时间:2023-10-10 09:49:44
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇加强网络信息安全管理范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
0引言
进入21世纪以来,我国的计算机信息技术发展非常迅速,互联网开始进入每家每户。随着互联网的广泛应用,互联网安全问题开始受到社会的重视。无论是个人还是企业都有自己的隐私和秘密,如果网络出现安全问题,那么这些隐私和秘密将会被盗窃,给个人和企业造成巨大的损失。因此,加强信息技术安全的管理非常重要。目前,我国的网络信息安全技术管理存在很多问题,这些问题时刻影响着我国计算机网络信息技术的安全,曾经也造成过巨大的损失。只有要解决网络安全问题,才能保障人们的权益不受侵犯。通过采取相关措施,从本质上提升计算机网络信息技术的安全,构建一个安全和谐的网络环境,避免个人或企业的隐私、机密被窃取。
1网络信息安全技术发展存在的一些问题
1.1个入信息被随意窃取
个人信息是每个人的隐私,计算机运行过程中,个人信息时常会被恶意访问,从而造成个人信息的泄露。一些不法分子会通过网络获取个人或者企业的机密信息,他们往往会侵入用户的局域网,窃取用户的相关资源,导致用户的机密信息被泄露,给用户造成巨大损失。
1.2网络信息的墓改
实际生活中,一些不法分子窃取信息后会篡改用户信息,并且把篡改后的信息发送到另外一个区域,导致用户信息被泄露,用户在不知不觉中遭受损失。
2加强网络信息安全技术管理的重要作用和意义
2.1有效防止各种安全隐患
计算机使用过程中,常常会遇到系统损坏或者计算机硬件损坏的问题,进而造成数据丢失,这种现状可以通过管理计算机安全技术避免,且其还可以处理一些突发事故,避免造成更大的损失。采取的主要措施为备份数据,可以通过备份信息,有效避免数据丢失造成的严重的后果,还可以在一定程度上防范各种安全隐患[1]。
2.2进一步修复漏洞
计算机网络发展初期,为了保障网络安全制定了计算机网络相关协议,这些协议不但能提高计算机网络的安全性和可靠性,还能在计算机网络受到攻击后尽快修复漏洞,从而加大网络的安全性[2]。
2.3抵御黑客袭击
黑客是计算机网络中经常听到的一个名字,其主要通过网络攻击个人计算机,目前已经成为了影响计算机网络安全的一个重要因素;因此,必须要采取相关措施避免黑客攻击,避免一些不法分子窃取他人隐私或者企业机密,保证计算机网络的安全性。
2.4有效防止病毒感染
计算机病毒时刻影响着计算机运行,计算机网络一旦遭到病毒感染,就会导致整个计算机系统受到破坏,造成系统崩溃,无法正常工作。因此,必须采取一些安全措施避免病毒侵害。如果对病毒采取防御措施,相当于给计算机加上了一层防御保护层,避免病毒感染计算机系统,从而提高计算机网络的安全性。
3加强网络信息安全技术管理的有效对策
计算机网络安全影响了千家万户和很多企业,必须采取相关措施保证计算机网络的安全,避免病毒和黑客入侵,进而避免个人隐私或者企业机密受到侵害,以下是具体的防御措施[3]。
3.1进一步健全网络信息安全的相关法律法规
完善计算机网络安全法律法规,能够为计算机网络安全提供保障。没有规矩不成方圆,为了保证计算机网络安全,必须制定相关的规章制度。目前,我国计算机网络安全法律法规还存在很多问题,很多法律体系都不完善。因此,需要不断完善相关法律法规。我国可以参考西方一些发达国家的经验,结合实际情况,完善计算机网络的法律法规,不断推动我国计算机网络信息的进步。
3.2进一步研发网络安全技术
除制定相关法律法规以外,还要根据相关法律法规开发一些新的防御软件,通过这些新的防御软件保障计算机网络安全。科学技术在不断创新,计算机网络安全维护也要不断创新,尤其针对计算机病毒日趋猖獗的现状,必须要深入研究和探讨,通过网络监测、信息加密等技术防止黑客攻击。此外,要加强研究计算机网络安全技术,不断提高网络信息安全。通过提高相关技术的水平,建立良好的计算机网络信息安全保护系统,为计算机的安全运行提供可靠保障。
3.3进一步加强网络加密技术
面临网络信息被随意窃取、更改的现象,为了保护用户的隐私及上网安全,必须进一步研究网络加密技术,采取有效的加密手段保证用户信息的安全性和隐蔽性。一般情况下,可以通过设置加密锁或者对称加密等方式,避免黑客随意窃取用户信息。
3.4进一步提高网络信息安全的重视程度,培养更多的计算机专业入才
目前,计算机日益普及,网络信息安全工作日益重要。因此,需要提高每个人的网络安全维护意识。通过提高每个人的安全防范技术,能够有效应对网络信息安全存在的隐患,并及时解决一些网络信息系统中存在的故障。此外,培养专业性的计算机人才至关重要,通过普及计算机基础知识,提高每个人的网络信息安全意识,构建良好的网络信息加密平台,确保个人数据的安全[4]。
4结语
随着计算机技术的发展,我国各行各业都在使用计算机信息技术进行工作,计算机网络安全成为人们关注的主要问题之一。实际生活中,必须采取相关措施保障计算机网络安全,避免一些隐私和机密被不法分子窃取。目前,我国在计算机网络安全管理方面还存在很多问题,主要包括网络信息安全、个人信息泄露等。通过加强计算机安全技术的管理,防御黑客和病毒攻击网络,采用先进的技术保障计算机网络信息技术的安全。
参考文献
[1]孔晓昀,张明熙,郑星航,等.加强网络信息安全技术管理的有效对策[J].电与软件工程,2018(21):179.
中图分类号: TU714 文献标识码: A
前言:
近年来,随着信息技术的发展,现如今信息网络已经成为了人们工作和生活也是不可缺少的一部分,人们对于信息网络系统的需求和以来的程度也在不断的增加。但是随之增加的就是信息网络安全也得到了一定的威胁,计算机病毒无处不在,黑客的侵入、Internet的开放性及其其他的原因导致网络环境之下的计算机系统存在着很多的安全隐患,不论是外部还是内部的信息网络都遇到了众多网络安全问题的威胁。因此,分析影响信息网络安全的原因,提出保障信息网络安全的相关对策变得十分重要。
1、信息网络常见安全问题
1.1 自然灾害
和一般的电子系统一样,信息网络喜用也是一种电子线路,信息网络实际上就是一种电信号,温度、湿度、振动和污染等各个方面的异常因素都有可能会影响网络的正常运行。例如:网络中心若无较为完善的防震、防火、防水、避雷、防电磁泄漏或干扰等设施,抵御自然灾害和意外事故的能力就会很差;强烈噪音和电磁辐射,譬如雷电、高压输电等,也会导致网络信噪比下降,误码率增加,威胁到信息网络安全。
1.2 网络管理人员的安全意识不够强
当前,我国计算机网络系统的安全管理人员是整个网络系统安全管理工作的主要执行者与参与者,他们能否做好计算机网络信息安全管理工作,是直接关系到网络信息安全与否的关键因素之一。但是,就目前来看,我国计算机网络人员的安全意识并不是很强烈,其安全技能并不够高,职业素养整体上来说较低,对于网络信息的安全性与有可能造成的危害或损失都缺乏一定的认识,并没有能够真正做到面临安全威胁时采取及时的补救措施。此外,还有由于用户操作失误,人为恶意攻击,计算机病毒,计算机犯罪,间谍软件以及垃圾邮件等造成
的威胁。
1.3 病毒攻击
计算机病毒属于一种恶意指令和破坏代码,病毒编制人员将计算机病毒插入到计算机程序中,目的是破坏计算机内部存储的数据并导致数据泄露,严重的会导致计算机硬件也被破坏。具有自我复制性、寄生性、潜伏性、破坏性和触发性。病毒的传播途径非常广泛,但主要途径为程序复制、程序在运行过程中传播、计算机数据包收发产生。
1.4 黑客攻击
黑客攻击一般情况就是分为网络侦查和网络攻击两种,网络侦查就是指黑客以某个或者某些计算机为攻击的目标,然后截取和窃取目标计算机的重要信息,所以这种黑客攻击并不会影响正常的网络工作;网络攻击则是指黑客使用各种手段选择性的攻击计算机网络信息的有效性,导致网络信息安全大量泄漏和数据丢失。
1.5 邮件攻击
电子邮件炸弹是最古老的一种攻击的方式,通过设置一台及其而不断的向同一个地址发送电子邮件,攻击的人可以耗尽接受人员的网络,占据堆放的油箱空间,组织了用户对正常邮件的接受,妨碍了计算机的正常工作。
2、信息网络安全缺陷的原因分析
2.1 网络系统的脆弱性
Internet技术的最显著的有点就是具有开放性,其所依赖的TCP/IP 协议是公布于众的,它对网络的安全性考虑得并不多,本身安全性不高,因而运行该协议的网络系统就存在欺骗攻
击、拒绝服务、数据截取和数据篡改等威胁。如果人们对TCP/IP 协议很熟悉,就可以利用它的安全缺陷来实施信息网络攻击。
2.2 网络结构的不安全性
因特网是一种网间网技术,它主要就是由无数个局域网所连接而成的一个网络。当人们的一台主机和另一局域网的主机相互通信的时候,一般情况下他们之间相互传送的数据流主要可以经过多台机器进行转发,如果攻击的人员利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包,对信息网络的安全造成威胁。
2.3 人为的恶意攻击
这中攻击是当前计算机网络面临的最大的威胁,恶意攻击又可以分为主动攻击和被动攻击两种。主动攻击是以各种各样的方式有选择性的破坏信息的有效性和完整性。被动攻击是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。现在使用的网络软件或多或少存在一定的缺陷和漏洞,给网络黑客们以可趁之机修改和破坏信息网络的正常
使用状态,造成数据丢失或系统瘫痪。
3、信息网络安全防护策略
3.1 加强物理环境的建设和治理
要想全面保证信息网络系统的安全和可靠,那么就必须要全面保证系统有个安全的物理环境的条件。信息系统的安全环境条件主要包括温度、湿度、振动、冲击和电气干扰等各个方面,具有很具体的要求和严格的标准。因此,为信息系统选择一个合适的安装场所具有重要的意义,它直接影响到系统的安全和可靠性。选择机房场地要注意其外部环境的安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。
3.2 对管理员的账户进行更换
计算机系统内的管理员的账户拥有的权限是最高的,如果账户被人盗取或者利用,那么造成的结果就是很难以控制的。当黑客侵入的时候通常是盗取管理人员的账户秘密,这就要求计算机用户要及时的配置管理人员的账号。对于管理人员来说,可以设备一个相对于复杂的密码,然后在对管理人员的账号进行重命名,然后再创建一个没有实际权限的账户来迷惑入侵者,这样入侵者就很难辨认出到底哪个是真正的管理者账户,这就就会大大降低网络信息被窃取的可能性。
3.3 网络防火墙
防火墙可以控制网络之间的访问量,防火墙的工作内容就是监控并且审计网络存取及访问;过滤一些不安全的信息,合理的划分整个网络资源,以隔离内部网络的重要网段从而避免个别不安全因素对整个网络的影响。它能够控制外部网络对内部网络的访问和内部网络访问外部网络时可能触及的不安全信息实施控制。
3.4 建立系统容灾体系
一个完整的信息网络安全体系,还必须要具有灾难容忍和系统恢复的能力。现阶段来说,主要有基于数据备份和基于系统容错的系统容灾技术。数据容灾通过IP 容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关
键数据。二者通过IP 相连,构成完整的数据容灾系统,也能提供数据库容灾功能。
3.5 实施入侵检测和网络监控
应用入侵检测系统的时候可以提供实时的入侵的检测。实时入侵检测能力指所以重要是因为首先它能够对付来自于内外网络的供给,其次它能够有效的减少黑客入侵的时间。如果在需要保护的主机网段上安装入侵检测的系统,那么就可以实时监视各种对于主机的访问请求并及时将信息反馈给控制台,这样网内任何一台主机受到攻击时系统都可以及时发现。
4、结束语
信息网络安全是一个不断变化快速更新的领域。随着信息技术的不断发展,过去有效的信息网络安全策略很有可能对当前的问题没有任何的解决的措施,这就一味着单纯的使用某一种防护措施是很难以保证信息网络安全。因此,我们必须要综合运用各种防护的策略,相互配合,通过不断的改进和学习来努力营造安全的网络环境,逐步建立起更好的信息网络安全防
护体系。
参考文献:
[1]邢露,张棋. 计算机网络信息安全与病毒防治[J]. 河南科技,2011,(1):63.
1加强硬件设备安全管理
1.1设置保密度高的登录密码
在计算机安全管理过程中,若网络终端的登录口令太过简单,使用重复率较高或是较简单的口令,如“123456”、“888888”等,极容易造成信息泄露的情况。高校要想加强网络终端设备的安全管理,首要将原本简单的登录口令更换为保密度较高、较复杂的口令,如可以在密码中加入字母、数字、特殊符号等,或者还可以使用专业的动态密码登录设备,在每次登录时会随机生成新密码,可防止固定密码被破解。另外,还应加强教师和学生使用计算机的安全意识,要注意使用计算机时无意弹出的网络连接、下载程序和电子邮件等。
1.2加强控制外部接入设备
在计算机安全管理过程中,还应加强控制外部设备端口的安全管理,如串口、USB以及红外等;同时还应加强控制移动设备的安全管理,如无线、光驱、打印机等。对计算机外部接入设备的安全管理可分为只读、禁止与安全三个层次,管理人员可通过授权认证制度在发现违规操作或违规接入行为时,立即给予警告和制止。此外,还应设置安全管理系统,对外接设备的文件传输进行监控和跟踪,如文件复制、增加或删除等,以避免发生信息泄露的情况。
1.3加强控制计算机网络终端
以往传统的计算机网络终端使用分散式管理,没有系统性的安全策略,且无整体防御措施。因此,计算机安全管理人员应从网络终端安全管理开始监管。通过网络终端接口认证、安全策略服务器和全网络客户端等设备,对所以不符合安全管理要求的终端均控制在隔离区外。在必要时,可实施拒接入网,或是可以将通过安全监测的网络终端直接接入内部网络,从而实现从源头上对计算机网络终端进行安全控制和监管的目标。
2加强信息存储安全管理
高校的计算机信息化安全管理应建立一个统一的管理体系,由网络安全管理软件、检测系统、防火墙、杀毒软件等组成,对信息安全性、完整性、合规性进行管理。其中信息安全性管理包括程序安全管理、物理安全管理、数据安全管理;信息完整性管理主要对应用程序安全与软件质量进行安全管理;信息合规性管理是指保证信息和信息的使用符合法律法规的要求。
2.1建立检测系统
大多数的高校计算机信息方面的泄露事件或攻击事件均发生于高校内部网络,其中内部人员的使用和操作是防火墙的盲区。因此,计算机信息安全管理人员应加强对计算机信息安全的管理,建立信息安全管理检测系统,不仅可以弥补防火墙的不足,还可为信息安全提供全程检测,在发现异常情况时可以立即采取相应措施进行防护和修复。
2.2病毒的过滤及防护
计算机信息安全会受到多方面、多领域的病毒威胁,其中主要包括移动硬盘、光碟、U盘和互联网等,为减少病毒的入侵和损害,大多数情况下会使用多层病毒防护体系来进行全网统一杀毒措施。其中全网分布式病毒防护的重要措施之一是在互联网的网关上设置病毒过滤网关硬件,优化的杀毒软件可避免错失防毒杀毒的最佳时机。
2.3防火墙设置
防火墙是设置不同网络之间所有部件的组合,是通过网关来对信息交流进行控制。防火墙主要作用是防御外来网络的攻击,解决外来者是否被允许访问内部服务、内部服务是否允许外部访问等问题。高校计算机信息安全管理应加强对防火墙的设置,以实现信息安全管理的目标。
中图分类号:F29 文献标识码:A文章编号:1672-3791(2012)02(c)-0000-00
1 前言
当前,随着网络和信息化建设的不断发展,企业对信息网络的依赖越来越强,供水企业也不例外。供水企业信息安全问题关系到供水系统的稳定和安全运行。目前,供水企业的信息安全风险主要来自于两个方面,即内部和外部的因素。内部威胁主要为企业信息安全管理问题;外部因素主要包括因病毒、黑客、恶意软件等造成的数据丢失,系统运行失常等问题。本文围绕着这两个方面的因素,就供水企业的信息安全问题进行探讨。
2 供水企业面临的信息安全威胁
2.1 计算机病毒的传播
计算机病毒的传播是带来企业信息安全风险的因素之一。自上世纪九十年代以来,计算机病毒以迅猛的增长速度危害着个人用户和企业用户,给企业和个人造成了严重的经济损失。目前,随着智能手机的普及,一种新型的病毒,即手机病毒也开始威胁到企业的信息安全。
2.2 企业内部网络受到黑客攻击
黑客对企业内部网络的攻击是带来企业信息安全风险的因素之二。由于Internet具有自由行和广泛性,而供水企业一般又建立了企业内部网络。当企业内部网络与Internet发生间接或直接关联的时候,企业内部网络就有可能成为黑客攻击的目标,从而泄露或丢失一些重要的企业信息,或使企业内部网络处于失常或瘫痪的状态。
2.3 企业安全管理的不足
企业的信息系统不够健全,企业员工的安全意识薄弱,这也是造成企业信息安全威胁的因素。在信息机构设置方面,供水企业缺乏规范的机构体制,相关的专业技术人员偏少。同时,很多供水企业对相关的专业技术人员缺乏系统的专业培训,使得企业员工缺乏必要的安全意识,“防黑防毒”意识淡薄,对一些恶意攻击也缺乏警惕性,有的甚至因为操作失误而给各种信息安全威胁带来了可能。
3 供水企业信息安全建设
3.1 采用防水墙技术
防水墙是保障企业信息安全的有效手段。通过控制进出供水企业网络的权限,监控网络数据流,检查所有的数据连接,防水墙技术可以有效地控制和管理对企业网络系统的访问控制和安全管理,隔离和过滤危险数据包,防止企业网络受到黑客和病毒的破坏与干扰。同时,由于所有的访问都得通过防火墙,防火墙还能实时记录和统计网络访问,这对企业信息安全管理人员管理维护企业网络提供了有利条件。
3.2 采用入侵检测技术
防火墙可以限制对企业网络系统的非法访问或攻击,检测并防御非法访问。然而,防火墙无法防止企业网络内部用户之间的攻击不经过防火墙。因此,在采用防火墙的同时,有必要用入侵检测技术。入侵检测技术(Intrusion-detection?system),简称IDS,?是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它能够分析通过网络收集的信息,检测并识别出恶意行为,及时有效地发现网络异常,检测出网络中违反安全策略的行为。如果说防火墙是一幢大楼的门卫,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。除了简单的记录和发出警报之外,IDS还可以进行主动反应:打断会话,和实现过滤管理规则。所以说,要确保供水企业网络处于安全的状态,入侵检测技术也是必不可少的,它是防火墙技术的一个有效的补充。
3.3 采用VPN技术
VPN(Virtual?Private?Network),即虚拟专用网,是通过一个公用网络(通常为Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它主要是通过路由器、防火墙技术、隧道技术,安全秘钥以及加密协议而组建成的Internet?VPN。它是对企业内部网络的扩展,通过VPN可以在企业分支机构,合作伙伴、供应商或远程用户与企业内部网络之间建立可靠的安全连接,向他们提供安全而有效的信息服务,保证数据的安全传输,实现企业网络安全通信的虚拟专用线路,使得外部非法用户无法访问公司内部信息。与此同时,VPN技术还可以极大降低企业信息共享的成本。
3.4 加强企业员工的安全管理
实现供水企业的信息安全,除了做好技术防护之外,还得加强企业内部员工的安全管理。做好技术防护并不意味着一劳永逸,企业员工的信息安全管理也是至关重要的。加强企业关公的安全管理需做好以下几点:1)增强企业员工的安全意识。员工的安全意识淡薄是造成企业信息安全风险的一大因素。为保障企业信息安全,供水企业需对员工进行企业网络系统的专业培训与教育,掌握信息安全问题的基础知识与常识,提高对外部恶意攻击和病毒的警惕性,加强安全防护意识,能及时发现并处理常见的安全问题。2)健全企业信息安全管理规章制度。根据供水企业的实际情况,建立健全的信息安全管理制度,如网络系统使用规范、机房管理制度、保密制度、值班制度、设备维护制度等。企业员工必须遵照相关管理制度,明确职责,按照相关用户口令或操作口令,确保日常操作符合信息安全规章制度,最大限度地防止人为失误或违规操作带来的信息安全问题。3)配置专门的企业信息安全管理技术人才。在互联网高速发展的几天,没有绝对的信息安全。企业需配置专门的信息安全管理人员,在及时有效地处理企业信息安全风险的同时,增强企业信息安全管理的人才储备,加强信息安全技术管理队伍,培养弓虽企业网络系统硬件和软件的开发设计人才,掌握保障企业信息安全的核心技术。
4 结 语
本文以供水企业为例,对企业的信息安全风险进行了分析,认为计算机病毒的传播,黑客对企业内部网络系统的攻击以及企业在员工安全管理方面的不足是造成供水企业信息安全问题的三大原因。因此,要保障信息安全,供水企业需在技术和管理两方面下功夫。在技术方面,企业可采用防火墙技术、入侵检测技术和VPN技术。在管理层面上,企业需增强员工的安全意识,建立健全企业信息安全管理规章制度,配置专门的信息安全管理技术人才。
参考文献
[1]丁丽川,曹晖.计算机网络信息安全探析[J].?科技创新导报.?2010(35):28.
一、引言
《2006-2020年国家信息化发展战略》提出,“到2020年我国信息安全的长效机制基本形成,国家信息安全保障体系较为完善,信息安全保障能力显著增强”。政府门户网站是政府部门在国际互联网上建立的信息、办公互动、数据交换的窗口,是政务公开的载体和舞台,也是政府与社会、企业、民众沟通的桥梁。通过政府门户网站,公众可以便捷地获取政府信息和服务,使得公众与政府关系简单化。由于互联网是个开放的网络,政府网站的信息一天24小时都在被查询、阅读、下载或转载。如果没有可靠的信息安全体系和有效的事件响应能力,那么一旦网页被篡改或网站被中断,将直接干扰、破坏政府履职,损害政府的形象,败坏公众对政府的信任,后果不堪设想。根据有关资料显示,2005年,我国90%以上的政府网站存在安全漏洞,很多网站都曾受到过不同程度的黑客攻击和计算机病毒的侵害,给国家造成了较大的损失。因此,信息安全问题是政府门户网站建设的一项重要内容,必须综合运用多种策略和手段建设政府门户网站安全保障体系。
二、政府门户网站信息安全存在的主要问题
安全管理认识存在偏差以及缺乏有效组织规划培训和相应法律制度支持,是当前福建省各级政府门户网站信息安全建设中存在的最主要问题,主要表现有以下几个方面:
一是重系统建设轻安全管理。由于受到传统的政府绩效评价和考核体制的影响,各级政府信息主管部门往往认为“安全”只是保障“业务应用”的一种手段,只重视网站信息系统的建设,轻视相应的信息系统安全建设和管理。
二是重消极应对轻主动预案。在政府门户网站安全管理中,很多情况是等出了问题,才匆忙借助经验和应变能力去处理突发安全事件,缺乏应急预案的制定和按照应急预案进行处理的观念。
三是缺乏整体安全意识。谈及信息安全,很多管理者认为安全就是防火墙、入侵检测、身份认证等技术措施,没有真正意识到安全是一个包括理念、技术、制度、人才等各方面缺一不可的整体。
四是缺乏及时有效培训。信息化安全技术日新月异,网络攻击手段也日趋多样化,各级网站主管部门对安全管理人员缺乏及时有效培训,无法保证网站信息安全。
五是缺乏统一信息安全技术标准与规范。不同层次、不同部门的网站信息安全建设各自为政,没有进行有效的组织和规划,使用的安全技术五花八门。这样不仅造成了资源的严重浪费和低效率,也给网站信息安全带来各种各样的隐患。
六是缺乏相应的法律和制度的支持。政府作为信息的所有者,其权利范围和内容较为模糊,相关网站信息安全的法律和制度较为薄弱,法律上缺乏相应的保护。
三、政府门户网站信息安全存在问题的原因分析
1.管理体制未理顺
政府系统缺乏专门的电子政务信息安全的领导体制、研究机构和相应政策措施的落实机制,尽管在中央一级设有领导小组以及专家咨询委员会,但在地方由于“条块”职责不清、管理多头的实际状况,直接影响对电子政务安全的重视程度和贯彻落实相应信息安全政策措施的力度。
2.运行机制未健全
信息安全保障的运行机制不健全表现在电子政务信息安全的地位与其重要程度不相称,电子政务信息安全在政府发展任务的地位上,远不及经济、社会、文化等其他方面;在资金、人力等方面的投入得不到更好的保障;与信息安全相关的政策法规、技术标准与规范的制定落后于实际发展的需要。
3.技术与实际安全需求存在差距
技术是确保信息安全的重要因素,由于技术本身的局限性和推广应用程度不够,使技术与实际安全需求存在差距。技术不能完全保证安全,安全更不可能完全依赖技术。我国目前的电子政务安全保障技术本身并不发达,福建省在电子政务安全技术、产品推广应用方面的重视程度不高、力度不强。
4.过分强调安全技术的重要性
认为信息安全是技术问题,依靠相应的技术就能防范。实际上国内外许多信息安全事故都是人为造成的,三分靠技术,七分靠管理,要防止此类事故的发生,必须从建立和完善信息安全管理体系入手。
四、加强政府门户网站信息安全的对策建议
网络安全不仅是一个技术问题,要从法规、管理和技术三方面来统筹保障政府门户网站信息安全。在法制上,加强网络和信息安全管理等方面的立法工作,为政府门户网站的建设、运行、维护和管理提供法律保障,构筑促进国家信息化发展的社会环境;在管理上,从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面保障政府门户网站正常安全运行;在技术上,采用多种防范、监控等先进的技术手段,制定各种应急措施,保证政府门户网站安全可靠地运行。
⒈加强政府门户网站信息安全法规与制度建设
一是加强信息安全管理等方面的立法工作。国家及省都有加强网站建设方面的相关政策,但还没从立法的角度予以确认和强化,应从“电子政府”建设的高度,制定相应的法规,为包括政府门户网站在内的电子政务网络与系统的建设、运行、维护和管理提供法律保障。
二是加强网络和信息安全管理等方面的制度建设。用管理手段来弥补技术落后问题,本着“堵漏、补缺、管用”的原则,采用整体思路,加强管理,切实从机关内部堵塞漏洞,在若干不够安全的技术环节的基础上,形成一个相对安全的整体。在加强信息安全防护能力的同时,重视隐患发现、网络应急反应、信息对抗等管理能力的提高。
⒉建立健全政府门户网站信息安全管理体系
一是明确技术管理规范。面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。具体包括:非、网机器不允许混用;非网机器不允许运行信息,网机器不允许上非网;严格按照安全等级、安全域划分,制定相应的安全保密制度;不同安全域、安全等级之间的信息必须通过安全交换系统方可交流。只有所有接入网络的设备都安全,整个网络的安全才能得到保证。
二是明确相关人员的职责。强调以人为本,把网站安全纳入一个人人有责、层层负责、由第一责任人负总责的安全管理体制之中。主管领导负责安全体系的建设实施,在安全实施过程中取得相关部门的配合,领导整个部门不断提高系统的安全等级;网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略;安全操作员负责安全系统的具体实施;信息编辑人员负责信息采集、编辑和审核工作,确保所信息的完整性、一致性、权威性和准确性。另外,还应建立安全专家小组,负责安全问题的重大决策。
三是建立应急响应机制。从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面建立应急响应机制,以保障政府门户网站正常安全运行。
四是建立信息安全检查监督和激励机制。依据已确立的技术法规、标准与制度,定期开展信息安全检查工作,确保信息安全保障工作落到实处;建立责任通报制度,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改;建立良好的激励机制,从人才引进、培养的渐进性和连续性上优化人员结构,形成梯队,重点加强系统运行人员技能的培养力度,不断增强自我运行操作能力与应急能力。
五是做好政府门户网站信息安全培训工作。政府门户网站的运行维护,需要一支具有较高的政治素质和职业道德水准,既懂业务又懂技术的队伍。建立完善技术培训体系,使之更贴近实际业务、贴近技术前沿,提高各类人员的安全理论实践水平和安全意识。只有让每一位员工都成为安全卫士,才能实现真正意义上的全方位的安全防范。
六是合理安排信息安全建设资金。在电子政务信息项目建设上,要在项目建设前期就安排相应比例的资金用于信息安全的建设;切实落实国家信息安全建设的有关规定,保证信息安全建设资金足额到位。
七是加强信息安全设施建设。联合公安等部门,加强网络监管中心、测评认证中心、应急处理中心、病毒防治中心、数字证书认证中心等信息安全基础设施建设。
⒊积极完善政府门户网站信息安全技术防范手段
2007年9月,福建省为加强政府类互联网站的安全管理,确保网站健康有序发展,下发了《福建省人民政府办公厅关于加强我省政府类互联网站安全管理的通知》(闽政办〔2007〕182号),要求各级各单位建立健全网站安全管理制度,并贯彻落实网站安全技术措施。笔者根据实践提出以下建议:
一是加强电子政务网络的总体规划和统一建设,避免多头建设和重复建设,保证网络整体性,避免网络架构缺陷引起的安全问题。
二是统一信息安全技术标准与规范,各级政府门户网站信息安全建设都应按照这个标准和规范进行实施,以确保信息整体安全。
三是加强信息资源安全等级标准的规划和建设,明确不同信息的服务对象和公开范围。既要避免出现保密过度,限制政务信息化应用的推广和发展的情况,又要避免保密不够,造成电子政务信息泄密情况的发生。在确保信息安全的基础上,最大限度地保证信息共享。
四是在信息安全方面,既要考虑省、市级政府的信息服务对象着重于政府部门和相关的领导等的特点,又要考虑到县、区级政府及相关部门的信息服务对象着重于群众或居民的特点。
五是在技术手段上,要统筹好网络被动防御和网络主动防御的关系,确保信息的安全。网络被动防御方面可以采取防火墙、入侵检测、防病毒等技术;网络主动防御方面可以采取漏洞扫描、补丁升级和自动分发、网页防篡改、容灾备份等技术。
五、结束语
综上所述,加强政府门户网站的信息安全,必须做好信息安全的法规制度建设、建立健全安全管理体系、积极完善安全技术防范手段等三方面的工作。同时,还要处理好信息安全与网站发展辩证统一的关系:安全是前提保证,发展是最终目的,要在发展过程中确保安全,在确保安全的条件下加快发展,使政府门户网站充满生机与活力,并充分发挥其应有的社会效益,为海峡西岸经济区建设做出积极的贡献。
电力是国民经济的命脉,电力系统的安全稳定,不但直接关系到国家经济的发展,还对民众的日常生活有着巨大的影响。当前随着电力企业市场业务的不断开展,其与互联网的联系也越来越密切,但互联网存在着很大的自由性和不确定性,可能会给电力企业带来潜在的不安全因素。而当前电力企业的信息安全建设仅仅停留在封堵现有安全漏洞的阶段,对于系统整体的信息安全意识还不够。因此有必要对电力企业信息系统整体安全管理进行分析研究,有针对性的采取应对策略,确保电力企业网络信息可以实现安全稳定运行。
1做好安全规划
做好电力企业的网络安全信息规划需要做到以下两点:
(1)要对电力企业的网络管理进行科学合理的规划,要结合实际情况对电力企业的网络信息安全管理进行综合考量,从整体上对网络信息安全进行考虑和布置。网络安全信息管理的具体开展主要依靠于安全管理体系,这一点上可以参照一些国外经验;
(2)电力企业因自身的独特性质,需要使用物理隔离的方法将内外网隔离开来,内网方面要合理规划安全区域,要结合实际情况,将安全区域划分成重点防范区域与普通防范区域。电力企业信息安全的内部核心是重点防范区域,在此区域应当设置访问权限,权限不足的普通用户无法查看网页。重要的数据运行如OA系统和应用系统等应该在安全区域内进行,这样可以保证其信息安全。
2加强制度建设
安全制度是保障電力企业网络信息安全的关键部分,安全制度可以提升企业员工和企业领导对网络信息安全的意识,电力企业需要将安全制度作为企业的工作核心,要结合当前的实际情况,建立起符合电力企业网络信息安全的管理制度,具体操作如下:
(1)做好安全审计,很多入侵检测系统都有审计日志的功能,加强安全制度建设就需要利用好检测系统的审计功能,做好对网络日常工作的管理工作,对审计的数据必须要进行严格的管理,不经过允许任何人不得擅自修改删除审计记录。
(2)电力企业网络系统需要安装防病毒软件来保障网络信息的安全,安装的防病毒软件需要具备远程安装、报警及集中管理等功能。此外,电力企业要建立好网络使用管理制度,不要随便将网络上下载的数据复制在内网主机上,不要让来历不清的存储设备在企业的计算机中随意使用。
(3)电力企业的管理者要高度重视其企业的网络安全制度建设,不要把网络信息安全管理仅仅看作是技术部门的工作,企业中应建立起一支专门负责网络信息安全的工作领导小组,要做好对企业内所有职工的培训,最好能让每一名职工都拥有熟练掌握网络信息安全管理的能力。企业管理者要明确相关负责人的工作职责,定期对网络安全工作开展督导检查,管理制度需要具备严肃性、强制性和权威性,安全制度一旦形成,就必须要求职工严格执行。
3设置漏洞防护
随着当前计算机网络技术的迅速发展,很多已经投入运行性的网络信息系统和设备的技术漏洞也随着网络技术的不断发展而日益增加,这在很大程度上给了不法分子窃取电力企业网络信息系统数据的机会,对此电力企业需要做好以下两项工作:
(1)电力企业需要利用一些漏洞扫描技术来维护企业的网络安全,要对企业的网络信息系统经常开展扫描工作,从而及时发现系统漏洞并完成修复。这样可以提升企业网络信息安全系数,不但能阻断不法分子入侵企业信息系统的途径,还可以使企业避免需要经常性更换网络信息系统设备可能增加的经济负担,从而促进企业实现长远发展;
(2)电力企业需要提升对网络信息安全的风险防范意识,增强企业应对突发事件的应急处理能力,针对不同的信息安全风险需要设置好不同的预警机制。要定期检查企业的网络信息安全技术,防止网络安全漏洞的出现。还要及时做好对网络信息防护新手段的更新工作,从而提升企业网络信息系统的保护强度。
4提高管理手段
科学合理的企业网络信息安全管理手段不仅可以维持电力企业的工作进度,还能有效规避企业网络信息中所存在的安全隐患。提高企业网络信息安全管理手段需要做到以下两点:
(1)建立入侵保护系统IPS,提升企业网络信息安全管理指标。在电力企业网络管理系统中建立网络入侵保护系统IPS,可以为网络信息提供一种快速主动的防御体系,IPS的设计理念是对常规网络流量中携带的恶意数据包进行数据安全检测,若发现可疑数据IPS将发挥网络安全防御功能,来阻止可疑数据侵入电力系统的网络信息系统。与常规的网络防火墙相比,IPS具备更加完善的安全防御功能,其不仅能对网络恶意数据流量进行检测还能够及时消除隐患。此外,IPS还能为电力企业的网络提供虚拟补丁,从而预先对黑客攻击和网络病毒做出拦截,保证企业的网络不受损害;
(2)电力企业要加大对新型网络信息安全技术的研发投入,在组建企业网络信息安全系统时,要对系统各组成部分做严格检查,确保设备符合安全标准。对于组建网络信息系统所需要的设备和部件则必须要求供应商提供相应的安检报告,严防设备和部件的安全隐患。对于企业已投入使用的系统和设备,必须定期做好检查,以确保安全系统能够顺利有效的开展防护工作。
5总结
综上所述,本文通过维护电力企业网络信息安全管理的相关策略进行研究发现,运用做好安全规划、加强制度建设、设置漏洞防护和提高管理手段四项措施可以起到提升企业网络信息系统的保护强度、建立起符合电力企业网络信息安全的管理制度从而确保安全系统能够顺利有效的开展防护工作的良好效果,希望本文的研究可以更好的提升我国电力企业的网络信息系统的安全管理水平,为维护我国电力系统的安全运行做出贡献。
参考文献
中图分类号:R197.3 文献标识码:A 文章编号:1003-9082 (2017) 04-0222-01
在医院信息系统建设中,信息安全为一种重要组成部分。医院信息系统的安全性主要涉及备份方案的可靠性、网络安全、计算机病毒防治等。信息系统一旦出现安全问题,会对医院工作效率、工作质量产生严重影响。因此,加强对医院信息系统安全实施科学管理,对医疗机构相关医疗服务工作开展效率及质量的保证及提高均具有重要价值[1]。本文主要以新形势下医院在信息安全方面所面临的挑战作为切入点,对医院信息安全有效防治措施进行深入研究,旨在为医院信息系统安全性提供更多保障。
一、新形势下医院信息系统安全面临挑战
1.信息安全管理策略、责任缺乏明确性
目前,多数医院在实施信息安全管理过程中,未能制定符合医院实际情况的安全管理措施、规划,或未能及时对管理策略进行修改。同时,医院领导对信息安全管理重视程度不够,未能及时发现存在的安全隐患,未能实施预见性、针对性风险评估和防范。这导致医院信息安全管理缺乏有效、科学的防治措施,管理责任含糊不清,安全防控效果差。
2.系统数据存在安全隐患,信息安全事件频发
目前,多数医院在实施网络安全建设过程中所选用的安全产品还缺乏联动,部署存在不均衡性,安全信息未能得到有效挖掘,纵深安全防护未能形成,防护效果较低[2]。同时,随着计算机网络技术发展速度的不断加快,计算机系统漏洞、病毒泛滥等网络安全问题频发。医院网络因未能形成有效的安全防护,用户终端未能及时实施系统升级、漏洞修补、病毒查杀等,这均为网络信息系统安全埋下隐患,对医院信息安全造成巨大威胁。保证用户端的安全,通过用户端对威胁入侵网络进行阻止,对访问网络实施严格控制,为保证医院网络安全和信息安全的重要前提,同时也是医院目前信息系统安全管理中必须要解决的一个重要问题。
二、应对信息安全挑战措施
1.加强制度、队伍等建设及完善,提升安全管理水平
首先,医院须积极建设安全机构,将信息系统安全管理责任进行明确划分。同时设立专门信息安全领导小组,并将小组中各个成员的安全管理职责和责任明确,并严格把控相关责任人管理责任的落实情况。领导小组须不定期组织开展信息系统安全检查,并实施安全事件处理应急演练。其次,加强管理队伍建设,提升管理人员的安全防范意识。医院应积极建设一支高专业素质和能力的安全管理队伍,为信息系统能够正常运行提供有效保障。医院可通过院内培训、院外引进等方式,加强对管理人员实施信息安全教育和培训,促进其安全防范意识以及应急处理能力得到有效提高。再次,积极建设并不断完善安全制度,对安全管理策略进行不断改进和优化。医院须建立一套包含网络、应用、运行、信息安全等诸多个方面的,具有可行性和可行性的规章制度。同时,医院以自身信息系统实际情况作为根据,对信息安全管理的等级、范围进行明确,制订出切实可行的出入机房管理制度、网络操作使用规程、网络系统应急措施及维护制度等,积极建立起适合自身实际情况的信息安全管理策略,提高管理有效性,保证医院信息系统运行的安全性。
2.制定规范性信息安全管理流程
首先,对信息系统登录密码实施规范化管理。单位中所使用的密码须通过“暗文”的方式进行保存,同时配上相应的修改密码记录,定期实施密码修改。其次,对系统使用权限进行规范管理。业务软件需要将原有用户取消或增加新用户时,必须要严格按照要求认真填写情况说明表,经所在科室负责人签字,之后信息科才能实施用户撤销或新用户添加操作,同时向新用户分配相应的操作权限[3]。同时,当员工需实施统计、其他操作权限变更时,须按照要求填写好说明表,交由科室负责人签字,然后交由相关行政科室进行审批,获得同意后信息科才能进行修改。再次,对第三方访问进行规范控制管理。将第三方访问者须将计算机的IP地址绑定于MAC地址,然后才能访问单位内部网络。第三方访问内部网络或出入信息科均须认真填写登记表;应要求第三方使用信息科计算机访问内部网络,其不使用信息科电脑访问网络时须填写申请表格,并有信息科负责人签字,由相关科室进行审批,同时之后才能访问。
3.运用技术加强信息安全管理
首先,积极强化冗余技术应用。医院的信息网络运行状况直接关系整个医院业务系统的运行状况,网络变化、故障的出现均会导致医院相关业务正常运行遭受严重影响,甚至可导致业务系统出现中断,因此,在信息安全管理过程中必须保证网络运行的可靠性进行充分考虑。冗余技术的运用可有效保证网络运行的可靠性。该种技术主要由处理器冗余、电源冗余、模块冗余等技术构成。其次,强化加密处理技术。为了保证信息系统涉及相关数据的安全性,必须建立可靠、安全的数据中心,杜绝相关安全隐患,增加数据安全等,保证患者信息及时交互得以实现。加强对信息实施加密处理,选用先进的驱动级加密技术、虚拟化技术等,对重要信息及文件M行加密。此外,还应加强使用先进入侵检测技术,保证被攻击组件及时得到识别被隔离,提高系统防御能力,保证信息系统安全。
三、结束语
医院信息安全管理为一项具有复杂性、系统性的工程,为了保证信息系统安全、可靠性,医院必须建立起一套健全、有效的安全管理控制及防御体系,积极应用相关先进技术实施安全防治工作。只有这样才能正在保证医院信息系统运行的安全性。
参考文献
摘要:目前高校教学管理信息中安全问题频发,暴露出了诸多安全管理问题,文章对高校教学管理信息安全中存在的问题进行了仔细分析,并提出了相应的解决措施。
关键词 :信息安全;问题;措施
随着信息化建设进程的加快,信息安全问题逐步成为各高校所面临的难题。高校经过多年的不断努力,通过物理、技术、管理等方面的各种措施,来保障整个校园信息的安全,通过近年来的管理,也取得了一定的成效,但是高校网络信息安全的管理不单单是技术上的问题,也不单单是出台几个管理条例就能解决的事情。根据信息安全管理体系理论对高校信息安全管理的基本要求,高校要建成相对比较完善的信息安全管理制度体系、管理措施等。而通过对高校目前的信息安全管理现状分析来看,仍然存在多方面的不足。
1 高校信息安全管理存在的问题
1.1 信息安全意识淡薄。目前,高校在信息系统防御能力方面薄弱,网络硬件、软件、协议和安全防护存在较多缺陷和错误,且无法及时、定期修复,严重滞后于信息技术的发展。部分高校教师缺乏安全知识和信息技术水平,对防护措施漠不关心,片面认为学校信息安全是属于专业技术人员的工作。有些学校也不重视高校信息安全管理,导致缺乏安全管理人才及专业指导,同时缺少信息安全系统规划和合理整体布局,风险分析不彻底,制定保障策略存在漏洞。
1.2 过分依赖软硬件技术保护。投入信息安全产品,如专业防火墙、专业的VPN 通道设置等之后,软件和设备防护能力提高,起到信息安全保护与防范作用。但是仍然存在“重技术、轻管理”的思想,管理的意识不够,观念没有彻底转变。信息安全不仅是技术层面的工作,还需考虑物理、技术、管理安全方面的因素。目前,高校在技术措施上投入大量经费,购买安全产品,却在管理措施上投入较少,过分依赖于硬件技术的保护。信息安全事件主要是人为的管理不善,管理意识的淡薄、条例的不健全、操作过程不当等造成的。
1.3 信息安全管理人员配备不足。做好信息安全管理工作,需要有一支高素质的管理队伍,但高校在信息化办公室人员配置上数量较少,专业结构不合理,信息技术部门的工作人员只是购买安全软件装在服务器上。在服务器的管理和维护工作上,通常采用与校外公司签订维护服务协议解决人员紧缺及技术问题,但因不是本校员工,难免出现因事务繁杂而导致责任心不强的问题,有所疏忽将造成重大的损失。还有一种不能忽视的问题,在各个高校普遍存在,就是有部分信息安全管理人员不是计算机或者网络安全专业出身,不能胜任专业的信息安全管理工作,从一定意义上来说,这部分人员不是信息安全管理的专业人员。
1.4 管理制度体系不够完善。目前,很多高校没有成立信息安全组织机构,未配备专门人员,尽管部分高校制定了管理办法和规章制度,但达不到信息安全的管理要求。根据信息安全现状和管理要求,各高校都应成立相应的安全组织、管理和技术机构,形成系统的信息安全管理机制。同时,还有部分高校在信息安全管理方面,几乎没有应急预案,一旦出现信息安全问题,后果不堪设想,一些高校虽然制定了《大学网络与信息安全报告管理办法》,但没有真正发挥作用,未能起到预防信息安全事件发生和消除事件影响的作用。因此,完善高校信息安全管理体系还有很多工作要做。
1.5 信息安全管理和技术有待提高。高校信息安全管理规章制度权威性不足,没有形成长效机制,是目前普遍存在的问题。任何管理措施都需要执行力,尽管目前高校在教学、管理、服务等方面都普及了数字化,但由于信息安全风险的不确定性,致使信息安全不被充分重视,信息安全管理和保障设备投入有限,设施陈旧,组织框架混乱,安全管理工作的分工不明,导致不能预防和及时处理信息安全方面的问题。信息安全管理制度的落实是高校的重点工作,各高校要高度重视,加强软硬件建设,提高管理人员技术水平,保证高校信息的安全性和可恢复性。
2 高校信息安全防护措施
2.1 建立有效的信息安全防护系统。合理配置操作系统端口,详细设置防火墙,开放必须利用的端口,关闭其他不必要的端口;免费提供正版杀毒软件,供全校师生免费下载使用,定期修复系统漏洞,发送错误报告并进行分析处理,升级防毒软件,保障校内所有计算机的安全运行;安装与配置IDS 入侵检测系统,检测防火墙过滤后的隐匿攻击,安装漏洞扫描系统,内外兼防确保信息终端的可信赖性。
2.2 建立安全管理体系。在了解高校当前信息安全管理面临的威胁和风险,分析原因的基础上,结合现有信息安全管理现状,整体规划设计信息安全管理体系。制定相应的安全管理工作机制,明确各管理部门责权,对重点部门、重点节点重点进行安全风险的防控,有效确保整个信息安全管理工作的高效落实。
2.3 加强信息安全管理人员的配备和管理。成立学校信息安全管理机构,采取激励政策,引进培养素质高、数量足的高水平网络、数据管理人才队伍,并培养部门信息安全管理员,充分调动他们的积极性和主动性,为学校信息安全保驾护航。对全体师生进行信息安全技术培训,使广大师生熟练掌握日常的安全操作和系统维护,针对性的加强部门、学生内部安全意识和技术人才的培养,使教师学生掌握基本的网络防御技能和安全保密素质。
2.4 提高高校信息安全管理应急处理能力。信息安全事件具有隐蔽性、突发性的特征,甚至是具有灾难性和传播性的恶性事件。因此,要充分考虑信息安全事件发生时的影响度、损坏度,并进行风险评估,建立和完善信息安全预警与应急处理机制。各校要成立网络信息安全应急处理小组,明确应急处置流程、落实相关处置人员职责,以加强预防为主,在网络信息安全应急事件发生时,迅速实施应急预案,有效控制突发事件,妥善处理问题。在处理信息安全突发事件时,要兼顾高校正常工作中对网络的需求,在有效控制校园网络信息安全突发事件后尽快恢复校园网络,避免影响正常办公。
3 结语
总体来讲,高校目前在信息安全管理方面还存在很多缺陷,已有的安全管理规章和制度只是一种局部的、事后纠正式的安全管理方式,要从根本上避免和降低信息安全事件发生的概率,就必须要根据自身的实际情况,借鉴其他高校的相关经验,制定一套适合本校的安全管理策略和措施体系。
参考文献:
前言
当前,电力企业在生产运行过程中离不开信息技术的支持,尤其是电力企业在建立了复杂的数据网和信息网后,信息技术的在电力企业中的地位日益提高,同时,信息安全也影响着电力企业的生产经营。
1电力网络和信息安全管理的主要内容
电力网络和信息安全管理主要包括三方面的内容:①安全策略;②风险管理;③安全教育。具体浅析如下:
1.1安全策略
信息安全策略根据企业规模、安全需求和业务发展的不同而不同,但是都具有简单易懂、清晰通俗的特点,由高级管理部门制定并形成书面文字,属于企业安全的最高方针,广泛到企业所有员工手中。
1.2风险管理
评估威胁企业信息资产的风险,首先事先假定风险可能会给企业带来的风险和损失,然后再通过各种手段,如:风险的规避、风险的转嫁、降低风险和接受风险等多种方法为相关部门提供网络和信息安全的对策建议。
1.3安全教育
所谓安全教育,就是对直接关联企业安全生产的人员进行的教育活动,其对象是安全策略执行人员,具体来说就是与安全工作相关的技术人员、管理人员和客户,并对其进行安全培训,让其了解和掌握信息安全对策。安全管理是企业管理的重要内容,必须引起企业领导层的高度重视,切实将安全相关教育纳入到企业文化的组成中,确保信息安全管理的有效执行。
2电力企业信息化发展的特征
随着我国电力企业信息化的发展,与其他企业相比,在网络信息安全方面具有以下优势特征。
2.1信息化基础设施完善
经过多年的发展,电力企业的信息化建设与其他行业的信息化建设水平相比,具有明显的比较优势,进程相对领先,各个部门工作中计算机的使用率为100%,电力企业局域网覆盖率90%以上。
2.2营销管理系统广泛应用
电力企业的营销管理系统经过多年的研究探索已基本建成,实现了用电管理信息化、业务受理计算机化,并建立了相应的客户服务中心。
2.3生产、调度自动化系统应用熟练
电力企业信息化建设的重点是提高电网运行质量和电力调度的自动化水平,现阶段,从电力企业发展的自动化水平上来看,其生产已基本达到国际先进水平。
2.4管理信息系统的建设逐步推进
电力企业积极建设管理信息系统,开发了设备、生产、电力负荷、安全监督、营销管理等信息系统,并将企业信息化建设放到重要位置,利用信息化推动企业现代化发展。
3电力企业网络和信息安全管理中存在的问题
电力企业网络和信息安全管理虽然具有以上优势特征,但同样还是存在一定的问题,具体如下:
3.1信息化机构建设不完善
部分电力企业还未设置专门的信息部门,信息科室有的在科技部门下,有的在综合部门下,缺乏规范的制度与岗位设置,这种情况下,势必会影响到网络和信息安全的管理工作。
3.2网络信息安全管理未成为企业文化的一部分
电力网络信息贯穿于生产的全过程,涉及到电力生产的各层面,但是仍然处于从属地,没有纳入电力企业安全文化建设中,进而影响到安全管理的实施力度。
3.3企业管理革新跟不上信息化发展的步伐
电力企业管理革新与信息技术的发展与应用相比还较为滞后,企业不能及时的引入先进的管理与业务系统,导致企业信息系统不能发挥预期的作用。
3.4网络信息安全存在风险
电力企业网络信息安全与一般企业网络信息相比,有共同点,也有自自身的特殊性,实践中必须认真分析研究,具体表现为:①网络的结构不够合理,电力网络建设要求,网络建设要区分外网和内网,且内外部网络要保持物理隔离,但是部分电力企业的核心交换机选择不合理,导致在网络中所有网络用户的地位是平等的,因而很容易出现安全问题。②企业内部风险,由于企业内部网络管理人员对于企业的网络信息结构与系统应用十分熟悉,一旦泄漏重要信息,就会带来致命的信息安全威胁。③现阶段互联网使用存在的风险,目前很多电力企业的网络已经与互联网发生了关系,一些客户甚至可以直接访问电力系统的网络资源,在提供方便之门的同时也要高度关注其可能带来的信息安全和计算软硬件安全风险。④网络管理专业技术人员带来的风险,主要是网络管理人员的素质风险,现阶段电力企业的网络建设还存在重建轻管,重技轻管的问题。出现了诸如专业技术人员综合素质不高,一些安全管理制度不健全、落实不够有力、安全意识不强、管理员配备不当等威胁到电力企业网络信息安全性的问题。⑤计算机病毒侵害,计算机病毒的扩散速度快,网络一旦感染病毒,整个电力网络系统就会处于崩溃的状况。⑥系统出现的安全风险,这方面主要指操作系统、数据库系统以及内部各种应用软件系统等存在的风险,这些系统很容易导致外界的攻击,一些黑客采取专业手段可以很轻易获取管理员权限,实施拒绝服务攻击。
4电力企业网络和信息安全管理对策
4.1建立健全网络和信息安全管理组织架构
网络和信息安全管理实行统一领导、分级管理原则,企业的决策层组成领导小组,由企业各部门的管理者作为安全小组的管理层。网络和信息安全管理实行专业化管理,包含信息安全规划、信息安全监督审计、信息安全运行保障等职能小组。
4.2构建网络和信息安全管理体系框架
在网络信息安全模型与电力信息化的基础上,科学构建网络和信息安全管理体系框架,主要区分信息安全策略、安全运行、安全管理、安全技术措施四个模块,
4.3建立网络信息安全防护对策,合理划分安全域
网络信息安全防护实行双网双机管理,分为信息内网和信息外网,内外网采用独立的服务器及桌面终端,通过逻辑强隔离装置隔离内外网。按照业务类型进行安全区域划分为边界、网络、主机、应用四个层次,实现不同区域防护的差异化及独立性。对于网络安全的核心区域必须实施重点安全防范,比如该区域的服务器、重要数据、数据库服务器,一般用户无法直接访问,安全级别高。电力企业内部计算机和网络技术的应用,划分为管理信息区和生产控制区,建立电力调度数据网专用网络,采用不同强度的安全设备隔离各安全区,数据的远方安全传输采取加密、认证、访问控制等技术手段,实现纵向边界的整体安全防护。
4.4网络信息安全管理制度建设
为确保电力企业网络信息安全,必须做好网络信息安全管理制度建设,具体要做好以下几个方面的内容:①建立计算机资产管理制度、网络使用管理制度、健全变更管理制度,对资产进行标识和管理,执行密码使用管理制度。②实施信息的安全分级保护举措,依据国家相关规定,开展网络信息系统审批、定级、备案工作,严格执行等级保护制度,严格保密核心程序和数据。③做好网络信息安全运行保障管理,对信息系统设备实行规范化管理,及时升级防病毒软件,严格系统变更,及时报告信息系统事故情况,分析原因并落实整改。④建立病毒防护体系,安装的防病毒软件必须具有远程安装、远程报警、集中管理等多种功能,不可将来历不明或是随意从互联网上下载的数据在联网计算机上使用,一旦发现病毒的存在,员工应熟练掌握发现病毒后的处置办法。
4.5信息安全技术保障举措
为切实有效的落实信息安全防护要求,必须根据信息安全等级防护制度落实好“分级、分区、分域”的防护策略,从而更有效的落实信息安全防护预案,根据信息系统定级水平,实施强逻辑隔离措施,做好安全区域的隔离和划分工作。
4.6规范企业人员的管理
规范人员管理首要的是用制度管好人:①企业高层应以身作则,这样员工才可以遵循信息安全管理的要求,由于高层掌握着企业更多的信息资源,密级也高,一旦出现泄漏,会给企业带来更大的损失。②对于关键岗位人员管理要尤其重视,比如:开发源代码人员,直接接触商业机密的人员,从事信息安全管理的人员,需要进行严格管理,定期检查,避免出现“堡垒从内部突破”的机会。③对于离职人员这个群体也不可忽视,必须做好离职人员信息安全审计工作,离职前,必须要求其变更其访问权限,与接手人员一起清点和交接好信息资产,避免信息泄漏事件的发生。④加强与供应商和合作伙伴信息安全的管理,在日常的交流中严格遵守规定,不得随意公开和透露相关信息。
4.7做好对企业信息资产管理分析
依据信息资产价值,实现根据载体性质不同、形式不同、来源不同做好资产的识别,提高企业劳动生产率,强化信息资产观念,树立企业良好形象。全面、系统、科学的管理信息资产,完善资产管理手段。利用信息资产资源使生产力要素保值增值,推动信息资产共享共建,实现实现外源信息资产的再增值,信息资产的再创新。4.8建立信息安全应急保障机制有风险的地方就要有应急预案,对于电力企业网络信息安全尤其应该如此,要不断健全电力企业信息安全预案,确保设备、人力、技术等应急保障资源切实可用,要加强系统的容灾建设,建立恢复和备份管理制度,妥善保存相关的备份记录。
5结束语
电力网络信息安全与企业的生产经营管理密切相关,电力企业网络信息安全涉及到技术与管理,无论是硬件还是软件出现问题都会威胁到整个网络系统,电力企业网络信息安全管理涉及到人、硬件设备、软件、数据等多个环节,所以其必须着眼整个电力企业的网络信息系统加强顶层建设,实施统一规划,搞好统筹兼顾,建立一套完整的信息安全管理体系,切实做好安全防范工作,解决电力企业信息安全管理问题,才能确保电力信息系统安全、稳定、可靠、高效地运行,有效避免安全问题的存在,保证电力企业的正常生产经营。
参考文献
[1]何隽文.电力企业网络和信息安全管理策略思考[J].中国高新技术企业,2016,28.
[2]郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013,01.
[3]牛斐.电力企业网络信息安全的防范措施[J].科技传播,2012,16.
[4]吴青.浅析网络信息安全管理在电力企业中的应用[J].中国新通信,2013,23.
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2013) 06-0104-01
自第三次科技革命后,信息技术在全球飞速发展,信息技术对经济的影响越来越具有引导性,也有一些完全依赖信息技术盈利的行业,这就造就了信息网络的安全问题。当今信息网络的普及也使得企业之间也存在着竞争,因此烟草行业在利用信息网络带来的成果时也出现了很多问题,其中企业网络信息安全尤为突出,加强企业网络信息安全,做好控制管理工作,首先要从网络安全管理的认识开始,再去探究存在的问题,进而解决现有或潜在的问题。
一、充分认识网络安全管理对烟草行业的重要性
网络信息既是一个分享平台,也是一个方便巨大的信息储存库。伴随着信息化的工作和生活,信息系统中储存了许多真实、有价值的私人或企业机密的信息,这些信息诱惑着一些不法之徒,因此企业网络信息就成了许多黑客的攻击对象,且攻击手段越来越复杂,隐蔽性及破坏性越来越大,使企业防不胜防,措手不及。
据我国CNCERT在2007年的统计数据表明,仅在上半年我国处理的非扫描类的信息安全时间近达2000起,其中包括病毒木马、网页篡改和假冒网站等威胁网络信息安全的行为。在我国加入世界贸易组织后,国内烟草与国外烟草行业的竞争日趋激烈,为提高竞争力有些企业不择手段,导致烟草行业的网络安全出现很多问题,近些年来,我国烟草专卖局也相继出台了一些有关烟草行业中网路安全管理的法律法规,如《全国烟草行业信息化工作管理方法》、《烟草行业计算机网络和信息安全技术与管理方法》、《烟草行业计算机信息系统保密管理暂行规定》等。可见,网络信息安全管理不仅在其他行业重要,在烟草行业也是相当重要的。
二、烟草行业在网络信息安全控制方面存在的问题
(一)现有制度的执行力不够,员工对保密、安全意识淡薄
在现有制度中对网络信息安全管理方面的制度不够完善,没有太引起重视,制度的制度过于简单。另外企业对制度的执行也不够严格,一般企业执行时会有没出大问题就不太追究的习惯,导致了在烟草网络信息安全方面对员工的监督不够,使整个系统的管理员及信息系统的使用者应尽的职责模糊化,行动缺乏明确性。对于烟草信息、客户资源及数据的保密做不到位,信息安全意识淡薄,使内部网络信息安全无法得到保证。
(二)网络信息安全管理人才缺乏,技术欠缺,容易造成安全漏洞
由于大部分企业对烟草行业的网络信息安全的不太重视,导致招收的信息安全管理人员的网络信息安全管理技术水平有限,基本处于满足正常维护网络平台的层面。因此,信息安全平台就存在着安全漏洞,让黑客有机可趁。如果不能对系统中比较隐蔽性的通道进行防护,这也可能成为攻击者的入侵通道,从而造成潜在的安全隐患。
在网络信息技术中,网络协议和远程性的办公服务也可能带来安全隐患。因为网络协议自身的公开性使得该协议中很容易存在许多隐患,而远程办公无法控制用户的访问行为,从而容易造成信息安全问题。
三、行业网络信息安全体系的建设方案
(一)建立网络信息安全战略体系,明确责任,进行制度规范化
在烟草行业网络信息管理中,要有系统安全全局观,考虑到安全体系中管理体系和技术体系及应运维护体系,建立明确的信息安全制度,并加大执行力度。明确工作人员的责任,使安全管理者能以安全相关规定为标准,进行定期定时的检查记录,从而使管理体系起到企业信息安全的主导作用。在技术安全体系中,将更多的技术措施相结合,做好提高预防意识,定期检测,实时监控,做好应急方案等行动。
提高员工的信息安全意识,企业对员工进行定期培训,使其真正了解到烟草网络信息安全的重要性及各自岗位职能的利害关系,使员工能在观念上有充分的认识,做好保密工作,为增加员工的维护积极性,企业还可以进行维护网络信息安全技术竞赛。
(二)重视网络信息安全管理的前提下,招聘专业、高知识水平的管理和维护人员
企业重视网络信息安全的首要体现是聘用高技能的网络信息平台管理者。构建专业的、有效的网络信息管理团队,这个团队不仅要在网络管理上体现出专业的知识水准,还要具有丰富的经验,这样才能做到对系统中统一的窗口界面安全进行监视、检查和维护,一旦发现问题与隐患能及时做出反应;在平时可以对管理平台和系统进行升级或加护,使任务高效率、高质量地完成。在网络信息迅速发展的时代,许多软件和安全管理方法不出现,管理员还要加强团队的学习,不断更新安全系统,利用科技成果优势来保护企业高价值信息,不断学习不同系统的构成及差异,了解不同平台的管理方式,并适当地应用到自己的管理中。企业也应该将这方面的人才培养计划到投资中,这样可以建立一个长期有效的信息安全管理机制,
总之,烟草行业中的网络信息安全的影响因素很多,首先企业必须重视网络信息安全在烟草行业的重要性,了解到现在行业的竞争中信息是关键。其次,烟草企业要构建自己的网络安全控制体制,组织维护团队,对自己的网络系统进行专业的加护,利用科技发展的成果优势,使网络更好地为企业服务,为企业盈利。烟草行业的网络安全问题属于一个十分重要的课题,相关企业必须牢牢把握其要点,加强相关的控制与管理,才能保障烟草行业更加稳定高速的发展。
参考文献:
[1]申志辉.浅谈烟草行业中的网络安全控制管理[J].计算机光盘软件与应用,2011,17:63-64.
进入21世纪以来,网络的发展日益高速化,网上的信息公开以及资料共享也为每一个网络受众提供了极大的便利。伴随着这种高速发展态势,网络信息安全也成为了个人,商家,组织的一大亟待解决的问题。就企业的角度而言,通过网络可以极大地提高自身的工作效率,并获得更大的市场信息以及相关行情的动态,同时也可以使办公网络化,节省人力物力时间,从而创造出更大的经济收益。因此,本文对网络环境下企业信息安全管理对策进行探究具备一定价值意义。
1 企业网络信息安全管理的问题分析
1.1 网络信息大数据发展问题
信息化时代来临后,网上的信息库也逐年丰富起来,慢慢地大数据一词开始进入公众的视线。随着社会发展脚步的加快,经济水平的提高致使网络信息的需求量逐年增加,同时网络信息也呈现出了与时俱进的多元化特点。信息的商业化,可视化特点也越来越明显,未来的企业发展中对网络信息需求所占的比例将逐年增加。通过获取网络数据,企业可以更快的洞察到市场的波动情况,消费人群的需求情况,以及自身产品在销售以及质量等方面的不足,可以更快的做出调整政策性来提高企业的效益;但在使用网络信息的同时,自身的一些机密信息也极其容易外泄,造成极大的损失。例如,一个企业的新产品还处在测试阶段,而信息却不小心外流,被其他企业使用,并更早的抢占了市场,这样的例子也不在少数,因而企业的信息安全管理工作便显得尤为重要。
1.2 企业信息安全管理隐患问题分析
信息安全管理的意义在于保证企业自身内部资料不受外界威胁,保证系统可以持续正常地运作。如今的企业安全,更多的是指为了保证信息的真实性,完整性,保密性,防止在未授权情况下被拷贝泄露资料的情况发生。从而保护企业的运营安全。通常来说,当今企业信息安全的主要隐患是信息安全管理以及存储设备配置中的漏洞,企业自身局域网的建设以及网络环境安全情况。因而结合企业自身的特点,建造合理的企业信息安全管理条例,防止内部资料的外泄,维护企业信息的完整性,可用性,独立性,对企业的运营起着尤为重要的作用。但是随着信息化时代的到来,企业对计算机的依赖越来越大,伴随着其与互联网的融合,网络在提供丰富信息资源的同时也为病毒以及黑客提供了侵略的途径,给企业信息安全带来巨大的威胁。企业在发展过程中,需要应用到一些办公软件或者商业机密软件,但是如果这些软件存在设计漏洞的情况下,便会被不法分子或黑客抓住所谓的“机会”,从而使企业的软件遭遇入侵,轻则造成电脑系统瘫痪,重则导致企业机密信息失窃,进而使企业遭遇重大的经济损失。例如:在土耳其石油管道事件中,土耳其境内的巴库-第比利斯-埃尔祖鲁姆石油管道从打造之初就将安全性放在了首要位置,但这一管道的建设却依旧没能抵挡住来自黑客的数字战争。据悉,当时黑客首先入侵了该石油管理部门的网络系统,然后安装了一个恶意软件,并关闭了警报、切断了通信联系、给管道内的原油大幅增压。由于管道内压力的不断增大,该石油管道最终发生了爆炸,爆炸的火焰高度甚至高达150英尺。由此可见,信息失窃对企业带来的损失是巨大的。
2 信息安全管理技术上的对策
2.1 对目前的应用系统进行分析与评估
实际上,应用系统的安全性能不可能达到100%,因而企业的信息要根据自身系统的风险指数来合理的进行保护,进行分析。只有对安全风险有了宏观的了解,才能结合实际问题进行科学合理的分析,从而采取正确的措施避免风险。
2.2 进行技术创新
对于正常运行的网络来说,安全永远是首要问题。想要确保网络的安全,就需要从多个方向上出发去进行立体保护,真正的把监督检查机制落实到实际工作中去。时代的进步需要创新,只有不断地创新才能更好地发展,才能更安全的发展。因此,在新技术层出不穷的影响下,就可以提高质量,保证企业的效益了。在建立市场方面的创新机制的同时,还要保证财力物力商的支持。实现技术的改进,形式的创新,通过各项制度的实际情况进行落实检查,从而可以保证企业中信息的安全。此外,还应提前建立起问题补救措施,能够进行数据备份,数据恢复等恢复手段,也是企业保证自身信息安全的另一个良好途径。
2.3 使用科学的管理方法
保证企业的信息安全不仅要靠一些技术上的改进,同时升级自身的管理模式也是至关重要的。管理方式的改进可以从物理安全管理,人员安全管理,以及软件和应用系统安全管理三个方面进行改进和加强,包括:
(1)物理安全是指在对抗外界一些特殊情况,例如水,电,火,雷击等情况下的应对措施,是预防遭遇到物理外侵害的主要手段。
(2)其次,人员安全管理指的是τ谄笠的谌嗽钡墓芾矸绞健P畔⒌慕ㄉ栌胛护不仅仅是计算机一级软件系统的事情,更是其操作主体工作人员的事情。在整个信息安全管理系统中,进行人员安全的审查与认证等工作显得尤为重要,可以通过签订保密合同来加强对在岗或离岗人员的安全管理。
(3)软件和应用系统的安全管理是指计算机上软件的完整性和安全性。其包括发展管理,经济管理以及安全管理等各个方面。软件安全和应用系统安全的具体表现主要体现在计算机硬件,软件和相关环境上的信息系统的安全管理情况,也是维持企业信息安全的重要手段。
3 结语
网络信息时代的大发展,为各个企业都提供了大量的机遇和挑战,然而企业自身的信息安全,网络安全是其在信息大发展时代能否抓住机遇的基础条件,只有维护好自身的信息安全,才可以把注意力更加集中的放在发展的方向上。企业改善自身的网络信息安全要根据自身的实际情况进行改进,全面加强管理,从而为企业信息安全管理水平的全面提高奠定夯实的基础。
参考文献
[1]宋晴.网络环境下企业信息安全管理对策研究[J].通讯世界,2015(14):256.
[2]于倩,李灵君.网络环境下企业信息安全管理的对策分析[J].网络安全技术与应用,2017(01):16-17.
[3]曲阿琪.网络环境下现代企业信息安全对策研究[J].中国管理信息化,2013(04):84-85.