序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的信息安全管理策略樣本����,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā),請(qǐng)盡情閱讀����。
第1篇
關(guān)鍵詞:信息安全 管理 現(xiàn)狀 改進(jìn)策略
雖然國際互聯(lián)網(wǎng)最早起源上個(gè)世紀(jì)八十年代����,并在90年代末進(jìn)入高速發(fā)展的時(shí)期����,但由于技術(shù)和設(shè)備的引入受到美國的限制,導(dǎo)致我國一直到1994年才得以引入����。迄今為止的20年間,我國的計(jì)算機(jī)信息網(wǎng)絡(luò)技術(shù)得到了巨大的發(fā)展����,很大程度的改變了我國居民的生活和工作模式,給生產(chǎn)力的發(fā)展帶來巨大的推動(dòng)作用����。然而,信息網(wǎng)絡(luò)環(huán)境的復(fù)雜性����、多變性以及脆弱性等特點(diǎn)卻注定其是一把雙刃劍,在產(chǎn)生巨大推動(dòng)力的同時(shí)也帶來了許多的安全問題����,造成許多不良的社會(huì)影響,甚至是國民經(jīng)濟(jì)損失����。這主要是由于我國在信息技術(shù)上的發(fā)展時(shí)間還不夠長,在長足的發(fā)展中并沒有形成對(duì)于信息安全管理的足夠認(rèn)識(shí)����,在沒有足夠預(yù)警措施的背景下,保護(hù)網(wǎng)絡(luò)信息安全是一項(xiàng)必須盡快施行的重要措施����。
一、我國的信息安全現(xiàn)狀
1.缺少法律體系的約束����。
法律才是保障人民和國家利益的根本所在,才是保障信息安全的基本防線����。我國的法律體系主要是由法律、行政法規(guī)以及規(guī)章等三層面的規(guī)定構(gòu)成����,信息行業(yè)作為一個(gè)新興的行業(yè)����,而且其涉及內(nèi)容����、影響范圍以及運(yùn)行模式都在不斷的變化和革新,因此我國雖然對(duì)信息安全進(jìn)行相關(guān)的立法保護(hù)����,但是仍有不少法律沒有涉及的部分,甚至原有的法律無法對(duì)新出現(xiàn)的信息板塊進(jìn)行約束����。除此之外,我國的信息安全法律體系還存在一定的內(nèi)容交叉問題����,導(dǎo)致執(zhí)法困境的現(xiàn)象,最終阻礙了我國法律對(duì)于信息安全的保護(hù)����。
2.缺少嚴(yán)密的管理措施。
信息安全的管理是一個(gè)系統(tǒng)的工程����,其包括了事前的教育培訓(xùn)和系統(tǒng)評(píng)估認(rèn)證����,還有預(yù)期懂的安全規(guī)劃����,事中的風(fēng)險(xiǎn)管理和應(yīng)急措施����,以及事后的總結(jié)和規(guī)劃,各個(gè)內(nèi)容之間存在明確的管理和責(zé)任����。然而我國并沒有在這個(gè)問題上進(jìn)行詳細(xì)的約定和規(guī)范,導(dǎo)致多頭管理和權(quán)責(zé)交叉的現(xiàn)象出現(xiàn)����,阻礙的信息安全管理效益,信息安全的保障機(jī)制不能高效運(yùn)行����。
3.缺乏信息安全意識(shí)。
信息安全不僅僅是制度和法律的保障����,更多的應(yīng)當(dāng)是來自于每一個(gè)人在每一個(gè)層次上進(jìn)行安全保護(hù)����。然而大多數(shù)人都沒有形成對(duì)于信息安全的足夠認(rèn)識(shí)����,違規(guī)操作和風(fēng)險(xiǎn)運(yùn)行的事件時(shí)有發(fā)生,極大的危害了信息安全的管理工作����。這一方面說明了操作主體缺乏安全意識(shí),另一方面也說明了主體沒有受到相關(guān)的教育和培訓(xùn)����。
4.忽略了技術(shù)和管理的重要性。
據(jù)不規(guī)則統(tǒng)計(jì)����,大多數(shù)的安全問題都是由于操作技術(shù)和管理模式的緣故。尤其是現(xiàn)階段����,我國的企業(yè)發(fā)展十分迅速,也對(duì)信息部門有了一定的認(rèn)識(shí)����,然而卻并源于投入更多的人力和物力來保障信息安全����,往往會(huì)出現(xiàn)安全系統(tǒng)過時(shí)����、技術(shù)人員能力不足或是身兼數(shù)職等現(xiàn)象,對(duì)信息安全的管理工作造成了極大的安全隱患����。
二����、信息安全的主要特點(diǎn)
1.趨利性。
近幾年已經(jīng)網(wǎng)絡(luò)信息安全事件的多發(fā)期����,由于互聯(lián)網(wǎng)金融的發(fā)展,巨大的經(jīng)濟(jì)利益和信息網(wǎng)絡(luò)聯(lián)系在一起����,引起不法分子的主義,這也從另一方面說明了信息安全的威脅主要是利益引發(fā)的����,因此����,這要求我國人民在進(jìn)行經(jīng)濟(jì)利益相關(guān)的信息操作時(shí)需要更加的小心和細(xì)致����。
2.多樣性。
系統(tǒng)安全技術(shù)經(jīng)過多年的病毒洗禮之后已經(jīng)有了大幅度的提升����,然而,不法分子對(duì)于病毒形式也有了更多的研究����。各式各樣的病毒軟件被研發(fā)出來,對(duì)PC和移動(dòng)終端造成了巨大的影響����,過去常用的電子郵件病毒已經(jīng)漸漸被遺忘,更多種類的病毒危害著用戶的信息安全����。
3.漏洞多發(fā)性。
信息安全事故的發(fā)生雖然有一部分來自于不當(dāng)操作����,但也不排除來自安全漏洞的原因����。往往是由于用戶沒有對(duì)系統(tǒng)進(jìn)行及時(shí)的更新����,也沒有對(duì)安全技術(shù)懂的革新引起足夠的重視,造成漏洞信心安全事故問題居高不下����。
三、防反信息安全風(fēng)險(xiǎn)的策略
1.構(gòu)建并完善信息安全管理制度����。
要保障信息的安全就必須建立完善的信息安全管理制度����,進(jìn)行統(tǒng)一規(guī)劃和分工,保障各部門����、更階層甚至每個(gè)個(gè)體都各司其職,分工合作����。其次����,還需要保障管理的高效性����,防止多頭控制和協(xié)調(diào)不力的現(xiàn)象出現(xiàn),保障權(quán)責(zé)統(tǒng)一����。然后還需要在各省市甚至各縣城都建立基層保護(hù)體制,維護(hù)各地區(qū)人民的信息安全利益����。建立完善的監(jiān)管合作機(jī)制,將政府����、機(jī)構(gòu)甚至個(gè)人聯(lián)合起來,建立內(nèi)外結(jié)合的安全管理體系����,將信息安全落到實(shí)處。
2.強(qiáng)化信息安全法律體系的完善工作����。
法律的建立和完善才是信息安全保護(hù)機(jī)制中最重要的組成部分����,這對(duì)我國的法律法規(guī)建設(shè)工作提出了較高的要求����。首先,我國政府應(yīng)該加快對(duì)于信息安全管理的法律法規(guī)建設(shè)速度����,對(duì)于相關(guān)的技術(shù)人員和執(zhí)法人員團(tuán)隊(duì)的建設(shè)應(yīng)當(dāng)將職業(yè)意識(shí)和職業(yè)能力同時(shí)納入考核體系,只有健全職業(yè)意識(shí)才能在執(zhí)法過程中實(shí)現(xiàn)對(duì)于法律的執(zhí)行����,保障人民懂的根本利益����。同時(shí)����,各有關(guān)管理機(jī)構(gòu)和部門也應(yīng)當(dāng)積極配合,主動(dòng)協(xié)調(diào)����,在履行自身義務(wù)的基礎(chǔ)上也要把本職工作做好����,對(duì)于信息安全管理工作貢獻(xiàn)自身的一份力量����。除此之外,法律的維護(hù)和執(zhí)行需要社會(huì)各階層的自覺維護(hù)����,不僅僅是政府和機(jī)關(guān)����,更包括各階層的社會(huì)團(tuán)體和個(gè)人����,信息網(wǎng)絡(luò)環(huán)境的安全需要大家集體來護(hù)衛(wèi)����。
3.加大信息安全違法犯罪的打擊力度����。
近年來����,在網(wǎng)絡(luò)違法犯罪的問題上,我國做出了巨大的努力����,雖然取得了巨大的成就����,但隨著信息技術(shù)的不斷更新?lián)Q代,網(wǎng)絡(luò)信息安全違法的形式變得越來越多樣化����。這要求,我國執(zhí)法機(jī)關(guān)和部門在健全法律執(zhí)行范圍的基礎(chǔ)����,在打擊力度上也要進(jìn)一步強(qiáng)化����,提高對(duì)于網(wǎng)絡(luò)信息犯罪的預(yù)防����、處理和控制等方面的能力����,也要在信息安全的自我保護(hù)上多進(jìn)行培訓(xùn)和教育,提高個(gè)體和群體對(duì)于信息安全技術(shù)和系統(tǒng)的認(rèn)識(shí)和運(yùn)行能力����。最終,實(shí)現(xiàn)防治結(jié)合����。
4.加大政策扶持,維系良好的信息安全環(huán)境����。
首先要加強(qiáng)對(duì)于信息安全工作的扶持力度。例如:政府需要建立轉(zhuǎn)型資金付出計(jì)劃����,幫助相關(guān)的部門和機(jī)關(guān)進(jìn)行公益性和公共性的信息安全系統(tǒng)建設(shè)和技術(shù)普及工作,聯(lián)合各相關(guān)企業(yè)進(jìn)行技術(shù)研發(fā)和技術(shù)培訓(xùn)����,明確各自對(duì)于信息安全的需求和期望����,建立適合自身現(xiàn)狀和發(fā)展的信息安全管理體系����。其次是加強(qiáng)對(duì)于相關(guān)安全技術(shù)管理的人才培養(yǎng)。督促相關(guān)的教育機(jī)構(gòu)強(qiáng)化對(duì)于社會(huì)信息安全管理的需求了解工作����,切實(shí)調(diào)整自身的發(fā)展步伐,迎合市場(chǎng)需求����,發(fā)展自身教育計(jì)劃,建立專門的信息安全學(xué)習(xí)和進(jìn)行機(jī)制����,加快信息安全人才培養(yǎng),發(fā)揮人才所產(chǎn)生的保護(hù)效益����。
四、結(jié)語
信息網(wǎng)絡(luò)是一把“雙刃劍”����,其在推動(dòng)社會(huì)生產(chǎn)和人們生活方式發(fā)展的同時(shí)也帶來了巨大的安全隱患����。因此����,人們?cè)谙硎苓@種社會(huì)科技利益的同時(shí)����,也要注意使用所引發(fā)的信息安全事故。因?yàn)?���,只有在安全條件下的運(yùn)營才會(huì)給人們帶來發(fā)展和效益增長。雖然現(xiàn)階段已經(jīng)有越來越多的人意識(shí)網(wǎng)絡(luò)信息安全問題的重要性����,不僅僅是政府和相關(guān)技術(shù)人員,更在不少的普通居民心中引起了足夠的重視����。只要堅(jiān)定在黨的領(lǐng)導(dǎo),加強(qiáng)信息安全法律體系的構(gòu)建����,推動(dòng)信息安全管理機(jī)制的建立����,進(jìn)一步強(qiáng)化對(duì)于安全信息的認(rèn)識(shí)培訓(xùn)����,推動(dòng)我國信息安全產(chǎn)業(yè)的高速發(fā)展,我們就一定有信心在我國的網(wǎng)絡(luò)發(fā)展中保障信息安全����,維護(hù)國家和人民的利益。
參考文獻(xiàn):
[1]楊珂.淺談網(wǎng)絡(luò)信息安全現(xiàn)狀[J].數(shù)字技術(shù)與應(yīng)用,2013,02:172.
[2]薛鵬.信息安全的發(fā)展綜述研究[J].華東師范大學(xué)學(xué)報(bào)(自然科學(xué)版),2015,S1:180-184.
[3]王世偉.論信息安全����、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國圖書館學(xué)報(bào),2015,02:72-84.
[4]華賢平.電子信息安全技術(shù)存在的問題和對(duì)策[J].電子技術(shù)與軟件工程,2014,15:211.
第2篇
1.移動(dòng)網(wǎng)絡(luò)信息安全管理的特征體現(xiàn)以及主要內(nèi)容
1.1 移動(dòng)網(wǎng)絡(luò)信息安全管理的特征體現(xiàn)分析
移動(dòng)網(wǎng)絡(luò)信息的安全管理過程中����,有著鮮明特征體現(xiàn),其中在網(wǎng)絡(luò)信息安全管理的動(dòng)態(tài)化特征山比較突出����。在信息網(wǎng)絡(luò)的不斷發(fā)展過程中,對(duì)信息安全管理的動(dòng)態(tài)化實(shí)施就比較重要����。由于網(wǎng)絡(luò)的更新?lián)Q代比較快����,這就必須在信息安全管理上形成動(dòng)態(tài)化的管理����。
移動(dòng)網(wǎng)絡(luò)信息安全管理的相對(duì)化特征上也比較突出����,對(duì)移動(dòng)網(wǎng)絡(luò)的信息安全管理沒有絕對(duì)可靠的安全管理措施。通過相應(yīng)的方法手段應(yīng)用����,能有助于對(duì)移動(dòng)網(wǎng)絡(luò)的信息安全管理的效率提高,在保障性方面能加強(qiáng)����,但是不能完善保障信息的安全性。所以在信息安全管理的相對(duì)性特征上比較突出����。
另外,移動(dòng)網(wǎng)絡(luò)信息的安全管理天然化以及周期性的特征上也比較突出����。移動(dòng)網(wǎng)絡(luò)的系統(tǒng)應(yīng)用中并不是完美的����,在受到多方面因素的影響下����,就會(huì)存在著自然災(zāi)害以及錯(cuò)誤操作的因素影響,這就對(duì)信息安全的管理有著很大威脅����。需要對(duì)移動(dòng)網(wǎng)絡(luò)系統(tǒng)做好更新管理的準(zhǔn)備,保障管理工作能夠順利進(jìn)行����。在對(duì)系統(tǒng)建設(shè)的工作實(shí)施上有著周期化特征。
1.2 移動(dòng)網(wǎng)絡(luò)信息安全管理的主要內(nèi)容分析
加強(qiáng)對(duì)移動(dòng)網(wǎng)絡(luò)信息的安全管理����,就要能充分重視其內(nèi)容的良好保證,在信息的安全保障上主要涉及到管理方法以及技術(shù)應(yīng)用和法律規(guī)范這三個(gè)內(nèi)容����。在對(duì)移動(dòng)網(wǎng)絡(luò)信息的安全管理中,需要員工在信息安全的意識(shí)上能加強(qiáng)����,在信息安全管理的水平上要能有效提高����,在對(duì)風(fēng)險(xiǎn)抵御的能力上不斷加強(qiáng)����。將移動(dòng)網(wǎng)絡(luò)信息安全管理的基礎(chǔ)性工作能得以有效加強(qiáng),在服務(wù)水平上能有效提高����。然后在對(duì)移動(dòng)網(wǎng)絡(luò)信息安全的管理體系方面進(jìn)行有效優(yōu)化����,在信息安全管理能力上進(jìn)行有效提高,對(duì)風(fēng)險(xiǎn)評(píng)估的工作能妥善實(shí)施����,這些都是網(wǎng)絡(luò)信息安全管理的重要內(nèi)容。
2.移動(dòng)網(wǎng)絡(luò)信息安全管理問題和應(yīng)對(duì)策略
2.1 移動(dòng)網(wǎng)絡(luò)信息安全管理問題分析
移動(dòng)網(wǎng)絡(luò)信息安全管理工作中����,會(huì)遇到各種各樣的問題,網(wǎng)絡(luò)的自主核心技術(shù)的缺乏����,就會(huì)帶來黑客的攻擊問題����。我國在移動(dòng)網(wǎng)絡(luò)的建設(shè)過程中����,由于在自主核心技術(shù)方面比較缺乏,在網(wǎng)絡(luò)應(yīng)用的軟硬件等都是進(jìn)口的����,所以在系統(tǒng)中就會(huì)存在著一些漏洞。黑客會(huì)利用這些系統(tǒng)漏洞對(duì)網(wǎng)絡(luò)發(fā)起攻擊����,在信息安全方面受到很大的威脅。
再者����,移動(dòng)網(wǎng)絡(luò)的開放性特征,也使得在具體的網(wǎng)絡(luò)應(yīng)用過程中����,在網(wǎng)系的滲透攻擊問題比較突出。在網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)以及平臺(tái)的應(yīng)用下����,由于網(wǎng)絡(luò)滲透因素的影響����,就比較容易出現(xiàn)黑客攻擊以及惡意軟件的攻擊等問題����,這就對(duì)移動(dòng)網(wǎng)絡(luò)信息的安全性帶來很大威脅。具體的移動(dòng)網(wǎng)絡(luò)物理管理和環(huán)境的安全管理工作上沒有明確職責(zé)����,在運(yùn)營管理方面沒有加強(qiáng),對(duì)網(wǎng)絡(luò)訪問控制方面沒有加強(qiáng)����。以及在網(wǎng)絡(luò)系統(tǒng)的開發(fā)維護(hù)方面還存在著諸多安全風(fēng)險(xiǎn)����。
2.2 移動(dòng)網(wǎng)絡(luò)信息安全管理優(yōu)化策略
加強(qiáng)移動(dòng)網(wǎng)絡(luò)信息安全管理,就要能充分重視從技術(shù)層面進(jìn)行加強(qiáng)和完善����。移動(dòng)網(wǎng)絡(luò)企業(yè)要走自力更生和研發(fā)的道路,在移動(dòng)網(wǎng)絡(luò)的核心技術(shù)以及系統(tǒng)的研發(fā)進(jìn)程上要能加強(qiáng)����。對(duì)移動(dòng)網(wǎng)絡(luò)信息的安全隱患方面要能及時(shí)性的消除����,將移動(dòng)網(wǎng)絡(luò)安全防護(hù)的能力有效提高����。還要能充分重視對(duì)移動(dòng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估妥善實(shí)施,構(gòu)建有效完善的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估制度����,對(duì)潛在的安全威脅加強(qiáng)防御。
再者����,對(duì)移動(dòng)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制要完善建立。保障移動(dòng)網(wǎng)絡(luò)信息的安全性����,就要能注重對(duì)移動(dòng)網(wǎng)絡(luò)信息流量以及用戶操作和軟硬件設(shè)備的實(shí)時(shí)監(jiān)測(cè)。在出現(xiàn)異常的情況下能夠及時(shí)性的警報(bào)����。在具體的措施實(shí)施上來看,就要能充分重視漏洞掃描技術(shù)的應(yīng)用,對(duì)移動(dòng)網(wǎng)絡(luò)系統(tǒng)中的軟硬件漏洞及時(shí)性查找����,結(jié)合實(shí)際的問題來探究針對(duì)性的解決方案。對(duì)病毒的監(jiān)測(cè)技術(shù)加以應(yīng)用����,這就需要對(duì)殺毒軟件以及防毒軟件進(jìn)行安裝,對(duì)網(wǎng)絡(luò)病毒及時(shí)性的查殺����。
將入侵檢測(cè)技術(shù)應(yīng)用在移動(dòng)網(wǎng)絡(luò)信息安全管理中去。加強(qiáng)對(duì)入侵檢測(cè)技術(shù)的應(yīng)用����,對(duì)可能存在安全隱患的文件進(jìn)行掃描,及時(shí)性的防治安全文件和病毒的侵害����。在內(nèi)容檢查工作上也要能有效實(shí)施,這就需要在網(wǎng)絡(luò)信息流的內(nèi)容上能及時(shí)性查殺����,對(duì)發(fā)生泄密以及竊密等問題及時(shí)性的報(bào)警等����。這樣對(duì)移動(dòng)網(wǎng)絡(luò)信息的安全性保障也有著積極作用����。
另外����,為能保障移動(dòng)網(wǎng)絡(luò)信息的安全性,就要充分注重移動(dòng)網(wǎng)絡(luò)應(yīng)急機(jī)制的完善建立����,對(duì)網(wǎng)絡(luò)災(zāi)難恢復(fù)方案完善制定。在網(wǎng)絡(luò)遭到了攻擊后����,能夠及時(shí)性的分析原因,采取針對(duì)性的方法加以應(yīng)對(duì)����。這就需要能夠部署IPS入侵防護(hù)系統(tǒng)進(jìn)行應(yīng)用,以及對(duì)運(yùn)用蜜罐技術(shù)對(duì)移動(dòng)網(wǎng)絡(luò)信息安全進(jìn)行保障����。
3.結(jié)語
第3篇
論文摘要:伴隨著企業(yè)信息化的發(fā)展,信息安全越來越受到重視����。針對(duì)當(dāng)前信息安全存在的問題����,作者進(jìn)行了調(diào)查����,分析了其中的原因,最后從管理學(xué)的角度提出了相關(guān)的策略和建議����。
隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)化應(yīng)用的普遍推廣,各機(jī)關(guān)組織和企事業(yè)單位都開展各類管理業(yè)務(wù)的信息化建立����。企業(yè)的發(fā)展運(yùn)作離不開信息系統(tǒng)的安全運(yùn)行。信息安全通過保護(hù)企業(yè)信息的機(jī)密性����、完整性和可用性,不僅保護(hù)了企業(yè)各類信息資產(chǎn)的安全����,還能增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力,維護(hù)企業(yè)的形象和信譽(yù)����。信息安全對(duì)企業(yè)的生存和發(fā)展的是至關(guān)重要的,需要從戰(zhàn)略的高度對(duì)信息安全進(jìn)行規(guī)劃和管理����。
一、企業(yè)中信息安全管理經(jīng)常存在的問題
日常安全管理中存在的主要問題����,首先是用戶安全意識(shí)和觀念薄弱的占58%,第二位的是網(wǎng)絡(luò)安全管理人員缺乏培訓(xùn)����,占39%;其后����,依次是保障經(jīng)費(fèi)投入不足、缺乏安全信息共享和安全產(chǎn)品不能滿足要求����。
不僅在日常管理中,在技術(shù)管理方面也存在一定的問題����。在CSDN泄密門事件中����,專業(yè)IT博客“月光博客”撰文表示“整個(gè)事件最不可思議的地方在于����,像CSDN這樣的以程序員和開發(fā)為核心的大型網(wǎng)站,居然采用明文存儲(chǔ)密碼”����,“稍微懂一點(diǎn)編程的程序員都知道,為了用戶的安全����,應(yīng)該在數(shù)據(jù)庫里保存用戶密碼的加密信息,這樣黑客即使下載了數(shù)據(jù)庫����,破解用戶密碼也不是一件容易的事情” ?���?梢姡行┥婕凹夹g(shù)方面的問題����,也并不是單純的技術(shù)問題����,而是與技術(shù)人員安全意識(shí)不強(qiáng)����、責(zé)任心不到位有關(guān)����。
為了了解企業(yè)內(nèi)部員工在信息安全問題上的看法及所做的努力,我們對(duì)一家電子商務(wù)企業(yè)和一家銀行的部分工作人員進(jìn)行了問卷和訪談?wù){(diào)查����,發(fā)現(xiàn)在企業(yè)員工中存在如下一些問題:
1.是信息安全意識(shí)方面,被調(diào)查者認(rèn)為信息安全對(duì)企業(yè)和個(gè)人都非常重要����。但大多數(shù)受訪者對(duì)信息安全的問題了解很少等。
2.很多受訪者認(rèn)為信息安全屬于技術(shù)人員的事情����;與技術(shù)人員的交流非常少;忙于業(yè)務(wù)����,沒有時(shí)間去處理����。
3.是用戶認(rèn)為信息安全管理措施效果不好����。有些信息安全行為的規(guī)范標(biāo)準(zhǔn)雖然掛在網(wǎng)上或貼在墻上,很少有人去關(guān)注����;公司發(fā)動(dòng)的信息安全的培訓(xùn)活動(dòng)沒有收到好的效果。
二����、信息安全問題的根源
通過對(duì)調(diào)查的結(jié)果進(jìn)行深入分析,發(fā)現(xiàn)導(dǎo)致信息安全事件頻發(fā)����、風(fēng)險(xiǎn)損失嚴(yán)重的原因從根本上來說,有以下幾個(gè)方面:
1.信息安全是一個(gè)多維問題����,涉及到企業(yè)管理的方方面面。企業(yè)在信息安全問題上往往涉及多個(gè)部門����。有些情況下����,無法明確責(zé)任����,使得信息安全得不到應(yīng)有的重視以及有效的管理。
2.風(fēng)險(xiǎn)平衡理論認(rèn)為����,人會(huì)愿意承擔(dān)一定程度的風(fēng)險(xiǎn)����。這與你采用多少的安全防護(hù)措施無關(guān)����。有時(shí)即使有條件可以到達(dá)絕對(duì)安全的狀態(tài),由于人性的緣故����,也不會(huì)那樣去做。
3.信息安全與效率和便利性本身是矛盾的����。信息安全加強(qiáng)了����,受到的約束也就多了����,相應(yīng)地效率也就降低了。比如簡(jiǎn)單規(guī)律地密碼����,可以不必費(fèi)力去記����;插入U(xiǎn)盤時(shí)進(jìn)行殺毒����,必然要耽誤時(shí)間����;沒有接入網(wǎng)絡(luò),不可能受到網(wǎng)絡(luò)攻擊,但也就失去了網(wǎng)上瀏覽所需信息����、網(wǎng)絡(luò)交流的自由,因此有人半開玩笑地說:“最安全的計(jì)算機(jī)是拔掉網(wǎng)絡(luò)的那臺(tái)計(jì)算機(jī)”����。
4.由于某些緣故����,網(wǎng)絡(luò)中總是存在黑客,專門竊取信息或破壞網(wǎng)絡(luò)系統(tǒng)����。他們的水平都非常專業(yè)����,一般的用戶難以預(yù)防。所謂“道高一尺����,魔高一丈”,信息安全的水平總是在這種攻擊與防守中進(jìn)步的����。
5.信息安全問題的不確定性����。信息安全問題的不確定性主要指是否發(fā)生風(fēng)險(xiǎn)的不確定性����、無法精確地評(píng)估當(dāng)前所面臨的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)發(fā)生所帶來的損失的難以把握。
所有這一切因素����,都使得信息安全無法得到有效的關(guān)注和重視,無法采用有效的措施來預(yù)防和避免����。這也是導(dǎo)致信息安全事件發(fā)生頻率居高不下,風(fēng)險(xiǎn)損失較大的主要原因����。 轉(zhuǎn)貼于
三、相關(guān)的建議和策略
針對(duì)企業(yè)信息安全的問題����,文章運(yùn)用管理學(xué)的理論進(jìn)行論述。企業(yè)管理涉及四個(gè)功能:計(jì)劃����、組織����、領(lǐng)導(dǎo)����、控制 。
1.從計(jì)劃的角度來看:企業(yè)應(yīng)當(dāng)確立信息安全的發(fā)展戰(zhàn)略����,從戰(zhàn)略的高度來對(duì)待和管理信息安全,確保信息安全所引發(fā)的風(fēng)險(xiǎn)達(dá)到可以接受的范圍之內(nèi)����。從全局角度制定信息安全的策略,確立信息安全的目標(biāo)����,以及實(shí)現(xiàn)目標(biāo)需要的行動(dòng)方案����。
2.從組織的角度來看:人力資源的管理的觀點(diǎn)認(rèn)為,企業(yè)的組織結(jié)構(gòu)����,取決于組織戰(zhàn)略 ����。在許多企業(yè)組織結(jié)構(gòu)中����,只有技術(shù)部門,沒有信息安全管理部門����。S.H.(basie) von Solms 曾討論過,技術(shù)管理與安全管理兩個(gè)部門必須設(shè)置成為兩個(gè)獨(dú)立的部門����,否則無法保證安全評(píng)估的客觀性。因此有必要設(shè)置一個(gè)專門負(fù)責(zé)信息安全管理的部門����,這個(gè)部門并不負(fù)責(zé)具體的技術(shù),但是要懂技術(shù)����,主要是開展企業(yè)的安全培訓(xùn)工作、日常的安全管理工作����、對(duì)存在的風(fēng)險(xiǎn)進(jìn)行評(píng)估����,最大限度地降低安全風(fēng)險(xiǎn)����。
3.從領(lǐng)導(dǎo)的角度來看:根據(jù)wilde的風(fēng)險(xiǎn)平衡理論,一個(gè)人會(huì)愿意承擔(dān)一定程度的風(fēng)險(xiǎn)����。 “風(fēng)險(xiǎn)平衡”觀念會(huì)讓整個(gè)機(jī)構(gòu)處于盲目樂觀的過度自信狀態(tài),不管是企業(yè)的員工還是管理者都傾向于追求效率 ����,從而忽視信息安全的投入。
在企業(yè)的管理過程中����,應(yīng)當(dāng)加強(qiáng)信息安全、風(fēng)險(xiǎn)意識(shí)方面的培訓(xùn)和教育����,增進(jìn)員工與技術(shù)人員的面對(duì)面的溝通與交流����,開展有效的安全意識(shí)活動(dòng)����。
4.從控制的角度來看:對(duì)風(fēng)險(xiǎn)的控制要求企業(yè)對(duì)自己的安全狀況不斷評(píng)估����,時(shí)時(shí)防范。這就要求安全管理部門每隔一定時(shí)間向上匯報(bào)信息安全的進(jìn)展情況����,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估工作。
文章從管理學(xué)的角度來分析信息安全風(fēng)險(xiǎn)管理����,對(duì)信息安全問題做了實(shí)地調(diào)查,分析了目前信息安全存在的一些問題����,并對(duì)存在的問題的根源進(jìn)行了深入的分析,最后文章運(yùn)用管理學(xué)的理論����,從計(jì)劃、組織����、領(lǐng)導(dǎo)����、控制四個(gè)角度出了相應(yīng)的建議和策略����。
參考文獻(xiàn)
[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.
[2]秦志華.企業(yè)管理[M].大連:東北財(cái)經(jīng)大學(xué)出版社,2011����,1.
[3]廖三余����,曹會(huì)勇.人力資源管理[M].北京:清華大學(xué)出版社����,2011����,9.
第4篇
【關(guān)鍵詞】安全性訪問;病毒的防治����;數(shù)據(jù)備份與恢復(fù);安全策略����;醫(yī)院信息管理系統(tǒng)
Abstract:In the hospital information construction process,the hospital information management system is its core part����,the current most hospitals face very important problem is how to keep the hospital information management system is highly effective,the security����,the stable operation.This article attempts from the system security access,prevention and control of the virus����,data backup and recovery,etc are discussed����,so as to work out the corresponding security strategy.
Keywords:Security access;Prevention and control of the virus����;Data backup and recovery;Safety strategy����;The hospital information management system
一����、引言
計(jì)算機(jī)技術(shù)不斷發(fā)展的今天����,在醫(yī)院的應(yīng)用里面醫(yī)院信息管理系統(tǒng)得到了大眾的認(rèn)可,醫(yī)院信息管理系統(tǒng)在應(yīng)用的過程中����,信息安全是受到普遍關(guān)注的焦點(diǎn)。醫(yī)院信息管理系統(tǒng)是一個(gè)整個(gè)醫(yī)院都聯(lián)了網(wǎng)的系統(tǒng)����,因此對(duì)系統(tǒng)的信息安全要求非常高。如果系統(tǒng)的信息安全出現(xiàn)問題����,就是丟失醫(yī)院中的重要數(shù)據(jù)信息,使醫(yī)院的各項(xiàng)工作不能正常運(yùn)行����,給醫(yī)院帶來的直接經(jīng)濟(jì)損失是無法估量的,嚴(yán)重影響醫(yī)院的社會(huì)效益。如今����,很多醫(yī)院的信息管理系統(tǒng)的安全體系都很簡(jiǎn)單,然而醫(yī)院的數(shù)據(jù)業(yè)務(wù)卻在不斷增大����,業(yè)務(wù)應(yīng)用的復(fù)雜性也不斷提高����,簡(jiǎn)單的醫(yī)院信息管理系統(tǒng)安全體系已不能滿足系統(tǒng)安全需求。因此����,針對(duì)以上的這些問題,為了完善系統(tǒng)的安全體系����,本文提出了相應(yīng)的安全策略。使得系統(tǒng)能夠高效����、安全、穩(wěn)定的運(yùn)行����,這也是醫(yī)院信息管理系統(tǒng)需要解決的一個(gè)迫切問題����。
二����、安全訪問的控制策略
在醫(yī)院信息管理系統(tǒng)里面,人員是分散的����,資源是共享的,這也是醫(yī)院信息管理系統(tǒng)的主要特點(diǎn)����,護(hù)士、醫(yī)生����、行政管理人員、醫(yī)療技術(shù)人員和后勤管理人員都是該系統(tǒng)的操作用戶����,從人員的組成上面可以看出比較復(fù)雜,并且每種用戶負(fù)責(zé)的工作任務(wù)和自責(zé)都不一樣����。所以����,醫(yī)院信息管理系統(tǒng)里面的系統(tǒng)管理員的主要任務(wù)是根據(jù)不同角色的用戶����,給每一個(gè)用戶都分配一個(gè)用戶名和密碼,這個(gè)用戶名和密碼對(duì)一個(gè)用戶來說有且只有一個(gè)����,系統(tǒng)管理員給每個(gè)用戶的操作權(quán)限也是不同的����。不同角色的用戶登錄到醫(yī)院信息管理系統(tǒng)里面都只能在自己的權(quán)限范圍內(nèi)進(jìn)行相應(yīng)的操作和訪問,對(duì)于沒有權(quán)限進(jìn)行訪問和操作的模塊����,系統(tǒng)會(huì)對(duì)該用戶隱身,使用戶看不到����。這樣可以防止那些不是本系統(tǒng)的用戶非法進(jìn)入,是系統(tǒng)的安全得不到保障����。醫(yī)院信息管理系統(tǒng)的所有資源對(duì)于系統(tǒng)管理員來說����,都是可以訪問的����,因此,對(duì)于系統(tǒng)管理員的賬號(hào)數(shù)量����,應(yīng)該加以限制,密碼在設(shè)置的時(shí)候也盡量使其復(fù)雜����,對(duì)于系統(tǒng)的運(yùn)行狀況,由系統(tǒng)管理員定期進(jìn)行匯報(bào)����,使得整個(gè)系統(tǒng)都能夠處于監(jiān)督之下。
三����、防治病毒的策略
計(jì)算機(jī)技術(shù)發(fā)展的非常迅速,但同事計(jì)算機(jī)病毒也隨之產(chǎn)生����,并且是系統(tǒng)主要的威脅����。所以����,完善的病毒防治體制和規(guī)章制度的建立是迫在眉睫的,主要的病毒的防治策略有:
1.對(duì)于數(shù)據(jù)服務(wù)器要做專門的備份����,由一些比較重要的數(shù)據(jù)備份要定期進(jìn)行,使系統(tǒng)受到病毒攻擊����、數(shù)據(jù)丟失或被惡意修改等事件的威脅降低����,是系統(tǒng)數(shù)據(jù)的完整性和正確性得到保障。
2.電腦安裝的操作系統(tǒng)盡量選用正版的����,對(duì)于官方網(wǎng)站中的一些重要信息,計(jì)算機(jī)的管理人員要時(shí)刻關(guān)注����,使操作系統(tǒng)得到及時(shí)的更新����,降低操作系統(tǒng)遭到攻擊的機(jī)率����。
3.給每一臺(tái)跟醫(yī)院信息管理體系相連的電腦都安全GHOST軟件,定期對(duì)系統(tǒng)進(jìn)行備份操作����,如果系統(tǒng)受到破壞之后沒辦法進(jìn)行恢復(fù)了,就可以使用一鍵GHOST直接進(jìn)行還原����。
4.使用醫(yī)院信息管理系統(tǒng)的整個(gè)醫(yī)院的全體員工都要有病毒防范的意識(shí),并且要具備良好的動(dòng)機(jī)����,如果發(fā)現(xiàn)了系統(tǒng)中出現(xiàn)了計(jì)算機(jī)病毒,就應(yīng)該及時(shí)通知相應(yīng)的網(wǎng)絡(luò)管理部門進(jìn)行處理����,減少病毒攻擊帶來的損失。
5.在給系統(tǒng)安裝殺毒軟件的時(shí)候盡量選用正版的����,并且殺毒軟件要定期進(jìn)行升級(jí)操作����,這些任務(wù)由計(jì)算機(jī)管理人員完成����,使整個(gè)醫(yī)院的電腦病毒庫都是最新的版本。
6.在醫(yī)院信息管理系統(tǒng)中安裝防火墻����,使得外部惡意的程序?qū)︶t(yī)院系統(tǒng)的入侵事件受到阻止。
7.在電腦的使用方面����,要建立一個(gè)嚴(yán)格的規(guī)章制度,如果出現(xiàn)的問題����,就要追究這個(gè)用戶的責(zé)任����,情節(jié)比較嚴(yán)重的,應(yīng)該追究其法律責(zé)任����。
8.對(duì)于那些外部存儲(chǔ)連接設(shè)備像優(yōu)盤����、硬盤等����,要嚴(yán)格對(duì)其進(jìn)行管理,如果沒有經(jīng)過允許就把這些設(shè)備連接到系統(tǒng)中����,出現(xiàn)問題追究用戶的責(zé)任。
9.在使用內(nèi)網(wǎng)和外網(wǎng)的時(shí)候要非常嚴(yán)格����,內(nèi)外網(wǎng)的配備要根據(jù)每個(gè)科室的不用業(yè)務(wù)需求來進(jìn)行,比如有的科室只使用外網(wǎng)����,那就不考慮內(nèi)網(wǎng)的連接,只連接外網(wǎng)����。
四、數(shù)據(jù)的備份與恢復(fù)策略
1.系統(tǒng)的備份與恢復(fù)策略
在醫(yī)院信息管理系統(tǒng)中,所有的應(yīng)用能夠正常進(jìn)行的前提和保障就是系統(tǒng)的安全����,再有在操作系統(tǒng)有改動(dòng)或者系統(tǒng)被破壞了,系統(tǒng)的備份與恢復(fù)才會(huì)進(jìn)行����。在進(jìn)行系統(tǒng)的備份與恢復(fù)的時(shí)候,經(jīng)常使用的軟件就是一鍵GHOST����。在安裝系統(tǒng)的時(shí)候,把硬盤劃分成幾個(gè)區(qū)域����,其中的一個(gè)區(qū)域安裝操作系統(tǒng),把系統(tǒng)分區(qū)用GHOST軟件復(fù)制一份映射文件放到另一個(gè)分區(qū)里面去����,如果系統(tǒng)中出現(xiàn)了安全問題,使得系統(tǒng)不能正常運(yùn)行����,這個(gè)時(shí)候就使用一鍵GHOST軟件根據(jù)映射文件使系統(tǒng)快速恢復(fù)����,這樣就可以在系統(tǒng)崩潰之后����,數(shù)據(jù)信息還可以得到恢復(fù)和保存����。
2.后臺(tái)數(shù)據(jù)的備份與恢復(fù)
在后臺(tái)的數(shù)據(jù)庫中,有啟動(dòng)和計(jì)劃任務(wù)的功能����,如果定期對(duì)其進(jìn)行操作的話,可以采取設(shè)定定時(shí)的方法����,自動(dòng)地把主服務(wù)器的日志備份到一個(gè)備份的服務(wù)器上面,還可以設(shè)定一個(gè)定時(shí)啟動(dòng)的恢復(fù)任務(wù)����,使得備份服務(wù)器的數(shù)據(jù)庫能夠同步到主服務(wù)器的恢復(fù),在別的地方安裝一個(gè)容量非常大的數(shù)據(jù)存儲(chǔ)器����,把備份服務(wù)器中已經(jīng)得到恢復(fù)的數(shù)據(jù)放到這個(gè)容量非常大的數(shù)據(jù)存儲(chǔ)器中。如果服務(wù)器中的數(shù)據(jù)遭到了破壞����,就可以采取把之前備份好的事務(wù)日志進(jìn)行恢復(fù)的策略����,可以使丟失數(shù)據(jù)的機(jī)率降到很低����,基本上可以保證數(shù)據(jù)得到恢復(fù)。比如����,使用SQL Server 2005數(shù)據(jù)庫技術(shù)中的計(jì)劃任務(wù)進(jìn)行不同地方的數(shù)據(jù)備份與恢復(fù),使用SQL Server 2005數(shù)據(jù)庫中的計(jì)劃任務(wù)進(jìn)行很多個(gè)備份的任務(wù)操作����,在平常生活比較空閑的時(shí)候,對(duì)這些任務(wù)進(jìn)行備份操作����,然后再對(duì)這些數(shù)據(jù)進(jìn)行不同地方的存儲(chǔ),也就是說把備份的任務(wù)存儲(chǔ)到別的計(jì)算機(jī)的硬盤上面����。這樣就可以保證在硬盤受到損壞的時(shí)候,可以使用別的保存了數(shù)據(jù)的計(jì)算機(jī)對(duì)這些數(shù)據(jù)進(jìn)行恢復(fù)和還原����。數(shù)據(jù)庫本身具有還原的功能,可以利用數(shù)據(jù)庫的這一特點(diǎn)對(duì)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行還原����,并且還原的速度也是很快的,使得數(shù)據(jù)的安全性得到了保障����,數(shù)據(jù)備份與恢復(fù)的效率也得到了極大的提高。
五����、其他
針對(duì)醫(yī)院信息管理系統(tǒng),上面討論了三種加強(qiáng)醫(yī)院信息管理系統(tǒng)安全的策略����,顧名思義肯定還有其他影響系統(tǒng)安全的因素,比如����,計(jì)算機(jī)的軟硬件出現(xiàn)了故障、電腦黑客對(duì)系統(tǒng)的入侵����、系統(tǒng)突然斷電或者人為的因素對(duì)系統(tǒng)造成破壞等等����,我也不一一全部進(jìn)行列舉����,但是的確還有很多因素會(huì)給系統(tǒng)造成破壞,給醫(yī)院帶來很大的直接經(jīng)濟(jì)損失����。因此,我們?cè)谄匠5氖褂弥芯蛻?yīng)該關(guān)注這些問題����,使系統(tǒng)遭到破壞的機(jī)率減少了到最低。
六����、結(jié)語
在醫(yī)院信息化建設(shè)的過程中,醫(yī)院信息管理系統(tǒng)的安全問題是非常重要的部分����,每個(gè)使用醫(yī)院信息管理系統(tǒng)的用戶都有責(zé)任保證醫(yī)院信息系統(tǒng)的正常運(yùn)行。所以����,醫(yī)院要對(duì)使用醫(yī)院信息管理系統(tǒng)的全部用戶都定期進(jìn)行安全知識(shí)方面的培訓(xùn)����,使全部使用醫(yī)院信息管理系統(tǒng)的用戶都具備良好的安全意識(shí)����,并且根據(jù)具體的情況制定出有效的安全應(yīng)急的預(yù)案����,建立完善的安全管理規(guī)章制度,使醫(yī)院信息管理系統(tǒng)在運(yùn)行的時(shí)候能夠高效����、安全、穩(wěn)定����,使醫(yī)院的服務(wù)水平、市場(chǎng)競(jìng)爭(zhēng)力和管理水平都得到相應(yīng)的提高����,當(dāng)然,這樣也能夠提高醫(yī)院的社會(huì)影響力����,使醫(yī)院的效益越來越高����。
參考文獻(xiàn):
[1]嚴(yán)冰.網(wǎng)絡(luò)安全在醫(yī)院信息管理系統(tǒng)中的重要作用[J].行政與管理����,2008,281.
[2]萎瓊����,張泉方.醫(yī)院信息管理中的數(shù)據(jù)備份研究[J].數(shù)據(jù)庫技術(shù)與應(yīng)用,2008.3(11):49-51.
[3]滿育紅.醫(yī)院信息管理系統(tǒng)中的數(shù)據(jù)備份與恢復(fù)[J].吉林醫(yī)學(xué)����,2007,28(9):1149-1150.
[4]張嬡.醫(yī)院信息管理系統(tǒng)的病毒的防治初探[J].信息與電腦����,2011,5:12-14.
[5]張秀玉.SQL SERVER 數(shù)據(jù)庫程序設(shè)計(jì)[M].機(jī)械龔古爾出版社����,2005:68-97.
[6]胡柏敬,姚巧梅.SQL SERVER 2005 數(shù)據(jù)庫開發(fā)講解[M].電子工業(yè)出版社����,2006.
[7]DAVDV.客戶機(jī)/服務(wù)器策略[M].北京:電子工業(yè)出版社����,1995.
[8]張本成����,何清林.中小企事業(yè)單位數(shù)據(jù)安全網(wǎng)絡(luò)改造方案[J].科技情報(bào)開發(fā)與經(jīng)濟(jì),2005����,20:204-205.
[9]苗雪蘭.數(shù)據(jù)庫系統(tǒng)原理及應(yīng)用教程[M].機(jī)械工業(yè)出版社����,2001:7.
[10]醫(yī)保計(jì)算機(jī)系統(tǒng)中 IC 卡的安全設(shè)計(jì):[D].南京:南京理工大學(xué),2004.
[11]項(xiàng)慶坤.劉彥偉.醫(yī)療保險(xiǎn)管理系統(tǒng)中的數(shù)據(jù)傳輸設(shè)計(jì)[J].計(jì)算機(jī)絡(luò)����,2002,13:5 6-57.
[12]薛華成.管理信息系統(tǒng)(第三版)[M].北京:清華大學(xué)出版社����,1999.
[13]薩師煊,王珊.數(shù)據(jù)庫系統(tǒng)概論(第三版)[M].高等教育出版社.
[14]洪深著.決策支持系統(tǒng)(DSS):理論.方法.案例[M].清華大學(xué)出版社����,2002����,9(2).
第5篇
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò)����;信息管理;安全防護(hù)
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2012)18-4389-02
1概述
互聯(lián)網(wǎng)技術(shù)給我們帶來很大的方便����,同時(shí)也帶來了許多的網(wǎng)絡(luò)安全隱患,諸如陷門����、網(wǎng)絡(luò)數(shù)據(jù)竊密、木馬掛馬����、黑客侵襲、病毒攻擊之類的網(wǎng)絡(luò)安全隱患一直都威脅著我們����。為了確保計(jì)算機(jī)網(wǎng)絡(luò)信息安全,特別是計(jì)算機(jī)數(shù)據(jù)安全����,目前已經(jīng)采用了諸如服務(wù)器����、通道控制機(jī)制����、防火墻技術(shù)、入侵檢測(cè)之類的技術(shù)來防護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理����,即便如此,仍然存在著很多的問題����,嚴(yán)重危害了社會(huì)安全����。計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作面臨著巨大的挑戰(zhàn),如何在計(jì)算機(jī)網(wǎng)絡(luò)這個(gè)大環(huán)境之下����,確保其安全運(yùn)行,完善安全防護(hù)策略����,已經(jīng)成為了相關(guān)工作人員最亟待解決的問題之一����。
2計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作中的安全問題分析
計(jì)算機(jī)網(wǎng)絡(luò)的共享性����、開放性的特性給互聯(lián)網(wǎng)用戶帶來了較為便捷的信息服務(wù),但是也使得計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)了一些安全問題����。在開展計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作時(shí),應(yīng)該將管理工作的重點(diǎn)放在網(wǎng)絡(luò)信息的和訪問方面����,確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)免受干擾和非法攻擊。
2.1安全指標(biāo)分析
(1)保密性
通過加密技術(shù)����,能夠使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)自動(dòng)篩選掉那些沒有經(jīng)過授權(quán)的終端操作用戶的訪問請(qǐng)求,只能夠允許那些已經(jīng)授權(quán)的用戶來利用和訪問計(jì)算機(jī)網(wǎng)絡(luò)信息數(shù)據(jù)����。
(2)授權(quán)性
用戶授權(quán)的大小與其能夠在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中能夠利用和訪問的范圍息息相關(guān),我們一般都是采取策略標(biāo)簽或者控制列表的形式來進(jìn)行訪問����,這樣做的目的就在于能夠有效確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)授權(quán)的正確性和合理性����。
(3)完整性
可以通過散列函數(shù)或者加密的方法來防治非法信息進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)����,以此來確保所儲(chǔ)存數(shù)據(jù)的完整性。
(4)可用性
在計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的設(shè)計(jì)環(huán)節(jié)����,應(yīng)該要確保信息資源具有可用性,在突然遇到攻擊的時(shí)候����,能夠及時(shí)使得各類信息資源恢復(fù)到正常運(yùn)行的狀態(tài)。
(5)認(rèn)證性
為了確保權(quán)限所有者和權(quán)限提供者都是同一用戶����,目前應(yīng)用較為廣泛的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)認(rèn)證方式一般有兩種,分別是數(shù)據(jù)源認(rèn)證和實(shí)體性認(rèn)證兩種����,這兩種方式都能夠得到在當(dāng)前技術(shù)條件支持����。
2.2計(jì)算機(jī)網(wǎng)絡(luò)信息管理中的安全性問題
大量的實(shí)踐證明����,計(jì)算機(jī)網(wǎng)絡(luò)信息管理中存在的安全性問題主要有兩種類型����,第一種主要針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作的可用性和完整性,屬于信息安全監(jiān)測(cè)問題����;第二種主要針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作的抗抵賴性、認(rèn)證性����、授權(quán)性、保密性����,屬于信息訪問控制問題。
(1)信息安全監(jiān)測(cè)
有效地實(shí)施信息安全監(jiān)測(cè)工作����,可以在最大程度上有效消除網(wǎng)絡(luò)系統(tǒng)脆弱性與網(wǎng)絡(luò)信息資源開放性二者之間的矛盾,能夠使得網(wǎng)絡(luò)信息安全的管理人員及時(shí)發(fā)現(xiàn)安全隱患源����,及時(shí)預(yù)警處理遭受攻擊的對(duì)象����,然后再確保計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中的關(guān)鍵數(shù)據(jù)能夠得以恢復(fù)����。
(2)信息訪問控制問題
整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息管理的核心和基礎(chǔ)就是信息訪問控制問題。信息資源使用方和擁有方在網(wǎng)絡(luò)信息通信的過程都應(yīng)該有一定的訪問控制要求����。換而言之,整個(gè)網(wǎng)絡(luò)信息安全防護(hù)的對(duì)象應(yīng)該放在資源信息的和個(gè)人信息的儲(chǔ)存����。
3如何有效加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)
(1)高度重視,完善制度
根據(jù)單位環(huán)境與特點(diǎn)制定����、完善相關(guān)管理制度。如計(jì)算機(jī)應(yīng)用管理規(guī)范����、保密信息管理規(guī)定、定期安全檢查與上報(bào)等制度����。成立領(lǐng)導(dǎo)小組和工作專班,完善《計(jì)算機(jī)安全管理制度》����、《網(wǎng)絡(luò)安全應(yīng)急預(yù)案》和《計(jì)算機(jī)安全保密管理規(guī)定》等制度,為規(guī)范管理夯實(shí)了基礎(chǔ)����。同時(shí),明確責(zé)任����,強(qiáng)化監(jiān)督。嚴(yán)格按照保密規(guī)定����,明確涉密信息錄入及流程,定期進(jìn)行安全保密檢查����,及時(shí)消除保密隱患,對(duì)檢查中發(fā)現(xiàn)的問題����,提出整改時(shí)限和具體要求����,確保工作不出差錯(cuò)����。此外,加強(qiáng)培訓(xùn)����,廣泛宣傳。有針對(duì)性組織開展計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件����、網(wǎng)絡(luò)知識(shí)、數(shù)據(jù)傳輸安全和病毒防護(hù)等基本技能培訓(xùn)����,利用每周學(xué)習(xí)日集中收看網(wǎng)絡(luò)信息安全知識(shí)講座,使信息安全意識(shí)深入人心����。
(2)合理配置,注重防范
第一����,加強(qiáng)病毒防護(hù)����。單位中心機(jī)房服務(wù)器和各基層單位工作端均部署防毒����、殺毒軟件����,并及時(shí)在線升級(jí)。嚴(yán)格區(qū)分訪問內(nèi)����、外網(wǎng)客戶端,對(duì)機(jī)房設(shè)備實(shí)行雙人雙查����,定期做好網(wǎng)絡(luò)維護(hù)及各項(xiàng)數(shù)據(jù)備份工作,對(duì)重要數(shù)據(jù)實(shí)時(shí)備份����,異地儲(chǔ)存。同時(shí)����,嚴(yán)格病毒掃描����。針對(duì)網(wǎng)絡(luò)傳輸����、郵件附件或移動(dòng)介質(zhì)的方式接收的文件,有可能攜帶病毒的情況����,要求接收它們之前使用殺毒軟件進(jìn)行病毒掃描。第二����,加強(qiáng)強(qiáng)弱電保護(hù)。在所有服務(wù)器和網(wǎng)絡(luò)設(shè)備接入端安裝弱電防雷設(shè)備����,在所有弱電機(jī)房安裝強(qiáng)電防雷保護(hù)器,保障雷雨季節(jié)主要設(shè)備的安全運(yùn)行����。第三,加強(qiáng)應(yīng)急管理����。建立應(yīng)急管理機(jī)制����,完善應(yīng)急事件出現(xiàn)時(shí)的事件上報(bào)����、初步處理、查實(shí)處理����、責(zé)任追究等措施����,并定期開展進(jìn)行預(yù)演,確保事件發(fā)生時(shí)能夠從容應(yīng)對(duì)����。第四,加強(qiáng)“兩個(gè)隔離”管理����。即內(nèi)、外網(wǎng)物理徹底隔離和通過防火墻進(jìn)行“邊界隔離”����,通過隔離實(shí)現(xiàn)有效防護(hù)外來攻擊����,防止內(nèi)����、外網(wǎng)串聯(lián)。第五����,嚴(yán)格移動(dòng)存儲(chǔ)介質(zhì)應(yīng)用管理。對(duì)單位所有的移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行登記����,要求使用人員嚴(yán)格執(zhí)行《移動(dòng)存儲(chǔ)介質(zhì)管理制度》,杜絕外來病毒的入侵和泄密事件的發(fā)生����。同時(shí),嚴(yán)格安全密碼管理����。所有工作用機(jī)設(shè)置開機(jī)密碼,且密碼長度不得少于8位����,定期更換密碼����。第六����,嚴(yán)格使用桌面安全防護(hù)系統(tǒng)。每臺(tái)內(nèi)網(wǎng)計(jì)算機(jī)都安裝了桌面安全防護(hù)系統(tǒng)����,實(shí)現(xiàn)了對(duì)計(jì)算機(jī)設(shè)備軟、硬件變動(dòng)情況的適時(shí)監(jiān)控����。第七����,嚴(yán)格數(shù)據(jù)備份管理。除了信息中心對(duì)全局?jǐn)?shù)據(jù)定期備份外����,要求個(gè)人對(duì)重要數(shù)據(jù)也定期備份,把備份數(shù)據(jù)保存在安全介質(zhì)上����。
(3)堅(jiān)持以信息安全等級(jí)保護(hù)工作為核心
把等級(jí)保護(hù)的相關(guān)政策和技術(shù)標(biāo)準(zhǔn)與自身的安全需求深度融合����,采取一系列有效措施����,使等級(jí)保護(hù)制度在全局得到有效落實(shí),有效的保障業(yè)務(wù)信息系統(tǒng)安全����。
第一,領(lǐng)導(dǎo)高度重視����,組織保障有力。單位領(lǐng)導(dǎo)應(yīng)該高度重視信息化和信息安全工作����,成立專門的信息中心,具體負(fù)責(zé)等級(jí)保護(hù)相關(guān)工作����,統(tǒng)籌全局的信息安全工作。建立可靠的信息安全基礎(chǔ)設(shè)施����,重點(diǎn)強(qiáng)化第二級(jí)信息系統(tǒng)的合規(guī)建設(shè)����,加強(qiáng)了信息系統(tǒng)的運(yùn)維管理����,對(duì)重要信息系統(tǒng)建立了災(zāi)難備份及應(yīng)急預(yù)案,有效提高了系統(tǒng)的安全防護(hù)水平����。
第二,完善措施����,保障經(jīng)費(fèi)。一是認(rèn)真組織開展信息系統(tǒng)定級(jí)備案工作����。二是組織開展信息系統(tǒng)等級(jí)測(cè)評(píng)和安全建設(shè)整改����。三是開展了信息安全檢查活動(dòng)。對(duì)信息安全����、等級(jí)保護(hù)落實(shí)情況進(jìn)行了檢查����。
第三����,建立完善各項(xiàng)安全保護(hù)技術(shù)措施和管理制度,有效保障重要信息系統(tǒng)安全����。一是對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全區(qū)域劃分。按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》����,提出了“縱向分層、水平分區(qū)����、區(qū)內(nèi)細(xì)分”的網(wǎng)絡(luò)安全區(qū)域劃分原則,對(duì)網(wǎng)絡(luò)進(jìn)行了認(rèn)真梳理����、合理規(guī)劃、有效調(diào)整����。二是持續(xù)推進(jìn)病毒治理和桌面安全管理����。三是加強(qiáng)制度建設(shè)和信息安全管理����。本著“預(yù)防為主,建章立制����,加強(qiáng)管理,重在治本”的原則����,堅(jiān)持管理與技術(shù)并重的原則,對(duì)信息安全工作的有效開展起到了很好的指導(dǎo)和規(guī)范作用����。
(4)采用專業(yè)性解決方案保護(hù)網(wǎng)絡(luò)信息安全
大型的單位,如政府����、高校����、大型企業(yè)由于網(wǎng)絡(luò)信息資源龐大����,可以采用專業(yè)性解決方案來保護(hù)網(wǎng)絡(luò)信息安全����,諸如銳捷網(wǎng)絡(luò)門戶網(wǎng)站保護(hù)解決方案。銳捷網(wǎng)絡(luò)門戶網(wǎng)站保護(hù)解決方案能提供從網(wǎng)絡(luò)層����、應(yīng)用層到Web層的全面防護(hù);其中防火墻����、IDS分別提供網(wǎng)絡(luò)層和應(yīng)用層防護(hù),ACE對(duì)Web服務(wù)提供帶寬保障����;而方案的主體產(chǎn)品銳捷WebGuard(WG)進(jìn)行Web攻擊防御,方案能給客戶帶來的價(jià)值:
防網(wǎng)頁篡改����、掛馬
許多大型的單位作為公共信息提供者,網(wǎng)頁被篡改����、掛馬將造成不良社會(huì)影響����,降低單位聲譽(yù)����。目前客戶常用的防火墻、IDS/ IPS����、網(wǎng)頁防篡改,無法解決通過80端口����、無特征庫、針對(duì)動(dòng)態(tài)頁面的Web攻擊����。WebGuard DDSE深度解碼檢測(cè)引擎有效防御SQL注入、跨站腳本等����。
高性能,一站式保護(hù)各院系網(wǎng)站
對(duì)于大型單位客戶,往往擁有眾多部門����,而并非所有大型單位都將各部門網(wǎng)站統(tǒng)一管理����。各部門網(wǎng)站技術(shù)運(yùn)維能力相對(duì)較弱,經(jīng)常成為攻擊重點(diǎn)����。WebGuard利用高性能多核架構(gòu),提供并行處理����。支持在網(wǎng)絡(luò)出口部署,一站式保護(hù)各部門網(wǎng)站����。
“零配置”運(yùn)行,簡(jiǎn)化部署
WebGuard針對(duì)用戶����,集成默認(rèn)配置模板,支持“零配置”運(yùn)行����。一旦上線����,即可防護(hù)絕大多數(shù)攻擊����。后續(xù)用戶可以根據(jù)網(wǎng)絡(luò)情況,進(jìn)行優(yōu)化策略����。避免同類產(chǎn)品常見繁瑣配置,毋須客戶具備專業(yè)的安全技能����,即可擁有良好的體驗(yàn)。
滿足合規(guī)性檢查要求
繼08年北京奧運(yùn)����、09年國慶60周年后,10年上海世博會(huì)����、廣州亞運(yùn)會(huì)先后舉行。在重大活動(dòng)前后����,各級(jí)主管單位和公安部門����,紛紛發(fā)文����,要求針對(duì)網(wǎng)站安全采取措施����。WebGuard恰好能很好的滿足合規(guī)性檢查的需求,幫助用戶順利通過檢查����。
4結(jié)束語
新時(shí)期的計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作正向著系統(tǒng)化、集成化����、多元化的方向發(fā)展,但是網(wǎng)絡(luò)信息安全問題日益突出����,值得我們大力關(guān)注,有效加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)是極為重要的����,具有較大的經(jīng)濟(jì)價(jià)值和社會(huì)效益����。
參考文獻(xiàn):
[1]段盛.企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息管理系統(tǒng)可靠性探討[J].湖南農(nóng)業(yè)大學(xué)學(xué)報(bào):自然科學(xué)版,2000(26):134-136.
[2]李曉琴.張卓容.醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)信息管理的設(shè)計(jì)與應(yīng)用[J].醫(yī)療裝備,2003.(16):109-113.
[3]李曉紅.婦幼保健信息計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)的建立與應(yīng)用[J].中國婦幼保健,2010(25):156-158.
[4]羅宏儉.計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)在公路建設(shè)項(xiàng)目管理中的應(yīng)用[J].交通科技,2009.(1):120-125.
[5] Bace Rebecca.Intrusion Detection[M].Macmillan Technical Publishing,2000.
第6篇
計(jì)算機(jī)信息管理工作面臨非常大的挑戰(zhàn)����,如何在這種情況下保持互聯(lián)網(wǎng)環(huán)境的安全,完善對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)信息的保護(hù)手段是我們現(xiàn)階段需要大力解決的問題����。
互聯(lián)網(wǎng)技術(shù)給我們的日常生活帶來了很大的方便,但是在我們使用互聯(lián)網(wǎng)的同時(shí)也可能存在很多的安全隱患����。為了解決這些現(xiàn)階段存在的問題,我們現(xiàn)在一般使用防火墻技術(shù)����,通過服務(wù)器對(duì)外部入侵情況進(jìn)行監(jiān)測(cè)和鑒定,對(duì)計(jì)算機(jī)進(jìn)行實(shí)時(shí)的防護(hù)����。
雖然我們應(yīng)用了這些技術(shù)進(jìn)行防護(hù),但是計(jì)算機(jī)安全信息防護(hù)依舊有很多問題需要我們解決����,嚴(yán)重影響著使用者的正常使用和網(wǎng)絡(luò)安全����。
1����、計(jì)算機(jī)網(wǎng)絡(luò)信息安全分析
計(jì)算機(jī)網(wǎng)絡(luò)的開放和共享給互聯(lián)網(wǎng)的用戶提供了更加方便的信息獲取途徑,同時(shí)也是因?yàn)榛ヂ?lián)網(wǎng)具有這樣的特性����,所以也讓互聯(lián)網(wǎng)存在很多安全隱患����,在我們對(duì)計(jì)算機(jī)信息安全進(jìn)行掛了你的同時(shí),我們要認(rèn)真管理和訪問的信息����,確保計(jì)算機(jī)不受非法信息的影響正常工作。
1.1安全性指標(biāo)分析
我們針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息管理和安全防護(hù)的安全指標(biāo)分析主要有保密性����、授權(quán)性、完整性����、可用性以及認(rèn)證性����。這些指標(biāo)都是我們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息是否安全進(jìn)行判定的基礎(chǔ)����。
保密性是指我們通過加密的方式讓計(jì)算機(jī)自動(dòng)識(shí)別沒有授權(quán)的訪問和操作請(qǐng)求,只有通過計(jì)算機(jī)授權(quán)的使用者才能夠訪問網(wǎng)絡(luò)上的相關(guān)數(shù)據(jù)����。[1]用戶的授權(quán)范圍也是計(jì)算機(jī)信息防護(hù)的重要依據(jù),授權(quán)的范圍我們一般是通過控制列表或者策略標(biāo)簽的方式來進(jìn)行管理����,這樣的最終目的就是為了能夠保證計(jì)算機(jī)系統(tǒng)授權(quán)更加合理和安全。
為了保持計(jì)算機(jī)信息安全的完整性����,我們可以通過散列函數(shù)以及各種加密方式來防止非法入侵計(jì)算機(jī)的行為發(fā)生,可以確保信息在互聯(lián)網(wǎng)上的完整和安全����。計(jì)算機(jī)信息的可用性主要是指我們需要保證計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)在受到非法入侵的同時(shí)能在第一時(shí)間恢復(fù)相關(guān)信息的數(shù)據(jù)備份,讓計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在短時(shí)間內(nèi)恢復(fù)正常運(yùn)行����。
為了確保計(jì)算機(jī)的所有者和當(dāng)前計(jì)算機(jī)的使用者的同一人����,我們一般采用系統(tǒng)認(rèn)證的方式來確保信息版權(quán)����,現(xiàn)階段所使用的認(rèn)證方式主要有實(shí)體認(rèn)證和數(shù)據(jù)源認(rèn)證兩種模式。
1.2計(jì)算機(jī)網(wǎng)絡(luò)信息管理存在的問題
我們通過實(shí)踐證明����,計(jì)算機(jī)網(wǎng)絡(luò)信息管理存在的問題主要是對(duì)網(wǎng)絡(luò)信息管理的完整性和可用性來進(jìn)行安全檢測(cè)的,其次我們需要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息管理的工作進(jìn)行授權(quán)����、保密和認(rèn)證����。
首先我們需要關(guān)注一下網(wǎng)絡(luò)信息安全的檢測(cè)工作,我們通過全面良好的信息安全性檢測(cè)����,可以在最大程度上避免了資源開放和網(wǎng)絡(luò)信息脆弱性之間的沖突,可以讓安全管理人員能夠更加及時(shí)發(fā)現(xiàn)安全隱患����,解決這些問題����,確保計(jì)算機(jī)信息不丟失����,并且能夠在短時(shí)間內(nèi)恢復(fù)正常工作。
其次我們需要對(duì)信息訪問進(jìn)行有效的控制����,無論是對(duì)于信息的所有者還是信息的使用者來說,在使用網(wǎng)絡(luò)信息的時(shí)候都需要有一個(gè)訪問權(quán)限的有效控制����,換言之,對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的信息數(shù)據(jù)安全防護(hù)的關(guān)鍵點(diǎn)在于個(gè)人信息的儲(chǔ)存以及資源的上面����。
2、如何加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息的安全管理工作
2.1加強(qiáng)管理制度的建立����,引起足夠的重視
我們應(yīng)當(dāng)按照不同單位工作的特點(diǎn)來進(jìn)行相關(guān)管理制度的制定,比如計(jì)算機(jī)使用管理規(guī)范、保密協(xié)定����、計(jì)算機(jī)定期檢查管理規(guī)定等各種制度。我們需要成立專門的管理小組����,對(duì)計(jì)算機(jī)的管理制度進(jìn)行制定和完善,同時(shí)我們應(yīng)當(dāng)將責(zé)任落實(shí)到每個(gè)人的頭上����,加強(qiáng)對(duì)于網(wǎng)絡(luò)信息安全的監(jiān)督和管理工作,增強(qiáng)整個(gè)管理小組的執(zhí)行力����。同時(shí)管理人員需要嚴(yán)格遵守相關(guān)信息的保密協(xié)議,對(duì)于一些機(jī)密信息的錄入和的過程����,一定要進(jìn)行全程的安全檢查����,并且杜絕相關(guān)信息的泄漏,防止發(fā)生網(wǎng)絡(luò)安全隱患����。
[2]在檢查過程中����,一旦發(fā)現(xiàn)問題就要馬上進(jìn)行整改����,確保安全管理工作的正常進(jìn)行。同時(shí)要對(duì)相關(guān)人員進(jìn)行培訓(xùn)和宣傳����,并且有組織的對(duì)計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)、數(shù)據(jù)安全和防護(hù)等技能進(jìn)行培訓(xùn)����,將安全意識(shí)融入到日常的工作中。
2.2加強(qiáng)日常的防范工作
日常的防范工作我們首先要從病毒防火墻入手����,無論是中心管理系統(tǒng)還是分端的服務(wù)器都需要進(jìn)行相關(guān)的病毒防護(hù),及時(shí)對(duì)軟件進(jìn)行在線升級(jí)����。要對(duì)內(nèi)外網(wǎng)訪問的客戶端進(jìn)行嚴(yán)格區(qū)分,機(jī)房設(shè)備要定期的對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行維護(hù)和備份����,必要的時(shí)候可以進(jìn)行異地儲(chǔ)存����,確保信息不會(huì)因?yàn)椴《镜娜肭侄鴮?dǎo)致丟失����。同時(shí)我們還需要對(duì)病毒進(jìn)行定期掃描和殺毒,對(duì)于可能攜帶網(wǎng)絡(luò)病毒的郵件����,要求在使用之前必須對(duì)其進(jìn)行殺毒處理。[3]其次我們要加強(qiáng)系統(tǒng)服務(wù)器的防雷電處理����,在服務(wù)器連接終端我們需要安裝防雷裝置,保證在及時(shí)在雷雨季節(jié)����,各項(xiàng)設(shè)備也能不受雷雨的影響正常運(yùn)行。
其次我們需要增強(qiáng)應(yīng)急預(yù)案的制定����,建立一套完整的應(yīng)急管理方案����,完善應(yīng)急管理的各個(gè)程序����,定期進(jìn)行應(yīng)急方案的預(yù)演����,確保真正發(fā)生特殊情況能夠不慌亂,以最正確的方式進(jìn)行處理����。同時(shí)我們還需要增強(qiáng)對(duì)內(nèi)外網(wǎng)之間的隔離以及防火墻的邊界隔離。通過隔離有效的避免外來攻擊的情況發(fā)生����。單位要對(duì)移動(dòng)儲(chǔ)存介質(zhì)進(jìn)行嚴(yán)格控制,若需要使用必須進(jìn)行嚴(yán)格的等級(jí)����,避免外來病毒對(duì)計(jì)算機(jī)造成危害導(dǎo)致信息泄漏,同時(shí)對(duì)于計(jì)算機(jī)密碼要進(jìn)行嚴(yán)格的管理����,對(duì)于所有涉及到安全性信息的計(jì)算機(jī)都要設(shè)置對(duì)應(yīng)的密碼,并且要定期修改密碼����。
嚴(yán)格使用桌面安全防護(hù)系統(tǒng)����,這個(gè)系統(tǒng)可以對(duì)每臺(tái)計(jì)算機(jī)進(jìn)行有效的監(jiān)控����,實(shí)現(xiàn)計(jì)算機(jī)軟件和硬件的實(shí)時(shí)管理。[4]不僅信息中心需要定期進(jìn)行備份處理����,個(gè)人的重要數(shù)據(jù)也需要定期備份,確保數(shù)據(jù)都能夠安全的儲(chǔ)存和使用����。
2.3采用專業(yè)性解決方案保障網(wǎng)絡(luò)信息的安全
大型單位的資源比較龐大,所以我們可以采取專業(yè)性的方案來進(jìn)行網(wǎng)絡(luò)信息安全的防護(hù)����。我們通過采用防火墻等技術(shù)防止木馬的侵襲。一些比較大的單位一般下屬都會(huì)設(shè)有很多的分部門����,但是對(duì)于每個(gè)部門來說有很多對(duì)于部門網(wǎng)站都不是進(jìn)行統(tǒng)一管理的。這就造成了每個(gè)小部門的網(wǎng)絡(luò)安全管理能力較弱����,容易成為攻擊和侵害的對(duì)象。
總結(jié)
新時(shí)代的計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理正在不斷的想著完整性和系統(tǒng)性邁進(jìn)����。但是隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)安全技術(shù)存在的問題也逐漸得到提現(xiàn)����,需要我們關(guān)注。有效的加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全是非常重要的����,對(duì)于單位和個(gè)人來說都具有非常大的經(jīng)濟(jì)價(jià)值和社會(huì)價(jià)值。
第7篇
關(guān)鍵詞:機(jī)房安全����;服務(wù)器;數(shù)據(jù)庫
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 08-0000-01
The Safe Operation Management Strategies of Enterprise Information Software System
Wang Huifeng
(SANYHE International Holdings Co.,Ltd,Shenyang110027,China)
Abstract:With the construction of enterprise information technology,information system security is also increasingly become increasingly important.With the expansion of network applications,business process applications in the network security risks are increasing,the intruder can attack the enterprise intranet,theft or other damage,which are on the corporate use of the network posed a serious security threat.This paper describes the enterprise information system security software applications to run management,from hardware management,software,security,fault handling different aspects of the management described.
Keywords:Computer room safety;Server;Database
一����、機(jī)房安全
企業(yè)應(yīng)根據(jù)自身特點(diǎn)為企業(yè)信息軟件應(yīng)用系統(tǒng)集中建立一個(gè)或多個(gè)專用機(jī)房,在機(jī)房中存放信息軟件應(yīng)用系統(tǒng)的服務(wù)器設(shè)備����、網(wǎng)絡(luò)設(shè)備����、存儲(chǔ)設(shè)備等相關(guān)硬件����。企業(yè)機(jī)房應(yīng)當(dāng)參照《國家標(biāo)準(zhǔn)電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范GB50174-93》進(jìn)行設(shè)計(jì)與建設(shè)。
企業(yè)機(jī)房要進(jìn)行24小時(shí)專人執(zhí)班����,保證機(jī)房的溫度、濕度����、供電、防靜電����、防雷、防火等環(huán)境符合要求����。人員進(jìn)出機(jī)房要進(jìn)行登記,外來人員不得隨意進(jìn)入機(jī)房����。機(jī)房工作人員不得利用服務(wù)器從事工作以外的事情����。
二����、硬件設(shè)備安全
硬件設(shè)備系統(tǒng)是指為保證企業(yè)信息軟件應(yīng)用系統(tǒng)安全運(yùn)行所涉及到的系統(tǒng)硬件設(shè)備安全����。
(一)硬件范圍:主要包括系統(tǒng)數(shù)據(jù)庫服務(wù)器、系統(tǒng)應(yīng)用服務(wù)器����、系統(tǒng)前置機(jī)服務(wù)器、磁盤陣列����、磁帶庫、網(wǎng)絡(luò)防火墻����、網(wǎng)絡(luò)交換機(jī)等。(二)對(duì)于設(shè)計(jì)有冗余電源的設(shè)備����,應(yīng)當(dāng)在購置設(shè)備時(shí)配置N+1冗余電源����,減少設(shè)備因單電源失效引起的宕機(jī)事故的幾率����。(三)企業(yè)信息軟件應(yīng)用系統(tǒng)中提供遠(yuǎn)程登錄的設(shè)備如服務(wù)器、防火墻����、交換機(jī)等,密碼要由專人持有����,密碼設(shè)置要符合密碼復(fù)雜性要求,密碼要定期修改����。(四)系統(tǒng)管理人員要定期對(duì)企業(yè)信息軟件應(yīng)用系統(tǒng)所有硬件設(shè)備進(jìn)行運(yùn)行巡檢,檢查并記錄設(shè)備有無運(yùn)行異常及告警信息����,巡檢過程中要由專人負(fù)責(zé)監(jiān)督。
三����、網(wǎng)絡(luò)安全管理
網(wǎng)絡(luò)安全管理是指企業(yè)信息軟件應(yīng)用系統(tǒng)中的服務(wù)器設(shè)備所處的獨(dú)立網(wǎng)絡(luò)環(huán)境或企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)中心(IDC)網(wǎng)絡(luò)環(huán)境的安全����。
(一)網(wǎng)絡(luò)風(fēng)險(xiǎn)范圍:主要包括企業(yè)信息軟件應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備運(yùn)行情況及其策略管理����。(二)在企業(yè)信息軟件應(yīng)用系統(tǒng)的獨(dú)立運(yùn)行網(wǎng)絡(luò)或企業(yè)數(shù)據(jù)中心(IDC),各網(wǎng)絡(luò)間開放最小量訪問策略����。(三)系統(tǒng)管理人員要定期與安全設(shè)備廠商保持聯(lián)系����,及時(shí)更新設(shè)備廠商的安全補(bǔ)丁和升級(jí)程序,使安全設(shè)備運(yùn)行在最佳安全狀態(tài)下����。(四)系統(tǒng)管理人員要定期對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全檢查(建議每周一次),并出具書面檢查報(bào)告����。
四、服務(wù)器系統(tǒng)安全管理
企業(yè)信息軟件應(yīng)用系統(tǒng)的軟件實(shí)現(xiàn)都要依托服務(wù)器設(shè)備來實(shí)現(xiàn)����。系統(tǒng)安全是指安裝在服務(wù)器上的操作系統(tǒng)軟件����、防病毒軟件和防火墻軟件的安全����。
(一)根據(jù)應(yīng)用軟件系統(tǒng)的需求和服務(wù)器硬件架構(gòu)選擇安裝合適的操作系統(tǒng),服務(wù)器操作系統(tǒng)軟件應(yīng)當(dāng)定期更新操作系統(tǒng)的安全升級(jí)補(bǔ)丁����。(二)服務(wù)器應(yīng)當(dāng)安裝防病毒軟件,系統(tǒng)管理人員要定期更新防病毒軟件更新補(bǔ)丁和病毒特征庫����。系統(tǒng)管理人員要為防病毒軟件定制自動(dòng)病毒掃描策略,定期檢查策略的執(zhí)行情況����。(三)服務(wù)器應(yīng)當(dāng)安裝防火墻軟件,系統(tǒng)管理人員要定期更新防火墻軟件更新補(bǔ)丁����。系統(tǒng)管理人員要為防火墻軟件配置出入操作系統(tǒng)的防火墻安全防護(hù)策略,阻止可疑的不安全防問����。
五����、應(yīng)用系統(tǒng)安全管理
(一)對(duì)數(shù)據(jù)庫用戶進(jìn)行分類別管理����,一類是數(shù)據(jù)庫查詢用戶,一類是數(shù)據(jù)庫更改用戶����。數(shù)據(jù)庫更改用戶權(quán)限應(yīng)通過DBA管理員監(jiān)時(shí)分配,每次操作后由DBA回收用戶權(quán)限����,下次需要修改數(shù)據(jù)����,向DBA申請(qǐng)權(quán)限。(二)禁止任何操作人員手工直接調(diào)整數(shù)據(jù)庫業(yè)務(wù)數(shù)據(jù)����。(三)系統(tǒng)管理人員應(yīng)該為數(shù)據(jù)庫系統(tǒng)制定備份策略,選擇在數(shù)據(jù)庫負(fù)荷比較空閑的時(shí)間執(zhí)行備份����。(四)應(yīng)用系統(tǒng)服務(wù)器安裝了企業(yè)信息軟件程序����,是應(yīng)用系統(tǒng)的業(yè)務(wù)處理平臺(tái)����,是用戶讀取和寫入數(shù)據(jù)的橋梁。應(yīng)用服務(wù)器密碼要由專人負(fù)責(zé)持有����,不得轉(zhuǎn)讓他人,密碼要符合復(fù)雜性要求且定期修改����。
六、系統(tǒng)數(shù)據(jù)備份管理
(一)系統(tǒng)管理人員要制定針對(duì)數(shù)據(jù)庫����、前置機(jī)服務(wù)平臺(tái)、應(yīng)用服務(wù)平臺(tái)的詳盡的備份策略����。備份策略中應(yīng)包含文件系統(tǒng)備份,數(shù)據(jù)庫系統(tǒng)在線和離線數(shù)據(jù)備份����、日志備份����。應(yīng)根據(jù)應(yīng)用系統(tǒng)數(shù)據(jù)的重要程度和應(yīng)用系統(tǒng)的工作負(fù)荷靈活制定數(shù)據(jù)備份的方式和執(zhí)行頻率����。(二)系統(tǒng)管理員應(yīng)定期檢查備份策略執(zhí)行日志,檢查備份執(zhí)行情況����。(三)所有備份數(shù)據(jù)的介質(zhì)集中保存在異地由專人保管。每次備份介質(zhì)的交接要填寫交接記錄表����。
七、故障處理流程
在企業(yè)信息軟件應(yīng)用系統(tǒng)運(yùn)行過程中����,有可能會(huì)出現(xiàn)各種故障����,根據(jù)故障的嚴(yán)重程度可以進(jìn)行分類。
一類為一般性故障����,該類故障主要是指應(yīng)用系統(tǒng)中部分設(shè)備出現(xiàn)故障不能提供服務(wù)����、網(wǎng)絡(luò)訪問緩慢或暫時(shí)中斷等����,該類故障不會(huì)引起系統(tǒng)數(shù)據(jù)丟失,不會(huì)造成全部用戶長時(shí)間不能訪問應(yīng)用系統(tǒng)����,處理時(shí)間相對(duì)較短;另一類為災(zāi)難性故障����,該類故障主要是指系統(tǒng)因極端原因造成了系統(tǒng)宕機(jī)、數(shù)據(jù)丟失����、設(shè)備損壞等嚴(yán)重事故,該類故障會(huì)造成全部用戶長時(shí)間不能訪問應(yīng)用系統(tǒng)����、數(shù)據(jù)可能會(huì)丟失、處理時(shí)間相對(duì)較長����。
第8篇
長期以來����,中國大多數(shù)企業(yè)的信息安全建設(shè)遵循“木桶理論”����,但實(shí)踐證明,在企業(yè)信息安全領(lǐng)域應(yīng)用木桶理論仍存在一定缺陷����,很難實(shí)現(xiàn)“標(biāo)本兼治”。企業(yè)信息安全應(yīng)從安全策略����、安全管理體系、安全技術(shù)體系和安全運(yùn)維體系四個(gè)方面建設(shè)一個(gè)完善的信息安全體系對(duì)企業(yè)的信息資源提供全方位的安全防護(hù)����。整個(gè)安全體系以安全策略為核心,管理����、技術(shù)、運(yùn)維三者有機(jī)結(jié)合����,又相互支撐。三者之間的關(guān)系為“根據(jù)管理體系中的策略����,由相關(guān)組織或人員,利用技術(shù)體系作為工具和手段����,進(jìn)行操作來維持運(yùn)行體系”。在建立信息安全體系的過程中����,可采用ISO27001:2005所述的“過程方法”,即將“規(guī)劃(Plan)-實(shí)施(Do)-檢查(Check)-處置(Act)”(PDCA)四個(gè)步驟����。
2安全策略
信息安全策略研究就是依據(jù)國家信息安全的方針政策、法律法規(guī)和工作要求����,結(jié)合企業(yè)實(shí)際情況和管理要求,制訂企業(yè)信息安全防護(hù)的建設(shè)方針和基本要求����,對(duì)信息安全管理體系����、技術(shù)體系和運(yùn)維體系中的各種安全控制措施和機(jī)制的部署提出目標(biāo)和原則����,是信息化“建、管����、用”各項(xiàng)工作和各個(gè)環(huán)節(jié)必須遵守的安全規(guī)則,也是針對(duì)每個(gè)系統(tǒng)和設(shè)備制訂分項(xiàng)安全策略的依據(jù)����。
3安全管理
信息安全管理可參照信息安全管理模型,按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)ISO17799標(biāo)準(zhǔn)建立組織完整的安全管理體系并實(shí)施與保持����,達(dá)到動(dòng)態(tài)的、系統(tǒng)的����、全員參與、制度化的����、以預(yù)防為主的信息安全管理方式����。管理體系架構(gòu)可分為四層����,最高層為企業(yè)信息安全總體策略����,為下面的各項(xiàng)分策略和具體的規(guī)章制度提供指導(dǎo)。第二層為企業(yè)信息安全組織體系����,作用在于指導(dǎo)實(shí)施安全體系,制定安全的相關(guān)標(biāo)準(zhǔn)和方針����,監(jiān)管安全事件等。組織體系須設(shè)立專門的管理機(jī)構(gòu)����,配備相應(yīng)的安全管理人員,明確主管領(lǐng)導(dǎo)����,落實(shí)部門責(zé)任����,各盡其職����。第三層為根據(jù)總策略,對(duì)信息安全涉及的各方面制定有針對(duì)性的分項(xiàng)策略����,為安全的具體實(shí)施提供管理和技術(shù)上的指導(dǎo)。第四層為具體的安全管理制度����。
4安全技術(shù)
