时间:2023-09-14 17:43:37
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇加强网络信息安全管理,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
移动网络信息的安全管理涉及到的内容比较多,在移动网络对人们的工作生活带来方便的同时,一些网络信息安全问题也逐渐的突出。构建完善化的移动网络信息的安全体系,保障移动网络信息的安全性,是当前移动网络企业发展的重要目标。通过从理论层面加强移动网络信息安全的管理研究,就能有助于从理论层面提供移动网络信息安全的支持。
1 移动网络信息安全管理的特征体现以及主要内容
1.1 移动网络信息安全管理的特征体现分析
移动网络信息的安全管理过程中,有着鲜明特征体现,其中在网络信息安全管理的动态化特征山比较突出。在信息网络的不断发展过程中,对信息安全管理的动态化实施就比较重要。由于网络的更新换代比较快,这就必须在信息安全管理上形成动态化的管理。
移动网络信息安全管理的相对化特征上也比较突出,对移动网络的信息安全管理没有绝对可靠的安全管理措施。通过相应的方法手段应用,能有助于对移动网络的信息安全管理的效率提高,在保障性方面能加强,但是不能完善保障信息的安全性。所以在信息安全管理的相对性特征上比较突出。
另外,移动网络信息的安全管理天然化以及周期性的特征上也比较突出。移动网络的系统应用中并不是完美的,在受到多方面因素的影响下,就会存在着自然灾害以及错误操作的因素影响,这就对信息安全的管理有着很大威胁。需要对移动网络系统做好更新管理的准备,保障管理工作能够顺利进行。在对系统建设的工作实施上有着周期化特征。
1.2 移动网络信息安全管理的主要内容分析
加强对移动网络信息的安全管理,就要能充分重视其内容的良好保证,在信息的安全保障上主要涉及到管理方法以及技术应用和法律规范这三个内容。在对移动网络信息的安全管理中,需要员工在信息安全的意识上能加强,在信息安全管理的水平上要能有效提高,在对风险抵御的能力上不断加强。将移动网络信息安全管理的基础性工作能得以有效加强,在服务水平上能有效提高。然后在对移动网络信息安全的管理体系方面进行有效优化,在信息安全管理能力上进行有效提高,对风险评估的工作能妥善实施,这些都是网络信息安全管理的重要内容。
2 移动网络信息安全管理问题和应对策略
2.1 移动网络信息安全管理问题分析
移动网络信息安全管理工作中,会遇到各种各样的问题,网络的自主核心技术的缺乏,就会带来黑客的攻击问题。我国在移动网络的建设过程中,由于在自主核心技术方面比较缺乏,在网络应用的软硬件等都是进口的,所以在系统中就会存在着一些漏洞。黑客会利用这些系统漏洞对网络发起攻击,在信息安全方面受到很大的威胁。
再者,移动网络的开放性特征,也使得在具体的网络应用过程中,在网系的渗透攻击问题比较突出。在网络技术标准以及平台的应用下,由于网络渗透因素的影响,就比较容易出现黑客攻击以及恶意软件的攻击等问题,这就对移动网络信息的安全性带来很大威胁。具体的移动网络物理管理和环境的安全管理工作上没有明确职责,在运营管理方面没有加强,对网络访问控制方面没有加强。以及在网络系统的开发维护方面还存在着诸多安全风险。
2.2 移动网络信息安全管理优化策略
加强移动网络信息安全管理,就要能充分重视从技术层面进行加强和完善。移动网络企业要走自力更生和研发的道路,在移动网络的核心技术以及系统的研发进程上要能加强。对移动网络信息的安全隐患方面要能及时性的消除,将移动网络安全防护的能力有效提高。还要能充分重视对移动网络安全风险的评估妥善实施,构建有效完善的信息系统安全风险评估制度,对潜在的安全威胁加强防御。
再者,对移动网络安全监测预警机制要完善建立。保障移动网络信息的安全性,就要能注重对移动网络信息流量以及用户操作和软硬件设备的实时监测。在出现异常的情况下能够及时性的警报。在具体的措施实施上来看,就要能充分重视漏洞扫描技术的应用,对移动网络系统中的软硬件漏洞及时性查找,结合实际的问题来探究针对性的解决方案。对病毒的监测技术加以应用,这就需要对杀毒软件以及防毒软件进行安装,对网络病毒及时性的查杀。
将入侵检测技术应用在移动网络信息安全管理中去。加强对入侵检测技术的应用,对可能存在安全隐患的文件进行扫描,及时性的防治安全文件和病毒的侵害。在内容检查工作上也要能有效实施,这就需要在网络信息流的内容上能及时性查杀,对发生泄密以及窃密等问题及时性的报警等。这样对移动网络信息的安全性保障也有着积极作用。
另外,为能保障移动网络信息的安全性,就要充分注重移动网络应急机制的完善建立,对网络灾难恢复方案完善制定。在网络遭到了攻击后,能够及时性的分析原因,采取针对性的方法加以应对。这就需要能够部署IPS入侵防护系统进行应用,以及对运用蜜罐技术对移动网络信息安全进行保障。
3 结语
总而言之,对移动网络信息的安全性得以保障,就要充分注重多方面技术的应用以及管理方法的灵活应用。只有充分重视移动网络信息安全防护体系的构建,对实际的网络信息安全才能有效保障。通过此次的理论研究,希望能有助于从理论层面对移动网络信息安全保障提供支持。
作者简介
关键词:信息化;网络安全;管理对策
0 引言
在信息化社会建设的进程中,网络的应用和开发已成为衡量一个国家政治、经济和军事综合能力水平的重要标志,网络的作用和地位越来越重要。网络为信息交换、存储和处理提供了极大的便利。计算机网络因其开放性、互联性的体系结构使网络扩展更加便利,信息利用更加快捷高效,网络的服务性和需求日益提高,社会、经济、军事等领域对网络信息作用的依赖日益增强。然而,也正是网络开放、互联等特点增加了网络的复杂性和脆弱性,网络信息遭受来自网络内部和外部的各种安全威胁。因此,网络安全问题已成为信息时代人类共同面临的挑战,越来越被重视。就其本质而言,网络安全就是信息安全。网络安全是指通过各种技术和管理措施,使网络系统正常运行,保护网络数据(信息)的可用性、完整性、私密性和可控性。网络安全是一个完整的体系,其防护主要包含技术方面和管理方面,二者相互补充,缺一不可。加强网络安全不仅要从技术防护着手,更要注重网络安全管理工作。本文试对网络安全管理存在的问题简要分析,并就加强网络安全管理提出几点措施。
1 网络安全现状及存在的原因
1.1 现状
经过长期的努力,我国在信息安全管理上取得了一些成就,制定了一系列信息安全的制度法规,建立了专门的加强法制信息安全管理机构,出台了一系列信息安全技术标准。从国家互联网应急中心(CNCERT)的2011年互联网网络安全态势报告,显示我国基础网络防护水平明显提升,政府网站安全事件显著减少。其中,2011年我国大陆被篡改的政府网站数量较2010年下降39.4%。但由于缺乏自己的计算机网络及信息安全核心技术,互联网新技术和新应用快速发展而网络安全法规建设相对滞后,加之人们对网络信息安全的认识存有误区,网络信息安全事件频繁发生。数据泄露事件层出不穷,钓鱼网站数量持续增加,虚假信息和垃圾信息泛滥,用户信息安全保障难度加大;病毒、木马、蠕虫变化多、更专业,其破坏性和危害性更强。有数据表明,我国2011年遭受境外网络攻击持续增多,网上银行面临的钓鱼威胁、手机恶意程序、应用软件漏洞、工业控制系统安全事件等也呈增长态势。其中,2011年CNCERT捕获移动互联网恶意程序6249个,较2010年增加超过两倍。为此这些将成为网络安全管理工作的主要难点。
1.2 主要原因
1.2.1 网络安全意识淡薄。
网络安全实质就是要保障网络信息安全。影响网络安全的因素有许多,既有网络硬件、软件或系统等问题造成;也有人为因素造成。但是一些企事业单位机关对网络安全的认识存在误区,过度依赖网络设备和技术方面的防御,把防范的重点放在外部,忽视从内外结合上,技术和管理上构建网络信息系统的安全防范体系;对网络管理制度、管理队伍建设重视不够;网络工作人员和用户安全意识淡薄,导致疏于安全管理的网络安全问题时有发生。大量的调查表明,因人为因素或自然灾害所造成的计算机信息系统的损失事件中,至少有70%是因为管理措施不得力或管理不善所致,而其中95%是可以通过正确的信息安全配置管理来消除的。增强网络安全管理意识,强化管理措施是做好网络信息系统安全保护工作不可缺少的保障。
1.2.2 网络信息安全管理体系建设滞后于网络技术的发展。
网络安全是以安全技术为支撑,以安全管理为手段。虽然随着网络信息技术运用的不断深入,网络信息安全管理工作有所改进,但是由于没有及早认识到网络信息安全管理的重要性,网络信息安全管理工作还存在诸多不足。一是我国安全管理法规制度建设不健全。相对网络信息发展,我们在网络立法方面明显落后于信息技术的发展,难于满足网络信息发展的需要,不能有效地适应各类网络非法行为。二是网络建设处于分散管理状态。信息安全管理条块分割,各管理部门之间缺乏有效的沟通和联系,网络信息安全的多头领导,极易引起信息安全管理的混乱。三是网络信息管理队伍建设发展不平衡。从整体而言,网络信息管理队伍重视程度远低于网络硬件建设,网络安全管理的人才无论是数量还是质量都达不到信息发展及信息安全管理的需要。
2 加强网络安全管理几点建议
2.1 重视管理在网络安全的作用
加强网络信息安全必须从管理上着手,有人提出“网络信息安全的工作是三分技术、七分管理”。诸多事实证明,仅从防火墙、密码机单一设备加强信息安全已不能适应当今网络安全的需要,尽管目前已经有成百上千种的安全产品,但人们仍然越来越感觉不安全。网络的规模、复杂性、日趋增多的应用等,是造成这种状况的主要原因之一。要保证真正的意义安全,必须从管理上着手,加强对网络安全的防范意识、法规制度建设,加强网络技术、市场和人员等管理。
2.2 完善网络管理的法规制度
法规制度建设是管理运行的基本依据和最有效手段。经过长期的努力,我国在信息安全管理取得了一些成就,制定了一系列信息安全的制度法规,建立了专门的加强法制信息安全管理机构,出台了一系列信息安全技术标准。但是,与信息技术发展比较,我们的信息安全管理工作相对落后,加之网络发展速度迅速导致了法制的滞后性,使有关部门在打击网络犯罪的过程中面临无法可依的尴尬局面。所以法制建设应该不断健全,做到规范网络运行商、企事业单位和用户的行为,规范网络信息与资源的管理制度,切实做到有法可依、有法必依、违法必究。
2.3 加大舆论宣传
加强思想上网络安全意识建设,文化和法制等部门在社会主要加大基本网络安全知识的普及。同时加强网络用户的安全意识的宣传,要求网络用户在思想上要引起高度重视,既要他们认识到网络犯罪的概念与危害,增强法律意识;也要增进他们的自我安全意识,主动规避风险,最大限度地预防与减少网络犯罪的发生。
2.4 制定切实可行的网络安全管理策略
网络的安全是保证网络使用安全为前提,安全策略的制定应是建立在信息使用足够方便的基础上,寻求最有效的安全措施。第一,明确本网络的开放性要求和安全性要求,寻求二者的均衡点,对两者间有矛盾的根据实际情况决定取舍。第二,对本网络拓扑结构和能够承受的安全风险进行评估,从网络安全技术方面为保证信息基础的安全性提供了一个支撑。第三,要建立全网统一、有效的身份识别系统。遵循最小特权、最小泄露和多级管理的授权原则,未经授权相关信息和资源不允许访问、引用和使用。第四,建立网络信息监控机制。对信息、传输和使用等,需要有较全面的审计、记录的机制,以便于事后的调查和处理。第五,制定各种网络安全事件的应急预案,一旦网络安全事故发生,能在第一时间予以控制,防止事态的扩大,减少损失。
参考文献:
[1] 龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,2006.
1网络信息安全管理中出现的问题
首先是信息访问的控制。进行信息访问控制,主要是来控制网络信息机的服务的,同时,这也是进行信息网络安全管理的重要组成部分。在进行访问控制时,主要是由信息的使用者与相关资源拥有者作为主要的源头,而在实际中也主要牵涉到了把握和控制安全信息。其次是检测信息安全。在网络信息安全管理中,对信息安全加强监测管理,是为了应对存在于日常管理活动之外的管理。在实际中,由于任何事情都不是完善的,本身就有很多不确定的因素,而这些因素之间通常也都是相互交叉甚至是混乱不容易辨别的,所以在实际中,管理信息网络安全时,还要在保证机制正常运行的基础上,面对新问题采取严格的管理机制,科学的应对各种突况。
2建立起网络信息安全管理体系
2.1建立起网络信息安全管理模型在实际中要建立起安全健康的网络信息环境,就需要来制定出全面的计划,并且做出详细的安排,以在实际工作中能够科学准确的实施。因此,在实际中建立起一个高质高效的管理模型,在进行信息的执行与维护方面,就具有重要的作用。根据实践知道,在现代情况下建立起的管理模型,已经得到了政府与专业厂家的认可和肯定,而混合管理模型,其实就是在对大量的相关资料进行查阅和借鉴的基础上,来对信息网络安全控制展开的研究分析,并作出的具体描述。
2.2进行技术控制在计算机网路的安全管理中,技术控制也是其中一个重要的组成部分,而且还是进行网络安全管理的关键技术环节。因此在实际中进行技术控制时,就需要建立健全信息的安全系统,并综合考了次各个方面的因素,在实践中不断地完善信息网络安全系统。而在技术管理人员上,也要加强对相关人员进行专业知识的培训,并根据经济和科技的不断发展,提高人员应对和处理信息网络安全中存在问题的能力。并在工作中落实责任,保证系统运行的和合理性与安全性,建立起系统良性发展的轨道。
2.3加强操作中安全系统防护措施在操作中,为了保证计算机信息管理技术的安全性,还应该定期的加强检查计算机漏洞,并对其中存在的问题及时进行分析、解决,针对故障给出科学的安全运行方案,并且可以根据实际情况来采取相应的补救措施,针对试用者,也要加强对其身份的验证管理,同时,也要不断的完善用户身份验证法规和制度,以保证在网络中上网口令能够正常的运行,并避免黑客或病毒侵入到系统中造成信息安全危害。
2.4加强安全防范管理在对计算机网络信息安全管理中,加强对信息网络技术的管理是在当前环境下需要重点做好的工作,因此在实际中就要重视加强网络安全管理。而对网络信息安全加强管理,其实就是把对网络安全的管理进行扩大,并延伸到相应的安全防范体系和机制上。而计算机系统是一个现代化系统,在实际中也包含着众多的因素,面临的环节也不同,在实际中计算机软件和硬件之间的衔接有着广泛的应用。因此,在网络信息安全中就需要把握好计算机信息安全技术,尤其是要做好对其的安全防范管理。
3总结
综上所述,随着经济和科技的不断发展,计算机网络技术也有了很大的发展,而在现代情况下,人们对信息安全管理也有了更高的要求,同时,随着网络在人们生活中的深入发展,网络信息安全甚至还直接与人们的财产权与生命权,而在人们日常生活中的各个方面,网络信息也无处不在。这就要求在实际中要加强对网络信息安全的管理,并针对其中存在的问题进行认真的分析,加强信息的安全管理意识,为经济的良好发展做出保障。
作者:肖沣 单位:核工业二0三研究所
关键词:政府;门户网站信息;安全对策
一、政府门户网站信息安全现状分析
(一)网站信息安全管理体制有待理顺
政府门户网站管理需要建立起完善的领导体制、研究机构和相应政策措施,近年来政府门户网站受到攻击的事件时有发生,受此影响,政府门户网站信息安全管理工作越来越受到政府部门的广泛关注,但一些地方对于政府门户网站安全管理的职责划分不清,出现多层管理的情况,进而直接影响到门户网站信息安全政策措施的有效落实。具体而言,一些从事门户网站运营管理的工作人员对门户网站安全管理工作的认识和重视程度不够,他们的安全意识和保密意识相对不高,甚至在网站安全管理方面的责任心不强,直接影响到门户网站信息安全系数降低。[1]从这一层面来分析,政府门户网站信息安全管理不善是发生网站信息泄露和网页被更改等事件的重要原因,需要进一步完善政府门户网站信息管理体制。
(二)网站信息安全运行机制有待健全
当前政府门户网站信息安全保障运行机制还需要进一步健全,一方面电子政务信息安全管理的实际与其重要性不相称,政府部门对电子政务信息安全的重视程度远远比不上对经济、社会、文化等其他工作的重视,并且对于门户网站信息安全管理的资金、人力投入也没有得到有效的保障。对于门户网站的信息安全方面的政策法规、技术标准制定也不能满足信息化发展的实际需要。另外,政府部门对网站信息安全运行管理方面缺乏必要的问责制度,一旦出现突发事件,政府部门之间就会相互推脱责任,难以确保政府门户网站的信息安全,由于门户网站安全保障管理制度不够健全,政府门户网站信息系统建设、维护过程中缺乏制度化管理措施,没有可以遵循的管理制度可以参照。
(三)网站信息安全技术不能满足实际需求
在当前网站信息安全管理过程中,信息技术是保障网站信息安全的重要影响因素,但是由于信息技术本身的局限性,以及在政府部门中的推广应用程度不高,网络信息安全技术与实际安全需求之间存在一定的差距,政府部门当前所使用的一些信息技术在一定程度上不能有效保证信息效安全,这也是我国目前电子政务安全保障技术的主要问题,当前影响政府门户网站信息安全保障工作的一个重要原因就是政府门户网站信息安全管理水平不高。[2]为了适应信息技术发展的形势需要,政府门户网站主要进行政务信息等工作,在促进政府部门工作便利的同时,受到计算机信息技术本身局限性的要求,网络信息安全技术存在一些漏洞和缺陷,容易受到不法分子的攻击,加之我国网络信息安全管理技术水平不足,缺乏必要自主技术支撑,对于政府门户网站信息安全会形成一定的威胁。
二、加强政府门户网站信息安全的措施建议
(一)加强政府门户网站信息安全管理体制建设
加强对政府门户网站信息安全管理体制建设,对于网站建设方面的相关政策,从法律的角度予以确认和强化,积极制定相应的法规,为电子政务网络与系统的建设、运行、维护和管理提供必要的法律保障和支持。进一步加强网络信息安全管理等方面的制度建设,不断完善网络信息安全管理的手段和技术,从整体管理的角度来加强网络信息安全化管理,从机关内部采取有效措施提高内部信息安全防护能力,才能更好加强对政府门户网站信息安全保障体制建设力度,[3]同时要进一步完善政府门户网站信息安全标准建设,严格对计算机进行安全保密管理,定期更换计算机开机密码,对网络访问权限形成制度化管理机制,要对网络信息机房进行严格有效的管理,进一步完善网络机房管理制度,对于各类设备的更换、更新等工作要及时进行登记,并定期对网络论坛、留言板上的内容进行巡视检查,建立起垃圾邮件信息自动清理功能。
(二)健全政府门户网站信息安全运行机制
进一步明确网站信息安全技术管理运行机制,一方面要在门户网站设计方面上加强安全服务功能和采取有效而系统的安全保密措施,健全规范网络安全管理机构,明确相关使用人员的职责,并建立起应急响应机制,定期开展对网站的信息安全检查工作,确保信息安全保障工作落到实处,才能更好保障政府门户网站的正常安全运行。另一方面要加强对网络传输的安全管理,非和计算机不能混用,要严格按照安全等级、安全域划分进行计算机的使用和管理,并结合自身实际制定相应的安全保密制度,积极做好政府门户网站的信息安全培训工作,促进网站管理维护人员具备较高的政治素质和职业道德品质,进而确保政府门户网站的安全正常运行。
(三)提高政府门户网站信息安全技术支持
提高政府门户网站信息安全技术支持需要切实加强电子政务网络总体规划和统一建设,以此来保证网络的整体性,在统一信息安全技术标准与规范的基础上,加强对信息资源的安全等级规划和建设,加强技术支持力度采取防火墙、入侵检测、防病毒等技术加强网络被动防御和网络主动防御力度,[4]同时要加强对政府门户网站信息安全保障措施,从硬件和软件两个方面,构建起完善的互联网病毒防御体系,在关键部位安装防病毒软件,以便自动对病毒库进行更新、升级和维护,切实抵御互联网上所出现的恶意攻击。加强对网络设备的更新力度,及时对落后硬件设备进行更换,对政府部门所使用的路由器进行安全保障处理,对政府门户网站信息安全保障技术进行升级,才能有效防范黑客的外部攻击,提高对外部网络攻击的防范能力。
三、结束语
总而言之,政府门户网站信息安全是确保电子政务发展的一项重要内容,加强对政府门户网站的信息安全分析,需要结合具体现状,从信息安全体制、安全管理运用机制和技术保障等方面来采取措施,构建起完善的政府门户网站信息安全保障体系,才能确保政府门户网站的信息安全。
参考文献
[1]王晓梅.政府门户网站信息安全保障体系研究――基于湖南省政府门户网站的实证分析公共管理[D].湘潭大学,2008.
[2]孟晓民.浅谈政府门户网站安全保障体系建设[J].中国科技信息,2007(11).
关键字:信息时代;电子信息
安全管理这是一个信息大爆炸的时代,其主要特点是计算机和网络的应用越来越广,甚至成了人们日常生活中必不可少的一个组成部分,其影响也越来越大。另外,随着互联网的普及,互联网在给人们的工作生活带来便利的同时,也使得人们的一些隐私和个人信息很容易被泄露,进而导致经济财产受到损失。因而,该如何加强电子信息的安全管理工作,就成为一个迫在眉睫的问题。
1加强电子信息安全管理是非常重要的
随着互联网和电脑的普遍应用,人与人之间的距离瞬间被缩短,沟通和交流也变得越来越便利,可能前一分钟发生的事,后一分钟你的朋友就知道了。同时,人们对世界的了解和认识也是分分钟的事,一台电脑加一根网线,就可随时了解天下大事,关注与自己息息相关的政策,了解一整天的天气变化,甚至何时出现流星雨之类的问题,都可在网络上得到答案。然而,与人们关系如此密切的互联网一旦出现问题,给人们带来的损失和伤害也是巨大的,因此,加强对电子信息的安全管理就是一件极其重要的事情。可有效维持网络秩序的稳定性和安全性,随着信息技术的普及,人们对电脑和互联网的应用越来越广,很多人也愿意将一些信息放到网上,或者使用网络进行即时沟通,这就使得个人信息被放置到网络上的几率越来越大,电子信息的使用日益普遍。然而问题随之而来,网络毕竟是脆弱的,网络安全做得再好也是通过人脑来写的程序,其中必然存在一些漏洞,因此病毒、黑客事件频频发生,严重威胁着电子信息的安全管理。因而,加强对电子信息的安全管理,可有效维护网络秩序的安全性,使电子信息能更好地为人们的生产和生活服务,充分发挥其便利性和快捷性。可使人们充分认识电子信息安全管理的重要性,网络信息的主要服务对象是大众,因而,推进电子信息安全管理工作,可提高大众对信息安全的了解和认识,使其在日常使用电脑时注意查杀病毒,做到有病毒早发现早解决,以及时排除电子信息的安全隐患问题。另外,对于一些不良网站和信息,人们最好不要因为好奇心的促使点开进入,以保障电脑里储存的信息的安全,从而做好电子信息的安全管理工作。可维护社会稳定,保持经济正常发展秩序,电子信息的安全管理,可保障企业和个人所获得的信息是安全的,并能根据该信息作出相应的决策,从而走上良性发展轨道。企业和个人作为社会的基本组成单位,其稳定持续发展必将带来国民经济的发展和社会的稳定。电子信息安全一旦出现问题,势必产生一些对维持社会稳定不利的因素。
2电子信息安全管理现状
如今的社会是信息的天下,其最大特点就是信息流动性极强,当然其便利性也早已使越来越多的人依赖性变强,节约了人们的时间成本。例如,电商的普及,使人们坐在屋里动动手指,即可买到需要的东西。而卖东西的人,不但省去了租店面的费用,并且货物中间环节的缩短,也使他们能收获更大的利润。有些企业甚至使用视频开会,或者举行电话会议,这都是电子信息所带来的便捷。在北京、上海等大型城市,电子信息的应用更加广泛,比如网上挂号或者电话挂号,中学生就学的电脑派位等,这都是电子信息所给人们带来的方便和快捷。然而,电子信息的安全一旦出现问题,其影响和危害也是非常大的,比如网络诈骗,现在所发生的事件已经数不胜数,很多人被骗,损失了大量钱财,甚至身体受到伤害。此类由于电子信息泄露而出现的安全问题,防不胜防,已经对人们的正常生产生活产生了极大影响。
3威胁电子信息安全的因素
病毒会导致个人信息泄露。这里所说的病毒是一种电子程序,是被人为植入一些网站或者下载链接中,而普通电脑用户一旦打开该网站或者点击该链接,则病毒即被植入电脑,使电脑无法正常使用,甚至会被远程操控,导致个人信息泄露,轻者电脑无法使用,严重者会导致财产受损。系统如果出现漏洞,也可威胁电子信息安全。科技的快速发展,使得电脑系统升级换代的频率非常快,而有些人由于对电脑的认识不足,认为电脑一旦装好,就不用管了,一直使用就行了,这是一种非常错误的观念。电脑系统开发公司每隔一段时间都会漏洞修补方案,用户只有定期进行修补,才能保证电脑系统没有漏洞,减少信息泄露的威胁,保证电子信息安全。非法入侵私人电脑的黑客危害极大。黑客能通过自行编写程序入侵私人电脑,从而获取电子信息,甚至是商业秘密,从而谋取不正当利益,给社会稳定带来不稳定因素。
4加强电子信息安全管理的措施
普及电子信息安全管理知识。电子信息的安全,不仅仅关系着普通大众的财产安全,还关系着社会稳定和经济长期持续发展,因而,必须采取有效措施普及电子信息安全管理知识。电视、电台可定期播放有关防范措施,报纸可开辟专栏普及相关知识,还可定期举办讲座,以使人们对其有更深刻的认识。加强对网络系统的监管。网络系统也需要警察来维持秩序,一旦发现病毒或者危险分子,可及时将其抓捕归案,将损失防范于未然。国家需完善相应的法律法规。我国作为一个法治国家,法律是先锋,完善的电子信息安全的法律法规,必然像一把利剑一般,使坏人有所畏惧,不敢做危害人们的事。综上所述,互联网时代的电子信息安全问题,已经是关系着千千万万大众的重要问题。互联网给人们的生活带来便利,但其中存在的问题也会产生不良影响,甚至造成财产损失。针对这个问题,我们应采取有效措施加强电子信息安全管理,将问题消灭于萌芽,从而使互联网更好地为人们服务。
参考文献
[1]曲照言.浅谈信息时代背景下的电子信息安全管理[J],消费电子,2014
[2]丁丽.电子政务信息安全保密管理研究[D].山东师范大学,2014
[3]任成伟.浅谈信息时代背景下的电子信息安全管理[J].电子制作,2015
[4]陈越我.信息时代背景下的电子信息安全管理探讨[J].通讯世界,2015
关键词:信息安全;管理;电子信息
引言
在计算机技术更新、发展迅速的今天,总有一些不法分子通过各种手段窃取企业信息,严重威胁企业财产、业务安全,甚至损坏企业形象与品牌。在传统的信息安全管理中,往往忽略了人在信息安全方面的重要作用,而仅仅依赖于技术管理。虽然技术对信息安全管理有重要作用,但如果只依赖于技术管理,将不能起到良好的防范效果。因为据权威机构的数据显示,在所有信息安全事故中,70%-80%是因为内部员工的疏忽或泄密引起的。因此,为了提高电子信息的安全管理,必须加强企业对网络的防范意识,建立电子商务安全管理体系和信息安全管理制度等。
一、加强电子信息网络安全防范意识
据调查,网站安全的隐患,在我国的许多企业都有存在,它的原因主要是企业管理者对网络安全意识缺乏足够的重视,他们大多数对网络安全系统只建立了技术防范机制,用一些先进的技术手段阻隔窃取者的入侵,保证电子信息的安全,但是却未形成互联网易受攻击的意识。这就为黑客等窃取者有机可乘。尤其在一些中小企业,认为自己公司的规模小,不会招致侵犯,如此态度,网络安全就更难以得到保护。因此,要使电子商务信息安全得到保护,必须加强企业管理者与工作人员的安全防范意识,只有如此才能维护电子商务信息安全。
二、建立健全电子安全管理组织体系
加强对电子信息安全的保护,必须在坚持企业目标与安全方针的前提下,在企业内部建立电子商务安全管理组织体系,就是建立信息安全指导委员会,对组织内的信息安全问题定期进行讨论与解决。他们主要负责审批信息安全方针、政策;分配信息安全管理职责;并对风险评估加以确认,对信息安全预算计划及设施购置的审查与批复;此外,还有负责实施与评审信息安全的措施与监测和对安全事故的处理;以及协调与信息安全管理有关的重大更改事项的决策,对信息安全管理队伍与各部门之间的关系的等职能。
三、建立电子信息安全管理制度
电子商务信息安全管理制度主要有人员管理制度、保密制度、系统维护制度、病毒防范制度等。制定科学合理的电子信息安全管理制度,对企业的信息安全管理有着积极的促进作用。企业要根据自身的特点,在制度制定时对网络信息的安全等级进行有序的划分,以此使具体的安全目标加以确立。
1.人员管理制度
人员管理制度包括人事选拔制度、人员管理原则、网络管理人员的基本要求等内容。其中,良好的人事选拔制度是维护电子信息安全之本。人员管理的基本原则包括多人负责原则和轮岗原则、有限权力原则、离职控制原则。而网络管理人员的基本要求包括以下几个方面:
(1)不得随便放置账号和密码;(2)在废纸堆中不得放置敏感数据;(3)不得使陌生人进入要害部门;(4)要将防火墙等安全产品谨慎配置;(5)不得使用人人皆知的密码和空密码;(6)加强层层设防重要系统;(7)查阅安全日志需配备专人;(8)对员工的安全防范意识加以培训。
2.保密制度
企业的市场、生产、财务、供应等多方面的机密,电子信息运营都有所涉及,因此制定和实行严格的保密制度是完全有必要的事情。我们依靠信息的性质和重要程度,将保密信息划分为三级。分别是必须实行强制安全保护的A级机密信息,必须实行自主安全保护的B级内部信息与必须实行一般安全保护级的C级公共信息。
3.网络系统的日常维护制度
网络系统的日常维护制度是用于记录系统运行的全过程。这就要求企业在网络系统中建立网络交易系统日志机制,并自动生成日志文件。日志文件主要内容有:操作的日期、操作的方式、登录的次数、运行的时间、交易的内容等。它对监督系统的运行、分析维护、恢复故障、防止盗密案件的发生等起着非常重要的作用。此外,它还有检查系统日志、审核、对系统故意入侵行为及时发现的记录和对系统安全功能违反的记录、监控和捕捉各种安全事件、保存、维护和管理系统日志等的审计作用。
4.防止病毒入侵制度
作为防止病毒袭击,保证网上交易的一个重要方面,防病毒入侵制度对网上交易的顺利开展,有着积极的防范作用。因此必须及时建立病毒防范措施,实行病毒定期清理制度,将处于潜伏期的病毒清除干净,预防与阻止病毒的突然爆发,保持计算机的工作状态始终处于良好的环境中,从而为网上交易的正常进行提供有力的保证。
四、结束语
企业电子信息的安全管理依赖于一个完整而有力的管理体系,来保证信息安全管理的规范与长效。而建立完善的管理体系需要注重人为方面的因素,将人为因素与科技因素结合起来,这样才能达到企业安全管理的安全、可靠与稳定。
参考文献:
[1]赵刚;王兴芬.电子信息安全管理体系架构优先出版[J].北京信息科技大学学报(自然科学版,2010(14).
一、当前构建县供电企业信息安全新体系存在的风险
1.信息安全策略风险
信息安全策略体系是当前县供电企业信息安全新体系中的重要组成部分,但目前多数供电企业在信息安全策略上还存在一定的风险。主要体现在:缺乏统一的安全运行体系;未实现对信息安全策略的修订和评审,因缺乏规范的机制;信息安全策略在企业缺乏一定的执行保障,因信息安全策略未被审批和,缺乏行政保障。
2.信息安全技术风险
主要表现在以下几个方面:缺乏有效的信息系统审计手段和安全监控,未清晰划分网络安全区域,网络应用系统的安全功能和强度严重不足,使用的网络安全技术不够统一,用户的认证度不大,安全系统配置还不够安全。
3.信息安全组织风险
当前县供电企业还缺乏有效、完整、专业的信息安全组织,在实际运行中存在一定的风险。首先是对职工的信息安全教育不够,宣传力度不大,使得职工的信息安全意识薄落,桌面系统用户的安全意识不够[1]。其次,企业组织人员对技术人员的专业安全知识和技能的培训不够,使得企业内部缺少专业的信息安全技术人员。最后,开展的信息安全工作未形成专业的责任制度,职权不明,给企业的工作带来一定的困难。
二、构建县供电企业信息安全新体系的具体举措
1.建立科学的信息安全策略体系
建立科学的信息安全策略体系,是构建县供电企业信息安全新体系的重要举措之一。建立科学的信息安全策略体系应该覆盖物理层、网络层、系统层以及应用层四个方面,包括信息管理和技术两个要素[2]。主要可以从三个方面入手:信息安全策略、信息安全标准规范、信息安全操作流程细则(见图1)。
2.建立先进的信息安全技术体系
先进的信息安全技术体系包括了防火墙技术、信息确认和网络控制技术、防病毒技术、防攻击技术、信息加密技术、数据备份和恢复技术以及统一威胁管理技术。(1)防火墙技术。防火墙技术是指在企业的内部网络与外部网络之间设置安全屏障,防止内部对外部不安全信息的访问,组织外部不安全信息侵入到内部系统的一种技术。该技术是目前国内应用最为广泛的信息安全保障技术,能有效的防止电脑黑客对内部网络系统的攻击,实现对数据的过滤、监控、记录。主要包括了过滤技术、服务技术以及应用网管技术。(2)信息确认和网络控制技术。该技术的使用是围绕计算机网络开展的,有关业务信息安全的技术必须根据各单位的具体业务、性质、任务等制定相应的策略。目前国内的主要信息确认和网络控制技术有:身份认证、数据完整性、防止否认以及存取控制等[3]。(3)防病毒技术。计算机病毒是网络信息最常见的网络安全隐患,已经呈多态化、灾难化形态发展。对此,使用防病毒技术必须建立相应的防病毒网络中心,实行网络化管理。(4)防攻击技术。防攻击技术主要是针对电脑“黑客”设定的,电脑黑客经常会对电脑主机和网络信息系统的一些漏洞进行攻击。防攻击技术的使用能跟根据黑客攻击的程度检测系统的安全漏洞,并提出相应的解决措施,一般而言,对一些重要的系统可采用物理隔离的措施。(5)信息加密技术。信息加密技术是县供电企业信息安全体系中的一种重要且实用的技术,主要包括对称密码技术如DES算法,非对称密钥技术如RAS算法。(6)数据备份和恢复技术。采用数据备份技术可以根据数据的重要程度按等级进行备份,建立省市级与县级数据备份中心,为了保障信息安全系统的安全性和可靠性,应该采用数据恢复技术。(7)统一威胁管理技术。统一威胁管理系统是为了解决因安全产品过度导致网络管理难和网络效率出现瓶颈的问题而产生的,主要功能有防火墙、病毒过滤、流量管理、VPN、上网行为审计以及入侵防御等[4]。目前,该技术已经在很多领域得到应用。县级供电企业与省市供电企业相比,规模较小、资金短缺,在建立先进的技术安全体系时,要结合自身发展规划,不断学习新技术,利用自己的智能开发有潜力的产品。如在数据采集上,可以利用GPRS技术进行远程抄表,且将重点放在路由设备上;调度数据网的数据时可以利用安全物理隔离网闸,移动办公时可以使用VPN技术。
3.建立完善的信息安全管理体系
信息安全管理体系是县供电企业信息安全新体系的核心组成部分,良好的信息安全体系必须要有合理、科学的管理,这是保障供电企业正常运转的重要途径。完善的信息安全管理体系包括了人员管理、技术管理、密码管理、数据管理以及安全管理等。人员管理上,县供电企业要强化网络管理者的信息安全意识,加强信息安全教育,尤其是对网络机密的教育。技术管理上,确保网络的各种设备如路由器、防火墙、交换机、VPN、QOS、IPS、防毒墙的安全。密码管理上,更新重要密码,对各类密码实施分级管理,以免出现出产密码、默认密码等简易密码被破解的现象。数据管理上,做好数据备份工作,数据备份的策略要及时合理,保管好备份数据介质。安全管理上,建立相关的县供电企业信息安全管理浅析如何构建县供电企业信息安全新体系刘志杰(国网冀北电力有限公司隆化县供电分公司,河北隆化067000)的规章制度,在操作系统、操作手段、机房及其设施等方面进行安全管理。
4.建立有效的信息安全组织体系
目前,国内县供电企业要建立信息安全组织体系主要包括了决策、管理、执行、监管四个方面。只有处理好这四个层面的关系,才能建立一个完整、责权统一、有效的信息安全组织体系。同时,建立信息安全组织和定义安全职责是相互影响的两项工作,信息安全组织的角色与职责要有清晰的电柜,管理层要对下属职责进行明确的规范和划分,才能有效的确保信息安全体系的建立,保障企业信息安全工作的有效开展,尤其是信息安全教育与培训的工作。要做好信息安全教育与培训的工作,必须涉及到每个职工,在信息安全教育与培训方面制定严格的制度机制,才能提升整个企业职工的信息安全水平。
三、案例分析
某供电企业信息安全新体系结构示意图从图2中可以看出,组织体系、策略体系、技术和管理体系是该供电所信息安全体系的灵魂,为了建立完整的信息安全体系,保护好供电企业内部网络系统的安全,信息安全新体系设计的具体防护措施如下:
1.物理安全
物理安全主要针对的是地震、水灾等自然因素以及人为操作失误而导致的计算机网络系统和设备损坏采取的一项措施。采取物理安全措施要防止系统信息在空间的扩散,物理安全的实施主要体现在机房上,具体措施包括了防火、防水、防雷、防盗、防静电等。
2.物理和逻辑隔离
物理隔离和逻辑隔离是两种不同的策略,物理隔离是指只要没有网络连接就是安全的,而逻辑隔离是要在网络正常运行的基础上,确保网络信息的安全。对当前的电力企业而言,使用物理隔离是无法保障电力信息安全的,因此,逻辑隔离是最好的举措。逻辑隔离是指网络正常连接情况下,使用技术进行逻辑上的隔离。逻辑隔离可以通过设置VLAN和防火墙来实现,包括企业内部局域网与外界的隔离,不同区域供电企业之间的隔离以及各种专业VLAN之间的隔离等。
3.强化计算机管理策略
加强计算机管理策略体现在设施管理、访问管理以及加密管理三方面。设施管理包括建立安全管理制度,对计算机系统、打印机等设备进行检修、创设良好的电磁兼容环境;访问控制管理是网络安全保护的主要措施,主要通过设置访问账户、访问时间、访问方式等市县。加密管理包括了加密与保密、公共密钥加密、数字签名的鉴定以及包过滤等方面。
4.入侵检测
虽然目前国内很多供电企业都布置了防火墙技术,但是传统的防火墙技术还存在一定的缺点,实施入侵检测能很好的弥补防火墙的缺陷。入侵检测的使用能够有效发挥IPS的优势,协调IPS和防火墙的优势互补,提升对信息安全保护的效果。该供电所的入侵检测主要应用在网络边界上的保护,如内网与电力网的边界、互联网与公司外网的边界、内网与服务器区域的边界。
5.漏洞扫描和弥补
系统缺陷漏洞扫描能帮助工作人员及时发现计算机系统的安全漏洞,更新系统补丁,并进行修补,能有效降低网络系统的安全风险。具体操作以该供电企业使用的漏洞扫描软件X-scan为例进行说明。X-scan漏洞扫描软件采用的是多线程方式对单机进行安全漏洞的扫描,包括命令行和图形界面两种操作方式,扫描的内容有远程操作系统类型及版本、端口BANNER信息、IIS漏洞、CGI漏洞、RPC漏洞,NT服务器NETBIOS信息等。扫描的结果一般保存在/log/目录中,扫描结果索引文件是index_*.htm。具体操作步骤是:第一步,准备扫描文件,如X-Scan图形界面的主程序xscan_gui.exe,插件调度的主程序checkhost.dat等;第二步,准备工作,即安装扫描软件并注册;第三步,图形界面设置项说明,包括了检测范围模块、全局设置模块、插件设置模块等。第四步,运行参数说明,主要的命令格式是:xscan-host<起始IP>[-<终止IP>]<检测项目>[其他选项];xscan-file<主机列表文件名><检测项目>[其他选项]。
6.安全管理
一、引言
时代的发展和科技的进步,使得互联网信息技术被迅速普及,作为需要保持与时俱进思想的公司管理阶层,毫无疑问地将网络技术的高效和便利进行了充分利用,许多公司的业务发展也交由网络全权处理。这无疑是公司运营的一项革新,为公司带来了极大的便利,既然网络应用受到如此器重,更是提醒了我们要对公司的信息安全做到万全的保障。
信息网络存在有终端分布不均、开放程度较大、相互链接用户多一级连接形式多元化等特性,并且在面对日趋增长的网络攻击和数据入侵现象时,公司的网络安全保障显得分外重要。对此,我们应该加强相关的管理力度,除了更好的预防经济损失以外,也使得人力物力资源方面得以节省。下面,笔者就公司网络运营的风险分析和如何提高公司网络系统的安全性,建立相应的安全保障体系做详细的介绍。
二、当下公司信息安全体系中较为常见的管理问题
作为一个新生名词,公司信息安全体系的定义还不被大众所知。所谓公司信息安全体系,其所包括的内容有:信息安全组织、信息安全策略、信息技术安全以及相关安全管理的构建及管理。它是公司内部信息不被人侵盗取或恶意泄露的基本安全保障措施,上述四项内容是公司安全体系的重要组成部分,它们既是彼此关联的也是彼此支撑的。据笔者对当下公司信息安全体系建立情况的了解,普遍存在有以下问题。
2.1 信息安全网络建设规划不够全面
信息安全网络的建设存在一定的缺陷,其中,当下的公司信息的安全网络中,既没有较为完善的管理制度,相关部门也没有岗位职责的明确划分,从而使得相关信息安全工作的开展和施行难以落实到位;同时,公司职员中懂得信息安全管理的人数并不多,甚至是十分匮乏,以至于公司内部没有建立相关的安全管理制度,公司成员也没有信息安全保护的意识。信息安全网络建设的到位是公司信息安全保障的基础,而当下所反映的情况看来,其建设构架还是不够全面。
2.2 信息安全技术不够完善
现阶段的公司信息安全技术没有一个统一的运行标准。而信息网络自其诞生以来,就在安全管理方面存在有许多不足之处,这些不足对于信息数据库系统、操作系统以及应用软件等关键的公司内部资料掌控部分存在着“致命”的潜在威胁。恶意用户可以通过这些系统漏洞进行系统入侵,从而引发公司的信息危机。相对而言,依照当下的信息安全技术,公司信息安全运行体系的构建不全面的情况下,相关的安全保障决策并没有被组织并颁布,从而在贯彻实施方面不够彻底。
2.3 网络安全管理存在有一定的风险
大部分公司的网络用户认证的强度都是比较薄弱的,而公司业务不断拓展的过程中,数据和信息之间的交换是其网络技术所依附的基本形式,为了信息获取与交换之间的便利,公司的网络联接关系变得十分复杂,而当下的网络安全管理中,公司没有意识到网络技术防范措施实行的必要性,这样的思想对公司的信息安全存在一定的威胁。不管是应用系统的安全功能管理还是用户认证的强度,都是现阶段公司网络技术管理需要注意的方面,针对一些必要的信息系统审计和监控,都需要给予高度重视。
2.4 信息安全管理的不足
关于IT项目安全管理体系的建设,现阶段仍是不完善的,由于相关的应用系统进行建设时没有考虑到信息安全的同步要求,所以存在有一定的安全漏洞。而且据笔者了解,公司的信息安全管理并没有成立具体的职责部门,并且对于其安全管理的制度不够完善,导致其贯彻落实的不到位。
三、从管理角度探讨如何构建公司信息安全体系
信息安全的保障不仅仅是依靠于一些基础的信息技术,现阶段所迫切需要的是高效的管理制度。某一体系从构建到运行再到发展性的保持,技术层面所占有的运用比例为百分之三十,发挥其持久性作用的主要支撑力量还是有效的管理。只有进行了恰当的管理措施,才能保障其技术的有效发挥,从而控制住公司信息安全管理的局面。下面,笔者主要就动态闭环管理的过程的建立和信息安全管理的加强来谈谈自己的看法。
3.1 动态闭环管理方式的建立
现阶段的公司信息网络仍然处于一个不稳定的阶段,基本的建设和调整还在进行当中。安全漏洞的出现总是接连不断的,传统的静态管理方式已经不能满足当下的安全管理需求。因此,动态闭环的管理是应该受到大力推广的管理方式。直白的说,采取了这样的管理方式后,以公司的安全决策和控制体系为依据,经过相关的审核评测工具来排除信息网络中存在的安全隐患和问题,并就此结果制定出一系列的建设规划和维护方案,使得信息安全系统处于较为稳定的状态。在这个过程中,还有以下两点需要予以注意:
3.1.1 信息安全评测的施行
信息安全体系的构建和相关安全决策的制定,必须要对公司内部的信息安全情况有较为全面的了解和掌握,即施行信息安全评测。公司信息资产的安全技术和现阶段的管理状况是安全评测的主要内容,这两点是公司所要弄清的潜在安全问题,通过测评使得公司管理层面对其安全隐患有所了解以后,方能制定出适宜公司的安全决策。
3.1.2 适宜的安全决策制定
就公司的信息安全而言,其相关决策的制定是体系构建的关键所在。明确、清晰、高效是公司安全决策制定的标准,公司的安全组织部门能够依据该决策的方向确立规划信息安全规章制度、相关测评标准以及信息安全体系构建方案等,进一步保障了公司内部信息安全规章制度实行落实,就此保护公司不受到由于信息泄露而造成的经济损失。
3.2 安全管理过程的加强
3.2.1 加强安全建设及管理规划
信息安全体系在构建的过程中,公司应该充分考虑到内部信息安全体系构建的要求和标准,规划人力、物力、财力的投入力度,做到有条理、有思路的完成安全体系的构建。不管公司规模的大小,其安全体系的构建都是逐步发展的过程,阶段性目标的实现是达成稳定信息安全体系的基础。
3.2.2 构建阶段的管理
信息安全体系构建的过程中,内部信息的安全要求、需要加强巩固的安全性能以及保护措施的检测试验都是安全管理部门所要考虑全面的安全构建基础。需要给予注意的就是技术开发的内部资料、技术人员的保密管理,同时不能松懈对于技术施行环境、用户认证、内部网络、管理资源以及核心代码的加强管理。
公司的安全体系构建是一个漫长且系统的工作过程,本文结合笔者的实际工作经验,简单的就公司的安全体系构建进行了阐述。总而言之,公司信息安全的管理和加强所依附的安全体系构建,是保障公司信息安全的基础,我们必须对其管理加以重视并付出努力。
1计算机信息安全管理存在的问题
随着网络信息的发展,计算机信息安全管理直接影响用户的切身利益,对计算机网络信息管理而言,面临着巨大的挑战。用户在实际使用过程中也存在很多问题。下面就针对计算机信息安全管理存在的问题展开论述。
1.1不重视计算机信息安全管理
在使用计算机过程中,很多用户为了图省事,不重视信息的管理,受到传统管理理念的影响,认为只要下载安全软件就能保证计算机的安全,并没有对重要的信息数据进行备份。与此同时,随着社会的不断进步发展,网络安全潜在很多的隐患,而计算机信息系统安全性没有得到相应的提升,从而影响了计算机的安全运行。因此,为了提升计算机信息管理,维护用户的根本利益,用户要改变传统思想,加强对计算机信息安全管理。
1.2安全威胁不断增加
当前计算机信息安全威胁主要来自入侵者、病毒以及其他的突发事件。在实际过程中,很多入侵者通过病毒软件,读取用户的特权数据,并对数据库进行恶意的修改和破坏,严重损害了用户的权益,给用户造成极大的损失。突发事件主要是用户出现误操作,这种威胁往往被用户所忽视,存在误删的情况,导致重要的计算机信息被删除,影响到用户的正常使用。
1.3网络信息安全管理缺乏针对性
在使用计算机网络应用过程中,很多用户认识网络信息安全管理的重要性,因此,采取相应的指导措施,加强计算机信息安全管理,对潜在的风险进行评估,分析计算机面临的风险,从而采取针对性的解决措施,但是受到管理方式和管理理念的影响,对计算机安全风险评估效果不理想,甚至有的用户直接套用了其他人的安全管理方式,导致计算机安全信息管理缺乏针对性和有效性,直接影响计算机信息安全管理的效果。
2做好计算机信息安全管理的措施
为了保护用户的信息安全,在实际管理过程中,要采用技术和管理的措施,针对网络技术发展的特点,采取相应的知道措施,提升计算机安全性能,维护用户的根本利益。下面就如何做好计算机信息安全展开论述。
2.1技术层面
2.1.1加强网络访问控制
为了保护计算机信息的安全,就要加强计算机范文控制,主要是如何使用受保护的资源的规则库。在系统运行过程中,会根据访问控制,对用户资源使用行为行为进行合法判定。从根本上讲,网络访问控制就通过控制的策略来限制用户访问,在用户和资源之间建立了一道屏障,可以避免用户对资源无休止的访问,保证资源始终处在监控的范围内。
2.1.2做好数据库信息备份
在用户实际操作过程中,为了避免数据信息出现丢失的情况,做好数据库的备份和恢复,防止发生意外。(1)用户可以选择网络备份,就是用户将大量的数据上传到数据备份的主机上,并采用网络客户端软件进行处理,保证数据被传输到服务器中,通过备份介质对数据进行管理。(2)分级储存管理,随着计算机储存空间不断增加,网络数据也不断增加,为了满足用户更多的数据储存要求,在实际过程中,用户可以把自己认为有价值的数据进行复制,对文档进行备份管理,从而实现数据的长期储存,提升数据信息的安全性。对重要的数据放在一个可以引动的介质中,对普通的的信息数据进行压缩处理。
2.1.3数据加密技术
当前,计算机网络信息技术迅速发展,在数据传输过程中,会面临着安全威胁,可能出现被篡改的情况,不仅破坏了数据的完整性,而且影响了数据的质量,甚至数据丢失,给用户和企业带来巨大的损失。因此,为了保证数据和信息的安全,要进行保密设置,采取加密措施,从而保证数据信息的机密性和完整性,防止被他人窃取和盗用,维护企业的根本利益。在数据传输过程中,如果有的数据被篡改后,还可以采用校验技术,恢复已经被篡改的内容,从而保证数据的完整性,避免用户和企业出现损失。
2.1.4入侵检测技术
随着计算机的普及,计算机用户成倍增加,相应的也大大增加了计算机安全风险,影响了计算机的正常运行,为了提升计算机安全性能,用户可以结合自身的实际情况,针对性的采用入侵检测技术,对自己的计算机进行动态的监测和管理,及时有效的发现网络攻击行为,有效避免病毒进入,保证计算机信息基础结构的完整性和安全性。在计算机安装入侵检测系统以后,这个系统会自动对用户的网络进行动态的监测,对网络的通信情况进行检查,维护用户网络信息安全。
2.2管理层面
为了从根本上提升计算机网络安全,在实际管理过程中,不仅要采取先进的安全管理技术,还要完善相应的法律法规,实现二者的结合,为广大用户建立安全稳定的网络环境。(1)就要加强计算机用户的安全教育,建立完善的安全管理机制,明确计算机安全管理的功能,完善计算机网络安全立法,提升用户安全管理法律意识,有效防止计算机犯罪和干扰,提升抵御黑客攻击的能力;(2)在进行计算机网络安全法律教育过程中,要加强计算机犯罪法、保密法等宣传,明确计算机不同使用人员的权利和义务,建立合法信息系统的原则,抵制各种违法行为,从而维护用户的网络信息安全。(3)要建立完善的安全维护管理制度,做好人员、计算机处理、资料管理等制度,从而规范网络安全管理行为,提升网路信息安全管理的针对性和有效性。(4)为了建立安全稳定的网络信息环境,就要建立相应的法律法规,保证网络秩序的规范化,要求用户安全文明上网,严格遵守相关的法律法规,建立承担法律和道德责任的准则,根据法律法规要求有效打击各种网络犯罪。为了维护计算机信息的安全,在实际过程中,就要提升系统管理人员的职业素质和道德修养,不断规范网络环境。就目前而言,计算机网络信息安全也面临着很多安全问题,不法分子利用网络平台入侵用户系统,导致信息泄露和破坏,影响了用户的正常施工。因此,为了维护计算机信息安全,就要重视网络信息管理,从技术和管理两个方面,保证网络环境安全。
作者:段宇翔 单位:河北省石家庄市二中
参考文献:
[1]马小娟.浅谈计算机信息管理技术在网络安全中的应用[J].数字技术与应用,2013(03):211.
[2]刘力源.浅谈计算机信息安全管理措施[J].计算机光盘软件与应用,2013(05):224-225.
[3]何晓冬.浅谈计算机信息管理技术在网络安全中的应用[J].长春教育学院学报,2015(11):61-62.
关键词:电力系统;计算机网络;安全;信息;防范
随着计算机技术、信息技术的发展,计算机信息网络已渗透到我们日常生活的各个角落,电力企业也实现了网络资源、信息资源的共享和应用。然而,由于网络的多元化特性以及网络终端的技术问题,计算机信息网络会受到网络黑客和不法分子的利用进行恶意破坏。电力系统的信息安全和保密关系到国家的安全、社会的安全,决不能掉以轻心,必须制定出周密的安全防护方案,确定相应的信息防侵犯措施和恢复办法,准备必要的安全应急预案,有效地保证电力系统的网络信息安全。本文探究了电力系统的网络安全问题,并就加强技术防范,提高安全管理阐明了相应的措施和意见。
一、电力系统网络信息安全问题
当前,国家电网电力信息系统已建立了一套较为完备的安全管理体系,实现了信息网络与电力运行的隔离控制,通过先进科学的网络防火墙、防病毒软件进行有效防护,并做好了数据资料的备份工作。可是部分基层电力部门对网络信息的安全性重视不够、关注不够,并没有采取必要措施防护网络信息的安全,也没有长远的实施规划,存在着很多安全风险,具体表现如下:
①安全管理意识亟待提高。随着计算机信息管理技术的不断提高,其安全防护管理也必须随之增强,电力系统的计算机安全管理与实际需求仍有一定的差距,如果缺乏一定的认识就会对安全防护管理带来疏漏,引起不必要的安全隐患,因此,必须从思想上高度重视。②缺乏网络信息安全管理规范。完善的行之有效的安全管理规范是一切行动的指南,也是各项工作顺利进行的保证,必须制定出符合电力行业特点的、与先进管理技术同步的安全管理规范,协调电力系统的网络信息管理。③缺乏对安全管理体系建设的投入。电力系统在生产经营和日常管理上的投入比较多,对计算机网络安全管理的技术、策略、措施和建设上投入相对较少,需要引起足够重视。④网络管理区域局限。电力系统中实际应用中通常是采用内部管理的局域网,没有同外界相连,网络信息管理人员的主要管理职责是防止局域网的意外破坏,并确保内部使用人员的安全管理,因此,在连接了外部的因特网后,如何面对外部网络的各种安全攻击、防止网络病毒和黑客袭击等,没有有效的决策。⑤用户认证程序的单薄。电力企业的网络应用系统都是基于商用软件的开发设计,在用户身份认证上采用常见的口令和密码的进入格式,没有较高的技术突破,极易被不法分子攻破。个别情况下,一些用户名、口令、安全控制信息等还以明文形式被记录下来,保存在数据库和文件格式中,都增加了系统的安全隐患。⑥缺乏对管理数据的有效备份。许多电力企业没有制定对系统数据的备份管理制度和相应的管理策略,缺乏进行数据备份的完善设备和管理介质,具有重大的安全隐患。
二、电力系统网络信息安全管理的防护措施
1.建立电力信息网络安全管理防护体系
电力部门应根据行业特点和计算机网络信息安全管理技术的应用,建立起电力企业的网络信息安全管理防护体系。实行有效的分层、分区管理。首先,应将电力系统的信息管理分为三个层次,分别是:自动化管理层、生产管理层和信息管理层三部分。根据电气企业信息业务的各项功能实行分层次的保护框架,各层次间应用隔离管理设施进行网络间的信息隔离。其次,采用分区管理。分区管理可根据电力系统的信息管理结构,将信息业务分为实时控制区、生产管理区、管理信息区和非控制生产区四部分,区域之间通过网络的物理隔离设备进行隔离。各安全区域内不同的业务系统需要采用不同强度等级的安全隔离手段,针对实时控制区域的关键业务则必须采取重点防护措施。
2.多种技术手段,加强安全防护
采用多种技术手段可以防止疏漏和破译,有效地提高综合管理指数。①信息加密技术。密码管理技术是信息安全领域内非常重要且非常实用的技术,分为对称密码技术和非对称密码技术。对称密码技术包括DES算法,非对称密码技术也叫公开秘钥技术,如RAS算法,都是当前应用较多的管理技术。②信息确认和网络控制管理。这项技术都是基于网络状态下开展的,包括身份认证、数据存取、数据完整、防火墙、防止否认等,实际工作中应依据电力企业的信息管理业务性质,制定出相应的优势控制措施,合理选择科学的信息网络管理技术。③网络防病毒管理技术。电力企业应在省级区域电网建立起计算机防病毒网络管理中心,与其他部门加强联系,共同做好网络病毒管理控制,抵制计算机病毒侵袭,防止网络病毒的灾难化、多态化发展。④采取反黑客措施。网络黑客经常会对信息系统的主站和网络中枢进行攻击,针对存在漏洞突破,因此,反击措施也应有针对地进行,可以根据工作业务的重要性制定相应的“防攻击”措施,监测出系统中的安全漏洞,及时消除隐患,对于特别重要的管理系统,如电力实时运行控制系统,要采取必要的物理隔离措施,严防出现破坏。⑤数据备份和灾难恢复技术。电力系统应根据工作需要采取多项措施进行数据备份,根据不同的信息质量和重要性确定备份的等级,执行相应的管理措施。同时应做好数据资料的区域和省级备份,使数据资料实现多地存储备份。同时,应采用高科技的灾难恢复技术,进一步保证信息系统主要数据的可靠性和完备性。
3.加强日常工作中的安全管理
电力企业应高度重视计算机网络信息的安全管理工作,在日常工作中做好相应的管理要求,全面地提高安全管理质量和水平。首先,应加强人员管理。电力企业应做好对网络信息管理人员的安全教育,防止网络信息机密的泄露,为防范工作人员调离时泄露网络信息机密,应努力保持计算机网络信息管理人员和安全管理人员的相对稳定,在使用网络设备、服务器、存储设备时应履行签字认可制度,并执行严格的操作监督管理,杜绝任何非法修改操作行为。其次,电力企业应加强密码管理,针对各类密码实施分项管理,严格控制默认密码、出厂密码、无密码的现象。当出现人员调离时立即更新密码,经常改换密码,不要使用容易破解的密码。其二,做好技术管理。电力企业应针对各种网络设备、安全设备加强技术应用管理,做好防火墙、物理隔离设备、入侵检测设备的安全技术管理,采取必要的合理的安全技术措施。其三,做好数据备份管理,选择安全优质是备份介质,并实行异地保存。其四,安全制度管理。通过合理有效的电力系统信息安全管理标准、规范和制度,对管理组织、运行操作、场地设备、操作系统及数据库等实施安全管理。最后,制订应急管理措施。电力系统必须制定必要的安全应急预案,部署各级应对措施,奠定紧急情况下的控制基础。可以有效地减少危害涉及的范围,防止引起更大的损失。
结语:
电力信息网络的安全影响着电力系统的安全运行和可靠供电,电力系统的安全管理又是一项复杂且系统的工程,电力企业应积极借鉴国际上先进的信息安全管理经验,掌握各项科学管理技术,结合企业电网的自身特点,建立完备的电力信息网络安全防护体系,采取必要的管理措施,提高安全管理技术水平,确保电力系统的安全、可靠运行。
参考文献
[1]摆文志. 电力系统计算机信息网络安全技术与防范浅议[J]. 黑龙江科技信息,2013,26:168-169.
[2]翟镜荣. 电力系统强化计算机网络信息安全管理措施[J]. 黑龙江科技信息,2013,29:172.
随着水利信息化工作的不断推进,电子政务,水利公共信息载体,数字水利,以及水资源管理体系等信息化结果的出现,有利的推进了水利现代化的运行。网络平台是信息构建和信息化成果使用的重要媒介,充分的表现出了IT的实际价值。在互联网飞速发展的现在,网络进攻的方式也逐渐增多,信息体系所承受的安全风险也逐渐增加,怎样保证网络信息的安全是现在水利信息化进程中急需要处理的问题之一。
1 水利网络信息安全的实际状况
最近几年,水利部门根据水利工作的实际状况,在对治水经验和实际操作进行总结的过程中,提出要转变过去的水利发展道路,坚持走可持续发展水利道路,建立水利现代化的发展道路。随着水利事业的不断发展和变革,水利信息化构建也取得了一定的成绩,逐渐转变成为水利现代化的主要力量。根据国家防汛抗旱指挥系统中的一期工程城市水资源的监控管理,水利电子政务的相关项目和大型灌区信息化试点等重要工程的顺利完成,水利信息化基础设备也在不断的健全,对业务的使用能力也在逐渐加强。防汛抗旱,城市水资源的监控管理,水利电子政务和全国水土保持监管信息体系等业务也开始应用到实际生活中。在水利信息化基础构建和业务不断拓展的过程中,相关的保证水利信息化安全的体系也逐渐形成。
2 强化水利网络信息安全的解决措施
网络和信息的安全隐患问题,使得水利信息化的发展受到阻碍,所以要及时的进行预防,综合治理和科学管理,逐渐增加信息的安全性,加强其中的保护能力,保证水利信息化的持续运行。
2.1 加强信息安全管理
信息安全规划包含了技术、管理和相关法律等多个层面的问题,是稳定网络安全、物理安全、资料安全和使用安全的关键因素。信息安全规划不但依赖于信息化的管理,还是信息化形成的重要力量。在信息安全管理的过程中,信息系统安全构建和管理要更加具有系统性、整体性和目标性。
2.1.1 以信息化规划为基础,构建信息化建设
信息安全是在信息化规划的基础上,对信息安全进行系统的整理,是信息化发展的主要力量。信息安全规划不但要对信息化发展的实际情况进行深入的分析和研究,更好的发现信息化中存在的安全隐患,还要根据信息化规划以及信息化发展的主要战略和思路,有效的处理信息安全的问题。
2.1.2 构建信息安全系统
信息安全规划需要从技术安全、组织安全、战略安全等方面入手,构建相关的信息安全系统,从而更好的保证信息化的安全。
2.2 日常的运维管理
2.2.1 注重网络的安全监控
网络的飞速发展使得水利网络安全和互联网安全关系更加紧密。所以,注重互联网安全监控,从而及时的采取相关的安全防护措施,是现在日常安全管理工作中的主要内容。
2.2.2 安全状态研究
网络信息安全是处于不断变化的过程中,需要定时对网络安全环境进行整体的分析,这样不但可以发现其中的问题,还可以及时的采取相关的措施进行改正。安全态势主要是利用网络设备、主机设备、安全设备和安全管理工具等策略来进行信息的处理,通过统计和分析,综合评价网络系统的安全性,并且对发展的状态进行判断。
2.2.3 信息安全风险评估
风险评估是信息安全管理工作中的重要部分。通过进行风险评估,可以及时的发现信息安全中的问题,并且找到积极有效的解决措施。安全风险评估的主要方法是:(1)对被评估的主要信息进行确定;(2)通过本地审计、人员走访、现场观看、文档审阅、脆弱性扫描等方法,对评估范围中的网络、使用和主机等方面的安全技术和信息进行管理;(3)对取得的信息资料进行综合的分析,判别被评估信息资产中存在的主要问题和风险;(4)从管理体制、管理措施、系统脆弱性判别、威胁研究、漏洞和现有技术等方面,根据风险程度的不同,分析和管理相关的安全问题;(5)根据上面的分析结果,建立相关的信息安全风险评估报告。
2.2.4 应急响应
所谓的应急响应就是信息安全保护的最后一道屏障,主要是为了尽量的减少和控制信息安全所造成的严重影响,进行及时的响应和修复。应急响应包含了前期应急准备和后期应急响应两个部分。前期应急准备主要有预警预防制度、组织指导系统、应急响应过程、应急团队、应急器械、技术支持、费用支持等应急措施,并且定时进行应急演练等。后期应急措施主要有检查病毒、系统防护、阻断后门等问题,对网络服务进行限制或关闭以及事后的恢复系统等工作。通过两个部分的不断配合,才能更好的发挥应急响应的重要作用。
2.3 教育培养
人是信息安全的主要力量,其中的知识构造和使用能力对信息安全工作有着重要的影响。强化信息安全管理人员的专业素养,及时的进行信息安全教育,提升人们的信息安全意识,从而有效的减少信息安全问题的出现。
3 总结
随着社会经济的不断发展,信息系统中的安全问题也逐渐增多。因此需要不断的加强信息安全管理工作,对于网络信息安全管理中的问题进行深入的研究,找到具有针对性的解决措施,从而保证水利信息化的健康发展。
关键词:计算机;信息安全技术;相关概念;防护内容;防护措施
中图分类号:TP393.08
社会发展对信息交换和资源共享需求的不断增长,计算机网络也随之不断的发展,并在社会经济、政治、军事以及文化等各个领域的应用越来越广泛,给社会带来巨大的效益,在丰富人们的日常生活内容的同时,也带来更多的信息资源,促进了社会精神文明的发展和进步。但是随着计算机的普及应用,计算机信息安全威胁日益凸显,人们对计算机信息安全问题的关注力度越来越大。研究计算机信息安全技术和防护措施有着重要的意义。本文针对计算机信息安全技术和防护措施进行研究,为防护计算机信息提供科学依据。
1 计算机信息安全的相关概念
计算机网络安全指的是现代计算机网络内部的安全环境维护,主要保护的是计算机网络系统中的硬盘、软件中的数据资源,在没有因为意外或恶意等情况下未遭遇人为型破坏和更改相关重要的数据信息,从而保障计算机网络服务的正常运作。因此,计算机信息安全指的是信息在计算机网络中能保障安全并运作正常网络功能的信息安全,其主要是指各类计算机信息安全的漏洞对信息的威胁。
计算机网络安全涉及到计算机网络系统内部信息的内容较多,其中包括:计算机网络系统的软件和硬件安全;网络服务器和PC机所使用的开机启动账号和密码;系统管理员账户的使用范围;计算机系统不断更改的密码;重要的文件标识;网页访问的用户等内容。计算机信息安全可以归纳为信息的存储安全、传输安全[1]。
2 计算机信息安全技术防护的内容
计算机信息安全防护,强化计算机信息安全管理的防护工作和防护内容较多。从现阶段计算机信息安全防护的实际情况来看,强化对计算机安全信息的管理可以从计算机安全技术入手,对计算机系统的安全信息存在的漏洞进行及时的检测、修补和分析;结合检测分析得到的结果制定有效的防护方案;建立完善的安全系统体系。其中安全系统体系包括安全防火墙、计算机网络的杀毒软件、入侵监测扫描系统等信息安全防护体系。从计算机信息安全管理方面来看,需要建立健全的信息安全制度,严格根据信息安全管理制度的相关规定对计算机信息进行防护,加强管理人员的安全防护意识。此外,计算机信息安全防护还需要充分考虑计算机安全数据资源的合法使用、安全稳定运作;数据资料存储和传输的完整性、可控性、机密性和可用性等[2]。
3 计算机信息安全防护中存在的问题
随着计算机信息化技术的进一步发展,信息安全已经引起人们的高度关注。现阶段计算机安全信息防护还存在诸多问题。计算机网络系统的安全体系不够完善,因此要保障计算机信息安全必须要配置一些安全信息设备,但是目前的安全技术水平偏低,安全信息质量得不到保障。此外计算机系统内部的应急措施的构建机制不够健全,安全制度不完善,满足不了信息安全的防护标准要求。近几年来,我国用人单位对计算机信息安全管理工作越来越重视,但是有些单位的计算机安全信息防护意识薄弱,负责信息安全防护的管理人员业务素质偏低,计算机信息安全技术防护水平偏低。同时,一些企业对管理人员的信息安全培训力度不足,对安全信息防护的设备费用的投入力度不足。因此,现阶段我国企业的计算机信息安全防护水平与社会服务的程度偏低[3]。
4 计算机信息安全防护的措施
4.1 计算机病毒的防护
计算机网络之间的病毒传播速度较快。现代计算机网络防护病毒必须要在互联网环境下,对计算机的操作系统采取科学合理的防毒措施,有效防护计算机信息安全。现阶段,从计算机信息行业来看,针对不同的操作系统,所采用的计算机防毒软件的具体功能也会不一样,但是能够加强计算机用户的信息安全防护;利用安全扫描技术、访问控制技术、信息过滤技术,制止恶性攻击,加强计算机系统的安全性能,强化对计算机信息安全的防护[4]。
4.2 信息安全技术
计算机信息安全技术主要包括:实时的扫描技术、病毒情况研究报告技术、检测技术、检验保护技术、防火墙、计算机信息安全管理技术等。企业需要建立完善的信息安全管理和防护制度,提高系统管理工作人员人员技术水平和职业道德素质。对重要的机密信息进行严格的开机查毒,及时地备份重要数据,对网站访问进行有效地控制,实现信息安全的防范和保护;对数据库进行备份和恢复;实现防护和管理数据的完整性。
利用数据流加密技术、公钥密码体制、单钥密码体制等密码技术对信息进行安全管理,保护信息的安全。切断传播途径,对感染的计算机进行彻底性查毒,不使用来路不明的程序、软盘等,不随意打开可疑的邮件等。提高计算机网络的抗病毒能力。在计算机上配置病毒防火墙,对计算机网络文件进行及时地检测和扫描。利用防病毒卡,对网络文件访问权限进行设置[5]。
此外,计算机技术研发人员要研发安全性高的信息安全管理系统,加强计算机信息的安全管理;贯彻落实信息安全的法律法规制度。
4.3 提高信息安全管理人员的技术防护水平
计算机信息安全不仅需要从技术上进行信息安全防范措施,同时也要采取有效的管理措施,贯彻落实计算机信息安全防护法律法规制度,提高计算机信息的安全性。对计算机管理人员进行业务培训;建立完善的计算机信息安全管理机制,改进计算机信息安全管理功能,加强计算机信息安全的立法和执法力度,强化计算机信息管理的道德规范,提高管理人员对安全信息的防护意识;明确计算机系统管理人员的工作职责。此外,企业需要增加对计算机安全信息防护设备的投入费用,整体提高我国社会部门的计算机信息安全防护与社会服务水平[6]。
5 结束语
综上所述,计算机信息安全防护过程中存在着:信息安全管理体系不够健全、信息安全制度不完善、负责信息安全防护的管理人员业务素质偏低等问题,这就要求企业从计算机病毒的防护、信息安全技术、信息安全管理人员的技术防护水平这三方面入手,全面提高计算机信息安全技术水平和管理人员对计算机信息的安全防护能力。
参考文献:
[1]刘丹阳,李齐森,孙振华.浅谈计算机信息安全技术及防护[J].科技信息(科学教研),2011,10(03):121-145.
[2]辛耀中,王云霞,赵永良.计算机信息安全技术及防护研究[J].和田师范专科学校学报,2010,22(09):112-130.
[3]谭永新,郭中华,肖敏.计算机网络信息安全分析及防范措施探析[J].电子世界,2011,21(07):145-163.
[4]任继荣,赵刚著,王力军.计算机网络信息安全分析及解决措施初探[J].现代电子技术,2011,20(06):1121-1130.
[5]吴英桥,宋东燕,庞志功.浅谈计算机网络信息安全的具体问题及控制策略[J].计算机光盘软件与应用,2012,01(05):130-135.