公務(wù)員期刊網(wǎng) 精選范文 加強(qiáng)網(wǎng)絡(luò)安全隊(duì)伍建設(shè)范文

加強(qiáng)網(wǎng)絡(luò)安全隊(duì)伍建設(shè)精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的加強(qiáng)網(wǎng)絡(luò)安全隊(duì)伍建設(shè)主題范文,僅供參考,歡迎閱讀并收藏。

加強(qiáng)網(wǎng)絡(luò)安全隊(duì)伍建設(shè)

第1篇:加強(qiáng)網(wǎng)絡(luò)安全隊(duì)伍建設(shè)范文

關(guān)鍵詞:信息安全 防御體系 醫(yī)院信息化管理

中圖分類號(hào):TP316 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-098X(2014)06(a)-0038-01

1 醫(yī)院信息安全現(xiàn)狀分析

1.1 信息安全策略不明確

醫(yī)院信息安全策略工作的不明確,使醫(yī)院對(duì)于信息工作提出了更高的要求。醫(yī)院信息安全工作的建設(shè)并不是那樣的簡(jiǎn)單,有些醫(yī)院只是簡(jiǎn)單的注重各種網(wǎng)絡(luò)安全產(chǎn)品的采購(gòu),但是并沒(méi)有制定信息安全的中、長(zhǎng)期的計(jì)劃,這些醫(yī)院沒(méi)有根據(jù)自己的網(wǎng)絡(luò)安全出現(xiàn)的一些問(wèn)題而采取一些應(yīng)對(duì)措施,也沒(méi)有根據(jù)自己的信息安全目標(biāo)制定符合實(shí)際的安全管理策略。以上現(xiàn)象的出現(xiàn),使醫(yī)院信息安全產(chǎn)品不能發(fā)揮出應(yīng)有的作用,不能得到適當(dāng)?shù)膬?yōu)化和合理的配置。

1.2 計(jì)算機(jī)病毒等危害日益嚴(yán)重

醫(yī)院網(wǎng)絡(luò)安全事件頻繁發(fā)生,直接影響到醫(yī)院活動(dòng)的正常運(yùn)行。據(jù)調(diào)查,網(wǎng)絡(luò)安全問(wèn)題是由病毒泛濫、黑客攻擊、系統(tǒng)漏洞等原因造成的,網(wǎng)絡(luò)安全事件與脆弱的用戶終端和“失控”的網(wǎng)絡(luò)密切相關(guān),用戶終端不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫(kù),或者私設(shè)服務(wù)器、濫用政府禁用軟件、私自訪問(wèn)外部網(wǎng)絡(luò)的現(xiàn)象普遍存在,如果失控的用戶終接入網(wǎng)絡(luò),就會(huì)使?jié)撛诘耐{趁虛而入,并大幅度的擴(kuò)散開來(lái),后果不可想象。想要解決目前醫(yī)院網(wǎng)絡(luò)安全管理問(wèn)題,需要我們保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)和對(duì)用戶的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行有效的控制。這樣,醫(yī)院網(wǎng)絡(luò)安全才可以進(jìn)入可觀局面。

1.3 信息安全意識(shí)不強(qiáng),安全制度不健全

信息安全事件存在多方面的不足,歸結(jié)起來(lái)要么是醫(yī)院未制定安全管理制度,要么制度后實(shí)際卻沒(méi)去實(shí)施。對(duì)于醫(yī)院信息安全問(wèn)題來(lái)說(shuō),醫(yī)院內(nèi)部人員起到很大的作用,但是實(shí)際情況下,醫(yī)院內(nèi)部人員的計(jì)算機(jī)知識(shí)卻相對(duì)薄弱,特別是在信息安全知識(shí)和意識(shí)方面,所以醫(yī)院應(yīng)加強(qiáng)對(duì)內(nèi)部員工安全知識(shí)的培訓(xùn)。

2 構(gòu)建醫(yī)院信息安全及防御體系的措施

目前,想要完成醫(yī)院信息安全的任務(wù),首先要根據(jù)醫(yī)院的實(shí)際狀況出發(fā),制定出相應(yīng)的措施。醫(yī)院信息安全應(yīng)包括安全策略、安全管理和安全技術(shù),只有將這三個(gè)方面的安全措施做好,醫(yī)院信息安全便可取得一定的效果。

2.1 提升信息安全策略

網(wǎng)絡(luò)信息安全需要從管理和技術(shù)兩方面下功夫。網(wǎng)絡(luò)信息安全并不是一個(gè)單一或獨(dú)立的問(wèn)題,在根據(jù)醫(yī)院網(wǎng)絡(luò)信息實(shí)際出現(xiàn)的問(wèn)題采取相對(duì)應(yīng)的措施外,還應(yīng)該嚴(yán)格務(wù)實(shí)的實(shí)施下去,只有這樣可以提高網(wǎng)絡(luò)信息系統(tǒng)安全性。我們?cè)?a href="http://saumg.com/haowen/202293.html" target="_blank">網(wǎng)絡(luò)安全實(shí)施的策略及步驟上應(yīng)包括以下五方面的內(nèi)容: 制定統(tǒng)一的安全策略、購(gòu)買相應(yīng)的安全產(chǎn)品實(shí)施安全保護(hù)、監(jiān)控網(wǎng)絡(luò)安全狀況(遇攻擊時(shí)可采取安全措施)、主動(dòng)測(cè)試網(wǎng)絡(luò)安全隱患、生成網(wǎng)絡(luò)安全總體報(bào)告并改善安全策略。

2.2 完善信息安全管理

從安全管理上,要制定出相對(duì)完善的機(jī)制,遵守并實(shí)施安全管理制度,加強(qiáng)對(duì)醫(yī)院?jiǎn)T工的安全意識(shí)培訓(xùn),引導(dǎo)并督促他們對(duì)安全意識(shí)深入了解,最后還要制定出網(wǎng)絡(luò)安全應(yīng)急方案等。

第一,安全機(jī)構(gòu)建設(shè)。成立專門的信息管理組,并設(shè)立各個(gè)部門及其主要領(lǐng)導(dǎo),每個(gè)部門規(guī)定相應(yīng)的職責(zé),層層推進(jìn),共同實(shí)施信息管理任務(wù)。除此之外,還應(yīng)該及時(shí)的進(jìn)行信息的安全檢查和應(yīng)急安全演練。

第二,安全隊(duì)伍建設(shè)。若想要醫(yī)院信息系統(tǒng)能夠正常有序的運(yùn)行,則需要建立一支較高水平、較高實(shí)力的安全管理隊(duì)伍。安全管理隊(duì)伍可通過(guò)引進(jìn)或則培訓(xùn)等渠道建立。

第三,安全制度建設(shè)。為了確保醫(yī)療工作的正常運(yùn)行,需要建立一套可行的安全制度,其內(nèi)容包括很多方面,比如:系統(tǒng)與數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全、信息安全、物理安全和運(yùn)行安全等等。

2.3 提升醫(yī)院信息安全技術(shù)水平

依據(jù)安全技術(shù)的實(shí)施結(jié)果分析,要針對(duì)檢測(cè)到的安全漏洞,制定出全面且徹底的補(bǔ)救方案與改進(jìn)措施。

(1)冗余技術(shù)。冗余技術(shù)的作用可以實(shí)現(xiàn)網(wǎng)絡(luò)的可靠性,冗余技術(shù)包括:電源冗余、處理器冗余、模塊冗余、設(shè)備冗余、鏈路冗余等。若無(wú)冗余技術(shù)的作用,醫(yī)院信息網(wǎng)絡(luò)就會(huì)就會(huì)出現(xiàn)故障或變化,這樣會(huì)導(dǎo)致醫(yī)院業(yè)務(wù)的瞬間質(zhì)量的惡化甚至內(nèi)部業(yè)務(wù)系統(tǒng)的中斷,并且醫(yī)院信息網(wǎng)絡(luò)作用于整個(gè)醫(yī)院的業(yè)務(wù)系統(tǒng),需要保證網(wǎng)絡(luò)可靠并正常的運(yùn)轉(zhuǎn),這就更需要冗余技術(shù)來(lái)發(fā)揮維持網(wǎng)絡(luò)穩(wěn)定性的作用了。

(2)建立安全的數(shù)據(jù)中心。無(wú)論對(duì)于患者或是醫(yī)院來(lái)說(shuō),醫(yī)院的醫(yī)療數(shù)據(jù)都是非常重要的,但是由于醫(yī)療系統(tǒng)的數(shù)據(jù)類型非常豐富,在對(duì)數(shù)據(jù)的多次讀取的和儲(chǔ)存的同時(shí),難免造成數(shù)據(jù)的丟失,或則被惡意破壞、非法利用等安全問(wèn)題,所以,建立一個(gè)安全的數(shù)據(jù)中心成為必需。一個(gè)安全的數(shù)據(jù)中心具有以下功能:有效的杜絕安全隱患、確保病患的及時(shí)信息交互、保證各個(gè)醫(yī)療系統(tǒng)的健康運(yùn)轉(zhuǎn)和加強(qiáng)醫(yī)療系統(tǒng)的安全等級(jí)。數(shù)據(jù)交換、數(shù)據(jù)庫(kù)、服務(wù)器集群、安全防護(hù)和遠(yuǎn)程優(yōu)化等組件都是融合的醫(yī)療數(shù)據(jù)中心的組成部分。

2.4 安裝安全監(jiān)控系統(tǒng)

想要保持醫(yī)院內(nèi)部的安全策略,安全監(jiān)控系統(tǒng)扮演著非常重要的角色。安全監(jiān)控系統(tǒng)不僅能充分的利用了醫(yī)院現(xiàn)有的網(wǎng)絡(luò)投資,還可以起到監(jiān)督的作用,監(jiān)控各種網(wǎng)絡(luò)行為和操作進(jìn)行,可以隨時(shí)隨地的記錄各個(gè)終端和網(wǎng)絡(luò)設(shè)備的使用狀況,而且還能起到隔離部分被攻擊的組件的作用,

3 結(jié)語(yǔ)

醫(yī)院信息安全并不是一個(gè)簡(jiǎn)單的系統(tǒng),應(yīng)該采取多種有效的技術(shù)手段來(lái)應(yīng)對(duì)不同網(wǎng)絡(luò)威脅,當(dāng)然,也應(yīng)該清醒的認(rèn)識(shí)到不可能把信息安全問(wèn)題徹底解決掉,絕對(duì)安全是不存在的。但是,只要我們把系統(tǒng)合理、安全規(guī)劃,技術(shù)上制定好相應(yīng)的安全防護(hù)措施并認(rèn)真務(wù)實(shí)的執(zhí)行下去,建立一個(gè)將誤差降低最小的安全防護(hù)系統(tǒng),才是我們一直追求的目標(biāo),才能實(shí)現(xiàn)保護(hù)醫(yī)院信息安全的目的。

參考文獻(xiàn)

[1] 魏牧.淺談醫(yī)院信息系統(tǒng)的安全管理[J].科技資訊,2009(8).

[2] 管斌,孫曼凌.淺談醫(yī)院信息管理系統(tǒng)[J].中國(guó)社區(qū)醫(yī)師(綜合版),2007(18).

[3] 黃俊星.現(xiàn)代化醫(yī)院建設(shè)中醫(yī)院信息系統(tǒng)管理的探索[J].江蘇衛(wèi)生事業(yè)管理,2007(1).

第2篇:加強(qiáng)網(wǎng)絡(luò)安全隊(duì)伍建設(shè)范文

關(guān)鍵詞:網(wǎng)絡(luò)安全;風(fēng)險(xiǎn)評(píng)估;安全措施

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2008)06-11012-01

A Survey of Network Security Risk Assessment

CHEN Jun-wei

(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)

Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.

Key words:Network security; risk assessment; security measures

1 引言

頻頻發(fā)生的信息安全事件正在日益引起全球的關(guān)注,列舉的近年來(lái)的網(wǎng)絡(luò)突發(fā)事件,不難發(fā)現(xiàn),強(qiáng)化提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估意識(shí)、強(qiáng)化信息安全保障為當(dāng)務(wù)之急。所謂風(fēng)險(xiǎn)評(píng)估,是指網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù),它的原理是,根據(jù)已知的安全漏洞知識(shí)庫(kù),對(duì)目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告,為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。完成一個(gè)信息安全系統(tǒng)的設(shè)計(jì)與實(shí)施并不足以代表該信息安全事務(wù)的完結(jié)。隨著新技術(shù)、新應(yīng)用的不斷出現(xiàn),以及所導(dǎo)致的信息技術(shù)環(huán)境的轉(zhuǎn)變,信息安全工作人員要不斷地評(píng)估當(dāng)前的安全威脅,并不斷對(duì)當(dāng)前系統(tǒng)中的安全性產(chǎn)生認(rèn)知。

2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀

2.1 風(fēng)險(xiǎn)評(píng)估的必要性

有人說(shuō)安全產(chǎn)品就是保障網(wǎng)絡(luò)安全的基礎(chǔ),但有了安全產(chǎn)品,不等于用戶可以高枕無(wú)憂地應(yīng)用網(wǎng)絡(luò)。產(chǎn)品是沒(méi)有生命的,需要人來(lái)管理與維護(hù),這樣才能最大程度地發(fā)揮其效能。病毒和黑客可謂無(wú)孔不入,時(shí)時(shí)伺機(jī)進(jìn)攻。這就更要求對(duì)安全產(chǎn)品及時(shí)升級(jí),不斷完善,實(shí)時(shí)檢測(cè),不斷補(bǔ)漏。網(wǎng)絡(luò)安全并不是僅僅依靠網(wǎng)絡(luò)安全產(chǎn)品就能解決的,它需要合適的安全體系和合理的安全產(chǎn)品組合,需要根據(jù)網(wǎng)絡(luò)及網(wǎng)絡(luò)用戶的情況和需求規(guī)劃、設(shè)計(jì)和實(shí)施一定的安全策略。通常,在一個(gè)企業(yè)中,對(duì)安全技術(shù)了如指掌的人員不多,大多技術(shù)人員停留在對(duì)安全產(chǎn)品的一般使用上,如果安全系統(tǒng)出現(xiàn)故障或者黑客攻擊引發(fā)網(wǎng)絡(luò)癱瘓,他們將束手無(wú)策。這時(shí)他們需要的是安全服務(wù)。而安全評(píng)估,便是安全服務(wù)的重要前期工作。網(wǎng)絡(luò)信息安全,需要不斷評(píng)估方可安全威脅。

2.2 安全評(píng)估的目標(biāo)、原則及內(nèi)容

安全評(píng)估的目標(biāo)通常包括:確定可能對(duì)資產(chǎn)造成危害的威脅;通過(guò)對(duì)歷史資料和專家的經(jīng)驗(yàn)確定威脅實(shí)施的可能性;對(duì)可能受到威脅影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性,以及相應(yīng)的級(jí)別,確定哪些資產(chǎn)是最重要的;準(zhǔn)確了解企業(yè)網(wǎng)的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀;明晰企業(yè)網(wǎng)的安全需求;制定網(wǎng)絡(luò)和系統(tǒng)的安全策略;制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案;指導(dǎo)企業(yè)網(wǎng)未來(lái)的建設(shè)和投入;通過(guò)項(xiàng)目實(shí)施和培訓(xùn),培養(yǎng)用戶自己的安全隊(duì)伍。而在安全評(píng)估中必須遵循以下原則:標(biāo)準(zhǔn)性原則、可控性原則、整體性原則、最小影響原則、保密性原則。

安全評(píng)估的內(nèi)容包括專業(yè)安全評(píng)估服務(wù)和主機(jī)系統(tǒng)加固服務(wù)。專業(yè)安全評(píng)估服務(wù)對(duì)目標(biāo)系統(tǒng)通過(guò)工具掃描和人工檢查,進(jìn)行專業(yè)安全的技術(shù)評(píng)定,并根據(jù)評(píng)估結(jié)果提供評(píng)估報(bào)告。

目標(biāo)系統(tǒng)主要是主流UNIX及NT系統(tǒng),主流數(shù)據(jù)庫(kù)系統(tǒng),以及主流的網(wǎng)絡(luò)設(shè)備。使用掃描工具對(duì)目標(biāo)系統(tǒng)進(jìn)行掃描,提供原始評(píng)估報(bào)告或由專業(yè)安全工程師提供人工分析報(bào)告?;蚴侨斯z查安全配置檢查、安全機(jī)制檢查、入侵追查及事后取證等內(nèi)容。而主機(jī)系統(tǒng)加固服務(wù)是根據(jù)專業(yè)安全評(píng)估結(jié)果,制定相應(yīng)的系統(tǒng)加固方案,針對(duì)不同目標(biāo)系統(tǒng),通過(guò)打補(bǔ)丁、修改安全配置、增加安全機(jī)制等方法,合理進(jìn)行安全性加強(qiáng)。

系統(tǒng)加固報(bào)告服務(wù)選擇使用該服務(wù)包,必須以選擇ISMR/SSMR/HME服務(wù)包為前提,針對(duì)評(píng)估分析報(bào)告,提出加固報(bào)告。系統(tǒng)加固報(bào)告增強(qiáng)服務(wù)選擇使用該服務(wù)包,必須以選擇ISMR/SSMR/HME服務(wù)包為前提,針對(duì)評(píng)估分析報(bào)告,提出系統(tǒng)加固報(bào)告,并將系統(tǒng)加固報(bào)告、加固步驟、所需補(bǔ)丁程序以光盤形式提交客戶。系統(tǒng)加固實(shí)施服務(wù)選擇使用該服務(wù)包,必須以選擇 ISMR/SSMR/HME服務(wù)包為前提,針對(duì)評(píng)估分析報(bào)告,提出系統(tǒng)加固報(bào)告,并將系統(tǒng)加固報(bào)告、加固步驟、所需補(bǔ)丁程序以光盤形式提交客戶,并由專業(yè)安全工程師實(shí)施加固工作。

3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)

討論安全評(píng)定的前提在于企業(yè)已經(jīng)具有了較為完備的安全策略,這項(xiàng)工作主要檢測(cè)當(dāng)前的安全策略是否被良好的執(zhí)行,從而發(fā)現(xiàn)系統(tǒng)中的不安全因素。當(dāng)前計(jì)算機(jī)世界應(yīng)用的主流網(wǎng)絡(luò)協(xié)議是TCP/IP,而該協(xié)議族并沒(méi)有內(nèi)置任何安全機(jī)制。這意味著基于網(wǎng)絡(luò)的應(yīng)用程序必須被非常好的保護(hù),網(wǎng)絡(luò)安全評(píng)定的主要目標(biāo)就是為修補(bǔ)全部的安全問(wèn)題提供指導(dǎo)。

評(píng)定網(wǎng)絡(luò)安全性的首要工作是了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),拓?fù)涿枋鑫臋n并不總能反映最新的網(wǎng)絡(luò)狀態(tài),進(jìn)行一些實(shí)際的檢測(cè)是非常必要的。最簡(jiǎn)單的,可以通過(guò)Trackroute工具進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn),但是一些網(wǎng)絡(luò)節(jié)點(diǎn)可能會(huì)禁止Trackroute流量的通過(guò)。在了解了網(wǎng)絡(luò)拓?fù)渲?,?yīng)該獲知所有計(jì)算機(jī)的網(wǎng)絡(luò)地址和機(jī)器名。對(duì)于可以訪問(wèn)的計(jì)算機(jī),還應(yīng)該了解其正在運(yùn)行的端口,這可以通過(guò)很多流行的端口發(fā)現(xiàn)工具實(shí)現(xiàn)。當(dāng)對(duì)整個(gè)網(wǎng)絡(luò)的架構(gòu)獲得了足夠的認(rèn)知以后,就可以針對(duì)所運(yùn)行的網(wǎng)絡(luò)協(xié)議和正在使用的端口發(fā)現(xiàn)網(wǎng)絡(luò)層面的安全脆弱點(diǎn)了。通常使用的方法是對(duì)協(xié)議和端口所存在的安全漏洞逐項(xiàng)進(jìn)行測(cè)試。

安全領(lǐng)域的很多專家都提出邊界防御已經(jīng)無(wú)法滿足今天的要求,為了提高安全防御的質(zhì)量,除了在網(wǎng)絡(luò)邊界防范外部攻擊之外,還應(yīng)該在網(wǎng)絡(luò)內(nèi)部對(duì)各種訪問(wèn)進(jìn)行監(jiān)控和管理。企業(yè)組織每天都會(huì)從信息應(yīng)用環(huán)境中獲得大量的數(shù)據(jù),包括系統(tǒng)日志、防火墻日志、入侵檢測(cè)報(bào)警等。是否能夠從這些信息中有效的識(shí)別出安全風(fēng)險(xiǎn),是風(fēng)險(xiǎn)管理中重要一環(huán)。目前的技術(shù)手段主要被應(yīng)用于信息的收集、識(shí)別和分析,也有很多廠商開發(fā)出了整合式的安全信息管理平臺(tái),可以實(shí)現(xiàn)所有系統(tǒng)模塊的信息整合與聯(lián)動(dòng)。

數(shù)據(jù)作為信息系統(tǒng)的核心價(jià)值,被直接攻擊和盜取數(shù)據(jù)將對(duì)用戶產(chǎn)生極大的危害。正因?yàn)槿绱?,?shù)據(jù)系統(tǒng)極易受到攻擊。對(duì)數(shù)據(jù)庫(kù)平臺(tái)來(lái)說(shuō),應(yīng)該驗(yàn)證是否能夠從遠(yuǎn)程進(jìn)行訪問(wèn),是否存在默認(rèn)用戶名密碼,密碼的強(qiáng)度是否達(dá)到策略要求等。而除了數(shù)據(jù)庫(kù)平臺(tái)之外,數(shù)據(jù)管理機(jī)制也應(yīng)該被仔細(xì)評(píng)估。不同級(jí)別的備份措施乃至完整的災(zāi)難備份機(jī)制都應(yīng)該進(jìn)行有效的驗(yàn)證,不但要檢驗(yàn)其是否存在安全問(wèn)題,還要確認(rèn)其有效性。大部分?jǐn)?shù)據(jù)管理產(chǎn)品都附帶了足夠的功能進(jìn)行安全設(shè)定和數(shù)據(jù)驗(yàn)證,利用這些功能可以很好的完成安全評(píng)定工作并有效的與安全策略管理相集成。攻擊者的一個(gè)非常重要目的在于無(wú)需授權(quán)訪問(wèn)某些應(yīng)用,而這往往是獲得系統(tǒng)權(quán)限和數(shù)據(jù)的跳板。事實(shí)上大部分的安全漏洞都來(lái)自于應(yīng)用層面,這使得應(yīng)用程序的安全評(píng)定成為整個(gè)工作體系中相當(dāng)重要的一個(gè)部分。與更加規(guī)程化的面向體系底層的安全評(píng)定相比,應(yīng)用安全評(píng)定需要工作人員具有豐富的安全知識(shí)和堅(jiān)實(shí)的技術(shù)技能。

4 結(jié)束語(yǔ)

目前我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作,在測(cè)試數(shù)據(jù)采集和處理方面缺乏實(shí)用的技術(shù)和工具的支持,已經(jīng)成為制約我國(guó)風(fēng)險(xiǎn)評(píng)估水平的重要因素。需要研究用于評(píng)價(jià)信息安全評(píng)估效用的理論和方法,總結(jié)出一套適用于我國(guó)國(guó)情的信息安全效用評(píng)價(jià)體系,以保證信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果準(zhǔn)確可靠,可以為風(fēng)險(xiǎn)管理活動(dòng)提供有價(jià)值的參考;加強(qiáng)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估隊(duì)伍建設(shè),促使我國(guó)信息安全評(píng)估水平得到持續(xù)改進(jìn)。

參考文獻(xiàn):

[1] 陳曉蘇,朱國(guó)勝,肖道舉.TCP/IP協(xié)議族的安全架構(gòu)[N].華中科技大學(xué)學(xué)報(bào),2001,32-34.

[2] 賈穎禾.國(guó)務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組.信息安全風(fēng)險(xiǎn)評(píng)估[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004(7),21-24.

[3] 劉恒,信息安全風(fēng)險(xiǎn)評(píng)估挑戰(zhàn)[R],信息安全風(fēng)險(xiǎn)評(píng)估與信息安全保障體系建設(shè)研討會(huì),2004.10.12.

[4] [美]Thomas A Wadlow.網(wǎng)絡(luò)安全實(shí)施方法.瀟湘工作室譯.北京:人民郵電出版社,2000.

[5] 張衛(wèi)清,王以群.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化[J].情報(bào)雜志,2006(1),40-45

[6] 趙戰(zhàn)生,信息安全風(fēng)險(xiǎn)評(píng)估[R],第全國(guó)計(jì)算機(jī)學(xué)術(shù)交流會(huì),2004.7.3.

第3篇:加強(qiáng)網(wǎng)絡(luò)安全隊(duì)伍建設(shè)范文

論文關(guān)鍵詞:金觸信息系統(tǒng)風(fēng)險(xiǎn)隱患防范措施

隨著,國(guó)金融電子化建設(shè)的不斷深人,電子化、網(wǎng)絡(luò)化、集約化已經(jīng)成為金融業(yè)信息化發(fā)展的大趨勢(shì),電子計(jì)算機(jī)及信息技術(shù)的應(yīng)用已經(jīng)滲透到金融業(yè)經(jīng)營(yíng)的各個(gè)層面,成為了金融業(yè)務(wù)開展的基礎(chǔ),現(xiàn)代金融就是“貨幣+信息”。金融信息化系統(tǒng)安全的重要性也與日俱增,成為金融業(yè)經(jīng)營(yíng)管理工作中的頭等大事。本文就當(dāng)前金融信息系統(tǒng)風(fēng)險(xiǎn)隱患的成因進(jìn)行剖析并提出對(duì)策措施。

一、金融信息風(fēng)險(xiǎn)成因

1.系統(tǒng)運(yùn)行環(huán)境的不安全。一是操作系統(tǒng)平臺(tái)的漏洞。金融信息系統(tǒng)主要是基于UNIX.Windows,SUN等系統(tǒng)平臺(tái)設(shè)計(jì)的,而這些操作系統(tǒng),安全級(jí)別較差,存在著安全漏洞,如系統(tǒng)崩潰漏洞、拒絕服務(wù)攻擊漏洞、緩沖區(qū)溢出漏洞等,都能導(dǎo)致系統(tǒng)的癱瘓。二數(shù)據(jù)庫(kù)管理系統(tǒng)的缺陷。數(shù)據(jù)管理系統(tǒng)是信息系統(tǒng)的基礎(chǔ),必須與操作系統(tǒng)的安全配套,但這無(wú)疑是一個(gè)先天不足。三是網(wǎng)絡(luò)協(xié)議安全的脆弱。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)大都使用TCPIIP協(xié)議,傳統(tǒng)的FTP,E-MAIL等服務(wù)都包含著影響金融信息安全的因素,存在著漏洞,容易被攻擊,直接威脅到金融信息系統(tǒng)的安全。

2.信息系統(tǒng)設(shè)計(jì)不完善。近幾年,金融信息系統(tǒng)不斷開發(fā)出來(lái)和投人運(yùn)用,創(chuàng)新了金融工具和金融業(yè)務(wù),但由于有的系統(tǒng)在開發(fā)中,片面注重科技創(chuàng)新追求快出成果,對(duì)安全的認(rèn)知程度不高,缺少風(fēng)險(xiǎn)管理概念,忽視了系統(tǒng)的有效性和安全性,系統(tǒng)沒(méi)有統(tǒng)一的安全標(biāo)準(zhǔn),功能單一、容災(zāi)、容錯(cuò)能力弱,應(yīng)用效果差,沒(méi)有發(fā)揮應(yīng)有的作用,造成信息資源的浪費(fèi)。

3.安全系統(tǒng)建設(shè)缺乏整體性。根據(jù)木桶理論,金融信息系統(tǒng)的整體安全性,取決于安全系統(tǒng)的最薄弱環(huán)節(jié),而當(dāng)前安全系統(tǒng)只重視單一或幾個(gè)安全產(chǎn)品的部署,網(wǎng)絡(luò)安全產(chǎn)品仍然是在以“點(diǎn)”發(fā)展,停留在訪問(wèn)控制、病毒掃描、內(nèi)容過(guò)濾等方面,而忽視整體安全系統(tǒng)建設(shè)。

4.安全隊(duì)伍建設(shè)和員工安全意識(shí)教育不到位。高素質(zhì)的安全管理人員的缺乏嚴(yán)重地影響了計(jì)算機(jī)信息系統(tǒng)安全措施的有效落實(shí)。就當(dāng)前情況來(lái)看,金融機(jī)構(gòu)安全管理人員大都是由計(jì)算機(jī)工程技術(shù)人員兼任,他們既是電子化工程項(xiàng)目的建設(shè)者、管理者,也是信息安全的管理者,集電子化建設(shè)和信息安全管理于一身,職責(zé)不明,責(zé)任不清,不能有效地對(duì)安全現(xiàn)狀進(jìn)行真實(shí)、客觀的評(píng)估和審計(jì)。

5.安全防范措施不力,內(nèi)部控制不產(chǎn)。落后的管理也使計(jì)算機(jī)安全工作大打折扣。據(jù)統(tǒng)計(jì)我國(guó)銀行業(yè)的IT投人有59%花費(fèi)在了硬件設(shè)施上,軟件投人所占比例為23%,管理服務(wù)上的投人少,只有18%,這與國(guó)外銀行業(yè)的IT投人比例形成了鮮明的對(duì)比。落后的管理也使計(jì)算機(jī)安全工作大打折扣。從已經(jīng)發(fā)生過(guò)的金融計(jì)算機(jī)犯罪事例來(lái)看,大多數(shù)問(wèn)題出在疏于檢查、放松管理上。據(jù)有關(guān)部門統(tǒng)計(jì),我國(guó)銀行系統(tǒng)發(fā)生的計(jì)算機(jī)犯罪案件,85%來(lái)自內(nèi)部人員或內(nèi)外勾結(jié)作案。

二、構(gòu)建安全的金觸信息系統(tǒng)

1.樹立正確的信息安全觀。從金融管理機(jī)構(gòu)到金融機(jī)構(gòu)、從金融管理層到基層員工都要高度重視金融信息安全,清醒的認(rèn)識(shí)到加強(qiáng)金融信息安全的根本是保障金融業(yè)務(wù)的連續(xù)性、是促進(jìn)金融的可持續(xù)發(fā)展,有效的金融信息安全管理策應(yīng)對(duì)企業(yè)的財(cái)務(wù)狀況,現(xiàn)金流量等進(jìn)行分析。一是資產(chǎn)負(fù)債結(jié)構(gòu)。分析受評(píng)企業(yè)負(fù)債水平與債務(wù)結(jié)構(gòu)有助于了解管理層理財(cái)策略(如債務(wù)到期安排,企業(yè)償付能力等)。此外,企業(yè)的融資租賃、未決訴訟中的負(fù)債項(xiàng)目也會(huì)影響評(píng)級(jí)結(jié)果;二是盈利能力。通過(guò)對(duì)銷售利潤(rùn)率、凈值報(bào)酬率、總資產(chǎn)報(bào)酬率等指標(biāo)衡量;三是現(xiàn)金流量充足性?,F(xiàn)金流量是衡量受評(píng)企業(yè)償債能力的核心指標(biāo)。凈現(xiàn)金流量、留存現(xiàn)金流量和自由現(xiàn)金流量與到期總債務(wù)的比率,基本可以反映受評(píng)企業(yè)營(yíng)運(yùn)現(xiàn)金對(duì)債務(wù)的保障程度;四是資產(chǎn)流動(dòng)性。主要考察企業(yè)流動(dòng)資產(chǎn)與長(zhǎng)期資產(chǎn)的比例結(jié)構(gòu)。同時(shí),通過(guò)存貨周轉(zhuǎn)率、應(yīng)收賬款周轉(zhuǎn)率等指標(biāo)反映流動(dòng)資產(chǎn)轉(zhuǎn)化為現(xiàn)金的速度,以評(píng)估企業(yè)償債能力的高低。

為了能準(zhǔn)確地考察借款人的償債能力,非財(cái)務(wù)因素對(duì)于借款人的影響也是不可忽視的。非財(cái)務(wù)因素主要指借款人所處的行業(yè)、經(jīng)營(yíng)特征、管理方式、還款意愿以及其他一些因素。

上述模型考慮了企業(yè)自身的內(nèi)部組織結(jié)構(gòu),經(jīng)營(yíng)方式的不同給銀行在實(shí)際貸款時(shí)可能帶來(lái)的不同程度風(fēng)險(xiǎn)。該模型對(duì)各因素的內(nèi)容作了具體描述,對(duì)風(fēng)險(xiǎn)的程度劃分詳細(xì),便于操作。在深層次的信用評(píng)級(jí)中,還應(yīng)考慮相關(guān)的實(shí)際因素如行業(yè)風(fēng)險(xiǎn)、業(yè)務(wù)風(fēng)險(xiǎn)等對(duì)企業(yè)信用的影響。