时间:2023-09-14 17:42:14
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全管理体系,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)23-0119-02
信息化技术不断发展,很多企业逐步认识到依靠信息技术,建立企业自身业务以及运营平台,能够大大的增加企业竞争力,企业在激烈的竞争环境中能够获得发展,企业的经营管理对计算机依赖的范围更广,网络的应用也就更加广泛。网络产生后,网络安全随之出现,网络在运行的过程中,也会出现网络不安全的问题。企业在进行网络管理时,必须在安全管理方面多下功夫,促进企业网络建设的安全性。
1 对企业网络安全造成威胁的因素
企业在网络安全方面涉及的因素较多。现阶段企业的网络通用标准技术是WWW、电子邮件数据库、数据库以及TCP/IP,广域连接应用多样通信方式。在企业网络运行过程中,行业的内部信息贯彻到多个环节。对信息资源进行保护、管理,确保信息的完整性以及真实性,防止出现非法获取,是企业网络安全管理的重要内容。对企业网络安全造成影响的因素包括软件、硬件因素,还包括人为因素,既包括网络外部因素,也包括网络内部因素,主要的因素是以下几个方面。
1.1 由人的主观行为造成的影响
在安全管理方面,用户缺乏意识,企业内部在局域网的建设方面还需要进一步完善。企业内部网络在运行的过程中,没有做出相关的限制,在p2p下载时,破坏性信息会进入到企业内网中,影响到系统安全应用;接入的网络未提出限制,随意的上网,内部网络系统遭到病毒感染的可能性比较大,信息容易丢失。企业在安全管理方面没有进行严格的限制。此外,网络用户比较复杂,管理的难度系数比较大。黑客很容易利用网络手段,对无线信号的传输进行干扰,无线信号很容易被黑客获得。在进行网络安全管理时,一些企业没有制定相关的文件,进行纪律约束,很容易出现问题。
1.2 网络中的硬件设备
在网络结构中,应用到企业网络安全的硬件设备主要是包括:①硬件设备;②拓补结构。当网络中的硬件安全性出现问题时,尤其是硬件自身的性能受到影响时,就会对企业的网络安全造成的影响。
1.3 网络中的软件存在缺陷
企业网络系统中软件的种类比较多,如应用软件以及操作系统软件,企业网络系统中可能会出现软件问题,一些黑客就会根据软件存在的缺陷,做出谋取利益的行为,从而损害企业的正常利益。一些负责软件开发的人员基于个人原因设置“后门”,黑客破解后,会随意操作,对用户的计算机进行控制,随意的改变数据,后果较为严重。在网络系统中,TCP/IP协议可供应用的范围特别广,但是,在应用安全性方面,没有进行综合考虑,保密的措施做得不到位,一些信息应用专业人员熟悉TCP/IP协议,会轻松地利用协议缺陷,对网络进行攻击。
1.4 网络入侵
网络入侵主要指的是在未得到授权的情况下,网络攻击者取得非法权限,借助非法权限,对用户进行非常规的操作,获得相应的资源,企业内部网络受到影响,损害企业的利益。
1.5 计算机病毒和恶意程序
网络普遍应用,病毒在网络中传播的范围比较广。在现阶段,在企业内保护网络中,病毒侵入的特点是:①入侵的范围比较广;②变化速度快;③病毒种类丰富;④传播速度比较快;⑤存在很大的破坏性。
要想解决病毒的问题,比较困难,原因在于以下两个方面:①技术方面的原因。杀毒软件的更新总是落后于病毒出现的时间,具有滞后性以及被动性;②用户没有认识到病毒防范的必要性,没有深刻的认识到病毒的危害性,在电脑上没有安装相应的杀毒软件,或者是对杀毒软件没有进行及时的更新,造成病毒传播。
2 企业网络安全管理安全机制
2.1 身份标识以及鉴别机制
在网络通信信息安全系统中进行可信操作,在执行前,用户应当进行身份标识,并提供凭证,网络通信系统借助一定的机制,鉴别凭证。在网络通信系统中,进行身份鉴别技术主要有三个方面:①以秘密口令为基础;②以令牌或者是密匙为基础;③以生理特征为基础。根据当前的应用情况,企业网络系统应用较为普遍的是以口令身份为基础的身份鉴别技术。
2.2 访问控制机制
访问控制主要是包括两种:①自主访问控制机制;②强制访问控制机制,前者应用较为广泛。在自主访问控制机制中,主体拥有者主要是负责设置访问权限。在自主访问控制机制中,出现的问题是主体拥有较大的,主体在无意识状态下会泄露信息,此外,对于木马病毒攻击不能起到防备作用。强制访问控制机制指的是系统为主体和客体进行安全属性分配,安全属性不容易被修改。系统分析主体以及客体的安全属性,然后决定主体对客体进行的相关操作。两种访问控制相比,强制访问控制机制可以避免滥用防范权限,防备木马和病毒攻击,安全性较高。
2.3 审计机制
审计机制属于被信任机制。系统中参考监视器主要是借助审计,记录活动。企业网络系统中具有多个对象和主体,审计机制主要是负责记录主体以及对象相关事件,结合审计机制所提供的信息,网络操作系统对主体、对象以及相应访问请求进行精确识别。通过审计系统,能够知道企业的网络安全管理系统所应用的安全方式是否具有完全威胁。审计机制中入侵检测可以做出相应的检查,并反馈检测结果。企业网络安全管理者结合检测结果,对网络进行安全管理。
3 构建企业网络安全管理体系
3.1 网络安全
1)外部的连接。企业内部网络在运行的过程中,不可避免的会和外部发生关系,外部的人员有可能会想和企业的内部网络实现连接,但是,需要注意的是,外部的网络连接缺乏标准性,容易出现安全问题,对此的解决方法是用户账户应用硬件KEY验证手段,对外部网络接入进行全面控制。
2)远程接入的控制。VPN技术发展的速度比较快,在远程接入方面,风险性有所减小。企业可以采用特定的认证方式,如动态口令牌,增加安全性。
3)网络进入检测。现阶段,在企业内部网络中,可以安装相应的入口检测系统,主要的作用是对网络传输的过程进行监控。网络入侵检测系统是企业网络安全架构的必须组成部分,随着研发的深入进行,入侵检测系统将会更加精确。
4)无线网络安全。在办公区域,无线网络得到广泛的应用,有助于企业的运行,与此同时,无线网络也会出现安全的问题。要想使企业在无线网络运行方面保持安全性,需要采用新的安全性更高的协议;增加无线网络访问技术控制的水平。
3.2 访问限制
1)密码方式。如果密码的强度较高,破解需要的时间较长,脆弱密码破解需要的时间较短。在进行访问时,需要增强密码的强度。在确保企业网络运行安全性方面,企业可以采用密码的方式,应用新技术,实行密码管理,增加网络安全性。
2)管理用户的权限。员工在进入到企业以后,要想访问企业的内部网络,需要具备用户权限。企业相关的信息管理层需要给予员工一定的访问权限,并进行权限管理,提高权限管理的效率。
3)应用公钥系统。在进行访问权限管理中,公钥系统是较为关键的部分。在应用公钥系统时,无线网络给予一定的访问权利,将文件进行加密,都可以增加系统的安全性。
3.3 防火墙技术
防火墙技术核心是在网络环境不安全的情况下,建立比较安全的子网,现阶段,在国际上比较流行,应用范围较广。防火墙可以控制相关的数据,计算机以及相关的数据在获得访问的权利后,就可以直接访问内部网络,如果没有访问的权利,就无法实行访问。对一般人员的访问进行限制,避免对重要的信息进行更改、拷贝和损坏。要想使企业的内部网络具有更高的安全性,需要强化防火墙管理,进行安全过滤,对外网没有必要的访问进行严格的控制;此外,对于局域网,需要设定IP地址,防火墙可以对此进行识别。
3.4 网络蠕虫以及病毒防护
蠕虫以及病毒对企业内部的网络会产生威胁,这种问题不可避免,但是,企业应当尽可能的制定防护方案,采取防护技术,阻碍病毒传播,缩小病毒危害的范围。在企业内部网络中,网络节点存在的形式有两种:①在局域网中出现;②和外部的网络相联系。一般的防护措施能够降低的蠕虫和病毒威胁有限,为加强网络安全管理,需要严格的进行系统控制。在一般情况下,企业所安装的杀毒软件不能进行自动的扫描,对网络进行相关的操作,需要启动杀毒软件的相关功能,保证网络的安全性。当用户安装比较高级的杀毒软件后,企业网络安全管理人员能够掌握整个网络节点病毒的检测情况。
4 结束语
企业的网络安全不是终极目的,最终的目的是促进企业的长远发展。企业在发展的过程中,网络的应用程度会更广,企业的网络安全管理难度变大。企业需要根据网络安全的影响因素,制定管理方案,采取防护措施,构建网络安全管理体系,增加企业的网络安全性。
参考文献
[1]王松.试论企业计算机网络安全的管理[J].科技致富向导,2013(20).
[2]曹永峰,庞菲.企业网络安全管理问题及策略探究[J].消费电子,2013(8).
[3]胡子鸣.浅析企业网络安全管理和防护策略[J].信息安全与技术,2013(7).
[4]雷亿清.基于终端的内网企业网络安全管理办法[J].中国科技博览,2013(15).
[5]杨君.面向企业网络的网络行为管理研究[J].科技信息,2013(15).
[6]李兰花,孙毅.中小企业内部网络安全管理的研究[J].海峡科技与产业,2013(6).
随着医疗行业的信息化发展水平的逐步发展,信息系统的安全风险越明显,本文就天津市医院核心业务信息系统等级保护建设工作的管理体系建设提供一些基本的思路、方法和步骤。
关键词:
医院;安全等级;管理体系建设
一、引言
根据上级部门三级甲等要求,为了促进和规范天津市医院信息化建设我院于2014年启动了围绕医院核心业务系统:门诊信息系统、住院信息系统、HIS信息系统,深入开展信息安全等级和统计管理系统,为后续各兄弟医院等级保护建设工作提供一些基本建设和方法。
二、医院信息化建设存在的安全现状分析
大型综合性医院信息系统的安全保障体系建设是一个极为复杂的工程,医院的信息系统应用众多,结构复杂,覆盖广泛,涉及的部门和人员众多,医院信息系统的角色越来越重要。信息系统任何风险都有可能带来巨大的损失。医院信息系统故障,会造成门诊大量排队,业务科室投诉,临床业务停顿,每次引发的问题都给医院管理人员造成巨大压力,社会舆论和声音受到严重影响,不同程度也给医院造成了较大经济损失。医院信息系统面临极大的安全风险。具体有以下几点:
(一)物理环境安全风险
医院的物理安全具备环境安全、设备安全及介质安全等物理支撑环境,保护网络设备、设施、介质和信息免受大自然,环境事故以及误操作导致的破坏和丢失。
(二)网络安全风险
医院的临床、财务系统和物流已经全部纳入IT系统,业务网中各业务应用是其信息系统的核心,同时也需要与外部发生业务联系。因此业务应用面临的任何风险,都会产生严重后果。
(三)管理层安全风险
对医院信息系统的管理尤为重要,责任不明,管理混乱,安全管理制度不健全等都有可能引起管理安全风险。
三、信息安全管理体系建立的作用
信息安全管理体系必须满足等级保护标准,同时也要满足政策的要求,还要贯彻执行,不断进步。一个健全的、正常运行的医疗信息安全管理体系的主要作用体现在以下方面;(1)能够有效增强行政和技术上的安全管理,将解决网络设计缺陷,威胁网络安全的问题,制定出信息系统规范和安全标准。(2)信息安全管理体系的建设,更加重视和执行对安全知识、法规、标准的宣传和培训,考核实现了信息安全的动态管理过程。(3)全方位的保护医院的核心业务系统,在核心数据和信息受到袭击时,要确保各项工作正常开展,并尽量把损失降到最低。(4)满足医疗行业和监督机构要求,保护国家或区域医疗信息安全,维护社会医疗秩序稳定。
四、安全保管体系建设的主要思路
我院从安全管理机构、安全管理制度、系统建设管理、系统运维管理及人员安全管理等五个方面着手开展安全等级保护建设。
(一)安全管理机构的设立
组建安全管理领导团队,由院领导和各科室骨干出任第一责任人,把具体的办公地点设定在信息所。
(二)安全管理制度
根据《公安信息安全等级保护基本要求》,制定《网络安全息安全管理制度》,等9个信息安全管理制度,定期进行内部检查和管理评定,不断优化和持续改进。我院在实施安全等管理体系建设工作中,采取分级、分类、分阶段的策略,根据我院各系统的不同特点,采取不同的安全等级。
(三)系统运维管理
根据最高等级的保护要求,制定多种信息安全方法:一是机房定时巡查,二是增加视频监控,减少视频盲区,三是建立智能监控系统,对全院网络运维情况监控,减低网络故障。
(四)人员安全管理
我院坚持在风险评估的基础上,采取适当和管用、足够的措施来加强信息安全,大大降低系统故障。
五、安全等保的实施过程
实现等级保护,应该采取分级,分类,分阶段的策略坚持分级实施保护,加强安全,突出关注重点,要害部位,根据信息化发展阶段的不平衡,须根据信息资产的规模大小,依赖程度的深浅,按阶段分步骤逐步实现等级保护的各项要求。(1)信息安全管理体系第一阶段主要是做好建立信息安全管理系统的前期工作及安全管理人力资源配置。(2)信息安全工作团队结合等级保护的基本要求,对HIS,LIS,RACS等核心业务信息系统进行处理,对在传输和存储的过程中,信息的机密性,完整性等重要特性进行调研和评价,结合等级保护基本要求差距项汇总,分析差距项目涉及的安全事件一旦发生对医院信息系统造成的影响。(3)制定安全管理策略、安全管理制度和信息安全管理体系等各方位保护措施,计划和建成符合三级等保系统基本要求的信息安全管理框架。(4)落实安全管理制度,根据安全管理体系的具体要求,进行全面的信息安全牢固与整改工作,充分发挥安全体系的各项功能。(5)自查和调整。深入分析问题,找出问题根源,查出不完善的过程记录文件并进行完善,调整不合理管理流程,进一步完善信息安全管理体系。
六、结束语
至2014年初,在我院领导的直接关心和指导下,通过各部门通力合作使信息安全通过了等级保护测评的三甲医院,为地区三甲医院信息安全等级保护建设工作开启良好的开端,展现了我院信息化建设的先进成果。
作者:杨静 单位:天津市中心妇产科医院行政楼
参考文献:
[1]王升宝.信息安全等级保护体系研究及应用[J].通信技术,2009
(一)管理使用的系统
ERP、加油站账册、二次物流管理、加油卡、办公自动化以及企业门户网站等系统是石化销售企业首要的应用系统。应用系统有以下特征:一是系统应用范围广,全程参与企业的经营、管理、对外服务等;二是系统用户众多,涵盖企业各阶层员工;三是系统对持续运转要求高,因此对应用系统的安全运转要求较高。对公司的经营管理而言,系统的安全稳定运行具有重大意义,系统数据是否安全、保密性和供应商、企业利益有密切关系。
(二)安全管理
随着我国经济水平不断提高,石化销售企业越来越离不开信息化管理,世界各地的公司对内部成立一个信息化团队,根据内部的需要制定出具有整体性的管理体系,并根据相关的信息安全规定对系统内部的安全等级做好评估保护工作。各企业制定了详细有效的“信息系统应急预案”以应付各类突发事件。近几年,中国石化内控体系在建设过程中不断加强、完善自身管理体系,也在IT控制方面占有一定的优势。当前,石化销售企业已基本形成一套完整的信息安全防御和管理体系,从而确保了网络信息系统的安全性。
二、信息安全风险的评估
衡量安全管理体系的风险主要方法是进行信息安全风险的评估,以此保障信息资产清单和风险级别,进而确定相应的防控措施。在石化销售企业进行信息安全风险的评估过程中,主要通过资金、威胁、安全性等识别美容对风险进行安全检测,同时结合企业自身的实际情况,拟定风险控制相应的对策,把企业内的信息安全风险竟可能下降到最低水平。
(一)物理存在的风险
机房环境和硬件设备是主要的的物理风险。当前,部分企业存在的风险有:1)企业机房使用年限过长,如早期的配电、布线等设计标准陈旧,无法满足现在的需求;2)机房使用的装备年限太长、例如中央空调老化,制冷效果不佳导致温度不达标,UPS电源续航能力下降严重,门禁系统损坏等,存在风险;3)机房安全防护设施不齐全,存在风险。
(二)网络和系统安全存在的风险
石化访问系统的使用和操作大量存在安全风险,其中主要风险包括病毒入侵、黑客袭击、防火墙无效、端口受阻以及操作系统安全隐患等。即使大部分企业已安装统一的网络防病毒体系、硬件防火墙、按期更新网络系统软件、安装上网行为监控等,但因为系统漏洞数目不断增多网络结构和袭击逐渐减弱或者因为信息系统使用人员操作系统本身的安全机制不完善、也会产生安全隐患。
(三)系统安全风险
没有经过许可进行访问、数据泄密和被删改等威胁着系统的安全性。提供各类应用服务是企业信息系统的首要任务,而数据正是应用信息系统的核心,因此,实际应用与系统安全风险密切联系。当前,信息应用系统存储了大量的客户、交易等重要信息,一旦泄露,造成客户对企业信任度影响的同时也会影响企业的市场竞争力。
(四)安全管理存在的风险
安全管理存在的主要指没有同体的风险安全管理手段,管理制度不完善、管理标准没有统一,人员安全意识薄弱等等都存在管理风险,因此,需要设立完善的信息系统安全管理体系,从严管理,促使信息安全系统正常运作。一方面要规范健全信息安全管理手段,有效较强内控IT管理流程控制力度,狠抓落实管理体系的力度,杜绝局部管理不足点;另一方面,由于信息安全管理主要以动态发展的形式存在,要不断调整、完善制度,以符合信息安全的新环境需求。
三、信息安全管理体系框架的主要构思
信息安全管理体系的框架主要由监管体系、组织体系和技术体系形成,特点是系统化、程序化和文件化,而主要思想以预防控制为主,以过程和动态控制为条件。完善安全管理体系,使石化销售企业信息系统和信息网络能够安全可靠的运作,从机密性、完整性、不可否认性和可用性等方面确保数据安全,提升系统的持续性,加强企业的竞争力。
(一)组织体系
企业在完善管理体系过程中应设立信息安全委员会和相关管理部门,设置相应的信息安全岗位,明确各级负责的信息安全和人员配置等内容。在全面提升企业人员对信息安全了解的过程中必须进行信息安全知识的相关培训,使工作人员提高信息安全管理意识,实现信息安全管理工作人人有责。
(二)制度体系
操作规范、安全策略、应急预案等各项管理制度经过计划和下发,让信息安全管理有据可依。企业参照合理完善的各项制度进一步优化业务流程,规范操作行为,降低事故风险,提升应急能力,以此加强信息安全的管理体系。
(三)技术体系
管理技术、防护技术、控制技术是信息安全管理体系的主要技术基础。安全技术包括物理安全技术、网络安全技术、主机安全技术、终端安全技术、数据安全、应用安全技术等。一旦出现信息安全事件,技术体系会在最短的时间内降低事件的不良影响,依靠相关的信息安全管理技术平台,以实现信息安全技术的有效控制。管理体系的核心是技术手段,先进的加密算法和强化密钥管理构成的数据加密方式全程控制数据传输和数据存储,可以保证数据的安全性。采用堡垒机、防火墙等安全系统可以过滤掉不安全的服务和非法用户,防止入侵者接近防御设备。IDS作为防火墙的重要功能之一,能够帮助网络系统快速检测出攻击的对象,加强了管理员的安全管理技术(包括审计工作、监视、进攻识别等技术),提高了信息安全体系的防范性。企业数据备份这一块可以采用双机热本地集群网、异地集群网等各种形式进行网络备份,利用体统的可用性和容灾性加强安全管理能力。
近年来各个企业的恶意软件、攻击行为手法变化多端很难防御,在各种压力下,传统的的安全防预技术受到了严峻的考验,这时“云安全”技术当之无愧成为当今最热的安全技术。“云安全”技术主要使用分部式运算功能进行防御,而“云安全”技术对于企业用户而言确实明显的保障了信息的安全性以及降低客户端维护量。“云安全”技术是未来安全防护技术发展的必由之路,且今后“云安全”作为企业安全管理的核心内容为企业的数据、服务器群组以及端点提供强制的安全防御能力。”
四、信息安全管理体系相关步骤
由于管理体系具有灵活性,企业可依据自身的特点和实际情况,使用最优方案,结合石化销售的特征,提出以下步骤:1)管理体系的重要目标;2)管理体系的主要范畴;3)管理体系现状考察与风险估量;4)完善管理体系的制度;5)整理管理体系的文档;6)管理体系的运行方式;7)信息安全管理体系考核。
五、结论
关键词:信息化建设;网络安全;解决方案
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9416(2017)01-0209-02
企业信息化任务的建设与集成,其首要任务为网络构架与网络安全设计。建立一套安全的网络系统,不仅可以为企业的信息交流、信息与信息传输创造一个安全平台,确保企业的安全生产,还可优化调度管理,为企业决策提供参考数据,避免恶意篡改与非法盗取现象的发生。因此,加强企业信息化建设集成与网络安全的研究,确保企业生产环境安全可靠,已逐渐成为现代化企业发面所面临的重点研究课题。
1 企业实现信息化建设集成的意义
1.1 强化企业管理
随着企业管理模式的发展,企业业务经营逐渐多元化和区域不集中化,从而造成了管理任务的复杂与多变化。实行信息化集成管理的核心就是在企业内部,以业务整合、流程与资源配置优化的方式,建立起信息化的组织架构、管理服务和流程控制体系,而这一目标的实现则需通过信息集成化处理的手段,并将企业先进的管理理念与技术搭建在所构平台上,以此进行运行。
1.2 时展的必然性
实践证明,传统的管理模式还不足以使集成化效率最大化,甚至有时候会带来更加严重的风险和漏洞,如管理人员的压缩,引发的现场安全管理、资金管理和用工管理等风险,信息技术快速发展的当下,企业只有对管理系统进行重新综合集成,充分挖掘各方面潜能和整体效力,方可在集成化管理和市场竞争中把握先机,从而实现企业效益的最大化。
1.3 自身优势的使然
目前,大型企业集团均通过对在生产和管理方面的信息化建设,利用互联网技术把企业信息集成起来组成一个管理信息平台,达到数据共享,并借助专用软件,将企业管理向集成化、网络化改造,既能为企业的高层决策者提供决策支持,又能减少结构冗员,提高运营效率和服务质量。
2 加强企业信息化集成网络安全的措施
基于非法入侵、病毒传播与数据丢失等网络安全问题,本文针对性的从以下两点进行防护措施的论述。
2.1 加快信息化安全标准建设
在信息化方面,目前,无论是处于单项技术、单机、单线的应用状态,还是型号工程实现了CIMS(计算机集成制造系统)的企业,要实现数字化,构建高水平、高安全的企业信息化体系,信息安全标准及其标准化工作都是非常重要的。例如IS0/IEC JTC1/SC27正在制定的有关信息安全管理体系方面的标准:
・ISO/IEC 27001 信息安全管理体系要求(现在的标准 IS0/IEC FCD 24743)。
・ISO/IEC 27002 保留现在的标准ISO/IEC 17799 信息安全管理实用规则。
・ISO/IEC 27003 保留编号。
・ISO/IEC 27004 信息安全管理度量机制和测量措施(现在的标准IS0/IEC 24742)。
・ISO/IEC JTC1/SC27 NP 信息安全管理体系实施指南。
此类标准实施的目的在于帮助企业建立与健全信息安全管理体系,促使其管理水平与保证能力得到提高,做到日常生产安全顺利运行。因此,企业要想构建高水平、高质量的信息化安保体系,必须要加强信息化集成任务的标准化实施。
2.2 利用先进的网络安全技术
2.2.1 防火墙技术
以防护范围与防护能力划分,可将防火墙技术分为网络级与应用级两大类,其中,网络级防火墙是以整体网络的非法入侵为防护对象,实施全方位保护,而应用级防火墙是以具体的应用程序为防护对象,只是在程序接入时进行防护控制,功能比较单一但针对性强,因此,一套完整的防火墙技术,应是以网络级和应用级的共同结合使用。日常生活中,我们一般所用防火墙大多拥有基于、动态防护、包过滤和屏蔽路由等技术。
2.2.2 入侵检测技术
作为一种动态网络检测技术,入侵检测技术的实施可有效识别恶意使用网络系统,通过分析与辨别,将非法入侵行为及时发现,其检测范围包括内部未经授权的活动和外部用户的非法入侵,并能够对入侵行为作出相应的反映,该系统的组成由相应的软件与硬件共同完成,运行后能够做到数据分析并得到结果,大大降低了管理人员的工作量。除此之外,入侵检测技术对于网络攻击也有一定的反防护能力,但效果不及防火墙技术,因此不能做到代替。
2.2.3 信息加密技术
对称加密与非对称加密作为信息加密技术的两种表现形式,随着网络技术的快速发展,使其得到了不断优化与发展。该技术的应用是以防止数据受到非法盗取为目的,通过数据加密技术对某些重要数据与信息采取保密处理后,以此达到确保信息安全的效果,其主要包括数据传输、数据存储、数据完整性鉴别和密匙管理四种方式。
2.2.4 访问控制技术
访问控制技术简称AC,它的作用是能够确保网络资源不会被非法访问和非法使用,能够起到网络安全防范和保护的作用。访问控制是检测访问者的相关信息,限制或者禁止访问者使用资源的控制技术。访问控制技术能维护网络系统安全和保护网络资源,是确保网络安全的主要措施。访问控制分为高层访问控制和低层访问控制两种,高层访问控制检测对象是用户口令、用户权限、资源属性;低层访问控制对象是通信协议中的特征信息通过分析然后做出判断控制访问者能否访问信息。
3 结语
综上所述,作为现代企业的发展方向,信息化的建设与集成在给人们带来便利的同时又隐藏着许多网络安全隐患,相比于传统管理模式上的失误,这种安全隐患具有威胁更大,速度更快等特点,动辄就是成千万的经济损失。因此,作为现代企业的管理者,我们只有不断研究,不断实践,立足于企业信息化建设与集成任务的标准化与多元化发展方向,做到不断的自我完善与自我修正,方能促进现代企业的健康发展。
参考文献
前言
图书馆是高校当中必不可少的组成部分,是为学生提供阅读学习、查阅资料、提高自身素质的基础保障。高校图书馆网络安全一旦出现问题,数据上遭到丢失、破坏,那么图书馆系统将全部瘫痪,而且很难得到恢复,后果非常严重。其主要是因为图书馆网络当中存载在非常重要的信息,例如图书馆所有书目的数据信息、读者借阅信息、电子版图书数据信息以及大型数据库等等。由此可见,必须对高校图书馆网络安全加以重视,寻找图书馆网络安全出现问题的原因以及相对应的解决办法,从而使高校图书馆网络安全得到保障。
一、威胁高校图书馆网络安全的主要因素
威胁高校图书馆网络安全的因素不是单一的,是多方面在造成的。其中主要有技术设备方面的问题、系统管理方面的问题以及资源本身的问题等等。具体分析如下:
(一)管理制度有缺陷
管理制度是影响高校图书馆网络安全的最直接因素,其主要体现在其管理制度不健全,对网络管理没有做到足够的重视,对网络安全重要性认识不足,没有建立一个行之有效的防毒制度措施。
(二)人为原因
人为原因造成的图书馆网络安全问题有很多,例如对账户管理不当,密码设置过于简单或者将账号随意转交给他人使用。再有安全配置方面,工作人员对安全配置操作处理不恰当,从而出现安全漏洞。
二、高校图书馆网络安全办法
(一)建立完善的图书馆网络安全管理体系
建立一套完善的、健全的图书馆网络安全管理体系是非常必要的,因为在高校图书馆网络安全问题当中,有非常多安全问题都是由于人为原因造成的。所以说建立安全管理体系,对图书馆网络工作人员进行培训并实施责任式的制度,以确保高校图书馆网络安全。
1.制定安全管理制度
制定图书馆网络安全管理制度,是保障网络安全最基本的手段。安全管理制度必须全方位的实施,在网络系统方面、设备保养方面、故障处理方面、系统监控方面都必须建立相应的安全管理制度,缺一不可。另外,工作人员是整个网络安全管理的主体,所以说对工作人员实施的管理制度也是至关重要,在技术操作方面、病毒防护方面以及机房出入方面等等都要制定严格的制度,以达到更好管理水平的实施。最后,针对读者也要制定相应的规则制度,例如制定上机方面、网络操作流程方面相关规则,如有发现违规现象其相关处理制度等等。在制度制定上必须全方面、全方位的考虑周到,如果建立的管理制度不够全面,那么就会给安全问题留下隐患。
2.实施安全考核
在高校图书馆网络安全管理中,最行之有效的办法就是制定安全管理制度,那么如何确定安全管理制度是否正确的实施,所实施的制度是否起到了相应的效果,就要通过安全考核来进行检测。其次,要对网络安全策略进行定期的检测、调整,这主要是因为网络安全不是一成不变的,它是一个动态的过程,例如在系统配置方面,会经常性地出现变化,另外图书馆网络安全工作人员也会有一定的变动。由此可见安全考核的重要性,它是检测管理制度成效的手段,也是发现网络安全出现变动的工具。
3.图书馆各个部门之间的协调
图书馆各个部门之间的协调是保障网络安全的基础条件,如果图书馆内部各个部门之间不协调,那么无论何种管理制度都不会产生效果。在网络安全问题上,并不是技术部门独自努力就可以解决的,即使技术部门能力非常强,但得不到其他部门的配合,也一样起不到效果。例如,在图书馆内部工作当中,一些工作人员不配合技术部门的工作,不按规定的制度操作机器,下载图书馆之外的软件、使用图书馆之外的硬盘等等,这很有可能带来病毒,给图书馆网络安全留下隐患。
(二)系统管理人员的安全操作
要想避免图书馆网络安全出现问题,操作出现问题,系统管理人员的操作至关重要,这主要是因为系统管理人员在图书馆当中的权限是非常高的,一旦系统管理员发生操作错误,那么系统将全部将全部瘫痪,甚至无法挽救。由此可见系统管理人员的安全操作是保障图书馆网络安全非常重要的方面。最后,操作流程。如果操作流程不正确或者不谨慎很有可能造成操作的错误,因此系统工作人员在进行操作时一定要明确自己的操作范围、权限,如果发现不在自己的操作范围内就应该及时地报告领导。完成工作后要及时地推出网络系统,避免他人用自己的账号登录而造成的威胁。一定要对系统操作人员进行相关培训,提高其工作水平。
(三)完善图书馆网络安全技术
1.完善防火墙
防火墙是保障图书馆网络安全非常重要的技术,因为防火墙是网络安全监控系统,如果图书馆以外的网络进入到图书馆内部网,防火墙对此将加以监控,防治不安全因素的进入。目前高校图书馆网络系统对于防火墙的使用还不是很完善,因此,必须要对此加以重视。当前防火墙的主要类型有防火墙、过滤防火墙等等,防火墙的使用更广。
2.数据加密
通过数据加密可以使图书馆网络系统数据库不会被轻易地窃取、查看。数据加密是通过繁琐的加密算法来实现的。比较常用的数据加密技术主要有对称密钥加密以及公用密钥加密等等。
计算机网络技术在现代生活中无孔不入,在各个层面都发挥着不同的作用,大幅度的改变了人们的生活、生产和学习方式。比如,电子商务的兴起,让网上购物得到了人们广泛的认可;在线教育为更多人的提供学习机会,实现了教育资源的均等化;远程医疗为生命开通了一条绿色通道,视频会议、政府官方微博为政治提供了更多的实施途径等,这些足以表明网络的重要性,也从另一个层面说明了提高网络安全系数,可以保障人们的财产安全、维护他们应该享受的教育、医疗权利。同样的,随着网络在我国各级各类学校中的普及和应用,学校的管理和教学都在上了一个层次。在学校的网络运用中,更多的针对学生而构建的,包括学生个人学籍信息的存储和管理,以及各种教学资源和教学平台的使用。从校园网的使用对象来说,各学校建设的校园网的主要点击大部分的来自学生,而在学校中的学生在处于人生观、世界观的塑造期,面对形形的信息缺乏成熟的处理方式,对各类新鲜的事物充满了好奇却没有较好的自制能力。因此,学生在使用校园网时,常常被选作黑客入侵的切入点,这为学校的网络安全管理增加了难度。除此以外,学校搭建的网络往往具有使用面积大,连接速度快,点击群体固定等特点,与政治、经济挂钩的网站相比,网络安全建设力度较小,这也为校园网的安全留下了隐患。比如,有部分的学校对网络的安全管理毫不设防,为黑客的入侵敞开了大门。从校园网被侵入的危害来看,一旦黑客入侵成功,所造成的损坏是不可估量的,小的只是对网页进行修改、宣传不良信息,大的则盗取学籍信息、考试信息以及一些重要的文件,让学校的网络不能正常的运转,进而影响学校的管理和教师的教学。当下,我国学校的网络安全管理较为薄弱,校方对其的重视度不够,对黑客入侵的防范措施还不到位,有待进一步的改善和加强。
二、黑客入侵校园网的切入点
黑客入侵校园网往往是选择网站管理比较薄弱的环节,具体可以有以下几种侵入方式:
2.1硬件部分的切入
黑客入侵指的是一些拥有较高的计算机技术员,通过非法的方法和途径入侵他人的网站,修改或盗取信息。获取计算机信息的一个途径可以通过电脑硬件来实现,例如,以计算机的传输线路以及端口等信息的传输设备为切入点,以电磁屏蔽为切入点,以电话线为切入点。黑客利用这些突破点配合通信技术,对信息进行非法的窃取、上传非法信息以及清空网盘的数据,还会通过端口来置入病毒,利用U盘的插口来实现入侵,对计算机系统进行攻击,以达到破坏网络正常运转的目的。
2.2软件部分的切入
对网络系统而言,由于其本身就具有脆弱的可靠性和监控性,在其认证时的缺陷以及局域网与的不可控性,造成了网络安全的薄弱性。由于部分软件开发商只顾追求自身利益而缺乏对软件安全性的构建,大部分的软件都存在着不同程度的漏洞,在进行路由选择时发生错误,不同的使用者进行通信时路径被阻断或更换。有的黑客则利用木马等病毒人为的破坏学校网络系统,通过对信息传递时的内存将没有防范的信息传递到其他的终端上面。另一方面,由于网络链接的广泛性,致使在点击学校网络的同时与外界网络连接时,就非常容易成为黑客的切入点。由于在网络上面我们就可以下载一些盗取信息的工具,在一定程度上增加了黑客的数量,而学校的网络建设中缺乏安全防范措施的建立,在学校网络中多为一些应用软件的设置,这也就使得学校的网络系统容易被侵入,对学校网络产生破坏。
2.3管理人员的切入
在学校的网络安全管理中,由于管理人员素质差异,被黑客选作了一个切入点。大部分学校的网络安全管理人员往往因学校的不重视而只是随便的选择一个懂点计算机的人就算完成,而这部分人因为缺乏专业的学习和培训,致使其在工作中没有保密的意识,对打印等设备也没有进行严格的限制性使用。有的管理员,则由于其对计算机技术掌握程度不高,在某一操作中出现错误,从而造成了信息的丢失或是泄露。还有部分管理员则为一己私利主动进行信息的泄露,对网络系统造成了破坏,如四六级英语考试的题目泄露事件等。
三、黑客入侵的防范措施
3.1构建优良的学校网络系统
在我们进行学习网络建设时,要注重网络安全性的建设。在系统设计构建时,要确保网络系统的完整性,建设两级以上网络结构。在学校的网络系统中,设置一个主网络中心,构建安全有效的认证环节,保证学校网络信息流通都要进行认证通道才能通过。在这部分的建设中,可以用光纤将网络中心的信息传递到教室或办公室中,然后再设置一个分节点,通过交换机将大楼的每一个用户连接起来。在主机的电源设置中,要建设备用电源,在停电时确保主机的正常运转。在完成整个网络系统的构建之后,要对计算机硬件进行安全性的验证,对连接线的短路等问题进行排除,确保各个物理硬件是安全有效的。
3.2完善网络安全管理体系
首先,要加强对网络安全管理作用的宣传,让每一个使用者都认识到网络安全管理的重要性。可以通过讲座培训或者计算机课程讲解一些简单的网络安全防范措施,动员每一个人都参与到学校的网络安全管理中。引导学生自动的屏蔽一些不良网站信息,鼓励学生发现一些软件的漏洞,如在使用某软件就出现了账号被盗等情况。其次,要加强网络中心的管理。对于网络中心的管理,要积极建设防范系统,加强防火墙的稳定性,要选择专业人员,确保制度的落地。对网络中心要做到禁止任何无关人员的进入,不能随意的关闭和启动不断电系统,保证交换机不被任何人碰触。管理人员还要定期的对网络中心进行清洁,保证机房的干燥和清洁。作为管理人员还需要时刻保证计算机技术的学习,能够及时处理出现的网络安全问题。
四、结束语
一.一 选题理由以及意义
跟着社会的发展与技术的进步,信息化、网络化已经成为现今时期的首要特征,信息网络逐渐扩大到咱们糊口的各个领域,咱们都在享受着信息时期带来的信息获取以及交换沟通的便利,并且愈来愈依赖于信息网络。信息网络的快速发展也在加快政府改革的步伐、推进电子政务的发展,电子政务的普及利用,使党政机关的办公效力大大提高,同时也为各国的经济以及社会发展提供了有力的声援。因而,包含发展中国家在内的绝大多数国家都致力于电子政务的钻研以及发展,踊跃发展本国的电子政务建设,而且电子政务发展的进程其实也是对于原本的政府模式进行改造的进程。在全世界信息化的违景下,信息安全作为非传统安全因素,瓜葛着咱们国家的安全、民族的兴衰以及战争的胜负,影响着咱们的工作以及糊口。咱们在享受着信息化带给咱们的科技发展成果和其他便利的同时,也遭到了1系列信息安全问题的困扰,比如秘密信息泄露、非法信息传布以网络经济犯法的增添等。因而,在全世界信息网络化、网络社会化的违景下,和网络自身缺少束缚性的事实情况下,电子政务的信息安全管理问题也是政府施行电子政务进程中要面对于的重点、难点问题。目前,政府作为保护国家信息安全的最大责任人,成为网络袭击的主要目标以及最大受害者,良多信息安全问题的矛头都直接指向政府,当前各国政府工作的1个首要任务就是,怎样保护政府信息安全。目前,我国尚无1个完全的电子政务信息安全管理体系,缺少1个国家层面上的总体策略。有些规定只强调部门的本身束缚,电子政务的实际管理能力、监督能力以及相应政策的执行能力有待加强,约束了有关部门在整个政务组织中的主观能动性。因而,通过技术与管理的对照以及国内外电子政务现状对照,对于做好信息安全保密管理工作的首要性有1个更明确的认识,发现我国电子政务信息安全管理体系存在的不足,结合国内外先进经验,提出对于构架有中国特点电子政务信息安全保密管理保障体系有利的对于策建议,以促使我国的电子政务建设健康延续发展。
…………
一.二 国内外钻研现状
因为信息技术的高速发展以及迅速普及,为适应信息化时期的请求,政府管理体制、运行方式等方面都亟需进行改革。为了规范信息安全管理工作,目前各国政府都在进行电子政务信息安全管理保障体系的钻研,使患上网络节制、避免黑客袭击、信息节制、泄密防范和信息资源管理等既有法律根据,又有技术支持。对于于电子政务信息安全的钻研,国外发达国家不管是技术方面仍是管理方面,都处于世界领先地位。国外学术界关注的重点已经是立体的电子政务安全保障体系,钻研更多的关注到了现实中而非仅仅存在于理论层面或者1些单纯的安全技术方面的问题。在产生1些较大的社会事件,比如美国 九⑴一 事件、“维基揭秘”以及“棱镜”事件产生后,国外就有良多文章讨论在新的要挟下电子政务所面临的危机,并提出解决危机的对于应办法。国外在电子政务信息安全管理领域的钻研,主要体现在构建总体性的框架、法律以及政策保障等。欧盟是较早的制订了信息安全发展战略的,并且跟着计算机网络技术的不断发展以及在实践中的利用,欧盟逐渐调剂以及不断完美其制订的信息安全发展战略,施展了其在信息安全领域的指点作用。在欧盟各国广泛普及的“把发展信息技术晋升到国家战略的高度”的口号,就是欧盟在 二0 世纪 九0 年代的《德洛尔白皮书》以及《本杰曼讲演》中提出来的。为了提高欧盟国家信息安全的级别,培育信息安全文化,增强政府在信息安全管理问题上的防范、处理以及响应能力,欧盟于 二00四 年 三 月成立了欧洲信息安全局。为了更好地应答网络的袭击以及黑客入侵,欧盟委员会又于 二00九 年 三 月 三0 日了新的重大信息基础设施维护战略。
……………
第 二 章 电子政务信息安全保密管理概述
二.一 电子政务
电子政务是社会不断发展、网络逐渐普及的直接需求,信息技术以及互联网的高速发展是其发生的基础,知识以及信息是其发展的症结性资源,不断深化的全世界化以及国际竞争是其外部的推进力。目前,电子政务1般指政府机构为优化工作流程以及重组政府组织结构,运用计算机网络以及通讯等现代信息技术,建成的精简高效、廉正公平的政府运作模式。简单来讲,电子政务模型可概括为两种类型,1种是政府部门内部应用先进的网络信息技术,实现信息化管理、自动化办公、科学化决策;1种是政府部门与社会各界应用网络信息平台进行信息同享,加强大众监督,提高办事效力,增强服务职能及增进政务公然等。电子政务跟着政府改革的逐渐深化、新的技术架构的不断产生,也在不断地发展与进步,经由几个发展阶段后,会到达比较完美的境地。我国的电子政务目前尚处于较低级的阶段,但咱们症结在于掌控“如何将电子为政务所用”,将电子政务以及当前政府机构改革联络起来,改善公共服务,提高政府公共服务的质量以及效力,加强政务公然,提高公民的政治介入性。
……………
二.二 我国电子政务网络体系结构
二0 世纪 八0 年代早期,国家鼎力推进电子信息技术的利用,由此拉开了我国信息化建设的序幕。我国的信息化建设大致阅历了办公自动化阶段、“金字工程”施行阶段、政府上网阶段和电子政务实质性利用4个阶段,而电子政务的体系结构也从原来的“3网1库”渐渐变为了内外网的结构。五具体来讲,副省级下列城市的电子政务体系结构目前主要是“3网1库”,无非在逐渐从“3网1库”向内外网结构转变,由于在现实利用中发现,外网与专网履行物理隔离,影响数据信息的实时快速交流,由此也就降低了处所政府特别是基层政府对于大众服务需求的反映速度;副省级以上则主要是内外网结构。政务内网主要指副省级以上政务部门的办公网上,在内网上传输的是触及国家秘密的相干信息以及办公业务,即凡是触及国家秘密的事项以及密与非密不宜区别的敏感信息都请求在政务内网上处理。政务“内网”的建设要坚持最小化的原则,规模要适度,要有实用价值,施展作用,保障安全,依照网络请求管理。
…………
第 三 章 我国电子政务信息安全保密管理现状.......九
三.一 我国电子政务信息安全保密管理的现状分析 ......九
三.二 我国电子政务信息安全保密管理存在的问题 .....一0
第 四 章 典型案例分析.....一三
第 五 章 晋升我国电子政务信息安全保密管理的对于策.........一七
五.一 优化完美电子政务信息安全管理体系 .....一七
五.一.一 建设有效的信息安全管理机构........一七
五.一.二 统1计划、同步建设信息安全系统....一七
五.一.三 制订切实可行的规章轨制......一九
五.一.四 强化人员安全保深情识........二0
五.一.五 树立信息安全事件应急响应预案......二0 五.二 加强电子政务信息安全法
规体系建设 .....二一 五、三 做好电子政务信息系统的信息......二二
五.四 加强电子政务信息系统核心技术研发.......二二
第 五 章 晋升我国电子政务信息安全保密管理的对于策
五.一 优化完美电子政务信息安全管理体系
信息安全管理体系是信息安全保障的首要支持环境,因为信息管理触及到人事、组织机构、法律法规以及技术标准等各方面,所以要采取系统管理的思想进行构建。做好信息安全工作既需要好的组织体系,也需要好的管理模式,二者缺1不可。树立信息安全管理体系要从相符法律法规、组织利益的角度,重视总体性原则,触及电子政务体系的各个层面,树立电子政务信息安全保密管理的总体框架。依据现有电子政务的实际情况,为提高信息安全保深情识、强化信息安全管理,要制订统1、可行的管理轨制并在整个网络系统中贯彻实施。具体来讲,可从下列几个方面进行:信息安全管理触及方面多、规模广,需要政府各部门各单/!/位与社会各单位各阶层之间加强沟通合作,需要有统1的领导管理机构,以保证异样情况下能迅速反映并制订防范措施。我国已经经树立了中央网络安全以及信息化领导小组,负责兼顾调和触及经济、政治、文化、社会及军事等各个领域的网络安全以及信息,但还未有具体文件谈及如何加强完美互联网的管理体制,这方面还有待具体措施的落实。可通过树立分工、责任更加明确的主协部门,以加强各单位之间的沟通与合作,现实情况下可采用以国家安全机关或者公安机关为中心,其他部门相互协作的方式,进行联合管理。
…………
【关键词】电力企业;信息网络;安全体系
【中图分类号】TP309【文献标识码】A【文章编号】1672-5158(2013)07-0498-02
引言
随着电力企业不断发展,信息化已广泛应用于生产运营管理过程中的各个环节,信息化在为企业带来高效率的同时,也为企业带来了安全风险。一方面企业对信息化依赖性越来越强,尤其是生产监控信息系统及电力二次系统直接关系到电力安全生产;另一方面黑客技术发展迅速,今天行之有效的防火墙或隔离装置也许明天就可能出现漏洞。因此,建设信息安全防护体系建设工作是刻不容缓的。
1 信息安全防护体系的核心思想
电力企业信息安全防护体系的核心思想是“分级、分区、分域”(如图1所示)。分级是将各系统分别确定安全保护级别实现等级化防护;分区是将信息系统划分为生产控制大区和管理信息大区两个相对独立区进行安全防护;分域是依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。
2 信息安全防护系统建设方针
2.1整体规划:在全面调研的基础上,分析信息安全的风险和差距,制订安全目标、安全策略,形成安全整体架构。
2.2分步实施:制定信息安全防护系统建设计划,分阶段组织项目实施。
2.3分级分区分域:根据信息系统的重要程度,确定该系统的安全等级,省级公司的信息系统分为二级和三级系统;根据生产控制大区和管理信息大区,划分为控制区(安全I区)、非控制区(安全II区)、管理信息大区(III区);依据业务系统类型进行安全域划分,二级系统统一成域,三级系统独立成域。
2.4等级防护:按照国家和电力行业等级保护基本要求,进行安全防护措施设计,合理分配资源,做好重点保护和适度保护。
2.5多层防御:在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用、数据层面进行安全防护设计,以实现纵深防御。
2.6持续改进:定期对信息系统进行安全检测,发现潜在的问题和系统可能的脆弱性并进行修正;检查防护系统的运行及安全审计日志,通过策略调整及时防患于未然;定期对信息系统进行安全风险评估,修补安全漏洞、改进安全防护体系。
3 信息安全防护体系建设探索
一个有效的信息安全体系是在信息安全管理、信息安全技术、信息安全运行的整体保障下,构建起来并发挥作用的。
3.1 建立信息安全管理体系
安全管理体系是整个信息安全防护体系的基石,它包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理五个方面,信息安全组织机构的建立尤为重要。
3.1.1建立信息安全管理小组
建立具有管理权的信息安全小组,负责整体信息安全管理工作,审批信息安全方针,分配安全管理职责,支持和推动组织内部信息安全工作的实施,对信息安全重大事项进行决策。处置信息安全事件,对安全管理体系进行评审。
3.1.2分配管理者权限
按照管理者的责、权、利一致的原则,对信息管理人员作级别上的限制;根据管理者的角色分配权限,实现特权用户的权限分离。对工作调动和离职人员及时调整授权,根据管理职责确定使用对象,明确某一设备配置、使用、授权信息的划分,制订相应管理制度。
3.1.3职责明确,层层把关
制订操作规程要根据职责分离和多人负责的原则各负其责,不能超越自己的管辖范围。系统维护时要经信息管理部门审批,有信息安全管理员在场,对故障原因、维护内容和维护前后情况做详细记录。
(1)多人负责制度 每一项与安全有关的活动必须有2人以上在场,签署工作情况记录,以证明安全工作已得到保障。
(2)重要岗位定期轮换制度 应建立重要岗位应定期轮换制度,在工作交接期间必须更换口令,重要技术文件或数据必须移交清楚,明确泄密责任。
(3)在信息管理中实行问责制,各信息系统专人专管。
3.1.5系统应急处理
制定信息安全应急响应管理办法,按照严重性和紧急程度及危害影响的大小来确定全事件的等级,采取措施,防止破坏的蔓延与扩展,使危害降到最低,通过对事件或行为的分析结果,查找事件根源,彻底消除安全隐患。
3.2 建立信息安全技术策略
3.2.1物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;确保计算机系统有一个良好的工作环境;防止非法进入机房和各种偷窃、破坏活动的发生,抑制和防止电磁泄露等采取的安全措施。
3.2.2 网络安全策略
网络安全防护措施主要包括以下几种类型:
(1)防火墙技术。通过防火墙配置,控制内部和外部网络的访问策略,结合上网行为管理,监控网络流量分配,对于重要数据实行加密传输或加密处理,使只有拥有密钥的授权人才能解密获取信息,保证信息在传输过程中的安全。
(2)防病毒技术。根据有关资料统计,对电力信息网络和二次系统的威胁除了黑客以外,很大程度上是计算机病毒造成的。当今计算机病毒技术发展迅速,对计算机网络和信息系统造成很大的损害。采用有效的防病毒软件、恶意代码防护软件,保障升级和更新的时效性,是行之有效的措施。
(3)安全检测系统。通过专用工具,定期查找各种漏洞,监控网络的运行状况。在电力二次系统之间安装IDS入侵检测软件等,确保对网络非法访问、入侵行为做到及时报警,防止非法入侵。
3.2.3安全策略管理
对建的电力二次系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;对已投运且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞;定期分析本系统的安全风险,分析当前黑客非法入侵的特点,及时调整安全策略。
3.2.4 数据库的安全策略
数据库的安全策略包括安全管理策略、访问控制策略和信息控制策略。但数据库的安全问题最主要的仍是访问控制策略。就访问控制策略分类而言,它可以分为以下几种策略。
(1) 最小特权策略: 是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些权限恰好可以让用户完成自己的工作,其余的权利一律不给。
(2) 数据库加密策略: 数据加密是保护数据在存储和传递过程中不被窃取或修改的有效手段。
(3)数据库备份策略:就是保证在数据库系统出故障时,能够将数据库系统还原到正常状态。
(4)审计追踪策略:是指系统设置相应的日志记录,特别是对数据更新、删除、修改的记录,以便日后查证。
关键词:互联网;计算机;信息安全;网络加密;黑客技术;加密措施
0引言
随着信息化的发展,很多信息都通过网络技术传输到互联网中,黑客利用计算机网络,对计算机中的信息数据进行篡改和盗取,导致信息安全事件。影响信息安全的因素不但有黑客,而且还有很多的网络因素,种种因素使得计算机的信息数据安全受到威胁。若不进行有效的处理,会影响到用户对计算机信息的保存使用。信息加密技术是一项预防性和控制性的保密技术[1],能够最大程度地保证计算机信息的安全,使得计算机的信息数据更具有保密性和完整性。
1计算机网络信息安全及加密技术的概念
1.1网络信息安全
计算机网络信息安全通常定义为:以任何形式保护计算机网络中的信息不受到破坏和盗取,使得其能够安全有效地进行正常的运行[2]。其涉及的范围比较广,包含了计算机网络范围内的所有内容,组网和管理以及控制网络的软件都在其中,因此确保其信息安全十分关键。计算机网络信息安全的特点主要表现在以下几个方面。①机密性:在未经本机用户授权的情况下,不允许任何人对计算机网络信息进行查看和使用,也不能给其他用户盗取其信息的机会。②可控性:能够对计算机网络中的信息内容进行一定的控制,使其健康、安全地在网络进行传播。③完整性:在计算机信息传输或保存的过程中不能对其进行改变和破坏,必须保证其信息的完整性。④可用性:无论用户以何种形式将信息保存在计算机中,都需确保在用户需要时能供其使用。⑤可审查性:当用户信息出现安全问题时,计算机可提供其查询的依据和证明。
1.2信息加密技术
随着计算机技术的不断发展和普及,很多用户为了能够随时使用信息数据,大多会将其保存到计算机。不法分子盗取计算机信息的现象不断发生,使得很多用户越发关注计算机信息安全。信息加密技术可以在一定程度上保护计算机的网络安全,其核心技术在于对信息进行保护,从而降低信息被盗的风险。信息加密技术的原理主要是通过加密算法中明文和暗文的相互转换,对盗取用户信息的黑客进行阻断,使其不能对用户信息进行复制和查看,从而在很大程度上保护了计算机的保密性和安全性。加密技术是现在使用较为广泛的一项计算机安全技术,其通过一种加密密钥对信息进行加密,在其他用户进行盗取密码时,其没有加密秘钥来进行解密,是盗取不到计算机中的信息数据的。
2加密技术在网络安全管理中的应用
2.1存储加密技术
计算机用户在对信息进行存储时,很容易使信息数据泄漏。经过相关研究后,出现了一种可以在存储时对信息进行加密的技术。存储加密技术有两种控制信息加密的技术,一种是密文存储加密,另一种是存取控制加密。无论哪种加密技术,都能有效保护计算机的信息安全。密文存储采用的方法也较多,有加密模块和加密算法转换以及附加密码等。存储控制则是通过对象来对用户的权限进行加密控制。在对用户进行权限控制时,需要保证用户的真实性和合法性。管理办法主要有控制用户权限、预防用户跨权限查看信息和不法用户存取信息等。使用存储加密技术的目的在于保证存储的图片不被盗取和使用。
2.2网络信息确认加密技术
计算机网络中有些信息是有一定的共享性的,能够供其他用户查看,很多不法分子通过此渠道来对共享的信息进行改变和伪造,使得用户共享的信息被破坏,降低其安全性。网络信息确认加密技术主要是在一个共享的范围内,对其进行一定的控制,防范对共享信息的盗取和破坏[3],使符合规定的接收者能够确定其收到的信息是否是真实安全的,而其他用户是不能通过信息的共享性来对其进行盗取的。在计算机网络中的信息出现判定事件时,第三方是可以对其两方进行仲裁管理的。在这种情况下,真实的接收信息者可以通过加密密文来对信息进行解密,而不法分子则因无法解密而很容易被查出。
2.3网络传输加密技术
网络传输加密技术能够在信息的数据传输过程中对其进行加密性的保护[4]。目前我国采用的传输加密技术主要有两种,一种是线路加密,另一种是端加密。线路加密主要是忽视信源和信宿,对不一样的加密秘钥进行线路的加密。端加密主要是指在信息发送源头,由信息的发送者对其采取加密措施,使得信息在网络传输过程中能自动进入TCP的数据包。在这种情况下,其他的用户是不能对其进行查看和篡改的。信息在经过传输到达指定用户端后,由用户端的客户对其进行解密,并查看其中的信息数据。很多黑客利用网络传输中的一些特性,对计算机信息进行篡改和盗取,而网络传输加密技术在很大程度下,避免了这些问题的发生。
2.4网络密钥管理加密技术
网络密钥管理加密技术是目前使用较为广泛的加密技术,在保护信息上有很大的优势。其优势在于使用信息数据时比较便捷有效,且在保护信息安全[5]上也非常的可靠。网络加密技术主要是通过产生、分配、保存和销毁这几个环节进行加密,这些环节是在用户允许的情况下进行操作的。加密技术中的密钥有很多形式,基本上为磁卡、磁盘和半导体形式的存储器,密钥能在产生、分配等环境上对其进行相关的保密措施,从而使用户的信息不被修改和使用[1]。
3计算机网络安全的影响因素
3.1计算机病毒
计算机病毒对计算机信息的安全影响较大,其能够在用户无准备的情况下对计算机进行攻击,使得计算机中的信息被随意篡改和盗取,导致计算机用户的信息安全遭到破坏。很多的计算机病毒都具有一定的复制性,即能够自动地对计算机执行自我复制指令,这不但使得用户信息受到了危胁,其计算机的功能也会被破坏损乱[1]。
3.2操作系统存在漏洞
无论哪种品牌的计算机,其在操作系统中都存在一些无法避免的漏洞。即使对其进行处理升级,也还会有新的漏洞出现,因此计算机的信息安全令人担忧。甚至计算机的操作系统在未经使用的情况下也是存在漏洞的,且随着用户的不断使用漏洞会愈来愈多,即便用户使用补丁程序对其进行修补,也还是避免不了这种漏洞现象的发生。其原因在于:漏洞在进行升级修补时,也会生成新的系统漏洞,因此计算机的操作系统漏洞对信息的安全也是有一定的影响的。计算机的操作漏洞一旦被黑客利用[2],对计算机中的信息都是一个很大的威胁,甚至会造成计算机网络系统的瘫痪。
4计算机信息安全加密的有效措施
4.1加强信息安全管理体系
为了提高计算机信息安全,相关管理人员可以通过建设计算机信息安全管理体系,控制网络中的不法分子盗取信息的情况的发生,使得计算机的信息安全能够得到一定的保障[3]。建设计算机信息安全管理体系能够在对信息进行加密的情况下,再对其添加一重网络的保护,使得信息能够不被轻易地盗取,且同时也能对盗取信息的用户进行监管[6]。计算机信息管理体系需要有明确的预估风险体制和安全管理技术的平台,其目的在于降低计算机信息的危险性。
4.2对计算机病毒加强防范
即使计算机信息有加密技术进行保护,但遇到计算机病毒,加密技术也难以对其进行治理控制。因此,为了保障计算机信息的安全,必须要对计算机病毒进行管理和预防[7]。对此,计算机用户除了要安装杀毒软件进行定时检查外,也需要注意浏览网络信息时的安全,对非法的计算机网络信息不随意查看,避免病毒在此过程中入侵计算机。若想最大化地提高计算机的信息安全,计算机用户可以通过网络层来对计算机进行监控,以保障计算机中的信息数据安全。通过加强对计算机的病毒防范,能使计算机中的信息不被篡改,并进行一定的加密技术处理,确保信息能够更完整地保存在计算机上。
4.3对访问权限控制
用户在对计算机信息进行加密技术处理后,若在访问权限上管理不严,还是会被黑客高手盗取计算机信息数据。系统可以对用户信息权限[8]进行一定的限制,使得黑客即使拥有加密技术密钥,也不能随意地进入计算机查看信息。对访问权限进行控制的目的是为了避免一些黑客查询加密技术秘钥的情况下[9],对计算机中的信息进行盗取和复制,从而保证计算机信息的安全。
5结束语
综上所述,科技的发达使得盗取信息的手段越来越高,为了提高计算机信息中的安全,必须预防性地对计算机进行加密技术处理,以在遇到不法分子盗取时,能够防止其盗取行为。对计算机信息进行加密处理,不但有利于计算机信息的安全,也有利于提高网络信息中的安全性,因此需要利用加密技术来保障个人计算机的信息安全。
参考文献:
[1]陆莉芳.信息加密技术在计算机网络安全中的应用探讨[J].电子测试,2013(10):22-28.
[2]孙建龙.计算机信息数据的安全与加密技术研究[J].电子技术与软件工程,2015(11):32-36.
[3]李书香.计算机网络安全中信息加密技术的应用研究[J].网络安全技术与应用,2014(3):36-39.
[4]钱临红,罗勇.关于计算机信息数据的安全与加密技术的讨论[J].科技创新与应用,2013(17):46-47.
[5]崔钰.关于计算机网络安全中的应用信息加密技术[J].山西电子技术,2012(5):62-68.
[6]李宗育,王劲松,宋庆军.基于WSE的SOAP消息部分信息加密机制[J].计算机工程与设计,2016(1):55-59.
[7]徐政五,龚耀寰.信息战中的信息加密技术[J].电子科技大学学报,2000(6):469-474.
[8]李书香.计算机网络安全中信息加密技术的应用研究[J].网络安全技术与应用,2014(3):38-40.
关键词:电子商务;计算机网络安全;优化措施
随着我国科学技术的发展,电子商务行业领域的日益繁荣昌盛,计算机网络作为电子商务的基础技术支持也逐渐受到人们的关注,它在便捷了人们生产、交易的同时其中所存在的安全问题也不容忽视,现阶段,针对有关电子商务网络漏洞的诈骗频发,这对我国当前的电子商务人员经济、财产等造成了十分严重的损失。如何在确保电子商务网络正常运作的情况下,通过维护、重视电子商务所使用网络的安全来保障资金支付使用、财产信息的安全逐渐成为了管理者们的关注重点。
一、电子商务领域中计算机网络存在的问题
(一)管理重视程度不够,技术防范不充分
首先,对于电子商务这种依托于计算机技术而衍生的商务经营模式,其中最为重要的安全维护措施便是针对于企业所使用的网络信息技术以及相应的硬件设辅助设施进行及时的优化和升级,但是在现实工作中,很多电子商务企业的领导层往往重视程度不够,认为企业日常工作中所使用的的电脑、安全管理软件等设施只要能用就可以,根本不在意针对硬件设施的后续维护、保养等工作,这就导致了原始软件、设施本身就存在很大漏洞,在面对新型问题的情况下无法使用,甚至形同虚设。同时,很多电子商务企业没有专业的技术防范部门,这就导致了在计算机网络安全问题发生的时候只能依靠一些很不专业的人员去进行相应的维修,者很大程度上限制了工作人员的维护效率,同时也无法对其维护效果作出保证。
(二)没有较为健全的安全管理体制
现阶段,我国电子商务行业仍旧处在初期发展阶段,很多电子商务企业刚刚起步,以至于其在企业管理体系中没有较为健全、整合的安全管理体系,设立健全的网络信息安全管理体系是保障电子商务能够在一个较科学、完善的管理环境下获得最好的成长空间,从而进一步的促进电子商务的蓬勃发展。
(三)安全衍生品监管混乱
由于电子商务在我国发展尚处于初始阶段,发展时间较短,因此对于监管网络安全的衍生品缺乏标准一致的监管、督查规定,这使得对于计算机网络安全监管的衍生品(例如安全软件等)不够完善,其中产品很大程度上模仿了国外原有的产品,很多情况下并不符合我国国情、适合我国的经济环境,并且没有专注其衍生品研究的技术人员,导致了我国现阶段计算机网络安全衍生品市场混乱,产品质量层次不齐的同时远远落后于其他国家。
(四)技术等级、研发程度不够
随着电子商务工作领域发展进程的不断深入,商业网络化的模式成为了社会发展的必然趋势,但是就目前来说,我国针对其计算机网络安全技术的研究、研发程度仍较弱,产品很大程度上依赖于模仿市场原有的技术、产品,自主研发、创新的能力不足,相关产业仍旧没有受到政府等相关监管部门的重视,现有产品普遍存在技术含量不高、效果不好等问题。
二、电子商务领域计算机网络安全优化措施
(一)建立健全的网络安全信息管理制度
在实际的电子商务工作中,往往存在安全隐患较多的环节是在信息传递的过程中,例如电子商务人员在进行邮件、压缩文档等数据传输过程中,可能会随着数据一同传送计算机病毒、木马软件等危害计算机信息安全的因素。这些类型都是可以通过健全的网络安全管理制度进行明显的改善的,工作人员可以在实际工作中,通过对需要传递的信息、口令、密码等进行加密、规范化的保密传递措施,从而保障信息等资源在其传递过程中,不会受到别有用心人员的刻意篡改、毁坏。
(二)建立专业的网络安全维护制度
在需要进行计算机网络安全保护措施的电子商务企业可以设立网络技术专管人员,定期的针对企业使用软件、系统等安全衍生用品加以适当的维护、升级,确保在面对计算机网络安全威胁的时候,企业的安全系统可以充分的发挥其作用。与此同时,可以安排专业技术人员对企业的计算机安全专管人员定期进行技术的相关培训,并由9苋嗽苯技术人员传递的最新安全知识传达给普通的工作人员,争取做到“企业上下共同参与,共创和谐、安全的计算机网络安全环境”。
(三)做好相关数据备份,加强日常管理
在实际电子商务工作中,做好相关数据的备份工作是电子商务工作人员的工作必修课,这种方式在计算机网络安全受到威胁时可以最大限度的将其伤害损失降到最小。首先,在电子商务操作系统平台内操作使用时,通过对操作界面的快照等方式对操作结果进行记录备案。其次,在平台客户端上定期对实际使用数据库进行备份、存档以备不时之需。最后,在计算机网络信息沟通中对专用的用户名以及口令设定专用的网络传送加密渠道,通过对源头信息的加密控制进而最大限度的减少计算机网络安全事故的发生。
关键词:电子政务;信息安全;保障体系
说起电子政务,大家也许首先想到的就是各级政府门户网站,认为电子政务就是通过政府门户网站提供的便民公共查询窗口查询信息或是通过网上办事通道办理申请或审批业务。这是狭隘的理解,门户网站只是电子政务的一部分,并不是电子政务的全部。电子政务是“运用计算机、网络和通信等现代信息技术手段,实现政务组织结构和工作流程的优化重组,超越时间、空间和部门分隔的限制,简称一个精简、高效、廉洁、公平的政府运作模式,以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服务。”
简单讲,电子政务就是政府通过现代通信技术手段组建一个优于传统模式的政府运作模式,并向社会提供管理与服务。其实,电子政务离我们并不遥远,它已经深入到了我们的日常生活中。举个例子,我国于1993年开始启动“金卡工程”,它以计算机、通信等现代科技为基础,以银行卡等为介质,通过计算机网络系统,以电子信息转帐形式实现货币流通。如今,我们使用带有银联标志的金融卡可以在任意标有银联标志的商户进行消费,我们可以通过银行ATM机办理同城或异地,同行或跨行转账汇款等业务,使用银行卡进行消费、转帐、结算正逐渐成为一种时尚,“金卡工程”实现了“一卡在手、走遍神州”,为企业和个人提供了方便、快捷、安全的支付和消费手段,与此同时,它使企业和个人的交易、转帐、消费和税收纳入国家统计体系之内,加强了国家的监管。又如我国于2001年开始启动的“金关工程”,它在实现海关内部作业流电子化的同时,利用现代信息技术,依托国家电信公网,将进出口业务信息流、资金流、货物流信息集中存放在一个公共数据中心,监管部门可以进行跨部门、跨行业的联网数据核查,企业可以上网办理出口退税、报关申报、转关申报等多种进出口手续。
1 电子政务系统安全保障的重要性
电子政务已覆盖到我国金融、进出口贸易、社会保障、税务、公安、财政审计等多个领域,电子政务系统的稳定和数据安全关系重大,我国对电子政务的信息安全工作非常重视,中央办公厅于2003年下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、公安部于2004年9月了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、国信办于2005年9月了《电子政务信息安全等级保护实施指南(试行)》(国信办[2005]25号),供各级党政机关在新建电子政务系统和已建电子政务系统中开展信息安全等级保护工作参考。保证电子政务系统实现其功能和保证电子政务系统的数据安全是电子政务系统安全保障的两项基本任务。
2 信息安全管理体系建设
电子政务的安全保障是依托对电子政务信息系统的安全保障实现的,信息安全管理应该建立在一套完备的安全管理体系基础之上的,由电子政务信息系统的建设维护单位自上而下的开展。
2.1 信息安全管理体系建设的内容
安全管理体系应该包括安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性等内容。具体要求参见我国2008年的《信息技术 安全技术 信息安全管理体系 要求》(GB/T 22080-2008)。
2.2 信息安全管理体系建设的意义
建立完善的信息安全管理体系,使得电子政务信息系统能够有专门的组织或机构负责其安全管理,有了明确的职责划分和责任认定,有助于顺利开展组织的信息安全管理工作。在信息系统全生命周期内对构成信息系统的各要素的安全管理进行规范化管理,形成制度体系,以便其落地实施,会使电子政务信息系统的安全管理更加科学化、规范化和标准化。
3 安全基础设施建设
电子政务信息系统的建设和运行需要基础设施的支撑,电子政务面向社会公众或特定人群提供服务,首先要搭建与互联网对接的网络系统,再解决互联网络上的用户身份鉴别问题,此外还要根据国家信息安全等级保护的有关要求,结合电子政务所在的行业以及提供服务的性质,考虑系统和数据的容灾备份。
3.1 网络建设与安全域划分
电子政务往往需要建设专有网络系统,以便将业务覆盖到本行业的下一级乃至更下一级的业务部门,如“金保工程”将建立三级网络纳为其建设内容,即搭建中央、省、市三级安全高效的网络系统;“金关工程”中也包含主干网建设内容。电子政务信息系统建设单位可以根据电子政务所处行业、服务和管理内容等,制定网络建设规划,并根据电子政务信息系统的安全保护级别相对应的要求划分网络安全域。
3.2 公钥基础设施(PKI)
公钥基础设施PKI利用数字证书标识密钥持有人的身份,通过对密钥的规范化管理,构建和维护一个可信赖的系统环境,为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障。电子政务需要面向社会群众或特定群体通过网络提供服务,就需要解决网络环境下的身份鉴别与抗抵赖性问题,即解决如何验证用户为合法用户,以及如何防止用户否认其行为的问题。公钥基础设施(PKI)就能够很好的解决上述问题。税务系统和电子口岸就采用了PKI技术,在电子政务信息系统中应用PKI,在保证电子政务系统安全的前提下,解决了电子政务系统中的抗抵赖性问题。
3.3 系统与数据容灾备份
电子政务信息系统应根据其信息安全保护等级和业务连续性要求选择是否建设灾备系统,以防止因系统终止提供服务而对用户的正常生产生活产生影响,甚至造成社会影响;电子政务信息系统应根据其数据的重要程度制定数据备份策略,以防止因数据丢失而造成损失。
4 信息安全防护体系建设
电子政务信息系统依托现代技术建设,其安全防护体系应围绕着它的基础设施、硬件设备(主机、存储、网络设备、安全设备等)和人(建设人员、维护人员、使用人员等)构建。
4.1 个体安全防护
硬件设备是构成电子政务信息系统的最小单元,针对硬件本身进行的安全防护可看做是个体安全防护。个体安全防护的目标是提升个体的安全防护能力。针对不同类型的硬件设备,有不同的安全防护手段或技术。例如:应针对不同操作系统和版本的主机设置安全加固配置基线,统一管理主机安全配置;部署Windows操作系统的服务器需要安装防病毒软件;及时更新系统补丁;加强个体的账号管理和访问控制;部署第三方加固软件等。
4.2 区域安全防护
电子政务信息系统的网络依据其功能和互联需求划分为不同的安全区域,安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。例如:有与互联网联通需求的网络需要划分专门区域用于接入互联网。
区域安全防护包括边界安全防护和区域安全管理两部分。不同安全域之间以及内部网与外部网之间形成的界限称为边界,边界安全防护的目标是阻止未被允许的访问,具体可通过防火墙、交换机、入侵防御、防病毒网关等实现;区域安全管理的目标是掌握区域内的安全状态,及时处置区域内产生的安全事件,具体可通过漏洞扫描、安管中心、安全审计等实现。
4.3 基础设施安全防护
电子政务信息系统最为关键的基础设施是运行机房,机房内运行着所有的硬件资产和软件资产,其安全防护工作包括机房电磁屏蔽、消防、电气、空调、防盗等等。
4.4 信息安全审计
将信息安全审计作为单独一条是用来强调它的重要性,电子政务信息系统的建设和运维都离不开人,对人员的安全管理是保障安全方针策略得到有效执行的关键。“堡垒最容易从内部攻破”,再安全的外部防御也无法抵挡由内而外的攻击。电子政务系统往往会因其特殊的应用而产生许多敏感数据,这些数据大多涉及个人及企业团体的基本信息数据及其生产数据等,部分还会涉及商业秘密,一旦发生人为的泄密、数据盗取、后门等安全事件,其后果将不堪设想。因此需要电子政务信息系统建设维护单位建立完善的信息安全审计体系,对系统建设和维护的关键环节实施信息安全审计,通过制度宣贯和技术手段起到威慑的作用,让人员有“伸手必备捉”的危机感。
5 明确第三方服务保障
电子政务信息系统的建设离不开第三方的支持,网络线路需要向运营商申请并由其保障线路通信质量,软硬件设备需要向供应商采购并由其提供维保服务和技术支持,部分单位的电子政务信息系统是委托第三方开发建设的或有委托第三方进行运行维护的,等等。第三方的服务保障质量、对已掌握的资源是否严格管理等问题关系到电子政务信息系统的安全,因此有必要与第三方签订明确的服务保障合同,确定第三方的责任和义务、提出第三方的保障要求并签订相应的保密协议。
6 结语
我国电子政务的建设还将不断持续下去,已建的或正在筹建的电子政务都应重视电子政务的信息安全保障问题,认真思考建立适合的信息安全防护体系,为电子政务提供安全可靠的支撑平台。
参考文献
[1] 侯卫真 《电子政务的建设与发展》[M] 中国人民大学出版社 2006.3
信息安全准则是风险评估和制定最优解决方案的关键,优秀的信息安全准则包括:根据企业业务目标执行风险管理;有组织的确定员工角色和责任;对用户和数据实行最小化权限管理;在应用和系统的计划和开发过程中就考虑安全防护的问题;在应用中实施逐层防护;建立高度集成的安全防护框架;将监控、审计和快速反应结合为一体。良好信息安全准则可以让企业内外部用户了解企业信息安全理念,从而让企业信息管理部门更好地对风险进行管控。
2企业信息安全管理的主要手段
2.1网络安全
(1)保证安全的外部人员连接。在日常工作中,外部合作伙伴经常会提出联入企业内网的需求,由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准,因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY等强验证手段;全面管控外部单位的网络接入等。
(2)远程接入控制。随着VPN技术的不断发展,远程接入的风险已降低到企业的可控范围,而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USBKEY,动态口令牌等硬件认证方式的远程接入要更加的安全。
(3)网络划分。在过去,企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟,非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec技术有效提高企业网络安全,实现对位于公司防火墙内部终端的完全管控。
(4)网络入侵检测系统。网络入侵检测系统作为防火墙的补充,主要用于监控网络传输,在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备,入侵检测系统能有效防控企业外部的恶意攻击行为,随着信息技术的发展,各大安全厂商如赛门铁克,思科等均研发出来成熟的入侵检测系统产品。
(5)无线网络安全。无线网络现在已遍布企业的办公区域,给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全,信息管理部门需要使用更新更安全的协议(如无线保护接入WPA或WPA2);使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。
2.2访问控制
(1)密码策略。高强度的密码需要几年时间来破解,而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害,企业必须制定密码策略并利用技术手段保证执行。
(2)用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期,要便捷有效地在这个生命周期中对员工的权限进行管理,需要企业具有完善的身份管理平台,从而实现授权流程的自动化,并实现企业内应用的单点登陆。
(3)公钥系统。公钥系统是访问控制乃至信息安全架构的核心模块,无线网络访问授权,VPN接入,文件加密系统等均可以通过公钥系统提升安全水平,因此企业应当部署PKI/CA系统。
2.3监控与审计
(1)病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统,在终端定期更新病毒定义,进行病毒自扫描,自动更新操作系统补丁,以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端,或对终端进行定制,在终端接入企业内网时,终端管理系统会在隔离区域对该终端进行综合评估打分,通过评估后方能接入内网。才能保证系统的安全策略被有效执行。
(2)恶意软件防控。主流的恶意软件防控体系主要由五部分构成:防病毒系统;内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。
(3)安全事件记录和审计。企业应当配置日志审计系统,收集信息安全事件,产生审计记录,根据记录进行安全事件分析,并采取相应的处理措施。
2.4培训与宣传提高企业管理层和员工的信息安全意识,是信息安全管理工作的基础。了解信息安全的必要性,管理层才会支持信息安全管理建设,用户才会配合信息管理部门工作。利用定期培训,宣传海报,邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有效提高企业信息安全管理水平。
3总结
