信息安全與管理
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇信息安全與管理范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
信息安全與管理范文第1篇
1現有的問題
在許多醫院特別是三級甲等醫院常備的信息系統維護部門早已經具備,防火墻、網閘之類的邊界防護設備也早已經是標準配置,對由外部網絡對內部局域網的訪問隔離等功能亦是非常完備。然而縱觀近年來的各種官方、非官方渠道公布的各類醫療信息泄露事件,再結合自身的多年的信息系統管理實踐,筆者無奈地發覺,安全事件的發生,完全由黑客等群體從外部攻破防火墻等防護措施的事例實在是九牛一毛,在絕大多數事件中,都有醫院內部人員的身影,或獨自、或內外勾結竊取醫院數據用以牟利。當然,這并不是說想說明機構內部的員工是多么的不可信,絕大多數的同志還是好同志。筆者只是想指出系統內部的信息安全防護應該與外部邊界防護一樣重要。歸納了一些個人覺得較為普遍的安全問題如下。(1)網絡內部訪問終端數量龐大,有限人力下難以保證終端設備合法性和安全性。(2)缺乏標準化管理工具,導致管理效率不高。(3)對內部員工信任較高,對于其訪問權限管理粗放。(4)由于使用者對本身私有賬戶概念的不重視,私有賬戶成了公共賬戶,導致身份鑒別如同虛設。(5)相關管理制度缺失,或制度執行不到位,導致空有技術手段,卻無法部署到位。表面上看這是一個個獨立的問題,深入了看能發現這些問題背后是有關聯性的。出于各種原因,大部分醫院的信息部門可能只有寥寥數人,一人身負數職,難以做到專人專管,基于醫院的規模大量的人力都投入在了日常繁瑣的各類系統維護中。此既上述提到的第一點問題,結合第二點缺乏有效的管理工具,使得管理人員難以有精力對數量龐大的員工賬戶進行細致的權限分級管理。賬戶權限管理的混亂、低效,加上缺乏相關的管理制度及執行力又間接導致了員工為了完成工作相互“借用”賬號。長此以往惡性循環。
2解決方案與實現
為了解決這些問題,走出這個死胡同,筆者對這些問題進行了討論分析。制度缺失及使用者對私有賬戶重視的問題并非一朝一夕能夠解決,但現階段可以通過有效的技術手段來盡量彌補,那目前最為行之有效的方案是引入一套標準化信息管理平臺來改進多年來的網絡信息管理模式,幫助人們改善現狀。一套標準化管理平臺需要具備哪些功能才能夠達到人們的需求,結合資料收集及多次實地調研,筆者總結出以下一些想法。
2.1網絡準入控制
準入控制室此平臺應該必須具有的基本功能,是為用戶接入局域網的第一道關卡。其實傳統的802.1x協議也能實現此功能,但并不能全面滿足實際需求,實際部署時802.1x協議往往要求準入系統、交換機、客戶端均出自同一廠商,才能有較好的準入效果。其次它不支持多種終端類型,一般支持主流的Windows系統,對于其他非主流桌面操作系統的支持非常有限,難以保證各類型終端的合法性和安全性。同時它不支持非PC類終端,例如網絡打印機、網絡攝像機、IP電話等。首先,理想的準入控制系統應該能支持多種準入協議方式,如:802.1X、DHCP準入、IPAM準入、SNMP準入、RDP準入、網關準入等,這些準入方式可以在用戶環境中任意組合使用,提供更細顆粒度的安全策略。達到靈活的部署方式和全面部署的可能。支持各類主流操作系統。其次,盡可能不用更新網絡設備、不用改變現有網絡拓撲結構,尤其是主干結構的情況下,實現系統的靈活部署。再則,應能支持外部認證源,如:LDAP/CA/Radius/AD域認證。這里提一下在上海市交通大學醫院最后實現的實際應用場景中,認證功能與該院原有的AD域用戶認證系統完美的結合。目前在該院實現了一套賬戶各個應用平臺通用的狀態,包括局域網準入系統;院內郵箱系統;人事信息系統;辦公報告系統;HIS系統等。尤其是結合了人事信息系統后,由于其內嵌的工資查詢、個人信息等私密度較高的模塊,使得賬戶使用人對于自身私有賬戶的管理保密程度有了大幅度的提升,從技術層面上很大程度地解決了原先一個制度層面上的問題。多平臺的賬戶通用也使得員工免去了對多套系統不同賬戶密碼記憶上的繁瑣和困難,從而對新系統的接受度大大提高。最后,應能探測到終端設備的各類信息:IP、MAC、操作系統版本、上聯交換機端口等。通過多元素結合判定終端是否為合法合規設備,不符合安全要求的,將被隔離或者阻斷。
2.2終端安全管理
終端安全管理是指對計算機類終端的強控制,應能實現資產管理、外設管理、軟件下發、遠程協助等主要功能。各功能描述如下:終端健康檢查:檢查終端硬件信息、防病毒軟件、病毒庫版本、系統補丁、系統弱口令檢查等。終端外聯控制:可實現控制計算機的多種外聯方式,例如3G/4G網卡、各種撥號、多網卡、服務、靜態路由等,并可以與準入控制功能聯動隔離非法計算機終端。終端資產管理:自動收集計算機終端的硬件和軟件信息,管理員可以對計算機終端的硬件和安裝的軟件進行查詢,軟硬件信息變更告警和審計。終端外設管理:控制計算機終端硬件外設的使用,啟用或者禁用光驅、USB設備、打印機、Modem、串行并行口等等。終端軟件分發:可以向計算機終端分發指定的補丁、各種類型的安裝包、自定義文件。文件分發帶寬優化及控制,可自定義并發分發數量。終端遠程協助:管理員可以發起遠程協助,在用戶授權后,登錄用戶計算機終端桌面進行維護。
2.3網絡訪問控制
網絡訪問控制既是可以針對不同用戶/用戶組實現不同的訪問權限分配,達到不同員工的不同訪問需求。一般有兩種實現方式,一種是通過客戶端軟件實現,集成在安裝在終端上的客戶端軟件內,以安全策略形式實現基于用戶、終端、子網定義訪問控制。另一種是通過準入系統實現,系統服務器端在終端接入準入系統是直接向計算機終端下發訪問控制策略.
2.4實名制行為審計
這又是一個標準化信息管理平臺需要具備的一個基礎功能,對用戶的準入、退網、訪問目的、訪問端口等重要事件和時間節點進行記錄,結合目前日趨普及的堡壘機的操作行為錄像記錄功能,為網絡安全事件分析和審計、追溯提供重要的手段和依據。同時也應該要能提供包含安全事件、違規事件、入網用戶、入網終端、終端檢查等各類情況生產的可導出的統計報表。
2.5局域網可視化管理
這個功能主要是幫助管理人員提高工作效率,省卻部分命令行管理方式的負擔,在人力資源相對緊張的信息部門必不可少。實時網絡發現:自動化網絡數據收集,對接入局域網的設備進行實時或定期監視,能夠發現各種主流網絡類設備、服務類設備、終端類設備。自動化技術減輕管理員的工作量。IP地址管理:實時有效地對全網的IP地址進行管理和監控,簡化IP地址管理,減少手工IP管理工作。發現非法或者異常使用IP地址時,可以給出安全告警信息,供管理員分析、定位和排障使用。豐富的IP分配記錄和報表,以及靈活方便的搜索功能,提高IP地址管理效率。交換機管理:圖形化方式管理交換機端口,兼容SNMPV1/2/3協議,自動化顯示交換機端口下接的終端和設備信息。讓管理員一目了然的掌握端口的連接類型:Uplink、單臺終端、連接HUB等。與準入功能結合,即可提供端口級別的合規管理。與IP地址管理結合,可以提供故障、威脅定位的管理。
2.6局域網運行數據實施展現
許多網絡管理員可能都會碰到這樣的情況,大家管理著局域網,但對于局域網常常處于一種模糊的認識狀態。人們不能非常明確地知道局域網內現在有多少人、多少終端、什么人正在使用;不知道主干鏈路帶寬占用率現在是多少;不知道IP地址的使用情況;不知道是否有不合規的網絡設備(如:私帶的路由器、無線AP等)正在局域網內運行。當然人們可以通過使用不同的管理工具,使用多條操作指令分別去獲取所需要的數據,但如果有這樣一個平臺能自動化記錄一些這類的網絡主要運行數據,并實時展示,能一目了然地查看比較,顯然大家會很歡迎。
3結語
通過上述總結出功能需求,以此為據,經過多次、較長時間調查研究,測試試用,筆者最終確定了一套最大限度符合預計想法的標準化信息管理平臺。該院于2014年初正式將這套系統上線。經過半年多的使用,目前這套管理平臺運行平穩,并從根本上改變著該院的網絡管理模式,改善了曾經的管理難點。展望未來,會有越來越多的類似信息管理平臺涌現,功能更強大、策略顆粒性更細致化、與堡壘機整合實現更豐富的行為審計能力。更甚至吸收越來越多的單一管理工具的功能,實現統一界面接口的多領域的多元化的管理方式,自動化技術更多的引入,使運維人員的工作方式日趨便捷。這,也許正是一種趨勢。
參考文獻
[1]馮國登.計算機通信網絡安全[M].清華大學出版社,2001.
信息安全與管理范文第2篇
[關鍵詞]電力企業;信息安全;運行維護
doi:10.3969/j.issn.1673 - 0194.2016.16.000
[中圖分類號]TM73;TP309 [文獻標識碼]A [文章編號]1673-0194(2016)16-00-02
1 我國電力企業的信息系統存在的問題
1.1 電力企業的信息安全意識比較差
信息化給企業帶來的各方面積極作用已經被人們熟知和認可,然而,信息技術的作用在被人們關注的同時,信息化安全方面的問題層出不窮。安全問題出現的原因主要是由電力企業基層員工的安全意識較差造成的。近幾年來,隨著信息安全事件的不斷出現,電力企業的管理者加大了對安全問題的重視,其安全意識不斷提高,但是電力企業的基層員工對于信息安全的重要性認識還不足,造成了企業的信息安全問題依然不斷出現。一方面,電力企業信息安全問題直接影響企業的管理,對于基礎員工的直接影響較小,因此,對于信息安全問題電力企業的管理者比較敏感,電力企業的基層員工的安全意識比較差。另一方面,電力企業的管理層雖然提高了對信息安全問題的重視,但是卻很少有企業制定切實可行的規章制度或者解決措施,更沒有把相關的規章制度有效的執行下去,落實到企業每個員工的身上,因此,電力企業的基層員工對于信息安全的認識不足,安全意識相對較差。
1.2 電力企業信息系統的技術性較差
信息技術隨著社會的進步在不斷的革新。因此電力企業的信息系統必須要隨著信息技術的進步不斷的變化,由此可知,電力企業的信息系統是動態的發展過程,因此,電力企業在應用全新的信息系統的過程中難免存在技術缺陷,這就為電力企業日常的經營與管理埋下了安全隱患,一旦出現安全問題,企業的重要信息資源可能被盜取,直接影響企業的經濟利益以及長期穩定的發展。例如:TCP/IP協議設計如果不夠全面、科學就會直接導致信息系統的軟件和硬件存在安全隱患,嚴重時會導致企業的軟件崩潰,企業的重要信息資源也將瞬間化為烏有,影響企業的日常管理,對于企業長期穩定的發展非常不利。
1.3 信息系統的管理水平相對較低
信息系統安全問題給電力企業帶來的危害是巨大的,這一點已經引起了電力企業管理層的高度重視,然而,目前電力企業的信息系統管理水平不是很高,企業管理中的漏洞給信息系統帶來了很多問題;部分管理人員在管理信息系統的過程中疏忽大意,增加了企業信息系統安全問題發生率;信息操作人員的操作程序不規范,一旦信息系統出現問題,企業的管理者不能第一時間知道是哪個程序出現了問題,從而不能及時解決信息安全問題,最終可能影響到企業的信息安全,給企業帶來巨大的損失。
1.4 電力企業信息系統集成性低
電力企業的業務部門相對較多,各個部門之間缺乏必要的溝通和有效的滲透,因此,企業信息系統的集成性較低。企業的信息系統中,各個部門的相關業務相互獨立,相互之間缺乏聯系,使得企業的信息系統中各個部門之間的數據信息存在很大的差距,各種信息的相關性不高,數據信息之間的聯系非常小,信息數據不能有效地銜接在一起。最終使企業信息化缺乏整體性,信息化應用的最終目的不能實現,電力企業及時信息化程度非常高,難以實現信息化給企業帶來的優勢。
2 加強電力信息安全運行維護與管理的措施
2.1 提高企業信息安全意識,不斷完善企業的安全管理制度
電力企業必須認識到應用信息技術的前提就是要保證企業信息的安全性,如果不能有效地保證企業信息的安全,那么電力企業應用信息技術的初衷將不能很好的實現。為了有效提高企業的安全意識,首先,電力企業的管理者人員應該加強對企業員工信息安全知識的教育,讓每個工作人員都能意識到信息安全的重要性,積極地為企業提高信息安全出謀劃策。其次,電力企業應該積極地學習西方先進的安全防范措施,根據自身的實際情況制定有效的措施。最后,電力企業應該制定完善的安全管理制度,合理保證企業信息的安全性。在制定安全管理制度的過程中一定要保證責任到人,一旦出現信息安全問題,電力企業能夠第一時間找到問題的所在,及時解決相關問題,同時還能追究直接責任人的相關責任,保證企業安全制度落實到實處。
2.2 提高信息系統技術水平
面對技術缺陷,電力企業應該積極的提高信息系統的技術水平,采取有效措施避免系統缺陷導致的安全問題。首先,電力企業應該設置有效的應急措施,一旦信息系統出現技術上的問題,必須要保證信息的完整性,防止不法分子利用技術缺陷來危害企業的信息系統。例如:企業可以安裝自動報警系統,一旦發現有人利用技術缺陷盜取企業的數據信息,第一時間報警,讓相關人員采取應急措施防止企業信息泄露。其次,電力企業應該不斷提升信息系統的技術水平,加強對信息技術的研究與探索,利用高級、精密、尖端的技術來規避企業信息系統中的技術缺陷,保證企業信息的安全。再次,電力企業要加強網絡防護技術在信息系統中的應用,安裝IDS以及IPS技術系統加強企業信息系統的網絡防護能力。最后,電力企業應該啟動安全審計系統,對企業信息系統進行嚴格的審計,一方面,企業能夠第一時間發現信息系統的問題,及時解決相關問題;另一方面,通過審計系統的分析,企業能夠全面了解信息系統的運行情況,幫助企業更好地查看信息系統的運行狀況。
2.3 提高信息管理的水平
電力企業的管理者在重視信息安全問題的同時,必須加強對信息的管理,提升企業的信息管理水平。制定嚴格的工作責任制,一旦發現信息安全問題,做到責任到人,防止管理人員由于麻痹大意而導致的信息安全問題。作為信息管理人員,如果自身的管理范圍內出現了信息安全問題,企業一定會追究其管理責任,這對于提高管理人員的警惕性,減少其麻痹大意的作用非常有效。電力企業對于信息系統的操作人員要進行定期培訓,強調信息操作標準的重要性,對于不嚴格按照信息操作標準操作的工作人員進行嚴厲處罰,情節嚴重的給予開除。另外,電力企業要加強對信息系統的維護,及時修復信息系統的漏洞,提高企業的信息管理水平。
2.4 提升電力企業信息系統的集成水平
信息系統的集成性是指企業在一定的技術指導下,能夠實現對企業各個部門的有效調配,從整體上掌握企業日常運行情況以及企業在日常管理中存在的問題,滿足客戶對于企業的不同需求,在提高企業管理水平的同時,實現企業的高速發展。電力企業針對目前集成水平低的問題,必須要引起高度重視,采取有效措施提高企業集成水平。首先,電力企業應該加強各個部門之間的溝通與聯系,保證企業各個部門數據信息的銜接度。其次,電力企業應該加強企業信息系統的一體化建設,站在企業的高度對企業中的財務系統、生產系統以及辦公系統進行統一的管理與應用,提升企業信息系統的集成水平。
3 結 語
電力是我國經濟發展的基礎。電力企業必須擁有足夠的安全意識,保證企業長期穩定的發展。我國電力企業采用信息技術來幫助企業更好的運營和管理是很有必要的,其出發點與落腳點都非常符合我國市場經濟發展的要求。然而,如果電力企業的安全防范不能及時地跟上企業信息技術的應用步伐,那么電力企業應用信息技術的目的不但不能實現,很可能會適得其反,使電力企業降低經濟效益。
主要參考文獻
信息安全與管理范文第3篇
關鍵詞:校園網 信息安全網絡管理
一、引言
隨著校園網絡建設的不斷發展,學院在教學、管理、科研以及對外信息交流等多方面對校園網的依賴性日漸增強,以網絡的方式來獲取信息、存儲信息和交流信息成為學院教師和學生使用信息的重要手段之一。然而,就目前的網絡運行狀況來看,校園網信息安全問題日益突出,網絡的穩定性依然較差,因此,加強校園網的管理,確保校園網安全、穩定、高效地運行,使之發揮其應有的作用已成為當前校園網應用中一個亟待解決的課題。
二、校園網信息安全的研究思路
校園網是一個直接連接互聯網的開放式網絡,校園網用戶的層次差異較大,校園網的信息安全與用戶的安全意識和技能緊密相關,校園網的校園網的信息安全從總體結構上可分為,校園網主干網設備和應用的安全和校園網用戶的安全應用兩個部分。對具體的信息安全問題的研究,能有效的解決校園網中的信息安全隱患,從而確保校園網安全,穩定、高效地運行。
(一)校園網邊界安全
校園網邊界安全就是確保校園網與外界網絡的信息交換安全,既能保證校園網與互聯網進行正常的信息通訊,又能有效地阻止來自網絡的惡意攻擊,如端口掃描、非授權訪問行為、病毒、不良網站等。
(二)系統漏洞的修補
校園網的網絡運行環境較為復雜性是一個由多用戶、多系統、多協議、多應用的網絡,校園網中的網絡設備、操作系統、數據庫、應用軟件都存在難以避免的安全漏洞。不及時修補這些安全漏洞,就會給病毒、木馬和黑客的入侵提供方便。
(三)校園網計算機與存儲設備的安全
校園網計算機和存儲設備中存儲了大量的信息,如學生檔案,教學課件、考試題庫、學生作業、網站數據、辦公文件等。由于設備配置、應用和管理上的問題存在較大的信息安全隱患。如設備無分級管理、使用公共帳戶和密碼、操作人員無信息安全常識等。
(四)校園網計算機病毒控制
計算機病毒是校園網安全隱患之一。必須做到有效控制。選擇適合的殺毒手段和相應軟件可以對服務器、接入計算機、網關等所有計算機設備進行保護,殺毒軟件可以對郵件、FTP文件、網頁、U盤、光盤等所有可能帶來病毒的信息源進行監控、查殺和攔截。計算機病毒控制要防殺結合以防為主。
(五)校園網維護管理
校園網的硬件環境建設完畢后,一項重要的工作就是做好校園網的維護工作。校園網的安全運維需要有一個校園網安全運營中心,通過強化安全管理工作,對校園網不同教學場所設備、不同計算機系統中的安全事件進行監控,匯總和關聯分析,提供可視化校園網安全狀況展示。針對不同類型安全事件提供緊急應對措施。實現校園網絡集中安全管控,保護校園網絡數字資產安全。
三、確保校園網信息安全的具體蕾理措施
(一)優化結構,合理配置,加強監管
使用硬件放火墻,防火墻可在校園網與外界網絡之間建立一道安全屏障,是目前非常有效的網絡安全模型,它提供了一整套的安全控制策略,包括訪問控制、數據包過濾和應用網關等功能。使用放火墻可以將外界網絡(風險區)與校園網(安全區)的連接進行邏輯隔離,在安全策略的控制下進行內外網的信息交換,有效地限制外網對內網的非法訪問、惡意攻擊和入侵。
安裝入侵檢測系統,入侵檢測系統是放火墻的合理補充,能夠在放火墻的內部檢測非法行為,具有識別攻擊和入侵手段,監控網絡異常通信,分析漏洞和后門等功能。
使用VLAN技術優化內部網絡結構,增強了網絡的靈活性,有效的控制了網絡風暴,并將不同區域和應用劃分為不同的網段進行隔離來控制相互間的訪問,達到限制用戶非法訪問的目的。
使用靜態I P配置。檢測網絡中I P應用狀況,并將I P+MAC地址進行綁定,防止特殊IP地址被盜用。對計算機特別是服務器的訪問必須進行安全身份認證,非認證用戶無法進行訪問。
使用網絡管理軟件,掃描和繪制網絡拓撲結構,顯示路由器與子網、交換機與交換機、交換機與主機之間的連接關系,顯示交換機各端口、使用情況和流量信息,定期對客戶端流量、分支網絡帶寬流量進行分析,并進行數據包規則檢測,防止非法入侵、非法濫用網絡資源。加強接入管理,保證可信設備接入。對新增設備、移動設備和移動式存儲工具要做到先檢測后接入,做好網絡設備的物理信息的登記管理,如設備的名稱、設備樓層房間號、使用部門、使用人、聯系電話等。做到遇故障能及時準確地定位和排查。
(二)提高認識,規范行為,強化應用
網絡安全涉及到法律、道德、知識、管理、技術、策略等多方面的因素,是一個有機的結合體。因此,在做好技術防護和網絡管理的同時,要把樹立信息安全意識提高到一個新的高度。并從環境、自身、產品和意識等方面出發,逐個解決存在的問題,把可能的危險排除在發生之前。對于校園網用戶來說,要進一步提高網絡信息安全意識,加強關于計算機信息安法律知識的學習,自覺規范操作行為,同時掌握一些有關信息安全技術和技能。來強化我們的應用能力。具體可從以下幾個方面入手。
建議在系統安裝時選擇最小化,而多數用戶采用默認安裝,實際上不少系統功能模塊不是必需的,要保證系統安全,需遵循最小化原則,可減少安全隱患。
及時對系統進行漏洞掃描、安裝補丁程序。為提高補丁程序的下載速度,可在校園網中部署微軟自動更新服務器來提供客戶端補丁自動分發。在安裝補丁程序前一定要仔細閱讀安裝說明書,做好數據備份等預防工作,以免導致系統無法啟動或破壞等情況。
操作系統安裝完成后,要對系統的安全策略進行必要的設置。如登錄用戶名和密碼。用戶權限的分配,共享目錄的開放與否、磁盤空間的限制、注冊表的安全配置、瀏覽器的安全等級等,使用系統默認的配置安全性較差。
使用個人防火墻,個人防火墻足抵御各類網絡攻擊最有效的手段之一,它能夠在一定程度上保護操作系統信息不對外泄漏,也能監控個人電腦正在進行的網絡連接,把有害的數據拒絕于門外。
使用反病毒軟件,目前互聯網上的病毒非常猖獗,達幾萬種之多,傳播途徑也相當廣泛。可通過u盤、光盤、電子郵件和利用系統漏洞進行主動病毒傳播等,這就需要在用戶計算機上安裝防病毒軟件來控制病毒的傳播。在單機版的防病毒軟件使用中,必須要定期或及時升級防病毒軟件和病毒碼特征庫。
信息安全與管理范文第4篇
個人資料成為在網上販賣的“商品”,莫名其妙接到推銷人員的電話……個人信息頻頻受到侵犯的現象近年來已引起廣大群眾的極大反感,甚至有人因此受到詐騙、敲詐勒索等侵害。但人們對非法獲取和提供自己資料的不法分子卻無可奈何。
2011年深圳警方抓獲了一名販賣嬰兒信息的女子,其販賣的信息當中記載了深圳15萬名新生嬰兒的詳細資料,還搜查出深圳樓盤業主、車主名單等數十萬份個人信息。
2012年3月20日,北京警方宣布成功破獲CSDN網站用戶數據泄露案,被公開的疑似泄露數據庫26個,涉及賬號、密碼信息2.78億條,嚴重威脅互聯網用戶的合法權益。在2009年刑法修正案(七)中,雖然確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名,首次將公民個人信息納入刑法保護范疇,但未明確該罪的具體界定標準,且追究的犯罪主體只是“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”,法律對信息泄露者的懲罰機制還遠遠不夠。
據國家互聯網應急中心《2011年我國互聯網網絡安全態勢綜述》顯示,近年來以用戶信息泄露為代表的與網民利益密切相關的事件頻發高發,“輕傷”者被垃圾信息“攻擊”,“重傷”者財物、名譽雙雙受損,引起公眾對網絡安全的廣泛關注。
“三律”加強個人信息安全防御
面對垃圾短信和洗錢、詐騙等違法違規信息推送以及網絡上辦假身份證騙取銀行信用卡惡意透資、盜取他人賬戶資金等種種亂象,如何全面加以防范和打擊已經迫在眉睫。
針對個人信息泄露的三種主要渠道:一是用戶的電腦或手機被木馬軟件劫持;二是個人信息在互聯網傳輸的過程中,經過一些傳輸路由時被他人控制;三是網站運營或信息管理機構對個人信息沒有盡到妥善保管的義務,在使用過程當中把個人信息泄露出去。與技術因素相比,網站運營或信息管理機構泄露用戶信息已經成為侵犯個人信息安全更為重要的原因。必須從源頭加以治理,堅持法律、他律與自律三律并施的原則,切實加強個人信息安全防護。
健全法律。工業和信息化部副部長楊學山日前在“2012中國個人信息保護大會”上指出:“個人信息安全已成為目前網絡發展的重要問題,加強相關法律法規建設具有重要意義”、“個人信息安全是重要的問題,與網絡秩序、社會的穩定與安定均息息相關,個人信息在網絡上的集中度越來越高,法律建設的相關環節也就更加具有重要的地位”。立法保護個人信息,是國際上通常的做法。目前世界上已有50多個國家和組織制定了個人信息保護的相關法規和標準。而在我國,雖有近40部法律、30余部法規和近200部規章涉及個人信息保護,2009年《刑法》將泄露個人信息入罪,《民法通則》中也有關于個人隱私的條例,但這些法律法規條例零散、抽象,在現實中普遍缺乏可操作性。《個人信息保護法》初稿已出臺6年,但至今未進入正式立法程序。加快推動個人信息保護立法進程,成為社會共識。
加強他律。掌握公民信息的,往往是具備政府管理職能和提供公共服務的機構及社會團體組織,他們掌握著80%以上的個人信息,80%以上的個人信息往往也經由他們泄露出去。因為單憑個人沒有如此強大的信息收集能力,只有這些單位趁著工作上留存公民信息的需要而使工作人員有違規操作的可能。因此,各級信息安全工作主管部門必須切實加強對政府機關、公共事業單位和社會團體等組織的信息安全監管,督促其在做好信息系統等級保護和風險評估工作的基礎上,切實加強對員工的信息安全管理,促其管束好工作人員遵守職業道德,不趁職務之便而謀利。
嚴格自律。網民在利用即時通訊工具聊天、在電子商城購物或在交友開博過程中,不知不覺中已經將個人信息存儲在網站運營商的服務器中,這些個人信息不僅涉及個人姓名、性別、身份證、電話、郵箱等內容,甚至包括個人銀行卡、支付密碼、家庭住址等更為私密的內容,而公眾所熟悉的殺毒軟件重點在保護用戶端的電腦安全,對于存儲在運營商服務器上的數據安全鞭長莫及。新近提交審批的《信息安全技術、公共及商用服務信息系統個人信息保護指南》,提出個人信息在收集、加工、轉移、刪除4個主要環節中所要遵循的基本原則、注意事項,應引起個人信息提供者與使用者的高度重視并嚴格執行。作為個人,要做到不該上的網站不上、不該提供的信息不提供;作為機構,要做到不該征集的信息不征集、使用后不該存儲的信息不留存。
“三建議”提升個人信息防護對策
個人信息安全防護是一項系統工程,政府部門作為公民個人信息最大的擁有者,首先應高度重視在個人信息應用方面的管理,為公民網上活動和互聯網產業發展提供良好的法律環境。同時,相關企業要加強技術管理,條件成熟時還可設立企業首席隱私官,專門負責處理與用戶隱私權相關事宜。而普通大眾也要提高個人信息安全保護的意識和能力,防范網絡行為可能帶來的潛在風險。筆者結合從事信息化與信息安全工作的實踐,提出以下建議:
加強學習,強化意識。首先要認真學習修訂后的《保守國家秘密法》,深刻領會并全面掌握結果論為行為論的核心要義,嚴守12條禁令,不碰紅線、高壓線;按照“四個不得危及、三個不得公開”的原則,處理政務信息公開工作;其次要做好網絡技術防范管理,嚴格遵照《江蘇省信息化條例》要求,在信息化規劃與建設、信息資源共享與開發利用、信息產業發展與技術推廣應用、信息安全保障及其相關管理活動中,逐一落實到位。尤其是信息安全保障系統應當與信息化工程項目同步規劃、同步建設、同步運行,使用財政性資金建設的信息網絡和信息系統投入使用前,應當進行信息安全登基保護和信息安全風險評估。
加強管理,強化責任。推進黨政機關和公共服務系統“網站域名、網絡接入、網絡終端、網站運維、網絡安全”規范化建設,建章立制、層層落實、責任到人,公務人員個人工作電腦與IP地址、MAC地址實施捆綁且規定只允許處理公務;規范個人桌面終端管理,不得隨意下載與工作無關的應用軟件和文檔資料,密級電腦禁止連接互聯網,不在連接互聯網的電腦上起草敏感重要材料;不同密級設備不混用,同密級移動U盤在同密級電腦間使用。
信息安全與管理范文第5篇
網絡會計信息安全系統主要是通過互聯網絡技術的現代企事業會計信息系統,采用聯機實時操作,從而實現多元化報告,并能形成主動提供與主動獲取相結合的人機交互信息使用綜合體。網絡會計信息安全系統的發展能夠為會計信息使用者提供實施經濟管理與決策的有效準確信息。而在網絡會計時代,網絡會計信息安全系統作為會計信息媒介,承載著會計信息的存儲與傳遞功能,而網絡會計信息安全系統的信息安全問題也成為網絡會計信息數據的安全問題。網絡會計信息安全系統以互聯網技術作為核心,也受到網絡開放性與共享性的影響,網絡系統的安全容易受到病毒、黑客的威脅,因此在網絡會計信息安全系統的應用過程中,應當明確認識到網絡會計信息安全系統的信息安全隱患,將信息載體由紙介質轉變為磁性介質,需要提升磁性介質的要求和載體信息的依賴性,在檔案保存和信息存儲過程中具有較高風險。
二、網絡會計信息系統安全存在的問題
1.黑客安全隱患。
在全面開放的網絡環境中,網絡會計信息系統也存在多種安全隱患,病毒和黑客攻擊的安全隱患,由于互聯網的開放特征,網絡會計信息系統通過互聯網的計算機系統可以共享信息資源,也給非善意訪問者提供了方便。黑客攻擊是互聯網系統的重要威脅,重要信息被盜取和網站的崩潰,都會對網絡會計信息系統造成嚴重影響。而計算機病毒也會給網絡會計信息系統帶來重大威脅,從原始的木馬程序到后來的CIH等病毒的肆虐,病毒制造技術發展的同時,也使得病毒具備了更大的破壞力,網絡軟件自身程序的不穩定因素也會為網絡系統帶來眾多隱患。
2.信息安全隱患。
隨著網絡技術的不斷發展,整個社會的經濟生產結構和勞動結構都受到網絡技術的影響作用,在企事業管理模式方面,也由傳統的的企事業管理模式和財務管理模式與網絡技術相結合,網絡會計信息安全系統便是傳統財務管理模式與網絡技術的結合,通過互聯網技術的開放性和共享性,實現在線財務管理、遠程財務處理、網上財務查詢和網上支付等功能,并最終實現企事業資金與信息的高度統一,有利于企事業管理者實施經濟管理與決策的有效準確信息。財務信息是反映企事業財務經營成果和財務狀況的重要依據,設計到企事業內部上機密的財務信息若是遭到泄露、破壞和意識,會對企事業財務管理造成嚴重影響,不利于企事業財務管理工作的正常運行。
3.檔案安全隱患。
網絡會計信息系統的財務實施需要依靠相應的財務軟件才能完成,而這些財務軟件主要包括單機版、局域網絡版財務軟件和硬件系統兩個方面,而財務軟件的全面升級,也會導致這些網絡財務軟件不-定能夠兼容難財務軟件,由于數據格式問題、數據庫問題、接口問題等原因,以前的財務信息無法被錄人網絡財務系統中。而會計檔案更是無法兼容,導致新的網絡財務系統無法查詢原有的財務信息,給會計檔案工作帶來了失效風險。
4.內部安全隱患。
傳統的會計系統對于業務活動的使用授權標準具有較高合法性、職責性和正確性的要求,而網絡財務管理工作中,財務信息的存儲和處理集中在互聯網絡,許多的會計業務相互交叉,而互聯網絡信息資源的共享,在加大財務信息復雜程度的同時,也加快了會計業務的交叉速度,導致傳統會計系統中某些內部控制機制失效。
5.人才安全隱患。
企事業網絡會計信息系統實施之后,需要高技術、高層次的復合會計人才的運作與支持,否則企事業網絡會計信息系統無法充分發揮其功效,網絡財務與電子商務的發展,也暴露出這部分人才的欠缺現狀,如果企事業在沒有找到合適人才時就盲目實施網絡會計信息系統財務工作,會使網絡會計信息系統的安全問題更為突出。
三、網絡會計信息系統的安全管理
1.安全策略。
企事業網絡會計信息系統財務工作的加強,需要建立相應的安全策略,從而降低網絡會計信息系統的安全隱患,保障企事業財務工作的開展。而安全則略主要是企事業設立的相應制度規范,對加強對網絡會計信息系統的管理工作方面,企事業的全體人員都應當自覺遵守策略中的規定,更有效的管理網絡會計信息系統,保證網絡會計信息系統的正常運行。并且企事業安全策略在制定過程中一定要明確對企事業工作人員的職責進行規劃,將網絡會計信息系統中的各類信息資源進行合理的保護,并明確指出企事業所要保護信息的目標,讓企事業網絡會計信息系統安全策略能夠與企事業人員的日常操作相結合,提升企事業人員對網絡會計信息系統安全問題的重視程度。
2.人員安全管理。
企事業應當制定網絡會計信息系統方面的系統操作手冊,從而對管理人員的操作進行規范,讓管理人員能夠認識到網絡會計信息系統的重要性,并認真的按照標準進行執行操作。企事業也需要建立相應的監督機制,對管理人員的日常工作進行監督,保證網絡會計信息系統的正常運行。
3.安全保障體系管理。
