前言:中文期刊网精心挑选了安全体系论文范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
安全体系论文范文1
从这个规定可以看出,在电子政务环境下,信息安全主要包括系统实体安全、人员安全、应用软件安全、运行安全和数据安全。电子政务系统中的实体是指系统运行所需要的计算机设备、网络设备设施等,实体安全就是保证这些设施不受自然因素和人为因素破坏和影响,保证设备的正常运行,通常分为人员安全、运行安全和数据安全三部分。人员安全是指使用电子政务系统的政府工作人员、系统管理员的安全技能、安全意识和法律意识等;电子政务系统中开发了大量的应用软件,要确保操作系统不存在安全漏洞和缺陷,能够抵制外来的破坏;运行安全是指电子政务系统在运行过程中的安全,包括系统不受病毒和网络黑客的攻击等;数据安全是指电子政务系统中的数据和信息不被非法访问、更改和破坏,包括数据加密解密、数据备份与恢复、审计跟踪、访问控制、网络安全和数据库安全等。
2电子政务信息安全保障体系
从电子政务系统安全的总需求来看,其中的网络安全、信息内容安全等可以通过开放系统互连安全体系提供的安全服务、安全机制及其管理获得,但所获得的这些安全性只解决了与通信和互连有关的安全问题,而涉及与信息系统构成组件,运行环境安全有关的其他问题(如物理安全、系统安全等)等,还需要从技术措施和管理措施两个方面来考虑解决方案。一个完整的电子政务信息安全体系包括基础设施体系、技术保障体系和管理体系三部分组成,如图1所示:
2.1基础设施体系
电子政务系统的基础设施包括政务内网、政务外网、电子政务信息专用网三部分。政务内网用于运行内部办公系统、基础数据和业务数据存储管理,通过路由器接入电子政务信息专网;电子政务信息专网,实现国家、省、市、县四级政府部门的信息共享与交换;政务外网通过防火墙接入国际互联网,为社会提供电子政务信息服务。电子政务系统的内网是整个政务信息化的基础,负担了大部分的政务信息和政务信息系统。电子政务内网与外部网络通过网络物理隔离,存在的安全威胁主要来自内部区域的不安全因素,内网安全集中表现在应用系统的安全和数据信息的安全上。安全域是由一系列相互信任,具有相同的信息安全需求的终端或系统等组成的逻辑网络区域,为达到安全目的,安全域基于信息安全标准,从系统信息安全的角度划分,可将电子政务网络划分为多个安全域。即使用交换机或者网络结构划分为不同的子网或VLAN,并对不同的子网或VLAN进行安全策略设置,防止不同安全域之间的非授权互访。电子政务网络安全域划分后,同一安全域的终端或系统相互信任,并具有相同信息安全访问控制策略和边界控制策略。
2.2技术保障体系
信息安全体系的建设是一个复杂的系统工程,需要从多角度、多层次进行分析和控制,根据电子政务网络的不同层次,采取有针对性的技术措施,主要包括物理层安全、网络层安全、系统层安全和应用层安全等。物理层安全是指电子政务系统运行的物理环境的安全。通过对电力供应设备以及信息系统组成的抗电磁干扰和电磁泄露性能的选择性措施;通过物理机械强度标准的控制使信息系统的建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全。网络层安全就是确保该层的交换机,路由器、防火墙等设备的安全性。通常采取的技术措施包括:网络访问控制、远程接入控制、内容安全等相关控制措施。网络访问控制是在网络层实现访问控制措施,以限制主体对客体资源的访问,适当的访问控制能够阻止未经许可的用户有意或无意地获取敏感信息。远程接入建议选择较为安全的VPN接入方式,如果采用拨号接入,则建议在拨号后结合采用VPN进行远程连接,然后通过对安全策略的统一管理和设置,确保所提供的安全功能得到有效地实施。内容安全包括对恶意代码及垃圾邮件等通过正常协议传输的恶意信息的过滤、拦截,可采用统一威胁管理、入侵防护系统、防火墙等安全措施措施。系统层安全是指电子政务平台下操作系统的安全。它通过对信息系统与安全相关组件的操作系统的安全性选择措施或自主控制,使信息系统安全组件的软件工作平台达到相应的安全等级。一方面阻止任何形式的非授权行为对信息系统安全组件的入侵或接管系统管理权;另一方面避免操作平台自身的脆弱性和漏洞引发的风险。应用层安全主要是指电子政务平台的安全和运行在此平台上的各应用系统的安全。它主要采取身份认证、访问控制等安全措施,保证应用系统自身的安全性,以及与其他系统进行数据交互时所传输数据的安全性;采取审计措施在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。
2.3管理体系
电子政务信息安全管理体系的关键在于建立一个有效的安全管理组织机构和管理制度。管理机构以单位主管信息工作的负责人为首,有行使国家安全、公共安全、机要和保密职能的部门负责人和信息系统主要负责人参与组成。主要负责是规划并协调各方面力量实施信息系统的安全方案,制定、修改安全策略,处理安全事故等。安全管理制度包括安全责任制度、系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、管理和操作人员管理制度、机房安全管理制度、定期安检与安监管理制度、网络通信安全管理制度、病毒防治管理制度、信息保护制度等。
3结语
安全体系论文范文2
关键词:信息化;信息资源;信息安全
中图分类号:F49文献标识码:A
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
四、结束语
安全体系论文范文3
论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
安全体系论文范文4
通过井口监控系统,操作人员在中控室中不但可以实时地监测井口的关键参数,而且能够随时调用上位机记录监测的参数,然后利用该参数自动生成的曲线进行分析,甚至可以进行远程关井操作。井口监控系统具备数据远传、视频监控、关井控制等功能,已成为高压油气井科学管理的重要工具。
系统配置
1关键数据监测
对于高压油气井,关键参数通常包括气井压力、气井温度、套管压力、管汇压力、管汇温度、地面安全阀压力、井下安全阀压力、水套炉温度等[3]。加强关键参数的实时监测,对油气井的科学管理和合理开发具有重要意义。例如:观察气井压力变化,有助于分析地层压力变化情况,判断油嘴是否刺大或出现沙堵现象;观察管汇压力的变化,有助于判断集输管道是否有堵塞或刺漏现象发生;观察地面安全阀和气井压力,当压力降低时,有助于提醒工作人员井口可能发生异常关井。
2数据采集
设备自动化系统中,PLC和RTU是应用最广泛的两种自动化控制产品。PLC功能强大、编程方便,主要用于工厂车间流水线的控制。RTU则是对传统PLC在远程和分布式应用的产品补充,更适用于现代化新兴行业的分散监控需求。在应用方面,PLC正常工作环境温度0~50℃,而RTU-40~75℃,能够在极端温度环境中正常工作。在通讯配置方面,PLC通信接口及通信协议较单一,只适用于相对固定和统一的站内控制系统,而RTU一般具备3~5个或更多的通信接口,可与其他不同种类设备相连,特别适用于SCADA系统。在存储量方面,PLC提供的数据存储空间只有几十k字节,而RTU的存储空间可达1~32M字节,远大于PLC的存储量。此外,RTU采用内嵌式流量计算程序,可代替流量计算机,直接用于计量及存储历史记录等,因此RTU更适用于井口数据采集[4]RTU在塔里木、克拉玛依、长庆等国内各大油气田已得到广泛应用。在油气田管理上,RTU充分体现了油气井自动化和生产分析设计工作有机结合的思路。其在提高信号传输可靠性、减轻主机负担、减少信号电缆用量、节省安装费用及管道的敷设等方面得到了广大用户的肯定[5]。雅克拉凝析气田目前采用的是ECHO公司的RTU产品,性能比较稳定,能够满足井口安全生产需要[6]。
3通讯方式数传电台是较经济的无线通讯设备,但其通讯能力有限,最高传输速率19200bps,不能满足大数据量传输需求[7]。无线网桥可达300M带宽,可满足常规数据传输量需求,但受外界因素影响较大,高山、磁场、沙尘天气等均能对其造成影响,信号不够稳定。雅克拉凝析气田开始使用的是数传电台,采用一主多从,轮询方式与从站通讯,电台型号为美国MDS2710,其最高传输速率19200bps,数据传输转换时间7ms,接收灵敏度-111dBm。但随着信息传输量的增大,特别是视频信号的加入,数传电台已完全不能满足数据传输需求,逐渐被淘汰。目前雅克拉凝析气田各井口均已实现电网和光纤覆盖,采用ADSS光缆和先进的光端机,其带宽可达千兆,能够满足各种信号的传输需求。
4液压控制
柜液压控制柜的设计需要与现场工况相符,雅克拉凝析气田地处戈壁荒漠,冬寒夏热,昼夜温差大,因此对控制柜的各种性能和元器件的质量提出了较为苛刻的要求。(1)高/低压自动关井。当管道发生刺漏、爆裂、憋压等情况时,管汇压力超常变化,高/低压关井功能可以自动切断井口气源,防止事态扩大。高/低压自动关井功能一般由高低压先导阀来实现[8-9],通常安装于井口汇管或液压控制柜内。根据现场实际应用情况,采用高/低压先导阀完成自动关井存在3方面问题:①先导阀引压管通常采用6.35mm或9.53mmtube管沿地沟敷设,管内来自井口的气液介质在冬季冻堵后容易造成意外关井,需要对其进行伴热保温,然而在井口无交流电的情况下,伴热较难实现。②先导阀是机械原理式结构,若长期不动作,其内部油干涩后容易卡死,当压力异常时,可能造成关井失败。③先导阀高、低压力值不易修改,只有返厂才能准确设定,不方便使用。为此,雅克拉高压油气井已普遍采用报警设定器代替高/低压先导阀来实现自动关井功能。K1、K2是报警设定器的两个内部继电器,将两个常闭点串联接入回路,分别设置为管汇压力高和低的关井值,当K1、K2任何一点断开时,电磁阀均会失电关井。(2)自动补压。液压控制柜系统压力降低时,必须及时为系统补充压力,才能确保井口正常生产,否则会造成意外关井。系统补压可由气动泵或电动泵完成。雅克拉气田井口开始采用的是气动泵,气源是影响装置正常运行的关键因素。现场存在以下两方面问题:①采用气瓶为气动泵供气,耗气量较高,更换气瓶频率高,工人劳动强度大。②利用小型分离器对井口天然气进行处理后为气动泵供气,但气液分离不彻底,气体含沙,控制柜内元器件密封磨损严重,同时调压阀节流后积液,冬季容易冻堵,使用效果不理想。为此,在各控制柜各气动泵附近增加空压机为气动泵提供气源,该方法安全可靠、易实现、投资少。小型空压机功耗低、体积小、维护量少,能直接将空气压缩至3MPa。为减少控制柜的二次改动,雅克拉凝析气田新增的液压控制柜统一采用了电动泵作为系统动力源,进一步增强了系统可靠性。(3)远程关井。这是高压油气井井控安全的一项必要措施[2,10],由于井口距离遥远,当下游天然气处理厂出现事故或者集输管道爆裂需要紧急切断井口气源时,采用远程关井能在最短时间内关闭井口。(4)火灾关井。将液压控制柜逻辑控制信号管道延伸到采气树上方,在末端安装易熔塞。当发生火灾时,易熔塞受高温熔化快速泄压,从而自动关井[9]。(5)就地关断和现场复位。液压控制柜必须具备就地关断和现场复位功能,当执行远程关井后,操作人员必须到现场进行手动复位,方能开井,否则不利于安全生产,容易引发二次事故。(6)蓄能和溢流。雅克拉气田地处南疆戈壁,昼夜温差大,液控柜系统压力随气温升降变化明显,在系统管路上安装蓄能器和溢流阀能减弱气温对系统压力造成的影响,同时能降低泵的启动频次,延长使用寿命。
5视频监视
采用视频监控技术能直观地观察到井口生产状况,监控井场进出的人员和车辆,利于保护油田物资,更重要的是能及时发现井口出现的刺漏、爆炸等事故。
6辅助设施
液压控制柜和RTU设备露天放置,液压控制柜内各类精密控制阀密封件受气温影响,冬冷夏热,极易损坏。系统压力随早晚温差升降幅度大,一旦自动补压系统失效,容易造成意外关井。RTU装置受沙尘和雨雪侵袭,寿命严重缩短。考虑到恶劣气候对监控系统造成的诸多影响,雅克拉气田各井口为监控装置增建了仪表间,并配备电暖气和空调,达到了密闭和恒温效果。不但提高了装置运行的稳定性,也延长了设备的使用寿命,极大降低了监控装置的维修维护工作量。
安全体系论文范文5
关键词:信息化;信息安全;安全管理
1企业信息安全现状
近几年,随着行业信息化建设逐步深入,伴随着OA办公自动化、ERP、卷烟生产经营决策管理和MES生产制造执行等系统相继投入使用,与生产经营息息相关的关键业务对信息系统的依赖程度越来越高,企业也逐步认识到信息安全的重要性,企业员工的安全意识也都得到逐步提高。行业也相继出台了烟草行业信息安全保障体系建设指南和各类信息安全制度,并通过这几年信息安全检查工作,促进企业的信息安全水平得到了进一步提高。由于企业信息安全意识不断提高,企业不断加大信息安全方面的投入,如建立标准化的机房、购买与部署各类信息安全软件和设备等。但是木马、病毒、垃圾邮件、间谍软件、恶意软件、僵尸网络等也随着计算机技术的发展不断更新,攻击手段也越发隐蔽和多样化。企业不仅要应对外部的攻击,也要应对来自于企业内部的信息安全威胁,安全形势不容乐观。企业的信息安全已不仅仅是技术问题,还需要借助管理手段来保障。企业如果不能正确树立信息风险导向意识,一味注重“技术”的作用,忽略“管理”的重要性,就很难发挥信息安全技术的作用,无法把企业的各项信息安全措施落到实处,企业的信息安全也就无从谈起。只有切实发挥管理作用,企业的信息安全才能得到有效保障。
2企业信息安全体系架构
在谈到信息安全时,大多数刚接触的人都比较疑惑,都说保障信息安全十分重要,那到底什么是信息安全呢?下面就简单介绍一下信息安全的概念以及企业的信息安全体系架构。2.1信息。对企业来说,信息是一种无形资产,具有一定商业价值,以电子、影像、话语等多种形式存在,必须进行保护。2.2信息安全。主要是指防止信息泄露、被篡改、被损坏或被非法辨识与控制,避免造成不良影响或者资产损失。2.3企业信息安全体系架构。在保障企业信息安全过程中,信息安全技术是保障信息安全的重要手段。通过上文对企业信息安全现状的分析,不难看出企业信息安全体系主要分为技术、管理两个重要体系,进一步细分则涉及安全运维方面。2.3.1信息安全技术体系作用。主要是指通过部署信息安全产品,合理制定安全策略,实现防止信息泄露、被篡改、被损坏等安全目标。信息安全产品主要是指实现信息安全的工具平台,如防火墙类产品、防攻击类产品、杀毒软件类产品和密码类产品等,而信息安全技术则是指实现信息安全产品的技术基础。2.3.2信息安全管理体系作用。完善信息安全组织机构、制度,细化职责分工,制定执行标准,确保日常管理、检查等制度有效执行,最大程度发挥信息安全技术体系作用,确保信息安全相关保护措施有效执行。通过上文简单介绍,对信息安全以及信息安全系统有了大概了解。可以看出单纯借助技术或管理无法保障企业信息安全,因此,建立企业信息安全管理体系的重要性也就不言而喻。
3信息安全管理体系概念
3.1信息安全管理。运用技术、管理手段,做好信息安全工作整体规划、组织、协调与控制,确保实现信息安全目标。3.2管理体系。体系是指相互关联和相互作用的一组要素,而管理体系则是建立方针和目标并实现这些目标的体系。3.3信息安全管理体系(ISMS)。在一定组织范围内建立、完成信息安全方针和目标,采取或运用方法的体系。作为管理活动最终结果,包含方针、原则、目标、方法、过程、核查表等众多要素。3.4建立信息安全管理体系的目的。作为企业总管理体系的一个子体系,目的是建立、实施、运行、监视、评审、保持和改进信息安全。3.5信息安全管理体系涉及的要素。3.5.1信息安全组织机构。明确职责分工,确保信息安全工作组织与落实。3.5.2信息安全管理体系文件。编制信息安全管理体系的方针、过程、程序和其他必需的文件等。3.5.3资源。提供体系运转所需的资金、设备与人员等。
4信息安全管理体系机构设置以及作用
在建立企业的信息安全管理体系之前,如果没有设置相应的信息安全组织机构,那么建立体系所需要的资源(资金、人员等)就无法得到保障,企业的信息安全制度和策略也就无法贯彻落实,企业的信息安全管理体系就形同虚设起不到任何作用。因此,企业在建立信息安全管理体系前必须建立健全信息安全组织机构,机构设置可以根据职责分为三个层次。4.1信息安全决策机构。信息安全决策机构处于安全组织机构的第一个层次,是本单位信息安全工作的最高管理机构。应以单位主要领导负责,对信息安全规划、信息安全策略和信息安全建设方案等进行审批,并为企业信息安全工作提供各类必要资源。4.2管理机构。处于安全组织机构的第二个层次,在决策机构的领导下,主要负责企业日常信息安全的管理、监督以及安全教育与培训等工作,此类工作大部分都由企业的信息化部门承担。4.3执行机构。处于信息安全组织机构的第三个层次,在管理机构的领导下,负责保证信息安全技术体系的有效运行及日常维护,通过具体技术手段落实安全策略,消除安全风险,以及发生安全事件后的具体响应和处理,执行机构人员可以由信息中心技术人员与各部门专职或兼职信息安全员组成。
5信息安全管理体系的建立
ISO/IEC27001:2005标准的“建立ISMS”章节中,已明确了信息安全管理体系建立的10项强制性要求和步骤。企业应结合自身实际情况,遵照这些内容和步骤,建立自己的信息安全管理体系,并形成相应的体系文件。5.1建立的步骤。(1)结合企业实际,明确体系边界与范围,并编制体系范围文件。(2)明确体系策略,构建目标框架、风险评价的准则等,形成方针文件。(3)确定风险评估方法。(4)识别信息安全风险,主要包括信息安全资产、责任、威胁以及造成的后果等。(5)进行安全风险分析评价,编制评估报告,确定信息安全资产保护清单。(6)明确安全保护措施,编制风险处理计划。(7)制定工作目标、措施。(8)管理者审核、批准所有残余风险。(9)经管理层授权实施和运行安全体系。(10)准备适用性声明。以上步骤解释不详尽之处,参看ISO/IEC27001:20054.2.1章节中A-J部分。5.2信息安全管理体系涉及的文件。文件作为体系的主要元素,必须与ISO/IEC27001:2005标准保持一致,同时也要结合企业实际,确保员工遵照要求严格执行。而且也要符合企业的实际情况和信息安全需要。在实际工作中,企业员工应按照文件要求严格执行。5.2.1体系文件类型主要涉及方针、程序与记录三类。方针类主要是指管理体系方针与信息安全方针,涵盖硬件、网络、软件、访问控制等;程序类主要是指“过程文件”,涉及输入、处理与输出三个环节,结果常以“记录”形式出现;记录类主要是记录程序文件结果,常以是表格形式出现。至于适用性声明文件,企业应结合自身情况,参照ISO/IEC27001:2005标准的附录A,有选择性地作出声明,并形成声明文件。5.2.2体系必须具备的文件。主要包括方针、风险评估、处理、文件控制、记录控制、内部审核、纠正与预防、控制措施有效性测量、管理评审与适用性声明等。5.2.3任意性文件。企业可以针对自身业务、管理与信息系统等情况,制定自己独有的信息方针、程序类文件。5.2.4文件的符合性。文件必须符合相关法律法规、ISO/IEC27001:2005标准以及企业实际要求,保证与企业其他体系文件协调一致,避免冲突,同时在文字描述准确且无二义。
6体系实施与运行
主要包括策略控制措施、过程和程序,涉及制定和实施风险处理计划、选择控制措施与验证有效性、安全教育培训、运行管理、资源管理以及安全事件应急处理等。
7体系的监视与评审
主要指对照策略、目标与实际运行情况,监控与评审运行状态,主要涉及有效性评审、控制措施测试验证、风险评估、内部审核、管理评审等环节,并根据评审结果编制与完善安全计划。
8体系的保持和改进
主要是依据监视与评审结果,有针对性地持续改进。主要包括改进措施、制定完善措施、整改总结等,同时需相关方进行沟通,确保达到预计改进标准。
9结语
安全体系论文范文6
关键词:计算机;网络;安全;对策
随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。但随之而来的是,计算机网络安全也受到全所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。本文将对计算机信息网络安全存在的问题进行深入剖析,并提出相应的安全防范措施。
1计算机网络安全的定义
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和罗辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。罗辑安全包括信息的完整性、保密性和可用性。
2计算机网络不安全因素
对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。计算机网络不安全因素主要表现在以下几个方面:
2.1计算机网络的脆弱性
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。互联网的不安全性主要有以下几项:
1)网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。
2)网络的国际性,意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。
3)网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。
2.2操作系统存在的安全问题
操作系统是作为一个支撑软件,使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。
2)操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如FTP,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。像这些远程调用、文件传输,如果生产厂家或个人在上面安装间谍程序,那么用户的整个传输过程、使用过程都会被别人监视到,所有的这些传输文件、加载的程序、安装的程序、执行文件,都可能给操作系统带来安全的隐患。所以,建议尽量少使用一些来历不明,或者无法证明它的安全性的软件。
3)操作系统不安全的一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上,特别是“打”在一个特权用户上,黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。
4)操作系统有些守护进程,它是系统的一些进程,总是在等待某些事件的出现。所谓守护进程,比如说用户有没按键盘或鼠标,或者别的一些处理。一些监控病毒的监控软件也是守护进程,这些进程可能是好的,比如防病毒程序,一有病毒出现就会被扑捉到。但是有些进程是一些病毒,一碰到特定的情况,比如碰到7月1日,它就会把用户的硬盘格式化,这些进程就是很危险的守护进程,平时它可能不起作用,可是在某些条件发生,比如7月1日,它才发生作用,如果操作系统有些守护进程被人破坏掉就会出现这种不安全的情况。
5)操作系统会提供一些远程调用功能,所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序,可以提交程序给远程的服务器执行,如telnet。远程调用要经过很多的环节,中间的通讯环节可能会出现被人监控等安全的问题。
6)操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段,程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用,或在软件前没有删除后门程序,容易被黑客当成漏洞进行攻击,造成信息泄密和丢失。此外,操作系统的无口令的入口,也是信息安全的一大隐患。
7)尽管操作系统的漏洞可以通过版本的不断升级来克服,但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间,一个小小的漏洞就足以使你的整个网络瘫痪掉。
2.3数据库存储的内容存在的安全问题
数据库管理系统大量的信息存储在各种各样的数据库里面,包括我们上网看到的所有信息,数据库主要考虑的是信息方便存储、利用和管理,但在安全方面考虑的比较少。例如:授权用户超出了访问权限进行数据的更改活动;非法用户绕过安全内核,窃取信息。对于数据库的安全而言,就是要保证数据的安全可靠和正确有效,即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取;数据库的完整性是防止数据库中存在不符合语义的数据。
2.4防火墙的脆弱性
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入。
但防火墙只能提供网络的安全性,不能保证网络的绝对安全,它也难以防范网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁,但是却不能防止从LAN内部的攻击,若是内部的人和外部的人联合起来,即使防火墙再强,也是没有优势的。它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展,还有一些破解的方法也使得防火墙造成一定隐患。这就是防火墙的局限性。
2.5其他方面的因素
计算机系统硬件和通讯设施极易遭受到自然环境的影响,如:各种自然灾害(如地震、泥石流、水灾、风暴、建筑物破坏等)对计算机网络构成威胁。还有一些偶发性因素,如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等,也对计算机网络构成严重威胁。此外管理不好、规章制度不健全、安全管理水平较低、操作失误、渎职行为等都会对计算机信息安全造成威胁。
3计算机网络安全的对策
3.1技术层面对策
对于技术方面,计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,技术层面可以采取以下对策:
1)建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。
2)网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
3)数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
4)应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。
5)切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的U盘和程序,不随意下载网络可疑信息。
6)提高网络反病毒技术能力。通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
7)研发并完善高安全的操作系统。研发具有高安全的操作系统,不给病毒得以滋生的温床才能更安全。
3.2管理层面对策
计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。
计算机网络的安全管理,包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。
这就要对计算机用户不断进行法制教育,包括计算机安全法、计算机犯罪法、保密法、数据保护法等,明确计算机用户和系统管理人员应履行的权利和义务,自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则,自觉地和一切违法犯罪的行为作斗争,维护计算机及网络系统的安全,维护信息系统的安全。除此之外,还应教育计算机用户和全体工作人员,应自觉遵守为维护系统安全而建立的一切规章制度,包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。
3.3物理安全层面对策
要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施,主要包括以下内容:
1)计算机系统的环境条件。计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。
2)机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。
3)机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全,首先,应考虑物理访问控制来识别访问用户的身份,并对其合法性进行验证;其次,对来访者必须限定其活动范围;第三,要在计算机系统中心设备外设多层安全防护圈,以防止非法暴力入侵;第四设备所在的建筑物应具有抵御各种自然灾害的设施。
4结束语
计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。
参考文献:
[1]张千里.网络安全新技术[M].北京:人民邮电出版社,2003.
