前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的關(guān)于信息安全問(wèn)題主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:信息化建設(shè);信息資源;安全
中圖分類(lèi)號(hào):G20 文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1002-2589(2013)12-0197-03
進(jìn)入新世紀(jì)后,黨校的信息化建設(shè)無(wú)論是資金方面,還是在技術(shù)方面都有了大幅度的提升。在資源共享方面,通過(guò)VPN虛擬網(wǎng)等方式實(shí)現(xiàn)了各級(jí)黨校之間的聯(lián)網(wǎng);校園辦公軟件系統(tǒng)和資源管理系統(tǒng)實(shí)現(xiàn)的有機(jī)地整合,數(shù)字資源和內(nèi)容也得到極大地豐富,種類(lèi)更加齊全。信息化對(duì)黨校的工作、教學(xué)、科研帶來(lái)方便的同時(shí)也對(duì)信息化安全工作提出了更高的要求。
一、黨校信息化及安全建設(shè)的必然性
1.新時(shí)期黨校建設(shè)要求,黨校必然要進(jìn)一步進(jìn)行信息化建設(shè)
新時(shí)期,黨賦予黨校的任務(wù)是黨校作為干部培訓(xùn)的“主渠道”,并且發(fā)揮著中國(guó)特色社會(huì)主義理論“主陣地”和黨委政府“思想庫(kù)”的作用。通過(guò)信息化建設(shè),開(kāi)展領(lǐng)導(dǎo)干部網(wǎng)絡(luò)課堂、遠(yuǎn)程教育等方式,可以拓寬干部培訓(xùn)渠道,增大黨校干部培訓(xùn)的力度和范圍,放大黨校干部培訓(xùn)工作的效用,更充分發(fā)揮各級(jí)黨校在干部培訓(xùn)中主渠道的作用。通過(guò)建設(shè)數(shù)字圖書(shū)館,為黨校領(lǐng)導(dǎo)干部提供讀書(shū)便利,在創(chuàng)建學(xué)習(xí)型政黨和學(xué)習(xí)型社會(huì)進(jìn)程中發(fā)揮積極的推動(dòng)作用。針對(duì)網(wǎng)絡(luò)時(shí)代的特點(diǎn),堅(jiān)持馬列主義在意識(shí)形態(tài)的指導(dǎo)地位,做好理論宣傳工作的戰(zhàn)略部署,要使黨校在信息化建設(shè)中發(fā)揮馬列主義宣傳陣地的作用。
在2012年7月17日全國(guó)黨校校長(zhǎng)會(huì)議的開(kāi)幕式上,同志在講話中對(duì)新時(shí)期黨校的工作提出戰(zhàn)略性的指導(dǎo)意見(jiàn):“堅(jiān)持上級(jí)黨校對(duì)下級(jí)黨校的指導(dǎo),加強(qiáng)中央黨校與地方黨校之間以及地方各級(jí)黨校相互之間在教學(xué)、科研、管理服務(wù)等方面的通力合作,充分發(fā)揮黨校系統(tǒng)的整體優(yōu)勢(shì)?!币虼它h校的信息化建設(shè)也要緊緊圍繞著這一新時(shí)期黨校建設(shè)的目標(biāo)和方向。在今后黨校信息化建設(shè)中要更好地為黨校的教學(xué)科研服務(wù)。通過(guò)信息化建設(shè),努力提高辦公自動(dòng)化水平,提高處理事物的效率;通過(guò)提高各級(jí)黨校之間數(shù)字資源共建共享程度,促進(jìn)各級(jí)黨校之間的優(yōu)勢(shì)互補(bǔ),促進(jìn)黨校的整體水平[1]。
2.信息化安全建設(shè)是信息化建設(shè)的必然要求
在黨校信息化建設(shè)過(guò)程中,安全保障起了至關(guān)重要的作用。只有信息化安全建設(shè)到位,才能保證信息建設(shè)在實(shí)際辦公、教學(xué)、科研、交流中能夠正常有序并可持續(xù)地進(jìn)行。在總結(jié)過(guò)去黨校信息化安全建設(shè)的經(jīng)驗(yàn)教訓(xùn)中,我們可以看到黨校信息化安全建設(shè)走過(guò)了一條曲折的道路。黨校對(duì)信息化安全建設(shè)的需求從原來(lái)按文件指示而動(dòng)轉(zhuǎn)變成為黨校發(fā)展的自身要求;對(duì)信息化安全建設(shè)的主要內(nèi)容從一知半解到現(xiàn)在心中系統(tǒng)有數(shù);對(duì)于信息化安全建設(shè)的方式從原來(lái)的跟風(fēng)而動(dòng)轉(zhuǎn)變成按需而置、量力而行;信息化安全的人才隊(duì)伍從無(wú)到有,從弱到強(qiáng),并逐步適應(yīng)了黨校信息化的需要。這一系列的發(fā)展變化都說(shuō)明了,黨校在保障信息化建設(shè)的進(jìn)程中,不斷探索和實(shí)踐出了具有黨校特色的信息化安全建設(shè)發(fā)展之路。
二、目前整體信息安全狀況對(duì)黨校信息安全建設(shè)的要求
在信息化建設(shè)取得了具大成果的背后,我們也應(yīng)當(dāng)清醒地認(rèn)識(shí)到信息化建設(shè)中所存在的安全問(wèn)題并沒(méi)有消失,也沒(méi)有得到根本性的解決。應(yīng)當(dāng)說(shuō),隨著黨校信息化建設(shè)的日益深入,范圍不斷擴(kuò)大,安全隱患和問(wèn)題會(huì)更加防不勝防。
1.搜索引擎無(wú)孔不入的信息收集方式對(duì)黨校在公網(wǎng)上的信息安全提出了考驗(yàn)
我們應(yīng)當(dāng)清醒地認(rèn)識(shí)到,黨校面向互聯(lián)網(wǎng)公開(kāi)的網(wǎng)站上的所有信息都將成為目前國(guó)內(nèi)外網(wǎng)頁(yè)搜索引擎所網(wǎng)羅收集的對(duì)象。以百度搜索為例,筆者在百度百科中輸入所知道的各個(gè)黨校名稱(chēng),就可以看到該黨校在公開(kāi)于互聯(lián)網(wǎng)網(wǎng)站中關(guān)于學(xué)校簡(jiǎn)介所有內(nèi)容按原文給予轉(zhuǎn)發(fā)。其他的搜索引擎網(wǎng)站也是類(lèi)似于這種情景,或多或少都收集了各個(gè)黨校公開(kāi)的信息內(nèi)容。作為專(zhuān)業(yè)的搜索引擎網(wǎng)站的信息收集員在收集黨校公開(kāi)網(wǎng)站上的信息時(shí),不可能只關(guān)心其中的一兩點(diǎn)內(nèi)容,而是會(huì)把所有內(nèi)容都詳細(xì)看一遍。筆者在百度搜索中輸入“黨校通訊錄”,結(jié)果在搜索的結(jié)果的鏈接中非常方便地打開(kāi)了相關(guān)信息,如某函授班級(jí)的通訊錄,上面詳細(xì)記載著學(xué)員的相關(guān)信息;如在某省委黨校網(wǎng)站中全省黨校系統(tǒng)通訊錄,可以很詳細(xì)地看到全省所有地市縣黨校的有關(guān)通訊信息。隨著黨校所承擔(dān)社會(huì)職能的增多,參與社會(huì)政治經(jīng)濟(jì)建設(shè)的作用不斷提高,各搜索引擎網(wǎng)站對(duì)黨校公開(kāi)于互聯(lián)網(wǎng)的信息的收集力度將不斷加強(qiáng)。因此,在公網(wǎng)上,哪些內(nèi)容可以公布,哪些內(nèi)容不能公布都要進(jìn)行嚴(yán)格的審查,以避免無(wú)意中將一些不宜公開(kāi)的信息公布于網(wǎng)站中,這既是國(guó)家有關(guān)法律法規(guī)的要求,也是《黨校工作條例》中有關(guān)信息化建設(shè)的要求。
2.黑客技術(shù)的發(fā)展與黨校安全技術(shù)的相對(duì)滯后,對(duì)黨校信息資源建設(shè)存在嚴(yán)峻的挑戰(zhàn)
在防患黑客攻擊和病毒木馬的傳染方面,經(jīng)過(guò)多年的信息化建設(shè),在不斷累積經(jīng)驗(yàn)和教訓(xùn)的探索之中,黨校信息安全建設(shè)取得了一定的成績(jī)。安全防患意識(shí)在不斷地加強(qiáng),安全防護(hù)能力在不斷提高。但仍然沒(méi)有改變信息安全工作處于相對(duì)被動(dòng)的局面。從自身的建設(shè)來(lái)看,在信息安全的有關(guān)設(shè)備和軟件上投入仍然不足。大多數(shù)黨校預(yù)防黑客攻擊的設(shè)備僅僅依靠防火墻集成的功能,基本上沒(méi)有裝配入侵檢測(cè)設(shè)備、入侵檢測(cè)防御設(shè)備、行為管理器和網(wǎng)頁(yè)防篡改系統(tǒng)。在這種情況下,對(duì)外網(wǎng)抗攻擊安全指數(shù)偏低,對(duì)內(nèi)網(wǎng)的攻擊就是一片真空。然而要配齊一套包括較先進(jìn)的可三層管理的防火墻和其他的相關(guān)設(shè)備,從絕對(duì)價(jià)格來(lái)看是一筆不菲的開(kāi)支。在目前大部分黨校信息化建設(shè)投入資金有限的情況下其財(cái)力上是難以承當(dāng)?shù)?,以至相?dāng)多的黨校都對(duì)于安全設(shè)備的配置都采用了能簡(jiǎn)則簡(jiǎn)、能省則省的做法。
3.內(nèi)部信息安全制度的進(jìn)一步規(guī)范化,并使之與黨校信息化的發(fā)展相適應(yīng)
黨校的信息化安全工作應(yīng)當(dāng)按照國(guó)家有關(guān)信息化建設(shè)的法律法規(guī)進(jìn)行,這是最基本的出發(fā)點(diǎn)。但國(guó)家的有關(guān)法律法規(guī)是針對(duì)社會(huì)普遍現(xiàn)象而制定的,不可能考慮到具體行業(yè)、具體單位對(duì)信息安全工作個(gè)性化需求,難免在實(shí)際操作中有考慮不周的地方。因此,針對(duì)黨校信息建設(shè)的特點(diǎn)、具體操作過(guò)程的需求以及對(duì)將來(lái)信息建設(shè)的發(fā)展,參照國(guó)家有關(guān)的法律法規(guī),適時(shí)制定和修改黨校系統(tǒng)的信息化安全工作規(guī)定是勢(shì)在必行的。
黨校信息化安全條例應(yīng)當(dāng)具有可操作性,要能夠?qū)唧w的工作起到指導(dǎo)性的作用。其中的具體化要求應(yīng)當(dāng)從生效之日起,融入到黨校的日常工作教學(xué)生活之中,具體的執(zhí)行情況應(yīng)當(dāng)列入工作考核或績(jī)效考核之中。用信息化安全條例來(lái)規(guī)范信息化建設(shè),也要從日常教學(xué)工作執(zhí)行過(guò)程發(fā)現(xiàn)條例的不足之處并及時(shí)完善,讓信息化安全條例更好地為黨校信息化建設(shè)服務(wù),讓黨校信息化工作能夠可持續(xù)性地更好發(fā)展。
4.加強(qiáng)各級(jí)黨校之間信息化安全工作的合作
“天下黨校是一家”一直是各級(jí)黨校在各項(xiàng)業(yè)務(wù)交流與合作中的不成文規(guī)定。所以,無(wú)論是現(xiàn)在還是將來(lái),各級(jí)黨校在信息化安全工作中也要發(fā)揚(yáng)“一家人”的無(wú)間合作理念。隨著各級(jí)黨校之間的信息資源共享開(kāi)展,對(duì)信息化安全工作中的合作成為必然要求。在將來(lái),云計(jì)算在黨校信息化建設(shè)中的應(yīng)用,將更促進(jìn)各級(jí)黨校有了“一家人”的感覺(jué),通過(guò)擴(kuò)展的網(wǎng)絡(luò)連接合作,各級(jí)黨校的網(wǎng)絡(luò)形成一個(gè)社區(qū),這將對(duì)未來(lái)黨校信息化安全工作提出更高的要求。在這種情況下,不是單靠一校之力所能完成信息化安全工作,需要各個(gè)黨校相互配合,發(fā)揮整體人才的優(yōu)勢(shì),各盡其長(zhǎng),來(lái)不斷地完善和推進(jìn)黨校信息化工作的開(kāi)展。
上級(jí)黨校要對(duì)下級(jí)黨校進(jìn)行指導(dǎo)工作。在日常具體化操作中,應(yīng)當(dāng)包括上級(jí)黨校對(duì)下級(jí)黨校信息化安全工作進(jìn)行指導(dǎo)。在目前實(shí)際情況中,中央黨校和省級(jí)黨校在信息安全工作中具有明顯的人才優(yōu)勢(shì),而市級(jí)黨校和縣區(qū)級(jí)黨校在這方面的人才就較為匱乏。在日常工作中通過(guò)省級(jí)黨校信息化安全工作人員有針對(duì)性的業(yè)務(wù)指導(dǎo)工作,能較好地提高市級(jí)和縣(區(qū))級(jí)黨校的信息化安全工作水平。
總的來(lái)看,各級(jí)黨校在信息化建設(shè)中對(duì)安全工作都是相當(dāng)重視的,在實(shí)踐中也積累了不少豐富的經(jīng)驗(yàn)。然而我們也更要清醒地認(rèn)識(shí)到,無(wú)論是操作系統(tǒng),還是應(yīng)用軟件系統(tǒng)都有我們無(wú)法預(yù)知的安全漏洞;不論是哪種型號(hào)的硬件設(shè)備,都無(wú)法保證能一勞永逸,不會(huì)出現(xiàn)任何故障;資金、技術(shù)、人才在一段時(shí)間內(nèi)都將是黨校信息化安全工作的難題;信息技術(shù)日新月異發(fā)展的同時(shí),也對(duì)黨校信息化工作不斷提出了新問(wèn)題、新要求。但我們相信,只要各級(jí)黨校相互合作,發(fā)揮利用黨校系統(tǒng)在信息化安全工作上的整體優(yōu)勢(shì),共享信息化安全工作的經(jīng)驗(yàn)成果,我們是有信心解決信息化建設(shè)道路上所遇到的安全問(wèn)題的。
信息系統(tǒng)安全管理并不是一個(gè)很新的概念,很多信息系統(tǒng)業(yè)務(wù)平臺(tái)的管理人員對(duì)其的認(rèn)識(shí)可能還簡(jiǎn)單停留在防火墻和殺毒軟件上,認(rèn)為威脅主要來(lái)自于互聯(lián)網(wǎng)和外部的威脅。隨著近年來(lái)移動(dòng)互聯(lián)網(wǎng)技術(shù)的革命性發(fā)展,智能移動(dòng)終端的普及,虛擬化云存儲(chǔ)技術(shù)的大規(guī)模應(yīng)用,安全威脅也從原先的單一方式外部攻擊模式轉(zhuǎn)變?yōu)锳PT攻擊模式,如果再使用傳統(tǒng)的方法和理念來(lái)應(yīng)對(duì)新模式的安全威脅顯然遠(yuǎn)遠(yuǎn)不夠,必須要從人防、技防和管理制度上進(jìn)行相適應(yīng)的變化。
1管理系統(tǒng)本身存在的安全威脅
每一個(gè)信息系統(tǒng)管理平臺(tái)需要有一個(gè)運(yùn)行環(huán)境,都離不開(kāi)運(yùn)行程序或代碼,讀寫(xiě)數(shù)據(jù)庫(kù)存儲(chǔ)的數(shù)據(jù),因此,如果編寫(xiě)的系統(tǒng)代碼中有漏洞,承載信息管理平臺(tái)的運(yùn)行環(huán)境有漏洞,都可能導(dǎo)致信息泄露,如果存放敏感信息的數(shù)據(jù)不被加密則有可能導(dǎo)致更為嚴(yán)重的后果。
1.1管理系統(tǒng)代碼的漏洞
無(wú)論是自行開(kāi)發(fā),還是使用現(xiàn)成代碼二次開(kāi)發(fā)的信息系統(tǒng)管理平臺(tái)都可能在其代碼上存在漏洞。比如,joomla是一個(gè)開(kāi)源的CMS系統(tǒng),其本身也會(huì)存在一些漏洞。而某網(wǎng)站是使用joomla系統(tǒng)二次開(kāi)發(fā)的,那么該網(wǎng)站也會(huì)有類(lèi)似的漏洞出現(xiàn),需要及時(shí)使用補(bǔ)丁修補(bǔ)。針對(duì)信息管理系統(tǒng)的代碼漏洞要在系統(tǒng)上線之前請(qǐng)有資質(zhì)的專(zhuān)業(yè)公司進(jìn)行代碼監(jiān)測(cè),以防止開(kāi)發(fā)或二次開(kāi)發(fā)中產(chǎn)生的漏洞被攻擊者利用導(dǎo)致信息泄露,有條件的情況下對(duì)一些重要的系統(tǒng)要根據(jù)公安部關(guān)于信息安全等級(jí)保護(hù)制度的相關(guān)要求對(duì)信息系統(tǒng)分等級(jí)進(jìn)行安全保護(hù)和監(jiān)管。信息安全等級(jí)保護(hù)制度的主要工作包括:定級(jí)、備案、建設(shè)整改、等級(jí)評(píng)測(cè)和監(jiān)督檢查。
1.2系統(tǒng)管理權(quán)限設(shè)置的問(wèn)題
在信息系統(tǒng)管理中,會(huì)為不同的用戶設(shè)置不同等級(jí)的管理權(quán)限,權(quán)限設(shè)置應(yīng)力求精確,避免對(duì)用戶設(shè)置高于使用需求的權(quán)限,對(duì)一些權(quán)限最大的系統(tǒng)管理員用戶(如admin等)應(yīng)修改其默認(rèn)的名稱(chēng)。實(shí)際工作中有時(shí)為了工作和維護(hù)方便會(huì)存在一些為用戶過(guò)度設(shè)置權(quán)限的情況,一個(gè)比較常見(jiàn)的案例是在Apache服務(wù)器的配置中,如果啟用了FTP服務(wù),為了維護(hù)方便,一些管理員會(huì)為FTP用戶賬號(hào)開(kāi)設(shè)root權(quán)限,一旦FTP服務(wù)出現(xiàn)漏洞被攻擊者加以利用,即可獲得對(duì)整個(gè)服務(wù)器系統(tǒng)的控制權(quán),造成非常嚴(yán)重的后果。對(duì)此,應(yīng)使用系統(tǒng)的ACLs功能進(jìn)行權(quán)限控制,而不是對(duì)一些易受攻擊服務(wù)的用戶賦予不必要的權(quán)限。
1.3數(shù)據(jù)庫(kù)敏感信息的泄漏
近年來(lái)網(wǎng)絡(luò)攻擊的類(lèi)型由單純的癱瘓服務(wù)式攻擊形式轉(zhuǎn)向了以入侵系統(tǒng)竊取信息為主要目的的形式,一些企業(yè)和政府機(jī)關(guān)的信息系統(tǒng)和電商系統(tǒng)多次發(fā)生用戶信息疑似泄露的情況,如2013年漢廷、如家等酒店開(kāi)房記錄(包括客戶的身份證號(hào)等大量隱私信息)因第三方存儲(chǔ)漏洞疑似遭泄露。2015年4-5月間全國(guó)多地社保系統(tǒng)爆出漏洞,數(shù)百萬(wàn)人的敏感信息疑似遭到泄露。這些事件充分表明除了做好對(duì)系統(tǒng)漏洞特別是對(duì)數(shù)據(jù)庫(kù)常用的SQL注入漏洞的修補(bǔ)工作外,還必須對(duì)數(shù)據(jù)庫(kù)中的敏感信息字段進(jìn)行加密處理,數(shù)據(jù)庫(kù)對(duì)用戶的password字段使用SHA-1算法進(jìn)行加密。
2密碼使用和管理的安全威脅
信息系統(tǒng)管理的身份認(rèn)證核心是密碼,密碼的作用是保證合法用戶使用管理系統(tǒng),對(duì)密碼的設(shè)置要遵循嚴(yán)格的規(guī)范,防止被他人破解,對(duì)使用密碼的人員也要嚴(yán)格遵循使用權(quán)限進(jìn)行分配,對(duì)密碼使用的環(huán)境也要有安全意識(shí)。使用密碼與多重認(rèn)證技術(shù)相結(jié)合進(jìn)行身份識(shí)別會(huì)大大提高系統(tǒng)的安全性。
2.1未按規(guī)定設(shè)置密碼
實(shí)際使用中由于管理人員經(jīng)常需要登錄信息系統(tǒng)各個(gè)模塊,對(duì)信息系統(tǒng)的內(nèi)容進(jìn)行管理和維護(hù),包括對(duì)數(shù)據(jù)庫(kù)的操作和對(duì)系統(tǒng)的修改和升級(jí)等,因此,一些維護(hù)人員為了使用方便常常使用弱密碼甚至是空密碼,嚴(yán)重威脅信息系統(tǒng)管理的安全。2015年2月一名初中生利用漏洞入侵天河一號(hào)的事件是典型的案例,通過(guò)分析,主要問(wèn)題是天河的一個(gè)企業(yè)用戶沒(méi)有進(jìn)行嚴(yán)格的網(wǎng)絡(luò)隔離,其辦公室的無(wú)線網(wǎng)絡(luò)的認(rèn)證策略設(shè)置為不使用密碼,而且該企業(yè)用戶在天河的登錄節(jié)點(diǎn)使用弱口令,這些隱患都會(huì)直接導(dǎo)致信息泄露和系統(tǒng)被攻擊者利用,如果是一些存有敏感信息的系統(tǒng),則會(huì)造成嚴(yán)重的后果。作為管理人員實(shí)際在使用可采取如下手段加強(qiáng)密碼管理:(1)密碼的長(zhǎng)度必須在6位以上,密碼由大、小寫(xiě)字母、數(shù)字和特殊符號(hào)組成。(2)不要使用連續(xù)數(shù)字和字母的組合,不要使用相同的數(shù)字和字母組合。(3)嚴(yán)禁使用經(jīng)常出現(xiàn)在暴力破解軟件詞典中的一些密碼(如123456|111|1|password等)。(4)定期更換密碼。(5)按密碼所對(duì)應(yīng)的權(quán)限大小實(shí)施分級(jí)管理,工作人員只掌握其工作中需要使用的密碼。(6)禁止使用電子郵件和即時(shí)通訊工具發(fā)送密碼,密碼存根應(yīng)使用紙質(zhì)介質(zhì)由專(zhuān)人保管。(7)人員離崗或調(diào)動(dòng),以及發(fā)生密碼泄露要及時(shí)修改密碼。
2.2在不安全的網(wǎng)絡(luò)使用非加密方式登錄管理系統(tǒng)
遠(yuǎn)程管理和移動(dòng)管理已經(jīng)十分普遍地被應(yīng)用,但實(shí)際上近年來(lái)很多信息系統(tǒng)管理平臺(tái)為節(jié)約費(fèi)用并沒(méi)有設(shè)計(jì)專(zhuān)門(mén)的安全管理模塊,在一些場(chǎng)合遠(yuǎn)程登錄管理系統(tǒng)會(huì)有安全隱患。比如當(dāng)管理人員連接到“釣魚(yú)”wifi,進(jìn)行遠(yuǎn)程管理時(shí)就可能泄露管理員密碼等信息,常見(jiàn)的“釣魚(yú)”wifi站點(diǎn)案例,攻擊者先使用類(lèi)似ChinaNet或CMCC等SSID,不設(shè)置密碼誘使使用者連接,通過(guò)在交換機(jī)使用端口鏡像技術(shù),讓pc或工作站能利用數(shù)據(jù)報(bào)監(jiān)聽(tīng)過(guò)濾軟件截取使用者的用戶名或密碼。還可以使用攻擊者設(shè)置DNS服務(wù)器對(duì)特定域名進(jìn)行DNS劫持。對(duì)此,系統(tǒng)設(shè)計(jì)之初就要考慮使用安全的方式進(jìn)行遠(yuǎn)程登錄管理,如使用VPN技術(shù)等,對(duì)使用web方式進(jìn)行管理的系統(tǒng)要使用SSL方式登錄。
2.3未使用多重認(rèn)證機(jī)制
在信息系統(tǒng)管理中使用多重認(rèn)證機(jī)制是一種行之有效的手段,可以解決單重認(rèn)證被瓦解后整個(gè)信息系統(tǒng)管理平臺(tái)安全機(jī)制全線崩潰的局面。比如,如果信息管理系統(tǒng)使用web方式管理,使用ssl方式連接,可是如果密碼被別人得知了怎么辦呢?這里比較有效的方法是使用短信二次認(rèn)證技術(shù),將有管理權(quán)的人員的手機(jī)號(hào)碼加入認(rèn)證系統(tǒng),登錄時(shí)不但要求輸入系統(tǒng)用戶名和密碼,還要輸入本人對(duì)應(yīng)手機(jī)相應(yīng)的短信驗(yàn)證碼。以下是一段使用.net技術(shù)編寫(xiě)的短信認(rèn)證程序關(guān)鍵部分的案例:hostIP=″X(qián)XX.XXX.XXX.XXX″
port=″X(qián)XX″
Account=″X(qián)XX″’Trim(row(″uid″))
Password=″X(qián)XX″’Trim(row(″pwd″))
result=msgCtrl.connection.connect(hostIP,port,Account,Password)
以上部分為使用運(yùn)營(yíng)商提供的短信平臺(tái)的ip地址、端口號(hào)、用戶名以及密碼連接其短信平臺(tái)。
mobiles.Add(str_tel)
msg.content=Trim(TextBox2.Text)
msg.needStatus=False
msg.ServiceID=Account
msg.SendNow=True
msg.srcID=.AccountID
msg.SequenceID=.SequenceID。。以上部分為發(fā)送短信驗(yàn)證碼到指定手機(jī),其中TextBox2.Text為系統(tǒng)數(shù)據(jù)庫(kù)生成的驗(yàn)證碼,可在一定時(shí)間內(nèi)使用,mobiles為登錄管理人員的手機(jī)號(hào)碼。
3移動(dòng)管理終端的安全威脅
隨著移動(dòng)支付系統(tǒng)的發(fā)展,手機(jī)短信驗(yàn)證技術(shù)已經(jīng)被廣泛采用,在信息系統(tǒng)管理平臺(tái)中使用此類(lèi)技術(shù)進(jìn)行身份驗(yàn)證也已不是新鮮事物,但是這并不等于說(shuō)使用了這種技術(shù)就能保證信息管理系統(tǒng)的絕對(duì)安全,短信方式的APT攻擊和木馬APP就對(duì)移動(dòng)管理終端構(gòu)成現(xiàn)實(shí)的威脅。
3.1使用短信方式植入木馬
攻擊者會(huì)使用APT攻擊的方式即針對(duì)特定用戶(信息系統(tǒng)的管理人員)的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確攻擊以獲取被攻擊用戶的受信系統(tǒng)的信息。攻擊過(guò)程是首先發(fā)送一個(gè)欺詐性的短信,短信的號(hào)碼可能是一些公共服務(wù)號(hào)(如,10086等),這些短信的共性是帶有一個(gè)鏈接,目的是誘使用戶連接到一個(gè)含有木馬的網(wǎng)頁(yè)并將木馬安裝到用戶手機(jī),一旦信息系統(tǒng)管理人員的手機(jī)被植入了木馬,木馬可以截取手機(jī)短信并發(fā)給攻擊者,這樣攻擊者就可能獲取信息系統(tǒng)管理平臺(tái)的短信驗(yàn)證碼。由于此類(lèi)攻擊方式使用的木馬基本都是針對(duì)智能手機(jī),除了常規(guī)的安裝手機(jī)殺毒軟件查殺木馬外,系統(tǒng)管理人員用于接收短信驗(yàn)證碼的終端可使用非智能手機(jī),為了加強(qiáng)安全性還可以使用一個(gè)專(zhuān)用的手機(jī)號(hào)碼用于接收短信驗(yàn)證碼而不是管理人員日常使用的號(hào)碼。
3.2植入木馬的手機(jī)APP
這種攻擊方法與使用短信植入木馬的原理基本類(lèi)似,只是植入木馬的媒介換成了手機(jī)APP,將木馬預(yù)先植入正常手機(jī)APP,引誘特定用戶安裝,一些手機(jī)木馬還可以監(jiān)聽(tīng)手機(jī)通話,比較著名的木馬有“X臥底”和“竊聽(tīng)大盜”等,應(yīng)對(duì)的方法和短信植入木馬方式相同。
4結(jié)語(yǔ)
關(guān)鍵詞:信息安全管理對(duì)策
信息安全隨著信息技術(shù)的發(fā)展而產(chǎn)生,并且其重要性日益凸現(xiàn)出來(lái),信息安全的內(nèi)涵也隨著計(jì)算機(jī)技術(shù)的發(fā)展而不斷變化,進(jìn)入二十一世紀(jì)以來(lái),信息安全的重點(diǎn)放在了保護(hù)信息,確保信息在存儲(chǔ),處理,傳輸過(guò)程中及信息系統(tǒng)不被破壞,確保對(duì)合法用戶的服務(wù)和限制非授權(quán)用戶的服務(wù),以及必要的防御攻擊的措施。即強(qiáng)調(diào)信息的保密性、完整性、可用性、可控性。
一、電力企業(yè)信息安全風(fēng)險(xiǎn)分析
隨著企業(yè)的生產(chǎn)指揮,經(jīng)營(yíng)管理等經(jīng)營(yíng)活動(dòng)越來(lái)越依賴于計(jì)算機(jī)信息系統(tǒng),如果這些系統(tǒng)遭到破壞,造成數(shù)據(jù)損壞,信息泄漏,不能提供服務(wù)等問(wèn)題,則將對(duì)電網(wǎng)的安全運(yùn)行,電力企業(yè)的生產(chǎn)管理以及經(jīng)濟(jì)效益等造成不可估量的損失,高技術(shù)在帶來(lái)便利與效率的同時(shí),也帶來(lái)了新的安全風(fēng)險(xiǎn)和問(wèn)題。
1、電力公司信息安全的主要風(fēng)險(xiǎn)分析
信息安全風(fēng)險(xiǎn)和信息化應(yīng)用情況密切相關(guān),和采用的信息技術(shù)也密切相關(guān),電力公司信息系統(tǒng)面臨的主要風(fēng)險(xiǎn)存在于如下幾個(gè)方面:
(1)計(jì)算機(jī)病毒的威脅最為廣泛:計(jì)算機(jī)病毒自產(chǎn)生以來(lái),一直就是計(jì)算機(jī)系統(tǒng)的頭號(hào)敵人,在電力企業(yè)信息安全問(wèn)題中,計(jì)算機(jī)病毒發(fā)生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡(luò)通信阻塞,系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞,系統(tǒng)無(wú)法提供服務(wù)甚至破壞后無(wú)法恢復(fù),特別是系統(tǒng)中多年積累的重要數(shù)據(jù)的丟失,損失是災(zāi)難性的。
在目前的局域網(wǎng)建成,廣域網(wǎng)聯(lián)通的條件下,計(jì)算機(jī)病毒的傳播更加迅速,一臺(tái)計(jì)算機(jī)感染病毒,在兩三天內(nèi)可以感染到區(qū)域內(nèi)所有單位的計(jì)算機(jī)系統(tǒng)。病毒傳播速度,感染和破壞規(guī)模與網(wǎng)絡(luò)尚未聯(lián)通之時(shí)相比,高出幾個(gè)數(shù)量級(jí)。
(2)網(wǎng)絡(luò)安全問(wèn)題日益突出:企業(yè)網(wǎng)絡(luò)的聯(lián)通為信息傳遞提供了方便的途徑。企業(yè)有許多應(yīng)用系統(tǒng)如:辦公自動(dòng)化系統(tǒng),用電營(yíng)銷(xiāo)系統(tǒng),遠(yuǎn)程教育培訓(xùn)系統(tǒng)等,通過(guò)廣域網(wǎng)傳遞數(shù)據(jù)。企業(yè)開(kāi)通了互聯(lián)網(wǎng)專(zhuān)線寬帶上網(wǎng),企業(yè)內(nèi)部職工可以通過(guò)互聯(lián)網(wǎng)方便地收集獲取信息,發(fā)送電子郵件等。
網(wǎng)絡(luò)聯(lián)通也帶來(lái)了網(wǎng)絡(luò)安全問(wèn)題。企業(yè)內(nèi)部廣域網(wǎng)上的用戶數(shù)量多且難于進(jìn)行管理,互聯(lián)網(wǎng)更是連接到國(guó)際上的各個(gè)地方,什么樣的用戶都有。內(nèi)部網(wǎng),互聯(lián)網(wǎng)上的一些用戶出于好奇的心理,或者蓄意破壞的動(dòng)機(jī),對(duì)電力公司網(wǎng)絡(luò)上的連接的計(jì)算機(jī)系統(tǒng)和設(shè)備進(jìn)行入侵,攻擊等,影響網(wǎng)絡(luò)上信息的傳輸,破壞軟件系統(tǒng)和數(shù)據(jù),盜取企業(yè)商業(yè)秘密和機(jī)密信息,非法使用網(wǎng)絡(luò)資源等,給企業(yè)造成巨大的損失。更有極少數(shù)人利用網(wǎng)絡(luò)進(jìn)行非法的,影響國(guó)家安定團(tuán)結(jié)的活動(dòng),造成很壞的影響。
如何加強(qiáng)網(wǎng)絡(luò)的安全防護(hù),保護(hù)企業(yè)內(nèi)部網(wǎng)上的信息系統(tǒng)和信息資源的安全,保證對(duì)信息網(wǎng)絡(luò)的合法使用,是目前一個(gè)熱門(mén)的安全課題,也是電力企業(yè)面臨的一個(gè)非常突出的安全問(wèn)題。
(3)信息傳遞的安全不容忽視:隨著辦公自動(dòng)化,財(cái)務(wù)管理系統(tǒng),用電營(yíng)銷(xiāo)系統(tǒng)等生產(chǎn),經(jīng)營(yíng)方面的重要系統(tǒng)投入在線運(yùn)行,越來(lái)越多的重要數(shù)據(jù)和機(jī)密信息都通過(guò)企業(yè)的內(nèi)部廣域網(wǎng)來(lái)傳輸。同時(shí)電力公司和外部的政府,研究院所,以及國(guó)外有關(guān)公司都有著許多的工作聯(lián)系,日常許多信息,數(shù)據(jù)都需要通過(guò)互聯(lián)網(wǎng)來(lái)傳輸。
網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種安全風(fēng)險(xiǎn),例如被非法用戶截取從而泄露企業(yè)機(jī)密;被非法篡改,造成數(shù)據(jù)混亂,信息錯(cuò)誤從而造成工作失誤。非法用戶還有可能假冒合法身份,發(fā)送虛假信息,給正常的生產(chǎn)經(jīng)營(yíng)秩序帶來(lái)混亂,造成破壞和損失。因此,信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。
(4)用戶身份認(rèn)證和信息系統(tǒng)的訪問(wèn)控制急需加強(qiáng):企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用,信息系統(tǒng)中包含的信息和數(shù)據(jù),也只對(duì)一定范圍的用戶開(kāi)放,沒(méi)有得到授權(quán)的用戶不能訪問(wèn)。為此各個(gè)信息系統(tǒng)中都設(shè)計(jì)了用戶管理功能,在系統(tǒng)中建立用戶,設(shè)置權(quán)限,管理和控制用戶對(duì)信息系統(tǒng)的訪問(wèn)。這些措施在一定能夠程度上加強(qiáng)系統(tǒng)的安全性。但在實(shí)際應(yīng)用中仍然存在一些問(wèn)題。
一是部分應(yīng)用系統(tǒng)的用戶權(quán)限管理功能過(guò)于簡(jiǎn)單,不能靈活實(shí)現(xiàn)更細(xì)的權(quán)限控制,甚至簡(jiǎn)單到要么都能看,要么都不能看。二是各應(yīng)用系統(tǒng)沒(méi)有一個(gè)統(tǒng)一的用戶管理,企業(yè)的一個(gè)員工要使用到好幾個(gè)系統(tǒng)時(shí),在每個(gè)應(yīng)用系統(tǒng)中都要建立用戶賬號(hào),口令和設(shè)置權(quán)限,用戶自己都記不住眾多的賬號(hào)和口令,使用起來(lái)非常不方便,更不用說(shuō)賬號(hào)的有效管理和安全了。
如何為各應(yīng)用系統(tǒng)提供統(tǒng)一的用戶管理和身份認(rèn)證服務(wù),是我們開(kāi)發(fā)建設(shè)應(yīng)用系統(tǒng)時(shí)必須考慮的一個(gè)共性的安全問(wèn)題。
(5)實(shí)時(shí)控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全至關(guān)重要:電網(wǎng)的調(diào)度指揮,自動(dòng)控制,微機(jī)保護(hù)等領(lǐng)域的計(jì)算機(jī)應(yīng)用在電力企業(yè)中起步早,應(yīng)用水平高,不但實(shí)現(xiàn)了對(duì)電網(wǎng)運(yùn)行狀況的實(shí)時(shí)監(jiān)視,還實(shí)現(xiàn)了對(duì)電網(wǎng)一次設(shè)備的遙控,遙調(diào)以及保護(hù)設(shè)備的遠(yuǎn)方管理。隨著數(shù)據(jù)網(wǎng)的建設(shè)和應(yīng)用,這些電網(wǎng)監(jiān)視和控制方面的系統(tǒng)逐步從采用專(zhuān)線通道傳輸數(shù)據(jù)轉(zhuǎn)移到通過(guò)數(shù)據(jù)網(wǎng)絡(luò)來(lái)傳送數(shù)據(jù)和下發(fā)控制指控令。由于這些計(jì)算機(jī)系統(tǒng)可以直接管理和操作控制電網(wǎng)一次設(shè)備,系統(tǒng)的安全可靠,數(shù)據(jù)網(wǎng)的安全可靠,信息指令傳輸?shù)膶?shí)時(shí)性等直接關(guān)系著電網(wǎng)的安全,其安全等級(jí)要求高于一般的廣域網(wǎng)系統(tǒng)。
同時(shí),這些電網(wǎng)控制和監(jiān)視系統(tǒng)中的許多信息又是生產(chǎn)指揮,管理決策必不可少的,需要通過(guò)和生產(chǎn)管理局域網(wǎng)互聯(lián),將數(shù)據(jù)傳送生產(chǎn)管理信息系統(tǒng)中,供各級(jí)領(lǐng)導(dǎo)和各專(zhuān)業(yè)管理人員察看,使用。數(shù)據(jù)網(wǎng)和生產(chǎn)管理局域網(wǎng)的互聯(lián)帶來(lái)了不同安全等級(jí)的網(wǎng)絡(luò)互連的安全問(wèn)題。
(6)電子商務(wù)的安全逐步提上議事日程:隨著計(jì)算機(jī)信息系統(tǒng)在電力市場(chǎng),用電營(yíng)銷(xiāo),財(cái)務(wù)管理等業(yè)務(wù)中的深入應(yīng)用,電子商務(wù)在電力企業(yè)的應(yīng)用開(kāi)始起步。例如:電力市場(chǎng)系統(tǒng)中發(fā)電廠和電網(wǎng)公司之間的報(bào)價(jià),電力交易,電費(fèi)結(jié)算等都將通過(guò)計(jì)算機(jī)信息系統(tǒng)來(lái)實(shí)現(xiàn)和完成,這可以視為電子商務(wù)中常提到的B2B模式。用電營(yíng)銷(xiāo)系統(tǒng)中的電費(fèi)計(jì)費(fèi)結(jié)算,用戶買(mǎi)電交費(fèi),銀電聯(lián)網(wǎng)代收電費(fèi)等,是典型的電力公司和用戶之間的電子交易,可以視為電子商務(wù)中的B2C模式;以后還有物資采購(gòu)等方面的電子商務(wù)系統(tǒng)。
隨著電子商務(wù)在電力企業(yè)中的應(yīng)用逐步推廣和深入,如何保障電子交易的安全,可靠,即電子商務(wù)安全問(wèn)題也會(huì)越來(lái)越突出。
二、解決信息安全問(wèn)題的基本原則
統(tǒng)籌規(guī)劃,分步實(shí)施。要建立完整的信息安全防護(hù)體系,絕不能一哄而上,必須分清需求的輕重緩急,根據(jù)信息化建設(shè)的發(fā)展,結(jié)合信息系統(tǒng)建設(shè)和應(yīng)用的步伐,統(tǒng)一規(guī)劃,分步建設(shè),逐步投資。
轉(zhuǎn)貼于 1、做好安全風(fēng)險(xiǎn)的評(píng)估。進(jìn)行安全系統(tǒng)的建設(shè),首先必須做好安全狀況評(píng)估分析,評(píng)估應(yīng)聘請(qǐng)專(zhuān)業(yè)信息安全咨詢公司,并組織企業(yè)內(nèi)部信息人員和專(zhuān)業(yè)人員深度參與,全面進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,找出問(wèn)題,確定需求,制定策略,再來(lái)實(shí)施,實(shí)施完成后還要定期評(píng)估和改進(jìn)。
信息安全系統(tǒng)建設(shè)著重點(diǎn)在安全和穩(wěn)定,應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品,不能過(guò)分求全求新。
培養(yǎng)信息安全專(zhuān)門(mén)人才和加強(qiáng)信息安全管理工作必須與信息安全防護(hù)系統(tǒng)建設(shè)同步進(jìn)行,才能真正發(fā)揮信息安全防護(hù)系統(tǒng)和設(shè)備的作用。
2、采用信息安全新技術(shù),建立信息安全防護(hù)體系
企業(yè)信息安全面臨的問(wèn)題很多,我們可以根據(jù)安全需求的輕重緩急,解決相關(guān)安全問(wèn)題的信息安全技術(shù)的成熟度綜合考慮,分步實(shí)施。技術(shù)成熟的,能快速見(jiàn)效的安全系統(tǒng)先實(shí)施
3、計(jì)算機(jī)防病毒系統(tǒng)
計(jì)算機(jī)防病毒系統(tǒng)是發(fā)展時(shí)間最長(zhǎng)的信息安全技術(shù),從硬件防病毒卡,單機(jī)版防病毒軟件到網(wǎng)絡(luò)版防病毒軟件,到企業(yè)版防病毒軟件,技術(shù)成熟且應(yīng)用效果非常明顯。防病毒軟件系統(tǒng)的應(yīng)用基本上可以防治絕大多數(shù)計(jì)算機(jī)病毒,保障信息系統(tǒng)的安全。
在目前的網(wǎng)絡(luò)環(huán)境下,能夠提供集中管理,服務(wù)器自動(dòng)升級(jí),客戶端病毒定義碼自動(dòng)更新,支持多種操作系統(tǒng)平臺(tái),多種應(yīng)用平臺(tái)殺毒的企業(yè)版殺毒軟件,是電網(wǎng)公司這樣的大型企業(yè)的首選。個(gè)人版本的殺毒軟件適合家庭,小規(guī)模用戶。
4、網(wǎng)絡(luò)安全防護(hù)系統(tǒng)
信息資源訪問(wèn)的安全是信息安全的一個(gè)重要內(nèi)容,在信息系統(tǒng)建設(shè)的設(shè)計(jì)階段,就必須仔細(xì)分析,設(shè)計(jì)出合理的,靈活的用戶管理和權(quán)限控制機(jī)制,明確信息資源的訪問(wèn)范圍,制定信息資源訪問(wèn)策略。
對(duì)于已經(jīng)投入使用的信息系統(tǒng),可以通過(guò)采用增加安全訪問(wèn)網(wǎng)關(guān)的方法,來(lái)增強(qiáng)原有系統(tǒng)的用戶管理和對(duì)信息資源訪問(wèn)的控制,以及實(shí)現(xiàn)單點(diǎn)登陸訪問(wèn)任意系統(tǒng)等功能。這種方式基本上不需要改動(dòng)原來(lái)的系統(tǒng),實(shí)施的技術(shù)難度相對(duì)小一些。對(duì)于新建系統(tǒng),則最好采用統(tǒng)一身份認(rèn)證平臺(tái)技術(shù),來(lái)實(shí)現(xiàn)不同系統(tǒng)通過(guò)同一個(gè)用戶管理平臺(tái)實(shí)現(xiàn)用戶管理和訪問(wèn)控制。
5、開(kāi)展信息安全專(zhuān)題研究,為將來(lái)的應(yīng)用做好準(zhǔn)備
電網(wǎng)實(shí)時(shí)監(jiān)視與控制系統(tǒng)的安全問(wèn)題要求更高,技術(shù)難度更大,應(yīng)開(kāi)展專(zhuān)題研究。
國(guó)家有關(guān)部門(mén)和電力企業(yè)對(duì)電網(wǎng)實(shí)時(shí)監(jiān)視與控制系統(tǒng)的安全問(wèn)題高度重視,專(zhuān)門(mén)發(fā)文要求確保電網(wǎng)二次系統(tǒng)的計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全,要實(shí)現(xiàn)調(diào)度控制系統(tǒng),數(shù)據(jù)網(wǎng)與其他生產(chǎn)管理系統(tǒng)和網(wǎng)絡(luò)的有效隔離,甚至是物理隔離。
6、電子商務(wù)安全需要深入研究和逐步應(yīng)用
電子商務(wù)的安全牽涉很多方面,包括嚴(yán)格,安全的身份的認(rèn)證技術(shù),對(duì)涉及商業(yè)機(jī)密的信息實(shí)現(xiàn)加密傳輸,采取數(shù)字簽名技術(shù)保證合同和交易的完整性及不可否認(rèn)性等。這些方面又與信息安全基礎(chǔ)技術(shù)平臺(tái)密切相關(guān),因此安全基礎(chǔ)平臺(tái)的建設(shè)對(duì)于電子商務(wù)的安全應(yīng)用是至關(guān)重要的。目前已經(jīng)有電子商務(wù)的應(yīng)用系統(tǒng)投入在線使用,我們必須加快對(duì)電子商務(wù)的安全的研究和應(yīng)用,否則將來(lái)會(huì)出現(xiàn)因電子在線交易不安全,不可靠的而導(dǎo)致電子商務(wù)系統(tǒng)無(wú)人敢用的局面。
7、依據(jù)法規(guī),遵循標(biāo)準(zhǔn),提高安全管理水平
信息安全的管理包括了法律法規(guī)的規(guī)定,責(zé)任的分化,策略的規(guī)劃,政策的制訂,流程的制作,操作的審議等等。雖然信息安全"七分管理,三分技術(shù)"的說(shuō)法不是很精確,但管理的作用可見(jiàn)一斑。
三、解決信息安全問(wèn)題的思路與對(duì)策
電力企業(yè)的信息安全管理相對(duì)來(lái)說(shuō)還是一個(gè)較新的話題,國(guó)內(nèi)其他電力企業(yè)也在積極研究和探討,以下是一些粗淺的看法。
1、依據(jù)國(guó)家法律,法規(guī),建立企業(yè)信息安全管理制度
國(guó)家在信息安全方面了一系列的法律法規(guī)和技術(shù)標(biāo)準(zhǔn),對(duì)信息網(wǎng)絡(luò)安全進(jìn)行了明確的規(guī)定,并有專(zhuān)門(mén)的部門(mén)負(fù)責(zé)信息安全的管理和執(zhí)法。企業(yè)首先必須遵守國(guó)家的這些法律法規(guī)和技術(shù)標(biāo)準(zhǔn),企業(yè)也必須依據(jù)這些法律法規(guī),來(lái)建立自己的管理標(biāo)準(zhǔn),技術(shù)體系,指導(dǎo)信息安全工作。學(xué)習(xí)信息安全管理國(guó)際標(biāo)準(zhǔn),提升企業(yè)信息安全管理水平
國(guó)際上的信息技術(shù)發(fā)展和應(yīng)用比我們先進(jìn),在信息安全領(lǐng)域的研究起步比我們更早,取得了很多的成果和經(jīng)驗(yàn),我們可以充分利用國(guó)際標(biāo)準(zhǔn)來(lái)指導(dǎo)我們的工作,提高水平,少走彎路。
信息安全是企業(yè)信息化工作中一項(xiàng)重要而且長(zhǎng)期的工作,為此必須各單位建立一個(gè)信息安全工作的組織體系和常設(shè)機(jī)構(gòu),明確領(lǐng)導(dǎo),設(shè)立專(zhuān)責(zé)人長(zhǎng)期負(fù)責(zé)信息安全的管理工作和技術(shù)工作,長(zhǎng)能保證信息安全工作長(zhǎng)期的,有效的開(kāi)展,才能取得好的成績(jī)。
2、開(kāi)展全員信息安全教育和培訓(xùn)活動(dòng)
安全意識(shí)和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容,信息安全不僅僅是信息部門(mén)的事,它牽涉到企業(yè)所有的員工,為了保證安全的成功和有效,應(yīng)當(dāng)對(duì)企業(yè)各級(jí)管理人員,用戶,技術(shù)人員進(jìn)行安全培訓(xùn),減少人為差錯(cuò),失誤造成的安全風(fēng)險(xiǎn)。
開(kāi)展安全教育和培訓(xùn)還應(yīng)該注意安全知識(shí)的層次性,主管信息安全工作的負(fù)責(zé)人或各級(jí)管理人員,重點(diǎn)是了解,掌握企業(yè)信息安全的整體策略及目標(biāo),信息安全體系的構(gòu)成,安全管理部門(mén)的建立和管理制度的制定等;負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員,重點(diǎn)是充分理解信息安全管理策略,掌握安全評(píng)估的基本方法,對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等;用戶,重點(diǎn)是學(xué)習(xí)各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應(yīng)該承擔(dān)的安全職責(zé)等。
3、充分利用企業(yè)網(wǎng)絡(luò)條件,提供全面,及時(shí)和快捷的信息安全服務(wù)
山東省電力公司廣域網(wǎng)聯(lián)通了系統(tǒng)內(nèi)的各個(gè)二級(jí)單位,各單位的局域網(wǎng)全部建成,在這種良好的網(wǎng)絡(luò)條件下,作為省公司一級(jí)的信息安全技術(shù)管理部門(mén)應(yīng)建立計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理的信息與技術(shù)支持平臺(tái),安全公告,安全法規(guī)和技術(shù)標(biāo)準(zhǔn),提供安全軟件下載,搜集安全問(wèn)題,解答用戶疑問(wèn),提供在線的信息安全教育培訓(xùn),并為用戶提供一個(gè)相互交流經(jīng)驗(yàn)的場(chǎng)所。網(wǎng)絡(luò)方式的信息服務(wù)突破了時(shí)間,空間和地域的限制,是信息安全管理和服務(wù)的重要方式。
4、在發(fā)展中求安全
沒(méi)有百分之百安全的技術(shù)和防護(hù)系統(tǒng)黑客技術(shù),計(jì)算機(jī)病毒等信息安全攻擊技術(shù)在不斷發(fā)展的,人們對(duì)它們的認(rèn)識(shí),掌握也不是完全的,安全防護(hù)軟件系統(tǒng)由于技術(shù)復(fù)雜,在研制開(kāi)發(fā)過(guò)程中不可避免的會(huì)出現(xiàn)這樣或者那樣的問(wèn)題,這勢(shì)必決定了安全防護(hù)系統(tǒng)和設(shè)備不可能百分百的防御各種已知的,未知的信息安全威脅。
不是所有的信息安全問(wèn)題可以一次解決
人們對(duì)信息安全問(wèn)題的認(rèn)識(shí)是隨著技術(shù)和應(yīng)用的發(fā)展而逐步提高的,不可能一次就發(fā)現(xiàn)所有的安全問(wèn)題。信息安全生產(chǎn)廠家所生產(chǎn)的系統(tǒng)和設(shè)備,也僅僅是滿足某一些方面的安全需求,不是企業(yè)有某一方面的信息安全需求,市場(chǎng)上就有對(duì)應(yīng)的成熟產(chǎn)品,因此不是所有的安全問(wèn)題都可以找到有效的解決方案。
【 關(guān)鍵詞 】 中小銀行;信息安全;管理問(wèn)題
Small and Medium-sized Banks on Information Security Management Problem Discussed in this Paper
Shan Yu
(Hefei University of Technology,School of Computer and Information AnhuiHefen 230009; HuiShang Bank AnhuiHefen 230001)
【 Abstract 】 At present, China''s banking on the establishment of information system work in unceasingly promoted, but in the process has some problems, and that is lagging, this is a lot of small and medium-sized Banks are existing problems, a lot about information system in risk is more and more, and constantly obvious, on the safety and reliable information caused a threat. Based on this, this paper mainly for small and medium-sized Banks information security management problem was discussed.
【 Keywords 】 small and medium-sized Banks; Information security; Management problems
0 引言
中小銀行在新時(shí)代的發(fā)展速度非常的快,已經(jīng)突破了地域的限制,出現(xiàn)了異地之間在業(yè)務(wù)方面的聯(lián)系,這使中小銀行更具有了活力,可是同時(shí)也帶來(lái)了一定的風(fēng)險(xiǎn)。目前,中小銀行與一些規(guī)模很大的商業(yè)銀行之間還存在著很大的差距,主要體現(xiàn)在缺乏對(duì)信息風(fēng)險(xiǎn)的有效抵御,對(duì)信息風(fēng)險(xiǎn)的處理不足等,這些風(fēng)險(xiǎn)給地區(qū)金融體系的穩(wěn)健帶來(lái)了很大的不利影響,所以,很多中小銀行當(dāng)前的關(guān)鍵工作就是強(qiáng)化對(duì)信息風(fēng)險(xiǎn)的抵御能力。
1 信息安全隱患的具體體現(xiàn)
1.1 信息安全管理內(nèi)容的不完整
很多的中小銀行由于實(shí)力還不是很強(qiáng),利用信息技術(shù)的時(shí)間滯后且不全面,缺乏完善的信息安全體系以及有力的信息安全管理手段,缺乏對(duì)風(fēng)險(xiǎn)的分析以及相關(guān)的預(yù)防措施,職員信息安全理念的缺失,和國(guó)際對(duì)信息安全的要求,具體措施以及計(jì)劃等不管是在內(nèi)容上還是在質(zhì)量上都有很大的區(qū)別,安全措施的制定不完整,特別是業(yè)務(wù)的持續(xù)管理等水平還很低,且沒(méi)有引起足夠的關(guān)注。
1.2 外包管理的力度不夠,存在的安全風(fēng)險(xiǎn)不易預(yù)防
首先,中小銀行對(duì)科技的支持力度不夠,先進(jìn)技術(shù)缺乏,缺乏軟件開(kāi)發(fā)人員以及有關(guān)的組織機(jī)構(gòu)。很多中小銀行在技術(shù)的利用方面都是和相關(guān)的軟件開(kāi)發(fā)公司進(jìn)行協(xié)作來(lái)獲得所需的信息技術(shù),把一些關(guān)鍵的業(yè)務(wù)系統(tǒng)以及防火墻等方面的工作都交給專(zhuān)業(yè)的公司。以信息安全的立場(chǎng)為出發(fā)點(diǎn),把這些軟件的開(kāi)發(fā)工作交由相關(guān)的公司負(fù)責(zé),會(huì)使很多的重要信息例如源代碼以及有關(guān)的配置等技術(shù)不受自己掌握,另外,專(zhuān)業(yè)的軟硬件公司的工作人員一般都不固定,要是商業(yè)銀行對(duì)這些公司的跟進(jìn)不到位并缺乏有力的制約的話,會(huì)給外包系統(tǒng)帶來(lái)非常不利的影響,給系統(tǒng)的運(yùn)作到來(lái)很大的安全隱患,阻礙系統(tǒng)的有效運(yùn)作。
其次,要是購(gòu)買(mǎi)別的公司的軟件技術(shù)的話,由于都是密封的裝置,沒(méi)有源代碼的幫助,因此不利于商業(yè)銀行在管理方面自主性的發(fā)揮,無(wú)法實(shí)施一定的調(diào)整以及優(yōu)化以更好的滿足自身的實(shí)際,對(duì)一些不足等不能及時(shí)發(fā)現(xiàn)和處理,對(duì)系統(tǒng)的維護(hù)缺乏主動(dòng)性。
最后,針對(duì)外包的一些規(guī)定以及制約的不完整性,主要表現(xiàn)在對(duì)有關(guān)的目標(biāo)沒(méi)有進(jìn)行清晰的規(guī)定,對(duì)項(xiàng)目缺乏嚴(yán)格的審核,導(dǎo)致一切使用外包的現(xiàn)象的出現(xiàn),以及對(duì)外包的管理沒(méi)有做到具體問(wèn)題具體分析。
1.3 要積極進(jìn)行運(yùn)作監(jiān)督體系以及預(yù)警監(jiān)測(cè)系統(tǒng)的建立與完善
一些中小銀行缺乏全面的包括硬件設(shè)備以及業(yè)務(wù)體系的信息化的預(yù)警監(jiān)測(cè)系統(tǒng),缺乏對(duì)機(jī)房以及主機(jī)等設(shè)施的自動(dòng)化跟蹤監(jiān)督,而主要依靠的是人的力量,對(duì)風(fēng)險(xiǎn)監(jiān)督的信息化和安全性不夠,還缺乏及時(shí)的監(jiān)測(cè),此外,中小銀行還要高度關(guān)注對(duì)信息風(fēng)險(xiǎn)的預(yù)防以及相關(guān)的預(yù)警報(bào)告體制的建設(shè)和改進(jìn),以便于出現(xiàn)風(fēng)險(xiǎn)時(shí),能夠做到信息的暢通,有利于有關(guān)的人員采取措施進(jìn)行及時(shí)的處理,使風(fēng)險(xiǎn)的處理措施能夠盡量科學(xué)合理。
2 信息安全管理的關(guān)鍵內(nèi)容
2.1 采取信息安全的分層保護(hù)
1.1信息系統(tǒng)的概念。信息系統(tǒng)是指一個(gè)由人、計(jì)算機(jī)及其他外圍設(shè)備等組成的能進(jìn)行信息的收集、存儲(chǔ)、加工、維護(hù)和使用的系統(tǒng)。這種系統(tǒng)是利用信息技術(shù)和數(shù)據(jù)通信技術(shù)的計(jì)算機(jī)互聯(lián)網(wǎng)管理系統(tǒng)。
1.2信息系統(tǒng)安全問(wèn)題。信息系統(tǒng)安全問(wèn)題是整個(gè)信息系統(tǒng)在設(shè)計(jì)、制造等過(guò)程中,由于系統(tǒng)自身防御系統(tǒng)不夠先進(jìn)和網(wǎng)絡(luò)上外來(lái)入侵的一系列影響系統(tǒng)安全運(yùn)行的問(wèn)題,這類(lèi)安全問(wèn)題在硬件環(huán)境、操作系統(tǒng)等多個(gè)層面上是十分常見(jiàn)的,它具有自己的特性,主要包括時(shí)效性、隱蔽性、相對(duì)性、復(fù)雜性、動(dòng)態(tài)性、多樣性。每一個(gè)問(wèn)題特性都給信息系統(tǒng)造成了一定的影響,給信息系統(tǒng)的安全帶來(lái)了挑戰(zhàn)。
2、影響圖書(shū)館信息系統(tǒng)安全的因素
2.1計(jì)算機(jī)病毒。計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)安全的破壞力度很大,它能夠迅速傳播和生長(zhǎng),嚴(yán)重地破壞了計(jì)算機(jī)網(wǎng)絡(luò)和圖書(shū)館信息的安全,有時(shí)這種破壞是毀滅性的。它自身帶來(lái)的破壞性不可小覷,它引起的多種疫情的破壞更是無(wú)法估量,計(jì)算機(jī)病毒會(huì)造成服務(wù)性能的下降,數(shù)據(jù)庫(kù)的數(shù)據(jù)丟失甚至刪除文件,同時(shí)對(duì)計(jì)算機(jī)硬件的影響頗大,使圖書(shū)館網(wǎng)絡(luò)系統(tǒng)出現(xiàn)癱瘓現(xiàn)象,各種信息服務(wù)不能順利開(kāi)展,造成巨大的損失。計(jì)算機(jī)病毒對(duì)信息領(lǐng)域的安全造成了嚴(yán)重的不良影響。
2.2網(wǎng)絡(luò)黑客的攻擊。網(wǎng)絡(luò)信息的發(fā)展讓黑客的出現(xiàn)成為必然,黑客是計(jì)算機(jī)網(wǎng)絡(luò)無(wú)法解開(kāi)的謎,現(xiàn)在我們所說(shuō)的黑客是指破壞計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全讓系統(tǒng)無(wú)法正常訪問(wèn)的人員[1]。網(wǎng)絡(luò)有很強(qiáng)的目的性,破壞性比計(jì)算機(jī)病毒更大。黑客對(duì)圖書(shū)館信息系統(tǒng)的破壞主要竊取數(shù)據(jù)中的數(shù)據(jù),惡意破壞等。它一般是通過(guò)獲取口令、制造木馬程序、對(duì)電子郵件進(jìn)行攻擊等,導(dǎo)致程序遭到攻擊,網(wǎng)絡(luò)失去控制權(quán)。因此,網(wǎng)絡(luò)黑客的攻擊對(duì)圖書(shū)館信息安全帶來(lái)極大的危害性。
2.3人為的不合法操作。人為的不合法操作也會(huì)影響信息系統(tǒng)的安全,它的影響是最大、最難確定的。這種不合法的操作和工作人員的專(zhuān)業(yè)素質(zhì)或操作不夠熟練等有著莫大的關(guān)系,很容易在工作過(guò)程中失誤,從而導(dǎo)致系統(tǒng)出故障。因此,圖書(shū)館負(fù)責(zé)網(wǎng)絡(luò)管理和技術(shù)支持的工作人員在工過(guò)程中要高度重視系統(tǒng)操作。
2.4信息系統(tǒng)環(huán)境的影響。計(jì)算機(jī)的硬件、軟件和機(jī)房環(huán)境等因素都是系統(tǒng)環(huán)境的組成部分。圖書(shū)館信息系統(tǒng)的硬件是組成網(wǎng)絡(luò)系統(tǒng)的物質(zhì)基礎(chǔ),它包括各類(lèi)服務(wù)器、工作站、存儲(chǔ)設(shè)備等,這些對(duì)網(wǎng)絡(luò)正常運(yùn)行有著一定的影響[2]。如果計(jì)算機(jī)的硬件要求不達(dá)標(biāo),就有可能導(dǎo)致網(wǎng)絡(luò)系統(tǒng)崩潰,系統(tǒng)安全就面臨著挑戰(zhàn),除此之外,操作系統(tǒng)的不合法也為信息系統(tǒng)埋下了安全隱患。同時(shí),我們也不能忽視機(jī)房環(huán)境的影響,它會(huì)破壞信息系統(tǒng)的安全。總而言之,信息系統(tǒng)環(huán)境能夠?qū)π畔⑾到y(tǒng)安全起到保障作用。
3、圖書(shū)館信息系統(tǒng)安全的基本策略
隨著社會(huì)的進(jìn)步和社會(huì)經(jīng)濟(jì)的發(fā)展,促進(jìn)了計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和信息技術(shù)的不斷發(fā)展且得到了廣泛的使用,給人們帶來(lái)了很大的便利同時(shí)也為不法分子創(chuàng)造了更多的犯罪機(jī)會(huì),為謀取非法利益想盡一切辦法攻擊信息系統(tǒng),使信息系統(tǒng)的安全得不到保障。因此,如何采取安全技術(shù)及策略解決信息系統(tǒng)的安全問(wèn)題是信息系統(tǒng)得以生存和發(fā)展的關(guān)鍵。
計(jì)算機(jī)信息系統(tǒng)的安全問(wèn)題要得到解決,一方面必須加強(qiáng)對(duì)安全問(wèn)題的認(rèn)識(shí)再加以重視,目前信息系統(tǒng)的運(yùn)用已經(jīng)極為廣泛,社會(huì)生活和國(guó)民經(jīng)濟(jì)的各個(gè)領(lǐng)域都涉及到信息系統(tǒng),因此,信息系統(tǒng)的安全和整個(gè)國(guó)家的安全有著密切的關(guān)系,另一方面要加強(qiáng)信息安全和保密管理機(jī)制,采取有效措施進(jìn)行監(jiān)督,積極研究安全技術(shù),盡最大的努力開(kāi)發(fā)核心技術(shù),建立健全安全運(yùn)行的保障機(jī)制,為計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)提供強(qiáng)而有力的保障。在此基礎(chǔ)上,也要強(qiáng)化法制觀念,提高安全意識(shí),制定相關(guān)的管理制度,把人為因素造成的損失降到最低。由于圖書(shū)信息系統(tǒng)的安全很難得到保護(hù),這就要求根據(jù)國(guó)家制定的嚴(yán)格的法律法規(guī),制定科學(xué)合理的管理制度,建立健全監(jiān)督機(jī)制,如此才能保證系統(tǒng)安全、正常地運(yùn)行。下面就根據(jù)相關(guān)的安全技術(shù)對(duì)解決圖書(shū)信息系統(tǒng)的安全問(wèn)題進(jìn)行具體的分析,從而提出相關(guān)的策略。
3.1防范計(jì)算機(jī)病毒的技術(shù)。計(jì)算機(jī)病毒具有多樣性、時(shí)效性,能夠廣泛傳播到網(wǎng)絡(luò)和各類(lèi)系統(tǒng)中,信息系統(tǒng)如果傳染到病毒,就會(huì)導(dǎo)致計(jì)算機(jī)甚至整個(gè)系統(tǒng)崩潰,后果難以想象[3]。因此,防范計(jì)算機(jī)病毒的技術(shù)在很大程度上保護(hù)了信息系統(tǒng)的安全。這種技術(shù)的運(yùn)用對(duì)防范計(jì)算機(jī)病毒有著重要的作用,能夠有效阻止病毒的入侵,預(yù)防未知病毒及對(duì)中毒后的計(jì)算機(jī)進(jìn)行及時(shí)的挽救。
3.2防火墻技術(shù)的運(yùn)用。目前計(jì)算機(jī)網(wǎng)絡(luò)安全最為廣泛的安全防范技術(shù)就是防火墻技術(shù),它就相當(dāng)于網(wǎng)絡(luò)信息系統(tǒng)的的首道防線,能夠?qū)崿F(xiàn)對(duì)風(fēng)險(xiǎn)區(qū)域的隔離,形成外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的一道防護(hù)屏障,有效阻止外部的非法訪問(wèn)和保護(hù)內(nèi)部信息的安全。同樣,這種技術(shù)也在很大程度上保障了中學(xué)圖書(shū)信息系統(tǒng)的安全。
3.3控制訪問(wèn)技術(shù)。利用控制訪問(wèn)技術(shù),可以讓信息系統(tǒng)通過(guò)身份識(shí)別技術(shù)對(duì)訪問(wèn)用戶進(jìn)行身份的識(shí)別,有效避免了非法用戶的進(jìn)入,設(shè)置不同用戶的訪問(wèn)權(quán)限,使訪問(wèn)用戶訪問(wèn)合法的網(wǎng)站。這種安全技術(shù)防止了權(quán)限的濫用,為信息系統(tǒng)的安全提供了一定的保護(hù)。這種技術(shù)在保障中學(xué)圖書(shū)信息系統(tǒng)安全上也起到了一定的作用,因此這種安全技術(shù)值得運(yùn)用于保護(hù)中學(xué)圖書(shū)信息系統(tǒng)的安全。
3.4數(shù)據(jù)備份。對(duì)數(shù)據(jù)備份是保護(hù)信息系統(tǒng)安全的最基本的技術(shù),圖書(shū)信息管理系統(tǒng)的數(shù)據(jù)冗雜而且集中,數(shù)據(jù)會(huì)發(fā)生實(shí)時(shí)的變化和更新,數(shù)據(jù)丟失的可能性較大[4]。因此,圖書(shū)信息系統(tǒng)的數(shù)據(jù)庫(kù)中的數(shù)據(jù)應(yīng)該要進(jìn)行備份,以便在信息系統(tǒng)中數(shù)據(jù)庫(kù)的數(shù)據(jù)丟失后能夠得到及時(shí)的找回,對(duì)于備份后的數(shù)據(jù)要進(jìn)行適時(shí)的恢復(fù),減小不必要的損失,使數(shù)據(jù)庫(kù)中的數(shù)據(jù)完整和可用。
[關(guān)鍵詞]信息不對(duì)稱(chēng);食品安全;流通環(huán)節(jié)[中圖分類(lèi)號(hào)]F252 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1005-6432(2013)30-0023-02
1 流通環(huán)節(jié)中食品安全信息不對(duì)稱(chēng)的表現(xiàn)與原因分析
1.1 分段監(jiān)管的食品安全管理體制中存在信息不對(duì)稱(chēng)的現(xiàn)象
2010年2月以來(lái)我國(guó)實(shí)行在食品安全委員會(huì)統(tǒng)籌指導(dǎo)下,農(nóng)業(yè)、衛(wèi)生、工商、質(zhì)檢、食品藥品監(jiān)管等部門(mén)分段負(fù)責(zé)的食品安全監(jiān)管體制。設(shè)立食品安全委員會(huì)的目的是為了協(xié)調(diào)各相關(guān)職能部門(mén)密切配合統(tǒng)一行動(dòng),以達(dá)到良好的監(jiān)管效果。但是實(shí)踐證明這種監(jiān)管體制的效果并不理想,并未從根本上解決實(shí)際監(jiān)管中出現(xiàn)的各部門(mén)的各自為政以及職能界限不清的體制弊病。原因在于食品安全委員會(huì)只是一個(gè)議事協(xié)調(diào)機(jī)構(gòu),對(duì)各部門(mén)缺乏統(tǒng)一指揮的權(quán)力,想讓各部門(mén)實(shí)現(xiàn)監(jiān)管信息共享進(jìn)而實(shí)現(xiàn)監(jiān)管行動(dòng)無(wú)縫銜接就顯得不太現(xiàn)實(shí);各部門(mén)之間無(wú)隸屬關(guān)系,在監(jiān)管實(shí)踐中仍然是各自為政,均不愿主動(dòng)與其他部門(mén)實(shí)現(xiàn)監(jiān)管信息的共享,其結(jié)果是各部門(mén)在監(jiān)管中對(duì)食品安全違法行為的處理以“一罰了之”的簡(jiǎn)單處理方式為主,很少將食品安全違法事件告知其他部門(mén)進(jìn)而統(tǒng)一行動(dòng),以達(dá)到良好的監(jiān)管效果。2013年國(guó)務(wù)院機(jī)構(gòu)改革方案中將各監(jiān)管部門(mén)的職能得到了一定的整合,監(jiān)管體制從多段管理到兩段管理,近年來(lái)的實(shí)踐已經(jīng)有力的說(shuō)明分段管理的模式很難達(dá)到良好的監(jiān)管效果,這次的機(jī)構(gòu)改革未必能起到預(yù)期的效果。
1.2 食品安全方面的法律法規(guī)和基本常識(shí)普及率不高,使得食品買(mǎi)賣(mài)雙方之間存在信息不對(duì)稱(chēng)的現(xiàn)象
首先我國(guó)食品安全方面的法律法規(guī)在人民群眾中的普及率并不高,他們大多法律意識(shí)淡薄,偏遠(yuǎn)農(nóng)村的情況更為嚴(yán)重。城市中的農(nóng)貿(mào)市場(chǎng)和農(nóng)村的集貿(mào)市場(chǎng)中一定程度地存在著銷(xiāo)售不合格不衛(wèi)生食品的現(xiàn)象,他們大多只顧賺取利潤(rùn),很少或從未想過(guò)銷(xiāo)售劣質(zhì)食品的危害以及應(yīng)負(fù)的法律責(zé)任。其次我國(guó)食品安全方面的法律法規(guī)建設(shè)不夠完善,還存在一些管理漏洞,一些靠批發(fā)或零售低劣食品牟取暴利并且對(duì)相關(guān)法律法規(guī)非常熟悉的企業(yè)或個(gè)人,他們故意在法律的盲區(qū)內(nèi)活動(dòng),而依據(jù)現(xiàn)實(shí)的法律法規(guī)又很難將他們予以懲處;這樣的事例在食品流通環(huán)節(jié)中并不罕見(jiàn)。
1.3 實(shí)際監(jiān)管環(huán)節(jié)中存在信息不對(duì)稱(chēng)
依照法律法規(guī)的規(guī)定工商管理部門(mén)有打擊流通領(lǐng)域的走私販私行為和經(jīng)濟(jì)違法違章行為的職責(zé)。但在現(xiàn)實(shí)中由于工商部門(mén)執(zhí)法人員力量的不足,所以很難充分掌握所管轄區(qū)域內(nèi)的流通領(lǐng)域的遵紀(jì)守法狀況;城市里人員眾多且流動(dòng)性大,由于執(zhí)法人員數(shù)量極其有限,掌握流通領(lǐng)域全部的食品安全信息實(shí)現(xiàn)更好的流通領(lǐng)域的食品監(jiān)管對(duì)于工商部門(mén)來(lái)說(shuō)顯得力不從心。農(nóng)村地域廣大,食品經(jīng)營(yíng)戶較分散,基層監(jiān)管力量明顯不足[1],僅有的幾名執(zhí)法人員走訪一遍所有村子就需要一兩月的時(shí)間,對(duì)流通領(lǐng)域的食品監(jiān)管難度很大,掌握的相關(guān)監(jiān)管信息也是明顯不足,很多的批發(fā)商就是利用農(nóng)村的隱蔽性特點(diǎn)從事劣質(zhì)食品的倉(cāng)儲(chǔ)工作。
1.4 市場(chǎng)信用體系建設(shè)滯后,加劇了各市場(chǎng)主體之間信息不對(duì)稱(chēng)的局面
目前工商部門(mén)只是對(duì)各市場(chǎng)主體進(jìn)行簡(jiǎn)單的登記工作,這對(duì)不法商販的監(jiān)管力度極其有限。在實(shí)踐中我們常常發(fā)現(xiàn)這樣的情況:當(dāng)工商部門(mén)對(duì)某一不法商販查處后,由于社會(huì)對(duì)該商家的違法行為了解有限,該商家后續(xù)的經(jīng)營(yíng)幾乎不受太大影響。這暴露出我們當(dāng)前的管理體制的不足:市場(chǎng)信用體系建設(shè)滯后,對(duì)市場(chǎng)主體缺乏足夠的約束。
1.5 執(zhí)法信息不公開(kāi),使得人民群眾與監(jiān)管部門(mén)之間存在信息不對(duì)稱(chēng)
近年來(lái)隨著市場(chǎng)經(jīng)濟(jì)的深入發(fā)展,我國(guó)政府一直在努力轉(zhuǎn)變政府職能,深化行政執(zhí)行方式的改革。政府信息公開(kāi)化是深化行政執(zhí)行方式改革的重要內(nèi)容,雖然政府信息公開(kāi)化的工作已經(jīng)開(kāi)展了多年,但從工商部門(mén)執(zhí)法信息的公開(kāi)現(xiàn)狀來(lái)說(shuō),這方面的工作做得還遠(yuǎn)遠(yuǎn)不夠,相當(dāng)一部分的信息公開(kāi)只是流于形式。為了實(shí)現(xiàn)更好的食品市場(chǎng)監(jiān)管,從理論上來(lái)說(shuō)工商部門(mén)應(yīng)該將不涉及保密規(guī)定的具體執(zhí)法信息公之于眾,這樣一方面可以接受公眾的監(jiān)督,另一方面也對(duì)不法商販起到一定的震懾作用。
2 加強(qiáng)流通環(huán)節(jié)食品監(jiān)管的對(duì)策建議
2.1 改革政府各職能部門(mén)分段監(jiān)管的局面,建立信息通暢的管理體制
現(xiàn)代高效的行政組織系統(tǒng)必然是一個(gè)信息暢通、指揮統(tǒng)一、權(quán)責(zé)明確的有機(jī)系統(tǒng),各部門(mén)不僅在信息上做到上下貫通左右協(xié)調(diào),而且能夠?yàn)榱斯餐哪繕?biāo)統(tǒng)一行動(dòng)。歐盟的統(tǒng)一監(jiān)管和美國(guó)的分類(lèi)監(jiān)管啟示我們,同一種類(lèi)產(chǎn)品的全部生產(chǎn)流通環(huán)節(jié)受到同一部門(mén)的監(jiān)督,這種監(jiān)管方式在實(shí)際的運(yùn)用中更加有效,并能節(jié)省監(jiān)管成本[2]。鑒于我國(guó)食品安全分段管理體制的嚴(yán)重弊病,我們可以借鑒這種按產(chǎn)品種類(lèi)進(jìn)行監(jiān)管的體制,從理論上來(lái)說(shuō),這種體制的權(quán)責(zé)劃分明確,可有效避免現(xiàn)行體制中的部門(mén)信息溝通不暢的弊病,從而有利于流通環(huán)節(jié)的監(jiān)管。
2.2 加強(qiáng)食品安全常識(shí)及法律法規(guī)的教育,改善消費(fèi)者處于食品安全信息劣勢(shì)的局面
鑒于我國(guó)食品安全法律法規(guī)及常識(shí)的普及率較低的現(xiàn)狀,開(kāi)展相關(guān)方面的教育工作顯得尤為必要。政府相關(guān)部門(mén)以及消費(fèi)者協(xié)會(huì)要切實(shí)負(fù)起責(zé)任,通過(guò)舉辦多種形式貼近人民群眾的活動(dòng)向公眾宣傳基本的食品安全常識(shí)及相關(guān)法律,提高公眾辨別食品優(yōu)劣的能力和法律水平。另外還要加強(qiáng)對(duì)市場(chǎng)流通主體的教育工作,增強(qiáng)他們的法制觀念與守法意識(shí),努力使他們自覺(jué)規(guī)范自身行為。
2.3 建立食品安全流通環(huán)節(jié)社會(huì)監(jiān)管信息網(wǎng)絡(luò)系統(tǒng),實(shí)現(xiàn)監(jiān)管網(wǎng)絡(luò)的社會(huì)化
在當(dāng)前深化食品安全監(jiān)管體制改革的大背景下,相關(guān)監(jiān)管部門(mén)應(yīng)該更新管理觀念創(chuàng)新管理方式,向社會(huì)讓渡部分管理職能,建立全民參與的食品安全監(jiān)管電子網(wǎng)絡(luò)系統(tǒng),讓人民群眾參與到流通環(huán)節(jié)食品安全的監(jiān)管中來(lái)。這樣一方面可以彌補(bǔ)工商等職能部門(mén)因監(jiān)管力量不足而導(dǎo)致的所掌握的監(jiān)管信息不足的缺陷;另一方面也在客觀上充實(shí)了監(jiān)管力量,對(duì)流通環(huán)節(jié)的食品安全違法行為也起到一定的震懾作用??梢哉f(shuō)社會(huì)監(jiān)管網(wǎng)絡(luò)的建立對(duì)流通領(lǐng)域的食品安全監(jiān)管工作將起到極大的促進(jìn)作用。不法商販生活在人民群眾當(dāng)中,人民群眾在發(fā)現(xiàn)食品安全違法行為的時(shí)候可以積極通過(guò)監(jiān)管網(wǎng)絡(luò)向相關(guān)監(jiān)管部門(mén)舉報(bào),這對(duì)監(jiān)管部門(mén)實(shí)現(xiàn)良好地監(jiān)管效果來(lái)說(shuō)將起到事半功倍的作用;為保證社會(huì)監(jiān)管網(wǎng)絡(luò)系統(tǒng)的持續(xù)健康發(fā)展,必須建立健全相關(guān)配套機(jī)制,如對(duì)舉報(bào)人的保密和獎(jiǎng)勵(lì)制度,采用這些措施將極大地激勵(lì)人們參與到食品安全流通環(huán)節(jié)的監(jiān)管中來(lái)。
2.4 建立食品安全流通環(huán)節(jié)信用體系,從深層次上解決信息不對(duì)稱(chēng)的局面
食品安全監(jiān)管只是治本,開(kāi)發(fā)建立流通領(lǐng)域食品安全社會(huì)信用體系是治本之策。在借鑒銀行業(yè)系統(tǒng)建立的個(gè)人信用檔案系統(tǒng)的基礎(chǔ)上,工商部門(mén)應(yīng)在對(duì)市場(chǎng)主體進(jìn)行登記的基礎(chǔ)上建立他們的市場(chǎng)行為的信用記錄系統(tǒng),并向社會(huì)公開(kāi)相關(guān)信息方便公眾查詢,這有利于緩解目前市場(chǎng)經(jīng)濟(jì)活動(dòng)中各市場(chǎng)主體占有信息不對(duì)稱(chēng)的局面。相比目前的事后監(jiān)管模式,信用體系具有多方面的優(yōu)勢(shì)。一方面是誠(chéng)信記錄的公開(kāi)化使食品流通環(huán)節(jié)的各參與者占有更多的食品安全方面的信息;另一方面這一措施將極大地促進(jìn)整個(gè)市場(chǎng)誠(chéng)信體系的建設(shè),從而在更深層次上促進(jìn)信息不對(duì)稱(chēng)的問(wèn)題的解決。
2.5 加大政府信息公開(kāi)力度,建立流通環(huán)節(jié)食品安全監(jiān)管長(zhǎng)效機(jī)制
沒(méi)有監(jiān)管的權(quán)力必然導(dǎo)致腐敗,這是一條已被證明了無(wú)數(shù)次的真理。加強(qiáng)社會(huì)各界對(duì)食品安全相關(guān)監(jiān)管部門(mén)的監(jiān)督,將對(duì)相關(guān)職能部門(mén)認(rèn)真履行職責(zé)起到巨大的促進(jìn)作用,而取得良好監(jiān)督效果的關(guān)鍵就是相關(guān)執(zhí)法信息的公開(kāi)。信息公開(kāi)可以使公眾了解更多食品流通環(huán)節(jié)執(zhí)法的真實(shí)情況,這一方面可以使相關(guān)職能部門(mén)主動(dòng)規(guī)范自身監(jiān)督行為,有效減少監(jiān)管過(guò)程中營(yíng)私舞弊和走過(guò)場(chǎng)等不良現(xiàn)象;另一方面還有利于督促監(jiān)管部門(mén)將監(jiān)管工作常態(tài)化,改變現(xiàn)在靠開(kāi)展專(zhuān)項(xiàng)行動(dòng)突擊檢查的非良性監(jiān)管模式,監(jiān)管常態(tài)化有利于監(jiān)管部門(mén)緩解對(duì)市場(chǎng)主體行為的相關(guān)信息了解有限的局面,極大的提高監(jiān)管效果。
參考文獻(xiàn):
【關(guān)鍵詞】計(jì)算機(jī) 信息安全 技術(shù)研究 防護(hù)研究
計(jì)算機(jī)的信息安全問(wèn)題關(guān)乎用戶的很多權(quán)益,因而計(jì)算機(jī)工作人員應(yīng)該對(duì)這個(gè)問(wèn)題高度重視。技術(shù)人員應(yīng)該大力關(guān)注對(duì)計(jì)算機(jī)信息安全技術(shù)的創(chuàng)新,及時(shí)為廣大用戶提供有效的幫助。只有這樣,計(jì)算機(jī)用戶才能在安心地在網(wǎng)上進(jìn)行工作學(xué)習(xí)以及購(gòu)物等。現(xiàn)在的網(wǎng)絡(luò)黑客也比較囂張,他們嚴(yán)重地破壞了我國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)工作環(huán)境。因此,國(guó)家也應(yīng)該制定這方面的法律,讓不法分子不能得逞。只要大家共同努力,就一定能夠還網(wǎng)絡(luò)一個(gè)安全的環(huán)境,讓用戶的信息安全得到充分的保障。
1 計(jì)算機(jī)信息安全技術(shù)
1.1 理解計(jì)算機(jī)信息安全
簡(jiǎn)單來(lái)講,計(jì)算機(jī)信息安全主要是指人們?cè)谑褂糜?jì)算機(jī)時(shí)會(huì)對(duì)大量的信息進(jìn)行搜集和整理,在處理信息的這個(gè)過(guò)程中,我們需要對(duì)其進(jìn)行信息安全加密保護(hù)。
目前,互聯(lián)網(wǎng)發(fā)展非常迅速,很多人都在使用計(jì)算機(jī)。并且因?yàn)榛ヂ?lián)網(wǎng)的存在,這些用戶的信息都被捆綁在了一起。在龐大的互聯(lián)網(wǎng)信息環(huán)境下,客觀來(lái)講,在使用計(jì)算機(jī)時(shí),人們的信息存在很大的安全隱患。用戶的信息面臨著被盜的危險(xiǎn),相關(guān)互聯(lián)網(wǎng)工作人員應(yīng)該定時(shí)對(duì)其進(jìn)行安全防護(hù)。對(duì)于如何保護(hù)好大家的計(jì)算機(jī)信息,相關(guān)人員應(yīng)該不斷創(chuàng)新自己的網(wǎng)絡(luò)技術(shù)以便于提供及時(shí)的幫助。共同維護(hù)計(jì)算機(jī)用戶信息的安全是每一個(gè)人的任,只有這樣我們才能營(yíng)造一個(gè)和諧的互聯(lián)網(wǎng)環(huán)境。
1.2 關(guān)于計(jì)算機(jī)信息安全以及防護(hù)的技術(shù)
互聯(lián)網(wǎng)時(shí)代,大家都離不開(kāi)計(jì)算機(jī)。對(duì)計(jì)算機(jī)用戶的安全問(wèn)題,需要使用相關(guān)的技術(shù)以及防護(hù)措施進(jìn)行解決。一般情況下,計(jì)算機(jī)信息安全防護(hù)技術(shù)它本身不是單一的,這個(gè)里面包含著一系列的防護(hù)措施。比如在計(jì)算機(jī)用戶的電腦里都會(huì)安裝一個(gè)防火墻,這個(gè)也是在進(jìn)行信息保護(hù)過(guò)程中經(jīng)常用的最普遍的技術(shù)。當(dāng)有病毒來(lái)侵襲你的電腦時(shí),計(jì)算機(jī)中的防火墻就會(huì)幫助用戶進(jìn)行病毒處理和阻攔等。除此以外,還有一種就是可以利用專(zhuān)門(mén)的殺毒軟件對(duì)用戶信息進(jìn)行保護(hù)。當(dāng)有病毒出現(xiàn),會(huì)出現(xiàn)相應(yīng)的提醒以及防護(hù)措施。目前,各種信息安全防護(hù)技術(shù)也在不斷地發(fā)展和優(yōu)化中。
2 關(guān)于計(jì)算機(jī)信息安全防護(hù)措施
2.1 找出問(wèn)題的來(lái)源
計(jì)算機(jī)用戶的信息被盜,必須得到技術(shù)人員的重視并幫助解決。而最為關(guān)鍵的,就是要找到出現(xiàn)信息安全隱患的根本所在。計(jì)算機(jī)技術(shù)人員應(yīng)該努力找到病毒的來(lái)源,繼而及時(shí)給出解決信息安全問(wèn)題的辦法。計(jì)算機(jī)中存在的病毒一般都是潛藏在用戶瀏覽的網(wǎng)站中,或者各種鏈接中。如果用戶的信息被盜,很有可能會(huì)導(dǎo)致文件的丟失,甚至導(dǎo)致銀行賬戶財(cái)產(chǎn)的損失。因而,技術(shù)人員找到病毒的源頭,幫助用戶從根本上清除病毒,才是長(zhǎng)久之策。除了從殺毒軟件角度進(jìn)行消滅病毒以外,用戶還需要建立一個(gè)堅(jiān)固的防護(hù)網(wǎng)。這樣可以避免一些病毒的侵入,也算是一種從源頭遏制問(wèn)題的發(fā)生。
2.2 提高維護(hù)信息安全技術(shù)
不可否認(rèn),現(xiàn)在的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)更新的非常及時(shí)。同時(shí),黑客的侵害計(jì)算機(jī)用戶的技術(shù)也越來(lái)越高超。因此,計(jì)算機(jī)技術(shù)部門(mén)必須要加快對(duì)信息安全技術(shù)的研究,才能使得技術(shù)足以解決計(jì)算機(jī)安全問(wèn)題。然而,從我國(guó)計(jì)算機(jī)技術(shù)水平來(lái)看,很多的技術(shù)還是處于很低級(jí)的狀態(tài),根本不能有效地對(duì)抗計(jì)算機(jī)中存在的病毒。技術(shù)部門(mén)不僅要時(shí)刻關(guān)注安全防護(hù)技術(shù)的更新,還要加強(qiáng)對(duì)計(jì)算機(jī)安全防護(hù)系統(tǒng)的設(shè)置。從企業(yè)角度來(lái)講,應(yīng)該招聘優(yōu)秀的計(jì)算機(jī)工作人員,經(jīng)常性地對(duì)計(jì)算機(jī)進(jìn)行維修。另外,企業(yè)還可以建立一個(gè)專(zhuān)門(mén)維護(hù)計(jì)算機(jī)信息安全的團(tuán)隊(duì)。企業(yè)通過(guò)對(duì)計(jì)算機(jī)員工進(jìn)行專(zhuān)業(yè)化的管理,能夠大大地提高計(jì)算機(jī)信息安全維護(hù)技術(shù)。
2.3 國(guó)家和政府給予支持
由于信息技術(shù)現(xiàn)代化的步伐從未停歇,因而攻研計(jì)算機(jī)安全防護(hù)技術(shù)也要一直堅(jiān)持下去。在這個(gè)攻研的過(guò)程中,肯定是需要很大資金的投入。此時(shí),國(guó)家以及政府應(yīng)該給予一定的資金援助。有了資金基礎(chǔ),能夠有效地幫助技術(shù)人員加大技術(shù)攻克的力度。除此以外,國(guó)家還可以制定一些關(guān)于維護(hù)計(jì)算機(jī)信息安全的制度或者法律。通過(guò)法律和制度的保障,對(duì)那些網(wǎng)絡(luò)非法分子進(jìn)行嚴(yán)厲的懲罰。
另外,當(dāng)計(jì)算機(jī)用戶的權(quán)益受到了侵害,也可以通過(guò)法律途徑來(lái)維護(hù)自己的權(quán)益。如果企業(yè)由于信息受到侵害導(dǎo)致資金損失的話,也是可以通過(guò)法律及時(shí)彌補(bǔ)損失。由此,我國(guó)的信息化網(wǎng)絡(luò)環(huán)境可以得到有效地凈化,從而有效地保障計(jì)算機(jī)用戶的權(quán)益。
3 計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)介紹
3.1 身份認(rèn)證技術(shù)
簡(jiǎn)單來(lái)講,身份認(rèn)證技術(shù)就是需要用戶的身份證明。通過(guò)身份認(rèn)證方式,計(jì)算機(jī)用戶的信息安全可以得到一定的保障。通常的身份認(rèn)證途徑有兩種,一是密碼認(rèn)證,二是生物特征認(rèn)證。密碼認(rèn)證就是每個(gè)用戶都有一個(gè)密碼,輸入密碼正確即可表示認(rèn)證成功。但是,這種認(rèn)證方式安全信度低,密碼也很容易被盜。生物特征認(rèn)證就是通過(guò)每個(gè)人的生理和行為的特點(diǎn)進(jìn)行鑒別。一般包括指紋、聲音、人臉等的鑒定,這種鑒定方式有著很大的發(fā)展空間。
3.2 殺毒軟件
計(jì)算機(jī)一旦中了病毒,用戶的信息會(huì)完全被盜,后果是不堪設(shè)想的。因此,用戶在計(jì)算機(jī)中安裝相關(guān)的殺毒軟件是非常有必要的。不同的計(jì)算機(jī)有不同的系統(tǒng),據(jù)此要安裝相關(guān)的殺毒軟件。殺毒軟件主要是不斷地對(duì)計(jì)算機(jī)信息安全進(jìn)行維護(hù),觀察是否有可疑病毒出現(xiàn)。同時(shí),殺毒軟件也會(huì)針對(duì)病毒進(jìn)行及時(shí)處理。
4 結(jié)束語(yǔ)
充分認(rèn)識(shí)計(jì)算機(jī)信息安全的定義,同時(shí)在了解了相關(guān)的信息安全技術(shù)之后,計(jì)算機(jī)用戶應(yīng)該會(huì)對(duì)信息安全有更為深刻的理解。計(jì)算機(jī)信息安全維護(hù)人員也要加大對(duì)技術(shù)的攻克力度,不斷更新殺毒件。當(dāng)然了,在進(jìn)行這些技術(shù)的攻克時(shí),還需要其他人的幫助。如企業(yè)可以提高資金的援助,政府加強(qiáng)信息安全的宣傳,國(guó)家給予制度保證等。相信,在多方人員的共同努力下,我們一定能夠營(yíng)造一個(gè)和諧而安全的網(wǎng)絡(luò)環(huán)境。同時(shí),計(jì)算機(jī)用戶的信息也能夠得到有效地保護(hù),從而充分享受互聯(lián)網(wǎng)的便利。
參考文獻(xiàn)
[1]王穎波.計(jì)算機(jī)信息安全技術(shù)及防護(hù)研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2013(22):171-172.
[2]趙立.關(guān)于計(jì)算機(jī)信息安全技術(shù)及防護(hù)的研究[J].民營(yíng)科技,2016(11).
關(guān)鍵詞:信息化;內(nèi)涵;信息資源;性質(zhì);信息安全
1 信息化的內(nèi)涵、信息資源的性質(zhì)及信息的安全問(wèn)題
“信息化”一詞最早是由日本學(xué)者于20世紀(jì)六十年代末提出來(lái)的。經(jīng)過(guò)40多年的發(fā)展,信息化已成為各國(guó)社會(huì)發(fā)展的主題。
由于其特殊性質(zhì)造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導(dǎo)致信息系統(tǒng)的不安全性,給國(guó)家的信息化建設(shè)帶來(lái)不利影響。因此,如何保證信息安全成為亟須解決的重要問(wèn)題。
信息安全包括以下內(nèi)容:真實(shí)性,保證信息的來(lái)源真實(shí)可靠;機(jī)密性,信息即使被截獲也無(wú)法理解其內(nèi)容;完整性,信息的內(nèi)容不會(huì)被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對(duì)信息的傳播及內(nèi)容具有控制能力;不可抵賴性,用戶對(duì)其行為不能進(jìn)行否認(rèn);可審查性,對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。與傳統(tǒng)的安全問(wèn)題相比,基于網(wǎng)絡(luò)的信息安全有一些新的特點(diǎn): 一是由于信息基礎(chǔ)設(shè)施的固有特點(diǎn)導(dǎo)致的信息安全的脆弱性。由于因特網(wǎng)與生俱來(lái)的開(kāi)放性特點(diǎn),從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開(kāi)放性的特點(diǎn),通過(guò)網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的、開(kāi)放的,而不是封閉的、保密的。這種先天的技術(shù)弱點(diǎn)導(dǎo)致網(wǎng)絡(luò)易受攻擊。二是信息安全問(wèn)題的易擴(kuò)散性。信息安全問(wèn)題會(huì)隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴(kuò)大。由于因特網(wǎng)的龐大系統(tǒng),造成了病毒極易滋生和傳播,從而導(dǎo)致信息危害。 三是信息安全中的智能性、隱蔽性特點(diǎn)。傳統(tǒng)的安全問(wèn)題更多的是使用物理手段造成的破壞行為,而網(wǎng)絡(luò)環(huán)境下的安全問(wèn)題常常表現(xiàn)為一種技術(shù)對(duì)抗,對(duì)信息的破壞、竊取等都是通過(guò)技術(shù)手段實(shí)現(xiàn)的。而且這樣的破壞甚至攻擊也是“無(wú)形”的,不受時(shí)間和地點(diǎn)的約束,犯罪行為實(shí)施后對(duì)機(jī)器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來(lái)困難。 信息安全威脅主要來(lái)源于自然災(zāi)害、意外事故;計(jì)算機(jī)犯罪;人為錯(cuò)誤,比如使用不當(dāng),安全意識(shí)差等;“黑客”行為;內(nèi)部泄密;外部泄密;信息丟失;電子諜報(bào),比如信息流量分析、信息竊取等;信息戰(zhàn);網(wǎng)絡(luò)協(xié)議自身缺陷,等等。
2 我國(guó)信息化中的信息安全問(wèn)題
近年來(lái),隨著國(guó)家宏觀管理和支持力度的加強(qiáng)、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進(jìn)行、對(duì)國(guó)際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素,我國(guó)在信息安全管理上的進(jìn)展是迅速的。但是,由于我國(guó)的信息化建設(shè)起步較晚,相關(guān)體系不完善,法律法規(guī)不健全等諸多因素,我國(guó)的信息化仍然存在不安全問(wèn)題。
2.1信息與網(wǎng)絡(luò)安全的防護(hù)能力較弱
我國(guó)的信息化建設(shè)發(fā)展迅速,各個(gè)企業(yè)紛紛設(shè)立自己的網(wǎng)站,特別是“政府上網(wǎng)工程”全面啟動(dòng)后,各級(jí)政府已陸續(xù)設(shè)立了自己的網(wǎng)站,但是由于許多網(wǎng)站沒(méi)有防火墻設(shè)備、安全審計(jì)系統(tǒng)、入侵監(jiān)測(cè)系統(tǒng)等防護(hù)設(shè)備,整個(gè)系統(tǒng)存在著相當(dāng)大的信息安全隱患。美國(guó)互聯(lián)網(wǎng)安全公司賽門(mén)鐵克公司2007年發(fā)表的報(bào)告稱(chēng),在網(wǎng)絡(luò)黑客攻擊的國(guó)家中,中國(guó)是最大的受害國(guó)。
2.2對(duì)引進(jìn)的國(guó)外設(shè)備和軟件缺乏有效管理和技術(shù)改造
由于我國(guó)信息技術(shù)水平的限制,很多單位和部門(mén)直接引進(jìn)國(guó)外的信息設(shè)備,并不對(duì)其進(jìn)行必要的監(jiān)測(cè)和改造,從而給他人入侵系統(tǒng)或監(jiān)聽(tīng)信息等非法操作提供了可乘之機(jī)。
2.3我國(guó)基礎(chǔ)信息產(chǎn)業(yè)薄弱
核心技術(shù)嚴(yán)重依賴國(guó)外,缺乏自主創(chuàng)新產(chǎn)品,尤其是信息安全產(chǎn)品。我國(guó)信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來(lái)自國(guó)外,這使我國(guó)的網(wǎng)絡(luò)安全性能大大減弱,被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術(shù),我國(guó)的網(wǎng)絡(luò)處于被竊聽(tīng)、干擾、監(jiān)視和欺詐等多種信息安全威脅中,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。
2.4信息犯罪在我國(guó)有快速發(fā)展趨勢(shì)
除了境外黑客對(duì)我國(guó)信息網(wǎng)絡(luò)進(jìn)行攻擊,國(guó)內(nèi)也有部分人利用系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)犯罪,例如傳播病毒、竊取他人網(wǎng)絡(luò)銀行賬號(hào)密碼等。
2.5在研究開(kāi)發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)、隊(duì)伍建設(shè)等方面與迅速發(fā)展的形勢(shì)極不適應(yīng)。 造成以上問(wèn)題的相關(guān)因素在于:首先,我國(guó)的經(jīng)濟(jì)基礎(chǔ)薄弱,在信息產(chǎn)業(yè)上的投入還是不足,尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開(kāi)發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識(shí)。其次,全民信息安全意識(shí)淡薄,警惕性不高。大多數(shù)計(jì)算機(jī)用戶都曾被病毒感染過(guò),并且病毒的重復(fù)感染率相當(dāng)高。 除此之外,我國(guó)目前信息技術(shù)領(lǐng)域的不安全局面,也與西方發(fā)達(dá)國(guó)家對(duì)我國(guó)的技術(shù)輸出進(jìn)行控制有關(guān)。
3 相關(guān)解決措施
針對(duì)我國(guó)信息安全存在的問(wèn)題,要實(shí)現(xiàn)信息安全不但要靠先進(jìn)的技術(shù),還要有嚴(yán)格的法律法規(guī)和信息安全教育。加強(qiáng)全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護(hù)設(shè)備,保證個(gè)人的信息安全,提高整個(gè)系統(tǒng)的安全防護(hù)能力,從而促進(jìn)整個(gè)系統(tǒng)的信息安全。
【關(guān)鍵詞】企業(yè);信息化建設(shè);信息安全
伴隨著我國(guó)社會(huì)經(jīng)濟(jì)的發(fā)展,各個(gè)企業(yè)間的競(jìng)爭(zhēng)也是非常的激烈。各企業(yè)發(fā)展的過(guò)程中重要工作就是加強(qiáng)信息化建設(shè),在企業(yè)信息化建設(shè)發(fā)展的過(guò)程當(dāng)中,又顯現(xiàn)出來(lái)了信息安全的問(wèn)題,加上有的不法分子會(huì)采取各種手段盜取企業(yè)的內(nèi)部信息以便達(dá)到自己的經(jīng)濟(jì)利益。所以說(shuō)研究企業(yè)信息化當(dāng)中的信息安全問(wèn)題是具有非常重要意義。
一、企業(yè)信息化建設(shè)過(guò)程中信息安全的問(wèn)題
一般情況下能造成企業(yè)內(nèi)部信息安全問(wèn)題的原因分為外部原因和內(nèi)部原因,可是不管是內(nèi)部原因還是外部原因都會(huì)對(duì)企業(yè)的信息系統(tǒng)的安全帶來(lái)隱患。
1.1企業(yè)內(nèi)部因素
第一個(gè)方面是企業(yè)的信息安全意識(shí)不強(qiáng),雖然是現(xiàn)在有很多的企業(yè)加快企業(yè)內(nèi)部信息化建設(shè)的進(jìn)程,但是有些企業(yè)只是在表面上看到信息化建設(shè)所帶來(lái)的優(yōu)勢(shì),而信息化建設(shè)當(dāng)中的安全問(wèn)題并沒(méi)能夠引起企業(yè)的足夠重視,所以在信息化建設(shè)的過(guò)程中比較容易出現(xiàn)安全隱患。第二個(gè)方面就是我國(guó)的安全軟件還是比較落后,雖然國(guó)內(nèi)計(jì)算機(jī)軟件技術(shù)在快速的反戰(zhàn),可是與一些發(fā)達(dá)的國(guó)家相比還是存在一定距離,第三個(gè)方面在管理操作方面存在問(wèn)題,現(xiàn)在有很多的企業(yè)對(duì)于自己企業(yè)內(nèi)部的信息安全問(wèn)題還存在不夠重視的問(wèn)題,在企業(yè)信息系統(tǒng)的管理上不夠謹(jǐn)慎,這就會(huì)被不法分子和黑客進(jìn)入的機(jī)會(huì),造成了企業(yè)的主要信息被盜取。第四個(gè)方面缺少優(yōu)秀的專(zhuān)業(yè)管理團(tuán)隊(duì),企業(yè)信息的系統(tǒng)安全是前期的制定和日常系統(tǒng)安全的維護(hù)以及日后都是由專(zhuān)業(yè)的人員來(lái)進(jìn)行操作,所以相關(guān)的技術(shù)人員都必須具有很好的素養(yǎng)和賢能的技術(shù),第五個(gè)方面法律法規(guī)的不全面?,F(xiàn)在我國(guó)與企業(yè)信息安全問(wèn)題的法律法規(guī)不全面這就造成企業(yè)內(nèi)部信息被盜取不能得到相關(guān)的賠償。
1.2企業(yè)外部因素
現(xiàn)在企業(yè)信息安全系統(tǒng)的威脅主要來(lái)自于外部的因素,隨著我國(guó)經(jīng)濟(jì)社會(huì)的飛速變化,在競(jìng)爭(zhēng)激烈情況下信息是非常重要的,大昂仁會(huì)有很多的不法分子會(huì)利用各種手段來(lái)盜取企業(yè)的信息為自身得到利益。還有些企業(yè)在于對(duì)手的競(jìng)爭(zhēng)過(guò)程中使用不正當(dāng)?shù)氖侄蝸?lái)?yè)艨鍖?duì)手保證自己企業(yè)的利益。
二、企業(yè)信息化建設(shè)過(guò)程中的信息安全與對(duì)策
在我國(guó)社會(huì)經(jīng)濟(jì)快速發(fā)展的今天,企業(yè)信息安全對(duì)于一個(gè)企業(yè)的發(fā)展是非常具有意義的,企業(yè)的信息被盜取和泄露會(huì)給企業(yè)帶來(lái)很大的損失,所以說(shuō)企業(yè)對(duì)信息安全問(wèn)題必須要有足夠的重視。有的企業(yè)已經(jīng)做好了信息安全的必要工作就應(yīng)該更加注意安全軟件并不是時(shí)時(shí)刻刻都能做好安全的保護(hù),做好安全保護(hù)還要加強(qiáng)管理。
2.1確保正確的安全意識(shí)
一個(gè)企業(yè)在信息化發(fā)展的過(guò)程中,應(yīng)該認(rèn)識(shí)到企業(yè)信息的安全問(wèn)題和企業(yè)發(fā)展相互的關(guān)聯(lián)。如果企業(yè)的重要內(nèi)部信息被盜取或者泄露那么對(duì)于企業(yè)所造成的打擊是非常大的,而與此同時(shí)也是給了對(duì)手創(chuàng)造了很好機(jī)會(huì)。所以確保正確的安全信息意識(shí)對(duì)于一個(gè)企業(yè)來(lái)說(shuō)是非常重要的,也是為了以后給企業(yè)的各項(xiàng)工作打下了很好基礎(chǔ)。
2.2選擇安全性能比較高的軟件
其實(shí)任何軟件都不是牢不可破的,可是對(duì)于安全性能比較高的軟件,如果說(shuō)破解的話難度還是相當(dāng)高的,所以企業(yè)選擇安全軟件的時(shí)候要選擇安全性能高的,不要為了節(jié)省一點(diǎn)企業(yè)的支出而選擇使用安全性能差的保護(hù)軟件,一旦出現(xiàn)問(wèn)題所造成的企業(yè)損失價(jià)值會(huì)大于軟件的價(jià)格。
2.3加強(qiáng)企業(yè)網(wǎng)路管理
很大一部分的企業(yè)信息被盜取都是不法分子通過(guò)網(wǎng)絡(luò)進(jìn)行的,所以說(shuō)必須要對(duì)企業(yè)的網(wǎng)絡(luò)管理進(jìn)行加強(qiáng),這樣才能確保企業(yè)信息系統(tǒng)在安全的狀態(tài)的情況下運(yùn)行。對(duì)于信息安全的種類(lèi)和等級(jí)的高低來(lái)進(jìn)行制定合理的方案,并且提前做出如果發(fā)生特殊情況下怎么進(jìn)行處理的方案。如果說(shuō)企業(yè)的信息安全發(fā)生危機(jī)的時(shí)候,企業(yè)應(yīng)該快速的組建處理小組,針對(duì)信息安全危機(jī)的步驟處理并且做好危機(jī)處理的工作,還要避免出現(xiàn)由于處理不當(dāng)而產(chǎn)生的各種情況。
三、結(jié)語(yǔ)
以上所述是企業(yè)信息化建設(shè)過(guò)程中所必需要面對(duì)的問(wèn)題,一個(gè)企業(yè)的信息安全建設(shè)應(yīng)該先從管理開(kāi)始,必須做到以防范為主要,必需制定有效的安全防護(hù)把安全的風(fēng)險(xiǎn)降至最低。在現(xiàn)在經(jīng)濟(jì)發(fā)展的快速時(shí)代,企業(yè)信息的安全問(wèn)題決定著企業(yè)的安全運(yùn)營(yíng)。
參考文獻(xiàn)
[1]原黎.探析企業(yè)信息安全問(wèn)題的成因及對(duì)策[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化.2011(08)
[2]張耀輝.關(guān)于企業(yè)信息化建設(shè)中的信息安全探討[J].電子技術(shù)與軟件工程.2013(14)
[3]趙曉華,陳秀芹,周文艷,夏莉莉,李建忠.網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)信息安全問(wèn)題研究[J].科技資訊.2013(31)
[4]葉瑞強(qiáng).企業(yè)網(wǎng)絡(luò)信息安全存在的問(wèn)題及對(duì)策[J].信息與電腦(理論版).2012(03)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:CSSCI南大期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)