前言:中文期刊网精心挑选了安全保障管理策略范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
安全保障管理策略范文1
关键词:教学管理系统;B/S模式;系统安全性
中图分类号:TP311文献标识码:A文章编号:1009-3044(2010)20-5501-02
1 高职院校教学管理系统应用的背景和现状分析
随着近年来我国教育改革的深化,素质教育的全面推进,高校扩招政策的出台,高职院校办学规模不断扩大,对教学管理部门而言,增加工作量的同时工作难度也增加了,管理手段的落后直接影响教学质量和办学水平。面对挑战,许多高职院校纷纷启动并加快了数字化校园建设的步伐,相继建成校园网,搭建了数字化校园的硬件平台,运用教学管理系统,将日常教学管理事务纳入信息化和网络化管理中。
根据系统的开发时期、使用要求、技术实现方式等差异,可以将高职院校教学管理系统划分为三个不同的发展阶段:1)是单机管理系统。这种系统功能单一落后,软件实现简单、性能差,主要用于完成某些单方面的教学管理功能。2)是采用C/S工作模式局域网管理系统。具有强大的数据操作和事物处理能力,模型直观简洁,易于人们理解和接受。但随着学校规模的日益扩大,软件功能的不停升级,二层C/S模式的局限性逐渐彰显:① C/S模式的开发和维护成本较高,因为对不同的客户端要开发不同的程序,并且应用程序的安装、修改和升级均必须在所有的客户机上走一遍;② 随着客户端对数据处理功能的要求增加,客户端的负荷越来越重,造成“胖”客户端现象,打击了系统的整体性能;③ 数据安全性不好,因为客户端程序可以直接访问数据库服务器,因此在客户端计算机上的其他程序也有途径访问数据库服务器,从而使数据库的安全性受到威胁。3)是以web技术为基础基于B/S工作模式的教学管理系统。这是随着web技术的兴起,继承发展于C/S模式的一种改进模式。该模式利用不断成熟和普及的浏览器技术,将数据存放在数据库服务器上,业务处理程序在应用服务器上存放和运行,这种结构不仅把客户机从沉重的负担和不断对其提高性能的要求中解放出来,也把技术维护人员从繁重的维护升级工作中解脱出来。这种三层结构层与层之间相互独立,任何一层的改变不影响其他层的功能,从根本上改变了二层C/S体系结构的缺陷,是应用系统体系结构中的一次深刻变革,成为当前教学管理系统的首选体系结构。
2 基于web技术基于B/S工作模式的教学管理系统
我校是一所具有50年办学经验的国家级重点职业学校,在册学生维持在8000人次左右,现有6大专业体系,高职专业12个,中专专业近20个,课程共650多门,每学期平均需制定专业教学计划25个,安排授课课时4000多节,安排任课教师300余人,日常教学管理工作量较繁重,并且我校存在分校区办学模式,地理位置跨度较大,基于以上实际情况,经过对三代教学管理系统优缺点的分析,2005年,我校建成基于B/S工作模式的教学管理系统,依托该系统,实现了各校区教学信息的有效沟通,将教学管理者和教师们从繁重的手工传统工作模式中解放出来,从而把工作精力投入到提高管理水平和提高教学质量的工作中。
随着网络信息技术的快速发展和校园信息化水平的提高,基于B/S工作模式的教学管理系统已成为学校教学管理工作必不可少的组成部分。与此同时,系统所蕴藏的风险也成为无法回避的问题。虽然,基于B/S的网络应用是比较成熟的,特别是在JAVA这样的跨平台语言出现之后,B/S架构的管理系统得到相当广泛的应用,但该结构在系统安全性上仍存在硬伤。相较C/S系统而言,B/S系统在客户机与数据库之间增加了一层WEB服务器,使两者不再直接连接,客户机无法直接对数据库操作,可有效地隔离用户对核心数据的危险性访问,但由于C/S的相对专用性和封闭性,整个C/S系统相对安全,而B/S的开放性,使得这种结构的系统更容易受到来自internet 上的攻击。
3 B/S工作模式下数据安全性策略分析
保证数据安全是教学管理系统正常运行和教学工作正常运转的前提。基于B/S工作模式的教学管理系统采用后端数据库的动态页面生成技术,用户通过internet平台不仅可以进行静态信息浏览,而且可以进行数据库访问和数据处理,如何保证数据的安全性,是系统亟待解决的问题。
策略①:抑制控制,强化系统安全设计,即在系统设计、编程和测试阶段,通过采取有效的措施堵塞漏洞,抑制风险产生。
网络安全层次:采用路由器的IP过滤功能、网关、防火墙、服务器等方式将校园网与internet相连时起到隔离作用;并将校园网划分为多个子网,有效减少网络频带压力,使大部分信息在子网范围内传输,减少信息外泄的机会,实现IP地址身份验证机制,防止持有非法IP地址的人访问本子网的资源。
服务器安全层次:
首先检查用户的合法性及身份验证,采用在网络中设一登陆验证服务器的方法;在web服务器上设计有相应的权限限制,只有合法用户才能通过网页来访问事物处理程序。
策略②:预防控制,采用基于B/S和C/S混合模式的教学管理系统,充分发挥了两种模式各自优点,尤其在系统安全性保障方面,集成两种模式的长处,从预防角度达到控制风险的目的。
基于B/S工作模式的教学管理系统并没有将C/S系统挤出管理系统领域,相反,随着PC机硬件配置的不断提高,客户端的“肥胖”不再影响健康,而网络服务器的承载能力和网络本身的安全隐患却成了制约B/S系统结构的瓶颈,因此选择何种工作模式的教学管理系统取决于实际应用方式,即能否适应学校办学模式,满足广大师生的教学需求。我校教学管理系统分成教学计划、课程管理、学籍管理、成绩管理、选课管理、师资管理、信息、系统管理等模块。在上述模块中,由于学籍、成绩、教学计划、师资管理等需要较高的安全性和较强的交互性,同时需要处理大量的数据,因此这部分子系统适合采用传统的C/S模式;而信息与学生信息查询及选课管理则具有适用范围广、安全互性要求不高等特点,这部分可采用B/S模式。
策略③:恢复控制,即在系统风险导致的损害实际发生时,必须有有效的系统修复措施。
目前,几乎所有的教学管理系统,无论基于何种工作模式,都是以数据库系统为平台,我校的教学管理系统也是运行于SQL Server2000服务器,管理制度不完善、系统管理人员的意外操作、破坏性病毒攻击、自然灾害等原因都可能导致数据库遭破坏,因此从数据库层面保证系统数据安全是保障系统数据安全性的根本途径。在现有技术条件下,系统管理员定期做好备份是保证数据库安全的重要措施,一旦数据库系统出现故障,就能利用备份数据及时采取有效措施,恢复系统功能。
SQL Server2000支持四种备份类型,在实际工作中应根据具体情况进行选择。四种备份类型的功能及其优势如表1所示:
表1 SQL Server2000数据库备份类型
对于这四种备份类型,可结合实际情况制定相应的备份策略。我校的处理方法是:教师提交成绩单前,做一次数据库的完全备份,成绩提交期间每日进行差异备份,随时可以恢复到故障点以前的状态。因为在教师提交成绩单期间,数据库处于随时更新的状态,因此制定良好的计划和适合需求的备份策略才能保证数据库的安全,保障系统正常运行。同时还应选择相应的时间间隔生成事物日志备份,可把数据恢复到意外发生时的即时点。
4 结束语
目前,B/S体系结构在管理信息系统的开发中日益显示主导作用,但作为一名系统管理员,除了选择适合本校办校实际的管理系统之外,必须充分考虑基于该工作模式的系统能否在安全性能上有更好的表现,这是衡量系统性能的重要指标之一,是关系到学校教学管理工作能否正常进行的核心问题。
参考文献:
[1] 邵莉,梁兴建.数据库备份策略及恢复措施研究[J].四川理工学院学报:自然科学版,2009(2):14.
[2] 谢永红.C/S向B/S软件体系结构转变分析和探讨[J].哈尔滨职业技术学院学报,2006(4):93-94.
安全保障管理策略范文2
关键词:电力信息系统 信息安全防护 安全域 分级分域
中图分类号:TP309 文献标识码:A 文章编号:1674-098X(2016)12(b)-0100-02
电力公司的安全防护体系根据省、市、县安全防护不同层面防护要求各有侧重、相互支撑、互为补充。根据各信息系统重要程度设计安全防护体系“三横四纵”的总体架,建立信息安全防护体系。
1 信息安全防护策略设计目标
信息安全保障体系的建设紧紧围绕安全管理、安全技术和安全运维3个方面,在每个方面都有相应的具体目标。达到这个目标就能为综合服务平台构建一个多层次、多角度的立体纵深防御体系。
安全管理的建设目标:
确定安全组织和责任划分,确定安全策略,确定信息资产分类和分级。
实现安全变更管理、安全补丁管理、安全备份管理、应急响应计划、业务持续性计划、安全核心流程。
安全培训与教育、安全控制要求:
对信息资产进行风险评估,达到ISO27001管理标准。
安全技术的建设目标:
根据业务需求划分不同的安全域,安全边界进行防护。
实现安全系统强化功能、建立网络和主机入侵检测机制、实现高危数据加密传输、关键系统的日志审计、建立病毒防范体系、建立身份认证体系、访问控制体系、远程访问安全机制。
建立数据安全存储体系、时间同步机制、集中安全审计体系、安全事件管理平台。
安全运维的建设目标:
建立定期风险评估机制。
定期对日志进行审计、定期进行渗透测试。
完善安全信息上报机制、定期对安全策略和标准进行评估和修订。
显示安全的运维外包。
2 电力信息安全建设体系内容
电力信息系统信息安全保障体系采用了“三横四纵”的总体架构,即横向上分为3个层次,分别为应用层、技术层、管理层;技术层次中纵向又分为4种主要体系,即以基础安全服务设施、数据安全保护、网络接入保护、平台安全管理为支柱,信息安全基础设施为基础,通过信息安全管理体系为业务应用提供可靠的安全保障。
一是应用层。这是安全保障体系的主要对象。信息化建设的终极目标是提供给用户好用、易用、够用的应用系统,应用系统是为了满足不同用户的不同业务需求,安全保障体系保障的核心就是应用系统及其数据。
二是技术层。这是信息安全保障体系的主要体系。目前包括技术支撑体系、技术保障体系、网络信任体系、安全服务体系。这4种体系已经经过多年的探索和建立,应该说已经覆盖了技术上的所有方面。
三是管理层。包括等级保护安全策略、安全管理制度、法律法规和技术标准。通常说“三分技术、七分管理”,再好的技术也需要完善的管理才能保证技术发挥最大的效能。
3 信息安全防护设计
电力系统是一个由内网、外网两种网络域构成的庞大信息系统。各个网络域执行着不同的服务内容:内网是一个完整的电力系统办公自动化环境,外网担负着与公众间信息沟通的责任。
如此复杂的应用环境给系统带来了大量潜在的安全隐患:黑客利用外网或专网攻击内部网络、数据在传输过程中的泄露、网页遭篡改、伪造身份进入系统、操作系统漏洞、病毒等。这些安全隐患不可能依靠某种单一的安全技术就能得到解决,必须在电力信息系统整体安全需求的基础上构筑一个完整的安全服务体系。
构建一个完整的安全防护体系有组织地实现上述安全需求,我们提出的安全保障平台由基础安全服务设施、数据安全保护、网络接入保护、平台安全管理组成。
(1)基础安全服务设施。
基础安全服务设施防护设计主要包括部署平台的应用系统的身份认证与访问控制、基础环境安全保护(访问控制、防火墙、入侵检测、安全审计、VPN)。
(2)数据安全保护。
数据安全保护方案是为部署在电力信息系统提供数据传输、数据访问和数据存储备份恢复的安全保障措施,主要分为4类:应用保护、数据传输交换保护、数据备份与恢复设计。
(3)网络接入保护。
统一管理集中建设互联网接入点,实现电力各部门互联网的安全接入和可管可控可剥离;各部门在统一的安全技术体系下,根据各自信息下发指令信息包括针对省级安全等级,建设、升级、完善安全系统;依托平台建设省级安全接入机制,实现与接入统一监控、统一管理和统一服务。
(4)平台安全管理。
安全管理体系是信息安全保障体系建设的一个重要环节,安全管理体系的建设内容包括:建立完善等级保护安全管理机构、安全管理制度、人员安全管理、系统建设运维管理、系统运维管理。
4 结语
该课题对电力公司信息安全防护策略和防护设计进行研究,电力信息化安全服务平台也基于电力信息系统安全需求设计安全防护体系,面向系统管理员、安全管理员提供安全保障,为各级信息化安全管理对安全监管、信息共享和提供安全保障支撑。
参考文献
[1] 高鹏,范杰,郭骞.电力系统信息安全技术督查策略研究[C]//电力通信管理暨智能电网通信技术论坛论文集.2012.
[2] 余勇,林为民,俞钢.电力信息系统安全保障体系的研究[C]//2004年世界工程师大会电力和能源分会场论文集.2004.
[3] 陈秋园.浅谈电力系统信息安全的防护措施[J].科技资讯,2011(14):147.
安全保障管理策略范文3
关键词:计算机网络信息;行政机关;安全问题分析
中图分类号:TP393.08
随着现代科技尤其是网络技术和电脑科技的发展,各政府机关都已建立起计算机网络,并通过联网技术在工作中进行信息交流和资源共享。这对于各个行政机关加强部门管理,并实现监督所属管辖范围的企事业单位的要求具有相当的帮助。不可否认的是,网络信息往往会面临许多安全方面的问题。
行政机关的所使用的网络信息系统通常是需要联网使用的,通过该系统建立的平台,为工作人员提供信息的交流、传递、管理以及其他业务的办理等多种服务。同时该系统的内部数据库还可以对网络资源或信息进行采集、管理和,并为相关的行政部门提供服务,以有助于其开展网络视频会议或实现审批流程的顺利进行,等等。因而成为了各部门工作开展的必备手段并有利于其工作效率的提高。
由于各行政机关的数据档案等往往具有不对外公开的性质,因此对于计算机网络来说,在满足各部门的工作需求的基础上,还应具有易操作性以及高度的保密性和安全性。而实际上网络信息在传递和管理时往往会面临许多不安全的问题如黑客和恶意软件的攻击等,因此应对计算机网络信息安全予以高度保障。
1影响计算机网络信息安全的各个要素
由于计算机网络的结构体系比较复杂,且其各个结构存在着较大的差异,因而容易导致兼容性方面出现问题。此外,国际标准化组织根据互联网模型的开放系统将网络信息的传递和互动划分为七层,以保证各种网络信息都能在与其相适的结构层次上展开互动和交流。以下将根据这些层次结构的规划,对影响计算机网络信息安全的各个要素进行讨论并提出相应的安全保障策略。
1.1系统方面的安全要素
系统方面的安全要素指的是除硬件之外的软件系统环境。其安全性集中地体现为总部服务器及其下属终端系统的网络操作安全。其有效性主要在于操作系统内部所存在的缺陷及其对于安全方面所进行的配置、用户在机制进行操作和管理时的认证或访问身份方面的安全保障以及针对系统方面的各种攻击所展开的防御等等。
1.2网络方面的安全要素
网络方面的安全要素主要是指在进行信息传递和互动时的安全保障措施。它主要体现为保障网络传输时的信息完整和内容隐私;保证信息资源、网络系统以及访问者的身份认证等方面的机制控制安全;保障系统及其硬件设备对于恶意攻击的检测和预防等方面的安全以及域名解析系统的安全性等等。
1.3管理和应用方面的安全要素
网络信息在管理和应用方面的安全要素是指在对网络数据库和信息应用软件的安全性进行考虑的基础上,对包括网络设备的技术和安全管理、安全管理规范和制度、机构人员的安全组织培训、网络信息应用平台、web服务器、电子邮件系统、网络信息系统、以及来自于病毒软件的威胁等方面展开的安全保障措施。
1.4物理方面的安全要素
物理方面的安全要素主要有网络设备、通信线路以及相应的环境安全保障等等。其中主要是指设备的互动链接所遵守的物理协议标准、网络信息的传输线路与通信线路的安全性、软、硬件设备所具有的抗干扰性、设备运行时的空气温湿度及清洁度等方面的网络环境条件和电源方面的安全保障和备用等要素。
2网络安全模型及相应的安全保障策略
2.1网络安全模型
想要更好地保障行政机关计算机网络信息安全就应该建立起人员、技术和管理三者合一的全面的网络安全模型,从而对行政机关计算机网络信息安全提供全方位的保证。
其中人员是决定所建设的网络信息安全模型是否有效的关键因素。这是因为工作人员既是对技术进行安全操作的主体,又是开展安全管理的主要参与者。其中,工作人员的业务水平和知识结构是安全有效性得以保障的重要影响因素。
技术则是指网络信息互动时所使用的服务和设备方面的支持以及其他所需要的技能和工具,它是实现网络信息安全的基本保证。而管理是指对网络信息安全的流程进行策划和组织等方面。工作人员对行政机关计算机网络信息安全管理的决策判断也是影响安全保障有效性的关键。
此外,由于行政机关的计算机网络信息安全需要时常进行检查以便及时发现问题并进行改善,因此在建构网络安全模型时要按照“防护、检测、发现、改善和防护”的循环策略开展相关的工作。
2.2相应的安全保障策略
(1)系统安全保障策略。通过采用性能稳定的Linux这样的多方网络操作系统来奠定服务器运行的环境基础,以严格控制权限并验证身份的方式来实现安全保障,同时对用户登陆、资料审计以及文件签名等环节进行控制以检测并维护系统安全,并经常升级系统、补齐漏洞以保障系统安全的恢复,此外还可对用户进行系统操作的权限进行定时更新。(2)网络安全保障策略。通过采用服务器、防火墙、访问控制列表、防病毒软件和扫描器等安全措施来保障网络安全,并利用网络三层交换机对不同的网络服务需求进行划分,对所划分的网段主机及其子网的检测节点用入侵检测系统进行扫描,再制定出的相应的安全策略并做出相应的分析、执行和改善,以此来提高网络信息的安全保障。(3)管理和应用安全保障策略。通过控制访问权限并时常更新、验证身份并对访问组件进行加密的方式来实现安全保障,同时经常检测应用程序日志和散列的文件签名并建立起相关的安全管理制度以及相关的人力资源组织规则和标准,事件发生后要及时通知使用者,并通过对数据进行备份的措施来实现数据恢复,制定出紧急响应预案并统计违规操作行为,时常更新或调整网络安全的组织流程,并培训工作者的相关技能。(4)物理安全保障策略。通过消防、环境隔离门禁、温湿度控制以及设备保护等系统的采用实现物理安全保障,同时配备相应装置进行探测和感应,通过监控中心的自动响应设备对发生的事故进行自动保护,同时相关工作人员也及时发现问题并予以正确处理,定时检测网络安全设备并对其软、硬件进行修复或更换,若有必要可硬更换新设备。(5)重视各行政机关工作人员的安全作用。对于行政机关计算机网络信息安全的维护,除了上述安全保障措施以外,还应重视各行政机关工作人员的安全作用。这是保障网络信息安全的重要因素,因为上述各方面的要素无法排除工作人员的参与。具体说来,发挥人员方面的作用主要有以下几点。首先有关部门的领导应对网络信息安全予以高度重视。其次在于相关工作人员应有意识地增加信息安全知识以提高自身的网络信息安全意识。再次是网络技术人员要经常对设备进行巡检并定期维护并修正相应的安全策略。最后管理人员还应对员工的安全问题进行定期检查。
3结论
综上所述,对行政机关的计算机网络信息安全实施保障需要调动许多方面的安全因素,从而展开全面细致的系统维护,这就要求有关工作人员有意识地在实际操作中增加自己的知识和经验,实现人员、技术和管理三位一体的安全系统,以更好地保障行政机关的网络安全。
参考文献:
[1]胡世昌.计算机网络安全隐患分析与防范措施探讨[J].信息与电脑(理论版),2010(10).
[2]王薪凯,姚衡,王亨.计算机网络信息安全与防范[J].硅谷,2011(04).
[3]赵庆祥,刘自强,金勇杰.信息时代计算机网络安全探析[J].信息安全与通信保密,2009(08).
安全保障管理策略范文4
[关键词] 信息安全保障体系; 中国石油; 企业
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054
[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2012)09- 0089- 02
1 信息安全保障体系概述
信息安全保障(Information Assurance,IA)来源于1996年美国国防部DoD指令5-3600.1(DoDD5-3600.1)。其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。内容包括保护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery) 4个环节,即PDRR模型。
信息安全保障体系分为人员体系、技术体系和管理体系3个层面,人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。通过纵深防御的多层防护,多处设置保护机制,抵御通过内部或外部从多点向信息系统发起的攻击,将信息系统的安全风险降低到可以接受的程度。
2 国外信息安全保障体系建设
美国的信息化程度全球最高,在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。美国政府先后了一系列政策战略报告,将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。美国国土安全局是美国信息安全管理的最高权力机构,其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等,主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。
其他国家也都非常重视信息安全保障工作。构建可信的网络,建设有效的信息安全保障体系,实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家,如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展,在信息安全领域不断进行着积极有益的探索。
3 国内信息安全保障体系建设
我国信息化安全保障体系建设相对于发达国家起步较晚,2003年9月,中央提出要在5年内建设中国信息安全保障体系。2006年9月,“十一五”发展纲要提出科技“支撑发展”的重要思想,提出要提高我国信息产业核心技术自主开发能力和整体水平,初步建立有中国特色的信息安全保障体系。2007年7月20日,“全国重要信息系统安全等级保护定级工作电视电话会议”召开,标志着信息安全等级保护工作在全国范围内的开展与实施。2011年3月《我国国民经济和社会发展十二五规划纲要》明确提出加强网络与信息安全保障工作。通过一系列的文件要求,不断完善与提升我国的信息安全体系,强调信息安全的重要性。
我国信息安全保障体系建设主要包括:① 加快信息安全立法、建立信息安全法制体系,做到有法可依,有法必依。② 建立国家信息安全组织管理体系,加强国家职能,建立职能高效、职责分工明确的行政管理和业务组织体系,建立信息安全标准和评价体系。③ 建立国家信息安全技术保障体系,使用科学技术,实施安全的防护保障。④ 在技术保障体系下,建设国家信息安全保障基础设施。⑤ 建立国家信息安全经费保障体系,加大信息安全投入。⑥ 高度重视人才培养,建立信息安全人才培养机制。
我国通过近几年的努力,信息安体保障体系取得了长足发展,2002年成立了全国信息安全标准化技术委员会,不断完善信息安全标准。同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展,但CPU芯片、操作系统与数据库、网关软件仍大多依赖进口,受制于人。
4 企业信息安全保障体系建设
中国石油集团公司信息化建设在我国大型企业中处于领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,公司将企业信息安全保障体系建设纳入信息化整体规划中,并逐步实施。其中涉及管理类项目3个,控制类项目3个,技术类项目5个。
管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。信息安全组织完善是指完善信息安全的决策、管理与技术服务组织,合理配置岗位并明确职责,建立完备的管理流程,为信息安全建设与运行提供组织保障。信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织IT运行维护人员信息安全技能培训,较快形成基本的信息安全运行能力。风险评估能力建设是指通过建立风险评估规范及实施团队,提高信息安全风险自评估能力和风险管理能力,强化保障体系的有效性。
信息安全控制类项目涉及信息安全制度与标准完善、基础设施安全配置规范开发、应用系统安全合规性实施3个项目。信息安全制度与标准完善包括:① 初步构建了制度和标准体系,了《信息系统安全管理办法》及系统定级实施办法。② 建立和完善了信息系统安全管理员制度,开展了信息安全培训。③ 跟踪国家信息安全等级保护政策,开展信息系统安全测评方法研究等,规范了信息系统安全管理流程,提升安全运行能力。基础设施安全配置规范开发目标是制定满足安全域和等级保护要求的信息技术基础设施安全配置规范,提高信息技术基础设施的安全防护能力。应用系统安全合规性实施是提供专业的信息安全指导与服务,支持国家等级保护、中国石油内部控制等制度的实施,使信息化建设与应用满足合规性要求。
信息安全技术类项目由身份管理与认证、网络安全域实施、桌面安全管理、系统灾难恢复、信息安全运行中心5个项目组成。身份管理与认证是指建成集中身份管理与统一认证平台,实现关键和重要系统的用户身份认证,提高用户身份管理效率,保证系统访问的安全性。网络安全域包括广域网边界防护、广域网域间与数据中心防护、广域网域内防护3项内容。广域网边界防护是指将全国各地的中国石油单位的互联网集中统一到16个区域网络中心,员工受控访问互联网资源,并最终实现实名制上网。广域网域间与数据中心防护项目指建立。区域间访问与防护标准、数据中心防护标准。广域网域内防护将分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准。桌面安全管理项目包括防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等级保护综合管理6个子系统。系统灾难恢复包括:① 对数据中心机房进行了风险评估,提出了风险防范和改进措施。② 对已上线的18个信息系统进行业务影响分析,确定了灾难恢复关键指标。③ 制定整体的灾备策略和灾难恢复系统方案。信息安全运行中心旨在形成安全监控信息汇总枢纽和信息安全事件协调处理中心,提高对信息安全事件的预警和响应能力。
5 存在问题及建议
中国石油作为国资委超大型企业和能源工业龙头企业,集团领导和各级领导,一贯重视信息安全工作,在落实等级保护制度,加强信息安全基础设施建设,深入开展信息安全战略、策略研究等方面,都取得的丰硕成果,值得其他企业借鉴。公司在信息安全保障体系建设中还存在以下问题:
(1) 信息安全组织体系不够健全,不能较好地落实安全管理责任制。目前,部分二级单位没有独立的信息部门,更没有负责安全体系建设、运行和管理的专职机构,安全的组织保障职能分散在各个部门,兼职安全管理员有责无权的现象普遍存在,制约了中国石油信息安全保障体系建设的发展。需强制建立从上至下完善的管理体系,明确直属二级单位的信息部门建设,岗位设定、人员配备满足对信息系统管理的需求。
安全保障管理策略范文5
(1)一直以来,人们对档案信息的安全采用的手段太过技术化。
档案安全保障体系的构建不仅包括安全技术(加密技术、防毒杀毒技术、入侵检测、数据备份以及身份认证等),更应该包括安全管理以及安全法律法规等。按照相关部门的数据显示,在几乎所有的信息安全事故中,管理方面的原因多达70%以上,而这些管理方面的安全问题本来都是可以避免的。
(2)有关数字档案信息管理的软件和硬件设备还不够完善。
把文件存在一个地方,需要先建立一个文件存储库,对于数字化的信息而言,同样也需要专门建立一个管理环境和管理设施,用计算机和光盘等存储设施来保存电子档案信息,从而可以通过网络,达到数据的传递和流通。尽管用计算机和光盘来存储数字档案信息极为便捷,一个很小的光盘能够容纳的数据远不是纸质的文件可以做到的,然而相比于纸质文档,计算机和光盘更为脆弱,如果不加妥善管理,很容易给计算机和光盘带来破坏性影响,从而导致数字档案信息的丢失。
(3)缺乏相应的评估体系。
我国的档案信息安全保障体系没有确切地提出其中的构成和目标,以至于在档案信息系统的建立后,仍然无法确定自己所用的网络及应用系统是不是已经符合安全标准,是否还存在安全漏洞,是否会造成极大的危害。因此,档案信息系统的使用者及其安全构建者一定要就风险评估标准达成一致协议,按照风险评估体系来决定采取何种相应的策略。
(4)有关档案信息管理的法律条例还不是很完善。
近几年以来,尽管我国陆续颁布了一些有关数字档案信息安全保障体系的法律条例,然而这些法律条例很多都较为落后,无法最大限度地满足档案信息安全保障体系的需求。而且,在落实相关法律法规的过程中还出现了很多问题,譬如对于那些故意破坏数字档案信息,或者泄露机密信息的违法分子的惩罚不够严厉,无法充分地震慑住非法分子。
(5)相关工作人员对数字档案信息的安全问题认识不足。
有一部分工作人员心存侥幸,不能充分地认识到信息安全的重要性,所以系统往往处于不设防的状态,对密码的设置太过马虎和简单,经常关闭防火墙,数据不能及时做好备份,以至于对信息安全问题构成了极大地威胁。
2构建数字档案信息保障体系的策略
(1)重视数字档案信息物理环境的安全问题。
随着现代信息和科技广泛地应用于档案管理工作,档案信息的保存方式也发生了极大地变化。目前,已从单纯的纸质储存方式变为纸质储存与磁盘和光盘储存并用的方式,这有利于提高档案的使用效率。因此,相关工作人员一定要创造有利于数字档案信息存储的良好环境,尽量远离磁场,避免静电的干扰,避开腐蚀性气体和液体,及时发现问题和解决问题。此外,对于重要的档案信息,一定要做好备份工作。
(2)重视数字档案信息的软件环境和硬件环境的安全问题。
构造数字信息的保障体系,一定要高度重视数字档案信息软件环境和硬件环境的安全问题,在抵制外界入侵数字档案信息系统时,可以采用加密技术、开启防火墙等安全手段。利用防火墙过滤数据包,可以有效地阻挡非法分子对于数字档案信息的入侵。
(3)重视对数字档案信息的法制建设。
制订数字档案信息安全法,可以为数字档案信息安全运行提供有力的保证,按照法律条文的规定来管理数字档案,为档案信息行为主体的活动提供法律保障,从而规范各自的行为,避免在无意中对档案信息产生伤害。此外,对于那些故意损坏或窃取数字档案信息等非法行为,可以从心理上对其产生震慑作用。
(4)从技术的角度加强对数字档案信息的安全管理。
在档案信息数字化管理的进程中,技术既可以提高档案信息的使用效率,同时也可以损害和破坏档案信息。因此,必须以数据安全技术、网络安全技术和真实性保障技术作为根基,最大限度提高数字档案信息安全保障的技术水平。
3结束语
安全保障管理策略范文6
各种企业随着信息技术的进步,对信息系统的依赖程度越来越高,针对企业的安全威胁的日益增多,国家各种规章制度相继出台,但显然不能涵盖企业信息安全的全部,所以企业不应只是被动地接受国家有关部门评测、定级,而应该参照等级保护制度的有关规定,把等级保护的思想贯穿到企业自身实践,建设满足各方要求的信息安全保障体系。
那么,什么样的信息安全保障体系才是有效的,满足要求的?笔者认为,应从思想观念、理论依据、体系设计和系统应用几方面予以创新。
“淡化边界,因人制宜”新观念
传统上,我们谈到信息安全时,首先考虑的就是网络边界防护,也就是通过防火墙、VPN、安全网关等技术把自己的信息隔离在一个相对封闭的区域里,好比在信息周围筑起了一道高高的围墙。
而在大量同外界共享应用系统和信息的今天,保护信息本身比建一堵围墙重要得多,也有效得多。
同时,由于信息是流动的,只有在流动中才能发挥其作用,过高的围墙阻止了信息的流动,从而也就限制了信息作用的发挥。这一点正如盖茨所讲,“人们建起了更宽的护城河和更厚的城墙,但很多人却忘记在君主打开城门走出城堡时保护他――这恰恰是一个公司最重要的资产。”因此,必须转变利用“高垒墙深挖壕”的方法保护信息的传统观念,将传统的网络边界概念模糊化。
笔者认为,利用划分边界的思想来保护信息安全,是把信息安全当作城堡,把信息当作城堡里的人,这样设计的信息安全系统只能是粗粒度的,不能将安全防护贯穿到信息本身;事实上,真正要保护的对象是城堡里的人,而拥有城堡的是城堡的主人,因此需要因人制宜,设定重点保护对象,而不是一视同仁。
信息安全同样如此,要根据信息的重要性分门别类予以保护,这样设计的信息安全系统才是细粒度的、有针对性的。等级保护就是把信息资产分为不同等级,根据信息资产不同的重要性,采取不同的措施进行防护。
它的出发点就是要突出重点,分级负责,分层实施,是对信息安全细粒度划分的体现,打破了传统信息安全保护“一刀切”的做法。在当今信息价值的时效性越来越突出的情况下,企业需要广泛、快速地同外界交换信息,通过信息的流动创造价值,因此,在企业信息安全保障体系建设中,从观念上,绝不可建造一堵自我封闭的“墙”,而应该淡化网络边界、强化信息重要性,实施分级分类保护策略。
构建整体防护体系
信息安全的木桶理论是指导安全实践的一个代表性理论,该理论认为,信息安全的防护强度取决于“木桶”中最短的那块“木板”。以这个理论为基础,必然导致安全管理实践上的诸多不足:发现病毒危害大,就买最好的反病毒软件;发现边界不安全,就安装最强的防火墙等等。
这其实是一种头痛医头,脚痛医脚的做法,治标不治本,所以实施后,安全问题还是很多,有人曾形象地形容其结果是“洞照开,虫照跑,毒照染”。从根上分析木桶理论,可以发现,该理论有一个自然的假设,即信息安全是用于保护信息的“桶”,而信息则是被保护的“水”。此理论将信息和信息安全割裂开了,其必然结果是信息安全实践中只注重堆积安全技术,而忽视要保护的对象――信息。
事实上,信息安全和信息绝不是桶和水的关系,而是紧密结合在一起的有机体,信息安全依存于信息和信息系统之中。要做好整体信息安全,不能孤立地去研究信息安全技术,而应该将信息、信息系统、信息安全技术作为一个整体考虑,只有这样,信息安全建设才不至于走偏。
从理论上研究如何将信息和信息安全整体考虑,可引入管理学中的层次化思想和满意决策理论。在管理学中,把组织按层次结构分成三层,即宏观决策,中观运营,微观操作。从微观到中观是一个协调管理的过程,从中观到宏观是一个总体监控的过程,从宏观到中观是一个全局指导的过程,从中观到微观是一个控制和配置的过程。此观点用于信息安全建设,强调各种安全产品的统一管理和控制,各种信息资源的统一整合,各种技术手段的统一部署与应用。笔者认为,信息安全是让信息拥有者或使用者到达主观上感到不受威胁、损失的状态,这种状态本质上是信息安全达到事先设定的满意度的状态,即最优、最彻底的信息安全是不现实的,而主观上不受威胁、感到满意的状态则是任何企业都可以判断和把握的。
因此,企业在选择指导安全建设的理论时,要抛开寻找最短“木板”的理论思维,制定合理的、满意的安全规划,才能使得信息安全建设具有实际意义。不同企业,由于其规模、重要性、影响面不同,其信息安全级别也是不相同的,因此不能将一个企业的信息安全防护措施全盘照搬到另一个企业,只有根据不同企业的实际情况,制定层次化、满意的安全策略,才是合适、有效的。
管理、技术并重的设计
回顾信息安全的发展历程,安全管理发端于安全技术。最早的安全就是以加密技术为核心的数据保密,伴随着防病毒、防火墙、入侵检测等主要安全技术的发展,出现了安全设备的广泛应用和部署,但是人们发现,如果安全设备的部署杂乱无章,缺乏管理,必然存在很多漏洞,这便造成了黑客、蠕虫、病毒的泛滥。也就是说,并不是安全技术和安全产品的种类、数量越多越好,技术只是一方面,必要的管理不但可以节省不必要的投资,而且可以让安全防御更加彻底。从信息安全的发展不难看出,安全技术是信息安全的工具,安全管理则是利用工具保障信息安全的手段,在设计信息安全保障体系时,只有把这些工具合理应用到信息流动的各个环节,寻求整体的信息安全保障,才有理想的信息安全。
那么,如何将管理和技术有机结合起来呢?可以借用知识管理思想。知识管理理论是知识经济时代的产物,其关键要素是人、过程、技术和知识,其本质是寻求将信息技术所提供的对数据和信息的处理能力以及人的发明创造能力这两方面进行有机的结合。
从信息安全保障本身看,信息安全的三要素中安全保障措施与人,过程,技术相关;其中,人是安全保障措施的首要因素,也是安全管理的中心,只有利用安全技术,将人的知识应用到信息资产保护的过程中,才能达到满意的、整体的安全。所以,在进行信息安全体系设计时,应贯穿知识管理的人和技术、人和管理过程相结合的思想。以上面层次化思想及知识管理理论为基础,笔者给出如图所示的信息安全保障框架。
图1 基于层次化思想和知识管理理论的信息安全保障框架
上述安全保障框架以安全技术为基础,以统一策略、统一管理、整体联动为导向,以相关标准和法规为依据,既充分利用技术,又强调整体分析和宏观决策,最终形成决策层面宏观分析,运营层面统一运营、统一管理,技术层面积极部署,可靠运行的整体保障思路,贯穿了技术与管理并重的设计思想。
实现应用的互动与创新
如前所述,信息安全要让信息拥有者或使用者到达满意的状态。要达到这种状态,则一方面需要知道威胁的存在及来源,即可知;另一方面还要识别相应的威胁程度并在此基础上采取相应的动作去消除不安全,即可识。上述保障框架的安全事件监控就是一个探知安全威胁的过程,风险评估和管理则是一个识别安全威胁、消除安全隐患的过程,也就是说,信息安全管理过程是一个可知识化的过程,是知识管理思想在信息安全领域的延伸。从根本上分析信息安全管理过程,其主要遵循了知识创新的螺旋式上升规律。
在螺旋上升过程中,不断要将外界的显性安全知识转化为组织内的隐性知识加以利用,通过标准化的文档管理、知识库管理,再将隐性知识显性化,遵循SECI模型的知识创新循环。因此,为使信息安全建设富有成效,应在实际应用过程中不断吸收新的技术、知识,转化为组织知识,这样的安全系统才有动态性、持久性。
毫无疑问,企业的信息安全应围绕业务导向和驱动而设计、部署和运行,同时应保障业务的顺利开展,自然地,信息安全与业务形成了一个螺旋上升的环。
在具体应用中,通过整合知识管理各过程到系统中,实现对安全资源的有效整合、对不同信息的分级分类保护,从而降低威胁的复杂性、易变性和不可见性的影响,提高安全保障的能力,实现一致性、灵活性和可视性;通过对安全资源的集中管理,隔离底层技术复杂性和异构性,形成一种层次化的安全管理思路。
