关于信息安全应急响应范文

时间:2023-10-12 18:02:14

导语:如何才能写好一篇关于信息安全应急响应,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

关于信息安全应急响应

篇1

关键词:会计信息安全 组织环境 风险评估 监控反馈 制度安排

中图分类号:F23 文献标识码:A 文章编号:1002-5812(2016)03-0026-04

随着我国企业信息化的推进,会计信息化逐步由简单的单用户电算化应用向复杂的深层次网络化运用过渡,会计信息化系统也在一定程度上实现了由核算型向管理型的过渡。在企业会计信息化水平不断提高的同时,作为企业重要资产的会计信息,其完整性、可用性、保密性等方面却受到不同程度的挑战和冲击。如若企业会计信息安全不能得到有效保障,可能会引发相关商业机密的泄漏,严重的会导致企业失去客户、市场,乃至核心竞争力;即便是信息系统的故障也会造成企业的相关业务中断,给企业带来资产与声誉的损失。因此,为了使企业能持续不断的发展,会计信息安全成为了企业管理越来越关注的内容之一。

一、企业会计信息安全的影响因素

企业会计信息安全是指会计信息化环境下,会计信息处于完整性、可用性、保密性和可靠性的状态,它来自于会计数据的完整和会计数据的安全。参照国际标准化组织和美国NSTISSC委员会对信息安全的阐述,本文认为企业会计信息安全就是为了使会计信息具有完整性、可用性、保密性和可靠性,而让企业的会计信息和会计信息系统处于必要的保护之下免于未经授权的访问、使用、泄漏、修改和破坏,并适当采取相应政策、培训和教育以及技术等必要手段,其实质就是扎根于企业经营实践活动并与企业战略密切联系的业务保障和管理问题。显然,影响企业会计信息安全的因素必然来源于企业的生产经营实践活动,并与企业的经营管理过程结合在一起。鉴于此,本文认为影响企业会计信息安全的因素不外乎组织环境、信息处理、风险评估、监控反馈、制度安排五个方面内容。

(一)组织环境。企业组织环境是指能对企业生产经营活动和决策产生直接影响并与企业战略目标实现密切相关的因素。企业会计信息安全及相关会计信息系统的运行都必须基于既有的企业组织环境。一般来说,企业组织环境包括企业愿景、企业战略、企业文化、组织结构、员工胜任能力以及管理者素质、管理风格、管理哲学等。企业组织环境对企业会计信息安全的影响作用在很大程度上取决于企业高层管理者。其原因在于,根据企业高层管理者的管理哲学与管理风格以及由其演绎而成的组织结构和企业文化形成了企业会计信息安全环境,并以此构建相应的会计信息安全管控框架,进而形成相应的会计信息安全策略。此外,相关的企业会计信息安全管控策略若要能在企业内部得到有效的持续的实施,也需要企业内所有管理者和员工的共同参与,更是与管理者和员工的安全意识和职业素养密切相关。高层管理者负责制订与企业组织发展方向相关以及影响整个企业战略的会计信息安全管控决策;中层管理者负责将高层管理者所制订的会计信息安全管控决策目标转换成为基层管理者可执行的会计信息安全管控具体目标;基层管理者则负责直接指挥从事具体业务的相关员工进行日常业务作业。

(二)信息处理。企业会计信息处理是一个比较复杂的系统,在这个系统中应该能完整、可靠、安全地采集与企业经营管理相关的各种会计信息,并使这些会计信息以适当的方式在企业有关层级及经过适当授权的客户之间进行有效传递和正确使用。因此,在会计信息化环境下为达到上述要求,企业需要为会计信息处理系统配置适当的软硬件资源。在这种情况下,企业会计信息安全问题就集中于物理硬件的可靠性和支持软件的有效性。物理硬件通常由系统主机、网络线路、终端电脑、附设周边、物化防护等组成,譬如给数据加密的专用设备,添加专用防火墙的服务器,具有加密算法和多数位加密的路由等。支持软件则主要由能实现会计信息采集、整理、加工、传送、使用等功能的会计信息管理软件构成,当然还包括操作系统、网络协议、压缩、加密算法、防病毒等相关软件。

(三)风险评估。风险评估就是分析、识别和控制相关影响会计信息安全目标实现的各种风险的过程,它主要由会计信息安全的目标设定、风险分析、风险识别和风险控制等方面构成。企业要确保其会计信息安全,则必须清楚且能应对各种可能对其会计信息安全产生影响的风险,在不断变化的企业经营环境中进行认真分析,识别并把握其变化规律,制订相关的应对措施,依据会计信息安全面临的问题适时调整企业会计信息安全管控策略和方法。这就要求企业的会计信息安全管控策略要有更长远的时间和更广阔的视野来关注风险,将风险意识贯穿于企业会计信息安全管控的始终,不断完善包括企业经营理念、管理方式、管理风格在内的控制风险环境。为此,企业还需要制订相关的会计信息安全目标,并将这一目标与企业的供应、生产、销售等经营活动进行整合。唯有如此,才能实现整个企业经营管理的协调一致。

(四)监控反馈。企业必须制定监控反馈的政策与程序,才能确保既定会计信息安全目标和必要改进措施的有效实施。一方面,企业经营环境是不断发生变化的,企业经营活动也随之不断变化。在这种情况下,唯有对企业会计信息安全管控系统进行必要的监控,并在必要时加以修订与调整,管控系统及相关的政策与程序才能反应自如。另一方面,企业会计信息处理系统自身也会由于物理硬件或支持软件方面的不确定因素而导致会计信息处理的延误或失效。这样,企业也需适时地对企业会计信息处理系统进行监控,排除不确定因素,维护会计信息处理系统的有效和安全。此外,还应考虑制定怎样的监控反馈政策与程序。通常,过于集权的监控政策会导致因信息缺乏而引起的成本,过于分权的监控政策则会出现因目标不一致而引起的成本。鉴于此,企业对会计信息安全的监控反馈政策与程序的选择应该是权衡这两类成本,使成本之和最小。

(五)制度安排。企业会计信息安全还与企业制度安排密切相关。好的政策制度,能有效协调和激励合意的行为,约束和惩罚不合意的行为,从而带来良好的经济绩效;差的政策制度,则会产生相反的结果。因此,企业在进行会计信息安全方面的制度安排时,需要依据会计信息安全的目标,设计出良好的管控制度,做到能有效地协调和激励符合企业会计信息安全的行为,并能够约束和惩罚不符合企业会计信息安全的行为,进而为企业带来良好的会计信息安全管控效果。需要关注的是,制度安排的效果,还要与其实施的环境密切关联。因为制度实施的环境发生了变化,就有可能使得原先实施效果很好的制度不再那么有效,甚至失效。

二、企业会计信息安全的主要风险问题

通过上文的分析可知,企业会计信息安全受到冲击和挑战的原因很多,具体表现出来的风险问题也是多样的。但是,具体到企业管理实践中,会计信息安全的风险问题基本上集中于员工的会计信息安全认知、会计信息处理系统、风险评估与监控反馈的认识以及对会计信息安全管控制度的执行等几个方面。

(一)员工的会计信息安全认知不足。基于组织环境方面的会计信息安全风险问题多源于企业的员工对会计信息安全认知的不足。其原因在于,与安全有关的问题都离不开“人”这个主体因素。一方面,许多企业管理者的会计信息安全意识、安全知识和安全管理等方面存在不足。譬如,在确定企业会计信息安全管控方案时没有对企业进行全面的自我诊断,仅是对企业的基本状况做了一个大概了解,就直接在企业内部实施现有的标准或者其他企业或组织的成功方案。由于企业既没有充分挖掘会计信息安全现状和对会计信息安全的内在需求,也没有全面考虑利益相关者的利益安全需求,必然会导致企业对会计信息安全的实际需求与其能提供的安全管控之间存在差距。更有甚者,企业管理者对会计信息安全的支持和重视不足,导致企业内部会计信息安全文化缺失和普通员工会计信息安全意识淡薄。另一方面,企业信息化的发展,使得越来越多的非财会相关岗位的普通员工也被包含到企业会计信息安全体系之中。这些员工,甚至一些财会岗位的员工,要么不完全理解会计信息安全的重要性,要么过度信赖企业会计信息安全管控方案,而不愿意把自己的精力和资源放在会计信息安全防护上,或者从根本上就认为即便对会计信息不采取安全防护措施也不一定会造成损失。当然,也存在一些员工由于缺少必要的会计信息安全教育和培训,根本不知道自己不遵守和执行相关的会计信息安全管控方案会对企业带来怎样的不利影响。

(二)会计信息处理系统安全技术滞后。企业会计信息安全需求是随着企业的生产经营活动和企业所处的内外部环境的变化而变化的。但是,很多企业并没有意识到企业会计信息安全需求的动态变化规律,对会计信息安全管控方案依然秉承“投资一次,受用终身”的观念,抱陈守旧。这种投资观直接导致企业会计信息处理系统安全技术跟不上企业生产经营活动和企业所处的内外部环境的变化。具体体现在企业使用的会计信息处理软件本身设计存在缺陷或技术漏洞得不到及时的完善以及杀毒软件、防火墙等相关支持软件不能得到及时更新;没有随着企业业务和环境的变化更新会计信息处理系统导致业务流程描述错误或漏洞、数据访问权限设置不当、关键数据备份不足等问题;以及系统主机、网络线路、终端电脑、附设周边、物化防护等老化损毁等。

(三)会计信息安全风险意识薄弱与风险评估体系缺失。当前,不少企业员工,包括部分企业管理者,其会计信息安全风险意识淡薄,认识不到企业会计信息安全风险的客观性。实际上,企业生产经营活动中,风险是客观存在的,它是无处不在的,也是无时不在的。通常状况下,企业所面临的会计信息安全风险,也与威胁企业实现其战略目标的相关事件密切相关。因此,企业会计信息安全风险的评估,要求企业所有员工能对贯穿于企业方方面面的会计信息安全风险有一个清晰的认知。尤为突出的是,很多企业并没有形成一套有效的会计信息安全风险评估体系来对会计信息处理系统进行风险评估。会计信息安全风险评估体系可以确定各种会计信息采集、整理、处置、披露和使用等行为的边界,明确什么行为是可以做的,什么行为是不可以做的。如果发现有越界的行为,能够及时发现并对其进行控制,进而使得这些越界行为造成的损失降至最低。

(四)会计信息安全监控反馈欠佳。一般来说,企业会计信息安全监控反馈机制可以分为三个步骤。一是对实际会计信息安全的衡量与评估;二是将实际衡量与评估的结果与企业设定的或标准的安全目标进行比较;三是采取必要的管控行动来纠正比较后得出的偏差与不足。显然,会计信息安全监控反馈过程是一个连续行动的过程,其有效性归根结蒂取决于以上的衡量、比较与纠偏三个步骤,其中任何一个步骤或者几个步骤低效率或不作为就会影响企业会计信息安全监控反馈机制的有效性。但是,在现实的企业经营管理实际中,由于企业员工认识不到会计信息安全监控反馈机制是一个衡量、比较与纠偏的连续行动过程,而是过度强调这个监控反馈机制中的某一个步骤或某几个步骤,没有从整个会计信息安全监控反馈机制的全局上考虑,导致企业会计信息安全监控反馈机制运行不畅,监控反馈效果大打折扣,最终使该机制的有效性受到质疑,动摇该机制在企业会计信息安全管控体系中的地位。

(五)会计信息安全管控制度低效。会计信息化依然是个新生事物,企业对会计信息安全管控的认知还处于初级阶段,相关的制度建设尚不完善,有的还处于草创阶段,导致企业日常会计事务的工作制度依然处于缺失状态,会计信息处理系统的使用和维护行为缺乏合理的引导,会计信息处理设备的滥用和误用、会计信息的不当使用等现象时有发生,严重危害企业的会计信息安全。即便企业有相对健全的会计信息安全管控制度,若不能对相关执行人进行必要的激励,也难以使相关制度得到有效执行。其原因在于任何制度都是由人来执行的,要保证制度的执行效果,就必须对执行人进行激励。激励的目的就是当个人的行为能促进企业目标的实现时,能得到企业提供给其相应的价值回报,把企业员工的个人行为动机与企业目标的实现密切关联起来。事实上,很多企业在信息安全管控制度的执行过程中,并没有设立相应的激励指标来推动企业员工为企业信息安全目标的实现而工作。

三、企业会计信息安全的管控建议

针对以上风险问题,企业应该在影响会计信息安全因素的组织环境、信息处理、风险评估、监控反馈、制度安排等方面强化作为。

(一)加强会计信息安全管控组织环境建设。一方面,要强化企业会计信息安全文化建设,在企业内部形成全体员工共同遵循的会计信息安全的信念、价值、意识以及经营哲学等,以此为基础设计相应的企业会计信息安全管控制度,并提供理念支持。还可以在企业文化建设过程中,不断强化企业会计信息安全的重要性和相关会计信息安全管制制度设计的员工参与度,以实现更加公平透明和执行有效的企业会计信息安全管控文化。另一方面,要充分重视人的因素,加强企业员工的职业道德教育和业务素质培养,提高全体员工的职业胜任能力,充分发挥每个员工在完善企业会计信息安全管控制度方面的主观能动性。企业还可以依据员工的工作性质和职位安排,适宜安排企业会计信息安全教育与培训。对企业管理者,强化会计信息安全核心知识、技术手段、风险管理等方面的教育与培训;对企业普通员工,则结合其所在部门的业务特点加强会计信息安全技术手段、风险意识等方面的教育与培训。这样,就可以在企业内部营造企业会计信息安全文化氛围,最大程度地减少人为因素对企业会计信息安全的危害。

(二)适时更新会计信息处理系统安全技术。企业要遵循会计信息安全需求的动态变化规律,对会计信息安全管控方案放弃“投资一次,受用终身”的观念,适时更新会计信息系统处理安全技术,按照“适度防御”的原则,选择合适的安全技术与产品,形成企业适用的安全技术防线。首先,适时更新会计信息处理的安全技术。在企业会计信息处理系统中提供包括用户名、口令等在内的多种身份验证机制,必要时还需嵌入支持双因素认证和具备登录控制模块,同时在会计信息处理的日常作业不受影响的情况下,控制相应员工的访问权限,减少可能的越权操作,保障会计信息处理系统的安全。其次,适时更新会计数据的安全技术。企业应通过适时更新加密等技术手段保护会计信息处理系统中数据的保密性和完整性,提高会计信息数据访问的抗依赖性。此外,还需加强相关会计信息数据的异地崩溃或者灾难恢复机制,通过实现本地会计信息数据能够异地备份和复制,避免本地会计信息处理系统由于崩溃或者灾难等而导致会计信息数据遗失。再次,适时更新网络安全技术。不但要适时更新系统扫描技术并对会计信息处理系统和操作系统层设备进行智能化检测,帮助企业网络管理人员高效完成定期检测和操作系统的漏洞修复,还要适时更新系统实时入侵探测技术来监控主机系统事件,检测可疑特征并给予响应和处置。此外,还要适时更新在企业内外部部署的网络和信息安全设施,强化会计信息处理系统的物理实体管理,同时加强对漏洞扫描系统和入侵检测系统的更新,以实现会计信息处理系统受到内外部误操作或各种攻击时的实时保护。最后,适时完善物理设备的安全防护技术。不但要采取全面可靠的防火墙技术和防病毒系统,还要针对环境的物理灾害、人为蓄意破坏甚至自然灾害采取有效的物化防护技术,保障相关物理设备的安全。

(三)形成会计信息安全风险评估体系。任何企业管理机制的构建都是一个系统工程,能否构建成功且在以后的运行中有效,关键是相关风险的评估。正如管理大师德鲁克所说,没有评估就没有管理。同样的道理,没有评估就不可能实现管理机制的构建与施行。对会计信息安全管制机制的构建亦是如此。为此,企业为了构建有效的会计信息安全管理机制,就需对可能的损害企业会计信息安全的风险进行归集与分类,形成会计信息安全风险评估体系。具体做法,可以采用以下三步。第一步,构建适应企业经营实践和企业会计信息安全要求的会计信息安全风险评估目标体系。既要根据会计信息的完整性、可用性、保密性和可靠性设置会计信息安全的一般目标,又要根据会计信息安全管控环节设置具体目标,譬如会计信息安全管控业务执行的有效性、及时性、正确性等。第二步,按照会计信息处理的授权管理、岗位牵制、资源接触等安全管控类型,分析并得出会计信息处理业务流程和各部门的关键风险控制点和一般风险控制点。最后,根据上述风险控制点设置相应的会计信息安全管控评估指标,并对每个指标进行具体说明,且给出这些指标的评估方法和评分标准。

(四)推行企业全面信息安全监控反馈机制。会计信息安全管控不应该仅仅是涉及到会计信息这样一个狭小的范畴,而应该是一个综合的概念,要把企业的经营环境、愿景理念、组织领导、战略计划等综合起来考虑。既要认识到现代企业中会计信息安全管控的重要性,也要能从会计信息安全的管控上升到企业信息安全管控,推行企业全面信息安全监控反馈机制,实现企业全面信息安全管控,并使之成为企业的管理哲学。首先,要做到内容方式的全面性。不仅要着眼于会计信息安全的管控,还要能从企业战略的高度审视和评估会计信息安全管控,更要注重各种安全技术和方法的综合使用,确保能实现从单纯的会计信息安全管控向企业全面信息安全管控转变。其次,要做到管控过程的全面性。要把会计信息安全管控作为核心贯穿到整个企业经营过程中,即从市场调查、产品开发、生产销售等环节延续到产品售后都要实行相应的会计信息安全管控,确保会计信息从静态安全管控向动态安全管控转变,进而实现会计信息的保护、检测、反应和恢复协调一致。最后,要做到管控人员的全面性。即要求包括企业高管、其他管理人员、工程技术人员和普通员工在内的全体员工都要参与到全面信息安全管控中,各司其职,对会计信息安全负责。

(五)强化会计信息安全管控制度安排。强化企业会计信息安全管控制度建设,不外乎制度本身的完善和既有制度的有效执行。会计信息安全管控制度的完善,就是建立一套完善的会计信息安全管控制度。这既是会计信息本身安全的基础,也是会计信息安全管控的前提。完善的会计信息安全管控制度至少应该包括会计信息处理系统的开发或选购、使用、维护和应急制度,以及机房和终端等会计信息处理系统物理实体管理制度、会计信息数据的使用制度、会计信息数据备份制度、会计信息安全风险评估制度、会计信息安全审计制度等,实现从会计信息数据采集整理到会计信息数据使用备份的会计信息处理全程制度无缝构建,并随着企业经营环境的变化适时更新和完善。而既有会计信息安全管控制度的有效执行,则需充分重视企业员工绩效考核制度。恰当在企业员工的绩效考核中纳入企业会计信息安全评估的内容,使其获得报酬的变量和风险密切关联于企业会计信息安全。这样就可以保证企业员工在会计信息安全管控制度的执行方面上,能够基于企业的长期利益,而不是其个人利益,进而实现既有会计信息安全制度的有效执行。

四、结束语

企业会计信息安全对企业生产经营活动的可持续发展以及对市场经济的建立健全等方面的作用是不容置疑的。但是,也要看到我国关于企业会计信息安全乃至整个企业信息安全管控实践和研究的起步较晚,与发达市场经济国家在初始条件和实践能力方面还存在一定程度的差距。这是我国企业在进行会计信息安全管控时所必须要考虑到的一个基本现实。因此,本文认为企业会计信息化安全管控,既是一个不断发现问题和解决问题的过程,也是一个不断迎接挑战和接受冲击的过程。

参考文献:

[1]张红旗,王新昌,杨英杰等.信息安全管理[M].北京:人民邮电出版社,2007.

[2]胡英松.信息化会计信息安全问题研究[J].哈尔滨商业大学学报(社会科学版),2009,(4):83-85.

[3]ISO.ISO/IEC27002:2005[EB/OL].[2015-08-17].https:///obp/ui/#iso:std:iso-iec:27002:ed-1:v1:en.

[4]NSTISSC.Trusted Computer System Evaluation Criteria[EB/OL].[2015-08-17].Available online,http://csrc.nist.ov/publications/history/dod85.pdf

[5]梅雨.企业财务监控问题解析[J].中国管理信息化,2009,(9):48-50.

[6]Schultz E.The Human Factor in Security[J].Computers and Security,2005,24(6):425-426.

篇2

论文摘要:作为未来最适应时代要求的政府工作形态,电子政务建设是我国当前信息化工作的重,点,未来政府办会发展的趋势。本文探论了综合电子政务平台的棍念、结构和相关技术,分析了电子政务所面临的安全威胁,并提出了相应的解决方案。

1综合电子政务平台概述

    电子政务是指政府机构应用信息技术提高政府事务处理的信息流效率,对政府机构和职能进行优化,改善政府组织和公共管理能力。通常由核心网络、接人网络及访问网络三部分组成。建设内容一般包括:电子政务网络平台、政府门户网站、电子政务主站点、“一站式”行政审批系统、视频会议系统、公文交换和信息报送系统、电子邮件系统、办公自动化系统等。

    电子政务网络平台网络结构中,核心网络拥有重要的信息资源,并处理政府部门间的核心业务。政府部门间的数据交换流程是闭环的,即任何一个节点既是用户又是数据源。因此,核心网络节点之间的业务流程应该是高速、严密、安全的,并且有严格的审核机制。核心网络与接人网络形成上下级关系的协同工作平台,进行信息、数据的交换。它们之间的信息往来必须具备信任安全体系。政府核心网络面向社会公众提供信息服务,对外宣传政府信息,与访问网络建立连接。

2综合电子政务平台的安全风险

2.1网络安全域的划分和控制问题

    电子政务中的信息涉及国家秘密、国家安全,因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向是要为社会提供行政监管的渠道,为社会提供公共服务,如社保医保、大量的公众咨询、投诉等等,它同时又需要一定程度的开放。因此如何合理地划分安全域显得非常重要。

2.2内部监控、审核问题

    目前绝大部分单位都没有系统可以实时地对内部人员除个人隐私以外的各项具体操作进行监控和记录,更不用谈对一些非法操作进行屏蔽和阻断了。

2.3电子政务的信任体系问题

    电子政务要做到比较完善的安全保障体系,第三方认证是必不可少的。只有通过一定级别的第三方认证,才能说建立了一套完善的信任体系。

2 .4数字签名(签发)问题

    在电子政务中,要真正实行无纸化办公,很重要的一点是实现电子公文的流转,而在这之中,数字签名(签发)问题又是重中之重。

2.5电子政务的灾难响应和应急处理问题

    很多单位在进行网络规划的时候,没有考虑到作为系统核心部分一一数据库本身的安全问题,完全依赖干整个网络的防护能力,一旦网络的安全体系被穿破或者直接由内部人员利用内网用户的优势进行破坏,“数据”可以说无任何招架之力

3综合电子政务平台安全体系建设方案

3 .1技术保障体系

    技术保障体系是安全管理体系的重要组成部分。它涉及两个层面的问题,一是信息安全的核心技术和基本理论的研究与开发,二是信息安全产品和系统构建综合防护系统。

    信息安全技术。信息安全的核心技术主要包括数据加密技术、信息隐藏技术和信息认证技术。数据加密是把有意义的信息编码为伪随机性的乱码,以实现信息保护的目的。数字签名是指只有发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对发送者信息真实性的证明。

    信息安全防护体系。目前,主要的信息安全的产品和系统包括防病毒软件、防火墙、入侵检测系统、漏洞扫描、安全审计系统、物理隔离系统等。我们可采用屏蔽子网体系结构保证核心网络的安全。屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与internet隔离开。在这种结构下,即使攻破了堡垒主机,也不能直接侵人内部网络,它将仍然必须通过内部路由器。

3.2运行管理体系

    安全行政管理。电子政务的安全行政管理应包括建立安全组织机构、安全人事管理、制定和落实安全制度。

    安全技术管理。电子政务的安全技术管理可以从三个方面着手:硬件实体、软件系统、密钥。

    风险管理。风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。

3.3社会服务体系

    安全管理服务。目前,一些信息安全管理服务提供商(managed  security service providers, mssp)正在逐步形成,它们有的是专门从事安全管理服务达到增值目的的,有的是一些软件厂商为弥补其软件系统的不足而附加一些服务的,有的是一些从it集成或咨询商发展而来提供信息安全咨询的。

    安全测评服务。测评认证的实质是由一个中立的权威机构,通过科学、规范、公正的测试和评估向消费者、购买者即需方,证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。

    应急响应服务。应急响应是计算机或网络系统遇到安全事件如黑客人侵、网络恶意攻击、病毒感染和破坏等时,所能够提供的紧急的响应和快速的救援与恢复服务。

3.4基础设施平台

    法规基础建设。主要有以下几方面:在国家宪法和各部门法中对各类法律主体的有关信息活动涉及国家安全的权利和义务进行规范,形成国家关于信息及信息安全的总则性、普适性的法规体系;针对各类计算机和网络犯罪,制订直接约束各社会成员的信息活动的行为规范,形成计算机、网络犯罪监察屿防范体系;对信息安全技术、信息安全产品(系统)的授权审批应制订相应的规定,形成信息安全审批与监控体系;针对信息内容的安全与保密问题,制订相应规定,形成信息内容的审批、监控、保密体系;从国家安全的角度,制订网络信息预警与反击体系等。

篇3

一、自查情况

(一)安全制度落实情况

一是成立了信息系统安全小组。明确了信息安全的主管领导和具体负责管护人员,负责局信息系统安全监督管理;二是建立了信息系统安全责任制。按责任规定:安全小组对信息安全负首责,主管领导负总责,具体管理人负主责;三是制定了计算机及网络的保密管理制度。局网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。

(二)安全防范措施落实情况

一是计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性;二是计算机都设有开机密本文来源:文秘站 码,由专人保管负责。同时,计算机相互共享之间设有严格的身份认证和访问控制;三是网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等;四是安装了针对移动存储设备的专业杀毒软件。

(三)应急响应机制建设情况

一是制定了初步应急预案,并随着信息化程度的深入,结合我局实际,处于不断完善阶段;二是坚持和计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予应急技术以最大程度的支持;三是严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行存档;四是及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。

(四)信息技术产品和服务国产化情况

一是终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品;二是公文处理软件具体使用的是word20__系统;三是年报系统皆为县委、县政府统一指定产品系统。

二、存在不足和整改意见

根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我局实际,今后要在以下几个方面进行整改。

存在不足:一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及时。

篇4

【 关键词 】 IT 项目;信息安全管理;措施

The Analysis of Information Safety Management for IT Program

Lin Ting

(Chaina Unionpay Data Services Co.,Ltd Shanghai 200001)

【 Abstract 】 Based on the information safety management of IT program in the confidential engineering, the analysis scope of information safety is defined, and the risk of the program is researched. According to the study, the control measurement is established so that it is effective to control and reduce the risk for the safety of information system.

【 Keywords 】 IT program; information safety management; measurement

1 引言

公司与军方合作比较广泛,有一个关于武器设计的项目。由于项目的特殊性,整个项目的安全要求高,本着“安全第一,应用第二”的原则,对内部网络的建设从发展的眼光出发,将前瞻性与实用性相结合,在分析信息系统风险的基础上,制定出信息系统风险应对措施,进行风险控制,降低信息系统的风险,保障信息系统的安全。

2 安全需求分析

2.1 信息安全范围需求

确保整个系统在建设之中和建设之后的维护的安全性同,所涉及的范围包括内容有:1)信息,包括数据、资料等; 2)硬件、软件;3)环境及支持设备;4)参与人员的管理;5)网络通讯设备;6)存储设备。

2.2 信息安全优先级需求

按由高到低的顺序,依次是关键岗位人员的管理、重要信息、存储信息的存储设备、网络通讯设备、服务、软件、硬件、环境支持设备。

3 风险识别与分析

风险识别与分析从潜在的危险和系统的安全威胁等方面进行。

3.1 潜在的威胁

潜在威胁主要来自内部和外部。其中来自内部的犯罪主要是其一:纯粹出于经济目的,或其他目的,利用自己可能的手段窃取信息,破坏信息系统;其二则是在外部罪犯的指使、收买下,在可能获得外部技术支持的情况下,对信息系统实施攻击。信息网络系统对两种内部人员的犯罪都应有所防备;该项目信息安全保密实施的重点是防止系统的破坏和信息的损失。

3.2 系统的安全威胁

该单位系统与外界是物理隔离,所以通信数据被窃听的概率很小。但仍然存在如下威胁:非法访问、电磁泄漏、假冒;抵赖、破坏网络的可用性、失误操作、病毒侵害、自然灾害和环境事故、电力中断。

4 风险响应规划

根据上面风险识别与风险分析结果,制定以下风险应对措施。

4.1 信息传输与存储方案

该单位信息网络系统是一个级别达到机密级的信息网络,因此,按照国家保密局的规定,秘密、机密信息在所科研区等封闭区域内的传输可采用光缆或屏蔽电缆,如果采用非屏蔽电缆而又不能满足与其他并行线的线间距要求时,必须采用远程加密传输。该单位的信息加密必须采用国家指定的算法,不得使用国外算法;该单位的信息加密可采用密文存储和存取控制两种方式;加密算法每三年必须更换,算法提供单位必须是同一家单位。

4.2 物理安全管理方案

对于出入存放机密级和机密级以上信息的设备地方,必须建立严格的审查登记制度,保证所有出入存放地的人员必须留有书面纪录,包括姓名,证件,部门,进入时间和离开时间;

处理机密级和机密级以上信息的设备必须放在有铁门、铁窗、铁柜的“三铁”保护措施的地方:系统中心机房应采取安全防范措施,确保非授权人员无法进入。处理秘密级、机密级信息的系统中心机房应采用有效的电子门控系统。处理绝密级信息和重要信息的系统中心机房门控系统应进行身份鉴别,应有电视监视系统,并建立磁屏蔽区域保护设施。

4.3 信息级别管理方案

所有信息处理、传输、存储、输入、输出设备均应按照保密部门所规定的密级确定相应的最高级别。密级的变化由保密部门确定后及时通知网管中心。设备的使用人必须清楚了解该级别的规定,并熟悉对该级别信息处理的要求。

4.4 介质安全使用管理方案

U盘、硬盘、光盘、磁带等介质应标明级别,并按相应密级管理。存储过信息的介质不能降低密级使用。不再使用的介质应及时销毁。介质的维修应保证所存储的信息不被泄露,维修应在本单位进行,维修点需由单位保密委员会指定或认可;必须在单位外维修的,必须指派专人全程跟踪负责,保证所存储的信息不被泄露。

4.5 身份管理方案

处理秘密级信息的系统可采用口令进行身份鉴别,口令长度不得少于8个字符,口令更换周期不得长于一个月;处理机密级信息的系统应采用IC卡(或USB-KEY)进行身份鉴别,也可采用口令或其他措施加口令的方式进行身份鉴别,口令长度不得少于10个字符,口令更换周期不得长于一周:系统所使用的口令不得由用户产生,应当由系统安全管理员集中产生供用户选用,并且应当有口令更换记录;应采用组成复杂、不易猜测的口令,一般应是大小写英文字母、数字、特殊字符中两者以上的组合。

4.6 数据备份与恢复方案

在内部网络系统中,主要设备、软件、数据、电源等应有备份,并具有在较短时间内恢复系统运行的能力。该单位信息系统中关键服务器系统均需要进行系统备份,尽量在系统崩溃以后能快速、简单、完全地恢复系统的运行。进行备份的最有效的方法是只备份那些对于系统崩溃恢复所必需的数据。核心服务器上的数据文件必须每周备份,而且必须每天进行文件增量备份;每天业务结束时进行增量备份。周备份的介质必须实行异地存储。异地存储要求包含多种备份介质。

4.7 防黑客方案

防火墙是用在网络出入口上的一种访问控制技术,是对付黑客的一种主要手段。防火墙技术的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。

防火墙在内部网络中发挥上述作用主要是通过两个层次的访问控制实现的,一个是由状态包过滤提供的基于IP地址的访问控制功能,另一个是由防火墙提供的基于应用协议的访问控制功能。另外,部分防火墙还提供地址映射服务,以隔离高子网。

4.8 事故应急方案

该单位制定了在该所内部网络发生安全事故时的应急响应步骤。安全事故包括失窃、用户口令丢失、可疑的系统访问(包括共享口令)、内部网络的入侵行为、计算机病毒等。以上安全事故被分为三个级别:

(1)一级安全事故损失最小,事故发生后需要在一个工作日内得到控制。此类安全事故只需与网络管理中心联系即可。该类事故包括:个人口令丢失或遗忘、可疑的共享行为等;(2)二级安全事故损失稍大,事故发生后需要在2h-4h内得到控制;此类安全事故需要通知所网络管理中心和所安全保密办公室。该类事故包括:可疑人员进入机房,使用计算机(或本所职工出现可疑行为);未授权的访问等;(3)三级安全事故发生后,必须立即防止事故危害扩散,同时必须立即通知所保密办、保密委,并视情况严重程度逐级上报。

4.9 风险监控的策略

(1)建立合理的、科学的信息安全工作体系:设立所决策层、管理层、执行层三层组织机构,制定各种管理制度与流程,采取相应的信息安全技术措施。

(2)风险控制主要途径:根据控制成本与风险平衡的原则,通过以下途径及主要措施将风险控制在可接受的范围。

1)避免风险:所内部网络与其他网络物理隔离,可以避免所内信息系统遭受来自外部的威胁。在公共信息网上采取适当的安全措施,降低来自外部的威胁。严禁在公共信息网上处理信息,降低外部威胁对所信息资产的影响;2)减少威胁:通过身份认证、访问控制、网络监控、入侵监测、审计和安装防病毒软件等技术措施,建立黑客防范系统和恶意代码防范系统,减少信息系统受到内部员工黑客行为和恶意代码攻击的机会;3)减少薄弱点:通过教育和培训强化员工的安全意识和安全操作技能;建立和完善信息安全管理制度,强化安全制度的检查和落实;4)减少威胁可能的影响程度:应用密码技术对信息的存储和传输进行加密处理;建立并实时业务系统的应急响应计划,此计划包括备份保护、应急响应、测试维护等活动的安全要求。

(3)安全解决方案动态调整:安全解决方案的基础是风险分析,应该根据风险的变化,进行动态调整。风险的变化来自两个方面:一是信息系统的脆弱性以及威胁技术发生变化;二是信息系统发生变更后可能产生的新的安全风险和风险变化。一成不变的静态风险管理,在风险发生变化时不仅起不到应有的安全作用,相反会产生负面影响。因此,风险管理应该动态进行,达到风险预测、实时响应、降低风险的良性循环能力。

5 案例实施结果

已经完成的项目的每一个阶段,实施风险措施后,进行动态监测,发现新的风险,及时调险应对措施,实施措施后,动态监测。如此反复循坏,达到了降低风险,减少威胁的目的,项目进展顺利,初步实现项目的目标。

参考文献

[1] 罗布・托姆塞特.极限项目管理.电子工业出版社,2005.

[2] 索威基.有效的项目管理.电子工业出版社,2002.1.

[3] 拉里・康斯坦丁.超越混沌:有效管理软件开发项目.电子工业出版社,2002.4.

篇5

大会热忱欢迎从事信息安全领域管理、科研、教学、生产、应用和服务的组织机构和个人踊跃投稿。所投稿件经过专家组评审后,录取论文将在《信息网络安全》(2015年第9期)杂志正刊上刊登,并收录中国知网论文库。《信息网络安全》将赠送国家图书馆等单位作为藏书收藏,并向录取论文作者发放稿费,专委会还将向优秀论文作者颁发奖金和获奖证书。

一、会议主题

2015年是网络强国战略的起步年。网络强国离不开自主可控的安全技术支持,只有实现网络和信息安全的前沿技术和科技水平的赶超,才能实现关键核心技术的真正自主可控,才能实现从战略层面、实施层面全局而振的长策。当前,信息网络应用飞速发展,技术创新的步伐越来越快,云计算、大数据、移动网络、物联网、智能化、三网融合等一系列信息化应用新概念、新技术、新应用给信息安全行业提出新的挑战。同时,国际上网络安全技术事件和政治博弈越来越激烈和复杂,“工业4.0”时代对网络安全的冲击来势汹涌。我们需要全民树立建设网络强国的新理念,并切实提升国家第五空间的战略地位和执行力。本次会议的主题为“科技是建设网络强国的基础”。

二、征文内容

1. 关于提升国家第五空间的战略地位和执行力的研究

2. 云计算与云安全

3. 大数据及其应用中的安全

4. 移动网络及其信息安全

5. 物联网安全

6. 智能化应用安全

7. 网络监测与监管技术

8. 面对新形势的等级保护管理与技术研究

9. 信息安全应急响应体系

10. 可信计算

11. 网络可信体系建设研究

12. 工业控制系统及基础设施的网络与信息安全

13. 网络与信息系统的内容安全

14. 预防和打击计算机犯罪

15. 网络与信息安全法制建设的研究

16. 重大安全事件的分析报告与对策建议

17. 我国网络安全产业发展的研究成果与诉求

18. 其他有关网络安全和信息化的学术成果

凡属于网络安全和信息安全领域的各类学术论文、研究报告和成果介绍均可投稿。

三、征文要求

1. 论文要求主题明确、论据充分、联系实际、反映信息安全最新研究成果,未曾发表,篇幅控制在5000字左右。

2. 提倡学术民主。鼓励新观点、新概念、新成果、新发现的发表和争鸣。

3. 提倡端正学风、反对抄袭,将对投稿的文章进行相似性比对检查。

4. 文责自负。单位和人员投稿应先由所在单位进行保密审查,通过后方可投稿。

5. 作者须按计算机安全专业委员会秘书处统一发出的论文模版格式排版并如实填写投稿表,在截止日期前提交电子版的论文与投稿表。

6、论文模版和投稿表请到计算机安全专业委员会网站下载,网址是:.cn。

联系人:田芳,郝文江

电话:010-88513291,88513292

征文上传Email 地址:

篇6

1.1电子信息的加密技术

所谓电子信息的加密技术也就是对于所传送的电子信息能够起到一定的保密作用,也能够使信息、数据的传递变得更加安全和完整。电子信息的加密技术是保障电子科技企业信息安全的重要保证。加密技术也主要分为对称以及非对称两类,对称的加密技术一般都是通过序列密码或是分组机密的方式来实现的。这其中还包括了明文、密钥、加密算法以及解密算法五个基本的组成部分。而非对称加密与对称加密也存在一定的差异,非对称加密必须要具备公开密钥和私有密钥两个密钥,同时,这两种密钥只有配对使用,这样才能解密。因此加密技术对于电子信息的安全具有很大的保障。如果在发送电子信息的时候,发送人是使用加密技术来发送邮件的,那么有人窃取信息的时候,也只能够得到密文,不能得到具体的信息。这样就大大加强了信息传送的安全性。加快推进国内关键行业领域信息系统的安全评估测试。在安全评估方面,主要针对主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。

1.2防火墙技术

随着网络技术的不断发展,虽然对于信息安全问题已经不断的得到加强,但是一些信息的不安全因素也在逐级的提高。有一些黑客或者是病毒木马也在不断的入侵,而这些不安全的因素会极大的威胁到电子科技企业信息的安全。而针对这种情况,一种比较有效的防护措施就是防火墙技术的使用。这种技术可以有效的防止黑客的入侵以及电脑中的信息被篡改等情况的发生。这样就能够有效的保障电子科技企业信息的安全。加强企业信息基础设施和重要信息系统建设,建设面向企业的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务;建设企业信息安全数据库,为广大企业提供快速、高效的信息安全咨询、预警、应急处理等服务,实现企业信息安全公共资源的共享共用,提高信息安全保障能力。

二、解决电子科技企业信息安全问题的方法

2.1构建电子科技企业信息安全的管理体系

如果要想有效的保障电子科技企业的信息安全,除了要不断的提高安全技术水平,还要建立起一套比较完善的信息安全管理体系。这样才能使整个信息安全工作更加有条不紊的进行。在很多电子科技企业当中,最初所建立的相关信息制度在很大程度上都制约着信息系统的安全性。如果一旦安全管理制度出现了问题,那么一系列的安全技术都无法发挥出来。很多信息安全工作也无法正常进行下去。因此,严格的信息安全管理体系对于信息安全的保障具有十分重要的作用。只有当信息安全管理形成了一个完善的体系,那么信息安全工作才能够更加顺利的进行,同时也能够大大的提升信息安全的系数。

2.2利用电子科技企业自身的网络条件来提供信息安全服务

一般来说,电子科技企业都拥有自己的局域网,很多企业也可以通过局域网来相互连通。因此,电子科技企业应该充分的利用这一特点为自身的企业提供良好地信息安全服务。通过局域网的连通,不仅能够在这个平台上及时的公布一些安全公告以及安全法规,同时还可以进行一些安全软件的下载,为员工提供一些关于信息安全的培训。这样不仅能够为企业之间的员工提供一个安全的互相交流的平台,同时还能够很好的保障企业信息安全。针对企业主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。

2.3定期对信息安全防护软件进行及时的更新

篇7

2021学校关于突发事故的应急预案

为了保证学校师生的安全,健全大型活动的安全防范制度,搞好学校的安全工作,特制定学校大型活动安全预案。

一、事故预防:

1.凡是外出活动,须严密组织,统一指挥。

2.凡是举行大型活动,事先做好学生的学习动员和安全教育工作。

3.带队教师明确职责,做好学生的安全教育和管理工作,教会学生观察好安全疏散通道。

4.凡是外出活动,学校校医必须配备小药箱,以便应急。

5.凡是外出活动,体育教师和班主任组织学生以班为单位排成两路纵队行进,前后呼应。严格行进纪律,注意行进安全。

6.到达活动目的地后,必须听从当地的统一指挥。无论是参观或是听取报告,必须遵守各处的规定和要求。

7.凡是进展室参观,参观者需成一路纵队,鱼贯而入,遵守展室规定,不准随意触摸展品。

二、应急处理:

1.凡是在活动中发生伤害事故或发生病痛情况,应做出紧急处理,严重者需拨打120或直接送医院医治。

2.当事人要及时报告学校应急领导小组。

3.做好学生的情绪安抚工作,保持秩序井然。

2021学校关于突发事故的应急预案

本预案是指学生在体育活动中,因活动保护不当造成的事故,轻则挫伤、擦伤、关节损伤、肌肉抽筋、拉伤,重则造成骨折、呼吸紊乱、严重休克甚至丧失生命。伤害事故一般发生在球类活动、

体操、田径运动等运动项目中。

一、体育活动事故的应急处理

1.在场人员发现险情后要及时报告在场老师、校医和班主任,紧急或情况复杂时还应及时报告学校领导;校医应立即到达现场,了解伤者情况,判断伤情,先行急救;遇到重伤的或不能判断伤情的,应及时送医院检查、急救或打 120 救护电话。

2.及时通知家长及其他监护人,以便作出救治决定,并作好安慰工作。

3.保护现场、了解事故发生经过,调查事故原因,作好有关记录并保护现场,采集有关证据,以利于对事故处理做到事实清楚,责任明确。

4.重大的伤害事故要及时上报上级有关部门。

5.事故发生在课上或因学校设施原因造成伤害的,根据上级有关规定,学校应承担责任的。学校应视情况及时报告保险公司。

6.前往医院探视,随时掌握伤者身体康复情况。

二、体育活动事故的预防

1.加强思想教育、增强防范意识。中小学生好胜心强,经验不足,思想上麻痹大意,缺乏预防事故的意识,教师要教育学生树立“宁失一球,勿伤一人”的思想。

2.完善活动设施建设和管理。运动场地要保持平整,不应有坑洼、石块等,地面不宜太硬、打滑;球架、球门要定期检修。

3.教学和训练、竞赛活动必须精心设计、严密组织、严格要求、严格训练。

①建立良好教学秩序、重视课前准备。教师、学生着装规范,必须穿着体育服装上课,学生不准穿皮鞋、有跟鞋、凉鞋,女学生不穿裙子上课。

②精密组织教学,加强纪律教育。体育教师必须经常反复地向学生进行遵守纪律、遵守常规、服从组织、遵守游戏规则等方面的教育。

③培养学生自我保护、相互保护的意识。

④体育教师应掌握特异体质的学生情况,掌握合理的运动量、注意区别对待。在运动量的掌握上,教师要随时注意学生的生理反应,进行合理调整;教师对于病痛、体弱、伤残的学生要及时关心,安排他们免修、见习等。

4.重视准备活动、加强医务监督。教师应根据上课内容和气候情况决定准备活动的内容,严禁不做准备活动就进入体育活动,准备活动要充分、有针对性;学生应掌握自我医务监督的常识。

5.加强保护措施。严格裁判、禁止粗野动作,不使用错误的推、拉、撞等危险动作。加强组织领导,建立和健全规章制度。

2021学校关于突发事故的应急预案

为有效预防学校实验室事故的发生,防止学校实验室事故事态的扩大,保障在实验室进行教育教学活动的师生的生命安全,制定本预案。

一、事故的处理:

1.火灾事故按火灾事故处理预案进行处理,按如下顺序操作:报警、疏散等。

2.一旦发生学生伤害事故,立即送学校医务室,由校医视伤者情况决定是否送医院,若情况严重则立即将伤者送医院或拨打120电话。及时通知班主任。

3.通知受伤学生家长,如实告知情况。

4.保护现场。

5.重大事故必须立即向教育局汇报,先口头、后书面。

6.进行善后处理,接待学生家长,进行理赔或补偿协商。

二、事故的预防:

1.明确引发实验室事故的原因:实验室的易燃物品遇到明火、电火;实验人员操作不当;学生违规自行接触危险物品;易燃易爆物品管理不善。

2.实验指导老师工作认真负责、专业知识丰富、合格、称职。

3.学校加强对学生的行为规范教育。不随意触摸实验室物品;教育学生不在实验室随便使用明火。

4.学生必须在教师的指导下,按规范的操作方法进行实验。

5.实验室易燃易爆或有毒物品必须做到“双人双锁”保管。为防止剧毒物品外盗或外流,存放处需安装报警装置。

6.无关人员不得随意进入实验室。

7.实验室电线、电器必须定期检查,发现问题及时维修、解决。

8.按规定配备足够数量的灭火器材。

2021学校关于突发事故的应急预案

为确保网络正常使用,充分发挥网络在信息时代的作用,促进教育信息化健康发展,根据国务院《互联网信息服务管理办法》和有关规定,特制订本预案,妥善处理危害网络与信息安全的突发事件,最大限度地遏制突发事件的影响和有害信息的扩散。

一、危害网络与信息安全突发事件的应急响应

1.如在局域网内发现病毒、木马、黑客入侵等

网络管理中心应立即切断局域网与外部的网络连接。如有必要,断开局内各电脑的连接,防止外串和互串。

2.突发事件发生在校园网内或具有外部ip地址的服务器上的,学校应立即切断与外部的网络连接,如有必要,断开校内各节点的连接;突发事件发生在校外租用空间上的,立即与出租商联系,关闭租用空间。

3.如在外部可访问的网站、邮件等服务器上发现有害信息或数据被篡改,要立即切断服务器的网络连接,使得外部不可访问。防止有害信息的扩散。

4.采取相应的措施,彻底清除。如发现有害信息,在保留有关记录后及时删除,(情况严重的)报告市教育局和公安部门。

5.在确保安全问题解决后,方可恢复网络(网站)的使用。

二、保障措施

1.加强领导,健全机构,落实网络与信息安全责任制。建立由主管领导负责的网络与信息安全管理领导小组,并设立安全专管员。明确工作职责,落实安全责任制;bbs、聊天室等交互性栏目要设有防范措施和专人管理。

2.局内网络由网管中心统一管理维护,其他人不得私自拆修设备,擅接终端设备。

篇8

企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。

2.P2DR模型

P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。

(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。

(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。

(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

(1)确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。

(2)确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。

(3)组建适当的评估管理与实施团队

篇9

当今是一个网络时代,也是一个科技化快速高速发展的时代。特别是对于电子科技企业来说,信息就成为了一个企业成败的关键。只有通过有效信息的掌握,才能让企业未来的道路越走越好。随着这样的趋势,企业信息化的进程也在不断的发展,信息不仅是在一定程度上掌握了企业未来的命运,同时对于企业管理水平的提高也起到了非常重要的作用。有一些企业的商务活动基本上都是通过电子商务的形式来完成的,还有一些生产运作、运输以及管理都离不开信息化的建设。还有一些电子科技企业为了企业未来的发展,要进行企业形象的宣传,产品以及服务信息很大程度上都要依赖于信息化的建设。如今,信息化的时代已经到来,信息化的建设对于电子科技企业来说具有至关重要的作用,因此电子科技企业应该加快信息化建设的步伐,这样才能促进电子科技企业进一步的发展。

2电子科技企业安全技术的阐述

2.1电子信息的加密技术

所谓电子信息的加密技术也就是对于所传送的电子信息能够起到一定的保密作用,也能够使信息、数据的传递变得更加安全和完整。电子信息的加密技术是保障电子科技企业信息安全的重要保证。加密技术也主要分为对称以及非对称两类,对称的加密技术一般都是通过序列密码或是分组机密的方式来实现的。这其中还包括了明文、密钥、加密算法以及解密算法五个基本的组成部分。而非对称加密与对称加密也存在一定的差异,非对称加密必须要具备公开密钥和私有密钥两个密钥,同时,这两种密钥只有配对使用,这样才能解密。因此加密技术对于电子信息的安全具有很大的保障。如果在发送电子信息的时候,发送人是使用加密技术来发送邮件的,那么有人窃取信息的时候,也只能够得到密文,不能得到具体的信息。这样就大大加强了信息传送的安全性。加快推进国内关键行业领域信息系统的安全评估测试。在安全评估方面,主要针对主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。

2.2防火墙技术

随着网络技术的不断发展,虽然对于信息安全问题已经不断的得到加强,但是一些信息的不安全因素也在逐级的提高。有一些黑客或者是病毒木马也在不断的入侵,而这些不安全的因素会极大的威胁到电子科技企业信息的安全。而针对这种情况,一种比较有效的防护措施就是防火墙技术的使用。这种技术可以有效的防止黑客的入侵以及电脑中的信息被篡改等情况的发生。这样就能够有效的保障电子科技企业信息的安全。加强企业信息基础设施和重要信息系统建设,建设面向企业的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务;建设企业信息安全数据库,为广大企业提供快速、高效的信息安全咨询、预警、应急处理等服务,实现企业信息安全公共资源的共享共用,提高信息安全保障能力。

3解决电子科技企业信息安全问题的方法

3.1构建电子科技企业信息安全的管理体系

如果要想有效的保障电子科技企业的信息安全,除了要不断的提高安全技术水平,还要建立起一套比较完善的信息安全管理体系。这样才能使整个信息安全工作更加有条不紊的进行。在很多电子科技企业当中,最初所建立的相关信息制度在很大程度上都制约着信息系统的安全性。如果一旦安全管理制度出现了问题,那么一系列的安全技术都无法发挥出来。很多信息安全工作也无法正常进行下去。因此,严格的信息安全管理体系对于信息安全的保障具有十分重要的作用。只有当信息安全管理形成了一个完善的体系,那么信息安全工作才能够更加顺利的进行,同时也能够大大的提升信息安全的系数。

3.2利用电子科技企业自身的网络条件来提供信息安全服务

一般来说,电子科技企业都拥有自己的局域网,很多企业也可以通过局域网来相互连通。因此,电子科技企业应该充分的利用这一特点为自身的企业提供良好地信息安全服务。通过局域网的连通,不仅能够在这个平台上及时的公布一些安全公告以及安全法规,同时还可以进行一些安全软件的下载,为员工提供一些关于信息安全的培训。这样不仅能够为企业之间的员工提供一个安全的互相交流的平台,同时还能够很好的保障企业信息安全。针对企业主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。

3.3定期对信息安全防护软件进行及时的更新

篇10

关键词:大数据;计算机信息安全;企业;防护策略

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)01-0023-02

大数据(big data)形成于传统计算机网络技术应用中,并不能将它理解为传统意义中大量数据的集合,而是其中涵盖了更多的数据信息处理技术、传输技术和应用技术。正如国际信息咨询公司Gartner所言“大数据在某些层面已经超越了现有计算机信息技术处理能力范围,它是一种极端信息资源。[1]”正是基于此,社会各个领域行业才应用大数据技术来为计算机信息安全提供防范措施,尤其是企业计算机信息网络,更需要它来构建网络信息防护体系,迎接来自于企业外部不同背景下的不同安全威胁。

1关于企业计算机信息安全防护体系的建设需求

企业计算机系统涉及海量数据和多种关键技术,它是企业正常运营的大脑,为了避免来自于内外因素的干扰,确保企业正常运转,必须为“大脑”建立计算机信息安全防护体系,基于信息安全水平评价目标来确立各项预订指标性能,确保企业计算机系统不会遭遇侵犯威胁,保护重要信息安全。因此企业所希望的安全防护体系建设应该满足以下3项需要。

首先,该安全防护体系能够系统的从企业内外部环境、生产及销售业务流程来综合判断和考]企业计算机信息安全技术、制度及管理相关问题,并同时快速分析出企业在计算机信息管理过程中可能存在的各种安全隐患及危险因素。指出防护体系中所存在的缺陷,并提出相应的防护措施。

其次,可以对潜在威胁企业计算机系统的不安定因素进行定性、定量分析,有必要时还要建立全面评价模型来展开分析预测,提出能够确保体系信息安全水平提升的优质方案。

第三,可以利用体系评价结果来确定企业信息安全水平与企业规模,同时评价该防护体系能为企业带来多大收益,确保防护体系能与企业所投入发展状况相互吻合。

2大数据环境对企业计算机信息安全建设的影响

大数据环境改变了企业计算机信息安全建设的思路与格局,应该从技术与管理维度两个层面来看这些影响变化。

2.1基于企业计算机信息安全建设的技术维度影响

大数据所蕴含技术丰富,它可以运用分布式并行处理机制来管理企业计算机信息安全。它不仅仅能确保企业信息的可用性与完整性,还能提高信息处理的准确性与传输连续性。因为在大数据背景下,复杂数据类型处理案例比比皆是,必须要避免信息处理过程错误所带来的企业信息资源安全损失,所以应该采取大数据环境技术来展开新的信息处理方式及存储方式,像以Hadoop平台为主的Mapreduce分布式计算就能启动云存储方式,对企业计算机信息进行有效存储、转移和管理,提高其信息安全水平。分布式计算会为企业计算机信息建立大型数据库,或者采用第三方云服务提供商所提供的虚拟平台来管理信息,这种做法可以为企业省下防火墙、数据库、基础性安防技术等等建设环节的大笔成本费用。

在信息传递方面,大数据环境主要能够干预企业信息传递,例如为企业计算机系统提供高速不中断的传递功能模块,以确保企业信息传递的完整性与可持续性。在此过程中为了确保企业计算机信息传输的安全可靠,就会基于大数据技术来为企业提供数据加密服务,确保数据传输整个过程都处于安全状态,避免任何信息泄露、被盗取现象的发生。

2.2基于企业计算机信息安全建设的管理维度影响

在大数据环境下,企业计算机信息安全的管理维度影响不容忽视,它体现在人员管理、大数据管理与第三方信息安全等多个方面。

在人员管理管理方面,大数据为企业所提供的是由传统集中办公向分散式办公的工作模式转变,它创建了企业自带办公设备BYOD (Bring Your Own Device),BYOD一方面能有效提高员工积极性,一方面也能为企业购置办公设备节约成本,不过它也能影响到企业计算机的信息安全管理事项,移动设备大幅度降低了企业对计算机系统安全的可控度,可能会难以发现来自于外部黑客及安全漏洞、计算机病毒对系统的入侵,一定程度上增加了信息泄漏的安全隐患。

在第三方信息安全管理方面,它可能会对企业信息安全带来巨大影响,因为第三方信息是需要用来进行加工分析的,但它对于企业计算机系统是否能形成保障实际上是难以被企业稳定控制的,所以企业要确切保证第三方信息安全管理的有效性,基于大数据强化企业信息安全水平,利用分权式组织结构来提高企业计算机系统及信息的利用效率,同时也增强大数据之于企业计算机系统的应用实效性。

3 基于大数据优化环境下的企业计算机信息安全防护策略

企业计算机信息安全对企业发展至关重要,为其建立安全防护体系首先要明确其信息安全管理是一项动态复杂的系统性工程。企业需要从管理、人员和技术3方面来渗透大数据意识及相关技术理念,为企业计算机系统构筑防线,保护信息安全。

3.1 基于管理层面的计算机信息安全防护策略

社会企业其实就是大数据的主要来源,所以企业在对自身计算机信息安全进行保护过程中需要面临可能存在的技术单一、难以满足企业信息安全需求等问题。企业需要基于大数据技术来建立计算机信息安全防护机制,从大数据本身出发,做到对数据的有效收集和合理分析,准确排查安全问题,建立企业计算机信息安全组织机构。本文认为,该计算机信息安全防护策略中应该包含安全运行监管机制、信息安全快速响应机制、信息访问控制机制、信息安全管理机制以及灾难备份机制等等。在面对企业的关键性信息时,应该在计算机系统中设置信息共享圈,尽可能降低外部不相关人员对于某些机密信息的接触可能性,所以在此共享圈中还应该设置信息共享层次安全结构,为信息安全施加“双保险”。另一方面,企业管理层也应该为计算机系统建立信息安全生态体系,一方面为保护管理层信息流通与共享,一方面也希望在大数据环境下实现信息技术的有效交流,为管理层提出企业决策提供有力技术支持。

再者,企业应该完善大数据管理制度。首先企业应该明确大数据主要由非结构化和半结构化数据共同组成,所以要明确计算机系统中的所有大数据信息应该通过周密分析与计算才能最终获取,做到对系统中大数据存储、分析、应用与管理等流程的有效规范。举例来说,某些企业在管理存储于云端的第三方信息时,就应该履行与云服务商所签订的第三方协议,在此基础上来为企业自身计算机系统设置单独隔离单元,防止信息泄露现象。另一方面,企业必须实施基于大数据的组织结构扁平化建设,这样也能确保计算机系统信息流转速度无限加快,有效降低企业基层员工与高层管理人员及领导之间的信息交流障碍[2]。

3.2基于人员层面的计算机信息安全防护策略

目前企业人员所应用计算机个人系统已经趋向于移动智能终端化,许多BYOD工作方案纷纷出现。这些工作方案利用智能移动终端连接企业内部网络,可以实现对企业数据库及内部信息的有效访问,这虽然能够提高员工的工作积极性,节约企业购置办公设备成本,但实际上它也间接加大了企业对算机信息安全的管理难度。具体来说,企业无法跟踪员工的移动终端来监控黑客行踪,无法第一时间发现潜藏病毒对企业计算机系统及内网安全的潜在威胁。因此企业需要针对员工个人来展开大数据背景下的信息流通及共享统计,明确员工在工作进程中信息的实际利用状况。而且企业也应该在基于保护大数据安全的背景下来强化员工信息安全教育,培养他们的信息安全意识,让员工在使用BYOD进行企业内部计算机数据库访问及相关信息共享过程中提前主动做好数据防护工作,辅助企业共同保护内部重要机密信息。

3.3基于安全监管技术层面的计算机信息安全防护策略

在大数据环境中,企业如果仅仅依靠计算机软件来维持信息安全已经无法满足现实安全需求,如果能从安全监管技术层面来提出相应保护方案则要配合大数据相关技术来实施。考虑到企业容易受到高级可持续攻击(Advanced Persistent Threat)载体的威胁(形成隐藏APT),不易被计算机系统发觉,为企业信息带来不可估量威胁,所以企业应该基于大数据技术来寻找APT在实施网络攻击时所留下的隐藏攻击记录,利用大数据配合计算机系统分析来找到APT攻击源头,从源头遏制它所带来的安全威胁,这种方法在企业已经被证实为可行方案。另外,也可以考虑对企业计算系统中重要信息进行隔离存储,利用较为完整的身份识别来访问企业计算机管理系统。在这里会为每一位员工发放唯一的账号密码,并利用大数据来记录员工在系统中操作的实时动态,监控他们的一切行为。企业要意识到大数据的财富化可能会导致计算机系统大量信息泄露,从而产生内部威胁。所以在大数据背景下,应该为计算机系统建立信息安全模式,利用其智能数据管理来实现系统的安全管理与自我监控,尽可能减少人为操作所带来的不必要失误和信息篡改等安全问题。除此之外,企业也可以考虑建立大数据实时风险模型,对计算机系统中所涉及的所有信息安全事件进行有效管理,协助企业完成预警报告、应急响应以及风险分析,做好对内外部违规、误操作行为的有效审计,提高企业信息安全防护水平[3]。

4 总结

现代企业为保护计算机信息数据安全就必须与时俱进,结合大数据环境,利用信息管理、情报、数学模型构建等多种科学理论来付诸实践,分析大数据环境下可能影响到企业信息安全水平的各个因素,最后做出科学合理评价。本文仅仅从较浅角度分析了公司企业在大数据背景下对自身计算机信息安全的相关防护策略,希望为企业安全稳定发展提供有益参考。

参考文献:

[1] 尹淋雨.大数据环境下企业信息安全水平综合评价模型研究[D].安徽财经大学,2014:49-51.