信息安全的管理
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇信息安全的管理范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
信息安全的管理范文第1篇
檔案信息化是當今世界檔案管理的大趨勢,是檔案能較大發揮信息功能以推動社會發展和變革的必然之事.檔案信息安全問題是檔案信息化建設中面臨的最重要的問題.確保檔案信息化建設中檔案信息安全是擺在全體檔案工作者面前的嶄新課題。隨著中圍特色社會主義建設日新月異的發展,我聞檔案事業得到了前所末有的迅速發展,然而,在我國檔案管理體系中,由于檔案資源數量龐大、管理層次復雜、發展不盡平衡等原因,一些地方檔案事業管理還存在諸多問題,檔案安全問題就足其中之一。
一、檔案信息安全應注意的問題
檔案信息化建設是以轉變觀念為前提的創新性檔案工作,當前絕大多數單位的檔案管理人員習慣于傳統式的手工管理,檔案管理人員中缺乏信息技術專業知識,對信息化條件下檔案安全管理缺乏有效的智力支持,其安全理念仍停留在防盜、防火、防潮等傳統紙質檔案的安全管理層面,信息安全觀念淡薄,孰知隨著信息技術在檔案工作中的應用,檔案數字化和網絡化工作的不斷推進,檔案安全管理面臨新的挑戰。
1、病毒威脅。在檔案信息化工作的信息安全問題中,計算機病毒發生的頻率高,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞,系統數據和文件系統破壞,系統無法提供服務甚至破壞后無法恢復,特別是系統中多年積累的重要檔案數據的丟失,損失是災難性的。
2、網絡威脅。隨著信息技術在檔案管理工作的應用不斷推進,檔案管理逐步向信息化和網絡化發展,網絡的應用規模和覆蓋范圍不斷擴大,如何保證網絡安全已成為檔案信息化工作中重點之一。
1、網絡結構的安全分析。網絡拓撲結構設計也直接影響到網絡系統的安全性。假如在外部和內部網絡進行通信時,內部網絡的機器安全就會受到威脅,同時也影響在同一網絡上的許多其他系統。透過網絡傳播,還會影響到連上Internet/Intrant的其他網絡。因此,我們在設計時有必要將公開服務器(WEB、DNS、EMAIL等)和外網及內部其它業務網絡進行必要的隔離,避免網絡結構信息外泄;同時還要對外網的服務請求加以過濾,只允許正常通信的數據包到達相應主機,其它的請求服務在到達主機之前就應該遭到拒絕。
2、系統的安全分析。所謂系統的安全是指整個網絡操作系統和網絡硬件平臺是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統可以選擇,無論是Microsfot 的Windows NT或者其它任何商用UNIX操作系統,其開發廠商必然有其Back-Door。因此,我們可以得出結論:沒有完全安全的操作系統。不同的用戶應從不同的方面對其網絡作詳盡的分析,選擇安全性盡可能高的操作系統。因此不但要選用盡可能可靠的操作系統和硬件平臺,并對操作系統進行安全配置。而且,必須加強登錄過程的認證(特別是在到達服務器主機之前的認證),確保用戶的合法性;其次應該嚴格限制登錄者的操作權限,將其完成的操作限制在最小的范圍內。
3、應用系統的安全分析。應用系統的安全跟具體的應用有關,它涉及面廣。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性,包括很多方面。信息的安全性涉及到機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。在有些網絡系統中,涉及到很多機密信息,如果一些重要信息遭到竊取或破壞,其經濟、社會影響和政治影響很嚴重。
4、管理的安全風險分析。管理是檔案信息化安全中最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網絡出現攻擊行為或網絡受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生后,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
二、安全的環境為檔案信息的快速發展提供土壤
安全的電子信息技術的快速發展。為信息的技術、為計算機的網絡技術提供了較多的便捷,極大的方便了檔案信息的管理。現代的檔案管理,隨著電子文件以及檔案信息技術的提高,對檔案的管理逐步趨向數字化與網絡化,然而數字檔案的管理仍面臨嚴重問題,例如,面臨計算機的蓄意破壞、詐騙以及間諜威脅、遭受黑客的侵害等問題,如何在合理利用電子技術、又不遭受信息的威脅、確保檔案信息的安全等問題,成為現代電子信息安全化關注的重點。數字檔案信息安全管理所面臨的問題數字檔案的信息,指的是利用現代的信息技術方法或者手段,對國家以及社會組織中較有價值的、重要的檔案歸檔并整理之后,用計算機對其數據進行系統存儲、可通過網絡上傳、利用,并以數字為代碼,進行對文字或者是圖像及聲音的記錄的過程。
三、檔案信息安全管理制度的建立
建立健全檔案信息安全管理制度,“三分技術,七分管理”盡管不是十分的準確,但任何一個信息系統的安全,在很大程度上依賴于最初設計時制定的網絡信息系統安全策略及相關管理策略。因為所有安全技術和手段,都圍繞這一策略來選擇和使用,如果在安全管理策略上出了問題,相當于沒有安全系統。同時,從大角度來看,網絡信息系統安全與嚴格、完善的管理是密不可分的。在網絡信息系統安全領域,技術手段和相關安全工具只是輔助手段,離開完善的管理制度與措施,是沒法發揮應有的作用并建設良好的網絡信息安全空間的。
信息安全的管理范文第2篇
多年來,許多組織大部分專注于病毒、垃圾郵件、混合威脅以及間諜軟件所代表的外部威脅。根據IDC的報告,全球信息安全遵從性和控制市場的價值在2005年大約是57.9億美元,而在2010年這一價值將達到149.2億美元。 在邁克菲近期的2007年十大威脅中,研究人員發現了創建惡意軟件的專業和有組織的犯罪不斷增長的證據,這些網絡犯罪都有一個負責創建惡意軟件的團隊,并且測試和自動生成及傳播。
構建風險管理戰略
IT管理人員每天都會接到有關系統漏洞、新軟件漏洞或新惡意代碼的警報,所有這些警報的安全級別很難一下子判斷出來。因此,結果往往是 IT 人員不由自主地被這類事務牽著鼻子走,采取既耗時又費力的行動,比如查漏洞、打補丁等。然而,這些行動不見能夠真正起到防護的作用。
安全風險管理可以為企業提供必要的流程來提高安全性和法規遵從性。安全風險管理的實施離不開CIO、IT 操作人員、網絡安全人員及業務主管人員的通力協作。由于有些系統和應用程序更容易暴露在風險之中,而IT部門無法獨自確定企業可承受的風險等級。因此,IT 和業務管理人員需要通力合作來幫助企業確定資產優先級和最大限度地降低風險。
安全團隊可以建立明智的風險管理戰略,使有限的資源可以集中于應對企業面臨的最大威脅。任何公司都不會有足夠多的財力和人力用于完全消除其與 IT 相關的潛在風險。因此,將所面臨的各種風險量化,然后據此確定安全投資的優先順序勢所必然。
新模型的三要素
為了量化風險并確定補救措施的優先順序,目前業內比較前沿的一個模型從三個方面測量風險:資產價值、資產易受攻擊程度以及各種現實威脅。
資產價值:每分鐘需處理價值數千美元交易的服務器顯然要比客戶服務代表的桌面機更為重要。因此,制定降低風險的明智戰略需要清楚了解整個企業中各類 IT 資產所代表的企業價值。
資產易受攻擊程度:除具有不同的企業價值外,IT 資產存在其固有的不同程度的軟肋。提供公共網頁的系統比起根本就不連接到 Internet 的系統來,肯定更容易受到攻擊。鎖在配線櫥柜中的交換機要比距離公司安全數千英里遠的膝上電腦更安全。
現實威脅:安全團隊還必須清楚了解任何現有資產所面臨的各種現實威脅。雖然運行在舊式系統上的舊應用程序可能對公司具有很高的價值,但它們受威脅的可能性會更小一些,因此對公司來說,它們所面臨的風險可能要比運行在 Windows 或 Linux 上的應用程序所面臨的風險要小很多。
把這三個因素結合起來考慮,安全團隊就能準確了解企業最大的威脅存在于何處,并據此確定風險緩解行動的優先順序。風險可以通過綜合考慮資產的企業價值、其固有的易受攻擊程度以及它實際面臨的各種威脅的強度計算出來。除了解具體的風險等級外,安全團隊還可以拓寬解決 IT 相關風險的視角,以便顯著增強其措施的有效性。Kurtz 提出了四種可能的風險管理戰略:風險減輕、風險接受、風險轉移和風險回避。風險減輕:這通常是人們碰到風險時頭腦中的第一反應,它包括安全團隊針對威脅所采取的各種應對措施;接受風險:如果解決風險的成本大于風險本身,或者解決該風險將使資源無法用來解決更為嚴重的風險,合理的行動可能就是接受該風險;風險轉移:在某些情況下,當將風險轉移給第三方(如,保險公司)比將有限的資源用于可能并不能產生明顯效果的風險減輕行動時,采取前一種方式是更為審慎的選擇;規避風險:有時還會碰到這樣一些情況,不僅風險的等級很高,而且解決該風險的成本也達到了無法接受的地步。在這種情況下,最好的辦法是完全規避風險,撤掉可能會帶來這樣風險的系統,或者不將其部署在最重要的位置。
信息安全的管理范文第3篇
一、檔案的創新管理
1、健全檔案管理制度
檔案管理應有章可循,規范操作,因此,一套完善且行之有效的檔案管理制度尤為重要。檔案管理制度要體現合理性、科學性,以便更好地發揮其規范引導作用。作為檔案管理人員要強化檔案管理意識,遵守檔案管理制度,嚴格檔案管理程序,及時、準確地收集檔案資料,努力做到檔案信息收集齊全完整、內容真實可靠。對于新信息要及時補充調整。同時要完善檔案管理硬件設備,確保檔案工作有效落實。
2、加強對檔案管理人員培訓,提升專業化管理水平
檔案管理部門應有針對性地培養一支素質較高的檔案管理人員隊伍,加強檔案管理人員的業務培訓,讓管理人員學習相關理論知識和現代化管理方法,摒棄傳統的陳舊管理模式,更新理念,提高業務要求標準。要充分認識到檔案管理工作的重要性,并且不斷改進工作方式和工作方法,創新工作模式,提高工作效率,努力做好檔案服務創新工作,探索檔案服務創新之路,把檔案管理提高到一個新的臺階。
3、建立電子檔案,完善檔案現代化管理
隨著辦公系統信息化與網絡技術的普及,檔案的管理模式也在逐步現代化,無紙化辦公將變為現實,檔案歸檔形式必須更新,傳統的以紙質為載體的檔案管理方式將發生根本的變革。因此,檔案管理工作必須從傳統模式向信息化管理模式過渡。采用更為科學、先進的辦公軟件進行檔案信息的存儲和利用,將傳統的紙質載體檔案轉化為電子檔案,并通過計算機信息系統管理轉化為可以自動檢索、數據信息分析的技術。縮微攝影技術和數碼影像技術的應用可以使照片、影像等檔案資料更完整、安全的保存。在后期檔案使用時可以直接檢索、統計和查閱,同時可以實現遠程檔案信息傳遞,提高工作效率。電子檔案還具有占地小、容量大、投入少、管理簡便、查閱方便等優點。
4、建立檔案網頁,開展網上在線服務
建立檔案網頁,開展網上在線服務是對傳統工作模式的新的突破,是科技發展給辦公自動化帶來的變革,同時也給檔案管理工作提出新的挑戰。網絡傳輸作為一種信息傳播方式具有無比的優越性。一是傳播速度快,二是傳播范圍廣,三是傳播不走樣,四是傳播成本低。因此,使用互聯網開展的網上檔案服務已成為為社會和單位提供檔案利用服務的一種更加便捷的形式。隨著局域網的普及,檔案部門可制作自己的網頁,組織上網數據和信息,實現檔案信息的現代化管理。通過網上服務,電子文件通過下載和上傳就可以完成。傳統檔案管理存在重保管輕利用的問題,而檔案網頁不僅方便檔案的檢索等常規服務,更有利于電子信息的資源共享和宣傳利用,實現檔案的真正價值。此外,現代生活中,人們更注重信息的時效性,而開展網上在線服務通過信息系統及網絡及時準確的獲得多方信息,更好的滿足了人們的需求。網頁還可提供信息咨詢、文件閱覽等服務,具有覆蓋面廣、信息全、利用率高等優點。檔案網頁適應新形勢的要求,有利于轉變工作職能,提高工作效率。
二、檔案的信息安全管理
不同于其他信息,檔案具有較強的保密性和利用限制性,而在對電子檔案及檔案網頁進行常規操作、信息傳輸、資料存貯的過程中以及在電子檔案的收集整理、歸檔利用過程中,都難免產生錯誤操作、信息丟失、病毒侵入、黑客侵犯等問題,這些都對檔案的信息安全保障工作提出了更高的要求。加強檔案的保密工作,提高檔案信息的安全性成為檔案管理部門需要面臨的一項重要工作。
1、人員安全
檔案信息在操作過程中最有可能發生的安全問題就是人為的泄密。因此,必須培養一支有較高素質和較強法律意識的專業檔案管理人才隊伍。檔案管理人員必須認識到檔案信息安全的重要性,嚴防保密信息的泄露,使信息安全問題發生的幾率降到最小。檔案管理人員要認真學習《檔案法》、《保密法》,樹立保密意識。應根據檔案管理人員的職權崗位給予不同的使用及管理權限。檔案管理人員要牢記系統密碼并熟練掌握查殺病毒、資料備份等相關安全措施的操作方法。工作人員還要做好操作記錄,清晰記錄每一次查詢、收錄、整理等檔案管理的時間、參與人員等信息。要分工明確、責任到人、規范操作。遇到檔案管理人員調職、離職等情況時要注意加強管理,防止信息外流。
2、操作安全
操作安全是檔案安全的重要環節。在檔案信息操作過程中要樹立安全意識,如確保收集信息的準確性,按時查殺病毒,避免檔案信息被病毒感染、篡改。要養成信息備份的習慣,避免操作失誤造成的信息資料丟失的情況,帶來不可挽回的損失。在對影像、錄音等資料進行收集時要注意提取原件,并確保內容未遭到過破壞、篡改。絕密檔案的調閱、銷毀應經相關領導審批通過后嚴格按規定手續辦理,完善的安全應急機制也是十分重要的,當意外發生時要及時采取措施,有效應對,將損失降到最低。在管理過程中要主動接受保密部門對工作的監督指導,做好對文件的安全保障工作。
3、信息設備安全環境
設備安全是保證檔案信息安全的基本條件,無論是紙質檔案還是電子檔案都應在充分安全的環境下進行保存,檔案室、電腦房等檔案管理環境必須專人管理并建立嚴格的門禁制度,出入時要進行詳細登記,以避免閑雜人等進入。還應做好信息設備環境的防火、防盜工作,避免水災、火災等外力破壞或盜竊等不法行為對檔案安全帶來的威脅。
信息安全的管理范文第4篇
【關鍵詞】企業 信息安全管理 對策
信息安全管理是指通過保證信息資產的機密性、完整性和可用性來保護和維護企業所有信息資產的一系列管理活動,是完整的企業組織管理體系的重要組成部分。其主要包括制定信息安全政策、風險評估、控制目標與方式選擇、制定規范的操作流程、對人員進行安全意識培訓等一系列工作。
知識經濟時代,企業內部各部門之間以及企業與外部之間的交流與合作日益頻繁,且對計算機信息技術的依賴也日益明顯,使得信息安全問題成為眾多企業的關注焦點。
企業的許多信息,包括一些戰略規劃的重要信息,均以電子文件形式存儲,而這些信息在存儲、處理以及傳輸過程中都有可能被非法截取、惡意破壞以及篡改,損失難以想象。保障信息系統的安全在企業的建設和發展當中具有重要的作用。信息安全管理是確保信息系統順利運行的有力武器。通過建立信息安全體系及相應的規范機制,如加強對人員的管理、提升人員安全意識、促進軟件和操作系統的操作及建設相關網絡等,就可以建立起完善的信息安全系統,促進企業在知識經濟時代平穩、快速和健康的發展。
一 目前信息安全管理中存在的隱患
1.信息管理的安全意識方面
在傳統的企業生產中,企業所應具有的基本生產要素主要有設備、原材料、人員和制度幾個方面。但隨著信息技術的發展,信息的重要性也日益突顯,從而也成為企業發展的基本要素之一。根據以往經驗來看,企業對信息安全的重視程度還遠遠不夠,表現在對企業信息的安全保護很不到位,這無疑給企業帶來了很大的損失。所以,企業必須要加強對信息安全的保護,建立起一套完善的信息安全體系來保證企業的信息安全。
2.缺乏統一的安全體系規劃和安全防范機制
目前,“頭痛醫頭、腳痛醫腳”的現象十分普遍,原因在于眼于局部而忽視整體。企業只是在網絡中安裝了一些安全設備,卻未形成統一的安全策略及相關規劃方案。企業在建設信息化的過程中通常采取先開展業務,后關注安全的策略,使得安全的管理遠遠落后于開展業務發展。而由于缺少整體性的規劃,使得企業在問題已經出現時才去彌補,對于安全建設只能用“亡羊補牢”來形容。
3.信息安全產品本身存在的問題
大多數企業通常在建設信息安全系統的過程中就采用了一些保證信息安全的產品。但并不是說使用了相關安全產品信息系統就安全了,因為計算機系統所存在的一些安全隱患除了是由信息安全產品本身所具有的漏洞引起的之外,人員在使用信息安全產品的過程中所造成的操作失誤及用戶配置的錯誤也會對其產生影響。所以企業不僅要重視安全產品自身的問題,也要重視系統的操作與應用過程。
4.資金投入不夠,缺乏安全技術人才
要想建構起完善的信息安全體系,企業不僅要投入大量的資金,而且同時要引進一批高端的IT人才,組建一支專業建設信息安全的團隊。但遺憾的是,很多企業并未意識到信息安全的重要性,所以在資金投入方面很是不足,比如說,使用的電子郵箱和殺毒軟件等往往都是免費的,也沒有構建防火墻,這使得企業的信息安全得不到充分地保障。此外,雖然一些企業投資引進了一些硬件設施,但對軟件的重視不足,表現為投入的滯后性,從而阻礙了硬件設施發揮應有的功能。
還有一個問題,大部分企業在加強信息安全建設的過程中,通常都把注意力集中在搭建網絡平臺及硬件的選擇上了,卻忽視了對人才的引入和培養。具體表現在許多企業缺乏信息技術人才,而相關專業人才更是不足。按照要求,一個信息系統的運作應該由幾個技術人才相互配合、共同操作,但實際上卻恰恰相反,企業中的一個信息管理人員往往負責大量的操作,不僅要負責配置系統,還要負責管理系統的安全,導致對安全的設置和監督由一個人負責,任務繁重。
二 加強企業信息安全管理的途徑
1.注重人員安全管理,提升信息安全意識
具體的操作人員在信息系統的建設和運行過程中必不可少,人既是管理者又是被管理者,因為他們不僅要建設和應用計算機系統,而且也信息管理的對象。所以在信息安全系統的管理中,最重要的就是對人員的安全管理,做到這一點要從以下幾個方面來進行:要建立一個安全的組織結構,對安全職能加以確認,審查人員的安全狀況,和安全人員簽訂相關的保密合同,加強離職人員的安全管理等。
企業要對員工加強有關信息安全的教育,增強他們的安全意識。保障企業的信息安全是每個職工應盡的義務。信息安全不是一種技術而是一種意識,所以僅從技術層面是無法保證企業的信息安全的。加強安全教育要企業要做到以下幾個方面,首先,加強員工的教育培訓、普及互聯網和信息安全的相關知識、提升員工的安全意識并增強其防范能力,使整體員工都有一種為企業信息安全負責的意識。其次通過定期舉行有關信息安全的報告和講座等,使企業自上而下都形成安全意識并銘記于心。通過上述兩種途徑可以使企業的信息安全工作順利的開展。
2.建立、健全信息安全防范體系
對于企業中信息安全的管理機制及防護規范的發展和完善,可以使企業中的那些至關重要的信息得到很好的保護。即使信息系統遭到入侵也能夠保證企業業務的順利進行,可以極大地降低企業的損失。
第一,提高安全系統的應急能力,這就要求建立和完善相應的應急管理機制,并制定應急預案。
第二,企業要建立起一個網絡和信息安全管理的平臺,在網絡內外部署相關的信息安全設施,比如要加強網絡的安全性管理,在網絡中設置一些控制訪問的策略,并對網絡的安全使用加以規范,具體來說就是要安裝避免病毒入侵的軟件,對網絡經常進行檢測,提高防火墻的性能等。
第三,建立機制對信息安全進行集中化管理。如數據安全控制和加密密鑰的集中化管理,前者可以做到自上而下的全面執行企業的安全防范策略,后者可以降低人為原因導致的數據安全的風險,并可以保證不與其他的加密策略發生沖突,實現兼容。
第四,企業還要重視對于異地數據的備份工作及當遇到意外情況時可以實現信息恢復的機制設計,因為這可以保障信息系統的安全運行。
第五,重視風險評估工作。這要求企業在平時要對信息系統的安全性進行定期的評估,以提高企業抵御風險的能力。
3.健全用戶權限和上網管理制度
企業信息安全管理工作的一個重點就是要建立并完善用戶瀏覽的權限及網上管理的制度設計,并使之得到嚴格地執行。同時隨著企業的發展和業務系統的完善要不斷對其補充和修正。
首先,對用戶權限的管理加以完善。這就要求企業改變以往把每個員工都當成管理員可以隨意瀏覽信息的狀況,要將每個員工的權限加以明確并保證最小,減少他們對信息系統的操作從而在最大程度上保證系統的安全。
其次,要限制員工的上網行為。在信息化時代,要想控制眾多員工上網的行為,就必須要從管理和技術兩個方面來實現。此外,要嚴格檢測和控制那些從外部傳來的文件,防止它們給企業內部的網絡帶來病毒。
4.進一步健全、監管第三方服務體系
由于對信息安全的擔憂和對服務質量的懷疑,大部分企業都不愿意采取第三方提供的服務體系。在企業中,信息安全工作至關重要,如果不小心泄露了企業的重要資料,就會給企業帶來致命的打擊。
政府應發揮作用加強有關第三方的法律法規建設并制定行業標準,排除企業對第三方的疑慮。企業應加強與第三方的合作,雙方共同努力建設起符合企業特點的信息安全體系,使得企業的信息安全能夠獲得最有力的保證。企業應設立專門的監察職位,主要負責監督、檢查企業管理信息系統的運行情況并直接向企業總經理負責。因其“第三者”的角色,可更加客觀、公正對企業信息安全以及業務流程進行監察,及時發現信息安全隱患。
5.加大建設資金投入,完善軟件硬件建設
要想順利建成企業的信息安全體系,大量的資金投入是必不可少的。企業應投入足夠的資金來購買相應的設備,如相關軟件和服務器等,同時企業也可以采取外包的形式。
首先,在加強硬件設施方面,企業可以應用加密系統來保護有關的口令、文檔及網內的重要數據。這樣我們就可以更有針對性的在網上傳輸數據。加密管理有三種類型,即端點、節點和鏈路加密,企業可以根據自己的實際情況從其中進行選擇。特別是在控制信息系統開發的過程中就應滲透信息安全保護機制,從根本上預防信息安全隱患。
其次,加強軟件建設,最主要的就是采取積極有效的措施使操作系統的安全性得到最大程度的保護。具體來說就是要對有關信息管理的各種軟件定期加以更新,保證數據庫和終端的操作系統的版本保持一致,這不僅有利于加強管理,而且可以提高系統的防御功能
此外,要做到經常性的數據備份,選用高強度口令保護賬號安全,針對不同賬號設定不同密令,經常更新殺毒軟件及補丁以及在局域網與互聯網之間安裝防火墻,并周期性的對文件進行排查,及時發現已感染病毒的文件以及信息丟失的現象。
企業的信息安全管理是一個動態的過程,要隨時代的發展而不斷加以創新。因此,我們必須不斷探索加強信息安全管理的思路和方法,并對逐步構建起相對完善、高效、可靠的信息安全管理體系,定期對企業的信息安全風險和信息安全管理水平進行評估。
參考文獻
信息安全的管理范文第5篇
關鍵詞:信息安全;安全管理;體系;規劃設計
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2011) 18-0000-01
Computer Information Security Management System Design and Planning
Chen Guo
(Chongqing University of Technology School of Business Information,Chongqing 400054,China)
Abstract:With the acceleration of information technology,information security technology,more and more attention has been paid,in particular,to do computer information security management system planning and construction,which is the information security one of the important issues facing, must be scientific analysis and layout,to safeguard the security of information systems.In this paper,computer information security management point of view,combined with the development of information security-related issues that exist in the effective analysis and discussion,and to make suggestions and countermeasures.
Keywords:Information security;Security management;System;Planning and design
計算機信息系統是一個較為復雜管理系統,在它的日常管理過程中,特別是保證其安全運行面臨著一系列問題的。計算機的管理是涉及到多個方面的問題,不僅包括硬件和軟件上的管理,與此同時在運行環境以及計算機病毒防止、計算機的安全響應上都要進行有效的維護,包括通訊故障或者是病毒干擾和感染上都需要采取一些列積極有效的措施,進而科學而有效的保障計算機的信息技術安全。我們知道,信息安全技術已經發展了長達二十多年,在這個過程中已經在不斷的完善,逐漸的形成了一個多學科的綜合性管理問題,在保障信息技術安全的進程中我們一定要注重綜合全局考慮。而針對于計算機的信息安全保障問題,我們一定要一個有效的安全保障機制,從涉及安全威脅的方方面面出發進行布局和規劃,進而建立起安全的保障體系。筆者將結合相關的問題在如下幾個方面對其進行有效的分析和探討。
一、計算機安全管理過程中的問題分析
(一)計算機信息安全維護過程中,保證網絡協議的安全性是其安全管理過程中的重要問題之一。在計算機的一些協議中,例如TCP/IP協議,這些協議和構架一般也都是互聯網上進行信息共享的,這樣一來其中就存在著一定的安全隱患和安全漏洞。這是當前計算機信息安全威脅的一個重要的來源,他對于計算機系統的破壞也是可想而知的,因此,開展計算機的信息系統維護一定要注意對其的防止,加強網絡上不明信息以及協議的安全管理,保障信息傳輸的安全性和科學性,始終以維護信息系統的安全為出發點進行全面客觀的分析。
(二)在計算機工作和運行的過程中存在的安全管理問題,也就是工作環境中所存在的安全漏洞。在現有的操作系統以及數據庫系統等典型的企業用戶工作環境中,其自身一般都會存在許多的安全漏洞,這是計算機安全的隱患之一,其主要包括了自身體系結構的建設問題,以及系統錯誤和混亂所帶來的漏洞,而這些底層的安全漏洞往往是不確定的,如果使用不當就會造成整個信息系統的崩潰。
(三)計算機系統產品自身的安全問題。一般來說網絡用戶大多已經采用了網絡以及相關的信息安全產品。在這個過程中如果其安全漏洞或錯誤,那么就會導致用戶內部網絡安全防范機制的失效。與此同時,計算機的安全隱患也不僅僅是安全產品自身的問題,即使安全產品自身不存在安全方面的隱患和漏洞,但計算機用戶在對產品進行實際的使用過程中,也會由于用戶的配置或使用不當從而造成對產品安全性能的破壞,使其自身性能大大的降低或者是喪失。
二、進行計算機信息安全體系的規劃和建設
(一)加強信息管理,設計加密系統進行保護。在信息化程度越來越高的今天,人們利用網絡進行信息的收集以及處理也越來越多,由此也會出現相關的信息安全問題,如果不多加防護,就會造成信息的泄露或者是文件的破壞等。針對這一問題,我們開展計算機的信息安全維護和系統建設一定要注意最基礎的信息加密體系建設。而信息的加密是為了更好的保護網內的數據、文件以及相關口令和控制信息。這樣一來,在網上進行數據的傳輸也就更加的具有針對性。而在加密管理的過程中一般有鏈路加密、端點加密和節點加密三種。一個加密網絡,不僅可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法。
(二)計算機信息安全審計系統的規劃和建設。我們知道,計算機系統在長期的運行過程中一般會出現這樣或者那樣的問題,如果不對其進行長期有效的檢查和維護的話,潛在的安全威脅就會趁虛而入。所以,加強計算機的信息安全維護一定要注意加強安全審計管理體系的建設,其主要內容就是針對系統中的所有資源和行為進行審計,其中包括數據庫、主機等。通過有效的審計,并對審計結果所作的記錄、得出的數據進行有效的分析,進而能更好的開展網絡安全防范和維護工作,一旦出現問題就可以及時有效、快速的找出原因進行妥善的解決。
(三)計算機信息安全的系統軟件系統建設。通常來說計算機所使用的各種版本的操作系統都存在一定不安全的因素,所以必須采取有效的措施加強安全系統的管理,對其中的數據庫軟件以及操作系統進行很好的維護。而這一問題的解決方法就要從系統終端的操作系統上進行相應的準備,重要的一點就是要采用統一的、相匹配的版本,這樣一來也可以從軟件系統的角度更好的進行維護和管理。
(四)計算機的物理環境安全防護體系建設。這一體系建設主要的就是針對于計算機所處的外部環境,也就是物理環境,包括對機房的監控系統維護、計算機所處的溫度等,甚至是漏水和電源情況等時刻進行監控。同時還需要考慮服務器的管理問題,保證外部的電源以及環境的溫濕度。
參考文獻:
[1]李濤.網絡安全概論[M].網絡安全,2004
[2]郝文江,李玉霞.基于計算機技術對信息的保護[M].2007,12
