目前信息安全存在的问题范文

时间:2023-10-23 17:34:01

导语:如何才能写好一篇目前信息安全存在的问题,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

目前信息安全存在的问题

篇1

甘肃建筑职业技术学院甘肃兰州730050

摘要:目前高校教学管理信息中安全问题频发,暴露出了诸多安全管理问题,文章对高校教学管理信息安全中存在的问题进行了仔细分析,并提出了相应的解决措施。

关键词 :信息安全;问题;措施

随着信息化建设进程的加快,信息安全问题逐步成为各高校所面临的难题。高校经过多年的不断努力,通过物理、技术、管理等方面的各种措施,来保障整个校园信息的安全,通过近年来的管理,也取得了一定的成效,但是高校网络信息安全的管理不单单是技术上的问题,也不单单是出台几个管理条例就能解决的事情。根据信息安全管理体系理论对高校信息安全管理的基本要求,高校要建成相对比较完善的信息安全管理制度体系、管理措施等。而通过对高校目前的信息安全管理现状分析来看,仍然存在多方面的不足。

1 高校信息安全管理存在的问题

1.1 信息安全意识淡薄。目前,高校在信息系统防御能力方面薄弱,网络硬件、软件、协议和安全防护存在较多缺陷和错误,且无法及时、定期修复,严重滞后于信息技术的发展。部分高校教师缺乏安全知识和信息技术水平,对防护措施漠不关心,片面认为学校信息安全是属于专业技术人员的工作。有些学校也不重视高校信息安全管理,导致缺乏安全管理人才及专业指导,同时缺少信息安全系统规划和合理整体布局,风险分析不彻底,制定保障策略存在漏洞。

1.2 过分依赖软硬件技术保护。投入信息安全产品,如专业防火墙、专业的VPN 通道设置等之后,软件和设备防护能力提高,起到信息安全保护与防范作用。但是仍然存在“重技术、轻管理”的思想,管理的意识不够,观念没有彻底转变。信息安全不仅是技术层面的工作,还需考虑物理、技术、管理安全方面的因素。目前,高校在技术措施上投入大量经费,购买安全产品,却在管理措施上投入较少,过分依赖于硬件技术的保护。信息安全事件主要是人为的管理不善,管理意识的淡薄、条例的不健全、操作过程不当等造成的。

1.3 信息安全管理人员配备不足。做好信息安全管理工作,需要有一支高素质的管理队伍,但高校在信息化办公室人员配置上数量较少,专业结构不合理,信息技术部门的工作人员只是购买安全软件装在服务器上。在服务器的管理和维护工作上,通常采用与校外公司签订维护服务协议解决人员紧缺及技术问题,但因不是本校员工,难免出现因事务繁杂而导致责任心不强的问题,有所疏忽将造成重大的损失。还有一种不能忽视的问题,在各个高校普遍存在,就是有部分信息安全管理人员不是计算机或者网络安全专业出身,不能胜任专业的信息安全管理工作,从一定意义上来说,这部分人员不是信息安全管理的专业人员。

1.4 管理制度体系不够完善。目前,很多高校没有成立信息安全组织机构,未配备专门人员,尽管部分高校制定了管理办法和规章制度,但达不到信息安全的管理要求。根据信息安全现状和管理要求,各高校都应成立相应的安全组织、管理和技术机构,形成系统的信息安全管理机制。同时,还有部分高校在信息安全管理方面,几乎没有应急预案,一旦出现信息安全问题,后果不堪设想,一些高校虽然制定了《大学网络与信息安全报告管理办法》,但没有真正发挥作用,未能起到预防信息安全事件发生和消除事件影响的作用。因此,完善高校信息安全管理体系还有很多工作要做。

1.5 信息安全管理和技术有待提高。高校信息安全管理规章制度权威性不足,没有形成长效机制,是目前普遍存在的问题。任何管理措施都需要执行力,尽管目前高校在教学、管理、服务等方面都普及了数字化,但由于信息安全风险的不确定性,致使信息安全不被充分重视,信息安全管理和保障设备投入有限,设施陈旧,组织框架混乱,安全管理工作的分工不明,导致不能预防和及时处理信息安全方面的问题。信息安全管理制度的落实是高校的重点工作,各高校要高度重视,加强软硬件建设,提高管理人员技术水平,保证高校信息的安全性和可恢复性。

2 高校信息安全防护措施

2.1 建立有效的信息安全防护系统。合理配置操作系统端口,详细设置防火墙,开放必须利用的端口,关闭其他不必要的端口;免费提供正版杀毒软件,供全校师生免费下载使用,定期修复系统漏洞,发送错误报告并进行分析处理,升级防毒软件,保障校内所有计算机的安全运行;安装与配置IDS 入侵检测系统,检测防火墙过滤后的隐匿攻击,安装漏洞扫描系统,内外兼防确保信息终端的可信赖性。

2.2 建立安全管理体系。在了解高校当前信息安全管理面临的威胁和风险,分析原因的基础上,结合现有信息安全管理现状,整体规划设计信息安全管理体系。制定相应的安全管理工作机制,明确各管理部门责权,对重点部门、重点节点重点进行安全风险的防控,有效确保整个信息安全管理工作的高效落实。

2.3 加强信息安全管理人员的配备和管理。成立学校信息安全管理机构,采取激励政策,引进培养素质高、数量足的高水平网络、数据管理人才队伍,并培养部门信息安全管理员,充分调动他们的积极性和主动性,为学校信息安全保驾护航。对全体师生进行信息安全技术培训,使广大师生熟练掌握日常的安全操作和系统维护,针对性的加强部门、学生内部安全意识和技术人才的培养,使教师学生掌握基本的网络防御技能和安全保密素质。

2.4 提高高校信息安全管理应急处理能力。信息安全事件具有隐蔽性、突发性的特征,甚至是具有灾难性和传播性的恶性事件。因此,要充分考虑信息安全事件发生时的影响度、损坏度,并进行风险评估,建立和完善信息安全预警与应急处理机制。各校要成立网络信息安全应急处理小组,明确应急处置流程、落实相关处置人员职责,以加强预防为主,在网络信息安全应急事件发生时,迅速实施应急预案,有效控制突发事件,妥善处理问题。在处理信息安全突发事件时,要兼顾高校正常工作中对网络的需求,在有效控制校园网络信息安全突发事件后尽快恢复校园网络,避免影响正常办公。

3 结语

总体来讲,高校目前在信息安全管理方面还存在很多缺陷,已有的安全管理规章和制度只是一种局部的、事后纠正式的安全管理方式,要从根本上避免和降低信息安全事件发生的概率,就必须要根据自身的实际情况,借鉴其他高校的相关经验,制定一套适合本校的安全管理策略和措施体系。

参考文献:

[1]聂磊,刘小玲.浅谈校园网络信息安全管理[J].教育教学论坛,2010(21).

篇2

关键词:网络;信息资源;管理;安全

中图分类号:TP393.08

21世纪是信息化的时代,也是计算机飞速发展的时代,计算机的飞速发展给民众带来了极大的便利,使得信息传递的速度得到大幅度的提高,真正做到了“秀才不出门能知天下事”。利用计算机网络进行信息管理已经成为目前广泛认同的方式,但是计算机本身存在的安全隐患又给社会的发展带来了极大的阻碍,各种网络诈骗、网络数据窃密、黑客入侵屡见不鲜。因此,如何保护计算机数据的安全是信息化建设进程中必须解决的问题。

1 计算机信息管理内容的区分

计算机网络信息管理主要分为两方面:第一,网络信息资源的管理。第二,网络信息的服务。主要作用是对网络应用、服务、安全和用户等资源进行合理、规范的管理,具体内容如下:(1)包含计算机网络IP地址、域名以及自治系统号在内的基础运行信息,其是计算机网络信息管理工作的最基本管理对象,也是计算机网络多元化发展的基础;(2)由多样性的网络信息服务所组成的服务信息,主要由服务器的配置、信息服务、访问情况、负载均衡等问题的反馈信息所组成;(3)包括用户姓名、身份识别、用户所在部门、职位、电子邮件和职责权限等在内的用户信息,是网络安全访问控制中的重要组成部分,并且运用用户信息实现身份认证、角色定义等是目前维护网络信息管理主要措施。

2 计算机网络信息管理中存在的问题

科技的不断发展,使得社会对信息传播速度和信息质量的要求越来越高,互联网应运而生真正解决了社会对信息的需求,但是,随着互联网应用量的剧增,计算机网络信息的安全问题也随之变得越来越多,越来越复杂多端,网络信息的安全性就越来越受关注。

2.1 计算机网络信息管理中的安全指标。计算机的网络信息管理中的安全指标主要分为两大类,一类与网络信息有关,包括保密性、完整性、可用性,另一类与使用者有关,包括授权性、认证性、抗抵赖性。对此笔者做以下分析:(1)保密性,众所周知,一个计算机网络系统能否取得社会的支持,首要条件是是否拥有一个合理的保密系统,能够保证用户的信息不被泄露。所以,保密性是计算机网络安全指标的首要体现,在相应的加密技术的支持下对经过授权的用户与没有经过授权的用户进行准确的筛选,只允许经过授权的用户对计算机网络信息进行访问整个信息系统或者进行终端操作。保密性的提升主要依靠于加密技术的开发程度;(2)可用性。可用性主要是通过信息系统的设计环节来具体体现,在设计环节中必须考虑到可能发生的计算机安全问题,并做出相应的措施,使得在安全风险发生时计算机能够进行合理、有效的应对措施,确保计算机系统可以在短时间内恢复正常的运行状态。因此,在计算机设计和系统管理方面不断的进行强化提升是提高可用性合理、有效的方法;(3)完整性,计算机网络信息管理中的安全性,主要针对的是在网络信息服务的过程中,保证用户数据的完整性。就目前计算机网络信息安全状况来看,计算机网络系统受到非法入侵的概率仍然很大,而计算机网络信息管理中所提出的完整性就是主要针对这一点。当计算机网络系统受到非法入侵时,该系统会立即做出相应的措施,有效的防止并且阻挡各种不良信息及病毒进入计算机,保证计算机系统中的数据的完整性;(4)授权性,授权性是用判断用户是否能够进入计算机系统并且对其中相关信息进行访问和操作,主要针对用户计算机网络系统中的权限。授权性的意义在于,通过对访问列表控制的形式确保和实现计算机网络系统的安全性,在一定程度上可以防止非法入侵的发生;(5)认证性,总的来说,认证性主要作用是弥补授权性在计算机网络信息管理中存在的不足,两者结合能够更好的确保用户和参与操作的是同一用户,增加计算机网络信息管理的安全性;(6)抗抵赖性,主要是为了防止用户否认自身参与过完整网络信息通信过程的真实性,是计算机网络信息安全性建设的基础。

2.2 计算机网络信息安全中存在的主要问题。笔者经过长期的资料收集整理,提出一些目前计算机网络信息安全中存在的主要问题:第一,信息安全检测系统不完善。计算机网络信息资源的开放性和网络系统的脆弱性是极其对立的两方面,两者并存给计算机网络信息管理提出了更大的挑战。而信息安全检查系统建立的目的就是为了消除这两者之间的矛盾,使工作人员在面对非法攻击或者入侵时可以及时的做出合理、有效的应对措施,及时的对被攻击的对象进行弥补和修复,有效的确保了信息系统中关键数据的恢复。但是,信息安全检测系统不完善,使得目前信息安全检测的实施状况远达不到理想要求,因此,完善现有的计算机网络信息安全检查系统迫在眉睫。第二,信息访问控制存在漏洞。想要保证计算机信息系统的安全性,对于信息访问的控制不能忽视。但是,就目前的状况来看,计算机网络中对于信息者和信息访问者的规则约束力度仍然比较低,制约力也不强,使得很多不法分子钻法律、法规的漏洞,达到网上非法获利的目的,极大的阻碍了网络信息安全建设的进程。第三,计算机病毒侵蚀。互联网技术的广泛应用,使得网络用户能够更加广泛的了解到社会各方面的动态,给民众带来了极大的便利,但是与此同时互联网也成了病毒传播的载体,直接造成了用户系统或数据的破坏或损失,给社会发展带来了极大的阻碍,造成了很多不必要的社会财产损失。第四,网络操作系统的漏洞。网络软件在开发的过程中,由于技术上的不成熟,很容易造成这样那样的不足,这些不足之处就成了黑客入侵计算机的主要攻击手段和目标。

3 计算机网络信息管理中存在的安全问题的应对策略

3.1 完善信息安全检测系统。信息安全检测系统是解决计算机网络信息的开放性和网络系统的脆弱性的基础,因此,完善信息安全检测系统是目前必须解决的问题。要想完善信息安全检查系统,首要条件是信息安全检测机构紧跟互联网发展的步伐,加强各大网络信息安全部门信息的共享和交流,在此基础上不断加强对各种影响网络信息安全方式的了解,不断完善已有的信息安全检测系统。

3.2 解决信息访问控制上存在的漏洞。针对计算机信息访问控制上存在的漏洞,提出以下建议:将终端计算机连接到独立的应用交换机上,在通过主线路连接到计算机信息中心的核心交换机上,与用户签订安全防护证书,根据用户的具体需要定义访问权限,以此来保证整个计算机网络信息的安全。

3.3 加大对网络安全防护软件发明的投资。就目前的情况来看,加大对网络安全防护软件的投资,使网络防护软件的功能更加全面是应对黑客入侵和病毒攻击的有效措施,完善的网络防护软件可以及时的对计算机操作系统中所存在的漏洞进行修复,以及对网络信息中存在的病毒进行清除,从而在很大程度上防止黑客的入侵和病毒的攻击,使得计算机网络信息安全性得到加强。

4 结束语

科技的不断发展与人类的需求成正比,因此,科技不断发展的同时,将会有更多的计算机网络信息管理安全方面的问题出现,这就要求我们必须做到与时俱进,针对不同时代的网络现状做出不同的应对措施,不断的完善网络信息管理安全性,使互联网能够更好的服务于社会,促进社会发展的进程。

参考文献:

[1]胡清.计算机网络信息管理及其安全[J].科技传播,2011(21):58-63.

[2]龙邵军.计算机网络信息管理及其安全[J].计算机光盘软件与应用,2014(04):22-29.

篇3

关键词: 企业信息系统;信息安全;安全策略

中图分类号:F270.7 文献标识码:A 文章编号:1671-7597(2012)0220165-01

随着市场经济的不断发展,企业竞争越来越激烈,国际化合作不断增多,随之而来的企业信息安全是目前我国企业普遍存在的问题。对企业来说,信息安全是一项艰巨的工作,关系到企业的发展。近年来,围绕企业信息安全问题的话题不断,企业信息安全事件也频频发生,如何保证企业信息的安全,保证信息系统的正常运转,已经成为信息安全领域研究的新热点。

1 企业信息安全的意义

信息安全是一个含义广泛的名词,是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏,或防止信息被非法辨识、控制,即确保信息的保密性、可用性、完整性和可控性。企业的正常运转,离不开信息资源的支撑。企业信息安全建设对企业的发展意义重大。

首先,信息安全是时展的需要。计算机网络时代的发展,改变了传统的商务运作模式,改变了企业的生产方式和思想观念,极大推动了企业文化的发展。企业信息安全的建设将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。

其次,信息安全是企业发展的需要。企业的信息化建设带来了生产效率提高、成本降低、业务拓展等诸多好处。当前越来越多的企业信息和数据,都是以电子文档的形式存在,对企业来说,信息安全是使企业信息不受威胁和侵害的保证,是企业发展的基本保障,所以,在积极防御,综合防范的方针指导下,有效地防范和规避风险,建立起一套切实可行的长效防范机制,逐步建立起信息安全保障体系,有利于企业的发展。

最后,信息安全是企业稳定的必要前提。信息安全成为保障和促进企业稳定和信息化发展的重点,要充分认识信息安全工作的紧迫感和长期性,从企业的安全、经济发展、企业稳定和保护企业利益的角度来思考问题,扎扎实实地做好基础性工作和基础设施建设,在建立信息安全保障体系的过程中,必须搞好链接信息安全保障体系建设安全、建设健康的网络环境,关注信息战略,保障和促进信息化的健康发展。

2 企业信息安全的现状

我国企业信息安全包括计算机系统的硬、软件及系统中的数据受到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,使得系统连续、可靠、正常的运行,网络服务不中断。计算机和网络技术具有复杂性和多样性,使得企业信息安全成为一个需要持续更新和提高的领域。就目前来看,主要存在以下三个方面的隐患。

2.1 企业缺少信息安全管理制度

企业信息安全是一个比较新的领域,目前还缺少比较完善的法规,现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。企业的信息系统安全问题是一个系统工程,涉及到计算机技术和网络技术以及管理等方方面面,同时,随着信息系统的延伸和新兴技术集成应用升级换代,它又是一个不断发展的动态过程。因此对企业信息系统运行风险和安全需求应进行同期化的管理,不断制定和调整安全策略,只有这样,才能在享受企业信息系统便利高效的同时,把握住信息系统安全的大门。

2.2 员工缺少安全管理的责任心

一个企业的信息系统是企业全体人员参与的,不考虑全员参与的信息安全方案,恰恰忽视信息安全中最关键的因素――人,因为他们才是企业信息系统的提供者和使用者,他们是影响信息安全系统能否达到预期要求的决定因素。在众多的攻击行为和事件中,发生最多的安全事件是信息泄露事件。攻击者主要来自企业内部,而不是来自企业外部的黑客等攻击者,安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄露事件。针对内部员工的泄密行为,目前还没有成熟的、全面的解决,对于来自企业信息内部信息泄密的安全问题,一直是整个信息安全保障体系的难点和弱点所在。

2.3 信息系统缺乏信息安全技术

计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,网络硬件、软件系统多数依靠进口,由此可造成企业信息安全的隐患,现在黑客的攻击并不是为了破坏底层系统,而是为了入侵应用,窃取数据,带有明显的商业目的,许多黑客就是通过计算机操作系统的漏洞和后门程序进入企业信息系统。随着网络应用要求的越来越多,针对应用的攻击也越来越多,除了在管理制度上确保信息安全外,还要在技术上确保信息安全。

3 企业信息安全中存在的问题

信息时代的到来,从根本上改变了企业经营形式,企业实施信息化为其带来便利的同时也产生了巨大的信息安全风险。由于我国企业信息安全工作还处于起步阶段,基础薄弱,导致信息安全存在一些亟待解决的问题。比较常见的问题有病毒危害、“黑客”攻击和网络攻击等,这些问题给企业造成直接的经济损失,成为企业信息安全的最大威胁,使企业信息安全存在着风险因素。

3.1 病毒危害

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,它是具有破坏作用的程序或指令集合。计算机病毒已经泛滥成灾,几乎无孔不入,据统计,计算机病毒的种类已经超过4万多种,而且还在以每年40%的速度在递增,随着Internet技术的发展,病毒在企业信息系统中传播的速度越来越快,其破坏性也越来越来越强。

3.2 “黑客”攻击

“黑客”是英文Hacker的谐音,黑客是利用技术手段进入其权限以外的计算机系统的人。黑客破解或破坏某个程序、系统及网络安全,或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。通常采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统,盗窃系统保密信息,进行信息破坏或占用系统资源,黑客攻击已经成为近年来经常出现的问题。

3.3 网络攻击

网络攻击就是对网络安全威胁的具体表现,利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。尤其是在最近几年里,网络攻击技术和攻击工具有了新的发展趋势,使借助Internet运行业务的企业面临着前所未有的风险。由此可知,企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全,就必须找出存在信息安全问题的根源,并具有良好的安全管理策略。

4 企业信息安全的解决方案

为确保企业信息安全,要坚持积极防御,综合防范的方针,全面提高信息安全防护能力。因此,面对企业信息安全的现状和企业信息安全发展中出现的问题,必须实施对企业的信息安全管理,建设信息安全管理体系,只有建立完善的安全管理制度,将信息安全管理自始至终贯彻落实于信息管理系统的方方面面,企业信息安全才能得以实现。企业信息安全的解决方案,具体表现在以下三个方面:

4.1 建立完善的安全管理体系

完整的企业信息系统安全管理体系首先要建立完善的组织体系,完成制定并信息安全管理规范和建立信息安全管理组织等工作,保障信息安全措施的落实以及信息安全体系自身的不断完善。并建立一套信息安全规范,详细说明各种信息安全策略。一个详细的信息安全规划可以减轻对于人的因素带来的信息安全问题。最基本的企业安全管理过程包括:采用科学的企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型、建立科学的可实施的安全策略,采取规范的安全防范措施、选用可靠稳定的安全产品等。安全防范体系的建立不是一劳永逸的,企业网络信息自身的情况不断变化,新的安全问题不断涌现,必须根据暴露出的一些问题,进行更新,保证网络安全防范体系的良性发展,

4.2 提高企业员工的安全意识

科技以人为本,在信息安全方面也是靠人来维护企业的利益,我们在企业信息网络巩固正面防护的时候不能忽视对人的行为规范和绩效管理。企业员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。企业应当制定企业人员信息安全行为规范,必须有专门管理人才,才能有效地实现企业安全、可靠、稳定运行,保证企业信息安全。教育培训是培训信息安全人才的重要手段,企业可以对所有相关人员进行经常性的安全培训,强化技术人员对信息安全的重视,提升使用人员的安全观念,有针对性的开展安全意识宣传教育,逐步提高员工的安全意识,强调人的作用,使他们明确企业各级组织和人员的安全权限和责任,使他们的行为符合整个安全策略的要求。

4.3 不断优化企业信息安全技术

企业一旦制定了一套详细的安全规划来武装自己,保护其智力资产,它就开始投入到选择采用正确信息安全技术上。可供企业选择的防止信息安全漏洞的安全技术有很多。当企业选择采用何种技术时,首先了解信息安全的三个领域是十分有帮助的,这三个领域变得:验证与授权、预防和抵制、检测和响应。其中,用户验证是确认用户身份的一种方法,一旦系统确认了用户身份,那么它就可以决定该用户的访问权限,比如使用用户名和密码。预防和抵抗技术是指企业阻止入侵者访问。对于任何企业,必须对那些故障做好准备和预测,目前可以帮助预防和建设抵抗攻击的技术主要有内容过滤、加密和防火墙,在选用防火墙的时候,需要对所安装的防火墙做一些攻击测试。此外,企业信息安全的最后一道屏障是探测和反应技术,最常见的探测和反应技术是杀毒软件。

5 结语

总之,企业信息安全是一项复杂的系统工程,企业要适应现代化发展的需要,要提高自身信息安全意识,加强对信息安全风险防范意识的认识,重视安全策略的施行及安全教育,必须做到管理和技术并重,安全技术必须结合安全措施,并加强信息安全立法和执法的力度,建立备份和恢复机制, 为企业设计适合实际情况的安全解决方案,制定正确和采取适当的安全策略和安全机制,保证企业安全体系处于应有的健康状态。

参考文献:

[1]张帆,企业信息安全威胁分析与安全策略[J].网络安全技术与应用,2007(5).

[2]谌晓欢,企业信息安全问题及解决方案[J].企业技术开发,2008(8).

[3]付沙,企业信息安全策略的研究与探讨[J].商场现代化,2007(26).

[4]姜桦、郭永利,企业信息安全策略研究[J].焦作大学学报,2009(1).

篇4

前言

银行信息系统的安全保障要以缜密的分析为前提,制定详细的对策, 充分利用安全技术、安全产品来实现安全措施。本文以泰安农村信用 社为例阐述银行信息安全问题。

1。信息安全分析

银行信息系统具有服务范围广泛,平台复杂多样,业务品种不断 更新的特点。因此银行信息系统庞大而复杂,信息安全涉及方面众多, 我们大体可以按照安全管理、信息资产与环境、主机系统、网络系统、 日常运维五个方面进行分析。

1。1安全管理问题分析.

泰安农村信用社信息系统一贯重视系统安全,但对与系统安全的 管理仍处于比较传统的模式,即一种静态的、局部的、少数人负责的、 突击式的、事后纠正式的管理方式;安全管理偏重对业务的保障,在内 部管理上相对比较松散;一些安全管理策略和制度规范比较宏观,在 可操作性和实效性上还值得进一步探讨与改进。

1。2信息资产与环境问题分析.

泰安农信信息系统依照相关的规定进行建设。目前还需要改进的 问题为包括物理环境的单点故障隐患及不可抗力因素导致的系统安 全的风险;对信息资产的保护缺乏信息资产分类体系,无法实现对设 备的购置、维修、报废等环节的实时管理.

1.3主机系统问题分析信息中心的主机上存放大量的业务数据,对全辖提供数据服务及 技术支持,保证辖内计算机系统全年365天、全天24小时不间断运 行,因此主机采用高可用性和全冗余结构的主机系统,配置磁盘阵列 存储数据.

目前面临维护错误和操作失误、未经授权访问和操作、权限滥用、 硬件故障、数据库本身存在的安全漏洞等威胁.

1.4网络系统问题分析现行银行计算机网络是银行计算机信息系统中最易受攻击又最 难以防范的薄弱环节,为了保障网络安全,目前采取的的措施有增加 防火墙,对连接科技中心主机全部做了限制,安装了IDS入侵检测系 统。还存在以下问题:主交换机虽然划分了VLAN,但划分VLAN数量 少,无法满足业务高速发展需要;办公网现在没有逻辑划分;在省市和 市县之间没有实施QOS策略,存在一定网络拥塞的风险.

1.5日常运维问题分析目前日常运维工作繁重,日常运维只是通过已有的书面的操作流 程进行操作,无法记录操作结果,对日常运维缺乏审计性;机房主要依 靠人工巡查等手段进行监控,存在不能及时发现问题的隐患。对于登 陆信息系统的网点柜员身份验证停留在用户名+密码阶段,存在非 法入侵的安全隐患.

2.信息安全风险识别

通过对泰安农村信用社进行信息资产识别,逐项进行风险评估, 并制订风险控制措施.

2.1确定资产风险等级 全面了解泰安农信信息系统安全现状,采用定性与定量相结合的 方法,并依据标准要求充分考虑到资产的安全价值、威胁、薄弱点、威 胁发生的可能性、威胁造成的潜在响应等因素,将各个资产所面临的 众多威胁因素统一起来描述.

2.2明确风险控制方法 根据风险评估表,对该资产已经识别出的风险点,在现有的控制 措施之外,进一步提出解决该风险点的新方法或新措施,以使风险降 低到可接受的程度,并明确责任人,制定一个切实可行的风险处理计 划。

3.信息安全问题解决

根据风险评估的结果及风险控制方案,依照安全管理体系的要求 对准备阶段中涉及的各类问题集中解决,使得在信息系统受到侵袭 时,确保业务持续开展并将损失降到最低程度.

3.1安全管理的安全实现 针对目前泰安农信信息系统在安全管理方面存在的问题,信息安 全人员仔细分析问题,提出问题解决方案如下.

3.1.1明确指出系统中每位员工的责权问题.

3.1.2建立较完善的信息科技制度体系,明确泰安农信信息系统 工作流程,避免管理混乱.

3.1.3建立规范的信息系统风险防控和应急处置流程,逐步提高 突发事件的应急能力.

3.2信息资产与环境的安全实现 针对目前泰安农信信息系统在信息资产与环境方面存在的问题, 信息安全人员仔细分析问题,提出如下问题解决方案.

3.2.1引入计算机设备管理系统软件,规范设备管理。对设备的 购置、维修、报废等环节的管理的问题进行跟踪记录.

3.2.2对银行设备与物理环境进行容灾规划,实施容灾系统。对通 讯线路及硬件设备进行冗余备份;对重要数据制定完善的备份规则.

3.3主机系统的安全实现 针对目前泰安农信信息系统在主机系统方面存在的问题,信息安 全人员仔细分析问题,提出如下问题解决方案.

3.3.1开发备份配置软件,保存每次设置变更情况,使设置变更有 迹可循.

3.3.2为保证数据信息安全,采用双机热备、重要数据远程备份、 异地存放等多种措施避免系统风险.

3.3.3应用运维安全管理系统对操作员的操作进行限制,杜绝 由于操作用户权限过大而造成的安全隐患.

3.4网络信息的安全实现 主要包括信用社内部数据传输线路的安全实现、第三方接入的安 全实现等。泰安农信采用SDH线路进行组网;通过端点隔离方式实现 业务和办公网络分离;通过整体路由规划和QOS规划实现对各业务 数据流的控制;内网配置了多套防火墙,实现对内网的通讯访问的控 制与隔离.

3.5日常运维的安全实现 针对目前泰安农信信息系统在日常运维方面存在的问题,信息安 全人员仔细分析问题,提出如下问题解决方案.

3.5.1建立网络化的运维机制。探索建立科技服务联动网.

3.5.2分析日常工作流程,开发电子日志系统,确保日常工作不 会遗漏,并记录操作员日常操作,保证操作过程的可审计性.

3.5.3建立机房自动监控系统,实时监控放置、设备的运行状态及 工作参数,发现部件故障或参数异常,及时报警,并可记录历史数据和 报警时间.

3.5.4对营业网点操作柜员加强身份验证,防范非法入侵.

篇5

【关键词】计算机;信息安全

随着计算机网络的不断发展与普及,人类生活已经入信息化、数字化时代,在我们的日常生活、学习、工作等诸多领域都有着网络的痕迹,而目前获取信息进行交流的主要手段也是网络。众所周知,一个国家国民教育程度的高低对整个国家国民素质的发展有着重要的影响。因此,网络化教育已经成为教育发展的必然趋势,国家的发展离不开教育,而教育的发展离不开网络。然而,由于种种原因,网络也有其不足之处,我们在进行网络教育的过程中必然存在很多问题。为了提供一个安全可靠的网络环境,在培养信息安全人才的同时,还必须加大网络安全系统建设的投入,这是确保信息安全的关键。

网络系统的信息安全是指防止信息被故意或偶然的非法泄露、更改、破坏或使信息被非法系统识别、控制等[4]。所以,强化网络的信息安全,解决信息安全问题,才能使信息更加持续化,向健康的方向发展。

1. 目前学校网络教育中信息安全教育存在的问题

当前,尽管全球信息化正在飞速发展,但信息在网络上也面临着随时被窃取、篡改和伪造的危险,这就对保障信息安全带来了很多挑战。因此,我们在校园环境中也要认识到,现在学生上网已经是一种非常普遍的现象,而虚拟的网络环境在为学生的学习和生活提供广阔发展空间的同时,也对学生的健康成长起着直接或间接的负面影响,例如计算机病毒、黑客攻击等现象。如果不能正确引导学生认识,那么学生对于网络信息安全的理解就会走向误区。下面将针对网络教育中存在的信息安全问题做简单论述:

1.1 对信息安全教育的认识不足。

加强学校信息安全教育,不仅是保证学生身心健康发展的关键,也是同其他国家争夺人才的需要。目前很多学校未能意识到网络信息安全教育的重要性,不能深刻理解其内涵,因此,从现在开始就要培养学生对网络信息安全重要性的认识,掌握信息安全体系中最基本的原理和概念,能够熟练运用常用的工具和必要手段进行安全故障的排查等等[5]。我们要最大限度地保证学生免受不良信息的侵害,尽量避免学生自身违法犯罪的发生,为我国培养高素质、高水平人才提供保障。

1.2 对网络信息安全教育的重视力度不够。

目前很多学校对于如何将信息安全教育正规、科学的纳入到学校教学计划,还没有做出明确的规定。有些学校甚至只对个别专业的学生开设相关的信息安全教育课程,普及面非常狭窄,重视程度远远不够,导致学生对计算机软件和硬件知识体系的了解相当缺乏。为了全面提高我国高素质人才的计算机信息安全意识,我们不能仅仅对计算机专业的学生普及信息安全教育,还要将这项教育推广到非计算机专业,这对于增强我国经济社会全面信息化建设具有十分重要的保障作用。

1.3 对学校信息安全教育采用的方法不当。

很多学校所采用的信息安全教育的方法比较落后,依旧沿用老方法,跟不上当今网络时代快速发展的要求,脱离了实际。大部分的教材只局限于理论的讲述,而忽视了对信息安全技能方面的培养,缺少必要的实践经验,严重影响了信息安全教育的效果。

2. 计算机网络系统本身存在的主要信息安全问题

由于计算机网络的重要性和对社会活动的影响越来越大,大量数据需要进行存储和传输,某些偶然的或恶意的因素都有可能对数据造成破坏、泄露、丢失或更改。以下内容主要是论述计算机网络系统中本身存在的信息安全问题,并针对这些问题进一步提出了解决的策略。

2.1 影响计算机网络安全的因素有多种,主要是自然因素和人为因素。自然因素是指一些意外事故,例如服务器突然断电等;人为因素是指人为的入侵和破坏,这种情况危害性大且隐藏性较强。

2.2 无意的损坏,例如系统管理员安全配置不当而造成的安全漏洞,有些用户安全意识不强、口令选择不慎、将自己账户随意转借他人或与他人共享资源等带来的安全问题。

2.3 有意的破坏,例如黑客利用网络软件设计时产生的漏洞和“后门”对电脑系统的非法恶意攻击,从而使处于网络覆盖范围的电脑系统遭到非法入侵者的攻击,有些敏感数据就有可能被泄露或修改,这种破坏主要来自于黑客。

2.4 网络黑客和计算机病毒是造成信息安全问题的主要原因。网络黑客和计算机病毒的出现给计算机安全提出了严峻的挑战,因此要解决此问题,最重要的一点是树立“预防为主,防治结合”的思想,牢固树立计算机安全意识,防患于未然,积极地预防黑客的攻击和计算机病毒的侵入[4]。而病毒则以预防为主,主要是阻断病毒的传播途径。

3. 网络信息安全的防范措施

3.1 加强计算机防火墙的建设。

所谓计算机防火墙是由软件和硬件设备组成、在内网和外网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,保护内部网免受非法用户的入侵,能够保护计算机系统不受任何来自“本地”或“远程”病毒的危害,向计算机系统提供双向保护,也防止“本地”系统内的病毒向网络或其他介质扩散[2]。

3.2 建立一个安全的网络系统。

3.2.1 从技术上保障可行的资源保护和网络访问安全,主要包括网络身份认证,数据传输的保密与完整性,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防御病毒等。如加密技术,它是电子商务采取的主要安全保密措施,是最常用的安全保密手段,是利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)的一种技术。

3.2.2 详细了解当前存在的网络信息安全问题,以及网络信息安全的攻击手段,积极采取相应的有效措施进行解决。

3.2.3 要从工作环境以及工作人员、外来人员方面切实做好保密工作,要有严格的岗位考核管理制度,对工作人员的安全意识要经常培训,以便从物理上断绝对网络安全的威胁。

3.2.4 用户本身方面,要有强烈的自我保护意识,对于个人隐私及与财产有关的相关信息要做好保密工作,不能轻易告知他人。

3.2.5 要对网络外部运行环境(温度、湿度、烟尘)进行不定期的检测、检查和维修,提供一个良好、畅通的外界环境。

随着信息化进程的加快和网络安全行业的快速发展,网络教育在学校教育中扮演着越来越重要的角色,推动新的教育模式不断向前发展。同样,我们也面临着新的威胁,因此我们必须运用新的防护技术。网络信息安全是一个系统的工程,我们不能仅靠硬件设备(杀毒软件、防火墙、漏洞检测)等的防护,还应意识到计算机网络系统是一个人机系统,计算机是安全保护的对象,但执行保护的主体是人,只有树立人的计算机安全意识,才有可能防微杜渐,同时还要不断进行网络信息安全保护技术手段的研究和创新,从而使网络信息能安全可靠地为广大用户服务。

参考文献

[1] 叶炳煜.浅论计算机网络安全[J].电脑知识与技术,2009,(03)

[2] 阎慧.防火墙原理与技术[M] .北京:机械工业出版社,2004

[3] 张红旗.信息网络安全[M].北京:清华大学出版社,2002

[4] 袁家政.计算机网络安全与应用技术[M].北京:清华大学出版社,2003

篇6

关键词 计算机 教学 安全问题

中图分类号: G434 文献标识码:A

随着计算机网络的不断发展与普及,人类生活已经入信息化、数字化时代,在我们的日常生活、学习、工作等诸多领域都有着网络的痕迹,而目前获取信息进行交流的主要手段也是网络。

网络系统的信息安全是指防止信息被故意或偶然的非法泄露、更改、破坏或使信息被非法系统识别、控制等。所以,强化网络的信息安全,解决信息安全问题,才能使信息更加持续化,向健康的方向发展。

1 目前学校网络教育中信息安全教育存在的问题

当前,尽管全球信息化正在飞速发展,但信息在网络上也面临着随时被窃取、篡改和伪造的危险,这就对保障信息安全带来了很多挑战。因此,我们在校园环境中也要认识到,现在学生上网已经是一种非常普遍的现象,而虚拟的网络环境在为学生的学习和生活提供广阔发展空间的同时,也对学生的健康成长起着直接或间接的负面影响,例如计算机病毒、黑客攻击等现象。如果不能正确引导学生认识,那么学生对于网络信息安全的理解就会走向误区。下面将针对网络教育中存在的信息安全问题做简单论述:

1.1 对信息安全教育的认识不足

加强学校信息安全教育,不仅是保证学生身心健康发展的关键,也是同其他国家争夺人才的需要。目前很多学校未能意识到网络信息安全教育的重要性,不能深刻理解其内涵,因此,从现在开始就要培养学生对网络信息安全重要性的认识,掌握信息安全体系中最基本的原理和概念,能够熟练运用常用的工具和必要手段进行安全故障的排查等等[5]。我们要最大限度地保证学生免受不良信息的侵害,尽量避免学生自身违法犯罪的发生,为我国培养高素质、高水平人才提供保障?

1.2 对网络信息安全教育的重视力度不够

目前很多学校对于如何将信息安全教育正规、科学的纳入到学校教学计划,还没有做出明确的规定。有些学校甚至只对个别专业的学生开设相关的信息安全教育课程,普及面非常狭窄,重视程度远远不够,导致学生对计算机软件和硬件知识体系的了解相当缺乏。为了全面提高我国高素质人才的计算机信息安全意识,我们不能仅仅对计算机专业的学生普及信息安全教育,还要将这项教育推广到非计算机专业,这对于增强我国经济社会全面信息化建设具有十分重要的保障作用。

1.3 对学校信息安全教育采用的方法不当

很多学校所采用的信息安全教育的方法比较落后,依旧沿用老方法,跟不上当今网络时代快速发展的要求,脱离了实际。大部分的教材只局限于理论的讲述,而忽视了对信息安全技能方面的培养,缺少必要的实践经验,严重影响了信息安全教育的效果。

2 计算机网络系统本身存在的主要信息安全问题

由于计算机网络的重要性和对社会活动的影响越来越大,大量数据需要进行存储和传输,某些偶然的或恶意的因素都有可能对数据造成破坏、泄露、丢失或更改。以下内容主要是论述计算机网络系统中本身存在的信息安全问题,并针对这些问题进一步提出了解决的策略。

(1)影响计算机网络安全的因素有多种,主要是自然因素和人为因素。自然因素是指一些意外事故,例如服务器突然断电等;人为因素是指人为的入侵和破坏,这种情况危害性大且隐藏性较强。

(2)无意的损坏,例如系统管理员安全配置不当而造成的安全漏洞,有些用户安全意识不强、口令选择不慎、将自己账户随意转借他人或与他人共享资源等带来的安全问题。

(3)有意的破坏,例如黑客利用网络软件设计时产生的漏洞和“后门”对电脑系统的非法恶意攻击,从而使处于网络覆盖范围的电脑系统遭到非法入侵者的攻击,有些敏感数据就有可能被泄露或修改,这种破坏主要来自于黑客。

(4)网络黑客和计算机病毒是造成信息安全问题的主要原因。网络黑客和计算机病毒的出现给计算机安全提出了严峻的挑战,因此要解决此问题,最重要的一点是树立“预防为主,防治结合”的思想,牢固树立计算机安全意识,防患于未然,积极地预防黑客的攻击和计算机病毒的侵入。而病毒则以预防为主,主要是阻断病毒的传播途径。

3 网络信息安全的防范措施

3.1 加强计算机防火墙的建设

所谓计算机防火墙是由软件和硬件设备组成、在内网和外网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,保护内部网免受非法用户的入侵,能够保护计算机系统不受任何来自“本地”或“远程”病毒的危害,向计算机系统提供双向保护,也防止“本地”系统内的病毒向网络或其他介质扩散。

3.2 建立一个安全的网络系统

(1)从技术上保障可行的资源保护和网络访问安全,主要包括网络身份认证,数据传输的保密与完整性,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防御病毒等。如加密技术,它是电子商务采取的主要安全保密措施,是最常用的安全保密手段,是利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)的一种技术。

(2)详细了解当前存在的网络信息安全问题,以及网络信息安全的攻击手段,积极采取相应的有效措施进行解决。

(3)要从工作环境以及工作人员、外来人员方面切实做好保密工作,要有严格的岗位考核管理制度,对工作人员的安全意识要经常培训,以便从物理上断绝对网络安全的威胁。

(4)用户本身方面,要有强烈的自我保护意识,对于个人隐私及与财产有关的相关信息要做好保密工作,不能轻易告知他人。

(5)要对网络外部运行环境(温度、湿度、烟尘)进行不定期的检测、检查和维修,提供一个良好、畅通的外界环境。

随着信息化进程的加快和网络安全行业的快速发展,网络教育在学校教育中扮演着越来越重要的角色,推动新的教育模式不断向前发展。同样,我们也面临着新的威胁,因此我们必须运用新的防护技术。网络信息安全是一个系统的工程,我们不能仅靠硬件设备(杀毒软件、防火墙、漏洞检测)等的防护,还应意识到计算机网络系统是一个人机系统,计算机是安全保护的对象,但执行保护的主体是人,只有树立人的计算机安全意识,才有可能防微杜渐,同时还要不断进行网络信息安全保护技术手段的研究和创新,从而使网络信息能安全可靠地为广大用户服务。

参考文献

[1] 叶炳煜.浅论计算机网络安全[J].电脑知识与技术,2009,(03).

[2] 阎慧.防火墙原理与技术[M] .北京:机械工业出版社,2004.

[3] 张红旗.信息网络安全[M].北京:清华大学出版社,2002.

篇7

【关键词】信息安全管理 保险公司

一、保险公司信息安全管理的意义

科学的进步,信息技术的发展使当今的社会步入了互联网和大数据的时代。这一时代的变革给社会经济带来了深刻的影响,产生了许多颠覆性的创新,改变了人们传统的行为习惯、企业的商业模式和市场的竞争格局。

整个社会正在发生革命性的变化,世界在迈向信息化的过程中,也给保险行业的发展带来了更广阔的天空。信息技术在未来的保险领域中承载着越来越重要的作用,然而,新技术的应用和推广中,风险与机遇是并存的。技术上的缺陷,安全管理上的漏洞,都将使得信息和信息系统的安全产生严重的问题,甚至于危害人们生命与财产的安全。因此,研究和制定保险公司的信息安全战略,提升保险公司安全保障能力,架构保险信息安全体系是我们面临的重大课题。本文的研究目的就是对保险公司的信息安全管理体系解决方案进行探索,为保险公司的大力发展提供有力的安全保障和基础。

二、保险公司信息安全管理中普通存在的问题

尽管在日常生活中,人们对越来越多暴露出的信息安全问题愈发的敏感和关注,但是普遍来说,整个保险行业对信息安全问题的整体认识不足,缺乏必要和实质的行动,主要存在的问题有以下几个方面:

(一)管理层对信息安全的意义认识不足

管理层对信息安全的认识还没有达到战略性的高度,没有意识到信息安全问题将渗透到企业的方方面面,没有意识到信息安全管理能力将成为企业未来的核心能力。由于管理层重视程度不高,导致了对信息安全管理上人力和物力的投入不足,许多企业的信息安全管理水平不理想。

(二)信息安全管理上缺乏全局思维

保险公司的安全管理目前仍然缺乏一整套完善的规范约束,重视其中的技术问题,轻视了管理问题;重视客观性问题,轻视人为主观性因素;重视对外部环境的安全,轻视内在存在的隐患;以静态的观念思考问题,缺乏前瞻性思维。

(三)信息安全治理的成熟度较低

信息安全治理要包括风险管理,组织流程,策略执行,责任到岗等一整套治理体系,目前许多保险企业的信息安全管理的成熟度仍然处于初级阶段,表现为有局限性的安全保障行为,距离成熟的治理结构,即全面动态优化的阶段,还有比较长的距离。

(四)安全管理基础薄弱,对安全保障有行为没有体系

信息安全问题不仅是技术上问题,,更要面临管理的问题。需要利用技术手段去支持管理手段,利用管理手段提升技术手段应有作用的有效发挥。许多企业对安全的决策没有整合到整个管理体系流程中,对风险的防范是片段的、分散的、局部的,也缺乏专业的安全治理部门和责任人对安全问题进行评估、监督和优化。

鉴于以上存在的问题和现状,保险企业需要深刻的理解信息安全问题的重要性,建立和健全一整套的信息安全管理体系保证安全战略的规划和部署,在信息技术的支持下,促进行业和企业的高速发展。

三、建设和实施信息安全体系的步骤

《保险公司信息系统安全管理指引(试行)》中指出:信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。信息安全不是对单一的信息产品进行防护,而是构筑综合防御体系。一个典型的综合防御体系的构筑过程包括如下步骤:首先,明确信息安全的目标,并建立和完善企业安全治理结构,进而识别和评估企业中存在的安全风险,涉及的相关主体和面临的各项约束,形成安全评估报告,并制定相关的安全控制规划,建立分层次的安全管理体系,最后,对安全管理活动进行持续性的评估、监督、控制和改进。这个过程是个PDCA的过程,安全体系会随着外部环境的变化、业务情况的变化和信息技术的改进而产生新的需求,新的方法,因此它需要不断更新改进,是一个动态发展的过程。

(一)安全目标的确立

信息安全有三个层次的内涵:

第一层次:信息安全,指的是保护信息这种资产自身的安全,避免发生偶发的或有意的泄露、修改、破坏或丧失处理能力。包括三重含义:信息的机密性、信息的真实性和信息的完整性。

第二层次:信息系统的安全,信息系统是信息处理中包含硬件、软件和网络等支撑体系的集合,信息安全与信息系统安全相互附生,信息系统问题将直接引发信息安全问题。

第三层次:由信息安全和信息系统安全带来的的传统安全问题,如机密信息泄露导致的生命财产的损失。

以这三个层次为出发点,帮助我们分析信息安全中的主体、要素、相关关系,并结合公司的战略规划,确定信息安全的根本目标是制定和实施安全管理解决方案的首要任务。

(二)治理结构的设置

由于信息安全管理需要跨部门、跨业务整合资源,因此需要建立强有力的领导层和组织架构,进行顶层设计。在此基础上,实施多资源系统控制政策,整合不同业务、不同渠道、不同条线、不同分支机构的要求,形成安全管理体系,开展具体工作,强化多项目综合管理,既有牵头部门,又要协同作战,既有重点主次,又要全面推进。在高层组织机构的领导下,建立顺畅的安全管理工作协作机制,破除部门壁垒,增进部门协作,推进工作的高效开展。

(三)安全风险的识别和评估

评估信息安全时需要对信息安全、技术安全及其涉及的治理机制、业务流程、人员管理、企业文化等内容进行分析,通过评估工具、人工分析、文档清理、问卷调研等方式对公司现状进行调研,了解物理安全(物理设备的访问控制、电力供应等)、网络安全(基础网络架构、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全)、系统安全(系统软件安全漏洞、系统软件配置安全等)、应用安全(应用软件安全漏洞、软件安全功能、数据防护等)的情况和控制措施。通过基线风险评估制定信息安全底线,对信息资产进行详细的风险分析,了解与信息安全标准之间存在的差距,得到初步的安全评估;通过信息资产风险评估和流程风险评估进行详细的风险评估,对重要的信息资产和IT流程中存在的安全威胁、漏洞及其可能性分析,选择合适的方法进行管理,得到最终的风险评估报告。

(四)整体安全控制规划的制定

为了保障安全管理工作有序、科学和顺利的开展,必须要制定安全控制规划。安全规划在风险评估的基础上,对安全管理框架和技术框架进行详细的规划,作为指导企业安全建设的指南,应该结合过去与未来的网络架构、威胁防护、安全策略、组织、运行等各项工作的任务、内容、建设重点,制定实施的优先级、具体步骤和具体措施。

(五)安全控制体系的建立

安全控制体系架构的建立是整项工作的关键环节之一,我们将安全控制体系分成五个层次:安全内核层、安全服务标准接口层,通用安全接口层、安全组件服务层、安全系统应用层。架构安全控制体系时,满足如下的原则:分层的体系结构要为不同层级的安全服务提供保障;层级功能有相对独立性;应用服务具有通用性,提供统一的访问接口,服务之间也可相互协调;具有很强的扩展能力,很好的兼容新的安全机制和模块。

(六)有效性评估、监管、考核和审计

保险企业应该不断地对信息安全控制体系的实施情况进行审查、监督,采取纠正性措施、预防性措施,并保持安全管理体系的有效运作。对信息安全策略、安全的目标达成情况、编制的文件、安全事件进行分析,采取积极措施,消除已发生的或未来可能发生的与实施和运作标准有差距的不合格状况,防止不利事件的发生。

四、结束语

每一个保险企业具备的个性问题各不相同,在实施信息系统安全管理解决方案时会面临不同条件和约束。同时,即便在共性问题上,也会随着时间的进展,而产生新的问题。现代社会中,如何保障信息安全是一个不断增长的社会需求。安全只是相对的,而不是绝对的,是动态的,不是静止的,这也意味着对信息安全的管理将是一个持续发展、不断完善的过程。

参考文献:

篇8

【关键词】医院;信息化;建设;问题;对策

医院信息化建设对于推动新医改进程至关重要。为进一步提高医院信息化建设水平,在了解医院信息化建设存在的问题的基础上,针对医院信息化建设中存在的问题,解决医院信息化建设问题的对策,可以从多个方面入手,下文将逐一进行分析。

1.医院信息化建设存在的问题分析

1.1 医院信息化建设人才缺乏

医院信息化建设人才匮乏是医院信息化建设的瓶颈。医院信息系统的开发、推广和维护离不开一批经验丰富的信息技术人员,无论是解决目前急需,还是长远发展,开发和建立医疗卫生行业信息技术人员培训、继续教育机制是非常关键的。而我国恰恰是没有注重这方面的投入,目前行业的人才缺口很大,在医院招聘过程中很难找到计算机和医学知识两方面都过硬的人才,导致了医院信息化人才的匮乏,最终导致医院已建设的信息系统很难充分发挥作用。

1.2 医院信息化建设意识不高

医院信息化建设意识不高是医院信息化建设存在的问题之一。就目前而言,有些医院由于没有意识到信息化建设的重要性,信息化意识和利用信息能力不强的现象还普遍存在,在实际工作中,这些医院往往沿袭传统的医院管理模式,不仅极大地影响了工作效率,而且传统的人工管理的方式还造成了人力资源的浪费,不能满足现代医院发展的需要。

1.3 医院信息化建设投入不足

信息化建设是一项高科技工程,它对知识、技术和资金的要求较高,因此,医院信息化建设必须要有雄厚的资金。目前,医院信息化建设的资金严重不足,严重阻碍了信息化建设。一般情况下,在信息化建设初期,医院会投入大量的资金来促进建设。但是,在信息化建设的中后期,医院则会为了眼前的利益而减少资金投入,无法用长远的眼光来看待信息化建设,而更重视医疗设备的改进和完善,以此来获取效益,从而导致信息化建设的进程缓慢[1]。

1.4 信息安全性问题

在医院信息化建设的过程中,医院要着重考虑信息的安全性问题。现阶段医院的信息管理系统也存在着较多的问题,大部分医院还未建立完善的制度,信息管理得不到制度保障,相关人员也没有签订相关的保密协议,无法规范第三方访问控制管理、权限管理、密码管理等,也无法及时配置安全软件和完善安全设备,因此,医院的培训和教育活动受到了很大的限制,导致医务人员总体信息安全意识不强。

2.解决医院信息化建设问题的对策

医院信息化建设工作多管齐下,下文从强化人员培训、加强硬件建设、注重软件开发、维护网络安全、提高医院信息化建设意识方面进行分析。

2.1 加速人才培养,强化人员培训

医院信息化建设的过程中必须具备一支强大的人才队伍,拥有大批高素质的技术人才。因此,医院要加速人才的培养,为医院信息化建设提供源源不断的动力。根据医院信息化建设的人才需求特点来看,其人才的培养方式有两种:

①加强在职培训,不断提升医院信息部门现有工作人员的专业素质、无论他们的知识结构是倾向于计算机还是医学,都要为他们提供尽可能的培训机会,让他们能够掌握更多的专业知识,重视员工的岗位培训和加强职业道德教育,促进学科与学科之间的融合,全面掌握业务的专业知识以及相关知识,努力培养出大量高素质的综合型人才。

②积极引进卫生信息学专业的学生。该专业学生不仅具备相关的业务知识,还具备较高的技术素质,可以为医院信息化建设提供技术支持,促进后期人才的培养。

2.2 提高医院信息化建设意识

提高医院信息化建设意识是医院信息化建设的关键。在医院信息化建设过程中,医院领导应意识到信息化建设的重要性,及时转变管理理念,提高医院信息化建设意识。不仅如此,在医院信息化建设中,还要加大对信息化建设的宣传推广工作,使信息化建设意识深入人心,通过提高医院信息化建设意识,才能适应医院内部外发展环境的需要,进而满足现代医院发展的需要[2]。另外,还要加强社区信息化建设,社区心电网络全覆盖;积极推进医卡通项目的全面实施,并和银行协作,拓展“医卡通”项目的银医圈存、POS自助等方面的功能。

2.3 加大医院信息化建设投入

医院应从医院信息化建设的硬件投入和软件投入两个方面,积极引进先进的医院信息化建设设备和软件,从医院的实际出发,在先进的信息化建设理念的指导下医院进行现代化改造,开发一个基本完整的、达到较高水平的、适合该院的信息系统管理的应用系统[3]。目前,我院已经实现了临床科室电子病历全覆盖,我院电子病历已经有电子病历、质量控制、护理、医嘱、临床路径、病案等模块系统,实现了质控和护理模块的融合,电子病历与LIS的对接;积极推进临床路径管理工作,目前已开展7个病种的临床路径,完成新农合即时结报的HIS接口程序升级测试及数据库建设,录入三大目录库信息一万余条,试用结果良好;无线心电网络系统运行良好,诊断速度和诊断质量大幅提高。

2.4 重视信息安全

医院要重视信息安全,医务人员要树立信息安全意识、在信息系统建设初期,要考虑到信息系统的安全性,在检测系统时要反复检测信息系统安全,保证其安全性。对于医院己有的信息系统,医院要采取相关的措施加以完善。在医院信息化建设过程中,要加大对信息安全的投资力度。同时,还要建立相关的制度,对信息安全工作进行监督和控制,不断提高网络和信息系统安全性能,建立和完善可靠的安全运行机制,以此来确保系统稳定和资料信息安全。

3.结束语

总之,医院信息化建设是一项综合的系统工程,具有长期性和复杂性。为促进医院信息化建设,应提高医院信息化建设意识、加大医院信息化建设投入、培养医院信息化建设人才、防范医院信息化安全隐患,针对医院信息化建设中存在的问题,积极探索解决医院信息化建设问题的对策,只有这样,才能不断提高医院信息化建设水平,进而促进医院持续健康发展。

参考文献

[1]滕姗.加强地市级医院信息化建设探析[J]. 行政事业资产与财务,2014(19).

篇9

关键词:信息安全;防御技术;网络措施

中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2013) 20-0000-01

虽然信息网络给我们的生活带来了极大的便利,但是由于信息网络环境是一个具有开放性、互联性、多终端性、多联结形式性等特殊属性,这就导致了信息网络非常容易遭受恶意软件侵染、网络黑客攻击等破坏性、窃取侵扰。如何维护信息网络的信息安全、通畅运行等安全问题,已经成为我们亟待解决的问题。

一、信息网络安全存在的问题

(一)网络结构安全。信息网络是一种网间网技术,它是由无数局域网络通过繁多的软硬件网格式连接而成的庞大的网络系统,网络因此也给我们提供了一个巨大的资源仓库,当我们通过个人信息在网络世界中与另一局域网络的主机进行信息互通时,信息要通过互联网设施设备各个节点层层转送、传输才能到达目标终端,在这个过程中,任何两个节点之间的信息数据包,不仅会在节点之间传输,还会被两端的网卡所接收,也存在被这两个节点间的以太网上的任何一个节点网卡所截获。如此一来,网络黑客就可以利用网络设施设备,随意接入以太网上的任何一个节点,劫取在这个以太网上传输的所有的数据包,然后再利用相关程序进行解码翻译,最终拿到关键的信息数据等。更何况,互联网上传输的信息包大多数都没有进行加密保护,有时根本不需要繁杂的工序就可以对所传输的命令、数据、电子邮件、文件等轻易截获解码,这也是互联网在提供便利的同时所存在的固有的安全隐患。[1]

(二)路由器等网络设备的安全问题。路由器的主要任务是数据传输通道和控制设备,也是实现局域网络与外界网络进行连接的必备设施,严格来说,所有的网络攻击的破坏都要最先通过路由器才能到达终端机器,只要做好路由器的控制设计就可以防患于未然了,但是在路由器的设计上还是存在若干的缺陷,一些破坏性典型的攻击就是利用路由器的设计缺陷来实现攻击破坏目的的,并且有些攻击更是在路由器上进行的。这给网络安全埋下了不可逾越的安全隐患。

(三)网络信息病毒攻击。网络信息病毒是信息网络中比较常见的一种安全攻击性程序,就有较高的设计技巧和隐秘隐藏性,它并不是独立存在的,而是以一种寄生生存的形式,依附于其他程序之中,当人们进行正常的信息搜索、下载、保存、解包的同时,病毒软件跟随侵入到了终端用户的主机系统之中,破坏主机的运行程序、攻击主机的安全屏障,造成主机的运行困难,更甚至是运行瘫痪、信息损坏、资料丢失等重大损失。病毒软件具有隐蔽性、潜伏性、传染性、形式多样性和巨大破坏性,是我们的信息网络环境中长期、普遍存在的不稳定、不安全因素[2]。信息病毒还存在破坏性、隐蔽性、传染性、繁殖性、潜伏性和可触发性。

(四)信息安全软件滞后及功能不齐。虽然网络安全已经受到了广泛的重视,在一定程度上也能取得较大的防护作用,但是相较于网络攻击手段变化速度而言,其更新的速度还是存在相对滞后的现象。目前,我们所常用的网络安全防护软件研制商已经非常注重软件的完善和更新速度的提升了,但是在新网络安全问题的应对方面仍然显得比较吃力。

二、信息网络安全防御技术

(一)防火墙技术。防火墙技术是目前信息网络安全运行中较为常用的防护措施。防火墙技术是指综合应用适当技术在用户网络周围组建用于分隔被保护网络与外界网络之间的系统。在一定意义上,防火墙等于在被保护网络与外界网络之间,建设了一堵不可轻易逾越的保护层,是由软件和硬件设备组合而成、在内部网络和外界网络之间、公共网络和专用网络之间的界面上建立的保护措施。防火墙主要包括服务访问政策、验证工具、数据包过滤和应用网关四部分组成,任何的访问操作都要经过保护层的验证、过滤、许可才能进行,只有被防火墙验证授权的信息交流才能获得允许通过进行操作,同时将不被允许的访问行为拒之门外,防止篡改、移动和删除相关信息的发生。[2]

(二)防病毒技术。信息网络给我们的工作、生活带来便利的同时,也遭受着信息病毒的侵扰,信息技术发展也使得信息病毒变化的速度非常之快,朝着多样化、隐蔽化、高级化的发展趋势演变,对信息网络造成了极大的威胁,防病毒技术无疑是解决这一威胁的必要措施,也是信息安全防御技术较为常用的保障要素。防病毒软件从功能上可以分为网络防病毒软件和单机防病毒软件两大类。网络防病毒软件故名此意主要是针对网络安全运行的应用软件,主要注重网络防病毒,一旦病毒入侵网络或通过网络侵染其他资源终端,防病毒软件会立刻进行检测并删除阻止操作,防止其行为的进行,减少侵染区域,保护信息资源安全。单机防病毒软件主要是信息生产商在信息CPU等硬件上植入的安全防护措施,他们主要针对的是单台CPU或相关局域工作台领域的所谓防病毒安全防护。

(三)数据加密技术。信息安全成为了社会各界网络建设的基础架构,但是传统的安全防护技术已经远远不能满足用户的安全需求,新型的安全防护手段逐步成为了信息安全发展的主力军。数据加密技术就是在这一背景下产生并发展起来的较为新兴的信息安全防护技术。数据加密技术又称为密码学,它是一门具有着悠久发展史的应用型技术,是通过加密算法和加密密钥将明文转换成密文的技术。数据加密是目前信息技术中进行信息保护的最为有效的一种防护措施。数据加密技术可以利用密码技术,将重要的信息进行加密处理,使信息隐藏屏蔽,达到保护信息安全的目的。

三、结语

所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。我们要不断加强信息网络安全措施的研发、推广和应用,为维护网络安全、社会稳定、生活便利贡献力量。

参考文献:

篇10

网络技术的普及和应用正在改变传统的信息技术产业,信息交流变得更加快捷和便利,但是这样也给网络信息的保密提出了更高的要求。

1.计算机网络安全问题产生的背景

计算机网络的应用已经渗透到社会的各个领域,网络信息安全已经成为人们日常生活颇为关注的问题。随着计算机网络技术的应用和发展,计算机网络的安全问题也越来越受到人们的关注。网络安全问题日益显得重要,网络的开放性与共享性,系统的复杂性,边界的不确定性,以及路径的不确定性,等等,都导致网络安全问题的发生,使得网络很容易受到外界的攻击和破坏,同样也使得数据信息的保密性受到严重的影响。网络安全问题已经迫在眉睫。

2.网络信息安全的重要性

随着信息技术的快速发展,随之而来的就是网络平台的安全问题,因此,人们对网络环境的要求越来越高,对网络安全也越来越重视。无论是网上交易,还是网络信息的传递,都是对网络安全提出的一个很大的挑战。网络信息安全已经成为国家、国防,以及国民经济的重要组成部分。随着计算机通讯技术和网络技术的不断发展,计算机网络将会日益成为农业、工业和国防等方面的重要信息交换手段,渗透到社会的各个领域。基于以上的情况,我们必须认清网络的脆弱性和潜在的威胁。所以,采取强力的安全措施是必要的,对于保证网络信息的安全传递十分重要。而目前并没有任何的计算机技术能完全保证网络信息的安全性,所以我们除了要加强技术方面的发展,还必须考虑非技术方面的因素,例如人们的安全意识等。

3.网络安全信息所面临的主要威胁

3.1计算机病毒的威胁。

病毒可以说是当前网络信息最主要的威胁,其发展趋势呈爆发式增长。国际安全协会的统计表明:计算机病毒正在以每年超过50%的速度增长。我国最大的防病毒厂商瑞星公司的报告显示:2004年上半年截获各种新型病毒11835个,2005年同期为26927个,而到2006年同期达到了119402个,2007年达到133717个,而2008年截获的病毒木马居然达到了1242244个,数量已经超过近五年来病毒数量的总和。以前,一个计算机病毒需要3年的时间才能传遍全球,而现在借助网络信息则只需要仅仅几分钟。根据有关部门统计,从2000年开始至今,全球数千万台计算机受到病毒感染,累计造成经济损失1000多亿美元,给全球的经济、科技的发展带来巨大的损失。

3.2计算机黑客的威胁。

根据我国公安部门的统计,1997年我国发生的与黑客有关的网络犯罪20起,1998年142起,1999年908起,2000年就超过了3000起,从2001年到目前为止,每年的网络犯罪更是数以万计,并且由于网络的隐蔽性,导致了破案率还不到10%。

3.3流氓软件的威胁。

当前越来越多的正规软件厂商受到利益的驱使,大量的制作并使用介于正规软件和病毒软件之间的流氓软件,而这些软件大多又具有木马的特征,与病毒之间的界限也越来越模糊。根据有关部门调查显示,从2006年开始,流氓软件对用户的侵害有超过病毒的趋势,严重地干扰了用户的日常工作,信息数据安全,以及个人隐私。

4.影响网络信息安全的主要因素

当前影响网络安全的因素很多,但是主要还是来自法律、管理、技术三个大方面。

4.1网络信息安全的相关法律法规的不健全。

对于网络犯罪越来越猖獗的情况,世界各国都已经开始拟定相关的法律法规,但是在互联网这样一个虚拟的世界里,可以说很难对网络信息犯罪进行监控和证据的收集。而制裁传统犯罪的法律法规又并不适合于网络信息犯罪,关于世界各国对于网络的犯罪底线又过于模糊和笼统,实在是很难有一个清楚的界限。网络世界里的立法尚有许多的空白点,这也导致了网络世界的“无政府”状态的情况日益加剧,网络信息犯罪呈泛滥的趋势,但是真正被送上审判席的可以说少之又少,网络犯罪几乎是无处不在。虽然目前有好几例网络信息犯罪被送上审判庭,但这对于目前庞大的网络犯罪数量来说只是冰山一角。

4.2网络信息安全意识淡薄,管理体制不够健全。

网络信息安全管制是网络安全的一个重要不可缺少的因素,但是大多数人的安全意识很薄弱,重技术、轻管理,殊不知大部分的信息安全问题都是出自于管理上的疏忽。在制度、流程和人员管理方面相当的混乱,这就为网络信息安全留下隐患,也为盗取信息者大开方便之门。据网络信息安全专家不完全统计,约80%的信息泄露都是由于管理上的疏忽。

4.3网络安全技术存在着不足。

网络信息系统安全一般由网络协议层安全、宿主操作系统层安全、数据库管理系统层安全和应用程序层安全四个层次组成,而这四个安全层次均在不同程度上存在安全方面的先天不足。首先,网络协议存在安全缺陷。网络协议是网络信息系统的基石,TCP/IP协议族是目前使用最广泛的互联网协议,已经成为互联网的事实标准。但令人遗憾的是,TCP/IP协议族的各种应用服务和通信流程在设计上均存在不同程度的安全缺陷,加之其以明文方式传送数据,导致欺骗攻击、否认服务、拒绝服务、数据截取和数据纂改等网络攻击可以轻而易举地实现。其次,作为网络信息系统的运行平台,当前主流的操作系统Windows、UNIX、Unux等在体系结构的设计上均存在对安全性要求考虑不周的缺陷。根据美国国家安全局(NSA)的国家计算机安全中心1983年8月颁发的官方标准,受信任计算机系统评量基准,它们都属于安全级别较低的CZ级,其可动态连接机制、可动态创建远程/近程进程机制、特权程序适时激活机制和无口令远程过程调用服务人口为远程传输并执行恶意程序大开绿灯,成为病毒和黑客的乐园。再次,作为电子商务、金融,以及EPR系统等各种应用的基础,当前主流的数据库管理系统Oracle、DBZ、SQL、Sybase等在设计上缺乏全面考虑的安全分级管理策略,其与操作系统的众多接口很容易造成核心权限的失控,导致基于数据库漏洞的网络攻击成为黑客最常采用的攻击手段之一。最后,当前主流的软件开发技术瀑布模型、敏捷建模、中间件技术及软件构件化技术等对安全因素均不够重视。软件开发商和开发人员为追求商业利益,在应用程序开发过程中普遍存在重应用轻安全的思想,对威胁建模、安全策略和安全测试考虑不周,而宁可采取亡羊补牢的方法,导致当前各种应用程序漏洞频发和补丁程序满天飞这一极不正常的现象。并且由于补丁程序滞后于漏洞攻击程序这一必然规律,用户别无选择地被至于危险的境地。

5.保障网络信息安全的手段和措施

虽然网络信息系统的安全缺陷和安全威胁是客观存在的,但其风险是可以控制乃至规避的。

5.1网络信息安全的立法工作,强化对网络信息安全的重视。

法律是打击网络信息犯罪最有力的武器,是保障网络信息安全的根本。对所有危害网络信息安全的行为实施严厉的法律制裁,才能从根本上解决当前信息网络病毒泛滥、黑客猖撅、流氓软件明火执仗的无政府现状。网络信息安全也引起了我国政府的重视,国家有关部门建立了相应的机构,了有关的法规,以期加强对网络信息安全的管理。2005年4月1日开始实行《中华人民共和国电子签名法》,该法对于电子银行的业务发展是相当重要的,为银行在网络上的发展提供了基础的法律保障。2001年中国人民银行制定颁布的《网上银行业务管理暂行办法》直接规范了电子银行业务。为了有效地控制电子银行业务的风险,中国银监会制定了《电子银行业务管理办法》和《电子银行安全评估指引》,并且从2006年3月1日起正式实施,这一切都反映出我国对计算机网络与信息安全的高度重视,以及努力推动我国金融信息安全产业发展、提高我国信息安全技术水平的决心。

5.2强化网络信息安全体制。

研究表明,络信息安全漏洞主要是由于管理不善,因此,我们首先必须建立科学合理的网络信息安全管理、执行和监督机构,明确网络信息安全原则,构建网络信息安全策略,合理协调法律、技术和管理等诸多因素,实现网络信息安全的制度化。其次,必须建立从监测、响应、防护到恢复的一整套科学合理的网络信息安全管理体制,保证网络信息系统的安全运转。再次,必须正确认识当前的防病毒技术、人侵检测技术、防火墙技术、加密、解密技术、认证技术及数据恢复技术的重要性和局限性,采用最先进的安全技术保障网络信息安全。最后,加强人员的安全培训,提高网络信息安全防范意识,尽量减少人为因素造成的风险。

5.3开发安全的软件,防范于未然。

提高软件开发组织及其从业人员的安全意识,致力于开发安全的软件,从根本上减少软件系统的安全缺陷才是网络安全的终极之道。因此,所有软件开发从业人员必须掌握安全软件开发的思想和技术,坚决杜绝无视安全的开发。软件开发组织必须建立完善的安全软件开发管理制度,在软件开发过程中将软件安全性作为软件质量的一个重要测度,在设计阶段加入安全对策,并进行严格的安全测试,在正式前较少软件的安全缺陷,确保软件系统的安全性。

综上所述,网络信息安全是一个复杂的综合性工程,涉及法律、管理和技术等多个领域。虽然目前已经取得了一定的成效,但形势依然十分严峻,必须依靠众多相关方的共同努力,才能为广大信息网络用户打造一个安全可靠的应用环境。

参考文献:

[1]李卫.计算机网络安全与管理.北京:清华大学出版社,2006.1.

[2]蔡立军.计算机网络安全技术.北京:中国水利水电出版社,2005.2.