序論:在您撰寫信息安全管理論文時����,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的1篇范文��,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度���。
信息安全管理論文:數(shù)字化檔案信息安全管理策略
1數(shù)字化檔案相關介紹
數(shù)字化檔案是檔案與現(xiàn)代化的技術有機結合的新型檔案信息形態(tài)���,將檔案信息轉化成數(shù)字信息,應用現(xiàn)代化技術的便捷性��,將檔案信息進行歸檔���、利用以及資源共享等。這里所說的現(xiàn)代化技術主要包括計算機技術����、掃描技術、OCR技術���、數(shù)字攝影技術�����、數(shù)據(jù)庫技術�����、多媒體技術����、存儲技術等。
2數(shù)字檔案信息安全問題相關分析
對于檔案信息本身來說����,無論是傳統(tǒng)的檔案存儲,還是現(xiàn)代化的數(shù)字檔案���,安全問題都是首要問題����。由于現(xiàn)代化的數(shù)字檔案是傳統(tǒng)檔案與現(xiàn)代化技術的結合�,所以影響檔案信息安全問題的因素較多,這些因素的出現(xiàn)�����,對數(shù)字化檔案信息安全造成了不同程度的影響����。以下是對數(shù)字檔案信息安全問題的具體分析。
2.1數(shù)字檔案信息的安全管理�。
檔案信息安全管理問題是決定數(shù)字檔案信息安全的直接因素���。如果安全管理方面存在缺陷,例如制度的不完善�、標準不統(tǒng)一、管理措施無效等�����,必然會失去數(shù)字檔案信息的基本保障��。所謂的數(shù)字檔案信息安全管理主要包括管理制度�����、標準�����、管理措施���,不僅如此還包括數(shù)字檔案信息歸檔流程等,相關流程不規(guī)范也會使數(shù)字檔案信息安全問題受到威脅���。
2.2計算機故障問題�����。
由于數(shù)字檔案信息的歸檔及利用均以計算機為載體�,所以計算機本身的不確定因素會影響數(shù)字檔案信息安全問題,其中計算機故障問題是影響數(shù)字檔案信息安全的主要問題��,其中計算機故障又包括硬件故障與軟件故障����。以下是對兩種故障的具體分析。
2.2.1硬件故障�。
計算機硬件條件良好時數(shù)字檔案信息安全問題的基本保障,當計算機硬件發(fā)生故障時��,數(shù)字檔案信息的存儲����、查詢、利用等就會受到較大的影響�����,其在一定程度上導致檔案信息的丟失或損害�,影響了檔案信息的完整程度,大大降低了數(shù)字檔案的使用質量與效率,為使用者造成較大的不便���。
2.2.2軟件故障�����。
計算機的軟件是處理數(shù)字檔案信息的必要條件�����,一旦計算機軟件出現(xiàn)故障亦或是性能無法滿足現(xiàn)階段數(shù)字化檔案信息系統(tǒng)的要求�����,檔案信息的處理能力就會大大下降�,工作質量與效率也會隨之下降�����,而數(shù)字化檔案信息本身也無法發(fā)揮最大作用����。計算機軟件故障直接影響數(shù)字化檔案信息系統(tǒng)的操作�,但是與計算機硬件故障相比較,其發(fā)生故障的幾率較小。
3探究數(shù)字化檔案信息安全管理相關策略
前文已述�����,管理問題直接影響著數(shù)字化檔案信息安全�����,故而要確保檔案信息的安全����,首先要從管理策略方面抓起。以下是對數(shù)字化檔案信息安全管理相關策略的具體分析�����。
3.1加強數(shù)字化檔案宏觀管理��。
加強數(shù)字化檔案的宏觀管理檔案數(shù)字化工作是一項技術性���、專業(yè)性��、綜合性很強的工作��,必須加強領導�,統(tǒng)一思想,建立健全組織機構�����,比如建立專門的檔案數(shù)字化���、信息化�����、網(wǎng)絡化協(xié)調(diào)組織機構���,組織國家檔案信息網(wǎng)絡的總體設計與技術攻關,加強檔案信息網(wǎng)絡一體化的宏觀管理�。檔案數(shù)字化工作要納入科學管理體制,作為機關管理工作的一部分����,制定相應的工作分工范圍及管理權限。
3.2完善相關管理制度�。
在完善管理制度時���,要綜合考慮各種因素對數(shù)字化檔案信息安全的影響�����。在人員安全管理方面��,要設立具體的安全審查制度�、崗位安全考核制度、安全培訓制度等�。對已經(jīng)存儲的數(shù)字信息均應進行密級分類,對敏感信息與機密信息應當加密并脫機存儲在安全的環(huán)境中��,防止信息被竊聽�����、變更與毀壞����。在系統(tǒng)安全運行方面,要做好機房出入控制���、環(huán)境條件保障管理�、自然災害防護�����、防護設施管理、電磁波與磁場防護等工作��。設立操作安全管理�����、操作權限管理��、操作規(guī)范管理����、操作責任管理、操作監(jiān)督管理�����、操作恢復管理����、應用系備份管理、應用軟件維護安全管理等制度���。從技術上防止文件被人為地修改�����,增強電子文件的憑證性和可靠性�����。
3.3計算機安全管理����。
由于計算機故障對數(shù)字化檔案信息安全造成較大的損害����,所以要做好計算機安全管理工作。應根據(jù)數(shù)字化檔案信息系統(tǒng)的實際情況選擇性能良好的的計算機硬件和軟件���。在選擇計算機硬件和軟件的過程中應注重計算機的品牌和服務器�����,全面對計算機硬件的兼容性和可擴展性進行一定的審核��,這樣做的目的是為了避免當計算機系統(tǒng)在升級時數(shù)字化檔案信息的相關數(shù)據(jù)丟失�����。不僅如此����,還要定期更新軟件,選擇更有利于處理數(shù)字化檔案信息的軟件�����,確保最大程度上發(fā)揮數(shù)字化檔案信息的優(yōu)勢�����。
3.4信息技術安全管理��。
依靠數(shù)字化檔案信息安全管理人員在強度安全管理是不夠的�����,還需要現(xiàn)階段科學信息技術援助�����。為了保證數(shù)字化檔案信息數(shù)據(jù)的安全����,在數(shù)字化檔案信息安全管理工作中可以運用一些先進的科學信息技術來提高數(shù)字化檔案信息安全。例如,可以設置信息的訪問認證���,防病毒系統(tǒng)�����,同時也對數(shù)字化檔案信息相關機密數(shù)據(jù)進行加密操作,以數(shù)據(jù)加密的形式��,可以有效地防止數(shù)字化檔案信息數(shù)據(jù)被一些木馬病毒和被非法網(wǎng)站入侵��,進行安全管理對保護數(shù)字化檔案信息安全是非常有效的��。
3.5提高管理人員的專業(yè)素質��。
管理人員的專業(yè)素質對數(shù)字化檔案信息安全管理來說至關重要����,故而提高管理人員自身專業(yè)素質也是安全管理中的重要策略。相關的工作人員利用電子設施在網(wǎng)絡環(huán)境中開展對應的相關工作��,對相關的數(shù)字檔案實現(xiàn)有效地管理����,也就是個相關人員自身的能力大小對相關的數(shù)字檔案工作的安全性有著比較大的影響。這就要求在具體的工作中�,相關的數(shù)字檔案管理人員要熟悉管理方面的相關專業(yè)理論�,還要在具體的工作中樹立其較強的管理安全意識���,不斷充實自己����,提高數(shù)字化檔案安全管理的實踐工作技能�。一旦工作中內(nèi)部成員想要泄露檔案信息,相關的管理人員就要切實提高警惕�,有效的增強風險思想,確保信息在實際的工作中受到嚴密的保存;與此同時�����,有關的組織機構還要組織針對性的人員培訓活動�,有效地提高相關管理人員的安全理念,以此達到萬無一失��。除了以上幾種管理策略之外還存在著其他管理策略����,例如規(guī)范數(shù)字化檔案信息歸檔存儲流程,確保數(shù)字化檔案信息的真實性與完整性�����,進一步確保數(shù)字化檔案信息安全。
4結束語
綜上所述��,信息安全問題對于數(shù)字化檔案來說至關重要�����,影響數(shù)字化檔案信息安全的因素有很多���,要不斷的加強宏觀管理、完善相關制度���、做好計算機管理工作與信息安全管理工作����,提高管理人員的專業(yè)素質���,確保數(shù)字化檔案信息安全問題�。
作者:高紅 單位:齊齊哈爾市依安縣依安鎮(zhèn)人民政府
信息安全管理論文:信息時代電子信息安全管理探討
1電子信息安全管理概述
1.1電子信息安全管理概念
從當前經(jīng)濟社會發(fā)展情況來看�����,信息安全問題主要來源于信息技術,隨著信息技術在現(xiàn)代經(jīng)濟��、社會生活中應用范圍進一步擴大�����,其對經(jīng)濟�����、社會發(fā)展的影響也是十分明顯的��。人們很早就已經(jīng)開始了對電子信息安全的研究��,但從研究結果來看��,單獨依靠技術手段是難以實現(xiàn)電子信息安全管理的�。例如,在當前電腦防護中�,防火墻、網(wǎng)絡安全控制系統(tǒng)被大范圍使用�,但電子信息安全現(xiàn)象依然屢見不鮮,對技術人員而言����,為獲得更好的電子信息安全管理效果�,需要重點考慮防火墻安全策略設計以及其物理保護控制問題��,通過適當?shù)某绦蛑С謥沓浞职l(fā)揮信息系統(tǒng)作用��?����?傮w而言���,信息安全管理=信息安全技術+信息安全管理支持�。
1.2電子信息安全管理模型分析
在當前電子信息安全管理模型設置中�����,主要堅持傳統(tǒng)PDCA模式如圖1所示進行優(yōu)化����,其具體內(nèi)容為:①P(策劃):根據(jù)組織業(yè)務運足要求與相關法律�,確定本次電子信息安全管理的范圍與要求,并通過相應的安全風險評估�����,確定控制目標與方式,并明確業(yè)務持續(xù)性計劃���。②D(實施):在安全管理實施過程中���,技術人員根據(jù)既定的組織計劃對所選目標進行安全控制。③C(檢查):根據(jù)質量控制目標與法律法規(guī)要求�����,監(jiān)視��、驗證安全管理過程與信息系統(tǒng)安全系數(shù)�,及時總結安全現(xiàn)象并收集其中參數(shù)變化信息。④A(行動):根據(jù)檢查結果���,分析安全管理措施的有效性�,并持續(xù)改進�。
2電子信息安全管理風險評估
2.1風險評估概念及模型
2.1.1風險評估概念
風險評估的核心就是對風險源的分析,在電子信息安全管理中��,風險評估的作用十分明顯��。以企業(yè)為例�,企業(yè)電子信息安全問題表現(xiàn)是多方面的�,并且相互之間的作用��、聯(lián)系各不相同�,若不能正確認識各個安全問題對企業(yè)電子信息安全問題的影響,將會對企業(yè)造成大量損傷���。而在進行風險評估后�����,所有影響企業(yè)電子信息安全的要素都將被羅列出來��,并根據(jù)本企業(yè)的實際情況��、類似企業(yè)情況等�,判斷易誘發(fā)電子信息安全問題的要素�,確保后續(xù)電子信息安全管理的科學性�����。
2.1.2風險評估模型
風險評估作為一個系統(tǒng)性工程�����,其具備相應的理論基礎,并能根據(jù)相關理論對風險進行評價���,常見的原理形式主要表現(xiàn)為:大數(shù)定律���、慣性原理、統(tǒng)計推斷原理等��。當前在風險評估模型設計中��,已經(jīng)被研發(fā)出很多成熟的模型���,包括人們所熟知的基于時間的PDR模型�����、動態(tài)安全APPDER模型等��。
2.2風險計算模型
在確定其風險內(nèi)容后����,要對其風險值進行計算����。本文結合威脅識別的相關內(nèi)容����,確定其計算模型為:R=f(AWT)式中:R代表風險����;A代表資產(chǎn);W代表脆薄弱點����;T代表目標主體所面臨的風險現(xiàn)象。
3電子信息安全管理技術分析
3.1技術維
技術維的核心就是進一步強化技術手段的安全保障作用����,其所涵蓋的內(nèi)容主要包括計算機系統(tǒng)安全、網(wǎng)絡安全等�。
3.1.1計算機系統(tǒng)安全
(1)硬件安全。在電子信息安全管理中���,硬件安全主要處理設備故障對系統(tǒng)安全造成的影響����,建立容錯系統(tǒng)是硬件安全的關鍵����。采用雙機容錯模式,兩臺計算機上設置相同的系統(tǒng)�����,分別設置兩個服務器處理系統(tǒng)運行�,保證在某臺計算機出現(xiàn)故障后,另一臺計算機能有效承擔所有工作���。同時��,要針對系統(tǒng)重要運行設備設置電源��,必要時可以對整個機房建立單獨供電室��,并以多種線路的方式提供電源�。(2)軟件安全����。系統(tǒng)設置:以C++語言編寫設備多串口控制驅動,并通過Java中的JNI技術顯示系統(tǒng)調(diào)用���。在條件允許情況下���,在后臺數(shù)據(jù)庫建設中以Oracle技術實現(xiàn)系統(tǒng)構造����,并通過傳統(tǒng)的數(shù)據(jù)庫建立模型進行構建����,該技術的要點為:①在主程序中建設數(shù)據(jù)庫,并實現(xiàn)數(shù)據(jù)庫的鏈接�����;②通過SQL語言操作獲數(shù)據(jù)��,并根據(jù)既定的操作要求進行數(shù)據(jù)處理���;③鏈接數(shù)據(jù)庫�。在經(jīng)過上述三個環(huán)節(jié)處理后��,即可建立一次連接數(shù)據(jù)庫�。但要注意的是,按照上述步驟建立的數(shù)據(jù)庫只能接受低頻次的操作要求����,一旦頻次過高,系統(tǒng)所面臨的運行壓力增大,最終影響系統(tǒng)運行效果�。安全管理:在軟件安全管理中����,主要通過權限認證進行角色訪問控制,以企業(yè)為例����,對其安全管理內(nèi)容進行確定。①角色分配:建立用戶管理模塊���,該模塊主要具備用戶信息增加����、刪除��、修改等功能��,并建立用戶管理員與一般用戶���。在系統(tǒng)功能實現(xiàn)中��,將功能代碼布添加至管理角色權限中���,并保存操作數(shù)據(jù)�����;創(chuàng)建用戶賬號�����,使用戶登錄系統(tǒng)能瀏覽器權限內(nèi)部的內(nèi)容�。②加入身份信息:系統(tǒng)登錄過程中先查詢相關用戶是否存在����,若提示用戶存在,則按照其權限為其提供信息���,并統(tǒng)計員工權限���。
3.1.2網(wǎng)絡控制措施
(1)安全協(xié)議:安全協(xié)議對電子信息安全性產(chǎn)生重要影響。目前�����,TCP/IP協(xié)議已經(jīng)被廣泛使用���,但協(xié)議中依然存在漏洞�����。其改進措施主要為:修改�、補充原有協(xié)議或在傳輸層與網(wǎng)絡應用層之間設置安全子層��。(2)網(wǎng)間隔離技術:網(wǎng)間隔離技術是一種成熟的網(wǎng)域連接技術�����,其具體技術內(nèi)容表現(xiàn)為:①服務器���?���?刂苾蓚€網(wǎng)域之間的直接通訊行為����,所有防火墻外的計算機主要通過服務器實現(xiàn)訪問過程。在此過程中�,服務器能控制對方訪問級別,根據(jù)防火墻要求控制對方訪問行為����,當對方訪問行為超出限制范圍時����,服務器將會組織���。②路由器與過濾器�。路由器能通過特定端口控制過濾器數(shù)據(jù)���,通過對其加以路由實現(xiàn)控制��;過濾器能選擇通過網(wǎng)絡層數(shù)據(jù)包����,并以數(shù)據(jù)包為基礎��,確定IP目標地址與IP源信息����,判斷數(shù)據(jù)包能否通過。
3.1.3信息保護措施
保密技術是常見的信息保護措施����,其操作要點主要包括:①通過網(wǎng)絡操作系統(tǒng)提供的保密技術進行保密處理�;②重視對數(shù)據(jù)庫信息保密���。針對可讀形式的數(shù)據(jù)庫�����,需要控制數(shù)據(jù)庫訪問權限�,必要時可以建立監(jiān)控系統(tǒng)監(jiān)督數(shù)據(jù)庫瀏覽服務情況�����。針對安全服務器支持訪問情況�����,采取強制控制措施����,實現(xiàn)多級授權描述�����;③通過現(xiàn)代加密技術�,實現(xiàn)信息重組�,只有信息發(fā)送�����、接受雙方才能還原原有信息��。
3.2管理維
(1)計算機場地安全管理�。計算機場地是整個信息系統(tǒng)的核心,要將主機房選址于日常安全管理作為整個工作的核心�。在計算機場地選址中,要綜合考慮地震���、臺風等多種自然因素對房屋結構的要求���,施工過程應滿足國家《計算機場地安全要求》的相關內(nèi)容。在主機房設備環(huán)境控制中�����,重視防塵�、防火處理。(2)信息系統(tǒng)資料管理����。信息系統(tǒng)資料管理主要針對系統(tǒng)信息進行控制���。這些需要保護的資料可分為兩類:軟件系統(tǒng)記錄資料與系統(tǒng)設備檔案。在管理過程中���,技術人員根據(jù)上述資料的種類與使用范圍對其進行整理����。(3)緊急恢復管理�����。緊急恢復管理又被成為災難恢復��,是指災難發(fā)生后迅速采取處理措施�,以降低電子安全問題造成的損失����。在緊急恢復管理中,應該以明確的保護等級為前提��,計劃內(nèi)容主要針對具體應急方案���,能清晰明了講述恢復的方法與步驟�。(4)設立信息安全檢查表。信息安全檢查表的主要功能是針對對象日常工作信息進行安全管理�����,在該檢查表中�,主要內(nèi)容包括信息安全通知、信息安全檢查工作�����、信息安全檢查表格等�����。
4結束語
主要討論了信息時代背景下的電子信息安全管理的相關問題���。對相關工作人員而言���,在開展電子信息安全管理中,要正確認識本單位在信息安全管理中可能出現(xiàn)的風險現(xiàn)象���,并在充分掌握各個安全因素的基礎上�����,進一步完善電子信息安全管理方法���,為獲得更好的電子信息安全管理效果奠定基礎�����。
作者:陳越我 單位:中國電子科技集團公司第十八研究所
信息安全管理論文:企業(yè)信息安全管理與風險控制
一��、引言
企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源��,對于企業(yè)自身來說具有重要意義�,企業(yè)需要妥善管理自身企業(yè)的信息���。近年來�����,企業(yè)的各項經(jīng)營活動都逐漸開始通過計算機,網(wǎng)絡開展��,因此���,企業(yè)的信息安全管理對于企業(yè)越來越重要��。許多企業(yè)開始通過各種技術手段以及制度改革���,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作���,同時將企業(yè)信息安全管理與風險控制結合起來,這是一個正確的選擇���,能夠幫助企業(yè)實現(xiàn)穩(wěn)定經(jīng)營��。在介紹企業(yè)信息安全管理以及風險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風險控制定義���,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風險控制的定義�。企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件�����,保護網(wǎng)絡存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊����。對于信息安全的認定通過包括4個指標,即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露���,保證信息數(shù)據(jù)能夠正常使用�����,保證信息數(shù)據(jù)能夠控制管理���。要想做好企業(yè)的信息安全管理,首先需要了解的是關于信息的傳輸方式���。隨著信息技術的不斷普及�����,信息傳遞的方式越來越多�,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播��,局域網(wǎng)傳播��,硬件傳播等等�����。要想實現(xiàn)企業(yè)的信息安全管理�����,其中很重要的一項工作在于保護信源����、信號以及信息。信息安全管理是一項需要綜合學科知識基礎的工作�����,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡安全技術����、計算機技術、密碼技術����、通信技術。從企業(yè)的信息安全管理來講��,最為關鍵的一項工作時保護企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整�����。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結,企業(yè)信息安全不僅僅需要信息技術的支持����,更需要通過建立完善的企業(yè)風險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標。所以��,怎樣把企業(yè)信息安全管理與風險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題���。企業(yè)的信息安全風險控制必須通過企業(yè)建立完善的企業(yè)信息安全風險體系實現(xiàn)��。企業(yè)的信息安全風險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前���,提前對企業(yè)的信息進行風險預估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風險���,從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失��。常見的企業(yè)信息安全風險體系建立主要包含以下幾個方面的內(nèi)容����。第一����,建立企業(yè)信息安全風險管理制度���,明確企業(yè)信息安全管理的責任分配機制�����,明確企業(yè)各個部門對各自信息安全所應承擔的責任����,并建立相應的問責機制。第二����,設置規(guī)范的企業(yè)信息安全風險管理指標,對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風險定級�,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三�,企業(yè)要加強對信息安全管理人員的培訓,提高企業(yè)信息安全管理工作人員的風險意識���,讓企業(yè)內(nèi)部從事信息安全管理工作人員認識到自身工作的重要性����,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為���,正確履行職責的重要性�����。第四����,將企業(yè)信息安全管理與風險控制有效融合,重視企業(yè)信息安全管理工作���,通過風險控制對企業(yè)內(nèi)部信息安全的管理方式進行正確評估���,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。
二���、企業(yè)信息安全管理與風險控制存在的不足
1.企業(yè)信息安全管理工作人員素質不高
對于企業(yè)來說�,企業(yè)信息安全管理工作是一項極為重要而隱秘的工作��,因此�����,必須增強對企業(yè)信息安全管理工作人員的素質要求����。但是根據(jù)調(diào)查統(tǒng)計�����,目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術要求上���,對企業(yè)信息安全管理工作人員的道德素養(yǎng)�����,職業(yè)素養(yǎng)�����,風險意識并沒有嚴格要求�����。此外�����,絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質的教育培訓���,并沒有通過建立相關管理制度以及問責機制對企業(yè)信息安全管理工作人員實行監(jiān)督���,這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機�����。
2.企業(yè)信息安全管理技術不過關
企業(yè)信息安全管理工作涉及多許多技術�����,包括信息技術����,計算機技術���,密碼技術�,網(wǎng)絡應用技術等等�����,應當說成熟的計算機應用技術是做好企業(yè)信息安全管理的基礎���,但是����,現(xiàn)實是許多企業(yè)的信息安全管理技術并不過關,一方面企業(yè)的信息安全管理硬件并不過關��,在物理層面對企業(yè)信息缺乏保護��,另一方面�,企業(yè)信息安全管理工作的專業(yè)技術沒有及時更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗�,企業(yè)信息安全管理的知識也并沒有及時更新,從而導致企業(yè)的信息安全管理理論嚴重滯后�����,這種技術的落后很容易讓企業(yè)成為不法分子的攻擊對象�。近年來網(wǎng)絡病毒的傳播越來越猖狂���,很多服務器��、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題�。作為一個行業(yè)中的大中型企業(yè)�����,企業(yè)內(nèi)部設備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重��,僅僅靠少數(shù)幾個管理員進行管理是難以承擔如此大量的工作量���。另外���,企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。
3.企業(yè)信息安全管理制度不健全
企業(yè)信息安全管理制度不僅僅需要理論制度的完善�,更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析����,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下����,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督��,企業(yè)信息安全管理工作人員缺乏執(zhí)行力���。企業(yè)信息安全管理制度不健全����,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一�,企業(yè)員工對于信息安全管理的認識嚴重不足,對企業(yè)信息安全管理工作不重視�����。企業(yè)內(nèi)部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新�,使用,甚至企業(yè)內(nèi)部計算機的防病毒軟件還被企業(yè)員工卸載了����。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關,認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事��。第二�����,企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動機制�,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”�����,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領導對企業(yè)信息安全現(xiàn)狀所了解的少之又少��。
三�����、企業(yè)信息安全管理常見的技術手段
1.OSI安全體系結構
OSI概念化的安全體系結構是一個多層次的結構��,它的設計初衷是面向客戶的�����,提供給客戶各種安全應用����,安全應用必須依靠安全服務來實現(xiàn),而安全服務又是由各種安全機制來保障的��。所以�����,安全服務標志著一個安全系統(tǒng)的抗風險的能力�����,安全服務數(shù)量越多,系統(tǒng)就越安全����。
2.P2DR模型
P2DR模型包含四個部分:響應、安全策略���、檢測��、防護�。安全策略是信息安全的重點��,為安全管理提供管理途徑和保障手段�����。因此�����,要想實施動態(tài)網(wǎng)絡安全循環(huán)過程����,必須制定一個企業(yè)的安全模式��。在安全策略的指導下實施所有的檢測、防護���、響應�����,防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術或者方法來突破的���,比如有防火墻、訪問控制����、加密、認證等方法����,檢測是動態(tài)響應的判斷依據(jù),同時也是有力落實安全策略的實施工具����,通過監(jiān)視來自網(wǎng)絡的入侵行為,可以檢測出騷擾行為或錯誤程序導致的網(wǎng)絡不安全因素�����;經(jīng)過不斷地監(jiān)測網(wǎng)絡和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中�����,應急響應占有重要的地位��,它是解決危險潛在性的最有效的辦法���。
3.HTP模型
HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值�。企業(yè)信息安全工作人員企業(yè)信息安全最為關鍵的參與者��,企業(yè)信息安全工作人員直接主導企業(yè)信息安全管理工作�����,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者�,也是企業(yè)信息安全管理的威脅者。因此���,HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督���。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術防范的基礎上����,HTP模式采取了豐富的安全技術手段確保企業(yè)的信息安全�����。最后����,HTP強調(diào)動態(tài)管理,動態(tài)監(jiān)督����,對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理,在實際工作中���,通過HTP模型的應用����,找出HTP模型中的漏洞并不斷完善����。
四、完善企業(yè)信息安全管理與降低風險的建議
1.建設企業(yè)信息安全管理系統(tǒng)
(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng)�,建立一個全面合理的系統(tǒng)模型��,安全系統(tǒng)被劃分成各個子系統(tǒng)��,明確實施步驟和功能摸塊�,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合�����,實現(xiàn)信息安全監(jiān)控的有效性和高效性��。
(2)成立一個中央數(shù)據(jù)庫�����,整合分布式數(shù)據(jù)庫里的數(shù)據(jù)��,把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫���,實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用����。
(3)設計優(yōu)良的人機界面����,通過對企業(yè)數(shù)據(jù)信息進行有效的運用����,為企業(yè)管理階層人員�、各級領導及時提供各種信息�,為企業(yè)領導的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平�。
(4)簡化企業(yè)內(nèi)部的信息傳輸通道,對應用程序和數(shù)據(jù)庫進行程序化設計��,加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準確性��。
2.設計企業(yè)信息安全管理風險體系
(1)確定信息安全風險評估的目標
在企業(yè)信息安全管理風險體系的設計過程中���,首要工作是設計企業(yè)信息安全風險評估的目標���,只有明確了企業(yè)信息安全管理的目標,明確了企業(yè)信息安全管理的要求和工作能容��,才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度����,才能順利通過對風險控制的結果的定量考核,檢測企業(yè)信息安全管理的風險,定性定量地企業(yè)信息安全管理工作進行分析���,找準企業(yè)信息安全管理的工作辦法��。
(2)確定信息安全風險評估的范圍
不同企業(yè)對于風險的承受能力是有區(qū)別的�,因此���,對于不同的企業(yè)的特殊性應該采取不同的風險控制辦法��,其中���,不同企業(yè)對于能夠承受的信息安全風范圍有所不同,企業(yè)的信息安全風險承受范圍需要根據(jù)企業(yè)的實際能力來制定�。不僅如此,企業(yè)的信息安全風險評估范圍也應當根據(jù)企業(yè)的實際經(jīng)營情況變化采取有針對性的辦法�。
(3)組建適當?shù)脑u估管理與實施團隊
企業(yè)信息安全風險控制體系的建立需要企業(yè)內(nèi)部各個部門的參與,因為各個部門工作人員對于企業(yè)風險的認是有所不同的�,企業(yè)要想了解企業(yè)承擔的經(jīng)營管理風險,就必須讓企業(yè)各個部門工作人員共同參與進來��。
作者:孫天天 單位:浙江財經(jīng)大學東方學院
信息安全管理論文:高校計算機信息安全管理體系設計
一����、高校計算機信息安全管理體系的現(xiàn)狀
計算機信息系統(tǒng)安全部分實質計算機信息系統(tǒng)在應用過程中發(fā)生國家秘密和高校保密信息以及個人資料信息�����。在高校信息安全的體系構建中個��,信息的保密和完整性具有重要的保障意義�,對相關信息需要對責任和真實性進行分析����,得出一個建立在這些原則基礎上并維護和應用的信息安全體系��。對其風險評估需要在信息安全管理工作后對其改進的方向得出整改意見��,目前相關主管部門對高校的計算機信息安全進行了資產(chǎn)列單���。對每個資產(chǎn)項目都進行了準確評估���,把信息資產(chǎn)作為計算機信息安全的重要保護對象,建設了相應的應用和信息集成模式��,提高數(shù)據(jù)中心的操控支配和數(shù)據(jù)管理能力�����。在計算機信息系統(tǒng)構筑的校園信息網(wǎng)絡結構中,對校園內(nèi)特定地點才可對其相關數(shù)據(jù)進行信息訪問等多方面進行了管理和限制�。
二、高校計算機信息安全管理體系的問題
(一)物理層面的安全問題��。
高校計算機信息系統(tǒng)受到如地震水災等自然災害和突發(fā)自然事件造成的破壞�,也存在因設備老化或毀損以及計算機操作系統(tǒng)的崩潰造成的信息資料損失,和服務器設備丟失或被破壞等物理層面的安全問題����。
(二)網(wǎng)絡層面的安全問題。
校內(nèi)網(wǎng)絡是連接整體外界互聯(lián)網(wǎng)絡的�,容易受到來自外界互聯(lián)網(wǎng)的惡意攻擊,同時整個數(shù)據(jù)在校內(nèi)局域網(wǎng)絡進行傳播時在沒有對數(shù)據(jù)進行加密情況下被監(jiān)控和改變也會發(fā)生���。并且在計算機病毒從外界互聯(lián)網(wǎng)和內(nèi)部校內(nèi)局域網(wǎng)都可以進入到整個系統(tǒng)中��,破壞存儲的數(shù)據(jù)和操作系統(tǒng)����。最后���,在路由器和相應的體系輔助設備中也存有安全漏洞問題����。
(三)應用層面的安全問題。
體系的數(shù)據(jù)中心擁有著計算機信息校園整個關于教學和科研以及各高校主要構成的數(shù)據(jù)信息運行工作���,是高校計算機信息系統(tǒng)管理的核心�����。在用校內(nèi)局域網(wǎng)絡進行連接促使信息高效應用中也產(chǎn)生了任何網(wǎng)絡終端都可以進入整個數(shù)據(jù)中心�,在安全層面造成了風險���。
(四)數(shù)據(jù)層面的安全風險����。
高校計算機信息系統(tǒng)是對數(shù)據(jù)進行輸入和整理以及提供服務的過程�����,大量的數(shù)據(jù)交換和數(shù)據(jù)儲存和相應的數(shù)據(jù)修改調(diào)整都面對各層面的安全風險威脅�。
三���、高校計算機信息安全管理體系的對策
(一)物理層面的安全對策�����。
對物理層面的安全防護需要在成本和管理機制優(yōu)化上進行考慮�,對每個零散的設備單元統(tǒng)一進行管理防護。對相應的重要數(shù)據(jù)庫和重要的配置服務器設備要進行統(tǒng)一的機房維護����,在機房的環(huán)境和溫度以及濕度上都要進行考慮和定期測量。同時�����,在機房內(nèi)的電路電源以及出現(xiàn)停電時的后備電源要進行保障����,對出現(xiàn)機房建筑不穩(wěn)定和受到外界干擾影響程度大時,要及時進行修復��。同時每個核心設備間要有足夠的距離保證不受到電磁輻射的干擾���。
(二)網(wǎng)絡層面的安全對策�����。
目前高校的外聯(lián)手段會涉及到網(wǎng)卡和藍牙以及USB等相應設備����,這些終端的維護和保障是可以防止常規(guī)的惡意侵害方式的。要在固定網(wǎng)絡中設有相應的端口輸入限制和對協(xié)議不完整的連接及時終端���,相關交換機實現(xiàn)對用戶搜索的數(shù)據(jù)整理的規(guī)范化���。
(三)應用層面的安全對策。
高校計算機信息系統(tǒng)是面向校園內(nèi)信息數(shù)據(jù)流動而服務的�����,在各個相關服務器和數(shù)據(jù)庫中需要加強安全域的建設���,并對每個需要防護的病毒和數(shù)據(jù)保障方案和備份方案都要進行統(tǒng)一建立���。在主要信息存在的數(shù)據(jù)中心內(nèi)要對所涉及的各計算機信息系統(tǒng)硬件和相應配置設備,以及數(shù)據(jù)資源進行定期維護和安全級別的相應建立�����,監(jiān)控和預防可能出現(xiàn)的各種情況��。對數(shù)據(jù)中心的安全域級別設定為頂級并加強各分支系統(tǒng)的保障手段��。
(四)數(shù)據(jù)層面的安全對策����。
對本地需要加密的數(shù)據(jù)做好相應的儲存和終端防護,對設立相應安全文件夾�����,由專人進行管理���。對每個需要寫入的儲存信息��,進行寫入指令的控制���,要求具有一定安全性的信息可以寫入數(shù)據(jù)儲存設備。每個客戶端口要建立USB安全管理策略���,需要系統(tǒng)內(nèi)部認證并通過才可以進行只讀等權限設定�����。
四�����、結論
高校計算機信息安全管理體系的設計與實現(xiàn)是對高校信息化建設深入發(fā)展的一個必然過程����,隨著信息技術的發(fā)展和高校信息化規(guī)模延伸暴露的問題也會越來越多,研究出合理的應對與預防機制是具有現(xiàn)實意義的�����。
作者:范婷婷 單位:新疆輕工職業(yè)技術學院
信息安全管理論文:信息安全管理企業(yè)轉型研究
1加強安全管理�����,助力企業(yè)轉型
在國際信息安全環(huán)境日趨惡劣����,國家全面倡導信息安全的大環(huán)境下,為了確保信息安全工作的可持續(xù)性開展及業(yè)務信息系統(tǒng)的穩(wěn)定運行����,依據(jù)集團總部《關于建立集團公司網(wǎng)絡與信息安全組織保障體系的通知》、鄂通信局發(fā)[2013]127號《關于進一步落實基礎電信企業(yè)網(wǎng)絡與信息安全責任考核及有關工作的意見》等相關文件精神�����,同時參考《GA/T708-2007信息安全技術-信息系統(tǒng)安全等級保護體系框架》����、《GB/T22239-2008信息安全技術-信息系統(tǒng)安全等級保護基本要求》《GB/T20269-2006信息安全技術-信息系統(tǒng)安全管理要求》、《GB/T0984-2007信息安全技術-信息安全風險評估規(guī)范》等國家標準�,制定了《信息安全管理辦法》、《信息安全策略》�、《安全保障框架》及《安全保障基線規(guī)范》規(guī)范等,率先在企業(yè)內(nèi)建立并實施該體系����,全面倡導企業(yè)向信息安全生產(chǎn)經(jīng)營轉型,同時積極引導合作伙伴樹立信息安全意識����,規(guī)范自身的生產(chǎn)及合作行為,明確安全風險責任����、細化管理要求,立足自身�,兼顧第三方,共同打造信息安全的綠色長城���,確保企業(yè)長足健康發(fā)展�����。通過該安全管理體系的實施�,從中全面深入地挖掘現(xiàn)有安全體系的不足之處,并針對現(xiàn)有業(yè)務系統(tǒng)中的各類安全隱患制定了有效的整改方案并予以實施��、預警�,確保了移動互聯(lián)網(wǎng)業(yè)務的可持續(xù)性發(fā)展及業(yè)務信息系統(tǒng)的穩(wěn)定運行。首先��,組織完成企業(yè)的自有業(yè)務信息系統(tǒng)和合作業(yè)務信息系統(tǒng)的安全等級劃分工作��,將平臺安全管理工作落實到具體的責任人�����,并簽署責任狀��,從而樹立全員安全責任意識����,實現(xiàn)人人參與安全管理。定期采用SysInternalsSuite��、Nmap�、Nes-sus、Openvas�����、Metasploit等技術對業(yè)務信息系統(tǒng)進行安全掃描����、安全審計,并應用HIVE��、Waka�、PIG、Mahout等工具對海量日志��、數(shù)據(jù)進行分析和審核���,發(fā)現(xiàn)相關漏洞與脆弱點���,并針對自有及合作業(yè)務信息系統(tǒng)編寫了整改建議和系統(tǒng)層面的加固方案。通過持續(xù)對自有及合作信息系統(tǒng)的檢查��,共發(fā)現(xiàn)自有業(yè)務信息系統(tǒng)存在各類安全漏洞攻擊39處��,合作業(yè)務信息系統(tǒng)存在各類安全漏洞14處�����,目前這些漏洞已經(jīng)全部整改與加固完畢,消除了安全隱患���。其次�����,以信息安全管理為導向�,組建了由電信營運商����、合作伙伴、專業(yè)公司三方共同構成的一支業(yè)務信息系統(tǒng)安全管理團隊���,通過從合作業(yè)務管理規(guī)范的建立到合作伙伴安全技能培訓�,從信息安全制度宣貫到系統(tǒng)安全處罰辦法的落實執(zhí)行���,從系統(tǒng)安全的定期評估到系統(tǒng)漏洞的及時加固等一系列舉措�,最終創(chuàng)建一套業(yè)務信息系統(tǒng)全新的安全管理模型��,提高業(yè)務信息系統(tǒng)運行質量和服務能力�����,提升創(chuàng)新業(yè)務品牌形象。從安全管理模型啟用至今���,未發(fā)生一起信息安全事故����,這樣強化了合作伙伴的信息安全概念�,督促合作伙伴在發(fā)展業(yè)務的同時也重點關注信息安全問題�����,極大地降低了由于合作系統(tǒng)的信息安全漏洞導致的中病毒或木馬���、假冒網(wǎng)站���、賬號或密碼被盜、個人信息泄露等客戶信息安全事件的發(fā)生概率�����,此類原因造成創(chuàng)新業(yè)務投訴比率和往年相比降低了15%��,改變了用戶對創(chuàng)新業(yè)務的固有印象���,建立了良好的創(chuàng)新業(yè)務服務品牌形象�。此模型具備良好的可復制性,可指導通信領域運營企業(yè)開展信息安全工作���。在全國率先打造這套移動互聯(lián)網(wǎng)業(yè)務安全管理體系���,包含一系列業(yè)務系統(tǒng)信息安全管理辦法、信息安全策略����、安全保障框架、安全保障基線規(guī)范等相關業(yè)務系統(tǒng)管理制度及規(guī)范��,業(yè)務系統(tǒng)安全管理體系的先進性和時效性在通信行業(yè)內(nèi)名列前茅��,同時通過近兩年的安全理論研究和安全評估加固實踐�����,針對當前企業(yè)業(yè)務平臺系統(tǒng)在信息安全監(jiān)管中面臨的一些問題��,對當前主流關聯(lián)分析技術進行研究的基礎上��,提出了一種新的安全事件關聯(lián)分析技術�����。該技術涉及到多源數(shù)據(jù)預處理、報警聚合�、關聯(lián)分析、大數(shù)據(jù)分析和安全狀況態(tài)勢評估等相關技術�����。此技術運用到電信行業(yè)的信息安全監(jiān)管上����,就能夠對監(jiān)控設備收集的日志及安全設備產(chǎn)生的告警進行關聯(lián)分析和挖掘���,從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏的安全信息���,通過對此類信息的統(tǒng)計、濃縮��、總結�����、關聯(lián)和分類�,抽象出利于進行判斷和比較的特征庫�,并智能地學習和維護其特征庫���,從而在提高安全事件報警準確率的情況下保證極高的識別效率���。同時該安全管理體系成功應用到與百度公司合作開發(fā)的愛奇藝視頻業(yè)務系統(tǒng)、與騰訊科技公司聯(lián)合開發(fā)的微信平臺�����、與奇虎科技公司共同開發(fā)的安全衛(wèi)士手機應用系統(tǒng)�,得到部分在美國納斯達克上市的中國互聯(lián)網(wǎng)精英公司的高度認可和贊許,并表示今后與電信運營商共同開發(fā)產(chǎn)品都依照此安全管理規(guī)范和體系���,確保產(chǎn)品的各項安全性能指標�。
2創(chuàng)新點
為順應移動互聯(lián)網(wǎng)時代����,運營商從基礎通信運營向流量運營轉型的新趨勢,湖北移動確定了“業(yè)務轉型�,安全先行”的發(fā)展思路,堅持“以安全保發(fā)展���、以發(fā)展促安全”����。在已有的網(wǎng)絡與信息安全管理辦法的基礎上,積極開展適應移動互聯(lián)網(wǎng)時代安全管理體系建設���,不斷推進科學的安全管理方法�����,做到六“注重”六“突出”��,即:(1)注重整體規(guī)劃��,突出體系建設��,促進職責高效履行。制定下發(fā)安全標準化管理與評價體系建設計劃�,內(nèi)容涵蓋安全工作方針目標、安全目標����、各方職責、安全管理體系和模式��、安全設施和機房環(huán)境保護設施標準、安全文明操作保證金�����、安全考核與獎懲��、過程的主要控制措施���、應急準備和響應等方面���。嚴格按計劃有序開展體系建設工作;嚴格按體系文件要求開展業(yè)務或系統(tǒng)試運行工作�����;加強保證與監(jiān)督體系的建設����。(2)注重文化建設,突出信息安全特色�,促進習慣養(yǎng)成。以人為本�,加強企業(yè)安全文化建設,促使安全文化落地�,提高員工安全與風險防范意識�。(3)注重教育培訓�,突出行業(yè)特色,達到安全管理效果����。通過多種渠道、形式多樣的安全教育和培訓方式�,組織各單位安全管理人員開展安全教育和培訓工作:一是安排專家和行業(yè)資深人士進行專題講座;二是在專題培訓的基礎上����,做好網(wǎng)絡與信息安全專項工作如何開展的培訓。(4)注重設備管理�,突出針對特色,實現(xiàn)安全管理精細化����。首先,網(wǎng)絡設備較多�,加強網(wǎng)絡安全管理提高設備安全可靠性是首要任務�����,為此各維護單位對每臺設備均建立了安全技術臺帳�,臺帳包括運行記錄、檢查保養(yǎng)記錄和定期檢驗記錄。其次�����,組織精干力量先后兩次對所有設備�、流程、機房進行全面的安全評估工作�����。第三�,使隱患排查整改形成機制。(5)注重安全投入��,突出專用特色�,合理使用安全生產(chǎn)費用。認真落實安全管理費用投入長效機制�,加大安全費用的管理,做到?����?顚S?,確保安全生產(chǎn)費用規(guī)范化、合理化和足額投入�。并加強安全生產(chǎn)保證金的管理����,建立安全生產(chǎn)保證金并實行年底考核的機制����,有效促進了安全管理工作��。(6)注重應急預案�����,突出超前特色���,安全管理贏在主動。在安全管理中���,把預防工作落到實處�����,建立健全了應急處置機構���,將應急處置工作進一步制度化�����,規(guī)范化,形成了完整的安全事故預防體系�。同時,開展形式多樣���、符合實際的應急演練��。
3結語
全新的移動互聯(lián)網(wǎng)業(yè)務安全管理體系具備創(chuàng)新性���、可復制性,對此領域企業(yè)具備示范和指導意義���。目前已經(jīng)被省公司相關專業(yè)部門采納��,計劃結合信安部工作在全國范圍內(nèi)進行推廣��,同時在移動互聯(lián)網(wǎng)行業(yè)領域�����,成為行業(yè)巨頭制定與電信運營商合作開發(fā)產(chǎn)品的管理規(guī)范���。此安全管理體系在企業(yè)應用范圍涵蓋的業(yè)務生產(chǎn)中�,帶來了巨大經(jīng)濟效益和社會效益��,通過持續(xù)對自有及合作信息系統(tǒng)的檢查���,共發(fā)現(xiàn)自有業(yè)務信息系統(tǒng)存在各類安全漏洞攻擊67處�,合作業(yè)務信息系統(tǒng)存在各類安全漏洞30處���,成功處理異常安全入侵26次�����,避免了平臺業(yè)務收入的損失�。
作者:彭敏 廖振松 單位:湖北移動政企分公司湖北移動網(wǎng)管中心
信息安全管理論文:供電企業(yè)信息安全管理論文
1電力信息安全
信息安全是指計算機網(wǎng)絡系統(tǒng)中的硬件���、軟件和其他數(shù)據(jù)等不受非法用法的破壞�,主要指未經(jīng)授權的訪問者無法使用訪問數(shù)據(jù)和修改數(shù)據(jù)���,而只給授權的用戶提供數(shù)據(jù)服務和可信信息服務�����,并保證服務的完整性�����、可信性和機密性��。電力信息安全是指供電系統(tǒng)中提供給用戶或公司內(nèi)部員工的數(shù)據(jù)是安全的����、可信的���。供電公司管理系統(tǒng)是個繁雜的系統(tǒng)�,涉及用電客戶和公司內(nèi)部員工及第三方托管服務公司���,系統(tǒng)的信息安全一直是公司發(fā)展的瓶頸�����。正確評估供電公司信息安全系統(tǒng)的合理性和安全性���,針對安全風險進行分析,最后制訂供電公司信息安全的策略非常重要���,也是至關重要的��。
2供電企業(yè)信息安全的影響因素
盡管供電公司投入了大量的財力��、物力建設電網(wǎng)信息安全系統(tǒng)��,但供電企業(yè)內(nèi)部網(wǎng)絡仍不健全�,存在許多安全隱患。另外����,供電公司信息化水平不高,信息安全保障措施薄弱也制約了其信息安全系統(tǒng)的建設�。要構建一個健全的供電公司信息安全保障體系,就要首先分析供電公司信息安全的影響因素�����,對癥下藥�,進一步提出供電企業(yè)加強信息安全管理的對策。
2.1不可抗拒因素
所謂“不可抗拒因素”����,就是由于火災、水災�����、供電、雷電��、地震等自然災害影響��,供電公司的供電線路��、計算機網(wǎng)絡信號���、計算機數(shù)據(jù)等受到破壞,并威脅到供電公司的信息安全�。
2.2計算機網(wǎng)絡設備因素
供電公司計算機系統(tǒng)中使用大量的網(wǎng)絡設備,包括集線器��、網(wǎng)絡服務器和路由器等����,其正常運行關系著供電公司內(nèi)部網(wǎng)絡的正常運行,而計算機網(wǎng)絡設備的安全直接關系著供電公司的正常運行���。
2.3數(shù)據(jù)庫安全因素
供電公司計算機系統(tǒng)監(jiān)控用戶峰值����,管理用電客戶信息及其他用戶繳費等情況,計算機數(shù)據(jù)庫的系統(tǒng)安全決定了供電企業(yè)的調(diào)度效率����,也決定了供電公司公共信息的安全。供電公司應該使用專用網(wǎng)絡設備���,確保企業(yè)內(nèi)部網(wǎng)絡與外部互聯(lián)網(wǎng)的隔離��。
2.4管理因素
供電公司員工的業(yè)務素質和職業(yè)修養(yǎng)參差不齊���,直接影響到供電公司的網(wǎng)絡安全。供電公司應該建立過錯追究制度�����,提高員工的信息化素質����,有效防止和杜絕管理因素造成的信息安全問題。
3供電企業(yè)加強信息安全管理的對策
3.1提升員工信息安全防患意識
開展信息安全管理工作���,并非僅僅是系統(tǒng)使用或者管理部門的事�,而是企業(yè)所有職工的事��,因此,要增強全體員工的信息安全和防患意識����。通過采取培訓和考核等有力措施,進一步提升全體員工對企業(yè)信息安全的認識�,讓信息安全成為企業(yè)日常工作業(yè)務的一個組成部分,從而提升企業(yè)整體信息安全水平���。
3.2采用知識型管理
傳統(tǒng)的安全管理大部分采取的是一種硬性的管理手段����。在當今知識經(jīng)濟的時代�����,安全管理應當以知識管理為主��,從而使得安全管理措施與手段也越來越知識化�����、數(shù)字化和智能化�����,促使信息安全管理工作進入一個嶄新的階段�。
3.3設置系統(tǒng)用戶權限
為了預防非法用戶侵入系統(tǒng),應按照用戶不同的級別限制用戶的權限�,并投入資金開展安全技術督查和安全審計等相關活動。信息安全并非一朝一夕就能完成的事���,它需要一個長期的過程才能達到較高的水平�,需建立并完善相應的管理制度��,從平時的基礎工作著手��,及時發(fā)現(xiàn)問題�����,匯報問題����,分析問題并解決問題。
3.4防范計算機病毒攻擊
加速信息安全管控措施的建設����,在電力信息化工作中,辦公自動化是其中一項非常重要的內(nèi)容�����,而核心工作業(yè)務就是電子郵件的發(fā)送與接收,這也正是計算機病毒一個非常重要的傳播渠道����。因此,必須大力促進個人終端標準化工作的建設����,實現(xiàn)病毒軟件的自動更新、自動升級����,不得隨意下載并安裝盜版軟件;加強對木馬病毒等的安全防范措施���,對用戶訪問實施嚴格的控制。
3.5完善信息安全應急預案
嚴格規(guī)范信息安全事故通報程序��,對于隱瞞信息事件的現(xiàn)象�����,必須嚴肅查處��。對于國家和企業(yè)信息安全運行動態(tài),要及時通報����,分析事件,及時信息安全通告��。對于己經(jīng)制定的相關預案和安全措施����,必須落到實處。另外�,還要進一步加強信息安全技術督查隊伍的建設,提高信息安全考核與執(zhí)行的力度����。
3.6建立信息安全保密機制
加強信息安全保密措施的落實,禁止將涉密計算機連接到互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡�����,完善外部人員訪問的相關授權����、審批程序。定期組織開展信息系統(tǒng)安全保密的各項檢查工作���,切實做好涉密文檔的登記�、存檔和解密等環(huán)節(jié)的工作。
4結束語
為了保障國民經(jīng)濟的快速發(fā)展���,就要確保供電系統(tǒng)的穩(wěn)定安全���,就要合理應用計算機網(wǎng)絡管理供電公司網(wǎng)絡,科學管理供電網(wǎng)絡信息�����,促進企業(yè)的可持續(xù)發(fā)展��。供電公司要充分利用好企業(yè)內(nèi)部網(wǎng)絡�����,提高勞動生產(chǎn)率�����,并加強網(wǎng)絡信息安全監(jiān)控�����,加強企業(yè)內(nèi)部優(yōu)化��,創(chuàng)新供電企業(yè)服務意識�����,加強供電企業(yè)信息安全管理對策����,適當提高供電企業(yè)信息化管理水平,保證供電企業(yè)的信息安全����。
作者:吳金文 程麗琴 單位:國網(wǎng)贛西供電公司安全監(jiān)察質量部
信息安全管理論文:供電企業(yè)中網(wǎng)絡信息安全管理論文
1目前我國供電企業(yè)網(wǎng)絡信息管理現(xiàn)狀
(1)內(nèi)網(wǎng)網(wǎng)絡結構不健全。
現(xiàn)階段�����,我國的供電企業(yè)內(nèi)網(wǎng)網(wǎng)絡結構不夠健全�����,未能達成建立在供電企業(yè)內(nèi)部網(wǎng)絡信息化的理想狀態(tài)�����。中部市、縣級供電公司因為條件有限���,信息安全工作相對投入較少��,安全隱患較大��,各種安全保障措施較為薄弱��,未能建立一個健全的內(nèi)網(wǎng)網(wǎng)絡系統(tǒng)��。但隨著各類信息系統(tǒng)不斷上線投運����,財務����、營銷、生產(chǎn)各專業(yè)都有相關的信息系統(tǒng)投入應用����,相對薄弱的網(wǎng)絡系統(tǒng)必將成為整個信息管理模式的最短板。
(2)存在于網(wǎng)絡信息化機構漏洞較多�����。
目前在我國供電企業(yè)中�,網(wǎng)絡信息化管理并未建立一個完整系統(tǒng)的體系,供電網(wǎng)絡的各類系統(tǒng)對于關鍵流程流轉�、數(shù)據(jù)存儲等都非常的重要,不能出現(xiàn)絲毫的問題���,但是所承載網(wǎng)絡平臺的可靠性卻不高�����,安全管理漏洞也較多�����,使得信息管理發(fā)展極不平衡���。信息化作為一項系統(tǒng)的工程,未能有專門的部門來負責執(zhí)行和管理�。網(wǎng)絡信息安全作為我國供電企業(yè)安全文化的重要組成部分,針對現(xiàn)今我國供電企業(yè)網(wǎng)絡安全管理的現(xiàn)狀來看�,計算機病毒,黑客攻擊造成的關鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡安全隱患���。各種計算機準入技術�,可移動存儲介質加密技術的應用,給企業(yè)信息網(wǎng)絡安全帶來了一定的保障���。但是目前供電企業(yè)信息管理工作不可回避的事實是:操作系統(tǒng)正版化程度嚴重不足���。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新,針對操作系統(tǒng)的攻擊將變得更加頻繁���。一旦有計算機網(wǎng)絡病毒的出現(xiàn)��,就會對企業(yè)內(nèi)部計算機進行大規(guī)模的傳播��,給目前相對公開化的網(wǎng)絡一個有機可乘的機會���,對計算機系統(tǒng)進行惡意破壞,導致計算機系統(tǒng)崩潰���。不法分力趁機竊取國家供電企業(yè)的相關文件���,篡改供電系統(tǒng)相關數(shù)據(jù),對國家供電系統(tǒng)進行毀滅性的攻擊��,甚至致使整個供電系統(tǒng)出現(xiàn)大面積癱瘓。
(3)職工安全防范意識不夠�。
想要保證我國網(wǎng)絡信息的安全,就必須要提高供電企業(yè)員工的綜合素質��,目前國內(nèi)供電企業(yè)職員的安全防范意識不強���,水平參差不齊,多數(shù)為年輕職員����,實際操作的能力較低,缺少應對突發(fā)事件應對措施知識的積累���。且多數(shù)老齡職工難以對網(wǎng)絡信息完全掌握���,跟不上信息化更新狀態(tài),與新型網(wǎng)絡技術相脫軌�。
2網(wǎng)絡信息安全管理在供電企業(yè)中的應用
造成供電企業(yè)的信息安全的威脅主要來自兩個方面,一方面是國家供電企業(yè)本身設備上的信息安全威脅����,另一方面就是外界網(wǎng)絡惡意的攻擊其中以外界攻擊的方式存在的較多。現(xiàn)階段我國供電企業(yè)的相關部門都在使用計算機對網(wǎng)絡安全進行監(jiān)督和管理��,難以保證所有計算機完全處在安全狀態(tài)。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的�,這就需要加強我國供電企業(yè)進行安全的管理,建立病毒防護體系���,及時更新網(wǎng)絡防病毒軟件�����,針對性地引進遠程協(xié)助設備�����,提高警報設備的水平��。供電企業(yè)的信息系統(tǒng)一個較為龐大且繁雜的系統(tǒng)�,在這個系統(tǒng)中存在信息安全風險也是必然的�。在這種情況下就要最大程度地降低存在的風險,對經(jīng)歷的風險進行剖析�����,制定針對性的風險評估政策�����,確立供電企業(yè)信息系統(tǒng)安全是以制定針對性風險評估政策為前提的,根據(jù)信息安全工作的緊迫需求做好全面的風險評估至關重要�。“掌握核心技術”不只是一句簡單的廣告詞語��,還是國家和各個企業(yè)都應該一直貫徹落實的方針政策�����。為了避免外界對我國供電企業(yè)信息技術的操控���,國家相關部門就必須實行自主研發(fā)信息安全管理體系,有效地運用高科技網(wǎng)絡技術促使安全策略����、安全服務和安全機制的相結合,大力開發(fā)信息網(wǎng)絡����,促進科技管理水平的快速提高,以保證我國供電信息管理的安全�。
3結語
為了確保供電企業(yè)的安全,根據(jù)時展需要與時俱進�����,合理地運用網(wǎng)絡信息來進行科學的管理,有利于促進我國供電企業(yè)的可持續(xù)發(fā)展�����。供電企業(yè)在運用網(wǎng)絡的同時注意好對網(wǎng)絡信息安全的監(jiān)控��,不斷優(yōu)化內(nèi)部管理��,提高創(chuàng)新意識��,制定好有效的風險防范措施����,適時提高我國供電企業(yè)職員的素質水平,為實現(xiàn)我國供電企業(yè)信息管理提供可靠的保證�����。
作者:胡滔 單位:國網(wǎng)湖南省電力公司臨湘市供電分公司
信息安全管理論文:海港工程建設項目信息安全管理論文
1加強移動存儲介質的管理
移動存儲設備管理主要是指當存儲設備插入主機系統(tǒng)時���,主機根據(jù)判斷設備識別信息與數(shù)據(jù)庫中身份注冊信息是否相符�����,再確定該移動存儲介質是否能夠被主機系統(tǒng)激活并為用戶所用����。然后根據(jù)用戶權限決定其所能使用的接口數(shù)量,如果超出則移動存儲設備自動彈出����。建立合適的安全組織機構能合理地協(xié)調(diào)各方面因素,實現(xiàn)安全管理的規(guī)范化���、科學化�����,通過各級組織機構對海港工程項目各級成員單位的信息安全建設進行監(jiān)督管理和檢查指導,統(tǒng)一規(guī)劃和設計出海港工程項目信息安全管理體系���,保證安全策略有機整合��,避免安全漏洞����。在部門之間��,信息管理部門主要負責信息安全技術�,在安全管理上與本單位的保密部門�、機要部門等相關部門協(xié)調(diào)合作����,共同做好信息安全管理工作。
1.1限制外接設備和接口
接口限制主要包括兩個部分:外接存儲設備接口與網(wǎng)絡接口限制����。一方面要限制外設接口濫用,一方面也要避免內(nèi)部人員利用網(wǎng)絡接口私自接入非法主機或接出外網(wǎng)�����。對USB接口統(tǒng)一管理�,要求在不影響鼠標、鍵盤等外接設備正常運行的前提下嚴格管理和控制存儲設備接口的使用��;對打印機��、刻錄機�、光驅、軟驅等常規(guī)外接設備嚴格限制�,做到有用監(jiān)管、無用封禁�、統(tǒng)一管理、集中使用,避免內(nèi)部人員私自利用本地打印或刻錄方式竊取涉密信息���;對涉密存儲設備做到嚴格管制���,專盤專用,由保密辦負責編號登記���,標明密級并由專人保管���,需使用時向保管部門借出并及時交還,不得在涉密計算機上使用未經(jīng)認證的存儲設備或將曾存儲��、處理過涉密信息的存儲設備挪作他用����。
1.2實施集中刻錄和打印安全審核
海港工程項目內(nèi)部網(wǎng)絡有著極高涉密安全需求,除了需要防止用戶通過移動存儲設備拷貝涉密信息外�����,也需要預防有人通過光盤刻錄��、打印等傳統(tǒng)手段下載機密信息�����。因此光盤刻錄工作集中在專項部門進行�����,用戶在使用前必須首先獲得許可����,并全程跟蹤光盤的流向及使用情況。打印安全簡單來講就是需要確保敏感或機密信息不在打印環(huán)節(jié)遭到泄露����。首先需要屏蔽用戶主機的打印機接口,接著由用戶端發(fā)起打印申請�����,審批備案后���,再經(jīng)過海港工程項目信息安全管理中心統(tǒng)一授權的打印機構予以打印�����。在打印過程中應注意以下幾點:確保打印資料從電腦傳輸?shù)酱蛴C網(wǎng)絡的過程中不被他人惡意截?。淮_保打印好的文件不會被人有意無意取閱或拿走����;對施工人員的打印作業(yè)進行有效的監(jiān)控和管理,特別是嚴格落實與打印相關的審核和控制����;對打印的完整生命周期的管理,包括權限認證���,任務發(fā)起��,任務審核����,拷貝銷毀等等�����;要求對所有安全文檔進行分級管理�,按照涉密的級別打印,并進行精細化管理�。
1.3防止存儲設備管理失控
海港工程項目在項目的施工過程中�����,往往會涉及許多的施工單位和部門,因此�,使用存儲設備進行信息的臨時性存儲便變得十分平常,海港工程項目信息系統(tǒng)中大量的涉密信息都存儲在軟盤�、磁盤和光盤里,而這些載體又十分容易被使用者帶入不安全的環(huán)境之中����,發(fā)生載體丟失、被盜或存儲介質受到損毀等意外情況�����,造成嚴重的信息泄露事故��,給國防和軍隊建設造成重大損失�����,故必須加強此方面的防范力度���。對于廢棄磁介質的管理���,由于磁性介質具有剩磁特性����,因此存儲過涉密信息的磁性存儲介質可能會因為存儲介質永久性磁化而造成信息的泄露���。對于存儲過涉密信息的廢舊存儲設備和介質必須嚴格控制其流通的范圍��,按照信息安全管理的相關規(guī)定和流程將準備廢棄的設備交到保密機構集中統(tǒng)一保管或進行嚴格規(guī)范的脫密�、銷毀��,并辦理好相應的登記手續(xù)����。
2加強紙質文檔資料的管理
在海港工程項目建設的過程中,信息在流動時����,人們通常會使用大量的紙質類文件來記錄、保存和傳輸各種涉密的信息�����。為防止這些紙質文檔上的資料和信息泄露����。一般需要采取以下措施進行科學管理:嚴格遵守保密條例中的各項規(guī)定和制度要求�����,特別要嚴禁文檔資料的非法復印���;在文件和文檔資料制作過程中�����,為防止丟棄的草稿紙�����、復寫紙��、計算機表格����、演算紙����、數(shù)據(jù)卡片和學習筆記等“廢紙”造成泄密,必須嚴格按照保密守則銷毀一切廢品�����,并將所有廢紙及時進行粉碎和焚燒;嚴格控制相關文檔資料的傳閱范圍和人群����,同時,還應周密審查��、嚴格控制在各種報紙雜志等媒體上的消息�����,防止間接泄露海港工程項目涉密信息���。
3加強辦公設備和工地設備的管理
3.1強化電腦設備的審核與管理
嚴格區(qū)分涉密��、非涉密計算機�����,涉密計算機必須登記在冊����,非涉密計算機嚴禁儲存涉密信息�����。通過用戶訪談和網(wǎng)絡收集工具,從技術��、管理�、策略等角度更深層次地了解與海港建設項目信息相關的安全要素����,挖掘出信息安全管理背后的風險。并收集海港工程項目信息安全管理的網(wǎng)絡信息���,主機開放端口信息及共享信息等情況�����。通過網(wǎng)管軟件對涉密計算機進行實時監(jiān)控���,對海港工程項目內(nèi)部網(wǎng)絡的數(shù)據(jù)和信息流進行安全審核,對工作人員操作及用戶行為進行記錄�,建立即時預警平臺并留存操作證據(jù),以便信息安全管理部門的工作人員遠程監(jiān)控����、查找和跟蹤線索��。
3.2強化對工地施工設備的審查和管理
隨著信息技術的飛速發(fā)展和高新技術手段的應用����,信息的承載和傳輸方式由有形�、有線向無形、無線發(fā)展����,使信息管理難度加大。信息技術在施工設備上的使用和藏匿方式更加多樣化�����,使海港工程項目面臨的竊密和泄密威脅進一步增大�����。海港工程項目信息安全管理部門應重點做好防范“預置陷阱”危害的工作�����,預置陷阱是指在信息系統(tǒng)��、設備、部件中人為地預設了一些陷阱����。例如:從境外引進的信息產(chǎn)品和工程施工設備很可能帶有“技術后門”和“陷阱”,對信息安全帶來嚴重隱患����。因此,必須對所有參與競標的單位的施工設備進行嚴格的技術和安全審查�����,并制定一套有效的“技術后門”和“陷阱”應急處置方案����。由于海港工程項目中使用的信息產(chǎn)品有許多都是由外企生產(chǎn)或外方經(jīng)營控制的����,因此,務必加強對海港工程項目內(nèi)部施工和通訊等設備的管理�,做好施工設備的電、磁���、光�����、聲泄露防護��,避免因對施工設備審查不嚴而造成涉密信息的泄露���。
作者:柴東洋 戰(zhàn)希臣 鄭海平 單位:海軍航空工程學院
信息安全管理論文:信息安全管理培訓論文
一���、管理干部需要進行信息安全管理技能培養(yǎng)
國家、省市已經(jīng)頒布各種法律法規(guī)�,各大單位也根據(jù)自己的具體情況,建立了自己的規(guī)章制度��,維護信息安全已經(jīng)有法可依����。但是信息安全管理工作涉及的知識面非常廣,需要了解國家信息安全管理法規(guī)�,需要學習信息技術一般理論,需要知道信息安全漏洞知識�,需要明白信息安全禁令范疇。為提高學習效率和質量���,全面掌握信息安全理論和方法��,按照信息安全管理知識體系����,建設信息安全管理教學系統(tǒng),提供學習信息安全管理的教學條件�����,從而為各方面人員學習和執(zhí)行各種規(guī)章制度提供依據(jù)���。相比其他管理工作�����,信息安全管理工作需要比較多的理工專業(yè)基礎和比較高的電腦技術要求,在實際的信息安全管理工作中�,需要靈活的信息安全管理處置能力,更多的是判斷信息安全問題���、識別信息安全陷阱���、規(guī)范信息安全管理。由于知識背景和工作性質特點����,管理干部需要花費更多的時間和精力學習信息安全管理知識和技術�����,才能具備基本的信息安全防范技能�����。為幫助他們更好地獨立處置信息安全管理問題���,掌握發(fā)現(xiàn)問題解決問題技能,依據(jù)現(xiàn)代教育理念和方法���,不僅需要提供深入淺出����、知識完備的知識體系學習訓練系統(tǒng)�,而且需要信息安全管理能力訓練系統(tǒng)。
二�����、信息安全管理培訓思路
為滿足信息安全管理工作在人員培訓方面的需要�����,需要依托各級培訓學校,按照國家和省市地方的制度法規(guī)�,借助現(xiàn)代教育思想,借助現(xiàn)代教育技術����,明確符合實際需要的功能定位,建設信息安全管理復合應用型人才培訓體系���,實現(xiàn)信息安全管理工作對培訓教育�����、終身教育的培訓要求��。
1.培訓依據(jù)
(1)依據(jù)各種信息安全管理制度法規(guī)�����。信息安全人員在履行工作職責的時候,必須按照各種信息安全管理法規(guī)����、制度和要求實施�����,制訂人才培養(yǎng)方案和教學計劃必須依據(jù)國家��、省市和本部門的信息安全管理的相關規(guī)定�,這樣的教學內(nèi)容才能保證人才培養(yǎng)的針對性和實用性�����,保證管理干部履行信息安全管理職責的有效性�。涉及信息安全制度法規(guī)的相關文件很多,有的是專門為信息安全制訂的�����,有的制度和法規(guī)散落在各個業(yè)務管理制度中����。在建設信息安全管理知識體系時,必須將業(yè)務部門的相關規(guī)定融入知識體系中�����,使得管理干部在處理具體業(yè)務中的信息安全管理工作具有針對性和有效性���。
(2)符合培訓教育特點規(guī)律��。信息安全管理技能是從事管理工作人員的基本技能�,屬于崗位專業(yè)培訓或專業(yè)技能培訓,屬于培訓教育培訓�����。受訓人員專業(yè)背景不同�����,理論基礎不同�,學習能力不同,必須避免統(tǒng)一教材���、統(tǒng)一授課�、統(tǒng)一訓練�、和統(tǒng)一考核的傳統(tǒng)教學模式,采取因人而異���、因材施教的有針對性的教學方式����,強調(diào)個性化學習��,將不同層次受訓者的信息安全管理能力達到信息安全管理工作所需要的水平上來�。
(3)遵循現(xiàn)代教育思想。在實施教育訓練過程中����,現(xiàn)代教育思想要求采取“學為主體、教為主導”的教學理念�����,學員能夠方便地獲得完整的知識體系和解決問題的技能和方法�����,自主學習����,開放學習,自主理解�、掌握知識和技能。為實現(xiàn)教學目的��,需要分析信息安全管理技能特點���,需要分析管理干部學習動力���,結合教學目標���,設計學員學習和訓練的教育訓練環(huán)境,提供完整的知識體系���、豐富的教學資源�、模擬的問題情況���、交互的學習平臺和方便的使用途徑����,提供與培訓教育特點規(guī)律和技能訓練要求相適應的培訓條件����。
2.信息安全管理培訓目標
按照信息安全管理工作的實際情況,培養(yǎng)信息安全管理工作中管理�����、業(yè)務和技術三支人才隊伍,突出業(yè)務和管理人才需要���,兼顧信息安全技術人員的人才培養(yǎng),以現(xiàn)代教育思想為指導�,以信息技術為核心支持技術,建設滿足信息安全人才培養(yǎng)的現(xiàn)代培訓條件���。信息安全管理培訓以管理干部為培訓對象���,以信息安全管理工作為培訓內(nèi)容,區(qū)分信息安全管理人員����、業(yè)務干部和信息技術專門人員等不同層次,跟蹤信息安全管理形勢��,實行階段反復輪訓��,以適應信息安全管理不斷發(fā)展的需要�,確保信息安全管理工作的正常開展。
三�、信息安全管理培訓環(huán)境構建
為適應信息安全管理培訓需要,適應管理干部培訓教育需要��,必須構建遵循信息安全管理規(guī)定、符合現(xiàn)代教育思想�、依托信息技術手段、瞄準復合型適用人才培養(yǎng)的教育環(huán)境�����。信息安全管理培訓條件涉及面很廣�����,包括組織機構����、舍堂館所、師資隊伍�、后勤保障等等,這里我們更關心符合培訓思路的培訓模式和教學支持����。從知識體系、學習途徑�����、訓練場所和訓練系統(tǒng)多方面著手����,構建信息安全管理訓練體系����,構建管理人員信息安全人才培養(yǎng)條件��。依據(jù)教育信息化研究成果和培訓教育教學特點�����,需要建立完整的信息安全管理知識體系�����,建立開放式�、自主式教育網(wǎng)絡平臺�,建立強時效性的教學資源體系,建立信息安全管理知識測試系統(tǒng)�,建立信息安全管理能力訓練系統(tǒng),等等�。
1.構建信息安全管理知識體系
培訓教育的一個特點就是受訓對象知識背景和技能掌握程度千差萬別,必須首先建立完整的知識體系���,以滿足不同基礎�、不同需求受訓者對知識掌握和能力訓練的要求。知識體系必須建立覆蓋學科知識和管理手段的所有內(nèi)容����,包括理論體系和教學資源兩部分,其中理論體系包括基礎知識�����、安全理論����、規(guī)范制度、管理方法�、歷史沿革、防范手段和操作方法�,教學資源包括現(xiàn)狀分析、經(jīng)典案例����、技術講解、訓練題庫和數(shù)據(jù)模型�����,適應和滿足每個受訓對象的需求��。為滿足個性化服務需要,可以按照知識點建設模塊化框架結構���,設計具備菜單選擇功能的專家系統(tǒng)�����,允許受訓者建立適合自己的個性化教學計劃和實施方案���,確保受訓者完成培訓任務后勝任安全管理的崗位需要?��?梢越⒅悄芙虒W計劃生成系統(tǒng),系統(tǒng)對每位受訓者進行知識和技能測試���,按照教學目標�,根據(jù)測試結果����,將該學員沒有掌握或掌握不夠的知識內(nèi)容和技能形成列表,從知識體系中搜尋相關知識和技能的概念��、理論��、技術和操作技能,形成該受訓者個性化的教學計劃�。隨著信息技術的發(fā)展和信息安全管理需求的變化,信息安全管理知識體系應該是動態(tài)更新的����,剔除修改陳舊的,充實替換實用的��。
2.搭建開放�、共享和交流的網(wǎng)絡平臺
網(wǎng)絡平臺是信息資源共享的基礎,是交流互動的基礎����。按照學科專業(yè)建設與管理規(guī)范建設知識體系,以數(shù)字化形式在互聯(lián)網(wǎng)�,實現(xiàn)信息安全管理教育資源共享。作為資源共享平臺的網(wǎng)絡平臺�����,不僅為建設者資源共享提供平臺�,而且可以為學習者提供資源上傳服務,成為學習者之間相互交流資源的共享平臺���,更為信息資源積累提供了很好的機制和存儲條件�。網(wǎng)絡具有兩個特點,一是允許網(wǎng)絡用戶365天24小時使用��,可以提供受訓者隨時學習和訓練�,二是允許網(wǎng)絡用戶在任何有信息覆蓋的地方登錄,可以提供受訓者隨地學習和訓練��,這兩個特點打破了傳統(tǒng)教學時空的限制���,為學員自主學習�����、教師開放教學����、師生互動交流提供了可能�����,也為實施現(xiàn)代教育思想提供了條件��。
3.建立虛擬講堂
優(yōu)秀教師的講授可以將學習效果演繹得趣味精彩�,可以將學習內(nèi)容組織得明白易懂�����,可以將現(xiàn)實運用解析得透徹自然。為更多學員獲得完美的教學體驗����,為積累并共享優(yōu)秀教學資源,為學員快捷準確全面理解知識運用知識提供幫助�����,記錄���、整理并優(yōu)秀教師或專家授課錄像�,供更多受訓者學習參考���。教學錄像在網(wǎng)上成為虛擬講堂�����,成為不同專業(yè)不同時期受訓者良好的教學資源���,目前全球風行的慕課,可以成為這種培訓目的的教學模式,成本低����,效益好。因為技術層面的因素���,信息安全管理知識體系在理論基礎和原理解釋有大量不易理解的知識點和疑難問題���,學習時需要佐證的理論和嚴謹?shù)倪壿嫞枰獋魇谡攮h(huán)環(huán)相扣的謹密推演��,因此針對重要知識點和疑難雜診的講授片段是受訓者自主式學習時需要的重要教學參考資料���。各個大學基本都建設了網(wǎng)絡課堂��,為虛擬講堂建設提供了很好的技術平臺�����。依據(jù)此平臺���,建設信息安全管理和教學資源和網(wǎng)絡課程����,可以構筑完整的知識體系��,為培訓教育自主式學習提供了很好的學習資源�����。
4.建設信息安全管理實驗室
培訓教育能力訓練是教學環(huán)節(jié)中的主要部分�,驗證理論��、觀摩操作方法和訓練技能需要包括場所��、設備和軟件等實驗條件�����,實驗室是完成實驗任務和檢驗方法效果必須具備的教學條件��。理論��、方法和技能的實驗和訓練是信息安全管理培訓需要完成的教學環(huán)節(jié)����,這些需要信息安全專業(yè)實驗室的支持。信息技術具有可設計���、可復制��、可重用的特點���,使得基于信息技術的教育訓練條件具備降低訓練費用�����、提高學員學習自主性�����、提供學員反復學習等長處�,結合音頻處理技術����、視頻處理技術、三維動畫技術����,可以為學員學習提供強烈逼真的感官刺激、美輪美奐的藝術表現(xiàn)和自主操控的虛幻體驗����。從訓練目的而言���,實驗室可以分為虛擬實驗室和能力訓練場兩部分��。
(1)虛擬實驗室��。信息安全管理涉及大量技術手段�����,信息安全技術攻擊和防范具有不可見���、不易理解的特點����,需要顯而易見��、通俗易懂的形象展示��。虛擬實驗室是依托信息技術按照實驗室運行規(guī)律����、要求和任務,以網(wǎng)頁形式在計算機網(wǎng)絡上建立的可以模擬實驗室運行的軟件系統(tǒng)����。虛擬實驗室內(nèi)設信息安全管理所需要的各種理論�、方法和技能引擎��,可以多維形象地反復演示信息安全管理的理論�、方法和技能,可以允許受訓者以第一人稱介入并依據(jù)受訓者干預情況展示相應信息安全分析結果�����,虛擬實驗室可以記錄并考核受訓者實驗過程和成績�����。
(2)能力訓練場�����。信息安全管理�����,尤其是信息安全防范��,必須掌握很多具體操作技能�。信息化條件下信息安全管理技能訓練��,是運用計算機信息安全管理理論�,構建信息安全管理環(huán)境�����,圍繞信息安全管理攻防����,突出信息安全防御和信息安全保密等主要內(nèi)容�,反復進行“預實踐”活動。能力訓練要注重訓練手段創(chuàng)新�����,重視信息技術�����、虛擬仿真技術及信息安全理論方法和技能的跟蹤與研究���,用“虛擬”制造“現(xiàn)實”�,用網(wǎng)絡擴大規(guī)模�,用模型替代裁判��,用互聯(lián)造就聯(lián)合�����,開發(fā)信息安全管理模擬訓練系統(tǒng)�����,在體驗中感覺信息安全入侵�����,在互動中提高防范應變能力��,在對抗中捍衛(wèi)信息安全����。信息化條件下的教育訓練��,為培訓教育中因材施教的教學需求提供了很好的手段和方法����,對信息安全管理的能力訓練等有很好技術支持,當然相對傳統(tǒng)教學而言���,其教學理念�、教學準備、教學實施和教學考核的教學全過程有深刻的變革�����,需要教育者不斷深入研究和努力實踐創(chuàng)新��。
作者:韓全惜 單位:南京政治學院軍事信息管理系
信息安全管理論文:基于信息安全的人員安全管理論文
1人員安全管理現(xiàn)狀
1.1崗位人員安全意識薄弱
崗位人員隨便下載安裝個人需要的軟件程序���,往往會在安裝軟件的過程中直接將一些安裝程序中附帶的插件也裝在了操作系統(tǒng)中,如果是惡性插件��,必然會造成系統(tǒng)的不穩(wěn)定����,嚴重者甚至會造成信息安全事件的發(fā)生,這些事件的發(fā)生很大程度上就是因為崗位人員安全意識薄弱所造成的�。安全意識薄弱的因素有很多,一是相關技術部門沒有長期的進行圖書館信息安全意識的思想灌輸�;二是崗位人員本身對信息安全意識重視不夠。
1.2人員安全管理制度不完善�����,執(zhí)行力不高
制度的制定給予管理提供依據(jù),無制度便無章可循���,相關工作就會混亂無章���。雖然多數(shù)高職院校圖書館在人員安全管理方面都制定了相關的管理制度,但制度的內(nèi)容不夠完善���,很多細節(jié)問題不夠全面��,甚至只是“白紙黑字”而已��,形同虛設����,而且執(zhí)行起來也不夠徹底���,執(zhí)行力不高�����。這大多數(shù)高職院校尤其是民辦性質的高職院校圖書館都普通存在這樣的現(xiàn)象���。
2人員安全管理策略
要解決人員安全管理不當帶來的信息安全問題�,必須要比較全面地完善人員安全方面的管理制度��,提高執(zhí)行力�。具體策略如下:
2.1技術人員崗位分工協(xié)作
對于技術人員充足的高職院校圖書館,可以將技術人員劃分為三個崗位:硬件安全人員�����、軟件安全人員和網(wǎng)絡數(shù)據(jù)人員���。根據(jù)圖書館的實際情況出發(fā)�,將這三類技術人員進行分工協(xié)作��,日常工作中完成各自崗位上的職責���。具體劃分可以參考附表。
2.2崗位人員安全管理
2.2.1崗位人員的聘用審核
大多數(shù)圖書館都會每年進行一次崗位人員的招聘��,因此����,每年崗位人員的聘用必須經(jīng)過嚴格的政審并且考核其業(yè)務能力,尤其是安全保密方面的能力。對于信息安全意識強的���,工作業(yè)務能力高的��,要擇優(yōu)錄取�。嚴格的聘用審核可以將一些毫無信息安全意識的聘用人員扼殺在圖書館外���。
2.2.2崗位人員工作機使用限制
保障圖書館數(shù)字信息的全面安全與崗位人員是否正確使用工作機有很大的關系�,不法黑客就是利用非技術人員亂下載亂安裝插件的陋習造成的系統(tǒng)漏洞進行系統(tǒng)的攻擊�����。根據(jù)各館的實際工作需要�,可以對工作機的使用作必要的使用說明,例如可以這樣限制:①不得隨意下載安裝存在安全隱患的插件或其他與圖書館工作無關的軟件����,例如:證券軟件、視頻軟件等����。②不得隨意瀏覽不安全不健康的網(wǎng)頁;③如有需要安裝工作需要的軟件�,須聯(lián)系技術人員為其下載安全���;④遇到信息管理系統(tǒng)客戶端無法正常使用的情況��,不要自行卸載或重裝����,須聯(lián)系技術人員解決問題��;⑤其他的一些使用原則�。
2.2.3崗位人員安全意識培訓
信息安全意識對于信息至上的圖書館而言是非常重要的�,如果崗位人員都安全意識高,完全可以避免很多信息安全事件的發(fā)生�����。安全培訓可以根據(jù)圖書館制定信息安全培訓制度與培訓計劃����,有針對性地有重點地定時對不同崗位的工作人員進行培訓��。例如:X館在每個學期末的全館學期工作總結會議上��,信息技術部主任都會對全館的工作人員進行迫切高度強調(diào)信息安全意識的重要性����。
2.2.4崗位人員功能賬號統(tǒng)一管理
圖書館信息管理系統(tǒng)包括編目���、流通、期刊��、系統(tǒng)管理����、檢索、采訪等幾個子功能系統(tǒng)�����,不同崗位的工作人員擁有相應的子系統(tǒng)功能賬號����。為了保證數(shù)字信息的安全,崗位人員功能賬號的使用必須統(tǒng)一由相關部門(信息技術部)分配管理����,提出有效的管理分配原則,例如:一個崗位人員只能擁有該崗位的功能賬號���,不得擁有其他崗位的功能賬號�;對于某些崗位人員有業(yè)務工作需求,需要其他崗位的功能賬號�����,可以設置多個公共功能賬號提供使用����,需求者必須向信息技術部門提出申請;新進的崗位人員需向信息技術部相關工作人員申請賬號���;崗位人員需要修改賬號或密碼���,必須向技術部相關工作人員提出需求給予修改。
2.3讀者用戶安全管理
圖書館的信息是為讀者用戶服務的��,信息訪問量最大的群體就是讀者用戶���,讀者用戶是否安全訪問也直接影響著信息管理系統(tǒng)的信息安全��。因此�����,圖書館有必要采取有效措施���,制定確實可行的讀者用戶安全訪問管理制度,確保讀者用戶訪問圖書館信息的安全���?�?梢酝ㄟ^以下方式提高讀者的信息安全意識:①每年新生入學��,圖書館可以通過開展新生入館教育的形式對新生讀者進行信息安全意識的提高����,通過用戶安全培訓���,提高用戶安全意識��,使其自覺遵守安全制度�����。②通過網(wǎng)絡宣傳��、現(xiàn)場海報宣傳����,小冊子派發(fā)宣傳、講座演講宣傳等形式對讀者長期進行信息安全意識的宣傳�����,提升讀者的信息素養(yǎng)�,讓讀者掌握簡單有效的病毒攻擊防護技巧。
3結束語
信息安全是數(shù)字圖書館業(yè)務工作穩(wěn)定進行的基本保障���,數(shù)字信息不安全�����,圖書館的信息服務工作就得不到保障����。從圖書館技術人員的角度出發(fā)�����,必須要認清信息安全在人員管理方面存在的不足�,并提出確實有效可行的人員安全管理措施,以保障數(shù)字圖書館信息服務工作的正常進行��。
作者:黃偉成 單位:廣東農(nóng)工商職業(yè)技術學院圖書館
信息安全管理論文:信息安全管理體系的構建
一、信息安全管理體系的概述
隨著信息技術的不斷發(fā)展�����,我國信息安全管理工作質量不斷提高����,但是��,目前仍然存在著一些問題�,阻礙了信息安全管理的發(fā)展。首先���,我國信息安全管理法規(guī)體系不夠完善��,相關方面的法律規(guī)定較少����,導致信息安全管理的實施得不到有效的法律保障���。其次����,我國信息安全管理片面注重技術層面的維護���,缺乏有效的管理手段����,信息安全管理比較薄弱。最后��,信息安全管理主要采取被動手段�����,科學性不高��,不能實現(xiàn)全面性管理�����,而且一些高層領導對信息安全管理工作的重視程度偏低�,信息安全管理工作比較薄弱。
二���、信息安全管理體系的構建
2.1策劃準備
在構建信息安全管理體系前��,需要做好各種準備工作�����,包括計劃的制定����、相關培訓安排、組織調(diào)研活動����、職責劃分等內(nèi)容�。
2.2確定范圍
根據(jù)組織中IT技術水平、信息資產(chǎn)��、工作人員等實際情況����,進行信息安全管理體系適用的安全范圍,既可以選擇部分區(qū)域�����,也可選擇整個區(qū)域�����。確定合理的安全范圍后,信息的安全管理更加方便����。
2.3風險評估
構建信息安全管理體系時,要做好信息處理���、存儲等工作的安全性調(diào)查�,預測可能發(fā)生的危害信息安全性的事件�����,并對可能性危害事件會造成的影響做出判斷��,然后根據(jù)評估結果做好信息風險管理工作���。
2.4建立框架
要完成信息安全管理體系的構建�,離不開信息安全管理框架的建立����,這就需要我們要做到全方面考慮,根據(jù)信息系統(tǒng)的實際情況�,結合組織特點、技術水平等條件建立相應的信息清單����,對信息管理做好風險分析��、需求分析等內(nèi)容�����,并提出相應的問題解決方案�,進一步保證信息的安全性�。
2.5文件編寫
要構建信息安全管理體系,還需要對范圍確定�、安全方針����、風險評估等內(nèi)容進行相應的文件編寫,建立各種文檔��,為風險管理���、體系改進等工作提供依據(jù)����。
2.6體系運行
以上步驟完成后���,信息安全管理體系開始運行���。在運行時期�����,我們要進一步提高體系運作力度�����,使體系的整體功能得到有效發(fā)揮�。一旦發(fā)現(xiàn)體系存在問題�,要盡快找出解決措施,及時解決相關問題��,不斷完善信息安全管理體系�。
2.7體系審核
信息安全管理體系的審核主要是對體系進行客觀評價,通過內(nèi)部審核及外部審核兩種方式對體系的運行及相關文件進行全方面檢查�����。其中內(nèi)部審核主要是組織內(nèi)部的自我審核��,外部審核主要由外部相應的組織對體系進行檢查��,通過內(nèi)外審核進一步確定信息安全管理體系的安全性。
三�、總結
綜上所述,信息對于部隊來說非常重要��,作為信息安全管理者�,確保部隊信息的安全性是我們的主要職責。信息安全管理需要從技術和管理兩個方面入手�����,時代環(huán)境在不斷變化���,信息管理技術也要不斷創(chuàng)新����,從而適應當前時代的需求�����。目前��,我國信息安全管理存在一定的問題���,需要我們采取積極的手段構建并完善相關體系��,進一步提高信息的安全管理質量��。
作者:楊三勇 單位:72433 部隊檔案室
信息安全管理論文:電子檔案信息安全管理問題及挑戰(zhàn)
【文章摘要】電子檔案主要就是利用科學技術來對檔案進行合理構建�,可是國內(nèi)在管理電子檔案信息時���,還存在諸多安全問題需要進行解決���。文章分析了電子檔案管理過程中面臨的安全問題,從而提出一些強化策略����,希望可以為我國管理電子檔案的工作人員提供參考。
【關鍵詞】電子檔案��;信息安全�����;問題�����;策略
以前的紙質檔案在保存過程中���,時常會出現(xiàn)眾多隱患���,譬如:破損�、腐蝕��、蟲蛀與丟失等��,進而阻礙了檔案管理工作的質量和發(fā)展速度���。而在信息技術迅猛發(fā)展的當下����,眾多檔案管理人員開始應用電子信息的方式來管理檔案���,這樣一來就有效防止了紙質檔案缺陷的發(fā)生�����。可是在一系列實踐工作中不難發(fā)現(xiàn)�,雖然現(xiàn)在我國應用電子檔案信息的管理方式,可是在檔案管理中依舊會出現(xiàn)不同種類的問題���。譬如:標準化及規(guī)范化程度不夠�、編制人員素質不統(tǒng)一等等。所以���,筆者在探究這些問題的過程中���,并提出了解決辦法,具體如下�����。
1分析檔案信息的安全需求
檔案信息安全具體包括以下要求:首先�����,要保證網(wǎng)絡系統(tǒng)的運行安全����;其次,檔案信息內(nèi)容應該具有相應的安全性���。檔案內(nèi)容安全是檔案管理中的重要內(nèi)容����,其不但包括信息傳輸安全,還包括信息存儲安全����。通過分析可知檔案信息安全需求如下:
1.1完整性
針對電子檔案信息而言,其背景信息�、源數(shù)據(jù)以及內(nèi)容都需要進行完善,同時還要確保硬件說明�、軟件說明、事件活動信息等都具有相應的完整性����。也就是說,在傳輸電子檔案信息時����,一定不能出現(xiàn)破壞的現(xiàn)象,譬如:偽裝重置���、刪除與篡改等��。
1.2真實性
保證電子信息都是從可靠且安全的電子檔案中獲得來的���,在通過遷移和傳輸后���,不會與最初情況發(fā)生沖突�����,不會出現(xiàn)隨意破壞以及偽造和改動等情況����。
1.3保密性
只有合法的用戶才能夠訪問電子信息,而那些非法用戶是不能進行訪問的����。一般人們會對以下幾種保密技術進行使用:信息加密技術、物理保密技術�����、防輻射技術����、防偵收技術等。防輻射這種技術就是防止一些使用性質較高的信息被輻射出去����;防偵收這種技術就是阻礙不法人員對有用的信息進行接收;物理保密這種技術就是應用各種各樣的物理方法來保護信息,以有效預防信息外露���;信息加密這種技術就是在秘鑰的有效控制下��,進行恰當?shù)募用芴幚怼?
1.4不能被否認的特性
檔案信息在通過網(wǎng)絡系統(tǒng)進行交互時��,確保參與者的一致性及真實���、可靠性。也就是一切參與者都不能在否定前進行操作���。應用信息源可以防止發(fā)信人員對自己已經(jīng)發(fā)送的信息進行否認���。
2存在于電子檔案信息管理中的問題
現(xiàn)在我國在電子檔案信息管理方面還存著眾多安全問題,影響檔案管理效果與發(fā)展速度�,其中安全問題包括下述幾種:
2.1標準化及規(guī)范化程度不夠
我國現(xiàn)在所進行的檔案信息管理還不是非常成熟,相比于那些發(fā)達的國家����,還有很大的差距。我國電子信息檔案管理才剛剛起步��,所以��,在管理過程經(jīng)常會遇到這樣或那樣的問題。而隨著網(wǎng)絡技術的發(fā)展���,人們逐漸明確數(shù)字化檔案、信息化檔案對于檔案管理工作是非常重要的����。可是我國目前在電子檔案管理這方面卻沒有非常高的標準性和規(guī)范性�����,因此阻礙了數(shù)字化檔案和信息化檔案這個管理目標的實現(xiàn)���。
2.2沒有統(tǒng)一的電子檔案文件
在電子檔案管理過程中�����,如果只針對計算機軟件的研究和開發(fā)而言���,現(xiàn)在最需要重視的問題就是軟件開發(fā)無法與檔案的使用需求相符合,并且還不能提高檔案的存儲效率和實際利用��。此外�����,單位、地區(qū)間應用的檔案管理系統(tǒng)存在不統(tǒng)一的情況����,這樣各單位以及地區(qū)就不能夠實現(xiàn)共享和利用檔案文件的目的。
2.3沒有較強的技術支持
針對電子檔案管理工作而言�,假如沒有較硬的技術支持,那么電子檔案信息就會存在安全隱患?���,F(xiàn)在我國在進行檔案信息管理時,缺少科學技術支持����。具體有下述表現(xiàn):其一,在選配硬件方面有問題存在����。譬如:在選配硬件時,選擇的硬件系統(tǒng)性能和質量都非常差�����,且功能還不健全�,進而影響檔案管理系統(tǒng)的實際運行�,還可能會因此丟失一部分檔案文件��。其二��,病毒入侵計算機��。當計算機中進入病毒之后��,計算機當中的數(shù)據(jù)就會被破壞�����,使得相應的功能出現(xiàn)降低�����,并使數(shù)據(jù)和系統(tǒng)受到影響���,進而失去安全性能,譬如:隨著木馬病毒的快速蔓延����,電子系統(tǒng)就會被影響,進而影響到整個檔案管理工作����。
2.4管理人員的素質不統(tǒng)一
大部分企業(yè)當中的檔案管理人員都具備眾多的管理檔案的知識�,可是他們的素質卻不相同��,較為明顯的表現(xiàn)就是計算機知識和技能的掌握情況存在極大差距�,在進行電子檔案管理時,想要對一些電子軟件進行操作�����,那么管理人員一定要具備非常強的操作能力�����,只有這樣管理才能使有效性得到提升��?����?墒菍嶋H上���,部分管理人員都比較缺少計算機知識����、不具備基本的操作能力和應用網(wǎng)絡技術的能力,進而致使檔案管理不能夠得到安全保證�����。
3強化檔案管理安全性的方法
3.1提高檔案管理的規(guī)范性及標準性
為了強化電子檔案的管理�����,使其安全性能得到提升�����,就應該規(guī)范檔案管理工作����。譬如:在搜集完電子文件之后����,應該形成一個系統(tǒng)的文件,然后再進行細致的整理及積累���,最后在相關人員鑒定沒有錯誤后進行歸檔處理����。只要按照以上步驟進行檔案歸檔工作,那么檔案的規(guī)范性�、標準性都會得到相應的提升。同時����,當整理完電子檔案,并做好歸檔工作之后�,還應該進行保管和移交工作。此外��,檔案管理部門還應該集中對電子文件進行管理����,進而使檔案管理工作更加的規(guī)范和標準。
3.2對管理軟件進行升級處理
現(xiàn)在國內(nèi)所擁有的檔案管理軟件并不成熟�,所以,應該對管理軟件進行升級處理����,以使檔案信息的安全得到保證。升級管理軟件的目標包括以下幾種:第一種����,提升管理軟件的兼容性;第二種提升軟件的統(tǒng)一性。兼容性就是管理軟件能夠與其余操作系統(tǒng)和設備進行配合���,因此軟件只有具有良好的配合功能�����,才算具有良好的兼容性��,譬如:和操作平臺進行配合等等��。而統(tǒng)一性就是升級過的電子軟件擁有一個較為完善的管理系統(tǒng)��,并且在每一個環(huán)節(jié)當中都應該體現(xiàn)出統(tǒng)一性原則�,譬如:統(tǒng)一應用軟件���、統(tǒng)一規(guī)章制度���、統(tǒng)一標準等��,尤其是單位�����、地區(qū)內(nèi),一定要防止檔案系統(tǒng)出現(xiàn)較為嚴重的差異情況���,進而使系統(tǒng)在具備統(tǒng)一特征之后�����,使檔案文件能夠被更加廣泛分享和利用�����。
3.3建立專業(yè)的管理隊伍
管理信息檔案屬于較為系統(tǒng)且復雜的一項工作���,想要使檔案管理具備更高的安全性及有效性,便需要建立一支專業(yè)知識�、操作能力及素質都極高的管理隊伍。首先���,對管理人員進行培養(yǎng)���,讓他們意識到管理工作的重要性,嚴格杜絕那些思想不先進���、工作不積極的現(xiàn)象發(fā)生�。其次,應該選拔和聘用一些熟悉檔案業(yè)務且工作能力和素質都極強的管理人員�,然后再對這部分人員進行業(yè)務、技能和知識培訓���,以此提升管理人員的綜合素質����。此外�,因為部分管理人員沒有過硬的計算機操作能力,并且與計算機有關的知識積累也較為欠缺�。所以,在網(wǎng)絡應用和計算機操作方面都應該加強培訓���,進而使電子檔案的利用�����、整理���、形成和接收等工作可以更加完善���。
3.4構建維護電子檔案的法律條例
為了防止檔案信息丟失和被隨意被更改的現(xiàn)象發(fā)生���,就需要構建維護電子檔案的法律條例����。其一�,在掌握目前已經(jīng)建立的法律內(nèi)容同時,認真的整合立法信息資源�����,并構建維護電子檔案的法律體系�,進而使電子文件更加的安全和真實。其二����,檔案和文件在立法上一定要保持一致性,不能盲目的在兩者間進行立法��,只有這樣才能促進檔案管理工作持續(xù)進行��。其三���,應該明確電子文件在法律上的地位�����,制定恰當?shù)姆珊头ㄒ?guī)�,進而使檔案管理工作在法律的維護下良好發(fā)展。其四�����,管理檔案的部門間應該做好配合���,如:信息部門�、技術部門���、法律部門等���,充分分析文件所具有的特殊性質,并在借鑒發(fā)達國家頒布的法律體系基礎上���,建立與國內(nèi)國情相符合的法規(guī)體系��,促進檔案工作快速����、穩(wěn)定發(fā)展���。
4結語
針對目前的實際情況來看���,在我國還有很多安全問題存在電子信息檔案管理過程中,譬如:電子文件統(tǒng)一性不足����、管理人員素質不統(tǒng)一、標準化及規(guī)范化不足��、沒有較強的技術支持等�。針對檔案管理工作而言,一定要在探討以上問題的基礎上���,制定相應的強化措施�,以使電子文件的安全性得到提升���。在管理電子檔案時����,筆者認為要提高檔案管理的規(guī)范性及標準性��、對管理軟件進行升級處理����、建立專業(yè)的管理隊伍���、構建完善的法律條例,使電子檔案文件更加的安全和真實�����,保證檔案管理工作的完善性和科學性��。
作者:李愛鋒 單位:衡水市計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心
信息安全管理論文:檔案開放與信息安全管理淺談
一����、檔案開放
(一)檔案開放的必要性。
進入現(xiàn)代社會��,互聯(lián)網(wǎng)科技十分發(fā)達�,人們了解獲得信息的渠道,方式多種多樣����。無論國家政府的檔案,還是企業(yè)公司的檔案����,都可以通過合法或者非法的方式進入互聯(lián)網(wǎng)�����,為公眾所知���。對于各種檔案�,進行嚴密的保管是很難做到的,在當下我們這個信息開放的社會�����,將檔案開放�����,方便社會群眾進行了解��,使用���,對于維護社會穩(wěn)定�����,提升檔案的利用價值����,提高檔案的可靠真實度都有重要的意義。當然�����,筆者本文所言的具有開放必要性的檔案是具有公共利益性質的檔案��,是能夠為人民提供一定服務的檔案���。對于國家檔案���,很多在一定時期屬于國家機密,是無法對外開放的��,但是這并不代表這種檔案沒有開放的必要性�����,開放的必要性依舊存在����,國家的人民有權利了解國家的相關事務,隨著時期的過渡,這些檔案會慢慢解密為社會公眾所了解��;對于企業(yè)檔案�����,開放的必要性是針對企業(yè)工作的工作人員�����。企業(yè)的領導層以及員工階層能夠方便調(diào)取個人以及企業(yè)的相關檔案對于提高企業(yè)工作效率�,團結企業(yè)有著重要的意義��。
(二)檔案開放的風險性�����。
當然�,檔案的開放具有很大的危險性,存在很大的安全風險����。對于國家政府相關的檔案,即使在開放之前�,考慮再三,十分謹慎,度過了某一敏感的時期����,但是,一些檔案公之于眾之后還是會引起一些波瀾��。甚至���,政府類的檔案還容易被心懷叵測的社會主義敵對分子利用����,借之進行歪解胡說�����,蠱惑一批無知又容易沖動的民眾����,對我們的社會穩(wěn)定產(chǎn)生很多不利的因素。此外��,對于企業(yè)或者機關單位的很多檔案��,為了方便業(yè)內(nèi)人士提取�,使用�,進行開放后����,往往容易造成個人隱私泄密,單位機密泄密����,為不法分子提供可乘之機?���?傊_放檔案�,既有方便,積極的一面���,同時也面臨著很大的風險,存在很大的安全隱患問題��。即使開放檔案存在這樣或者那樣�����,可預知以及不可預知的風險�����,筆者還是認為,我們不能因噎廢食����,還是應該將應該開放的檔案,大膽進行開放���。
(三)檔案開放的程序�����。
所謂的檔案開放程序�����,就是指檔案開放所需要進行的必要操作�����,所必須經(jīng)歷的方法�����,步驟�����。只有確立嚴格的檔案開放程序��,并且嚴格按照程序辦事����,開放符合要求的相關檔案,才能降低開放檔案帶來的風險����,同時滿足檔案開放的必要性,發(fā)揮開放性檔案的積極作用��。不同性質的檔案�����,開放程序不同��,有嚴密繁瑣的程序步驟�,也有簡單章程性的程序�,這主要根據(jù)檔案的重要性來決定。確立明確��,嚴明的檔案開放程序,對于檔案的有序�、科學使用,檔案信息的保密都有著重要的意義�����。
二����、信息安全管理的方法策略
(一)管理工作人員的培養(yǎng)。
做好信息安全管理的工作我們首先需要一批具備安全管理信息才能的人才���?;ヂ?lián)網(wǎng)時代的飛速發(fā)展��,為我們的社會培養(yǎng)了很多具有互聯(lián)網(wǎng)知識����,IT行業(yè)技術的高端人才。我們只要對這些人才進行短期的信息安全管理的培訓工作��,就完全能夠使這些人才勝任信息安全管理的工作����。做好信息安全管理工作的首要一步是引進綜合素質過硬的人才��,并對這些人才進行必要的職前培訓����,只有這樣�����,企業(yè)單位的信息部門才能做到信息的科學���,安全管理�。既為企業(yè)單位提供開放信息帶來的便利���,同時還要保證信息的安全���。
(二)嚴格管理制度的確立。
確立嚴格�,完善的安全管理信息的相關規(guī)章制度,并嚴格遵守���,一切按照規(guī)章制度辦事,任何人在一般情況下都不能破壞規(guī)章制度�����,調(diào)取信息。企業(yè)和單位為了做好信息安全管理的工作���,就要自上而下嚴格遵守企業(yè)制定的信息安全管理的規(guī)章制度?�,F(xiàn)代企業(yè)和事業(yè)單位的管理���,都要以嚴格的,先進科學的管理制度進行管理���,在信息管理部門同樣是如此�����,好的制度為信息安全管理提供有效的保障���。
(三)安全可靠的設備。
檔案的管理人員在對檔案進行收集與整理的過程中就應該對文件做一個明確的分類��,并進行準確的編號�����。同時要隊文件的資料做一個科學合理的分類與陳列,或者是可以依照不同的部門而對其進行分類�����。提高報關信息設備的安全可靠性����。企業(yè)和事業(yè)單位的信息部一定要完善處理,保管信息的設備�,提高信息管理工作需要的硬件以及軟件設備的水平。高水平的硬件���,軟件設備不僅能夠提高信息利用的效率�,同時還能夠提高對信息的保護層級����,防治外來黑客對信息進行竊取。
(四)監(jiān)督審查措施的常態(tài)開展�。
為了保證信息的安全,要確立嚴格的監(jiān)督制度��,對單位的信息進行嚴格的監(jiān)督��,并且做到自下至上的,分工明確�,責任明確。成立專門的信息監(jiān)督小組�,通過互聯(lián)網(wǎng)以及其他相關的技術設備對信息進行監(jiān)督�����,管理��。對單位的信息要做到定期系統(tǒng)管理���,每隔一段時間����,對單位所有的信息進行分門別類�����,系統(tǒng)的管理��,淘汰無用的信息�,保證信息的時效性。同時�����,要確立嚴格的審查,追責制度�。首先,定期對信息進行審查����,保證信息管理工作的安全可靠,其次���,對于信息被濫用�,泄露等惡劣事件�����,要做到嚴格追責����,嚴厲懲罰。
三����、結束語
有些檔案具有開放的必要性,在當今互聯(lián)網(wǎng)時代���,將部分檔案開放��,有利于提高檔案的使用價值��,提升人民群眾的法治觀念���,維護社會以及互聯(lián)網(wǎng)環(huán)境的文明,合法���。同時�,將檔案信息開放面臨著很多的風險����,但是我們不能因噎廢食,該開放的檔案信息還是要積極地進行開放�,只是我們必須要完善我們的信息安全管理制度,并且培養(yǎng)大批從事信息安全管理工作的人才����。只有做到嚴明制度,謹慎管理����,我們才能夠一面發(fā)揮檔案信息開放的積極作用����,同時還能保證檔案信息的安全��,防止檔案信息被非法濫用��。
作者:劉曉峰 單位:洮南市中小企業(yè)服務中心
信息安全管理論文:加強公務外網(wǎng)信息安全管理工作通知
一�����、加強領導�����,健全網(wǎng)絡安全管理責任制
各單位要切實加強對信息網(wǎng)絡安全工作的組織領導���,一把手作為信息網(wǎng)絡安全和保密工作的第一責任人���,要按照“誰主管誰負責、誰運行誰負責����、誰使用誰負責”的原則建立健全網(wǎng)絡安全管理責任制,明確主要責任人和直接責任人��,把管理責任落實到具體崗位和具體工作人員。
二�����、完善措施����,確保公務外網(wǎng)信息網(wǎng)絡安全
(一)組織開展信息網(wǎng)絡安全培訓
各單位要對工作人員進行國家保密法律、法規(guī)和網(wǎng)絡安全保密管理規(guī)定的培訓���,特別是要對網(wǎng)絡管理人員開展崗位技能培訓,切實提高相關工作人員的信息網(wǎng)絡安全意識和防范能力�。
(二)加強網(wǎng)絡安全管理
加強網(wǎng)絡安全管理,嚴格遵循“涉密不上網(wǎng)����,上網(wǎng)不涉密”原則,以防攻防����、防癱瘓、防病毒��、防竊密為重點���,做好信息網(wǎng)絡安全管理工作�。
1.公務外網(wǎng)屬于非涉密的政務外網(wǎng),各聯(lián)網(wǎng)單位不得將涉密計算機設備和網(wǎng)絡接入本網(wǎng)��,不得在公務外網(wǎng)上傳輸�、處理或存儲涉密信息。嚴禁在涉密計算機與其他計算機之間交叉使用U盤等移動存儲設備����。
2.為確保公務外網(wǎng)安全,嚴禁各單位私自接入路由器����、交換機等網(wǎng)絡設備,嚴禁擅自擴大網(wǎng)絡的使用范圍�����。確需接入路由器等設備的�����,需向縣政府辦公室信息公開及網(wǎng)絡管理中心提出書面申請����,經(jīng)審批后���,按照有關程序,由專人負責接入���。
3.連接公務外網(wǎng)的所有計算機�、服務器和其他設備不得用于存儲����、處理、傳輸涉密及秘密和敏感信息����。工作人員不得在聯(lián)網(wǎng)計算機上炒股、打游戲��、看電影�����、聊天��,不得瀏覽����、復制、傳播反動�����、色情等不良信息�,不得傳播病毒等有害信息,不得在公務外網(wǎng)上從事違法活動��。
4.加強IP地址管理�����,嚴禁違反統(tǒng)一規(guī)劃擅自更改和設置IP地址�����。
5.嚴禁內(nèi)網(wǎng)外聯(lián)����,嚴禁使用公用郵箱收發(fā)涉密郵件。
6.全縣公務外網(wǎng)具有統(tǒng)一的國際互聯(lián)網(wǎng)出口�,接入公務外網(wǎng)的計算機、設備和網(wǎng)絡�,不得再通過其他線路聯(lián)接國際互聯(lián)網(wǎng)或其他外部網(wǎng)絡。
7.各聯(lián)網(wǎng)單位計算機系統(tǒng)必須安裝殺毒軟件、木馬防火墻并及時更新����。
8.設有獨立機房的單位要安排工作人員在機房值班,并定期和不定期地對網(wǎng)絡設備工作狀況���、UPS電源維護��、數(shù)據(jù)備份�、防病毒軟件升級���、移動存儲設備使用��、數(shù)據(jù)傳輸及各項制度的執(zhí)行情況開展巡回檢查���,注意防火防盜,確保網(wǎng)絡安全暢通無事故���。
(三)加強網(wǎng)上信息的安全管理
已在互聯(lián)網(wǎng)上開通門戶網(wǎng)站或開通信息公開平臺的單位,要按照“誰誰負責��、誰審核誰負責”的原則����,嚴把信息關����,杜絕涉密����、敏感信息上網(wǎng)。
三�、開展自查,排除潛在的信息安全隱患
接此通知后�����,各單位要認真開展一次信息安全自查����,做到不走過場、不留死角�����,發(fā)現(xiàn)信息安全隱患要及時采取有效措施���,確保網(wǎng)絡信息安全�����。
四����、建立機制,提升信息網(wǎng)絡安全應急能力
各單位要建立健全信息網(wǎng)絡安全應急預案�,完善信息網(wǎng)絡安全應急措施,提升網(wǎng)絡突發(fā)安全事件的處置和響應能力��。要加強預警監(jiān)測��,一旦公務外網(wǎng)發(fā)生網(wǎng)絡安全事件�,要迅速向縣政府辦公室報告,并做好先期處置�、情況研判工作,最大限度地減少事件造成的損失和危害���。
