信息安全與管理范文

時(shí)間:2023-10-09 17:11:26

導(dǎo)語:如何才能寫好一篇信息安全與管理,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

信息安全與管理

篇1

關(guān)鍵詞:信息安全技術(shù);信息安全保密管理

中圖分類號:TL372文獻(xiàn)標(biāo)識碼:A

一、案例分析

本文以成都某辦公樓自動化辦公系統(tǒng)內(nèi)的信息安全技術(shù)與安全保密管理進(jìn)行了分析,針對該系統(tǒng)的信息安全技術(shù)以及加強(qiáng)保密管理的具體措施進(jìn)行了分析。

二、信息安全技術(shù)分析

1、安全管理介質(zhì)技術(shù)

在辦公自動化中會用到各種信息媒介,如硬盤、光盤等,這些信息介質(zhì)容易導(dǎo)致計(jì)算機(jī)中存儲的重要信息被泄漏、毀壞,對辦公自動化的安全保密工作非常不利。在辦公自動化中要采用安全管理介質(zhì)技術(shù),對介質(zhì)進(jìn)行標(biāo)記,然后根據(jù)介質(zhì)的類別進(jìn)行管理,對于特別重要的介質(zhì),要進(jìn)行加密管理??梢詫⑿枰用艿慕橘|(zhì)分類放到保險(xiǎn)箱中,保險(xiǎn)箱鑰匙和密碼只有知道介質(zhì)信息的人員才有,對一些需要丟棄的介質(zhì),不可以隨意丟棄,可以通過某種方式進(jìn)行秘密銷毀,從而提高辦公自動化的安全保密性。

2、數(shù)據(jù)庫和信息網(wǎng)絡(luò)安全技術(shù)

每個(gè)辦公自動化中都有數(shù)據(jù)庫,數(shù)據(jù)庫是所有信息的集合,保護(hù)好數(shù)據(jù)庫的信息,對做好安全保密工作具有非常重要的意義。要利用數(shù)據(jù)庫安全技術(shù),加強(qiáng)對數(shù)據(jù)庫信息資源的保護(hù),并及時(shí)對數(shù)據(jù)庫內(nèi)的信息資源進(jìn)行備份,防止有人惡意破環(huán)或是其他意外災(zāi)害造成數(shù)據(jù)庫系統(tǒng)信息的丟失。網(wǎng)絡(luò)信息技術(shù)的普遍應(yīng)用導(dǎo)致網(wǎng)絡(luò)信息的安全性降低,利用安全技術(shù)來加強(qiáng)對網(wǎng)絡(luò)的安全保護(hù)對提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)信息的安全性具有重要意義,可以采用安裝防火墻、口令等來防止網(wǎng)絡(luò)黑客的攻擊,加強(qiáng)對辦公自動化中信息的安全保密工作,減少信息泄漏造成的危害【1】。

3、消除泄密路徑技術(shù)

在辦公自動化中,有時(shí)存在的一些路徑,會導(dǎo)致計(jì)算機(jī)系統(tǒng)中的一些重要信息被泄漏出去。隱蔽信道的存在就容易導(dǎo)致信息泄漏出去,對企業(yè)或是一些部門會造成很大的危害。為此,可以采用消除泄漏路徑的技術(shù),減少辦公自動化中信息的泄漏。消除泄漏路徑的主要方法是在設(shè)計(jì)辦公計(jì)算機(jī)系統(tǒng)時(shí),特別注意盡量產(chǎn)生較少的隱蔽信道。在測量辦公自動化計(jì)算機(jī)的隱蔽信道時(shí),如果隱蔽信道過多,需要對計(jì)算機(jī)系統(tǒng)重新進(jìn)行設(shè)計(jì),一直到隱蔽信道數(shù)目比較適合,這樣就可以防止在辦公自動化計(jì)算機(jī)中有過多的隱蔽信道,減少辦公自動化信息的泄漏。在計(jì)算機(jī)內(nèi)部需要設(shè)計(jì)一個(gè)審計(jì)功能,來對計(jì)算機(jī)隱蔽信道的使用情況進(jìn)行分析、計(jì)數(shù),并且附帶有報(bào)警系統(tǒng),當(dāng)隱蔽信道使用次數(shù)過多,可能造成信息泄漏時(shí),審計(jì)功能就會及時(shí)發(fā)出報(bào)警聲音,從而減少計(jì)算機(jī)信息的泄漏。

4、防治病毒技術(shù)

在辦公自動化中離不開計(jì)算機(jī)的使用,計(jì)算機(jī)在使用過程中會遇到各種計(jì)算機(jī)病毒,計(jì)算機(jī)一旦感染病毒,將會對信息造成很大的危害,為此,需采用防治病毒技術(shù)來做好辦公自動化中的安全保密工作。對計(jì)算機(jī)病毒進(jìn)行防治主要堅(jiān)持防止計(jì)算機(jī)病毒為主,治療病毒為輔的原則,可以通過以下三種方式做到防治計(jì)算機(jī)病毒:(1)在計(jì)算機(jī)的網(wǎng)絡(luò)接口上安裝具有防治計(jì)算機(jī)病毒功能的芯片。(2)在計(jì)算機(jī)上安裝殺毒軟件,通過設(shè)置自動或是手動的方式定期對計(jì)算機(jī)進(jìn)行查殺病毒【2】。(3)在計(jì)算機(jī)的服務(wù)器上安裝防病毒模塊或是安裝防病毒卡。上述幾種方法可以混合使用,這樣更能夠提高防治病毒的功效,有利于做好辦公自動化的安全保密工作。

三、信息安全保密管理

1、信息泄密方式

1.1網(wǎng)絡(luò)安全漏洞泄密

電子信息系統(tǒng),特別是計(jì)算機(jī)信息系統(tǒng),其利用通信網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)互通,不同系統(tǒng)間在進(jìn)行遠(yuǎn)程傳輸、遠(yuǎn)程訪問和資源共享的過程中,黑客和不法分子也在利用其實(shí)施網(wǎng)絡(luò)滲透攻擊。因計(jì)算機(jī)信息系統(tǒng)遠(yuǎn)程程序數(shù)量眾多,同步使用通信協(xié)議多且復(fù)雜,計(jì)算機(jī)在運(yùn)行過程中很容易發(fā)生系統(tǒng)、配置、協(xié)議等多項(xiàng)漏洞,進(jìn)而被非法分子利用。在大型軟件中,每1000~4000行源程序中就有可能包含一個(gè)漏洞,當(dāng)存儲重要數(shù)據(jù)的信息軟件接入網(wǎng)絡(luò)時(shí),竊密者就會通過漏洞實(shí)施滲透攻擊、網(wǎng)絡(luò)掃描,進(jìn)而對系統(tǒng)主機(jī)進(jìn)行遠(yuǎn)程監(jiān)控。在計(jì)算機(jī)信息系統(tǒng)中,黑客很容易利用網(wǎng)絡(luò)安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊,如侵入聯(lián)網(wǎng)計(jì)算機(jī)實(shí)施竊密,或通過“木馬”程序進(jìn)行遠(yuǎn)程控制;將遠(yuǎn)程植入木馬的計(jì)算機(jī)作為中介,蛙跳式竊取和攻擊網(wǎng)絡(luò)內(nèi)重要計(jì)算機(jī)信息,或?qū)χ攸c(diǎn)計(jì)算機(jī)實(shí)施長時(shí)間監(jiān)控等。通過黑客技術(shù)入侵網(wǎng)站并獲取相關(guān)權(quán)限后,能夠任意盜取數(shù)據(jù)庫信息或篡改網(wǎng)頁內(nèi)容,多數(shù)漏洞都會支持遠(yuǎn)程惡意代碼的執(zhí)行,成為黑客進(jìn)行遠(yuǎn)程攻擊的主要利用對象。

1.2物理泄密

在政府的網(wǎng)絡(luò)信息系統(tǒng)中,物理風(fēng)險(xiǎn)是多種多樣的,主要有地震、水災(zāi)、火災(zāi)等環(huán)境事故,人為操作失誤或錯(cuò)誤,設(shè)備被盜被毀,電磁干擾,電源故障等等。

1.3移動存儲介質(zhì)泄密

數(shù)碼相機(jī)、優(yōu)盤、記憶棒、移動硬盤等具有使用簡便、存儲容量較大的優(yōu)點(diǎn),其為人們帶來便利的同時(shí)也存在著諸多安全隱患。此類移動存儲介質(zhì)可拷貝和存儲大量的文件資料且可隨身攜帶,若管理或使用不當(dāng)則很容易導(dǎo)致文件泄密。

1.4無線設(shè)備泄密

無線設(shè)備包含兩種:一種是全部或局部采用無線電波實(shí)施連接通信的計(jì)算機(jī)裝置,另一種是全部或局部采用無線廣播實(shí)施連接通信的計(jì)算機(jī)裝置。在計(jì)算機(jī)系統(tǒng)開啟無線聯(lián)網(wǎng)功能后,在設(shè)備正常運(yùn)行條件下即可自動連接無線LAN,進(jìn)而同Internet連接。而此種連接很容易被他人進(jìn)行遠(yuǎn)程控制,即使在無線聯(lián)網(wǎng)功能關(guān)閉后,也可通過相應(yīng)技術(shù)方法激活,進(jìn)而盜取有用信息。另外無線鼠標(biāo)、無線網(wǎng)卡、藍(lán)牙、無線鍵盤及紅外接口等設(shè)備都通過開發(fā)式空間進(jìn)行信息傳輸,其數(shù)據(jù)信息直接暴露在空氣中,非法人員可通過專用設(shè)備實(shí)施信息攔截,進(jìn)而竊取信息內(nèi)容【3】。

2、加強(qiáng)信息安全保密管理的措施

2.1發(fā)展自主的信息產(chǎn)業(yè),構(gòu)建網(wǎng)絡(luò)安全的技術(shù)支撐

網(wǎng)絡(luò)信息的全球化使各國之間的信息流通的更快,交流的更頻繁,同時(shí),網(wǎng)絡(luò)信息安全問題也越來越嚴(yán)重。如今雖然科技在不斷的進(jìn)步,但我國在計(jì)算機(jī)應(yīng)用上還多是使用國外的計(jì)算機(jī)技術(shù),沒有自己的計(jì)算機(jī)核心技術(shù),受外國的計(jì)算機(jī)軟件開發(fā)商的控制,政府網(wǎng)絡(luò)信息安全自然就沒有保障。政府網(wǎng)絡(luò)信息關(guān)系到黨政部門,關(guān)系到整個(gè)國家的政治經(jīng)濟(jì)利益,我們必須發(fā)展自主的信息產(chǎn)業(yè),構(gòu)建網(wǎng)絡(luò)安全技術(shù)支撐。國家政府要在資金、技術(shù)、人力等方面加大投入力度,開發(fā)計(jì)算機(jī)自主知識產(chǎn)權(quán)技術(shù)。例如我國基于Linux操作系統(tǒng)開發(fā)出來的中軟,中科等。

2.2建立完善的安全保密系統(tǒng)

在該系統(tǒng)中要運(yùn)用安全保密技術(shù)來建立完善的信息安全保密系統(tǒng),這對提高信息的安全,做好信息的保密工作具有重要意義。要對整個(gè)辦公自動化進(jìn)行分析、規(guī)劃,對建立的信息安全保密系統(tǒng)做好規(guī)劃、設(shè)計(jì)、測試等各項(xiàng)工作,保證信息安全保密系統(tǒng)能夠符合辦公自動化系統(tǒng)的要求,從而實(shí)現(xiàn)對該辦公系統(tǒng)的信息的安全保密。要建立專門的信息安全保密部門,辦公人員具有專業(yè)的安全保密技術(shù),能夠?qū)踩C芗夹g(shù)及時(shí)應(yīng)用到辦公自動化中,并且還能夠?qū)k公自動化安全保密工作進(jìn)行監(jiān)督,對出現(xiàn)安全保密問題的地方,能夠及時(shí)采取有效的措施,加強(qiáng)對安全保密技術(shù)的應(yīng)用。在辦公自動化系統(tǒng)不斷發(fā)展的同時(shí),要及時(shí)創(chuàng)新安全保密技術(shù),讓安全保密技術(shù)能夠適應(yīng)辦公自動化系統(tǒng)的發(fā)展,這有利于更好地將安全保密技術(shù)應(yīng)用于辦公自動化系統(tǒng)中,防止信息泄漏。

2.3健全信息安全保密管理責(zé)任體制

依據(jù)分級負(fù)責(zé)及歸口管理原理,嚴(yán)格明確不同部門在信息安全管理中的權(quán)力與任務(wù),將安全、公安、信息化、機(jī)要、保密等部門進(jìn)行聯(lián)合配置,全力負(fù)責(zé)計(jì)算機(jī)的安全保密管理;將信息保密引入到目標(biāo)管理過程中,并形成監(jiān)察機(jī)制,提高督查強(qiáng)度和力度,嚴(yán)格執(zhí)行保密紀(jì)律;采用領(lǐng)導(dǎo)責(zé)任制,將保密工作向具體業(yè)務(wù)不斷延伸,將信息保密管理融入到業(yè)務(wù)工作的全過程中,充分發(fā)揮保密工作對業(yè)務(wù)工作服務(wù)的具體作用。

2.4提高對安全保密相關(guān)人員的培養(yǎng)

要想加強(qiáng)安全保密技術(shù)在辦公自動化中的應(yīng)用,使其發(fā)揮更好的安全保密效果,就需要加強(qiáng)對安全保密相關(guān)人才的培養(yǎng)。要建立嚴(yán)格的任職考核制度,具備專業(yè)安全保密技術(shù)的人才,只有在通過綜合素質(zhì)的考核之后才能夠到該職位任職。要定期對安全保密技術(shù)人員進(jìn)行相關(guān)信息安全保密技術(shù)的培訓(xùn),使他們及時(shí)學(xué)習(xí)先進(jìn)的安全保密技術(shù)和知識,從而保證安全保密技術(shù)人員的工作質(zhì)量。

篇2

隨著水利信息化技術(shù)的發(fā)展,水利信息化系統(tǒng)在水利事業(yè)中應(yīng)用越來越廣泛,水利信息化系統(tǒng)涉及的水利信息越來越多,這時(shí)一個(gè)很重要的問題擺在了人們的面前,那就是水利信息化系統(tǒng)的安全問題。如果水利信息化系統(tǒng)被人攻擊,水利信息被人竊取,將給國家和人民造成巨大的損失。

天津市水務(wù)局水利信息化網(wǎng)絡(luò)包括防汛抗旱、辦公自動化、水文水資源、水土保持、水質(zhì)監(jiān)測等各種應(yīng)用系統(tǒng),面對當(dāng)前嚴(yán)峻的水利信息安全形勢,為了保障水利信息化系統(tǒng)安全正常的運(yùn)行,天津市水務(wù)局建設(shè)了水利信息安全防護(hù)體系,其安全基礎(chǔ)設(shè)施主要包括防火墻、入侵檢測及漏洞掃描、Web信息防篡改系統(tǒng)、網(wǎng)絡(luò)接入控制和安全審計(jì)、防病毒軟件、身份認(rèn)證等安全產(chǎn)品。

這些安全產(chǎn)品在各自的崗位上發(fā)揮著重要的作用,保護(hù)著網(wǎng)絡(luò)的安全。但是從系統(tǒng)整體安全考慮,這些網(wǎng)絡(luò)安全產(chǎn)品都只是各司其職,沒有溝通合作,缺乏統(tǒng)一調(diào)度,容易造成信息冗余和資源的浪費(fèi),對網(wǎng)絡(luò)的保護(hù)存在局限性,在遭遇復(fù)雜的綜合型攻擊時(shí),安全防護(hù)體系就會非常脆弱,將不能保護(hù)水利信息化系統(tǒng)的安全。

因此,我們提出水利信息安全管理系統(tǒng),對這些安全產(chǎn)品進(jìn)行統(tǒng)一的管理和整體配置,實(shí)現(xiàn)各安全產(chǎn)品間的信息互通和聯(lián)動合作,讓他們的功能得到充分的發(fā)揮,共同確保整個(gè)水利信息化系統(tǒng)的安全。

2 水利信息安全管理系統(tǒng)的功能分析

水利信息安全管理系統(tǒng)是一個(gè)綜合的、動態(tài)的安全體系,需要解決各種安全技術(shù)和產(chǎn)品的統(tǒng)一管理和協(xié)調(diào)問題,能實(shí)現(xiàn)水利信息系統(tǒng)中的安全設(shè)備間的互操作,從整體上提高水利信息系統(tǒng)整體的抵抗攻擊和防御入侵的能力,保持系統(tǒng)及服務(wù)的安全性、可靠性和可用性。

水利信息安全管理系統(tǒng)要實(shí)時(shí)采集各安全設(shè)備的安全信息,監(jiān)控各安全設(shè)備的運(yùn)行狀況。所以網(wǎng)絡(luò)安全管理平臺要具有高效的安全信息收集和設(shè)備監(jiān)控功能,平臺能夠收集各集成安全設(shè)備發(fā)出的安全告警信息、系統(tǒng)日志數(shù)據(jù)等安全信息,這些數(shù)據(jù)經(jīng)平臺的綜合分析處理,使平臺監(jiān)控中心能在整體上掌握整個(gè)系統(tǒng)的綜合安全狀況,及時(shí)發(fā)現(xiàn)影響水利信息系統(tǒng)安全的不當(dāng)行為。

水利信息安全管理系統(tǒng)要有集中管理功能。能夠?qū)λ畔⑾到y(tǒng)中的多種安全設(shè)備進(jìn)行集中管理,將系統(tǒng)中的各種安全設(shè)備發(fā)送的信息數(shù)據(jù)進(jìn)行采集,將不同格式的數(shù)據(jù)進(jìn)行統(tǒng)一格式化,方便對各信息的整合、歸并與關(guān)聯(lián)分析,過濾事件中的誤報(bào)和冗余事件,產(chǎn)生確定的安全警報(bào),并根據(jù)制定的聯(lián)動策略對安全設(shè)備進(jìn)行動態(tài)配置,快速調(diào)動各安全設(shè)備聯(lián)動操作,消除水利信息系統(tǒng)受到的安全威脅。

水利信息安全管理系統(tǒng)要保證高安全性[1],要保證水利信息安全管理系統(tǒng)的安全,保證安全信息采集和處理過程的安全。并且系統(tǒng)中的設(shè)備間設(shè)置高強(qiáng)度安全通道,保證安全信息傳輸過程中的安全。

水利信息安全管理系統(tǒng)是一個(gè)高擴(kuò)展性平臺[1],可實(shí)現(xiàn)與各種安全設(shè)備之間的互通與聯(lián)動,支持多種安全設(shè)備的統(tǒng)一管理,對新出現(xiàn)的安全技術(shù)和產(chǎn)品也保留了開放的擴(kuò)展接口,易于與新的安全設(shè)備相結(jié)合。

3 水利信息安全管理系統(tǒng)的整體結(jié)構(gòu)

水利信息安全管理系統(tǒng)分為用戶層,數(shù)據(jù)采集層、安全管理中心、數(shù)據(jù)庫支撐層和被管設(shè)備層五層結(jié)構(gòu)。

用戶層是安全管理系統(tǒng)的控制平臺,提供方便系統(tǒng)管理員操作的可視化界面。系統(tǒng)安全管理員可以通過網(wǎng)頁?絲窗踩?報(bào)告、進(jìn)行策略配置等操作,便于管理和維護(hù)系統(tǒng)。

數(shù)據(jù)采集層的主要工作是從水利信息系統(tǒng)中的各種安全設(shè)備上采集安全信息,并初步對這些安全信息進(jìn)行加密和格式化處理,然后將數(shù)據(jù)發(fā)送給安全管理中心。

安全管理中心是水利信息安全管理系統(tǒng)的神經(jīng)中樞,由風(fēng)險(xiǎn)評估模塊,關(guān)聯(lián)分析模塊,策略響應(yīng)模塊,數(shù)據(jù)采集控制模塊等組成,支配著安全管理設(shè)備的互聯(lián)合作。

數(shù)據(jù)庫支撐層包括事件數(shù)據(jù)庫、規(guī)則數(shù)據(jù)庫和策略數(shù)據(jù)庫。其中,事件數(shù)據(jù)庫中存放收集的安全信息;規(guī)則數(shù)據(jù)庫中存放事件關(guān)聯(lián)的規(guī)則;策略數(shù)據(jù)庫中存放系統(tǒng)策略。

被管設(shè)備層指水利信息系統(tǒng)中的各種被管理的安全設(shè)備,防火墻,入侵檢測系統(tǒng),防病毒系統(tǒng)等。

4 關(guān)鍵技術(shù)的實(shí)現(xiàn)

4.1 數(shù)據(jù)采集

數(shù)據(jù)?集指能夠有效、正確、穩(wěn)定的獲取所需要的信息。本系統(tǒng)采用管理者/的數(shù)據(jù)采集方式,在被管理對象(防火墻、IDS等)上安裝數(shù)據(jù)采集Agent。

數(shù)據(jù)采集Agent的主要工作是采集網(wǎng)絡(luò)中個(gè)安全產(chǎn)品的配置情況、事件日志、運(yùn)行狀態(tài)、流量統(tǒng)計(jì),安全信息等數(shù)據(jù),對數(shù)據(jù)進(jìn)行格式化和加密預(yù)處理后上報(bào)給安全管理中心進(jìn)行數(shù)據(jù)處理,同時(shí)接收管理中心的控制命令傳輸給被管設(shè)備。

數(shù)據(jù)采集Agent是水利信息安全管理系統(tǒng)的一部分,是安全管理系統(tǒng)與安全產(chǎn)品之間、安全產(chǎn)品與宿主機(jī)之間、安全產(chǎn)品彼此之間的一個(gè)聯(lián)系紐帶。但它和系統(tǒng)之間在實(shí)現(xiàn)上具有一定的獨(dú)立性。采用Agent結(jié)構(gòu),無論被管安全產(chǎn)品運(yùn)行何種系統(tǒng),只要是開發(fā)了支持該系統(tǒng)的Agent,就可以把此安全產(chǎn)品納入本系統(tǒng)的管理之中,使得網(wǎng)絡(luò)安全管理系統(tǒng)能夠管理運(yùn)行于各種系統(tǒng)的安全設(shè)備,并且可以很方便地隨時(shí)添加或刪除被管部件[4]。

4.2 數(shù)據(jù)處理

在水利信息安全管理系統(tǒng)中,數(shù)據(jù)處理主要對上報(bào)的信息進(jìn)行風(fēng)險(xiǎn)評估,分類,篩選和關(guān)聯(lián)分析等處理,去除數(shù)據(jù)中的冗余或錯(cuò)誤信息,識別威脅,產(chǎn)生應(yīng)對策略。

數(shù)據(jù)處理模塊首先分析采集上報(bào)的數(shù)據(jù),此數(shù)據(jù)是根據(jù)一定規(guī)則進(jìn)行封裝的信息,通過比對信息各字段的值,如在1s內(nèi),某兩個(gè)信息各字段的值相同,則我們認(rèn)為產(chǎn)生了冗余事件則去除其中一個(gè)冗余信息,并根據(jù)字段中安全信息的類型分類存儲到事件數(shù)據(jù)庫中。同時(shí)對此事件進(jìn)行風(fēng)險(xiǎn)評估和關(guān)聯(lián)分析。

本系統(tǒng)用實(shí)時(shí)風(fēng)險(xiǎn)評估技術(shù)分析安全信息[3],動態(tài)地獲得網(wǎng)絡(luò)的各種資源的風(fēng)險(xiǎn)信息,從整體上評估水利信息系統(tǒng)網(wǎng)絡(luò)和主機(jī)的安全狀況,為用戶及時(shí)調(diào)整網(wǎng)絡(luò)安全狀況提供重要的依據(jù)。

本系統(tǒng)采取基于規(guī)則的關(guān)聯(lián)模型[3]對獲得的安全信息進(jìn)行關(guān)聯(lián)分析,用來判斷一系列安全事件是否源于同一個(gè)攻擊行為并完成攻擊場景的重構(gòu),識別出攻擊的類型,攻擊者的身份,得出安全分析報(bào)告。

接著對數(shù)據(jù)進(jìn)行更進(jìn)一步的融合,從整體上分析出安全威脅的真正所在,并對其發(fā)展趨勢進(jìn)行估計(jì),為管理員提供方便直觀的系統(tǒng)安全信息。

4.3 聯(lián)動控制的實(shí)現(xiàn)

本系統(tǒng)聯(lián)動控制是通過聯(lián)動策略實(shí)現(xiàn)的[6]。當(dāng)數(shù)據(jù)經(jīng)過處理后,控制中心判斷需要進(jìn)行安全產(chǎn)品聯(lián)動防御病毒入侵時(shí),控制中心將要求提供給策略響應(yīng)組件,此組件從策略庫中選擇相應(yīng)的聯(lián)動策略并傳遞給相應(yīng)的安全設(shè)備,控制安全設(shè)備的運(yùn)行。

本系統(tǒng)聯(lián)動策略包含一個(gè)規(guī)則集,每條規(guī)則采用ifthen模式.一條規(guī)則對應(yīng)一個(gè)配置動作,每一條聯(lián)動策略可能由一條規(guī)則組成,也可能由多條規(guī)則組成.每一條規(guī)則對應(yīng)安全設(shè)備的唯一的狀態(tài)變遷過程,它包含的每一個(gè)配置動作只包含完成一次狀態(tài)改變的配置[5]。事實(shí)上,只有多條規(guī)則分別作用于不同的設(shè)備才能夠體現(xiàn)設(shè)備的協(xié)同聯(lián)動性。因此只要系統(tǒng)的當(dāng)前狀態(tài)和觸發(fā)條件滿足,多個(gè)不矛盾規(guī)則中的配置動作可以同時(shí)執(zhí)行。

聯(lián)動控制技術(shù)幫助安全體系有效組合并提升性能。例如防火墻與入侵檢測系統(tǒng)聯(lián)動,使防護(hù)體系由靜態(tài)到動態(tài),由平面到立體,提升了防火墻的機(jī)動性和實(shí)時(shí)反應(yīng)能力,也增強(qiáng)了入侵檢測系統(tǒng)的阻斷功能等。

篇3

企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源,對于企業(yè)自身來說具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來,企業(yè)的各項(xiàng)經(jīng)營活動都逐漸開始通過計(jì)算機(jī),網(wǎng)絡(luò)開展,因此,企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時(shí)將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制結(jié)合起來,這是一個(gè)正確的選擇,能夠幫助企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風(fēng)險(xiǎn)控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險(xiǎn)控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險(xiǎn)控制的定義。

企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡單來說是指企業(yè)通過各種手段來保護(hù)企業(yè)硬件和軟件,保護(hù)網(wǎng)絡(luò)存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認(rèn)定通過包括4個(gè)指標(biāo),即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實(shí)現(xiàn)企業(yè)的信息安全管理,其中很重要的一項(xiàng)工作在于保護(hù)信源、信號以及信息。信息安全管理是一項(xiàng)需要綜合學(xué)科知識基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計(jì)算機(jī)技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講,最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。

所以,怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)。企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風(fēng)險(xiǎn),從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容。第一,建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度,明確企業(yè)信息安全管理的責(zé)任分配機(jī)制,明確企業(yè)各個(gè)部門對各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問責(zé)機(jī)制。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo),對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三,企業(yè)要加強(qiáng)對信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識,讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性。第四,將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合,重視企業(yè)信息安全管理工作,通過風(fēng)險(xiǎn)控制對企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對于企業(yè)來說,企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作,因此,必須增強(qiáng)對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計(jì),目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上,對企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險(xiǎn)意識并沒有嚴(yán)格要求。此外,絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒有通過建立相關(guān)管理制度以及問責(zé)機(jī)制對企業(yè)信息安全管理工作人員實(shí)行監(jiān)督,這無疑給別有用心或者立場不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計(jì)算機(jī)技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過關(guān),一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對企業(yè)信息缺乏保護(hù),另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時(shí)更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn),企業(yè)信息安全管理的知識也并沒有及時(shí)更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂,很多服務(wù)器、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問題。作為一個(gè)行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面。第一,企業(yè)員工對于信息安全管理的認(rèn)識嚴(yán)重不足,對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒有及時(shí)更新,使用,甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān),認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動機(jī)制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段

1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu),它的設(shè)計(jì)初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來實(shí)現(xiàn),而安全服務(wù)又是由各種安全機(jī)制來保障的。所以,安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個(gè)部分:響應(yīng)、安全策略、檢測、防護(hù)。安全策略是信息安全的重點(diǎn),為安全管理提供管理途徑和保障手段。因此,要想實(shí)施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程,必須制定一個(gè)企業(yè)的安全模式。在安全策略的指導(dǎo)下實(shí)施所有的檢測、防護(hù)、響應(yīng),防護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的,比如有防火墻、訪問控制、加密、認(rèn)證等方法,檢測是動態(tài)響應(yīng)的判斷依據(jù),同時(shí)也是有力落實(shí)安全策略的實(shí)施工具,通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為,可以檢測出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點(diǎn)。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險(xiǎn)潛在性的最有效的辦法。

3.HTP模型

HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強(qiáng)調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強(qiáng)調(diào)動態(tài)管理,動態(tài)監(jiān)督,對于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理,在實(shí)際工作中,通過HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個(gè)全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個(gè)子系統(tǒng),明確實(shí)施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合,實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性。

(2)成立一個(gè)中央數(shù)據(jù)庫,整合分布式數(shù)據(jù)庫里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫,實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用。

(3)設(shè)計(jì)優(yōu)良的人機(jī)界面,通過對企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用,為企業(yè)管理階層人員、各級領(lǐng)導(dǎo)及時(shí)提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。

(4)簡化企業(yè)內(nèi)部的信息傳輸通道,對應(yīng)用程序和數(shù)據(jù)庫進(jìn)行程序化設(shè)計(jì),加強(qiáng)對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系

(1)確定信息安全風(fēng)險(xiǎn)評估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過程中,首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度,才能順利通過對風(fēng)險(xiǎn)控制的結(jié)果的定量考核,檢測企業(yè)信息安全管理的風(fēng)險(xiǎn),定性定量地企業(yè)信息安全管理工作進(jìn)行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法。

(2)確定信息安全風(fēng)險(xiǎn)評估的范圍

不同企業(yè)對于風(fēng)險(xiǎn)的承受能力是有區(qū)別的,因此,對于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險(xiǎn)控制辦法,其中,不同企業(yè)對于能夠承受的信息安全風(fēng)范圍有所不同,企業(yè)的信息安全風(fēng)險(xiǎn)承受范圍需要根據(jù)企業(yè)的實(shí)際能力來制定。不僅如此,企業(yè)的信息安全風(fēng)險(xiǎn)評估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實(shí)際經(jīng)營情況變化采取有針對性的辦法。

篇4

隨著現(xiàn)代化無紙辦公要求的提高,相應(yīng)的也就要求了現(xiàn)在企業(yè)辦公離不開網(wǎng)絡(luò),便于辦公的企業(yè)都自行建立了自己的企業(yè)內(nèi)網(wǎng),“企業(yè)自身處內(nèi)網(wǎng)環(huán)境中,黑客難以入侵。但實(shí)際上,無線網(wǎng)絡(luò)、眾多智能設(shè)備(如手機(jī)、Pad等)為黑客提供了更多便利,而企業(yè)所信任的防火墻在黑客面前形同虛設(shè)。”知名企業(yè)信息安全顧問、國家企業(yè)信息安全最高認(rèn)證(CISP)金牌講師張勝生在講座中對目前國內(nèi)企業(yè)普遍缺乏企業(yè)信息安全專業(yè)團(tuán)隊(duì),漠視企業(yè)信息安全的現(xiàn)狀表示擔(dān)憂。

2013年中央電視臺播出的“棱鏡門 ”一時(shí)鬧的沸沸揚(yáng)揚(yáng),棱鏡計(jì)劃(PRISM)是一項(xiàng)由美國國家安全局(NSA)自2007年小布什時(shí)期起開始實(shí)施的絕密電子監(jiān)聽計(jì)劃。美國情報(bào)機(jī)構(gòu)一直在九家美國互聯(lián)網(wǎng)公司中進(jìn)行數(shù)據(jù)挖掘工作,從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個(gè)人的聯(lián)系方式與行動。監(jiān)控的類型有10類:信息電郵、即時(shí)消息、視頻、照片、存儲數(shù)據(jù)、語音聊天、文件傳輸、視頻會議、登錄時(shí)間、社交網(wǎng)絡(luò)資料的細(xì)節(jié),其中包括兩個(gè)秘密監(jiān)視項(xiàng)目,一是監(jiān)視、監(jiān)聽民眾電話的通話記錄,二是監(jiān)視民眾的網(wǎng)絡(luò)活動。

該類事件也反應(yīng)了關(guān)于企業(yè)及個(gè)人企業(yè)信息安全的問題。

1 企業(yè)信息安全管理基礎(chǔ)

1.1 企業(yè)信息安全事件分析

統(tǒng)計(jì)結(jié)果表明,在所有企業(yè)信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成的,70%-80%是由于內(nèi)部人員的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡(luò)安全的全貌就會發(fā)現(xiàn)安全問題實(shí)際上都是人的問題,單憑技術(shù)是無法實(shí)現(xiàn)從“最大威脅”到“最可靠防線”轉(zhuǎn)變的。

1.2 企業(yè)信息安全管理的需求

企業(yè)信息安全取決于兩個(gè)因素:技術(shù)和管理。安全技術(shù)是企業(yè)信息安全的構(gòu)筑材料,安全管理是真正的粘合劑和催化劑,企業(yè)信息安全管理是預(yù)防、阻止和減少企業(yè)信息安全事件發(fā)生的重要保障。

1.3 信息安全保障的內(nèi)涵

信息安全保障要綜合技術(shù)、管理、工程和人。應(yīng)融入信息系統(tǒng)生命周期的全過程,目的不僅僅是保障信息系統(tǒng)本身,更應(yīng)該是通過保障信息系統(tǒng),從而保障運(yùn)行于信息系統(tǒng)之上的業(yè)務(wù)系統(tǒng)、保障組織機(jī)構(gòu)。信息安全保障不僅僅是孤立的自身的問題,更應(yīng)該是一個(gè)社會化的、需要各方參與的工作,信息安全保障是主觀和客觀的結(jié)合。

2 企業(yè)信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)組成要素

實(shí)現(xiàn)企業(yè)信息安全系統(tǒng)結(jié)構(gòu)的安全,要從多方面考慮,通常定義包括安全屬性、系統(tǒng)組成、安全策略、安全機(jī)制等4個(gè)方面。在每一個(gè)方面中,還可以繼續(xù)劃分多個(gè)層次;對于一個(gè)給定的層次,包含著多種安全要素。

2.1 安全屬性

安全本身是對信息系統(tǒng)一種屬性要求,信息系統(tǒng)通過安全服務(wù)來實(shí)現(xiàn)安全性?;镜陌踩?wù)包括標(biāo)識與鑒別、保密性、完整性、可用性等。安全服務(wù)和安全機(jī)制的對應(yīng)關(guān)系如下:5大類安全服務(wù):身份鑒別、訪問控制、數(shù)據(jù)保密、數(shù)據(jù)完整性、不可否認(rèn)性及提供這些服務(wù)的8類安全機(jī)制及其相應(yīng)的OSI安全管理等對應(yīng)OSI模型的7層協(xié)議中的不同層,以實(shí)現(xiàn)端系統(tǒng)企業(yè)信息安全傳送的通信通路。這樣從安全性到安全服務(wù)機(jī)制到具體安全技術(shù)手段形成了安全屬性的不同層次。

2.2 系統(tǒng)組成

系統(tǒng)組成描述信息系統(tǒng)的組成要素。對于信息系統(tǒng)的組成劃分,有不同的方法。可以分為硬件和軟件,在硬件和軟件中又可以進(jìn)一步地劃分。對于分布的信息系統(tǒng),可以將信息系統(tǒng)資源分為用戶單元和網(wǎng)絡(luò)單元,即將信息系統(tǒng)的組成要素分為本地計(jì)算環(huán)境和網(wǎng)絡(luò),以及計(jì)算環(huán)境邊界。

2.3 安全策略

在安全系統(tǒng)結(jié)構(gòu)中,安全策略指用于限定一個(gè)系統(tǒng)、實(shí)體或?qū)ο筮M(jìn)行安全相關(guān)操作的規(guī)則。即要表明在安全范圍內(nèi)什么是允許的,什么是不允許的。直接體現(xiàn)了安全需求,并且也有面向不同層次、視圖及原理的安全策略。其描述內(nèi)容和形式也各不相同。對于抽象型和一般型安全系統(tǒng)結(jié)構(gòu)而言,安全策略主要是對加密、訪問控制、多級安全等策略的通用規(guī)定,不涉及具體的軟硬件實(shí)現(xiàn);而對于具體型安全系統(tǒng)結(jié)構(gòu),其安全策略則是要對實(shí)現(xiàn)系統(tǒng)安全功能的主體和客體特性進(jìn)行具體的標(biāo)識和說明,亦即要描述允許或禁止系統(tǒng)和用戶何時(shí)執(zhí)行哪些動作,并要能反射到軟硬件安全組件的具體配置,如,網(wǎng)絡(luò)操作系統(tǒng)的賬號、用戶權(quán)限等。

2.4 安全機(jī)制

安全機(jī)制是實(shí)現(xiàn)信息系統(tǒng)安全需求及安全策略的各種措施,具體可以表現(xiàn)為所需要的安全標(biāo)準(zhǔn)、安全?f議、安全技術(shù)、安全單元等。對于不同層次、不同視圖及不同原理的安全系統(tǒng)結(jié)構(gòu),安全機(jī)制的重點(diǎn)也有所不同。例如:OSI安全系統(tǒng)結(jié)構(gòu)中建議采用7種安全機(jī)制。而對于特定系統(tǒng)的安全系統(tǒng)結(jié)構(gòu),則要進(jìn)一步說明有關(guān)安全機(jī)制的具體實(shí)現(xiàn)技術(shù),如認(rèn)證機(jī)制的實(shí)現(xiàn)可以有口令、密碼技術(shù)及實(shí)體特征鑒別等方法。

3 企業(yè)信息安全攻防技術(shù)

3.1 惡意代碼及網(wǎng)絡(luò)安全攻防

3.1.1 惡意代碼定義

惡意代碼(Unwanted Code,Malicious Software,Malware,Malicous code)是指沒有作用卻會帶來危險(xiǎn)的代碼。

惡意代碼類型:二進(jìn)制代碼、二進(jìn)制文件、腳本語言、宏語言。

3.1.2 惡意代碼傳播方式

移動存儲、文件傳播、網(wǎng)絡(luò)傳播、網(wǎng)頁、電子郵件、漏洞、共享、即時(shí)通訊、軟件捆綁。

3.2 惡意代碼的防治

增強(qiáng)安全策略與意識:減少漏洞、補(bǔ)丁管理、主機(jī)加固、減輕威脅、防病毒軟件、間諜軟件檢測和刪除工具、入侵檢測/入侵防御系統(tǒng)、防火墻、路由器、應(yīng)用安全設(shè)置等。

3.3 惡意代碼檢測技術(shù)

3.3.1 特征碼掃描

工作機(jī)制:特征匹配、病毒庫(惡意代碼特征庫)、掃描(特征匹配過程)、優(yōu)勢、準(zhǔn)確(誤報(bào)率低)、易于管理不足、效率問題(特征庫不斷龐大、依賴廠商)、滯后(先有病毒后有特征庫,需要更新特征庫)。

3.3.2 惡意代碼檢測技術(shù)-沙箱技術(shù)

工作機(jī)制:將惡意代碼放入虛擬機(jī)中執(zhí)行,其執(zhí)行的所有操作都被虛擬化重定向,不改變實(shí)際操作系統(tǒng)優(yōu)勢。

優(yōu)點(diǎn):能較好的解決變形代碼的檢測。

3.3.3 惡意代碼檢測技術(shù)-行為檢測

工作機(jī)制:基于統(tǒng)計(jì)數(shù)據(jù)、惡意代碼行為有哪些、行為符合度。

優(yōu)勢:能檢測到未知病毒。

不足:誤報(bào)率高。

難點(diǎn):病毒不可判定原則。

3.3.4 惡意代碼清除技術(shù)

惡意代碼清除技術(shù)有:

(1)感染引導(dǎo)區(qū)型、修復(fù)/重建引導(dǎo)區(qū)。(2)文件感染型、附著型:病毒行為逆向還原、替換型:備份還原。(3)獨(dú)立型:獨(dú)立可執(zhí)行程序:終止進(jìn)程、刪除。(4)獨(dú)立依附型:內(nèi)存退出、刪除。(5)嵌入型。(6)更新軟件或系統(tǒng)。(7)重置系統(tǒng)。

4 企業(yè)信息安全攻防技術(shù)常見的手段和工具

4.1 攻擊的過程

4.1.1 攻擊的過程

信息安全??中攻擊方式有:信息收集、目標(biāo)分析、實(shí)施攻擊,留后門方便再次進(jìn)入、打掃戰(zhàn)場,清理入侵記錄。

針對以上提到的行為了解其原理并考慮應(yīng)對措施網(wǎng)絡(luò)攻擊的方式:(1)主動攻擊:掃描、滲透、拒絕服務(wù)等。(2)被動攻擊:嗅探、釣魚等。

攻擊過程的一些術(shù)語:后門、0-day、提權(quán)。

4.1.2 信息收集攻擊的第一步

信息收集-攻擊的第一步:獲取攻擊目標(biāo)資料,網(wǎng)絡(luò)信息,主機(jī)信息,應(yīng)用部署信息,漏洞信息,其他任何有價(jià)值的信息,分析目標(biāo)信息、尋找攻擊途徑,排除迷惑信息,可被利用的漏洞,利用工具。

4.2 收集哪些信息

目標(biāo)系統(tǒng)的信息系統(tǒng)相關(guān)資料:域名、網(wǎng)絡(luò)拓?fù)洹⒉僮飨到y(tǒng)、應(yīng)用軟件、相關(guān)脆弱性、目標(biāo)系統(tǒng)的組織相關(guān)資料、組織架構(gòu)及關(guān)聯(lián)組織、地理位置細(xì)節(jié)、電話號碼、郵件等聯(lián)系方式、近期重大事件、員工簡歷、其他可能令攻擊者感興趣的任何信息。

4.2.1 信息收集的技術(shù)

(1)公開信息收集(媒體、搜索引擎、廣告等)。(2)域名及IP信息收集(whois、nslookup等)。(3)網(wǎng)絡(luò)結(jié)構(gòu)探測(Ping、tracert等)。(4)系統(tǒng)及應(yīng)用信息收集(端口掃描、旗標(biāo)、協(xié)議指紋等)。(5)脆弱性信息收集(nessus、sss等)。

4.2.2 域名信息收集

在維護(hù)企業(yè)信息安全的過程中需要搜集域名信息:(1)NSlookup域名解析查詢。(2)Whois 是一個(gè)標(biāo)準(zhǔn)服務(wù),可以用來查詢域名是否被注冊以及注冊的詳細(xì)資料 Whois 可以查詢到的信息。(3)域名所有者。(4)域名及IP地址對應(yīng)信息。(5)聯(lián)系方式。(6)域名注冊日期。(7)域名到期日期。(8)域名所使用的 DNS Servers。

4.3 工具介紹

4.3.1 檢索工具

基礎(chǔ)檢索工具:(1)TFN2K。(2)Trinoo。

4.3.2 電子欺騙的類型

(1)IP欺騙(IP Spoof)。(2)TCP會話劫持(TCP Hijack)。(3)ARP欺騙(ARP Spoof)。(4)DNS欺騙(DNS spoof)。(5)路由欺騙(ICMP重定向報(bào)文欺騙、RIP路由欺騙、源徑路由欺騙)。

4.3.3 利用應(yīng)用腳本開發(fā)的缺陷-SQL注入

SQL注入原理:SQL注入(SQL Injection):程序員在編寫代碼的時(shí)候,沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼,根據(jù)程序返回的結(jié)果,獲得某些他想得知的數(shù)據(jù)或進(jìn)行數(shù)據(jù)庫操作。

4.3.4 SQL注入防御

防御的對象:所有外部傳入數(shù)據(jù)、用戶的輸入、提交的URL請求中、參數(shù)部分、從cookie中得到的數(shù)據(jù)、其他系統(tǒng)傳入的數(shù)據(jù)。

防御的方法:

白名單:限制傳遞數(shù)據(jù)的格式。

黑名單:過濾特殊字串:update、insert、delete等。

開發(fā)時(shí)過濾特殊字符:單引號、雙引號、斜杠、反斜杠、冒號、空字符等的字符、部署防SQL注入系統(tǒng)或腳本。

篇5

【關(guān)鍵詞】信息安全 管理 控制 構(gòu)建

1 企業(yè)信息安全的現(xiàn)狀

隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備,但信息安全防護(hù)理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救,導(dǎo)致了企業(yè)信息防范的主動性和意識不高,信息安全防護(hù)水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。

2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則

企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:

2.1 建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范,來保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善。基本企業(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等。

2.2 提高企業(yè)員工自身的信息安全防范意識

在企業(yè)信息化系統(tǒng)安全管理中,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí),絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實(shí)施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運(yùn)行,保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進(jìn)行逐次的安全培訓(xùn),強(qiáng)化企業(yè)員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求。

2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)

當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí),就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來支撐整個(gè)信息安全防護(hù)體系。對于安全防護(hù)技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據(jù)員工級別分配人員訪問權(quán)限,達(dá)到企業(yè)敏感信息的安全保障。

3 企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設(shè)架構(gòu),在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護(hù)體系時(shí),我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:

3.1 實(shí)施終端安全,規(guī)范終端用戶行為

在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前,企業(yè)員工對自己的個(gè)人行為不規(guī)范,造成了員工可以通過很多方式實(shí)現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為,我們在建設(shè)安全防護(hù)體系時(shí),僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺前,就對用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進(jìn)行審計(jì),使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶提升企業(yè)的防護(hù)水平。

3.2 建設(shè)安全完善的VPN接入平臺

企業(yè)在信息化建設(shè)中,考慮總部和分支機(jī)構(gòu)的信息化需要,必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接,這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認(rèn)證識別。其實(shí)我們在設(shè)備采購時(shí),可以要求設(shè)備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護(hù),提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí),要面對多個(gè)部門和分支結(jié)構(gòu),合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層;數(shù)據(jù)鏈路層;網(wǎng)絡(luò)層;傳輸層;會話層;表示層;應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下,根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險(xiǎn)程度,做出適合企業(yè)信息安全的防護(hù)策略和訪問控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù),真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)。

3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理

為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系,重要的優(yōu)勢就是能實(shí)現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理,做到對整個(gè)網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時(shí)會產(chǎn)生大量的安全日志,如果單靠相關(guān)人員的識別日志既費(fèi)時(shí)效率又低。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí),企業(yè)管理員很難實(shí)現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí),就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問控制和安全策略實(shí)現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。

4 結(jié)束語

信息安全的主要內(nèi)容就是保護(hù)企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實(shí)施信息安全防護(hù)過程中是一個(gè)長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護(hù)規(guī)劃,實(shí)施過程中根據(jù)不斷出現(xiàn)的情況及時(shí)調(diào)整安全策略和訪問控制,保證備份數(shù)據(jù)的安全性可靠性。同時(shí)全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護(hù)管理規(guī)定,這樣才能為企業(yè)的信息安全提供生命力和主動性,真正為企業(yè)的核心業(yè)務(wù)提供安全保障。

參考文獻(xiàn)

[1]郝宏志.企業(yè)信息管理師[M].北京:機(jī)械工業(yè)出版社,2005.

[2]蔣培靜.歐美國家如何培養(yǎng)網(wǎng)絡(luò)安全意識[J].中國教育網(wǎng)絡(luò),2008(7):48-49.

作者簡介

常勝(1982-),男,回族,天津市人。現(xiàn)為中國市政工程華北設(shè)計(jì)研究總院有限公司工程師。研究方向?yàn)榫W(wǎng)絡(luò)安全與服務(wù)器規(guī)劃部署。

篇6

網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)主要是通過互聯(lián)網(wǎng)絡(luò)技術(shù)的現(xiàn)代企事業(yè)會計(jì)信息系統(tǒng),采用聯(lián)機(jī)實(shí)時(shí)操作,從而實(shí)現(xiàn)多元化報(bào)告,并能形成主動提供與主動獲取相結(jié)合的人機(jī)交互信息使用綜合體。網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)的發(fā)展能夠?yàn)闀?jì)信息使用者提供實(shí)施經(jīng)濟(jì)管理與決策的有效準(zhǔn)確信息。而在網(wǎng)絡(luò)會計(jì)時(shí)代,網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)作為會計(jì)信息媒介,承載著會計(jì)信息的存儲與傳遞功能,而網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)的信息安全問題也成為網(wǎng)絡(luò)會計(jì)信息數(shù)據(jù)的安全問題。網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)以互聯(lián)網(wǎng)技術(shù)作為核心,也受到網(wǎng)絡(luò)開放性與共享性的影響,網(wǎng)絡(luò)系統(tǒng)的安全容易受到病毒、黑客的威脅,因此在網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)的應(yīng)用過程中,應(yīng)當(dāng)明確認(rèn)識到網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)的信息安全隱患,將信息載體由紙介質(zhì)轉(zhuǎn)變?yōu)榇判越橘|(zhì),需要提升磁性介質(zhì)的要求和載體信息的依賴性,在檔案保存和信息存儲過程中具有較高風(fēng)險(xiǎn)。

二、網(wǎng)絡(luò)會計(jì)信息系統(tǒng)安全存在的問題

1.黑客安全隱患。在全面開放的網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)會計(jì)信息系統(tǒng)也存在多種安全隱患,病毒和黑客攻擊的安全隱患,由于互聯(lián)網(wǎng)的開放特征,網(wǎng)絡(luò)會計(jì)信息系統(tǒng)通過互聯(lián)網(wǎng)的計(jì)算機(jī)系統(tǒng)可以共享信息資源,也給非善意訪問者提供了方便。黑客攻擊是互聯(lián)網(wǎng)系統(tǒng)的重要威脅,重要信息被盜取和網(wǎng)站的崩潰,都會對網(wǎng)絡(luò)會計(jì)信息系統(tǒng)造成嚴(yán)重影響。而計(jì)算機(jī)病毒也會給網(wǎng)絡(luò)會計(jì)信息系統(tǒng)帶來重大威脅,從原始的木馬程序到后來的CIH等病毒的肆虐,病毒制造技術(shù)發(fā)展的同時(shí),也使得病毒具備了更大的破壞力,網(wǎng)絡(luò)軟件自身程序的不穩(wěn)定因素也會為網(wǎng)絡(luò)系統(tǒng)帶來眾多隱患。

2.信息安全隱患。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,整個(gè)社會的經(jīng)濟(jì)生產(chǎn)結(jié)構(gòu)和勞動結(jié)構(gòu)都受到網(wǎng)絡(luò)技術(shù)的影響作用,在企事業(yè)管理模式方面,也由傳統(tǒng)的的企事業(yè)管理模式和財(cái)務(wù)管理模式與網(wǎng)絡(luò)技術(shù)相結(jié)合,網(wǎng)絡(luò)會計(jì)信息安全系統(tǒng)便是傳統(tǒng)財(cái)務(wù)管理模式與網(wǎng)絡(luò)技術(shù)的結(jié)合,通過互聯(lián)網(wǎng)技術(shù)的開放性和共享性,實(shí)現(xiàn)在線財(cái)務(wù)管理、遠(yuǎn)程財(cái)務(wù)處理、網(wǎng)上財(cái)務(wù)查詢和網(wǎng)上支付等功能,并最終實(shí)現(xiàn)企事業(yè)資金與信息的高度統(tǒng)一,有利于企事業(yè)管理者實(shí)施經(jīng)濟(jì)管理與決策的有效準(zhǔn)確信息。財(cái)務(wù)信息是反映企事業(yè)財(cái)務(wù)經(jīng)營成果和財(cái)務(wù)狀況的重要依據(jù),設(shè)計(jì)到企事業(yè)內(nèi)部上機(jī)密的財(cái)務(wù)信息若是遭到泄露、破壞和意識,會對企事業(yè)財(cái)務(wù)管理造成嚴(yán)重影響,不利于企事業(yè)財(cái)務(wù)管理工作的正常運(yùn)行。

3.檔案安全隱患。網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的財(cái)務(wù)實(shí)施需要依靠相應(yīng)的財(cái)務(wù)軟件才能完成,而這些財(cái)務(wù)軟件主要包括單機(jī)版、局域網(wǎng)絡(luò)版財(cái)務(wù)軟件和硬件系統(tǒng)兩個(gè)方面,而財(cái)務(wù)軟件的全面升級,也會導(dǎo)致這些網(wǎng)絡(luò)財(cái)務(wù)軟件不一定能夠兼容其他財(cái)務(wù)軟件,由于數(shù)據(jù)格式問題、數(shù)據(jù)庫問題、接口問題等原因,以前的財(cái)務(wù)信息無法被錄入網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)中。而會計(jì)檔案更是無法兼容,導(dǎo)致新的網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)無法查詢原有的財(cái)務(wù)信息,給會計(jì)檔案工作帶來了失效風(fēng)險(xiǎn)。

4.內(nèi)部安全隱患。傳統(tǒng)的會計(jì)系統(tǒng)對于業(yè)務(wù)活動的使用授權(quán)標(biāo)準(zhǔn)具有較高合法性、職責(zé)性和正確性的要求,而網(wǎng)絡(luò)財(cái)務(wù)管理工作中,財(cái)務(wù)信息的存儲和處理集中在互聯(lián)網(wǎng)絡(luò),許多的會計(jì)業(yè)務(wù)相互交叉,而互聯(lián)網(wǎng)絡(luò)信息資源的共享,在加大財(cái)務(wù)信息復(fù)雜程度的同時(shí),也加快了會計(jì)業(yè)務(wù)的交叉速度,導(dǎo)致傳統(tǒng)會計(jì)系統(tǒng)中某些內(nèi)部控制機(jī)制失效。

5.人才安全隱患。企事業(yè)網(wǎng)絡(luò)會計(jì)信息系統(tǒng)實(shí)施之后,需要高技術(shù)、高層次的復(fù)合會計(jì)人才的運(yùn)作與支持,否則企事業(yè)網(wǎng)絡(luò)會計(jì)信息系統(tǒng)無法充分發(fā)揮其功效,網(wǎng)絡(luò)財(cái)務(wù)與電子商務(wù)的發(fā)展,也暴露出這部分人才的欠缺現(xiàn)狀,如果企事業(yè)在沒有找到合適人才時(shí)就盲目實(shí)施網(wǎng)絡(luò)會計(jì)信息系統(tǒng)財(cái)務(wù)工作,會使網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的安全問題更為突出。

三、網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的安全管理

1.安全策略。企事業(yè)網(wǎng)絡(luò)會計(jì)信息系統(tǒng)財(cái)務(wù)工作的加強(qiáng),需要建立相應(yīng)的安全策略,從而降低網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的安全隱患,保障企事業(yè)財(cái)務(wù)工作的開展。而安全則略主要是企事業(yè)設(shè)立的相應(yīng)制度規(guī)范,對加強(qiáng)對網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的管理工作方面,企事業(yè)的全體人員都應(yīng)當(dāng)自覺遵守策略中的規(guī)定,更有效的管理網(wǎng)絡(luò)會計(jì)信息系統(tǒng),保證網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的正常運(yùn)行。并且企事業(yè)安全策略在制定過程中一定要明確對企事業(yè)工作人員的職責(zé)進(jìn)行規(guī)劃,將網(wǎng)絡(luò)會計(jì)信息系統(tǒng)中的各類信息資源進(jìn)行合理的保護(hù),并明確指出企事業(yè)所要保護(hù)信息的目標(biāo),讓企事業(yè)網(wǎng)絡(luò)會計(jì)信息系統(tǒng)安全策略能夠與企事業(yè)人員的日常操作相結(jié)合,提升企事業(yè)人員對網(wǎng)絡(luò)會計(jì)信息系統(tǒng)安全問題的重視程度。

篇7

1計(jì)算機(jī)網(wǎng)絡(luò)信息安全

1.1計(jì)算機(jī)網(wǎng)絡(luò)信息安全概述

所謂計(jì)算機(jī)網(wǎng)絡(luò)信息安全,即通過網(wǎng)絡(luò)管理的有關(guān)技術(shù),對網(wǎng)絡(luò)中信息傳輸過程中遭受的偶然、故意非授權(quán)的信息破壞、更改以及泄露等行為進(jìn)行防范,進(jìn)而對信息自身的完整性、有效性與保密性進(jìn)行保證的技術(shù)性行為。而ISO對計(jì)算機(jī)網(wǎng)絡(luò)安全所給出的定義,則是對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中所含數(shù)據(jù)資源、軟件以及硬件,不受偶然等原因造成的信息破壞、泄露以及更改,保證網(wǎng)絡(luò)系統(tǒng)可以持續(xù)正常化運(yùn)行,使網(wǎng)絡(luò)服務(wù)能夠得以正常有序的運(yùn)行。計(jì)算機(jī)網(wǎng)絡(luò)信息安全所涉及的技術(shù)內(nèi)容較為廣泛,其中不僅包括了計(jì)算機(jī)以及網(wǎng)絡(luò)技術(shù)、通信技術(shù),也涵蓋了密碼、安全以及應(yīng)用數(shù)學(xué)等眾多學(xué)科的綜合性內(nèi)容。保證計(jì)算機(jī)的網(wǎng)絡(luò)信息安全,重點(diǎn)要從以下幾個(gè)方面著手進(jìn)行,即物理安全與邏輯安全。其中物理安全即系統(tǒng)設(shè)備與相關(guān)設(shè)備的物理保護(hù),以免數(shù)據(jù)等破壞或丟失;而邏輯安全即包含了信息自身的完整性以及可用性2點(diǎn)內(nèi)容。

1.2當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)信息安全狀態(tài)

1)物理安全。在物理安全方面造成問題的主要原因主要有以下幾方面:空氣溫度與濕度、塵土等一些環(huán)境因素導(dǎo)致的系統(tǒng)、設(shè)備、電源故障;電磁干擾以及線路截獲等因素。在計(jì)算機(jī)網(wǎng)絡(luò)安全中物理安全方面的問題較為少見,近年來,有關(guān)于物理安全問題最為經(jīng)典的案例為2006年由于臺灣海峽地震而造成的雅虎等一些國際網(wǎng)站無法訪問,事件發(fā)生之后,也為一些開展跨國業(yè)務(wù)的企業(yè)帶來了極大的影響,由于這一類單位以網(wǎng)絡(luò)的形式開展工作,在出現(xiàn)物理安全問題之后,若解決問題的效率缺失,那么對于企業(yè)所造成的經(jīng)濟(jì)損失也會越來越大。

2)信息安全。一般情況下信息安全問題主要是人為因素導(dǎo)致的,較為常見的形式便是運(yùn)用竊聽、篡改等途徑對傳輸?shù)脑嘉募M(jìn)行更改,進(jìn)而導(dǎo)致文件數(shù)據(jù)丟失與泄露。除此之外,也有一種較為常見的信息安全破壞形式,主要是利用網(wǎng)絡(luò)病毒與木馬的形式,對用戶銀行賬號、密碼等個(gè)人信息進(jìn)行竊取,以此獲取經(jīng)濟(jì)利益。一般而言,信息安全問題體現(xiàn)為以下幾個(gè)方面:(1)病毒威脅。這種安全威脅較為常見,現(xiàn)如今,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,病毒種類也愈發(fā)智能,其自身所帶有的破壞性、傳播速度也在逐漸增加,甚至可以在頃刻之間導(dǎo)致計(jì)算機(jī)癱瘓。與此同時(shí),在病毒的處理上,也需要一定的時(shí)間;(2)黑客威脅。所謂黑客即精通計(jì)算機(jī)技術(shù),同時(shí)運(yùn)用熟練的網(wǎng)絡(luò)技術(shù)竊取他人數(shù)據(jù)信息,并從中獲利的人群,而黑客攻擊主要涵蓋了網(wǎng)絡(luò)監(jiān)聽、密碼破解以及系統(tǒng)入侵等。

2影響計(jì)算機(jī)網(wǎng)絡(luò)信息安全因素

2.1網(wǎng)絡(luò)外部與內(nèi)部攻擊

合理運(yùn)用計(jì)算機(jī)能為人們的生活與工作提供一定的便捷,計(jì)算機(jī)網(wǎng)絡(luò)的安全措施也成為保證其安全的主要措施,若計(jì)算機(jī)網(wǎng)絡(luò)中缺乏有效的安全措施,則會帶來網(wǎng)絡(luò)黑客的攻擊,導(dǎo)致局域網(wǎng)出現(xiàn)破壞甚至于內(nèi)部資料泄露等現(xiàn)象,例如用戶的硬盤數(shù)據(jù)遭到泄露與修改。一些網(wǎng)絡(luò)中,黑客會利用選擇性的技術(shù)手段對網(wǎng)絡(luò)內(nèi)部環(huán)境進(jìn)行破壞,對網(wǎng)絡(luò)的正常運(yùn)行造成極為嚴(yán)重的影響。除此之外,黑客也會運(yùn)用一定的偽裝技術(shù)進(jìn)入用戶的網(wǎng)絡(luò)中,竊取所需資源與信息,對計(jì)算機(jī)中的軟件進(jìn)行破壞,并造成嚴(yán)重的網(wǎng)絡(luò)癱瘓。在網(wǎng)絡(luò)內(nèi)部,也有一些非法用戶運(yùn)用合法用戶身份在其他的合法網(wǎng)站中,對其正常運(yùn)行造成破壞,進(jìn)而影響網(wǎng)絡(luò)安全。

2.2計(jì)算機(jī)病毒

在計(jì)算機(jī)技術(shù)飛速發(fā)展的環(huán)境下,計(jì)算機(jī)病毒種類也在進(jìn)行更新,現(xiàn)行計(jì)算機(jī)病毒的種類豐富,且難以辨認(rèn),若無針對性措施進(jìn)行解決,必然會帶來病毒入侵。網(wǎng)絡(luò)病毒主要通過郵件以及網(wǎng)頁登陸的形式入侵用戶系統(tǒng),并對用戶計(jì)算機(jī)系統(tǒng)以及文件造成破壞。網(wǎng)絡(luò)病毒自身最為顯著的功能便是自啟,利用復(fù)制與蔓延的形式隱藏在計(jì)算機(jī)的核心部位,對計(jì)算機(jī)的核心系統(tǒng)以及重要信息實(shí)施破壞,若計(jì)算機(jī)遭到病毒入侵,病毒則會利用某一程序控制計(jì)算機(jī),使硬件與數(shù)據(jù)受到破壞,并對計(jì)算機(jī)的正常運(yùn)行造成影響。若計(jì)算機(jī)遭到病毒入侵,那么將會對系統(tǒng)中的硬件與數(shù)據(jù)造成一定的破壞,并對數(shù)據(jù)的正常傳輸造成限制,嚴(yán)重的話也會導(dǎo)致網(wǎng)絡(luò)癱瘓,為用戶帶來一定的損失。

2.3機(jī)密文件傳輸漏洞

因?yàn)榻陙砀鞔笃髽I(yè)在工作的過程中均將網(wǎng)絡(luò)作為基礎(chǔ),并且在企業(yè)的網(wǎng)絡(luò)中也蘊(yùn)藏了極其重要的機(jī)密文件,為此,對網(wǎng)絡(luò)運(yùn)行環(huán)境的安全進(jìn)行保證十分重要。一般造成機(jī)密文件泄露等問題,主要出現(xiàn)在信息儲存的過程中,為企業(yè)以及用戶造成一定的損失,甚至?xí)ξ覈木W(wǎng)絡(luò)安全帶來一定的影響。在進(jìn)行網(wǎng)絡(luò)機(jī)密文件傳輸?shù)倪^程中,難免要經(jīng)歷諸多流程,進(jìn)行傳輸時(shí)也會利用不同外節(jié)點(diǎn)進(jìn)行查證,這也體現(xiàn)了一定的困難性,傳輸時(shí)極有可能導(dǎo)致入侵者進(jìn)入系統(tǒng),竊取數(shù)據(jù)信息,或是對信息進(jìn)行篡改,以此對網(wǎng)絡(luò)傳輸帶來一定程度的影響,也為傳輸內(nèi)容的安全與可靠帶來了限制。

2.4系統(tǒng)漏洞

近年來,我國的網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)了大的突破,然而,針對網(wǎng)絡(luò)安全技術(shù)而言,依然存在技術(shù)方面的限制,導(dǎo)致網(wǎng)絡(luò)系統(tǒng)存在漏洞。計(jì)算機(jī)網(wǎng)絡(luò)主要由硬件、芯片以及操作系統(tǒng)幾部分構(gòu)成,因?yàn)榧夹g(shù)方面的限制,一些元件均需要在國外進(jìn)行購買,例如CPU一般由美國制造,我國的網(wǎng)絡(luò)運(yùn)行操作系統(tǒng)多數(shù)均是在國外購買,然而操作系統(tǒng)本身因?yàn)榇嬖诼┒?,也為?jì)算機(jī)系統(tǒng)帶來了極大的安全隱患,系統(tǒng)在運(yùn)行過程中若操作不當(dāng),極有可能造成隱性通道與病毒,以此形成計(jì)算機(jī)漏洞,降低了計(jì)算機(jī)網(wǎng)絡(luò)的安全性能。

2.5信息安全管理

網(wǎng)絡(luò)安全較低以及安全管理也會對計(jì)算機(jī)網(wǎng)絡(luò)信息安全性帶來一定程度的影響,盡管我國相關(guān)部門已經(jīng)基于網(wǎng)絡(luò)安全相繼出臺了一系列法律法規(guī),然而其實(shí)施效果仍無法滿足網(wǎng)絡(luò)極速發(fā)展的需求。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的管理制度缺乏完善、缺乏專業(yè)的管理人員等原因都會造成一定的安全管理問題。當(dāng)問題形成之后沒有詳細(xì)的解決辦法;針對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言,缺乏預(yù)警防范與反應(yīng)速度明確的發(fā)展目標(biāo),處理事件水平不足,也會導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)缺乏完整的保護(hù)。

3計(jì)算機(jī)網(wǎng)絡(luò)信息主要類型

3.1基礎(chǔ)運(yùn)行信息

計(jì)算機(jī)網(wǎng)絡(luò)信息中的運(yùn)行信息在計(jì)算機(jī)網(wǎng)絡(luò)信息當(dāng)中發(fā)揮了基礎(chǔ)性的作用,同時(shí)也是計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理的重點(diǎn)管理內(nèi)容,不同類型的計(jì)算機(jī)網(wǎng)絡(luò)信息在發(fā)展的過程中均需要將其作為基礎(chǔ),通常而言,基礎(chǔ)運(yùn)行信息中涵蓋了計(jì)算機(jī)網(wǎng)絡(luò)的IP地址、計(jì)算機(jī)網(wǎng)絡(luò)域名與自制系統(tǒng)號3點(diǎn)。

3.2服務(wù)器信息

從理論角度進(jìn)行分析,服務(wù)器信息即在計(jì)算機(jī)中為網(wǎng)絡(luò)信息提供的過程,并在其過程中和服務(wù)器的正常運(yùn)行進(jìn)行緊密聯(lián)系的信息,這是工作人員對計(jì)算機(jī)服務(wù)器運(yùn)行過程中質(zhì)量及效率進(jìn)行評判的一項(xiàng)重要指標(biāo)。通常而言,服務(wù)器信息中不僅包含了基本配置參數(shù)以及負(fù)載均衡指標(biāo),也涵蓋了訪問指標(biāo)與信息服務(wù)完整性指標(biāo)等幾方面內(nèi)容。

3.3用戶信息

計(jì)算機(jī)網(wǎng)絡(luò)信息當(dāng)中的用戶信息,主要涵蓋了用戶姓名等一些基礎(chǔ)的數(shù)據(jù)信息,用于證明用戶身份。

3.4網(wǎng)絡(luò)信息資源

所謂網(wǎng)絡(luò)信息資源,也就是在計(jì)算機(jī)為用戶提供服務(wù)的同時(shí),以自動的形式形成的不同種類的信息資源。針對樹狀網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)來說,在服務(wù)器中網(wǎng)絡(luò)信息資源會體現(xiàn)出非線性式以及分散式的分布特點(diǎn),在網(wǎng)絡(luò)信息傳輸?shù)倪^程中,會蘊(yùn)藏了不同的安全信息,并對網(wǎng)絡(luò)信息帶來一定的安全隱患,這一點(diǎn)需要相關(guān)人員進(jìn)行注意。

4計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理實(shí)現(xiàn)策

4.1運(yùn)用信息加密技術(shù)

進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理的過程中,運(yùn)用信息加密技術(shù)是其中最為有效的技術(shù)之一,這一技術(shù)主要是在解決信息竊取問題的基礎(chǔ)上研發(fā)而成。計(jì)算機(jī)信息竊取是網(wǎng)絡(luò)信息安全事故中十分常見的一種。在計(jì)算機(jī)網(wǎng)絡(luò)信息中,無論是何種類型的信息,例如經(jīng)濟(jì)、軍事或是個(gè)人隱私等一系列信息,一旦被黑客等技術(shù)人員竊取,便會為用戶個(gè)人利益乃至于社會、國家的安全造成極為嚴(yán)重的影響。所以,信息加密技術(shù)的研發(fā),在一定程度上解決了存儲于計(jì)算機(jī)中文件信息的不安全現(xiàn)象,通過信息加密的形式,提升計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性,對其進(jìn)行加密處理,在運(yùn)用加密技術(shù)的基礎(chǔ)上,即便信息遭受竊取,信息的詳細(xì)內(nèi)容也會保密,進(jìn)而對信息的安全性提供了保障。因?yàn)樾畔踩哂袠O其重要的意義,相關(guān)部門也體現(xiàn)了極高的重視,并加大了信息加密技術(shù)的研究。雖然不同技術(shù)之間具有一定的差異性,但是技術(shù)在本質(zhì)上也還是具有相似性的。無論是哪一種加密技術(shù),其本身均具有主動性安全防御的措施。這一技術(shù)利用安全認(rèn)證的形式對信息安全防御制度進(jìn)行了構(gòu)建,對計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性進(jìn)行了保證。通常利用加密算法,將信息轉(zhuǎn)變?yōu)槊芪牡男问?,而使用者?wù)必要按照密文所對應(yīng)的密匙將其轉(zhuǎn)化,了解信息中所隱藏的內(nèi)容。當(dāng)前階段的信息加密技術(shù)中,主要涵蓋了對稱加密以及非對稱加密兩種技術(shù)形式,利用加密技術(shù)和客戶密碼的配合,以此實(shí)現(xiàn)網(wǎng)絡(luò)信息安全水平的提升。

4.2選擇防病毒軟件與防火墻進(jìn)行安裝

為了保證計(jì)算機(jī)網(wǎng)絡(luò)信息安全,不僅要對傳輸數(shù)據(jù)進(jìn)行加密,還要在計(jì)算機(jī)中安裝必要的病毒軟件以及防火墻,對計(jì)算機(jī)軟件以及硬件安全進(jìn)行保障。安裝殺毒軟件可以及時(shí)掃描計(jì)算機(jī)中的病毒,將其及時(shí)清除,也可以利用殺毒軟件修補(bǔ)計(jì)算機(jī)中的漏洞,這樣一來,不僅可以及時(shí)清理計(jì)算機(jī)當(dāng)中的病毒,同時(shí)也能夠保障計(jì)算機(jī)中信息與文件的安全性,對其進(jìn)行監(jiān)督。其次便是防火墻,防火墻為計(jì)算機(jī)中外部網(wǎng)關(guān),主要的作用是過濾傳輸文件,若發(fā)現(xiàn)不安全文件,防火墻便會將其攔截。除此之外,防火墻也能夠檢測計(jì)算機(jī)中流通的信息,例如網(wǎng)絡(luò)的使用狀況、計(jì)算機(jī)IP地址隱藏情況等,通過防火墻的形式對計(jì)算機(jī)進(jìn)行實(shí)時(shí)監(jiān)控,以免IP地址被竊取。

對計(jì)算機(jī)進(jìn)行漏洞掃描,可以利用漏洞掃描的形式,檢查系統(tǒng)中的文件與數(shù)據(jù),進(jìn)而發(fā)現(xiàn)系統(tǒng)中是否存在漏洞。其中需要注意的是,進(jìn)行漏洞檢測要在網(wǎng)絡(luò)檢查的基礎(chǔ)之上。通過漏洞掃描的形式可以實(shí)時(shí)對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行評估,這也為病毒入侵提供了極好的保障?,F(xiàn)如今,受科技發(fā)展的影響,黑客入侵的形式也在逐漸豐富,為此,保證計(jì)算機(jī)系統(tǒng)安全檢查的質(zhì)量與效率十分重要,計(jì)算機(jī)網(wǎng)絡(luò)管理者務(wù)必要保證工作的質(zhì)量。一般情況下,漏洞掃描主要有以下2種形式:

1)主動式。所謂主動式即網(wǎng)絡(luò)進(jìn)行的主動性檢測,利用對腳本文件執(zhí)行操作防御系統(tǒng)攻擊,并記錄所形成的具體反應(yīng),在此過程中便可發(fā)現(xiàn)其中所存在的系統(tǒng)漏洞;2)被動式。被動式的檢測主要是主機(jī)檢測,重點(diǎn)對系統(tǒng)中存在的不合理設(shè)置與脆弱口令進(jìn)行詳細(xì)的檢查。

4.3強(qiáng)化網(wǎng)絡(luò)的安全管理力度

1)進(jìn)行思想觀念的再教育。一般情況下為了提升網(wǎng)絡(luò)管理人員的管理意識,會對其進(jìn)行再教育,利用相關(guān)部門出臺的法律法規(guī)以及一些有關(guān)書籍,全面提升網(wǎng)絡(luò)管理人員的網(wǎng)絡(luò)安全觀念與保密意識,利用思想教育的形式提升網(wǎng)絡(luò)的安全性。同時(shí),也可以通過培訓(xùn)與講座的形式提升思想觀念。

2)制定安全管理制度。建立專業(yè)且完善的網(wǎng)絡(luò)安全管理機(jī)構(gòu),利用不同的操作明確分工,例如可以有專門進(jìn)行制定方法或是負(fù)責(zé)的實(shí)施監(jiān)督的人員。

3)培養(yǎng)專業(yè)的網(wǎng)絡(luò)信息安全人才。進(jìn)行網(wǎng)絡(luò)信息安全性的保障十分重要,以此為基礎(chǔ)培養(yǎng)專業(yè)的網(wǎng)絡(luò)維護(hù)人才,并對其進(jìn)行專業(yè)技術(shù)的培訓(xùn),保證計(jì)算機(jī)信息各個(gè)環(huán)節(jié)的有效運(yùn)行。

4.4全面加強(qiáng)網(wǎng)絡(luò)用戶的安全防范觀念

為了加強(qiáng)網(wǎng)絡(luò)信息安全管理力度,培養(yǎng)用戶信息安全管理觀念十分重要,例如一些用戶隨意點(diǎn)擊來歷不明的郵件或鏈接,殊不知其中極有可能存在威脅計(jì)算機(jī)網(wǎng)絡(luò)信息安全的病毒。針對一些來歷不明的程序,盡量避免運(yùn)行,以免其中隱藏一些不健康的文件或軟件。與此同時(shí),注意隱藏自己的IP地址,意識到保護(hù)IP地址的重要性。即使計(jì)算機(jī)中被安裝了木馬程序,如果沒有詳細(xì)的IP地址,攻擊者也無法入侵計(jì)算機(jī)。保護(hù)IP地址最為有效的方式是進(jìn)行服務(wù)器的設(shè)計(jì),利用設(shè)置服務(wù)器的形式,可以進(jìn)行外部網(wǎng)絡(luò)訪問的中轉(zhuǎn),監(jiān)管用戶訪問的服務(wù)種類,進(jìn)而隔離安全隱患。

4.5合理運(yùn)用訪問控制技術(shù)

訪問控制技術(shù)是對網(wǎng)絡(luò)安全進(jìn)行保障的一項(xiàng)核心技術(shù),運(yùn)用的主要目的在于保證網(wǎng)絡(luò)資源的安全性。因?yàn)樵L問控制技術(shù)所涉及到的范圍比較廣泛,其中不僅有入網(wǎng)訪問控制以及網(wǎng)絡(luò)權(quán)限控制,還包含了目錄級控制等。訪問控制技術(shù)即合法用戶利用計(jì)算機(jī)系統(tǒng)信息的現(xiàn)有資源,通過確認(rèn)其權(quán)限,阻止非法用戶入侵,以及對合法用戶使用非授權(quán)資源進(jìn)行阻止的安全性技術(shù)。進(jìn)行訪問控制技術(shù)運(yùn)行過程中,最終目標(biāo)為利用對被訪問的維護(hù),確定訪問權(quán)限,并且對其進(jìn)行授權(quán)并實(shí)施,以保證系統(tǒng)在安全運(yùn)行的狀態(tài)下,可以實(shí)現(xiàn)信息共享的最大化。利用訪問控制,不僅可以有效的管理計(jì)算機(jī)內(nèi)部的信息,同時(shí)也可以對信息的完整性進(jìn)行保證,也可以將病毒入侵的危險(xiǎn)降低,對病毒傳播的速度降低。與此同時(shí),也可以保證計(jì)算機(jī)中個(gè)人以及企業(yè)信息的安全性。訪問控制主要是針對用戶身份,給予其一定的使用權(quán)限。即結(jié)合之前所制定的規(guī)則,明確主體訪問客體行為的合法性質(zhì)。

5結(jié)論

受信息技術(shù)發(fā)展的影響,計(jì)算機(jī)網(wǎng)絡(luò)逐漸應(yīng)用于各行各業(yè)中,然而在網(wǎng)絡(luò)為人們的工作與生活提供便捷的同時(shí),計(jì)算機(jī)網(wǎng)絡(luò)信息本身的安全性也成為威脅計(jì)算機(jī)系統(tǒng)的一項(xiàng)重要問題。通過文章中的分析,我們可以了解到計(jì)算機(jī)網(wǎng)絡(luò)信息安全對于用戶個(gè)人信息乃至于社會、國家安全的重要性,在此基礎(chǔ)上可以運(yùn)用針對性的措施將其解決,以此保證計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性。

篇8

校黨政主要領(lǐng)導(dǎo)和分管安全保衛(wèi)工作的校領(lǐng)導(dǎo)高度重視網(wǎng)絡(luò)與信息安全工作,經(jīng)常在各種會議上強(qiáng)調(diào)做好校園網(wǎng)絡(luò)與信息安全工作對維護(hù)學(xué)校安全穩(wěn)定的極端重要性,對安全保衛(wèi)部門上報(bào)的有關(guān)網(wǎng)絡(luò)動態(tài)信息認(rèn)真閱讀和研判,并及時(shí)作出重要處理批示,在學(xué)校每次召開的有關(guān)維護(hù)校園穩(wěn)定的工作會議上都要對加強(qiáng)校園網(wǎng)的安全管理與監(jiān)控工作進(jìn)行專門部署。

學(xué)校還制定下發(fā)了《關(guān)于開展“平安校園”創(chuàng)建活動的實(shí)施意見》,其中指出“要堅(jiān)持正確的輿論導(dǎo)向,防止信息傳媒的管理失控,要健全網(wǎng)絡(luò)管理機(jī)構(gòu),落實(shí)管理措施,強(qiáng)化網(wǎng)上監(jiān)控”,為做好校園網(wǎng)絡(luò)與信息的安全管理工作明確了目標(biāo)和方法。

二、各職能部門分工明確、互相配合是做好校園網(wǎng)絡(luò)安全管理工作的重要條件

在維護(hù)校園網(wǎng)絡(luò)安全方面,學(xué)校有關(guān)職能部門根據(jù)自身的工作性質(zhì)有著明確的分工。如校宣傳部門主要負(fù)責(zé)全校網(wǎng)絡(luò)安全教育,網(wǎng)絡(luò)信息動態(tài)的監(jiān)查、跟蹤和掌握并進(jìn)行相關(guān)處置;校網(wǎng)絡(luò)主管部門主要負(fù)責(zé)加強(qiáng)整個(gè)校園網(wǎng)絡(luò)技術(shù)方面的安全防范、保障、封堵和指導(dǎo),采用合理的技術(shù)手段對網(wǎng)絡(luò)運(yùn)行安全進(jìn)行有效的監(jiān)查,為查處網(wǎng)絡(luò)不良、有害信息及案事件提供技術(shù)支持;保衛(wèi)部門主要負(fù)責(zé)對網(wǎng)絡(luò)不良、有害信息及案事件進(jìn)行查處,并根據(jù)自身工作性質(zhì)對網(wǎng)絡(luò)信息進(jìn)行監(jiān)查。各職能部門既各司其職又密切配合、協(xié)作形成合力,為做好校園網(wǎng)絡(luò)安全工作提供了重要的基礎(chǔ)條件,使工作更為順利、效率更為提高、成效更為明顯。

三、建全各項(xiàng)管理規(guī)章制度是做好校園網(wǎng)絡(luò)安全管理工作的重要基礎(chǔ)

學(xué)校根據(jù)國家網(wǎng)絡(luò)與信息安全管理的有關(guān)法律法規(guī),并結(jié)合學(xué)校的實(shí)際情況,制定了校園網(wǎng)絡(luò)安全管理?xiàng)l例與規(guī)定,并根據(jù)上級有關(guān)規(guī)定、形勢發(fā)展和學(xué)校具體實(shí)際情況,不斷予以修訂完善。各責(zé)任單位則根據(jù)學(xué)校有關(guān)規(guī)定和本單位的實(shí)際情況,制定網(wǎng)絡(luò)與信息安全管理方面的各項(xiàng)具體規(guī)章制度,如日常安全管理制度、信息審核制度、安全檢查制度、網(wǎng)管員工作職責(zé)等。由此校園網(wǎng)絡(luò)與信息安全管理工作做到有章可依,有章可循,不斷制度化、規(guī)范化。

四、建立和完善有效的管理機(jī)制是做好校園網(wǎng)絡(luò)與信息安全管理工作的保障

(一)實(shí)行分級管理、逐級負(fù)責(zé)制

學(xué)校成立網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組,由主要領(lǐng)導(dǎo)擔(dān)任雙組長、分管領(lǐng)導(dǎo)擔(dān)任副組長。領(lǐng)導(dǎo)小組定期不定期地對校園網(wǎng)絡(luò)安全情況進(jìn)行分析研判,研究制定涉及網(wǎng)絡(luò)安全方面重大問題的對策、措施,并對一段時(shí)期內(nèi)的網(wǎng)絡(luò)與信息安全工作作出部署。領(lǐng)導(dǎo)小組下設(shè)辦公室,主要負(fù)責(zé)全校網(wǎng)絡(luò)與信息安全工作的管理和協(xié)調(diào)。各學(xué)院、部門、單位應(yīng)當(dāng)相應(yīng)成立網(wǎng)絡(luò)與信息安全工作小組,其主要負(fù)責(zé)人為第一責(zé)任人,并指定專人擔(dān)任網(wǎng)管員,負(fù)責(zé)本級網(wǎng)絡(luò)與信息安全工作。

(二)實(shí)行安全責(zé)任制

學(xué)校與各學(xué)院、部門、單位簽訂網(wǎng)絡(luò)與信息安全責(zé)任書,各責(zé)任單位要將網(wǎng)絡(luò)與信息安全管理責(zé)任層層落實(shí)到所屬各部門和人員。其中,各責(zé)任單位的網(wǎng)管員,具體負(fù)責(zé)本單位日常的網(wǎng)絡(luò)與信息安全工作,網(wǎng)絡(luò)與信息系統(tǒng)的主管單位承擔(dān)系統(tǒng)的安全管理和監(jiān)督責(zé)任,運(yùn)行維護(hù)單位和個(gè)人承擔(dān)系統(tǒng)的技術(shù)安全保障責(zé)任,使用單位和個(gè)人承擔(dān)系統(tǒng)操作與信息內(nèi)容的直接安全責(zé)任。堅(jiān)持“誰主管、誰負(fù)責(zé),誰運(yùn)行、誰負(fù)責(zé)”的原則,切實(shí)落實(shí)網(wǎng)絡(luò)安全工作責(zé)任制。

(三)實(shí)行一票否決制

校園網(wǎng)絡(luò)與信息安全工作實(shí)行一票否決制。對在網(wǎng)絡(luò)與信息安全方面存在重大隱患和問題而不認(rèn)真及時(shí)進(jìn)行整改,或發(fā)生重大網(wǎng)絡(luò)與信息安全事件的相關(guān)單位和責(zé)任人,實(shí)行一票否決制,取消當(dāng)年評先評優(yōu)及個(gè)人晉職晉級的資格。

(四)實(shí)行責(zé)任追究制

對網(wǎng)絡(luò)與信息安全責(zé)任不落實(shí)、日常安全管理措施不落實(shí)、安全教育不到位等,導(dǎo)致網(wǎng)絡(luò)與信息重大安全事故或事件的,學(xué)校將根據(jù)網(wǎng)絡(luò)與信息安全責(zé)任書的有關(guān)規(guī)定,追究相關(guān)單位和責(zé)任人的責(zé)任,并予以全校通報(bào)批評。對觸犯法律的,則移交司法機(jī)關(guān)依法處理。

(五)實(shí)行值班備勤制

各責(zé)任單位要指定專人進(jìn)行日常網(wǎng)絡(luò)與信息安全保障工作,確保24小時(shí)通訊聯(lián)系保持暢通。在重要、敏感時(shí)期,重大節(jié)假日期間,安排值班人員,一旦發(fā)生問題快速反應(yīng),及時(shí)處置。

五、強(qiáng)化網(wǎng)絡(luò)安全形勢的預(yù)測研判是做好校園網(wǎng)絡(luò)安全管理工作的重要環(huán)節(jié)

學(xué)校各職能部門密切關(guān)注國內(nèi)外發(fā)生的重大事件及學(xué)校出臺的重大舉措,結(jié)合當(dāng)下校園網(wǎng)絡(luò)的具體實(shí)際并根據(jù)網(wǎng)絡(luò)本身的特點(diǎn),對一段時(shí)期內(nèi)校園網(wǎng)絡(luò)的安全形勢進(jìn)行分析研判并上報(bào)學(xué)校,為領(lǐng)導(dǎo)科學(xué)決策提供依據(jù)。特別是在每年重要敏感時(shí)間節(jié)點(diǎn)時(shí),對校園網(wǎng)絡(luò)安全形勢進(jìn)行預(yù)測研判并提出有關(guān)防范措施上報(bào)學(xué)校,使網(wǎng)絡(luò)安全防范工作更趨主動和有的放矢,例如,在北京奧運(yùn)會、上海世博會、G20峰會等時(shí)期,均及時(shí)對校園網(wǎng)絡(luò)可能出現(xiàn)的輿情、動態(tài)預(yù)作研判,將防范工作做在前面。

六、切實(shí)加強(qiáng)宣傳教育活動是做好校園網(wǎng)絡(luò)安全管理工作的重要內(nèi)容

學(xué)校重視加強(qiáng)網(wǎng)絡(luò)與信息安全宣傳教育,每年新生入學(xué)時(shí),發(fā)放新生人手一冊《大學(xué)生安全知識讀本》,其中包括網(wǎng)絡(luò)與信息安全和保密等方面的內(nèi)容及有關(guān)警示案例,供學(xué)生閱讀學(xué)習(xí),加強(qiáng)對學(xué)生文明上網(wǎng)、安全用網(wǎng)的宣傳教育工作。平時(shí),學(xué)校還將國家關(guān)于網(wǎng)絡(luò)安全管理方面的法律法規(guī)和學(xué)校有關(guān)的規(guī)章制度編印成宣傳小冊子,分發(fā)到各學(xué)院、各部門負(fù)責(zé)人及網(wǎng)絡(luò)管理員,并將網(wǎng)絡(luò)安全方面的內(nèi)容編入創(chuàng)建“平安校園”宣傳教育手冊,分發(fā)給全校師生員工,以此全面提高大家的遵紀(jì)守法的自覺性和安全防范意識。

通過上述具體實(shí)踐和做法,我校初步創(chuàng)建了一個(gè)文明、有序、安全的校園網(wǎng)絡(luò)與信息環(huán)境,從而為確保學(xué)校的政治穩(wěn)定提供了堅(jiān)實(shí)的保障。

(作者單位:浙江大學(xué))

篇9

隨著軍隊(duì)物資采購機(jī)構(gòu)信息化建設(shè)的不斷推進(jìn),信息系統(tǒng)已經(jīng)成為當(dāng)前采辦系統(tǒng)的核心組成部分。信息安全風(fēng)險(xiǎn)直接影響到軍隊(duì)物資采購系統(tǒng)為軍隊(duì)用戶提供服務(wù)和對各類供應(yīng)商等采購實(shí)體進(jìn)行管理的能力。在關(guān)鍵時(shí)刻,個(gè)別重大的信息系統(tǒng)發(fā)生故障或癱瘓,往往會給整個(gè)軍隊(duì)后勤保障帶來不可挽回的損失和影響,從而給整個(gè)軍隊(duì)建設(shè)和國防事業(yè)帶來損失。

當(dāng)前,軍隊(duì)物資采購系統(tǒng)根據(jù)總后關(guān)于信息化建設(shè)的精神,建立了依托干軍隊(duì)內(nèi)部的指揮自動化網(wǎng)、軍隊(duì)綜合信息網(wǎng)等內(nèi)部指揮控制網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)、業(yè)務(wù)管理網(wǎng)絡(luò)等信息服務(wù)和指揮網(wǎng)絡(luò),為軍隊(duì)采購管理單位、采購業(yè)務(wù)單位、科研和教學(xué)單位、軍內(nèi)終端客戶提供廣泛的信息服務(wù)。

實(shí)施信息安全管理,不僅能夠有效地提高信息系統(tǒng)的安全性、完整性、可用性以及對相關(guān)應(yīng)急采購任務(wù)的快速反應(yīng)能力,同時(shí)也是保障軍隊(duì)物資采購系統(tǒng)科學(xué)發(fā)展,為軍隊(duì)提供最優(yōu)保障力的重要手段。

一、軍隊(duì)物資采購信息安全風(fēng)險(xiǎn)

在軍隊(duì)物資采購活動中,存在各種各樣的風(fēng)險(xiǎn),都對采辦的結(jié)果產(chǎn)生不同程度的影響。根據(jù)風(fēng)險(xiǎn)產(chǎn)生對象的不同,將風(fēng)險(xiǎn)分為人為風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng)險(xiǎn)等三個(gè)方面。

(一)人為風(fēng)險(xiǎn)。

人是信息安全最主要的風(fēng)險(xiǎn)因素,不適當(dāng)?shù)男畔⑾到y(tǒng)授權(quán),會導(dǎo)致未經(jīng)授權(quán)的人獲取不適當(dāng)?shù)男畔?。采購人員的操作失誤或疏忽會導(dǎo)致信息系統(tǒng)的錯(cuò)誤動作或產(chǎn)生垃圾信息;違規(guī)篡改數(shù)據(jù)、修改系統(tǒng)時(shí)間、修改系統(tǒng)配置、違規(guī)導(dǎo)入或刪除信息系統(tǒng)的數(shù)據(jù),可能導(dǎo)致各種重大采購事故的發(fā)生。有令不行、有禁不止等人為因素形成的風(fēng)險(xiǎn),是軍隊(duì)物資采購信息安全的最大風(fēng)險(xiǎn)。

(二)系統(tǒng)風(fēng)險(xiǎn)。

系統(tǒng)風(fēng)險(xiǎn)包括系統(tǒng)開發(fā)風(fēng)險(xiǎn)和系統(tǒng)運(yùn)行風(fēng)險(xiǎn)。在采購項(xiàng)目開發(fā)過程中沒有考慮到必要的信息系統(tǒng)安全設(shè)計(jì),或安全設(shè)計(jì)存在缺陷,都會導(dǎo)致采辦信息系統(tǒng)安全免疫能力不足。沒有完善、嚴(yán)格的生產(chǎn)系統(tǒng)運(yùn)行管理體制,會導(dǎo)致機(jī)房管理、口令管理、授權(quán)管理、用戶管理、服務(wù)器管理、網(wǎng)絡(luò)管理、備份管理、病毒管理等方面出現(xiàn)問題,輕則產(chǎn)生垃圾信息,重則發(fā)生系統(tǒng)中斷、信息被非法獲取。

當(dāng)前的采購信息系統(tǒng)已是一個(gè)龐大的網(wǎng)絡(luò)化系統(tǒng),在網(wǎng)絡(luò)內(nèi)存在眾多的中小型機(jī)、服務(wù)器、前置機(jī)、路由器、終端設(shè)備,也包括數(shù)據(jù)庫、操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)等軟件系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)中的任何一個(gè)環(huán)節(jié)都有可能出現(xiàn)故障,一旦出現(xiàn)故障便有可能造成系統(tǒng)中斷,影響業(yè)務(wù)正常運(yùn)作。同時(shí),由于自然災(zāi)害、戰(zhàn)爭等突發(fā)事件造成的系統(tǒng)崩潰、數(shù)據(jù)載體不可修復(fù)性損失等等,都能夠給采購信息系統(tǒng)帶來很大的影響。

(三)數(shù)據(jù)風(fēng)險(xiǎn)。

數(shù)據(jù)是信息的載體,也是軍隊(duì)物資采購系統(tǒng)最重要的資產(chǎn)。對數(shù)據(jù)的存儲、處理、獲取、和共享均需要有一套完整的流程和審批制度,沒有健全的數(shù)據(jù)管理制度,便存在導(dǎo)致數(shù)據(jù)信息泄露的風(fēng)險(xiǎn)。

二、軍隊(duì)物資采購信息安全的內(nèi)容

通過對信息安全定義的查詢,可以看到其是根據(jù)不同的環(huán)境情況各自不同的。在相對受到專業(yè)影響較小的國際標(biāo)準(zhǔn)ISOl7799信息安全標(biāo)準(zhǔn)中,信息安全是指:使信息避免一系列威脅,保障商務(wù)的連續(xù)性,盡量減少業(yè)務(wù)損失,從而最大限度地獲取投資和商務(wù)的回報(bào)。

對于軍隊(duì)物資采購系統(tǒng),信息安全管理則應(yīng)該堅(jiān)持系統(tǒng)和全局的觀念,基于平戰(zhàn)結(jié)合、立足應(yīng)急保障的思想,指導(dǎo)組織建立安全管理體系。通過系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評估,體現(xiàn)“積極預(yù)防、綜合防范”的方針,強(qiáng)調(diào)遵守國家有關(guān)信息安全的法律法規(guī)及其他合同方要求,透過全過程和動態(tài)控制,本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則,合理選擇安全控制方式,保護(hù)組織所擁有的關(guān)鍵信息資產(chǎn),使信息風(fēng)險(xiǎn)的發(fā)生概率降低到可接受的水平,確保信息的保密性、完整性和可用性,保持組織業(yè)務(wù)運(yùn)作的持續(xù)性。

(一)保密性。

信息安全的保密性,在確保遵守軍隊(duì)保密守則規(guī)定的前提下,確保信息僅可讓授權(quán)獲取的相關(guān)人員訪問。結(jié)合當(dāng)前的狀況,軍隊(duì)物資采購系統(tǒng)的信息安全保密應(yīng)當(dāng)做熟嚴(yán)格分崗授權(quán)制衡機(jī)制,杜絕不相容崗位兼崗現(xiàn)象;嚴(yán)格用戶管理和授權(quán)管理,防止非法用戶,用戶冗余和用戶授權(quán)不當(dāng);加強(qiáng)密碼管理,防止不設(shè)口令或者口令過于簡熟加強(qiáng)病毒防范管理,防范病毒損氰控制訪問信息,組織非法訪問信息系統(tǒng)確保對外網(wǎng)絡(luò)服務(wù)得到保護(hù),陰止非法訪問網(wǎng)絡(luò);檢測非法行為,防范道德風(fēng)險(xiǎn);保證在使用移動電腦和遠(yuǎn)程網(wǎng)絡(luò)設(shè)備時(shí)的信息安全,防止非法攻擊。

(二)完備性。

信息安全的完備性,是指信息準(zhǔn)確和具備完善的處理方法。具體要求是:嚴(yán)格采購業(yè)務(wù)流程管理,確保采購業(yè)務(wù)流程與采購信息系統(tǒng)操作流程完備一熟嚴(yán)格控制生產(chǎn)系統(tǒng)數(shù)據(jù)修改,防止數(shù)據(jù)丟失。防止不正確修改,減少誤操作;嚴(yán)格數(shù)據(jù)管理,確保數(shù)據(jù)得到完整積累與保全,使系統(tǒng)數(shù)據(jù)能夠真實(shí)、完整地反映采購業(yè)務(wù)信息;嚴(yán)格按照軍隊(duì)關(guān)于物資采購規(guī)定和要求操作,減少或杜絕非標(biāo)業(yè)務(wù)。避免任何違反法令、法規(guī)、合同約定及易導(dǎo)致業(yè)務(wù)信息與數(shù)據(jù)信息不一致、不完整的行為。

(三)可用性。

信息安全的可用性,要求確保被授權(quán)人可以獲取所需信息。具體要求是:加強(qiáng)生產(chǎn)系統(tǒng)運(yùn)行管理,確保生產(chǎn)系統(tǒng)安全、穩(wěn)定、可靠運(yùn)行;加強(qiáng)生產(chǎn)機(jī)房建設(shè)與管理,保障機(jī)房工作環(huán)境所必需的濕度、溫度、電源、防火、防水、防靜電、防雷、限制進(jìn)人等要求,減少安全隱患;加強(qiáng)生產(chǎn)系統(tǒng)日常檢查管理,及早發(fā)現(xiàn)故障苗頭;加強(qiáng)系統(tǒng)備份,防止數(shù)據(jù)損失;嚴(yán)格生產(chǎn)系統(tǒng)時(shí)間管理,禁止隨意修改生產(chǎn)系統(tǒng)時(shí)間;保障系統(tǒng)持續(xù)運(yùn)標(biāo)實(shí)施災(zāi)難備份,防止關(guān)鍵業(yè)務(wù)處理在災(zāi)難發(fā)生時(shí)受到影響。

三、軍隊(duì)物資采購信息安全管理

(一)信息安全機(jī)構(gòu)。

軍隊(duì)物資采購系統(tǒng)應(yīng)分出專人專職來負(fù)責(zé)信息安全管理工作,并協(xié)同上級業(yè)務(wù)管理單位制定信息安全管理制度和工作程序,設(shè)定安全等級,評估安全風(fēng)險(xiǎn)程度,落實(shí)防范措施方案,提出內(nèi)控體系整改方案與措施,監(jiān)督和評估信息安全管理成效。在與上級總部和軍區(qū)、軍兵種物油部管理機(jī)構(gòu)之間還要有一個(gè)快速響應(yīng)的信息安全事故收集、匯總、處理及反饋體系。

(二)信息安全管理制度與策略。

信息安全管理制度應(yīng)針對軍隊(duì)物資采購系統(tǒng)現(xiàn)狀與發(fā)展方向來制定,要充分考慮可操作性。現(xiàn)階段可根據(jù)“積極防御、綜合防范”的方針,制定內(nèi)部網(wǎng)、OA網(wǎng)、外部網(wǎng)的管理辦法,明確用戶的訪問權(quán)限。制定生產(chǎn)系統(tǒng)運(yùn)行管理辦法。嚴(yán)格實(shí)行分崗制衡、分級授權(quán),嚴(yán)格執(zhí)行生產(chǎn)系統(tǒng)時(shí)間管理、備份管理、數(shù)據(jù)管理和口令管理。

(三)信息安全分級管理。

信息安全分級管理,是將信息資源根據(jù)重要性進(jìn)行分級,對不同級別的信息資產(chǎn)采用不同級別信息安全保護(hù)措施,國家已將信息安全等級保護(hù)監(jiān)督劃分為五個(gè)級別,分別為自主性保護(hù)、指導(dǎo)性保護(hù)、??匦员Wo(hù)。

軍隊(duì)物資采購系統(tǒng)可以結(jié)合實(shí)際情況,將信息資產(chǎn)分為“三級”或“五級”保護(hù),目的在于突出重點(diǎn),抓住關(guān)鍵,兼顧一般,合理保護(hù)。分級管理的方法是分析危險(xiǎn)源或危險(xiǎn)點(diǎn),評估其重要性,再分設(shè)等級,從而采取不同的保護(hù)措施。比如,對于采購機(jī)構(gòu)業(yè)務(wù)機(jī)房,可采取門禁與限制進(jìn)入等方式進(jìn)行保護(hù);針對采購中相關(guān)數(shù)據(jù)的提供,可設(shè)計(jì)一定的審判流程,根據(jù)數(shù)據(jù)的重要程度,分為公開信息、優(yōu)先共享信息、內(nèi)部一般信息、內(nèi)部控制信息、內(nèi)部關(guān)鍵信息和內(nèi)部核心信息,實(shí)施嚴(yán)格的授權(quán)控制;對于信息安全事故,可分為重大事故、一般事故、輕微事故等,采取不同的處置方案。

(四)信息安全集中監(jiān)控與處置。

設(shè)立集中運(yùn)行的信息安全監(jiān)控處置中心,及時(shí)監(jiān)控、發(fā)現(xiàn)安全事故,做到響應(yīng)快速、處置果斷,并實(shí)施應(yīng)急恢復(fù)。結(jié)合軍隊(duì)物資采購系統(tǒng)當(dāng)前實(shí)際情況,可對網(wǎng)絡(luò)、服務(wù)器等運(yùn)行設(shè)備進(jìn)行集中監(jiān)控,開展服務(wù)器容量管理、網(wǎng)絡(luò)流量監(jiān)控;對應(yīng)用系統(tǒng)采取防范與監(jiān)控相結(jié)合的方式,對信息系統(tǒng)的數(shù)據(jù)設(shè)置校驗(yàn)碼,防止非法修改;在開發(fā)應(yīng)用系統(tǒng)的同時(shí),還應(yīng)開發(fā)相應(yīng)的審計(jì)檢查監(jiān)控程序,由各單位分別運(yùn)行和維護(hù),由上級采購管理機(jī)構(gòu)定期查驗(yàn)和監(jiān)督,及時(shí)發(fā)現(xiàn)數(shù)據(jù)信息存在的風(fēng)險(xiǎn)。

四、信息安全管理系統(tǒng)

實(shí)現(xiàn)信息安全管理的集中運(yùn)行,需借助信息安全管理系統(tǒng)。各軍隊(duì)采購機(jī)構(gòu)和部門可以按照上級下達(dá)的統(tǒng)一標(biāo)準(zhǔn),構(gòu)建基于同一操作平臺的信息安全管理系統(tǒng),幫助安全管理中心實(shí)現(xiàn)系統(tǒng)的監(jiān)控、分析、預(yù)警等功能,實(shí)現(xiàn)信息安全事故處理的收集、存儲、分析等功能,及時(shí)對信息風(fēng)險(xiǎn)作出反饋。

(一)監(jiān)控功能。

為采辦機(jī)構(gòu)和部門的相關(guān)信息處理和傳輸設(shè)備配置專人管理,并設(shè)置機(jī)房日志管理、服務(wù)器性能日志管理、服務(wù)器容量日志管理、數(shù)據(jù)修改日志管理、流量監(jiān)控日志等功能,酌情設(shè)置數(shù)據(jù)檢測結(jié)果日志管理功能。通過對存儲、傳輸和刪改的操作進(jìn)行管理,達(dá)到監(jiān)督控制的目的。

(二)處理功能.

根據(jù)采辦單位所在環(huán)境和情況,自主設(shè)置安全事故報(bào)告、響應(yīng)、處置等采辦信息管理功能,對于高級別信息,也可以采用每天零報(bào)告措施。通過信息處理的簡化、優(yōu)化和快速反應(yīng),提高信息安全保障能力,從而保證軍隊(duì)采購的正常進(jìn)行。

(三)安全等級管理功能。

針對采辦單位自身特點(diǎn),設(shè)置信息資產(chǎn)、危險(xiǎn)源、危險(xiǎn)點(diǎn)定義與分級功能,對于不同級別的信息安全危機(jī)設(shè)定不同的保護(hù)等級,并采取不同的保護(hù)措施、監(jiān)控措施、事故響應(yīng)與處置措施,保證系統(tǒng)的穩(wěn)定性和完好性。

篇10

關(guān)鍵詞:藥品物流管理系統(tǒng);信息安全素養(yǎng);信息安全干預(yù)

21世紀(jì)是一個(gè)全方位大數(shù)據(jù)的時(shí)代,從紙張過渡到電子病歷系統(tǒng)的醫(yī)療記錄數(shù)據(jù)呈指數(shù)級增長[1,2],但在體驗(yàn)信息化帶來的前所未有便捷的同時(shí),巨大信息安全隱患也逐漸浮出水面,正逐漸引起大眾的高度重視和警覺[3~5]。2014年醫(yī)療/保健行業(yè)在所有報(bào)告的數(shù)據(jù)泄露事件中所占比例超過42%,遠(yuǎn)高于其他行業(yè)(如銀行/金融、商業(yè)、教育等)[6~8]。上海市執(zhí)行了藥品陽光采購平臺,在此基礎(chǔ)上建立了藥品物流管理系統(tǒng),該系統(tǒng)利用信息化技術(shù)手段和智能設(shè)施設(shè)備讓藥品在供應(yīng)、分揀、配送等各個(gè)環(huán)節(jié),實(shí)現(xiàn)公司、醫(yī)院、科室、患者之間一體化、精細(xì)化管理。盡管目前實(shí)施了藥品安全信息化監(jiān)管,但是藥品信息錯(cuò)綜復(fù)雜、工作人員意識薄弱、藥品信息管理人員復(fù)雜,一旦信息泄露,存在醫(yī)保套用、患者信息泄露被不法分子利用、統(tǒng)方等隱患。藥品信息的管理核心是人員的管理,監(jiān)管的最終目標(biāo)也是保障藥品安全供應(yīng)和合理使用。金山區(qū)自2016起開始陽光平臺藥品采購試點(diǎn),在上海市率先執(zhí)行了藥品物流管理系統(tǒng)。本文結(jié)合工作實(shí)際,對金山區(qū)藥品物流管理系統(tǒng)的信息管理人員和使用者的安全意識進(jìn)行調(diào)查、評估和干預(yù),為提高全市藥品相關(guān)人員的信息安全水平,減少因信息泄露而導(dǎo)致的醫(yī)療安全事件的發(fā)生提供參考。

1對象與方法

1.1研究對象

金山區(qū)藥品物流管理系統(tǒng)全部管理用戶,包括藥品陽光采購平臺、藥品物流管理系統(tǒng)、各醫(yī)療機(jī)構(gòu)HIS系統(tǒng)藥品信息管理人員、使用人員193人。

1.2研究內(nèi)容與方法

1.2.1名詞定義與指標(biāo)計(jì)算方法藥品物流管理系統(tǒng):利用信息化技術(shù)手段和智能設(shè)施設(shè)備讓藥品在供應(yīng)、分揀、配送等各個(gè)環(huán)節(jié),實(shí)現(xiàn)公司、醫(yī)院、科室、患者之間一體化、精細(xì)化管理的系統(tǒng)。信息安全素養(yǎng):指人員在信息化條件下對信息安全的認(rèn)識以及對信息安全表現(xiàn)的綜合能力,包括信息安全動機(jī)、信息安全知識、信息安全能力、信息行為等內(nèi)容[4]。指標(biāo)計(jì)算方法:參考《中國居民健康素養(yǎng)調(diào)查》方案設(shè)計(jì),正確回答題目的賦值1分,題目回答錯(cuò)誤的賦值0分,計(jì)算每名調(diào)查對象最終的答題得分。根據(jù)專家咨詢意見,所有問題全部回答正確視為具備總體信息安全素養(yǎng),對信息安全知識問題、信息安全動機(jī)問題、信息安全角色認(rèn)知問題、信息安全行為問題全部回答正確的分別視為該調(diào)查對象具備這四個(gè)方面的信息安全素養(yǎng)。1.2.2系統(tǒng)用戶信息安全素養(yǎng)水平調(diào)查通過文獻(xiàn)研究收集國內(nèi)外關(guān)于信息安全的相關(guān)材料以及實(shí)踐工作中的經(jīng)驗(yàn)等內(nèi)容,初步形成評估問卷和調(diào)查問卷,通過德爾菲法選擇衛(wèi)生信息化領(lǐng)域工作經(jīng)驗(yàn)豐富的專家開展問卷設(shè)計(jì)咨詢,所有專家均為衛(wèi)生信息化領(lǐng)域或健康行為研究領(lǐng)域;本科及以上學(xué)歷;工作經(jīng)驗(yàn)豐富,從事相關(guān)工作5年以上,最終選擇了上海市疾病預(yù)防控制中心信息所、金山區(qū)衛(wèi)生信息中心等8名專家對問卷進(jìn)行審核、修訂,針對部分調(diào)查對象進(jìn)行預(yù)調(diào)查后對存在的問題進(jìn)行相應(yīng)的修改,形成最終的評估和調(diào)查問卷,問卷由基本情況、信息安全知識、信息安全動機(jī)、信息安全角色認(rèn)知、信息安全行為和系統(tǒng)用戶信息等6部分條目構(gòu)成。對金山區(qū)藥品物流管理系統(tǒng)的所有用戶開展面對面問卷調(diào)查。問卷調(diào)查在調(diào)查前向受訪者進(jìn)行調(diào)查說明,承諾調(diào)查信息保密,在受訪者知情同意后開展調(diào)查,提高受訪者的支持配合。問卷調(diào)查后及時(shí)整理和質(zhì)控,確保信息完整。1.2.3信息安全干預(yù)措施實(shí)施后效果調(diào)查采用整群隨機(jī)分組方法,以一個(gè)社區(qū)的系統(tǒng)用戶為一個(gè)群組,將金山區(qū)11個(gè)社區(qū)的所有系統(tǒng)用戶隨機(jī)分為干預(yù)組和對照組,結(jié)合用戶信息安全素養(yǎng)調(diào)查過程中發(fā)現(xiàn)的問題,對干預(yù)組進(jìn)行進(jìn)行信息安全干預(yù),實(shí)施包括培訓(xùn)講座、專項(xiàng)指導(dǎo)、發(fā)放信息安全宣傳材料、微信宣傳等一系列有針對性的干預(yù)措施;對照組則不給予任何干預(yù)措施。干預(yù)后對兩組進(jìn)行終末調(diào)查,對比兩組在基線和終末調(diào)查時(shí)信息安全素養(yǎng)水平的變化情況。

1.3數(shù)據(jù)整理與分析

使用EpiData3.1軟件建立數(shù)據(jù)庫,用spss19.0軟件進(jìn)行統(tǒng)計(jì)分析。計(jì)數(shù)資料以構(gòu)成比(%)表示,比較采用χ2檢驗(yàn);計(jì)量資料以x珋±s表示。P<0.05為差異有統(tǒng)計(jì)學(xué)意義。

2結(jié)果

2.1人口學(xué)特征

金山藥品物流管理系統(tǒng)用戶人數(shù)共計(jì)193人,發(fā)放問卷193份,收集到有效問卷共163份,問卷有效回收率84.46%。回收問卷的男女性別比為0.43∶1,平均年齡為(34.69±9.32)歲;用戶角色中,58.9%是普通用戶,41.1%是管理賬戶;52.15%的調(diào)查對象是各醫(yī)療機(jī)構(gòu)藥庫工作人員,31.90%為各醫(yī)療機(jī)構(gòu)信息科信息管理人員。調(diào)查對象的人口學(xué)特征分布見表1。

2.2問卷的信度效度分析

信度(reliability)目前最常用的是Alpha信度系數(shù),一般情況下主要考慮量表的內(nèi)在信度———項(xiàng)目之間是否具有較高的內(nèi)在一致性。通過Alpha信度系數(shù)分析,本研究中,量表的信息安全知識、動機(jī)、角色認(rèn)知、行為等四個(gè)維度的信度系數(shù)均>0.7,總體信度系數(shù)為0.732,問表明該問卷具有可接受的信度。問卷的效度分析主要采用因子分析了解結(jié)構(gòu)效度,首先對問卷數(shù)據(jù)進(jìn)行KMO樣本測度和巴特萊特球體檢驗(yàn),以驗(yàn)證數(shù)據(jù)是否適合做因子分析,得到KMO值為0.713,巴特萊特球體檢驗(yàn)P<0.01,適合作因子分析。按特征值>1的標(biāo)準(zhǔn)提取公共因子,共提取5個(gè)因子,并采用方差最大正交旋轉(zhuǎn)進(jìn)行因子旋轉(zhuǎn),所得因子間不相關(guān),累計(jì)方差貢獻(xiàn)率為60.023%。一般認(rèn)為累計(jì)方差貢獻(xiàn)率大于60%,問卷結(jié)構(gòu)效度尚可。

2.3信息安全素養(yǎng)干預(yù)前后對比

干預(yù)組和對照組的基本情況見表2。兩組性別、年齡、教育程度及賬戶角色構(gòu)成等方面差異無統(tǒng)計(jì)學(xué)意義(P>0.05),具有可比性。基線調(diào)查時(shí),干預(yù)組和對照組在總體素養(yǎng)、知識、動機(jī)、角色認(rèn)知方面無明顯差異(P>0.05)。終末調(diào)查時(shí),在知識、角色認(rèn)知、行為等三方面,干預(yù)組明顯高于對照組(P<0.05),而在總體素養(yǎng)和動機(jī)方面兩組沒有顯著差異(P>0.05)。干預(yù)后,干預(yù)組的總體素養(yǎng)、知識、動機(jī)、角色認(rèn)知等水平素養(yǎng)均有顯著提高(P<0.05或P<0.01),但信息安全行為水平無明顯提升(P>0.05);對照組用戶的各項(xiàng)安全素養(yǎng)水平與總體水平在基線和終末調(diào)查中均無明顯變化(P>0.05)。見表3.

2.4較薄弱的藥品信息安全問題集中點(diǎn)

通過對調(diào)查結(jié)果逐一分析,回答正確標(biāo)記1分,回答錯(cuò)誤標(biāo)記為0分,將各題目分?jǐn)?shù)累計(jì)綜合除以總?cè)藬?shù),得到回答合格率。結(jié)果顯示,系統(tǒng)用戶部分問題的合格率較低,對合格率較低的重點(diǎn)問題進(jìn)行匯總和分析,見表4。以準(zhǔn)確發(fā)現(xiàn)在金山區(qū)藥品物流管理系統(tǒng)用戶之間存在的信息安全方面的問題,便于在后期干預(yù)工作中有針對性的開展干預(yù)和信息安全素養(yǎng)提升措施。

3討論

3.1金山區(qū)藥品物流管理系統(tǒng)用戶的信息安全水平亟待于進(jìn)一步的提高

信息的泄露主要是在于醫(yī)療機(jī)構(gòu)和信息服務(wù)機(jī)構(gòu)人員使用、管理過程中出現(xiàn)的無意泄露,更多時(shí)候信息泄露于無意識的情況下[9,10],另外組織環(huán)境也對用戶提供參考,并對用戶的某些行為有一定的積極或消極的作用[11]。本次調(diào)查發(fā)現(xiàn)金山區(qū)藥品物流管理系統(tǒng)用戶對信息安全的重視程度不夠,用戶在信息保護(hù)、信息安全風(fēng)險(xiǎn)防范方面的能力遠(yuǎn)不能達(dá)到實(shí)際的工作要求,尤其是在信息安全行為方面存在較為嚴(yán)重風(fēng)險(xiǎn)行為,醫(yī)務(wù)工作者需要提高保護(hù)個(gè)人隱私信息的能力和意識,否則將在不經(jīng)意的情況下,侵犯或泄漏醫(yī)療信息資料。同時(shí),應(yīng)通過增強(qiáng)信息系統(tǒng)安全性、建立相應(yīng)的管理制度、加強(qiáng)培訓(xùn)宣傳、規(guī)范工作流程以及用戶操作行為等措施,提高信息系統(tǒng)的安全性。

3.2信息安全干預(yù)措施有效提升了用戶的信息安全素養(yǎng)水平

通過實(shí)施一系列的干預(yù)措施,干預(yù)組的信息安全總體素養(yǎng)、信息安全知識、信息安全動機(jī)、信息安全角色認(rèn)知在干預(yù)前后的差異具有統(tǒng)計(jì)學(xué)意義,均有了顯著的提高,但信息安全行為干預(yù)前后沒有顯著的變化,知識、動機(jī)、認(rèn)知的提高沒有明顯的轉(zhuǎn)化為具體行為的改善,后期應(yīng)注重在提高知識、動機(jī)、認(rèn)知的同時(shí)注重行為的強(qiáng)化和培養(yǎng)。對照組用戶的信息安全素養(yǎng)總體水平以及信息安全知識、信息安全動機(jī)、信息安全角色認(rèn)知、信息安全行為等幾方面水平在基線和終末調(diào)查中均沒有明顯的變化,可見對系統(tǒng)用戶通過多途徑的實(shí)施具有針對性的信息安全干預(yù)措施能有效提高用戶的信息安全素養(yǎng)水平。

3.3組織管理制度的完善和系統(tǒng)安全設(shè)置要求的提升

干預(yù)結(jié)束后,通過梳理制定金山藥品物流管理系統(tǒng)安全管理制度,對管理網(wǎng)絡(luò)、組織分工、賬戶管理、數(shù)據(jù)流通等方面作了詳盡的規(guī)定。根據(jù)管理制度的規(guī)定[12],通過系統(tǒng)運(yùn)維人員在密碼策略、用戶權(quán)限、賬戶清理等方面從系統(tǒng)方面進(jìn)行了設(shè)置和強(qiáng)制性要求。在信息安全素養(yǎng)干預(yù)手段沒有有效發(fā)揮作用的部分,通過制度約束和技術(shù)手段強(qiáng)制,彌補(bǔ)了信息安全教育、培訓(xùn)等手段的不足,實(shí)現(xiàn)金山區(qū)藥品物流管理系統(tǒng)安全性的全面提升。

3.4小結(jié)