前言:中文期刊网精心挑选了网络安全存在问题及整改措施范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全存在问题及整改措施范文1
一、领导重视
自接到相关文件通知后,我镇领导高度重视,我镇立即成立了软件正版化工作领导小组。把使用正版软件当做事关国家自主创新和知识产权保护的大事来抓。成立领导工作小组,即通知各镇属部门向镇党政办申报计算机数量、操作系统、办公软件和杀毒软件的软件名称和正盗版数量,然后根据各个办公室申报情况,由清查组长带队对各单位逐一核实,落实到每台电脑上,确保不出项瞒报、虚报情况。
二、重点核查
为做好单位软件正版化专项检查和整改工作,我镇立即对机关内部使用的计算机产品等情况进行了自查,重点是针对我镇办公所用的操作系统、办公软件、杀毒软件。
1、操作系统。全镇共有台式机24台、笔记本1台,共计25台电脑,来源为自行采购及上级配发。全部是联想、方正、戴尔等品牌机,所装操作系统均为随机附带的操作系统。
2、办公软件。目前我镇电脑所装办公软为office、wps,其中25台装有office,3台装有wps。office均为购买电脑时电脑公司预装,wps则为使用的免费办公软件。
3、杀毒软件。我镇电脑使用的杀毒软件有360、金山、瑞星。其中14台电脑使用360免费杀毒软件,8台使用金山杀毒软件,3台使用瑞星杀毒软件。
三、存在问题
1、少数干部软件正版化意识薄弱,没有将使用正版软件上升到相应的高度,对使用网络上下载软件持同意态度。
2、我镇政府财政比较困难,在全镇全面施行软件正版化无经费保障。
3、部分同志缺乏网络安全知识,不能及时为杀毒软件升级和给操作系统下载补丁,从而村子一定的网络安全隐患。
4、由于现办公需要,u盘等移动存储设备使用很多,镇干部基本上没有对外来u盘杀毒的习惯,导致电脑感染病毒十分普遍。
四、整改措施
针对以上自查中发现的隐患与不足,为进一步加强我镇软件正版化工作的推进,我镇将重点完善规章制度,努力提高广大职工的正版软件使用意思,丰富宣传手段,认真开展整改工作。
1、依据相关文件精神,再次检查我镇软件正版化相关情况,并对其中不完善之处逐步改善。
2、组织全镇干部职工学习软件正版化相关通知精神,进一步强化人员使用正版软件的意识。
3、要加强对软件正版化工作的总结梳理和整体规划。软件正版化工作任重道远,不是一蹴而就的。与上级政府部门软件正版化相比,镇级政府软件正版化更加困哪。为此,我镇政府一定要认真总结工作经验和有效做法,针对我镇应用软件部规范等问题,在日常工作中日积月累,总结经验确保推进工作不断深入。
4、建立完善相关规章制度,以制度促进单位内部使用正版化。领带小组要在组织协调、督导检查、调查研究等方面发挥服务平台的作用,精心策划、热心组织、尽心服务,进一步增强各部门之间统一协调。
5、今后所采购办公设备要求预装正版操作系统、杀毒软件、办公软件。
网络安全存在问题及整改措施范文2
【关键词】 政务信息安全 信息安全评估 指标体系
1 引言
近年来,我国电子政务网络体系和信息系统建设加快推进,建设了大量的政务门户网站、电子公文系统等。随之而来的是政务安全威胁也与日俱增。根据统计,政府网站和信息系统依然是黑客攻击的主要目标之一。大量政府网站被挂马和恶意篡改,重要数据库信息被窃取,这些都严重影响到了政府部门的信息安全和自身公信力。
在政府单位信息安全日常检查工作中,由于缺乏系统、全面、统一的信息安全评估机制和评估标准,导致评估结果可量化程度低,无法直观反映评估结果和存在问题,一定程度上削弱了信息安全检查结果对整改工作的指导价值。因此,探索建立适用于政府单位的一整套信息安全评估指标体系,变信息安全“一事一议”为长效机制,对于增强政务信息安全防护水平,带动信息安全产业发展具有重要意义。
2 政务信息安全评估
信息安全评估就是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及存在的漏洞,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。信息安全评估的重要意义在于,通过对政府部门关心的重要信息资产的评估分级,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定后期处理计划,从而建立一套完整的、健壮的安全风险防御体系,为进一步制定安全风险投资预算计划、安全风险投资回报分析、人员组织计划和建立安全体系、制定安全政策、引入安全控制措施而提供基础数据,辅助最高管理层对政务信息安全管理的计划与实践做出正确决策。
目前,在信息安全领域较为通用的信息安全评估技术标准包括《信息技术安全评价通用准则》(ISO/IEC 15408 CC标准)、《国际信息安全管理标准体系》(BS 7799标准)、《信息技术 安全技术 信息安全管理体系 要求》(GB/T 22080-2008 ISO/IEC 27001:2005)、《信息技术 安全技术 信息安全管理 实用规则》(GB/T 22081-2008 ISO/IEC 27002:2005)、《系统安全工程能力成熟度模型》(SSE-CMM)等。
3 政务信息安全评估指标体系
本文结合上述各项信息安全评估技术标准,考虑政务信息安全各项技术要求,结合政务信息系统建设的成本、效益等操作层面问题,给出了一套包含以下七大类一级指标的政务信息安全评估三级指标体系。
(1)“信息安全保障机构”:为确保信息安全日常工作,政府部门应成立信息安全领导机构小组,建立相关制度,明确信息安全主管领导和信息安全专业,按照“谁主管、谁负责”的原则,全面落实工作责任制。
(2)“日常信息安全管理”:应根据组织的信息安全方针,规定岗位信息安全责职责并形成文件,对重要岗位应制定重要岗位安全保密责任书,对信息岗位,员工离岗离职时应按照单位规定,对人员使用的计算机、存储设备、访问密码等进行管理。外部人员访问时,应确保在外部人员访问受控区域前得到授权或审批。对重大的安全责任事件有相应的问责机制。
(3)“系统信息安全管理”:对于政府部门信息安全等级保护,应按照等保的要求进行评测、定级、备案与安全整改。在系统运行维护方面,应明确制定每个系统的运维内容、运维方式、运维职责,对系统的用户权限和管理员权限进行管理。对于系统功能流程的变更需要建立变更审批制度,并进行变更记录。系统应具备日志和备份功能,对系统的日常操作进行安全审计。
(4)“信息安全技术防护”:信息安全技术防护是信息安全保障工作的重要内容,针对目前政府部门整体信息化建设和应用系统使用情况,应该注重的技术防护方面包括:网络安全、终端与介质防护、数据安全、应用安全、门户网站防护、邮件系统防护、机房环境安全等。
(5)“信息安全应急响应”:系统运维应急方案是对中断或严重影响业务的故障,如宕机、数据丢失、业务中断等,进行快速响应和处理,在最短时间内恢复业务系统,将损失降到最低。政府部门应针对各类突发事件,如硬件损坏、操作失误、配置丢失、数据丢失等设计相应的预防与解决措施,同时提供完整的应急预案处理流程,定期进行预案演练。
(6)“信息安全教育培训”:对各级安全负责人员、系统使用人员应定期进行安全教育培训,提升信息安全意识,提高信息安全管理水平。对于专业信息安全人员开展定期考核测评
(7)“信息安全检测评测”:通过信息自查、抽查等方式开展政府部门的信息安全检查工作,各单位应配合检查工作建立检查小组,对检查实施过程进行监督指导。对关键网络环境、硬件服务器、计算机终端、应用系统等开展技术性检测。详细记录检查结果,对安全问题环节进行通报、上报、整改,并追究相关人员责任。
4 指标数据采集方法
在实际工作中可采用以下四种指标数据采集方法:一是问卷调查,即通过问题表的形式,事先将需要了解的问题列举出来,通过让相关人员回答有关问题而获取数据信息。二是实地收集,即通过深入现场,亲自参与系统的运行维护活动,并运用观察、操作等方法直接从信息系统中收集资料和数据。三是利用辅助工具,借助网络和系统检测、扫描、监控工具发现系统某些内在的弱点和可能存在的威胁。四是文档审查,即通过文档和资料的查阅,获取较完整的系统信息和历史经验。
5 结论
在电子政务建设过程中不可避免的涉及到信息安全保障工作,而信息安全评估作为信息安全保障工作的重要环节,制定相应的安全评估标准,能够为信息安全各个职能部门提供检测依据,进而妥善处理政务信息安全中存在的不同层面问题。通过对评估指标、评估模式、评估方法的不断创新完善,安全评估在信息安全体系建设中的支撑引领作用将得到更充分的认识,并成为信息安全工作的重要规划指导依据和评价考核标准。
参考文献:
网络安全存在问题及整改措施范文3
关键词:网络信息信息安全信息传播保障体系
随着网络信息资源越来越丰富,垃圾信息和不健康信息也在迅速增加,计算机病毒、垃圾邮件、网络攻击、系统漏洞、网络窃密、网络违法犯罪、著作权保护等问题日渐突出,而监管体制机制又相对落后。如何让优秀的、积极的、先进的信息占领网络传播阵地,如何构建网络信息传播保障体系,是世界各国都面临的紧迫课题。然而,国内外对此问题的研究还比较少,不够完善。本文在分析了构建网络信息传播保障体系应遵循的原则的基础上,结合分析研究实际情况,提出并系统地分析了网络信息传播保障体系的结构框架及其工作流程图。
一、构建网络信息传播保障体系遵循的原则
1、实用性原则
构建网络信息传播保障体系的最终目的是“用”,应本着旨在破解网络信息传播存在的难题的目的,向此目标努力,尽可能发挥体系的重要作用,注重体系实施的实际效用。因此,要运用系统工程的观点、方法,结合实际情况,分析网络信息传播存在的问题,制定具体措施。
2、平衡性原则
网络信息传播具有的强大的威力和威胁就是信息的自由性。所以,在构建网络信息传播保障体系的过程中,应考虑在管理和控制网络信息的传播时要保持信息的“自由”与“平衡”,即尽量保持信息“自由”与“管理”的平衡。
3、多层性、多样性原则
任何安全保护措施都不是绝对安全的,都可能被攻破,所以网络信息传播保障不应只依赖一种安全机制,应建立多层安全机制、多种防御体系,各防御层及体系相互补充保护,相互支撑以达到尽可能安全的目的。
4、整体性、综合性原则
一个保障体系包括个人、设备、软件等环节,它们在网络信息传播安全中的地位和影响作用,只有从系统的整体角度去看待和分析,才可能获得有效、可行的措施。
而且网络信息传播保障体系又是一个复杂的系统工程,需要各种保障方法和工作程序的综合协调一致。为了实现网络信息传播全方位保障,建立网络信息传播保障体系必须考虑技术保障、管理保障、法律保障、人才保障、主观认知保障的综合作用,同时,通过全社会的共同努力,实现与提升信息安全防护与保障能力。
5、协调性、协同性原则
网络信息传播保障体系构建的重要前提和基础是网络信息开放共享,而在信息的开放共享和保密的法律法规不健全的情况下,如果将部分信息公开披露,既缺乏相应的法律依据,同时又会带来一系列实际问题。因此在网络信息传播保障体系构建的过程中,要注意解决网络信息的披露与保密之间的矛盾,坚持网络信息开放共享和保密相协调的原则。
网络信息传播保障体系的构建不是哪一个体单独努力就能完成的,它是一个复杂的社会系统工程,需要政府、企业、社会团体、个人及司法等多方协调配合、全方位努力。网络信息传播保障体系构建的过程中坚持政府、企业、个人分工合作、协同作战是个非常重要的原则,必须明确各自的地位和作用。
二、网络信息传播保障体系结构框架及工作流程图
构建网络信息传播保障体系是一个巨大复杂的系统工程,不仅仅是购买技术或开发信息安全技术的问题,而是一个体系建设过程,这个体系主要包括检测体系,安全防护体系和管理体系,主要内容有政策、法律法规建设、管理、技术、产品、人才培训、资金保障、领导重视、人们的认知观念等内容。在构建保障体系的过程中,认知是前提,技术是基础,管理是生命线,法律是保证,还要需要政策、资金、人才的支持。网络信息传播保障体系结构框架见图1。
网络信息传播保障体系个各体系之间、体系的各个组成部分之间是如何相互配合协调工作的呢?本文根据申农通信系统模型原理,借鉴国内外对信息安全保障体系模型的研究成果,提出网络信息传播保障体系工作流程图,见图2。
三、网络信息传播保障体系结构框架及工作流程图分析
下面分别从检测体系、安全防护体系和管理体系三个方面,依照网络信息传播保障体系工作流程的顺序,结合网络信息传播保障体系结构框架中各个要素,对网络信息传播保障体系结构框架及工作流程图进行分析阐述。
1、检测体系
检测中心数据库主要存储两大类信息记录:黑客、病毒等的入侵记录,网络信息传播保障体系的安全策略。
1.1黑客、病毒等的入侵记录
构建网络信息传播保障体系首先要对网络信息传播进行风险分析与评估,遵守相关的规章制度、合同、法律等安全标准,将历史性和新出现的黑客人侵记录以及病毒、垃圾信息等记录形成相应的安全策略,并存储于检测中心的数据库中。从信源发出的网络信息进入保障体系时,首先要通过监测体系得检测,如果该信息与检测中心数据库中的某信息特征匹配,则予以拦截;反之,数据库中无此相似记录,则要通过保障体系的安全防护体系的进一步检测防护。
1.2安全策略的规划
网络信息传播是一个动态的循环的过程,所以安全策略的制定注定是一个循序渐进、不断完善的过程。因为不可能制定一个安全策略就能够永远符合、完全适应某个网络环境和信息系统的需求,所以设计时要充分考虑其动态性和可操作性。
2、安全防护技术体系
安全防护体系对网络信息进行检测,如果发现为异常的信息则给予拦截,反之则再由管理体系进行检测。安全防护技术体系主要应用信息安全技术对网络信息进行防护。
(1)基于PKI/PMI的信任体系和授权体系:公钥基础设施技术(PKI)以公开密钥技术为基础,以数据及密性、完整性、身份认证和行为的不可否认为安全目的。
(2)访问控制机制:包括防止非法用户的非法访问和合法用户的非授权访问2个方面。
(3)防火墙:防火墙系统主要目标是控制人、出一个网络的权限,它迫使所有的连接都通过防火墙,以便接受检查。
(4)入侵检测系统:对透过防火墙的攻击进行实时检测并及时做出相应的反应。
(5)安全审计系统:网络安全审计系统是一种基于信息流的数据采集、分析、识别和资源审计封锁软件。通过实时审计网络数据流,根据用户设定的安全控制策略,对受控对象的活动进行审计。
(6)网络病毒防治体系:针对网络上病毒、蠕虫、木马和恶意代码的危害性大并且传播迅速的现状,网络信息传播保障体系应采用相应的整改措施。
随着现代信息技术的不断发展进步,安全防护技术体系也会随之更新,它是网络信息进入网络信息传播保障体系的一个重要“门槛”。
3、管理体系
检测体系和安全防护体系均采用必要的信息安全技术对网络信息给予硬性的安全防护,管理体系则在人的参与下对网络信息进行管理,对于技术不能发现和拦截的网络信息,则通过人为手段进行防护。根据信息的接受者的反馈,如果得到他们的满意,达到了预期的目标,则网络信息安全保障体系取得实效;反之,则通过事故响应及补救机制给予补救,并修改网络信息传播保障体系。
3.1法律法规制度体系
政策、法律法规等的建立规范必须建立在支持和鼓励网络信息传播健康发展的前提下,通过立法和监督,打击和淘汰违规网络信息传播者,创建的良好的信息法制环境,做到有法可依,有法必依,更好地维护网络信息传播的发展。
(1)网络信息传播立法。如今,网络立法应更加注重于对网络信息安全即对网络信息传播行为的规范。网络信息传播立法,在网络有害信息的责任认定问题及可操作性等立法质量上,尚存在有待改进的地方。如何发挥网络媒体传播优势,使公民的言论自由得以充分实现,同时又不至危害国家、社会和个人的合法权益,应该是网络信息传播立法的根本所在。
在立法原则上,我国的网络立法与其他国家一样,就是承认现行的传统法律原则都适应于网络传播环境。“互联网立法的前提就是承认现行的传统的法律原则都应该适用于互联网空间。互联网没有也不可能改变现实社会基本制度以及受这个制度保护的基本社会关系。互联网上的虚拟世界是从现实世界生成的,并且无时不在对现实世界发生影响,所以虚拟世界说到底还是现实世界的一部分,虚拟世界里的关系无非是现实世界的社会关系的延伸,仍然要受现实世界中现行法律的规范和调整”。
网络信息传播法制的主要内容:“从事互联网信息服务实行许可备案制度;开办互联网电子公告服务实行专项申请、备案制度;互联网站从事登载新闻业务实行审批制度;网络信息传播禁载内容;网络服务提供者的义务、责任等”。
(2)网络信息传播规章制度。网站信息安全的管理,除了采用必要的技术措施以外,还需要建立健全管理制度,落实信息安全管理责任。网络信息传播安全管理规范包括:确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
(3)网络道德规范。网络道德规范体系,对思想境界不同的个体,设立层次不同的规范,结合网络的特点对传统道德规范进行适当改造再植入网络空间,如诚信规范、公平规范、平等规范等都可以经过改造后成为网络信息传播中重要的道德规范。如诚信规范的建立,传播及使用网络信息就有了一把诚信评判的标尺,使得我们可以更好的对网络信息活动参加者的诚信程度进行评价和判断。同时,也就树立了开展网络信息活动的行为准则,促使人们在网络信息活动过程中更好的遵守网络信息活动规则,可以有效减少诚信缺失现象的发生。另外,网络道德规范还必须推陈出新,适应网络的发展。
3.2网络“把关”体系
任何网络信息传播活动都是一个信息搜集、加工、的过程,这个过程离不开人的劳动,无法由某一技术或者程序自动完成。而传播活动中只要有人的参与,就一定会有人为因素的影响,网络“把关入”作用也就不可能消失。因此作为传播者个人或者组织机构的“把关人”作用也始终存在于网络信息传播过程之中。
网络中的把关体系主要从宏观层面的把关和微观层面的把关进行。
(1)宏观层面的把关。宏观层面的把关,仍是政府的直接把关。网站进行信息传播,实际是获得了网络行政主管部门给予的权利。例如,对于恶意网站要用技术手段对其“封杀”。
(2)微观层面的把关。微观层面的把关,即一个网站的把关以及受众的把关。对信息内容的把关,主要工作有:①分析传播内容短期或中长期的发展趋势;②研究传播内容是否符合有关法规和政策;研究传媒借助传播内容实现的宣传策略、宣传方法以及某一方使用的宣传战术;③了解和解决科技、文化等特殊信息在传播中的问题和困难,兼及受传者的类型和数量等。
3.3事故响应及补救机制
安全的相对性注定了事故的发生是不可避免的,因而建立一个事故响应小组,建立数据备份、制定不同的紧急响应计划和操作流程,能够对发生的事故再第一时间作处理,努力将损失降到最低点。
