好投稿
搜索

期刊大全 杂志订阅 SCI期刊 投稿指导 期刊服务 文秘服务 出版社 登录/注册 购物车(0)

首页 > 精品范文 > 信息安全保障

信息安全保障精品(七篇)

时间:2023-10-11 10:16:11

序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇信息安全保障范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。

信息安全保障

篇(1)

 

1 综合治理信息安全的战略背景

 

IT管理技术发展历程,从被动管理转向主动管理,从服务导向转向业务价值。在科学的IT管理方法论方面形成了一系列标准:诸如ITIL/ITSM以流程为中心的IT管理行业标准;ISO20000ITIL 的国际标准; COBIT面向IT审计的IT管理标准;COSO企业内部控制框架,面向内部控制;ISO17799:信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC 27001通过PDCA过程,指导企业如何建立可持续改进的体系。

 

目前企业IT运维管理现状。需求变化:IT本身快速变更;管理目标多角度变换并存。资源不足:IT 复杂性成长快于人员成长;IT 人员持续流动。业务影响:难以判断事件对业务的影响和处理事件的优先级。信息孤岛:IT 资源多样性的,不能进行事件的关联分析,缺少统一的健康视图。IT网络与信息系统运维存在监测盲点,缺少主动预警和事件分析机制。

 

如何把此项复杂的工程进行细化与落地,建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下,IT运营面临严峻的挑战,企业多半缺乏信息系统应用开发能力,在很大程度上依赖于产品开发商的支持,为此,要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想,自主加外包的混合运维方式无疑是一种好的服务方式。

 

2 建立和实施信息安全保障体系思路和方法

 

针对IT管理问题和价值取向的服务方式,借鉴PDCA工作循环原理和标准化体系建设方法,从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系,以规范引导人、以标准流程引导人,以业绩激励人,从而促被动变主动,坚持持续改善,促进工作效率,促进安全保障。

 

2.1 建立和推行目标管理

 

体系建设应以目标管理为先导、循序渐进,按顶层布局、中层发力、底层推动内容设计与构建,为此,借鉴当前IT运维管理目标演进方式,确立各阶段建设目标。

 

基础架构建设阶段(SMB),手工维护阶段。主要实现IT基础架构建设。

 

网络和系统监控(NSM)阶段,重视自动化监控阶段。主要实现IT设备维护和管理。

 

IT服务管理(ITSM)阶段,重视流程管理阶段。主要实现IT服务流程管理。

 

业务服务管理(BSM)阶段,重视用户服务质量与满意度。主要实现IT与业务融合管理。

 

从IT投入和业务价值来看,前三个阶段是间接业务价值,第四阶段才是直接业务价值。

 

根据ITIL这个IT服务管理的方法论,先是搭建一个框架,借用工具的配合促进落地。如图1、IT运维管理系统参考模型。

 

从安全目标出发,结合IT运维管理系统参考模型,每个阶段的工作向着实现直接业务价值,不断消除或减轻对性能的约束,促进IT产品或服务满足确定的规范,实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。

 

2.2 规划融合信息安全保障体系

 

通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系,实现稳健的信息安全保障状态。

 

①组织体系:通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然,需要提出的问题,组织有可能要依赖长期可靠的合作伙伴:通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求,企业实施IT网络与信息系统安全运维体系标准,组织应做到定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,通过相关审核,证明组织具备实施体系的意识和能力。

 

②制度体系:企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此,企业应明确内部运维和外部协同的内容及其标准规范,包括绩效标准。建立实施IT网络与信息系统安全运维体系标准,首先把高效的信息安全做法固化下来形成规则制度或标准,成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。

 

③技术体系:一般来说,网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。适时根据风险评估的结果,采取相应措施,降低风险。

 

其中,需要采用1~2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用,ITRM作为综合风险呈现,是给企业风险或安全管理层使用。

 

④体系运行和监控:体系的日常运行和监控就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。在运行体系建设中,往往需要结合流程分析来关注信息的生命周期安全。运行过程中还有一个应急管理,包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是BS25999标准的颁布,给如何建立一套完善的应急体系提供了参考。

 

3 企业建立和实施信息安全保障体系实践

 

面对网络系统互连,网络技术与设备的安全管理规范的完善这个复杂而且浩大的工程,井冈山卷烟厂不仅依靠个体分散的技术措施或者管理防护,而且结合国家、社会和个人的力量构建综合保障体系。

 

①依据ISO9000、ISO14000和OHSAS18000标准,国家计算机网络和信息安全相关法律法规,参考当前科学的IT管理方法论方面形成了一系列标准,结合YC/T384烟草企业安全生产标准等,识别这些与信息安全相关的法律法规及其它要求,将信息安全保障体系(框架)融合到企业质量、环境和职业健康安全(以下简称为三标)综合管理体系。

 

②确定信息安全管理目标并分步实施企业三年信息化发展规划。自2012年开始,企业对照YC/T384烟草企业安全生产标准要求,在梳理和评价2000年以来企业多个企业信息化三年实施规划实践环境以后,制订了新的三年信息安全管理目标和建设规划,将目标和规划分解到各年度实施,并纳入到企业年度三标综合管理体系建设目标和管理绩效考核。

 

③建立信息安全管理组织和工作标准,同时纳入三标综合管理体系管理考核。从体系结构上促成企业作业层、管理层(中间层)和决策层的信息化,实现企业的物资(服务)流、资金流和信息流的一体化,及时、准确和完整地传递企业的经营数据,保证企业的经营管理。利用信息化改进管理,形成企业信息安全文化,促进员工接受、理解和主动配合,不断提升全员的信息安全意识和技能,从而使信息安全管理真正落到实处。

 

④建立和实施信息安全保障体系文件标准。根据国家信息安全相关的法律法规及其它要求,结合行业和企业的特点和发展趋势,规范管理流程和模式。网络与信息系统建设“立足长远、分步实施、突出重点”,做到“统一规划、统一标准、统一平台、统一编码”,同步实施信息系统等级保护制度,促进企业与信息系统项目合作单位、地方通讯和公安等部门的社会化合作主要方式。企业内部各项工作实现规范化、信息化,做到一切工作都按照程序办,同时,事事处于相互制衡的环境之下、人人处于监督管理之中,从而形成职责明确、运转协调、相互制衡的工作机制,为企业内部信息安全监管提供强有力的保障。

 

几年来,企业坚持企业信息安全方针目标,以迅速响应服务为宗旨。企业信息安全保障体系建设紧紧围绕建立科学、规范、和谐、统一、开放的管理体系,全面融入了质量、安全和环境管理体系一体化建设和实践,截止到2015年底,企业共梳理建立或整合并实施安全保障类文件包括企业管理标准、技术标准和工作标准共计31个标准文件。通过创新与改善和体系审核、管理评审和提高文件执行率及持续改进方式保持了信息安全保障管理体系的持续改进和有效运行。

篇(2)

计算机网络是一个互动交流的平台,因特网信息相对繁杂,因为其开放性,所以极易引发恶意利用等问题。而黑客入侵就位居其中之列,黑客们往往会钻网络漏洞的空隙,趁虚而入,进而窃取密码等相关隐私信息或加以破坏,最严重情况下可能造成整个网络的瘫痪。外部攻击致使安全隐患频发。除了外部黑客恶意破坏,企业员工结合各种办法同外界相互勾结,致使企业受损现象也是时有发生的。企业员工素质及能力存在不均衡现象,有较为优秀的,当然也有些鱼目混珠的,致使理念上产生偏差,比如像导致信息出现格式化、主要数据丢失、无用信息铺天盖地等状况。部分拥有技术能力员工,能够对指定应用程序进行修改,让该类程序特定时间内运行致使企业大批私密信息外泄,为企业带来无法估量的经济损失。还有些如入无人之境像走绿灯一样随便进入信息内部系统,并且对计算机运行实行监控,这种行为是比较恶劣还有严重的。企业内部员工,只有少部分对网络系统拥有合法访问权,除此以外我们国家大部分企业使用的网络软硬件都是结合专有企业产品,这样就导致部分厂商对计算机的网络访问是具有合法权限的,另外警察与部分政府相关工作人员对企业信息访问也是合法的。

2计算机的网络安全问题

网络信息条件下,计算机的网络安全相关问题大多集中在计算机软件开发途中。软件本身存在漏洞对信息安全构成威胁可以说是最大的。信息化建设过程中,要对使用软件加大注意力。应用网络的时候,信息传输不会因为网络故障而终止,但因为网络功能基础就是计算机相关系统软件使用,因为系统本身问题致使该部分漏洞成为攻击者违法犯罪的可乘之机。除了软件本身与网络本身问题,相关管理人员选择也是很重要的一个环节,信息化建设途中结合大型软件的使用,对使用者在依照说明对软件进行使用的时候提出了更高的要求,对软件升级也是提升信息安全不错的选择。使用的时候,应当将密码及用户名保存视为重点关注事项,不应当选择设备本身默认密码及用户名。

3信息安全保障对策

企业信息化建设中对于信息安全同企业发展两者相辅相成、缺一不可,这种意识一定要树立起来。我们不妨进行一下联想,假使企业重要信息被盗取亦或是出现外泄情况,那么后果将是不堪设想的。因此企业先要做的事情就是安全意识的培养,只有意识和理念树立起来,后续工作开展才可以更加便利。(1)对设备进行定期检查。计算机网络设备是计算机的网络系统中极为重要的一部分,定期对设备安全性进行检查,是保障计算机网络安全运行的前提。设备安全得以维护了,网络的传输介质就得以维护了,经常使用相应软件对端口进行维护是计算机网络安全的必要工作。(2)设置防火墙确保网络的安全运行。防火墙是保护网络安全中一项形而有效的举措。当黑客入侵时,防火墙就起到积极屏障与杜绝的作用。防火墙位于网络连接处,它对网络连接起到了控制作用,并对外部的非法用户加以限制与阻拦,保护内部资源不受侵害,对数据传输也起到干涉作用。防火墙相当于一层网络保护膜,它可以对盗窃与破坏活动加以阻挠。防火墙具有非常强的防范作用,它可以积极阻拦外界的进攻和渗透,我们也可以毫不夸张的说它是网络的保镖。(3)强化企业管理工作结合信息安全种类与等级想出针对性的解决策略,并且提前想出多种安全事故应对构想。但凡有信息安全的危机发生的时候,企业要快速组织应急小组,结合危机管理预案及处理步骤,对危机进行处理,切记不要慌张,要冷静沉思,积极灵活应对,避免操作不当而使事态变得更为严重无可挽回。除此以外,对于信息安全相关知识做相关教育和培训的工作,综合提升工作人员危机处理能力也是极其有必要的。(4)提升企业员工综合素质及能力信息安全可以看成是一项整体的、系统化的工程,信息安全要靠信息化建设当中,结合系统面对的整体威胁,攻击,漏洞等采取相应应对措施。人是所有工作开展的先决条件,只有拥有一支能力强、素质高的管理班子,才可以于日常管理当中对各项工作操作的更为专业化,假使有问题产生的话,也可以第一时间想出专业应对方法及策略,对于信息系统安全建设可以说是有着非常大的帮助的。

4结语

篇(3)

    1我省林业信息化安全形势严峻

    我省林业系统信息安全面临的形势不容乐观,从省直机关及部分地市单位的调查结果看,有39%的单位发生过信息安全事件,说明我省林业系统网络和信息安全基础还比较薄弱,保障机制尚待健全。主要有以下四个方面表现。

    1.1从发生信息安全事件的结构上看,超过半数的属于感染病毒、木马。引起事件的原因35.5%来自于单位外部,主要原因是未修补或升级软件漏洞。42.2%的事件损失比较轻微,只有0.9%的事故属于比较严重。而对于事件的觉察,36%是通过网络管理员工作监测发现,22.7%是事后分析发现。这说明,我省林业网络安全形势总体上是好的,但也说明网络与信息安全事件总体防范能力不足,缺乏对安全事件的提前预防。

    1.2从信息安全管理来看,有74%的单位制定了安全管理规章制度,78%的单位能做到随时进行安全检查,61.1%的部门在管理中采取口令加密。这说明林业系统内大部门单位已经认识到了信息安全的重要性,但管理手段单一,技术落后,缺乏有效的身份认证、授权管理和安全审计手段。

    1.3从信息安全投资来看,只有14.70%的单位信息安全投入达到了15%,70%的单位信息安全投资低于信息化项目总投资的10%,甚至还有7%的单位在信息安全方面从来没有过投资。说明整体网络与信息安全投入明显不足。

    1.4从专职人员配备情况来看,只有46%的部门有专职的信息安全人员,大部分是兼职人员或外包服务。仅有3.8%的单位组织了对单位全体员工的信息安全培训,而对于网络安全管理技术人员的培训也只有46%的单位搞过。从业人员不足,安全培训少,也是影响信息安全的一个重要因素。上述现状,反映出我省林业系统网络与信息安全意识淡薄,信息系统综合防范手段匮乏,信息安全管理薄弱,应急处理能力不强,信息安全管理和技术人才缺乏。随着我省林业信息化建设和应用的加快,多样化的侵害和信息安全隐患将会不断地暴露出来,使我省林业网络与信息安全工作面临着更大的威胁和风险。

    2我省林业系统信息安全保障思路及主要任务

    省委省政府关于建设“平安山东”的决定,提出了把我省建设成为全国最稳定、最安全的地区之一的明确目标和任务,切实加强网络与信息安全保障工作是大力推进国民经济和社会信息化的重要保障,是平安山东建设的重要内容。省政府印发的山东省国民经济和社会信息化的十二五规划,把信息安全保障体系作为主要内容之一。在此基础上,林业信息化建设以全面提高网络与信息安全的保障能力为己任,努力开创了我省信息化建设与信息安全保障体系相互适应、共同进步的新局面。

    2.1信息安全保障工作的思路以科学发展观为指导,认真贯彻“积极防御,综合防范”的方针,加强网络信任体系、信息安全监控体系和应急保障体系建设,全面提高林业系统网络与信息安全防护和应急事件处置能力,重点保障我省林业基础信息网络和重要信息系统安全;强化林业信息安全制度建设和人才队伍建设,充分发挥各方面的积极性,协同构筑我省网络与信息安全保障体系。

    2.2信息安全保障工作的主要任务

    2.2.1建立健全我省信息安全管理体制,充分发挥网络与信息安全建设的作用,建立了信息安全的通报制度,形成我省林业信息安全相关部门密切配合的良好机制。

    2.2.2积极推进了信息风险评估和等级保护制度的建立。省信息办制定了山东省信息安全风险评估实施办法,介绍了实施风险评估的方法和流程,十一五期间,已选取了多家单位作为试点,下一步将根据自己工作实施风险评估,并争取在全省范围内推广。

    2.2.3大力促进网络与信息安全的制度建设,积极贯彻有关信息安全标准的应用和推广,出台了林业系统网络信息安全建设的指导意见。

    2.2.4加强信息安全应急处置体系建设,利用现有的专业队伍和技术资源,规划和建设林业数据备份中心,启动建设信息化应急技术处理中心,逐步实现为我省林业网络信息安全提供预警、评测等服务,按照“谁主管谁负责、谁运营谁负责”的要求,各部门出现问题及时处理,如果处理不了,可以呼叫应急中心通过技术手段判断突发事件的原因。

    2.2.5加强人才队伍培养和建设。不定期的举办了面向工作人员提高安全意识、防范意识的培训,对从事信息化的专业人员建立管理培训的制度。

    3加快我省林业信息安全保障体系建设进程的建议林业信息安全保障体系的建设是关系我省民生的大事,做好这项工作十分重要。

    3.1充分认识做好信息安全保障工作的重要意义。目前对信息安全问题不少人仍然缺乏全面的、深刻的认识,现有各个部门在安全工作中缺乏安全防范的意识,安全防护注重于系统外部,忽略了系统内部的安全管理措施,安全保障缺乏循环、良性的提高,不能自主发现和及时消除安全隐患,对安全工作仍然不同程度的存在“说起来重要,忙起来次要,干起来不要”的问题。各单位各部门要从经济发展、社会稳定的高度充分认识信息安全的重要性,增强紧迫感、责任感和自觉性。

    3.2正确把握加强信息安全保障工作的总体要求。要坚持积极防御、综合防范的方针,正确处理发展与安全的关系,坚持以发展求安全、以安全保发展,同时管理与技术并用,大力发展信息技术的同时,切实加强信息安全管理工作,努力从预防、监控、应急处理和打击犯罪等环节在法律、管理、技术、人才各方面采取各种措施全面提升信息安全的防护水平。

    3.3突出重点,抓好落实。各部门要制定工作重点,加强信息安全体系建设和管理,最大限度的控制和限制安全风险,重点保障基础信息网络和重要信息系统的安全,做好应急服务工作,尽可能的防止因信息安全问题造成的重要信息系统的大面积的出现问题。防止数据丢失和错误,避免对社会造成的损失。

篇(4)

【关键词】数字档案;信息安全;保障

对于国家及人民来说,在信息化时代下,数字档案信息安全问题至关重要。美国很早就针对信息的安全问题进行了研究分析。相关思想波及到中国,推动着我国数字档案信息安全问题的探究,随着社会的发展对于档案进行有效改革,顺应时代的需求和发展。

一、我国数字档案信息的安全问题

信息化得到国家和社会的高度重视,数字档案的信息化过程中伴随着机遇和挑战,面临发展中的问题制定相应安全防护措施,却在实践中发现存在很多的风险,需要进一步分析。

(一)管理制度缺乏系统化。数字档案在管理中遇到各种安全问题,首先应该考虑建立一套安全的管理制度。我国数字档案信息随着时代科技的快速发展,其管理制度的不确定影响着整体档案信息的保存效率。对问题进行合理的分析研究,之后制定有效的信息安全管理制度,以实现数字档案信息安全的整体需求。

在网络发展大背景下,数字档案信息管理也受到一些干扰,大量的数据资源需要档案的管理工作拥有更明确的发展体系。过于依赖网络使得很多档案信息安全问题逐渐产生,在网络时代有些问题会随着技术的快速更新而逐渐浮出水面。比如,安全管理水平跟不上其安全技术的发展速度,无法形成较为系统的管理制度,使得数字档案的信息安全问题日益凸显。国家建立一套成熟的安全保障体系,已经迫在眉睫,可以更好地推动我国数字档案的安全管理工作。但是,由于我国的档案机构还处在一个发展的萌芽阶段,还不具备一定的独立创新能力,使得在现实中的管理与相关制度脱节,无法做到真正意义上的信息安全保障。

如今我国档案机构虽然制定了相关管理制度,却有很多没有落实在实际中,管理制度的相关理论与实际问题的处理,还没有完全结合两者之间存在的差异,在工作中无法发挥制度的最大价值,会影响数字档案信息安全保障制度制定的顺利执行,导致完整的安全保障体系无法形成。

(二)人员不重视安全防范。人员的素质问题,一直是影响整个档案管理的一项主观问题。相关档案人员的素质,还有相关设备及环境都存在一些导致档案出现安全问题的因素,其中相关档案工作人员的安全意识单薄是一项非常重要的原因,使得我国数字档案的安全问题频繁出现。

我国数字档案工作中的相关人员,通常都拥有较低的学历,缺少高学历档案人员。也是档案相关人员素质无法提高的一大因素,影响数字信息档案管理的专业性,缺少档案信息的基本安全防范意识,会影响档案信息的安全保障,导致出现更多的隐患问题。

我国档案工作也随着现代网络的飞速发展,进入到转型阶段,这一阶段是非常重要的时期,国家支持档案工作并制定了相关的法律制度对其约束,然而相关档案的从事者却无法深入了解档案的管理工作,没有一个足够的认识,相关档案的法律知识非常单薄,最终相关理论也没有有效地应用于实际工作中。

(三)缺乏风险预判能力。我国数字档案部门在针对相关安全问题时,总有一个风险的预判,然而在现实中预判是否准确也是国家重视的问题。数字档案部门对于安全管理的宣传力度并不到位,在整个档案的管理过程中,对于档案的风险预判能力要求很严格,预判信息可以获得更多有利于安全防范的问题,同时采取科学的应对措施。

然而我国档案部门对于数字档案管理问题的风险预判,不能特别准确地反映出档案信息的安全问题,致使数字档案的安全受到一定的威胁。安全保障无法树立正确的观念,对于突发的紧急情况不能及时地解决,使得更多潜在的数字安全问题逐渐发生,直接影响档案资源保存的安全性。数字档案信息的安全问题,在发展中不断完善,并在解决方法中找到更适合、更科学的应对方式。

(四)信息安全存储格式不一。如今我国数字档案受到其自身以及周围环境的影响,使得档案的保存不断出现问题,尤其是档案的永久保存问题逐渐凸显。专门的存储设备及相应的存储转换介质才可以将数字档案信息进行有效地读取,而又有很多情况导致无法正常读取信息,比如系统出现了故障、设备出现了问题。另外,数据的转换总会出现问题,因为数字档案的形成方式的渠道是各异的,给数据之间的互相转换带来一定的困难。

(五)风险评估体系不健全。我国的数字档案信息管理过程中,没有引起在风险评估上的重视,使得数字档案信息安全体系建设缺乏有力的指导作用。会影响到档案安全体系的发展,在档案信息安全管理工作中,因为缺少防范能力的重视,最终无法达到数字信息安全的保障目的,在工作中也处于比较被动的状态。在数字档案安全保障工作中,发现漏洞并及时处理,需要的是明确的风险评估能力,但是相关风险评估还没有一套健全的体系。

二、数字档案信息安全预防措施

数字档案信息的安全管理问题,在现在的信息化时代逐日凸显,为了保障数字档案信息的安全性,需要在实践中分析研究更适合其发展的有效方法。我国重点将风险评估作为主要的预防手段,充分发挥其在档案安全中的作用。

(一)建立健全的安全管理保障体系。我国在建立安全管理制度过程中,为了推动整体数字档案的安全发展,应该明确安全风险评估制度,起到有效的防范作用。应该针对具体的问题,将创新的措施应用于实际当中,详细分析相关技术和管理措施,为档案的安全保障体系保驾护航,建立合理、科学的安全管理体系。

我国对相关档案信息安全问题逐渐重视,我国制定了相关信息安全风险评估规范的法律法规,要求在档案管理中实施风险评估标准。经现实证明,风险评估的建立是非常有必要的,能够在整个数字档案信息安全中,发挥主动性,做出有利的风险评估,帮助相关从业人员在工作过程中快速发现并解决安全问题。根据我国数字档案信息的重要程度,分级别地进行分析了解,有针对性的根据信息问题实施相应措施,保证档案资源的安全。

(二)科学预判存在的安全风险。数字档案信息问题实际上是不断产生的,需要对相关问题进行严格的分析研究,并采用各种有效的手段去查找,威胁数字档案信息管理的风险因素,通过各种有效工具的辅助管理,有效提高档案信息的保存安全效率。需要在各个领域采取相应的具有针对性的措施,建立一道安全屏障。另外,应该考虑制定问题的预案,为了培养更高的技术能力,让相关人员主动意识到风险问题的重要性。在数字档案信息安全问题发生时,应该及时将相应问题进行报告,及时根据问题采取相应的应急措施,达到真正的防范目的。及时发现科学预判潜在的安全风险问题,变被动的管理为一种主动的管理形式,提高数字档案的信息安全保障质量,防范于未然。

(三)保证信息存储长期有效。为了保障档案信息的安全性,应该将危险因素控制在一定的范围内,这就需要通过风险评估的有效实施来实现。为了使得数字档案系统的运行稳定性,风险评估就是一项有利的科学保障技术,通过风险评估快速发现档案信息中的不足,落实好数字档案信息管理工作的应用。如今时代化的发展使得数据量与日俱增,整个网络处于变化莫测的环境中,数字档案信息的安全问题隐患逐渐增多,需要借助有效的风险评估,对档案信息的安全性做出保障。

数字档案的存储和读取,是档案信息安全问题的主要研究方向,在不同软件系统下,对于数字档案的储存应该做到兼容,提高数字档案在各种软、硬件中的作用和价值。通过科学有效的管理方法和手段,发挥档案管理的重要目的,保证档案信息保存的质量,为了信息的长期储存可以选择长效的存储介质及设备。

(四)提高信息安全防范意识。在整个档案信息安全保障中,应该理解相关风险防范意识的重要性。提高相关档案从事人员的安全防范意识,需要依靠风险评估在实际中进行落实,为了数字档案信息安全工作的顺利开展,应该通过对风险评估的详细分析,促进整个档案安全科学的发展。对信息安全问题给予精确的数据分析支持,在进一步科学管理的基础上,采用相应措施对风险因素进行有利的控制。

另外提高相关管理人员的综合素质,也是一项重要任务。应该考虑进行有效的培训,提高档案信息相关管理人员的安全防范意识,以及其更高的责任感。将相关档案安全知识有效宣传,提高相关从业人员对信息安全的防范意识,才能使得数字档案的信息内容更加真实准确,发挥档案的真正价值。此外还要重视相关法律、法规制度的落实,提高宣传力度,提高档案信息的整体工作效率。为了能够从各个环节中掌握好档案信息的管理情况,应该进行适当的培训,将有效知识以培训的形式宣传出来,加强数字档案信息安全防范意识,促进整体档案事业的顺利开展。

(五)规范信息安全标准体系。在整个数字档案安全发展过程中,其保障体系的建立在不断发展中寻找创新和发展,将风险评估方法应用于其中,使得整个档案的安全性能更高,有效的将一些问题进行防范。需要合理科学的分析实践,针对问题的发生,找到适合的解决方法,以达到风险评估的最终目的。

风险评估工作不仅需要一定的技术支持,还需要科学合理的管理,在人员管理上一直都有严格的要求。规范数字档案信息安全标准体系,使得档案工作的各个环节都可以得到有效的控制,细化到每一个工作细节上,完善安全体系的建立。在现实中严格落实相关法律法规规范,借助法律力量支持数字安全信息的顺利发展。

三、结论

档案事业是一项尤为重要的工作,对于整个国家和社会而言都具有宝贵价值。应该发挥其自身服务的特性,向社会提供有利的价值,国家在实际中大力宣传档案工作的重要性,通过强化法律法规,对档案管理进行有效的规范,将其有效服务落实于社会各个阶层。需要在问题中不断完善数字信息安全保障体系,使得数字档案信息资源可以长期、有效地保存,并且能够科学有效地对其资源进行利用。

【参考文献】

[1]杜娟.浅析数字档案在档案信息化建设中的重要性[J].治黄科技信息.2016(04).

[2]李忠丹.数字档案信息的安全性管理[J].科技致富向导.2014(06).

篇(5)

关键字:校园;网络;管理;信息;安全;保障

目前,校园网络信息安全性的问题逐渐得到高级技工学校的关注,学校在不断的完善校园网络的管理以及信息安全保障的政策。校园网络作为高级技工学校信息化建设的重点,确保网络信息安全的完整性、保密性、可控性、可用性、不可否认性成为了学校保障网络信息安全的重点工作。

一、校园网络信息安全的特征

校园网络信息安全需要具有完整性,确保信息在传输以及存储的过程中可能被恶意的篡改,应该确保网络信息的正确以及有效,避免被非授权人将信息的完整性破坏;校园网络信息安全需要具有保密性,通过密码技术对重要的信息采取保护措施或进行加密处理,避免重要信息的泄漏、丢失等,确保合法用户能够安全的使用信息;校园网络信息安全需要具有可控性,使授权机构能够控制信息的内容以及具备监控和管理传播流向和方式的能力;校园网络信息安全需要具有可用性,确保授权用户能够进入系统进行信息的访问,防止非授权者恶意访问系统,窃取、泄漏、破坏校园网络的信息安全。与此同时,还应该防止网络病毒引发的系统瘫痪,造成服务器拒绝用户使用或被入侵者所用;校园网络信息安全需要具有不可否认性,也可以称之为不可抵赖性,当信息传输结束以后,信息传输双方不能抵赖自身的行为,比如否认接收过对方的信息,通过信息源的证据,双方就无法对完成的操作进行抵赖,能够有效的防止发送方否认已经传输过的信息。

二、校园网络管理和信息安全保障的必要性

随着计算机网络的不断发展,强化学校网络安全管理的建设,不仅能够提升学校整体的形象,还是学校发展成为信息化的必然趋势。网络安全对于校园整体形象和未来发展趋势都有影响。校园网络信息安全对于学生来说,能够促进学生的全面发展,还能提高学校的整体经济效益。目前,学校的网络中储存了大量的文献信息,网络信息安全对于高级技校的教育工作有着重要的意义,教师进行教学越来越依赖计算机网络,如果网络的安全出现问题,信息资源被恶意篡改、丢失、删除、破坏等,对于学校来说是无法弥补的经济以及资源损失。因此,校园网络管理和信息安全保障对于高校来说十分重要,建设校园网络的过程中,应该重视网络运行的安全问题,引进先进的网络技术,严格按照网络安全管理规范,及时解决网络系统可能出现的问题,确保校园网络能够安全、可靠、正常的运行。

三、校园网络管理和信息安全保障的现状

3.1校园网络的安全受到威胁

目前,高级技工院校为了提高网络的安全性,通常会配置网络防火墙系统。然而防护墙是利用静态技术只能起到防范的作用,并且防护的范围不够全面,防护的效果也不是十分明显。为了采取更加有效的防护措施,高校需要采用动态防护技术,比如入侵检测技术。如今病毒的传播方式多种多样,具有很强的破坏能力,并且传播速度很快,一旦校园的某台计算机被病毒入侵,主机系统就会受到影响,导致整个校园的网络都会瘫痪。

3.2不重视校园网络的管理

大部分的高级技工院校对于网络管理问题,普遍是“重设备,轻管理”的理念,仅重视设备的购买,而忽视了对设备的管理。学校错误认为安装防火墙、电脑管家以及杀毒软件,就能起到信息安全防护的作用,其实信息安全还包含其他方面,安全防护设备在校园网络中虽然得到了普遍应用,然而对于软件的实践应用只能解决一部分的信息安全问题。学校应该重视安全设备安装后的管理问题,通过制定相关的管理规则,使用户能够合理的使用校园网络,从而确保网络信息的安全。

3.3用户的校园网络安全意识不够高

高级技工学校用户普遍缺乏网络安全意识,需要不断提高网络安全意识,才能从根本上保障校园网络信息的安全。对于学校来说,校园网络用户在网络信息管理和保障中起到十分关键的作用,用户的实践操作行为直接影响信息的安全。目前,大部分校园网络用户,进行口令的选取时,忽视自身操作的规范性,导致校园网络被恶意入侵。

四、校园网络管理和信息安全保障的实践策略

4.1完善校园网络的访问权限设置

校园网络为了保证信息的安全需要设置网络权限,通常校园网络只提供给本校师生使用,这样就能有效的减少不良信息传播的途径,避免病毒通过其他途径破坏系统,从而保障校园网络信息的安全。访问权限设置能够控制用户的非法访问,检测用户登陆的服务器以及用户查看过的信息,使用户的账号能够受到监管,避免用户信息被盗用,导致信息的泄漏。

4.2重要信息及时做好备份

校园网络如果遭受到病毒的侵害,计算机系统就会受到损害,导致用户的重要信息泄漏、丢失等,造成用户的损失。因此,学校网络的数据库需要及时进行重要信息的备份,确保用户的重要信息能够通过备份系统找回,避免给用户造成不便。

4.3监控校园网络的日志

做好校园网络日志的监控工作是高级技工学校的重点工作,对于保障信息安全起到了重要的作用。安全设备虽然能够保障信息的安全,但是不能仅仅停留在表面,作为校园网络的管理人员,应该不断提高自身的素质,进行安全设备性能、用途等多方面的深入研究,从而更好的管理校园网络的信息。监控校园网络信息安全的对象有防火墙、检测系统、服务器等,由于防护核心思想的差异,综合使用监控设备能够有效的进行用户访问时间的跟踪,了解用户的登陆地点,登陆设备、登陆时间等,这些信息有助于学校管理和保障信息安全,了解校园网络日志的具体来源和途径,从而提高校园网络的安全性。

4.4建立校园网络管理相关的制度

高级技工学校应该制定相关的政策,强化用户对信息安全防护的意识,提高自身的网络素养。制定完善的制度管理体系,使用用户能够严格按照相关规定约束自身的行为,避免由于自身错误的操作,造成校园网络信息的泄密、丢失等。由于校园网络使用的用户普遍为在校学生,因此学校可以结合学生的实际情况,设立网络相关的选修课程,提高学生的网络安全意识。与此同时,校园网络使用的用户还包括教师,学校应该对教师展开定期的培训,提高教师的综合素质,从而做到言传身教。通过不断提高校园网络用户的整体素质,网络不良信息的传播才能得到有效的控制,避免恶意入侵的非法用户危害校园网络的安全。

五、结语

综上所述,校园网络是一把双刃剑,虽然为学生和教师的学习和教学工作带来了方便,然而随着网络技术的不断发展,信息安全的问题接踵而至,为了有效确保校园网络信息的安全,学校需要不断的完善校园网络的访问权限设置,对重要的信息及时做好备份,监控校园网络的日志,建立校园网络管理相关的制度,从而提高校园网络用户的综合素质,提高校园网络的安全性。

参考文献

[1]杨梅,甘露,张林涛.校园网络管理和信息安全保障实践探讨[J].玉林师范学院学报,2013,01:112-116.

[2]王平,赵仕伟,赵义平.浅谈校园网络管理与信息安全保障对策研究[J].网友世界,2014,06:5.

[3]徐喆.高校网络安全存在的问题与对策研究[D].燕山大学,2012.

篇(6)

关键词:信息安全;安全技术;网络

中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 06-0085-01

一、信息安全的定义

20世纪70年代以前,信息安全的主要研究内容是计算机系统中的数据泄漏控制和通信系统中的数据保密问题。然而,今天计算机网络的发展使得这个当时非常自然的定义显得非常不恰当。首先,随着黑客、特洛伊木马及病毒的攻击不断升温,人们发现除了数据的机密性保护外,数据的完整性保护以及信息系统对数据的可用性支持都非常重要。其次,不断增长的网络应用中所包含的内容远远不能用“数据”一词来概括。综上分析,信息安全是研究在特定的应用环境下,依据特定的安全策略对信息及其系统实施防护检测和恢复的科学。

二、信息安全面临的威胁

由于信息系统的复杂性、开放性以及系统软件硬件和网络协议的缺陷,导致了信息系统的安全威胁是多方面的:网络协议的弱点、网络操作系统的漏洞、应用系统设计的漏洞、网络系统设计的缺陷、恶意攻击、病毒、黑客的攻击、合法用户的攻击、物理攻击安全、管理安全等。

其次,非技术的社会工程攻击也是信息安全面临的威胁,通常把基于非计算机的欺骗技术成为社会工程。社会工程中,攻击者设法伪装自己的身份让人相信就是某个人,从而去获得密码和其他敏感的信息。目前社会工程攻击主要包括的方式为打电话请求密码和伪造E-mail。

三、信息安全相关的防护理念及其技术

计算机信息安全技术是针对信息在应用环境下的安全保护而提出的。是信息安全基础理论的具体应用。安全技术是对信息系统进行安检和防护的技术,其包括:防火墙技术、路由器技术、入侵检测技术、扫面技术等。

(一)防火墙技术

防火墙是指设置在不同网络(如可信任的企业内部和不可信任的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据个人的安全政策(允许、拒绝、检测)出入网络的信息流,且本身具有较强的抗攻击能力。一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证和审计等)配置在防火墙上。

(二)路由器技术

随着网络各种领域应用的日益普及,网络信息安全问题趋于复杂化和多样话。针对网络存在各种安全隐患,安全路由器必须具有如下的安全特性:

(1)可靠性与线路安全(2)身份认证(3)访问控制(4)信息隐藏

(5)数据加密(6)攻击探测和防范(7)安全管理

(三)物理隔离器技术

隔离卡技术是将一台计算机划分成两个独立的虚拟计算机,分别连接公共网络和网络。通过隔离卡,用户的硬盘被划分为公共区和安全区,装有独立的操作系统和应用软件。当用户在公共区启动时,计算机连接公共网络;当用户在安全区启动时,计算连接网。

(四)防病毒技术

1.虚拟机技术

虚拟机技术是国际反病毒领域的前沿技术。这种技术更接近于人工分析,智能化极高,查毒的准确性也极高。虚拟技术的主要执行过程如下:

在查杀病毒时,在计算机内存中模拟出一个“指令执行虚拟计算机”,在虚拟环境中虚拟执行可疑带毒文件在执行过程中,从虚拟机环境内截获文件数据如果含有可疑病毒代码,则说明发现了病毒。杀毒过程是在虚拟环境下摘除可疑代码然后将其还原到原文件中,从而实现对各类可执行文件内病毒的杀除

2.监控病毒源文件

密切关注、侦测和监控网络系统外部病毒的动向,将所有病毒源堵截在网络入口处,是当前网络防病毒技术的一个重点。趋势科技针对网络防病毒所提出的可以远程中央空管的趋势病毒监控系统不仅可完成跨网域的操作而且在传输过程中还能保障文件的安全。

3.无缝隙连接技术

无缝隙连接技术也叫嵌入式杀毒技术。通过该技术,我们可以对病毒经常攻击的应用程序和信息提供重点保护。它利用操作系统或应用程序提供的内部接口来实现对使用频度高、范围广的主要应用软件提供被动式的保护

4.检查压缩文件技术

检查压缩文件中的病毒有两种思路。第一种思路:首先必须搞清压缩文件的压缩算法,然后根据压缩管理算法将病毒码压缩成病毒压缩码,最后根据病毒压缩码在压缩文件中查找以判断该文件是否有病毒。另一种检查压缩文件中病毒的思路:在搞清压缩文件的压缩算法和解压算法的基础上,首先解压待检查的压缩文件。随后在解压后的文件中检查病毒码来判断该文件是否有病毒,以此来说明原压缩文件是否有病毒。最后将文件还原成原来的压缩格式。

四、建立网络安全体系的必要性和发展信息安全体系的重要性

国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。

完整的信息安全保障体系建设是信息安全走向成熟的标记,也受到了国家和众多企事业单位的重视。信息安全保障体系的建设,必须进行科学的规划,以用户身份认证为基础,信息安全保密为核心,网络边界防护和信息安全管理为辅助,建立全面有机的安全整体,从而建立真正有效的、能够为信息化建设提供安全保障的平台。

参考文献:

[1]徐茂智,雏维.信息安全概论.人民邮电出版社,2007

篇(7)

关键词:档案;风险;管理;安全

人事档案随着人事制度的改革,其工作也发展到了网络化和信息化的阶段,基于电子化的认识,档案的管理模式发生了从管档案到提供服务的过渡转变。同时,信息化的环境下各种各样的危险因素和隐患都会导致人事档案信息的泄露、篡改等,影响到人事档案的真实性、完整性、系统性。有鉴于此,本文主要对人事档案在信息时代的安全策略进行研究。

一、电子档案信息的基本特征

电子档案信息属于档案信息,除了网络化特征的共享性、流动性之外,还具有档案信息的基本特点:

(一)本源性特征。电子档案信息是基于人类生活和生产中的记录信息,其具有十分显著的本源特征。这也是电子档案信息和非档案信息的本质区别。

(二)回溯性特征。信息档案中的记录内容是对已经产生的一些历史、活动等信息的记载,这个过程作为一种记录性的内容具有明显的回溯特征。相对于纸质档案,其回溯功能更为简便。

(三)联系性特征。电子档案信息中便显出时间、形式、来源、内容上的关联,尽管是以文件单体的形式形成,但却是以文件组合的形式而存在和运动的。因而,具有显著的联系特征。

(四)分散性特征。在微观上,电子档案的形成有着阶段性、过程性的特点,在时间和内容上被分散和分割。因而,在整体上看信息内容杂乱、零散。在宏观上电子档案的形成数量和内容上多样化、层次不一,职能不同,档案的形成具有分散性和广泛性。除此之外,电子档案还具有网络和计算机软硬件的依赖性特征,存储的高密度特征、信息构成的复杂性特征等。

二、电子人事档案信息的安全需求

人事档案是反映个人的社会经历和工作实践的信息记载,也是一个人技术水平、业务素质、工作能力和思想品质的反映,无论是国有的企事业单位的录用还是民营公司的招聘中,都无一例外的会对个人的档案信息进行查阅。人事档案信息依赖于计算机的操作系统、软件和硬件以及计算机技术和网络技术,因而对互联网具有较大的依赖性,而互联网是一个开放式的平台,安全保障是重点。总的来说,人事电子档案的安全需求在以下几点:

(一)实体安全保护。实体安全保护指的是电子人事档案的存储的载体,也就是计算机的硬件平台,系统设备和相关的物理设施。实体安全是电子人事档案的前提,实体的安全若无法保证,整个电子档案的安全就无从谈起。

(二)软件安全保护。软件安全保护主要是保障电子档案信息在一定的软件环境下的安全操作,使档案信息避免被篡改、复制或是恶意的破坏。主要包括软件的自身安全、存储安全、通信安全以及使用运行安全等。

(三)信息内容的安全。这里主要指的是电子档案信息的数据安全。这是电子档案安全中的最重要的内容,包括数据的完整性保护、存储数据库的保护、档案数据的完整有效性等。

(四)网络安全。网络安全保护主要是针对计算机网络及其节点面临的威胁和网络的脆弱性而采取的防护措施。

三、影响电子人事档案安全的因素

网络环境下,电子人事档案的管理存在着许多的隐患和潜在的危险,主要影响因素表现在以下几个方面:

(一)电子人事档案的信息基础设施落后。这里主要包括计算机的网络系统、通信系统和电力分配系统等,这些系统对信息的安全至关重要。但是,实践中当前的硬件设施条件无法匹配完全管理的需要,使得人事档案的信息管理工作任务繁重,许多设备常常故障运行、运行环境较差、设备的兼容性较差、信息保存的环境恶劣,导致人事系统中的数据不可读取、丢失或被毁坏,严重威胁到电子人事档案的安全。

(二)电子人事档案的软件系统环境薄弱。在最初的软件环境的构建中就忽视了一些漏洞的存在,存在严重的漏洞风险,加上软件自身的安全缺陷和设计初期的遗留问题,给电子人事档案留下了致命的短板。此外,网络管理人员在人事档案的流转中未能发挥作用,对信息的基本加密、传送和存储处理等控制措施没有安全配置,导致了人事信息受到安全威胁。

(三)人事信息的管理不善。档案的安全管理法规和制度尚未健全,加之管理人员的业务素质、责任心等因素的影响都将给人事信息的管理带来安全风险。

(四)不法分子的恶意攻击。由于主观和客观上的原因,导致了许多不法分子恶意的攻击、损毁、窃取和篡改人事信息的案例,网络黑客频繁地攻击计算机系统,破坏数据库。主观上的盗取信息这无疑是最为严重的安全风险。

四、保证电子人事档案安全的对策

无论是实体的安全还是虚拟的安全,当前电子人事档案的管理上和技术上都存在着一些明显的缺陷和不足。为了应对安全风险,保证电子人事档案的安全,应从以下几个方面展开对策:

(一)强化人事档案的安全意识。无论是档案的管理人员、系统的平台维护人员还是信息的使用人员,都应树立科学的档案安全意识,将防御和防治结合起来,以防为主,防治结合的方针要严格贯彻,提升人员的责任感、安全感。认识到档案管理的重要性和网络安全的重要性,开展安全教育,将档案安全贯彻到每个人的头上。

(二)建立档案信息安全的保障体系。简单地从每一个环节上保障安全是不够的,需要联动地将每个环节都联系起来,建立一个整体性的保障体系措施。因而需要从战略角度来构建保障体系,考虑法律制度、法规条文、组织管理、产业发展、基础设施等,将技术措施、管理措施、法律约束融合为一体,让保障体系在根本上保障信息安全,确保信息的不泄密、不损坏、不丢失。

(三)完善相应的技术标准。规范化信息标准主要是针对数据库的运行规范、信息的使用规范做出一定的约束限制,避免因为主观上的失误导致信息的安全风险,通过多种形式制定适合于自身的保护和保密制度,将技术和法规协调,实现人事工作的安全协调,共同防护安全风险。

(四)建立安全保障机制。前面的措施主要的都是防范措施,一旦发生了信息的泄露或是发生了安全风险,如何来积极应对也应提前规划布局。人事信息的管理部门应完善和出台适用自身信息安全的预警系统和响应机制,对可能发生的危机和后果进行提前预判和估计,做好应急准备,完善防范手段,提升安全处置能力。建立人员的管理制度、技术管理制度、病毒防护制度等。加强日常安全风险排查活动,进行必要安全风险的演练,开展各式各样的安全培训活动,提升防护和防治技能。大数据时代,信息的电子化的趋势给档案馆带来了一定的改变和冲击,档案信息的收集和管理也出现了一些新的问题,其中最为突出的当属信息的安全问题。研究电子档案的信息安全是对传统档案管理研究的拓展,这对档案学的相关研究和发展理论有着一定的推动作用。在未来的实践中,档案安全应作为主要的研究方向,进一步从多角度、多维度展开深入研究。

参考文献:

[1]何莎.电子档案的形成及保护[J].档案.2011(02)

相关文章
热门文章
相关期刊