電大計算機論文

　　文科大學生學習計算機知識時會碰到許多障礙,其中因語言所引起的障礙是最常見,也是最容易被忽視的。下面是小編為大家推薦的，供大家參考。

　　範文一：電子商務資訊保安論文

　　1電子商務安全威脅與需求

　　1.1主要安全威脅

　　電子商務建設主要面臨著賬戶安全威脅、交易安全威脅、基礎網路威脅、業務連續性威脅。

　　***1***賬戶安全威脅。賬戶安全是電子商務資訊保安的基礎，賬戶安全威脅主要來源於賬戶被盜與垃圾註冊。

　　***2***交易安全威脅。現階段在電子商務交易過程中發生的安全威脅主要包括惡意評價、交易欺詐、不良資訊釋出。

　　***3***基礎網路威脅。電子商務是構建在網際網路上的交易平臺，同樣面臨著DDoS、埠掃描、密碼暴力破解、網站後門等安全威脅。

　　***4***業務連續性威脅。在電子商務領域主要面臨著特有的業務高彈性變化威脅，因為業務發展過快或網上促銷活動等原因，電子商務企業會面臨著大量客戶訪問超出現有系統設計容量的局面，而中小企業受限於資金規模導致其無力建設後備系統用於滿足無法預測的業務訪問量，最終影響電子商務網站對外提供服務的連續性。

　　1.2安全需求

　　電子商務資訊保安建設的需求主要來自於業務連續性、保護賬戶和交易資訊保安、電子商務網站自身的安全性。

　　***1***業務連續性是電子商務業務的第一要素，應採用防DDoS技術、系統彈性擴容技術來保障電子商務對外業務的連續性。

　　***2***使用公共網路的電子商務賬戶資訊和線上交易中的資訊宜受保護，應採用加密技術、黑名單、防釣魚、數字簽名技術來防止欺詐活動，保證賬戶和交易資訊保安。

　　***3***電子商務網站自身的安全性宜受保護，應採取檢測網站漏洞、掛馬、埠安全、網站後門等安全手段，防密碼暴力破解及管理員異地登入預警等技術來保障系統的安全性。

　　2電子商務資訊保安的關鍵標準研製

　　針對目前電子商務資訊保安技術、管理、業務應用等領域工作存在的界定不清、內容不全、深度不統一等問題，通過技術標準、管理標準進行規範統一變得尤為重要。結合電子商務實際情況，在電子商務資訊科技、業務應用、安全管理等方面標準研究的基礎上，主要進行以下標準研究。

　　2.1電子商務資訊保安技術標準

　　確立電子商務資訊保安保障總體架構，為電子商務所涉及的資訊保安技術、資訊業務應用安全、資訊保安管理等方面安全要求的實施提供指導。從需求分析、方案設計、安全評估、執行等方面對資訊保安建設實施給予指導。

　　2.1.1業務應用安全業務應用安全是指在物理安全、網路安全等安全環境的支援下，實現業務應用的安全目標，主要涉及到伺服器端與客戶端相應的安全服務。

　　***1***伺服器端的交易服務、資料服務、Web服務、檔案服務等部件及其安全方面的屬性要求。交易服務及其安全屬性要求，為了使電子交易安全可靠，必須建立一個安全、便捷的電子商務應用環境，保證整個電子商務交易活動中資訊的安全性、匿名性和完整性，交易資訊服務提供了安全、可靠的電子交易線上/離線運算。資料服務及其安全屬性要求，區域網中的一臺或多臺計算機及其資料庫管理系統軟體共同構成了資料庫服務，資料庫服務為客戶應用提供服務。這些服務是查詢、更新、事務管理、索引、快取記憶體、查詢優化、安全及多使用者存取控制等。通過傳輸層和應用層安全協議、電子簽名、標識與鑑別、密碼技術、抗抵賴、內容安全、訪問控制和PKI等實現安全防護。Web服務及其安全屬性要求，Web服務主要功能是提供資訊傳輸與交換服務。主要解決網路通訊和資訊交換過程中的訪問控制、實體鑑別以及傳輸過程中的資訊機密性、完整性問題。檔案服務及其安全屬性要求，在計算機網路中，以檔案資料共享為目標，需要將多臺計算機共享的檔案存放於一臺計算機中。這臺計算機被稱為檔案伺服器，檔案伺服器具有分時系統管理的全部功能，能夠對全網統一管理，能夠提供網路使用者訪問檔案、目錄的併發控制和安全保密措施。

　　***2***客戶端的應用程式模型分類和安全方面的屬性要求。客戶端的應用程式模型大致分為兩種：C/S***客戶端/伺服器模型***和B/S***瀏覽器/伺服器模型***。客戶端的安全性主要是指應用層次的安全性，主要通過使用者許可權、角色分配來實現。對於客戶端應用程式來說，通常需要通過公共金鑰基礎設施***PKI***為應用提供可靠的安全服務。

　　2.1.2資訊保安建設實施電子商務資訊保安建設流程可劃分為6個階段:風險評估、需求分析、方案設計、測試、系統安裝除錯、正式執行等。

　　***1***風險評估。運用風險評估方法計算企業整體的資產價值、弱點、威脅發生的機率及可能造成的影響等。評估時應考慮下面的因素：①資訊保安可能造成的商業損失，並把損失的潛在後果也考慮進來。②在極為普遍的危害和採取的相應措施的作用下，故障實際發生的可能性。

　　***2***需求分析。在專案的計劃階段，專案需求部門應與專案建設部門共同討論資訊系統的安全需求，明確重要的安全需求點，安全需求分析應該作為專案需求分析報告的組成部分。①專案需求部門與專案建設部門應對系統進行風險分析，考慮業務處理流程中的技術控制要求、業務系統及其相關線上系統執行過程中的安全控制要求，在滿足相關法律、法規、技術規範和標準等的約束下，確定系統的安全需求。②對系統安全應遵循適度保護的原則，需在滿足以下基本要求的前提下，實施與業務安全等級相符合的安全機制：通過必要的技術手段建立適當的安全管控機制，保證資料資訊在處理、儲存和傳輸過程中的完整性和安全性，防止資料資訊被非法使用、篡改和複製。實施必要的資料備份和恢復控制。實施有效的使用者和密碼管理，能對不同級別的使用者進行有限授權，防止非法使用者的侵入和破壞。③系統的安全需求及其分析需經過專案組內部充分討論，專案需求方和專案建設方應對安全需求及其分析的理解達成一致。

　　***3***方案設計。專案建設部門應根據確定的安全需求設計系統安全技術方案，應滿足以下要求：系統安全技術方案要滿足所有安全需求，並符合公安部、工信部和主管部門的法規和標準要求。系統安全技術方案應至少包括網路安全設計、作業系統和資料庫安全、應用軟體安全設計等部分。系統安全技術方案涉及採用的安全產品，應符合國家有關法律法規。

　　***4***測試。①資訊系統安全功能測試在資訊系統測試階段，應根據資訊系統安全功能需求進行測試，確保所有設計的安全功能均能得到落實和實現。在測試報告或相關文件中應明確說明檢查列表中各項安全功能的落實和實現情況。②測試過程的安全管理在資訊系統開發測試過程中，對於來自業務系統的資料要根據相關規定進行變形處理，禁止在開發或測試環境中直接使用生產系統的金鑰和使用者密碼等重要資料。測試環境要依據相關規定進行合適的管理和安全防護，並通過相應的手段確保與生產系統、開發系統隔離。

　　***5***系統安裝除錯。在資訊系統安裝部署時，應採取相應措施確保系統安全功能的實現，對作業系統、資料庫、應用系統等軟體的安裝部署和配置應該符合相應的安全規範和標準。資訊系統投產前應進行安全評估或審查，通過審查系統設計文件中的安全功能設計、系統測試文件中的安全功能測試，確保系統本身安全功能的實現。通過稽核系統安裝與配置過程或文件，確保系統安全配置的落實與實現。

　　***6***正式執行。系統投入正式執行後，需清除系統中各種臨時資料，進行管理權交接，開發方不得隨意更改安全策略和系統配置。

　　2.2電子商務平臺安全管理標準

　　通過總結現有電子商務交易過程中遇到的安全問題，經過提煉和深化，系統規定電子商務交易平臺安全管理型別，如使用者安全管理、交易安全管理、資訊保安管理、管理安全規範等的系統規定。

　　***1***使用者安全管理：主要對電商企業賬戶體系的安全和使用者資訊的安全管理進行規範;對使用者註冊、使用者資訊的使用、使用者隱私保護、使用者釋出資訊的管理提供保護措施。

　　***2***交易安全管理：主要對電商企業在交易過程中遇到的如商品質量問題、物流安全問題、交易欺詐問題、評價體系等進行規定;以保障消費者權益，建立健全的網上交易信譽體系。

　　***3***資訊保安管理：重點對電商企業在資訊的釋出、傳輸、管理、儲存、控制等進行規定。

　　***4***管理安全規範：重點對電商企業在安全管理中的人員配備、工作流設定、管理制度上做規定。

　　範文二：供電企業資訊保安論文

　　1電力行業資訊保安合規管控遇到的難題和挑戰

　　***1***檢查單位多、標準不一目前，供電企業經常面臨著諸如安全等級保護、IT治理、安全督查、一體化風險評估、入網安評等合規標準的檢查和執行問題。以上檢查標準的關注點、執行單位、檢查要求各不相同。

　　***2***檢查手段、結果重複每年國家、行業或上級單位會定期下發相關檢查要求，並通過現場檢查、遠端掃描、配置核查、滲透測試等手段對供電企業進行合規性安全檢查，檢查內容和結果容易存在一定的重複性，建立和整合統一風險庫也存在一定難度。

　　***3***安全合規工作繁重供電企業安全人員在執行安全合規工作的過程中，不可避免地要在每次合規檢查中面臨自查、加固、迎檢、整改、複查等一系列工作，當此系列工作在一定時間內重複出現的時候，合規管控工作將變得繁重且效率不高。

　　***4***相關人員協調難度大資訊保安管控工作往往跨越多個部門，橫向溝通成本較大、難度也高。最常見的問題就是實施方和相關配合人員因關注點不同而導致的工作分歧，若合規檢查時需要相關部門及人員多次重複性工作，往往導致人員情緒牴觸並影響工作效率。

　　2多標準合規管控概念的提出

　　針對以上資訊保安合規管控工作中遇到的難題和挑戰，本文提出了多標準合規管控的概念，試圖通過對各個合規標準進行研究和學習，探尋一條可以減輕合規管控過程中工作量繁重、重複的道路，研究一套把多個合規標準整合和統一的方法論。多標準合規管控，就是以現有的資訊保安等級保護、IT治理、安全督查、一體化風險評估、入網安評、安全基線等標準為理論和參照基礎，通過進一步的比對梳理、分析、加工和整合，形成一個更具體的安全執行標準庫，覆蓋目前所有的檢查要求，是所有檢查標準的最大並集，利用此執行標準指導資訊保安的合規管控工作，爭取達到一次配置滿足多個標準的目的。

　　3多標準合規管控體系建立

　　本文以資訊保安等級保護、IT治理、安全督查、一體化風險評估、入網安評、安全基線等標準為理論和參照基礎，闡述多標準合規管控體系的建立過程。建立PDCA過程指導思想：通過對現有各個合規標準的體系檔案、測評要求、規範標準進行對比、分析、梳理和整合，製作出多標準合規管控體系的相關元件文件，具體包括體系檔案、配置方法、規範標準。主要研究步驟如下：

　　***1***理解各資訊保安檢查的要求、目的和目標

　　①安全等級保護資訊保安等級保護是指對國家祕密資訊、法人和其他組織及公民的專有資訊以及公開資訊和儲存、傳輸、處理這些資訊的資訊系統分等級實行安全保護，對資訊系統中使用的資訊保安產品實行按等級管理，對資訊系統中發生的資訊保安事件分等級響應、處置。

　　②IT治理IT治理是企業治理在資訊時代的重要發展，用於描述企業或政府是否採用有效的機制，使得IT的應用能夠完成組織賦予它的使命，同時平衡資訊科技與過程的風險、確保實現組織的戰略目標。

　　③安全督查資訊保安督查是供電企業根據國家資訊保安管理體系要求、結合供電企業資訊科技監督規範的要求建立的日常工作機制，負責各單位的資訊保安技術指導、監督、檢查、督促改進等工作。

　　④入網安評為保障資訊系統的正常執行，需加強系統及裝置入網管理，規範新裝置入網前的相關活動並進行安全評測，保障每一臺入網裝置都符合企業安全規範要求，不會給現有網路帶來新的安全隱患。

　　***2***對各合規標準進行對比分析，找出異同點通過仔細的分析對比，找出各合規標準要求項的差異並進行標註，研究差異的原因，探討差異點存在的價值。由於企業安全基線經過多年的實踐和修正，具有較高的規範性和實操價值，符合供電企業的IT現狀，故以安全基線文件為底板進行增刪減優化操作。

　　***3***整合和梳理各合規標準，形成備查項將各合規標準整合到統一文件表格中，並以安全基線、等級保護測評要求文件為主要參照物，對其他合規要求進行梳理和排序。通過不同標準檔案對相同控制點的不同描述進行再加工，整合出一個覆蓋各個標準要求的執行標準。此步驟不僅方便標準集合的製作，也保留了各個標準要求的原貌，方便日後查閱檢索。下表示例說明某個資訊保安控制點執行標準集合：

　　***4***整合多個合規標準，形成具體執行標準要求通過上一步驟對統一文件產生的執行標準集合進行提煉和整合，排序形成涵蓋多個合規標準的具體執行規範文件。

　　4多標準合規管控設計重點難點分析

　　***1***設計過程考慮最小和最大安全保障問題資訊系統安全基線是一個資訊系統的最小安全保證，即該資訊系統最基本需要滿足的安全要求;而資訊保安執行標準在某一個程度上是一個資訊系統的最大安全保證，即資訊保安執行標準已經覆蓋了合規管控的多個標準要求。如何在最小安全保證和最大安全保證之間進行取捨與平衡，是企業面臨的首要問題。本文建議解決辦法是保留各個標準的要求文件，供執行人員備查，在實際執行過程中根據系統級別進行相應的取捨。

　　***2***設計過程考慮結果文件的來源問題資訊保安執行標準是一個實踐性文件，在實踐的過程中難免會存在疑問和顧慮，如何快速並準確地定位到配置要求的來源和依據是面臨的第二個問題。由於短期無法一次性創造一個安全合規體系，只能先對多個標準體系進行整合和梳理，因此建議保留初始合規標準的原型，在執行人員出現疑問的時候能夠找到相關的依據。

　　5結語

　　本文以多年的供電企業資訊保安合規管控執行工作實踐為基礎，對資訊保安多標準合規管控體系的研究與實踐進行了初步探討，也充分認識到多標準合規管控執行過程中存在的問題和難點，將結合資訊保安要求及技術發展不斷評審、完善，逐步體現該體系的實用性和執行價值，為資訊保安合規管控工作提供一定的指導和參考作用。