)絡系統(tǒng)的網(wǎng)絡開發(fā)安全檢查工具集，包括網(wǎng)絡安全策略執(zhí)行檢查、網(wǎng)絡漏洞掃描、網(wǎng)絡滲透測試等；4）能夠支持網(wǎng)絡的安全綜合管理平臺，能夠支持網(wǎng)絡用戶安全管理。

5.2.3 主機系統(tǒng)安全需求

主機系統(tǒng)的安全需求歸納如下：

1）諸多主機的集中認證、授權、審計安全管理技術；2）針對主機系統(tǒng)的安全狀態(tài)監(jiān)測技術；3）針對主機系統(tǒng)的安全檢查工具包；4）能夠支持主機的安全綜合管理平臺。

5.2.4 數(shù)據(jù)安全需求

數(shù)據(jù)安全，是指包括數(shù)據(jù)生成、數(shù)據(jù)處理、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)利用、數(shù)據(jù)銷毀等過程的安全。其目標是保證數(shù)據(jù)的保密性、可用性、完整性、可控制性，確保不因數(shù)據(jù)操作、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡傳輸、管理等因素受到人為的或自然因素的危害而引起數(shù)據(jù)丟失、泄露或破壞。具體需求要求如下：

1）需要建立一個支持認證、授權、審計、安全等功能的數(shù)據(jù)生命周期管理機制；2）需要建立一套數(shù)據(jù)攻擊防范系統(tǒng)，包括非法行為監(jiān)控、威脅報警、數(shù)據(jù)垃圾過濾等；3）需要建立一套數(shù)據(jù)容災系統(tǒng)，能夠提供數(shù)據(jù)應急響應、防止失竊、損毀和發(fā)霉變質。

5.2.5 應用系統(tǒng)安全需求

應用系統(tǒng)安全，是指包括需求調查、系統(tǒng)設計、開發(fā)、測試、維護中所涉及到的安全問題。其目標是應用信息系統(tǒng)的保密性、可用性、完整性、可控制性，不致因需求調查、系統(tǒng)設計、開發(fā)、測試、維護過程受到人為和自然因素的危害，從而導致應用信息系統(tǒng)數(shù)據(jù)丟失、泄露或破壞。應用方面的安全需求歸納如下：

1）需要建立一套關于應用系統(tǒng)分類、應用系統(tǒng)安全接口、應用系統(tǒng)操作流程等方面的應用系統(tǒng)管理規(guī)范；2）需要建立一套獨立的應用系統(tǒng)安全測試環(huán)境，滿足應用系統(tǒng)上線前能夠得到充分的安全測試；3）需要建立一個基于角色認證、授權、審計的授權管理系統(tǒng)，能夠支持按員工的工作崗位授權管理，能夠支持事后責任追查的法律依據(jù)；4）需要建立一個統(tǒng)一集中的應用系統(tǒng)監(jiān)控管理平臺，能夠支持檢測到異常的操作。

6 結束語

文章通過對福建某企業(yè)的信息安全現(xiàn)狀進行相關素材獲取，依照信息安全體系相關標準對整理后資料進行分析，得出了該企業(yè)的信息安全現(xiàn)狀的評估結論，并提出了此類企業(yè)在信息安全體系建設上的需求分析。本文的結論，對此類企業(yè)的信息安全體系建設有一定的參考意義。

參考文獻：

[1] 張世永.網(wǎng)絡安全原理與應用[M].北京:科學出版社,2003.

[2] Christopher Alberts, Audrey Dorofee. Managing Information Security Risks. Pearson Education, Inc. 2003:10,80~82.

[3] 董良喜,王嘉禎,康廣.計算機網(wǎng)絡威脅發(fā)生可能性評價指標研究[J]. 計算機工程與應用，2004,40(26):143~148.

篇10

在上一代人的工作經(jīng)歷里，還幾乎不存在這個崗位。但為了應對日漸增多的網(wǎng)絡泄密，企業(yè)和政府都在雇傭高管，專門負責確保數(shù)據(jù)系統(tǒng)的安全。當安全事件發(fā)生時（發(fā)生得還挺頻繁），負責這類工作的高管就會背負相應的責任。

拒絕膽小人的工作

“我們就像待宰的羔羊，”弗吉尼亞州阿靈頓鎮(zhèn)（Arlington）的首席信息安全官大衛(wèi)?喬丹（David Jordan）說?！拔覀兌济靼?，如果發(fā)生重大泄密事故，自己的命運將會怎樣。這份工作不是給膽小的人干的?！?/p>

首席信息安全官做的是商業(yè)世界里最難做的工作之一：他們必須比俄羅斯的犯罪天才和上海的黑客先行一步，逐項確認越來越長的合規(guī)清單，并且密切注意漏洞百出的賣家和魯莽的員工，防止他們把敏感數(shù)據(jù)上傳到 Dropbox 賬戶里，或者越了獄的 iPhone 上去。

首席信息安全官必須擅長于危機管理和公關，還得是了解最復雜技術的專家，盡管如此，他們也還需要下一番苦功才能明白，即便是最厲害的新式安全陷阱，也不是萬無一失的。

他們還要面對不斷發(fā)生的信息泄露事件―比如本月一個俄羅斯人因侵入美國零售商系統(tǒng)而被逮捕―這些事件都在不斷地提醒他們的工作面臨的風險。

“我們必須時刻都保持正確，”安全公司趨勢科技（Trend Micro）首席信息安全官湯姆?凱勒曼說。他說，網(wǎng)絡犯罪“必須被立即糾正”。

10 年前，沒有哪個組織會存在現(xiàn)在人們所知的專職首席信息安全官（CISO）。而今天，根據(jù)調研公司 Ponemon Institute 去年進行的一項研究結果，超過一半的千人及以上規(guī)模的公司有全職或者兼職的信息安全高管。

許多公司，比如電子支付系統(tǒng)供應商惠爾豐（VeriFone）、飲料公司百富門（Brown-Forman）、北卡羅萊那大學和芝加哥大學，以及新創(chuàng)業(yè)的 Fitbit，都在尋找專職的信息安全官。去年經(jīng)歷了有史以來首次大規(guī)模信息泄露的 Neiman Marcus 也正在招聘它的第一個此類高管。

招聘人員說，這個職位現(xiàn)在非常重要，以至于各大公司給出的條件都很優(yōu)厚。調查數(shù)據(jù)表明，他們都在用簽約獎金，以及 18.8 萬到 120 萬美元的年薪誘惑著合適的人選，此外，他們還給予了其他好處，比如可以在家辦公、悠長的假期、以及許諾會給更大的預算額度，來為漏洞百出的系統(tǒng)購買更多保護。

然而，這個工作還是看起來那么地吃力不討好。許多參加 Ponemon Institute 調查的首席信息安全官都把自己的崗位難度系數(shù)評級為全公司最高。大多數(shù)人都說他們的工作不好，有的還說是他們做過的最差的工作。

當去年 Target 的信息被泄露時，它還沒有全職首席信息安全官；到 6 月份它才招到了第一個。貝絲?雅各布斯（Beth Jacobs）兼職負責 Target 的數(shù)據(jù)保護，因為此事被迫辭職。公司總裁和董事會主席格雷格?斯坦恩哈斐爾（Gregg Steinhafel）也丟掉了飯碗。

搞清楚誰值得信賴

斯蒂芬?弗萊徹（Stephen Fletcher）負責猶他州的數(shù)據(jù)安全，兩年前，他因為信息泄露而辭職，那次事件使得 78 萬條醫(yī)療救助系統(tǒng)內的個人處方信息被泄露。1 月，雅虎的首席信息安全官賈斯汀?索曼尼（Justin Somaini）辭職，隨后雅虎承認部分用戶新修改的電郵賬戶遭到了泄露。這份工作的壓力太大了，據(jù) Ponemon Institute 的調查表明，工作兩年之后，許多人都最終（主動或者被動地）離開了。與此形成對比的是首席執(zhí)行官，根據(jù)其他調查結果，他們的平均供職時間通常穩(wěn)定在 10 年左右。

在首席信息安全官要面對的所有難題中，最大難題之一就是搞清楚該信賴哪些安全產品。

“過去有句老話，‘沒人因為買了IBM而被炒魷魚’，因為 IBM 值得信賴，”前嘉信理財集團（Charles Schwab）首席信息安全官安德魯?卡斯佩森（Andrew Caspersen）說?！暗畔踩纠镞€沒有誰能樹立那么高的信譽?！?/p>

更何況許多信息安全官認為，殺毒軟件這種傳統(tǒng)的保護形式無法防御當下的威脅，有人說，更新的產品并沒有變更好。他們還抱怨說，面對令人窒息的推銷和對信息安全的恐懼，他們幾乎不可能對信息安全產品進行評估。

3 月，獨立研究機構 NSS Labs 的一份報告強調了這個問題。報告對比了各款信息泄露探測產品，發(fā)現(xiàn)以前一度受華爾街青睞的 FireEye 的產品，表現(xiàn)還不如思科的 Sourcefire、趨勢科技，以及其他更便宜的產品（比如 General Dynamics 的 Fidelis 還有 Fortinet 的產品）。

這份報告馬上引發(fā)了爭議， 針對 NSS Labs 在報告中指出使用方法“有嚴重缺陷”，F(xiàn)ireEye 則要求 NSS Labs 拿出證據(jù)來。報告還影響了 FireEye 的股價，自上市以來，它的股價已達到發(fā)行價的 3 倍，但報告一出，股價直線下跌。

但信息安全官們說，這次測試并沒有告訴他們任何不知道的事情。他們說，對付信息泄露沒有殺手锏，能做的只有部署最有效的技術、招聘最好的人，然后期待好運。

招聘的人說，前來應聘信息安全官的人都會很謹慎，不會坦誠地進行高難度談話。在接受這份工作之前，一些應聘者想要明確一點：董事會贊同信息泄露是不可避免的，而且他們需要分配足夠多的預算在保障安全的信息技術上。

“如果你知道自己將來要做出犧牲，那就需要足夠的理由才能接受這份工作，”市場研究公司Forrester的安全分析師約翰?金德瓦格（John Kindervag）說?！叭藗儾]有在意他們對這些可憐人做了什么。他們只是把所有這些復雜的東西往他們肩上一放，然后丟一句‘祝你好運！’”

為了應對這種焦慮，許多首席信息安全官說他們的辦法是自我解嘲。有一個笑話在調研進行的一周時間里被提到過三次。它講的是一個新任信息安全官碰到了他的前任。