时间:2023-10-18 10:19:12
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇工程信息安全管理范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
文章编号:1674-3520(2015)-09-00-01
随着社会经济的快速发展,人们对于信息的公开化、透明化的要求越来越高,同时信息资源的管理也面临巨大的困扰,信息安全问题已经成为影响人们数据存储的重要因素。现代企业出于安全和利益需要,对于很多信息不能公开或者一定时期内不能向外界公布,这时就需要应用安全保密技术。
一、保密技术对数据信息安全的重要性
保密技术是企业为获得自身利益和安全,将与自身发展密切相关的信息进行隐藏的一种手段,随着互联网的快速发展,企业信息的保密也越发重要。保守企业秘密是指严格按照有关经济法律和企业内部的规章制度,将涉及信息和信息的载体控制在一定的范围之内,限制知悉的人员,同时也包含了企业自身或内部员工保守秘密的职责,并以此采取相应的保密活动。通常情况下,属于保密范畴的信息,都应当明确内容,并规定相应的期限,在此阶段内,保密主体不能够擅自改变,并且其知悉范围是通过强制性手段和措施来实现控制的。
二、数据信息安全保密技术类型
(一)口令保护。对数据信息设置口令是数据信息安全的基础保障。在对数据保密信息设置安全保障的过程中,可以先根据计算机技术设置登录密码,并确保密码的复杂性,如字母与数字混合、大小写字母与数字混合等,以免被黑客破解。如果有提示密码可能被盗的消息,则应当及时辨别消息的真实性,并登录到安全中心重新设置密码,从而确保数据信息登录的安全性和可靠性。
(二)数据加密。在信息的存储及传输过程中有一个重要的手段,就是对数据进行加密,这样才能够保证数据信息的安全性,从而提升信息保密的抗攻击度。所谓数据加密,主要是指根据较为规律的加密变化方法,对需要设置密码的数据进行加密处理,由此得到需要密钥才能识别的数据。加密变化不仅能够保护数据,还能够检测数据的完整陛,是现代数据信息系统安全中最常用也是最重要的保密技术手段之一。数据加密和解密的算法和操作一般都由一组密码进行控制,形成加密密钥和相应的解密密钥。在数据信息传输的过程中,可以根据相应的加密密钥,加密数据信息,然后根据解密密钥得出相应的数据信息。在此过程中,大大保障了数据信息的安全,避免被破解。
(三)存取控制。为保证用户能够存取相关权限内的数据,已经具备使用权的用户必须事先将定义好的用户操作权限进行存取控制。在一般情况下,只要将存取权限的定义通过科学的编译处理,将处理后的数据信息存储到相应的数据库中。如果用户对数据库发出使用信息的命令请求,数据库操作管理系统会通过对数据字典进行查找,来检查每个用户权限是否合法。如果存在不合法的行为,则可能是用于用户的请求不符合数据库存储定义,并超出了相应的操作权限,这样则会导致数据库对于用户的指令无法识别,并拒绝执行。因此,只有在采取存取控制保护措施下,数据库才能够对发出请求的用户进行识别,并对用户身份的合法性进行验证。同时还需要注意不同用户之问的标识符都具有一定差异,经过识别和验证后,用户才能够获取进入数据库的指令,以此确保数据信息的安全性,为用户提供一个良好的数据应用环境。
三、增强数据信息安全保密技术
(一)数字签名技术。在计算机网络通信中,经常会出现一些假冒、伪造、篡改的数据信息,对企业应用数据信息造成了严重影响,对此,采取相应的技术保护措施也就显得非常重要。数字签名技术主要是指对数据信息的接收方身份进行核实,在相应的报文上面签名,以免事后影响到数据信息的真实性。在交换数据信息协议的过程中,接收方能够对发送方的数据信息进行鉴别,并且不能够出现否认这一发送信息的行为。通过在数据签名技术中应用不对称的加密技术,能够明确文件发送的真实性,而通过解密与加密技术,能够实现对数据信息传输过程的良好控制,以免出现信息泄露的情况。
(二)接入控制技术。接入控制技术主要是指针对用户所应用的计算机信息系统进行有效控制,实现一般用户对数据库信息的资源共享,这是避免非法入侵者窃取信息的另一关卡。对于需要密切保密的数据信息库,用户在访问之前应当明确是否能够登陆,及登陆之后是否涉及保密信息,以加强数据信息控制。在对绝密级信息系统进行处理时,访问应当控制到每个用户。在系统内部用户非授权的接入控制中,任意访问控制是指用户可以随意在系统中规定的范围内活动,这对于用户来说较为方便,而且成本费用也比较低廉。但是此种做法的安全性较低,如果有用户进行强制访问,势必会导致外来信息入侵系统。对此,采用强制访问方法能够有效避免非法入侵行为,虽然安全费用较大,但是安全系数较高。
(三)跟踪审计技术。跟踪审计技术主要是指对数据信息的应用过程进行事后的审计处理,也就是一种事后追查手段,对数据系统的安全操作情况进行详细记录。通过采用此种技术,如果数据库系统出现泄密事件,能够对泄密事件的发生时问、地点及过程进行记录,同时对数据库信息进行实时监控,并给出详细的分析报告,以保证数据库系统的可靠性。跟踪审计技术可以分为好几种类型,如数据库跟踪审计、操作系统跟踪审计等。这些技术的应用及实施,能够加强对数据库信息的安全限制,以免再次出现病毒入侵的情况。
(三)防火墙技术。防火墙技术主要是指对计算机网络的接入进行有效控制,如果有外部用户采用非法手段接入访问内部资源,防火墙能够进行识别并进行相应的反击处理,从而将不良信息隔在网络之外。防火墙的基本功能是对网络数据信息进行过滤处理,同时对外来用户的访问进行分析和管理,拦截不安全信息,将网络攻击挡在网络之外。
四、结束语
对数据信息进行安全保密管理是信息安全的关键,也是安全管理的核心。随着现代科学技术的不断发展,信息化条件下的保密工作和传统的保密工作已经有了截然不同的特点。因此,在未来的发展过程中,对于数据信息的安全保密显得更加重要,需要进一步改进相关技术,需要企业不断努力。
参考文献:
[1]赵楠 IT系统数据信息安全解决方案解析[期刊论文]-科技资讯 2013(15)
【关键词】铁路信息;安全管理;标准体系
随着高新技术的不断发展与完善,世界进入了信息时代,各种信息流在短时间内进入到了人们生活、工作的方方面面。当前,对信息的运用、管理与安全保障已经成为了人们重点关注的话题。传统的信息安全管理通常将常规的信息系统安全设备作为重点内容,通过这些安全设备为信息安全树立屏障。这种方式虽然具有一定的效果,但是并没有达到人们的期待。通过相关的实践证明,信息安全工作需要从技术、管理与法制三个方面入手。因此,实现铁路信息安全管理及其标准体系的建立已经非常迫切。
1 信息安全管理及其标准体系建立的意义
信息安全管理体系(Information Securitry Management Syst ems,ISMS)指的是组织在整个或者特定的范围内,信息安全放在与目标的建立、实现等需要的策略与方针体系,主要的作用是对组织的信息安全进行保障。
首先,通过信息安全管理体系的建立,能够促进组织中员工信息安全意识的有效提高,能够促进员工信息安全行为的有效规范。通过信息安全管理体系能够提高组织应对突发事件的能力,提高信息管理工作的安全性与可靠性,使组织能够进入到高效、持续发展的良性循环中。其次,通过信息安全管理体系能够对信息系统进行有效的安全风险监管与控制,通过与风险评估、等级保护等工作实现相互之间的结合与连接,确保信息系统能够在受到外部侵袭的情况下保持业务开展,同时将损失降低到最小程度。最后,通过信息安全管理体系实现安全管理方式的动态化与系统化、制度化,确保信息安全保障能够实现成本最低、效率最高,提高组织的竞争力。
2 铁路信息安全管理及其标准体系的建立
2.1 铁路信息安全管理体系模型
在铁路系统信息安全工作的组织、实施与监督过程中,信息安全管理体系是非常重要的基础,对铁路运输生产安全管理有着非常重要的影响。铁路信息安全管理体系模型实际上就是对铁路信息安全管理体系进行了具体化的表述,使铁路系统信息化安全策略,通过铁路信息安全管理体系模型确保安全策略的完整性与一致性。
通过相关的实践可知,铁路信息安全管理处于持续的发展过程中,包括四个循环阶段:第一,计划阶段。计划阶段是安全信息管理的准备阶段,为以下三个阶段的活动奠定了坚实的基础。计划阶段中包括组织建立、责任分配、目标与策略确立等内容,具体来讲包括风险评估、安全措施选择及安全计划、业务计划、培训技术制定等。第二,实施阶段。实施阶段是对计划阶段确定的目标进行实现,主要的内容包括安全策略、安全措施、安全意识培训等。第三,检查阶段。检查阶段主要是通过监视、审计、评估等手段对计划阶段目标实施情况进行检查,检查的具体内容包括安全策略、目标、程序及标准等,检查结果将为下一步措施的选择提供依据。第四,改进阶段。改进阶段主要是通过检查结果对相应的措施进行改进,如果改进效果不佳则直接进入到新的安全管理周期中,从而确保信息安全的发展与改进。
2.2 铁路信息安全管理体系建设中应注意的问题
当前,信息技术已经在铁路运输生产、经营、管理等多个领域中得到了广泛的应用,安全工作已经提升到了与铁路其他专业同等重要的地位,这也在一定程度上说明了铁路信息安全在铁路运输安全方面所发挥的重要作用。因此,在现代化铁路建设中,铁路信息安全管理体系的建设与完善已经成为了发展的必然。在铁路信息安全管理体系建设中应注意的问题包括:
2.2.1 管理方法不能够盲目照搬
国内外在文化背景方面存在着较大的差异性,产生的管理方法也并不相同,在借鉴的过程中应该将国内铁路实际情况作为依据,不能够盲目照搬。当前,国外铁路系统的风险管理与安全评估往往更加的完整与规范,我国的铁路信息系统却有待于完善。我国的铁路信息系统也具有自身的一些特点,应该结合这些特点实现符合我国铁路特色的信息安全管理与评估的标准体系的建立。
2.2.2 在信息安全风险管理与评估操作中采用信息技术手段
当前,我国的铁路信息安全风险管理与安全评估工作都是按照相关的规范与办法进行人工核查工作,一方面工作量比较大、效率比较低,另一方面核查成本比较高,对信息安全风险管理与安全评估工作造成一定的不良影响,可行性、有效性较低。因此,在信息安全风险管理与评估操作中采用信息技术手段。
2.2.3 注重铁路信息系统的整体信息安全
在铁路信息安全中,要注重铁路信息系统的整体信息安全,不能够以个别的单位或者部门为单位进行关注。通过相关的实践证明,如果没有从总体上对铁路信息系统的网络安全进行考虑与设计,局部信息安全工程必然会出现返工或者重做的情况。
2.3 铁路信息安全管理体系建设的方法
铁路信息安全管理体系具有系统化、程序化与文件化的特点,其建立的基础为系统、全面、科学的安全风险评估,建立的原则包括法制性原则、动态性原则、过程性原则、合理性原则等,通过这些措施确保铁路信息安全。铁路信息安全管理体系中包含了非常繁杂的内容,而且体系的规模较大、投资较多,在建设的过程中并不能够一步到位。对于铁路信息安全管理体系而言,不同的部门与单位应该具有一定的特殊性,依据自身的特点与实际情况选择合理的铁路信息安全管理体系,从而更好地满足铁路信息系统整体安全要求,
铁路信息安全管理体系建设的步骤主要包括:第一,做好铁路信息安全管理体系的策划工作、准备工作,具体的内容包括员工教育培训工作、体系建设计划拟定工作、信息安全管理现状调研工作、资源配置与管理工作。第二,明确铁路信息安全管理体系的适用范围,一方面要确保铁路信息安全管理体系覆盖到单位的整体,另一方面要确保个别部门能够适用。第三,信息安全管理现状调查,依据相关的技术与标准对信息系统进行处理与传输、存储等进行安全属性调研工作;第四,实现信息安全管理框架的建立,从不同的层面对信息系统进行安全规划,实现安全体系与安全解决方案的建立。第五,实施信息安全管理体系运行和改进工作,即按照体系文件的控制要求进行审核、批准、和实施,正式进入运行阶段。第六,实施信息安全管理体系的审核工作,即开展体系评价以获得审核证据,用来判断信息安全管理体系的有效性。
3 总结
在铁路建设过程中,铁路信息化越来越重要。只有实现了铁路的信息化才能够最终实现铁路现代化,从而确保铁路的快速发展。在铁路系统中,一方面需要从安全技术方面下手,另一方面需要从管理方面下功夫,实现铁路信息安全管理及其标准体系的建立。
参考文献:
[1]周张俊.对建设铁路信息安全管理标准体系的探讨[J].铁道经济研究,2014(06).
[2]李剑锋,钮亮,段林茂,魏军.供应链信息安全现状及体系框架研究[J].江苏商论,2013(03).
[3]刘刚.铁路信息安全等级保护自查方案设计[J].铁路计算机应用,2015(02).
[4]于新辉,张建,李伟涛. 基于生命周期分析信息安全管理体系[J].计算机技术与发展,2012(03).
[5]祝咏升,周泽岩,张彦,姚洪磊.铁路信息系统安全测评服务体系的研究[J].信息系统工程,2011(12).
【关键词】信息安全;评估;标准;对策
保证信息安全不发生外泄现象,是至关重要的。可是,现在我国信息安全保障和其它先进国家相比,仍难望其项背,还有不少问题迫切需要我们着手解决:
中国保证信息安全工作经历了三个时期。第一时期是不用联网,只作用于单一电脑的查杀和防控病毒软件;第二个时期是独立的防止病毒产品向为保证信息安全采用的成套装备过渡时期;第三个时期是建设保证信息安全的系统时期。
1 需要解决与注意的问题
信息安全保障的内容和深度不断得到扩展和加深,但依然存在着“头痛医头,脚痛医脚”的片面性,没有从系统工程的角度来考虑和对待信息安全保障问题;信息安全保障问题的解决既不能只依靠纯粹的技术,也不能靠简单的安全产品的堆砌,它要依赖于复杂的系统工程、信息安全工程(system security engineering);信息安全就是人们把利用工程的理论、定义、办法和技术进行信息安全的开发实施与维护的经过,是把通过岁月检验证明没有错误的工程实施步骤管理技术和当前能够得到的最好的技术方法相结合的过程;由于国家8个重点信息系统和3个重点基础网络本身均为复杂的大型信息系统,因此必须采用系统化方法对其信息安全保障的效果和长效性进行评估。
2 安全检测标准
2.1 CC 标准
1993年6月,美国、加拿大及欧洲四国协商共同起草了《信息技术安全评估公共标准CCITSE(commoncriteria of information technical securityevaluation)》,简称 CC,它是国际标准化组织统一现有多种准则的结果。CC标准,一方面可以支持产品(最终已在系统中安装的产品)中安全特征的技术性要求评估,另一方面描述了用户对安全性的技术需求。然而,CC 没有包括对物理安全、行政管理措施、密码机制等方面的评估,且未能体现动态的安全要求。因此,CC标准主要还是一套技术性标准。
2.2 BS 7799标准
BS 7799标准是由英国标准协会(BSI)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,包括:BS 7799-1∶1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则;BS7799-2∶2002 以 BS 7799-1∶1999为指南,详细说明按照 PDCA 模型,建立、实施及文件化信息安全管理体系(ISMS)的要求。
2.3 SSE-CMM 标准
SSE-CMM(System Security EngineeringCapability Maturity Model)模型是 CMM 在系统安全工程这个具体领域应用而产生的一个分支,是美国国家安全局(NSA)领导开发的,它专门用于系统安全工程的能力成熟度模型。
3 网络安全框架考察的项目
对网络安全进行考察的项目包括:限制访问以及网络审核记录:对网络涉及的区域进行有效访问控制;对网络实施入侵检测和漏洞评估;进行网络日志审计并统一日志时间基准线;网络框架:设计适宜的拓扑结构;合乎系统需求的区域分界;对无线网接入方式进行选择方式;对周边网络接入进行安全控制和冗余设计;对网络流量进行监控和管理;对网络设备和链路进行冗余设计;网络安全管理:采用安全的网络管理协议;建立网络安全事件响应体系;对网络设备进行安全管理。网络设备是否进行了安全配置,并且验证设备没有已知的漏洞等。对网络设置密码:在网络运输过程中可以根据其特点对数字设置密码;在认证设备时对比较敏感的信息进行加密。
4 安全信息检测办法
4.1 调整材料和访问
调整材料和访问是对安全信息检测的手段。评估人员首先通过对信息系统的网络拓扑图、安全运作记录、相关的管理制度、规范、技术文档、历史事件、日志等的研究和剖析,从更高的层次上发现网络系统中存在的安全脆弱性。并找准信息资产体现为一个业务流时所流经的网络节点,查看关键网络节点的设备安全策略是否得当,利用技术手段验证安全策略是否有效。评估专家经验在安全顾问咨询服务中处于不可替代的关键地位。通过对客户访谈、技术资料进行分析,分析设备的安全性能,而且注意把自己的实际体会纳入网络安全的检测中。
4.2 工具发现
工具发现是利用扫描器扫描设备上的缺陷,发现危险的地方和错误的配置。利用检测扫描数据库、应用程序和主机,利用已有的安全漏洞知识库,模拟黑客的攻击方法,检测网络协议、网络服务、网络设备、应用系统等各主机设备所存在的安全隐患和漏洞。漏洞扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描,其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,从而把主机、应用系统、网络设备中存在的不利于安全的因素恰切地展现出来。
4.3 渗透评估
渗透评估是为了让使用的人员能够知道网络当前存在的危险以及会产生的后果,从而进行预防。渗透评估的关键是经过辨别业务产业,搭配一定手段进行探测,判断可能存在的攻击路径,并且利用技术手段技术实现。由于渗透测试偏重于黑盒测试,因此可能对被测试目标造成不可预知的风险;此外对于性能比较敏感的测试目标,如一些实时性要求比较高的系统,由于渗透测试的某些手段可能引起网络流量的增加,因此可能会引起被测试目标的服务质量降低。由于中国电信运营商的网络规范庞大,因此在渗透测试的难度也较大。因此,渗透层次上既包括了网络层的渗透测试,也包括了系统层的渗透测试及应用层的渗透测试。合法渗透测试的一般流程为两大步骤,即预攻击探测阶段、验证攻击阶段、渗透实施阶段。不涉及安装后门、远程控制等活动。
我国信息安全要想得到保证,需要有一定的信息安全监测办法。依靠信息安全监测办法对中国业务系统和信息系统整体分析和多方面衡量,将对中国信息安全结论的量化提供强有力的帮助,给我国所做出的重要决策实行保密,对中国筹划安全信息建设以及投入,甚至包括制定安全信息决策、探究与拓宽安全技术,都至关重要。因而,制定我国信息安全检测办法,是一项不容忽视的重要工作。
【参考文献】
[1]曹一家,姚欢,黄小庆,等.基于D-S证据理论的变电站通信系统信息安全评估[J].电力自动化设备,2011,31(6):1-5.
[2]焦波,李辉,黄东,等.基于变权证据合成的信息安全评估[J].计算机工程,2012,38(21):126-128,132.
[3]张海霞,连一峰.基于测试床模拟的通用安全评估框架[J].信息网络安全,2013,(z1):13-16.
[关键词] 信息安全市场 管理软件 蓝海定位点
在国内随着信息安全产品成为炙手可热的焦点,网络设备厂商与专业信息安全厂商之间战火重燃。从此前的思科、H3C进军安全市场,到2006年百度以“整合资源”的方式高调进人,可以看出更多的网络企业越来越关注信息安全产业。不能否认,这对于当前整体安全领域的形势是有利的,但网络设备厂商与专业安全厂商之间的竞争,对于先占市场先机的专业安全厂商仍是一个严峻的挑战。因此,身处竞争激烈的信息安全市场的专业安全厂商,应如何恰当地选择属于自己的“蓝海”,延续在信息安全市场的些许优势尤为重要。
一、信息安全市场现状
在网络安全产品的平行市场中,政府继续保持了市场份额第一位,电信和金融行业的市场份额分列第二和第三位,这主要得益于电子政务市场保持高速的增长,而电信、金融等行业的信息化建设相对放缓。从各类IT安全产品部署情况来看,“防病毒系统”、“防火墙”、和“入侵检测与防御系统”仍然是最常见的安全产品。在2007年,SSL VPN在用户得普及程度也逐步扩大,已经有接近15.2%得用户部署了SSL VPN产品。而对于一些高级的安全产品,比如“企业资源管理”和“系统漏洞评估系统”等,部署的用户则较少。
二、信息安全行业本质
1.信息安全市场需求特征
从需求方而言,对信息安全的迫切需求,即在信息广泛流通而导致的巨大风险时,就有了对信息安全的需求。因此,信息产业发展得越快,对信息安全产品的需求也就越大。在中国网络安全产品的垂直市场中,政府、大中型企业仍占据最大市场份额,但市场份额同比有所降低;教育和家庭市场对于网络安全产品的需求较为平稳,市场份额变化不大。影响信息安全产品市场需求的主要因素有以下几个:(1)信息本身带给使用者的收益大小:收益越大,要求保护的愿望越强烈,对信息安全产品的需求也就越强烈。(2)信息的流动渠道畅通程度和被攻击的可能性(外部环境的安全性):渠道越畅通,信息资源共享越深入,信息流传开的可能性越大,损失产生的可能性也就越大,对信息安全产品的需求也就越大。(3)对信息安全产品需求还具有一个突出特点:对选定的往往希望它与其他各种信息产品具有兼容性。由此可见,信息本身对使用者收益越大、信息流动越畅通、被攻击可能性越大的用户越可能成为信息安全产品市场的聚焦点。
2.信息安全需求本质
(1)三分技术、七分管理。信息系统已经成为政府及企业这个复杂系统中的神经网络。一个政府或企业,管理信息的机密性、完整性和认证性深刻地影响着企业的生产经营管理。因此,现代政府和企业需要构建和维护安全的信息系统,而这并不是仅仅依靠计算机技术人员就能够完成的。信息安全主要是一个管理问题,而不是技术问题。
(2)无法测量,就无从管理。信息安全“三分技术,七分管理”的思想已被广泛接受,然而在实际的安全实践中,安全管理依然被人们忽视。导致这种局面的一个重要原因是安全管理的效果未能得到科学的评价。一方面安全管理的有效性难以评价,相对于安全技术,安全管理包括了众多的非量化的难以测量的因素,所以评价工作难度较大;另一方面,人们过分依赖信息安全技术的实践应用,而对于安全管理的评价研究却比较零散。
(3)安全问题以“短板”为切入点。虽然制订了较多的制度和标准,当信息化发展到一定程度,这些制度就显得很单薄,就事论事的管理方式必然会产生安全管理的盲区。
(4)动态管理。在信息安全管理过程中,重点是抓好人员安全、风险评估、信息安全事件、保持业务持续性等重要环节,采取明确职责、动态检查、严格考核等措施,使信息安全走上常态管理之路。
三、蓝海的定位点――信息安全管理软件
近期,《Information Week》研究部和埃森哲咨询公司合作进行了第九年度“全球安全调查”,该调查全面揭示了商业计算环境所面临的各种威胁。在受访者当中,有57%的美国公司表示在过去一年中曾遭受病毒攻击,34%曾受到蠕虫的攻击,18%经历了拒绝服务攻击;而中国的情形更差一些,有23%的公司表示其客户数据安全受到威胁,27%的公司遭受了身份窃取形式的攻击,受访的2193名安全专家和商业经理中,58%的人认为安全管理已成为当务之急。可见,信息安全需求主体必将对信息安全管理的软件产品与服务产生迫切的需求。
针对安全管理的疏忽和漏洞统计及动态处理的相关解决方案必将有极强的吸附性。实际上目前一个组织对信息安全政策的实施度、信息安全保障的实际效果等都亟需客观系统性的评价,而软件行业的解决方案将准确高效的处理这些复杂的系统工程难题。
国际信息安全管理度量标准及模式开始在我国被广泛认可。但信息安全管理标准是抽象的,因此在实施过程中需要选用那些已经对其进行充分量化的信息安全管理软件,通过这些软件,组织可以尽早的发现其内部的信息安全管理中所存在的薄弱点和威胁,并制定出决策方案使其损失降至最低。目前国外较常用的ASSET、COBRA和Callio Secura 17799三款软件。
信息技术及管理学科的人才力量。在科研人才方面,目前我国重点高校都设置了与信息安全相关的专业,在管理学科领域,也出现了一些依托互联网技术而产生的新专业。从职场人才来看,我国已具备了一批有战斗力的网络警察、反病毒工程师、红客(信息安全员)等。与此同时,我国组织了大量的信息安全领域专家,成立了中国信息协会信息安全专业委员会等,为领导和指挥我国信息安全产业的发展提供了稳固的人才基础。
参考文献:
【关键词】电子档案;开放利用;信息安全保障;问题与对策
一、我国电子档案安全管理发展现状分析
电子档案是依附于计算机网络技术发展起来的,进入21世纪后,电子档案逐渐取代传统书面档案管理模式。随着计算机网络工程技术的不断改革和创新。电子档案的管理模式、存在类型、储存方式都发生了很大的变化,档案的数据化管理和自动化管理是电子档案管理发展的重要方向。电子档案信息泄漏、盗窃事件,在各国家档子档案管理中频发,这种“盗窃”现象不仅给国家带来了巨大的经济损失,也降低了电子档案信息管理的可信度。如何提高电子档案信息管理的安全性、稳定性已成为广大计算机网络工程技术人员研究谈论的热点问题,本文针对电子档案形成、处理、储存、运输等方面问题进行深入分析和研究,探讨对电子档案安全管理有效的解决对策。
二、电子档案信息安全面临的威胁和问题
(一)电子档案信息安全特点
网络安全是电子档案信息安全的重要保证,所以互联网是电子档案信息安全管理的前提,电子档案信息安全主要体现在以下几个方面:(1)电子档案信息的真实性,电子档案信息在开放利用过程中会经常被“篡改”,任何网络用户都可以根据自己的个人意愿决定电子档案信息的内容;(2)电子档案信息的完整性,电子档案信息在虚拟的网络环境下,经常会受到黑客、病毒的攻击,这种恶意攻击会严重影响电子档案信息的完整性;(3)电子档案信息的长效性,数字档案信息对网络的依赖性很强,一旦网络瘫痪,那么电子档案信息也会随之消失,所以要想保证网络信息的长效性,必须提高国家互联网的安全性能和维护力度。
(二)影响电子信息安全的因素
1. 网络安全
综上分析可知,网络是电子档案信息实现储存、传输的主要载体,网络的安全对电子档案的安全管理具有重要影响意义,目前网络安全维护方面存在很多问题,其结构的不严谨性、不稳定性、脆弱性,导致电子信息面临着严峻的网络安全隐患。因为电子档案信息在开放利用的环境下进行信息交流,所以国家通常不会对其网络进行信息访问权限。
2. 外部环境不稳定
外部环境对电子档案硬件设备的威胁很大,其带来的安全问题有可能会直接导致电子档案信息的停运、丢失、损坏。电源是维持整个电子档案系统正常运营的重要硬件,如果电源不稳定,那么电子档案也会受到安全威胁。因为工业技术的不断发展,很多企业的电子档案都是在强磁、强压、强辐射的环境下运行的,计算机网络会受到这些外部环境的影响,使其电子档案信息在储存、传输过程中出现“安全危机”问题。
3. 电子档案信息的滞后性
1996年国家档案局就成立了电子文件归档与电子档案管理研究领导小组,开展电子文档管理方法、技术、标注和构建管理体系等方面的研究,经过多年研究和发展,电子档案管理办法虽然已经取得了显著成绩,但是电子档案信息的滞后性仍影响着电子档案信息的安全发展。
三、提高电子档案信息安全性的几点合理性建议
本文通过对电子档案信息安全问题进行系统分析可知,要想在开放利用环境下实现电子档案的安全管理,必须从根本入手,深化国家安全网络基础建设,设置网络安全屏障,其具体实施步骤如下:(1)建立稳定的网络环境,加强网络安全基础设施建设,提高计算机、储存设备的防水、防火、抗震性能;(2)摒弃传统的电子档案安全管理观念,从思想上认识电子档案信息安全管理的必要性和重要性;(3)培养公众档案维护意识,为电子档案信息安全保护奠定坚实的群众基础;(4)设置安全保障屏障,积极开发先进技术,如,路由安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全管理技术、系统漏洞检测技术、病毒查杀技术等;(5)建立完善的电子档案信息安全保障体系,围绕电子档案信息的安全管理目标,确定电子安全信息管理的指导思想,深入探讨管理措施、管理内容、管理要求;(6)明确各部门电子档案信息安全管理职责和支撑体系,如安全防护技术支撑、法律法规支撑、环境和设备安全支撑,人才资金支撑,让电子档案安全信息管理成为全社会共同努力的信息安全保障的目标。
四、结语
通过上文对电子档案信息安全管理进行分析可知,我国有关电子档案信息安全管理中仍存在很多管理漏洞,要想提高社会电子档案信息的资源共享性和安全性,必须提升电子档案信息安全管理地位,使电子档案信息安全管理问题成为全国关注的焦点问题。
参考文献
[1] 马仁杰,刘俊玲.论电子档案开放利用中信息安全保障存在的问题与对策[J].档案学通讯,2012,13(04):101-113.
[2] 陈振.档案开放利用与信息安全保障研究[J].山东大学学报,2013(06):103-115.
关键词:信息安全;勒索病毒;黑客
针对最近出现的勒索病毒,某油田生产型企业通过网络与信息安全情况通报,并采取紧急相关措施,包括断网、及时更新操作系统补丁、更新MicrosoftOffice/wordpad远程执行代码漏洞、禁用WMI服务、禁用445端口等措施,及时避免勒索病毒。通过此次信息安全事件,我们进行了深入细致地分析,为今后生产型油田企业提供了宝贵的信息安全意见及措施方案。
1分析结论
1.1网络情况分析
目前,企业内部是内部网络,与外部网络进行隔离;通过指定服务器授权,内部用户才能连接到外部网络。企业内部网络,根据区域不同,分为不同的区域段、不同段域;同时,由于生产原因,又分为陆地网络和海上网络;陆地和海上网络通过卫星、微波等方式进行连接。
1.2个人办公电脑信息安全情况分析
个人办公电脑,主要是以Windows7及以上版本为主;办公软件以Office\OutLook为主;同时由于专业、工作原因,各个技术人员会使用专业化很强的软件。比如AutoCAD、ProE等。其中,还存在一定数量的WindowsXP操作系统的用户,此情况以老同志居多。存在着信息安全意识不强,不想升级及侥幸心理等。针对Windows操作系统及Office\OutLook,定期进行系统补丁检查。而专业化很强软件,一般采取服务器用户ID授权模式。但仍然感觉存在不同信息安全。
1.3服务器、工作站安全情况分析
(1)机房与外界采取防火墙隔离;服务器与外网,进行断开处理;(2)服务器一般采取虚拟机管理;(虚拟机采用SymantecEndpointProtection进行病毒、漏洞管理)(3)服务器采取本地备份、异地备份等各种方式。(4)信息中心、数据中心都建立系统测试服务器,最大可能保证信息系统及软件系统的安全性。
2信息安全防护技术方法及措施
2.1信息安全防护管理方面要求
(1)提高信息安全意识(2)有效地进行信息安全培训(3)针对组织管理上存在漏洞,信息化管理进行把控(4)定期进行信息安全演练,做好防护意识
2.2个人计算机电脑防护
(1)安装杀毒软件,及时更新系统补丁(2)对于陌生邮件,提高警惕,避免打开(3)打开防火墙,设置安全接入规则(4)安装专业软件,需在信息管理人员指导下完成(5)个人计算机重要资料,要定期进行备份处理
2.3服务器及工作站建立总体防护体系
在油田生产型企业中,服务器、工作站是信息安全管理中的重中之中,因此必须要对此进行重点信息安全管理及防护。(1)加强机房管理建立机房管理制度,禁止陌生人进入机房并接入机房网络;如需接入网络,需向信息安全人员提出申请并进行严格审批。关于软件信息系统测试及,请在指定测试服务器上完成其相关信息安全检查。只有通过信息安全检查后,才可以部署在生产服务器上。机房要有相关灾备方案及措施。(2)加强防火墙管理防火墙对于服务器及工作站来说,就相当于其卫兵;只有严格制定物理防火墙的相关准入、准出规则、访问机制,并定期进行接入接出数据端口扫描工作同,及时发现频繁或异常点,并进行跟踪、研究、调查,及时避免漏洞出现。(3)建立信息安全管理信息系统企业及公司可建立总体信息安全管理信息系统,从一般信息安全培训到专业防护指导;从对普通用户计算机漏洞扫描到专业服务器平常日志、端口数据分析异常点,软件授权、用户认证等,建立统一、整体、完善的管理信息系统,从而提高整体信息安全管理水平。
2.4内部需要加强认证
油田生产型企业,由于其工作性质决定其在内部网络、系统程序等方面,需要加强认证机制。建立良好的认证管理流程,从申请到接入,从信息系统用户管理等方面加强管理。从而避免恶意用户或程序访问及接入。同时还要通过整体网络系统扫描机制,可以有效防护恶意攻击。
3结语
通过上述信息安全分析,油田生产型企业信息安全总体上处于安全级别,能够有效避免、防护病毒攻击及系统漏洞。但在细节上仍然存在一些漏洞:1)、网络上存在可以随意接入未认证个人电脑的可能性;2)、内部个人计算机存在通过邮件、通信网络等方式被攻击模式;3)、服务器端仍存在补丁不及时、病毒库更新延迟等情况;4)服务端无法识别内部网络内的安全用户和陌生用户;5)远程传输数据仍有可能被攻击的可能性等。信息安全仍然需要关注,需要不断提升管理、技术及防护水平。为信息安全管理提供了参考。具体意见如下:(1)加强信息安全防护管理方面要求,不仅用户意识到组织管理,从个人计算机漏洞管理到信息系统的管理,都需要加强信息安全防护管理方面要求。从各个层面,加强信息安全漏洞及缺失点管控。(2)重点加强服务器及工作站信息安全管理工作,通过防火墙、机房管理制度、软件专业漏洞扫描工具使用、机房灾备、信息系统的安全管理等各个方面加强管理。(3)内部认证制度建立,更好防护网络的安全性,从根本上杜绝恶意接入和恶意破环。(4)建立整体企业信息安全管理信息系统,提高整体信息安全管理水平。
参考文献:
[1]DafyddStuttard、MarcusPinto[著]石华耀、傅志红[译],黑客攻防技术宝典WEB实战篇(第2版),人民邮电出版社,2012-7:115-207.
一、电子档案中信息安全管理的必要性
电子档案对于企业来说是一种无形资产,尤其是在网络化、信息化日益重要的21世纪,电子档案信息更是企业所有的一种不可估量的无形价值,对于某些单位来说,电子档案不仅是记载重要客户信息的载体,同时又是企业成功开拓市场的重要信息资源,此外,重视并建立起电子档案信息安全管理系统,对于某些企业来说,不仅是对客户的隐私的保护,同时又是取得客户信任的重要前提,亦是在激烈的市场竞争中立于不败之地的重要保障。
二、电子档案中信息安全管理存在的问题
网络环境是一个极为复杂的虚拟环境,其带有很大的安全隐患,使得电子档案管理在网络环境下存在很大的风险及漏洞,出现泄密、伪造等问题,给电子档案管理工作带来很多的挑战与潜在风险。
(一)黑客入侵
我国高校越来越重视对电子计算机技术人员的培养,一方面为我国经济发展输送了大量知识技术型人才,另一方面也出现了一些黑客分子。这些人拥有很高的计算机水平,专门攻破各网站,并获取大量电子信息资源,以谋取个人利益,给电子档案信息安全管理带来了威胁。
(二)计算机病毒的传播
计算机病毒的传播形式多样,即使一个链接也可能是潜在的计算机病毒。电脑系统一旦染上这些病毒,严重威胁到了电子档案信息的安全性。
(三)个别档案管理人员职业道德素质的低下
个别单位的电子档案管理人员在金钱等其他方面的诱惑下,违背自己的职业操守,以非法的途径向某些单位人员出售电子档案信息。
三、电子档案中信息安全管理问题的解决措施
电子档案的信息安全管理主要表现为对信息安全存在的潜在风险的一种主动性预防和控制,是为减少甚至是杜绝信息安全管理出现漏洞时,给个人或者企事业单位所带来的损失。
(一)开发研究更加严密、技术水平
更高的电子档案管理系统。在电子档案管理系统的开发设计上,应该聘请具有更高资格、更高技术水平的计算机专业人才进行开发设计,并设置多道保护程序,进行反复试验,寻找潜在的风险漏洞,一旦发现,立刻修补。
(二)安装防火墙和杀毒软件
为保障单位电子档案资源的安全性,应督促单位安装防火墙,保障单位内部局域网的安全,使其在与外网之前形成一道安全屏障。此外,应督促每台电脑安装杀毒软件,每天进行电脑杀毒。
(三)规范和完善电子档案信息安全
管理制度,加强对相关工作人员的道德素质教育单位内部应建立起完善的电子档案制度,采取规范性电子档案信息安全管理措施。加强对工作人员的道德素质教育,奖罚分明。
(四)其它一些对策