网络信息安全计划范文

时间:2024-01-12 17:41:06

导语:如何才能写好一篇网络信息安全计划,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络信息安全计划

篇1

一、网络会计信息系统的安全风险主要表现

会计信息系统是一种特殊的信息系统,它除了一般信息系统的安全特征外,还具有自身的一些安全特点。会计信息系统的安全风险是指有人为的或非人为的因素是会计信息系统保护安全的能力的减弱,从而产生系统的信息失真、失窃,使单位的财产遭受损失,系统的硬件、软件无法正常运行等结果发生的可能性。会计信息系统的安全风险主要表现在以下几个方面。

1.会计信息的真实性、可靠性。开放性的网络会计环境下,存在信息失真的风险。尽管信息传递的无纸化可以有效避免一些由于人为原因而导致会计失真的现象,但仍不能排除电子凭证、电子账簿可能被随意修改而不留痕迹的行为。传统的依靠鉴章确保凭证有效性和明确经济责任的手段不复存在。由于缺乏有效的确认标识,信息接受方有理由怀疑所获取财务数据的真实性;同样,作为信息发送方,也有类似的担心,即传递的信息能否被接受方正确识别并下载。

2.企业重要的数据泄密。在信息技术高速发展的今天,信息在企业的经营管理中变得尤为重要,它已经成为企业的一项重要资本,甚至决定了企业的激烈的市场竞争中的成败,企业的财务数据属重大商业机密,在网络传递过程中,有可能被竞争对手非法截取,导致造成不可估量的损失。因此,保证财务数据的安全亦不容忽视。

3.会计信息是否被篡改。会计信息在网上传递过程中,随时可能被网络黑客或竞争对手非法截取并恶意篡改,同时,病毒也会影响信息的安全性和真实性,这些都是亟待解决的问题。

4.网络系统的安全性。网络是一把双刃剑,它使企业在利用lnternet网寻找潜在的贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中。这些风险来自于:泄密与恶意攻击。所谓泄密是指未授权人员非法侵入企业信息系统,窃取企业的商业机密,从而侵吞企业财产或卖出商业机密换取钱财。所谓恶意攻击是指网络黑客的蓄意破坏或者病毒的感染,将可能使整个系统陷于瘫痪。

二、网络会计信息系统安全应考虑的一般原则

1.需求、风险、代价平衡分析的原则

任何网络的绝对安全都是难以达到的,也不一定是必要的。对一个网络要进行实际的研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后确定本系统的安全策略。

2.综合性、整体性原则

应运用系统工程的观点、方法、分析网络的安全及具体的措施。安全措施包括:行政法律手段、各种管理制度(人员审查、工作流等)以及专业技术措施。一个较好的安全措施往往是多种方法适当综合的应用结果。总之,不同的安全措施的代价、效果对不同的网络并不完全相同,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。

3.一致性原则

一致性原则是指网络安全问题应存在于整个网络的工作周期,制定的安全体系结构必须与网络的安全需求相一致,安全的网络系统设计及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设的初期就应该考虑网络安全对策,比等网络建设好后再考虑安全措施不但较容易,且成本也大大的降低。

三、网络会计信息系统安全的几项措施

通过加强会计信息系统的安全建设与管理,提高会计信息系统安全的防护和反应综合能力,使系统能够抵御各种威胁,有效保护企业资产,提高会计的完整服务。在会计信息系统建设过程中,必须克服“重建设轻安全、重技术轻管理、重使用轻维护”的思想。应逐步建立以“检查与管理、保密与防护、检测与防治、测评与服务”为基本结构的安全管理和技术系统。通过管理和技术两种手段,使会计信息系统的技术风险防范能力不断提高到一个新的水平。为了更好的利用网络会计带来的优势,保证信息数据质量和安全,应从以下几方面入手,以网络技术为基础,结合会计需要,确保网络安全有效的传递信息。

1.系统加密管理。在会计信息系统中,对一些须严格控制操作的环节,设上“双口令”只有“双口令”同时到位才能进行该操作。“双口令”由分管该权限的两个人各自按照规定设置,不得告知他人。对“双口令”进行“并钥”处理后,方可执行相应的操作。这样不仅加强了控制管理,保证了数据安全,而且也保护了相关的人员,便于分清各自的责任。

2.形成网上公证由第三方牵制的安全机制。网络环境下原始凭证用数字方式进行存储,应利用网络所特有的实时传输功能和日益丰富的互联网服务项目,实现原始交易凭证的第三方监控(即网上公证)。

3.建立严格的数据存储措施。为了提高系统数据的安全性和在意外情况下的“自救能力”,应建立双备份,备份后的两份数据应有不同的人员持有,另一份是非加密的,有具体操作人员使用。对一些重要的数据,可采用分布存储。

篇2

1.1企业内部系统问题及漏洞

大多数企业内部的系统问题是由于电脑操作不当引起的,这种由内部操作问题引起的网络故障一般属于内部故障。导致这种故障的原因多是企业内部人员对于计算机操作和信息化管理的使用能力不足,这种故障会导致网络不稳或网络中断等问题,这种属于内部系统操作不当带来的安全隐患,一般属于比较容易处理的网络故障。

1.2计算机硬件方面不足

计算机作为一种辅助工具,是信息化系统的主要硬件组成部分,它由多个部分组成,各个部分之间相互关联、紧密合作,形成一个整体的计算机工作系统。如果其中任何一个部件出现问题,都会影响到整个计算机的正常工作。计算机部件的损坏主要是物理损坏,大都由网络连接错误、线路损坏等原因造成,这些都是不可预测的,一旦发生问题,将影响计算机的正常稳定工作,造成硬件方面的损坏。除了上述因素,硬件方面的问题还存在于企业机房的安全管理和维护。机房是整个信息系统的核心部分,负责整个信息系统的数据传输,如果出现硬件上的问题,会影响企业内部信息系统的正常运行,严重的话,会导致整个系统瘫痪,造成大规模的影响,这是计算机硬件方面要注意的一个重要问题。

1.3外来威胁

外来威胁一般指外部的恶意攻击,常见的外来威胁方式主要有计算机病毒、黑客入侵等。由于企业内部多釆取内网连接方式,一般内网连接建立在相互信任的基础上,因此,其防御能力较为薄弱,系统在面临外部攻击时,电脑黑客往往利用这个薄弱环节对系统进行攻击。此外,许多计算机程序本身也存在许多漏洞,随着黑客攻击的手段和渠道越来越多样化,计算机系统安全面临着巨大的挑战,作为企业,应该对不良网络环境提高警惕,提升计算机应用程序的安全防患力。

2计算机网络安全的应对措施

2.1建立安全防火墙

防火墙是由计算机硬件设备和软件组合而成。它是内部网络和互联网之间的一个安全保护屏障,也是内部网络与外部网络之间唯一的信息交换口。根据制定的安全策略,防火墙可以将不可访问的IP进行阻挡,允许可以访问的IP进行信息交换,以这样的方式来高效避免不安全的[P和软件的侵入和攻击。

2.2建立终端防护

网络终端是信息安全的最后关卡,无论是计算机、手机还是其他终端,都应该安装并使用杀毒软件和终端防火墙软件,定期更新病毒库,定期对终端进行体检和查杀,及时安装补丁,修复系统漏洞,查杀病毒和木马,保证终端设备的正常。

2.3对数据进行加密

企业可以釆用数据加密技术来确保信息传递过程中的安全问题。数据加密技术是指在传输前使用加密算法和加密密钥将明文转变为密文,然后再将密文数据封装成数据包后在互联网上传输,接受者可以通过解密算法和解密密钥将密文恢复成可读数据,这种方法是数据传输中最安全有效的方法,保证了信息的安全性,如果没有解密密钥,想要恢复读取数据是非常困难的。加密技术被广泛的应用的信息科技领域,其中一个重要应用就是VPN即虚拟专用网,一些企业的各个部门分布在不同领域,各部门有与之相对应的内部局域网络,如果想要将这些局域网连接起来,可以使用VPN技术。信息数据首先由发送端局域网传送至路由器进行加密,随后通过互联网传输,最后到达目的局域网的路由器上,目的局域网路由器会对信息进行解密,这就实现了局域网的数据信息在互联网的安全传输。

2.4提升计算机网络环境的安全级别

为了保证网络的正常使用,需要按照相关的规定要求对计算机网络环境进行升级。一个良好的物理环境,可以提高相关网络设备的安全性。网络中心机房应该建立良好的电源、防雷防火系统,机房应该保证合适的温度和湿度,需要配备可以提供至少2小时以上供电的UPS后备电源,以防停电时机房内设备仍可继续工作,防止由断电引起的信息数据丢失及设备的损坏。同时机房要设置烟感器、灭火器、自动喷淋设备,防止由外界因素而导致机房的损坏。

2.5建立应急恢复体系

做好应急响应措施,一旦发生紧急情况,在最短时间内保证系统的恢复运行及数据的安全。一种方法是建立磁盘阵列,将多块硬盘按不同的方式组合起来形成一个硬盘组,从而时间比单个硬盘更高的存储性能和提供数据备份的可能。另一种方法是建立双击热备份服务系统,即主服务器由两台服务器组成,当其中一台服务器损坏之后,另一台自动成为其备份服务器,能够继续提供服务。此外,服务器和终端都要定期备份数据,以保证意外发生之后可以快速恢复。

2.6对上网行为进行管理

建立安全管理机制,规范上网行为,对局域网内部用户用网络行为进行管理。根据安全策略,对网络使用者的身份、终端、时间、地点、文件下载、邮件收发等操作进行及时通信管理。上网行为管理阻止了非法用户入侵,规范了合法用户的网络使用行为,及时发现和处理异常情况,避免入侵者通过网页、文件和邮件对网络进行入侵,造成信息安全事故。

2.7建立安全管理机构,强化制度管理

除了以技术手段保障网络数据安全之外,制定有效的管理规范制度并成立相关机构进行落实执行也是保障网络数据安全的重要手段。要加强管理,首先要建立健全、完善、规范的计算机网络使用条例,制定维护网络系统的章程和网络应急方案。对执行人员进行专业培训,定期对系统进行安全审计,包含曰志审计、行为审计,通过日志审计查看系统是否遭受外来攻击,从而评估网络配置是否合理,安全策略是否有效,追溯分析安全攻击轨迹,为实时防御提供手段。同时也要对使用者的网络行为进行审计,定期组织培训,加强所有使用人员对网络安全维护的意识,提高人员的安全素质,防范打击计算机犯罪,并且定期对计算机终端进行检查维护。

3结束语

篇3

1网络信息安全技术优化措施

1.1防病毒入侵技术首先需做的是,加强对网络信息存取的控制度,以此帮助避免违法用户在进入网络系统之后,采用篡改口令的方式来实现身份认证。与此同时,还需注意针对用户类型的不同,对其设置相应的信息存取权限,以免出现越权问题。其次,需注意采用一套安全可靠的杀毒和防木马软件,以此实现对网络病毒和木马的全面清除,且还可对网络用户的具体操作进行监控,从而全面确保网络进行安全。最后需做的是,针对局域网入口,需进一步加强监控,因为网络病毒进入计算机系统的主要渠道为局域网。所以需尽可能地采用云终端,尽量减少超级用户设置,对系统中的重要程序采用只读设置,以此帮助全面避免病毒入侵。

1.2信息加密技术此项技术主要是指对网络中的传输信息做加密处理,在达到防范目的之后,再对其做解密处理,将其还原为原始信息的一种信息安全技术。在此项技术应用中,可全面确保传输文件、信息、口令及数据的安全可靠。此项技术主要的加密方式有:节点加密、链路加密及端点加密。其中节点加密主要的保障安全对象为:源节点至目的节点信息。而端点加密主要的保障安全对象为:源端用户至目的端的信息。链路加密主要的保障安全对象为:网络各节点间的链路信息。整个信息加密技术的设计核心主要为加密算法,可被分为对称及非对称的密钥加密法。

1.3防火墙技术在用户正式连接至Internet网络中后,防火墙技术内部会出现一个安全保护屏障,对网络用户的所处环境安全性进行检测及提升,对来源不详的信息做过滤筛选处理,以此帮助更好地减小网络运行风险。只有一些符合防火墙策略的网络信息方可通过防火墙检验,以此确保用户连接网络时,整个网络环境的安全性。将防火墙作为重点安全配置,还可对整个网络系统之内的安全软件做身份验证、审查核对处理。整体而言,防火墙技术的应用可以说是计算机系统自带的有效防护屏障。

1.4访问控制技术此项技术的应用可对信息系统资源实行全面保护,其主要组成部分为:主体、客体及授权访问。其中主体是指主动实体,可对客体实行访问,可为用户、终端、主机等。而客体即为一个被动实体,客体会受到一定程度上的限制,客体可为字段、记录、程序、文件等。授权访问则是指:主体访问客体的允许。无论是对主体还是客体而言,授权访问均为给定。访问控制技术主要分为三种,自主访问、强制访问、基于角色访问。

1.5报文鉴别在面对被动信息安全攻击时,可采用前文所述的加密技术。而对于主动信息安全攻击,则需要运用报文鉴别技术。此技术的应用主要是为了对信息数据传输中的截获篡改问题予以妥善解决,科学判定报文完整性。报文鉴别技术的应用全程是:报文发送方在发送报文信息之间,对其做哈希函数计算处理,进而得到一个定长报文摘要,对此摘要做加密处理,并放置于报文尾端,将其与报文一同发送。而接收方在接收到报文之后,对加密摘要做解密处理,并对报文运用哈希函数做运算处理,将所得到的摘要与接收到的解密摘要进行对比。如果两者信息一致,那么则表明,在报文信息传输中,未受到篡改,反之亦然。

2网络信息安全防范措施

2.1增强管理人员网络用户安全意识网络信息管理人员在日常工作中需注意加强自身的责任与安全意识,积极构建起一个完善化的安全管理体系,对网络操作做严格规范处理,加强安全建设,全面确保网络安全运行。与此同时,网络用户还需注意加强安全意识,依照网络设置权限,运用正确口令,避免违法入侵者窃取用户的账号、密码信息,进一步加强网络信息安全设置。

2.2加强网络监控评估,建立专业管理团队对于计算机网络的安全管理,首先需做的便是采用先进化的网络安全技术,另外需做的便是积极建立起专业化的网络管理、评估人员。专业网络信息管理团队的建立,可帮助有效防范黑客攻击,监控网络运行全程,评估是否存在非法攻击行为,对网络运行机制做科学健全完善化处理,全面提升网络安全稳定性。

2.3安全检查网络设备网络管理人员,需注意在日常工作中对各网络设备做全面安全检查,积极运用多种新兴现代化的软件工具对计算机网络端口实行检查,查看是否存在异常状况。一旦发现存在任何问题,便需对网络实行扫描杀毒处理。情况严重时,还需对网络端口做隔离处理。只有逐渐提升网络设备的安全可靠性,才可有效避免计算机网络受到外在攻击,保障用户安全。

2.4积极更新软件对计算机软件做积极更新处理,可帮助全面保障计算机不会受到来自外界网络的恶意侵袭,信息安全得以受到保护。另外,对计算机软件做更新处理,则可帮助保障软件抵抗病毒能力能够与病毒的日益变化相互适应。与此同时,还需注意的是,需对整个网络操作系统做实时的更新处理,从而促使计算机软件始终处于一个最新的操作系统之中,为网络信息安全提供全面保障。

3结语

篇4

关键词:电力系统;强化;计算机网络;信息安全

中图分类号:TP393.08 文献标识码:A

目前,许多计算机、网络系统或应用系统设计中都存在不完善或实现过程中出现错误即安全的漏洞(BUG.),使网络入侵成为可能。系统通信协议和应用服务协议中存在的弱点被人恶意地滥用造成了对系统或网络的侵害。为了保证计算机系统、网络系统和信息安全,近年来针对不同的问题研发了许多技术和产品,解决了安全需求的许多方面问题,这些技术和产品包括:防火墙产品、VPN设备、安全路由器、信息网关、授权身份认证系统、信息加密技术、安全性分析工具和安全评枯、安全检测预警系统用于实时监视网络上的数据流量。

但是,计算机网络系统不安全的一个最大的原因是人们没有足够的认识和采取尽可能完善的防护手段,而且INTERNET安全没有标准的过程和方法,新的安全问题的出现需要新的技术和手段来解决,因此,网络安全要达到100%是不可能,网络安全是一个动态的、不断完善的过程,要不断地进行安全分析(系统风险分析、系统安全需求分析),建立安全管理条例、安全标准、应用系统规则和数据应用分类,安全屏蔽系统的确定、系统安全策略的制定、安全系统软件性能的评估等,以找到完善的安全解决方案。

1 网络系统的数据开发原则

电力市场技术支持系统所涉及的数据种类繁杂、数据量巨大,各子系统间相互联系,数据相互交换。只有从大系统的角度仔细设计数据库,才能把不同的应用软件有机地联成整体,从而适应电力系统的发展和软件功能的扩展。因此,数据库系统功能的强弱将直接影响到整个电力市场技术支持系统功能的实现。对电力数据网络系统的数据库来说,既要实现数据的可靠性、一致性和共享性,还要保证数据的实时性和可用性。

1.1 数据一致性

数据一致性,即相关数据的一致性。为满足实时性,实时库要映射到各工作内存中,这就要由实时库管理系统进行统一管理,保证实时库同步更新和同步数据刷新。

1.2 数据共享性

数据共享性不单指数据“共用”,还指数据库不依赖于各子系统,即为各子系统共用,这可采用如SQL Server,ORACLE等商用数据库系统实现,还应满足数据与程序严格分离,数据的增删、更改不需改程序,如图B一5所示。这就要求数据库具有很好的通用性,具有通用的操作语言,具有通用的数据结构和接口。

1.3 数据安全性

电力网络的数据库安全性是电力市场运营的一项重要指标,主要体现在如下两个方面。

1.3.1 使用操作系统带来的安全性问题

当今的软件系统集成和扩展技术有一个显著特点,即可以通过程序动态连接和数据动态交换完成。这一特点越来越成为系统集成的主导方向,系统升级开发的工作量因此大大减少,更新换代的周期也越来越短,在市场中有利地位也越来越明显。但也带来了系统的不稳定性、参数的变异或丢失等弊病,有时会影响数据库的通用性。

1.3.2 与外部网络连接后带来的安全性问题

在电力市场条件下,电力企业信息网与INTERNET或其他外部网络连接是必然的。如何监测并过滤电力内部产生所有通向外部网络的信息和从外部网络传来的信息,保护电力向络绒据库的敏感商业数据和有关电网安全以及各运行的数据不被盗取、不被黑客破坏和修改,并记录来自各方信息发出的时间、地点和操作情况,是电力网络数据库面临的一个现实而严峻的问题。现有的保护免受非授权黑客人侵的防火技术有包过滤技术、流盆检测技术、状态监视技术等。包过滤技术可以防止非授权客户地址产生的人侵信息在两个网络之间常用的隔离方法,但效率低下,过滤技术同样不能防止以盗用护地址为手段的非法人侵,状态监视技术在不影响网络安全正常工作的前提下,对网络通信的各个层次进行监视,还可以监视远程调用RPC和UDP端口信息,达到包过滤技术、技术无法达到的目标。但防火技术并不是十分完美的,随着通信、网络技术的发展,必须研究数据库与防火墙技术、反黑客技术等,达到确保网络数据传输安全的技术措施。

2 电力企业信息网络安全解决对策

2.1 加强基础设施建设,改善网络环境

信息中/心机房和各工作点设备的安置环境安全是电力企业网络信息安全的根本。机房要有门禁、监控、报警系统、机房专用灭火器、应急照明灯以及接地防雷措施,机房、配电间环境整洁,设备标识、布线清晰整齐,UPS、空调定期检查,温湿要度符合要求,从而保证企业的网络环境安全。

2.2 加强员工信息安全培训,提高信息安全意识

员工的信息安全意识对于电力企业的信息安全是非常重要的。企业应该组织开展多种形式的信息安全知识培训,使员工养成良好的计算机使用习惯,例如不要将与工作无关的存储介质在单位的计算机上使用,不要在电脑上安装游戏或无关软件,设置安全的开机口令并定期更改,设置屏幕保护密码,重要文件要备份等等,实现全员化教育,提高信息安全意识。

2.3 采用有效的网络硬件,加强网络安全管理

目前用于解决网络安全问题的产品主要有防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)和虚拟专用网(VPN)。防火墙是指在内部网之间的界面上构造的保护屏障,可以实现网络安全隔离。IDS是一种网络安全系统,当有敌人或者恶意用户试图通过进入网络甚至计算机系统时,能够检测出来,井进行报警,通知网络采取措施进行响应。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻网络威胁。IPS可以被视作是增加了主动阻断功能的IDS,同时在性能和数据包的分析能力等方面都比IDS有了质的提升。IPS位于防火墙和网络的设备之间。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其他地方之前阻止这个恶意的通信。VPN主要解决的是企业之间或系统之间跨地域的访问与数据传输的安全问题,其目的在于保证企业内部的关键数据能够安全地借助公共网络进行交换。目前电力系统企业之间已建立有电力系统广域网,各企业与上级机关及企业之间可以不借助VPN作为主要的访问与传输途径。

结语

完整而准确的系统运行记录,是进行系统评价、系统改进和系统审核的基础,也是保证系统安全性的重要措施。一般应记录每天系统运行的时间,完成了哪些输出,输出报告被送往哪些部门,系统资源占用倩况如何,数据文件或数据库内容是否被更新,运行中出现了哪些问题与故障,发生故障时现场条件如何,采取了哪些排除故障的措施,效果怎样等等。这些内容应记在正规的值班日志上。若有些内容是计算机自动记录的(如资源占用等),则应把结果附在日志中。发生故瘴时应注意保护现场,尽量完全地记下当时的情况,如屏幕显示的内容,打印机给出的信息,人员当时的操作,现场的温湿度及电压等,这些记录对排除故障有很大的参考价值。

参考文献

[1]冷增祥.电力电子技术基础[M].东南大学出版社,2006.

篇5

网络会计电算化安全风险防范措施

会计电算化作为现代企业财务管理的重要途径,与其及时、准确、高效的优势有着密不可分的关系,它利用计算机把传统的记账模式与经济管理相结合,大大提高了企业财务管理的水平和账务数据的质量,与此同时也给财会人员带来了诸多新的问题。

一、网络会计电算化信息安全风险

网络会计电算化的安全主要是指电算化系统能够保持正常稳定运行,系统数据、信息的安全和完整。会计电算化的安全性一直是财会人员所担心和考虑的问题,同时也是系统设计人员着重研究的重点。在传统会计信息数据管理方面,人们已经研究出一套较为完善的安全保障措施和防范办法,而财务管理实行会计电算化后,由于数据信息存储、输入、传送方式等变化,使财务数据的安全受到了严重的威胁,其存在的安全隐患主要有以下几点:

1、会计信息数据的失真

会计信息是指企业在生产经营过程中所产生财务数据,对于企业的的财务管理、财务分析、运营状况、资产负载等方面起着至关重要的作用。会计信息的完整、真实和准确是财务数据管理的基本要求,如果会计电算话系统受到损坏,会直接导致会计信息数据的错误、丢失或篡改,致使信息失真,其中的不安全因素主要表现为:(1)硬件问题,如计算机存储硬盘损坏,数据信息又没有进行备份造成的数据丢失。

(2)人为因素,恶意破坏导致的数据丢失或被篡改。

(3)环境的不安全因素,如网络环境下一些不法分子利用互联网入侵会计电算化系统导致重要信息的泄露、截取和篡改,也会造成会计信息的不安全。

2、人为的行为

一些会计从业人员为了个人利益非法转移资金、掩盖真实财务数据、向企业竞争对手泄露商业机密等行为。人为的破坏系统软件或数据故意造成财务账务数据的丢失,从而掩盖其非法目的,给企业带来严重损失。会计电算化的人为舞弊行为主要有以下两点:

(1)录入篡改。在会计信息录入时故意进行篡改或删除数据,造成企业财务信息与事实不符。

(2)软件篡改。在装有会计电算化系统的计算机中植入恶意程序,便于其达到某种不法目的。

3、工作人员的因素

在实际操作中往往由于会计电算化内部操作人员的一时疏忽、或者责任心不强等因素造成财务数据录入出现错误,最后导致会计信息不可靠。

4、病毒造成的系统错误、数据丢失

在网络科技飞速发展的今天,病毒的传播速度也越来越快,越来越隐蔽,除了通过传统的光盘、存储载体等设备进行传播以外,现在还可以通过互联网进行传播,在计算机联网的环境下,可以更隐蔽、更快速的进行病毒传播,同时其造成的破坏和危害也是极大的。目前的网络计算机病毒不仅能对计算机软件造成破坏,还可以对计算机硬件造成损坏,从而造成无法挽回的后果,因此,如何防范计算机病毒也是会计电算化从业人员必须掌握的一项技能。

二、防范会计电算化信息安全隐患的对策

随着我国经济的飞速发展和现代化建设的逐步推进,会计电算化行业也有了突飞猛进的发展。但是,由于网络会计电算化内的安全隐患没有得到很好解决,给企业造成了严重的损失。因此,做好网络会计电算化信息安全隐患的防范工作和对策对于我们今后的财务安全有着非常重要的意义。

1、提高会计电算化的网络技术安全

对于需要进入网络系统的信息必须得经过严格的审核,如果未经审核的信息一旦进入网络系统,将会造成电算化系统的不安全,从而影响会计信息的准确性和稳定性。要加强信息导入、输出时的监控管理力度,确保输入数据的安全性和准确性。由于网络环境下存在的诸多不安全因素,企业应该提升会计数据防火墙的防控力度,在企业的财务内部网络与外部公共网络之间设立一道屏障,对于需要访问内部网络的信息要进行多次认证,确保安全后方可进行访问。同时,也要做好会计数据网络传输过程中的安全防护,对于网络传输的数据信息要进行加密处理,防止不法分子中途截取后进行恶意利用,即使数据被截取也能保证信息不被泄露。

2、做好重要数据的备份和硬件的维护

企业会计人员要定期为核心的会计数据进行备份,保证会计电算化系统出问题时的原始数据恢复。在信息数据备份时要尽量缩短备份周期,这样可以在会计电算化系统或硬件出问题时减少数据的丢失。也可以通过拷贝功能将这些数据复制到一些可靠性较高的存储载体上进行妥善保管。如果计算机系统有自动备份功能的话要合理进行设置,尽量避免因人为的错误导致的会计数据丢失。

3、合理分配系统操作员权限

会计电算化系统的权限分配在会计数据安全方面也起着至关重要的作用。在会计电算化工作中,不同级别和不同职务之间操作员的工作范围也是各不相同的,他们操作系统的权限和访问的数据信息也是不同的,所以各操作员的权限和访问范围必须通过最高的系统管理员进行分配、授权才能进行操作,这样就避免了职务不同的操作员对软件的误操作,在一定程度上也杜绝和限制了操作员在系统中的行为。

4、做好计算机病毒的防护

随着计算机互联网技术的发展,计算机病毒也在不断地推陈出新。各个行业都在采取措施来防范计算机病毒带来的危害,针对层出不穷的计算机病毒攻击和侵害,目前主要采取的防范措施有:

三、结束语

网络会计电算化信息系统在给企业会计人员带来方便的同时大大提高了企业的财务管理水平。只有做好会计电算化系统安全防护,才能让会计电算化系统更好的为企业服务,所以,加强企业网络信息的安全防护是十分必要的。参考文献:

篇6

关键词:网络安全;黑客;策略;漏洞;防护

1绪论

计算机在产生开始相对比较单一,无论是在数据的处理还是在网络方面,都还处于相对低级的阶段。而随着网络技术的发展,计算机的功能也越来越多样,信息数据的处理难度也越来越高。而网络的出现,将以前时间和空间相对独立与分散的信息集中了起来,组建成一个庞大的数据信息系统,为人们提供更加快捷的信息处理和使用方式,它的出现极大的推动了信息化的发展进程。然而,随之带来的信息数据安全问题也越来越突出,各类公开化的网络平台、电商平台等都使非法入侵者有机可乘。网络的入侵不但会对信息资源造成破坏,同时也对整个网络安全的环境带来非常大影响。因此,计算机网络安全问题一直以来都是最为热门的焦点,而随着网络技术的不断发展,安全防范和安全保护也都在不断的进行更新。

2计算机安全定义

国际标准化组织(ISO)将“计算机安全”定义为:“为信息数据处理系统建立和采取的技术及管理的安全保护,保护计算机的硬件、软件数据不会因为偶然和恶意的原因而被破坏、更改和泄露”。上面对计算机安全的定义包含了物理安全和逻辑安全两方面的内容,逻辑安全的内容可理解为我们常说的信息安全,是指对信息数据的保密性、完整性和可用性的保护,而网络安全性的含义是信息数据安全的延伸,即网络安全是对网络信息数据的保密性、完整性与可用性的保护。

3影响网络安全的主要因素

(1)网络系统本身存在的问题当前主流的操作系统均存在这样或那样的网络安全漏洞,如UNIX,WinNT和Windows。黑客们往往就是通过利用这些操作系统本身所存在的一些安全漏洞入侵系统。具体主要体现在以下几个方面:稳定性和可扩充性;网络硬件的配置不协调;缺乏安全策略;而很多Web应用的站点,都在防火墙的配置上无意识地扩大了访问权限,忽略了这些权限可能会被别有用心的人员滥用;访问控制配置太过于复杂,容易导致配置错误,从而让他人有机可乘。(2)来自内部网的安全威胁从很多事实中证明,我们日常中来自企业内部的安全威胁要远远大于来自外部的安全威胁,由于我们的使用者缺乏安全意识,许多应用服务系统对于访问的控制以及安全通信方面考虑不足。而且,一旦系统被设置错误,就非常容易造成损失。由于在管理制度上的不健全,在日常进行的网络管理和网络维护过程中,由于人为的因素造成的安全漏洞,无疑是企业整个网络安全性的最大隐患。同时由于网络管理员以及网络使用者都拥有相应的权限,利用这些权限对网络进行破坏的安全隐患也同样存在。如操作密码的泄露,硬盘上的机密信息被人利用,临时文件夹以及删除在回收站的文件没有被及时清除而被窃取,内部人员或有意或无意的遗忘,给别有用心的人员有机可乘的机会等,都可能使得关系到我们网络安危的安全机制形同虚设。特别是对于一些已经安装了防火墙的网络系统,相对于企业内网用户来讲是一点作用也没有。(3)缺乏网络系统安全性的评估和有效的监管手段及硬件设备的正确使用防范黑客入侵的安全体系基础是有一整套完整准确的安全评估方法。它能对现有及将来需要构建的网络安全防火性能够做出科学、准确地分析评估,并能够保证将来实施的网络在安全策略上的可实现性和可执行性。对网络的安全评估分析就是对网络整体的安全性进行检查,查找其中可能存在的可被黑客或有心者所利用的漏洞。通过对网络系统的安全状况进行评估和分析,对发现的问题提供解决方案和建议,从而提高网络系统的安全性和稳定性。因此网络安全评估分析技术是一种比较行之有效的安全技术。(4)黑客的攻击手段和技术方法也在不断地得到更新,几乎每天都有不同系统出现安全问题。然而我们赖以生存的安全检测工具的更新速度却太慢,大部分情况需要人为的主动出击才能发现以前有些未知的安全问题,这些情况的存在使得它们对新出现的安全问题反应太慢。当安全工具刚发现存在安全问题,并视图努力对某方面安全问题进行更新时,其他的安全问题又出现了,我们的安全防护工具,就像一个救火队员,总是疲于奔命,成为安全问题的追随者。

4确保网络安全的有效防范

那么怎么样才能保证我们的网络有百分百的安全呢?对这个最简单的问题,我们的回答是:不可能。因为到目前为止,还没有一种技术和手段能够完全消除网络安全方面的漏洞。网络的安全实际上是我们实现理想中的安全防范和实际执行之间的一个平衡。而从广泛意义上的网络安全范围来看,网络的安全不仅仅只是技术问题,它更是一个管理问题,包含着各行各业的方方面面。因此我们可以从提高人员素质和提高网络安全技术入手,就目前来看:(1)依据网络安全各项技术要求,建立健全网络操作的安全制度,加强安全教育和安全培训。(2)加强对网络病毒的防范。病毒的传播是通过网络得以实现的,在单机上运行的杀毒产品已经很难彻底清除网络病毒,需要有能够对于局域网络的防杀毒软件。而像企事业单位、政府学校等单位的网络,不但有局域网,同时也有广域网,这就更需要一个能够基于服务器操作系统平台的防病毒软件网关以及能够针对各种桌面操作系统的防病毒软件,来加强处于网络中的计算机的安全。通过采用较好的防病毒产品,能够针对网络中有可能的病毒点进行防护,并通过防病毒软件产品进行多角度、全方位的立体监控,从而构建整个网络的防护体系。(3)正确配置防火墙。防火墙是我们企业安全监管中的一道非常关键壁垒,在防护中通过正确的配置,充分利用防火墙执行既定的访问控制策略,通过策略来允许访问的人或者数据命令进入自己的网络,并将不符合规则的用户和数据拒之门外,最大限度的保障了内部网络的安全。(4)选用正确的入侵检测系统。网络入侵是目前黑客进入网络内部获取资料信息与网络破坏最为常用的一种方式。而如何做好应对入侵或及早发现入侵,是我们安全防护中的重要一环。通过部署入侵检测系统和防护墙及防病毒产品,构建一套完整的主动防护体系,以保证企业信息财产的安全。(5)web应用、互联网接入和系统漏洞等,都可以通过部署web防护墙、Eamil邮件监测、FTP资料审核等,以及漏洞扫描系统,都可以通过部署相应的防护设备或软件进行主动防御。并根据不同的设备或软件系统的报告和日志,进行相应的修补工作,通过及时的修补完善各类漏洞和补丁的分发,将各种漏洞进行完善和消除,为建设更加安全的网络环境提供成熟的方案。(6)计算机IP盗用的问题。计算机的IP是我们企业网络中对设备身份的一种认定,每个IP地址可以和计算机的网卡MAC地址进行绑定。当某IP通过中心交换机访问某个地址或者Internet时,中心交换机就会检查发出请求的IP地址和它所绑定的MAC地址是否相符,如果不相符则拒绝其通过并发出IP广播告警。

5结束语

网络安全与网络的发展息息相关。网络安全是一个系统的工程,不是一朝一夕就能一蹴而就的。对待网络安全问题,不能仅仅靠防火墙、防病毒网关、漏洞监测等设备来进行,还需要用户有安全的防护意识与安全使用习惯,安全防护产品只是载体,关键还是在我们使用的人,建立一个好的、安全的网络体系,既要重视网络安全的设备和产品,同时也应该树立日常计算机网络安全意识和好的使用习惯,将安全危害问题降低到最小,才能逐步形成高效、稳定、安全的网络系统。

参考文献:

[1]Stallings.W.网络安全基础应用与标准.

[2]WilliamStallings.原理与实践(原书第3版).机械工业出版社,2016.

篇7

传统的高效科研管理信息系统由于数据吞吐量大,给实际使用带来了诸多不便,本文通过对大数据信息进行分类、筛选、管理、控制,提炼出“关键碎片信息”,并形成各学科或课题的碎片信息体系,大大提高了数据的指向效率,使系统更加快捷、高效。信息平台提供了丰富了应用工具和云服务功能,可以便捷的对互联接口和科研流程进行管理和控制。

【关键词】碎片 科研数据库 云服务 信息安全

1 引言

高校信息化自20世纪80年代开始逐步发展,最初主要用在财务管理领域。随着信息管理便捷、高效、安全等优势的体现,后勤管理、科研管理、学生管理等领域也开始引入信息管理系统,尤其是科研管理解决了过往学校对各学院的横向及纵向项目缺乏实时跟踪、管理不力等难题。

针对当前科研管理系统的现状,本文提出了全新的“碎片化”建设方法及建设思路,以解决问题驱动为数据链,形成整个业务流程的数据闭环。同时,采用远距离相互认证与密钥协商机制,大大提高了科研管理信息系统的安全性。

2 基于“碎片化”的科研管理系统设计

碎片化服务的特点是截取信息的关键片段,建立最小服务单元,使信息化的处理流程更加清晰,对角色、权限的定位更加快捷。在应用的过程中,更容易实现定点定时定人的各种推送服务。同时,在理清数据源头、规范数据标准、保持数据一致方面优势明显,由于业务应用的碎片化,每个业务需求都可以单独定制,大大提高了系统的扩展性,降低了建设周期和维护成本。

2.1 科研管理信息系统服务架构

科研管理信息系统以碎片化服务、开放平台、数据库、云服务为主要框架。“碎片化服务”是整个业务流程的支撑;各课题组与科研管理系统通过信息化开放平台进行交互;按照国家及学校的信息标准模型构建后台数据库,并以应用服务的建设为牵引不断进行更新迭代;云服务为各用户提供了更加便捷的个人信息存储和管理服务。

2.2 信息“碎片化”处理

将大数据进行碎片化,本质上一个信息碎片管理与加工的过程。为了从“巨量信息”中提取出有价值的信息碎片,将“巨量信息”分为有意义和无意义的信息碎片,在有意义的信息碎片中进一步提炼出表征关键信息的碎片,如图1所示。

从图1中可以看出,信息的碎片化处理是一个层层深入挖掘信息的过程,首先需要在“巨量信息”中挖掘有意义而舍弃无意义信息碎片。大数据时代信息碎片的筛选将碎片进行分类管理,使信息碎片变得条理有序。由于科研课题具有独特的专业性,关键信息碎片的筛选一般应由相应的学院或课题组在信息平台上直接进行采集、编辑、分类等工作,并由管理员统一审核、编辑与等处理碎片信息,经过长期积累,形成相应学科或课题的体系。

在数据库检索过程中,关键是对碎片化的指向进行分析,对整个知识体系进行指向归纳,碎片信息犹如人体的各个部件,脱离了知识体系这个生命整体,任何一个部件都会失去原有的意义。如果把碎片知识比作积木,要想搭建高楼大厦,那么还需要进行结构化、系统化的设计与加工,要在汲取相关材料的基础上,应用行之有效的科学方法,使碎片化学习过程中获取的信息碎片体系化。

2.3 信息平台软件设计

信息平台为“碎片化”服务提供了接入与运行的基础环境,由管理中心、流程控制中心、互联总线、应用组件、数据库、云服务等六大核心功能中心组成,管理中心主要负责对系统进行个性化配置,如本地化部署方案、数据接口的提供、身份认证及安全管理等;流程控制中心可以犹地对科研管理流程进行增添、删除、修改流程中的活动节点或更改业务逻辑,重新验证发生变化的流程定义的正确性、合法性等;应用组件,包括校内主开发及第三方企业开发的各类应用,为科研管理系统提供各类应用工具;互联总线负责管理各类接入科研管理信息系统的接口,如财务系统接口、学生管理系统接口等等;数据库提供运行数据支撑;云服务提供各类便捷的云端存储、管理、配置等功能。

3 科研管理信息系统安全设计

3.1 信息安全风险来源

在当前网络环境下,科研管理信息系统安全性的威胁来源主要有以下几个方面:

(1)非授权访问。以假冒身份、寻找“后门”、盗窃账户等方式不经许可,对系统进行入侵。

(2)数据破坏。以非法手段对数据进行破坏,导致整个系统的数据发生致命错误,影响系统的正常运行。

(3)信息盗窃。通过隐蔽隧道,对传输过程中的数据进行窃取,危害极大。

(4)传播病毒。利用软件的漏洞对系统进行攻击或散播病毒。

(5)服务攻击。攻击者不断对网络服务系统进行干扰,改变其作业流程,影响正常用户的使用。

3.2 系统安全设计

高校课题中不乏牵扯到国家安全的保密性项目,一旦信息泄露,将会对国家和人民造成重大损失,因此必须系统的安全设计是重中之重。本文介绍的科研管理系统主要通过以下手段保障信息的安全:

(1)运用现代数据库技术,结合档案归类、保密等级切实建设好电子档案数据库是保证电子档案安全的重要途径。为了保证电子档案的安全性,可采用分布式存储、灾备技术,及时对电子档案建立可靠的数据备份,实施异地保存。这样可以有效地防止自然灾害、黑客攻击和病毒感染等,确保电子档案的安全,提高远程访问的有效性,增强电子档案数据库系统的容错率。根据管理人员职责,分别在电子档案管理系统中分配有效的操作权限,合理划分对电子档案数据访问的控制权限。对于每个电子档案文件,必须标示文件生成过程,以保障电子档案的真实性。

(2)创建电子档案管理系统。一个完善的电子档案管理系统应包括用户模块、分级管理人员模块、系统控制模块和系统认证模块。用户为了获取相关档案的利用,必须将其身份信息与利用请求发送给系统,系统根据请求内容将用户信息和请求转发给相应管理人员。管理人员验证用户信息的真实性和请求的合理性,利用远距离相互认证与密钥协商机制,证实双方身份的真实性,并与用户共享会话密钥。管理人员利用自主控制策略,实现用户权限管理。用户对系统的访问是一次性的,具有一定的时间限制。用户解密后,获取签密文件,但是无法阅读签密文件,只可以验证其有效性。如果验证该文件确实是管理人员签发的,用户把签密文件转发送给管理系统,管理系统自动解密该文件,验证签名的有效性,获取访问消息,从而得知用户能够得到档案的类别及其范围限制等。管理人员的工作密钥和系统的密钥必须定时自动更新,以保障管理系统的前向安全性。如果通过验证,系统启动数据库服务器,数据库服务器访问相应数据库,最后生成利用文件。根据利用文件内容、用户身份信息、管理人员身份等,自动产生认证签章,并且运用数字水印技术,在文件上生成防伪水印。系统自动完成档案利用的记录,包含利用者的身份信息、访问时间等,从而建立可靠、完整的档案利用记录。为了提高电子档案的保密性、可靠性,应实现分级审核和权限审核等功能。

(3)电子档案系统要配备先进的入侵检测系统。电子档案系统要配备先进的入侵检测系统,及时发现来自网内外的非法入侵行为;安装的杀毒软件要及时更新病毒库,真正做到御(敌)于网外;加强电子档案系统的审计系统建设,设置自动启动的电子档案操作日志;从安全日志中分析入侵事件或非法访问,运用网络取证等手段有效遏制入侵、破坏电子档案系统的犯罪行为。

4 结论

“碎片化”使数据流庞大的科研管理信息系统变得更加快捷、高效,在实际使用中取得了良好的效果。通过对大数据信息进行分解、筛选、管理,建立各学科、课题的关键碎片化信息,并构建相应的信息体系,提升了数据库的指向和管理效率。

信息平台提供了各种便捷的应用工具和云服务,可以高效的对互联接口及科研流程进行管理和控制。

参考文献

[1]吴秉健.信息碎片化[J].中国信息技术教育,2016(08).

[2]陈远,袁艳红.网络信息碎片化机理与对策研究[J].现代商贸工业,2012,24(01):247-248.

[3]许剑茹.信息碎片化语境下移动终端导示系统设计研究[D].北京印刷学院,2014.

[4]周冰洁.碎片化信息的串联性组织方式研究――设计资源平台规划设计[D].东华大学,2015.

篇8

 

一、加强顶层设计,确立信息安全教育国家战略

 

1.《网络空间安全国家战略》

 

布什政府在2003年2月了《网络空间安全国家战略》,其中首次从国家层面提出了“提高网络安全意识与培训计划”,指出,“除了信息技术系统的脆弱性外,要提高网络的安全性至少面临着两个障碍:缺乏对安全问题的了解和认识;无法找到足够多的经过培训或通过认证的人员来建立并管理安全系统。“为此,美国要开展全国性的增强安全意识活动,加强培训和网络安全专业人员资格认证。

 

2.《美国网络安全评估》报告

 

2009年5月29日美国公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,提出行动计戈IJ。所提议的优先行动计划之一就是“加强公众网络安全教育”。

 

3.《国家网络安全综合计划》(CNCI)

 

2010年3月2日,奥巴马政府对前布什政府在2007年制定的一份国家网络安全综合计划的部分内容进行解密。CNCI计划提出要实现重要目标之一就是:“为了有效地保证持续的技术优势和未来的网络安全,必须制定一个技术熟练和精通网络的劳动力和未来员工的有效渠道。扩大网络教育,以加强未来的网络安全环境。”

 

4.《国家网络空间安全教育战略计划》

 

2011年8月11日,NIST授权《美国网络

 

安全教育倡议战略规划:构建数字美国》草案,征求公众意见。该规划是美国网络安全教育倡议(NICE)的首个战略规划,阐明了NICE的任务、远景和目标。NICE旨在通过创新的网络行为教育、培训和加强相关意识,促进美国的经济繁荣和保障国家安全,并通过以下三个目标实现这一愿景:增强公众有关网上活动风险的意识;扩展能支持国家网络安全的人员队伍;建立和维持一支强大的具有全球竞争力的网络安全队伍。

 

二、做好立法工作,完善法规标隹体系

 

1.《联邦信息安全管理法案》(FISMA)

 

2002年7月,美国政府制定了《联邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美国政府已经认识到信息安全对美国经济和国家安全利益的重要性,并从风险管理角度提出了一个有效的信息安全管理体系。信息安全教育与培训是信息安全管理体系中一个重要环节。

 

FISMA法案明确要求:联邦政府机构须为内外部相关人员提供信息安全风险的安全意识培训,为此还提议了一个较为完善的国家安全意识及其培训系统。

 

2.国防部(DoD)8570指令

 

2005年12月,为了更好地支持“全球信息网格计戈j”,美国国防部了8570指令。该指令涵盖以下主要内容:建立技术基准,管理职员的信息保障技能;实现正规的信息保障劳动力技能培训和认证活动;通过标准的测试认证检验信息保障人员的知识和技能;在基础教育和实验教育中,持续的增加信息保障内容。

 

3.联邦政府信息技术安全培训标准(FIPS)

 

FISMA法案明确指定NIST负责制定联邦政府(除国防、情报部门以外)所使用的信息安全技术、产品和培训方面的国家标准。目前,NIST已制定和两部权威的信息安全培训标准:《信息技术安全培训要求:基于角色和表现的模型》(NISTSP800-16)和《建立信息安全意i只和培训方案》(NISTSP800—50)cNIST在SP800—16标准中提出了信息安全培训概念性的框架,依据这些框架,美国联邦政府部门开展了很多综合性的联邦计算臟务(FSC)项目。

 

4.网络安全法案

 

2010年3月24日,美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业有效应对网络威胁的《网络安全法案》。该法案要求政府机构和私营部门加强在网络安全领域方面的信息共享,强调通过市场手段,鼓励培养网络安全人才,开发网络安全产品和服务。

 

三、构建信息网络安全组织机构,健全安全教育培训管理体制

 

为了落实信息安全教育培训相关政策和法律法规,美国将协调、执行、监督、管理等权利分配给多个政府部门,依据最新的《国家网络安全教育战略计划》的思路,国家标准技术研究所(NIST)为整个计划的负责单位,协调其他部门参与计划的实施;国土安全部(DHS)、国防部(DoD)、国务院、教育部和国家科学基金会(NSF)协力加强公众的信息安全意识;DHS、海关总署、NSF和国家安全局(NSA)共同加强从业人员f支术能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)负责建立高端网络安全人才队伍。

 

社会各界积极参与

 

行业协会已经站到了信息安全教育培训的前沿,成为信息安全教育培训的践行者。其职责主要是协助有关部门制定信息安全教育与培训的标准,组织持续的教育活动,并向内部成员单位实施培训。行业协会自身作为提供教育和培训的主体,一方面可以根据政府的引导和企业的需求来设置培训内容;另一方面可以利用政府和产业界的资源,充分发挥其在信息安全领域内不可替代的社会职能。行业协会提供的培训标准是政府制定的培训标准的主要补充,为规范和完善美国信息安全培训行业提供了切实可行的保障。

 

(1)国际信息系统审计协会(丨SACA)

 

国际信息系统审计协会(ISACA)是一个为信息管理、控制、安全和审计专业设定规范标准的全球性组织,会员遍布逾160个国家,总数超过86,000人。ISACA成立于1969年,除赞助举办国际会议外,还编辑出版《信息系统监控期刊》,制定国际信息系统的审计与监控标准,以及颁授国际广泛认可的注册信息系统审计师(CISA)专业资格认证。CISA认证体系已通过美国国家标准协会(ANSI)依照ISO/IEC17024:2003标准对其进行的资格鉴定。同时,美国国防部也认可了CISA认证,并将其纳入到国防系统信息技术人员技能商业资格认证体系当中。这产生了以下四方面的作用:认可CISA认证所提供的特有资格和专业知识技能;保护认证的信誉并提供法律保护;增进消费者和公众对本认证和持证者的信心;使跨国、跨行业的人才流动更加便利。

 

(2)美国系统网络安全(SANS)研究院SANS是于1989年创立的美国非政府组织(NGO),是一所具有代表性的从事网络安全研究教育的专业机构。1999年SANS首次推出了安全技术认证程序(GIAC)。

 

GIAC认证程序有以下几个特点:

 

GIAC提供超过20种的信息安全认证,其大多数符合DOD8570指令。GIAC依据国家标准对安全专业人员及开发人员进行各方面技能认证。GIAC安全认证分为入门级信息安全基础认证(GISF)和高级安全要素认证(GSEC)。两种认证都重点考察安全基础知识,保证揺正人员拥有必备的安全技能。其它GIAC安全认证包括:认证防火墙分析师(确认设计、配置和监控路由器、防火墙和其它边界设备所需的知识、技能和能力)、认证入侵分析师(评估考生配置和监控入侵检测系统的知识)、认证事故处理员(考察考生处理事故和攻击的能力)和认证司法辩论分析师(考查考生高效处理正式司法调查的能力。

 

(3)国际信息系统安全认证联盟(ISC)2

 

国际信息系统安全核准联盟(ISC)2成立于1989年,是一家致力于为全球信息系统安全从业人员提供信息安全专业技能培训和认证的国际领先非营利组织。在(ISC)2各种认证中,CISSP数量最多。截至2010年底,全球共有75000名CISSP获证人员,其中,美国获证人员数量超过70%^CISSP获证人员中,约30%在政府部门工作,40%从事信息安全月服务行业,30%从事用户终端工作。

 

注册信息系统安全专业人员通用知识体(CISSPCBK)提供了通用的信息安全术语和原理框架,使得全世界的信息安全专业人员能够以相同的术语和理念,讨论、辩论和解决信息安全相关问题。

篇9

根据相关理论,网络信息安全主要受技术、操作及管理等三方面因素的影响。其中,管理是影响网络信息安全最核心的因素,值得网络信息安全工作中高度关注。

(1)技术。

主要指信息产品和过程,比如防火墙技术、杀毒软件、侵入检测技术及信息加密方法等。

(2)操作。

主要包括信息安全的强化机制与方法、各种信息安全威胁所引起的运行缺陷纠正措施、物理干预方法、数据备份机制、环境威胁规避方法等。

(3)管理。

一般指信息安全的非技术性领域,包含所应用的政策、员工培训计划、业务规划策略等。其中,网络安全信息领域所应用的“三全”工作模式便是近些年来大范围推广的网络信息安全管理方法。

2信息安全及网络安全“三全”工作模式探讨

为确保信息安全工作基础得以进一步的强化,提升信息安全的保障能力及提高运维服务能力,在网络信息安全领域中应用“三全”工作模式显得极其重要。主要可从以下渠道进行:

(1)健全信息化项目管理机制。

在信息化工作中,逐步落实《信息化工作职责一览表》及《信息化工作整体流程图》等制度的制定工作,并推进实际信息化建设与管理中的整体流程及职责落地工作。另外,还需要不断完善信息项目管理机制及过程管控机制,不断优化完善信息化管控体系管理手册、过程管控文件、工作记录文件及过程文件等不同等级的文档,以确保项目推进规范化。项目得以顺利推进的核心在于项目沟通协调监理机制的完善。

(2)推进信息安全长效机制建设。

在网络信息安全工作中,以“三全”工作管理模式作为基本的契合点,不断完善应用系统的“三全”基础性信息库,并依据信息基础设施及业务系统的实际动态情况进行及时性地更新、调整,以确保信息化基础性数据处于最新的状态下。另外,加强应用系统技术性及信息管理问题的排查工作,提出相应的整改方法,明确整改责任人,限定最后的整改期限,确保整改工作得以高效、顺利进行。

(3)加快信息安全保障体系构建。

开展应用系统的安全层级保护整改项目的稳健落地,积极评估信息安全风险,加强对信息安全的配置,网络信息安全领域的管理体系咨询工作;对现有及未来将采购的信息化应用产品、系统软硬件平台及自主开发的信息安全管控模块与不同信息化平台进行整合为具备特定信息安全等级的集成系统,并全面规划企业网络信息安全技术集成方案。另外,后续所开发的业务管理运营系统需确保与公司所推进的网络信息安全管理体系相匹配,以扎实推进信息安全管控体系的实施落地。

(4)积极开展信息安全应急演练。

应急方案演练,是提升信息安全等级的重要渠道之一。可高效利用周末实际,根据企业实际情况安排停机时间,结合企业实际情况编写信息安全应急演练方案,按照应急演练通知,组织培训、掌握应急方案,开展应急演练,现场实际操作等流程规范化、有序化地进行应急演练活动。对于应急演练中所发现的各项问题,应有计划性地进行结语与评估,并认真研究有效的处理方法,提升企业网络信息安全管控水平。

(5)加强网站及邮件系统安全防护。

在公共服务区外网入口区域部署防DNS攻击、入侵实时监测、预防网络篡改、网络负载均衡、反垃圾邮件等软硬件系统,为互联网公共服务提供有效的保护策略。每个季度、每个月定期化地进行一次企业内部操作系统、应用系统的安全性检测,提高网络运行的安全稳定性。

3结语

篇10

根据__、__和__、__有关要求,为进一步加强网络和信息安全管理工作,经__领导同意,现就有关事项通知如下。

一、建立健全网络和信息安全管理制度

各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。

二、切实加强网络和信息安全管理

各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。

三、严格执行计算机网络使用管理规定

各单位要提高计算机网络使用安全意识,严禁计算机连接互联网及其他公共信息网络,严禁在非计算机上存储、处理信息,严禁在与非计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施,有效监控违规操作,严防违规下载和敏感信息。严禁通过互联网电子邮箱、即时通信工具等处理、传递、转发和敏感信息。

四、加强网站信息审查监管

各单位通过门户网站在互联网上公开信息,要遵循不公开、公开不的原则,按照信息公开条例和有关规定,建立严格的审查制度。要对网站上的信息进行审核把关,审核内容包括:上网信息有无问题;上网信息目前对外是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上信息,严禁交流传播信息。坚持先审查、后公开,一事一审、全面审查。各单位网络信息审查工作要有领导分管、部门负责、专人实施。

五、组织开展网络和信息安全清理检查