安全信息工程

安全信息工程（共12篇）

安全信息工程 篇1

近日,由成都市人民检察院技术处正处级检察官、高级工程师、中国建筑业协会智能建筑分会专家工作委员会信息网络专业组副组长张启浩编著的《信息系统安全集成》一书由中国建筑工业出版社出版发行。

《信息系统安全集成》一书是一部信息化、信息安全工程建设指导类书籍,该书全面论述和系统分析了计算机信息系统如何开展信息安全保护建设和实现信息安全目标,是一部将信息系统安全相关法律、法规、政策、保护制度、信息安全等级保护系列规范、涉及国家秘密信息系统分级保护建设规范、安全技术措施、安全管理措施融于一体的工程建设指导书,是一部理论与实践相结合的好书,对我国信息化和信息安全建设实践将发挥重要指导作用。与其他相关专业书刊内容相比,该书最显著的特点是:对贯穿于信息化系统建设过程各个环节的内容进行了全面论述,对信息化工程设计者、工程实施者都有指导意义。

该书共分六章,第一章信息安全概述,第二章信息安全集成准备,第三章信息系统安全方案设计,第四章安全设备测试,第五章工程实施,第六章信息安全管理。该书从信息安全相关法律、法规,到等级保护、分级保护规范标准;从信息安全的需求分析、方案设计,到工程施工组织管理、系统测试、质量控制;从技术保护措施,到安全管理保障措施,全面系统分析了信息系统安全建设工作涉及的方方面面。

习近平总书记指出:“没有网络安全就没有国家安全,没有信息化就没有现代化”,总书记这句话高度概括和揭示了信息安全和信息化的重要性和战略意义。该书的出版发行,对贯彻落实习总书记的这一思想具有重要作用。

安全信息工程 篇2

第一，信息的安全具有着全面性的特点。对于信息各个方面的安全的问题，就必须要进行全方面的综合性的考虑，并且在系统当中的安全程度也对系统中最薄弱的环节有着非常重要和决定性的作用。第二，信息的安全周期性。一个比较完整的安全过程中就必须要包括安全的目标以及对原则的确定、风险的分析、需求的分析、安全策略的深入研究、安全体系结构的研究、安全实施领域的.确定、安全技术和产品的测试与选型、安全工程的施工、安全工程的实施监理、安全工程的测试与运行、安全意识的教育和技术培训还有安全稽查与检查以及应急的响应等多个方面，这是在一个实际的过程中，而一个具有完整性的信息安全工程的生命周期，就必须要经过对安全方面进行全方面的稽核和检查之后，才能逐渐的形成新一轮的生命周期，也是不断反复和上升螺旋式一个安全的模型。第三，信息的安全也具有着动态性。我国信息技术不断的发展的同时，的技术水平也在不断的提高，因此，安全策略和安全体系以及各方面安全技术就必须要进行全方面的调整，才能够在最大的程度上对安全系统进行促进，才能够根据实际情况的变化，来充分的发挥作用，从而就可以促使整个安全系统的发展，并且还能够一直处在一个不断更新和完善以及进步的实际动态的过程中。第四，信息的安全要具有层次性，就需要对多层次的安全技术和方法以及手段进行利用，对安全的风险进行分层次以及全方面的化解。第五，信息的安全也具有相对性。各方面安全是比较相对的，但是也没有绝对的安全可言，安全的措施应该和保护的信息以及网络系统的价值进行相应的结合。因此，信息安全工程进行实施保护的时候，要对风险严重的威胁以及防御措施的利弊和得失进行充分合理的平衡，在安全的级别和投资代理之间，找到一个比较合理能够使企业接受的一个平衡点。只有这样进行实际的施工，才能对信息安全进行有效的保证。

3信息安全工程涉及广泛领域

信息安全工程学，是具有着比较清晰研究范围，其中主要包括了信息安全工程的目标、原则与范围，信息安全风险的分析以及评估的方法和手段及流程，信息安全的需求主要的分析方法，安全的策略，安全体系的结构，安全实施的领域以及安全的相关解决方案。安全的技术和产品的测试以及选型的各个方面的方法，安全工程的实施规范，安全工程的实施监理方法和流程，安全工程的测试和运行，安全意识的教育与技术的培训，安全稽核和检查以及应急响应的技术和方法与流程等等。

表面工程信息服务平台安全策略 篇3

表面工程信息服务平台以基于web的B／S结构整合了专家系统、远程教育系统、价格系统、文献资源库等资源，服务表面工程界。对于任何一个网络平台而言，不安全是绝对的。安全是相对的。采用适合有效的安全策略。才能保证网络平台的正常运行。本文就该平台的安全策略的选择作一下阐述。

2平台运行环境

运行环境是平台安全策略的基本要素之一。除了平台所使用的服务器要稳定可靠之外。对网络接入服务提供商(ISP)也要高标准、严要求。

2.1服务器端配置

服务器端操作系统Windows 2000Server／Advance Server以上；

服务器端运行环境；Tomcat5.5；

系统开发工具：JavW/JSP；

数据库：SQL Server 2000。

2.2服务器端网络接入

专业电信级机房，共享100M带宽，10M独享更佳。要求99.99％网络连通率，7×24小时服务响应。

3平台安全策略

本平台的安全策略包括系统平台、应用平台、数据库平台、网站等四个方面。

3.1系统平台安全策略

对于系统平台的安全，主要考虑操作系统安全漏洞、恶意的黑客攻击、病毒攻击等方面的安全问题。通过采用C2安全级操作系统，提供用户身份认证、审计、授权、访问控制等功能，从而保障了整体电子商务业务系统平台的安全。

应用服务器产品及其升级自身必然会存在一些缺陷和漏洞。随着应用的逐渐深入，这些不足之处也会随着显露出来，这就要求我们及时跟踪这些产品的补丁信息，及时更新升级产品，防止利用产品自身漏洞进行非法攻击，增加我们整个应用系统的安全性。

3.2应用平台安全策略

对于应用系统安全，我们设计的策略是三个方面：身份认证、权限管理和应用攻击的防范。

应用系统安全是指应用系统本身在使用时的安全性，具体地说它包括两个方面：业务逻辑上的安全和应用系统的反攻击。业务逻辑上的安全是指业务程序和数据的使用权限(只有指定的人才可以接触到指定的程序与数据)和功能互斥(使用者可以排他性地控制特定数据)。应用系统的反攻击是指防止使用者利用系统中的漏洞非法使用应用系统。

在业务逻辑上的各个子系统和各个环节中，都要对用户的身份进行认证，使用加密算法对用户口令进行加密。以保证用户的合法性和口令的安全性。然后在此基础上，根据每个用户在应用系统中担当的不同角色，再对其权限进行管理，使不同级别的用户在应用系统中具有不同的功能权限，通过访问控制机制来控制用户的访问和操作。

对于用户的登录处理，均采用验证码及同一IP密码错误封锁机制，防止了密码暴力破解之可能，最大程度保证了数据的完整性、安全性。

3.3数据库平台安全策略

数据系统安全设计从数据库系统、数据传输和数据备份与恢复这三个方面来考虑的。

数据库系统安全设计采用两种策略，一种是安全级别和安全控制策略，包括用户标识和鉴别、存取控制(自主存取控制，强制存取控制)、视图机制、审计、数据加密等。

另一种策略是建立数据库灾害防范机制，包括采取各层次数据库异地备份机制。数据备份与恢复是保障数据系统安全的必要手段。通过建立数据恢复和容错处理机制，当系统数据出现问题的时候，把對数据的破坏减低到最小，并能够对损坏的数据进行恢复。

此外在数据传输方面，可采用数据加密机制对网络上传输的数据进行加密。

3.4网站的安全策略

3.4.1从技术层面来看，我们着重在以下几个方面进行改进和加强。

服务器系统：

服务器考虑使用技术手段，将电源，磁盘，各关键服务器内部配件部分设计为冗余和热插拔，防止单一配件和故障的发生影响所有网站系统，并且要解决故障件的方便在线更换维修。

网络层：

不能将外网网站服务器裸露在公网上，否则就暴露了服务器系统以及数据库的很多重要关键信息，所有的网络攻击和破解行为将直接面对服务器系统和数据本身。需要应用具备良好防护能力的防火墙设备将服务器系统隐藏，并且保障业务和应用的正常访问和运行。

应用层：

服务器系统和数据库系统，包括BSS等业务应用的代码系统本身的脆弱性和不健全，导致了有许多基于应用的漏洞可以被外网所破解侦测，因此在应用层上也需要设置针对应用层漏洞，包括病毒、木马的入侵感染行为防护的应用级网关设备，为整个网站系统把好应用访问的大门。网站前架设入侵防护系统，可以智能地识别绝大多数基于应用的攻击行为，保护了网络内部服务器系统的漏洞和数据库漏洞，对于网站内容篡改、数据窃取、密码盗窃、信息窃听等攻击行为可以起到很好的防护作用。并且可以智能地识别蠕虫、木马、病毒等多种危险程序的入侵和发作。

3.4.2数据的存储备份恢复

网站系统以及数据库系统，包括内部的各类程序、代码、文档和数据本身都可能遭到外网恶意攻击者的窃取、篡改、删除和破坏。因此所有的系统数据都需要有妥善、安全、方便的方法进行备份，以便发现情况时能够尽快、灵活地对所有网站进行恢复，以保障网站系统的健康和再生能力。

由此，从服务器性能，到网络层面安全隔离过滤，再到系统平台应用级的智能防护，网站和内部网络的整体安全将极大地提升数个层面，使得以往的各类来自于Internet的网络安全问题和各类风险隐患极大地降低甚至杜绝。

4结束语

安全信息工程的体系结构探讨 篇4

1 安全信息工程概述

我们所说的安全信息是指计算机信息系统安全, 国际上目前尚未有一致的公共定义。安全信息工程有很多制约规则, 但缺少整体框架。从计算机的系统形态和运行过程角度分类, 可分为实体安全、运行安全、数据安全和管理安全。从保护对象分析, 安全信息工程在基本处维护政府数据, 在更广泛处保护经融贸易、个人信息、合同以及网络等的数据安全。从安全信息工程涉及的领域来看, 交通、矿业、化工、环境和建筑等行业都存在着其身影。安全信息工程的发展不仅表现于横向的扩大, 还表现于纵向的加深。行业在开始阶段信息的攫取一般靠手工操作, 后来渐渐被机械化和电子化的信息技术取代, 随着技术的提高, 安全事故减少, 原先保障低的行业的死亡率在日益减少, 劳动者的生命得到了保护, 国家财政的效益也得到了提高。

2 安全信息工程的主要内容

2.1 安全策略

注重理论与实际的结合。策略的制定是为了提供一套行业服务准则, 根据该行业的安全需求来确定。一般的步骤是首先对生产现场进行数据采集, 然后进行硬件设施的建设, 接着数据集成, 接着实现软件分析与预算算法, 最后总结前面的不足, 实行软件的管理与编制, 使得管理信息、发布信息和保护信息有理可循。

2.2 安全内置

安全信息工程配有一套硬件设置。传感器是安全信息工程的检测和监控的基础, 其检测的信号经过变送器的作用转换为标准的信号。传感器奠定了基础, 网络的构架将信息工程的方方面面连接起来, 变成一个有条理清晰化的系统。安全信息工程的软件设置包括下位机的软件编程, 上位机的编程, 数据库的建立和保护。硬件设施的提高和软件的交互作用使信息安全的到信赖的保障。

2.3 安全服务

国际标准化组织确定了几种行之有效的安全服务, 包括身份鉴别、访问控制、数据完整、数据保密和防止否认。身份鉴别会采取一些高密措施或者双向鉴别;访问控制体现在细枝末节之处, 系统会对不同的客户设置不同的访问权限;数据完整是为了保障用户接收到真实的数据, 主要是防止数据篡改等;数据保密体现在对于未经授权的数据实行防止泄露的措施, 抵制窃取窃听等违法行为。防止否认是防止抵赖的一种要求, 要求接收双方都不能否认其发送或者接收了信息。

3 安全信息工程的体系结构

3.1 安全信息工程的体系框架

安全信息工程的体系框架拆分为:协议层次、安全特性和系统单元三个维度。协议层包括应用层、会话层、传输层、网络层、数据链路层、物理层, 可以满足不同层次的安全需求。安全特性是指计算机系统的安全服务和安全机制, 有审计管理等可靠可用的机制作用。系统单元包括计算机系统的各个组成部分, 笼统的分类可分为信息处理单元、通信网络、安全管理和物理环境。其体系框架并不是简单的二维关系, 安全需求和体系结构存在着共性, 需要三维坐标体现相互关系。

3.2 安全信息工程的管理系统

安全信息工程在现代生活中并没有完善的管理体系与监控系统。一个良好的管理系统要求支持多种信息安全策略, 使用户共享信息可以安全地在不同用操作平台操作;要求使用开放的系统, 将防火墙技术和病毒防护技术达到渐臻完善的地步;要求达到方便的公共资源的取舍, 将有限的公共资源扩大, 实现可用性的增加。技术层面的管理需要做好, 前进方向的指引同样不能懈怠。管理部门需要加强对信息安全工作的领导, 加强信息一体化建设, 在资金投入方面要用在刀刃上, 避免虚假的繁荣和实际的浪费现象。

4 信息安全工程的发展前景与方向

我国的信息与网络安全仍处于有系统漏洞的情况中, 实际操作缺乏完美的监控系统, 未来信息安全工程发展的方向应是在把握实际的基础上发挥人的主观能动性, 掌控全局, 站在安全体系整体的高度看待问题, 减少安控死角带来的经济损失。

有关部门应当提供一个整体的理论, 形成该行业具体的规章制度, 以支撑下一步的研究工作, 还要扩大人才资源, 使研究更加深入。国家十分重视信息安全工程的建设, 派发了可观的资金。国家分发的资金的使用要落到实处, 由于之前的资金在一个有安全漏洞的体系中被大量投放, 造成了一种实际上的浪费, 相关部门之后可以根据每一步的科研成果派资金, 等到体系成熟之后再进行大量的资金投入, 进行工程维护。

5 结束语

时代的经验告知我们, 信息技术的发展是重要的, 时代可以左右它, 它同样也可以影响时代。我们可以预知将来的信息技术还要继续革新下去, 所以现在仍然需要矢志不移地发展信息技术, 不盲目依赖于发达国家的科技, 学以致用, 创造出一套符合国情符合国民的安全信息工程。技术的最终目的是造福于人类, 去除它的框框架架曲曲折折, 其本真还是服务的原则。诚然, 现今的体系中是有不足, 但仍不能否认那些不断的进步, 虽然透过宏观层面, 资金的消耗不容小觑, 但克服那些系统漏洞之后, 资金会得到更加充分的使用。信息安全工程的发展前景良好, 其技术会日益成熟, 在未来社会中承担着更加重要的角色。

参考文献

[1]张勇, 朱鹏.安全信息工程的体系结构研究[J].中国安全生产科学技术, 2012, 08 (1) :168-172.

[2]李本喜, 姜伟.安全信息工程远程考试系统设计[J].辽宁工程技术大学学报 (自然科学版) , 2003, 22 (4) :540-541.

电气与信息工程学院安全 篇5

工 作 计 划

电气与信息工程学院安

年下期安全、自律部工作计划

本学期，我校双喜临门，十月下旬有“全国大学生田径锦标运动会”以及十一月份的“校庆五十周年”。这是一个严峻的挑战，也是一个难得的机遇。为了迎接好这两项特殊活动，为了提高我们学校的声誉，为了壮实我们部门的实力，我们部门将全身以赴，做好各项工作准备，确保工作的顺利进行。

安全方面的工作计划

九月份（已完成）

⒈九月中旬，迎接新生工作的准备；

⒉九月十三、十四号，迎接新生，安排新生的寝室。并每天晚上去新生寝室查看，与他们交流大学的经验，向他们宣传安全知识，以防安全有闪失；

⒊安排在“十一黄金周”期间于十三舍值班的院干；

⒋登记大一新生在“十一黄金周”期间的去向，并交予学生办公室； 十月份

⒈积极配合体育部举办“迎新篮球赛”，圆满完成分配的工作； ⒉下旬，积极配合学校、学院在“大田赛”期间的安全稳定工作； ⒊督促、检查男生寝室的卫生，极力支持“常德市创建全国文明城市”的活动；

⒋本部门招新，注入新的血液，将招收几名干事，并抽调大一每个班的治保委员组成一个安全小组，一起担负学院的安全工作；

十一月份 ⒈天气渐冷，将组织一次以“冬季安全用电”“寝室安全问题”等安全知识宣传的主题班会；

⒉保障“迎新晚会”、“电信杯英语演讲赛”、各类讲座等等活动的安全稳定；

⒊迎接校庆五十周年，保障校庆期间的安全稳定； 十二月份

⒈再次强调冬季安全问题，严禁使用大功率用电器、偷电、盗网等违规行为；

⒉元旦节假日寝室值班人员的安排； 元月份

⒈做好寒假学生离校回家的准备，保障期末的安全稳定；

其它，每周周二与宿管部检查寝室卫生；每周不定期的检查寝室的安全隐患„„

自律方的面工作计划

⒈第六周，要求学院学生分会的院干认真学习两个“条例”，并于十二号上交学习心得与体会；

⒉每月末，学生分会分管的部门上交本月的工作总结（特别写清本部门工作的活动于创新），以及每个院干的“自我工作评价”；

安全信息工程 篇6

关键词：机电安装;工程质量安全;信息技术管理

近年来，国家发布了一系列宏观调控的政策，在政策大力支持的环境下，我国机电安装工程得到了十分迅速的发展，但是我们仍然必须要对机电安装的工程质量管理、安全管理以及信息技术管理各项工作进行明确以及探讨。

1.现状及所存在的问题

1.1前期管理

机电安装工程前期管理阶段，是整个机电安装工程项目的首要阶段，主要是机电安装企业的决策部门根据机电安装工程的预可研报告和可研报告的研究结果，组织相关的专家，进而对机电安装工程项目的立项进行决策。然而，近几年的实践过程发现，通常都缺乏对机电安装工程建设项目的可行性研究工作的深度研究，估算工作也不是很准确，因此，必然会影响机电安装的工程质量管理、安全管理及信息技术管理等方面。

1.2设计阶段管理

在目前的形势下，我国机电安装工程的建设项目所规划的单位数量相对来说比较少，而且质量也十分低，除此之外，我国一直都处在机电安装工程建设高峰的时期，而且，一些机电安装工程相关的设计单位的激励机制和约束机制都存在着很多的缺陷与不足，这也就导致了在机电安装工程的项目设计过程中都存在质量较低，缺项、多项以及漏项等现象的普遍存在，这也成为致使机电安装的工程质量管理、安全管理及信息技术特别容易出现问题最为主要且直接的导火索。

1.3安装阶段管理

机电安装建设工程在安装阶段中，一般都存在着大量对工程的质量、安全方面以及工程信息技术方面产生影响的一些因素，主要包括：安装建设工程的安装队伍技术人员的质量与素质比较低，安装队伍的建设投入的资金力量都十分缺乏，同时，安装的机械设备也不是十分配套，这都会导致延误工期;安装工程的安装队伍的工作组织，而且，他们的安装方案设计得都不够合理，所以，往往容易违背了安装工程建设的安装工序;除此之外，安装工程建设的安装现场所进行的计量也不是十分准确，他们的设计变更往往也不能够严格地进行把关;安装工程建设的安装现场监理人员的业务素质也比较低下，他们对于现场所出现的那些不同问题往往无法采取正确的手段进行及时有效的处理方式或者方法。

1.4质量管理

准备阶段：一般来说，在安装工程进行施工准备的时候，首先要精读施工设计图纸，做到全面熟悉施工的设计要求以及施工的各项步骤。优秀的工程质量都是经过高素质高水平的施工技术人员所完成的，因而，这往往就要求在施工之前要对施工人员以及队伍进行必要的评估以及考核工作，并且调整好普工和技工所占的比例。除此之外，还要根据安装工程的具体实际情况来编制施工组织，还要进行严格的审查工作，这要求要有十分完善的施工质量保证体系，以及有保证施工工程质量的种种技术措施。施工阶段：在施工的过程中必须按照已经通过审核的有关技术文件以及电气设计图纸，严格根据国家目前的工程建设施工以及所需要的验收规范，还有地方相关的工程建设方面的文件与法规。在施工的过程中，一旦发现任何图纸方面的问题，都应该及时地提出并且进行妥善处理，未经同意的话严禁私自变更施工设计的方案。

2.应对措施

2.1 加强安全管理

2.1.1加强项目部安全管理

除了要做好日常安全的管理工作之外，项目部还要着重从以下这几方面来强化施工安全控制方面的工作：应该组织机构来进行安全管理建设，项目部应该建立一种“横向到边，纵向到底”全过程、全方位、全部员工都会参与的安全管理体系，安装工程的项目经理要作为安装项目关于安全的总负责人，项目总工程师和生产副经理作为安装项目安全的直接负责人，而且，由安装工程项目的安全员来具体负责项目的安全方面的活动组织工作以及生产日常管理。

2.1.2加强机电安全培训工作

安全永远重于泰山，所以说员工的整体安全技术素质，将会直接关系到工程安全工作的优劣。因而，必须要加强和坚持对员工进行安全技术的培训工作。主要应该要以师傅带领学徒为主要，使他们的操作技术和基础理论知识能够达到本工种的应知应会的水平。与此同时，还应该积极组织进行安全技术培训工作，学习“机电质量标准化”以及“机电三全十管理”等这些制度，最好是能够建立起可以进行模拟的实验室，可以让职工亲身体验一下违章作业后所带来的危险性。让员工要多看影碟，来学习目前先进的技术，安排班前班后、安全活动等各种方法来让员工进行热烈的安全讨论，使他们能够以主人翁的姿态参入到机电安全工作当中来。

2.2 加强机电安装工程应用信息技术管理

机电安装建设工程项目如果进行信息化管理，应该注重以下方面的工作：①要建立起基础的信息平台，构建起由系统软件、网络设备、服务器以及数据库软件共同组成起来的计算机局域网络;②要建立以决策服务为目的、以工程管理为主线、面向机电安装工程建设以及管理全过程的、具有预测功能和辅助决策的综合信息服务系统;③应该建立一套能满足关键性业务处理需求和具有统一性的工程管理业务规范，实现规范、完整以及集成化的数据处理和事务处理;④应该通过系统实施，促使工程管理工作人员有关现代管理观念更新，培养出一批能够进行熟练的使用、操作以及维护工作管理系统的人才队伍，提高人员的整体素质，为深入的实施、系统开发以及未来的工作积累成功经验。

3.结语

机电安装建设工程项目的质量、安全生产以及信息技术管理，已经成为目前企业管理最重要的组成部分之一，同时，这又需要运用到多个学科的知识进行综合管理。伴随信息技术不断快速发展，只有成功地将先进的信息技术融入进工程质量、安全生产的管理当中，才能实现企业效益的最大化。

参考文献：

[1]李建新.浅谈机电安装工程质量、安全及信息技术管理，2013，（8）

信息安全领域社会工程学的应用 篇7

当今社会通过单纯的以安全技术为主的安全保障已经越来越困难地阻止系统被入侵, 为了解决这个问题, 信息安全人员通过设置安全机制和安全策略来弥补安全技术上的缺陷。实际上, 大多数的安全事件都是人为因素造成的, 也就是说人为因素是导致入侵得以实现的主因。因此可以说, “人”在整个信息安全保障体系中是非常重要的, 换而言之, 随着入侵者利用系统上的漏洞进行入侵变得越来越困难, 就会越来越多的通过利用人为因素来为攻击做准备, 变相的创造出漏洞, 也就使得社会工程学在网络入侵中的应用越来越广泛。因此, 研究社会工程学在入侵中的应用, 以及如何防范和降低这方面的损失变得越来越重要。

1 社会工程学的原理

1.1 社会工程学的定义

社会工程学是通过自然的、社会的和制度上的途径, 并特别强调根据现实的双向计划和设计经验来一步步地解决各种社会问题, 并建立相应理论的学科。在信息安全中, 社会工程学就是入侵者对人类本性中信任倾向的巧妙利用。入侵者的目标是获得有价值的信息, 以便使自己可以通过未经授权的路径访问某些重要数据。

社会工程学被认为是反映社会现象当代发展复杂性程度的一门综合性的社会科学, 其目标是对各种社会问题进行实例分析和解决。它并不是将人文科学、社会科学、自然科学的知识与技术简单相加, 而是根据计划、政策的概念, 在重构这些知识和技术的基础上, 进行新的探索和整合[1]。

1.2 社会工程学的核心思想

社会工程学攻击的核心思想是:找到系统管理人员的疏忽之处或心理弱点比查找程序的漏洞更简单。基于此思想, 攻击者通过搜集信息, 对所要入侵系统的相关人员进行弱点分析, 在弱点分析后实施有效的社会工程学攻击策略。

因此, 以社会工程学为基础产生了很多攻击手段, 这些方法无疑使黑客技术有了新的发展方向, 如网络钓鱼、密码心理学以及一些欺骗性的利用社会工程学渗透系统内部网络或者相应网络管理人员的手段, 都是一种利用人的疏忽之处或心理弱点进行攻击。

2 社会工程学的攻击特点

首先, 举个简单的例子来具体说明社会工程学的攻击手段。黑客A想对一个网站进行入侵, 但是并没有找到网站的漏洞。于是, 黑客A伪造一个带有木马附件的邮件, 通过网站的通讯地址E m a i l欺骗网站的管理员B, 说已经入侵进入网站, 邮件附件就是入侵后的图像。如果管理员B相信了A的话或出于谨慎的考虑打开邮件的附件, 那么黑客A就打开了入侵网站的大门, 为后续入侵工作找到了突破口。

因此, 我们得出进行社会工程学攻击可分为三个步骤:搜集用户信息并分析脆弱点, 利用部分信息设置陷阱, 对落入陷阱的管理员进行系统入侵。搜集用户信息就是对系统或系统管理员的相关信息进行搜集整理, 分析出系统管理员的心理弱点, 针对心理弱点制定入侵策略。入侵策略确定完毕即通过设置陷阱对系统管理员进行欺骗, 迷惑系统管理员。如果欺骗成功, 就相当于为下一步入侵做好了准备工作。

3 防御社会工程学的策略

通过对社会工程学攻击进行分析, 我们得出维护操作系统安全需要两方面同时部署, 一个是从安全技术策略角度, 一个是从系统相关管理人员角度。安全技术策略需要在物理、网络、操作系统、数据库、中间件等多方面进行设置, 但同时也要通过系统管理制度等方面对管理系统的相关人员进行培训, 提高信息安全意识。提高信息安全意识, 就是使信息安全的策略规范化, 排除人为主观因素。完善的信息安全策略和信息安全的安全理论培训是防范社会工程学攻击的必要手段。通过对管理系统的相关人员制定安全策略规定并确保他们遵守, 是防范社会工程学攻击的必要保证。

下面是对防御社会工程学制定的三点策略:

(1) 建立完善的信息安全管理策略。信息安全管理策略是通过对系统整体中关于安全问题所采取的原则、对安全产品使用的要求、如何保护重要数据信息、以及关键系统的安全运行。信息安全策略中确定对每个资源管理授权者的同时, 还要设立安全监督员。如果安全监督员没有对资源管理授权者的操作进行审核, 就无法对资源的合法使用进行约束和监管。对于系统中的关键数据资源, 对其可操作的范围应尽可能小, 范围越小就越容易管理, 相对也就越安全。

(2) 要把信息安全管理策略与培训相结合, 对系统管理相关人员进行培训, 建立信息安全培训机制, 制定相应的培训计划, 确定什么是敏感信息, 提高安全意识。尤其是要强化用户名和密码保护意识, 不要用常见或常用信息作为用户名或密码, 密码复杂性要高。

(3) 应建立安全事件应急响应小组, 安全事件响应小组应当由经验丰富权限较高的人员组成, 由小组负责进行安全事件应急演练, 有效地针对不同的攻击手段分析出入侵的目的与薄弱环节。同时, 要模拟攻击环境和攻击测试进行自查分析, 就能有效地评价安全控制措施是否得当, 并制定相应的对策和解决方案。

4 结语

社会工程学已经将黑客技术从单纯的技术问题发展成为了“人”的问题。由于并不是所有的系统都可以从纯技术的角度去入侵, 因此一些往往是由于人的某些“习惯”、疏忽或者制度的不规范、不严格将成为黑客突破的目标, 社会工程学攻击正是基于此。因此, 加强对安全技术和安全意识的管理, 加强安全审核策略, 建立完善的安全响应机制, 同时注重对个人隐私的保护, 是保障信息安全, 防范社会工程学的必要方式。

摘要：在信息安全领域中, 社会工程学是以通过分析人们的心理特征, 利用人们的信任和对重要资料的敏感性, 为获取机密信息和系统设置等不公开资料而进行的木马攻击和病毒感染等手段创造有利条件的学科。网络安全技术发展到现在, 很大程度上起决定因素的不再是技术问题, 而是管理员和管理机制。因此, 网络安全往往被入侵者攻破于系统内部。只有从源头上了解社会工程学的本质和实施手段才能有效地从源头上遏制利用社会工程学的网络入侵。

关键词：社会工程学,安全机制,网络入侵

参考文献

[1]李黎明.社会工程学:一种新的知识探险[J].西安交通大学学报 (社会科学版) , 2006 (01) :18-24.

[2]范建中.黑客社会工程学攻击[M].济南齐鲁电子音像出版社, 2008.

信息安全管理体系的工程哲学分析 篇8

信息安全是信息化发展到一定阶段的必然产物。Tanenbaum认为网络仅局限于研究人员相互发邮件时自然不会凸显信息安全的重要性,但是一旦渗透到包括银行转账和网上购物等日常行为, 或者过渡到云计算时代,信息安全问题就无法再回避。

信息安全管理体系(Information Security Management System, ISMS)被认为是良好的信息安全管理实践集之一,从工程哲学的视野来看,这是由某一(或某些)专业技术为主体和与之配套通用的相关技术,按照一定规则、规律所组成的,为实现某一(或某些)工程目标的组织、集成活动。这其中包括人与自然的关系,也包括人与人、人与社会的关系,并由此构筑了新的存在物。目前绝大部分的研究都集中于信息安全管理体系的应用,而缺乏从整体角度出发, 以工程创新为主线,从工程哲学的角度进行审视、思考和分析的研究,本文对这些问题进行分析。

1 以“三元论”的视角审视信息安全管理体系

1.1科学、技术和工程“三元论”

Mitcham提出工程哲学(Engineering Philosophy)词汇,并阐述哲学对工程的重要性,但是他认为工程处于技术之下,是技术的一部分,而李伯聪教授则认为科学、技术和工程是彼此独立的个体,彼此既有联系又有区别,科学、技术和工程“三元论”是工程哲学得以成立的基础。

科学活动是以探索发现为核心的活动,技术活动是以发明革新为核心的活动,工程活动是以集成建构为核心的活动。人们既不应把科学与技术混为一谈,也不应把技术与工程混为一谈。工程并不是单纯的科学应用或技术应用,也不是相关技术的简单堆砌和剪贴拼凑,而是科学要素、技术要素、经济要素、管理要素、社会要素、文化要素、制度要素以及环境要素等多要素的集成、选择和优化。“三元论”明确承认科学、技术与工程存在密切的联系,而且突出强调它们之间的转化关系,强调“工程化”环节对于转化为直接生产力的关键作用、价值和意义,强调应努力实现工程科学、工程技术和工程实践的有机互动与统一。

1.2 信息安全管理体系的工程本质及特点

信息安全管理体系是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的,包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源等内容。信息安全管理体系的支撑标准为ISO/IEC 27000标准族。在ISO/IEC 27000标准族中, 不但给出了“建立、实施、运行、监视、评审、保持和改进信息安全的”“基于业务风险(的)方法”,而且还给出了信息安全管理体系的要求、实用规则、审核指南以及相关安全域的具体指南等。例如, 仅GB/T 22081-2008/ISO/IEC 27002:2005信息安全管理实用规则, 就包括了11个控制域,39个控制目标,133项控制措施。

信息安全管理体系可在不同的学科中找到其渊源,在实施框架上,信息安全管理体系应用了质量管理中的Plan-Do-Check-Act的戴明环,在具体的控制措施上,则包括了密码学、人员安全以及各类信息安全技术,其研究的特点是将科学思维、工程思维和社会思维相结合,但更强调工程思维的“设计”理论。工程研究活动不同于科学研究活动的基本特征就是“设计”。工程设计活动包括对象设计和过程设计。例如,建造水坝的坝体设计是对象设计,如何实施就是过程设计,在信息安全中,设计组织自己的信息安全管理体系是对象设计,设计如何部署是过程设计。

按照“三元论”理论,信息安全管理体系在其中的位置如图1所示。

2 信息安全管理体系的演化过程与规律

2.1 信息安全管理体系的起源和发展

信息安全管理体系是建立在体系(System)化基础上的“最佳实践集”,到国际标准的正式公布,大致经历了3个阶段。

第一阶段为过度关注技术,忽略人的作用的“技术浪潮”阶段, 在这个阶段涌现出了大量的信息安全技术产品,例如,防火墙、防病毒和入侵检测系统(IDS)等。

第二阶段为强调人的作用的“管理浪潮”阶段,在这个阶段大部分企业开始设置专职的信息安全管理岗位,以加强对个人行为的控制。

第三阶段即“体系阶段”,在体系阶段信息安全以目标为导向, 不再局限于手段的应用,而是技术、制度和人员管理等各个方面的有机结合。这个阶段是信息安全的工程化阶段,体现了工程的实践性、经验性、继承性、创造性和系统性等特点。

2.2 信息安全管理体系的动力和机制分析

信息安全管理体系的产生和发展过程是一个“需求驱动”的过程。Alvin Toffler在其经典著作《第三次浪潮》中,将人类发展史划分为第一次浪潮的“农业文明”,第二次浪潮的“工业文明”以及第三次浪潮的“信息社会”。在信息社会时代,“信息”成为重要的生产资料,价值非凡,因此面临诸多风险,为保护信息,安全需求的出现是必然的。

科学与技术的进步是信息安全管理体系的推动力。新密码算法的产生,各类以“信息技术解决信息安全”的思路涌现,为信息安全管理体系的产生奠定了基础。信息安全产生的本质原因是信息技术的发展和应用,反过来,解决信息安全问题又依赖于信息技术的发展。例如,速度更快,与防火墙形成联动的入侵检测系统。

国家政策是信息安全管理体系应用的导向力。任何工程活动都是在社会大系统中开展的,都要接受国家(政府)的引导和调控。对工程创新的应用,企业的认识往往是滞后的,因此,国家出台了一系列引导性政策。例如:商务部印发的商资发[2006]556号及商资函[2006]110号,以及各地方政府的鼓励引导政策。

2.3 信息安全管理体系的工程演化特点、方式和规律

对比国外,信息安全管理体系在国内发展体现出了明显的跳跃性,这种跳跃性不但体现在信息工程领域,也表现在其他诸多领域。国内一般不会沿袭其循序渐进的路线,而是直接引用国外的先进经验或者在国外已有的原型上进行模仿开发。

在科学、技术和工程3个领域内,与文化、制度、历史等环境因素联系最紧密的就是工程。在信息安全领域内,作为基础科学的密码学,其算法“放之四海而皆准”,不会因东西方文化的不同而显现不同的特征,绝大部分技术亦如此。但在工程层次,不同的文化制度有时会产生大相径庭的结果,例如,腾讯QQ本来是模仿国际聊天软件ICQ,但是经过十几年的发展后,ICQ,MSN等点对点国外聊天软件均濒临破产,但QQ在线用户却在2010年突破1亿。信息安全管理体系虽然修改自国际标准,但也显现出鲜明的文化特征。例如更强调保密性,和国外用户相比,更多的认证取向等。

3 信息安全管理体系的工程思维与工程方法论

3.1 信息安全管理体系的工程思维

科学思维是“反映性思维”“发现性思维”,体现理论理性的认识, 工程思维是“构建性思维”“设计性思维”和“实践性思维”,体现实践理性的认识。科学家通过科学思维发现外部世界中已经存在的事物和自然规律,工程师在工程活动中创造出自然界中从来没有的工程构建物,工程设计是以价值当事人的特定需要为出发点 , 以构建某种与主体需要相符合的实体为归宿的筹划。

信息安全 管理体系 标准族的GB/T 22080-2008/ISO/IEC27001:2005原文中特别强调:“采用ISMS应当是一个组织的一项战略性决策。一个组织ISMS的设计和实施受其需求和目标、安全要求、所采用的过程以及组织的规模和结构的影响,且上述因素及其支持系统会不断发生变化。按照组织的需求实施ISMS是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。”信息安全管理体系的部署过程也专门设有信息安全风险评估,目的就是找到企业实际存在的问题,然后“对症下药”。

3.2 信息安全管理体系的工程方法论

信息安全管理体系应用了PDCA戴明环,与A.D.Hall的系统工程方法略有差别,但在本质上是遵循这个基本框架的,如图2所示。

参照图2所示的基本工作过程并结合专门指导信息安全管理体系实施的《ISO/IEC 27003:2010信息安全管理体系应用指南》,提取其中的关键过程,并与工程设计的一般过程进行对比,如图3所示,其中左侧为设计方法,右侧为信息安全管理体系设计。

4 结 语

信息安全管理体系既包括数论、密码学和近世代数等科学元素,也包括软件开发技术、单片机技术和网络技术等技术元素,在工程哲学的视野下,是建立在一系列科学与技术基础上的集成创新。在工程创新成为创新活动主战场的今天,对其进行哲学分析,显得尤为重要。这其中包括以下几点。首先,要辩证地对待便利性与安全性的问题。正确利用信息系统,不仅是技术问题,也是哲学命题。坚持用“两点论”的观点看待便利性和安全性,在信息化发展的不同阶段,正确分析主要矛盾和次要矛盾。在信息化发展初期,信息系统尚未大规模使用,主要矛盾是便利性,提高效率,但到现在,信息安全事件层出不穷,美国甚至成立了网络战争司令部,信息战成为攻击手段之一,安全性就成了主要矛盾,“两点论”是有重点的两点论,要在看到主次矛盾和矛盾的主次方面的同时,分清主次,抓住主要矛盾和矛盾的主要方面。其次,从信息安全管理体系演化规律中发现集成创新的一般规律。科学、技术转化为现实生产力的功能一般都要通过工程这一环节,因此,在我国建设创新型国家战略的实施过程中,工程创新是一个关键性的环节。只有从大量的工程中发现工程创新的一般规律,从工程哲学的角度加以分析、归纳和引导,才能创新信息安全管理体系建设,发挥我国信息化发展的后发优势。

摘要：信息安全是信息化发展到一定阶段的必然产物,信息安全管理体系是这个过程中出现的普遍被接受的工程集成创新,是目前公认的保证信息安全的实践集之一,从工程哲学的角度分析信息安全管理体系的演化过程,发现“渐进性、积累性创新”的一般规律,在使用信息系统,部署信息安全管理体系的过程中,坚持用“两点论”辩证地看问题,在事物发展的不同阶段,分清主要矛盾和矛盾的主要方面。

信息技术系统工程安全管理研究 篇9

1 信息系统风险的安全度量

信息系统的风险安全度量就是通过对信息系统安全管理相关的数据进行收集和分析, 监控信息安全目标的实现情况, 并将安全风险控制信息量化, 生成报告, 以便为决策者提供安全决策的依据。信息系统的安全度量按照性质不同可分为组织性、技术性和操作性等几种, 其中, 组织性安全度量的主要任务是对组织的规程和过程风险进行描述, 技术性安全度量是对系统结构、设计、计算方法、说明书、产品等技术范畴的对象风险进行描述, 而操作性安全度量是对操作环境方面的风险进行描述。目前在我国信息网络系统中的安全度量概念还相对模糊, 没有形成统一的标准, 还需要进一步的完善和改进, 同时关于信息系统安全管理的度量方法也有许多, 必须加以分析归类, 以使信息技术系统工程安全管理工作得以更高效的进行。

2 信息系统安全管理度量方法

2.1 定性度量法

信息系统安全定性度量方法就是将法律、政策的走向, 历史经验教训以及专家的经验等非量化的指标相关资料进行收集、整理, 对系统的风险情况进行评估, 并通过理论的推导对系统风险的进一步走向做出判断, 其优点在于可通过演绎的方式对安全度量结果深入挖掘, 使结果更加全面和深刻, 同时由于在整个度量过程中没有量化指标的参与, 使度量结果的可靠性在很大程度上取决于度量人员的经验和技术, 因此主观性较强, 常见的定性度量方法有因素分析法、逻辑分析法、德尔菲法等。

2.2 定量度量法

定量度量方法与定性度量方法正好相反, 是利用一些量化了的指标通过一定的运算来对风险情况进行度量, 其优点是度量的结论是以数据的形式呈现出来, 因此更加直观和客观, 并且由于是采用科学的计算方法得出的结论, 因此使得结论的严谨程度和可信度较强, 但是在将安全风险因素进行量化的过程中容易将原本复杂的因素简单化, 量化的数据不能充分反映出风险因素的实际情况, 因而过分地追求量化指标可能会导致风险信息不准确, 从而导致度量结果失实。

2.3 定性与定量结合的安全度量法

由以上两种度量方法可以看出, 无论是定性度量法还是定量度量法都有各自适用的领域, 选择的根据就是风险因素是否可量化, 而在实际工作中, 影响系统工程安全度量的风险因素有很多, 有的可量化, 有的较为复杂很难量化, 因此在对信息技术系统风险评价过程中既要考虑尽量将风险因素量化, 从而增加度量的科学性, 但也不能一味地追求量化指标, 而是应当具体问题具体分析, 并且, 定性分析可为定量分析提供理论上的支持, 而定量分析可使定性分析的结果更加精确, 因此采用定性与定量相结合的综合安全度量方法, 将定性分析与定量分析进行有机的结合, 优势互补, 将更加有利于系统安全的度量。

3 信息技术系统工程安全管理度量过程

信息系统安全风险度量要在相关法律法规、标准的指导下, 利用相关的度量方法和工具对信息系统进行全面的风险度量工作, 其过程为:首先, 要确定系统风险分析的内容和范围, 并制定安全风险控制目标。其次, 要对系统的情况、信息系统基本安全状况、信息系统安全组织、政策情况、信息系统弱点漏洞等方面进行风险度量。

4 对系统实体和环境安全进行风险评估

对于信息系统内的设备以及设备环境要制定风险预防机制, 并采取一定的措施, 以防止安全事故的发生, 且即便发生安全事故也会有相应的预案作为指导, 有利于及时采取措施将损失降为最低。

在实际工作中, 首先要对系统运行过程中的设备和外部环境进行实时监控, 以便及时发现异常情况采取措施, 同时也可加装自动报警装置, 一旦有风险因素突破了系统设定值就会及时报警, 以便操作人员可以第一时间发现。其次, 工作环境内要科学配备防火、防水、防盗设施, 加装各类传感器, 一旦发生灾害性事故可及时报警, 并利用现有设施进行风险的排除。再次, 对有防雷要求的设备要加装防雷装置, 以免雷击造成损失。最后, 对于有数据不间断储存要求的设备, 应当使用不间断电源 (UPS) , 使之即便发生停电事故, 也能继续工作, 降低损失。

5 结语

对系统进行风险评估是系统实现事前控制的重要手段, 对于系统管理目标的实现具有重要的意义。在实际工作中, 要根据系统的实际情况选择合适的风险度量方法, 并在相关法规、标准的引导下做好信息系统安全管理工作, 使被动管理转变为主动控制, 以在降低风险、实现安全管理目标的同时, 降低管理成本。

参考文献

[1]张勇, 朱鹏.安全信息工程的体系结构研究[J].中国安全生产科学技术, 2012, (06) :61-62.

[2]幸标.信息技术安全标准体系的研究与建设[J].世界标准信息, 2006, (07) :109-110.

[3]王晓燕.信息技术安全亟待建设标准体系[J].企业标准化, 2003, (05) :142-143.

安全信息工程 篇10

水利工程安全监测是监视建筑物安全的重要技术措施, 是掌握大坝性状变化和安全状态的主要手段。在自动化技术、电子技术、通讯技术和计算机技术高速发展的今天, 水利工程安全监测已加速走向自动化, 为了提高监测数据采集、整编、分析和决策的效率, 建立水利工程安全监测信息管理系统是不可或缺的。事实上, 水利工程安全监测管理系统是水利工程安全监测系统的大脑和灵魂, 一个好的信息管理系统不仅可以充分发挥监测系统在监视其建筑物安全方面的作用, 而且可以提高水利工程安全运行的效率和质量。我国是世界上大坝最多的国家, 因此对于水利工程 (大坝) 安全监测信息管理系统的研究与开发显得尤为重要。

1 水利工程安全监测信息管理系统现状

当前大部分的水利工程安全监测已经能做到数据采集的自动化, 但是对于安全监测数据的处理以及监测信息的管理还没有完全实现自动化, 而对于水利工程性态的实时评价更是难以普遍有效地实现。随着科学技术的发展, 水利工程安全监测的决策支持系统正在逐步实现, 这也是水利工程安全监测的必然发展方向。

但安全评估及决策支持、专家系统是一个规模较大的定制功能集, 因实现费用较高, 一般仅用于有专门需求的大型、特大型工程。在目前具体的系统开发中, 信息管理系统和决策支持系统等之间的界限比较模糊, 更多的则是在水利工程安全监测信息管理系统中加入了一些分析、评价、预测手段, 使其具有一定的推理分析功能。水利工程安全监测信息管理系统, 又称水利工程安全监控管理系统是一种计算机管理系统, 它与管理信息系统类似, 但由于它是针对水利工程的安全管理, 因此与一般企业管理中的信息系统又有所不同, 水利工程安全管理的依据是来自水利工程安全监测数据采集系统的数据, 监测系统的数据采集设备的精度和稳定性直接影响到实测数据的可靠性。水利工程安全监测信息管理系统的主要功能是实现数据的处理、分析, 并将大量的数据按一定的方式组织, 生成特定的信息, 通过对这些信息的集中管理, 对水利工程的安全状态作出快速、准确的评判, 预测。本文对水利工程的安全监测信息管理系统主要针对性指水库大坝工程。

2 国外大坝安全监控信息系统的发展情况分析

法国、意大利是最早开始研制大坝安全监控信息系统的国家, 其所开发的监控信息系统有较长时间的实际应用经验, 在国际上也有一定的影响力。法国电力公司早期所开发的大坝监控信息系统管理着150多个大坝的实测数据。该系统对所获得的监测数据进行分析时采用MDV模型方法, 将统计模型的剩余量和时效分量合并在一起重新构造一个一元线性回归模型, 可直接对监测量的趋势性变化速率进行估计。近几年来, 法国电力公司的技术人员又采用了主成分分析方法对监测信息进行融合和简化, 以提高发现异常现象的效率。法国电力公司开发的大坝监测处理系统是以发现结构性态异常为主要目的, 一旦确定为异常后, 短期内集中专家进行现场调查评价以及开展必要的计算分析等工作都是在系统外进行的。

20世纪80年代初, 意大利开发了著名的微机辅助监测系统MAMS, 实现了数据自动采集和在线监控, 并利用其著名的存储和处理系统MIDAS进行管理。该MIDAS系统有14个模块, 可实现大容量监测数据的实时存储、更新、恢复和图形化显示, 还可建立统计回归模型、确定性模型和混合模型。继MIDAS后, 意大利又先后开发了INDACO、MISTRAL、DAMSAFE等监测信息系统。INDACO是一个模块化的数据自动采集系统。MISTRAL是一个应用于结构自动化监测 (专门处理自动化监测超界值) 的专家系统, 可提供大坝性态的在线反馈。该系统采用产生式专家系统的开发模式, 运行于Windows平台, 可与大坝的数据采集系统相连接进行实时操作, 对监测数据作出检验和解释, 并在屏幕上以图像的形式显示评价结果及报警信号。

DAMSAFE是一个对结构进行安全管理的决策支持系统。它将人工智能技术应用于大坝安全管理中, 并与Internet相连接, 可使多个专家通过共享他们的知识和共享数据资源来合作管理大坝的安全。

3 国内大坝安全监控信息系统的发展情况

由于种种历史原因, 我国的大坝安全监控信息系统的开发研制起步较晚。在20世纪80年代中期, 一些科研院先后研制了一些基于微机的大坝监测数据管理系统和数据处理的一些相关程序, 除对数据进行存储、管理、制作图表及统计分析外, 还增加了人工巡查信息, 提供了描述大坝性态的综合信息, 供管理人员进行多途径的交互式分析判断, 为大坝安全监控提供了更多的支持。电力自动化研究院在国家“七五”科技攻关中开发研制了DSIMS大坝安全信息管理系统。该系统基于DOS环境, 采用当时最新的、高效快速的系统软件于一体。该系统的开发为水电厂 (水库管理局) 的大坝安全管理提供了一个强有力工具。

进入20世纪90年代, 随着计算机软件技术及网络通信技术的高速发展, 微机的性能有了很大提高, 特别在是微软公司的Windows9x及Windows NT操作系统推出后, 其不仅使计算机的应用迅速普及到各个行业, 而且也为信息系统开发人员提供了较友好的开发平台, 因而在这段时间内, 各个管理单位对大坝监控信息自动化管理的需求也日趋迫切, 面对着这个潜在的、巨大的市场, 许多科研单位纷纷进行了水利工程安全监控的信息管理的软硬件方面的开发及研究。河海大学与大坝安全监察中心合作, 在1990年结合龙羊峡工程首先开发和研制了大坝安全综合评价专家系统, 该系统首先提出并采用了集综合推理机、知识库、工程数据库和图库于一体的构架, 对大坝安全监控信息系统的开发研制有指导性的作用。

4 结论

我国的大坝安全监测系统开发较晚, 但发展速度较快, 采用了系统工程、专业评价系统理论、专家辅助决策系统理论等最新的技术, 并开始向远程网络、智能管理方向发展。

现代信息技术管理水利工程安全监测是当前我国水利工程安全管理发展的趋势。实现水利工程安全监测的信息化、自动化不仅能提高效率, 而且通过对水利工程安全进行实时监测, 使其充分发挥工程效益。今后大坝安全信息系统的发展有以下趋势:

4.1 在大坝安全监测信息系统的开发中, 引

入人工智能 (AI) 技术是一个发展趋势, 其目的是使非结构化问题或半结构化问题向结构化问题转换, 采用人工智能技术可提高分析系统的自动化水平, 使之成为现场操作人员的更有效工具, 这也是本文尚未涉及到的地方, 在这一领域内尚有许多的研究开发工作要做, 这是将来任何工程安全监测高效信息系统的发展方向。

4.2 监测信息数据仓库可以很好地构建分

析型数据环境, 数据仓库的数据建模等仍然需要进一步的探讨, 尤其在具体实施方面仍面临许多问题。

4.3 数据可视化技术在大坝监测系统中的

应用研究, 目前停留在某个具体的方法和功能上, 尚无统一的框架可用, 且多是二维视图的表现形式, 而多维视图较少, 尚需进一步的研究。

摘要：水利工程安全监测是监视建筑物安全的重要技术措施, 是掌握大坝性状变化和安全状态的主要手段, 谈谈水利工程安全监测信息管理发展趋势。

关键词：水利工程,安全监测,建筑物,安全状态

参考文献

[1]李君纯.我国水库坝工安全的状况及前景[C].全国第三届大坝安全学术讨论会论文集, 南京:河海大学出版社, 1996.8:106-107.

[2]曹楚生.从大坝设计和风险分析看大坝安全[J].水利水电工程设计, Vol.19, No.1, 2000:21-23.

安全信息工程 篇11

[关键词]电子信息工程；现代化技术；发展现状；发展对策

从人理—物理—事理的综合评价策略出发，基于数据包络分析方法实现地理信息工程的综合评价，并通过具体实例研究了数据包络分析方法在实际评价工作中的应用过程，同时分析传统DEA模型从输入或输出单方面评价决策单元的相对有效性的局限性，强调综合评价中要充分考虑到环境和人理的作用，并在此基础上对评价算法模型加以改进，加入决策者偏好对地理信息工程项目实施的影响。

信息工程监理对于我国的信息化建设起到了至关重要的作用，目前通用的是“三控两管一协调”，“三控”指质量控制、进度控制和资金控制，“两管”指合同管理和信息管理，“一协调”指组织协调。实践证明，只有监理内容的完善才能为监理单位提供监理依据，才能更好地为监理工作提供原则性的指导。现有的信息工程监理规范来源于传统的建筑工程监理，信息工程监理缺乏对本身特点的了解和掌握，在许多方面暴露出了一些问题。，对信息工程监理和建筑工程监理、信息工程监理和软件工程做了比较，参考了软件工程的思想，给出了一种基于软件工程理论的信息工程监理，并对信息工程监理的监理。现行的信息工程监理的基本思想不重视对信息工程风险和需求的控制管理，在监理方法上忽视了对风险和需求的控制。

对现有的信息工程监理“三控两管一协调”进行了完善和补充，增加了“风险管理”和“需求管理”，使成为“三控四管一协调”，完善了监理框架和监理要素，并进行了分析和阐述。“三控两管一协调”虽然提出了以信息工程的质量、进度和资金为控制目标，但是在质量、进度和资金的控制点上不明确，缺乏对各个分项控制点的把握，监理内容和方法不明确。在现有的信息工程监理的基础上完善了“三控”，明确了质量、进度和资金控制的控制点和控制方法，提出了每项的监理关键点，规范了监理行为，以降低监理成本，提高监理效果。信息工程的风险管理和需求管理与项目的质量控制、进度控制和资金控制紧密相关。“三控两管一协调”未提出具体的要求和监理要点，致使许多监理的项目承担了太多的项目风险，需求也不是太清楚，对项目的质量和进度造成了很大的影响。参考软件工程的理论，把风险管理和需求管理作为信息工程监理中的两个关键活动。为控制好信息工程项目的风险，及时地对风险进行识别与分析、制定风险规避计划、风险应急计划以及其它的一些防范措施，从而有效地控制项目的风险，将其弱化或消除。当前的信息工程监理忽视了需求管理的必要性，在信息工程监理中主要做好系统分析、文档审核、需求变更的管理等工作。

电子信息工程现代化技术的发展现状，然后对电子信息工程现代化技术的发展过程中存在的一些问题电子信息工程的发展离不开国家的支持，不断创造有利于电子信息行业发展的外部环境，同时也需要行业不断进行自我创新，现代信息化的不断发展也会为社会的进步提供更有力的技术支持，因此需要加大对电子信息工程的研究投入力度，大力优化产业结构，重视人才的引进与培养，实现不断创新发展。电子信息技术的实用性和优越性在人们日常生活中逐渐突出，其渗透领域也越广泛，从而也引发了对其人们更高的需求，我国的电子信息产业还需要更长的时间去实践和完善。从电子信息工程现状、电子信息技术的发展对策概述我国现有的电子信息技术现状的积极与消极，同时探究了电子信息产业长远发展的策略。对此，本文就电子信息工程现代化技术做出简单的分析，并提出一些可供参考的意见与措施随着我国科研力度的增大，我国科学技术得到了较快的发展，尤其是最近几年，电子信息工程技术的发展速度尤为快，在实际生活中的应用也比较广泛，已经给我国人民的生活带来了巨大的变化，对我国企业的经济发展也做出了重要贡献。但是从总体上来看，我国电子信息工程的现代化技術发展时间并不长，能够取得现在的实际效果可见我国现代技术发展速度之快。新世纪以来，信息技术及网络技术等现代化技术实现了历史性的突破，其发展速度可以用惊人来形容，电子信息工程现代化技术在人们的日常生活得到了十分广泛的应用，这使得电子信息工程技术越来越贴进人们的日常生活，也促进了该技术的快速发展。电子信息工程是现代网络工程中的重点技术，随着科学技术全球交流的不断推广，现阶段，网络信息技术得到了突破性的发展。正因为这样，电子信息工程也逐渐受到了人们的高度重视。随着电子信息工程技术的不断发展，在生活以及生产中人们也越来越离不开电子信息工程的帮助。但是，我国的电子信息工程技术和世界上先进技术水平相比，仍然具有一定的差距。因而就针对电子信息工程中现代化技术特点进行了综合的阐述，并在最后对现代技术在电子信息工程的运用进行了分析，对电子信息的现代化发展具有非常重要的意义。

结语

21世纪网络信息技术取得飞速的进展，这使得电子信息工程逐渐成为人们生活中一个非常火热的话题。电子信息工程在各个方面影响着人们的生活，人们对于电子信息工程的需求也快速提升，目前我国的电子信息工程面临着巨大的发展需求。通过简单谈论电子信息工程的相关问题，着重分析电子信息工程的发展现状以及推进电子信息工程现代化进程的对策。

参考文献

[1]杨永，李建英.电子信息工程技术专业基于工作过程的课程体系的设置研究[J].中小企业管理与科技（上旬刊），2009（10）.

[2]成宝芝，郭险峰，郭宗光，刘宇.电子信息工程专业教学与实践模式研究[J].大庆师范学院学报，2009（03）.

[3]王海梅，全卫强，王兴君.我院电子信息工程技术专业的探索与改革[J].陕西国防工业职业技术学院学报，2008（02）.

作者简介

工程监理信息化下的安全管制 篇12

1 工程监理信息化概述

我国的工程监理, 从传统的建筑行业建设监理发展到今天的信息化工程监理, 是每个从事相关行业人员有目共睹的进程。自从1997年我国颁布的《中国人民共和国建筑法》以来[1], 与工程监理有着密切联系的相关章节, 就成了今天我们工程监理原则, 规范, 准则的明确指标。同时也是因为相关细节的规范, 才能推进我国工程监理信息化的进度。

从内容上看, 工程监理主要包括以下几个方面:监理规划, 监理机构, 监理设施, 监理人员, 质量监管。监理规划又包括建立的法律依据, 实施监理工作的指导性文件;而监理机构主要是以监理规划为基础, 规定相关的工作范围, 内容, 制度;监理设施主要设计监理设备上的基础准备, 最后监理人员与质量监管, 也是属于不容忽视基础方面。

从监理过程上看, 工程监理包括招标, 设计, 实施, 验收四个阶段的工作[2]。前两阶段为设计监理, 后梁阶段为施工监理。前者主要确保设计的可行性, 与实施性, 以及业主的满意程度。后者主要对施工项目进行针对性的监督, 确保施工安全, 质量, 投资和工期的达标。工程设计, 是指业主对于项目的预期, 也是设计人员的筹码。而在网络推进的背景下, 工程设计的数据如果没有良好的安全措施, 将会流失许多价值不菲的数据。

综上所述, 今天的工程监理信息化, 就是对相关环节的数字化整合, 也为监理人员提供了便捷的监督途径。但正是由于网络媒介的出现, 使监理数据不能进行一手化地核算, 数据流失与数据盗窃, 将是我们工程监理信息化不得不面临的难题。

2 工程监理信息化面临的安全风险

工程监理信息化面临的风险, 不单单是指网络风险。而是集信息监理设备, 监理人员分工, 网络安全三元一体的风险体系。也就是说, 设备风险主要包括信息监理设施的保障, 人员监理是否恰当, 以及网络防御是否完善这三个层面, 以下, 本节将针对这三个方面进行详细的分析。

2.1 监理设备的安全风险

2.1.1 设施的安全威胁信息监理的设施, 是整个信息监理体系的物理基础与前提。

它主要包括通信线路, 网络设备, 安全设备等。它面临的威胁, 主要来自两个方面, 一是像地震, 火灾, 台风, 等破坏性极强的自然环境事故, 另一方面就是人为操作的失误和草率, 以及设备偷盗与破坏等犯罪行为。这两个方面在现实生活中, 虽然脱离技术层面, 但另一角度看, 它的避免也是最为不能保障的。所以, 只有从主观上, 加强设备的耐抗性, 才能减少与之相关的损失。

2.1.2 网络安全的威胁网络安全的威胁, 可以算是监理信息化中最为值得重视的环节。

在工程监理过程中, 作为信息采集传输和应用的平台, 网络信息是连接国内广大区域工程监理数据库的主要途径。而这样的途径, 就为网络入侵者造就了袭击机会。他们一般通过攻击探测, 窃听等手段进行监理信息的搜集, 同时, 也利用IP诈骗, 重放, 重演, 钓鱼网站, 拒绝服务攻击 (如SYN FLOOD, PING FLOOD) 等手段进行数据库的攻击[3]。

现阶段, 处于工程监理信息的网络平台仍处于TCP/IP协议技术, 这就意味着它并非属于真正意义上的安全通讯。从该背景以及威胁频率上看, 网络安全是无法避免的, 也是最需要引起重视的安全威胁。

2.1.3 漏洞威胁不得不承认, 现阶段工程监理的流程庞杂, 环节繁复。

这就导致了相关监理系统的复杂与庞大, 同时, 这样的复杂与庞大就意味着庞大的代码规模, 众多的模块接口。从而, 不同程度上, 出现安全漏洞都是在所难免的现象。

在工程监理信息化普及的今天, 虽然相关理念也为大家所接受。但技术上同步, 仍然缺乏进度。在一些广泛流传的监理操作系统中, 我们看到, 由于广泛的应用和更新之后, 让此类系统平台存在着大量的漏洞。同时, 系统管理人员与使用人员对其内部复杂的操作并未充分了解, 这在一定程度上造成了应用安全隐患。所以, 作为基础平台, 如今工程监理的操作系统的脆弱性, 将直接关系到监理信息的安全性。

2.2 人为的安全威胁

2.2.1 相关专业技术的匮乏虽然针对工程监理过程, 许多工作人员已经有了相关的学习和了解。

但在与时俱进的信息化过程中, 人员培训没有及时获得新鲜的技术血液, 导致相关环节的工作人员缺乏一定的电脑技术。他们未能及时获取信息化的知识, 鲜有更新工程监理系统的安全状态, 对于出现的危机也没有专业的敏感性。所以, 在这种人力技术难以跟进的情况下, 工程监理信息化的安全威胁往往不亚于网络攻击。

2.2.2 人员的技术失误作为独立、公正的第三方机构, 工程监理的信息必须具备充分的完整性。

虽然此话和本段的主旨存在距离, 但从宏观的角度看, 人员在技术疏忽与失误, 将会为工程监理带来不可弥补的损失。尤其是在施工监制, 以及方案审核方面, 如果在监理信息平台中, 造成误差, 将会谬之毫厘失之千里, 为工程监理带来不可预估的损失。

2.2.3 管理脱节与失控除了技术上的失误。

还有一种情况, 就是分工上的管理与衔接。如果工程监理信息平台出现衔接不畅的状况, 那么就等于信息平台的失控。而另一方面, 有些信息技术平台具有数量相当的监理人员, 早已达到了劳动力的饱和程度, 这样看来, 既是技术分配上的人力损失, 又会造成相关的安全威胁。

3 制定信息化工程监理的安全措施

工程监理信息化的安全体系, 主要从信息平台和人员分配出发。只有进行这两方面的整合, 才能完善工程监理信息化的安全体系。

3.1 保证信息平台的实施性除了技术是工作人员与相关监理平台之间障碍之外。

还有一部分是源于工程监理信息平台的人性化缺失。这样工作人员在进行相关工作的时候, 需要耗费大量时间对相关的软件进行学习与熟悉。 (比如, 在环境监测中心, 需要通过华为公司的N305路由器和两个100M端口接入歌华有线的VPN光纤网, 同时, 各分中心需要通过华为2831路由器和一个100M的端口接入歌华有线的VPN光纤网, 同时, 在40个监控点中, 有13个点采用在工地现场立15M的水泥杆, 杆上同时安装了监控探头反手, 有27个相关建筑采用此技术, 其中两个采用无线装置。) [4]由此看来, 如此繁复的数据, 如果在信息平台中没有明确的记录与更新, 那么就根本无法保障工程监理信息平台的安全。

3.2 信息化监理人员的合理配置对于信息化工程监理人员的合理配置, 换句话说, 就是保障相关安全体系的可管理性。

它是以一个动态的, 可控的配置结构为基础。[5]如果人员配置上的合理, 就能在技术繁杂的背景下, 免去相关必要性不强的知识学习, 从而通过相关规范就能快速提高工作人员的工作效率。

摘要：本文以工程监理的传统流程作为基础, 进行相关的安全问题分析。并通过罗列安全与威胁等方面的因素, 进行有关地探讨。最后, 针对所面临的安全问题, 从设备, 软件平台, 人员配置三个封面出发, 提出相关的举措, 从而推进工程监理信息化的安全管制。

关键词：监理信息化,施工监督,设施,网络安全

参考文献

[1]贾之楠, 董悦, 黄河.信息化工程监理进度风险控制方法研究[P].计算机科学.2007.

[2]张旭梅, 王东亚, 于明政.企业信息化工程的监理机制研究[J].中国制造业信息化.2004.5.

[3]贾成伟.信息化企业信息保障的研究[D].哈尔并工程大学.2007.3.

[4]贺铁军.做好信息化工程监理的体会[J].建设管理.2010.2.