前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)信息安全管理體系主題范文,僅供參考,歡迎閱讀并收藏。
[關(guān)鍵詞]電力系統(tǒng);計算機網(wǎng)絡(luò);信息安全
doi:10.3969/j.issn.1673 - 0194.2017.02.029
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2017)02-00-02
目前,我國電力系統(tǒng)計算機網(wǎng)絡(luò)信息有著較好的發(fā)展。但仍存在一些問題,只有加強對電力系統(tǒng)計算機網(wǎng)絡(luò)信息的管理工作、強化安全運行及操作管理、加強電力系統(tǒng)計算機網(wǎng)絡(luò)信息風險的防范及加大系統(tǒng)運行的技術(shù)投入,才能確保電力系統(tǒng)計算機網(wǎng)絡(luò)信息安全、穩(wěn)定的運行,并將其發(fā)揮到最大作用。電力系統(tǒng)信息網(wǎng)絡(luò)的管理是我國信息安全產(chǎn)業(yè)建設(shè)與發(fā)展的重要組成部分,但電力系統(tǒng)信息化管理的安全研究還存在很多不足,仍需加強對計算機網(wǎng)絡(luò)信息安全方面的研究。
1 計算機信息安全的概述
不少發(fā)達國家的政治、經(jīng)濟及文化開始依賴于計算機信息的基礎(chǔ)設(shè)施,但同時也出現(xiàn)了強大的黑客攻擊,信息技術(shù)猶如新型的作戰(zhàn)技術(shù),在當前的形式下,計算機信息的安全問題已成為各國面臨的巨大挑戰(zhàn)。因此,還需進一步加強對計算機信息安全的風險管理。1990年,英、法、荷蘭等歐共體國家聯(lián)合了關(guān)于信息技術(shù)安全評估的準則。1991年,頒布了關(guān)于計算機信息安全管理實用規(guī)則。這兩大準則的頒布,直接推動了計算機信息安全風險管理的發(fā)展。計算機信息安全的風險管理的研究內(nèi)容有很多,比如,相關(guān)的制作規(guī)范和調(diào)節(jié)機制、業(yè)務(wù)信息和數(shù)據(jù)范圍、動態(tài)和靜態(tài)的數(shù)據(jù)管理要求、對交換的業(yè)務(wù)進行統(tǒng)一的規(guī)范、構(gòu)建安全、協(xié)調(diào)、科學的管理體系和溝通協(xié)作模型、建立安全的管理支撐平臺等。2001年,國際標準化組織頒布了《信息安全管理實施指南》,其主要提出了關(guān)于風險管理的信息安全管理體系的構(gòu)建,信息安全管理體系是一個以構(gòu)建信息系統(tǒng)安全的縱深防御體系,這也推動了我國計算機信息安全風險管理的進一步發(fā)展,使其進入了深層次研究的階段。
目前,我國的計算機信息技術(shù)還處于發(fā)展階段,比較脆弱,可能會對個體及整個國家的電網(wǎng)帶來安全威脅。因此,還需構(gòu)建規(guī)范的管理機制,建立高效、便捷的信息溝通管理平臺,并通過相關(guān)機制對計算機信息進行集中管理,提高調(diào)控的管理水平,只有這樣才能更好地確保計算機信息安全、穩(wěn)定的運行。
2 計算機網(wǎng)絡(luò)信息安全在電力系統(tǒng)中的重要性
隨著我國經(jīng)濟體制的深入改革,我國對計算機網(wǎng)絡(luò)信息管理安全的研究有了更進一步的發(fā)展。計算機網(wǎng)絡(luò)信息管理建設(shè)中常常會出現(xiàn)軟件、硬件、數(shù)據(jù)、病毒侵蝕等問題。對于電力企業(yè)來說,如果軟件中出現(xiàn)問題,會降低工作人員的工作效率;當硬件出現(xiàn)問題時,會影響到計算機的正常運作;當數(shù)據(jù)出現(xiàn)問題時,這些機密性、不可外泄的信息就會泄漏;當運行中出現(xiàn)問題時,會直接影響到網(wǎng)絡(luò)系統(tǒng)的正常運行;當計算機受到病毒侵蝕時,會造成整個系統(tǒng)的崩潰,直接影響網(wǎng)絡(luò)的安全性建設(shè)等。在某種意義上,計算機網(wǎng)絡(luò)信息安全在電力系統(tǒng)中實現(xiàn)了數(shù)據(jù)和信息資源直接的共享、數(shù)據(jù)之間的交換,構(gòu)建了安全管理機制和支撐平臺,保障了溝通的方式的安全、科學、智能,可以說,其安全智能管理體系的建立不僅滿足了計算機行業(yè)可持續(xù)發(fā)展的要求,還提高了電力系統(tǒng)計算機網(wǎng)絡(luò)信息安全的水平。因此,加強計算機網(wǎng)絡(luò)信息管理建設(shè)的安全研究具有非常重要的現(xiàn)實意義,其在一定程度上關(guān)系到我國信息安全產(chǎn)業(yè)的健康發(fā)展。
3 我國電力系統(tǒng)信息網(wǎng)絡(luò)安全中存在的主要問題
隨著我國信息技術(shù)的不斷發(fā)展,我國電力系統(tǒng)計算機網(wǎng)絡(luò)信息的安全研究也有了進一步的發(fā)展。我國電力系統(tǒng)計算機網(wǎng)絡(luò)信息的安全研究直接影響到個人的工作效率,國家的未來發(fā)展等。由于信息安全題日益突出,大家對計算機信息安全的風險管理及發(fā)展趨勢有了更多的研究。我國電力系統(tǒng)信息網(wǎng)絡(luò)建設(shè)中還存在一些安全隱患,比如網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全等,電力系統(tǒng)信息網(wǎng)絡(luò)管理也存在很多問題,比如:缺少專業(yè)技術(shù)人才、安全管理制度不健全、網(wǎng)絡(luò)安全管理意識淡薄、沒有健全的信息化管理的標準體系等。
為了能科學、合理地構(gòu)建規(guī)范的管理機制,還需建立高效、便捷的電力系統(tǒng)計算機網(wǎng)絡(luò)信息安全的制度,并通過相關(guān)機制進行集中管理,提高調(diào)控的管理水平,從而更好地確保電力系統(tǒng)計算機網(wǎng)絡(luò)信息的安全運行??偟膩碚f,我國的電力系統(tǒng)信息網(wǎng)絡(luò)管理安全體系還處于發(fā)展的初級階段,缺乏先進的技術(shù)和創(chuàng)新型的人才。為了確保網(wǎng)絡(luò)系統(tǒng)的安全,仍需加強安全管理機制,且當務(wù)之急還是要迅速地建立起電力系統(tǒng)計算機網(wǎng)絡(luò)信息的標準體系,只有這樣才能進一步展現(xiàn)出我國科學、合理、完善的電力系統(tǒng)計算機網(wǎng)絡(luò)信息。
4 提高電力系統(tǒng)計算機網(wǎng)絡(luò)信息安全水平的策略
4.1 強化安全運行及操作管理
為了能更好地確保電力系統(tǒng)計算機網(wǎng)絡(luò)信息管理的正常運行,強化安全運行及科學的操作管理是必不可少的內(nèi)容。由于我國的計算機網(wǎng)絡(luò)信息管理并不安全,所以,需通過強化安全運行,實施科學的網(wǎng)絡(luò)安全管理措施,采用規(guī)范的方法進行管理和改善,比如,采取雙機備、雙機容錯等方式,對一些關(guān)鍵的設(shè)備需要避免突發(fā)事件,對網(wǎng)絡(luò)架構(gòu)方面的設(shè)計,要提高主干網(wǎng)絡(luò)鏈路的準確性。管理者也要加強自身科學文化、思想品德方面的教育,要做到與員工溝通,提高員工的思想認識和個人素質(zhì)等。強化安全運行及操作管理能有效地解決我國計算機網(wǎng)絡(luò)信息化管理中的安全風險問題,這也是降低計算機網(wǎng)絡(luò)信息化管理中風險的有效策略。
4.2 強化密碼管理及計算機網(wǎng)絡(luò)信息化管理風險防范
為了能確保電力系統(tǒng)計算機網(wǎng)絡(luò)的正常運行,強化密碼管理、加強計算機網(wǎng)絡(luò)信息化管理風險的防范是必不可少的內(nèi)容。由于我國當下的電力系統(tǒng)計算機網(wǎng)絡(luò)運行狀況并不安全,丟失的密碼很難找到,因此,對計算機網(wǎng)絡(luò)設(shè)置密碼時,不可設(shè)置默認密碼,還需定期修改密碼,強化密碼管理,加強安全運行及操作,使用科學、規(guī)范的渠道和方法進行管理和改善。而計算機網(wǎng)絡(luò)信息化管理本身就存在一定的風險,加強計算機網(wǎng)絡(luò)信息化管理風險的規(guī)范和指導能將運行的風險降至最低,同時,這也是對計算機網(wǎng)絡(luò)信息化管理安全運行的有力保障。此外,領(lǐng)導層需要重視計算機網(wǎng)絡(luò)信息化管理安全的管理工作,改變陳舊的觀念,對計算機網(wǎng)絡(luò)信息化安全管理投入一定的資金和人才,才能使計算機網(wǎng)絡(luò)信息安全系統(tǒng)不斷地完善與成熟。
4.3 加大系統(tǒng)運行的技術(shù)投入,提高安全監(jiān)控技術(shù)水平
加大系統(tǒng)運行的技術(shù)投入是確保計算機網(wǎng)絡(luò)信息化管理安全的重要內(nèi)容,是電力企業(yè)進行轉(zhuǎn)型升級必不可少的一個環(huán)節(jié)。一般情況下,電力企業(yè)可以通過采用以計算機為基礎(chǔ)的自動化技術(shù),為計算機網(wǎng)絡(luò)信息化管理的運行提供相關(guān)的技術(shù)支持和安全保障。計算機為基礎(chǔ)的自動化技術(shù)是在網(wǎng)絡(luò)運行中采集電度、保護系統(tǒng)等,也是常用的分布式綜合自動化系統(tǒng)。為了能有效提升計算機網(wǎng)絡(luò)信息化管理的安全監(jiān)控技術(shù)水平,還需分析與研究黑客入侵的手段、網(wǎng)絡(luò)防病毒的進展、檢測報警技術(shù)、系統(tǒng)訪問控制和審計技術(shù)及計算機網(wǎng)絡(luò)信息化管理安全產(chǎn)品的研發(fā)等,探討計算機網(wǎng)絡(luò)信息化管理中的安全控制策略,建立全面、科學、合理的管理體系,實現(xiàn)各種數(shù)據(jù)之間的及時溝通和互動,確保信息安全產(chǎn)業(yè)的穩(wěn)定運行。
5 結(jié) 語
由于我國電力系統(tǒng)計算機網(wǎng)絡(luò)信息化管理的建設(shè)起步較晚、發(fā)展較慢,在安全風險管理體系的應(yīng)用和建設(shè)上還存在很多的不足,所以,我國電力系統(tǒng)計算機網(wǎng)絡(luò)信息化管理建設(shè)安全的風險管理工作還需進一步改善和管理。
加強對計算機網(wǎng)絡(luò)信息化管理的管理工作、強化安全運行及操作管理、加強計算機網(wǎng)絡(luò)信息化管理風險防范及加大系y運行的技術(shù)投入等,能有效確保計算機網(wǎng)絡(luò)信息化管理安全、穩(wěn)定地運行。此外,還要進一步加強對計算機網(wǎng)絡(luò)信息化的研究和管理工作,對出現(xiàn)的問題要及時解決,這對我國電力系統(tǒng)計算機網(wǎng)絡(luò)信息化管理的安全運行和未來發(fā)展都起到了直接的推動作用。
以上就是對電力系統(tǒng)計算機網(wǎng)絡(luò)信息安全的具體介紹,筆者對其研究還不太全面,還存在一些不足之處,這也是筆者以后繼續(xù)努力學習和探索的方向。
主要參考文獻
[1]林萬孝.計算機局域網(wǎng)絡(luò)技術(shù)及其應(yīng)用[J].今日科技,2001(3).
網(wǎng)絡(luò)會計信息安全系統(tǒng)主要是通過互聯(lián)網(wǎng)絡(luò)技術(shù)的現(xiàn)代企事業(yè)會計信息系統(tǒng),采用聯(lián)機實時操作,從而實現(xiàn)多元化報告,并能形成主動提供與主動獲取相結(jié)合的人機交互信息使用綜合體。網(wǎng)絡(luò)會計信息安全系統(tǒng)的發(fā)展能夠為會計信息使用者提供實施經(jīng)濟管理與決策的有效準確信息。而在網(wǎng)絡(luò)會計時代,網(wǎng)絡(luò)會計信息安全系統(tǒng)作為會計信息媒介,承載著會計信息的存儲與傳遞功能,而網(wǎng)絡(luò)會計信息安全系統(tǒng)的信息安全問題也成為網(wǎng)絡(luò)會計信息數(shù)據(jù)的安全問題。網(wǎng)絡(luò)會計信息安全系統(tǒng)以互聯(lián)網(wǎng)技術(shù)作為核心,也受到網(wǎng)絡(luò)開放性與共享性的影響,網(wǎng)絡(luò)系統(tǒng)的安全容易受到病毒、黑客的威脅,因此在網(wǎng)絡(luò)會計信息安全系統(tǒng)的應(yīng)用過程中,應(yīng)當明確認識到網(wǎng)絡(luò)會計信息安全系統(tǒng)的信息安全隱患,將信息載體由紙介質(zhì)轉(zhuǎn)變?yōu)榇判越橘|(zhì),需要提升磁性介質(zhì)的要求和載體信息的依賴性,在檔案保存和信息存儲過程中具有較高風險。
二、網(wǎng)絡(luò)會計信息系統(tǒng)安全存在的問題
1.黑客安全隱患。在全面開放的網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)會計信息系統(tǒng)也存在多種安全隱患,病毒和黑客攻擊的安全隱患,由于互聯(lián)網(wǎng)的開放特征,網(wǎng)絡(luò)會計信息系統(tǒng)通過互聯(lián)網(wǎng)的計算機系統(tǒng)可以共享信息資源,也給非善意訪問者提供了方便。黑客攻擊是互聯(lián)網(wǎng)系統(tǒng)的重要威脅,重要信息被盜取和網(wǎng)站的崩潰,都會對網(wǎng)絡(luò)會計信息系統(tǒng)造成嚴重影響。而計算機病毒也會給網(wǎng)絡(luò)會計信息系統(tǒng)帶來重大威脅,從原始的木馬程序到后來的CIH等病毒的肆虐,病毒制造技術(shù)發(fā)展的同時,也使得病毒具備了更大的破壞力,網(wǎng)絡(luò)軟件自身程序的不穩(wěn)定因素也會為網(wǎng)絡(luò)系統(tǒng)帶來眾多隱患。
2.信息安全隱患。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,整個社會的經(jīng)濟生產(chǎn)結(jié)構(gòu)和勞動結(jié)構(gòu)都受到網(wǎng)絡(luò)技術(shù)的影響作用,在企事業(yè)管理模式方面,也由傳統(tǒng)的的企事業(yè)管理模式和財務(wù)管理模式與網(wǎng)絡(luò)技術(shù)相結(jié)合,網(wǎng)絡(luò)會計信息安全系統(tǒng)便是傳統(tǒng)財務(wù)管理模式與網(wǎng)絡(luò)技術(shù)的結(jié)合,通過互聯(lián)網(wǎng)技術(shù)的開放性和共享性,實現(xiàn)在線財務(wù)管理、遠程財務(wù)處理、網(wǎng)上財務(wù)查詢和網(wǎng)上支付等功能,并最終實現(xiàn)企事業(yè)資金與信息的高度統(tǒng)一,有利于企事業(yè)管理者實施經(jīng)濟管理與決策的有效準確信息。財務(wù)信息是反映企事業(yè)財務(wù)經(jīng)營成果和財務(wù)狀況的重要依據(jù),設(shè)計到企事業(yè)內(nèi)部上機密的財務(wù)信息若是遭到泄露、破壞和意識,會對企事業(yè)財務(wù)管理造成嚴重影響,不利于企事業(yè)財務(wù)管理工作的正常運行。
3.檔案安全隱患。網(wǎng)絡(luò)會計信息系統(tǒng)的財務(wù)實施需要依靠相應(yīng)的財務(wù)軟件才能完成,而這些財務(wù)軟件主要包括單機版、局域網(wǎng)絡(luò)版財務(wù)軟件和硬件系統(tǒng)兩個方面,而財務(wù)軟件的全面升級,也會導致這些網(wǎng)絡(luò)財務(wù)軟件不一定能夠兼容其他財務(wù)軟件,由于數(shù)據(jù)格式問題、數(shù)據(jù)庫問題、接口問題等原因,以前的財務(wù)信息無法被錄入網(wǎng)絡(luò)財務(wù)系統(tǒng)中。而會計檔案更是無法兼容,導致新的網(wǎng)絡(luò)財務(wù)系統(tǒng)無法查詢原有的財務(wù)信息,給會計檔案工作帶來了失效風險。
4.內(nèi)部安全隱患。傳統(tǒng)的會計系統(tǒng)對于業(yè)務(wù)活動的使用授權(quán)標準具有較高合法性、職責性和正確性的要求,而網(wǎng)絡(luò)財務(wù)管理工作中,財務(wù)信息的存儲和處理集中在互聯(lián)網(wǎng)絡(luò),許多的會計業(yè)務(wù)相互交叉,而互聯(lián)網(wǎng)絡(luò)信息資源的共享,在加大財務(wù)信息復雜程度的同時,也加快了會計業(yè)務(wù)的交叉速度,導致傳統(tǒng)會計系統(tǒng)中某些內(nèi)部控制機制失效。
5.人才安全隱患。企事業(yè)網(wǎng)絡(luò)會計信息系統(tǒng)實施之后,需要高技術(shù)、高層次的復合會計人才的運作與支持,否則企事業(yè)網(wǎng)絡(luò)會計信息系統(tǒng)無法充分發(fā)揮其功效,網(wǎng)絡(luò)財務(wù)與電子商務(wù)的發(fā)展,也暴露出這部分人才的欠缺現(xiàn)狀,如果企事業(yè)在沒有找到合適人才時就盲目實施網(wǎng)絡(luò)會計信息系統(tǒng)財務(wù)工作,會使網(wǎng)絡(luò)會計信息系統(tǒng)的安全問題更為突出。
三、網(wǎng)絡(luò)會計信息系統(tǒng)的安全管理
1.安全策略。企事業(yè)網(wǎng)絡(luò)會計信息系統(tǒng)財務(wù)工作的加強,需要建立相應(yīng)的安全策略,從而降低網(wǎng)絡(luò)會計信息系統(tǒng)的安全隱患,保障企事業(yè)財務(wù)工作的開展。而安全則略主要是企事業(yè)設(shè)立的相應(yīng)制度規(guī)范,對加強對網(wǎng)絡(luò)會計信息系統(tǒng)的管理工作方面,企事業(yè)的全體人員都應(yīng)當自覺遵守策略中的規(guī)定,更有效的管理網(wǎng)絡(luò)會計信息系統(tǒng),保證網(wǎng)絡(luò)會計信息系統(tǒng)的正常運行。并且企事業(yè)安全策略在制定過程中一定要明確對企事業(yè)工作人員的職責進行規(guī)劃,將網(wǎng)絡(luò)會計信息系統(tǒng)中的各類信息資源進行合理的保護,并明確指出企事業(yè)所要保護信息的目標,讓企事業(yè)網(wǎng)絡(luò)會計信息系統(tǒng)安全策略能夠與企事業(yè)人員的日常操作相結(jié)合,提升企事業(yè)人員對網(wǎng)絡(luò)會計信息系統(tǒng)安全問題的重視程度。
關(guān)鍵詞:計算機信息管理技術(shù);網(wǎng)絡(luò)安全;應(yīng)用探討
一方面,計算機網(wǎng)絡(luò)的出現(xiàn)給人們的生活帶來了翻天覆地的變化,但網(wǎng)絡(luò)安全的問題也一直層出不窮。另一方面,計算機技術(shù)的不斷發(fā)展進步同時也帶動了計算機信息管理技術(shù)的逐漸崛起,所以如何運用計算機信息管理技術(shù)來提高網(wǎng)絡(luò)環(huán)境的安全性無疑是一件非常值得重視的事情。
一、計算機信息管理技術(shù)與網(wǎng)絡(luò)安全
1、計算機信息管理技術(shù)的概念及重要性
計算機的發(fā)展才七十多年,但隨著計算機體積越來越小、功能越來越強,用戶也從專業(yè)人員到面向大眾,實現(xiàn)了計算機的普及。所以這些計算機存在著巨量的數(shù)據(jù),所以人們就必須對這些計算機內(nèi)的數(shù)據(jù)進行有效的組織、管理,才能迅速找到所需要的數(shù)據(jù),這就是計算機信息管理技術(shù)。計算機網(wǎng)絡(luò)的出現(xiàn)使得原本儲存在計算機內(nèi)的數(shù)據(jù)在網(wǎng)絡(luò)中進行流通,因此在網(wǎng)絡(luò)中如何使用計算機信息管理技術(shù)對數(shù)據(jù)進行管理和組織就顯得非常重要。一般情況下,網(wǎng)絡(luò)信息管理工作可劃分為:服務(wù)器傳輸、服務(wù)器信息、基礎(chǔ)運行信息、用戶信息、網(wǎng)絡(luò)信息資源等幾個方面。
2、網(wǎng)絡(luò)安全的概念及重要性
網(wǎng)絡(luò)安全主要就是指在互聯(lián)網(wǎng)之上所傳輸數(shù)據(jù)自身具有的安全性,但也指計算機系統(tǒng)硬件、系統(tǒng)軟件等所具有的安全性。而信息管理主要是針對網(wǎng)絡(luò)信息進行管理,也就是對互聯(lián)網(wǎng)信息以及信息服務(wù)等多個方面的信息進行安全的管理。隨著網(wǎng)絡(luò)的廣泛運用,使得網(wǎng)絡(luò)環(huán)境將會成為人類的第二個世界。那么在這樣一個環(huán)境之中,其安全性自然成為一個非常重要的問題。所以,人們對于網(wǎng)絡(luò)環(huán)境安全的要求必然會越來越重視。
二、計算機信息管理技術(shù)在網(wǎng)絡(luò)安全中應(yīng)用所存在的問題
1、對網(wǎng)絡(luò)安全問題不夠重視,操作人員的自身水平不過硬
在當前社會雖然網(wǎng)絡(luò)已經(jīng)非常普及,但還是有很多人對于網(wǎng)絡(luò)安全及相關(guān)的問題并不重視,這也就使得一些安全隱患被黑客有機可乘。最常出現(xiàn)的就是密碼的安全性,仍然有用戶將自己(家人)的姓名、生日、身份證號碼等作為登錄的密碼,導致網(wǎng)絡(luò)安全從內(nèi)部被攻破。還有操作人員的自身水平不夠,也同樣會導致網(wǎng)絡(luò)環(huán)境中的不安全隱患被利用。例如,計算機IP地址規(guī)劃、殺毒、防火墻的、操作系統(tǒng)的定期更新補丁、禁止使用盜版軟件等。
2、在信息安全監(jiān)測、信息訪問控制方面的問題
信息訪問控制主要是用戶在互聯(lián)網(wǎng)活動的過程中,對其訪問的信息資源進行把控,在隨著網(wǎng)絡(luò)中的用戶數(shù)量以及訪問流量幾乎成指數(shù)程度增加,是的在信息訪問控制方面的壓力驟增。同時再加上人們在訪問時對安全問題的不重視,以及黑客同樣不停得尋找網(wǎng)絡(luò)的漏洞,導致了在信息訪問控制方面不可能做得面面俱到,使得一些網(wǎng)絡(luò)安全事故的發(fā)生。
三、改善計算機信息管理技術(shù)在網(wǎng)絡(luò)安全中應(yīng)用的建議
1、提高安全防范意識以及個人職業(yè)素養(yǎng)和操作水平
首先,提升對于網(wǎng)絡(luò)安全的理解以及防范意識是最為重要的第一步。網(wǎng)絡(luò)的普及讓人們清楚的它所能帶來的便利,但也帶來安全隱患,一旦爆發(fā)出來將會對國家、社會造成巨大的損失。所以應(yīng)加大在此方面的宣傳,例如有政府相關(guān)部門做一些公益宣傳片,實際案例剖析節(jié)目等,使人們加強對網(wǎng)絡(luò)安全的了解和重視。其次,提升操作者的技術(shù)水平也是很重要的。操作者不僅是指專業(yè)的網(wǎng)絡(luò)安全人員,同時還包括普通用戶。提升普通用戶對于計算機信息管理技術(shù)的了解掌握計算機安全和網(wǎng)絡(luò)安全相關(guān)基本技,這樣不僅對用戶的工作都會帶來便利,也對網(wǎng)絡(luò)安全構(gòu)建提供良好基礎(chǔ)。最后,還應(yīng)該提高從業(yè)人員的職業(yè)素養(yǎng)?,F(xiàn)階段網(wǎng)絡(luò)上的出售個人信息、通過手機號碼能對用戶進行定位、甚至能個人私密信息等。很大一部分都是銀行、電商和電信等行業(yè)對從業(yè)人員管理不善、不重視員工的職業(yè)道德所導致的。
2、優(yōu)化管理體系,提升信息安全監(jiān)測、信息訪問控制方面的能力
首先,當前網(wǎng)絡(luò)安全環(huán)境之所以還有很多不完善的地方,信息管理體系的不完善也是一個重要的影響因素。因此對于目前的網(wǎng)絡(luò)環(huán)境構(gòu)建和發(fā)展中,有效的優(yōu)化計算機信息技術(shù)的管理體系無疑是非常有必要的作為。雖然現(xiàn)階段我國的管理體系還不夠完善,但有理由相關(guān)通過進一步的技術(shù)積累和技術(shù)人員的持續(xù)培養(yǎng),最終能讓網(wǎng)絡(luò)環(huán)境的變得更安全。其次,提升信息安全監(jiān)測、信息訪問控制方面的能力也成為重點。利用技術(shù)控制措施來對計算機信息管理體系進行加強,并增加在研發(fā)方面的力度,為網(wǎng)絡(luò)安全提供必要的技術(shù)支撐。像前面提到的中、小學校都有自己的網(wǎng)站,但是管理員為非專業(yè)人員,為解決這一問題,網(wǎng)絡(luò)安全廠商通過軟硬件設(shè)備結(jié)合的辦法實時對網(wǎng)絡(luò)進行監(jiān)控、自動管理。當用戶在使用過程中出現(xiàn)不良信息時,設(shè)備會根據(jù)事先設(shè)定好的處理辦法進行干預(yù),并將事件記錄在日志。這樣即使管理人員不夠?qū)I(yè)也能對網(wǎng)絡(luò)進行自動管理,從而提升信息安全監(jiān)測、信息訪問控制能力。最后,高校加強相關(guān)人才的培養(yǎng),例如在課程設(shè)置和教學中,應(yīng)重視學生的實踐能力。這樣,不僅能增加專業(yè)人才數(shù)量,從而適應(yīng)社會需求。人才技術(shù)的提升,后輩人才的培養(yǎng)才是整個行業(yè)未來發(fā)展的核心,也是通過計算機信息管理技術(shù)維護網(wǎng)絡(luò)安全的必經(jīng)之路。
結(jié)束語
網(wǎng)絡(luò)的出現(xiàn)給人們的生活帶了巨大的便利,在現(xiàn)代社會網(wǎng)絡(luò)成為日常生活中不可或缺的部分。所以網(wǎng)絡(luò)安全問題值得人們?nèi)リP(guān)注和重視。有效的運用計算機信息管理技術(shù),針對其目前在網(wǎng)絡(luò)安全中應(yīng)用所存在的問題做出針對性的解決,才能更好的確保網(wǎng)絡(luò)環(huán)境的健康安全,讓人民的利益得到充分的保障。
參考文獻:
[1]張瑩.數(shù)據(jù)加密技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用價值分析[J].無線互聯(lián)科技,2015,21:36-37.
急救中心必須依靠計算機網(wǎng)絡(luò)技術(shù)來完成醫(yī)療緊急救援任務(wù)。隨著計算機網(wǎng)絡(luò)的廣泛運用, 常有故障或安全隱患存在, 不但影響急救工作的順利開展, 也會給急救中心的社會聲譽帶來負面影響。所以, 在應(yīng)用計算機網(wǎng)絡(luò)技術(shù)過程中, 應(yīng)重視維護和管理計算機及其網(wǎng)絡(luò), 針對運行過程中存在的問題和安全隱患, 實施有效性的維護與管理措施, 為計算機網(wǎng)絡(luò)安全穩(wěn)定運行提供保障。
2 基于計算機網(wǎng)絡(luò)技術(shù)的急救指揮調(diào)度的特點
基于計算機網(wǎng)絡(luò)技術(shù)的指揮調(diào)度系統(tǒng)能提高調(diào)度效率, 完善通訊網(wǎng)絡(luò), 滿足急救需求, 其特點表現(xiàn)在:
2.1 即時收集處理信息
急救中心接入呼救電話后, 利用GPS技術(shù)和GIS技術(shù)分析電話號碼, 搜索并確定患者的位置。即使患者因病情沒有完整給出信息, 急救中心也能找到患者并實時救治, 系統(tǒng)生成最佳出車路線, 節(jié)省人工查詢時間。錄音功能可以解決語言信息模糊或偏差的問題, 利用錄音內(nèi)容尋找其他信息, 實現(xiàn)患者定位。
2.2 自動化和網(wǎng)絡(luò)化調(diào)度
以往急救指揮調(diào)度由人工完成, 工作效率低, 差錯率較高, 往往威脅急危重癥患者的生命安全。應(yīng)用指揮調(diào)度系統(tǒng)后, 在接入呼救電話時就開始電話錄音、記錄信息、分析患者地點、生成最佳出車路線、制定急救方案等的運行, 節(jié)省了人工操作時間, 提高了工作精度, 出車時間較短。
2.3 信息共享和科學決策
在突發(fā)事件應(yīng)急處理過程中, 需要多部門協(xié)作, 醫(yī)療緊急救援需要應(yīng)急人員和車輛的密切配合, 指揮調(diào)度系統(tǒng)能能分析現(xiàn)場情況, 聯(lián)系周邊應(yīng)急救援部門, 調(diào)整和升級應(yīng)急處置方案, 為科學決策提供準確依據(jù)。
3 存在問題和安全隱患
3.1 硬件問題及其安全隱患
硬件是計算機正常工作的前提, 優(yōu)質(zhì)的硬件設(shè)施有利于高效運行計算機和網(wǎng)絡(luò)。從實際情況看, 很多急救中心計算機設(shè)備各項指標嚴重不合格, 尤其是硬件設(shè)備總是會出現(xiàn)各種問題。如目前使用的落后的主機, 工作速度無法滿足日常工作的需求, 有時出現(xiàn)死機現(xiàn)象, 大大降低了工作效率;其次, 使用的光纜和光纖質(zhì)量差, 會出現(xiàn)網(wǎng)絡(luò)斷開連不上網(wǎng)的現(xiàn)象, 不利于順利高效地開展工作。
3.2 軟件問題及其安全隱患
軟件是計算機正常工作的關(guān)鍵因素。計算機網(wǎng)絡(luò)軟件出現(xiàn)的問題主要包括: (1) 系統(tǒng)不兼容更新升級不及時。由于計算機系統(tǒng)沒有升級, 阻礙了急救指揮調(diào)度系統(tǒng)的運行和維護, 無法編輯錄入相關(guān)資料, 不能及時更新和完善重要的數(shù)據(jù), 甚至導致系統(tǒng)癱瘓。 (2) 病毒侵入。計算機和網(wǎng)絡(luò)技術(shù)結(jié)合使指揮調(diào)度系統(tǒng)更加先進, 病毒也更加容易侵入。如果技術(shù)人員沒有監(jiān)控到病毒或任其肆意入侵, 那么病毒會破壞計算機系統(tǒng), 導致無法正常顯示電腦屏幕, 不能及時、準確傳遞相關(guān)消息, 導致死機、系統(tǒng)崩潰, 影響正常工作。 (3) 信息泄密。急救指揮調(diào)度系統(tǒng)中急救中心自身信息、患者資料都需要保密。一旦計算機被外網(wǎng)侵入, 那么會破壞計算機系統(tǒng), 導致數(shù)據(jù)流出, 醫(yī)患雙方的利益均受到損害, 降低了急救中心的社會信譽。
3.3 網(wǎng)絡(luò)安全隱患
IP地址被劫持, 不法分子會應(yīng)用網(wǎng)絡(luò)TCP/IP協(xié)議偽造主機IP, 進而發(fā)送具有欺騙性的數(shù)據(jù)包, 造成主機、網(wǎng)絡(luò)癱瘓。攻擊路由協(xié)議, 侵入者偽裝數(shù)據(jù)系統(tǒng), 竊取和泄露數(shù)據(jù)信息。
3.4 人為因素
應(yīng)該說, 急救中心計算機和網(wǎng)絡(luò)安全事故多由人為因素造成。如工作時不小心切斷電源, 遺失未保存的數(shù)據(jù), 計算機系統(tǒng)無法正常工作;再如專業(yè)技術(shù)人員未掌握足夠的計算機知識, 出現(xiàn)操作失誤, 威脅計算機網(wǎng)絡(luò)安全。
4 計算機維護和網(wǎng)絡(luò)安全管理措施
4.1 計算機維護措施
急救中心相關(guān)數(shù)據(jù)的采集、儲存、傳遞、醫(yī)患和醫(yī)醫(yī)交流等一般均需要利用計算機操作來完成, 必須做好計算機維護工作。
要重視計算機檢修和保養(yǎng)。要延長計算機使用年限, 必須重視計算機保養(yǎng)。專業(yè)技術(shù)人員要定期檢修和保養(yǎng)計算機, 定期檢查計算機硬件設(shè)備是否存在問題;要經(jīng)常使用專用的刷子、專用的清潔劑維護硬件設(shè)備;要整理室內(nèi)線路, 保證整齊清潔, 為計算機提供輕松舒適的環(huán)境。
重視軟件保護。要定期維護和升級計算機系統(tǒng)和應(yīng)用程序相關(guān)數(shù)據(jù), 備份重要數(shù)據(jù), 保證數(shù)據(jù)信息的完整性。
普及計算機知識。數(shù)字化信息化管理方式要求工作人員必須掌握計算機知識, 強化維護計算機, 保證安全。
4.2 網(wǎng)絡(luò)安全管理措施
做好網(wǎng)絡(luò)安全管理是保證急救中心工作正常運行的核心因素。要加強醫(yī)院網(wǎng)絡(luò)安全。加強網(wǎng)絡(luò)安全, 要求有高監(jiān)控的管理, 加密相關(guān)數(shù)據(jù)。高監(jiān)控指使用網(wǎng)絡(luò)防火墻、安裝360、電腦管家等查殺病毒的軟件, 前提是這些軟件本身具有較高的安全性, 能夠有效抵抗黑客、外網(wǎng)、病毒入侵;加密相關(guān)數(shù)據(jù), 指重新錄入計算機網(wǎng)絡(luò)的相關(guān)數(shù)據(jù)信息, 不法分子無法獲取加密信息的內(nèi)容, 能有效避免相關(guān)數(shù)據(jù)泄密事故的發(fā)生, 確保網(wǎng)絡(luò)安全穩(wěn)定運行。 (1) 設(shè)置防火墻。防火墻能夠分隔內(nèi)部網(wǎng)絡(luò)與其他公共網(wǎng)絡(luò), 其他用戶進入內(nèi)部網(wǎng)絡(luò)時, 需經(jīng)過授權(quán), 隔離非法訪問, 實現(xiàn)網(wǎng)絡(luò)安全運行。 (2) 引入加密技術(shù)。在計算機網(wǎng)絡(luò)維護與管理工作中, 需保持高度警惕, 加密處理原有文件數(shù)據(jù), 傳輸重要數(shù)據(jù)時, 可引入對稱加密與非對稱加密兩種技術(shù), 最大限度確保數(shù)據(jù)安全性。 (3) 安裝殺毒軟件, 定期掃描, 及時發(fā)現(xiàn)并識別出可疑程序, 確認為病毒后, 立即隔離, 并依據(jù)具體情況強制清除病毒程序。 (4) 防范黑客進入。相關(guān)管理人員應(yīng)不斷加強防范黑客意識, 定期更新身份認證系統(tǒng), 定期修改重要賬戶密碼。
要建立健全網(wǎng)絡(luò)管理規(guī)章制度。專業(yè)技術(shù)人員應(yīng)進行相關(guān)設(shè)置, 工作人員必須注冊賬號, 配合身份權(quán)限才能登陸急救指揮調(diào)度系統(tǒng)網(wǎng)絡(luò), 防止不法分子盜取相關(guān)信息, 防止外部端口接入網(wǎng)絡(luò), 提高網(wǎng)絡(luò)安全。因此, 必須建立健全各項規(guī)章制度, 做好防控布控工作, 防止網(wǎng)絡(luò)出現(xiàn)失聯(lián)和混亂的局面, 從制度層面消除潛在的網(wǎng)絡(luò)安全威脅因素。
成立計算機維護和專業(yè)技術(shù)小組。在提高工作人員維護計算機和網(wǎng)絡(luò)安全意識的同時, 應(yīng)成立計算機維護中心, 專業(yè)技術(shù)人員及時檢測計算機網(wǎng)絡(luò)運行中存在的問題并找出有效解決方案, 做好計算的檢修和保養(yǎng)工作。
4.3 積極引入新型計算機網(wǎng)絡(luò)技術(shù)
(1) 引入NTFS區(qū)分格式服務(wù)器, 彌補DOS系統(tǒng)缺陷, 降低病毒感染計算機可能性。 (2) 注重識別外來移動硬盤, 不得隨意插入到計算機上。 (3) 定期更新計算機軟件, 降低軟件系統(tǒng)漏洞數(shù)量。 (4) 將基于Windows NT開發(fā)的32位實時掃描、殺毒等軟件安裝于計算機上。 (5) office類程序不直接在Windows NT上進行運行, 以預(yù)防因病毒感染而誤刪重要文件。
4.4 加強機房管理
(1) 注重盤查與監(jiān)督機房進出人員, 要認真識別訪問者身份信息后再決定能否讓其進入。 (2) 實時監(jiān)控機房, 要監(jiān)督在機房中活動人員的動向, 以便及時發(fā)現(xiàn)異常行為并處理。 (3) 將多層安全防護圈設(shè)置于計算機機房系統(tǒng)中心, 避免不法分子暴力入侵, 保證機房安全性。 (4) 注重控制機房的溫度、濕度、電氣干擾等, 保證機房正常運行, 為計算機網(wǎng)絡(luò)順利運行提供支持。
參考文獻
[1]張波.探析醫(yī)院計算機系統(tǒng)的管理措施與維護思路[J].科技創(chuàng)新導報, 2013 (25) :29.
關(guān)鍵詞:信息安全管理;風險評估;監(jiān)控
中圖分類號:TP393.08
信息是現(xiàn)代社會中不可缺少的一項重要元素,尤其是在商業(yè)活動中,信息已經(jīng)成為市場競爭的重要手段,因此對信息安全的管理在商業(yè)活動中顯得尤為重要。信息安全管理體系(Information Security Management System,簡稱為ISMS),是建立和維持信息安全管理體系的標準,標準要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎(chǔ)選擇控制目標與控制方式等活動建立信息安全管理體系;體系一旦建立組織應(yīng)按體系規(guī)定的要求進行運作,保持體系運作的有效性;信息安全管理體系應(yīng)形成一定的文件,即組織應(yīng)建立并保持一個文件化的信息安全管理體系,其中應(yīng)闡述被保護的資產(chǎn)、組織風險管理的方法、控制目標及控制方式和需要的保證程度。
1 信息安全的風險評估與策略
1.1 信息安全的風險評估
信息安全管理屬于風險管理,即如何在一個確定有風險的環(huán)境里把風險減至最低的管理過程。因此,管理的核心要素就是對風險進行準確識別和有效的評估,通過對信息安全進行風險評估可以獲得安全管理的需求,幫助組織制定出最佳的信息安全管理策略,并且將風險控制在可承受的范圍之內(nèi)。一個科學、合理的信息安全風險評估策略應(yīng)該具有形影的標準體系、技術(shù)措施、組織框架以及法律法規(guī)。
1.2 信息安全策略
信息安全策略(Information Security Policy)是一個組織機構(gòu)中解決信息安全問題的重要組成部分。在一個組織內(nèi)部,通常是由技術(shù)管理者指定信息安全策略,如果是一個較為龐大的組織,制定信息安全策略的則可能是一個技術(shù)團隊。信息安全策略是基于風險評估結(jié)果以保護組織的信息資產(chǎn)。信息安全策略對訪問組織的不同資產(chǎn)進行權(quán)限設(shè)定,它是組織管理人員在建立、使用和審計信息系統(tǒng)時的信息來源。
信息安全策略具有非常廣泛的應(yīng)用范圍,在其基礎(chǔ)上做出的安全決定需要提供一個較高層次的原則性觀點。一個組織的信息安全策略能夠反映出一個組織對現(xiàn)實和未來安全風險的認識水平,對于組織內(nèi)部業(yè)務(wù)人員和技術(shù)人員安全風險的處理。信息俺去那策略的制定同時還需要參考相關(guān)標準文本和安全管理的經(jīng)驗。
1.3 信息安全管理措施
信息加密技術(shù)是網(wǎng)絡(luò)安全管理的核心問題,通過對網(wǎng)絡(luò)傳輸?shù)男畔①Y源進行加密,以確保傳遞過程中的安全性和可靠性。用戶通過互聯(lián)網(wǎng)進行網(wǎng)絡(luò)訪問時,應(yīng)該能夠控制訪問屬于自己的數(shù)據(jù)的訪問者身份,并且可以對訪問者的訪問情況進行審核。這種訪問權(quán)限的控制,需要開發(fā)相應(yīng)的權(quán)限控制程度,以作為安全防范措施使用。
用戶在對云計算網(wǎng)絡(luò)的數(shù)據(jù)進行存儲時,其他用戶及云服務(wù)提供商在未被所有者允許的情況下不得對數(shù)據(jù)進行查看及更改。這需要將數(shù)據(jù)在網(wǎng)絡(luò)存儲時,對其他用戶實行存儲隔離措施,同時對服務(wù)提供商實行存儲加密和文件系統(tǒng)的加密措施。鑒于云平臺的搭建多數(shù)基于商業(yè)方面,因此用戶的數(shù)據(jù)在基于云計算的網(wǎng)絡(luò)上進行傳輸時要具有極高的保密性,包括在計算中心的內(nèi)部網(wǎng)絡(luò)和開放互聯(lián)網(wǎng)絡(luò)上。所以,應(yīng)該對所傳輸?shù)臄?shù)據(jù)信息在傳輸層進行加密(HTTPS、VPN和SSL等),對服務(wù)提供商進行網(wǎng)絡(luò)加密。由于基于云計算的網(wǎng)絡(luò)的數(shù)據(jù)重要性,為了防止各種數(shù)據(jù)毀滅性災(zāi)難和突發(fā)性事件,進行按期定時的數(shù)據(jù)備份,使用數(shù)據(jù)庫鏡像策略和分布式存儲策略等,是確保網(wǎng)絡(luò)信息安全的一系列防范措施。
病毒對互聯(lián)網(wǎng)的安全威脅最為嚴重,主要可以通過病毒防御技術(shù)提升信息管理安全性。病毒是利用計算機軟硬件系統(tǒng)的缺陷,在原本正常運行的程序中插入的一段能夠破壞計算機或數(shù)據(jù)的指令或代碼段,從而在執(zhí)行時影響計算機系統(tǒng)的正常運作而不易被人察覺,對計算機及信息安全的威脅最大。針對日益猖獗的計算機病毒,選擇一款適合系統(tǒng)使用環(huán)境的反病毒軟件顯得尤為重要,發(fā)現(xiàn)病毒侵入應(yīng)該及時查殺,同時要注意按時地更新病毒庫,并升級反病毒軟件版本。在殺毒的同時做好預(yù)防工作是最為行之有效的措施。防火墻是設(shè)置在不同類型網(wǎng)絡(luò)間的一系列硬件和軟件的集合,旨在控制不同網(wǎng)絡(luò)間的訪問、拒絕外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)資源的非法訪問,保證通過防火墻的數(shù)據(jù)包符合預(yù)設(shè)的安全策略,從而確保了網(wǎng)絡(luò)信息的服務(wù)安全。
入侵檢測作為防火墻技術(shù)的補充手段,是對成功繞過防火墻限制而入侵內(nèi)部網(wǎng)絡(luò)系統(tǒng)的行為進行技術(shù)攻防的策略。其實質(zhì)是在不損耗網(wǎng)絡(luò)性能的前提下進行監(jiān)聽分析用戶系統(tǒng)活動和違反安全策略的行為,對已威脅網(wǎng)絡(luò)安全的入侵行為識別并發(fā)出警報,同時生成異常行為分析,評估入侵行為帶來的損害程度。
目前,利用防火墻和入侵檢測相結(jié)合的方式,是防護網(wǎng)絡(luò)、拒絕外部網(wǎng)絡(luò)攻擊的最有效手段之一。任何一個系統(tǒng)都會存在安全漏洞,這包含已知的和未知的在應(yīng)用軟件和操作系統(tǒng)兩方面上的安全漏洞。在進行漏洞掃描時,可以及時系統(tǒng)和網(wǎng)絡(luò)存在的安全漏洞,并打上漏洞補丁,進行主動防御。在使用時可以將漏洞掃描與防火墻技術(shù)、入侵檢測技術(shù)三者相結(jié)合,形成網(wǎng)絡(luò)安全防范和防御的“黃金三角”。數(shù)據(jù)加密分為對稱性和非對稱性加密兩種,是在發(fā)送端以某種算法將數(shù)據(jù)明文轉(zhuǎn)換成密文,在接收端以密鑰進行解密,從而保證信息在網(wǎng)絡(luò)存儲和傳輸?shù)倪^程中都是保密的,并且對網(wǎng)絡(luò)環(huán)境沒有任何特別的要求和限制。數(shù)據(jù)加密技術(shù)與防火墻技術(shù)相比較,對于信息安全的防護作用是全局性的,也是最后一道防線。
系統(tǒng)備份和數(shù)據(jù)恢復,是指對系統(tǒng)的重要核心數(shù)據(jù)和資料進行備份,當切防范和防御技術(shù)都失效并且計算機網(wǎng)絡(luò)遭到黑客攻擊時,能夠?qū)ο到y(tǒng)實施立即恢復的手段,這也是保證信息安全的挽救措施。除了以上所提及的技術(shù)性手段之外,大力開展信息安全教育和完善相關(guān)法律法規(guī)作為人為防范措施也不容被忽視。近年來,信息安全威脅之一的網(wǎng)絡(luò)欺騙就是因為當事人的信息安全意識淡薄和相關(guān)的調(diào)查取證困難造成的。因此,有必要做出改善措施,與技術(shù)手段相結(jié)合對信息安全發(fā)揮行之有效的影響。
2 結(jié)束語
綜上所述,隨著計算機技術(shù)、網(wǎng)絡(luò)通信技術(shù)和高密度存儲技術(shù)的發(fā)展,電子信息化進程在各個領(lǐng)域中得到了廣泛推廣和不斷深入研究。結(jié)合當今社會的信息量爆炸式的增長情況,以及現(xiàn)階段的研究成果得出結(jié)論,當今電子信息工程的安全問題和信息的有效利用問題仍將為研究的重點。本文重點研究了信息安全管理體系,根據(jù)信息安全管理的標準以及信息安全風險的特征,提出了一些具有針對性的信息安全管理措施,以實現(xiàn)對信息安全風險的有效評估和準確預(yù)測,危險性安全管理體系的實施提供重要保證。
參考文獻:
[1]張健.電子文件信息安全管理評估體系研究[J].檔案學通訊,2011,4.
[2]馬曉珺,趙哲.電子商務(wù)信息安全管理體系研究[J].安陽市師范學院學報,2008,2.
[3]劉曉紅.信息安全管理體系認證及認可[J].認證技術(shù),2011,5.
[4]喬甜.基于全員參與的信息安全管理體系研究[J].科技致富向?qū)В?013,6.
[5]王新輝,張建,李偉濤.基于生命周期分析信息安全管理體系[J].計算機技術(shù)與發(fā)展,2012,3.
[關(guān)鍵詞]信息安全管理 評估模型 管理體系
中圖分類號:P9.T3308 文獻標識碼:A 文章編號:1009-914X(2016)21-0400-01
1、 引言
隨著信息化建設(shè)的發(fā)展,信息安全越來越多的受到人們的重視,企業(yè)信息安全重點面臨的問題主要表現(xiàn)在[1]:1)網(wǎng)絡(luò)受到外部的惡意攻擊,部分單位無終端接入控制措施,使企業(yè)的正常業(yè)務(wù)無法開展或相關(guān)重要數(shù)據(jù)被盜??;2)網(wǎng)站受到黑客攻擊,由于部分掌握網(wǎng)絡(luò)技術(shù)的不法人員查詢到破解網(wǎng)站所存在的漏洞,加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權(quán)限,使得網(wǎng)站陷入癱瘓;3)信息的監(jiān)管不利產(chǎn)生不良的影響,通常情況下信息沒有主管部門負責審核導致監(jiān)管不到位,那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上,造成不良影響;4)計算機病毒的危害,相關(guān)系統(tǒng)不及時更新補丁和升級,受到病毒入侵并加以利用,篡改應(yīng)用系統(tǒng)信息或獲取管理權(quán)限,使得應(yīng)用系統(tǒng)丟失重要信息。
當前,有關(guān)信息系統(tǒng)的安全評價雖然存在著多種多樣的具體實踐方式,但在目前還沒有形成系統(tǒng)化和形式化的評價理論和方法。評價模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數(shù)學,而評價方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結(jié)合,建立了安全評價體系,并運用隸屬函數(shù)和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統(tǒng)安全的某一個方面出發(fā),如技術(shù)、管理、過程、人員等,著重于評估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實踐規(guī)范。在操作上主觀隨意性較強,其評估過程主要依靠測試者的技術(shù)水平和對網(wǎng)絡(luò)系統(tǒng)的了解程度,缺乏統(tǒng)一的、系統(tǒng)化的安全評估框架,很多評估準則和指標沒有與被評價對象的實際運行情況和信息安全保障的效果結(jié)合起來。
大型企業(yè)信息安全管理體系的研究,就是為了尋找一個科學、合理的管理體系,并根據(jù)該體系和方法對大型企業(yè)的信息安全狀況和水平進行評價,對信息安全管理績效進行考核。
2、 大型企業(yè)信息安全管理體系的內(nèi)涵
通過管理體系的應(yīng)用,將對大型企業(yè)信息安全產(chǎn)生非常重要的作用。一是可以對企業(yè)信息安全的水平做出客觀的反應(yīng),認識企業(yè)信息安全存在的不足之處,發(fā)揮考評體系的指導作用,引導企業(yè)“信息安全”工作健康科學發(fā)展;二是可以為企業(yè)信息安全的建設(shè)指明方向,為信息安全的發(fā)展提供有力支撐;三是可以幫助企業(yè)管理者建立起一套科學的信息安全管理系統(tǒng),有效控制信息化活動的進程,提高信息安全級別,減少因信息安全事件引起的損失,有利于正確引導和規(guī)范企業(yè)的信息化建設(shè),指導企業(yè)科學發(fā)展具有重要的意義。
3、 大型企業(yè)信息安全管理體系的主要做法
為了大型企業(yè)信息安全管理體系的建立,提出了管理體系的目標:對于信息安全方面出現(xiàn)的問題,達到防范目的;對于信息安全工作進行查漏補缺,加強管理;通過評估體系的考核,落實相關(guān)信息安全文件、推進信息安全工作,為企業(yè)信息安全的建設(shè)指明方向,同時注重管理體系整體的時效性,根據(jù)信息安全發(fā)展的不同階段進行及時更新。
1) 建立大型企業(yè)信息安全體系
信息安全體系總體設(shè)計。信息安全體系設(shè)計共分為三級,包含9個一級指標,14個二級指標,27個三級指標。一級指標和二級指標為共性指標,三級指標為數(shù)據(jù)采集項。一級指標包括:網(wǎng)絡(luò)安全管理、環(huán)境安全管理、應(yīng)用系統(tǒng)安全管理、數(shù)據(jù)安全管理、終端安全管理、操作安全管理、網(wǎng)絡(luò)信息安全、移動信息化安全、服務(wù)器掃描情況。一級和二級指標結(jié)構(gòu)圖如下:
2)信息安全考評指標的權(quán)重設(shè)計
指標權(quán)重理論思路。具體權(quán)重根據(jù)德爾菲法[4]、層次分析法,結(jié)合政策導向確定。
管理體系的指標權(quán)重確定方法設(shè)計過程中,選取兩組技術(shù)、管理等方面的專家,其中一組專家根據(jù)各指標在企業(yè)信息化中的重要程度,確定各指標的相對重要性,采用層次分析法確定各指標的權(quán)重。另外一組專家根據(jù)各指標在企業(yè)信息化中的重要程度,對各指標按百分制進行賦值,確定各指標的權(quán)重。綜合兩組專家的意見,初步確定各指標的權(quán)重,再組織專家研討會,最終確定各指標的權(quán)重。
企業(yè)信息安全考評指標總分計算方法:
I=Σ(Pi*Wi) (1)
I表示指標體系的總得分;Pi表示第i個指標的得分,各指標得滿分都是100分;Wi表示第i個指標的權(quán)重,所有指標權(quán)重的和為100%。
3)建設(shè)大型企業(yè)信息化評價管理系統(tǒng)
為了實施信息安全措施體系,以信息安全體系、信息安全文件和考評制度為基礎(chǔ),研發(fā)包括信息安全在內(nèi)的大型企業(yè)信息化評價管理系統(tǒng)。通過使用該系統(tǒng),將減輕信息化管理部門的負擔,填報和匯總數(shù)據(jù)的效率顯著提高,最為突出的是以上報數(shù)據(jù)為基礎(chǔ),可以自動、實時地形成各種統(tǒng)計、分析圖表,從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計工作,大大減輕了信息化管理部門的工作強度,增加了信息化管理部門對新情況快速反應(yīng)能力。
系統(tǒng)整體架構(gòu)由數(shù)據(jù)庫層、框架服務(wù)層、應(yīng)用邏輯層、界面表現(xiàn)層組成,系統(tǒng)部署了tomcat下運行的I@Report和BI@Report作為框架服務(wù)層,并在此基礎(chǔ)上開發(fā)了業(yè)務(wù)系統(tǒng)。
系統(tǒng)主要實現(xiàn)了如下功能:
編碼同步、基層權(quán)限管理、評價初始化、基層初評、數(shù)據(jù)提交、部門權(quán)限管理(含單位、指標項)、管理部門復評、信息稽核、數(shù)據(jù)計算、統(tǒng)計管理、查詢管理、決策模型。
建立統(tǒng)一的數(shù)據(jù)報送平臺,提高企業(yè)信息整合水平。
建立在線交流及公告平臺。
系統(tǒng)根據(jù)建立的數(shù)學模型進行綜合分析,可自動、實時地形成各種統(tǒng)計分析圖表、報告等,例如:信息化評級、信息化水平評測報告。
4、 結(jié)束語
通過大型企業(yè)信息安全管理體系的實施,使企業(yè)信息化水平評估體系更加完善,在考評信息化建設(shè)水平的同時,又對信息安全水平等級有所提升。
參考文獻
[1] 周學廣,劉藝.信息安全學[M].北京:機械工業(yè)出版社,2003.
[2] 常建娥,蔣太立.層次分析法確定權(quán)重的研究[J].武漢理工大學學報,信息與管理工程版,2007,1(29):153-156.
關(guān)鍵詞:信息完全;技術(shù);體系
一、前言
隨著金川集團公司跨國經(jīng)營戰(zhàn)略的實施,企業(yè)信息化進程不斷深入,企業(yè)信息安全己經(jīng)引起公司領(lǐng)導的的高度重視,但依然存在不少問題。調(diào)查結(jié)果表明,造成網(wǎng)絡(luò)安全事件發(fā)生的原因有很多,一是安全技術(shù)保障體系尚不完善,企業(yè)花了大量的金錢購買了信息安全設(shè)備,但是技術(shù)保障不成體系,達不到預(yù)想的目標;二是應(yīng)急反應(yīng)體系沒有經(jīng)?;?、制度化;三是企業(yè)信息安全的標準、制度建設(shè)滯后。其中,由于未修補或防范軟件漏洞導致發(fā)生安全事件的占安全事件總數(shù)的80%,登錄密碼過于簡單或未修改密碼導致發(fā)生安全事件的占19%。近年來,雖然使用單位對信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高,80%的被調(diào)查單位有專職或兼職的安全管理人員,但是,很多企業(yè)存在安全觀念薄弱、安全管理員缺乏培訓、安全經(jīng)費投入不足和安全產(chǎn)品不能滿足要求等問題,也說明目前安全管理水平還比較低。因此現(xiàn)代企業(yè)迫切需要建立信息資源安全管理體系。
二、企業(yè)信息資源安全管理體系構(gòu)建
1、企業(yè)信息安全組織管理
企業(yè)信息安全組織體系定義為一個三層的組織,組織架構(gòu)如圖所示:
企業(yè)信息安全組織
l)總經(jīng)理通過總經(jīng)辦負責企業(yè)信息、安全的決策事項。2)總經(jīng)理任命一名信息安全主管負責企業(yè)信息安全的風險管理,該主管領(lǐng)導一個有各個部門主要負責人參加的信息安全管理小組維護企業(yè)信息安全管理體系、管理企業(yè)信息安全風險。3)總經(jīng)理任命一名信息安全審計師,負責企業(yè)信息安全活動的審計。4)行政部門、業(yè)務(wù)部門和分支機構(gòu)執(zhí)行信息安全管理體系中的相應(yīng)安全政策,并在信息安全管理主管的領(lǐng)導下,實施風險管理計劃。各個部門負責人有義務(wù)向信息安全主管報告所管轄部門的信息安全狀況,信息安全主管應(yīng)定期在組織范圍內(nèi)和向上級機關(guān)報告企業(yè)信息安全狀況。
2、企業(yè)信息安全政策管理
根據(jù)企業(yè)信息安全風險分析的結(jié)果和信息安全政策制定的原則,設(shè)計信息安全政策體系包括以下幾點:(1)企業(yè)信息安全風險管理政策:a)信息安全風險定義,包括風險等級定義和安全類別定義;b)信息安全風險評估執(zhí)行要求,包括時問周期要求、范圍要求、基于事件的風險評估要求:c)信息安全風險評估責任,包括信息安全管理人員責任和業(yè)務(wù)部門責任。(2)企業(yè)信息安全體系管理政策:a)管理體系的規(guī)劃,包括規(guī)劃的時機、規(guī)劃的內(nèi)容、規(guī)劃的依據(jù)、規(guī)劃的責任人:b)管理體系的實施,包括、培訓、執(zhí)行獎懲。c)管理體系的驗證,包括周期管理評審、安全審計、事件評審、殘留風險評估。d)管理體系的改進,包括分析和變更控制。(3)病毒抵御安全政策:a)操作程序一運行網(wǎng)絡(luò)管理人員日常工作的程序。這部分安全政策主要控制的風險是不規(guī)范的管理活動造成無效或低效的管理。b)關(guān)鍵資源監(jiān)控一識別出關(guān)鍵設(shè)備并對關(guān)鍵設(shè)備的運行狀態(tài)進行監(jiān)控。這部分安全政策主要控制的風險是關(guān)鍵資源異常情況不能被及時發(fā)現(xiàn)和處理。c)軟件系統(tǒng)維護一對軟件系統(tǒng)及時地升級和打補丁。這部分安全政策主要控制的風險是軟件系統(tǒng)未及時升級和/或打補丁而造成的信息故障或者安全事故。d)敏感資料存儲一對在業(yè)務(wù)進行過程中產(chǎn)生的敏感信息的存放管理。這部分安全政策主要控制的風險是由于對敏感資料存儲不當導致資料的丟失或泄漏。
3、企業(yè)信息安全事件管理
目前,沒有任何一種具有代表性的信息安全策略或防護措施可對信息、信息系統(tǒng)、服務(wù)或網(wǎng)絡(luò)提供絕對的保護。即使采取了防護措施,仍可能存在殘留的弱點,使得信息安全防護變得無效,從而導致信息安全事件發(fā)生,并對企業(yè)的業(yè)務(wù)運行直接或間接地產(chǎn)生負面影響。此外,以前未被認識到的威脅也將會不可避免地發(fā)生。企業(yè)如果對如何應(yīng)對這些事件沒有作好充分準備,其任何實際響應(yīng)的效率都會大打折扣,甚至還可能增加潛在的業(yè)務(wù)負面影響。因此,企業(yè)應(yīng)著重做好信息安全事件管理工作。信息安全事件管理方案的必企業(yè)應(yīng)著重做好信息安全事件管理工作。信息安全事件管理方案的必要過程包括:(1)發(fā)現(xiàn)和報告發(fā)生的信息安全事態(tài),無論是由企業(yè)人員/顧客引起的還是自動發(fā)生的(如防火墻警報)。(2)收集有關(guān)信息安全事態(tài)的信息,由企業(yè)的運行支持組人員進行評估,確定該事態(tài)屬于信息安全事件還是發(fā)生了誤報。確認該事態(tài)是否屬于信息安全事件,如果是,則立即作出響應(yīng),同時啟動必要的法律取證分析、溝通活動。(3)進行評審以確定該信息安全事件是否處于控制下。(4)如果處于控制下,則啟動任何所需要的進一步的后續(xù)響應(yīng),以確保所有相關(guān)信息準備完畢,供事件解決后評審所用。(5)如果不在控制下,則采取“危機求助”活動并召集相關(guān)人員,如企業(yè)中負責業(yè)務(wù)連續(xù)性的管理者和工作組。(6)在整個階段按要求進行上報,以便進一步評估和決策。(7)確保所有相關(guān)人員,正確記錄所有活動以備后面分析所用。(8)確保對電子證據(jù)進行收集和安全保存,同時確保電子證據(jù)的安全保存得到持續(xù)監(jiān)視,以備法律起訴或內(nèi)部處罰所需。(9)確保包括信息安全事件追蹤和事件報告更新的變更控制制度得到維護,從而使得信息安全事態(tài)/事件數(shù)據(jù)庫保持最新。
4、企業(yè)信息安全技術(shù)管理
我們所構(gòu)建的信息安全管理體系中,不能忽視技術(shù)的作用,雖然只使用技術(shù)控制不能保證一個信息安全環(huán)境,但是在通常情況下,它是信息安全項目的基礎(chǔ)部分。(1)密碼服務(wù)技術(shù)。密碼服務(wù)技術(shù)為密碼的有效應(yīng)用提供技術(shù)支持。通常密碼服務(wù)系統(tǒng)由密碼芯片、密碼模塊、密碼機或軟件,以及密碼服務(wù)接口構(gòu)成。通常,企業(yè)會涉及以下幾個方面的密碼應(yīng)用:數(shù)字證書運算、密鑰加密運算、數(shù)據(jù)傳輸、數(shù)據(jù)儲存、數(shù)字簽名、數(shù)字信封。(2)故障恢復技術(shù)。故障恢復的主要措施有:群集配置,由多臺計算機組成群集結(jié)構(gòu),盡可能消除整個系統(tǒng)可能存在的單點故障;雙機熱備份,在任何一臺設(shè)備失效的情況下,按照預(yù)先定義的規(guī)則快速切換至相應(yīng)的備份設(shè)備,維持業(yè)務(wù)的正常運行;故障恢復管理,由專門的集群軟件進行管理和監(jiān)控,使應(yīng)用系統(tǒng)在任何軟硬件組成單元發(fā)生故障時,能夠根據(jù) 故障情況重新分配任務(wù)。(3)惡意代碼防范技術(shù):惡意代碼防范技術(shù)包括四大系統(tǒng):病毒查殺系統(tǒng)、網(wǎng)關(guān)防毒系統(tǒng)、群件防毒系統(tǒng)、集中管理系統(tǒng)。(4)入侵檢測技術(shù)。入侵檢測系統(tǒng)是實現(xiàn)入侵檢測功能的一系列的軟件、硬件的組合。入侵檢測系統(tǒng)以實時方式監(jiān)測網(wǎng)絡(luò)通信,對其進行分析并實時安全預(yù)警,從而使企業(yè)能夠有效管理內(nèi)部人員和資源,并對外部攻擊進行早期預(yù)警和跟蹤,有效保障系統(tǒng)安全?;谥鳈C的入侵檢測系統(tǒng)通常以系統(tǒng)日志、應(yīng)用程序日志等審計記錄文件作為數(shù)據(jù)源。通過比較這些審計記錄文件與攻擊簽名是否匹配,如果匹配立即報警采取行動.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。它是利用網(wǎng)絡(luò)適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)進行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。(5)掃描與分析技術(shù)。端口掃描工具能識別網(wǎng)絡(luò)上活動的計算機,同樣也可以識別這些計算機上的活動端口和服務(wù)??梢話呙杼囟愋偷挠嬎銠C、協(xié)議和資源,也可進行普遍掃描。漏洞掃描可以掃描網(wǎng)絡(luò)并得到非常詳細的信息。可以識別暴露的用戶名和組,顯示開放的網(wǎng)絡(luò)共享,并暴露配置問題和其他服務(wù)器漏洞。內(nèi)容過濾器也能有效地保護機構(gòu)系統(tǒng),使其不受誤用和無意的拒絕服務(wù)。
5、企業(yè)信息安全培訓的必要性
公司目前很多崗位和部門的員工都從事涉密數(shù)據(jù)相關(guān)工作,有很多數(shù)據(jù)和信息涉及到公司的機密和知識產(chǎn)權(quán),但是大多數(shù)員工信息安全意識差,在平時的工作中在意識上和實際工作中存在很多問題,導致涉密數(shù)據(jù)的外漏,給公司的生產(chǎn)經(jīng)營造成不可挽回的損失。在有管理組織、政策制度和技術(shù)保障的情況下,通過對涉密數(shù)據(jù)相關(guān)工作人員的信息安全意識和信息安全操作培訓是非常必要的。
三、結(jié)語
總之,企業(yè)信息安全管理體系是一個企業(yè)日常經(jīng)營和持續(xù)發(fā)展的基本保證,也是企業(yè)戰(zhàn)略和管理的重要環(huán)節(jié)。建立信息安全管理體系的目的就是降低信息風險對企業(yè)的危害。并將企業(yè)信息系統(tǒng)投資和商業(yè)利益最大化。信息安全不只是個技術(shù)問題,而更多的是商業(yè)、管理和法律問題。實現(xiàn)信息安全不僅僅需要采用技術(shù)措施,還需要更多地借助于技術(shù)以外的其他手段。
參考文獻:
關(guān)鍵詞:電子政務(wù);信息安全;體系管理
中圖分類號:TP309 文獻標識碼:A文章編號:1007-9599 (2011) 20-0000-01
E-government Information Security Management System Construction
Chen Jisheng,Xu Yunpeng
(Shandong Jining Information Center,Jining272017,China)
Abstract:E-government electronic and information technology and management as a combination,just like modern information technology has become the most important areas.It is precisely because of its importance,its information security is to be ignored.This will be its information security management needs analysis,security threats in a bid to build their management and security system to give a systematic exposition.
Keywords:E-government;Information security;System management
所謂電子政務(wù)信息安全管理體系就是依據(jù)電子政務(wù)安全需求,安全威脅來源而建立起來的有效防治安全威脅、保證電子政務(wù)安全有序運行的保障體系。因此要構(gòu)建一個完備的電子政務(wù)安全管理體系就必須對安全威脅有清楚的認識并加之行之有效的管理。
一、電子政務(wù)系統(tǒng)安全需求分析
電子政務(wù)涉及國家秘密信息和高敏感度核心政務(wù),因此有嚴格的安全要求。如嚴格的保密要求,信息準確交換的要求,嚴格的權(quán)限管理要求,嚴格的程序和流程要求。電子政務(wù)內(nèi)部信息網(wǎng)站有著大量高度機密的數(shù)據(jù)和信息,直接涉及政府的核心政務(wù),它關(guān)系到政府部門、各大系統(tǒng)乃至整個國家的利益,有的甚至涉及國家安全。因此,電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題,是電子政務(wù)的職能與優(yōu)勢得以實現(xiàn)的根本前提。如果電子政務(wù)信息安全得不到保障,不僅電子政務(wù)的便利與效率無從保證,更會給國家利益帶來嚴重威脅。
二、電子政務(wù)信息安全威脅
電子政務(wù)信息安全威脅主要來自兩個方面,一是信息安全技術(shù)層面,主要是物理安全威脅,網(wǎng)絡(luò)基礎(chǔ)平臺安全威脅,信息資源層安全威脅,業(yè)務(wù)應(yīng)用層安全威脅等。物理安全威脅主要是物理通路的損壞、物理通路的竊聽、對物理通路的攻擊。網(wǎng)絡(luò)基礎(chǔ)平臺的安全威脅是非法用戶與非授權(quán)客戶的突發(fā)使用,造成網(wǎng)絡(luò)路由錯誤,信息被攔截或監(jiān)聽。而信息資源層安全威脅是主要安全問題,要求保證客戶資料、操作系統(tǒng)訪問控制的安全,同時能夠?qū)υ谠摬僮飨到y(tǒng)上的應(yīng)用進行審計。業(yè)務(wù)應(yīng)用層安全也很容易受到攻擊,應(yīng)用系統(tǒng)直接面向最終用戶,其安全問題最多,包括規(guī)范化操作、合法性使用、系統(tǒng)本身安全漏洞、信息泄露等。二是安全管理方面,也是整個系統(tǒng)的關(guān)鍵。通常存在的管理問題包括管理組織、管理規(guī)范、技術(shù)管理、日常管理等。管理組織不完善、管理規(guī)范未建立、技術(shù)管理不到位、日常管理幾乎空白等。
由于電子政務(wù)對過度開放的網(wǎng)絡(luò)的高度依賴,以及當今電子政務(wù)安全技術(shù)的缺陷導致電子政務(wù)存在來自各方面的安全威脅。因為電子政務(wù)是建立在基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)平臺上,而互聯(lián)網(wǎng)是一個缺少安全管理的開放性平臺,安全隱患特別多,給予網(wǎng)絡(luò)黑客或不法分子可乘之機。對電子政務(wù)的安全威脅還包括網(wǎng)上犯罪、病毒泛濫和蔓延,信息間諜的潛入和竊密,網(wǎng)絡(luò)恐怖集團的攻擊和破壞,網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓,信息安全產(chǎn)品的失控以及信息安全技術(shù)層面的滯后等。
三、構(gòu)建電子政務(wù)信息安全管理體系
根據(jù)上述的需求以及各方面威脅的來源就可以有針對性的建立起電子政務(wù)信息安全管理體系,從而使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)能夠具有保密性、完整性、真實性和可用性。電子政務(wù)信息安全管理體系包括技術(shù)保障體系、管理運營體系、服務(wù)保障體系和基礎(chǔ)設(shè)施平臺。
(一)構(gòu)建技術(shù)保障體系。由于電子政務(wù)的國家性,電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品,全面推動自主研發(fā)和創(chuàng)新這些技術(shù)和產(chǎn)品是電子政務(wù)安全的需要。核心技術(shù)的研發(fā)可以保證在安全保衛(wèi)戰(zhàn)上的主動性。這些核心技術(shù)主要包括數(shù)據(jù)加密技術(shù)、信息隱藏技術(shù)和信息認證技術(shù)。鑒于現(xiàn)今我國技術(shù)水平落后,各地政府部門所用的信息平臺大多屬于國外技術(shù)產(chǎn)品,這更加加大的信息安全的風險。因此加快技術(shù)研發(fā)、技術(shù)產(chǎn)品化及產(chǎn)業(yè)化迫在眉睫。
(二)構(gòu)建管理運營體系。有了行之有效的技術(shù)保障體系后最主要的問題就是管理的跟進啦,構(gòu)建安全管理系統(tǒng)是電子政務(wù)安全進行的重要基礎(chǔ)。從管理體制上落實安全責任制,建立完備的信息安全管理和認證機制。安全管理系統(tǒng)主要包括安全組織,安全策略和制度,安全評估和安全審計等。
1.安全組織。建立安全決策組織、安全指導小組、安全專家小組、安全領(lǐng)導小組,建立網(wǎng)絡(luò)日常管理機構(gòu),建立維護單元等。只有建設(shè)一個國家到省市縱向和橫向各部委、廳局架構(gòu)的安全管理組織,才能真正實現(xiàn)全面的安全等級保護。
2.安全策略和制度。安全的政策和制度也是整個系統(tǒng)的關(guān)鍵部分,電子政務(wù)的安全運行必須以法律法規(guī)形式加以保障。通過加大執(zhí)法力度,嚴格執(zhí)法限制安全威脅。
3.安全評估。安全評估主要是分析潛在威脅,威脅嚴重程度,可能造成的后果,系統(tǒng)應(yīng)對的安全措施等。
4.安全審計。在上述各項的基礎(chǔ)上同時還要定期對各項安全舉措執(zhí)行情況進行達標審查。檢查體系運行情況,并做出下一步工作方向。
(三)建立穩(wěn)定的服務(wù)保障體系。電子政務(wù)發(fā)展進入了以服務(wù)對象為中心的新階段,服務(wù)是電子政務(wù)的出發(fā)點和落腳點,建立安全穩(wěn)定的服務(wù)保障體系則是提供可持續(xù)服務(wù)的基礎(chǔ)。其服務(wù)對象是就是最廣大的人民大眾,基數(shù)龐大,且利益重、影響大,更加大了服務(wù)保障的挑戰(zhàn)性。而現(xiàn)階段我國電子政務(wù)建設(shè)中存在的問題都與缺乏服務(wù)密切相關(guān)。包括重建設(shè)輕應(yīng)用;重內(nèi)部網(wǎng)絡(luò),輕門戶窗口;重投入輕維護;重部門建設(shè),輕跨部門合作;對公眾服務(wù)創(chuàng)新較弱等等。歸根結(jié)底是沒有樹立起以公眾為中心的的服務(wù)意識、態(tài)度和能力。對于服務(wù)體系要進行嚴格的劃分。按服務(wù)對象可分為面向公眾的服務(wù)、面向企業(yè)的服務(wù)、面向組織和部門的服務(wù)。按服務(wù)內(nèi)容的層次又可以劃分為基礎(chǔ)、創(chuàng)新和個性化服務(wù)等,依據(jù)各種類劃分嚴格建立體系相應(yīng)機構(gòu)。
參考文獻:
[1]翟亞紅.淺析信息安全風險評估與等級保護的關(guān)系[J].信息安全與通信保密,2011,4
[2]趙章界,李晨D,劉海峰.信息安全策略開發(fā)的關(guān)鍵問題研究[J].信息網(wǎng)絡(luò)安全,2011,3
論文關(guān)鍵詞:信息系統(tǒng);安全管理;體系
現(xiàn)代金融業(yè)是基于信息、高度計算化、分散、相互依存的產(chǎn)業(yè),有人形象地把信息系統(tǒng)歸結(jié)為銀行業(yè)的“核心資本”。金融信息化帶來的是銀行業(yè)務(wù)信息系統(tǒng)在網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)關(guān)系、角色關(guān)系等方面的復雜化。而越是復雜的系統(tǒng),其安全風險就越高。在系統(tǒng)中每增加一種訪問的方式就增加了一些入侵的機會;每增加一些訪問的人群就引入了一些可能受到惡意破壞的風險。據(jù)2003年一項對全球前500家金融機構(gòu)的安全調(diào)查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受調(diào)查的機構(gòu)承認2002年曾受到一定形式的系統(tǒng)攻擊;美國聯(lián)邦法院2004年所作的一系列有關(guān)信息犯罪的案件中,有多件涉及金融機構(gòu)。這些統(tǒng)計數(shù)字和報道出的事件,只是我們面臨信息系統(tǒng)安全威脅的冰山一角,因此加速建設(shè)金融信息系統(tǒng)中的安全保障體系變得更加緊迫。
長期以來,人們對保障信息系統(tǒng)安全的手段偏重于依靠技術(shù),從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、漏洞掃描、身份認證等等。但事實上,僅僅依靠安全技術(shù)和安全產(chǎn)品保障信息系統(tǒng)安全的愿望卻往往難盡人意,許多復雜、多變的安全威脅和隱患靠安全產(chǎn)品是無法消除的。據(jù)有關(guān)部門統(tǒng)計,在所有的計算機安全事件中,約有52%是人為因素造成的,25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起,技術(shù)錯誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡單歸類,屬于管理方面的原因比重高達6O%以上,而這些安全問題中的95%是可以通過科學的信息安全管理來避免。因此,加強安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證,是金融信息系統(tǒng)安全體系建設(shè)的重點。
1安全管理體系構(gòu)建
信息安全源于有效的管理,使技術(shù)發(fā)揮最佳效果的基礎(chǔ)是要有一定的信息安全管理體系,只有在建立防范的基礎(chǔ)上,加強預(yù)警、監(jiān)控和安全反擊,才能使信息系統(tǒng)的安全維持在一個較高的水平之上。因此,安全管理體系的建設(shè)是確保信息系統(tǒng)安全的重要基礎(chǔ),是金融信息系統(tǒng)安全保障體系建設(shè)最為重要的一環(huán)。為在金融信息系統(tǒng)中建立全新的安全管理機制,最可行的做法是技術(shù)與管理并重,安全管理法規(guī)、措施和制度與整體安全解決方案相結(jié)合,并輔之以相應(yīng)的安全管理工具,構(gòu)建科學、合理的安全管理體系。
金融信息系統(tǒng)安全管理體系是在金融信息系統(tǒng)安全保障整體解決方案基礎(chǔ)上構(gòu)建的,它包括信息安全法規(guī)、措施和制度,安全管理平臺及信息安全培訓和安全隊伍建設(shè),其示意圖如圖1所示。
2安全管理平臺
安全管理平臺是通過采用技術(shù)手段實施金融信息系統(tǒng)安全管理的平臺,它包括安全預(yù)警管理、安全監(jiān)控管理、安全防護與響應(yīng)管理和安全反擊管理。
2.1安全預(yù)警管理
安全預(yù)警管理的功能由預(yù)警系統(tǒng)實現(xiàn),通過該系統(tǒng),可以在安全風險動態(tài)威脅和影響金融信息系統(tǒng)前,事先傳送相關(guān)的警示,讓管理員采取主動式的步驟,在安全風險影響運作前加以攔阻,從而預(yù)防全網(wǎng)業(yè)務(wù)中斷、效能損失或?qū)ζ涔娦抛u造成危害,達到提前保護自己的作用。安全預(yù)警系統(tǒng)通過追蹤最新的攻擊技術(shù),分析威脅信息以辨識出真正潛在的攻擊,迅速響應(yīng)并提供定制化威脅分析及個性化的漏洞和惡意代碼告警服務(wù),幫助降低風險,防患于未然。
2.2安全監(jiān)控管理
通過安全監(jiān)控功能可以實時監(jiān)控金融信息系統(tǒng)的安全態(tài)勢、發(fā)生了哪些攻擊、出現(xiàn)了什么異常、系統(tǒng)存在什么漏洞以及產(chǎn)生了哪些危險日志等,因此安全監(jiān)控功能對于金融信息系統(tǒng)的安全保障體系來說是至關(guān)重要的。
1)基于實時性的安全監(jiān)控。通過在線方式管理金融信息系統(tǒng)中的資源狀態(tài)和實時安全事件,及時關(guān)注IT資源和安全風險的現(xiàn)狀和趨勢,通過實時監(jiān)控來提高系統(tǒng)的安全性和IT資源的效能。
2)基于智能化的安全監(jiān)控。利用智能信息處理技術(shù)對信息網(wǎng)絡(luò)中的各種安全事件進行智能處理,實現(xiàn)報警信息的精煉化,提高報警信息的可用信息量,降低安全設(shè)備的虛警和誤警,從而有效地提高安全保障系統(tǒng)中報警信息的可信度。
3)基于可視化的安全監(jiān)控。通過對安全事件分析過程與分析報告的可視化手段,如圖表/曲線/數(shù)據(jù)表/關(guān)聯(lián)關(guān)系圖等,提供詳細的入侵攻擊信息乃至重現(xiàn)攻擊場景,實現(xiàn)對入侵攻擊行為的追蹤,使得對安全事件的分析更為直觀,從而有效提高安全管理人員對于入侵攻擊的監(jiān)控理解,使安全系統(tǒng)的管理更為有效。
4)基于分布式的安全監(jiān)控。通過系統(tǒng)分布式的多級部署方式,可以實現(xiàn)對金融信息系統(tǒng)內(nèi)各個子系統(tǒng)的監(jiān)控和綜合分析能力,同時對不同安全保護等級的用戶提供相應(yīng)的監(jiān)控界面和信息,從而嚴格滿足其安全等級劃分的用戶級要求。
2.3安全防護與響應(yīng)管理
在金融信息系統(tǒng)的安全系統(tǒng)中由于安全的異構(gòu)屬性,因此會采用不同的安全技術(shù)和不同廠家的安全產(chǎn)品來實現(xiàn)安全防護的目的。通過安全防護與響應(yīng)管理可以及時響應(yīng)和優(yōu)化整個系統(tǒng)安全防護策略;最直接的響應(yīng)就是提供多種方式,如報警燈、窗日、郵件、手機短信等向安全管理員報警,然后日志保存在本地數(shù)據(jù)庫或者異地數(shù)據(jù)庫中。
1)優(yōu)化安全策略分析。通過實時掌握自身的安全態(tài)勢,及各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)和業(yè)務(wù)系統(tǒng)的處理情況,輸出正常和非法個性化的安全策略報表,然后直接通知相應(yīng)的安全管理人員或廠商對其自身策略進行優(yōu)化調(diào)整。
2)動態(tài)響應(yīng)策略調(diào)整。通過對各種安全響應(yīng)協(xié)議的支持,如SNMP、TOPSEC、聯(lián)動協(xié)議等,實現(xiàn)相關(guān)的安全防護技術(shù)策略的自動交互,同時通過專家知識庫能從全局的角度去響應(yīng)安全事件很好地解決安全誤報問題。
3)安全服務(wù)自動協(xié)調(diào)。當智能分析和安全定位功能確認出安全事件或安全故障時,及時調(diào)派安全服務(wù)人員小組(或提供安全服務(wù)的供應(yīng)商)進行相應(yīng)的安全加固防護。
2.4安全反擊管理
安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。
1)安全事件的取證管理。取證在網(wǎng)絡(luò)與信息系統(tǒng)安全事件的調(diào)查中是非常有用的工具,通過對系統(tǒng)安全事件的存儲和分析,實現(xiàn)對安全事件的取證管理,給相關(guān)調(diào)查人員提供安全事件的直接取證。
2)安全事件的追蹤反擊。通過資源狀態(tài)分析、關(guān)聯(lián)分析、專家系統(tǒng)分析等有效手段,檢測到攻擊類型,并定位攻擊源。隨后,系統(tǒng)自動對目標進行掃描,并將掃描結(jié)果告知安全管理員,并提示安全管理員查詢知識庫,從中提取有效手段對攻擊源進行反擊控制。
3安全管理措施建議
在安全管
理技術(shù)手段的基礎(chǔ)上,還要提高安全管理水平。俗話說“三分技術(shù),七分管理”,由于金融信息系統(tǒng)相對比較封閉,對于金融信息系統(tǒng)安全來說,業(yè)務(wù)邏輯和操作規(guī)范的嚴密程度是關(guān)鍵。因此,加強金融信息系統(tǒng)的內(nèi)部安全管理措施,建立領(lǐng)導組織體系,完善落實內(nèi)控制度,強化日常操作管理,是提升安全管理水平的根本。
1)完善安全管理機構(gòu)的建設(shè)。目前,我國已經(jīng)把信息安全提到了促進經(jīng)濟發(fā)展、維護社會穩(wěn)定、保障國家安全、加強精神文明建設(shè)的高度,并提出了“積極防御、綜合防范”的信息安全管理方針,專門成立了網(wǎng)絡(luò)與信息安全領(lǐng)導小組、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC)、中國信息安全產(chǎn)品測評認證中心(簡稱CNITSEC)等,初步建成了國家信息安全組織保障體系。為確保金融信息系統(tǒng)的安全,在金融信息系統(tǒng)內(nèi)部應(yīng)組建安全管理小組(或委員會),安全管理小組制定出符合企業(yè)需要的信息安全管理策略,具體包括安全管理人員的義務(wù)和職責、安全配置管理策略、系統(tǒng)連接安全策略、傳輸安全策略、審計與入侵安全策略、標簽策略、病毒防護策略、安全備份策略、物理安全策略、系統(tǒng)安全評估體系等內(nèi)容。安全管理應(yīng)盡量把各種安全策略要求文檔化和規(guī)范化,以保證安全管理工作具有明確的依據(jù)或參照。
2)在保證信息系統(tǒng)設(shè)備的運行穩(wěn)定可靠和信息系統(tǒng)運行操作的安全可靠的前提下,增加安全機制,如進行安全域劃分,進行有針對性的安全設(shè)備部署和安全策略設(shè)置,以改進對重要區(qū)域的分割防護;增加入侵檢測系統(tǒng)、漏洞掃描、違規(guī)外聯(lián)等安全管理工具,進行定時監(jiān)控、事件管理和鑒定分析,以提高自身的動態(tài)防御能力;完善已有的防病毒系統(tǒng)、增加內(nèi)部信息系統(tǒng)的審計平臺,以便形成對內(nèi)部安全狀況的長期跟蹤和防護能力。
3)制定一系列必須的信息系統(tǒng)安全管理的法律法規(guī)及安全管理標準,狠抓內(nèi)網(wǎng)的用戶管理、行為管理、應(yīng)用管理、內(nèi)容控制以及存儲管理;進一步完善互聯(lián)網(wǎng)應(yīng)急響應(yīng)管理措施,對關(guān)鍵設(shè)施或系統(tǒng)制定好應(yīng)急預(yù)案,并定期更新和測試,全面提高預(yù)案制定水平和處理能力;建立一支“信息安全部隊”,專門負責信息網(wǎng)絡(luò)方面安全保障、安全監(jiān)管、安全應(yīng)急和安全威懾方面的工作。
4)堅持“防內(nèi)為主,內(nèi)外兼防”的方針,加強登錄身份認證,嚴格限制登錄者的操作權(quán)限,充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能,對用戶所訪問的信息進行跟蹤記錄,為系統(tǒng)審計提供依據(jù)。
5)重視和加強信息安全等級保護工作,對金融信息系統(tǒng)中的信息實施一般保護、指導保護、監(jiān)督保護和強制保護策略,尤其對重要信息實施強制保護和強制性認證,以確保金融業(yè)務(wù)信息的安全。
6)加強信息安全管理人才與安全隊伍建設(shè),特別是加大既懂技術(shù)又懂管理的復合型人才的培養(yǎng)力度。通過各種會議、網(wǎng)站、廣播、電視、報紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識,尤其是加強企業(yè)內(nèi)部人員的信息安全知識培訓與教育,提高員工的信息安全自律水平。