前言:中文期刊网精心挑选了个人信息安全管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
个人信息安全管理范文1
【关键词】电子商务;信息安全;安全管理体系
1.调查方法和对象
1.1调查对象
本次调查对象的选择采取随机选取的方式。
1.2调查方法
通过对调查问卷的填写和反馈,实现调查目的。
1.3调查时间
2014年9月1日至9月30日。
1.4调查范围
本次调查问卷的发放和回收,主要采取两种方式。一种是实地调查,在人群密集处随机发放纸质调查问卷,请调查对象现场填写和反馈。另一种是利用网络调查平台,和回收调查问卷。两种调查方式相结合,使本次调查达到了覆盖范围较广,形式多样的效果。同时以不记名方式填答,保证了答卷结果的真实性。
本次调查发放调查问卷1000份,去除无效问卷146份,共回收有效问卷854份,回收率为85.4%。调查问卷回收后,对相关数据进行详细地统计和汇总,并做出分析。
2.调查数据分析
本次调查主要包含三个内容:一是公众对个人信息及其安全的认识;二是公众对电子商务及其安全的认识;三是公众对电子商务中信息安全的态度。
2.1公众对个人信息及其安全的认识方面
在公众对个人信息安全的关注度上,“一般关注”所占比例略高于“非常关注”,两者所占比例均达到40%以上,“不关注”所占比例很小。调查情况与“非常关注”比例应高于“一般关注”的理想状态相比,存在一定差距。在获取他人个人信息的渠道方面,“各种业务的办理”所占比例最高,其次是“自愿告知”、“聊天交友”。这说明公众透露自己的个人信息大多是出于实际需要或个人意愿,“自愿告知”和“聊天交友”所占比例均高于理想状态。这说明调查对象对个人信息安全普遍有较为充分和准确的认识,对待个人信息的基本态度是正确的,但对个人信息安全的关注还没有达到应有的高度。主要表现为大部分人对个人信息安全的关注程度不够高,还有相当一部分个人信息是主动泄露的。因此,为提高公众对个人信息安全的认识,有必要借助各类媒体进行宣传教育,提高公众对个人信息的重视程度,增强保护意识,防止因主观原因造成的信息泄漏。
2.2公众对电子商务及其安全的认识方面
与实体交易相比,在对电子商务的信任程度上,调查对象表示“一般信任”的接近80%,“非常信任”和“非常不信任”的比例相当,在10%左右;在电子商务的安全性的考虑上,大部分调查对象“比较关注”,但也有相当一部分调查对象表示“一般不会考虑”。以上结果表明,公众对目前的电子商务安全状况还不是十分满意,只是基本接受。有相当一部分调查对象“一般不会考虑”电子商务的安全性说明,公众在信息技术方面普遍存在知识欠缺的情况,对电子商务安全性的认识不足,容易造成盲目信赖或跟风。在使用电子商务时会否考虑采取安全措施方面,“经常采取”的所比例最大,接近40%,其次是“一般不会采取”的接近30%,“必须采取”和“没考虑过”的分别占20%和10%左右。这说明,公众有意愿采取安全措施,抵御电子商务中存在的安全风险,但是,实际采取的比例并不高。这主要受限于公众的信息技术素养和能力不足,还有相当一部分人有意愿采取安全措施,但自己又缺乏这方面的能力,只能坐以待毙。这组数据表明在电子商务及其安全性上:一方面,无论电子商务的安全现状,还是公众对电子商务安全问题的认知,都存在很大的不足。另一方面,公众对电子商务及其安全性的认识还处于初级阶段,现在还比较幼稚,但正在不断成熟、发展,具有一定的改善趋势。
2.3对电子商务中信息安全的态度方面
针对第三个内容的调查结果显示,虽然超过70%的调查对象表面对电子商务中信息安全现状“基本满意”,但是,与此同时,认为“大部分已经泄漏,安全感明显降低”和“不是很多,还可以接受”的比例都超过了25%。这表明,电子商务中信息安全的现状不容乐观。大多数调查对象表示基本满意,并不能说明电子商务中信息安全现状真的可以满足实际需求,而是因为现状长期得不到改善,致使公众对这一问题的关注陷入麻木状态。所以,我国电子商务中的信息安全问题不容小视,个人信息的安全保障水平亟待提高,而单方面的改善是难以见效的。公众对提高电子商务信息安全水平的要求是迫切的,并且已经采取了相应的措施,但这些是远远不够的,要保障电子商务中个人信息的安全,必须采取多种措施,齐抓共管,国家、企业和个人共同努力,构建信息安全管理体系,才能全面消除安全隐患,建立一个健康安全的电子商务环境。
2.4改进建议
本次调查最后一题采取了开放式的答题模式,收集到了一部分公众对电子商务信息安全方面提出的建议。这些建议主要集中在:提高用户安全意识和能力;建立健全法律法规,完善规章制度;加强对从业机构和人员的管理和培训;提高安全保障技术水平四个方面上。通过本次调查,可以进一步总结出应对各种安全风险的有效措施,并提高措施的可行性和有效性。
2.5调查评价
为提高调查的效度[1],本次调查采用了网络调查和实际调查两种调查方式,提高了抽取样本的随机性。网络调查的对象主要是经常上网的人群,而实际调查由于调查时间、地点和方式的不同,则具有更大的随机性。
为提高调查的信度[1],本次调查抽取了的足够多的调查样本。大量的调查对象,扩大了调查的人群覆盖面;网络调查方式有效的避免了实地调查的地理局限性,而实地调查克服了网络调查真实度低的问题,二者相互弥补。
3.构建电子商务信息安全管理体系
基于问卷调查所得数据,有必要构建电子商务信息安全管理体系。信息安全管理体系是以实现全面保障电子商务中信息的安全为目标,通过完善政策法规和监督机制,配置精良设备,掌握核心技术,增加安全投入,强化培训和准入,配备精干力量,提高公众的自我保护能力等各种措施配合与协调,构建全方位高层次的保障体系,从根本上提高信息的安全管理水平。该体系可大体分为技术和管理两个方面。
3.1技术方面
3.1.1反病毒和安全扫描技术
通过病毒查杀和实时防御,可以及时清除已存在的病毒并防止新病毒植入,防止病毒对数据的破坏和窃取。安全扫描可以发现软件中存在的漏洞和“后门”程序,通过添加补丁,防止漏洞和“后门”程序被恶意利用,危及信息安全。
3.1.2防火墙和入侵检测技术
防火墙是软件和硬件的结合体,能根据安全策略对进出网络的数据行为及其流向实行控制,并保留日志,进行审计。入侵检测技术实时监控数据传输状况,并对数据访问请求进行甄别,能够及时拒绝、中断、抵御可疑的访问和传输行为。
3.1.3身份识别技术
密码作为使用最方便也最普遍的身份识别技术得到极为广泛地使用。为了加强身份识别技术的可靠性,密码常与生物技术、物理令牌等识别方式联合使用。[2]
3.1.4访问控制技术
主要用于控制用户、进程、计算机等对主体对系统资源或个人信息的访问。访问控制可以防止非法用户的入侵和合法用户的非法行为,有效防止信息被非法访问、窃取或篡改。
3.1.5数据加密技术
数据加密技术是在安全工程领域对数学知识的应用,达到对明文进行伪装处理,输出密文的作用。这样即使数据被窃取,非法入侵者得到的也只是一堆杂乱无章的无用信息。数据加密技术在使用中应以适用、高效为原则,选择功能适当、操作简便的,可以单独使用一种加密技术,也可以多种技术结合使用。
3.1.6设备及数据备份技术
设备备份为计算机及网络系统的关键设备配备冗余和备份,数据备份为重要数据提供备份,并具有恢复重要数据的功能。
3.1.7日志和审计
日志用于实时记录系统的主要运转情况,审计是在事后对日志进行分析研究。根据日志和审计报告,可以及时发现系统的异常状况,甄别可疑事件和可疑行为,并作出警报或采取必要的抵御措施。[3]
3.1.8推广使用国产软硬件
一是安全可控。国产产品是我国自主研发的成果,制造维护过程完全符合国家的相关安全标准,消除了“后门”程序、植入代码的危险。二是国产产品充分考虑我国国情,更适应我国电力供应状况及技术人员操作习惯,后期维护和保障水平高等。
3.2管理方面
3.2.1完善法律法规及相关政策
通过进一步完善立法,加强执法,提高制度的适用性和可操作性,健全监督机制,发展社会监督,才能促进信息安全工作的进步。也可借鉴他国经验,引入第三方评测机构,对收集和保有个人信息的企业的安全管理水平进行测评,为政府执法提供可靠依据,规范企业的信息保护行为。
3.2.2增加安全投入
企业在安全管理方面的支出要占到总支出的8%以上才能达到设备齐全,人员充足,制度规范的管理状态。大中型网站有必要配备专职安全工程师和隐私工程师,人员数量由网站的规模和访问流量决定。 [4]小型网站则可以将安全工作外包,由专业安全企业对网站的安全事务进行管理。
3.2.3强化培训和准入
对安全管理人才的培养,可以借鉴网络工程师及软件工程师的认证方式。同时,由于安全管理不同于其他技术工作,其对专业要求的强制性更高,标准更严,因此有必要借鉴会计从业的相关规定,采取准入制度,并打破职业资格终身制,定期对从业人员进行再教育和资格考核。
3.2.4提高自我保护能力
一方面,政府和电子商务企业,有责任和义务利用媒体等多种渠道开展宣传,使公众认识到信息安全的重要性。另一方面,要提高公众的信息技术素养和对个人信息的保护能力。一是指导公众掌握辨别不安全网站的基本方法,识别和抵御网络钓鱼、身份伪装、恶意传播病毒等不法行为;二是帮助公众掌握必要的安全保障手段,如安装杀毒软件、定期查杀病毒漏洞、维护计算机系统等,以保护信息存储和运行环境的安全。
【参考文献】
[1]Floyd J.Fowler.Improving Survey Questions:Design And Evaluation[M].USA: Sage Publications,Inc,1995:5.
[2]Ross Anderson.SecurityEngineering:AGuide to Building Dependable Distributed Systems,Second Edition[M].UK:John Wiley & Sons,Inc,2012:23.
个人信息安全管理范文2
2013年中国网民遇到的各种安全问题的整体发生率如图1所示。与2012年相比,2013年个人信息泄漏的比例有大幅的上升。从上图也可看出,虽然个人信息泄漏被作为一个单独项进行统计,但排在前三位的安全事件也是由个人信息的泄漏造成的。所以,综合来看,个人的信息泄漏事件不容小觑。在这些事件的背后我们看到的是人员信息安全意识的缺失,企业信息安全管理的不足。为了帮助企业和个人提高信息安全意识水平,2012年底某IT企业了《2012年度中国企业员工信息安全意识调查报告》,经过对被调查企业的管理层人员及普通员工的大量数据分析和统计,参与本次接受调查访问者的信息安全意识评价平均得分为77.48分。其中,受访者在移动存储介质安全方面的得分最高,为96.1分;在社会工程学信息安全方面的得分最低,为49.6分。因此,中国企业的信息安全意识依然有较大的提升空间。很多企业为保障企业数据信息安全,不惜花巨资投资购进防火墙、入侵检测、防病毒等网络安全产品。然而,企业内的安全事件远比管理者的预想更为复杂、更为宽泛,人员的误操作或无作为也会使这些工具失去其应有的作用。只有提高人员的安全意识和技能,才能真正使企业的信息安全设备发挥应有的作用。
2目前企业人员的信息安全管理主要存在的问题
(1)全体工作人员的信息安全意识不高;
(2)信息安全专业人员数量较少,工作流程不清晰;
(3)信息安全岗位职责划分模糊;
(4)管理层不重视;
(5)信息安全管理工作缺乏有效的考核和监管机制。上述几个问题看似不会影响正常的企业运作,但长期持续则会给企业的信息安全带来巨大的隐患,存在较高的风险。有调查显示,企业的信息泄漏事件70%-80%都由内部人员造成。对于一些关系国计民生的企业,如电力、通信等,企业的信息一旦泄漏,将会产生巨大的社会影响,同时也会给企业造成巨大的损失。但是我们仍然可以通过对知悉或掌握企业核心资产和数据的人员加强信息安全管理与监督,来提高信息安全整体水平。
3加强人员信息安全管理的具体措施
对于企业人员的安全管理措施有很多,国内外的相关标准中都有相应的描述,如《萨班斯法案》《信息安全技术信息系统安全管理要求》ISO27000系列等,不同的标准要求亦有不同,但总体来说不外乎以下几点。
(1)加强人员的信息安全保密意识与责任。任何企业的信息安全与保密都离不开人,信息安全每个步骤的操作与执行都是由人来完成与实现的。如果企业内相关人员的信息安全与保密意识薄弱,不小心造成某些敏感信息泄露,则比其他安全不足问题导致的损失更大。因此必须要不断对相关岗位人员的信息安全意识、责任和职业道德进行培训、指导与监督。
(2)管理层重视。企业人员的信息安全管理是管理层的职责,所有的措施和方法都需要得到管理层的支持才能实施,否则再完美的方法也是毫无意义的。随着各类信息安全事件的曝光,信息泄漏事件的频发,特别是国家推行信息系统的等级保护政策以后,越来越多的管理层开始重视信息安全问题。
(3)明确本单位的核心信息安全资产。我们要对企业的核心信息安全资产加强保护,即主要是对企业内部最核心的信息资产进行有效的保护,这对企业的信息安全尤为重要且非常有效。任何一个企业的资源都有限,信息安全工作相对于业务工作的投入来说一定较小一些,因此对核心的信息资产保护才是企业真正关心的内容和工作。核心信息资产主要指价值比较高,一旦泄露可能会对企业造成比较大损失的资产,如企业的重要或敏感数据、存有重要敏感数据的纸质和电子类的载体等企业的核心资产。明确核心资产信息安全也是对人员进行职责划分的基础。
(4)清楚划分人员职责,严格进行权限分离。人员职责和权限对应组织的信息资产,一定程度上也决定了该人员在组织中的安全地位,职责不明确往往导致人员的无作为或误操作,很多的信息安全隐患无法消除。如果明确了单位的核心资产,而人员的职责划分不清晰,那也等于是无用功。很多单位由于信息安全人员数量有限,存在一人多岗的情况,很多核心的敏感的信息或功能掌握在一个人的手中,这就使得某个人或某几个人的权限过大,导致内部舞弊的风险增加。因此,首先要明确本单位需要设置的信息技术类岗位,并设置相应的人员,确保人员的配备遵循三权分离的原则,敏感的功能或较高的权限不能放在一个人手上,关键性的操作甚至需要多人同时在场,只有这样才能最大限度地避免人员的内部舞弊。
(5)严格选拔新进人员,考核在岗人员,审查离岗人员。选拔人员是人员信息安全管理的第一步,对人员进行严格的背景审查和技能考核是保障企业信息安全人员执业技能和职业道德的重要措施。重要敏感岗位的人员应尽量从内部进行选拔,避免直接任用外聘的人员;对于在岗的信息安全人员应定期进行考核和检查,保证所有的工作都按正常的操作规程执行,避免简化流程的事情发生;对于离岗的人员应与之签订相关的协议说明,并立即更换其所掌握的关键认证信息,避免由于人员的流失导致信息的泄漏。
(6)建立信息安全管理工作的日常监管和考核机制。信息安全管理执行的主体是人,人的操作难免会有失误或不当的地方,这些都是信息安全的风险隐患。所以应对人员的日常工作需建立考核和监管机制,对人员的日常安全管理工作进行监督并提前发现潜在风险,及时消除隐患,降低由于人员操作不当或恶意操作带来的信息安全风险。
4结语
个人信息安全管理范文3
关键词:个人计算机;信息安全;信息窃取;威胁隐患;防护措施
中图分类号:TP309文献标识码:A文章编号:16727800(2012)007014502
作者简介:董敏(1979-),女,山东潍坊人,潍坊职业学院实验师,研究方向为计算机科学与技术。
1个人计算机网络用户的隐私信息
个人计算机网络用户存储在计算机当中的个人隐私信息一般包括:①计算机中与用户隐私紧密相关的所有音、视频文件、图片、文档以及其它可能包含用户单位、工作相关信息的机密文件;②用户存储在计算机中的系统或网络应用程序的用户名和密码;③使用互联网时产生的浏览器历史记录、临时文件以及用户计算机当中的COOKIE文档;④计算机用户的网上银行用户名、登陆密码、支付密码、安全证书以及其它通过网上支付的用户名和密码;⑤计算机用户的最近操作痕迹,如最近打开过的文档及其最近的编辑记录,音、视频的播放记录,图片编辑软件最近的浏览记录及打开图片文件的记录等;⑥计算机用户上网的用户名和密码、IP地址、DNS地址和主机名等网络信息;⑦用户计算机操作系统的类型,主机的硬件信息,所安装的软件信息及系统中已启动的服务、端口,使用的安全措施、存在的安全漏洞等信息。
2个人私密信息被窃取的危害
每个人的生存和发展都需要拥有一定的私人空间,需要有一个固定的空间存放内心不希望轻易透露给外界和他人的信息,如个人的具体身份信息、生活习性、兴趣喜好和社会经历等。这些信息不光关系到个人的声誉,影响社会及他人对自己的客观评价,还关系到个人日常社交活动的开展及正常稳定生活状态的维持。个人信息一旦泄露,极易造成个人隐私被曝光、日常生活被骚扰等不良后果,严重时还可能发生财产遭窃、个人形象及名誉受到诋毁与侵害等情况。
对于从事保密工作或的人员而言,考虑到工作性质的特殊性,个人信息泄露的后果则更不堪设想。黑客一旦窃取了这些敏感信息,就能有机可趁,以此为突破口深加利用,制造出一系列问题,甚至导致恶性泄密事件的发生。具体来说,被黑客窃取信息可能导致以下几个方面的安全隐患:①计算机用户的IP地址遭泄露,该机成为黑客攻击的重点目标的可能性增大;②电话号码、生日、年龄等个人信息泄露,黑客破解计算机用户许多重要密码的线索增多,破解成功的几率增大;③社会关系、职业身份等信息泄露,黑客成功实施网络诈骗的可能性增大;④私人生活录像、照片等信息泄露,导致用户更多深层隐私信息被挖掘曝光。
以上列举的仅是几种典型的可能情况,用以说明个人计算机信息泄露可能带来的潜在危害。在实际生活中,黑客窃取、利用个人信息的手法多种多样、变化多端、层出不穷,许多甚至被划分为高智商罪犯的作案手段,可谓是令人防不胜防。
3计算机信息安全隐患的根源
3.1计算机系统的安全漏洞
随着计算机软件系统的规模不断壮大,程序开发员的任意一个小疏忽,系统软件自身的复杂性,都可能导致所设计出的软件系统存在缺陷,留下漏洞,将有漏洞的计算机接入互联网无异于开门揖盗,给计算机系统安全留下巨大隐患,因而计算机系统的安全漏洞是信息系统安全隐患的主要根源之一。
3.2病毒与木马的危害
网络病毒继承了传统病毒破坏性大的特点,另外还具有网络特性,它的传播途径更广、速度更快、危害更大。主要类型有宏病毒、网页脚本病毒、蠕虫病毒等。计算机系统所存在的网络缺陷、漏洞,都可能使计算机病毒见缝插针,有机可趁,入侵计算机致使计算机系统瘫痪,严重破坏程序、数据;占用网络资源,降低网络速率与使用效率;令许多功能无法正常使用。木马是一个独立运行的程序,一般由客户端与服务器端构成,服务器端常安装在受害者的计算机上,并经过注册成为“服务”,远程控制受害者的计算机,其危害性并不亚于病毒。
3.3黑客的攻击
黑客的恶意攻击可说是计算机网络面临的最大威胁,其使用网络上大肆传播的黑客程序,实现对他人计算机系统的攻击。黑客攻击不管是哪种类型,主动或被动,都可能对计算机网络造成极大破坏,并可能导致机密数据信息泄露。
3.4信息泄露
信息泄露是指信息被泄露给未授权的实体,信息泄露的主要形式为窃听、接受、侧信道攻击、人员疏忽等。
3.5非授权访问
蓄意非法获取访问权限、篡改网页内容、窃取机密文件和数据、攻击办公室电脑等即是非授权访问的典型例子,它是对网络设备、信息资源进行非正常或是越权的使用。
3.6个人原因
人为无意失误、人为恶意攻击、人对计算机的管理方法等都可能造成信息安全问题,人的因素实质上是信息安全隐患的最主要因素。计算机的操作运行终归是受制于人的,人既是信息系统安全的主体,亦是系统安全管理的对象。
4个人计算机信息安全防护措施
4.1计算机信息安全管理层面的防护措施
保证信息的传输安全、使用安全和载体安全是信息安全管理的主要任务。它能使各种安全技术发挥出最大效用,实现安全策略的安全管理,是安全防护体系能够正常维持运行的保障。
(1)加强信息安全管理意识。安全是每个人的责任,应尽早强化信息安全意识,正是因为许多计算机用户欠缺基本网络信息安全常识,才使得黑客趁机侵入计算机。所以强化信息安全管理意识非常重要。
(2)加强计算机管理。强化计算机管理可采取建立多级安全层次、安全级别和分层管理;建立入网访问权限与控制;建立网络权限控制模块,分级计算机用户操作权限;建立信息加密制;设定网络服务器锁定控制、防火墙安装、登陆时间控制等措施,建立健全信息安全防护体系。
个人信息安全管理范文4
[关键词]电信运营商 客户信息 安全保护
对于电信运营商而言,保证其客户信息具有较高安全性,能够相应的提升自身的品牌价值,亦能够提高电信在行业内的核心竞争力。为此,电信运营商必须要明确其客户敏感信息,并且深入分析其客户信息安全保护当中存在的主要问题,由此方能够寻找针对性的有效措施予以积极应对,促使电信运营商获得更良好的发展。
一、客户敏感信息概述
客户敏感信息主要指一旦遭到泄露或者被修改,便会对个人信息主体造成严重不良影响的部分个人信息。各个行业的客户敏感信息,根据客户意愿、行业特点等存在相应差别。
二、电信运营商客户信息安全保护问题
1、敏感信息保护工作的重视程度缺失。虽然当前电信运营上已经认识到了客户信息安全存在威胁,但是却仍旧难以提高客户敏感信息保护工作的重视程度。可以说,虽然电信运营上在客户敏感信息安全保障方面已经作出了努力,但是却并不具有针对性,亦缺少完善的安全防护体系,难以解决其中存在的诸多安全隐患。主要表现为电信运营商在客户敏感信息保护当中的人员能力十分欠缺,其不能够对自身客户信息现状作出全面的了解,即便知道客户信息安全存在问题却难以明确问题的严重性。
2、敏感信息识别难。敏感信息的识别比较困难,主要原因在于电信运营商对客户敏感信息的具体分布并未清晰了解。虽然电信运营商能够进行文件加密、终端管控和账号管理,但是在客户敏感信息贯穿于整个运营商业务流的情况下,其原本所采用的,比较单一的信息安全防护措施并不能够起到良好的安全保障效果。同时,电信运营上当前并不能够对其所有业务流程当中所产生的客户敏感信息分布情况作出清晰的了解,难以作出系统性的、全面性的监控,因而难以识别业务流当中的敏感信息,亦难以发现敏感信息风险。
3、网络安全威胁。首先,在人们对信息安全越来越重视的情况下,IT建设却比较滞后,电信运营商对于客户敏感信息体系建设并不清晰,缺少充足的安全保障意识、人才支撑和技术保障。其次,IT网络的链接十分混乱,存在私搭乱建的现象,使得网络间的访问难以得到控制。随着互联网技术的发展,网络技术结构逐渐变得复杂,各个不同系统之间的关系十分混乱,接入访问需求时会出现越来越多的安全威胁,使得接入访问难以达到客户敏感信息安全规范需求。最后,由于客户敏感信息众多,必须要通过大数据进行分析。但是,大数据所需要分析的敏感信息存在信息量大,要求准确和变化快等特点,使得其对大数据分析具有了更高要求。
三、强化电信运营商客户信息安全保护效果的相关措施
3.1加强对客户敏感信息保护工作的重视
在此方面,电信运营商需要全面加强其对客户敏感信息保护工作的重视程度。首先,应该提升运维操作人员、技术人员等全体人员的信息安全保障意识,可以通过培训等弥补其安全意识以及技术方面存在的不足。其次,应该配备充足的专职安全岗位人员,明确各个岗位的职责,以便更加具有针对性的负责客户敏感信息保护。
3.2强化运营商对敏感信息的识别
电信运营商首先应该建立比较完善的客户信息安全管理系统,用以明确客户敏感信息安全管理责任和程序,有效的处理信息安全隐患。其次,应该对客户敏感信息分类作出明确,促使整个业务流当中各个业务所涉及到的客户敏感信息均能够被及时发现且纳入到信息安全管理系统中。通过全面的信息安全监控,及时发现信息安全风险,便于制定应对措施。据此,电信运营商将能够更加良好的加强客户敏感信息的安全保护,肩负起其不可推卸的信息安全保护社会责任。
3.3加强网络安全建设
个人信息安全管理范文5
关键词:吉林省城市居民信息安全素养文本挖掘
一、前言
大数据时代的到来在很大程度上便利了人们的生活,同时个人信息安全也面临严峻挑战。2018年个人信息安全问题再次纳入两会,如何加强个人信息安全和防范网络欺诈,成为两会代表们的热议话题。高速信息化带来的挑衅事件也屡次发生,让我们开始对自身个人信息安全素养进行反思。信息安全素养指人们在信息化条件下对信息安全的认识,以及针对信息安全所表现出的各种综合能力。信息安全素养的概念主要源自日常信息安全管理的需要,较大程度上受到信息安全意识概念的影响,同时与信息素养概念密切相关。信息安全素养内涵丰富,不仅包括信息安全意识,还包括后续各种防护能力、信息伦理道德和法律法规知识等内容。对此对吉林省60周岁以下的城市居民作出了一项有关个人信息安全素养的问卷调查。对其中个人信息安全状况、个人信息安全意识、个人信息安全知识及个人信息安全能力四个部分进行分析。同时针对吉林省城市居民进行个人信息安全问题的小组访谈和深度访谈,结果表明城市居民相对农村居民遇到问题较多,因此我们的研究对象定为吉林省城市居民。抽样方式以比例抽样、等距抽样、纯随机抽样相结合的方式科学地确定样本。此次调查的受访者主要分布于吉林省九个州市,其中受访者男女比例均衡,年龄以50岁以下为主,学历为大专或本科居多,职业中工人(含企业基层员工及农民工)和学生的较多,月收入多在3000~5000元。通过此次调查分析,探索吉林省城市居民在个人信息安全素养方面存在的问题,从而提出科学可行的建议。
二、吉林省个人信息安全素养分析
(一)个人信息安全状况
该部分整体情况不容乐观,我们调查了市民认为易导致信息泄露的行业、信息侵犯的方式、年龄与是否遇到个人信息安全问题,并做了相关的分析。结果表明受访者大多认为电子商务、房屋中介和物流行业这三个行业相对其他几个行业更容易导致信息泄露,这三个行业都具有数据量庞大、数据处理速度快和价值密度低的特点;受访者对自己的电话号码、社交账号这类信息不够重视,其中受“垃圾信息骚扰”的侵犯最多;在不同年龄段中,遇到个人信息安全问题的频率各不相同,其中50~60岁的受访者接触新鲜事物较少,风险相对较小。
(二)个人信息安全意识
该部分整体情况相对较好,我们调查了受访者接受相关教育的意愿与检查支付环境的问题、城市与受访者阅读用户协议的情况,并做了相关的分析。结果表明,教育意愿强烈的人安全意识较强,安全素养较高,并会在支付时注意网络环境;阅读用户协议方面,长春市、白城市和四平市的受访者阅读用户协议次数较多,但延边州的受访者几乎不阅读。长春市、白城市和四平市经济发展中等偏上,市民个人信息安全意识相对较好。具有良好的信息安全意识是保护个人信息的前提。
(三)个人信息安全知识
该部分整体情况一般,我们对知识宣传活动在不同城市分布情况、城市与受访者是否了解信息安全法律法规的问题进行了相关的分析。结果表明,各地区大部分都有个人信息安全的宣传活动,但宣传力度不大且宣传方式比较单一;在了解信息安全法律法规城市中,长春市、吉林市、四平市不了解相关法律政策的受访者与了解相关法律政策的受访者差值相对较小;白山市、白城市和延边州三者对比差值较大。结果说明经济、文化、技术发展相对落后的城市相关个人信息安全知识普及不够全面。同时受访者对“个人信息安全相关法律政策”的掌握程度较低,重视程度也最低。
(四)个人信息安全能力
该部分整体情况次于意识方面,我们对受访者收到垃圾邮件的处理方式、对相关法律了解情况、年龄与信息泄露后不知所措的问题做了相关的分析。结果表明,有60%的受访者会过滤垃圾邮件并定期删除;受到侵犯后选择法律诉讼的受访者认为法律途径更具有权威性,相反不选择法律诉讼的受访者可能由于法律政策不明确、不健全而放弃法律诉讼,可见健全相关法律法规尤为重要;而在处理问题中,年长的人由于阅历丰富,了解多种解决问题的途径,所以年长的人信息安全能力相比年轻人更强。
三、结论
(一)个人信息安全现状堪忧,垃圾信息骚扰最严重
在对受访者收到垃圾信息的问题调查分析中发现,大部分受访者收到过垃圾信息骚扰,其中有75%的人认为受到侵犯的频率较高。此外,大多数受访者认为电子商务是最容易泄露信息的行业。由于电子商务行业是以信息网络技术为手段,因此收集利用个人信息十分容易。
(二)个人信息安全意识相对较好,阅读用户协议意识欠缺
通过调查发现,延边州的受访者几乎不阅读用户协议,长春市受访者阅读用户协议次数较多,相对而言延边州的受访者对文字关注度较低。再者,经济发展相对较差的城市受访者个人信息安全意识较差。
(三)个人信息安全知识欠缺,对相关法律政策掌握不够
调查发现受访者普遍对个人信息安全的法律法规掌握程度较低,且受访者意见的集中程度很高。这可能与我国相关的法律法规有一定关系。现阶段《宪法》和其他法律尚未明确规定侵犯公民个人信息和隐私权的范围及其追究方式,导致个人信息经常被人倒卖或泄露而无法追究责任。
(四)个人信息安全能力薄弱,缺乏防范意识
在对个人信息安全能力调查分析时,分析结果显示,有72%的人较了解相关法律政策,但是没有选择法律诉讼,这很有可能是由于我国信息安全的法律政策不完善,没有专门针对个人信息安全的法律,使人们放弃此途径。
四、建议
我们利用GooSeeker软件,对微博、知乎及百度新闻等各大论坛中,网友对个人信息安全相关问题的看法进行数据采集,然后利用Python语言进行词频统计,绘制词云。词云图可以展示网民对个人信息安全的看法,其中,垃圾邮件、网站、企业、用户、密码、泄露出现频率最多,反映了我们个人信息安全在生活中的现状,结合分析词云我们提出相关建议。
(一)加强素质教育,信息安全教育势在必行
将个人信息安全素养引入教学势在必行。“高校是人才培养的高地和思想文化建设的重地”,个人信息安全素质的培养要从小抓起,培养高度的安全意识、守法的行为习惯、必备的防护技能。此外,在社会范围内举办网络攻防竞赛,宣传网络攻防原理,有助于人们明确木马、钓鱼网站的特点,更好地防范信息泄露。
(二)加大政府监管力度,提高行业自律能力
创建良好的个人信息安全环境,是培养个人信息安全素养的一个外界因素。吉林省各个地区的政府部门要加强监管,特别是白山市、白城市和辽源市,着重提高电子商务、房屋中介和酒店这三个行业的行业自律意识。政府要强化个人信息保护执法监管,完善相关部门职能,优化相关个人信息安全制度;行业要提高信息安全自律,建立监督机制,加强数据的管理。
(三)进一步构建和完善个人信息保护法制体系
完善的相关法律法规是保障个人信息安全的基础。因此,政府应尽快建立个人信息保护立法,结合中国当前个人信息保护体制现状,对个人信息的泄露和倒卖进行综合整治,尽快遏制这种势头。此外,可以联合行业用户和企业参与。企业作为信息安全的实践者,更了解市场现状,对政策的顺利实施将起重要的推动作用。
个人信息安全管理范文6
【关键词】计算机网络 信息安全 管理措施
信息就是在生产、生活等各个环节中所产生的各类资料、数据的总和,在计算机普及的大背景下,各类信息基本上都实现了数字化和网络化,即将各类信息存储在计算机网络当中,并且通过计算机网络进行储存、处理、传输等各种操作。由于网络的开放性和随机性,使得这些信息可能遭受到一些外力因素的影响,进而出现篡改、窃取、遗失、错漏等问题,给信息持有者和使用者造成不利影响。对此,必须结合当前实际情况,明确信息安全的类型和产生原因,对应做好信息安全管理。
1 信息安全
在新时期下,信息资源已经成为了一种非常重要的资源,是各行各业发展的根本基础。只有信息的安全得到保障,不被他人所掌握,才能保证自身的发展安全。而且在大数据时代,个人信息安全的问题也日渐突出,因为个人信息被泄露而导致的诈骗、不良债务等问题,给社会稳定造成了很大的危害。计算机网络信息安全因其数字化和网络化的特征,使得其安全问题产生的原因主要集中在硬件、软件和操作人员这三个方面。在硬件方面,组成计算机的各个部件以及构建网络的相关部件,都可能成为信息泄露的源头。尤其是移动优盘和移动智能设备使用频繁的情况下,由于这类硬件导致的信息泄露呈现出大幅上升的趋势。在软件方面,主要是计算机系统以及各种应用软件。当前在网络上各种应用软件都能够读取联系人、本机信息等隐藏功能,这些功能就会将用户的部分信息搜集起来,进而可能造成信息泄露。在操作人员方面,主要是计算机使用者存在一些不良习惯,进而导致产生信息安全风险。比如有的使用者可能被一些恶意广告吸引,点击广告之后就可能被其中隐藏的木马病毒所窃取信息。总的来说,造成信息安全问题的因素众多,因此需要针对性的进行管理,减少信息安全问题。
2 计算机网络信息安全管理措施
2.1 加强硬件保护
计算机硬件是造成信息安全的一大原因,因此需要对硬件做好保护,以便减少信息泄露的可能。首先,要对计算机本身的硬件做好保护,对于计算机的硬件设备要定期进行检查,查看其是否存在性能上的缺陷。若是硬件设备存在性能不足,则需对其进行及时更换,将性能更好的硬件设备运用到计算机当中。其次,要对网络设备硬件做好保护。网络硬件设备是连接网络的关键设备,其若是存在安全漏洞,也会导致信息安全风险。因此要选择质量可靠的网络设备。同时要设置好网络保护密码,避免他人入侵网络造成信息风险。最后,在使用移动硬件设备时,例如手机、平板电脑和优盘,需要注意设置密码,避免他人在无密码的情况下进入硬件设备获取相关信息资料。
2.2 做好软件防护
计算机软件是信息安全管理的重点,也是防止信息安全问题的主要渠道。首先,做好防火墙的设置。计算机防火墙可以应对来自外部的恶意攻击,因此对于存储有重要信息的计算机,一定要安装高性能的防火墙,消除外部攻击的影响。其次,要设置杀毒软件。病毒和木马是造成计算机信息泄露的一大原因,因此在计算机上需要安装一定的杀毒软件,比如360杀毒、卡巴斯基、小红伞等等。最后,要加强对计算机系统的完善与优化。在计算机使用过程中,会逐渐累积文件碎片、系统冗余等,这些累积过多会造成系统性能下降,甚至出现安全漏洞。所以,一方面,要选择性能好的操作系统应用到计算机中。另一方面要定期对计算机系统进行更新和打补丁,以此消除系统本身的漏洞,避免这些漏洞泄露信息资料。
2.3 做好加密保护
加密保护是保证信息安全的关键手段,目前常用的手段有数字签名技术、消息认证、口令认证等。要加强对信息安全的管理,就需要将这些加密和认证手段进行合理利用,提高信息安全保护效果。比如中国工商银行就有电子密码器这样一种信息加密模式,即利用手持密码器获取登录密码或是交易密码,这样就保证了密码的随机性和实时性,不会被窃取或是拦截,安全性很高。
2.4 规范操作行为
使用者操作不当也是导致信息安全的原因,因此要对其计算机操作行为予以规范。一方面,要养成良好的网络使用习惯,不进入一些非法网站或是恶意广告网站,减少接触信息危险的几率。另一方面,要定期清理过期文件,将其彻底粉碎。甚至可以定期重装系统,消除残留在系统中的各种信息,不给不法分子可乘之机。
2.5 加强入网访问的控制
一般来讲,入网访问控制对于用户账号、口令等需要进行严格的控制、口令、账号不要太短,最好是数字与字母相结合的形式,一定不要用自己的生日等常见的数字作为口令,要定时更新,来防止他人窃取。作为网络第一道口的入网访问制度,当前应用较为广泛,安全性较高的方法是USBKEY,解决了安全与易用之间的矛盾,采用软硬结合手段。它是一个硬件设备,用户并不需要存于内存,也不需要通过在网络上传播。因而极大的增加了网络安全,也增加了用户信息的安全性。
2.6 加强员工安全管理意识
加强信息安全意识的培训,是因为网络工作人员不仅是具要使用者,同时也信息安全的需求者。信息安全管理工作人员的作业内容有办公室自动化、操作及软件维修及系统安全分析等。所以,网络安全管理人员一定要强化安全意识,从而进一步提高企业信息的安全保障能力。
3 结束语
信息安全在互联网+时代需要得到重视,对其产生的原因进行分析,做好迎检和软件两个方面的防护工作,同时合理使用加密保护技术,规范操作者行为习惯,提高计算机网络信息安全水平。
参考文献
[1]史嘉林.计算机网络信息安全分析与管理[J].电脑开发与应用,2012(03):36-38+42.
[2]李t娟,王祥.计算机网络的信息安全分析及防护策略研究[J].信息安全与技术,2016(04):40-41+81.
[3]郭天艳.计算机网络信息安全分析与管理[J].网络安全技术与应用,2014(05):118-119.
作者简介
薄楠(1979-),女,辽宁省营口市人。大学本科学历,现为辽宁边防总队大连周水子边防检查站工程师,主要研究方向为计算机应用及网络安全等相关领域。