前言:中文期刊网精心挑选了信息安全计划范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全计划范文1
现将本学期工作计划公布如下,望各位同学监督指正,不吝赐教:
一.传统文化
1."牵手闵行,心系交大"
与上海市闵行区闵行中学的共建项目开展于XX年10月份,自开展以来受到了学校各界的积极好评.本项目主要包括对高三紧张应考的学生进行学习指导,人生规划指导,报考指导.借鉴自身经历,向更多高三学子传授备考经验等.时至今年,我们将在今年10份继续"牵手闵行,心系交大",以指引更多优秀的同学加入到交大人信安人的行伍之中.
与此同时,我们将在借鉴往年经验的基础上,扩大规模,扩大范围至整个闵行区,并展开与学院学习部协作的机制,共同开展实施共建项目.
届时,我们将在基础学年招募相关志愿者加入我们的行列,我们期待你的加盟!
2."团改金"项目培训指导
"团改金"全称是团组织生活改革基金,是交大一个极具特色的学生活动,做为每个交大的学生都有必要参加.主要是为了提供大家一个课外社会实践的平台,促进提高大家的能力.现在也有许多其他的高校采纳)了我们的做法,可见它的效果。而且,优秀的团改金活动会得到相应的奖励,来鼓励大家继续将这个活动做下去。
本学期,我们将继续对大一各个班级的团支书同学进行培训,以使得各个班级能顺利的开展团改金活动,并提高支部的凝聚力.
欢迎大家前来学院组织部咨询相关事宜.
3.责任和义务
作为一名团员,按时交纳团费,积极完成团组织的下达的指令和任务,切实履行团员的职责.
本学期,我们将配合校团委按时完成团费上缴和团员统计工作,切实履行团组织工作职能.
我们感谢你的配合和理解!
二.前人种树,后人乘凉
首先,感谢过去一年为我们工作创造良好环境的老干部们---陈欣蔚,苏浩,李*杰.
(但凡组织部的干事,日后找此三人,自报家门,必衣食无忧!)
1.破冰
我们将在学生会的统一安排下进行招新工作,吸纳更多的优秀同学成为我部干事.并将对其进行定期的培训,内容包括:
a.与名师对话:邀请有学生工作经验的学长,老师进行工作交流和指导.
b.破冰:在招募完成后,立即进行团队组建和破冰活动,我们将突破以往的形式,实施新的部门工作形式.以工作小组和工作团队的形式进行项目攻关,以提高效率和责任制.同时,我们也希望组织各个班级的班长以及团支书进行相应的培训,以鼓励大家在日后工作中积极的配合和协作!
c.交换生:我们将定期与其他部门进行干事交换项目,以锻炼更多的人才.
2.utjs项目
utjs即是体验式培训项目的简称,我们将在大一年级开展相关培训,以增强支部的凝聚力.我们将邀请我院资深培训导师,院团委书记朱春玲老师为我们新生进行指导培训工作.
3.过度和转折
信息安全计划范文2
关键词:智能电网 信息安全 安全防护
中图分类号:TM76 文献标识码:A 文章编号:1007-9416(2012)07-0170-01
1、引言
电力系统在不断发展的同时,面临许多矛盾和问题,例如:经济发展与电力建设之间的矛盾、电网复杂度增加与控制技术之间的矛盾、电力质量与用户要求之间的矛盾,等[1]。针对电力系统发展面临的矛盾与挑战,智能电网的概念被提出,国外政府部门及研究机构纷纷提出了各自的智能电网计划,中国国家电网公司提出了建设特高压电网为骨干,各级电网协调发展,具有信息化、自动化、互动化为特征的坚强智能电网的发展目标[2]。
智能电网是基于数字控制的,大量的电网相关设备连接到计算机上,基于计算机和计算机网络的信息安全威胁着电力系统的正常运行,如果电力系统中存在安全漏洞且被不怀好意之人利用,可以直接造成特定地区大面积停电,进而影响国民经济生产,甚至对国家安全造成严重威胁,所以信息安全防护系统是智能电网的重要组成部分。
2、智能电网概述
目前,世界各国掀起了智能电网研究的热潮,由于各国经济水平发展情况、电网建设能力存在不同,所以各国对智能电网建设上的侧重点也有所不同,美国对智能电网的描述为:智能电网通过利用数字技术提高电力系统的可靠性、安全性和运行效率,利用信息技术实现对电力系统运行、维护和对规划方案的动态优化,对各类资源和服务进行整合重组。欧洲的智能电网概述为:通过采用创新性的产品和服务,使用智能检测、控制和自愈技术,整合发电方和用户的行文和行动,保证电力供应持续、安全和经济。我国提出了坚强智能电网概念:以特高压为骨干网架、各级电网协调发展的坚强电网为基础,以通信信息平台为支撑,具有信息化、自动化、互动化特征,包含发电、输电、变电、配电、用电和调度各个环节,覆盖所有电压等级,实现“电力流、信息流、业务流”的高度一体化融合的现代电网[3]。
总体而言,智能电网包括发电、输电、控制、配电及用户等方面,智能电网的组成系统有:能源提供系统、能量管理系统(EMS)、数据采集与监控(SCADA)系统、相量测量单元/广域测量系统(PMU/WAMS)和用户信息系统等。智能电网具有自愈、安全、兼容、交互、协调、高效、优质、集成的特征。
3、智能电网的信息安全防护技术
智能电网要求实现各分布式计算机管理系统及监控系统的互联互通,基于计算机和网络技术的管理和监控系统的信息安全问题给电力系统带了的威胁越来越大。针对电力系统的攻击可分为三类:根据电力设备及管理漏洞,直接对电力系统进行攻击;利用电力设施,实现对国家的攻击;透过电力系统攻击国家。电力系统的信息安全涉及到电力系统乃至国家和社会的稳定,智能电网的各个环节及系统均需要采取必要的安全防护技术,保证电网的稳定、高效运行。智能电网系统涉及到的安全防护技术主要有下述几类。
3.1 身份认证和访问控制技术
作为智能电网重要组成部分的电网监控系统大多数支持远程登陆,用以支持专业人员进行远程登陆、调试和检测及故障处理,如果远程登陆系统存在安全隐患必将对电力系统带来巨大的危害,所以远程登陆必须要有严格的认证机制和加密机制。基于角色的访问控制技术是一种成熟的资源存取控制机制,其基本上思想是将数据库的访问权限封装在角色中,用户通过被赋予不同的角色来访问数据库资源,一个用户可以隶属于不同的角色,一个角色也可以包括若干个用户,用户和角色的关系是动态变化的。基于角色的访问控制优点是能够灵活表达和实现组织的安全策略,并且简化了授权管理。
3.2 VPN技术
VPN(Virtual Private Network)是虚拟专用网的简称,这种网络的架设是为了实现本机构的主机之间的机构内部通信,如果该网络不同网点之间的通信必须经过公用的因特网,但又有保密要求,那么所有通过因特网的数据必须加密。VPN在效果上和真正地专用网一样,可以保证数据经由因特网的安全,构建VPN网络必须为通信的不同网点配置专门的硬件和软件。智能电网对网络业务传输的实时性和安全性要求都很高,VPN技术可以对智能电网的建设提供支持。
3.3 防火墙和入侵检测技术
不管是基于windows系统还是linux系统的电力管理系统和监控系统,如果维护不当,操作系统本生就有很多的安全漏洞,且基于web技术的大量应用程序的使用加大了计算机系统遭受木马和病毒攻击的概率,防火墙和入侵检测系统的部署对于智能电网的的网络安全意义重大。防火墙是网络之间加强访问控制的一系列网络设备,包括了整个网络的安全策略和行为,是保障网络安全的重要手段。入侵检测系统检测来自外部的网络入侵行为以及违反安全策略的内部行为。防火墙和入侵检测系统在智能电网中的部署可以有效防范网络攻击和用户本身的一些不安全操作。
参考文献
[1]江道灼,申屠刚,李海翔 等.基础信息的标准化和规范化在智能电网建设中的作用和意义[J].电力系统自动化,2009,33(20):1-6.
[2]马韬韬,郭创新,曹一家 等.电网智能调度自动化系统研究现状及发展趋势[J].电力系统自动化,2010,34(9):7-11.
信息安全计划范文3
关键词:资产;风险;信息安全管理体系
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)10-2337-03
Planning for Information Security Management System Based on ISO27001
LIU Xia
(Deparment of Computer Science and Technology, Tongji University, Shanghai 201804, China)
Abstract: As the increasing dependence on urban rail transport system and the establishment of an integrated information network, we must take into account the destruction of man-made impact on the system. Now, heterogeneous transport information network composed of various information systems will be pared with the information security issues of the past closed system, large-scale heterogeneous network security issues become more important. So, it is necessary to establish the information security management system of rail transport information systems as soon as possible. Based on the standards ISO27001, this thesis gives a primary planning for the security management system of rail transport information systems.
Key words: asset; risk; information security management system
大型异构网的建立带来了许多新的安全需求和安全问题,例如Nawa[1]提出了许多数字安全化信息领域的潜在安全问题,Connell[2]等人也提出了许多安全需求,并且随着网络规模的扩大,网络的薄弱环节受到攻击的可能性会增加,安全管理问题也变得更加重要。组成轨道交通综合信息网的系统的复杂性使得网络面临更严重的安全威胁 [3]。本文立足于现有的安全技术和管理体系,建立了符合国际标准的安全管理体系。
1 信息安全管理体系规划
信息安全管理体系(ISMS,Information Security Management System)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系,它是直接管理活动的结果,表示为方针、原则、方法、计划、活动、程序、过程和资源的集合[4]。目前的信息安全管理体系有基于BS-7799[5]的信息安全管理体系、基于SSE-CMM[6]的信息安全管理体系和基于等级保护[7]的信息安全管理体系等。
其中ISO27001信息安全管理体系共有信息安全方针、信息安全组织、资产管理、人力资源安全、物理与环境安全、通信和操作管理、访问控制、信息系统的获取、开发与维护、信息安全事故管理、业务持续性管理和法律符合性11个要项组成,考虑到了信息安全管理的各个方面,但也只是给出了大概的规则,本文参照ISO27001标准将资产管理、通信和操作管理、访问控制三个要项做了细化。
1.1 资产管理
资产管理主要是对资产进行分类和采取保护措施。对于信息系统中的重要资产,应进行分类管理,为了更加快捷的定位于资产,建立了一个资产索引,命名为:Asset+”_”+序号。采用这种方法建立了一个资产清单。
为了更有效地进行资产管理,首先进行合理的资产评估,不仅要考虑到资产的安全特性(机密性、完整性、可用性),还要考虑资产对业务的重要程度。
1)安全特性的衡量:通过保障安全特性,就能实现资产安全的保障,这也是风险评估的基本原则之一。
2)业务价值的衡量:资产的重要程度的量化主要体现在业务量上。相关工作人员可根据经验得出各资产的重要性等级,为了与安全特性统一起见,也采用1-5五个等级来划分,资产的重要性用P表示。
在对资产安全特性和重要性进行量化的基础上,可以对资产进行评估。假设某信息资源管理系统S由硬件设备管理系统S1、软件设备管理系统S2和信息管理系统S3组成(n=3)。
3)风险发生概率的计算:鉴于计算中的指标要求,相关人员参考表1中各资产赋值情况,本风险发生概率受威胁、脆弱性、保护手段有效性等风险因素的影响,参照表1,转化为所需要的属性赋值,如表2所示。
由5位专家(q=5)对数据库服务器、核心交换机、总工作站等资产(u=3)就威胁、脆弱性、保护手段有效性评估因素(v=3)进行评判,结果如表2所示。以下是子系统S1的风险发生概率的计算[8]:
根据专家的相关经验评估的数据得到模糊评判矩阵:
,
去模糊化的矩阵为:,
将其归一化后,得到矩阵:。
得到各资产的熵系数向量M2=(e1,e2,e3)=(0.964,0.973,0.973)。
归一化后得w2=(0.33,0.34,0.33)。
最后得评估矩阵H2=?A2.R"2=(0.28,0.35,0.37)。
子系统S1的风险发生概率R=1-(1-0.28)(1-0.35)(1-0.37)=0.7。
同理可得,子系统S2和S3的风险发生概率分别为0.4和0.55。
结合专家对三个子系统的重要性、系统间相互作用和系统复杂性对风险发生概率的影响的估计,可得系统S的风险发生概率R=0.65。
4) 风险产生影响的计算:改进后的风险影响的计算方法中包括资产综合值、资产损失、能力损失、修复费用等影响因素。改进后的计算方法对影响区间进行了更细的划分,表3是专家对各资产的影响主观评估情况。
对某种类型的影响,基本参数是在各个区间上的取值的概率,对marginal和critical两种情况来说,附加参数是选择某个取值区间的概率。
对数据库服务器、核心交换机、总工作站风险影响的计算采用表3和表4中的数据得到影响值0.68。
A-F表示对风险影响严重程度划分的连续区间:minor->A:[0,0.15),marginal->B:[0.15,0.3) C:[0.3,0.5),critical->D:[0.5,0.7) E:[0.7,0.85),catastrophic->F:[0.85,1.0),表3中的数据表示每个区间所取的基准值。
将以上计算得到的风险发生概率和风险影响值相乘,可以获得系统的风险严重程度R?0.44。因此,这是一个中等风险的信息系统。
2.2 通信和操作管理
2.2.1 设备操作
1) 普通设备:对信息处理设备严格按照文件化设备操作程序进行操作,对不同的操作人员限制不同的权限,并定期工作人员进行培;提供主要网络设备(核心路由器、核心服务器)、通信线路和数据处理系统的硬件冗余,骨干线路也应该有冗余线路;提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放,提供异地数据备份。
2) 介质:介质应存放在介质库或申通各部门指定的地方,由专人妥善保存在安全环境中,保证有较少的人接触,对介质的使用必须遵循各介质的使用权限,并适时的做必要的备份;对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点。
2.2.2 通信
1) 通信线路:通信线路是实现数据传输的物理线路,包括网线、光纤等。应符合以下要求:通信线路采用铺设或租用专线方式建设;远离强电磁场辐射源,埋于地下或采用金属套管;定期测试信号强度,以确定是否有非法装置接入线路。
2) 网络和基础支持结构:条件许可时,将网络操作和计算机操作的责任分离,建立对远程设备的管理责任,采用防火墙技术增强申通内网和外网通信的安全性,建立认证、跟踪、日志记录和用户监控机制,以满足网络事件的监控管理要求,如可在数据中心安装接入认证(LDAP、AAA、Radius)服务器等。
2.3 访问控制
1) 对信息的访问:对信息的访问控制主要是保证信息的完整性、保密性和可用性;通过加密等技术保证信息在传输过程中不被破坏为;在一些公用段的应用服务器机房,采用备份或冗余设备对重要信息进行及时的备份;对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。
2) 对系统和设备的访问:在关键的物理设备处,应采用接地方式防止外界电磁干扰;根据安全策略对操作系统、数据库和文件等根据访问人员角色的不同分配不同的访问权限,对普通用户访问权限建议半年检查一次,对特殊访问权建议3个月检查一次。
3 结论
本文对ISO27001安全管理体系的几个要项有针对性做了一些细化,建立了一套行之有效的安全管理体系,其中在对资产的管理要项中以对资产的风险评估为根据对资产进行管理,但所建立的信息安全管理体系还缺乏一定的可操作性,需要结合具体情况进一步完善。
参考文献:
[1] Michael E, Whitman. Principle of Information Security[M].Second Edition.北京:清华大学出版社,2006:173-190.
[2] Muftic S, Sloman M. Security Architecture for Distributed Systems[J].Computer Communication,1994,17(7):492-500.
[3] Abowd G, Allen R. Formalizing Style to Understand Descriptions of Software Architecture[J].ACM Transactions on Software Engineering and Methodology, 1995,4(4):319-364.
[4] 孙强.信息安全管理[M].北京: 清华大学出版社,2004.
[5] National Computer Center. Trusted Computer System Evaluation Criteria[R]. Technical Report DoD 5200.28-STD,1985.
[6] Paola Inverardi, Alexander L. Wolf. Formal Specification and Analysis of Software Architectures Using the Chemical Abstract Machine Model[J]. IEEE Transactions on Software Engineering,1995,21(4): 373-386.
信息安全计划范文4
[关键词]环境监测;信息化技术;安全;监管体系
中图分类号:X832 文献标识码:A 文章编号:1009-914X(2016)14-0365-01
引言
新时期下,随着经济全球化的快速发展,促进了各类技术手段和信息化技术的应用。使得环境保护过程中也不断向信息化发展,信息化是环境监测现代化的重要标志,同时,从当前环境监测信息化建设的角度来看,要想对环境进行现代化、科学化的保护和管理,就要加大环境监测信息化的建设并对其信息安全进行分析和研究。由于当前各种环境数据信息越来越多,而之前由人工进行处理和保护的方式已经不能满足现代化社会的需求。由此可见,加大对环境监测信息化以及信息安全方面的研究,将对现实需求具有十分重要的意义。
1、环境监测信息化以及信息安全现状分析
1.1 环境监测信息化过程中缺乏整体规划,造成“信息孤岛”
技术的进步以及时代的发展要求环境监测部门进行信息化建设,而且监测工作对于信息系统的需求也逐渐增大。对于一个环境监测系统来说,其需要实现办公室自动化、环境质量和污染源自动监测系统、人事、资产管理系统以及实验室信息管理系统等。而这些部门以及这些系统之间是存在联系的,必须实现彼此在信息上的共享和交换,它们并不是孤立存在的。然而很多单位在进行环境监测信息化的过程中并没有考虑到这一点,没有进行整体规划,仅仅是对于某一部门进行了信息化建设,从而造成“信息孤岛”。这种现象会使得不同应用系统之间缺乏沟通,不能实现信息共享,而且还数据的导出还需要人工操作,增加了误差和工作量。
1.2 环境监测信息化过程中的存在很多项目管理问题
首先,项目范围难以控制。由于当前委托开发普遍是我国环境监测信息化系统采用的一种开发形式,然而我国在环境监测方面发展还不成熟,因此针对被委托的监测站来说,其不能实现监测项目的定位,如对于监测项目目的以及监测项目需要达到的程度等不太了解,这就很难确定并控制监测项目的范围。再加上很多单位在进行系统开发时仅仅是根据其中一个部门的需要来进行单独开发,这样就不能实现各个系统之间的有效衔接,信息不能共享和交换,从而难以掌握环境监测项目的范围。其次,缺乏对环境监测项目进度的有效管理和控制。当对环境监测项目进行启动之后,单位一般会指定一名业务员与委托监测方进行沟通和联系,这种形式就导致单位对项目缺乏必要的控制,从而影响到项目的进度。另外,缺乏对项目需求的准确定位。随着现代化知识的发展,业务人员逐渐加深了对环境监测信息系统的认识,那么业务需求也会随之发生变化,从而带动监测项目需求的变化,这就对于项目具体实施的控制力度有所减弱。
1.3 缺乏对业务重要性的了解,导致环境监测信息安全受到威胁
一般情况下,在对环境进行测试的过程中,首先要对项目内部以及外部的建设环境进行全面了解,而这项工作对于环境监测信息化来说更是有必要的。然而在环境监测信息化过程中,对一些业务的重要性以及实际需求缺乏一个正确的认识。从而导致很多单位并没有针对其整个业务需求,而是盲目进行环境监测信息化建设。最后造成这些单位仅仅是进行单一部门的信息系统建设,并不具备综合处理信息的能力。另外,由于缺乏对业务的了解,使得部门与部门之间的信息化不能实现配套建设,信息数据不能实现安全保障。这种情况不仅浪费了大量财力、物力,而且导致整个环境监测信息系统失去安全保护能力,从而不能满足信息化建设需求。
2、实现环境监测信息化与信息安全的建议
2.1 进行环境监测信息化前要做好整体规划
只有对环境监测信息化做好整体规划,才能够顺利进行监测信息化的工作。因此,为了满足未来环境监测的需求,有关环境监测的设计人员,在进行环境监测信息化之前,有必要对其整体规划进行设计和掌握。首先,要对哪一部门需要应用什么系统,哪些部门需要IT技术来支持等进行了解,如为实现高效管理,管理部门需什么系统,为实现高效监测,监测部门需要什么监测系统等。其次,要对各部门以及各系统的需求以及这些需求之间的关系进行深入分析和了解。如办公系统中的数据是由哪一部门、什么系统提供的,数据分析系统中需要哪些其他系统提供数据以供分析,管理系统与业务系统之间的数据关系是怎样的等等。还要对环境监测信息化的目标,以及目标与现状的差距进行了解。另外,在环境监测信息化过程中,要对哪一部门的业务需求比较重要和紧急,而哪一部门的业务需求比较轻缓进行全面把握,这样就能够针对具体情况,逐步引进应用信息系统,从而逐步实现信息化。
2.2 在环境监测信息化过程中要加大对项目管理的重视度
在环境监测信息化过程中可以对国际先进项目管理办法进行参考和借鉴,对监测项目进行体系化的管理。在环境监测项目启动时,要从整体上对项目进行合理规划和设计,并加强对项目的管理和控制。要对项目每个发展阶段进行了解,如对其阶段性的任务、目的以及与下一发展阶段的关系等进行认识,并将这种认识付诸于项目的实际实施之中。首先,要加大对项目变更的控制并对其进行需求管理。1)综合运用多种方法,对环境监测项目进行调研,深入挖掘业务部门的需求,并加强各部门之间的沟通,便于对各方面需求进行了解;2)要对环境监测站业务进行深入了解,并对业务部门的需求以及需求提出的背景进行了解和掌握;3)对业务需求的变更进行合理处理,严格控制对组织影响较大的业务变革。其次,严格控制环境监测项目进度。在环境监测信息化过程中,应当加强与领导以及监测站的交流和沟通,从而实现对项目进度的有效控制。
2.3 树立环境保护信息安全观念,建立环境信息安全综合监管体系
信息化以及信息安全关系着我国环境保护的工作大局,因为环境监测信息化中的各种应用系统,如污染源自动监控系统、环境统计系统以及环境监测项目评价系统等,都关系着我国国家级的信息安全,是我国环境战略的重要数据资源。因此,首先必须要树立环境信息安全的观念,深刻认识到信息化和信息安全之于我国环境监测工作的重要性。其次,构建环境信息安全综合监管体系,从管理的角度对环境信息安全进行监控。而监管体系的建立需要一个优秀的组织来支持,可以选拔相关负责人、IT主管以及专业处理信息安全的人员来组成一个管理体系,对环境监测信息进行两个层面的监管和保护,即管理层和执行层,从而使得环境监测信息得到有效保护。另外,要加强对先进信息安全技术的引进和应用,从技术层保障环境信息安全。
2.4立足应用,促进发展
环境监测信息化发展绝不是什么形象工程,我们要下大力气挖掘现有监测信息系统的功能和作用,使其全面应用于我们日常监测工作的实际,在运行过程中要注意发现问题,及时总结修改,为信息化工作的深入开展打下坚实基础。
2.5完善队伍,吸引人才
人才培养和人才资源是环境监测信息化建设中的重要因素,要有效推进信息化工作,必须依靠高素质的人才队伍。各环境监测单位要选好人才,用好人才,培养好人才,要建立适合人才发展的科学的考核制度和科研体系,使环境保护工作后继有人。
3、结束语
由上文可见,作为国家信息化建设的一种重要方面,环境监测信息化是提高环境管理效率、实现其科学监督和管理的重要保障。但是随着危害信息安全事件的逐渐增多,环境信息安全也受到了严重威胁。因此必须加强对环境监测信息化以及信息安全的研究。
参考文献
[1] 潘玉虎,李宏波.环境监测信息化建设的问题分析与对策[J].科技风,2014,11(25).
[2] 王丽媛,叶锴,李京.浅谈深入信息化建设促进环境监测转型发展[J].环境科学与管理,2014,8(15).
信息安全计划范文5
本报讯(记者 胡英)为深化信息安全技术测评工作,近日,中国信息安全测评中心正式挂牌成立。
该中心的前身是“中国信息安全产品测评认证中心”。2001年,国家质检总局设立了“中国信息安全产品测评认证中心”,负责我国信息安全测评与认证工作。2004年,国家质检总局等八部委联合下发了《关于建立国家信息安全认证认可体系的通知》,实行测评和认证职能分离。2004年10月,“中国信息安全产品测评认证中心”将信息安全产品的认证工作移交给新成立的“中国信息安全认证中心”,随后,“中国信息安全产品测评认证中心”更名为“中国信息安全测评中心”,隶属于国家质检总局,主要职责是承担中国信息安全产品的测评工作,为认证工作提供科学、权威、客观、公正的技术依据; 与此同时,增加对我国基础信息网络和重要信息系统进行风险评估的新职能。
经过多年发展,中心目前基本建立了对信息安全产品、信息系统安全性、信息安全服务资质和信息安全专业人员资质进行测评认证的能力; 形成较为完备的组织工作体系; 对1000多个产品、系统和服务厂商实施了测评认证,对数千名信息安全专业人员进行了认证和国家注册; 主持制定了10多项体现我国特色的测评技术国家标准; 为10多个中央和国家部委提供了安全技术测评服务。
作为国家风险评估专控队伍,测评中心近年来承担了对我国基础信息网络和重要信息系统以及奥运网络信息系统的风险评估与安全检查工作任务,发现了大量安全漏洞和网络失泄密隐患,提出了有效整改建议,及时堵塞了漏洞、消除了隐患,为确保北京奥运会的成功举办和维护国家信息安全发挥了重要作用。
新闻点评: 信息安全测评工作是信息安全保障的基础性工作,特别是在当前我国信息技术与产业核心竞争力还不强、关键技术和设备受制于人的情况下,严格把住信息技术产品的质量关尤为重要。
信息安全计划范文6
关键词:档案;信息;网络化;
中图分类号:G271 文献标识码:A 文章编号:1674-3520(2015)-04-00-01
二十一世纪,是一个网络的时代。打开计算机,网上浏览一圈,就知天下事。这是信息网络时代的突出特点。人们在小小的电脑前,可以快捷、准确、高效,远距离地实现自己的愿望,真是方便又明了。这就是信息网络时代对档案利用者带来的优越,也是档案工作的一种变革,更是一种挑战。随着科学技术的迅猛发展,信息网络的连通,档案工作者只有随时代的发展而提高自己,实现网上办公、网上用档,才能准确、高效地为利用者服务,才能让档案信息体现出真正的有效价值。
一、实现档案信息网络化的对策
随着网上办公、网上用档的普及,档案部门还有许多工作要做,针对网上用档的条件,我们还必须做好以下几方面工作,为档案实现信息网络化奠定坚实的基础。
(一)加强网上用档管理理论研究。为了更好地开展网上工作,保证提供系统、完整、真实的电子文件信息给利用者,我们必须加强归档电子文件的理论研究,其探讨的理论主要包括:1、用文字处理技术形成的电子文件,归档时应有文字存储格式、属性和文字处理平台的说明材料。2、用扫描仪等设备获得的图像电子文件,用计算机辅助设计或绘图等获得的图形电子文件等如何归档的理论研究。3、档案信息上网后信息如何管理、利用的理论研究。4、档案信息源如何系统编辑上网的理论研究等等。
(二)加强档案部门网上办公先进设备的配置。现阶段档案部门设备十分落后,现代化程度不高。因此,我们要加强宣传,争取社会的支持,争取政府加大对档案事业的投入。再就是要把档案事业推向市场,让档案体现其经济价值,把档案信息作为一种特殊商品经营,增加社会对档案事业的投入。总之,要采取多种方式来解决档案资金的不足,以便档案界配置先进的管理设备。
(三)加强档案管理人才的培养。人才决定事业成败,档案事业发展与否,关键在人才。网络时代,档案管理人才必须重新更新自己的知识,争做档案信息网络管理软件的编辑开发人才,争做网络档案信息管理人才,争做网络档案信息源组织编研人才和其它载体形式的管理人才。
(四)加强网上用档的法律、制度的制定。必须加强网上用档工作立法和制度的建设,用法律和制度来保障档案资源的齐全完整。为此,需要从以下几方面进行规范:1、加强网上用档的立法规定,对那些非授权访问,冒充合法用户破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等形式的犯罪分子,要以法律为武器进行坚决的打击。2、制定应急计划,进行安全检查和审计,撰写安全情况汇报的规定;3、严格进行权限管理,包括授予完成工作所需最小特权、回收特权的规定。4、网上查阅档案信息目录的规定。5、定期进行安全评估,不断改进、优化系统的规定。
二、档案信息网络安全管理与防护措施
随着计算机技术的不断发展,在网络环境下,各种破坏手段、病毒及黑客攻击等无时无刻都在威胁着电子档案信息的安全管理。因此,档案信息网络安全管理需要管理的网络、存储设备、主机服务器、系统软件等都应该有相对较高的安全管理及安全防护措施。以下粗浅的谈几点网络安全管理与防护的措施,仅供参考:
(一)做好网关病毒入侵的防御工作
如今,计算机病毒通过互联网进行传播,因此,做好网关病毒入侵的防御工作,可以起到防患于未然的作用,这样可以将病毒防御工作做在开头,而非等到病毒入侵之后造成一定破坏才去做亡羊补牢的杀毒工作。其具体措施为:首先,阻截来自互联网的文件病毒入侵内部网络,对进出的数据信息全部进行杀毒;其次,阻截来自互联网的黑客对应用服务器的破坏及入侵;另外,阻截来自互联网的病毒对终端操作系统的入侵及破坏,并禁止病毒在内部网络之间相互传播。
(二)提升档案信息管理人员的专业素质和网络安全意识
在档案信息的安全管理过程中,档案管理人员的专业素质及网络安全意识在很大程度上决定着档案信息管理的安全与否。因为,在档案管理过程中,存在的安全隐患并非完全来自计算机软硬件方面,另外还涉及到档案信息管理人员的安全意识及安全防护措施,因此,在档案信息管理过程中,管理人员必须做到杜绝用档案管理专用机访问外网;坚决不在档案管理专用机上随意安装软件;尽量不要利用U盘移交档案信息,在迫不得已的情况下,也一定要对U盘进行彻底杀毒;另外,互联网上每时每刻都在传送各种各样、形形的文件,而这些文件,或多或少都带着一定的病毒,甚至有些文件根本就是黑客和病毒入侵的一种媒介,因此,对于一些无法搞清楚来路以及内容的文件,千万不要打开,也不要接受陌生人发的文件,只有做好这些防范工作,才能做到在最大限度内对病毒、黑客等入侵的防范工作,以确保档案信息的网络安全管理工作。
(三)做好防火墙的访问防范工作
防火墙处于网络安全的最底层,不但为网络应用提供安全服务,也承担着网络病毒、垃圾等的过滤任务,是内网与外网之间的重要防护屏。因此,做好防火墙的访问权限及防范工作,力争将网络病毒、垃圾等侵害网络安全的因素阻挡在防火墙之外,这一环节对于档案信息网络安全管理与防护有着直接而至关重要的作用;另外,在档案信息管理系统和每个地区的服务点之间,还有安全等级不相同的系统之间的互联边界处,也应该利用防火墙做好访问防范工作,还以利用划分虚拟局域网来增强网络安全防护效果。
三、结语
档案信息网络化管理让档案信息快速、及时、准确地为用户提供相应的档案信息服务的同时,相比传统的纸质档案,也在安全管理与防护方面存在着较大隐患。因此,做好档案信息网络安全管理与防护体系并为其提供安全的网络环境及管理人员显得尤为重要,才能更大程度地发挥档案信息的效益,才能保证档案信息在网络环境下的完整及安全。
参考文献:
[1]宋晓辉.档案信息网络化及安全策略[J].苏州科技学院学报(社会科学版),2005(03).
