安全系统工程论文

第一篇：安全系统工程论文

土木工程施工安全特色的安全工程专业人才培养体系研究

摘要：我们根据青岛理工大学的办学特色及优势学科群和社会的需要，形成了土木建筑施工安全为主的特色培养方向。我们以服务区域经济发展为基础，以为土木建筑施工、工业生产制造等行业培养高素质应用型工程技术人才为目标。由于政策环境好，社会需求大，毕业生就业前景乐观，就业单位以国有大中型建筑企业为主。文章介绍了土木施工安全特色的人才培养体系构建思路和实践能力培养，并对学科未来发展提出建议。

关键词：安全工程;办学特色;学科建设;培养体系

一、引言

自设立“安全工程”专业以来，各高校安全工程专业课程设置都带有一定的行业特性，涉及如能源、化工、建筑、机械等诸多行业[1，2]。国内外高校安全工程本科生课程体系的建设中往往存在两种倾向，一个是强调行业特点而忽略了安全科学的共性，另一个是过分强调安全科学的共性而忽略了各自行业的特殊性[3]。安全科学与工程成功申报一级学科对安全工程的定位和发展以及高校安全专业办学奠定了理论基础并拓宽了思路。

青岛理工大学为编制安全工程专业本科培养方案，深入全国10余所代表性高校、工矿企业进行了大量前期调研和探讨，为构建凸显青岛理工大学安全工程专业土木工程施工安全特色的人才培养体系奠定了坚实的基础。

二、我校安全工程专业人才培养目标和定位分析

(一)学校的办学特色及优势学科

青岛理工大学土木建筑、环境市政、能源机械等学科特色鲜明，依托优势学科群，学校大力发展安全相关类学科，其中防灾减灾工程及防护工程学科是山东省重点学科。安全工程专业依托海洋环境混凝土技术教育部工程研究中心、山东省高校蓝色经济区工程建设与安全协同创新中心、山东省城市灾变预防与控制工程技术研究中心、山东省高校能源与环境装备重点实验室等良好的实验和工作条件开展教学和科研工作。经过十余年的建设和发展，形成了土木建筑施工安全、工业生产安全等特色培养方向。

(二)安全工程专业目标及定位

胶东半岛开设安全工程专业的高校还有以油气安全为主的中国石油大学(华东)、以煤矿安全为主的山东科技大学、以化工安全为主的青岛科技大学。青岛理工大学安全工程专业依托学校及自身优势形成了土木建筑施工安全为主的特色培养方向，与上述高校形成错位培养。以服务区域经济发展为基础，立足为土木建筑施工、工业生产加工及制造业等行业输送安全技术与管理人才，掌握安全科学与工程的基本理论知识及基本技能，具备从事安全工程设计、风险评估与咨询、安全监管、安全教育与培训等方面工作的能力和素质的高素质应用型工程技术专业人才。

1.社会需求及政策要求。(1)我国正处于工业化、城镇化快速发展的时期，安全生产事故易发多发，总体形势依然严峻。(2)随着《中华人民共和国安全生产法》等系列法律法规的出台，除矿山、建筑、危险物品等高危险行业外，一般工业企业对安全工程专业人才的需求也在迅速增加。(3)国家《安全生产人才中长期发展规划(2011—2020年)》明确为安全生产领域培养一批具有工程实践能力的应用型人才。

2.就业情况分析。我校安全工程专业历年一次性就业率均在90%以上，毕业生几乎全部从事与本专业相关的工作。每年约1/3以上的毕业生考取国家“211工程”等重点高校硕士研究生，学生就业单位多以中建、中铁建、中交、华润等国有大中型企业为主，涉及土木建筑、石油化工、机械、船舶、安全生产服务中介机构、政府部门等各类企事业单位。由于历届毕业生在单位的优良表现，就业单位(如中建八局等公司)优先招聘本校安全工程专业的毕业生。

3.毕业生就业前景分析。相关法律明确规定，一定规模的企事业单位必须配备专门的安全工作人员，这给毕业生提供了稳定的就业市场，此外，国家在促进高校毕业生就业方面的一系列政策的出台，使得安全工程专业毕业生就业前景愈发乐观，就业率呈现稳中有升的趋势。

三、土木工程施工安全特色与人才培养体系构建

(一)人才培养体系构建思路

1.课程设置情况。根据学生掌握知识的规律和知识划分层次，课程分为通识教育模块、学科基础模块、专业课模块。每个模块包含必修和选修两部分。专业课模块是建立在前两个模块基础之上的，培养学生胜任未来职业所必需的专业知识和技能的课程。专业必修课程包括安全工程专业概论、火灾爆炸预防控制技术、安全系统工程、安全人机工程、安全学原理、安全管理学、机电安全工程、安全评价、工业通风与除尘等课程。专业选修课程包括建筑安全、工业安全、公共安全三个方向，其中以建筑安全方向为主。

2.第二课堂。本专业设有外聘专家委员会，包括政府安全管理部门人员、企业安全管理者等，专业不定期邀请校外专家为学生做讲座，从不同角度讲述实践中的安全管理知识或经验，丰富学生课堂外的专业知识。本专业有校外实习基地，可以进行实习。自大学一年级实施本科生专业导师制，成立科研小组，协助导师完成科研工作，锻炼学生科研能力。

(二)土木施工安全特色的体现

土木施工领域主要包括房地产及商业地产、地下工程以及道路桥梁、码头等。相关的作业种类包括建筑施工、机械加工、电气作业、爆破等。在学科基础和专业课模块中设置了土木工程与环境工程概论、工程测量、地下工程、土木工程施工及安全、机电安全工程、建筑消防工程、建筑安全工程综合课程设计等课程，构建土木工程与安全工程基础理论、土木工程(含地下工程)施工安全技术与管理、建筑消防工程等安全工程技术与管理课程体系。

(三)大安全多学科能力的补充

學生可以根据个人兴趣和未来发展的需要从跨学科课程、跨门类课程、专业选修课选择相应的课程对自己的专业知识进行补充。

四、土木工程施工安全实践能力培养

(一)开展实践教学情况

安全工程系以就业和社会需求为导向，定期召开由丰富实践经验和专业知识的企业技术和管理人员、专业教师、教学管理人员和政府部门参与的专业建设研讨会和产学研座谈会，并成立了外聘专家教学指导委员会。已与中建八局等十余家大中型企业建立了稳定的实习就业实践和产学研平台。学生可以在实习、毕业设计等环节进入这些企业，既有利于学生的实习和就业，也为专业的教学和科研工作提供了平台。

(二)创新创业教育

每年为毕业生就业创业召开会议，联系企业到校园内举行招聘会。创业方面，为学生讲解最新的政策，提供专业技术支持。鼓励学生申报专利。另外，青岛理工大学有省级创业孵化示范基地，为学生创新创业提供帮助。

(三)科技竞赛

本学科教风和学风严谨，教学中注重学生实践动手能力的培养，积极组织学生参加数学建模、挑战杯、科技创新、创业设计等各类大赛。

五、结论及展望

强化建筑安全特色，同时根据需要在建筑安全方向注重建筑施工与建筑消防并进，一旦国家进行宏观调控，建筑施工安全方向的就业机会势必会减少，而另一方面消防人才开始紧缺，我专业近两届也有毕业生开始进入消防部门工作。同时加强发展建筑施工涉及的工业生产安全方向，如建筑施工涉及的机电安全、特种作业安全等。目前安全工程专业培养方案中已经列出了多门消防安全和工业生产安全的选修课，做到未雨绸缪。

参考文献：

[1]翟小伟，邓军.突出行业特点的安全工程专业教育研究[J].中国安全科学学报，2008，18(1)：90-94.

[2]张劲军，何利民，宫敬等.油气储运理论与技术进展[J].中国石油大学学报，2013，37(5)：151-162.

[3]张树川，健刘.安全工程专业课程体系优化研究[J].中国安全生产科学技术，2012，8(4)：195-198.

作者：谭清磊，撒占友，王春源，张永亮，刘杰

第二篇：构建医院网络安全系统保障信息系统安全

（凉山州第一人民医院 计算机中心，四川 西昌 615000）

[摘 要] 目的： 医院信息系统平台逐渐成为医院医疗业务的核心支撑平台，须加强医院信息系统安全；方法：通过网络安全的综合设计和实施，采用冗余设备、三层网络架构、统一网管中心控制、虚拟网络划分、核心防火墙及IPS、堡壘机统一管理设备、数据库和网络审计等多种技术，同时结合安全管理制度等；结果：构建较完备的医院网络安全体系，取得了良好的效果结果、结论 ：信息系统安全是系统工程，要从各方面着手，防止短板。

[关键词] 网络系统安全；安全管理；管理制度；木桶原理

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 088

0 引 言

随着新医改的不断深入，作为其重要支柱之一的医院信息系统建设进入了高速发展的快车道，成为医院日常医疗工作和管理工作的基础平台。2013年，我院新建了医院信息系统项目，包括机房建设、网络建设、软件系统建设、硬件建设等部分。医院特点决定医院信息系统必须365*24小时不间断正常运行，网络、系统软硬件的损坏和故障，或者是数据信息泄露，都会医院带来不可估量的损失，影响患者正常就诊，甚至危及医院的生存和发展。因此，构建安全的医院网络系统，保障系统和信息系统安全，是各医院都很关心的问题。

医院网络安全系统是个系统工程，其符合“木桶原理”，系统的安全程度取决于最短的那块板，我院从硬件、网络、系统、审计监管、防病毒、安全制度等各个方面采取了多种措施，保障了信息系统安全、网络安全。

1 网络系统安全

1.1 链路安全

为避免核心网络系统单点故障，提高网络系统的健壮性、容错性和性能，我院在网络核心层采用了H3C的IRF2（Intelligent Resilient Framework，智能弹性架构）技术， IRF2将两台华三10508核心交换机通过IRF物理端口连接在一起，虚拟化成一台逻辑核心交换设备，集合了两台设备的硬件资源和软件处理能力，实现两台设备的统一简化管理和不间断维护，提高了网络对突发事故的自动容错能力，最大程序降低了网络的失效时间，提高了链路的利用率和转发效率。

在核心层10580交换机与会聚层5800交换机间采用万兆光纤交叉互联，线路间做链路聚合，增加链路带宽、实现链路传输弹性和冗余。同时，核心交换机与会聚层交换机全部配备双电源和双风扇组，双电源分别插两路不同PDU电源插痤，尽量避免单点故障。

1.2 网络层次分明，方便管理

数据中心服务器到所有的桌面终端计算机最多通过三层网络，即核心层、会聚层和接入层，三层网络交换机各师其职，层次分明。核心层是网络的高速交换主干，负责数据转发；汇聚层提供基于策略的连接，是网络接入层和核心层的“中介”，工作站接入核心层前须先做汇聚，实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能，减轻核心层设备的负荷；接入层提供工作站接入网络功能。同时，我院每栋业务楼都建设了网络设备间，安装了空调和不间断电源，统一管理该楼内所有的会聚层和接入层交换机，保证所有的设备都有良好的运行环境，同时便于管理和维护。

1.3 划分VLAN，提高性能和安全性

医院信息系统服务主要以访问数据库服务器为主，数据纵向访问多，横向少，同时，我院许多楼又都综合了门诊住院医疗系统、医技系统等，我们根据其特点，将网络按楼宇划分为10多个VLAN子网，并将有特殊需求的应用（如财务科账务专网等），单独划分VLAN。通过VLAN划分，控制广播范围，抑制广播风暴，提高了局域网的整体性能和安全性。

1.4 网络核心层安装防火墙板卡与IPS板卡，保证服务器区安全

医院服务器区是医院系统运行核心，一旦被侵入或感染病毒，将影响医院的正常医疗业务，影响病人就诊，我院每日门诊人次3 000多人，住院患者1 600多人，数据库出问题，将造成重大的社会影响和严重后果，故我们在核心层华三10 508交换机上安装了SecBlade FW Enhanced增强型防火墙业务处理板卡和PS插卡，设定了防入侵和攻击的规则，过滤非法数据，防范病毒确保服务器区安全。

1.5 智能网管中心

随着网络应用越来越复杂，网络安全控制、性能优化、运营管理等问题成为困扰用户的难题，并直接决定了医院核心业务能否顺利开展。我们采用了专门的网管系统，通过软件的灵活控制，与相应的硬件设备配合，建立了网络安全控制中心、性能优化中心和运营管理中心。通过网管系统，我们能实时监管网络的运行情况，监管网络的故障和报警，监管和分配网络流量，优化网络性能，使整个网络可管可控。我院网络管理员常用的网管功能有资源管理、拓扑管理和故障（告警/事件）管理等。

网管系统的资源管理可管理网络设备、接口，显示设备的详细信息和接口详细信息和实时性能状态； 拓扑管理可自动发现全网设备的拓扑视图，通过拓扑图能够清晰地看到医院网络的状态，包括运行是否正常、网络带宽、连通等。

故障（告警/事件）管理，是网管系统的核心功能之一，包括设备告警、网管站告警、网络性能监视告警、终端安全异常告警等，告警事件可通过手机短信或E-mail邮件的方式，及时通知管理员，实现远程网络的监控和管理。

1.6 医院内网、外网间隔离和访问通道

医院内部的网络分为医院办公外网（用于日常办公，可上互联网）和业务内网，为保证医院内部网络业务系统安全，防止非法入侵、病毒攻击等医院业务网与互联网必须物理隔离，同时，因医院内部众多软件厂商、服务器厂商、网络设备、安全厂商，需要远程维护内网设备，业务网和互联网之间须有个能访问的通道，我们采用了SSL VPN+网闸+堡垒机的方式实现了远程安全登录和物理隔离。

（1）在医院外网防火墙和医院内网防火墙之间安装了网神SecSIS 3600网闸，利用其“数据摆渡”的工作方式，开放须访问的端口，实现物理隔离。

（2）遠程用户通过SSL VPN接入到医院外网。利用SSL 的私密性、确认性、可靠性、易用性特性，在远程用户和我院外网间建立起专用的VPN加密隧道。在SSL VPN中，将用户的登录设定为自动跳转到堡垒机，通过堡垒机再访问相关的设备和电脑，实现远程访问有监管有记录有审计，可管可控。

2 服务器和存储备份安全

系统服务器双机备份常用的是采用双机冷备份或通过心跳线热备份的方式实现。我院结合自身设备特点，采用了赛门特克Veritas Cluster Server技术，在IBM刀片机上建了一个N+1 VCS集群，即多台服务器对应一台备份机，当其中一台出现问题，都会自动切换到备机，实时快速，同时节约了备份机。两套IBM DS5020存储阵列（一台在主机房、一台在备份机房）通过光纤直连，采用remote mirror远程镜像备份技术，将主机房存储的实时数据复制到备份存储系统，提供于业务连续性和灾难恢复的复制功能。

3 保证操作系统安全

操作系统是软件系统基础，保证其安全是必须的。我们对服务器进行了主机加固，关闭了不必要的服务，安装了赛门铁克防火墙、赛门铁克网络版杀毒软件，莱恩塞克内网安全管理系统等来保证内网服务器和工作站操作系统安全。其中内网管理系统控制和监管了移动介质的使用，屏蔽了未经授权的移动介质接入网络，避免了医院数据的外泄及感染病毒，同时，还能对内网中每一个计算机进行远程的桌面管理、资产管理、配置管理和系统管理等。

4 核心设备配置修改和访问安全

服务器在注册表中关闭了远程访问功能， 网络交换机都关闭了TELNET功能，关闭命令： undo telnet server enable通过网络堡垒机可视化的web管理界面统一配置和管理所有服务器和交换机，利用堡垒机可控制、可审计、可记录、可追溯的特性，保证对服务器和交换机的安全管理，避免配置和修改服务器、交换机时不慎造成故障。

5 数据库和网络安全审计系统

为了保障网络和数据不受来自外部和内部用户的入侵和破坏，我院通过旁挂模式接入了数据库和网络安全审计系统，实时收集和监控网络、数据库中的系统状态、安全事件、活动，以便集中报警、记录、分析、处理，实现“事前评估—事中监控—事后审计”，对数据库和网络中的操作和更改进行追溯和还原。

6 健全安全管理制度，加强执行

建立了严格的规范的规章制度，规范网络管理、维护人员的各种行为，保障网络安全。如建立了“中心机房管理制度”“机房设备操作制度”“机房出入制度”“设备巡查制度”“工作站操作制度”等。

我们规定网管人员每天必须查看智能网管系统、堡垒机、数据库审计、网络审计、中心服务器、杀毒软件等的日志，做好记录。通过日志，及时发现网络和设备故障隐患，发现非法入侵和使用，不正确的配置和修改。

7 结 语

随着医院信息化建设的不断深入和扩大，信息系统的安全性日益重要，但医院信息系统的安全保障是个系统工作，只有采用多种技术和措施，才能保障。我院从网络安全、设备安全、操作系统安全，系统配置安全，安全审计管理等方面加强保护，健全安全管理制度，切实落实和执行，取得了良好的效果。下一步，我们将逐步建立数据级、应用级的灾备中心，进一步保障医院业务系统的连续可用性及数据安全性。

作者：苟文强

第三篇：构筑企业信息系统的安全防线——企业信息系统安全建设规划探析

【摘要】随着企业信息化建设的迅猛发展，企业信息系统已成为现代企业运营的基础平台，企业信息系统的安全平稳运行，已关系到整个企业的运营和发展。未雨绸缪，如何应信息安全事件的发生，建设企业信息系统的安全防护体系，保障企业数据的安全性和信息系统的业务连续性，已成为企业信息化建设中需要重点思考的课题。本文针对企业信息系统的安全建设规划，从企业信息系统安全防护价值、企业信息系统安全建设现状分析、企业信息安全建设规划的原则和企业信息安全建设规划的部署建议等几个方面，进行了探讨和分析，旨在帮助企业提高信息系统安全建设的系统性和规范性。

【关键词】信息系统;安全建设;防护体系

1.企业信息系统安全防护的价值

随着企业信息化水平的提高，企业对于IT系统的依赖性也越来越高。一方面，“业务系统流程化”正在成为IT安全建设的驱动力。企业的新业务应用正在逐渐标准化和流程化，各种应用系统如ERP、MES为企业的生产效率的提高起到了关键的作用。有效的管控IT环境，确保IT业务系统的持续稳定运行作为企业竞争力的一部分，已成为IT系统安全防护的主要目标和关键驱动力。另一方面，企业IT安全的建设也是“法规遵从”的需要。IT系统作为企业财务应用系统的重要支撑，必须提供可靠的运行保障和数据正确性保证。

2.企业信息系统安全建设的现状分析

在企业信息化建设的过程中，业务系统的建设一直是关注的重点，但是IT业务系统的安全保障方面，往往成为整个信息化最薄弱的环节，尤其是在信息化水平还较低的情况下，IT系统的安全建设缺乏统一的策略作为指导。归结起来，企业在IT系统安全建设的过程中，存在以下几方面的不足：

2.1 安全危机意识不足，制度和规范不健全

尽管知道IT安全事故后果比较严重，但是企业的高层领导心中仍然存在着侥幸心理，更多的时候把IT安全建设的预算挪用到其他的领域。企业在信息安全制度及信息安全紧急事件响应流程等方面缺乏完整的制度和规范保证，由此带来的后果是诸如对网络的任意使用，导致公司的机密文档被扩散。同时在发生网络安全问题的时候，也因为缺乏预先设置的各种应急防护措施，导致安全风险得不到有效控制。

2.2 应用系统和安全建设相分离，忽视数据安全存储建设

在企业IT应用系统的建设时期，由于所属的建设职能部门的不同，或者是因为投资预算的限制，导致在应用系统建设阶段并没有充分考虑到安全防护的需要，为后续的应用系统受到攻击瘫痪埋下了隐患。数据安全的威胁表现在核心数据的丢失;各种自然灾难、IT系统故障，也对数据安全带来了巨大冲击。遗憾的是很多企业在数据的安全存储方面，并没有意识到同城异地灾难备份或远程灾难备份的重要性。

2.3 缺乏整体的安全防护体系，“简单叠加、七国八制”

对于信息安全系统的建设，“头痛医头、脚痛医脚”的现象比较普遍。大多数企业仍然停留在出现一个安全事故后再去解决一个安全隐患的阶段，缺乏对信息安全的全盘考虑和统一规划，这样的后果就是网络上的设备五花八门，设备方案之间各自为战，缺乏相互关联，从而导致了多种问题。

3.企业信息系统安全建设规划的原则

企业的信息化安全建设的目标是要保证业务系统的正常运转从而为企业带来价值，在设计高水平的安全防护体系时应该遵循以下几个原则：

(1)统一规划设计。信息安全建设，需要遵循“统一规划、统一标准、统一设计、统一建设”的原则;应用系统的建设要和信息安全的防护要求统一考虑。

(2)架构先进，突出防护重点。要采用先进的架构，选择成熟的主流产品和符合技术发展趋势的产品;明确信息安全建设的重点，重点保护基础网络安全及关键应用系统的安全，对不同的安全威胁进行有针对性的方案建设。

(3)技术和管理并重，注重系统间的协同防护。“三分技术，七分管理”，合理划分技术和管理的界面，从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手，在系统设计、建设和运维的多环节进行综合协同防范。

(4)统一安全管理，考虑合规性要求。建设集中的安全管理平台，统一处理各种安全事件，实现安全预警和及时响应;基于安全管理平台，输出各种合规性要求的报告，为企业的信息安全策略制定提供参考。

(5)高可靠、可扩展的建设原则。这是任何网络安全建设的必备要求，是业务连续性的需要，是满足企业发展扩容的需要。

4.企业信息系统安全建设的部署建议

以ISO27001等企业信息安全法规[1]遵从的原则为基础，通过分析企业信息安全面临的风险和前期的部署实践，建立企业信息安全建设模型，如图1所示。

图1 企业信息系统安全建设模型

基于上述企业信息安全建设模型，在建设终端安全、网络安全、应用安全、数据安全、统一安全管理和满足法规遵从的全面安全防护体系时，需要重点关注以下几个方面的部署建议：

4.1 实施终端安全，关注完整的用户行为关联分析

在企业关注的安全事件中，信息泄漏是属于危害比较严重的行为。现阶段由于企业对网络的管控不严，员工可以通过很多方式实现信息外泄，常见的方式有通过桌面终端的存储介质进行拷贝或是通过QQ/MSN等聊天工具将文件进行上传等。针对这些高危的行为，企业在建设信息安全防护体系的时候，单纯的进行桌面安全控制或者internet上网行为控制都不能完全杜绝这种行为。而在统一规划实施的安全防护体系中，系统从用户接入的那一时刻开始，就对用户的桌面行为进行监控，同时配合internet上网行为审计设备，对该员工的上网行为进行监控和审计，真正做到从员工接入网络开始的各种操作行为及上网行为都在严密的监控之中，提升企业的防护水平。

4.2 建设综合的VPN接入平台

无论是IPSec、L2TP，还是SSL VPN，都是企业在VPN建设过程中必然会遇到的需求。当前阶段，总部与分支节点的接入方式有广域网专线接入和通过internet接入两种。使用VPN进行加密数据传输是通用的选择。对于部分移动用户接入，也可以考虑部署SSL VPN的接入方式[2]，在这种情况下，如何做好将多种VPN类型客户的认证方式统一是需要重点考虑的问题。而统一接入认证的方式，如采用USBKEY等，甚至在设备采购时就可以预先要求设备商使用一台设备同时支持这些需求。这将给管理员的日常维护带来极大的方便，从而提升企业整体的VPN接入水平。

4.3 优化安全域的隔离和控制，实现L2～L7层的安全防护

在建设安全边界防护控制过程中，面对企业的多个业务部门和分支机构，合理的安全域划分将是关键。按照安全域的划分原则，企业网络包括内部园区网络、Internet边界、DMZ、数据中心、广域网分支、网管中心等组成部分，各安全域之间的相互隔离和访问策略是防止安全风险的重要环节。在多样化安全域划分的基础上，深入分析各安全域内的业务单元，根据企业持续性运行的高低优先级以及面临风险的严重程度，设定合适的域内安全防护策略及安全域之间的访问控制策略，实现有针对性的安全防护。例如，选择FW+IPS等设备进行深层次的安全防护，或者提供防垃圾邮件、Web访问控制等解决方案进行应对，真正实现L2～L7层的安全防护。

4.4 强调网络和安全方案之间的耦合联动，实现网络安全由被动防御到主动防御的转变

统一规划的技术方案，可以做到方案之间的有效关联，实现设备之间的安全联动。在实际部署过程中，在接入用户侧部署端点准入解决方案，实现客户端点安全接入网络。同时启动安全联动的特性，一旦安全设备检测到内部网用户正在对网络的服务器进行攻击，可以实现对攻击者接入位置的有效定位，并采取类似关闭接入交换机端口的动作响应，真正实现从被动防御向主动防御的转变。

4.5 实现统一的安全管理，体现对整个网安全事件的“可视、可控和可管”

统一建设的安全防护系统，还有一个最为重要的优势，就是能实现对全网安全设备及安全事件的统一管理。面对各种安全设备发出来的大量的安全日志，单纯靠管理员的人工操作是无能为力的，而不同厂商之间的安全日志可能还存在较大的差异，难以实现对全网安全事件的统一分析和报警管理。因此在规划之初，就需要考虑到各种安全设备之间的日志格式的统一化，需要考虑设定相关安全策略以实现对日志的归并分析并最终输出各种合规性的报表，只有这样才能做到对全网安全事件的统一可视、安全设备的统一批量配置下发，以及整网安全设备的防控策略的统一管理，最终实现安全运行中心管控平台的建设。[3]

4.6 关注数据存储安全，强调本地数据保护和远程灾难备份相结合

在整体数据安全防护策略中，可以采用本地数据保护和远程灾备相结合的方式。基于CDP的数据连续保护技术可以很好地解决数据本地安全防护的问题，与磁带库相比，它具有很多的技术优势。在数据库代理的配合下，通过连续数据快照功能实现了对重要数据的连续数据保护，用户可以选择在出现灾难后恢复到前面保存过的任何时间点的状态，同时支持对“渐变式灾难”的保护和恢复。在建设异地的灾备中心时，可以考虑从数据级灾备和应用级灾备两个层面进行。生产中心和异地灾备中心的网络连接方式可以灵活选择，即可采用光纤直连，也可采用足够带宽的IP网络连接。在数据同步方式选择上，生产中心和灾备中心采用基于磁盘阵列的异步复制技术，实现数据的异地灾备。异地灾备中心还可以有选择地部署部分关键应用服务器，以提供对关键业务的应用级接管能力，从而实现对数据安全的有效防护。

5.结束语

企业信息安全防护体系的建设是一个长期的持续的工作，不是一蹴而就的，就像现阶段的信息安全威胁也在不断的发展和更新，针对这些信息安全威胁的防护手段也需要逐步的更新并应用到企业的信息安全建设之中，这种动态的过程将使得企业的信息安全防护更有生命力和主动性，真正为企业的业务永续运行提供保障。

参考文献

[1]李纳.计算机系统安全与计算机网络安全浅析[J].科技与企业，2013.

[2]李群，周相广，陈刚.中国石油上游信息系统灾难备份技术与实践[J].信息技术与信息化，2010，06.

[3]刘仁山，孟祥宏.基于层次分析法的信息系统安全评价研究[J].河北工业科技，2013，01.

作者简介：顾宇(1977—)，男，吉林吉林人，高级工程师，吉化信息网络公司软信分公司副经理，主要从事企业信息系统的建设和运行维护工作。

作者：顾宇 张辉