安全保障管理策略范文
发布时间:2024-04-19 16:10:53
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇安全保障管理策略范例,将为您的写作提供有力的支持和灵感!
篇1
[关键词]:信息系统安全管理
随着信息技术以其惊人的发展速度向社会各个领域渗透,高效、便利与快捷的优势已不言而喻,管理实现代化、网络化、信息化已迫在眉睫,势在必行。然而,信息技术是一把“双刃剑”,在计算机和网络技术为档案管理提供便利的同时,其自身的脆弱性、技术的垄断性以及人为破坏等因素,又威胁到信息的安全,因而在信息化管理过程中,针对信息安全存在的威胁,有着高度警惕的思想和有效防范的措施。
一、信息安全的含义
信息社会的安全问题不仅涉及到个人权益、企业生存、金融风险防范、社会稳定和国家安全,甚至关系到环境安全、生态安全和人类安全。它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共、国家信息安全的总和,是一个多层次、多因素、多目标的复合系统。现代信息安全主要包括两个方面的含义,即运行系统的安全和系统信息的安全。
1、运行系统的安全
运行系统的安全,包括严格而科学的管理,如对信息网络系统的组织管理、监督检查,规章制度的建立、落实与完善,管理人员的责任心、预见性、警惕性、使命感等;法律、政策的保护,如用户是否有合法权利,政策是否允许等;物理控制安全,如机房加锁、线路安全、环境适宜等:硬件运行安全;操作系统安全,如数据文件是否保护等;灾害、的避免和解除;防止电磁信息泄漏等。
2、系统信息的安全,包括:用户口令鉴别;用户存取权限控制;数据存取权限、方式控制、审计跟踪、数据加密等。从要素来看,信息安全是过程、政策、标准、管理、指导、监控、法规、培训和工具技术的有机总和。信息安全问题主要依靠密码、数字签名、身份认证、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制加以解决。
二、企业管理中信息安全的需求
企业现代化的运作和管理是依赖于企业的网络和国际互联网。信息化给企业管理带来的是高效的运作和对外信息的交换等的极大好处。信息系统的应用都依赖与网络,这就会有许多安全间题需要解决,归纳起来主要有以下一些安全问题需要解决。
1、对人的安全需求
管理的对象是人,人是信息安全面临的最大风险,人的思想和情绪是最为复杂的,员工有的可能利用公司的网络开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给企业的正常运作和管理造成极大的安全风险。
对于不满公司的内部管理人员如果把内部网络结构、管理员用户名及口令以及企业信息系统的一些重要信息传播给外人带来信息泄漏风险,甚至是商业和法律的风险。
还有如果存在不适当的信息系统授权,会导致未经授权的人获取不适当的信息。操作失误或疏忽会导致信息系统的错误动作或产生垃圾信息;恶意篡改数据、修改系统时间、修改系统配置、恶意导入或删除信息系统的数据,可能导致重大经济案件的发生。有令不行、有禁不止等人为因素形成的风险,是信息化管理中最主要的安全问题。
2、对应用系统的安全需求
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的,应用的安全性也动态。这就需要我们对不同的应用,采取相应的安全措施,降低应用的安全风险。
如果在企业的管理系统中没有考虑必要的安全模块的设计,或安全设计存在缺陷,都会导致管理系统安全免疫能力不足。没有完善、严格的安全系统管理机制,会导致机房管理、口令管理、授权管理、用户管理、服务器管理、网络管理、备份管理、病毒管理等方面出现问题,轻则产生垃圾信息,重则发生系统中断、信息被非法获取。
当前企业的管理系统己是一个庞大的网络化系统,在网络内存在众多的中小型机、服务器、前置机、路由器、终端设备,也包括数据库、操作系统、中间件、应用系统等软件系统。网络中的任何一个环节均可能出现故障,一旦出现故障便有可能造成系统中断,将会影响到整个企业的管理和运作。
3、对数据的安全需求
对于企业的管理和运作,最为宝贵的财富就是数据。要保证系统稳定可靠地运行,就要保护基于计算机的信息,也就是存储在计算机内的数据。虽然,计算机技术的发展给人们的日常生活提供了很多便利,然而,人为的操作错误,系统软件或应用软件的缺陷、硬件的损毁、电脑病毒、黑客攻击、自然灾难等等诸多因素都有可能造成计算机中数据的丢失,从而给企业造成无可估量的损失。此时,最关键的问题在于如何尽快恢复计算机系统,使其能正常运行。
三、制定信息安全策略
信息安全不是网络安全,如果将注意力过多地集中在网络层,往往会掩盖信息安全更加本质的内涵,信息安全不只是网络保护问题,而应该是能够帮助企业实现业务目标的一整套技术手段和措施。信息安全是通过制定实施一整套适当的安全策略实现的。必须建立起一整套的安全策略,确保满足企业管理的安全目标。
要制定一组最优的信息安全策略主要的要素包括如下几个方面:
1.要保护的对象
Ø硬件和软件
硬件和软件是支持企业运作和管理进行的平台,它们应该有策略保护。所以,拥有一份完整的系统软件硬件清单是非常重要的,这当中应该包括一张网络图。有很多方法来生成这份清单和网络图,无论用什么方法,必须确定所有东西都被记录了。
Ø非信息类资源
清单和策略一样,不仅仅和软硬有关。既应该有文档来记录程序、硬件、系统和本地管理过程,也应该有文档描述技术业务过程的方方面面。后者可以包括公司业务如何运作等信息,也可以展示易受攻击的区域。
同样的,清单应该包括所有的正式打印表格,印有公司名字页眉的信纸以及其它带有官方名称的材料。一个使用公司空白支票和正式信纸的人可以假冒公司的官员,进而盗用资金甚至损坏公司名誉。所以,必须把这些物品包括在清单里面,以使策略能够保护这些资产。
Ø记录人力资源
最重要和最昂贵的资源是人力资源,这些人操作和维护那些清单上记录的物品。
2.判断系统保护应该针对哪些人
定义访问是了解每个系统和网络组件如何被访问的过程。明白了信息资源是如何被访问的,就能够确定策略应该集中在谁身上。对于数据访问来说,有以下几个需要考虑到的方面:
a)对信息或资源的授权和未授权访问:
b)无意或者未授权的信息泄密;
c)执行程序概要:
d)漏洞和用户错误。
3、数据安全的考虑
我们使用计算机和网络所作的每一件事情都造成了数据的流动和使用。所有的公司、组织和政府机构,不论它们从事什么工作,都在收集和使用数据。即使是制造商的操作也离不开关键数据的处理,包括定价、车间自动化和存货清单控制。由于数据的重要性,所以定义策略的时候,了解数据的使用和结构是编写安全策略的基本要求。
4、备份、文档存储和数据处理
把数据备份到外部站点或者其它介质上,有关这方面的策略和在线访问信息策略是同样重要的。备份数据可以包括财政信息、客户往来记录甚至当前业务过程的拷贝。备份策略需要考虑的情况的包括:数据如何存档,在准备丢弃数据的时候应该作些什么。
上述组成要素最基本的。随着信息环境的变化、网络技术的更新、组织业务的变更,我们可以增加新的要素。总之,组织制定出的信息安全策略要达到控制安全保护措施的实施的目的。
四、结语
信息的安全问题是一个动态和相对的问题,信息安全的管理必须制定适当的安全策略并严格实施,才能为管理工作实现信息化提供信息安全保障。
参考文献
[1]赵战生,信息安全保障技术发展—动态与印象,中科院信息安全国家重点实验室会议报告,2001年
篇2
2014年以来,集团公司、油田全面开展从严管理年活动,从领导的重视程度、问题排查的细致,整改措施的制定,具体工作的落实,可以说规格是空前的,我结合自身的实际工作,讲一点体会和感想。
都说安全工作难干,但是在我看来难干的不是工作,而是协调身边的人一同干工作,面对全厂数千个生产现场,几千名职工的工作行为,怎样才能确保制度落实到位,怎样才能保证不出事故?
一、责任要落实到位,让大家感到压力
近一年多来,我感受到的最显著的一个变化,就是各部门的态度有了转变,以前,我们安全工作者最常听的一句话是“你们安全又怎样怎样”,那时是我们安全部门跟在后面要求大家去检查,而现在呢,各个业务部门主动组织检查,邀请我们去协助。在这方面,还是有一点建议。安全工作是个万金油的工作,但在某些专业知识上有所欠缺,我们最希望见到的是专业部门能够从专业的角度找出问题、查出隐患,看看专业系统内部是怎么开展日常工作,从而保障生产安全的,而不是单纯的大家一起来查安全资料、查现场安全。可能这有点吹毛求疵,但是作为一个安全管理者,内心最希望的是安全管理人员真正能成为一个监管者,当然,我们也知道这是一个职能、角色转变的必经过程,但这是一个努力的方向,也是我们工作的目标。
二、教育要警示为主,让大家触动内心
以往的安全教育,包括“我要安全”的教育大都是正面的教育和引导,但是现在看来仅有正面的教育和引导是不行的,要加大反面警示和惩处的力度,这个惩处也是一种教育,通过加大惩处的力度,真正消除干部职工的侥幸心理,切实使大家从内心里提高安全意识,真正把自己的生命当回事,把别人的生命当回事。要进一步收集整理各专业事故相关资料,制作多媒体学习资料,下发各单位作为安全教育的常规教材,把事故当成一种资源来利用好。
三、制度要一贯坚持,让大家习成自然
以我们厂的一个事情为例,从前年起,我们维修大队制定制度,凡进入生产、施工现场都必须带安全帽,无论有没有坠物风险。刚开始,职工有抵触情绪,觉得是矫枉过正,在一次动火监护的时候,一名气焊工跟我说,他去参加局里的一个技术比赛前的训练,当他进入现场准备练习的时候,很自然的就把安全帽呆在了头上,其他单位的职工都笑话他,啥时候也不忘带帽子啊,他笑了笑说;“习惯了”。还是一次动火监护,在分离器区焊接流程,由于长时间的下蹲工作,一名焊工起身时没有站稳,一下子就载向了身侧的阀门丝杠,尽管有丝杠护套和安全帽的双重保护,安全帽还是被磕出了一个印记。这仅仅是一个例子,当严格的要求大家都习以为常了,我们的管理就到位了。
四、监管要严上加严,让大家明白底线
有着200年历史的杜邦企业的安全文化,共分为4个阶段,自然本能反应阶段―依赖严格的监督阶段―独立自主管理阶段―互助团队管理阶段,以目前安全水平看我们仍处在第二阶段,需要依赖严格的监督。安全工作得罪人,安全监管就更要狠下心去,不下狠心就没有效果,不能光靠空喊,你不狠就有人对你狠,你不严就有人对你严,你不处理违章就有人处理你,等出了事故再检讨,再反思,一切都晚了。不是说出了事故怕被处理,而是出了事故以后,一些人走了就再也回不来了。所以说,我们搞监管,自身底气要硬,我们是为了工作,是为了事业,是为了他人的生命。
五、考核要公正公开,让大家看到差距
没有严格的要求,就没有安全的效益,趋利避害是人最原始、最基础的行为准则,怎样才能把这个“利”让大家看得到,把这个“害”让大家体会得到,我觉得就是要在考核上下功夫。二季度油田下发了考核公报,十几单位因违章问题被处罚,我们厂领导看了很有感触,不但在月度会上专门通报,还在厂内下发让全体科室、单位组织学习。坦率的讲,从日常监督检查发现的问题推算,全采油厂每天都有着违章问题发生,怎样杜绝违章,还是要转到如何改变职工行为上来。
篇3
中图分类号:G202 文献标志码:A 文章编号:1000-8772(2013)09-0170-03
引言
在当前的错综复杂的信息环境中,信息随着信息环境多样化的发展,变得更加的丰富与多样。在信息的传播过程中,信息异化现象的越发明显,不仅给人们获取和利用信息带来了障碍。而且也进一步地影响了人们信息活动的安全。
“异化”(alienation)源于拉丁语alienation,有转让、疏远、脱离、差异和分离之意。所谓信息异化,是指人们创造的信息在生产、传播和利用等活动过程中,因受到各种因素的干扰,而导致信息丧失原有的内涵,甚至反客为主演变成外在的支配、统治和控制人的异己力量。简单地说,信息异化就是作为主体的人与作为客体的信息之间产生关系的颠倒,从而使人丢失了自身的主体性。由此可以看出,信息异化扭曲了信息的本质,直接影响了信息的合理利用,而如何客观的认识信息异化环境,准确处理信息异化问题,是我们必须解决的核心问题。
信息安全是信息异化所涉及到的最为敏感且重要的问题之一。关于信息异化在信息安全方面的研究,其采用的处理手段主要集中在信息导航、信息过滤控制以及信息安全保密角度三个方面。信息导航作为展示信息资源内容与结构的基本手段,以有序化的方式体现无序化的信息,为用户提供方便快捷的信息指引;网络信息过滤作为筛选信息、满足用户需求的有效方法,通过运用一定的标准和工具,从大量的动态网络信息流中根据用户的信息需求选取相关的信息或剔除不相关信息;信息安全保密控制的核心在于融合管理、技术、执法几种手段综合加以治理,通过内部网的安全保密技术以及内部网与外部网的防火墙技术隔离技术确保内部网的安全,同时细化电子文件密集,完善身份验证、存取控制、数据完整性、数据机密性、防火墙技术、安全协议等手段,实现信息安全技术的应用。
现阶段对于信息异化中信息安全的研究大多都处于强针对性条件下的研究现状,单一的目的性导致了信息异化影响无法完全消失,信息污染无法被彻底地清除,信息安全依旧得不到完善的保障。因此,本文旨在参照目前信息异化的现状处理的不足,在分析现有的安全保障系统缺陷的条件下,提出一套系统性的安全保障模式。
一、现有的企业信息安全保障系统
目前,国内外与信息异化环境下的信息安全保障相关的系统结构主要为OPSEC安全保障策略和网络信息创新平台。
(一)安全保障策略(OPSEC)系统
OPSEC安全保障策略(Operation Seeurity),是美国国家安全局依照企业反竞争情报的理念设计的一套以分析信息的价值人手,针对信息的价值来确定所要采取的保护策略的安全保障系统。OPSEC的运行机制是通过鉴别和分析竞争对手想要获得的决定竞争成败的关键信息,确定关键信息的危害程度,采取措施进行补救减少威胁,同时对自身信息系统的所有过程进行检验和分析。找到直接危害信息安全的弱点并采取弥补措施,通过对自身弱点的分析,找到弥补措施的平衡点,并最终综合上述所有的环节进行研究,制定出综合应对策略嘲。
OPSEC在通过运用过程中通过全面分析信息找出存在的漏洞,通过分析这些漏洞是否值得保护而进行的筛选信息保护。OPSEC的应用偏重于针对一定信息的异化处理和安全保障,有利于在低投入的条件下从根本上清除相关的信息污染,但降低了针对信息自身的多变性和时效性的异化分析。
(二)网络信息创新平台模式
网络信息创新平台即建立在技术进步基础之上,利用信息科学的基本原理和方法实现人类信息处理扩展的技术模式。网络创新平台的着重点在于虚实与创新有机结合的信息技术模式,从提高信息技术的综合水平上加强安全保密措施。虚实与创新有机结合的信息技术模式,在于针对现代信息技术发展造成信息生产者创新能力的丢失以及虚假信息扩散的现状,发展出的一种将虚实和创新有机结合的信息技术模式,通过信息的时效性、开放性等特征,将各种现实信息紧密联系,实现不同媒介信息的融合,提升信息的创新价值,在信息生产的阶段,由于信息技术的促使信息量逐步提升使得信息在急剧增加的同时质量下降,而提高信息技术的信息加工传递的速率以及信息的辨别处理能力。当今的技术漏洞使信息安全受到了威胁,成为威胁信息安全的隐患。信息系统安全保密技术是防止信息污染发生的一项关键性技术系统,保障信息活动逐步规范化。
网络信息创新平台在理论上建立起了针对信息异化环境的信息安全保障系统,通过从信息的生产源人手,进一步体现信息的本质并兼顾自身的安全保障,对信息的处理和安全保障更加规范化。但目前信息安全的发展缺乏在信息安全应用上的创新研究,研究与应用发展不平衡性,没有覆盖信息安全的主要方向。
二、企业信息安全保障系统构建与分析
(一)核心目标
信息安全保障系统是指在信息环境下由信息安全的各个组成部分相互联系且相辅相成所建立的总体结构。在信息异化的环境下,信息污染将成为信息安全的首要威胁之一,因此对于信息异化的处理将成为信息安全保障的首要工作。
信息安全保障系统能否具有可行性的关键,在于系统自身能否解决异化环境中信息污染的处理问题,以及能否适应当前所面对的各种客观的信息安全保障环境和日益加剧的安全系统漏洞。
(二)企业信息安全保障系统结构构建
信息异化环境下的企业信息安全保障系统(如图1所示),该系统的关键在于将异化后的信息通过信息清理模块的初步处理,使信息的核心价值得以体现,再通过安全保障模块的核心进行分析处理与安全保护模块的信息加密,防止信息受到二次异化,从而使得信息价值得到充分的利用。
(三)企业信息安全保障系统的运行机制
信息异化环境下企业信息安全保障系统的运行机制(如图2所示):将信息异化环境中被异化的信息提取并选择与自身安全有关联的信息进行关键词挖掘,通过对异化信息中的核心词汇进行提取用以找到合适的信息源,同时对同信息源或同类关键词汇进行合成从而形成关键信息并进行分析和制定安全保障策略,最后通过设置的保密措施来对安全保障策略进行实施和成效反馈。因此,该信息安全保障系统中应包含信息清理模块、安全保障策略模块以及自身的安全保护模块三个部分。
(四)企业信息安全保障系统功能分析
1 信息清理模块
信息清理模块主要用以对信息异化环境中受到异化的信息进行初处理,其具体的实施功能为信息源选取、关键词挖掘和信息集成。
(1)信息源选取。对信息异化环境中的信息进行过滤,选取与目前对自身安全有关的信息,并确认信息的信息源。(2)关键词挖掘。通过对与自身安全相关联的信息进行语义挖掘,判断并找出信息中的核心词汇。(3)信息集成。明确信息的信息源,并将其与被挖掘出来的信息关键词进行关联分析,同时通过将信息源所发出的所有与自身目前相关的信息与挖掘LIJ的信息关键词进行匹配,找到合适的信息体进行合成。
2 安全保障模块
安全保障模块是以信息分析,策略制定和实施以及成效反馈为主要步骤来进行的信息安全保障活动。
(1)信息分析。将已经合成的信息进行分析,发现其对自身信息安全产生的威胁,并找到自身信息安全存在的漏洞。(2)策略制定。对信息威胁和发现的信息漏洞进行综合研究,制定}H相关补救策略,同时进一步加强总体性的信息安全保障。(3)策略实施。针对所制定的策略细节进行加密保护,再将加密后的策略信息进行实施和传递存储。(4)成效反馈。基于策略实施后的成效进行反馈研究,并将结果进行加密后返送至信息分析功能板块,通过对反馈的成效分析,查漏补缺,进一步制定和完善信息安全保障策略。
3 安全保护模块
安全保护模块的主要功能是保密措施,其运行机制在于对安全保障模块中保障措施的实施和反馈进行的加密保护,并通过一系列实践活动进一步对策略的实施给予保障。
三、实验分析与验证
(一)信息清理
目前从网络销售平台中,将某手机品牌制造企业生产的E型手机选取三条相关信息:
信息1:本品牌产品本月综合关注排行有所提升;
信息2:此E型手机的总销量为近两百四十台;
信息3:此E型手机本月销量上升一个百分点。
(二)信息挖掘与集成
现分别将以上三条信息的关键词进行挖掘与集成,即如下表所示:
(三)安全保障
根据集成信息进行分析,可以得出本产品具有一定的市场潜力,在品牌效应促使下产品销量也正在逐步提升,因此,保障品牌的可信度以及产品的好评率是取得客户信任的关键一环。针对此现象,制定出进一步打造品牌效应,加强广告宣传力度以及实行产品促销活动,争取更广泛的客户群体的提升策略。
在策略进行的同时,开展有偿回访,积极深入了解客户的内心需求,并针对客户的需求进一步完善产品的功能,并在产品平台的基础上研发功能更加全面的软件,进行升级下载。
(四)安全保护
在策略制定的过程中,为了获取准确的客户信息。需要在客户回访中,深入了解客户购机的背景以及用途,同时进行多层次的交流以及实行多次的效应评估和完善评价。在品牌宣传的过程中实施相关信息的及时反馈,并在促销活动中体现品牌诚信以及公信度,从而进一步保障策略准确的实施和虚假异化信息的有效防范。
四、结论
信息是人及其活动中不可缺少的要素之一。在社会信息环境中,信息异化会促使人们表现出对自己创造的信息环境的不适感。针对信息异化现象的控制,需遵循信息生产、传播和利用的利他法则。因此,信息行为也必须像其他行为一样受道德与法律的双重规范的约束。对于信息异化的控制,需努力寻找其根源,从多个角度进行控制研究,有效控制信息异化。
通过对于目前所提出的信息异化环境下的企业信息安全保障系统的阐述,我们可以从中发现系统性综合性的信息安全保障模式可以在信息异化的环境下,针对特定的信息进行相关异化分析,并在内部和外部环境下的信息综合评价进行安全保护。但作为系统性的运作模式,各模块由于其间特性的不同,从而导致的模块之间的衔接较为简单,因而形成了信息安全保护相对较低、对于个别综合性较大的异化信息所需进行的处理力度略显不够的状况。因此,进一步提升信息安全的防范指数,促进信息异化环境下的信息安全运作系统各模块间的衔接,下一步所需研究的核心问题。
参考文献:
[1]刘丹丹,孙瑞英,网络环境下信息异化的心理原因探析[J]图书馆学研究,2009,33(4)
[2]孙瑞英。信息异化问题的理性思考[J]情报科学,2007,25(3):340-344
[3]曾忠禄,情报制胜[M],北京:企业管理出版社,2000:281-283
[4]俞培宁,信息异化的成因及对策研究[J],图书馆学研究,2011(3):9-11
篇4
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 19-0000-02
1 网络安全问题概述
1.1 网络安全的现状。2011年,我国境内与互联网连接的用户有60%以上的用户受到境外用户的攻击。仅在过去的两年我国遭到网络安全攻击的计算机IP地址就超过了100多万个,被黑客攻击的网站将近5万个;在网络病毒威胁方面,我国仅被一种网络病毒感染的计算机数量就超过了1800万台,占全球感染主机总量的30%,位列全球第一。近些年关于漏洞多,木马、病毒猖獗;网络瘫痪、网站被篡改、系统被入侵;网银转款、网上诈骗等网络安全问题的报道也非常多,网络安全现状令人堪忧。
1.2 网络面临的问题与挑战。随着计算机网络通信技术的高速发展,人们的工作和生活越来越离不开计算机网络信息通信系统,近些年,新涌现出来的网络信息安全问题已成为全球广泛关注的焦点问题,人们在在网络信息安全方面面临着各种各样的问题,来自网络安全的各种挑战非常严峻。
首先,计算机网络信息系统不断从传统的专有系统想当前的通用操作系统转变,也就是说,当前的网络信息系统越来越开放,再加上,绝大多数网络通信系统采用的是TCP/IP网络传输协议来进行网络通信服务的,而TCP/IP网络传输协议由于自身安全性不足,给网络信息系统的安全就带来了一定的挑战;其次,随着国际互联网网络这一大环境的不断改变,针对网络信息系统的安全威胁不断表现出多样化和多源化的特点,针对网络系统的安全威胁的多样化和多源化,需要构建一个纵深的、立体的、全方位的网络安全解决方案,这就为网络安全防御系统的复杂性和可控性问题提出了挑战;最后,在过去的几年中,有很多组织机构部门对自身的网络信息系统的安全建设进行了大量的人力和资金投入,并花费了大量的资金用来进行网络系统安全设备的采购,以采集大量的网络通信日志及网络安全攻击报警信息,但问题是,所采集的这些信息并没有被得到充分的利用,以至于许多未被明确的网络安全风险,依然保留在网络信息系统中,从而对网络信息系统的安全构成威胁。
2 认识网络安全保障体系
2.1 网络安全保障体系的提出。随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱,更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,网络安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的网络系统面临的风险能够达到一个可以控制的标准,进一步保障网络信息系统的安全稳定运行。
网络安全保障体系是针对传统网络安全管理体系的一种重大变革。它依托安全知识库和工作流程驱动将包括主机、网络设备和安全设备等在内的不同资产和存放在不同位置中的大量的安全信息进行范式化、汇总、过滤和关联分析,形成基于资产/域的统一等级的威胁与风险管理,并对威胁与风险进行响应和处理,该系统可以极大地提高网络信息安全的可控性。
2.2 网络安全保障体系的作用。网络安全保障体系在网络信息安全管理中具有十分重要的作用,主要体现在如下三个方面:首先,网络安全保障体系可以对整个网络系统中不同的安全设备进行有效的管理,而且可以对重要的网络通信设备资产实施完善的管理和等级保护;其次,网络安全保障体系可以有效帮助网络安全管理人员准确分析现有网络信息系统所面临的安全威胁,从而可以帮助管理人员制定合理的网络安全应急响应流程;最后,网络安全保障体系可以通过过对网络风险进行量化,实现对网络风险的有效监控和管理。
3 网络安全保障体系的构建策略
3.1 确定网络安全保障体系构建的具体目标。网络安全保障体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。其中,信息安全的组织体系是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构,主要包括决策、管理、执行和监管机构四部分组成;信息安全的策略体系是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。
3.2 确定适合的网络安全保障体系构建的方法。(1)网络安全管理基础理论。网络安全保障体系的安全管理方法就是通过建立一套基于有效的应用控制机制的安全保障体系,实现网络应用系统与安全管理系统的有效融合,确保网络信息系统的安全可靠性。(2)建立有效的网络安全保障体系。一是网络信息安全组织保障体系作为网络信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定,建立的网络安全保障体系可以在完善信息安全管理与控制的流程上发挥重要作用;二是网络信息安全技术保障体系作为网络安全保障体系的重要支撑,有效利用访问控制、身份鉴别、数据完整性、数据保密性等安全机制,是实现网络安全防护的重要技术手段;三是网络信息安全运维保障体系可以通过对网络信息系统的安全运行管理,实现整个网络信息系统安全监控、运行管理、事件处理的规范化,充分保障网络信息系统的稳定可靠运行。
3.3 建立网络安全保障体系组织架构。网络安全组织体系是网络信息安全管理工作的保障,以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。因此,需要根据该组织的网络信息安全总体框架结合实际情况,确定该网络组织信息安全管理组织架构。其中,网络安全保障体系组织架构主要包括如下内容:一是网络信息安全组织架构。针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果;二是信息安全角色和职责,主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责;三是安全教育与培训。主要包括对安全意识与认知,安全技能培训,安全专业教育等几个方面的要求;四是合作与沟通。与上级监管部门,同级兄弟单位,本单位内部,供应商,安全业界专家等各方的沟通与合作。
3.4 建立网络安全保障体系管理体系。(1)网络访问控制。用户访问管理规范及对应表单、网络访问控制规范与对应表单、操作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单。(2)网络通信与操作管理。网络安全管理规范与对应表单、Internet服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单。(3)网络信息系统的获取与维护。网络信息系统的获取与维护即要求明确网络信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单和相关的软件系统。
参考文献:
篇5
对于电子档案而言,其主要是建立在计算机和网络技术的基础之上,属于相对较新的事物,对档案工作具有极大的推动作用。但是,在实际应用中,鉴于诸多因素的影响,使得其在安全问题上面临挑战,因此,要加强电子档案信息安全保障系统建设。
一、对电子档案信息安全保障体系概念的分析
电子档案的信息安全保障体系,主要是借助一定的安全策略,应用先进和科学的安全技术,实现对电子档案信息的有效防护和监控,保证电子档案信息在整个保存和处理中的安全性,提高并保证档案信息的真实性和完整性,彰显动态的调整功能,主要是由防护、检测、反应和恢复四个环节,实现持续发展的动态过程。
二、全面介绍电子档案信息安全保障体系的组成部分
(一)重视法制标准保障的全面建设。1.注重建立更加专业的电子档案信息安全法律。当前,电子档案信息安全相关法律主要在刑法、档案法中有所体现,但是,缺少专业性的电子档案信息安全法,在一定程度上使得电子档案信息在保护和执行方面力度不够。因此,需要重视安全法规的建设,形成具有针对性的安全保障措施,针对破坏现象,进行相应的处理,同时,强化执法强度,保障电子档案管理能够有法可依,强化执法力度。2.重视完整的电子档案信息安全立法。在档案信息安全立法中,缺乏严谨的结构体系,缺陷比较明显,主要包含相关的公开制度、隐私权法律制度、网络知识产权等。3.形成全面的档案信息安全标准体系。对于档案信息安全标准体系,其发展较晚,属于初级发展时期,缺乏完整性和健全性,因此,要立足基础、技术和管理标准,进行标准体系的建设。在系统运行中,要注重对新型系统的设计、验收、运行和维护,在根本上实现电子档案安全管理的有序进行。
(二)做好基础设施保证建设工作。对于电子档案信息的传递和运行,基础设施建设必不可少,主要是立足硬件系统和运行技术架构,实现对安全信息技术环境的营造。在基础安全架构中,要立足网络安全架构,结合软硬件,实现安全系统的有效部署。在进行架构设计的时候,需要针对功能进行分区,实现对网络功能的明确,设置保护等级,同时,进行信息访问权限的限制。
(三)全面加强组织管理保证建设。1.将先进的管理思想渗透其中。对于电子档案,需要重视前端和全程控制管理思想,立足文件到档案的全周期监控,能够及时发现其中的问题,保证监督的有效性。要重视分级管理,结合文件价值,进行安全管理,强化管理力度。要将风险管理的思想融入其中,进行有效评估,形成对策,降低档案安全风险。2.重视建立权威性的信息安全管理机构。对于档案管理机构,只有保证其权威性,才能提高管理工作的高度。在组织上,需要重视职能的划分,在根本上保证对信息安全管理工作的战略性指导,也能够做好具体工作,形成详细的应对策略。3.重视对基础设施配置的管控。在进行基础设置配置的时候,需要重视对各种参数的考量,保证其根本的稳定性与可靠性,达到安全运行的目的。同时,要重视对地址的选择,保证各方面要求能够达到技术要求。4.设计更具可靠的电子档案安全管理系统。对于电子档案管理而言,信息技术十分关键,需要保证安全性与稳定性。为此,在设计的时候,结合控制的思想,立足档案管理的责任,在根本上满足档案安全功能的需要,尤其是强化权限、监控等功能等。
(四)加强安全技术保障工作。1.将物理安全平台的构件作为重要工作来抓。对于网络电子信息的安全性,物理安全发挥重要的作用,主要针对环境、设备和媒体安全几个方面,有效防护环境的安全性,保证设备稳定性,避免干扰现象,保证数据的安全性。2.加强对电子档案安全管理的网络支持。主要包含传输和业务网络两个部分。其中,传输网络安全能够有效维护电子档案传输的稳定性,有效保证网络服务的可靠性。而对于业务网络安全,主要对病毒的防范、对防火墙的设置以及对网络的监控,实现对档案信息系统业务资源的有效防护。
三、结语
综上,电子档案信息安全保障体系具有系统和综合性,重视法制建设标准,立足基础安全设施,重视整体安全策略和组装,借助先进的安全防范机制,保障档案信息资源的高安全性、高可靠性和高可用性。同时,积极促进档案整体信息化应用水平的全面提高,为信息化建设保驾护航。
【参考文献】
[1]黄昌瑛.电子档案信息安全保障策略研究[D].福建师范大学,2007.
篇6
数字档案安全管理是一个综合课题,有技术因素、制度因素,也有人为因素。数字档案信息安全意识的薄弱给安全管理带来了新的问题,又需要信息安全技术的更进一层;运用相应的法规、制度去规范日常的管理工作,这些要素构成了数字档案馆的“硬环境”;而数字档案馆的“软环境”则是指对数字档案的安全管理,这表现在组织管理、人员管理等方面。数字档案安全问题需要从“硬环境”和“软环境”两个方面着手解决,这就是所谓的档案安全管理,但是数字档案信息安全管理仍然面临着种种困难和障碍,不容忽视。
一、数字档案信息安全管理面临的主要问题有:
1.意识问题
目前,档案从业人员信息安全保障意识还很淡薄,数字档案信息安全管理这一重大问题,广大公众知之甚少,毫无感觉。他们在频繁的使用、查找数字档案信息的同时却没有明显的感受到那些现在存在的数字档案信息可能会消失。即便是档案管理人员也缺乏安全管理意识。没有主动的探讨或者进行研究。档案从业人员保障意识的缺乏,导致数字档案信息安全保障工作的理论和实践都缺乏坚实的基础。
2.技术问题
信息技术的快速发展,也使数字档案信息安全在技术层面面临许多问题。一信息安全技术的发展解决了一些数字档案信息安全保障问题。另一方面,信息技发展又为数字档案信息安全保障带来了新的问题,又需要信息安全技术的更进一展。数字签名、数字水印等,是常见的数字档案信息的识别和鉴别采用的技术,每一种都各有优缺点,选用一种还是几种,多种技术的互相配套机制如何,这些问题都有待进一步解决。
3.制度问题
目前在我国数字档案信息安全管理中存在许多问题,首先表现在数字信息安全管理的水平比较落后,管理制度不够健全,档案部门大多都制定了档案信息管理制度,但有些是为了应付检查而定,互相抄袭的多,结合本单位、本部门、用系统制定的少,致使执行起来困难,制度与管理工作脱节。
4.管理问题
首先是数字档案安全管理的水平比较落后,虽然数字档息安全评估工作得到了一定的重视和开展,但是安全评估和风险管理水平不高,自身研发的管理与分析工具。其次是日常操作不够规范,一是岗位、职责范围划明确,业务操作权限混乱,有越岗、代岗现象。二是操作人员擅自修改计算机软设置,在计算机上安装、使用与业务无关的软件,容易造成操作系统、业务程序痪。三是重要业务系统的计算机密码未定期更换或设置过于简单,使得非操作人易进入应用系统,随意操作计算机,容易造成系统数据的丢失。有的重要业务系位的操作人员由于缺乏安全知识,存在“有什么问题由网络管理员管”的依赖没有充分认识到不规范操作所产生的严重危害,容易违规操作。
5.人才问题
保障数字档案信息的安全,人是第一要素。数字档案信息安全管理保障的建立要一批既熟悉计算机知识又熟悉档案业务的复合型人才,但是目前档案部门很难遇到这样的人才。此外,档案专业人才严重外流,现有档案队伍整体素质较低、知旧,大多数档案管理部门在挖掘本部门数字档案信息安全保障人才方面的工作不到位,没有进行有效、专业且有针对性的指导,未能给予足够的重视与投入,档案关于数字档案信息安全保障的相应的课程体系还不够完善等现状,都制约着数字信息安全保障体系的建设。此外,在实际的数字档案信息安全保障体系建设过程中,档案管理部门的观念还存在着诸多的误区。
二、保障信息档案安全的应对策略
如何确保信息档案安全,成为档案信息化建设过程中极其关键的问题。针对以上各层次的安全问题,我们提出了以下保护数字档案的安全策略。
1.法律与制度支持策略
数字档案信息安全是一个庞大的复杂过程,如果没有配套的法律和制度,就不可能构造出一个完善、可行的数字档案信息安全保障体系。档案安全实际是人的计划、策略和实施,数字档案安全不能完全由计算机系统独立承担安全保障的任务,积极争取国家有关部门的政策支持,根据档案部门的实际情况,参考《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》《中华人民共和国档案法》《中华人民共和国保密法》等法律、法规,制定出适合档案部门的规章制度,以此约束所有用户、系统管理员以及其他成员,保证档案信息系统安全、可靠地正常运行。
2.提高技术保障的科技含量
在数字档案信息安全保障体系的技术保障建设中,要充分利用现代科学技术,充分实现数字档案信息安全保障体系建设的保障技术研发与数字档案信息安全保障体系的装备技术之间的互动,两者相辅相成,共同提高。采用几种成熟可靠的安全技术,重视产品安全可靠。采用防火墙、入侵检测、漏洞扫描、防病毒等安全技术,使用安全技术只是一部分内容,得到一个真正的数字档案信息安全保障环境。
3.加强职业道德及安全意识教育的策略
加强档案管理人员的职业道德教育和安全意识教育,提高档案管理人员素质,让他们认识到保存管理档案的重要性,严格按照档案管理的规章制度办事,认识到档案安全管理的重要性; 另外,通过进行职业道德安全意识教育,提高档案管理人员的责任心,使其具备认真负责的工作精神、精益求精的技术水平,良好的安全意识,才能保证电子档案真实性、安全性。
4.不定期开展信息安全管理培训策略
开展数字档案信息安全培训是数字档案信息安全管理体系的重要环节之一,对数字档案信息的安全起着重要作用。实际上,大部分数字档案信息安全问题是由人为差错造成的。人本身就是一个复杂的信息处理系统,而且人还会受到自身生理因素和心理因素的影响,受到技术熟练程度、责任心和道德品质等素质方面的影响。不定期对人员进行安全策略及安全技术的简单培训,尤其是安全策略进行修改或面临新的安全风险,以加强安全策略的有效程度。
5.人才支持策略
在数字档案信息安全保障体系中,人的因素起到了重要作用,要充分重视人的因素对数字档案信息安全造成的影响。安全漏洞、恶意者可乘之机的机会就越少。因此,在数字档案信息安全保障体系中,人的因素起到了重要作用,要充分重视人的因素对数字档案信息安全造成的影响。
三、结语
数字档案安全工作更是一项任重道远的工作,是一个不断完善各种规章制度和加强管理的过程,要总体规划、分布实施,
再好的安全产品,如果没有良好的安全策略和管理手段,档案的安全同样是难以实现的。数字档案安全必须是建立在技术、组织和制度的落实等方面,提高档案相关人员安全防护意识、加强管理人员安全管理的知识水平、提供必要的安全技术培训,显得尤为重要。数字档案安全问题需要从“硬环境”和“软环境”两个方面着手解决。
参考文献:
[1]李艇.计算机网络管理与安全技术[M].北京:高等教育出版社,2003.115~147.
[2]殷肖川,刘志宏,姬伟锋,万映辉.网络编程与开发技术[M].西安:西安交通大学出版社,2003.172~259.
[3]吕榜珍.数字档案的安全管理与技术措施[J].云南档案,2007(1)
[4]赵红霞.浅议档案管理中安全工作[J].青海国土经略.2008 (3)
篇7
1而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,网络安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的网络系统面临的风险能够达到一个可以控制的标准,进一步保障网络信息系统的安全稳定运行。
网络安全保障体系是针对传统网络安全管理体系的一种重大变革。它依托安全知识库和工作流程驱动将包括主机、网络设备和安全设备等在内的不同资产和存放在不同位置中的大量的安全信息进行范式化、汇总、过滤和关联分析,形成基于资产/域的统一等级的威胁与风险管理,并对威胁与风险进行响应和处理,该系统可以极大地提高网络信息安全的可控性。
2网络安全保障体系的作用。网络安全保障体系在网络信息安全管理中具有十分重要的作用,主要体现在如下三个方面:首先,网络安全保障体系可以对整个网络系统中不同的安全设备进行有效的管理,而且可以对重要的网络通信设备资产实施完善的管理和等级保护;其次,网络安全保障体系可以有效帮助网络安全管理人员准确分析现有网络信息系统所面临的安全威胁,从而可以帮助管理人员制定合理的网络安全应急响应流程;最后,网络安全保障体系可以通过过对网络风险进行量化,实现对网络风险的有效监控和管理。
网络安全保障体系的构建策略
1确定网络安全保障体系构建的具体目标。网络安全保障体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。其中,信息安全的组织体系是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构,主要包括决策、管理、执行和监管机构四部分组成;信息安全的策略体系是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。
篇8
1电子政务发展及建设问题分析
从概念上来说,电子政务是政府在其进行社会管理和社会服务过程中使用计算机信息技术,超越政府各部门之间的职能和时空的界限和制约,目的是能够达到促使政府政务的公平公正、高效廉洁、为民众提供更加优质的服务。我国电子政务系统的雏形始于1993年,是伴随着计算机信息技术的发展而出现的。随着计算机技术的迅速发展,政府门户网站、政府信息服务平台等新兴的电子政务形式也逐渐得到了应用。目前,基于计算机信息技术的电子政务系统的完善和创新是政府改革过程中的重要内容。但在电子政务实施与发展过程中还存在着许多问题,如政府部门对电子政务系统建设的重视程度不高、专职工作人员自身素质不高、电子政务系统的制度化管理不完善等,以及电子政务系统的安全保护技术不到位等。(1)安全保障制度不健全。政府部门在对电子政务系统安全保障管理制度不健全、管理不到位,在电子政务系统建设维护时缺乏制度化的管理措施。而且,基于计算机信息技术电子政务的信息安全保障工作缺乏信息安全认证机制,非工作人员随意进入网站机房或者利用用户口令进入到网站系统当中。这些制度上的缺失导致信息技术的安全保障工作难度增大,难以应对紧急突发事件,无法保障系统的信息安全。(2)内部管理松懈。电子政务系统安全保障近年来问题屡屡发生,如政府门户网站受到攻击、主页受到篡改、信息泄露事件等。分析原因,主要是从事电子政务系统安全保障管理工作的人员的安全意识、保密意识及工作责任心不强。甚至网站信息安全保障工作人员泄露内部的网络结构、用户口令,或者是内部工作人员恶意编写破坏程序等,让门户网站信息的安全系数下降。可见,政府门户网站信息泄露、网页篡改的原因,许多时候并非安全保障技术水平不高所导致,更重要的严格内部保障工作的管理。
2重视安全保障技术体系建设
加强电子政务系统安全保障体系的建设,就必须要提高信息安全保障技术水平,建设完善的政府安全信息技术监控体系。政府主管门户系统安全保障工作的部门,要高度重视电子政务系统的安全技术保障措施的完善,从硬件、软件两个方面加强建设。其一,要构建起完善的互联网病毒防御体系,安装防病毒软件并且及时进行更新,对软件进行升级和维护,切实做到有效抵御互联网上的恶意攻击。其二,在信息安全保障系统中加入入侵检测系统,把入侵检测软件和硬件设备相结合,作为防御病毒体系的补充,入侵检测系统主动寻找、分析系统系统内部的运行情况,将违反安全规则的对象和被攻击的部分检测出来,主动保护系统信息的安全。其三,要在硬件设备上及时更新升级,淘汰落后的硬件设备。防止由于设备使用时间长,导致安全保障能力下降。
3强化安全保障的制度建设
政府的电子政务系统,要严格按照国家对信息安全法律法规的标准建立起完善的信息安全管理制度。一要对计算机实施安全保密措施,定期更换计算机密码,并且对网络的访问权限进行制度化管理,涉及重要内容的信息必须要有专业的工作人员在专门的计算机上进行处理。二要对机房进行有效管理,完善机房的管理制度,对进入机房的设定进行权限规定。禁止携带对设备运行产生威胁的易燃易爆物品,设备的更换、更新进行登记,不定期检查设备的运行状态和机房的安全状况。三要健全巡视上报制度,工作人员要定期对系统的论坛、留言板、门户网站等进行检查巡视,完善信息前关键词和敏感字自动过滤的功能,密切关注社会发展的动态,更新敏感词和关键词,建立起垃圾邮件自动清理功能。如果在巡视过程中发现有违反法律法规的行为,及时向公安网络部门报告。四要与公安部门建立起完善的联系制度,打击网络信息犯罪的行为。通过完善政府电子政务系统安全保障制度,建立起长效的安全保障机制,减少因管理失当而产生的系统信息泄露、黑客入侵等行为的发生。
作者:李强 单位:长春信息技术职业学院
参考文献
[1]张震,刘芬.行政环境与我国电子政务发展的策略研究[J].中国公共安全(学术版),2007,(4).
篇9
档案安全体系按组织活动分成方向、使命、方针、政策、规划、计划、安排、程序、规定等形式。这些形式的活动从宏观到微观,从抽象到具体,构成了具有有序结构的多层次结构体系。这些不同的计划形式在组织管理中有着不同的应用,它对应着不同的管理层次,由此决定了战略的基本内容、目的、原则和要求。
档案安全保障体系构建的理论依据基本符合顶层设计,前段控制、全程管理、后段监督的理论,是从国家层面的管理上掌控和引导档案的重要思想。对这种理论与实践的研究和探索标志着我国档案走上了顶层设计、规划和集中控制的轨道。
前端控制是安全预防性保障非常重要的一项内容,是采取一切安全保障活动之前的设计、规范、要求和准备,是基于长期的实践经验和理论的基础对未来工作的预测、指导和计划,以便于将一些宝贵的经验和实践应用于今后的安全保障活动中。前段控制思想具体到安全保障活动中是:档案安全保障的标准化的建设与应用;为开展安全保障活动而制定的计划方案、普查活动,人员配置合理和技术力量的前期储备、设备的选择和环境的控制、整个预防性安全保障活动的监督、检查和评估;为妥善保管档案而选择的装具、包装等,事先制定的应急预案、抢救预案等等。因此,通过前端控制,可以增加档案自身对恶劣环境的抵抗性,提高保管与维护的相对稳定性,延长档案文献遗产的寿命。为了保存好未来的档案,进行前端控制是必要的。
全程管理是伴随着档案的生命周期而开展的一切安全保障管理活动。如温湿度监控、八防、载体材料的处理和信息的保护、安全保障方案的调整;档案的接收、信息检查、档案的安全利用制度、档案安全等级的划分、安全设备的正常维护、人员安全意识的培养和安全技术的培训等等。
后期监督包括安全保障活动的评估、人员技术水平的评估、财政结算、开展安全保障活动后的总结报告、制度、规范或标准的完善、提供参考性的开展安全保障活动的经验、方法或模式。档案安全保障体系是一种管理和技术的集成,是一种综合性、整体性、全面性的活动,需要长期的完善、积累和总结。
档案安全保障体系将致力于消除危害保护档案的各种因子,确保有利条件的实施。例如环境的控制,大到档案存放地大气环境的监察,小到电子文件存储硬件、软件环境的控制,档案利用与档案保存之间的矛盾,档案管理(保管)的细节问题,信息数字化的利用,国家统一控制与管理问题等等。尤其是珍贵档案,还面临抢救与保护、数字化拷贝、信息利用等问题。档案安全体系构建思路如图1:
二、档案安全保障体系动态响应模型
档案安全保障体系中的各要素都处于动态变化之中,彼此之间存在着业务上的联系。在不同等级层面上,可以使用不同的操作方式,在维护档案安全的前提下,提高体系运行效率。具体模型见图2。
该模型的内涵如下:
档案安全保障动态响应模型包括四个层次,分别是理论层、监控层、措施层、评估层。这四个层次分别代表安全保障动态响应的四个阶段,每个阶段的职责与功能各不相同。
理论层的内容包括档案安全保障体系理论研究,理论发展和理论延伸,其中理论发展和理论延伸依据的是档案安全保障体系动态发展的跟踪和先进经验的吸收以及相关领域的研究成果。理论层面的另一相关工作是政策法规与档案安全保障标准的制定。政策法规、制度与标准贯穿于整个档案安全保障体系始终,是实施安全工作的基础。
监控层的内容包括风险预测与监督。这一层面是为了保证理论层的工作能够得到有效监督与控制,保证技术与管理活动的正常开展,同时对潜在的危险进行预测并尽量规避。
措施层的内容包括分析问题、制定策略、实施安全保障措施、记录过程四项工作。这一层次是针对潜在风险和已出现的风险或不安定因素采取一定的措施,尽最大可能规避风险,排除不安全因素,对档案进行及时抢救与保护。其中,第一项工作是问题诊断,对发生的问题或事故进行分析归类,确定其性质,预测抢救结果;第二项工作是制定策略,在充分了解问题的基础上,选择合适的解决或抢救方案;第三项工作是实施安全保障措施,按照制定好的策略快速有效地开展安全保障工作,同时要注意各种突况,对策略进行修改,第四项工作是记录过程,对开展安全保障活动的整个过程从问题的分析开始进行详细登记备案,这样做既可以使各个环节都有据可查,也可以为今后的问题分析提供历史依据。
评估层的内容主要为质量评估。这一环节主要对措施层中各项工作及其结果进行质量评估考核,同时也兼顾其他层面工作的质量评估。
三、档案安全保障体系的组织形式
档案安全保障的实施需要科学的组织管理,需要明确责任、义务、权利,统一协调,完成管理目标。安全体系组织形式如图3。
该模型的内涵解释如下:
1.左边三角形内涵:以技术为基石,以人为本,以制度为约束,以目标为衡量尺度,形成了一个全方位的安全管理新理念。
2.右边三角形内涵:安全总监(行政领导+专家)处于三角形的顶部,既是安全目标的制定者,又是安全体系的决策中心和第一负责人,同时也代表着安全管理的最高目标―全程安全无事故;基层操作人员位于底部,代表广泛的保护工作者,是安全保障体系最直接的实施者和操作者。中间各层承担安全保障工作的指挥和监督职能,负责安全信息的上传下达,是各分项安全目标和职责的承担者、责任者。
篇10
随着网络技术的发展和应用需求的牵引,网络规模和应用范围不断扩大,网络安全风险变得更加严重和复杂。凡是涉及到保障银行正常营业的所有问题,如信息技术设备和金融信息系统软件的正常运行、信息系统中业务信息及商业机密的妥善保存等,都与金融信息系统的安全有关,都要采取相应的安全风险防范措施。目前,针对互联网的应用还缺乏有效的安全措施和手段,这严重限制了银行系统通过互联网对外提供服务的范围和种类,迫切需要构建更加科学合理的金融信息系统安全保障体系。
1金融信息系统安全保障体系总体架构
金融信息系统安全保障体系包括物理安全、系统安全、网络安全、应用安全和安全管理,其总体架构见图1.
2安全保障系统构成
下面从物理安全、系统安全、网络安全、应用安全和安全管理等方面来描述金融信息系统安全保障系统的构成.
2. 1物理安全
物理安全是保障整个网络与信息系统安全的前提。物理安全主要涉及环境安全、设备安全和介质安全。环境安全主要是指防雷、防水、防火、防电磁辐射等内容;设备安全主要包括设备的防盗、防毁、防止线路被截获、抗电磁干扰及电源保护等;介质安全指存储数据信息的介质安全。
2. 2系统安全
1)网络结构安全主要指网络拓扑结构是否合理、线路是否有冗余。
2)操作系统安全指应采用安全性较高的网络操作系统,关闭不常用却存在安全隐患的应用,对一些保存有用户信息及其口令的关键文件的使用权限进行严格限制。
3)应用系统安全应用服务器尽量关闭不经常使用的协议及协议端口号,加强登录身份认证,严格限制登录者的操作权限,将其完成的操作限制在合法的范围内。
4)系统备份与恢复机制它是保护金融信息系统崩溃后快速恢复的重要技术措施,在系统运行时,应采取必要的技术手段对网络及主机设备配置、金融业务系统等进行备份,在故障或灾难发生时,迅速恢复系统到最新状态。
2. 3网络安全
1)隔离与访间控制机制该机制可根据不同用户安全级别或不同部门的安全需求,利用3层交换机来划分虚拟子网(vlan);在不同业务系统之间划分mpls vpn,实现受控互访、隔离和信息共享;在网络中配备防火墙,实现网络内外或网络内部不同安全域之间的隔离与访问控制。
2)通信保密通过采取数据链路层和网络层加密等措施,实现对网络中重要信息传送的保护。
3)入侵检测根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应,从而防止针对网络的攻击与犯罪行为。
4)网络安全扫描系统通过对网络中所有部件进行扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,提出补救措施等。
2.4应用安全
1)访问控制根据金融信息系统建设的需要,采取自主访问控制或强制访问控制机制,对用户和资源分配不同的授权级,以控制用户对资源的访问。
2)身份识别和验证涉及到收集验证数据、安全传输数据、查证当前用户是否仍是目前使用系统的用户等。
3)数据备份与恢复机制该机制是保护金融系统中数据资源的重要技术措施。在业务应用系统运行时,应采取磁盘镜像、磁盘阵列、磁带库等技术手段,对数据信息进行备份,并在故障或灾难发生时,采取适当的恢复策略,修复系统中被破坏的或不正确的数据,使之恢复到一致性状态。
4 ) pk/ca认证系统通过建立该系统,实现网络访问的身份认证和访问控制,同时还可实现网络文件传输的保密性、真实性、完整性和文件的抗抵赖性。
2. 5安全管理
金融信息系统是一个包括横向、纵向连接的多级网络,运行着多个业务系统。为实现对金融信息系统的安全管理,应设置安全管理中心,对安全事件、设备故障信息等进行集中分析和处置,并在此基础士实施统一规划、集中管理、严格规章、明确责任和动态监控,确保金融信息系统安全可靠运行。
3安全保障措施
3. 1设置安全保障策略
1)总体安全策略在金融信息系统安全保障体系构建中,应遵循以下总体安全策略圈:①未经允许的访问都要严格禁止;②允许的访问都要经过认证、授权才能进行;③重要信息在网上传输要经过加密措施。
2)网络边界安全策略和联动策略在金融信息系统网络和internet之间设置防火墙,以隐藏和保护金融信息系统网络;在网络核心节点与各业务系统局域网边界之间设置防火墙,允许授权用户访问该局域网内的特定资源;按业务和行政归属,在横向和纵向网络上通过采用mpls vpn技术进行vpn划分,实现有效隔离;网络设备如防火墙、人侵检测系统、交换机、路由器、网络防病毒系统和访问控制系统等,既可以单独运行,还可以通过联动策略,一旦发现非法人侵,人侵检测系统会通知相应的安全产品实施联动保护,有效地确保金融信息系统网络的安全。
3. 2部署安全技术和安全产品
为确保金融信息系统的安全可靠运行,遵循安全保障体系总体架构和安全保障策略,应在金融信息系统中部署相应的安全技术和安全产品。
1)划分安全域根据金融信息系统的功能及业务特征,按照等级保护思想,将其划分为省网络管理中心局域网、省级城域网接入单位的接人网络等安全区域,对不同安全域实施等级保护,既方便了用户使用,又加强了安全防护。
2)防火墙技术防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵人,通过监测、限制、更改跨越防火墙的数据流,尽可能对外部屏蔽网络内部的信息、结构和运行状况,以此实现网络的安全保护。
3)mpls vpn技术由于金融信息系统承载多个相对独立的业务系统,各业务系统为不同的职能部门开展业务提供服务。因此,应采用mplsvpn技术,按照业务系统和业务类型进行纵向vpn和横向vpn划分,实现不同业务系统之间的安全隔离及全网对不同业务系统的统一管理。
4)人侵检测系统在金融信息系统中设置人侵检测系统,对系统的网络安全状态进行定期的检查,对人侵事件进行报警并记录,并通过完整的安全策略,利用人侵检测系统与防火墙的有效互动,对网络系统实施全方位保护。
5)防病毒系统在网络中对所有可能造成危害的病毒源或通道配置对应的防病毒软件。该系统提供集中式的管理,将反病毒程序的安装、执行、预约扫描、更新升级、病毒码分发和共享等日常的管理维护工作化繁为简,对病毒进行实时监控,使网络免遭病毒的人侵和危害。
6)违规外联监控系统通过该系统对非法连接国际互联网行为进行监测,对网络系统内的主机拨号、双网卡、服务器等多种上网行为进行集中统一管理。违规外联监控系统根据监控策略,可对非法连接进行切断或报警,同时记录、存储、查询相关信息。
7)安全评估系统该系统对工作站、服务器、交换机、数据库应用等各种对象可能存在的安全漏洞进行逐项检查,根据扫描结果向系统提供安全性分析报告。安全扫描技术与防火墙、人侵检测系统互相配合与联动,能够提供安全性更高的网络。
篇11
引言
电子政务信息安全问题 电子政务是一个基于现代信息技术的综合性政务信息系统,涉及政府机关、各团体、企业和社会公众,其基本框架一般来说主要包括政府办公政务网、办公政务资源网、公众信息网和办公政务信息资源数据库四个部分,即“三网一库”。我国早在2002年7月《关于我国电子政务建设指导意见》中,明确“把电子政务建设作为今后一个时期我国信息化工作的重点,政府先行,带动国民经济和社会发展信息化”,2006年进一步在《2006-2020年国家信息化发展战略》中明确“电子政务”作为我国信息化发展的重点战略,实现政府“改善公共服务,加强社会管理,强化综合监管和完善宏观调控”。
1.我国交通运输电子政务平台发展现
2004年2月,交通部在其制定的《中国交通电子政务建设总体方案》中,提出了“交通政务内网、交通政务外网和电子信息资源库”的交通电子政务建设总体架构,同年12月又出台了《交通运输电子政务网络及业务应用系统建设技术指南(试行)》。在政策的指导下,我国交通电子政务平台的发展速度加快,交通电子政务平台的基础架构已经凸显规模,部(交通运输部)省(各省道路运输管理部门)道路运输管理信息系统建设,已实现了20多个省(区、市)运政系统与部联网,纵向业务系统互联互通、资源共享、整合利用的模式已初步建立。与此同时,交通电子政务平台的信息化标准规范体系也得到进一步完善。目前,网络“开放性”与政务“安全性”、网络“可访问性”与政务“稳定性”是我国交通电子政务实施过程的两大矛盾。
1.1安全性与开放性的矛盾
即电子政务的安全要求与电子政务平台的开放性要求成为交通电子政务实施过程中最难以平衡的一对矛盾。如何把握政务“安全”与网络“开放”的平衡,一方面要把握住哪些信息是交通政府部门的机密,哪些是开放;另一方面,在电子政务平台的建设过程中如何摆脱“安全绝对化”倾向,否则电子政务服务的公众性就会失去落脚点,以政务信息化带动社会信息化、企业信息化的战略意图也将难以实现。
1.2安全性与可访问性的矛盾
电子政务的安全性要求与电子政务平台的可访问性要求成为交通电子政务实施过程中另一对矛盾。电子政务平台应重视其信息安全问题,其另一层含义还应注意保持网络安全性与可访问性之间的平衡。交通电子政务平台必须易于访问,这样才能激励公众去使用它。而在提供了更好的可访问性的同时,也将交通运输的数据暴露在不断增长的病毒及未授权访问的威胁之下,导致政务平台的不安全性。
2.我国交通运输电子信息安全保障体系的构建
当前我国交通电子政务实施过程的两大矛盾的解决,依赖于安全、稳定、可靠的交通运输电子政务平台信息安全保障体系。对于电子政务平台实施过程中所面临的信息安全保障问题,我国早在2003年9月颁发的《关于加强信息安全保障工作的意见》中明确提出了建立等级保护制度和风险管理体系的要求。2004年11月,公安部等国家四部委联合推出信息安全等级保护要求、测评准则和实施指南,为政务领域进一步建立政务信息系统风险管理体系提供了技术基础和指导。交通运输部也于2008年12月颁布的《交通运输电子政务网络及业务应用系统建设技术指南》中对交通电子政务平台的安全保障体系作了详细的技术规范。
2.1信息安全保障体系及其基本要求。信息安全保障体系的基本要求主要体现在以下几个方面:
保密性。主要体现在谁能拥有信息,如何保证秘密和敏感信息仅为授权者享有。
完整性。主要体现在拥有的信息是否正确以及如何保证信息从真实的信源发往真实的信宿,传输、存储、处理中未被删改、增添、替换。
可用性。主要体现在信息和信息系统是否能够使用以及如何保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。
可控性。主要体现在是否能够监控管理信息和系统以及如何保证信息和信息系统的授权认证和监控管理。
不可否认性。主要体现在信息行为人为信息行为承担责任,保证信息行为人不能否认其信息行为。
2.2安全组织体系。政府高度重视交通运输信息化工作的同时,坚持把“积极防御,综合防范”放在优先位置,首先要求成立专门的信息安全领导小组。信息安全领导小组可由交通主管领导担任领导小组组长主管信息安全工作,下设信息安全工作组,各管理部门负责人、业务部门负责人为成员。
2.3 安全技术体系。交通电子政务平台的安全技术体系可搭建专业的安全管理运营中心,并从基础设施安全和应用安全两个方面去搭建安全技术支撑体系。
2.4安全运营体系。安全运营体系是一个完整的过程体系,在交通电子政务平台的整个过程中,正常的运作流程,其信息流遵循自上而下的流程,即交通上级部门根据电子政务平台信息安全需求的目标、规划和控制要求做计划,下级交通部门根据计划进行执行、检查和改进。而若交通电子政务平台其安全性出现威胁,影响正常的运作流程时,此时信息流则遵循自下而上的逆向过程,下级交通部门向上级部门报送安全事件,上级部门根据其安全事件进行分析、总结和改进。
2.5 安全策略体系。网络安全策略是为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和,因此信息安全策略是信息安全保障体系建设和实施的指导和依据,全面科学的安全策略体系应贯穿信息安全保障体系建设的始终。安全策略体系,主要包含安全政策体系、安全组织体系、安全技术体系和安全运行体系四个方面的要素,在采用各种安全技术控制措施的同时,必须制订层次化的安全策略,完善安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和网络安全管理实现对网络的多层保护。
篇12
中图分类号:F291 文献标识码:A
0引言
《国家电网公司信息系统安全管理办法》对建设国网一体化信息安全保障体系的目标给出了指导性意见,就是要增强信息安全防护能力,提升信息安全自主可控能力,防止承载各类业务系统被恶意渗透,防止关键业务信息系统数据或信息被窃取或篡改,以确保更有效的抵御各种风险,最终实现国网自上而下信息系统网络安全、服务器及应用系统、桌面终端、移动存储介质等全方面的管控,使各层级信息化应用水平及信息安全防护水平达到一个新的高度[1]。
近年来,随着国家电网公司信息技术的深化应用,信息安全日益重要。渑池县电业局在市县一体化信息安全管理策略的设计和实现中以“硬件建设”为基础,以“软件建设”为关键,以“管理建设”为手段,深化安全管理,持续提升信息化安全水平。
1专业管理的顶层设计和指标体系
1.1市县一体化顶层设计目标。在现有的信息化平台基础上,通过2年的系统建设,分步实施“硬件组体、软件添翼、管理促飞”信息安全保障体系“三部曲”策略,最终构筑起坚强的市县一体化信息安全保障体系。
1.2从环境设施上加以提升,从技术流程上加以完善,从管理措施上严格要求,以确保更有效的抵御各种风险,实现安全稳定可靠运行。安全保障策略指标值如下:
1.2.1硬件指标:内网网络部署防火墙、内外网实现“物理隔离”;部署上网行为管理、门禁、防雷等硬件设施;部署数据中心虚拟容灾系统;建设市县网络主备通道。
1.2.2软件指标:桌面注册率达到100%;杀毒软件安装率达到100%;无账户弱口令;无安全防护漏洞;无违规邮件、网站。
1.2.3管理制度:制定或修编渑池县电业局《安全移动存储介质管理办法》《桌面终端设备安全管理办法》《计算机信息系统安全管理办法》《信息网络运行管理办法》《计算机信息系统安全管理办法》《计算机机房管理制度》《计算机设备管理办法(试行)》《网络与信息安全突发事件应急预案(试行)》《信息安全保密协议书》《信息系统口令管理办法》、《信息内外网办公终端准入管理办法》。
2市县一体化策略的实现
2.1硬件组体“搭建体骼”。
2.1.1基础环境建设。长远规划,进行机房资源整合,按照国家二类机房建设要求,改扩建中心机房面积达到160平方米,进行机房区域划分,增设直流电源室、公共上网区、备品备件室、维修间共128平方米,开展门禁系统、信息防雷系统及监控系统建设,添置网络测试仪器及相关办公用品,机房具备防水、防火、防灰尘、防盗、防雷等多种功能,完全满足运维、管理、办公需求。
2.1.2数据容灾建设。本着同城异地备份、确保数据安全的原则,建设60余平方米数据中心虚拟容灾机房,具备实时备份系统数据和集中统一管理的功能,满足各类系统扩展性和可靠性要求。
2.1.3市县网络扩容建设。按照河南省电力公司要求,单独配置双千兆路由器,配置双核心千兆交换机,实现与三门峡供电公司的联网带宽达到2*100M,市县APN备用通道1*10M,省公司至县局VPN联网带宽1*100M的目的。
2.1.4实现内外物理隔离。对边缘配线间进行改造,加装楼间层防水防潮装置,采用防鼠技术措施。对内网和外网采取平行布线模式,终端用户主机双配置,实现完全物理上的内外网分离。
2.1.5扩容后备电源。中心机房增设10kVA不间断UPS电源,与兰州大学联合开发了蓄电池除硫装置,当市电供电系统出现停电或电池容量不足时,以短信形式向维护人员发送告警信息,极大地提高了其设备的维护效率和系统运行安全性,延长UPS电源的使用寿命。
2.1.6从低压电源侧、通信线路、通讯设备及网络设备全方位、多层次部署机房三级防雷系统,有效地防止雷击对机房内设备所产生的危害。
2.2软件添翼“助翼双翅”。
2.2.1终端用户防护。按照《国家电网公司信息化“SG186”工程安全防护总体方案》,对信息内外网部署北信源桌面终端标准化管理系统,实现桌面终端安全访问、安全接入,硬件资产全生命周期应用等功能,桌面终端标准化管理系统级联至市公司,实现桌面运行监测及相关考核指标的标准化,安装率达到100%。
2.2.2防病毒防御系统安装。全网桌面终端安装Nod32防病毒软件,安装率达到100%。对危害桌面终端安全的恶意软件和功能时刻保持着高度警惕。桌面终端安全系统、智能防御系统等级提升。
2.2.3补丁系统完善。通过标准化的管理流程实时为桌面终端提供标准、最新的补丁漏洞信息及数据更新服务。定期自动从互联网获取操作系统软件厂商的补丁,在仿真的网络环境中严格测试认证后,确保补丁安全,再将安全的补丁分发到实际网络环境中的计算机终端,并可以进行相关的补丁分发行为控制和流量管理,在简化人工干预的同时,确保终端系统的安全和网络的稳定。
2.2.4市县联动安全措施。三门峡供电公司部署网管软件,定期对县局的终端设备扫描检测内网安全漏洞,丰富安全技术手段,为县局信息安全管理提供支撑。同时依据《关于企业使用正版软件通知》要求,与知名厂商签订购置正版操作系统供应协议。省市县三级所用桌面终端安装了国网公司下发的正版软件,增强了基础层业务应用稳定性和数据的安全性。
2.3管控结合“促力腾飞”。
2.3.1“引教结合”,强化安全管理。通过文件、公告、会议、信息安全竞赛等多种渠道,大力宣传保障网络与信息安全的重要性。组织信息技术人员和信息员进行网络与信息安全技术培训和现场宣贯。对关键岗位人员进行全面、严格的安全审查和技能考核,对在信息系统安全工作中做出显著成绩的单位和人员应给予奖励和表彰,对违反国家法律、法规和渑池县电业局有关规定,造成一定不良影响和后果的,追究其责任。这些措施的实施,使全局范围内从上到下统一了思想、明确了认识,强化了全员网络与信息安全意识。
2.3.2强化系统运行维护管理。对信息网络与系统运行状况等进行监测和报警,定期对监测和报警记录进行分析,根据需要采取必要的应对措施。建立安全管理中心,对安全设备、恶意代码、补丁升级、安全审计等安全设施进行集中管理。严格按照有关信息系统事故调查规定,及时报告信息系统事故情况,认真开展信息系统事故原因分析,坚持“四不放过”原则,有效落实整改,确保类似事故不再发生。
2.3.3强化移动存储规范化管理。移动存储设备集中授权分发,数据交换前必须通过正确的身份认证,符合密码复杂度身份认证策略,记录数据交换过程的工作日志,便于以后进行跟踪审计,非授权的移动存储介质,在工作环境不可用。利用信息保密、访问控制、审计等技术手段,对移动存储设备实施安全保护,登记存储信息资产、日志记录、审计记录和信息不能被移动存储设备非法流失,实现存储设备信息安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、信不丢。
2.3.4强化弱口令管理。根据“信息安全通报”、“信息安全反违章”检查的结果,结合其实际,进行全面的信息系统弱口令专项治理工作[2]。对系统本单位及局属各部门的桌面计算机,信息应用系统、操作系统、中间件和数据库系统等用户的访问账号及口令进行彻底排查,对不符合口令要求的用户及系统下发相应的通知,使其进行限期的整改,杜绝信息系统泄密事件的发生。
2.3.5强化安全接入管理。通过在网络中部署相应的网络安全检查策略,确保用户满足身份认证的要求,同时用户的终端设备必须达到一定的安全和策略条件,才可以通过网关设备接入到网络中并获得相应的访问权限。一方面验证了用户的身份,避免了非法用户接入到网络中,限定了用户的访问权限;另一方面也避免了存在安全隐患的终端系统的接入,可以大大消除蠕虫病毒对网络系统以及承载的业务所带来的威胁和影响,实现帮助客户发现、预防和消除安全威胁的目标。
2.3.6强化保密工作管理。管理严格执行“不上网、上网不”纪律[3],重要工作资料不得在外网计算机上留存,严禁在信息外网上传输、处理涉及国家秘密和渑池县电业局秘密的信息。严格信息系统安全工作人员录用过程,审查其身份、背景、专业资格,及时终止离岗员工的所有访问权限。严格外部人员访问程序,对允许访问人员实行专人全程陪同或监督,并登记备案。
2.3.7强化运行通报管理。为进一步做好信息安全保障工作,定期对信息安全工作进行统计分析,在月报中透明的体现信息安全运维工作,使全体员工及时掌握信息系统的运行情况,更好的为生产经营业务服务,渑池县电业局每月《渑池县电业局信息化工作简报》对当月信息安全运维工作的整体情况进行统计分析。每月一期《渑池县电业局网络与信息安全运行月报》,对当月网络与信息安全运行情况进行统计分析。信息安全运行通报制度的执行,使全体员工对信息安全运维工作有了了解的途径,增强了全员信息安全意识。
2.3.8强化系统上下线管理。加强应用系统的管理审批流程,形成闭环管理。新建信息系统涉及安全防护措施建设时,明确安全需求,确定安全等级,结合渑池县电业局安全防护总体策略,进行安全防护方案设计。严格规范系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。保证所有与外部系统的连接均得到授权和批准,并进行必要的安全隔离,配置严格的访问控制策略,开展必要的安全评估[4]。
2.4激活人力资源,提升管控空间。
2.4.1搭建核心保障体系。成立以科技信息副局长为组长的信息安全保障体系领导小组,各部门负责人为领导小组成员,对渑池县电业局整体信息安全保障体系工作进行全面督导。领导小组下设工作小组(办公室设在信息中心),具体负责协调、执行实现信息安全保障策略的各项工作,本单位各部门设有兼职信息管理员,负责配合本单位本部门信息安全保障体系的协调、执行。
2.4.2开展兼职信息员建设,发挥信息管理员潜能。在全局各部门设立兼职信息管理员36名,部门兼职信息管理员由各部门既通晓业务、又熟悉计算机知识的人员担任,职责为进行基础性的运维工作、信息安全宣传、督导与检查和整改工作。信息员管理以安全员的标准按照专业化管理思路统一管理,设立有合理的薪酬标准及详细的管理制度,每月定期召开信息安全会议,按月开展信息技术培训,严格执行各种业务考核和工作安排,不断强化责任心和业务能力,形成全局齐抓共管的局面。
2.4.3绩效考核与控制。为保证市县信息安全保障体系的正常运转,明确职责分工,对工作项目和内容进行标准化、规范化管理,依据国网公司、省公司等上级单位的相关要求,修订完善了《渑池县电业局信息网络运行管理办法》等11项管理规范及标准,进一步规范了信息系统运行管理,确保安全保障策略持续、稳步实施。
3结语
近年来,国网公司实施了覆盖信息系统全生命周期的54项管理措施,立足国产化,积极探索自主可控安全管理模式,结合电网安全需求,加强顶层设计,对电网信息安全工作进行整体规划,经过努力,渑池县电业局在网络信息安全保障策略的设计和实施中的经验和做法,解决了县级供电企业信息安全保障体系中存在的一些突出问题和安全漏洞,广大员工在信息安全等重点环节,从制度执行、行为监控、防治体系等方面,有了稳步提升,总体来看,建成了电网信息安全等级保护纵深防御体系,为市县一体化的安全、稳定运行提供了强有力的信息安全运行保障,达到了预期的效果和目的。
参考文献
[1]国家电网公司信息系统安全管理办法[Z].北京:国家电网公司,2011.
[2]国家电网公司信息网络运行管理规程(试行)[S].北京:国家电网公司,2003.
[3]国家电网公司信息安全风险评估管理暂行办法[Z].北京:国家电网公司,2011.
[4]国家电网公司信息系统建转运实施细则[Z].北京:国家电网公司,2010.
--------------------
篇13
中图分类号:G647
近年来,民办高校逐步实现了管理手段的现代化,但是,由于民办高校起步晚,信息安全技术相对落后,致使其信息资源安全无法得到有效地保障。因此,如何采取有效措施保障信息资源安全,提高自身的信息化水平,已经成为影响民办学校“跨越式发展”的关键问题之一。
1 加强民办高校信息资源安全保障的必要性
近年来,各民办高校对计算机网络与信息系统的依赖程度也越来越高,随之而来的民办高校信息资源安全[1-5]问题也日益突出。目前,关于民办高校信息资源安全问题的研究,在理论和实践上还不很成熟,国内外也缺少相对成熟的成套理论与通用模式,因此,如何有效地对民办学校信息资源进行有效管理,探索各种民办高校信息资源安全问题的应对策略,已经成为民办高校信息化建设中迫切需要解决的问题。
2 民办高校信息资源特性
概括下来,民办高校信息资源具有以下特性:
(1)来源开放性。民办高校的某些信息资源可由校内外人员以各种途径和传播。所以,这些信息资源是开放式的,也往往是比较难管理的。
(2)内容多元性。由于大多数民办高校都已拥有了自己的各类信息系统,因此,信息资源也因信息系统内容不同而呈现出多元性。
(3)政策动态性。在民办高校发展过程中,根据不同的信息资源现状,决策者不同时期的决策也具有差异性,使得信息资源具有浓重的政策动态性。
(4)影响广泛性。目前,民办高校大部分信息系统师生参与度高,涉及面广,若不能及时处理由此引发的安全问题,将会可能影响正常教学活动展开、科研办公等,甚至可能会造成混乱。
(5)问题突发性。随着民办高校对计算机网络的依赖程度越来越高,关于信息资源的问题复杂多变又非常隐蔽,若出现了安全问题,在极短时间内就可通过网络引起校内外人员关注并被迅速传播,极易引发突发性信息资源的安全事件。
3 民办高校面临的信息资源安全风险
由于民办高校信息资源的不同特性,其引发安全问题也具有多样性与复杂性。然而,由于信息资源安全问题的隐蔽性与复杂多变性,并未引起足够的重视,使得民办高校面临各种可能的信息资源安全风险。
3.1 信息资源安全宣传教育力度不够,部分师生安全意识淡薄
由于自身体制的原因,大多数民办高校对信息资源安全的重视不够,较少开展关于信息资源安全的各种宣传教育与培训活动,导致部分师生安全意识不强,在使用相关信息系统时,往往只注重使用,并未过多地顾及信息资源的安全性,只能被动地解决信息资源安全问题。
3.2 信息资源安全培训欠缺,信息安全人员技术水平有待提高
目前,虽然各种信息系统已在大多数民办高校得到广泛应用,但由于缺乏专业的信息资源安全管理人才和配套的信息安全培训,造成现有信息安全人员技术水平相对不高,无法及时发现并处理信息资源的安全隐患,影响了民办高校信息化建设进程。
3.3 信息资源安全保障投入有限,缺乏信息安全总体规划
相对于公办高校而言,民办高校资金匮乏,对信息安全保障并未进行过多地投入,也没有设置专门负责信息资源安全的部门。另外,民办高校缺乏信息资源安全总体规划,当出现信息资源安全问题时,往往只能被动地解决,没有一整套的信息资源安全预警机制来防范,从而给民办高校信息化建设带来了一定的难度。
由于安全意识淡薄,宣传不到位,没能引起相关部门关于信息资源安全问题的足够重视,使得民办高校信息化建设发展缓慢,信息化水平相对落后。如何有针对性地解决信息资源安全风险,成为民办高校信息化建设下一步的工作重点。
4 民办高校信息资源安全保障的应对策略
为了更好地推进民办高校信息化建设,民办高校需要加大投入力度,大力宣传信息资源安全,强化师生安全意识,开展必要的专业信息资源安全培训,培养一批高水平的信息资源安全人才队伍。要做好民办高校信息资源安全保障,需要从以下几个方面来应对。
4.1 强化监督与管理,加强信息资源安全培训和宣传教育,增强信息资源安全意识和责任感,切实提高信息资源安全管理水平
一方面,民办高校可以每年度定期组织相关管理人员进行信息安全教育培训,普及信息资源安全知识。另一方面,民办高校可以通过讲座、校报、校内广播、网上浏览等多种形式来普及安全知识,对广大师生进行信息资源安全宣传教育,营造良好的信息安全环境。
4.2 加强信息资源安全人才队伍建设,培养专业信息资源安全人才
信息安全人才队伍建设是建立民办高校信息资源安全保障体系和民办高校信息化建设健康发展的重要保证。因此,各民办高校应该围绕信息资源安全需要,不断完善信息资源安全人才培养方案,努力打造一支富有信息资源安全意识、信息管理技术过硬的信息资源安全人才队伍。
4.3 多种方式提高民办高校信息资源安全保障能力
民办高校可以定期对已有的各种信息系统进行日常安全检查,加强对各种信息资源的管理,及时进行信息安全产品更新换代,减少信息资源安全问题出现的可能性,努力提高民办高校信息资源安全保障能力。
4.4 构建民办高校信息资源安全保障体系
信息资源安全问题具有内容多元性的特点,正是这个特点,单一的信息资源安全防范措施并不能很好地解决出现的信息安全问题。通过构建民办高校信息资源安全保障体系,将会有效提高民办高校信息化水平。
5 结论
随着高校信息化的逐步深入,民办高校信息资源安全问题日益突出。在分析了民办高校信息资源安全保障的必要性后,本文归纳了民办高校信息资源安全特点,提出了目前民办高校面临的信息资源安全风险,在此基础上,给出了民办高校信息资源安全保障对策,力图达到提高民办高校信息化水平,保证民办高校信息化建设健康发展的研究目的。
参考文献:
[1]熊平.高校信息安全教育改革[J].科技咨询导报,2007,10:167-168.
[2]邓吉平.论新时期高校信息安全保密工作[J].科技创新导报,2008(35):178-178.
[3]杨莹.高校信息安全探讨[J].电脑知识与技术,2008,4(36):2955-2956.
[4]杨建国.网络环境下高校信息安全的管理[J].安庆师范学院学报(社会科学版),2004,23(2):61-63.
[5]孟坛魁,梁艺军.高校信息安全体系建设与实践[J].实验技术与管理,2011,28(6):122-124.
