前言:中文期刊网精心挑选了网络信息安全紧急预案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络信息安全紧急预案范文1
为切实提高我局对网络舆论的引导能力和处置网络舆情的管控能力,形成科学、有效、反应迅速的应急工作机制,特制定本预案。
一、组织指挥机构与职责
(一)组织体系
成立网络与信息安全领导小组,组长由分管副局长担任(特殊情况由局长担任),成员包括:各股室负责人及联络员等。
(二)工作职责
1.研究制订我局网络与信息安全应急处置工作的规划、计划和政策,协调推进我局网络与信息安全应急机制和工作体系建设。
2.研究提出网络与信息安全应急机制建设规划,检查、指导和督促网络与信息安全应急机制建设。指导督促重要信息系统应急预案的修订和完善,检查落实预案执行情况。
3.指导应对网络与信息安全突发事件的科学研究、宣传培训,督促应急保障体系建设。
4.及时收集网络与信息安全突发事件相关信息,分析重要信息并提出处置建议。及时向局领导提出启动本预案的建议。
5.负责参与重要信息的研判、网络与信息安全突发事件的调查和总结评估工作,进行应急处置工作。
二、工作原则
(一)居安思危,预防为主。立足安全防护,加强预警,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
(二)提高素质,快速反应。加强网络安全风险科学研究和技术开发,采用先进的监测、预测、预警、预防和应急处置技术及设施,充分发挥专业人员的作用,在网络安全风险发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
(三)加强管理,强化责任。建立和完善安全责任制及联动工作机制。加强与相关部门间协调与配合,形成合力,共同履行应急处置工作的管理职责。
三、网络安全风险防范工作流程
(一)信息监测与报告
要进一步完善网络安全风险突发事件监测、预测、预警制度。按照“早发现、早报告、早处置”的原则,加强对涉军领域网络安全风险的有关信息的收集、分析判断和持续监测。当发生网络安全风险突发事件时,在按规定向有关部门报告的同时,按紧急信息报送的规定及时向局领导汇报。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
(二)预警处理与预警
1.对于可能发生或已经发生的网络安全风险突发事件,系统管理员应立即采取措施控制事态,并第一时间进行风险评估,判定事件等级并预警。必要时应启动相应的预案,同时向信息安全领导小组汇报。
2.领导小组接到汇报后应立即查明事件状态及原因,技术人员应及时对信息进行技术分析、研判,根据问题的性质、危害程度,提出安全警报级别。
(三)风险处置
信息安全领导小组在接到网络与信息安全突发事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势,并作好启动本预案的各项准备工作。信息安全领导小组根据网络与信息安全突发事件发展态势,视情况决定是否上报上级领导部门。
网络信息安全紧急预案范文2
关键词:信息化;安全生产;应急系统
前言
信息化的安全生产应急指挥系统,是在数据库、网络系统、基础平台等先进模式帮助下,采用总体架构的理念,对事故的预防、发生、发展、控制等进行有效的决策和判断。其中,支撑平台、数据应用、数据整合等方面,在实现信息共享,交流的同时,大大提高了有效数据对决策产生的有力支持。为实现危险源的监控,一般采用先进的地理信息系统平台进行检测控制,平台的利用,能有效整理出紧急事故发生时的地址位置信息和相关环境情况,为紧急预案的提出提供强有力的依据。系统的设计构架大大提高了应对紧急事件时提出有效决策的能力,大大减少了人员、物资的损失,提高救援率。
1 系统的总体构架
1.1 总统架构设计理念
根据工作事业的不同,要求安全生产应急指挥系统要贯穿省市级区等各个系统相关联,发展与各个协同单位的应急指挥系统相联系。在信息系统的发展背景下,各组织之间通过集成电信网、卫星网等复杂网络联系在一起。当应急事件发生时,系统信号从应对事件的应急处理流程中发出,开启应急指挥和监控管理等网络系统,然后通过对比时间与现实中需求,综合分析空间信息系统和位置信息以及运用数据库等,目的是针对危险行业的工作单位和企业之间危险源等数据进行采集和常规化保护,强化安全监管部门的监管能力,提高面对突发事件的应急救援能力,及时处理各种危险,提高救援效率,大大降低安全事故给人们带来的威胁和损失,增强处理和预判事故的能力,提高应对突发事件的能力。
1.2 总架构基本组成
总体构架中包括多种应用平台,其中基础支撑平台是由应急系统、操作系统、网络系统、储存系统等组成;数据库平台是数据的运用与共享的平台,是基础数据、支撑数据和案件数据的综合运用,一般系统数据库与外界数据库之间的应用系统进行交流,外界可获得数据记录以及各种共享服务,实现信息资源的共享性和透明化;提供系统相关应用和相关服务的平台是业务应用平台,它能实现案件管理、资源配置、应用决断、实践演练、平常事务等各种服务和应用;为了方便外界人员的运用,系统展现平台以网站形式提供登入入口,形象、简明、直观的展现出界面、用户、登陆、管理、设置等方面的内容,除此之外,展现平台还可以实现应用层各系统的统一,统筹用户网页;为了实现应急中信息、指挥、调配、办公、采集数据等的需要移动应急平台能够很好地满足现场需要,减少应急事故的发生;为了保证信息的安全,安保平台上信息安全体系的设立是依赖现有的网络环境,配置相应的系统防火墙、不定、漏洞管理、病毒预防、入侵防护等,设立限制的控制机制和数据管理机制,满足平台系统的安全所需,保证机密信息不外露,做到安全处理。当然,平台的设立和系统的入口,必须做到从设计到使用都严格遵守法律法规,保障国家信息安全。
1.3 总体构架管理体系
安全应急调配是实现对相关突发事件的紧急处理提供合理的信息化支持的目的,增强相关应急管理的处置能力,实现相关部门对紧急事件的合理调配。当紧急事件出现时,系统会统筹相关因素,得出紧急预案,结合管理人员的相关分析,最终确定事故发生情况和应对措施,进一步进行相关的管理工作。其中数字化管理预案能实现相关部门的预案管理,维护更新数据,便于指挥系统和任务的生成,使紧急预案具有可选性。应急物资等资源的到位与管理,需要应急管理,做到物资与位置信息和处理信息及时送达,为决策提供相应的支持。合理利用相关信息,对物资与人员进行相关决策的管理,精确的表达相关指令,使得应对紧急事故的能力、水平、效率显著提高。应急处理系统的应用,能够在短时间内利用视频、文字等相关数据和事故位置信息进行处理分析,根据事故严重程度进行物资、人员的合理调配。基本数据在信息收集、决策管理、指挥动态等方面起到了至关重要的作用。
2 基础平台的构架
2.1 事故的预防
要减少事故的放生,应该着手于危险源的管理工作,在基本平台的构建中,重大危险源管理系统占有一席地位。系统涵盖了基本信息处理、危险源防控、数据监护、危险分析等内容,根据问题的重要性,重大危险源管理系统可以综合多方信息做到定位监控,分析整理周边环境信息,实现精确监控的目的。为了提高事故发生时人员物资等基本情况的应急措施,一般单位都会进行事故的演练,系统中有事故模拟演练,内容丰富,模拟事故发生后数据的整合、管理测试等内容,模拟系统中,事故发生可以有效结合环境信息和空间信息,为紧急防控提供有效的信息支持,给出相应的应急预案,作出正确的判断。
2.2 综合决策管理
面对事故发生,需要多方的信息支撑。综合业务管理就包括信息接收、值班管理、时间统筹、记录等内容,综合管理系统能做到信息的上传下达,与各个平台之间建立联系,及时接收和传达相应的事故信息,对于社会人员和网络等对危险的预判也会吸收在内,进行管理。在下达决策之前,需要对各方信息进行分析,包括后续力量的补足,辅助决策系统帮助进行机构的管理、营救资源管理、辅助指挥等,使做到当应急救援事件发生时,能够能迅速提供合理的救援预案,提供相关管理,引导救援管理资源分布和相关信息,为解决事故提供有效的辅助决策,提高救援的决策水平和决策速率。
2.3 基础预案管理
紧急事故发生需要采取紧急预案。预案管理系统能在政府、企业、地方等地进行预案的分析整合,管理中主要应对监管局和经营单位的紧急预案中进行整理,分享给各部门、地方进行事件的参考,使信息能够横向、纵向发展传播,实现数据、内容的结合,由点成线到面的对全局进行有效掌握,实现各预案之间的关联。进行预案整理时,必不可少的运用地理信息处理,可以采用GIS等相关系统进行有效的分析,定位,实现紧急事故的有效防控。
结束语
本研究就紧急事件在信息化的安全管理中进行分析,在紧急事件发生到决策的生成,得出应对紧急事件的操作系统总的构架和基础构架。在整体构架中,运用基础支撑平台、数据共享平台、系统展现平台等进行对紧急事件的布控,数据库的利用,无疑给安全生产提供有效的保障,利用多种系统的有效结合,将数据进行整理利于分享和利用,为处理紧急事件作出极大地支持,在很大程度上提高了应对紧急事件的决策速率,减少了事故对人造成的损伤。
参考文献
网络信息安全紧急预案范文3
关键词: 会计信息系统;系统安全体系;金融会计
一、网络金融会计信息系统的含义
网络金融会计信息系统是指建立在网络环境基础上的会计信息系统网络环境,包括两部分:一是金融企业内部网络环境,即内网,通过组建金融企业内部网络结构实现内部各部门之间的信息交流和共享;二是国际网络环境,即通过互联网使金融企业同外部进行信息交流与共享,基于互联网的会计信息系统,也可以说是基于内联网的会计信息系统,即金融企业的内联网和互联网连接,为金融企业内各部门之间,金融企业与客户、税务、审计等部门之间建立开放、分布、实时的双向多媒体信息交流环境创造了条件,也使金融企业会计与业务一体化处理和实时监管成为现实,原来封闭的局域网会计信息系统被推上开放的互联网世界后,一方面给金融企业带来了前所未有的会计与业务一体化处理和实时监管的优越性,另一方面由于互联网系统的分布式、开放性等特点,其与原有集中封闭的会计信息系统比较,系统在安全上的问题也更加突出,互联网会计信息系统的风险性更大。
二、当前网络金融会计信息系统存在安全隐患
(一)金融会计信息安全组织管理体系不完善
目前,金融企业尚未建立起一套完整的计算机安全管理组织体系,金融会计信息系统的建设在安全设计方面缺乏总体考虑和统一规划部署,各系统根据自己的理解进行规划建设,技术要求不规范,技术标准各异,技术体制混乱。国家标准制定严重滞后,法律法规不能满足金融会计信息系统的安全需求,现行计算机安全法律法规不能为金融会计信息系统安全管理提供完整配套的法律依据,在一定程度上存在法律漏洞、死角和非一致性。
(二)网络金融会计信息数据不安全
网络金融会计数据是记录在各种单、证、账、表原始记录或初步加工后的会计资料,它反映企业的经营情况和经营成果,对外具有较高的保密性,连接互连网后,会计数据能迅速传播,其安全性降低,风险因素大大增加,网络金融会计的信息工作平台是互联网,在其运作过程中,正确性、有效性会受到技术障碍的限制和网络与应用软件接口的限制,如网络软件选配不合适,网络操作系统和应用软件没有及时升级,或安全配置参数不规则,网络线路故障导致工作站瘫痪、操作失误等,系统间数据的大量流动还可能使金融企业机密数据无形中向外开放,数据通过线路传输,某个环节出现微小的干扰或差错,都会导致严重的后果,互连网结构的会计信息系统,由于其分布式、开放性、远程实时处理的特点,系统的一致性、可控性降低,一旦出现故障,影响面更广,数据在国际线路上传输,数据的一致性保障更难,系统恢复处理的成本更高。
(三) 网络金融信息泄露导致金融会计信息失真
在信息技术高速发展的今天,信息己经成为金融企业的一项重要资本,甚至决定了金融企业在激烈的市场竞争中的成败。而金融会计信息的真实、完整、准确是对金融会计信息处理的基本要求。由于金融会计信息是金融企业生产经营活动的综合、全面的反映。金融会计信息的质量不仅仅关系到金融会计信息系统,还影响到金融企业管理的其他系统,目前利用高技术手段窃取金融企业机密是当今计算机犯罪的主要目的之一,也是构成金融会计信息系统安全风险的重要形式。其主要原因:一是电信网络本身安全级别低,设备可控性差,且多采用开放式操作系统,很难抵御黑客攻击;二是由于电信网络不负责对金融企业应用系统提供安全访问控制,通信系统己成为信息安全的严重漏洞,但许多金融企业对此未加以足够重视而采取有效的防护措施。由于这些原因导致了金融会计信息系统的安全受到侵害,造成了信息的泄露,使金融会计信息失真。
(四)金融会计信息系统的存在安全威胁
目前金融企业计算机已广泛联网,这是金融企业扩大业务范围,实现信息共享的必然结果。由于网络分布广,不容易集中管理,许多系统又是在存在安全漏洞与威胁的环境下工作的,不法分子可以在网上任意地点攻击,使金融企业不知不觉中被偷盗资金或泄露机密。金融企业经营的资金,不法分子作案得逞就能弄到金钱,因此其已成为犯罪分子攻击的主要目标,且作案手段繁多,方法越来越高明。作案分子有以下三类: (1)内部人员作案。金融企业内部人员熟悉金融企业业务和金融企业会计软件的薄弱环节与漏洞,若禁不住金钱的诱惑,就会铤而走险,钻制度不严的空子,利用合法身份或明或暗或用高科技手段作案,侵吞国家资产或非法转移客户存款。( 2)外部攻击。外部攻击具有作案地点广泛、案情复杂且作案手段日趋技术化、智能化等特点,给金融企业及客户造成巨大损失,跟踪与破案难度很大。(3)内外勾结作案。犯罪分子利用金融企业管理上的漏洞与松懈,内外勾结,冲破重重关卡联合作案。此类攻击后果尤为严重,风险最大。
三、构建网络金融会计信息系统安全体系思路与方法
采用现代信息系统实用安全概念、安全防护、安全检测、安全反应是构成计算机安全管理的核心环节,各个环节形成循环密切相关。构建网络金融会计信息系统安全体系关键在以下几个方面把握:
1、完善网络金融会计信息系统技术法规、标准和制度体系建设
加快标准规范和制度体系基础工作步伐,统筹规划、结合国家和行业监管部门,重点加强电子支付及信息产品与服务的测评、准入、认证等相关技术法规与标准。密切结合金融企业信息化发展实际,借鉴国内外先进经验和做法,加紧建立和不断完善集中式数据中心运营规范和制度体系,加强网络金融会计信息安全的各项规章制度建设,逐步实现一个岗位一项制度,全面落实“让标准说话,按制度办事”的信息安全管理准则。
2、金融会计信息系统的物理安全的控制
建立金融会计信息物理安全控制,主要有三种关键技术:第一种是防火墙技术。防火墙是一组基于互联网和金融企业内联网之间的访问控制系统,它充当屏障作用,保护金融企业信息系统(内联网)免受来自互联网的攻击。防火墙由软件系统和硬件设备组合而成,它执行安全管理措施,记录所有可疑事件。防火墙产品主要包括过滤型和应用网关型两种类型。所有互联网与金融企业内联网之间的信息流都必须经过防火墙,通过条件审查确定哪些内容允许外部访问,哪些外部服务可由内部人员访问。因此,防火墙以限制金融会计信息的自由流动为代价来实现网络访问的安全性。第二种是反病毒技术。在金融会计信息系统的运行与维护过程中,应高度重视计算机病毒的防范及相应的技术手段与措施。如采用基于服务器的网络杀毒软件进行实时监控、追踪病毒等等。第三种是备份技术。备份是防止网络环境下金融会计信息系统意外事故最基本、最有效的手段,它包括硬件备份、系统备份、会计软件系统备份和数据备份四个层次。
3、构建金融会计信息保密的安全体系
(1)建立用户分类安全控制体系。在金融企业内部,不同的信息使用者,由于他们的身份不同,以及他们对获取的会计信息要求也不同,因而有必要对这些用户进行分类,以保证不同身份的用户获取与其身份及要求相符的会计信息。对用户分类是通过对用户授予不同的数据管理权限来实现的,一般将权限分为三类即数据库登录权限、资源管理权限和数据库管理员权限等。只有获得了数据库登录权限的用户才能进入数据库管理系统,才有可能进行数据的查询,以获取自己所需的金融会计数据或金融会计信息,但其不能对数据进行修改。而拥有数据管理权限的用户除了拥有上述数据访问权限之外,还可拥有数据库的创建、索引及职责范围内的修改权限等。至于拥有数据库管理员权限的用户他将有数据库管理的一切权限,包括访问其他用户的数据,授予或收回其他用户的各种权限,完成数据的备份、装入与重组以及进行系统的审计等工作。但这类用户一般仅限于极少数的用户,其工作带有全局性和谨慎性,对于金融会计信息系统而言,会计主管就可能是一个数据库管理员。
(2)建立金融会计数据分类安全体系。虽然对用户进行了分类,但并不等于一定能保证用户都根据自己的职责范围访问相关金融会计数据,这是因为同一权限内的用户对数据的管理和使用的范围是不同的,如金融会计工作中的凭证录入员与凭证的审核人员,他们的职责范围就明显地限定了其对数据的使用权限。因此,数据库管理员就必须根据数据库管理系统所提供的数据分类功能,将各个作为可查询的金融会计数据逻辑归并起来,建立一个或多个视图,并赋予相应的名称,并把该视图的查询权限授予相应的用户,从而保证各个用户所访问的是自己职责范围内的会计数据。
(3)建立会计数据加密安全体系。普通的保密技术能够满足一般系统的应用要求,只是通过密码技术对信息加密,是安全的手段。信息加密的核心是密钥,密钥是用来对数据进行编码和解码的一种算法。根据密钥的不同,可将加密技术分为对称加密体制、非对称加密体制和不可逆加密体制三种。对一般数据库来说是较为有效的,但是对金融会计信息系统来说,仅靠普通的保密技术是难以确保金融会计数据安全的。为了防止其他用户对会计数据的非法窃取或篡改,为防止非法用户窃取机密信息和非授权用户越权操作数据,在系统的客户端和服务器之间传输的所有数据都进行双层加密。即第一层加密采用标准SSL协议,该协议能够有效地防破译、防篡改,是一种安全可靠的加密协议;第二层加密采用私有的加密协议,该协议不公开、不采用公算法并且有非常高的加密强度。两层加密确保了会计信息的传输安全,从而保证金融会计信息的安全性。
4、建立网络金融会计信息系统应急预案
制订应急预案的目的是为了确保金融企业正常的金融服务和金融秩序,提高金融企业应对突发事件的能力,在网络金融会计信息系统故障时,将系统中断时间、故障损失和社会影响降到最低,应急预案的核心是建立应急模式下的业务处理流程,详细阐述应急模式的操作步骤,建立相应的事后数据补录和稽核制度,网络金融会计信息系统安全应急预案规定:系统应用部门发现信息系统故障,应及时通知部门负责人;部门负责人应立即通知计算机中心;计算机中心应立即着手查明故障原因,预计系统修复时间,并通知相应部门负责人;若暂时不能修复(超过15分钟),应向安全领导小组报告,由金融企业领导确定是否启动紧急预案;紧急预案启动后,计算机中心应通知各相关部门,启动紧急预案中相关的应急措施;在故障消除后,计算机中心应立即通知各应用部门,并报告安全领导小组,请求结束应急预案的实施;事后计算机中心应将详细的故障原因和处理结果报有关领导。
建立健全网络金融会计信息安全检查机制,加大监督检查工作力度。依据业已确立的技术法规、标准与制度,定期开展信息安全检查工作,确保信息安全保障工作落到实处。建立责任通报制度,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改。在开展合规性检查的同时,应综合运用检测工具,明确安全控制目标,加强深度的专项安全检查工作,保证检查工作的针对性、深入性和时效性。
总之,网络金融会计信息系统所面临的外部和内部侵害,使得我们必须采取切实可行的安全对策,以确保系统具有信息保密性、身份的确定性、不可否认性、不可篡改性、可验证性和可控制性。
参考文献:
[1]周慧.《商业银行电子化的风险控制》.《金融与保险》,2003第9期
[2]乔立新、袁爱玲、冯英俊.《建立网络银行操作风险内部控制系统的策略》.《商业研究》,2003年第8期
[3]刘昊.《论我国网络银行的风险及其控制》.《新金融》,2003年第1期
[4]杨周南.《论会计管理信息化的ISCA模型》.《会计研究》,2003年第10期
[5]刘贵栓.《金融企业会计信息失真探析》,《经济师》,2003年第1期
[6]张金城.《计算机会计信息失真风险防范》,浙江人民出版社,2003年1月第1版
[7] 谢赞恩.《中国金融信息化二十年》,《互联网周刊》, 2004年第3期
[8]顾浩.《中国金融企业信息化任重道远》.《上海金融高等专科学校学报》,2003年第4期
网络信息安全紧急预案范文4
(一)操作人员缺乏基础安全意识
我们在日常的生活中经常使用网络的目的主要集中在工作、娱乐或学习方面,不会更深入的学习与关注计算机网络信息安全,缺乏对网络信息安全的常识,也不注意保护与防护,或者一些基础的保护力度很小,无法应对复杂情况下的网络事件与不安全因素。除此之外,我们时常使用的一些网络软件的提供者或网络运营商只关注网络营销的效应,不关注网络安全的配套与管理,此时的安全措施形同虚设,很难在实际环境中满足用户的安全需求,容易埋下安全隐患。
(二)缺乏制度化的防范体制
我国防范体制构建与培养中存在的不足,与国家现行的部分法律法规很难适应于现代网络技术的飞速发展,这方面体现在我国大部分企业都没有网络信息的安全防范意识,缺乏信息安全体制,没有任何制度与方法来配套网络信息安全的管理。这种情况非常容易成为犯罪分子的目标,让他们有机可乘,结果会对企业造成不可弥补的损失。基于这一点,企业应该反思在网络信息安全中的体制问题,健全与完善这一弱点,防患于未燃,彻底规避网络安全中的不稳定因素。
(三)评估体系有待补充
计算机信息网络安全,一般来看,应该制定基础的黑客防范体系作为安全评估的有效方法,用这种方法评估现有安全系数,或是帮助企业对已有的平台进行完善,用一套科学详细的分析与说明,维护网络信息安全,如果加强评估体系的建设,开发出更好的技术,就能够在经济与技术上双方面受益。
二、计算机安全管理制度的配套
(一)接收电子邮件
电邮会为企业带来很多安全漏洞,收到未知邮件应直接删除或进行杀毒处理。除此之外,企业也要将更新病毒库发给员工,作为强制政策,要求员工更期升级以保证未来计算机安全。
(二)安全漏洞防范
要懂得防范各种各样的安全漏洞。如通过社交手段套取,也能使得企业放松,容易受到恶性攻击。这其中没有受到正规培训或对工作不满的员工,更有可能会把企业的独家信息或敏感材料泄露给竞争对手,所以对资料有人要严格把关。
(三)密码设置
密码是通常是绝大部份企业的重要弱点,人们为了节省时间,一般会共享或选择简单的密码。密码也不够复杂,非常容易被别人猜测并且用来获得重要资料。其实,网络安全的弱点就还在于不是只有使用者有密码,如果态度不够谨慎,只要稍微加以询便可让他们无意中泄露出来,如通过电话或电子邮件包装一下,轻易就能把员工的密码拿到手。
(三)网络的维护
在网络使用中,应建立网络使用规范,员工要了解公司关于网络中通信安全的规定。同时还要提高IT人员设定与监视网络安全方案的效率。
(四)安全防护机制
企业要决定由谁负责政策的制定与执行,人事部也应给新员工培训,以书面形式告知公司政策,员工同意后,要签名确认自己了解并愿意遵守公司相关规定。另外,网络管理人员应建构通信安全防护机制,成立紧急救援小组应对可能发生的安全漏洞,并与人事部门紧密合作,将可疑的情况上报。
三、计算机安全管理在通信中的应用
(一)加强攻击和入侵应急处理流程和灾难恢复方法
主要方法是配备必要的安全产品,例如网络扫描器、防火墙、入侵检测系统,进行实时网络监控和分析,及时找到攻击对象采取响应的措施,并利用备份系统和应急预案以备紧急情况下恢复系统。
(二)加强开放的网络服务方法
Internet安全策略是既利用广泛、快捷的网络信息资源,又保护自己不遭受外部攻击。主要方法是注重接入技术,利用防火墙来构建坚固的大门,同时对Web服务和FTP服务采取积极审查的态度,更要强化内部网络用户的责任感和守约,必要时还要增加一些审计的手段。
(三)网络反病毒技术能力要加强
要想实现实时过滤的功能,就要安装病毒防火墙功能。把网络服务器中的一些文件进行不断监测与频繁扫描,甚至在工作站上加装防病毒卡,必要时设置网络目与文件的访问权控制权限。同时,也可以限制一些由服务器才能有权限执行的文件。
(四)传播途径的切断
一定要注意查杀硬盘或U盘的程序与病毒,不要接受网络推送的不明网页,对已经感染的硬盘与U盘要实时格式化或杀毒,切断一切不安全的传播途径。
(五)网络访问控制权授予
要想加强防范与保护网络安全,控制其访问权也是重要的方法与策略。这种方法可以让网络资源得到净化,不给非法资源可乘之机,是保证网络安全的重要核心策略之一。这种控制权的授予方式涉及技术广泛,通常包括了入网控制权限、目录控制权及网络控制权等各种权限。
(六)密码技术的应用
密码技术是网络信息安全的核心技术竞争力,这种技术手段为网络信息安全给予了重要保证。目前密码技术集中在单钥密码体制、数字签名方法、密钥管理方法、古典密码方法等,这些方法中,身份认证与数字签名方法是目前保证信息完整性的最主要方法。
(七)安全管理制度的必要性
要想保障网络信息安全,首先应该提高用户与管理人员的道德修养与职业素质,对重要信息严格保密,做好数据的备份与检查。
四、结束语
网络信息安全紧急预案范文5
[关键词]医院管理;信息系统;信息安全医院管理信息系统概述医院管理信息系统的主要功能
经过20多年的发展,我国的医院管理信息系统历经了单机单任务、一体化医院信息系统。以前各医院建立的计算机系统主要是MIS系统,以财务为重点,涉及挂号、收费、药库等流程。现在医院信息化建设的重点将是临床管理的信息化,把信息技术真正应用到疾病的诊断和手术中去,然后在临床信息系统发展的基础上,逐步建立电子病历,促进病历信息的共享和利用。一般来说,医院信息系统的主要功能是为医院及其所属各部门提供患者医疗信息、财务核算分析、行政管理信息和决策分析统计信息的收集、存贮、处理、提取和数据通讯[1]。将门诊管理、住院管理、医技管理、职能科室管理等各部门通过计算机网络有机集成在一起,提高医院信息利用率和医院整体运行效率。加强医院管理信息系统信息安全的意义信息化为医院带来了更加科学、规范的工作流程,工作效率的明显提升也产生了巨大的经济效益,医院的核心业务也越来越依赖于信息系统稳定可靠的运行支持。目前,我国约有3万多所医院,5万多个防疫站,大多数医院采用的是病床管理和财务管理。据卫生部一项统计显示,参与调查的中国6000多家医院中,只有31%的医院用上了信息管理系统[2]。目前的3万多家医院中有6000家是三甲以上的医院,卫生部曾强调“国内三甲以上的医院都需要实行信息化管理”,未来几年,我国将有超过70%的医院实现信息化管理,信息系统所具有的绝对重要地位和其相对脆弱的本质应当引起高度重视。建立完善的安全备份系统和管理机制,对加强医院管理信息系统的信息安全,显得尤为重要。
医院管理信息系统信息安全面临的挑战医院管理信息系统存在的信息安全隐患由计算机和网络组成的管理信息系统具有天然的安全脆弱性,表现在包括系统体系、安全模型、安全问题判断和安全管理环节在内的多个方面。对于医院管理信息系统来说,信息系统的开放体制与信息系统的安全保密存在很大的制约。操作系统、网络、数据库管理系统、用户系统和安全策略等各个级别和层面都存在安全问题。医院信息系统的安全性问题日益突出。医院管理信息系统面临包括诈骗、间谍、蓄意破坏行为、火灾、水灾等大范围的安全威胁,诸如信息被窃取、计算机病毒、服务器的非法入侵破坏等信息安全隐患越来越普遍和复杂,危害越来越大,医院管理信息系统的信息安全风险管理风险管理是风险评估和风险控制的全过程。在这个过程中,通过主动、系统地对风险进行全过程识别、评估及监控,以达到降低系统风险,减少风险损失,甚至化险为夷,变不利为有利的目的[3]。对于医院管理信息系统来说,信息安全风险管理就是识别、评价各种信息安全风险因素带来的损失风险,对风险进行控制,减轻风险可能带来的负面影响,从而将损失降到最低。从目前医院信息系统的发展状况以及对医疗信息系统数据的安全性要求来看,要加强信息安全的风险管理,就是要做到从物理、网络、系统、主机以及应用层面来确保系统中各种信息的保密性、完整性、可用性,提高整体防护能力,规范安全管理流程,保障信息系统的平稳运行,这是保证医院信息系统安全的关键所在。构建医院管理信息系统信息安全体系的对策建议针对当前医院管理信息系统存在的信息安全隐患,为构建行之有效的医院信息安全体系,笔者从以下4个方面提出对策建议。
网络信息安全紧急预案范文6
关键词 电子档案 信息安全 对策
中图分类号:G271 文献标识码:A
Information Security Issues and Countermeasures of Electronic Files
FENG Aixue, XIAO Yuanyuan, TU Yingxia
(Hubei University of Technology Archives, Wuhan, Hubei 430068)
Abstract Information security is increasingly important electronic files in the information age. The paper analyzed the current outstanding problems facing the information security of electronic records, and the corresponding countermeasures from the aspects of the management of system security, hardware construction and personnel training.
Key words electronic files; information security; countermeasures
1 电子档案优势及信息安全面临的突出问题
1.1 优势及特点
相对于传统的纸质档案,电子档案主要有以下几个优点:(1)纸质档案不利于管理。随着时间的积累,纸质档案积聚如山,需要人手管理,这样就加大了档案部门的工作量。(2)纸质档案不利于处理。对于一些相对而言不太重要的档案,经常是如同鸡肋一样,食之无肉,弃之有味,留着觉得占用空间,处理了又怕将来会用到,让档案部门的同志很是头疼。(3)纸质档案不利于查询、调用。笔者经常可以看到,一些同志因为纸质档案的调用四处奔走,而若采用电子档案,则只需轻点鼠标便可。
1.2 电子档案信息安全面临的突出问题
(1)病毒感染问题。例如上世纪90年代的“米开朗基罗病毒”,它会感染感染软盘的DOS引导扇区和硬盘的主引导扇区,发作时,除了像本来一样进行传染外,还将把硬盘和当时插在软驱中的软盘数据破坏掉,美国的很多电子档案馆和图书馆都深受其害。又如大家熟知的Backorifice特洛伊木马病毒,它是一个windows远程管理工具,能够远程遥控电脑,盗取档案信息资料,危害很大。(2)信息安全保护认识问题。目前,档案部门对于保护档案信息安全的重要性、紧迫性认识普遍不足,通常只是注重纸质档案的保存,或是单纯地关心有多少档案馆建设了电子网络,有多少档案进行了数字化。但是对于档案信息安全这个问题并不太关心,或者说认识不足。与此同时,档案信息管理的操作人员对于安全的意识也过于淡薄,常常利用内部包含有重要档案文件的电脑进行与工作无关的娱乐活动,如看电影,玩游戏等。这样就导致了档案部门内部网络信息的安全面临着极大的隐患,很有可能被外界盗用内部档案信息。
2 信息安全内涵
关于信息安全,国际标准化组织定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露”。安全性问题,实际上包含两层内容:(1)信息系统的安全。(2)信息的安全。而保护信息的安全则是最终的目的。信息的安全性通常由保密性、完整性、可用性和可控性等四大特征来表征。从物理上,信息安全的内涵可以分为如下三个层级:(1)网络级安全。网络级安全是指支撑系统运行的物理设备的安全问题,包括网络基础建设如网络布线、网络连接、局域网和外网的安全问题。网络级安全策略是整个系统得以安全运行的基本保障,这是需要在系统规划阶段严格把关的重要内容之一。(2)数据级安全。主要涉及到系统存储的档案数据的安全问题。其中包括操作系统、数据库管理系统、档案数据存储、数据备份、数据格式的转化以及各类电子文件的保管和异地存储等。只有维护好这些数据系统的安全,我们才能够保证数据版本的更新、数据格式的转化、硬件设备的意外损坏、存储介质的老化、失效等造成的数据丢失甚至是计算机系统的破坏和瘫痪。(3)应用级安全。主要是指档案管理信息系统在实际应用操作的过程中应考虑的基本问题,主要取决于档案部门所采用的应用系统的用户模型的定义模型和使用规则。简单点说,就是各个用户的权限不同。比如,两个不同的单位,运用同一个操作模块,能看到的只是各自单位的数据库,并不能查阅到其他单位的数据库。
3 信息安全对策
(1)建立完善的档案管理制度。我们的每一级档案单位必须根据自身不同的具体情况,细化各项档案安全的规章制度。只有完善了规章制度,我们才能够确保最后的档案安全工作能够落到实处,才能够打造适合自身的档案安全体系。不仅如此,我们还应该在各级单位建立一个档案安全的紧急预案措施。这样一来,不仅可以建立档案安全部门面对突况的快速应急反应体系,而且还能够提高档案安全工作者的安全意识,同时,明确各个工作者的具体责任。
(2)筑牢安全观念。档案信息系统作为一个安全体系,只要其中有一个环节出现了安全问题,都会对(下转第188页)(上接第173页)整个档案部门造成严重的影响。在工作中,要树立电子档案系统安全的“整体安全”的大概念。从档案的基础管理来讲,档案安全包括对已经收集归档的档案进行齐全、完整的收集,其中也包括电子档案不被泄露出去。档案部门的每一个工作人员都应该从思想上重视起档案的安全管理工作,切不可麻痹大意,因为一个环节出现了问题,整个档案部门都会受到极大的影响,同时,也会对档案的归属者造成极其不好的影响。
(3)提升硬件水平,加强技术防范。在硬件方面,我们应该保证电子计算机的正常维护,保护好所有与档案信息有关的设施器材;在软件方面,我们应该积极运用计算机的加密技术,防止计算机病毒的入侵,同时,定期地更新计算机软件,不让网络病毒有机可乘。根据工作实际,设计一套数据备份方案,定期进行数据转储,以备不测。以技术对抗技术是当前最主要的防范手段,技术防范措施主要有:防火墙技术、信息加密技术、身份认证系统等。
(4)引进和培养既懂档案管理,又懂IT技术的复合型人才。众所周知,人才在档案信息化中始终处于主导性地位,是最重要的建设资源,技术引进得再先进,也要靠人才来运用、维持。当我们档案信息安全管理工作出现问题时,总是认为信息化专业型人才的缺失是一个重要的原因。其实不然,我们回想一下,有多少次,档案部门出了资,工厂技术人员也出了力,但是就是收获不到档案信息的实际运用的效果,笔者认为其根本原因还是做出来的软件系统与各个档案部门的实际工作不相适应。专业的IT公司虽然在技术方面能够写出一流的运用软件,但是做出来的软件是否适合我们具体的某些档案部门,亦或是我们档案部门的人员是不是能够熟练地掌握,这就存在着一些磨合的问题。所以说,复合型人才的培养,是我们档案信息管理部门的重中之重。
我国的档案管理日渐进入网络化管理时代,档案信息必将走向数字化。目前惟有加快推进档案管理信息化的步伐,进一步提高档案信息的保护意识,同时采取必要的安全保障措施,引进和培养专门管理人才,才能保障电子档案的信息安全。
参考文献
[1] 薛四新.现代档案管理基础.机械工业出版社.
[2] 郑金月.信息陷阱.新华出版社.
[3] 孙强.信息安全管理.全球最佳实务与实施指南[M].
