1 概述

　　隨著(zhù)信息化新技術(shù)在電網(wǎng)中廣泛的使用，智能終端的接入數量和接入方式不斷增多，在給用戶(hù)帶來(lái)便利的同時(shí)，也引入了大量安全風(fēng)險和新的挑戰，工控系統面臨的網(wǎng)絡(luò )安全威脅和風(fēng)險也日益突出，所以開(kāi)展智能電網(wǎng)環(huán)境下，工控系統信息安全防護研究迫在眉睫。

　　2 系統簡(jiǎn)介

　　用電信息采集智能終端和配電自動(dòng)化終端在系統組成上基本一致，典型的電力配用電智能設備的組成從結構上可分為三層：物理層、系統層、業(yè)務(wù)層。

　　終端設備一般由相關(guān)的物理硬件及其配套的軟件構成，軟件部分可分為系統層和業(yè)務(wù)層兩個(gè)層次。配用電智能設備的安全運行必須保障這些主要組成部分的安全性，一旦某一層次出現安全問(wèn)題，都會(huì )造成整個(gè)設備運行出現異常。

　　3 安全威脅分析

　　智能電網(wǎng)重要特點(diǎn)就是要求計算設備隨時(shí)聯(lián)網(wǎng)，網(wǎng)絡(luò )化使得攻擊者可以隨時(shí)發(fā)起攻擊;另外一方面，隨著(zhù)集成電路等工業(yè)技術(shù)的提高，嵌入式系統越來(lái)越智能化，這也給攻擊者植入病毒、木馬帶來(lái)了便利。近年來(lái)，在國內外由于嵌入式系統造成的電力系統事故屢有發(fā)生，比如有著(zhù)名的伊朗Stuxnet震網(wǎng)病毒事件，該病毒專(zhuān)門(mén)針對PLC設備攻擊，通過(guò)修改PLC來(lái)改變工業(yè)生產(chǎn)控制系統的行為，一度導致伊朗核電站推遲發(fā)電。

　　下面分別對物理層、系統層、業(yè)務(wù)層進(jìn)行說(shuō)明。

　　3.1 物理層

　　物理層提供了系統運行的物理環(huán)境，為上層業(yè)務(wù)功能的實(shí)現提供了直接計算環(huán)境，包括CPU、主板、存儲器、電源等，其一般MCU方式實(shí)現，在體系結構上主要以ARM為主，存儲器一般采用容量較小的FLASH。

　　1 引言

　　隨著(zhù)醫院的發(fā)展和信息化的進(jìn)步，信息系統滲透到醫院的各個(gè)角落。醫院的醫療業(yè)務(wù)、教學(xué)、研究對信息系統的依賴(lài)性是不容置疑的。醫院的信息安全不僅是保證醫院有效秩序的前提 ，還是保障醫院的財務(wù)管理等方面巨大的支撐，并且安全的醫療信息數據才能夠有效地提高病人的治療效果、維護病人的權益。因此加強管理和監控，加強醫院有關(guān)信息安全系統方面的建設 ，是醫院良好有序發(fā)展的前提以及客觀(guān)要求[1]。因此對信息安全的認識從方方面面都得到了前所未有的重視。作為走在信息安全研究前列的大國，美、俄、日等國家都已制定自己的信息安全發(fā)展戰略和計劃，確保信息安全沿著(zhù)正確的方向發(fā)展。2000年初美國出臺了電腦空間安全計劃，旨在加強關(guān)鍵基礎設施、計算機系統網(wǎng)絡(luò )免受威脅的防御能力。2000年7月日本信息技術(shù)戰略本部及信息安全會(huì )擬定了信息安全指導方針。2000年9月俄羅斯批準了《國家信息安全構想》，明確了保護信息安全的措施。

　　我國對信息安全研究起步較晚，目前已初步建成了國家信息安全組織保障體系[2]。我國在1994年頒布了《中華人民共和國計算機信息系統安全保護條例》。在以后的十幾年中，國家又出臺了多個(gè)法律、法規，對信息安全等級保護的具體內容、職責和工作方法做了具體的規定。在2007年公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室出臺了《信息安全等級保護管理辦法》。首都醫科大學(xué)附屬醫院北京婦產(chǎn)醫院(以下簡(jiǎn)稱(chēng)“北京婦產(chǎn)醫院”)正是借著(zhù)《信息安全等級保護管理辦法》的實(shí)行，促進(jìn)了院信息安全工作的發(fā)展，提高了信息安全的水平。從2007年到今天，院信息安全等級保護工作已經(jīng)走到了第十個(gè)年頭。這十年信息安全建設大約分為兩個(gè)階段。

　　摘 要：管理信息系統的發(fā)展，是計算機信息技術(shù)發(fā)展的集中體現，推動(dòng)了現代社會(huì )的發(fā)展，但管理信息系統存在的安全隱患，也成為其優(yōu)化服務(wù)，創(chuàng )新性發(fā)展的重要制約因素。筆者針對管理信息系統的安全隱患，闡述了相應的幾點(diǎn)應對策略，強化對管理信息系統的安全構建。

　　關(guān)鍵詞： 管理信息系統;安全隱患;應對策略

　　在計算機信息技術(shù)快速發(fā)展的大背景之下，信息時(shí)代的到來(lái)，正轉變著(zhù)人類(lèi)生存生活的方式。當前，管理信息系統的應用日益廣泛，各行各業(yè)對其的依賴(lài)度越來(lái)越高，在享受其帶來(lái)的便捷與高效的過(guò)程中，管理信息系統的安全隱患問(wèn)題卻日益突顯，其安全問(wèn)題的出現，影響了管理信息系統的正常運行。因此，認清并分析管理信息系統存在的.安全隱患及安全管理存在的不足，有針對性的采取保護措施，是提高管理信息系統安全運行的有力保障。

　　1 信息系統安全體系結構

　　提供安全服務(wù)和管理機制，是信息系統安全體系結構的重要出發(fā)點(diǎn)。安全系統不僅僅是基于安全做出描述，而且對系統安全的整體性進(jìn)行歸納。對于信息系統安全而言，其主要包括兩個(gè)方面的內容：一是信息安全保護;二是信息系統安全。

　　1.1 信息安全保護

　　在信息安全保護方面，強調信息的完整性、安全性、保密性和可控性。

　　1.2 系統安全

　　信息安全主要體現在運行方面，強調系統運行的過(guò)程中，能夠提供有效的信息服務(wù)。而對于信息系統安全體系，在筆者看來(lái)，需要從五個(gè)從面進(jìn)行闡述與分析，計算機信息系統安全體系結構。

　　PLC雖然有著(zhù)它固有的優(yōu)勢，但面對客戶(hù)需求的不斷變化，PLC要想生存，就必須突破傳統模式，積極求新求變以適應新的市場(chǎng)發(fā)展，畢竟任何產(chǎn)品存在的根本都取決于用戶(hù)和市場(chǎng)的需求。

　　而具有低成本優(yōu)勢的嵌入式PLC，正好能夠滿(mǎn)足這一需求，未來(lái)，智能化的嵌入式PLC勢必會(huì )更多地蠶食傳統PLC產(chǎn)品市場(chǎng)。

　　目前市場(chǎng)上的嵌入式PLC的發(fā)展呈現多元化發(fā)展，國內外企業(yè)均有很好的表現。例如德國赫優(yōu)訊是一家以現場(chǎng)總線(xiàn)技術(shù)和芯片、模塊為主業(yè)的科技企業(yè)，極有發(fā)展活力。

　　他們推出的將現場(chǎng)總線(xiàn)技術(shù)和PLC技術(shù)結合的net PLC很有特色。國內幾年前就有華中科技大學(xué)在EASYCORE1.00核心芯片組中加載了嵌入式PLC系統軟件，作為硬件平臺，開(kāi)發(fā)了多模入通道的嵌入式PLC。

　　還有一種發(fā)展路徑是以開(kāi)發(fā)PLC與人機界面相結合的硬件/軟件一體化為目標的平臺，充分利用CASE(計算機輔助軟件工程)工具，結合各類(lèi)嵌入式芯片的開(kāi)發(fā)平臺和各種輸入/輸出通道的硬件電路庫，專(zhuān)為機電設備開(kāi)發(fā)客制化、具有ODM性質(zhì)的專(zhuān)用PLC。

　　一、嵌入式新型PLC的架構

　　目前，嵌入式自動(dòng)生成技術(shù)面臨著(zhù)諸多挑戰。在嵌入式軟件設計技術(shù)方面，主要表現在以下幾個(gè)方面：嵌入式系統越來(lái)越多采用SOC，帶來(lái)深度嵌入設計，平臺化需要硬件同步設計。構件化需要研究適應嵌入式計算特征的構件表達和組合，解決異構嵌入式構件的可組合性分析以及構件組合與驗證等系統構造問(wèn)題。

　　當今世界正處于信息化的浪潮之中。中國也正在大力發(fā)展信息產(chǎn)業(yè)，廣泛深入地利用信息技術(shù)。在這樣的大背景下，信息安全就成為了保障國家安全和社會(huì )經(jīng)濟穩定發(fā)展的重要基石。鑄就國家信息安全的鋼鐵長(cháng)城需要更多擁有扎實(shí)理論基礎和高超技術(shù)本領(lǐng)的建設者，而培養這些高素質(zhì)人才的歷史責任就落到了我國信息安全領(lǐng)域的教育和科研工作者肩上。

　　我本人長(cháng)期從事信息安全專(zhuān)業(yè)研究生教育，也開(kāi)設過(guò)多門(mén)信息安全專(zhuān)業(yè)課程，如“信息安全體系結構”、“計算機通信網(wǎng)絡(luò )安全”、“現代密碼學(xué)”，等。本文主要從信息安全專(zhuān)業(yè)研究生教育的角度談?wù)勎覀�(gè)人的一些體會(huì )和看法。

　　1信息安全專(zhuān)業(yè)研究生教育面臨“二次教育”

　　信息安全專(zhuān)業(yè)的研究生來(lái)自各個(gè)專(zhuān)業(yè)，知識背景、知識結構都大不一樣，一定要因材施教，進(jìn)行“二次教育”�！岸�次教育”的目的是要充分利用學(xué)生前期教育的知識背景，找到他們的知識儲備在信息安全領(lǐng)域的切入點(diǎn)，選擇適合每個(gè)學(xué)生的研究方向，使他們既能獲得全面系統的信息安全專(zhuān)業(yè)知識又能發(fā)揮他們所長(cháng)。

　　根據我們歷年來(lái)的信息安全專(zhuān)業(yè)研究生培養情況來(lái)看，這一專(zhuān)業(yè)的研究生主要來(lái)自計算機、通信、數學(xué)等專(zhuān)業(yè)，近幾年也逐漸出現了本科就讀信息安全專(zhuān)業(yè)的學(xué)生。

　　來(lái)自計算機、通信等工程類(lèi)專(zhuān)業(yè)的學(xué)生通常對互聯(lián)網(wǎng)技術(shù)、通信技術(shù)以及計算機軟硬件知識都有較為全面的了解，動(dòng)手能力較強，但大部分學(xué)生對信息安全專(zhuān)業(yè)所必需的密碼學(xué)、安全協(xié)議等方面的知識知之甚少，甚至完全是一片空白。針對這樣的情況，我們重點(diǎn)加強了這些學(xué)生在理論知識方面的教育培養，要求他們在選擇研究生專(zhuān)業(yè)基礎課時(shí)必須在理論課程中有一定數量和寬度的涉獵。同時(shí)指導學(xué)生閱讀學(xué)習信息安全相關(guān)理論知識的經(jīng)典教材或著(zhù)作，培養他們在理論學(xué)習上的興趣，實(shí)現課堂教育與學(xué)生自學(xué)的有機結合、互相助益。

　　在現代化辦公過(guò)程中，常常需要對相應的辦公文件信息進(jìn)行必要的安全保護，如果使用比較專(zhuān)業(yè)的安全保護措施，對于大部分的辦公人員難以掌握，本文將從日常的現代化辦公工作入手，探討適用于普通辦公人員對辦公信息的安全保護策略，使辦公信息安全保護在現代化辦公工作中成為一種簡(jiǎn)單易行的工作過(guò)程。

　　在日常生活中，經(jīng)常會(huì )使用不同種類(lèi)的辦公文件，而根據辦公文件的性質(zhì)不同又分為普通級和保密級。對于普通級的文件，其安全系數基本上可以忽略不計，但對于保密級的文件，如何對文件進(jìn)行必要的加密便成為日常辦公過(guò)程中需要考慮和實(shí)施的問(wèn)題。

　　在對辦公文件的安全保護措施中，不乏有許許多多的方法策略，有專(zhuān)家級別的，有普通級別的，有專(zhuān)屬級別的，也有適合大眾級別的，……。為了針對大多數普通的用戶(hù)，讓安全保護策略更適合普通辦公人員，我們將探討日常辦公文件的安全保護。對日常辦公文件的安全保護主要是對辦公文件的偽裝及其加密。接下來(lái)就對具體的實(shí)施方案進(jìn)行一一講解。

　　一、“障眼法”

　　所謂的“障眼法”，包含兩方面的含義，一是讓文件的內容得以隱藏，二是讓整個(gè)文件得以隱藏。

　　首先探討“文件內容隱藏”的情況。眾所周知，要看見(jiàn)白紙上的字，那是因為字的顏色和紙的顏色形成了對比，如果字的顏色和紙的顏色被設置為一種顏色，就可以暫時(shí)隱藏文件中的內容了。比如，在word軟件中編寫(xiě)了相關(guān)的內容，在編寫(xiě)完畢后，將所編寫(xiě)的內容的顏色設置為紙張的顏色，并將語(yǔ)法錯誤檢測、段落標記顯示等功能去除，并將光標至于紙張的第一行第一列，然后保存文件。再次打開(kāi)文件的時(shí)候，如果不太留意，則會(huì )誤認為這是一份空白文檔，以達到隱藏的效果，其實(shí)施的效果如圖1所示。該方法不足之處在與，雖然隱藏了文字信息，但是對于有經(jīng)驗的操作人員來(lái)說(shuō)，可以通過(guò)文件的大小來(lái)辨別是否包含有文字信息。

　　本文是一篇項目管理論文，本文以YD信息安全公司項目管理人員作為研究對象進(jìn)行了勝任力要素的篩選和選擇。因此，本文勝任力模型適用于YD信息安全公司項目管理人員。該模型是否適合用于YD信息安全公司其他職能部門(mén)管理人員、是否適合用于其他信息網(wǎng)絡(luò )公司項目管理人員，需要根據實(shí)際情況做出判斷。

　　第1章緒論

　　1.1研究背景

　　21世紀是充滿(mǎn)競爭與變革的時(shí)代，隨著(zhù)技術(shù)型產(chǎn)業(yè)的曬起，信息安全變得越發(fā)重要，行業(yè)的蓬勃發(fā)展使得企業(yè)間的競爭加劇，這使得YD信息安全公司必須通過(guò)調整自身現有資源來(lái)提高經(jīng)營(yíng)水平以應對這種復雜的經(jīng)營(yíng)環(huán)境。對于企業(yè)來(lái)說(shuō)，主要優(yōu)勢的獲得，在不斷獲得技術(shù)突破的同時(shí)，人起到的作用也不能忽視。目前YD公司的組織架構基本是扁平的，其中包含部門(mén)有科技服務(wù)事業(yè)部、行政人事部、財務(wù)中心 、營(yíng)銷(xiāo)事業(yè)部、研發(fā)事業(yè)部、工控檢測與安全服務(wù)事業(yè)部、互聯(lián)網(wǎng)事業(yè)部和經(jīng)營(yíng)物采部。該企業(yè)擁有數百名從業(yè)人員，平均年齡約30歲，為一支充滿(mǎn)年輕力的團隊。管理人員比例為17.67%；技術(shù)開(kāi)發(fā)人員比例為49.03%；技術(shù)支持與售后服務(wù)人員12.7%；生產(chǎn)人員比例為13.7%；銷(xiāo)售人員比例為6.9%。該企業(yè)技術(shù)人員占比很大，技術(shù)人員和研發(fā)項目對于信息網(wǎng)絡(luò )企業(yè)來(lái)說(shuō)便是主要優(yōu)勢，因此就該公司來(lái)說(shuō)，對技術(shù)人員和項目的充分合理地運用就顯得尤為重要，這實(shí)質(zhì)上就需要項目主管的個(gè)人技能到達很高的等級。項目管理人員作為聯(lián)系技術(shù)人貫和企業(yè)高層的紐帶，其領(lǐng)導能力和任務(wù)完成能力是關(guān)鍵。項目負責人擁有知識、技能、素質(zhì)對項目是否成功有關(guān)鍵性的作用，他們能夠確定公司在市場(chǎng)上可以達到的高度。對人才的把握，在21世紀的今天關(guān)乎企業(yè)的生存，只有有效、長(cháng)久的留住優(yōu)秀人才，才能較為有效的減少公司的損失。

　　1計算機網(wǎng)絡(luò )信息安全管理的重要性

　　在人們的日常生活工作中，計算機網(wǎng)絡(luò )都發(fā)揮著(zhù)極其重要的作用。但隨著(zhù)人們對于計算機網(wǎng)絡(luò )的依賴(lài)程度日益加深，其安全性便成為了一個(gè)亟待重視的問(wèn)題。計算機網(wǎng)絡(luò )實(shí)質(zhì)上是一個(gè)虛擬的信息平臺，隨著(zhù)人們利用程度的日益深度化，在計算機網(wǎng)絡(luò )上暴露出來(lái)的個(gè)人信息也將越來(lái)越多，很多不法分子常常通過(guò)對個(gè)人信息的竊取和盜用而進(jìn)行犯罪行為，眾多網(wǎng)絡(luò )騙局也就應運而生。因此需要重視計算機網(wǎng)絡(luò )信息安全管理的重要性，根據不同情境制定相應的安全防護策略，保障網(wǎng)絡(luò )信息的安全性，構建穩定和安全的和諧社會(huì )。

　　2計算機網(wǎng)絡(luò )信息安全問(wèn)題

　　2.1計算機系統自身問(wèn)題

　　就計算機系統而言，一方面在理論意義上不存在任何完美的計算機系統，但凡是程序員編寫(xiě)的系統，一定會(huì )有漏洞。這種漏洞可以稱(chēng)之為自然漏洞，這種漏洞彼此之間的區別只在于其大小以及被發(fā)現的難易程度。另一方面程序員在編寫(xiě)程序的過(guò)程中也會(huì )出現失誤，從而產(chǎn)生更多的漏洞，這種漏洞稱(chēng)之為人為漏洞，受到程序員自身的專(zhuān)業(yè)水平影響。漏洞本身并不影響用戶(hù)的使用以及網(wǎng)絡(luò )信息安全，但是一旦被不法分子利用，就會(huì )造成損失。

　　2.2計算機病毒

　　計算機病毒是最普遍的計算機網(wǎng)絡(luò )信息安全問(wèn)題，其主要特征表現為傳染性、隱蔽性、破壞性等。通常病毒的傳播途徑是瀏覽不安全的網(wǎng)頁(yè)、接收不明身份的數據、U盤(pán)攜帶等。病毒的本質(zhì)是一種程序，它的.危害性在于會(huì )一步一步破壞用戶(hù)的計算機系統，最終導致計算機系統崩潰，影響用戶(hù)的正常使用。

　　1、 電子信息產(chǎn)品數據安全隱患問(wèn)題

　　事實(shí)上，電子信息產(chǎn)品的應用范圍是非常廣的，其數量品種非常多，所以，電子信息產(chǎn)品的數據安全隱患存在較大的差異。但對這些數據安全隱患進(jìn)行一番分析可發(fā)現，這些隱患主要可歸為以下 5 類(lèi)：①電腦硬盤(pán)的數據安全隱患。在數據存儲中，電腦硬盤(pán)這種存儲方式是非常普遍的，由于種種限制，數據容易出現安全隱患。在所有電子信息產(chǎn)品中，硬盤(pán)的使用率非常高，如不注意進(jìn)行安全防范，就很可能中毒，導致存儲文件受到破壞。②移動(dòng)存儲的數據安全隱患。

　　移動(dòng)存儲器包括的類(lèi)型非常多，不僅包括移動(dòng)硬盤(pán)和 U 盤(pán)，還包括內存卡和磁帶等。通過(guò)對這些移動(dòng)存儲器進(jìn)行分析，發(fā)現它們的體積往往較小，但是其容量較大，所以它們在電子信息產(chǎn)品中的應用也極其廣。移動(dòng)存儲器中的數據安全問(wèn)題是一個(gè)需要予以重視的問(wèn)題。③電子設備內部存儲器的數據安全隱患。在電子設備的內部也有存儲器，人們往往不會(huì )重視這類(lèi)數據安全隱患，所以也容易出現安全問(wèn)題。④網(wǎng)絡(luò )中的數據安全隱患。當計算機越來(lái)越普及時(shí)，電腦的使用頻次逐漸增加，如果不加強對個(gè)人信息的.安全保護，違法事件的出現就不足為奇了。網(wǎng)絡(luò )資源在共享的同時(shí)，無(wú)疑也會(huì )增加信息泄露的風(fēng)險。⑤數據庫的安全隱患。數據庫的安全不是絕對的，在數據庫中存在一系列的安全問(wèn)題。圖 1 為復雜業(yè)務(wù)環(huán)境下數據庫的安全隱患。

　　2、電子信息產(chǎn)品數據安全問(wèn)題防范措施。

　　2.1 數據常備份，防患于未然。

　　摘 要：隨著(zhù)科技信息化腳步的加快，企業(yè)電力信息化的模式已初步形成，隨著(zhù)人們對電力信息的需求不斷增大，對于提高電力信息內網(wǎng)安全水平也越來(lái)越高，本文主要提出了電力信息內網(wǎng)所存在的安全隱患和如何提高電力信息內網(wǎng)的安全措施，希望能夠促進(jìn)電力信息內網(wǎng)安全水平的提高，建設一個(gè)電力信息化的社會(huì )。

　　關(guān)鍵詞：電力信息內網(wǎng) 信息安全 安全措施

　　隨著(zhù)我國電力信息系統技術(shù)的不斷進(jìn)步，電力信息內網(wǎng)已經(jīng)成為企業(yè)發(fā)展必不可少的應用手段，這就要全電力信息內網(wǎng)的安全性要絕對可靠，企業(yè)電力信息系統主要是利用計算機進(jìn)行管理和經(jīng)營(yíng)來(lái)進(jìn)行工作的，電力信息內網(wǎng)的安全對于整個(gè)電力體統起著(zhù)關(guān)鍵性的作用，所以電力信息內網(wǎng)的安全已經(jīng)成為人們越來(lái)越關(guān)注的問(wèn)題。為了保證電力信息內網(wǎng)的安全，必須提出相應的安全措施來(lái)應對存在的安全隱患，提高電力信息內網(wǎng)的安全防護，建立高水平的電力信息內網(wǎng)安全系統。

　　1 電力信息系統及組成系統

　　電力信息系統主要是通過(guò)計算機和數據庫通信網(wǎng)絡(luò )等設備對信息的數據進(jìn)行采集分析和存儲傳輸，電力信息系統主要包括生產(chǎn)控制體統、行政管理系統和市場(chǎng)營(yíng)銷(xiāo)系統。只有真正了解電力信息系統的內部結構，才能保證電力信息內網(wǎng)的安全性。

　　1.1 生產(chǎn)控制系統

　　電力信息系統的生產(chǎn)控制系統是為企業(yè)進(jìn)行電力生產(chǎn)的服務(wù)，主要的作用是對于微機安全自動(dòng)裝置的保護，通過(guò)電力之間的調度形成通信專(zhuān)網(wǎng)。電力信息的生產(chǎn)控制系統已經(jīng)實(shí)現了從傳統的到現場(chǎng)地點(diǎn)進(jìn)行操作控制到現代化的企業(yè)信息網(wǎng)絡(luò )化，生產(chǎn)系統的轉變與從前相比較具有很多優(yōu)勢，避免了電力信息生產(chǎn)的誤差，既提高了電力生產(chǎn)信息的效率，又保證了電力信息系統的完整性和真實(shí)性。