信息安全管理論文范文
時間:2023-03-25 08:23:21
導語:如何才能寫好一篇信息安全管理論文,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。
篇1
1.1崗位人員安全意識薄弱
崗位人員隨便下載安裝個人需要的軟件程序,往往會在安裝軟件的過程中直接將一些安裝程序中附帶的插件也裝在了操作系統中,如果是惡性插件,必然會造成系統的不穩定,嚴重者甚至會造成信息安全事件的發生,這些事件的發生很大程度上就是因為崗位人員安全意識薄弱所造成的。安全意識薄弱的因素有很多,一是相關技術部門沒有長期的進行圖書館信息安全意識的思想灌輸;二是崗位人員本身對信息安全意識重視不夠。
1.2人員安全管理制度不完善,執行力不高
制度的制定給予管理提供依據,無制度便無章可循,相關工作就會混亂無章。雖然多數高職院校圖書館在人員安全管理方面都制定了相關的管理制度,但制度的內容不夠完善,很多細節問題不夠全面,甚至只是“白紙黑字”而已,形同虛設,而且執行起來也不夠徹底,執行力不高。這大多數高職院校尤其是民辦性質的高職院校圖書館都普通存在這樣的現象。
2人員安全管理策略
要解決人員安全管理不當帶來的信息安全問題,必須要比較全面地完善人員安全方面的管理制度,提高執行力。具體策略如下:
2.1技術人員崗位分工協作
對于技術人員充足的高職院校圖書館,可以將技術人員劃分為三個崗位:硬件安全人員、軟件安全人員和網絡數據人員。根據圖書館的實際情況出發,將這三類技術人員進行分工協作,日常工作中完成各自崗位上的職責。具體劃分可以參考附表。
2.2崗位人員安全管理
2.2.1崗位人員的聘用審核
大多數圖書館都會每年進行一次崗位人員的招聘,因此,每年崗位人員的聘用必須經過嚴格的政審并且考核其業務能力,尤其是安全保密方面的能力。對于信息安全意識強的,工作業務能力高的,要擇優錄取。嚴格的聘用審核可以將一些毫無信息安全意識的聘用人員扼殺在圖書館外。
2.2.2崗位人員工作機使用限制
保障圖書館數字信息的全面安全與崗位人員是否正確使用工作機有很大的關系,不法黑客就是利用非技術人員亂下載亂安裝插件的陋習造成的系統漏洞進行系統的攻擊。根據各館的實際工作需要,可以對工作機的使用作必要的使用說明,例如可以這樣限制:①不得隨意下載安裝存在安全隱患的插件或其他與圖書館工作無關的軟件,例如:證券軟件、視頻軟件等。②不得隨意瀏覽不安全不健康的網頁;③如有需要安裝工作需要的軟件,須聯系技術人員為其下載安全;④遇到信息管理系統客戶端無法正常使用的情況,不要自行卸載或重裝,須聯系技術人員解決問題;⑤其他的一些使用原則。
2.2.3崗位人員安全意識培訓
信息安全意識對于信息至上的圖書館而言是非常重要的,如果崗位人員都安全意識高,完全可以避免很多信息安全事件的發生。安全培訓可以根據圖書館制定信息安全培訓制度與培訓計劃,有針對性地有重點地定時對不同崗位的工作人員進行培訓。例如:X館在每個學期末的全館學期工作總結會議上,信息技術部主任都會對全館的工作人員進行迫切高度強調信息安全意識的重要性。
2.2.4崗位人員功能賬號統一管理
圖書館信息管理系統包括編目、流通、期刊、系統管理、檢索、采訪等幾個子功能系統,不同崗位的工作人員擁有相應的子系統功能賬號。為了保證數字信息的安全,崗位人員功能賬號的使用必須統一由相關部門(信息技術部)分配管理,提出有效的管理分配原則,例如:一個崗位人員只能擁有該崗位的功能賬號,不得擁有其他崗位的功能賬號;對于某些崗位人員有業務工作需求,需要其他崗位的功能賬號,可以設置多個公共功能賬號提供使用,需求者必須向信息技術部門提出申請;新進的崗位人員需向信息技術部相關工作人員申請賬號;崗位人員需要修改賬號或密碼,必須向技術部相關工作人員提出需求給予修改。
2.3讀者用戶安全管理
圖書館的信息是為讀者用戶服務的,信息訪問量最大的群體就是讀者用戶,讀者用戶是否安全訪問也直接影響著信息管理系統的信息安全。因此,圖書館有必要采取有效措施,制定確實可行的讀者用戶安全訪問管理制度,確保讀者用戶訪問圖書館信息的安全。可以通過以下方式提高讀者的信息安全意識:①每年新生入學,圖書館可以通過開展新生入館教育的形式對新生讀者進行信息安全意識的提高,通過用戶安全培訓,提高用戶安全意識,使其自覺遵守安全制度。②通過網絡宣傳、現場海報宣傳,小冊子派發宣傳、講座演講宣傳等形式對讀者長期進行信息安全意識的宣傳,提升讀者的信息素養,讓讀者掌握簡單有效的病毒攻擊防護技巧。
3結束語
篇2
隨著寬帶網絡和用戶規模的不斷增長,用戶對寬帶接入業務的高可用性要求不斷增強,對電信運營商在IP城域、接入網絡和支撐系統提出了更高的安全性要求。本文從信息安全管理的理念、方法學和相關技術入手,結合電信IP城域網,提出電信IP城域網安全管理、風險評估和加固的實踐方法建議。
關鍵字(Keywords):
安全管理、風險、弱點、評估、城域網、IP、AAA、DNS
1信息安全管理概述
普遍意義上,對信息安全的定義是“保護信息系統和信息,防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏,保證信息系統能夠連續、可靠、正常的運行”。所以說信息安全應該理解為一個動態的管理過程,通過一系列的安全管理活動來保證信息和信息系統的安全需求得到持續滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。
信息安全管理的本質,可以看作是動態地對信息安全風險的管理,即要實現對信息和信息系統的風險進行有效管理和控制。標準ISO15408-1(信息安全風險管理和評估規則),給出了一個非常經典的信息安全風險管理模型,如下圖一所示:
圖一信息安全風險管理模型
既然信息安全是一個管理過程,則對PDCA模型有適用性,結合信息安全管理相關標準BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT(計劃-實施與部署-監控與評估-維護和改進)的循環過程。
圖二信息安全體系的“PDCA”管理模型
2建立信息安全管理體系的主要步驟
如圖二所示,在PLAN階段,就需要遵照BS7799等相關標準、結合企業信息系統實際情況,建設適合于自身的ISMS信息安全管理體系,ISMS的構建包含以下主要步驟:
(1)確定ISMS的范疇和安全邊界
(2)在范疇內定義信息安全策略、方針和指南
(3)對范疇內的相關信息和信息系統進行風險評估
a)Planning(規劃)
b)InformationGathering(信息搜集)
c)RiskAnalysis(風險分析)
uAssetsIdentification&valuation(資產鑒別與資產評估)
uThreatAnalysis(威脅分析)
uVulnerabilityAnalysis(弱點分析)
u資產/威脅/弱點的映射表
uImpact&LikelihoodAssessment(影響和可能性評估)
uRiskResultAnalysis(風險結果分析)
d)Identifying&SelectingSafeguards(鑒別和選擇防護措施)
e)Monitoring&Implementation(監控和實施)
f)Effectestimation(效果檢查與評估)
(4)實施和運營初步的ISMS體系
(5)對ISMS運營的過程和效果進行監控
(6)在運營中對ISMS進行不斷優化
3IP寬帶網絡安全風險管理主要實踐步驟
目前,寬帶IP網絡所接入的客戶對網絡可用性和自身信息系統的安全性需求越來越高,且IP寬帶網絡及客戶所處的信息安全環境和所面臨的主要安全威脅又在不斷變化。IP寬帶網絡的運營者意識到有必要對IP寬帶網絡進行系統的安全管理,以使得能夠動態的了解、管理和控制各種可能存在的安全風險。
由于網絡運營者目前對于信息安全管理還缺乏相應的管理經驗和人才隊伍,所以一般采用信息安全咨詢外包的方式來建立IP寬帶網絡的信息安全管理體系。此類咨詢項目一般按照以下幾個階段,進行項目實踐:
3.1項目準備階段。
a)主要搜集和分析與項目相關的背景信息;
b)和客戶溝通并明確項目范圍、目標與藍圖;
c)建議并明確項目成員組成和分工;
d)對項目約束條件和風險進行聲明;
e)對客戶領導和項目成員進行意識、知識或工具培訓;
f)匯報項目進度計劃并獲得客戶領導批準等。
3.2項目執行階段。
a)在項目范圍內進行安全域劃分;
b)分安全域進行資料搜集和訪談,包括用戶規模、用戶分布、網絡結構、路由協議與策略、認證協議與策略、DNS服務策略、相關主機和數據庫配置信息、機房和環境安全條件、已有的安全防護措施、曾經發生過的安全事件信息等;
c)在各個安全域進行資產鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析,形成資產表、威脅評估表、風險評估表和風險關系映射表;
d)對存在的主要風險進行風險等級綜合評價,并按照重要次序,給出相應的防護措施選擇和風險處置建議。
3.3項目總結階段
a)項目中產生的策略、指南等文檔進行審核和批準;
b)對項目資產鑒別報告、風險分析報告進行審核和批準;
c)對需要進行的相關風險處置建議進行項目安排;
4IP寬帶網絡安全風險管理實踐要點分析
運營商IP寬帶網絡和常見的針對以主機為核心的IT系統的安全風險管理不同,其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風險管理的方法和資料。在項目執行的不同階段,需要特別注意以下要點:
4.1安全目標
充分保證自身IP寬帶網絡及相關管理支撐系統的安全性、保證客戶的業務可用性和質量。
4.2項目范疇
應該包含寬帶IP骨干網、IP城域網、IP接入網及接入網關設備、管理支撐系統:如網管系統、AAA平臺、DNS等。
4.3項目成員
應該得到運營商高層領導的明確支持,項目組長應該具備管理大型安全咨詢項目經驗的人承擔,且項目成員除了包含一些專業安全評估人員之外,還應該包含與寬帶IP相關的“業務與網絡規劃”、“設備與系統維護”、“業務管理”和“相關系統集成商和軟件開發商”人員。
4.4背景信息搜集:
背景信息搜集之前,應該對信息搜集對象進行分組,即分為IP骨干網小組、IP接入網小組、管理支撐系統小組等。分組搜集的信息應包含:
a)IP寬帶網絡總體架構
b)城域網結構和配置
c)接入網結構和配置
d)AAA平臺系統結構和配置
e)DNS系統結構和配置
f)相關主機和設備的軟硬件信息
g)相關業務操作規范、流程和接口
h)相關業務數據的生成、存儲和安全需求信息
i)已有的安全事故記錄
j)已有的安全產品和已經部署的安全控制措施
k)相關機房的物理環境信息
l)已有的安全管理策略、規定和指南
m)其它相關
4.5資產鑒別
資產鑒別應該自頂向下進行鑒別,必須具備層次性。最頂層可以將資產鑒別為城域網、接入網、AAA平臺、DNS平臺、網管系統等一級資產組;然后可以在一級資產組內,按照功能或地域進行劃分二級資產組,如AAA平臺一級資產組可以劃分為RADIUS組、DB組、計費組、網絡通信設備組等二級資產組;進一步可以針對各個二級資產組的每個設備進行更為細致的資產鑒別,鑒別其設備類型、地址配置、軟硬件配置等信息。
4.6威脅分析
威脅分析應該具有針對性,即按照不同的資產組進行針對性威脅分析。如針對IP城域網,其主要風險可能是:蠕蟲、P2P、路由攻擊、路由設備入侵等;而對于DNS或AAA平臺,其主要風險可能包括:主機病毒、后門程序、應用服務的DOS攻擊、主機入侵、數據庫攻擊、DNS釣魚等。
4.7威脅影響分析
是指對不同威脅其可能造成的危害進行評定,作為下一步是否采取或采取何種處置措施的參考依據。在威脅影響分析中應該充分參考運營商意見,尤其要充分考慮威脅發生后可能造成的社會影響和信譽影響。
4.8威脅可能性分析
是指某種威脅可能發生的概率,其發生概率評定非常困難,所以一般情況下都應該采用定性的分析方法,制定出一套評價規則,主要由運營商管理人員按照規則進行評價。
篇3
(一)采用系統的思想
網絡安全的建設是一個系統工程,它需要對影響信息系統安全的各種因素進行綜合考慮,同時需要對信息系統運行的全過程進行綜合分析,實現預警、防護、恢復等網絡安全的全過程環節的無縫銜接;另一方面要充分考慮技術、管理、人員等影響網絡安全的主要因素,實現技術、管理、人員的協同作戰。
(二)強調風險管理
基于風險管理,體現預防控制為主的思想,強調全過程和動態控制,確保信息的保密性、完整性和可用性,保持系統運作的持續性。
(三)動態的安全管理
公安信息網絡安全模型中的“動態”網絡安全有兩個含義:一是整個網絡的安全目標是動態的,而不再是傳統的、一旦部署完畢就固定不變的,從而支持部分或者全網范圍內安全級別的動態調整;二是達到安全目標的手段、途徑必須能夠根據周邊/內部環境的變化進行動態調整。
二、基于策略的動態安全管理模型的定義
基于上述指導思想,建立基于策略的動態安全管理模型,主要包括四類要素:人員、管理、策略、流程(技術產品)。安全策略確定后,需要根據組織切實的安全需要,以上述定義的安全策略為基礎,將安全周期內各個階段的、反映不同安全需求的防護手段和實施方法以一種利于連動的、協同的方式組織起來,提高系統的安全性。總的指導原則是:第一,防護是基礎,是基本條件,它包含了對系統的靜態保護措施,是保護信息系統必須實現的部分。第二,檢測和預測是手段,是擴展條件,提供對系統的動態監測措施,是保護信息系統須擴展實現的部分。第三,響應是目標,是進行安全控制和緩解入侵威脅的期望結果,反應了系統的安全控制力度,是保護信息系統須優先實現的部分。這些不同的安全技術和產品按照統一的策略集成在一起,保持防護、監測、預警、恢復的動態過程的無縫銜接,并隨著環境的變化而進行適當的調整,這樣就能夠針對系統的薄弱環節有的放矢,有效防范,從而完善信息安全防護系統。
三、基于策略的動態安全管理模型的實施過程
在公安信息安全管理體系的建立、實施和改進的過程中引用PDCA(Plan-Do-Check-Act)模型,按照PDCA模型將信息安全管理體系分解成風險評估、安全設計與執行、安全管理和再評估四個子過程。組織通過持續的執行這些過程而使自身的信息安全水平得到不斷的提高。PDCA模型的主要過程如下:
(一)計劃(Plan)
計劃就是根據組織的業務目標與安全要求,在風險評估的基礎上,建立信息安全框架。包括下面三項主要工作:
1.明確安全目標,制定安全方針根據公安專用網絡信息安全需求及有關法律法規要求,制定信息安全方針、策略,通過風險評估建立控制目標與控制方式,包括公安系統工程必要的過程與持續性計劃。
2.定義信息安全管理的范圍信息安全管理范圍的確定需要重點確定信息安全管理的領域,公安信息安全管理部門需要根據公安系統工程的實際情況,在整個金盾工程規劃中或者各業務部門構架信息安全管理框架。
3.明確管理職責成立相應的安全管理職能部門,明確管理職責,同時要對所有相關人員進行信息安全策略的培訓,對信息安全負有特殊責任的人員要進行特殊的培訓,以使信息安全方針真正植根于所有公安干警的腦海并落實到實際工作中。
(二)實施(Do)
實施過程就是按照所選定的控制目標與方式進行信息安全控制,即安全管理職能部門按照公安信息安全管理策略、程序、規章等規定的要求進行信息安全管理實施。在實施過程中,以公安信息安全管理策略為核心,監測、安全保護措施、風險評估、補救組成一個循環鏈,其中信息安全管理策略是保證整個安全系統能夠動態、自適應運行的核心。
1.選擇安全策略根據公安業務目標、公安信息安全管理目標、公安信息安全管理指導方針選擇或制定信息安全策略。
2.部署安全策略對于高層策略,在此階段,首先應將各種全局的高層策略規范編譯成低級(基本)策略。根據底層的服務或是應用的要求將策略編譯成執行組件可以理解的形式,針對特定類型的策略實施封裝具體實施策略所需的行為,封裝執行策略所必需的實現代碼,這些代碼與底層實現有關。將策略分發并載入到相應的策略實施中,繼而可以對策略對象執行啟用、禁用、卸載等策略操作。
3.執行安全策略(1)監測。對公安信息系統進行安全保護以后并不能完全消除信息安全風險,所以要定期地監控整個信息系統以發現不正常的活動。(2)進行信息安全風險評估。風險評估主要對公安信息安全管理范圍內的數據信息進行鑒定和估價,然后對數據信息面對的各種威脅進行評估,同時對已存在的或規劃的安全管理措施進行鑒定。(3)公安信息安全風險處置。根據風險評估的結果進行相應的風險處置,公安信息安全風險處置措施主要包括降低風險、避免風險、轉嫁風險、接受風險等,使得公安業務可以正常進行,并重新進行風險分析與評估,增加或更改原有的信息安全保護措施。在公安信息系統正常運行時,要定期地對系統進行備份。(4)根據公安信息安全策略調整控制安全措施。由于信息安全是一個動態的系統工程,安全管理職能部門應實時對選擇的管理目標和管理措施加以校驗和調整,以適應變化了的情況,使公安系統數據資源得到有效、經濟、合理的保護。
(三)檢查(Check)
檢查就是根據安全目標、安全標準,審查變化中環境的風險水平,執行內部信息安全管理體系審計,報告安全管理的有效性,在實踐中檢查制定的安全目標是否合適、安全策略和控制手段是否能夠保證安全目標的實現,系統還有哪些漏洞。
(四)改進(Action)
改進就是對信息安全管理體系實行改進,以適應環境的變化。改進內容包括三部分:一是系統的安全目標、安全指導思想、安全管理制度、安全策略。二是安全技術手段的改進。隨著安全技術和安全產品的改進,系統的安全技術手段也要不定期地更換。但更換后的安全技術手段仍然要遵循相應的信息安全策略。三是對人員的改進。安全管理措施和手段改進后,要對民警要進行安全教育與培訓,并根據民警的不同角色為其制定不同的安全職責和年度信息安全計劃,并按照計劃進行工作,年底時要對安全計劃的執行情況進行檢查。
四、結束語
篇4
1網絡安全
在網絡規劃初期就要考慮到網絡安全。我院網絡采用星型拓撲結構,整個網絡劃分為外網與內網兩部分,內、外網完全隔離,并配有防火墻。網絡采用三層智能交換,根據部門、功能不同劃分若干網段,既便于網絡管理,又減少網絡沖突,確保各VLAN數據的安全。網絡綜合布線時,每條線路都多冗余一至二條傳輸介質【1】。為每個匯聚點的交換機都安裝UPS。關鍵部門有備用線路。
2服務器安全
服務器在信息系統安全運行中起著主導作用。為保證數據庫不發生故障,我院信息系統服務器采用雙機熱備份磁盤陣列的模式。兩個相對獨立的應用在兩臺機器同時運行,當主服務器發生故障時,另一臺服務器能在短時間內將故障服務器的應用接管過來,從而保證應用的持續性。
服務器由專人管理,定期更換操作口令,嚴禁任何人泄露操作口令。定期檢查系統日志文件以及關鍵配置文件,建立安全事故的報告與響應制度并嚴格實施。同時建立完整的設備故障及處理記錄。【2】
3容災備份
無論信息系統設計、維護得多科學合理,故障的發生都是不可避免的,因此要考慮備份容災方案。我院建有異地容災機房,備有應急服務器及存儲,通過遠程鏡像,將機房的數據以完全同步的方式復制到異地數據備份中心,對數據庫實時地進行異地備份,保證數據與中心服務器的同步。當主機房雙機服務器或陣列出現故障時,系統能順利轉移到應急服務器上運行,所有用戶的使用方法保持不變,提高系統的安全性。
4客戶端管理
客戶端包含著用戶能夠直接接觸到的信息、資源,也是訪問信息系統的一個入口,對它的管理和使用不當也會造成信息的丟失或損壞【3】。對內網內所有客戶端都不裝軟驅、光驅。在各客戶端都安裝桌面管理系統,不僅可對網絡行為、各種操作進行實時監控,而且可以防止移動設備非法接入內部網絡。通過虛擬桌面、進程的黑白名單,可以限制非法操作對系統的影響。桌面管理還提供設備資源登記及硬件設備(硬盤、CPU、內存等)變化報警、進行內部網絡連接阻斷等功能。
5病毒防護
隨著網絡技術和信息技術的發展,隨之產生的病毒、木馬等危害因素也是如新月異,對信息系統的造成很大的威脅,對此,信息系統必須做到以下防范措施:首先需要提高醫院醫護人員的計算機病毒防范意識。其次是安裝高可靠性的正版殺毒軟件以及防火墻,定期升級病毒庫、定期掃描查殺。第三是加強網絡客戶端管理,采取內外網完全隔離、客戶端卸除光驅、禁用移動設備等物理手段切斷病毒傳播途徑,進行病毒防范。
6信息安全機制
篇5
(一)識別風險的能力有待提高。改革開放之后,我國的經濟和社會呈現飛速發展狀態,尤其是近十年來銀行業的信息化水平和自動化水平得到大幅度提升。但是伴隨著新形勢的到來,銀行面臨著越來越多的外部風險,電子商務的盛行和網絡資訊的發達使得網絡渠道的業務比例提升,銀行的信息安全面臨著嚴峻的外部風險挑戰。這使得銀行業本身乃至整個社會對財產和信息的安全指數要求越來越高,在內外部因素的影響下,銀行業加強信息安全風險管理是必然和必要的。但是現階段,銀行業信息安全風險管理受人才、技術、體系乃至設備的制約,整體的風險識別水平還比較低,亟待提高。
(二)信息安全風險形式嚴峻。我國銀行業面臨的信息安全風險相較于其他行業來說比較嚴峻,銀行系統的開放性和電子商務數量和規模的大幅度增長使得其受到攻擊的可能性大幅度上升。銀行在發展的過程中為了更大程度地滿足客戶的需求,往往對信息技術存在著嚴重的依賴,使得信息系統受到木馬攻擊、病毒侵害和釣魚網站危害的可能性大大增加。
二、銀行信息安全風險管理的建議
(一)銀行要重視信息安全風險識別體系的構建。信息安全風險識別是一項系統的工程,銀行要想及時、完整地識別出其在生產經營過程中的風險,就必須重視信息安全風險管理識別體系的建設,從起點上提升系統的整體安全系數標準。銀行要定期對信息安全風險管理體系的可靠性進行評估,嚴格按照全面風險管理的原則對風險進行識別和應對。
(二)銀行要建立重大信息安全風險預警和應急方案。重大信息安全風險預警和應急方案能使得銀行的信息風險保持在可控的范圍之內,在新的金融時期,完善的銀行信息安全應急方案給金融系統的穩定上了一層重要的保險。完善的銀行信息安全風險預警和應急方案是一種事前控制措施,是銀行信息安全風險管理的重要舉措。
(三)國家要加大銀行信息安全犯罪的懲治力度。國家相關職能部門應該加大力度對信息安全犯罪進行打擊。相關部門應該從根本上對這種犯罪進行嚴肅管理,將常規化管理落實下去,堅決杜絕形式化管理,一旦發現問題要給予嚴厲的懲罰。對于銀行信息安全的重大犯罪要嚴懲不貸,對網絡金融犯罪要高壓打擊。這樣整個銀行系統才會意識到信息安全風險管理的重要性,注重維護自身的信息安全。
(四)建立銀行信息安全風險控制機制。首先,建立完善的風險責任機制。重點在于在銀行信息安全風險控制體系要將各個環節各個部門的責任進行細化,做到每一個環節都有專門人員對重要事項進行負責,做到對風險負責、對安全負責。其次,建立完善的風險通報機制。通報包括對上級通報和對下級通報,對上級通報要客觀真實準確,對下級通報要嚴肅認真,既不夸大也不隱瞞。最后,建立銀行信息安全風險管理團隊。人才是銀行信息安全風險管理的關鍵,要充分發揮人才的作用,銀行信息安全風險管理團隊是銀行信息安全風險管理的主力軍,他們在銀行信息安全風險的識別、評估、應對等過程中扮演著十分重要的角色。
篇6
我國煤礦產業的開采一直都比較混亂,盡管國家已經出臺一些政策要求煤礦企業增加煤礦開采的安全系數,但是安全生產管理的經濟環境還沒有完全成熟,煤礦企業為了謀求自身的利益,往往忽視計算機技術等設備的投入。因此,我國計算機技術在煤礦安全管理中的發展一直處于停滯不前的狀態,設施配備完全達不到國際標準水平,從而使我國在煤礦產業的安全管理上始終無法得到較大的安全技術支持。
2.信息化技術給煤礦產業安全管理帶來的重大意義
煤礦生產工作過程中所遇到的問題是復雜的,例如:人員的招聘培訓、安全意識的培訓、災難的預測與應急、隱患排除、事故處理、日常考核管理……這些繁瑣的工作需要一種先進的應用技術來對它們進行集中管理,現代信息技術正是煤礦安全管理的重要工具。利用計算機可以將這些復雜的工作系統化,避免出現人為的失誤,此外,計算機也可以更加全面地為安全決策提供更多的實施方案。
3.計算機信息化在安全管理中的具體應用
3.1進行信息的安全審核、收集
信息的安全審核、收集主要體現在信息檢查的過程中,計算機系統需要將安全的信息儲存于電腦中,并且能夠自動地給出應急的安全事故處理方法,同時發送到各級領導進行集中審核,并收集各領導的意見批示,及時形成相應的安全隱患解決方案。因此,其一般的審核程序就是先將各安全信息進行集中審核判斷,然后根據領導批示做出相應的保障安全措施。
3.2進行交接班信息的集中管理
交接班信息的集中管理不僅可以讓接班人員了解上個班次發生過哪些安全問題,而且還可以提醒接班人員在本班次中需要注意的問題,并能及時的做出正確的處理方法。在交接的過程中,一般需要將以下幾個方面進行詳細說明:(1)本班次時間內發生的所有傷亡事故,包括人身傷害和財產損失;(2)在工作期間違反企業及國家相關法律規定的人員名單;(3)事故安全隱患預測;(4)作業進展,掌握上一班次沒有檢查,或已經檢查完畢,但是還沒有及時解決的問題。
3.3制定系統的煤礦安全規章制度
煤礦安全規章制度是煤礦行業從開始發展到現在集中管理過程匯總的經驗教訓,在經過一次又一次的礦難之下,更多的煤礦企業開始重視安全制度的建設,因為安全制度是一個煤礦企業安全開采的重要依據,在進行生產的過程中,必須要依據相應的制度規定。
3.4及時做好互聯網病毒入侵的預防工作
現代化計算機在煤礦企業中的運用,雖然在很大程度上改變了原來的安全生產方式,但是同樣它也給煤礦企業帶來互聯網病毒入侵的危險,一旦計算機被病毒感染,計算機上的所有資料很可能會自動刪除或者泄露,這會給煤礦企業帶來巨大的損失。為了實現對煤礦企業安全生產信息化全過程的監控,企業必須要聘請專業的人員對本企業負責安全生產信息化的部門進行集中培訓,以保證他們能夠從容地面對并阻止計算機病毒的入侵。
3.5事故記錄集中管理
在一件事故發生之后,記錄人員應該要根據真實的情況,將所有關于此事故的起因、過程、緣由、傷亡、事故處理結果、后續處理等統計在計算機里,形成長期的數據統計。這樣以后再次遇到相同的情況能夠起到一個很好的警示作用。
3.6匯總安全信息,形成綜合報表
在每個月的月底都應當將本月的安全信息進行集中匯總,以月刊的形式提交給上級領導,并請上級領導作出修改意見,在每一年的年末還要對月刊進行匯總,形成本企業的年刊,這樣長此以往,煤礦企業就會形成一個很好的安全保障期刊,用來告誡所有的從業人員,安全管理很重要,同時也為領導掌握全局,做出合理決策提供重要依據。
4.信息化技術在煤礦企業安全管理中的重要作用
在系統開始階段,每個人員的基本信息已經基本采集完畢,當他們在地下煤礦井下工作的時候,計算機系統就會對其進行實時監控,檢查安全系統,檢查人員工作完成情況,為數據的統計提供了一個很方便的平臺。在充分提升安全系數的基礎上,有效保障工作進展。在煤礦企業的生產過程中,煤礦開采的設備是至關重要的,而開采的數據只有經過計算機才能得到準確的統計,才能使實時數據與煤礦安全隱患聯系起來,有利于預防事故的發生。計算機信息技術應用在煤礦安全管理中,可以在很大程度上建立信息一體化的平臺,有利于多家企業進行行業內的安全交流,這樣,安全管理就多了一層分享的意義。
5.結語
篇7
以C/S為架構基礎的醫院信息系統網絡,已經實現了對醫院各個部門的廣泛覆蓋,大量聯網的計算機在相同的時間段內同時運行,已經與患者在醫院就診的眾多環節相聯系,導致各類業務空前依賴網絡。各大醫院,依靠互聯網實現了聯接,并實現了和醫保之間的聯網,促進了醫院網絡越來越開放,這樣就使得發生網絡攻擊、感染病毒的幾率顯著提高,要是網絡信息系統出現故障,勢必會使得醫院上下的管理與醫療工作遭受影響,使患者、醫院均蒙受無法估計的損失。醫院信息化管理過程中,暴露的安全隱患大部分集中在系統安全、數據安全、網絡安全三大方面。就系統安全來說,具體涉及操作系統安全與物理安全、還有應用程序安全;數據安全涉及數據防護的安全、數據本身的安全;在網絡攻防手段與技術等顯著發展的影響下,網絡安全越來越復雜、多樣,新舊安全威脅同時存在。通常而言,網絡安全問題涉及四大方面,即技術、物理、應用服務、產品。受人為操作出現錯誤或失誤、自然災害、各類計算機攻擊行為影響,造成的計算機網絡無法正常運行,都屬于物理方面;研發設計的信息產品有一定的缺陷存在,或者引進使用、日常維護信息技術,受某些非自主、非可控性影響,產生的安全隱患,都屬于技術方面的;軟件操作系統、硬件設備、應用程序中,被植入惡意代碼或隱藏后門等帶形成的安全威脅都屬于產品方面的;網絡終端與網絡實現連接以后,面對的各種安全問題,像非法入侵、病毒感染,黑客攻擊、違規操作、間諜軟件等,導致主機遭遇劫持、系統網絡中斷、數據被破壞或直接、醫療信息被竊取泄露、病人賬戶隱私遭到盜竊等,均屬于應用服務方面。
2新形勢背景下應對醫院網絡安全問題基本策略
醫院網絡安全會直接影響到醫療業務能否正常開展,構建一個能夠穩定、安全運行的要想實現信息網絡環境安全、穩定地運行,一定要把握安全策略、管理制度、技術手段三大方面之間的有效結合。
2.1管理制度完善、健全的規章管理制度是醫院網絡系統得以正常運行的保障。使用方法與管理制度的制定,要立足于實際,確保其科學合理,像操作使用醫療信息系統制度、維護運行醫院網絡制度、存儲備份醫療資源數據制度等,此外,還要對人員的信息安全意識不斷提高,使得醫院網絡安全管理有據可依,有章可循。
2.2安全策略醫院一定要從實際出發,出善的安全管理策略,為信息網絡系統高效、正常、安全地運行創造可靠的保障。為了保障服務器能夠高效、可靠、穩定地正常運行,實施雙機熱備、雙機容錯的處理方案非常有必要,關于非常重要的設備,對主機系統供電盡可能使用UPS,一方面有利于供電電壓保持穩定,同時對于突發事件防控具有顯著的作用;針對主干網絡鏈路,網絡架構設計,構建冗余模式非常必要,在主干網絡某條線路出現故障的時候,通過冗余線路,依然可以正常傳輸網絡的信息數據;同時要對業務內網和網絡外網實施物理隔離,防止互聯網同醫療業務網之間出現混搭,有效控制醫療業務數據利用互聯網這個途徑對外泄漏,防止外部網成為非法用戶利用的工具,進入到醫院信息系統或服務器,展開非法操作;為了防止醫院的業務信息發生丟失或遭到破壞,非常有必要構建數據與系統備份容災系統,這樣即便存儲設備或機房發生故障,也能保證信息系統運行較快恢復正常運行;在權限方面實行分級管理,防止發生越權訪問的情況、防止數據被修改,針對數據庫建立專項的審計日志,實時審計關鍵數據,能夠實現跟蹤預警。
2.3技術手段網絡安全問題日益多樣化,而且越來越復雜,所以依靠技術手段對網絡安全防范,也要注意防御措施的多層次性與多樣性,對以往被動防護的局面轉換,提高預防的主動性。因為醫院在網絡架構上實行外網與內網相隔離,內網上對在安全要求上,內網的要求相對而言更高,安裝的殺毒軟件最好為網絡版,并成立管理控制中心,能夠修復漏洞、對整個網絡進行體檢、修復危險項、查殺病毒等;將防火墻網關設立在外網和內網之間,對非法用戶、不安全的服務予以過濾,能夠及時探測、報警網絡攻擊行為等,對惡意入侵有效防控;還可以通過對專業的入侵檢測系統部署,對防火墻存在的缺陷有效彌補,將眾多關鍵點在網絡中設置,利用檢測安全日志、行為、審計數據或別的網絡信息,對網絡安全問題及時掌握,并做好應對;也可以對安全掃描技術,掃描網絡中存在的不安全因素。
3結語
篇8
一、稅務信息化建設安全的重要性
稅務信息化有利于提高宏觀決策的科學性和宏觀調控的效率。涉稅信息是進行制定稅收政策、實施宏觀調控的依據,是否擁有足夠的信息是宏觀決策與調控能否成功的前提。稅務信息化的發展將改變稅務信息生產方式,提高稅務信息的生產效率和精確程度,這樣,一方面能為稅收政策的制訂提供更為充足的信息,另一方面能改善宏觀調控中的傳導機制,并實現調控效果的及時反饋。
通過信息化的安全建設,使得增值稅復雜的管理性和操作性要求得到支撐,使得增值稅稅制和以增值稅為主體的整個新稅制在中國運行良好。此外,通過信息化的安全建設,有效實現了上級對下級的監控,制約了自由裁量權,一方面執法水平提高、各項稅收政策更加落實,另一方面稅務系統內部上級行政管理的要求更加落實。
二、當前,我國稅務信息化建設存在的安全隱患
隨著我國稅收信息化的迅速發展,信息安全問題變得日益嚴峻。從稅務部門來看,些稅務局沒有備用服務器,外部備份設備少,一旦出現故障,很容易造成網絡癱瘓或數據丟失。隨著局域網、廣域網、INTERNET的大范圍應用,數據的接收、傳送很容易傳染計算機病毒。
(一)部分稅務人員信息安全意識不強
隨著稅務信息化進程的不斷加快和電腦技術、電腦知識技能的日漸普遍,廣大稅務人員逐漸認識到了信息化的重要性,但是由于傳統觀念、手工操作習慣等方面的束縛,不少稅務人員對稅務信息的安全意識還比較弱,缺乏全面、深刻的領悟能力。突出表現在:他們不了解信息技術對整個社會經濟所帶來的沖擊,看不到稅務信息建設的安全重要性,認為稅務信息的安全與他們無關,甚至有透露里面重要信息的人員,以為僅僅是一些數據無關緊要。由于對稅務信息安全建設的認識能力不夠,存在著諸多的誤區,也就直接導致拉在實際的工作中,稅務信息安全建設問題頻頻出現“人為”的漏洞。
(二)計算機中出現的各種硬件問題,為黑客等網絡侵入提供了可乘之機
從稅務部門來看,有些稅務局沒有備用服務器,外部備份設備少,一旦出現故障,很容易造成網絡癱瘓或數據丟失;隨著局域網、廣域網、取TERNET的大范圍應用,數據的接收、傳送很容易感染計算機病毒,防火墻可能被破解,有些密碼機制不夠安全等。諸如這些對計算機的外部、內部保護不夠力度,會直接導致網絡黑客們利用這些電腦漏洞來作案。
(三)操作人員、專業技術人員的技能有限
要使稅收管理電子化的開發運用在實際工作中取得實效,要使得稅務信息的管理能安全有效地運行,就需要高素質的計算機管理和技術人才,必須對稅務管理的過程有一個較全面的了解,至少能夠站在一個地區的稅收總體工作要求和經濟發展要求的角度,就需要對稅收工作和稅收管理電子化的開發及發展趨勢有一個相對超前的認識,對稅務信息安全的重要性有個全新的認識。但是,當前我國信息技術隊伍和管理隊伍的建設與信息化發展的要求不同步,管理隊伍不健全,職能不明確,缺乏符合市場機制的足夠的激勵機制。對于配備完善的稅務安全信息產品,由于操作人員、技術人員的技能有限,不能完全認識、運用這些安全信息產品,不能針對出現的問題及時解決。
三、完善我國稅務信息化建設的整合化策略
如何成功處理信息安全問題,使國家稅務系統在充分利用信息技術的同時,保障系統的安全,對稅務系統建設具有極大意義。信息安全的建設涉及到信息賴以存在和傳遞的一切設施和環境。
(一)做好“四防”,構建信息安全保障體系
注重“人防”。要提高全體稅務工作人員信息安全意識和能力,構建牢固的信息安全內部防范基礎。落實“制度防范”。加強制度和標準規范的建設,規范信息安全防護工作。“提高技術防范的能力”,合理地運動信息安全技術手段,合理地運用當前高新技術,提高信息安全全方位防御能力。保障“物防”,保障信息安全工作中設備、資金的投入,確保經費到位,設備到位、后勤保障到位。
(二)加強對電子商務的稅收管理
電子商務是指交易雙方以國際互聯網為媒介而進行的商品和勞務交易。電子商務具有全球性、流動性、隱蔽性、數字化的特點。交易不涉及現金,無需具收支憑證,以電子流代替了實物流,傳統的實物交易和服務被轉換成數據,在互聯網上傳輸和交易,大量減少人力、物力,降低成本。但是也對稅務信息化的建設提出了更高的要求。為此,我們可以通過修改現有的法律法規、制定新法律法規,將有關電子商務的一些特定內容,納入法律法規的規范范圍;建立專門的電子商務稅務登記制度;加快稅收部門自身的網絡建設,盡早實現與國際互聯網、網上用戶、銀行、海關等相關部門的連接;利用電子商務提高為納稅人服務的質量等幾個方面加強對電子商務的稅務管理。
(三)建立計算機技術的網絡安全體系
解鈴還須系鈴人,計算機中出現的各種漏洞給了網絡黑客們可乘之機,稅務部門應建立各級技術層次的安全體系。一般稅務信息系統所采用的安全架構模型如圖所示。
網路級別的安全體系建構,可以采用數據備份恢復、數據日志、故障處理等對策功能,保護納稅信息的安全,以適應稅收征管信息系統安全運行的需要。
系統級別的安全建構可以從計算機技術這方面加強管理,用網絡系統、數據庫系統和應用系統的安全機制設置,拒絕非法用戶進入系統和合法用戶的越權操作,避免系統遭到破壞,防止系統數據被竅取和篡改。
物理級別的安全體系建構可以從以下幾個方面進行:第一采用具有容錯功能的服務器和具有雙機熱備份技術的硬件設備,出現故障時能夠迅速恢復并有適當的應急措施;第二,采用數據備份恢復、數據日志、故障處理等系統故障對策;嚴格執行并切實做好信息系統的安全工作,選擇合適的網絡管理軟件進行網絡管理,健全工作人員的操作規范,采取有效的身份認證、密碼驗證、訪問限制、防火墻等計算機應用技術手段加強內部網絡和數據庫安全管理,保護納稅信息和辦公信息的安全,以適應當前稅收信息系統安全、持續穩定運行的需要。
(四)不斷加強領導干部及員工隊伍的安全與責任意識
第一,領導干部對信息化安全認識的問題。解決了領導的認識問題實際上就從根本上解決了規劃和力度的問題。在當今經濟全球化、信息化告訴發展、知識經濟大爆發的時代,作為稅務機關的主要領導干部,要適應經濟發展和現代化管理的需要。很顯然,原來的知識結構,甚至思維方式已明顯不相適應,必須在較短的時間內進行知識更新,轉變觀念,掌握現代化管理手段,否則就要落伍,甚至給稅收事業造成難以挽回的損失。面對迅速變化的形勢和繁重艱巨的任務,如果各級領導干部不能適應當前瞬息萬變的時代變化,要搞好信息化安全建設是不可能的。第二,加強隊伍素質能力的建設。目前整個稅務干部隊伍的科技素質較低,特別是干部隊伍的信息安全意識比較弱,且整體的安全防范水平低下。基于這種情況,要加強多層次的安全知識、技能的培訓,提高各級干部隊伍及員工隊伍對稅務信息安全的責任意識,提高他們對信息安全重要性的認識。
篇9
新形勢下我國計算機網絡技術不斷地發展,給我們的社會生活帶來了極大地便利。但是,任何事物都有兩面性,計算機網絡技術也不例外,在運用計算機網絡技術的過程中也存在著很大的風險。如何在運用計算機網絡技術的過程中更好的趨利避害,使得計算機網絡可以給我們社會生活帶來更多的驚喜和幫助,我們針對計算機網絡安全問題進行相關探討,提出一些有建設性的意見和措施,使得人們在運用計算機網絡技術時可以更加放心。主要是對計算機網絡安全的重要性進行研究,分析了漏洞掃描技術,并針對提高計算機網絡技術安全這一問題提出相關的措施。
關鍵詞:
新形勢;計算機網絡安全;漏洞掃描技術
我國科學技術不斷進步,計算機技術發展尤為迅速,并且在我國社會生活中起著極為重要的作用,給我們的現實生活帶來了很多的變化,使得我們與社會的聯系越來越密切。然而,在運用電子計算機網絡技術的過程中,由于計算機網絡的開放性,給計算機用戶帶來很大的安全問題,用戶的個人信息可能會泄漏,甚至會給人們的財產安全造成一定的威脅,所以,一定要對計算機網絡安全問題有所重視,而且要采取相關措施來提高網絡運用的安全性。我國相關部門一定要對計算機網絡安全采取一定的行動,讓網民可以安心上網。本文就是分析了在我國互聯網技術不斷發展的前提下,如何保障人民計算機網絡運用的安全,提出了相關的建議和意見,希望可以減少網絡帶來的風險,更好的促進人們幸福生活。并對漏洞掃描技術進行了一定的分析,充分發揮其對網絡病毒的抵制作用而且還能夠修復相關的漏洞,從而保障網絡安全。
1 新形勢下計算機網絡安全發展現狀
這幾年,我國計算機網絡技術不斷發展,計算機的信息處理能力是越來越強,更好地促進人們生活、學習、工作。我國人們在日常生活中也喜歡通過計算機網絡來完成相關的工作,搜集相關信息。計算機網絡有較強的開放性和便利性,人們可以在網上進行購物、聯系溝通、工作,足不出戶可通曉天下事,人們與世界的聯系越來越密切。計算機網絡技術在給人們帶來便利的同時,也給人們帶來了一定的風險和威脅。比如人們在網上購物或信息搜集時,會填寫一些個人信息,這些個人信息一旦沒有得到很好的保密,泄漏出去就會對人們的隱私安全和財產安全造成一定影響。甚至,有時會有新聞爆出相關人員因為個人信息泄漏,導致存款被盜。
因此,當前我國計算機網絡安全問題頻出,這需要我國相關部門引起重視,采取一定措施維護計算機網絡系統安全,使得人們可以安心、放心上網。除此之外,還有計算機網絡病毒給人們上網帶來極大地安全困擾,計算機網絡病毒的入侵會使得電腦程序混亂,造成系統內部癱瘓,有時還會造成人們本身已經準備好的相關數據的丟失,給人們工作、生活帶來麻煩。而且,現在還有一些惡意軟件會給計算機網絡帶來一定的危害,破壞電腦系統內部正常運行,使得計算機內部混亂,無法正常工作,造成計算機系統死機等。總之,我國當前計算機網絡安全問題非常多,這些問題已經嚴重影響了人們的正常生活,還給人們帶來了非常多的負面影響。
2 計算機網絡存在的主要安全問題
第一,計算機內部的每一種安全機制都有一定的適用范圍,而且這種機制在運用的過程中還需要滿足一定的條件,所以計算機內部機制的不完善給用戶帶來了很大的安全隱患。在計算機內部程序當中,防火墻是其中一種比較有效的安全工具,可以給電腦用戶提供一些安全保障。防火墻在計算機網絡系統運作的過程中,它能夠隱蔽計算機內部網絡結構,使電腦網絡結構不會輕易被識別。防火墻在內部網絡與外部網絡的聯系過程中制造了一些障礙,使得外部網絡不能夠輕易地訪問內部網絡。但是,防火墻這一工具的功能還是有限的,它不能夠阻止內部網絡之間的聯系,這樣電腦系統內部網絡之間就可以隨便往來。防火墻對于內部網絡與內部網絡之間的入侵行為是很難發覺的,這樣也會給電腦系統造成破壞。還有就是系統的后門不是電腦內部傳統的工具所能夠考慮到的地方,這也是防火墻所不能夠顧及的一個方面。系統后門容易被入侵,防火墻也很難發覺,并采取相關的措施。
第二,電腦內部安全工具的使用存在一定的缺陷,在電腦用戶的使用過程中,電腦內部的安全工具能不能實現功能最大化,能不能使得安全工具使用效果的最優化,很大程度上受到了人為因素的制約。在這個使用的過程中受到了系統管理者和普通用戶的影響,在使用安全工具的過程中要是沒有使用正當設置,會產生不安全因素。
第三,網絡壞客泛濫,壞客攻擊電腦手段不斷更新,每天都會有不同的電腦問題出現。我國網絡的不斷發展,電腦安全工具也文秘站-中國最強免費!在不停地創新,但是,電腦安全工具更新速度遠遠跟不上壞客攻擊手段的更新速度。通常壞客對用戶的電腦進行了攻擊,然而,電腦的安全工具卻不能夠發現,更不用說采取相關的地質措施。總之,目前我國電腦的安全工具反應太慢,根本不能夠及時處理入侵的病毒。
