前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)信息安全管理體系主題范文,僅供參考,歡迎閱讀并收藏。
[關(guān)鍵詞]電力系統(tǒng);計(jì)算機(jī)網(wǎng)絡(luò);信息安全
doi:10.3969/j.issn.1673 - 0194.2017.02.029
[中圖分類號(hào)]TP393.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194(2017)02-00-02
目前,我國(guó)電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息有著較好的發(fā)展。但仍存在一些問(wèn)題,只有加強(qiáng)對(duì)電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息的管理工作、強(qiáng)化安全運(yùn)行及操作管理、加強(qiáng)電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息風(fēng)險(xiǎn)的防范及加大系統(tǒng)運(yùn)行的技術(shù)投入,才能確保電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全、穩(wěn)定的運(yùn)行,并將其發(fā)揮到最大作用。電力系統(tǒng)信息網(wǎng)絡(luò)的管理是我國(guó)信息安全產(chǎn)業(yè)建設(shè)與發(fā)展的重要組成部分,但電力系統(tǒng)信息化管理的安全研究還存在很多不足,仍需加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全方面的研究。
1 計(jì)算機(jī)信息安全的概述
不少發(fā)達(dá)國(guó)家的政治、經(jīng)濟(jì)及文化開始依賴于計(jì)算機(jī)信息的基礎(chǔ)設(shè)施,但同時(shí)也出現(xiàn)了強(qiáng)大的黑客攻擊,信息技術(shù)猶如新型的作戰(zhàn)技術(shù),在當(dāng)前的形式下,計(jì)算機(jī)信息的安全問(wèn)題已成為各國(guó)面臨的巨大挑戰(zhàn)。因此,還需進(jìn)一步加強(qiáng)對(duì)計(jì)算機(jī)信息安全的風(fēng)險(xiǎn)管理。1990年,英、法、荷蘭等歐共體國(guó)家聯(lián)合了關(guān)于信息技術(shù)安全評(píng)估的準(zhǔn)則。1991年,頒布了關(guān)于計(jì)算機(jī)信息安全管理實(shí)用規(guī)則。這兩大準(zhǔn)則的頒布,直接推動(dòng)了計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理的發(fā)展。計(jì)算機(jī)信息安全的風(fēng)險(xiǎn)管理的研究?jī)?nèi)容有很多,比如,相關(guān)的制作規(guī)范和調(diào)節(jié)機(jī)制、業(yè)務(wù)信息和數(shù)據(jù)范圍、動(dòng)態(tài)和靜態(tài)的數(shù)據(jù)管理要求、對(duì)交換的業(yè)務(wù)進(jìn)行統(tǒng)一的規(guī)范、構(gòu)建安全、協(xié)調(diào)、科學(xué)的管理體系和溝通協(xié)作模型、建立安全的管理支撐平臺(tái)等。2001年,國(guó)際標(biāo)準(zhǔn)化組織頒布了《信息安全管理實(shí)施指南》,其主要提出了關(guān)于風(fēng)險(xiǎn)管理的信息安全管理體系的構(gòu)建,信息安全管理體系是一個(gè)以構(gòu)建信息系統(tǒng)安全的縱深防御體系,這也推動(dòng)了我國(guó)計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理的進(jìn)一步發(fā)展,使其進(jìn)入了深層次研究的階段。
目前,我國(guó)的計(jì)算機(jī)信息技術(shù)還處于發(fā)展階段,比較脆弱,可能會(huì)對(duì)個(gè)體及整個(gè)國(guó)家的電網(wǎng)帶來(lái)安全威脅。因此,還需構(gòu)建規(guī)范的管理機(jī)制,建立高效、便捷的信息溝通管理平臺(tái),并通過(guò)相關(guān)機(jī)制對(duì)計(jì)算機(jī)信息進(jìn)行集中管理,提高調(diào)控的管理水平,只有這樣才能更好地確保計(jì)算機(jī)信息安全、穩(wěn)定的運(yùn)行。
2 計(jì)算機(jī)網(wǎng)絡(luò)信息安全在電力系統(tǒng)中的重要性
隨著我國(guó)經(jīng)濟(jì)體制的深入改革,我國(guó)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息管理安全的研究有了更進(jìn)一步的發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)信息管理建設(shè)中常常會(huì)出現(xiàn)軟件、硬件、數(shù)據(jù)、病毒侵蝕等問(wèn)題。對(duì)于電力企業(yè)來(lái)說(shuō),如果軟件中出現(xiàn)問(wèn)題,會(huì)降低工作人員的工作效率;當(dāng)硬件出現(xiàn)問(wèn)題時(shí),會(huì)影響到計(jì)算機(jī)的正常運(yùn)作;當(dāng)數(shù)據(jù)出現(xiàn)問(wèn)題時(shí),這些機(jī)密性、不可外泄的信息就會(huì)泄漏;當(dāng)運(yùn)行中出現(xiàn)問(wèn)題時(shí),會(huì)直接影響到網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行;當(dāng)計(jì)算機(jī)受到病毒侵蝕時(shí),會(huì)造成整個(gè)系統(tǒng)的崩潰,直接影響網(wǎng)絡(luò)的安全性建設(shè)等。在某種意義上,計(jì)算機(jī)網(wǎng)絡(luò)信息安全在電力系統(tǒng)中實(shí)現(xiàn)了數(shù)據(jù)和信息資源直接的共享、數(shù)據(jù)之間的交換,構(gòu)建了安全管理機(jī)制和支撐平臺(tái),保障了溝通的方式的安全、科學(xué)、智能,可以說(shuō),其安全智能管理體系的建立不僅滿足了計(jì)算機(jī)行業(yè)可持續(xù)發(fā)展的要求,還提高了電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的水平。因此,加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息管理建設(shè)的安全研究具有非常重要的現(xiàn)實(shí)意義,其在一定程度上關(guān)系到我國(guó)信息安全產(chǎn)業(yè)的健康發(fā)展。
3 我國(guó)電力系統(tǒng)信息網(wǎng)絡(luò)安全中存在的主要問(wèn)題
隨著我國(guó)信息技術(shù)的不斷發(fā)展,我國(guó)電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息的安全研究也有了進(jìn)一步的發(fā)展。我國(guó)電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息的安全研究直接影響到個(gè)人的工作效率,國(guó)家的未來(lái)發(fā)展等。由于信息安全題日益突出,大家對(duì)計(jì)算機(jī)信息安全的風(fēng)險(xiǎn)管理及發(fā)展趨勢(shì)有了更多的研究。我國(guó)電力系統(tǒng)信息網(wǎng)絡(luò)建設(shè)中還存在一些安全隱患,比如網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全等,電力系統(tǒng)信息網(wǎng)絡(luò)管理也存在很多問(wèn)題,比如:缺少專業(yè)技術(shù)人才、安全管理制度不健全、網(wǎng)絡(luò)安全管理意識(shí)淡薄、沒(méi)有健全的信息化管理的標(biāo)準(zhǔn)體系等。
為了能科學(xué)、合理地構(gòu)建規(guī)范的管理機(jī)制,還需建立高效、便捷的電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的制度,并通過(guò)相關(guān)機(jī)制進(jìn)行集中管理,提高調(diào)控的管理水平,從而更好地確保電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息的安全運(yùn)行。總的來(lái)說(shuō),我國(guó)的電力系統(tǒng)信息網(wǎng)絡(luò)管理安全體系還處于發(fā)展的初級(jí)階段,缺乏先進(jìn)的技術(shù)和創(chuàng)新型的人才。為了確保網(wǎng)絡(luò)系統(tǒng)的安全,仍需加強(qiáng)安全管理機(jī)制,且當(dāng)務(wù)之急還是要迅速地建立起電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息的標(biāo)準(zhǔn)體系,只有這樣才能進(jìn)一步展現(xiàn)出我國(guó)科學(xué)、合理、完善的電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息。
4 提高電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全水平的策略
4.1 強(qiáng)化安全運(yùn)行及操作管理
為了能更好地確保電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息管理的正常運(yùn)行,強(qiáng)化安全運(yùn)行及科學(xué)的操作管理是必不可少的內(nèi)容。由于我國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)信息管理并不安全,所以,需通過(guò)強(qiáng)化安全運(yùn)行,實(shí)施科學(xué)的網(wǎng)絡(luò)安全管理措施,采用規(guī)范的方法進(jìn)行管理和改善,比如,采取雙機(jī)備、雙機(jī)容錯(cuò)等方式,對(duì)一些關(guān)鍵的設(shè)備需要避免突發(fā)事件,對(duì)網(wǎng)絡(luò)架構(gòu)方面的設(shè)計(jì),要提高主干網(wǎng)絡(luò)鏈路的準(zhǔn)確性。管理者也要加強(qiáng)自身科學(xué)文化、思想品德方面的教育,要做到與員工溝通,提高員工的思想認(rèn)識(shí)和個(gè)人素質(zhì)等。強(qiáng)化安全運(yùn)行及操作管理能有效地解決我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)信息化管理中的安全風(fēng)險(xiǎn)問(wèn)題,這也是降低計(jì)算機(jī)網(wǎng)絡(luò)信息化管理中風(fēng)險(xiǎn)的有效策略。
4.2 強(qiáng)化密碼管理及計(jì)算機(jī)網(wǎng)絡(luò)信息化管理風(fēng)險(xiǎn)防范
為了能確保電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行,強(qiáng)化密碼管理、加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息化管理風(fēng)險(xiǎn)的防范是必不可少的內(nèi)容。由于我國(guó)當(dāng)下的電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行狀況并不安全,丟失的密碼很難找到,因此,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)置密碼時(shí),不可設(shè)置默認(rèn)密碼,還需定期修改密碼,強(qiáng)化密碼管理,加強(qiáng)安全運(yùn)行及操作,使用科學(xué)、規(guī)范的渠道和方法進(jìn)行管理和改善。而計(jì)算機(jī)網(wǎng)絡(luò)信息化管理本身就存在一定的風(fēng)險(xiǎn),加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息化管理風(fēng)險(xiǎn)的規(guī)范和指導(dǎo)能將運(yùn)行的風(fēng)險(xiǎn)降至最低,同時(shí),這也是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息化管理安全運(yùn)行的有力保障。此外,領(lǐng)導(dǎo)層需要重視計(jì)算機(jī)網(wǎng)絡(luò)信息化管理安全的管理工作,改變陳舊的觀念,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息化安全管理投入一定的資金和人才,才能使計(jì)算機(jī)網(wǎng)絡(luò)信息安全系統(tǒng)不斷地完善與成熟。
4.3 加大系統(tǒng)運(yùn)行的技術(shù)投入,提高安全監(jiān)控技術(shù)水平
加大系統(tǒng)運(yùn)行的技術(shù)投入是確保計(jì)算機(jī)網(wǎng)絡(luò)信息化管理安全的重要內(nèi)容,是電力企業(yè)進(jìn)行轉(zhuǎn)型升級(jí)必不可少的一個(gè)環(huán)節(jié)。一般情況下,電力企業(yè)可以通過(guò)采用以計(jì)算機(jī)為基礎(chǔ)的自動(dòng)化技術(shù),為計(jì)算機(jī)網(wǎng)絡(luò)信息化管理的運(yùn)行提供相關(guān)的技術(shù)支持和安全保障。計(jì)算機(jī)為基礎(chǔ)的自動(dòng)化技術(shù)是在網(wǎng)絡(luò)運(yùn)行中采集電度、保護(hù)系統(tǒng)等,也是常用的分布式綜合自動(dòng)化系統(tǒng)。為了能有效提升計(jì)算機(jī)網(wǎng)絡(luò)信息化管理的安全監(jiān)控技術(shù)水平,還需分析與研究黑客入侵的手段、網(wǎng)絡(luò)防病毒的進(jìn)展、檢測(cè)報(bào)警技術(shù)、系統(tǒng)訪問(wèn)控制和審計(jì)技術(shù)及計(jì)算機(jī)網(wǎng)絡(luò)信息化管理安全產(chǎn)品的研發(fā)等,探討計(jì)算機(jī)網(wǎng)絡(luò)信息化管理中的安全控制策略,建立全面、科學(xué)、合理的管理體系,實(shí)現(xiàn)各種數(shù)據(jù)之間的及時(shí)溝通和互動(dòng),確保信息安全產(chǎn)業(yè)的穩(wěn)定運(yùn)行。
5 結(jié) 語(yǔ)
由于我國(guó)電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息化管理的建設(shè)起步較晚、發(fā)展較慢,在安全風(fēng)險(xiǎn)管理體系的應(yīng)用和建設(shè)上還存在很多的不足,所以,我國(guó)電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息化管理建設(shè)安全的風(fēng)險(xiǎn)管理工作還需進(jìn)一步改善和管理。
加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息化管理的管理工作、強(qiáng)化安全運(yùn)行及操作管理、加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息化管理風(fēng)險(xiǎn)防范及加大系y運(yùn)行的技術(shù)投入等,能有效確保計(jì)算機(jī)網(wǎng)絡(luò)信息化管理安全、穩(wěn)定地運(yùn)行。此外,還要進(jìn)一步加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息化的研究和管理工作,對(duì)出現(xiàn)的問(wèn)題要及時(shí)解決,這對(duì)我國(guó)電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息化管理的安全運(yùn)行和未來(lái)發(fā)展都起到了直接的推動(dòng)作用。
以上就是對(duì)電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的具體介紹,筆者對(duì)其研究還不太全面,還存在一些不足之處,這也是筆者以后繼續(xù)努力學(xué)習(xí)和探索的方向。
主要參考文獻(xiàn)
[1]林萬(wàn)孝.計(jì)算機(jī)局域網(wǎng)絡(luò)技術(shù)及其應(yīng)用[J].今日科技,2001(3).
網(wǎng)絡(luò)會(huì)計(jì)信息安全系統(tǒng)主要是通過(guò)互聯(lián)網(wǎng)絡(luò)技術(shù)的現(xiàn)代企事業(yè)會(huì)計(jì)信息系統(tǒng),采用聯(lián)機(jī)實(shí)時(shí)操作,從而實(shí)現(xiàn)多元化報(bào)告,并能形成主動(dòng)提供與主動(dòng)獲取相結(jié)合的人機(jī)交互信息使用綜合體。網(wǎng)絡(luò)會(huì)計(jì)信息安全系統(tǒng)的發(fā)展能夠?yàn)闀?huì)計(jì)信息使用者提供實(shí)施經(jīng)濟(jì)管理與決策的有效準(zhǔn)確信息。而在網(wǎng)絡(luò)會(huì)計(jì)時(shí)代,網(wǎng)絡(luò)會(huì)計(jì)信息安全系統(tǒng)作為會(huì)計(jì)信息媒介,承載著會(huì)計(jì)信息的存儲(chǔ)與傳遞功能,而網(wǎng)絡(luò)會(huì)計(jì)信息安全系統(tǒng)的信息安全問(wèn)題也成為網(wǎng)絡(luò)會(huì)計(jì)信息數(shù)據(jù)的安全問(wèn)題。網(wǎng)絡(luò)會(huì)計(jì)信息安全系統(tǒng)以互聯(lián)網(wǎng)技術(shù)作為核心,也受到網(wǎng)絡(luò)開放性與共享性的影響,網(wǎng)絡(luò)系統(tǒng)的安全容易受到病毒、黑客的威脅,因此在網(wǎng)絡(luò)會(huì)計(jì)信息安全系統(tǒng)的應(yīng)用過(guò)程中,應(yīng)當(dāng)明確認(rèn)識(shí)到網(wǎng)絡(luò)會(huì)計(jì)信息安全系統(tǒng)的信息安全隱患,將信息載體由紙介質(zhì)轉(zhuǎn)變?yōu)榇判越橘|(zhì),需要提升磁性介質(zhì)的要求和載體信息的依賴性,在檔案保存和信息存儲(chǔ)過(guò)程中具有較高風(fēng)險(xiǎn)。
二、網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全存在的問(wèn)題
1.黑客安全隱患。在全面開放的網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)也存在多種安全隱患,病毒和黑客攻擊的安全隱患,由于互聯(lián)網(wǎng)的開放特征,網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)通過(guò)互聯(lián)網(wǎng)的計(jì)算機(jī)系統(tǒng)可以共享信息資源,也給非善意訪問(wèn)者提供了方便。黑客攻擊是互聯(lián)網(wǎng)系統(tǒng)的重要威脅,重要信息被盜取和網(wǎng)站的崩潰,都會(huì)對(duì)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)造成嚴(yán)重影響。而計(jì)算機(jī)病毒也會(huì)給網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)帶來(lái)重大威脅,從原始的木馬程序到后來(lái)的CIH等病毒的肆虐,病毒制造技術(shù)發(fā)展的同時(shí),也使得病毒具備了更大的破壞力,網(wǎng)絡(luò)軟件自身程序的不穩(wěn)定因素也會(huì)為網(wǎng)絡(luò)系統(tǒng)帶來(lái)眾多隱患。
2.信息安全隱患。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,整個(gè)社會(huì)的經(jīng)濟(jì)生產(chǎn)結(jié)構(gòu)和勞動(dòng)結(jié)構(gòu)都受到網(wǎng)絡(luò)技術(shù)的影響作用,在企事業(yè)管理模式方面,也由傳統(tǒng)的的企事業(yè)管理模式和財(cái)務(wù)管理模式與網(wǎng)絡(luò)技術(shù)相結(jié)合,網(wǎng)絡(luò)會(huì)計(jì)信息安全系統(tǒng)便是傳統(tǒng)財(cái)務(wù)管理模式與網(wǎng)絡(luò)技術(shù)的結(jié)合,通過(guò)互聯(lián)網(wǎng)技術(shù)的開放性和共享性,實(shí)現(xiàn)在線財(cái)務(wù)管理、遠(yuǎn)程財(cái)務(wù)處理、網(wǎng)上財(cái)務(wù)查詢和網(wǎng)上支付等功能,并最終實(shí)現(xiàn)企事業(yè)資金與信息的高度統(tǒng)一,有利于企事業(yè)管理者實(shí)施經(jīng)濟(jì)管理與決策的有效準(zhǔn)確信息。財(cái)務(wù)信息是反映企事業(yè)財(cái)務(wù)經(jīng)營(yíng)成果和財(cái)務(wù)狀況的重要依據(jù),設(shè)計(jì)到企事業(yè)內(nèi)部上機(jī)密的財(cái)務(wù)信息若是遭到泄露、破壞和意識(shí),會(huì)對(duì)企事業(yè)財(cái)務(wù)管理造成嚴(yán)重影響,不利于企事業(yè)財(cái)務(wù)管理工作的正常運(yùn)行。
3.檔案安全隱患。網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的財(cái)務(wù)實(shí)施需要依靠相應(yīng)的財(cái)務(wù)軟件才能完成,而這些財(cái)務(wù)軟件主要包括單機(jī)版、局域網(wǎng)絡(luò)版財(cái)務(wù)軟件和硬件系統(tǒng)兩個(gè)方面,而財(cái)務(wù)軟件的全面升級(jí),也會(huì)導(dǎo)致這些網(wǎng)絡(luò)財(cái)務(wù)軟件不一定能夠兼容其他財(cái)務(wù)軟件,由于數(shù)據(jù)格式問(wèn)題、數(shù)據(jù)庫(kù)問(wèn)題、接口問(wèn)題等原因,以前的財(cái)務(wù)信息無(wú)法被錄入網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)中。而會(huì)計(jì)檔案更是無(wú)法兼容,導(dǎo)致新的網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)無(wú)法查詢?cè)械呢?cái)務(wù)信息,給會(huì)計(jì)檔案工作帶來(lái)了失效風(fēng)險(xiǎn)。
4.內(nèi)部安全隱患。傳統(tǒng)的會(huì)計(jì)系統(tǒng)對(duì)于業(yè)務(wù)活動(dòng)的使用授權(quán)標(biāo)準(zhǔn)具有較高合法性、職責(zé)性和正確性的要求,而網(wǎng)絡(luò)財(cái)務(wù)管理工作中,財(cái)務(wù)信息的存儲(chǔ)和處理集中在互聯(lián)網(wǎng)絡(luò),許多的會(huì)計(jì)業(yè)務(wù)相互交叉,而互聯(lián)網(wǎng)絡(luò)信息資源的共享,在加大財(cái)務(wù)信息復(fù)雜程度的同時(shí),也加快了會(huì)計(jì)業(yè)務(wù)的交叉速度,導(dǎo)致傳統(tǒng)會(huì)計(jì)系統(tǒng)中某些內(nèi)部控制機(jī)制失效。
5.人才安全隱患。企事業(yè)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)實(shí)施之后,需要高技術(shù)、高層次的復(fù)合會(huì)計(jì)人才的運(yùn)作與支持,否則企事業(yè)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)無(wú)法充分發(fā)揮其功效,網(wǎng)絡(luò)財(cái)務(wù)與電子商務(wù)的發(fā)展,也暴露出這部分人才的欠缺現(xiàn)狀,如果企事業(yè)在沒(méi)有找到合適人才時(shí)就盲目實(shí)施網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)財(cái)務(wù)工作,會(huì)使網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全問(wèn)題更為突出。
三、網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全管理
1.安全策略。企事業(yè)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)財(cái)務(wù)工作的加強(qiáng),需要建立相應(yīng)的安全策略,從而降低網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全隱患,保障企事業(yè)財(cái)務(wù)工作的開展。而安全則略主要是企事業(yè)設(shè)立的相應(yīng)制度規(guī)范,對(duì)加強(qiáng)對(duì)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的管理工作方面,企事業(yè)的全體人員都應(yīng)當(dāng)自覺(jué)遵守策略中的規(guī)定,更有效的管理網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng),保證網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的正常運(yùn)行。并且企事業(yè)安全策略在制定過(guò)程中一定要明確對(duì)企事業(yè)工作人員的職責(zé)進(jìn)行規(guī)劃,將網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)中的各類信息資源進(jìn)行合理的保護(hù),并明確指出企事業(yè)所要保護(hù)信息的目標(biāo),讓企事業(yè)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全策略能夠與企事業(yè)人員的日常操作相結(jié)合,提升企事業(yè)人員對(duì)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全問(wèn)題的重視程度。
關(guān)鍵詞:計(jì)算機(jī)信息管理技術(shù);網(wǎng)絡(luò)安全;應(yīng)用探討
一方面,計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)給人們的生活帶來(lái)了翻天覆地的變化,但網(wǎng)絡(luò)安全的問(wèn)題也一直層出不窮。另一方面,計(jì)算機(jī)技術(shù)的不斷發(fā)展進(jìn)步同時(shí)也帶動(dòng)了計(jì)算機(jī)信息管理技術(shù)的逐漸崛起,所以如何運(yùn)用計(jì)算機(jī)信息管理技術(shù)來(lái)提高網(wǎng)絡(luò)環(huán)境的安全性無(wú)疑是一件非常值得重視的事情。
一、計(jì)算機(jī)信息管理技術(shù)與網(wǎng)絡(luò)安全
1、計(jì)算機(jī)信息管理技術(shù)的概念及重要性
計(jì)算機(jī)的發(fā)展才七十多年,但隨著計(jì)算機(jī)體積越來(lái)越小、功能越來(lái)越強(qiáng),用戶也從專業(yè)人員到面向大眾,實(shí)現(xiàn)了計(jì)算機(jī)的普及。所以這些計(jì)算機(jī)存在著巨量的數(shù)據(jù),所以人們就必須對(duì)這些計(jì)算機(jī)內(nèi)的數(shù)據(jù)進(jìn)行有效的組織、管理,才能迅速找到所需要的數(shù)據(jù),這就是計(jì)算機(jī)信息管理技術(shù)。計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)使得原本儲(chǔ)存在計(jì)算機(jī)內(nèi)的數(shù)據(jù)在網(wǎng)絡(luò)中進(jìn)行流通,因此在網(wǎng)絡(luò)中如何使用計(jì)算機(jī)信息管理技術(shù)對(duì)數(shù)據(jù)進(jìn)行管理和組織就顯得非常重要。一般情況下,網(wǎng)絡(luò)信息管理工作可劃分為:服務(wù)器傳輸、服務(wù)器信息、基礎(chǔ)運(yùn)行信息、用戶信息、網(wǎng)絡(luò)信息資源等幾個(gè)方面。
2、網(wǎng)絡(luò)安全的概念及重要性
網(wǎng)絡(luò)安全主要就是指在互聯(lián)網(wǎng)之上所傳輸數(shù)據(jù)自身具有的安全性,但也指計(jì)算機(jī)系統(tǒng)硬件、系統(tǒng)軟件等所具有的安全性。而信息管理主要是針對(duì)網(wǎng)絡(luò)信息進(jìn)行管理,也就是對(duì)互聯(lián)網(wǎng)信息以及信息服務(wù)等多個(gè)方面的信息進(jìn)行安全的管理。隨著網(wǎng)絡(luò)的廣泛運(yùn)用,使得網(wǎng)絡(luò)環(huán)境將會(huì)成為人類的第二個(gè)世界。那么在這樣一個(gè)環(huán)境之中,其安全性自然成為一個(gè)非常重要的問(wèn)題。所以,人們對(duì)于網(wǎng)絡(luò)環(huán)境安全的要求必然會(huì)越來(lái)越重視。
二、計(jì)算機(jī)信息管理技術(shù)在網(wǎng)絡(luò)安全中應(yīng)用所存在的問(wèn)題
1、對(duì)網(wǎng)絡(luò)安全問(wèn)題不夠重視,操作人員的自身水平不過(guò)硬
在當(dāng)前社會(huì)雖然網(wǎng)絡(luò)已經(jīng)非常普及,但還是有很多人對(duì)于網(wǎng)絡(luò)安全及相關(guān)的問(wèn)題并不重視,這也就使得一些安全隱患被黑客有機(jī)可乘。最常出現(xiàn)的就是密碼的安全性,仍然有用戶將自己(家人)的姓名、生日、身份證號(hào)碼等作為登錄的密碼,導(dǎo)致網(wǎng)絡(luò)安全從內(nèi)部被攻破。還有操作人員的自身水平不夠,也同樣會(huì)導(dǎo)致網(wǎng)絡(luò)環(huán)境中的不安全隱患被利用。例如,計(jì)算機(jī)IP地址規(guī)劃、殺毒、防火墻的、操作系統(tǒng)的定期更新補(bǔ)丁、禁止使用盜版軟件等。
2、在信息安全監(jiān)測(cè)、信息訪問(wèn)控制方面的問(wèn)題
信息訪問(wèn)控制主要是用戶在互聯(lián)網(wǎng)活動(dòng)的過(guò)程中,對(duì)其訪問(wèn)的信息資源進(jìn)行把控,在隨著網(wǎng)絡(luò)中的用戶數(shù)量以及訪問(wèn)流量幾乎成指數(shù)程度增加,是的在信息訪問(wèn)控制方面的壓力驟增。同時(shí)再加上人們?cè)谠L問(wèn)時(shí)對(duì)安全問(wèn)題的不重視,以及黑客同樣不停得尋找網(wǎng)絡(luò)的漏洞,導(dǎo)致了在信息訪問(wèn)控制方面不可能做得面面俱到,使得一些網(wǎng)絡(luò)安全事故的發(fā)生。
三、改善計(jì)算機(jī)信息管理技術(shù)在網(wǎng)絡(luò)安全中應(yīng)用的建議
1、提高安全防范意識(shí)以及個(gè)人職業(yè)素養(yǎng)和操作水平
首先,提升對(duì)于網(wǎng)絡(luò)安全的理解以及防范意識(shí)是最為重要的第一步。網(wǎng)絡(luò)的普及讓人們清楚的它所能帶來(lái)的便利,但也帶來(lái)安全隱患,一旦爆發(fā)出來(lái)將會(huì)對(duì)國(guó)家、社會(huì)造成巨大的損失。所以應(yīng)加大在此方面的宣傳,例如有政府相關(guān)部門做一些公益宣傳片,實(shí)際案例剖析節(jié)目等,使人們加強(qiáng)對(duì)網(wǎng)絡(luò)安全的了解和重視。其次,提升操作者的技術(shù)水平也是很重要的。操作者不僅是指專業(yè)的網(wǎng)絡(luò)安全人員,同時(shí)還包括普通用戶。提升普通用戶對(duì)于計(jì)算機(jī)信息管理技術(shù)的了解掌握計(jì)算機(jī)安全和網(wǎng)絡(luò)安全相關(guān)基本技,這樣不僅對(duì)用戶的工作都會(huì)帶來(lái)便利,也對(duì)網(wǎng)絡(luò)安全構(gòu)建提供良好基礎(chǔ)。最后,還應(yīng)該提高從業(yè)人員的職業(yè)素養(yǎng)?,F(xiàn)階段網(wǎng)絡(luò)上的出售個(gè)人信息、通過(guò)手機(jī)號(hào)碼能對(duì)用戶進(jìn)行定位、甚至能個(gè)人私密信息等。很大一部分都是銀行、電商和電信等行業(yè)對(duì)從業(yè)人員管理不善、不重視員工的職業(yè)道德所導(dǎo)致的。
2、優(yōu)化管理體系,提升信息安全監(jiān)測(cè)、信息訪問(wèn)控制方面的能力
首先,當(dāng)前網(wǎng)絡(luò)安全環(huán)境之所以還有很多不完善的地方,信息管理體系的不完善也是一個(gè)重要的影響因素。因此對(duì)于目前的網(wǎng)絡(luò)環(huán)境構(gòu)建和發(fā)展中,有效的優(yōu)化計(jì)算機(jī)信息技術(shù)的管理體系無(wú)疑是非常有必要的作為。雖然現(xiàn)階段我國(guó)的管理體系還不夠完善,但有理由相關(guān)通過(guò)進(jìn)一步的技術(shù)積累和技術(shù)人員的持續(xù)培養(yǎng),最終能讓網(wǎng)絡(luò)環(huán)境的變得更安全。其次,提升信息安全監(jiān)測(cè)、信息訪問(wèn)控制方面的能力也成為重點(diǎn)。利用技術(shù)控制措施來(lái)對(duì)計(jì)算機(jī)信息管理體系進(jìn)行加強(qiáng),并增加在研發(fā)方面的力度,為網(wǎng)絡(luò)安全提供必要的技術(shù)支撐。像前面提到的中、小學(xué)校都有自己的網(wǎng)站,但是管理員為非專業(yè)人員,為解決這一問(wèn)題,網(wǎng)絡(luò)安全廠商通過(guò)軟硬件設(shè)備結(jié)合的辦法實(shí)時(shí)對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控、自動(dòng)管理。當(dāng)用戶在使用過(guò)程中出現(xiàn)不良信息時(shí),設(shè)備會(huì)根據(jù)事先設(shè)定好的處理辦法進(jìn)行干預(yù),并將事件記錄在日志。這樣即使管理人員不夠?qū)I(yè)也能對(duì)網(wǎng)絡(luò)進(jìn)行自動(dòng)管理,從而提升信息安全監(jiān)測(cè)、信息訪問(wèn)控制能力。最后,高校加強(qiáng)相關(guān)人才的培養(yǎng),例如在課程設(shè)置和教學(xué)中,應(yīng)重視學(xué)生的實(shí)踐能力。這樣,不僅能增加專業(yè)人才數(shù)量,從而適應(yīng)社會(huì)需求。人才技術(shù)的提升,后輩人才的培養(yǎng)才是整個(gè)行業(yè)未來(lái)發(fā)展的核心,也是通過(guò)計(jì)算機(jī)信息管理技術(shù)維護(hù)網(wǎng)絡(luò)安全的必經(jīng)之路。
結(jié)束語(yǔ)
網(wǎng)絡(luò)的出現(xiàn)給人們的生活帶了巨大的便利,在現(xiàn)代社會(huì)網(wǎng)絡(luò)成為日常生活中不可或缺的部分。所以網(wǎng)絡(luò)安全問(wèn)題值得人們?nèi)リP(guān)注和重視。有效的運(yùn)用計(jì)算機(jī)信息管理技術(shù),針對(duì)其目前在網(wǎng)絡(luò)安全中應(yīng)用所存在的問(wèn)題做出針對(duì)性的解決,才能更好的確保網(wǎng)絡(luò)環(huán)境的健康安全,讓人民的利益得到充分的保障。
參考文獻(xiàn):
[1]張瑩.數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用價(jià)值分析[J].無(wú)線互聯(lián)科技,2015,21:36-37.
急救中心必須依靠計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)來(lái)完成醫(yī)療緊急救援任務(wù)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛運(yùn)用, 常有故障或安全隱患存在, 不但影響急救工作的順利開展, 也會(huì)給急救中心的社會(huì)聲譽(yù)帶來(lái)負(fù)面影響。所以, 在應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)過(guò)程中, 應(yīng)重視維護(hù)和管理計(jì)算機(jī)及其網(wǎng)絡(luò), 針對(duì)運(yùn)行過(guò)程中存在的問(wèn)題和安全隱患, 實(shí)施有效性的維護(hù)與管理措施, 為計(jì)算機(jī)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行提供保障。
2 基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的急救指揮調(diào)度的特點(diǎn)
基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的指揮調(diào)度系統(tǒng)能提高調(diào)度效率, 完善通訊網(wǎng)絡(luò), 滿足急救需求, 其特點(diǎn)表現(xiàn)在:
2.1 即時(shí)收集處理信息
急救中心接入呼救電話后, 利用GPS技術(shù)和GIS技術(shù)分析電話號(hào)碼, 搜索并確定患者的位置。即使患者因病情沒(méi)有完整給出信息, 急救中心也能找到患者并實(shí)時(shí)救治, 系統(tǒng)生成最佳出車路線, 節(jié)省人工查詢時(shí)間。錄音功能可以解決語(yǔ)言信息模糊或偏差的問(wèn)題, 利用錄音內(nèi)容尋找其他信息, 實(shí)現(xiàn)患者定位。
2.2 自動(dòng)化和網(wǎng)絡(luò)化調(diào)度
以往急救指揮調(diào)度由人工完成, 工作效率低, 差錯(cuò)率較高, 往往威脅急危重癥患者的生命安全。應(yīng)用指揮調(diào)度系統(tǒng)后, 在接入呼救電話時(shí)就開始電話錄音、記錄信息、分析患者地點(diǎn)、生成最佳出車路線、制定急救方案等的運(yùn)行, 節(jié)省了人工操作時(shí)間, 提高了工作精度, 出車時(shí)間較短。
2.3 信息共享和科學(xué)決策
在突發(fā)事件應(yīng)急處理過(guò)程中, 需要多部門協(xié)作, 醫(yī)療緊急救援需要應(yīng)急人員和車輛的密切配合, 指揮調(diào)度系統(tǒng)能能分析現(xiàn)場(chǎng)情況, 聯(lián)系周邊應(yīng)急救援部門, 調(diào)整和升級(jí)應(yīng)急處置方案, 為科學(xué)決策提供準(zhǔn)確依據(jù)。
3 存在問(wèn)題和安全隱患
3.1 硬件問(wèn)題及其安全隱患
硬件是計(jì)算機(jī)正常工作的前提, 優(yōu)質(zhì)的硬件設(shè)施有利于高效運(yùn)行計(jì)算機(jī)和網(wǎng)絡(luò)。從實(shí)際情況看, 很多急救中心計(jì)算機(jī)設(shè)備各項(xiàng)指標(biāo)嚴(yán)重不合格, 尤其是硬件設(shè)備總是會(huì)出現(xiàn)各種問(wèn)題。如目前使用的落后的主機(jī), 工作速度無(wú)法滿足日常工作的需求, 有時(shí)出現(xiàn)死機(jī)現(xiàn)象, 大大降低了工作效率;其次, 使用的光纜和光纖質(zhì)量差, 會(huì)出現(xiàn)網(wǎng)絡(luò)斷開連不上網(wǎng)的現(xiàn)象, 不利于順利高效地開展工作。
3.2 軟件問(wèn)題及其安全隱患
軟件是計(jì)算機(jī)正常工作的關(guān)鍵因素。計(jì)算機(jī)網(wǎng)絡(luò)軟件出現(xiàn)的問(wèn)題主要包括: (1) 系統(tǒng)不兼容更新升級(jí)不及時(shí)。由于計(jì)算機(jī)系統(tǒng)沒(méi)有升級(jí), 阻礙了急救指揮調(diào)度系統(tǒng)的運(yùn)行和維護(hù), 無(wú)法編輯錄入相關(guān)資料, 不能及時(shí)更新和完善重要的數(shù)據(jù), 甚至導(dǎo)致系統(tǒng)癱瘓。 (2) 病毒侵入。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)結(jié)合使指揮調(diào)度系統(tǒng)更加先進(jìn), 病毒也更加容易侵入。如果技術(shù)人員沒(méi)有監(jiān)控到病毒或任其肆意入侵, 那么病毒會(huì)破壞計(jì)算機(jī)系統(tǒng), 導(dǎo)致無(wú)法正常顯示電腦屏幕, 不能及時(shí)、準(zhǔn)確傳遞相關(guān)消息, 導(dǎo)致死機(jī)、系統(tǒng)崩潰, 影響正常工作。 (3) 信息泄密。急救指揮調(diào)度系統(tǒng)中急救中心自身信息、患者資料都需要保密。一旦計(jì)算機(jī)被外網(wǎng)侵入, 那么會(huì)破壞計(jì)算機(jī)系統(tǒng), 導(dǎo)致數(shù)據(jù)流出, 醫(yī)患雙方的利益均受到損害, 降低了急救中心的社會(huì)信譽(yù)。
3.3 網(wǎng)絡(luò)安全隱患
IP地址被劫持, 不法分子會(huì)應(yīng)用網(wǎng)絡(luò)TCP/IP協(xié)議偽造主機(jī)IP, 進(jìn)而發(fā)送具有欺騙性的數(shù)據(jù)包, 造成主機(jī)、網(wǎng)絡(luò)癱瘓。攻擊路由協(xié)議, 侵入者偽裝數(shù)據(jù)系統(tǒng), 竊取和泄露數(shù)據(jù)信息。
3.4 人為因素
應(yīng)該說(shuō), 急救中心計(jì)算機(jī)和網(wǎng)絡(luò)安全事故多由人為因素造成。如工作時(shí)不小心切斷電源, 遺失未保存的數(shù)據(jù), 計(jì)算機(jī)系統(tǒng)無(wú)法正常工作;再如專業(yè)技術(shù)人員未掌握足夠的計(jì)算機(jī)知識(shí), 出現(xiàn)操作失誤, 威脅計(jì)算機(jī)網(wǎng)絡(luò)安全。
4 計(jì)算機(jī)維護(hù)和網(wǎng)絡(luò)安全管理措施
4.1 計(jì)算機(jī)維護(hù)措施
急救中心相關(guān)數(shù)據(jù)的采集、儲(chǔ)存、傳遞、醫(yī)患和醫(yī)醫(yī)交流等一般均需要利用計(jì)算機(jī)操作來(lái)完成, 必須做好計(jì)算機(jī)維護(hù)工作。
要重視計(jì)算機(jī)檢修和保養(yǎng)。要延長(zhǎng)計(jì)算機(jī)使用年限, 必須重視計(jì)算機(jī)保養(yǎng)。專業(yè)技術(shù)人員要定期檢修和保養(yǎng)計(jì)算機(jī), 定期檢查計(jì)算機(jī)硬件設(shè)備是否存在問(wèn)題;要經(jīng)常使用專用的刷子、專用的清潔劑維護(hù)硬件設(shè)備;要整理室內(nèi)線路, 保證整齊清潔, 為計(jì)算機(jī)提供輕松舒適的環(huán)境。
重視軟件保護(hù)。要定期維護(hù)和升級(jí)計(jì)算機(jī)系統(tǒng)和應(yīng)用程序相關(guān)數(shù)據(jù), 備份重要數(shù)據(jù), 保證數(shù)據(jù)信息的完整性。
普及計(jì)算機(jī)知識(shí)。數(shù)字化信息化管理方式要求工作人員必須掌握計(jì)算機(jī)知識(shí), 強(qiáng)化維護(hù)計(jì)算機(jī), 保證安全。
4.2 網(wǎng)絡(luò)安全管理措施
做好網(wǎng)絡(luò)安全管理是保證急救中心工作正常運(yùn)行的核心因素。要加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全。加強(qiáng)網(wǎng)絡(luò)安全, 要求有高監(jiān)控的管理, 加密相關(guān)數(shù)據(jù)。高監(jiān)控指使用網(wǎng)絡(luò)防火墻、安裝360、電腦管家等查殺病毒的軟件, 前提是這些軟件本身具有較高的安全性, 能夠有效抵抗黑客、外網(wǎng)、病毒入侵;加密相關(guān)數(shù)據(jù), 指重新錄入計(jì)算機(jī)網(wǎng)絡(luò)的相關(guān)數(shù)據(jù)信息, 不法分子無(wú)法獲取加密信息的內(nèi)容, 能有效避免相關(guān)數(shù)據(jù)泄密事故的發(fā)生, 確保網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。 (1) 設(shè)置防火墻。防火墻能夠分隔內(nèi)部網(wǎng)絡(luò)與其他公共網(wǎng)絡(luò), 其他用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)時(shí), 需經(jīng)過(guò)授權(quán), 隔離非法訪問(wèn), 實(shí)現(xiàn)網(wǎng)絡(luò)安全運(yùn)行。 (2) 引入加密技術(shù)。在計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)與管理工作中, 需保持高度警惕, 加密處理原有文件數(shù)據(jù), 傳輸重要數(shù)據(jù)時(shí), 可引入對(duì)稱加密與非對(duì)稱加密兩種技術(shù), 最大限度確保數(shù)據(jù)安全性。 (3) 安裝殺毒軟件, 定期掃描, 及時(shí)發(fā)現(xiàn)并識(shí)別出可疑程序, 確認(rèn)為病毒后, 立即隔離, 并依據(jù)具體情況強(qiáng)制清除病毒程序。 (4) 防范黑客進(jìn)入。相關(guān)管理人員應(yīng)不斷加強(qiáng)防范黑客意識(shí), 定期更新身份認(rèn)證系統(tǒng), 定期修改重要賬戶密碼。
要建立健全網(wǎng)絡(luò)管理規(guī)章制度。專業(yè)技術(shù)人員應(yīng)進(jìn)行相關(guān)設(shè)置, 工作人員必須注冊(cè)賬號(hào), 配合身份權(quán)限才能登陸急救指揮調(diào)度系統(tǒng)網(wǎng)絡(luò), 防止不法分子盜取相關(guān)信息, 防止外部端口接入網(wǎng)絡(luò), 提高網(wǎng)絡(luò)安全。因此, 必須建立健全各項(xiàng)規(guī)章制度, 做好防控布控工作, 防止網(wǎng)絡(luò)出現(xiàn)失聯(lián)和混亂的局面, 從制度層面消除潛在的網(wǎng)絡(luò)安全威脅因素。
成立計(jì)算機(jī)維護(hù)和專業(yè)技術(shù)小組。在提高工作人員維護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)安全意識(shí)的同時(shí), 應(yīng)成立計(jì)算機(jī)維護(hù)中心, 專業(yè)技術(shù)人員及時(shí)檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行中存在的問(wèn)題并找出有效解決方案, 做好計(jì)算的檢修和保養(yǎng)工作。
4.3 積極引入新型計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)
(1) 引入NTFS區(qū)分格式服務(wù)器, 彌補(bǔ)DOS系統(tǒng)缺陷, 降低病毒感染計(jì)算機(jī)可能性。 (2) 注重識(shí)別外來(lái)移動(dòng)硬盤, 不得隨意插入到計(jì)算機(jī)上。 (3) 定期更新計(jì)算機(jī)軟件, 降低軟件系統(tǒng)漏洞數(shù)量。 (4) 將基于Windows NT開發(fā)的32位實(shí)時(shí)掃描、殺毒等軟件安裝于計(jì)算機(jī)上。 (5) office類程序不直接在Windows NT上進(jìn)行運(yùn)行, 以預(yù)防因病毒感染而誤刪重要文件。
4.4 加強(qiáng)機(jī)房管理
(1) 注重盤查與監(jiān)督機(jī)房進(jìn)出人員, 要認(rèn)真識(shí)別訪問(wèn)者身份信息后再?zèng)Q定能否讓其進(jìn)入。 (2) 實(shí)時(shí)監(jiān)控機(jī)房, 要監(jiān)督在機(jī)房中活動(dòng)人員的動(dòng)向, 以便及時(shí)發(fā)現(xiàn)異常行為并處理。 (3) 將多層安全防護(hù)圈設(shè)置于計(jì)算機(jī)機(jī)房系統(tǒng)中心, 避免不法分子暴力入侵, 保證機(jī)房安全性。 (4) 注重控制機(jī)房的溫度、濕度、電氣干擾等, 保證機(jī)房正常運(yùn)行, 為計(jì)算機(jī)網(wǎng)絡(luò)順利運(yùn)行提供支持。
參考文獻(xiàn)
[1]張波.探析醫(yī)院計(jì)算機(jī)系統(tǒng)的管理措施與維護(hù)思路[J].科技創(chuàng)新導(dǎo)報(bào), 2013 (25) :29.
關(guān)鍵詞:信息安全管理;風(fēng)險(xiǎn)評(píng)估;監(jiān)控
中圖分類號(hào):TP393.08
信息是現(xiàn)代社會(huì)中不可缺少的一項(xiàng)重要元素,尤其是在商業(yè)活動(dòng)中,信息已經(jīng)成為市場(chǎng)競(jìng)爭(zhēng)的重要手段,因此對(duì)信息安全的管理在商業(yè)活動(dòng)中顯得尤為重要。信息安全管理體系(Information Security Management System,簡(jiǎn)稱為ISMS),是建立和維持信息安全管理體系的標(biāo)準(zhǔn),標(biāo)準(zhǔn)要求組織通過(guò)確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系;體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作,保持體系運(yùn)作的有效性;信息安全管理體系應(yīng)形成一定的文件,即組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系,其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的保證程度。
1 信息安全的風(fēng)險(xiǎn)評(píng)估與策略
1.1 信息安全的風(fēng)險(xiǎn)評(píng)估
信息安全管理屬于風(fēng)險(xiǎn)管理,即如何在一個(gè)確定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過(guò)程。因此,管理的核心要素就是對(duì)風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確識(shí)別和有效的評(píng)估,通過(guò)對(duì)信息安全進(jìn)行風(fēng)險(xiǎn)評(píng)估可以獲得安全管理的需求,幫助組織制定出最佳的信息安全管理策略,并且將風(fēng)險(xiǎn)控制在可承受的范圍之內(nèi)。一個(gè)科學(xué)、合理的信息安全風(fēng)險(xiǎn)評(píng)估策略應(yīng)該具有形影的標(biāo)準(zhǔn)體系、技術(shù)措施、組織框架以及法律法規(guī)。
1.2 信息安全策略
信息安全策略(Information Security Policy)是一個(gè)組織機(jī)構(gòu)中解決信息安全問(wèn)題的重要組成部分。在一個(gè)組織內(nèi)部,通常是由技術(shù)管理者指定信息安全策略,如果是一個(gè)較為龐大的組織,制定信息安全策略的則可能是一個(gè)技術(shù)團(tuán)隊(duì)。信息安全策略是基于風(fēng)險(xiǎn)評(píng)估結(jié)果以保護(hù)組織的信息資產(chǎn)。信息安全策略對(duì)訪問(wèn)組織的不同資產(chǎn)進(jìn)行權(quán)限設(shè)定,它是組織管理人員在建立、使用和審計(jì)信息系統(tǒng)時(shí)的信息來(lái)源。
信息安全策略具有非常廣泛的應(yīng)用范圍,在其基礎(chǔ)上做出的安全決定需要提供一個(gè)較高層次的原則性觀點(diǎn)。一個(gè)組織的信息安全策略能夠反映出一個(gè)組織對(duì)現(xiàn)實(shí)和未來(lái)安全風(fēng)險(xiǎn)的認(rèn)識(shí)水平,對(duì)于組織內(nèi)部業(yè)務(wù)人員和技術(shù)人員安全風(fēng)險(xiǎn)的處理。信息俺去那策略的制定同時(shí)還需要參考相關(guān)標(biāo)準(zhǔn)文本和安全管理的經(jīng)驗(yàn)。
1.3 信息安全管理措施
信息加密技術(shù)是網(wǎng)絡(luò)安全管理的核心問(wèn)題,通過(guò)對(duì)網(wǎng)絡(luò)傳輸?shù)男畔①Y源進(jìn)行加密,以確保傳遞過(guò)程中的安全性和可靠性。用戶通過(guò)互聯(lián)網(wǎng)進(jìn)行網(wǎng)絡(luò)訪問(wèn)時(shí),應(yīng)該能夠控制訪問(wèn)屬于自己的數(shù)據(jù)的訪問(wèn)者身份,并且可以對(duì)訪問(wèn)者的訪問(wèn)情況進(jìn)行審核。這種訪問(wèn)權(quán)限的控制,需要開發(fā)相應(yīng)的權(quán)限控制程度,以作為安全防范措施使用。
用戶在對(duì)云計(jì)算網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行存儲(chǔ)時(shí),其他用戶及云服務(wù)提供商在未被所有者允許的情況下不得對(duì)數(shù)據(jù)進(jìn)行查看及更改。這需要將數(shù)據(jù)在網(wǎng)絡(luò)存儲(chǔ)時(shí),對(duì)其他用戶實(shí)行存儲(chǔ)隔離措施,同時(shí)對(duì)服務(wù)提供商實(shí)行存儲(chǔ)加密和文件系統(tǒng)的加密措施。鑒于云平臺(tái)的搭建多數(shù)基于商業(yè)方面,因此用戶的數(shù)據(jù)在基于云計(jì)算的網(wǎng)絡(luò)上進(jìn)行傳輸時(shí)要具有極高的保密性,包括在計(jì)算中心的內(nèi)部網(wǎng)絡(luò)和開放互聯(lián)網(wǎng)絡(luò)上。所以,應(yīng)該對(duì)所傳輸?shù)臄?shù)據(jù)信息在傳輸層進(jìn)行加密(HTTPS、VPN和SSL等),對(duì)服務(wù)提供商進(jìn)行網(wǎng)絡(luò)加密。由于基于云計(jì)算的網(wǎng)絡(luò)的數(shù)據(jù)重要性,為了防止各種數(shù)據(jù)毀滅性災(zāi)難和突發(fā)性事件,進(jìn)行按期定時(shí)的數(shù)據(jù)備份,使用數(shù)據(jù)庫(kù)鏡像策略和分布式存儲(chǔ)策略等,是確保網(wǎng)絡(luò)信息安全的一系列防范措施。
病毒對(duì)互聯(lián)網(wǎng)的安全威脅最為嚴(yán)重,主要可以通過(guò)病毒防御技術(shù)提升信息管理安全性。病毒是利用計(jì)算機(jī)軟硬件系統(tǒng)的缺陷,在原本正常運(yùn)行的程序中插入的一段能夠破壞計(jì)算機(jī)或數(shù)據(jù)的指令或代碼段,從而在執(zhí)行時(shí)影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)作而不易被人察覺(jué),對(duì)計(jì)算機(jī)及信息安全的威脅最大。針對(duì)日益猖獗的計(jì)算機(jī)病毒,選擇一款適合系統(tǒng)使用環(huán)境的反病毒軟件顯得尤為重要,發(fā)現(xiàn)病毒侵入應(yīng)該及時(shí)查殺,同時(shí)要注意按時(shí)地更新病毒庫(kù),并升級(jí)反病毒軟件版本。在殺毒的同時(shí)做好預(yù)防工作是最為行之有效的措施。防火墻是設(shè)置在不同類型網(wǎng)絡(luò)間的一系列硬件和軟件的集合,旨在控制不同網(wǎng)絡(luò)間的訪問(wèn)、拒絕外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)資源的非法訪問(wèn),保證通過(guò)防火墻的數(shù)據(jù)包符合預(yù)設(shè)的安全策略,從而確保了網(wǎng)絡(luò)信息的服務(wù)安全。
入侵檢測(cè)作為防火墻技術(shù)的補(bǔ)充手段,是對(duì)成功繞過(guò)防火墻限制而入侵內(nèi)部網(wǎng)絡(luò)系統(tǒng)的行為進(jìn)行技術(shù)攻防的策略。其實(shí)質(zhì)是在不損耗網(wǎng)絡(luò)性能的前提下進(jìn)行監(jiān)聽分析用戶系統(tǒng)活動(dòng)和違反安全策略的行為,對(duì)已威脅網(wǎng)絡(luò)安全的入侵行為識(shí)別并發(fā)出警報(bào),同時(shí)生成異常行為分析,評(píng)估入侵行為帶來(lái)的損害程度。
目前,利用防火墻和入侵檢測(cè)相結(jié)合的方式,是防護(hù)網(wǎng)絡(luò)、拒絕外部網(wǎng)絡(luò)攻擊的最有效手段之一。任何一個(gè)系統(tǒng)都會(huì)存在安全漏洞,這包含已知的和未知的在應(yīng)用軟件和操作系統(tǒng)兩方面上的安全漏洞。在進(jìn)行漏洞掃描時(shí),可以及時(shí)系統(tǒng)和網(wǎng)絡(luò)存在的安全漏洞,并打上漏洞補(bǔ)丁,進(jìn)行主動(dòng)防御。在使用時(shí)可以將漏洞掃描與防火墻技術(shù)、入侵檢測(cè)技術(shù)三者相結(jié)合,形成網(wǎng)絡(luò)安全防范和防御的“黃金三角”。數(shù)據(jù)加密分為對(duì)稱性和非對(duì)稱性加密兩種,是在發(fā)送端以某種算法將數(shù)據(jù)明文轉(zhuǎn)換成密文,在接收端以密鑰進(jìn)行解密,從而保證信息在網(wǎng)絡(luò)存儲(chǔ)和傳輸?shù)倪^(guò)程中都是保密的,并且對(duì)網(wǎng)絡(luò)環(huán)境沒(méi)有任何特別的要求和限制。數(shù)據(jù)加密技術(shù)與防火墻技術(shù)相比較,對(duì)于信息安全的防護(hù)作用是全局性的,也是最后一道防線。
系統(tǒng)備份和數(shù)據(jù)恢復(fù),是指對(duì)系統(tǒng)的重要核心數(shù)據(jù)和資料進(jìn)行備份,當(dāng)切防范和防御技術(shù)都失效并且計(jì)算機(jī)網(wǎng)絡(luò)遭到黑客攻擊時(shí),能夠?qū)ο到y(tǒng)實(shí)施立即恢復(fù)的手段,這也是保證信息安全的挽救措施。除了以上所提及的技術(shù)性手段之外,大力開展信息安全教育和完善相關(guān)法律法規(guī)作為人為防范措施也不容被忽視。近年來(lái),信息安全威脅之一的網(wǎng)絡(luò)欺騙就是因?yàn)楫?dāng)事人的信息安全意識(shí)淡薄和相關(guān)的調(diào)查取證困難造成的。因此,有必要做出改善措施,與技術(shù)手段相結(jié)合對(duì)信息安全發(fā)揮行之有效的影響。
2 結(jié)束語(yǔ)
綜上所述,隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)和高密度存儲(chǔ)技術(shù)的發(fā)展,電子信息化進(jìn)程在各個(gè)領(lǐng)域中得到了廣泛推廣和不斷深入研究。結(jié)合當(dāng)今社會(huì)的信息量爆炸式的增長(zhǎng)情況,以及現(xiàn)階段的研究成果得出結(jié)論,當(dāng)今電子信息工程的安全問(wèn)題和信息的有效利用問(wèn)題仍將為研究的重點(diǎn)。本文重點(diǎn)研究了信息安全管理體系,根據(jù)信息安全管理的標(biāo)準(zhǔn)以及信息安全風(fēng)險(xiǎn)的特征,提出了一些具有針對(duì)性的信息安全管理措施,以實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的有效評(píng)估和準(zhǔn)確預(yù)測(cè),危險(xiǎn)性安全管理體系的實(shí)施提供重要保證。
參考文獻(xiàn):
[1]張健.電子文件信息安全管理評(píng)估體系研究[J].檔案學(xué)通訊,2011,4.
[2]馬曉珺,趙哲.電子商務(wù)信息安全管理體系研究[J].安陽(yáng)市師范學(xué)院學(xué)報(bào),2008,2.
[3]劉曉紅.信息安全管理體系認(rèn)證及認(rèn)可[J].認(rèn)證技術(shù),2011,5.
[4]喬甜.基于全員參與的信息安全管理體系研究[J].科技致富向?qū)В?013,6.
[5]王新輝,張建,李偉濤.基于生命周期分析信息安全管理體系[J].計(jì)算機(jī)技術(shù)與發(fā)展,2012,3.
[關(guān)鍵詞]信息安全管理 評(píng)估模型 管理體系
中圖分類號(hào):P9.T3308 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2016)21-0400-01
1、 引言
隨著信息化建設(shè)的發(fā)展,信息安全越來(lái)越多的受到人們的重視,企業(yè)信息安全重點(diǎn)面臨的問(wèn)題主要表現(xiàn)在[1]:1)網(wǎng)絡(luò)受到外部的惡意攻擊,部分單位無(wú)終端接入控制措施,使企業(yè)的正常業(yè)務(wù)無(wú)法開展或相關(guān)重要數(shù)據(jù)被盜??;2)網(wǎng)站受到黑客攻擊,由于部分掌握網(wǎng)絡(luò)技術(shù)的不法人員查詢到破解網(wǎng)站所存在的漏洞,加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權(quán)限,使得網(wǎng)站陷入癱瘓;3)信息的監(jiān)管不利產(chǎn)生不良的影響,通常情況下信息沒(méi)有主管部門負(fù)責(zé)審核導(dǎo)致監(jiān)管不到位,那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上,造成不良影響;4)計(jì)算機(jī)病毒的危害,相關(guān)系統(tǒng)不及時(shí)更新補(bǔ)丁和升級(jí),受到病毒入侵并加以利用,篡改應(yīng)用系統(tǒng)信息或獲取管理權(quán)限,使得應(yīng)用系統(tǒng)丟失重要信息。
當(dāng)前,有關(guān)信息系統(tǒng)的安全評(píng)價(jià)雖然存在著多種多樣的具體實(shí)踐方式,但在目前還沒(méi)有形成系統(tǒng)化和形式化的評(píng)價(jià)理論和方法。評(píng)價(jià)模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數(shù)學(xué),而評(píng)價(jià)方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結(jié)合,建立了安全評(píng)價(jià)體系,并運(yùn)用隸屬函數(shù)和隸屬度確定待評(píng)對(duì)象的安全狀況。上述各種安全評(píng)估思想都是從信息系統(tǒng)安全的某一個(gè)方面出發(fā),如技術(shù)、管理、過(guò)程、人員等,著重于評(píng)估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實(shí)踐規(guī)范。在操作上主觀隨意性較強(qiáng),其評(píng)估過(guò)程主要依靠測(cè)試者的技術(shù)水平和對(duì)網(wǎng)絡(luò)系統(tǒng)的了解程度,缺乏統(tǒng)一的、系統(tǒng)化的安全評(píng)估框架,很多評(píng)估準(zhǔn)則和指標(biāo)沒(méi)有與被評(píng)價(jià)對(duì)象的實(shí)際運(yùn)行情況和信息安全保障的效果結(jié)合起來(lái)。
大型企業(yè)信息安全管理體系的研究,就是為了尋找一個(gè)科學(xué)、合理的管理體系,并根據(jù)該體系和方法對(duì)大型企業(yè)的信息安全狀況和水平進(jìn)行評(píng)價(jià),對(duì)信息安全管理績(jī)效進(jìn)行考核。
2、 大型企業(yè)信息安全管理體系的內(nèi)涵
通過(guò)管理體系的應(yīng)用,將對(duì)大型企業(yè)信息安全產(chǎn)生非常重要的作用。一是可以對(duì)企業(yè)信息安全的水平做出客觀的反應(yīng),認(rèn)識(shí)企業(yè)信息安全存在的不足之處,發(fā)揮考評(píng)體系的指導(dǎo)作用,引導(dǎo)企業(yè)“信息安全”工作健康科學(xué)發(fā)展;二是可以為企業(yè)信息安全的建設(shè)指明方向,為信息安全的發(fā)展提供有力支撐;三是可以幫助企業(yè)管理者建立起一套科學(xué)的信息安全管理系統(tǒng),有效控制信息化活動(dòng)的進(jìn)程,提高信息安全級(jí)別,減少因信息安全事件引起的損失,有利于正確引導(dǎo)和規(guī)范企業(yè)的信息化建設(shè),指導(dǎo)企業(yè)科學(xué)發(fā)展具有重要的意義。
3、 大型企業(yè)信息安全管理體系的主要做法
為了大型企業(yè)信息安全管理體系的建立,提出了管理體系的目標(biāo):對(duì)于信息安全方面出現(xiàn)的問(wèn)題,達(dá)到防范目的;對(duì)于信息安全工作進(jìn)行查漏補(bǔ)缺,加強(qiáng)管理;通過(guò)評(píng)估體系的考核,落實(shí)相關(guān)信息安全文件、推進(jìn)信息安全工作,為企業(yè)信息安全的建設(shè)指明方向,同時(shí)注重管理體系整體的時(shí)效性,根據(jù)信息安全發(fā)展的不同階段進(jìn)行及時(shí)更新。
1) 建立大型企業(yè)信息安全體系
信息安全體系總體設(shè)計(jì)。信息安全體系設(shè)計(jì)共分為三級(jí),包含9個(gè)一級(jí)指標(biāo),14個(gè)二級(jí)指標(biāo),27個(gè)三級(jí)指標(biāo)。一級(jí)指標(biāo)和二級(jí)指標(biāo)為共性指標(biāo),三級(jí)指標(biāo)為數(shù)據(jù)采集項(xiàng)。一級(jí)指標(biāo)包括:網(wǎng)絡(luò)安全管理、環(huán)境安全管理、應(yīng)用系統(tǒng)安全管理、數(shù)據(jù)安全管理、終端安全管理、操作安全管理、網(wǎng)絡(luò)信息安全、移動(dòng)信息化安全、服務(wù)器掃描情況。一級(jí)和二級(jí)指標(biāo)結(jié)構(gòu)圖如下:
2)信息安全考評(píng)指標(biāo)的權(quán)重設(shè)計(jì)
指標(biāo)權(quán)重理論思路。具體權(quán)重根據(jù)德爾菲法[4]、層次分析法,結(jié)合政策導(dǎo)向確定。
管理體系的指標(biāo)權(quán)重確定方法設(shè)計(jì)過(guò)程中,選取兩組技術(shù)、管理等方面的專家,其中一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度,確定各指標(biāo)的相對(duì)重要性,采用層次分析法確定各指標(biāo)的權(quán)重。另外一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度,對(duì)各指標(biāo)按百分制進(jìn)行賦值,確定各指標(biāo)的權(quán)重。綜合兩組專家的意見,初步確定各指標(biāo)的權(quán)重,再組織專家研討會(huì),最終確定各指標(biāo)的權(quán)重。
企業(yè)信息安全考評(píng)指標(biāo)總分計(jì)算方法:
I=Σ(Pi*Wi) (1)
I表示指標(biāo)體系的總得分;Pi表示第i個(gè)指標(biāo)的得分,各指標(biāo)得滿分都是100分;Wi表示第i個(gè)指標(biāo)的權(quán)重,所有指標(biāo)權(quán)重的和為100%。
3)建設(shè)大型企業(yè)信息化評(píng)價(jià)管理系統(tǒng)
為了實(shí)施信息安全措施體系,以信息安全體系、信息安全文件和考評(píng)制度為基礎(chǔ),研發(fā)包括信息安全在內(nèi)的大型企業(yè)信息化評(píng)價(jià)管理系統(tǒng)。通過(guò)使用該系統(tǒng),將減輕信息化管理部門的負(fù)擔(dān),填報(bào)和匯總數(shù)據(jù)的效率顯著提高,最為突出的是以上報(bào)數(shù)據(jù)為基礎(chǔ),可以自動(dòng)、實(shí)時(shí)地形成各種統(tǒng)計(jì)、分析圖表,從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計(jì)工作,大大減輕了信息化管理部門的工作強(qiáng)度,增加了信息化管理部門對(duì)新情況快速反應(yīng)能力。
系統(tǒng)整體架構(gòu)由數(shù)據(jù)庫(kù)層、框架服務(wù)層、應(yīng)用邏輯層、界面表現(xiàn)層組成,系統(tǒng)部署了tomcat下運(yùn)行的I@Report和BI@Report作為框架服務(wù)層,并在此基礎(chǔ)上開發(fā)了業(yè)務(wù)系統(tǒng)。
系統(tǒng)主要實(shí)現(xiàn)了如下功能:
編碼同步、基層權(quán)限管理、評(píng)價(jià)初始化、基層初評(píng)、數(shù)據(jù)提交、部門權(quán)限管理(含單位、指標(biāo)項(xiàng))、管理部門復(fù)評(píng)、信息稽核、數(shù)據(jù)計(jì)算、統(tǒng)計(jì)管理、查詢管理、決策模型。
建立統(tǒng)一的數(shù)據(jù)報(bào)送平臺(tái),提高企業(yè)信息整合水平。
建立在線交流及公告平臺(tái)。
系統(tǒng)根據(jù)建立的數(shù)學(xué)模型進(jìn)行綜合分析,可自動(dòng)、實(shí)時(shí)地形成各種統(tǒng)計(jì)分析圖表、報(bào)告等,例如:信息化評(píng)級(jí)、信息化水平評(píng)測(cè)報(bào)告。
4、 結(jié)束語(yǔ)
通過(guò)大型企業(yè)信息安全管理體系的實(shí)施,使企業(yè)信息化水平評(píng)估體系更加完善,在考評(píng)信息化建設(shè)水平的同時(shí),又對(duì)信息安全水平等級(jí)有所提升。
參考文獻(xiàn)
[1] 周學(xué)廣,劉藝.信息安全學(xué)[M].北京:機(jī)械工業(yè)出版社,2003.
[2] 常建娥,蔣太立.層次分析法確定權(quán)重的研究[J].武漢理工大學(xué)學(xué)報(bào),信息與管理工程版,2007,1(29):153-156.
關(guān)鍵詞:信息完全;技術(shù);體系
一、前言
隨著金川集團(tuán)公司跨國(guó)經(jīng)營(yíng)戰(zhàn)略的實(shí)施,企業(yè)信息化進(jìn)程不斷深入,企業(yè)信息安全己經(jīng)引起公司領(lǐng)導(dǎo)的的高度重視,但依然存在不少問(wèn)題。調(diào)查結(jié)果表明,造成網(wǎng)絡(luò)安全事件發(fā)生的原因有很多,一是安全技術(shù)保障體系尚不完善,企業(yè)花了大量的金錢購(gòu)買了信息安全設(shè)備,但是技術(shù)保障不成體系,達(dá)不到預(yù)想的目標(biāo);二是應(yīng)急反應(yīng)體系沒(méi)有經(jīng)常化、制度化;三是企業(yè)信息安全的標(biāo)準(zhǔn)、制度建設(shè)滯后。其中,由于未修補(bǔ)或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的80%,登錄密碼過(guò)于簡(jiǎn)單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%。近年來(lái),雖然使用單位對(duì)信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高,80%的被調(diào)查單位有專職或兼職的安全管理人員,但是,很多企業(yè)存在安全觀念薄弱、安全管理員缺乏培訓(xùn)、安全經(jīng)費(fèi)投入不足和安全產(chǎn)品不能滿足要求等問(wèn)題,也說(shuō)明目前安全管理水平還比較低。因此現(xiàn)代企業(yè)迫切需要建立信息資源安全管理體系。
二、企業(yè)信息資源安全管理體系構(gòu)建
1、企業(yè)信息安全組織管理
企業(yè)信息安全組織體系定義為一個(gè)三層的組織,組織架構(gòu)如圖所示:
企業(yè)信息安全組織
l)總經(jīng)理通過(guò)總經(jīng)辦負(fù)責(zé)企業(yè)信息、安全的決策事項(xiàng)。2)總經(jīng)理任命一名信息安全主管負(fù)責(zé)企業(yè)信息安全的風(fēng)險(xiǎn)管理,該主管領(lǐng)導(dǎo)一個(gè)有各個(gè)部門主要負(fù)責(zé)人參加的信息安全管理小組維護(hù)企業(yè)信息安全管理體系、管理企業(yè)信息安全風(fēng)險(xiǎn)。3)總經(jīng)理任命一名信息安全審計(jì)師,負(fù)責(zé)企業(yè)信息安全活動(dòng)的審計(jì)。4)行政部門、業(yè)務(wù)部門和分支機(jī)構(gòu)執(zhí)行信息安全管理體系中的相應(yīng)安全政策,并在信息安全管理主管的領(lǐng)導(dǎo)下,實(shí)施風(fēng)險(xiǎn)管理計(jì)劃。各個(gè)部門負(fù)責(zé)人有義務(wù)向信息安全主管報(bào)告所管轄部門的信息安全狀況,信息安全主管應(yīng)定期在組織范圍內(nèi)和向上級(jí)機(jī)關(guān)報(bào)告企業(yè)信息安全狀況。
2、企業(yè)信息安全政策管理
根據(jù)企業(yè)信息安全風(fēng)險(xiǎn)分析的結(jié)果和信息安全政策制定的原則,設(shè)計(jì)信息安全政策體系包括以下幾點(diǎn):(1)企業(yè)信息安全風(fēng)險(xiǎn)管理政策:a)信息安全風(fēng)險(xiǎn)定義,包括風(fēng)險(xiǎn)等級(jí)定義和安全類別定義;b)信息安全風(fēng)險(xiǎn)評(píng)估執(zhí)行要求,包括時(shí)問(wèn)周期要求、范圍要求、基于事件的風(fēng)險(xiǎn)評(píng)估要求:c)信息安全風(fēng)險(xiǎn)評(píng)估責(zé)任,包括信息安全管理人員責(zé)任和業(yè)務(wù)部門責(zé)任。(2)企業(yè)信息安全體系管理政策:a)管理體系的規(guī)劃,包括規(guī)劃的時(shí)機(jī)、規(guī)劃的內(nèi)容、規(guī)劃的依據(jù)、規(guī)劃的責(zé)任人:b)管理體系的實(shí)施,包括、培訓(xùn)、執(zhí)行獎(jiǎng)懲。c)管理體系的驗(yàn)證,包括周期管理評(píng)審、安全審計(jì)、事件評(píng)審、殘留風(fēng)險(xiǎn)評(píng)估。d)管理體系的改進(jìn),包括分析和變更控制。(3)病毒抵御安全政策:a)操作程序一運(yùn)行網(wǎng)絡(luò)管理人員日常工作的程序。這部分安全政策主要控制的風(fēng)險(xiǎn)是不規(guī)范的管理活動(dòng)造成無(wú)效或低效的管理。b)關(guān)鍵資源監(jiān)控一識(shí)別出關(guān)鍵設(shè)備并對(duì)關(guān)鍵設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控。這部分安全政策主要控制的風(fēng)險(xiǎn)是關(guān)鍵資源異常情況不能被及時(shí)發(fā)現(xiàn)和處理。c)軟件系統(tǒng)維護(hù)一對(duì)軟件系統(tǒng)及時(shí)地升級(jí)和打補(bǔ)丁。這部分安全政策主要控制的風(fēng)險(xiǎn)是軟件系統(tǒng)未及時(shí)升級(jí)和/或打補(bǔ)丁而造成的信息故障或者安全事故。d)敏感資料存儲(chǔ)一對(duì)在業(yè)務(wù)進(jìn)行過(guò)程中產(chǎn)生的敏感信息的存放管理。這部分安全政策主要控制的風(fēng)險(xiǎn)是由于對(duì)敏感資料存儲(chǔ)不當(dāng)導(dǎo)致資料的丟失或泄漏。
3、企業(yè)信息安全事件管理
目前,沒(méi)有任何一種具有代表性的信息安全策略或防護(hù)措施可對(duì)信息、信息系統(tǒng)、服務(wù)或網(wǎng)絡(luò)提供絕對(duì)的保護(hù)。即使采取了防護(hù)措施,仍可能存在殘留的弱點(diǎn),使得信息安全防護(hù)變得無(wú)效,從而導(dǎo)致信息安全事件發(fā)生,并對(duì)企業(yè)的業(yè)務(wù)運(yùn)行直接或間接地產(chǎn)生負(fù)面影響。此外,以前未被認(rèn)識(shí)到的威脅也將會(huì)不可避免地發(fā)生。企業(yè)如果對(duì)如何應(yīng)對(duì)這些事件沒(méi)有作好充分準(zhǔn)備,其任何實(shí)際響應(yīng)的效率都會(huì)大打折扣,甚至還可能增加潛在的業(yè)務(wù)負(fù)面影響。因此,企業(yè)應(yīng)著重做好信息安全事件管理工作。信息安全事件管理方案的必企業(yè)應(yīng)著重做好信息安全事件管理工作。信息安全事件管理方案的必要過(guò)程包括:(1)發(fā)現(xiàn)和報(bào)告發(fā)生的信息安全事態(tài),無(wú)論是由企業(yè)人員/顧客引起的還是自動(dòng)發(fā)生的(如防火墻警報(bào))。(2)收集有關(guān)信息安全事態(tài)的信息,由企業(yè)的運(yùn)行支持組人員進(jìn)行評(píng)估,確定該事態(tài)屬于信息安全事件還是發(fā)生了誤報(bào)。確認(rèn)該事態(tài)是否屬于信息安全事件,如果是,則立即作出響應(yīng),同時(shí)啟動(dòng)必要的法律取證分析、溝通活動(dòng)。(3)進(jìn)行評(píng)審以確定該信息安全事件是否處于控制下。(4)如果處于控制下,則啟動(dòng)任何所需要的進(jìn)一步的后續(xù)響應(yīng),以確保所有相關(guān)信息準(zhǔn)備完畢,供事件解決后評(píng)審所用。(5)如果不在控制下,則采取“危機(jī)求助”活動(dòng)并召集相關(guān)人員,如企業(yè)中負(fù)責(zé)業(yè)務(wù)連續(xù)性的管理者和工作組。(6)在整個(gè)階段按要求進(jìn)行上報(bào),以便進(jìn)一步評(píng)估和決策。(7)確保所有相關(guān)人員,正確記錄所有活動(dòng)以備后面分析所用。(8)確保對(duì)電子證據(jù)進(jìn)行收集和安全保存,同時(shí)確保電子證據(jù)的安全保存得到持續(xù)監(jiān)視,以備法律起訴或內(nèi)部處罰所需。(9)確保包括信息安全事件追蹤和事件報(bào)告更新的變更控制制度得到維護(hù),從而使得信息安全事態(tài)/事件數(shù)據(jù)庫(kù)保持最新。
4、企業(yè)信息安全技術(shù)管理
我們所構(gòu)建的信息安全管理體系中,不能忽視技術(shù)的作用,雖然只使用技術(shù)控制不能保證一個(gè)信息安全環(huán)境,但是在通常情況下,它是信息安全項(xiàng)目的基礎(chǔ)部分。(1)密碼服務(wù)技術(shù)。密碼服務(wù)技術(shù)為密碼的有效應(yīng)用提供技術(shù)支持。通常密碼服務(wù)系統(tǒng)由密碼芯片、密碼模塊、密碼機(jī)或軟件,以及密碼服務(wù)接口構(gòu)成。通常,企業(yè)會(huì)涉及以下幾個(gè)方面的密碼應(yīng)用:數(shù)字證書運(yùn)算、密鑰加密運(yùn)算、數(shù)據(jù)傳輸、數(shù)據(jù)儲(chǔ)存、數(shù)字簽名、數(shù)字信封。(2)故障恢復(fù)技術(shù)。故障恢復(fù)的主要措施有:群集配置,由多臺(tái)計(jì)算機(jī)組成群集結(jié)構(gòu),盡可能消除整個(gè)系統(tǒng)可能存在的單點(diǎn)故障;雙機(jī)熱備份,在任何一臺(tái)設(shè)備失效的情況下,按照預(yù)先定義的規(guī)則快速切換至相應(yīng)的備份設(shè)備,維持業(yè)務(wù)的正常運(yùn)行;故障恢復(fù)管理,由專門的集群軟件進(jìn)行管理和監(jiān)控,使應(yīng)用系統(tǒng)在任何軟硬件組成單元發(fā)生故障時(shí),能夠根據(jù) 故障情況重新分配任務(wù)。(3)惡意代碼防范技術(shù):惡意代碼防范技術(shù)包括四大系統(tǒng):病毒查殺系統(tǒng)、網(wǎng)關(guān)防毒系統(tǒng)、群件防毒系統(tǒng)、集中管理系統(tǒng)。(4)入侵檢測(cè)技術(shù)。入侵檢測(cè)系統(tǒng)是實(shí)現(xiàn)入侵檢測(cè)功能的一系列的軟件、硬件的組合。入侵檢測(cè)系統(tǒng)以實(shí)時(shí)方式監(jiān)測(cè)網(wǎng)絡(luò)通信,對(duì)其進(jìn)行分析并實(shí)時(shí)安全預(yù)警,從而使企業(yè)能夠有效管理內(nèi)部人員和資源,并對(duì)外部攻擊進(jìn)行早期預(yù)警和跟蹤,有效保障系統(tǒng)安全?;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)通常以系統(tǒng)日志、應(yīng)用程序日志等審計(jì)記錄文件作為數(shù)據(jù)源。通過(guò)比較這些審計(jì)記錄文件與攻擊簽名是否匹配,如果匹配立即報(bào)警采取行動(dòng).基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。它是利用網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。(5)掃描與分析技術(shù)。端口掃描工具能識(shí)別網(wǎng)絡(luò)上活動(dòng)的計(jì)算機(jī),同樣也可以識(shí)別這些計(jì)算機(jī)上的活動(dòng)端口和服務(wù)??梢話呙杼囟愋偷挠?jì)算機(jī)、協(xié)議和資源,也可進(jìn)行普遍掃描。漏洞掃描可以掃描網(wǎng)絡(luò)并得到非常詳細(xì)的信息??梢宰R(shí)別暴露的用戶名和組,顯示開放的網(wǎng)絡(luò)共享,并暴露配置問(wèn)題和其他服務(wù)器漏洞。內(nèi)容過(guò)濾器也能有效地保護(hù)機(jī)構(gòu)系統(tǒng),使其不受誤用和無(wú)意的拒絕服務(wù)。
5、企業(yè)信息安全培訓(xùn)的必要性
公司目前很多崗位和部門的員工都從事涉密數(shù)據(jù)相關(guān)工作,有很多數(shù)據(jù)和信息涉及到公司的機(jī)密和知識(shí)產(chǎn)權(quán),但是大多數(shù)員工信息安全意識(shí)差,在平時(shí)的工作中在意識(shí)上和實(shí)際工作中存在很多問(wèn)題,導(dǎo)致涉密數(shù)據(jù)的外漏,給公司的生產(chǎn)經(jīng)營(yíng)造成不可挽回的損失。在有管理組織、政策制度和技術(shù)保障的情況下,通過(guò)對(duì)涉密數(shù)據(jù)相關(guān)工作人員的信息安全意識(shí)和信息安全操作培訓(xùn)是非常必要的。
三、結(jié)語(yǔ)
總之,企業(yè)信息安全管理體系是一個(gè)企業(yè)日常經(jīng)營(yíng)和持續(xù)發(fā)展的基本保證,也是企業(yè)戰(zhàn)略和管理的重要環(huán)節(jié)。建立信息安全管理體系的目的就是降低信息風(fēng)險(xiǎn)對(duì)企業(yè)的危害。并將企業(yè)信息系統(tǒng)投資和商業(yè)利益最大化。信息安全不只是個(gè)技術(shù)問(wèn)題,而更多的是商業(yè)、管理和法律問(wèn)題。實(shí)現(xiàn)信息安全不僅僅需要采用技術(shù)措施,還需要更多地借助于技術(shù)以外的其他手段。
參考文獻(xiàn):
關(guān)鍵詞:電子政務(wù);信息安全;體系管理
中圖分類號(hào):TP309 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 20-0000-01
E-government Information Security Management System Construction
Chen Jisheng,Xu Yunpeng
(Shandong Jining Information Center,Jining272017,China)
Abstract:E-government electronic and information technology and management as a combination,just like modern information technology has become the most important areas.It is precisely because of its importance,its information security is to be ignored.This will be its information security management needs analysis,security threats in a bid to build their management and security system to give a systematic exposition.
Keywords:E-government;Information security;System management
所謂電子政務(wù)信息安全管理體系就是依據(jù)電子政務(wù)安全需求,安全威脅來(lái)源而建立起來(lái)的有效防治安全威脅、保證電子政務(wù)安全有序運(yùn)行的保障體系。因此要構(gòu)建一個(gè)完備的電子政務(wù)安全管理體系就必須對(duì)安全威脅有清楚的認(rèn)識(shí)并加之行之有效的管理。
一、電子政務(wù)系統(tǒng)安全需求分析
電子政務(wù)涉及國(guó)家秘密信息和高敏感度核心政務(wù),因此有嚴(yán)格的安全要求。如嚴(yán)格的保密要求,信息準(zhǔn)確交換的要求,嚴(yán)格的權(quán)限管理要求,嚴(yán)格的程序和流程要求。電子政務(wù)內(nèi)部信息網(wǎng)站有著大量高度機(jī)密的數(shù)據(jù)和信息,直接涉及政府的核心政務(wù),它關(guān)系到政府部門、各大系統(tǒng)乃至整個(gè)國(guó)家的利益,有的甚至涉及國(guó)家安全。因此,電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問(wèn)題和核心問(wèn)題,是電子政務(wù)的職能與優(yōu)勢(shì)得以實(shí)現(xiàn)的根本前提。如果電子政務(wù)信息安全得不到保障,不僅電子政務(wù)的便利與效率無(wú)從保證,更會(huì)給國(guó)家利益帶來(lái)嚴(yán)重威脅。
二、電子政務(wù)信息安全威脅
電子政務(wù)信息安全威脅主要來(lái)自兩個(gè)方面,一是信息安全技術(shù)層面,主要是物理安全威脅,網(wǎng)絡(luò)基礎(chǔ)平臺(tái)安全威脅,信息資源層安全威脅,業(yè)務(wù)應(yīng)用層安全威脅等。物理安全威脅主要是物理通路的損壞、物理通路的竊聽、對(duì)物理通路的攻擊。網(wǎng)絡(luò)基礎(chǔ)平臺(tái)的安全威脅是非法用戶與非授權(quán)客戶的突發(fā)使用,造成網(wǎng)絡(luò)路由錯(cuò)誤,信息被攔截或監(jiān)聽。而信息資源層安全威脅是主要安全問(wèn)題,要求保證客戶資料、操作系統(tǒng)訪問(wèn)控制的安全,同時(shí)能夠?qū)υ谠摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計(jì)。業(yè)務(wù)應(yīng)用層安全也很容易受到攻擊,應(yīng)用系統(tǒng)直接面向最終用戶,其安全問(wèn)題最多,包括規(guī)范化操作、合法性使用、系統(tǒng)本身安全漏洞、信息泄露等。二是安全管理方面,也是整個(gè)系統(tǒng)的關(guān)鍵。通常存在的管理問(wèn)題包括管理組織、管理規(guī)范、技術(shù)管理、日常管理等。管理組織不完善、管理規(guī)范未建立、技術(shù)管理不到位、日常管理幾乎空白等。
由于電子政務(wù)對(duì)過(guò)度開放的網(wǎng)絡(luò)的高度依賴,以及當(dāng)今電子政務(wù)安全技術(shù)的缺陷導(dǎo)致電子政務(wù)存在來(lái)自各方面的安全威脅。因?yàn)殡娮诱?wù)是建立在基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)平臺(tái)上,而互聯(lián)網(wǎng)是一個(gè)缺少安全管理的開放性平臺(tái),安全隱患特別多,給予網(wǎng)絡(luò)黑客或不法分子可乘之機(jī)。對(duì)電子政務(wù)的安全威脅還包括網(wǎng)上犯罪、病毒泛濫和蔓延,信息間諜的潛入和竊密,網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞,網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓,信息安全產(chǎn)品的失控以及信息安全技術(shù)層面的滯后等。
三、構(gòu)建電子政務(wù)信息安全管理體系
根據(jù)上述的需求以及各方面威脅的來(lái)源就可以有針對(duì)性的建立起電子政務(wù)信息安全管理體系,從而使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)能夠具有保密性、完整性、真實(shí)性和可用性。電子政務(wù)信息安全管理體系包括技術(shù)保障體系、管理運(yùn)營(yíng)體系、服務(wù)保障體系和基礎(chǔ)設(shè)施平臺(tái)。
(一)構(gòu)建技術(shù)保障體系。由于電子政務(wù)的國(guó)家性,電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識(shí)產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品,全面推動(dòng)自主研發(fā)和創(chuàng)新這些技術(shù)和產(chǎn)品是電子政務(wù)安全的需要。核心技術(shù)的研發(fā)可以保證在安全保衛(wèi)戰(zhàn)上的主動(dòng)性。這些核心技術(shù)主要包括數(shù)據(jù)加密技術(shù)、信息隱藏技術(shù)和信息認(rèn)證技術(shù)。鑒于現(xiàn)今我國(guó)技術(shù)水平落后,各地政府部門所用的信息平臺(tái)大多屬于國(guó)外技術(shù)產(chǎn)品,這更加加大的信息安全的風(fēng)險(xiǎn)。因此加快技術(shù)研發(fā)、技術(shù)產(chǎn)品化及產(chǎn)業(yè)化迫在眉睫。
(二)構(gòu)建管理運(yùn)營(yíng)體系。有了行之有效的技術(shù)保障體系后最主要的問(wèn)題就是管理的跟進(jìn)啦,構(gòu)建安全管理系統(tǒng)是電子政務(wù)安全進(jìn)行的重要基礎(chǔ)。從管理體制上落實(shí)安全責(zé)任制,建立完備的信息安全管理和認(rèn)證機(jī)制。安全管理系統(tǒng)主要包括安全組織,安全策略和制度,安全評(píng)估和安全審計(jì)等。
1.安全組織。建立安全決策組織、安全指導(dǎo)小組、安全專家小組、安全領(lǐng)導(dǎo)小組,建立網(wǎng)絡(luò)日常管理機(jī)構(gòu),建立維護(hù)單元等。只有建設(shè)一個(gè)國(guó)家到省市縱向和橫向各部委、廳局架構(gòu)的安全管理組織,才能真正實(shí)現(xiàn)全面的安全等級(jí)保護(hù)。
2.安全策略和制度。安全的政策和制度也是整個(gè)系統(tǒng)的關(guān)鍵部分,電子政務(wù)的安全運(yùn)行必須以法律法規(guī)形式加以保障。通過(guò)加大執(zhí)法力度,嚴(yán)格執(zhí)法限制安全威脅。
3.安全評(píng)估。安全評(píng)估主要是分析潛在威脅,威脅嚴(yán)重程度,可能造成的后果,系統(tǒng)應(yīng)對(duì)的安全措施等。
4.安全審計(jì)。在上述各項(xiàng)的基礎(chǔ)上同時(shí)還要定期對(duì)各項(xiàng)安全舉措執(zhí)行情況進(jìn)行達(dá)標(biāo)審查。檢查體系運(yùn)行情況,并做出下一步工作方向。
(三)建立穩(wěn)定的服務(wù)保障體系。電子政務(wù)發(fā)展進(jìn)入了以服務(wù)對(duì)象為中心的新階段,服務(wù)是電子政務(wù)的出發(fā)點(diǎn)和落腳點(diǎn),建立安全穩(wěn)定的服務(wù)保障體系則是提供可持續(xù)服務(wù)的基礎(chǔ)。其服務(wù)對(duì)象是就是最廣大的人民大眾,基數(shù)龐大,且利益重、影響大,更加大了服務(wù)保障的挑戰(zhàn)性。而現(xiàn)階段我國(guó)電子政務(wù)建設(shè)中存在的問(wèn)題都與缺乏服務(wù)密切相關(guān)。包括重建設(shè)輕應(yīng)用;重內(nèi)部網(wǎng)絡(luò),輕門戶窗口;重投入輕維護(hù);重部門建設(shè),輕跨部門合作;對(duì)公眾服務(wù)創(chuàng)新較弱等等。歸根結(jié)底是沒(méi)有樹立起以公眾為中心的的服務(wù)意識(shí)、態(tài)度和能力。對(duì)于服務(wù)體系要進(jìn)行嚴(yán)格的劃分。按服務(wù)對(duì)象可分為面向公眾的服務(wù)、面向企業(yè)的服務(wù)、面向組織和部門的服務(wù)。按服務(wù)內(nèi)容的層次又可以劃分為基礎(chǔ)、創(chuàng)新和個(gè)性化服務(wù)等,依據(jù)各種類劃分嚴(yán)格建立體系相應(yīng)機(jī)構(gòu)。
參考文獻(xiàn):
[1]翟亞紅.淺析信息安全風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)的關(guān)系[J].信息安全與通信保密,2011,4
[2]趙章界,李晨D,劉海峰.信息安全策略開發(fā)的關(guān)鍵問(wèn)題研究[J].信息網(wǎng)絡(luò)安全,2011,3
論文關(guān)鍵詞:信息系統(tǒng);安全管理;體系
現(xiàn)代金融業(yè)是基于信息、高度計(jì)算化、分散、相互依存的產(chǎn)業(yè),有人形象地把信息系統(tǒng)歸結(jié)為銀行業(yè)的“核心資本”。金融信息化帶來(lái)的是銀行業(yè)務(wù)信息系統(tǒng)在網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)關(guān)系、角色關(guān)系等方面的復(fù)雜化。而越是復(fù)雜的系統(tǒng),其安全風(fēng)險(xiǎn)就越高。在系統(tǒng)中每增加一種訪問(wèn)的方式就增加了一些入侵的機(jī)會(huì);每增加一些訪問(wèn)的人群就引入了一些可能受到惡意破壞的風(fēng)險(xiǎn)。據(jù)2003年一項(xiàng)對(duì)全球前500家金融機(jī)構(gòu)的安全調(diào)查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受調(diào)查的機(jī)構(gòu)承認(rèn)2002年曾受到一定形式的系統(tǒng)攻擊;美國(guó)聯(lián)邦法院2004年所作的一系列有關(guān)信息犯罪的案件中,有多件涉及金融機(jī)構(gòu)。這些統(tǒng)計(jì)數(shù)字和報(bào)道出的事件,只是我們面臨信息系統(tǒng)安全威脅的冰山一角,因此加速建設(shè)金融信息系統(tǒng)中的安全保障體系變得更加緊迫。
長(zhǎng)期以來(lái),人們對(duì)保障信息系統(tǒng)安全的手段偏重于依靠技術(shù),從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測(cè)、漏洞掃描、身份認(rèn)證等等。但事實(shí)上,僅僅依靠安全技術(shù)和安全產(chǎn)品保障信息系統(tǒng)安全的愿望卻往往難盡人意,許多復(fù)雜、多變的安全威脅和隱患靠安全產(chǎn)品是無(wú)法消除的。據(jù)有關(guān)部門統(tǒng)計(jì),在所有的計(jì)算機(jī)安全事件中,約有52%是人為因素造成的,25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起,技術(shù)錯(cuò)誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡(jiǎn)單歸類,屬于管理方面的原因比重高達(dá)6O%以上,而這些安全問(wèn)題中的95%是可以通過(guò)科學(xué)的信息安全管理來(lái)避免。因此,加強(qiáng)安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證,是金融信息系統(tǒng)安全體系建設(shè)的重點(diǎn)。
1安全管理體系構(gòu)建
信息安全源于有效的管理,使技術(shù)發(fā)揮最佳效果的基礎(chǔ)是要有一定的信息安全管理體系,只有在建立防范的基礎(chǔ)上,加強(qiáng)預(yù)警、監(jiān)控和安全反擊,才能使信息系統(tǒng)的安全維持在一個(gè)較高的水平之上。因此,安全管理體系的建設(shè)是確保信息系統(tǒng)安全的重要基礎(chǔ),是金融信息系統(tǒng)安全保障體系建設(shè)最為重要的一環(huán)。為在金融信息系統(tǒng)中建立全新的安全管理機(jī)制,最可行的做法是技術(shù)與管理并重,安全管理法規(guī)、措施和制度與整體安全解決方案相結(jié)合,并輔之以相應(yīng)的安全管理工具,構(gòu)建科學(xué)、合理的安全管理體系。
金融信息系統(tǒng)安全管理體系是在金融信息系統(tǒng)安全保障整體解決方案基礎(chǔ)上構(gòu)建的,它包括信息安全法規(guī)、措施和制度,安全管理平臺(tái)及信息安全培訓(xùn)和安全隊(duì)伍建設(shè),其示意圖如圖1所示。
2安全管理平臺(tái)
安全管理平臺(tái)是通過(guò)采用技術(shù)手段實(shí)施金融信息系統(tǒng)安全管理的平臺(tái),它包括安全預(yù)警管理、安全監(jiān)控管理、安全防護(hù)與響應(yīng)管理和安全反擊管理。
2.1安全預(yù)警管理
安全預(yù)警管理的功能由預(yù)警系統(tǒng)實(shí)現(xiàn),通過(guò)該系統(tǒng),可以在安全風(fēng)險(xiǎn)動(dòng)態(tài)威脅和影響金融信息系統(tǒng)前,事先傳送相關(guān)的警示,讓管理員采取主動(dòng)式的步驟,在安全風(fēng)險(xiǎn)影響運(yùn)作前加以攔阻,從而預(yù)防全網(wǎng)業(yè)務(wù)中斷、效能損失或?qū)ζ涔娦抛u(yù)造成危害,達(dá)到提前保護(hù)自己的作用。安全預(yù)警系統(tǒng)通過(guò)追蹤最新的攻擊技術(shù),分析威脅信息以辨識(shí)出真正潛在的攻擊,迅速響應(yīng)并提供定制化威脅分析及個(gè)性化的漏洞和惡意代碼告警服務(wù),幫助降低風(fēng)險(xiǎn),防患于未然。
2.2安全監(jiān)控管理
通過(guò)安全監(jiān)控功能可以實(shí)時(shí)監(jiān)控金融信息系統(tǒng)的安全態(tài)勢(shì)、發(fā)生了哪些攻擊、出現(xiàn)了什么異常、系統(tǒng)存在什么漏洞以及產(chǎn)生了哪些危險(xiǎn)日志等,因此安全監(jiān)控功能對(duì)于金融信息系統(tǒng)的安全保障體系來(lái)說(shuō)是至關(guān)重要的。
1)基于實(shí)時(shí)性的安全監(jiān)控。通過(guò)在線方式管理金融信息系統(tǒng)中的資源狀態(tài)和實(shí)時(shí)安全事件,及時(shí)關(guān)注IT資源和安全風(fēng)險(xiǎn)的現(xiàn)狀和趨勢(shì),通過(guò)實(shí)時(shí)監(jiān)控來(lái)提高系統(tǒng)的安全性和IT資源的效能。
2)基于智能化的安全監(jiān)控。利用智能信息處理技術(shù)對(duì)信息網(wǎng)絡(luò)中的各種安全事件進(jìn)行智能處理,實(shí)現(xiàn)報(bào)警信息的精煉化,提高報(bào)警信息的可用信息量,降低安全設(shè)備的虛警和誤警,從而有效地提高安全保障系統(tǒng)中報(bào)警信息的可信度。
3)基于可視化的安全監(jiān)控。通過(guò)對(duì)安全事件分析過(guò)程與分析報(bào)告的可視化手段,如圖表/曲線/數(shù)據(jù)表/關(guān)聯(lián)關(guān)系圖等,提供詳細(xì)的入侵攻擊信息乃至重現(xiàn)攻擊場(chǎng)景,實(shí)現(xiàn)對(duì)入侵攻擊行為的追蹤,使得對(duì)安全事件的分析更為直觀,從而有效提高安全管理人員對(duì)于入侵攻擊的監(jiān)控理解,使安全系統(tǒng)的管理更為有效。
4)基于分布式的安全監(jiān)控。通過(guò)系統(tǒng)分布式的多級(jí)部署方式,可以實(shí)現(xiàn)對(duì)金融信息系統(tǒng)內(nèi)各個(gè)子系統(tǒng)的監(jiān)控和綜合分析能力,同時(shí)對(duì)不同安全保護(hù)等級(jí)的用戶提供相應(yīng)的監(jiān)控界面和信息,從而嚴(yán)格滿足其安全等級(jí)劃分的用戶級(jí)要求。
2.3安全防護(hù)與響應(yīng)管理
在金融信息系統(tǒng)的安全系統(tǒng)中由于安全的異構(gòu)屬性,因此會(huì)采用不同的安全技術(shù)和不同廠家的安全產(chǎn)品來(lái)實(shí)現(xiàn)安全防護(hù)的目的。通過(guò)安全防護(hù)與響應(yīng)管理可以及時(shí)響應(yīng)和優(yōu)化整個(gè)系統(tǒng)安全防護(hù)策略;最直接的響應(yīng)就是提供多種方式,如報(bào)警燈、窗日、郵件、手機(jī)短信等向安全管理員報(bào)警,然后日志保存在本地?cái)?shù)據(jù)庫(kù)或者異地?cái)?shù)據(jù)庫(kù)中。
1)優(yōu)化安全策略分析。通過(guò)實(shí)時(shí)掌握自身的安全態(tài)勢(shì),及各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)和業(yè)務(wù)系統(tǒng)的處理情況,輸出正常和非法個(gè)性化的安全策略報(bào)表,然后直接通知相應(yīng)的安全管理人員或廠商對(duì)其自身策略進(jìn)行優(yōu)化調(diào)整。
2)動(dòng)態(tài)響應(yīng)策略調(diào)整。通過(guò)對(duì)各種安全響應(yīng)協(xié)議的支持,如SNMP、TOPSEC、聯(lián)動(dòng)協(xié)議等,實(shí)現(xiàn)相關(guān)的安全防護(hù)技術(shù)策略的自動(dòng)交互,同時(shí)通過(guò)專家知識(shí)庫(kù)能從全局的角度去響應(yīng)安全事件很好地解決安全誤報(bào)問(wèn)題。
3)安全服務(wù)自動(dòng)協(xié)調(diào)。當(dāng)智能分析和安全定位功能確認(rèn)出安全事件或安全故障時(shí),及時(shí)調(diào)派安全服務(wù)人員小組(或提供安全服務(wù)的供應(yīng)商)進(jìn)行相應(yīng)的安全加固防護(hù)。
2.4安全反擊管理
安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。
1)安全事件的取證管理。取證在網(wǎng)絡(luò)與信息系統(tǒng)安全事件的調(diào)查中是非常有用的工具,通過(guò)對(duì)系統(tǒng)安全事件的存儲(chǔ)和分析,實(shí)現(xiàn)對(duì)安全事件的取證管理,給相關(guān)調(diào)查人員提供安全事件的直接取證。
2)安全事件的追蹤反擊。通過(guò)資源狀態(tài)分析、關(guān)聯(lián)分析、專家系統(tǒng)分析等有效手段,檢測(cè)到攻擊類型,并定位攻擊源。隨后,系統(tǒng)自動(dòng)對(duì)目標(biāo)進(jìn)行掃描,并將掃描結(jié)果告知安全管理員,并提示安全管理員查詢知識(shí)庫(kù),從中提取有效手段對(duì)攻擊源進(jìn)行反擊控制。
3安全管理措施建議
在安全管
理技術(shù)手段的基礎(chǔ)上,還要提高安全管理水平。俗話說(shuō)“三分技術(shù),七分管理”,由于金融信息系統(tǒng)相對(duì)比較封閉,對(duì)于金融信息系統(tǒng)安全來(lái)說(shuō),業(yè)務(wù)邏輯和操作規(guī)范的嚴(yán)密程度是關(guān)鍵。因此,加強(qiáng)金融信息系統(tǒng)的內(nèi)部安全管理措施,建立領(lǐng)導(dǎo)組織體系,完善落實(shí)內(nèi)控制度,強(qiáng)化日常操作管理,是提升安全管理水平的根本。
1)完善安全管理機(jī)構(gòu)的建設(shè)。目前,我國(guó)已經(jīng)把信息安全提到了促進(jìn)經(jīng)濟(jì)發(fā)展、維護(hù)社會(huì)穩(wěn)定、保障國(guó)家安全、加強(qiáng)精神文明建設(shè)的高度,并提出了“積極防御、綜合防范”的信息安全管理方針,專門成立了網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡(jiǎn)稱CNCERT/CC)、中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心(簡(jiǎn)稱CNITSEC)等,初步建成了國(guó)家信息安全組織保障體系。為確保金融信息系統(tǒng)的安全,在金融信息系統(tǒng)內(nèi)部應(yīng)組建安全管理小組(或委員會(huì)),安全管理小組制定出符合企業(yè)需要的信息安全管理策略,具體包括安全管理人員的義務(wù)和職責(zé)、安全配置管理策略、系統(tǒng)連接安全策略、傳輸安全策略、審計(jì)與入侵安全策略、標(biāo)簽策略、病毒防護(hù)策略、安全備份策略、物理安全策略、系統(tǒng)安全評(píng)估體系等內(nèi)容。安全管理應(yīng)盡量把各種安全策略要求文檔化和規(guī)范化,以保證安全管理工作具有明確的依據(jù)或參照。
2)在保證信息系統(tǒng)設(shè)備的運(yùn)行穩(wěn)定可靠和信息系統(tǒng)運(yùn)行操作的安全可靠的前提下,增加安全機(jī)制,如進(jìn)行安全域劃分,進(jìn)行有針對(duì)性的安全設(shè)備部署和安全策略設(shè)置,以改進(jìn)對(duì)重要區(qū)域的分割防護(hù);增加入侵檢測(cè)系統(tǒng)、漏洞掃描、違規(guī)外聯(lián)等安全管理工具,進(jìn)行定時(shí)監(jiān)控、事件管理和鑒定分析,以提高自身的動(dòng)態(tài)防御能力;完善已有的防病毒系統(tǒng)、增加內(nèi)部信息系統(tǒng)的審計(jì)平臺(tái),以便形成對(duì)內(nèi)部安全狀況的長(zhǎng)期跟蹤和防護(hù)能力。
3)制定一系列必須的信息系統(tǒng)安全管理的法律法規(guī)及安全管理標(biāo)準(zhǔn),狠抓內(nèi)網(wǎng)的用戶管理、行為管理、應(yīng)用管理、內(nèi)容控制以及存儲(chǔ)管理;進(jìn)一步完善互聯(lián)網(wǎng)應(yīng)急響應(yīng)管理措施,對(duì)關(guān)鍵設(shè)施或系統(tǒng)制定好應(yīng)急預(yù)案,并定期更新和測(cè)試,全面提高預(yù)案制定水平和處理能力;建立一支“信息安全部隊(duì)”,專門負(fù)責(zé)信息網(wǎng)絡(luò)方面安全保障、安全監(jiān)管、安全應(yīng)急和安全威懾方面的工作。
4)堅(jiān)持“防內(nèi)為主,內(nèi)外兼防”的方針,加強(qiáng)登錄身份認(rèn)證,嚴(yán)格限制登錄者的操作權(quán)限,充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能,對(duì)用戶所訪問(wèn)的信息進(jìn)行跟蹤記錄,為系統(tǒng)審計(jì)提供依據(jù)。
5)重視和加強(qiáng)信息安全等級(jí)保護(hù)工作,對(duì)金融信息系統(tǒng)中的信息實(shí)施一般保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)和強(qiáng)制保護(hù)策略,尤其對(duì)重要信息實(shí)施強(qiáng)制保護(hù)和強(qiáng)制性認(rèn)證,以確保金融業(yè)務(wù)信息的安全。
6)加強(qiáng)信息安全管理人才與安全隊(duì)伍建設(shè),特別是加大既懂技術(shù)又懂管理的復(fù)合型人才的培養(yǎng)力度。通過(guò)各種會(huì)議、網(wǎng)站、廣播、電視、報(bào)紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識(shí),尤其是加強(qiáng)企業(yè)內(nèi)部人員的信息安全知識(shí)培訓(xùn)與教育,提高員工的信息安全自律水平。
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)