时间:2023-06-15 17:27:38
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全监督体系,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】网络型病毒 计算机网络安全 技术实践
1 网络型病毒的特点
1.1 具有较强的执行力
网络型病毒在编制的过程中其原理与正常程序是相同的,因此都能够执行程序中的命令,网络型病毒是一个比较微小的程序,与一般的程序相比,它不是完整的程序结构,往往不能够单独存在,只能通过寄生在文件或是源程序中,通过正常程序的运用进行命令的执行。
1.2 具有传染性,传播速度快
网络型病毒具有自我复制能力,能够在文件或是源程序中进行自我复制,并且在接触其他设备时进行感染。它的攻击速度比较快,可以进行许多破坏活动,并在攻击的同时进行传播。
1.3 具有潜伏性
网络型病毒在感染计算机设备时通常不会马上进行进行攻击,而是会在计算机设备中进行潜伏,然后传染给其他的文件,这个过程人们一般很难发现计算机感染了网络病毒,从而给计算机设备造成了巨大的隐患。
1.4 具有可触发性
网络型病毒潜伏在计算机设备中,在进行某项操作时就可能触发病毒的爆发,造成计算机程序的破坏,因此在进行计算机使用时,严格规范操作可以防止触发网络型病毒,从一定程度上保障网络的安全使用。
2 网络型病毒的防范措施
2.1 加强工作站的防治技术
工作站的防治技术一般分为三种:第一种是利用网络病毒查杀软件,杀毒软件能够检测出计算机中潜藏的病毒,然后提示工作人员进行查杀工作,并且杀毒软件还能根据技术的提升增强杀毒能力,在防治网络病毒的过程中发挥着很大的作用。第二种是在工作站安装防护病毒卡,防病毒卡可以对信息终端的病毒进行随时检测,但是其升级的过程十分复杂,因此会降低网络的运行效率。第三种是安装防病毒芯片,防病毒芯片安装在网络连接口处可以都病毒进行控制和防治,但是病毒芯片的升级也十分缓慢,对网络的运行有一定的影响。
2.2 预防引导型病毒的方法
引导型病毒可以对计算机内存进行控制,其破坏原理是,当人们启动计算机设备时,引导型就会抢先占领内存,然后计算机的运行速度就是被拖慢,另外计算机软盘是最容易产生引导型病毒的,软盘一旦被引导型病毒攻击就会彻底失去工作能力,并且病毒在攻击软盘之后很快进行攻击硬盘设备。因此保护好计算机软盘是防止引导型病毒产生、破坏计算机程序的有效方式,同时也可以利用软盘来对硬盘进行保护。
2.3 预防文件型病毒的方法
文件型病毒是指潜伏在文件中的病毒,攻击对象是计算机中的文件,预防文件型病毒需要加强文件的安全性工作。在计算机系统中安装源程序的检测、查杀软件对于增强计算机系统中的文件有着较好的效果,该软件可以有效区分计算机中的文件和病毒,不会给文件型病毒留下攻击的空间,以此来抑制文件型病毒的传播。
2.4 实行个性化预防措施
网络型病毒通常具有普遍性和大众性,因此具备充分的传播条件,在计算机网络之间进行大肆传播,因而如果我们能够对计算机中的文件或是源代码进行个性化设置,设置出一定的特性,网络型病毒在传播中就会存在一定的困难,从而被有效的阻止,因为病毒并不能随着文件形式的改变而改变,例如我们对文件进行加密或是将文件的扩展名更改,这样病毒就失去了传播的条件,有效进行了防治。
2.5 加强IT人员的职业素养
IT行业的专业性很强,在现在的应用范围也也十分广,IT技术人员运用高科技技术丰富网络环境,维护网络的稳定运行。但同时IT技术也可以对网络环境进行破坏,实施非法行为,并且大量数据显示,网络型病毒的制造者也都是IT行业的从业人员,这都是由于IT技术人员职业素养不高造成的。因此在对IT人员进行职业技能培训的同时也要加强职业素养的培养,提升IT人员的综合素质,让高技术人员更多的为计算机事业做贡献。
3 计算机网络安全技术
3.1 及时进行系统补丁,保障系统稳定性
计算机系统将常会出现漏洞,给病毒的侵入以可乘之机,及时给系统进行补丁可以有效防止网络型病毒攻击计算机的可能,保证计算机的正常工作。用户应该一周至少进行以此补丁,然后在补丁之后重新启动计算机,按照规范进行计算机的操作,并且经常清理不常使用的软件,将不能再使用的应用插件进行卸载,可以增强计算机对病毒的抵御能力,保障网络使用的安全。
3.2 建立防火墙
防火κ潜U霞扑慊不收外界攻击的良好攻击,防火墙可以将计算机系统中的内网和外网进行区分,对于进入计算机网络的信息进行筛选,将带有病毒的或是危险性比较高的信息的数据进行拦截,从而保障计算机系统的安全使用。网络型病毒想要侵入计算机系统时,首先需要攻破防火墙,因此病毒侵入计算机系统的概率就会大大降低。
构建网络安全监督体系,充分发挥网络安全部门的监管职责也是维护网络安全的重要手段,网络安全监管部门应该建立完善的网络安全监督体系,加强网络安全的监管,引进更先进的技术,运用加密技术等方式保护网络信息的安全。
3.4 漏洞扫描技术
漏洞扫描技术是一种主动防范的技术,通过自我检测的方式发现网络环境中的漏洞,进行病毒的查杀,并且梯形网络管理人员对漏洞进行修补,从而阻止网络型病毒对网络环境的攻击。漏洞扫描一般有两种方法,一是获取网络端口的数据与漏洞扫描数据库中的数据进行匹配,发现匹配的数据就是网络环境中的漏洞,然后进行相应的修补;另一种是模拟黑客的身份,对网络环境进行攻击,从而发现网络环境中比较容易被攻击的漏洞,两种方式都可以有效检测到网络环境中的漏洞,在网络型病毒攻击之前进行漏洞的修补,可以有效防止病毒对网络环境的攻击,保障用户的上网安全。
4 结语
网络是一把双刃剑,使用不当就会给自己的生活带来麻烦和损失,因此用户要规范网络使用,安装杀毒软件定期进行病毒查杀,不登录没有安全认证的网页。同时网络技术人员应该运用网络安全技术保障网络环境的安全,防止不法分子的攻击给用户带来损失。
参考文献
[1]张士波.网络型病毒分析与计算机网络安全技术[J].硅谷,2013.
[2]高卫卫.网络型病毒分析与计算机网络安全技术[J].信息与电脑(理论版),2012.
作者:沈宇单位:海南师范大学
计算机局域网网络安全建设策略
1创建独立安全局域网服务器
当前,我国较多局域网体系没有单独创建针对服务器的安全措施,虽然简单的设置可令各类数据信息位于网络系统中高效快速的传播,然而同样为病毒提供了便利的传播感染渠道。局域网之中虽然各台计算机均装设了预防外界攻击影响的安全工具,制定了防范措施,然而该类措施恰恰成为网络安全的一类薄弱环节。在应对局域网络内部影响攻击时,效果不佳,尤其在其服务器受到病毒侵袭影响,会令全网系统不良崩溃。为此,对其服务器独立装设有效防护措施尤为重要。我们应在服务器内部安装单独的监控网内系统、各类病毒库的实时升级系统,令其在全过程的实时安全监督、优化互补管控之下安全快速的运行。当发觉网内计算机系统受到病毒侵袭时,应快速将联系中断,并面向处理中心报告病毒种类,实施全面系统的杀毒处理。而当服务器系统被不良攻击影响时,则可利用双机热备体系、阵列系统安全防护数据信息,提升整体系统安全水平。
树立安全防范意识,提升应用者防毒水平
局域网产生的众多安全问题之中,较多由于内网操作应用人员没有树立安全防范意识,令操作失误频繁发生。例如操作控制人员没有有效进行安全配置令系统存在漏洞、或是由于安全防范意识不强,令外网攻击借机入侵。在选择口令阶段中由于操作不慎,或将自身管理应用账号随意的借他人应用,均会给网络安全造成不良威胁影响。另外,网络钓鱼也成为影响计算机局域网络安全的显著隐患问题。不法分子惯用该类方式盗取网络系统账号、窃用密码,进而获取满足其利益需求的各类重要资讯、信息,还直接盗取他人经济财产。一些网络罪犯基于局域网络系统资源信息全面共享的客观特征而采取各类方式手段实施数据信息的不良截获,或借助垃圾邮件群发、发送不明数据包、危险链接等诱导迷惑方式,令收信方进行点击,对于计算机局域网络系统的优质安全管理运行形成了较大的隐患威胁。为此,应用管理局域网人员应明晰自身责任重大性,以身作则,对于陌生人传输信息、不明邮件不应理睬,还可利用删除、截获、屏蔽、权限管控等手段阻断钓鱼者侵入通道,不给他们以可乘之机,进而净化网络环境。
3实施制度化的文件信息备份管理,预防不可逆损失
一般来讲,各类网络攻击或者是病毒侵袭,均需要首先找到网络系统中的落脚点方能实现攻击窃取目标。而计算机系统漏洞、局域网络后门则为攻击者提供了落脚点,成为不安全攻击的主体目标。当然该类漏洞无法绝对全面的彻底消除。因而,为有效提升各单位计算机局域网络系统的综合安全防护性能,应对系统以及各类数据、信息与文件进行定期全面备份,并确保制度化的实时升级管理,令该项制度成为应用局域网的现实规范。只有快速、及时、全面的实施整体数据信息及系统备份,方能在系统受到不良侵袭、导致信息不慎丢失时能够快速恢复,杜绝不可逆影响的发生并产生永久损失。另外,对于资料信息的整体备份内容同日常应用储存数据不应放于同一计算机或服务器之中,不然该类备份便会毫无意义。如果备份程序还支持加密,我们则可借助数据加密处置,多为磁盘增设一道密码保护屏障。基于计算机病毒发展快速、更新频繁、攻击方式变幻莫测的状况,工作人员还应为整体系统做好维护管理、打补丁升级及全面更新的应用控制,提升整体系统防护病毒影响水平。可通过防火墙系统安装、监督控制手段应用、安装强力查杀病毒工具软件、定期备份杀毒、整理磁盘,注册表清理及冗余删除,规范文件应用及垃圾文件删除等方式,实现系统的安全最优化目标。
结论
总之,计算机局域网网络安全建设尤为重要,我们只有明晰其攻击影响特征、安全隐患状况,制定切实可行的防护管理策略,规范操作行为、做好病毒查杀、危险源防控,及时更新升级,才能真正提升计算机局域网安全环境水平,进而创设显著的经济效益与社会效益。
关键词 计算机;局域网;安全建设
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)81-0224-02
0引言
局域网平台为人们提供了一种实时交流传输、信息化、电子化工作模式,逐步被人们广泛利用并充分重视。局域网络具备显著的客观特征,其开放、广泛的应用环境令自身面临较多不良风险影响,提升了安全应用隐患。为此科学创建计算机局域网络安全应用环境,降低风险影响,优化维护管理势在必行。
1计算机局域网络及其安全内涵
计算机局域网络是在一定区域范畴中将多个计算机集成互联构成的网络系统。其区域界定较为自由,可以是单独的办公室或者建筑物,还可以是校区或社区等。基于不同的硬件设施设备组建构成的计算机局域网络系统可高达数千米范围。计算机局域网体系之中,可借助互联手段实现各项工作日程的高效统一、数据文件的良好同步、利用软件及硬件工具的全面共享等。然而该类功能的达成需要位于局域网之中创建安全有效的措施,而当前,一些安全手段并非十分严格,对于文件信息的安全扫描以及防火墙系统的安全水平设置等级有限。一些单位局域网自身的相互组成连接由于较为简单,应用的技术相对薄弱,没有创建切实可行的安全措施,便给网内传播病毒、安全攻击、漏洞侵袭造成了可乘之机。虽然局域网络系统之中的计算机实现了无缝高效互联,然而简单的设置令来自外界的风险、威胁因素可较为轻易的实现网络系统内部的快速蔓延扩散,一旦其中一台计算机由于操控误差或人为影响感染病毒、遭到侵袭攻击,便很可能令整体局域网络系统面临瘫痪。因此如何确保网络系统内部在高效互联的同时、同外界网络全面沟通的基础上,有效抑制来自外部系统的安全影响威胁,实施有效隔离,成为我们应首要探讨的重点问题。
2计算机局域网网络安全建设策略
2.1创建独立安全局域网服务器
当前,我国较多局域网体系没有单独创建针对服务器的安全措施,虽然简单的设置可令各类数据信息位于网络系统中高效快速的传播,然而同样为病毒提供了便利的传播感染渠道。局域网之中虽然各台计算机均装设了预防外界攻击影响的安全工具,制定了防范措施,然而该类措施恰恰成为网络安全的一类薄弱环节。在应对局域网络内部影响攻击时,效果不佳,尤其在其服务器受到病毒侵袭影响,会令全网系统不良崩溃。为此,对其服务器独立装设有效防护措施尤为重要。我们应在服务器内部安装单独的监控网内系统、各类病毒库的实时升级系统,令其在全过程的实时安全监督、优化互补管控之下安全快速的运行。当发觉网内计算机系统受到病毒侵袭时,应快速将联系中断,并面向处理中心报告病毒种类,实施全面系统的杀毒处理。而当服务器系统被不良攻击影响时,则可利用双机热备体系、阵列系统安全防护数据信息,提升整体系统安全水平。
2.2树立安全防范意识,提升应用者防毒水平
局域网产生的众多安全问题之中,较多由于内网操作应用人员没有树立安全防范意识,令操作失误频繁发生。例如操作控制人员没有有效进行安全配置令系统存在漏洞、或是由于安全防范意识不强,令外网攻击借机入侵。在选择口令阶段中由于操作不慎,或将自身管理应用账号随意的借他人应用,均会给网络安全造成不良威胁影响。另外,网络钓鱼也成为影响计算机局域网络安全的显著隐患问题。不法分子惯用该类方式盗取网络系统账号、窃用密码,进而获取满足其利益需求的各类重要资讯、信息,还直接盗取他人经济财产。一些网络罪犯基于局域网络系统资源信息全面共享的客观特征而采取各类方式手段实施数据信息的不良截获,或借助垃圾邮件群发、发送不明数据包、危险链接等诱导迷惑方式,令收信方进行点击,对于计算机局域网络系统的优质安全管理运行形成了较大的隐患威胁。为此,应用管理局域网人员应明晰自身责任重大性,以身作则,对于陌生人传输信息、不明邮件不应理睬,还可利用删除、截获、屏蔽、权限管控等手段阻断钓鱼者侵入通道,不给他们以可乘之机,进而净化网络环境。
2.3实施制度化的文件信息备份管理,预防不可逆损失
一般来讲,各类网络攻击或者是病毒侵袭,均需要首先找到网络系统中的落脚点方能实现攻击窃取目标。而计算机系统漏洞、局域网络后门则为攻击者提供了落脚点,成为不安全攻击的主体目标。当然该类漏洞无法绝对全面的彻底消除。因而,为有效提升各单位计算机局域网络系统的综合安全防护性能,应对系统以及各类数据、信息与文件进行定期全面备份,并确保制度化的实时升级管理,令该项制度成为应用局域网的现实规范。只有快速、及时、全面的实施整体数据信息及系统备份,方能在系统受到不良侵袭、导致信息不慎丢失时能够快速恢复,杜绝不可逆影响的发生并产生永久损失。另外,对于资料信息的整体备份内容同日常应用储存数据不应放于同一计算机或服务器之中,不然该类备份便会毫无意义。如果备份程序还支持加密,我们则可借助数据加密处置,多为磁盘增设一道密码保护屏障。基于计算机病毒发展快速、更新频繁、攻击方式变幻莫测的状况,工作人员还应为整体系统做好维护管理、打补丁升级及全面更新的应用控制,提升整体系统防护病毒影响水平。可通过防火墙系统安装、监督控制手段应用、安装强力查杀病毒工具软件、定期备份杀毒、整理磁盘,注册表清理及冗余删除,规范文件应用及垃圾文件删除等方式,实现系统的安全最优化目标。
3结论
总之,计算机局域网网络安全建设尤为重要,我们只有明晰其攻击影响特征、安全隐患状况,制定切实可行的防护管理策略,规范操作行为、做好病毒查杀、危险源防控,及时更新升级,才能真正提升计算机局域网安全环境水平,进而创设显著的经济效益与社会效益。
参考文献
关键词:计算机网络;安全隐患;存在的问题;对策
引 言:计算机网络系统越来越多的被运用到信息资源的共享和开放上,信息安全问题日益突出,互联网的规模不断拓展,各类网络安全事故呈现不断增长的态势,黑客、网络犯罪、病毒等安全隐患正在威胁着信息资源的安全。由此可见,作为一项综合开发的系统工程,计算机网络安全需要我们进行长远的规划和摸索。
一、计算机网络安全的定义
互联网技术起源于20世纪60年代,繁荣于90年代,在人们的日常生活中起着举足轻重的作用。计算机网络安全要求各类数据在任何情况下不被篡改、泄露、损坏,同时要保证计算机系统内部硬件、软件以及数据资料的稳定、安全,除此之外,还要充分保证计算机系统的持久稳定运转,保证网络连接的延续性和及时性。由此可见,计算机网络安全有着其深层的内核,即保证网络信息资源传播的安全、完整、严密、真实、实用等。
二、计算机网络安全问题分析
计算机安全隐患是由多种因素造成的,信息技术不断进步,信息化成为时代潮流,信息处理主要依靠网络手段,信息数据的机密性和重要性等都加剧了信息资源的安全隐患,截至目前,计算机主要存在黑客攻击、恶意篡改资料、病毒、系统漏洞等安全隐患。
1.计算机网络的物理安全问题
计算机网络安全最基本、最核心的是计算机物理安全,水灾、火灾、地震等灾害均会影响到计算机的网络安全。除此之外,防雷电、电磁干扰、防火、防水等设备环境也会影响到计算机网络安全。
2.计算机病毒
《中华人民共和国计算机信息系统安全保护条例》曾如此解读计算机病毒:计算机编程人员在进行程序输入时无意识的行为造成计算机操作功能障碍或者损坏计算机原有的数据资源,所编的计算机程序代码或者指令影响到计算机的正常操作功能和自我修复、自我复制。计算机病毒有其自身显著的特征,如传染性强、破坏性大、复制性强等。计算机病毒以网络媒体作为传播媒介,时刻威胁着计算机系统的网络安全。“极虎病毒”出现于2010年,“极虎病毒”侵入计算机后会占用CPU程序,360安全卫士、瑞星等杀毒软件会出现自动关闭的现象。“极虎病毒”会自行篡改系统文件、损害杀毒软件等,更为甚者会泄露网络或计算机的账户信息,一旦出现账户被盗的现象将会造成严重的经济损失。
3.计算机操作系统、软件安全漏洞
漏洞指协议、软件、硬件等在实施或者在系统安全问题等方面存在问题和缺陷,它会使计算机攻击者在未经授权的情况下肆意访问或者损坏计算机系统。Windows XP、Windows 7等系统不断完善,但仍存在漏洞。计算机用户所使用的应用软件不可避免的存在设计上的不足,极易引起黑客恶意攻击和网络病毒的乘机而入,这些都为计算机网络安全敲响了警钟。
4.人为因素造成的网络安全问题
(1)计算机操作人员安全意识较为薄弱,安全意识薄弱。威胁网络安全的因素是多方面的,如网络管理员、系统设置错误、计算机用户操作口令泄露,新建文件未有效删除被窃取等。
(2)计算机的群体水平良莠不齐,任何不合理的人为原因都会造成网络安全隐患的发生。群体计算机的水平不一,人为操作引起的失误也会破坏网络安全。
(3)对网络信息安全缺乏健全的管理机制,监督力度不够,相关执法人员对网络安全制度的实施和监管力度不够,给网络安全埋下了严重的隐患。
三、解决计算机网络安全问题的对策
计算机网络存在的若干问题需要健全的安全策略进行监管。安全策略作为一项规则,是计算机使用者在特定环境为得到安全保护所必须遵守的。计算机网络安全策略涉及多方面因素:
(1)建立健全完整严密的信息安全体系。国家和政府应该从中国实际情况出发,制定符合规律的法律、法规和相关政策,严厉打击网络犯罪行为,建立健康、稳定、安全的网络环境;
(2)引进和开发先进的网络安全技术,从技术层面保证计算机网络的安全;
(3)加强对网络安全的监督和管理,完善网络使用企业、单位或机构的信息安全管理机制,加大网络安全监督的执法力度,培养网络使用者的安全防护意识。
1.加强网络安全的物理环境建设
相应的物理环境因素会危害计算机的网络安全,保证计算机系统、通信链路或者网络设备安全,必须化解人为破坏、自然灾害和各种物理手段对计算机的损害。同时,要对计算机设备的关键部分进行电磁防护,为计算机网络安全建构安全、稳定的物理环境。
2.信息加密技术
信息加密技术能最有效的保证信息资源的安全。密码技术是多学科综合的交叉学科,集计算机科学、通信、电子、数学等各类学科特点于一身,能对数据资料等进行加密,同时能实现有效身份验证、秘密分存、数字化签名等手段,杜绝信息被恶意篡改和盗取。通常所说的信息加密技术指:保护关键密钥KEK定期变换加密会话密钥的安全密钥、动态会话密钥。
3.防火墙技术
网络防火墙能创设安全的计算机网络环境。防火墙能够有效隔离内部网络和外部网络,通过建立网络通信监督体系实现阻隔外部网络入侵的作用,与此同时,还能实现杜绝网络非法操作现象的发生。防火墙技术能对存在安全隐患的因素进行拦截、过滤和阻挡,还能最大限度的保证网络信息传播途径的安全、可靠。目前市场上广泛使用的防火墙技术包括防火墙和包过滤防火墙两种类型,能为客户提供多样的防护技术和方法。
4.计算机防毒和杀毒
计算机病毒是网络安全的一大隐患,安装杀毒软件能保障网络安全。杀毒软件安装完成后要定期对计算机进行扫描和杀毒,及时消除可能存在的安全隐患,与此同时,及时升级或更新病毒库和杀毒软件。常用的杀毒软件包括瑞星杀毒软件、360安全卫士等。
5.安装补丁程序
目前广泛使用的WindowsXP,Vista,Windows7等操作系统都或多或少的存在系统漏洞。为了防止黑客恶意攻击,要及时在官方网站进行补丁程序的下载和安装,为计算机网络构建和谐、安全的运行环境。
6.提高安全防范意识
网络使用者安全意识薄弱是引发网络安全事件的重要因素。加强网络操作者的安全防护意识、提升网络安全的整体技术水平,实现计算机网络系统的安全操作,同时,加强网络监管的力度,减少人为原因造成的网络安全事故。
四、总结
互联网技术的迅猛发展使网络安全成为不容忽视的问题,计算机网络有着显著的开放性特征,所以网络攻击和破坏现象时有发生。人为因素和自然因素都会不同程度的损坏计算机网络系统,潜在威胁除了影响局域网还会危害广域网。网络安全需要引起我们的极大重视,我们要规范自身行为,文明上网,不访问不健康网站,严格遵守网络安全的各项规章制度,保证良好、健康、安全的网络使用环境。
参考文献:
[1]蒲飞.计算机网络安全问题分析与对策[J].2012(04)
[2]黄丹.关于计算机网络安全问题分析及对策研究[J].2011(10)
关键词 电力;信息;自动化;网络;安全
中图分类号TM6 文献标识码A 文章编号 1674-6708(2014)119-0214-02
0引言
电力信息自动化网络安全与实现一直是有关企业电力部门工作人员关注的重点。由于网络是一个相对开放的平台,因此在电力系统中应用网络技术不可避免的就会受到一些网络技术的负面影响,例如病毒袭击,黑客入侵等。因此我国有关电力工作人员针对电力信息自动化网络的安全进行了周密的研究,就如何实现电力信息自动化网络安全提出了诸多的有效的策略。
1加强设备管理,注重设备维护
将电力系统与网络技术相结合不仅需要网络技术的支持还需要一些计算机以及相关电子设备的辅助,而这些计算机以及相关电子设备在实际应用的过程中,经常会成为威胁网络安全的主要因素。因此有关管理人员在维护电力信息自动化网络安全的过程中应对相关设备产生一定的重视,具体来说有关管理人员应从以下几个方面入手对其进行管理:1)加强设备管理。加强设备管理最有效的办法之一就是将所有设备进行统一的管理,针对设备的种类,特征等进行有效的记录。并且构建起高效的设备管理体系,在进行设备管理的过程中,可以针对设备出现的问题进行及时的发现与解决;2)注重设备的维护。设备在进行使用的过程中经常会出现一定的耗损,而过度的耗损将对设备的使用效果以及设备的实际功能等产生影响。因此有关管理人员应加强对设备的维护工作,针对设备存在的故障进行及时的检修,同时要对设备的性能进行了解,针对性能下降或是需要更新的设备进行及时的淘汰,进行新设备的更换。
2强化技术应用,促进技术革新
网络平台最突出的安全问题就是病毒与黑客,因此在进行电力信息自动化网络安全的控制过程中有关人员应通过网络安全技术的应用对病毒与黑客进行一定的预防。具体来说有关人员应从以下几个方面入手:1)强化技术应用。网络安全技术的应用应侧重全面性与专业性。在进行杀毒软件选择的过程中应选取信誉有保障,有专业技术支持的杀毒软件品牌,例如:360,金山,瑞星等。另外,由于电力系统具有一定的特殊性,因此应在单位范围内建立局域网便于单位内部交流,避免病毒以及黑客从外部进行入侵。同时有关管理人员还应借助网络技术建立其有效的网络预警与保护系统,对整个电力信息自动化网络安全进行全方面的保障;2)促进技术革新。网络技术的发展具有着日新月异的特点,因此电力信息自动化网络安全管理人员应对网络安全技术的发展给予足够的关注,积极的对单位内部的网络安全技术进行更新。同时有关人员还应对病毒的发展以及升级产生重视,针对新兴的病毒提前制定出有效的预防措施,避免电力系统受到病毒的侵害。
3建立管理部门,施行全程监督
为了有效的对电力信息自动化网络安全进行保障,有关企业电力部门应对电力信息自动化网络安全管理产生重视,具体来说可以做到以下几个方面:1)建立管理部门。专门的管理部门可以让电力信息自动化网络安全管理更加的系统化,全面化,同时对于管理的目的与管理的职能也更加的明确。因此有关企业应积极的在单位内部针对电力信息自动化网络安全管理建立起专门的管理部门,并制定出条理清晰,内容具体的管理制度,对管理人员的工作进行详细的指导与规范,提升电力信息自动化网络安全的管理质量;2)施行全程监督。监督管理是减少系统运行问题的主要手段之一。因此在对电力信息自动化网络安全进行保障的过程中,管理人员应对网络安全问题进行全程的监督。具体来说这种全程的监督包括两个方面,一是通过建立网络预警系统的方式进行自动化的网络安全监督。二是加强对设备管理以及设备维修等方面的监督,这部分的监督一般应以人力为主,就工作中的问题进行及时的指出,强化安全管理的职能。
4完善物理环境,强化安全意识
物理环境一般是指设备放置的外在环境,在实际的工作过程中由于物理环境管理不善而造成网络安全事件出现的案例时有发生,例如,由于散热工作不到位,导致火灾的产生。因此有关人员在进行电力信息自动化网络安全保障的过程中,不仅要对网络技术本身进行考虑,同时还要对设备存放的环境进行一定的管理,具体来说包括选择合适存放空间,保持室内卫生,注重设备通风降温,准备备用电源避免断电引起网络瘫痪等。除此了要进行必要的工作之外有关管理人员还应培养起一定的安全意识,通过学习安全知识,了解安全常识的方式,强化管理人员在对物理环境进行管理过程中的管理质量,在最大的限度内减少物理环境问题的出现。
5招聘专业人员,提高操作规范
通过对我国电力信息自动化网络安全管理现状进行研究,我们发现我国大多数企业在进行网络安全管理与维护的过程中,其工作人员在专业性上存在着一定的不足,使得网络安全的管理难以得到有效的保障。因此在今后的工作过程中有关企业应从以下几个方面入手对问题进行解决:1)招聘专业人员。虽然计算机在我国已经得到了一定的普及,绝大多数的民众都可以对计算机进行基础性的操作。但是电力信息自动化系统其在进行应用的过程中对于操作人员网络技术的掌握水平有着更高的要求,因此非专业人员难以对其进行有效的维护。因此有关电力企业应对网络安全维护人员进行素质审查,将不具有专业资格的管理人员从网络安全管理部门剔除,并有针对性的招聘专业人士进行网络安全管理。只有这样才能对电力信息自动化网络安全质量起到一定的促进作用;2)提高操作规范。由于电力系统对社会生活有着密切的影响,因此电力企业应对有关人员具体的操作规范进行一定的提升,使得网络安全管理人员可以对自己的工作进行更加严格的要求,对网络安全的管理效率进行有效的提升。
6结论
综上所述,我国电力信息自动化网络安全应从加强专业性的角度入手,建立起专业的管理部门对其进行管理与维护,通过提升人员素质、加强技术应用、维护物理环境等方法,对电力信息自动化网络安全进行有效的实现。
参考文献
[1]肖红亮.电力系统网络安全及其对策浅析[J].科技信息,2010(3):34-36.
关键词:电力;信息;自动化;网络;安全
1正确认识电力自动化网络安全现状
20世纪90年代末是我国电力自动化产业实现较快发展的起点,其主要表现是该产业实现市场化且多种自动化产品被不断推出和实现广泛运用。由于电力安全直接受到运行质量和保养质量影响,还与自然因素密切相关。因此,对电力安全来说,既是技术性问题,也是经济性问题。合理解决电力系统安全问题,对于实现社会经济正常发展,社会活动正常进行,其意义十分重要而且重大。
2电力自动化网络安全的主要问题和缺陷
电力系统中,电力自动化的网络安全是其重要组成部分,既是科学理念,也是整个系统建设中比较重要的内容[1]。因此,要做好该系统网络安全管理的科学分析和系统调查,通过调查和了解其安全管理方式,采用方法中是否存在着误区和具体缺陷,并以此为基础,进行合理解决,消除缺陷,才能实现有力提升电力自动化安全管理水平的提升和进一步飞跃。从目前看,电力自动化网络安全主要问题和缺陷主要表现在以下方面。
2.1重视程度不够,态度亟需端正
电力自动化处于供用电双方的中间地位,对于保证各行各业正常运转,其作用十分重要。因此,该系统实现安全稳定运行必须要以科学谨慎的态度对待才能保证,否则可能会引起大的损失,甚至带来巨大的灾难。因此,必须要以科学理念,认真负责的态度,将其作为工作的指引。所以,作为电力系统的管理者,应自始至终强化对员工思想教育,把其作为首要任务基本条件。
2.2技术和方法需不断完善
先进的科学技术,可以把人力从枯燥重复的操作中解放出来,还可以实现操作的方便,最大限度地减少人为误操作现象的发生。对电力供应系统来说,产生电力和供给电力,是整个系统中最为基础的部分。同时,也正因为如此,部分从业人员对电力自动化系统设备管理重视不足,认为在发电和供电两个环节采取措施就足够。这种观念,造成网络安全管理规章制度执行力不够,贯彻不到位[2]。此外,还体现为虽然执行了电力自动化网络安全管理的规章制度,但在布置和安排上,达不到科学和合理的标准,其结果是耗费大量人力物力,而且效果并不理想,造成其管理的形式化和表现化现象的发生。加强电力自动化系统网络管理意义是多方面的,既可能提升企业事业单位的经济效益和利益,还可以有效保证设备安全和工作人员的人身安全;同时,还可以在一定程度上降低工作人员的工作强度,较大程度地减少安全隐患和事故的发生。这是符合建设供电系统设计的原则和基础的,需要引起重视。
2.3监督不够和责任落实不到位
从安全管理的角度来说,在电力系统安全方面出现的人身及设备事故占有相当比例,由此带来了巨额损失。但是,按“四不放过”的原则对事故的原因进行分析时,这些事故当中,有相当部分,都是可以通过科学的手段避免的。由此可知,在电力系统,进一步落实监督机制,抓好责任落实,其科学性和价值都是十分明显的。这些电力自动化系统的网络安全出现问题导致的生命财产损失,既是工作人员不可推卸的责任,也带来了无法挽回的生命损失,尤其令人痛心。
3实现电力自动化系统安全的有效措施
3.1提升设备管理和维护水平
实现电力系统与网络技术之间的完美结合,需要从网络技术方面的支持和计算机及电子设备发挥辅助作用。计算机及相关电子设备,也常常成为使网络安全受到威胁的目标。因此,要提升设备管理和维护水平,需要设备管理人员对电力信息自动控制化的相关设备的维护工作给予重视,从而实现设备管理制度的有效提升。其提升手段应该从以下方面着手。(1)设备统一管理。将所有设备的管理实现统一化,实现归口管理,由专人具体负责设备的登记、记录等,包括更新记录、改造记录,不断完善各项大修、中修、小修制度,实现设备管理的电子化、模块化,以便于及时和处理各类设备管理中的实际问题,构建科学高效的设备管理体系和制度。(2)提升设备维护水平。要对设备维护工作给予重视,对于使用中出现的设备损耗,要及时进行科学合理的修复,了解和掌握设备的性能。对于出现因金属材料磨损等原因产生的故障,要及时给予更换或淘汰,并做好设备更新工作。
3.2引进使用先进技术
网络平台是一柄双刃剑,在给人们带来便利的同时,也带来了病毒以及黑客这两个较为突出的问题。因此,做好电力信息自动化网络安全管理的工作,预防病毒和黑客入侵网络,是必须引起重视的关键性问题,需要重点做好预防。具体来说,作为网络安全管理人员,应该做好以下几个方面的工作。(1)引进先进技术。确保网络安全,从技术应用来说,重点考虑技术的全面性与专业性两个方面。杀毒软件是防止病毒的有力武器,为避免杀旧毒,生新毒,应该选择和购买那些知名品牌,信誉上有较好保障,由专业技术提供有力支持的杀毒软件,例如,在国内普遍使用的360杀毒、金山软件等。另外,考虑到电力系统网络的特殊性,应建立局域网,方便在单位范围内使用,并为单位内部交流提供方便,尽可能不接入外网,以避免病毒、黑客以各种技术手段从外部入侵。同时,作为网络的有关管理人员,要积极学习先进的网络技术,建立各种有效的网络预警系统和各类诸如防火墙之类的保护系统,为整个电力信息自动化网络提供网络安全方面的有效保障。(2)加快技术革新。网络技术发展是十分快速的,可以说是日新月异。因此,作为负责电力信息自动化网络安全方面的管理人员,要站在技术发展的前沿,准确把握和及时关注各类安全技术发展,并做好内部网络安全技术的更新工作。同时,还要积极关注与之相关的新闻报道,掌握病毒的发展趋势和最新升级进展情况,做到防范上胸有成竹,有的放矢,不打无把握之仗,为确保电力自动化网络系统安全打牢基础,避免系统受到各类病毒的侵害。
3.3提升安全管理的专业性
为了实现有效保障对电力信息自动化网络安全,有关企业电力部门在进行系统网络安全管理时,应该重视其专业化保障。要做到这一标准,应该从以下方面加以努力。(1)建立专业管理部门。建立专业管理部门,其目的是实现电力信息自动化网络在安全管理上实现系统化,全面化要求,同时,也可以进一步明确管理目的、目标、职能和落实责任。要做到明确职责、落实责任,使系统网络安全的管理质量进一步提升。(2)做好全程监督。要积极做好在网络安全问题各个管理流程的全程性监督。要建立网络预警系统,实现网络安全监督自动化。从设备管理及设备维修方面做好全程监督,做到及时指出和解决处理问题,强化安全管理的职能。
3.4强化安全环境意识
主要从物理环境安全和意识安全两个方面进行考虑。从物理环境而言,主要是做好设备所处的环境管理,避免由于物理环境管理不善(如设备过热失火)造成网络安全事件。所以,做好该系统安全保障,既要充分考虑网络技术本身,还要做好设备存放的环境管理。要选择合适的存放空间,保证室内有良好卫生,加强设备的通风防鼠防潮降温、设备备用电源等。此外,还要加强人员的安全意识教育培训,加强安全知识培训,提升物理环境管理质量等,避免因环境管理和安全意识不到位造成损失。
3.5提高人员技术水平
提升电力信息自动化网络安全管理人员的技术水平,也是一个关键性的环节。要从以下方面实现管理管理人员水平的有效提升。(1)招聘专业人员。虽然计算机已经得到一定普及,但与电力信息自动化系统安全管理要求相比,多数人员的水平满足不了要求。所以,其有效维护仍然难以实现。故此,作为电力企业,要对网络安全维护人员进行严格把关,坚持严进宽出原则,实行专业化管理,专业性审查,专门化管理。必要时,可以针对性地招聘专业人士进入到网络安全管理队伍当中,实现专业性的工作由专业人才来负责,提升电力信息自动化网络安全质量[3]。(2)提高操作规范。电力系统对于社会生活来说,其意义非常重大,不但是良好生活秩序的保障,也直接影响着公共安全,与社会生活密切相关。所以,电力企业应积极做好操作规范的提档升级,在深入总结经验教训的基础上,做好操作规范的不断完善工作,使工作标准进一步提高,管理效率进一步提升。
4结语
综上所述,作为电力信息自动化网络安全来说,其目前在此方面的不足之处需要引起足够重视,同时,要进一步采取积极有效措施,主要是建立专门化机构,提升其专业性含量,提高专业人员素质,加强新技术应用、改善物理环境等方法,以实现电力信息自动化网络安全的有效管理。
参考文献
[1]肖红亮.电力系统网络安全及其对策浅析[J].科技信息,2010(3):34-36.
[2]傅达宏.浅谈电力调度自动化系统及其网络安全性分析[J].机电信息,2011(9):56-59.
一、当前铁路会计信息体系的关键意义
所谓的会计信息体系是说结合信息技术对相关的内容开展收集以及整顿等,开展核算工作,而且能够为会计管控以及决定等活动提供非常精准的信息的一个全面的体系。这个体系是在当前的网络经济的前提下出现的,其是在网络背景之中对于所有的经济活动等开展的明确以及计量等工作。比对于过去的会计来讲,铁路的财会活动使用信息体系具有非常多的优点。第一,提升其信息化的发展速率,通过信息化的发展带动别的机构落实好信息化,进而确保铁路朝着更为优秀的方向发展。第二,提升其管控能力,把静态的管控变化为动态的模式,提升活动的功效。确保信息的关键意义能够有效地展示出来。第三,铁路局经由该体系来掌控成本,确保了定额等具有非常优秀的自动化意义。确保了铁路的活动功效以及运作功效等都能够结合特定的目的去发展,进而确保预算管控活动能够顺畅有序的发展。
二、当前体系中面对的不利现象
2.1 网络面对很多的不安全事项。以会计体系的运作来看,其关键是将网络环境当成是关键的发展背景。不过,我们国家目前对于网络方面的犯罪问题的惩治力度较低,没有综合化的法规条例,此时就导致黑客等能够经由木马程序来获取个人的信息,最关键的是对于这种问题的处理难度很大。出处之外,网络中的病毒等也会干扰到它的安全性。
2.2 软件不具有优秀的稳定性意义。当前体系的活动,关键在于有关软件的品质以及稳定性等内容。不过,我们国家如今的较多软件中都有不稳定的现象,这样就会干扰到相关的体系效率。因为软件而使得工作者无法正常活动的现象也是经常性的会出现的,此时就导致办公费用变多了。
2.3 内控体系不合理。对于该体系的发展来讲,其存在很多的不利现象,比如权责混乱,体制不合理等,关键是因为铁路目前还没有设置好和该体系保持一致的内控体系。在这种背景滞洪,会使得信息不真实,而且导致权限受到影响,进而干扰到铁路单位的运作。
2.4 工作者的素养要切实的提升。该体系要靠着那些有着优秀的素养,以及专业技术的工作者来落实。不过通过分析当前的形势我们得知,工作者目前的能力是无法合乎信息的发展规定的。通过分析工作者的具体状态我们得知,很多的工作者原地踏步,不积极的学习相关的知识,对于该项建设工作的关注度太低,此时使得自身的知识体系不能够得以完善,其业务水平太低。以铁路局来看,虽说经常性的会开展体系的培训等工作,不过其用时太短,无法确保工作者了解相关的活动要点等。[LunWenData.Com]
三、解决我国铁路会计信息系统发展问题的对策
3.1 加强网络安全监督管理。首先,对于日益增多的网络犯罪问题,国家应制定相关的法律法规对其进行规范和监管。目前,我国虽然也设立了网络警察,但由于制止网络犯罪的成本相对较高,从而不符合成本效益的原则;其次,铁路部门应对存在于会计系统的各种安全问题向上级有关部门汇报,并及时更新杀毒软件查杀电脑中可能存在的病毒或木马程序;再次,必须有效地控制系统软件的安装和修改,并对重要文件采取加密等措施或是利用网络软件对读取权限进行必要的限制,以此来避免会计数据信息被删除或破坏;最后,需对系统软件进行定期检查。一旦系统被破坏,系统软件应具备强制备份、紧急响应、快速重建及恢复等功能。
3.2 改善系统软件的稳定性。改善系统软件的稳定性必须从根源上入手。在设计时应尽量避免软件存在bug等漏洞,使软件能够安全稳定地运行,同时软件的运行环境也应尽可能与操作系统相吻合,防止不兼容的情况发生。为了使系统软件具有更高的稳定性,软件开发商应在系统运行之初做好大量的模拟试验,使会计系统软件更符合铁路部门的客观实际情况。此外。在软件研发后,应先找一些试点单位进行试运行,并结合具体运行情况对软件中存在不足之处加以解决和修改。
一、企业安全管理三大问题
自“棱镜门”、iCloud照片泄露、携程及支付宝等企业接连宕机等事件发生之后,信息安全已被国内外政府、行业和企业推到了前所未有的高度。国务院《关于积极推进“互联网+”行动的指导意见》中也明确提出,要提升互联网安全管理、态势感知和风险防范能力,加强信息网络基础设施安全防护,加强“互联网+”关键领域重要信息系统的安全保障。信息安全危害事件频频爆发。2015年5月,网易、支付宝、携程、艺龙、知乎、Uber等多家知名企业出现接连宕机,互联网安全问题频繁出现并集中爆发,这为我国企业安全管理敲响了警钟。企业处理突发事件能力较弱。网易、支付宝、携程等互联网企业宕机后,很长时间才得以解决,表明企业在应对安全威胁突况时的力不从心,也反映出企业对信息安全中的外部威胁难以进行有效防范和及时应对。目前,我国互联网企业总体停留在安全保障、被动防御阶段,并未形成明确推进信息安全的管理措施。企业对信息安全重视程度不够。与发达国家相比,我国企业用于信息安全方面的投资还很低,尚未占到企业信息系统建设总成本的2%,而国外企业用于安全系统的投资占整个网络建设投资的15%~20%。例如,2014年我国信息安全投资总额为22亿美元,不及美国的3.2%,且企业投资重点集中在安全基础设施建设、产品更新换代等,对安全服务投入明显不足。许多企业口头上重视信息安全,但未付诸实践。
二、构筑企业安全三重防线
建设合理先进的信息安全管理系统。企业应重点加大对安全评估测评工具及技术、数据防泄露及敏感信息防护技术、大规模网络安全态势感知技术和统一身份管理与认证技术的研发投入,重点建设一个集风险评估、安全策略、防御体系、实时检测、数据恢复、安全跟踪和动态调整为一体的信息安全管理系统,加大信息安全管理的重视力度,从产品、技术、管理和制度多个维度来解决信息安全问题。建立信息安全风险防范和灾难应对体系。建议企业参照金融行业的管理模式,主动建立风险防范和灾难应对体系,出台具备面对突发状况的应急方案和数据备份双重机制,并重点开展以下工作:完善、优化企业内部网络架构,构建全方位的数据泄露防护系统,建立一体化的本地/异地备份与容灾体系,建立防火墙、防入侵及一体化安全网关解决方案,提高漏洞发现及应急解决能力、减少高危漏洞带来的危害。联手产业链上下游共筑安全防线。信息安全已不只是企业本身所能掌控的,比如支付宝服务器故障的主因是杭州市萧山区某地光纤被挖断导致,这就需要电信运营商等加大对光纤光缆安全监督。因此,互联网企业应与产业链上下游企业携手,做到信息数据、用户隐私、软硬件产品等不同类型的安全问题与行业相对应,有效防范安全管理脱节、错位等问题发生。随着互联网与各行各业的深度融合,信息安全威胁事件出现常态化趋势。企业应紧密围绕内部和外部环境,加大信息安全管理工作力度,有效减免信息安全危机事件。
作者:宋德王 单位:赛迪智库电子信息产业研究所
[关键词] 网络 信息安全 法律保障
美国2002年《联邦信息安全管理法》规定,信息安全指确保信息和信息系统免受非授权访问、使用、披露、中断、修改或破坏,以实现完整性、机密性、可用性。那么,网络信息安全就是指在网络环境下确保网络基础设施免遭干扰、破坏,从而实现网络信息的完整性、保密性、可用性和真实性。
互联网是一个开放的网络,任何团体或个人都可以在网上方便地传送和获取各种各样的信息。由于网络的迅速发展而自身的安全防护能力很弱,许多应用系统处于不设防状态,存在着极大的安全风险和隐患。网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全方面的巨大挑战。近年来,因网络信息安全而造成的突出事件,如“艳照门事件”、“熊猫烧香事件”等引起了人们的广泛关注,也使我们认识到建立网络信息安全的紧迫性与必要性。网络信息不安全可以毁人一辈子,会带来严重的、恶劣的社会影响和巨大的经济损失。有人言:电脑不可靠!网络更不可靠!在互联网时代是否真的无安全可言?除了本身技术手段之外,我们的法律体系对网络信息安全还要去如何加强?这都是我们需要继续努力的方向和思考的问题。从法律的角度来探求网络信息安全的保障,到底有什么样的规范和措施呢?
首先,要明确法律责任的责任主体。法律责任就是由特定法律事实所引起的对损害予以赔偿、补偿或接受惩罚的特殊义务。责任主体是指因违反法律、违约或法律规定的事由而承担法律责任的人,包括自然人、法人和其他社会组织。责任主体对于法律责任的有无、种类、大小有着密切的关系。
目前,我国法制体系中就网络信息安全问责中主要是针对违法犯罪的自然人,而忽略了网站的法律责任。本文认为要建立网络信息安全的保障,需要强化个人与网站双方的法律责任。在网络违法犯罪过程中,人是主谋,网站则是主要帮凶。日前,闹得沸沸扬扬的“艳照门事件”中,我们追究了原始投放者的法律责任和传播者的法律责任。而且在我国《刑法》中第三百六十四条明确规定:传播的书刊、影片、音像、图片或者其他物品,情节严重的,处二年以下有期徒刑、拘役或者管制。其别强调了非牟利的传播也可以构罪。但对于网站传媒仅仅从道德上予以回击,而缺乏法律约束及相关法律责任的追究。
按照引起责任的法律事实与责任人的关系的不同,法律责任可以分为直接责任、连带责任和替代责任。根据法律责任的类型可把法律责任分为民事法律责任、行政法律责任、刑事法律责任和违宪责任。在危害网络信息安全的法律问责中,原始违法犯罪人所造成的不利后果是直接的、明显的、严重的,应承担直接法律责任与刑事法律责任。后承违法犯罪人(传播者等)所造成的不利后果是直接的、有一定危害性的,应承担直接法律责任与民事法律责任,情节特别严重的也应追究其刑事责任,这在我国现有法律体系中已有明确规定。网站传媒作为社会组织,理应具有职业操守与社会责任感,是公民权利的代言人,是网络信息安全的管理者与执行者,如在维护网络信息安全的过程中成为了公民私权的侵犯者,除了予以道德谴责之外,还要承担一定的法律责任,即相应的连带法律责任与民事法律责任。
其次,要以法律手段强化网络监管。俗话说:三分技术,七分管理。这在网络信息安全领域也同样适用。据有关部门统计,在所有的网络安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。属于管理方面的原因比重高达70%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,在维护网络信息安全过程中,网络监管是关键,并且应由一定的法律来强制保障实行。
以法律强制手段推行网络实名制。网络实名制指在网络环境中传递信息时应使用真实身份资料认证的制度。网络以计算机为依托,借助一定的计算机符号来承载信息,带有很强的虚拟性。在这个虚拟性高的空间来实现非虚拟的信息安全管理具有一定的难度,因此就需要用法律的强制手段来推行。比如:上传网络信息的法律约束与管理。无论是个人还是集体要在网络中上传信息应受到一定的法律约束。不能是任何人任何时候都可以在任何网站上传任何信息,如要上传,应有特定的监管程序通过网络实名制的信息库检验其身份资格的合法性才能进行。当然这其中涉及到一个公民私权(个人隐私权等)的规避问题,但是我们的法律可以先在部分网站、部分领域实行网络实名制,等到条件成熟之后再全面推行。
进一步推广与完善电子签名及相关法律。电子签名也称作“数字签名”,是指用符号及代码组成电子密码进行“签名”来代替书写签名或印章,它采用规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项数据电文内容信息的认可。2004年8月,我国正式颁布了《中华人民共和国电子签名法》,并于2005年4月1日起正式施行。这是我国首部真正意义上的信息法律化,它明确了可靠的电子签名与手写签名或者盖章具有同等的法律效力。通过应用电子签名认证证书实现网上身份识别认证,并确保信息在网络中传输的保密性、完整性、以及行为的不可否认性。针对目前“电子认证”等实践中的具体问题,应加快相关法律的建设与完善。
落实网络信息安全等级评价。网络信息系统的安全等级是指国家信息安全监督管理部门根据计算机网络处理信息的敏感程度、业务应用性质和部门重要程度所确认的信息网络安全保护能力的级别。信息系统安全等级评价是指评价机构根据国家信息安全等级技术标准和管理标准,对使用单位的信息网络进行安全等级检测、评价和监督的活动。对于网络信息安全等级评价不合格的单位部门应由法律强制撤消其处理网络信息等相关职能或给予一定期限进行整改。
加强网络实名制、电子签名、网络信息安全等级评价等一系列法律的建立与完善,是强化网络信息安全监管的保障。
最后,要进一步制定完善信息安全法律法规,加强网络信息安全的法律宣传与教育。国外的信息安全立法活动进行较早,尤其是美国的信息安全法律体系较完备。我国的信息安全立法仍处在起步阶段,还没有形成一个具有完整性、适用性、针对性的法律体系。这个法律体系的形成一方面要依赖我国信息化进程的深化,另一方面要依赖对信息化和信息安全的深刻认识和技术、法学意义上的超前研究。我国已有的法律法规从不同的层次对信息安全问题做出了规范,如《国家安全法》、《中华人民共和国电子签名法》、《中华人民共和国计算机信息网络国际互联网络安全保护管理办法》等使我们初步有了处罚网络信息安全违法犯罪的法律依据,但还有很多领域缺乏对信息犯罪进行定罪处罚的法律依据,有待进一步完善。
安全意味着受到保护,免受那些有意或以其他方式产生危害的人的攻击。网络安全是对网络组件、连接和内容的保护。信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护。网络信息安全的法律法规教育是计算机信息系统安全教育的重要内容。不管是作为一名计算机工作人员,还是普通计算机用户,都应该接受相关法律法规的教育。尤其是那些使用网络机会多而且很活跃的群体,更应该熟悉和掌握我国的信息安全方面的法律法规。法律法规是保证计算机信息系统安全准则,法律法规教育是遵守法律法规的必由之路。
总之,建立网络信息安全问题日益紧迫,为保障公民的合法权益,健全我国的法制建设,在提高网络技术的同时,我们也要重视相关法律的完善,使网络信息安全切实得到法律的保障。
参考文献:
[1]郭明瑞:民法[M].高等教育出版社,2005.6
[2]张文显:法理学[M].高等教育出版社,2004.5
[3]田文英符秋艳:论网络信息安全法的调整对象[J].情报杂志,2005;(4)
[4]周磊刘可静:我国网络信息安全问题及其立法探讨[J]. 图书情报工作,2006;(5)
【关键词】局域网 病毒 安全 防范
当前企业对于网络的依赖性,随着信息领域技术的不断进步而呈现出显著的上升状态。这种状态在目前而言,已经不仅仅是单纯对于工作效率的提升,而是上升到将信息体系纳入到日常企业工作体系中来,因此数据的安全就成为当前企业局域网环境的重要问题。而在威胁到局域网数据安全的诱因中,病毒成为突出问题之一。
1 局域网病毒传播特征分析
所谓局域网(LAN,Local Area Network),即指在相对小的范围内,由网络服务器和多台工作机组成的,面向企业环境展开工作的网络体系。从应用角度看,局域网具有良好的面向企业环境的应用特征和数据特征,其中的数据无论从格式角度还是从流动特征角度看,都带有极为强烈的工作特征。而从局域网使用人员的构成角度看,长期处于企业环境内部的员工群体,构成了用户的主要组成部分。这种局域网用户构成,进一步影响到了局域网的使用方式和操作特征方面的趋同。而从局域网本身的搭建和构成角度看,企业环境内部的局域网通常都在结构和技术方面保持一致性,即便是在不同时期分别建设起来的不同子网,也会着重考虑网络环境在技术层面上的兼容特征,而趋向于选择一致或者相关的技术。
从以上对于局域网工作环境和服务人群特征的分析看,可以发现,企业环境中的局域网工作特征,进一步影响着局域网环境内部病毒的传播特征。具体而言表现在如下几个主要方面:
(1)局域网环境下的病毒传播速度快,这种快速传播来源于几个方面影响因素。一方面局域网相似的技术层面的构成,决定了其在软件、协议等方面的相似特征,因此在面对外部攻击和抵御病毒的时候必然呈现出极强的一致性特征,这种特征决定了某些病毒必然会在局域网中实现快速传播。另一个方面则是局域网用户本身生活和工作在同样环境下,因此行为方面必然呈现出一定的趋同特征,这种行为上的特征,同时也必然成为某类病毒传播助长的因素。
(2)局域网环境下的病毒清理难以彻底。这种对于病毒清理难以彻底的特征,同样源于多个方面的影响因素。其中首要影响因素即计算机之间通过局域网联系紧密,造成了局域网环境内部,只有有一台工作机没有实现彻底杀毒,就会进一步连带整个局域网再一次陷入病毒控制。同时局域网的安全策略,就目前而言,更多关注网络边界安全,即对于内部网络和外部公共数据网之间的边界安全比较重视,而默认企业局域网内部环境相对安全。这种态度直接决定了局域网在面向内部安全监督的时候相对比较松懈,给病毒的传播创造了可趁之机。
2 局域网环境下病毒的防治
考虑到局域网内部环境的特征,以及对应的病毒传播特征,可以发现虽然局域网数据环境复杂,病毒防治工作难以彻底,但是总体而言,想要切实提升局域网数据安全水平,仍然存在可供操作的手柄。具体而言,有如下三个方面的工作需要引起重视:
2.1 加强基于工作站的病毒防治
工作站是局域网与企业环境工作人员的接口,对于安全的提升有着毋庸置疑的意义,对于人员操作的过滤等方面起着积极作用。目前在工作站上相对常见的病毒防范措施,包括软件层面的杀毒系统安装,以及硬件层面的移动设备接入限制等。就常规而言,如果杀毒系统能够实现及时更新,并且对于移动设备的接入注意杀毒,那么局域网还是基本可以保证安全的。但是就目前的情况看,这两个方面的措施仍然必须进一步实现落实。除此以外,在工作站端能够实现的病毒防治,还包括在工作站上插防病毒卡,对工作站实现病毒的实时监测。虽然此种做法对于当前的移动接入工作站并不适用,并且也会在一定程度上影响到工作站的整体效率,但是仍然有积极的价值。
2.2 加强基于服务器的病毒防治
服务器作为局域网数据流转的重要核心,是网络的支柱,同时也是传播病毒的重要途径和必由之路。对于局域网服务器而言,加强入侵检测体系建设和日志审计深度两个方面的工作,是切实打造局域网安全体系的重要保障。就入侵检测系统的构建方面,考虑到局域网环境内部的数据格式和传输都会以企业日常工作作为核心,因此具有相对较强的特征可供考证,因此展开有目的的数据识别,对于局域网而言并非遥不可及。而对于日志审计方面的工作,则是需要切实面对整个局域网系统中所产生的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息是整个局域网运行的详细记录展开深入分析,及时发现异常,发现病毒存在和工作的环境,帮助实现具有针对性的病毒查杀和防范。
2.3 加强人员培训
在局域网环境中,数据安全在很大程度上受到人的因素的影响,病毒的传播,更是常常源于工作人员在实际工作中形成的不良习惯。因此应当在加强日志审计的基础之上,对于某些安全隐患和病毒传播特征展开分析,发现可能在其中发挥作用的工作人员不良行为习惯。在此基础之上,一方面面向工作人员展开必要的培训,另一个方面可以考虑加强对于访问控制的授权细化,形成从人员到局域网的病毒传播安全水平提升。
3 结论
我国出台的《信息安全等级保护管理办法》中,曾经明确指出信息安全等级保护的重点在于内网安全措施的建设和落实。而病毒作为影响局域网数据安全的重要因素,必须得到充分重视,唯有如此才能切实实现数据安全,为企业的日常工作和发展搭建良好平台。
参考文献
[1]杨永强,辛淑霞.常用网络安全防范措施[J].科技资讯,2008(08).
[2]王杰.计算机网络安全的理论与实践[J].中国教育技术设备,2008(05).
[3]王琛.计算机病毒及其防治技术探析[J].图书馆理论与实践,2006(03).
【关键词】:电力;信息通信;安全;防护研究
引言
随着电网建设、发展以及电网自动化水平的不断提高,信息通信技术已成为电网调度自动化、网络运营市场化和管理现代化的基础,是电力系统的重要基础设施,也是保证电网安全、稳定、经济运行的重要手段。信息通信技术的安全与电力系统的安全密切相关,此前对电力系统中的信息通信安全研究较少。
1、电力信息通信现状及主要问题
1.1信息源的可靠性
我国的电力通信网络规模巨大、结构较复杂,应用于发、输、变、配、用各个环节,主要信息量有测量数据、遥控指令、集采数据、普通文本、网页信息等,信息来源多且分散,对其安全性提出更高要求,尤其是普通文本和网页信息等较难管控的信息源,需要加强信息来源的安全检测,防止病毒信息上传到网络。
1.2信息传输的安全
以往变电站数量少,信息网络简单,信息传输环节的安全性容易被忽视。目前越来越多的信息通过网络进行传递,力通信以SDH传输为主,多种传输方式并存,随着各地区变电站数量增加,各变电站内新增SDH设备节点不断串入原有SDH环网中,SDH网络拓扑结构越来越复杂,缺乏优化;同时部分单位仍有PDH传输,整个传输网中设备和技术存在多样性;如果非法用户利用技术措施,在传输阶段通工具拦截文件,对文件内容随意篡改,甚至通过技术措施影响网络传输通道的稳定性,将会造成信息在传输过程中泄露、失真。因此信息传递过程中面临各种安全风险,需要加强信息传输安全管理。因此,电力企业在注重对信息源头上进行安全保护的同时,也应注意在传输过程环节提高对信息安全的保护。
1.3网络终端设备应用者的安全
电力系统中,网络用户也是信息安全管理的难点。通信终端用户单一,但网络用户较多且分散,同时用户安全意识薄弱,使用接口为基本输入模拟式信号接口,不能传输经过调整后的信息,从而接口的多样化也相应导致了管理方面的困难。通信技术发展日新月异,企业如不能紧跟技术发展,即便制定相应规则和标准以规范用户行为,仍可能出现鱼目混珠的现象,为网络监管埋下隐患。
1.4网络设备自身的安全
电力信息通信使用的硬件设备主要包括通信设备、网络设备、服务器、交换机等。因国内网络设备质量较国外存在一定差距,目前电力网络中国内外设备同时存在。国家计算机网络应急技术处理协调中心曾公布国外某品牌网络设备存在漏洞,例如服务漏洞、身份验证绕过漏洞以及远程控制漏洞等。如果上述漏洞被利用将导致通信中断、网络设备瘫痪、信息失真等后果。
2、电力通信网络的优化措施
2.1设置信息来源认证
电力公司施行内外网隔离,构建“三道防线”为核心的等级保护纵深防御体系,杜绝了外部人员使用电力公司内部网络设备情况,在人员管理上有较大提升。此外,还应加强移动介质管理,防止不明信息上传到网络上。例如,对使用的移动存储介质必须进行加密、认证、信息过滤处理,防止非授权移动介质和存在危险的不明信息上传到电力通信网络。
2.2健全传输通道安全策略
网络传输安全是保证通信的前提条件,目前电力系统通信传输多采用SDH传输网络,网络信息安全一般通过加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、路由控制机制等技术措施实现,提高传输通道本身的安全系能。此外,传输阶段应对数据备份,便于信息丢失时及时回复有用数据。2.3加强网络终端管理
用户发电厂、变电站和用电客户的一次、二次控制和测量设备是对电力系统影响较直接的网络终端,应严格按照信息通信安全要求对其进行必要的安全测试,防止潜在病毒或者后门程序被设置在此类设备上引起较大电力事故。计算机终端是电力系统中规模最大的网络终端,应根据计算机网络安全内容制定电力系统计算机终端使用规定,制定有效的安全技术制度,防止病毒被网络终端设备带入到电力通信网络。例如必须进行桌面终端标准化管理系统注册及MAC地址绑定,防止外来终端和一机两用等违规外联现象;严禁随意修改IP地址,防止出现地址冲突;必须安装防病毒软件,使终端免受病毒和木马程序破坏。
2.4完善网络设备安全管理
网络设备国产化有利于规避国外网络设备安全风险的不可控,应使用自主的核心设备,确保电力系统网络设备可控、能控、在控。电力企业可以联合国内厂商共同开展各种网络设备资源的国产化改造及测试工作,按照“先易后难、先外网后内网”的原则,在保证电力系统正常运行的前提下,进一步推进国产化进程。国产网络设备在上线前应进行相应的安全技术测试,并在采购合同中明确厂商的保密条款和安全责任。同时,完善网络设备上线管控,确保网络设备上线运行前满足国家或者公司对于信息安全的要求。上线前应由内部专业队伍对网络设备进行安全性评测,保证网络设备硬件安全,避免存在安全漏洞或者被事先植入后门、木马等恶意程序;上线时由内部队伍实施,确保网络设备在部署、配置、运行环节的安全性,以及在身份鉴别、访问控制、日志审计方面的完整性。
2.5健全电力通信网络管理机制
电力通信网络的管理机制应根据当地情况制定,应具有较高的安全性和可行性。在管理机制建立后,相关部门要严格监管,及时做到电力通信网络的维护和升级,并且要完善电力通信网络顶层设计理念,增强顶层设计工作的完整性,形成多层防护体系,在设计时也要注重对电力通信网络进行综合判断。
结语
本文通过对信息通信安全风险类型的分析及对电力系统网络安全风险的研究,分析了从信息源头、传输过程、应用终端进行全过程安全管控的必要性,提出了电力系统信息通信网络的安全防护措施。随着信息通信技术的不断发展,电力系统对安全性要求的不断提高,仍需要进一步加强信息通信安全以及防护措施研究。
【关键词】数字图书馆 网络安全 信息安全 管理责任 措施
目前,我国国内数字图书馆网络信息安全(以下简称为网络信息安全)应用研究方面,大多都侧重于技术,认为信息安全是一个技术性的问题,其所有出现的问题都依赖于先进技术。但信息技术无论多么完善,它都无法回答如下问题:管理主体、制度在信息安全中的责任;技术、人、制度三者之间的关系;如何能够解决信息安全可持续发展问题;为什么在信息技术很发达的情况下,信息安全问题依然存在,事故依然频繁发生等等。可见,信息安全除了信息技术影响之外必有其他方面深层次的原因。仅侧重于技术的应用研究,还不能适应信息安全实践发展的需求,信息安全研究仍有继续深化的必要。
网络信息安全分析
网络信息安全包括信息的安全和网络系统的安全两层意思,信息的安全是指保护基础运行信息、服务器信息、用户信息、网络信息资源等信息或数据的机密性、完整性和可用性,同时还需要对信息风险和信息控制之间的最优平衡有非凡的理解。机密性要求保证信息不泄露给未经授权的人。完整性要求防止信息被未经授权的篡改和破坏。可用性是指保证访问信息的用户可以在不受干涉和阻碍的情况下对信息进行访问和使用。网络系统安全是指保护网络信息系统设备中的硬件、软件和网络系统的正常状态和安全运行。概括地讲,网络信息安全就是指采用技术、管理等多种措施,保护网络系统连续正常运行,保护各种资源不因自然或人为因素遭到破坏、更改、泄露或非法占用。
网络信息安全技术。先进的安全技术是实现信息安全的重要手段,许多网络信息系统安全性保障都要依靠技术手段来实现。像信息安全所用到的防火墙技术、入侵检测或流量分析技术、认证控制技术、VLAN技术、加密技术、VPN、病毒防护技术、容灾技术等多项安全技术,为确保图书馆网络信息的保密性、完整性和可用性提供了强有力的支持。
制度和制度执行力。制定严格有效的安全管理制度规范人的行为,使人遵守规则,这是技术涉及不到的层面。而信息的保密性、完整性和可用性只有通过技术手段才能得以实现,却又是制度所不能解决的。在信息安全实践中,技术与制度二者不能断然分开,是相辅相成的,技术是一种硬手段,制度是一种规范性的软手段。目前,国内数字图书馆在安全管理制度建设方面存在着诸多问题。一是制度不完善。我国数字图书馆安全管理制度还不健全,缺乏严格、细致、有效的安全管理规定与安全技术相配套。二是缺乏安全教育培训常态机制。图书馆馆员以及用户安全意识薄弱,网络安全知识缺乏,知识产权保护意识不强。三是信息安全监督审查机制不健全。监督审查机制不健全,将导致安全管理制度流于形式,图书馆无法及时找出安全管理漏洞和不足,无法对安全管理漏洞及早采取补救措施。四是制度执行不力。从目前图书馆规章制度的建设来看,不缺少严谨细密的典章制度,缺少的是对规章条款的不折不扣地执行。一些图书馆存在有章不循、有规不依,奖惩不严、问责流于形式,安全督查不到位等种种问题。制定的制度是为了执行,因为只有执行才能把制度确定的各项要求落到实处,得不到执行的制度是毫无用处的,制度也就名存实亡。
网络信息安全管理。网络信息安全的主体是人,客体是网络信息安全防御体系,网络信息安全实际上就是主客体互动的过程。技术研究的对象是物,而物是没有目的、没有意义可言的,它不涉及人及其行为。技术只是一种手段,网络信息安全必然涉及到人及其行为和制度问题。安全管理贯穿于整个信息安全防御体系,包括建立安全管理组织、制定安全目标、制定安全防护策略、建立安全管理制度、制定安全规划与应急方案、对员工进行安全意识教育培训等内容。安全技术只有在有效的管理控制之下,才能得以较好地实施。可见,严格的安全管理是网络信息安全的根本保证。随着数字图书馆建设的深入,网络信息安全问题日趋凸显。目前,国内过多地强调技术的作用,将建设的重点放在技术上,致使安全管理工作跟不上技术发展的步伐。有人对2009年我国30家数字图书馆信息安全管理现状进行调研,发现在已发生的安全事件中,三分之一的安全事件是由安全管理机制不够完善引起的,而事件发生原因中管理因素高达70%以上。可见,安全管理上的缺失已成为数字图书馆整个网络信息系统不安全因素中的主要因素之一,对数字图书馆产生的危害远大于其他方面。这里主要讨论对人的管理问题,人的认识和观念问题。著名的前黑客凯文・米蒂尼说过,尽管很多公司采取了安全防护措施,但这些安全措施在网络犯罪面前仍然显得不堪一击,原因是他们忽略了网络安全最为薄弱的环节――人的因素。数字图书馆拥有功能非常强大的网络信息系统和最先进的安全技术设施,但却有可能缘于人而产生失误,致使安全管理存在诸多隐患和不足,从而导致数字图书馆网络信息系统面临一系列信息安全问题。如引入木马、病毒或其他危害程序;网络信息系统运行不正常甚至瘫痪,信息外泄,无法应对新出现的信息安全突发事件等,这与相关人员特别是一些负责人员对安全管理的不重视、认识不足以及责任感缺失有关。
图书馆管理者的安全管理理念的滞后,对安全管理的重要性缺乏深层的认识,导致决策上的失误或管理不足,将给数字图书馆的网络信息安全带来不可估量的损失。如有的管理者的管理理念,还停留在传统图书馆封闭式内部局域网安全管理模式上,并没有认识到数字图书馆更为开放的环境将面临更趋严峻的网络安全问题,致使在网络信息安全事件防御方面处于被动状态,有的管理者虽然认识到网络信息安全问题的严峻性,但却认为只要加大对安全产品的投入,购买并安装了最先进的安全技术产品,就可以高枕无忧了,或误认为到了信息技术特别发达的时候,网络信息安全维护管理是管理员的事情,与其他馆员无关。或误认为安全维护与管理都是服务提供商的事,图书馆只管应用就行了。不重视安全责任意识教育与技能培训,导致一些安全管理技术人员思想麻痹大意,安全责任意识不强,不知道网络信息安全的薄弱环节,不了解保护网络信息安全的责任以及在对付入侵行为方面的责任。
没有安全责任和责任分配机制,对信息安全责任人的责任内容、范围、责任分配不清楚。图书馆管理者制定的员工岗位责任书,责任划分不明、工作内容描述不清,导致馆员不清楚应在什么范围和限度内对自己的职业行为负有责任,应该承担何种责任和义务。致使出现安全管理问题时,不是相互推诿,就是听之任之。不重视对高素养、高技能安全管理技术人才的引进与培养,一些图书馆的馆内安全管理工作多为业务培训,但缺乏全面的安全管理知识和技能,对不断发展的新技术缺少深入和细致的了解和掌握,应付网络安全突发事件的预警能力不够强。由于安全知识与技能的欠缺,导致他们无法应对新出现的网络安全突发事件。应该清楚地看到,人是具有理性和非理性的,要使人的理于信息安全,必须要借助于制度规范,使人沿着信息安全正确的规定自觉行动。
应该指出,制度只是一种方法,是有边界的,并不是万能的。无论多么完善的制度,如果不被执行也形同一张废纸。同时,制度具有刚性,它不能时刻随着网络信息安全的变化而变化,落后的制度有可能阻碍网络信息安全的建设。综上所述,制度、技术和管理人员的责任意识都有自己的边界,如若单一运行制度、技术,即便是极为负责任的管理人员,也不可能完善地解决信息安全问题。因此,技术、制度、管理主体(人)的责任应三管齐下,才能真正预防和因减少技术、管理等因素所导致的网络信息安全问题,最大程度地保护网络,使其安全运行,并最大限度地挽回网络信息系统损失。
网络信息安全保障措施
网络信息安全需要技术(支撑)和管理(落实)的双重保证。从安全防范技术层面上讲,国内的数字图书馆都有较为成熟的防御体系,但在安全管理方面,数字图书馆还须做诸多努力。
加强网络信息安全教育与培训,树立安全责任意识。图书馆管理者应改变重技术轻管理的观念,树立全新的安全管理理念,针对图书馆馆员以及读者安全意识薄弱、安全措施不落实等现状,组织开展多层次、多方位的网络信息安全宣传工作。要加大对安全防范措施检查的力度,开展岗前培训、现场网络安全教育与技能培训,提倡自主学习,派送技术骨干再深造等。定期或不定期举办网络信息安全教育与技能培训讲座,将促使馆员熟知图书馆相关的安全管理规章制度,掌握相关设备的正确操作规程,以及确保系统和数据安全的操作方法。定期或不定期地组织馆内工作人员学习相关的法律法规和政策,使他们具有较强的安全防范意识,以及执行制度的意识和能力。图书馆要经常派遣馆内重点培养的年轻技术管理骨干参加国内外信息安全方面的技术培训,鼓励他们自主学习,及早掌握安全技术与管理新理论、新技术、新方法,掌握新的网络及安全产品的功能,了解网络病毒、密码攻击、分组窃听、IP欺骗、拒绝服务、端口攻击等多样化攻击手段。安全管理员要定期对网络信息安全状况进行风险评估,及时修正安全缺陷、评估缺失,及早采取补救措施。安全维护仅仅依靠馆内为数不多的安全管理技术人员是远远不够的,它还需要依靠全体馆员、用户(读者)的同心协力。通过安全意识教育,使全体馆员及用户明确自身权限和义务,严格、自觉地遵守图书馆上网规定,不越权、不随意下载和安装盗版或共享软件,同时保管好自己的密码,经常加固系统,提高系统的安全性。
强化制度建设,提高制度执行力。制度的贯彻落实,不但要求制度本身的科学合理,还要求对制度的不折不扣地执行。提高制度的执行力,首先要不断创新与完善安全管理工作制度。制度本身是否科学合理,对制度执行力大小有着根本性的影响。因此,对具有严肃性和不可违反性的包含有操作程序、技术要求、安全条例等项内容的规章制度,数字图书馆要不断根据网络信息安全发展中出现的新问题、新情况,对不合时宜的制度及时进行修正和补充。制度完善不能盲目跟风,各个图书馆必须结合自身特点,不断总结制度建设中的经验教训,改革创新完善制度建设的内容,力求实现制度的可持续发展。另外,建立监督审计机制,强化责任监督,确保网络信息安全管理效能。数字图书馆安全防护体系要做到“事前防范、事中控制、事后审计”,在制度上就必须做出预先的安排,以检测危机事件,并做出预警准备,以事前预防和控制替代事后的责任威慑。设立专门的主管部门,通过网络信息安全主管部门这一监督主体,加大对安全管理制度的监督审计,通过及时修正完善各项安全管理规章制度,加强对安全工作的督查检查,以提高相关工作人员遵章守纪的安全意识。其次,要提高制度主体(人)的执行力。任何制度要达到有效的管理效能,就必须通过制度主体相关人员的具体行为实现。而相关人员的责任心、态度、素质及能力水平,直接影响着制度执行行为和方式的选择,直接关系着制度执行力的高低。主体要提高执行力,就必须强化制度认知。网络信息安全管理体系的建设,离不开不断创新和完善的规章制度和制度的落实。对制度有准确认知,制度才有可能落在实处。为此,数字图书馆要特别组织相关负责人员及馆员认真学习相关的政策、法律法规和安全管理规章制度,使他们对制度的实现目标、内容、作用、边界等准确认知。特别是对各自的责任和义务等的准确认知,如明确岗位职责,使每一位管理人员按照自己的岗位和职权管理使用系统;明确责任,使安全管理技术人员懂得他们是技术责任第一人,懂得自己责任边界及范围。使图书馆管理者明确他们是安全管理责任第一人,是安全制度的制定者又是安全制度的督察者。主体对制度内容、边界等准确认知,才能对照制度找差距,发现薄弱环节和问题,及时纠正,才能将责任认识内化为行为准则,最终上升为自觉行为。主体要提高执行力,需增强对制度认同。通过自主学习、教育培训、有针对性的实践活动不断提高制度主体的素质,提高执行制度能力水平,从而增强全体馆员特别是安全管理技术人员对管理制度中包含操作规程、技术要求、安全条例等项内容的硬性管理规章制度的认同。如系统安全责任与监管制度;重要软件系统和关键硬件设备的操作制度;系统管理人员、操作人员责任制度;用户权限分配和管理制度;系统灾难应急预案;事故责任认定和责任追究制度等制度的认同。主体要提高执行力,还需坚持说服教育与强制执行相结合,综合利用多种执行手段,有效推动制度执行。
