前言:中文期刊网精心挑选了信息安全管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全管理范文1
关键词:石油企业;信息安全;管理手段
0引言
随着信息化建设进程飞速发展,作为信息载体的计算机、互联网已在企业生产、经营管理各个层面得到广泛应用。计算机网络的开放性、灵活性和广泛性在全面数字化的今天给经营管理带来了便捷、高效、有序的工作环境,同时也带来了较大的安全管理隐患。黑客的出现、安全漏洞的增多、管理的交叉混乱、恶意的网络攻击使网络安全管理遭受了较大的冲击,成为信息化健康发展的绊脚石。网络信息管理疏于安全的防范将危及到企业生产经济的有序发展。石油企业在国民经济中发挥着重要作用,任何风险都可能导致国家经济受到重大影响。因此,提高石油企业信息安全意识,加强信息管理应以保瘴服务和应用为目标,强化安全意识、制定周密的安全手段从而构建完善的信息安全管理体系。
1加强企业信息管理的必要性
1.1企业信息管理概念
企业信息管理是通过现代化的信息技术和设备,以网络技术和网络设备实现企业管理的自动化,进而对企业进行全方位和多角度的管理,以此来促进企业生产、经营管理的优化配置,进而通过企业资源的开发和信息技术的有效利用来提高企业的管理水平,增强企业的核心竞争力。企业信息管理的主要内容,一般包括企业未来的经济形势分析、预测资料、资源的可获量、市场和竞争对手的发展动向,以及政府政策与政治情况的环境变化等等。企业信息管理与制订企业发展战略、制订规划、合理地分配资源是密切相关的。同时,企业的信息管理也应当包括企业内部的信息资源,如财务管理信息、物资库存、钻井施工、职工档案管理等多方面的内容,并且促进企业的全面发展。
1.2企业信息安全管理的必要性
企业信息的存在方式有着多样性,而进行企业安全信息管理的主要目的,在于保护企业的信息安全,保证企业能够顺利的参与到市场经济活动中,进而提高企业的经济效益和社会效益,构筑起信息安全管理系统的保密性、完整性、可用性、可维护性、可验证性的目标,使企业安全信息管理能够通过有效的控制措施来实现。第一,企业管理的信息具有很强的保密性和完整性的特点,因此其对于企业的生产势力、科技含量、资金流动、企业的综合竞争力等多方面都有着重要的影响,同时对于企业的商业形象与合法经营也至关重要,因此加强企业信息安全管理是必要的。第二,由于网络自身所具有的开放性特性,决定了企业信息管理也面临着来自各方面的安全威胁,比如计算机病毒、黑客等,以及计算机诈骗、泄密等问题,也说明了加强企业信息安全管理势在必行。第三,企业对于信息系统产生的依赖也从另一方面暴露出了信息管理系统的脆弱,公共网络与私人网络的连接增强了信息的控制难度,使得信息在分散化的管理模式下,集中、专业控制的有效性大大减弱。另外,由于很多信息管理系统设计的缺陷,其自身就存在着不合理之处,这对于信息安全管理也带来了一定的难度。基于此,对于企业信息管理的安全性也成为了当前企业管理面临的一个重大课题。
2加强企业信息管理安全的防范措施
2.1不断完善信息管理系统
随着企业信息化的发展,目前应用的管理系统有PKI、邮箱、AD域、普OA、合同系统、A6、ERP、网络、操作系统、A7、档案系统、物采系统、OSC、视频会议、企业微信、门户网站、宝石花、数字营房、会议保障、E2、一体化、RTX、移动应用、短信平台。信息系统的连续稳定运行越来越重要,一旦系统中断,将会给企业的生产经营管理带来混乱,而数据一旦丢失,后果是不可估量的。为此,信息管理系统的投入和使用,是建立在充分的实践经验的基础上,通过一段时间的运行和观察,才能够投入使用。在不同的部门进行信息系统的引入时,应当按照部门的实际情况,通过多方引进,使用统一的信息管理系统。对于信息安全来说,首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理,并且赋予不同等级的用户不同的使用权限,这样则能够有效的防止无权访问信息的用户对核心区域的访问,保证信息不会被盗用。同时,为保证信息系统的连续稳定运行,应采用双机服务器和从服务器。一旦发生服务器故障,由从服务器自动接替主服务器工作。
2.2有效的设备管理
设备安全主要涉及到由于自然灾害、人为因素造成的数据丢失。信息安全应建设完善的容灾备份系统,容灾备份系统一般由两个数据中心构成,主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。同时,对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录,通过这些记录,定期对设备进行维护,同时也能够通过这些信息判断出信息的使用效率以及运行情况,对于设备的损坏或者是丢失情况都能够及时地了解。
2.3加强对人员的监督与管理
企业信息安全不单纯是技术问题,而是一个综合性的问题。其中最重要的因素是人,人是设备的主要操作者,因此对于信息的安全管理,就需要加强对人的管理,需要操作人员具有足够的安全意识,对于每一位操作人员进行相关的培训,对于唯一的用户名和密码等信息要进行妥善保管,同时让操作人员认识到泄密会导致的严重后果,增强责任意识。只有通过不断地学习及意识的培养,管理人员才能养成定期维护、按时打补丁、及时更新的操作习惯,以不变应万变的态度应对各种网络攻击手段。通过不断的加强过程管理,通过对每个细节的严密审查,能够有效减少人为出错的现象,同时通过科学的评价机制和激励机制,刺激人员工作的积极性,加强自身的责任意识。
2.4网络传输安全
信息安全管理范文2
关键词:信息安全等级保护信息安全管理体系
ComparisonofCPISandISMS
LiJun(InnerMongoliaAutonomousRegionPublicSecurity)
XieZongxiao(ChinaFinancialCertificationAuthority,CFCA)
Abstract:Basedontheanalysisofdefinitionofclassifiedprotectionofinformationsystem(CPIS)andinformationsecuritymanagementsystem(ISMS),fromthelogicalframework,theimplementationofprocessesandcontrols,wecomparedboth.
Keywords:informationSecurity,CPIS,ISMS
1信息安全等级保护(CPIS)
信息安全等级保护,或者信息系统安全等级保护(简称等级保护),在公文中,一般是前者,但是在标准中,例如,最典型的GB/T22239—2008和GB/T22240—2008用的标题是后者。单就这2个标准而言的话,描述的对象却是主要围绕“信息系统安全”,而不是广义的“信息安全”。当然,本质上来说,等级是针对“信息系统”划分的,而不是针对“信息”划分的。在实践中,这两者不需要刻意区分。等级保护具体的定义如下:
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和8SeEVmi7me7sxRCjGkySNg==存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
这个定义来自《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号1))[2,3]。
注意信息系统的定义:
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
信息系统的定义也来自《关于信息安全等级保护工作的实施意见》。更早的相关定义,应该来自GB17859—1999,其中的定义3.1,定义了计算机信息系统(computerinformationsystem),具体为:
计算机信息系统是由计算机及其相关的和配套的设备、实施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
这种人机系统的定义,在实践中不容易理解,但是最接近学术中的最初理解,例如,Davis(2000)[4]认为信息系统包括信息技术设施、数据、应用系统和人员(informationtechnologyinfrastructure,data,applicationsystems,andpersonnelthatemployITto...)
2信息安全管理体系(ISMS)
原则上说,信息安全管理体系(简称ISMS)并不是一个专用术语,在较早版本的标准中2)对其进行了定义3),满足其中描述条件的应该都是ISMS[5,6]。但實际情况是,由于这个术语起源于ISO/IEC27002和ISO/IEC27001的早期版本,属于新生出来的一个词汇,其他文献中,就很少见到。所以在实践中,ISMS几乎成了一个专用术语。这如同,一提“质量管理体系(QMS4))”,大家就认为是ISO9000标准族道理是一样的。因为某种产品过于普及,就成为某类行为的代名词,这是很常见的现象。例如,你把快递地址微信给我,或者,回头我把文件QQ给你。由于ISO/IEC27000标准族在全球范围内实施广泛,在实践中,就会有此类对话,例如:我们在做27001,意思是说,我们在部署ISMS,或者说,我们在根据ISO/IEC27001部署信息安全。
换个说法,ISMS是一整套的保障组织信息安全的方案(或方法),是组织管理体系的一部分,定义和指导ISMS的标准是ISO/IEC27000标准族,而这其中,ISO/IEC27002和ISO/IEC27001是最重要也是出现最早的2个标准。由于这个原因,导致这一堆词汇在实践中开始混用,而不必刻意地去区分。因此,在下文中,这几个词汇都认为是同义词:
·信息安全管理体系(ISMS);
·ISO/IEC27000标准族;
·ISO/IEC27002或ISO/IEC27001视上下文,也可能是指代ISMS。
3逻辑框架及实施流程的比较
等级保护是强制实施的,建立在一系列国家公文、一个强制性标准以及诸多推荐性标准的基础之上。ISMS则是建立在国际互认基础上的推荐性的标准5),这导致两者在框架上存在很大的区别。两者的框架对比,如图1所示。
或者说,对于ISMS来说,“组织(或企业)自己负责正确的应用6)”,目的是保护组织(或企业)自身的利益,(如果申请第三方认证)同时向其他人证明组织有良好的信息安全管理水准。对于等级保护而言,则是国家监管机构负责企业(或组织)正确的应用,主要目的是为了保护国家和公众利益。
4對“控制措施”理解的比较
等级保护的相关支持文件主要包括政府公文和国家标准,也可以称为“政策体系”和“标准体系”[2]。以一系列的公文作为依据,是等级保护的一个特点,倒不是因为ISMS缺乏国家监管,而是因为ISMS的监管与其他管理体系(例如,ISO9000和ISO14000等)基本一致,整个的架构设计倒显得没那么重要。等级保护是一个全新的设计,因此整个管理架构就显得非常重要,例如,《信息安全等级保护管理办法》(公安部〔2007〕43号)就是一个非常重要的公文,从国家层面确立了等级划分与保护、等级保护实施与管理以及可能涉及的分级保护管理等整个管理架构。
但是,就这两者的框架而言,还存在一个不同,即如何理解“控制措施”7)。简而言之,等级保护部署“控制措施”为中心,ISMS部署是以“控制目标”8)为中心。
这仅仅是一个描述方式的区别,严格讲,等级保护也是以控制目标为中心,虽然没有非常明确。因为所有的控制措施,最终还是为了实现安全目标。但这两者还是不同的,在等级保护中,一旦信息系统的等级被确定,控制措施都是确定的,同时也要注意,等级本身已经隐含了信息系统的控制目标。对于ISMS而言,由于是自愿部署,组织自己负责识别安全要求,自己设定控制目标,之后自愿部署控制措施。
通俗地讲,等级保护中,是组织和监管机构共同确定(是组织确定,之后提交监管机构确认)信息系统等级(其中隐含着控制目标),然后按要求部署。在ISMS中,是组织自己确定控制目标,然后按照要求部署,是一个自圆其说的逻辑。在下文中,我们讨论定级备案等过程,两者的区别就很清晰了。
当然,无论是等级保护还是ISMS,“控制”都是其核心内容之一,在等级保护中表现为GB/T22239—2008,在ISMS中表现为ISO/IEC27002:2013。
在GB/T22239—2008中,针对不同安全保护等级应该具有的基本安全保护能力,提出基本安全要求。标准的架构,如图2所示。
在基本要求的基础上,自上而下又分为:类、控制点和控制项[7]。在图2的10个大类中,每个大类下面分为一系列的关键控制点,控制点下又包括了具体的控制项。本文中不再讨论具体条款,具体可以见参考文献[8]。
在ISO/IEC27002:2013中,并不区分技术要求或管理要求,或者说,不关心实现途径。其中控制的描述结构,自上而下又分为:类、目标和控制。具体而言,就是包含了如表1所示,ISO/IEC27002:2013描述了14个大类,这些大类又细化为35个目标,接着由114项控制来实现相应的目标。
具体到每一个主要安全控制类和控制的描述结构,参考ISO/IEC27002:2013中的描述,如下所述:
每一个主要安全控制类别包括11):
a)一个控制目标,声明要实现什么;
b)一个或多个控制,可被用于实现该控制目标。
控制的描述结构如下:
控制
为满足控制目标,给出定义特定控制的陈述。
实现指南
为支持该控制的实现并满足控制目标,提供更详细的信息。该指南可能不能完全适用或不足以在所有情况下适用,也可能不能满足组织的特定控制要求。
其他信息
提供需要考虑的进一步的信息,例如法律方面的考虑和对其他标准的参考。如无其他信息,本项将不给出。
关于ISO/IEC27002:2013,可见参考文献[9]和[10]。
信息安全管理范文3
国家、省市已经颁布各种法律法规,各大单位也根据自己的具体情况,建立了自己的规章制度,维护信息安全已经有法可依。但是信息安全管理工作涉及的知识面非常广,需要了解国家信息安全管理法规,需要学习信息技术一般理论,需要知道信息安全漏洞知识,需要明白信息安全禁令范畴。为提高学习效率和质量,全面掌握信息安全理论和方法,按照信息安全管理知识体系,建设信息安全管理教学系统,提供学习信息安全管理的教学条件,从而为各方面人员学习和执行各种规章制度提供依据。相比其他管理工作,信息安全管理工作需要比较多的理工专业基础和比较高的电脑技术要求,在实际的信息安全管理工作中,需要灵活的信息安全管理处置能力,更多的是判断信息安全问题、识别信息安全陷阱、规范信息安全管理。由于知识背景和工作性质特点,管理干部需要花费更多的时间和精力学习信息安全管理知识和技术,才能具备基本的信息安全防范技能。为帮助他们更好地独立处置信息安全管理问题,掌握发现问题解决问题技能,依据现代教育理念和方法,不仅需要提供深入浅出、知识完备的知识体系学习训练系统,而且需要信息安全管理能力训练系统。
二、信息安全管理培训思路
为满足信息安全管理工作在人员培训方面的需要,需要依托各级培训学校,按照国家和省市地方的制度法规,借助现代教育思想,借助现代教育技术,明确符合实际需要的功能定位,建设信息安全管理复合应用型人才培训体系,实现信息安全管理工作对培训教育、终身教育的培训要求。
1.培训依据
(1)依据各种信息安全管理制度法规。信息安全人员在履行工作职责的时候,必须按照各种信息安全管理法规、制度和要求实施,制订人才培养方案和教学计划必须依据国家、省市和本部门的信息安全管理的相关规定,这样的教学内容才能保证人才培养的针对性和实用性,保证管理干部履行信息安全管理职责的有效性。涉及信息安全制度法规的相关文件很多,有的是专门为信息安全制订的,有的制度和法规散落在各个业务管理制度中。在建设信息安全管理知识体系时,必须将业务部门的相关规定融入知识体系中,使得管理干部在处理具体业务中的信息安全管理工作具有针对性和有效性。
(2)符合培训教育特点规律。信息安全管理技能是从事管理工作人员的基本技能,属于岗位专业培训或专业技能培训,属于培训教育培训。受训人员专业背景不同,理论基础不同,学习能力不同,必须避免材、统一授课、统一训练、和统一考核的传统教学模式,采取因人而异、因材施教的有针对性的教学方式,强调个性化学习,将不同层次受训者的信息安全管理能力达到信息安全管理工作所需要的水平上来。
(3)遵循现代教育思想。在实施教育训练过程中,现代教育思想要求采取“学为主体、教为主导”的教学理念,学员能够方便地获得完整的知识体系和解决问题的技能和方法,自主学习,开放学习,自主理解、掌握知识和技能。为实现教学目的,需要分析信息安全管理技能特点,需要分析管理干部学习动力,结合教学目标,设计学员学习和训练的教育训练环境,提供完整的知识体系、丰富的教学资源、模拟的问题情况、交互的学习平台和方便的使用途径,提供与培训教育特点规律和技能训练要求相适应的培训条件。
2.信息安全管理培训目标
按照信息安全管理工作的实际情况,培养信息安全管理工作中管理、业务和技术三支人才队伍,突出业务和管理人才需要,兼顾信息安全技术人员的人才培养,以现代教育思想为指导,以信息技术为核心支持技术,建设满足信息安全人才培养的现代培训条件。信息安全管理培训以管理干部为培训对象,以信息安全管理工作为培训内容,区分信息安全管理人员、业务干部和信息技术专门人员等不同层次,跟踪信息安全管理形势,实行阶段反复轮训,以适应信息安全管理不断发展的需要,确保信息安全管理工作的正常开展。
三、信息安全管理培训环境构建
为适应信息安全管理培训需要,适应管理干部培训教育需要,必须构建遵循信息安全管理规定、符合现代教育思想、依托信息技术手段、瞄准复合型适用人才培养的教育环境。信息安全管理培训条件涉及面很广,包括组织机构、舍堂馆所、师资队伍、后勤保障等等,这里我们更关心符合培训思路的培训模式和教学支持。从知识体系、学习途径、训练场所和训练系统多方面着手,构建信息安全管理训练体系,构建管理人员信息安全人才培养条件。依据教育信息化研究成果和培训教育教学特点,需要建立完整的信息安全管理知识体系,建立开放式、自主式教育网络平台,建立强时效性的教学资源体系,建立信息安全管理知识测试系统,建立信息安全管理能力训练系统,等等。
1.构建信息安全管理知识体系
培训教育的一个特点就是受训对象知识背景和技能掌握程度千差万别,必须首先建立完整的知识体系,以满足不同基础、不同需求受训者对知识掌握和能力训练的要求。知识体系必须建立覆盖学科知识和管理手段的所有内容,包括理论体系和教学资源两部分,其中理论体系包括基础知识、安全理论、规范制度、管理方法、历史沿革、防范手段和操作方法,教学资源包括现状分析、经典案例、技术讲解、训练题库和数据模型,适应和满足每个受训对象的需求。为满足个性化服务需要,可以按照知识点建设模块化框架结构,设计具备菜单选择功能的专家系统,允许受训者建立适合自己的个性化教学计划和实施方案,确保受训者完成培训任务后胜任安全管理的岗位需要。可以建立智能教学计划生成系统,系统对每位受训者进行知识和技能测试,按照教学目标,根据测试结果,将该学员没有掌握或掌握不够的知识内容和技能形成列表,从知识体系中搜寻相关知识和技能的概念、理论、技术和操作技能,形成该受训者个性化的教学计划。随着信息技术的发展和信息安全管理需求的变化,信息安全管理知识体系应该是动态更新的,剔除修改陈旧的,充实替换实用的。
2.搭建开放、共享和交流的网络平台
网络平台是信息资源共享的基础,是交流互动的基础。按照学科专业建设与管理规范建设知识体系,以数字化形式在互联网,实现信息安全管理教育资源共享。作为资源共享平台的网络平台,不仅为建设者资源共享提供平台,而且可以为学习者提供资源上传服务,成为学习者之间相互交流资源的共享平台,更为信息资源积累提供了很好的机制和存储条件。网络具有两个特点,一是允许网络用户365天24小时使用,可以提供受训者随时学习和训练,二是允许网络用户在任何有信息覆盖的地方登录,可以提供受训者随地学习和训练,这两个特点打破了传统教学时空的限制,为学员自主学习、教师开放教学、师生互动交流提供了可能,也为实施现代教育思想提供了条件。
3.建立虚拟讲堂
优秀教师的讲授可以将学习效果演绎得趣味精彩,可以将学习内容组织得明白易懂,可以将现实运用解析得透彻自然。为更多学员获得完美的教学体验,为积累并共享优秀教学资源,为学员快捷准确全面理解知识运用知识提供帮助,记录、整理并优秀教师或专家授课录像,供更多受训者学习参考。教学录像在网上成为虚拟讲堂,成为不同专业不同时期受训者良好的教学资源,目前全球风行的慕课,可以成为这种培训目的的教学模式,成本低,效益好。因为技术层面的因素,信息安全管理知识体系在理论基础和原理解释有大量不易理解的知识点和疑难问题,学习时需要佐证的理论和严谨的逻辑,需要传授者环环相扣的谨密推演,因此针对重要知识点和疑难杂诊的讲授片段是受训者自主式学习时需要的重要教学参考资料。各个大学基本都建设了网络课堂,为虚拟讲堂建设提供了很好的技术平台。依据此平台,建设信息安全管理和教学资源和网络课程,可以构筑完整的知识体系,为培训教育自主式学习提供了很好的学习资源。
4.建设信息安全管理实验室
培训教育能力训练是教学环节中的主要部分,验证理论、观摩操作方法和训练技能需要包括场所、设备和软件等实验条件,实验室是完成实验任务和检验方法效果必须具备的教学条件。理论、方法和技能的实验和训练是信息安全管理培训需要完成的教学环节,这些需要信息安全专业实验室的支持。信息技术具有可设计、可复制、可重用的特点,使得基于信息技术的教育训练条件具备降低训练费用、提高学员学习自主性、提供学员反复学习等长处,结合音频处理技术、视频处理技术、三维动画技术,可以为学员学习提供强烈逼真的感官刺激、美轮美奂的艺术表现和自主操控的虚幻体验。从训练目的而言,实验室可以分为虚拟实验室和能力训练场两部分。
(1)虚拟实验室。信息安全管理涉及大量技术手段,信息安全技术攻击和防范具有不可见、不易理解的特点,需要显而易见、通俗易懂的形象展示。虚拟实验室是依托信息技术按照实验室运行规律、要求和任务,以网页形式在计算机网络上建立的可以模拟实验室运行的软件系统。虚拟实验室内设信息安全管理所需要的各种理论、方法和技能引擎,可以多维形象地反复演示信息安全管理的理论、方法和技能,可以允许受训者以第一人称介入并依据受训者干预情况展示相应信息安全分析结果,虚拟实验室可以记录并考核受训者实验过程和成绩。
信息安全管理范文4
【 关键词 】 电子商务;信息;安全;管理
Electronic Business Information Security Situation and Information Security Management Countermeasures
Wang Jing
(JiLinHua Zhongyou Construction Engineering Co., LTD Jilin 132021 )
【 Abstract 】 with the height of the information and network in China, the electronic commerce the strange term began to get people's attention. It will appear to the life of people brought great convenience, but there are a number of people have questioned the electronic commerce attitude, so the electronic commerce safety have to take seriously. This paper combines the electronic business information security situation and information security management countermeasures were discussed.
【 Keywords 】 electronic commerce; information; security; management
1 现阶段电子商务发展的情况
随着我国进入了信息时代,网络不断得到普及,因此网络业也出现了不少的问题,比如网络传输光纤的阻断,严重影响着信息的流畅;电脑黑客的入侵,电脑病毒恶意攻击网站等,无时无刻不在威胁着电子商务的正常运行。如何从根本上解决问题,这需要长期大量的进行防范。电子商务的网络化主要是企业通过网络与商家进行交易,如果在交易中网络的安全出现了疏漏,使得病毒以及黑客得以入侵,由此所造成的损失是巨大的。电子商务在网络上的运行还不够规范,对于网上的税收、合同以及保险等方面都存在着不规范的现象,在加之法律在网络上的不健全,这些都制约着电子商务在网络的发展。
因特网是在虚拟空间运行的,看似并不需要现实的空间。但随着网络的不断壮大,要想有着更好的发展,就必须建立起强大的通讯设施作为基础,通讯设施也是电子商务安全的基础。在我国网络的现阶段,网络管理信息内容、网络技术、通讯速度、资费水平、安全的保障条件等方面都无法跟上高速发展的电子商务步伐。银行作为电子商务中商家与企业的纽带,必须具备网络结算、支付的功能。但电子商务的快速发展对银行的电子结算与支付提出了更为严格的要求,它不光要求银行有上网支付和结算的功能,还要保证网络交易的安全性、用户的密码以及个人信息的保密。要想建立完备的电子商务网络设施,就要建立全国性的数据通信网络,对宽带的传输速度要满易时的通信要求,这是实现电子商务信息化的必要条件。
2 电子商务在网络交易中常出现的隐患
2.1 安全防范意识不强
我国信息技术正在飞速的发展,但电子商务才刚刚得以发展,有很多电子商务平台的规模不是很大,自认为对市场的作用不大,根本引起不了一些病毒或黑客的恶意攻击,很多商家正是存在着这种安全意识不强的原因,使得平台和网站频频受到恶意的攻击,严重的影响着交易的正常运行,严重的还会泄漏个人的信息。还有盲目的使用各种安全产品,认为安装了这些软件就不会出现安全的隐患,这就是对安全技术缺少了解的表现。
2.2 安全产品的鉴定
上面就提到了一些交易平台滥用安全产品的现象。随着人们对网络安全的不断重视,互联网一些相关的安全产品也越来越火爆。尽管这些安全产品能够对交易平台起到一定的保护作用,但这并不是说明安装了这些安全产品就可以放心使用,不会出现安全的隐患,这种想法是错的。计算机安全产品在计算机的安全中只能起到辅助的作用,并不能对计算机的安全起到主导的作用,更何况安全产品自身的安全性还有待鉴定,一旦安全产品出现了问题,轻则可能会失去保护计算机的功能,重则有可能对互联网自身带来安全隐患。
2.3 安全技术方面的不足
我国网络虽然得到了迅猛的发展,但距离发达国家的水平还有很大的差距,计算机安全技术的研究也并不算长,许多技术还是照国外借鉴的,因此优秀的网络系统和技术全面的安全专家是我国所缺少的。这样一来,我国电子商务的平台以及网站的安全就得不到保障。
信息安全管理范文5
[关键词]档案安全;信息安全;网络环境
1网络环境下档案信息安全的重要性
随着我国电子政务、电子媒体渠道以及通信技术的不断普及,电子文件和数字档案的网络化存储及传递受到了内网和互联网安全的双重考验,档案信息安全的有效管理成了整个社会所关注的焦点。在经济与科技的不断推动下,互联网技术和信息技术得到了空前的发展,档案信息化的深入推进也在一定程度上推动了档案信息化建设。目前,档案信息系统正在档案部门中日渐普及。它在档案信息的存储、管理、利用等方面给档案工作带来诸多便利的同时,也带来了一系列问题。档案本身所包含的信息价值和所发挥的重要功能毋庸置疑,而由于档案信息系统中存储的很多档案信息具有机密性,加上系统自身的脆弱性,使得档案信息系统的安全问题极为突出。目前网络环境下档案安全体系的构建与运行的现实场景,确实存在很多的问题,由于网络环境的动态性、开放性、共享性、匿名性、可模仿性和可加工性等特点,使网络环境下信息管理容易产生诸多安全问题,如信息被泄露、篡改、假冒等,这在很大程度上影响了档案的服务功能,也影响了档案部门所在单位工作的正常开展。为此,保障档案信息的安全是档案信息管理工作的必然要求,理应得到重视。
2网络环境下档案信息安全管理存在的问题
2.1档案安全意识淡薄
作为一项非常重要的凭证和参考物,档案是不可再生资源,容不得一丁点的破坏,为此,保护档案信息的安全是档案工作人员的第一要务,值得人们的关注与重视。从当前基层工作人员的态度中可以看出,部分工作人员对档案管理的认识比较落后,档案安全意识淡薄,并未从思想上认识到档案信息安全管理的重要性,导致档案信息系统安全架构存在缺陷,也尚未落实到位。同时,社会大众也普遍存在安全意识薄弱的问题,只有少部分人对档案信息安全存在危机感,这在一定程度上阻碍了档案工作部门的档案信息安全建设的有效开展。
2.2档案安全管理制度缺乏
制度是执行的前提。当前,档案安全意识淡薄导致形成档案的单位对网络环境下档案信息安全建设投入不足,部分单位意识不到建设信息监视、删除、销毁和备份制度的重要性,尤其是当前网络环境的生态化建设的管理、考核、监督机制的建设。档案部门应建立健全与档案信息安全保护相关的管理制度与安全培训制度,同时提升员工的综合素质。但是从当前单位的档案工作实践情况来看,档案工作的监督部门缺位,档案管理制度侧重岗位职责,档案信息的管理权限、培训制度等缺失的现象比较普遍,所建立的绩效考核、监督机制比较单一,各项管理制度相对比较滞后,无法满足当前网络环境下对档案信息安全管理的要求。
2.3安全措施不到位
当今社会各领域的建设都深受网络技术的影响,网络环境下的档案管理依托于网络技术、电脑硬件、管理系统等,常常因为硬件损坏、文件格式不匹配、系统安全漏洞过多或受到外界恶意攻击等原因,使得档案信息丢失、被剽窃等现象时有发生。导致这些问题的很大部分原因在于安全措施的不到位。档案管理是一项涉及面广、管理复杂、保密性较高的项目,传统纸质保存容易受到酸化、粉尘、细菌、害虫、光线等多种因素作用而被腐蚀、损害,通过强化日常检查与处理可以起到一定的防范作用[1],而网络环境下的档案信息安全管理则不然,需要工作人员通过专业技术与工作经验来觉察是否存在潜在的风险,及时预防与处理。但是当前大部分单位都缺乏具备专业的网络技术人才,导致安全措施无法及时落实到位。
2.4档案信息内容被误操作和恶意攻击
作为档案信息系统重要的信息安全主体,在当前网络环境下,档案信息系统管理人员在实现“存以致用”的档案保管终极目标的工作实践过程中必须非常谨慎,人为地输入错误指令或错误地删改数据等都容易损坏信息,为此,应对岗位人员进行能力评估,确保其能胜任档案管理工作。另外,由于部分档案信息涉及国家安全与企业市场竞争,档案系统遭受恶意攻击时常发生,也会造成严重的后果。
3网络环境下档案信息安全管理的优化策略
在网络环境下,作为一项整体的、动态的系统工程,档案信息系统安全对技术的要求极高,不但需要管理手段来加以宏观调控,更需要技术手段、法律手段来给予引导和维护,多管齐下,才能从根本上保障档案信息系统的安全。
3.1强化安全意识
首先,要坚持以人为本,不断完善档案信息安全体系的构建理念。针对当前档案信息安全管理意识薄弱的问题,必须建立与时俱进、以人为本的档案工作理念,要坚持“积极防御,综合防治”“以防为主,防治结合”的方针,树立科学正确的档案安全观念,促进档案信息安全工作的有效开展与执行。其次,要设立专门的档案信息安全管理员。在单位内实行专人专岗,将直接负责人锁定为档案所在单位的负责人,并配备一名兼职安全管理员,积极组织以上人员进行学习与考试,使其具有良好的服务意识、安全管理意识以及过硬的专业技术,从而更好地落实档案信息安全管理工作。
3.2完善制度保障
档案信息安全管理是一项长期而艰巨的系统工程,需要单位、档案部门、档案管理者等多方进行协调合作,一旦涉及多方合作,必然需要建立一套科学合理的制度来进行管理,明确各个岗位的职能、责任、效用[2]。除了常规规章制度以外,还要健全档案信息系统安全保护的管理制度,如信息审核制度、借还登记制度、信息常规处理操作制度、权限管理制度、日常检查与检测制度、监督与反馈制度以及其他与档案信息安全保护相关的管理制度。只有从档案管理各环节进行节节把关,建立完善的制度保障体系,实现降低档案信息安全风险的管理目标,才能最大限度地保障档案信息安全。
3.3加大安全管理投入
为了更好地防止档案信息系统安全事故的发生,必须多管齐下,采取各种管理手段来预防与处理档案信息安全问题。一方面要加大档案工作人员的教育投入,在单位内开展定期或不定期的安全宣传教育,转变传统管理理念。另一方面,应强化档案信息安全系统管理人员的技术培训。在网络环境中,档案信息安全管理技术也需要及时进行更新与强化,不单单需要加密技术、数据备份等技术,更需要主机安全技术、防火墙技术、反病毒技术、入侵检测技术等新兴防御技术的加入,因此,提升档案管理人员的专业水平与实操能力迫在眉睫。
3.4完善相关法律法规
从1994年起,政府就制定了《中华人民共和国计算机信息安全保护条例》等法规,内容涉及信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治和安全产品检测与销售等各个方面,但从当前的实践情况看来,我国的信息系统安全法规建设仍处于待完善的阶段。以人事档案为例,人事档案工作是我国档案工作的重要组成部分,除了制定出一套适合本单位情况,行之有效的人事档案保密制度外,还要完善相关法律、法规,对网络运行中的人事档案信息的处理、传输和利用等工作进行规范。各级单位除了要遵守目前已出台的法律、法规、标准之外,还应制订适应本单位情况的标准规范,通过法律法规与标准规范的有效结合,严惩档案信息管理执行不到位、恶意攻击档案信息管理系统的行为,确保档案信息的安全。
4小结
网络经济时代的到来对我国各行各业的发展都产生了不容小觑的影响。飞速发展的网络具有动态性、复杂性、共享性、无边界性,并且过于依赖于信息载体等特点,如何在机遇与挑战并存的网络环境下优化档案信息安全的管理成了当前的一大关注焦点。针对当前档案信息安全管理意识薄弱、安全管理制度缺失、安全管理措施不到位、工作人员综合素质偏低、相关法律法规待完善等问题,政府、档案部门以及相关单位必须转变安全管理意识,提升档案信息安全管理的理念,加大人力、物力与财力的投入,建构一套与当前网络发展相适应的档案信息安全管理体系,推动档案安全体系运行的快速发展,实现档案管理“存以致用”的目标。
参考文献
[1]杨利广.博物馆纸质文物的保存现状及病害原因分析[J].丝绸之路,2016(24):65-66.
信息安全管理范文6
【关键词】企业 信息安全管理 对策
信息安全管理是指通过保证信息资产的机密性、完整性和可用性来保护和维护企业所有信息资产的一系列管理活动,是完整的企业组织管理体系的重要组成部分。其主要包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。
知识经济时代,企业内部各部门之间以及企业与外部之间的交流与合作日益频繁,且对计算机信息技术的依赖也日益明显,使得信息安全问题成为众多企业的关注焦点。
企业的许多信息,包括一些战略规划的重要信息,均以电子文件形式存储,而这些信息在存储、处理以及传输过程中都有可能被非法截取、恶意破坏以及篡改,损失难以想象。保障信息系统的安全在企业的建设和发展当中具有重要的作用。信息安全管理是确保信息系统顺利运行的有力武器。通过建立信息安全体系及相应的规范机制,如加强对人员的管理、提升人员安全意识、促进软件和操作系统的操作及建设相关网络等,就可以建立起完善的信息安全系统,促进企业在知识经济时代平稳、快速和健康的发展。
一 目前信息安全管理中存在的隐患
1.信息管理的安全意识方面
在传统的企业生产中,企业所应具有的基本生产要素主要有设备、原材料、人员和制度几个方面。但随着信息技术的发展,信息的重要性也日益突显,从而也成为企业发展的基本要素之一。根据以往经验来看,企业对信息安全的重视程度还远远不够,表现在对企业信息的安全保护很不到位,这无疑给企业带来了很大的损失。所以,企业必须要加强对信息安全的保护,建立起一套完善的信息安全体系来保证企业的信息安全。
2.缺乏统一的安全体系规划和安全防范机制
目前,“头痛医头、脚痛医脚”的现象十分普遍,原因在于眼于局部而忽视整体。企业只是在网络中安装了一些安全设备,却未形成统一的安全策略及相关规划方案。企业在建设信息化的过程中通常采取先开展业务,后关注安全的策略,使得安全的管理远远落后于开展业务发展。而由于缺少整体性的规划,使得企业在问题已经出现时才去弥补,对于安全建设只能用“亡羊补牢”来形容。
3.信息安全产品本身存在的问题
大多数企业通常在建设信息安全系统的过程中就采用了一些保证信息安全的产品。但并不是说使用了相关安全产品信息系统就安全了,因为计算机系统所存在的一些安全隐患除了是由信息安全产品本身所具有的漏洞引起的之外,人员在使用信息安全产品的过程中所造成的操作失误及用户配置的错误也会对其产生影响。所以企业不仅要重视安全产品自身的问题,也要重视系统的操作与应用过程。
4.资金投入不够,缺乏安全技术人才
要想建构起完善的信息安全体系,企业不仅要投入大量的资金,而且同时要引进一批高端的IT人才,组建一支专业建设信息安全的团队。但遗憾的是,很多企业并未意识到信息安全的重要性,所以在资金投入方面很是不足,比如说,使用的电子邮箱和杀毒软件等往往都是免费的,也没有构建防火墙,这使得企业的信息安全得不到充分地保障。此外,虽然一些企业投资引进了一些硬件设施,但对软件的重视不足,表现为投入的滞后性,从而阻碍了硬件设施发挥应有的功能。
还有一个问题,大部分企业在加强信息安全建设的过程中,通常都把注意力集中在搭建网络平台及硬件的选择上了,却忽视了对人才的引入和培养。具体表现在许多企业缺乏信息技术人才,而相关专业人才更是不足。按照要求,一个信息系统的运作应该由几个技术人才相互配合、共同操作,但实际上却恰恰相反,企业中的一个信息管理人员往往负责大量的操作,不仅要负责配置系统,还要负责管理系统的安全,导致对安全的设置和监督由一个人负责,任务繁重。
二 加强企业信息安全管理的途径
1.注重人员安全管理,提升信息安全意识
具体的操作人员在信息系统的建设和运行过程中必不可少,人既是管理者又是被管理者,因为他们不仅要建设和应用计算机系统,而且也信息管理的对象。所以在信息安全系统的管理中,最重要的就是对人员的安全管理,做到这一点要从以下几个方面来进行:要建立一个安全的组织结构,对安全职能加以确认,审查人员的安全状况,和安全人员签订相关的保密合同,加强离职人员的安全管理等。
企业要对员工加强有关信息安全的教育,增强他们的安全意识。保障企业的信息安全是每个职工应尽的义务。信息安全不是一种技术而是一种意识,所以仅从技术层面是无法保证企业的信息安全的。加强安全教育要企业要做到以下几个方面,首先,加强员工的教育培训、普及互联网和信息安全的相关知识、提升员工的安全意识并增强其防范能力,使整体员工都有一种为企业信息安全负责的意识。其次通过定期举行有关信息安全的报告和讲座等,使企业自上而下都形成安全意识并铭记于心。通过上述两种途径可以使企业的信息安全工作顺利的开展。
2.建立、健全信息安全防范体系
对于企业中信息安全的管理机制及防护规范的发展和完善,可以使企业中的那些至关重要的信息得到很好的保护。即使信息系统遭到入侵也能够保证企业业务的顺利进行,可以极大地降低企业的损失。
第一,提高安全系统的应急能力,这就要求建立和完善相应的应急管理机制,并制定应急预案。
第二,企业要建立起一个网络和信息安全管理的平台,在网络内外部署相关的信息安全设施,比如要加强网络的安全性管理,在网络中设置一些控制访问的策略,并对网络的安全使用加以规范,具体来说就是要安装避免病毒入侵的软件,对网络经常进行检测,提高防火墙的性能等。
第三,建立机制对信息安全进行集中化管理。如数据安全控制和加密密钥的集中化管理,前者可以做到自上而下的全面执行企业的安全防范策略,后者可以降低人为原因导致的数据安全的风险,并可以保证不与其他的加密策略发生冲突,实现兼容。
第四,企业还要重视对于异地数据的备份工作及当遇到意外情况时可以实现信息恢复的机制设计,因为这可以保障信息系统的安全运行。
第五,重视风险评估工作。这要求企业在平时要对信息系统的安全性进行定期的评估,以提高企业抵御风险的能力。
3.健全用户权限和上网管理制度
企业信息安全管理工作的一个重点就是要建立并完善用户浏览的权限及网上管理的制度设计,并使之得到严格地执行。同时随着企业的发展和业务系统的完善要不断对其补充和修正。
首先,对用户权限的管理加以完善。这就要求企业改变以往把每个员工都当成管理员可以随意浏览信息的状况,要将每个员工的权限加以明确并保证最小,减少他们对信息系统的操作从而在最大程度上保证系统的安全。
其次,要限制员工的上网行为。在信息化时代,要想控制众多员工上网的行为,就必须要从管理和技术两个方面来实现。此外,要严格检测和控制那些从外部传来的文件,防止它们给企业内部的网络带来病毒。
4.进一步健全、监管第三方服务体系
由于对信息安全的担忧和对服务质量的怀疑,大部分企业都不愿意采取第三方提供的服务体系。在企业中,信息安全工作至关重要,如果不小心泄露了企业的重要资料,就会给企业带来致命的打击。
政府应发挥作用加强有关第三方的法律法规建设并制定行业标准,排除企业对第三方的疑虑。企业应加强与第三方的合作,双方共同努力建设起符合企业特点的信息安全体系,使得企业的信息安全能够获得最有力的保证。企业应设立专门的监察职位,主要负责监督、检查企业管理信息系统的运行情况并直接向企业总经理负责。因其“第三者”的角色,可更加客观、公正对企业信息安全以及业务流程进行监察,及时发现信息安全隐患。
5.加大建设资金投入,完善软件硬件建设
要想顺利建成企业的信息安全体系,大量的资金投入是必不可少的。企业应投入足够的资金来购买相应的设备,如相关软件和服务器等,同时企业也可以采取外包的形式。
首先,在加强硬件设施方面,企业可以应用加密系统来保护有关的口令、文档及网内的重要数据。这样我们就可以更有针对性的在网上传输数据。加密管理有三种类型,即端点、节点和链路加密,企业可以根据自己的实际情况从其中进行选择。特别是在控制信息系统开发的过程中就应渗透信息安全保护机制,从根本上预防信息安全隐患。
其次,加强软件建设,最主要的就是采取积极有效的措施使操作系统的安全性得到最大程度的保护。具体来说就是要对有关信息管理的各种软件定期加以更新,保证数据库和终端的操作系统的版本保持一致,这不仅有利于加强管理,而且可以提高系统的防御功能
此外,要做到经常性的数据备份,选用高强度口令保护账号安全,针对不同账号设定不同密令,经常更新杀毒软件及补丁以及在局域网与互联网之间安装防火墙,并周期性的对文件进行排查,及时发现已感染病毒的文件以及信息丢失的现象。
企业的信息安全管理是一个动态的过程,要随时代的发展而不断加以创新。因此,我们必须不断探索加强信息安全管理的思路和方法,并对逐步构建起相对完善、高效、可靠的信息安全管理体系,定期对企业的信息安全风险和信息安全管理水平进行评估。
参考文献
