首页 > 精品范文 > 加强网络信息安全管理
加强网络信息安全管理精品(七篇)
时间:2024-03-12 16:18:37
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇加强网络信息安全管理范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
篇(1)
[关键词]高校 安全管理 网络防范 对策
[作者简介]王华彪(1973- ),男,湖北汉川人,河北建筑工程学院,副教授,硕士,研究方向为思想政治教育。(河北 张家口 075000)孙智宏(1981- ),男,吉林长春人,河北广播电视大学党(校)办副主任,讲师,硕士,研究方向为思想政治教育、职业指导。(河北 张家口 050000)林青(1978- ),男,河北南宫人,河北建筑工程学院,讲师,研究方向为思想政治教育。(河北 张家口 075000)
[基金项目]本文系2014年河北省哲学社会科学基金项目“实现中国梦愿景下培育和践行社会主义核心价值观研究”(项目编号:HB2014WK023)、2013年河北省哲学社会科学基金项目“新媒体语境下政府应对网络舆情的对策研究”(项目编号:HB13ZZ004)和2011年河北省教育厅人文社会科学青年基金项目“七位一体的思政理论课实践性教学研究”(项目编号:S2011408)的阶段性研究成果。
[中图分类号]G642 [文献标识码]A [文章编号]1004-3985(2014)35-0177-02
一、信息多变性,传播快捷性,网络时代给高校安全管理带来诸多挑战
1.网络信息的多变性和丰富性,使高校安全面临巨大挑战,受不良信息负面影响持续加大。当今社会,信息的巨大冗余是高校师生最直接的感受,信息以网络形式为主,结合其他不断进化的传统媒体,无时无刻不在浸泡着年轻一代师生。其中一些极具煽动性和蛊惑力的偏激言论,如与当前社会的负面因素相联系,必然会使青年师生的世界观、价值观受到强烈的冲击和影响。保持广大师生思想、政治上纯洁稳定,难度增大,任务艰巨。
2.网上沟通的复杂性和隐身性,使新的犯罪诱因大量滋生,给高校预防工作带来诸多问题。互联网、移动通信等新型信息交流平台的特有属性,对人们的思想、行为和社会交往方式产生了深远影响,也衍生出许多新的诱发违法违纪问题的因素,给高校预防犯罪工作带来诸多新的课题。一是网络使犯罪活动隐身。手机、互联网交流的匿名性、虚拟性特点,助长了个别人以此进行违法犯罪活动的侥幸心理。近年来,高校发生的各类犯罪案件中,涉案人员都想方设法利用手机、网络的这种特性进行违法犯罪活动。二是网络使聊天交友便捷。手机、互联网交流的适时性、开放性特点,为个别师生不正当交往提供了便利渠道。随着拇指一族、网络一族走进高校,以网上交流不当而导致的违法违纪问题层出不穷。三是网络使痴迷者心理失衡。网上聊天、网络游戏的依赖性、成瘾性特点,使许多痴迷者产生了严重的网络心理问题。近年来,师生心理问题引发的案件事故逐渐增多,其中网络心理问题占有相当比例,应予以高度关注。四是网络使不良信息泛滥成灾。互联网是一个畅通无阻的虚拟世界,使信息交流呈现出前所未有的便利和开放性特点,从而使信息内容的可控性大大降低。长期接触网上不良信息,部分高校师生极易产生心理偏差,进而导致大量心理性疾病的产生。
3.网络传播的适时性和快捷性,使不良事态发展难以控制,给高校危机管理带来新挑战。一是事态发展难把握。信息化条件下,一件极小的事情,一旦处置不当就可能通过网络迅速升级,引起师生广泛关注,甚至使参与者成几何级数增长,最终导致事态越来越严重。二是影响范围难控制。网络时代条件下,即便是发生在偏远地方的事件,只要进入网络就会被迅速扩散,引起广泛的社会影响。三是负面影响难消除。任何信息只要接触网络,往往都会在极短的时间内被克隆延伸出无数个版本,转接到各个网站,甚至被下载到各个网络用户的终端,无法彻底清除。高校发生的各类问题,只要被发送到互联网上,就很难根除痕迹,随时有被人任意篡改、恶意歪曲、重新炒作的可能。必须清醒认识到信息网络所具有的负面作用。
二、认识有偏差,防范不到位,网络尚未完全纳入高校安全管理范畴
1.对网络的现实威胁和潜在影响,认识不够。一是对网络信息的影响力认识不清。对网络信息给师生思想带来的消极影响认识不清楚。有的认为网络信息如同报纸、电视、广播等大众传媒一样,是社会发展到一定阶段的必然产物,忽视了必要的教育引导;有的不善于学习研究新事物,对网络信息一知半解,对网络信息的危害说不清、道不明,缺乏教育引导的说服力。二是对网络窃密的严峻性认识不清。对网络技术已成为隐蔽敌对势力渗透重要工具的现实危险认识不清楚。有的思想麻痹,对隐蔽敌对势力进攻的猖狂程度估计不足,有的敌情观念淡薄,对互联网给意识形态渗透工作带来的冲击和影响估计不足。三是对涉网事件的冲击力认识不清。对涉网事件可能给高校声誉、政治稳定造成的恶劣影响认识不清。有的高校思想政治工作者仍然只注意传统媒体信息,对网络信息关注不够,特别是对涉及高校的负面信息在网上的传播、炒作缺乏应有的警惕。
2.对网络的巨大冲击和负面因素,措施不利。一是思想工作不深入。有的搞教育时不注重对象,不从实际出发,“一刀切”“一锅煮”;有的矫正错误思想软弱无力,少数师生受社会错误思潮的影响,拜金主义、享乐主义和极端个人主义不断增长,甚至在日常生活中都有所流露,所在单位普遍忽视对他们的教育帮助,错失了将事件扼杀在萌芽状态的良机。二是交往关口没把住。不正常对外交往是案件和问题发生的重要原因。有的案犯案发前就交往过滥,单位不少人包括高校的党政领导都可能知道,但没有人制止;有的学生平时生活西化,酗酒上网,夜不归校,高校学工干部没有深究细查;有的热衷网络交友,有事不找教工找网友,经常去网吧,或与网友约会,甚至把网友带入校园留宿,但学校却没有采取有效措施解决。
三、教育谋实效,管理求科学,加强信息化条件下高校安全管理工作
1.加强警示教育力度,筑牢高校安全管理的思想防线。一是教育要有针对性。就警示性法制教育效果而言,教育要有针对性,立足师生不同的文化程度、不同的家庭背景、不同的生活经历、不同的思想觉悟、不同的工作性质、组织的不同教育内容和教育方法,做到因人施教,因事施教,因时施教。人员上要区分干部、群众,科研岗位、教学岗位、服务岗位干部和高年级、低年级学生等层次;环节上要区分入学、实习和社会实践等学习时段;时机上要区分重要节日、重大活动、敏感时期、季节变化、重大舆情发生及毕业生离校、新生入学、干部调整工作接替敏感时机等。二是教育要有渗透性。要把教育渗透到具体工作中,结合师生的本职岗位、本职工作搞好经常性教育。把教育渗透到现实生活中,注重运用身边违法违纪的人和事,教育警示师生,让师生切实感受到违法违纪行为给他人、自己、家庭、高校、社会造成的严重危害,自觉远离违法乱纪。要把教育渗透到校园环境中,坚持点滴养成,耳濡目染,在校区、实习场所以及办公场所等重点部位,适当张贴警示性标语,营造警示性氛围,使师生抬头见警示、低头思责任,时刻注意安全稳定。通过强有力的教育渗透,真正使企图违法犯罪的人受到震慑,知道违法犯罪是要受到法律制裁的,使心存侥幸的人悬崖勒马,使违反纪律的人受到警醒,使每一名师生都受到触动,知道工作失职酿成重大案件是要追究责任的,自觉远离法律的“高压线”、划清道德的“情感线”、把握工作的“原则线”、绷紧学习的“意识线”。三是教育要有融合性。善于把警示教育与高校主题教育相融合,搞好统筹,保证效果。善于把警示性教育与管理相结合,既突出教育的引导作用、警示作用,更发挥教育的行为规范作用,让师生边提高思想认识边矫正不良行为,培养良好的思想道德品质和行为习惯。四是教育要有覆盖面。警示性教育必须强调覆盖全员,既要抓基层师生,又要突出领导机关和学工干部;既要抓好在校人员的基本教育,又要强化外出实践学习流动人员的延伸管理,确保人人受教育,个个受触动。
2.把握网络问题重点,做好高校涉网案件的预防工作。注重预防受网上舆论影响可能发生的政治性问题。针对网上集中出现的政治性敏感、热点话题和错误言论以及各种不良政治信息,要保持高度的政治敏锐性。始终把坚定师生政治信仰、把握高校的社会主义办学方向、确保党对高校的绝对领导,放在安全稳定工作最核心、最重要的位置来抓。及时加强对师生的正面教育和思想引导,澄清各种错误思想的影响和干扰,严格政治纪律,坚决抵御、反对不负责任的政治言论,坚决查处违背政治纪律的言行,确保高校政治上的集中统一。注重预防网上敌对势力和错误思潮的引诱。近年来,高校发生的此类案件和问题重点集中在以下五种人:犯了错误、受了挫折,丧失了前进动力的人;提职无望、晋升职称泡汤,认为组织亏待了自己的人;纪律性差、经常外出,交往过滥的师生;追求高消费、花钱大手大脚,经济花费超出家庭承载供给能力的学生;个人家庭生活困难且长期得不到解决,思想波动较大的人。要重点加强教育和管控,切实掌握他们的思想底数和行为动向,满腔热忱、想方设法帮他们解决工作和生活上的各种实际困难。网络信息交流已成为当下师生社会交往的重要渠道之一,特别是网络征婚、求偶、,对高校年轻师生更具吸引力。要通过深入细致的思想政治工作,真诚务实地抓好高校内部风气、内部关系建设,切实把师生从被网络恋情的虚无寄托中拉回来,防止由此引发的各种违法违纪行为。
3.妥善处理涉网危机,确保高校危机管理不失控。网络时代条件下,高校安全稳定与社会的关联性、互动性进一步增强,案件和问题的多样性、突发性和不可控性特征明显。一般性案件问题诱发、转化为重大安全问题的可能性大大增加,及时稳妥地应对处置各种危机问题至关重要。危机处置要“快”。受领情况要快,行动部署要快,调查处置要快,善后处理要快,要用处置工作的高速度和高效益来应对网络传播的高速,通过快速反应取得的正面效果来遏制消除网上可能形成的负面影响。问题解决要“早”。危机具有复杂性和传染性,特别是在信息化条件下,信息传递扩散的速度快,控制影响难,如果危机处理不当,极易带来连锁反应,使小问题酿成重大安全问题,个体问题扩展成,单一问题发展成复杂的国际外交问题,必须见事早、反应快,及时采取有效措施,努力把危机化解在初期、控制在局部、解决在当地,把危害控制在最小程度。处理质量要“高”。危机处置事关所在单位和相关人员的切身利益,如果凭感情、想当然,主观臆断,草率从事,处理不公,极易拖泥带水,产生一系列后遗症。在危机处置过程中,应严格掌握政策法规,坚持客观、公正、准确,坚持精到、坚决、彻底,努力使问题的处理经得起政策、法律和历史的检验,做到案结即事了,不留后患。校内校外联合要“牢”。危机处置涉及高校建设的方方面面,网络时代条件下发生的的可控性差,仅靠高校自身很难控制局面,需要高校和地方维护治安的公安人员联合采取行动,才能尽快平息事态。在危机处置中应充分发挥地方政府和有关部门的资源和技术优势,加强沟通协调,在资源共享中消除危机,在互助共赢中维护稳定。
[参考文献]
篇(2)
关键词:政府门户网站 信息安全 对策研究 福建省
一、引言
《2006-2020年国家信息化发展战略》提出,“到2020年我国信息安全的长效机制基本形成,国家信息安全保障体系较为完善,信息安全保障能力显著增强”。政府门户网站是政府部门在国际互联网上建立的信息、办公互动、数据交换的窗口,是政务公开的载体和舞台,也是政府与社会、企业、民众沟通的桥梁。通过政府门户网站,公众可以便捷地获取政府信息和服务,使得公众与政府关系简单化。由于互联网是个开放的网络,政府网站的信息一天24小时都在被查询、阅读、下载或转载。如果没有可靠的信息安全体系和有效的事件响应能力,那么一旦网页被篡改或网站被中断,将直接干扰、破坏政府履职,损害政府的形象,败坏公众对政府的信任,后果不堪设想。根据有关资料显示,2005年,我国90%以上的政府网站存在安全漏洞,很多网站都曾受到过不同程度的黑客攻击和计算机病毒的侵害,给国家造成了较大的损失。因此,信息安全问题是政府门户网站建设的一项重要内容,必须综合运用多种策略和手段建设政府门户网站安全保障体系。
二、政府门户网站信息安全存在的主要问题
安全管理认识存在偏差以及缺乏有效组织规划培训和相应法律制度支持,是当前福建省各级政府门户网站信息安全建设中存在的最主要问题,主要表现有以下几个方面:
一是重系统建设轻安全管理。由于受到传统的政府绩效评价和考核体制的影响,各级政府信息主管部门往往认为“安全”只是保障“业务应用”的一种手段,只重视网站信息系统的建设,轻视相应的信息系统安全建设和管理。
二是重消极应对轻主动预案。在政府门户网站安全管理中,很多情况是等出了问题,才匆忙借助经验和应变能力去处理突发安全事件,缺乏应急预案的制定和按照应急预案进行处理的观念。
三是缺乏整体安全意识。谈及信息安全,很多管理者认为安全就是防火墙、入侵检测、身份认证等技术措施,没有真正意识到安全是一个包括理念、技术、制度、人才等各方面缺一不可的整体。
四是缺乏及时有效培训。信息化安全技术日新月异,网络攻击手段也日趋多样化,各级网站主管部门对安全管理人员缺乏及时有效培训,无法保证网站信息安全。
五是缺乏统一信息安全技术标准与规范。不同层次、不同部门的网站信息安全建设各自为政,没有进行有效的组织和规划,使用的安全技术五花八门。这样不仅造成了资源的严重浪费和低效率,也给网站信息安全带来各种各样的隐患。
六是缺乏相应的法律和制度的支持。政府作为信息的所有者,其权利范围和内容较为模糊,相关网站信息安全的法律和制度较为薄弱,法律上缺乏相应的保护。
三、政府门户网站信息安全存在问题的原因分析
1.管理体制未理顺
政府系统缺乏专门的电子政务信息安全的领导体制、研究机构和相应政策措施的落实机制,尽管在中央一级设有领导小组以及专家咨询委员会,但在地方由于“条块”职责不清、管理多头的实际状况,直接影响对电子政务安全的重视程度和贯彻落实相应信息安全政策措施的力度。
2.运行机制未健全
信息安全保障的运行机制不健全表现在电子政务信息安全的地位与其重要程度不相称,电子政务信息安全在政府发展任务的地位上,远不及经济、社会、文化等其他方面;在资金、人力等方面的投入得不到更好的保障;与信息安全相关的政策法规、技术标准与规范的制定落后于实际发展的需要。
3.技术与实际安全需求存在差距
技术是确保信息安全的重要因素,由于技术本身的局限性和推广应用程度不够,使技术与实际安全需求存在差距。技术不能完全保证安全,安全更不可能完全依赖技术。我国目前的电子政务安全保障技术本身并不发达,福建省在电子政务安全技术、产品推广应用方面的重视程度不高、力度不强。
4.过分强调安全技术的重要性
认为信息安全是技术问题,依靠相应的技术就能防范。实际上国内外许多信息安全事故都是人为造成的,三分靠技术,七分靠管理,要防止此类事故的发生,必须从建立和完善信息安全管理体系入手。
四、加强政府门户网站信息安全的对策建议
网络安全不仅是一个技术问题,要从法规、管理和技术三方面来统筹保障政府门户网站信息安全。在法制上,加强网络和信息安全管理等方面的立法工作,为政府门户网站的建设、运行、维护和管理提供法律保障,构筑促进国家信息化发展的社会环境;在管理上,从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面保障政府门户网站正常安全运行;在技术上,采用多种防范、监控等先进的技术手段,制定各种应急措施,保证政府门户网站安全可靠地运行。
⒈加强政府门户网站信息安全法规与制度建设
一是加强信息安全管理等方面的立法工作。国家及省都有加强网站建设方面的相关政策,但还没从立法的角度予以确认和强化,应从“电子政府”建设的高度,制定相应的法规,为包括政府门户网站在内的电子政务网络与系统的建设、运行、维护和管理提供法律保障。
二是加强网络和信息安全管理等方面的制度建设。用管理手段来弥补技术落后问题,本着“堵漏、补缺、管用”的原则,采用整体思路,加强管理,切实从机关内部堵塞漏洞,在若干不够安全的技术环节的基础上,形成一个相对安全的整体。在加强信息安全防护能力的同时,重视隐患发现、网络应急反应、信息对抗等管理能力的提高。
⒉建立健全政府门户网站信息安全管理体系
一是明确技术管理规范。面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。具体包括:非、网机器不允许混用;非网机器不允许运行信息,网机器不允许上非网;严格按照安全等级、安全域划分,制定相应的安全保密制度;不同安全域、安全等级之间的信息必须通过安全交换系统方可交流。只有所有接入网络的设备都安全,整个网络的安全才能得到保证。
二是明确相关人员的职责。强调以人为本,把网站安全纳入一个人人有责、层层负责、由第一责任人负总责的安全管理体制之中。主管领导负责安全体系的建设实施,在安全实施过程中取得相关部门的配合,领导整个部门不断提高系统的安全等级;网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略;安全操作员负责安全系统的具体实施;信息编辑人员负责信息采集、编辑和审核工作,确保所信息的完整性、一致性、权威性和准确性。另外,还应建立安全专家小组,负责安全问题的重大决策。
三是建立应急响应机制。从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面建立应急响应机制,以保障政府门户网站正常安全运行。
四是建立信息安全检查监督和激励机制。依据已确立的技术法规、标准与制度,定期开展信息安全检查工作,确保信息安全保障工作落到实处;建立责任通报制度,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改;建立良好的激励机制,从人才引进、培养的渐进性和连续性上优化人员结构,形成梯队,重点加强系统运行人员技能的培养力度,不断增强自我运行操作能力与应急能力。
五是做好政府门户网站信息安全培训工作。政府门户网站的运行维护,需要一支具有较高的政治素质和职业道德水准,既懂业务又懂技术的队伍。建立完善技术培训体系,使之更贴近实际业务、贴近技术前沿,提高各类人员的安全理论实践水平和安全意识。只有让每一位员工都成为安全卫士,才能实现真正意义上的全方位的安全防范。
六是合理安排信息安全建设资金。在电子政务信息项目建设上,要在项目建设前期就安排相应比例的资金用于信息安全的建设;切实落实国家信息安全建设的有关规定,保证信息安全建设资金足额到位。
七是加强信息安全设施建设。联合公安等部门,加强网络监管中心、测评认证中心、应急处理中心、病毒防治中心、数字证书认证中心等信息安全基础设施建设。
⒊积极完善政府门户网站信息安全技术防范手段
2007年9月,福建省为加强政府类互联网站的安全管理,确保网站健康有序发展,下发了《福建省人民政府办公厅关于加强我省政府类互联网站安全管理的通知》(闽政办〔2007〕182号),要求各级各单位建立健全网站安全管理制度,并贯彻落实网站安全技术措施。笔者根据实践提出以下建议:
一是加强电子政务网络的总体规划和统一建设,避免多头建设和重复建设,保证网络整体性,避免网络架构缺陷引起的安全问题。
二是统一信息安全技术标准与规范,各级政府门户网站信息安全建设都应按照这个标准和规范进行实施,以确保信息整体安全。
三是加强信息资源安全等级标准的规划和建设,明确不同信息的服务对象和公开范围。既要避免出现保密过度,限制政务信息化应用的推广和发展的情况,又要避免保密不够,造成电子政务信息泄密情况的发生。在确保信息安全的基础上,最大限度地保证信息共享。
四是在信息安全方面,既要考虑省、市级政府的信息服务对象着重于政府部门和相关的领导等的特点,又要考虑到县、区级政府及相关部门的信息服务对象着重于群众或居民的特点。
五是在技术手段上,要统筹好网络被动防御和网络主动防御的关系,确保信息的安全。网络被动防御方面可以采取防火墙、入侵检测、防病毒等技术;网络主动防御方面可以采取漏洞扫描、补丁升级和自动分发、网页防篡改、容灾备份等技术。
五、结束语
综上所述,加强政府门户网站的信息安全,必须做好信息安全的法规制度建设、建立健全安全管理体系、积极完善安全技术防范手段等三方面的工作。同时,还要处理好信息安全与网站发展辩证统一的关系:安全是前提保证,发展是最终目的,要在发展过程中确保安全,在确保安全的条件下加快发展,使政府门户网站充满生机与活力,并充分发挥其应有的社会效益,为海峡西岸经济区建设做出积极的贡献。
作者简介:
篇(3)
甘肃建筑职业技术学院甘肃兰州730050
摘要:目前高校教学管理信息中安全问题频发,暴露出了诸多安全管理问题,文章对高校教学管理信息安全中存在的问题进行了仔细分析,并提出了相应的解决措施。
关键词 :信息安全;问题;措施
随着信息化建设进程的加快,信息安全问题逐步成为各高校所面临的难题。高校经过多年的不断努力,通过物理、技术、管理等方面的各种措施,来保障整个校园信息的安全,通过近年来的管理,也取得了一定的成效,但是高校网络信息安全的管理不单单是技术上的问题,也不单单是出台几个管理条例就能解决的事情。根据信息安全管理体系理论对高校信息安全管理的基本要求,高校要建成相对比较完善的信息安全管理制度体系、管理措施等。而通过对高校目前的信息安全管理现状分析来看,仍然存在多方面的不足。
1 高校信息安全管理存在的问题
1.1 信息安全意识淡薄。目前,高校在信息系统防御能力方面薄弱,网络硬件、软件、协议和安全防护存在较多缺陷和错误,且无法及时、定期修复,严重滞后于信息技术的发展。部分高校教师缺乏安全知识和信息技术水平,对防护措施漠不关心,片面认为学校信息安全是属于专业技术人员的工作。有些学校也不重视高校信息安全管理,导致缺乏安全管理人才及专业指导,同时缺少信息安全系统规划和合理整体布局,风险分析不彻底,制定保障策略存在漏洞。
1.2 过分依赖软硬件技术保护。投入信息安全产品,如专业防火墙、专业的VPN 通道设置等之后,软件和设备防护能力提高,起到信息安全保护与防范作用。但是仍然存在“重技术、轻管理”的思想,管理的意识不够,观念没有彻底转变。信息安全不仅是技术层面的工作,还需考虑物理、技术、管理安全方面的因素。目前,高校在技术措施上投入大量经费,购买安全产品,却在管理措施上投入较少,过分依赖于硬件技术的保护。信息安全事件主要是人为的管理不善,管理意识的淡薄、条例的不健全、操作过程不当等造成的。
1.3 信息安全管理人员配备不足。做好信息安全管理工作,需要有一支高素质的管理队伍,但高校在信息化办公室人员配置上数量较少,专业结构不合理,信息技术部门的工作人员只是购买安全软件装在服务器上。在服务器的管理和维护工作上,通常采用与校外公司签订维护服务协议解决人员紧缺及技术问题,但因不是本校员工,难免出现因事务繁杂而导致责任心不强的问题,有所疏忽将造成重大的损失。还有一种不能忽视的问题,在各个高校普遍存在,就是有部分信息安全管理人员不是计算机或者网络安全专业出身,不能胜任专业的信息安全管理工作,从一定意义上来说,这部分人员不是信息安全管理的专业人员。
1.4 管理制度体系不够完善。目前,很多高校没有成立信息安全组织机构,未配备专门人员,尽管部分高校制定了管理办法和规章制度,但达不到信息安全的管理要求。根据信息安全现状和管理要求,各高校都应成立相应的安全组织、管理和技术机构,形成系统的信息安全管理机制。同时,还有部分高校在信息安全管理方面,几乎没有应急预案,一旦出现信息安全问题,后果不堪设想,一些高校虽然制定了《大学网络与信息安全报告管理办法》,但没有真正发挥作用,未能起到预防信息安全事件发生和消除事件影响的作用。因此,完善高校信息安全管理体系还有很多工作要做。
1.5 信息安全管理和技术有待提高。高校信息安全管理规章制度权威性不足,没有形成长效机制,是目前普遍存在的问题。任何管理措施都需要执行力,尽管目前高校在教学、管理、服务等方面都普及了数字化,但由于信息安全风险的不确定性,致使信息安全不被充分重视,信息安全管理和保障设备投入有限,设施陈旧,组织框架混乱,安全管理工作的分工不明,导致不能预防和及时处理信息安全方面的问题。信息安全管理制度的落实是高校的重点工作,各高校要高度重视,加强软硬件建设,提高管理人员技术水平,保证高校信息的安全性和可恢复性。
2 高校信息安全防护措施
2.1 建立有效的信息安全防护系统。合理配置操作系统端口,详细设置防火墙,开放必须利用的端口,关闭其他不必要的端口;免费提供正版杀毒软件,供全校师生免费下载使用,定期修复系统漏洞,发送错误报告并进行分析处理,升级防毒软件,保障校内所有计算机的安全运行;安装与配置IDS 入侵检测系统,检测防火墙过滤后的隐匿攻击,安装漏洞扫描系统,内外兼防确保信息终端的可信赖性。
2.2 建立安全管理体系。在了解高校当前信息安全管理面临的威胁和风险,分析原因的基础上,结合现有信息安全管理现状,整体规划设计信息安全管理体系。制定相应的安全管理工作机制,明确各管理部门责权,对重点部门、重点节点重点进行安全风险的防控,有效确保整个信息安全管理工作的高效落实。
2.3 加强信息安全管理人员的配备和管理。成立学校信息安全管理机构,采取激励政策,引进培养素质高、数量足的高水平网络、数据管理人才队伍,并培养部门信息安全管理员,充分调动他们的积极性和主动性,为学校信息安全保驾护航。对全体师生进行信息安全技术培训,使广大师生熟练掌握日常的安全操作和系统维护,针对性的加强部门、学生内部安全意识和技术人才的培养,使教师学生掌握基本的网络防御技能和安全保密素质。
2.4 提高高校信息安全管理应急处理能力。信息安全事件具有隐蔽性、突发性的特征,甚至是具有灾难性和传播性的恶性事件。因此,要充分考虑信息安全事件发生时的影响度、损坏度,并进行风险评估,建立和完善信息安全预警与应急处理机制。各校要成立网络信息安全应急处理小组,明确应急处置流程、落实相关处置人员职责,以加强预防为主,在网络信息安全应急事件发生时,迅速实施应急预案,有效控制突发事件,妥善处理问题。在处理信息安全突发事件时,要兼顾高校正常工作中对网络的需求,在有效控制校园网络信息安全突发事件后尽快恢复校园网络,避免影响正常办公。
3 结语
总体来讲,高校目前在信息安全管理方面还存在很多缺陷,已有的安全管理规章和制度只是一种局部的、事后纠正式的安全管理方式,要从根本上避免和降低信息安全事件发生的概率,就必须要根据自身的实际情况,借鉴其他高校的相关经验,制定一套适合本校的安全管理策略和措施体系。
参考文献:
[1]聂磊,刘小玲.浅谈校园网络信息安全管理[J].教育教学论坛,2010(21).
篇(4)
【关键词】发展趋势 信息安全 企业管理 解决隐患
进入21世纪以来,网络的发展日益高速化,网上的信息公开以及资料共享也为每一个网络受众提供了极大的便利。伴随着这种高速发展态势,网络信息安全也成为了个人,商家,组织的一大亟待解决的问题。就企业的角度而言,通过网络可以极大地提高自身的工作效率,并获得更大的市场信息以及相关行情的动态,同时也可以使办公网络化,节省人力物力时间,从而创造出更大的经济收益。因此,本文对网络环境下企业信息安全管理对策进行探究具备一定价值意义。
1 企业网络信息安全管理的问题分析
1.1 网络信息大数据发展问题
信息化时代来临后,网上的信息库也逐年丰富起来,慢慢地大数据一词开始进入公众的视线。随着社会发展脚步的加快,经济水平的提高致使网络信息的需求量逐年增加,同时网络信息也呈现出了与时俱进的多元化特点。信息的商业化,可视化特点也越来越明显,未来的企业发展中对网络信息需求所占的比例将逐年增加。通过获取网络数据,企业可以更快的洞察到市场的波动情况,消费人群的需求情况,以及自身产品在销售以及质量等方面的不足,可以更快的做出调整政策性来提高企业的效益;但在使用网络信息的同时,自身的一些机密信息也极其容易外泄,造成极大的损失。例如,一个企业的新产品还处在测试阶段,而信息却不小心外流,被其他企业使用,并更早的抢占了市场,这样的例子也不在少数,因而企业的信息安全管理工作便显得尤为重要。
1.2 企业信息安全管理隐患问题分析
信息安全管理的意义在于保证企业自身内部资料不受外界威胁,保证系统可以持续正常地运作。如今的企业安全,更多的是指为了保证信息的真实性,完整性,保密性,防止在未授权情况下被拷贝泄露资料的情况发生。从而保护企业的运营安全。通常来说,当今企业信息安全的主要隐患是信息安全管理以及存储设备配置中的漏洞,企业自身局域网的建设以及网络环境安全情况。因而结合企业自身的特点,建造合理的企业信息安全管理条例,防止内部资料的外泄,维护企业信息的完整性,可用性,独立性,对企业的运营起着尤为重要的作用。但是随着信息化时代的到来,企业对计算机的依赖越来越大,伴随着其与互联网的融合,网络在提供丰富信息资源的同时也为病毒以及黑客提供了侵略的途径,给企业信息安全带来巨大的威胁。企业在发展过程中,需要应用到一些办公软件或者商业机密软件,但是如果这些软件存在设计漏洞的情况下,便会被不法分子或黑客抓住所谓的“机会”,从而使企业的软件遭遇入侵,轻则造成电脑系统瘫痪,重则导致企业机密信息失窃,进而使企业遭遇重大的经济损失。例如:在土耳其石油管道事件中,土耳其境内的巴库-第比利斯-埃尔祖鲁姆石油管道从打造之初就将安全性放在了首要位置,但这一管道的建设却依旧没能抵挡住来自黑客的数字战争。据悉,当时黑客首先入侵了该石油管理部门的网络系统,然后安装了一个恶意软件,并关闭了警报、切断了通信联系、给管道内的原油大幅增压。由于管道内压力的不断增大,该石油管道最终发生了爆炸,爆炸的火焰高度甚至高达150英尺。由此可见,信息失窃对企业带来的损失是巨大的。
2 信息安全管理技术上的对策
2.1 对目前的应用系统进行分析与评估
实际上,应用系统的安全性能不可能达到100%,因而企业的信息要根据自身系统的风险指数来合理的进行保护,进行分析。只有对安全风险有了宏观的了解,才能结合实际问题进行科学合理的分析,从而采取正确的措施避免风险。
2.2 进行技术创新
对于正常运行的网络来说,安全永远是首要问题。想要确保网络的安全,就需要从多个方向上出发去进行立体保护,真正的把监督检查机制落实到实际工作中去。时代的进步需要创新,只有不断地创新才能更好地发展,才能更安全的发展。因此,在新技术层出不穷的影响下,就可以提高质量,保证企业的效益了。在建立市场方面的创新机制的同时,还要保证财力物力商的支持。实现技术的改进,形式的创新,通过各项制度的实际情况进行落实检查,从而可以保证企业中信息的安全。此外,还应提前建立起问题补救措施,能够进行数据备份,数据恢复等恢复手段,也是企业保证自身信息安全的另一个良好途径。
2.3 使用科学的管理方法
保证企业的信息安全不仅要靠一些技术上的改进,同时升级自身的管理模式也是至关重要的。管理方式的改进可以从物理安全管理,人员安全管理,以及软件和应用系统安全管理三个方面进行改进和加强,包括:
(1)物理安全是指在对抗外界一些特殊情况,例如水,电,火,雷击等情况下的应对措施,是预防遭遇到物理外侵害的主要手段。
(2)其次,人员安全管理指的是τ谄笠的谌嗽钡墓芾矸绞健P畔⒌慕ㄉ栌胛护不仅仅是计算机一级软件系统的事情,更是其操作主体工作人员的事情。在整个信息安全管理系统中,进行人员安全的审查与认证等工作显得尤为重要,可以通过签订保密合同来加强对在岗或离岗人员的安全管理。
(3)软件和应用系统的安全管理是指计算机上软件的完整性和安全性。其包括发展管理,经济管理以及安全管理等各个方面。软件安全和应用系统安全的具体表现主要体现在计算机硬件,软件和相关环境上的信息系统的安全管理情况,也是维持企业信息安全的重要手段。
3 结语
网络信息时代的大发展,为各个企业都提供了大量的机遇和挑战,然而企业自身的信息安全,网络安全是其在信息大发展时代能否抓住机遇的基础条件,只有维护好自身的信息安全,才可以把注意力更加集中的放在发展的方向上。企业改善自身的网络信息安全要根据自身的实际情况进行改进,全面加强管理,从而为企业信息安全管理水平的全面提高奠定夯实的基础。
参考文献
[1]宋晴.网络环境下企业信息安全管理对策研究[J].通讯世界,2015(14):256.
[2]于倩,李灵君.网络环境下企业信息安全管理的对策分析[J].网络安全技术与应用,2017(01):16-17.
[3]曲阿琪.网络环境下现代企业信息安全对策研究[J].中国管理信息化,2013(04):84-85.
[4]郭士娟,冷金敏,冯涛,网络环境下现代企业信息安全管理与隐患方法对策构建[J],信息系统工程,2013(06):76.
篇(5)
关键词:信息安全;技术管理;计算机应用
0引言
目前,人们在使用计算机时,常常会遇到一些危及信息安全的问题和故障,给用户带来损失和麻烦,新时期用户对于计算机应用环境安全的要求不断提高。新时期用户对于安全的计算机应用环境的要求不断提高,需要相关部门结合现有的网络信息安全技术管理问题,探究网络信息安全技术管理的有效策略。
1目前危及网络信息安全的主要因素
1.1互联网自身的风险因素
互联网本身是一个复杂的虚拟空间形态,内容众多,涉及面广,覆盖范围大,其中还涉及各类硬件、软件、设备、数据和信息等资源,这一复杂的网络系统能够同时接收不同渠道传递的数据信息,而不同渠道的信息资源质量良莠不齐,还有很多信息本身带有一定的危险因素,或者是携带病毒,这些都会带来互联网系统的安全问题,这是互联网自身存在的风险和漏洞,也是造成网络信息安全问题出现的根本原因。
1.2病毒威胁和黑客攻击的风险因素
互联网平台包含大量的硬软件,这些硬软件是互联网系统的重要组成部分,一些不法分子或者商家通过在相关软件和硬件中插入病毒,以达到对不同计算机设备进行破坏的目的,甚至存在一些高技术水准的网络黑客恶意攻击其他用户计算机系统,窃取重要信息和数据,篡改程序、文件信息等,造成对方计算机用户的计算机系统瘫痪,信息丢失和被篡改,后果十分严重。
2计算机网络信息安全的管理现状
现阶段,计算机网络信息安全已经成为全民关注的热点话题之一,人们迫切需要一个安全的网络环境来保障他们各项网络活动和交易的完成。但是就目前的网络信息安全技术管理现状来看,情况并不乐观。首先,我国尚未建立起比较完善的网络信息安全管理制度,没有建立全面的一体化的安全管理规划,导致网络信息安全技术管理工作的开展缺乏规范和指导,管理成效不理想;其次,在网络信息安全的相关防范技术的宣传和教育上,相关企业和部门也没有做好预防和宣传工作,计算机用户虽然知道网络信息安全的重要性,但是缺乏相应的防范知识和能力,导致他们在计算机应用中依然无法做好安全防范准备,在应对安全侵袭问题时束手无策;再次,在网络信息安全技术的掌握上,计算机用户也处于较低的水平,他们不能有效运用相应的技术管理手段来维护计算机网络信息的安全,导致计算机系统受到安全威胁;最后,相关硬软件的安全防护措施上也存在一定缺陷,从而导致安全漏洞出现。
3网络信息安全技术管理的有效策略
3.1制定安全管理制度,实现一体化安全管理
为大力推进网络信息安全管理创新工作的开展,推进网络信息高效运转,提高应对网络安全事件的能力,相关企业和部门需要采取一系列措施,提升信息网络安全管理水平。首先,健全工作制度。制定《网络安全事件应急预案》《信息系统账号和权限管理制度》《网络信息安全管理办法》等一系列制度,从不同角度和层面完善信息网络系统安全管理体系;第二,不断完善防病毒体系。更换一批老化的安全设备,更新防毒墙、病毒库和系统漏洞补丁;常态化开展重要信息系统和政府网站安全自查、检查等工作;第三,强化日常监测。采用“人工+自动监测”方式,坚持每日读网,对门户网站等重要系统进行监测,及时发现网络不连通、链接失效等问题,杜绝“不及时、不准确、不回应、不实用”等问题发生;第四,加快建立应急队伍。从网络信息安全相关技术服务单位中选择相关专家和技术人员与信息技术应用人员组成网络安全应急技术支撑队伍,并保持紧密联系,建立长效沟通协调机制,在发生安全事件时,合力解决问题。相关部门要增强政治意识、大局意识和责任意识,建立网络安全管控协调机制,涉事部门必须无条件支持网络信息处置相关安排。要高度重视网络安全问题和不实信息内容,形成一盘棋思想,做到守土有责,属地管理,谁主管谁负责。各应急联动部门要做到24小时在线监测,并统一处置流程,统一上报渠道,做到不漏报、不搁置、不走形式,违规必追责,追责必惩处。要有担当,讲政治,顾大局,担负起网络信息内容线上处置的主责和线下处置的监督责任。要强化底线思维,做到教育疏导到位,认真解决到位。
3.2加强网络信息安全宣传,提升安全防范意识
网络安全不仅事关国家安全和国家发展,也直接关系到每一个网民的切身利益。要精心组织网络安全宣传周活动,深入宣传贯彻《网络安全法》,大力培育积极健康、向上向善的网络文化,持续加强网络空间治理,严厉打击各类网络违法犯罪活动,整合各方力量,共同落实国家网络安全战略,推动形成全社会重视网络安全、维护网络安全的良好局面。地区要定期开展网络信息安全宣传教育工作,例如在网络与信息安全宣传周以“网络安全为师生,网络安全靠师生”为主题,开展活动内容丰富、形式多样的宣传活动。活动期间充分利用官方微信公众平台、微博平台等新媒体宣传媒介,以及专题网站、广播、电子屏幕、宣传海报和横幅等方式宣传活动方案内容及网络与信息安全知识。还可举办网络与信息安全知识讲座教职工专场、网络与信息安全知识讲座学生专场、网络与信息安全知识视频培训、知识问答等活动,发放网络安全法宣传册等材料。通过专题网站国家有关网络与信息安全法律法规、网络与信息安全知识。为了更好地落实网络与信息安全责任制,活动期间学校和企业与各部门、院(系)签订网络与信息安全责任书。通过活动宣传网络安全法律法规,普及基本的网络与信息安全知识,使广大群众增强网络安全防范意识,提高网络和信息安全防护技能。
3.3强化技术防范,促进安全应用
在计算机的使用过程中,要不断强化网络信息安全的技术防范措施,强化专管员履职能力。制定办公设备信息安全定期检查考核制度,专管员每周不定期对设备涉密信息及安全使用情况进行抽查,对员工使用办公机具和生产客户端、信息管理、外来U盘、中转申请使用及审批、机具感染病毒等多方面进行监测,发现问题按照考核办法处理,落实好激励制度。重视信息安全硬件设施的规范使用。在畅通数据传输通道的同时,注重信息安全硬件设施的规范使用,定期更新维护防毒软件,大力降低安全风险,确保网络信息安全,防患于未然。建立安全防护体系,强化关键信息基础数据保护。梳理包括三级网元、DNS等在内的23个网络关键信息基础设施,并在等级保护的基础上,进一步加强安全防护工作。此外,还要加强互联网网络空间安全工作,建设移动互联网恶意程序监测和处置系统、僵木蠕监测和处置系统、异常流量监测和处置系统,对各类恶意程序进行监测处置。还要加强治理,防范打击通讯信息诈骗。从业务源头和技术防范方面加强治理,切实防范打击通讯信息诈骗。加强重要信息系统监控和管理工作。严格内外网使用规定,禁止内外网混用,严格病毒防范,禁止随意使用各类数据传输媒介,规范税务网络信息安全行为。加强网络终端监管,建立安全监控和管理机制,实时对违规使用网络的行为和计算机病毒进行监控,对发现的违规行为和计算机病毒及时进行处理,并通知使用单位进行整改。及时升级管理系统。对已经运行的财务软件系统做好硬件软件的日常维护工作,及时修补漏洞,更新系统。同时,在财政业务内、外网统一安装防火墙和做好数据的备份工作。通过这样全面的安全防护措施的实施,确保网络运营的安全高效进行。
3.4完善网络硬软件建设,强化软件维护和管理
要促进计算机的高效应用,还需要不断加强网络软、硬件安全建设。做到日常与新态并重,软、硬件建设相结合,硬件上下功夫,软件上重管理,在做好网络日常管理的同时,定期检查网络节点,定时进行漏洞扫描,落实网络安全域边界的访问措施和策略。购置新一代应用防火墙、防病毒网关、上网行为管理网关和关键网络核心路由、交换硬件和网络审计系统、安全审计系统和网络运维管理系统等软件系统,确保内外网络出口安全运维。针对网络运营中存在的漏洞,必须要尽快采取相应的技术措施。为强化网络安全漏洞管理,首先要建立漏洞管理全流程监督处罚制度,及时发现未修复漏洞的行为,并追究相关责任;然后要强制执行重要信息系统上线前漏洞检测,尽量在源头堵住漏洞;最后对存在严重网络安全漏洞,可能导致大规模用户隐私泄露、人身伤害或者影响民生服务、关键基础设施正常运行的软硬件产品,应实施强制召回,避免造成更大的损失。
4结论
网络环境复杂多变,其中涉及的人员众多,覆盖面较广,网络信息安全技术管理是确保计算机应用的关键要素,针对网络信息安全管理中存在的固有问题,相关硬软件运营商、网络运营商等都需要尽快采取有效的安全技术防护和管理措施,针对突出的网络信息安全漏洞问题,采取相应的解决方案,确保构建安全的网络信息环境,为计算机的高效应用提供良好的环境。
参考文献:
[1]杨雨锋.计算机网络与信息安全防范措施探究——评《计算机网络与信息安全技术》[J].新闻与写作,2016(9):125.
[2]谢剑.虚拟专用网络技术在计算机网络信息安全中的应用价值研究[J].信息化建设,2016(4):63-64.
[3]高山山.基于网络信息安全技术管理下的计算机应用探究[J].科技创新与应用,2015(33):106.
[4]马民虎,张敏.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述[J].西安交通大学学报(社会科学版),2015,35(2):92-97.
篇(6)
(一)管理使用的系统
ERP、加油站账册、二次物流管理、加油卡、办公自动化以及企业门户网站等系统是石化销售企业首要的应用系统。应用系统有以下特征:一是系统应用范围广,全程参与企业的经营、管理、对外服务等;二是系统用户众多,涵盖企业各阶层员工;三是系统对持续运转要求高,因此对应用系统的安全运转要求较高。对公司的经营管理而言,系统的安全稳定运行具有重大意义,系统数据是否安全、保密性和供应商、企业利益有密切关系。
(二)安全管理
随着我国经济水平不断提高,石化销售企业越来越离不开信息化管理,世界各地的公司对内部成立一个信息化团队,根据内部的需要制定出具有整体性的管理体系,并根据相关的信息安全规定对系统内部的安全等级做好评估保护工作。各企业制定了详细有效的“信息系统应急预案”以应付各类突发事件。近几年,中国石化内控体系在建设过程中不断加强、完善自身管理体系,也在IT控制方面占有一定的优势。当前,石化销售企业已基本形成一套完整的信息安全防御和管理体系,从而确保了网络信息系统的安全性。
二、信息安全风险的评估
衡量安全管理体系的风险主要方法是进行信息安全风险的评估,以此保障信息资产清单和风险级别,进而确定相应的防控措施。在石化销售企业进行信息安全风险的评估过程中,主要通过资金、威胁、安全性等识别美容对风险进行安全检测,同时结合企业自身的实际情况,拟定风险控制相应的对策,把企业内的信息安全风险竟可能下降到最低水平。
(一)物理存在的风险
机房环境和硬件设备是主要的的物理风险。当前,部分企业存在的风险有:1)企业机房使用年限过长,如早期的配电、布线等设计标准陈旧,无法满足现在的需求;2)机房使用的装备年限太长、例如中央空调老化,制冷效果不佳导致温度不达标,UPS电源续航能力下降严重,门禁系统损坏等,存在风险;3)机房安全防护设施不齐全,存在风险。
(二)网络和系统安全存在的风险
石化访问系统的使用和操作大量存在安全风险,其中主要风险包括病毒入侵、黑客袭击、防火墙无效、端口受阻以及操作系统安全隐患等。即使大部分企业已安装统一的网络防病毒体系、硬件防火墙、按期更新网络系统软件、安装上网行为监控等,但因为系统漏洞数目不断增多网络结构和袭击逐渐减弱或者因为信息系统使用人员操作系统本身的安全机制不完善、也会产生安全隐患。
(三)系统安全风险
没有经过许可进行访问、数据泄密和被删改等威胁着系统的安全性。提供各类应用服务是企业信息系统的首要任务,而数据正是应用信息系统的核心,因此,实际应用与系统安全风险密切联系。当前,信息应用系统存储了大量的客户、交易等重要信息,一旦泄露,造成客户对企业信任度影响的同时也会影响企业的市场竞争力。
(四)安全管理存在的风险
安全管理存在的主要指没有同体的风险安全管理手段,管理制度不完善、管理标准没有统一,人员安全意识薄弱等等都存在管理风险,因此,需要设立完善的信息系统安全管理体系,从严管理,促使信息安全系统正常运作。一方面要规范健全信息安全管理手段,有效较强内控IT管理流程控制力度,狠抓落实管理体系的力度,杜绝局部管理不足点;另一方面,由于信息安全管理主要以动态发展的形式存在,要不断调整、完善制度,以符合信息安全的新环境需求。
三、信息安全管理体系框架的主要构思
信息安全管理体系的框架主要由监管体系、组织体系和技术体系形成,特点是系统化、程序化和文件化,而主要思想以预防控制为主,以过程和动态控制为条件。完善安全管理体系,使石化销售企业信息系统和信息网络能够安全可靠的运作,从机密性、完整性、不可否认性和可用性等方面确保数据安全,提升系统的持续性,加强企业的竞争力。
(一)组织体系
企业在完善管理体系过程中应设立信息安全委员会和相关管理部门,设置相应的信息安全岗位,明确各级负责的信息安全和人员配置等内容。在全面提升企业人员对信息安全了解的过程中必须进行信息安全知识的相关培训,使工作人员提高信息安全管理意识,实现信息安全管理工作人人有责。
(二)制度体系
操作规范、安全策略、应急预案等各项管理制度经过计划和下发,让信息安全管理有据可依。企业参照合理完善的各项制度进一步优化业务流程,规范操作行为,降低事故风险,提升应急能力,以此加强信息安全的管理体系。
(三)技术体系
管理技术、防护技术、控制技术是信息安全管理体系的主要技术基础。安全技术包括物理安全技术、网络安全技术、主机安全技术、终端安全技术、数据安全、应用安全技术等。一旦出现信息安全事件,技术体系会在最短的时间内降低事件的不良影响,依靠相关的信息安全管理技术平台,以实现信息安全技术的有效控制。管理体系的核心是技术手段,先进的加密算法和强化密钥管理构成的数据加密方式全程控制数据传输和数据存储,可以保证数据的安全性。采用堡垒机、防火墙等安全系统可以过滤掉不安全的服务和非法用户,防止入侵者接近防御设备。IDS作为防火墙的重要功能之一,能够帮助网络系统快速检测出攻击的对象,加强了管理员的安全管理技术(包括审计工作、监视、进攻识别等技术),提高了信息安全体系的防范性。企业数据备份这一块可以采用双机热本地集群网、异地集群网等各种形式进行网络备份,利用体统的可用性和容灾性加强安全管理能力。
近年来各个企业的恶意软件、攻击行为手法变化多端很难防御,在各种压力下,传统的的安全防预技术受到了严峻的考验,这时“云安全”技术当之无愧成为当今最热的安全技术。“云安全”技术主要使用分部式运算功能进行防御,而“云安全”技术对于企业用户而言确实明显的保障了信息的安全性以及降低客户端维护量。“云安全”技术是未来安全防护技术发展的必由之路,且今后“云安全”作为企业安全管理的核心内容为企业的数据、服务器群组以及端点提供强制的安全防御能力。”
四、信息安全管理体系相关步骤
由于管理体系具有灵活性,企业可依据自身的特点和实际情况,使用最优方案,结合石化销售的特征,提出以下步骤:1)管理体系的重要目标;2)管理体系的主要范畴;3)管理体系现状考察与风险估量;4)完善管理体系的制度;5)整理管理体系的文档;6)管理体系的运行方式;7)信息安全管理体系考核。
五、结论
篇(7)
关键词:企业信息安全;信息安全技术;内部管理;信息技术;企业管理 文献标识码:A
中图分类号:F270 文章编号:1009-2374(2015)03-0162-02 DOI:10.13535/ki.11-4406/n.2015.0270
信息技术的应用为企业管理和运营带来了极大的便利,而且随着信息技术在企业中的应用程度越来越高,信息系统在企业管理中发挥的作用也越来越大。但是,企业在享受信息技术带来便利的同时,企业也面临着信息安全的问题。在网络环境下,企业信息系统存在来自物理环境、网络环境和人文环境等多个方面对信息安全产生的威胁。根据有关统计,我国半数以上的企业遭受信息攻击而出现信息泄漏,给企业带来经济损失。尤其是中小企业,它们面临的信息安全问题更加严重。因此,加强企业信息安全管理、保障信息安全,是企业必须重视且亟需解决的问题。
1 加强信息安全管理对企业的重要性
1.1 维持企业核心竞争力的需求
每个企业或多或少都存在机密的商业信息数据,如核心产品、设计文档、用户信用卡信息、订单信息、联系方式等。在市场化程度不断提高的环境下,这些信息是企业发展的命脉,关系到企业生死存亡。一旦企业的核心机密信息被泄漏,企业不仅会面临巨大的经济损失,企业可能因失去核心竞争力而失去市场。
1.2 企业制定科学决策的需求
企业制定决策严重依赖企业的各项数据,如果数据出现错误,会导致企业制定错误的决策,影响企业发展方向。而加强信息安全管理可以保障企业信息数据的真实性和完整性,为企业制定决策提供科学的参考和分析材料。
1.3 保证信息可用性的需要
企业的数据信息不仅是企业决策层制定决策的科学依据,也是企业其他职工开展工作的依据。加强企业信息安全管理工作可以防止因数据丢失引起的人员、流程、
技术服务中断,确保企业的关键系统得以正常运行。
2 企业信息安全出现问题的原因分析
2.1 重视程度和认识不足
当前许多企业的管理人员对信息管理没有形成正确的认识,对信息安全的认识普遍不够重视。具体表现在:企业管理人员关于信息安全管理的模式为事后管理,只有信息安全出现事故后才会采取措施解决问题,并没有主动采取预防措施。部分企业的管理人员对信息安全存在侥幸心理,认为企业可能不会遭受病毒攻击。重视程度不够造成企业不重视加强信息安全管理措施,导致信息安全面临威胁。
另外,企业员工也存在认识不足的问题。由于企业绝大多数员工是信息系统及信息的使用者和提供者,因而企业员工对企业信息安全与否有巨大的影响,企业信息安全管理也需要企业所有员工的参与。但是,从许多企业的信息安全事故可以看到,多数企业出现信息安全的主要原因不是来自网络黑客的恶意攻击,而在于企业内部员工在有意或无意识状态下造成的信息泄漏。这一原因也反映出企业员工对企业信息安全的认识和意识都存在不足,这也是企业信息安全保障系统问题的主要
方面。
2.2 缺少有效的信息管理制度
信息管理属于比较新的领域,当前政府在信息安全管理方面的法律法规并不完善,现有法律法规的安全技术和手段不成熟,缺少标准规范,政府无法根据现有法律法规制定合理的安全策略,保障法律法规可以得到有效的落实。在企业方面,尤其信息安全管理属于系统性统称,它涉及计算机技术、网络技术、信息管理等多个方面。然而计算机和网络技术处于不断发展状态,信息系统也需要不断升级换代。因此,企业信息系统运行风险和安全需求应采取同期化管理方式,不断调整现有安全策略。而企业制定管理措施后以为可以一劳永逸,并没有在随后不断调整安全管理策略。
2.3 缺少信息安全技术
计算机信息技术包括信息安全技术、数据恢复技术、系统维护技术、数据库应用技术等多项技术组成的计算机综合应用学科。由于技术发展的局限,在设计硬件和软件过程中难免存在技术缺陷,导致软硬件存在漏洞。从企业信息遭受的外界攻击来看,外界攻击的目的并不在于破坏软硬件的底层系统,而是通过软硬件的漏洞侵入系统,窃取企业的核心数据。企业自身对信息安全投入不足,企业的网络结构简单,为他人提供了可乘之机;企业也没有强大的计算人才队伍维护企业信息系统,部分企业甚至缺少专业的管理人员,致使信息安全频发。
3 加强企业信息安全的对策
3.1 提高企业领导和员工的重视程度
首先,企业领导要转变观念,深入对信息安全的认识。其次,对企业员工而言,企业可以聘请专业计算机信息技术人才对企业员工进行安全教育培训,提高企业员工对信息安全的认识,转变职工的观念,加强自身安全规范,避免出现泄漏企业信息的行为。另外,企业要制定企业人员信息安全行为规范,如奖励和惩罚制度、信息安全责任制度,明确信息安全管理责任人及其承担的责任,强化员工的安全意识。加大企业对信息安全的投入,一方面加大信息安全软硬件的投入,信息系统的技术水平;另一方面加大信息安全技术人才队伍建设,企业可通过培养或招聘方式提升信息安全管理队伍的业务水平。
3.2 建立完善的信息安全管理体系
企业信息安全管理体系包括完善的组织体系、信息安全规范、信息安全管理流程。组织体系包括制定和信息安全管理规范、信息安全管理组织工作两项内容,可以有效保障各项信息安全管理措施能够得到有效的落实,促进企业不断改进信息安全体系。信息安全规范的主要内容为对各种信息安全策略加以详细说明和介绍,它的存在最大限度地减少人为因素对企业信息安全造成的威胁。企业信息安全管理流程需要企业根据科学的信息资产评估和分先分析模型法设计系统安全模型,再以此为根据制定和实施科学的安全策略。企业选择可靠的信息安全产品,在安全策略要求下采取安全防范措施。由于技术和设备处于不断的变化和更新状态,企业的发展情况也不同,这要求企业建立安全防范体系后还需要重视信息安全管理,并根据网络信息和网络安全特点及时更新安全防范体系,实现安全防范体系动态
发展。
3.3 提高企业信息安全技术
制定完善的信息安全管理体系后,还需依靠高水平信息技术发挥管理体系的作用。由于当前对企业信息安全产生威胁的技术较多,防止信息安全漏洞的技术也较多。但是,企业必须做好验证与授权、预防和抵制、检测和响应三个技术领域,再选择有效的安全防御技术。验证与授权分别是验证用户身份和决定用户访问权的方法,当系统确定用户身份后可以明确用户的访问权限,用户才能使用自己的账号和密码访问权限范围内的信息。预防和抵抗是通过过滤、加密和防火墙等措施防止非法入侵系统并访问企业信息,它是企业必须加强的安全防御环节。监测和相应是企业信息安全的最后防线,杀毒软件是常用的探测和反应技术。
4 结语
总而言之,企业信息安全必须立足于企业信息安全内部管理和信息安全技术两个方面,二者缺一不可。企业要以信息安全技术为支撑,完善内部管理体系和制度建设,加强监督和管理。同时做好企业职工的信息安全教育,提高职工的意识。从企业领导到企业职工、从技术到管理,全方面做好信息安全管理,保障信息安全。
参考文献
[1] 耿家观.企业信息安全问题与对策分析[J].网络与信息,2012,(7).
[2] 李国强.网络环境下企业信息安全隐患与防范策略
[J].网络财富,2010,(15).
[3] 杨福生.网络环境下企业信息安全管理对策[J].中外企业家,2013,(20).
