前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全保障主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:信息安全 漏洞挖掘 漏洞利用 病毒 云安全 保障模式變革
l 引言
信息安全與網(wǎng)絡(luò)安全的概念正在與時(shí)俱進(jìn),它從早期的通信保密發(fā)展到關(guān)注信息的保密、完整、可用、可控和不可否認(rèn)的信息安全,再到如今的信息保障和信息保障體系。單純的保密和靜態(tài)的保障模式都已經(jīng)不能適應(yīng)今天的需要。信息安全保障依賴人、操作和技術(shù)實(shí)現(xiàn)組織的業(yè)務(wù)運(yùn)作,穩(wěn)健的信息保障模式意味著信息保障和政策、步驟、技術(shù)與機(jī)制在整個(gè)組織的信息基礎(chǔ)設(shè)施的所有層面上均能得以實(shí)施。
近年以來,我國(guó)的信息安全形勢(shì)發(fā)生著影響深遠(yuǎn)的變化,透過種種紛繁蕪雜的現(xiàn)象,可以發(fā)現(xiàn)一些規(guī)律和趨勢(shì),一些未來信息安全保障模式變革初現(xiàn)端倪。
2 信息安全形勢(shì)及分析
據(jù)英國(guó)《簡(jiǎn)氏戰(zhàn)略報(bào)告》和其它網(wǎng)絡(luò)組織對(duì)世界各國(guó)信息防護(hù)能力的評(píng)估,我國(guó)被列入防護(hù)能力最低的國(guó)家之一,排名大大低于美國(guó)、俄羅斯和以色列等信息安全強(qiáng)國(guó),排在印度、韓國(guó)之后。我國(guó)已成為信息安全惡性事件的重災(zāi)區(qū),國(guó)內(nèi)與網(wǎng)絡(luò)有關(guān)的各類違法行為以每年高于30%的速度遞增。根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心的監(jiān)測(cè)結(jié)果,目前我國(guó)95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或侵入,其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。
在互聯(lián)網(wǎng)的催化下,計(jì)算機(jī)病毒領(lǐng)域正發(fā)生著深刻變革,病毒產(chǎn)業(yè)化經(jīng)營(yíng)的趨勢(shì)日益顯現(xiàn)。一條可怕的病毒產(chǎn)業(yè)鏈正悄然生成。
傳統(tǒng)的黑客尋找安全漏洞、編寫漏洞利用工具、傳播病毒、操控受害主機(jī)等環(huán)節(jié)都需要自己手工完成。然而,現(xiàn)在由于整個(gè)鏈條通過互聯(lián)網(wǎng)運(yùn)作,從挖掘漏洞、漏洞利用、病毒傳播到受害主機(jī)的操控,已經(jīng)形成了一個(gè)高效的流水線,不同的黑客可以選擇自己擅長(zhǎng)的環(huán)節(jié)運(yùn)作并牟取利潤(rùn),從而使得整個(gè)病毒產(chǎn)業(yè)的運(yùn)作效率更高。黑客產(chǎn)業(yè)化經(jīng)營(yíng)產(chǎn)生了嚴(yán)重的負(fù)面影響:
首先,病毒產(chǎn)業(yè)鏈的形成意味著更高的生產(chǎn)效率。一些經(jīng)驗(yàn)豐富的黑客甚至可以編寫出自動(dòng)化的處理程序?qū)σ延械牟《具M(jìn)行變形,從而生產(chǎn)出大量新種類的病毒。面對(duì)井噴式的病毒增長(zhǎng),當(dāng)前的病毒防范技術(shù)存在以下三大局限:①新樣本巨量增加、單個(gè)樣本的生存期縮短,現(xiàn)有技術(shù)無法及時(shí)截獲新樣本。②即使能夠截獲,則每天高達(dá)數(shù)十萬(wàn)的新樣本數(shù)量,也在嚴(yán)重考驗(yàn)著對(duì)于樣本的分析、處理能力。③即使能夠分析處理,則如何能夠讓中斷在最短時(shí)間內(nèi)獲取最新的病毒樣本庫(kù),成為重要的問題。
其次,病毒產(chǎn)業(yè)鏈的形成意味著更多的未知漏洞被發(fā)現(xiàn)。在互聯(lián)網(wǎng)的協(xié)作模式下,黑客間通過共享技術(shù)和成果,漏洞挖掘能力大幅提升,速度遠(yuǎn)遠(yuǎn)超過了操作系統(tǒng)和軟件生產(chǎn)商的補(bǔ)丁速度。
再次,黑客通過租用更好的服務(wù)器、更大的帶寬,為漏洞利用和病毒傳播提供硬件上的便利;利用互聯(lián)網(wǎng)論壇、博客等,高級(jí)黑客雇傭“軟件民工”來編寫更強(qiáng)的驅(qū)動(dòng)程序,加入病毒中加強(qiáng)對(duì)抗功能。大量軟件民工的加入,使得病毒產(chǎn)業(yè)鏈條更趨“正規(guī)化、專業(yè)化”,效率也進(jìn)一步提高。
最后,黑客通過使用自動(dòng)化的“肉雞”管理工具,達(dá)到控制海量的受害主機(jī)并且利用其作為繼續(xù)牟取商業(yè)利潤(rùn)的目的。至此整個(gè)黑客產(chǎn)業(yè)內(nèi)部形成了一個(gè)封閉的以黑客養(yǎng)黑客的“良性循環(huán)”圈。
3 漏洞挖捆與利用
病毒產(chǎn)業(yè)能有今天的局面,與其突破了漏洞挖掘的瓶頸息息相關(guān)。而漏洞挖掘也是我們尋找漏洞、彌補(bǔ)漏洞的有利工具,這是一柄雙刃劍。
3.1漏洞存在的必然性
首先,由于Internet中存在著大量早期的系統(tǒng),包括低級(jí)設(shè)備、舊的系統(tǒng)等,擁有這些早期系統(tǒng)的組織沒有足夠的資源去維護(hù)、升級(jí),從而保留了大量己知的未被修補(bǔ)的漏洞。其次,不斷升級(jí)中的系統(tǒng)和各種應(yīng)用軟件,由于要盡快推向市場(chǎng),往往沒有足夠的時(shí)間進(jìn)行嚴(yán)格的測(cè)試,不可避免地存在大量安全隱患。再次,在軟件開發(fā)中,由于開發(fā)成本、開發(fā)周期、系統(tǒng)規(guī)模過分龐大等等原因,Bug的存在有其固有性,這些Bug往往是安全隱患的源頭。另外,過分龐大的網(wǎng)絡(luò)在連接、組織、管理等方面涉及到很多因素,不同的硬件平臺(tái)、不同的系統(tǒng)平臺(tái)、不同的應(yīng)用服務(wù)交織在一起,在某種特定限制下安全的網(wǎng)絡(luò),由于限制條件改變,也會(huì)漏洞百出。
3.2漏洞挖掘技術(shù)
漏洞挖掘技術(shù)并不單純的只使用一種方法,根據(jù)不同的應(yīng)用有選擇地使用自下而上或者自上而下技術(shù),發(fā)揮每種技術(shù)的優(yōu)勢(shì),才能達(dá)到更好的效果。下面是常用的漏洞挖掘方法:
(1)安全掃描技術(shù)。安全掃描也稱為脆弱性評(píng)估,其基本原理是采用模擬攻擊的方式對(duì)目標(biāo)系統(tǒng)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢測(cè)。借助于安全掃描技術(shù),人們可以發(fā)現(xiàn)主機(jī)和網(wǎng)絡(luò)系統(tǒng)存在的對(duì)外開放的端口、提供的服務(wù)、某些系統(tǒng)信息、錯(cuò)誤的配置等,從而檢測(cè)出已知的安全漏洞,探查主機(jī)和網(wǎng)絡(luò)系統(tǒng)的入侵點(diǎn)。
(2)手工分析。針對(duì)開源軟件,手工分析一般是通過源碼閱讀工具,例如sourceinsight等,來提高源碼檢索和查詢的速度。簡(jiǎn)單的分析一般都是先在系統(tǒng)中尋找strcpy0之類不安全的庫(kù)函數(shù)調(diào)用進(jìn)行審查,進(jìn)一步地審核安全庫(kù)函數(shù)和循環(huán)之類的使用。非開源軟件與開源軟件相比又有些不同,非開源軟件的主要局限性是由于只能在反匯編獲得的匯編代碼基礎(chǔ)上進(jìn)行分析。在針對(duì)非開源軟件的漏洞分析中,反編引擎和調(diào)試器扮演了最蘑要的角色,如IDA Pro是目前性能較好的反匯編工具。
(3)靜態(tài)檢查。靜態(tài)檢查根據(jù)軟件類型分為兩類,針對(duì)開源軟件的靜態(tài)檢查和針對(duì)非開源軟件的靜態(tài)檢查。前者主要使用編譯技術(shù)在代碼掃描或者編譯期間確定相關(guān)的判斷信息,然后根據(jù)這些信息對(duì)特定的漏洞模型進(jìn)行檢查。而后者主要是基于反匯編平臺(tái)IDAPro,使用自下而上的分析方法,對(duì)二進(jìn)制文件中的庫(kù)函數(shù)調(diào)用,循環(huán)操作等做檢查,其側(cè)重點(diǎn)主要在于靜態(tài)的數(shù)據(jù)流回溯和對(duì)軟件的逆向工程。
(4)動(dòng)態(tài)檢查。動(dòng)態(tài)檢查也稱為運(yùn)行時(shí)檢查,基本的原理就是通過操作系統(tǒng)提供的資源監(jiān)視接口和調(diào)試接口獲取運(yùn)行時(shí)目標(biāo)程序的運(yùn)行狀態(tài)和運(yùn)行數(shù)據(jù)。目前常用的動(dòng)態(tài)檢查方法主要有環(huán)境錯(cuò)誤注入法和數(shù)據(jù)流分析法。以上介紹的各種漏洞挖掘技術(shù)之間并不是完全獨(dú)立的,各種技術(shù)往往通過融合來互相彌補(bǔ)缺陷,從而構(gòu)造功能強(qiáng)大的漏洞挖掘工具。
關(guān)鍵詞:檔案信息;安全保障;體系;構(gòu)建
今天是一個(gè)科技高速發(fā)展的時(shí)代,信息技術(shù)越來越發(fā)到,為人們的生活帶來了極大的便利性。社會(huì)發(fā)展朝著信息資源整合、共享的方向發(fā)展。隨著信息資源整合數(shù)字化的腳步不斷加快,信息網(wǎng)絡(luò)化逐漸普及,檔案信息化的進(jìn)程不斷加快,數(shù)字檔案資源借助檔案信息系統(tǒng)管理程度不斷加深,檔案信息的安全性要求越來越高。因此,提高檔案信息風(fēng)險(xiǎn)控制能力,加強(qiáng)檔案信息安全管理水平,檔案信息資源的價(jià)值才能有效的發(fā)揮起來。
1 檔案信息安全保障體系建立的必要性
(一)檔案信息特點(diǎn)環(huán)境必要
檔案信息作為國(guó)家信息資源的重要組成部分,因其真實(shí)性等特點(diǎn),需要不斷提高對(duì)檔案信息的重視程度,切實(shí)做好保護(hù)措施。今天,是信息化的時(shí)代,電子檔案的傳統(tǒng)特點(diǎn)隨著信息化的到來而受到質(zhì)疑。加強(qiáng)檔案保護(hù)的呼聲日漸高漲,檔案信息安全已經(jīng)從原本只做保管向安全保障的方向發(fā)展。對(duì)于檔案的保護(hù)工作在早期只在檔案保管與內(nèi)容保密上,到了中期,發(fā)展為保密、完整以及可用,最后發(fā)展為完整、保密、可用、真實(shí)、可控、可申以及不可抵賴。
(二)檔案信息安全價(jià)值必要。
實(shí)現(xiàn)檔案信息價(jià)值可以依賴檔案信息安全保障體系的建立,其具備現(xiàn)實(shí)基礎(chǔ)的意義。為社會(huì)提供服務(wù)以及供公眾使用的檔案信息必須具備真實(shí)、完整、準(zhǔn)確、有效才行,這就需要檔案工作的所有環(huán)節(jié)都要把防護(hù)工作做到位,提高安全思想意識(shí),嚴(yán)格按照“預(yù)防第一,防治結(jié)合”的方針,制定有效的措施,確保檔案信息的真是可用,并最大化檔案信息的價(jià)值,充分發(fā)揮其作用。檔案信息安全保障體系的建立,對(duì)檔案管理事業(yè)的發(fā)展以及國(guó)家信息安全保障體系的建立起到重要的推動(dòng)作用。
2 影響檔案信息安全的因素
(一)自然因素
自然界是檔案信息資源存在與運(yùn)用的主要方面,因此,自然災(zāi)害對(duì)檔案信息的危害極大,能夠直接造成檔案信息資源的安全隱患發(fā)生。
(二)環(huán)境因素
為檔案信息帶來安全隱患的因素還有環(huán)境條件的不符合,比如,控制檔案信息的網(wǎng)絡(luò)中心以及工作站會(huì)因?yàn)榄h(huán)境要求不達(dá)標(biāo),在成電源質(zhì)量差、溫濕度不合適等現(xiàn)象,再加上空氣污染以及有害生物的作用下,很容易為檔案信息造成不利影響。
(三)技術(shù)因素
對(duì)于紙質(zhì)檔案來說,紙張自身的耐久性與造紙技術(shù)有著極大的關(guān)聯(lián)性。新型載體檔案而言,決定檔案信息的安全因素是載體的質(zhì)量、計(jì)算機(jī)技術(shù)等因素。比如網(wǎng)絡(luò)安全漏洞、計(jì)算機(jī)故障等,都會(huì)對(duì)信息安全帶來不利影響。
(四)社會(huì)因素
第一制約檔案信心安全的重要因素之一資金短缺。資金投入不足,很容易造成檔案信息安全軟、硬件設(shè)備的質(zhì)量問題。第二,社會(huì)暴力等因素,也會(huì)為檔案信息資源造成安全問題。隨著我國(guó)互聯(lián)網(wǎng)的不斷發(fā)展,各種勢(shì)力都會(huì)利用互聯(lián)網(wǎng)進(jìn)行危險(xiǎn)活動(dòng),因此,很容易造成檔案信息的安全問題。
3 檔案信息安全管理保障體系
檔案信息安全管理體系管理占據(jù)重要地位,另外還需要技術(shù)的達(dá)標(biāo)。檔案信息安全技術(shù)保障體系需要檔案信息安全管理體系做支撐。劇相關(guān)統(tǒng)計(jì)表明,信息被盜、信息泄露的根源在于內(nèi)部管理的松懈,系統(tǒng)內(nèi)部是計(jì)算機(jī)安全問題的根源,這些情況的發(fā)生主要是因?yàn)橄嚓P(guān)人員思想意識(shí)松懈以及管理體制的缺失造成。所以,信息安全技術(shù)系統(tǒng)建立之后,相應(yīng)的管理制度也要緊隨其后,兩者相輔相成,切實(shí)將檔案信息安全保障體系落到實(shí)處。
(一)建立健全檔案信息安全管理制度
相應(yīng)的安全管理制度是檔案信息安全管理與檔案信息工作落實(shí)到位的重要保障。因此,首先要做好統(tǒng)籌規(guī)劃工作,將“收、管、存、用”落實(shí)到位,制定科學(xué)有效的檔案信息安全管理方案。其次,相應(yīng)的檔案信息安全管理部門要設(shè)置,專門監(jiān)督檔案信息安全與保密管理工作,確保檔案信息系統(tǒng)各個(gè)方面的工作都落實(shí)到位。最后,相應(yīng)的規(guī)章制度的建立,比如安全防范責(zé)任制、重要數(shù)據(jù)與文件管理制度、緊急備份與應(yīng)急預(yù)案等。只有從制度上對(duì)安全工作進(jìn)行約束與規(guī)范,才能提高安全管理工作,做好預(yù)防工作,將危害的損失降低到最小,切實(shí)將檔案信息安全體系作用發(fā)揮到最優(yōu)。
(二)加強(qiáng)人員檔案信息安全培訓(xùn)提高安全意識(shí)
檔案信息安全保障體系的核心是人,這不僅是檔案信息系統(tǒng)的擁有者,也是管理者與使用者。因此,培養(yǎng)專業(yè)的檔案信息人才,建設(shè)檔案信息安全管理隊(duì)伍,提高相關(guān)工作人員的檔案信息安全意識(shí),對(duì)不同層面的人員做好安全管理工作培訓(xùn)是建設(shè)檔案信息安全保障體系的關(guān)鍵。只有將人員素質(zhì)提高了,檔案信息安全保障體系工作才能順利進(jìn)行。
(三)制定n案信息安全標(biāo)準(zhǔn)規(guī)范
根據(jù)國(guó)內(nèi)相關(guān)法律法規(guī)以及行業(yè)標(biāo)準(zhǔn)規(guī)范、嚴(yán)格按照業(yè)界管理,結(jié)合自身實(shí)際情況,構(gòu)建檔案信息安全保障體系?,F(xiàn)階段,國(guó)家檔案局以及編制好《檔案信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南》,為指導(dǎo)各省級(jí)以上的檔案信息安全工作。但是,不可否認(rèn)的是我國(guó)檔案信息安全保障體系還處在建設(shè)的初級(jí)階段,相比于信息安全保障體系的研究差距還很大,所以,在實(shí)施檔案信息安全保障體系的過程中,可以參考國(guó)內(nèi)外信息安全保障體系的相應(yīng)標(biāo)準(zhǔn)規(guī)范。只有制定科學(xué)有效的檔案信息安全標(biāo)準(zhǔn)與規(guī)范,檔案信息安全工作才能有規(guī)可循,建設(shè)過程中不必要的工作也會(huì)相應(yīng)的減少,從而更好的規(guī)范與保障檔案信息安全。
我國(guó)信息資源的重要組成部分之一檔案信息資源,對(duì)我國(guó)未來信息資源的安全有著重要的影響。檔案管理工作的最基本也是最重要的任務(wù)就是檔案信息安全保障工作。構(gòu)建檔案信息安全保障體系是發(fā)展的必然結(jié)果,而這也是一個(gè)不能缺少的體系。檔案信息安全保障體系的構(gòu)建,需要從檔案信息安全的各個(gè)方面做好整體的計(jì)劃,結(jié)合管理與技術(shù),結(jié)合不斷變化的環(huán)境需要制定具體的措施,同時(shí)還要根據(jù)檔案工作的形式做好時(shí)時(shí)的調(diào)整與改進(jìn)工作。
參考文獻(xiàn)
[1]宋丹.基于信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制的檔案信息安全保障體系建設(shè)研究[J].檔案時(shí)空,2013(12).
[2]顧倩倩.加強(qiáng)檔案安全保障體系建設(shè)確保事業(yè)單位檔案信息安全[J].才智, 2015(15).
關(guān)鍵詞:檔案;安全保障;建設(shè);研究
引言
檔案信息安全作為檔案管理工作的重中之重,一直以砭捅甘芄刈。但由于近年來受到自然災(zāi)害和信息技術(shù)發(fā)展的影響,檔案信息安全再一次牽動(dòng)了所有人的心,一旦發(fā)生安全隱患,將會(huì)造成一系列的連鎖反應(yīng),對(duì)國(guó)家以及人民的生活形成惡劣影響。所以,對(duì)于加強(qiáng)檔案信息安全保障體系的建設(shè)已是迫在眉睫。相關(guān)檔案部門應(yīng)要不斷完善檔案信息管理體系,從理論和實(shí)踐兩個(gè)角度對(duì)檔案安全保障體系構(gòu)建問題進(jìn)行了全方位的分析和研究,以進(jìn)一步提升了各級(jí)檔案部門的檔案安全保障能力。
1檔案信息安全保障體系構(gòu)建的依據(jù)
首先,加強(qiáng)檔案的安全保障體系建設(shè)是針對(duì)我國(guó)當(dāng)前的國(guó)情而定的體系準(zhǔn)則。能源資源、信息資源是當(dāng)前各個(gè)國(guó)家關(guān)注和爭(zhēng)奪的非常重要的戰(zhàn)略性資源,即使是國(guó)際上也都有真實(shí)的案例來反映出敵對(duì)勢(shì)力運(yùn)用各種途徑和手段來獲取檔案信息,這也是當(dāng)前新形勢(shì)下首要應(yīng)對(duì)的挑戰(zhàn)。
其次,加強(qiáng)檔案的安全保障體系建設(shè)是應(yīng)對(duì)自然災(zāi)害的客觀需求。自然災(zāi)害基本上人們只能盡最大努力去預(yù)防,現(xiàn)階段并沒有任何一種自然災(zāi)害是人為可以控制的,像地震、火災(zāi)、水災(zāi)、海嘯、泥石流,等等,這些自然災(zāi)害一旦發(fā)生時(shí)是沒有預(yù)知的,最重要的是這些自然災(zāi)害沒有可抗拒性。因此對(duì)檔案的實(shí)體危害也是最大的。地震和海嘯對(duì)檔案館造成的后果是不可預(yù)知的,同時(shí)也給檔案館的災(zāi)害防治工作敲響警鐘。
再次,加強(qiáng)檔案安全保障體系建設(shè)是為了更加有效地解決我國(guó)檔案安全體系存在問題的需求,很多檔案管理部門對(duì)檔案安全保障工作的理解都是非常的單一,其實(shí)檔案安全主要分為載體安全保障和信息安全保障兩種。一部分檔案是呈現(xiàn)出顯性狀態(tài),而一部分檔案則是呈現(xiàn)出隱性狀態(tài),但是由于對(duì)檔案安全保障體系理解的局限性,使得在實(shí)際的工作中,很多的檔案管理方法和檔案管理措施都非常傳統(tǒng),沒有任何創(chuàng)新之處,安全工作的重心也出現(xiàn)了偏移,更加注重于基礎(chǔ)設(shè)施的投入,對(duì)檔案管理的長(zhǎng)期維護(hù)并沒有投入太多的時(shí)間和精力,有些地區(qū)甚至對(duì)這部門是忽視的,沒有任何的精力投入,導(dǎo)致整個(gè)檔案管理缺乏足夠的安全意識(shí)和風(fēng)險(xiǎn)意識(shí)。
最后,檔案安全保障體系建設(shè)是提升檔案管理水平的有效途徑。檔案安全保障體系建設(shè)一定要以檔案安全保障理論為指導(dǎo)依據(jù),在綜合了管理、人員、技術(shù)、手段的基礎(chǔ)上,創(chuàng)建動(dòng)態(tài)的、開放的安全保障體系,進(jìn)而有效保障檔案信息的安全。而創(chuàng)建檔案安全保障體系還能夠從根本上提高我國(guó)對(duì)檔案文獻(xiàn)的保存年限,實(shí)現(xiàn)檔案的全方位控制,從根本上解決檔案安全保障實(shí)施過程中的一些難題,提高檔案安全保障體系的水平。
檔案安全保障體系的構(gòu)建還有效促進(jìn)了我國(guó)檔案安全保障從機(jī)構(gòu)層面向國(guó)家層面的轉(zhuǎn)變,從之前的單一技術(shù)向集成化技術(shù)轉(zhuǎn)變,不斷完善檔案管理措施和技術(shù)措施,將檔案安全保障體系成功的納入到我國(guó)的檔案建設(shè)計(jì)劃中。檔案安全保障體系的創(chuàng)建,意味著我國(guó)檔案安全保障能力建設(shè)逐漸向系統(tǒng)化、集成化和規(guī)范化的方向發(fā)展。
2檔案信息安全保障體系構(gòu)建的研究
檔案安全保障體系會(huì)涉及檔案遭受安全威脅等多方面的問題,屬于非常復(fù)雜的系統(tǒng)性工程,而且目前的檔案安全管理以及檔案保存還存在很多不安全因素。研究人員通過對(duì)檔案風(fēng)險(xiǎn)進(jìn)行分析和評(píng)估,確定了安全系統(tǒng)所面臨的安全風(fēng)險(xiǎn),進(jìn)而找出安全風(fēng)險(xiǎn)的一些防范措施,進(jìn)一步保證了檔案管理的相關(guān)安全策略。檔案安全問題的解決不僅僅需要解決技術(shù)方面的問題,還需要對(duì)檔案安全保障各個(gè)環(huán)節(jié)的管理及組織問題進(jìn)行詳細(xì)的分析對(duì)比,進(jìn)而形成一個(gè)目標(biāo)明確、技術(shù)措施有效的檔案安全保障體系,這一保障體系的核心思想主要是將檔案的管理全過程以及技術(shù)安全等措施設(shè)計(jì)成為一個(gè)相對(duì)完整的、統(tǒng)一的安全保護(hù)平臺(tái),并且以管理活動(dòng)為主線對(duì)檔案安全保障體系進(jìn)行分層防御,從而實(shí)現(xiàn)檔案的層次性管理?,F(xiàn)階段我國(guó)的檔案安全保障體系主要包括三個(gè)子系統(tǒng),分別是檔案管理安全子系統(tǒng)、檔案維護(hù)安全保障子系統(tǒng)和檔案新資源開發(fā)利用安全保障子系統(tǒng),這三個(gè)子系統(tǒng)與檔案的生命周期息息相關(guān),所覆蓋的領(lǐng)域也非常廣泛,檔案基本上涵蓋了我國(guó)社會(huì)各個(gè)領(lǐng)域的內(nèi)容。概括起來主要有以下幾個(gè)方面。
2.1安全基礎(chǔ)設(shè)施
安全基礎(chǔ)設(shè)施主要是指維護(hù)檔案安全、保障檔案開發(fā)利用,為社會(huì)提供方便服務(wù)而進(jìn)行的一系列基礎(chǔ)性建設(shè)工作,這一階段對(duì)檔案管理的主要內(nèi)容有檔案的保管環(huán)境管理、檔案利用設(shè)備管理、檔案維護(hù)監(jiān)控設(shè)備管理,等等。
2.2安全組織管理
這里所說的安全組織管理主要是指對(duì)當(dāng)前檔案機(jī)構(gòu)部門安排與人員的教育培訓(xùn)方面進(jìn)行安全方面的強(qiáng)化。從整體組織上來不斷完善各個(gè)部門的安全管理職能,進(jìn)一步加強(qiáng)各個(gè)部門之間的業(yè)務(wù)協(xié)調(diào)與經(jīng)驗(yàn)交流,從管理層面上入手對(duì)工作人員進(jìn)行培訓(xùn)和管理,從實(shí)際的人員操作入手,對(duì)一些不規(guī)范的操作要及時(shí)的予以糾正,而對(duì)那些有較大操作問題的則需要進(jìn)行安全意識(shí)方面的教育。
2.3安全全程控制
安全全程控制主要是指對(duì)檔案從形成立案之后直至銷毀的各個(gè)過程都要進(jìn)行非常嚴(yán)格的控制。具體控制內(nèi)容如下:
第一是前端控制。這一階段需要工作人員在所有的安全保障活動(dòng)之前進(jìn)行設(shè)計(jì)和準(zhǔn)備。
第二是日常檔案維護(hù)。這一階段主要是對(duì)檔案庫(kù)房中的一些檔案進(jìn)行實(shí)時(shí)的安全監(jiān)控管理。
第三是對(duì)災(zāi)難檔案進(jìn)行備份處理。這一階段所接觸的重點(diǎn)是恢復(fù)那些因自然因素和人為因素造成損壞的檔案,及時(shí)發(fā)現(xiàn)問題,并快速響應(yīng)問題。
第四是防止檔案信息出現(xiàn)損壞和丟失。禁止人員擅自損壞刪除檔案,對(duì)恢復(fù)和搶救檔案的過程要進(jìn)行全程的記錄。盡量避免出現(xiàn)二次檔案?jìng)Α?/p>
第五是對(duì)檔案進(jìn)行質(zhì)量檢查和評(píng)估。在各項(xiàng)檔案工作完成之后,還要對(duì)檔案的質(zhì)量進(jìn)行事前記錄和事后對(duì)比,并對(duì)不同階段的檔案質(zhì)量進(jìn)行對(duì)比分析,查找出質(zhì)量較差的檔案,對(duì)其信息進(jìn)行備份,并及時(shí)修復(fù)這批檔案。
第六是對(duì)檔案的風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)。要對(duì)檔案工作的全過程都進(jìn)行風(fēng)險(xiǎn)評(píng)估,及時(shí)預(yù)測(cè)可能存在的潛在風(fēng)險(xiǎn)以及可能出現(xiàn)的一些后果,做好準(zhǔn)備工作,并創(chuàng)建風(fēng)險(xiǎn)評(píng)估模式與指標(biāo)體系。
2.4安全法規(guī)標(biāo)準(zhǔn)
這一標(biāo)準(zhǔn)主要是制定了詳細(xì)的法律法規(guī),是為了保障檔案中各項(xiàng)安全保障活動(dòng)都能夠有法可尋。但是從我國(guó)當(dāng)前的檔案管理情況來看,很多檔案館都還是沿用傳統(tǒng)的管理手段,檔案安全保障體系的建立與開發(fā)等制度都會(huì)出現(xiàn)這樣那樣的問題。由此可見,檔案安全保障體系的創(chuàng)建有利于檔案的系統(tǒng)化管理,對(duì)建設(shè)中國(guó)特色的檔案管理有極強(qiáng)的現(xiàn)實(shí)含義。
關(guān)鍵詞 信息系統(tǒng);安全;保障體系;技術(shù);信息技術(shù)基礎(chǔ)設(shè)施
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2013)14-0137-02
油服信息技術(shù)應(yīng)用與集中程度的不斷深入提高,信息安全保障體系建設(shè)工作已成為信息化建設(shè)過程中的重要組成部分。油服具有地域分布廣、業(yè)務(wù)復(fù)雜多樣等特點(diǎn),在信息安全形勢(shì)多變的情況下,獨(dú)立分散的安全措施已無法更好地滿足安全防護(hù)需求。信息安全若不能得到很好的保障,將給公司的業(yè)務(wù)正常運(yùn)作及辦公穩(wěn)定性、高效性和有效性帶來影響。因此,需完善公司的信息安全政策方針、規(guī)劃并建立符合油服實(shí)際情況的信息安全保障體系,采用先進(jìn)的安全管理過程模式,完善信息安全管理制度與規(guī)范,提高員工的信息安全意識(shí),提升風(fēng)險(xiǎn)控制及保障水平,以支撐油服核心業(yè)務(wù)的健康發(fā)展。
1 信息安全保障體系
1.1 信息安全保障體系建設(shè)需求
油服在信息安全方面已部署了部分信息安全防護(hù)措施,如劃分安全域、部署邊界訪問控制設(shè)備、配備入侵防御系統(tǒng)、部署統(tǒng)一的防惡意代碼軟件等。與此同時(shí),每年都開展信息系統(tǒng)安全測(cè)評(píng)工作,對(duì)公司的信息系統(tǒng)進(jìn)行安全等級(jí)測(cè)評(píng)差距分析、安全問題整改咨詢核查以及滲透性測(cè)試等,從而能夠較為全面的掌握當(dāng)前各信息系統(tǒng)和信息安全管理制度的建設(shè)、運(yùn)維和使用情況,以提高信息系統(tǒng)的安全防護(hù)能力。但從總體來看,仍缺乏信息安全保障體系框架,總體安全方針和策略不夠明確,安全區(qū)域劃分不夠細(xì)致,網(wǎng)絡(luò)設(shè)備和重要服務(wù)器的安全策略缺乏統(tǒng)一標(biāo)準(zhǔn),未部署安全運(yùn)維管理中心,無法真正起到縱深安全防御的效用。
1.2 信息安全保障體系目標(biāo)與定位
信息安全保障體系的建設(shè)要結(jié)合油服的信息安全需求、網(wǎng)絡(luò)應(yīng)用現(xiàn)狀及未來發(fā)展趨勢(shì),在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,明確與等級(jí)保護(hù)相適應(yīng)的安全策略及具體的實(shí)施辦法。對(duì)全網(wǎng)進(jìn)行合理的安全域劃分,技術(shù)與管理并重的同時(shí),以應(yīng)用與實(shí)效為主導(dǎo),從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、組織管理等方面,保障油服信息安全,形成集檢測(cè)、響應(yīng)、恢復(fù)、防護(hù)為一體的安全保障體系。
2 油服信息安全保障體系架構(gòu)模型
油服信息安全保障體系框架采用“結(jié)構(gòu)化”的分析和控制方法,縱向把保護(hù)對(duì)象分成安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò);橫向把控制體系分成安全管理、安全技術(shù)和安全運(yùn)行的控制體系,同時(shí)通過“一個(gè)安全管理中心”的安全管理概念和模式,形成一個(gè)依托于安全保護(hù)對(duì)象為基礎(chǔ),橫向建立安全管理體系、安全技術(shù)體系、安全運(yùn)行體系和安全管理中心“三個(gè)體系、一個(gè)中心、三重防護(hù)”的信息安全保障體系
框架。
2.1 安全管理體系
根據(jù)等級(jí)保護(hù)基本要求的相關(guān)內(nèi)容,信息安全管理體系重點(diǎn)落實(shí)安全管理制度、安全管理機(jī)構(gòu)和人員安全管理的相關(guān)控制要求。
2.2 安全技術(shù)體系
根據(jù)等級(jí)保護(hù)基本要求的相關(guān)內(nèi)容,通過安全技術(shù)在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)各個(gè)層面的實(shí)施,建立與實(shí)際情況相結(jié)合的安全技術(shù)體系。
2.3 安全運(yùn)行體系
根據(jù)等級(jí)保護(hù)基本要求的相關(guān)內(nèi)容,信息安全運(yùn)行體系重點(diǎn)落實(shí)系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理的相關(guān)控制要求,并與實(shí)際情況相結(jié)合,形成符合等級(jí)保護(hù)要求的信息安全運(yùn)行體系
框架。
2.4 安全管理中心
根據(jù)等級(jí)保護(hù)基本要求和安全設(shè)計(jì)技術(shù)要求的相關(guān)內(nèi)容,通過“自動(dòng)、平臺(tái)化”的方式,對(duì)信息安全管理、技術(shù)、運(yùn)行三個(gè)體系的相關(guān)控制內(nèi)容,結(jié)合實(shí)際情況加以落實(shí)。
3 油服信息安全保障體系架構(gòu)設(shè)計(jì)
3.1 安全管理體系架構(gòu)設(shè)計(jì)
信息安全管理體系架構(gòu)的設(shè)計(jì)可從以下3方面開展。
3.1.1 信息安全組織
油服信息安全組織為信息安全管理委員會(huì),各業(yè)務(wù)部門為信息安全小組,部門經(jīng)理為本小組的第一安全責(zé)任人。同時(shí),定義了組織中各職能角色的職責(zé),以此指導(dǎo)信息安全工作開展。
3.1.2 信息安全制度
油服的信息安全制度一方面能及時(shí)反映公司的信息安全風(fēng)險(xiǎn)動(dòng)態(tài),便于靈活地修訂與更新;另一方面確保信息安全技術(shù)與管理人員及用戶能夠了解哪些是禁止做的,哪些是必須做的。
3.1.3 人員安全管理
在人員安全管理方面,可以通過對(duì)人員錄用、調(diào)用、離崗、考核、培訓(xùn)教育和第三方人員安全幾個(gè)方面進(jìn)行設(shè)計(jì)。
3.2 安全技術(shù)體系架構(gòu)設(shè)計(jì)
信息安全技術(shù)體系架構(gòu)設(shè)計(jì)可從以下3個(gè)方面開展。
3.2.1 信息安全服務(wù)架構(gòu)
信息安全服務(wù)架構(gòu)設(shè)計(jì)分為保護(hù)、檢測(cè)、響應(yīng)與恢復(fù)四個(gè)環(huán)節(jié),實(shí)現(xiàn)對(duì)信息可用性、完整性和機(jī)密性的保護(hù),監(jiān)測(cè)檢查系統(tǒng)存在的安全漏洞,對(duì)危害系統(tǒng)安全的事件行為做出響應(yīng)
處理。
3.2.2 信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)
信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)以網(wǎng)絡(luò)安全架構(gòu)為主體,結(jié)合系統(tǒng)軟硬件進(jìn)行安全配置和部署。網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃根據(jù)網(wǎng)絡(luò)所承載的應(yīng)用系統(tǒng)特性和所面臨的風(fēng)險(xiǎn)劃分不同的網(wǎng)絡(luò)安全域,并實(shí)施安全防護(hù)措施。
3.2.3 應(yīng)用安全架構(gòu)
應(yīng)用系統(tǒng)的信息安全保障是在信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)上,更多地關(guān)注已有的信息安全服務(wù)是否被充分利用。為滿足業(yè)務(wù)系統(tǒng)對(duì)信息安全的需求,通過在業(yè)務(wù)系統(tǒng)中實(shí)現(xiàn)集成保障信息安全的機(jī)制,從而達(dá)到信息安全技術(shù)控制要求。
3.3 安全運(yùn)行體系架構(gòu)設(shè)計(jì)
油服信息安全運(yùn)行體系架構(gòu)設(shè)計(jì)主要從以下3個(gè)方面開展。
3.3.1 信息系統(tǒng)安全等級(jí)劃分
油服信息系統(tǒng)安全等級(jí)劃分從信息資產(chǎn)等級(jí)、網(wǎng)絡(luò)系統(tǒng)等級(jí)和應(yīng)用系統(tǒng)等級(jí)三個(gè)方面進(jìn)行定義。
3.3.2 信息安全技術(shù)控制
信息安全技術(shù)控制是由系統(tǒng)自身自動(dòng)完成的安全控制。主要在信息系統(tǒng)的網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層,包含身份鑒別、訪問控制、安全審計(jì)等五大類通用技術(shù)。
3.3.3 信息安全運(yùn)作控制
信息安全運(yùn)作控制是在油服業(yè)務(wù)運(yùn)作和信息技術(shù)運(yùn)作過程中進(jìn)行實(shí)施的運(yùn)作類安全控制,包括控制針對(duì)的主要風(fēng)險(xiǎn)點(diǎn)及具體分類。
4 結(jié)束語(yǔ)
在油服業(yè)務(wù)不斷拓展,國(guó)際化步伐不斷深入的過程中,信息系統(tǒng)在公司發(fā)展中的作用和地位日趨重要。公司對(duì)信息系統(tǒng)的依賴性也在不斷增長(zhǎng),信息安全也愈發(fā)重要。健全油服信息安全保障體系,為實(shí)現(xiàn)“制度標(biāo)準(zhǔn)化、工作制度化”的管理常態(tài)奠定了堅(jiān)實(shí)的基礎(chǔ)。油服信息安全保障體系不僅從物理網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用安全、數(shù)據(jù)和用戶安全等方面入手,還從安全域劃分、安全邊界防護(hù)、主動(dòng)監(jiān)控、訪問控制和應(yīng)急響應(yīng)等方面綜合考慮,進(jìn)一步加強(qiáng)落實(shí)信息安全等級(jí)保護(hù)的基本要求,初步實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)與應(yīng)用系統(tǒng)細(xì)粒度、全方位的安全管控,從而更為有效地提升了油服在信息安全方面的管理水平。
參考文獻(xiàn)
[1]馬永.淺談企業(yè)信息安全保障體系建設(shè)[J].計(jì)算機(jī)安全,2007(7):72-75.
[2]王朗.一個(gè)信息安全保障體系模型的研究和設(shè)計(jì)[J].北京師范大學(xué)學(xué)報(bào)(自然科學(xué)版),2004(2):58-62.
[3]黃海鷹.信息安全保障體系建設(shè)研究[J].數(shù)字圖書館論壇,2009(9):13-15.
1我省林業(yè)信息化安全形勢(shì)嚴(yán)峻
我省林業(yè)系統(tǒng)信息安全面臨的形勢(shì)不容樂觀,從省直機(jī)關(guān)及部分地市單位的調(diào)查結(jié)果看,有39%的單位發(fā)生過信息安全事件,說明我省林業(yè)系統(tǒng)網(wǎng)絡(luò)和信息安全基礎(chǔ)還比較薄弱,保障機(jī)制尚待健全。主要有以下四個(gè)方面表現(xiàn)。
1.1從發(fā)生信息安全事件的結(jié)構(gòu)上看,超過半數(shù)的屬于感染病毒、木馬。引起事件的原因35.5%來自于單位外部,主要原因是未修補(bǔ)或升級(jí)軟件漏洞。42.2%的事件損失比較輕微,只有0.9%的事故屬于比較嚴(yán)重。而對(duì)于事件的覺察,36%是通過網(wǎng)絡(luò)管理員工作監(jiān)測(cè)發(fā)現(xiàn),22.7%是事后分析發(fā)現(xiàn)。這說明,我省林業(yè)網(wǎng)絡(luò)安全形勢(shì)總體上是好的,但也說明網(wǎng)絡(luò)與信息安全事件總體防范能力不足,缺乏對(duì)安全事件的提前預(yù)防。
1.2從信息安全管理來看,有74%的單位制定了安全管理規(guī)章制度,78%的單位能做到隨時(shí)進(jìn)行安全檢查,61.1%的部門在管理中采取口令加密。這說明林業(yè)系統(tǒng)內(nèi)大部門單位已經(jīng)認(rèn)識(shí)到了信息安全的重要性,但管理手段單一,技術(shù)落后,缺乏有效的身份認(rèn)證、授權(quán)管理和安全審計(jì)手段。
1.3從信息安全投資來看,只有14.70%的單位信息安全投入達(dá)到了15%,70%的單位信息安全投資低于信息化項(xiàng)目總投資的10%,甚至還有7%的單位在信息安全方面從來沒有過投資。說明整體網(wǎng)絡(luò)與信息安全投入明顯不足。
1.4從專職人員配備情況來看,只有46%的部門有專職的信息安全人員,大部分是兼職人員或外包服務(wù)。僅有3.8%的單位組織了對(duì)單位全體員工的信息安全培訓(xùn),而對(duì)于網(wǎng)絡(luò)安全管理技術(shù)人員的培訓(xùn)也只有46%的單位搞過。從業(yè)人員不足,安全培訓(xùn)少,也是影響信息安全的一個(gè)重要因素。上述現(xiàn)狀,反映出我省林業(yè)系統(tǒng)網(wǎng)絡(luò)與信息安全意識(shí)淡薄,信息系統(tǒng)綜合防范手段匱乏,信息安全管理薄弱,應(yīng)急處理能力不強(qiáng),信息安全管理和技術(shù)人才缺乏。隨著我省林業(yè)信息化建設(shè)和應(yīng)用的加快,多樣化的侵害和信息安全隱患將會(huì)不斷地暴露出來,使我省林業(yè)網(wǎng)絡(luò)與信息安全工作面臨著更大的威脅和風(fēng)險(xiǎn)。
2我省林業(yè)系統(tǒng)信息安全保障思路及主要任務(wù)
省委省政府關(guān)于建設(shè)“平安山東”的決定,提出了把我省建設(shè)成為全國(guó)最穩(wěn)定、最安全的地區(qū)之一的明確目標(biāo)和任務(wù),切實(shí)加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作是大力推進(jìn)國(guó)民經(jīng)濟(jì)和社會(huì)信息化的重要保障,是平安山東建設(shè)的重要內(nèi)容。省政府印發(fā)的山東省國(guó)民經(jīng)濟(jì)和社會(huì)信息化的十二五規(guī)劃,把信息安全保障體系作為主要內(nèi)容之一。在此基礎(chǔ)上,林業(yè)信息化建設(shè)以全面提高網(wǎng)絡(luò)與信息安全的保障能力為己任,努力開創(chuàng)了我省信息化建設(shè)與信息安全保障體系相互適應(yīng)、共同進(jìn)步的新局面。
2.1信息安全保障工作的思路以科學(xué)發(fā)展觀為指導(dǎo),認(rèn)真貫徹“積極防御,綜合防范”的方針,加強(qiáng)網(wǎng)絡(luò)信任體系、信息安全監(jiān)控體系和應(yīng)急保障體系建設(shè),全面提高林業(yè)系統(tǒng)網(wǎng)絡(luò)與信息安全防護(hù)和應(yīng)急事件處置能力,重點(diǎn)保障我省林業(yè)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全;強(qiáng)化林業(yè)信息安全制度建設(shè)和人才隊(duì)伍建設(shè),充分發(fā)揮各方面的積極性,協(xié)同構(gòu)筑我省網(wǎng)絡(luò)與信息安全保障體系。
2.2信息安全保障工作的主要任務(wù)
2.2.1建立健全我省信息安全管理體制,充分發(fā)揮網(wǎng)絡(luò)與信息安全建設(shè)的作用,建立了信息安全的通報(bào)制度,形成我省林業(yè)信息安全相關(guān)部門密切配合的良好機(jī)制。
2.2.2積極推進(jìn)了信息風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)制度的建立。省信息辦制定了山東省信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施辦法,介紹了實(shí)施風(fēng)險(xiǎn)評(píng)估的方法和流程,十一五期間,已選取了多家單位作為試點(diǎn),下一步將根據(jù)自己工作實(shí)施風(fēng)險(xiǎn)評(píng)估,并爭(zhēng)取在全省范圍內(nèi)推廣。
2.2.3大力促進(jìn)網(wǎng)絡(luò)與信息安全的制度建設(shè),積極貫徹有關(guān)信息安全標(biāo)準(zhǔn)的應(yīng)用和推廣,出臺(tái)了林業(yè)系統(tǒng)網(wǎng)絡(luò)信息安全建設(shè)的指導(dǎo)意見。
2.2.4加強(qiáng)信息安全應(yīng)急處置體系建設(shè),利用現(xiàn)有的專業(yè)隊(duì)伍和技術(shù)資源,規(guī)劃和建設(shè)林業(yè)數(shù)據(jù)備份中心,啟動(dòng)建設(shè)信息化應(yīng)急技術(shù)處理中心,逐步實(shí)現(xiàn)為我省林業(yè)網(wǎng)絡(luò)信息安全提供預(yù)警、評(píng)測(cè)等服務(wù),按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的要求,各部門出現(xiàn)問題及時(shí)處理,如果處理不了,可以呼叫應(yīng)急中心通過技術(shù)手段判斷突發(fā)事件的原因。
2.2.5加強(qiáng)人才隊(duì)伍培養(yǎng)和建設(shè)。不定期的舉辦了面向工作人員提高安全意識(shí)、防范意識(shí)的培訓(xùn),對(duì)從事信息化的專業(yè)人員建立管理培訓(xùn)的制度。
3加快我省林業(yè)信息安全保障體系建設(shè)進(jìn)程的建議林業(yè)信息安全保障體系的建設(shè)是關(guān)系我省民生的大事,做好這項(xiàng)工作十分重要。
3.1充分認(rèn)識(shí)做好信息安全保障工作的重要意義。目前對(duì)信息安全問題不少人仍然缺乏全面的、深刻的認(rèn)識(shí),現(xiàn)有各個(gè)部門在安全工作中缺乏安全防范的意識(shí),安全防護(hù)注重于系統(tǒng)外部,忽略了系統(tǒng)內(nèi)部的安全管理措施,安全保障缺乏循環(huán)、良性的提高,不能自主發(fā)現(xiàn)和及時(shí)消除安全隱患,對(duì)安全工作仍然不同程度的存在“說起來重要,忙起來次要,干起來不要”的問題。各單位各部門要從經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定的高度充分認(rèn)識(shí)信息安全的重要性,增強(qiáng)緊迫感、責(zé)任感和自覺性。
3.2正確把握加強(qiáng)信息安全保障工作的總體要求。要堅(jiān)持積極防御、綜合防范的方針,正確處理發(fā)展與安全的關(guān)系,堅(jiān)持以發(fā)展求安全、以安全保發(fā)展,同時(shí)管理與技術(shù)并用,大力發(fā)展信息技術(shù)的同時(shí),切實(shí)加強(qiáng)信息安全管理工作,努力從預(yù)防、監(jiān)控、應(yīng)急處理和打擊犯罪等環(huán)節(jié)在法律、管理、技術(shù)、人才各方面采取各種措施全面提升信息安全的防護(hù)水平。
3.3突出重點(diǎn),抓好落實(shí)。各部門要制定工作重點(diǎn),加強(qiáng)信息安全體系建設(shè)和管理,最大限度的控制和限制安全風(fēng)險(xiǎn),重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全,做好應(yīng)急服務(wù)工作,盡可能的防止因信息安全問題造成的重要信息系統(tǒng)的大面積的出現(xiàn)問題。防止數(shù)據(jù)丟失和錯(cuò)誤,避免對(duì)社會(huì)造成的損失。
關(guān)鍵字:校園;網(wǎng)絡(luò);管理;信息;安全;保障
目前,校園網(wǎng)絡(luò)信息安全性的問題逐漸得到高級(jí)技工學(xué)校的關(guān)注,學(xué)校在不斷的完善校園網(wǎng)絡(luò)的管理以及信息安全保障的政策。校園網(wǎng)絡(luò)作為高級(jí)技工學(xué)校信息化建設(shè)的重點(diǎn),確保網(wǎng)絡(luò)信息安全的完整性、保密性、可控性、可用性、不可否認(rèn)性成為了學(xué)校保障網(wǎng)絡(luò)信息安全的重點(diǎn)工作。
一、校園網(wǎng)絡(luò)信息安全的特征
校園網(wǎng)絡(luò)信息安全需要具有完整性,確保信息在傳輸以及存儲(chǔ)的過程中可能被惡意的篡改,應(yīng)該確保網(wǎng)絡(luò)信息的正確以及有效,避免被非授權(quán)人將信息的完整性破壞;校園網(wǎng)絡(luò)信息安全需要具有保密性,通過密碼技術(shù)對(duì)重要的信息采取保護(hù)措施或進(jìn)行加密處理,避免重要信息的泄漏、丟失等,確保合法用戶能夠安全的使用信息;校園網(wǎng)絡(luò)信息安全需要具有可控性,使授權(quán)機(jī)構(gòu)能夠控制信息的內(nèi)容以及具備監(jiān)控和管理傳播流向和方式的能力;校園網(wǎng)絡(luò)信息安全需要具有可用性,確保授權(quán)用戶能夠進(jìn)入系統(tǒng)進(jìn)行信息的訪問,防止非授權(quán)者惡意訪問系統(tǒng),竊取、泄漏、破壞校園網(wǎng)絡(luò)的信息安全。與此同時(shí),還應(yīng)該防止網(wǎng)絡(luò)病毒引發(fā)的系統(tǒng)癱瘓,造成服務(wù)器拒絕用戶使用或被入侵者所用;校園網(wǎng)絡(luò)信息安全需要具有不可否認(rèn)性,也可以稱之為不可抵賴性,當(dāng)信息傳輸結(jié)束以后,信息傳輸雙方不能抵賴自身的行為,比如否認(rèn)接收過對(duì)方的信息,通過信息源的證據(jù),雙方就無法對(duì)完成的操作進(jìn)行抵賴,能夠有效的防止發(fā)送方否認(rèn)已經(jīng)傳輸過的信息。
二、校園網(wǎng)絡(luò)管理和信息安全保障的必要性
隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展,強(qiáng)化學(xué)校網(wǎng)絡(luò)安全管理的建設(shè),不僅能夠提升學(xué)校整體的形象,還是學(xué)校發(fā)展成為信息化的必然趨勢(shì)。網(wǎng)絡(luò)安全對(duì)于校園整體形象和未來發(fā)展趨勢(shì)都有影響。校園網(wǎng)絡(luò)信息安全對(duì)于學(xué)生來說,能夠促進(jìn)學(xué)生的全面發(fā)展,還能提高學(xué)校的整體經(jīng)濟(jì)效益。目前,學(xué)校的網(wǎng)絡(luò)中儲(chǔ)存了大量的文獻(xiàn)信息,網(wǎng)絡(luò)信息安全對(duì)于高級(jí)技校的教育工作有著重要的意義,教師進(jìn)行教學(xué)越來越依賴計(jì)算機(jī)網(wǎng)絡(luò),如果網(wǎng)絡(luò)的安全出現(xiàn)問題,信息資源被惡意篡改、丟失、刪除、破壞等,對(duì)于學(xué)校來說是無法彌補(bǔ)的經(jīng)濟(jì)以及資源損失。因此,校園網(wǎng)絡(luò)管理和信息安全保障對(duì)于高校來說十分重要,建設(shè)校園網(wǎng)絡(luò)的過程中,應(yīng)該重視網(wǎng)絡(luò)運(yùn)行的安全問題,引進(jìn)先進(jìn)的網(wǎng)絡(luò)技術(shù),嚴(yán)格按照網(wǎng)絡(luò)安全管理規(guī)范,及時(shí)解決網(wǎng)絡(luò)系統(tǒng)可能出現(xiàn)的問題,確保校園網(wǎng)絡(luò)能夠安全、可靠、正常的運(yùn)行。
三、校園網(wǎng)絡(luò)管理和信息安全保障的現(xiàn)狀
3.1校園網(wǎng)絡(luò)的安全受到威脅
目前,高級(jí)技工院校為了提高網(wǎng)絡(luò)的安全性,通常會(huì)配置網(wǎng)絡(luò)防火墻系統(tǒng)。然而防護(hù)墻是利用靜態(tài)技術(shù)只能起到防范的作用,并且防護(hù)的范圍不夠全面,防護(hù)的效果也不是十分明顯。為了采取更加有效的防護(hù)措施,高校需要采用動(dòng)態(tài)防護(hù)技術(shù),比如入侵檢測(cè)技術(shù)。如今病毒的傳播方式多種多樣,具有很強(qiáng)的破壞能力,并且傳播速度很快,一旦校園的某臺(tái)計(jì)算機(jī)被病毒入侵,主機(jī)系統(tǒng)就會(huì)受到影響,導(dǎo)致整個(gè)校園的網(wǎng)絡(luò)都會(huì)癱瘓。
3.2不重視校園網(wǎng)絡(luò)的管理
大部分的高級(jí)技工院校對(duì)于網(wǎng)絡(luò)管理問題,普遍是“重設(shè)備,輕管理”的理念,僅重視設(shè)備的購(gòu)買,而忽視了對(duì)設(shè)備的管理。學(xué)校錯(cuò)誤認(rèn)為安裝防火墻、電腦管家以及殺毒軟件,就能起到信息安全防護(hù)的作用,其實(shí)信息安全還包含其他方面,安全防護(hù)設(shè)備在校園網(wǎng)絡(luò)中雖然得到了普遍應(yīng)用,然而對(duì)于軟件的實(shí)踐應(yīng)用只能解決一部分的信息安全問題。學(xué)校應(yīng)該重視安全設(shè)備安裝后的管理問題,通過制定相關(guān)的管理規(guī)則,使用戶能夠合理的使用校園網(wǎng)絡(luò),從而確保網(wǎng)絡(luò)信息的安全。
3.3用戶的校園網(wǎng)絡(luò)安全意識(shí)不夠高
高級(jí)技工學(xué)校用戶普遍缺乏網(wǎng)絡(luò)安全意識(shí),需要不斷提高網(wǎng)絡(luò)安全意識(shí),才能從根本上保障校園網(wǎng)絡(luò)信息的安全。對(duì)于學(xué)校來說,校園網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)信息管理和保障中起到十分關(guān)鍵的作用,用戶的實(shí)踐操作行為直接影響信息的安全。目前,大部分校園網(wǎng)絡(luò)用戶,進(jìn)行口令的選取時(shí),忽視自身操作的規(guī)范性,導(dǎo)致校園網(wǎng)絡(luò)被惡意入侵。
四、校園網(wǎng)絡(luò)管理和信息安全保障的實(shí)踐策略
4.1完善校園網(wǎng)絡(luò)的訪問權(quán)限設(shè)置
校園網(wǎng)絡(luò)為了保證信息的安全需要設(shè)置網(wǎng)絡(luò)權(quán)限,通常校園網(wǎng)絡(luò)只提供給本校師生使用,這樣就能有效的減少不良信息傳播的途徑,避免病毒通過其他途徑破壞系統(tǒng),從而保障校園網(wǎng)絡(luò)信息的安全。訪問權(quán)限設(shè)置能夠控制用戶的非法訪問,檢測(cè)用戶登陸的服務(wù)器以及用戶查看過的信息,使用戶的賬號(hào)能夠受到監(jiān)管,避免用戶信息被盜用,導(dǎo)致信息的泄漏。
4.2重要信息及時(shí)做好備份
校園網(wǎng)絡(luò)如果遭受到病毒的侵害,計(jì)算機(jī)系統(tǒng)就會(huì)受到損害,導(dǎo)致用戶的重要信息泄漏、丟失等,造成用戶的損失。因此,學(xué)校網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)需要及時(shí)進(jìn)行重要信息的備份,確保用戶的重要信息能夠通過備份系統(tǒng)找回,避免給用戶造成不便。
4.3監(jiān)控校園網(wǎng)絡(luò)的日志
做好校園網(wǎng)絡(luò)日志的監(jiān)控工作是高級(jí)技工學(xué)校的重點(diǎn)工作,對(duì)于保障信息安全起到了重要的作用。安全設(shè)備雖然能夠保障信息的安全,但是不能僅僅停留在表面,作為校園網(wǎng)絡(luò)的管理人員,應(yīng)該不斷提高自身的素質(zhì),進(jìn)行安全設(shè)備性能、用途等多方面的深入研究,從而更好的管理校園網(wǎng)絡(luò)的信息。監(jiān)控校園網(wǎng)絡(luò)信息安全的對(duì)象有防火墻、檢測(cè)系統(tǒng)、服務(wù)器等,由于防護(hù)核心思想的差異,綜合使用監(jiān)控設(shè)備能夠有效的進(jìn)行用戶訪問時(shí)間的跟蹤,了解用戶的登陸地點(diǎn),登陸設(shè)備、登陸時(shí)間等,這些信息有助于學(xué)校管理和保障信息安全,了解校園網(wǎng)絡(luò)日志的具體來源和途徑,從而提高校園網(wǎng)絡(luò)的安全性。
4.4建立校園網(wǎng)絡(luò)管理相關(guān)的制度
高級(jí)技工學(xué)校應(yīng)該制定相關(guān)的政策,強(qiáng)化用戶對(duì)信息安全防護(hù)的意識(shí),提高自身的網(wǎng)絡(luò)素養(yǎng)。制定完善的制度管理體系,使用用戶能夠嚴(yán)格按照相關(guān)規(guī)定約束自身的行為,避免由于自身錯(cuò)誤的操作,造成校園網(wǎng)絡(luò)信息的泄密、丟失等。由于校園網(wǎng)絡(luò)使用的用戶普遍為在校學(xué)生,因此學(xué)??梢越Y(jié)合學(xué)生的實(shí)際情況,設(shè)立網(wǎng)絡(luò)相關(guān)的選修課程,提高學(xué)生的網(wǎng)絡(luò)安全意識(shí)。與此同時(shí),校園網(wǎng)絡(luò)使用的用戶還包括教師,學(xué)校應(yīng)該對(duì)教師展開定期的培訓(xùn),提高教師的綜合素質(zhì),從而做到言傳身教。通過不斷提高校園網(wǎng)絡(luò)用戶的整體素質(zhì),網(wǎng)絡(luò)不良信息的傳播才能得到有效的控制,避免惡意入侵的非法用戶危害校園網(wǎng)絡(luò)的安全。
五、結(jié)語(yǔ)
綜上所述,校園網(wǎng)絡(luò)是一把雙刃劍,雖然為學(xué)生和教師的學(xué)習(xí)和教學(xué)工作帶來了方便,然而隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,信息安全的問題接踵而至,為了有效確保校園網(wǎng)絡(luò)信息的安全,學(xué)校需要不斷的完善校園網(wǎng)絡(luò)的訪問權(quán)限設(shè)置,對(duì)重要的信息及時(shí)做好備份,監(jiān)控校園網(wǎng)絡(luò)的日志,建立校園網(wǎng)絡(luò)管理相關(guān)的制度,從而提高校園網(wǎng)絡(luò)用戶的綜合素質(zhì),提高校園網(wǎng)絡(luò)的安全性。
參考文獻(xiàn)
[1]楊梅,甘露,張林濤.校園網(wǎng)絡(luò)管理和信息安全保障實(shí)踐探討[J].玉林師范學(xué)院學(xué)報(bào),2013,01:112-116.
[2]王平,趙仕偉,趙義平.淺談校園網(wǎng)絡(luò)管理與信息安全保障對(duì)策研究[J].網(wǎng)友世界,2014,06:5.
[3]徐喆.高校網(wǎng)絡(luò)安全存在的問題與對(duì)策研究[D].燕山大學(xué),2012.
【關(guān)鍵詞】外匯 信息安全 風(fēng)險(xiǎn) 保障措施
近年來,國(guó)家外匯管理局加大了信息化建設(shè)步伐,信息系統(tǒng)已基本替代了手工操作用于處理外匯管理日常工作,在外匯監(jiān)管與服務(wù)的過程中發(fā)揮著越來越重要的作用,外匯業(yè)務(wù)信息系統(tǒng)的安全正常運(yùn)行已成為外匯局開展業(yè)務(wù)開展的前提,任何一個(gè)環(huán)節(jié)的信息系安全管理缺失,都可能給外匯管理工作帶來嚴(yán)重的后果。
一、外匯信息系統(tǒng)和數(shù)據(jù)所面臨的風(fēng)險(xiǎn)
信息安全就是保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的保密性、完整性、可用性.可控性和平可否認(rèn)性。
外匯管理信息系統(tǒng)和數(shù)據(jù)在采集、保存和使用等過程中存在諸多安全風(fēng)險(xiǎn),例如硬盤損壞等物理環(huán)境風(fēng)險(xiǎn),操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議漏洞導(dǎo)致外匯信息數(shù)據(jù)被非法訪問、修改或惡意刪除,最終導(dǎo)致外匯信息喪失上述安全特性,從而影響了外匯業(yè)務(wù)的正常開展。本節(jié)僅結(jié)合外匯信息系統(tǒng)和數(shù)據(jù)實(shí)際情況,簡(jiǎn)要介紹外匯信息常見的風(fēng)險(xiǎn)。
(一)電子設(shè)備存在軟件和硬件故障風(fēng)險(xiǎn)
外匯信息系統(tǒng)在運(yùn)行過程往往會(huì)面臨硬件設(shè)備發(fā)生故障,軟件系統(tǒng)出現(xiàn)運(yùn)行錯(cuò)誤的風(fēng)險(xiǎn),例如服務(wù)器電源設(shè)備老化、硬盤出現(xiàn)壞道無法讀寫、軟件崩潰、通訊網(wǎng)絡(luò)故障等問題。上述問題是外匯信息系統(tǒng)實(shí)際運(yùn)維過程中最為常見風(fēng)險(xiǎn)源。
(二)人為操作風(fēng)險(xiǎn)
因人為操作外匯信息系統(tǒng)產(chǎn)生的未授權(quán)的數(shù)據(jù)訪問和數(shù)據(jù)修改、信息錯(cuò)誤或虛假信息輸入、授權(quán)的終端用戶濫用、不完整處理等。產(chǎn)生該類風(fēng)險(xiǎn)的原因是用戶安全意識(shí)淡薄,未授權(quán)訪問數(shù)據(jù)造成外匯信息泄漏,數(shù)據(jù)手工處理導(dǎo)致的錯(cuò)誤或虛假信息,未授權(quán)用戶操作等行為都會(huì)造成信息系統(tǒng)安全性風(fēng)險(xiǎn)。實(shí)際外匯信息系統(tǒng)運(yùn)行中,人為事件造成損失的概率遠(yuǎn)遠(yuǎn)大于其他威脅造成損失的。
(三)系統(tǒng)風(fēng)險(xiǎn)
一般所用的計(jì)算機(jī)操作系統(tǒng)以及大量的應(yīng)用軟件在組織業(yè)務(wù)交流的過程中使用,來自這些系統(tǒng)和應(yīng)用軟件的問題和缺陷會(huì)對(duì)一系列系統(tǒng)造成影響,特別是在多個(gè)應(yīng)用系統(tǒng)互聯(lián)時(shí),影響會(huì)涉及整個(gè)組織的多個(gè)系統(tǒng)。例如,部分系統(tǒng)具有維護(hù)困難、結(jié)構(gòu)不完善、缺乏文檔和設(shè)計(jì)有漏洞等多個(gè)隱患,有時(shí)就會(huì)在系統(tǒng)升級(jí)和安裝補(bǔ)丁的時(shí)候引入較高的風(fēng)險(xiǎn)。
(四)物理環(huán)境風(fēng)險(xiǎn)
由于組織缺乏對(duì)組織場(chǎng)所的安全保衛(wèi),或者缺乏防水、防火、防雷等防護(hù)措施,在面臨自然災(zāi)難時(shí),可能會(huì)造成極大的損失。
二、外匯信息安全基本準(zhǔn)則和特性
外匯信息系統(tǒng)是一個(gè)以保障外匯業(yè)務(wù)系統(tǒng)正常運(yùn)行的專用的信息系統(tǒng),近年來在不斷加大信息科技方面投入、加快信息化建設(shè)的過程中得到了有效整合和完善。為有效應(yīng)對(duì)外匯信息系統(tǒng)安全風(fēng)險(xiǎn),科技部門應(yīng)同步提升科技管理制度的完整性和執(zhí)行力度、管理精細(xì)化程度。制定外匯信息系統(tǒng)安全的具體保障措施之前,首先需要我們認(rèn)清信息安全的基本準(zhǔn)則和一些特性:
(一)信息安全短板效應(yīng)
對(duì)信息系統(tǒng)安全所涉及的領(lǐng)域進(jìn)行安全保護(hù)即全面構(gòu)筑外匯管理信息安全保障工作,重點(diǎn)加強(qiáng)對(duì)安全洼地、薄弱環(huán)節(jié)的安全防護(hù)。
(二)信息安全系統(tǒng)化
信息系統(tǒng)安全其實(shí)是一項(xiàng)系統(tǒng)工程,要從管理、技術(shù)、工程等層面總體考量,全面保障外匯管理局信息系統(tǒng)安全。
(三)信息安全動(dòng)態(tài)化
信息安全保障措施所防范的對(duì)象是一個(gè)動(dòng)態(tài)變化的過程,所以信息系統(tǒng)也應(yīng)該隨著內(nèi)外部安全形勢(shì)的變化不斷改進(jìn)。
(四)信息安全常態(tài)化
信息安全從時(shí)間角度看是一個(gè)長(zhǎng)期存在的問題,只有在信息安全技術(shù)方面嚴(yán)格把握重點(diǎn),綜合信息安全體系的可持續(xù)構(gòu)建,才能保障外匯管理局信息系統(tǒng)安全。
(五)系統(tǒng)操作權(quán)責(zé)明確
信息系統(tǒng)安全的前提是要嚴(yán)格內(nèi)部授權(quán),劃分各崗位職責(zé),如加大內(nèi)控風(fēng)險(xiǎn)防范和控制。使各系統(tǒng)角色操作者權(quán)限形成相互制約的控制機(jī)制。
三、外匯信息安全保障應(yīng)對(duì)措施
外匯信息安全工作應(yīng)以信息系統(tǒng)所面臨的安全威脅依據(jù),遵循基本準(zhǔn)則,以信息基礎(chǔ)設(shè)施建設(shè)和安全管理制度為我切入點(diǎn)制定相應(yīng)的防護(hù)措施。
(一)建立系統(tǒng)性的安全管理制度
安全管理制度要包括人員管理、資產(chǎn)管理、數(shù)據(jù)管理、網(wǎng)絡(luò)管理、運(yùn)維管理、應(yīng)急管理、事后審查等方面內(nèi)容
(二)建立良好的網(wǎng)絡(luò)信息安全防護(hù)體系
從物理環(huán)境安全、網(wǎng)絡(luò)邊界安全、設(shè)備安全、應(yīng)用系統(tǒng)安全以及數(shù)據(jù)安全等方面部署相關(guān)的安全防護(hù)設(shè)備和措施。
(三)定期進(jìn)行信息安全教育培訓(xùn)
因信息技術(shù)行業(yè)快速發(fā)展,信息安全形勢(shì)也在不斷變化,外匯管理局科技部門可定期對(duì)轄內(nèi)外匯信息系統(tǒng)維護(hù)和操作人員進(jìn)行信息系統(tǒng)安全培訓(xùn),更新安全知識(shí)。為了有效防范未知威脅和隱患,外匯管理局科技部門可對(duì)轄內(nèi)定期開展信息系統(tǒng)安全檢查,確保外匯信息系統(tǒng)安全有效運(yùn)行,保障外匯信息的可控、可用和完整性。
(四)開展信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估,進(jìn)一步做好系統(tǒng)等保工作
首先對(duì)外匯信息系統(tǒng)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估,根據(jù)評(píng)估識(shí)別威脅外匯信息系統(tǒng)安全的風(fēng)險(xiǎn),作為制定、實(shí)施安全策略、措施的基礎(chǔ),風(fēng)險(xiǎn)評(píng)估同時(shí)也是外匯信息系統(tǒng)安全等級(jí)保護(hù)的重要前提與依據(jù)。其次確定信息系統(tǒng)安全級(jí)別,根據(jù)級(jí)別的不同,實(shí)施對(duì)應(yīng)的保護(hù)措施,啟動(dòng)對(duì)應(yīng)級(jí)別的安全事件應(yīng)急響應(yīng)程序。
(五)運(yùn)用入侵檢測(cè)等技術(shù),預(yù)防惡意攻擊
隨著技術(shù)發(fā)展,當(dāng)前惡意攻擊手段呈現(xiàn)越來越隱蔽的趨勢(shì),需要科技部門采用具有預(yù)警功能的技術(shù)手段來應(yīng)對(duì),如入侵檢測(cè)、數(shù)據(jù)挖掘等技術(shù),通過分析歷史數(shù)據(jù),發(fā)現(xiàn)當(dāng)前安全措施的缺陷,及時(shí)糾正和預(yù)防內(nèi)外部風(fēng)險(xiǎn)再次發(fā)生。
(六)完善監(jiān)督管理,實(shí)施信息安全自查與檢查相結(jié)合
查找現(xiàn)有信息化建設(shè)工作中的薄弱環(huán)節(jié),井切實(shí)進(jìn)行整改,建立良性的信息安全管理機(jī)制。開展信息安全檢查與自查是完善信息安全監(jiān)督管理工作的有效方式之一,其中信息安全檢查方案的設(shè)計(jì)是安全檢查的核心,科技部門需要根據(jù)外匯業(yè)務(wù)實(shí)際情況,將外匯管理局有關(guān)要求進(jìn)行梳理完善,對(duì)相應(yīng)風(fēng)險(xiǎn)點(diǎn)進(jìn)行總結(jié)和歸納,科學(xué)設(shè)計(jì)了信息安全檢查方案。
參考文獻(xiàn)
[1]林國(guó)恩.信息系統(tǒng)安全[M].北京:電子工業(yè)出版社.2010
關(guān)鍵詞 內(nèi)網(wǎng);信息安全;保障體系
中圖分類號(hào):TP3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2013)16-0129-01
內(nèi)網(wǎng)的構(gòu)建不僅需要工作人員將內(nèi)網(wǎng)的數(shù)據(jù)傳輸技術(shù)進(jìn)行實(shí)時(shí)更新與維護(hù),更加需要專業(yè)的信息管理員對(duì)內(nèi)網(wǎng)的信息內(nèi)容進(jìn)行管理,確保內(nèi)網(wǎng)信息安全健康。保障體系作為一種以內(nèi)網(wǎng)信息為工作對(duì)象的管理體系,其工作的開展較多的依賴于體系各環(huán)節(jié)的協(xié)調(diào)。本文將從內(nèi)網(wǎng)信息安全的保障為中心,簡(jiǎn)要分析推進(jìn)該安全保障體系建設(shè)的措施。
1 內(nèi)網(wǎng)信息安全保障體系構(gòu)建的重要性
1.1 對(duì)網(wǎng)絡(luò)環(huán)境的規(guī)范作用
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,網(wǎng)絡(luò)已經(jīng)成為我國(guó)國(guó)民生活的一部分,信息傳播速度的不斷提升和觀念交流的及時(shí)有效逐漸的形成了對(duì)網(wǎng)絡(luò)環(huán)境的威脅。網(wǎng)絡(luò)環(huán)境是確保網(wǎng)絡(luò)信息安全、健康的基礎(chǔ),只有確保網(wǎng)絡(luò)環(huán)境的清潔,網(wǎng)民的信息安全才有所保障。
推進(jìn)內(nèi)網(wǎng)信息安全保障體系的建設(shè)對(duì)網(wǎng)絡(luò)環(huán)境有一定的規(guī)范作用。首先,內(nèi)網(wǎng)信息安全保障體系是針對(duì)網(wǎng)絡(luò)信息安全這項(xiàng)內(nèi)容的,而該項(xiàng)內(nèi)容是網(wǎng)絡(luò)環(huán)境中極為重要的部分,網(wǎng)民之間的信息交流構(gòu)成網(wǎng)絡(luò)環(huán)境的基礎(chǔ)。保障體系的建立能夠有效地提高網(wǎng)絡(luò)環(huán)境的清潔力度。其次,內(nèi)網(wǎng)信息安全保障體系的建立有利于加強(qiáng)局域網(wǎng)絡(luò)的穩(wěn)定性,減少因網(wǎng)絡(luò)故障導(dǎo)致的全網(wǎng)癱瘓。
1.2 對(duì)用戶信息安全的保障作用
網(wǎng)絡(luò)用戶的信息安全一直都是網(wǎng)絡(luò)平臺(tái)信息管理者需要關(guān)注的重點(diǎn)。隨著網(wǎng)絡(luò)用戶數(shù)量的增加,網(wǎng)絡(luò)安全問題逐漸凸顯,部分網(wǎng)民私人信息泄露已經(jīng)成為網(wǎng)絡(luò)常態(tài)。建設(shè)內(nèi)網(wǎng)信息安全保障體系對(duì)用戶信息安全有著積極的意義。一方面,內(nèi)網(wǎng)信息安全要求工作者將網(wǎng)絡(luò)信息進(jìn)行管理,并利用一定的網(wǎng)絡(luò)技術(shù)保護(hù)網(wǎng)民的信息資料安全;另一方面,內(nèi)網(wǎng)信息安全保障體系在建設(shè)過程中不斷地完善自身的應(yīng)用技術(shù),對(duì)推動(dòng)網(wǎng)絡(luò)平臺(tái)的穩(wěn)定十分有利,從而能夠確保用戶的資料安全。
2 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)分析
與外網(wǎng)的信息安全相比,內(nèi)網(wǎng)的信息安全工作的開展具有一定的困難,網(wǎng)絡(luò)黑客雖然不容易經(jīng)由翻墻技術(shù)進(jìn)入局域網(wǎng)盜竊信息或者進(jìn)行破壞活動(dòng),但通過局域網(wǎng)內(nèi)部人員的關(guān)系,內(nèi)網(wǎng)信息安全就有極大的安全隱患。
1) 內(nèi)網(wǎng)安全保障技術(shù)的防護(hù)性能不強(qiáng),不能很好地開展網(wǎng)絡(luò)信息安全保障工作。內(nèi)網(wǎng)使用人員在進(jìn)行信息交流時(shí),其網(wǎng)絡(luò)信息的安全保障技術(shù)并沒有較大的技術(shù)性,簡(jiǎn)單的黑客技術(shù)就能夠?qū)?nèi)網(wǎng)信息掌控到手。這是由多方面因素造成的。第一,內(nèi)網(wǎng)技術(shù)維護(hù)人員并沒有設(shè)定專門的安全保障技術(shù),部分信息共享、使用等都只通過簡(jiǎn)單口令的保護(hù),防護(hù)手段不到位,另外,一些研發(fā)階段的技術(shù)也沒有提供專業(yè)的安全防護(hù),導(dǎo)致數(shù)據(jù)和資料丟失現(xiàn)象較常見。
2) 內(nèi)網(wǎng)工作人員的信息安全防護(hù)意識(shí)不強(qiáng)。內(nèi)網(wǎng)的使用大部分都是統(tǒng)一范圍內(nèi)的單位員工或企業(yè)職員。這些人對(duì)內(nèi)網(wǎng)各部分信息都十分熟悉,因此,從一定程度上講,該網(wǎng)絡(luò)內(nèi)部的工作人員是威脅網(wǎng)絡(luò)安全的重要部分。員工渠道的信息泄露包括員工有意進(jìn)行的泄露和員工無意開展的行為。一方面,部分員工的職業(yè)素質(zhì)不高,對(duì)所在企業(yè)的歸屬感不強(qiáng),對(duì)企業(yè)重要資料的安全防護(hù)意識(shí)也就相對(duì)較弱,在被不法分子利用后,這部分員工極易成為網(wǎng)絡(luò)信息安全的最大威脅。另一方面,相當(dāng)一部分員工對(duì)企業(yè)的重要資料的重視程度較高,但其對(duì)安全保障措施的運(yùn)用卻不靈活,對(duì)技術(shù)保護(hù)不甚了解,因此,會(huì)出現(xiàn)無意的信息泄露,進(jìn)而影響企業(yè)的資料安全。
內(nèi)部信息泄露手段主要有:資料的復(fù)制、電子郵件通信、辦公電腦與私人電腦混用、文件共享等,這些途徑不僅簡(jiǎn)單快捷,節(jié)約時(shí)間,同時(shí)還是技術(shù)難度較低的行為。
3 推進(jìn)內(nèi)網(wǎng)信息安全保障體系建設(shè)
內(nèi)網(wǎng)信息安全保障體系的建設(shè)需要工作人員結(jié)合其信息安全常出現(xiàn)的問題進(jìn)行技術(shù)改進(jìn)和工作落實(shí)。
3.1 規(guī)范網(wǎng)絡(luò)節(jié)點(diǎn)接入,減少信息安全隱患
我國(guó)目前的網(wǎng)絡(luò)接入狀態(tài)是,非內(nèi)網(wǎng)成員可以通過一定的技術(shù)輕松訪問內(nèi)部網(wǎng)絡(luò),這一現(xiàn)象一方面是由于現(xiàn)代化的樓宇布線技術(shù)導(dǎo)致的,另一方面,科學(xué)技術(shù)的進(jìn)步降低了內(nèi)網(wǎng)接入的難度。非內(nèi)網(wǎng)成員在進(jìn)入內(nèi)網(wǎng)后,對(duì)內(nèi)網(wǎng)信息的安全形成威脅,部分核心數(shù)據(jù)面臨著被盜用泄露的風(fēng)險(xiǎn),因此,工作人員需要針對(duì)這一問題展開工作,及時(shí)的發(fā)現(xiàn)未知接入點(diǎn)的存在,并根據(jù)其性質(zhì)進(jìn)行隔離處理,減少信息泄露的可能。
非法接入點(diǎn)的規(guī)范工作還包括對(duì)計(jì)算機(jī)IP地址的轉(zhuǎn)變進(jìn)行及時(shí)的記錄和分析,當(dāng)該IP的轉(zhuǎn)換對(duì)局域網(wǎng)內(nèi)部信息的安全造成威脅時(shí),工作人員要對(duì)該網(wǎng)絡(luò)進(jìn)行阻斷。
病毒庫(kù)的更新也是保障內(nèi)網(wǎng)信息安全的要素之一。內(nèi)網(wǎng)的組成是多臺(tái)計(jì)算機(jī)的連接,這些計(jì)算機(jī)組中性能較差或者應(yīng)用技術(shù)較落后的計(jì)算機(jī)往往是網(wǎng)絡(luò)安全工作中的重點(diǎn),黑客在侵入內(nèi)網(wǎng)時(shí)多選擇在這一端口進(jìn)入。因此,企業(yè)需要及時(shí)的進(jìn)行病毒庫(kù)的更新,保障計(jì)算機(jī)的安全,降低黑客入侵的可行性。
3.2 完善內(nèi)網(wǎng)信息監(jiān)控系統(tǒng),確保信息安全使用
內(nèi)網(wǎng)信息的安全不僅需要一定的技術(shù)支持,也需要有完善的內(nèi)網(wǎng)監(jiān)控系統(tǒng)的輔助。內(nèi)網(wǎng)中各種先進(jìn)科學(xué)技術(shù)的應(yīng)用以及軟件等的配合都為監(jiān)控工作的進(jìn)行提供了可能。運(yùn)行軟件、設(shè)備、網(wǎng)絡(luò)拓?fù)涞榷寄軌蚍e極參與到網(wǎng)絡(luò)信息安全監(jiān)控中來。工作人員需要針對(duì)不同的現(xiàn)象開展相應(yīng)的工作,如中斷運(yùn)行異常的軟件,控制移動(dòng)設(shè)備在辦公主機(jī)上的運(yùn)用,監(jiān)控系統(tǒng)運(yùn)行情況等。實(shí)時(shí)監(jiān)控的進(jìn)行是保障信息基本安全的有力措施,同時(shí),企業(yè)需要對(duì)監(jiān)控措施的管理工作進(jìn)行人員安排,確保監(jiān)控力度到位。
3.3 結(jié)合安全保障技術(shù)和安全管理理念,維護(hù)內(nèi)網(wǎng)信息安全
企業(yè)的內(nèi)網(wǎng)信息安全離不開技術(shù)和管理理念的支持,只有這兩者協(xié)作才能夠確保企業(yè)內(nèi)部工作的安全。
1)企業(yè)需要對(duì)內(nèi)網(wǎng)的安全保障技術(shù)進(jìn)行革新,及時(shí)的應(yīng)用先進(jìn)的科學(xué)技術(shù),對(duì)計(jì)算機(jī)組進(jìn)行定期維護(hù)和系統(tǒng)升級(jí),確保其功能的穩(wěn)定,減少系統(tǒng)漏洞的出現(xiàn)。積極鼓勵(lì)技術(shù)人員學(xué)習(xí)新知識(shí),完善自身的知識(shí)儲(chǔ)備,研發(fā)出有自主知識(shí)產(chǎn)權(quán)的設(shè)備和系統(tǒng),推動(dòng)自身網(wǎng)絡(luò)技術(shù)的發(fā)展。
2)企業(yè)需要進(jìn)行規(guī)章制度的建立。①企業(yè)要制定出完善的符合社會(huì)發(fā)展要求的網(wǎng)絡(luò)信息安全等級(jí),為技術(shù)人員開展網(wǎng)絡(luò)信息維護(hù)提供數(shù)據(jù)參照;②企業(yè)要對(duì)辦公電腦和核心數(shù)據(jù)的使用人進(jìn)行管理;③加強(qiáng)對(duì)內(nèi)網(wǎng)各環(huán)節(jié)的管理,保障數(shù)據(jù)訪問的設(shè)備安全。
4 結(jié)束語(yǔ)
內(nèi)網(wǎng)信息安全保障體系的建設(shè)需要相關(guān)技術(shù)人員積極的進(jìn)行技術(shù)革新,研發(fā)出具有自主知識(shí)產(chǎn)權(quán)的系統(tǒng)和設(shè)備產(chǎn)品,改變目前國(guó)內(nèi)網(wǎng)絡(luò)技術(shù)受制于人的現(xiàn)狀。
參考文獻(xiàn)
[1]鄧波.內(nèi)網(wǎng):應(yīng)用需求與安全保障第七期電子政務(wù)沙龍權(quán)威支招[J].信息化建設(shè),2012(02).
[2]韓惠良,盧敬泰.內(nèi)網(wǎng)信息安全保障體系建設(shè)研究[J].信息網(wǎng)絡(luò)安全,2010(09).
【關(guān)鍵詞】電信企業(yè)、用戶信息、安全
【中圖分類號(hào)】TP393.08 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158(2013)01―0131―01
隨著信息爆炸時(shí)代的來臨和通信技術(shù)的快速發(fā)展,用戶的個(gè)人信息安全問題日益嚴(yán)重,信息泄露事件頻發(fā)。用戶信息一旦遭到泄露,將面臨信息曝光、垃圾短信、騷擾電話、電信欺詐甚至資金被盜等一系列風(fēng)險(xiǎn)。在此環(huán)境下,2012年“3.15”國(guó)際消費(fèi)者權(quán)益日的主題即為“消費(fèi)與安全”,新聞媒體也多次曝光了個(gè)別銀行、通信、快遞、醫(yī)院等行業(yè)不法人員泄露和出售客戶信息,給公眾造成巨大安全隱患的問題。由此可見,用戶信息安全已成為社會(huì)化和信息化快速發(fā)展進(jìn)程中的一個(gè)重要問題。
近年來國(guó)家也逐步加大了對(duì)個(gè)人信息安全的保護(hù)力度。一方面從立法上逐步加大了對(duì)個(gè)人信息安全的保障,在民事責(zé)任方面認(rèn)定用戶個(gè)人信息屬于個(gè)人隱私范疇,并在2009年通過的《侵權(quán)責(zé)任法》中明確將隱私權(quán)寫入了法律;在刑事責(zé)任方面,2009年頒布實(shí)施的《刑法修正案七》也新增了“國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員,違反國(guó)家規(guī)定,將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息,出售或者非法提供給他人,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處罰金?!薄案`取或者以其他方法非法獲取上述信息,情節(jié)嚴(yán)重的,依照前款的規(guī)定處罰?!皢挝环盖皟煽钭锏模瑢?duì)單位判處罰金,并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員,依照各該款的規(guī)定處罰?!绷硪环矫?,公安部也在北京、河北等20個(gè)省市區(qū)開展嚴(yán)厲打擊侵害公民個(gè)人信息違法犯罪的專項(xiàng)行動(dòng),抓獲嫌疑人1000余名,挖出信息源頭44個(gè)。
電信行業(yè)一直是客戶信息安全保障的重點(diǎn)行業(yè)。作為電信運(yùn)營(yíng)商,掌握著海量的用戶信息資源,尤其是2010年電話用戶實(shí)名登記工作推廣以來,運(yùn)營(yíng)商掌握的用戶信息從數(shù)量和質(zhì)量上都得到了進(jìn)一步提升。一方面客戶信息真實(shí)、完善為電信企業(yè)向用戶提供個(gè)性化的服務(wù)提供了條件,也為通信安全提供了保障,但另一方面對(duì)電信運(yùn)營(yíng)企業(yè)保障用戶的信息、通信安全也提出了更高的要求。筆者總結(jié)多年的電信企業(yè)客戶信息管理經(jīng)驗(yàn),借鑒先進(jìn)企業(yè)的管理方法,從明確電信用戶信鼠的范圍、電信用戶信息泄露的風(fēng)險(xiǎn)途徑、解決電信用戶信息安全的措施三個(gè)層面來探討如何保障電信用戶信息安全。
一、電信企業(yè)用戶信息包含的內(nèi)容
根據(jù)電信企業(yè)獲取客戶信息和提供通信服務(wù)的特點(diǎn),電信用戶信息應(yīng)是指?jìng)€(gè)人與單位用戶的姓名或名稱、有效證件類型及證件號(hào)碼、住址(地址)、用戶號(hào)碼、聯(lián)系方式、繳費(fèi)賬戶、通話清單、終端信息以及單位用戶的組織架構(gòu)等基本信息、信息網(wǎng)絡(luò)建設(shè)等非通信的信息內(nèi)容。
二、電信企業(yè)用戶信息泄露的風(fēng)險(xiǎn)途徑
造成電信用戶信息泄露的風(fēng)險(xiǎn)主要是人員風(fēng)險(xiǎn)和系統(tǒng)風(fēng)險(xiǎn)。人員風(fēng)險(xiǎn)是指電信企業(yè)內(nèi)部和外部所有可以接觸到用戶信息的眾多人員泄露用戶信息的風(fēng)險(xiǎn)。企業(yè)內(nèi)部人員如營(yíng)業(yè)人員、銷售人員、維護(hù)人員、客戶信息管理人員等;外部人員包括與電信企業(yè)合作的業(yè)務(wù)商、內(nèi)容提供商以及第三方維護(hù)人員等。
從系統(tǒng)風(fēng)險(xiǎn)上來講,由于電信企業(yè)IT系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)存在區(qū)域分散、數(shù)據(jù)分散、系統(tǒng)繁多、環(huán)境復(fù)雜等特點(diǎn),建設(shè)了包括BSS、客服、CRM等多個(gè)業(yè)務(wù)支撐系統(tǒng)和OA辦公系統(tǒng),各個(gè)系統(tǒng)上積累了大量的客戶信息和生產(chǎn)數(shù)據(jù)、運(yùn)營(yíng)信息等,每個(gè)系統(tǒng)的人員根據(jù)“使用”和“維護(hù)”又分為不同的角色,這些系統(tǒng)的終端覆蓋了內(nèi)網(wǎng)和外網(wǎng)、計(jì)算機(jī)和移動(dòng)終端等多種形態(tài)的終端設(shè)備。由于這些特征的存在,電信企業(yè)客戶信息數(shù)據(jù)面臨著內(nèi)部和外部網(wǎng)絡(luò)的多重風(fēng)險(xiǎn)。
三、電信企業(yè)用戶信息安全保護(hù)的措施
保護(hù)電信客戶的信息安全,讓客戶享有安全、放心的通信服務(wù)是電信企業(yè)的責(zé)任和義務(wù)。筆者從通信行業(yè)服務(wù)角度來看,電信企業(yè)信息安全保障的關(guān)鍵需要從加強(qiáng)內(nèi)部管理、提升系統(tǒng)防范能力兩個(gè)方面得到提升。
(一)強(qiáng)化內(nèi)部管理,提升全員信息安全防范意識(shí)
首先作為電信企業(yè)要有大局意識(shí),應(yīng)自覺遵守國(guó)家的法律、法規(guī),嚴(yán)格執(zhí)行《基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法(試行)》。將保障用戶信息安全納入企業(yè)的保密體系,建立完善的用戶信息安全管理制度,規(guī)范從業(yè)務(wù)受理、客戶服務(wù)、運(yùn)行維護(hù)、信息計(jì)費(fèi)、外部合作等涉及客戶信息的各個(gè)關(guān)鍵環(huán)節(jié)的業(yè)務(wù)操作流程和規(guī)章制度,構(gòu)建全面有效的用戶個(gè)人信息安全保護(hù)機(jī)制。比如要求營(yíng)業(yè)和營(yíng)銷人員不允許私自留存客戶信息;要求維護(hù)人員不允許私自下載和修改客戶信息;各系統(tǒng)賬號(hào)權(quán)限嚴(yán)格實(shí)施分級(jí)管理,不允許轉(zhuǎn)讓和越級(jí)使用;規(guī)范各類用戶信息的存儲(chǔ)介質(zhì)、存儲(chǔ)時(shí)限和銷毀方式,完善用戶資料銷毀管理制度和技術(shù)保障手段;針對(duì)外部商、合作單位要明確對(duì)用戶信息保密的業(yè)務(wù)和技術(shù)要求以及泄密后的相關(guān)處罰;定期開展用戶信息安全檢查,做到提前防范,最大限度保障用戶信息安全等。
另一方面企業(yè)要加強(qiáng)對(duì)企業(yè)員工的法制教育和思想政治教育,營(yíng)造尊重和保護(hù)用戶信息安全的企業(yè)文化和經(jīng)營(yíng)環(huán)境,提高全員的信息安全意識(shí)和法律意識(shí)。尤其是針對(duì)能夠接觸到用戶信息的員工、外包人員、商及合作單位的從業(yè)人員要與企業(yè)簽訂保密責(zé)任書,經(jīng)常性地組織開展案例教育、警示教育、相關(guān)法規(guī)和業(yè)務(wù)規(guī)范的考核等,提高從業(yè)人員的覺悟和防范意識(shí)。
(二)提高技術(shù)防控手段,提升系統(tǒng)防范能力
完善電信企業(yè)IT系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)的安全建設(shè),構(gòu)建用戶信息數(shù)據(jù)保密體系,精確定位用戶信息泄露風(fēng)險(xiǎn),從外部和內(nèi)部防范兩方面提升系統(tǒng)的防范能力。
首先是做好外部防范,由于電信企業(yè)IT系統(tǒng)業(yè)務(wù)平臺(tái)繁雜,接入終端種類多,要保證各類終端和網(wǎng)絡(luò)安全地接入到業(yè)務(wù)系統(tǒng)中,就要不斷完善信息系統(tǒng)安全設(shè)備如防火墻、入侵檢測(cè)系統(tǒng)、病毒防護(hù)系統(tǒng)、認(rèn)證系統(tǒng)等性能,對(duì)可訪問系統(tǒng)的計(jì)算機(jī)及移動(dòng)終端等必須實(shí)施安全認(rèn)證和安全策略防護(hù),實(shí)現(xiàn)對(duì)用戶信息的“區(qū)域外保護(hù)”,嚴(yán)格防范黑客和外部不法人員竊取用戶信息。其次,由于大部分用戶信息泄露案件都是內(nèi)部人員制造,加強(qiáng)內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)防范更加重要。一方面要加強(qiáng)系統(tǒng)的認(rèn)證安全能力和網(wǎng)絡(luò)賬號(hào)權(quán)限分級(jí)管控體系,加強(qiáng)對(duì)登陸人員的身份和權(quán)限核實(shí),對(duì)于無論從業(yè)務(wù)平臺(tái)或后臺(tái)數(shù)據(jù)庫(kù)查閱和下載用戶的信息情況系統(tǒng)都要有完整的日志記錄;另一方面,如果用戶信息未經(jīng)加密安全處理,一旦下載存儲(chǔ)到計(jì)算機(jī)上系統(tǒng)將失去監(jiān)控權(quán),有可能會(huì)造成信息恣意傳播而無法找到源頭,因此系統(tǒng)應(yīng)自動(dòng)實(shí)現(xiàn)數(shù)據(jù)落地加密及權(quán)限控制,同時(shí)對(duì)下載終端加強(qiáng)安全策略認(rèn)證,提高下載用戶信息的安全度。
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)