信息安全管理策略篇1
关键词:信息化;信息安全管理;企业管理
1.引言
随着信息技术的发展和网络化应用的普遍推广,各机关组织和企事业单位都开展各类管理业务的信息化建立。企业的发展运作离不开信息系统的安全运行。信息安全通过保护企业信息的机密性、完整性和可用性,不仅保护了企业各类信息资产的安全,还能增强企业的核心竞争力,维护企业的形象和信誉。信息安全对企业的生存和发展的是至关重要的,需要从战略的高度对信息安全进行规划和管理。
2.企业中信息安全管理经常存在的问题
日常安全管理中存在的主要问题,首先是用户安全意识和观念薄弱的占58%,第二位的是网络安全管理人员缺乏培训,占39%;其后,依次是保障经费投入不足、缺乏安全信息共享和安全产品不能满足要求。
不仅在日常管理中,在技术管理方面也存在一定的问题。在CSDn泄密门事件中,专业it博客“月光博客”撰文表示“整个事件最不可思议的地方在于,像CSDn这样的以程序员和开发为核心的大型网站,居然采用明文存储密码”。,“稍微懂一点编程的程序员都知道,为了用户的安全,应该在数据库里保存用户密码的加密信息,这样黑客即使下载了数据库,破解用户密码也不是一件容易的事情”。可见,有些涉及技术方面的问题,也并不是单纯的技术问题,而是与技术人员安全意识不强、责任心不到位有关。
为了了解企业内部员工在信息安全问题上的看法及所做的努力,我们对一家电子商务企业和一家银行的部分工作人员进行了问卷和访谈调查。
发现在企业员工中存在如下一些问题:
(1)是信息安全意识方面,被调查者认为信息安全对企业和个人都非常重要。但大多数受访者对信息安全的问题了解很少等。
(2)很多受访者认为信息安全属于技术人员的事情;与技术人员的交流非常少;忙于业务,没有时间去处理。
(3)是用户认为信息安全管理措施效果不好。有些信息安全行为的规范标准虽然挂在网上或贴在墙上,很少有人去关注;公司发动的信息安全的培训活动没有收到好的效果。
3.信息安全问题的根源
通过对调查的结果进行深入分析,发现导致信息安全事件频发、风险损失严重的原因从根本上来说,有几下几个方面。
(1)信息安全是一个多维问题,涉及到企业管理的方方面面。企业在信息安全问题上往往涉及多个部门。有些情况下,无法明确责任,使得信息安全得不到应有的重视以及有效的管理。
(2)风险平衡理论认为,人会愿意承担一定程度的风险。这与你采用多少的安全防护措施无关。有时即使有条件可以到达绝对安全的状态,由于人性的缘故,也不会那样去做。
(3)信息安全与效率和便利性本身是矛盾的。信息安全加强了,受到的约束也就多了,相应地效率也就降低了。比如简单规律地密码,可以不必费力去记;插入U盘时进行杀毒,必然要耽误时间;没有接入网络,不可能受到网络攻击,但也就失去了网上浏览所需信息、网络交流的自由,因此有人半开玩笑地说:“最安全的计算机是拔掉网络的那台计算机”。
(4)由于某些缘故,网络中总是存在黑客,专门窃取信息或破坏网络系统。他们的水平都非常专业,一般的用户难以预防。所谓道高一尺,魔高一丈,信息安全的水平总是在这种攻击与防守中进步的。
(5)信息安全问题的不确定性。信息安全问题的不确定性主要指是否发生风险的不确定性、无法精确地评估当前所面临的风险以及风险发生所带来的损失的难以把握。
所有这一切因素,都使得信息安全无法得到有效的关注和重视,无法采用有效的措施来预防和避免。这也是导致信息安全事件发生频率居高不下,风险损失较大的主要原因。
4.相关的建议和策略
针对企业信息安全的问题,文章运用管理学的理论进行论述。企业管理涉及四个功能:计划、组织、领导、控制。
(1)从计划的角度来看:
企业应当确立信息安全的发展战略,从战略的高度来对待和管理信息安全,确保信息安全所引发的风险达到可以接受的范围之内。从全局角度制定信息安全的策略,确立信息安全的目标,以及实现目标需要的行动方案。
(2)从组织的角度来看:
人力资源的管理的观点认为,企业的组织结构,取决于组织战略。在许多企业组织结构中,只有技术部门,没有信息安全管理部门。S.H.(basie)vonSolms曾讨论过,技术管理与安全管理两个部门必须设置成为两个独立的部门,否则无法保证安全评估的客观性。因此有必要设置一个专门负责信息安全管理的部门,这个部门并不负责具体的技术,但是要懂技术,主要是开展企业的安全培训工作、日常的安全管理工作、对存在的风险进行评估,最大限度地降低安全风险。
(3)从领导的角度来看:
根据wilde的风险平衡理论,一个人会愿意承担一定程度的风险。“风险平衡”观念会让整个机构处于盲目乐观的过度自信状态,不管是企业的员工还是管理者都倾向于追求效率,从而忽视信息安全的投入。
在企业的管理过程中,应当加强信息安全、风险意识方面的培训和教育,增进员工与技术人员的面对面的沟通与交流,开展有效的安全意识活动。
(4)从控制的角度来看:
对风险的控制要求企业对自己的安全状况不断评估,时时防范。这就要求安全管理部门每隔一定时间向上汇报信息安全的进展情况,定期进行风险评估工作。
5.小结
文章从管理学的角度来分析信息安全风险管理,对信息安全问题做了实地调查,分析了目前信息安全存在的一些问题,并对存在的问题的根源进行了深入的分析,最后文章运用管理学的理论,从计划、组织、领导、控制四个角度出了相应的建议和策略。
信息安全管理策略篇2
数字化档案是档案与现代化的技术有机结合的新型档案信息形态,将档案信息转化成数字信息,应用现代化技术的便捷性,将档案信息进行归档、利用以及资源共享等。这里所说的现代化技术主要包括计算机技术、扫描技术、oCR技术、数字摄影技术、数据库技术、多媒体技术、存储技术等。
2数字档案信息安全问题相关分析
对于档案信息本身来说,无论是传统的档案存储,还是现代化的数字档案,安全问题都是首要问题。由于现代化的数字档案是传统档案与现代化技术的结合,所以影响档案信息安全问题的因素较多,这些因素的出现,对数字化档案信息安全造成了不同程度的影响。以下是对数字档案信息安全问题的具体分析。
2.1数字档案信息的安全管理。
档案信息安全管理问题是决定数字档案信息安全的直接因素。如果安全管理方面存在缺陷,例如制度的不完善、标准不统一、管理措施无效等,必然会失去数字档案信息的基本保障。所谓的数字档案信息安全管理主要包括管理制度、标准、管理措施,不仅如此还包括数字档案信息归档流程等,相关流程不规范也会使数字档案信息安全问题受到威胁。
2.2计算机故障问题。
由于数字档案信息的归档及利用均以计算机为载体,所以计算机本身的不确定因素会影响数字档案信息安全问题,其中计算机故障问题是影响数字档案信息安全的主要问题,其中计算机故障又包括硬件故障与软件故障。以下是对两种故障的具体分析。
2.2.1硬件故障。
计算机硬件条件良好时数字档案信息安全问题的基本保障,当计算机硬件发生故障时,数字档案信息的存储、查询、利用等就会受到较大的影响,其在一定程度上导致档案信息的丢失或损害,影响了档案信息的完整程度,大大降低了数字档案的使用质量与效率,为使用者造成较大的不便。
2.2.2软件故障。
计算机的软件是处理数字档案信息的必要条件,一旦计算机软件出现故障亦或是性能无法满足现阶段数字化档案信息系统的要求,档案信息的处理能力就会大大下降,工作质量与效率也会随之下降,而数字化档案信息本身也无法发挥最大作用。计算机软件故障直接影响数字化档案信息系统的操作,但是与计算机硬件故障相比较,其发生故障的几率较小。
3探究数字化档案信息安全管理相关策略
前文已述,管理问题直接影响着数字化档案信息安全,故而要确保档案信息的安全,首先要从管理策略方面抓起。以下是对数字化档案信息安全管理相关策略的具体分析。
3.1加强数字化档案宏观管理。
加强数字化档案的宏观管理档案数字化工作是一项技术性、专业性、综合性很强的工作,必须加强领导,统一思想,建立健全组织机构,比如建立专门的档案数字化、信息化、网络化协调组织机构,组织国家档案信息网络的总体设计与技术攻关,加强档案信息网络一体化的宏观管理。档案数字化工作要纳入科学管理体制,作为机关管理工作的一部分,制定相应的工作分工范围及管理权限。
3.2完善相关管理制度。
在完善管理制度时,要综合考虑各种因素对数字化档案信息安全的影响。在人员安全管理方面,要设立具体的安全审查制度、岗位安全考核制度、安全培训制度等。对已经存储的数字信息均应进行密级分类,对敏感信息与机密信息应当加密并脱机存储在安全的环境中,防止信息被窃听、变更与毁坏。在系统安全运行方面,要做好机房出入控制、环境条件保障管理、自然灾害防护、防护设施管理、电磁波与磁场防护等工作。设立操作安全管理、操作权限管理、操作规范管理、操作责任管理、操作监督管理、操作恢复管理、应用系备份管理、应用软件维护安全管理等制度。从技术上防止文件被人为地修改,增强电子文件的凭证性和可靠性。
3.3计算机安全管理。
由于计算机故障对数字化档案信息安全造成较大的损害,所以要做好计算机安全管理工作。应根据数字化档案信息系统的实际情况选择性能良好的的计算机硬件和软件。在选择计算机硬件和软件的过程中应注重计算机的品牌和服务器,全面对计算机硬件的兼容性和可扩展性进行一定的审核,这样做的目的是为了避免当计算机系统在升级时数字化档案信息的相关数据丢失。不仅如此,还要定期更新软件,选择更有利于处理数字化档案信息的软件,确保最大程度上发挥数字化档案信息的优势。
3.4信息技术安全管理。
依靠数字化档案信息安全管理人员在强度安全管理是不够的,还需要现阶段科学信息技术援助。为了保证数字化档案信息数据的安全,在数字化档案信息安全管理工作中可以运用一些先进的科学信息技术来提高数字化档案信息安全。例如,可以设置信息的访问认证,防病毒系统,同时也对数字化档案信息相关机密数据进行加密操作,以数据加密的形式,可以有效地防止数字化档案信息数据被一些木马病毒和被非法网站入侵,进行安全管理对保护数字化档案信息安全是非常有效的。
3.5提高管理人员的专业素质。
管理人员的专业素质对数字化档案信息安全管理来说至关重要,故而提高管理人员自身专业素质也是安全管理中的重要策略。相关的工作人员利用电子设施在网络环境中开展对应的相关工作,对相关的数字档案实现有效地管理,也就是个相关人员自身的能力大小对相关的数字档案工作的安全性有着比较大的影响。这就要求在具体的工作中,相关的数字档案管理人员要熟悉管理方面的相关专业理论,还要在具体的工作中树立其较强的管理安全意识,不断充实自己,提高数字化档案安全管理的实践工作技能。一旦工作中内部成员想要泄露档案信息,相关的管理人员就要切实提高警惕,有效的增强风险思想,确保信息在实际的工作中受到严密的保存;与此同时,有关的组织机构还要组织针对性的人员培训活动,有效地提高相关管理人员的安全理念,以此达到万无一失。除了以上几种管理策略之外还存在着其他管理策略,例如规范数字化档案信息归档存储流程,确保数字化档案信息的真实性与完整性,进一步确保数字化档案信息安全。
4结束语
信息安全管理策略篇3
关键词:计算机信息管理安全策略
1.加强计算机信息管理安全的重要性
计算机信息管理就是采用计算机技术对pC中的数据、文件进行收集、存储、分析和处理等一系类操作过程的总和。现代信息管理就是将pC机数据处理技术和网络技术有机地结合起来,提高了信息处理的速度与效率,使数据文件的管理、使用更加便捷。但是网络系统的安全问题也会带来巨大的损失,甚至危害社会和国家安全。网络攻击者采用各种方法来攻击他人网络和pC机,一旦此黑客行为成功,就会使联网pC机处于被黑客操纵状态,黑客可以轻而易举的窃取目标计算机的资料,给用户造成损失,此类案件呈多发趋势。出于各种目的,一些黑客经常以各种手段对政府部门和军事部门的计算机网络设施进行攻击,从而对社会、国家安全和国防建设等造成威胁。因此,出于国家信息安全保障的需要,不断增强信息安全意识,加强安全防范有效措施,针对网络攻击特点保障信息数据安全将是一个长期而艰巨的任务。
2.当前计算机信息管理中存在的安全隐患
2.1软件方面的问题
软件技术方面存在大量问题,如网络病毒的侵袭,且每天都有新的病毒出现;internet底层tCp/ip协议不完善,程序对安全考虑不周;人为恶意攻击,有选择地破坏信息和在不影响网络正常工作的情况下,对公共信道进行截获、窃取、破译以获得重要机密信息。网络操作系统存在安全漏洞,为黑客攻击提供了目标。
2.2硬件方面的问题
硬件方面的问题包括设置和设备两方面。设备故障主要是由人为破坏行为或者意外事件导致的。如非法人员进入中心机房对机房进行有预谋的破坏行为;自然因素,如火灾、地震等或者是在没有电源保护的情况下发生的电压突变、断电等供电故障。设置方面的安全问题主要是服务器、交换机、路由器等安全设置等级不够,容易受到攻击或被他人控制。
2.3管理方面的问题
管理方面的存在问题也是信息安全管理中经常出现却不能忽视的问题。特别是信息安全管理意识的淡薄很容易产生疏忽管理系统安全的风险,造成系统安全缺陷从而容易受到攻击导致泄密,口令、密码简单易被破译是常见的问题,用户将账号随意转借他人或与别人共享等也是问题。
3.提高计算机信息管理安全的对策
3.1加强信息安全管理制度建设
信息安全的首要问题是信息管理制度的建设,想从源头控制安全隐患,就要制定严密的制度和措施并严格执行。严格控制机房进出人员,外来人员进入机房必须经过安全检查和有关部门的批准。加强信息网络内部权限控制,严格控制访问权限,规范使用。系统中所应用的软件在使用之前都要经过严格安全措施,以技术规范保障使用安全。制定专人负责制,安排专门人员对信息系统进行定期和随机的安全测试和维护,严格检查各种支持系统安全运行的要素,如:网络安全、系统安全、人员状态等,从而保障系统安全平稳运行。制定严格的安全保密制度,设定使用、访问和管理级别,最大限度的杜绝安全隐患。
3.2运用防火墙和防病毒技术
防火墙是一个用以阻止网络黑客非法进入某个机构网络的主要屏障。它位于内网的边缘,能够实现对internet、其他外部网络和内部网络之间互相隔离,最大程度上组织黑客的非法活动,它成为网络信息安全的基础,成为信息安全服务提供的前提。目前的防火墙技术有包过滤防火墙、防火墙、双穴主机防火墙等。并不是所有的防毒软件都可以有效地阻止病毒侵入,在日常的系统管理和维护当中应该对系统软件和防火墙进行及时的升级和更新从而减少病毒入侵的机会,同时在网络系统中要层层进行防护,在每一层的出入口均进行防护,提高信息网络管理的效率,有效防控和阻断病毒入侵。
3.3强化访问控制,确保计算机网络系统运行正常
计算机网络系统安全防范和保护的一个主要措施就是访问控制,其目的在于保证网络资源能够不被黑客进入,这一方法这也是网络安全中的核心策略之一。目前技术条件所支持的访问控制策略主要以基于规则和角色的两种方式为主。基于规则控制的访问控制的策略有很多,如架设防火墙、口令认证、身份认证、证书访问控制等。基于角色主要针对一些局域网之间,主要控制角色行为,这是最实用也是最安全的。其他控制措施还有网络服务器安全控制、属性安全控制、目录级安全控制、网络端口节点安全控制等。
信息安全管理策略篇4
1数字档案信息安全管理中存在的问题
1.1管理者的安全意识不强
档案信息化水平不断提升,这也使档案信息安全问题越来越突出。当前很多档案管理人员对于档案信息安全的重要性和紧迫性缺乏有效的认知,特别是当前档案网站安全、计算机系统安全等问题普遍得不到重视。由于档案管理者对数字档案信息安全意识缺乏,这也导致普遍民众对数字档案信息的安全问题更是一无所知。很大一部分档案管理人员在日常工作中都没有意识到数字档案存在的安全隐患,这些数字档案信息可能随时消失不见,对风险缺乏有效的认知,这也造成数字档案信息安全问题始终存在,这对于数字档案信息安全管理工作带来了较大的挑战和难度。
1.2数字档案信息安全管理技术滞后
随着信息技术的快速发展,数字档案档案安全技术也紧跟信息技术发展步伐取得了较快的发展,但在发展过程中存在着技术层面专业问题的制约,这就导致数字档案信息安全管理技术相对滞后。在实际工作中,往往都是档案信息安全问题出现后,数字档案信息安全技术才能针对出现的问题进行改进,从而取得技术上的发展。即在数字档案信息管理工作中,安全隐患一直存在,风险一直管观存在,数字档案信息安全时刻受到威胁,因此要??际工作中需要有效的降低风险,即应用数字档案信息安全技术来将风险降至最低水平。
1.3数字档案信息安全管理制度不完善
现今我国在数字档案信息安全领域的制度不够健全,所以才会在实际的数字档案信息安全管理中出现许多纰漏。由于数字信息安全管理制度的残缺导致我国的数字档案信息安全管理水平普遍偏低。从实际出发,我国大部分的档案管理部门都制定了相应的数字档案信息管理制度,许多制度都是为了应付检查才制定的,相互抄袭的情况比较多,这样的情况就会造成所制定的制度并不能与实际的数字档案信息安全管理工作相匹配。对实际的数字档案信息安全管理工作起不到任何制约与指导作用,甚至可能造成安全隐患给数字档案信息安全管理工作带来不必要的麻烦。
2加强数字档案信息安全管理的策略分析
2.1加强对工作人员的培训,树立安全防范意识
随着档案信息化的不断发展,档案数字化全面普及率已成为档案工作发展的必然趋势。为了能够更好的提高数字档案信息管理的安全,需要遵循以人为本原则,重视档案管理人员的培训工作,努力提高档案管理人员的专业技能。在具体培训过程中,要加强对档案管理人员信息安全知识的讲解,使档案管理人员树立安全防范意识,认识到数字档案安全管理的重要性,并能够在实际工作中利用安全技术来维护数字档案信息的安全。培训过程中还要重视档案管理人员计算机技术水平的提升,这样在实际工作中才能更熟练的应用档案管理系统,提高档案管理系统的先进性,从而更好的实现对数字档案信息的有效管理。
2.2提高重要信息的加密性和计算机的安全性
网络环境的不安全会影响数字档案信息的安全性,因此要加大对网络环境的保护力度,提高计算机环境的安全性。为防止重要信息被黑客入侵盗取,要加强对信息的加密保护,保证数字档案信息的保密性,在网络层能够安全、自由的传递,特别是对带有密级的数字档案信息系统,更应该加强文件的加密保护能力,保护重要的档案信息。对计算机要定期的清理,防止留下的浏览记录被别有用心的人利用,可能会从中得到很多私人信息,提高计算机系统的安全性。因此在计算机上必然安全可靠的杀毒软件和防火墙,做好安全防范工作,降低计算机系统受到病毒破坏及黑客攻击的可能性,提高计算机系统的安全水平。同时档案管理人员还要熟练应用计算机软件,并定期对病毒库进行更新,强化计算机系统的安全防范,有效的提高数字档案信息的安全性和可靠性。
2.3健全数字档案信息安全管理制度与法律
数字档案信息安全管理是需要制度与法律作为强大的支撑的,所以要建立和完善数字档案安全管理的规章制度。制定数字档案信息安全管理的相关制度与法律是提高数字档案信息安全管理水平的一个有效方法。要做到数字档案信息安全管理其实是很难的,这其中所需要具备的条件很多、工程量极大。要结合管理工作中遇到的具体问题来制定与实际相符的并且执行性较强的数字档案信息安全管理制度。数字档案信息安全从根本上看主要是人在发挥主要作用,并且我国为了保障数字档案信息安全颁布了两部相关法律。从目前形势来看,数字档案信息管理还存在许多不足之处有待于进一步完善,如数字档案信息安全管理的相关制度与法律还需要进一步补充。还要从数字档案的形成之时起一直到归档保存,这其中在每一个过程都必须严格遵守规范的管理制度,这样才能从源头就开始对数字档案信息进行规范化管理,有利于后期的安全管理。
信息安全管理策略篇5
关键词:计算机;网络信息;防护策略
引言
互联网作为最新、发展最快的大众传媒,在1998年联合国新闻委员会年会上,被正式地称为第四媒体。互联网只花了4年时间便从投入商业应用攀登上了拥有5000万用户的高峰。与之相比,“老前辈”广播与电视分别耗费了38年和13年的“青春”。当下,互联网络技术正在以前所未有的速度在更新换代,并在社会生活的各个领域开花结果。我们这一代人正在见证着数字化时代的到来与飞速发展,见证着网络进入千家万户。我们认识到了其便捷,也见识到了其危害。我们在网络上疯狂发表和转载信息的同时,也很可能正侵害着别人的权利,而且网络最大的魅力在于,我们几乎不用为我们的侵权行为“埋单”。
1、计算机网络信息管理及安全防护
随着家庭电脑及互联网的普及,接入互联网的门槛也正在不断降低,越来越多的人通过网络来作品、获取信息及参与社会方方面面的交流与工作。网络以其便捷、高效的特点及其超乎寻常的强大的信息传播能力,正不断地给我们的工作及生活中的方方面面带来新的体验及深远的影响,与其说,网络正与人们的生活紧密地交错在一起,毋宁说,网络已经成为我们日常生活的一部分了,在计算机网络给我们生活带来便利的同时,也会带来一些风险,例如各种计算机网络用户的信息被窃取,给计算机用户造成财产损失,因此对计算机网络信息的安全防护具有重要的意义。我国目前在计算机网络信息管理与安全防护方面已经取得了很大的成绩,我国运用密码技术和信息安全技术用于维护计算机用户的硬件数据和软件数据,提高了计算机用户网络信息的安全性。同时,我国已经建立了相关计算机网络信息防护体系,有效的地减少网络中危险因素的威胁。
2、计算机网络信息管理及安全防护中的现存问题
目前,随着我国计算机用户数量的增长,计算机网络信息计算机网络信息管理与安全防护策略研究文/任彦华安全问题也受到了社会的重点关注。要想保障计算机网络信息的安全,需要多种技术的综合支持。我国对计算机网络信息的管理与安全防护水平相比以前已经取得了很大的进步,但从实践上看,还存在一些问题有待解决。
2.1计算机病毒或木马入侵危害计算机用户的信息系统
随着信息技术的快速发展,一些不法分子利用计算机病毒或木马入侵他人的计算机,窃取计算机用户的重要信息并获取非法收入。计算机病毒或木马程序能够在计算机网络的使用过程中自我复制计算机指令及程序代码。在计算机系统收到病毒与木马程序的入侵之后,将会对计算机产生重要的损害,不仅会损害计算机里面的重要数据信息,还有可能导致计算机系统无法正常工作,给计算机用户造成巨大的损失。
2.2计算机网络中的黑客攻击难以防范
在计算机网络信息的安全防范工作中,如何防范黑客攻击是一个难点。目前,全世界的各个国家都在加强对黑客攻击的防范工作。黑客攻击主要可以分为网络攻击与网络侦查两种。网络攻击是指黑客采取各种信息手段有选择性地对目标信息进行破坏,从而会影响计算机用户的正常工作。网络侦察是指黑客利用技术,对目标计算机的信息进行截取、窃取及破译,从而获得计算机用户的重要信息。例如美国五角大楼的计算机网络曾经遭到不法分子的网络侦察。
2.3计算机网络本身存在漏洞
目前,计算机的网络系统虽然在不断完善,但是仍然存在一些漏洞,例如计算机配置不合理、网络技术存在漏洞等。这些问题的存在也容易导致计算机网络信息被不法分子窃取。在计算机的运行过程中,网络运行的速度很大程度上受一文件服务器的配置与网卡的配置影响,当计算机的稳定性无法保证时,网络系统的质量也就无法保证,这样计算机存储的信息数据资源很容易丢失。另外,在这种情况下,计算机很容易受到网络攻击。现在的计算机网络的操作系统和各种应用软件都会存在一些漏洞,这些漏洞的存在为计算机病毒或木马等恶意程序入侵计算机提供了便利,也降低了计算机网络的安全性。
3、强化计算机网络信息管理及安全防护有效措施
结合前文的分析可知,我国计算机网络信息的管理中还存在一些不足,为了提升计算机网络信息的管理水平,保护计算机用户的信息,必须加强对计算机网络信息的防护工作力度。
3.1安装并及时升级网络安全防护软件
伴随着计算机信息技术快速发展,计算机病毒等恶意程序也应运而生。这些恶意程序的存在必然会影响到其他计算机的正常运行。计算机病毒或木马程序的传播速度很快,如果计算机系统内本身存在漏洞,极容易受到这些恶意程序的攻击。这些恶意程序主要是通过复制、传送数据包以及运行程序等方式进行传播。为了降低计算机受到恶意程序入侵的风险,计算机用户必须安装网络安全防护软件,保障计算机内的信息安全。同时,由于恶意程序有不断发展变化的特点,要想提升防护软件抵御恶意程序攻击的水平,必须对及时更新网络安全防护软件。而我们现在使用的网络安全防护系统主要是杀毒软件、网络或者硬件的防火墙等,这些防护软件可以是一些非法用户无法访问网络的内部资源,并通过采集最新的病毒特征码,随时对计算机和网络进行检测是否受到病毒或木马程序的威胁。一旦检测出计算机收到恶意程序的威胁,将会对这些恶意程序进行清除。为了确保计算机网络信息的安全,计算机用户必须安装网络安全防护软件,并定期对计算机进行安全检测。
3.2防范黑客攻击以提高计算机网络安全
防御黑客的攻击是世界性的研究课题。黑客一般具备很高的计算机操作水平,黑客攻击会给计算机用户造成比较大的损失。为了保障计算机网络信息的安全,计算机用户必须做好对黑客攻击的防范工作。计算机用户可以对计算机内的重要信息数据进行备份,避免计算机受到黑客攻击后,丢失重要数据信息。同时,计算机用户要提前做好安全防护工作,加大计算机重要信息的保密强度,通过安装难以破译的安全防护程序及警报程序来预防黑客攻击。通过这些措施能够降低黑客攻击造成的损失。
3.3不断提高计算机配置和及时升级网络操作系统
在不断的使用过程中,很多计算机会出现配置不合理或者落后的问题,网络操作系统的漏洞也会不断出现,这些问题都会影响到计算机网络信息的安全。计算机用户必须优化计算机的配置,并对计算机网络操作系统进行升级。特别是计算机网络的服务器、工作站以及各种网络设备等都应当及时进行升级并对漏洞及时进行修补。通过对计算机系统的升级,能够有效提升整个计算机的安全防护能力,从而预防网络恶意程序和黑客的攻击。
信息安全管理策略篇6
关键词:电子政务信息安全风险管理问题解决策略
所谓电子政务,是指政府部门运用信息与网络技术,通过在网络上搭建信息管理平台来进行办公决策、实施监督管理和提供公共服务的新型行政运作模式,这种高效、规范、透明的运作模式不但实现了政府内部管理结构和工作流程的重组优化,而且也便于政府与外部的低成本沟通,从而极大地提高了政府行政能力与效率。随着网络经济与信息技术的高速发展,电子政务在短短数年间就凭借其高效、规范、透明的运作特点得到了政府部门的广泛认同和积极应用。
一、电子政务建设中信息安全问题
(一)信息安全意识淡薄
自1999年政府上网工程启动以来,政府部门越来越重视网络系统建设,看重网络带来的便利与高效,但有些地方对信息安全工作仍未引起足够重视。据统计,我国在网络工程中网络安全的投入费用不到2%,同国外的10%相比有较大差距。现阶段,电子政务网络的开放程度不高,一些机密信息目前还没有上网,加之公众对计算机犯罪的态度较为“宽容”,认为并没有造成直接的人员财产损失,这都使得公务员和普通大众对信息安全问题关注不够,信息安全意识淡薄。
(二)电子政务信息安全管理较欠缺
缺乏一个国家层面上的整体策略,政策的执行和监督力度不够。部分规定过分强调部门的自身特点,而忽略了在国际政治经济的大环境下体现中国的特色。部分规定没有准确的区分技术、管理和法制之间的关系,以管代法,用行政管技术的做法仍较普遍,造成制度的可操作性较差。
(三)电子政务安全管理水平和社会化服务的程度比较低
近年来,各级政府对信息网络安全管理工作的重视程度普遍提高,2004年全国网络安全状况调查报告显示,80%的被调查政府机关有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。但是,被调查单位也普遍反映用户安全观念薄弱、安全管理人员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,这也说明目前安全管理水平和社会化服务的程度还比较低。
二、电子政务信息安全的管理策略
(一)建立电子政务信息安全管理机构
首先,政府部门要严格按照《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络安全保护管理办法的规定》,在国家安全部,国家保密局,国务院有关部门及各省、市、自治区公安厅(局),地(市)、县(市)公安局负责计算机网络信息系统安全保护的行政管理下,建立本单位、本部门、本系统的组织领导管理机构,明确领导及工作人员责任,制定管理岗位责任制及有关措施,严格内部安全管理机制,并对破坏电子政务信息安全的事件进行调查和处理,确保网络信息的安全。其次,要注重网上警察队伍建设,加大监视和打击网络犯罪活动的力度。我国于1983年成立了公安部计算机管理和监察局,1985年全国人大通过了警察法,其目的就是监督计算机信息系统安全保护工作。1998年又成立了公安部公共信息网络安全监察局,并逐步形成了一支网上警察队伍。
(二)访问控制
访问控制规定了主体对客体访问的限制,客体指系统的资源,主体指访问资源的用户。网络信息系统是共享资源集中存在的地方,访问控制是保障信息私密性的重要保证。访问控制与用户身份认证密切相关,确定该合法用户在系统中对哪类信息有什么样的访问权限。在操作系统和数据库系统中规定了访问控制的权限,如规定文件建立者具有可读、写、修改或执行的权限。对于高安全等级操作系统除了自主访问控制的权限外,还规定了强制访问控制权限,分配给用户一个安全属性,强制性地规定了该属性下可以做的事情,如低安全级别不能访问高安全级别的信息,不同组别间的信息用户不能互访等等。强制性访问控制引入了安全管理员的机制,增加了安全保护,可防止用户无意或有意地使用自主访问的权利。
(三)通过多种途径,强化网站的监管力度
我国政府高度重视网络监管工作,已经陆续颁布了《互联网信息服务管理办法》等一系列的法规,实际的监管工作也由各个职能部门在具体展开。中国信息产业部专门成立了中国网络安全管理中心。这说明我国的网络监管力度正在不断加大。为进一步搞好网络监管工作,党政机关和重点企事业单位应做好电子信息安全保卫工作,内部电脑一律不得与外界有任何形式的联网,以防止敌对势力入侵破坏。有关部门要加强对入网用户身份的检查,对因工作岗位调换的用户要及时更改其网络使用权限,对不具备再次使用网络资源的用户身份要及时地予以删除,防止信息资源的非法外泄,确保电子政务体系为政府的行政管理工作提供高效安全的服务。政府网站及其工作人员自身首先要增强政治坚定性和敏锐性,不在网上散布、传播虚假的、有损党和政府形象和声誉的信息,不误导民众。其次,对于某些网站无中生有、造谣生事,蓄意散布和传播反对社会主义制度,攻击党和政府的有害信息言论,要进行严正地批驳,并向政府网络监管部门举报。
三、结束语
综上所述,电子政务信息安全的风险管理是一个系统的工程,必须将各种安全技术结合在一起才能生成一个高效通用安全的网络系统。但由于科技的进步系统中的安全隐也在不断提高,因此我们对安全的概念要不断地扩展,这就有大量的工作需要我们去研究开发和探索,以此才能保证我国政务信息的安全,推动我国国民经济的高速发展。
参考文献:
[1]王艳.电子政务信息安全的管理问题及解决策略[J].淮海工学院学报(社会科学版),2011,(02)
[2]高松林,向洪,皮章,袁莉.对电子政务信息安全管理的思考[J].秘书之友,2010,(10).
信息安全管理策略篇7
关键词:信息网络;安全问题;安全缺陷;原因分析;
中图分类号:tU714文献标识码:a
前言:
近年来,随着信息技术的发展,现如今信息网络已经成为了人们工作和生活也是不可缺少的一部分,人们对于信息网络系统的需求和以来的程度也在不断的增加。但是随之增加的就是信息网络安全也得到了一定的威胁,计算机病毒无处不在,黑客的侵入、internet的开放性及其其他的原因导致网络环境之下的计算机系统存在着很多的安全隐患,不论是外部还是内部的信息网络都遇到了众多网络安全问题的威胁。因此,分析影响信息网络安全的原因,提出保障信息网络安全的相关对策变得十分重要。
1、信息网络常见安全问题
1.1自然灾害
和一般的电子系统一样,信息网络喜用也是一种电子线路,信息网络实际上就是一种电信号,温度、湿度、振动和污染等各个方面的异常因素都有可能会影响网络的正常运行。例如:网络中心若无较为完善的防震、防火、防水、避雷、防电磁泄漏或干扰等设施,抵御自然灾害和意外事故的能力就会很差;强烈噪音和电磁辐射,譬如雷电、高压输电等,也会导致网络信噪比下降,误码率增加,威胁到信息网络安全。
1.2网络管理人员的安全意识不够强
当前,我国计算机网络系统的安全管理人员是整个网络系统安全管理工作的主要执行者与参与者,他们能否做好计算机网络信息安全管理工作,是直接关系到网络信息安全与否的关键因素之一。但是,就目前来看,我国计算机网络人员的安全意识并不是很强烈,其安全技能并不够高,职业素养整体上来说较低,对于网络信息的安全性与有可能造成的危害或损失都缺乏一定的认识,并没有能够真正做到面临安全威胁时采取及时的补救措施。此外,还有由于用户操作失误,人为恶意攻击,计算机病毒,计算机犯罪,间谍软件以及垃圾邮件等造成
的威胁。
1.3病毒攻击
计算机病毒属于一种恶意指令和破坏代码,病毒编制人员将计算机病毒插入到计算机程序中,目的是破坏计算机内部存储的数据并导致数据泄露,严重的会导致计算机硬件也被破坏。具有自我复制性、寄生性、潜伏性、破坏性和触发性。病毒的传播途径非常广泛,但主要途径为程序复制、程序在运行过程中传播、计算机数据包收发产生。
1.4黑客攻击
黑客攻击一般情况就是分为网络侦查和网络攻击两种,网络侦查就是指黑客以某个或者某些计算机为攻击的目标,然后截取和窃取目标计算机的重要信息,所以这种黑客攻击并不会影响正常的网络工作;网络攻击则是指黑客使用各种手段选择性的攻击计算机网络信息的有效性,导致网络信息安全大量泄漏和数据丢失。
1.5邮件攻击
电子邮件炸弹是最古老的一种攻击的方式,通过设置一台及其而不断的向同一个地址发送电子邮件,攻击的人可以耗尽接受人员的网络,占据堆放的油箱空间,组织了用户对正常邮件的接受,妨碍了计算机的正常工作。
2、信息网络安全缺陷的原因分析
2.1网络系统的脆弱性
internet技术的最显著的有点就是具有开放性,其所依赖的tCp/ip协议是公布于众的,它对网络的安全性考虑得并不多,本身安全性不高,因而运行该协议的网络系统就存在欺骗攻
击、拒绝服务、数据截取和数据篡改等威胁。如果人们对tCp/ip协议很熟悉,就可以利用它的安全缺陷来实施信息网络攻击。
2.2网络结构的不安全性
因特网是一种网间网技术,它主要就是由无数个局域网所连接而成的一个网络。当人们的一台主机和另一局域网的主机相互通信的时候,一般情况下他们之间相互传送的数据流主要可以经过多台机器进行转发,如果攻击的人员利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包,对信息网络的安全造成威胁。
2.3人为的恶意攻击
这中攻击是当前计算机网络面临的最大的威胁,恶意攻击又可以分为主动攻击和被动攻击两种。主动攻击是以各种各样的方式有选择性的破坏信息的有效性和完整性。被动攻击是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。现在使用的网络软件或多或少存在一定的缺陷和漏洞,给网络黑客们以可趁之机修改和破坏信息网络的正常
使用状态,造成数据丢失或系统瘫痪。
3、信息网络安全防护策略
3.1加强物理环境的建设和治理
要想全面保证信息网络系统的安全和可靠,那么就必须要全面保证系统有个安全的物理环境的条件。信息系统的安全环境条件主要包括温度、湿度、振动、冲击和电气干扰等各个方面,具有很具体的要求和严格的标准。因此,为信息系统选择一个合适的安装场所具有重要的意义,它直接影响到系统的安全和可靠性。选择机房场地要注意其外部环境的安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。
3.2对管理员的账户进行更换
计算机系统内的管理员的账户拥有的权限是最高的,如果账户被人盗取或者利用,那么造成的结果就是很难以控制的。当黑客侵入的时候通常是盗取管理人员的账户秘密,这就要求计算机用户要及时的配置管理人员的账号。对于管理人员来说,可以设备一个相对于复杂的密码,然后在对管理人员的账号进行重命名,然后再创建一个没有实际权限的账户来迷惑入侵者,这样入侵者就很难辨认出到底哪个是真正的管理者账户,这就就会大大降低网络信息被窃取的可能性。
3.3网络防火墙
防火墙可以控制网络之间的访问量,防火墙的工作内容就是监控并且审计网络存取及访问;过滤一些不安全的信息,合理的划分整个网络资源,以隔离内部网络的重要网段从而避免个别不安全因素对整个网络的影响。它能够控制外部网络对内部网络的访问和内部网络访问外部网络时可能触及的不安全信息实施控制。
3.4建立系统容灾体系
一个完整的信息网络安全体系,还必须要具有灾难容忍和系统恢复的能力。现阶段来说,主要有基于数据备份和基于系统容错的系统容灾技术。数据容灾通过ip容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关
键数据。二者通过ip相连,构成完整的数据容灾系统,也能提供数据库容灾功能。
3.5实施入侵检测和网络监控
应用入侵检测系统的时候可以提供实时的入侵的检测。实时入侵检测能力指所以重要是因为首先它能够对付来自于内外网络的供给,其次它能够有效的减少黑客入侵的时间。如果在需要保护的主机网段上安装入侵检测的系统,那么就可以实时监视各种对于主机的访问请求并及时将信息反馈给控制台,这样网内任何一台主机受到攻击时系统都可以及时发现。
4、结束语
信息网络安全是一个不断变化快速更新的领域。随着信息技术的不断发展,过去有效的信息网络安全策略很有可能对当前的问题没有任何的解决的措施,这就一味着单纯的使用某一种防护措施是很难以保证信息网络安全。因此,我们必须要综合运用各种防护的策略,相互配合,通过不断的改进和学习来努力营造安全的网络环境,逐步建立起更好的信息网络安全防
护体系。
参考文献:
[1]邢露,张棋.计算机网络信息安全与病毒防治[J].河南科技,2011,(1):63.
[2]孙丽玲,唐杰,段义勇.信息网络安全及防护策略浅谈[J].网络安全技术与应用,2014,01:152-153.
信息安全管理策略篇8
1.移动网络信息安全管理的特征体现以及主要内容
1.1移动网络信息安全管理的特征体现分析
移动网络信息的安全管理过程中,有着鲜明特征体现,其中在网络信息安全管理的动态化特征山比较突出。在信息网络的不断发展过程中,对信息安全管理的动态化实施就比较重要。由于网络的更新换代比较快,这就必须在信息安全管理上形成动态化的管理。
移动网络信息安全管理的相对化特征上也比较突出,对移动网络的信息安全管理没有绝对可靠的安全管理措施。通过相应的方法手段应用,能有助于对移动网络的信息安全管理的效率提高,在保障性方面能加强,但是不能完善保障信息的安全性。所以在信息安全管理的相对性特征上比较突出。
另外,移动网络信息的安全管理天然化以及周期性的特征上也比较突出。移动网络的系统应用中并不是完美的,在受到多方面因素的影响下,就会存在着自然灾害以及错误操作的因素影响,这就对信息安全的管理有着很大威胁。需要对移动网络系统做好更新管理的准备,保障管理工作能够顺利进行。在对系统建设的工作实施上有着周期化特征。
1.2移动网络信息安全管理的主要内容分析
加强对移动网络信息的安全管理,就要能充分重视其内容的良好保证,在信息的安全保障上主要涉及到管理方法以及技术应用和法律规范这三个内容。在对移动网络信息的安全管理中,需要员工在信息安全的意识上能加强,在信息安全管理的水平上要能有效提高,在对风险抵御的能力上不断加强。将移动网络信息安全管理的基础性工作能得以有效加强,在服务水平上能有效提高。然后在对移动网络信息安全的管理体系方面进行有效优化,在信息安全管理能力上进行有效提高,对风险评估的工作能妥善实施,这些都是网络信息安全管理的重要内容。
2.移动网络信息安全管理问题和应对策略
2.1移动网络信息安全管理问题分析
移动网络信息安全管理工作中,会遇到各种各样的问题,网络的自主核心技术的缺乏,就会带来黑客的攻击问题。我国在移动网络的建设过程中,由于在自主核心技术方面比较缺乏,在网络应用的软硬件等都是进口的,所以在系统中就会存在着一些漏洞。黑客会利用这些系统漏洞对网络发起攻击,在信息安全方面受到很大的威胁。
再者,移动网络的开放性特征,也使得在具体的网络应用过程中,在网系的渗透攻击问题比较突出。在网络技术标准以及平台的应用下,由于网络渗透因素的影响,就比较容易出现黑客攻击以及恶意软件的攻击等问题,这就对移动网络信息的安全性带来很大威胁。具体的移动网络物理管理和环境的安全管理工作上没有明确职责,在运营管理方面没有加强,对网络访问控制方面没有加强。以及在网络系统的开发维护方面还存在着诸多安全风险。
2.2移动网络信息安全管理优化策略
加强移动网络信息安全管理,就要能充分重视从技术层面进行加强和完善。移动网络企业要走自力更生和研发的道路,在移动网络的核心技术以及系统的研发进程上要能加强。对移动网络信息的安全隐患方面要能及时性的消除,将移动网络安全防护的能力有效提高。还要能充分重视对移动网络安全风险的评估妥善实施,构建有效完善的信息系统安全风险评估制度,对潜在的安全威胁加强防御。
再者,对移动网络安全监测预警机制要完善建立。保障移动网络信息的安全性,就要能注重对移动网络信息流量以及用户操作和软硬件设备的实时监测。在出现异常的情况下能够及时性的警报。在具体的措施实施上来看,就要能充分重视漏洞扫描技术的应用,对移动网络系统中的软硬件漏洞及时性查找,结合实际的问题来探究针对性的解决方案。对病毒的监测技术加以应用,这就需要对杀毒软件以及防毒软件进行安装,对网络病毒及时性的查杀。
将入侵检测技术应用在移动网络信息安全管理中去。加强对入侵检测技术的应用,对可能存在安全隐患的文件进行扫描,及时性的防治安全文件和病毒的侵害。在内容检查工作上也要能有效实施,这就需要在网络信息流的内容上能及时性查杀,对发生泄密以及窃密等问题及时性的报警等。这样对移动网络信息的安全性保障也有着积极作用。
另外,为能保障移动网络信息的安全性,就要充分注重移动网络应急机制的完善建立,对网络灾难恢复方案完善制定。在网络遭到了攻击后,能够及时性的分析原因,采取针对性的方法加以应对。这就需要能够部署ipS入侵防护系统进行应用,以及对运用蜜罐技术对移动网络信息安全进行保障。
3.结语
信息安全管理策略篇9
关键词:电力信息化;信息安全;存在问题;防护对策
一、电力系统计算机网络安全概况分析
随着internet的迅速发展,计算机网络已广泛应用于电力系统的各个方面,电力系统信息安全问题已威胁到电力系统的安全、稳定、经济、优质运行,影响着数字电力系统的实现进程。电力企业信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化.继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等有关生产经营和管理方面的多领域,复杂的大型系统工程。结合电力工业特点,分析电力企业信息安全存在的问题,对网络安全做统一长远的规划,是当前电力企业信息化工作的重要内容。
二、电力系统信息网络安全存在的问题
1.物理安全因素
由于信息系统的脆弱性,网络线缆和通讯媒介等网络通信设施都可能因为地震、电磁场、雷电等环境因素以及其他人为因素而发生物理损坏,导致网络出现故障,从而造成数据在传输的过程中出现乱码、丢包等信息失真现象。来自于各种自然灾害、恶劣场地环境、电磁辐射、电磁干扰、网络设备老化等自然威胁是不可预测的,会直接影响企业信息的安全。
2.网络信息安全意识不强
目前,企业中大量员工对网络信息安全认识不足。如用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人,或与别人共享信息资源,内部人员的误操作等等都会对网络安全带来威胁。
3.人为的恶意攻击
人为的恶意攻击可以分为以下两种:一种是主动攻击,攻击者通过攻击系统的要害或弱点,破坏企业信息系统,如篡改、删除商务信息流的内容等,它以各种方式有选择地破坏信息的机密性、可用性和完整性,给企业造成不可估量的损失;另一类是被动攻击,它是在不影响网络正常工作的情况下,监听网络上传递的信息流,从而获得信息的内容,造成企业内部信息外泄。这两种攻击均可对计算机网络造成直接的极大危害,并导致企业机密数据的泄漏和丢失。
4.操作系统和应用软件的漏洞
以微软windows为代表的各种操作系统不断地被发现漏洞,通常在漏洞被披露的1—2周之内,相应的蠕虫病毒就产生了,这对安全补丁工作提出了极大的要求,在目前企业安全人员严重不足的情况下,在短时间内完成成百上千台计算机丰Ft的部署将会带来巨大的工作量,另外,软件存在“后门”,这些“后门”本来是软件公司的设计编程人员为了以后软件扩展和维护而设置的,一般不为外所知,但—旦“后门”洞汛就会成为攻击者攻击网络系统的捷径。
5.企业网络边界扩展带来的威胁
随着电力企业的不断发展壮大,逐渐形成了企业本部、异地分支机构、移动办公人员这样的新型互动运营模式。怎样处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中需要及时解决的问题。同时异地分支机构、移动办公人员与总部之间的有线和无线网络连接安全直接影响着企业的运行效率。
三、电力企业信息安全的必要性
电力企业作为关乎国计民生的基础行业,随着SG186工程的全面投入运行,企业内部各业务数据已基本在网络流转,一旦出现信息泄密或篡改数据的情况,将为国家造成难以估量的损失。根据相关数据显示目前国网公司主机设备5万余台,应用系统上千套,内外网终端计算机40多万台(内网30多万台、外网8万台),内网注册用户69万余人可以说是一个非常庞大的信息网络,同时拥有200多个外网入口,40多个内外网边界,据不完全统计每天遭受恶意试探式攻击6万余次,平均5分钟遭受一次攻击。如此庞大的信息网络,如此高频率的攻击现状,可以说电力企业信息安全的局势严峻,信息安全防范已成重中之重。
四、加强电力系统网络安全的措施
1.重视安全规划
企业网络安全规划的目的就是要对网络的安全问题有一个全面的思考,要以系统的观点去考虑安全问题。要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系。
2.合理划分安全域
电力企业是完全实行物理隔离的企业网络,在内网上仍然要合理划分安全域。要根据整体的安全规划和信息安全密级,从逻辑上划分核心重点防范区域、一般防范区域和开放区域,并采用严格的访问控制策略。重点防范的区域是网络安全的核心,这部分区域是一般用户不能直接访问的区域,有很高的安全级别。各种重要数据、服务器、数据库服务器应当放置在该区域,各种应用系统、oa系统等在该区域运行。
3.加强安全管理
①建立内网的统一认证系统。认证是网络信息安全的关键技术之一,其目的是实现身份鉴别服务、访问控制服务、机密和不可否认服务等。登陆到有重要权限的iD要用U盾。
②建立防护体系。在企业网络上安装防病毒体系。防病毒软件系统要具有远程安装、远程报警、集中管理等多种功能。其次,要建立防病毒的管理制度。不能随意将互联网上下载的数据往内网主机上拷贝,来历不明的移动存储设备不能随意在联网计算机上使用,职员应熟练掌握发现病毒后的处置办法。
4.重视网络管理制度建设
①领导应当高度重视网络信息安全问题。企业领导要高度重视安全管理和安全制度的建设问题,不能把安全管理和制度建设看成是技术部门的事。企业应当成立信息安全领导小组,由分管领导抓网络安全工作,并明确其职责和工作制度。要制订安全事故处理程序、应急计划等。
②加强基础设施和运行环境的管理建设。企业网络的管理的机房、配电房等计算机系统重要基础设施应严格管理,配备防盗、防火、防水等设施,应当安装监控系统、监控报警装置等。建立严格的设备运行日志,记录设备运行状况。要规范操作规程,确保计算机系统的安全、可靠运行。
③建立必要的安全管理制度。企业网络的中心机房和各业务部门计算机系统都要建立计算机系统使用管理制度,网络系统管理员、安全员、各业务部门主管和计算机操作人员的计算机密码管理规定等内控管理制度,对应用系统重要数据的修改要经过授权并由专人负责,登记日志。建立健全数据备份制度,核心程序及数据要严格保密,实行专人保管。
④制度的定期督导检查。管理制度具有严肃性、权威性、强制性,管理制度一旦形成,就要严格执行。企业应组织有关人员对管理制度进行定期督导检查,保证制度的落实。
总结:随着通信与信息产业的高速发展,各种业务及管理信息的网络化已成为可能,但实现网络化的同时,信息的安全性也面临着巨大的挑战。信息安全的重要性在于成本和时限的控制,对于花费比所得信息更大的成本、承担更大风险的信息窃密,其得到相关信息也是不划算的。再重要的信息如果过了安全保密时限,即使被恶意获取其损失也是微不足道的。综上所述,建立网络及系统安全风险评估机制,及时调整结构、加固主机、清理边界,制定详实的安全防护策略,才能形成信息安全管理的最终一体化解决方案,以适应电力企业信息网络化的要求。
参考文献:
[1]万平国,网络隔离与网闸,计算机安全,2004,07
[2]王宏伟.网络安全威胁与对策.应用技术.2006.05
信息安全管理策略篇10
关键词:信息系统开发;安全策略;网络技术
中图分类号:tp399文献标识码:a文章编号:1007-9599(2012)02-0000-02
analysisofSecuritypolicyofinformationSystemsDevelopment
LingBin1,wangDonghong1,ChiYan2
(1.northeastForestryUniversity,Harbin150040,China;2.HeilongjiangUniversityofChinesemedicine,Harbin150040,China)
abstract:alongwithourcountrytotheapplicationofcomputernetworktechnologyandthedeepeningofinformationsystem.hasgraduallybecometheplanningconstructionandmanagementprocessisthemostimportantoneofsystems.andthesystemtohavestrictsecurityrequirements.securitygoalisveryclear.Basedontheinformationsystemtoconductacomprehensivesafetymanagementandconstructionsafetyplan.cansatisfythemanagementandtechnologyofdoublesecurityneeds.therefore.howtheinformationsystemdevelopmentprocessofapplicationsecuritystrategy.inordertoimprovetheinformationsystemfortheoverallsafetyperformancealsograduallybecomeinformationsystemdevelopersandbuildersfocus.inthispaper,theinformationsystemdevelopmentprocessofthesafetyplanningandbuildingconstructionsafetymanagementareanalyzed.presentspracticalinformationsystemsecuritystrategy.
Keywords:informationsystemdevelopment;Securitystrategy;networktechnology
现阶段,计算机网络技术已经在设计、科研、生产和办公能方面得到了较为广泛的应用,且发挥出了越来越重要的作用。计算机网络技术中,信息系统的广泛应用给人们的工作和生活带来了极大的便利,但与此同时,也对其保密性和安全性提出了较大的挑战,如何提高信息系统的安全性也成为了信息系统开发者工作的重点。在信息系统的规划建设过程中,建设前的安全规划与实施后持续、完善的安全管理都是提高信息系统安全性较为有效的措施。
一、信息系统的建设安全规划
信息系统中的建设安全规划应主要体现在数据安全、运行安全、系统安全和物理安全这四个方面。
第一,数据安全,即在信息系统使用过程中,尤其是传输数据时,要通过适当的密码措施来对数据的安全性进行保护,防止数据泄露问题发生。在数据加密后,即使数据在传输过程中被截获或是入侵,由于截获的是密文,所获信息也是无效的。
第二,运行安全。要恰当处理信息系统应用所面对的安全问题,在系统开发时应采取病毒防护、身份鉴别、安全审计、漏洞扫描、入侵检测、防火墙等保护措施。防火墙能够在网络的出口部位对网络通讯的安全性进行检查,按照安全规则的要求,信息系统不仅要确保内部的安全性,还要保证系统外部的安全性,将网络的外部与内部相隔离,从而提高整个系统的安全性。通过设置与防火墙相关联的病毒入侵检测系统,能够对信息数据进行实时保护,对进出系统的数据都要进行实时分析,及时发现并阻断外界的攻击,从而降低网络隐患。漏洞扫描系统能够对口令/账号、服务器主机、网络系统等存在的威胁、漏洞和安全隐患进行扫描和报告,并及时地采取主动的安全措施和补救行动,从而提高系统安全性。安全审计系统能够对使用信息系统的所有用户的活动进行监控和数据收集,供系统管理者审查用,从而提高系统的管理效率。身份鉴别系统是安全系统的关键部分,能够对用户是否合法进行主动的判断,且口令与智能卡相结合的鉴别方法能够大大提高系统安全性,也便于应用。为应对计算机病毒问题,信息系统还应设计病毒防护措施,实时监控病毒的攻击和入侵情况,对整个系统进行全面的监控,但要注意在使用时要及时更新病毒信息,定时对计算机运行环境进行检测。
第三,系统安全,主要包括应用系统与操作系统的安全性。在选择应用系统时,要对定制软件和通用软件都进行风险检测,及时发现和处理系统中存在的问题和安全隐患。而对于操作系统,则要选用具有较高安全性的系统,同时进行必要的安全设置。
第四,物理安全,这一部分是保证整个系统安全性的基础,因而要符合国家的相关规定。首先该系统要满足防静电、防雷、温湿度、配电、布线、电力、防震、防水、防火、场地等的要求。其次,要保证整个系统能够安全使用,且符合国家相关标准。最后,还要保证该系统所使用的安全设施,必须是符合国家标准的设备,并具有国家保密部门的审批合格证明。
二、系统的安全管理
安全的系统管理能够为信息系统的安全有效运行提供保障,也是系统安全运行的基础,要提高信息系统的安全性,保障其顺利稳健的运行,在管理和设计方面应做到以下几点:
(一)人员管理
人员管理主要涉及外部人员的管理和内部人员的管理两个部分,系统内部的操作使用者和管理者是造成信息系统安全隐患的关键因素,因此,在选择内部管理人员时,必须要对其职业道德、政治思想状况、社会关系、个人经历等进行核查,保证系统人员的可靠性和安全性。同时,还要使其明确工作职责,在进行系统操作时按照职责要求进行。除此之外,还要对系统操作者和使用者的安全知识和安全意识进行培训,如退出和登录等基本操作的规范化和保密意识的培养等。对于系统管理者来说,其所掌握的安全知识和相应的安全管理水平要更加完善,包括对于违法入侵的防范和鉴别能力、系统的管理和维护能力等。外部人员指能够进入该系统进行服务和维修的人员,对于这部分人员的管理包括旁站陪同控制、携带物品限制、安全控制区域隔离、保密要求知会等几方面。
(二)安全管理制度的制定
系统安全策略和安全管理制度的制定能够提高系统运行的可靠性和安全性。安全管理制度主要包括:人员安全管理、应急响应措施、安全审计管理、开发与运行管理、恢复与备份管理、恶意代码防护措施、病毒防护措施、移动设备管理措施和运行环境管理措施等。系统安全策略主要包括:应急响应策略、保护信息完整性策略、系统安全管理策略、系统安全检测策略、运行管理策略、身份鉴别策略、恶意代码防护策略、病毒防护策略、恢复与备份策略和安全审计策略等。
(三)设置安全管理机构
安全管理机构的设置目的主要在于:第一,对信息系统的保密性和安全性进行定期的检测和提升。第二,安全保密措施的制定和实施管理。第三,制定和实施信息系统的安全策略和保密管理制度,主要包括管理策略和技术策略两部分。
三、总结
综上所述,信息系统通常主要由网络通信、共享服务和应用操作三个基本部分组成,全过程的网络通信保护系统、资源共享的边界保护和可靠的操作应用平台,三方面共同组成了具有固定工作和使用流程的生产和信息管理系统,能为信息的安全性提供充分的保障。在今后的信息系统开发中,还可在检测引擎中适当加入检测隐通道,从而避免信息生产系统存在隐蔽通道的问题,这也是今后信息系统开发工作的重点内容。
参考文献:
[1]闫树.信息系统的安全策略及若干技术研究[D].武汉理工大学硕士学位论文,2009
[2]薛丽.综合信息管理系统中的安全策略及其应用研究[D].大连理工大学硕士学位论文,2008