信息安全行業分析范文

時間:2023-10-19 16:07:44

導語:如何才能寫好一篇信息安全行業分析,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

信息安全行業分析

篇1

關鍵詞:航空企業;信息系統;安全處理;現狀;體系

中圖分類號:TP393.08

隨著計算機網絡技術的不斷發展,信息數據系統廣泛應用于航空企業的信息管理中。然而,航空企業因其服務行業的特性,需要不斷將航班等外部信息傳播發送給旅客,另一方面,航空企業內部管理信息卻需要做到嚴格的保密,這就對航空企業的信息系統安全處理提出了高要求,航空企業必須建立一套全面完備的信息安全處理體系,只有這樣,才能提高航空運輸信息的安全水平,保障航空企業的穩定發展。

1 航空企業信息系統安全管處理現狀

近年來,我國航空企業已經開始廣泛應用信息管理系統。在這些企業的信息系統中,包含了對交通服務、航班導航、天氣情況以及企業內部信息的各類應用,航空企業信息管理部門需要將這些信息進行整合,構建成為一個完整的信息管理系統。然而,從目前航空企業的信息系統安全管理來看,多數航空企業在進行信息系統安全管理的研究時,都是將重點集中在某一特定領域,通過病毒檢測系統、認證系統等對特定領域進行信息安全處理,并沒有一個全面完整的信息安全處理體系。

另外,國家有關部門已經加強了對航空信息安全的重視,中國民用航空局頒布了關于管理民用航空安全信息的規定,通過將各航空企業的信息管理系統進行統一監督,統籌管理全行業的信息安全管理系統。無論從當今形勢發展來看,還是從國家有關部門對信息系統安全管理的重視程度來看,建立一套完整的信息系統安全處理體系對于航空企業都是非常有必要的。

2 構建航空企業信息系統安全處理體系

在對信息系統安全處理體系進行構建時,應當遵循可行性、靈活性、擴展性等原則,使信息系統的安全處理能夠滿足信息的完整性、保密性和可用性。在進行信息系統安全處理體系構建時,可以用到的安全技術大致包括計算機病毒防范技術、信息偵測技術、安全操作平臺技術、安全審計和入侵預警技術、內容分級監管技術等。

2.1 構建航空企業信息系統安全處理體系的初始步驟

(1)確定控制用戶訪問的安全處理系統。在進行訪問權的控制時,可以設置相應的客戶端界面,利用DCE/Kerberos身份驗證機制,只要用戶輸入的個人信息得到驗證后,用戶才能進行下一步訪問。還可以設置一種封閉策略,只有得到授權的用戶才能獲得相應信息。但是,在通過限制用戶訪問來達到信息安全處理的效果時,應當注意對數據信息的最大共享原則,使用戶能夠通過客戶端獲得對所有數據的訪問權,除非是不應當開放的保密性數據。

(2)建立備份制度和事務日志制度等。對于信息系統而言,其安全性總會受到一定的威脅,企業在進行信息系統的安全處理時,還應當重視對數據的備份,使數據能夠在受到安全威脅后得到有效恢復。

(3)確定信息數據安全的最小單位。在構建航空企業信息系統的安全處理體系時,可以將屬性或關系作為最小安全單位,從而滿足對信息安全性的高要求。

2.2 進一步構建航空企業信息系統安全處理體系的策略

在航空企業信息管理系統中,安全處理內部保密信息是很重要的,但對需要向外界公布的信息數據也不容輕視,因此僅僅依靠DCE/Kerberos身份驗證機制無法進行全面的安全處理。

(1)建立信息系統的自行監控和預警機制

保障信息系統高效穩定的運轉是航空企業進行各項業務的關鍵,因此,在進行信息系統的安全處理時,首先應當做到的就是對系統運行的監控和預警,從而能夠早發現、早解決系統運行問題,避免影響航空業務的運行。

(2)應用各種安全產品,構建全面的防御體系

在航空企業信息系統建立安全處理體系時,航空企業應當加大投入力度,建立一個全面的防御體系,從而減少安全問題的產生。例如,在建立防病毒、防黑客體系時,可以通過部署應用漏洞掃描軟件、防病毒軟件等安全產品,構建出一個全面的防御體系,將信息系統的內部運轉充分控制起來,從而能夠及早發現安全問題,及早解決。

(3)設置控制用戶訪問的安全處理策略

航空企業的信息系統在為用戶提供服務時,使用的是一種端對端的信息交流方式,因此,保障信息傳遞過程中的信息安全,防止信息遭到修改是信息安全處理的重點。SOAP協議基于XML數據結構,它可以為用戶提供信息交換的平臺。為保護SOAP協議的安全性,進而保障信息安全,我們可以進行用戶查詢權、修改權及刪除權的設定,通過設立安全矩陣的方式將各類信息及各類人員的權限進行分類處理,從而提高信息管理系統的運行效率,如下表1所示。

通過這種矩陣式分類,就可以直觀地將各部門權限表現出來,從而達到對信息系統客戶端的有效管理。

(4)實現信息系統各子系統之間訪問管理的安全性

在信息系統的使用中,用戶對資源的使用往往會涉及到整個系統中的多數子系統,在訪問這些子系統時,系統需要對授權進行逐一判斷,這就會使系統屬性發生改變,安全隱患也就隨之而來,因此,應當建立一種訪問控制體系,用于對訪問各子系統信息資源的安全處理。

UCON模型,就是適應現代業務流程訪問控制而產生的新型模型,包含了主體、客體和權限三個基本元素,它將義務、條件和授權作為了決策進程的一部分,提供了一種更好的決策能力。這種模型區別于其他訪問控制模型之處就在于它的可變屬性,可變屬性可以隨著訪問對象的改變而發生改變,這種模型解決了傳統的訪問控制技術缺乏綜合性的問題,并涵蓋了安全和隱私兩個重要方面,是一種具有決策連續性和屬性易變性特點的訪問控制模型。通過對UCON模型和數據庫管理系統的綜合使用,可以有效保護信息系統的數據資源,并能夠在結合其他技術的基礎上,對計算機系統資源和網絡資源進行保護,從而達到航空企業信息系統安全處理的目標,防止非法訪問現象的發生。

2.3 構建完善的航空企業信息系統安全處理體系

一個完整的信息系統安全處理體系,必須涵蓋了從客戶端到服務提供端,再到訪問控制端的安全處理流程。首先,對于客戶端安全處理環節的實現,可以借助用戶身份信息的收集和對服務返回結果的安全處理,并運用DCE/Kerberos身份驗證機制等安全平臺操作技術對信息系統的安全性進行管理。其次,是對服務提供端安全處理的實現,這一環節包括了對用戶身份的驗證和對數據傳輸的安全處理,可以使用SOAP協議等安全審計技術為信息系統提供安全保障。最后,是對訪問控制端安全處理的實現,這一環節可以分為對系統各環節的信息匹配和對訪問控制服務的安全處理,是整個信息系統安全處理的重要環節,在構建系統安全處理體系時,可以使用UCON模型將訪問控制權具體化,并設立安全矩陣,最終達到信息系統安全處理的目的。

總結:

航空企業的行業特性,決定了構建符合其行業特點的信息系統安全處理體系是一個復雜而繁瑣的過程,企業信息安全管理部門應當從實際出發,結合企業信息系統的客戶端、服務端以及數據庫對信息安全的不同要求,運用現代化技術,依據信息系統設計原則,構建一個既能滿足共享性,又能滿足保密性的獨特的安全處理體系。另外,企業管理部門不僅要加大對技術的扶持和研發,還應當注重對企業內部人員的信息安全教育,能夠建立一個完善的信息系統管理制度,從而使企業人員能夠積極進行信息系統的安全防護。

參考文獻:

[1]郝梁怡.淺析民航空管信息安全管理[J].中國科技縱橫,2013(12).

[2]張云高.基于SMS關鍵要素的航空公司安全管理信息系統分析與設計[J].電子科技大學,2011(1).

[3]田波,吳倩,甄浩.航空公司信息安全管理系統的構建與安全保障體系研究[J].情報科學,2011(9).

[4]白瑜.基于UCON的訪問控制的應用[J].電力學報,2012(6).

[5]付茂沼.民用航空信息安全研究[J].中國民航飛行學院學報,2010(3).

[6]姜鵬.民航空管信息處理系統的安全保障[J].中國新技術新產品,2011(13).

篇2

關鍵詞:藥品物流管理系統;信息安全素養;信息安全干預

21世紀是一個全方位大數據的時代,從紙張過渡到電子病歷系統的醫療記錄數據呈指數級增長[1,2],但在體驗信息化帶來的前所未有便捷的同時,巨大信息安全隱患也逐漸浮出水面,正逐漸引起大眾的高度重視和警覺[3~5]。2014年醫療/保健行業在所有報告的數據泄露事件中所占比例超過42%,遠高于其他行業(如銀行/金融、商業、教育等)[6~8]。上海市執行了藥品陽光采購平臺,在此基礎上建立了藥品物流管理系統,該系統利用信息化技術手段和智能設施設備讓藥品在供應、分揀、配送等各個環節,實現公司、醫院、科室、患者之間一體化、精細化管理。盡管目前實施了藥品安全信息化監管,但是藥品信息錯綜復雜、工作人員意識薄弱、藥品信息管理人員復雜,一旦信息泄露,存在醫保套用、患者信息泄露被不法分子利用、統方等隱患。藥品信息的管理核心是人員的管理,監管的最終目標也是保障藥品安全供應和合理使用。金山區自2016起開始陽光平臺藥品采購試點,在上海市率先執行了藥品物流管理系統。本文結合工作實際,對金山區藥品物流管理系統的信息管理人員和使用者的安全意識進行調查、評估和干預,為提高全市藥品相關人員的信息安全水平,減少因信息泄露而導致的醫療安全事件的發生提供參考。

1對象與方法

1.1研究對象

金山區藥品物流管理系統全部管理用戶,包括藥品陽光采購平臺、藥品物流管理系統、各醫療機構HIS系統藥品信息管理人員、使用人員193人。

1.2研究內容與方法

1.2.1名詞定義與指標計算方法藥品物流管理系統:利用信息化技術手段和智能設施設備讓藥品在供應、分揀、配送等各個環節,實現公司、醫院、科室、患者之間一體化、精細化管理的系統。信息安全素養:指人員在信息化條件下對信息安全的認識以及對信息安全表現的綜合能力,包括信息安全動機、信息安全知識、信息安全能力、信息行為等內容[4]。指標計算方法:參考《中國居民健康素養調查》方案設計,正確回答題目的賦值1分,題目回答錯誤的賦值0分,計算每名調查對象最終的答題得分。根據專家咨詢意見,所有問題全部回答正確視為具備總體信息安全素養,對信息安全知識問題、信息安全動機問題、信息安全角色認知問題、信息安全行為問題全部回答正確的分別視為該調查對象具備這四個方面的信息安全素養。1.2.2系統用戶信息安全素養水平調查通過文獻研究收集國內外關于信息安全的相關材料以及實踐工作中的經驗等內容,初步形成評估問卷和調查問卷,通過德爾菲法選擇衛生信息化領域工作經驗豐富的專家開展問卷設計咨詢,所有專家均為衛生信息化領域或健康行為研究領域;本科及以上學歷;工作經驗豐富,從事相關工作5年以上,最終選擇了上海市疾病預防控制中心信息所、金山區衛生信息中心等8名專家對問卷進行審核、修訂,針對部分調查對象進行預調查后對存在的問題進行相應的修改,形成最終的評估和調查問卷,問卷由基本情況、信息安全知識、信息安全動機、信息安全角色認知、信息安全行為和系統用戶信息等6部分條目構成。對金山區藥品物流管理系統的所有用戶開展面對面問卷調查。問卷調查在調查前向受訪者進行調查說明,承諾調查信息保密,在受訪者知情同意后開展調查,提高受訪者的支持配合。問卷調查后及時整理和質控,確保信息完整。1.2.3信息安全干預措施實施后效果調查采用整群隨機分組方法,以一個社區的系統用戶為一個群組,將金山區11個社區的所有系統用戶隨機分為干預組和對照組,結合用戶信息安全素養調查過程中發現的問題,對干預組進行進行信息安全干預,實施包括培訓講座、專項指導、發放信息安全宣傳材料、微信宣傳等一系列有針對性的干預措施;對照組則不給予任何干預措施。干預后對兩組進行終末調查,對比兩組在基線和終末調查時信息安全素養水平的變化情況。

1.3數據整理與分析

使用EpiData3.1軟件建立數據庫,用spss19.0軟件進行統計分析。計數資料以構成比(%)表示,比較采用χ2檢驗;計量資料以x珋±s表示。P<0.05為差異有統計學意義。

2結果

2.1人口學特征

金山藥品物流管理系統用戶人數共計193人,發放問卷193份,收集到有效問卷共163份,問卷有效回收率84.46%?;厥諉柧淼哪信詣e比為0.43∶1,平均年齡為(34.69±9.32)歲;用戶角色中,58.9%是普通用戶,41.1%是管理賬戶;52.15%的調查對象是各醫療機構藥庫工作人員,31.90%為各醫療機構信息科信息管理人員。調查對象的人口學特征分布見表1。

2.2問卷的信度效度分析

信度(reliability)目前最常用的是Alpha信度系數,一般情況下主要考慮量表的內在信度———項目之間是否具有較高的內在一致性。通過Alpha信度系數分析,本研究中,量表的信息安全知識、動機、角色認知、行為等四個維度的信度系數均>0.7,總體信度系數為0.732,問表明該問卷具有可接受的信度。問卷的效度分析主要采用因子分析了解結構效度,首先對問卷數據進行KMO樣本測度和巴特萊特球體檢驗,以驗證數據是否適合做因子分析,得到KMO值為0.713,巴特萊特球體檢驗P<0.01,適合作因子分析。按特征值>1的標準提取公共因子,共提取5個因子,并采用方差最大正交旋轉進行因子旋轉,所得因子間不相關,累計方差貢獻率為60.023%。一般認為累計方差貢獻率大于60%,問卷結構效度尚可。

2.3信息安全素養干預前后對比

干預組和對照組的基本情況見表2。兩組性別、年齡、教育程度及賬戶角色構成等方面差異無統計學意義(P>0.05),具有可比性。基線調查時,干預組和對照組在總體素養、知識、動機、角色認知方面無明顯差異(P>0.05)。終末調查時,在知識、角色認知、行為等三方面,干預組明顯高于對照組(P<0.05),而在總體素養和動機方面兩組沒有顯著差異(P>0.05)。干預后,干預組的總體素養、知識、動機、角色認知等水平素養均有顯著提高(P<0.05或P<0.01),但信息安全行為水平無明顯提升(P>0.05);對照組用戶的各項安全素養水平與總體水平在基線和終末調查中均無明顯變化(P>0.05)。見表3.

2.4較薄弱的藥品信息安全問題集中點

通過對調查結果逐一分析,回答正確標記1分,回答錯誤標記為0分,將各題目分數累計綜合除以總人數,得到回答合格率。結果顯示,系統用戶部分問題的合格率較低,對合格率較低的重點問題進行匯總和分析,見表4。以準確發現在金山區藥品物流管理系統用戶之間存在的信息安全方面的問題,便于在后期干預工作中有針對性的開展干預和信息安全素養提升措施。

3討論

3.1金山區藥品物流管理系統用戶的信息安全水平亟待于進一步的提高

信息的泄露主要是在于醫療機構和信息服務機構人員使用、管理過程中出現的無意泄露,更多時候信息泄露于無意識的情況下[9,10],另外組織環境也對用戶提供參考,并對用戶的某些行為有一定的積極或消極的作用[11]。本次調查發現金山區藥品物流管理系統用戶對信息安全的重視程度不夠,用戶在信息保護、信息安全風險防范方面的能力遠不能達到實際的工作要求,尤其是在信息安全行為方面存在較為嚴重風險行為,醫務工作者需要提高保護個人隱私信息的能力和意識,否則將在不經意的情況下,侵犯或泄漏醫療信息資料。同時,應通過增強信息系統安全性、建立相應的管理制度、加強培訓宣傳、規范工作流程以及用戶操作行為等措施,提高信息系統的安全性。

3.2信息安全干預措施有效提升了用戶的信息安全素養水平

通過實施一系列的干預措施,干預組的信息安全總體素養、信息安全知識、信息安全動機、信息安全角色認知在干預前后的差異具有統計學意義,均有了顯著的提高,但信息安全行為干預前后沒有顯著的變化,知識、動機、認知的提高沒有明顯的轉化為具體行為的改善,后期應注重在提高知識、動機、認知的同時注重行為的強化和培養。對照組用戶的信息安全素養總體水平以及信息安全知識、信息安全動機、信息安全角色認知、信息安全行為等幾方面水平在基線和終末調查中均沒有明顯的變化,可見對系統用戶通過多途徑的實施具有針對性的信息安全干預措施能有效提高用戶的信息安全素養水平。

3.3組織管理制度的完善和系統安全設置要求的提升

干預結束后,通過梳理制定金山藥品物流管理系統安全管理制度,對管理網絡、組織分工、賬戶管理、數據流通等方面作了詳盡的規定。根據管理制度的規定[12],通過系統運維人員在密碼策略、用戶權限、賬戶清理等方面從系統方面進行了設置和強制性要求。在信息安全素養干預手段沒有有效發揮作用的部分,通過制度約束和技術手段強制,彌補了信息安全教育、培訓等手段的不足,實現金山區藥品物流管理系統安全性的全面提升。

3.4小結

篇3

大數據時代信息安全面臨挑戰

在大數據時代,無處不在的智能終端、隨時在線的網絡傳輸、互動頻繁的社交網絡使得互聯網時時刻刻都在產生著海量的數據。隨著產生、存儲、分析的數據量越來越大,在這些海量數據背后隱藏著大量的經濟與政治利益。大數據如同一把雙刃劍,在我們享受大數據分析帶來的精準信息的同時,其所帶來的安全問題也開始成為企業的隱患。

1、黑客更顯著的攻擊目標:在網絡空間里,大數據是更容易被“發現”的大目標。一方面,大數據意味著海量的數據,也意味著更復雜、更敏感的數據,這些數據會吸引更多的潛在攻擊者。另一方面,數據的大量匯集,使得黑客成功攻擊一次就能獲得更多數據,無形中降低了黑客的攻擊成本,增加了其“收益率”。

2、隱私泄露風險增加:大量數據的匯集不可避免地加大了用戶隱私泄露的風險。一方面,數據集中存儲增加了泄露風險,而這些數據不被濫用,也成為人身安全的一部分。另一方面,一些敏感數據的所有權和使用權并沒有明確界定,很多基于大數據的分析都未考慮到其中涉及的個體隱私問題。

3、威脅現有的存儲和防護措施:大數據存儲帶來新的安全問題。數據大集中的后果是復雜多樣的數據存儲在一起,很可能會出現將某些生產數據放在經營數據存儲位置的情況,致使企業安全管理不合規。大數據的大小也影響到安全控制措施能否正確運行。安全防護手段的更新升級速度無法跟上數據量非線性增長的步伐,就會暴露大數據安全防護的漏洞。

4、大數據技術成為黑客的攻擊手段:在企業用數據挖掘和數據分析等大數據技術獲取商業價值的同時,黑客也在利用這些大數據技術向企業發起攻擊。黑客會最大限度地收集更多有用信息,比如社交網絡、郵件、微博、電子商務、電話和家庭住址等信息,大數據分析使黑客的攻擊更加精準。此外,大數據也為黑客發起攻擊提供了更多機會。黑客利用大數據發起僵尸網絡攻擊,可能會同時控制上百萬臺傀儡機并發起攻擊。

5、成為高級可持續攻擊的載體:傳統的檢測是基于單個時間點進行的基于威脅特征的實時匹配檢測,而高級可持續攻擊(APT)是一個實施過程,無法被實時檢測。此外,由于大數據的價值低密度特性,使得安全分析工具很難聚焦在價值點上,黑客可以將攻擊隱藏在大數據中,給安全服務提供商的分析制造很大困難。黑客設置的任何一個會誤導安全廠商目標信息提取和檢索的攻擊,都會導致安全監測偏離應有方向。

6、信息安全產業面臨變革:大數據的到來也為信息安全產業的發展帶來了新的契機,還沒有意識到這場變革的安全廠商將在這場變革大潮中被拋棄。大數據正在為安全分析提供新的可能性,在未來的安全架構體系中,通過大數據智能分析有效的將原來分割的安全產品更好的融合起來,成為不同的安全智能節點,這將是在大數據時代安全產業需要研究突破的重點。

RSA信息安全智能分析平臺解析

日前,EMC信息安全事業部RSA宣布推出了RSA信息安全智能分析平臺,該平臺基于RSA NetWitness成熟的技術架構,并將SIEM、網絡取證(Network Forensics)和大數據分析技術進行了融合,為信息安全專業人員提供了深度可視性,幫助他們察看和了解安全漏洞及安全攻擊,使安全風險一出現就能被發現,因此顯著節省了時間,將查找時間從幾天縮短為幾分鐘。另外,通過幫助信息安全專業人員了解起源于企業內部及外部的數字風險,企業還能更好地保護自己的資產,包括知識產權以及其他敏感數據,同時節省與安全威脅管理及法規遵從報告有關的時間和費用。

RSA信息安全智能分析平臺特性:

數據快速捕獲與分析:與信息安全相關的數據,包括通過網絡傳送的完整數據包、日志和安全威脅情報,都能快速捕獲和分析,以加速對潛在安全威脅的檢測。

強大的分析能力:實現比基于SIEM的傳統安全方法大得多的數據采集規模,而且新的分析方法具有更強大的分析能力。

集成了應對安全威脅的智能性:幫助企業實現安全威脅情報供給的可操作性,以加速對指向企業的、潛在攻擊工具及方法的檢測和查找。

安全威脅的背景信息:通過與RSA Archer GRC平臺以及與RSA防數據丟失(DLP)套件的集成,還通過融合其他產品產生的數據,分析人員可以利用業務背景信息,為造成最大風險的安全威脅優先分配資源。

惡意軟件識別:該解決方案利用各種查找方法識別基于惡意軟件的攻擊,識別范圍大得多。

法規遵從報告自動化:通過良好的信息安全實踐,幫助實現法規遵從性。

成熟的大數據平臺及分析方法與信息安全工具相集成,使信息安全保障方式取得了極大的進步。正如所開發的那樣,RSA信息安全智能分析平臺整合了無與倫比的可視性,可利用大數據平臺及先進的分析方法,識別高風險活動、降低高級安全威脅風險并滿足法規遵從要求。

大數據安全未來趨勢展望

據MacDonald預測,到2016年,40%的企業(銀行、保險、醫藥和國防行業為主)將積極地對至少10TB數據進行分析,以找出潛在危險的活動。然而,供應商的產品格局卻無法在短期內進行轉變?,F在,企業通常依賴于SIEM系統來關聯和分析安全相關的數據,MacDonald表示目前的SIEM產品無法處理這么大的工作量,大多數SIEM產品提供接近實時數據,但只能處理規范化數據,還有些SIEM產品能夠處理大量原始交易數據,但無法提供實時情報信息。

Gartner公司分析師表示,使用“大數據”來提高企業信息安全不完全是炒作,這在未來幾年內這將成為現實。大數據將為安全團隊帶來新的工作方式,通過了解大數據的優勢、制定切合實際的目標以及利用現有安全技術的優勢,安全管理人員將會發現他們在大數據進行的投資是值得的。

篇4

1.1政府和行業對互聯網信息安全重視程度增加

隨著近些年來網絡信息安全問題的不斷發酵,網絡安全問題已經拓展到國家安全的角度,國家的重視度不斷增加。現在,國家網絡安全的行業進入了一個加速發展的時代,網絡安全對政治商業和經濟等利益都有較大的影響,因此,網絡安全行業的發展已經到了存量和增量大幅增加的階段。從政府方面來講,政府正在加大加國產硬件和軟件及一些安全軟件的采購力度,逐步提升企事業單位的IT基礎設施建設和網絡防御能力;從企事業單位的方面來講,我們用于信息安全的投資明顯的低于世界平均水平?,F在,各類網絡安全問題的出現及一些商業機密泄露等事件敲響了企事業單位安全意識的警鐘,企事業但是開始強化數據保護和提高安全防御措施。

1.2互聯網犯罪猖獗

現在網絡違法犯罪活動愈發猖獗。一些不法分子利用互聯網進行各種各樣的違法犯罪活動,如賭博、詐騙、撒播謠言、竊密盜竊等不法活動,還有通過互聯網攻擊竊取數據和機密等的犯罪活動。這些通過互聯網進行的違法犯罪不僅危害了公民的合法權益,而且破壞了國家的安全和社會的穩定。

1.3網絡安全產業有很大的發展空間

伴隨著大數據、云計算、物聯網等技術的快速應用,互聯網已經影響到我們生活的方方面面,而網絡安全產業也面臨著新的機遇和挑戰。為了保證國家的網絡安全,要不斷發展有自主知識產權的網絡安全產品?,F在由于互聯網的核心的設施、技術還有比較高端的服務還是主要依賴于國外的進口,在操作系統使用、專用芯片制造和大型應用軟件開發等方面都存在著嚴重的安全的隱患。因此,具有自主知識產權的網絡安全產品和產業有非常廣闊的發展空間和發展前景。

1.4互聯網信息安全研究成為熱點

現在可穿戴設備、智能終端等設備的應用非常廣泛,信息安全問題是現在互聯網技術研究的熱點問題,隨著研究的深入進行和技術的不斷發展,會幫助解決互聯網在安全方面所遇到的問題?,F在已經有很多的高校將互聯網信息安全作為專門的課程開設,這也有助于我國互聯網信息安全研究的發展。

2加強我國互聯網信息安全對策

2.1發揮政府功能,強化法規建設,建立全國范圍內的網絡安全協助機制

隨著互聯網的發展,網絡安全受到巨大的威脅,針對這種情況,要加強公民的網絡安全教育工作,盡可能提升全民的網絡安全的基礎知識和水平,增強公民的“網絡道德”意識,保護我國網絡信息的安全。而且要進一步強化網絡立法以及執法的能力,深化政府職能,完善法規建設,在全國范圍內建立網絡安全協助的機制,這樣有助于協調全國網絡的安全運行。制定出網絡在建設階段和運行階段的安全級別的定義和安全行為的細則,安全程度的考核評定等標準化文本,分析網絡出現的攻擊手段,報告系統漏洞并給出“補丁”程序,并且對全國范圍內協調網絡安全建設,另外,還要大力提高我國自主研發,生產相關的應用系統與網絡安全的能力,用以代替進口產品。

2.2加大互聯網信息安全犯罪的打擊力度

目前,互聯網技術的發展速度已經遠遠超越了網絡犯罪的立法速度,有一些立法對互聯網犯罪的處罰力度非常輕,還有一些互聯網犯罪活動并沒有相關的法律規定。這種情況對于加大網絡信息安全的打擊力度是非常不利的。因此,現在要加快對互聯網犯罪的立法工作,使得在處理互聯網犯罪的時候可以做到有法可依。近些年,國家加大了最互聯網的監督和監管力度,使得很多的互聯網犯罪活動能夠在較短的時間內得到取證和解決,但是相對而言,公民的互聯網安全意思還是比較淡薄,因此,提高公民的互聯網安全意識也成了迫在眉睫需要解決的問題。

2.3加大網絡信息安全的宣傳和教育的工作

現今社會,互聯網已經深入到生活的方方面面,互聯網正在改變著人們傳統的生活方式,人們的生活離不開互聯網。可是隨之而來的是計算機病毒、計算機犯罪、計算機黑客等問題,影響著人們對互聯網的正常和安全使用,更是影響到國家的經濟發展和安全。因此,加大我國網絡信息安全的宣傳和教育工作是一件非常急迫的事情,通過不斷提高公民的網絡安全意識,能夠有效避免一些網絡犯罪的發生,并且對提高我國整體網絡安全有很大的幫助。要不斷的通過電視、網絡、報紙等多種媒體進行網絡安全知識的宣傳,讓網絡安全意識深入人心。

2.4建立互聯網的信息安全預警和應急保障制度

重點加強對全社會信息安全問題的統籌安排,對信息安全工作責任制要不斷深化細化;加強重點信息領域的安全保障工作,推動信息安全等工作的開展、要把安全測評、應急管理等信息安全基本制度落到實處;加快推進網絡與信息安全應急基礎平臺建設;提升信息安全綜合監管和服務水平,積極應對信息安全新情況、新問題,針對云計算、物聯網、移動互聯網、下一代互聯網等新技術、新應用開展專項研究,建立信息安全風險評估和應對機制;建立統一的網絡信任體系、信息安全測評認證平臺、電子政務災難備份中心等基礎設施等,力求對信息安全保障工作形成更強的基礎支撐。

2.5技術防護安全策略

技術防護是確保網站信息安全的有力措施,在技術防護上,主要做好以下幾方面工作:一是要加強網絡環境安全;二是加強網站平臺安全管理;三是加強網站代碼安全;四是加強數據安全。

3結語

篇5

關鍵詞:地市煙草;網絡安全;技術;管理

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2014) 02-0000-02

煙草行業自1985年有了第一臺計算機以來,經過20多年行業信息化工作者孜孜不倦的努力,行業的信息化建設工作取得了長足的發展,建立了涵蓋行業各個方面工作的完備的信息網絡,為行業工作的便捷開展提供了可靠的信息化助力,為“卷煙上水平”做出了應有的貢獻。但不可否認的是,在信息化建設之初,由于經驗的缺乏及技術的限制,沒有形成一個具有遠見性及科學性,能與行業整體業務發展戰略緊密融合的信息網絡安全建設戰略,導致多年來行業信息網絡安全建設工作缺乏統一的導向和組織,雖然各省煙草公司都制定并出臺了計算機網絡建設與管理規范,指導各地市的信息網絡建設,但因為制度出臺時間較短,及網絡改造需要流程與時間,可以說目前各地市網絡安全建設水平仍不夠理想,信息網絡安全建設發展至今,越來越多的困難與矛盾開始逐漸凸顯。

一、地市煙草公司信息網絡安全建設現狀

地市煙草信息網絡是構成全省煙草信息網絡的個體,因此地市信息網絡安全建設水平便直接關系全省信息網絡建設水平,是構成全省信息網絡安全建設的一環,就像構成木桶的一板,依據管理學上“木桶效應”的短板理論,木桶的盛水量由構成木桶的最短的一板決定,當有一個地市信息網絡安全建設水平大大低于平均水平,就將大大拉低全省煙草信息網絡整體安全防護水平??梢哉f全省煙草的信息網路安全建設必將是環環相扣的,一環均不得松懈,一環均不得落后。

地市信息網絡安全建設關系到全行業主干的網絡的安全與穩定,而信息網絡環境的復雜性、多變性以及系統的脆弱性、開放性和易受攻擊性,決定了信息網絡安全威脅的客觀存在。當行業人員在享受著信息網絡給日常辦公帶來便利性的同時,信息網絡安全問題也日漸突出,信息網絡安全建設形勢日益嚴峻。結合地市煙草實際情況分析總結(某地市煙草信息網絡安全結構圖如下),以及筆者日常的實際工作體會,主要可以總結出當前地市煙草信息網絡安全建設還主要存在著以下幾方面問題:

(一)將信息網絡安全建設理解為單純的安全設備采購

經過多年的信息化網絡安全建設投入,一種簡單的理念容易令一些行業信息化工作從業者產生誤解,即所謂的信息網絡安全建設就是網絡安全設備的采購,只要網絡安全設備采購部署到位,信息網絡安全便高枕無憂,從一定角度來說,這種觀點并沒有錯誤,隨著信息技術的發展,日益先進強大的網絡安全設備層出不窮,人性化的操作界面也使得設備使用與配置變得不再困難,對信息網絡安全起到很好的保障。各地市煙草公司也在逐年增加著安全設備的采購數量,網絡安全隨著安全設備的增加看起來已經不再是問題。但實際情況是這樣嗎?在實際情況中我們仍然會發現,地市煙草在重視網絡安全設備采購的時卻較為忽視對網絡安全設備采購的前期規劃,導致亟需網絡設備沒有得到采購,或者采購的安全設備沒有得到很好的實施。造成重復投資及資產浪費的局面,同時設備上線實施后期的運行維護及更新升級,隨著時間的流逝,人為的懈怠與忽視,都導致購買的安全設備沒有起到最大的作用。

(二)信網絡安全建設偏重技術鉆研,忽略日常管理

信息網絡安全不能完全依賴技術手段來解決,更多的需要從信息安全日常管理上入手,畢竟信息網絡的使用者是人,只有對人的管理到位,才能保證在技術手段搭建的網絡安全保障平臺下不出現人為操作引發的漏洞。當前地市信息化工作從業者在對信息安全技術鉆研方面投以了很大的熱情,但對信息網絡安全日常管理方面卻顯得無能為力,或者說掌控能力還不夠,雖然制定并頒布了涵蓋網絡安全各方面的信息化制度,但相關制度卻沒有得到很好的貫徹執行,很多制度名存實亡,而行業各級員工良好信息網絡安全使用習慣始終沒有得到養成,信息安全問責機制得不到很好實施,同時而信息中心作為相關信息安全管理制度的制定者,受限于部門職能及自身管理水平所限,導致對制度執行的監督管理能力低下。而在信息網絡安全管理不力的情況下,致使再強大的技術防護都無法避免管理缺失形成的隱患。

(三)信息網絡安全建設重視對外防護,忽視對內防護

當前網絡安全建設更多的針對外來攻擊的防護,而忽視對內的安全防護,更多的是在網絡邊界搭設安全設備抵御從外部而來的非法入侵及非法訪問,而針對內部終端用戶的審計及跟蹤則較為缺失。根據統計結果標明,99.9%的網絡安全事件來源于網絡內部,而只有0.1%安全事件來自于外部,絕大多網絡安全事件來自于以內部客戶端為跳板進行的網絡攻擊。當企業內部存在有惡意的攻擊者,他們就能較好的規避防火墻等安全設備的安全策略,并把安全策略轉向對于他們有利的一面,對內部網絡進行攻擊。同時外部的黑客,也能通過木馬,能讓內部用戶運行他們指定的程序,操縱主機,竊取數據,這些都源于當前的信息網絡建設對來自網絡內部攻擊防護較為薄弱,同時對內部網絡準入控制把控力度做得較為不足,雖部署有桌面終端管理系統,但在相應策略部署上,沒有及時到位,而該系統特殊的技術阻斷方式,也在一定程度容易導致其阻斷率無法達到100%。

(四)網絡安全建設應急機制不健全

目前地市信息網絡安全建設更多的是重視的日常安全巡檢等日常檢查工作,但是對網絡突發事件的應急處置則較為欠缺,地市網絡安全建設應急機制建立不健全,缺乏相應網絡事故應急預案及相關演練,對突況的應變不熟練,導致出現突發的網絡安全事故時則會變得手忙腳亂,無法很好應對突發事件帶來的異常,促使事故造成的損失愈發嚴重,同時沒有良好的容災備份機制,一旦信息安全事故發生,是否能快速有效的恢復關鍵數據成為疑問。

二、針對當前網絡安全建設現狀的一些建議

針對當前地市煙草信息網絡安全建設過程中存在的問題,通過一定的分析總結,參照最新的技術規范及管理理念,以及上級的制度規定,我們試提出以下幾條改進建議,以達到全面提升信息網絡安全建設實用性、科學性、全面性、穩定性的效果,具體如下:

(一)加強網絡安全設備采購的前期規劃及合理配置實用

網絡安全設備的采購應加強前期規劃及需求分析工作,不能無目的,無原則的一味追求高新設備,當前的現狀是各地市對網絡安全的設備采購均存在著檔次及匹配性問題,存在過大及追高的弊病,形成投資浪費,同時由于項目管控能力較弱,前期規劃不足,購置的設備在配置實施后等不到很好的使用,或起不到原先預想的效果。因此要加強項目前期規劃,做好需求調研與需求分析工作,對網絡安全設備應起到的效果及采購設備級別有準確的預估,加強采購項目的整體實施管控,并重點關注設備采購后的實施上線工作,做好安全策略的制定和部署,要充分利用設備、活用設備,充分達到應起的效用,在設備正式上線運行后,要做好安全防護策略的及時更新與修訂,作好安全設備的日常巡檢工作,保證安全設備始終發揮作用,而不是上線運行一段時間后就閑置不管。通過對購置網絡安全設備活用、善用,提升資產投資價值,搭建堅固穩妥信息網絡安全環境,促進信息網絡安全建設的實用性。

(二)建立完善的信息網絡安全日常管理體系

加強網絡安全建設的日常管理工作,應以培養員工的良好的網絡安全習慣為工作重點。所謂信息網絡安全建設“三分技術,七分管理”,管理到位,信息網絡安全建設也將事半功倍。一味單純的依靠技術進行網絡安全防護,而管理上存在漏洞,再強大的技術也將一無所用。好的技術,加上完善嚴密的管理,才能確保信息網絡安全、堅固、穩妥。因此要注重建立完善信息安全管理保障體系,加強安全監管和信息安全等級保護工作,要對網絡設備的安全性和信息安全專用產品實行強制認證。同時在加強對員工日常信息安全理念培訓的同時,要與接入網內的計算機終端使用者簽訂信息安全責任狀,樹立“誰使用、誰負責”、“誰管理、誰負責”的信息安全理念,嚴格落實信息安全責任制,確保員工不敢輕易觸碰信息安全底限,養成良好信息網路安全使用習慣。通過建立全面多級信息網絡安全管理體系,增進信息網絡建設的科學性。

(三)加強信息網絡安全建設對內防護工作

地市公司目前均在互聯網出口及邊界架設了硬件防火墻等安全設備,但由于防火墻的特殊技術架構,其對內部通過防火墻外部的數據是不進行檢測的,這就導致黑客可以利用內網主機上的后門程序,建立隱蔽信道,攻破防火墻,因此其在抵御外部攻擊上起到較好作用,但面對來自網絡內部的攻擊就顯得束手無策,針對這一情況,在進行信息網絡安全建設的同時,應重點加強信息網絡安全的內部防護工作,而加強對客戶端的上網行為審計及網絡準入控制,就成了加強信息網絡內部安全建設的必然選擇。客戶端接入網絡的同時,通過對其安全狀況及授權情況進行檢測,只有安全狀況符合要求,得到合理授權的客戶端才能正常接入辦公網絡。應在互聯網出口處,防火墻之前,部署上網行為管理設備,對客戶端出互聯網的數據進行檢測及篩選,降低客戶端進行危險的互聯網訪問,感染病毒,遭受攻擊的分險。通過加強信息網絡安全建設的內部防護,提升信息網絡安全的全面性。

(四)加強信息網路安全建設應急機制建設及演練

要加強信息網絡安全建設的應急機制建設,加強應急預案的實施演練,增強對網絡安全突發事件的應急處理能力。每年應進行定期仿真度高的應急方案演練,模擬網絡安全事故發生時可能發生的情況,進行針對性演習。在方案演練前,要做好演練前期的方案策劃,演練過程的完全記錄,演練過后的總結分析工作。并以此來不斷改進現有的應急預案。同時應做好容災備份工作,進行關鍵網絡設備的冗余配置及重要數據庫的備份工作,確保發生突發事件后,能夠及時進行網絡及數據恢復工作,將突發事件帶來的影響降到最低,不過多的影響正常辦公業務的開展,確保信息網絡安全的穩定性。

四、結束語

煙草是個比較特殊的行業,在專賣體制下實行“統一領導?垂直管理?壟斷經營”,處于一種行政限產型的壟斷狀態。行業的特殊性要求我們必須克服特殊體制帶來的缺陷,高效的開展行業信息化建設工作。地市信息網絡安絡,作為全省信息網絡的組成部分,其信息安全建設水平決定了全省信息網絡安全性與穩定性,其重要性不言而喻,只有重視信息網絡安全建設,重視當前信息網絡安全建設過程中發現的問題,通過科學的規劃,合理的布局,周密的實施,去逐漸改變當前的不利局面,才能確保信息網絡安全建設的科學性、全面性、穩定性與實用性,確保日常信息網絡的平穩運轉,為全行業的快速發展提供穩定強大的信息化助力!

參考文獻:

[1]福建省煙草公司.計算機網絡建設與管理規范[Z].2012.

[2]盧昱,王宇.信息網絡安全控制[M].北京:國防工業出版社,2011.

篇6

關鍵詞:網絡信息安全狀況缺陷威脅對策建議

中圖分類號:TN711 文獻標識碼:A 文章編號:

網絡信息安全分為網絡安全和信息安全兩個層面。網絡安全包括系統安全,即硬件平臺、操作系統、應用軟件;運行服務安全,即保證服務的連續性、高效率;信息安全則是指對信息的精確性、真實性、機密性、完整性、可用性和效用性的保護。網絡信息安全是網絡賴以生存的根基,只有安全得到保障,網絡才能充分發揮自身的價值。

隨著計算機網絡技術的廣泛應用和飛速發展,計算機信息網絡已成為現代信息社會的基礎設施。它作為進行信息交流、開展各種社會活動的基礎工具,已深入到人們工作和生活當中。人類在盡情享受網絡信息帶來的巨大財富和便捷的同時,計算機網絡信息安全問題也隨之日益突出,安全問題已成為人們普遍關注的問題。

1、目前計算機網絡主要存在的缺陷:

1.1操作系統的漏洞――操作系統是一個復雜的軟件包,即使研究人員考慮的比較周密,但幾年來,發現在許多操作系統中存在著漏洞,漏洞逐漸被填補。操作系統最大的漏洞是I/O處理,I/O命令通常駐留在用戶內存空間,任何用戶在I/O操作開始之后都可以改變命令的源地址或目的地址。由于系統已進行過一次存取檢查,因此在每次每塊數據傳輸時并不再檢查,僅只改變傳輸地址。這種漏洞為黑客打開了方便之門。此外,操作系統還存在著其它漏洞。

1.2 TCP/IP協議的漏洞――TCP/IP協議應用的目的是為了在INTERNET上的應用,雖然TCP/IP是標準的通信協議。但設計時對網絡的安全性考慮的不夠完全,仍存在著漏洞。由于采用明文傳輸,在傳輸過程中攻擊者可以截取電子郵件進行攻擊,通過網頁中輸入口令或填寫個人資料也很容易劫持。另外TCP/IP協議以IP地址作為網絡節點的唯一標識,并沒有對節點上的用戶身份進行認證。這是導致網絡不安全的又一個原因。

1.3應用系統安全漏洞――WEB服務器和瀏覽器難以保障安全,最初人們引入CGI程序目的是讓主頁活起來,然而很多人在編CGI程序時對軟件包并不十分了解,多數人不是新編程序,而是對程序加以適當的修改,這樣一來,很多CGI程序就難免具有相同安全漏洞。

1.4網絡硬件的配置不協調。一是文件服務器。它是網絡的中樞,其運行穩定性、功能完善性直接影響網絡系統的質量。網絡的需求沒有引起足夠的重視,設計和選型考慮欠周密,從而使網絡功能發揮受阻,影響網絡的可靠性、擴充性和升級換代。二是網卡用工作站選配不當導致網絡不穩定。

1.5安全管理的漏洞――由于缺少網絡管理員,信息系統管理不規范,不能定期進行安全測試、檢查,缺少網絡安全監控等對網絡安全都產生威脅。

2、網絡信息安全主要面對的威脅:

2.1軟件漏洞:每一個操作系統或網絡軟件的出現都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地,一旦連接入網,將成為眾矢之的。

2.2配置不當:安全配置不當造成安全漏洞,例如,防火墻軟件的配置不正確,那么它根本不起作用。對特定的網絡應用程序,當它啟動時,就打開了一系列的安全缺口,許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置,否則,安全隱患始終存在。

2.3安全意識不強:用戶口令選擇不慎,或將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。

2.4病毒:目前數據安全的頭號大敵是計算機病毒,它是編制者在計算機程序中插入的破壞計算機功能或數據,影響計算機軟件、硬件的正常運行并且能夠自我復制的一組 計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性等 特點。因此,提高對病毒的防范刻不容緩。

2.5黑客:對于計算機數據安全構成威脅的另一個方面是來自電腦黑客(backer)。電腦黑客利用系統中的安全漏洞非法進入他人計算機系統,其危害性非常大。從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。

3、應采取的對策建議

3.1加快完善我國信息安全政策法規建設

3.1.1、進一步完善我國信息安全法律體系。適應新形勢變化,制定新的信息安全法律,規范網絡空間主體的權利和義務,尤其在打擊網絡犯罪、信息資源保護、信息資源和數據的跨國流動等方面加強立法,明確相關主體應當承擔的法律責任和義務,逐步構建起信息安全立法框架。

3.1.2、建立完善的信息安全監督管理制度體系。進一步加強信息安全等級保護工作,推進信息安全風險評估工作,建立有效的信息安全審查制度,對航空航天、石油石化、電力系統等重要領域中應用的核心技術和產品進行安全檢查和風險評估。

3.1.3、參考WTO規則制定我國信息安全行業管理規范。堅持政府引導,行業自律的原則,針對信息安全行業中個人隱私、惡意競爭等公眾比較關注的問題,加強行業管理規范和行業自律準則的制定和實施,規范信息安全企業的行為。

3.2加強我國信息安全保障體制機制建設

3.2.1、進一步加強網絡與信息安全協調小組對我國網絡安全的統一領導和協調職責,提高保障網絡安全、應對網絡犯罪、推動網絡應用和宣傳推廣等工作的協調能力,加強信息安全工作體制機制建設,建立運轉順暢、協調有力、分工合理、責任明確的信息安全管理體制。

3.2.2、逐步對各部委信息安全職能單位進行調整,打破現在各部門“分工負責、各司其職”的條塊方式,依據十“穩步推進大部制改革”的指導精神,實現對信息安全部門的整合,成立“大信息安全機構”。

3.2.3、成立國家級的信息安全支撐機構――中國信息安全研究院,整合各方信息安全支撐機構,打造集信息安全政策、法規、標準、技術、產業研究為一體的支撐團隊,形成對信息安全領域重大問題、關鍵技術的持續研究能力,提高我國信息安全產業的核心競爭力。

3.3全面提升新興技術安全風險防護能力

一是加大對云計算、移動互聯網、下一代互聯網等新興技術研發的資金投入,加強核心技術攻關,提高我國對新興技術的掌控能力,形成擁有自主知識產權的安全產業鏈條。二是加快網絡防護、入侵檢測、身份管理等信息安全關鍵技術研發,并與新興技術結合起來,提高新興技術在應用過程的安全防護能力,如在基于PKI體系的電子認證技術基礎上,研發應用于云計算、移動互聯網等新興技術上的身份管理等安全防護技術。三是建立新興技術的信息安全預警機制,成立專門的機構對新興技術的信息安全隱患進行分析和研究,并為公眾提供相關技術的使用指南或標準,對于關鍵領域或部門則應出臺強制性標準或規定,限制新興技術的使用方式和范圍,如國家應如何對掌控大量經濟、地理等關鍵領域數據的企業進行管控,限制其對相關數據的使用權限和范圍等。 結語

網絡信息安全作為一項動態工程,它的安全程度會隨著時間的變化而發生變化。在信息技術日新月異的今天,我們需要隨著時間和網絡環境的變化或技術的發展而不斷調整自身的安全策略。關于如何解決好網絡安全問題,網絡安全技術與工具是網絡安全的基礎,高水平的網絡安全技術隊伍是網絡安全的保證,嚴格的管理則是網絡安全的關鍵。我們要清醒認識到任何網絡安全和數據保護的防范措施都是有一定的限度,一勞永逸的網絡安全體系是不存在的。網絡安全需要我們每一個人的參與。

參考文獻:

【1】中國網.2009年中國電腦病毒疫情及互聯網安全報告.2009年1月.

篇7

論文關鍵詞:政府;信息安全;信息安全人事管理

隨著我國信息化建設的不斷推進以及電子政務的持續發展,政府信息安全事故也頻頻發生。

資料表明,七成以上的政府信息安全事故是由政府內部相關工作人員引發的。可見,在信息安全事件中起決定作用的是人,人是信息安全保障T作中最活躍的因素。信息安全人事管理是指以現代人力資源管理理論為基礎,從招聘選拔、人員培訓、人員使用、績效考核、人員激勵、離職管理等主要職能人手,對組織中信息安全人員進行科學管理、合理配置和有效開發,籍以實現組織信息安全管理目標的活動。信息安全人事管理是信息安全管理的核心。作為信息安全保障的一個關鍵要素,信息安全人事管理的強化實施可以為政府搭建起一道牢固的“人力防火墻”。本文將現代人力資源管理相關理論與信息安全工作特點結合起來,發掘與提煉信息安全人事管理各主要職能具有特殊性與規律性的實務要點,以期為有關方面提供借鑒和參考。

一、信息安全人員招募與選拔

招募與選拔是政府信息安全人員的“入口”,直接影響到信息安全工作的質量和效率。信息安全人員的招募與選拔實務應該把握以下要點:

1.從招募與選拔的標準上看,突出對個人品德及專業知識的要求。信息安全工作具有保密性、綜合性、層次性和規范性等特點,進而決定了信息安全從業人員具有諸多特殊性及要求:他們在工作中會接觸到關系國家及組織榮辱興衰、生死存亡的大量秘密,保守秘密是他們的基本職業道德;他們必須不斷學習,對自己的知識與能力進行“升級”,才能適應信息時代信息安全工作的需要;他們必須遵守更多的規定,而且在組織中具有明確的職責,不能越雷池半步。這些都表明,信息安全人員必須具有更高的品德修養。這對應聘者提出更高的標準及要求:必須具有很強的組織紀律性和保密意識;具有很強的團隊意識和合作精神,愿意為組織利益犧牲個人利益;具有長遠眼光和接納新事物的胸懷,不斷更新自身素質。組織可以通過面試、心理測驗、背景審查等選拔方式考察應聘者的德行。此外,管理與技術是做好信息安全工作的兩大法寶,因此是否具備一定的信息安全管理與技術專業知識是信息安全人員招聘的另外一個主要標準。組織可以通過筆試來考察應聘者專業知識掌握的程度,并根據職位的不同定位來確定不同的考察重點。

2.從招募的途徑上看,在內部招募和外部招募相結合的基礎上,突出內部招募。內部招募是指從組織內部發現并培養所需要的各種人才,其方式包括內部晉升、崗位輪換和返聘等;外部招募是指按照一定的標準和程序,從組織外部的眾多候選人中挑選符合空缺職位要求的人員,其方式包括人才招聘會與校園招聘等。內部招募和外部招募各有優劣,兩者結合起來可使招募效果最大化。由于信息安全工作的保密性要求,信息安全人員招募一般突出依賴內部招募,這主要是為了人員安全可靠的考慮,確保信息安全人員的穩定性。信息安全關鍵或領導職位出現空缺尤為如此。不過,由于當前我國政府信息安全人才仍舊匱乏,所以當內部招募滿足不了組織用人需求時也適當考慮外部招募。招募非關鍵性信息安全人員時尤為如此。

3.從選拔的過程上看,尤為重視背景審查和保密協議簽訂兩個環節。一般單位選拔人員可能也進行背景審查,但不一定是必須的,或者審查的過程與結果不一定非常嚴格與仔細。與之不同的是,信息安全人員的選拔尤為重視背景審查這個環節。該環節不僅不可或缺,而且在審查的時間、內容、過程、結果等方面比一般人員審查有更高的要求。其意義在于保證信息安全人員招聘的準確性與可靠性,并在“人口”或“源頭”上控制信息安全人事風險。例如,美國中央情報局聯邦調查局等部門在選拔關鍵涉密人員過程中經常采用“心理測謊術”等高科技手段來對候選人進行審查,以確定候選人的誠實度、心理健康度或意志力等。此外,一旦候選人接受了工作,錄用合同就成為重要的安全手段。在合同中,組織可以將“政策認可”作為招聘的一個基本要求即在合同中附上一個保密協議,要求候選人在將來的工作甚至離職后的一段時間中,必須遵守組織相關保密規定,擔負起保障組織信息安全的責任,否則就會

二、信息安全人員培訓

信息安全人員培訓是通過各種方式幫助信息安全人員習得相關的知識、技能、觀念和態度的學習過程以及開發其潛能的各種活動。其實務要點包括:

1.從培訓原則看,堅持保密性原則和適時性原則。保密性原則是指信息安全人員的培訓要做好保密工作,特別是對于培訓內容、時間和地點等,不可隨意泄露,以免引起不必要的麻煩。此外,適時性原則主要是為了順應當前信息安全科技發展迅猛、更新換代速度加快而提出來的。信息安全人員培訓只有遵循適時性原則,才能使信息安全人員跟蹤本領域科技發展最新動態,掌握最先進的知識與技能,以防止思想觀念陳舊與知識技能老化。

2.從培訓內容看,側重于信息安全意識與信息安全知識與技能培訓。高度的信息安全意識是信息安全人員必須具備的基本素質。信息安全意識貫穿于員工工作的始終,但是工作時間越長員工大多會出現倦怠,信息安全意識便會降低逐漸放松警惕,信息安全風險隨之倍增,所以加大信息安全意識培訓力度勢在必行。政府可以使用各種媒介進行宣傳,包括鼠標墊、水杯、鋼筆或在工作期間經常使用的任何物體上,在這些物體上印制上安全標語,用來提醒員工注意安全如在鼠標墊上印上“BeSafe:Think BethreYouClick”,使信息安全人員在每天工作時都最先考慮信息安全,樹立自覺維護信息安全的意識。此外,信息安全行業的綜合性使得組織必須根據學用一致的原則,加強對信息安全人員進行信息安全知識與技能的培訓。只有不斷給員工“輸入”新觀念、新知識與新技術,使其掌握信息安全的基本原理、要求和慣例,才能提高其技術與管理水平。

三、信息安全人員使用

信息安全人員使用是指組織通過各種人事政策,促使信息安全人員與信息安全工作兩者之間實現“人事相宜”、“人職匹配”等,以保障組織信息安全。信息安全人員使用實務要點是:

1.堅持責任分離和可監控原則。責任分離是一種控制機制,用來減少一個人破壞信息安全,

威脅到信息的機密性、完整性和可用性的機會。其具體要求是:(1)明確信息安全系統中每個人的職責,要求“誰管理,誰負責”;(2)關鍵崗位的人員不得再兼任其他職位,嚴格控制使用兼職人員;(3)避免一個人從事某項信息安全行為或保管組織所有安全信息;(4)堅持崗位輪換原則,確保一個員工的工作有另一個員工進行審核;(5)重要的任務有兩人以上共同完成。此外,可監控原則是對責任分離原則的量化,使組織能夠對信息安全人員的工作內容進行監督,進行明確的審查。其具體要求包括:每位員工對所有的相關操作做好記錄,以便核查;重要的更改活動如更改配置,更新信息系統等,必須按層級權限申報,獲得批準后方可實施;沒有日期、沒有內容、沒有人簽署而無法追查的活動,必須嚴格禁止。而且,由于員工非工作時間的種種表現也會影響信息安全,因此除了對員工在工作時間的表現進行監督,還必須掌握其非工作時間的一些異常表現。

2.防范信息安全人事風險。信息安全人事風險是指由于組織內信息安全人員的行為偏離組織期望和目標或違背客觀規律、越軌等給組織信息安全造成的損失或危害。它主要是由于信息安全人員的使用不當而導致破壞計算機系統、越權處理公務等所造成的危害。人是信息安全中最活躍的因素,因此預防由人為因素導致的信息安全風險是信息安全人事風險防范的重中之重。政府可以采取以下措施防范信息安全人事風險:首先通過培訓等方式,提高信息安全人員對信息安全人事風險的認識,增強防范意識;其次,健全人事管理周邊制度,如督察制度、處理與反饋制度、懲罰制度、反饋制度等,以實現對信息安全人事風險的全過程監控。第,大力建設以人為本、誠實守信等有利于防范人事風險的文化氛圍,提高信息安全人員的免疫力。

四、信息安全人員績效考核

信息安全人員績效考核是指按照事先確定的信息安全工作目標及衡量標準,考察信息安全人員實際完成工作情況的過程??冃Э己说慕Y果是組織進行人事決策的基本依據。信息安全人員績效考核是確保人員安全的有效手段,并可以幫助員工提高工作績效,促進員工和組織共同發展。它包括以下實務要點:

1.從績效考核的原則上看,堅持重點考核與分級分類考核相結合。重點考核是指對于那些涉密程度深、安全等級高的關鍵崗位的人員定期進行考核。其目的在于保證重點崗位的重要信息安全。分級分類考核是按照組織中對于安全保護等級的劃分,制定不同的考核方法,有針對性地進行考核。2007年我國臺的《信息安全等級保護管理辦法》將信息安全分五級防護:第一級為自主保護級,第二級為指導保護級,第級為監督保護級,第四級為強制保護級,第五級為??乇Wo級。很明顯,處于不同等級中的信息安全人員的職責與涉密程度是不一樣的,加上不同崗位上不同類型的人員,如系統主管人員、數據錄入人員、程序員等職責和要求也不同,岡此有必要遵循分級分類原則,避免“一刀切”的做法。

受到處罰。候選人只有在保密協議上簽字,承諾遵守相關政策,組織才能錄用。

二、信息安全人員培訓

信息安全人員培訓是通過各種方式幫助信息安全人員習得相關的知識、技能、觀念和態度的學習過程以及開發其潛能的各種活動。其實務要點包括:

1.從培訓原則看,堅持保密性原則和適時性原則。保密性原則是指信息安全人員的培訓要做好保密工作,特別是對于培訓內容、時間和地點等,不可隨意泄露,以免引起不必要的麻煩。此外,適時性原則主要是為了順應當前信息安全科技發展迅猛、更新換代速度加快而提出來的。信息安全人員培訓只有遵循適時性原則,才能使信息安全人員跟蹤本領域科技發展最新動態,掌握最先進的知識與技能,以防止思想觀念陳舊與知識技能老化。

2.從培訓內容看,側重于信息安全意識與信息安全知識與技能培訓。高度的信息安全意識是信息安全人員必須具備的基本素質。信息安全意識貫穿于員工工作的始終,但是工作時間越長員工大多會出現倦怠,信息安全意識便會降低逐漸放松警惕,信息安全風險隨之倍增,所以加大信息安全意識培訓力度勢在必行。政府可以使用各種媒介進行宣傳,包括鼠標墊、水杯、鋼筆或在工作期間經常使用的任何物體上,在這些物體上印制上安全標語,用來提醒員工注意安全如在鼠標墊上印上“BeSafe:Think BethreYouClick”,使信息安全人員在每天工作時都最先考慮信息安全,樹立自覺維護信息安全的意識。此外,信息安全行業的綜合性使得組織必須根據學用一致的原則,加強對信息安全人員進行信息安全知識與技能的培訓。只有不斷給員工“輸入”新觀念、新知識與新技術,使其掌握信息安全的基本原理、要求和慣例,才能提高其技術與管理水平。

三、信息安全人員使用

信息安全人員使用是指組織通過各種人事政策,促使信息安全人員與信息安全工作兩者之間實現“人事相宜”、“人職匹配”等,以保障組織信息安全。信息安全人員使用實務要點是:

1.堅持責任分離和可監控原則。責任分離是一種控制機制,用來減少一個人破壞信息安全,

威脅到信息的機密性、完整性和可用性的機會。其具體要求是:(1)明確信息安全系統中每個人的職責,要求“誰管理,誰負責”;(2)關鍵崗位的人員不得再兼任其他職位,嚴格控制使用兼職人員;(3)避免一個人從事某項信息安全行為或保管組織所有安全信息;(4)堅持崗位輪換原則,確保一個員工的工作有另一個員工進行審核;(5)重要的任務有兩人以上共同完成。此外,可監控原則是對責任分離原則的量化,使組織能夠對信息安全人員的工作內容進行監督,進行明確的審查。其具體要求包括:每位員工對所有的相關操作做好記錄,以便核查;重要的更改活動如更改配置,更新信息系統等,必須按層級權限申報,獲得批準后方可實施;沒有日期、沒有內容、沒有人簽署而無法追查的活動,必須嚴格禁止。而且,由于員工非工作時間的種種表現也會影響信息安全,因此除了對員工在工作時間的表現進行監督,還必須掌握其非工作時間的一些異常表現。

2.防范信息安全人事風險。信息安全人事風險是指由于組織內信息安全人員的行為偏離組織期望和目標或違背客觀規律、越軌等給組織信息安全造成的損失或危害。它主要是由于信息安全人員的使用不當而導致破壞計算機系統、越權處理公務等所造成的危害。人是信息安全中最活躍的因素,因此預防由人為因素導致的信息安全風險是信息安全人事風險防范的重中之重。政府可以采取以下措施防范信息安全人事風險:首先通過培訓等方式,提高信息安全人員對信息安全人事風險的認識,增強防范意識;其次,健全人事管理周邊制度,如督察制度、處理與反饋制度、懲罰制度、反饋制度等,以實現對信息安全人事風險的全過程監控。第,大力建設以人為本、誠實守信等有利于防范人事風險的文化氛圍,提高信息安全人員的免疫力。

四、信息安全人員績效考核

信息安全人員績效考核是指按照事先確定的信息安全工作目標及衡量標準,考察信息安全人員實際完成工作情況的過程??冃Э己说慕Y果是組織進行人事決策的基本依據。信息安全人員績效考核是確保人員安全的有效手段,并可以幫助員工提高工作績效,促進員工和組織共同發展。它包括以下實務要點:

1.從績效考核的原則上看,堅持重點考核與分級分類考核相結合。重點考核是指對于那些涉密程度深、安全等級高的關鍵崗位的人員定期進行考核。其目的在于保證重點崗位的重要信息安全。分級分類考核是按照組織中對于安全保護等級的劃分,制定不同的考核方法,有針對性地進行考核。2007年我國臺的《信息安全等級保護管理辦法》將信息安全分五級防護:第一級為自主保護級,第二級為指導保護級,第級為監督保護級,第四級為強制保護級,第五級為??乇Wo級。很明顯,處于不同等級中的信息安全人員的職責與涉密程度是不一樣的,加上不同崗位上不同類型的人員,如系統主管人員、數據錄入人員、程序員等職責和要求也不同,岡此有必要遵循分級分類原則,避免“一刀切”的做法。

2.從績效考核的內容上看,突出考核信息安全人員的道德品質與工作事故情況,而且不僅考核工作時間內的表現,也考核工作時間外的表現。一般的組織在員工進行績效考核時,多依據“事后”的工作結果及業績,業績高則評價高,業績低則評價低。但是信息安全這一行業具有其特殊性,單純以“事后”的結果與業績作為考核標準,難免會在組織內出現業績高、品德低以及不重視過程的人員,進而存組織內埋下安全隱患,因此應突出考核信息安全人員在工作過程中所表現出來的道德品質、心理素質、忠誠度等。這些素質是一個人的行為指向標,決定一個人的行為方向,其一般標準是責任心強、遵守職業道德、具有進取精神、作風正派、遵紀守法等。而且,由于信息安全工作對安全性要求明顯,岡此還要突出考核信息安全人員存工作過程中是否能恪盡職守,有無工作事故的發生。另外,必須通過日??己苏莆招畔踩ぷ魅藛T工作時間外的表現,包括是否存在隨便與人交往問題,家庭關系是否和諧,生活作風是否正常,以及非工作行為是否怪異等等。

3.從績效考核的期間看,以平時考核為主。信息安全人員的工作由于涉及到安全問題,因此不能像一般丁作人員那樣以年終考核為主,而應突出平時考核以實現日常監控,并達到天天、時時、秒秒不安全問題。基于此,信息安全人員績效考核可實施“月考”、“周考”,甚至“日考”,可以說,考核時間越短越有利于確保安全。安全問題無小事,若不重視平時考核,由此引發的哪怕是一眨眼功夫發生的事故,也有可能導致組織在安全上“功虧一簣”、“全盤皆輸”??己酥芷诙屉m然做起來麻煩,但“安全問題高于一切”,只要有利于保障信息安全,工作上“麻煩”一點是值得的。

五、信息安全人員激勵

信息安全人員激勵的關鍵是調動工作積極性,激發信息安全人員的潛能去實現工作目標,實務要點包括:

1.重視滿足歸屬、人際交往與尊重的需要。內容型激勵理論認為,組織滿足員工的歸屬、人際交往與尊重等需要可以激勵員工努力工作。而信息安全人員,特別是關鍵涉密人員的工作基本上是單調、枯燥、責任重大的,他們經常需要長時間值班或加班,長期處于全封閉或半封閉式的環境中,在單位及花在工作上的時間要比常人多得多,生活及社交空間相對狹小,所以組織更要設法滿足其歸屬、人際交往與尊重的需要,而這主要依靠在單位及崗位上與領導或同事之間的相互溝通與關愛中得以實現。因此,組織必須創設關系融洽、和諧的工作氛圍,建立良好的上下級與同事關系,多關心、愛護、支持信息安全人員,以滿足他們歸屬等需要,激發他們的工作積極性。

2.強化目標激勵。過程型激勵理論認為,明確而可行的工作目標可以牽引員工積極付出行動以實現目標。由于信息安全工作責任重、壓力大,同時又相對封閉與單調,容易導致信息安全人員產生工作倦怠和目標迷失等不良現象,進而影響到他們職業發展與組織目標的實現。對此,應幫助信息安全人員樹立合理可行的工作目標,特別要通過引導他們認識到自己所從事工作的光榮與神圣,進而激勵他們努力干好信息安全工作,以此獲得職業發展與心理滿足等。

六、信息安全人員離職管理

篇8

在本人參加工作半年多時間來,受到領導和各位前輩多方面的關心和照顧,在工作上亦受到了無微不至的指導,幫助我快速的勝任崗位。

風險管理部是負責**支行全面風險管理政策的落實,監測、評價和控制的綜合管理部門,是風險和內控的日常管理職責部門。本人任職的綜合統計崗,主要負責對本行信貸資產風險狀況和風險分類的統計、分析和管理;負責全行信貸數據動態管理、分析。

在實際工作中,本人主要完成以下幾個方面的:信貸手工臺帳的錄入與核對,對實際發生的信貸業務明細進行動態掌控、分析和管理,以便于及時準確的獲得各項信貸統計數據;對**支行運行的老信貸系統進行維護和管理,對各部辦錄入的數據及報表進行統計及分析;提供**行各項信貸資產數據及明細,完成四級分類和五級分類的統計工作和分析工作;月度為行領導以及計財處、公司部、個金部提供同業經營情況的詳細數據;月度、季度、年度,獨立的或配合辦公室、計財處等部門對外提供各項信貸數據報表。此外,我行新設了信息安全員一崗,本人即任風險管理部信息安全員,負責部門電腦網絡信息安全的維護。

進入**銀行半年多時間來,在領導和前輩的關心照顧下,本人抱著謙虛好學的態度努力工作,積極學習業務知識、掌握操作技能、適應工作崗位,基本能較好的完成本職工作和領導交辦的其他工作。本人是剛畢業的理科本科學生,踏上工作崗位接觸全新的銀行工作,面臨著全新的挑戰,這個過程不僅是專業的換位,更是一種思考方式和學習方法的換位,在綜合統計崗位上,領導和前輩的關心指導使本人認識到,嚴謹的態度、正確的方法、積極的溝通、努力的思考,才能獲得最準確的統計數據和最高的工作效率。也正是銀行業這種對我而言全新的工作,提供給我一個全新的學習機會,在**優良的成長環境下使我能夠養成在每一天的工作生活中不斷學習和獲取新的知識,努力了解銀行業、金融業的運行規律,把所學所悟的點點滴滴運用到實際工作崗位工作中。

篇9

在本人參加工作半年多時間來,受到領導和各位前輩多方面的關心和照顧,在工作上亦受到了無微不至的指導,幫助我快速的勝任崗位。

風險管理部是負責支行全面風險管理政策的落實,監測、評價和控制的綜合管理部門,是風險和內控的日常管理職責部門。本人任職的綜合統計崗,主要負責對本行信貸資產風險狀況和風險分類的統計、分析和管理;負責全行信貸數據動態管理、分析。

在實際工作中,本人主要完成以下幾個方面的:信貸手工臺帳的錄入與核對,對實際發生的信貸業務明細進行動態掌控、分析和管理,以便于及時準確的獲得各項信貸統計數據;對支行運行的老信貸系統進行維護和管理,對各部辦錄入的數據及報表進行統計及分析;提供行各項信貸資產數據及明細,完成四級分類和五級分類的統計工作和分析工作;月度為行領導以及計財處、公司部、個金部提供同業經營情況的詳細數據;月度、季度、年度,獨立的或配合辦公室、計財處等部門對外提供各項信貸數據報表。此外,我行新設了信息安全員一崗,本人即任風險管理部信息安全員,負責部門電腦網絡信息安全的維護。

進入銀行半年多時間來,在領導和前輩的關心照顧下,本人抱著謙虛好學的態度努力工作,積極學習業務知識、掌握操作技能、適應工作崗位,基本能較好的完成本職工作和領導交辦的其他工作。本人是剛畢業的理科本科學生,踏上工作崗位接觸全新的銀行工作,面臨著全新的挑戰,這個過程不僅是專業的換位,更是一種思考方式和學習方法的換位,在綜合統計崗位上,領導和前輩的關心指導使本人認識到,嚴謹的態度、正確的方法、積極的溝通、努力的思考,才能獲得最準確的統計數據和最高的工作效率。也正是銀行業這種對我而言全新的工作,提供給我一個全新的學習機會,在優良的成長環境下使我能夠養成在每一天的工作生活中不斷學習和獲取新的知識,努力了解銀行業、金融業的運行規律,把所學所悟的點點滴滴運用到實際工作崗位工作中。

篇10

分拆,是為了更好地專注

對于賽門鐵克來說,分拆出來的是其2004年以135億美元高價收購的Veritas,現在又將其分拆出來的原因是什么?“最重要的原因是安全與存儲領域的業務重點的分割越來越明顯,收購之后影響了兩部分業務各自的專注?!泵氛罡嬖V本報記者。 賽門鐵克公司亞太區大客戶部副總裁兼大中華區總裁梅正宇

收購Veritas之前的賽門鐵克是安全行業的領頭羊,但時任CEO John W. Thompson認為,未來安全將不會獨立存在,而會成為更大的存儲和數據管理市場中的組成部分。按照John W. Thompson的規劃,公司通過整合賽門鐵克的安全產品和Veritas的信息備份、歸檔和存儲產品來搶占更多的市場。在實踐中,賽門鐵克也為此做出了努力,比如在郵件歸檔系統中融入安全,從存儲層面防御僵尸網絡威脅等。然而,隨著IT技術的發展,無論是信息安全還是信息管理業務部門都面臨著獨有的機遇和挑戰,對于賽門鐵克而言,應對兩個行業需要完全不同的戰略和投資。在這樣的背景下,賽門鐵克董事會決定了拆分計劃。

“拆分之后,賽門鐵克和Veritas會更加專注于各自擅長的領域,針對獨有的增長機遇進行研發和產品部署。其次,兩部分業務獨立也會簡化企業架構和運營復雜程度,使客戶更容易與我們進行合作。第三,兩家公司也會進一步加強各自的戰略靈活性,包括資本的重新分配政策、新合作伙伴政策等,為客戶帶來更加針對他們需求的產品和服務。”梅正宇表示。

專注迎來增長

“分拆后的新賽門鐵克將重新回到‘安全’這個核心業務上來,這意味著我們所有的研發、服務,包括所有的市場策略都會圍繞安全來展開?!泵氛钫f。

今年4月份,梅正宇正式接手賽門鐵克大中華地區的安全業務。隨后經過一個多月的緊張和忙碌,如今這個團隊已經到位,市場戰略也已經基本清晰。梅正宇說,分拆帶來的實際效果已經開始顯現,重新專注安全之后迎來了業務的明顯增長。

梅正宇透露,賽門鐵克未來的安全產品將會基于一個統一的平臺上――統一安全分析平臺。賽門鐵克將會基于它對現有的產品進行整合,并重點開發威脅防護和信息防護領域的產品及解決方案。此外,網絡安全服務也將從傳統的監測服務擴展到事故響應、安全模擬和威脅情報分析等。梅正宇介紹說,威脅防護、信息防護和網絡安全服務都會基于統一安全分析平臺,為客戶提供最及時的安全情報以及最佳的防御措施。

其次,賽門鐵克在產品研發上也會從數據中心向云、移動方面傾斜。梅正宇介紹說,現在賽門鐵克要做的是充分發揮最全產品線以及覆蓋全球的數據智能網絡等優勢,進一步整合產品。他特別強調,未來整合的不止是賽門鐵克的產品,也包括第三方的產品。

中國是賽門鐵克的戰略市場

專注的另一個好處是可以更好地與合作伙伴配合,深化賽門鐵克與中國本地合作伙伴的合作,以更好地服務于客戶,為客戶創造價值。梅正宇說,憑借全球資源和對本土市場的深入了解,新賽門鐵克在渠道政策上會更有針對性,也更具體,這在過去是比較難做到的。此外,賽門鐵克也將在各個地區繼續推動市場和用戶對信息安全的認知和保護意識,并針對信息安全相關領域開展培訓。

梅正宇表示,中國是賽門鐵克最重要的戰略市場之一,是公司一直以來和在未來繼續發展的重點區域。 除了在中國市場提供全面的解決方案和完善的安全服務之外,當下的重點之一是加大市場的覆蓋力度,一方面要開發更多的大客戶,另一方面要針對中小企業和二線城市,與合作伙伴共同探索更多模式、搶占更多的市場。

“作為一個跨國公司,多年來賽門鐵克在安全行業建立起自己的核心競爭力,我們擁有業界最全的產品線和全球最大的數據智能網絡之一,能夠提供重要的全球范圍內的威脅數據與分析,從而在應對網絡犯罪、抵御復雜的互聯網安全威脅和其他安全風險中發揮出核心作用?!泵氛罾^續表示,“同時,我們還擁有一直扎根安全的人才隊伍以及品牌優勢,這都是我們未來贏得市場的基礎。根據賽門鐵克最新的財報預測,2016財年第一財季及2016財年業績將實現兩位數增長。只要我們專注,我們的整合優勢就能夠充分發揮出來,市場份額也會隨之增長?!?/p>

采訪手記

梅正宇:安全行業更有挑戰也更有成就感

梅正宇在去年11月份正式進入賽門鐵克,此時賽門鐵克已經明確要拆分。顯然,梅正宇是準備接受新挑戰而進入賽門鐵克的。在采訪中,梅正宇也坦言他喜歡這份工作的挑戰性,也很享受為客戶提供安全服務后帶給自己的成就感,這是之前的工作經歷中所沒有的。

實際上,對梅正宇以及賽門鐵克而言,挑戰的確不小。首先是當下的IT環境發生了很大變化,特別是PC市場疲軟。根據Gartner 6月份公布的數據,2014年全球安全軟件收益總額達214億美元,相比2013年增長了5.3%,但終端防護平臺與消費類安全軟件收益雙雙下滑(兩者共占據39%的市場總額)。而這正是賽門鐵克的傳統領地。