序論:在您撰寫信息安全管理論文時����,參考他人的優秀作品可以開闊視野����,小編為您整理的1篇范文,希望這些建議能夠激發您的創作熱情���,引導您走向新的創作高度。
1數字化檔案相關介紹
數字化檔案是檔案與現代化的技術有機結合的新型檔案信息形態�,將檔案信息轉化成數字信息�����,應用現代化技術的便捷性,將檔案信息進行歸檔�、利用以及資源共享等�。這里所說的現代化技術主要包括計算機技術����、掃描技術���、OCR技術��、數字攝影技術����、數據庫技術��、多媒體技術��、存儲技術等。
2數字檔案信息安全問題相關分析
對于檔案信息本身來說���,無論是傳統的檔案存儲�����,還是現代化的數字檔案�,安全問題都是首要問題��。由于現代化的數字檔案是傳統檔案與現代化技術的結合,所以影響檔案信息安全問題的因素較多�,這些因素的出現��,對數字化檔案信息安全造成了不同程度的影響。以下是對數字檔案信息安全問題的具體分析��。
2.1數字檔案信息的安全管理。
檔案信息安全管理問題是決定數字檔案信息安全的直接因素���。如果安全管理方面存在缺陷,例如制度的不完善�、標準不統一�����、管理措施無效等,必然會失去數字檔案信息的基本保障�����。所謂的數字檔案信息安全管理主要包括管理制度、標準�����、管理措施�,不僅如此還包括數字檔案信息歸檔流程等�,相關流程不規范也會使數字檔案信息安全問題受到威脅����。
2.2計算機故障問題��。
由于數字檔案信息的歸檔及利用均以計算機為載體,所以計算機本身的不確定因素會影響數字檔案信息安全問題�����,其中計算機故障問題是影響數字檔案信息安全的主要問題,其中計算機故障又包括硬件故障與軟件故障�。以下是對兩種故障的具體分析��。
2.2.1硬件故障���。
計算機硬件條件良好時數字檔案信息安全問題的基本保障����,當計算機硬件發生故障時����,數字檔案信息的存儲�、查詢��、利用等就會受到較大的影響,其在一定程度上導致檔案信息的丟失或損害��,影響了檔案信息的完整程度,大大降低了數字檔案的使用質量與效率��,為使用者造成較大的不便。
2.2.2軟件故障。
計算機的軟件是處理數字檔案信息的必要條件����,一旦計算機軟件出現故障亦或是性能無法滿足現階段數字化檔案信息系統的要求�����,檔案信息的處理能力就會大大下降,工作質量與效率也會隨之下降��,而數字化檔案信息本身也無法發揮最大作用。計算機軟件故障直接影響數字化檔案信息系統的操作�,但是與計算機硬件故障相比較�,其發生故障的幾率較小���。
3探究數字化檔案信息安全管理相關策略
前文已述�,管理問題直接影響著數字化檔案信息安全�,故而要確保檔案信息的安全,首先要從管理策略方面抓起���。以下是對數字化檔案信息安全管理相關策略的具體分析���。
3.1加強數字化檔案宏觀管理。
加強數字化檔案的宏觀管理檔案數字化工作是一項技術性�、專業性、綜合性很強的工作��,必須加強領導,統一思想�����,建立健全組織機構,比如建立專門的檔案數字化�、信息化���、網絡化協調組織機構�����,組織國家檔案信息網絡的總體設計與技術攻關����,加強檔案信息網絡一體化的宏觀管理���。檔案數字化工作要納入科學管理體制,作為機關管理工作的一部分�����,制定相應的工作分工范圍及管理權限�����。
3.2完善相關管理制度。
在完善管理制度時��,要綜合考慮各種因素對數字化檔案信息安全的影響���。在人員安全管理方面��,要設立具體的安全審查制度����、崗位安全考核制度�����、安全培訓制度等��。對已經存儲的數字信息均應進行密級分類���,對敏感信息與機密信息應當加密并脫機存儲在安全的環境中����,防止信息被竊聽���、變更與毀壞。在系統安全運行方面��,要做好機房出入控制、環境條件保障管理�����、自然災害防護��、防護設施管理��、電磁波與磁場防護等工作����。設立操作安全管理���、操作權限管理、操作規范管理�、操作責任管理�、操作監督管理�����、操作恢復管理、應用系備份管理�、應用軟件維護安全管理等制度�。從技術上防止文件被人為地修改����,增強電子文件的憑證性和可靠性。
3.3計算機安全管理���。
由于計算機故障對數字化檔案信息安全造成較大的損害��,所以要做好計算機安全管理工作��。應根據數字化檔案信息系統的實際情況選擇性能良好的的計算機硬件和軟件���。在選擇計算機硬件和軟件的過程中應注重計算機的品牌和服務器����,全面對計算機硬件的兼容性和可擴展性進行一定的審核����,這樣做的目的是為了避免當計算機系統在升級時數字化檔案信息的相關數據丟失��。不僅如此,還要定期更新軟件��,選擇更有利于處理數字化檔案信息的軟件,確保最大程度上發揮數字化檔案信息的優勢����。
3.4信息技術安全管理���。
依靠數字化檔案信息安全管理人員在強度安全管理是不夠的,還需要現階段科學信息技術援助���。為了保證數字化檔案信息數據的安全�����,在數字化檔案信息安全管理工作中可以運用一些先進的科學信息技術來提高數字化檔案信息安全����。例如��,可以設置信息的訪問認證,防病毒系統����,同時也對數字化檔案信息相關機密數據進行加密操作�,以數據加密的形式��,可以有效地防止數字化檔案信息數據被一些木馬病毒和被非法網站入侵,進行安全管理對保護數字化檔案信息安全是非常有效的�����。
3.5提高管理人員的專業素質����。
管理人員的專業素質對數字化檔案信息安全管理來說至關重要,故而提高管理人員自身專業素質也是安全管理中的重要策略���。相關的工作人員利用電子設施在網絡環境中開展對應的相關工作,對相關的數字檔案實現有效地管理���,也就是個相關人員自身的能力大小對相關的數字檔案工作的安全性有著比較大的影響���。這就要求在具體的工作中��,相關的數字檔案管理人員要熟悉管理方面的相關專業理論����,還要在具體的工作中樹立其較強的管理安全意識����,不斷充實自己��,提高數字化檔案安全管理的實踐工作技能�����。一旦工作中內部成員想要泄露檔案信息,相關的管理人員就要切實提高警惕���,有效的增強風險思想��,確保信息在實際的工作中受到嚴密的保存;與此同時�����,有關的組織機構還要組織針對性的人員培訓活動���,有效地提高相關管理人員的安全理念,以此達到萬無一失��。除了以上幾種管理策略之外還存在著其他管理策略,例如規范數字化檔案信息歸檔存儲流程����,確保數字化檔案信息的真實性與完整性��,進一步確保數字化檔案信息安全。
4結束語
綜上所述����,信息安全問題對于數字化檔案來說至關重要,影響數字化檔案信息安全的因素有很多����,要不斷的加強宏觀管理��、完善相關制度、做好計算機管理工作與信息安全管理工作����,提高管理人員的專業素質��,確保數字化檔案信息安全問題。
作者:高紅 單位:齊齊哈爾市依安縣依安鎮人民政府
信息安全管理論文:信息時代電子信息安全管理探討
1電子信息安全管理概述
1.1電子信息安全管理概念
從當前經濟社會發展情況來看�,信息安全問題主要來源于信息技術���,隨著信息技術在現代經濟���、社會生活中應用范圍進一步擴大,其對經濟��、社會發展的影響也是十分明顯的�。人們很早就已經開始了對電子信息安全的研究,但從研究結果來看�����,單獨依靠技術手段是難以實現電子信息安全管理的。例如��,在當前電腦防護中,防火墻�、網絡安全控制系統被大范圍使用��,但電子信息安全現象依然屢見不鮮,對技術人員而言����,為獲得更好的電子信息安全管理效果�����,需要重點考慮防火墻安全策略設計以及其物理保護控制問題����,通過適當的程序支持來充分發揮信息系統作用���??傮w而言�����,信息安全管理=信息安全技術+信息安全管理支持。
1.2電子信息安全管理模型分析
在當前電子信息安全管理模型設置中���,主要堅持傳統PDCA模式如圖1所示進行優化����,其具體內容為:①P(策劃):根據組織業務運足要求與相關法律,確定本次電子信息安全管理的范圍與要求���,并通過相應的安全風險評估��,確定控制目標與方式��,并明確業務持續性計劃��。②D(實施):在安全管理實施過程中����,技術人員根據既定的組織計劃對所選目標進行安全控制。③C(檢查):根據質量控制目標與法律法規要求�,監視�����、驗證安全管理過程與信息系統安全系數�,及時總結安全現象并收集其中參數變化信息�����。④A(行動):根據檢查結果,分析安全管理措施的有效性�,并持續改進����。
2電子信息安全管理風險評估
2.1風險評估概念及模型
2.1.1風險評估概念
風險評估的核心就是對風險源的分析���,在電子信息安全管理中��,風險評估的作用十分明顯。以企業為例����,企業電子信息安全問題表現是多方面的,并且相互之間的作用�、聯系各不相同�,若不能正確認識各個安全問題對企業電子信息安全問題的影響�����,將會對企業造成大量損傷��。而在進行風險評估后���,所有影響企業電子信息安全的要素都將被羅列出來,并根據本企業的實際情況�、類似企業情況等�,判斷易誘發電子信息安全問題的要素����,確保后續電子信息安全管理的科學性���。
2.1.2風險評估模型
風險評估作為一個系統性工程,其具備相應的理論基礎�,并能根據相關理論對風險進行評價�,常見的原理形式主要表現為:大數定律����、慣性原理、統計推斷原理等����。當前在風險評估模型設計中�,已經被研發出很多成熟的模型�,包括人們所熟知的基于時間的PDR模型�、動態安全APPDER模型等�����。
2.2風險計算模型
在確定其風險內容后���,要對其風險值進行計算�。本文結合威脅識別的相關內容��,確定其計算模型為:R=f(AWT)式中:R代表風險;A代表資產�;W代表脆薄弱點�����;T代表目標主體所面臨的風險現象�����。
3電子信息安全管理技術分析
3.1技術維
技術維的核心就是進一步強化技術手段的安全保障作用��,其所涵蓋的內容主要包括計算機系統安全����、網絡安全等����。
3.1.1計算機系統安全
(1)硬件安全。在電子信息安全管理中���,硬件安全主要處理設備故障對系統安全造成的影響����,建立容錯系統是硬件安全的關鍵��。采用雙機容錯模式�,兩臺計算機上設置相同的系統,分別設置兩個服務器處理系統運行����,保證在某臺計算機出現故障后���,另一臺計算機能有效承擔所有工作。同時����,要針對系統重要運行設備設置電源,必要時可以對整個機房建立單獨供電室��,并以多種線路的方式提供電源�。(2)軟件安全。系統設置:以C++語言編寫設備多串口控制驅動���,并通過Java中的JNI技術顯示系統調用��。在條件允許情況下���,在后臺數據庫建設中以Oracle技術實現系統構造��,并通過傳統的數據庫建立模型進行構建�,該技術的要點為:①在主程序中建設數據庫����,并實現數據庫的鏈接�;②通過SQL語言操作獲數據�����,并根據既定的操作要求進行數據處理;③鏈接數據庫�����。在經過上述三個環節處理后,即可建立一次連接數據庫��。但要注意的是,按照上述步驟建立的數據庫只能接受低頻次的操作要求���,一旦頻次過高,系統所面臨的運行壓力增大�����,最終影響系統運行效果。安全管理:在軟件安全管理中��,主要通過權限認證進行角色訪問控制��,以企業為例�����,對其安全管理內容進行確定。①角色分配:建立用戶管理模塊��,該模塊主要具備用戶信息增加、刪除�����、修改等功能����,并建立用戶管理員與一般用戶�。在系統功能實現中,將功能代碼布添加至管理角色權限中���,并保存操作數據;創建用戶賬號����,使用戶登錄系統能瀏覽器權限內部的內容��。②加入身份信息:系統登錄過程中先查詢相關用戶是否存在����,若提示用戶存在,則按照其權限為其提供信息��,并統計員工權限。
3.1.2網絡控制措施
(1)安全協議:安全協議對電子信息安全性產生重要影響����。目前����,TCP/IP協議已經被廣泛使用,但協議中依然存在漏洞���。其改進措施主要為:修改��、補充原有協議或在傳輸層與網絡應用層之間設置安全子層�。(2)網間隔離技術:網間隔離技術是一種成熟的網域連接技術�,其具體技術內容表現為:①服務器。控制兩個網域之間的直接通訊行為�,所有防火墻外的計算機主要通過服務器實現訪問過程�����。在此過程中�����,服務器能控制對方訪問級別�,根據防火墻要求控制對方訪問行為��,當對方訪問行為超出限制范圍時,服務器將會組織���。②路由器與過濾器�。路由器能通過特定端口控制過濾器數據�,通過對其加以路由實現控制�����;過濾器能選擇通過網絡層數據包���,并以數據包為基礎��,確定IP目標地址與IP源信息,判斷數據包能否通過��。
3.1.3信息保護措施
保密技術是常見的信息保護措施,其操作要點主要包括:①通過網絡操作系統提供的保密技術進行保密處理��;②重視對數據庫信息保密��。針對可讀形式的數據庫��,需要控制數據庫訪問權限���,必要時可以建立監控系統監督數據庫瀏覽服務情況���。針對安全服務器支持訪問情況�,采取強制控制措施���,實現多級授權描述;③通過現代加密技術����,實現信息重組����,只有信息發送、接受雙方才能還原原有信息���。
3.2管理維
(1)計算機場地安全管理。計算機場地是整個信息系統的核心���,要將主機房選址于日常安全管理作為整個工作的核心����。在計算機場地選址中�,要綜合考慮地震���、臺風等多種自然因素對房屋結構的要求,施工過程應滿足國家《計算機場地安全要求》的相關內容��。在主機房設備環境控制中,重視防塵�����、防火處理��。(2)信息系統資料管理��。信息系統資料管理主要針對系統信息進行控制。這些需要保護的資料可分為兩類:軟件系統記錄資料與系統設備檔案�����。在管理過程中,技術人員根據上述資料的種類與使用范圍對其進行整理���。(3)緊急恢復管理���。緊急恢復管理又被成為災難恢復,是指災難發生后迅速采取處理措施����,以降低電子安全問題造成的損失����。在緊急恢復管理中����,應該以明確的保護等級為前提�,計劃內容主要針對具體應急方案���,能清晰明了講述恢復的方法與步驟���。(4)設立信息安全檢查表�����。信息安全檢查表的主要功能是針對對象日常工作信息進行安全管理���,在該檢查表中�,主要內容包括信息安全通知����、信息安全檢查工作�����、信息安全檢查表格等���。
4結束語
主要討論了信息時代背景下的電子信息安全管理的相關問題。對相關工作人員而言��,在開展電子信息安全管理中,要正確認識本單位在信息安全管理中可能出現的風險現象���,并在充分掌握各個安全因素的基礎上���,進一步完善電子信息安全管理方法,為獲得更好的電子信息安全管理效果奠定基礎����。
作者:陳越我 單位:中國電子科技集團公司第十八研究所
信息安全管理論文:企業信息安全管理與風險控制
一、引言
企業經營信息對于企業來說是一種資源�,對于企業自身來說具有重要意義��,企業需要妥善管理自身企業的信息。近年來���,企業的各項經營活動都逐漸開始通過計算機���,網絡開展���,因此,企業的信息安全管理對于企業越來越重要���。許多企業開始通過各種技術手段以及制度改革�����,把更多的注意力放在企業內部的信息安全管理工作����,同時將企業信息安全管理與風險控制結合起來,這是一個正確的選擇��,能夠幫助企業實現穩定經營��。在介紹企業信息安全管理以及風險控制前必須厘清企業信息安全管理的概念與企業風險控制定義,因此�����,本節將著重介紹企業信息安全管理的概念以及企業風險控制的定義。企業的信息安全管理包含十分豐富的內容�����,簡單來說是指企業通過各種手段來保護企業硬件和軟件,保護網絡存儲中的各種數據不受偶然因素的破壞或者惡意的原因被攻擊�。對于信息安全的認定通過包括4個指標�,即保證信息數據的完整��,保證信息數據不被泄露�����,保證信息數據能夠正常使用��,保證信息數據能夠控制管理��。要想做好企業的信息安全管理,首先需要了解的是關于信息的傳輸方式�����。隨著信息技術的不斷普及,信息傳遞的方式越來越多�,常見的信息傳遞方式主要有互聯網傳播���,局域網傳播���,硬件傳播等等�����。要想實現企業的信息安全管理��,其中很重要的一項工作在于保護信源、信號以及信息����。信息安全管理是一項需要綜合學科知識基礎的工作��,從事企業信息安全管理工作的人員通過需要具有網絡安全技術、計算機技術���、密碼技術����、通信技術。從企業的信息安全管理來講����,最為關鍵的一項工作時保護企業內部經營信息數據的完整。經過近十年來的企業信息安全管理工作經驗總結���,企業信息安全不僅僅需要信息技術的支持�����,更需要通過建立完善的企業風險控制體系來幫助企業實現更好地保護企業信息安全的目標�。所以�,怎樣把企業信息安全管理與風險控制融合起來就是擺在企業經營管理者面前的一道難題。企業的信息安全風險控制必須通過企業建立完善的企業信息安全風險體系實現����。企業的信息安全風險控制是指企業在企業信息安全遭遇威脅之前���,提前對企業的信息進行風險預估,并采取一系列的有針對性的活動降低企業面臨的信息安全風險����,從而盡可能減少因為企業本身信息安全管理中存在漏洞給企業帶來不必要的損失�����。常見的企業信息安全風險體系建立主要包含以下幾個方面的內容��。第一,建立企業信息安全風險管理制度��,明確企業信息安全管理的責任分配機制,明確企業各個部門對各自信息安全所應承擔的責任����,并建立相應的問責機制�。第二����,設置規范的企業信息安全風險管理指標����,對企業存在的可能威脅企業信息安全管理的漏洞予以風險定級��,方便企業管理者對不同的信息安全管理漏洞采取有區別的對策。第三��,企業要加強對信息安全管理人員的培訓,提高企業信息安全管理工作人員的風險意識���,讓企業內部從事信息安全管理工作人員認識到自身工作的重要性���,讓企業內部從事信息安全管理工作人員了解到規范自身行為,正確履行職責的重要性���。第四�����,將企業信息安全管理與風險控制有效融合����,重視企業信息安全管理工作,通過風險控制對企業內部信息安全的管理方式進行正確評估�,找出現行的企業內部信息安全管理手段中存在容易忽視的地方��。
二�����、企業信息安全管理與風險控制存在的不足
1.企業信息安全管理工作人員素質不高
對于企業來說���,企業信息安全管理工作是一項極為重要而隱秘的工作���,因此,必須增強對企業信息安全管理工作人員的素質要求�。但是根據調查統計,目前很多企業對信息安全工作的管理僅僅停留在對企業信息安全管理工作人員的技術要求上����,對企業信息安全管理工作人員的道德素養���,職業素養����,風險意識并沒有嚴格要求��。此外����,絕大多數企業并沒有意識開展對企業信息安全管理工作的道德素質的教育培訓���,并沒有通過建立相關管理制度以及問責機制對企業信息安全管理工作人員實行監督�����,這無疑給別有用心或者立場不堅定的企業信息安全管理工作人員留下了危害企業信息安全的可乘之機���。
2.企業信息安全管理技術不過關
企業信息安全管理工作涉及多許多技術���,包括信息技術���,計算機技術,密碼技術,網絡應用技術等等,應當說成熟的計算機應用技術是做好企業信息安全管理的基礎�����,但是����,現實是許多企業的信息安全管理技術并不過關�����,一方面企業的信息安全管理硬件并不過關,在物理層面對企業信息缺乏保護����,另一方面�����,企業信息安全管理工作的專業技術沒有及時更新,一些企業信息安全管理工作人員缺乏企業信息安全管理的實踐經驗���,企業信息安全管理的知識也并沒有及時更新,從而導致企業的信息安全管理理論嚴重滯后�����,這種技術的落后很容易讓企業成為不法分子的攻擊對象。近年來網絡病毒的傳播越來越猖狂��,很多服務器���、系統提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業中的大中型企業����,企業內部設備數量比較多���,尤其是客戶端數量占了較大比重,僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量����。另外����,企業信息安全管理系統不成熟也是一個重大的隱患��。
3.企業信息安全管理制度不健全
企業信息安全管理制度不僅僅需要理論制度的完善���,更加需要一系列配套監督機制保障企業信息安全管理的有效執行��。通過調查分析,許多企業雖然建立了企業信息安全管理制度�,但是通常情況下����,這些制度只能流于形式����,企業信息安全管理工作缺少有效的制約和監督��,企業信息安全管理工作人員缺乏執行力�����。企業信息安全管理制度不健全��,企業信息安全管理工作缺乏執行力常常體現在以下幾個方面。第一�����,企業員工對于信息安全管理的認識嚴重不足�,對企業信息安全管理工作不重視����。企業內部計算機系統安全的計算機防病毒軟件并沒有及時更新����,使用����,甚至企業內部計算機的防病毒軟件還被企業員工卸載了����。部分企業員工認為自己的工作與企業信息安全管理不相關,認為做好企業信息安全管理工作僅僅是企業信息安全部門的事���。第二����,企業內部信息安全管理制度并沒有形成聯動機制���,企業信息安全管理工作僅僅由企業信息安全部門“一人包干”,企業信息安全反映的問題并沒有得到積極的反饋���,一些企業領導對企業信息安全現狀所了解的少之又少���。
三�����、企業信息安全管理常見的技術手段
1.OSI安全體系結構
OSI概念化的安全體系結構是一個多層次的結構���,它的設計初衷是面向客戶的���,提供給客戶各種安全應用���,安全應用必須依靠安全服務來實現�,而安全服務又是由各種安全機制來保障的。所以����,安全服務標志著一個安全系統的抗風險的能力����,安全服務數量越多���,系統就越安全�。
2.P2DR模型
P2DR模型包含四個部分:響應����、安全策略、檢測����、防護��。安全策略是信息安全的重點�����,為安全管理提供管理途徑和保障手段����。因此����,要想實施動態網絡安全循環過程�,必須制定一個企業的安全模式����。在安全策略的指導下實施所有的檢測、防護、響應����,防護通常是通過采用一些傳統的靜態安全技術或者方法來突破的,比如有防火墻�、訪問控制��、加密、認證等方法�,檢測是動態響應的判斷依據��,同時也是有力落實安全策略的實施工具����,通過監視來自網絡的入侵行為,可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素���;經過不斷地監測網絡和系統來發現新的隱患和弱點��。在安全系統中,應急響應占有重要的地位�����,它是解決危險潛在性的最有效的辦法。
3.HTP模型
HTP最為強調企業信息安全管理工作人員在整個系統中的價值。企業信息安全工作人員企業信息安全最為關鍵的參與者����,企業信息安全工作人員直接主導企業信息安全管理工作����,企業信息安全工作人員不僅僅是企業信息安全的保障者��,也是企業信息安全管理的威脅者�����。因此�,HTP模型最為強調對企業信息安全管理工作人員的管理與監督��。另外�,HTP模式同樣是建立在企業信心安全體系�����,信息安全技術防范的基礎上,HTP模式采取了豐富的安全技術手段確保企業的信息安全��。最后�����,HTP強調動態管理,動態監督���,對于企業信息安全管理工作始終保持高強度的監督與管理�,在實際工作中����,通過HTP模型的應用��,找出HTP模型中的漏洞并不斷完善���。
四、完善企業信息安全管理與降低風險的建議
1.建設企業信息安全管理系統
(1)充分調查和分析企業的安全系統����,建立一個全面合理的系統模型��,安全系統被劃分成各個子系統����,明確實施步驟和功能摸塊�����,將企業常規管理工作和安全管理聯動協議相融合���,實現信息安全監控的有效性和高效性��。
(2)成立一個中央數據庫,整合分布式數據庫里的數據��,把企業的所有數據上傳到中央數據庫���,實現企業數據信息的集中管理與有效運用。
(3)設計優良的人機界面,通過對企業數據信息進行有效的運用����,為企業管理階層人員����、各級領導及時提供各種信息����,為企業領導的正確決策提供數據支持�,根本上提高信息數據的管理水平���。
(4)簡化企業內部的信息傳輸通道��,對應用程序和數據庫進行程序化設計���,加強對提高企業內部信息處理的規范性和準確性。
2.設計企業信息安全管理風險體系
(1)確定信息安全風險評估的目標
在企業信息安全管理風險體系的設計過程中,首要工作是設計企業信息安全風險評估的目標�,只有明確了企業信息安全管理的目標���,明確了企業信息安全管理的要求和工作能容,才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度�����,才能順利通過對風險控制的結果的定量考核,檢測企業信息安全管理的風險�����,定性定量地企業信息安全管理工作進行分析�,找準企業信息安全管理的工作辦法。
(2)確定信息安全風險評估的范圍
不同企業對于風險的承受能力是有區別的�,因此��,對于不同的企業的特殊性應該采取不同的風險控制辦法�,其中�,不同企業對于能夠承受的信息安全風范圍有所不同�����,企業的信息安全風險承受范圍需要根據企業的實際能力來制定。不僅如此�,企業的信息安全風險評估范圍也應當根據企業的實際經營情況變化采取有針對性的辦法����。
(3)組建適當的評估管理與實施團隊
企業信息安全風險控制體系的建立需要企業內部各個部門的參與��,因為各個部門工作人員對于企業風險的認是有所不同的����,企業要想了解企業承擔的經營管理風險����,就必須讓企業各個部門工作人員共同參與進來���。
作者:孫天天 單位:浙江財經大學東方學院
信息安全管理論文:高校計算機信息安全管理體系設計
一�����、高校計算機信息安全管理體系的現狀
計算機信息系統安全部分實質計算機信息系統在應用過程中發生國家秘密和高校保密信息以及個人資料信息��。在高校信息安全的體系構建中個���,信息的保密和完整性具有重要的保障意義��,對相關信息需要對責任和真實性進行分析�����,得出一個建立在這些原則基礎上并維護和應用的信息安全體系。對其風險評估需要在信息安全管理工作后對其改進的方向得出整改意見����,目前相關主管部門對高校的計算機信息安全進行了資產列單��。對每個資產項目都進行了準確評估�����,把信息資產作為計算機信息安全的重要保護對象,建設了相應的應用和信息集成模式,提高數據中心的操控支配和數據管理能力����。在計算機信息系統構筑的校園信息網絡結構中����,對校園內特定地點才可對其相關數據進行信息訪問等多方面進行了管理和限制�。
二、高校計算機信息安全管理體系的問題
(一)物理層面的安全問題����。
高校計算機信息系統受到如地震水災等自然災害和突發自然事件造成的破壞,也存在因設備老化或毀損以及計算機操作系統的崩潰造成的信息資料損失�,和服務器設備丟失或被破壞等物理層面的安全問題。
(二)網絡層面的安全問題�。
校內網絡是連接整體外界互聯網絡的��,容易受到來自外界互聯網的惡意攻擊,同時整個數據在校內局域網絡進行傳播時在沒有對數據進行加密情況下被監控和改變也會發生�。并且在計算機病毒從外界互聯網和內部校內局域網都可以進入到整個系統中�����,破壞存儲的數據和操作系統���。最后����,在路由器和相應的體系輔助設備中也存有安全漏洞問題���。
(三)應用層面的安全問題。
體系的數據中心擁有著計算機信息校園整個關于教學和科研以及各高校主要構成的數據信息運行工作���,是高校計算機信息系統管理的核心����。在用校內局域網絡進行連接促使信息高效應用中也產生了任何網絡終端都可以進入整個數據中心,在安全層面造成了風險��。
(四)數據層面的安全風險����。
高校計算機信息系統是對數據進行輸入和整理以及提供服務的過程�����,大量的數據交換和數據儲存和相應的數據修改調整都面對各層面的安全風險威脅����。
三、高校計算機信息安全管理體系的對策
(一)物理層面的安全對策�。
對物理層面的安全防護需要在成本和管理機制優化上進行考慮,對每個零散的設備單元統一進行管理防護����。對相應的重要數據庫和重要的配置服務器設備要進行統一的機房維護,在機房的環境和溫度以及濕度上都要進行考慮和定期測量���。同時���,在機房內的電路電源以及出現停電時的后備電源要進行保障����,對出現機房建筑不穩定和受到外界干擾影響程度大時�,要及時進行修復���。同時每個核心設備間要有足夠的距離保證不受到電磁輻射的干擾����。
(二)網絡層面的安全對策��。
目前高校的外聯手段會涉及到網卡和藍牙以及USB等相應設備,這些終端的維護和保障是可以防止常規的惡意侵害方式的�。要在固定網絡中設有相應的端口輸入限制和對協議不完整的連接及時終端,相關交換機實現對用戶搜索的數據整理的規范化�����。
(三)應用層面的安全對策����。
高校計算機信息系統是面向校園內信息數據流動而服務的,在各個相關服務器和數據庫中需要加強安全域的建設��,并對每個需要防護的病毒和數據保障方案和備份方案都要進行統一建立�����。在主要信息存在的數據中心內要對所涉及的各計算機信息系統硬件和相應配置設備,以及數據資源進行定期維護和安全級別的相應建立,監控和預防可能出現的各種情況����。對數據中心的安全域級別設定為頂級并加強各分支系統的保障手段��。
(四)數據層面的安全對策�����。
對本地需要加密的數據做好相應的儲存和終端防護�,對設立相應安全文件夾���,由專人進行管理。對每個需要寫入的儲存信息��,進行寫入指令的控制����,要求具有一定安全性的信息可以寫入數據儲存設備����。每個客戶端口要建立USB安全管理策略�����,需要系統內部認證并通過才可以進行只讀等權限設定。
四�����、結論
高校計算機信息安全管理體系的設計與實現是對高校信息化建設深入發展的一個必然過程����,隨著信息技術的發展和高校信息化規模延伸暴露的問題也會越來越多,研究出合理的應對與預防機制是具有現實意義的��。
作者:范婷婷 單位:新疆輕工職業技術學院
信息安全管理論文:信息安全管理企業轉型研究
1加強安全管理����,助力企業轉型
在國際信息安全環境日趨惡劣����,國家全面倡導信息安全的大環境下,為了確保信息安全工作的可持續性開展及業務信息系統的穩定運行����,依據集團總部《關于建立集團公司網絡與信息安全組織保障體系的通知》、鄂通信局發[2013]127號《關于進一步落實基礎電信企業網絡與信息安全責任考核及有關工作的意見》等相關文件精神����,同時參考《GA/T708-2007信息安全技術-信息系統安全等級保護體系框架》、《GB/T22239-2008信息安全技術-信息系統安全等級保護基本要求》《GB/T20269-2006信息安全技術-信息系統安全管理要求》�����、《GB/T0984-2007信息安全技術-信息安全風險評估規范》等國家標準��,制定了《信息安全管理辦法》���、《信息安全策略》����、《安全保障框架》及《安全保障基線規范》規范等�,率先在企業內建立并實施該體系����,全面倡導企業向信息安全生產經營轉型�����,同時積極引導合作伙伴樹立信息安全意識,規范自身的生產及合作行為���,明確安全風險責任、細化管理要求����,立足自身,兼顧第三方����,共同打造信息安全的綠色長城�,確保企業長足健康發展�。通過該安全管理體系的實施���,從中全面深入地挖掘現有安全體系的不足之處��,并針對現有業務系統中的各類安全隱患制定了有效的整改方案并予以實施�����、預警���,確保了移動互聯網業務的可持續性發展及業務信息系統的穩定運行���。首先����,組織完成企業的自有業務信息系統和合作業務信息系統的安全等級劃分工作�,將平臺安全管理工作落實到具體的責任人��,并簽署責任狀,從而樹立全員安全責任意識�����,實現人人參與安全管理�����。定期采用SysInternalsSuite、Nmap����、Nes-sus��、Openvas����、Metasploit等技術對業務信息系統進行安全掃描��、安全審計,并應用HIVE�、Waka、PIG���、Mahout等工具對海量日志、數據進行分析和審核,發現相關漏洞與脆弱點����,并針對自有及合作業務信息系統編寫了整改建議和系統層面的加固方案。通過持續對自有及合作信息系統的檢查,共發現自有業務信息系統存在各類安全漏洞攻擊39處�,合作業務信息系統存在各類安全漏洞14處,目前這些漏洞已經全部整改與加固完畢,消除了安全隱患�����。其次�,以信息安全管理為導向����,組建了由電信營運商、合作伙伴�、專業公司三方共同構成的一支業務信息系統安全管理團隊,通過從合作業務管理規范的建立到合作伙伴安全技能培訓����,從信息安全制度宣貫到系統安全處罰辦法的落實執行����,從系統安全的定期評估到系統漏洞的及時加固等一系列舉措��,最終創建一套業務信息系統全新的安全管理模型�����,提高業務信息系統運行質量和服務能力,提升創新業務品牌形象�。從安全管理模型啟用至今����,未發生一起信息安全事故�,這樣強化了合作伙伴的信息安全概念,督促合作伙伴在發展業務的同時也重點關注信息安全問題�,極大地降低了由于合作系統的信息安全漏洞導致的中病毒或木馬�、假冒網站、賬號或密碼被盜��、個人信息泄露等客戶信息安全事件的發生概率,此類原因造成創新業務投訴比率和往年相比降低了15%,改變了用戶對創新業務的固有印象��,建立了良好的創新業務服務品牌形象�。此模型具備良好的可復制性,可指導通信領域運營企業開展信息安全工作�。在全國率先打造這套移動互聯網業務安全管理體系��,包含一系列業務系統信息安全管理辦法���、信息安全策略�、安全保障框架、安全保障基線規范等相關業務系統管理制度及規范�,業務系統安全管理體系的先進性和時效性在通信行業內名列前茅,同時通過近兩年的安全理論研究和安全評估加固實踐,針對當前企業業務平臺系統在信息安全監管中面臨的一些問題�����,對當前主流關聯分析技術進行研究的基礎上����,提出了一種新的安全事件關聯分析技術。該技術涉及到多源數據預處理�����、報警聚合、關聯分析�、大數據分析和安全狀況態勢評估等相關技術���。此技術運用到電信行業的信息安全監管上,就能夠對監控設備收集的日志及安全設備產生的告警進行關聯分析和挖掘��,從包含大量冗余信息的數據中提取出盡可能多的隱藏的安全信息�,通過對此類信息的統計、濃縮�、總結、關聯和分類,抽象出利于進行判斷和比較的特征庫����,并智能地學習和維護其特征庫��,從而在提高安全事件報警準確率的情況下保證極高的識別效率�。同時該安全管理體系成功應用到與百度公司合作開發的愛奇藝視頻業務系統、與騰訊科技公司聯合開發的微信平臺����、與奇虎科技公司共同開發的安全衛士手機應用系統��,得到部分在美國納斯達克上市的中國互聯網精英公司的高度認可和贊許,并表示今后與電信運營商共同開發產品都依照此安全管理規范和體系,確保產品的各項安全性能指標����。
2創新點
為順應移動互聯網時代�����,運營商從基礎通信運營向流量運營轉型的新趨勢,湖北移動確定了“業務轉型��,安全先行”的發展思路�����,堅持“以安全保發展���、以發展促安全”�。在已有的網絡與信息安全管理辦法的基礎上,積極開展適應移動互聯網時代安全管理體系建設���,不斷推進科學的安全管理方法�����,做到六“注重”六“突出”�,即:(1)注重整體規劃�,突出體系建設�,促進職責高效履行�����。制定下發安全標準化管理與評價體系建設計劃,內容涵蓋安全工作方針目標��、安全目標、各方職責、安全管理體系和模式���、安全設施和機房環境保護設施標準、安全文明操作保證金�、安全考核與獎懲����、過程的主要控制措施��、應急準備和響應等方面�����。嚴格按計劃有序開展體系建設工作;嚴格按體系文件要求開展業務或系統試運行工作;加強保證與監督體系的建設。(2)注重文化建設��,突出信息安全特色����,促進習慣養成。以人為本�,加強企業安全文化建設,促使安全文化落地,提高員工安全與風險防范意識�。(3)注重教育培訓�,突出行業特色,達到安全管理效果����。通過多種渠道、形式多樣的安全教育和培訓方式,組織各單位安全管理人員開展安全教育和培訓工作:一是安排專家和行業資深人士進行專題講座;二是在專題培訓的基礎上,做好網絡與信息安全專項工作如何開展的培訓�����。(4)注重設備管理��,突出針對特色�����,實現安全管理精細化�����。首先�����,網絡設備較多,加強網絡安全管理提高設備安全可靠性是首要任務���,為此各維護單位對每臺設備均建立了安全技術臺帳�,臺帳包括運行記錄��、檢查保養記錄和定期檢驗記錄����。其次�,組織精干力量先后兩次對所有設備��、流程����、機房進行全面的安全評估工作。第三��,使隱患排查整改形成機制�。(5)注重安全投入��,突出專用特色�����,合理使用安全生產費用����。認真落實安全管理費用投入長效機制���,加大安全費用的管理�,做到專款專用���,確保安全生產費用規范化��、合理化和足額投入���。并加強安全生產保證金的管理�,建立安全生產保證金并實行年底考核的機制,有效促進了安全管理工作�。(6)注重應急預案����,突出超前特色,安全管理贏在主動����。在安全管理中����,把預防工作落到實處,建立健全了應急處置機構����,將應急處置工作進一步制度化�,規范化���,形成了完整的安全事故預防體系��。同時��,開展形式多樣�����、符合實際的應急演練�。
3結語
全新的移動互聯網業務安全管理體系具備創新性�����、可復制性�����,對此領域企業具備示范和指導意義。目前已經被省公司相關專業部門采納��,計劃結合信安部工作在全國范圍內進行推廣�,同時在移動互聯網行業領域,成為行業巨頭制定與電信運營商合作開發產品的管理規范���。此安全管理體系在企業應用范圍涵蓋的業務生產中,帶來了巨大經濟效益和社會效益�����,通過持續對自有及合作信息系統的檢查�,共發現自有業務信息系統存在各類安全漏洞攻擊67處�����,合作業務信息系統存在各類安全漏洞30處���,成功處理異常安全入侵26次,避免了平臺業務收入的損失���。
作者:彭敏 廖振松 單位:湖北移動政企分公司湖北移動網管中心
信息安全管理論文:供電企業信息安全管理論文
1電力信息安全
信息安全是指計算機網絡系統中的硬件、軟件和其他數據等不受非法用法的破壞��,主要指未經授權的訪問者無法使用訪問數據和修改數據���,而只給授權的用戶提供數據服務和可信信息服務��,并保證服務的完整性���、可信性和機密性�����。電力信息安全是指供電系統中提供給用戶或公司內部員工的數據是安全的��、可信的�����。供電公司管理系統是個繁雜的系統�,涉及用電客戶和公司內部員工及第三方托管服務公司�,系統的信息安全一直是公司發展的瓶頸�����。正確評估供電公司信息安全系統的合理性和安全性,針對安全風險進行分析,最后制訂供電公司信息安全的策略非常重要����,也是至關重要的。
2供電企業信息安全的影響因素
盡管供電公司投入了大量的財力�、物力建設電網信息安全系統���,但供電企業內部網絡仍不健全���,存在許多安全隱患�。另外,供電公司信息化水平不高����,信息安全保障措施薄弱也制約了其信息安全系統的建設�。要構建一個健全的供電公司信息安全保障體系,就要首先分析供電公司信息安全的影響因素���,對癥下藥,進一步提出供電企業加強信息安全管理的對策。
2.1不可抗拒因素
所謂“不可抗拒因素”����,就是由于火災����、水災、供電�、雷電��、地震等自然災害影響�,供電公司的供電線路��、計算機網絡信號�、計算機數據等受到破壞,并威脅到供電公司的信息安全�。
2.2計算機網絡設備因素
供電公司計算機系統中使用大量的網絡設備�,包括集線器、網絡服務器和路由器等���,其正常運行關系著供電公司內部網絡的正常運行,而計算機網絡設備的安全直接關系著供電公司的正常運行。
2.3數據庫安全因素
供電公司計算機系統監控用戶峰值���,管理用電客戶信息及其他用戶繳費等情況,計算機數據庫的系統安全決定了供電企業的調度效率��,也決定了供電公司公共信息的安全。供電公司應該使用專用網絡設備�����,確保企業內部網絡與外部互聯網的隔離����。
2.4管理因素
供電公司員工的業務素質和職業修養參差不齊���,直接影響到供電公司的網絡安全����。供電公司應該建立過錯追究制度�,提高員工的信息化素質�����,有效防止和杜絕管理因素造成的信息安全問題。
3供電企業加強信息安全管理的對策
3.1提升員工信息安全防患意識
開展信息安全管理工作�,并非僅僅是系統使用或者管理部門的事�����,而是企業所有職工的事�����,因此����,要增強全體員工的信息安全和防患意識���。通過采取培訓和考核等有力措施,進一步提升全體員工對企業信息安全的認識�,讓信息安全成為企業日常工作業務的一個組成部分,從而提升企業整體信息安全水平���。
3.2采用知識型管理
傳統的安全管理大部分采取的是一種硬性的管理手段����。在當今知識經濟的時代����,安全管理應當以知識管理為主�����,從而使得安全管理措施與手段也越來越知識化、數字化和智能化�,促使信息安全管理工作進入一個嶄新的階段�����。
3.3設置系統用戶權限
為了預防非法用戶侵入系統��,應按照用戶不同的級別限制用戶的權限,并投入資金開展安全技術督查和安全審計等相關活動�����。信息安全并非一朝一夕就能完成的事�,它需要一個長期的過程才能達到較高的水平�����,需建立并完善相應的管理制度�,從平時的基礎工作著手�����,及時發現問題�,匯報問題����,分析問題并解決問題�����。
3.4防范計算機病毒攻擊
加速信息安全管控措施的建設���,在電力信息化工作中,辦公自動化是其中一項非常重要的內容�,而核心工作業務就是電子郵件的發送與接收���,這也正是計算機病毒一個非常重要的傳播渠道。因此���,必須大力促進個人終端標準化工作的建設,實現病毒軟件的自動更新�����、自動升級,不得隨意下載并安裝盜版軟件�����;加強對木馬病毒等的安全防范措施,對用戶訪問實施嚴格的控制����。
3.5完善信息安全應急預案
嚴格規范信息安全事故通報程序�,對于隱瞞信息事件的現象,必須嚴肅查處�。對于國家和企業信息安全運行動態,要及時通報���,分析事件��,及時信息安全通告�����。對于己經制定的相關預案和安全措施���,必須落到實處�����。另外��,還要進一步加強信息安全技術督查隊伍的建設���,提高信息安全考核與執行的力度。
3.6建立信息安全保密機制
加強信息安全保密措施的落實�,禁止將涉密計算機連接到互聯網及其他公共信息網絡����,完善外部人員訪問的相關授權����、審批程序���。定期組織開展信息系統安全保密的各項檢查工作���,切實做好涉密文檔的登記、存檔和解密等環節的工作�����。
4結束語
為了保障國民經濟的快速發展��,就要確保供電系統的穩定安全����,就要合理應用計算機網絡管理供電公司網絡���,科學管理供電網絡信息��,促進企業的可持續發展。供電公司要充分利用好企業內部網絡��,提高勞動生產率���,并加強網絡信息安全監控�,加強企業內部優化����,創新供電企業服務意識���,加強供電企業信息安全管理對策�,適當提高供電企業信息化管理水平��,保證供電企業的信息安全�。
作者:吳金文 程麗琴 單位:國網贛西供電公司安全監察質量部
信息安全管理論文:供電企業中網絡信息安全管理論文
1目前我國供電企業網絡信息管理現狀
(1)內網網絡結構不健全����。
現階段���,我國的供電企業內網網絡結構不夠健全,未能達成建立在供電企業內部網絡信息化的理想狀態���。中部市、縣級供電公司因為條件有限�����,信息安全工作相對投入較少,安全隱患較大��,各種安全保障措施較為薄弱��,未能建立一個健全的內網網絡系統����。但隨著各類信息系統不斷上線投運�,財務���、營銷、生產各專業都有相關的信息系統投入應用���,相對薄弱的網絡系統必將成為整個信息管理模式的最短板。
(2)存在于網絡信息化機構漏洞較多�。
目前在我國供電企業中��,網絡信息化管理并未建立一個完整系統的體系���,供電網絡的各類系統對于關鍵流程流轉、數據存儲等都非常的重要�����,不能出現絲毫的問題�,但是所承載網絡平臺的可靠性卻不高��,安全管理漏洞也較多�,使得信息管理發展極不平衡��。信息化作為一項系統的工程,未能有專門的部門來負責執行和管理���。網絡信息安全作為我國供電企業安全文化的重要組成部分,針對現今我國供電企業網絡安全管理的現狀來看�����,計算機病毒��,黑客攻擊造成的關鍵保密數據外泄是目前最具威脅性的網絡安全隱患��。各種計算機準入技術,可移動存儲介質加密技術的應用�,給企業信息網絡安全帶來了一定的保障�。但是目前供電企業信息管理工作不可回避的事實是:操作系統正版化程度嚴重不足��。隨著在企業內被廣泛使用的XP操作系統停止更新���,針對操作系統的攻擊將變得更加頻繁。一旦有計算機網絡病毒的出現��,就會對企業內部計算機進行大規模的傳播,給目前相對公開化的網絡一個有機可乘的機會���,對計算機系統進行惡意破壞,導致計算機系統崩潰�����。不法分力趁機竊取國家供電企業的相關文件�����,篡改供電系統相關數據�,對國家供電系統進行毀滅性的攻擊�����,甚至致使整個供電系統出現大面積癱瘓����。
(3)職工安全防范意識不夠�。
想要保證我國網絡信息的安全�����,就必須要提高供電企業員工的綜合素質,目前國內供電企業職員的安全防范意識不強�����,水平參差不齊���,多數為年輕職員�,實際操作的能力較低��,缺少應對突發事件應對措施知識的積累��。且多數老齡職工難以對網絡信息完全掌握���,跟不上信息化更新狀態,與新型網絡技術相脫軌���。
2網絡信息安全管理在供電企業中的應用
造成供電企業的信息安全的威脅主要來自兩個方面,一方面是國家供電企業本身設備上的信息安全威脅�����,另一方面就是外界網絡惡意的攻擊其中以外界攻擊的方式存在的較多?�,F階段我國供電企業的相關部門都在使用計算機對網絡安全進行監督和管理,難以保證所有計算機完全處在安全狀態�。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業進行安全的管理��,建立病毒防護體系��,及時更新網絡防病毒軟件��,針對性地引進遠程協助設備����,提高警報設備的水平。供電企業的信息系統一個較為龐大且繁雜的系統���,在這個系統中存在信息安全風險也是必然的。在這種情況下就要最大程度地降低存在的風險����,對經歷的風險進行剖析�����,制定針對性的風險評估政策�,確立供電企業信息系統安全是以制定針對性風險評估政策為前提的�,根據信息安全工作的緊迫需求做好全面的風險評估至關重要�����?!罢莆蘸诵募夹g”不只是一句簡單的廣告詞語,還是國家和各個企業都應該一直貫徹落實的方針政策���。為了避免外界對我國供電企業信息技術的操控��,國家相關部門就必須實行自主研發信息安全管理體系����,有效地運用高科技網絡技術促使安全策略���、安全服務和安全機制的相結合���,大力開發信息網絡�,促進科技管理水平的快速提高�����,以保證我國供電信息管理的安全�。
3結語
為了確保供電企業的安全�����,根據時展需要與時俱進���,合理地運用網絡信息來進行科學的管理����,有利于促進我國供電企業的可持續發展���。供電企業在運用網絡的同時注意好對網絡信息安全的監控����,不斷優化內部管理,提高創新意識,制定好有效的風險防范措施����,適時提高我國供電企業職員的素質水平,為實現我國供電企業信息管理提供可靠的保證���。
作者:胡滔 單位:國網湖南省電力公司臨湘市供電分公司
信息安全管理論文:海港工程建設項目信息安全管理論文
1加強移動存儲介質的管理
移動存儲設備管理主要是指當存儲設備插入主機系統時�����,主機根據判斷設備識別信息與數據庫中身份注冊信息是否相符�����,再確定該移動存儲介質是否能夠被主機系統激活并為用戶所用。然后根據用戶權限決定其所能使用的接口數量��,如果超出則移動存儲設備自動彈出���。建立合適的安全組織機構能合理地協調各方面因素�����,實現安全管理的規范化、科學化�����,通過各級組織機構對海港工程項目各級成員單位的信息安全建設進行監督管理和檢查指導,統一規劃和設計出海港工程項目信息安全管理體系���,保證安全策略有機整合���,避免安全漏洞�。在部門之間�,信息管理部門主要負責信息安全技術,在安全管理上與本單位的保密部門���、機要部門等相關部門協調合作���,共同做好信息安全管理工作�����。
1.1限制外接設備和接口
接口限制主要包括兩個部分:外接存儲設備接口與網絡接口限制�����。一方面要限制外設接口濫用,一方面也要避免內部人員利用網絡接口私自接入非法主機或接出外網��。對USB接口統一管理�����,要求在不影響鼠標���、鍵盤等外接設備正常運行的前提下嚴格管理和控制存儲設備接口的使用�;對打印機�����、刻錄機���、光驅、軟驅等常規外接設備嚴格限制�,做到有用監管���、無用封禁���、統一管理��、集中使用�,避免內部人員私自利用本地打印或刻錄方式竊取涉密信息��;對涉密存儲設備做到嚴格管制,專盤專用�����,由保密辦負責編號登記�,標明密級并由專人保管�����,需使用時向保管部門借出并及時交還�,不得在涉密計算機上使用未經認證的存儲設備或將曾存儲����、處理過涉密信息的存儲設備挪作他用。
1.2實施集中刻錄和打印安全審核
海港工程項目內部網絡有著極高涉密安全需求���,除了需要防止用戶通過移動存儲設備拷貝涉密信息外�,也需要預防有人通過光盤刻錄、打印等傳統手段下載機密信息�����。因此光盤刻錄工作集中在專項部門進行����,用戶在使用前必須首先獲得許可���,并全程跟蹤光盤的流向及使用情況。打印安全簡單來講就是需要確保敏感或機密信息不在打印環節遭到泄露���。首先需要屏蔽用戶主機的打印機接口�,接著由用戶端發起打印申請,審批備案后�����,再經過海港工程項目信息安全管理中心統一授權的打印機構予以打印����。在打印過程中應注意以下幾點:確保打印資料從電腦傳輸到打印機網絡的過程中不被他人惡意截?��。淮_保打印好的文件不會被人有意無意取閱或拿走�;對施工人員的打印作業進行有效的監控和管理����,特別是嚴格落實與打印相關的審核和控制�;對打印的完整生命周期的管理,包括權限認證�,任務發起,任務審核��,拷貝銷毀等等;要求對所有安全文檔進行分級管理����,按照涉密的級別打印,并進行精細化管理�����。
1.3防止存儲設備管理失控
海港工程項目在項目的施工過程中,往往會涉及許多的施工單位和部門�,因此,使用存儲設備進行信息的臨時性存儲便變得十分平常�,海港工程項目信息系統中大量的涉密信息都存儲在軟盤��、磁盤和光盤里���,而這些載體又十分容易被使用者帶入不安全的環境之中,發生載體丟失��、被盜或存儲介質受到損毀等意外情況,造成嚴重的信息泄露事故��,給國防和軍隊建設造成重大損失����,故必須加強此方面的防范力度�����。對于廢棄磁介質的管理,由于磁性介質具有剩磁特性����,因此存儲過涉密信息的磁性存儲介質可能會因為存儲介質永久性磁化而造成信息的泄露。對于存儲過涉密信息的廢舊存儲設備和介質必須嚴格控制其流通的范圍����,按照信息安全管理的相關規定和流程將準備廢棄的設備交到保密機構集中統一保管或進行嚴格規范的脫密�����、銷毀�����,并辦理好相應的登記手續���。
2加強紙質文檔資料的管理
在海港工程項目建設的過程中,信息在流動時����,人們通常會使用大量的紙質類文件來記錄��、保存和傳輸各種涉密的信息�����。為防止這些紙質文檔上的資料和信息泄露��。一般需要采取以下措施進行科學管理:嚴格遵守保密條例中的各項規定和制度要求,特別要嚴禁文檔資料的非法復?����?���;在文件和文檔資料制作過程中�,為防止丟棄的草稿紙�����、復寫紙�、計算機表格����、演算紙����、數據卡片和學習筆記等“廢紙”造成泄密���,必須嚴格按照保密守則銷毀一切廢品�����,并將所有廢紙及時進行粉碎和焚燒���;嚴格控制相關文檔資料的傳閱范圍和人群���,同時,還應周密審查���、嚴格控制在各種報紙雜志等媒體上的消息�����,防止間接泄露海港工程項目涉密信息。
3加強辦公設備和工地設備的管理
3.1強化電腦設備的審核與管理
嚴格區分涉密��、非涉密計算機��,涉密計算機必須登記在冊�����,非涉密計算機嚴禁儲存涉密信息。通過用戶訪談和網絡收集工具���,從技術�、管理����、策略等角度更深層次地了解與海港建設項目信息相關的安全要素,挖掘出信息安全管理背后的風險����。并收集海港工程項目信息安全管理的網絡信息,主機開放端口信息及共享信息等情況�����。通過網管軟件對涉密計算機進行實時監控,對海港工程項目內部網絡的數據和信息流進行安全審核����,對工作人員操作及用戶行為進行記錄,建立即時預警平臺并留存操作證據����,以便信息安全管理部門的工作人員遠程監控、查找和跟蹤線索�����。
3.2強化對工地施工設備的審查和管理
隨著信息技術的飛速發展和高新技術手段的應用,信息的承載和傳輸方式由有形�、有線向無形、無線發展�����,使信息管理難度加大。信息技術在施工設備上的使用和藏匿方式更加多樣化����,使海港工程項目面臨的竊密和泄密威脅進一步增大。海港工程項目信息安全管理部門應重點做好防范“預置陷阱”危害的工作���,預置陷阱是指在信息系統、設備����、部件中人為地預設了一些陷阱。例如:從境外引進的信息產品和工程施工設備很可能帶有“技術后門”和“陷阱”����,對信息安全帶來嚴重隱患��。因此���,必須對所有參與競標的單位的施工設備進行嚴格的技術和安全審查��,并制定一套有效的“技術后門”和“陷阱”應急處置方案����。由于海港工程項目中使用的信息產品有許多都是由外企生產或外方經營控制的����,因此�,務必加強對海港工程項目內部施工和通訊等設備的管理,做好施工設備的電�、磁�����、光�����、聲泄露防護�����,避免因對施工設備審查不嚴而造成涉密信息的泄露�。
作者:柴東洋 戰希臣 鄭海平 單位:海軍航空工程學院
信息安全管理論文:信息安全管理培訓論文
一、管理干部需要進行信息安全管理技能培養
國家�、省市已經頒布各種法律法規,各大單位也根據自己的具體情況���,建立了自己的規章制度,維護信息安全已經有法可依�����。但是信息安全管理工作涉及的知識面非常廣���,需要了解國家信息安全管理法規,需要學習信息技術一般理論�,需要知道信息安全漏洞知識���,需要明白信息安全禁令范疇。為提高學習效率和質量����,全面掌握信息安全理論和方法,按照信息安全管理知識體系��,建設信息安全管理教學系統����,提供學習信息安全管理的教學條件�,從而為各方面人員學習和執行各種規章制度提供依據�����。相比其他管理工作,信息安全管理工作需要比較多的理工專業基礎和比較高的電腦技術要求�,在實際的信息安全管理工作中,需要靈活的信息安全管理處置能力�����,更多的是判斷信息安全問題�����、識別信息安全陷阱、規范信息安全管理����。由于知識背景和工作性質特點,管理干部需要花費更多的時間和精力學習信息安全管理知識和技術�,才能具備基本的信息安全防范技能����。為幫助他們更好地獨立處置信息安全管理問題,掌握發現問題解決問題技能��,依據現代教育理念和方法�,不僅需要提供深入淺出��、知識完備的知識體系學習訓練系統���,而且需要信息安全管理能力訓練系統����。
二、信息安全管理培訓思路
為滿足信息安全管理工作在人員培訓方面的需要����,需要依托各級培訓學校���,按照國家和省市地方的制度法規�,借助現代教育思想��,借助現代教育技術,明確符合實際需要的功能定位�����,建設信息安全管理復合應用型人才培訓體系���,實現信息安全管理工作對培訓教育、終身教育的培訓要求�。
1.培訓依據
(1)依據各種信息安全管理制度法規��。信息安全人員在履行工作職責的時候�����,必須按照各種信息安全管理法規、制度和要求實施��,制訂人才培養方案和教學計劃必須依據國家��、省市和本部門的信息安全管理的相關規定,這樣的教學內容才能保證人才培養的針對性和實用性��,保證管理干部履行信息安全管理職責的有效性。涉及信息安全制度法規的相關文件很多�����,有的是專門為信息安全制訂的����,有的制度和法規散落在各個業務管理制度中�����。在建設信息安全管理知識體系時�����,必須將業務部門的相關規定融入知識體系中��,使得管理干部在處理具體業務中的信息安全管理工作具有針對性和有效性。
(2)符合培訓教育特點規律���。信息安全管理技能是從事管理工作人員的基本技能����,屬于崗位專業培訓或專業技能培訓,屬于培訓教育培訓�。受訓人員專業背景不同,理論基礎不同�����,學習能力不同����,必須避免統一教材�、統一授課��、統一訓練�����、和統一考核的傳統教學模式���,采取因人而異、因材施教的有針對性的教學方式����,強調個性化學習���,將不同層次受訓者的信息安全管理能力達到信息安全管理工作所需要的水平上來�。
(3)遵循現代教育思想�����。在實施教育訓練過程中,現代教育思想要求采取“學為主體���、教為主導”的教學理念����,學員能夠方便地獲得完整的知識體系和解決問題的技能和方法���,自主學習,開放學習�,自主理解、掌握知識和技能����。為實現教學目的����,需要分析信息安全管理技能特點����,需要分析管理干部學習動力����,結合教學目標�,設計學員學習和訓練的教育訓練環境�����,提供完整的知識體系��、豐富的教學資源�����、模擬的問題情況����、交互的學習平臺和方便的使用途徑���,提供與培訓教育特點規律和技能訓練要求相適應的培訓條件。
2.信息安全管理培訓目標
按照信息安全管理工作的實際情況����,培養信息安全管理工作中管理、業務和技術三支人才隊伍��,突出業務和管理人才需要,兼顧信息安全技術人員的人才培養�����,以現代教育思想為指導�,以信息技術為核心支持技術����,建設滿足信息安全人才培養的現代培訓條件。信息安全管理培訓以管理干部為培訓對象�����,以信息安全管理工作為培訓內容��,區分信息安全管理人員���、業務干部和信息技術專門人員等不同層次�����,跟蹤信息安全管理形勢���,實行階段反復輪訓,以適應信息安全管理不斷發展的需要�����,確保信息安全管理工作的正常開展��。
三��、信息安全管理培訓環境構建
為適應信息安全管理培訓需要����,適應管理干部培訓教育需要�����,必須構建遵循信息安全管理規定�、符合現代教育思想�����、依托信息技術手段、瞄準復合型適用人才培養的教育環境���。信息安全管理培訓條件涉及面很廣�,包括組織機構���、舍堂館所、師資隊伍���、后勤保障等等����,這里我們更關心符合培訓思路的培訓模式和教學支持����。從知識體系����、學習途徑���、訓練場所和訓練系統多方面著手,構建信息安全管理訓練體系�,構建管理人員信息安全人才培養條件�����。依據教育信息化研究成果和培訓教育教學特點���,需要建立完整的信息安全管理知識體系,建立開放式��、自主式教育網絡平臺�����,建立強時效性的教學資源體系�,建立信息安全管理知識測試系統��,建立信息安全管理能力訓練系統�,等等��。
1.構建信息安全管理知識體系
培訓教育的一個特點就是受訓對象知識背景和技能掌握程度千差萬別,必須首先建立完整的知識體系�,以滿足不同基礎、不同需求受訓者對知識掌握和能力訓練的要求�����。知識體系必須建立覆蓋學科知識和管理手段的所有內容�����,包括理論體系和教學資源兩部分����,其中理論體系包括基礎知識�����、安全理論���、規范制度、管理方法����、歷史沿革�����、防范手段和操作方法�����,教學資源包括現狀分析�、經典案例�、技術講解��、訓練題庫和數據模型���,適應和滿足每個受訓對象的需求。為滿足個性化服務需要�����,可以按照知識點建設模塊化框架結構���,設計具備菜單選擇功能的專家系統���,允許受訓者建立適合自己的個性化教學計劃和實施方案���,確保受訓者完成培訓任務后勝任安全管理的崗位需要��??梢越⒅悄芙虒W計劃生成系統,系統對每位受訓者進行知識和技能測試�,按照教學目標,根據測試結果�����,將該學員沒有掌握或掌握不夠的知識內容和技能形成列表,從知識體系中搜尋相關知識和技能的概念��、理論�、技術和操作技能�,形成該受訓者個性化的教學計劃。隨著信息技術的發展和信息安全管理需求的變化�����,信息安全管理知識體系應該是動態更新的����,剔除修改陳舊的�,充實替換實用的����。
2.搭建開放、共享和交流的網絡平臺
網絡平臺是信息資源共享的基礎����,是交流互動的基礎���。按照學科專業建設與管理規范建設知識體系,以數字化形式在互聯網�,實現信息安全管理教育資源共享。作為資源共享平臺的網絡平臺,不僅為建設者資源共享提供平臺����,而且可以為學習者提供資源上傳服務,成為學習者之間相互交流資源的共享平臺��,更為信息資源積累提供了很好的機制和存儲條件。網絡具有兩個特點�����,一是允許網絡用戶365天24小時使用,可以提供受訓者隨時學習和訓練����,二是允許網絡用戶在任何有信息覆蓋的地方登錄,可以提供受訓者隨地學習和訓練���,這兩個特點打破了傳統教學時空的限制,為學員自主學習�、教師開放教學、師生互動交流提供了可能�,也為實施現代教育思想提供了條件�。
3.建立虛擬講堂
優秀教師的講授可以將學習效果演繹得趣味精彩��,可以將學習內容組織得明白易懂��,可以將現實運用解析得透徹自然���。為更多學員獲得完美的教學體驗,為積累并共享優秀教學資源��,為學員快捷準確全面理解知識運用知識提供幫助��,記錄、整理并優秀教師或專家授課錄像���,供更多受訓者學習參考�����。教學錄像在網上成為虛擬講堂���,成為不同專業不同時期受訓者良好的教學資源�,目前全球風行的慕課,可以成為這種培訓目的的教學模式���,成本低,效益好����。因為技術層面的因素,信息安全管理知識體系在理論基礎和原理解釋有大量不易理解的知識點和疑難問題�����,學習時需要佐證的理論和嚴謹的邏輯����,需要傳授者環環相扣的謹密推演��,因此針對重要知識點和疑難雜診的講授片段是受訓者自主式學習時需要的重要教學參考資料�����。各個大學基本都建設了網絡課堂����,為虛擬講堂建設提供了很好的技術平臺����。依據此平臺����,建設信息安全管理和教學資源和網絡課程,可以構筑完整的知識體系�����,為培訓教育自主式學習提供了很好的學習資源��。
4.建設信息安全管理實驗室
培訓教育能力訓練是教學環節中的主要部分�,驗證理論�、觀摩操作方法和訓練技能需要包括場所��、設備和軟件等實驗條件���,實驗室是完成實驗任務和檢驗方法效果必須具備的教學條件。理論�、方法和技能的實驗和訓練是信息安全管理培訓需要完成的教學環節���,這些需要信息安全專業實驗室的支持。信息技術具有可設計、可復制�����、可重用的特點��,使得基于信息技術的教育訓練條件具備降低訓練費用��、提高學員學習自主性、提供學員反復學習等長處����,結合音頻處理技術、視頻處理技術����、三維動畫技術�,可以為學員學習提供強烈逼真的感官刺激�����、美輪美奐的藝術表現和自主操控的虛幻體驗��。從訓練目的而言,實驗室可以分為虛擬實驗室和能力訓練場兩部分�。
(1)虛擬實驗室�。信息安全管理涉及大量技術手段���,信息安全技術攻擊和防范具有不可見���、不易理解的特點�,需要顯而易見、通俗易懂的形象展示���。虛擬實驗室是依托信息技術按照實驗室運行規律�����、要求和任務�,以網頁形式在計算機網絡上建立的可以模擬實驗室運行的軟件系統����。虛擬實驗室內設信息安全管理所需要的各種理論�、方法和技能引擎,可以多維形象地反復演示信息安全管理的理論����、方法和技能,可以允許受訓者以第一人稱介入并依據受訓者干預情況展示相應信息安全分析結果�����,虛擬實驗室可以記錄并考核受訓者實驗過程和成績���。
(2)能力訓練場����。信息安全管理,尤其是信息安全防范�,必須掌握很多具體操作技能。信息化條件下信息安全管理技能訓練����,是運用計算機信息安全管理理論,構建信息安全管理環境���,圍繞信息安全管理攻防��,突出信息安全防御和信息安全保密等主要內容�����,反復進行“預實踐”活動。能力訓練要注重訓練手段創新����,重視信息技術�、虛擬仿真技術及信息安全理論方法和技能的跟蹤與研究,用“虛擬”制造“現實”����,用網絡擴大規模��,用模型替代裁判���,用互聯造就聯合���,開發信息安全管理模擬訓練系統����,在體驗中感覺信息安全入侵����,在互動中提高防范應變能力,在對抗中捍衛信息安全��。信息化條件下的教育訓練,為培訓教育中因材施教的教學需求提供了很好的手段和方法�����,對信息安全管理的能力訓練等有很好技術支持�,當然相對傳統教學而言,其教學理念�����、教學準備�����、教學實施和教學考核的教學全過程有深刻的變革�����,需要教育者不斷深入研究和努力實踐創新��。
作者:韓全惜 單位:南京政治學院軍事信息管理系
信息安全管理論文:基于信息安全的人員安全管理論文
1人員安全管理現狀
1.1崗位人員安全意識薄弱
崗位人員隨便下載安裝個人需要的軟件程序,往往會在安裝軟件的過程中直接將一些安裝程序中附帶的插件也裝在了操作系統中�,如果是惡性插件��,必然會造成系統的不穩定���,嚴重者甚至會造成信息安全事件的發生,這些事件的發生很大程度上就是因為崗位人員安全意識薄弱所造成的�����。安全意識薄弱的因素有很多�,一是相關技術部門沒有長期的進行圖書館信息安全意識的思想灌輸����;二是崗位人員本身對信息安全意識重視不夠���。
1.2人員安全管理制度不完善�����,執行力不高
制度的制定給予管理提供依據��,無制度便無章可循�����,相關工作就會混亂無章���。雖然多數高職院校圖書館在人員安全管理方面都制定了相關的管理制度����,但制度的內容不夠完善����,很多細節問題不夠全面,甚至只是“白紙黑字”而已���,形同虛設,而且執行起來也不夠徹底�,執行力不高。這大多數高職院校尤其是民辦性質的高職院校圖書館都普通存在這樣的現象����。
2人員安全管理策略
要解決人員安全管理不當帶來的信息安全問題�,必須要比較全面地完善人員安全方面的管理制度,提高執行力����。具體策略如下:
2.1技術人員崗位分工協作
對于技術人員充足的高職院校圖書館����,可以將技術人員劃分為三個崗位:硬件安全人員���、軟件安全人員和網絡數據人員��。根據圖書館的實際情況出發���,將這三類技術人員進行分工協作,日常工作中完成各自崗位上的職責。具體劃分可以參考附表���。
2.2崗位人員安全管理
2.2.1崗位人員的聘用審核
大多數圖書館都會每年進行一次崗位人員的招聘����,因此���,每年崗位人員的聘用必須經過嚴格的政審并且考核其業務能力�,尤其是安全保密方面的能力。對于信息安全意識強的��,工作業務能力高的�����,要擇優錄取�����。嚴格的聘用審核可以將一些毫無信息安全意識的聘用人員扼殺在圖書館外��。
2.2.2崗位人員工作機使用限制
保障圖書館數字信息的全面安全與崗位人員是否正確使用工作機有很大的關系����,不法黑客就是利用非技術人員亂下載亂安裝插件的陋習造成的系統漏洞進行系統的攻擊�����。根據各館的實際工作需要���,可以對工作機的使用作必要的使用說明,例如可以這樣限制:①不得隨意下載安裝存在安全隱患的插件或其他與圖書館工作無關的軟件��,例如:證券軟件�����、視頻軟件等�����。②不得隨意瀏覽不安全不健康的網頁�;③如有需要安裝工作需要的軟件��,須聯系技術人員為其下載安全�����;④遇到信息管理系統客戶端無法正常使用的情況�����,不要自行卸載或重裝�����,須聯系技術人員解決問題���;⑤其他的一些使用原則�����。
2.2.3崗位人員安全意識培訓
信息安全意識對于信息至上的圖書館而言是非常重要的,如果崗位人員都安全意識高����,完全可以避免很多信息安全事件的發生。安全培訓可以根據圖書館制定信息安全培訓制度與培訓計劃�����,有針對性地有重點地定時對不同崗位的工作人員進行培訓����。例如:X館在每個學期末的全館學期工作總結會議上���,信息技術部主任都會對全館的工作人員進行迫切高度強調信息安全意識的重要性�。
2.2.4崗位人員功能賬號統一管理
圖書館信息管理系統包括編目���、流通、期刊��、系統管理����、檢索�、采訪等幾個子功能系統,不同崗位的工作人員擁有相應的子系統功能賬號�。為了保證數字信息的安全,崗位人員功能賬號的使用必須統一由相關部門(信息技術部)分配管理��,提出有效的管理分配原則���,例如:一個崗位人員只能擁有該崗位的功能賬號,不得擁有其他崗位的功能賬號��;對于某些崗位人員有業務工作需求����,需要其他崗位的功能賬號,可以設置多個公共功能賬號提供使用�����,需求者必須向信息技術部門提出申請�;新進的崗位人員需向信息技術部相關工作人員申請賬號;崗位人員需要修改賬號或密碼��,必須向技術部相關工作人員提出需求給予修改�。
2.3讀者用戶安全管理
圖書館的信息是為讀者用戶服務的��,信息訪問量最大的群體就是讀者用戶�����,讀者用戶是否安全訪問也直接影響著信息管理系統的信息安全���。因此,圖書館有必要采取有效措施�����,制定確實可行的讀者用戶安全訪問管理制度���,確保讀者用戶訪問圖書館信息的安全?�?梢酝ㄟ^以下方式提高讀者的信息安全意識:①每年新生入學��,圖書館可以通過開展新生入館教育的形式對新生讀者進行信息安全意識的提高���,通過用戶安全培訓,提高用戶安全意識��,使其自覺遵守安全制度����。②通過網絡宣傳�����、現場海報宣傳���,小冊子派發宣傳、講座演講宣傳等形式對讀者長期進行信息安全意識的宣傳�,提升讀者的信息素養���,讓讀者掌握簡單有效的病毒攻擊防護技巧。
3結束語
信息安全是數字圖書館業務工作穩定進行的基本保障���,數字信息不安全��,圖書館的信息服務工作就得不到保障�����。從圖書館技術人員的角度出發,必須要認清信息安全在人員管理方面存在的不足�,并提出確實有效可行的人員安全管理措施,以保障數字圖書館信息服務工作的正常進行�。
作者:黃偉成 單位:廣東農工商職業技術學院圖書館
信息安全管理論文:信息安全管理體系的構建
一、信息安全管理體系的概述
隨著信息技術的不斷發展�,我國信息安全管理工作質量不斷提高���,但是,目前仍然存在著一些問題�,阻礙了信息安全管理的發展。首先���,我國信息安全管理法規體系不夠完善�,相關方面的法律規定較少���,導致信息安全管理的實施得不到有效的法律保障。其次,我國信息安全管理片面注重技術層面的維護���,缺乏有效的管理手段,信息安全管理比較薄弱��。最后�,信息安全管理主要采取被動手段�,科學性不高,不能實現全面性管理�,而且一些高層領導對信息安全管理工作的重視程度偏低�����,信息安全管理工作比較薄弱�����。
二���、信息安全管理體系的構建
2.1策劃準備
在構建信息安全管理體系前����,需要做好各種準備工作,包括計劃的制定�����、相關培訓安排����、組織調研活動、職責劃分等內容�����。
2.2確定范圍
根據組織中IT技術水平����、信息資產��、工作人員等實際情況�����,進行信息安全管理體系適用的安全范圍�,既可以選擇部分區域,也可選擇整個區域�����。確定合理的安全范圍后�,信息的安全管理更加方便�����。
2.3風險評估
構建信息安全管理體系時����,要做好信息處理�、存儲等工作的安全性調查,預測可能發生的危害信息安全性的事件����,并對可能性危害事件會造成的影響做出判斷,然后根據評估結果做好信息風險管理工作��。
2.4建立框架
要完成信息安全管理體系的構建,離不開信息安全管理框架的建立����,這就需要我們要做到全方面考慮,根據信息系統的實際情況���,結合組織特點���、技術水平等條件建立相應的信息清單,對信息管理做好風險分析、需求分析等內容���,并提出相應的問題解決方案����,進一步保證信息的安全性���。
2.5文件編寫
要構建信息安全管理體系����,還需要對范圍確定�、安全方針��、風險評估等內容進行相應的文件編寫���,建立各種文檔��,為風險管理����、體系改進等工作提供依據�。
2.6體系運行
以上步驟完成后��,信息安全管理體系開始運行�����。在運行時期����,我們要進一步提高體系運作力度��,使體系的整體功能得到有效發揮��。一旦發現體系存在問題����,要盡快找出解決措施,及時解決相關問題��,不斷完善信息安全管理體系��。
2.7體系審核
信息安全管理體系的審核主要是對體系進行客觀評價��,通過內部審核及外部審核兩種方式對體系的運行及相關文件進行全方面檢查�����。其中內部審核主要是組織內部的自我審核�,外部審核主要由外部相應的組織對體系進行檢查��,通過內外審核進一步確定信息安全管理體系的安全性�����。
三����、總結
綜上所述,信息對于部隊來說非常重要�,作為信息安全管理者,確保部隊信息的安全性是我們的主要職責�。信息安全管理需要從技術和管理兩個方面入手�,時代環境在不斷變化����,信息管理技術也要不斷創新,從而適應當前時代的需求�。目前�����,我國信息安全管理存在一定的問題��,需要我們采取積極的手段構建并完善相關體系�����,進一步提高信息的安全管理質量����。
作者:楊三勇 單位:72433 部隊檔案室
信息安全管理論文:電子檔案信息安全管理問題及挑戰
【文章摘要】電子檔案主要就是利用科學技術來對檔案進行合理構建����,可是國內在管理電子檔案信息時,還存在諸多安全問題需要進行解決�����。文章分析了電子檔案管理過程中面臨的安全問題����,從而提出一些強化策略�����,希望可以為我國管理電子檔案的工作人員提供參考。
【關鍵詞】電子檔案�����;信息安全��;問題����;策略
以前的紙質檔案在保存過程中��,時常會出現眾多隱患,譬如:破損��、腐蝕���、蟲蛀與丟失等,進而阻礙了檔案管理工作的質量和發展速度����。而在信息技術迅猛發展的當下,眾多檔案管理人員開始應用電子信息的方式來管理檔案��,這樣一來就有效防止了紙質檔案缺陷的發生�?���?墒窃谝幌盗袑嵺`工作中不難發現�,雖然現在我國應用電子檔案信息的管理方式,可是在檔案管理中依舊會出現不同種類的問題。譬如:標準化及規范化程度不夠�����、編制人員素質不統一等等����。所以�,筆者在探究這些問題的過程中��,并提出了解決辦法����,具體如下�。
1分析檔案信息的安全需求
檔案信息安全具體包括以下要求:首先,要保證網絡系統的運行安全��;其次��,檔案信息內容應該具有相應的安全性�����。檔案內容安全是檔案管理中的重要內容����,其不但包括信息傳輸安全���,還包括信息存儲安全���。通過分析可知檔案信息安全需求如下:
1.1完整性
針對電子檔案信息而言,其背景信息���、源數據以及內容都需要進行完善���,同時還要確保硬件說明���、軟件說明、事件活動信息等都具有相應的完整性���。也就是說����,在傳輸電子檔案信息時,一定不能出現破壞的現象��,譬如:偽裝重置���、刪除與篡改等。
1.2真實性
保證電子信息都是從可靠且安全的電子檔案中獲得來的�����,在通過遷移和傳輸后���,不會與最初情況發生沖突,不會出現隨意破壞以及偽造和改動等情況����。
1.3保密性
只有合法的用戶才能夠訪問電子信息���,而那些非法用戶是不能進行訪問的。一般人們會對以下幾種保密技術進行使用:信息加密技術���、物理保密技術����、防輻射技術�����、防偵收技術等�����。防輻射這種技術就是防止一些使用性質較高的信息被輻射出去���;防偵收這種技術就是阻礙不法人員對有用的信息進行接收;物理保密這種技術就是應用各種各樣的物理方法來保護信息�����,以有效預防信息外露���;信息加密這種技術就是在秘鑰的有效控制下�����,進行恰當的加密處理。
1.4不能被否認的特性
檔案信息在通過網絡系統進行交互時�����,確保參與者的一致性及真實�、可靠性。也就是一切參與者都不能在否定前進行操作�。應用信息源可以防止發信人員對自己已經發送的信息進行否認����。
2存在于電子檔案信息管理中的問題
現在我國在電子檔案信息管理方面還存著眾多安全問題�,影響檔案管理效果與發展速度,其中安全問題包括下述幾種:
2.1標準化及規范化程度不夠
我國現在所進行的檔案信息管理還不是非常成熟��,相比于那些發達的國家��,還有很大的差距�����。我國電子信息檔案管理才剛剛起步,所以��,在管理過程經常會遇到這樣或那樣的問題��。而隨著網絡技術的發展��,人們逐漸明確數字化檔案�����、信息化檔案對于檔案管理工作是非常重要的�?����?墒俏覈壳霸陔娮訖n案管理這方面卻沒有非常高的標準性和規范性��,因此阻礙了數字化檔案和信息化檔案這個管理目標的實現�����。
2.2沒有統一的電子檔案文件
在電子檔案管理過程中��,如果只針對計算機軟件的研究和開發而言,現在最需要重視的問題就是軟件開發無法與檔案的使用需求相符合�����,并且還不能提高檔案的存儲效率和實際利用。此外�,單位、地區間應用的檔案管理系統存在不統一的情況����,這樣各單位以及地區就不能夠實現共享和利用檔案文件的目的�����。
2.3沒有較強的技術支持
針對電子檔案管理工作而言��,假如沒有較硬的技術支持����,那么電子檔案信息就會存在安全隱患。現在我國在進行檔案信息管理時�����,缺少科學技術支持���。具體有下述表現:其一�,在選配硬件方面有問題存在���。譬如:在選配硬件時���,選擇的硬件系統性能和質量都非常差�,且功能還不健全�,進而影響檔案管理系統的實際運行���,還可能會因此丟失一部分檔案文件�����。其二�����,病毒入侵計算機。當計算機中進入病毒之后���,計算機當中的數據就會被破壞����,使得相應的功能出現降低���,并使數據和系統受到影響��,進而失去安全性能�����,譬如:隨著木馬病毒的快速蔓延�����,電子系統就會被影響,進而影響到整個檔案管理工作����。
2.4管理人員的素質不統一
大部分企業當中的檔案管理人員都具備眾多的管理檔案的知識����,可是他們的素質卻不相同,較為明顯的表現就是計算機知識和技能的掌握情況存在極大差距,在進行電子檔案管理時���,想要對一些電子軟件進行操作����,那么管理人員一定要具備非常強的操作能力�����,只有這樣管理才能使有效性得到提升?��?墒菍嶋H上��,部分管理人員都比較缺少計算機知識����、不具備基本的操作能力和應用網絡技術的能力����,進而致使檔案管理不能夠得到安全保證���。
3強化檔案管理安全性的方法
3.1提高檔案管理的規范性及標準性
為了強化電子檔案的管理����,使其安全性能得到提升���,就應該規范檔案管理工作���。譬如:在搜集完電子文件之后,應該形成一個系統的文件���,然后再進行細致的整理及積累,最后在相關人員鑒定沒有錯誤后進行歸檔處理���。只要按照以上步驟進行檔案歸檔工作��,那么檔案的規范性����、標準性都會得到相應的提升����。同時,當整理完電子檔案��,并做好歸檔工作之后���,還應該進行保管和移交工作。此外���,檔案管理部門還應該集中對電子文件進行管理�����,進而使檔案管理工作更加的規范和標準。
3.2對管理軟件進行升級處理
現在國內所擁有的檔案管理軟件并不成熟����,所以���,應該對管理軟件進行升級處理,以使檔案信息的安全得到保證���。升級管理軟件的目標包括以下幾種:第一種�����,提升管理軟件的兼容性��;第二種提升軟件的統一性���。兼容性就是管理軟件能夠與其余操作系統和設備進行配合,因此軟件只有具有良好的配合功能����,才算具有良好的兼容性����,譬如:和操作平臺進行配合等等。而統一性就是升級過的電子軟件擁有一個較為完善的管理系統�����,并且在每一個環節當中都應該體現出統一性原則�,譬如:統一應用軟件、統一規章制度�、統一標準等�����,尤其是單位����、地區內,一定要防止檔案系統出現較為嚴重的差異情況��,進而使系統在具備統一特征之后��,使檔案文件能夠被更加廣泛分享和利用���。
3.3建立專業的管理隊伍
管理信息檔案屬于較為系統且復雜的一項工作,想要使檔案管理具備更高的安全性及有效性�����,便需要建立一支專業知識��、操作能力及素質都極高的管理隊伍�。首先�����,對管理人員進行培養���,讓他們意識到管理工作的重要性�,嚴格杜絕那些思想不先進����、工作不積極的現象發生。其次�����,應該選拔和聘用一些熟悉檔案業務且工作能力和素質都極強的管理人員���,然后再對這部分人員進行業務、技能和知識培訓�����,以此提升管理人員的綜合素質�����。此外�����,因為部分管理人員沒有過硬的計算機操作能力���,并且與計算機有關的知識積累也較為欠缺����。所以��,在網絡應用和計算機操作方面都應該加強培訓�����,進而使電子檔案的利用、整理����、形成和接收等工作可以更加完善�����。
3.4構建維護電子檔案的法律條例
為了防止檔案信息丟失和被隨意被更改的現象發生��,就需要構建維護電子檔案的法律條例。其一��,在掌握目前已經建立的法律內容同時�,認真的整合立法信息資源��,并構建維護電子檔案的法律體系�,進而使電子文件更加的安全和真實�。其二,檔案和文件在立法上一定要保持一致性�����,不能盲目的在兩者間進行立法�,只有這樣才能促進檔案管理工作持續進行�����。其三�,應該明確電子文件在法律上的地位,制定恰當的法律和法規��,進而使檔案管理工作在法律的維護下良好發展����。其四,管理檔案的部門間應該做好配合���,如:信息部門、技術部門��、法律部門等��,充分分析文件所具有的特殊性質���,并在借鑒發達國家頒布的法律體系基礎上�����,建立與國內國情相符合的法規體系��,促進檔案工作快速����、穩定發展。
4結語
針對目前的實際情況來看��,在我國還有很多安全問題存在電子信息檔案管理過程中���,譬如:電子文件統一性不足����、管理人員素質不統一�、標準化及規范化不足����、沒有較強的技術支持等。針對檔案管理工作而言���,一定要在探討以上問題的基礎上,制定相應的強化措施����,以使電子文件的安全性得到提升。在管理電子檔案時�����,筆者認為要提高檔案管理的規范性及標準性、對管理軟件進行升級處理���、建立專業的管理隊伍、構建完善的法律條例��,使電子檔案文件更加的安全和真實�����,保證檔案管理工作的完善性和科學性����。
作者:李愛鋒 單位:衡水市計算機網絡應急技術處理協調中心
信息安全管理論文:檔案開放與信息安全管理淺談
一�����、檔案開放
(一)檔案開放的必要性�。
進入現代社會����,互聯網科技十分發達,人們了解獲得信息的渠道�����,方式多種多樣。無論國家政府的檔案�����,還是企業公司的檔案,都可以通過合法或者非法的方式進入互聯網���,為公眾所知。對于各種檔案�,進行嚴密的保管是很難做到的,在當下我們這個信息開放的社會�����,將檔案開放����,方便社會群眾進行了解,使用�,對于維護社會穩定,提升檔案的利用價值��,提高檔案的可靠真實度都有重要的意義���。當然,筆者本文所言的具有開放必要性的檔案是具有公共利益性質的檔案�����,是能夠為人民提供一定服務的檔案���。對于國家檔案�����,很多在一定時期屬于國家機密���,是無法對外開放的,但是這并不代表這種檔案沒有開放的必要性�����,開放的必要性依舊存在���,國家的人民有權利了解國家的相關事務,隨著時期的過渡�����,這些檔案會慢慢解密為社會公眾所了解�;對于企業檔案,開放的必要性是針對企業工作的工作人員��。企業的領導層以及員工階層能夠方便調取個人以及企業的相關檔案對于提高企業工作效率�,團結企業有著重要的意義��。
(二)檔案開放的風險性�。
當然�,檔案的開放具有很大的危險性,存在很大的安全風險��。對于國家政府相關的檔案���,即使在開放之前,考慮再三�����,十分謹慎���,度過了某一敏感的時期��,但是����,一些檔案公之于眾之后還是會引起一些波瀾�����。甚至����,政府類的檔案還容易被心懷叵測的社會主義敵對分子利用��,借之進行歪解胡說�,蠱惑一批無知又容易沖動的民眾��,對我們的社會穩定產生很多不利的因素�。此外,對于企業或者機關單位的很多檔案�����,為了方便業內人士提取,使用�,進行開放后,往往容易造成個人隱私泄密�����,單位機密泄密��,為不法分子提供可乘之機�。總之���,開放檔案����,既有方便����,積極的一面,同時也面臨著很大的風險����,存在很大的安全隱患問題。即使開放檔案存在這樣或者那樣����,可預知以及不可預知的風險,筆者還是認為�,我們不能因噎廢食�����,還是應該將應該開放的檔案����,大膽進行開放。
(三)檔案開放的程序����。
所謂的檔案開放程序��,就是指檔案開放所需要進行的必要操作����,所必須經歷的方法����,步驟����。只有確立嚴格的檔案開放程序,并且嚴格按照程序辦事�����,開放符合要求的相關檔案����,才能降低開放檔案帶來的風險����,同時滿足檔案開放的必要性�����,發揮開放性檔案的積極作用��。不同性質的檔案����,開放程序不同,有嚴密繁瑣的程序步驟�����,也有簡單章程性的程序�,這主要根據檔案的重要性來決定����。確立明確����,嚴明的檔案開放程序,對于檔案的有序�、科學使用,檔案信息的保密都有著重要的意義����。
二、信息安全管理的方法策略
(一)管理工作人員的培養���。
做好信息安全管理的工作我們首先需要一批具備安全管理信息才能的人才�����?����;ヂ摼W時代的飛速發展,為我們的社會培養了很多具有互聯網知識��,IT行業技術的高端人才�。我們只要對這些人才進行短期的信息安全管理的培訓工作,就完全能夠使這些人才勝任信息安全管理的工作����。做好信息安全管理工作的首要一步是引進綜合素質過硬的人才,并對這些人才進行必要的職前培訓�����,只有這樣����,企業單位的信息部門才能做到信息的科學��,安全管理��。既為企業單位提供開放信息帶來的便利�,同時還要保證信息的安全���。
(二)嚴格管理制度的確立�����。
確立嚴格�����,完善的安全管理信息的相關規章制度���,并嚴格遵守��,一切按照規章制度辦事���,任何人在一般情況下都不能破壞規章制度�,調取信息。企業和單位為了做好信息安全管理的工作�����,就要自上而下嚴格遵守企業制定的信息安全管理的規章制度?���,F代企業和事業單位的管理�����,都要以嚴格的����,先進科學的管理制度進行管理��,在信息管理部門同樣是如此����,好的制度為信息安全管理提供有效的保障。
(三)安全可靠的設備�。
檔案的管理人員在對檔案進行收集與整理的過程中就應該對文件做一個明確的分類,并進行準確的編號����。同時要隊文件的資料做一個科學合理的分類與陳列,或者是可以依照不同的部門而對其進行分類��。提高報關信息設備的安全可靠性。企業和事業單位的信息部一定要完善處理�,保管信息的設備,提高信息管理工作需要的硬件以及軟件設備的水平��。高水平的硬件���,軟件設備不僅能夠提高信息利用的效率�����,同時還能夠提高對信息的保護層級����,防治外來黑客對信息進行竊取��。
(四)監督審查措施的常態開展����。
為了保證信息的安全,要確立嚴格的監督制度��,對單位的信息進行嚴格的監督���,并且做到自下至上的,分工明確���,責任明確����。成立專門的信息監督小組��,通過互聯網以及其他相關的技術設備對信息進行監督�����,管理��。對單位的信息要做到定期系統管理�����,每隔一段時間���,對單位所有的信息進行分門別類�,系統的管理�,淘汰無用的信息�����,保證信息的時效性����。同時��,要確立嚴格的審查�����,追責制度�����。首先�,定期對信息進行審查�,保證信息管理工作的安全可靠�����,其次��,對于信息被濫用�,泄露等惡劣事件���,要做到嚴格追責,嚴厲懲罰���。
三、結束語
有些檔案具有開放的必要性���,在當今互聯網時代�����,將部分檔案開放���,有利于提高檔案的使用價值,提升人民群眾的法治觀念,維護社會以及互聯網環境的文明��,合法�����。同時�,將檔案信息開放面臨著很多的風險�����,但是我們不能因噎廢食,該開放的檔案信息還是要積極地進行開放����,只是我們必須要完善我們的信息安全管理制度,并且培養大批從事信息安全管理工作的人才�。只有做到嚴明制度,謹慎管理���,我們才能夠一面發揮檔案信息開放的積極作用���,同時還能保證檔案信息的安全,防止檔案信息被非法濫用。
作者:劉曉峰 單位:洮南市中小企業服務中心
信息安全管理論文:加強公務外網信息安全管理工作通知
一���、加強領導,健全網絡安全管理責任制
各單位要切實加強對信息網絡安全工作的組織領導�����,一把手作為信息網絡安全和保密工作的第一責任人�,要按照“誰主管誰負責�����、誰運行誰負責����、誰使用誰負責”的原則建立健全網絡安全管理責任制,明確主要責任人和直接責任人��,把管理責任落實到具體崗位和具體工作人員��。
二�����、完善措施�,確保公務外網信息網絡安全
(一)組織開展信息網絡安全培訓
各單位要對工作人員進行國家保密法律、法規和網絡安全保密管理規定的培訓�,特別是要對網絡管理人員開展崗位技能培訓,切實提高相關工作人員的信息網絡安全意識和防范能力�。
(二)加強網絡安全管理
加強網絡安全管理�,嚴格遵循“涉密不上網,上網不涉密”原則�,以防攻防、防癱瘓���、防病毒、防竊密為重點����,做好信息網絡安全管理工作�。
1.公務外網屬于非涉密的政務外網,各聯網單位不得將涉密計算機設備和網絡接入本網����,不得在公務外網上傳輸、處理或存儲涉密信息����。嚴禁在涉密計算機與其他計算機之間交叉使用U盤等移動存儲設備���。
2.為確保公務外網安全,嚴禁各單位私自接入路由器�、交換機等網絡設備�����,嚴禁擅自擴大網絡的使用范圍�。確需接入路由器等設備的���,需向縣政府辦公室信息公開及網絡管理中心提出書面申請���,經審批后,按照有關程序�,由專人負責接入。
3.連接公務外網的所有計算機����、服務器和其他設備不得用于存儲、處理�����、傳輸涉密及秘密和敏感信息。工作人員不得在聯網計算機上炒股�����、打游戲�、看電影��、聊天��,不得瀏覽���、復制、傳播反動��、色情等不良信息�,不得傳播病毒等有害信息����,不得在公務外網上從事違法活動。
4.加強IP地址管理����,嚴禁違反統一規劃擅自更改和設置IP地址�����。
5.嚴禁內網外聯,嚴禁使用公用郵箱收發涉密郵件��。
6.全縣公務外網具有統一的國際互聯網出口����,接入公務外網的計算機、設備和網絡�,不得再通過其他線路聯接國際互聯網或其他外部網絡��。
7.各聯網單位計算機系統必須安裝殺毒軟件��、木馬防火墻并及時更新�����。
8.設有獨立機房的單位要安排工作人員在機房值班�����,并定期和不定期地對網絡設備工作狀況、UPS電源維護����、數據備份�����、防病毒軟件升級���、移動存儲設備使用��、數據傳輸及各項制度的執行情況開展巡回檢查�����,注意防火防盜��,確保網絡安全暢通無事故�。
(三)加強網上信息的安全管理
已在互聯網上開通門戶網站或開通信息公開平臺的單位�����,要按照“誰誰負責��、誰審核誰負責”的原則,嚴把信息關�����,杜絕涉密�、敏感信息上網。
三��、開展自查�����,排除潛在的信息安全隱患
接此通知后�����,各單位要認真開展一次信息安全自查��,做到不走過場��、不留死角����,發現信息安全隱患要及時采取有效措施����,確保網絡信息安全��。
四��、建立機制���,提升信息網絡安全應急能力
各單位要建立健全信息網絡安全應急預案���,完善信息網絡安全應急措施,提升網絡突發安全事件的處置和響應能力�����。要加強預警監測�,一旦公務外網發生網絡安全事件,要迅速向縣政府辦公室報告����,并做好先期處置、情況研判工作����,最大限度地減少事件造成的損失和危害����。
