信息安全行业分析范文

时间:2023-10-19 16:07:44

导语:如何才能写好一篇信息安全行业分析,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息安全行业分析

篇1

关键词:航空企业;信息系统;安全处理;现状;体系

中图分类号:TP393.08

随着计算机网络技术的不断发展,信息数据系统广泛应用于航空企业的信息管理中。然而,航空企业因其服务行业的特性,需要不断将航班等外部信息传播发送给旅客,另一方面,航空企业内部管理信息却需要做到严格的保密,这就对航空企业的信息系统安全处理提出了高要求,航空企业必须建立一套全面完备的信息安全处理体系,只有这样,才能提高航空运输信息的安全水平,保障航空企业的稳定发展。

1 航空企业信息系统安全管处理现状

近年来,我国航空企业已经开始广泛应用信息管理系统。在这些企业的信息系统中,包含了对交通服务、航班导航、天气情况以及企业内部信息的各类应用,航空企业信息管理部门需要将这些信息进行整合,构建成为一个完整的信息管理系统。然而,从目前航空企业的信息系统安全管理来看,多数航空企业在进行信息系统安全管理的研究时,都是将重点集中在某一特定领域,通过病毒检测系统、认证系统等对特定领域进行信息安全处理,并没有一个全面完整的信息安全处理体系。

另外,国家有关部门已经加强了对航空信息安全的重视,中国民用航空局颁布了关于管理民用航空安全信息的规定,通过将各航空企业的信息管理系统进行统一监督,统筹管理全行业的信息安全管理系统。无论从当今形势发展来看,还是从国家有关部门对信息系统安全管理的重视程度来看,建立一套完整的信息系统安全处理体系对于航空企业都是非常有必要的。

2 构建航空企业信息系统安全处理体系

在对信息系统安全处理体系进行构建时,应当遵循可行性、灵活性、扩展性等原则,使信息系统的安全处理能够满足信息的完整性、保密性和可用性。在进行信息系统安全处理体系构建时,可以用到的安全技术大致包括计算机病毒防范技术、信息侦测技术、安全操作平台技术、安全审计和入侵预警技术、内容分级监管技术等。

2.1 构建航空企业信息系统安全处理体系的初始步骤

(1)确定控制用户访问的安全处理系统。在进行访问权的控制时,可以设置相应的客户端界面,利用DCE/Kerberos身份验证机制,只要用户输入的个人信息得到验证后,用户才能进行下一步访问。还可以设置一种封闭策略,只有得到授权的用户才能获得相应信息。但是,在通过限制用户访问来达到信息安全处理的效果时,应当注意对数据信息的最大共享原则,使用户能够通过客户端获得对所有数据的访问权,除非是不应当开放的保密性数据。

(2)建立备份制度和事务日志制度等。对于信息系统而言,其安全性总会受到一定的威胁,企业在进行信息系统的安全处理时,还应当重视对数据的备份,使数据能够在受到安全威胁后得到有效恢复。

(3)确定信息数据安全的最小单位。在构建航空企业信息系统的安全处理体系时,可以将属性或关系作为最小安全单位,从而满足对信息安全性的高要求。

2.2 进一步构建航空企业信息系统安全处理体系的策略

在航空企业信息管理系统中,安全处理内部保密信息是很重要的,但对需要向外界公布的信息数据也不容轻视,因此仅仅依靠DCE/Kerberos身份验证机制无法进行全面的安全处理。

(1)建立信息系统的自行监控和预警机制

保障信息系统高效稳定的运转是航空企业进行各项业务的关键,因此,在进行信息系统的安全处理时,首先应当做到的就是对系统运行的监控和预警,从而能够早发现、早解决系统运行问题,避免影响航空业务的运行。

(2)应用各种安全产品,构建全面的防御体系

在航空企业信息系统建立安全处理体系时,航空企业应当加大投入力度,建立一个全面的防御体系,从而减少安全问题的产生。例如,在建立防病毒、防黑客体系时,可以通过部署应用漏洞扫描软件、防病毒软件等安全产品,构建出一个全面的防御体系,将信息系统的内部运转充分控制起来,从而能够及早发现安全问题,及早解决。

(3)设置控制用户访问的安全处理策略

航空企业的信息系统在为用户提供服务时,使用的是一种端对端的信息交流方式,因此,保障信息传递过程中的信息安全,防止信息遭到修改是信息安全处理的重点。SOAP协议基于XML数据结构,它可以为用户提供信息交换的平台。为保护SOAP协议的安全性,进而保障信息安全,我们可以进行用户查询权、修改权及删除权的设定,通过设立安全矩阵的方式将各类信息及各类人员的权限进行分类处理,从而提高信息管理系统的运行效率,如下表1所示。

通过这种矩阵式分类,就可以直观地将各部门权限表现出来,从而达到对信息系统客户端的有效管理。

(4)实现信息系统各子系统之间访问管理的安全性

在信息系统的使用中,用户对资源的使用往往会涉及到整个系统中的多数子系统,在访问这些子系统时,系统需要对授权进行逐一判断,这就会使系统属性发生改变,安全隐患也就随之而来,因此,应当建立一种访问控制体系,用于对访问各子系统信息资源的安全处理。

UCON模型,就是适应现代业务流程访问控制而产生的新型模型,包含了主体、客体和权限三个基本元素,它将义务、条件和授权作为了决策进程的一部分,提供了一种更好的决策能力。这种模型区别于其他访问控制模型之处就在于它的可变属性,可变属性可以随着访问对象的改变而发生改变,这种模型解决了传统的访问控制技术缺乏综合性的问题,并涵盖了安全和隐私两个重要方面,是一种具有决策连续性和属性易变性特点的访问控制模型。通过对UCON模型和数据库管理系统的综合使用,可以有效保护信息系统的数据资源,并能够在结合其他技术的基础上,对计算机系统资源和网络资源进行保护,从而达到航空企业信息系统安全处理的目标,防止非法访问现象的发生。

2.3 构建完善的航空企业信息系统安全处理体系

一个完整的信息系统安全处理体系,必须涵盖了从客户端到服务提供端,再到访问控制端的安全处理流程。首先,对于客户端安全处理环节的实现,可以借助用户身份信息的收集和对服务返回结果的安全处理,并运用DCE/Kerberos身份验证机制等安全平台操作技术对信息系统的安全性进行管理。其次,是对服务提供端安全处理的实现,这一环节包括了对用户身份的验证和对数据传输的安全处理,可以使用SOAP协议等安全审计技术为信息系统提供安全保障。最后,是对访问控制端安全处理的实现,这一环节可以分为对系统各环节的信息匹配和对访问控制服务的安全处理,是整个信息系统安全处理的重要环节,在构建系统安全处理体系时,可以使用UCON模型将访问控制权具体化,并设立安全矩阵,最终达到信息系统安全处理的目的。

总结:

航空企业的行业特性,决定了构建符合其行业特点的信息系统安全处理体系是一个复杂而繁琐的过程,企业信息安全管理部门应当从实际出发,结合企业信息系统的客户端、服务端以及数据库对信息安全的不同要求,运用现代化技术,依据信息系统设计原则,构建一个既能满足共享性,又能满足保密性的独特的安全处理体系。另外,企业管理部门不仅要加大对技术的扶持和研发,还应当注重对企业内部人员的信息安全教育,能够建立一个完善的信息系统管理制度,从而使企业人员能够积极进行信息系统的安全防护。

参考文献:

[1]郝梁怡.浅析民航空管信息安全管理[J].中国科技纵横,2013(12).

[2]张云高.基于SMS关键要素的航空公司安全管理信息系统分析与设计[J].电子科技大学,2011(1).

[3]田波,吴倩,甄浩.航空公司信息安全管理系统的构建与安全保障体系研究[J].情报科学,2011(9).

[4]白瑜.基于UCON的访问控制的应用[J].电力学报,2012(6).

[5]付茂沼.民用航空信息安全研究[J].中国民航飞行学院学报,2010(3).

[6]姜鹏.民航空管信息处理系统的安全保障[J].中国新技术新产品,2011(13).

篇2

关键词:药品物流管理系统;信息安全素养;信息安全干预

21世纪是一个全方位大数据的时代,从纸张过渡到电子病历系统的医疗记录数据呈指数级增长[1,2],但在体验信息化带来的前所未有便捷的同时,巨大信息安全隐患也逐渐浮出水面,正逐渐引起大众的高度重视和警觉[3~5]。2014年医疗/保健行业在所有报告的数据泄露事件中所占比例超过42%,远高于其他行业(如银行/金融、商业、教育等)[6~8]。上海市执行了药品阳光采购平台,在此基础上建立了药品物流管理系统,该系统利用信息化技术手段和智能设施设备让药品在供应、分拣、配送等各个环节,实现公司、医院、科室、患者之间一体化、精细化管理。尽管目前实施了药品安全信息化监管,但是药品信息错综复杂、工作人员意识薄弱、药品信息管理人员复杂,一旦信息泄露,存在医保套用、患者信息泄露被不法分子利用、统方等隐患。药品信息的管理核心是人员的管理,监管的最终目标也是保障药品安全供应和合理使用。金山区自2016起开始阳光平台药品采购试点,在上海市率先执行了药品物流管理系统。本文结合工作实际,对金山区药品物流管理系统的信息管理人员和使用者的安全意识进行调查、评估和干预,为提高全市药品相关人员的信息安全水平,减少因信息泄露而导致的医疗安全事件的发生提供参考。

1对象与方法

1.1研究对象

金山区药品物流管理系统全部管理用户,包括药品阳光采购平台、药品物流管理系统、各医疗机构HIS系统药品信息管理人员、使用人员193人。

1.2研究内容与方法

1.2.1名词定义与指标计算方法药品物流管理系统:利用信息化技术手段和智能设施设备让药品在供应、分拣、配送等各个环节,实现公司、医院、科室、患者之间一体化、精细化管理的系统。信息安全素养:指人员在信息化条件下对信息安全的认识以及对信息安全表现的综合能力,包括信息安全动机、信息安全知识、信息安全能力、信息行为等内容[4]。指标计算方法:参考《中国居民健康素养调查》方案设计,正确回答题目的赋值1分,题目回答错误的赋值0分,计算每名调查对象最终的答题得分。根据专家咨询意见,所有问题全部回答正确视为具备总体信息安全素养,对信息安全知识问题、信息安全动机问题、信息安全角色认知问题、信息安全行为问题全部回答正确的分别视为该调查对象具备这四个方面的信息安全素养。1.2.2系统用户信息安全素养水平调查通过文献研究收集国内外关于信息安全的相关材料以及实践工作中的经验等内容,初步形成评估问卷和调查问卷,通过德尔菲法选择卫生信息化领域工作经验丰富的专家开展问卷设计咨询,所有专家均为卫生信息化领域或健康行为研究领域;本科及以上学历;工作经验丰富,从事相关工作5年以上,最终选择了上海市疾病预防控制中心信息所、金山区卫生信息中心等8名专家对问卷进行审核、修订,针对部分调查对象进行预调查后对存在的问题进行相应的修改,形成最终的评估和调查问卷,问卷由基本情况、信息安全知识、信息安全动机、信息安全角色认知、信息安全行为和系统用户信息等6部分条目构成。对金山区药品物流管理系统的所有用户开展面对面问卷调查。问卷调查在调查前向受访者进行调查说明,承诺调查信息保密,在受访者知情同意后开展调查,提高受访者的支持配合。问卷调查后及时整理和质控,确保信息完整。1.2.3信息安全干预措施实施后效果调查采用整群随机分组方法,以一个社区的系统用户为一个群组,将金山区11个社区的所有系统用户随机分为干预组和对照组,结合用户信息安全素养调查过程中发现的问题,对干预组进行进行信息安全干预,实施包括培训讲座、专项指导、发放信息安全宣传材料、微信宣传等一系列有针对性的干预措施;对照组则不给予任何干预措施。干预后对两组进行终末调查,对比两组在基线和终末调查时信息安全素养水平的变化情况。

1.3数据整理与分析

使用EpiData3.1软件建立数据库,用spss19.0软件进行统计分析。计数资料以构成比(%)表示,比较采用χ2检验;计量资料以x珋±s表示。P<0.05为差异有统计学意义。

2结果

2.1人口学特征

金山药品物流管理系统用户人数共计193人,发放问卷193份,收集到有效问卷共163份,问卷有效回收率84.46%。回收问卷的男女性别比为0.43∶1,平均年龄为(34.69±9.32)岁;用户角色中,58.9%是普通用户,41.1%是管理账户;52.15%的调查对象是各医疗机构药库工作人员,31.90%为各医疗机构信息科信息管理人员。调查对象的人口学特征分布见表1。

2.2问卷的信度效度分析

信度(reliability)目前最常用的是Alpha信度系数,一般情况下主要考虑量表的内在信度———项目之间是否具有较高的内在一致性。通过Alpha信度系数分析,本研究中,量表的信息安全知识、动机、角色认知、行为等四个维度的信度系数均>0.7,总体信度系数为0.732,问表明该问卷具有可接受的信度。问卷的效度分析主要采用因子分析了解结构效度,首先对问卷数据进行KMO样本测度和巴特莱特球体检验,以验证数据是否适合做因子分析,得到KMO值为0.713,巴特莱特球体检验P<0.01,适合作因子分析。按特征值>1的标准提取公共因子,共提取5个因子,并采用方差最大正交旋转进行因子旋转,所得因子间不相关,累计方差贡献率为60.023%。一般认为累计方差贡献率大于60%,问卷结构效度尚可。

2.3信息安全素养干预前后对比

干预组和对照组的基本情况见表2。两组性别、年龄、教育程度及账户角色构成等方面差异无统计学意义(P>0.05),具有可比性。基线调查时,干预组和对照组在总体素养、知识、动机、角色认知方面无明显差异(P>0.05)。终末调查时,在知识、角色认知、行为等三方面,干预组明显高于对照组(P<0.05),而在总体素养和动机方面两组没有显著差异(P>0.05)。干预后,干预组的总体素养、知识、动机、角色认知等水平素养均有显著提高(P<0.05或P<0.01),但信息安全行为水平无明显提升(P>0.05);对照组用户的各项安全素养水平与总体水平在基线和终末调查中均无明显变化(P>0.05)。见表3.

2.4较薄弱的药品信息安全问题集中点

通过对调查结果逐一分析,回答正确标记1分,回答错误标记为0分,将各题目分数累计综合除以总人数,得到回答合格率。结果显示,系统用户部分问题的合格率较低,对合格率较低的重点问题进行汇总和分析,见表4。以准确发现在金山区药品物流管理系统用户之间存在的信息安全方面的问题,便于在后期干预工作中有针对性的开展干预和信息安全素养提升措施。

3讨论

3.1金山区药品物流管理系统用户的信息安全水平亟待于进一步的提高

信息的泄露主要是在于医疗机构和信息服务机构人员使用、管理过程中出现的无意泄露,更多时候信息泄露于无意识的情况下[9,10],另外组织环境也对用户提供参考,并对用户的某些行为有一定的积极或消极的作用[11]。本次调查发现金山区药品物流管理系统用户对信息安全的重视程度不够,用户在信息保护、信息安全风险防范方面的能力远不能达到实际的工作要求,尤其是在信息安全行为方面存在较为严重风险行为,医务工作者需要提高保护个人隐私信息的能力和意识,否则将在不经意的情况下,侵犯或泄漏医疗信息资料。同时,应通过增强信息系统安全性、建立相应的管理制度、加强培训宣传、规范工作流程以及用户操作行为等措施,提高信息系统的安全性。

3.2信息安全干预措施有效提升了用户的信息安全素养水平

通过实施一系列的干预措施,干预组的信息安全总体素养、信息安全知识、信息安全动机、信息安全角色认知在干预前后的差异具有统计学意义,均有了显著的提高,但信息安全行为干预前后没有显著的变化,知识、动机、认知的提高没有明显的转化为具体行为的改善,后期应注重在提高知识、动机、认知的同时注重行为的强化和培养。对照组用户的信息安全素养总体水平以及信息安全知识、信息安全动机、信息安全角色认知、信息安全行为等几方面水平在基线和终末调查中均没有明显的变化,可见对系统用户通过多途径的实施具有针对性的信息安全干预措施能有效提高用户的信息安全素养水平。

3.3组织管理制度的完善和系统安全设置要求的提升

干预结束后,通过梳理制定金山药品物流管理系统安全管理制度,对管理网络、组织分工、账户管理、数据流通等方面作了详尽的规定。根据管理制度的规定[12],通过系统运维人员在密码策略、用户权限、账户清理等方面从系统方面进行了设置和强制性要求。在信息安全素养干预手段没有有效发挥作用的部分,通过制度约束和技术手段强制,弥补了信息安全教育、培训等手段的不足,实现金山区药品物流管理系统安全性的全面提升。

3.4小结

篇3

大数据时代信息安全面临挑战

在大数据时代,无处不在的智能终端、随时在线的网络传输、互动频繁的社交网络使得互联网时时刻刻都在产生着海量的数据。随着产生、存储、分析的数据量越来越大,在这些海量数据背后隐藏着大量的经济与政治利益。大数据如同一把双刃剑,在我们享受大数据分析带来的精准信息的同时,其所带来的安全问题也开始成为企业的隐患。

1、黑客更显著的攻击目标:在网络空间里,大数据是更容易被“发现”的大目标。一方面,大数据意味着海量的数据,也意味着更复杂、更敏感的数据,这些数据会吸引更多的潜在攻击者。另一方面,数据的大量汇集,使得黑客成功攻击一次就能获得更多数据,无形中降低了黑客的攻击成本,增加了其“收益率”。

2、隐私泄露风险增加:大量数据的汇集不可避免地加大了用户隐私泄露的风险。一方面,数据集中存储增加了泄露风险,而这些数据不被滥用,也成为人身安全的一部分。另一方面,一些敏感数据的所有权和使用权并没有明确界定,很多基于大数据的分析都未考虑到其中涉及的个体隐私问题。

3、威胁现有的存储和防护措施:大数据存储带来新的安全问题。数据大集中的后果是复杂多样的数据存储在一起,很可能会出现将某些生产数据放在经营数据存储位置的情况,致使企业安全管理不合规。大数据的大小也影响到安全控制措施能否正确运行。安全防护手段的更新升级速度无法跟上数据量非线性增长的步伐,就会暴露大数据安全防护的漏洞。

4、大数据技术成为黑客的攻击手段:在企业用数据挖掘和数据分析等大数据技术获取商业价值的同时,黑客也在利用这些大数据技术向企业发起攻击。黑客会最大限度地收集更多有用信息,比如社交网络、邮件、微博、电子商务、电话和家庭住址等信息,大数据分析使黑客的攻击更加精准。此外,大数据也为黑客发起攻击提供了更多机会。黑客利用大数据发起僵尸网络攻击,可能会同时控制上百万台傀儡机并发起攻击。

5、成为高级可持续攻击的载体:传统的检测是基于单个时间点进行的基于威胁特征的实时匹配检测,而高级可持续攻击(APT)是一个实施过程,无法被实时检测。此外,由于大数据的价值低密度特性,使得安全分析工具很难聚焦在价值点上,黑客可以将攻击隐藏在大数据中,给安全服务提供商的分析制造很大困难。黑客设置的任何一个会误导安全厂商目标信息提取和检索的攻击,都会导致安全监测偏离应有方向。

6、信息安全产业面临变革:大数据的到来也为信息安全产业的发展带来了新的契机,还没有意识到这场变革的安全厂商将在这场变革大潮中被抛弃。大数据正在为安全分析提供新的可能性,在未来的安全架构体系中,通过大数据智能分析有效的将原来分割的安全产品更好的融合起来,成为不同的安全智能节点,这将是在大数据时代安全产业需要研究突破的重点。

RSA信息安全智能分析平台解析

日前,EMC信息安全事业部RSA宣布推出了RSA信息安全智能分析平台,该平台基于RSA NetWitness成熟的技术架构,并将SIEM、网络取证(Network Forensics)和大数据分析技术进行了融合,为信息安全专业人员提供了深度可视性,帮助他们察看和了解安全漏洞及安全攻击,使安全风险一出现就能被发现,因此显著节省了时间,将查找时间从几天缩短为几分钟。另外,通过帮助信息安全专业人员了解起源于企业内部及外部的数字风险,企业还能更好地保护自己的资产,包括知识产权以及其他敏感数据,同时节省与安全威胁管理及法规遵从报告有关的时间和费用。

RSA信息安全智能分析平台特性:

数据快速捕获与分析:与信息安全相关的数据,包括通过网络传送的完整数据包、日志和安全威胁情报,都能快速捕获和分析,以加速对潜在安全威胁的检测。

强大的分析能力:实现比基于SIEM的传统安全方法大得多的数据采集规模,而且新的分析方法具有更强大的分析能力。

集成了应对安全威胁的智能性:帮助企业实现安全威胁情报供给的可操作性,以加速对指向企业的、潜在攻击工具及方法的检测和查找。

安全威胁的背景信息:通过与RSA Archer GRC平台以及与RSA防数据丢失(DLP)套件的集成,还通过融合其他产品产生的数据,分析人员可以利用业务背景信息,为造成最大风险的安全威胁优先分配资源。

恶意软件识别:该解决方案利用各种查找方法识别基于恶意软件的攻击,识别范围大得多。

法规遵从报告自动化:通过良好的信息安全实践,帮助实现法规遵从性。

成熟的大数据平台及分析方法与信息安全工具相集成,使信息安全保障方式取得了极大的进步。正如所开发的那样,RSA信息安全智能分析平台整合了无与伦比的可视性,可利用大数据平台及先进的分析方法,识别高风险活动、降低高级安全威胁风险并满足法规遵从要求。

大数据安全未来趋势展望

据MacDonald预测,到2016年,40%的企业(银行、保险、医药和国防行业为主)将积极地对至少10TB数据进行分析,以找出潜在危险的活动。然而,供应商的产品格局却无法在短期内进行转变。现在,企业通常依赖于SIEM系统来关联和分析安全相关的数据,MacDonald表示目前的SIEM产品无法处理这么大的工作量,大多数SIEM产品提供接近实时数据,但只能处理规范化数据,还有些SIEM产品能够处理大量原始交易数据,但无法提供实时情报信息。

Gartner公司分析师表示,使用“大数据”来提高企业信息安全不完全是炒作,这在未来几年内这将成为现实。大数据将为安全团队带来新的工作方式,通过了解大数据的优势、制定切合实际的目标以及利用现有安全技术的优势,安全管理人员将会发现他们在大数据进行的投资是值得的。

篇4

1.1政府和行业对互联网信息安全重视程度增加

随着近些年来网络信息安全问题的不断发酵,网络安全问题已经拓展到国家安全的角度,国家的重视度不断增加。现在,国家网络安全的行业进入了一个加速发展的时代,网络安全对政治商业和经济等利益都有较大的影响,因此,网络安全行业的发展已经到了存量和增量大幅增加的阶段。从政府方面来讲,政府正在加大加国产硬件和软件及一些安全软件的采购力度,逐步提升企事业单位的IT基础设施建设和网络防御能力;从企事业单位的方面来讲,我们用于信息安全的投资明显的低于世界平均水平。现在,各类网络安全问题的出现及一些商业机密泄露等事件敲响了企事业单位安全意识的警钟,企事业但是开始强化数据保护和提高安全防御措施。

1.2互联网犯罪猖獗

现在网络违法犯罪活动愈发猖獗。一些不法分子利用互联网进行各种各样的违法犯罪活动,如赌博、诈骗、撒播谣言、窃密盗窃等不法活动,还有通过互联网攻击窃取数据和机密等的犯罪活动。这些通过互联网进行的违法犯罪不仅危害了公民的合法权益,而且破坏了国家的安全和社会的稳定。

1.3网络安全产业有很大的发展空间

伴随着大数据、云计算、物联网等技术的快速应用,互联网已经影响到我们生活的方方面面,而网络安全产业也面临着新的机遇和挑战。为了保证国家的网络安全,要不断发展有自主知识产权的网络安全产品。现在由于互联网的核心的设施、技术还有比较高端的服务还是主要依赖于国外的进口,在操作系统使用、专用芯片制造和大型应用软件开发等方面都存在着严重的安全的隐患。因此,具有自主知识产权的网络安全产品和产业有非常广阔的发展空间和发展前景。

1.4互联网信息安全研究成为热点

现在可穿戴设备、智能终端等设备的应用非常广泛,信息安全问题是现在互联网技术研究的热点问题,随着研究的深入进行和技术的不断发展,会帮助解决互联网在安全方面所遇到的问题。现在已经有很多的高校将互联网信息安全作为专门的课程开设,这也有助于我国互联网信息安全研究的发展。

2加强我国互联网信息安全对策

2.1发挥政府功能,强化法规建设,建立全国范围内的网络安全协助机制

随着互联网的发展,网络安全受到巨大的威胁,针对这种情况,要加强公民的网络安全教育工作,尽可能提升全民的网络安全的基础知识和水平,增强公民的“网络道德”意识,保护我国网络信息的安全。而且要进一步强化网络立法以及执法的能力,深化政府职能,完善法规建设,在全国范围内建立网络安全协助的机制,这样有助于协调全国网络的安全运行。制定出网络在建设阶段和运行阶段的安全级别的定义和安全行为的细则,安全程度的考核评定等标准化文本,分析网络出现的攻击手段,报告系统漏洞并给出“补丁”程序,并且对全国范围内协调网络安全建设,另外,还要大力提高我国自主研发,生产相关的应用系统与网络安全的能力,用以代替进口产品。

2.2加大互联网信息安全犯罪的打击力度

目前,互联网技术的发展速度已经远远超越了网络犯罪的立法速度,有一些立法对互联网犯罪的处罚力度非常轻,还有一些互联网犯罪活动并没有相关的法律规定。这种情况对于加大网络信息安全的打击力度是非常不利的。因此,现在要加快对互联网犯罪的立法工作,使得在处理互联网犯罪的时候可以做到有法可依。近些年,国家加大了最互联网的监督和监管力度,使得很多的互联网犯罪活动能够在较短的时间内得到取证和解决,但是相对而言,公民的互联网安全意思还是比较淡薄,因此,提高公民的互联网安全意识也成了迫在眉睫需要解决的问题。

2.3加大网络信息安全的宣传和教育的工作

现今社会,互联网已经深入到生活的方方面面,互联网正在改变着人们传统的生活方式,人们的生活离不开互联网。可是随之而来的是计算机病毒、计算机犯罪、计算机黑客等问题,影响着人们对互联网的正常和安全使用,更是影响到国家的经济发展和安全。因此,加大我国网络信息安全的宣传和教育工作是一件非常急迫的事情,通过不断提高公民的网络安全意识,能够有效避免一些网络犯罪的发生,并且对提高我国整体网络安全有很大的帮助。要不断的通过电视、网络、报纸等多种媒体进行网络安全知识的宣传,让网络安全意识深入人心。

2.4建立互联网的信息安全预警和应急保障制度

重点加强对全社会信息安全问题的统筹安排,对信息安全工作责任制要不断深化细化;加强重点信息领域的安全保障工作,推动信息安全等工作的开展、要把安全测评、应急管理等信息安全基本制度落到实处;加快推进网络与信息安全应急基础平台建设;提升信息安全综合监管和服务水平,积极应对信息安全新情况、新问题,针对云计算、物联网、移动互联网、下一代互联网等新技术、新应用开展专项研究,建立信息安全风险评估和应对机制;建立统一的网络信任体系、信息安全测评认证平台、电子政务灾难备份中心等基础设施等,力求对信息安全保障工作形成更强的基础支撑。

2.5技术防护安全策略

技术防护是确保网站信息安全的有力措施,在技术防护上,主要做好以下几方面工作:一是要加强网络环境安全;二是加强网站平台安全管理;三是加强网站代码安全;四是加强数据安全。

3结语

篇5

关键词:地市烟草;网络安全;技术;管理

中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2014) 02-0000-02

烟草行业自1985年有了第一台计算机以来,经过20多年行业信息化工作者孜孜不倦的努力,行业的信息化建设工作取得了长足的发展,建立了涵盖行业各个方面工作的完备的信息网络,为行业工作的便捷开展提供了可靠的信息化助力,为“卷烟上水平”做出了应有的贡献。但不可否认的是,在信息化建设之初,由于经验的缺乏及技术的限制,没有形成一个具有远见性及科学性,能与行业整体业务发展战略紧密融合的信息网络安全建设战略,导致多年来行业信息网络安全建设工作缺乏统一的导向和组织,虽然各省烟草公司都制定并出台了计算机网络建设与管理规范,指导各地市的信息网络建设,但因为制度出台时间较短,及网络改造需要流程与时间,可以说目前各地市网络安全建设水平仍不够理想,信息网络安全建设发展至今,越来越多的困难与矛盾开始逐渐凸显。

一、地市烟草公司信息网络安全建设现状

地市烟草信息网络是构成全省烟草信息网络的个体,因此地市信息网络安全建设水平便直接关系全省信息网络建设水平,是构成全省信息网络安全建设的一环,就像构成木桶的一板,依据管理学上“木桶效应”的短板理论,木桶的盛水量由构成木桶的最短的一板决定,当有一个地市信息网络安全建设水平大大低于平均水平,就将大大拉低全省烟草信息网络整体安全防护水平。可以说全省烟草的信息网路安全建设必将是环环相扣的,一环均不得松懈,一环均不得落后。

地市信息网络安全建设关系到全行业主干的网络的安全与稳定,而信息网络环境的复杂性、多变性以及系统的脆弱性、开放性和易受攻击性,决定了信息网络安全威胁的客观存在。当行业人员在享受着信息网络给日常办公带来便利性的同时,信息网络安全问题也日渐突出,信息网络安全建设形势日益严峻。结合地市烟草实际情况分析总结(某地市烟草信息网络安全结构图如下),以及笔者日常的实际工作体会,主要可以总结出当前地市烟草信息网络安全建设还主要存在着以下几方面问题:

(一)将信息网络安全建设理解为单纯的安全设备采购

经过多年的信息化网络安全建设投入,一种简单的理念容易令一些行业信息化工作从业者产生误解,即所谓的信息网络安全建设就是网络安全设备的采购,只要网络安全设备采购部署到位,信息网络安全便高枕无忧,从一定角度来说,这种观点并没有错误,随着信息技术的发展,日益先进强大的网络安全设备层出不穷,人性化的操作界面也使得设备使用与配置变得不再困难,对信息网络安全起到很好的保障。各地市烟草公司也在逐年增加着安全设备的采购数量,网络安全随着安全设备的增加看起来已经不再是问题。但实际情况是这样吗?在实际情况中我们仍然会发现,地市烟草在重视网络安全设备采购的时却较为忽视对网络安全设备采购的前期规划,导致亟需网络设备没有得到采购,或者采购的安全设备没有得到很好的实施。造成重复投资及资产浪费的局面,同时设备上线实施后期的运行维护及更新升级,随着时间的流逝,人为的懈怠与忽视,都导致购买的安全设备没有起到最大的作用。

(二)信网络安全建设偏重技术钻研,忽略日常管理

信息网络安全不能完全依赖技术手段来解决,更多的需要从信息安全日常管理上入手,毕竟信息网络的使用者是人,只有对人的管理到位,才能保证在技术手段搭建的网络安全保障平台下不出现人为操作引发的漏洞。当前地市信息化工作从业者在对信息安全技术钻研方面投以了很大的热情,但对信息网络安全日常管理方面却显得无能为力,或者说掌控能力还不够,虽然制定并颁布了涵盖网络安全各方面的信息化制度,但相关制度却没有得到很好的贯彻执行,很多制度名存实亡,而行业各级员工良好信息网络安全使用习惯始终没有得到养成,信息安全问责机制得不到很好实施,同时而信息中心作为相关信息安全管理制度的制定者,受限于部门职能及自身管理水平所限,导致对制度执行的监督管理能力低下。而在信息网络安全管理不力的情况下,致使再强大的技术防护都无法避免管理缺失形成的隐患。

(三)信息网络安全建设重视对外防护,忽视对内防护

当前网络安全建设更多的针对外来攻击的防护,而忽视对内的安全防护,更多的是在网络边界搭设安全设备抵御从外部而来的非法入侵及非法访问,而针对内部终端用户的审计及跟踪则较为缺失。根据统计结果标明,99.9%的网络安全事件来源于网络内部,而只有0.1%安全事件来自于外部,绝大多网络安全事件来自于以内部客户端为跳板进行的网络攻击。当企业内部存在有恶意的攻击者,他们就能较好的规避防火墙等安全设备的安全策略,并把安全策略转向对于他们有利的一面,对内部网络进行攻击。同时外部的黑客,也能通过木马,能让内部用户运行他们指定的程序,操纵主机,窃取数据,这些都源于当前的信息网络建设对来自网络内部攻击防护较为薄弱,同时对内部网络准入控制把控力度做得较为不足,虽部署有桌面终端管理系统,但在相应策略部署上,没有及时到位,而该系统特殊的技术阻断方式,也在一定程度容易导致其阻断率无法达到100%。

(四)网络安全建设应急机制不健全

目前地市信息网络安全建设更多的是重视的日常安全巡检等日常检查工作,但是对网络突发事件的应急处置则较为欠缺,地市网络安全建设应急机制建立不健全,缺乏相应网络事故应急预案及相关演练,对突况的应变不熟练,导致出现突发的网络安全事故时则会变得手忙脚乱,无法很好应对突发事件带来的异常,促使事故造成的损失愈发严重,同时没有良好的容灾备份机制,一旦信息安全事故发生,是否能快速有效的恢复关键数据成为疑问。

二、针对当前网络安全建设现状的一些建议

针对当前地市烟草信息网络安全建设过程中存在的问题,通过一定的分析总结,参照最新的技术规范及管理理念,以及上级的制度规定,我们试提出以下几条改进建议,以达到全面提升信息网络安全建设实用性、科学性、全面性、稳定性的效果,具体如下:

(一)加强网络安全设备采购的前期规划及合理配置实用

网络安全设备的采购应加强前期规划及需求分析工作,不能无目的,无原则的一味追求高新设备,当前的现状是各地市对网络安全的设备采购均存在着档次及匹配性问题,存在过大及追高的弊病,形成投资浪费,同时由于项目管控能力较弱,前期规划不足,购置的设备在配置实施后等不到很好的使用,或起不到原先预想的效果。因此要加强项目前期规划,做好需求调研与需求分析工作,对网络安全设备应起到的效果及采购设备级别有准确的预估,加强采购项目的整体实施管控,并重点关注设备采购后的实施上线工作,做好安全策略的制定和部署,要充分利用设备、活用设备,充分达到应起的效用,在设备正式上线运行后,要做好安全防护策略的及时更新与修订,作好安全设备的日常巡检工作,保证安全设备始终发挥作用,而不是上线运行一段时间后就闲置不管。通过对购置网络安全设备活用、善用,提升资产投资价值,搭建坚固稳妥信息网络安全环境,促进信息网络安全建设的实用性。

(二)建立完善的信息网络安全日常管理体系

加强网络安全建设的日常管理工作,应以培养员工的良好的网络安全习惯为工作重点。所谓信息网络安全建设“三分技术,七分管理”,管理到位,信息网络安全建设也将事半功倍。一味单纯的依靠技术进行网络安全防护,而管理上存在漏洞,再强大的技术也将一无所用。好的技术,加上完善严密的管理,才能确保信息网络安全、坚固、稳妥。因此要注重建立完善信息安全管理保障体系,加强安全监管和信息安全等级保护工作,要对网络设备的安全性和信息安全专用产品实行强制认证。同时在加强对员工日常信息安全理念培训的同时,要与接入网内的计算机终端使用者签订信息安全责任状,树立“谁使用、谁负责”、“谁管理、谁负责”的信息安全理念,严格落实信息安全责任制,确保员工不敢轻易触碰信息安全底限,养成良好信息网路安全使用习惯。通过建立全面多级信息网络安全管理体系,增进信息网络建设的科学性。

(三)加强信息网络安全建设对内防护工作

地市公司目前均在互联网出口及边界架设了硬件防火墙等安全设备,但由于防火墙的特殊技术架构,其对内部通过防火墙外部的数据是不进行检测的,这就导致黑客可以利用内网主机上的后门程序,建立隐蔽信道,攻破防火墙,因此其在抵御外部攻击上起到较好作用,但面对来自网络内部的攻击就显得束手无策,针对这一情况,在进行信息网络安全建设的同时,应重点加强信息网络安全的内部防护工作,而加强对客户端的上网行为审计及网络准入控制,就成了加强信息网络内部安全建设的必然选择。客户端接入网络的同时,通过对其安全状况及授权情况进行检测,只有安全状况符合要求,得到合理授权的客户端才能正常接入办公网络。应在互联网出口处,防火墙之前,部署上网行为管理设备,对客户端出互联网的数据进行检测及筛选,降低客户端进行危险的互联网访问,感染病毒,遭受攻击的分险。通过加强信息网络安全建设的内部防护,提升信息网络安全的全面性。

(四)加强信息网路安全建设应急机制建设及演练

要加强信息网络安全建设的应急机制建设,加强应急预案的实施演练,增强对网络安全突发事件的应急处理能力。每年应进行定期仿真度高的应急方案演练,模拟网络安全事故发生时可能发生的情况,进行针对性演习。在方案演练前,要做好演练前期的方案策划,演练过程的完全记录,演练过后的总结分析工作。并以此来不断改进现有的应急预案。同时应做好容灾备份工作,进行关键网络设备的冗余配置及重要数据库的备份工作,确保发生突发事件后,能够及时进行网络及数据恢复工作,将突发事件带来的影响降到最低,不过多的影响正常办公业务的开展,确保信息网络安全的稳定性。

四、结束语

烟草是个比较特殊的行业,在专卖体制下实行“统一领导?垂直管理?垄断经营”,处于一种行政限产型的垄断状态。行业的特殊性要求我们必须克服特殊体制带来的缺陷,高效的开展行业信息化建设工作。地市信息网络安络,作为全省信息网络的组成部分,其信息安全建设水平决定了全省信息网络安全性与稳定性,其重要性不言而喻,只有重视信息网络安全建设,重视当前信息网络安全建设过程中发现的问题,通过科学的规划,合理的布局,周密的实施,去逐渐改变当前的不利局面,才能确保信息网络安全建设的科学性、全面性、稳定性与实用性,确保日常信息网络的平稳运转,为全行业的快速发展提供稳定强大的信息化助力!

参考文献:

[1]福建省烟草公司.计算机网络建设与管理规范[Z].2012.

[2]卢昱,王宇.信息网络安全控制[M].北京:国防工业出版社,2011.

篇6

关键词:网络信息安全状况缺陷威胁对策建议

中图分类号:TN711 文献标识码:A 文章编号:

网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率;信息安全则是指对信息的精确性、真实性、机密性、完整性、可用性和效用性的保护。网络信息安全是网络赖以生存的根基,只有安全得到保障,网络才能充分发挥自身的价值。

随着计算机网络技术的广泛应用和飞速发展,计算机信息网络已成为现代信息社会的基础设施。它作为进行信息交流、开展各种社会活动的基础工具,已深入到人们工作和生活当中。人类在尽情享受网络信息带来的巨大财富和便捷的同时,计算机网络信息安全问题也随之日益突出,安全问题已成为人们普遍关注的问题。

1、目前计算机网络主要存在的缺陷:

1.1操作系统的漏洞――操作系统是一个复杂的软件包,即使研究人员考虑的比较周密,但几年来,发现在许多操作系统中存在着漏洞,漏洞逐渐被填补。操作系统最大的漏洞是I/O处理,I/O命令通常驻留在用户内存空间,任何用户在I/O操作开始之后都可以改变命令的源地址或目的地址。由于系统已进行过一次存取检查,因此在每次每块数据传输时并不再检查,仅只改变传输地址。这种漏洞为黑客打开了方便之门。此外,操作系统还存在着其它漏洞。

1.2 TCP/IP协议的漏洞――TCP/IP协议应用的目的是为了在INTERNET上的应用,虽然TCP/IP是标准的通信协议。但设计时对网络的安全性考虑的不够完全,仍存在着漏洞。由于采用明文传输,在传输过程中攻击者可以截取电子邮件进行攻击,通过网页中输入口令或填写个人资料也很容易劫持。另外TCP/IP协议以IP地址作为网络节点的唯一标识,并没有对节点上的用户身份进行认证。这是导致网络不安全的又一个原因。

1.3应用系统安全漏洞――WEB服务器和浏览器难以保障安全,最初人们引入CGI程序目的是让主页活起来,然而很多人在编CGI程序时对软件包并不十分了解,多数人不是新编程序,而是对程序加以适当的修改,这样一来,很多CGI程序就难免具有相同安全漏洞。

1.4网络硬件的配置不协调。一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。

1.5安全管理的漏洞――由于缺少网络管理员,信息系统管理不规范,不能定期进行安全测试、检查,缺少网络安全监控等对网络安全都产生威胁。

2、网络信息安全主要面对的威胁:

2.1软件漏洞:每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。

2.2配置不当:安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。

2.3安全意识不强:用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。

2.4病毒:目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组 计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等 特点。因此,提高对病毒的防范刻不容缓。

2.5黑客:对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer)。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。

3、应采取的对策建议

3.1加快完善我国信息安全政策法规建设

3.1.1、进一步完善我国信息安全法律体系。适应新形势变化,制定新的信息安全法律,规范网络空间主体的权利和义务,尤其在打击网络犯罪、信息资源保护、信息资源和数据的跨国流动等方面加强立法,明确相关主体应当承担的法律责任和义务,逐步构建起信息安全立法框架。

3.1.2、建立完善的信息安全监督管理制度体系。进一步加强信息安全等级保护工作,推进信息安全风险评估工作,建立有效的信息安全审查制度,对航空航天、石油石化、电力系统等重要领域中应用的核心技术和产品进行安全检查和风险评估。

3.1.3、参考WTO规则制定我国信息安全行业管理规范。坚持政府引导,行业自律的原则,针对信息安全行业中个人隐私、恶意竞争等公众比较关注的问题,加强行业管理规范和行业自律准则的制定和实施,规范信息安全企业的行为。

3.2加强我国信息安全保障体制机制建设

3.2.1、进一步加强网络与信息安全协调小组对我国网络安全的统一领导和协调职责,提高保障网络安全、应对网络犯罪、推动网络应用和宣传推广等工作的协调能力,加强信息安全工作体制机制建设,建立运转顺畅、协调有力、分工合理、责任明确的信息安全管理体制。

3.2.2、逐步对各部委信息安全职能单位进行调整,打破现在各部门“分工负责、各司其职”的条块方式,依据十“稳步推进大部制改革”的指导精神,实现对信息安全部门的整合,成立“大信息安全机构”。

3.2.3、成立国家级的信息安全支撑机构――中国信息安全研究院,整合各方信息安全支撑机构,打造集信息安全政策、法规、标准、技术、产业研究为一体的支撑团队,形成对信息安全领域重大问题、关键技术的持续研究能力,提高我国信息安全产业的核心竞争力。

3.3全面提升新兴技术安全风险防护能力

一是加大对云计算、移动互联网、下一代互联网等新兴技术研发的资金投入,加强核心技术攻关,提高我国对新兴技术的掌控能力,形成拥有自主知识产权的安全产业链条。二是加快网络防护、入侵检测、身份管理等信息安全关键技术研发,并与新兴技术结合起来,提高新兴技术在应用过程的安全防护能力,如在基于PKI体系的电子认证技术基础上,研发应用于云计算、移动互联网等新兴技术上的身份管理等安全防护技术。三是建立新兴技术的信息安全预警机制,成立专门的机构对新兴技术的信息安全隐患进行分析和研究,并为公众提供相关技术的使用指南或标准,对于关键领域或部门则应出台强制性标准或规定,限制新兴技术的使用方式和范围,如国家应如何对掌控大量经济、地理等关键领域数据的企业进行管控,限制其对相关数据的使用权限和范围等。 结语

网络信息安全作为一项动态工程,它的安全程度会随着时间的变化而发生变化。在信息技术日新月异的今天,我们需要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略。关于如何解决好网络安全问题,网络安全技术与工具是网络安全的基础,高水平的网络安全技术队伍是网络安全的保证,严格的管理则是网络安全的关键。我们要清醒认识到任何网络安全和数据保护的防范措施都是有一定的限度,一劳永逸的网络安全体系是不存在的。网络安全需要我们每一个人的参与。

参考文献:

【1】中国网.2009年中国电脑病毒疫情及互联网安全报告.2009年1月.

篇7

论文关键词:政府;信息安全;信息安全人事管理

随着我国信息化建设的不断推进以及电子政务的持续发展,政府信息安全事故也频频发生。

资料表明,七成以上的政府信息安全事故是由政府内部相关工作人员引发的。可见,在信息安全事件中起决定作用的是人,人是信息安全保障T作中最活跃的因素。信息安全人事管理是指以现代人力资源管理理论为基础,从招聘选拔、人员培训、人员使用、绩效考核、人员激励、离职管理等主要职能人手,对组织中信息安全人员进行科学管理、合理配置和有效开发,籍以实现组织信息安全管理目标的活动。信息安全人事管理是信息安全管理的核心。作为信息安全保障的一个关键要素,信息安全人事管理的强化实施可以为政府搭建起一道牢固的“人力防火墙”。本文将现代人力资源管理相关理论与信息安全工作特点结合起来,发掘与提炼信息安全人事管理各主要职能具有特殊性与规律性的实务要点,以期为有关方面提供借鉴和参考。

一、信息安全人员招募与选拔

招募与选拔是政府信息安全人员的“入口”,直接影响到信息安全工作的质量和效率。信息安全人员的招募与选拔实务应该把握以下要点:

1.从招募与选拔的标准上看,突出对个人品德及专业知识的要求。信息安全工作具有保密性、综合性、层次性和规范性等特点,进而决定了信息安全从业人员具有诸多特殊性及要求:他们在工作中会接触到关系国家及组织荣辱兴衰、生死存亡的大量秘密,保守秘密是他们的基本职业道德;他们必须不断学习,对自己的知识与能力进行“升级”,才能适应信息时代信息安全工作的需要;他们必须遵守更多的规定,而且在组织中具有明确的职责,不能越雷池半步。这些都表明,信息安全人员必须具有更高的品德修养。这对应聘者提出更高的标准及要求:必须具有很强的组织纪律性和保密意识;具有很强的团队意识和合作精神,愿意为组织利益牺牲个人利益;具有长远眼光和接纳新事物的胸怀,不断更新自身素质。组织可以通过面试、心理测验、背景审查等选拔方式考察应聘者的德行。此外,管理与技术是做好信息安全工作的两大法宝,因此是否具备一定的信息安全管理与技术专业知识是信息安全人员招聘的另外一个主要标准。组织可以通过笔试来考察应聘者专业知识掌握的程度,并根据职位的不同定位来确定不同的考察重点。

2.从招募的途径上看,在内部招募和外部招募相结合的基础上,突出内部招募。内部招募是指从组织内部发现并培养所需要的各种人才,其方式包括内部晋升、岗位轮换和返聘等;外部招募是指按照一定的标准和程序,从组织外部的众多候选人中挑选符合空缺职位要求的人员,其方式包括人才招聘会与校园招聘等。内部招募和外部招募各有优劣,两者结合起来可使招募效果最大化。由于信息安全工作的保密性要求,信息安全人员招募一般突出依赖内部招募,这主要是为了人员安全可靠的考虑,确保信息安全人员的稳定性。信息安全关键或领导职位出现空缺尤为如此。不过,由于当前我国政府信息安全人才仍旧匮乏,所以当内部招募满足不了组织用人需求时也适当考虑外部招募。招募非关键性信息安全人员时尤为如此。

3.从选拔的过程上看,尤为重视背景审查和保密协议签订两个环节。一般单位选拔人员可能也进行背景审查,但不一定是必须的,或者审查的过程与结果不一定非常严格与仔细。与之不同的是,信息安全人员的选拔尤为重视背景审查这个环节。该环节不仅不可或缺,而且在审查的时间、内容、过程、结果等方面比一般人员审查有更高的要求。其意义在于保证信息安全人员招聘的准确性与可靠性,并在“人口”或“源头”上控制信息安全人事风险。例如,美国中央情报局联邦调查局等部门在选拔关键涉密人员过程中经常采用“心理测谎术”等高科技手段来对候选人进行审查,以确定候选人的诚实度、心理健康度或意志力等。此外,一旦候选人接受了工作,录用合同就成为重要的安全手段。在合同中,组织可以将“政策认可”作为招聘的一个基本要求即在合同中附上一个保密协议,要求候选人在将来的工作甚至离职后的一段时间中,必须遵守组织相关保密规定,担负起保障组织信息安全的责任,否则就会

二、信息安全人员培训

信息安全人员培训是通过各种方式帮助信息安全人员习得相关的知识、技能、观念和态度的学习过程以及开发其潜能的各种活动。其实务要点包括:

1.从培训原则看,坚持保密性原则和适时性原则。保密性原则是指信息安全人员的培训要做好保密工作,特别是对于培训内容、时间和地点等,不可随意泄露,以免引起不必要的麻烦。此外,适时性原则主要是为了顺应当前信息安全科技发展迅猛、更新换代速度加快而提出来的。信息安全人员培训只有遵循适时性原则,才能使信息安全人员跟踪本领域科技发展最新动态,掌握最先进的知识与技能,以防止思想观念陈旧与知识技能老化。

2.从培训内容看,侧重于信息安全意识与信息安全知识与技能培训。高度的信息安全意识是信息安全人员必须具备的基本素质。信息安全意识贯穿于员工工作的始终,但是工作时间越长员工大多会出现倦怠,信息安全意识便会降低逐渐放松警惕,信息安全风险随之倍增,所以加大信息安全意识培训力度势在必行。政府可以使用各种媒介进行宣传,包括鼠标垫、水杯、钢笔或在工作期间经常使用的任何物体上,在这些物体上印制上安全标语,用来提醒员工注意安全如在鼠标垫上印上“BeSafe:Think BethreYouClick”,使信息安全人员在每天工作时都最先考虑信息安全,树立自觉维护信息安全的意识。此外,信息安全行业的综合性使得组织必须根据学用一致的原则,加强对信息安全人员进行信息安全知识与技能的培训。只有不断给员工“输入”新观念、新知识与新技术,使其掌握信息安全的基本原理、要求和惯例,才能提高其技术与管理水平。

三、信息安全人员使用

信息安全人员使用是指组织通过各种人事政策,促使信息安全人员与信息安全工作两者之间实现“人事相宜”、“人职匹配”等,以保障组织信息安全。信息安全人员使用实务要点是:

1.坚持责任分离和可监控原则。责任分离是一种控制机制,用来减少一个人破坏信息安全,

威胁到信息的机密性、完整性和可用性的机会。其具体要求是:(1)明确信息安全系统中每个人的职责,要求“谁管理,谁负责”;(2)关键岗位的人员不得再兼任其他职位,严格控制使用兼职人员;(3)避免一个人从事某项信息安全行为或保管组织所有安全信息;(4)坚持岗位轮换原则,确保一个员工的工作有另一个员工进行审核;(5)重要的任务有两人以上共同完成。此外,可监控原则是对责任分离原则的量化,使组织能够对信息安全人员的工作内容进行监督,进行明确的审查。其具体要求包括:每位员工对所有的相关操作做好记录,以便核查;重要的更改活动如更改配置,更新信息系统等,必须按层级权限申报,获得批准后方可实施;没有日期、没有内容、没有人签署而无法追查的活动,必须严格禁止。而且,由于员工非工作时间的种种表现也会影响信息安全,因此除了对员工在工作时间的表现进行监督,还必须掌握其非工作时间的一些异常表现。

2.防范信息安全人事风险。信息安全人事风险是指由于组织内信息安全人员的行为偏离组织期望和目标或违背客观规律、越轨等给组织信息安全造成的损失或危害。它主要是由于信息安全人员的使用不当而导致破坏计算机系统、越权处理公务等所造成的危害。人是信息安全中最活跃的因素,因此预防由人为因素导致的信息安全风险是信息安全人事风险防范的重中之重。政府可以采取以下措施防范信息安全人事风险:首先通过培训等方式,提高信息安全人员对信息安全人事风险的认识,增强防范意识;其次,健全人事管理周边制度,如督察制度、处理与反馈制度、惩罚制度、反馈制度等,以实现对信息安全人事风险的全过程监控。第,大力建设以人为本、诚实守信等有利于防范人事风险的文化氛围,提高信息安全人员的免疫力。

四、信息安全人员绩效考核

信息安全人员绩效考核是指按照事先确定的信息安全工作目标及衡量标准,考察信息安全人员实际完成工作情况的过程。绩效考核的结果是组织进行人事决策的基本依据。信息安全人员绩效考核是确保人员安全的有效手段,并可以帮助员工提高工作绩效,促进员工和组织共同发展。它包括以下实务要点:

1.从绩效考核的原则上看,坚持重点考核与分级分类考核相结合。重点考核是指对于那些涉密程度深、安全等级高的关键岗位的人员定期进行考核。其目的在于保证重点岗位的重要信息安全。分级分类考核是按照组织中对于安全保护等级的划分,制定不同的考核方法,有针对性地进行考核。2007年我国台的《信息安全等级保护管理办法》将信息安全分五级防护:第一级为自主保护级,第二级为指导保护级,第级为监督保护级,第四级为强制保护级,第五级为专控保护级。很明显,处于不同等级中的信息安全人员的职责与涉密程度是不一样的,加上不同岗位上不同类型的人员,如系统主管人员、数据录入人员、程序员等职责和要求也不同,冈此有必要遵循分级分类原则,避免“一刀切”的做法。

受到处罚。候选人只有在保密协议上签字,承诺遵守相关政策,组织才能录用。

二、信息安全人员培训

信息安全人员培训是通过各种方式帮助信息安全人员习得相关的知识、技能、观念和态度的学习过程以及开发其潜能的各种活动。其实务要点包括:

1.从培训原则看,坚持保密性原则和适时性原则。保密性原则是指信息安全人员的培训要做好保密工作,特别是对于培训内容、时间和地点等,不可随意泄露,以免引起不必要的麻烦。此外,适时性原则主要是为了顺应当前信息安全科技发展迅猛、更新换代速度加快而提出来的。信息安全人员培训只有遵循适时性原则,才能使信息安全人员跟踪本领域科技发展最新动态,掌握最先进的知识与技能,以防止思想观念陈旧与知识技能老化。

2.从培训内容看,侧重于信息安全意识与信息安全知识与技能培训。高度的信息安全意识是信息安全人员必须具备的基本素质。信息安全意识贯穿于员工工作的始终,但是工作时间越长员工大多会出现倦怠,信息安全意识便会降低逐渐放松警惕,信息安全风险随之倍增,所以加大信息安全意识培训力度势在必行。政府可以使用各种媒介进行宣传,包括鼠标垫、水杯、钢笔或在工作期间经常使用的任何物体上,在这些物体上印制上安全标语,用来提醒员工注意安全如在鼠标垫上印上“BeSafe:Think BethreYouClick”,使信息安全人员在每天工作时都最先考虑信息安全,树立自觉维护信息安全的意识。此外,信息安全行业的综合性使得组织必须根据学用一致的原则,加强对信息安全人员进行信息安全知识与技能的培训。只有不断给员工“输入”新观念、新知识与新技术,使其掌握信息安全的基本原理、要求和惯例,才能提高其技术与管理水平。

三、信息安全人员使用

信息安全人员使用是指组织通过各种人事政策,促使信息安全人员与信息安全工作两者之间实现“人事相宜”、“人职匹配”等,以保障组织信息安全。信息安全人员使用实务要点是:

1.坚持责任分离和可监控原则。责任分离是一种控制机制,用来减少一个人破坏信息安全,

威胁到信息的机密性、完整性和可用性的机会。其具体要求是:(1)明确信息安全系统中每个人的职责,要求“谁管理,谁负责”;(2)关键岗位的人员不得再兼任其他职位,严格控制使用兼职人员;(3)避免一个人从事某项信息安全行为或保管组织所有安全信息;(4)坚持岗位轮换原则,确保一个员工的工作有另一个员工进行审核;(5)重要的任务有两人以上共同完成。此外,可监控原则是对责任分离原则的量化,使组织能够对信息安全人员的工作内容进行监督,进行明确的审查。其具体要求包括:每位员工对所有的相关操作做好记录,以便核查;重要的更改活动如更改配置,更新信息系统等,必须按层级权限申报,获得批准后方可实施;没有日期、没有内容、没有人签署而无法追查的活动,必须严格禁止。而且,由于员工非工作时间的种种表现也会影响信息安全,因此除了对员工在工作时间的表现进行监督,还必须掌握其非工作时间的一些异常表现。

2.防范信息安全人事风险。信息安全人事风险是指由于组织内信息安全人员的行为偏离组织期望和目标或违背客观规律、越轨等给组织信息安全造成的损失或危害。它主要是由于信息安全人员的使用不当而导致破坏计算机系统、越权处理公务等所造成的危害。人是信息安全中最活跃的因素,因此预防由人为因素导致的信息安全风险是信息安全人事风险防范的重中之重。政府可以采取以下措施防范信息安全人事风险:首先通过培训等方式,提高信息安全人员对信息安全人事风险的认识,增强防范意识;其次,健全人事管理周边制度,如督察制度、处理与反馈制度、惩罚制度、反馈制度等,以实现对信息安全人事风险的全过程监控。第,大力建设以人为本、诚实守信等有利于防范人事风险的文化氛围,提高信息安全人员的免疫力。

四、信息安全人员绩效考核

信息安全人员绩效考核是指按照事先确定的信息安全工作目标及衡量标准,考察信息安全人员实际完成工作情况的过程。绩效考核的结果是组织进行人事决策的基本依据。信息安全人员绩效考核是确保人员安全的有效手段,并可以帮助员工提高工作绩效,促进员工和组织共同发展。它包括以下实务要点:

1.从绩效考核的原则上看,坚持重点考核与分级分类考核相结合。重点考核是指对于那些涉密程度深、安全等级高的关键岗位的人员定期进行考核。其目的在于保证重点岗位的重要信息安全。分级分类考核是按照组织中对于安全保护等级的划分,制定不同的考核方法,有针对性地进行考核。2007年我国台的《信息安全等级保护管理办法》将信息安全分五级防护:第一级为自主保护级,第二级为指导保护级,第级为监督保护级,第四级为强制保护级,第五级为专控保护级。很明显,处于不同等级中的信息安全人员的职责与涉密程度是不一样的,加上不同岗位上不同类型的人员,如系统主管人员、数据录入人员、程序员等职责和要求也不同,冈此有必要遵循分级分类原则,避免“一刀切”的做法。

2.从绩效考核的内容上看,突出考核信息安全人员的道德品质与工作事故情况,而且不仅考核工作时间内的表现,也考核工作时间外的表现。一般的组织在员工进行绩效考核时,多依据“事后”的工作结果及业绩,业绩高则评价高,业绩低则评价低。但是信息安全这一行业具有其特殊性,单纯以“事后”的结果与业绩作为考核标准,难免会在组织内出现业绩高、品德低以及不重视过程的人员,进而存组织内埋下安全隐患,因此应突出考核信息安全人员在工作过程中所表现出来的道德品质、心理素质、忠诚度等。这些素质是一个人的行为指向标,决定一个人的行为方向,其一般标准是责任心强、遵守职业道德、具有进取精神、作风正派、遵纪守法等。而且,由于信息安全工作对安全性要求明显,冈此还要突出考核信息安全人员存工作过程中是否能恪尽职守,有无工作事故的发生。另外,必须通过日常考核掌握信息安全工作人员工作时间外的表现,包括是否存在随便与人交往问题,家庭关系是否和谐,生活作风是否正常,以及非工作行为是否怪异等等。

3.从绩效考核的期间看,以平时考核为主。信息安全人员的工作由于涉及到安全问题,因此不能像一般丁作人员那样以年终考核为主,而应突出平时考核以实现日常监控,并达到天天、时时、秒秒不安全问题。基于此,信息安全人员绩效考核可实施“月考”、“周考”,甚至“日考”,可以说,考核时间越短越有利于确保安全。安全问题无小事,若不重视平时考核,由此引发的哪怕是一眨眼功夫发生的事故,也有可能导致组织在安全上“功亏一篑”、“全盘皆输”。考核周期短虽然做起来麻烦,但“安全问题高于一切”,只要有利于保障信息安全,工作上“麻烦”一点是值得的。

五、信息安全人员激励

信息安全人员激励的关键是调动工作积极性,激发信息安全人员的潜能去实现工作目标,实务要点包括:

1.重视满足归属、人际交往与尊重的需要。内容型激励理论认为,组织满足员工的归属、人际交往与尊重等需要可以激励员工努力工作。而信息安全人员,特别是关键涉密人员的工作基本上是单调、枯燥、责任重大的,他们经常需要长时间值班或加班,长期处于全封闭或半封闭式的环境中,在单位及花在工作上的时间要比常人多得多,生活及社交空间相对狭小,所以组织更要设法满足其归属、人际交往与尊重的需要,而这主要依靠在单位及岗位上与领导或同事之间的相互沟通与关爱中得以实现。因此,组织必须创设关系融洽、和谐的工作氛围,建立良好的上下级与同事关系,多关心、爱护、支持信息安全人员,以满足他们归属等需要,激发他们的工作积极性。

2.强化目标激励。过程型激励理论认为,明确而可行的工作目标可以牵引员工积极付出行动以实现目标。由于信息安全工作责任重、压力大,同时又相对封闭与单调,容易导致信息安全人员产生工作倦怠和目标迷失等不良现象,进而影响到他们职业发展与组织目标的实现。对此,应帮助信息安全人员树立合理可行的工作目标,特别要通过引导他们认识到自己所从事工作的光荣与神圣,进而激励他们努力干好信息安全工作,以此获得职业发展与心理满足等。

六、信息安全人员离职管理

篇8

在本人参加工作半年多时间来,受到领导和各位前辈多方面的关心和照顾,在工作上亦受到了无微不至的指导,帮助我快速的胜任岗位。

风险管理部是负责**支行全面风险管理政策的落实,监测、评价和控制的综合管理部门,是风险和内控的日常管理职责部门。本人任职的综合统计岗,主要负责对本行信贷资产风险状况和风险分类的统计、分析和管理;负责全行信贷数据动态管理、分析。

在实际工作中,本人主要完成以下几个方面的:信贷手工台帐的录入与核对,对实际发生的信贷业务明细进行动态掌控、分析和管理,以便于及时准确的获得各项信贷统计数据;对**支行运行的老信贷系统进行维护和管理,对各部办录入的数据及报表进行统计及分析;提供**行各项信贷资产数据及明细,完成四级分类和五级分类的统计工作和分析工作;月度为行领导以及计财处、公司部、个金部提供同业经营情况的详细数据;月度、季度、年度,独立的或配合办公室、计财处等部门对外提供各项信贷数据报表。此外,我行新设了信息安全员一岗,本人即任风险管理部信息安全员,负责部门电脑网络信息安全的维护。

进入**银行半年多时间来,在领导和前辈的关心照顾下,本人抱着谦虚好学的态度努力工作,积极学习业务知识、掌握操作技能、适应工作岗位,基本能较好的完成本职工作和领导交办的其他工作。本人是刚毕业的理科本科学生,踏上工作岗位接触全新的银行工作,面临着全新的挑战,这个过程不仅是专业的换位,更是一种思考方式和学习方法的换位,在综合统计岗位上,领导和前辈的关心指导使本人认识到,严谨的态度、正确的方法、积极的沟通、努力的思考,才能获得最准确的统计数据和最高的工作效率。也正是银行业这种对我而言全新的工作,提供给我一个全新的学习机会,在**优良的成长环境下使我能够养成在每一天的工作生活中不断学习和获取新的知识,努力了解银行业、金融业的运行规律,把所学所悟的点点滴滴运用到实际工作岗位工作中。

篇9

在本人参加工作半年多时间来,受到领导和各位前辈多方面的关心和照顾,在工作上亦受到了无微不至的指导,帮助我快速的胜任岗位。

风险管理部是负责支行全面风险管理政策的落实,监测、评价和控制的综合管理部门,是风险和内控的日常管理职责部门。本人任职的综合统计岗,主要负责对本行信贷资产风险状况和风险分类的统计、分析和管理;负责全行信贷数据动态管理、分析。

在实际工作中,本人主要完成以下几个方面的:信贷手工台帐的录入与核对,对实际发生的信贷业务明细进行动态掌控、分析和管理,以便于及时准确的获得各项信贷统计数据;对支行运行的老信贷系统进行维护和管理,对各部办录入的数据及报表进行统计及分析;提供行各项信贷资产数据及明细,完成四级分类和五级分类的统计工作和分析工作;月度为行领导以及计财处、公司部、个金部提供同业经营情况的详细数据;月度、季度、年度,独立的或配合办公室、计财处等部门对外提供各项信贷数据报表。此外,我行新设了信息安全员一岗,本人即任风险管理部信息安全员,负责部门电脑网络信息安全的维护。

进入银行半年多时间来,在领导和前辈的关心照顾下,本人抱着谦虚好学的态度努力工作,积极学习业务知识、掌握操作技能、适应工作岗位,基本能较好的完成本职工作和领导交办的其他工作。本人是刚毕业的理科本科学生,踏上工作岗位接触全新的银行工作,面临着全新的挑战,这个过程不仅是专业的换位,更是一种思考方式和学习方法的换位,在综合统计岗位上,领导和前辈的关心指导使本人认识到,严谨的态度、正确的方法、积极的沟通、努力的思考,才能获得最准确的统计数据和最高的工作效率。也正是银行业这种对我而言全新的工作,提供给我一个全新的学习机会,在优良的成长环境下使我能够养成在每一天的工作生活中不断学习和获取新的知识,努力了解银行业、金融业的运行规律,把所学所悟的点点滴滴运用到实际工作岗位工作中。

篇10

分拆,是为了更好地专注

对于赛门铁克来说,分拆出来的是其2004年以135亿美元高价收购的Veritas,现在又将其分拆出来的原因是什么?“最重要的原因是安全与存储领域的业务重点的分割越来越明显,收购之后影响了两部分业务各自的专注。”梅正宇告诉本报记者。 赛门铁克公司亚太区大客户部副总裁兼大中华区总裁梅正宇

收购Veritas之前的赛门铁克是安全行业的领头羊,但时任CEO John W. Thompson认为,未来安全将不会独立存在,而会成为更大的存储和数据管理市场中的组成部分。按照John W. Thompson的规划,公司通过整合赛门铁克的安全产品和Veritas的信息备份、归档和存储产品来抢占更多的市场。在实践中,赛门铁克也为此做出了努力,比如在邮件归档系统中融入安全,从存储层面防御僵尸网络威胁等。然而,随着IT技术的发展,无论是信息安全还是信息管理业务部门都面临着独有的机遇和挑战,对于赛门铁克而言,应对两个行业需要完全不同的战略和投资。在这样的背景下,赛门铁克董事会决定了拆分计划。

“拆分之后,赛门铁克和Veritas会更加专注于各自擅长的领域,针对独有的增长机遇进行研发和产品部署。其次,两部分业务独立也会简化企业架构和运营复杂程度,使客户更容易与我们进行合作。第三,两家公司也会进一步加强各自的战略灵活性,包括资本的重新分配政策、新合作伙伴政策等,为客户带来更加针对他们需求的产品和服务。”梅正宇表示。

专注迎来增长

“分拆后的新赛门铁克将重新回到‘安全’这个核心业务上来,这意味着我们所有的研发、服务,包括所有的市场策略都会围绕安全来展开。”梅正宇说。

今年4月份,梅正宇正式接手赛门铁克大中华地区的安全业务。随后经过一个多月的紧张和忙碌,如今这个团队已经到位,市场战略也已经基本清晰。梅正宇说,分拆带来的实际效果已经开始显现,重新专注安全之后迎来了业务的明显增长。

梅正宇透露,赛门铁克未来的安全产品将会基于一个统一的平台上――统一安全分析平台。赛门铁克将会基于它对现有的产品进行整合,并重点开发威胁防护和信息防护领域的产品及解决方案。此外,网络安全服务也将从传统的监测服务扩展到事故响应、安全模拟和威胁情报分析等。梅正宇介绍说,威胁防护、信息防护和网络安全服务都会基于统一安全分析平台,为客户提供最及时的安全情报以及最佳的防御措施。

其次,赛门铁克在产品研发上也会从数据中心向云、移动方面倾斜。梅正宇介绍说,现在赛门铁克要做的是充分发挥最全产品线以及覆盖全球的数据智能网络等优势,进一步整合产品。他特别强调,未来整合的不止是赛门铁克的产品,也包括第三方的产品。

中国是赛门铁克的战略市场

专注的另一个好处是可以更好地与合作伙伴配合,深化赛门铁克与中国本地合作伙伴的合作,以更好地服务于客户,为客户创造价值。梅正宇说,凭借全球资源和对本土市场的深入了解,新赛门铁克在渠道政策上会更有针对性,也更具体,这在过去是比较难做到的。此外,赛门铁克也将在各个地区继续推动市场和用户对信息安全的认知和保护意识,并针对信息安全相关领域开展培训。

梅正宇表示,中国是赛门铁克最重要的战略市场之一,是公司一直以来和在未来继续发展的重点区域。 除了在中国市场提供全面的解决方案和完善的安全服务之外,当下的重点之一是加大市场的覆盖力度,一方面要开发更多的大客户,另一方面要针对中小企业和二线城市,与合作伙伴共同探索更多模式、抢占更多的市场。

“作为一个跨国公司,多年来赛门铁克在安全行业建立起自己的核心竞争力,我们拥有业界最全的产品线和全球最大的数据智能网络之一,能够提供重要的全球范围内的威胁数据与分析,从而在应对网络犯罪、抵御复杂的互联网安全威胁和其他安全风险中发挥出核心作用。”梅正宇继续表示,“同时,我们还拥有一直扎根安全的人才队伍以及品牌优势,这都是我们未来赢得市场的基础。根据赛门铁克最新的财报预测,2016财年第一财季及2016财年业绩将实现两位数增长。只要我们专注,我们的整合优势就能够充分发挥出来,市场份额也会随之增长。”

采访手记

梅正宇:安全行业更有挑战也更有成就感

梅正宇在去年11月份正式进入赛门铁克,此时赛门铁克已经明确要拆分。显然,梅正宇是准备接受新挑战而进入赛门铁克的。在采访中,梅正宇也坦言他喜欢这份工作的挑战性,也很享受为客户提供安全服务后带给自己的成就感,这是之前的工作经历中所没有的。

实际上,对梅正宇以及赛门铁克而言,挑战的确不小。首先是当下的IT环境发生了很大变化,特别是PC市场疲软。根据Gartner 6月份公布的数据,2014年全球安全软件收益总额达214亿美元,相比2013年增长了5.3%,但终端防护平台与消费类安全软件收益双双下滑(两者共占据39%的市场总额)。而这正是赛门铁克的传统领地。