信息安全一体化范文
发布时间:2023-09-21 10:01:14
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇信息安全一体化范例,将为您的写作提供有力的支持和灵感!
篇1
中图分类号:F291 文献标识码:A
0引言
《国家电网公司信息系统安全管理办法》对建设国网一体化信息安全保障体系的目标给出了指导性意见,就是要增强信息安全防护能力,提升信息安全自主可控能力,防止承载各类业务系统被恶意渗透,防止关键业务信息系统数据或信息被窃取或篡改,以确保更有效的抵御各种风险,最终实现国网自上而下信息系统网络安全、服务器及应用系统、桌面终端、移动存储介质等全方面的管控,使各层级信息化应用水平及信息安全防护水平达到一个新的高度[1]。
近年来,随着国家电网公司信息技术的深化应用,信息安全日益重要。渑池县电业局在市县一体化信息安全管理策略的设计和实现中以“硬件建设”为基础,以“软件建设”为关键,以“管理建设”为手段,深化安全管理,持续提升信息化安全水平。
1专业管理的顶层设计和指标体系
1.1市县一体化顶层设计目标。在现有的信息化平台基础上,通过2年的系统建设,分步实施“硬件组体、软件添翼、管理促飞”信息安全保障体系“三部曲”策略,最终构筑起坚强的市县一体化信息安全保障体系。
1.2从环境设施上加以提升,从技术流程上加以完善,从管理措施上严格要求,以确保更有效的抵御各种风险,实现安全稳定可靠运行。安全保障策略指标值如下:
1.2.1硬件指标:内网网络部署防火墙、内外网实现“物理隔离”;部署上网行为管理、门禁、防雷等硬件设施;部署数据中心虚拟容灾系统;建设市县网络主备通道。
1.2.2软件指标:桌面注册率达到100%;杀毒软件安装率达到100%;无账户弱口令;无安全防护漏洞;无违规邮件、网站。
1.2.3管理制度:制定或修编渑池县电业局《安全移动存储介质管理办法》《桌面终端设备安全管理办法》《计算机信息系统安全管理办法》《信息网络运行管理办法》《计算机信息系统安全管理办法》《计算机机房管理制度》《计算机设备管理办法(试行)》《网络与信息安全突发事件应急预案(试行)》《信息安全保密协议书》《信息系统口令管理办法》、《信息内外网办公终端准入管理办法》。
2市县一体化策略的实现
2.1硬件组体“搭建体骼”。
2.1.1基础环境建设。长远规划,进行机房资源整合,按照国家二类机房建设要求,改扩建中心机房面积达到160平方米,进行机房区域划分,增设直流电源室、公共上网区、备品备件室、维修间共128平方米,开展门禁系统、信息防雷系统及监控系统建设,添置网络测试仪器及相关办公用品,机房具备防水、防火、防灰尘、防盗、防雷等多种功能,完全满足运维、管理、办公需求。
2.1.2数据容灾建设。本着同城异地备份、确保数据安全的原则,建设60余平方米数据中心虚拟容灾机房,具备实时备份系统数据和集中统一管理的功能,满足各类系统扩展性和可靠性要求。
2.1.3市县网络扩容建设。按照河南省电力公司要求,单独配置双千兆路由器,配置双核心千兆交换机,实现与三门峡供电公司的联网带宽达到2*100M,市县APN备用通道1*10M,省公司至县局VPN联网带宽1*100M的目的。
2.1.4实现内外物理隔离。对边缘配线间进行改造,加装楼间层防水防潮装置,采用防鼠技术措施。对内网和外网采取平行布线模式,终端用户主机双配置,实现完全物理上的内外网分离。
2.1.5扩容后备电源。中心机房增设10kVA不间断UPS电源,与兰州大学联合开发了蓄电池除硫装置,当市电供电系统出现停电或电池容量不足时,以短信形式向维护人员发送告警信息,极大地提高了其设备的维护效率和系统运行安全性,延长UPS电源的使用寿命。
2.1.6从低压电源侧、通信线路、通讯设备及网络设备全方位、多层次部署机房三级防雷系统,有效地防止雷击对机房内设备所产生的危害。
2.2软件添翼“助翼双翅”。
2.2.1终端用户防护。按照《国家电网公司信息化“SG186”工程安全防护总体方案》,对信息内外网部署北信源桌面终端标准化管理系统,实现桌面终端安全访问、安全接入,硬件资产全生命周期应用等功能,桌面终端标准化管理系统级联至市公司,实现桌面运行监测及相关考核指标的标准化,安装率达到100%。
2.2.2防病毒防御系统安装。全网桌面终端安装Nod32防病毒软件,安装率达到100%。对危害桌面终端安全的恶意软件和功能时刻保持着高度警惕。桌面终端安全系统、智能防御系统等级提升。
2.2.3补丁系统完善。通过标准化的管理流程实时为桌面终端提供标准、最新的补丁漏洞信息及数据更新服务。定期自动从互联网获取操作系统软件厂商的补丁,在仿真的网络环境中严格测试认证后,确保补丁安全,再将安全的补丁分发到实际网络环境中的计算机终端,并可以进行相关的补丁分发行为控制和流量管理,在简化人工干预的同时,确保终端系统的安全和网络的稳定。
2.2.4市县联动安全措施。三门峡供电公司部署网管软件,定期对县局的终端设备扫描检测内网安全漏洞,丰富安全技术手段,为县局信息安全管理提供支撑。同时依据《关于企业使用正版软件通知》要求,与知名厂商签订购置正版操作系统供应协议。省市县三级所用桌面终端安装了国网公司下发的正版软件,增强了基础层业务应用稳定性和数据的安全性。
2.3管控结合“促力腾飞”。
2.3.1“引教结合”,强化安全管理。通过文件、公告、会议、信息安全竞赛等多种渠道,大力宣传保障网络与信息安全的重要性。组织信息技术人员和信息员进行网络与信息安全技术培训和现场宣贯。对关键岗位人员进行全面、严格的安全审查和技能考核,对在信息系统安全工作中做出显著成绩的单位和人员应给予奖励和表彰,对违反国家法律、法规和渑池县电业局有关规定,造成一定不良影响和后果的,追究其责任。这些措施的实施,使全局范围内从上到下统一了思想、明确了认识,强化了全员网络与信息安全意识。
2.3.2强化系统运行维护管理。对信息网络与系统运行状况等进行监测和报警,定期对监测和报警记录进行分析,根据需要采取必要的应对措施。建立安全管理中心,对安全设备、恶意代码、补丁升级、安全审计等安全设施进行集中管理。严格按照有关信息系统事故调查规定,及时报告信息系统事故情况,认真开展信息系统事故原因分析,坚持“四不放过”原则,有效落实整改,确保类似事故不再发生。
2.3.3强化移动存储规范化管理。移动存储设备集中授权分发,数据交换前必须通过正确的身份认证,符合密码复杂度身份认证策略,记录数据交换过程的工作日志,便于以后进行跟踪审计,非授权的移动存储介质,在工作环境不可用。利用信息保密、访问控制、审计等技术手段,对移动存储设备实施安全保护,登记存储信息资产、日志记录、审计记录和信息不能被移动存储设备非法流失,实现存储设备信息安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、信不丢。
2.3.4强化弱口令管理。根据“信息安全通报”、“信息安全反违章”检查的结果,结合其实际,进行全面的信息系统弱口令专项治理工作[2]。对系统本单位及局属各部门的桌面计算机,信息应用系统、操作系统、中间件和数据库系统等用户的访问账号及口令进行彻底排查,对不符合口令要求的用户及系统下发相应的通知,使其进行限期的整改,杜绝信息系统泄密事件的发生。
2.3.5强化安全接入管理。通过在网络中部署相应的网络安全检查策略,确保用户满足身份认证的要求,同时用户的终端设备必须达到一定的安全和策略条件,才可以通过网关设备接入到网络中并获得相应的访问权限。一方面验证了用户的身份,避免了非法用户接入到网络中,限定了用户的访问权限;另一方面也避免了存在安全隐患的终端系统的接入,可以大大消除蠕虫病毒对网络系统以及承载的业务所带来的威胁和影响,实现帮助客户发现、预防和消除安全威胁的目标。
2.3.6强化保密工作管理。管理严格执行“不上网、上网不”纪律[3],重要工作资料不得在外网计算机上留存,严禁在信息外网上传输、处理涉及国家秘密和渑池县电业局秘密的信息。严格信息系统安全工作人员录用过程,审查其身份、背景、专业资格,及时终止离岗员工的所有访问权限。严格外部人员访问程序,对允许访问人员实行专人全程陪同或监督,并登记备案。
2.3.7强化运行通报管理。为进一步做好信息安全保障工作,定期对信息安全工作进行统计分析,在月报中透明的体现信息安全运维工作,使全体员工及时掌握信息系统的运行情况,更好的为生产经营业务服务,渑池县电业局每月《渑池县电业局信息化工作简报》对当月信息安全运维工作的整体情况进行统计分析。每月一期《渑池县电业局网络与信息安全运行月报》,对当月网络与信息安全运行情况进行统计分析。信息安全运行通报制度的执行,使全体员工对信息安全运维工作有了了解的途径,增强了全员信息安全意识。
2.3.8强化系统上下线管理。加强应用系统的管理审批流程,形成闭环管理。新建信息系统涉及安全防护措施建设时,明确安全需求,确定安全等级,结合渑池县电业局安全防护总体策略,进行安全防护方案设计。严格规范系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。保证所有与外部系统的连接均得到授权和批准,并进行必要的安全隔离,配置严格的访问控制策略,开展必要的安全评估[4]。
2.4激活人力资源,提升管控空间。
2.4.1搭建核心保障体系。成立以科技信息副局长为组长的信息安全保障体系领导小组,各部门负责人为领导小组成员,对渑池县电业局整体信息安全保障体系工作进行全面督导。领导小组下设工作小组(办公室设在信息中心),具体负责协调、执行实现信息安全保障策略的各项工作,本单位各部门设有兼职信息管理员,负责配合本单位本部门信息安全保障体系的协调、执行。
2.4.2开展兼职信息员建设,发挥信息管理员潜能。在全局各部门设立兼职信息管理员36名,部门兼职信息管理员由各部门既通晓业务、又熟悉计算机知识的人员担任,职责为进行基础性的运维工作、信息安全宣传、督导与检查和整改工作。信息员管理以安全员的标准按照专业化管理思路统一管理,设立有合理的薪酬标准及详细的管理制度,每月定期召开信息安全会议,按月开展信息技术培训,严格执行各种业务考核和工作安排,不断强化责任心和业务能力,形成全局齐抓共管的局面。
2.4.3绩效考核与控制。为保证市县信息安全保障体系的正常运转,明确职责分工,对工作项目和内容进行标准化、规范化管理,依据国网公司、省公司等上级单位的相关要求,修订完善了《渑池县电业局信息网络运行管理办法》等11项管理规范及标准,进一步规范了信息系统运行管理,确保安全保障策略持续、稳步实施。
3结语
近年来,国网公司实施了覆盖信息系统全生命周期的54项管理措施,立足国产化,积极探索自主可控安全管理模式,结合电网安全需求,加强顶层设计,对电网信息安全工作进行整体规划,经过努力,渑池县电业局在网络信息安全保障策略的设计和实施中的经验和做法,解决了县级供电企业信息安全保障体系中存在的一些突出问题和安全漏洞,广大员工在信息安全等重点环节,从制度执行、行为监控、防治体系等方面,有了稳步提升,总体来看,建成了电网信息安全等级保护纵深防御体系,为市县一体化的安全、稳定运行提供了强有力的信息安全运行保障,达到了预期的效果和目的。
参考文献
[1]国家电网公司信息系统安全管理办法[Z].北京:国家电网公司,2011.
[2]国家电网公司信息网络运行管理规程(试行)[S].北京:国家电网公司,2003.
[3]国家电网公司信息安全风险评估管理暂行办法[Z].北京:国家电网公司,2011.
[4]国家电网公司信息系统建转运实施细则[Z].北京:国家电网公司,2010.
--------------------
篇2
现代信息技术已经深入到社会社会的各个方面,作为记载人类真实活动原始记录的档案,在记载、存储、传递、利用等方面都有了本质变化。档案信息化建设除了技术因素外,还要有信息化环境、信息化人才、基础设施、管理制度、标准规范和法规制度等。这些环节中有一处失误都会导致档案信息安全风险,所以,必须建设好档案信息化安全体系。
1基础设施安全体系
1.1基础设施存在的安全风险
一是硬件设备存在的安全风险,硬件存储设备会受自然界非确定性因素的破坏,由于电源、系统等造成死机使档案信息丢失或破坏,由于计算机硬件老化使设备中的档案数据不能读取;二是网络环境存在的安全风险,网络中非法入侵的现象日益严重,严重威胁到档案信息的安全。数字身份认证技术还有待进一步发展,在使用中还不能满足人们的要求。计算机病毒对档案信息的破坏也不容忽视;三是系统软件的缺陷,软件资源没有优化配置造成的系统故障,系统软件中存在的安全漏洞带来的安全隐患;四是应用软件的兼容性问题,不同档案信息化应用软件厂商开发的软件存在数据兼容性问题,在应用过程中是需要注意的。
1.2构建基础设施安全体系
(1)硬件设施安全体系建设。要具有防自然界非确定因素安全体系,档案馆或机构要有综合布雷方案,电子文件安全防护设备除了要调温、防盗等一般功能外,还要有防磁、防磨损等能力。计算机机房环境控制体系,要保证机房内的温度、湿度、照明、噪声等在一定范围内,这样既能保证机房安全,又能延长计算机寿命。(2)网络环境安全体系建设。要建立全网数据安全备份体系,消除系统使用者和操作者的后顾之忧,它是档案信息化地区体系建设的重要数据保障体系。建立网络设备安全体系,在注重系统本身防范的同时还要配备防火墙设备,保证档案信息安全。建立病毒防护体系,为档案信息提供灵活安全、多层次、强有力的保护,并且要做到简单、易用。(3)系统软件安全体系建设。建立系统软件漏洞扫描机制,预测潜在的档案信息系统安全问题,以便及时做出补救措施,增强档案信息化信息安全。建立系统软件安全配置机制,通过不同的权限和身份认证等措施,保证档案信息的安全。应用系统安全体系建设,各个软件厂商要有不同文件格式接口或转换功能,解决因兼容性引起的档案信息安全问题。
2信息资源安全体系
2.1信息资源存在的安全问题
档案信息需要庞大的数据库予以支撑,由于认为的误操作会使数据库信息丢失,网络环境下存在着各种安全隐患,威胁档案信息的完整及安全。档案信息以电子文件的形式保存,其保存格式制约着多媒体档案数据库的发展。电子文件易被改动,使其内容和格式都失去原件的原始特征。电子文件的复制和扩散都会影响其原始性和真实性。其存储介质及形式决定了其易受到破坏。
2.2构建信息资源安全体系
(1)传统信息技术下档案信息资源安全体系。纸质档案安全防护体系,控制好档案库房的环境,延长纸质档案的寿命。声像档案安全防护体系,根据声像材料的特性采取相应的保护措施。(2)现代信息技术下电子档案信息资源保护体系。建立电子信息资源数据备份体系,有效防止了操作失误造成的严重后果。建立网络信息资源安全体系,做好网络数据备份、数据隔离、数据加密等三个方面。建立传统档案信息数字化安全体系,实现档案信息资源以数字化、网络化形式的共享。(3)建设档案信息资源开发和利用安全体系。这在档案信息化建设中起着关键作用,其开发利用大都以电子形式和网络形式提供服务,涉及到档案信息公布利用的限制,对出现的越权使用和非法使用要有明确的限制。
3应用系统安全体系
3.1应用系统中存在的安全风险
档案信息化中档案信息的生成会出现不真实、不完整、不可读、不可用、信息生成的不及时、数据不一致等安全风险。档案信息流转时会出现信息的丢失、窃取、篡改,保密性档案存在泄密的风险。档案信息保存阶段出现信息不完整、不真实,文件不关联、格式选择不当,信息的不可读、不可用,以及泄密风险。
3.2构建应用系统安全体系
(1)数字档案馆应用系统安全体系建设。建立档案信息内容访问控制机制,其中要包含电子文件信息的真实性、完整性和可读性。建立应用系统用户访问控制机制,包括用户身份认证、权限控制等。建立应用系统日志管理机制,为系统管理员提供安全管理的文档记录,使其可以记录和预测潜在的系统入侵或破坏。(2)档案业务管理系统安全体系建设。网络技术安全控制,保障信息网络传输的正确性、完整性及可用性。建立档案业务管理系统安全体系,保障档案信息安全。建立档案业务管理系统防病毒安全体系,保证档案业务管理系统的安全。(3)档案信息上网信息系统安全体系建设。使用网络防火墙接口技术,防止外来的侵入与攻击。使用网络档案信息加密技术,防止网络信息泄密与截取。使用网络档案信息备份技术,包括网络信息数据库、电子文件、邮件等的备份。
4构建标准规范安全体系
档案信息化标准规范直接关系到档案管理水平,是企事业单位核心能力和竞争力的充分体现,同时也树立了档案信息化服务、技术应用以及应用系统的标准,对于数字资源的长期管理和保存有着重要的现实意义。档案信息化标准规范又包括管理标准规范安全体系、业务标准规范安全体系和技术标准规范安全体系三部分。健全的档案信息标准规范为档案信息化管理工作提供了有效的法制保障,为档案信息化持续、稳定的发展奠定了稳固的基础。
参考文献:
[1]李肖军.档案信息化安全体系建设研究[J].河北大学硕士学位论文,2010.
篇3
[关键词]
信息化;信息安全;医院网络
在现在的医院中,网络信息化建设正在上升阶段,具有良好的发现前景。但是,怎样充分发挥网络安全系统的作用,保障网络信息化安全十分重要。具体来看,主要从以下几个角度采取措施:第一,通过多种途径防御对医院网络的破坏,不管是外部的袭击还是内部的损坏,都要提高安全意识,保障医院网络建设的安全;第二,通过对网络系统设定,进一步认证访问者的身份,另外,要按照一定的角色对其来访进行限制;第三,必须具备符合规范的对证书执行管理查询的相关验证服务系统和网络系统安全的保证;第四,通过对权限访问的控制,使权限设置得到保障,用规范的体系作为其保障,通过完善日志管理系统做好相关记录。
1医院信息化建设中的网络安全现状
对于网络安全来说,它是使网络系统里的软件和硬件设施处于被保护的前提之下,保护数据的有效性,使系统可以正常运行。另外,由于医院的特殊性,加上医院信息系统的信息更新必须要快,所以这一系统无时无刻不在运行,这样一来,医院的网络系统需要更高的网络安全技术。另外,对于医院来说,其业务是依靠网络不断发展的,这种依赖性不仅体现在医院内部的不同部门,还体现在医院与医院之间借助于互联网实现沟通。医院的网络由于开放性比较高,所以会导致安全隐患较多。在实现信息化建设过程里主要从以下几个方面消除安全隐患:首先,数据安全,它不仅涉及到数据自身的安全,还涉及数据的防护;其次,关注系统安全,它不仅涉及物理系统的安全,还包括操作系统的安全[1];另外,由于网络安全具有多样性和复杂性,所以在网络攻防技术发展下,其自身不断发展。对于网络的安全来说,它主要涉及四个方面的内容:第一,由于自然灾害或操作失误以及计算机的袭击等带来的物理层面入侵,阻碍网络正常运行;第二,由于信息产品在进行研发时的缺陷,或者信息维护中存在的技术方面的安全隐患;第三,由于软件、硬件或应用程序自身的不合格导致产品方面的安全隐患;第四,由于网络端和网络连接以后遇到黑客攻击和病毒感染等应用服务层面的问题。由于信息技术不断发展,相应的网络安全问题越来越明显。
2医院网络信息化建设中安全问题的工作要点
在研究医院网络化信息建设中,要从多个角度着手,实现对网络体系的安全问题全面研究,防御潜在的安全隐患,提高中心系统业务发展的系统性和规范性,避免医院的数据外泄,保护患者的个人隐私。网络系统建设的安全性和医院的效率以及患者个人信息直接挂钩,所以加上医院网络信息化安全建设迫在眉睫。
2.1做好硬件设备安全工作
要想提高医院网络的安全指数,就要利用好物理安全措施,即使是再科学的安全软件,如果忽视了物理安全的重要性,也很容易导致攻击者借助于物理漏洞袭击医院的网络信息系统,阻碍系统的安全。具体来看,在硬件设备的安全工作里,主要从以下几个角度采取措施:第一,通过物理接触不经过现有密码是相关设备操作系统供给的功能;第二,对于计算机来说,工作室内部的服务器和相关设施要放在专门的机柜以保障安全,在锁上机柜以后,由专门的负责人保管钥匙,在核心机房要安装监控设施;第三,加强对防雷系统的设置,通过防静电地板实现多种配线的散热,定时开展除尘工作,防止灰尘进入装置。另外,要通过UPS的装置或双路供电,实现对主体网络设备的健全。
2.2做好网络口令安全工作
为了保障安全,所以网络设备的空灵需要设置成多于八位的密码,同时还要有多个特殊字符,实现数字和字母的结合。另外,如果是核心部门和岗位,要依据医院的具体规定不定时修改密码,加上防范工作,不给破坏者漏洞可循[2]。
2.3做好网络信息传输安全工作
借助于VPN技术,不断加强医院网络基础建设,提高网络信息的安全指数。不仅要控制和系统无关的人员进入医院网络盗取信息的行为,还要控制自身医院网络的用户进入其他网络。对于核心业务来说,必须在24h内进行,因此要设置多个科室的并置网络,通过网络链路的发现,避免由于单点传输障碍导致的系统瘫痪问题。
3医院网络信息化建设中做好其安全保障工作的措施
3.1完善网络安全环境,提升通信技术水平网络通信安全需求
(1)充分运用防火墙。由于医院的计算机和互联网是直接链接的,所以网络安全问题不可避免。借助于防火墙的运行可以阻断互联网的恶意袭击,实现系统业务的规范发展。在防火墙扫描和过滤以后,一些存在安全隐患的不良文件和病毒就会被物质,大大提高了安全指数。对于医院的网络信息化系统来说,防火墙是最有效的措施,一些不使用的端口,防火墙会自动关闭,另外,防火墙还可以使特定的端口流出的通信信息得到控制,封锁特洛伊木马等危害较大的病毒,对于特殊站点的访问也会予以防御制止,提高医院信息系统的安全。
(2)入侵检测系统的应用。通过入侵检测系统可以进一步检测医院信息网络的病毒,检查其中潜在的安全隐患。通过安全规范的检测,保障系统正常运作,在发生异常是,要及时发出警报。通过入侵检测系统和防火墙的有效结合,把任何潜在的或明显的安全隐患去除,阻拦危险因素,使主机的资源得到安全保障,提高资源信息系统的安全性。
(3)虚拟局域网划分管理。要想充分保障医院网络系统的安全,加上对这一系统的维护,防止病毒入侵,通过虚拟的局域网划分是一个关键途径。
3.2建立医院网络信息安全的防病毒体系
在医院整体的网络中,它涉及的范围比较广,由于医院自身的部门比较多,所以借助于网络进行通信的次数比较多,这样一来,病毒的蔓延有了条件,很多系统中的文件和数据会有被损坏的危险。因此,需要各个部门加强合作,共同抵御非法分子入侵。
(1)网络防病毒中心。对于网络安全预防工作来说,预防病毒的软件发挥着重要的作用。如果网络病毒入侵,或者自身的系统病毒感染了其他资源,那么通过杀毒软件可以及时发现,并删除安全隐患。除此之外,这样的防病毒软件可以防御病毒袭击网络操作系统,保障医院网络信息化的安全。在对医院防病毒系统进行设置时,要实现统一管理,充分考虑到软件的自动下载和更新等多方面因素。
(2)网络分析中心。在设置网络分析软件时,要处理网络环境里的安全问题。网络分析中心通过自动监测,进行数据的传输,使用户的问题得到解决,正确处理网络中的风险,保障网络效果。对于这一中心来说,它可以极大地控制网络故障发生率,为医院的网络信息化建设提供保障。
3.3为医院网络信息安全管理提供依据
按照医院所具有的人力资源和信息资源,在领导进行决策时提供科学的医疗信息,同时及时传递给各个部门。对于信息技术层次来说,要给工作人员一定的支持,进一步为领导的决策提供依据。医院的信息科一方面要审查全院科研课题申报工作,还要为课题的申报人员搜索相关的资料[3],同时做出科学的审查结论。
3.4进行医院网络信息安全教育
现在的很多医院里,信息科都负责医院网络信息安全工作。在很多综合性强的医院里,它们不仅要负责本医院的相关工作,还要不定时地举办信息安全学术讲座,培训其医学知识,掌握医学发展趋势,提高业务能力。另外。通过信息科对于医院信息工作的检查和监督力度的加强,保障科学技术的先进性,有效管理医院的信息资源,提高医院的网络信息化安全指数,有利于医院领导做出正确的决策。另外,信息科必须发挥自身作用,加大对医学工作的监督力度,通过培训提高员工对于医院网络信息安全的关注度,实现对医院网络信息安全的教育工作。
3.5对医院的网络进行安全隔离
在医院的计算机中,常常保存着医院的财务部门和人事部门的重要文件和数据,它们和医院的发展有密切联系。通过医院的信息化建设,不仅可以提高网络环境下这些部门的工作便利性,还可以提高部门对于网络安全的重视程度。所以,要隔离医院的重点部门和用户的信息,排除不允许访问的用户。在隔离医院网络的安全工作中,主要从以下三个角度解决网络技术方面的难题:首先,通过网络掩码或者VLAN技术划分网络,信息部形成子网络;其次,单独划分医院的重要部门和重点用户,把它们的信息归属到一定的子网络里。
3.6对医院的网络进行杀毒软件部署
现在来看,计算机病毒不断恶化,在发展的过程里逐渐呈现混合型趋势,借助于多种途径病毒都可以传播,它不仅有强大的破坏力,其隐蔽性越来越高。在计算机病毒蔓延的方式里,最快的传播方式是系统漏洞传播。
(1)恶意软件的深度防护工作。从理论上看,版本较新的防病毒软件是可以查杀新型病毒的,但是,从本质上讲,杀毒软件的病毒库发展总比病毒产生要慢,所以总有一部分病毒难以预防,做不到完全清除。另外,在服务系统里的安全漏洞比较多,并且呈现出不断增加的趋势,因此必须通过一定的补丁程序进行及时修复。所以,必须借助于补丁程序加强修复,有效防护恶意软件。在对客户端进行防护时,主要通过以下几个措施:首先,及时删除或者禁止不使用的应用程序和服务,最大化地降低计算机的受攻击面;其次,及时做好应用的安全更新工作;另外,对于客户端的使用过程里要使用防火墙,同时要加快安装和更新的步伐;另外,要及时测试漏洞扫描程序,保障“零漏洞”;最后,在登陆系统时要制定特权制度,划分好管理者和普通用户的不同登陆窗,保护服务器端,实现服务器端和客户端的防护,提高安全指数。除了上面提到的多种措施以外,还要防护软件的总体服务器[4]。
(2)对医院网络系统中的数据实现备份与恢复。数据备份工作就是把计算机网络里的数据及时复制并且放置到安全领域的行为。在计算机安全出现问题以后,在恢复系统时可以借助于之前备份的数据及时恢复系统正常工作。在进行数据备份时,要按照医院信息化建设的安全保护指数及时选择备份工作的种类,加大对备份文件的保护力度,保障医院信息系统的数据恢复工作。现在来看,数据的备份通常使用的是多层次冗余备份法,它不仅可以备份结构本身的数据,还可以备份本地磁盘的数据,实现异地备份。
(3)对操作系统进行安全管理。在整个医院信息网络里,其终端和服务器等多个设备都具备操作系统,对于信息网络来说,操作系统的稳定指数和安全指数都有很大的影响,在管理信息系统时,最关键的是要对应用系统依赖的IT基础设施进行日常运行维护与监控管理,保障信息系统在实际运行时可以稳定发挥其作用。通过信息系统来运行维护管理软件,提供给信息系统管理人员以综合的网络管理,实施全方位的管理工作。虽然备份工作枯燥又乏味,但它在网络安全里扮演着重要角色。由于医院网络信息化系统面临的环境十分复杂,所以备份工作有很高的重要性。为了进一步保障完整的备份,所以在开始备份以前,要按照具体的状况和环境实施可行的备份计划,进一步保障数据库的安全,具体来看,主要从以下几个角度入手:第一,设置合理的备份频率,定时备份计算机的数据;第二,设置好进行备份的内容。在备份结束后要检查所要备份的内容是否真正完成备份;第三,检查备份所使用的磁盘或磁带是否有病毒;第四,确定数据备份的形式,是采用在线备份的形式还是离线备份的形式;第五,保障备份工作有专门的负责人,明确负责人的权利和义务,为医院相关数据的备份提供人力基础;第六,进一步确定医院的网络信息化系统是否需要网络备份服务器,同时记录好文件备份的位置,有效发挥网络的备份数据作用,使病毒或非法分子入侵时,保障医院损失最小化。
4结语
综合来看,加大医院的网络信息化防护工作力度十分有必要。在进行防护的过程里,不仅要在技术层面上加大力度,还要通过医院的信息安全管理制度进行防护。在对相关人员进行安全知识培训以后,提高其对医院网络信息化的认识,提高员工的安全意识。通过理念上的重视和技术水平的提高,使工作人员综合素质提高,应对风险的能力也进一步提高。对于管理者来说,要和具体状况相结合,实施严格的管理,贯彻落实相关制度,完善医院网络信息化防护体系,为医院的网络信息化建设提供基础。
作者:吴南 单位:哈励逊国际和平医院
[参考文献]
[1]杨治民.医院信息化建设中网络安全研究[J].信息化建设,2016(5):24-25.
篇4
审计是客观评价个人,组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息,还提供了一个可内控的评估系统。审计的目标是表达人、组织、系统等的评估意见,审计人员在测试环境中进行评估工作。审计必须出示合理并基本无误的报表,通常是利用统计抽样来完成。审计也是用来考察和防止虚假数据及欺骗行为,检查、考证目标的完整性、准确性,以及检查目标是否符合既定的标准、尺度和其它审计准则。实现审计的信息化,有利于管理层迅速准确的做出决定,对于政企业发展、社会经济的进步都具有重要作用。目前,我国的审计工作尚存在性质认定模糊、工作范围过于狭窄等问题,有待进一步加强和改进。
审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。
一、审计工作的现状及存在的问题
随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。
(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向的作用。
(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。
二、信息化审计体系的健全
当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。
信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。 转贴于 三、主机系统安全审计
信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。
主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。
四、待解决的若干问题
计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。
保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。
防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。VPN可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防DDos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。
从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。
参考文献:
篇5
一、 引言
食品安全是关系国计民生的大事。近年来,食品安全问题频繁出现,而且影响也越来越大。食品安全不仅是一个生物、化学、技术和管理问题,更是一个经济问题,其本质是食品原料生产者、食品加工企业、食品营销者、食品物流企业、政府监管部门及食品消费者等相关主体之间的利益博弈,同时也是一个系统工程问题,其相关利益主体之间的利益制衡、信任管理和风险监管体系等并不是孤立的,而应该是一个完整的、系统化的有机整体。但是,目前我国对食品安全问题的经济学研究和系统管理理论研究严重不足。事实上,近5年我国发生的重大食品安全事件并不是我国的基础技术落后,主要是因为食品安全的外部监管、服务体系缺失造成的。当前我国食品不安全因素贯穿于食品供应的全过程,各大类食品均存在安全隐患,食品安全管理体制、食品安全标准体系、食品安全检测体系、食品安全风险预警系统等方面均存在着严重问题,同时,食品安全的诸多环节的监管不到位、利益博弈不均衡、信任缺失、法规条文不统一,导致食品链条成本和系统风险大幅增加,食品行业道德水平大幅下降,国民对政府和食品行业的信任度急剧下降,食品消费者时时处于担忧和恐惧环境中。食品安全问题得不到合理有效的解决,整个社会就无法和谐,经济发展将会受到严重制约。目前国内学诸多学着从不同的角度,利用不同的方法对食品安全问题进行了广泛研究,本文将目前学者研究的基础上从经济学视角出发对食品安全问题的利益相关主体之间的利益博弈、信任关系和食品安全问题的系统管理等三个方面研究进行了回顾和综述,并在此基础上有针对性地提出解决当前食品安全问题的对策建议。
二、 食品安全的利益演化博弈研究
利益是社会主体在经济、政治、文化的外部条件约束和保障下进行存续、发展、实现自我的一种必要追求,是一切人类活动的核心。“人们奋斗所争取的一切,都同他们的利益有关”。从某种意义上来说,人类对利益追求和动机是社会发展的原动力,也是人们实现社会资源优化配置、降低能源消耗和编织全球经济共同体蓝图的根本动力。可以说,没有人们对利益的需求和追逐,就没有了社会的一切。正是利益的存在,导致了利益问题的研究成为社会科学研究最重要的研究对象之一。它反映着人与其周围世界中对其发展有意义的各种事物和现象的积极关系,赋予了人们行为的目的性和内在动力。而也恰恰是利益,导致了社会各类事物之间具有着复杂性、统一性和矛盾性等特征。
在整个食品安全问题中,利益始终占据着绝对的主要地位和作用,它是整个食品链条的剂,也是整个食品链条发展和延续的源泉,更是各类问题和矛盾的聚集体。各种利益主体在谋利活动中,都会以实现利益最大化为目的,并运用各种手段尽可能地为自己谋取更多的利益。强弱双方会不断为各自的利益博弈,在这种利益博弈中,经济冲突和矛盾行为就产生了。有学者认为在这种利益矛盾和冲突中,消费者处于信息弱势地位,且对食品需求弹性小,总体上只能属于被动接受者,其对食品市场的影响微乎其微。而王虎、李长健认为这种看法存在着一定的片面性,他们认为整个食品供应链的终端,对食品安全存在天然的利益动力,对食品安全的关切度最为强烈。在食品安全领域中存在相关利益群体的利益对立和冲突,由此产生了生产者与消费者、监管者与生产者、生产者与销售者之间的利益博弈现象。但是,由于整个市场信息和个人信息的不对等性和非完全性、政府监管不到位及行政和链条中间环节信任的缺失等,在利益需求的实现过程中,不同的社会群体和利益相关集团或个人会存在着具有差别性的动机和实现路径。在其路径的实现过程中,道德风险、逆向选择、机会主义等行为应运而生。根据Akerlof和Arrow的研究结果,信息不对称会产生食品市场上的“逆向选择”——安全性差的食品把安全性好的食品驱逐出市场和“道德风险”——生产者隐藏或歪曲和误导食品安全信息等机会主义行为问题。在市场信息模糊不透明和市场监管不到位的情况下,食品链条中的各方的逆向选择、不道德行为和投机行为会随着各方追逐利益预期的增加而增加,最终会导致市场失灵、监管部门失信、国民恐慌和社会动荡。事实上,导致食品安全问题中的人为因素实质就是利益追逐的结果,生产者明知是有毒有害物质,却为了追逐自身利益最大化仍用于食品生产。回顾近几年来的重大食品安全事件,我国的食品安全问题绝大多数是人为因素造成,道德风险严重。相比之下,西方发达国家的食品安全问题主要是自然因素引起。因此,对于食品链条中的利益分配和行为监控等急需监管部门予以重视。王虎、李长健认为食品安全中存在的复杂的利益矛盾运动态势主要表现在生产者与消费者之间、生产者与监管者之间、生产者与销售者之间,为了实现食品领域的利益均衡与和谐局面必须重视对食品领域利益矛盾运动的分析并有效构建该领域的利益冲突与制衡机制、利益产生与分配机制、利益代表与利益表达机制、利益协调与利益保障机制,实现食品安全治理模式向政府、第三部门、法庭与私人多元共同参与的变迁。食品链条上的利益分配机制、利益制衡机制、利益协调机制和利益保障机制的有效性和可行性影响着食品安全中利益矛盾运动态势和市场均衡的变迁,影响着食品链条的有序性和可持续性。食品安全领域的利益追求不应该只是单个个体或群体一方利益的最大化,而是整个食品链条中所有群体和个人集体的利益最大化,这种利益的需求虽无法使个别个体或群体的利益最优,但能保障整个食品链条利益最优,使得食品链条的发展具有稳定性和可持续性。
食品安全问题的发展状况如何,主要取决于各方利益主体之间的博弈结果。食品安全问题中的利益博弈及其路径选择,反映了一个国家社会和经济的可持续性,反映了一个国家国民的素质、道德水平和政府对国民生命安全的关注程度和对人民的热爱程度。食品安全中的利益博弈及其演化路径、方向选择和监控机制关系着食品行业的未来,从某种意义上来说,更关系着国家的未来。因此,对于食品安全的利益关系分析及其机制设计至关重要,既能为降低食品链条的各种成本和交易费用提供指导,也能为国家行政监管提供理论借鉴。
三、 食品安全的群体信任关系研究
食品安全是关系到消费者、食品企业和政府部门的一个重要问题。信任是食品安全链条中的关键影响因素,食品安全中的信任关系会影响消费者购买意愿。关于信任,不同的学者对其定义不同,尼克拉斯·卢曼把信任理解为“对产生风险的外部条件的一种纯粹的内心估价”,他认为信任是一种简化机制,是一个对未来的期望,通过信任机制能降低特定情况下的复杂性,最重要的信任因素是个人已取得的正向经验、在获取正向经验过程中形成的人际关系以及作为人际关系桥梁的沟通因素。Doney和Cannon在综合社会心理学、社会学、经济学以及市场营销学相关理论的基础上提出了信任发展的五大认知过程:计算过程、预测过程、能力过程、动机过程、传递过程。在这些过程中,信任的感知和认可程度将影响着信任关系演化的方向、路径和演变结果。信任作为人与人之间的一种关系认知过程,它是双方合作的基础。组织间信任是组织间成功合作的不可缺少的前提,这种关系已被许多研究所证实。
在人与人之间利益获取的过程中,个体的信任感知将左右个体的认知或感知结果,影响个体行为和双方合作的可持续性。信任不仅能带来双方的利益分享和价值实现,也能带来资源的最优整合,促进整体利益和资源价值最大化。良好的信任关系,将会节省利益相关主体的时间和交易成本、降低心理风险,进而增加双方的合作意愿,获取更大的利益价值。
四、 食品安全的系统管理规制与模式
国内外关于食品安全管理的研究主要集中在以下几个领域:食品安全影响因素研究;食品安全管制的必要性及政府管制行为研究;食品生产者(供应商)行为研究;消费者食品安全行为研究;食品安全对国际贸易的影响;食品安全法律规制研究;食品安全管理理论与政策研究;食品安全管理体制比较研究等等,但对食品安全的系统管理和模式探索研究较少。食品安全问题具有市场信息不对称、外部不经济以及公共产品的特性,因此,需要政府来弥补市场失灵的缺陷,需要政府介入建立有效的信息制度和监管机制。Alan Stone认为管制是“政府通过法律的威慑来限制个体和组织的自由选择”,其目的在于限制经济主体的决策行为。企业食品安全行为、消费者食品安全行为与政府监管关系密切,政府监管法律政策的正确制定和有效实施是基于对企业和消费者等微观主体行为的有效认知。研究表明,在市场失灵的情况下,应采取的监管方式主要有:诉讼;消费者安全教育和信息提供;发放各类生产许可证;行政法规和命令;进行处罚和奖励。我国国内对食品安全管理体制的研究主要集中在对国外经验的介绍和比较方面。朱允卫介绍了发达国家食品安全管理3种模式——美国模式、英国模式和加拿大模式,分析了我国食品安全体系与发达国家的差距,并提出了借鉴国际经验进一步完善我国食品安全体系的构想。韩俊分析了食品安全监管体制的国际现状,按照WHO的分类方法,食品安全监管体制大体可以分为多机构食品监管体系、单一机构食品监管体系、综合食品监管体系三种类型。分析了分散管理模式和集中管理模式的利弊,结论指出:就中国而言,食品安全监管机构宜少不宜多,应尽快对食品安全监管体系进行整合。当前实行的“分段监管为主,品种监管为辅”的食品安全管理体系,是造成食品安全监管体系效率低下,资源浪费、职责难以分清以致监管重复和监管空白均有表现的原因之一。当前国内外对食品安全的管理体制研究文献较多,但对于其系统管理方法和模式的研究文献较少。我国的实践证明,食品安全管理需要一种系统的管理方法和管理模式,当前我国分部门和分级管理导致不同部门之间的规则和文件条款冲突,利益矛盾严重,往往各个部门为了各自的利益,削弱了食品安全管理的有效性。因此,当前我国急需对食品安全管理进行统一,管理方法和模式需要系统化,法律法规需要高度的一致性。(下转第87页)
五、 结论
经过对国内外经典文献的梳理,发现我国当前的食品安全管理规制已经严重削弱了食品安全管理的有效性。当前食品安全中的利益问题、信任关系及系统管理模式等急需要迫切解决,研究需要进一步以下三个经济学领域深入:食品安全中利益演化和规制设计、食品安全中利益主体之间信任关系与信任机制、食品安全的系统管理规制和模式等。从某种意义上来说,这三个领域是当前食品安全问题中的三个关键点,也是保障食品安全和社会安全和谐的理论前提。
参考文献:
1. 马克思,恩格斯.马克思恩格斯全集:第1卷.北京:人民出版社,1956:82.
2. 李卓.利益语境下经济法的价值分析.当代法学,2006,(5):119.
3. 王虎,李长健.利益多元化语境下的食品安全规制研究——以利益博弈为视角.中国农业大学学报(社会科学版),2008,25(3):144-152.
4. Akerlof, G. A. The Market for Lemons: Qualitative Uncertainty and the Market Mechanism. Quarterly Journal of Economics,1970,84(3):488-500.
5. Arrow K. J. Essays in the Theory of risk-Bearing. Chicago: Markham Pub. Co.,1971.
6. 王虎,李长健.利益矛盾论视野下食品安全治理的一种模式变迁.经济体制改革,2008,(5):19-25.
7. 尼克拉斯·卢曼.信任:一个社会复杂性的简化机制.上海:上海世纪出版集团,2002:55.
8. Doney, P. M., Cannon, J. P., Mullen, M. R.. Understanding the influence of national culture on the development of trust.Acade2my of Management Review,1998,(3):601-620.
9. Morgan R., Shelby D. H.. The Commitment- Trust Theory of Relationship Marketing. Journal of Marketing,1994,58(7):20-38.
篇6
中图分类号:TP316 文献标识码:A 文章编号:1674-098X(2014)06(a)-0038-01
1 医院信息安全现状分析
1.1 信息安全策略不明确
医院信息安全策略工作的不明确,使医院对于信息工作提出了更高的要求。医院信息安全工作的建设并不是那样的简单,有些医院只是简单的注重各种网络安全产品的采购,但是并没有制定信息安全的中、长期的计划,这些医院没有根据自己的网络安全出现的一些问题而采取一些应对措施,也没有根据自己的信息安全目标制定符合实际的安全管理策略。以上现象的出现,使医院信息安全产品不能发挥出应有的作用,不能得到适当的优化和合理的配置。
1.2 计算机病毒等危害日益严重
医院网络安全事件频繁发生,直接影响到医院活动的正常运行。据调查,网络安全问题是由病毒泛滥、黑客攻击、系统漏洞等原因造成的,网络安全事件与脆弱的用户终端和“失控”的网络密切相关,用户终端不及时升级系统补丁和病毒库,或者私设服务器、滥用政府禁用软件、私自访问外部网络的现象普遍存在,如果失控的用户终接入网络,就会使潜在的威胁趁虚而入,并大幅度的扩散开来,后果不可想象。想要解决目前医院网络安全管理问题,需要我们保证用户终端的安全、阻止威胁入侵网络和对用户的网络访问行为进行有效的控制。这样,医院网络安全才可以进入可观局面。
1.3 信息安全意识不强,安全制度不健全
信息安全事件存在多方面的不足,归结起来要么是医院未制定安全管理制度,要么制度后实际却没去实施。对于医院信息安全问题来说,医院内部人员起到很大的作用,但是实际情况下,医院内部人员的计算机知识却相对薄弱,特别是在信息安全知识和意识方面,所以医院应加强对内部员工安全知识的培训。
2 构建医院信息安全及防御体系的措施
目前,想要完成医院信息安全的任务,首先要根据医院的实际状况出发,制定出相应的措施。医院信息安全应包括安全策略、安全管理和安全技术,只有将这三个方面的安全措施做好,医院信息安全便可取得一定的效果。
2.1 提升信息安全策略
网络信息安全需要从管理和技术两方面下功夫。网络信息安全并不是一个单一或独立的问题,在根据医院网络信息实际出现的问题采取相对应的措施外,还应该严格务实的实施下去,只有这样可以提高网络信息系统安全性。我们在网络安全实施的策略及步骤上应包括以下五方面的内容: 制定统一的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况(遇攻击时可采取安全措施)、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。
2.2 完善信息安全管理
从安全管理上,要制定出相对完善的机制,遵守并实施安全管理制度,加强对医院员工的安全意识培训,引导并督促他们对安全意识深入了解,最后还要制定出网络安全应急方案等。
第一,安全机构建设。成立专门的信息管理组,并设立各个部门及其主要领导,每个部门规定相应的职责,层层推进,共同实施信息管理任务。除此之外,还应该及时的进行信息的安全检查和应急安全演练。
第二,安全队伍建设。若想要医院信息系统能够正常有序的运行,则需要建立一支较高水平、较高实力的安全管理队伍。安全管理队伍可通过引进或则培训等渠道建立。
第三,安全制度建设。为了确保医疗工作的正常运行,需要建立一套可行的安全制度,其内容包括很多方面,比如:系统与数据安全、应用安全、网络安全、信息安全、物理安全和运行安全等等。
2.3 提升医院信息安全技术水平
依据安全技术的实施结果分析,要针对检测到的安全漏洞,制定出全面且彻底的补救方案与改进措施。
(1)冗余技术。冗余技术的作用可以实现网络的可靠性,冗余技术包括:电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等。若无冗余技术的作用,医院信息网络就会就会出现故障或变化,这样会导致医院业务的瞬间质量的恶化甚至内部业务系统的中断,并且医院信息网络作用于整个医院的业务系统,需要保证网络可靠并正常的运转,这就更需要冗余技术来发挥维持网络稳定性的作用了。
(2)建立安全的数据中心。无论对于患者或是医院来说,医院的医疗数据都是非常重要的,但是由于医疗系统的数据类型非常丰富,在对数据的多次读取的和储存的同时,难免造成数据的丢失,或则被恶意破坏、非法利用等安全问题,所以,建立一个安全的数据中心成为必需。一个安全的数据中心具有以下功能:有效的杜绝安全隐患、确保病患的及时信息交互、保证各个医疗系统的健康运转和加强医疗系统的安全等级。数据交换、数据库、服务器集群、安全防护和远程优化等组件都是融合的医疗数据中心的组成部分。
2.4 安装安全监控系统
想要保持医院内部的安全策略,安全监控系统扮演着非常重要的角色。安全监控系统不仅能充分的利用了医院现有的网络投资,还可以起到监督的作用,监控各种网络行为和操作进行,可以随时随地的记录各个终端和网络设备的使用状况,而且还能起到隔离部分被攻击的组件的作用,
3 结语
医院信息安全并不是一个简单的系统,应该采取多种有效的技术手段来应对不同网络威胁,当然,也应该清醒的认识到不可能把信息安全问题彻底解决掉,绝对安全是不存在的。但是,只要我们把系统合理、安全规划,技术上制定好相应的安全防护措施并认真务实的执行下去,建立一个将误差降低最小的安全防护系统,才是我们一直追求的目标,才能实现保护医院信息安全的目的。
参考文献
[1] 魏牧.浅谈医院信息系统的安全管理[J].科技资讯,2009(8).
[2] 管斌,孙曼凌.浅谈医院信息管理系统[J].中国社区医师(综合版),2007(18).
篇7
奚国华指出,近年来,我国信息化发展取得了一系列骄人成就,但其背后还存在着一些问题,突出体现在四个方面:一是2007年以来,我国与发达国家在信息化领域差距正在重新拉大。二是我国区域之间,特别是东西部之间的数字鸿沟扩大。三是在网络空间的发展滞后。四是在发展信息化的核心技术方面缺乏国际竞争力。
奚国华表示,信息化关系国家发展全局,应将大力推进信息化作为一项重大国家战略任务来抓,建议从五个方面予以推进。
第一,提高各级领导干部对于信息化重要性的认识。将推进信息化纳入中央和地方各级机关的重大议事日程,将信息化放到统筹和优先考虑的位置。
第二,完善国家信息化的管理体制。进一步强化国家信息化领导小组,在国家信息化领导小组之下,建立常设办事机构,汇集全社会的智慧,向国家提出战略性、全局性、前瞻性的重大建议。
篇8
一、进一步加强体系建设,提高监管能力
1、继续加强检验检测体系建设。搞好县农业监测站的升级改造,增加仪器设备,拓展检测范围。加强乡镇农产品质量安全监管区域站检测服务工作,全面完成省市县三级风险监测任务。积极引导农事企业、家庭农场、农民专业合作社建立检测室,开展自检工作。
2、进一步提升检验检测能力及范围。秉承“一流管理、一流质量、一流服务”质量方针,结合“双认证”到期复评审工作,将检验检测范围由过去的三项(土壤、肥料、农产品)拓展到六项(农产品、土壤、肥料、农田灌溉水、农田大气、植株),参数由过去的89个增加到162个,不断提升全县现代农业的服务水平。
3、进一步强化监控平台管理。将监控平台软硬件进行更新改造,安排专人负责平台管理。将全县重点农药商店、重点果蔬生产基地、所有检测室全部纳入平台监管,切实发挥互联网+农产品监管的作用。
二、进一步健全制度措施,落实监管责任
1、进一步加强农药经营管理。以源头可追溯为目标,按照先审查、后备案、再经营原则,对全县农药经销商店进行统一排查、备案管理。
2、严格农业投入品市场监管。由县农经局牵头,联合相关部门,开展农资市场拉网式打假整治和执法监管行动,加大假劣农资案件查处力度,严厉打击制售假劣农资坑农害农违法行为。
3、加大农产品风险监测力度。按照省市相关要求,制定监测工作方案,重点抽检树莓、辣椒、白菜、菠菜等重点品种,确保农产品安全产出。
三、注重品牌培育,着力提升品质
1、狠抓“标准化”生产。围绕出口树莓、辣椒、寒富苹果、西红柿等重点行业,大力推进标准化生产,建设标准化示范园10以上,面积65万亩以上。制定标准化栽培模式图,逐村逐户发放宣传,做到家喻户晓、一看就懂、一学就会。
篇9
根据当前电力系统的发展状况分析,电力系统逐渐向着一体化设计方向发展。而在实现信息共享一体化的过程中,为了保证信息的安全性,就需要积极构建安全防护系统。
一、电力系统一体化概述
(一)系统特点分析
电力系统一体化具体指的就是系统中各组成部分的自动化总称,主要有变电站、电能量剂量与电网调度以及配电网等等。而电力系统一体化所具备的特点十分明显,其可靠性与及时性突出,与此同时,系统本身的完整性与一致性优势也相对显著。
(二)有关电力系统一体化信息安全的阐释
在电力企业生产与经营过程中,保证系统信息安全十分关键。其中,最重要的就是要综合考量电力工业具体特点,在信息安全的基础上有效地规避系统被入侵,对系统状况进行全面检测。一旦出现系统安全事件,应当在短时间内采取应对措施,而系统遭受破坏的情况下可以及时恢复。对于电力系统一体化自动化系统信息安全,则是要全面保护系统信息。针对没有授权系统计算机资源是不允许访问亦或是篡改的,同时要拒绝相应的服务攻击。除此之外,还需要避免系统受到病毒或者是黑客的入侵,尽可能防止操作不正确对系统带来的威胁。而电力系统一体化信息安全所具备的特点可以表现在三个方面:首先,信息安全的保密性较强,因而系统内部信息的泄露风险得以降低;其次,完整性明显。电力系统一体化的完整性特点可以有效地规避对系统内部软件以及数据等内容进行非法地删除以及破坏等;最后,信息有效性突出。落实电力信息系统的一体化,能够确保信息和系统资源更加有效。
(三)安全技术在电力系统一体化设计中的运用
第一,防火墙技术。众所周知,防火墙属于网络安全构建,主要在企业网络以及不安全网络中合理地设置障碍,有效地规避信息资源被非法访问。而防火墙技术的应用能够避免公司网络中的专利信息非法输出。现阶段,所谓的防火墙系统具体指的都是硬件防火墙,其具体的组成就是防火墙硬件卡与策略服务器软件。在实际应用的过程中,一定要在服务器以及工作站中合理地安装好防火墙的硬件卡,而在服务器中则应当安装策略服务器软件,增强配置并管理网络系统防火墙的效果。通常情况下,防火墙比较适用在独立且和外部网络互联途径有限,服务种类集中的单一性网络当中,能够对局域网进行全面保护。第二,VPN技术。该技术具体指的就是在公共基础设施建设的基础上,对公开网络数据传输的能力进行合理运用,并在安全技术的作用下,实时提供保密数据通信,是一种安全通道,具有明显的安全性与可靠性。概括来讲,VPN传输信息的主要媒介就是对可靠性不强的公用互联网予以合理运用,并在附加安全隧道与访问控制以及用户认证等多种技术的作用下,具备相似于专用网络的安全性能,为传输重要信息提供一定的安全保障。在电力系统中融入VPN技术,能够使电力网络生产投入不断降低,同样也可以从网络升级与维护工作中脱离出来。对于VPN技术的长期运用,一定程度上提高了电力网络可拓展性能,与此同时,还能够对电力系统内部各个部门进行有效的调整,确保关系的协调。在这种情况下,各个部门能够针对突发事件进行处理,在网络大力支持之下,节省协调办公相关费用。对于VPN技术而言,隧道技术的作用不容小觑,这是在网络层协议基础上的规范,在两点间亦或是两端间的数据传输隧道构建与拆除中比较常用。而实现VPN的重要前提就是网络设备与固化在网络设备当中的控制软件。当前,VPN交换机是交换式VPN的重要设备,对隧道交换使用能够把访问引导至隧道的终端,以保证不同网络用户都可以进入到各种网段当中。第三,IDS技术。IDS也被称为入侵检测系统,通常被应用在可能对系统保密性以及完整性造成损害的行为检测当中,属于网络技术当中的一种,同样也是发展速度相对较快的领域。而IDS技术在实时检测的基础上,可以对攻击模式、系统漏洞以及不完善版本与系统配置等模式予以全面检查,进而对相关活动的安全性进行有效监控。该系统的具体组成就是数据管理服务器以及网络探测。其中,网络探测主要是专门主机当中运行,能够对网络流过数据包进行监视,同时在发现出现攻击行为的情况下可以向数据管理服务器传送信息,并在服务器数据库当中对信息进行详细记录。
二、电力系统一体化信息安全防护体系设计与应用研究
(一)信息安全防护体系的设计
充分考虑电力系统当中不同应用特点以及安全等级的具体要求,可以有效分组以实现系统安全性的提升。其中,针对不同系统的安全等级,安全分组主要包括三种。第一种分组,系统的功能主要包括SCADA、PAS、DMS三个部分,具有高实时性,而所对应的生产现场控制区主要是实时控制区。第二种分组,系统的功能主要是TMR,具有准实时性,其实际对应的生产现场控制区主要是非实时控制区。第三种分组,系统的功能主要是DMIS部分,而具有非实时性,所对应的生产现场控制区主要是生产管理区。前两种分组之间可以设置硬防火墙的设备,进而规避同电网外部公共通信链路以及内部公共信息通道链路的连接。对MIS系统的以太网出口进行考虑,则应当在第三种分组和前两种分组间有效设置物理隔离设备。与此同时,第三种分组当中的DMIS一定不能够和电网外部公共通信链路以及内部公共信息通道链路实现连接。基于此,前两种分组确定为电力系统一体化的内部网络,而第三种分组为外部网络。
(二)信息安全防护体系的安全管理方式
首先,应详细地指出计算机安全任务以及责任,同样要划分普通用户和管理人员间的权限。其中,系统的维护工作人员要承担维护系统与配置的责任,同时还应当对相关维护数据与图形进行合理编辑。另外,操作工作人员要对SCADA运行的状况进行实时监控,普通用户只允许查看信息,但是没有操作亦或是控制系统的权利。其次,要想进入系统内的人员,一定要具备和系统配套的注册工具,通过对证书技术的合理运用,可以在交换系统内部数据的基础上,确保操作的安全性。最后,重视系统安全的作用,及时备份系统内容。与此同时,需要在初始设置系统的时候,制定系统出现故障的恢复计划,以备不时之需。
三、结束语
综上所述,电力系统中的自动化系统诸多,必须要构建安全防护系统,充分考虑系统特点以合理设置安全等级,确保各自动化系统隔离的安全性,增强系统网络安全效果。
作者:赵武忠 单位:国网吉林省电力有限公司通化供电公司
参考文献:
[1]常富红,王媛媛.电力系统一体化设计中信息安全防护体系探讨[J].信息与电脑,2015(4):31-31,33.
[2]徐晖,梁承东,程俊春等.基于电力系统的信息安全综合评价体系研究[J].计算机科学,2014,41(z2):482-484.
[3]陈来军,梅生伟,陈颖等.智能电网信息安全及其对电力系统生存性的影响[J].控制理论与应用,2012,29(2):240-244.
篇10
2广播电台信息安全工作的展开
我国于2003年7月出台了第一部关于信息安全的纲要性文件:国家信息化领导小组关于加强信息安全保障工作的要求》。其中有明确提出:对于网络和信息系统安全的潜在威胁、保护措施、薄弱环节等进行评估,综合考虑网络与信息系统的重要性、程度和面临风险等因素,进行相应的等级安全建设和管理。坚持积极防御、综合防御的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息发展,保护公众利益,维护国家安全。2006年至今,国家信息安全保障体系建设取得了实际性进展。围绕中办第27号文件展开各项信息安全保障工作,信息安全法律法规、标准化和人才培养工作取得新成果。目前,信息安全工作主要围绕风险评估和等级保护两个重点展开,信息安全风险评估是指依据相关信息安全技术和管理标准,对信息系统进行安全性评价的过程。而等级保护则是对评估结果作出相应的措施保护。
3广播电台信息安全工作建议
(1)培养专业人才队伍。目前,在广播电台行业内部信息技术和管理方面缺少人才队伍,不能适应当前传播媒介的快速发展态势。因此,要加强行业内信息安全负责人员的技能培养和理论知识的培训,还需要定时开展信息安全评估和等级保护测评等工作,让信息安全负责人员积累经验、锻炼队伍,培养出一批既了解广播电台行情,又掌握信息安全保障技能的人才队伍,有了最基本的人才队伍保障,广播电台的发展才能更加稳定。此外,还要牢固树立信息安全工作人员的保密观,使工作人员充分了解到新时期广播电台信息安全保护工作的重要性。
(2)促进广播电台的标准化和制度化。新时代的广播电台具有播出媒体信息流量大、专业化设备负责、传输渠道更新快、传播网点逐渐复杂化等多种特点,因此需要修订适合的信息安全系列的标准、制定和完善相关的制度,促进广播电台的标准化、制度化进程,加强对其的指导,使广播电台的行业信息安全工作有标准可遵循、有制度所制约,从而更好地促进信息安全工作朝规范化、科学化前进。
篇11
随着高速信息时代的到来,信息化已经成为当下国企单位内部发展建设的主要目标,要求国企对传统的管理经营理念、手段及方法进行创新与变革。尤其是会计财务方面,会计信息一体化建设统一由计算机管理会计核算以及账目登记,实现财务工作的网络化管理,一方面可以减少财务人员的工作量,提高企业财务工作效率,让财务信息和内部管理信息实现备份和监护,优化企业财务管理质量,提高企业财务管理水平;另一方面企业会计信息得以共享,便于管理者实时掌控企业财务信息,便于制定指定科学、有效的企业管理政策。
一、国企单位会计信息一体化建设的问题
自上世纪90年展至今,会计信息一体化建设对国企单位的会计核算和管理手段都带来了全新的变化,基本告别了手工记账这一传统的会计核算方式。但是就其发展现状来看,国企单位会计信息一体化建设还存在着以下几个问题:
(一)受传统财务会计理念影响,国企单位对会计信息一体化建设缺乏重视
国企的管理人员仍沿用传统的管理理念和管理方法,对会计信息一体化建设的重要性和具体工作都不甚了解,不利于企业会计信息一体化建设,同时国企单位的会计管理人员大都具有丰富的从业经验,但受传统财务会计理念影响较大,对会计信息一体化缺乏全面的认识,虽然现在大多单位财务工作中推广了办公自动化,但是并未完全落到实际,对于财务人员来说便利程度甚至不如手工记账,作用没有得到有效发挥。
(二)落后的内控体系阻碍会计信息一体化建设
国企的会计信息一体化体系发展至今仍存在一定的缺陷,跟一般企业相比较,国企的会计管理体系较为简单,对会计信息系统的使用仅停留在账目登记与核算,并未利用财务数据进行企业的成本管理和效益分析,从而影响整个财务决策。此外,在国企的日常运营中,出于企业管理需要会通过内部牵制与岗位职责等手段对财会人员进行内部控制,从而保证财务信息的准确性和单位资产的完整性。但是这种内部控制体系实际上会阻碍现下的会计信息一体化的建设,在这种内部控制体系的影响下会计信息出现交叉,直接降低内部牵制与岗位职责的效用,导致会计信息被伪造的现象,直接损害国企单位的经济利益。
(三)科学性和时效性缺失致使会计信息一体化建设不完善
国有企业对会计信息一体化的资金投入不足,企业往往需要投入一定的资金购买财务软件,但是当前的财务软件大大小小都存在一定的弊端,同时真正实现会计信息一体化还需要投入大量资金来购买符合要求的硬件,而国企在这个过程中能够投入的资金有限,导致软硬件无法达到会计信息一体化的要求,优势自然无法完全发挥,会计信息的科学性和可靠性无法得到保障。此外,国企单位的财务信息来源较为广泛,不仅只来自于会计财务部门,与国企内部不同部门都有着或多或少的联系。在会计信息一体化建设中,财务部门主要负责加工处理已生成的财务信息并传播至其他部门,使财务信息使用者能够及时获得信息。但是在实际实行中,由于由于系统原因财务信息无法实现全面沟通实时共享,导致部分部门无法及时了解到财务状况,无法及时开展会计财务管理工作,降低了会计信息一体化的时效性。
(四)会计信息一体化建设缺少配套安全管理体系
计算机网络技术是实现会计信息一体化的基础,所以计算机的安全管理在会计信息一体化建设中尤为重要。计算机系统方面的安全性是财务信息处理和传递的媒介,但是由于目前国企单位的计算机网络还不是很先进,导致会计信息安全存在隐患。在计算机的工作过程中,由于员工操作疏忽或者是计算机自身系统存在弊端,容易导致设备软件损坏或者病毒入侵,而会计部门的信息资料万一泄露将会给企业带来重大损失。目前国企单位使用的计算机软硬件都较为落后,安全管理不够完善,计信息的安全性仍存在问题。
(五)专业人才较少,会计信息一体化建设进程比较缓慢
国企单位会计信息一体化工作涉及面广、专业性强,对国企单位的人才培养有较高的要求。但是在目前我国国企财务工作状况来看,专业技术人才相对比较匮乏,工作无法全面推广,工作效率亦难以得到实质提高,会计信息一体化的优势无法发挥。此外企业也没有提供特定的机会,让财务工作提高自身业务水平,国企单位财务工作人员素质水平亟待提高,实际工作过程中出现新问题新情况无法采取及时采取有效措施解决问题,拖慢了会计信息一体化建设的进程,对整个国企单位的健康发展不利。
二、推动国企单位会计信息一体化建设的几点建议
(一)提高认识,增强企业管理者和财务工作者对会计信息一体化建设的了解
由于国企的财务工作者和企业管理者大多受传统观念影响,不易接受新事物和新理念,对会计信息一体化建设的缺乏重视,已然成为会计信息一体化建设的绊脚石。因此,国企单位应采取一定的措施来提高认识,加强对会计信息一体化建设的了解。首先要加强对单位内部相关人员尤其是会计从业人员的培训,根据参训人员的特长、年龄状况等采取集中培训、轮训等不同的方式进行培训,使其在思想意识、知识结构、业务知识等得到全方面提升,以增强国企单位员工对于会计信息一体化建设的重要性的认识,提高其业务水平;其次要让财务工作者充分感受到会计信息一体化给日常工作带来的便利,切身体会到会计信息一体化可以减轻财务工作量,同时大幅提高单位会计信息处理的效率,从会计理论到会计实务都发生深刻变化;最后还要积极引进会计信息人才,在人才招聘中寻求熟知会计财务知识与电子信息知识的高素质人才来充实财会队伍,提高会计信息一体化工作质量和工作效率。
(二)增加资金投入,完善会计信息一体化建设的软硬件设施
要推动会计信息一体化建设,必须投入必要的资金提供符合需求的基础硬件环境和信息环境,最大限度地发挥其经济价值,为企业财务工作健康发展发挥最大限度的经济效益。国企单位的管理者在指定决策时应当把资金向会计信息一体化基础设施的购置上倾斜,结合本单位的财务特点,购买符合自身发展需求的软硬件设备,提升会计信息一体化的基础设施建设。同时,网络信息安全已成为现代网络技术发展的重大问题,国企单位要重视在财务信息安全的投入,与知名的网络安全公司开展合作,购买网络安全软件以及技术支持,对病毒木马等的侵害进行有效的拦截,实时维护企业的信息安全。
(三)优化企业内部控制体系,提高会计信息一体化工作效率
我国国企单位在处理会计信息电子化的过程中存在由于内控体系落后、员工操作不熟练等原因出现效率低下的问题。因此,为了提高会计工作的效率,国企一是可通过根据业务状况优化内控管理体系,加强对员工操作层面的培训,在容易影响工作效率的环节填补漏洞。二是为了加强企业会计信息的安全性,企业要采取特定措施,请科技部门设置安全系数高的网络防火墙,使会计信息处于安全的服务器中,也可以采取网络信息电子屏障防护手段,隔离与外网的联系,使企业会计信息在局域网内进行安全处理,禁止非相关人员获取和使用信息。三是在实际使用财务软件时,国企要严格控制操作员的账户与相应权限,既发挥系统运用的实效性,又能保障系统的安全性。以上措施防护了国企会计信息系统免受入侵,保护了财务信息安全。所以,会计信息一体化建设涵盖了国企各个部门,是一项整体性的内部控制工作,要求网络技术部门和会计财务部门加强沟通及时联系,对企业安全系统进行实时监测与定期维护,全面提升财务信息软件的安全性和实用性,促进会计信息一体化建设顺利开展。
三、结语
国企单位必须根据自身的发展特点推动计信息一体化建设,从而实现企业财务信息网络化、科学化管理,从而推动国企内部管理方式变革,促进其健康稳定发展,并逐步提高其在社会主义市场经济中的竞争力。
参考文献:
[1]梁美仪.企业信息化下的会计人才培养[J].合作经济与科技,2010(23).
[2]罗庆渝.会计信息化在我国实施中存在的问题及对策[J].科学咨询(决策管理),2011(10).
篇12
一、企业安全管理三大问题
自“棱镜门”、iCloud照片泄露、携程及支付宝等企业接连宕机等事件发生之后,信息安全已被国内外政府、行业和企业推到了前所未有的高度。国务院《关于积极推进“互联网+”行动的指导意见》中也明确提出,要提升互联网安全管理、态势感知和风险防范能力,加强信息网络基础设施安全防护,加强“互联网+”关键领域重要信息系统的安全保障。信息安全危害事件频频爆发。2015年5月,网易、支付宝、携程、艺龙、知乎、Uber等多家知名企业出现接连宕机,互联网安全问题频繁出现并集中爆发,这为我国企业安全管理敲响了警钟。企业处理突发事件能力较弱。网易、支付宝、携程等互联网企业宕机后,很长时间才得以解决,表明企业在应对安全威胁突况时的力不从心,也反映出企业对信息安全中的外部威胁难以进行有效防范和及时应对。目前,我国互联网企业总体停留在安全保障、被动防御阶段,并未形成明确推进信息安全的管理措施。企业对信息安全重视程度不够。与发达国家相比,我国企业用于信息安全方面的投资还很低,尚未占到企业信息系统建设总成本的2%,而国外企业用于安全系统的投资占整个网络建设投资的15%~20%。例如,2014年我国信息安全投资总额为22亿美元,不及美国的3.2%,且企业投资重点集中在安全基础设施建设、产品更新换代等,对安全服务投入明显不足。许多企业口头上重视信息安全,但未付诸实践。
二、构筑企业安全三重防线
建设合理先进的信息安全管理系统。企业应重点加大对安全评估测评工具及技术、数据防泄露及敏感信息防护技术、大规模网络安全态势感知技术和统一身份管理与认证技术的研发投入,重点建设一个集风险评估、安全策略、防御体系、实时检测、数据恢复、安全跟踪和动态调整为一体的信息安全管理系统,加大信息安全管理的重视力度,从产品、技术、管理和制度多个维度来解决信息安全问题。建立信息安全风险防范和灾难应对体系。建议企业参照金融行业的管理模式,主动建立风险防范和灾难应对体系,出台具备面对突发状况的应急方案和数据备份双重机制,并重点开展以下工作:完善、优化企业内部网络架构,构建全方位的数据泄露防护系统,建立一体化的本地/异地备份与容灾体系,建立防火墙、防入侵及一体化安全网关解决方案,提高漏洞发现及应急解决能力、减少高危漏洞带来的危害。联手产业链上下游共筑安全防线。信息安全已不只是企业本身所能掌控的,比如支付宝服务器故障的主因是杭州市萧山区某地光纤被挖断导致,这就需要电信运营商等加大对光纤光缆安全监督。因此,互联网企业应与产业链上下游企业携手,做到信息数据、用户隐私、软硬件产品等不同类型的安全问题与行业相对应,有效防范安全管理脱节、错位等问题发生。随着互联网与各行各业的深度融合,信息安全威胁事件出现常态化趋势。企业应紧密围绕内部和外部环境,加大信息安全管理工作力度,有效减免信息安全危机事件。
作者:宋德王 单位:赛迪智库电子信息产业研究所
篇13
1 引言
随着国家信息网络基础设施基本完成,信息化应用全面展开,物联网广泛应用于公共事业/服务、交通运输、个人用户、批发零售、工业、制造业、商业、服务业、农业、建筑业、金融业等。目前来看,物联网虽然给人们带来便利,但物联网在信息安全方面还存在一定的局限性。一是存在信号受到干扰的可能。如果安置在物品上的传感设备信号受到恶意干扰,很容易造成重要物品损失以及重要信息被篡改、丢失的隐患。二是恶意入侵的隐患。如果病毒、黑客、恶意软件绕过了相关安全技术的防范,对物联网的授权管理进行恶意操作,掌控他人的物品,就会造成对用户隐私权的侵犯。如果爆炸物、枪支等危险物品被其它人掌控,后果会十分严重。因此,物联网安全问题如果得不到有效解决,将严重阻碍物联网产业发展。由于物联网感知节点和传输设备具有能量低、计算能力差、运行环境恶劣、通信协议庞杂等特点,使得传统安全技术无法直接应用于物联网,由此引发物联网特有的安全问题,而物联网安全技术和安全状况缺乏有效的检测和评价手段。
我国政策环境较好,物联网已成为国家发展战略,初步明确了未来发展方向和重点领域。国家高度重视物联网安全建设。2013年初,国务院了《关于推进物联网有序健康发展的指导意见》(国发[2013]7号)中明确提出以工业和信息化部、发展改革委、公安部牵头承担物联网安全保障专项行动计划:提高物联网信息安全管理与数据保护水平,建立健全监督、检查和安全评估机制。加强物联网重要应用和系统的安全测评、风险评估和安全防护工作。加快物联网相关标准、检测、认证等公共服务建设,完善支撑服务体系,有效保障物联网信息采集、传输、处理、应用等各环节的安全可控。
2 物联网一体化安全检测体系
各类物联网示范工程进行大规模应用之前,应充分考虑和评测其安全性,从源头保证物联网安全措施有效性、功能符合性、安全管理的全面性以及给出安全防护评估。在建设实施阶段,将所有的安全功能模块(产品)集成为一个完整的系统后,需要检查集成出的系统是否符合要求,测试并评估安全措施在整个系统中实施的有效性,跟踪安全保障机制并发现漏洞,完成系统的运行程序和全生命期安的安全风险评估报告。在运行维护阶段,要定期进行安全性检测和风险评估以保证系统的安全水平在运行期间不会下降,包括检查产品的升级和系统打补丁情况,检测系统的安全性能,检测新安全攻击、新威胁以及其它与安全风险有关的因素,评估系统改动对安全系统造成的影响。
物联网关键安全问题:一是感知设备安全;二是物联网系统安全和风险评估,重点是接入问题;三是业务应用安全。目前,各行业均提出了相应的安全防护体系,如智能电网系统、工业控制系统等。本文依据相关的安全防护体系提出物联网一体化安全检测体系,即“一中心、两库、五平台”,如图1所示。即开放式场景检测支撑平台、感知设备安全检测服务平台、物联网系统安全检测服务平台、物联网系统风险评估服务平台、物联网集成化安全管理检查服务平台、物联网安全检测标准及指标库、物联网信息安全漏洞与补丁库以及一体化安全检测管理中心。在此基础上,结合物联网具体业务需求,进行物联网安全检测方法、规范、指标体系、专业化检测技术研究与积累。同时,形成一支服务于物联网安全检测的多层次、复合型、专业化人才队伍,全面保障物联网系统安全稳定运行。
3 “五平台”
“五平台”提供检测、检查和评估三类专业化服务,其中物联网集成化安全管理检查服务平台可作为独立平台对外提供检查服务;开放式场景检测支撑平台为感知设备安全检测服务平台与物联网系统安全检测服务平台提供安全符合性检测环境,此三个平台提供技术检测服务;物联网系统风险评估服务平台在前述四个平台基础上,关联外在威胁,分析自身脆弱性,提供风险评估服务。“五平台”结构关系如图2所示,“五平台”既可独立提供检测服务,也可互为补充,为用户提供定制化的检测服务,形成开放式检测服务体系架构。
3.1 开放式场景检测支撑平台
开放式场景检测支撑平台实现物联网感知设备、接入系统、业务应用三层检测环境,如图3所示。通过多部件的灵活组建,实现其感、传、知、用的安全功能检测,灵活支持用户个性化的检测需求。
3.2 感知设备安全检测服务平台
感知设备安全检测服务平台实现一个通用的感知设备安全检测系统,由开放式场景检测支撑平台为被测设备提供运行检测环境,其从感知操作安全、感知数据处理安全、感知数据存储安全和感知节点设备安全、感知节点通信安全等五方面检测安全功能和性能,其检测框架如图4所示。
3.3 物联网系统安全检测服务平台
物联网系统安全检测服务平台以系统、整体的视角对智能感知层访问控制、身份认证等策略配置进行符合性测试;对接入传输层的AKA机制的一致性或兼容性、跨域认证和跨网络认证等进行检测;对业务应用层数据库安全、应用系统和网站安全、应用系统稳定性、业务连续性等进行符合性和有效性检测。检测框架如图5所示。
3.4 物联网系统风险评估服务平台
物联网系统风险评估服务平台对可能遭受到的威胁和自身脆弱性进行安全分析,然后根据安全事件的可能性以及安全事件造成的损失计算出风险值、对安全事件进行风险等级定级,最后结合安全事件所涉及的资产价值来判断安全事件一旦发生对物联网系统造成的影响。风险评估框架如图6所示。
3.5 集成化安全管理检查服务平台
集成化安全管理检查服务基于物联网多类型终端、多网融合、海量数据处理和全面感知等特点。从防范阻止、检测发现、应急处置、审计追查和集中管控五个方面,对物联网系统智能感知层、接入传输层和业务应用层的安全管理情况进行检查,其安全管理检查框架如图7所示。
4 “两库”
4.1 标准及指标库
基础库“标准及指标库”通过构建物联网安全检测标准子库与指标子库为“五平台”提供支撑。标准子库建设来源:一是从物联网国际标准组织IEEE、ISO、ETSI、ITU-T、3GPP、3GPP2了解国际最新标准,研究制订适合国情的物联网标准;二是从国内标准组织:WGSN、CCSA和RFID标准工作组获取最新标准;三是随着业务开展,编制了物联网安全标准。物联网一体化安全检测标准体系框架,按照标准服务性质的区分,分为物联网产品安全检测标准、物联网系统安全检测标准、物联网风险评估标准以及集成化安全管理检查标准。其框架如图8所示。
指标库为各种类型的被测设备和系统提供相应的检测指标项目,同时支持用户自定义新的检测指标。指标库依据各服务平台检测内容划分四类,即物联网产品检测指标、物联网系统安全检测指标、物联网风险评估指标以及集成化管理检查指标。其涵盖功能检测、性能检测、抗毁性检测、符合性检测、有效性检测和可用性检测等指标。
4.2 漏洞与补丁库
漏洞与补丁库采用云存储方式,包括海量数据融合漏洞,TinyOS操作系统漏洞,异构网络认证协议漏洞,感知信息传输协议漏洞等。 漏洞与补丁库一方面为产品、系统检测,风险评估、安全检查提供支撑服务,另一方面对外提供咨询服务,网上漏洞信息,定制客户漏洞处理方案,提供漏洞补丁和专用杀毒工具下载等。
5 “一中心”
一体化安全检测管理中心完成上述“二库、五平台”的互联互通和信息共享,实现检测项目统一管理,检测数据统一汇总,检测结果统一判定,形成感知设备检测报告、物联网系统检测报告、物联网系统风险评估报告以及集成化安全管理检查报告等。
一体化安全检测管理中心由项目管理、场景管理、感知设备检测、系统检测、风险评估、集成化安全管理检查、工具集、基础库管理八个核心模块组成,整个平台由项目库、标准及指标库、方法库、漏洞与补丁库四个数据库支撑,管理中心框架设计如图9所示。
6 技术特点
(1)提供开放式检测环境
物联网应用的广泛性和复杂性,仅依赖单一场景无法满足客户的多层次需求,通过开放式检测环境,可实现感知设备、接入方式、业务应用的检测环境,使得检测手段更丰富、更精准。
(2)提供多类型、多元化的检测
一体化安全检测体系通过感知设备检测、系统检测、风险评估、管理检查的一体化检测服务,提品检测和系统检测、实验室检测和现场检测服务,满足物联网复杂多变的检测需求,使得安全检测更全面性,帮助客户准确评估物联网安全性。
(3)提供技术与管理全方位检测
物联网安全包含技术与管理两方面,技术与管理并重,本体系通过“五平台”实现产品、系统技术类检测/风险评估与安全管理检查,全方位、整体评估物联网安全性。
(4)提供技术符合性和关联外在风险评估相支撑的检测
物联网安全问题是动态发展的,在安全技术符合性检测的基础上,提供适用于动态评估物联网工程的风险评估服务。风险评估旨在通过关联外在风险,结合自身脆弱性评估系统和工程的安全性,与技术符合性检测相支撑。
(5)提供一体化服务模式
提供一个灵活、规范的信息组织管理平台和全网范围的网络协作环境,实现集成的信息采集、内容管理、信息搜索,能够直接组织各类共享信息和内部业务基础信息,实现信息整合应用,同时也提供管理中心支撑下的统一项目管理、统一数据汇总、统一结果判定的一体化服务系统。
7 结束语
目前,我国政策环境好,物联网已成为国家发展战略,初步明确了未来发展方向和重点领域,但产业和行业标准正在建立,是机遇也是挑战。经济环境上,中国企业正在随着国家的快速发展,持续提升竞争力和国际影响力,对物联网安全性的需求逐步增强,企业对物联网安全问题的认知提高,经济支付能力也在增强。通过对各行业物联网建设方面的调查发现,当前已有的物联网应用对其安全性的检测和技术支持需求十分迫切,物联网安全检测产业市场前景乐观。
上述“一中心、二库、五平台”形成专业的平台,加上精专的人才、全面的服务内容和敏捷的反应,构建物联网一体化安全检测专业化服务体系架构。从而提升价值、方便客户、节约成本、提高效率,满足物联网安全检测集成化、规模化的需求。
参考文献
[1] T Grobler, Prof B Louwrens. New Information Security Architecture[J]. 2005, University of Johannesburg.
[2] 范红, 邵华等. 物联网安全技术体系研究[J].第26次全国计算机安全学术交流会,2011(09),5-8.
[3] 谭建平, 柔卫国等. 基于物联网的一体化安全防范技术体系研究[J].湖南理工学院学报, 2011,第24卷 第4期 46-51.
[4] Jackie Rees, Subhajyoti Bandyopadhyay etc. a policy framework for information security. Communication of the ACM, Volume 46 Issue7, 2003, P101-106.
[5] 郎为民,杨德鹏,李虎生.智能电网WCSN安全体系架构研究[J].信息网络安全,2012,(04):19-22.
[6] 余勇,林为民.工业控制SCADA系统的信息安全防护体系研究[J].信息网络安全,2012,(05):74-77.
基金项目:
