信息安全与管理范文

时间:2023-10-09 17:11:26

导语:如何才能写好一篇信息安全与管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息安全与管理

篇1

关键词:信息安全技术;信息安全保密管理

中图分类号:TL372文献标识码:A

一、案例分析

本文以成都某办公楼自动化办公系统内的信息安全技术与安全保密管理进行了分析,针对该系统的信息安全技术以及加强保密管理的具体措施进行了分析。

二、信息安全技术分析

1、安全管理介质技术

在办公自动化中会用到各种信息媒介,如硬盘、光盘等,这些信息介质容易导致计算机中存储的重要信息被泄漏、毁坏,对办公自动化的安全保密工作非常不利。在办公自动化中要采用安全管理介质技术,对介质进行标记,然后根据介质的类别进行管理,对于特别重要的介质,要进行加密管理。可以将需要加密的介质分类放到保险箱中,保险箱钥匙和密码只有知道介质信息的人员才有,对一些需要丢弃的介质,不可以随意丢弃,可以通过某种方式进行秘密销毁,从而提高办公自动化的安全保密性。

2、数据库和信息网络安全技术

每个办公自动化中都有数据库,数据库是所有信息的集合,保护好数据库的信息,对做好安全保密工作具有非常重要的意义。要利用数据库安全技术,加强对数据库信息资源的保护,并及时对数据库内的信息资源进行备份,防止有人恶意破环或是其他意外灾害造成数据库系统信息的丢失。网络信息技术的普遍应用导致网络信息的安全性降低,利用安全技术来加强对网络的安全保护对提高计算机网络系统信息的安全性具有重要意义,可以采用安装防火墙、口令等来防止网络黑客的攻击,加强对办公自动化中信息的安全保密工作,减少信息泄漏造成的危害【1】。

3、消除泄密路径技术

在办公自动化中,有时存在的一些路径,会导致计算机系统中的一些重要信息被泄漏出去。隐蔽信道的存在就容易导致信息泄漏出去,对企业或是一些部门会造成很大的危害。为此,可以采用消除泄漏路径的技术,减少办公自动化中信息的泄漏。消除泄漏路径的主要方法是在设计办公计算机系统时,特别注意尽量产生较少的隐蔽信道。在测量办公自动化计算机的隐蔽信道时,如果隐蔽信道过多,需要对计算机系统重新进行设计,一直到隐蔽信道数目比较适合,这样就可以防止在办公自动化计算机中有过多的隐蔽信道,减少办公自动化信息的泄漏。在计算机内部需要设计一个审计功能,来对计算机隐蔽信道的使用情况进行分析、计数,并且附带有报警系统,当隐蔽信道使用次数过多,可能造成信息泄漏时,审计功能就会及时发出报警声音,从而减少计算机信息的泄漏。

4、防治病毒技术

在办公自动化中离不开计算机的使用,计算机在使用过程中会遇到各种计算机病毒,计算机一旦感染病毒,将会对信息造成很大的危害,为此,需采用防治病毒技术来做好办公自动化中的安全保密工作。对计算机病毒进行防治主要坚持防止计算机病毒为主,治疗病毒为辅的原则,可以通过以下三种方式做到防治计算机病毒:(1)在计算机的网络接口上安装具有防治计算机病毒功能的芯片。(2)在计算机上安装杀毒软件,通过设置自动或是手动的方式定期对计算机进行查杀病毒【2】。(3)在计算机的服务器上安装防病毒模块或是安装防病毒卡。上述几种方法可以混合使用,这样更能够提高防治病毒的功效,有利于做好办公自动化的安全保密工作。

三、信息安全保密管理

1、信息泄密方式

1.1网络安全漏洞泄密

电子信息系统,特别是计算机信息系统,其利用通信网络实现互联互通,不同系统间在进行远程传输、远程访问和资源共享的过程中,黑客和不法分子也在利用其实施网络渗透攻击。因计算机信息系统远程程序数量众多,同步使用通信协议多且复杂,计算机在运行过程中很容易发生系统、配置、协议等多项漏洞,进而被非法分子利用。在大型软件中,每1000~4000行源程序中就有可能包含一个漏洞,当存储重要数据的信息软件接入网络时,窃密者就会通过漏洞实施渗透攻击、网络扫描,进而对系统主机进行远程监控。在计算机信息系统中,黑客很容易利用网络安全漏洞进行网络攻击,如侵入联网计算机实施窃密,或通过“木马”程序进行远程控制;将远程植入木马的计算机作为中介,蛙跳式窃取和攻击网络内重要计算机信息,或对重点计算机实施长时间监控等。通过黑客技术入侵网站并获取相关权限后,能够任意盗取数据库信息或篡改网页内容,多数漏洞都会支持远程恶意代码的执行,成为黑客进行远程攻击的主要利用对象。

1.2物理泄密

在政府的网络信息系统中,物理风险是多种多样的,主要有地震、水灾、火灾等环境事故,人为操作失误或错误,设备被盗被毁,电磁干扰,电源故障等等。

1.3移动存储介质泄密

数码相机、优盘、记忆棒、移动硬盘等具有使用简便、存储容量较大的优点,其为人们带来便利的同时也存在着诸多安全隐患。此类移动存储介质可拷贝和存储大量的文件资料且可随身携带,若管理或使用不当则很容易导致文件泄密。

1.4无线设备泄密

无线设备包含两种:一种是全部或局部采用无线电波实施连接通信的计算机装置,另一种是全部或局部采用无线广播实施连接通信的计算机装置。在计算机系统开启无线联网功能后,在设备正常运行条件下即可自动连接无线LAN,进而同Internet连接。而此种连接很容易被他人进行远程控制,即使在无线联网功能关闭后,也可通过相应技术方法激活,进而盗取有用信息。另外无线鼠标、无线网卡、蓝牙、无线键盘及红外接口等设备都通过开发式空间进行信息传输,其数据信息直接暴露在空气中,非法人员可通过专用设备实施信息拦截,进而窃取信息内容【3】。

2、加强信息安全保密管理的措施

2.1发展自主的信息产业,构建网络安全的技术支撑

网络信息的全球化使各国之间的信息流通的更快,交流的更频繁,同时,网络信息安全问题也越来越严重。如今虽然科技在不断的进步,但我国在计算机应用上还多是使用国外的计算机技术,没有自己的计算机核心技术,受外国的计算机软件开发商的控制,政府网络信息安全自然就没有保障。政府网络信息关系到党政部门,关系到整个国家的政治经济利益,我们必须发展自主的信息产业,构建网络安全技术支撑。国家政府要在资金、技术、人力等方面加大投入力度,开发计算机自主知识产权技术。例如我国基于Linux操作系统开发出来的中软,中科等。

2.2建立完善的安全保密系统

在该系统中要运用安全保密技术来建立完善的信息安全保密系统,这对提高信息的安全,做好信息的保密工作具有重要意义。要对整个办公自动化进行分析、规划,对建立的信息安全保密系统做好规划、设计、测试等各项工作,保证信息安全保密系统能够符合办公自动化系统的要求,从而实现对该办公系统的信息的安全保密。要建立专门的信息安全保密部门,办公人员具有专业的安全保密技术,能够将安全保密技术及时应用到办公自动化中,并且还能够对办公自动化安全保密工作进行监督,对出现安全保密问题的地方,能够及时采取有效的措施,加强对安全保密技术的应用。在办公自动化系统不断发展的同时,要及时创新安全保密技术,让安全保密技术能够适应办公自动化系统的发展,这有利于更好地将安全保密技术应用于办公自动化系统中,防止信息泄漏。

2.3健全信息安全保密管理责任体制

依据分级负责及归口管理原理,严格明确不同部门在信息安全管理中的权力与任务,将安全、公安、信息化、机要、保密等部门进行联合配置,全力负责计算机的安全保密管理;将信息保密引入到目标管理过程中,并形成监察机制,提高督查强度和力度,严格执行保密纪律;采用领导责任制,将保密工作向具体业务不断延伸,将信息保密管理融入到业务工作的全过程中,充分发挥保密工作对业务工作服务的具体作用。

2.4提高对安全保密相关人员的培养

要想加强安全保密技术在办公自动化中的应用,使其发挥更好的安全保密效果,就需要加强对安全保密相关人才的培养。要建立严格的任职考核制度,具备专业安全保密技术的人才,只有在通过综合素质的考核之后才能够到该职位任职。要定期对安全保密技术人员进行相关信息安全保密技术的培训,使他们及时学习先进的安全保密技术和知识,从而保证安全保密技术人员的工作质量。

篇2

随着水利信息化技术的发展,水利信息化系统在水利事业中应用越来越广泛,水利信息化系统涉及的水利信息越来越多,这时一个很重要的问题摆在了人们的面前,那就是水利信息化系统的安全问题。如果水利信息化系统被人攻击,水利信息被人窃取,将给国家和人民造成巨大的损失。

天津市水务局水利信息化网络包括防汛抗旱、办公自动化、水文水资源、水土保持、水质监测等各种应用系统,面对当前严峻的水利信息安全形势,为了保障水利信息化系统安全正常的运行,天津市水务局建设了水利信息安全防护体系,其安全基础设施主要包括防火墙、入侵检测及漏洞扫描、Web信息防篡改系统、网络接入控制和安全审计、防病毒软件、身份认证等安全产品。

这些安全产品在各自的岗位上发挥着重要的作用,保护着网络的安全。但是从系统整体安全考虑,这些网络安全产品都只是各司其职,没有沟通合作,缺乏统一调度,容易造成信息冗余和资源的浪费,对网络的保护存在局限性,在遭遇复杂的综合型攻击时,安全防护体系就会非常脆弱,将不能保护水利信息化系统的安全。

因此,我们提出水利信息安全管理系统,对这些安全产品进行统一的管理和整体配置,实现各安全产品间的信息互通和联动合作,让他们的功能得到充分的发挥,共同确保整个水利信息化系统的安全。

2 水利信息安全管理系统的功能分析

水利信息安全管理系统是一个综合的、动态的安全体系,需要解决各种安全技术和产品的统一管理和协调问题,能实现水利信息系统中的安全设备间的互操作,从整体上提高水利信息系统整体的抵抗攻击和防御入侵的能力,保持系统及服务的安全性、可靠性和可用性。

水利信息安全管理系统要实时采集各安全设备的安全信息,监控各安全设备的运行状况。所以网络安全管理平台要具有高效的安全信息收集和设备监控功能,平台能够收集各集成安全设备发出的安全告警信息、系统日志数据等安全信息,这些数据经平台的综合分析处理,使平台监控中心能在整体上掌握整个系统的综合安全状况,及时发现影响水利信息系统安全的不当行为。

水利信息安全管理系统要有集中管理功能。能够对水利信息系统中的多种安全设备进行集中管理,将系统中的各种安全设备发送的信息数据进行采集,将不同格式的数据进行统一格式化,方便对各信息的整合、归并与关联分析,过滤事件中的误报和冗余事件,产生确定的安全警报,并根据制定的联动策略对安全设备进行动态配置,快速调动各安全设备联动操作,消除水利信息系统受到的安全威胁。

水利信息安全管理系统要保证高安全性[1],要保证水利信息安全管理系统的安全,保证安全信息采集和处理过程的安全。并且系统中的设备间设置高强度安全通道,保证安全信息传输过程中的安全。

水利信息安全管理系统是一个高扩展性平台[1],可实现与各种安全设备之间的互通与联动,支持多种安全设备的统一管理,对新出现的安全技术和产品也保留了开放的扩展接口,易于与新的安全设备相结合。

3 水利信息安全管理系统的整体结构

水利信息安全管理系统分为用户层,数据采集层、安全管理中心、数据库支撑层和被管设备层五层结构。

用户层是安全管理系统的控制平台,提供方便系统管理员操作的可视化界面。系统安全管理员可以通过网页?丝窗踩?报告、进行策略配置等操作,便于管理和维护系统。

数据采集层的主要工作是从水利信息系统中的各种安全设备上采集安全信息,并初步对这些安全信息进行加密和格式化处理,然后将数据发送给安全管理中心。

安全管理中心是水利信息安全管理系统的神经中枢,由风险评估模块,关联分析模块,策略响应模块,数据采集控制模块等组成,支配着安全管理设备的互联合作。

数据库支撑层包括事件数据库、规则数据库和策略数据库。其中,事件数据库中存放收集的安全信息;规则数据库中存放事件关联的规则;策略数据库中存放系统策略。

被管设备层指水利信息系统中的各种被管理的安全设备,防火墙,入侵检测系统,防病毒系统等。

4 关键技术的实现

4.1 数据采集

数据?集指能够有效、正确、稳定的获取所需要的信息。本系统采用管理者/的数据采集方式,在被管理对象(防火墙、IDS等)上安装数据采集Agent。

数据采集Agent的主要工作是采集网络中个安全产品的配置情况、事件日志、运行状态、流量统计,安全信息等数据,对数据进行格式化和加密预处理后上报给安全管理中心进行数据处理,同时接收管理中心的控制命令传输给被管设备。

数据采集Agent是水利信息安全管理系统的一部分,是安全管理系统与安全产品之间、安全产品与宿主机之间、安全产品彼此之间的一个联系纽带。但它和系统之间在实现上具有一定的独立性。采用Agent结构,无论被管安全产品运行何种系统,只要是开发了支持该系统的Agent,就可以把此安全产品纳入本系统的管理之中,使得网络安全管理系统能够管理运行于各种系统的安全设备,并且可以很方便地随时添加或删除被管部件[4]。

4.2 数据处理

在水利信息安全管理系统中,数据处理主要对上报的信息进行风险评估,分类,筛选和关联分析等处理,去除数据中的冗余或错误信息,识别威胁,产生应对策略。

数据处理模块首先分析采集上报的数据,此数据是根据一定规则进行封装的信息,通过比对信息各字段的值,如在1s内,某两个信息各字段的值相同,则我们认为产生了冗余事件则去除其中一个冗余信息,并根据字段中安全信息的类型分类存储到事件数据库中。同时对此事件进行风险评估和关联分析。

本系统用实时风险评估技术分析安全信息[3],动态地获得网络的各种资源的风险信息,从整体上评估水利信息系统网络和主机的安全状况,为用户及时调整网络安全状况提供重要的依据。

本系统采取基于规则的关联模型[3]对获得的安全信息进行关联分析,用来判断一系列安全事件是否源于同一个攻击行为并完成攻击场景的重构,识别出攻击的类型,攻击者的身份,得出安全分析报告。

接着对数据进行更进一步的融合,从整体上分析出安全威胁的真正所在,并对其发展趋势进行估计,为管理员提供方便直观的系统安全信息。

4.3 联动控制的实现

本系统联动控制是通过联动策略实现的[6]。当数据经过处理后,控制中心判断需要进行安全产品联动防御病毒入侵时,控制中心将要求提供给策略响应组件,此组件从策略库中选择相应的联动策略并传递给相应的安全设备,控制安全设备的运行。

本系统联动策略包含一个规则集,每条规则采用ifthen模式.一条规则对应一个配置动作,每一条联动策略可能由一条规则组成,也可能由多条规则组成.每一条规则对应安全设备的唯一的状态变迁过程,它包含的每一个配置动作只包含完成一次状态改变的配置[5]。事实上,只有多条规则分别作用于不同的设备才能够体现设备的协同联动性。因此只要系统的当前状态和触发条件满足,多个不矛盾规则中的配置动作可以同时执行。

联动控制技术帮助安全体系有效组合并提升性能。例如防火墙与入侵检测系统联动,使防护体系由静态到动态,由平面到立体,提升了防火墙的机动性和实时反应能力,也增强了入侵检测系统的阻断功能等。

篇3

企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。

企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。

所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。

2.P2DR模型

P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。

(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。

(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。

(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

(1)确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。

(2)确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。

篇4

随着现代化无纸办公要求的提高,相应的也就要求了现在企业办公离不开网络,便于办公的企业都自行建立了自己的企业内网,“企业自身处内网环境中,黑客难以入侵。但实际上,无线网络、众多智能设备(如手机、Pad等)为黑客提供了更多便利,而企业所信任的防火墙在黑客面前形同虚设。”知名企业信息安全顾问、国家企业信息安全最高认证(CISP)金牌讲师张胜生在讲座中对目前国内企业普遍缺乏企业信息安全专业团队,漠视企业信息安全的现状表示担忧。

2013年中央电视台播出的“棱镜门 ”一时闹的沸沸扬扬,棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年小布什时期起开始实施的绝密电子监听计划。美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料的细节,其中包括两个秘密监视项目,一是监视、监听民众电话的通话记录,二是监视民众的网络活动。

该类事件也反应了关于企业及个人企业信息安全的问题。

1 企业信息安全管理基础

1.1 企业信息安全事件分析

统计结果表明,在所有企业信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成的,70%-80%是由于内部人员的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。

1.2 企业信息安全管理的需求

企业信息安全取决于两个因素:技术和管理。安全技术是企业信息安全的构筑材料,安全管理是真正的粘合剂和催化剂,企业信息安全管理是预防、阻止和减少企业信息安全事件发生的重要保障。

1.3 信息安全保障的内涵

信息安全保障要综合技术、管理、工程和人。应融入信息系统生命周期的全过程,目的不仅仅是保障信息系统本身,更应该是通过保障信息系统,从而保障运行于信息系统之上的业务系统、保障组织机构。信息安全保障不仅仅是孤立的自身的问题,更应该是一个社会化的、需要各方参与的工作,信息安全保障是主观和客观的结合。

2 企业信息系统安全系统结构组成要素

实现企业信息安全系统结构的安全,要从多方面考虑,通常定义包括安全属性、系统组成、安全策略、安全机制等4个方面。在每一个方面中,还可以继续划分多个层次;对于一个给定的层次,包含着多种安全要素。

2.1 安全属性

安全本身是对信息系统一种属性要求,信息系统通过安全服务来实现安全性。基本的安全服务包括标识与鉴别、保密性、完整性、可用性等。安全服务和安全机制的对应关系如下:5大类安全服务:身份鉴别、访问控制、数据保密、数据完整性、不可否认性及提供这些服务的8类安全机制及其相应的OSI安全管理等对应OSI模型的7层协议中的不同层,以实现端系统企业信息安全传送的通信通路。这样从安全性到安全服务机制到具体安全技术手段形成了安全属性的不同层次。

2.2 系统组成

系统组成描述信息系统的组成要素。对于信息系统的组成划分,有不同的方法。可以分为硬件和软件,在硬件和软件中又可以进一步地划分。对于分布的信息系统,可以将信息系统资源分为用户单元和网络单元,即将信息系统的组成要素分为本地计算环境和网络,以及计算环境边界。

2.3 安全策略

在安全系统结构中,安全策略指用于限定一个系统、实体或对象进行安全相关操作的规则。即要表明在安全范围内什么是允许的,什么是不允许的。直接体现了安全需求,并且也有面向不同层次、视图及原理的安全策略。其描述内容和形式也各不相同。对于抽象型和一般型安全系统结构而言,安全策略主要是对加密、访问控制、多级安全等策略的通用规定,不涉及具体的软硬件实现;而对于具体型安全系统结构,其安全策略则是要对实现系统安全功能的主体和客体特性进行具体的标识和说明,亦即要描述允许或禁止系统和用户何时执行哪些动作,并要能反射到软硬件安全组件的具体配置,如,网络操作系统的账号、用户权限等。

2.4 安全机制

安全机制是实现信息系统安全需求及安全策略的各种措施,具体可以表现为所需要的安全标准、安全?f议、安全技术、安全单元等。对于不同层次、不同视图及不同原理的安全系统结构,安全机制的重点也有所不同。例如:OSI安全系统结构中建议采用7种安全机制。而对于特定系统的安全系统结构,则要进一步说明有关安全机制的具体实现技术,如认证机制的实现可以有口令、密码技术及实体特征鉴别等方法。

3 企业信息安全攻防技术

3.1 恶意代码及网络安全攻防

3.1.1 恶意代码定义

恶意代码(Unwanted Code,Malicious Software,Malware,Malicous code)是指没有作用却会带来危险的代码。

恶意代码类型:二进制代码、二进制文件、脚本语言、宏语言。

3.1.2 恶意代码传播方式

移动存储、文件传播、网络传播、网页、电子邮件、漏洞、共享、即时通讯、软件捆绑。

3.2 恶意代码的防治

增强安全策略与意识:减少漏洞、补丁管理、主机加固、减轻威胁、防病毒软件、间谍软件检测和删除工具、入侵检测/入侵防御系统、防火墙、路由器、应用安全设置等。

3.3 恶意代码检测技术

3.3.1 特征码扫描

工作机制:特征匹配、病毒库(恶意代码特征库)、扫描(特征匹配过程)、优势、准确(误报率低)、易于管理不足、效率问题(特征库不断庞大、依赖厂商)、滞后(先有病毒后有特征库,需要更新特征库)。

3.3.2 恶意代码检测技术-沙箱技术

工作机制:将恶意代码放入虚拟机中执行,其执行的所有操作都被虚拟化重定向,不改变实际操作系统优势。

优点:能较好的解决变形代码的检测。

3.3.3 恶意代码检测技术-行为检测

工作机制:基于统计数据、恶意代码行为有哪些、行为符合度。

优势:能检测到未知病毒。

不足:误报率高。

难点:病毒不可判定原则。

3.3.4 恶意代码清除技术

恶意代码清除技术有:

(1)感染引导区型、修复/重建引导区。(2)文件感染型、附着型:病毒行为逆向还原、替换型:备份还原。(3)独立型:独立可执行程序:终止进程、删除。(4)独立依附型:内存退出、删除。(5)嵌入型。(6)更新软件或系统。(7)重置系统。

4 企业信息安全攻防技术常见的手段和工具

4.1 攻击的过程

4.1.1 攻击的过程

信息安全??中攻击方式有:信息收集、目标分析、实施攻击,留后门方便再次进入、打扫战场,清理入侵记录。

针对以上提到的行为了解其原理并考虑应对措施网络攻击的方式:(1)主动攻击:扫描、渗透、拒绝服务等。(2)被动攻击:嗅探、钓鱼等。

攻击过程的一些术语:后门、0-day、提权。

4.1.2 信息收集攻击的第一步

信息收集-攻击的第一步:获取攻击目标资料,网络信息,主机信息,应用部署信息,漏洞信息,其他任何有价值的信息,分析目标信息、寻找攻击途径,排除迷惑信息,可被利用的漏洞,利用工具。

4.2 收集哪些信息

目标系统的信息系统相关资料:域名、网络拓扑、操作系统、应用软件、相关脆弱性、目标系统的组织相关资料、组织架构及关联组织、地理位置细节、电话号码、邮件等联系方式、近期重大事件、员工简历、其他可能令攻击者感兴趣的任何信息。

4.2.1 信息收集的技术

(1)公开信息收集(媒体、搜索引擎、广告等)。(2)域名及IP信息收集(whois、nslookup等)。(3)网络结构探测(Ping、tracert等)。(4)系统及应用信息收集(端口扫描、旗标、协议指纹等)。(5)脆弱性信息收集(nessus、sss等)。

4.2.2 域名信息收集

在维护企业信息安全的过程中需要搜集域名信息:(1)NSlookup域名解析查询。(2)Whois 是一个标准服务,可以用来查询域名是否被注册以及注册的详细资料 Whois 可以查询到的信息。(3)域名所有者。(4)域名及IP地址对应信息。(5)联系方式。(6)域名注册日期。(7)域名到期日期。(8)域名所使用的 DNS Servers。

4.3 工具介绍

4.3.1 检索工具

基础检索工具:(1)TFN2K。(2)Trinoo。

4.3.2 电子欺骗的类型

(1)IP欺骗(IP Spoof)。(2)TCP会话劫持(TCP Hijack)。(3)ARP欺骗(ARP Spoof)。(4)DNS欺骗(DNS spoof)。(5)路由欺骗(ICMP重定向报文欺骗、RIP路由欺骗、源径路由欺骗)。

4.3.3 利用应用脚本开发的缺陷-SQL注入

SQL注入原理:SQL注入(SQL Injection):程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据或进行数据库操作。

4.3.4 SQL注入防御

防御的对象:所有外部传入数据、用户的输入、提交的URL请求中、参数部分、从cookie中得到的数据、其他系统传入的数据。

防御的方法:

白名单:限制传递数据的格式。

黑名单:过滤特殊字串:update、insert、delete等。

开发时过滤特殊字符:单引号、双引号、斜杠、反斜杠、冒号、空字符等的字符、部署防SQL注入系统或脚本。

篇5

【关键词】信息安全 管理 控制 构建

1 企业信息安全的现状

随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。

2 企业信息系统安全防护的构建原则

企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:

2.1 建立企业完善的信息化安全管理体系

企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。

2.2 提高企业员工自身的信息安全防范意识

在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。

2.3 及时优化更新企业信息安全防护技术

当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。

3 企业信息安全体系部署的建议

根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:

3.1 实施终端安全,规范终端用户行为

在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。

3.2 建设安全完善的VPN接入平台

企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。

3.3 优化企业网络的隔离性和控制性

在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。

3.4 实现企业信息安全防护体系的统一管理

为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。

4 结束语

信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。

参考文献

[1]郝宏志.企业信息管理师[M].北京:机械工业出版社,2005.

[2]蒋培静.欧美国家如何培养网络安全意识[J].中国教育网络,2008(7):48-49.

作者简介

常胜(1982-),男,回族,天津市人。现为中国市政工程华北设计研究总院有限公司工程师。研究方向为网络安全与服务器规划部署。

篇6

网络会计信息安全系统主要是通过互联网络技术的现代企事业会计信息系统,采用联机实时操作,从而实现多元化报告,并能形成主动提供与主动获取相结合的人机交互信息使用综合体。网络会计信息安全系统的发展能够为会计信息使用者提供实施经济管理与决策的有效准确信息。而在网络会计时代,网络会计信息安全系统作为会计信息媒介,承载着会计信息的存储与传递功能,而网络会计信息安全系统的信息安全问题也成为网络会计信息数据的安全问题。网络会计信息安全系统以互联网技术作为核心,也受到网络开放性与共享性的影响,网络系统的安全容易受到病毒、黑客的威胁,因此在网络会计信息安全系统的应用过程中,应当明确认识到网络会计信息安全系统的信息安全隐患,将信息载体由纸介质转变为磁性介质,需要提升磁性介质的要求和载体信息的依赖性,在档案保存和信息存储过程中具有较高风险。

二、网络会计信息系统安全存在的问题

1.黑客安全隐患。在全面开放的网络环境中,网络会计信息系统也存在多种安全隐患,病毒和黑客攻击的安全隐患,由于互联网的开放特征,网络会计信息系统通过互联网的计算机系统可以共享信息资源,也给非善意访问者提供了方便。黑客攻击是互联网系统的重要威胁,重要信息被盗取和网站的崩溃,都会对网络会计信息系统造成严重影响。而计算机病毒也会给网络会计信息系统带来重大威胁,从原始的木马程序到后来的CIH等病毒的肆虐,病毒制造技术发展的同时,也使得病毒具备了更大的破坏力,网络软件自身程序的不稳定因素也会为网络系统带来众多隐患。

2.信息安全隐患。随着网络技术的不断发展,整个社会的经济生产结构和劳动结构都受到网络技术的影响作用,在企事业管理模式方面,也由传统的的企事业管理模式和财务管理模式与网络技术相结合,网络会计信息安全系统便是传统财务管理模式与网络技术的结合,通过互联网技术的开放性和共享性,实现在线财务管理、远程财务处理、网上财务查询和网上支付等功能,并最终实现企事业资金与信息的高度统一,有利于企事业管理者实施经济管理与决策的有效准确信息。财务信息是反映企事业财务经营成果和财务状况的重要依据,设计到企事业内部上机密的财务信息若是遭到泄露、破坏和意识,会对企事业财务管理造成严重影响,不利于企事业财务管理工作的正常运行。

3.档案安全隐患。网络会计信息系统的财务实施需要依靠相应的财务软件才能完成,而这些财务软件主要包括单机版、局域网络版财务软件和硬件系统两个方面,而财务软件的全面升级,也会导致这些网络财务软件不一定能够兼容其他财务软件,由于数据格式问题、数据库问题、接口问题等原因,以前的财务信息无法被录入网络财务系统中。而会计档案更是无法兼容,导致新的网络财务系统无法查询原有的财务信息,给会计档案工作带来了失效风险。

4.内部安全隐患。传统的会计系统对于业务活动的使用授权标准具有较高合法性、职责性和正确性的要求,而网络财务管理工作中,财务信息的存储和处理集中在互联网络,许多的会计业务相互交叉,而互联网络信息资源的共享,在加大财务信息复杂程度的同时,也加快了会计业务的交叉速度,导致传统会计系统中某些内部控制机制失效。

5.人才安全隐患。企事业网络会计信息系统实施之后,需要高技术、高层次的复合会计人才的运作与支持,否则企事业网络会计信息系统无法充分发挥其功效,网络财务与电子商务的发展,也暴露出这部分人才的欠缺现状,如果企事业在没有找到合适人才时就盲目实施网络会计信息系统财务工作,会使网络会计信息系统的安全问题更为突出。

三、网络会计信息系统的安全管理

1.安全策略。企事业网络会计信息系统财务工作的加强,需要建立相应的安全策略,从而降低网络会计信息系统的安全隐患,保障企事业财务工作的开展。而安全则略主要是企事业设立的相应制度规范,对加强对网络会计信息系统的管理工作方面,企事业的全体人员都应当自觉遵守策略中的规定,更有效的管理网络会计信息系统,保证网络会计信息系统的正常运行。并且企事业安全策略在制定过程中一定要明确对企事业工作人员的职责进行规划,将网络会计信息系统中的各类信息资源进行合理的保护,并明确指出企事业所要保护信息的目标,让企事业网络会计信息系统安全策略能够与企事业人员的日常操作相结合,提升企事业人员对网络会计信息系统安全问题的重视程度。

篇7

1计算机网络信息安全

1.1计算机网络信息安全概述

所谓计算机网络信息安全,即通过网络管理的有关技术,对网络中信息传输过程中遭受的偶然、故意非授权的信息破坏、更改以及泄露等行为进行防范,进而对信息自身的完整性、有效性与保密性进行保证的技术性行为。而ISO对计算机网络安全所给出的定义,则是对计算机网络系统中所含数据资源、软件以及硬件,不受偶然等原因造成的信息破坏、泄露以及更改,保证网络系统可以持续正常化运行,使网络服务能够得以正常有序的运行。计算机网络信息安全所涉及的技术内容较为广泛,其中不仅包括了计算机以及网络技术、通信技术,也涵盖了密码、安全以及应用数学等众多学科的综合性内容。保证计算机的网络信息安全,重点要从以下几个方面着手进行,即物理安全与逻辑安全。其中物理安全即系统设备与相关设备的物理保护,以免数据等破坏或丢失;而逻辑安全即包含了信息自身的完整性以及可用性2点内容。

1.2当前计算机网络信息安全状态

1)物理安全。在物理安全方面造成问题的主要原因主要有以下几方面:空气温度与湿度、尘土等一些环境因素导致的系统、设备、电源故障;电磁干扰以及线路截获等因素。在计算机网络安全中物理安全方面的问题较为少见,近年来,有关于物理安全问题最为经典的案例为2006年由于台湾海峡地震而造成的雅虎等一些国际网站无法访问,事件发生之后,也为一些开展跨国业务的企业带来了极大的影响,由于这一类单位以网络的形式开展工作,在出现物理安全問题之后,若解决问题的效率缺失,那么对于企业所造成的经济损失也会越来越大。

2)信息安全。一般情况下信息安全问题主要是人为因素导致的,较为常见的形式便是运用窃听、篡改等途径对传输的原始文件进行更改,进而导致文件数据丢失与泄露。除此之外,也有一种较为常见的信息安全破坏形式,主要是利用网络病毒与木马的形式,对用户银行账号、密码等个人信息进行窃取,以此获取经济利益。一般而言,信息安全问题体现为以下几个方面:(1)病毒威胁。这种安全威胁较为常见,现如今,随着网络技术的发展,病毒种类也愈发智能,其自身所带有的破坏性、传播速度也在逐渐增加,甚至可以在顷刻之间导致计算机瘫痪。与此同时,在病毒的处理上,也需要一定的时间;(2)黑客威胁。所谓黑客即精通计算机技术,同时运用熟练的网络技术窃取他人数据信息,并从中获利的人群,而黑客攻击主要涵盖了网络监听、密码破解以及系统入侵等。

2影响计算机网络信息安全因素

2.1网络外部与内部攻击

合理运用计算机能为人们的生活与工作提供一定的便捷,计算机网络的安全措施也成为保证其安全的主要措施,若计算机网络中缺乏有效的安全措施,则会带来网络黑客的攻击,导致局域网出现破坏甚至于内部资料泄露等现象,例如用户的硬盘数据遭到泄露与修改。一些网络中,黑客会利用选择性的技术手段对网络内部环境进行破坏,对网络的正常运行造成极为严重的影响。除此之外,黑客也会运用一定的伪装技术进入用户的网络中,窃取所需资源与信息,对计算机中的软件进行破坏,并造成严重的网络瘫痪。在网络内部,也有一些非法用户运用合法用户身份在其他的合法网站中,对其正常运行造成破坏,进而影响网络安全。

2.2计算机病毒

在计算机技术飞速发展的环境下,计算机病毒种类也在进行更新,现行计算机病毒的种类丰富,且难以辨认,若无针对性措施进行解决,必然会带来病毒入侵。网络病毒主要通过邮件以及网页登陆的形式入侵用户系统,并对用户计算机系统以及文件造成破坏。网络病毒自身最为显著的功能便是自启,利用复制与蔓延的形式隐藏在计算机的核心部位,对计算机的核心系统以及重要信息实施破坏,若计算机遭到病毒入侵,病毒则会利用某一程序控制计算机,使硬件与数据受到破坏,并对计算机的正常运行造成影响。若计算机遭到病毒入侵,那么将会对系统中的硬件与数据造成一定的破坏,并对数据的正常传输造成限制,严重的话也会导致网络瘫痪,为用户带来一定的损失。

2.3机密文件传输漏洞

因为近年来各大企业在工作的过程中均将网络作为基础,并且在企业的网络中也蕴藏了极其重要的机密文件,为此,对网络运行环境的安全进行保证十分重要。一般造成机密文件泄露等问题,主要出现在信息储存的过程中,为企业以及用户造成一定的损失,甚至会对我国的网络安全带来一定的影响。在进行网络机密文件传输的过程中,难免要经历诸多流程,进行传输时也会利用不同外节点进行查证,这也体现了一定的困难性,传输时极有可能导致入侵者进入系统,窃取数据信息,或是对信息进行篡改,以此对网络传输带来一定程度的影响,也为传输内容的安全与可靠带来了限制。

2.4系统漏洞

近年来,我国的网络安全技术实现了大的突破,然而,针对网络安全技术而言,依然存在技术方面的限制,导致网络系统存在漏洞。计算机网络主要由硬件、芯片以及操作系统几部分构成,因为技术方面的限制,一些元件均需要在国外进行购买,例如CPU一般由美国制造,我国的网络运行操作系统多数均是在国外购买,然而操作系统本身因为存在漏洞,也为计算机系统带来了极大的安全隐患,系统在运行过程中若操作不当,极有可能造成隐性通道与病毒,以此形成计算机漏洞,降低了计算机网络的安全性能。

2.5信息安全管理

网络安全较低以及安全管理也会对计算机网络信息安全性带来一定程度的影响,尽管我国相关部门已经基于网络安全相继出台了一系列法律法规,然而其实施效果仍无法满足网络极速发展的需求。计算机网络系统的管理制度缺乏完善、缺乏专业的管理人员等原因都会造成一定的安全管理问题。当问题形成之后没有详细的解决办法;针对计算机网络系统而言,缺乏预警防范与反应速度明确的发展目标,处理事件水平不足,也会导致计算机网络缺乏完整的保护。

3计算机网络信息主要类型

3.1基础运行信息

计算机网络信息中的运行信息在计算机网络信息当中发挥了基础性的作用,同时也是计算机网络信息安全管理的重点管理内容,不同类型的计算机网络信息在发展的过程中均需要将其作为基础,通常而言,基础运行信息中涵盖了计算机网络的IP地址、计算机网络域名与自制系统号3点。

3.2服务器信息

从理论角度进行分析,服务器信息即在计算机中为网络信息提供的过程,并在其过程中和服务器的正常运行进行紧密联系的信息,这是工作人员对计算机服务器运行过程中质量及效率进行评判的一项重要指标。通常而言,服务器信息中不仅包含了基本配置参数以及负载均衡指标,也涵盖了访问指标与信息服务完整性指标等几方面内容。

3.3用户信息

计算机网络信息当中的用户信息,主要涵盖了用户姓名等一些基础的数据信息,用于证明用户身份。

3.4网络信息资源

所谓网络信息资源,也就是在计算机为用户提供服务的同时,以自动的形式形成的不同种类的信息资源。针对树状网络拓扑结构的网络结构来说,在服务器中网络信息资源会体现出非线性式以及分散式的分布特点,在网络信息传输的过程中,会蕴藏了不同的安全信息,并对网络信息带来一定的安全隐患,这一点需要相关人员进行注意。

4计算机网络信息安全管理实现策

4.1运用信息加密技术

进行计算机网络信息安全管理的过程中,运用信息加密技术是其中最为有效的技术之一,这一技术主要是在解决信息窃取问题的基础上研发而成。计算机信息窃取是网络信息安全事故中十分常见的一种。在计算机网络信息中,无论是何种类型的信息,例如经济、军事或是个人隐私等一系列信息,一旦被黑客等技術人员窃取,便会为用户个人利益乃至于社会、国家的安全造成极为严重的影响。所以,信息加密技术的研发,在一定程度上解决了存储于计算机中文件信息的不安全现象,通过信息加密的形式,提升计算机网络信息的安全性,对其进行加密处理,在运用加密技术的基础上,即便信息遭受窃取,信息的详细内容也会保密,进而对信息的安全性提供了保障。因为信息安全具有极其重要的意义,相关部门也体现了极高的重视,并加大了信息加密技术的研究。虽然不同技术之间具有一定的差异性,但是技术在本质上也还是具有相似性的。无论是哪一种加密技术,其本身均具有主动性安全防御的措施。这一技术利用安全认证的形式对信息安全防御制度进行了构建,对计算机网络信息的安全性进行了保证。通常利用加密算法,将信息转变为密文的形式,而使用者务必要按照密文所对应的密匙将其转化,了解信息中所隐藏的内容。当前阶段的信息加密技术中,主要涵盖了对称加密以及非对称加密两种技术形式,利用加密技术和客户密码的配合,以此实现网络信息安全水平的提升。

4.2选择防病毒软件与防火墙进行安装

为了保证计算机网络信息安全,不仅要对传输数据进行加密,还要在计算机中安装必要的病毒软件以及防火墙,对计算机软件以及硬件安全进行保障。安装杀毒软件可以及时扫描计算机中的病毒,将其及时清除,也可以利用杀毒软件修补计算机中的漏洞,这样一来,不仅可以及时清理计算机当中的病毒,同时也能够保障计算机中信息与文件的安全性,对其进行监督。其次便是防火墙,防火墙为计算机中外部网关,主要的作用是过滤传输文件,若发现不安全文件,防火墙便会将其拦截。除此之外,防火墙也能够检测计算机中流通的信息,例如网络的使用状况、计算机IP地址隐藏情况等,通过防火墙的形式对计算机进行实时监控,以免IP地址被窃取。

对计算机进行漏洞扫描,可以利用漏洞扫描的形式,检查系统中的文件与数据,进而发现系统中是否存在漏洞。其中需要注意的是,进行漏洞检测要在网络检查的基础之上。通过漏洞扫描的形式可以实时对计算机网络进行评估,这也为病毒入侵提供了极好的保障。现如今,受科技发展的影响,黑客入侵的形式也在逐渐丰富,为此,保证计算机系统安全检查的质量与效率十分重要,计算机网络管理者务必要保证工作的质量。一般情况下,漏洞扫描主要有以下2种形式:

1)主动式。所谓主动式即网络进行的主动性检测,利用对脚本文件执行操作防御系统攻击,并记录所形成的具体反应,在此过程中便可发现其中所存在的系统漏洞;2)被动式。被动式的检测主要是主机检测,重点对系统中存在的不合理设置与脆弱口令进行详细的检查。

4.3强化网络的安全管理力度

1)进行思想观念的再教育。一般情况下为了提升网络管理人员的管理意识,会对其进行再教育,利用相关部门出台的法律法规以及一些有关书籍,全面提升网络管理人员的网络安全观念与保密意识,利用思想教育的形式提升网络的安全性。同时,也可以通过培训与讲座的形式提升思想观念。

2)制定安全管理制度。建立专业且完善的网络安全管理机构,利用不同的操作明确分工,例如可以有专门进行制定方法或是负责的实施监督的人员。

3)培养专业的网络信息安全人才。进行网络信息安全性的保障十分重要,以此为基础培养专业的网络维护人才,并对其进行专业技术的培训,保證计算机信息各个环节的有效运行。

4.4全面加强网络用户的安全防范观念

为了加强网络信息安全管理力度,培养用户信息安全管理观念十分重要,例如一些用户随意点击来历不明的邮件或链接,殊不知其中极有可能存在威胁计算机网络信息安全的病毒。针对一些来历不明的程序,尽量避免运行,以免其中隐藏一些不健康的文件或软件。与此同时,注意隐藏自己的IP地址,意识到保护IP地址的重要性。即使计算机中被安装了木马程序,如果没有详细的IP地址,攻击者也无法入侵计算机。保护IP地址最为有效的方式是进行服务器的设计,利用设置服务器的形式,可以进行外部网络访问的中转,监管用户访问的服务种类,进而隔离安全隐患。

4.5合理运用访问控制技术

访问控制技术是对网络安全进行保障的一项核心技术,运用的主要目的在于保证网络资源的安全性。因为访问控制技术所涉及到的范围比较广泛,其中不仅有入网访问控制以及网络权限控制,还包含了目录级控制等。访问控制技术即合法用户利用计算机系统信息的现有资源,通过确认其权限,阻止非法用户入侵,以及对合法用户使用非授权资源进行阻止的安全性技术。进行访问控制技术运行过程中,最终目标为利用对被访问的维护,确定访问权限,并且对其进行授权并实施,以保证系统在安全运行的状态下,可以实现信息共享的最大化。利用访问控制,不仅可以有效的管理计算机内部的信息,同时也可以对信息的完整性进行保证,也可以将病毒入侵的危险降低,对病毒传播的速度降低。与此同时,也可以保证计算机中个人以及企业信息的安全性。访问控制主要是针对用户身份,给予其一定的使用权限。即结合之前所制定的规则,明确主体访问客体行为的合法性质。

5结论

受信息技术发展的影响,计算机网络逐渐应用于各行各业中,然而在网络为人们的工作与生活提供便捷的同时,计算机网络信息本身的安全性也成为威胁计算机系统的一项重要问题。通过文章中的分析,我们可以了解到计算机网络信息安全对于用户个人信息乃至于社会、国家安全的重要性,在此基础上可以运用针对性的措施将其解决,以此保证计算机网络信息的安全性。

篇8

校党政主要领导和分管安全保卫工作的校领导高度重视网络与信息安全工作,经常在各种会议上强调做好校园网络与信息安全工作对维护学校安全稳定的极端重要性,对安全保卫部门上报的有关网络动态信息认真阅读和研判,并及时作出重要处理批示,在学校每次召开的有关维护校园稳定的工作会议上都要对加强校园网的安全管理与监控工作进行专门部署。

学校还制定下发了《关于开展“平安校园”创建活动的实施意见》,其中指出“要坚持正确的舆论导向,防止信息传媒的管理失控,要健全网络管理机构,落实管理措施,强化网上监控”,为做好校园网络与信息的安全管理工作明确了目标和方法。

二、各职能部门分工明确、互相配合是做好校园网络安全管理工作的重要条件

在维护校园网络安全方面,学校有关职能部门根据自身的工作性质有着明确的分工。如校宣传部门主要负责全校网络安全教育,网络信息动态的监查、跟踪和掌握并进行相关处置;校网络主管部门主要负责加强整个校园网络技术方面的安全防范、保障、封堵和指导,采用合理的技术手段对网络运行安全进行有效的监查,为查处网络不良、有害信息及案事件提供技术支持;保卫部门主要负责对网络不良、有害信息及案事件进行查处,并根据自身工作性质对网络信息进行监查。各职能部门既各司其职又密切配合、协作形成合力,为做好校园网络安全工作提供了重要的基础条件,使工作更为顺利、效率更为提高、成效更为明显。

三、建全各项管理规章制度是做好校园网络安全管理工作的重要基础

学校根据国家网络与信息安全管理的有关法律法规,并结合学校的实际情况,制定了校园网络安全管理条例与规定,并根据上级有关规定、形势发展和学校具体实际情况,不断予以修订完善。各责任单位则根据学校有关规定和本单位的实际情况,制定网络与信息安全管理方面的各项具体规章制度,如日常安全管理制度、信息审核制度、安全检查制度、网管员工作职责等。由此校园网络与信息安全管理工作做到有章可依,有章可循,不断制度化、规范化。

四、建立和完善有效的管理机制是做好校园网络与信息安全管理工作的保障

(一)实行分级管理、逐级负责制

学校成立网络与信息安全领导小组,由主要领导担任双组长、分管领导担任副组长。领导小组定期不定期地对校园网络安全情况进行分析研判,研究制定涉及网络安全方面重大问题的对策、措施,并对一段时期内的网络与信息安全工作作出部署。领导小组下设办公室,主要负责全校网络与信息安全工作的管理和协调。各学院、部门、单位应当相应成立网络与信息安全工作小组,其主要负责人为第一责任人,并指定专人担任网管员,负责本级网络与信息安全工作。

(二)实行安全责任制

学校与各学院、部门、单位签订网络与信息安全责任书,各责任单位要将网络与信息安全管理责任层层落实到所属各部门和人员。其中,各责任单位的网管员,具体负责本单位日常的网络与信息安全工作,网络与信息系统的主管单位承担系统的安全管理和监督责任,运行维护单位和个人承担系统的技术安全保障责任,使用单位和个人承担系统操作与信息内容的直接安全责任。坚持“谁主管、谁负责,谁运行、谁负责”的原则,切实落实网络安全工作责任制。

(三)实行一票否决制

校园网络与信息安全工作实行一票否决制。对在网络与信息安全方面存在重大隐患和问题而不认真及时进行整改,或发生重大网络与信息安全事件的相关单位和责任人,实行一票否决制,取消当年评先评优及个人晋职晋级的资格。

(四)实行责任追究制

对网络与信息安全责任不落实、日常安全管理措施不落实、安全教育不到位等,导致网络与信息重大安全事故或事件的,学校将根据网络与信息安全责任书的有关规定,追究相关单位和责任人的责任,并予以全校通报批评。对触犯法律的,则移交司法机关依法处理。

(五)实行值班备勤制

各责任单位要指定专人进行日常网络与信息安全保障工作,确保24小时通讯联系保持畅通。在重要、敏感时期,重大节假日期间,安排值班人员,一旦发生问题快速反应,及时处置。

五、强化网络安全形势的预测研判是做好校园网络安全管理工作的重要环节

学校各职能部门密切关注国内外发生的重大事件及学校出台的重大举措,结合当下校园网络的具体实际并根据网络本身的特点,对一段时期内校园网络的安全形势进行分析研判并上报学校,为领导科学决策提供依据。特别是在每年重要敏感时间节点时,对校园网络安全形势进行预测研判并提出有关防范措施上报学校,使网络安全防范工作更趋主动和有的放矢,例如,在北京奥运会、上海世博会、G20峰会等时期,均及时对校园网络可能出现的舆情、动态预作研判,将防范工作做在前面。

六、切实加强宣传教育活动是做好校园网络安全管理工作的重要内容

学校重视加强网络与信息安全宣传教育,每年新生入学时,发放新生人手一册《大学生安全知识读本》,其中包括网络与信息安全和保密等方面的内容及有关警示案例,供学生阅读学习,加强对学生文明上网、安全用网的宣传教育工作。平时,学校还将国家关于网络安全管理方面的法律法规和学校有关的规章制度编印成宣传小册子,分发到各学院、各部门负责人及网络管理员,并将网络安全方面的内容编入创建“平安校园”宣传教育手册,分发给全校师生员工,以此全面提高大家的遵纪守法的自觉性和安全防范意识。

通过上述具体实践和做法,我校初步创建了一个文明、有序、安全的校园网络与信息环境,从而为确保学校的政治稳定提供了坚实的保障。

(作者单位:浙江大学)

篇9

随着军队物资采购机构信息化建设的不断推进,信息系统已经成为当前采办系统的核心组成部分。信息安全风险直接影响到军队物资采购系统为军队用户提供服务和对各类供应商等采购实体进行管理的能力。在关键时刻,个别重大的信息系统发生故障或瘫痪,往往会给整个军队后勤保障带来不可挽回的损失和影响,从而给整个军队建设和国防事业带来损失。

当前,军队物资采购系统根据总后关于信息化建设的精神,建立了依托干军队内部的指挥自动化网、军队综合信息网等内部指挥控制网络、办公网络、业务管理网络等信息服务和指挥网络,为军队采购管理单位、采购业务单位、科研和教学单位、军内终端客户提供广泛的信息服务。

实施信息安全管理,不仅能够有效地提高信息系统的安全性、完整性、可用性以及对相关应急采购任务的快速反应能力,同时也是保障军队物资采购系统科学发展,为军队提供最优保障力的重要手段。

一、军队物资采购信息安全风险

在军队物资采购活动中,存在各种各样的风险,都对采办的结果产生不同程度的影响。根据风险产生对象的不同,将风险分为人为风险、系统风险、数据风险等三个方面。

(一)人为风险。

人是信息安全最主要的风险因素,不适当的信息系统授权,会导致未经授权的人获取不适当的信息。采购人员的操作失误或疏忽会导致信息系统的错误动作或产生垃圾信息;违规篡改数据、修改系统时间、修改系统配置、违规导入或删除信息系统的数据,可能导致各种重大采购事故的发生。有令不行、有禁不止等人为因素形成的风险,是军队物资采购信息安全的最大风险。

(二)系统风险。

系统风险包括系统开发风险和系统运行风险。在采购项目开发过程中没有考虑到必要的信息系统安全设计,或安全设计存在缺陷,都会导致采办信息系统安全免疫能力不足。没有完善、严格的生产系统运行管理体制,会导致机房管理、口令管理、授权管理、用户管理、服务器管理、网络管理、备份管理、病毒管理等方面出现问题,轻则产生垃圾信息,重则发生系统中断、信息被非法获取。

当前的采购信息系统已是一个庞大的网络化系统,在网络内存在众多的中小型机、服务器、前置机、路由器、终端设备,也包括数据库、操作系统、中间件、应用系统等软件系统。网络系统中的任何一个环节都有可能出现故障,一旦出现故障便有可能造成系统中断,影响业务正常运作。同时,由于自然灾害、战争等突发事件造成的系统崩溃、数据载体不可修复性损失等等,都能够给采购信息系统带来很大的影响。

(三)数据风险。

数据是信息的载体,也是军队物资采购系统最重要的资产。对数据的存储、处理、获取、和共享均需要有一套完整的流程和审批制度,没有健全的数据管理制度,便存在导致数据信息泄露的风险。

二、军队物资采购信息安全的内容

通过对信息安全定义的查询,可以看到其是根据不同的环境情况各自不同的。在相对受到专业影响较小的国际标准ISOl7799信息安全标准中,信息安全是指:使信息避免一系列威胁,保障商务的连续性,尽量减少业务损失,从而最大限度地获取投资和商务的回报。

对于军队物资采购系统,信息安全管理则应该坚持系统和全局的观念,基于平战结合、立足应急保障的思想,指导组织建立安全管理体系。通过系统、全面、科学的安全风险评估,体现“积极预防、综合防范”的方针,强调遵守国家有关信息安全的法律法规及其他合同方要求,透过全过程和动态控制,本着控制费用与风险平衡的原则,合理选择安全控制方式,保护组织所拥有的关键信息资产,使信息风险的发生概率降低到可接受的水平,确保信息的保密性、完整性和可用性,保持组织业务运作的持续性。

(一)保密性。

信息安全的保密性,在确保遵守军队保密守则规定的前提下,确保信息仅可让授权获取的相关人员访问。结合当前的状况,军队物资采购系统的信息安全保密应当做熟严格分岗授权制衡机制,杜绝不相容岗位兼岗现象;严格用户管理和授权管理,防止非法用户,用户冗余和用户授权不当;加强密码管理,防止不设口令或者口令过于简熟加强病毒防范管理,防范病毒损氰控制访问信息,组织非法访问信息系统确保对外网络服务得到保护,阴止非法访问网络;检测非法行为,防范道德风险;保证在使用移动电脑和远程网络设备时的信息安全,防止非法攻击。

(二)完备性。

信息安全的完备性,是指信息准确和具备完善的处理方法。具体要求是:严格采购业务流程管理,确保采购业务流程与采购信息系统操作流程完备一熟严格控制生产系统数据修改,防止数据丢失。防止不正确修改,减少误操作;严格数据管理,确保数据得到完整积累与保全,使系统数据能够真实、完整地反映采购业务信息;严格按照军队关于物资采购规定和要求操作,减少或杜绝非标业务。避免任何违反法令、法规、合同约定及易导致业务信息与数据信息不一致、不完整的行为。

(三)可用性。

信息安全的可用性,要求确保被授权人可以获取所需信息。具体要求是:加强生产系统运行管理,确保生产系统安全、稳定、可靠运行;加强生产机房建设与管理,保障机房工作环境所必需的湿度、温度、电源、防火、防水、防静电、防雷、限制进人等要求,减少安全隐患;加强生产系统日常检查管理,及早发现故障苗头;加强系统备份,防止数据损失;严格生产系统时间管理,禁止随意修改生产系统时间;保障系统持续运标实施灾难备份,防止关键业务处理在灾难发生时受到影响。

三、军队物资采购信息安全管理

(一)信息安全机构。

军队物资采购系统应分出专人专职来负责信息安全管理工作,并协同上级业务管理单位制定信息安全管理制度和工作程序,设定安全等级,评估安全风险程度,落实防范措施方案,提出内控体系整改方案与措施,监督和评估信息安全管理成效。在与上级总部和军区、军兵种物油部管理机构之间还要有一个快速响应的信息安全事故收集、汇总、处理及反馈体系。

(二)信息安全管理制度与策略。

信息安全管理制度应针对军队物资采购系统现状与发展方向来制定,要充分考虑可操作性。现阶段可根据“积极防御、综合防范”的方针,制定内部网、OA网、外部网的管理办法,明确用户的访问权限。制定生产系统运行管理办法。严格实行分岗制衡、分级授权,严格执行生产系统时间管理、备份管理、数据管理和口令管理。

(三)信息安全分级管理。

信息安全分级管理,是将信息资源根据重要性进行分级,对不同级别的信息资产采用不同级别信息安全保护措施,国家已将信息安全等级保护监督划分为五个级别,分别为自主性保护、指导性保护、专控性保护。

军队物资采购系统可以结合实际情况,将信息资产分为“三级”或“五级”保护,目的在于突出重点,抓住关键,兼顾一般,合理保护。分级管理的方法是分析危险源或危险点,评估其重要性,再分设等级,从而采取不同的保护措施。比如,对于采购机构业务机房,可采取门禁与限制进入等方式进行保护;针对采购中相关数据的提供,可设计一定的审判流程,根据数据的重要程度,分为公开信息、优先共享信息、内部一般信息、内部控制信息、内部关键信息和内部核心信息,实施严格的授权控制;对于信息安全事故,可分为重大事故、一般事故、轻微事故等,采取不同的处置方案。

(四)信息安全集中监控与处置。

设立集中运行的信息安全监控处置中心,及时监控、发现安全事故,做到响应快速、处置果断,并实施应急恢复。结合军队物资采购系统当前实际情况,可对网络、服务器等运行设备进行集中监控,开展服务器容量管理、网络流量监控;对应用系统采取防范与监控相结合的方式,对信息系统的数据设置校验码,防止非法修改;在开发应用系统的同时,还应开发相应的审计检查监控程序,由各单位分别运行和维护,由上级采购管理机构定期查验和监督,及时发现数据信息存在的风险。

四、信息安全管理系统

实现信息安全管理的集中运行,需借助信息安全管理系统。各军队采购机构和部门可以按照上级下达的统一标准,构建基于同一操作平台的信息安全管理系统,帮助安全管理中心实现系统的监控、分析、预警等功能,实现信息安全事故处理的收集、存储、分析等功能,及时对信息风险作出反馈。

(一)监控功能。

为采办机构和部门的相关信息处理和传输设备配置专人管理,并设置机房日志管理、服务器性能日志管理、服务器容量日志管理、数据修改日志管理、流量监控日志等功能,酌情设置数据检测结果日志管理功能。通过对存储、传输和删改的操作进行管理,达到监督控制的目的。

(二)处理功能.

根据采办单位所在环境和情况,自主设置安全事故报告、响应、处置等采办信息管理功能,对于高级别信息,也可以采用每天零报告措施。通过信息处理的简化、优化和快速反应,提高信息安全保障能力,从而保证军队采购的正常进行。

(三)安全等级管理功能。

针对采办单位自身特点,设置信息资产、危险源、危险点定义与分级功能,对于不同级别的信息安全危机设定不同的保护等级,并采取不同的保护措施、监控措施、事故响应与处置措施,保证系统的稳定性和完好性。

篇10

关键词:药品物流管理系统;信息安全素养;信息安全干预

21世纪是一个全方位大数据的时代,从纸张过渡到电子病历系统的医疗记录数据呈指数级增长[1,2],但在体验信息化带来的前所未有便捷的同时,巨大信息安全隐患也逐渐浮出水面,正逐渐引起大众的高度重视和警觉[3~5]。2014年医疗/保健行业在所有报告的数据泄露事件中所占比例超过42%,远高于其他行业(如银行/金融、商业、教育等)[6~8]。上海市执行了药品阳光采购平台,在此基础上建立了药品物流管理系统,该系统利用信息化技术手段和智能设施设备让药品在供应、分拣、配送等各个环节,实现公司、医院、科室、患者之间一体化、精细化管理。尽管目前实施了药品安全信息化监管,但是药品信息错综复杂、工作人员意识薄弱、药品信息管理人员复杂,一旦信息泄露,存在医保套用、患者信息泄露被不法分子利用、统方等隐患。药品信息的管理核心是人员的管理,监管的最终目标也是保障药品安全供应和合理使用。金山区自2016起开始阳光平台药品采购试点,在上海市率先执行了药品物流管理系统。本文结合工作实际,对金山区药品物流管理系统的信息管理人员和使用者的安全意识进行调查、评估和干预,为提高全市药品相关人员的信息安全水平,减少因信息泄露而导致的医疗安全事件的发生提供参考。

1对象与方法

1.1研究对象

金山区药品物流管理系统全部管理用户,包括药品阳光采购平台、药品物流管理系统、各医疗机构HIS系统药品信息管理人员、使用人员193人。

1.2研究内容与方法

1.2.1名词定义与指标计算方法药品物流管理系统:利用信息化技术手段和智能设施设备让药品在供应、分拣、配送等各个环节,实现公司、医院、科室、患者之间一体化、精细化管理的系统。信息安全素养:指人员在信息化条件下对信息安全的认识以及对信息安全表现的综合能力,包括信息安全动机、信息安全知识、信息安全能力、信息行为等内容[4]。指标计算方法:参考《中国居民健康素养调查》方案设计,正确回答题目的赋值1分,题目回答错误的赋值0分,计算每名调查对象最终的答题得分。根据专家咨询意见,所有问题全部回答正确视为具备总体信息安全素养,对信息安全知识问题、信息安全动机问题、信息安全角色认知问题、信息安全行为问题全部回答正确的分别视为该调查对象具备这四个方面的信息安全素养。1.2.2系统用户信息安全素养水平调查通过文献研究收集国内外关于信息安全的相关材料以及实践工作中的经验等内容,初步形成评估问卷和调查问卷,通过德尔菲法选择卫生信息化领域工作经验丰富的专家开展问卷设计咨询,所有专家均为卫生信息化领域或健康行为研究领域;本科及以上学历;工作经验丰富,从事相关工作5年以上,最终选择了上海市疾病预防控制中心信息所、金山区卫生信息中心等8名专家对问卷进行审核、修订,针对部分调查对象进行预调查后对存在的问题进行相应的修改,形成最终的评估和调查问卷,问卷由基本情况、信息安全知识、信息安全动机、信息安全角色认知、信息安全行为和系统用户信息等6部分条目构成。对金山区药品物流管理系统的所有用户开展面对面问卷调查。问卷调查在调查前向受访者进行调查说明,承诺调查信息保密,在受访者知情同意后开展调查,提高受访者的支持配合。问卷调查后及时整理和质控,确保信息完整。1.2.3信息安全干预措施实施后效果调查采用整群随机分组方法,以一个社区的系统用户为一个群组,将金山区11个社区的所有系统用户随机分为干预组和对照组,结合用户信息安全素养调查过程中发现的问题,对干预组进行进行信息安全干预,实施包括培训讲座、专项指导、发放信息安全宣传材料、微信宣传等一系列有针对性的干预措施;对照组则不给予任何干预措施。干预后对两组进行终末调查,对比两组在基线和终末调查时信息安全素养水平的变化情况。

1.3数据整理与分析

使用EpiData3.1软件建立数据库,用spss19.0软件进行统计分析。计数资料以构成比(%)表示,比较采用χ2检验;计量资料以x珋±s表示。P<0.05为差异有统计学意义。

2结果

2.1人口学特征

金山药品物流管理系统用户人数共计193人,发放问卷193份,收集到有效问卷共163份,问卷有效回收率84.46%。回收问卷的男女性别比为0.43∶1,平均年龄为(34.69±9.32)岁;用户角色中,58.9%是普通用户,41.1%是管理账户;52.15%的调查对象是各医疗机构药库工作人员,31.90%为各医疗机构信息科信息管理人员。调查对象的人口学特征分布见表1。

2.2问卷的信度效度分析

信度(reliability)目前最常用的是Alpha信度系数,一般情况下主要考虑量表的内在信度———项目之间是否具有较高的内在一致性。通过Alpha信度系数分析,本研究中,量表的信息安全知识、动机、角色认知、行为等四个维度的信度系数均>0.7,总体信度系数为0.732,问表明该问卷具有可接受的信度。问卷的效度分析主要采用因子分析了解结构效度,首先对问卷数据进行KMO样本测度和巴特莱特球体检验,以验证数据是否适合做因子分析,得到KMO值为0.713,巴特莱特球体检验P<0.01,适合作因子分析。按特征值>1的标准提取公共因子,共提取5个因子,并采用方差最大正交旋转进行因子旋转,所得因子间不相关,累计方差贡献率为60.023%。一般认为累计方差贡献率大于60%,问卷结构效度尚可。

2.3信息安全素养干预前后对比

干预组和对照组的基本情况见表2。两组性别、年龄、教育程度及账户角色构成等方面差异无统计学意义(P>0.05),具有可比性。基线调查时,干预组和对照组在总体素养、知识、动机、角色认知方面无明显差异(P>0.05)。终末调查时,在知识、角色认知、行为等三方面,干预组明显高于对照组(P<0.05),而在总体素养和动机方面两组没有显著差异(P>0.05)。干预后,干预组的总体素养、知识、动机、角色认知等水平素养均有显著提高(P<0.05或P<0.01),但信息安全行为水平无明显提升(P>0.05);对照组用户的各项安全素养水平与总体水平在基线和终末调查中均无明显变化(P>0.05)。见表3.

2.4较薄弱的药品信息安全问题集中点

通过对调查结果逐一分析,回答正确标记1分,回答错误标记为0分,将各题目分数累计综合除以总人数,得到回答合格率。结果显示,系统用户部分问题的合格率较低,对合格率较低的重点问题进行汇总和分析,见表4。以准确发现在金山区药品物流管理系统用户之间存在的信息安全方面的问题,便于在后期干预工作中有针对性的开展干预和信息安全素养提升措施。

3讨论

3.1金山区药品物流管理系统用户的信息安全水平亟待于进一步的提高

信息的泄露主要是在于医疗机构和信息服务机构人员使用、管理过程中出现的无意泄露,更多时候信息泄露于无意识的情况下[9,10],另外组织环境也对用户提供参考,并对用户的某些行为有一定的积极或消极的作用[11]。本次调查发现金山区药品物流管理系统用户对信息安全的重视程度不够,用户在信息保护、信息安全风险防范方面的能力远不能达到实际的工作要求,尤其是在信息安全行为方面存在较为严重风险行为,医务工作者需要提高保护个人隐私信息的能力和意识,否则将在不经意的情况下,侵犯或泄漏医疗信息资料。同时,应通过增强信息系统安全性、建立相应的管理制度、加强培训宣传、规范工作流程以及用户操作行为等措施,提高信息系统的安全性。

3.2信息安全干预措施有效提升了用户的信息安全素养水平

通过实施一系列的干预措施,干预组的信息安全总体素养、信息安全知识、信息安全动机、信息安全角色认知在干预前后的差异具有统计学意义,均有了显著的提高,但信息安全行为干预前后没有显著的变化,知识、动机、认知的提高没有明显的转化为具体行为的改善,后期应注重在提高知识、动机、认知的同时注重行为的强化和培养。对照组用户的信息安全素养总体水平以及信息安全知识、信息安全动机、信息安全角色认知、信息安全行为等几方面水平在基线和终末调查中均没有明显的变化,可见对系统用户通过多途径的实施具有针对性的信息安全干预措施能有效提高用户的信息安全素养水平。

3.3组织管理制度的完善和系统安全设置要求的提升

干预结束后,通过梳理制定金山药品物流管理系统安全管理制度,对管理网络、组织分工、账户管理、数据流通等方面作了详尽的规定。根据管理制度的规定[12],通过系统运维人员在密码策略、用户权限、账户清理等方面从系统方面进行了设置和强制性要求。在信息安全素养干预手段没有有效发挥作用的部分,通过制度约束和技术手段强制,弥补了信息安全教育、培训等手段的不足,实现金山区药品物流管理系统安全性的全面提升。

3.4小结