信息安全与信息管理范文
时间:2023-10-12 17:18:52
导语:如何才能写好一篇信息安全与信息管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
1.前言
伴随着计算机和因特网为代表的信息技术的迅猛发展,我国信息化水平有了很大提高,在信息安全方面的发展也很迅速。信息安全问题在信息化发展过程中日益凸显出来,因为信息一旦受到安全威胁,不仅会使信息系统瘫痪,而且会造成企业巨大的经济损失,甚至会危及公众个人隐私信息和国家政治、经济、国防等信息的安全性。目前,我国的信息安全产品市场规模已经超7亿人民币,专门从事信息安全产品生产的企业已过1000家[1]。
信息管理与信息系统专业是管理科学与工程学科的一个重要组成部分,是由信息技术、管理科学和系统科学交叉形成的前沿学科,它运用管理学、运筹学、系统科学和经济学的知识和方法,通过以计算机为基础的信息系统来实现各种管理活动和信息处理业务。该专业培养的人才在信息化建设中主要负责信息系统运行管理和伴随企业成长而不断更新信息系统的使命,人才的就业岗位归属于各种组织(企业)的信息中心或管理行政部门[2]。信息化的发展引发了信息管理与信息系统专业的发展,同样带来的信息安全问题也进入了管理学科的研究范围。在管理学科专业中开设信息安全课程,也是学科建设的需要[3]。但是就目前在专业设置方面提出的信息安全课程内容框架基本上都是针对计算机学科下的信息安全专业而设置的[4-6],信息管理与信息系统专业不等同于计算机专业,最大区别在于更加强调各种信息安全技术和方法在实际管理问题中的应用。另一方面,同经济管理类专业相比,该专业更加强调使用计算机工具,用工程化的思想来实现信息化的管理。因此,在信息管理与信息系统专业中开设信息安全课程,要具有专业针对性并结合专业特色展开课程内容的教授和课程实验的设置。
2.我国信息安全教育现状
2.1信息安全人才缺乏。
2000年武汉大学创建了全国第一个信息安全本科专业,我国从此开始了信息安全本科生的培养。但是由于我国信息化产业的快速发展,对信息安全人才的需求远远不能得到满足。在2006年10月27日的第二届“全国信息安全学科专业建设与发展研讨会”上,许多专家呼吁要加大信息安全人才的培养[7]。信息安全是一个以信息安全学为核心,以信息技术学、信息工程学和信息管理学为支撑,以国家和社会各领域信息安全防护为应用方向的跨学科的交叉性学科群体系[8]。当前我国对信息安全人才的需求主要分布在政府、工商、电信、银行、军队、公安、交通、教育与科研、信息产业和一般企业。从人才需求分布看,不仅是计算机学科中需要设置信息安全专业,其他的交叉学科同样需要设置信息安全相关课程。
2.2信息管理与信息系统专业中开设信息安全课程的必要性。
信息管理与信息系统专业旨在培养企事业、政府的技术部门、经济部门或管理部门中从事信息系统的分析、设计、开发、利用和维护的应用型技术人才和从事信息化项目和信息资源开发利用的应用型管理人才。而信息安全问题具体涉及信息基础建设、网络与系统的构造、信息系统与业务应用系统的开发、信息安全的法律法规、安全管理体系等。不难发现,信息安全问题存在于信息技术的各个层次中。可以说,信息安全课程是研究信息、信息系统及信息系统应用领域的一门应用学科。因此,培养信息管理与信息系统专业的学生有必要学习信息安全知识,并需要将信息安全思想同信息系统有效结合并应用。
3.信息管理与信息系统专业中信息安全教学探索与实践
3.1针对专业特色,整合教学内容。
信息安全主要包括系统安全和数据安全两方面,所用技术有密码学、访问控制、防火墙技术、病毒查杀技术、身份认证技术、数字签名技术等,这也构成了对应的课程内容。在众多技术中密码技术是信息安全的核心。数论知识是密码学技术中必不可少的关键技术,在信息加密处理、公开加密算法的编写、密钥管理中都有不可或缺的应用。而数论基础知识对信息管理与信息系统专业的学生来说,具有较大难度。如果在课程开始就教授数论知识,会让学生倍感枯燥,难以调动学生学习的兴趣和主动性。
根据该专业侧重于信息管理与信息系统设计实现的专业特点,按照循序渐进、注重实际应用的原则,整合已有的信息安全教材,组织教学内容。在介绍密码学原理之前,首先给学生介绍密码学的发展历史,让其了解现代信息安全与密码的发展情况,同时体会到信息安全与密码学、数论知识密不可分。对数论部分内容作合理选择,在教授公钥加密体制时选择对应的数论知识进行介绍,如在重点讲解RSA加密算法时,选择运用到的数论知识――同余式、欧拉定理、模运算法则、大整数分解方法、相关免疫函数密码、素性测试算法进行详细介绍。结合信息系统开发和设计的实际应用,将访问控制、防火墙技术、病毒查杀技术、身份认证技术等技术同具体的信息系统相结合,让学生深刻感受到信息安全技术应用到信息系统中的重要性。
3.2理论验证和工程训练相结合,设置课程实验。
实验教学作为教学过程中的重要环节,不但有助于学生对理论知识的理解和应用,而且可以提高学生的动手能力和对知识的运用能力。信息安全的基础是各种信息技术,在这个领域中,工程应用占了相当大的比重,因此在本专业中的信息安全课程的实验部分需要加大面向工程应用的实验设置。
实验教学主要分为基础验证实验和综合设计实验两个层次。基础验证实验主要是对课程教授内容中的基本原理进行设计实现,使学生能对所学内容全面掌握并加深理解。鉴于信息管理与信息系统专业的学生具有一定的编程基础,基础验证实验主要要求学生对具有代表性的古典加密算法(如Playfair密码和Vigenere密码)和形成现代密码体制的经典数学方法(如辗转相除法求最大公约数,解同余方程等)用计算机高级语言实现,同时验证防火墙技术和数字签名技术在信息系统中的应用。综合设计实验要求学生能运用已学的先行课程知识,结合本门课程,采用工程化的思想,设计出一个完整的具有实际运用意义的信息系统,如设计实现基于Web的考试报名系统,并选择加密算法对用户密码进行管理,对用户报名照片添加本系统专有数字签名水印,同时学生可以自由选择和应用已有的信息安全知识自行设计系统的延伸功能。基础验证实验和综合设计实验在总实验学时中的比例是3∶7。实践证明,综合设计实验有助于加强学生动手能力和创新能力的培养,同时锻炼了学生的思维和操作能力,激发了学生的学习兴趣,使学生充分发挥了学习主动性。
3.3多项指标构成课程考核评价结果。
学生得到的课程成绩将不再仅仅是考试成绩,而是由多项指标构成。包括:第一,学生在基础实验过程中独立完成的情况。第二,在综合实验中允许学生分组,让学生提高与他人协调工作能力的同时,注重发挥自己在团队里作用,综合实验成绩按照学生在团队中相对应的工作及其完成情况决定。第三,学生需要完成课程认识报告,是对本课程学习情况的总结,选择所学内容中感兴趣的方面做深入研究形成报告的主要内容。第四,课程结束后的考试成绩。由这四部分构成学生最终的综合成绩,使学生不再拘泥于学习课本知识,更加注重动手实践能力,将课本所学应用到实际信息系统工程中去。同时以小组为单位,更加锻炼组织协调及与人沟通的能力。
4.总结
本文针对信息管理与信息系统专业特点和信息安全课程教学内容,根据目前我国信息安全课程教育现状,对在该专业下设置信息安全课程方式进行探讨。教学实践证明,整合教学资源,具有专业特色的实验设置和多项指标构成的评价体系,更加能够提高学生的学习兴趣和主动性,加深学生对信息系统工程化思想的理解,锻炼团队学习工作能力,从而大幅度地提高教学质量。当然,信息安全是一门跨学科、涉及面广的综合性学科,如何更好地结合本专业的其他基础课程及所涉及的交叉学科课程,同时兼顾专业特色,更好地提高教学质量,还需要我们继续努力。
参考文献:
[1]禹金云,罗一新.我国信息安全的现状及对策研究[J].中国安全科学学报,2006(1).
[2]刘秋生.信息管理与信息系统专业建设探讨[J].中国管理信息化,2007(7).
[3]王英.管理学科信息安全教学研究[J].信息安全与通信保密,2008(1).
[4]马建峰,李凤华.信息安全学科建设与人才培养现状问题与对策 [J].计算机教育,2005(1).
[5]林柏钢.信息安全专业宽口径培养模式探讨[J].北京电子科技学院学报,2006(1).
[6]吕欣.关于信息安全人才培养和学科建设的思考[J].北京电子科技学院学报,2006(1).
篇2
关键词:网络;会计;安全;管理
会计信息的安全是指会计信息具有完整性、可用性、保密性和可靠性的状态,它来自于会计数据的完整和会计数据的安全,并保证会计信息的持续性和有效性。随着网络的发展,信息技术越来越多的渗透到会计领域,但传统会计软件的设计多是考虑从业务操作功能上满足会计实务的要求,对其安全性的考虑较少。会计信息化的辅助软件虽然具备了强大的信息安全技术,但是又易使人陷入技术决定一切的误区。迄今为止,网络环境下的多种安全技术尚未能够确保信息的安全性。企业只有从技术和管理两方面构建会计信息安全系统,充分考虑技术的持续有效性,重视对安全工程建成后的管理,才能最大限度地保障网络环境下会计信息的安全性。国际信息安全管理标准(ISO/IEC 17799:2005)对于信息系统安全管理和安全认证的分析表明,解决信息系统的安全问题不能只局限于技术。更重要的还在于管理。因此,要让安全技术发挥应有的作用,必然要有适当管理措施的支持。按照该标准(ISO/IEC 17799:2005)“制订自己的准则”的建议,探讨管理对于会计信息安全的重要作用,兼重管理和技术。对于真正实现会计信息安全目标具有重要意义。
一、目前会计信息安全的现状及研究
目前会计实务中的信息安全面临诸多问题。如会计管理越权、不相容岗位分工不清会导致会计信息的损坏:在网络环境下,伴随电子商务的发展而出现的会计数据载体无纸化使会计数据被篡改成为可能:网络本身的安全性问题,则可能会使会计数据在传输过程中受病毒、黑客的威胁等。目前国内被大量使用的传统会计软件主要是代替手工会计核算和减轻会计人员的计账工作量,本身的安全性设计相对较差,当其在网络环境下使用时,上述的某些问题就更加显著。据一份针对英国900家不同类型组织做的问卷调查,1999―2000年有超过一半的政府机构及2/3的民营组织,正面临信息科技的不法入侵、滥用甚至破坏。而对大部分组织而言,信息安全的问题尚无一个明确的解决方案。许多文献针对会计信息安全问题进行了研究,但大多集中在技术方面。如电子数据的存储加密技术、传输加密技术、密钥管理加密技术和确认加密技术、数字签名等。也有很多文献从不同的角度对会计信息安全的管理保障进行了有益的探讨。本文从内部控制,计算机软、硬件管理的角度,参考ISO/IEC 17799:2005推荐的部分控制措施,探讨了针对会计实务的信息安全管理控制方法,结合对信息安全技术应用的分析,阐述了会计信息安全管理系统的构建过程中需注意的几个薄弱环节。
二、会计信息安全管理
(一)内部控制
2002年美国FBI(联邦调查局)和CSI通过对484家公司的调查,安全威胁和安全事件研究统计表明:超过85%的安全威胁来自企业内部。本文先从企业内部分析网络环境下会计安全问题。
1、确保不相容岗位相分离。防止越权。管理越权、分工不清这些问题在传统会计模式下也会出现,但应用信息技术后,信息载体的无纸化等特点使此类问题更易出现且较隐蔽,多数文献指出,实行用户分级授权管理,建立岗位责任制,并赋予不同的操作权限,拒绝其他非授权用户的访问。对操作密码要严格管理,指定专人定期更换密码。在会计实务中可以推广应用生物识别技术,其具有更多优点,比如会计与出纳有不同的权限,拥有各自的密码,因为会计与出纳工作往来频繁,密码被对方获取的情况时有发生,影响了会计信息的安全性。而生物识别技术如指纹只能本人在场的情况下方可操作,并且不存在遗忘或丢失的问题。
2、保障原始数据安全性。信息来源复杂性、接触信息的部门和人员多样性,增加内部控制难度,使原始数据错误、信息篡改的风险加大。例如,原始凭证是进行会计核算的原始资料,是证明经济业务发生的唯一初始文件,有较强的法律效力。在网络环境下,有些原始凭证是通过网上交易取得。如电子单据、电子货币结算等网络经营业务。为使其与纸质原始凭证在安全性上达到同样的功效,多数文献提出的建议是利用网上公证技术及各种加密技术。但以磁(光)性介质为载体的凭证易被篡改或伪造而不留任何痕迹的问题是计算机及网络本身的缺陷,即使是采用了网上公证技术,其法律效力仍无法与印鉴相比,因此其安全性并不能超过纸质原始凭证,作为会计核算唯一凭据的原始凭证,其地位至关重要,所以网上交易完成后必须索要纸质原始凭证,以备核对、保留,尽可能确保会计信息完整性、可用性。
3、保障会计档案安全性。会计档案是唯一保存完整的会计历史资料,是核实已发生会计活动最重要的依据,信息技术应用于会计后,部分会计档案是以磁性介质存储的。若保管、备份策略和方法不合理,会形成会计安全隐患。例如,电子档案存储介质体积小、无纸化等特点与传统档案相比更易于被窃取或泄漏,所以管理人员必须持有上岗证。并且要经常进行档案法、保密法培训。在收集过程中要注意相关设备或软件的收集,使会计电子档案在将来任何时间都可查阅使用。企业备份电子档案的同时。应对已存档的电子档案定期检查、复制。电子档案的定期复制的时间应根据存储介质的性质而定,在不浪费成本同时保障会计档案安全。
2008年6月,财政部公布的《企业内部控制基本规范》第4章明确指出:“内部会计控制的方法主要包括:不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制……”有文献提出,将这些有效的内部控制方法、思想集成在软件功能中。单纯地依靠企业制定的内部控制制度来加以内部控制,当内部人员协同舞弊时,会导致内部控制制度的失效。将内部控制集成在会计软件中可以确保会计信息正确、安全。但将这些有效的内部控制方法、思想集成在软件功能中需要高素质会计人员及熟悉信息技术的人员参与,并且需要投入相当数量的资金。维护容易跟不上,因此现阶段对多数企业来说有一定困难,但资金、人员基础好的企业可以实施;并且要把基于PDCA(Plan,Do、Check和Act)的持续改进的管理模式应用其中。
(二)计算机硬件管理
PC客户端。数据存储设备,网络设备都会影响硬件系统安全。所以应制定主控机房和相应网络设备的管理制度,例如专
机专用。计算机机房充分满足防火、防潮、防尘、防磁和防辐射及恒温等技术要求,关键性的硬件设备可采用双机备份,硬件系统安全预警方案。同时采取相应的激励措施,把相应人员职责列入目标考核,与奖金相对应,提高其履行制度的积极性,确保计算机硬件安全。
(三)计算机软件管理
设计、开发的财务软件系统功能与用户实际操作不相适应,软件存在漏洞。软件售后服务不及时都会影响网络环境下会计安全。因此,在设计、开发和使用财务软件时,应重点考虑会计数据及会计软件系统自身的安全问题,采取的措施能有效确保系统安全运行。保障会计软件安全的具体措施有:
1、身份认证与权限控制。坚持多重登录和多重密码制。只有被赋予一定权限的人员、且密码核对吻合时才能进行相关业务操作,最好采用生物技术。 2、软件升级必须慎重,与原系统有可兼容性,便于查阅往年会计电子档案。
3、定期备份计算机工作日志文件。
4、选择售后服务好、财政部推荐的会计软件企业的产品。
(四)人为因素的管理
现阶段。多数企业的会计人员业务经验丰富。而计算机专业知识和网络知识却知之甚少,不能很好地胜任计算机和互联网相关会计业务处理工作。复合型高素质人才的缺乏制约着信息技术在会计中的应用,部分网络会计人员虽然具备较高业务水平,但缺乏职业道德素质。他们凭借精通网络会计的优势进行非法转移电子资金和会计数据、泄密等活动。多数文献提出要加快调整现行会计教育体系,加大对现有会计人员关于网络会计知识的后续教育。同时由于现阶段我国会计人员不可能通过短期培训就成为复合型高素质人才,所以还要从实际出发,使信息技术逐步应用于会计,在现阶段辅助以传统手工会计,确保会计安全,如电子交易中原始凭证的确认与保留。
三、信息安全技术的应用
网络的开放性使网络易受攻击,网络的庞大性使病毒易滋生、传播,会计更易面临诸如泄密、黑客的侵袭而导致企业跨区域协同工作或与企业合作方网上交易时会计信息被盗或丢失等风险。计算机网络病毒的存在直接破坏系统内重要会计数据,使系统不能正常运行,影响会计数据和信息的安全性和真实性。给网络系统安全带来了极大危害。多数文献指出电子商务的信息安全在很大程度上依赖于技术的完善,这些技术包括加密技术、认证技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术等。但还应该注意以下方面。第一,采用以上技术的过程中需要花费一定的成本,一般情况下,费用是随着安全性的提高而增加的,所以在采用安全技术的同时要考虑成本收益因素。第二。破解安全技术的成本不需大于所保护会计信息的价值。如果盗取信息的人破解密码所花费的费用大于获得信息而得到的收益,将不会去截取信息。第三。好的系统和好的协议必须根据人的观念来进行设计。忽略易用性问题导致系统无法达到预期目标,安全功能非常难以理解,以至于用户无法正确使用,从而避开这些安全功能,或者完全不在使用该系统。第四。在网络本身存在种种安全性问题的情况下,要想保证会计的安全。在利用信息技术快捷的同时,在相当长的一段时间内仍要依靠印鉴来确保凭证、合同的有效性以明确经济责任。
四、结论
会计信息安全不仅依赖于会计信息技术的合理可靠应用。还依赖于一个完善的会计安全管理制度。既有的很多会计信息安全管理制度尚存一些薄弱环节,其完善是一个从实际出发的渐进过程。同时,会计信息技术在我国的应用也将是一个长期的过程,依赖于高素质技术人员的培训及各类相应配套设施的投资和建立。
参考文献:
1、潘婧,网络会计信息系统的安全风险及防范措施[J],财会研究,2008(2)
2、谷增军,基于数据加密拉书的会计电子数据安全对策[J],财会通讯,2008(2)
3、昊亚飞,李新友等,信息安全风险评估[J],清华大学出版社,2007
4、李筱佳,会计信息化对会计实务的影响及对策[J],财会研究,2009(6)
5、金丽荣,会计信息系统的安全控制措施[J],科技资讯,2008(1)
6、尹晓伟IT环境下会计电算化内部控制研究[J],会计之友,2008(11)
7、田志刚,刘秋生,现代管理型会计信息系统的内部控制研究[J],会计研究,2008(10)
8、郝玉清,网络会计的信息安全问题及其防范策略[J],北方经贸,2007(11)
篇3
数字化档案信息在管理的过程中,会受到各种因素的影响,而使得数字化档案信息管理中存在较多的安全风险因素,从而很容易使得数字化档案信息出现丢失。而数字化档案信息的缺失会直接对档案管理事业造成冲击,从而抑制档案管理事业的发展。就我国目前的数字化档案信息存在的安全问题来说,主要包括以下几个方面的内容:
1.1存储介质失效。目前档案数字化后的存储介质主要包括硬盘、光盘、磁带和微缩胶片,但是无论什么存储介质都存在失效的可能,上述存储介质的有效期只有3-5年,如果期间保管不善,其效果还将降低。
1.2计算机硬件故障。就目前的计算机来说,为了能够有效的保障计算机部件使用的安全,需要在计算机中设置相应的保护机制,但是,即使设置相应的保护机制,计算机中的硬件也还是会受到各种因素的影响,而出现故障问题,一旦计算机中的硬件出现故障,就会使得数字化档案中的信息数据出现丢失的问题,从而使得数字化档案信息的完整性受到破坏,不利于提高档案信息的利用率,从而阻碍了数字化档案管理事业的发展。而在计算机种类以及功能不断增强的今天,计算机中硬件出现故障的次数也在逐渐增加,这样的现象更加不利于数字化档案信息的存储和保护。1.3计算机软件故障。数字档案主要是利用计算机来实现数据信息管理管理,利用计算机中的相关管理软件以及相关的数据处理系统来对档案信息进行处理和分析,以期保障数字化档案数据信息的完整性,从而提高数字档案信息的利用率。可以说,计算机相关管理软件的性能将直接决定数字化档案信息的安全,随着计算机相关软件性能的不断提升,数字化档案信息的安全性也在不断的提高。然而,就我国现阶段的计算机软件发展水平来说,其还无法对数字化档案信息安全形成高效的保护,计算机软件会受到来自各种因素的影响,而使得相关软件性能的稳定性无法保障,造成计算机软件出现故障。计算机软件一旦出现故障,就会使得数字化档案信息管理操作受到阻碍,但是相比于计算机硬件来说,计算机软件出现故障的可能性相对较低。
1.4信息安全管理制度不够健全。信息安全来源于多方面,除了直接的硬件和软件安全外,还包括网络、信息保管和人为等,但是在信息安全技术不断增长的过程中,信息安全管理无法跟上其步伐。重建设轻维护、重应用轻数据或备份、重硬件轻软件是信息化的历来问题,如项目建设完成了就高高挂起,直至系统瘫痪,甚至数据无法恢复。
2数字化档案信息安全管理策略
要想使得数字化档案信息安全得到有效的保障,就需要不断的对计算机中的硬件设备进行有效的改进,同时也需要采取有效的保护机制,利用先进的科学防护技术对计算机中的硬件和软件进行有效的保护,从而保障数字化档案信息的安全,并针对数字化档案信息的不同类别,采取不同的安全管理策略,以提升安全管理的效果,保障数字化档案信息的完整性和稳定性。而针对数字化档案信息的安全问题,可以采用的数字化档案信息安全管理策略主要包括以下几个方面:
2.1计算机设备安全管理。就相关的调查报告可知,计算机硬件出现故障的次数相对来说较多,而计算机故障对数字化档案信息安全所造成的影响也相对较为严重,因此,在对数字化档案信息进行安全管理的过程中,应该积极采取有效的安全措施,对硬件设备实施高效的安全管理,从而降低计算机硬件设备发生故障的几率。在对计算机硬件设备进行安全管理的过程中,可以从而计算机硬件设备的选择上入手,尽可能选择性能良好的计算机硬件设备,对硬件设备进行严格的检验,并对硬件设备的厂家的营业执照和信誉程度进行详细的调查,并在计算机硬件的兼容性上和拓展性上对计算机硬件实施全面的审核,从而保障计算机升级过程中数字化档案信息的安全。另外,计算机软件设备故障也对数字化档案信息的安全管理具有一定的影响,但是相对于计算机硬件来说,其所能够产生的影响作用相对较小,对其实施安全管理过程中,也可以采用和计算机设备安全管理相同策略,从计算机硬件也软件设备两个方面对计算机设备实施安全管理,可以更好的提高计算机设备管理的安全性,最大限度的保障数字化档案信息的完整性和有效性。
2.2信息技术安全管理。依靠数字化档案信息安全管理人员在强度安全管理是不够的,还需要现阶段科学信息技术援助。为了保证数字化档案信息数据的安全,在数字化档案信息安全管理工作中可以运用一些先进的科学信息技术来提高数字化档案信息安全。
2.3完善信息安全管理制度。要维护数字信息的安全,不仅要依靠技术手段,除此之外,还要做好对信息的管理工作,通过制定一系列的严密并且合理的管理规范与措施,从而保证数字信息的完整。真实和可靠。要充分保证数字化档案信息的安全,就需要通过制定一系列的规章制度来进行规范。第一,就是要建立人员安全的管理制度,主要包括有岗位安全考核制度、安全审查制度、安全培训制度等;第二是建立文档的管理制度,按照一定的密级对易经存储的数字信息进行分类,对于机密新信息和敏感信息需要进行加密,以防信息被窃听、毁坏或者变更。
篇4
电力企业信息系统是基于电脑和网络,实现电力制造、管理等信息的收集、存储、分析及传输的综合性的有机系统。[1]信息作为一种重要的企业资源必须要对其进行全面的安全管理,企业信息安全管理是引导和协调组织的关于信息化安全风险的互相协调的活动,即企业管理层对企业相关信息和活动安排进行合理的规划和协调。一直以来,很多人特别是对于信息行业出身的工作人员,都受环境影响而陷入“技术就是一切”的误区中,即人们把企业信息安全的全部希望都寄托在加密技术上,他们认为只要通过加密技术,任何信息安全问题都能够解决。随着网络防火墙技术的诞生,我们又常听到“防火墙是网络安全的有力保障”的论调。经此之后,入侵检测、VPN等更多新的概念及技术纷至沓来,但无论技术怎样变化,终究还是突破不了技术统领信息安全的枷锁。实际上,对企业信息安全技术的选择及应用只是企业信息系统安全化的一部分,它只是实现企业安全运营的一个方法而己。大家之所以产生这样的误区,其原因是多方面的,站在企业安全技术提供商的角度来说,其侧重点在于销售,因此向相关客户输送的大多都是以技术为核心的理念和信息。站在客户角度来说,只有企业的产品才是真实的、有形的,对投资方来说,这是十分重要的。因此,正是对于企业信息系统的错误认识,导致一些极端现象的产生,比如:许多企业的信息化设备使用了防火墙、网络云扫描等技术,但却没有设定出一套以安全策略为核心的合理的安全管理方案,从而造成安全技术及企业的产品生产十分混乱,不能做到技术及相关产品的及时、有效的更新。还有一些电力企业即使设定了一些安全管理措施,却没有使用有效的实施、监督机制来执行,这让安全管理措施徒有其表,名存实亡。经过研究及调查,现阶段我国电力企业信息系统面临的风险主要有:(1)信息系统缺陷。随着信息化的不断发展,电力企业信息系统也一直在不断完善中,目前,我国的电力企业在设计、制造及产品装配中仍存在着许多安全隐患与风险,比如来自软硬件组件的安全隐患等,这些信息系统固有的缺陷对电力企业信息系统的安全造成了严重的威胁。(2)信息系统安全管理不规范。现阶段,我国电力企业对电力信息系统的安全愈来愈重视,很多电力企业都采取了各种风险管理及预防措施,但是由于系统数据备份设备的不完善、数据丢失等信息系统安全管理不规范现象的出现,建立一套完善、合理的电力企业信息系统安全管理体系尤为重要。(3)网络安全意识薄弱。由于电力企业的安全宣传力度不够,相关技术人员的安全意识薄弱而导致的信息系统安全问题时有发生,比如不能及时修补信息系统漏洞及补丁,相关人员不正确的操作、或通过U盘导致重要信息泄露等,处理不好都很有可能造成整个电力系统的不稳定甚至系统瘫痪。(4)恶意人为破坏。随着网络共享度的提高,我国的电力企业信息系统逐渐向开放型及共享型发展,这使得一些不法分子有机可乘,他们为了自己的利益,通过各种手段非法入侵电力企业的信息系统,如植入病毒、窃听、干扰阻断等,这对我国电力企业信息系统的安全构成了极大的威胁。
2电力企业信息系统安全管理研究
信息安全是一个复杂的、不断变化的动态过程,如果电力企业只根据一时需要而忽略了信息安全的动态性,只是主观的来制定一些风险管理措施,就会造成在企业信息管理中顾此失彼,进而导致企业的安全管理水平止步不前甚至有失偏颇。[2]其正确的做法是,电力企业要遵守相关信息安全标准及实践总结,结合企业自身对信息系统安全的实际需求,在进行完善的风险分析及风险管理的基础上,通过一些合理的、可行的安全风险管理措施来使电力企业信息系统一直处于安全状态。除此之外,不断更新的过程是电力企业进行信息安全管理的最基本出发点,该过程还应该是动态的、变化的,即安全措施要随着环境的变化及信息技术的提高而不断改进和完善,坚决拒绝一成不变,这可以将信息系统的风险降到最低。[3]所以说,基于风险的评估及控制角度来说,电力企业信息系统的安全风险与其他领域的风险具有相似性,与此同时,电力系统信息系统安全风险又具有其独特性。将其他领域内的风险控制过程引入电力企业的信息风险管理领域,需要同时考虑到其共性和个性。安全管理主要分为网络级、系统级和应用级3个部分:(1)网络级安全管理。电力企业信息系统的网络级安全管理主要是指解决企业信息系统与网络互联而产生的安全风险问题,其主要从网络防火墙及网络结构两个方面采取安全管理措施。网络防火墙对企业内部网络及外部网络起到安全隔离作用,它可以有效预防潜在的破坏性入侵,同时可以对即将进入企业内部网络的数据进行严格的检测,并对非法、错误的网络信息进行隔离,从而保护电力企业内部网络的安全。对于网络结构,根据电力企业信息系统的实际情况,相关技术人员结合网络结构,设计出一种介于混合型和网状型结构之间的分布式网络结构,该分布式网络系统具有较高的可靠性及容错能力,从而对已有的网络结构进行了优化。(2)系统级安全管理。在企业信息系统风险管理中,系统级安全设计与用户的具体应用具有密切的联系,具体而言,其分为操作系统与数据处理两个方面。在操作系统方面,利用有效的网络安全扫描对信息系统的安全风险进行合理评估,及时分析操作系统已有的漏洞,同时结合信息系统的漏洞自动修补技术,实现定期为相关用户消除网络中的安全隐患。在数据处理方面,企业要善于利用信息系统平台再次对数据库进行数据安全加密,从而将信息系统的数据库风险降到最低。(3)应用级安全管理。应用级安全设计具有直观、具体的特点,它是在设计电力企业的信息系统时,通过技术手段将相应的安全技术加入到信息系统中,从而有效保证系统的安全稳定运行。具体来说,电力企业信息系统的应用系统访问控制是根据访问信息性质的不同,分别进行公开信息和私密信息的传送、存储及管理,从而实现在应用层次上的访问控制;而数字签名技术可以通过对文件签发者、日期等提供准确的不可更改的历史记录,来保证系统所有文件的完整性。因此,我们得知,为了确保电力企业信息系统的安全,要采取合理、有效的管理手段来最大程度地降低风险,即相关人员不仅要从技术层面来进行安全管理的设计,还要从管理层面进行安全管理设置。[4]具体来说可以从以下方面着手:(1)定期对企业系统的技术人员进行安全教育,增强其信息系统的安全意识;(2)保持相关人员特别是管理层的人员稳定,若有人员调离,需及时更换系统密码,避免企业机密泄露;(3)设置合理的电力企业信息系统安全标准及企业制度等。
3结语
篇5
【关键词】电力信息;运行;维护;管理
前言
在全球信息化的推动下,计算机信息网络作用不断扩大的同时,对于管理信息系统的安全,除在系统设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强系统的安全管理。安全系统需要由人来计划和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障。诸多不安全因素恰恰反映在组织管理和人员因素方面。文章结合电力信息网络的安全风险,提出了供电企业的网络信息的安全与管理问题。
1、电力信息网络的安全分析
(1)计算机及信息网络安全意识薄弱。供电系统各种计算机应用对信息安全的认识距离实际需要差距较大,对新出现的信息安全问题认识不足。
(2)急需建立同供电行业特点相适应的计算机信息安全体系。相对来说,在计算机安全策略、安全技术和安全措施投入较少。为保证供电系统安全、稳定、高效运行,应建立一套结合电力计算机应用特点的计算机信息安全体系。
(3)联网的外部威胁。供电系统依据有关规定将网络分为信息内网和信息外网,信息内外网之间实行物理隔离。供电系统用户通过外网与互联网连接,必须要面对国际互联网上各种安全攻击,如网络病毒、木马和电脑黑客等。
(4)数据库数据和文件的明文存储保护不完善。供电行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。没有完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了事,没有完善的数据备份设备、没有数据备份策略、没有备份的管理制度,没有对数据备份的介质进行妥善保管。
2、供电企业的信息安全措施
供电系统的信息安全具有访问方式多样,用户群庞大、网络行为突发性较高等特点,信息安全问题需从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为了保障信息安全,采取的策略主要包括以下几个方面。
2.1加强电力信息网络安全教育
①为了保证信息安全的成功和有效,信息管理部门应当对企业各级管理人员、用户、技术人员进行信息安全培训,所有的企业人员必须了解并严格执行企业信息安全策略。②主管信息安全工作的负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部的建立和管理制度的制定等。
2.2重视设备管理
重视设备管理是在企业网络规划设计阶段就应充分考虑安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理;各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止意外损坏;对于终端设备,如工作站、小型交换机、集线器和其它转接设备要落实到人,进行专人严格管理;加强信息设备的物理安全,注意服务器、计算机、交换机等设备的防火、防盗、防水、防潮、防尘、防静电。
2.3重视技术管理
①防火墙技术。供电系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。②虚拟局域网技术(VLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含1组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分,所以同一个LAN内的各工作站无须放置在同一物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。③数据与系统备份技术。供电企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统,从而保证信息系统的可用性和可靠性。④建立信息安全身份认证体系。供电企业面对来自内部和外部信息安全风险威胁,需建立有效的信息安全身份认证体系,实现网络危险过滤、终端准入、用户识别、上网授权等功能,警告或禁止检查不通过的终端访问企业内部资源,最终实现企业内网用户终端安全性的提升,达成企业整网上网安全性的保障。
3、当前信息系统运行管理的工作
3.1探索设备运行管理新方法
确保信息系统正常运行的一个前提条件是设备正常运行。信息设备多种多样,包括网络(交换机,路由器等),主机服务器,防火墙等,各类又包括很多品牌和不同技术的设备,如何保证设备的正常运行,怎样做好信息设备的管理工作?
(1)购买必要的质保服务,适度控制风险。一方面设备老化会出问题,需要更新;另一方面,管理人员的技术力量不够,设备出现问题就要尽量控制它。
(2)加强设备的规范化管理。信息化设备管理处于刚刚起步阶段,大家对设备管理的经验不足,有必要向电网一、二次系统设备管理学习。
(3)建立设备运行预警体系。我国企业设备管理的一个重要发展趋势是以管理为中心替代以检修为中心,且逐步由预防维修、在线检修替代事后维修。
(4)做好数据备份工作。数据已经成为企业可持续性发展的重要环节,数据备份也是信息安全的最后一道保障。
(5)尽量由自己完成操作。管理人员根据服务厂商提供的操作步骤完成工作,可以提高管理人员的技术水平,更好地保护企业信息安全。
4、信息系统运行管理的绩效问题
企业追求的是经济效益,评价信息系统的效益需要建立企业的关键绩效指标(KPI)。信息系统运行管理,并不产生直接的经济效益,甚至是纯粹的消费,但是,关键应用系统的故障,给企业带来损失。
信息系统运行管理中的关键绩效指标主要有:1)关键应用系统的平均无故障时间;2)重要设备的平均无故障时间;3)信息安全度;4)应用系统的效益。
信息运行管理不产生直接的经济效益,运行管理工作常常被人们忽视,有必要从历史经验去寻找信息系统运行的效益。比如,SCADA系统不能正常使用,给企业带来的损失。营销系统或者95598系统不能正常使用,给企业带来的负面影响,网络中断或者病毒给企业带来的损失。从不同的方面、多个角度分析信息系统运行管理的经济效益,提高信息运行管理在企业中的地位。
篇6
我国人口多,工作人员的数量在不断攀升,这就要求我国必须加大对档案管理的力度,将信息化技术应用其中,创新了原有的管理档案模式,有利新的档案管理也就是数字化管理。这一档案形式的出现,同提高档案信息管理的水平,使得档案信息的收集、整理、分析和存储变得更加的快捷和有效,一定意义上说,提高了数字化档案信息管理工作的发展。然而,目前我国的数字化档案信息管理工作还有不足,甚至存在一定的安全风险因素,严重影响到数字化档案信息的安全,因此,需要采用各种管理策略,以实现对数字化档案信息的科学,合理,更加安全。
1 数字化档案信息中存在的安全风险因素
数字化档案信息在管理的过程中,不是一帆风顺的,也会受到许多影响,而给数字化档案信息管理中造成影响最大的是安全风险问题,数字化信息档案管理的安全风险问题造成了档案信息的丢失。而数字化档案信息的缺失也直接影响档案管理事业的发展,就我国目前的数字化档案信息存在的安全问题大体包括以下几个方面的内容:
1.1 计算机硬件故障
对于使用计算机的人来讲,设施完整,能够正常操作的都是好的计算机,因此为了能够保障计算机使用安全,需要在计算机中设置相应的保护机制,安装保护软件,是计算机发挥应用的效果,但是,有的时候即使在计算机里设置相应的保护机制,计算机中的硬件也还是会受到某些因素的影响,而出现故障,一旦计算机中的硬件出现故障,计算机无法正常运行,就会使得数字化档案中的信息数据丢失,也破坏了数字化档案信息的完整性,不利于提高档案信息的保存效率,从而阻碍了数字化档案管理事业的发展。而如今,计算机中硬件出现故障的次数逐渐增加,主要的原因也是计算机种类以及功能不断增强,这样的现象更加不利于数字化档案信息的存储和保护。
1.2 计算机软件故障
数字档案主要是利用计算机来实现,利用计算机中的相关管理软件以及相关的数据处理系统来对档案信息进行处理和分析,以保障数字化档案数据信息的完整性,从而提高数字档案信息的利用率。计算机相关管理软件的性能将直接决定数字化档案信息的安全,随着计算机相关软件性能的不断提升,数字化档案信息的安全性也在不断的提高。然而,就我国现阶段的计算机软件发展水平来说,还无法对数字化档案信息安全形成高效的保护,计算机软件会受到来自各种因素的影响,计算机软件一旦出现故障,就会使得数字化档案信息管理操作受到阻碍。
1.3 数字化档案信息安全管理制度不够健全
在我国,数字化档案建设起步晚,发展缓慢,数字化档案信息安全管理制度不够健全,数字化档案管理机制与以往的不同,国家没有颁布相关的法律法规来规范和调整数字化档案信息管理。因为国家机构和社会组织没有法律保护,因此我国的数字化档案管理承担着更大的数字化档案信息管理的安全风险,从我国的目前现状来看,当前的数字化档案相关的法律法规不能满足现代数字化档案信息安全管理方的需求。因此,无论是数字化档案管理的相关法律制度还是信息安全方面都需要加强管理。
2 数字化档案信息安全管理策略
计算机硬件设施的不足,也阻碍着数字化档案信息安全发展,因此也需要不断的对计算机中的硬件设备进行改进,同时也需要采取更加有效的保护机制,采用先进的科学防护技术加强保护计算机中的硬件和软件设施,进一步保障数字化档案信息的安全,但是数字化档案信息的类型不同,这就要求具体问题,具体分析,采取不同的安全管理策略,以提升数字化信息安全管理的效果,保障数字化档案信息的完整性和稳定性。为了解决数字化档案信息的安全问题,可以采用以下几个策略:
2.1 计算机设备安全管理
就相关的调查报告可知,计算机硬件出现故障的次数相对来说较多,而计算机故障对数字化档案信息安全所造成的影响也相对较为严重,因此,应该积极采取有效的安全措施,对硬件设备实施高效的安全管理,从而降低计算机硬件设备发生故障的几率。在对计算机硬件设备进行安全管理的过程中,可以从而计算机硬件设备的选择上入手,对硬件设备进行严格的检验,并对硬件设备的厂家的营业执照和信誉程度进行详细的调查,在计算机硬件的兼容性上和拓展性上对计算机硬件实施全面的审核,从而保障计算机升级过程中数字化档案信息的安全。另外,计算机软件设备故障也对数字化档案信息的安全管理具有一定的影响,但是相对于计算机硬件来说,其所能够产生的影响作用相对较小,在实施安全管理过程中,也可以采用和计算机设备安全管理相同策略,更好的提高计算机设备管理的安全性,最大限度的保障数字化档案信息的完整性和有效性。
2.2 信息技术安全管理
数字化档案信息安全管理只是依靠人力管理是不够的,还需要加入现代技术科学管理。现代科学信息技术能更好的保证数字化档案信息数据的安全,提高档案信息安全性,也提高档案的完整性,因此在管理数字化档案信息安全的过程中要加入必要的信息技术。
2.3 完善信息安全管理制度
要维护数字信息的安全,不仅要依靠技术还要做好对信息的管理工作,通过制定一系列的严密并且合理的管理规范与措施,保证数字信息的完整,真实和可靠。要充分保证数字化档案信息的安全,就需要通过制定一系列的规章制度来进行规范。
第一,就是要建立人员安全的管理制度,主要包括有岗位安全考核制度、安全审查制度、安全培训制度等。
第二是建立文档的管理制度,按照一定的密级对易经存储的数字信息进行分类,对于机密新信息和敏感信息需要进行加密,以防信息被窃听、毁坏或者变更。
结束语
综上所述,档案管理工作中的重点是数字化档案信息安全管理的完整和有效性,为了有效的提高数字化档案信息管理的安全,需要加强对数字化档案信息管理的监控,针对信息中的安全问题,进行分析,并采取措施解决,保障数字化档案信息安全管理的有效性,从而推动数字化档案管理事业的发展。
篇7
关键词:网络管理;安全技术;维护
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 04-0000-02
当前,各类企业在经营发展过程中,十分注意自身的网络安全建设,但是,信息化、智能化的快速发展与当前企业网络的信息安全管理却不同步,绝大多数企业网络极不安全,这是当前企业安全网络系统建设中的一个重要问题。作为企业尤其是大中型企业来讲,其网络信息安全应该成为企业自身建设当中的重中之重,随着全社会网络信息的发展,网络信息发展程度及其安全程度势必将对企业生产效率,企业商业秘密维护和长远发展起到积极作用。
一、当前我国企业信息安全状况
随着计算机网络技术的兴起和发展,近几年,各类企业频频遭遇各种各样的信息被窃、信息丢失、信息篡改等情况,特别是计算机病毒和商业竞争对手利用黑客进行破坏的损失,每年给商业用户造成的损失数以亿计。我们通过对当前网络安全出现的种种情况分析反思,出现该问题的一个重要原因是,企业内网安全产品都是针对用户数字身份的管理,都没有从真正意义上解决用户实际身份与数字身份二者相对应的问题,换句话说,缺乏有效为安全系统提供权限管理的依据。我们在传统意义上讲的企业安全保护产品,只能简单地对企业和外部非法访问的问题进行防护,但是,如果企业内部人员恶意发送邮件,使用第三方存储器等等,却不能进行有效监督,因为企业安全保护只能监督外部,来自企业内部的监守自盗成为企业网络信息安全的突破口。
当然,企业对信息安全的要求并不是这么简单,尤其是国有大中型企业。企业要实现长远发展,做大做强,就必须要在主动防御的基础上,建立一套内外联动,多层级沟通,整体有效的信息安全系统,在主动保护自身安全信息的基础上,建立好企业“防火墙”,屏蔽一切来自外界的攻击,最终实现企业信息安全的全面保护。
二、系统设计目的和层次结构分析
一般来说,一整套完整的、科学的企业网络信息安全保护系统至少包括以下几部分:网络安全信息管理-企业用户身份认证-数据信息加密三个安全保护层级。网络安全管理包括计算机网络整体运行规划和计算机IP地址管理、楼宇网络安全管理与分配、计算机远程管理防控、蠕虫病毒入侵、黑客恶意入侵与维护、计算机攻击情况监测与预警。通过上述内容实对企业机构进行VLAN规划和电脑分配,同时,使用安全绑定技术把楼宇或集团每台计算机的IP、名称和分工内容、技术参数指标等各种要素整合集中,进行收集分析和控制,以此来实现集团或企业的网络集中管理,对计算机进行有效掌控,并实现安全信息监控功能。
对企业用户身份的认证:我们把企业用户身份的确认当做是企业网络信息安全过程中的通行证或者是防火墙。在这一方面,用户身份认证的重要功能是解决好企业用户物理身份和数字身份的认定,如果这个问题解决,那就可以对企业的其他安全管理系统给出相对完善的权限管理依据。否则,企业网络外部用户和访客就可以轻易地突破身份认证,或者采取其他办法伪造、仿造企业用户管理身份进行系统,从而危害网络信息安全。如果这类事故一旦发生,企业前期投入重金建立起来的网络安全体系不但毫无作用,反而会掩饰入侵者的踪迹,延缓企业安全漏洞暴露的时间,造成巨大损失。因此,实行更加稳妥、安全、有效的身份认证机制,可以为企业用户提供更加安全的保护策略,需要指出的是,企业安全信息网络建立和维护有必要针对用户的不同特点量身打造适合企业的保护机制,采用不同的权限管理、角色配置和跟踪日志,防治企业安全网络建设的母体(网络运营公司)因为信息泄露,而使得客户的信息遭遇泄露,只有这样,才能为企业打造一个相对坚固的安全信息防护体统。
企业数据的加密保护:在企业安全方面,往往会出现很多主动或者被动泄密的情形。一些员工因为白天没有完成企业安排的任务,使用存储设备将企业文件和资料拷贝回自家或者其他计算机上进行处理,或者通过外部打印机和网络打印对本系统的资料进行打印和复印,由此带来的企业安全信息外漏数不胜数。因此,需要对其企业的相关信息和书记进行加密处理,这样的目的会有效防止运功在有意无意间使企业秘密外泄。客观地讲,现行企业运行中,绝大多数文件和资料的存在形式都是电子文档,电子文档优势明显,但是也容易被人在短时间内拷贝剪切和篡改,由于现在企业重要的资料文件大部分都以电子文档形式的存在,通过加密技术企业计算机上的文档全部进行密后,限制各类文档的大开权限,让企业文档在离开企业办公局域网内就无法使用,从而把企业核心数据限制在一个安全的环境内,客观上起到保护功能。
三、系统设计与实现
当前我国的计算机网络技术、分布式数据库技术等技术正在快速发展,所以,企业在进行网络安全维护招标时,建议采用最先进的设计理念,更加注重选择和考虑安全信息系统的可操作性和安全性,并要对安全系统的合理性科学性和安全稳定性加以选择,方便系统使用期间的正常管理和维护,也有利于安全系统的升级换代。企业安全系统由数据库服务器、管理控制台和客户端三级构成。普通的数据库采用双层结构,一般不设计中间层,好处是系统响应的速度非常快,可以保证客户端、管理控制台、数据库服务器三者之间的快速联动。数据库服务器端是安全信息系统的数据中心,采用MSSQLServer2000/2005数据库系统各类数据、信息、资料进行有效存储管理,该装置通过管理端捕获管理员的设置信息,再分配至各用户端上实现。系统管理员对安装有客户端系统的整个网络范围内的计算机和用户进行集中管理.主要包括VLAN规划、地址管理、远程监控、设置管理策略、分发管理策略等。
企业客户端安装在用户计算机上,管理员可以通过控制台对客户端进行有效管理在线监控,从而实现企业用户计算机的集中管理和保护,客户端则通过结合硬件的用户身份识别系统,对计算机进行登录保护。一般来说,企业安全系统在安装客户端到计算机市,都设置客户端程序为不可删除和移动,也就是说,这种监控是强制性的,所有用户没有经过企业系统管理员认可和授权,都无权对客户端随意进行卸载或者暂停。
按照企业安全网络信息系统的层级设计特点,首先要实现基于MAC地址的网络安全管理。网络管理模块主要功能是,按照集团和企业内部科室(机构)设置进行计算机分配,采用基于MAC地址的地址绑定技术,将每台计算机和工作站的IP地址、名称、使用权限、网络技术参数设置等进行集中管理,从而有效实现网络安全管理的自动分发和网络远程管控。
以用户身份认证为主要内容的用户桌面保护主要功能是对企业用户按所属机构、部门进行管理,采用双因子身份认证的安全登录机制,通过为用户设置属性、安全权级等安全策略,结合客户端系统实现用户安全登录,保证用户身份验证的真实性。
数据的加密存储与访问模块是相对独立约一个功能模块。重点是实现数据信息的强制过程加密,使得加密后的数据文件离开企业电脑后无法被访问和使用。由于数据加密是一个独立的技术领域,市场上已有较成熟的过程加密产品可供企业选用。
参考文献:
篇8
关键词: 交通管理信息;软件安全;设计
中图分类号:U491 文献标识码:A 文章编号:1671-7597(2012)1120073-01
在近些年以来,在我国的交通管理信息部门当中,主要以加强管理信息的建设以及应用方面,做出了一定的成效。当前,在交通管理部门当中包括的业务有:驾驶证的管理、登记机动车、处理违法交通以及处理交通事故等,都是通过信息系统进行全面的管理的。然而,交通管理部门随着业务不断的快速增长以及要求提升,所以承受的压力以及挑战也在日渐增加,而信息系统的安全问题是显为突出的,因此,加强提高交通管理部门的信息安全则是发展和建设的必要手段。主要体现在两方面:1)在信息系统建设的初期必须要全面的考虑到业务功能以及流程是否全面,以及它的可用性和完善性。2)由于我国的信息技术在随着不断的迅猛发展,所以显现出的安全攻击手段与技术也在快速更新,这就要求相关部门必须要建立和设计一套较为完整的业务系统软件,以确保它的安全应用性,达到安全防护的目的,从而减少安全信息的风险问题。
1 设计构架
在搭建信息管理的框架时,必须要按照合理的程序进行,搭建组织时必须要根据当时的状况进行,并且也要符合自身的信息管理以及业务发展的具体要求框架。建立交通信息的安全软件必须要应用服务器端以及客户端的模式才可进行,主要是通过公用的软件安全包以及安全管理的两个平台组成,从而达到软件的安全管理以及安全运行监等服务功能。
1)由于公用业务的安全包一般是应用于数据库的服务器、采集系统软件的信息以及应用中间件的标识等,从而达到检查服务器的身份唯一性以及鉴别复杂度等功能,以确保业务软件应用的合法性。此外,它还可以拦截机制,检查控制访问的安全策略对程序的调用。当软件一旦以后,可以实时监控服务器的状态,以及异常的软件安全信息,并且通过加密技术、校验技术以及压缩技术等定时的发送会话信息。一般安全管理平台主要是实现管理软件的安装、监测运行监测等服务。
2)所谓安全管理平台主要是通过应用对称的加密技术以及时间戳作为各安装点软件的安全密钥。由于运行的软件可以实时监测所接收的信息并对其验证、解密和解压处理,并且转化为监测信息。
2 软件的安全管理
由于软件安全管理的重要目标就是为了促使软件可以在授权的服务数据库以及应用方面得到使用,而对于还未授权的运行软件则可以对其锁定与报警处理,避免非法分子的侵入安装。对此,安全管理是可以对数据库与中间应用服务器做备案登记的,从而建立一个较为完善的登记数据库,以建立一个安全的软件监测运行管理。
1)对于软件安装点所包括的标识有数据库与中间件的服务器标识,它可以应用采集一定量的信息从而对服务器识别认证身份。所应用的信息服务器主要包括有:硬件标识、数据库标识、网络标识、操作系统、硬件标识以及应用软件的标识等。
2)进行安装密钥的应用管理一般包括有安装密钥的制作以及生命周期两方面进行管理。主要是对申请信息的应用散列加密法对其做散列处理,并且应用散列值作为安装密钥的申请信息。其方法主要可以应用自动发送以及手工发送到软件的业务客户端。
3)安装密钥的主要内容有安装点服务器的标识、应用系统管理员标识以及使用时间等管理信息。而管理密钥一般包括有密钥生成以及生命周期的管理两方面。一量正式密钥在成功注册软件以后,则可以根据服务器的标识进行应用信息的散列加密方法运算。也可以在业务系统的客户端通过加密的方法对数据进行加密,也可以应用校验位的方法从而保证信息安全性避免出现篡改等问题,此外,也可以在安全管理平台对其记录密钥的完整信息。
4)由于软件的安全管理与业务的系统客户端二者之间存在一个信息交互的平台,这也是在安全体系当中比较重要的一个部分,因此,必须要对信息进行对称的双重加密,从而确保通信的安全保密性。同时,通过对信息所生成的校验以确保完整的通信效果,而进行压缩处理主要是确保数据的安全高效性,并且在运行监测中则也可以应用这种方法。
3 对于系统的管理安全
1)对于运行软件的安全监测主要是应用正向方法,从而对之前所考虑到的安全防范点做以实时监测的工作,并且记录非法或者是可疑的安全信息事件,以便进行定时发送到安全的服务管理平台。同时,我们也可以看出,在以往的安全软件服务管理当中,并且对经常出现的攻击方法以及安全事件进行全面的分析,从而找出安全的防范范围。
需采用程序自动更新机制将新的防范措施程序更新到业务系统客户端。
2)在管理监测系统的运行时则可以应用GIS地图,并且通过图形化的方式从而显现出软件以及具体的运行情况。此外,也可以对更新的版本、服务器的运行以及安全情况在统一视图当中进行全面的监测,以便提高从事负责技术安全的工作人员可以很快找出所存在的威胁。
3)由于白名单的信息服务主要是根据在软件的管理平台进行工作的,并且通过安全管理记录的标识信息而生成的一份白名单,这主要包括有安装的代码、系统类别以及服务器的信息标识等。在交通管理的资源库当中由于程序是可以通过定时来获取信息的,并且也应用了鉴别身份的技术,验证身份的合法性的存储。当业务软件进行传送交通管理部门的信息时,并发送到资源库,它可以识别实体身份,也可以验证访问请求以及确保信息的主要来源。
4 改进措施
1)它可以加强监控平台在预警与统计分析等方面的强大功能,并且可以对不同的安全事件进行定量以及定性的分析,从而进一步剖析技术攻击的范围,也可以全面的研究入侵与攻
击的重要手段,从而研究出相应的解决方法措施,以提高它的安全防范性。
2)必须要加强提高对数据库以及监控可用性的指标,主要包括有数据库的存储空间利用率、内在的信息应用以及中间件服务器的虚拟机线程数等方面。
3)作为管理部门必须要加强提高对技术管理员的技术安全培训,如果只是依靠软件解决问题并不能达到预期的效果,而最重要以及最必要的因素则要体现在人员方面,因此,必须要加强技术管理员的安全意识,提高技术培训以及防范技术等,从而加强安全管理的必要性。由此我们可以看出,技术与管理是同样重要的。
5 结论
总之,在交通管理部门的工作当中,最重要的就是确保信息安全问题,通过制定一套较为全面的严格制度从而防范产生不安全因素,但是在这其中最为可靠防范手段还要靠技术管理。对此,在技术应用上必须要建立一套安全系数较高的软件系统,从而提高信息软件的安全性。
参考文献:
[1]张宏伟,电力企业信息安全管理与防范措施[J].中国公共安全,2008(04).
[2]陈鲁军、解勤、谢晶,关于对公安信息安全与标准化的探讨[J].中国公共安全,2006(11).
篇9
【关键词】云计算;电力信息系统;安全技术
引言
随着我国电力行业的发展,尤其是国网、南网、华电几家大型电力企业的不断发展,电力行业已经成为我国经济重要支柱之一,同样也是社会维稳和国家发展之基础。然而,近些年来由于高科技犯罪的出现,电力信息系统逐渐面临着诸如用户隐私泄露、用户不可控等安全严峻形势。另一方面,云计算出现以来,凭借着其优良的性能和全新的计算、储存模式在各个行业得到了广泛应用。基于云计算的电力系统相比以往传统的电力信息系统储存体系和运行能力更强。云计算的电力系统安全技术探究已成为我国电力行业亟需探寻的一个课题。
一、电力信息系统的安全需求分析
科学技术日新月异,电力行业在实现更大发展的同时,也逐渐朝着现代化、智能化和自动化的方向迈进,传统人工控制的信息系统也由计算机取代。但是,现阶段要想实现电力信息系统的智能化,尤其是基于云计算的电力信息系统想要安全运行,需要满足五大方面的需求。
第一需求:
云计算是现代计算机和互联网高速发展的虚拟化资源,同时也是一个网络共享大资源。所以,云计算的信息系统安全首先就应当满足访问权限的需求。无论是电力信息系统的管理人员还是普通用户,任何一次进行电力系统的访问过程都必须经过身份审核、授权以及验证等过程。针对每一次的访问都需进行详细记录。
第二需求:
一定要确保电力信息系统中的任何电网数据都不能被更改、删除,以防止某些意想不到的意外发生。
第三需求:
一些恶意的存储数据破坏和数据攻击、事故、灾难等情况的发生,系统应当具有数据备份和数据恢复的技术。防止因为数据丢失而造成的损失。
第四需求:
电力信息系统最为重要的就是运行的安全性。在日常运行过程中,电力信息系统中的资料、数据都不能在未经许可的情况下被无关人员偷看,以防止某些机密数据的泄露发生。
第五需求:
由于云计算是基于网络信息技术和计算机技术之下的高新科技系统,整个系统在网络运行中的安全性是相当重要的。所以,运行过程中就需要设置特有的网络防火墙、安全设置系统等防止恶意攻击造成的电力信息系统瘫痪。
二、电力信息系统安全结构的现状
(一)电力信息系统网络结构分析
由于电力系统步入智能化、自动化和网络化,现阶段电力系统的安全结构主要采用的是公共网络和专用网络相互结合的网络结构。其中,电力信息网络和调度信息网络是所谓的电力专用网络。与因特网的连接通常都是在确保网络信息安全的基础之下。具体网络结构如图1所示。
(二)电力系统信息的安全体系结构分析
上述电力信息系统网络结构中,依据信息系统中的信息功能以及信息业务可以将其划分为自动化系统、生产管理系统和办公自动化系统及电力信息管理系统三层。而第三层,即所谓的办公自动化系统及电力信息管理系统与电力信息网络结构相互联系起来则可产生四个安全体系(或称之为安全工作区域)。其中安全区I指的是SPDnet所支撑的一种自动化系统,具有监控功能的实时监控系统就属于该区域。例如自动化配电系统、自动化调度系统和自动化变电站系统等;安全区II是生产管理系统,同样由SPDnet进行支撑。批发交易业务、缺少控制能力的生产业务通常不属于该区域;安全区III是生产管理系统,但是却由SPnet系统支撑,通常包括了雷电监测、气象信息介入、生产管理等系统;安全区IV是电力信息管理系统,由SPnet支撑,诸如OAS、MIS等。具体安全体系结构如图2所示。
图1
图2
三、基于云计算的电力信息系统安全技术分析
(一)数据传输、存储的安全技术
电力信息系统中保存了电力企业自身的大量机密资料和数据,例如电力企业的用户信息、财务信息、经营管理信息等。因此,电力信息系统的数据储存和传输安全技术就显得尤为重要。通常来说,云计算的严格加密技术能够保证在数据传输过程中的安全传输。这主要是因为云计算可以通过加密技术防止数据传输过程中的非法访客窃取。而就电力信息系统的数据储存技术来说,其包括了数据恢复、数据隔离、数据备份以及数据存放位置的选择等。在云计算之下,电力企业可以利用私有云的高度集中存储技术将数据依照功能划分、重要程度划分选择不同的储存位置,实现了不同类别数据隔离的同时也防止了数据的意外泄露。而且,云计算最优良的技术就是实现实时备份,确保了电力信息系统在发生意外的时候能够及时恢复数据。
(二)权限认证和身份管理的安全技术
云计算在很大程度上有效防止了非工作人员的非法用户进行访问。这是因为在私有云的内部所有相关数据和资料、应用业务可以实现禁止访问技术。而电力信息系统的管理人员可以通过其身份管理和权限认证技术的设置根据级别和规定进行有规范和有限制的资料、数据和应用业务使用。在很大程度上避免了非法访问获取机密资料,也便于合法用户的权限操作。
(三)网络安全隔离技术
就云计算的电力信息系统来说,它实质上是Internet的一个内部网络。一般电力信息系统网络可以从其网络安全的被动保护角度实现入侵检验技术、防火墙设置等安全防护技术等。但是在私有云模式下,电力信息系统的网络安全则可以运用防火墙技术、物理隔离技术和协议隔离技术等。首先,防火墙技术是针对外部网络和电力信息系统网络构建的一道安全屏障,它主要是通过检测、审核针对一些破坏性入侵进行防护,尽可能屏蔽那些跨过防火墙的数据流破坏电力信息系统网络的内部结构、信息以及运行状况。其次,物理隔离技术是指在私有云模式下,针对内部网络和外部网络进行分割,以此阻断内外部网络的连接。最后,协议隔离技术是在私有云模式下通过网络配置隔离器进行内外网之间的隔离。通常来说,在协议隔离技术之下,内网和外网是相互断开的,只有在云计算的电力信息系统网络有信息需要交换的时候,内网和外网才能通过协议从隔离状态连接起来。
四、结语
电力系统是关系民生国计的经济基础设施,亦是电力行业中的核心要素。在云计算技术迅速发展的今天,云计算的电力信息系统安全技术成为应对网络病毒、恶意攻击、非法访问等不安全因素的关键。而云计算独有的优势也在电力信息系统中发挥着日渐重要的作用。
参考文献
[1]温超.电力信息系统运维管理自动化解决方案[J].山东电力技术,2012(01).
[2]刘振辉.对电力信息系统安全防护问题的研究[J].信息与电脑(理论版),2012(10).
[3]兰艳贞.电力系统信息网络安全防护措施分析[J].无线互联科技,2012(10).
[4]曹勇,王口品,牒亮等.试析电力信息系统安全保障体系建设原则及思路[J].信息通信,2013(04).
篇10
[关键词] 电子政务 信息安全 等级保护 风险评估
1 概述
电子政务是政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等,高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。
电子政务的建立将使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴露在无孔不入的网络威胁面前。由于电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。因此,电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题,是电子政务的职能与优势得以实现的根本前提。如果电子政务信息安全得不到保障,不仅电子政务的便利与效率无从保证,更会给国家利益带来严重威胁。
2 电子政务信息系统面临的威胁
电子政务涉及对政府机密信息和敏感政务的保护、维护公共秩序和行政监管的准确实施以及为保障社会提供公共服务的质量。电子政务作为政府有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其是,电子政务在基于互联网的网络平台上,他包括政务内网、政务外网和互联网,而互联网是一个无行政主管的全球网络,自身缺少设防,安全隐患很多,使得不法分子利用互联网进行犯罪有机可乘,这就使得基于互联网开展的电子政务应用面临着严峻的挑战。
对电子政务的安全威胁包括网上黑客入侵和犯罪、病毒泛滥和蔓延,信息间谍的潜入和窃密,网络恐怖集团的攻击和破坏,内部人员的违规和违法操作,网络系统的脆弱和瘫痪,信息安全产品的失控等,对于这些威胁,电子政务的建设和应用应引起足够警惕,采取果断的安全措施,应对这种挑战。
3 电子政务信息安全管理体系的构建
要有效维护电子政务信息系统的安全,就需要构建电子政务安全管理体系,从而使政务的信息基础设施、信息应用服务能够具有保密性、完整性、真实性和可用性。电子政务安全管理体系包括安全技术体系、安全管理体系和安全服务体系,涉及从管理到组织,从网络到数据,从法规标准到基础设施等各个方面。
3.1 加强安全技术力量是实现电子政务安全的基本方法
安全技术体系是利用技术手段实现技术层面的安全保护,是对电子政务安全防护体系的完善,包括网络安全体系、数据安全传输与存储体系,功能主要是通过各种技术手段实现技术层次的安全保护。
网络安全体系包括网闸、入侵检测、漏洞检测、外联和接入检测、补丁管理、防火墙、身份鉴别和认证、系统访问控制、网络审计等;数据安全与传输与存储体系包括数据备份恢复、PKI/CA、PMI等。整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自和自控权。在关键技术、经营管理、生产规模、服务观念等方面,要集中人力、物力,制订相关政策,大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品,以确保关键政府部门的信息系统的网络安全。加强核心技术的自主研发,并尽快使之产品化和产业化,尤其是操作系统技术和计算机芯片技术。现阶段各地政府部门目前所选用的高端软硬件平台,很多都是国外公司的产品,这也对政务安全带来了许多隐患。因此,在构建电子政务系统的时候,在可能的情况下,我们应尽量选用国产化技术和国内公司的产品。
3.2 构建安全管理体系是电子政务安全实施的重要基础
安全管理是解决电子政务的安全问题在技术以外的另一有力保障和途径。由于安全的防范技术与破坏技术总是“势均力敌”、“相互促进”的。作为防范者就更应该在安全防范的管理上下更大的工夫。安全管理主要涉及三个方面:法律法规、安全防护体系以及等级保护政策。
3.2.1法律政策、规章制度和标准规范
电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约。目前,世界上很多国家制定了与网络安全相关的法律法规,如英国的《官方信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等等,但显得很零散,还缺乏关于电子政务网络安全的专门法规。此外,在完善法律法规的同时,还应该加大执法力度,严格执法,这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。
3.2.2电子政务防护体系
贯穿整个电子政务的安全防护体系,对电子政务安全实施起全面的指导作用,具体包括三个方面的内容:安全组织机构、安全人事管理、以及安全责任制度。建立安全组织机构,其目的是统一规划各级网络系统的安全、制定完善的安全策略和措施、协调各方面的安全事宜,主要职责包括制定整体安全策略、明确规章制度、落实各项安全措施实施,以及制订安全应急方案和保密信息的安全策略;安全人事管理,其主要内容包括:人事审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职、基础培训等;制定和落实安全责任制度,包括系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流安全维护制度,以及对外合作制度等。
3.2.3等级保护制度
通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理,不断提高信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。
4 完善安全服务是维护电子政务安全实施的有力保障
4.1 安全等级测评和风险评估管理
电子政务信息系统安全测评服务,其实质是通过科学、规范、公正的测试和评估向被测评单位证实其信息系统的安全性能符合等级保护的要求。
由于信息安全直接涉及国家利益、安全和,政府对信息产品、信息系统安全性的测评认证要更为严格。对信息系统和信息安全技术中的核心技术,由政府直接控制,在信息安全各主管部门的支持和指导下,依托专业的职能机构提供技术支持,形成政府的行政管理与技术支持相结合、相依赖的管理体制。 风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。电子政务安全风险管理的主要任务是电子政务信息系统的风险评估并提出风险缓解措施,前者是识别并分析系统中的风险因素,估计可能造成的损失,后者是选择和实施安全控制,将风险降低到一个可接受的水平。
4.2 安全培训服务
根据不同层次的人才需求,社会化的信息安全人才培养体系应分为专业型教育、应用型教育和安全素养教育三个层次。专业型教育主要是培养信息安全领域的专业研发、工程技术、战略管理等方面的人才。应用型(半专业)教育则是以从事现代信息管理工作的人作为对象,培养目标是要求学生具备信息安全的基本知识、网络和信息系统安全防范技能、组织机构或系统安全管理的能力等。这种应用型的信息安全教育要求受教育对象数量要多,覆盖面要广,基本信息技能要强。通过课程、讲座、宣传等多种形式,达到让每一个人都具备必要的安全意识和常规的信息安全自我防范技术的目的。要求单位领导应具备必要信息安全意识和安全知识;信息管理人员应具备一定的信息安全知识和基本技能;从事信息服务或信息安全服务的有关人员应具备必要的信息安全知识和技术基础等。
构建安全稳定的政务信息系统,技术、管理、服务作为支撑体系的三大要素,缺一不可。只有这三方面都做好了,才能实现海西政务信息管理体系的全面提升。
参考文献:
[1] 何玲,电子政务环境下政府电子文件管理新探索[D].成都:四川大学硕士学位论文,2008.
相关期刊
精品范文
4信息简报