加强信息安全管理范文

时间:2023-10-11 17:25:17

导语:如何才能写好一篇加强信息安全管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

加强信息安全管理

篇1

 

一、前言

 

国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行,从职能部室到一线班组,电力企业所有的业务数据都依赖网络进行流转,电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。

 

一直以来,信息安全防御理念常局限于常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计)等方面的防御,重要的安全设施大多集中于核心机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁已大大减少,尤其实行内外网隔离、双网双机后,来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛,管控难度大,加之现在无线上网卡、无线wifi和智能手机的兴起,内网计算机接入互联网的事件时有发生,一旦使用人员将内网计算机通过以上方式接入互联网,即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道,一旦遭遇黑客袭击,就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故,给企业信息安全带来重大的安全隐患和风险。

 

二、强化管理、落实责任,监培并进

 

1、将违规外联明确写入公司各项规章制度,并纳入经济责任考核。在《公司信息系统安全管理办法》中,对杜绝违规外联事件进行了明确的要求:所有内网计算机必须粘贴防止违规外联提示卡,严禁将接入过互联网未经处理的计算机接入内网,严禁在普通计算机上安装双网卡,严禁将智能设备(3G手机、无线网卡等)插入内网计算机USB端口,严禁在办公区通过路由器连接外网,杜绝违规外联行为。 一旦发生违规外联事件,依据《企业信息化工作评级实施细则》,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核,并在全公司通报批评。将信息安全责任落实到人。

 

2、加大违规外联宣贯和培训力度。信息安全工作,重在预防,将一切安全事件消灭在萌芽状态,才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工,尤其是新员工的信息安全教育培训工作,即重点培训各部门信息化管理人员,各级管理人员培训本部门技术人员,本部门技术人员培训一线员工。通过分层式培训,提高了培训效果,同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质,强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工,实现全员重视、全员掌握,做到内网计算机“离座就锁屏,下班就关机”的工作习惯。

 

3、加强外来工作人员管控。加强外来工作人员信息安全教育,并签订《第三方人员现场安全合同书》,严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控,防止因外来工作人员擅自操作造成违规外联事件。

 

三、加强技术管控,从源头杜绝安全事件的发生

 

2.1严格执行“双网双机”

 

严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机,需向本人核实该计算机之前网络接入情况,对内外网络接入方式有变化、或者是不清楚的情况,需对计算机进行硬盘格式化并重装系统后方可接入网络。

 

2.2安装桌面终端,设置强口令,防止违规外联

 

实时监控全公司内网终端桌面终端系统安装率,确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略,一旦发生违规外联,系统立即采取断网措施,并对终端用户进行警示。要求全部内网计算机设置开机强口令(数字+字母+特殊符号,且大于8位),防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。

 

2.3做好温馨提示,明确内外网设备,防止违规外联

 

做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络,无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识,防止员工误接网络。

 

2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定

 

加强IP地址绑定,从交换机端口对接入内网的计算机进行IP、MAC地址绑定,确保除本计算机外,其余计算机无法通过该端口接入内网。

 

通过外网审计(网康科技)对外网IP和用户认证账户进行绑定,完善外网用户和计算机基础资料,做到全局外网终端和用户可控。

 

四、信息安全前景:

 

在信息安全领域没有绝对的安全防护技术和手段。随着信息技术日新月异的发展,电力企业内网计算机违规外联风险也在增加。在已有的管控手段的基础上,还要及时关注新技术,不断完善和调整制度管理和技术策略。信息安全是伴随企业信息化应用发展而发展的永恒课题。

篇2

[关键词]高校 安全管理 网络防范 对策

[作者简介]王华彪(1973- ),男,湖北汉川人,河北建筑工程学院,副教授,硕士,研究方向为思想政治教育。(河北 张家口 075000)孙智宏(1981- ),男,吉林长春人,河北广播电视大学党(校)办副主任,讲师,硕士,研究方向为思想政治教育、职业指导。(河北 张家口 050000)林青(1978- ),男,河北南宫人,河北建筑工程学院,讲师,研究方向为思想政治教育。(河北 张家口 075000)

[基金项目]本文系2014年河北省哲学社会科学基金项目“实现中国梦愿景下培育和践行社会主义核心价值观研究”(项目编号:HB2014WK023)、2013年河北省哲学社会科学基金项目“新媒体语境下政府应对网络舆情的对策研究”(项目编号:HB13ZZ004)和2011年河北省教育厅人文社会科学青年基金项目“七位一体的思政理论课实践性教学研究”(项目编号:S2011408)的阶段性研究成果。

[中图分类号]G642 [文献标识码]A [文章编号]1004-3985(2014)35-0177-02

一、信息多变性,传播快捷性,网络时代给高校安全管理带来诸多挑战

1.网络信息的多变性和丰富性,使高校安全面临巨大挑战,受不良信息负面影响持续加大。当今社会,信息的巨大冗余是高校师生最直接的感受,信息以网络形式为主,结合其他不断进化的传统媒体,无时无刻不在浸泡着年轻一代师生。其中一些极具煽动性和蛊惑力的偏激言论,如与当前社会的负面因素相联系,必然会使青年师生的世界观、价值观受到强烈的冲击和影响。保持广大师生思想、政治上纯洁稳定,难度增大,任务艰巨。

2.网上沟通的复杂性和隐身性,使新的犯罪诱因大量滋生,给高校预防工作带来诸多问题。互联网、移动通信等新型信息交流平台的特有属性,对人们的思想、行为和社会交往方式产生了深远影响,也衍生出许多新的诱发违法违纪问题的因素,给高校预防犯罪工作带来诸多新的课题。一是网络使犯罪活动隐身。手机、互联网交流的匿名性、虚拟性特点,助长了个别人以此进行违法犯罪活动的侥幸心理。近年来,高校发生的各类犯罪案件中,涉案人员都想方设法利用手机、网络的这种特性进行违法犯罪活动。二是网络使聊天交友便捷。手机、互联网交流的适时性、开放性特点,为个别师生不正当交往提供了便利渠道。随着拇指一族、网络一族走进高校,以网上交流不当而导致的违法违纪问题层出不穷。三是网络使痴迷者心理失衡。网上聊天、网络游戏的依赖性、成瘾性特点,使许多痴迷者产生了严重的网络心理问题。近年来,师生心理问题引发的案件事故逐渐增多,其中网络心理问题占有相当比例,应予以高度关注。四是网络使不良信息泛滥成灾。互联网是一个畅通无阻的虚拟世界,使信息交流呈现出前所未有的便利和开放性特点,从而使信息内容的可控性大大降低。长期接触网上不良信息,部分高校师生极易产生心理偏差,进而导致大量心理性疾病的产生。

3.网络传播的适时性和快捷性,使不良事态发展难以控制,给高校危机管理带来新挑战。一是事态发展难把握。信息化条件下,一件极小的事情,一旦处置不当就可能通过网络迅速升级,引起师生广泛关注,甚至使参与者成几何级数增长,最终导致事态越来越严重。二是影响范围难控制。网络时代条件下,即便是发生在偏远地方的事件,只要进入网络就会被迅速扩散,引起广泛的社会影响。三是负面影响难消除。任何信息只要接触网络,往往都会在极短的时间内被克隆延伸出无数个版本,转接到各个网站,甚至被下载到各个网络用户的终端,无法彻底清除。高校发生的各类问题,只要被发送到互联网上,就很难根除痕迹,随时有被人任意篡改、恶意歪曲、重新炒作的可能。必须清醒认识到信息网络所具有的负面作用。

二、认识有偏差,防范不到位,网络尚未完全纳入高校安全管理范畴

1.对网络的现实威胁和潜在影响,认识不够。一是对网络信息的影响力认识不清。对网络信息给师生思想带来的消极影响认识不清楚。有的认为网络信息如同报纸、电视、广播等大众传媒一样,是社会发展到一定阶段的必然产物,忽视了必要的教育引导;有的不善于学习研究新事物,对网络信息一知半解,对网络信息的危害说不清、道不明,缺乏教育引导的说服力。二是对网络窃密的严峻性认识不清。对网络技术已成为隐蔽敌对势力渗透重要工具的现实危险认识不清楚。有的思想麻痹,对隐蔽敌对势力进攻的猖狂程度估计不足,有的敌情观念淡薄,对互联网给意识形态渗透工作带来的冲击和影响估计不足。三是对涉网事件的冲击力认识不清。对涉网事件可能给高校声誉、政治稳定造成的恶劣影响认识不清。有的高校思想政治工作者仍然只注意传统媒体信息,对网络信息关注不够,特别是对涉及高校的负面信息在网上的传播、炒作缺乏应有的警惕。

2.对网络的巨大冲击和负面因素,措施不利。一是思想工作不深入。有的搞教育时不注重对象,不从实际出发,“一刀切”“一锅煮”;有的矫正错误思想软弱无力,少数师生受社会错误思潮的影响,拜金主义、享乐主义和极端个人主义不断增长,甚至在日常生活中都有所流露,所在单位普遍忽视对他们的教育帮助,错失了将事件扼杀在萌芽状态的良机。二是交往关口没把住。不正常对外交往是案件和问题发生的重要原因。有的案犯案发前就交往过滥,单位不少人包括高校的党政领导都可能知道,但没有人制止;有的学生平时生活西化,酗酒上网,夜不归校,高校学工干部没有深究细查;有的热衷网络交友,有事不找教工找网友,经常去网吧,或与网友约会,甚至把网友带入校园留宿,但学校却没有采取有效措施解决。

三、教育谋实效,管理求科学,加强信息化条件下高校安全管理工作

1.加强警示教育力度,筑牢高校安全管理的思想防线。一是教育要有针对性。就警示性法制教育效果而言,教育要有针对性,立足师生不同的文化程度、不同的家庭背景、不同的生活经历、不同的思想觉悟、不同的工作性质、组织的不同教育内容和教育方法,做到因人施教,因事施教,因时施教。人员上要区分干部、群众,科研岗位、教学岗位、服务岗位干部和高年级、低年级学生等层次;环节上要区分入学、实习和社会实践等学习时段;时机上要区分重要节日、重大活动、敏感时期、季节变化、重大舆情发生及毕业生离校、新生入学、干部调整工作接替敏感时机等。二是教育要有渗透性。要把教育渗透到具体工作中,结合师生的本职岗位、本职工作搞好经常性教育。把教育渗透到现实生活中,注重运用身边违法违纪的人和事,教育警示师生,让师生切实感受到违法违纪行为给他人、自己、家庭、高校、社会造成的严重危害,自觉远离违法乱纪。要把教育渗透到校园环境中,坚持点滴养成,耳濡目染,在校区、实习场所以及办公场所等重点部位,适当张贴警示性标语,营造警示性氛围,使师生抬头见警示、低头思责任,时刻注意安全稳定。通过强有力的教育渗透,真正使企图违法犯罪的人受到震慑,知道违法犯罪是要受到法律制裁的,使心存侥幸的人悬崖勒马,使违反纪律的人受到警醒,使每一名师生都受到触动,知道工作失职酿成重大案件是要追究责任的,自觉远离法律的“高压线”、划清道德的“情感线”、把握工作的“原则线”、绷紧学习的“意识线”。三是教育要有融合性。善于把警示教育与高校主题教育相融合,搞好统筹,保证效果。善于把警示性教育与管理相结合,既突出教育的引导作用、警示作用,更发挥教育的行为规范作用,让师生边提高思想认识边矫正不良行为,培养良好的思想道德品质和行为习惯。四是教育要有覆盖面。警示性教育必须强调覆盖全员,既要抓基层师生,又要突出领导机关和学工干部;既要抓好在校人员的基本教育,又要强化外出实践学习流动人员的延伸管理,确保人人受教育,个个受触动。

2.把握网络问题重点,做好高校涉网案件的预防工作。注重预防受网上舆论影响可能发生的政治性问题。针对网上集中出现的政治性敏感、热点话题和错误言论以及各种不良政治信息,要保持高度的政治敏锐性。始终把坚定师生政治信仰、把握高校的社会主义办学方向、确保党对高校的绝对领导,放在安全稳定工作最核心、最重要的位置来抓。及时加强对师生的正面教育和思想引导,澄清各种错误思想的影响和干扰,严格政治纪律,坚决抵御、反对不负责任的政治言论,坚决查处违背政治纪律的言行,确保高校政治上的集中统一。注重预防网上敌对势力和错误思潮的引诱。近年来,高校发生的此类案件和问题重点集中在以下五种人:犯了错误、受了挫折,丧失了前进动力的人;提职无望、晋升职称泡汤,认为组织亏待了自己的人;纪律性差、经常外出,交往过滥的师生;追求高消费、花钱大手大脚,经济花费超出家庭承载供给能力的学生;个人家庭生活困难且长期得不到解决,思想波动较大的人。要重点加强教育和管控,切实掌握他们的思想底数和行为动向,满腔热忱、想方设法帮他们解决工作和生活上的各种实际困难。网络信息交流已成为当下师生社会交往的重要渠道之一,特别是网络征婚、求偶、,对高校年轻师生更具吸引力。要通过深入细致的思想政治工作,真诚务实地抓好高校内部风气、内部关系建设,切实把师生从被网络恋情的虚无寄托中拉回来,防止由此引发的各种违法违纪行为。

3.妥善处理涉网危机,确保高校危机管理不失控。网络时代条件下,高校安全稳定与社会的关联性、互动性进一步增强,案件和问题的多样性、突发性和不可控性特征明显。一般性案件问题诱发、转化为重大安全问题的可能性大大增加,及时稳妥地应对处置各种危机问题至关重要。危机处置要“快”。受领情况要快,行动部署要快,调查处置要快,善后处理要快,要用处置工作的高速度和高效益来应对网络传播的高速,通过快速反应取得的正面效果来遏制消除网上可能形成的负面影响。问题解决要“早”。危机具有复杂性和传染性,特别是在信息化条件下,信息传递扩散的速度快,控制影响难,如果危机处理不当,极易带来连锁反应,使小问题酿成重大安全问题,个体问题扩展成,单一问题发展成复杂的国际外交问题,必须见事早、反应快,及时采取有效措施,努力把危机化解在初期、控制在局部、解决在当地,把危害控制在最小程度。处理质量要“高”。危机处置事关所在单位和相关人员的切身利益,如果凭感情、想当然,主观臆断,草率从事,处理不公,极易拖泥带水,产生一系列后遗症。在危机处置过程中,应严格掌握政策法规,坚持客观、公正、准确,坚持精到、坚决、彻底,努力使问题的处理经得起政策、法律和历史的检验,做到案结即事了,不留后患。校内校外联合要“牢”。危机处置涉及高校建设的方方面面,网络时代条件下发生的的可控性差,仅靠高校自身很难控制局面,需要高校和地方维护治安的公安人员联合采取行动,才能尽快平息事态。在危机处置中应充分发挥地方政府和有关部门的资源和技术优势,加强沟通协调,在资源共享中消除危机,在互助共赢中维护稳定。

[参考文献]

篇3

关键词: 信息化建设; 管理; 应用

中图分类号: R197.3 文献标识码: A 文章编号:1009-8631(2010)06-0014-01

医院档案是档案事业的重要组成部分,加强医院档案信息化资源管理对医院领导决策科学化和医院现代化建设尤为重要。在当前迅猛发展的信息社会下,医院档案信息化和医院档案信息化建设已经成为档案事业应对迅猛发展的信息社会的必然要求。

一、医院档案信息管理的特征

医院档案信息管理是实现医院管理目标的重要手段。明确医院档案信息的特点,有助于医院管理者更加自觉、主动地做好医院信息管理工作。

(一)医院档案信息管理具有资源管理的特征。现代社会中,信息已成为无形的财富和重要资源。医院档案信息作为医院的重要资源,日益受到医院管理者的重视。作为医院档案信息管理系统中的管理者和被管理者都是具有一定体质、智力、知识和技能的人力资源。小生产状态下的医院管理是完全依靠医院管理者的反映、认识和记忆能力。但现代医院管理规模之庞大、内容之复杂、反应速度之快捷都大大超出了医院管理者自然能力所能驾驭的范围。建立并依靠医院档案信息系统开展医院档案信息管理,就成为弥补人力资源不足的重要手段。随着网络技术的发展、普及及应用,医院管理系统中的各部门实现了档案信息资源共享。所有医院管理者都努力地去准确获取信息和及时利用信息,把医院管理成功寄托在对信息的占有和使用上,正是看到了医院档案信息的资源价值所在。信息作为一种战略资源正经历着由信息事务性管理向信息资源性管理的转变。所以,医院档案信息管理也必然具有了资源管理的特征。

(二)医院档案信息管理具有质量管理的特征。医院档案信息普遍地存在于医院工作活动之中,并随时都在大量产生着新的信息。医院档案信息原本是沟通管理系统间各个环节和层次的桥梁和纽带,它的价值和意义就是体现在有效的沟通中。但医院的档案信息质量并不是自生自灭的自然流淌。所以,医院档案信息管理必然依赖于对信息的管理。对众多的医院信息给予去粗取精、去伪存真、合并归类的处理,才能成为医院管理所需要的高质量的医院信息,才能保证医院管理的决策正确。反之,也就不能保证医院管理的正常运行。所以医院档案信息管理具有质量管理的特征。

(三)医院档案信息管理具有自成体系的理论和技术的特征。随着档案信息管理作用的增强和技术的成熟,其独立的理论和技术系统性正逐渐形成。医院档案信息管理系统组建涉及到临床医学、医院管理学、卫生经济学、医学工程等方面的学科知识,形成独立的管理系统。而从事医院档案信息管理的人必须具有医学、计算机、管理学、统计学等相应的知识和技能,才能胜任此项工作。由此,医院档案信息就具有了自己的理论和技术特征。

二、医院档案信息的收集与管理方法

在实际工作中,由于种种原因,许多单位的档案人员忙于归档文件的整理和档案的日常提供利用工作,很少有足够的时间详细了解各业务部门的具体工作,这就不可避免地造成了收集工作的盲目性。在收集的过程中,经常出现业务部门给什么,档案部门收什么,收来的文件用处不大等问题十分突出。因此,为了提高收集工作的质量,档案部门应当加强与业务部门的沟通和联系,并指导有关人员做好文件的归档工作。

(一)严格按照本单位归档制度的有关规定惊醒接受。档案部门和业务部门要按照规定对应归档文件惊醒认真清点,在核实后无误后办理交接手续。

(二)建立相关制度,加强对零散文件的收集。一是将文件材料的形成纳入有关部门的岗位职责,确保文件完整地移交档案部门。二是对外出人员和开会人员,应按规定将带回的文件向档案部门移交。

三、医院档案信息的应用

档案部门对收集的档案需要进一步的基本的分类、排列和编目,它是文件档案工作的一个重要环节。只有把这一环节做好,才能发挥医院医院档案信息的应有用。

(一)全面完整地运行系统

医院档案信息化管理的内容相当丰富。对于系统中的各模块要有步骤、有计划地全面启动并全面理顺工作流程。特别要尽快转变到新的网络上来,这样才能优化工作流程,切实做到方便病人、方便临床的应用要求。

(二)合理利用档案信息资源

1. 为医院管理决策提供依据。决策是医院管理的基本职能,科学的决策必须以全面反映客观事物的信息资料为依据。因此,了解情况掌握信息是对医院决策者的起码要求,是正确决策的基本前提。医院管理者只有充分掌握各种必要的医院内部和外部的有关信息,才能使自己的思想符合实际并作出正确决策。对于医院管理者来说,所有复杂的信息不可能依赖人脑的记忆,而必须是要通过医院档案信息管理系统和其他渠道来提供。有了高质量的医院信息,才有助于医院管理者的科学决策。因此,医院档案信息管理时时刻刻都在为医院的正确决策提供着依据。

2. 充分利用医院信息平台。医院管理就是按照一定目标通过信息对医院系统进行组织、指挥、协调和控制。完整意义上的医院档案管理系统应当是一个相对封闭的信息回路结构,这个回路结构专门用于把各执行机构和部门的执行结果反馈给控制中枢(医院管理指挥决策中心)。网络是档案信息系统的基础数据传输平台。对于医院来说,通过网络可以提高办事效率,缩短时间等,并提高数据的准确性,减少管理漏洞。在实际控制中正是根据反复不断信息输入、输出和对多回路的源源不断的反馈,才使医院的管理活动得到及时调整。因此,做好医院档案信息管理就成为医院管理中的又一个控制手段。

篇4

关键词:烟草行业;信息化建设;信息安全;管理策略

一、引言

我国是烟草消费大国,烟民数量在3.5亿以上,占全世界烟民总数的百分之30左右,烟草市场庞大,烟草行业利税是财政收入的重要来源,进入21世纪以来,随着互联网平台的发展,网络信息化平台建设极快,对传统营销和管理模式造成了很大的冲击,烟草行业在此大背景下,也开始从线下向线上转变,信息化建设取得了一定成绩,然而,多种因素共同作用下,烟草行业信息安全问题又暴露了出来,这是目前烟草行业面临的挑战之一。

二、目前烟草行业信息安全管理存在的问题

1.没有行之有效的整体管理机制。随着信息技术的广泛应用,很多行业都面临着信息安全保护问题,目前看来,烟草行业并没有行之有效的整体管理体制,首先来说,烟草行业是一个庞大的行业,它的信息安全管理应该着眼于全局,生搬硬套外来的安全措施,往往不能起到最好的效果,应该在因地制宜的情况下,制定全局性质的管理办法,包括预防、整治、应急等方方面面,以一点带一面,以一面带全局,从上到下的进行整体管理。2.现有信息安全管理制度落实不到位。我国烟草行业信息安全管理已经进行了多年,但效果并不十分理想,很多烟草公司只是表面在表面施行安全管理制度,其内部信息管理实际上是混乱的,而且,烟草行业人员流动性是较大的,很多时候公司难以对相关人员进行系统的培训,其中少部分了解信息安全管理内容的人员存在素质低下的问题,这给信息安全管理工作带来很大的困难。3.网络环境整体建设不健全。多年来,我国致力于建设安全的网络环境,但依然无法达到尽善尽美的程度,同时,国内烟草行业在竞争中优胜劣汰,重组的烟草公司建立的信息安全管理体制不够健全,安全功能存在隐患,偏远地区、经济欠发达地区对于信息安全管理概念不强,也这也给管理工作带来了麻烦。

三、加强烟草行业信息安全管理的意义

加强烟草行业信息安全管理的意义。近些年来,烟草行业推陈出新,开始利用自媒体、网络平台、信息技术对传统的工作模式进行创新,虽然创造了很大收益,但弊端同样存在。信息安全管理问题是其中突出的一个。信息安全受到威胁,对网络和资料库来说是非常严重的问题,轻者资料流失、外泄,重者资料库和网络可能直接崩溃,对于越发依赖网络平台、信息技术的烟草行业来说,这是不容忽视的。我国烟草行业实行专营专卖制度,在合理控烟的同时,也可以为国家创造巨大财政收入,因此,烟草行业信息安全问题无论从企业、烟草行业来看,还是从国家层面来看,都是不能不重视、不能不解决的重要问题。

四、烟草行业信息安全管理的可行办法

1.提高信息安全相关人员的技术水平。从技术层面上讲,越是高新技术往往越安全,互联网行业、信息技术的发展是日新月异的,烟草行业、公司应该随时做到与时俱进,提高信息安全相关人员的技术水平,有效保证对信息安全的保护,较大的烟草公司可以成立专门的技术部门,以老带新的方式培养技术型人才,负责信息安全的保护问题,做到责任落实到个人。2.建立整体防护。从上到下的进行防护往往比专门防护更有深度,可以对已经成型的防护体系进行加强,定期检查和更新,对尚未成型的防护体系要尽量尽快完成,必要时可以借鉴其他公司的成功经验。整体防护应该包括从预防到应急等各个方面,尽量保证不出现信息安全管理问题,而即便出现紧急状况,整体防护下也有一定的挽救办法。3.加强竞争性。作家笔下的耕牛,在牛虻的叮咬下很快耕完了土地,这是一则很有教育意义的寓言故事,恶性竞争需要避免,但良性竞争是可以存在的。地方相关部门可以通过招商引资、减少贷款等办法,对烟草公司加强竞争性和压迫感,给烟草公司制造一定的压力,迫使部分散漫的烟草公司严肃起来,建立行之有效的信息安全管理体系,同时,良性的竞争可以带动经济更好的发展。4.优化商业环境。古语常说,盛世言商。商业环境的好坏,是企业能否盈利和发展的关键因素之一,尽管我国政治环境稳定,但在利益驱使下,不法分子依然为数不少,在条件允许的情况下,当地相关部门应该同时对线上、线下商业环境进行规范化管理,加大管理力度,聘请专业人员持续的进行整治,对不法分子的打击力度也可以适当加大,防止死灰复燃,从根本上减少、解决信息安全管理的麻烦,降低信息安全管理存在的威胁。5.加大扶持力度。企业是地方税收的重要来源,烟草行业由于需求量大,是值得相关部门重视的,很多烟草公司在信息安全管理上缺乏人才、技术,当地相关部门可以在条件允许的情况下进行扶持,保证烟草企业良好的发展,对于部分偏远地区、经济欠发达地区,当地相关部门也可以在条件允许的情况下在资金上给予一定补贴。6.企业本身也应加强管理。部分企业资料库的管理权限混乱,这不但给自己的管理造成麻烦,也给不法分子提供了可乘之机,应该加强自身管理,信息安全问题尽可能由专门的人员负责,资料库密码等只由专人负责,不能扩散、外泄,如相关工作人员离职、调动,也应妥善安置好交接工作。7.重视安全防范工作。部分企业在平时疏于管理,当问题出现时临时补救,往往无法挽回损失,有鉴于此,加强防护工作迫在眉睫,信息安全管理工作应有专员负责,同时建立审查制度,每隔一段时间,对信息安全防护措施进行一次检查,确保信息安全时刻都可以得到保证。

五、结语

在网络发达、信息技术使用广泛的情况下,信息安全管理是各行业工作的重要内容,烟草行业虽然实行国家专卖专营制度,伴随着互联网信息技术的使用,经济效益显著提高,但由于烟草行业本身商业价值巨大、影响广泛,信息安全问题绝对不容一丝马虎。只有充分保证信息安全,才能使烟草行业获得更良好的发展环境,创造更多的经济效益。

参考文献:

[1]朱益旻.烟草行业信息安全风险分析与控制策略研究[J].中国管理信息化,2015,24:182.

[2]宋朋飞.烟草行业信息安全管理的要点与对策探索[J].产业与科技论坛,2016,19:238-239.

[3]辛友顺.新形势下烟草行业信息安全的建设思路[J].信息与电脑(理论版),2015,09:106-107+111.

篇5

 

如今,社会的发展、企业的运用以及人们的生活已离不开现代计算机信息技术,而且对计算机网络的依赖性愈来愈强烈。计算机成为从现代社会必不可少的工具,但其存在的信息安全隐患不容忽视,商业机密、用户信息、账号信息等无一不涉及计算机网络技术。由此可知,加强对计算机信息安全管理,制定安全管理策略成为当前的重要任务。通过对当前计算机信息安全管理问题的分析,得出了相应的管理策略。

 

一、当前计算机信息安全中存在的问题分析

 

(一)计算机信息安全技术问题。计算机信息安全问题的出现,很大一部分取决于计算机信息安全技术的防护程度不够,容易致使病毒、黑客等的侵入,对计算机的信息安全构成威胁[1]。黑客、病毒、恶意软件的入侵,会导致原有的计算机系统瘫痪,安全技术不到位,计算机的安全防线会被攻破,进而感染计算机病毒或者信息被泄露,出现了一系列的信息安全问题。另外,在进行数据传输时,隐私、信息会存在泄密的危险,若创出系统不够严密,随时会受到病毒的侵扰,用户的信息安全备受威胁。以上种种信息安全问题都归咎于信息安全技术不够严密,数据安全受到严重威胁。

 

(二)计算机信息安全管理问题。在计算机信息安全管理中,用户对信息管理的重视程度不够,缺乏足够的信息安全管理意识,往往忘记备份,一旦数据丢失,会造成不可估量的损失。另外,缺乏严格的计算机信息安全管理制度,没有对账号、密码等重要信息重点管理,都是计算机信息安全管理中存在的重要问题[2]。现代企业的发展离不开计算机信息网络技术,随之带来的安全问题频发,而一些工作人员却没有做好信息安全的应对措施,当问题出现时,缺少应急方案,最终导致数据遭窃取或丢失。

 

二、加强计算机信息安全管理的有效策略

 

(一)优化计算机信息安全技术。(1)采用数字加密技术。为了加强计算机信息安全管理,优化计算机信息安全技术,采用数字加密技术,为保护计算机信息安全增添屏障。数字加密技术是利用数字来锁定信息、数据,保证数据在传输的过程中不会被窃取或泄露,整个传输过程都处于加密状态,只有破解数字才能得到信息,是保障信息安全的有效方式。采用数字加密技术,可以将重要信息隐藏起来,利用数据水印、指纹等方式实现对数据的隐藏,以提升数据的安全性,是计算机信息安全技术中实用性最强的安全技术。(2)采用防火墙技术。防火墙技术,顾名思义,就是利用防火墙这个屏障来阻挡病毒、木马、黑客、恶性软件等,以达到保护计算机信息的目的[3]。防火墙通过对数据、信息的过滤,对信息的安全性予以分析和鉴别,将可疑性对象阻隔在外,实现对非法入侵者的控制和管理,以防止外部用户对内部网络的访问,以避免出现信息窥探或丢失的情况。防火墙具有很强的阻隔性,将网络分成内部网络和外部网络,注重对恶意信息的过滤,将携带非法身份的对象遏制在外。同时,也要对计算及网络的IP地址和MAC地址予以绑定,以免出现利用假IP地址侵入计算机系统。(3)采用入侵检测技术。在计算机网络的运行过程中,应安装入侵检测系统,一旦有黑客、木马、恶意软件靠近,就会被检测出来,然后做出积极的应对措施,将其阻隔在外,避免对有效信息的窥探和窃取。入侵检测技术具有很强的防御能力,能对非法对象的侵入做出积极的反应,达到保护计算机信息安全的目的。

 

(二)提升计算机信息安全管理水平。(1)提升用户信息安全管理意识。计算机信息安全问题的不断出现,与用户的信息安全管理意识是密不可分的。因此,为了加强对计算机信息安全的管理,应从用户本身着手,提升用户对计算机信息安全重要性的认识,在利用网络平台时,应增强个人警惕性,注意要将自己的重要信息进行加密保护,尤其是账号、密码、身份证号等信息,以避免造成信息泄露或被盗窃的现象。(2)提高网络人员的专业素质。为了实现对网络信息的安全管理,应注重对网络安全人员的专业培养,加强对相关人员的培训,能对网络信息安全中可能出现的各种安全问题进行预测,会使用网络信息安全技术,维护好计算机信息网络。当出现问题时,能做出专业性判断和反应,加强对网络安全人员的安全意识和安全维护能力的培养,注重对工作人员操作技术的培养和业务培训,以此来提升网络人员的专业素质。(3)做好信息、数据的备份工作。为了实现计算机信息安全管理,应时刻做好信息备份工作,一旦出现信息丢失,可以立即恢复[4]。对信息、数据进行备份工作,将确定不再修改的信息刻录在光盘中保存起来;对不确定的信息,可以放在移动硬盘里;对于其他不重要的数据,可直接保存在计算机中。做好数据的备份工作是一项艰巨的任务,尽量多备份几份,以免出现其他方面的问题,对计算机的信息产生干扰。

 

三、结束语

 

通过对当前计算机信息安全管理问题的分析,了解管理中的重点、难点,明确计算机信息安全技术中存在的问题,制定出有效的应对措施。为了实现对计算机信息安全管理,优化信息安全技术,优化信息安全管理对策,严格要求计算机操作人员的专业素质,实现对信息、数据的备份工作,以免出现数据丢失,后果不堪设想。通过采取一系列的安全措施,能保证计算机信息安全,是信息技术行业的一大进步。

篇6

随着当前我国部队只能新方向地延伸和拓展,部队始终担负着处置突发事件的任务。同时,在社会突发事件不断增加的背景下,更应注意部队处置突发事件信息安全管理工作。部队处置突发事件的方面,通常情况下,处置突发事件行动的对象都相对复杂,行动的规模也较小,其处理的方式应便于实现控制才行。加强理论研究,深入探索信息管理指导规律,有利于部队提高处置突发事件的效率,缩短处置突发事件的时间,降低突发事件带来的不利影响。

(二)完善预案体系,提升信息安全管理的应急处置能力。

只有有效地确保部队处置突发事件信息安全管理工作,才能进一步针对部队处置突发事件行动过程中信息管理工作中的薄弱环节进行完善。提升信息安全管理的应急处置能力,才能更好地完善部队处置突发事件工作中存在的问题。通过完善预案体系,提升信息安全管理的应急处置能力的方式,可以根据突发事件的复杂情况,快速地制定出详细、周密的处置突发事件的信息管理预案,降低处理工作的难度。同时,可以通过提前制定的信息管理预案,进一步把握信息保障的主动权。

(三)建立军地信息安全联合管理机制。

在实际工作中,建立军地信息安全联合管理机制,是部队成功处置突发事件的重要保障之一。我们都知道,部队需要处置的突发事件大多都是时间紧、要求高、节奏快,各项任务的准备和完成时间都必须在短时间内完成,并且大多直接与地方紧密接触。信息安全管理的工作必须得到重视,才能在有效的时间高效的完成突发事件的处置过程。在部队处置突发事件的过程中,经常会与许多的境内外媒体与救援团体进行合作,他们的帮助在一定程度上也给我军的信息安全管理带来了一定的挑战。因此,部队在处置突发事件的时候,应建立军地信息安全联合管理机制,充分利用军内外的信息安全管理资源,提高信息的安全性。

(四)强化信息安全管理监控网络体系。

在实际工作中,部队处置突发事件的时候,要继续发挥各级保密委员会的作用,经一部加大里工作力度。强化信息安全管理监控网络体系,需要安排专人负责信息安全管理的工作,防止信息秘密发生外泄,增加突发事件的处置难度。强化信息安全管理监控网络体系,可以在一定程度上提高信息安全管理的工作水平,并在网络技术的支撑下,利用科技手段,提高部队处置突发事件的效率。

(五)成立权威信息安全管理领导机构。

综合目前的工作实践经验可以看出,信息安全管理工作可以为部队处置突发事件行动“保驾护航”。通过发挥计算机技术、网络技术及通信技术,提高有效信息的利用率,为部队领导做出决策提供可靠的依据,有效提高部队处置突发事件的效率。成立权威信息安全管理领导机构,主要是部队在处置突发事件的过程中,部队的各级党委都应加强对信息安全管理的组织领导工作,成立权威信息安全管理领导机构,由军政部门进行有效的信息安全管理。其次,部队在执行任务的时候,必须切实落实信息安全保密管理制度。并根据处置任务的实际情况,分析信息安全保密管理的形式,对于涉及到的相关文件、指挥自动化系统等重点进行信息安全评估确保信息安全。

(六)注重媒体效应,增强新闻宣传舆论导向作用。

篇7

企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。

企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。

所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。

2.P2DR模型

P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。

(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。

(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。

(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

(1)确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。

(2)确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。

篇8

数字化档案是档案与现代化的技术有机结合的新型档案信息形态,将档案信息转化成数字信息,应用现代化技术的便捷性,将档案信息进行归档、利用以及资源共享等。这里所说的现代化技术主要包括计算机技术、扫描技术、OCR技术、数字摄影技术、数据库技术、多媒体技术、存储技术等。

2数字档案信息安全问题相关分析

对于档案信息本身来说,无论是传统的档案存储,还是现代化的数字档案,安全问题都是首要问题。由于现代化的数字档案是传统档案与现代化技术的结合,所以影响档案信息安全问题的因素较多,这些因素的出现,对数字化档案信息安全造成了不同程度的影响。以下是对数字档案信息安全问题的具体分析。

2.1数字档案信息的安全管理。

档案信息安全管理问题是决定数字档案信息安全的直接因素。如果安全管理方面存在缺陷,例如制度的不完善、标准不统一、管理措施无效等,必然会失去数字档案信息的基本保障。所谓的数字档案信息安全管理主要包括管理制度、标准、管理措施,不仅如此还包括数字档案信息归档流程等,相关流程不规范也会使数字档案信息安全问题受到威胁。

2.2计算机故障问题。

由于数字档案信息的归档及利用均以计算机为载体,所以计算机本身的不确定因素会影响数字档案信息安全问题,其中计算机故障问题是影响数字档案信息安全的主要问题,其中计算机故障又包括硬件故障与软件故障。以下是对两种故障的具体分析。

2.2.1硬件故障。

计算机硬件条件良好时数字档案信息安全问题的基本保障,当计算机硬件发生故障时,数字档案信息的存储、查询、利用等就会受到较大的影响,其在一定程度上导致档案信息的丢失或损害,影响了档案信息的完整程度,大大降低了数字档案的使用质量与效率,为使用者造成较大的不便。

2.2.2软件故障。

计算机的软件是处理数字档案信息的必要条件,一旦计算机软件出现故障亦或是性能无法满足现阶段数字化档案信息系统的要求,档案信息的处理能力就会大大下降,工作质量与效率也会随之下降,而数字化档案信息本身也无法发挥最大作用。计算机软件故障直接影响数字化档案信息系统的操作,但是与计算机硬件故障相比较,其发生故障的几率较小。

3探究数字化档案信息安全管理相关策略

前文已述,管理问题直接影响着数字化档案信息安全,故而要确保档案信息的安全,首先要从管理策略方面抓起。以下是对数字化档案信息安全管理相关策略的具体分析。

3.1加强数字化档案宏观管理。

加强数字化档案的宏观管理档案数字化工作是一项技术性、专业性、综合性很强的工作,必须加强领导,统一思想,建立健全组织机构,比如建立专门的档案数字化、信息化、网络化协调组织机构,组织国家档案信息网络的总体设计与技术攻关,加强档案信息网络一体化的宏观管理。档案数字化工作要纳入科学管理体制,作为机关管理工作的一部分,制定相应的工作分工范围及管理权限。

3.2完善相关管理制度。

在完善管理制度时,要综合考虑各种因素对数字化档案信息安全的影响。在人员安全管理方面,要设立具体的安全审查制度、岗位安全考核制度、安全培训制度等。对已经存储的数字信息均应进行密级分类,对敏感信息与机密信息应当加密并脱机存储在安全的环境中,防止信息被窃听、变更与毁坏。在系统安全运行方面,要做好机房出入控制、环境条件保障管理、自然灾害防护、防护设施管理、电磁波与磁场防护等工作。设立操作安全管理、操作权限管理、操作规范管理、操作责任管理、操作监督管理、操作恢复管理、应用系备份管理、应用软件维护安全管理等制度。从技术上防止文件被人为地修改,增强电子文件的凭证性和可靠性。

3.3计算机安全管理。

由于计算机故障对数字化档案信息安全造成较大的损害,所以要做好计算机安全管理工作。应根据数字化档案信息系统的实际情况选择性能良好的的计算机硬件和软件。在选择计算机硬件和软件的过程中应注重计算机的品牌和服务器,全面对计算机硬件的兼容性和可扩展性进行一定的审核,这样做的目的是为了避免当计算机系统在升级时数字化档案信息的相关数据丢失。不仅如此,还要定期更新软件,选择更有利于处理数字化档案信息的软件,确保最大程度上发挥数字化档案信息的优势。

3.4信息技术安全管理。

依靠数字化档案信息安全管理人员在强度安全管理是不够的,还需要现阶段科学信息技术援助。为了保证数字化档案信息数据的安全,在数字化档案信息安全管理工作中可以运用一些先进的科学信息技术来提高数字化档案信息安全。例如,可以设置信息的访问认证,防病毒系统,同时也对数字化档案信息相关机密数据进行加密操作,以数据加密的形式,可以有效地防止数字化档案信息数据被一些木马病毒和被非法网站入侵,进行安全管理对保护数字化档案信息安全是非常有效的。

3.5提高管理人员的专业素质。

管理人员的专业素质对数字化档案信息安全管理来说至关重要,故而提高管理人员自身专业素质也是安全管理中的重要策略。相关的工作人员利用电子设施在网络环境中开展对应的相关工作,对相关的数字档案实现有效地管理,也就是个相关人员自身的能力大小对相关的数字档案工作的安全性有着比较大的影响。这就要求在具体的工作中,相关的数字档案管理人员要熟悉管理方面的相关专业理论,还要在具体的工作中树立其较强的管理安全意识,不断充实自己,提高数字化档案安全管理的实践工作技能。一旦工作中内部成员想要泄露档案信息,相关的管理人员就要切实提高警惕,有效的增强风险思想,确保信息在实际的工作中受到严密的保存;与此同时,有关的组织机构还要组织针对性的人员培训活动,有效地提高相关管理人员的安全理念,以此达到万无一失。除了以上几种管理策略之外还存在着其他管理策略,例如规范数字化档案信息归档存储流程,确保数字化档案信息的真实性与完整性,进一步确保数字化档案信息安全。

4结束语

篇9

关键词:信息安全管理体系;信息资产;业务连续性;风险评估

中图分类号:TP393.08 文献标识码:A 文章编号:1001-828X(2014)08-0136-02

当前,随着税务部门管理和服务水平不断提升的客观需要,加强对税收核心业务系统和关键信息资产的保护,成为信息化工作中一项十分重要的使命。

本省地税部门信息安全现状及面临形势

(一)取得的成绩

多年来,本省地税部门在认真学习贯彻国家税务总局和各相关主管部门颁布的信息安全管理制度、政策法规及技术标准基础上,结合工作实际,陆续颁布、制定了一系列信息安全管理办法与措施,具体包括:

1.安全管理制度方面,制定了涵盖物理层、网络层和主机系统层的管理制度,总体目标、范围、方针、原则和责任基本明确。

2.安全管理机构方面,建立了信息安全领导小组,配备了具有一定安全管理能力及技术能力的系统管理员、网络管理员、安全管理员等。

3.人员安全管理方面,在内外部人员录用前,对被使用人的身份、背景和资质等进行严格审查,按期组织信息安全岗位知识技能培训。

4.系统建设管理方面,严格遵照信息系统安全等级保护要求制定建设方案,并对定级结果的合理性和正确性进行论证和审定。

5.系统运维管理方面,对各种设备运转情况进行定期检查和实时监测、报警,权限设定遵循最小化授权原则,有配置变更管理的审批流程,对重要应用程序和数据库进行定期备份。

(二)存在的不足

通过近期开展的风险评估工作,暴露出本省在信息系统安全方面还存在着一定程度的不足,主要是:

1.在安全管理方面,已制定的各项管理规定缺乏全面性、系统性,要求规范与实施细则未能很好的实现层次划分;有些制度、标准更新不快,缺乏可操作性,对基层的指导作用不十分明显;信息安全责任制度还需要进一步细化和落实。

2.在安全技术方面,现有机房空间环境已不能完全适应税收业务发展的需要;部分网络、安全设备老化需要更新,部分核心业务网络还未进行功能区域的细分,操作级的审计管理还不尽完善;应用系统开发中的安全机制尚不健全,身份认证等安全技术手段还未得到全面应用。

3.在安全运维方面,现有巡检工作中不包括安全技术措施的有效性检查等内容;网管、动环、安管等监控系统还基本处于独立运行状态,对于网络或系统故障缺乏关联性分析,未能形成统一的监控、分析、处置策略;尚未结合实际业务制定出操作性较强的应急预案,未进行过应急演练。

(三)面临的形势

随着经济的持续发展和国际地位的不断提高,我国基础信息网络和重要信息系统面临的安全风险日益严峻,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞进行网络盗窃、网络诈骗、信息系统破坏等违法活动,给国家政治、经济和社会生活造成严重负面影响。中央已经将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。税务信息系统作为政府信息系统的重要组成部分,其安全运行不仅关系到政府机关的形象和税收业务的持续运行,还关系到社会稳定和国家安全。

提高税务信息安全保障能力的有效途径

国家税务总局在“金税三期”项目建设中明确提出,要高度重视信息安全保障工作:按照“四防”工作要求,进一步推进“人防”,做好信息安全教育培训工作;认真落实“制防”,推进信息安全标准体系和管理制度建设;稳步提升“技防”,持续保障“物防”,做好安全防护体系建设和运行管理工作。因此,构建符合信息系统运行需要的信息安全管理体系,对进一步加强税务部门内部网络的整体安全防护能力,全面提升信息安全管理水平,就显得尤为重要。

信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系。

信息安全管理体系的建设可以提高税务干部的信息安全意识,规范各层级的信息安全行为;对组织的关键信息资产进行全面系统的保护,在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;在税收各项工作顺利开展的同时,提高社会公众对政府部门的公信度;另外,通过信息安全管理体系建设,可以有效加强对信息技术风险的管控,通过与信息安全等级保护、信息技术风险评估等工作的融合与衔接,使信息安全管理更加具有科学性和系统性。

税务信息安全管理体系建设实践

税务信息安全管理体系的构建,应结合税收改革发展要求,根据信息化工作职责,制定相应的策略,并最终实现总体的信息安全目标。

(一)基本定位

1.在策略制度层面,形成从方针策略、到要求规范、操作规程直至记录表单在内的层次化文件体系,为信息安全管理体系奠定技术基础;

2.在组织建设方面,建立决策、管理、执行和监督多维的组织架构,明确信息安全相关角色和职责,奠定信息安全管理体系的组织基础;

3.在风险管理方面,通过风险评估和处置过程,建立起全面的信息安全内部控制,结合信息安全事件管理和业务连续性管理,确保从整体上将信息安全风险控制在可接受水平;

4.在人员意识方面,通过有序组织信息安全培训及相关意识宣传活动,确保人员具备基本的信息安全意识和操作技能;

5.在支持保障方面,建立起内(外)部审核、管理评审、有效度量、日常检查等多项检查监督机制,确保信息安全管理体系的持续运行和改进有着推动和保障基础。

(二)设计原则

1.体现全面的特性。信息安全管理体系是一个涵盖各个方面的工程,它要求多角度、多层次,从各个环节人手,进行系统的考虑和规划。任何环节上的缺陷都会对信息系统构成威胁,要实现信息安全目标,必须保证构成信息安全管理体系这只“木桶”的所有木板都达到一定的标准。

2.体现持续改进、动态发展的特性。信息安全管理体系不仅仅是一套全面的规则集合,而且还是在体系建设与实施过程中与所有利益相关者的互动过程。另外,环境的动态性也决定了体系建设的动态性。因此,在体系架构设计和实施中应遵循PDCA的模式,通过P(策划)、D(实施)、C(检查)、A(纠正)这四个步骤的循环运行,使信息安全管理水平获得可持续性的发展。

3.以保证业务连续性为根本目标。信息安全管理必须为业务服务,脱离业务的信息安全管理也就失去了其真正的意义。因此,保证信息系统的正常运行,进而保障业务的连续开展,是信息安全的根本目标,也是信息安全管理体系的根本目标。

4.领导重视、全员参与的原则。在信息安全管理体系的建设中,应由最高管理者确立统一的信息安全方针、政策和方向,创造并保持使员工能充分、积极地参与实现信息安全战略目标的内部环境;全体员工应明确自己在信息安全管理中的职责,积极参与信息安全管理体系的建设。

5.技术与管理并重的原则。信息技术是信息安全管理的手段,信息安全管理是利用信息技术实现安全目标的保障,在信息安全管理体系中,技术与管理同等重要,缺一不可,忽略任何一方都会阻碍信息安全工作的开展。

(三)总体架构

在税务信息安全建设中,包含了信息安全管理、信息安全运作、信息安全技术三方面内容。信息安全管理体系则处于“管理一运行一技术”三元架构的最上层,包含信息安全政策、规范与标准、指南与细则等,从人员、意识、职责、监督等方面,保证并指导下一层级的顺利运行。其建立和完善,应充分依据国家标准和税务行业规范,以融合化和层次化为指导,并最大化地整合现有资源,基本框架模型,可分为五层:

第一层,总体方针,是由省局信息安全领导小组签署的书面文件,其目的是明确信息安全管理工作的总体目标、适用范围、总体方针和原则等方向性纲领性文件。

第二层,管理要求,是省局对全系统提出要求的管理性文件,包括安全组织、资产安全、人员安全、信息系统安全等各个方面。

第三层,标准规范,是针对管理要求中提出的内容,制定的对共同使用和重复行为进行指导或规范的文件,文件可以由省局制定,也可以由基层单位制定。

篇10

关键词:网络信息;安全管理;管理制度

中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 11-0000-01

The Study of Computer Network Information Security Management

Yang Liu

(Dazhou Institute of Technology,Dazhou635000,China)

Abstract:The Information technology and network gradually penetrate into the socio-economic sectors and number of key areas,and play an increasingly important role.Therefore,the establishment of the network security system and ensure the safety of users is currently the main content of network information management,has important social significance and economic significance.

Keywords:Network information;Security management;Management system

随着信息技术的发展,信息网络正在越来越多地融入到社会经济的各个方面。在经济方面,以互联网技术和电子商务为代表的网络经济日益发展,已成为人们生活不可缺少的部分。但是,由于互联网是一个开放的平台,用户越来越多样化,导致出于各种不同目的的网络入侵和攻击越来越频繁。本文从计算机网络信息管理出发,探讨了网络环境下的信息安全管理途径,为提高网络信息安全提供一点参考。

一、影响网络信息安全的主要因素

信息的安全性一直是网络的薄弱环节之一,如果网络信息的安全问题得不到解决,对上网企业和用户造成巨大的经济损失和经营风险。但归结起来,主要的影响因素主要有几下几个方面:

(一)网络信息的保护意识缺失。网络信息的安全需要所有人的共同维护,只有大家的安全意识都得到全面提高,网络信息安全问题才能得到根本的解决。由于缺乏安全意识,有些用户的无意行为,如授权管理人员的安全设置不正确导致不应进入网络的用户接触到信息,导致信息的泄露等,都会对网络系统造成极大的影响和破坏。

(二)信息安全保护手段有待提高。计算机病毒一直是网络信息安全最直接和影响最广泛的威胁因素。互联网的高速发展也为病毒的迅速传播提供了途径和平台,使得一些高危和破坏性的病毒很容易通过各种网络服务器以邮件接收、软件下载、网页木马等形式进入用户电脑,窃取用户重要信息,给互联网的发展造成了巨大影响

(三)互联网系统完整性需要加强。现阶段,来自网络外部的攻击,如修改网络数据、窃取和破译机密信息等危害信息安全的行为时有发生,这主要是因为现在的信息系统常常会出现各种漏洞。虽然操作系统的设计者及各种网络软件不可能完全克服各种安全漏洞,但是由于安全漏洞极容易受到病毒和木马的攻击,常常给用户造成巨大的损失。因此,系统是设计者应该格外重视系统完整性的构建,尽可能的修复系统可能存在的各种安全漏洞,预防信息受到外界因素的影响。

(四)重要信息的网络传输和存储方式有待创新。对机密资料而言,企业通常将其存储在网络系统内,往往具有较高的安全风险。当信息系统受到外界攻击时,很容易导致安全保护手段实效造成信息的泄露。与此同时,在信息的传递构成中,往往出现信息丢失或被窃取的情况,给用户造成非常巨大的损失。作为第三次产业革命的代表,互联网技术为经济发展提供了强劲的经济增长点。要维持信息经济的稳定和健康发展,必须积极加强网络信息安全管理。

二、加强计算机网络信息安全管理的途径

随着信息技术的发展,信息技术的创新已经成为利用先进技术手段改变和提升企业效率的一个重要方面。如何保证企业在享受信息化带来效率和竞争力的同时,认清信息系统存在的潜在威胁,并适时采取强有力的安全保证策略,成为摆在面前的重要任务。笔者关于加强网络信息安全管理的建议,主要包括以下几点:

(一)建立完善的安全管理制度。如何保证网络信息持续稳定和安全,最基本的工作就是要网络的安全制度管理的建立,这是一切安全管理的基础。信息安全的管理制度在保证用户信息安全性和完整性方面具有非常重要的作用,一方面有助于规范网络环境下信息的运行机制;另一方面有效的信息安全控制程序在一定程度上可以弥补产品在安全性方面的不足。信息安全管理制度的建立需要企业根据自身的情况对业务流程和日常业务操作进行深入的研究和分析,发现控制薄弱点,制定完善有效的安全保密管理制度和管理策略。

(二)企业应设立专门的信息安全管理机构。信息安全管理工作离不开利息管理部门的监督和管理。信息安全管理机构可以遵照垂直管理原则,并按照国家信息系统安全的有关法律和法规,指导日常信息安全保障工作。

(三)积极创新保护技术,实施多重技术保护。随着互联网技术的飞速发展,影响网络安全的因素也越来越多。信息安全保护技术要适时根据系统安全性的要求,进行不断创新和发展,保护网络信息的安全。通常而言,保护网络信息安全的主要技术有防火墙技术、安全评估技术、入侵检测技术、加密技术、防病毒技术、身份认证技术等。对于授权管理而言,作为安全保密的重要部分,一方面要不断完善已有的安全保密技术措施,同时还要定期对现行的安全授权设置予以监督和检查,避免出现影响信息安全的隐患。

(四)加强员工培训管理,提升员工安全管理意识。由于网络工作人员既是网络的具体使用者,也是网络信息安全的需求者,因此,加强员工的信息安全意识培训具有重要的作用和意义。信息安全管理人员的工作内容包括有系统的安全分析、办公自动化的操作、系统安全的管理、安全设备的操作以及软硬件维修等。网络安全管理人员应积极通过各种机会,不断提升自己的安全意识和风险管理能力,提升企业信息的安全保障能力。

四、结束语

由于网络技术应用的逐步深入,网络安全管理工作越来越关键,因此完善的计算机网络安全管理显得十分重要。在分析影响企业网络系统安全体系的时候,应结合企业的具体情况,从制度出发,建立完善的风险管理程序,才能实现真正意义上的网络系统安全,把网络安全风险降低到最低程度。