地理信息安全的重要性篇1
我国铁路系统信息建设是1个超大规模的政企合一的内部网络。即铁路总公司、铁路局、主要铁路站段共同拥有1个内部的计算机网络。中国铁路的信息技术应用自20世纪60年代以来,从简单的单机应用,以18点报告为代表的统计项目,逐步发展到今天涉及全路各部门,覆盖车、机、工、电、辆、财务、统计和办公等铁路各系统。当前的铁路信息系统建设已进入飞速发展阶段,但是信息安全系统建设却一直处于滞后状态,并且存在许多隐患。由于各种原因造成的系统崩溃、中断及非法进入等信息安全问题则更为突出。主要表现在以下几个方面。
1.1缺乏上层的整体策略
主要体现在管理力度不够,政策的执行和监督力度不够,部分规定过分强调部门的自身特点,而忽略了在铁路运输的大环境下自身的特色。部分规定没有准确地区分技术、管理和法制之间的关系,以管代法,用行政管理技术的做法仍较为普遍,造成制度的可操作性较差。
1.2评估标准体系有待完善
主要表现在信息安全的需求难以确定,要保护的对象和边界难以确定。缺乏系统的全面的信息安全风险评估和评价体系,以及全面完善的信息安全保障体系。
1.3信息安全意识缺乏
普遍存在重产品、轻服务,重技术、轻管理的思想。
1.4安全措施建设滞后
主要体现在网络安全措施建设不够健全。随着网络技术的快速进步,网络安全也在不断地遇到新的挑战,原来的安全措施已经不能满足现代网络安全技术的需要。
1.5安全人才建设滞后
当前铁路系统信息技术人员较多,已经初步形成了一支铁路信息系统开发建设、运行维护的专业技术队伍。但从事信息安全技术方面的人才还非常缺乏,特别是既懂技术又懂管理的复合型人才。
2加强信息安全的重要性和必要性
2.1信息安全的重要性
近年来,信息技术的不断推广与应用推动了信息系统的基础性、全局性以及全员性的不断增强。铁路运输组织、客货服务、经营管理、建设管理和安全保障等对其依赖程度越来越高,特别是随着铁路生产与管理向着智能化和管控一体化方向的进一步发展,对网络和信息安全提出了更高的要求。由信息安全引入的风险也越来越大。网络和信息系统一旦发生问题,将给铁路生产、服务和经营带来重大威胁和损失,给铁路形象造成不良影响。信息安全已成为铁路安全的重要组成部分。铁路信息系统不仅包括管理信息系统、信息服务系统,而且还包括生产自动化系统等。因此,信息安全保护的内容不仅是数据和系统本身的安全,更重要的是运行于网络之上的业务安全,即保证业务应用系统的实时性、可靠性和操作的不可抵赖性。结合实际应用,就是要确保运行于网络之上的行车调度指挥、列车运行控制、编组站综合自动化等控制系统,以及生产实时管理、客票预订和发售、货运电子商务、12306客户服务等业务系统安全运行。
2.2信息安全的必要性
随着信息系统在铁路应用范围的不断扩大,功能的不断强大,网络覆盖的不断延伸,开放性与互联性的不断增强,以及技术复杂性的不断提升,由于信息网络和信息系统自身的缺陷、脆弱性以及来自内外部的安全威胁等所带来的信息安全风险日益凸现,而且日趋多样化和复杂化。传统的安全管理方式已不适应信息安全保障要求,必须采取先进的管理理念和科学的管理方法。信息安全管理的实质是风险管理。开展铁路信息安全风险管理,就是运用科学的理论、方法和工具,从风险评估分析入手,识别潜在风险,制定有效管控和处置措施,加强安全风险过程控制,强化应急处置,努力消除安全风险或使风险可能造成的后果降低到可以接受的程度。加强信息安全风险管理是铁路信息系统安全稳定运行的内在需要,是保障铁路运输安全和正常秩序的必然要求,符合信息安全管理工作特点,是做好信息安全工作的科学方法和有效手段。
3加强信息安全管理对策
为应对日益严峻的信息安全形势所带来的挑战,铁路系统必须采取一系列的措施来提高信息管理水平。主要体现在以下几个方面:
3.1端正信息安全认识
如何看待铁路系统的信息安全问题,实质上是如何看待铁路系统的信息资产的问题,信息化建设中的铁路系统管理者应该认识到,与铁路系统的有形资产相比,信息资产的生存和发展有着更加重要的地位。而铁路系统的信息安全防护,虽然不能直接参加铁路系统价值的创造,但能间接地影响铁路系统的管理水平,管理能力,影响铁路系统的竞争能力。在某些特殊条件下,甚至会影响铁路系统的生存和发展。因此,铁路系统的管理者必须充分认识到信息安全的重要性和严峻性,从铁路系统生存发展的战略高度来看待信息安全问题,国内有关研究机构和企业提出了“信息安全治理”的概念,即将信息安全策略提升到和企业发展策略相同的地位,作为企业策略层的1项重要任务来实施,这个观点在国外已经得到广泛实践,值得铁路系统借鉴。
3.2建立完善信息安全管理体制
在信息安全学界,人们经常会提到,对于信息安全防护,应该“三分技术,七分管理”,这充分说明了管理在铁路系统信息安全防护中的重要性,明确自己的信息安全目标,建立完善、可操作性强的安全管理体制,并严格执行,这也是铁路系统真正实现信息安全的重要环节。
3.3加大投入与提高人员素质
安全技术是铁路系统信息安全的基础,高素质的人员是实现铁路系统信息安全的保证,对于铁路系统的信息安全问题,必须加大人员、资金和技术投入力度,科学配置资源,达到投入和收益的最佳结合。围绕铁路系统的信息安全目标和策略,系统、科学地进行软硬件系统的采购和建设,要重点加强信息安全人员资源素质的培养和提高,在信息安全防护体系的建设和实践中,不仅要利用传统的补动防护技术,同时也要引入主动防护技术。此外根据实际的业务,可以引入pKi技术、Vpn技术等,再结合专业素质过硬的人员以及科学的信息安全管理,从而达到最优的信息安全防护能力。定期组织专业的网络与信息安全培训,进一步提高人员素质。
3.4制定突发事件的应急预案
必须针对不同的系统故障或灾难制定应急计划,编写紧急故障恢复操作指南,并对每个岗位的工作人员按照所担任角色和负有的责任进行培训和演练。
3.5加强数据完整性与有效性控制
数据完整性与有效性控制要保证数据不被更改或破坏,需要规划和评估的内容包括:系统的备份与恢复措施,计算机病毒的防范与检测制度,是否有实时监控系统日志文件,记录与系统可用性相关的问题,如对系统的主动攻击、处理速度下降和异常停机等。
4结束语
地理信息安全的重要性篇2
〔关键词〕图书馆;网络信息安全管理;模型
doi:10.3969/j.issn.1008-0821.2014.02.016
〔中图分类号〕g250.7〔文献标识码〕a〔文章编号〕1008-0821(2014)02-0076-06
借助于网络高新技术的发展,新的信息资源形态和使用方式,给图书馆读者带来便利的同时也必然存在许多隐患。计算机网络分布的广域性、开放性和信息资源的共享性,为信息的窃取、盗用、非法的增删、修改及种种扰乱破坏,提供了极为方便且难以控制的可乘之机,图书馆信息服务的权益及监督得不到有效的保障;同时,由于计算机网络的脆弱性,图书馆的网络系统本身经常处于黑客的攻击之中,一旦图书馆网络出现故障,轻则信息服务得不到有效保障、数据丢失,重则整个图书馆处于瘫痪境地。因此,在信息化时代,图书馆信息安全显得尤为重要,构建图书馆网络信息安全管理模型来保证网络信息安全,使其高效运行是图书馆现代化建设中一项迫在眉睫的重要任务。
1信息安全管理概述信息安全管理,是指实施和维护信息安全的原则、规划、标准和内容的综合,包括信息安全策略、信息风险评估、信息技术控制和信息安全意识等。这些内容在一个信息安全治理框架下相互协调、相互说明,从而为组织提供全面的信息安全规划。它结合技术、程序和人员,以培养信息安全文化为目的,最终实现信息资产风险的最小化。为对信息安全内容有一个全面深入的了解,本文从信息安全原则、信息安全规划、信息安全标准和信息安全内容4个方面进行详细的论述,从而为图书馆网络信息安全管理模型的构建提供理论上的指导。
1.1isa信息安全原则为保护组织的信息资产免遭威胁,tudor提出了一个全面灵活的信息安全架构方法(informationsecurityarchitecture,简称isa),这种方法提出5个关键性的信息安全原则(见表1)[1]。这些原则,可以了解组织工作的风险环境并对其实行评估和控制,从而减少这种风险;强调遵守国家信息安全法规的重要性,确保组织的机密信息受到国家的保护;涵盖信息安全技术与过程,满足组织信息安全的需要。表1isa信息安全原则
原则含义或目标1安全组织和基础设施确定角色、职责和执行赞助。2安全政策、标准和程序制定政策、标准和程序。3安全规划风险管理纳入安全规划。4安全文化意识和培训通过用户培训提高安全意识。建立用户、管理和第三方之间的信任。5监控规范监控内外部的信息安全。
1.2cmm信息安全规划为给组织提供一整套信息资产免受未经授权的访问、修改或销毁的信息安全整体规划,mccarthy和campbell构建了能力成熟度模型(capabilitymaturitymodel,简称cmm)[2]。该模型包括7个信息安全规划内容(见表2),目标是从战略层面开始并用战略水平去指导技术等方面的工作,在评估当前信息安全风险的基础上构建合适的解决方案以减轻风险,并在实践过程中对各解决方案集成应用与监控。表2cmm信息安全规划
规划含义或目标1安全领导安全赞助、安全策略以及投资回报。2安全规划安全规划程序、资源和技能。3安全政策安全政策、标准和程序。4安全管理安全操作、监控和隐私。5用户管理用户安全管理和意识。6信息资产安全应用程序的安全、数据库/元数据的安全、主机安全、内外部网络安全、杀毒及系统开发。7技术保护与持续性物理和环境控制与持续规划控制。
3protect信息安全标准在eloff.j.h和eloff.m所主持研究的“protect”项目,是政策、风险、目标、技术、执行、合规性和团队的英文首字母的缩写,对信息安全管理及标准进行了综合的介绍[3]。“protect”项目涉及各种集成控制的方法,在确保组织的有效性和效率的基础上尽量减少风险,目的是全方面解决信息安全的问题。为实现项目目标,该项目提出了7个信息安全标准(见表3),确保信息安全规划从技术术和人文角度得到有效的实施和管理。
1.4iso/iec17799和iso/iec27001信息安全内容国家标准组织(iso)指出信息安全技术是实现信息安全管理的关键点,通过技术对信息系统进行安全性控制,是信息安全管理的重要内容。
了更好地实现信息安全控制,iso提出了11个具体的信息安全控制内容(见表4),这些内容已成为国际上通用的信息安全内容的重要标准,即通常所说的iso/iec17799[4]。而iso/iec27001是iso/iec17799的第二部分,提出了包括操作、监控、审查、维护和提高等一系列持续改进信息安全管理系统的方法与过程[5]。表42图书馆网络信息安全内容的选取与管理模型的构建前文所述的信息安全管理的原则、规划、标准及内容是基于整个信息社会行业而言的,具有一定概括性且4个方面之间存在着重复性,为了构建出更具针对性的图书馆网络信息安全管理模型,笔者根据图书馆的特性对信息安全管理的原则、规划、标准和内容进行选取与整合,构建出符合图书馆应用要求的信息安全管理模型。
2.1图书馆网络信息安全内容的选取图书馆网络信息是对外开放并以支持教学和科研为目的。在这种情况下,网络信息安全是指读者未经授权无权使用、移动、修改和破坏图书馆信息。在对图书馆信息采取安全保护措施时必须确保其具有以下属性:①保密性:确保图书馆隐私信息的安全。此类信息必须严格控制读者访问量,只能授权一定级别的读者访问;同时,有权限访问图书馆隐私信息的读者也不能向公众透露相关的隐私信息。②完整性:确保图书馆信息是准确、完整并具有持久性。因此,图书馆信息安全管理要确保图书馆信息内容不是残缺不全的、失踪的、腐朽的、任意放置的,外借、故意或意外变化不会边缘化,在盗窃或破坏中具有安全性。③可用性:读者在授权时间内能无限制地访问并获取图书馆信息。图书馆必须有一个安全稳定的信息管理(网络)系统来支撑图书馆的运行,确保图书馆信息能及时传递而不会被延误。在维护图书馆信息安全的同时确保图书馆信息的保密性、完整性及可用性不缺失,这就要求在构建图书馆网络信息安全管理模型时对信息安全内容的确定带有一定的甄别性,不能将信息行业安全管理的所有原则、规划、标准及内容全部应用于图书馆安全管理。根据图书馆信息的特性,本文从管理、运行与操作、人员、建筑与技术及安全文化5个维度对图书馆信息安全的内容进行了选取,这5个维度的具体内容在图书馆网络信息安全管理模型中将会详细论述。
2.2图书馆网络信息安全管理模型的构建图书馆网络信息安全管理目标是为图书馆网络信息安全保护提供整体性方案,结合管理、运作流程、人文、建筑与文化氛围来保证图书馆信息安全管理达到一个合理水平,从而保证图书馆信息风险最小化。为实现这一目标,abasheatikumaidabino和zainab在满足图书馆信息的特性上,将daveiga和eloff构建的“房屋模型”[6]加以简化与融合,构建出图书馆网络信息安全管理模型[7],见图1。该模型将所有信息安全因素集合,确保图书馆信息能够得到充分保护,同时为图书馆提供一个全面的方法和工具来实施和评估信息安全管理。模型内容主要集中于5个维度:(1)管理维度:正确的领导,政策与程序到位;(2)流程和操作维度:包括实施过程、政策;(3)人员维度:读者/馆员信息安全意识和图书馆信息安全项目培训;(4)建筑和技术维度:支持馆藏信息安全项目;(5)安全文化维度:将图书馆馆藏信息安全理念有意识地植入馆员日常工作中[8]。图1图书馆网络信息安全管理模型
管理维度是指一组角色的规定,信息安全政策制定与管理由负责制定目标和政策的安全管理团队成员行使,从而确保目标和政策的实现,信息风险的评估与管理。图书馆的安全管理团队由图书馆各部门高级管理人员和安全部门的人员组成。这些成员应具备必要的信息应用和安全管理方面的经验和知识,这些成员被授权管理时能够遵守信息安全政策。信息安全管理责任是模型中管理维度的重要部分,这就要求图书馆应规划与制定精确的信息安全管理策略,明确风险管理的目标和方向。信息安全风险评估在图书馆各级安全规划风险设置中处于优先级别。馆藏信息定期风险评估规则的编制涉及图书馆资产类型、收藏价值、识别可能出现风险的威胁、漏洞和成本分析等详细的情况。信息安全漏洞可以通过会议、问卷、观察和报告来确定。通过信息安全漏洞的监测和风险评估过程的完善可以降低图书馆信息安全的风险,并能缓解图书馆的一些过度的承诺。管理维度强调要为图书馆信息管理、记录、维护、审查、更新风险管理政策和程序编写报告,通过快讯、交互式网页及其他内部刊物在馆员与读者之间
广泛宣传馆藏信息安全管理的必要性,将信息安全意识植入馆员与读者脑袋。这一维度有利于为图书馆提供良好的馆藏安全管理信息。流程与操作维度是指信息安全管理团队为图书馆各相关部门制定信息安全管理运行方案的过程。分别是:(a)采访部:参与接收,标记并建立可用于识别丢失、错放地方和费用的库存清单,以便于图书馆备份和恢复;(b)流通部:创建手工或计算机系统对图书馆纸质信息进行丢失、被盗、错位、滥用、损坏等方面进行盘点,通过访问控制和信息的记录与跟踪,确保图书馆信息安全系统的修理与维护;(c)编目、技术部:通过图书馆opac系统对馆藏信息集合进行处理,应用图书馆识别标记建立和验证馆藏信息所有权,标识未经处理的信息并进行访问控制;(d)特藏部:对有价值的馆藏信息载体进行保护与保存,授权访问与监控。人员维度是指读者和执行安全管理政策与程序的馆员的安全意识。它规定图书馆需要阐明信息安全管理人员的角色和责任,对馆员进行有效的安全意识培训,帮助他们获得处理安全事件、准备可靠实用安全报告的知识。建筑与技术维度涉及信息安全管理所需要的建筑与技术氛围。建筑氛围是指信息安全管理措施应与图书馆建筑的物理结构和藏书空间融为一体:控制图书馆出入口;需要id卡身份识别进入图书馆特别是特别馆藏区域;制定保安巡逻图书馆的时间表。技术氛围包括技术实践和嵌入到馆藏安全应用规划中的各种程序。它强调使用电子安全系统等技术设备来处理馆藏应用过程,控制安全漏洞,并在图书馆出入口点安装安全系统。这就意味着图书馆需要安装电子反盗窃设备、可视化相机、烟感探测及出入口、阅览区报警系统等安全设备。这将有助于防止图书馆藏书的丢失和对阅读区、参考咨询区及书库进行可行性监控和读者流量的检测。安全文化维度作为图书馆网络信息安全管理模型构成基础的安全文化,包括读者和馆员对图书馆信息重要性的态度、信息保护存在的安全漏洞、信息相关事件的意识、阻碍或限制信息安全管理系统有效性的意识。意识是一个看不见但可以通过行为来证明的元素,如(a)图书馆馆员的馆藏信息安全政策和管理过程的认识水平;(b)馆员对安全政策和程序重要性的态度;(c)安全漏洞和安全验收责任的意识[9]。图书馆网络信息安全管理模型中的安全文化是一种安全责任相互共享的文化,安全人员能够相互提供信息和工具来应对各种安全情况。这种态度与意识能够确保图书馆信息安全治理、管理和运行的有效性。图书馆网络信息安全管理系统在权重一致的5个维度的相互作用下,在馆藏信息得到安全管理的同时还能确保其在保密性、完整性和可用性上维持在一个合理的水平。
3图书馆网络信息安全管理模型应用方案目前,在图书馆的计算机网络上有馆藏书目信息、读者信息、各种电子文献数据库、光盘数据库检索系统、图书管理系统、特藏数据库等内容[10]。这些电子资源信息如果受到破坏,那么损失将会非常惨重,很可能会造成整个图书馆系统瘫痪。就目前的状况来看,图书馆所面临的网络信息安全问题主要有黑客攻击、计算机病毒、网络物理设备安全隐患、网络设备配置安全与人员造成的安全隐患等方面。为了预防与应对上述隐患对图书馆可能会带来的网络信息安全故障,图书馆应按照网络信息管理模型5维度的要求,建立起科学、规范、有效的网络信息安全管理流程(见图2),将网络信息安全隐患处理于萌芽之中。图2图书馆网络信息安全管理流程
应用图书馆网络信息安全模型处理网络信息安全故障,其管理流程可分为3个阶段:故障初排阶段、故障处理阶段与评估阶段。在故障初排阶段,图书馆工作人员或读者在应用图书馆的过程中,如果发现信息安全故障,应及时进行隐患初排并上报技术部,由技术部工作人员对该事件进行了解,并请求技术部主管上报给以馆领导为主的信息安全管理团队;在故障处理阶段,技术部工作人员根据事件了解进行安全故障检查并调查影响范围,从而形成第一次进程报告,并将其上报给馆领导,由馆领导进行资源调度后,技术部应急抢修;技术部附上应急抢修进程报告上报给馆领导形成第二次进程报告,然后结案、审核并归档;在评估阶段,各部门对此次信息安全故障事件进行评估总结。图书馆网络信息安全管理模型是以人为核心的信息安全保障体系,它强调的不是技术问题,而是管理的问题。图书馆网络信息安全在以馆领导为核心的安全管理团队的
领导下,在工作人员、读者的共同配合下,依靠科学的管理流程,定能将图书馆网络信息安全管理达到一个全新的层次。 4结束语构建一个适应计算机网络普遍应用的图书馆网络信息安全管理模型,不仅是适应新形势的需要,也是图书馆信息数字化建设的重要组成部分。随着图书馆社交网络应用的普及,图书馆信息将面临更大的开放性和更多的安全方面的挑战。图书馆网络信息安全管理模型是一个包括技术、管理、人员和安全文化等多个环节整体性很强的体系,不能孤立或静止地看待和解决问题,网络信息安全性的提高依赖于不断的技术进步和应用,依赖于管理的逐步完善和人员素质的全面提升。相关人员应根据网络信息的特点和需求,进行有针对性的系统设计,不断地改进和完善网络技术的安全工作,更好地推动图书馆网络事业健康发展。
参考文献
[1]j.k.tudor.informationsecurityarchitecture—anintegratedapproachtosecurityinanorganization[m].bocaraton,fl:auerbach.
[2]mccarthym.p,campbells.securitytransformation[m].mcgraw-hill:newyork.
[3]eloffj.h,eloffm.integratedinformationsecurityarchitecture[j].computerfraudandsecurity,2005,(11):10-16.
[4]iso/iec17799(bs7799-1).informationtechnology,securitytechniques[s].codeofpracticeforinformationsecuritymanagement,britain.
[5]iso/iec27001(bs7799-2).informationtechnology,securitytechniques[s].codeofpracticeforinformationsecuritymanagement,britain.
[6]a.daveiga,j.h.eloff.aninformationsecuritygovernanceframework[j].informationsystemsmanagenment,2007,(4):361-372.
[7]abashemaidabino,a.n.zainab.aholisticapproachtocollectionsecurityimplementationinuniversitylibraries[j].librarycollection,acquisitions&technicalservices,2012,(36):107-120.
[8]siponem.t.fivedimensionsofinformationsecurityawareness[j].computerandsociety,2000,(6):24-29.
[9]holtg.e.theftbylibrarystaff[j].thebottomline:managinglibraryfinances,2007,(2):85-92.
地理信息安全的重要性篇3
关键词:网络安全;信息管理;计算机应用
计算机信息管理是一门复杂的学科,其中主要是将管理学和信息系统进行综合应用。全面提升现代企业的运行效率和高校管理。但是就目前的计算机信息管理技术来说,理论上是比较充足的,具体的应用还不够完善。而随着目前网络用户的骤增,计算机信息管理的安全隐患和防患成为重中之重。因此我们必须通过计算机信息管理技术的提高和优化,来实现网络安全和行业的良性发展。
1计算机信息管理技术网络安全的重要性
计算机信息管理技术是计算机信息管理的实际体现手段。计算机信息管理目前在我国已经应用的非常广泛。它具有的优势无可替代,能够优化工作效率、提高工作质量、简化管理难度等,从宏观的意义上讲,更是促进我国经济发展和企业经济效益的重要手段。因此我们必须要加强计算机信息管理技术的安全性,以便于计算机信息技术能够更好的发展和服务社会经济的需求。另外值得注意的是,企业的计算机信息管理是整个企业运营管理的重要手段,一旦防火墙或者隐患预防失效,企业的综合信息将面临危险,对企业的发展有着极其恶劣的影响。为了解决现实中的各种安全问题,我们需要加强对计算机信息管理技术网络安全的监管。因此计算机信息管理技术网络安全也是解决各种网络安全问题的迫切需要。
2计算机信息管理在网络安全应用中存在的问题
2.1计算机操作不规范
计算机信息管理的重要载体是电脑。运用电脑的中心处理技术结合信息管理学技术就叫做计算机信息管理。但是由于信息安全处理主要是经过电脑,人为的错误操作和不规范操作都将引起电脑的安全系统遭到入侵。目前的木马和黑客技术也在不断地提高,我们应该避免操作人员的计算机操作失误,提高相关人员的基本网络安全意识和安全操作技术。
2.2计算机信息管理系统的入侵
信息化时代的网络应用其基本特性就是共享。通过互联网这个大平台进行资源的共享和传递,开放性极强。而正是因为具有较强的开放性,因此在进行信息资源的整合和处理过程中,容易携带木马病毒和黑客人侵。造成计算机信息管理的安全隐患,对相关的企业运营带来重大的损失。
2.3计算机信息管理系统的数据与程序被破坏
随着使用互联网人数的增加,各种社交软件也开始泛滥。其中不少的社交软件能蚪行远程协助功能。举一个简单的例子,如果黑客已经在电脑中种人木马或者病毒。在进行远程协助功能的时候,黑客就能非常容易地进入此计算机进行信息的窃取或者更改。即便电脑上安装了系统防漏洞技术,但这些技术针对黑客不起任何作用,难以保证计算机中的信息、文件的安全。黑客能够删除文件资料、更改邮件内容等等,造成计算的瘫痪,给计算机系统的数据和程序带来极大的破坏。
3网络安全中计算机信息管理技术的应用
3.1严格网络安全风险评估
网络安全风险评估是对网络安全隐患的排除和预防。其主要的工作是:(1)对网络完全事故进行鉴别;(2)对把持网络安全风险的管理和危害的风险进行评估。只有充分地将网络安全风险评估工作做好,才能够在使用计算机的过程中及时地发现问题,并且对风险带来的危害进行适时有效果地防范,对网络安全措施进行有步骤的调整,最终能够使网络的安全运行得到充分有力的保障,只有这样才能够在当前日益突出的网络安全问题中,让计算机信息管理系统能够有效地避免产生各种安全风险。
3.2增强安全防范意识和强化计算机技术
网络安全隐患很大一部分是由于相关的操作人员并没有足够的安全防范意识,并且计算机基本操作技术欠缺。导致了计算机信息管理系统的安全防范薄弱。因此相关的工作人员要加强网络安全的防范意识,并且强化自身的计算机基本操作技术。只有这样才能做好计算机信息管理工作,并且减少网络安全的隐患发生。
3.3加强操作系统的安全防护
计算机信息管理技术的核心是操作系统。操作系统的安全性是保证计算机管理系统正常运营的基本。我们应该在加强网络安全的整体布局中,细化到操作系统的安全防护。以此来提高操作系统的自身预防性能。
3.4制定网络安全政策与法规
在世界范围来看,计算机信息管理已经深入到众多的行业和应用中,并且取得了非常好的实施效果。而其中的安全问题也值得相关部门和人员去重视。在美国的计算机信息管理系统中,网络安全预防是实施计算机管理的前提保证。并且在具体的计算机信息管理过程中,以严格的政策和条约规定计算机网络安全实施。我国目前也正值计算机信息管理的不断发展和优化阶段,重视网络安全是必要的,但是至今为止还未有相关的网络安全政策。我国也应该不断地加紧对计算机信息管理的网络安全制定政策。加大计算机信息技术的管理力度,贯彻落实各项制度,确保计算机信息系统的安全性。另一方面,随着网络和计算机信息技术的日益更新,网络完全问题错综复杂,引起的原因也是日积月累,网络信息安全不能仅仅依靠法律条文强制要求,还应注重普及计算机网络基础安全知识。
3.5其他安全措施
计算机信息管理是一项复杂的管理学科,其中涉及的计算机技术、网络安全技术、信息统计处理技术、经济学分析、管理学应用等等。我们在做好网络安全的预防和控制时,应该从多角度出发进行安全预防。通过加强自身的安全防范性能,实现全面的网络安全监管,这些都是能够保证计算机信息管理良性发展的基础保证。
地理信息安全的重要性篇4
1前言
随着现代信息技术的发展和网络技术的普遍应用,信息服务行业在服务内容、服务方式与服务对象等方面发生了革命性变化,运作效率也有了显著提升。在网络环境下,信息服务行业在国家经济生活中的地位日益重要。但是,网络同时也是攻击事件和病毒蠕虫等滋生之地。信息安全事件已经不单单是影响个别民众、企业的小事,而是影响到国家的安全。
随着信息安全事件发生的日益频繁,发达国家和地区对信息安全问题都予以了高度重视。我国长期以来信息安全意识不强,即使是重视,也仅限于政治和军事领域。近几年来,面对国际信息环境的变化与挑战,我国也采取了一系列对策。在法律法规建设方面,《计算机软件保护条例》、《计算机信息系统安全保护条例》、《计算机病毒防治管理办法》等相继出台。
2信息安全基本概念
国内外对“信息安全”没有统一的定义。《中华人民共和过计算机信息系统安全保护条例》的定义:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。国家信息安全重点实验室的定义:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。国际标准化委员会的定义:“为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。英国信息安全管理标准的定义:“信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务损失,最大限度地获取投资和商务的回报,涉及信息的机密性、完整性、可用性”。美国人则认为:“信息安全包括信息的机密性、完整性、可用性、真实性和不可抵赖性”。其实,当前信息安全的概念正在与时俱进,它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全,并进一步发展到如今的信息保障和信息保障体系。信息保障依赖于人、操作和技术实现组织的任务运作,针对技术信息基础设施的管理活动同样依赖于这三个因素,稳健的信息保障状态意味着信息保障和政策、步骤、技术和机制在整个组织的信息基础设施的所有层面上均能得到实施,即面向数据安全概念是信息保密性、完整性和可用性;面向使用者的安全概念则是鉴别、授权、访问、控制、抗否认性和可服务性以及基于内容的个人隐私、知识产权等的保护,这两者的结合就是信息安全保障体现的安全服务,而这些安全问题又要依赖于密码、数字签名、身份验证技术、防火墙、灾难恢复、防毒墙和防黑客入侵等安全机制加以解决,其中密码技术和管理是信息安全的核心,而安全标准和系统评估则是信息安全的基础。因此,信息安全就是指一个国家的社会信息化的状态不受外来威胁与侵害,一个国家的信息技术体系不受到外来的威胁与侵害。
3信息安全的基本属性
信息安全有以下几点基本属性:
3.1完整性
信息存储和传输的过程保持被修改不被破坏的,不被插入,不延迟,不乱序和不丢失的数据特征。对于军用信息来说完整性遭破坏导致延误战机,自相残杀或闲置战斗力,破坏信息完整性是对信息安全发动攻击的最终目的。
3.2可用性
信息可被合法用户访问并能按照要求顺序使用的特征,既在需要时就可以去用所需信息。可用性攻击就是阻断信息的可用性。例如破坏网络和有关系统的正常运行就属于这种类型攻击。
3.3保密性
信息给非授权个人/实体或供其使用的特征。军用信息安全尤为注重信息保密性。
3.4可控性
授权机构可以随时控制信息的机密性。美国的政府提倡“密钥托管’、“密钥恢复”等措施就是实现信息安全可控性的例子。
3.5可靠性
信息用户认可的质量连续服务于用户的特征,但也有人认为可靠性是人们对信息系统而不是信息本身的要求。总体来看,信息安全就是要保证信息的基本属性不被破坏,信息按照发送方的意愿成功被接收方接收。
4网络安全的威胁
4.1人为的无意失误
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他
人或与别人共享等都会对网络安全带来威胁。
4.2人为的恶意攻击
此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
4.3网络软件的漏洞和“后门”
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。计算机网络设备安全和网络信息安全实际上是密不可分的,两者相辅相成,缺一不可。计算机网络设备安全特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全。网络信息安全则紧紧围绕信息在互联网络上应用时产生的各种安全问题,在计算机网络设备安全的基础上,如何保障信息应用过程的顺利进行。没有计算机网络设备安全作为基础,网络信息安全就犹如空中楼阁,无从谈起。没有信息安全保障,即使计算机网络本身再安全,仍然无法达到计算机网络信息应用的最终目的。
5信息安全策略
信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育。
5.1先进的信息安全技术是网络安全的根本保证
用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;
5.2严格的安全管理
各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;
5.3制订严格的法律、法规
计算机网络是一种新生事物。它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
作者:张秀梅来源:科教导刊2009年5期
地理信息安全的重要性篇5
建立完善管控体系
随着信息化的发展,管理者的职能也在不断变化。对于如何加快信息化的进程来说,传统工业时代下的管理控制模式已经不能适应发展的需求,因此,需要建立更加有效的信息化管理体制,确保信息化建设有序推进,最终实现组织信息化发展的战略目标。
在信息化时代下,完善的体制架构被划分为机构协调、职能分工和运作规则等几个部分。就机构协调而言,不再是传统的金字塔模式,即信息自下而上层层传递,决策由上而下层层布置;而是采用更加扁平的组织流模式,管理趋向于文化,而不在是制度,组织的信息化水平越高,即信息传递速度越快,内容描述得越精准,管理就变得越简单,国家或企业的安全就更加可控。
实施科学风险评估
风险评估作为保障信息安全的重要措施之一,其在信息化发展方面起着至关重要的作用。随着信息化的不断发展,各种社会组织都越来越多地依赖于信息技术和信息系统来处理其信息和管理业务,从而提高自身竞争力,风险管理也随之在信息化的推进和管理中扮演越来越重要的角色。信息化作为两化融合的重要组成部分,所涉及的众多信息都具有保密性,即使安全功能再强大的网络系统,也有被非法攻击的可能性,因此,对基于两化融合思路的信息安全风险评估服务也显得更为重要。寻求完善有效的基于两化融合思路信息安全风险评估模式,是保障信息安全的有效措施,也已成为世界各国两化融合工作的新方向。
信息安全风险管理是一个包括识别风险、评估风险以及采取措施降低风险至可以接受的程度在内的全过程,其目标是要保护重要的信息系统和信息安全,帮助管理层更好地做出与管理风险相关的各种决策,帮助管理层更好地审批和建设信息系统,掌握其可能面临的风险。它从风险管理角度,运用科学的方法和手段,系统分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平。这样综合评估的结果可以帮助风险管理进行决策,即需要采取什么样的风险管理措施,优先次序是什么,以及如何落实这些风险控制措施。
进行整体安全防范
对信息网络的整体安全防范应该在风险评估的基础上进行相应的信息安全等级保护和重要信息安全保护。信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用,进而保障两化融合的顺利实施。
分析关键管理过程
地理信息安全的重要性篇6
从××国税系统的实际情况出发,对照国税信息化高性能、高可靠性的要求,目前××国税在信息安全上还存在以下五大问题。
1、物理安全上存在的问题。物理安全主要指信息化系统、设备、工作环境等在物理上采取的保护措施。××国税系统在物理安全上存在的问题主要表现在机房建设、局域网建设缺乏规划,基本没有专门的防雷、防火、防水、防潮设施。机房中重要设备尘土覆盖,存在许多安全上的隐患。
2、网络安全上存在的问题。网络安全主要是指网络访问、使用、操作的安全,它是信息化安全中最普遍的内容,主要包括:病毒危害和访问安全。在开放网络环境下,计算机病毒的危害比以往要大得多,特别是近几年,通过互联网进行传播的病毒数量急剧增长,危害范围也不断扩大。对付计算机病毒的最好的方法是安防病毒软件,国税系统最好具备网络版的防病毒软件,可以实时查杀病毒、智能安装,快速方便地升级。然而,当前在使用的防病毒软件基本上是单用户版的,容易造成长时间不升级,在管理上也不方便。访问安全是指对设备、资源、信息和服务访问权限的安全控制。访问安全也是最常见的安全问题,××国税网络缺少必要的权限管理,人人都可以通过网络访问到各服务器和路由器。虽然网管人员可以通过外部防火墙限制外部用户访问内网,也可以限制内部用户浏览互联网的权限和时间,但是由于××县局与省局、市局无内部防火墙隔离,全国的国税广域网用户都可以通过网络访问××国税的路由器和服务器,造成许多安全上的隐患。
3、信息安全上存在的问题。信息安全主要是指信息交换安全。网上申报、网上认证的发展推动了信息安全需求。这两种情况都需要对连接者身份进行严格验证,防止非法用户的进入,为了防止传输过程中的信息被窃听,要求登录用户名和密码以及数据在传输过程中进行有效的加密。为了增强信息安全,需要对登录信息和纳税申报信息进行安全审计记录,从而可以对非法入侵进行跟踪,并分析系统的安全状况。这一块工作我们还没有很好的开展起来。
4、管理安全上存在的问题。管理安全是指通过加强安全管理来保证物理安全、网络安全和信息安全措施的实现。信息化安全是一项系统工程,如果没有有效的安全管理,其他的任何努力都形同虚设。信息化安全需要一个完善的安全管理体系,从安全管理组织、制度、措施上都要制定一整套相应的规范。××国税自从通过is09000认证以来,信息中心的制度建设已日趋完善,但网络信息安全方面的制度如应急预案、机房安全制度、密码制度等相对较少,没有从制度上来杜绝网络安全上的漏洞。
5、网络及信息系统安全意识存在的问题。网络及信息系统安全问题很多时候都出在内部,许多典型的网络入侵事件都是借助于内部人员才得以实观的,而我们国税系统的一般工作人员,网络及信息系统安全意识差,个别人就根本没有安全意识,计算机随便装载各种游戏软件,不经杀毒随便使用外来u盘、软盘、光盘等。
二、加高“短板”的对策
信息化安全问题不存在一劳永逸的解决方案,提出的任何安全对策也只能是更好地预防问题的出现,尽量减少安全问题对正常业务的影响。针对××国税系统信息化建设的特点和存在问题的分析,可以归纳出“三大对策”,即建设高可用性网络、部署安全防护系统和建立安全保障体系。
1、建设高可用性网络。建设高可用性网络就是要建设具有高性能和高可靠性的信息化基础网络设施,实现信息化物理安全和网络安全。建设高可用性网络的主要措施涵盖信息化硬件和软件以及需要重点考虑的灾难恢复。(1)信息化硬件。信息化硬件包括网络设备、服务器、布线、机房设备等。要保证信息化网络的高可用性,在设备选择上必须坚持高性能和高可靠性,在系统设计上也要充分考虑网络和设备的冗余备份。在网络设备上,应尽可能选用可靠性高,有相对冗余的中心交换机:服务器应选用带冗余电源的,硬盘应选用能做raidl,raid5等高可靠性的磁盘阵列:机房设备必须用ups供电,保证设备的持续、稳定运行。(2)信息化软件。信系化软件主要包括操作系统、数据库、应用程序等。应尽量选用性能好安全性高的操作系统,个人计算机操作系统可以选用,服务器操作系统应优先选用unix系统。(3)灾难恢复。随着信息化进程的深入,国税系统对计算机设备的依赖度也越来越大、对税务系统而言,最珍贵的不是信息化设备或系统:而是存储的各种文档和数据库信息。网络的可用性也是极为重要的,如果网络总是有问题,谁还有信心去用它?所以灾难恢复是信息化安全中很重要的一个组成部分,必须想法保证数据存储的可靠性,保证网络服务和应用在故障时能尽快恢复。对国税系统而言,灾难恢复保护的地方主要是关键数据库和文件服务器。关键数据库一般是指存储纳税申报信息ctais数据库、金税数据库,文件服务器主要是指办公自动化所依赖的服务器,它存储国税系统管理过程中所需的重要文档和资料。先进的典型灾难恢复系统是由集群服务器、存储设备和相关软件组成,当系统部分设备发生灾难时可以保持服务的连续性并自动恢复或尽可能恢复最近的数据。典型灾难恢复系统的一个重要特点就是灾难恢复系统里的设备要做到地理分散,才能真正应对灾难的发生。××国税系统应在××县局建立了异地数据容灾备份系统。容灾系统中采用falconstor的ipstor软件和legatoautomatedavailabilitymanage(legatocluster)。市县局用4m光纤相连,在晚上进行数据复制。系统运行后,市局将各县市局的ctais查询直接指向××县局的小型机进行查询,此举极大地减轻了以市局为主的征管服务器的压力,从根本上改善了服务器征期高峰的拥塞现象,保证了市局主服务器主要正常业务的开展与运行。同时,数据的备份将在很大的程度上保证税务工作的安全运转,给征管数据上了“保险”。ctais异地备份的成功实现为其他系统的安全保护提供了很好的借鉴。
2、部署安全防护系统。部署安全防护系统主要指通过操作系统安全使用和部署安全防护软件,实现信息化网络安全和信息安全。(1)防病毒系统。常见的计算机病毒主要是针对微软的操作系统,如果你使用其他操作系统如unix或linux,基本可以不用担心受感染,但是仍可能成为病毒传播源和感染对象。国税系统中用户网络节点多,如果采用单机防病毒软件,成本高,维护起来也不方便,防病毒的效果也不理想,所以对国税系统而言,对付病毒的重要手段是部署网络防病毒系统。网络防病毒系统由防病毒主程序和客户端以及其他辅助应用组成,它可以通过管理平台监测、分发部署防病毒客户端,这种功能意味着可以统一并实施全系统内的反病毒策略,并封锁整个系统内病毒的所有入口点。因为计算机病毒是动态发展的,到目前为上尚未发现“万能”防病毒系统,所以我们能做到只能是及时地更新病毒库。要有效地对付计算机病毒,除了部署防病毒系统外,还要配合其他手段维护系统安全,做好数据备份是关键,并且要及时升级杀毒软件的病毒库,还要做好灾难恢复。(2)防火墙。防火墙是目前最重要的信息安全产品,它可以提供实质上的网络安全,它承担着对外防御来自互联网的各种攻击,对内辅助用户安全策略的实施的重任,是用户保护信息安全的第一道屏障,在信息化安全中应给予高度重视。通过配置安全策略,防火墙主要承担以下作用:禁止外部网络对××国税系统内部网络的访问,保护国税网络安全:满足内部员工访问互联网的需求;对员工访问互联网进行审计和限制。对××国税来说,除现在应用的internet防火墙外,还应该在与外单位包括其他国税局、银行等联网的过程中没置内部防火墙、保证××国税内部网全部在防火墙的保护之下。
现在的防火墙在功能上不断加强,如可以实现流量控制、病毒检测、vpn功能等,但是防火墙的主要功能仍然是通过包过滤来实现访问控制。防火墙的使用通常并不能避免来自内部的攻击,而且由于数据包都要通过防火墙的过滤,增加了网延迟,降低了网络性能,要想充分发挥防火墙的作用,还要与其他安全产品配合使用。(3)入侵检测。大部分入侵检测系统主要采用基于包特征的检测技术来实现,它们的基本原理是:对网络上的数据包进行复制,与内部的攻击特征数据库进行匹配比较,如果相符即产生报警或响应。检测到入侵事件后,产生报警,并把报警事件计入日志,日后可以通过日志分析确定网络的安全状态,发现系统漏洞等。如果它与防火墙等其他安全产品配合使用,可以在入侵发生时,使防火墙联动,暂时阻断非法连接,保护网络不受侵害。在部署此类产品时要注意进行性能优化,尽量避免屏蔽没有价值的检测规则。(4)操作系统安全使用。在信息化网络中,操作系统的安全使用是保证网络安全的重要环节,试想如果你打算与同事共享一个文件夹,可是你又没有加密码,共享的文件就会变成公开的文件。操作系统安全使用主要包括以下几方面内容:用户密码管理、系统漏洞检测、信息加密等。用户密码管理无论是对个人还是整个系统都是很重要的。用户密码管理有许多的原则要遵守,最重要的就是不要使用空密码,如当你使用windowsnt/20xx时,如果不幸你使用空密码,局域网中的任何人都可以随意访问你的计算机资源。如果你是系统管理员,制定严谨的用户密码策略是首要任务之一。漏洞检测对关键服务器的操作系统是极为重要的。任何操作系统都不可避免地存在安全漏洞,操作系统的漏洞总是不断地被发现并公布在互联网上,争取在黑客没有攻击你的主机之前及时发现并修补漏洞是极为关键的。另外一种类型的漏洞并不是系统固有的,而是由于系统安装配置缺陷造成的,同样应引起足够重视。对服务器而言,关闭不需要的服务或端口也是必要的。即使网络很安全了,需要保密的信息在存储介质上的加密仍然是必要的,因为任何网络不能保证百分之百的安全。使用windowsnt/20xx等操作系统时,尽量使用ntfs分区,对重要信息起用加密保护功能,这样就算是信息意外泄露,也无法破解。采用vpn(虚拟专用网)。vpn是当前实现远程访问重要方法,它可以有效地降低广域网通讯费用,并实现从任何位置安全地访问国税系统内部网络,它也可以作为国税系统内部重要资源访问控制的一种手段。vpn通过internet或其他公用ip网络实现,可以满足远程通讯安全的基本需求,它将通讯信息进行加密和认证传输,从而保证了信息传输的保密性、数据完整性和信息源的可靠性,实现安全的远程端到端连接。vpn的实现主要基于以下技术:
(1)ipsec,ietf(internet工程师任务组)制定的ip安全标准。
(2)通过认证机构发放数字证书和进行第三方认证。
(3)使用共享密钥认证用于小规模的vpn网络。
vpn一般采用专用的设备实现,在选用vpn产品时应主要考虑几点:可管理性、可扩展性、可靠性、兼容性和价格。
地理信息安全的重要性篇7
关键词:地市烟草;网络安全;技术;管理
中图分类号:tp393.08文献标识码:a文章编号:1674-7712(2014)02-0000-02
烟草行业自1985年有了第一台计算机以来,经过20多年行业信息化工作者孜孜不倦的努力,行业的信息化建设工作取得了长足的发展,建立了涵盖行业各个方面工作的完备的信息网络,为行业工作的便捷开展提供了可靠的信息化助力,为“卷烟上水平”做出了应有的贡献。但不可否认的是,在信息化建设之初,由于经验的缺乏及技术的限制,没有形成一个具有远见性及科学性,能与行业整体业务发展战略紧密融合的信息网络安全建设战略,导致多年来行业信息网络安全建设工作缺乏统一的导向和组织,虽然各省烟草公司都制定并出台了计算机网络建设与管理规范,指导各地市的信息网络建设,但因为制度出台时间较短,及网络改造需要流程与时间,可以说目前各地市网络安全建设水平仍不够理想,信息网络安全建设发展至今,越来越多的困难与矛盾开始逐渐凸显。
一、地市烟草公司信息网络安全建设现状
地市烟草信息网络是构成全省烟草信息网络的个体,因此地市信息网络安全建设水平便直接关系全省信息网络建设水平,是构成全省信息网络安全建设的一环,就像构成木桶的一板,依据管理学上“木桶效应”的短板理论,木桶的盛水量由构成木桶的最短的一板决定,当有一个地市信息网络安全建设水平大大低于平均水平,就将大大拉低全省烟草信息网络整体安全防护水平。可以说全省烟草的信息网路安全建设必将是环环相扣的,一环均不得松懈,一环均不得落后。
地市信息网络安全建设关系到全行业主干的网络的安全与稳定,而信息网络环境的复杂性、多变性以及系统的脆弱性、开放性和易受攻击性,决定了信息网络安全威胁的客观存在。当行业人员在享受着信息网络给日常办公带来便利性的同时,信息网络安全问题也日渐突出,信息网络安全建设形势日益严峻。结合地市烟草实际情况分析总结(某地市烟草信息网络安全结构图如下),以及笔者日常的实际工作体会,主要可以总结出当前地市烟草信息网络安全建设还主要存在着以下几方面问题:
(一)将信息网络安全建设理解为单纯的安全设备采购
经过多年的信息化网络安全建设投入,一种简单的理念容易令一些行业信息化工作从业者产生误解,即所谓的信息网络安全建设就是网络安全设备的采购,只要网络安全设备采购部署到位,信息网络安全便高枕无忧,从一定角度来说,这种观点并没有错误,随着信息技术的发展,日益先进强大的网络安全设备层出不穷,人性化的操作界面也使得设备使用与配置变得不再困难,对信息网络安全起到很好的保障。各地市烟草公司也在逐年增加着安全设备的采购数量,网络安全随着安全设备的增加看起来已经不再是问题。但实际情况是这样吗?在实际情况中我们仍然会发现,地市烟草在重视网络安全设备采购的时却较为忽视对网络安全设备采购的前期规划,导致亟需网络设备没有得到采购,或者采购的安全设备没有得到很好的实施。造成重复投资及资产浪费的局面,同时设备上线实施后期的运行维护及更新升级,随着时间的流逝,人为的懈怠与忽视,都导致购买的安全设备没有起到最大的作用。
(二)信网络安全建设偏重技术钻研,忽略日常管理
信息网络安全不能完全依赖技术手段来解决,更多的需要从信息安全日常管理上入手,毕竟信息网络的使用者是人,只有对人的管理到位,才能保证在技术手段搭建的网络安全保障平台下不出现人为操作引发的漏洞。当前地市信息化工作从业者在对信息安全技术钻研方面投以了很大的热情,但对信息网络安全日常管理方面却显得无能为力,或者说掌控能力还不够,虽然制定并颁布了涵盖网络安全各方面的信息化制度,但相关制度却没有得到很好的贯彻执行,很多制度名存实亡,而行业各级员工良好信息网络安全使用习惯始终没有得到养成,信息安全问责机制得不到很好实施,同时而信息中心作为相关信息安全管理制度的制定者,受限于部门职能及自身管理水平所限,导致对制度执行的监督管理能力低下。而在信息网络安全管理不力的情况下,致使再强大的技术防护都无法避免管理缺失形成的隐患。
(三)信息网络安全建设重视对外防护,忽视对内防护
当前网络安全建设更多的针对外来攻击的防护,而忽视对内的安全防护,更多的是在网络边界搭设安全设备抵御从外部而来的非法入侵及非法访问,而针对内部终端用户的审计及跟踪则较为缺失。根据统计结果标明,99.9%的网络安全事件来源于网络内部,而只有0.1%安全事件来自于外部,绝大多网络安全事件来自于以内部客户端为跳板进行的网络攻击。当企业内部存在有恶意的攻击者,他们就能较好的规避防火墙等安全设备的安全策略,并把安全策略转向对于他们有利的一面,对内部网络进行攻击。同时外部的黑客,也能通过木马,能让内部用户运行他们指定的程序,操纵主机,窃取数据,这些都源于当前的信息网络建设对来自网络内部攻击防护较为薄弱,同时对内部网络准入控制把控力度做得较为不足,虽部署有桌面终端管理系统,但在相应策略部署上,没有及时到位,而该系统特殊的技术阻断方式,也在一定程度容易导致其阻断率无法达到100%。
(四)网络安全建设应急机制不健全
目前地市信息网络安全建设更多的是重视的日常安全巡检等日常检查工作,但是对网络突发事件的应急处置则较为欠缺,地市网络安全建设应急机制建立不健全,缺乏相应网络事故应急预案及相关演练,对突况的应变不熟练,导致出现突发的网络安全事故时则会变得手忙脚乱,无法很好应对突发事件带来的异常,促使事故造成的损失愈发严重,同时没有良好的容灾备份机制,一旦信息安全事故发生,是否能快速有效的恢复关键数据成为疑问。
二、针对当前网络安全建设现状的一些建议
针对当前地市烟草信息网络安全建设过程中存在的问题,通过一定的分析总结,参照最新的技术规范及管理理念,以及上级的制度规定,我们试提出以下几条改进建议,以达到全面提升信息网络安全建设实用性、科学性、全面性、稳定性的效果,具体如下:
(一)加强网络安全设备采购的前期规划及合理配置实用
网络安全设备的采购应加强前期规划及需求分析工作,不能无目的,无原则的一味追求高新设备,当前的现状是各地市对网络安全的设备采购均存在着档次及匹配性问题,存在过大及追高的弊病,形成投资浪费,同时由于项目管控能力较弱,前期规划不足,购置的设备在配置实施后等不到很好的使用,或起不到原先预想的效果。因此要加强项目前期规划,做好需求调研与需求分析工作,对网络安全设备应起到的效果及采购设备级别有准确的预估,加强采购项目的整体实施管控,并重点关注设备采购后的实施上线工作,做好安全策略的制定和部署,要充分利用设备、活用设备,充分达到应起的效用,在设备正式上线运行后,要做好安全防护策略的及时更新与修订,作好安全设备的日常巡检工作,保证安全设备始终发挥作用,而不是上线运行一段时间后就闲置不管。通过对购置网络安全设备活用、善用,提升资产投资价值,搭建坚固稳妥信息网络安全环境,促进信息网络安全建设的实用性。
(二)建立完善的信息网络安全日常管理体系
加强网络安全建设的日常管理工作,应以培养员工的良好的网络安全习惯为工作重点。所谓信息网络安全建设“三分技术,七分管理”,管理到位,信息网络安全建设也将事半功倍。一味单纯的依靠技术进行网络安全防护,而管理上存在漏洞,再强大的技术也将一无所用。好的技术,加上完善严密的管理,才能确保信息网络安全、坚固、稳妥。因此要注重建立完善信息安全管理保障体系,加强安全监管和信息安全等级保护工作,要对网络设备的安全性和信息安全专用产品实行强制认证。同时在加强对员工日常信息安全理念培训的同时,要与接入网内的计算机终端使用者签订信息安全责任状,树立“谁使用、谁负责”、“谁管理、谁负责”的信息安全理念,严格落实信息安全责任制,确保员工不敢轻易触碰信息安全底限,养成良好信息网路安全使用习惯。通过建立全面多级信息网络安全管理体系,增进信息网络建设的科学性。
(三)加强信息网络安全建设对内防护工作
地市公司目前均在互联网出口及边界架设了硬件防火墙等安全设备,但由于防火墙的特殊技术架构,其对内部通过防火墙外部的数据是不进行检测的,这就导致黑客可以利用内网主机上的后门程序,建立隐蔽信道,攻破防火墙,因此其在抵御外部攻击上起到较好作用,但面对来自网络内部的攻击就显得束手无策,针对这一情况,在进行信息网络安全建设的同时,应重点加强信息网络安全的内部防护工作,而加强对客户端的上网行为审计及网络准入控制,就成了加强信息网络内部安全建设的必然选择。客户端接入网络的同时,通过对其安全状况及授权情况进行检测,只有安全状况符合要求,得到合理授权的客户端才能正常接入办公网络。应在互联网出口处,防火墙之前,部署上网行为管理设备,对客户端出互联网的数据进行检测及筛选,降低客户端进行危险的互联网访问,感染病毒,遭受攻击的分险。通过加强信息网络安全建设的内部防护,提升信息网络安全的全面性。
(四)加强信息网路安全建设应急机制建设及演练
要加强信息网络安全建设的应急机制建设,加强应急预案的实施演练,增强对网络安全突发事件的应急处理能力。每年应进行定期仿真度高的应急方案演练,模拟网络安全事故发生时可能发生的情况,进行针对性演习。在方案演练前,要做好演练前期的方案策划,演练过程的完全记录,演练过后的总结分析工作。并以此来不断改进现有的应急预案。同时应做好容灾备份工作,进行关键网络设备的冗余配置及重要数据库的备份工作,确保发生突发事件后,能够及时进行网络及数据恢复工作,将突发事件带来的影响降到最低,不过多的影响正常办公业务的开展,确保信息网络安全的稳定性。
四、结束语
烟草是个比较特殊的行业,在专卖体制下实行“统一领导?垂直管理?垄断经营”,处于一种行政限产型的垄断状态。行业的特殊性要求我们必须克服特殊体制带来的缺陷,高效的开展行业信息化建设工作。地市信息网络安络,作为全省信息网络的组成部分,其信息安全建设水平决定了全省信息网络安全性与稳定性,其重要性不言而喻,只有重视信息网络安全建设,重视当前信息网络安全建设过程中发现的问题,通过科学的规划,合理的布局,周密的实施,去逐渐改变当前的不利局面,才能确保信息网络安全建设的科学性、全面性、稳定性与实用性,确保日常信息网络的平稳运转,为全行业的快速发展提供稳定强大的信息化助力!
参考文献:
[1]福建省烟草公司.计算机网络建设与管理规范[Z].2012.
[2]卢昱,王宇.信息网络安全控制[m].北京:国防工业出版社,2011.
地理信息安全的重要性篇8
关键词:网络信息化建设;安全问题;阐述;讨论
在计算机与网络技术飞速发展的背景下,当代社会逐渐进入到信息化的时代当中。而在信息化时代环境中的企业与事业改革,发挥着关键性作用的就是网络信息化建设。但是,在信息化建设的过程中,伴随其发展与完善的同时,也存在一定的安全问题,只有有效地解决网络信息化建设中的安全问题才能够确保网络信息的安全。
1网络信息化建设中的安全问题分析
1.1安全基础不牢固。同发达国家相比,我国的网络信息化起步相对较晚,并且发展的速度也较为缓慢,而且,在网络信息产品进口方面也始终受到制约与阻碍,导致网络信息化建设的工作也处于被动状态。第一,硬件设备方面。网络信息化的建设,其中所需要的计算机需要在其他国家进口,虽然我国的超级计算机整体水平与国际先进水平几乎一致,但是,却始终无法摆脱进口的地位,更为严重的就是在制造核心的零部件时,我国的大多数厂商主要是加工与组装,在生产过程中严重缺乏原创的意识与想法[1]。第二,软件设备方面。现阶段,我国的电脑操作平台几乎是被美国的微软垄断,若对微软操作系统的应用不合理,就会使我国软件与网络的运行存在一定的难度,并且很容易使得网络信息化的建设位于被动的状态,最终受到其他人的限制与约束。我国的网络信息化建设,其中应用的管理软件大部分都是进口,在一定程度上使得网络信息化的建设受到威胁,但是,却使得国外的软件生产商获得了意外的高额利润[2]。由此看来,目前我国的网络信息化安全防护的系统不健全,并且其基础也并不牢靠,始终过于依赖国外软件设备,进而对网络信息化的建设发展带来了阻碍与制约。
1.2安全意识薄弱。我国的网络信息化建设,从其中的多数工作开展状况看来,因而未体现出对网络信息化建设安全问题的关注与重视,所以,技术与安全问题也同样被严重忽略。在网络信息化的建设过程中,人们更重视技术与设备,而忽视了安全投入,也忽略了安全问题的重要作用,进而导致网络信息化的建设过程中经常出现安全漏洞,使得安全事故频繁发生。除此之外,虽然政府的机关单位与企业有意愿重视网络信息化的建设安全,但是,却并没有采取具有针对性的安全管理措施,也并未营造出安全的工作环境,所以,目前看来,对网络信息化建设安全管理工作的强化十分重要。
1.3安全防护措施不健全。在网络信息化建设的过程中,不仅安全意识薄弱,同时,对于危险的抵御能力也严重匮乏,并且很难使用最佳的方法来实现自我保护。
1.4网络犯罪的影响较大。有些网络犯罪分子仅仅因为利益的驱动,就采取诈骗或者是木马病毒的投入等多种手段来对用户的私密信息进行窃取,对用户工作机密造成破坏,给用户带来严重的危害。即便是国家有意愿采取相应的抵御措施来避免网络犯罪行为的发生,但是,因为网络犯罪分子自身的隐秘性极强,并且十分狡猾,所以,最终的成效并不明显。
2网络信息化建设安全策略分析
2.1积极完善网络信息化建设安全法律法规。首先,应保证安全立法充分展现与时俱进的精神。目前,网络信息化建设的安全法律层次不高,即便是法律内容会涉及到较多方面,但是,其法规内容相对简单,无法及时对网络信息技术发展情况加以规范,所以,必须要强化网络信息化建设中安全法律法规的覆盖面与深度,并不断完善既有体系,积极引进并借鉴先进的经验,充分结合我国网络信息化建设的情况,具有针对性地强化网络信息化的建设。其次,应对网络信息与传播进行规范。当前,网络信息共享中的安全问题研究深度不够,并且责任制度不合理,所以,应尽量规范网络信息的和传播[4]。并站在国家与公众的利益角度上,重视网络信息的监管,防止危害网络信息的现象频繁发生。最后,应积极加快网络信息化建设安全立法的步伐。为了紧跟网络信息技术快速发展的脚步,一定要保证网络信息化建设安全立法具有预见性,同时,还应该对信息未来会出现的安全风险进行一定的评估,保证网络信息技术能够及时地做出反应,并确保法律法规在网络信息化建设的过程中进行有效地管理[5]。
2.2充分发挥网络信息化建设中安全管理在政府中的作用。我国的网络信息化建设,政府在安全管理工作中发挥主导性的作用,所以,一定要保证与其相关的安全法律法规完善,保证视网络信息化的建设处于正常的运行轨道中,对于威胁网络信息化建设安全的行为应予以严格地监管与处理。
2.3不断完善网络信息化建设的安全方式。第一,贯彻并落实许可与准入制度。在网络信息化的建设过程中,安全管理工作可以贯彻并落实许可和准入的制度,进而对其安全进行有效地监督与管理[6]。现阶段,大部分国家都已经应用了此方法,并且取得了一定的成效。然而,在我国内部实行该制度的时候,则应该积极地建立控制与审查机制,并保证其科学合理,对网络信息进行有效地控制,进而对其中存在的安全问题进行及时地解决。第二,积极提高安全技术层次。要想实现安全技术层次的提高,最重要的就是要积极引进先进的技术,对其操作进行严格地监管,进而获得理想的效果。
2.4更新安全防护设备。众所周知,网络信息化的建设,其灵活性十分显著,所以,一定程度上为网络的不良行为提供了契机。然而,为了降低该情况发生的几率,就应该保证互联网企业对防护设备进行定期地更新,并对设备防护的具体情况进行观察,避免网络不良信息的进入。
3结束语
综上所述,在我国的社会发展过程中,网络信息化的安全建设势在必行。由此看来,相关的职责部门需要充分展现自身的价值,对国家各种力量进行利用,进而对不良的网络信息化建设行为进行严格地打击,对不良现象进行预防。而网络信息化的建设对于国家的发展与进步具有重要作用,因而,在其建设的过程中,一定要积极完善相关的法律法规,并强化网络信息安全管理工作,对信息安全形式进行相应的优化,有效地提升其安全技术的层次,发挥政府主导地位,进而促进网络信息技术的进一步发展。
参考文献
[1]王守认.解析网络信息化建设存在的安全问题[J].中国化工贸易,2015,7(16):297.
[2]乔琦琦,段昆.信息化建设中的网络安全问题分析[J].消费电子,2014(24):142.
[3]孙丽睿.浅析网络信息化建设存在的安全问题及对策[J].信息与电脑,2015(21):156-157.
[4]王静.当前我国企业信息化建设中的网络安全问题研究[J].行政事业资产与财务,2014(6):224.
[5]李海舟.浅析网络信息化建设存在的安全问题及对策[J].电子世界,2012(23):134.
地理信息安全的重要性篇9
关键词:企业信息安全问题对策
引言
随着企业商业机密泄露事件的不断发生和网络环境的日益恶化,企业信息安全问题逐渐被提上议事日程,信息安全建设正在成为越来越多企业的首要头等大事。企业信息安全工作事关企业核心竞争力的高低,关系到企业的长远、健康发展。每一个企业及其管理者都要从观念和行动上重视信息安全建设,查找其中存在的隐患与问题,借鉴先进经验措施进行改进,保护好企业的信息资源,促进自身发展。
一、企业信息安全概述
信息安全是一门设计网络技术、计算机科学、信息安全技术和通信技术等多专业的综合性学科,它是指由硬软件、基础设施、物理环境、数据等因素组成的信息系统受到保护,不收到恶意的、偶然的原因而遭到更改、破坏或者泄露,系统连续正常可靠地运行,信息服务不中断,最终实现业务的连续性。信息安全要实现信息的完整性、真实性、保密性、未授权拷贝和所寄生系统的安全性。企业信息安全主要包括企业实体安全、信息资产安全、运行安全和人员安全等内容,其对企业的发展壮大具有非常重要的现实意义。做好信息安全工作企业稳定发展的前提基础。
二、企业信息安全隐患与问题分析
1.网络安全隐患长期存在。互联网的快速发展方便了信息的传递,提升了企业各项管理事项的处理速度与效率,但是网络的联通性也给企业信息安全带来了一定的安全隐患。企业广域网上的用户繁杂,很难进行统一有序的管理,着就使得企业信息资源和信息系统的安全性难以得到有效的保证,这是当前企业信息安全面临的一个主要问题,也是当前的一个热门安全课题。
2.计算机病毒、黑客的危害与攻击。病毒是计算机系统的头号大敌,企业息息系统一旦感染病毒,就有可能造成网络通信故障,破坏系统数据和文件信息,导致系统中的重要数据资料丢失或者损坏,给公司带来灾难性的破坏。黑客通常会通过信息炸弹、密码破解、后门程序和网络监听等手段侵入计算机系统,占用系统资源,破坏或者盗窃系统中的重要秘密信息。
3.企业信息安全管理规章制度缺失。有关企业信息安全方面的规章制度还不够完善,因为相关安全手段和技术还没达到标准化和成熟阶段,现有的法规也不能很好地被贯彻执行,这就导致企业较难制定出能够满足实际需要的科学合理的安全策略来保护自身的信息安全。另外,企业自身的信息安全责任制度也不到位。当前,人们对企业信息安全的认识有一个误区,即信息安全是企业信息技术部门的任务,和其它部门及工作人员没有直接的关系。其实,每一个员工都是信息安全工作的参与者。
4.企业员工信息安全意识不足。事实表明,在众多的信息安全事件中,企业内部员工有意或者无意的信息泄露是发生最多的一种安全事件。企业员工信息安全意识差,或者因为自身利益而丢弃了职业道德与操守,都会给企业带来不必要的经济损失。另外,信息安全管理人员素质低下,如基本信息安全保护常识掌握不到位、用户口令设置不合理等都会给企业带来信息安全隐患。
三、做好企业信息安全工作的几点建议
1.做好网络安全管理工作。首先,加强网络安全审计和日志管理。企业信息安全管理者应该充分利用好入侵检测系统和网络防火墙的审计功能,做好网络审计和日志管理工作,禁止任何人删除或者修改审计记录,严格管理好审计数据信息。其次,加强网络管理制度建设。企业领导要提高信息安全意识,制定必要的安全管理制度,加强网络信息运行环境与基础设施管理与建设。再次,完善企业内网统一认证系统。这是确保网络信息安全的重要措施之一,它可以实现网络信息安全系统的机密、访问控制服务、不可否认服务和身份鉴别服务等。
2.优化网络安全防护体系。企业应该完善企业安全信息管理组织体系,制定安全信息管理规范,详细说明各种信息安全策略,落实信息安全措施。安全防护体系的建立与优化不是一劳永逸的,企业必须根据实际安全问题与漏洞,随时进行系统更新,以确保网络信息安全。此外,还要建立健全防病毒管理制度。不随便往企业内网主机中拷贝互联网上下载的数据资料,禁止在计算机上随便使用来路不明的移动存储设备。企业信息安全管理人员应该掌握基本的预防及处理病毒常识,在电脑上安装防病毒系统。
3.建立健全企业信息安全管理各项规章制度。做好信息安全工作首先要明确安全事故责任,并将其纳入员工个人业绩考核和企业安全生产考核范围内。加强安全信息管理一把手建设,保证信息安全工作责权清晰,按照“谁主管谁负责、谁使用谁负责”的原则,将责任落实到个人。其次,要完善数据安全管理制度。确保数据存储介质安全;对数据信息的操作要经过主管部门负责人的审批,并且确保所有操作工作都在两人以上的场合、在第三方的监督之下进行;定期对重要数据信息进行备份,且将其存储在异地。
4.提高信息安全管理人员综合素质。企业信息安全管理人员安全技术能力和管理能力的高低直接决定着企业信息安全指数的高低,所以,在强化管理人员信息安全意识的同时,还要对其进行必要的信息安全管理理论与技术培训。同时,企业还应该与外部专业技术企业建立长期有效的外部技术支持网络,以便准确、快速地对自身的信息安全事故进行处理,在最短时间内排出突发事故的发生,将企业的损失与风险降低到最低限。
四、结语
随着企业信息化程度的不断提高和市场竞争的日益激烈化,信息资源将成为一种决定企业成败的重要战略资源。因此,企业要想取的长远发展,永远立于不败之地,就应该重视信息安全管理工作,在制度、技术、员工素质等多方面来保护企业信息的安全性。
参考文献:
地理信息安全的重要性篇10
通过开展信息安全检查工作,进一步落实信息安全责任,增强全员信息安全意识,认真查找突出问题和薄弱环节,全面排查安全隐患和安全漏洞,有针对性地采取管理和技术防护措施,促进安全防范水平和安全可控能力提升,预防和减少重大信息安全事件的发生,切实保障信息安全。
二、检查范围
信息安全检查的范围包括县市区卫生局和市直医疗卫生单位。涉及国家秘密的信息系统安全检查,按照国家保密管理规定和标准执行。
三、检查内容
(一)信息安全管理情况
按照国家信息安全政策和标准规范要求,信息安全管理规章制度的建立健全及落实情况。重点检查信息安全主管领导、信息管理机构和工作人员履职情况,信息安全责任制落实及事故责任追究情况,人员、资产、采购、外包服务等日常安全管理情况,信息安全经费保障情况等。
(二)技术防护情况
网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查事关国家安全和社会稳定,对部门或行业正常生产生活具有较大影响的重要网络与信息系统的安全防护情况,包括技术防护体系建立情况;网络边界防护措施,不同网络或信息系统之间安全隔离措施,互联网接入安全防护措施,无线局域网安全防护策略等;服务器、网络设备、安全设备等安全策略配置及有效性,应用系统安全功能配置及有效性;终端计算机、移动存储介质安全防护措施;重要数据传输、存储的安全防护措施等。
(三)应急工作情况
按照国家网络与信息安全事件应急预案要求,建立健全信息安全应急工作机制。重点检查信息安全事件应急预案制订、修订情况,应急预案演练情况;应急技术支撑队伍、灾难备份与恢复措施建设情况,重大信息安全事件处置及查处情况等。
(四)安全教育培训情况
重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。
(五)安全问题整改情况
重点检查以往信息安全检查中发现问题的整改情况,包括整改措施、整改效果及复查情况,以及类似问题的排查情况等,分析安全威胁和安全风险,进一步评估总体安全状况。
四、检查方式
按照“谁主管谁负责、谁运行谁负责”的原则,信息安全检查工作以各县市区卫生局和市直医疗卫生单位组织自查为主。同时,市卫生局将会组织专业技术队伍对部分重点单位和重要系统进行安全抽查。
(一)安全自查
各县市区卫生局和市直医疗卫生单位统筹组织安排本地和本单位的信息安全自查工作,制定信息安全检查实施方案,印发检查部署文件,明确自查范围、责任单位、工作安排及工作要求等相关内容,并认真组织实施。自查工作完成后,各县、市(区)卫生局和市直医疗卫生单位要对本地卫生系统和本单位检查情况进行全面汇总、总结,填写检查结果统计表,认真梳理存在的主要问题,分析评估安全风险,撰写检查总结报告。
(二)安全抽查
1.抽查任务
市卫生局将组织专业技术队伍对部分县市区卫生局和市直医疗卫生单位进行抽查,抽查单位和时间另行通知。
2.抽点内容
(1)现场抽查内容。重点检查被抽查单位自查工作组织开展情况,2012年安全检查发现问题的整改情况,网络架构、安全区域划分的合理性,网络边界防护措施的完备性,服务器、网络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性,重要数据传输、存储等安全防护措施。专业技术队伍应对重要设备和应用系统进行安全技术检测,深入挖掘安全漏洞,采用人工方式对安全漏洞的可利用性进行验证,帮助排查安全隐患,分析评估安全风险。
(2)外部检测内容。通过互联网对被抽查的网站系统、业务系统等安全风险状况进行外部检测,包括安全漏洞、网页篡改、恶意代码情况以及近年来安全检查中发现问题的整改情况等,验证被抽查系统安全防护措施的有效性。
五、时间安排
(一)自查时间安排
自查工作自本工作方案印发之日起启动,2013年9月23日结束。
(二)抽查时间安排
市卫生局牵头组织的抽查工作自9月23日起启动,9月30日前完成。
六、信息报送
(一)请各县市区卫生局和市直医疗卫生单位于2013年9月23日前向市卫生局上报检查总结报告,以及《地方/行业信息安全检查结果统计汇总表》(卫生局填报本地区卫生系统汇总后数据,医疗卫生单位填写本单位数据)、《信息安全检查结果统计表》和《政府部门信息安全管理工作自评估表(试行)》等相关材料。
(二)报送方式。报送材料纸质版至市卫生局办公室,电子版请通过省卫生厅集群办公oa系统发送至市卫生局。如填报内容,请按照保密要求通过机要方式传送。
(三)在自查中发现重大安全隐患或出现因检查工作导致的跨地区、跨部门或跨行业安全问题时,应及时向市卫生局和本地信息化管理部门报告。
七、有关工作要求
(一)加强领导,落实责任
各县市区卫生局和市直医疗卫生单位要把信息安全检查工作列入重要议事日程,加强组织领导,明确检查责任,建立并落实信息安全检查工作责任制,明确检查工作负责人、检查机构和检查人员,安排并落实检查工作经费,保证检查工作顺利进行。
(二)注重源头,深入检查
各县市区卫生局和市直医疗卫生单位要全面细致开展检查工作,注重采用技术检测等手段,深入查找安全问题和隐患。认真统计与填报数据,确保检查工作不走过场、不漏环节、不留死角。要高度重视检查中发现的苗头性、趋势性问题,全面系统地分析研究解决,从源头上遏制和消除安全隐患。
(三)即查即改,确保成效
各县市区卫生局和市直医疗卫生单位对检查中发现的问题要及时整改,因条件不具备暂时不能整改的问题应采取临时防范措施,保证系统安全正常运行。各县市区卫生局应及时把检查中发现的问题通报给相关单位,督促相关单位组织风险研判、并落实整改措施,对于逾期未进行整改的单位将予以通报。
(四)密切配合,加强指导
各县市区卫生局应加强与同级信息化主管部门的沟通合作,组织专业技术队伍对检查工作进行技术咨询和指导,不断提高检查
工作的科学性和规范性。承担抽查任务的专业技术队伍和被抽查
单位应加强沟通,做好配合工作,保障信息安全抽查工作的顺利
开展。