前言:中文期刊网精心挑选了敏感信息安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
敏感信息安全范文1
【关键词】保密意识 审计信息安全
审计信息是审计人员在工作中运用一定的技术、方法、手段,收集加工提炼整理的业务信息,是反映和体现审计工作成果的重要载体,主要包括审计工作信息和审计项目信息,涉及银行敏感信息及经营决策管理的商业秘密。审计人员泄密风险如影随形,无时不在,审计信息保密事关银行信息安全和审计声誉。因此,审计人员肩负审计数据及信息安全的重任,牢固树立保密意识、严格履行保密职责、执行保密纪律是每个审计人员义不容辞的责任。
一、审计信息渠道
审计信息主要来源于审计管理系统及平台信息和审计业务信息收集两个方面:
第一,审计管理系统及平台信息是审计人员在实施审计项目、进行审计管理的过程中,通过审计应用系统及平台获取审计业务操作与管理的业务和数据信息,包括非现场审计系统(OAS系统)信息、审计管理信息系统(AMIS系统)信息、审计知识库系统信息、任期经济责任审计信息资料库信息、总审计室信息平台等信息。
第二,审计业务信息是审计项目和日常审计工作中由各级机构提供的业务信息以及审计项目信息。业务信息包括审计机构审计计划、审计研究成果、被审计机构经营计划及业务指标、客户及其账户信息、业务管理信息等,以及通过Notes邮箱、办公自动化系统(OA系统)、档案管理信息系统等收集整理的各类业务信息。审计项目信息包括审计方案、审计报告、审计模型、审计证据、审计工作底稿,以及审计过程中通过会计档案管理系统、UAAP统一报表平台、对公信贷业务流程系统(CLPM系统)、个人信贷管理系统(A+P系统)、信贷管理系统(CMISII系统)、ODSB二期及ERPF报表查询等收集加工整理的各类信息。
二、主要问题和风险
(一)审计信息未集中管理,存在泄密的潜在风险隐患
便携式计算机是审计人员的必备工具,其中存储大量重要信息,实施审计项目按照审计方案要求分组开展,审计现场点多面广,审计资料不便于集中,审计人员注重信息资料使用忽视保密管理,对敏感及信息未经加密处理采取保密措施,形成审计信息安全隐患。一是项目实施过程中审计信息处于分散失控状态,缺乏安全管理;二是审计项目结束后,由于未明确和指定专人负责归集审计项目信息,致使审计人员未及时清理、归集移除审计项目电子信息资料,长久滞留审计人员计算机中将可能导致审计信息流失和泄密。
(二)计算机上网导致审计信息失密,造成损失形成银行声誉风险
计算机上网成为信息泄露的主要途径,计算机使用无线键盘或鼠标上网、移动存储介质与联网计算机交叉使用将会导致失泄密。一是审计人员因工作需要,有时通过互联网传送或下载工作信息,或上网查询信贷客户企业注册登记等信息,如果客户敏感信息被不法分子截获并利用,给客户带来不利影响的同时,将会导致银行声誉风险的严重后果。二是审计人员使用的计算机、U盘等磁介质若不采取保密措施,未经加密在互联网上传输行内重要数据或信息,被窃密者运用技术软件窃取,无意中将泄露银行敏感信息或商业秘密,给银行造成无可估量的损失。
(三)审计管理系统用户认证安全机制低、对客户敏感信息访问无控制
由于非现场审计系统对相关敏感数据字段未能加密,在审计项目实施过程中,审计人员登录系统可任意查询导出相关的信息及数据,存在敏感信息和商业秘密泄漏的风险。
三、审计信息安全管理措施
第一,健全制度,落实责任。为加强审计信息安全保密,对于计算机设备使用管理、审计管理系统运行管理及数据信息安全保密管理,制定信息安全管理制度,明确责任,落实保密职责。
第二,加强安全保密培训和教育,筑牢审计人员的安全和风险意识。一是要警钟长鸣,加强警示教育,做到防患于未然。二是建立信息安全的长效机制,将审计信息安全保密作为审计人员培训教育的重要内容,使之深刻认识安全无小事,牢记“失之毫厘、谬以千里”道理,始终绷紧安全保密意识的弦,严守保密纪律,自觉履行保密职责。
第三,加强审计系统用户管理,严格用户操作权限,禁止将用户口令及UKEY转借他人使用。在未开展审计项目阶段限制非现场审计系统操作用户,使用系统必须经过申请批准,以防止敏感信息泄露。搭建开放的非现场审计系统学习培训环境,提供审计人员用于学习操作非现场系统。
第四,利用管理信息平台FTP服务器对审计重要信息进行管理,实现远程资源共享,审计人员可查询相关工作信息,本机不再保存敏感信息和数据,切实防范便携机或移动硬盘存储审计信息失泄密的风险隐患。
第五,落实安全管理责任,签订《审计岗位人员保密协议》,强化保密意识,约束审计信息保密行为。
第六,加强计算机管理,严防信息失泄密。设置屏幕保护的时间和密码,确保在长时间不使用计算机时对屏幕上和系统内的敏感信息进行安全保护。计算机做到专机专用,与互联网物理隔离,禁止通过电子邮箱或互联网传输及重要工作信息,避免移动存储介质交叉使用。
第七,应用技术手段加强信息安全管理,审计条线全员推广使用Windows7(企业版)操作系统,应用全盘加密(BitLocker)功能,能够有效降低因设备物理丢失导致的审计信息泄露风险,有助于加强审计信息安全管理。
敏感信息安全范文2
关键词 信息;安全;意识
中图分类号:TP309 文献标识码:A 文章编号:1671―7597(2013)021-132-02
1 信息安全意识的重要性
信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源,也是企业财产和个人隐私等的重要载体。与此同时,信息安全的重要性也越加凸显:从最高层次来讲,信息安全关系到国家的安全;对组织机构来说,信息安全关系到正常运作和持续发展;就个人而言,信息安全是保护个人隐私和财产的必然要求。无论是个人、企业还是国家,保持关键的信息资产的安全性都是非常重要的。
据统计,世界上每分钟就有2个企业因为信息安全问题倒闭,而在所有的信息安全事故中,只有20%-30%是因为黑客入侵或其他外部原因造成的,70%-80%是由于内部员工的疏忽或有意泄露造成的;同时78%的企业数据泄露是来自内部员工的不规范操作。
因此企业员工信息安全意识的提升对企业整体信息安全起着至关重要的作用。
2 企业员工信息安全意识现状
根据《2011年度中国企业员工信息安全意识现状调研报告》中,企业员工在信息安全意识方面存在的20大问题如下:
1)有56.8%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的抽屉物品保管行为。
2)拥有胸卡的受访者中,接近半数的人曾经外借过胸卡。与2010年的调查数据相比,经常外借胸卡的比例有所上升。
3)在去陌生环境出差时,51.4%的受访者不会主动了解自己工作或居住场所的紧急通道位置或楼层结构图,48.6%的受访者会去主动了解。主动了解的比例比2010年的调查结果略有上升,但情况依然不算乐观。
4)36.6%的受访者会在办公桌面放密级资料。
5)52.9%的受访者表示自己所在企业的打印机附近有合同、通知等重要资料不及时回收,可以让人任意看。
6)37.4%的人选择会直接或者询问下就让尾随的外部人员直接进入办公场所。
7)选择数字+字母+符号+大小写这种相对最为完全的口令/密码设置规则的人所占比例仅为25.4%。
8)仅有30%受访者对敏感数据会进行分类和加密。
9)65%的受访者电脑中数据不做备份或者不定期做备份。
10)接近50%的受访者表示所在单位不会马上对密级资料进行粉碎处理。
11)接近50%的受访者选择不安全的设置电脑屏保、密码方式。
12)有33%的受访者会在电脑桌面存放密级资料。
13)39.2%的受访者暂时离开电脑不会锁屏。
14)当收到熟悉发件人发送的自动播放flas或邮件内部嵌入的网页时,59.2%的人会看动画、下载动画、浏览网页或点击网页链接。
15)1%的受访者会点击网页上吸引自己的链接。
16)4%的受访者遇到过恶意插件、病毒攻击,还有19.2%的受访者不确定自己是否遇到过。
17) 64.2%的受访者不知道公司的信息安全策略的相关规定。
18)52.7%的受访者遇到信息安全事件,不知道如何处理、自己处理或者找同事帮忙处理。
19)46.7%的受访者不知道自己接触信息的密级程度。
20)49.4%的受访者认为领导的信息安全意识一般、很差或者还不如自己。
3 信息安全案例分析
3.1 案例一
中国电力财务有限公司商业秘密泄露事件。(来源于:《国网公司信息安全通报》(2010年第1期))
事件经过:2009年12月初,国家电监会通报中国电力财务有限公司某员工使用的计算机中涉及公司商业秘密文件资料泄露。经查,该员工将20余份资料(其中包括公司商业秘密文件)存入非公司转配的个人移动存储介质并带回家中,利用连接互联网的计算机对该移动存储介质操作,由于其家中计算机存在空口令且未安装安全补丁,感染了特洛伊木马病毒,使存于移动存储介质的文件信息泄密。
暴露的问题:该事件暴露出虽然公司三令五申,严格“不上网、上网不”的纪律,但是部分员工缺乏保护商业秘密与工作资料的意识,违反公司“严禁在连接互联网的计算机和移动存储介质上处理、存储涉及企业秘密信息”的要求,利用非公司转配的个人移动存储介质保存商业秘密信息,并违规接入互联网,而直接造成信息外泄事件。
3.2 案例二
上海世博会供电敏感信息泄露事件。(来源于:《国网公司信息安全通报(2010年第2期)》)
事件经过:2010年春节前夕,国网公司接国家安全部所属中国信息安全测评中心通报,发现涉及上海世博会的世博园区供电方案、保障方案、场馆变电站建筑结构图、电气主接线图以及相关敏感资料和信息等泄露。经查,此次信息安全事件是由于信息外网邮箱处理敏感资料所致,涉及上海公司生技、营销、世博办等有关管理和技术人员。
暴露出的问题:1)本次事件是上海公司少数员工信息安全意识淡薄,缺乏保护公司商业密码和重要时期安全保电方案的意识,违背“不上网、上网不”的纪律和公司“严禁在信息外网和互联网上处理、存储涉及企业秘密和工作信息”的要求,在信息外网邮箱存储敏感资料,且通过信息外网邮箱和社会共用邮箱向互联网发送邮件而造成的信息泄密事件。2)上海公司部分信息外网邮件用户采用初始弱口令,未执行《国家电网公司信息系统口令管理暂行规定》中口令强度要求与定期更换的规定,未采取有效措施修改弱口令。相关技术督查队伍未及时发现隐患并督促相应单位和人员采取防范措施,是该事件发送的又一原因。
3.3 案例分析
以上两件发生在国网公司系统内的信息安全事件案例,在暴露出的问题分析中首要的都提到了:“员工信息安全意识淡薄”,可见引起信息安全事件的首要原因都是安全意识问题。
4 各层面人员应具备的信息安全意识
技术人员、一般管理人、普通员工、企业领导四类人应具有的以下方面的信息安全意识。
4.1 技术人员要有主动出击、提前防范的意识
专业技术人员首先要提升自身的信息安全防范意识,不能只像普通员工一样,只考虑自己不发生信息安全事件就行,技术人员要有更强的责任心,主动承担起企业信息安全防护工作,不要只是被动的接收领导或上级单位分配的任务,要主动对信息系统及基础设施进行隐患排查、查缺补漏,要主动承担起宣传、教育普通员工的职责,普及信息安全知识,提升企业全员信息安全意识,为企业信息安全提前做好防范工作。
4.2 管理人员要有及时补救、亡羊补牢的意识
当发生信息安全事件时,管理人员首先应该做的是及时补救事件造成的危害,将信息安全事件的损失和危害降低到最小。其次应当客观分析事件发生的原因,是人为的错误要及时纠正,是系统的漏洞要及时封堵,是设备的缺陷要及时消缺,是别人的责任要及时教育,不要推卸责任、置之不理,要谨记亡羊补牢,为时不晚。
4.3 普通员工要有不越雷池、不触红线的意识
普通员工虽然不能掌握信息安全技术,但必须有较强的信息安全意识,要将信息安全与生产安全同样看待,要牢记公司在信息安全方面的规定和要求,密码一定要用强的,一机一定不能两用,信息一定不能上网,上网信息一定不能,不要对触犯信息安全红线抱有侥幸心理,不要越入信息安全的雷池半步。
4.4 企业领导要有关心信息、重视安全的意识
企业领导对信息安全的重视程度,是决定企业信息安全状况的主要因素。高层领导重视,中层领导必重视;中层领导重视,员工意识必提升。技术人员信息安全意识的提升在于企业领导的引导,普通员工信息安全意识的提升在于企业领导严明的制度和考核的力度。要想让技术人员有主动出击、提前防范,及时补救、亡羊补牢的意识,企业领导就必须关心信息专业、重视信息安全,为技术人员提供良好的发展空间。要想让普通员工要有不越雷池、不触红线的意识,企业领导就要有不敢让其越雷池、触红线的手段。
5 提升信息安全意识的方法及措施
1)制作信息安全意识手册、信息安全意识动画短片、信息安全画册、信息安全意识鼠标垫、信息安全意识海报、展板等信息安全意识产品。持之以恒地开展信息安全意识培训工作。通过这些产品,把信息安全意识的宣贯渗透到员工的生活中去,打造全方位、立体化的信息安全意识宣贯方式。
2)开展形式多样的信息安全知识竞赛活动,例如开展信息安全网上答题活动、组织现场知识竞赛活动,通过活跃的竞赛气氛,激发员工学习信息安全知识的热情,提升员工信息安全意识。
3)企业领导要高度重视信息安全,加大对信息安全事件的考核力度。
参考文献
[1]北京谷安天下科技有限公司,2011年度中国企业员工信息安全意识现状调研报告[M].
[2]国网公司信息安全通报[M].2010,1.
[3]国网公司信息安全通报[M].2010,2期.
敏感信息安全范文3
【关键词】网络会计;信息安全;风险分析
引言
近几年来,随着信息技术的迅速发展,计算机网络系统的应用普及到社会的各行各业,建立在计算机网络上的各类经济信息管理系统也得到广泛运用。特别是由于经济信息量的猛增,财务会计信息的需求也越来越大,为满足大量的会计信息需求,会计信息也不可避免要借助网络来传递和共享,使得电算会计面临又一次变改,网络会计成为必然。但由于计算机及其网络本身固有的脆弱性,给信息管理系统的安全带来了潜在的危险,这种安全表现在计算机病毒严重威胁,以及利用计算机进行以窃取金钱和物资为目的的犯罪活动,在很多企事业单位财务会计信息泄密问题频频发生,这使现代财务信息系统的安全面临十分严峻的形势。面对关系企业财经重要信息的数据,怎样确保其安全稳定是值得思考和分析的问题。
1.会计信息安全风险分析概述
1.1 会计信息安全概念
国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”。作为一种特殊的新信息,我国对会计信息安全还没有统一的定义。更多的资料认为,会计信息的安全是指会计信息具有完整性、可用性、保密性和可靠性的状态,它来自于会计数据的完整和会计数据的安全[1]。
会计数据的完整是指与损坏和丢失会计数据的相对状态,它通常指会计数据表明的会计信息是可靠的、可用的。而会计数据的安全是指会计数据在载体介质上不会被窃取或损坏的状态[2]。
网络会计的信息安全其核心是网络的安全。根据国家计算机安全规范,计算机的安全大致包括三类:(1)实体安全,包括机房、线路、主机等;(2)网络与信息安全,包括网络的畅通、准确以及网上信息的安全;(3)应用安全,包括程序开发运行、I/O、数据库等的安全,因此在网络会计信息中,网络安全是第一位。
1.2 风险分析
风险通常是指由于当事者主观上不能控制的一些因素的影响,使得实际结果与当事者的事先估计有较大的背离而带来可能的经济损失[2]。这些背离产生的原因,一方面当事者对有关因素和未来情况缺乏足够情报而无法作出精确估计,另一方面是由于考虑的因素不够全面而造成预期效果与实际效果之间的差异。进行风险分析,有助于确定有关因素的变化对决策的影响程度,有助于确定方案对某一特定因素变动的敏感性。若一种因素在一定范围内发生变化,但对决策没有引起很大影响,则所采取的决策对这种因素是不敏感的;若一个因素的大小稍有变化就会引起投资决策的较大变动,则决策对这一因素便是高度敏感的。了解在给定条件下的风险对这些因素的敏感程度,有助于正确地作出决策。
风险分析是找出行动方案的不确定性(主观上无法控制)因素,分析其环境状况和对方案的敏感程度;估计有关数据,包括行动方案的费用,在不同情况下得到的收益以及不确定性因素各种机遇的概率,计算各种风险情况下的经济效应;作出正确判断,等等。
2.会计信息风险分析
目前,在研究现有基于网络的会计信息系统和信息安全理论的基础上,提出网络环境下会计信息的安全策略会计信息风险管理对策,对网络环境下会计信息安全的研究可以丰富和拓展现有会计信息安全理论方面的研究很多。那么在现行网络环境下会计信息安全到底存在哪些风险,这些风险又是怎样产生的呢?这是本文研究的主要问题。
按照会计信息安全事故类型将风险分为两大类,即基于计算机介质本身的风险以及会计信息的特殊性的风险。具体讲基于计算机介质本身的风险指计算机硬件及软件风险、网络使用风险、计算机病毒三类,会计信息特殊的风险指计算机犯罪、应用和管理风险两类,下面将具体进行分析。
2.1 管理风险
当前,我国虽然也建立了一定的计算机安全管理制度,但尚未形成一套完整的安全体系,但一直以来会计电算化信息系统的建设的安全设计方面很多就缺乏总体考虑和统一规划部署,各会计使用单位根据自己的理解进行规划建设,技术要求不规范,随着网络技术的不断向前推进,网络环境的会计信息就更谈不上安全管理体系,因此风险问题也就越加严重,具体来来讲从两个方面来分析。
2.1.1 管理人员自身素质风险
作为任何一名财务管理人员来讲,基本的财经制度、会计基本职业道德均能牢记,但他们在实际工作中,恰恰本身又是一个不容忽视的问题,由于各行各业的会计工作人员中,素质上的差异对系统的安全是一种威胁。无论系统本身有多完备的防护措施,这都是防不胜防的问题,也是会计信息安全中的最大的风险。
一方面,外来攻击者一般通过各种方式和各种渠道可以取得会计信息,如信息文档的存放、稿件的处理流程等环节中。攻击者不需花费一点气力,也不必用太高明的手法就可以取得其所需要的会计信息。如果管理人员在各方面都加紧防范,就可以杜绝不少漏洞。另一方面,还有许多系统遭人为入侵的主要原因是因为它们过份依赖用户的口令。由于口令不便于记忆,用户通常选择跟自己有关的数字为密码,使保密性通常比较低。有部分管理人员为求方便,将自己的口令告诉他人,使口令失去了保密工作的重要的意义。再一方面,有的管理人员或其它人员不按操作规程或不经合法授权就上机操作,不经易地改变了计算机执行路径,也会对会计信息安全造成的一定的危害。
敏感信息安全范文4
电子渠道系统信息安全建设的总体目标是:根据系统的整体信息安全需求,通过信息安全管理、技术防护和服务保障三个体系的建设,确保基础网络和信息系统的安全稳定运行,防范重大信息安全事件的发生,在信息安全事件发生后,能及时响应、协同处置、有效恢复。以保障电子渠道系统的安全可靠运行与有效的应用,满足业务的可持续性和可靠性要求。
中国联通电子渠道系统信息安全体系由组织管理体系,技术防护体系,服务保障体系等三个方面组成。
(1)信息安全组织管理体系包括:组织机构;制度与规范;安全策略;应急处置预案。
(2)信息安全技术防护体系包括:物理安全;网络安全防护分系统;计算机安全防护分系统;信任体系分系统;应用安全模型;安全监控管理平台分系统;数据备份分系统。
(3)信息安全服务保障体系包括:系统开发管理;系统运维管理;应急处置;工程监理;安全评估。
应用安全:主要包括身份鉴别方式、访问控制、安全审计、剩余信息保护、通信完整性保护、通信保密性保护等方面。
身份鉴别
应对登录业务信息系统的用户进行身份标识和鉴别;
采取必要措施,防止鉴别信息在网络传输过程中被窃听;
应具有登录失败处理功能。
访问控制
业务信息系统应具有访问控制的功能,依据安全策略控制用户对客体的访问;访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;业务信息系统的访问控制的主体应达到用户级可以为每个用户进行权限设置,客体为文件、数据库表、业务功能模块、EJB方法等等;业务信息系统应具有相对独立的权限管理模块,设置用户、服务器对系统功能操作和对数据访问的权限;应根据安全属性允许或拒绝用户的登录;采用最小授权原则,分别授予不同用户各自为完成自己承担任务所需的最小权限,并在它们之间形成相互制约的关系。
安全审计
业务信息系统应具备一定的安全审计功能,能对业务信息系统中的关键流程、数据进行审计;安全审计应覆盖到应用系统的每个用户或程序;安全审计应记录应用系统重要的安全相关事件,包括重要用户行为、系统资源的异常使用和重要系统功能的执行等;安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;安全审计应可以根据记录数据进行分析,并生成审计报表;安全审计应可以对特定事件,提供指定方式的实时报警;审计进程应受到保护;审计记录应受到保护;将审计信息提交信息安全监控管理分系统。
通信安全
能对业务信息系统的客户端-服务端的通信进行保护;当通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话,并释放所占用的资源;在通信过程中,应对敏感信息进行保护。
剩余信息保护
剩余信息防护对用户或程序退出时的资源释放进行规范;应保证用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除;应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除;用户退出,应及时释放系统资源。
数据安全:主要包括数据传输、数据处理、数据交换和数据存储过程中的数据完整性和一致、数据机密性、数据备份与恢复等方面。
数据传输的安全
应能检测数据在传输过程中的完整性和一致性,必要时要具备恢复措施;对敏感信息的传输要采取必要的措施,实现数据传输的机密性。
数据处理的安全
应能检测数据在处理过程中的完整性和一致性,必要时要具备恢复措施;对敏感信息的处理要采取必要的措施,保证敏感信息不要长时间驻留系统中。
数据交换的安全
数据交换要采用专用协议;对要交换的数据进行完整性和一致性保护;对敏感信息的交换要采取加密措施。
数据存储的安全
对数据库各类管理员(备份管理员、恢复管理员、系统管理员等)的权限进行划分;对关键数据进行完整性保护;对敏感数据采取加密存储;制定备份数据的存储策略。
安全建设流程:电子渠道信息系统安全防护建设的工作流程主要包括需求调研、安全需求、方案评审、系统建设、安全测评、系统验收、运行维护、系统检测和增强等内容。电子渠道信息系统安全防护建设的工作流程如下图所示。
需求调研
通过了解系统的功能需求、性能需求,结合等级保护要求,明确系统的安全需求。了解的内容包括系统框架、功能需求和性能需求、网络架构、数据量及数据流程等。
安全需求
依据公安部《信息安全等级保护管理办法》与《信息系统安全保护等级定级指南》,通过对业务信息系统安全需求进行调研和分析,确定相应的信息安全建设要求。
方案评审
根据《信息系统安全等级保护基本要求》,结合业务信息系统的实际情况,明确各业务信息系统信息安全的建设内容和建设方案。组织专家对建设方案进行论证评审。
系统建设
在建设期间,各业务信息系统指定安全监理,实时跟进承建方的建设进度,了解建设情况,确保工程按时保质完成。
安全测评和渗透测试
系统建设完成后,邀请专业的测评机构对系统进行安全测评,评判系统是否达到《信息系统安全等级保护基本要求》中对应安全等级的技术要求。
在安全测评的同时,委托专业机构,对各业务信息系统进行逆向的渗透检测,全面检测业务信息系统的抗攻击能力。
系统验收
各业务信息系统经过安全测评和渗透测试后,由电子渠道部组织专家对系统进行验收。对系统测评和验收过程中出现的信息安全问题,进行安全加固或采取补救措施,重新进行测评和验收。
运行维护和系统增强
对运行中的信息系统,定期进行安全测评和渗透测试,及时发现和修补系统的安全隐患和漏洞。出现大范围的安全问题需要整改时,进行进一步规划和建设。
敏感信息安全范文5
1.1来自医院内部的信息系统安全威胁
一个是来自工作人员的威胁,例如有的工作人员胡乱操作系统,访问来源不明的网站,将感染有病毒的U盘插入接入医院信息系统的计算机,在不具有权限的情况下,采用欺骗或是技术手段访问医院信息系统数据库等等,都会给医院的信息系统带来安全问题;另一个是设备软硬件故障,医院信息系统需要7*24小时不间断运行,例如存储设备故障、网络系统故障、服务器故障等,都会对信息系统的运行效率与安全造成威胁。
1.2来自医院外部的信息系统安全威胁
来自医院外部的信息系统安全威胁主要是指黑客的攻击,病毒、木马的入侵等等,这可能会导致医院信息系统崩溃,患者的病历资料信息被窃取、篡改等等。
2数字化时代下医院信息安全建设措施
医院信息安全的建设,应当分为两个层面进行,一个是管理层面的建设措施,另一个是技术层面的建设措施。
2.1管理措施
第一,提高医院整体对信息安全的重视力度。加强宣传,让每个工作人员都知道在当前的数字化时代下,医院临床工作的开展,各部门、各系统的管理,患者信息资料的存储、查阅、分析,都必须要依靠信息系统,如果出现了信息安全问题,就会对整个医院系统造成影响,降低医院运转效率,还可能会导致患者的隐私泄露,使患者对医院的可靠性产生质疑,不利于医院的发展。同时,还要加强对所有医务人员的信息安全培训教育,让他们熟练掌握相关的信息安全技术技巧,防止由于操作方面的失误,对信息系统安全造成威胁。第二,健全完善信息系统安全管理制度。要针对医院信息系统的特点,制定总体安全方针与安全策略,将医院信息安全的基本原则、范围、目标明确下来,对管理人员或操作人员执行的日常管理操作建立操作规程,并在实践中总结经验,针对信息系统操作应用中所遇到的实际情况,不断完善规程,以制度化的途径推进医院信息安全建设。第三,推行信息安全等级保护。医院应结合自身信息系统的特点,以国家颁布的信息安全等级保护相关文件为标准,逐步开展信息安全等级保护工作。建设过程中要优先保护重要信息系统,优先满足重点信息安全的需求。在重点建设的基础上,全面推行医院信息安全等级保护的实施。对于新建、改建、扩建的信息系统,严格按照信息安全等级保护的管理规范和技术标准进行规划设计、建设施工.要通过建立管理制度,落实管理措施,完善保护设施这一系列举措,形成信息安全技术防护体系与管理体系,有效保障医院信息系统安全。医院在信息安全等级保护建设工作中应科学规划,严格以国家相关标准为依据,遵循自主保护、重点保护、同步建设、动态调整等基本原则,稳步地开展信息安全等级建设。第四,完善信息安全应急预案。为提高医院信息系统的安全稳定运行和处置突发事件的能力,最大程度地预防和减少因为信息系统突发事件使医院正常工作中断而造成的严重后果,保障信息系统对医疗系统的平稳支撑,需根据实际情况不断完善应急预案管理制度。
2.2技术措施
第一,改善环境安全。在信息安全等级保护规定中,机房属于物理部分,每个医院都有一个或数个用于存放主要信息系统硬件设备的机房,是医院信息系统的核心物理区域。信息系统的安全在很大程度上受着机房环境条件的影响,因此必须要通过加强环境安全建设,来确保信息系统的安全。机房的建设规划最好是采用“异地双机房模式”,并且要避免将机房安置在地下室或建筑高层,机房隔壁或上层最好不要有大型的供水、用水设备,且要具有良好的防水能力、防震能力。为确保信息系统的持续高效运转,应当配备不间断的冗余电源,机房室内安装可调节空气温度与湿度的设备,在进出和主要的区域安装摄像头,基本的防火、防盗保护要做到位。第二,加强设备安全管理。设备安全包括服务器、交换机、存储、终端主机等设备的安全。医院信息系统中的重要设备需尽可能的采用冗余方式配置,以提高系统的稳定性。同时服务器应严格限制默认账户的访问权限。及时删除多余的、过期的账户,避免共享账户的存在。依据安全策略严格控制用户对有敏感标记重要信息资源的操作,启用访问控制功能,依据安全策略控制用户对资源的访问。根据管理用户的角色分配权限,实现管理用户的权限分离。另外,所有服务器均需开启全部安全审核策略,所有数据库开启C2审核跟踪,同时安装主机入侵防御系统及最新操作系统补丁。服务器还应安装统一的防病毒软件。在终端主机方面,利用桌面管理软件对设备接口进行管理和控制,例如USB接口管理,禁止外来移动存储随意接入电脑,防止病毒感染。终端电脑除了及时安装系统补丁和更新防病毒软件外,还需加强密码复杂度和开启账户锁定策略。人员离开后,一定时间内自动退出和锁定。第三,严防网络威胁。在现代网络的作用下,不论是医院内部各科室、各部门,还是医院外部的任何机构单位,都可以进行高效率的沟通交流与信息共享,这在很大程度上提高了医院的业务处理能力。但由于目前的网络缺少强有力的监管,所以有大量的不安全因素活跃在网络中,例如上面所提到的病毒、木马以及黑客等,这对医院的信息安全造成了极大的威胁。所以,医院应当建立信息系统网络安全访问路径,采用路由控制的方式,来确保客户端与服务器之间的安全连接。对不同医疗部门根据工作职能、重要程度和信息敏感性等要素划分不同的网段,并对不同网段按照重要程度划分安全域,对信息敏感、重要性程度高的网段,应进行IP与MAC绑定,避免遭到ARP欺骗攻击。在信息系统的网络边界,应当安装防火墙,部署入侵检测系统,对蠕虫攻击、缓冲区溢出攻击、木马攻击、端口扫描等恶意操作进行监测,将攻击发生的时间、类型以及攻击源IP等信息详细的记录下来,提供给网络安全部门。第四,保障数据安全。在医院的信息系统当中,存储着大量的数据,这些数据既包括患者的个人隐私资料,也包括医院自身运转所需的各种基础信息,这些信息的准确性对临床工作的开展来说,具有非常大的影响。为了保障信息系统的数据安全,数据库管理账户的登录方式应当设置为KEY+口令的方式,且口令的设置要负责、随机,并且要定时更换。不同岗位对数据库的访问权限应当进行合理的划分,仅需要确保人员能够获得开展工作所需的数据即可。采用数据库审计设备对各个账户的行为进行监控、记录,如果发现有违规操作,应当及时通报并查明原因。为了确保信息系统数据的可用性与完整性,在传输医疗数据的时候,必须要进行完整性检测,如果发现数据破坏,应重新传输数据或是进行数据修复。所有的数据信息都应当进行定时备份,最好是异地备份,防止数据库服务器受到外力破坏,例如水淹、火烧,导致原始数据和备份数据一同丢失。
3结语
敏感信息安全范文6
大数据时代信息安全面临挑战
在大数据时代,无处不在的智能终端、随时在线的网络传输、互动频繁的社交网络使得互联网时时刻刻都在产生着海量的数据。随着产生、存储、分析的数据量越来越大,在这些海量数据背后隐藏着大量的经济与政治利益。大数据如同一把双刃剑,在我们享受大数据分析带来的精准信息的同时,其所带来的安全问题也开始成为企业的隐患。
1、黑客更显著的攻击目标:在网络空间里,大数据是更容易被“发现”的大目标。一方面,大数据意味着海量的数据,也意味着更复杂、更敏感的数据,这些数据会吸引更多的潜在攻击者。另一方面,数据的大量汇集,使得黑客成功攻击一次就能获得更多数据,无形中降低了黑客的攻击成本,增加了其“收益率”。
2、隐私泄露风险增加:大量数据的汇集不可避免地加大了用户隐私泄露的风险。一方面,数据集中存储增加了泄露风险,而这些数据不被滥用,也成为人身安全的一部分。另一方面,一些敏感数据的所有权和使用权并没有明确界定,很多基于大数据的分析都未考虑到其中涉及的个体隐私问题。
3、威胁现有的存储和防护措施:大数据存储带来新的安全问题。数据大集中的后果是复杂多样的数据存储在一起,很可能会出现将某些生产数据放在经营数据存储位置的情况,致使企业安全管理不合规。大数据的大小也影响到安全控制措施能否正确运行。安全防护手段的更新升级速度无法跟上数据量非线性增长的步伐,就会暴露大数据安全防护的漏洞。
4、大数据技术成为黑客的攻击手段:在企业用数据挖掘和数据分析等大数据技术获取商业价值的同时,黑客也在利用这些大数据技术向企业发起攻击。黑客会最大限度地收集更多有用信息,比如社交网络、邮件、微博、电子商务、电话和家庭住址等信息,大数据分析使黑客的攻击更加精准。此外,大数据也为黑客发起攻击提供了更多机会。黑客利用大数据发起僵尸网络攻击,可能会同时控制上百万台傀儡机并发起攻击。
5、成为高级可持续攻击的载体:传统的检测是基于单个时间点进行的基于威胁特征的实时匹配检测,而高级可持续攻击(APT)是一个实施过程,无法被实时检测。此外,由于大数据的价值低密度特性,使得安全分析工具很难聚焦在价值点上,黑客可以将攻击隐藏在大数据中,给安全服务提供商的分析制造很大困难。黑客设置的任何一个会误导安全厂商目标信息提取和检索的攻击,都会导致安全监测偏离应有方向。
6、信息安全产业面临变革:大数据的到来也为信息安全产业的发展带来了新的契机,还没有意识到这场变革的安全厂商将在这场变革大潮中被抛弃。大数据正在为安全分析提供新的可能性,在未来的安全架构体系中,通过大数据智能分析有效的将原来分割的安全产品更好的融合起来,成为不同的安全智能节点,这将是在大数据时代安全产业需要研究突破的重点。
RSA信息安全智能分析平台解析
日前,EMC信息安全事业部RSA宣布推出了RSA信息安全智能分析平台,该平台基于RSA NetWitness成熟的技术架构,并将SIEM、网络取证(Network Forensics)和大数据分析技术进行了融合,为信息安全专业人员提供了深度可视性,帮助他们察看和了解安全漏洞及安全攻击,使安全风险一出现就能被发现,因此显著节省了时间,将查找时间从几天缩短为几分钟。另外,通过帮助信息安全专业人员了解起源于企业内部及外部的数字风险,企业还能更好地保护自己的资产,包括知识产权以及其他敏感数据,同时节省与安全威胁管理及法规遵从报告有关的时间和费用。
RSA信息安全智能分析平台特性:
数据快速捕获与分析:与信息安全相关的数据,包括通过网络传送的完整数据包、日志和安全威胁情报,都能快速捕获和分析,以加速对潜在安全威胁的检测。
强大的分析能力:实现比基于SIEM的传统安全方法大得多的数据采集规模,而且新的分析方法具有更强大的分析能力。
集成了应对安全威胁的智能性:帮助企业实现安全威胁情报供给的可操作性,以加速对指向企业的、潜在攻击工具及方法的检测和查找。
安全威胁的背景信息:通过与RSA Archer GRC平台以及与RSA防数据丢失(DLP)套件的集成,还通过融合其他产品产生的数据,分析人员可以利用业务背景信息,为造成最大风险的安全威胁优先分配资源。
恶意软件识别:该解决方案利用各种查找方法识别基于恶意软件的攻击,识别范围大得多。
法规遵从报告自动化:通过良好的信息安全实践,帮助实现法规遵从性。
成熟的大数据平台及分析方法与信息安全工具相集成,使信息安全保障方式取得了极大的进步。正如所开发的那样,RSA信息安全智能分析平台整合了无与伦比的可视性,可利用大数据平台及先进的分析方法,识别高风险活动、降低高级安全威胁风险并满足法规遵从要求。
大数据安全未来趋势展望
据MacDonald预测,到2016年,40%的企业(银行、保险、医药和国防行业为主)将积极地对至少10TB数据进行分析,以找出潜在危险的活动。然而,供应商的产品格局却无法在短期内进行转变。现在,企业通常依赖于SIEM系统来关联和分析安全相关的数据,MacDonald表示目前的SIEM产品无法处理这么大的工作量,大多数SIEM产品提供接近实时数据,但只能处理规范化数据,还有些SIEM产品能够处理大量原始交易数据,但无法提供实时情报信息。
Gartner公司分析师表示,使用“大数据”来提高企业信息安全不完全是炒作,这在未来几年内这将成为现实。大数据将为安全团队带来新的工作方式,通过了解大数据的优势、制定切合实际的目标以及利用现有安全技术的优势,安全管理人员将会发现他们在大数据进行的投资是值得的。
