序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁����,我們?yōu)槟x了8篇的信息安全管理策略樣本���,期待這些樣本能夠為您提供豐富的參考和啟發(fā)���,請盡情閱讀�。
第1篇
關(guān)鍵詞:信息安全 管理 現(xiàn)狀 改進策略
雖然國際互聯(lián)網(wǎng)最早起源上個世紀(jì)八十年代��,并在90年代末進入高速發(fā)展的時期,但由于技術(shù)和設(shè)備的引入受到美國的限制��,導(dǎo)致我國一直到1994年才得以引入���。迄今為止的20年間,我國的計算機信息網(wǎng)絡(luò)技術(shù)得到了巨大的發(fā)展��,很大程度的改變了我國居民的生活和工作模式�����,給生產(chǎn)力的發(fā)展帶來巨大的推動作用���。然而����,信息網(wǎng)絡(luò)環(huán)境的復(fù)雜性���、多變性以及脆弱性等特點卻注定其是一把雙刃劍���,在產(chǎn)生巨大推動力的同時也帶來了許多的安全問題,造成許多不良的社會影響�����,甚至是國民經(jīng)濟損失。這主要是由于我國在信息技術(shù)上的發(fā)展時間還不夠長����,在長足的發(fā)展中并沒有形成對于信息安全管理的足夠認(rèn)識,在沒有足夠預(yù)警措施的背景下��,保護網(wǎng)絡(luò)信息安全是一項必須盡快施行的重要措施���。
一��、我國的信息安全現(xiàn)狀
1.缺少法律體系的約束��。
法律才是保障人民和國家利益的根本所在�,才是保障信息安全的基本防線�。我國的法律體系主要是由法律、行政法規(guī)以及規(guī)章等三層面的規(guī)定構(gòu)成�����,信息行業(yè)作為一個新興的行業(yè)���,而且其涉及內(nèi)容��、影響范圍以及運行模式都在不斷的變化和革新�����,因此我國雖然對信息安全進行相關(guān)的立法保護���,但是仍有不少法律沒有涉及的部分,甚至原有的法律無法對新出現(xiàn)的信息板塊進行約束�。除此之外,我國的信息安全法律體系還存在一定的內(nèi)容交叉問題��,導(dǎo)致執(zhí)法困境的現(xiàn)象�,最終阻礙了我國法律對于信息安全的保護。
2.缺少嚴(yán)密的管理措施����。
信息安全的管理是一個系統(tǒng)的工程,其包括了事前的教育培訓(xùn)和系統(tǒng)評估認(rèn)證���,還有預(yù)期懂的安全規(guī)劃�,事中的風(fēng)險管理和應(yīng)急措施����,以及事后的總結(jié)和規(guī)劃,各個內(nèi)容之間存在明確的管理和責(zé)任。然而我國并沒有在這個問題上進行詳細(xì)的約定和規(guī)范���,導(dǎo)致多頭管理和權(quán)責(zé)交叉的現(xiàn)象出現(xiàn)�����,阻礙的信息安全管理效益��,信息安全的保障機制不能高效運行�����。
3.缺乏信息安全意識�。
信息安全不僅僅是制度和法律的保障��,更多的應(yīng)當(dāng)是來自于每一個人在每一個層次上進行安全保護����。然而大多數(shù)人都沒有形成對于信息安全的足夠認(rèn)識,違規(guī)操作和風(fēng)險運行的事件時有發(fā)生�����,極大的危害了信息安全的管理工作�。這一方面說明了操作主體缺乏安全意識����,另一方面也說明了主體沒有受到相關(guān)的教育和培訓(xùn)��。
4.忽略了技術(shù)和管理的重要性����。
據(jù)不規(guī)則統(tǒng)計,大多數(shù)的安全問題都是由于操作技術(shù)和管理模式的緣故����。尤其是現(xiàn)階段�����,我國的企業(yè)發(fā)展十分迅速�,也對信息部門有了一定的認(rèn)識,然而卻并源于投入更多的人力和物力來保障信息安全�,往往會出現(xiàn)安全系統(tǒng)過時、技術(shù)人員能力不足或是身兼數(shù)職等現(xiàn)象�����,對信息安全的管理工作造成了極大的安全隱患�����。
二、信息安全的主要特點
1.趨利性���。
近幾年已經(jīng)網(wǎng)絡(luò)信息安全事件的多發(fā)期���,由于互聯(lián)網(wǎng)金融的發(fā)展,巨大的經(jīng)濟利益和信息網(wǎng)絡(luò)聯(lián)系在一起����,引起不法分子的主義,這也從另一方面說明了信息安全的威脅主要是利益引發(fā)的����,因此,這要求我國人民在進行經(jīng)濟利益相關(guān)的信息操作時需要更加的小心和細(xì)致��。
2.多樣性�����。
系統(tǒng)安全技術(shù)經(jīng)過多年的病毒洗禮之后已經(jīng)有了大幅度的提升��,然而��,不法分子對于病毒形式也有了更多的研究。各式各樣的病毒軟件被研發(fā)出來����,對PC和移動終端造成了巨大的影響,過去常用的電子郵件病毒已經(jīng)漸漸被遺忘��,更多種類的病毒危害著用戶的信息安全��。
3.漏洞多發(fā)性�����。
信息安全事故的發(fā)生雖然有一部分來自于不當(dāng)操作�����,但也不排除來自安全漏洞的原因��。往往是由于用戶沒有對系統(tǒng)進行及時的更新��,也沒有對安全技術(shù)懂的革新引起足夠的重視����,造成漏洞信心安全事故問題居高不下�����。
三、防反信息安全風(fēng)險的策略
1.構(gòu)建并完善信息安全管理制度�����。
要保障信息的安全就必須建立完善的信息安全管理制度��,進行統(tǒng)一規(guī)劃和分工�����,保障各部門�、更階層甚至每個個體都各司其職,分工合作�����。其次�����,還需要保障管理的高效性���,防止多頭控制和協(xié)調(diào)不力的現(xiàn)象出現(xiàn)����,保障權(quán)責(zé)統(tǒng)一。然后還需要在各省市甚至各縣城都建立基層保護體制�,維護各地區(qū)人民的信息安全利益。建立完善的監(jiān)管合作機制��,將政府�、機構(gòu)甚至個人聯(lián)合起來,建立內(nèi)外結(jié)合的安全管理體系����,將信息安全落到實處。
2.強化信息安全法律體系的完善工作�。
法律的建立和完善才是信息安全保護機制中最重要的組成部分,這對我國的法律法規(guī)建設(shè)工作提出了較高的要求�。首先,我國政府應(yīng)該加快對于信息安全管理的法律法規(guī)建設(shè)速度���,對于相關(guān)的技術(shù)人員和執(zhí)法人員團隊的建設(shè)應(yīng)當(dāng)將職業(yè)意識和職業(yè)能力同時納入考核體系,只有健全職業(yè)意識才能在執(zhí)法過程中實現(xiàn)對于法律的執(zhí)行�,保障人民懂的根本利益。同時�����,各有關(guān)管理機構(gòu)和部門也應(yīng)當(dāng)積極配合,主動協(xié)調(diào)����,在履行自身義務(wù)的基礎(chǔ)上也要把本職工作做好,對于信息安全管理工作貢獻自身的一份力量���。除此之外���,法律的維護和執(zhí)行需要社會各階層的自覺維護,不僅僅是政府和機關(guān)����,更包括各階層的社會團體和個人,信息網(wǎng)絡(luò)環(huán)境的安全需要大家集體來護衛(wèi)����。
3.加大信息安全違法犯罪的打擊力度。
近年來��,在網(wǎng)絡(luò)違法犯罪的問題上����,我國做出了巨大的努力,雖然取得了巨大的成就,但隨著信息技術(shù)的不斷更新?lián)Q代��,網(wǎng)絡(luò)信息安全違法的形式變得越來越多樣化�����。這要求���,我國執(zhí)法機關(guān)和部門在健全法律執(zhí)行范圍的基礎(chǔ)���,在打擊力度上也要進一步強化,提高對于網(wǎng)絡(luò)信息犯罪的預(yù)防��、處理和控制等方面的能力�,也要在信息安全的自我保護上多進行培訓(xùn)和教育,提高個體和群體對于信息安全技術(shù)和系統(tǒng)的認(rèn)識和運行能力���。最終���,實現(xiàn)防治結(jié)合。
4.加大政策扶持�,維系良好的信息安全環(huán)境。
首先要加強對于信息安全工作的扶持力度���。例如:政府需要建立轉(zhuǎn)型資金付出計劃���,幫助相關(guān)的部門和機關(guān)進行公益性和公共性的信息安全系統(tǒng)建設(shè)和技術(shù)普及工作,聯(lián)合各相關(guān)企業(yè)進行技術(shù)研發(fā)和技術(shù)培訓(xùn)����,明確各自對于信息安全的需求和期望,建立適合自身現(xiàn)狀和發(fā)展的信息安全管理體系���。其次是加強對于相關(guān)安全技術(shù)管理的人才培養(yǎng)�。督促相關(guān)的教育機構(gòu)強化對于社會信息安全管理的需求了解工作��,切實調(diào)整自身的發(fā)展步伐���,迎合市場需求����,發(fā)展自身教育計劃����,建立專門的信息安全學(xué)習(xí)和進行機制,加快信息安全人才培養(yǎng)���,發(fā)揮人才所產(chǎn)生的保護效益�����。
四���、結(jié)語
信息網(wǎng)絡(luò)是一把“雙刃劍”��,其在推動社會生產(chǎn)和人們生活方式發(fā)展的同時也帶來了巨大的安全隱患��。因此��,人們在享受這種社會科技利益的同時�����,也要注意使用所引發(fā)的信息安全事故��。因為���,只有在安全條件下的運營才會給人們帶來發(fā)展和效益增長。雖然現(xiàn)階段已經(jīng)有越來越多的人意識網(wǎng)絡(luò)信息安全問題的重要性���,不僅僅是政府和相關(guān)技術(shù)人員�,更在不少的普通居民心中引起了足夠的重視。只要堅定在黨的領(lǐng)導(dǎo)���,加強信息安全法律體系的構(gòu)建,推動信息安全管理機制的建立�����,進一步強化對于安全信息的認(rèn)識培訓(xùn)�,推動我國信息安全產(chǎn)業(yè)的高速發(fā)展,我們就一定有信心在我國的網(wǎng)絡(luò)發(fā)展中保障信息安全���,維護國家和人民的利益�。
參考文獻:
[1]楊珂.淺談網(wǎng)絡(luò)信息安全現(xiàn)狀[J].數(shù)字技術(shù)與應(yīng)用,2013,02:172.
[2]薛鵬.信息安全的發(fā)展綜述研究[J].華東師范大學(xué)學(xué)報(自然科學(xué)版),2015,S1:180-184.
[3]王世偉.論信息安全��、網(wǎng)絡(luò)安全����、網(wǎng)絡(luò)空間安全[J].中國圖書館學(xué)報,2015,02:72-84.
[4]華賢平.電子信息安全技術(shù)存在的問題和對策[J].電子技術(shù)與軟件工程,2014,15:211.
第2篇
1.移動網(wǎng)絡(luò)信息安全管理的特征體現(xiàn)以及主要內(nèi)容
1.1 移動網(wǎng)絡(luò)信息安全管理的特征體現(xiàn)分析
移動網(wǎng)絡(luò)信息的安全管理過程中,有著鮮明特征體現(xiàn)���,其中在網(wǎng)絡(luò)信息安全管理的動態(tài)化特征山比較突出��。在信息網(wǎng)絡(luò)的不斷發(fā)展過程中���,對信息安全管理的動態(tài)化實施就比較重要�。由于網(wǎng)絡(luò)的更新?lián)Q代比較快�,這就必須在信息安全管理上形成動態(tài)化的管理。
移動網(wǎng)絡(luò)信息安全管理的相對化特征上也比較突出���,對移動網(wǎng)絡(luò)的信息安全管理沒有絕對可靠的安全管理措施����。通過相應(yīng)的方法手段應(yīng)用��,能有助于對移動網(wǎng)絡(luò)的信息安全管理的效率提高�,在保障性方面能加強,但是不能完善保障信息的安全性���。所以在信息安全管理的相對性特征上比較突出�。
另外��,移動網(wǎng)絡(luò)信息的安全管理天然化以及周期性的特征上也比較突出�����。移動網(wǎng)絡(luò)的系統(tǒng)應(yīng)用中并不是完美的���,在受到多方面因素的影響下���,就會存在著自然災(zāi)害以及錯誤操作的因素影響����,這就對信息安全的管理有著很大威脅�����。需要對移動網(wǎng)絡(luò)系統(tǒng)做好更新管理的準(zhǔn)備�����,保障管理工作能夠順利進行�。在對系統(tǒng)建設(shè)的工作實施上有著周期化特征��。
1.2 移動網(wǎng)絡(luò)信息安全管理的主要內(nèi)容分析
加強對移動網(wǎng)絡(luò)信息的安全管理���,就要能充分重視其內(nèi)容的良好保證����,在信息的安全保障上主要涉及到管理方法以及技術(shù)應(yīng)用和法律規(guī)范這三個內(nèi)容�����。在對移動網(wǎng)絡(luò)信息的安全管理中,需要員工在信息安全的意識上能加強�,在信息安全管理的水平上要能有效提高,在對風(fēng)險抵御的能力上不斷加強����。將移動網(wǎng)絡(luò)信息安全管理的基礎(chǔ)性工作能得以有效加強,在服務(wù)水平上能有效提高��。然后在對移動網(wǎng)絡(luò)信息安全的管理體系方面進行有效優(yōu)化�����,在信息安全管理能力上進行有效提高���,對風(fēng)險評估的工作能妥善實施���,這些都是網(wǎng)絡(luò)信息安全管理的重要內(nèi)容。
2.移動網(wǎng)絡(luò)信息安全管理問題和應(yīng)對策略
2.1 移動網(wǎng)絡(luò)信息安全管理問題分析
移動網(wǎng)絡(luò)信息安全管理工作中�����,會遇到各種各樣的問題,網(wǎng)絡(luò)的自主核心技術(shù)的缺乏�����,就會帶來黑客的攻擊問題��。我國在移動網(wǎng)絡(luò)的建設(shè)過程中��,由于在自主核心技術(shù)方面比較缺乏����,在網(wǎng)絡(luò)應(yīng)用的軟硬件等都是進口的,所以在系統(tǒng)中就會存在著一些漏洞��。黑客會利用這些系統(tǒng)漏洞對網(wǎng)絡(luò)發(fā)起攻擊��,在信息安全方面受到很大的威脅����。
再者��,移動網(wǎng)絡(luò)的開放性特征���,也使得在具體的網(wǎng)絡(luò)應(yīng)用過程中���,在網(wǎng)系的滲透攻擊問題比較突出�。在網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)以及平臺的應(yīng)用下��,由于網(wǎng)絡(luò)滲透因素的影響����,就比較容易出現(xiàn)黑客攻擊以及惡意軟件的攻擊等問題,這就對移動網(wǎng)絡(luò)信息的安全性帶來很大威脅����。具體的移動網(wǎng)絡(luò)物理管理和環(huán)境的安全管理工作上沒有明確職責(zé),在運營管理方面沒有加強�,對網(wǎng)絡(luò)訪問控制方面沒有加強。以及在網(wǎng)絡(luò)系統(tǒng)的開發(fā)維護方面還存在著諸多安全風(fēng)險��。
2.2 移動網(wǎng)絡(luò)信息安全管理優(yōu)化策略
加強移動網(wǎng)絡(luò)信息安全管理����,就要能充分重視從技術(shù)層面進行加強和完善。移動網(wǎng)絡(luò)企業(yè)要走自力更生和研發(fā)的道路�����,在移動網(wǎng)絡(luò)的核心技術(shù)以及系統(tǒng)的研發(fā)進程上要能加強����。對移動網(wǎng)絡(luò)信息的安全隱患方面要能及時性的消除���,將移動網(wǎng)絡(luò)安全防護的能力有效提高。還要能充分重視對移動網(wǎng)絡(luò)安全風(fēng)險的評估妥善實施�����,構(gòu)建有效完善的信息系統(tǒng)安全風(fēng)險評估制度�����,對潛在的安全威脅加強防御�。
再者,對移動網(wǎng)絡(luò)安全監(jiān)測預(yù)警機制要完善建立���。保障移動網(wǎng)絡(luò)信息的安全性,就要能注重對移動網(wǎng)絡(luò)信息流量以及用戶操作和軟硬件設(shè)備的實時監(jiān)測�����。在出現(xiàn)異常的情況下能夠及時性的警報�。在具體的措施實施上來看,就要能充分重視漏洞掃描技術(shù)的應(yīng)用����,對移動網(wǎng)絡(luò)系統(tǒng)中的軟硬件漏洞及時性查找�,結(jié)合實際的問題來探究針對性的解決方案����。對病毒的監(jiān)測技術(shù)加以應(yīng)用,這就需要對殺毒軟件以及防毒軟件進行安裝����,對網(wǎng)絡(luò)病毒及時性的查殺。
將入侵檢測技術(shù)應(yīng)用在移動網(wǎng)絡(luò)信息安全管理中去�����。加強對入侵檢測技術(shù)的應(yīng)用�����,對可能存在安全隱患的文件進行掃描���,及時性的防治安全文件和病毒的侵害����。在內(nèi)容檢查工作上也要能有效實施�,這就需要在網(wǎng)絡(luò)信息流的內(nèi)容上能及時性查殺�,對發(fā)生泄密以及竊密等問題及時性的報警等��。這樣對移動網(wǎng)絡(luò)信息的安全性保障也有著積極作用����。
另外,為能保障移動網(wǎng)絡(luò)信息的安全性�,就要充分注重移動網(wǎng)絡(luò)應(yīng)急機制的完善建立,對網(wǎng)絡(luò)災(zāi)難恢復(fù)方案完善制定���。在網(wǎng)絡(luò)遭到了攻擊后�,能夠及時性的分析原因��,采取針對性的方法加以應(yīng)對��。這就需要能夠部署IPS入侵防護系統(tǒng)進行應(yīng)用�����,以及對運用蜜罐技術(shù)對移動網(wǎng)絡(luò)信息安全進行保障����。
3.結(jié)語
第3篇
論文摘要:伴隨著企業(yè)信息化的發(fā)展�����,信息安全越來越受到重視。針對當(dāng)前信息安全存在的問題�����,作者進行了調(diào)查���,分析了其中的原因�,最后從管理學(xué)的角度提出了相關(guān)的策略和建議�。
隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)化應(yīng)用的普遍推廣,各機關(guān)組織和企事業(yè)單位都開展各類管理業(yè)務(wù)的信息化建立�。企業(yè)的發(fā)展運作離不開信息系統(tǒng)的安全運行。信息安全通過保護企業(yè)信息的機密性�、完整性和可用性,不僅保護了企業(yè)各類信息資產(chǎn)的安全����,還能增強企業(yè)的核心競爭力,維護企業(yè)的形象和信譽���。信息安全對企業(yè)的生存和發(fā)展的是至關(guān)重要的����,需要從戰(zhàn)略的高度對信息安全進行規(guī)劃和管理。
一��、企業(yè)中信息安全管理經(jīng)常存在的問題
日常安全管理中存在的主要問題�,首先是用戶安全意識和觀念薄弱的占58%,第二位的是網(wǎng)絡(luò)安全管理人員缺乏培訓(xùn)�����,占39%�;其后,依次是保障經(jīng)費投入不足�、缺乏安全信息共享和安全產(chǎn)品不能滿足要求。
不僅在日常管理中���,在技術(shù)管理方面也存在一定的問題���。在CSDN泄密門事件中,專業(yè)IT博客“月光博客”撰文表示“整個事件最不可思議的地方在于��,像CSDN這樣的以程序員和開發(fā)為核心的大型網(wǎng)站����,居然采用明文存儲密碼”,“稍微懂一點編程的程序員都知道�����,為了用戶的安全����,應(yīng)該在數(shù)據(jù)庫里保存用戶密碼的加密信息,這樣黑客即使下載了數(shù)據(jù)庫���,破解用戶密碼也不是一件容易的事情” �����?����?梢?�,有些涉及技術(shù)方面的問題����,也并不是單純的技術(shù)問題��,而是與技術(shù)人員安全意識不強����、責(zé)任心不到位有關(guān)�����。
為了了解企業(yè)內(nèi)部員工在信息安全問題上的看法及所做的努力��,我們對一家電子商務(wù)企業(yè)和一家銀行的部分工作人員進行了問卷和訪談?wù){(diào)查����,發(fā)現(xiàn)在企業(yè)員工中存在如下一些問題:
1.是信息安全意識方面�,被調(diào)查者認(rèn)為信息安全對企業(yè)和個人都非常重要。但大多數(shù)受訪者對信息安全的問題了解很少等����。
2.很多受訪者認(rèn)為信息安全屬于技術(shù)人員的事情;與技術(shù)人員的交流非常少����;忙于業(yè)務(wù),沒有時間去處理���。
3.是用戶認(rèn)為信息安全管理措施效果不好����。有些信息安全行為的規(guī)范標(biāo)準(zhǔn)雖然掛在網(wǎng)上或貼在墻上,很少有人去關(guān)注��;公司發(fā)動的信息安全的培訓(xùn)活動沒有收到好的效果�。
二����、信息安全問題的根源
通過對調(diào)查的結(jié)果進行深入分析,發(fā)現(xiàn)導(dǎo)致信息安全事件頻發(fā)����、風(fēng)險損失嚴(yán)重的原因從根本上來說,有以下幾個方面:
1.信息安全是一個多維問題�����,涉及到企業(yè)管理的方方面面���。企業(yè)在信息安全問題上往往涉及多個部門����。有些情況下���,無法明確責(zé)任����,使得信息安全得不到應(yīng)有的重視以及有效的管理。
2.風(fēng)險平衡理論認(rèn)為����,人會愿意承擔(dān)一定程度的風(fēng)險。這與你采用多少的安全防護措施無關(guān)�。有時即使有條件可以到達(dá)絕對安全的狀態(tài),由于人性的緣故�����,也不會那樣去做�。
3.信息安全與效率和便利性本身是矛盾的。信息安全加強了��,受到的約束也就多了�,相應(yīng)地效率也就降低了。比如簡單規(guī)律地密碼�����,可以不必費力去記�;插入U盤時進行殺毒,必然要耽誤時間;沒有接入網(wǎng)絡(luò)��,不可能受到網(wǎng)絡(luò)攻擊�,但也就失去了網(wǎng)上瀏覽所需信息、網(wǎng)絡(luò)交流的自由����,因此有人半開玩笑地說:“最安全的計算機是拔掉網(wǎng)絡(luò)的那臺計算機”。
4.由于某些緣故����,網(wǎng)絡(luò)中總是存在黑客�,專門竊取信息或破壞網(wǎng)絡(luò)系統(tǒng)。他們的水平都非常專業(yè)���,一般的用戶難以預(yù)防����。所謂“道高一尺��,魔高一丈”�����,信息安全的水平總是在這種攻擊與防守中進步的。
5.信息安全問題的不確定性��。信息安全問題的不確定性主要指是否發(fā)生風(fēng)險的不確定性�、無法精確地評估當(dāng)前所面臨的風(fēng)險以及風(fēng)險發(fā)生所帶來的損失的難以把握。
所有這一切因素��,都使得信息安全無法得到有效的關(guān)注和重視��,無法采用有效的措施來預(yù)防和避免���。這也是導(dǎo)致信息安全事件發(fā)生頻率居高不下����,風(fēng)險損失較大的主要原因���。 轉(zhuǎn)貼于
三����、相關(guān)的建議和策略
針對企業(yè)信息安全的問題��,文章運用管理學(xué)的理論進行論述���。企業(yè)管理涉及四個功能:計劃�、組織、領(lǐng)導(dǎo)�、控制 。
1.從計劃的角度來看:企業(yè)應(yīng)當(dāng)確立信息安全的發(fā)展戰(zhàn)略��,從戰(zhàn)略的高度來對待和管理信息安全�����,確保信息安全所引發(fā)的風(fēng)險達(dá)到可以接受的范圍之內(nèi)����。從全局角度制定信息安全的策略,確立信息安全的目標(biāo)�,以及實現(xiàn)目標(biāo)需要的行動方案��。
2.從組織的角度來看:人力資源的管理的觀點認(rèn)為��,企業(yè)的組織結(jié)構(gòu)�,取決于組織戰(zhàn)略 。在許多企業(yè)組織結(jié)構(gòu)中����,只有技術(shù)部門,沒有信息安全管理部門�����。S.H.(basie) von Solms 曾討論過,技術(shù)管理與安全管理兩個部門必須設(shè)置成為兩個獨立的部門�,否則無法保證安全評估的客觀性。因此有必要設(shè)置一個專門負(fù)責(zé)信息安全管理的部門�,這個部門并不負(fù)責(zé)具體的技術(shù),但是要懂技術(shù)��,主要是開展企業(yè)的安全培訓(xùn)工作��、日常的安全管理工作�����、對存在的風(fēng)險進行評估���,最大限度地降低安全風(fēng)險�。
3.從領(lǐng)導(dǎo)的角度來看:根據(jù)wilde的風(fēng)險平衡理論��,一個人會愿意承擔(dān)一定程度的風(fēng)險���。 “風(fēng)險平衡”觀念會讓整個機構(gòu)處于盲目樂觀的過度自信狀態(tài)�����,不管是企業(yè)的員工還是管理者都傾向于追求效率 ��,從而忽視信息安全的投入��。
在企業(yè)的管理過程中��,應(yīng)當(dāng)加強信息安全�����、風(fēng)險意識方面的培訓(xùn)和教育�����,增進員工與技術(shù)人員的面對面的溝通與交流��,開展有效的安全意識活動�����。
4.從控制的角度來看:對風(fēng)險的控制要求企業(yè)對自己的安全狀況不斷評估�����,時時防范����。這就要求安全管理部門每隔一定時間向上匯報信息安全的進展情況,定期進行風(fēng)險評估工作����。
文章從管理學(xué)的角度來分析信息安全風(fēng)險管理,對信息安全問題做了實地調(diào)查�����,分析了目前信息安全存在的一些問題����,并對存在的問題的根源進行了深入的分析,最后文章運用管理學(xué)的理論�,從計劃、組織�、領(lǐng)導(dǎo)、控制四個角度出了相應(yīng)的建議和策略�����。
參考文獻
[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.
[2]秦志華.企業(yè)管理[M].大連:東北財經(jīng)大學(xué)出版社����,2011�����,1.
[3]廖三余�,曹會勇.人力資源管理[M].北京:清華大學(xué)出版社�����,2011�����,9.
第4篇
【關(guān)鍵詞】安全性訪問�;病毒的防治;數(shù)據(jù)備份與恢復(fù)��;安全策略����;醫(yī)院信息管理系統(tǒng)
Abstract:In the hospital information construction process,the hospital information management system is its core part��,the current most hospitals face very important problem is how to keep the hospital information management system is highly effective��,the security���,the stable operation.This article attempts from the system security access����,prevention and control of the virus�����,data backup and recovery���,etc are discussed��,so as to work out the corresponding security strategy.
Keywords:Security access�;Prevention and control of the virus����;Data backup and recovery;Safety strategy�����;The hospital information management system
一�、引言
計算機技術(shù)不斷發(fā)展的今天,在醫(yī)院的應(yīng)用里面醫(yī)院信息管理系統(tǒng)得到了大眾的認(rèn)可,醫(yī)院信息管理系統(tǒng)在應(yīng)用的過程中���,信息安全是受到普遍關(guān)注的焦點����。醫(yī)院信息管理系統(tǒng)是一個整個醫(yī)院都聯(lián)了網(wǎng)的系統(tǒng)�,因此對系統(tǒng)的信息安全要求非常高。如果系統(tǒng)的信息安全出現(xiàn)問題�,就是丟失醫(yī)院中的重要數(shù)據(jù)信息,使醫(yī)院的各項工作不能正常運行�,給醫(yī)院帶來的直接經(jīng)濟損失是無法估量的,嚴(yán)重影響醫(yī)院的社會效益��。如今����,很多醫(yī)院的信息管理系統(tǒng)的安全體系都很簡單,然而醫(yī)院的數(shù)據(jù)業(yè)務(wù)卻在不斷增大�,業(yè)務(wù)應(yīng)用的復(fù)雜性也不斷提高,簡單的醫(yī)院信息管理系統(tǒng)安全體系已不能滿足系統(tǒng)安全需求���。因此�����,針對以上的這些問題��,為了完善系統(tǒng)的安全體系�,本文提出了相應(yīng)的安全策略�。使得系統(tǒng)能夠高效、安全��、穩(wěn)定的運行�,這也是醫(yī)院信息管理系統(tǒng)需要解決的一個迫切問題。
二�����、安全訪問的控制策略
在醫(yī)院信息管理系統(tǒng)里面�,人員是分散的,資源是共享的�,這也是醫(yī)院信息管理系統(tǒng)的主要特點,護士����、醫(yī)生、行政管理人員�����、醫(yī)療技術(shù)人員和后勤管理人員都是該系統(tǒng)的操作用戶,從人員的組成上面可以看出比較復(fù)雜����,并且每種用戶負(fù)責(zé)的工作任務(wù)和自責(zé)都不一樣。所以�����,醫(yī)院信息管理系統(tǒng)里面的系統(tǒng)管理員的主要任務(wù)是根據(jù)不同角色的用戶����,給每一個用戶都分配一個用戶名和密碼,這個用戶名和密碼對一個用戶來說有且只有一個�����,系統(tǒng)管理員給每個用戶的操作權(quán)限也是不同的���。不同角色的用戶登錄到醫(yī)院信息管理系統(tǒng)里面都只能在自己的權(quán)限范圍內(nèi)進行相應(yīng)的操作和訪問����,對于沒有權(quán)限進行訪問和操作的模塊�����,系統(tǒng)會對該用戶隱身,使用戶看不到���。這樣可以防止那些不是本系統(tǒng)的用戶非法進入�����,是系統(tǒng)的安全得不到保障。醫(yī)院信息管理系統(tǒng)的所有資源對于系統(tǒng)管理員來說���,都是可以訪問的��,因此�,對于系統(tǒng)管理員的賬號數(shù)量�����,應(yīng)該加以限制��,密碼在設(shè)置的時候也盡量使其復(fù)雜�,對于系統(tǒng)的運行狀況,由系統(tǒng)管理員定期進行匯報����,使得整個系統(tǒng)都能夠處于監(jiān)督之下����。
三����、防治病毒的策略
計算機技術(shù)發(fā)展的非常迅速,但同事計算機病毒也隨之產(chǎn)生����,并且是系統(tǒng)主要的威脅。所以�,完善的病毒防治體制和規(guī)章制度的建立是迫在眉睫的,主要的病毒的防治策略有:
1.對于數(shù)據(jù)服務(wù)器要做專門的備份��,由一些比較重要的數(shù)據(jù)備份要定期進行�,使系統(tǒng)受到病毒攻擊、數(shù)據(jù)丟失或被惡意修改等事件的威脅降低�,是系統(tǒng)數(shù)據(jù)的完整性和正確性得到保障。
2.電腦安裝的操作系統(tǒng)盡量選用正版的��,對于官方網(wǎng)站中的一些重要信息���,計算機的管理人員要時刻關(guān)注�,使操作系統(tǒng)得到及時的更新���,降低操作系統(tǒng)遭到攻擊的機率���。
3.給每一臺跟醫(yī)院信息管理體系相連的電腦都安全GHOST軟件����,定期對系統(tǒng)進行備份操作��,如果系統(tǒng)受到破壞之后沒辦法進行恢復(fù)了��,就可以使用一鍵GHOST直接進行還原�。
4.使用醫(yī)院信息管理系統(tǒng)的整個醫(yī)院的全體員工都要有病毒防范的意識�,并且要具備良好的動機,如果發(fā)現(xiàn)了系統(tǒng)中出現(xiàn)了計算機病毒����,就應(yīng)該及時通知相應(yīng)的網(wǎng)絡(luò)管理部門進行處理,減少病毒攻擊帶來的損失�����。
5.在給系統(tǒng)安裝殺毒軟件的時候盡量選用正版的��,并且殺毒軟件要定期進行升級操作����,這些任務(wù)由計算機管理人員完成��,使整個醫(yī)院的電腦病毒庫都是最新的版本���。
6.在醫(yī)院信息管理系統(tǒng)中安裝防火墻,使得外部惡意的程序?qū)︶t(yī)院系統(tǒng)的入侵事件受到阻止���。
7.在電腦的使用方面��,要建立一個嚴(yán)格的規(guī)章制度�����,如果出現(xiàn)的問題�����,就要追究這個用戶的責(zé)任��,情節(jié)比較嚴(yán)重的��,應(yīng)該追究其法律責(zé)任���。
8.對于那些外部存儲連接設(shè)備像優(yōu)盤�����、硬盤等�,要嚴(yán)格對其進行管理���,如果沒有經(jīng)過允許就把這些設(shè)備連接到系統(tǒng)中��,出現(xiàn)問題追究用戶的責(zé)任�����。
9.在使用內(nèi)網(wǎng)和外網(wǎng)的時候要非常嚴(yán)格�����,內(nèi)外網(wǎng)的配備要根據(jù)每個科室的不用業(yè)務(wù)需求來進行,比如有的科室只使用外網(wǎng)���,那就不考慮內(nèi)網(wǎng)的連接����,只連接外網(wǎng)���。
四���、數(shù)據(jù)的備份與恢復(fù)策略
1.系統(tǒng)的備份與恢復(fù)策略
在醫(yī)院信息管理系統(tǒng)中����,所有的應(yīng)用能夠正常進行的前提和保障就是系統(tǒng)的安全�����,再有在操作系統(tǒng)有改動或者系統(tǒng)被破壞了����,系統(tǒng)的備份與恢復(fù)才會進行。在進行系統(tǒng)的備份與恢復(fù)的時候���,經(jīng)常使用的軟件就是一鍵GHOST��。在安裝系統(tǒng)的時候���,把硬盤劃分成幾個區(qū)域,其中的一個區(qū)域安裝操作系統(tǒng)���,把系統(tǒng)分區(qū)用GHOST軟件復(fù)制一份映射文件放到另一個分區(qū)里面去���,如果系統(tǒng)中出現(xiàn)了安全問題���,使得系統(tǒng)不能正常運行,這個時候就使用一鍵GHOST軟件根據(jù)映射文件使系統(tǒng)快速恢復(fù)����,這樣就可以在系統(tǒng)崩潰之后,數(shù)據(jù)信息還可以得到恢復(fù)和保存����。
2.后臺數(shù)據(jù)的備份與恢復(fù)
在后臺的數(shù)據(jù)庫中,有啟動和計劃任務(wù)的功能�,如果定期對其進行操作的話,可以采取設(shè)定定時的方法��,自動地把主服務(wù)器的日志備份到一個備份的服務(wù)器上面���,還可以設(shè)定一個定時啟動的恢復(fù)任務(wù),使得備份服務(wù)器的數(shù)據(jù)庫能夠同步到主服務(wù)器的恢復(fù)�,在別的地方安裝一個容量非常大的數(shù)據(jù)存儲器,把備份服務(wù)器中已經(jīng)得到恢復(fù)的數(shù)據(jù)放到這個容量非常大的數(shù)據(jù)存儲器中��。如果服務(wù)器中的數(shù)據(jù)遭到了破壞,就可以采取把之前備份好的事務(wù)日志進行恢復(fù)的策略��,可以使丟失數(shù)據(jù)的機率降到很低���,基本上可以保證數(shù)據(jù)得到恢復(fù)���。比如,使用SQL Server 2005數(shù)據(jù)庫技術(shù)中的計劃任務(wù)進行不同地方的數(shù)據(jù)備份與恢復(fù)���,使用SQL Server 2005數(shù)據(jù)庫中的計劃任務(wù)進行很多個備份的任務(wù)操作����,在平常生活比較空閑的時候�,對這些任務(wù)進行備份操作,然后再對這些數(shù)據(jù)進行不同地方的存儲�,也就是說把備份的任務(wù)存儲到別的計算機的硬盤上面。這樣就可以保證在硬盤受到損壞的時候���,可以使用別的保存了數(shù)據(jù)的計算機對這些數(shù)據(jù)進行恢復(fù)和還原�����。數(shù)據(jù)庫本身具有還原的功能���,可以利用數(shù)據(jù)庫的這一特點對數(shù)據(jù)庫中的數(shù)據(jù)進行還原���,并且還原的速度也是很快的,使得數(shù)據(jù)的安全性得到了保障���,數(shù)據(jù)備份與恢復(fù)的效率也得到了極大的提高�。
五��、其他
針對醫(yī)院信息管理系統(tǒng)�����,上面討論了三種加強醫(yī)院信息管理系統(tǒng)安全的策略���,顧名思義肯定還有其他影響系統(tǒng)安全的因素���,比如,計算機的軟硬件出現(xiàn)了故障���、電腦黑客對系統(tǒng)的入侵�、系統(tǒng)突然斷電或者人為的因素對系統(tǒng)造成破壞等等���,我也不一一全部進行列舉��,但是的確還有很多因素會給系統(tǒng)造成破壞��,給醫(yī)院帶來很大的直接經(jīng)濟損失��。因此���,我們在平常的使用中就應(yīng)該關(guān)注這些問題,使系統(tǒng)遭到破壞的機率減少了到最低���。
六���、結(jié)語
在醫(yī)院信息化建設(shè)的過程中,醫(yī)院信息管理系統(tǒng)的安全問題是非常重要的部分���,每個使用醫(yī)院信息管理系統(tǒng)的用戶都有責(zé)任保證醫(yī)院信息系統(tǒng)的正常運行�����。所以��,醫(yī)院要對使用醫(yī)院信息管理系統(tǒng)的全部用戶都定期進行安全知識方面的培訓(xùn)����,使全部使用醫(yī)院信息管理系統(tǒng)的用戶都具備良好的安全意識,并且根據(jù)具體的情況制定出有效的安全應(yīng)急的預(yù)案�,建立完善的安全管理規(guī)章制度,使醫(yī)院信息管理系統(tǒng)在運行的時候能夠高效����、安全、穩(wěn)定����,使醫(yī)院的服務(wù)水平、市場競爭力和管理水平都得到相應(yīng)的提高��,當(dāng)然�����,這樣也能夠提高醫(yī)院的社會影響力�����,使醫(yī)院的效益越來越高�����。
參考文獻:
[1]嚴(yán)冰.網(wǎng)絡(luò)安全在醫(yī)院信息管理系統(tǒng)中的重要作用[J].行政與管理,2008����,281.
[2]萎瓊�����,張泉方.醫(yī)院信息管理中的數(shù)據(jù)備份研究[J].數(shù)據(jù)庫技術(shù)與應(yīng)用���,2008.3(11):49-51.
[3]滿育紅.醫(yī)院信息管理系統(tǒng)中的數(shù)據(jù)備份與恢復(fù)[J].吉林醫(yī)學(xué)��,2007��,28(9):1149-1150.
[4]張嬡.醫(yī)院信息管理系統(tǒng)的病毒的防治初探[J].信息與電腦��,2011�����,5:12-14.
[5]張秀玉.SQL SERVER 數(shù)據(jù)庫程序設(shè)計[M].機械龔古爾出版社��,2005:68-97.
[6]胡柏敬����,姚巧梅.SQL SERVER 2005 數(shù)據(jù)庫開發(fā)講解[M].電子工業(yè)出版社,2006.
[7]DAVDV.客戶機/服務(wù)器策略[M].北京:電子工業(yè)出版社����,1995.
[8]張本成,何清林.中小企事業(yè)單位數(shù)據(jù)安全網(wǎng)絡(luò)改造方案[J].科技情報開發(fā)與經(jīng)濟����,2005,20:204-205.
[9]苗雪蘭.數(shù)據(jù)庫系統(tǒng)原理及應(yīng)用教程[M].機械工業(yè)出版社�����,2001:7.
[10]醫(yī)保計算機系統(tǒng)中 IC 卡的安全設(shè)計:[D].南京:南京理工大學(xué)����,2004.
[11]項慶坤.劉彥偉.醫(yī)療保險管理系統(tǒng)中的數(shù)據(jù)傳輸設(shè)計[J].計算機絡(luò),2002���,13:5 6-57.
[12]薛華成.管理信息系統(tǒng)(第三版)[M].北京:清華大學(xué)出版社�,1999.
[13]薩師煊���,王珊.數(shù)據(jù)庫系統(tǒng)概論(第三版)[M].高等教育出版社.
[14]洪深著.決策支持系統(tǒng)(DSS):理論.方法.案例[M].清華大學(xué)出版社�����,2002���,9(2).
第5篇
關(guān)鍵詞:計算機網(wǎng)絡(luò)����;信息管理��;安全防護
中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2012)18-4389-02
1概述
互聯(lián)網(wǎng)技術(shù)給我們帶來很大的方便���,同時也帶來了許多的網(wǎng)絡(luò)安全隱患,諸如陷門����、網(wǎng)絡(luò)數(shù)據(jù)竊密、木馬掛馬�����、黑客侵襲����、病毒攻擊之類的網(wǎng)絡(luò)安全隱患一直都威脅著我們。為了確保計算機網(wǎng)絡(luò)信息安全�,特別是計算機數(shù)據(jù)安全�,目前已經(jīng)采用了諸如服務(wù)器�����、通道控制機制�、防火墻技術(shù)、入侵檢測之類的技術(shù)來防護計算機網(wǎng)絡(luò)信息安全管理����,即便如此,仍然存在著很多的問題����,嚴(yán)重危害了社會安全。計算機網(wǎng)絡(luò)信息管理工作面臨著巨大的挑戰(zhàn)�,如何在計算機網(wǎng)絡(luò)這個大環(huán)境之下,確保其安全運行���,完善安全防護策略��,已經(jīng)成為了相關(guān)工作人員最亟待解決的問題之一��。
2計算機網(wǎng)絡(luò)信息管理工作中的安全問題分析
計算機網(wǎng)絡(luò)的共享性����、開放性的特性給互聯(lián)網(wǎng)用戶帶來了較為便捷的信息服務(wù),但是也使得計算機網(wǎng)絡(luò)出現(xiàn)了一些安全問題�����。在開展計算機網(wǎng)絡(luò)信息管理工作時��,應(yīng)該將管理工作的重點放在網(wǎng)絡(luò)信息的和訪問方面�����,確保計算機網(wǎng)絡(luò)系統(tǒng)免受干擾和非法攻擊��。
2.1安全指標(biāo)分析
(1)保密性
通過加密技術(shù)�,能夠使得計算機網(wǎng)絡(luò)系統(tǒng)自動篩選掉那些沒有經(jīng)過授權(quán)的終端操作用戶的訪問請求�,只能夠允許那些已經(jīng)授權(quán)的用戶來利用和訪問計算機網(wǎng)絡(luò)信息數(shù)據(jù)。
(2)授權(quán)性
用戶授權(quán)的大小與其能夠在計算機網(wǎng)絡(luò)系統(tǒng)中能夠利用和訪問的范圍息息相關(guān)����,我們一般都是采取策略標(biāo)簽或者控制列表的形式來進行訪問,這樣做的目的就在于能夠有效確保計算機網(wǎng)絡(luò)系統(tǒng)授權(quán)的正確性和合理性�����。
(3)完整性
可以通過散列函數(shù)或者加密的方法來防治非法信息進入計算機網(wǎng)絡(luò)信息系統(tǒng),以此來確保所儲存數(shù)據(jù)的完整性��。
(4)可用性
在計算機網(wǎng)絡(luò)信息系統(tǒng)的設(shè)計環(huán)節(jié)�,應(yīng)該要確保信息資源具有可用性,在突然遇到攻擊的時候�,能夠及時使得各類信息資源恢復(fù)到正常運行的狀態(tài)。
(5)認(rèn)證性
為了確保權(quán)限所有者和權(quán)限提供者都是同一用戶�,目前應(yīng)用較為廣泛的計算機網(wǎng)絡(luò)信息系統(tǒng)認(rèn)證方式一般有兩種,分別是數(shù)據(jù)源認(rèn)證和實體性認(rèn)證兩種��,這兩種方式都能夠得到在當(dāng)前技術(shù)條件支持��。
2.2計算機網(wǎng)絡(luò)信息管理中的安全性問題
大量的實踐證明���,計算機網(wǎng)絡(luò)信息管理中存在的安全性問題主要有兩種類型����,第一種主要針對計算機網(wǎng)絡(luò)信息管理工作的可用性和完整性���,屬于信息安全監(jiān)測問題����;第二種主要針對計算機網(wǎng)絡(luò)信息管理工作的抗抵賴性�、認(rèn)證性��、授權(quán)性��、保密性����,屬于信息訪問控制問題�。
(1)信息安全監(jiān)測
有效地實施信息安全監(jiān)測工作,可以在最大程度上有效消除網(wǎng)絡(luò)系統(tǒng)脆弱性與網(wǎng)絡(luò)信息資源開放性二者之間的矛盾�����,能夠使得網(wǎng)絡(luò)信息安全的管理人員及時發(fā)現(xiàn)安全隱患源�,及時預(yù)警處理遭受攻擊的對象,然后再確保計算機網(wǎng)絡(luò)信息系統(tǒng)中的關(guān)鍵數(shù)據(jù)能夠得以恢復(fù)�����。
(2)信息訪問控制問題
整個計算機網(wǎng)絡(luò)信息管理的核心和基礎(chǔ)就是信息訪問控制問題�。信息資源使用方和擁有方在網(wǎng)絡(luò)信息通信的過程都應(yīng)該有一定的訪問控制要求���。換而言之�,整個網(wǎng)絡(luò)信息安全防護的對象應(yīng)該放在資源信息的和個人信息的儲存��。
3如何有效加強計算機網(wǎng)絡(luò)信息安全防護
(1)高度重視,完善制度
根據(jù)單位環(huán)境與特點制定�����、完善相關(guān)管理制度�。如計算機應(yīng)用管理規(guī)范、保密信息管理規(guī)定�����、定期安全檢查與上報等制度��。成立領(lǐng)導(dǎo)小組和工作專班����,完善《計算機安全管理制度》、《網(wǎng)絡(luò)安全應(yīng)急預(yù)案》和《計算機安全保密管理規(guī)定》等制度�����,為規(guī)范管理夯實了基礎(chǔ)�。同時,明確責(zé)任���,強化監(jiān)督���。嚴(yán)格按照保密規(guī)定��,明確涉密信息錄入及流程�,定期進行安全保密檢查��,及時消除保密隱患�,對檢查中發(fā)現(xiàn)的問題,提出整改時限和具體要求��,確保工作不出差錯����。此外,加強培訓(xùn)�����,廣泛宣傳�。有針對性組織開展計算機操作系統(tǒng)和應(yīng)用軟件、網(wǎng)絡(luò)知識����、數(shù)據(jù)傳輸安全和病毒防護等基本技能培訓(xùn)�����,利用每周學(xué)習(xí)日集中收看網(wǎng)絡(luò)信息安全知識講座,使信息安全意識深入人心����。
(2)合理配置,注重防范
第一�,加強病毒防護。單位中心機房服務(wù)器和各基層單位工作端均部署防毒�����、殺毒軟件��,并及時在線升級��。嚴(yán)格區(qū)分訪問內(nèi)���、外網(wǎng)客戶端�,對機房設(shè)備實行雙人雙查�,定期做好網(wǎng)絡(luò)維護及各項數(shù)據(jù)備份工作,對重要數(shù)據(jù)實時備份���,異地儲存���。同時���,嚴(yán)格病毒掃描。針對網(wǎng)絡(luò)傳輸���、郵件附件或移動介質(zhì)的方式接收的文件�����,有可能攜帶病毒的情況���,要求接收它們之前使用殺毒軟件進行病毒掃描。第二�,加強強弱電保護。在所有服務(wù)器和網(wǎng)絡(luò)設(shè)備接入端安裝弱電防雷設(shè)備����,在所有弱電機房安裝強電防雷保護器,保障雷雨季節(jié)主要設(shè)備的安全運行�����。第三,加強應(yīng)急管理�。建立應(yīng)急管理機制��,完善應(yīng)急事件出現(xiàn)時的事件上報�、初步處理、查實處理���、責(zé)任追究等措施�,并定期開展進行預(yù)演�,確保事件發(fā)生時能夠從容應(yīng)對。第四���,加強“兩個隔離”管理�����。即內(nèi)�、外網(wǎng)物理徹底隔離和通過防火墻進行“邊界隔離”�����,通過隔離實現(xiàn)有效防護外來攻擊����,防止內(nèi)���、外網(wǎng)串聯(lián)。第五���,嚴(yán)格移動存儲介質(zhì)應(yīng)用管理�。對單位所有的移動存儲介質(zhì)進行登記���,要求使用人員嚴(yán)格執(zhí)行《移動存儲介質(zhì)管理制度》��,杜絕外來病毒的入侵和泄密事件的發(fā)生�����。同時����,嚴(yán)格安全密碼管理���。所有工作用機設(shè)置開機密碼�,且密碼長度不得少于8位�,定期更換密碼����。第六���,嚴(yán)格使用桌面安全防護系統(tǒng)。每臺內(nèi)網(wǎng)計算機都安裝了桌面安全防護系統(tǒng)�,實現(xiàn)了對計算機設(shè)備軟、硬件變動情況的適時監(jiān)控����。第七,嚴(yán)格數(shù)據(jù)備份管理���。除了信息中心對全局?jǐn)?shù)據(jù)定期備份外�����,要求個人對重要數(shù)據(jù)也定期備份�����,把備份數(shù)據(jù)保存在安全介質(zhì)上��。
(3)堅持以信息安全等級保護工作為核心
把等級保護的相關(guān)政策和技術(shù)標(biāo)準(zhǔn)與自身的安全需求深度融合��,采取一系列有效措施�,使等級保護制度在全局得到有效落實,有效的保障業(yè)務(wù)信息系統(tǒng)安全����。
第一,領(lǐng)導(dǎo)高度重視��,組織保障有力��。單位領(lǐng)導(dǎo)應(yīng)該高度重視信息化和信息安全工作�����,成立專門的信息中心���,具體負(fù)責(zé)等級保護相關(guān)工作��,統(tǒng)籌全局的信息安全工作�����。建立可靠的信息安全基礎(chǔ)設(shè)施�����,重點強化第二級信息系統(tǒng)的合規(guī)建設(shè)���,加強了信息系統(tǒng)的運維管理�,對重要信息系統(tǒng)建立了災(zāi)難備份及應(yīng)急預(yù)案�,有效提高了系統(tǒng)的安全防護水平。
第二���,完善措施,保障經(jīng)費��。一是認(rèn)真組織開展信息系統(tǒng)定級備案工作��。二是組織開展信息系統(tǒng)等級測評和安全建設(shè)整改��。三是開展了信息安全檢查活動�����。對信息安全��、等級保護落實情況進行了檢查��。
第三����,建立完善各項安全保護技術(shù)措施和管理制度�����,有效保障重要信息系統(tǒng)安全�����。一是對網(wǎng)絡(luò)和系統(tǒng)進行安全區(qū)域劃分�。按照《信息系統(tǒng)安全等級保護基本要求》����,提出了“縱向分層、水平分區(qū)����、區(qū)內(nèi)細(xì)分”的網(wǎng)絡(luò)安全區(qū)域劃分原則,對網(wǎng)絡(luò)進行了認(rèn)真梳理��、合理規(guī)劃�、有效調(diào)整。二是持續(xù)推進病毒治理和桌面安全管理��。三是加強制度建設(shè)和信息安全管理�。本著“預(yù)防為主����,建章立制�����,加強管理����,重在治本”的原則,堅持管理與技術(shù)并重的原則����,對信息安全工作的有效開展起到了很好的指導(dǎo)和規(guī)范作用�。
(4)采用專業(yè)性解決方案保護網(wǎng)絡(luò)信息安全
大型的單位,如政府��、高校���、大型企業(yè)由于網(wǎng)絡(luò)信息資源龐大��,可以采用專業(yè)性解決方案來保護網(wǎng)絡(luò)信息安全�����,諸如銳捷網(wǎng)絡(luò)門戶網(wǎng)站保護解決方案���。銳捷網(wǎng)絡(luò)門戶網(wǎng)站保護解決方案能提供從網(wǎng)絡(luò)層���、應(yīng)用層到Web層的全面防護;其中防火墻��、IDS分別提供網(wǎng)絡(luò)層和應(yīng)用層防護�����,ACE對Web服務(wù)提供帶寬保障����;而方案的主體產(chǎn)品銳捷WebGuard(WG)進行Web攻擊防御,方案能給客戶帶來的價值:
防網(wǎng)頁篡改��、掛馬
許多大型的單位作為公共信息提供者����,網(wǎng)頁被篡改、掛馬將造成不良社會影響�,降低單位聲譽。目前客戶常用的防火墻��、IDS/ IPS��、網(wǎng)頁防篡改,無法解決通過80端口、無特征庫、針對動態(tài)頁面的Web攻擊��。WebGuard DDSE深度解碼檢測引擎有效防御SQL注入�����、跨站腳本等����。
高性能�����,一站式保護各院系網(wǎng)站
對于大型單位客戶�����,往往擁有眾多部門�,而并非所有大型單位都將各部門網(wǎng)站統(tǒng)一管理����。各部門網(wǎng)站技術(shù)運維能力相對較弱�,經(jīng)常成為攻擊重點���。WebGuard利用高性能多核架構(gòu)���,提供并行處理。支持在網(wǎng)絡(luò)出口部署�����,一站式保護各部門網(wǎng)站�。
“零配置”運行,簡化部署
WebGuard針對用戶���,集成默認(rèn)配置模板���,支持“零配置”運行。一旦上線����,即可防護絕大多數(shù)攻擊。后續(xù)用戶可以根據(jù)網(wǎng)絡(luò)情況��,進行優(yōu)化策略。避免同類產(chǎn)品常見繁瑣配置����,毋須客戶具備專業(yè)的安全技能,即可擁有良好的體驗��。
滿足合規(guī)性檢查要求
繼08年北京奧運��、09年國慶60周年后��,10年上海世博會��、廣州亞運會先后舉行����。在重大活動前后,各級主管單位和公安部門��,紛紛發(fā)文��,要求針對網(wǎng)站安全采取措施��。WebGuard恰好能很好的滿足合規(guī)性檢查的需求���,幫助用戶順利通過檢查。
4結(jié)束語
新時期的計算機網(wǎng)絡(luò)信息管理工作正向著系統(tǒng)化、集成化����、多元化的方向發(fā)展,但是網(wǎng)絡(luò)信息安全問題日益突出�����,值得我們大力關(guān)注�����,有效加強計算機網(wǎng)絡(luò)信息安全防護是極為重要的���,具有較大的經(jīng)濟價值和社會效益��。
參考文獻:
[1]段盛.企業(yè)計算機網(wǎng)絡(luò)信息管理系統(tǒng)可靠性探討[J].湖南農(nóng)業(yè)大學(xué)學(xué)報:自然科學(xué)版,2000(26):134-136.
[2]李曉琴.張卓容.醫(yī)院計算機網(wǎng)絡(luò)信息管理的設(shè)計與應(yīng)用[J].醫(yī)療裝備,2003.(16):109-113.
[3]李曉紅.婦幼保健信息計算機網(wǎng)絡(luò)管理系統(tǒng)的建立與應(yīng)用[J].中國婦幼保健,2010(25):156-158.
[4]羅宏儉.計算機網(wǎng)絡(luò)信息技術(shù)在公路建設(shè)項目管理中的應(yīng)用[J].交通科技,2009.(1):120-125.
[5] Bace Rebecca.Intrusion Detection[M].Macmillan Technical Publishing,2000.
第6篇
計算機信息管理工作面臨非常大的挑戰(zhàn)���,如何在這種情況下保持互聯(lián)網(wǎng)環(huán)境的安全,完善對于計算機網(wǎng)絡(luò)信息的保護手段是我們現(xiàn)階段需要大力解決的問題����。
互聯(lián)網(wǎng)技術(shù)給我們的日常生活帶來了很大的方便,但是在我們使用互聯(lián)網(wǎng)的同時也可能存在很多的安全隱患���。為了解決這些現(xiàn)階段存在的問題����,我們現(xiàn)在一般使用防火墻技術(shù),通過服務(wù)器對外部入侵情況進行監(jiān)測和鑒定����,對計算機進行實時的防護。
雖然我們應(yīng)用了這些技術(shù)進行防護��,但是計算機安全信息防護依舊有很多問題需要我們解決���,嚴(yán)重影響著使用者的正常使用和網(wǎng)絡(luò)安全���。
1、計算機網(wǎng)絡(luò)信息安全分析
計算機網(wǎng)絡(luò)的開放和共享給互聯(lián)網(wǎng)的用戶提供了更加方便的信息獲取途徑����,同時也是因為互聯(lián)網(wǎng)具有這樣的特性,所以也讓互聯(lián)網(wǎng)存在很多安全隱患�,在我們對計算機信息安全進行掛了你的同時,我們要認(rèn)真管理和訪問的信息�����,確保計算機不受非法信息的影響正常工作。
1.1安全性指標(biāo)分析
我們針對計算機網(wǎng)絡(luò)信息管理和安全防護的安全指標(biāo)分析主要有保密性���、授權(quán)性、完整性���、可用性以及認(rèn)證性�。這些指標(biāo)都是我們對計算機網(wǎng)絡(luò)信息是否安全進行判定的基礎(chǔ)�。
保密性是指我們通過加密的方式讓計算機自動識別沒有授權(quán)的訪問和操作請求,只有通過計算機授權(quán)的使用者才能夠訪問網(wǎng)絡(luò)上的相關(guān)數(shù)據(jù)�。[1]用戶的授權(quán)范圍也是計算機信息防護的重要依據(jù),授權(quán)的范圍我們一般是通過控制列表或者策略標(biāo)簽的方式來進行管理�����,這樣的最終目的就是為了能夠保證計算機系統(tǒng)授權(quán)更加合理和安全���。
為了保持計算機信息安全的完整性�,我們可以通過散列函數(shù)以及各種加密方式來防止非法入侵計算機的行為發(fā)生���,可以確保信息在互聯(lián)網(wǎng)上的完整和安全����。計算機信息的可用性主要是指我們需要保證計算機網(wǎng)絡(luò)信息系統(tǒng)在受到非法入侵的同時能在第一時間恢復(fù)相關(guān)信息的數(shù)據(jù)備份,讓計算機網(wǎng)絡(luò)系統(tǒng)在短時間內(nèi)恢復(fù)正常運行��。
為了確保計算機的所有者和當(dāng)前計算機的使用者的同一人����,我們一般采用系統(tǒng)認(rèn)證的方式來確保信息版權(quán),現(xiàn)階段所使用的認(rèn)證方式主要有實體認(rèn)證和數(shù)據(jù)源認(rèn)證兩種模式���。
1.2計算機網(wǎng)絡(luò)信息管理存在的問題
我們通過實踐證明���,計算機網(wǎng)絡(luò)信息管理存在的問題主要是對網(wǎng)絡(luò)信息管理的完整性和可用性來進行安全檢測的,其次我們需要對計算機網(wǎng)絡(luò)信息管理的工作進行授權(quán)����、保密和認(rèn)證。
首先我們需要關(guān)注一下網(wǎng)絡(luò)信息安全的檢測工作��,我們通過全面良好的信息安全性檢測��,可以在最大程度上避免了資源開放和網(wǎng)絡(luò)信息脆弱性之間的沖突��,可以讓安全管理人員能夠更加及時發(fā)現(xiàn)安全隱患�����,解決這些問題,確保計算機信息不丟失���,并且能夠在短時間內(nèi)恢復(fù)正常工作��。
其次我們需要對信息訪問進行有效的控制,無論是對于信息的所有者還是信息的使用者來說���,在使用網(wǎng)絡(luò)信息的時候都需要有一個訪問權(quán)限的有效控制���,換言之,對于計算機網(wǎng)絡(luò)的信息數(shù)據(jù)安全防護的關(guān)鍵點在于個人信息的儲存以及資源的上面��。
2�����、如何加強計算機網(wǎng)絡(luò)信息的安全管理工作
2.1加強管理制度的建立��,引起足夠的重視
我們應(yīng)當(dāng)按照不同單位工作的特點來進行相關(guān)管理制度的制定�,比如計算機使用管理規(guī)范、保密協(xié)定����、計算機定期檢查管理規(guī)定等各種制度��。我們需要成立專門的管理小組�,對計算機的管理制度進行制定和完善��,同時我們應(yīng)當(dāng)將責(zé)任落實到每個人的頭上�,加強對于網(wǎng)絡(luò)信息安全的監(jiān)督和管理工作,增強整個管理小組的執(zhí)行力�。同時管理人員需要嚴(yán)格遵守相關(guān)信息的保密協(xié)議,對于一些機密信息的錄入和的過程����,一定要進行全程的安全檢查,并且杜絕相關(guān)信息的泄漏�,防止發(fā)生網(wǎng)絡(luò)安全隱患。
[2]在檢查過程中��,一旦發(fā)現(xiàn)問題就要馬上進行整改�����,確保安全管理工作的正常進行����。同時要對相關(guān)人員進行培訓(xùn)和宣傳,并且有組織的對計算機網(wǎng)絡(luò)知識、數(shù)據(jù)安全和防護等技能進行培訓(xùn)��,將安全意識融入到日常的工作中�。
2.2加強日常的防范工作
日常的防范工作我們首先要從病毒防火墻入手,無論是中心管理系統(tǒng)還是分端的服務(wù)器都需要進行相關(guān)的病毒防護��,及時對軟件進行在線升級�����。要對內(nèi)外網(wǎng)訪問的客戶端進行嚴(yán)格區(qū)分���,機房設(shè)備要定期的對網(wǎng)絡(luò)數(shù)據(jù)進行維護和備份,必要的時候可以進行異地儲存��,確保信息不會因為病毒的入侵而導(dǎo)致丟失�����。同時我們還需要對病毒進行定期掃描和殺毒�,對于可能攜帶網(wǎng)絡(luò)病毒的郵件,要求在使用之前必須對其進行殺毒處理���。[3]其次我們要加強系統(tǒng)服務(wù)器的防雷電處理����,在服務(wù)器連接終端我們需要安裝防雷裝置,保證在及時在雷雨季節(jié)�,各項設(shè)備也能不受雷雨的影響正常運行。
其次我們需要增強應(yīng)急預(yù)案的制定�,建立一套完整的應(yīng)急管理方案,完善應(yīng)急管理的各個程序����,定期進行應(yīng)急方案的預(yù)演,確保真正發(fā)生特殊情況能夠不慌亂��,以最正確的方式進行處理��。同時我們還需要增強對內(nèi)外網(wǎng)之間的隔離以及防火墻的邊界隔離�����。通過隔離有效的避免外來攻擊的情況發(fā)生�����。單位要對移動儲存介質(zhì)進行嚴(yán)格控制��,若需要使用必須進行嚴(yán)格的等級���,避免外來病毒對計算機造成危害導(dǎo)致信息泄漏�����,同時對于計算機密碼要進行嚴(yán)格的管理�����,對于所有涉及到安全性信息的計算機都要設(shè)置對應(yīng)的密碼�����,并且要定期修改密碼���。
嚴(yán)格使用桌面安全防護系統(tǒng)�����,這個系統(tǒng)可以對每臺計算機進行有效的監(jiān)控,實現(xiàn)計算機軟件和硬件的實時管理����。[4]不僅信息中心需要定期進行備份處理,個人的重要數(shù)據(jù)也需要定期備份��,確保數(shù)據(jù)都能夠安全的儲存和使用。
2.3采用專業(yè)性解決方案保障網(wǎng)絡(luò)信息的安全
大型單位的資源比較龐大����,所以我們可以采取專業(yè)性的方案來進行網(wǎng)絡(luò)信息安全的防護。我們通過采用防火墻等技術(shù)防止木馬的侵襲��。一些比較大的單位一般下屬都會設(shè)有很多的分部門�����,但是對于每個部門來說有很多對于部門網(wǎng)站都不是進行統(tǒng)一管理的���。這就造成了每個小部門的網(wǎng)絡(luò)安全管理能力較弱���,容易成為攻擊和侵害的對象。
總結(jié)
新時代的計算機網(wǎng)絡(luò)信息安全管理正在不斷的想著完整性和系統(tǒng)性邁進�����。但是隨著計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展����,網(wǎng)絡(luò)安全技術(shù)存在的問題也逐漸得到提現(xiàn),需要我們關(guān)注�。有效的加強計算機網(wǎng)絡(luò)信息安全是非常重要的�,對于單位和個人來說都具有非常大的經(jīng)濟價值和社會價值��。
第7篇
關(guān)鍵詞:機房安全���;服務(wù)器��;數(shù)據(jù)庫
中圖分類號:TP393 文獻標(biāo)識碼:A文章編號:1007-9599 (2011) 08-0000-01
The Safe Operation Management Strategies of Enterprise Information Software System
Wang Huifeng
(SANYHE International Holdings Co.,Ltd,Shenyang110027,China)
Abstract:With the construction of enterprise information technology,information system security is also increasingly become increasingly important.With the expansion of network applications,business process applications in the network security risks are increasing,the intruder can attack the enterprise intranet,theft or other damage,which are on the corporate use of the network posed a serious security threat.This paper describes the enterprise information system security software applications to run management,from hardware management,software,security,fault handling different aspects of the management described.
Keywords:Computer room safety;Server;Database
一����、機房安全
企業(yè)應(yīng)根據(jù)自身特點為企業(yè)信息軟件應(yīng)用系統(tǒng)集中建立一個或多個專用機房�����,在機房中存放信息軟件應(yīng)用系統(tǒng)的服務(wù)器設(shè)備����、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備等相關(guān)硬件���。企業(yè)機房應(yīng)當(dāng)參照《國家標(biāo)準(zhǔn)電子計算機機房設(shè)計規(guī)范GB50174-93》進行設(shè)計與建設(shè)。
企業(yè)機房要進行24小時專人執(zhí)班���,保證機房的溫度�、濕度、供電��、防靜電��、防雷�、防火等環(huán)境符合要求。人員進出機房要進行登記��,外來人員不得隨意進入機房���。機房工作人員不得利用服務(wù)器從事工作以外的事情��。
二���、硬件設(shè)備安全
硬件設(shè)備系統(tǒng)是指為保證企業(yè)信息軟件應(yīng)用系統(tǒng)安全運行所涉及到的系統(tǒng)硬件設(shè)備安全。
(一)硬件范圍:主要包括系統(tǒng)數(shù)據(jù)庫服務(wù)器�、系統(tǒng)應(yīng)用服務(wù)器、系統(tǒng)前置機服務(wù)器���、磁盤陣列�、磁帶庫�、網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)交換機等�。(二)對于設(shè)計有冗余電源的設(shè)備��,應(yīng)當(dāng)在購置設(shè)備時配置N+1冗余電源���,減少設(shè)備因單電源失效引起的宕機事故的幾率。(三)企業(yè)信息軟件應(yīng)用系統(tǒng)中提供遠(yuǎn)程登錄的設(shè)備如服務(wù)器����、防火墻、交換機等��,密碼要由專人持有�,密碼設(shè)置要符合密碼復(fù)雜性要求,密碼要定期修改����。(四)系統(tǒng)管理人員要定期對企業(yè)信息軟件應(yīng)用系統(tǒng)所有硬件設(shè)備進行運行巡檢,檢查并記錄設(shè)備有無運行異常及告警信息�,巡檢過程中要由專人負(fù)責(zé)監(jiān)督。
三�����、網(wǎng)絡(luò)安全管理
網(wǎng)絡(luò)安全管理是指企業(yè)信息軟件應(yīng)用系統(tǒng)中的服務(wù)器設(shè)備所處的獨立網(wǎng)絡(luò)環(huán)境或企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)中心(IDC)網(wǎng)絡(luò)環(huán)境的安全�。
(一)網(wǎng)絡(luò)風(fēng)險范圍:主要包括企業(yè)信息軟件應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備運行情況及其策略管理����。(二)在企業(yè)信息軟件應(yīng)用系統(tǒng)的獨立運行網(wǎng)絡(luò)或企業(yè)數(shù)據(jù)中心(IDC)��,各網(wǎng)絡(luò)間開放最小量訪問策略���。(三)系統(tǒng)管理人員要定期與安全設(shè)備廠商保持聯(lián)系,及時更新設(shè)備廠商的安全補丁和升級程序����,使安全設(shè)備運行在最佳安全狀態(tài)下。(四)系統(tǒng)管理人員要定期對網(wǎng)絡(luò)設(shè)備進行安全檢查(建議每周一次)�����,并出具書面檢查報告��。
四�����、服務(wù)器系統(tǒng)安全管理
企業(yè)信息軟件應(yīng)用系統(tǒng)的軟件實現(xiàn)都要依托服務(wù)器設(shè)備來實現(xiàn)���。系統(tǒng)安全是指安裝在服務(wù)器上的操作系統(tǒng)軟件�、防病毒軟件和防火墻軟件的安全�����。
(一)根據(jù)應(yīng)用軟件系統(tǒng)的需求和服務(wù)器硬件架構(gòu)選擇安裝合適的操作系統(tǒng),服務(wù)器操作系統(tǒng)軟件應(yīng)當(dāng)定期更新操作系統(tǒng)的安全升級補丁���。(二)服務(wù)器應(yīng)當(dāng)安裝防病毒軟件����,系統(tǒng)管理人員要定期更新防病毒軟件更新補丁和病毒特征庫��。系統(tǒng)管理人員要為防病毒軟件定制自動病毒掃描策略����,定期檢查策略的執(zhí)行情況。(三)服務(wù)器應(yīng)當(dāng)安裝防火墻軟件����,系統(tǒng)管理人員要定期更新防火墻軟件更新補丁。系統(tǒng)管理人員要為防火墻軟件配置出入操作系統(tǒng)的防火墻安全防護策略���,阻止可疑的不安全防問��。
五�、應(yīng)用系統(tǒng)安全管理
(一)對數(shù)據(jù)庫用戶進行分類別管理,一類是數(shù)據(jù)庫查詢用戶��,一類是數(shù)據(jù)庫更改用戶���。數(shù)據(jù)庫更改用戶權(quán)限應(yīng)通過DBA管理員監(jiān)時分配,每次操作后由DBA回收用戶權(quán)限�,下次需要修改數(shù)據(jù),向DBA申請權(quán)限����。(二)禁止任何操作人員手工直接調(diào)整數(shù)據(jù)庫業(yè)務(wù)數(shù)據(jù)。(三)系統(tǒng)管理人員應(yīng)該為數(shù)據(jù)庫系統(tǒng)制定備份策略�����,選擇在數(shù)據(jù)庫負(fù)荷比較空閑的時間執(zhí)行備份��。(四)應(yīng)用系統(tǒng)服務(wù)器安裝了企業(yè)信息軟件程序�,是應(yīng)用系統(tǒng)的業(yè)務(wù)處理平臺,是用戶讀取和寫入數(shù)據(jù)的橋梁��。應(yīng)用服務(wù)器密碼要由專人負(fù)責(zé)持有����,不得轉(zhuǎn)讓他人,密碼要符合復(fù)雜性要求且定期修改。
六�����、系統(tǒng)數(shù)據(jù)備份管理
(一)系統(tǒng)管理人員要制定針對數(shù)據(jù)庫���、前置機服務(wù)平臺����、應(yīng)用服務(wù)平臺的詳盡的備份策略�。備份策略中應(yīng)包含文件系統(tǒng)備份,數(shù)據(jù)庫系統(tǒng)在線和離線數(shù)據(jù)備份�、日志備份。應(yīng)根據(jù)應(yīng)用系統(tǒng)數(shù)據(jù)的重要程度和應(yīng)用系統(tǒng)的工作負(fù)荷靈活制定數(shù)據(jù)備份的方式和執(zhí)行頻率��。(二)系統(tǒng)管理員應(yīng)定期檢查備份策略執(zhí)行日志����,檢查備份執(zhí)行情況。(三)所有備份數(shù)據(jù)的介質(zhì)集中保存在異地由專人保管����。每次備份介質(zhì)的交接要填寫交接記錄表。
七��、故障處理流程
在企業(yè)信息軟件應(yīng)用系統(tǒng)運行過程中,有可能會出現(xiàn)各種故障����,根據(jù)故障的嚴(yán)重程度可以進行分類。
一類為一般性故障��,該類故障主要是指應(yīng)用系統(tǒng)中部分設(shè)備出現(xiàn)故障不能提供服務(wù)�����、網(wǎng)絡(luò)訪問緩慢或暫時中斷等�,該類故障不會引起系統(tǒng)數(shù)據(jù)丟失�,不會造成全部用戶長時間不能訪問應(yīng)用系統(tǒng),處理時間相對較短��;另一類為災(zāi)難性故障�,該類故障主要是指系統(tǒng)因極端原因造成了系統(tǒng)宕機、數(shù)據(jù)丟失���、設(shè)備損壞等嚴(yán)重事故�����,該類故障會造成全部用戶長時間不能訪問應(yīng)用系統(tǒng)�����、數(shù)據(jù)可能會丟失��、處理時間相對較長�。
第8篇
長期以來,中國大多數(shù)企業(yè)的信息安全建設(shè)遵循“木桶理論”��,但實踐證明���,在企業(yè)信息安全領(lǐng)域應(yīng)用木桶理論仍存在一定缺陷��,很難實現(xiàn)“標(biāo)本兼治”�����。企業(yè)信息安全應(yīng)從安全策略���、安全管理體系、安全技術(shù)體系和安全運維體系四個方面建設(shè)一個完善的信息安全體系對企業(yè)的信息資源提供全方位的安全防護�����。整個安全體系以安全策略為核心���,管理��、技術(shù)�����、運維三者有機結(jié)合�����,又相互支撐�。三者之間的關(guān)系為“根據(jù)管理體系中的策略���,由相關(guān)組織或人員��,利用技術(shù)體系作為工具和手段����,進行操作來維持運行體系”�����。在建立信息安全體系的過程中�,可采用ISO27001:2005所述的“過程方法”�,即將“規(guī)劃(Plan)-實施(Do)-檢查(Check)-處置(Act)”(PDCA)四個步驟�����。
2安全策略
信息安全策略研究就是依據(jù)國家信息安全的方針政策���、法律法規(guī)和工作要求���,結(jié)合企業(yè)實際情況和管理要求,制訂企業(yè)信息安全防護的建設(shè)方針和基本要求��,對信息安全管理體系�、技術(shù)體系和運維體系中的各種安全控制措施和機制的部署提出目標(biāo)和原則,是信息化“建�、管、用”各項工作和各個環(huán)節(jié)必須遵守的安全規(guī)則���,也是針對每個系統(tǒng)和設(shè)備制訂分項安全策略的依據(jù)����。
3安全管理
信息安全管理可參照信息安全管理模型�,按照先進的信息安全管理標(biāo)準(zhǔn)ISO17799標(biāo)準(zhǔn)建立組織完整的安全管理體系并實施與保持,達(dá)到動態(tài)的����、系統(tǒng)的��、全員參與�、制度化的��、以預(yù)防為主的信息安全管理方式��。管理體系架構(gòu)可分為四層��,最高層為企業(yè)信息安全總體策略���,為下面的各項分策略和具體的規(guī)章制度提供指導(dǎo)�。第二層為企業(yè)信息安全組織體系�����,作用在于指導(dǎo)實施安全體系�����,制定安全的相關(guān)標(biāo)準(zhǔn)和方針�����,監(jiān)管安全事件等���。組織體系須設(shè)立專門的管理機構(gòu)����,配備相應(yīng)的安全管理人員���,明確主管領(lǐng)導(dǎo)�����,落實部門責(zé)任����,各盡其職�����。第三層為根據(jù)總策略��,對信息安全涉及的各方面制定有針對性的分項策略�,為安全的具體實施提供管理和技術(shù)上的指導(dǎo)。第四層為具體的安全管理制度����。
4安全技術(shù)
