信息安全一体化范文
发布时间:2023-09-21 10:01:14
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇信息安全一体化范例,将为您的写作提供有力的支持和灵感!
篇1
中图分类号:F291 文献标识码:A
0引言
《国家电网公司信息系统安全管理办法》对建设国网一体化信息安全保障体系的目标给出了指导性意见,就是要增强信息安全防护能力,提升信息安全自主可控能力,防止承载各类业务系统被恶意渗透,防止关键业务信息系统数据或信息被窃取或篡改,以确保更有效的抵御各种风险,最终实现国网自上而下信息系统网络安全、服务器及应用系统、桌面终端、移动存储介质等全方面的管控,使各层级信息化应用水平及信息安全防护水平达到一个新的高度[1]。
近年来,随着国家电网公司信息技术的深化应用,信息安全日益重要。渑池县电业局在市县一体化信息安全管理策略的设计和实现中以“硬件建设”为基础,以“软件建设”为关键,以“管理建设”为手段,深化安全管理,持续提升信息化安全水平。
1专业管理的顶层设计和指标体系
1.1市县一体化顶层设计目标。在现有的信息化平台基础上,通过2年的系统建设,分步实施“硬件组体、软件添翼、管理促飞”信息安全保障体系“三部曲”策略,最终构筑起坚强的市县一体化信息安全保障体系。
1.2从环境设施上加以提升,从技术流程上加以完善,从管理措施上严格要求,以确保更有效的抵御各种风险,实现安全稳定可靠运行。安全保障策略指标值如下:
1.2.1硬件指标:内网网络部署防火墙、内外网实现“物理隔离”;部署上网行为管理、门禁、防雷等硬件设施;部署数据中心虚拟容灾系统;建设市县网络主备通道。
1.2.2软件指标:桌面注册率达到100%;杀毒软件安装率达到100%;无账户弱口令;无安全防护漏洞;无违规邮件、网站。
1.2.3管理制度:制定或修编渑池县电业局《安全移动存储介质管理办法》《桌面终端设备安全管理办法》《计算机信息系统安全管理办法》《信息网络运行管理办法》《计算机信息系统安全管理办法》《计算机机房管理制度》《计算机设备管理办法(试行)》《网络与信息安全突发事件应急预案(试行)》《信息安全保密协议书》《信息系统口令管理办法》、《信息内外网办公终端准入管理办法》。
2市县一体化策略的实现
2.1硬件组体“搭建体骼”。
2.1.1基础环境建设。长远规划,进行机房资源整合,按照国家二类机房建设要求,改扩建中心机房面积达到160平方米,进行机房区域划分,增设直流电源室、公共上网区、备品备件室、维修间共128平方米,开展门禁系统、信息防雷系统及监控系统建设,添置网络测试仪器及相关办公用品,机房具备防水、防火、防灰尘、防盗、防雷等多种功能,完全满足运维、管理、办公需求。
2.1.2数据容灾建设。本着同城异地备份、确保数据安全的原则,建设60余平方米数据中心虚拟容灾机房,具备实时备份系统数据和集中统一管理的功能,满足各类系统扩展性和可靠性要求。
2.1.3市县网络扩容建设。按照河南省电力公司要求,单独配置双千兆路由器,配置双核心千兆交换机,实现与三门峡供电公司的联网带宽达到2*100M,市县APN备用通道1*10M,省公司至县局VPN联网带宽1*100M的目的。
2.1.4实现内外物理隔离。对边缘配线间进行改造,加装楼间层防水防潮装置,采用防鼠技术措施。对内网和外网采取平行布线模式,终端用户主机双配置,实现完全物理上的内外网分离。
2.1.5扩容后备电源。中心机房增设10kVA不间断UPS电源,与兰州大学联合开发了蓄电池除硫装置,当市电供电系统出现停电或电池容量不足时,以短信形式向维护人员发送告警信息,极大地提高了其设备的维护效率和系统运行安全性,延长UPS电源的使用寿命。
2.1.6从低压电源侧、通信线路、通讯设备及网络设备全方位、多层次部署机房三级防雷系统,有效地防止雷击对机房内设备所产生的危害。
2.2软件添翼“助翼双翅”。
2.2.1终端用户防护。按照《国家电网公司信息化“SG186”工程安全防护总体方案》,对信息内外网部署北信源桌面终端标准化管理系统,实现桌面终端安全访问、安全接入,硬件资产全生命周期应用等功能,桌面终端标准化管理系统级联至市公司,实现桌面运行监测及相关考核指标的标准化,安装率达到100%。
2.2.2防病毒防御系统安装。全网桌面终端安装Nod32防病毒软件,安装率达到100%。对危害桌面终端安全的恶意软件和功能时刻保持着高度警惕。桌面终端安全系统、智能防御系统等级提升。
2.2.3补丁系统完善。通过标准化的管理流程实时为桌面终端提供标准、最新的补丁漏洞信息及数据更新服务。定期自动从互联网获取操作系统软件厂商的补丁,在仿真的网络环境中严格测试认证后,确保补丁安全,再将安全的补丁分发到实际网络环境中的计算机终端,并可以进行相关的补丁分发行为控制和流量管理,在简化人工干预的同时,确保终端系统的安全和网络的稳定。
2.2.4市县联动安全措施。三门峡供电公司部署网管软件,定期对县局的终端设备扫描检测内网安全漏洞,丰富安全技术手段,为县局信息安全管理提供支撑。同时依据《关于企业使用正版软件通知》要求,与知名厂商签订购置正版操作系统供应协议。省市县三级所用桌面终端安装了国网公司下发的正版软件,增强了基础层业务应用稳定性和数据的安全性。
2.3管控结合“促力腾飞”。
2.3.1“引教结合”,强化安全管理。通过文件、公告、会议、信息安全竞赛等多种渠道,大力宣传保障网络与信息安全的重要性。组织信息技术人员和信息员进行网络与信息安全技术培训和现场宣贯。对关键岗位人员进行全面、严格的安全审查和技能考核,对在信息系统安全工作中做出显著成绩的单位和人员应给予奖励和表彰,对违反国家法律、法规和渑池县电业局有关规定,造成一定不良影响和后果的,追究其责任。这些措施的实施,使全局范围内从上到下统一了思想、明确了认识,强化了全员网络与信息安全意识。
2.3.2强化系统运行维护管理。对信息网络与系统运行状况等进行监测和报警,定期对监测和报警记录进行分析,根据需要采取必要的应对措施。建立安全管理中心,对安全设备、恶意代码、补丁升级、安全审计等安全设施进行集中管理。严格按照有关信息系统事故调查规定,及时报告信息系统事故情况,认真开展信息系统事故原因分析,坚持“四不放过”原则,有效落实整改,确保类似事故不再发生。
2.3.3强化移动存储规范化管理。移动存储设备集中授权分发,数据交换前必须通过正确的身份认证,符合密码复杂度身份认证策略,记录数据交换过程的工作日志,便于以后进行跟踪审计,非授权的移动存储介质,在工作环境不可用。利用信息保密、访问控制、审计等技术手段,对移动存储设备实施安全保护,登记存储信息资产、日志记录、审计记录和信息不能被移动存储设备非法流失,实现存储设备信息安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、信不丢。
2.3.4强化弱口令管理。根据“信息安全通报”、“信息安全反违章”检查的结果,结合其实际,进行全面的信息系统弱口令专项治理工作[2]。对系统本单位及局属各部门的桌面计算机,信息应用系统、操作系统、中间件和数据库系统等用户的访问账号及口令进行彻底排查,对不符合口令要求的用户及系统下发相应的通知,使其进行限期的整改,杜绝信息系统泄密事件的发生。
2.3.5强化安全接入管理。通过在网络中部署相应的网络安全检查策略,确保用户满足身份认证的要求,同时用户的终端设备必须达到一定的安全和策略条件,才可以通过网关设备接入到网络中并获得相应的访问权限。一方面验证了用户的身份,避免了非法用户接入到网络中,限定了用户的访问权限;另一方面也避免了存在安全隐患的终端系统的接入,可以大大消除蠕虫病毒对网络系统以及承载的业务所带来的威胁和影响,实现帮助客户发现、预防和消除安全威胁的目标。
2.3.6强化保密工作管理。管理严格执行“不上网、上网不”纪律[3],重要工作资料不得在外网计算机上留存,严禁在信息外网上传输、处理涉及国家秘密和渑池县电业局秘密的信息。严格信息系统安全工作人员录用过程,审查其身份、背景、专业资格,及时终止离岗员工的所有访问权限。严格外部人员访问程序,对允许访问人员实行专人全程陪同或监督,并登记备案。
2.3.7强化运行通报管理。为进一步做好信息安全保障工作,定期对信息安全工作进行统计分析,在月报中透明的体现信息安全运维工作,使全体员工及时掌握信息系统的运行情况,更好的为生产经营业务服务,渑池县电业局每月《渑池县电业局信息化工作简报》对当月信息安全运维工作的整体情况进行统计分析。每月一期《渑池县电业局网络与信息安全运行月报》,对当月网络与信息安全运行情况进行统计分析。信息安全运行通报制度的执行,使全体员工对信息安全运维工作有了了解的途径,增强了全员信息安全意识。
2.3.8强化系统上下线管理。加强应用系统的管理审批流程,形成闭环管理。新建信息系统涉及安全防护措施建设时,明确安全需求,确定安全等级,结合渑池县电业局安全防护总体策略,进行安全防护方案设计。严格规范系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。保证所有与外部系统的连接均得到授权和批准,并进行必要的安全隔离,配置严格的访问控制策略,开展必要的安全评估[4]。
2.4激活人力资源,提升管控空间。
2.4.1搭建核心保障体系。成立以科技信息副局长为组长的信息安全保障体系领导小组,各部门负责人为领导小组成员,对渑池县电业局整体信息安全保障体系工作进行全面督导。领导小组下设工作小组(办公室设在信息中心),具体负责协调、执行实现信息安全保障策略的各项工作,本单位各部门设有兼职信息管理员,负责配合本单位本部门信息安全保障体系的协调、执行。
2.4.2开展兼职信息员建设,发挥信息管理员潜能。在全局各部门设立兼职信息管理员36名,部门兼职信息管理员由各部门既通晓业务、又熟悉计算机知识的人员担任,职责为进行基础性的运维工作、信息安全宣传、督导与检查和整改工作。信息员管理以安全员的标准按照专业化管理思路统一管理,设立有合理的薪酬标准及详细的管理制度,每月定期召开信息安全会议,按月开展信息技术培训,严格执行各种业务考核和工作安排,不断强化责任心和业务能力,形成全局齐抓共管的局面。
2.4.3绩效考核与控制。为保证市县信息安全保障体系的正常运转,明确职责分工,对工作项目和内容进行标准化、规范化管理,依据国网公司、省公司等上级单位的相关要求,修订完善了《渑池县电业局信息网络运行管理办法》等11项管理规范及标准,进一步规范了信息系统运行管理,确保安全保障策略持续、稳步实施。
3结语
近年来,国网公司实施了覆盖信息系统全生命周期的54项管理措施,立足国产化,积极探索自主可控安全管理模式,结合电网安全需求,加强顶层设计,对电网信息安全工作进行整体规划,经过努力,渑池县电业局在网络信息安全保障策略的设计和实施中的经验和做法,解决了县级供电企业信息安全保障体系中存在的一些突出问题和安全漏洞,广大员工在信息安全等重点环节,从制度执行、行为监控、防治体系等方面,有了稳步提升,总体来看,建成了电网信息安全等级保护纵深防御体系,为市县一体化的安全、稳定运行提供了强有力的信息安全运行保障,达到了预期的效果和目的。
参考文献
[1]国家电网公司信息系统安全管理办法[Z].北京:国家电网公司,2011.
[2]国家电网公司信息网络运行管理规程(试行)[S].北京:国家电网公司,2003.
[3]国家电网公司信息安全风险评估管理暂行办法[Z].北京:国家电网公司,2011.
[4]国家电网公司信息系统建转运实施细则[Z].北京:国家电网公司,2010.
--------------------
篇2
现代信息技术已经深入到社会社会的各个方面,作为记载人类真实活动原始记录的档案,在记载、存储、传递、利用等方面都有了本质变化。档案信息化建设除了技术因素外,还要有信息化环境、信息化人才、基础设施、管理制度、标准规范和法规制度等。这些环节中有一处失误都会导致档案信息安全风险,所以,必须建设好档案信息化安全体系。
1基础设施安全体系
1.1基础设施存在的安全风险
一是硬件设备存在的安全风险,硬件存储设备会受自然界非确定性因素的破坏,由于电源、系统等造成死机使档案信息丢失或破坏,由于计算机硬件老化使设备中的档案数据不能读取;二是网络环境存在的安全风险,网络中非法入侵的现象日益严重,严重威胁到档案信息的安全。数字身份认证技术还有待进一步发展,在使用中还不能满足人们的要求。计算机病毒对档案信息的破坏也不容忽视;三是系统软件的缺陷,软件资源没有优化配置造成的系统故障,系统软件中存在的安全漏洞带来的安全隐患;四是应用软件的兼容性问题,不同档案信息化应用软件厂商开发的软件存在数据兼容性问题,在应用过程中是需要注意的。
1.2构建基础设施安全体系
(1)硬件设施安全体系建设。要具有防自然界非确定因素安全体系,档案馆或机构要有综合布雷方案,电子文件安全防护设备除了要调温、防盗等一般功能外,还要有防磁、防磨损等能力。计算机机房环境控制体系,要保证机房内的温度、湿度、照明、噪声等在一定范围内,这样既能保证机房安全,又能延长计算机寿命。(2)网络环境安全体系建设。要建立全网数据安全备份体系,消除系统使用者和操作者的后顾之忧,它是档案信息化地区体系建设的重要数据保障体系。建立网络设备安全体系,在注重系统本身防范的同时还要配备防火墙设备,保证档案信息安全。建立病毒防护体系,为档案信息提供灵活安全、多层次、强有力的保护,并且要做到简单、易用。(3)系统软件安全体系建设。建立系统软件漏洞扫描机制,预测潜在的档案信息系统安全问题,以便及时做出补救措施,增强档案信息化信息安全。建立系统软件安全配置机制,通过不同的权限和身份认证等措施,保证档案信息的安全。应用系统安全体系建设,各个软件厂商要有不同文件格式接口或转换功能,解决因兼容性引起的档案信息安全问题。
2信息资源安全体系
2.1信息资源存在的安全问题
档案信息需要庞大的数据库予以支撑,由于认为的误操作会使数据库信息丢失,网络环境下存在着各种安全隐患,威胁档案信息的完整及安全。档案信息以电子文件的形式保存,其保存格式制约着多媒体档案数据库的发展。电子文件易被改动,使其内容和格式都失去原件的原始特征。电子文件的复制和扩散都会影响其原始性和真实性。其存储介质及形式决定了其易受到破坏。
2.2构建信息资源安全体系
(1)传统信息技术下档案信息资源安全体系。纸质档案安全防护体系,控制好档案库房的环境,延长纸质档案的寿命。声像档案安全防护体系,根据声像材料的特性采取相应的保护措施。(2)现代信息技术下电子档案信息资源保护体系。建立电子信息资源数据备份体系,有效防止了操作失误造成的严重后果。建立网络信息资源安全体系,做好网络数据备份、数据隔离、数据加密等三个方面。建立传统档案信息数字化安全体系,实现档案信息资源以数字化、网络化形式的共享。(3)建设档案信息资源开发和利用安全体系。这在档案信息化建设中起着关键作用,其开发利用大都以电子形式和网络形式提供服务,涉及到档案信息公布利用的限制,对出现的越权使用和非法使用要有明确的限制。
3应用系统安全体系
3.1应用系统中存在的安全风险
档案信息化中档案信息的生成会出现不真实、不完整、不可读、不可用、信息生成的不及时、数据不一致等安全风险。档案信息流转时会出现信息的丢失、窃取、篡改,保密性档案存在泄密的风险。档案信息保存阶段出现信息不完整、不真实,文件不关联、格式选择不当,信息的不可读、不可用,以及泄密风险。
3.2构建应用系统安全体系
(1)数字档案馆应用系统安全体系建设。建立档案信息内容访问控制机制,其中要包含电子文件信息的真实性、完整性和可读性。建立应用系统用户访问控制机制,包括用户身份认证、权限控制等。建立应用系统日志管理机制,为系统管理员提供安全管理的文档记录,使其可以记录和预测潜在的系统入侵或破坏。(2)档案业务管理系统安全体系建设。网络技术安全控制,保障信息网络传输的正确性、完整性及可用性。建立档案业务管理系统安全体系,保障档案信息安全。建立档案业务管理系统防病毒安全体系,保证档案业务管理系统的安全。(3)档案信息上网信息系统安全体系建设。使用网络防火墙接口技术,防止外来的侵入与攻击。使用网络档案信息加密技术,防止网络信息泄密与截取。使用网络档案信息备份技术,包括网络信息数据库、电子文件、邮件等的备份。
4构建标准规范安全体系
档案信息化标准规范直接关系到档案管理水平,是企事业单位核心能力和竞争力的充分体现,同时也树立了档案信息化服务、技术应用以及应用系统的标准,对于数字资源的长期管理和保存有着重要的现实意义。档案信息化标准规范又包括管理标准规范安全体系、业务标准规范安全体系和技术标准规范安全体系三部分。健全的档案信息标准规范为档案信息化管理工作提供了有效的法制保障,为档案信息化持续、稳定的发展奠定了稳固的基础。
参考文献:
[1]李肖军.档案信息化安全体系建设研究[J].河北大学硕士学位论文,2010.
篇3
[关键词]
信息化;信息安全;医院网络
在现在的医院中,网络信息化建设正在上升阶段,具有良好的发现前景。但是,怎样充分发挥网络安全系统的作用,保障网络信息化安全十分重要。具体来看,主要从以下几个角度采取措施:第一,通过多种途径防御对医院网络的破坏,不管是外部的袭击还是内部的损坏,都要提高安全意识,保障医院网络建设的安全;第二,通过对网络系统设定,进一步认证访问者的身份,另外,要按照一定的角色对其来访进行限制;第三,必须具备符合规范的对证书执行管理查询的相关验证服务系统和网络系统安全的保证;第四,通过对权限访问的控制,使权限设置得到保障,用规范的体系作为其保障,通过完善日志管理系统做好相关记录。
1医院信息化建设中的网络安全现状
对于网络安全来说,它是使网络系统里的软件和硬件设施处于被保护的前提之下,保护数据的有效性,使系统可以正常运行。另外,由于医院的特殊性,加上医院信息系统的信息更新必须要快,所以这一系统无时无刻不在运行,这样一来,医院的网络系统需要更高的网络安全技术。另外,对于医院来说,其业务是依靠网络不断发展的,这种依赖性不仅体现在医院内部的不同部门,还体现在医院与医院之间借助于互联网实现沟通。医院的网络由于开放性比较高,所以会导致安全隐患较多。在实现信息化建设过程里主要从以下几个方面消除安全隐患:首先,数据安全,它不仅涉及到数据自身的安全,还涉及数据的防护;其次,关注系统安全,它不仅涉及物理系统的安全,还包括操作系统的安全[1];另外,由于网络安全具有多样性和复杂性,所以在网络攻防技术发展下,其自身不断发展。对于网络的安全来说,它主要涉及四个方面的内容:第一,由于自然灾害或操作失误以及计算机的袭击等带来的物理层面入侵,阻碍网络正常运行;第二,由于信息产品在进行研发时的缺陷,或者信息维护中存在的技术方面的安全隐患;第三,由于软件、硬件或应用程序自身的不合格导致产品方面的安全隐患;第四,由于网络端和网络连接以后遇到黑客攻击和病毒感染等应用服务层面的问题。由于信息技术不断发展,相应的网络安全问题越来越明显。
2医院网络信息化建设中安全问题的工作要点
在研究医院网络化信息建设中,要从多个角度着手,实现对网络体系的安全问题全面研究,防御潜在的安全隐患,提高中心系统业务发展的系统性和规范性,避免医院的数据外泄,保护患者的个人隐私。网络系统建设的安全性和医院的效率以及患者个人信息直接挂钩,所以加上医院网络信息化安全建设迫在眉睫。
2.1做好硬件设备安全工作
要想提高医院网络的安全指数,就要利用好物理安全措施,即使是再科学的安全软件,如果忽视了物理安全的重要性,也很容易导致攻击者借助于物理漏洞袭击医院的网络信息系统,阻碍系统的安全。具体来看,在硬件设备的安全工作里,主要从以下几个角度采取措施:第一,通过物理接触不经过现有密码是相关设备操作系统供给的功能;第二,对于计算机来说,工作室内部的服务器和相关设施要放在专门的机柜以保障安全,在锁上机柜以后,由专门的负责人保管钥匙,在核心机房要安装监控设施;第三,加强对防雷系统的设置,通过防静电地板实现多种配线的散热,定时开展除尘工作,防止灰尘进入装置。另外,要通过UPS的装置或双路供电,实现对主体网络设备的健全。
2.2做好网络口令安全工作
为了保障安全,所以网络设备的空灵需要设置成多于八位的密码,同时还要有多个特殊字符,实现数字和字母的结合。另外,如果是核心部门和岗位,要依据医院的具体规定不定时修改密码,加上防范工作,不给破坏者漏洞可循[2]。
2.3做好网络信息传输安全工作
借助于VPN技术,不断加强医院网络基础建设,提高网络信息的安全指数。不仅要控制和系统无关的人员进入医院网络盗取信息的行为,还要控制自身医院网络的用户进入其他网络。对于核心业务来说,必须在24h内进行,因此要设置多个科室的并置网络,通过网络链路的发现,避免由于单点传输障碍导致的系统瘫痪问题。
3医院网络信息化建设中做好其安全保障工作的措施
3.1完善网络安全环境,提升通信技术水平网络通信安全需求
(1)充分运用防火墙。由于医院的计算机和互联网是直接链接的,所以网络安全问题不可避免。借助于防火墙的运行可以阻断互联网的恶意袭击,实现系统业务的规范发展。在防火墙扫描和过滤以后,一些存在安全隐患的不良文件和病毒就会被物质,大大提高了安全指数。对于医院的网络信息化系统来说,防火墙是最有效的措施,一些不使用的端口,防火墙会自动关闭,另外,防火墙还可以使特定的端口流出的通信信息得到控制,封锁特洛伊木马等危害较大的病毒,对于特殊站点的访问也会予以防御制止,提高医院信息系统的安全。
(2)入侵检测系统的应用。通过入侵检测系统可以进一步检测医院信息网络的病毒,检查其中潜在的安全隐患。通过安全规范的检测,保障系统正常运作,在发生异常是,要及时发出警报。通过入侵检测系统和防火墙的有效结合,把任何潜在的或明显的安全隐患去除,阻拦危险因素,使主机的资源得到安全保障,提高资源信息系统的安全性。
(3)虚拟局域网划分管理。要想充分保障医院网络系统的安全,加上对这一系统的维护,防止病毒入侵,通过虚拟的局域网划分是一个关键途径。
3.2建立医院网络信息安全的防病毒体系
在医院整体的网络中,它涉及的范围比较广,由于医院自身的部门比较多,所以借助于网络进行通信的次数比较多,这样一来,病毒的蔓延有了条件,很多系统中的文件和数据会有被损坏的危险。因此,需要各个部门加强合作,共同抵御非法分子入侵。
(1)网络防病毒中心。对于网络安全预防工作来说,预防病毒的软件发挥着重要的作用。如果网络病毒入侵,或者自身的系统病毒感染了其他资源,那么通过杀毒软件可以及时发现,并删除安全隐患。除此之外,这样的防病毒软件可以防御病毒袭击网络操作系统,保障医院网络信息化的安全。在对医院防病毒系统进行设置时,要实现统一管理,充分考虑到软件的自动下载和更新等多方面因素。
(2)网络分析中心。在设置网络分析软件时,要处理网络环境里的安全问题。网络分析中心通过自动监测,进行数据的传输,使用户的问题得到解决,正确处理网络中的风险,保障网络效果。对于这一中心来说,它可以极大地控制网络故障发生率,为医院的网络信息化建设提供保障。
3.3为医院网络信息安全管理提供依据
按照医院所具有的人力资源和信息资源,在领导进行决策时提供科学的医疗信息,同时及时传递给各个部门。对于信息技术层次来说,要给工作人员一定的支持,进一步为领导的决策提供依据。医院的信息科一方面要审查全院科研课题申报工作,还要为课题的申报人员搜索相关的资料[3],同时做出科学的审查结论。
3.4进行医院网络信息安全教育
现在的很多医院里,信息科都负责医院网络信息安全工作。在很多综合性强的医院里,它们不仅要负责本医院的相关工作,还要不定时地举办信息安全学术讲座,培训其医学知识,掌握医学发展趋势,提高业务能力。另外。通过信息科对于医院信息工作的检查和监督力度的加强,保障科学技术的先进性,有效管理医院的信息资源,提高医院的网络信息化安全指数,有利于医院领导做出正确的决策。另外,信息科必须发挥自身作用,加大对医学工作的监督力度,通过培训提高员工对于医院网络信息安全的关注度,实现对医院网络信息安全的教育工作。
3.5对医院的网络进行安全隔离
在医院的计算机中,常常保存着医院的财务部门和人事部门的重要文件和数据,它们和医院的发展有密切联系。通过医院的信息化建设,不仅可以提高网络环境下这些部门的工作便利性,还可以提高部门对于网络安全的重视程度。所以,要隔离医院的重点部门和用户的信息,排除不允许访问的用户。在隔离医院网络的安全工作中,主要从以下三个角度解决网络技术方面的难题:首先,通过网络掩码或者VLAN技术划分网络,信息部形成子网络;其次,单独划分医院的重要部门和重点用户,把它们的信息归属到一定的子网络里。
3.6对医院的网络进行杀毒软件部署
现在来看,计算机病毒不断恶化,在发展的过程里逐渐呈现混合型趋势,借助于多种途径病毒都可以传播,它不仅有强大的破坏力,其隐蔽性越来越高。在计算机病毒蔓延的方式里,最快的传播方式是系统漏洞传播。
(1)恶意软件的深度防护工作。从理论上看,版本较新的防病毒软件是可以查杀新型病毒的,但是,从本质上讲,杀毒软件的病毒库发展总比病毒产生要慢,所以总有一部分病毒难以预防,做不到完全清除。另外,在服务系统里的安全漏洞比较多,并且呈现出不断增加的趋势,因此必须通过一定的补丁程序进行及时修复。所以,必须借助于补丁程序加强修复,有效防护恶意软件。在对客户端进行防护时,主要通过以下几个措施:首先,及时删除或者禁止不使用的应用程序和服务,最大化地降低计算机的受攻击面;其次,及时做好应用的安全更新工作;另外,对于客户端的使用过程里要使用防火墙,同时要加快安装和更新的步伐;另外,要及时测试漏洞扫描程序,保障“零漏洞”;最后,在登陆系统时要制定特权制度,划分好管理者和普通用户的不同登陆窗,保护服务器端,实现服务器端和客户端的防护,提高安全指数。除了上面提到的多种措施以外,还要防护软件的总体服务器[4]。
(2)对医院网络系统中的数据实现备份与恢复。数据备份工作就是把计算机网络里的数据及时复制并且放置到安全领域的行为。在计算机安全出现问题以后,在恢复系统时可以借助于之前备份的数据及时恢复系统正常工作。在进行数据备份时,要按照医院信息化建设的安全保护指数及时选择备份工作的种类,加大对备份文件的保护力度,保障医院信息系统的数据恢复工作。现在来看,数据的备份通常使用的是多层次冗余备份法,它不仅可以备份结构本身的数据,还可以备份本地磁盘的数据,实现异地备份。
(3)对操作系统进行安全管理。在整个医院信息网络里,其终端和服务器等多个设备都具备操作系统,对于信息网络来说,操作系统的稳定指数和安全指数都有很大的影响,在管理信息系统时,最关键的是要对应用系统依赖的IT基础设施进行日常运行维护与监控管理,保障信息系统在实际运行时可以稳定发挥其作用。通过信息系统来运行维护管理软件,提供给信息系统管理人员以综合的网络管理,实施全方位的管理工作。虽然备份工作枯燥又乏味,但它在网络安全里扮演着重要角色。由于医院网络信息化系统面临的环境十分复杂,所以备份工作有很高的重要性。为了进一步保障完整的备份,所以在开始备份以前,要按照具体的状况和环境实施可行的备份计划,进一步保障数据库的安全,具体来看,主要从以下几个角度入手:第一,设置合理的备份频率,定时备份计算机的数据;第二,设置好进行备份的内容。在备份结束后要检查所要备份的内容是否真正完成备份;第三,检查备份所使用的磁盘或磁带是否有病毒;第四,确定数据备份的形式,是采用在线备份的形式还是离线备份的形式;第五,保障备份工作有专门的负责人,明确负责人的权利和义务,为医院相关数据的备份提供人力基础;第六,进一步确定医院的网络信息化系统是否需要网络备份服务器,同时记录好文件备份的位置,有效发挥网络的备份数据作用,使病毒或非法分子入侵时,保障医院损失最小化。
4结语
综合来看,加大医院的网络信息化防护工作力度十分有必要。在进行防护的过程里,不仅要在技术层面上加大力度,还要通过医院的信息安全管理制度进行防护。在对相关人员进行安全知识培训以后,提高其对医院网络信息化的认识,提高员工的安全意识。通过理念上的重视和技术水平的提高,使工作人员综合素质提高,应对风险的能力也进一步提高。对于管理者来说,要和具体状况相结合,实施严格的管理,贯彻落实相关制度,完善医院网络信息化防护体系,为医院的网络信息化建设提供基础。
作者:吴南 单位:哈励逊国际和平医院
[参考文献]
[1]杨治民.医院信息化建设中网络安全研究[J].信息化建设,2016(5):24-25.
篇4
审计是客观评价个人,组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息,还提供了一个可内控的评估系统。审计的目标是表达人、组织、系统等的评估意见,审计人员在测试环境中进行评估工作。审计必须出示合理并基本无误的报表,通常是利用统计抽样来完成。审计也是用来考察和防止虚假数据及欺骗行为,检查、考证目标的完整性、准确性,以及检查目标是否符合既定的标准、尺度和其它审计准则。实现审计的信息化,有利于管理层迅速准确的做出决定,对于政企业发展、社会经济的进步都具有重要作用。目前,我国的审计工作尚存在性质认定模糊、工作范围过于狭窄等问题,有待进一步加强和改进。
审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。
一、审计工作的现状及存在的问题
随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。
(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向的作用。
(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。
二、信息化审计体系的健全
当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。
信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。 转贴于 三、主机系统安全审计
信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。
主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。
四、待解决的若干问题
计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。
保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。
防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。VPN可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防DDos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。
从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。
参考文献:
篇5
一、 引言
食品安全是关系国计民生的大事。近年来,食品安全问题频繁出现,而且影响也越来越大。食品安全不仅是一个生物、化学、技术和管理问题,更是一个经济问题,其本质是食品原料生产者、食品加工企业、食品营销者、食品物流企业、政府监管部门及食品消费者等相关主体之间的利益博弈,同时也是一个系统工程问题,其相关利益主体之间的利益制衡、信任管理和风险监管体系等并不是孤立的,而应该是一个完整的、系统化的有机整体。但是,目前我国对食品安全问题的经济学研究和系统管理理论研究严重不足。事实上,近5年我国发生的重大食品安全事件并不是我国的基础技术落后,主要是因为食品安全的外部监管、服务体系缺失造成的。当前我国食品不安全因素贯穿于食品供应的全过程,各大类食品均存在安全隐患,食品安全管理体制、食品安全标准体系、食品安全检测体系、食品安全风险预警系统等方面均存在着严重问题,同时,食品安全的诸多环节的监管不到位、利益博弈不均衡、信任缺失、法规条文不统一,导致食品链条成本和系统风险大幅增加,食品行业道德水平大幅下降,国民对政府和食品行业的信任度急剧下降,食品消费者时时处于担忧和恐惧环境中。食品安全问题得不到合理有效的解决,整个社会就无法和谐,经济发展将会受到严重制约。目前国内学诸多学着从不同的角度,利用不同的方法对食品安全问题进行了广泛研究,本文将目前学者研究的基础上从经济学视角出发对食品安全问题的利益相关主体之间的利益博弈、信任关系和食品安全问题的系统管理等三个方面研究进行了回顾和综述,并在此基础上有针对性地提出解决当前食品安全问题的对策建议。
二、 食品安全的利益演化博弈研究
利益是社会主体在经济、政治、文化的外部条件约束和保障下进行存续、发展、实现自我的一种必要追求,是一切人类活动的核心。“人们奋斗所争取的一切,都同他们的利益有关”。从某种意义上来说,人类对利益追求和动机是社会发展的原动力,也是人们实现社会资源优化配置、降低能源消耗和编织全球经济共同体蓝图的根本动力。可以说,没有人们对利益的需求和追逐,就没有了社会的一切。正是利益的存在,导致了利益问题的研究成为社会科学研究最重要的研究对象之一。它反映着人与其周围世界中对其发展有意义的各种事物和现象的积极关系,赋予了人们行为的目的性和内在动力。而也恰恰是利益,导致了社会各类事物之间具有着复杂性、统一性和矛盾性等特征。
在整个食品安全问题中,利益始终占据着绝对的主要地位和作用,它是整个食品链条的剂,也是整个食品链条发展和延续的源泉,更是各类问题和矛盾的聚集体。各种利益主体在谋利活动中,都会以实现利益最大化为目的,并运用各种手段尽可能地为自己谋取更多的利益。强弱双方会不断为各自的利益博弈,在这种利益博弈中,经济冲突和矛盾行为就产生了。有学者认为在这种利益矛盾和冲突中,消费者处于信息弱势地位,且对食品需求弹性小,总体上只能属于被动接受者,其对食品市场的影响微乎其微。而王虎、李长健认为这种看法存在着一定的片面性,他们认为整个食品供应链的终端,对食品安全存在天然的利益动力,对食品安全的关切度最为强烈。在食品安全领域中存在相关利益群体的利益对立和冲突,由此产生了生产者与消费者、监管者与生产者、生产者与销售者之间的利益博弈现象。但是,由于整个市场信息和个人信息的不对等性和非完全性、政府监管不到位及行政和链条中间环节信任的缺失等,在利益需求的实现过程中,不同的社会群体和利益相关集团或个人会存在着具有差别性的动机和实现路径。在其路径的实现过程中,道德风险、逆向选择、机会主义等行为应运而生。根据Akerlof和Arrow的研究结果,信息不对称会产生食品市场上的“逆向选择”——安全性差的食品把安全性好的食品驱逐出市场和“道德风险”——生产者隐藏或歪曲和误导食品安全信息等机会主义行为问题。在市场信息模糊不透明和市场监管不到位的情况下,食品链条中的各方的逆向选择、不道德行为和投机行为会随着各方追逐利益预期的增加而增加,最终会导致市场失灵、监管部门失信、国民恐慌和社会动荡。事实上,导致食品安全问题中的人为因素实质就是利益追逐的结果,生产者明知是有毒有害物质,却为了追逐自身利益最大化仍用于食品生产。回顾近几年来的重大食品安全事件,我国的食品安全问题绝大多数是人为因素造成,道德风险严重。相比之下,西方发达国家的食品安全问题主要是自然因素引起。因此,对于食品链条中的利益分配和行为监控等急需监管部门予以重视。王虎、李长健认为食品安全中存在的复杂的利益矛盾运动态势主要表现在生产者与消费者之间、生产者与监管者之间、生产者与销售者之间,为了实现食品领域的利益均衡与和谐局面必须重视对食品领域利益矛盾运动的分析并有效构建该领域的利益冲突与制衡机制、利益产生与分配机制、利益代表与利益表达机制、利益协调与利益保障机制,实现食品安全治理模式向政府、第三部门、法庭与私人多元共同参与的变迁。食品链条上的利益分配机制、利益制衡机制、利益协调机制和利益保障机制的有效性和可行性影响着食品安全中利益矛盾运动态势和市场均衡的变迁,影响着食品链条的有序性和可持续性。食品安全领域的利益追求不应该只是单个个体或群体一方利益的最大化,而是整个食品链条中所有群体和个人集体的利益最大化,这种利益的需求虽无法使个别个体或群体的利益最优,但能保障整个食品链条利益最优,使得食品链条的发展具有稳定性和可持续性。
食品安全问题的发展状况如何,主要取决于各方利益主体之间的博弈结果。食品安全问题中的利益博弈及其路径选择,反映了一个国家社会和经济的可持续性,反映了一个国家国民的素质、道德水平和政府对国民生命安全的关注程度和对人民的热爱程度。食品安全中的利益博弈及其演化路径、方向选择和监控机制关系着食品行业的未来,从某种意义上来说,更关系着国家的未来。因此,对于食品安全的利益关系分析及其机制设计至关重要,既能为降低食品链条的各种成本和交易费用提供指导,也能为国家行政监管提供理论借鉴。
三、 食品安全的群体信任关系研究
食品安全是关系到消费者、食品企业和政府部门的一个重要问题。信任是食品安全链条中的关键影响因素,食品安全中的信任关系会影响消费者购买意愿。关于信任,不同的学者对其定义不同,尼克拉斯·卢曼把信任理解为“对产生风险的外部条件的一种纯粹的内心估价”,他认为信任是一种简化机制,是一个对未来的期望,通过信任机制能降低特定情况下的复杂性,最重要的信任因素是个人已取得的正向经验、在获取正向经验过程中形成的人际关系以及作为人际关系桥梁的沟通因素。Doney和Cannon在综合社会心理学、社会学、经济学以及市场营销学相关理论的基础上提出了信任发展的五大认知过程:计算过程、预测过程、能力过程、动机过程、传递过程。在这些过程中,信任的感知和认可程度将影响着信任关系演化的方向、路径和演变结果。信任作为人与人之间的一种关系认知过程,它是双方合作的基础。组织间信任是组织间成功合作的不可缺少的前提,这种关系已被许多研究所证实。
在人与人之间利益获取的过程中,个体的信任感知将左右个体的认知或感知结果,影响个体行为和双方合作的可持续性。信任不仅能带来双方的利益分享和价值实现,也能带来资源的最优整合,促进整体利益和资源价值最大化。良好的信任关系,将会节省利益相关主体的时间和交易成本、降低心理风险,进而增加双方的合作意愿,获取更大的利益价值。
四、 食品安全的系统管理规制与模式
国内外关于食品安全管理的研究主要集中在以下几个领域:食品安全影响因素研究;食品安全管制的必要性及政府管制行为研究;食品生产者(供应商)行为研究;消费者食品安全行为研究;食品安全对国际贸易的影响;食品安全法律规制研究;食品安全管理理论与政策研究;食品安全管理体制比较研究等等,但对食品安全的系统管理和模式探索研究较少。食品安全问题具有市场信息不对称、外部不经济以及公共产品的特性,因此,需要政府来弥补市场失灵的缺陷,需要政府介入建立有效的信息制度和监管机制。Alan Stone认为管制是“政府通过法律的威慑来限制个体和组织的自由选择”,其目的在于限制经济主体的决策行为。企业食品安全行为、消费者食品安全行为与政府监管关系密切,政府监管法律政策的正确制定和有效实施是基于对企业和消费者等微观主体行为的有效认知。研究表明,在市场失灵的情况下,应采取的监管方式主要有:诉讼;消费者安全教育和信息提供;发放各类生产许可证;行政法规和命令;进行处罚和奖励。我国国内对食品安全管理体制的研究主要集中在对国外经验的介绍和比较方面。朱允卫介绍了发达国家食品安全管理3种模式——美国模式、英国模式和加拿大模式,分析了我国食品安全体系与发达国家的差距,并提出了借鉴国际经验进一步完善我国食品安全体系的构想。韩俊分析了食品安全监管体制的国际现状,按照WHO的分类方法,食品安全监管体制大体可以分为多机构食品监管体系、单一机构食品监管体系、综合食品监管体系三种类型。分析了分散管理模式和集中管理模式的利弊,结论指出:就中国而言,食品安全监管机构宜少不宜多,应尽快对食品安全监管体系进行整合。当前实行的“分段监管为主,品种监管为辅”的食品安全管理体系,是造成食品安全监管体系效率低下,资源浪费、职责难以分清以致监管重复和监管空白均有表现的原因之一。当前国内外对食品安全的管理体制研究文献较多,但对于其系统管理方法和模式的研究文献较少。我国的实践证明,食品安全管理需要一种系统的管理方法和管理模式,当前我国分部门和分级管理导致不同部门之间的规则和文件条款冲突,利益矛盾严重,往往各个部门为了各自的利益,削弱了食品安全管理的有效性。因此,当前我国急需对食品安全管理进行统一,管理方法和模式需要系统化,法律法规需要高度的一致性。(下转第87页)
五、 结论
经过对国内外经典文献的梳理,发现我国当前的食品安全管理规制已经严重削弱了食品安全管理的有效性。当前食品安全中的利益问题、信任关系及系统管理模式等急需要迫切解决,研究需要进一步以下三个经济学领域深入:食品安全中利益演化和规制设计、食品安全中利益主体之间信任关系与信任机制、食品安全的系统管理规制和模式等。从某种意义上来说,这三个领域是当前食品安全问题中的三个关键点,也是保障食品安全和社会安全和谐的理论前提。
参考文献:
1. 马克思,恩格斯.马克思恩格斯全集:第1卷.北京:人民出版社,1956:82.
2. 李卓.利益语境下经济法的价值分析.当代法学,2006,(5):119.
3. 王虎,李长健.利益多元化语境下的食品安全规制研究——以利益博弈为视角.中国农业大学学报(社会科学版),2008,25(3):144-152.
4. Akerlof, G. A. The Market for Lemons: Qualitative Uncertainty and the Market Mechanism. Quarterly Journal of Economics,1970,84(3):488-500.
5. Arrow K. J. Essays in the Theory of risk-Bearing. Chicago: Markham Pub. Co.,1971.
6. 王虎,李长健.利益矛盾论视野下食品安全治理的一种模式变迁.经济体制改革,2008,(5):19-25.
7. 尼克拉斯·卢曼.信任:一个社会复杂性的简化机制.上海:上海世纪出版集团,2002:55.
8. Doney, P. M., Cannon, J. P., Mullen, M. R.. Understanding the influence of national culture on the development of trust.Acade2my of Management Review,1998,(3):601-620.
9. Morgan R., Shelby D. H.. The Commitment- Trust Theory of Relationship Marketing. Journal of Marketing,1994,58(7):20-38.
