网络信息安全的重要意义范文

时间:2023-09-19 16:51:17

导语:如何才能写好一篇网络信息安全的重要意义,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络信息安全的重要意义

篇1

关键词:网络信息;安全技术;发展前景

互联网不仅给人们带来了便利,也使得网络与信息安全受到了多方面的威胁,所以发展网络与信息安全技术十分重要。而且我们不仅要充分认识到网络与信息安全技术的重要性,也要注重分析网络与信息安全技术光明又不乏曲折的发展前景,促进各安全软件开发商认清实际情况,选择正确的软件开发方向,引进国外先进技术,提高安全软件的开发水平。网络与信息安全,是指计算机系统运转正常,不受到攻击、破坏,数据不被窃取、泄漏,网络服务正常等。随着计算机技术的发展,社会的信息化,互联网的应用越来越普遍,网络和信息安全越来越重要,它关系到了国家安全与社会稳定。

1.网络与信息安全的现状

随着互联网技术的快速发展,信息共享逐渐在全球得到了实现,与此同时网络与信息安全也受到了更多的威胁。互联网的本质就是通过计算机的联接实现信息共享,这种开放性的本性使得互联网在构设之初就忽略了信息的安全性因素。然而,随着互联网技术的发展进步,信息共享化水平的大幅度提高,电子化商务逐渐成为人们生活的重要组成部分,人们的隐私信息的安全性在互联网上需要得到保障,这与互联网的本性相悖。随着互联网的普及,计算机病毒也逐渐成为网络和信息安全的重要威胁。计算机病毒常常具有隐蔽性、潜伏性,而且还会随着信息共享而传染给其他的计算机,破坏性十分强大,会造成信息泄露、损坏,甚至导致网络堵塞等社会性危害。计算机的操作系统和应用软件在程序编制上都存在漏洞,这些漏洞是黑客攻击计算机的入手点。黑客攻击计算机,窃取、泄露用户信息或造成其他破坏,给用户带来经济和精神上的损失。就我国来说,在网络与信息的安全保护方面的法律法规还有待进一步完善,而且网络处罚条例也没有得到有效实施。

2.网络与信息安全技术的重要性

2.1互联网技术在经济领域快速发展

中国互联网信息中心的统计数据表明,我国的网民人数早已成为世界第一,而且人们对于网络的应用,越来越集中于商业性应用。电子商务近年来发展迅速,得到人们的普遍认可,创造了巨大的其经济产值,并且电子商务还会进一步的发展,因此,建设一个安全的网络环境十分重要。随着计算机技术的发展,互联网逐渐应用到了我国各个领域,国家安全事物和人们生活与之息息相关。所以,网络与信息安全已经成为关系着国家安全和社会稳定的重要问题,引起了国家和人们的广泛关注。

2.2网络发展的需要

由于计算机病毒层出不穷而且具有传染性,很多用户的电脑都遭受过病毒的攻击,遭受到了或大或小的损失。此外,一些公司不注重客户信息的保护,出现了信息泄露事故,造成了很多不良影响。这些问题,都促使用户对个人信息的安全越来越重视。随着计算机技术的发展,互联网的未来会走向多样化,但是基于互联网的开放性特征,信息共享程度增加的同时网络与信息安全所受到的威胁也会加大,所以网络信息的安全技术会一直被互联网需要。

3.网络与信息安全技术的发展前景

基于网络信息安全技术的重要性和互联网发展的需要,网络信息安全技术的发展前景会是一片光明,但是其发展过程也会存在一些曲折。

3.1市场需求逐渐增加

安全类软件的市场发展迅速,其销售数量和销售额逐渐增长,已经成为软件市场的重要卖点之一,并且市场上安全软件的需求还在稳步上升。例如在用户的移动设备方面,大量的垃圾信息和隐藏在应用软件里的病毒等都让用户们逐渐意识到安全软件的重要性。近年来,移动客户对于安全软件的需求骤增,移动运营商们也加大了对于移动设备安全软件的开发。

3.2用户范围广

随着互联网技术应用的普及,网络信息的安全保护不止普通网络用户需要,企业和国家的各个部门也都需要。所以网络信息安全软件的使用者很广泛,并且还有大量的潜在用户。现在,中小企业对于网络信息安全软件的需求很受重视,各软件开发商都在努力争取网络信息安全技术有很多种,例如防火墙技术、虚拟加密网络技术、加密技术、身份认证技术等,软件开发商所开发的软件除了上述技术对应的软件外,还有杀毒软件、系统安全性检测软件等。不同的软件投资力度、收益率、市场需求均不同,导致软件市场存在多样性的竞争。因此,软件开发商们应该综合考虑自身资金、对口技术等实际因素,选择适合的软件开发方向,做好发展规划。

3.3软件市场逐渐形成

在软件市场上,虽然软件开发商越来越多,但是大企业对市场的垄断越来越强。一方面,由于大企业资金雄厚,对软件的开发投资力度大,并且软件技术具有垄断性,所以在软件开发水平上大企业越来越领先。另一方面,小企业的运行策略不成熟,影响力不足。安全软件市场上大企业的影响力越来越大,在现阶段可以促进我国安全软件的投资力度和开发水平,但也要防止大企业形成较强的市场垄断。虽然我国在网络信息安全软件的研发方面发展很快,进步也很大,但总体水平仍落后与发达国家。网络安全技术水平和软件的用户满意度都有待提高,所以,我国的软件开发商们要多多学习国外先进技术,增加合作机会,互帮互助,提高国产软件在本土的市场占有率。

4.结束语

当今是一个网络的时代,网络安全和信息安全是现在也是未来都要面临的问题,因此只有采用先进的计算机技术才能保证网络以及信息的安全。

参考文献:

篇2

在电子商务交易过程中,采取适当的安全技术措施能够有效的降低电子商务交易过程中的风险,满足电子商务对于安全性的要求。下面对常用的电子商务信息安全技术措施进行研究。

1)信息加密技术。信息加密指的是将信息数据按照一定的算法规则进行转换处理,根据加密算法的不同,密文有所不同。在进行数据信息的解密时,需要提供预先设置的加密算法,否则无法完成对信息的解密,这样就起到了加密信息数据的目的。信息加密算法的不同保证了用户数据的安全性。其中,加密技术按照密钥的不同可以分为对称加密和非对称加密两种。对称式加密的主要特点是加密算法的运算量较小、加密时间短。但是整个的保密都完全依赖于密钥的保密,一旦密钥出现安全问题,就会使得整个信息数据的安全性丧失,因此,对于密钥的管理是对称式加密的关键环节;非对称加密技术在加密环节与解密环节采用的是不同的密钥,与对称式加密相比,非对称加密有着更高的保密等级,但是其存在的一个缺点就是加密和解密过程运算量较大。

2)认技术。普通的加密技术在实际的电子商务信息安全管理中显得不尽完善。在电子商务信息安全管理的技术手段中,身份认证和信息判别是必须的信息安全管理环节。目前的认证技术主要包括数字签名、数字信封、数字证书等几种认证方式。数字签名技术是类似于传统意义上的签名,只是以数字的形式完成,其目的是保证在电子商务的交易过程中明确交易双方的身份并且保证双方身份的不可变更。电子商务环境下的数字签名技术主要是将数据文件通过数据发送者的密钥进行加密,将二者一起传送出去,接受者在接收到信息后只有通过发送者的公钥才能够解密数据信息,这样整个过程就形同现实生活中的签名一样,将数据信息与个人的身份建立关联,保证了电子商务交易过程中的数据信息安全;数字信封指的是通过在数据信息发送过程中加人特定的标识,以保证数据信息能够准确的发送到制定的用户,其具体的实现选用对称密钥对信息数据进行加密,然后将需要发送的数据信息连同数字信封一同发送,在信息接受者处同样需要数字信封的解密文件对数据信息进行解密,目前这种信封加密技术已经得到了较为普遍的应用。

3)防火墙技术。计算机防火墙是抵御计算机网络攻击的重要手段,其主要是通过设置网络过滤作用的防火墙对防火墙外部的数据进行选择性的接收。防火墙技术是一种相对传统的网络安全技术,其使用较为简单,但是在实际的电子商务交易过程中,网络防火墙只能够起到基础防护的作用,对于更高级别的网络防护要求是无法满足的。

4)安全交易协议。常用的电子商务交易协议有SET、SSL。其中SET是基于互联网的信用卡平台所确立的,其主要的应用领域是BtoC模式。具体的实施过程是通过采用信息的数字签名技术来确保信息的完整性,同时对信息的来源进行确认;SSL通信协议主要能够实现对数据的加密、客户端的身份认证、数据的完整性维护,以保证数据信息都能够准确的到达接受者。

2加强电子商务信息安全的对策

增强电子商务交易过程中的信息安全,不仅仅要从技术的角度出发,同时还要加强对于电子商务信息安全的管理,主要采取以下几个方面的措施。

l)加强安全管理组织建设。加强电子商务信息安全的管理组织建设是信息安全管理的重要方面,应该根据实际的电子商务需要,建立健全安全管理组织机构,完善安全管理组织的职能规划。通常情况下,安全管理组织负责电子商务安全的制度起草以及后期的安全制度落实、安全巡查、安全维护等。同时还可以根据实际需要聘请相关网络安全的专家和学者担任组织的顾问,对组织建设提供建议和指导。

2)完善电子商务信息安全制度建设。加强电子商务交易过程中的制度建设是整个电子商务安全管理的核心工作。要明确相应安全制度的定义、适用范围、权责等,并且不断的根据实际需要对制度进行细化。在实际的电子商务信息安全管理制度建设中,主要包括五个方面的内容。一是建立完善的电子商务授权交易制度,对交易过程中的关键环节进行严格审核;二是明确信息安全的权责,对各个部门的职能和责任进行明确的分工;三是建立财务控制制度,加强交易过程中的财产安全;四是加强对电子商务中经营环节的管控;五是建立相对完善的电子商务信息安全应急处理制度,对信息数据及时进行备份。

3)加强内部人员管理。培养和加强内部员工的信息安全意识对于防范电子商务交易过程中的信息安全有着重要意义。其具体的设施主要有以下两个方面的内容:首先,要加强对于内部员工信息安全意识的培养,使得员工在思想上加强对于信息安全的认识;其次,在人员的录用和培训环节要加强管理,员工需要签署严格的信息安全保密协议,同时强化员工的信息安全权责意识。

3结束语

篇3

1我省林业信息化安全形势严峻

我省林业系统信息安全面临的形势不容乐观,从省直机关及部分地市单位的调查结果看,有39%的单位发生过信息安全事件,说明我省林业系统网络和信息安全基础还比较薄弱,保障机制尚待健全。主要有以下四个方面表现。

1.1从发生信息安全事件的结构上看,超过半数的属于感染病毒、木马。引起事件的原因35.5%来自于单位外部,主要原因是未修补或升级软件漏洞。42.2%的事件损失比较轻微,只有0.9%的事故属于比较严重。而对于事件的觉察,36%是通过网络管理员工作监测发现,22.7%是事后分析发现。这说明,我省林业网络安全形势总体上是好的,但也说明网络与信息安全事件总体防范能力不足,缺乏对安全事件的提前预防。

1.2从信息安全管理来看,有74%的单位制定了安全管理规章制度,78%的单位能做到随时进行安全检查,61.1%的部门在管理中采取口令加密。这说明林业系统内大部门单位已经认识到了信息安全的重要性,但管理手段单一,技术落后,缺乏有效的身份认证、授权管理和安全审计手段。

1.3从信息安全投资来看,只有14.70%的单位信息安全投入达到了15%,70%的单位信息安全投资低于信息化项目总投资的10%,甚至还有7%的单位在信息安全方面从来没有过投资。说明整体网络与信息安全投入明显不足。

1.4从专职人员配备情况来看,只有46%的部门有专职的信息安全人员,大部分是兼职人员或外包服务。仅有3.8%的单位组织了对单位全体员工的信息安全培训,而对于网络安全管理技术人员的培训也只有46%的单位搞过。从业人员不足,安全培训少,也是影响信息安全的一个重要因素。上述现状,反映出我省林业系统网络与信息安全意识淡薄,信息系统综合防范手段匮乏,信息安全管理薄弱,应急处理能力不强,信息安全管理和技术人才缺乏。随着我省林业信息化建设和应用的加快,多样化的侵害和信息安全隐患将会不断地暴露出来,使我省林业网络与信息安全工作面临着更大的威胁和风险。

2我省林业系统信息安全保障思路及主要任务

省委省政府关于建设“平安山东”的决定,提出了把我省建设成为全国最稳定、最安全的地区之一的明确目标和任务,切实加强网络与信息安全保障工作是大力推进国民经济和社会信息化的重要保障,是平安山东建设的重要内容。省政府印发的山东省国民经济和社会信息化的十二五规划,把信息安全保障体系作为主要内容之一。在此基础上,林业信息化建设以全面提高网络与信息安全的保障能力为己任,努力开创了我省信息化建设与信息安全保障体系相互适应、共同进步的新局面。

2.1信息安全保障工作的思路以科学发展观为指导,认真贯彻“积极防御,综合防范”的方针,加强网络信任体系、信息安全监控体系和应急保障体系建设,全面提高林业系统网络与信息安全防护和应急事件处置能力,重点保障我省林业基础信息网络和重要信息系统安全;强化林业信息安全制度建设和人才队伍建设,充分发挥各方面的积极性,协同构筑我省网络与信息安全保障体系。

2.2信息安全保障工作的主要任务

2.2.1建立健全我省信息安全管理体制,充分发挥网络与信息安全建设的作用,建立了信息安全的通报制度,形成我省林业信息安全相关部门密切配合的良好机制。

2.2.2积极推进了信息风险评估和等级保护制度的建立。省信息办制定了山东省信息安全风险评估实施办法,介绍了实施风险评估的方法和流程,十一五期间,已选取了多家单位作为试点,下一步将根据自己工作实施风险评估,并争取在全省范围内推广。

2.2.3大力促进网络与信息安全的制度建设,积极贯彻有关信息安全标准的应用和推广,出台了林业系统网络信息安全建设的指导意见。

2.2.4加强信息安全应急处置体系建设,利用现有的专业队伍和技术资源,规划和建设林业数据备份中心,启动建设信息化应急技术处理中心,逐步实现为我省林业网络信息安全提供预警、评测等服务,按照“谁主管谁负责、谁运营谁负责”的要求,各部门出现问题及时处理,如果处理不了,可以呼叫应急中心通过技术手段判断突发事件的原因。

2.2.5加强人才队伍培养和建设。不定期的举办了面向工作人员提高安全意识、防范意识的培训,对从事信息化的专业人员建立管理培训的制度。

3加快我省林业信息安全保障体系建设进程的建议林业信息安全保障体系的建设是关系我省民生的大事,做好这项工作十分重要。

3.1充分认识做好信息安全保障工作的重要意义。目前对信息安全问题不少人仍然缺乏全面的、深刻的认识,现有各个部门在安全工作中缺乏安全防范的意识,安全防护注重于系统外部,忽略了系统内部的安全管理措施,安全保障缺乏循环、良性的提高,不能自主发现和及时消除安全隐患,对安全工作仍然不同程度的存在“说起来重要,忙起来次要,干起来不要”的问题。各单位各部门要从经济发展、社会稳定的高度充分认识信息安全的重要性,增强紧迫感、责任感和自觉性。

3.2正确把握加强信息安全保障工作的总体要求。要坚持积极防御、综合防范的方针,正确处理发展与安全的关系,坚持以发展求安全、以安全保发展,同时管理与技术并用,大力发展信息技术的同时,切实加强信息安全管理工作,努力从预防、监控、应急处理和打击犯罪等环节在法律、管理、技术、人才各方面采取各种措施全面提升信息安全的防护水平。

3.3突出重点,抓好落实。各部门要制定工作重点,加强信息安全体系建设和管理,最大限度的控制和限制安全风险,重点保障基础信息网络和重要信息系统的安全,做好应急服务工作,尽可能的防止因信息安全问题造成的重要信息系统的大面积的出现问题。防止数据丢失和错误,避免对社会造成的损失。

篇4

关键词:网络环境 企业信息 安全管理

引言

随着社会的发展,企业对信息资源的依赖程度来越大,由此带来的信息安全问题也日益突出。生产中的业务数据、管理中的重要信息,如果企业自身的信息安全管理有重大疏漏,也无法保证数据的安全可靠。当前,企业在黑客病毒日益猖撅的网络环境下不仅要保护自身信息的安全,还要保护业务数据的信息安全,因此有必要从体系管理的高度构建企业信息安全。

一、企业信息安全的二维性

当前,企业信息安全已涉及到与信息相关的各方面。企业信息安全不仅要考虑信息本身,还需要考虑信息依附的信息载体(包括物理平台、系统平台、通信平台、网络平台和应用平台,例如PC机、服务器等)的安全以及信息运转所处环境(包括硬环境和软环境,例如员工素质、室内温度等)的安全。资产如果不对影响信息安全的各个角度进行全面的综合分析,则难以实现企业信息安全。因此,需要从企业信息安全的总体大局出发,树立企业信息安全的多维性,综合考虑企业信息安全的各个环节,扬长避短,采取多种措施共同维护企业信息安全。

1、技术维:技术发展是推动信息社会化的主要动力,企业通常需要借助于一项或多项技术才能充分利用信息,使信息收益最大化。然而,信息技术的使用具有双面性,人们既可以利用技术手段如电子邮件等迅速把信息发送出去,恶意者也可由此截获信息内容。为确保企业信息安全,必须合理的使用信息技术,因此,技术安全是实现企业信息安全的核心。

1)恶意代码和未授权移动代码的防范和检测。网络世界上存在着成千上万的恶意代码(如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹等)和未授权的移动代码(如Javaseript脚本、Java小程序等)。这些代码会给计算机等信息基础设施及信息本身造成损害,需要加以防范和检测。

2)信息备份。内在的软硬件产品目前还不能确保完全可靠,还存在着各种各样的问题。外在的恶意代码和未授权移动代码的攻击,也会造成应用信息系统的瘫痪。为确保信息的不丢失,有必要采取技术备份手段,定期备份。

3)访问权限。不同的信息及其应用信息系统应有不同的访问权限,低级别角色不应能访问高级别的信息及应用信息系统。为此,可通过技术手段设定信息的访问权限,限制用户的访问范围。

4)网络访问。当今,一个离开网络的企业难以成功运转,员工通常需要从网络中获取各种信息。然而,网络的畅通也给恶意者提供了访问企业内部信息的渠道。为此,有必要采用网络防火墙技术,控制内部和外部网络的访问。

2、管理维:企业信息安全不但需要依靠技术安全,而且与管理安全也息息相关。没有管理安全,技术安全是难以在企业中真正贯彻落实的。管理安全在企业中的实施是企业信息得以安全的关键。企业应建立健全相应的信息安全管理办法,加强内部和外部的安全管理、安全审计和信息跟踪体系,提高整体信息安全意识,把管理安全落到实处。

l)信息安全方针和信息安全政策的制定。信息安全方针和信息安全政策体现了管理者的信息安全意图,管理者应适时对信息安全方针评审,以确保信息安全方针政策的适宜性、充分性和有效性。

2)构建信息安全组织架构。为在企业内贯彻既定的信息安全方针和政策,确保整个企业信息安全控制措施的实施和协调,以及外部人员访问企业信息和信息处理设施的安全,需要构建有效的信息安全组织架构。

二、企业信息安全构建原则

企业信息安全构建原则为确保企业信息的可用性、完整性和机密性,企业在日常运作时须遵守以下原则。

l)权限最小化。受保护的企业信息只能在限定范围内共享。员工仅被授予为顺利履行工作职责而能访问敏感信息的适当权限。对企业敏感信息的获知人员应加以限制,仅对有工作需要的人员采取限制性开放。最小化原则又可细分为知所必须和用所必须的原则,即给予员工的读权限只限于员工为顺利完成工作必须获的信息内容,给予员工的写权限只限于员工所能够表述的内容。

2)分权制衡。对涉及到企业信息安全各维度的使用权限适当地划分,使每个授权主体只能拥有其中的部分权限,共同保证信息系统的安全。如果授权主体分配的权限过大,则难以对其进行监督和制约,会存在较大的信息安全风险。因此,在授权时要采取三权分立的原则,使各授权主体间相互制约、相互监督,通过分权制衡确保企业信息安全。例如网络管理员、系统管理员和日志审核员就不应被授予同一员工。

三、企业信息安全管理体系的构建

信息安全管理体系模型企业信息安全管理体系的构建要统筹考虑多方面因素,勿留短板。安全技术是构建信息安全的基础,员工的安全意识和企业资源的充分提供是有效保证安全体系正常运作的关键,安全管理则是安全技术和安全意识恒久长效的保障,三者缺一不可。因此,在构建企业信息安全管理体系时,要全面考虑各个维度的安全,做好各方面的平衡,各部门互相配合,共同打造企业信息安全管理平台。科学的安全管理体系应该包括以下主要环节:制定反映企业特色的安全方针、构建强健有力的信息安全组织机构、依法行事、选择稳定可靠的安全技术和安全产品、设计完善的安全评估标准、树立.员工的安全意识和营造良好的信息安全文化氛围等。因此,为了使企业构建的信息安全管理体系能适应不断变化的风险,必须要以构建、执行、评估、改进、再构建的方式持续地进行,构成一个P(计划)、D(执行)、C(检查)、A(改进)反馈循环链以使构建的企业信息安全管理体系不断地根据新的风险做出合理调整。

四、结论

信息安全管理体系的构建对企业高效运行具有重要意义。只有全面分析影响企业信息安全的各种来源后才能构建良好的企业信息安全管理体系。从大量的企业案例来看,技术、管理和资源是影响企业信息安全的3个角度。为此,应从技术、管理和资源出发考虑信息安全管理体系的构建原则和企业信息安全管理体系应满足的基本要求。同时,也应注意到,信息安全管理体系的构建不是一劳永逸而是不断改进的,企业的信息安全管理体系应遵从PDCA的过程方法论持续改进,才能确保企业信息的安全长效。

参考文献:

篇5

【关键词】妇幼保健院;网络;信息安全

1妇幼保健网络信息安全的重要性

妇幼保健网络信息安全关乎妇女儿童切身利益和社会稳定。因此一定要切实强化网络信息的安全,确保相关的信息能够在相对安全的状态下共享,进而使得妇幼卫生事业能够健康发展。

2妇幼保健院的网络信息安全方法

2.1打造信息全面的妇幼信息网络平台。目前,信息化是妇幼保健院的改革趋势,目前已经在大城市铺开,但是要获得全面详实的数据,必须将信息系统广泛铺开,这之中存在很多难点。如果系统有各种各样的问题,其所造成的影响也是很大的。所以说,在对系统进行推广之时,必须要构建起具体的配套措施,要引入大量的专业人才。当然,在此过程中,问题也是客观存在的,但必须要想尽办法克服,要将信息安全监测的相关工作予以有效落实,如此方可使得信息资源高效、安全传输、共享,同时也可使得相关人员能够在第一时间察觉到系统之中存在的漏洞,继而采取最为恰当的方法来予以弥补,如此则可使得网络系统当中的主要数据能够得以恢复。2.2网络安全扫描。对网络进行安全扫描可使得相关人员对系统的安全状况有切实的把握,针对其中出现的缺陷予以及时弥补,如此可确保系统的安全得到切实保证。此种技术还能够对局域网、操作系统还有防火墙等展开扫描,这样一来,管理人员就能够对网络系统当中出现了安全性较差的服务,操作系统当中出现的各种漏洞,以及主机系统当中出现的监听程序等有切实的了解,进而选择最为合适的方法予以消除。网络安全扫描通常来说主要有两种形式,其一就是远程扫描,这种类型的软件有很多,其可以通过远程的方式来对主机的安全性展开检测,从而能够发现安全方面存在的各种缺陷。当然,此种软件的确是可以展开行之有效的远程扫描,同时其也是用来进行网络攻击的工具,通过此类型软件可对主机展开深入的扫描,这样就可发现其中存在的各种弱点,进而对其展开攻击。从事网络管理的相关人员可通过安全扫描软件来发现网络当中存在的各种漏洞,进而受到攻击之前就将其予以修补起来,如此一来,系统的安全性就得到了提高。其二就是防火墙系统扫描。在对内部网络展开安全防护之时,防火墙系统是十分关键的。当然,这个系统的配置是较为复杂的,稍不注意就会出现配置错误的状况,这就会导致网络出现安全方面的漏洞。一旦操作系统当中有漏洞,内部安全自然也就难以得到保证。所以说,通过防火墙扫描则可使得配置更为合理,并对操作系统展开安全方面的检测,从而使得系统的安全性有切实的提升。2.3构建起应急计划。计划的制定一定要非常详细,要将可能存在的问题全部纳入其中,从而使得系统、应用等受到破坏之时能够及时予以恢复。在安全方面出现问题之时,可以在第一时间来反应,并做出作为合适的处置。一定要确保灾难恢复计划的可行性,能够在最短的时间内将用户所碰到的之际问题得到有效化解,保证系统能够有序运行,同时还要将导致问题出现的因素予以排除。灾难恢复计划的制定过程中,一定要对单个系统以及设备故障予以重点关注,要将其所产生的影响控制在一定的范围之中,同时能够及时发现故障根源所在,进而能够对其予以高效的修复。2.4注意问题。为了防止计算机病毒的入侵,所有网络包括终端均安装了防火墙和杀毒软件,网络管理员适时监控维护中心机房网络设备的管理和网络安全,要确保相关人员在进行操作之时不会出现任何的违规行为,并要对其权限予以设置,在软件应用方面更要严格,除了必要的管理、临床方面的软件之外,其它软件均不可运行,同时还要将U盘接口予以封闭,这样方能使得信息的安全性得到保证。计算机发生故障时,要及时与网络管理员和设备供应商联系,其他人员不得擅自越权操作。

3结语

由上可知,若想使得网络信息安全得到切实保证,就必须要对与之相关的因素予以整体考虑,要制定出行之有效的安全防护计划,并要将相关的措施落实到位,同时还要制定出具体的法律法规。

作者:聂思思 单位:浏阳市妇幼保健院

参考文献

[1]林华.分析计算机网络存在的危险因素及防范措施[J].黑龙江科技信息,2014(32).

篇6

 

引言

 

人类文明发展有文字之后,档案便开始了漫长的保存与利用过程。?档案,是整个人类的宝贵财富。

 

档案的开放和安全保障是信息保存和开展相关工作的重要保障。目前档案的开放和信息的保护遭到多方面的干扰,电子档案的兴起更对信息安全提出了更高的要求。因此,加强档案安全利用是档案部门需要重点研究和建设的项目。

 

一、档案开放与信息安全的必要性

 

档案开放是顺应市场经济发展的必然,是政府实施“信息公开”制度和“政务上网工程”的要求。

 

档案开放能够推动民主政治的实现,并能推动其发展。总之,它推动着社会各项文明建设。

 

档案信息必须附着于不同的载体上,在保存过程中,遇到破坏在所难免,而因此造成的信息的丢失对社会的影响非常大。

 

另外,随着信息时代的发展,档案管理电子化,即电子档案的应用普遍开来。网络巨大开放性更是威胁着档案信息的安全使用。

 

无论是从自然环境还是社会人文环境来看,加强档案信息安全的研究和保护刻不容缓。

 

二、档案开放利用的现状

 

目前,已经有大量的档案公开给社会公众利用。但是,由于种种原因,我国档案信息资源的开放程度仍然较低,开放的档案仅占国家档案保存总量的28%。

 

首先,外部环境的巨大变动严重威胁保存档案的硬件设备。

 

其次,网络安全直接影响着电子档案的安全。在虚拟的网络环境里,黑客、病毒等的恶意篡改和攻击严重毁坏了档案的完整性和准确性。

 

网络一旦瘫痪,所有的信息可能会消失殆尽。另外,信息安全的相关法规存在漏洞、执行能力差,安全管理上工作细致性不足,风险评估体系和水平不足。

 

三、档案开放与信息安全的辩证关系

 

作为档案工作的核心和最终目的,档案开放必须有严格的工作标准和规定。

 

档案工作者利用多种渠道获得相关信息,进行统一的加工整理形成档案,交给档案使用人员同时加以保存。

 

非保密档案可以依法向社会和人民大众公开,提供给民众参与社会化服务与政策的机会,保障知情权的行使。档案的开放极大的促进了信息的共享和资源的高效利用,能有效的促进相关工作的顺利进行。在档案的开放过程中,信息的安全保护相当关键。

 

档案信息必须附着于不同的载体上,在保存过程中,遇到破坏在所难免,而因此造成的信息的丢失对社会的影响非常大。

 

另外,随着信息时代的发展,档案管理电子化,即电子档案的应用普遍开来。网络巨大开放性更是威胁着档案信息的安全使用。

 

无论是从自然环境还是社会人文环境来看,加强档案信息安全的研究和保护刻不容缓。

 

档案的开放极大的促进了信息的共享和资源的高效利用,能有效的促进相关工作的顺利进行。但是,在档案的开放过程中,信息安全保障是现阶段高校档案不容忽视的一项工作。

 

档案具有历史性,真实性和唯一性,一旦损毁,势必给社会造成难以挽回的重大损失,影响档案工作的发展。因此,如何健康安全地开放档案是档案工作的关键。

 

四、档案安全保障措施及防范体系

 

(一)建立完善的法律法规

 

当前我国涉及档案安全的法规主要是信息安全和保密管理。它可以帮助档案开放工作的健康、科学的发展。但针对信息安全重点建设的等级保护、风险评估、应急响应等内容在法规里仍是空白。这阻碍着档案信息安全系统的完善和对信息的保护。

 

因此,建设完整的法律法规体系,加强档案部门工作人员的法律意识和责任感,保障法规的执行力度。同时,针对电子档案的法规也需建设和完善起来,以指导和规范电子档案的安全使用。

 

(二)加强档案基础环境建设

 

对于实体档案,如纸质、胶片、磁带档案要严格控制材料的选择,并根据不同的环境需求分开保存,分别配备相应的库房设备。?电子档案的保存硬件设备即服务器、终端、存储设备和网络设备。这需要保证设备的物理条件,相关单位需定期检修保障设备的正常运行。

 

电子档案安全更重要的环节是网络的安全保障,网络的安全管理、漏洞检测和病毒查杀都需要网络安全技术的保障。

 

(三)加强安全技术能力建设

 

1、实体档案信息安全保障技术。主要有保存技术和修复技术。保存技术重点对库房的环境建设和装帧技术展开。修复技术用于解决在档案的保存、利用过程中受不可抗外力作用,如纸张老化、胶片断折、光盘磨损等。加固技术、去酸去污技术,修裱技术都是常用的修复技术。

 

电子档案安全保障技术就是从系统安全,数据安全,网络安全,用户安全等角度进行安全保护。

 

2、档案信息安全保障手段。通过安全审计保障系统安全;利用数据加密技术、备份技术、应急响应技术保障数据安全;利用防病毒技术、防火墙技术、漏洞扫描技术保障网络安全;利用身份认证、权限控制技术保障用户安全。

 

3、档案信息安全保障措施。对档案员工进行安全教育是保障信息安全的重要措施。首先,应该大力推广信息安全观。将个人电脑设定防毒措施,加强资料备份观念。防止在档案信息公开的过程中无意带入电脑病毒。

 

档案部门需要在档案服务器上安装杀毒工具,建立起基本的的防毒安全环境。在工作过程中,养成重要资料备份的习惯,将档案信息备份到服务器中,并备份到光盘或磁盘中。另外,制定文件信息安全防护和应急计划,定期进行修订。

 

(四)完善档案安全管理体系建设

 

档案的管理工作是真正实现档案安全的重要部分。好的管理思想和制度,负责的管理人员和到位的工作程序是保障档案信息安全的灵魂。建立起档案信息安全组织体系,设立信息安全管理部门,规划组织,明确职责。制定档案信息安全保障工作的整体规划确立明确的目标,拟定长期规划。同时加强管理制度的执行力度,成立安全工作领导小组,定期对档案信息进行检查。

 

(五)大力推广应用电子档案

 

从安全角度来看,电子档案较传统纸质档案有较大的安全性。首先电子文件对环境条件、气候条件耐受性较高,不易被破坏,因此较安全。第二在文件保管使用的整个环节都可以凭借高科技手段加以安全保护。第三影响电子文件信息安全所需智力、技术、设备、环境等条件较高。

 

第四我们一直在不懈努力大幅提高电子文件的安全技术研发功效,努力杜绝文件信息泄露的可能性。

篇7

关键词:安全文化;电力信息;信息安全;人员岗位调动;存储介质;计算机互联网

中图分类号:F273 文献标识码:A 文章编号:1009-2374(2013)04-0152-03

伴随信息技术的发展,电力企业的信息化程度越来越高。网络与信息系统有效支撑了公司各项业务的开展,全面提高了电网安全、生产效率和服务质量,其基础性、全局性、全员性作用日益增强。信息安全作为信息化深入推进的重要保障,与电网安全生产密切相关,对公司生产、经营、管理工作有重要意义,对电网安全有着重大影响,面临的形势严峻。

培育全员安全文化,要坚持“安全第一,预防为主,综合治理”的方针,牢固树立安全发展、健康发展的理念。在信息安全管理中要坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,坚决执行各项规章制度,不断提升人员信息安全和保密意识,全面保障电力企业信息安全。

1 影响信息安全的人为因素分析

1.1 员工岗位调动带来的信息安全风险

由于工作需要,经常发生人员岗位调动的情况,尤其是在“三集五大”体系建设过程中,员工岗位调动较多。一方面,岗位的调动必然带来相关信息系统权限的变更,但在实际操作中,往往是信息系统权限的变更远远滞后于岗位变动,给信息系统带来安全风险。另一方面,岗位交接过程如不严格把关,会产生企业生产、管理等信息丢失的风险。

1.2 未严格执行信息安全规章制度

企业员工信息安全意识淡薄、疏于防范,对已知的信息安全风险存在侥幸的心理,一些人员不遵循企业的信息安全规章制度,出现如计算机弱口令、无屏保或屏保时间过长、未关闭不必要的服务等现象,信息安全保密意识淡薄,对违规操作明知故犯。

1.3 员工抵触情绪产生的计算机“裸奔”隐患

企业要求必须安装指定的防病毒软件和桌面管控系统,因此会造成计算机运行速度变慢,使用性能下降,部分员工主观上不愿接受技术防范安全管理,造成部分安全产品客户端软件安装不全,甚至出现没有安装的现象,使得计算机出现“裸奔”现象,成为计算机病毒、木马等各种黑客软件攻击的对象。更为严重的是,这会给整个电力系统内网带来安全威胁。

1.4 内网计算机存在违规外联隐患

部分员工通过USB接口将手机接入内网计算机,给手机充电或将手机上的照片导入计算机,导致违规外联;还有极个别员工企图用内网计算机插入无线网卡或直接接入互联网下载资料、升级软件等,同样导致违规外联。目前还存在对外来人员和新进人员的宣传教育不足,造成这些人员使用内网计算机时构成违规外联的安全隐患。

1.5 安全移动存储介质使用中的安全隐患

部分员工在使用安全移动存储介质时,未按要求进行注册或未修改初始密码,在企业信息内外网间及因特网数据交换的过程中,未将涉及企业秘密的信息放在保密区。同时还存在将安全移动存储介质随意乱放,安全移动存储介质的维修工作由非专业技术人员负责,出现故障报废的存储介质未及时销毁等现象。

1.6 笔记本电脑使用中的安全隐患

部分员工由于工作需要在笔记本电脑上处理、存储工作信息,在用完后未及时删除重要信息,造成信息泄露,或笔记本电脑故障外送维修时,未考虑到是否存有或工作信息,忽略监督维修过程,从而构成了泄密隐患。

1.7 员工的无意失误

人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强、用户口令选择不慎、用户将自己的帐号密码随意转借他人等都会给网络信息安全带来威胁。

2 培育全员安全文化的途径

2.1 加强机构变动及人员岗位调动后信息安全管理

严格做好机构变动、人员岗位调动后的信息安全管理工作,确保信息网络设备安全运行。一方面加强对制度的宣贯。机构变动后要及时组织全员学习相关信息网络安全管理制度,要求全员严格遵守信息安全相关规定。另一方面及时梳理更新用户。根据人员调动情况,对内网终端计算机用户进行排查,及时增加新用户,删除岗位调离的用户,在新计算机入网前,要按照计算机管理办法履行接入申请手续后方可接入信息内网,并按照计算机管理办法和计算机加固指南,对原有用户或原计算机先进行注销,后进行注册,确保信息安全管理规范、有序进行。

2.2 加强安全组织管理,提高全员信息安全意识

要切实提高对信息安全管理工作的认识,充分发挥安全组织机构的管理作用,进一步强化三级安全生产责任制度,安全生产工作做到逐级负责、落实到人,提高全员信息安全意识。首先,要成立信息安全领导小组,根据工作需要及岗位的变化,适时调整小组成员,定期召开领导小组会议,解决信息安全工作中遇到的问题。其次,要设立信息安全专职管理员,规定相应的岗位职责,明确信息安全工作要求,为信息安全管理提供制度保障。最后,要明确各级员工的信息安全职责,并由信息部门定期开展信息安全检查,促使其规范地使用计算机。

2.3 重视信息安全管理制度的完善与落实

企业管理制度是基于企业组织结构之下的,企业为求得利益最大化,在生产与经营实践活动中制定的强制性规范。信息安全管理制度是电力企业管理制度的重要组成部分,是实现企业安全目标的强制性措施,是员工从事安全生产的行为规范。重视企业信息安全文化建设就要重视信息安全管理制度的完善与落实。

2.4 定期开展信息安全检查,促进企业信息安全

定期开展信息安全检查是促进企业信息安全管理的有效途径之一。在信息安全管理中要加强日常检查和指导,并定期地开展各项综合检查和专项检查,使各项规章制度渗透到日常的工作中,从而强化规章制度的约束力。通过检查,及时发现信息安全隐患,积极采取有效措施,及时清除安全隐患,促使员工不断提高信息安全的意识,自觉有效地降低人为的信息安全风险,将可能出现的信息安全事件消灭在萌芽状态。

2.5 建立信息安全培训长效机制

信息安全管理应建立信息安全培训的长效机制,保证信息安全管理的动态推进和持续改进。每年要制定切合实际的信息安全培训计划,并把安全培训与技能培训结合起来,以安全培训为契机,提高员工队伍的整体安全文化意识。培训内容除有关安全知识和技能外,还应包括对严格遵守安全规范的理解以及个人安全职责的重要意义等。

2.6 加强宣传,营造“保障信息安全人人有责”的良好氛围

信息运维人员在日常运维工作中,要坚持服务与传授计算机应用知识相结合,不断提高全员计算机操作水平。另外还可以利用公告、网站、协同办公平台、手机短信等多种方式加强宣传,有针对性地宣传上级有关信息安全的工作方针、政策;有选择性地公告一些安全技术、安全常识、事故案例等,供企业员工讨论学习,使员工真正认识到信息安全的重要性,努力营造“保障信息安全人人有责”的良好氛围,让全员为信息安全风险防范构筑一道坚实的职业道德防护屏障。

2.7 加强计算机实体安全管理

加强对计算机实体的管理,防止信息资料的泄露。加强密码与口令管理,密码设置必须符合安全要求并定期更换,确保口令、密码的有效性。注重计算机病毒的检测与防治,及时安装操作系统和应用程序漏洞补丁程序,安装桌面管控、防病毒等必需的信息安全产品,坚决杜绝内网计算机以任何形式的违规外联。

3 结语

建立信息安全文化意味着每一个员工都是保证安全的重要执行者,要增强网络与信息系统的安全,知道相关的安全风险和防范措施,并承担责任和采取措施。不能仅仅把信息安全视为技术层面的概念,而应当把它深化到全员意识中,将信息安全文化融入到员工的日常工作中,全面普及信息安全文化,只有这样才能为电力安全文化建设打下坚实的基础。

参考文献

[1] 刘燕辉,李南阳.全员安全文化是保障信息安全的有效手段[J].金融科技时代,2011,(10):72-74.

[2] 王淑英.加强安全文化建设 提升安全管理水平[J].企业研究,2011,(8):61-63.

篇8

1档案信息安全的主要影响因素

1.1环境因素

档案信息安全工作所涉及的环境因素包括自然环境和特定的档案安全工作环境,具体包括自然灾害的影响(地震、泥石流、火灾等)和特定物理环境的打造(网络安全系统、计算机硬件设施、辐射、污染、空气湿度、防盗设施等)。

1.2硬件因素

作为档案信息安全的基础,硬件因素以物质的形式决定着档案信息安全工作的有效性。调查发现,大多数档案信息安全防御系统失效是由于硬件设备发生故障或遭到损坏引起的。硬件设施是档案信息的存放单位,其质量要求和管理工作相当重要。硬件设施在保管和运输过程中容易发生损坏或丢失,并且易受到环境因素的影响,导致档案信息安全受到威胁,致使重要信息资料损坏和丢失。所以,档案信息安全的硬件因素是最重要的影响因素。

1.3技术因素

技术是决定档案信息安全的核心要素。在互联网信息时代,档案安全技术是保证档案信息安全的关键。黑客入侵、木马病毒等恶意侵犯使档案信息安全受到威胁。对此,只有不断升级、更新档案信息安全技术,防止病毒传播、黑客入侵,修复程序漏洞,才能真正保证档案信息的安全。

1.4管理因素

管理工作是档案信息安全的重要组成部分,是档案信息安全技术发挥作用的基础。管理人员承担着档案信息安全的政策制订、安全风险评估、人员培训、后勤供应等责任。

1.5人为因素

人是档案信息安全工作的主体和实施对象,是档案信息安全工作体系维护的重要作用因素。因此,人员的安全意识、工作技能和责任心等都会对档案信息安全工作产生重要的影响。

1.6社会因素

社会因素属于抽象的概念,具体包括组织管理环境、法律环境、人们的思想认识等。积极的社会氛围和人们的认识有助于塑造良好的档案信息安全保障环境。而提高人们对档案信息安全的责任意识和安全维护意识,对打造良好的档案信息安全保障环境具有重要意义。

2档案信息安全保障体系的建设与思考

档案信息安全保障体系是保障档案信息安全的根本,具有周期长、信息量大、复杂等特点,包括信息资源、安全保障技术、工作人员和工作环境等主要因素。其中,信息资源是根本,安全保障技术是核心,工作人员是重要因素,环境是必需要素。所以,构建长期、有效的档案信息安全保障体系应当从大局着眼,战略性地规划、实施。具体可以从以下几方面开展。

2.1技术体系

作为档案信息安全保障体系的核心组成部分,技术体系有着举足轻重的作用。应当将其看作有机的技术连接合作,而不是简单的技术组合,并牢牢把握技术体系的组成部分,即计算机环境、网络基础实施、技术支持等,科学、严谨地把握技术体系的有效性。从技术体系层面保障档案信息安全应当注意以下几个方面:①物理环境安全。保护好档案信息安全的物理环境和硬件设施,制订科学、规范的环境保护制度,配备最先进的视频监控、灾害防御系统和档案信息资源备份系统。②网络基础设施。根据网络风险系数,结合实际情况,针对档案信息安全管理的目标和任务,构建分级防御防护体系。③系统安全。依据有效的系统风险评估,有针对性地分析各类风险和安全隐患,构建主动防御系统,变被动为主动,及时发现和消除安全隐患。④系统数据安全。系统的安全运行仅仅保护了系统服务的可用性,即提供了档案数据存储、处理和传输的必要条件,要确保档案数据的安全、可靠,必须保证合法用户的权益,以授权形式操作信息。

2.2管理体系

依托档案信息安全技术体系,构建科学、规范的档案管理体系。以技术为指导,根据档案信息安全精神,充分发挥工作人员的工作积极性,使管理体系的效用最大化;建立流程可追溯机制,开发日志记录功能,加强过程控制,避免出现档案信息安全漏洞;重点实施保密要害部门、部位的安全监管;制订相应的特别管理制度和多层次的监管措施,档案信息安全考核是岗位考核的重点;定期组织工作人员学习档案信息安全法律法规和政策,营造良好的工作环境氛围,强化档案信息安全的法制防线;形成定期的档案信息安全评估机制,开展风险分析工作,适应环境与技术的变化,建立动态的防御体系,积极应对可能发生的各种危及档案信息安全的状况。

2.3人才体系

人才是档案信息安全体系的关键性因素。虽然档案信息的来源更加广泛,搜集整理方式也越来越多样化,查阅、利用方式更加多样和便捷,但是这一切都离不开档案管理人才的实施。随着档案信息安全管理工作的网络化、技术化,其涉及的知识越来越多,对工作人员的技能要求也更加严格,因此,档案信息安全专业人才的吸收和现有工作人员工作技能的提升也成为了档案信息安全工作的重要课题。笔者认为,档案信息安全体系工作人员管理水平的提升应当从安全意识入手,然后通过专业技术的学习、责任心的提升和团队意识的加强等方面来不断提升工作人员的水平。

3结束语

篇9

关键词:档案管理 信息化 意义 安全 防范策略

档案信息也逐渐走向数字化管理是必然趋势,但在档案信息化过程中,出现的安全问题,制约的档案信息化的进程。如何确保护信息化档案信息的完整与安全,成为当前档案管理者的重要课题。

一、档案信息化管理的作用和意义

电子化档案管理信息系统的建立,可以提高档案工作的效率,方便用户的使用加强档案的保存,提高档案利用的效率,对维护和保障单位的合法权益,促进两个文明建设具有重要意义。

(1)档案信息的传递量和服务对象的数量大大增加。由于数字信息占有空间小,信息传递不受空间的限制,随着计算机通讯网络的不断延伸,所能链接的用于存贮和管理数字信息的服务器和存贮设备及服务对象的数量将加速增加。

(2)时间的延续性,可以24小时服务。

(3)档案数字信息网络检索方便,传递速度快。

(4)可以根据利用者的需要,提供个性化服务,档案信息网络服务的出现,是我们提供档案信息服务的适时的现代手段。

(5)资源共享,提高档案的利用率。利用网络传输档案信息具有纸质档案不可比拟的优点,网络传输速度快、档案传输不再受空间和人力的限制。还可以通过档案管理网络系统异地查阅档案信息,节约了人力、物力,大大提高档案的利用率。

二、档案信息化后可能存在的安全隐患

l、操作系统的安全缺陷。操作系统是计算机最主要的系统软件,是信息安全的基础之一。然而,因为操作系统太庞大,致使操作系统不可能做到完全正确。操作系统的缺陷所造成的功能故障,往往可以忽略,但是,如果操作系统的缺陷被攻击者利用,所造成的安全问题就不能忽略。

2、网络技术本身的安全隐患。网络本身就不是一种很安全的信息传输方式。网络上的任何信息都是经过重重网站分段传送至目的地的,任何中介站点均可以拦截、读取甚至破坏信息。同时,网络的应用技术发展很快,新技术不断推动新的应用,而安全技术是一种在对抗中发展的技术,它总是显得有些滞后,防范攻击的能力不强,这样就导致了网络安全的脆弱性。

3、管理人员素质问题。据有关资料显示,90%以上的档案管理人员没有受过正规的计算机安全培训,缺乏计算机与网络信息的安全意识,致使网站遭到攻击。

三、档案信息化管理中安全问题的防范策略

1、加强对档案管理人员素质培训及安全教育

在档案信息化管理安全防范中,人的因素是第一位的。档案管理的现代化,对档案管理人员的素质提出了新的要求,档案部门应加强对信息安全意识和安全业务的宣传与教育,不断提高档案管理人员的思想素质、业务素质和职业道德。对现有的在职档案人员进行档案现代化管理和计算机、网络等信息技术方面新知识、新技术的培训和再教育,积极引进复合型人才,为档案信息化管理注入新的活力,提升综合管理能力,应对工作中可能发生的意外事故,及时发现问题和解决问题,维护系统的安全和正常运行,确保档案信息的完整性。

2、从管理上加强安全防范

针对信息化档案安全问题,安全防范的最高境界不是产品,也不是服务,而是管理。没有好的管理思想、严格的管理制度、负责的管理人员和实施到位的管理程序,就没有真正的安全。

1)建立可信可控的内部网络。管理好内外网通道,杜绝内部人员使用拨号、宽带等方式非法接入外网。管理好单位个人使用的计算机上的重要文档,防止相同域内的终端用户互相调用和操作机密文件。管理好输出设备,对于重要电子文档的打印,要进行严格的登记和日志管理。管理好内网客户端,在局域网上建立监控点。

2)实施强审计管理。所谓强审计,就是利用日志对网络上的行为、踪迹进行监控,并能事后取证的技术。强审计技术一般包括五个方面的内容:―是网络审计,防止非法内连和外连;二是数据库审计,对数据库的读取行为进行跟踪;三是应用系统审计,例如公文流转经过几个环节,必须要有清晰的记录;四是主机审计,包括对终端系统安装了哪些不安全软件的审计,并设置终端系统的权限等,五是介质审计,包括光介质、磁介质和纸介质的审计,防止机密信息通过移动U盘、非法打印或者照相等多个环节从信息系统中泄密。

3)数据备份与容灾。理想的数据保护解决方案必须既能解决业务对高性能与可用性的需求,又能解决备份与恢复管理问题。容灾备份就是指通过特定手段和机制,在各种灾难损害发生后,仍然能够最大限度地提供正常应用服务的信息系统。对于提供实时服务的信息系统,用户的服务请求在灾难中可能会中断,应用备份必须提供不间断的应用服务,让客户的服务请求能够继续运行。

3、保障数字档案安全的技术措施

数字档案是技术的产物,因此,运用先进网络技术和信息安全技术是确保数字档案安全的重要保障。

1)防火墙技术

防火墙是在网络之间执行访问控制策略的系统,是硬件和软件的组合体,它保护内部网络免受非法用户的侵入、过滤不良信息、防止信息资源的未授权访问。防火墙的实现技术主要有:包过滤技术、服务技术、状态监测防火墙技术等。

2)加密技术

密码技术是网络安全技术的核心,是提高网络系统数据的保密性、防止秘密数据被外部破拆所采用的主要技术手段。采用加密技术可以确保数字档案内容的非公开性。加密技术通过信息的变换或编码将机密敏感信息变换为难以读懂的乱码型信息,以达到保护数据安全的目的。数据加密技术可分为二类:对称型加密和公钥密码算法。

3)防写技术

防写技术,即将数字档案设置为“只读”状态,在这种状态下,用户只能从计算机上读取信息,而不能对其进行任何修改。在计算机外存储器中,只读光盘只能读出信息而不能追加或擦除信息广一次写入光盘可供使用者一次写入多次读出,可以追赶加记录但不能擦除原来的信息。这种不可逆式记录介质可以有效地防止用户更改数字档案的内容,保持数字档案的真实性和可靠性。

结语

随着档案信息化进程的深入,大量数字档案的安全问题已经摆在档案管理者面前,如何做好信息化档案的安全工作值得我们不断的探讨和研究。

参考文献:

[1]刘景红,朱俊东.医院档案信息化建设中的信息安全管理[J],档案.2009 (4).

[2]范志伟,浅谈档案信息化管理过程中的安全保护问题[J].职业技术.2009 (7).

篇10

【关键词】计算机信息安全;信息安全防范;信息安全补偿

1.引言

信息安全事故在世界范围内时有发生,2013年3月20日韩国遭遇大规模网络攻击,KBS韩国广播公司、MBC文化广播公司、YTN韩联社电视台等广播电视网络和新韩、农协、济洲等金融机构网络以及部分保险公司网络全面瘫痪,造成部分媒体和金融服务中断,超过3.2万台计算机和大量ATM提款机无法启动[1]。调查结果是黑客所为。信息安全不容忽视,针对这些事故,我们提出了一些策略加以预防和弥补。

2.大数据时代网络信息安全

2.1 计算机信息安全的定义

国内常见的信息安全定义:计算机的硬件、软件和数据受到保护,不因偶然的和恶意的原因而遭到破坏、更改和泄露,系统能正常地运行[2]。在信息安全的原则中,基本原则方面上最小化原则、分权制衡原则和安全隔离原则是信息安全活动赖以实现的准绳,而在实施原则方面上人们在实践中总结出的宝贵经验包括:整体保护原则、谁主管谁负责原则、适度保护的等级原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向保护原则。同所有技术一样,信息技术本身也存在局限性、缺陷性或漏洞。

2.2 大数据时代网络信息安全现状

网络安全的本质其实就是信息安全,也就是保证网络中的信息的完整性、可用性、可控性、可审计性和不可否认性等等。网络在服务于用户过程中发挥的主要功能是传递信息,各种生活信息、商业信息、娱乐信息均可借助网络平台操作处理。正计算机网络的广泛性、匿名性、隐蔽性和多样性以及其他计算机自身原因,使得信息安全日益严峻,其中在人为威胁下比较典型的安全威胁有黑客攻击、拒绝服务攻击、假冒服务攻击、网络病毒攻击、中间人攻击和重放攻击。在这些人为威胁下,信息安全还必须考虑自然的威胁。信息系统都是在一定自然环境下运行的,自然灾害对信息系统容易造成毁灭性的破坏,地震、水灾、火灾和雷击都可造成毁灭性的破坏,甚至鼠患,潮湿都可能造成极大的损失。网络无处不在,安全威胁也是无所不在,解决通信网络信息安全的方案包括分层安全防御与运营、Ip安全平台、虚拟化与应用安全交付、安全运维自动化与智能化、安全增值业务、电信业信息技术的风险管理、云安全、Web应用安全、无线安全等[3]。

2.3 大数据时代网络信息安全保护思考方向

信息安全是一门复杂容纳多种学科的专业工程。由规范化的信息安全管理内容组建以风险和策略为核心的控制方法促使信息安全管理的内容实施,并通过定性分析和定量度量的信息安全测评确保任务的顺利进行和成果验收,以此为基本内容建立一套完善的信息安全管理体系[4]。同时,为达到保护信息安全,应建立起系统运行维护的管理体系,将信息安全管理合并信息系统的审核统计以及内部控制体系的强效监控与信息技术服务体系高效结合,高质量确保业务持续性和安全性的要求。

3.计算机本地信息安全

3.1 本地媒体信息种类

所谓的本地媒体信息通俗上来说就是指存在本地(如个人电脑,PC终端)上的信息,常见的媒体信息有文本、图形、图像、声音,音乐、视频、动画等种类。

3.2 本地媒体信息安全现状

目前,本地媒体信息面临的安全隐患可以分为以下几个方面:

(1)本地媒体信息以文件的方式存储于计算机的硬盘内存中,且大多是明文的形式存在。任何人员只要登录操作系统,就能获得本地数据的完全控制权,这其中包括删除数据,篡改数据内容、拷贝数据内容等操作,造成非法访问,数据泄漏;

(2)当用户在使用本地媒体信息时,由于操作不当造成数据丢失,系统崩溃,硬件的损坏等也会使本地信息的安全受到威胁:

(3)由于病毒等恶意程序的入侵使得本地媒体信息受到破坏。会造成一些敏感数据(如财务报表等)和各种账号(如QQ账号密码:支付宝账号和密码,网上股票交易的账号密码等)的泄漏;

3.3 保护本地信息的必要性及影响

随着社会的进步科学的发展,计算机与人们的生活已息息相关,应用范围已经涉及到各行各业,但是计算机本地数据泄漏、被盗的也越来越多。如果计算机本地媒体信息的安全得不到保障,将会使计算机使用者带来很多的麻烦和巨大的损失,如个人信息的泄漏,银行、股票证劵公司、政府机要部门、军方数据的泄漏,被盗等。

当今世界的各行各业都与信息化有着越来越密切的联系,信息产业已经涉及到了社会的各个角落。数据安全是信息产业建设的基石,如果数据安全得不到保障,那么信息产业的发展将会受到极大的影响,将会造成不可估量的损失,甚至致使社会的进步减慢。现在IT技术发展很快,每隔一段时间就会出现新的技术和安全威胁,还将会有更多的威胁涉及到计算机本地数据的安全。如果连本地媒体信息的安全不得不到保障,那么接下来的安全问题也难以保障。

4.计算机可视媒体信息安全

4.1 可视媒体类型

可视媒体的基本类型包括四类:符号、图形、图像和视频。符号是对特定图形某种抽象的结果,我们平时经常用到的文本,就是一种符号媒体形式;图形是图像的抽象化,是对图像进行分析后产生的结果;我们所谈论的图像一般是指光学图像,在日常生活中经常见到,图像只有经过数字化处理,才能适合计算机使用[5];视频又可称作动态图像,这里所说的动态图像不是指gif,gif属于图像的范畴,视频是指通过进行一系列静态影像以电信号方式加以捕捉、纪录等进行一系列处理的技术而构成的运动视感媒体。

4.2 可视媒体现状及发展

信息安全主要是研究如何防范信息免受来自外部和内在的侵害,内在的风险是由系统的脆弱性造成的,是信息安全的内因;外在的威胁不仅会来自人为地破坏,也会来自于各种自然灾害,这是信息安全的外因。所以,对于可视媒体信息安全,这个问题也是在所难免,随着信息安全产业的不断发展,可视媒体的安全研究从可视媒体信息加密发展到可视媒体信息认证和安全分发的过程

4.3 研究可视媒体信息安全的意义

可视媒体是一种重要的信息门类,在当今社会中各个领域已被广泛接受和使用:在警务工作中,随着视频监控等技术的发展,对打击犯罪、维护社会稳定起到了重要作用;在军事工业方面,卫星、遥感技术对信息安全的要求极高,因为这关系到国家的安全,研究可视媒体信息安全有利于保卫国防;在商业领域,符号、图像、视频等资料可能记载着公司的商业秘密,一旦被别有用心的人窃取,可能将遭受不可挽回的损失。目前互联网中网络犯罪集团化趋势明显,所以,研究可视媒体信息安全非常必要,要求可视媒体安全技术水平不断提高。

5.结论

5.1 信息安全主要预防措施

随着信息安全产业的发展,产品体系逐渐健全,信息安全产品的种类不断增多,产品功能逐步向系统化方向发展,密码技术、防火墙、病毒防护、入侵检测、网络隔离、安全审计、安全管理、备份恢复等领域,取得明显进展,在此介绍一些当今社会具有代表性的技术以及对未来技术发展的构想。

5.1.1 风险评估

信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量,是对威胁、脆弱点以及由此带来的风险大小的评估[6]。风险评估方法主要分为定性评估方法、定量评估方法和定性与定量相结合的评估方法三类:定量的评估方法运用数量指标来对风险进行评估,它通过分析风险出现的几率,风险危害程度所形成的量化值;定性的评估方法主要靠研究者的非量化资料对信息系统状况做出判断;定性与定量相结合的评估方法,两者相结合,促使评估结果准确、公正。进行信息系统风险评估,可以发现系统目前与将来发生风险的可能性,从而更好地保障信息安全。

5.1.2 人工智能综合利用

人工智能是指通过人工的方法在计算机上实现智能,在信息安全领域,人工智能主要体现在入侵检测和风险评估两个方面。入侵检测是指在不影响网络性能的情况下对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,同时收集入侵证据,为数据恢复和事故处理提供依据;风险评估模型中的智能方法层次分析法是一种对风险问题建立层次结构并根据评价者的主观判断确定各因素变量的传统的风险评估方法,模糊综合评判法是一种智能方法。在信息安全风险评估模型中,模糊综合评判是根据专家对信息系统的评价结果运用模糊逻辑和熵理论求得信息系统的风险等级,确定在某些方面采取一定程度的安全防范措施[7]。综合利用人工智能技术,可以从多方面,多层次进行信息安全管理,以确保信息系统的安全。

5.1.3 等级保护

为了加强对信息安全监管,我国制定了计算机信息系统安全保护等级划分准则(GB 17859-1999)标准,该标准涉及身份鉴别、自主访问控制等十个安全要求,将信息安全的等级分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级,每一个等级包含的安全要求如图1所示,图中的高等级包含低等级的要素。信息系统安全等级保护为信息安全监管奠定了基础,等级保护作为信息安全系统分级分类保护的一项国家标准,对于提高安全建设的整体水平,增强信息安全的整体性、针对性和时效性具有重要意义。

5.1.4 信息安全管理

随着信息技术在科技、军事、企业等领域的大规模应用,信息问题越来越突出,信息安全技术趋于复杂,所以加强信息安全管理很有必要。现代管理理论创始人Henri Fayol认为,管理就是计划、组织、指挥、协调、控制。某位专家曾经说过:“信息安全管理是‘国家意志,政府行为’”,对于信息安全管理要加大力度。在物理安全方面,要做好物理访问控制和设施及防火安全;在人员方面,工作人员要做好保密工作,防止从内部造成对网络安全的威胁,用户自身要增强人员的安全意识,做好自主保护工作。信息系统的安全管理是信息安全保障工作的重要内容之一,为信息安全建设发挥了不可替代的作用。

5.2 信息安全主要补偿措施

5.2.1 转嫁风险

目前,因特网的迅速发展,网络信息安全事故也处于高发状态,图2所示,虽然信息安全技术能够起到一些抑制作用,但是通过运用转嫁风险的方法可以减少损失。转嫁风险主要靠网络信息安全保险,网络信息安全保险是指保险公司对因网络漏洞而导致恶意攻击所造成的重要资料丢失、知识产权受到侵犯、服务中断和营业收入损失等承担赔偿保险金责任的商业保险行为,是一种以信息资产安全性为保险标的的特殊保险[8]。网络信息安全保险主要是对网络灾害事故损失进行补偿的一种经济保障手段,同时也是一种合同行为,具有法律效力。另一方面,这个保险不是万能的,对于不能用金钱衡量的信息,损失将会巨大。尽管如此,转嫁风险的方法对信息安全保障建设能够起到一定的积极作用。

5.2.2 数据恢复

数据恢复技术就是在计算机系统遭受误操作、病毒侵袭、硬件故障、黑客攻击等事件后,将用户的数据从存储设备中重新恢复出来,将损失减到最小的技术。数据恢复方式主要分为软件恢复方式和硬件恢复方式。其中硬件恢复可分为硬件替代、固件修复、盘片读取三种恢复方式,硬件替代就是用同型号的好硬件替代坏硬件达到恢复数据的目的;固件修复,就是用硬盘专用修复工具,修复硬盘固件;盘片读取就是在100级的超净工作间内对硬盘进行开盘,取出盘片,然后用专门的数据恢复设备对其扫描,读出盘片上的数据数据恢复方式。软件恢复可分为系统级恢复与文件级恢复,系统级恢复就是操作系统不能启动,利用各种修复软件对系统进行修复,使系统工作正常,从而恢复数据;文件级恢复,就只是存储介质上的某个应用文件坏,如DOC文件坏,用修复软件对其修复,恢复文件的数据[9]。数据恢复不能保证可以将所有遗失的数据恢复出来,对于减小数据丢失的损失,将会起到一定作用。

5.3 信息安全预防和补偿措施的结合

目前,我国信息安全法律体系已经初步建立,但是法律法规不够完善:地方法规比较多,法律法规比较少;部分法律已经过时,无法顺应时代要求;加快制定信息安全基本法,以加强对其他法律的理论指导。对比国外信息安全法律,欧盟信息安全法律框架体系完备,早在1992就出台了信息安全相关法律,这些年来进一步完善,法律结构合理,对信息安全的监管机构、监管模式做出了规定,明确了社会人员的权利和义务,有效地规范了信息经济的发展。美国1981年成立全美计算机安全中心,之后出台了一系列信息安全法律,特别是“9.11”后,美国政府加强了对信息技术的投入和监管,采取强有力地立法措施以解决其网络及计算机系统的脆弱性问题。我国应进一步完善信息安全法律法规,借鉴他国经验,结合本国特色,形成有中国特色的信息安全法律体系。

参考文献

[1]韩国遭大规模网络攻击[OL].中国信息安全等级保护网, 2013.

[2]王斌君,景乾元,吉增瑞,等.信息安全体系[M].北京:高等教育出版社,2008.

[3]李璋.浅析网络信息安全技术[J].天津市政工程,2013 (1):37-39.

[4]邓小民.信息安全管理标准及综合应用[J].建材发展导向,2013,11(13):211-212.

[5]徐正全,徐彦彦.可视媒体信息安全[M].北京:高等教育出版社,2012.

[6]冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004,25(7):10-18.

[7]刘换,赵刚.人工智能在信息安全风险评估中的应用[J].北京信息科技大学学报(自然科学版),2012,4

[8]高雷,吕文豪.论建立我国网络信息安全保险体系[J].保险研究,2011(7):86-91.

[9]龚勇.Windows下数据恢复的研究[D].成都:电子科技大学,2008.

作者简介:

董承瑞,现就读于中国人民公安大学网络安全保卫学院。

宋晶乔,现就读于天津大学建筑工程学院。

徐达,现就读于中国人民公安大学网络安全保卫学院。