信息安全管理策略范文
发布时间:2023-10-10 17:14:49
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇信息安全管理策略范例,将为您的写作提供有力的支持和灵感!
篇1
1.1 管理者的安全意识不强
档案信息化水平不断提升,这也使档案信息安全问题越来越突出。当前很多档案管理人员对于档案信息安全的重要性和紧迫性缺乏有效的认知,特别是当前档案网站安全、计算机系统安全等问题普遍得不到重视。由于档案管理者对数字档案信息安全意识缺乏,这也导致普遍民众对数字档案信息的安全问题更是一无所知。很大一部分档案管理人员在日常工作中都没有意识到数字档案存在的安全隐患,这些数字档案信息可能随时消失不见,对风险缺乏有效的认知,这也造成数字档案信息安全问题始终存在,这对于数字档案信息安全管理工作带来了较大的挑战和难度。
1.2 数字档案信息安全管理技术滞后
随着信息技术的快速发展,数字档案档案安全技术也紧跟信息技术发展步伐取得了较快的发展,但在发展过程中存在着技术层面专业问题的制约,这就导致数字档案信息安全管理技术相对滞后。在实际工作中,往往都是档案信息安全问题出现后,数字档案信息安全技术才能针对出现的问题进行改进,从而取得技术上的发展。即在数字档案信息管理工作中,安全隐患一直存在,风险一直管观存在,数字档案信息安全时刻受到威胁,因此要??际工作中需要有效的降低风险,即应用数字档案信息安全技术来将风险降至最低水平。
1.3 数字档案信息安全管理制度不完善
现今我国在数字档案信息安全领域的制度不够健全,所以才会在实际的数字档案信息安全管理中出现许多纰漏。由于数字信息安全管理制度的残缺导致我国的数字档案信息安全管理水平普遍偏低。从实际出发,我国大部分的档案管理部门都制定了相应的数字档案信息管理制度,许多制度都是为了应付检查才制定的,相互抄袭的情况比较多,这样的情况就会造成所制定的制度并不能与实际的数字档案信息安全管理工作相匹配。对实际的数字档案信息安全管理工作起不到任何制约与指导作用,甚至可能造成安全隐患给数字档案信息安全管理工作带来不必要的麻烦。
2 加强数字档案信息安全管理的策略分析
2.1 加强对工作人员的培训,树立安全防范意识
随着档案信息化的不断发展,档案数字化全面普及率已成为档案工作发展的必然趋势。为了能够更好的提高数字档案信息管理的安全,需要遵循以人为本原则,重视档案管理人员的培训工作,努力提高档案管理人员的专业技能。在具体培训过程中,要加强对档案管理人员信息安全知识的讲解,使档案管理人员树立安全防范意识,认识到数字档案安全管理的重要性,并能够在实际工作中利用安全技术来维护数字档案信息的安全。培训过程中还要重视档案管理人员计算机技术水平的提升,这样在实际工作中才能更熟练的应用档案管理系统,提高档案管理系统的先进性,从而更好的实现对数字档案信息的有效管理。
2.2 提高重要信息的加密性和计算机的安全性
网络环境的不安全会影响数字档案信息的安全性,因此要加大对网络环境的保护力度,提高计算机环境的安全性。为防止重要信息被黑客入侵盗取,要加强对信息的加密保护,保证数字档案信息的保密性,在网络层能够安全、自由的传递,特别是对带有密级的数字档案信息系统,更应该加强文件的加密保护能力,保护重要的档案信息。对计算机要定期的清理,防止留下的浏览记录被别有用心的人利用,可能会从中得到很多私人信息,提高计算机系统的安全性。因此在计算机上必然安全可靠的杀毒软件和防火墙,做好安全防范工作,降低计算机系统受到病毒破坏及黑客攻击的可能性,提高计算机系统的安全水平。同时档案管理人员还要熟练应用计算机软件,并定期对病毒库进行更新,强化计算机系统的安全防范,有效的提高数字档案信息的安全性和可靠性。
2.3 健全数字档案信息安全管理制度与法律
篇2
【关键词】数字化 档案管理 信息安全管理 策略
档案管理是社会发展中的一项重要工作,对各领域发展起着不容忽视的作用。随着网络和信息技术的发展,数字化程度不断加深,档案管理工作要取得发展也必须对管理方法进行创新,采用数字化档案管理方法,来全面提高了档案管理的效率。但与此同时,信息安全是其中的一个关键点,必须加以重视,并开展有效研究和改善,才能保证我国数字化档案管理得到更好的发展。
一、数字化档案
随着科技的发展,计算机逐渐进入到各行各业的工作中,可以说现在人们的工作与生活离不开计算机。有了计算机的帮助,现今人们的工作更加的方便,就管理档案而言,原有的纸质版的档案虽可以完好的保存信息,但是,其存在难以保存,难以查找,占用空间等等问题,所以为了改善这种状况,现今的档案管理多向数字化转变。数字化档案的管理方式可以说是在现有技术的基础上发展而来的,应用计算机网络将原有的纸质版的档案进行保存,不可否认数字化档案是存在一定的优势的,因为现在的数字化档案更加容易保存,更加节省空间,也更加容易保管。数字化档案是一种新型的档案信息形态,它运用诸多技术,如计算机技术,扫描技术,数据库技术等等,将档案信息进行存档处理与保存。但是数字化档案技术虽然方便,仍然存在着一定的安全问题,尚需改善这些问题。
二、实施数字化档案信息安全管理的意义
在我国现代社会科技技术手段不断发展的过程中,对档案信息管理也不再拘泥于传统的管理模式,而是随着社会需求对档案信息管理做出了合理的更新。目前数字化档案管理在我国社会上也取得非常广泛的应用,其自身不仅仅能够为档案管理人员带砗艽蟊憷,而且对档案数据准确性提升也起到非常重要的作用。但是在数字化档案管理模式发展过程中还存在一定信息安全问题,针对于此就需要对整个档案信息管理的安全性进行深入研究,对其中存在的问题提出有效的解决策略,从根本的角度上促使数字化档案管理得到更好的发展。
在对数字化档案实施信息安全管理的过程中,不仅仅需要对管理手段起到高度重视,还需要对在管理过程中涉及的技术手段有一个全面的了解,只有这样才能更好的实现信息档案安全管理。在实施管理之前还需要制定合理的保障体系,这样对有效提升档案管理各个环节的合理性起到不可忽视的作用。在信息保障体制实施的时候还需要对各个环节涉及的安全信息有一个全面的了解,更好的实现信息安全运行。在进行数字化档案信息安全管理的过程中,需要技术人员的参与,因此还需要对整个过程中技术人员自身职业素养做出合理提升,从而提升技术人员自身工作效率,有效促使数字化档案信息安全管理得到更好的发展。
三、数字化档案的信息安全管理策略
(一)构建完善的管理制度
想要解决数字化档案管理中存在的信息安全问题,首先要做的就是构建完善的管理制度,在构建制度过程中,应该综合考虑所有的因素,并建立相应的岗位安全考核制度以及培训制度等;其次,应该对已经保存的数字信息进行加密处理,将一些重要的信息进行加密处理,并通过脱机的方式进行保存。这样可以提高数字信息的安全等级,防止数字信息被不法分子窃取;再次,应该从系统运行方面入手,对机房的出入人员进行控制,对机房环境进行有效的管理,同时还应该做好电磁波防护等相应工作;最后,应该设置管理权限、操作权限等相关的权限管理系统,这样只能是由规定的人员进行管理工作,同时还可以从中查看到进行管理的人员,这样一方面可以降低数字信息被窃取的危险,另一方面若是出现问题可以在第一时间内找到负责人员,从而降低工作人员篡改数据信息这一情况出现的概率。
(二)加强数字化档案宏观管理
想要提高数字化档案管理的信息安全,就应该加强宏观管理。宏观管理是一项对技术以及专业等要求比较高的工作,在开展此工作的过程中,领导的思想应该是统一的,而且还应该针对宏观调控工作设置相应的组织机构,通过明确的分工来有效开展宏观管理,进而发挥管理工作的作用,提高数字化档案信息安全性。
(三)计算机安全管理
数字化档案信息管理存在不安全因素和计算机出现故障有着密切的联系,所以相关人员必须保证计算机的正常运行,尽可能减少计算机出现故障的概率。工作人员应该针对工作需求来选择合适的计算机硬件以及软件,在使用过程中需要按照规定流程使用,同时还应该对硬件的兼容性进行审核,从而避免数据信息丢失。与此同时,还应该定期地更新软件,保持软件与时俱进,这样才能有效地保证信息安全,进而发挥数字化档案信息管理的优势,为相关部门的发展提供有力依据。
(四)提高数字化档案管理人员的素质
档案管理的工作人员是档案管理的执行者,员工的工作水平对于数字化档案管理的管理效率有着直接的影响,因此,提高数字化档案管理人员的素质是非常有必要的。想要促使管理人员做好管理工作,应该让管理人员具备以下几点素质:第一,要了解管理方面的专业知识,对于数字化档案管理有一定的认知,在工作中能够具备较强的安全管理意识,这样将安全管理工作落到实处;第二,管理人员要掌握计算机技术,能够熟练地使用计算机,在利用计算机开展数字化档案管理的过程中能够做到得心应手,这样才能用计算机有效的开展安全管理。员工想要更好地开展数字化档案信息安全管理工作,就要具有这二方面的能力,只有这样才能做好安全管理工作,进而发挥数字化档案管理的作用。
四、结语
总之,档案数字化是档案管理的必然趋势,要充分发挥档案管理的作用就要将维护档案信息安全作为一个重点工作来抓,结合数字化档案信息系统的实际运行特点,通过制度的完善、人员素质提升及宏观管理和计算机安全管理等措施实施,来促进我国档案数字化安全性的提升,促进档案管理工作整体发展。
篇3
虽然国际互联网最早起源上个世纪八十年代,并在90年代末进入高速发展的时期,但由于技术和设备的引入受到美国的限制,导致我国一直到1994年才得以引入。迄今为止的20年间,我国的计算机信息网络技术得到了巨大的发展,很大程度的改变了我国居民的生活和工作模式,给生产力的发展带来巨大的推动作用。然而,信息网络环境的复杂性、多变性以及脆弱性等特点却注定其是一把双刃剑,在产生巨大推动力的同时也带来了许多的安全问题,造成许多不良的社会影响,甚至是国民经济损失。这主要是由于我国在信息技术上的发展时间还不够长,在长足的发展中并没有形成对于信息安全管理的足够认识,在没有足够预警措施的背景下,保护网络信息安全是一项必须尽快施行的重要措施。
一、我国的信息安全现状
1.缺少法律体系的约束。
法律才是保障人民和国家利益的根本所在,才是保障信息安全的基本防线。我国的法律体系主要是由法律、行政法规以及规章等三层面的规定构成,信息行业作为一个新兴的行业,而且其涉及内容、影响范围以及运行模式都在不断的变化和革新,因此我国虽然对信息安全进行相关的立法保护,但是仍有不少法律没有涉及的部分,甚至原有的法律无法对新出现的信息板块进行约束。除此之外,我国的信息安全法律体系还存在一定的内容交叉问题,导致执法困境的现象,最终阻碍了我国法律对于信息安全的保护。
2.缺少严密的管理措施。
信息安全的管理是一个系统的工程,其包括了事前的教育培训和系统评估认证,还有预期懂的安全规划,事中的风险管理和应急措施,以及事后的总结和规划,各个内容之间存在明确的管理和责任。然而我国并没有在这个问题上进行详细的约定和规范,导致多头管理和权责交叉的现象出现,阻碍的信息安全管理效益,信息安全的保障机制不能高效运行。
3.缺乏信息安全意识。
信息安全不仅仅是制度和法律的保障,更多的应当是来自于每一个人在每一个层次上进行安全保护。然而大多数人都没有形成对于信息安全的足够认识,违规操作和风险运行的事件时有发生,极大的危害了信息安全的管理工作。这一方面说明了操作主体缺乏安全意识,另一方面也说明了主体没有受到相关的教育和培训。
4.忽略了技术和管理的重要性。
据不规则统计,大多数的安全问题都是由于操作技术和管理模式的缘故。尤其是现阶段,我国的企业发展十分迅速,也对信息部门有了一定的认识,然而却并源于投入更多的人力和物力来保障信息安全,往往会出现安全系统过时、技术人员能力不足或是身兼数职等现象,对信息安全的管理工作造成了极大的安全隐患。
二、信息安全的主要特点
1.趋利性。
近几年已经网络信息安全事件的多发期,由于互联网金融的发展,巨大的经济利益和信息网络联系在一起,引起不法分子的主义,这也从另一方面说明了信息安全的威胁主要是利益引发的,因此,这要求我国人民在进行经济利益相关的信息操作时需要更加的小心和细致。
2.多样性。
系统安全技术经过多年的病毒洗礼之后已经有了大幅度的提升,然而,不法分子对于病毒形式也有了更多的研究。各式各样的病毒软件被研发出来,对PC和移动终端造成了巨大的影响,过去常用的电子邮件病毒已经渐渐被遗忘,更多种类的病毒危害着用户的信息安全。
3.漏洞多发性。
信息安全事故的发生虽然有一部分来自于不当操作,但也不排除来自安全漏洞的原因。往往是由于用户没有对系统进行及时的更新,也没有对安全技术懂的革新引起足够的重视,造成漏洞信心安全事故问题居高不下。
三、防反信息安全风险的策略
1.构建并完善信息安全管理制度。
要保障信息的安全就必须建立完善的信息安全管理制度,进行统一规划和分工,保障各部门、更阶层甚至每个个体都各司其职,分工合作。其次,还需要保障管理的高效性,防止多头控制和协调不力的现象出现,保障权责统一。然后还需要在各省市甚至各县城都建立基层保护体制,维护各地区人民的信息安全利益。建立完善的监管合作机制,将政府、机构甚至个人联合起来,建立内外结合的安全管理体系,将信息安全落到实处。
2.强化信息安全法律体系的完善工作。
法律的建立和完善才是信息安全保护机制中最重要的组成部分,这对我国的法律法规建设工作提出了较高的要求。首先,我国政府应该加快对于信息安全管理的法律法规建设速度,对于相关的技术人员和执法人员团队的建设应当将职业意识和职业能力同时纳入考核体系,只有健全职业意识才能在执法过程中实现对于法律的执行,保障人民懂的根本利益。同时,各有关管理机构和部门也应当积极配合,主动协调,在履行自身义务的基础上也要把本职工作做好,对于信息安全管理工作贡献自身的一份力量。除此之外,法律的维护和执行需要社会各阶层的自觉维护,不仅仅是政府和机关,更包括各阶层的社会团体和个人,信息网络环境的安全需要大家集体来护卫。
3.加大信息安全违法犯罪的打击力度。
近年来,在网络违法犯罪的问题上,我国做出了巨大的努力,虽然取得了巨大的成就,但随着信息技术的不断更新换代,网络信息安全违法的形式变得越来越多样化。这要求,我国执法机关和部门在健全法律执行范围的基础,在打击力度上也要进一步强化,提高对于网络信息犯罪的预防、处理和控制等方面的能力,也要在信息安全的自我保护上多进行培训和教育,提高个体和群体对于信息安全技术和系统的认识和运行能力。最终,实现防治结合。
4.加大政策扶持,维系良好的信息安全环境。
首先要加强对于信息安全工作的扶持力度。例如:政府需要建立转型资金付出计划,帮助相关的部门和机关进行公益性和公共性的信息安全系统建设和技术普及工作,联合各相关企业进行技术研发和技术培训,明确各自对于信息安全的需求和期望,建立适合自身现状和发展的信息安全管理体系。其次是加强对于相关安全技术管理的人才培养。督促相关的教育机构强化对于社会信息安全管理的需求了解工作,切实调整自身的发展步伐,迎合市场需求,发展自身教育计划,建立专门的信息安全学习和进行机制,加快信息安全人才培养,发挥人才所产生的保护效益。
四、结语
信息网络是一把“双刃剑”,其在推动社会生产和人们生活方式发展的同时也带来了巨大的安全隐患。因此,人们在享受这种社会科技利益的同时,也要注意使用所引发的信息安全事故。因为,只有在安全条件下的运营才会给人们带来发展和效益增长。虽然现阶段已经有越来越多的人意识网络信息安全问题的重要性,不仅仅是政府和相关技术人员,更在不少的普通居民心中引起了足够的重视。只要坚定在党的领导,加强信息安全法律体系的构建,推动信息安全管理机制的建立,进一步强化对于安全信息的认识培训,推动我国信息安全产业的高速发展,我们就一定有信心在我国的网络发展中保障信息安全,维护国家和人民的利益。
参考文献:
[1]杨珂.浅谈网络信息安全现状[J].数字技术与应用,2013,02:172.
[2]薛鹏.信息安全的发展综述研究[J].华东师范大学学报(自然科学版),2015,S1:180-184.
[3]王世伟.论信息安全、网络安全、网络空间安全[J].中国图书馆学报,2015,02:72-84.
篇4
1数字电视网络安全管理的重要性
近年来社会上出现许多不法分子利用非法手段取得外网连接的机会推送非法内容,给人们造成了极大地影响更加破坏了数字电视安全播出。他们利用服务器配置上的漏洞以此控制服务器为了更加直接的传送非法内容,也有利用远程仓库管理材料技术维护平台等侵入网络连接来推送非法内容。有效防止设备的安全信息不受影响,设备安全包括几个方面:①机顶盒接收存在缺陷会导致显示菜单、广告、广播、节目指南等信息出现多次显示和缓存,更严重的会导致重启也无法清除,这样会使非法推送信息长时间停留。②随着经济全球化越来越多的人们会选择进口设备。因为进口设备在技术上,性能上,以及稳定性相对于国产都表现出明显的优势。但是过于依赖进口设备就会造成维护管理等相关问题,当备份不足,可能会直接导致设备出现死机并且无法快速的恢复运行。③由于一些软件本身存在漏洞或是操作不良比如U盘。在接受系统时候带来木马或是病毒这样就会对信息安全造成极大的安全隐患。为了广大群众能享受到更高的电视图像,网络安全必须增大维护力度定期检查,第一时间发现问题解决问题,并且要提升管理团队的综合素质,使老百姓享受到更好的服务体验。
2电视网络安全具体管理工作原则
2.1播出内容的安全保障
广播电视之所以受欢迎,是因为它丰富多彩的节目类型满足了人们日常的娱乐生活也可以及时传递各种方面的信息。所以把控节目内容的安全成为了安全管理的首要任务。确保选材的舆论方向,要将选材放的长远一些并且具有可靠性,可以结合当地的文化进行传播和宣传,最好能兼具教育意义。其次在后期制作节目的过程中要注重细节,将节目质量达到最优的状态。最后在制作节目完成后一定要认真审核,严格按照要求确认健康绿色后再进行播出。
2.2做好日常检查确保节目信号稳定
做好日常安全检测。作为管理人员要对设备材料同意采购合格的材料才能进入,降低或是杜绝故障的发生。信号检测的工作,因为数字电视信号影响是多种因素造成的。所以定期检查维护与日常故障处理是保证节目信号稳定重要的两个部分。
2.3加强管理人员提升团队素养
数字电视在不断发展过程中,需要相关专业高素质从业人员进行操作与管理。在维护管理过程中需要是科学、高效、成熟的管理制度作为基础,所以需要根据实际情况制定一套严格的规章制度。其次要提高招聘门槛招聘一些在设备维修、系统维护等专业化人才,优化人力资源的相关配置。对现有的员工则需要进行定期培训,及时补充专业化知识来丰富老员工从而成就高标准管理团队。新老员工一定要严格按照规章制度按照流程进行各项工作。
3数字电视网络安全相关策略
3.1深入落实系统维护工作
针对天线、电缆、变换器这些系统方面的重要组成要素要进行全面的维护,将检测结果逐一分类。安排合理的时间进行各项检查。绝缘子和电压驻波类要注意定期清理,对于参数各种数值确保在指标之内。由于发送设备各个零件种类多且不确定损坏的具体时间,所以要将备用品准备齐全,以便能及时更换。
3.2系统管理数据的重要性
网络和大量的数据是支撑数字电视系统正常运行的核心。为了保证数字电视安全播放,在日常管理中要避免数据丢失或是损坏的现象,需要备份数据,可以通过RAIDIO等磁盘列阵构建数据提高系统运行的稳定性和安全性。随着系统长时间运行会导致大量垃圾内存需要及时清理优化系统提高系统运行的效率减少系统的负担,增加系统使用寿命。此外还要定期检查磁盘,防止磁盘的损坏导致系统无法正常运行造成播放时数据丢失。
3.3做好防雷供电工作
播放设备防雷系数很低因为它是全固化、消耗能量小、运行效率高的半导体设计。雷击分为很多种类,若在电视播放过程中出现雷击现象要根据雷击的类型采取相应的应急对策。避免直接雷击可以在天线上改变天线结构,装置避雷针则是为了预防感应雷击的方法。数字电视能够安全播出供电是关键的一点。足够的电力可以保障节目安全顺利的播放,这和稳定的电力系统是分不开的。我们常用的10kV电压在用电高峰期就会出现跳闸情况,造成信号中断从而影响了节目的安全播出也降低了群众的收看率直接影响电视台的经济损失。所以播出系统的机房应提供不间断电源和多个发电系统,同时也要注意控制好机房的环境温度确保都在合理范围之内保障设备安全运行。
4结语
总之,现在人们随着科技的不断进步对数字电视的要求也越来越高。数字电视网络安全信息系统的管理与维护是一个复杂艰难的过程,需要管理人员和技术人员两手抓,相互配合才能推进数字电视网络信息安全系统更好的运转。随着数字电视的竞争越来越激烈,进一步提高管理团队和维护人员的综合素养显得尤为重要,人才是社会进步的动力,数字电视的建设需要创新高科技的人才加入,才能保证数字电视的安全稳定。只要我们按照严格的规章管理制度,加强队伍综合素质,提高安全意识,加大数字电视安全管理力度,科学管理,以群众的利益出发,为用户服务的准则,从而促进社会发展与精神建设,定能提高数字电视的收视巅峰,创下更多的收视效益,为数字电视安全信息管理系统赢得一个良好的大环境。
篇5
关键词:网络环境;企业;信息安全;管理
从客观的角度来分析,企业信息安全管理在开展的过程中,有很多工作的实施,都不能利用单一的手段来完成。现如今的信息安全,已经成为了全社会都非常瞩目的内容,如果在最终的工作上表现为缺失现象,不仅容易造成强烈的隐患和冲突,还会对很多领域的发展构成严重的威胁,这是需要在日后工作中积极面对的,不能有任何的严重损失。
一、网络环境下企业信息安全管理现状
1.建立信息安全管理体系框架
从已经掌握的情况来看,很多地方的企业信息安全管理,都在不断的建立信息安全管理w系框架,希望由此来对网络环境做出更好的优化处理,实现企业信息安全管理的更大进步。我国在现阶段的发展中,正处于一个非常重要的阶段,企业更加是国家的核心组成部分,为了更好应对网络环境所带来的挑战,在相关的政策、规范颁布上是比较突出的。例如,国务院办公厅在现下的工作中,对于网络环境开展了深入的分析,同时先后颁布了特别多的政策、法令,对于信息安全等级评估保护的具体措施、检查核实方法等,都做出了明确的规范;对于使用单位信息安全管理制度,做出了进一步的深化处理;直接引导、推进了信息安全系统的持续应用,在发展空间上得到了明显的扩大。
2.信息安全管理体系的审核
企业信息安全管理在开展的过程中,必须在网络环境方面深入的关注,绝对不能有任何的违背现象发生。从既往的工作来看,有些企业对于信息安全管理,总是追求短期上的效果,对长期的规划表现不足,虽然很大程度上对网络环境做出了充分的利用,但实际上创造的价值,还是有待提升的。鉴于这种现象的发生,网络环境下的企业信息安全管理,开始不断的做出变革,特别是在信息安全管理体系的审核上,基本上是按照最严格的方法来完成的。例如,在ISMS审核过程中,其主要指的是,机构为验证所有安全程序,采用的系统的、独立的检查和评价。通过开展ISMS审核处理,能够对申请认证的单位,提供较多的支持与帮助,在企业信息安全管理方面有综合的判定与分析。除此之外,ISMS审核工作的开展,还表现为突出的自我保证手段,其能够将多项问题做出一个明确的分析,无论是在波及范围上,还是在具体的处理方式上,都能够给予较多的参考和指导,很少出现严重的偏差。
二、网络环境下企业信息安全管理的对策
1.物理安全管理
在现阶段的发展中,网络环境已经成为了不可扭转的趋势,想要在今后的企业信息安全管理中取得理想的效果,必须将网络环境有效的利用,在硬性规范下,针对物理安全管理持续的加强,这是实践方面的工作,不能有任何的忽视。简单而言,物理安全管理在开展的过程中,会将信息系统开展全面的检查分析,包括信息系统的保密性、完整性、可用性等等,会在相关的硬件设施上、线路上,都做出详细的分析,而后提交相应的物理安全管理报告。企业根据这份报告,再结合客观实际以后,决定具体的改善办法。在除此之外,物理安全管理在开展的过程中,对于企业网络工程的设计、施工等,都会产生较大的帮助。现下的很多企业信息安全管理,都会在网络工程方面投入较多的努力,为了更好的协调网络工程的硬件设备、网络体系等,必须在网络设备的安全性、可靠性方面提升。例如,通过物理安全管理的实施,能够针对网络设备、系统的运作空间做出分析,在温度、湿度等物理因素上积极的把控,避免造成严重的损失。
2.人员安全管理
在企业信息安全管理当中,网络环境下的诱惑较多,同时在相关的影响因素上,也在不断的增加。为了确保在企业信息安全管理方面,能够按照科学的方向来前进,有必要将人员安全管理更好的改善,针对多项工作的实施,都要从长远的角度来出发,这样才能更好的提高管理水平。首先,所有的工作人员,在相应的权限上都要积极的设定,要避免企业信息安全管理的员工权限混乱现象,达到相互之间的制衡效果,避免在信息方面出现严重的泄漏。其次,对于人员安全管理,有必要开展技术性的专业培训,要求列举大量的技术案例分析,让所有的工作人员意识到,错误的工作方法,以及某些极端的行为,会给企业带来严重的损失,部分情况下,甚至会产生法律上的责任和问题,要求员工在态度上,以及工作实践上,都可以严格的要求自己,而后对将来的工作负责。第三,必须积极的招聘、引进网络人才,将企业信息安全管理的体系不断健全,尤其是在网络平台的打造、客户端的建设、日常信息管理措施的实施上,都要形成良性工作循环。
3.软件应用和系统安全管理
网络环境下的企业信息安全管理,表现为持续进步的特点,根本不可能长久维持在固有的水平上。我们在实施企业信息安全管理的过程中,对于软件应用和系统安全管理,必须不断的加深研讨,要从多个角度出发,创造出较高的价值。首先,软件应用上,企业必须根据自身的需求,为不同层级、不同部门的员工,选定差异化的工作软件,要提高工作质量和工作效率。同时,对于软件本身的分析要不断的拓展,从是否付费、是否存在软件冲突、是否具备较高的兼容性等方面,均要进行大量的探讨,要防止造成工作上的严重疏漏,提高工作效率。其次,对于系统安全管理而言,必须坚持定期维护、更新,要求从外部聘请专业人员,进行系统的积极分析和测试,发现问题后,及时的采用网络技术来弥补,同时增加相应的软件防护和程序补丁,促使系统的日常运营,能够达到更加稳定的目标。
4.设备的运行与安全管理
除了上述的几项工作内容外,企业信息安全管理在实施的过程中,还需要在设备的运行与安全管理上投入较多的努力。当下的设备研究力度有所加深,特别是在重要元件上,市场上的更新换代速度不断的加快,企业必须对设备本身、设备元件开展积极的分析,不能盲目的跟风更换,也不能长久的维持在既有的水准上,要确保设备的运行,能够长期保持在高效状态,可以将安全管理工作更好的改善,减少矛盾。网络系统稳定高效的运行,对于企业来说是非常重要的。企业要加强对网络的科学管理,及时排除网络故障,对设备、运行安全进行全方位管理,是保障信息系统安全的重要前提。设备、运行安全管理包括设备的选型、检测、安装、登记、使用、维修、储存以及故障管理、性能管理、变更管理和排障工具等。随着网络普及和企业信息化业务的不断拓展,信息成为一种重要的战略资源,信息安全保障能力成为一个企业综合能力的重要组成部分。
三、总结
本文对网络环境下企业信息安全管理展开讨论,现阶段的工作实施中,整体上得到的效果比较显著,未表现出严重的隐患。日后,应该在网络环境方面不断的优化,将企业信息安全管理的体系不断的健全。除此之外,在开展企业信息安全管理时,一定要持续性的实施,要不断的跟随国家倡导内容,对社会潮流做出把控,在重点工作上积极的提升。
参考文献:
[1]于倩,李灵君.网络环境下企业信息安全管理的对策分析[J].网络安全技术与应用,2017,(01):16-17.
[2]钱浓林,洪芳华,朱利军,肖锋,徐F欣.”互联网+“环境下企业信息安全管理策略[J].经营与管理,2017,(01):128-130.
[3]张黎明.网络环境下企业信息安全管理的对策分析[J].商,2016,(19):2.
篇6
1.1 移动网络信息安全管理的特征体现分析
移动网络信息的安全管理过程中,有着鲜明特征体现,其中在网络信息安全管理的动态化特征山比较突出。在信息网络的不断发展过程中,对信息安全管理的动态化实施就比较重要。由于网络的更新换代比较快,这就必须在信息安全管理上形成动态化的管理。
移动网络信息安全管理的相对化特征上也比较突出,对移动网络的信息安全管理没有绝对可靠的安全管理措施。通过相应的方法手段应用,能有助于对移动网络的信息安全管理的效率提高,在保障性方面能加强,但是不能完善保障信息的安全性。所以在信息安全管理的相对性特征上比较突出。
另外,移动网络信息的安全管理天然化以及周期性的特征上也比较突出。移动网络的系统应用中并不是完美的,在受到多方面因素的影响下,就会存在着自然灾害以及错误操作的因素影响,这就对信息安全的管理有着很大威胁。需要对移动网络系统做好更新管理的准备,保障管理工作能够顺利进行。在对系统建设的工作实施上有着周期化特征。
1.2 移动网络信息安全管理的主要内容分析
加强对移动网络信息的安全管理,就要能充分重视其内容的良好保证,在信息的安全保障上主要涉及到管理方法以及技术应用和法律规范这三个内容。在对移动网络信息的安全管理中,需要员工在信息安全的意识上能加强,在信息安全管理的水平上要能有效提高,在对风险抵御的能力上不断加强。将移动网络信息安全管理的基础性工作能得以有效加强,在服务水平上能有效提高。然后在对移动网络信息安全的管理体系方面进行有效优化,在信息安全管理能力上进行有效提高,对风险评估的工作能妥善实施,这些都是网络信息安全管理的重要内容。
2.移动网络信息安全管理问题和应对策略
2.1 移动网络信息安全管理问题分析
移动网络信息安全管理工作中,会遇到各种各样的问题,网络的自主核心技术的缺乏,就会带来黑客的攻击问题。我国在移动网络的建设过程中,由于在自主核心技术方面比较缺乏,在网络应用的软硬件等都是进口的,所以在系统中就会存在着一些漏洞。黑客会利用这些系统漏洞对网络发起攻击,在信息安全方面受到很大的威胁。
再者,移动网络的开放性特征,也使得在具体的网络应用过程中,在网系的渗透攻击问题比较突出。在网络技术标准以及平台的应用下,由于网络渗透因素的影响,就比较容易出现黑客攻击以及恶意软件的攻击等问题,这就对移动网络信息的安全性带来很大威胁。具体的移动网络物理管理和环境的安全管理工作上没有明确职责,在运营管理方面没有加强,对网络访问控制方面没有加强。以及在网络系统的开发维护方面还存在着诸多安全风险。
2.2 移动网络信息安全管理优化策略
加强移动网络信息安全管理,就要能充分重视从技术层面进行加强和完善。移动网络企业要走自力更生和研发的道路,在移动网络的核心技术以及系统的研发进程上要能加强。对移动网络信息的安全隐患方面要能及时性的消除,将移动网络安全防护的能力有效提高。还要能充分重视对移动网络安全风险的评估妥善实施,构建有效完善的信息系统安全风险评估制度,对潜在的安全威胁加强防御。
再者,对移动网络安全监测预警机制要完善建立。保障移动网络信息的安全性,就要能注重对移动网络信息流量以及用户操作和软硬件设备的实时监测。在出现异常的情况下能够及时性的警报。在具体的措施实施上来看,就要能充分重视漏洞扫描技术的应用,对移动网络系统中的软硬件漏洞及时性查找,结合实际的问题来探究针对性的解决方案。对病毒的监测技术加以应用,这就需要对杀毒软件以及防毒软件进行安装,对网络病毒及时性的查杀。
将入侵检测技术应用在移动网络信息安全管理中去。加强对入侵检测技术的应用,对可能存在安全隐患的文件进行扫描,及时性的防治安全文件和病毒的侵害。在内容检查工作上也要能有效实施,这就需要在网络信息流的内容上能及时性查杀,对发生泄密以及窃密等问题及时性的报警等。这样对移动网络信息的安全性保障也有着积极作用。
另外,为能保障移动网络信息的安全性,就要充分注重移动网络应急机制的完善建立,对网络灾难恢复方案完善制定。在网络遭到了攻击后,能够及时性的分析原因,采取针对性的方法加以应对。这就需要能够部署IPS入侵防护系统进行应用,以及对运用蜜罐技术对移动网络信息安全进行保障。
篇7
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10406-02
On the Information Security Policy and Management of Tax Information Management System
HUANG Jian-qun
(Xi'an Shiyou University, Xi'an 710065, China)
Abstract: In this paper, first, points out that information on the importance of the tax system through the presentation of tax information management systems, Concludes with the tax information security and management solutions, The program in improving safety and reliability of tax information has some referential significance.
Key words: tax systems; information security; security policy
税收是国家财政收入的重要途径,相关的税务系业务要求其具有准确性、公证性和完整性的特点,因此保证税务信息系统的安全性意义重大。税务系统作为电子政务系统的一部分,属国家基础信息建设,其基本特点是:网络地域广、信息系统服务对象复杂;税务信息具有数据集中、安全性要求高;应用系统的种类较多,网络系统安全设备数量大,种类多,管理难度大。
税务系统是一个及其庞大复杂的系统,从业务上有国税、地税之分,从地域来说又有国家级、省级、地市级、区县四级。网络结点众多、网络设备和网络出口不计其数、操作系统种类繁多、应用系统五花八门、网络机构极其复杂。面对如此复杂的系统,其内部安全隐患随处可见,经过不断的研究和探索,目前已经积累了大量解决税务系统信息基础设施安全的方法和经验,形成一整套税务系统的安全保障方法,相关安全保障的体系也在不断完善和发展中。
1 网络信息安全在税务系统中的重要性
计算机软硬件技术的发展和互联网技术的普及,为电子税务的发展奠定了基础。尤其是国家金税工程的建设和应用,使税务部门在遏止骗税和税款流失上取得了显著成效。电子税务可以最大限度地确保国家的税收收入,但却面临着系统安全性的难题。
虽然我国税务信息化建设自开始金税工程以来,取得了长足进步,极大提高了税务工作效率和质量。但税务系统本身也暴露出了一系列要改进的问题,各种应用软件自成体系、重复开发、信息集中程度低。随着信息化水平的不断提高,基于信息网络及计算机的犯罪事件也日益增加。税务系统所面临的信息网络安全威胁不容忽视。建立税务管理信息化网络安全体系,要求人们必须提高对网络安全重要性的认识,增强防范意识,加强网络安全管理,采取先进有效的技术防范措施。
2 税务系统安全建设
如何保证信息在传递过程中的安全性对税务系统来说至关重要,任何网络设备或者解决方案的漏洞都会对税务系统造成很大影响。如何成功处理信息安全问题,使国家税务系统在充分利用信息技术的同时,保障系统的安全,对税务系统建设具有极大意义。信息安全的建设涉及到信息赖以存在和传递的一切设施和环境。构筑这个体系的目的是保证信息的安全,不仅需要信息技术的努力与突破,还需要相关政策、法律、管理等方面提供的有力保障,同时也需要提高操作信息系统的工作人员的安全意识。
2.1 税务系统安全防护体系
税务系统安全防护体系保证了系统在生命期内处于动态的安全状态,确保系统功能正确,不受系统规模变化的影响,性能满意,具有良好的互操作性和强有力的生存能力等。
税务信息系统安全模型提供了必要的安全服务和措施,增加了动态特性,强调了各因素之间关系的重要性。该模型是一种实时的、动态的安全理论模型,是实施信息安全保障的基础。在模型基础上建立安全体系架构随着环境和时间改变,框架和技术将会主动实时动态的调整,从而确保税务系统的信息安全。
2.2 税务系统风险评估
税务系统信息安全保障的目的是确保系统的信息免受威胁,但绝对的安全并不可能实现,只能通过一定的控制措施将系统受到威胁的可能性降到一个可接受的范围内。风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。风险评估用来确认税务系统的安全风险及大小,即利用适当的风险评估技术,确定税务系统资产的风险等级和优先风险控制顺序。
风险评估是信息安全管理体系的基础,为降低网络的风险、实施风险管理及风险控制提供了直接依据。系统风险评估贯穿于系统整个生命期的始终,是系统安全保障讨论最为重要的一个环节。
3 税务信息系统整体安全构架
一般税务信息系统所采用的安全架构模型如图1所示。
从安全结构模型可以看出,该安全架构主要分为三部分:网络系统基础防御体系、应用安全体系和安全管理体系。网络系统基础防御体系是一个最基本的安全体系,主要从物理级、网络级、系统级几个层次采取一系列统一的安全措施,为信息系统的所有应用提供一个基础的、安全的网络系统运行环境。
该体系的主要安全建设范围如下:
1) 物理级安全:主要提供对系统内部关键设备、线路、存储介质的物理运行环境安全,确保系统能正常工作。
2) 网络级安全:在网络层上,提供对系统内部网络系统、广域网连接和远程访问网络的运行安全保障,确保各类应用系统能在统一的网络安全平台上可靠地运作。
3) 系统级安全:主要是从操作系统的角度考虑系统安全措施,防止不法分子利用操作系统的一些BUG、后门取得对系统的非法操作权限。
4 信息安全管理策略
4.1 安全管理平台
信息安全管理的总体原则是“没有明确表述为允许的都被认为是被禁止的”。信息安全管理实行安全等级保护制度,制定安全等级划分标准和安全等级的保护办法。从管理的角度,将系统中的各类安全管理工具统一到一个平台,并对各种安全事件、报警、监控做统一处理,发现各类安全问题的相关性,按照预定义的安全策略,进行自动的流程化处理,从而大为缩短发现问题、解决问题的时间,减少了人工操作的工作量,提高安全管理工作的效率。
通过技术手段,构建一个专门的安全管理平台,将各类安全管理工具集成在这个统一的平台上,对信息系统整体安全架构的实施进行实时监视并对发现的问题或安全漏洞从技术角度进行分析,为安全管理策略的调整提供建议和反馈信息。统一的安全管理平台将有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监视和管理,从而提高安全管理工作的效率。
4.2 物理安全策略
物理安全是对计算机网络系统中的设备、设施及相关的数据存储介质提供的安全保护,使其免受各类自然灾害及人为导致的破坏。物理安全防范是系统安全架构的基础,对系统的正常运行具有重要的作用。
当然,信息系统安全不是一成不变的,它是一个动态的过程。随着安全攻击和防范技术的发展,安全策略也必须分阶段进行调整。日常的安全工作要靠合理的制度和对制度的遵守来实现。只有建立良好的信息安全管理机制,做到技术与管理良好配合,才能长期、有效地防范信息系统的风险。
5 网络信息安全所采取的主要措施
目前网络信息安全所采取的主要措施是使用一系列的安全技术来防止对信息系统的非授权使用。讨论税务系统安全策略问题时,相关人员往往倾向于防火墙、入侵检测系统等实际的安全设备。其实,造成系统安全问题的本质是税务信息系统本身存在脆弱性。任何信息系统都不可避免的存在或多或少的脆弱性,而且这些脆弱性都是潜在的,无法预知。系统出现脆弱性的根本原因是由于系统的复杂性使得系统存在脆弱性的风险成正比,系统越复杂,系统存在的脆弱性的风险就越大,反之亦然。
安全防御的总策略为:1)建立网络边界和安全域防护系统,防止来自系统外部的攻击和对内部安全访问域进行控制;2)建立基于整个网络和全部应用的安全基础设施,实现系统的内部的身份认证、权限划分、访问控制和安全审计;3)建立全系统网络范围内的安全管理与响应中心,强化网络可管理、安全可维护、事件可响应;4)进行分级纵深安全保护,构成系统网络统一的防范与保护、监控与检查、响应与处置机制。
6 结束语
解决信息系统的安全不是一个独立的项目问题,安全策略包括各种安全方案、法律法规、规章制度、技术标准、管理规范等,是整个信息系统安全建设的依据。现有的安全保障体系一般基于深度防御技术框架,若能进一步利用现代信息处理技术中的人工智能技术、嵌入式技术、主动技术、实时技术等,将形成更加完善的信息安全管理体系。
税务信息安全直接关系到税收信息化建设的成败,必须引起税务机关和每一位税务人的重视。科学技术的发展不一定能对任何事物的本质和现象都产生影响,技术只有与先进的管理思想、管理体制相结合,才能产生巨大的效益。
参考文献:
[1] 蔡皖东.信息安全工程与管理[M].西安:西安电子科技大学出版社,2004.
[2] 谭思亮.网络与信息安全[M].北京:人民邮电出版社,2002.
[3] 谭荣华.税务信息化简明教程[M].北京:中国人民大学出版社,2001.
[4] 李涛.网络安全概论[M].北京:电子工业出版社,2004.
[5] 朱建军,熊兵.网络安全防范手册[M].北京:人民邮电出版社,2007.
篇8
【关键词】
医院管理系统;信息安全;策略
近年来,医疗体制改革日渐深入,社会对医院的管理水平与服务质量的要求也在提高,加上医院规模不断扩大,患者数量增加,医院信息管理也迎来了新的挑战。同时,信息技术手段的进步与发展,为医院进行信息管理提供了便利,但也存在许多问题,特别是信息安全方面的问题,严重威胁到了医院各项信息安全及完整性,影响医院各项工作的开展。所以,加强医院管理系统信息安全管理,对保障医院各项工作的正常进行具有积极作用。
1内部硬件的安全管理
在医院系统的内部硬件安全管理中,主要是对网络服务器、工作站及交换器等内部硬件的安全管理[1]。对于这些设备,必须对其进行安全管理,并对网络进行优化。在服务器与储备设备的管理中,应该形成数据管理,如保证电源故障管理的积极运作,促进网络的正常运用。为了保证系统的安全运行,关键是做好防护工作。因此,必须形成标准建构,以最大程度地保证网络安全。在硬件方面,应避免相同设备出现问题,并在数据库服务中应用集中管理系统,如硬盘选用的是磁盘阵列式,可实现在短时间内进行切换,促进整个系统的安全运用,除此之外,还应实施双路管理,即一路为UPS系统,一路使用市电,以保证服务器与网络设备的正常运行。
2网络安全管理
进行网络安全管理,主要是为了避免计算机受攻击,包括主动攻击与被动攻击。在网络正常运行的状态下,医院系统信息被截取、破坏、窃取的情况时有发生,对计算机网络与数据都造成了很大损伤[2]。网络攻击会对内网与外网都构成巨大安全威胁,故必须增加投入,改善网络安全,防范人为恶意攻击,最大限度地保证医院信息安全。基于上述认识,必须对网络安全管理予以高度重视,并在管理与技术方面加强沟通,形成有前瞻性的管理策略,以实现对网络信息安全管理的目的。
3软件系统管理
对操作系统的管理,主要是做好正版操作系统的补丁工作。例如,在屏幕保护工作中,应将数据暴露于桌面。在对软件系统进行管理时,需形成多个分区,然后分别放置操作系统、重要数据及应用系统。在管理过程中,要把多余的网络协议、服务等删除,并将不必要端口关闭,实现默认管理,并形成锁定注册表管理。需要注意的是,在医院信息系统的网络管理工作中,应将内网与互联网隔开,不可在内网中形成互联网链接,以保证内网操作系统的精准性与可靠性[3]。在杀毒软件管理方面,安装的软件必须是正版软件,并定期升级、杀毒,以保证病毒库安全。情况需要时,可利用辅助软件进行杀毒处理。对于流行性新兴病毒,应做到定期查杀,并实现对软件的实时监控,且要求在在下载升级后先杀毒再使用,与现行系统环境相结合,在促进软件升级与改善测试环境的条件下做好管理工作,保证系统的安全运行。
4数据库安全管理
在医院系统信息管理工作中,数据信息的安全管理是核心部分。做好数据库安全管理工作,可有效保证数据的安全,实现对数据的查询,并保证数据在安全存储中的合法访问,构建基础访问权限。例如,在Oracle数据库管理中,应重视并认真做好用户区别与密码保护工作。比如,在进行SYS与System特殊账户管理工作中,应严格控制网络上的DBA权限,预防远程访问[4]。对于日志文件、DBA查看警告、定期检查等,应加强监控与管理,以便第一时间发现与解决问题,实现对数据库碎片及可用空间的管理。在数据库管理中,还应对链接情况进行定期查看,并将不必要的链接清理干净。在对网络服务与网络硬件进行检查时,应保证硬件的正常运行。在开展周围性数据库管理工作时,应有较完善的数据库恢复预案。对于数据库而言,防止病毒入侵也是安全管理的一项重要内容。在医院信息安全管理中,病毒问题是威胁信息安全的重要原因,对医院各项利益均产生了很大威胁,故必须采取有效的防病毒措施。具体来说,应认真做好以下几个方面的工作:(1)认真做好数据备份工作。病毒入侵会导致数据被窃取与篡改,故应对数据进行备份,特别是重要信息,即便病毒入侵也能保证数据的完整与安全。(2)保证操作系统的安全。盗版系统的稳定性较差,且往往存在较多漏洞易被病毒攻击,无法保证信息的安全性。因此,所选系统应为正版,且要求管理人员应注意查看系统官方消息,加强系统更新与维护工作,以最大程度地保证系统的稳定性。(3)提升工作人员的安全意识。医院应定期组织对工作人员的信息管理安全教育,使工作人员树立正确的安全意识,并掌握常见的系统安全问题处理方法,以保证系统信息的安全性。(4)安装各种杀毒软件及其他防护软件,加强信息管理系统的软件屏障功能,并定期更新与维护,以保证系统的正常、安全运行。
5加强应急管理,完善事故处理预案
医院应根据实际情况制定有效的应急方案。一方面,医院平日应对相关工作人员进行专门培训,保证每位工作人员熟悉紧急预案的流程及具体措施,以便发生紧急事件时能够从容面对,将损失降至最低。另一方面,加强应急演练。医院应定期对工作人员进行各种应急演练,并根据存在的问题进行整改,以保证应急方案的实用性与针对性,减少安全事故造成的损失。除此之外,为了避免意外破坏而导致信息丢失或网络瘫痪,应在平时做好数据备份工作,并定期在服务器端进行一次联机全备份与数据恢复检验工作,以确保备份的可靠性与有效性。
6结语
总而言之,在医院信息化建设不断推进的情况下,信息安全成为医院高度重视的一个问题,因为医院信息安全事关医院、患者的切身利益。基于当前医院管理系统信息安全的情况,医院应积极采取有效措施,如加强内部硬件管理、网络安全管理、软件系统管理及数据库安全管理等,以保证医院系统信息的安全性与完整性,促进医院各项工作的顺利进行。
作者:李瑶瑶 单位:江苏省盐城市射阳县中医院
参考文献:
[1]韩盼盼.加强医院信息管理系统安全的若干策略[J].计算机光盘软件与应用,2014(24):191,193.
篇9
随着信息技术的发展和网络化应用的普遍推广,各机关组织和企事业单位都开展各类管理业务的信息化建立。企业的发展运作离不开信息系统的安全运行。信息安全通过保护企业信息的机密性、完整性和可用性,不仅保护了企业各类信息资产的安全,还能增强企业的核心竞争力,维护企业的形象和信誉。信息安全对企业的生存和发展的是至关重要的,需要从战略的高度对信息安全进行规划和管理。
一、企业中信息安全管理经常存在的问题
日常安全管理中存在的主要问题,首先是用户安全意识和观念薄弱的占58%,第二位的是网络安全管理人员缺乏培训,占39%;其后,依次是保障经费投入不足、缺乏安全信息共享和安全产品不能满足要求。
不仅在日常管理中,在技术管理方面也存在一定的问题。在CSDN泄密门事件中,专业IT博客“月光博客”撰文表示“整个事件最不可思议的地方在于,像CSDN这样的以程序员和开发为核心的大型网站,居然采用明文存储密码”,“稍微懂一点编程的程序员都知道,为了用户的安全,应该在数据库里保存用户密码的加密信息,这样黑客即使下载了数据库,破解用户密码也不是一件容易的事情” 。可见,有些涉及技术方面的问题,也并不是单纯的技术问题,而是与技术人员安全意识不强、责任心不到位有关。
为了了解企业内部员工在信息安全问题上的看法及所做的努力,我们对一家电子商务企业和一家银行的部分工作人员进行了问卷和访谈调查,发现在企业员工中存在如下一些问题:
1.是信息安全意识方面,被调查者认为信息安全对企业和个人都非常重要。但大多数受访者对信息安全的问题了解很少等。
2.很多受访者认为信息安全属于技术人员的事情;与技术人员的交流非常少;忙于业务,没有时间去处理。
3.是用户认为信息安全管理措施效果不好。有些信息安全行为的规范标准虽然挂在网上或贴在墙上,很少有人去关注;公司发动的信息安全的培训活动没有收到好的效果。
二、信息安全问题的根源
通过对调查的结果进行深入分析,发现导致信息安全事件频发、风险损失严重的原因从根本上来说,有以下几个方面:
1.信息安全是一个多维问题,涉及到企业管理的方方面面。企业在信息安全问题上往往涉及多个部门。有些情况下,无法明确责任,使得信息安全得不到应有的重视以及有效的管理。
2.风险平衡理论认为,人会愿意承担一定程度的风险。这与你采用多少的安全防护措施无关。有时即使有条件可以到达绝对安全的状态,由于人性的缘故,也不会那样去做。
3.信息安全与效率和便利性本身是矛盾的。信息安全加强了,受到的约束也就多了,相应地效率也就降低了。比如简单规律地密码,可以不必费力去记;插入U盘时进行杀毒,必然要耽误时间;没有接入网络,不可能受到网络攻击,但也就失去了网上浏览所需信息、网络交流的自由,因此有人半开玩笑地说:“最安全的计算机是拔掉网络的那台计算机”。
4.由于某些缘故,网络中总是存在黑客,专门窃取信息或破坏网络系统。他们的水平都非常专业,一般的用户难以预防。所谓“道高一尺,魔高一丈”,信息安全的水平总是在这种攻击与防守中进步的。
5.信息安全问题的不确定性。信息安全问题的不确定性主要指是否发生风险的不确定性、无法精确地评估当前所面临的风险以及风险发生所带来的损失的难以把握。
所有这一切因素,都使得信息安全无法得到有效的关注和重视,无法采用有效的措施来预防和避免。这也是导致信息安全事件发生频率居高不下,风险损失较大的主要原因。 转贴于
三、相关的建议和策略
针对企业信息安全的问题,文章运用管理学的理论进行论述。企业管理涉及四个功能:计划、组织、领导、控制 。
1.从计划的角度来看:企业应当确立信息安全的发展战略,从战略的高度来对待和管理信息安全,确保信息安全所引发的风险达到可以接受的范围之内。从全局角度制定信息安全的策略,确立信息安全的目标,以及实现目标需要的行动方案。
2.从组织的角度来看:人力资源的管理的观点认为,企业的组织结构,取决于组织战略 。在许多企业组织结构中,只有技术部门,没有信息安全管理部门。S.H.(basie) von Solms 曾讨论过,技术管理与安全管理两个部门必须设置成为两个独立的部门,否则无法保证安全评估的客观性。因此有必要设置一个专门负责信息安全管理的部门,这个部门并不负责具体的技术,但是要懂技术,主要是开展企业的安全培训工作、日常的安全管理工作、对存在的风险进行评估,最大限度地降低安全风险。
3.从领导的角度来看:根据wilde的风险平衡理论,一个人会愿意承担一定程度的风险。 “风险平衡”观念会让整个机构处于盲目乐观的过度自信状态,不管是企业的员工还是管理者都倾向于追求效率 ,从而忽视信息安全的投入。
在企业的管理过程中,应当加强信息安全、风险意识方面的培训和教育,增进员工与技术人员的面对面的沟通与交流,开展有效的安全意识活动。
4.从控制的角度来看:对风险的控制要求企业对自己的安全状况不断评估,时时防范。这就要求安全管理部门每隔一定时间向上汇报信息安全的进展情况,定期进行风险评估工作。
文章从管理学的角度来分析信息安全风险管理,对信息安全问题做了实地调查,分析了目前信息安全存在的一些问题,并对存在的问题的根源进行了深入的分析,最后文章运用管理学的理论,从计划、组织、领导、控制四个角度出了相应的建议和策略。
参考文献
[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.
[2]秦志华.企业管理[M].大连:东北财经大学出版社,2011,1.
篇10
二、计算机信息安全存在的问题
信息安全威胁主要指的是人、事、物对某一资源信息造成的威胁,主要安全威胁表现在以下方面:机密性;完整性;可用性;真实性;可控性。安全威胁可以分为两类:主动威胁、被动威胁。主动威胁指的是对信息作出修改,被动威胁指的是对信息只做监听不做修改。
2.1攻击方式
信息的安全问题一直受到人们的关注,对计算机进行侵袭的方式花样百出。典型的方式包括:()l信息泄露;(2)重放;(3)拒绝服务。无法访问信息资源,延迟操作。(4)窃听:(5)否认:(6)业务流分析:(7)病毒。
2.2网络外部因素出现问题
网络外部因素是出现信息安全的重要原因,在信息安全问题中处于关键地位。主要表现在:()l借助技术手段进行网络干扰;(2)借助先进的设备,植人病毒等,威胁信息系统。
2.3网络内部因素出现的问题
网络系统具有脆弱性,是信息安全问题的内因。主要表现在:(l)安全策略与安全管理有待完善;(2)软件系统存在漏洞;(3)网络协议体系存在问题。
三、计算机信息安全管理的方法
3.1进行信息加密
在安装防火墙软件后,不能有效防御系统内部的威胁,在这种情况下,可以采用信息加密的技术,把明文文件、数据信息等进行优质化处理,进行密文的传送,到达目的地后,录人密钥,重现原来的信息内容,对信息文件设置安全保护,使数据资源保持安全性。与加密过程相反的是解密,主要是转化已经编码的信息,还原本来的信息。根据系统功能的要求,选择信息加密的手段,保证信息的安全性以及可靠性。
3.2采用安全性较高的系统软件
安全性较高的系统软件指的是操作系统以及数据库等具有很高的安全性。在系统终端,操作系统应当版本统一,为维护以及管理提供了很大的方便。对系统的终端进行安全管理,主要指的是针对应用软件进行远程操控,对于不安全的端口以及软件进行屏蔽。在系统的终端,安装杀毒软件,对系统的补丁进行自动的更新,便于进行集中的控管。对客户端的操作系统进行定期的扫描杀毒。
3.3访问控制技术
访问控制主要指的是对用户的访问权限进行控制,允许特定的用户进行网络访问,人网的用户需要进行身份确认,用户访问系统的特定资源,规定资源的使用程度等等。访问控制可以加强网络系统的安全,对网络资源进行有效的保护。访问控制的措施包括:第一,设置口令;第二,应用数字证书等。通过以上方法,验证、确认用户的信息,设定访问的权限,进行网络跟踪,并对网络系统采取防护措施。为了确保口令的安全性,要注重口令的选取以及保护。进行访问控制,主要是为了确保访问操作的合法性,避免非授权的访问。
3.4进行风险分析
采用信息加密算法可以增加计算机信息整体的安全性。从传统的加密方法来看,主要是把密匙作为核心,也就是对称加密。在进行解密和加密时,用户可以采用相同的密钥。近年来,加密算法发展较快,公开密钥得到了广泛的应用,也称为非对称加密。进行加密、解密,采用不同的密钥,主体涵盖的技术包括RsA以及DsA技术。现在比较常用的是DES、RSA算法,与PGP加密的方式相混合,能够进行优质运用。与此同时,还要进行病毒的防御。计算机技术在不断进步,病毒的形式更加多样,分辨存在很大的难度,产生很大的危害。
篇11
我国人口多,工作人员的数量在不断攀升,这就要求我国必须加大对档案管理的力度,将信息化技术应用其中,创新了原有的管理档案模式,有利新的档案管理也就是数字化管理。这一档案形式的出现,同提高档案信息管理的水平,使得档案信息的收集、整理、分析和存储变得更加的快捷和有效,一定意义上说,提高了数字化档案信息管理工作的发展。然而,目前我国的数字化档案信息管理工作还有不足,甚至存在一定的安全风险因素,严重影响到数字化档案信息的安全,因此,需要采用各种管理策略,以实现对数字化档案信息的科学,合理,更加安全。
1 数字化档案信息中存在的安全风险因素
数字化档案信息在管理的过程中,不是一帆风顺的,也会受到许多影响,而给数字化档案信息管理中造成影响最大的是安全风险问题,数字化信息档案管理的安全风险问题造成了档案信息的丢失。而数字化档案信息的缺失也直接影响档案管理事业的发展,就我国目前的数字化档案信息存在的安全问题大体包括以下几个方面的内容:
1.1 计算机硬件故障
对于使用计算机的人来讲,设施完整,能够正常操作的都是好的计算机,因此为了能够保障计算机使用安全,需要在计算机中设置相应的保护机制,安装保护软件,是计算机发挥应用的效果,但是,有的时候即使在计算机里设置相应的保护机制,计算机中的硬件也还是会受到某些因素的影响,而出现故障,一旦计算机中的硬件出现故障,计算机无法正常运行,就会使得数字化档案中的信息数据丢失,也破坏了数字化档案信息的完整性,不利于提高档案信息的保存效率,从而阻碍了数字化档案管理事业的发展。而如今,计算机中硬件出现故障的次数逐渐增加,主要的原因也是计算机种类以及功能不断增强,这样的现象更加不利于数字化档案信息的存储和保护。
1.2 计算机软件故障
数字档案主要是利用计算机来实现,利用计算机中的相关管理软件以及相关的数据处理系统来对档案信息进行处理和分析,以保障数字化档案数据信息的完整性,从而提高数字档案信息的利用率。计算机相关管理软件的性能将直接决定数字化档案信息的安全,随着计算机相关软件性能的不断提升,数字化档案信息的安全性也在不断的提高。然而,就我国现阶段的计算机软件发展水平来说,还无法对数字化档案信息安全形成高效的保护,计算机软件会受到来自各种因素的影响,计算机软件一旦出现故障,就会使得数字化档案信息管理操作受到阻碍。
1.3 数字化档案信息安全管理制度不够健全
在我国,数字化档案建设起步晚,发展缓慢,数字化档案信息安全管理制度不够健全,数字化档案管理机制与以往的不同,国家没有颁布相关的法律法规来规范和调整数字化档案信息管理。因为国家机构和社会组织没有法律保护,因此我国的数字化档案管理承担着更大的数字化档案信息管理的安全风险,从我国的目前现状来看,当前的数字化档案相关的法律法规不能满足现代数字化档案信息安全管理方的需求。因此,无论是数字化档案管理的相关法律制度还是信息安全方面都需要加强管理。
2 数字化档案信息安全管理策略
计算机硬件设施的不足,也阻碍着数字化档案信息安全发展,因此也需要不断的对计算机中的硬件设备进行改进,同时也需要采取更加有效的保护机制,采用先进的科学防护技术加强保护计算机中的硬件和软件设施,进一步保障数字化档案信息的安全,但是数字化档案信息的类型不同,这就要求具体问题,具体分析,采取不同的安全管理策略,以提升数字化信息安全管理的效果,保障数字化档案信息的完整性和稳定性。为了解决数字化档案信息的安全问题,可以采用以下几个策略:
2.1 计算机设备安全管理
就相关的调查报告可知,计算机硬件出现故障的次数相对来说较多,而计算机故障对数字化档案信息安全所造成的影响也相对较为严重,因此,应该积极采取有效的安全措施,对硬件设备实施高效的安全管理,从而降低计算机硬件设备发生故障的几率。在对计算机硬件设备进行安全管理的过程中,可以从而计算机硬件设备的选择上入手,对硬件设备进行严格的检验,并对硬件设备的厂家的营业执照和信誉程度进行详细的调查,在计算机硬件的兼容性上和拓展性上对计算机硬件实施全面的审核,从而保障计算机升级过程中数字化档案信息的安全。另外,计算机软件设备故障也对数字化档案信息的安全管理具有一定的影响,但是相对于计算机硬件来说,其所能够产生的影响作用相对较小,在实施安全管理过程中,也可以采用和计算机设备安全管理相同策略,更好的提高计算机设备管理的安全性,最大限度的保障数字化档案信息的完整性和有效性。
2.2 信息技术安全管理
数字化档案信息安全管理只是依靠人力管理是不够的,还需要加入现代技术科学管理。现代科学信息技术能更好的保证数字化档案信息数据的安全,提高档案信息安全性,也提高档案的完整性,因此在管理数字化档案信息安全的过程中要加入必要的信息技术。
2.3 完善信息安全管理制度
要维护数字信息的安全,不仅要依靠技术还要做好对信息的管理工作,通过制定一系列的严密并且合理的管理规范与措施,保证数字信息的完整,真实和可靠。要充分保证数字化档案信息的安全,就需要通过制定一系列的规章制度来进行规范。
第一,就是要建立人员安全的管理制度,主要包括有岗位安全考核制度、安全审查制度、安全培训制度等。
第二是建立文档的管理制度,按照一定的密级对易经存储的数字信息进行分类,对于机密新信息和敏感信息需要进行加密,以防信息被窃听、毁坏或者变更。
结束语
篇12
Abstract:In the hospital information construction process,the hospital information management system is its core part,the current most hospitals face very important problem is how to keep the hospital information management system is highly effective,the security,the stable operation.This article attempts from the system security access,prevention and control of the virus,data backup and recovery,etc are discussed,so as to work out the corresponding security strategy.
Keywords:Security access;Prevention and control of the virus;Data backup and recovery;Safety strategy;The hospital information management system
一、引言
计算机技术不断发展的今天,在医院的应用里面医院信息管理系统得到了大众的认可,医院信息管理系统在应用的过程中,信息安全是受到普遍关注的焦点。医院信息管理系统是一个整个医院都联了网的系统,因此对系统的信息安全要求非常高。如果系统的信息安全出现问题,就是丢失医院中的重要数据信息,使医院的各项工作不能正常运行,给医院带来的直接经济损失是无法估量的,严重影响医院的社会效益。如今,很多医院的信息管理系统的安全体系都很简单,然而医院的数据业务却在不断增大,业务应用的复杂性也不断提高,简单的医院信息管理系统安全体系已不能满足系统安全需求。因此,针对以上的这些问题,为了完善系统的安全体系,本文提出了相应的安全策略。使得系统能够高效、安全、稳定的运行,这也是医院信息管理系统需要解决的一个迫切问题。
二、安全访问的控制策略
在医院信息管理系统里面,人员是分散的,资源是共享的,这也是医院信息管理系统的主要特点,护士、医生、行政管理人员、医疗技术人员和后勤管理人员都是该系统的操作用户,从人员的组成上面可以看出比较复杂,并且每种用户负责的工作任务和自责都不一样。所以,医院信息管理系统里面的系统管理员的主要任务是根据不同角色的用户,给每一个用户都分配一个用户名和密码,这个用户名和密码对一个用户来说有且只有一个,系统管理员给每个用户的操作权限也是不同的。不同角色的用户登录到医院信息管理系统里面都只能在自己的权限范围内进行相应的操作和访问,对于没有权限进行访问和操作的模块,系统会对该用户隐身,使用户看不到。这样可以防止那些不是本系统的用户非法进入,是系统的安全得不到保障。医院信息管理系统的所有资源对于系统管理员来说,都是可以访问的,因此,对于系统管理员的账号数量,应该加以限制,密码在设置的时候也尽量使其复杂,对于系统的运行状况,由系统管理员定期进行汇报,使得整个系统都能够处于监督之下。
三、防治病毒的策略
计算机技术发展的非常迅速,但同事计算机病毒也随之产生,并且是系统主要的威胁。所以,完善的病毒防治体制和规章制度的建立是迫在眉睫的,主要的病毒的防治策略有:
1.对于数据服务器要做专门的备份,由一些比较重要的数据备份要定期进行,使系统受到病毒攻击、数据丢失或被恶意修改等事件的威胁降低,是系统数据的完整性和正确性得到保障。
2.电脑安装的操作系统尽量选用正版的,对于官方网站中的一些重要信息,计算机的管理人员要时刻关注,使操作系统得到及时的更新,降低操作系统遭到攻击的机率。
3.给每一台跟医院信息管理体系相连的电脑都安全GHOST软件,定期对系统进行备份操作,如果系统受到破坏之后没办法进行恢复了,就可以使用一键GHOST直接进行还原。
4.使用医院信息管理系统的整个医院的全体员工都要有病毒防范的意识,并且要具备良好的动机,如果发现了系统中出现了计算机病毒,就应该及时通知相应的网络管理部门进行处理,减少病毒攻击带来的损失。
5.在给系统安装杀毒软件的时候尽量选用正版的,并且杀毒软件要定期进行升级操作,这些任务由计算机管理人员完成,使整个医院的电脑病毒库都是最新的版本。
6.在医院信息管理系统中安装防火墙,使得外部恶意的程序对医院系统的入侵事件受到阻止。
7.在电脑的使用方面,要建立一个严格的规章制度,如果出现的问题,就要追究这个用户的责任,情节比较严重的,应该追究其法律责任。
8.对于那些外部存储连接设备像优盘、硬盘等,要严格对其进行管理,如果没有经过允许就把这些设备连接到系统中,出现问题追究用户的责任。
9.在使用内网和外网的时候要非常严格,内外网的配备要根据每个科室的不用业务需求来进行,比如有的科室只使用外网,那就不考虑内网的连接,只连接外网。
四、数据的备份与恢复策略
1.系统的备份与恢复策略
在医院信息管理系统中,所有的应用能够正常进行的前提和保障就是系统的安全,再有在操作系统有改动或者系统被破坏了,系统的备份与恢复才会进行。在进行系统的备份与恢复的时候,经常使用的软件就是一键GHOST。在安装系统的时候,把硬盘划分成几个区域,其中的一个区域安装操作系统,把系统分区用GHOST软件复制一份映射文件放到另一个分区里面去,如果系统中出现了安全问题,使得系统不能正常运行,这个时候就使用一键GHOST软件根据映射文件使系统快速恢复,这样就可以在系统崩溃之后,数据信息还可以得到恢复和保存。
2.后台数据的备份与恢复
在后台的数据库中,有启动和计划任务的功能,如果定期对其进行操作的话,可以采取设定定时的方法,自动地把主服务器的日志备份到一个备份的服务器上面,还可以设定一个定时启动的恢复任务,使得备份服务器的数据库能够同步到主服务器的恢复,在别的地方安装一个容量非常大的数据存储器,把备份服务器中已经得到恢复的数据放到这个容量非常大的数据存储器中。如果服务器中的数据遭到了破坏,就可以采取把之前备份好的事务日志进行恢复的策略,可以使丢失数据的机率降到很低,基本上可以保证数据得到恢复。比如,使用SQL Server 2005数据库技术中的计划任务进行不同地方的数据备份与恢复,使用SQL Server 2005数据库中的计划任务进行很多个备份的任务操作,在平常生活比较空闲的时候,对这些任务进行备份操作,然后再对这些数据进行不同地方的存储,也就是说把备份的任务存储到别的计算机的硬盘上面。这样就可以保证在硬盘受到损坏的时候,可以使用别的保存了数据的计算机对这些数据进行恢复和还原。数据库本身具有还原的功能,可以利用数据库的这一特点对数据库中的数据进行还原,并且还原的速度也是很快的,使得数据的安全性得到了保障,数据备份与恢复的效率也得到了极大的提高。
五、其他
针对医院信息管理系统,上面讨论了三种加强医院信息管理系统安全的策略,顾名思义肯定还有其他影响系统安全的因素,比如,计算机的软硬件出现了故障、电脑黑客对系统的入侵、系统突然断电或者人为的因素对系统造成破坏等等,我也不一一全部进行列举,但是的确还有很多因素会给系统造成破坏,给医院带来很大的直接经济损失。因此,我们在平常的使用中就应该关注这些问题,使系统遭到破坏的机率减少了到最低。
六、结语
在医院信息化建设的过程中,医院信息管理系统的安全问题是非常重要的部分,每个使用医院信息管理系统的用户都有责任保证医院信息系统的正常运行。所以,医院要对使用医院信息管理系统的全部用户都定期进行安全知识方面的培训,使全部使用医院信息管理系统的用户都具备良好的安全意识,并且根据具体的情况制定出有效的安全应急的预案,建立完善的安全管理规章制度,使医院信息管理系统在运行的时候能够高效、安全、稳定,使医院的服务水平、市场竞争力和管理水平都得到相应的提高,当然,这样也能够提高医院的社会影响力,使医院的效益越来越高。
参考文献:
[1]严冰.网络安全在医院信息管理系统中的重要作用[J].行政与管理,2008,281.
[2]萎琼,张泉方.医院信息管理中的数据备份研究[J].数据库技术与应用,2008.3(11):49-51.
[3]满育红.医院信息管理系统中的数据备份与恢复[J].吉林医学,2007,28(9):1149-1150.
[4]张嫒.医院信息管理系统的病毒的防治初探[J].信息与电脑,2011,5:12-14.
[5]张秀玉.SQL SERVER 数据库程序设计[M].机械龚古尔出版社,2005:68-97.
[6]胡柏敬,姚巧梅.SQL SERVER 2005 数据库开发讲解[M].电子工业出版社,2006.
[7]DAVDV.客户机/服务器策略[M].北京:电子工业出版社,1995.
[8]张本成,何清林.中小企事业单位数据安全网络改造方案[J].科技情报开发与经济,2005,20:204-205.
[9]苗雪兰.数据库系统原理及应用教程[M].机械工业出版社,2001:7.
[10]医保计算机系统中 IC 卡的安全设计:[D].南京:南京理工大学,2004.
[11]项庆坤.刘彦伟.医疗保险管理系统中的数据传输设计[J].计算机络,2002,13:5 6-57.
[12]薛华成.管理信息系统(第三版)[M].北京:清华大学出版社,1999.
[13]萨师煊,王珊.数据库系统概论(第三版)[M].高等教育出版社.
篇13
1概述
互联网技术给我们带来很大的方便,同时也带来了许多的网络安全隐患,诸如陷门、网络数据窃密、木马挂马、黑客侵袭、病毒攻击之类的网络安全隐患一直都威胁着我们。为了确保计算机网络信息安全,特别是计算机数据安全,目前已经采用了诸如服务器、通道控制机制、防火墙技术、入侵检测之类的技术来防护计算机网络信息安全管理,即便如此,仍然存在着很多的问题,严重危害了社会安全。计算机网络信息管理工作面临着巨大的挑战,如何在计算机网络这个大环境之下,确保其安全运行,完善安全防护策略,已经成为了相关工作人员最亟待解决的问题之一。
2计算机网络信息管理工作中的安全问题分析
计算机网络的共享性、开放性的特性给互联网用户带来了较为便捷的信息服务,但是也使得计算机网络出现了一些安全问题。在开展计算机网络信息管理工作时,应该将管理工作的重点放在网络信息的和访问方面,确保计算机网络系统免受干扰和非法攻击。
2.1安全指标分析
(1)保密性
通过加密技术,能够使得计算机网络系统自动筛选掉那些没有经过授权的终端操作用户的访问请求,只能够允许那些已经授权的用户来利用和访问计算机网络信息数据。
(2)授权性
用户授权的大小与其能够在计算机网络系统中能够利用和访问的范围息息相关,我们一般都是采取策略标签或者控制列表的形式来进行访问,这样做的目的就在于能够有效确保计算机网络系统授权的正确性和合理性。
(3)完整性
可以通过散列函数或者加密的方法来防治非法信息进入计算机网络信息系统,以此来确保所储存数据的完整性。
(4)可用性
在计算机网络信息系统的设计环节,应该要确保信息资源具有可用性,在突然遇到攻击的时候,能够及时使得各类信息资源恢复到正常运行的状态。
(5)认证性
为了确保权限所有者和权限提供者都是同一用户,目前应用较为广泛的计算机网络信息系统认证方式一般有两种,分别是数据源认证和实体性认证两种,这两种方式都能够得到在当前技术条件支持。
2.2计算机网络信息管理中的安全性问题
大量的实践证明,计算机网络信息管理中存在的安全性问题主要有两种类型,第一种主要针对计算机网络信息管理工作的可用性和完整性,属于信息安全监测问题;第二种主要针对计算机网络信息管理工作的抗抵赖性、认证性、授权性、保密性,属于信息访问控制问题。
(1)信息安全监测
有效地实施信息安全监测工作,可以在最大程度上有效消除网络系统脆弱性与网络信息资源开放性二者之间的矛盾,能够使得网络信息安全的管理人员及时发现安全隐患源,及时预警处理遭受攻击的对象,然后再确保计算机网络信息系统中的关键数据能够得以恢复。
(2)信息访问控制问题
整个计算机网络信息管理的核心和基础就是信息访问控制问题。信息资源使用方和拥有方在网络信息通信的过程都应该有一定的访问控制要求。换而言之,整个网络信息安全防护的对象应该放在资源信息的和个人信息的储存。
3如何有效加强计算机网络信息安全防护
(1)高度重视,完善制度
根据单位环境与特点制定、完善相关管理制度。如计算机应用管理规范、保密信息管理规定、定期安全检查与上报等制度。成立领导小组和工作专班,完善《计算机安全管理制度》、《网络安全应急预案》和《计算机安全保密管理规定》等制度,为规范管理夯实了基础。同时,明确责任,强化监督。严格按照保密规定,明确涉密信息录入及流程,定期进行安全保密检查,及时消除保密隐患,对检查中发现的问题,提出整改时限和具体要求,确保工作不出差错。此外,加强培训,广泛宣传。有针对性组织开展计算机操作系统和应用软件、网络知识、数据传输安全和病毒防护等基本技能培训,利用每周学习日集中收看网络信息安全知识讲座,使信息安全意识深入人心。 (2)合理配置,注重防范
第一,加强病毒防护。单位中心机房服务器和各基层单位工作端均部署防毒、杀毒软件,并及时在线升级。严格区分访问内、外网客户端,对机房设备实行双人双查,定期做好网络维护及各项数据备份工作,对重要数据实时备份,异地储存。同时,严格病毒扫描。针对网络传输、邮件附件或移动介质的方式接收的文件,有可能携带病毒的情况,要求接收它们之前使用杀毒软件进行病毒扫描。第二,加强强弱电保护。在所有服务器和网络设备接入端安装弱电防雷设备,在所有弱电机房安装强电防雷保护器,保障雷雨季节主要设备的安全运行。第三,加强应急管理。建立应急管理机制,完善应急事件出现时的事件上报、初步处理、查实处理、责任追究等措施,并定期开展进行预演,确保事件发生时能够从容应对。第四,加强“两个隔离”管理。即内、外网物理彻底隔离和通过防火墙进行“边界隔离”,通过隔离实现有效防护外来攻击,防止内、外网串联。第五,严格移动存储介质应用管理。对单位所有的移动存储介质进行登记,要求使用人员严格执行《移动存储介质管理制度》,杜绝外来病毒的入侵和泄密事件的发生。同时,严格安全密码管理。所有工作用机设置开机密码,且密码长度不得少于8位,定期更换密码。第六,严格使用桌面安全防护系统。每台内网计算机都安装了桌面安全防护系统,实现了对计算机设备软、硬件变动情况的适时监控。第七,严格数据备份管理。除了信息中心对全局数据定期备份外,要求个人对重要数据也定期备份,把备份数据保存在安全介质上。
(3)坚持以信息安全等级保护工作为核心
把等级保护的相关政策和技术标准与自身的安全需求深度融合,采取一系列有效措施,使等级保护制度在全局得到有效落实,有效的保障业务信息系统安全。
第一,领导高度重视,组织保障有力。单位领导应该高度重视信息化和信息安全工作,成立专门的信息中心,具体负责等级保护相关工作,统筹全局的信息安全工作。建立可靠的信息安全基础设施,重点强化第二级信息系统的合规建设,加强了信息系统的运维管理,对重要信息系统建立了灾难备份及应急预案,有效提高了系统的安全防护水平。
第二,完善措施,保障经费。一是认真组织开展信息系统定级备案工作。二是组织开展信息系统等级测评和安全建设整改。三是开展了信息安全检查活动。对信息安全、等级保护落实情况进行了检查。
第三,建立完善各项安全保护技术措施和管理制度,有效保障重要信息系统安全。一是对网络和系统进行安全区域划分。按照《信息系统安全等级保护基本要求》,提出了“纵向分层、水平分区、区内细分”的网络安全区域划分原则,对网络进行了认真梳理、合理规划、有效调整。二是持续推进病毒治理和桌面安全管理。三是加强制度建设和信息安全管理。本着“预防为主,建章立制,加强管理,重在治本”的原则,坚持管理与技术并重的原则,对信息安全工作的有效开展起到了很好的指导和规范作用。
(4)采用专业性解决方案保护网络信息安全
大型的单位,如政府、高校、大型企业由于网络信息资源庞大,可以采用专业性解决方案来保护网络信息安全,诸如锐捷网络门户网站保护解决方案。锐捷网络门户网站保护解决方案能提供从网络层、应用层到web层的全面防护;其中防火墙、ids分别提供网络层和应用层防护,ace对web服务提供带宽保障;而方案的主体产品锐捷webguard(wg)进行web攻击防御,方案能给客户带来的价值:
防网页篡改、挂马
许多大型的单位作为公共信息提供者,网页被篡改、挂马将造成不良社会影响,降低单位声誉。目前客户常用的防火墙、ids/ ips、网页防篡改,无法解决通过80端口、无特征库、针对动态页面的web攻击。webguard ddse深度解码检测引擎有效防御sql注入、跨站脚本等。
高性能,一站式保护各院系网站
对于大型单位客户,往往拥有众多部门,而并非所有大型单位都将各部门网站统一管理。各部门网站技术运维能力相对较弱,经常成为攻击重点。webguard利用高性能多核架构,提供并行处理。支持在网络出口部署,一站式保护各部门网站。
“零配置”运行,简化部署
webguard针对用户,集成默认配置模板,支持“零配置”运行。一旦上线,即可防护绝大多数攻击。后续用户可以根据网络情况,进行优化策略。避免同类产品常见繁琐配置,毋须客户具备专业的安全技能,即可拥有良好的体验。
满足合规性检查要求
继08年北京奥运、09年国庆60周年后,10年上海世博会、广州亚运会先后举行。在重大活动前后,各级主管单位和公安部门,纷纷发文,要求针对网站安全采取措施。webguard恰好能很好的满足合规性检查的需求,帮助用户顺利通过检查。
4结束语
新时期的计算机网络信息管理工作正向着系统化、集成化、多元化的方向发展,但是网络信息安全问题日益突出,值得我们大力关注,有效加强计算机网络信息安全防护是极为重要的,具有较大的经济价值和社会效益。
参考文献:
[1]段盛.企业计算机网络信息管理系统可靠性探讨[j].湖南农业大学学报:自然科学版,2000(26):134-136.
[2]李晓琴.张卓容.医院计算机网络信息管理的设计与应用[j].医疗装备,2003.(16):109-113.
[3]李晓红.妇幼保健信息计算机网络管理系统的建立与应用[j].中国妇幼保健,2010(25):156-158.
[4]罗宏俭.计算机网络信息技术在公路建设项目管理中的应用[j].交通科技,2009.(1):120-125.
