时间:2022-07-07 19:52:42
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇信息安全管理论文范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
2.1基层税务信息安全管理存在的风险
信息技术飞速发展,尤其是大数据时代的到来,基层税务信息安全技术管理风险与日俱增。科学技术水平日新月异,移动互联网、虚拟化、云技术、大数据应用等新技术层出不强。此类技术的应用对于专业技术的要求较高,安全保障措施也较为严密,但现有的税务信息安全管理的软硬件、制度、顶层设计、税务人员素质、社会要求等方面无法适应其方便、快捷、高效的特点,使得税务信息暴露在数据的海洋,极易造成信息被盗取、被非法病毒所侵入,税务信息安全技术管理必然风险激增。改革不断深化,尤其是简政放权要求逐步提高,基层税务信息安全行政管理风险突飞猛进。全面深化改革的推进,行政管理被要求回归理性简政放权,实现由权力管制到权利治理,基层税务部门必然面临着工作重心后移及执法风险加大的交汇压力,后续管理将成为税务部门工作的一种常态。税务管理信息化是保证后续管理科学、有效、规范进行的基本方式且根本保障,而税务信息安全管理是税务管理信息化的基础,是故税务信息安全管理必然成为税收征收与管理过程的基础和支撑。税务管理信息化下税务信息不论是频率还是数量均不断提高,数量和质量相生相克,前者的增多必然导致后者的下降,税务信息安全行政管理风险骤升。依法治税加强,尤其是纳税人权利意识的觉醒,基层税务信息安全管理涉纷风险不断提高。随着经济、社会以及文化的不断发展,纳税人权利意识在不断觉醒,私权保护、正当程序、公平正义成为了普遍诉求。纳税人信息是税务信息安全管理的重要内容之一,包含着巨大的商业价值,税务机关在采集、保管和使用纳税人信息过程中往往由于安全措施不到位而导致纳税人权利受到损害事件时有发生,甚至诱发违法犯罪。近些年来,由于税务信息安全管理不善带来的税务纠纷呈水涨船高之势,纳税人诉诸法律途径的越来越多,基层税务部门涉议、涉诉风险不断提高。
2.2基层税务信息安全管理面临的困境
2.2.1税务信息安全管理意识淡薄
税务管理信息化在我国方兴未艾,关于税务信息安全的理解、保护方法、风险防范手段等社会所知甚微。就税务部门而言,大部分基层税务工作人员对于税务信息安全管理是什么、税务信息安全管理意义是什么、怎样实现税务信息安全管理等内容的认识与理解存在偏差,主观地认为税务信息安全与税务部门的核心业务无关,是一种简单的信息存储与传输,意义不大。甚至是一提到税务信息安全,不少人就当然的认为是病毒和黑客,而往往忽视内部人员的过错或故意行为等因素。就纳税人而言,大部分纳税人抱有这样的态度,就是只要按照法定规定和法定程序上缴完税,其他的就与自己没有多大干系,税务信息安全管理也是如此,因而往往不配合税务信息的收集等工作。由于少数人的安全意识淡薄和管理不善,会影响整个税务信息系统的安全性。
2.2.2税务信息安全管理方式滞后
整体上看,基层税务信息安全管理还主要是依靠单一的技术方法,税务信息保密措施少、身份认证未得到全面应用、缺少路由安全和防止入侵的技术措施,难以适应税务信息安全管理的要求。首先,税务信息技术管理方式赖以生存的硬件设施可靠性、稳定性不足,缺少日常维护及安全配套措施。其次,税务信息技术管理核心之处的软件设施开放性强,比如,内部网路终端信息共享范围广、操作系统主要是国外研发的,内外网机器存在混用现象,极大增加了税务信息安全风险。最后,采集数据分散,不能形成有效共享,普遍存在“信息孤岛”现象;业务信息不能通过计算机有效流转,自动化管理过程隔离;尤其是信息缺乏高效的数据监控措施,没有形成科学的内、外监督体系,不断遭受黑客攻击,还出现数据丢失的现象等。
2.2.3税务信息安全管理制度不完善
税务信息采集、整理、贮存、传输、反馈及应用等过程中安全管理的理念并未得到贯彻,税务信息安全管理制度还不全面、缺乏体系性、可操作性也不强。具体来讲,一是缺乏强有力的税务信息安全管理领导制度。一般而言,基层税务信息安全管理主要是由税务信息中心实施,与其他内设机构之间是并列关系,信息安全管理无法渗透到税收征管的其他环节。二是缺乏科学的税务信息安全事故预防、报告及处理制度,各基层税务部门普遍缺失完备的信息安全事故报告程序与预防处理方案,税务信息安全事故的预防、处理没有可持续的制度支撑。三是缺乏规范的税务信息安全管理考核制度,基层税务信息安全岗位与责任相适应的考核标准,机制不规范,致使信息安全管理深度与力度得不到有效落实。此外,信息安全责任制度还需进一步细化和完善。
2.2.4信息安全风险管理机制存在缺陷
税务信息化下,税务信息安全风险有来自基础设施毁损的风险,有技术应用带来的风险,有人为操作引发的风险,可谓无处不在、无时不有。但目前基层税务机关并没有形成体系化的税务信息安全风险识别、评估、控制等管理机制。就税务信息安全风险识别而言,税务信息并未被确定成为一种资产,因而缺乏税务信息必要的分类管理。同时,这种安全风险识别仅局限于技术硬件故障或错误、技术软件故障或错误、技术淘汰等技术层面,而对于其他层面的信息安全威胁鲜有涉及。就税务信息安全风险评估而言,由于专业技术和人才的缺乏,加之评估频率与方法不当,很难真正分析出信息安全风险的高低,影响到控制措施的选择。就税务信息安全风险控制而言,由于识别与评估分析中的不健全,使得风险控制策略选择失去了可信基础,致使避免、转移、缓解及接受等风险控制策略无从选择。
3基层税务信息安全管理的应对
3.1加大信息安全管理教育培训,更新税务信息安全管理理念
应当认识到,税务信息安全管理既是国家信息安全管理的有机构成,也是基层税务工作的重要组成部分,它涵盖税收信息的采集、整理、存储、传输、反馈、开发及应用等全过程,不仅可以加强税收收入的规划性,有效发挥税收促进生产,调节、监督经济的作用,还能衡量税收分配是否合理,税负负担是否平衡,保障纳税人的权利。因此,基层税务部门要摒弃税务信息安全管理不重要的观念,提高对税务信息安全的认识,充分了解税务信息安全管理的内容、作用及方法,以此更新税务信息安全管理理念。税务信息安全管理意识之所以淡薄,原因在于信息安全管理教育与培训少,税务信息安全管理专业人才匮乏。对此,一方面要灵活多样地培训学习形式,综合平衡信息安全相关项目,提高税务工作人员的信息安全意识与能力水平;另一方面,要建立税务信息安全管理培训机制,通过组织开展多层次、多方位的信息安全培训,提高安全员信息安全防范技能,培养税务信息安全管理骨干。此外,税收普法宣传教育中还要强化纳税人信息安全意识。
3.2综合内外部控制手段,实现税务信息安全管理方式多元化
税务信息安全管理是一个系统工程,涉及信息技术体系、信息风险管理及组织管理框架等诸多方面,面对终端规模大、地域分布广、技术类型多的现实,单纯的依靠外部技术手段无法实现税务信息安全管理,需要内部控制措施予以协同,多元化的管理方法才能更好地、更有效地保障税务工作人员完成信息安全管理工作。首先,完善税务信息安全技术手段,做好信息安全防护体系建设和运行管理。不论是采取何种技术手段进行税务信息管理,都要建立完备的病毒防范、身份鉴别与访问控制、入侵检测及信息加密等信息安全管理技术体系,定时检查并更新硬件设备以确保其可靠性与稳定性。其次,要克服“唯技术论”的倾向,税务部门要建立统一的信息安全保障中心,保证税务信息安全集中和集成管理,努力形成完整的数据安全与备份体系。最后,完善税务信息安全管理内部控制手段,以减轻由于内部人员道德风险、系统资源风险所造成的信息危害。主要是采用人机联控的控制方式,通过实施一系列的控制活动和保护措施,以实现对与税务信息安全相关的人与物的管理,并最大限度地保障税务信息安全。
3.3完善税务信息安全管理框架,健全税务信息安全管理制度
借鉴信息安全管理一般理论,完整的税务信息安全管理框架包括定义税务信息安全政策、定义税务信息安全管理范围、进行税务信息安全风险评估、确定管理目标和选择管理措施、准备税务信息安全适用性声明、建立相关文档、文档的严格管理及安全事件记录回馈。针对目前税务信息安全管理框架的不完善,税务部门应严格按照信息安全管理框架,制定完善的信息安全规章、明确管理范围、风险、目标、措施等予以完善。与此同时,还要健全税务信息安全管理相关制度。一是建议基层税务机关应成立信息安全领导小组,各区局、科室、所都应明确专人负责税务信息安全的管理,以健全税务信息安全管理领导制度;二是建议明确安全事故预防任务、报告时限与程序、处理方法与措施,以健全税务信息安全事故预防、报告及处理制度;三是建议制定规范、可行的信息安全管理考核机制,明确规定每个税务工作人员在信息安全方面应承担的责任、保密要求以及违约责任,以健全税务信息安全管理责任制度。总之,就是要建立安全管理机构,确定安全管理人员,建立安全管理制度,建立责任和监督机制,切实保障税务信息安全管理有效开展。
移动电子商务(M-Commerce),是通过手机、PDA(个人数字助理)、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务:PIM(个人信息服务)、银行业务、交易、购物、基于位置的服务、娱乐等。
移动电子商务因其快捷方便、无所不在的特点,已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间,真正解决做生意的问题。
但是对于任何通过无线网路(如:GSM网路)进行金融交易的用户,安全和隐私问题无疑是其关注的焦点。由于移动电子商务的特殊性,移动电子商务的安全问题尤其显得重要。尤其对于有线电子商务用户来说,通常认为物理线缆能带来更好的安全性,从而排斥使用移动电子商务。移动电子商务是一个系统工程,本文从技术、安全、隐私和法制等方面讨论了移动商务的展所面临的种种问题,并指出这些问题的有效解决是建设健康、安全的移动电子商务的重要保证。
一、移动通信新技术的驱动
1.无线应用协议(WAP)
无线应用协议WAP是无线通信和互联网技术发展的产物,它不仅为无线设备提供丰富的互联网资源,也提供了开发各种无线网路应用的途径。1998年,WAP论坛公布了WAP1.0版本,制定了一套专门为移动互联网而设计的应用协议,具有良好的开放性和互通性。随着移动通信网传输速率的显著提高,WAP论坛于2001年颁布了WAP2.0版本,该版本增加了对HTTP、TLS和TCP等互联网协议的支持,WAP的工作大大简化。WAP2.0模式有利于实现电子商务所需的端到端安全性,可以提供TLS隧道。
2.移动IP技术
移动IP技术,是指移动用户可在跨网络随意移动和漫游中,使用基于TCP/IP协议的网络时,不用修改计算机原来的IP地址,同时,也不必中断正在进行的通信。移动IP通过AAA(Authentication,Authorization,Accounting)机制,实现网络全方位的安全移动或者漫游功能。移动IP在一定程度上能够很好地支持移动商务的应用。
3.第三代(3G)移动通信系统
第三代移动通信系统,简称3G,是指将无线通信与互联网等多媒体通信结合的移动通信系统。它能够处理图像、话音、视频流等多种媒体形式,提供包括网页浏览、电话会议、电子商务等多种信息服务。与2G相比,3G产品可提供数据速率高达2Mbps的多媒体业务。在我国,以TD-SCDMA技术为基础的3G基础设施和产品的建设和研制发展迅速,我国发展3G的条件已经基本具备。由于3G带来的高速率、移动性和高安全性等特点,必然会给移动电子商务的应用带来巨大商机。
4.无线局域网(WLAN)技术
美国电子电器工程师协会IEEE在1991年就启动了WLAN标准工作组,称为IEEE802.11,并在1997年产生了WLAN标准-IEEE802.11,后来又相继推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的标准。802.11WLAN标准自公布之日起,安全问题一直是其被关注的焦点问题。802.11b采用了基于RC4算法的有线对等保密(WEP)机制,为网络业务流提供安全保障,但其加密和认证机制都存在安全漏洞。802.11i是2004年6月批准的WLAN标准,其目的是解决802.11标准中存在的安全问题。802.11i应用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高级加密标准的CBC-MACProtocol(CCMP)。其中TKIP仍然采用RC4作为其加密算法,可以向后兼容802.11a/b/g等硬件设备。中国宽带无线IP标准工作组制订了WLAN国家标准GB15629.11,定义了无线局域网鉴别与保密基础结构WAPI,大大减少了WLAN中的安全隐患。
二、移动电子商务面临的安全威胁
尽管移动电子商务给工作效率的提高带来了诸多优势(如:减少了服务时间,降低了成本和增加了收入),但安全问题仍是移动商务推广应用的瓶颈。有线网络安全的技术手段不完全适用于无线设备,由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序。例如:目前还没有有效抵制手机病毒的防护软件。
1.网络本身的威胁
无线通信网络可以不像有线网络那样受地理环境和通信电缆的限制就可以实现开放性的通信。无线信道是一个开放性的信道,它给无线用户带来通信自由和灵活性的同时,也带来了诸多不安全因素:如通信内容容易被窃听、通信双方的身份容易被假冒,以及通信内容容易被篡改等。在无线通信过程中,所有通信内容(如:通话信息,身份信息,数据信息等)都是通过无线信道开放传送的。任何拥有一定频率接收设备的人均可以获取无线信道上传输的内容。这对于无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。
2.无线adhoc应用的威胁
除了互联网在线应用带来的威胁外,无线装置给其移动性和通信媒体带来了新的安全问题。考虑无线装置可以组成adhoc网路。Adhoc网络和传统的移动网络有着许多不同,其中一个主要的区别就是AdHoc网络不依赖于任何固定的网络设施,而是通过移动节点间的相互协作来进行网络互联。由于其网络的结构特点,使得AdHoc网络的安全问题尤为突出。Adhoc网路的一个重要特点是网络决策是分散的,网络协议依赖于所有参与者之间的协作。敌手可以基于该种假设的信任关系入侵协作的节点。
3.网路漫游的威胁
无线网路中的攻击者不需要寻找攻击目标,攻击目标会漫游到攻击者所在的小区。在终端用户不知情的情况下,信息可能被窃取和篡改。服务也可被经意或不经意地拒绝。交易会中途打断而没有重新认证的机制。由刷新引起连接的重新建立会给系统引入风险,没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立,使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书。攻击者可以利用该漏洞来获利。
4.物理安全
无线设备另一个特有的威胁就是容易丢失和被窃。因为没有建筑、门锁和看管保证的物理边界安全和其小的体积,无线设备很容易丢失和被盗窃。对个人来说,移动设备的丢失意味着别人将会看到电话上的数字证书,以及其他一些重要数据。利用存储的数据,拿到无线设备的人就可以访问企业内部网络,包括Email服务器和文件系统。目前手持移动设备最大的问题就是缺少对特定用户的实体认证机制。
三、移动商务面临的隐私和法律问题
1.垃圾短信息
在移动通信给人们带来便利和效率的同时,也带来了很多烦恼,遍地而来的垃圾短信广告打扰着我们的生活。在移动用户进行商业交易时,会把手机号码留给对方。通过街头的社会调查时,也往往需要被调查者填入手机号码。甚至有的用户把手机号码公布在网上。这些都是公司获取手机号码的渠道。垃圾短信使得人们对移动商务充满恐惧,而不敢在网络上使用自己的移动设备从事商务活动。目前,还没有相关的法律法规来规范短信广告,运营商还只是在技术层面来限制垃圾短信的群发。目前,信息产业部正在起草手机短信的规章制度,相信不久的将来会还手机短信一片绿色的空间。
2.定位新业务的隐私威胁
定位是移动业务的新应用,其技术包括:全球定位系统,该种技术利用24颗GPS卫星来精确(误差在几米之内)定位地面上的人和车辆;基于手机的定位技术TOA,该技术根据从GPS返回响应信号的时间信息定位手机所处的位置。定位在受到欢迎的同时,也暴露了其不利的一面——隐私问题。移动酒吧就是一个典型的例子,当你在路上时,这种服务可以在你的PDA上列出离你最近的5个酒吧的位置和其特色。或者当你途经一个商店时,会自动向你的手机发送广告信息。定位服务在给我们带来便利的同时,也影响到了个人隐私。利用这种技术,执法部门和政府可以监听信道上的数据,并能够跟踪一个人的物理位置。
3.移动商务的法律保障
电子商务的迅猛发展推动了相关的立法工作。2005年4月1日,中国首部真正意义上的信息化法律《电子签名法》正式实施,电子签名与传统的手写签名和盖章将具有同等的法律效力,标志着我国电子商务向诚信发展迈出了第一步。《电子签名法》立法的重要目的是为了促进电子商务和电子政务的发展,增强交易的安全性。
参考文献:
根据信息管理的具体应用业务流程,并且结合系统级安全策略,动态对系统中的不同信息和用户赋予不同的权限。例如,在OA系统中,可以设定系统中的具体文档、合同的阅读者和审核者范围,甚至可以对哪些用户可以文档中某一部分的内容进行阅读或者修改的权限进行设定,采用动态权限机制来保证系统的安全;
(2)操作记录
将用户操作进行自动记录和存档,同时保存文档修改之前和之后的版本,从而记录下文档的修改轨迹。
2安全技术具体应用案例
2.1信息管理系统安全分析
由于电力市场的特点决定,电力系统参与的各个主体分别代表了不同的利益团体,例如电力公司信息管理系统中的交易热暖,能够申报授权范围内的交易数据,对市场信息进行查询;结算人员可以对各类交易的执行情况和执行结果进行考核结算。因此,为了防止系统用户在信息管理系统中进行越权操作,或者操作不当给各方带来的损失,需要对电力公司的信息管理系统进行安全控制。由于电力公司所涉及的业务广泛,为此电力公司内部信息管理系统数量众多,主要包括负责对发电厂、输配电线、变电站的正常运行和生产进行监控的SCADA/EMS系统,负责电网调度运行、电网通信、继电保护进行综合管理的DMIS系统,负责电力企业决策支持的MIS系统,以及负责电力企业办公自动化的OAS系统等。根据电力行业的特点,要求在电力公司信息管理系统中必须要确保SCADA/EMS系统的安全性,其他信息管理系统安全性要求也较高。
2.2信息管理系统网络结构设计
目前,为了提高电力公司信息管理系统的安全性,电力公司采取如图1所示的,包括SPnet(电力信息网)和SPDnet(调度信息网)的专用网络和Internet公共网络相结合的网络结构。通过内网与外网的物理隔离,既满足了MIS系统、OAS系统的Internet用网需求,同时也保证SCADA/EMS不能够直接访问Internet,从而最大程度上的保证系统安全。
2.3信息管理系统安全体系结构设计
信息管理系统的安全体系结构设计。在电力公司信息管理系统安全体系结构中采用了如下的安全策略来保证信息管理系统的安全。
(1)分区安全保护策略
根据电力公司内部各信息管理系统所管理业务的重要性,对信息管理系统的安全级别进行划分,重点保护网络内的安全区Ⅰ内的SCADA/EMS实时监控系统,和安全区Ⅱ内的交易系统;
(2)横向隔离
安全区Ⅰ与安全区Ⅱ内部的时监控系统,和交易系统采用防火墙进行逻辑隔离,而安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间采用正向和反向专用的安全隔离装置进行物理隔离;
(3)专网专用
SPDnet调度网提供两个逻辑隔离的安全隔离装置与安全区Ⅰ和Ⅱ进行通信,SPnet电力信息网与SPDnet调度网实现物理隔离;
(4)纵向认证与保护
安全区Ⅰ和Ⅱ的边界都设置了具有加密和认证功能的安全网关,而Ⅲ和Ⅳ的边界部署了防火墙;
(5)整个网络只有安全级别最低的安全区Ⅳ通过防火墙直接访问Internet
从如上的分析可以看出,根据不同信息管理系统的需要,可以灵活应用物理隔离技术、逻辑隔离技术,以及辅以系统安全技术和应用安全技术,来多方位的保证系统中信息管理系统的安全。
2信息技术在道路安全管理中的应用
如果说对气象、交通、紧急事件信息的采集是实施道路安全管理的基础,那么对这些信息的高效及时就是道路安全管理的重中之重。在道路交通运营过程中,交通状况处于不断的变化中,不良的天气气候因素(大风、雨雪、雾霾等)会对道路运行安全造成很大的影响,容易引发车辆抛锚、追尾等突发紧急事故,从而降低道路交通的通行能力。所以,道路运行网络系统,需要将相关的信息及时准确的出来,为驾驶员行车路线的选择提供有力的依据。为了能够保证信息系统能够发挥对道路安全管理的作用,要求道路网络信息系统具备一定的功能,具体的功能要求体现在以下几个方面:
(1)能够及时准确的气象信息;
(2)能够为用户提供有关道路中路面、隧道、桥涵等状态信息,还包括各种设备的检修情况;
(3)具备道路使用信息的功能,能够提供道路运行状态,包括堵塞、关闭、事故、施工或通畅,为驾驶员线路选择提供依据;
(4)具备道路限速信息功能;
(5)具备警告信息的能力,包括违章警告、拥挤警告、排队警告、施工警告、事故警告、环境警告等;
(6)对限速原因、限速值等信息的供功能。信息技术主要包括图形式可变信息板、移动通讯、文字式可变信息板、交通广播、车载系统、路旁无线电等。各种信息方式都具有各自的优缺点,如车载系统具有信息量大、针对性强、信息及时等优点,但同时也具有投资大、技术要求高等缺陷。再如可变限速标志能够加强驾驶员对限速的重视,并了解限速原因,但缺点在于其的信息较为单一。在道路交通安全管理过程中,需要根据不同信息对象,选择不同的信息技术。信息对象主要包括驾驶员、交通救援部门、交通管理部门等。
3道路安全管理总信息技术发展方向
随着科技水平的进步,越来越多先进的信息技术应用到道路安全管理中,同时信息通信技术、传感技术、人工智能技术等也得到了长足的进步。基于此,道路安全管理工作中信息技术发展前景主要表现在以下几个方面:
(1)信息技术整体性能提升。特别是传感器技术的发展,强化了检测器各项功能。一方面,根据电磁场变化原理,开发功能更加强大的车辆检测器,改进信号处理装置以及探头,提高检测器的使用寿命;另一方面,基于超声波、微波等电磁感应原理,提高检测器的抗干扰能力,提高检测器的安装、维护简单性。
(2)系统化、机电一体化发展前景。以信息技术为基础,充分利用科学计算方法以及人工智能技术,使道路安全管理信息化技术向着更加智能化、系统化的方向发展。如感应线圈智能交通流量检测仪、遥感微波检测器、红外线定位摄像系统等的开发与研究。
(3)在现有的信息技术基础上,加强对新技术的开发,包括用新的计算机图像处理技术,代替传统的视频监测技术,实现对更多车辆运行参数的在线监测,提高交通监控图像识别的准确性与实时性。
1规划安全过滤规则
依据具体的计算机网络安全防护策略和确切的目标,科学规划安全过滤规则,严格审核IP数据包,主要包含以下内容:端口、来源地址、目的地址和线路等,最大限度地禁止非法用户的入侵。
2设置IP地址
在计算机网络中,针对全体用户,规范设置相应的IP地址,进而使防火墙系统能够准确辨别数据包来源,切实保障计算机网络的全体用户均能利用和享受安全的网络服务。
3安装防火墙
通过防火墙,在网络传输信息的过程中执行访问控制命令,只允许通过防火墙检测合格的用户和数据才能进入内网,禁止一切不合格用户或者不安全数据的访问,有效地抑制了网络黑客的蓄意攻击,避免他们擅自修改、删除或者移动信息。现阶段,防火墙发展成熟且效果显著,在计算机网络信息安全的防护中发挥着重要的作用,它能够最大限度地避免病毒传播到内网。
4有效利用入侵检测技术
入侵检测技术能够有效防范源自内外网的攻击,分析计算机网络信息安全防防护策略的性质可知,防火墙的本质为一种被动防护,为进一步增强其主动性,应有效利用入侵检测技术,积极防范恶意攻击。
5定期升级杀毒软件
为避免计算机内部信息被恶意盗窃,应主动使用杀毒软件,定期对其进行升级操作,进而不断增强杀毒软件的安全防护能力,高效防护计算机内部信息,切实保障内部信息安全。分析计算机网络信息安全防护现状可知,杀毒软件属于一种经济适用的安全防护策略,具有较强的安全防护效果,并在现实生活中得到了有效的证实。
6治理网络中心环境
为达到增强计算机网路信息安全性的目的,应全面治理计算机网络中心环境,以硬件设施为切入点,及时解决网络硬件的各种问题,避免因硬件设施故障而引发自然灾害现象的发生,提升网络硬件的工作效率,增强网络硬件设施的安全性和可靠性,进而达到计算机网络信息管理标准。
二、档案管理信息化中安全风险评估的作用
人们在进行档案信息管理的过程中受到认识能力以及实践能力的限制,不能够保证信息管理的完全安全性,所以档案信息管理系统在一定程度上存在着脆弱性,这种情况导致在使用档案信息的过程中面临着一些人为或者是自然条件的破坏,所以档案信息管理存在安全风险具有必然性。因此,对档案信息管理进行安全风险评估具有重要的意义,信息安全建设的前提是,基于对综合成本以及效益的考虑,采取有效的安全方法对风险进行控制,保证残余风险降低在最小的程度。因为,人们追求实际的信息系统的安全,是指对信息系统实施了风险控制之后,接受残余风险的存在,但是残余风险应该控制在最小的程度。所以,要保证档案信息系统的安全可靠性,就应该实施全面、系统的安全风险评估,将安全风险评估的思想以及观念贯穿到整个信息管理的过程中。通常情况下,信息安全风险主要指的是在整个信息管理的过程中,信息的安全属性所面临的危害发生的可能性。产生这种可能性的原因是系统脆弱性、人为因素或者是其他的因素造成的威胁。用来衡量安全事件发生的概率以及造成的影响的指标主要有两种。然而,危害的程度并不只取决于安全事件发展的概率,还与其造成的后果的严重性的大小有着直接的关系。安全风险评估具有很多的特点。首先,它具有决策支持性,这个特点在整个安全风险评估周期中都存在,只是内容不相同,因为安全评估的真正目的是供给安全管理支持以及服务的。在系统生命周期中都存在着安全隐患,所以整个生命周期中都离不开安全风险评估。其次,比较分析性,这个特点主要体现在对安全管理和运营的不同的方案能够进行有效的比较以及分析;能够对不同背景情况下使用的科学技术以及资金投入进行比较分析;还能够对产生的结果进行有效的比较分析。最后,前提假设性,对档案信息进行管理的过程中所使用的风险评估会涉及到各种评估数据,这些数据能够被分为两种。其中一种数据的功能是对档案信息实际情况的描述,通过这些数据就可以了解整个档案管理信息中的情况;另一种数据是指预测数据,主要是根据系统各种假设前提条件确定的,因为在信息管理的整个过程中,都要对一些未知的情况进行事先的预测,然后做出必要的假设,得出相关的预测数据,再根据这些预测数据对系统进行风险评估。
三、档案管理不同阶段
进行不同的风险评估信息系统的开发涉及到很多的模型,而且随着科学技术的快速发展,各种模型都在不断的升级。从最早期的线性模型到螺旋式模型再到后来的并发式的模型,这些系统模型的开发都是为了满足不同的系统需求。然而,风险评估却存在于整个信息系统的生命周期中,但是由于信息系统的生命周期中有很多的阶段,而且每一个阶段活动的内容都有所差别,因此信息管理的安全目标以及对安全风险评估的要求也是不同的。
(一)对于分析阶段的风险评估。其真正的目的是为了实现规划中的档案信息系统安全风险的获得,这样才能够根据获得的信息来满足安全建设的具体需求。分析阶段的风险评估的重点是抓住系统初期的安全风险评估,从而有效的满足对安全性的需求,然后从宏观的角度来分析和评估档案信息管理系统中可能存在的危险因素。
(二)设计阶段的安全风险评估。这个阶段涉及到的安全目标比较多,所以能够有效的确定安全目标具有重要的意义。应该采取有效的措施,通过安全风险评估,保证档案信息管理系统中安全目标的明确。
(三)集成实现阶段。这个阶段的主要目的是要验证系统安全要求的实现效果与符合性是否一致,所以,应该通过有效的风险评估对其进行验证。需要注意的是,在进行资产评估的时候,如果在分析阶段以及设计阶段已经对资产进行了评估,那么在这个阶段就不需要再重新做资产评估的工作,防止重复性工作的发生。所以,可以直接用前两个阶段得出的资产评估的结果,但是如果在分析阶段和设计阶段都没有进行资产评估,则需要在此阶段先进行这项工作。威胁评估依然着重威胁环境,而且要对真实环境中的具体威胁进行有效的分析。除此之外,还应该对档案信息管理系统进行实际环境的脆弱性的有效分析,重点放在信息的运行环境以及管理环境中的脆弱性的分析。
(四)运行维护阶段。对档案管理系统不断的进行有效的风险评估,从而确保系统的安全、可靠性,这样才能够保证档案管理系统在整个生命周期中都处于安全的环境。
四、档案信息安全风险评估存在的不足
我国在档案信息安全风险评估方面已经取得了很大的成就,积累了一些宝贵的经验。但是,由于我国档案信息安全风险评估工作起步晚,还存在一些不足之处,主要表现在以下几点。
(一)管理层对于信息安全风险评估缺乏一定的重视,而且缺少一些专业评估技术人员。当前评估技术人员的专业技能不高也是现阶段存在的问题。所以,应该对评估人员进行定期的培训,提高他们的专业技能,保证风险评估工作有效的进行,同时还应该采取有效的措施来提高工作人员对于风险评估的重视,是档案管理信息化环境处于安全的运行环境中。
(二)风险评估的工作流程还不够完善,而且一些风险技术标准也需要进一步的更新。档案信息化管理的风险评估,不仅仅是一个管理的过程,也是一个技术性的过程,所以应该根据实际情况来科学合理地制定工作流程和技术标准。如果所有的环境和情况都套用一种工作流程和一个技术标准,就会导致不匹配现象的出现,不仅影响风险评估的效果,而且在一定程度上还影响信息系统的安全性。
(三)评估工具的发展比较滞后,随着科学技术的快速发展,信息安全漏洞会逐渐显露出来,所以对信息系统的威胁逐渐增加。应该采用先进的评估工具对其进行风险评估,从而满足档案管理信息化的需求。
2档案管理工作者信息安全素质现状
2.1信息化管理意识欠缺
档案管理者对于档案信息化的认识比较浅,不能够将电子文件作为我国的一项战略信息资源,不能够对档案信息网络安全有较深的意识,在自己的日常工作中就不能够去有意识的进行预防,积极的应对,这是导致信息化管理意识比较缓慢的主要原因。
2.2信息化管理专业基础知识相对薄弱
信息技术的日新月异,已经掌握的技能方法如果不及时更新就会很快过时。档案工作者不是信息技术专业人员,信息安全意识的缺乏使他们虽然意识到自身信息安全技能的不足,但由于缺乏强制性的提升专业水平的制度要求和定期的培训机制,使他们的信息安全能力与实际工作要求的差距越来越大。对于老的档案管理者虽然掌握了档案管理知识,但是缺乏信息技术能力,不少掌握信息技术的年轻档案工作者有的虽然掌握信息技术,但是又缺乏档案管理知识,而有的年轻的档案管理者由于在待遇、职称、前景等问题上的偏差认识而主动改行从事其他工作,使得整体信息技术水平偏低的档案部门更加缺乏掌握信息技术的人才。
3提高档案工作者信息安全素质的对策
3.1提升档案管理者的工作敏锐性,增加责任感
信息化时代大环境下,有很多的新领域和载体出现,在档案界引起了一些改变,同时也是提升了对档案管理人员的素质要求,我们要对档案管理工作的基础性有一个比较深刻的认识,将工作的重点置于服务和管理上,通过转变工作的着力点来提升管理能力和服务效率,改善观念,将档案管理的综合功能较好的发挥出来,对现有的领域进行拓展,变更服务模式,迎合现代档案需求,不断的开创进取,让档案管理可以为经济发展和社会发展提供帮助。
3.2提升档案管理人员的专业素质和水平
为档案工作者进行信息安全素质培养。对新入的档案工作者以及现有的档案管理者进行培训,针对他们的不同薄弱环节进行加强,增加档案管理知识,提升档案管理水平。根据不同岗位来进行任务的分配,根据档案人员自身的差异性来编排培训时间和内容,对培训结果进行考核。档案工作者在具备了一定的信息安全技术之后,需要对自己所需要承担的社会责任以及义务有明确的认识,能够知法、懂法、遵法,自觉的对违法行为进行监督管理,对知识产权和隐私给予保障,使用信息安全技术来提升档案管理效率和安全性。
3.3对档案信息管理制度进行强化
现在我国已经存在一些信息安全标准以及相关规定,可是这些规定尚处于初期,并不完善,存在很多的问题,还有很多的内容需要在探索中完善,这些标准和规定中涉及到档案信息管理者的信息安全素质的要求和内容,这也就导致了实际的问题还无法获得解决,因此无法将我国档案管理者信息安全素质差的现状给扭转过来。因此需要将档案信息管理制度进行强化,对现有的内容和标准进行完善,对档案管理工作者进行标准制定,结合当前的档案管理工作,选用优秀的档案管理人员,引入优秀的档案管理人才,提升档案队伍的整体水平。还有就是对档案管理工作者的专业技术职务进行考核,将信息素质作为考核的项目之一,督促档案工作者能够自主的进行档案信息管理内容的学习,根据岗位差异来具体的调整制度,方便其执行。
1.计算机网络病毒的危害。
在危及信息系统安全的诸多因素中,计算机病毒一直排在首要的防范对象之列,日益增加的无孔不入的计算机网络病毒,就对网络计算机安全运行构成了最为常见、最为广泛的每日每时、无处不在的头号威胁。计算机病毒发作轻则在硬盘删除文件、破坏盘上数据、造成系统瘫痪、造成无法估量的直接和间接损失。严重的情况下会影响教学管理,校内信息等难以弥补的延续后果。
2.人为的无意失误。
如操作员安全配置不当,造成的安全漏洞。用户安全意识不强,用户口令选择不慎,用户随意将自己的帐号转借他人或与别人共享等都会对信息系统安全带来威胁。
3.人为的恶意攻击。
这是计算机网络所面临的最大威胁。黑客的攻击和计算机犯罪就属于这一类。这类攻击有两种情况:一种是主动攻击。它以各种方式有选择地破坏重要数据信息的完整;另一种是被动攻击。它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种情况的攻击都会对计算机信息系统造成极大的危害,并导致机密数据的泄露。
4.操作系统及网络软件的漏洞和"后门"。
当前计算机的操作系统和网络软件不可能是百分之百的无缺陷和无漏洞,然而这些漏洞的缺陷恰恰是黑客进行攻击的首选目标,另外,软件的"后门"都是软件公司设计编程人员为了自己方便而设置的,一般不为外人所知,但一旦"后门"洞开,其后果将不堪设想。
二、安全措施
针对学校里使用的各类信息管理系统,要构建完善的校园系统安全体系,网络安全建设主要包括以下几方面内容:应用防病毒技术,建立全面的网络防病毒体系;应用防火墙技术,控制访问权限、实现网络安全集中管理,必要时采用内网与外部网络的物理隔离,根本上杜绝来自internet的黑客入侵;应用入侵检测技术保护主机资源,防止内部输入端口入侵;应用安全漏洞扫描技术主动探测网络安全漏洞,进行定期网络安全评估与安全加固;应用网络安全紧急响应体系,做好日常数据备份、防范紧急突发事件。
1.建立网络防病毒体系。
在校园网络中要做好对计算机病毒的防范工作,首先要在校园系统内部制定严格的安全管理机制,提高网络管理人员和系统管理员的防范意识,使用正版的计算机防毒软件,并经常对计算机杀毒软件进行升级。
2.建立防火墙体系。
防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡来自外部网络的侵入,使内部网络的安全有了很大的提高。
3.建立入侵检测系统。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要是因为它能够对付来自内外网络的攻击。其次是因为它能够缩短黑客入侵的时间。在需要保护的主机网段上安装入侵检测系统,可以实时监视各种对主机的访问请求,并及时将信息反馈给控制台,这样全网任何一台主机受到攻击时系统都可以及时发现。网络系统安装网络入侵检测系统后,可以有效的解决来自网络安全多个层面上的非法攻击问题。它的使用既可以避免来自外部网络的恶意攻击,同时也可以加强内部网络的安全管理,保证主机资源不受来自内部网络的安全威胁,防范住了防火墙后面的安全漏洞。
4.建立安全扫描系统。
安全扫描技术是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。
5.建立计算机灾难恢复系统。
灾难恢复系统是为了保障计算机系统和业务在发生灾难的情况下能够迅速地得以恢复而建立的一套完整的系统。它包括备份中心、计算机备份运行系统、可根据需要重置路由的数据通讯线路、电源以及数据备份等。此外灾难恢复系统还应当包括对该系统的测试和对人员的培训,这将有助于参与灾难恢复系统的系统管理员能够更好地对灾难的发生做出合理的响应。
高校计算机信息系统受到如地震水灾等自然灾害和突发自然事件造成的破坏,也存在因设备老化或毁损以及计算机操作系统的崩溃造成的信息资料损失,和服务器设备丢失或被破坏等物理层面的安全问题。
(二)网络层面的安全问题。
校内网络是连接整体外界互联网络的,容易受到来自外界互联网的恶意攻击,同时整个数据在校内局域网络进行传播时在没有对数据进行加密情况下被监控和改变也会发生。并且在计算机病毒从外界互联网和内部校内局域网都可以进入到整个系统中,破坏存储的数据和操作系统。最后,在路由器和相应的体系辅助设备中也存有安全漏洞问题。
(三)应用层面的安全问题。
体系的数据中心拥有着计算机信息校园整个关于教学和科研以及各高校主要构成的数据信息运行工作,是高校计算机信息系统管理的核心。在用校内局域网络进行连接促使信息高效应用中也产生了任何网络终端都可以进入整个数据中心,在安全层面造成了风险。
(四)数据层面的安全风险。
高校计算机信息系统是对数据进行输入和整理以及提供服务的过程,大量的数据交换和数据储存和相应的数据修改调整都面对各层面的安全风险威胁。
二、高校计算机信息安全管理体系的对策
(一)物理层面的安全对策。
对物理层面的安全防护需要在成本和管理机制优化上进行考虑,对每个零散的设备单元统一进行管理防护。对相应的重要数据库和重要的配置服务器设备要进行统一的机房维护,在机房的环境和温度以及湿度上都要进行考虑和定期测量。同时,在机房内的电路电源以及出现停电时的后备电源要进行保障,对出现机房建筑不稳定和受到外界干扰影响程度大时,要及时进行修复。同时每个核心设备间要有足够的距离保证不受到电磁辐射的干扰。
(二)网络层面的安全对策。
目前高校的外联手段会涉及到网卡和蓝牙以及USB等相应设备,这些终端的维护和保障是可以防止常规的恶意侵害方式的。要在固定网络中设有相应的端口输入限制和对协议不完整的连接及时终端,相关交换机实现对用户搜索的数据整理的规范化。
(三)应用层面的安全对策。
高校计算机信息系统是面向校园内信息数据流动而服务的,在各个相关服务器和数据库中需要加强安全域的建设,并对每个需要防护的病毒和数据保障方案和备份方案都要进行统一建立。在主要信息存在的数据中心内要对所涉及的各计算机信息系统硬件和相应配置设备,以及数据资源进行定期维护和安全级别的相应建立,监控和预防可能出现的各种情况。对数据中心的安全域级别设定为顶级并加强各分支系统的保障手段。
(四)数据层面的安全对策。
对本地需要加密的数据做好相应的储存和终端防护,对设立相应安全文件夹,由专人进行管理。对每个需要写入的储存信息,进行写入指令的控制,要求具有一定安全性的信息可以写入数据储存设备。每个客户端口要建立USB安全管理策略,需要系统内部认证并通过才可以进行只读等权限设定。
1.1标签自身的访问缺陷
由于标签的成本有限,标签自身很难具备保证安全的能力,这就使整个系统面临了很大的安全问题。非法用户能够利用合法的阅读器或是自己构建一个阅读器与标签直接进行通信。进而轻松获取标签里面的数据。对于读写标签,还能够被非法用户篡改标签内数据。
1.2通信链路上的安全问题
RFID的信息通信链路是无线通信链路。与传统的有线连接的端到端传输不同,无线传输相当于广播,信号本身就是开放式的。信号覆盖区域内的非法用户可以很方便的进行各种操作如下:(1)非法截取窃听通信信息数据;(2)业务拒绝式攻击,通过发射大量干扰信号来堵塞区域内通信链路,使阅读器不断接收处理垃圾数据,而无法接收处理标签发送过来的正常数据;(3)利用冒名代替正常的标签向阅读器发送虚假数据,使得阅读器处理的都是非法用户的数据,真实数据则被隐藏起来。
1.3阅读器内在的安全风险在阅读器中,只有提供一些简单的数据筛选,时间过滤和管理功能,对外只提供用户对应的业务接口,没有用于提升安全性能的相应接口。
1.4后端系统的脆弱性
除了前端标签,阅读器以及标签阅读器之间存在的风险,后端系统同时存在安全问题,例如后端数据的储存安全,后端系统访问安全,后端系统与其他系统的交互安全等。根据上述的RFID缺陷问题,容易引发的攻击方式可分为:主动攻击和被动攻击。主动攻击:对获取到的标签,在实验室环境下通过物理手段去除标签芯片的外部封装,使用微探针进行敏感信号获取,从而进行重构标签的复杂性攻击;通过软件手段,利用微处理器上的通用通信接口,不断扫描,探询标签与读写器间的安全认证协议与加密算法以及对应存在的弱点,进行篡改标签内容的攻击;通过发送大量干扰广播以阻塞信道或使用其他手段,使区域内工作环境异常,阅读器无法正常工作,进行业务拒绝式攻击等。被动攻击:采用窃听技术,通过分析正常工作下微处理器产生的各种电磁信号,获得标签和识读器之间或与其他RFID设备之间的通信信息(由于接收到阅读器传来的密码不正确时标签的能耗会上升,功率消耗模式可被加以分析以确定何时标签接收了正确和不正确的密码位)。
2RFID安全认证与读写安全设计实现
RFID的安全认证主要提供对信息来源方的鉴别、保证信息的完整和不可否认等功能,而这三种功能都需要通过数字签名实现。数字签名的基本过程为:发送方将明文用相关算法获得数字摘要,用签名私钥对摘要进行加密得到数字签名,发送方将明文与数字签名一起使用对称加密发送给接收方;接收方先使用秘钥解密,然后使用发送方公钥解密数字签名,则验证发送方真实身份并得出数字摘要;接收方将明文采用同样算法计算出新的数字摘要,对比两个数字摘要,相同则证明内容未被篡改。该密钥系统既能发挥对称加密算法加密效率高、速度快,安全性好的优点;又能发挥非对称加密算法密钥管理方便、安全性高、可实现数字签名的优点;各取所长,使得RFID系统更安全、快速,运行代价更低。
电力信息化是以网络通讯、数据库、电子信息等技术为基础的,随着工作量的增加,产生的数据资料越来越多。若采用传统的人工管理模式,效率低下,容易丢失,且不易长期保存。在计算机网络技术的带动下,电力行业相继实现了信息化管理,工作效率得以大幅提升。但其安全首先要有保证,信息安全即信息要真实、完整、有效、可控,电力行业与人们生活及国民经济密切相关,一旦信息被篡改或被盗窃,将带来严重的损失。网络在提供诸多方便的同时,也容易被攻击,所以电力信息安全必须得到重视。
1.2现状
与国外发达国家相比,国内的电力信息化化技术起步较晚,稍显落后。近些年来,电力行业有了很大进步,信息技术也在不断改进,这意味着我国在此方面有着广阔的应用前景。电力信息化涉及诸多因素,是一项长期复杂的工程,我国目前还存在着些许不足。
(1)信息安全意识薄弱,电力部门领导阶层虽能认识到信息化给电力行业带来的积极作用,但对信息安全有所忽视。认为采用先进的设备和软件就能保证信息绝对地安全,以至于防护措施较为简单,不能真正保护信息的完整性和真实性。黑客攻击、病毒植入等手段越来越高明,很多关键性信息存储于计算机中,很容易被侵入。
(2)硬件和软件是信息化管理的重要部分,但总体来说,国内软硬件水平偏低。如缺少自己研发的技术和品牌,多从国外引进,并未掌握其中的核心技术,致使不少的防病毒系统不能进行全面防御,也就无法充分发挥其作用。甚至有些部门只重硬件,而忽略了软件,在硬件设备的性能、配置、功能上不断创新,软件技术却长期没有更新,难以满足越来越高的要求。
(3)由于技术落后,国内还未真正建立起一个有权威的信息化标准体系,全国各地的标准都不统一,在很大程度上破坏了信息的安全性。而电力部门也没有制定规范标准,致使信息安全管理出现混乱,各环节不能紧密相连,极易引起信息堵塞,无法实现资源共享,给不法分子以可乘之机。
2实例分析电力运行管理信息安全运行的因素
某电力公司建于1986年,在2002年采用信息化技术之前,主要是靠人工来管理,但效率十分低下。不能及时获取市场信息,消息闭塞,以至于公司多次做出的决策都比较滞后。与外部其他企业缺少交流,难以从中借鉴先进的经验和技术。随着用电需求的增长,客户越来越多,工作量日益繁重,有大量的信息资料需要记录处理。公司多采用纸质档案的方式存储,在起步阶段,出现了几次资料丢失的事件,给公司造成一定的损失,而且纸张不易长期保存。公司内部有着明确分工,各部门只顾自己工作,沟通较少,使得信息不能流畅地在内部传递。2002年公司采用了信息化技术,工作效率明显提高,但也存在有不足之处。如网络安全防范系统不够完善,攻击者有两次发现了其中漏洞,并进行侵占;信息网络管理不合理,没有可行的制度和完整的管理体系,流程也不完整,使其作用有所减弱;缺少专业技术人才,特别是有技术又懂管理的人才,部分管理人员是从其他部门调来的,不了解信息网路运行现状。在发现潜在隐患,或遇到突发安全事故时,往往不能有效及时地处理。2006年,公司对信息化技术进一步完善,总结了存在的问题,并采取相关措施予以纠正解决。
3维护电力信息安全运行的管理措施
3.1强化信息安全意识,完善安全管理制度
电力部门深刻认识到电力信息化的前提是要保证其安全性,否则一系列后续工作都无法开展。领导阶层不断学习,加大了在信息网络安全教育上的投入,对全体人员进行专业培训,并制定了安全防护策略,将其彻底落实。负责人对信息安全体系的标准及目标作为重点工作来抓,积极宣传有关知识,同时根据企业实际情况制定了信息安全管理制度,规范各个部门的行为。实行责任制,避免出现互相推卸责任的情况。
3.2提高工作人员的综合素质
聘用专业人员,需持证上岗,根据个人能力安排相应的岗位。采用奖惩制度,建立起良性竞争,对表现优秀者予以适当的奖励,在内部培养一致高素质的专业队伍。及时更新信息网络技术,了解现状,并安排工作人员积极学习新内容,掌握如何运用新的技术。此外,公司对工作人员的职业素质也尤为重视,培养其认真负责的工作态度。
3.3采用信息安全防范技术
(1)防火墙技术。供电系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。
(2)建立了信息安全身份认证体系。供电企业面对来自内部和外部信息安全风险威胁,需建立有效的信息安全身份认证体系,实现网络危险过滤、终端准入、用户识别、上网授权等功能,警告或禁止检查不通过的终端访问企业内部资源,最终实现企业内网用户终端安全性的提升,达成企业整网上网安全性的保障。
3.4加强信息设备管理
(1)购买设备时,要注意其售后保障服务,将风险最低化。设备会出现老化的问题,需要及时的更新换代;设备管理人员可能存在技术经验不足的问题,不能及时地解决故障。这时就需要相关的售后服务来保障。
