時間:2022-05-29 08:38:00
序論:在您撰寫信息安全管理論文時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的1篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。
1數(shù)字化檔案相關(guān)介紹
數(shù)字化檔案是檔案與現(xiàn)代化的技術(shù)有機結(jié)合的新型檔案信息形態(tài),將檔案信息轉(zhuǎn)化成數(shù)字信息,應(yīng)用現(xiàn)代化技術(shù)的便捷性,將檔案信息進行歸檔、利用以及資源共享等。這里所說的現(xiàn)代化技術(shù)主要包括計算機技術(shù)、掃描技術(shù)、OCR技術(shù)、數(shù)字攝影技術(shù)、數(shù)據(jù)庫技術(shù)、多媒體技術(shù)、存儲技術(shù)等。
2數(shù)字檔案信息安全問題相關(guān)分析
對于檔案信息本身來說,無論是傳統(tǒng)的檔案存儲,還是現(xiàn)代化的數(shù)字檔案,安全問題都是首要問題。由于現(xiàn)代化的數(shù)字檔案是傳統(tǒng)檔案與現(xiàn)代化技術(shù)的結(jié)合,所以影響檔案信息安全問題的因素較多,這些因素的出現(xiàn),對數(shù)字化檔案信息安全造成了不同程度的影響。以下是對數(shù)字檔案信息安全問題的具體分析。
2.1數(shù)字檔案信息的安全管理。
檔案信息安全管理問題是決定數(shù)字檔案信息安全的直接因素。如果安全管理方面存在缺陷,例如制度的不完善、標準不統(tǒng)一、管理措施無效等,必然會失去數(shù)字檔案信息的基本保障。所謂的數(shù)字檔案信息安全管理主要包括管理制度、標準、管理措施,不僅如此還包括數(shù)字檔案信息歸檔流程等,相關(guān)流程不規(guī)范也會使數(shù)字檔案信息安全問題受到威脅。
2.2計算機故障問題。
由于數(shù)字檔案信息的歸檔及利用均以計算機為載體,所以計算機本身的不確定因素會影響數(shù)字檔案信息安全問題,其中計算機故障問題是影響數(shù)字檔案信息安全的主要問題,其中計算機故障又包括硬件故障與軟件故障。以下是對兩種故障的具體分析。
2.2.1硬件故障。
計算機硬件條件良好時數(shù)字檔案信息安全問題的基本保障,當(dāng)計算機硬件發(fā)生故障時,數(shù)字檔案信息的存儲、查詢、利用等就會受到較大的影響,其在一定程度上導(dǎo)致檔案信息的丟失或損害,影響了檔案信息的完整程度,大大降低了數(shù)字檔案的使用質(zhì)量與效率,為使用者造成較大的不便。
2.2.2軟件故障。
計算機的軟件是處理數(shù)字檔案信息的必要條件,一旦計算機軟件出現(xiàn)故障亦或是性能無法滿足現(xiàn)階段數(shù)字化檔案信息系統(tǒng)的要求,檔案信息的處理能力就會大大下降,工作質(zhì)量與效率也會隨之下降,而數(shù)字化檔案信息本身也無法發(fā)揮最大作用。計算機軟件故障直接影響數(shù)字化檔案信息系統(tǒng)的操作,但是與計算機硬件故障相比較,其發(fā)生故障的幾率較小。
3探究數(shù)字化檔案信息安全管理相關(guān)策略
前文已述,管理問題直接影響著數(shù)字化檔案信息安全,故而要確保檔案信息的安全,首先要從管理策略方面抓起。以下是對數(shù)字化檔案信息安全管理相關(guān)策略的具體分析。
3.1加強數(shù)字化檔案宏觀管理。
加強數(shù)字化檔案的宏觀管理檔案數(shù)字化工作是一項技術(shù)性、專業(yè)性、綜合性很強的工作,必須加強領(lǐng)導(dǎo),統(tǒng)一思想,建立健全組織機構(gòu),比如建立專門的檔案數(shù)字化、信息化、網(wǎng)絡(luò)化協(xié)調(diào)組織機構(gòu),組織國家檔案信息網(wǎng)絡(luò)的總體設(shè)計與技術(shù)攻關(guān),加強檔案信息網(wǎng)絡(luò)一體化的宏觀管理。檔案數(shù)字化工作要納入科學(xué)管理體制,作為機關(guān)管理工作的一部分,制定相應(yīng)的工作分工范圍及管理權(quán)限。
3.2完善相關(guān)管理制度。
在完善管理制度時,要綜合考慮各種因素對數(shù)字化檔案信息安全的影響。在人員安全管理方面,要設(shè)立具體的安全審查制度、崗位安全考核制度、安全培訓(xùn)制度等。對已經(jīng)存儲的數(shù)字信息均應(yīng)進行密級分類,對敏感信息與機密信息應(yīng)當(dāng)加密并脫機存儲在安全的環(huán)境中,防止信息被竊聽、變更與毀壞。在系統(tǒng)安全運行方面,要做好機房出入控制、環(huán)境條件保障管理、自然災(zāi)害防護、防護設(shè)施管理、電磁波與磁場防護等工作。設(shè)立操作安全管理、操作權(quán)限管理、操作規(guī)范管理、操作責(zé)任管理、操作監(jiān)督管理、操作恢復(fù)管理、應(yīng)用系備份管理、應(yīng)用軟件維護安全管理等制度。從技術(shù)上防止文件被人為地修改,增強電子文件的憑證性和可靠性。
3.3計算機安全管理。
由于計算機故障對數(shù)字化檔案信息安全造成較大的損害,所以要做好計算機安全管理工作。應(yīng)根據(jù)數(shù)字化檔案信息系統(tǒng)的實際情況選擇性能良好的的計算機硬件和軟件。在選擇計算機硬件和軟件的過程中應(yīng)注重計算機的品牌和服務(wù)器,全面對計算機硬件的兼容性和可擴展性進行一定的審核,這樣做的目的是為了避免當(dāng)計算機系統(tǒng)在升級時數(shù)字化檔案信息的相關(guān)數(shù)據(jù)丟失。不僅如此,還要定期更新軟件,選擇更有利于處理數(shù)字化檔案信息的軟件,確保最大程度上發(fā)揮數(shù)字化檔案信息的優(yōu)勢。
3.4信息技術(shù)安全管理。
依靠數(shù)字化檔案信息安全管理人員在強度安全管理是不夠的,還需要現(xiàn)階段科學(xué)信息技術(shù)援助。為了保證數(shù)字化檔案信息數(shù)據(jù)的安全,在數(shù)字化檔案信息安全管理工作中可以運用一些先進的科學(xué)信息技術(shù)來提高數(shù)字化檔案信息安全。例如,可以設(shè)置信息的訪問認證,防病毒系統(tǒng),同時也對數(shù)字化檔案信息相關(guān)機密數(shù)據(jù)進行加密操作,以數(shù)據(jù)加密的形式,可以有效地防止數(shù)字化檔案信息數(shù)據(jù)被一些木馬病毒和被非法網(wǎng)站入侵,進行安全管理對保護數(shù)字化檔案信息安全是非常有效的。
3.5提高管理人員的專業(yè)素質(zhì)。
管理人員的專業(yè)素質(zhì)對數(shù)字化檔案信息安全管理來說至關(guān)重要,故而提高管理人員自身專業(yè)素質(zhì)也是安全管理中的重要策略。相關(guān)的工作人員利用電子設(shè)施在網(wǎng)絡(luò)環(huán)境中開展對應(yīng)的相關(guān)工作,對相關(guān)的數(shù)字檔案實現(xiàn)有效地管理,也就是個相關(guān)人員自身的能力大小對相關(guān)的數(shù)字檔案工作的安全性有著比較大的影響。這就要求在具體的工作中,相關(guān)的數(shù)字檔案管理人員要熟悉管理方面的相關(guān)專業(yè)理論,還要在具體的工作中樹立其較強的管理安全意識,不斷充實自己,提高數(shù)字化檔案安全管理的實踐工作技能。一旦工作中內(nèi)部成員想要泄露檔案信息,相關(guān)的管理人員就要切實提高警惕,有效的增強風(fēng)險思想,確保信息在實際的工作中受到嚴密的保存;與此同時,有關(guān)的組織機構(gòu)還要組織針對性的人員培訓(xùn)活動,有效地提高相關(guān)管理人員的安全理念,以此達到萬無一失。除了以上幾種管理策略之外還存在著其他管理策略,例如規(guī)范數(shù)字化檔案信息歸檔存儲流程,確保數(shù)字化檔案信息的真實性與完整性,進一步確保數(shù)字化檔案信息安全。
4結(jié)束語
綜上所述,信息安全問題對于數(shù)字化檔案來說至關(guān)重要,影響數(shù)字化檔案信息安全的因素有很多,要不斷的加強宏觀管理、完善相關(guān)制度、做好計算機管理工作與信息安全管理工作,提高管理人員的專業(yè)素質(zhì),確保數(shù)字化檔案信息安全問題。
作者:高紅 單位:齊齊哈爾市依安縣依安鎮(zhèn)人民政府
1電子信息安全管理概述
1.1電子信息安全管理概念
從當(dāng)前經(jīng)濟社會發(fā)展情況來看,信息安全問題主要來源于信息技術(shù),隨著信息技術(shù)在現(xiàn)代經(jīng)濟、社會生活中應(yīng)用范圍進一步擴大,其對經(jīng)濟、社會發(fā)展的影響也是十分明顯的。人們很早就已經(jīng)開始了對電子信息安全的研究,但從研究結(jié)果來看,單獨依靠技術(shù)手段是難以實現(xiàn)電子信息安全管理的。例如,在當(dāng)前電腦防護中,防火墻、網(wǎng)絡(luò)安全控制系統(tǒng)被大范圍使用,但電子信息安全現(xiàn)象依然屢見不鮮,對技術(shù)人員而言,為獲得更好的電子信息安全管理效果,需要重點考慮防火墻安全策略設(shè)計以及其物理保護控制問題,通過適當(dāng)?shù)某绦蛑С謥沓浞职l(fā)揮信息系統(tǒng)作用??傮w而言,信息安全管理=信息安全技術(shù)+信息安全管理支持。
1.2電子信息安全管理模型分析
在當(dāng)前電子信息安全管理模型設(shè)置中,主要堅持傳統(tǒng)PDCA模式如圖1所示進行優(yōu)化,其具體內(nèi)容為:①P(策劃):根據(jù)組織業(yè)務(wù)運足要求與相關(guān)法律,確定本次電子信息安全管理的范圍與要求,并通過相應(yīng)的安全風(fēng)險評估,確定控制目標與方式,并明確業(yè)務(wù)持續(xù)性計劃。②D(實施):在安全管理實施過程中,技術(shù)人員根據(jù)既定的組織計劃對所選目標進行安全控制。③C(檢查):根據(jù)質(zhì)量控制目標與法律法規(guī)要求,監(jiān)視、驗證安全管理過程與信息系統(tǒng)安全系數(shù),及時總結(jié)安全現(xiàn)象并收集其中參數(shù)變化信息。④A(行動):根據(jù)檢查結(jié)果,分析安全管理措施的有效性,并持續(xù)改進。
2電子信息安全管理風(fēng)險評估
2.1風(fēng)險評估概念及模型
2.1.1風(fēng)險評估概念
風(fēng)險評估的核心就是對風(fēng)險源的分析,在電子信息安全管理中,風(fēng)險評估的作用十分明顯。以企業(yè)為例,企業(yè)電子信息安全問題表現(xiàn)是多方面的,并且相互之間的作用、聯(lián)系各不相同,若不能正確認識各個安全問題對企業(yè)電子信息安全問題的影響,將會對企業(yè)造成大量損傷。而在進行風(fēng)險評估后,所有影響企業(yè)電子信息安全的要素都將被羅列出來,并根據(jù)本企業(yè)的實際情況、類似企業(yè)情況等,判斷易誘發(fā)電子信息安全問題的要素,確保后續(xù)電子信息安全管理的科學(xué)性。
2.1.2風(fēng)險評估模型
風(fēng)險評估作為一個系統(tǒng)性工程,其具備相應(yīng)的理論基礎(chǔ),并能根據(jù)相關(guān)理論對風(fēng)險進行評價,常見的原理形式主要表現(xiàn)為:大數(shù)定律、慣性原理、統(tǒng)計推斷原理等。當(dāng)前在風(fēng)險評估模型設(shè)計中,已經(jīng)被研發(fā)出很多成熟的模型,包括人們所熟知的基于時間的PDR模型、動態(tài)安全APPDER模型等。
2.2風(fēng)險計算模型
在確定其風(fēng)險內(nèi)容后,要對其風(fēng)險值進行計算。本文結(jié)合威脅識別的相關(guān)內(nèi)容,確定其計算模型為:R=f(AWT)式中:R代表風(fēng)險;A代表資產(chǎn);W代表脆薄弱點;T代表目標主體所面臨的風(fēng)險現(xiàn)象。
3電子信息安全管理技術(shù)分析
3.1技術(shù)維
技術(shù)維的核心就是進一步強化技術(shù)手段的安全保障作用,其所涵蓋的內(nèi)容主要包括計算機系統(tǒng)安全、網(wǎng)絡(luò)安全等。
3.1.1計算機系統(tǒng)安全
(1)硬件安全。在電子信息安全管理中,硬件安全主要處理設(shè)備故障對系統(tǒng)安全造成的影響,建立容錯系統(tǒng)是硬件安全的關(guān)鍵。采用雙機容錯模式,兩臺計算機上設(shè)置相同的系統(tǒng),分別設(shè)置兩個服務(wù)器處理系統(tǒng)運行,保證在某臺計算機出現(xiàn)故障后,另一臺計算機能有效承擔(dān)所有工作。同時,要針對系統(tǒng)重要運行設(shè)備設(shè)置電源,必要時可以對整個機房建立單獨供電室,并以多種線路的方式提供電源。(2)軟件安全。系統(tǒng)設(shè)置:以C++語言編寫設(shè)備多串口控制驅(qū)動,并通過Java中的JNI技術(shù)顯示系統(tǒng)調(diào)用。在條件允許情況下,在后臺數(shù)據(jù)庫建設(shè)中以O(shè)racle技術(shù)實現(xiàn)系統(tǒng)構(gòu)造,并通過傳統(tǒng)的數(shù)據(jù)庫建立模型進行構(gòu)建,該技術(shù)的要點為:①在主程序中建設(shè)數(shù)據(jù)庫,并實現(xiàn)數(shù)據(jù)庫的鏈接;②通過SQL語言操作獲數(shù)據(jù),并根據(jù)既定的操作要求進行數(shù)據(jù)處理;③鏈接數(shù)據(jù)庫。在經(jīng)過上述三個環(huán)節(jié)處理后,即可建立一次連接數(shù)據(jù)庫。但要注意的是,按照上述步驟建立的數(shù)據(jù)庫只能接受低頻次的操作要求,一旦頻次過高,系統(tǒng)所面臨的運行壓力增大,最終影響系統(tǒng)運行效果。安全管理:在軟件安全管理中,主要通過權(quán)限認證進行角色訪問控制,以企業(yè)為例,對其安全管理內(nèi)容進行確定。①角色分配:建立用戶管理模塊,該模塊主要具備用戶信息增加、刪除、修改等功能,并建立用戶管理員與一般用戶。在系統(tǒng)功能實現(xiàn)中,將功能代碼布添加至管理角色權(quán)限中,并保存操作數(shù)據(jù);創(chuàng)建用戶賬號,使用戶登錄系統(tǒng)能瀏覽器權(quán)限內(nèi)部的內(nèi)容。②加入身份信息:系統(tǒng)登錄過程中先查詢相關(guān)用戶是否存在,若提示用戶存在,則按照其權(quán)限為其提供信息,并統(tǒng)計員工權(quán)限。
3.1.2網(wǎng)絡(luò)控制措施
(1)安全協(xié)議:安全協(xié)議對電子信息安全性產(chǎn)生重要影響。目前,TCP/IP協(xié)議已經(jīng)被廣泛使用,但協(xié)議中依然存在漏洞。其改進措施主要為:修改、補充原有協(xié)議或在傳輸層與網(wǎng)絡(luò)應(yīng)用層之間設(shè)置安全子層。(2)網(wǎng)間隔離技術(shù):網(wǎng)間隔離技術(shù)是一種成熟的網(wǎng)域連接技術(shù),其具體技術(shù)內(nèi)容表現(xiàn)為:①服務(wù)器。控制兩個網(wǎng)域之間的直接通訊行為,所有防火墻外的計算機主要通過服務(wù)器實現(xiàn)訪問過程。在此過程中,服務(wù)器能控制對方訪問級別,根據(jù)防火墻要求控制對方訪問行為,當(dāng)對方訪問行為超出限制范圍時,服務(wù)器將會組織。②路由器與過濾器。路由器能通過特定端口控制過濾器數(shù)據(jù),通過對其加以路由實現(xiàn)控制;過濾器能選擇通過網(wǎng)絡(luò)層數(shù)據(jù)包,并以數(shù)據(jù)包為基礎(chǔ),確定IP目標地址與IP源信息,判斷數(shù)據(jù)包能否通過。
3.1.3信息保護措施
保密技術(shù)是常見的信息保護措施,其操作要點主要包括:①通過網(wǎng)絡(luò)操作系統(tǒng)提供的保密技術(shù)進行保密處理;②重視對數(shù)據(jù)庫信息保密。針對可讀形式的數(shù)據(jù)庫,需要控制數(shù)據(jù)庫訪問權(quán)限,必要時可以建立監(jiān)控系統(tǒng)監(jiān)督數(shù)據(jù)庫瀏覽服務(wù)情況。針對安全服務(wù)器支持訪問情況,采取強制控制措施,實現(xiàn)多級授權(quán)描述;③通過現(xiàn)代加密技術(shù),實現(xiàn)信息重組,只有信息發(fā)送、接受雙方才能還原原有信息。
3.2管理維
(1)計算機場地安全管理。計算機場地是整個信息系統(tǒng)的核心,要將主機房選址于日常安全管理作為整個工作的核心。在計算機場地選址中,要綜合考慮地震、臺風(fēng)等多種自然因素對房屋結(jié)構(gòu)的要求,施工過程應(yīng)滿足國家《計算機場地安全要求》的相關(guān)內(nèi)容。在主機房設(shè)備環(huán)境控制中,重視防塵、防火處理。(2)信息系統(tǒng)資料管理。信息系統(tǒng)資料管理主要針對系統(tǒng)信息進行控制。這些需要保護的資料可分為兩類:軟件系統(tǒng)記錄資料與系統(tǒng)設(shè)備檔案。在管理過程中,技術(shù)人員根據(jù)上述資料的種類與使用范圍對其進行整理。(3)緊急恢復(fù)管理。緊急恢復(fù)管理又被成為災(zāi)難恢復(fù),是指災(zāi)難發(fā)生后迅速采取處理措施,以降低電子安全問題造成的損失。在緊急恢復(fù)管理中,應(yīng)該以明確的保護等級為前提,計劃內(nèi)容主要針對具體應(yīng)急方案,能清晰明了講述恢復(fù)的方法與步驟。(4)設(shè)立信息安全檢查表。信息安全檢查表的主要功能是針對對象日常工作信息進行安全管理,在該檢查表中,主要內(nèi)容包括信息安全通知、信息安全檢查工作、信息安全檢查表格等。
4結(jié)束語
主要討論了信息時代背景下的電子信息安全管理的相關(guān)問題。對相關(guān)工作人員而言,在開展電子信息安全管理中,要正確認識本單位在信息安全管理中可能出現(xiàn)的風(fēng)險現(xiàn)象,并在充分掌握各個安全因素的基礎(chǔ)上,進一步完善電子信息安全管理方法,為獲得更好的電子信息安全管理效果奠定基礎(chǔ)。
作者:陳越我 單位:中國電子科技集團公司第十八研究所
一、引言
企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源,對于企業(yè)自身來說具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來,企業(yè)的各項經(jīng)營活動都逐漸開始通過計算機,網(wǎng)絡(luò)開展,因此,企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時將企業(yè)信息安全管理與風(fēng)險控制結(jié)合起來,這是一個正確的選擇,能夠幫助企業(yè)實現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風(fēng)險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險控制的定義。企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件,保護網(wǎng)絡(luò)存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標,即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學(xué)科知識基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計算機技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講,最為關(guān)鍵的一項工作時保護企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過建立完善的企業(yè)風(fēng)險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標。所以,怎樣把企業(yè)信息安全管理與風(fēng)險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風(fēng)險控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險體系實現(xiàn)。企業(yè)的信息安全風(fēng)險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對企業(yè)的信息進行風(fēng)險預(yù)估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風(fēng)險,從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險體系建立主要包含以下幾個方面的內(nèi)容。第一,建立企業(yè)信息安全風(fēng)險管理制度,明確企業(yè)信息安全管理的責(zé)任分配機制,明確企業(yè)各個部門對各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問責(zé)機制。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險管理指標,對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險定級,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三,企業(yè)要加強對信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險意識,讓企業(yè)內(nèi)部從事信息安全管理工作人員認識到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性。第四,將企業(yè)信息安全管理與風(fēng)險控制有效融合,重視企業(yè)信息安全管理工作,通過風(fēng)險控制對企業(yè)內(nèi)部信息安全的管理方式進行正確評估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。
二、企業(yè)信息安全管理與風(fēng)險控制存在的不足
1.企業(yè)信息安全管理工作人員素質(zhì)不高
對于企業(yè)來說,企業(yè)信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計,目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上,對企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險意識并沒有嚴格要求。此外,絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒有通過建立相關(guān)管理制度以及問責(zé)機制對企業(yè)信息安全管理工作人員實行監(jiān)督,這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。
2.企業(yè)信息安全管理技術(shù)不過關(guān)
企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計算機技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說成熟的計算機應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實是許多企業(yè)的信息安全管理技術(shù)并不過關(guān),一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對企業(yè)信息缺乏保護,另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗,企業(yè)信息安全管理的知識也并沒有及時更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂,很多服務(wù)器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個管理員進行管理是難以承擔(dān)如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。
3.企業(yè)信息安全管理制度不健全
企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一,企業(yè)員工對于信息安全管理的認識嚴重不足,對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業(yè)內(nèi)部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關(guān),認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動機制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對企業(yè)信息安全現(xiàn)狀所了解的少之又少。
三、企業(yè)信息安全管理常見的技術(shù)手段
1.OSI安全體系結(jié)構(gòu)
OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu),它的設(shè)計初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來實現(xiàn),而安全服務(wù)又是由各種安全機制來保障的。所以,安全服務(wù)標志著一個安全系統(tǒng)的抗風(fēng)險的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。
2.P2DR模型
P2DR模型包含四個部分:響應(yīng)、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程,必須制定一個企業(yè)的安全模式。在安全策略的指導(dǎo)下實施所有的檢測、防護、響應(yīng),防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的,比如有防火墻、訪問控制、加密、認證等方法,檢測是動態(tài)響應(yīng)的判斷依據(jù),同時也是有力落實安全策略的實施工具,通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為,可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險潛在性的最有效的辦法。
3.HTP模型
HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強調(diào)動態(tài)管理,動態(tài)監(jiān)督,對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理,在實際工作中,通過HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善。
四、完善企業(yè)信息安全管理與降低風(fēng)險的建議
1.建設(shè)企業(yè)信息安全管理系統(tǒng)
(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個子系統(tǒng),明確實施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合,實現(xiàn)信息安全監(jiān)控的有效性和高效性。
(2)成立一個中央數(shù)據(jù)庫,整合分布式數(shù)據(jù)庫里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫,實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。
(3)設(shè)計優(yōu)良的人機界面,通過對企業(yè)數(shù)據(jù)信息進行有效的運用,為企業(yè)管理階層人員、各級領(lǐng)導(dǎo)及時提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。
(4)簡化企業(yè)內(nèi)部的信息傳輸通道,對應(yīng)用程序和數(shù)據(jù)庫進行程序化設(shè)計,加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準確性。
2.設(shè)計企業(yè)信息安全管理風(fēng)險體系
(1)確定信息安全風(fēng)險評估的目標
在企業(yè)信息安全管理風(fēng)險體系的設(shè)計過程中,首要工作是設(shè)計企業(yè)信息安全風(fēng)險評估的目標,只有明確了企業(yè)信息安全管理的目標,明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險控制為目標的信息安全管理工作制度,才能順利通過對風(fēng)險控制的結(jié)果的定量考核,檢測企業(yè)信息安全管理的風(fēng)險,定性定量地企業(yè)信息安全管理工作進行分析,找準企業(yè)信息安全管理的工作辦法。
(2)確定信息安全風(fēng)險評估的范圍
不同企業(yè)對于風(fēng)險的承受能力是有區(qū)別的,因此,對于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險控制辦法,其中,不同企業(yè)對于能夠承受的信息安全風(fēng)范圍有所不同,企業(yè)的信息安全風(fēng)險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此,企業(yè)的信息安全風(fēng)險評估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實際經(jīng)營情況變化采取有針對性的辦法。
(3)組建適當(dāng)?shù)脑u估管理與實施團隊
企業(yè)信息安全風(fēng)險控制體系的建立需要企業(yè)內(nèi)部各個部門的參與,因為各個部門工作人員對于企業(yè)風(fēng)險的認是有所不同的,企業(yè)要想了解企業(yè)承擔(dān)的經(jīng)營管理風(fēng)險,就必須讓企業(yè)各個部門工作人員共同參與進來。
作者:孫天天 單位:浙江財經(jīng)大學(xué)東方學(xué)院
一、高校計算機信息安全管理體系的現(xiàn)狀
計算機信息系統(tǒng)安全部分實質(zhì)計算機信息系統(tǒng)在應(yīng)用過程中發(fā)生國家秘密和高校保密信息以及個人資料信息。在高校信息安全的體系構(gòu)建中個,信息的保密和完整性具有重要的保障意義,對相關(guān)信息需要對責(zé)任和真實性進行分析,得出一個建立在這些原則基礎(chǔ)上并維護和應(yīng)用的信息安全體系。對其風(fēng)險評估需要在信息安全管理工作后對其改進的方向得出整改意見,目前相關(guān)主管部門對高校的計算機信息安全進行了資產(chǎn)列單。對每個資產(chǎn)項目都進行了準確評估,把信息資產(chǎn)作為計算機信息安全的重要保護對象,建設(shè)了相應(yīng)的應(yīng)用和信息集成模式,提高數(shù)據(jù)中心的操控支配和數(shù)據(jù)管理能力。在計算機信息系統(tǒng)構(gòu)筑的校園信息網(wǎng)絡(luò)結(jié)構(gòu)中,對校園內(nèi)特定地點才可對其相關(guān)數(shù)據(jù)進行信息訪問等多方面進行了管理和限制。
二、高校計算機信息安全管理體系的問題
(一)物理層面的安全問題。
高校計算機信息系統(tǒng)受到如地震水災(zāi)等自然災(zāi)害和突發(fā)自然事件造成的破壞,也存在因設(shè)備老化或毀損以及計算機操作系統(tǒng)的崩潰造成的信息資料損失,和服務(wù)器設(shè)備丟失或被破壞等物理層面的安全問題。
(二)網(wǎng)絡(luò)層面的安全問題。
校內(nèi)網(wǎng)絡(luò)是連接整體外界互聯(lián)網(wǎng)絡(luò)的,容易受到來自外界互聯(lián)網(wǎng)的惡意攻擊,同時整個數(shù)據(jù)在校內(nèi)局域網(wǎng)絡(luò)進行傳播時在沒有對數(shù)據(jù)進行加密情況下被監(jiān)控和改變也會發(fā)生。并且在計算機病毒從外界互聯(lián)網(wǎng)和內(nèi)部校內(nèi)局域網(wǎng)都可以進入到整個系統(tǒng)中,破壞存儲的數(shù)據(jù)和操作系統(tǒng)。最后,在路由器和相應(yīng)的體系輔助設(shè)備中也存有安全漏洞問題。
(三)應(yīng)用層面的安全問題。
體系的數(shù)據(jù)中心擁有著計算機信息校園整個關(guān)于教學(xué)和科研以及各高校主要構(gòu)成的數(shù)據(jù)信息運行工作,是高校計算機信息系統(tǒng)管理的核心。在用校內(nèi)局域網(wǎng)絡(luò)進行連接促使信息高效應(yīng)用中也產(chǎn)生了任何網(wǎng)絡(luò)終端都可以進入整個數(shù)據(jù)中心,在安全層面造成了風(fēng)險。
(四)數(shù)據(jù)層面的安全風(fēng)險。
高校計算機信息系統(tǒng)是對數(shù)據(jù)進行輸入和整理以及提供服務(wù)的過程,大量的數(shù)據(jù)交換和數(shù)據(jù)儲存和相應(yīng)的數(shù)據(jù)修改調(diào)整都面對各層面的安全風(fēng)險威脅。
三、高校計算機信息安全管理體系的對策
(一)物理層面的安全對策。
對物理層面的安全防護需要在成本和管理機制優(yōu)化上進行考慮,對每個零散的設(shè)備單元統(tǒng)一進行管理防護。對相應(yīng)的重要數(shù)據(jù)庫和重要的配置服務(wù)器設(shè)備要進行統(tǒng)一的機房維護,在機房的環(huán)境和溫度以及濕度上都要進行考慮和定期測量。同時,在機房內(nèi)的電路電源以及出現(xiàn)停電時的后備電源要進行保障,對出現(xiàn)機房建筑不穩(wěn)定和受到外界干擾影響程度大時,要及時進行修復(fù)。同時每個核心設(shè)備間要有足夠的距離保證不受到電磁輻射的干擾。
(二)網(wǎng)絡(luò)層面的安全對策。
目前高校的外聯(lián)手段會涉及到網(wǎng)卡和藍牙以及USB等相應(yīng)設(shè)備,這些終端的維護和保障是可以防止常規(guī)的惡意侵害方式的。要在固定網(wǎng)絡(luò)中設(shè)有相應(yīng)的端口輸入限制和對協(xié)議不完整的連接及時終端,相關(guān)交換機實現(xiàn)對用戶搜索的數(shù)據(jù)整理的規(guī)范化。
(三)應(yīng)用層面的安全對策。
高校計算機信息系統(tǒng)是面向校園內(nèi)信息數(shù)據(jù)流動而服務(wù)的,在各個相關(guān)服務(wù)器和數(shù)據(jù)庫中需要加強安全域的建設(shè),并對每個需要防護的病毒和數(shù)據(jù)保障方案和備份方案都要進行統(tǒng)一建立。在主要信息存在的數(shù)據(jù)中心內(nèi)要對所涉及的各計算機信息系統(tǒng)硬件和相應(yīng)配置設(shè)備,以及數(shù)據(jù)資源進行定期維護和安全級別的相應(yīng)建立,監(jiān)控和預(yù)防可能出現(xiàn)的各種情況。對數(shù)據(jù)中心的安全域級別設(shè)定為頂級并加強各分支系統(tǒng)的保障手段。
(四)數(shù)據(jù)層面的安全對策。
對本地需要加密的數(shù)據(jù)做好相應(yīng)的儲存和終端防護,對設(shè)立相應(yīng)安全文件夾,由專人進行管理。對每個需要寫入的儲存信息,進行寫入指令的控制,要求具有一定安全性的信息可以寫入數(shù)據(jù)儲存設(shè)備。每個客戶端口要建立USB安全管理策略,需要系統(tǒng)內(nèi)部認證并通過才可以進行只讀等權(quán)限設(shè)定。
四、結(jié)論
高校計算機信息安全管理體系的設(shè)計與實現(xiàn)是對高校信息化建設(shè)深入發(fā)展的一個必然過程,隨著信息技術(shù)的發(fā)展和高校信息化規(guī)模延伸暴露的問題也會越來越多,研究出合理的應(yīng)對與預(yù)防機制是具有現(xiàn)實意義的。
作者:范婷婷 單位:新疆輕工職業(yè)技術(shù)學(xué)院
1加強安全管理,助力企業(yè)轉(zhuǎn)型
在國際信息安全環(huán)境日趨惡劣,國家全面倡導(dǎo)信息安全的大環(huán)境下,為了確保信息安全工作的可持續(xù)性開展及業(yè)務(wù)信息系統(tǒng)的穩(wěn)定運行,依據(jù)集團總部《關(guān)于建立集團公司網(wǎng)絡(luò)與信息安全組織保障體系的通知》、鄂通信局發(fā)[2013]127號《關(guān)于進一步落實基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核及有關(guān)工作的意見》等相關(guān)文件精神,同時參考《GA/T708-2007信息安全技術(shù)-信息系統(tǒng)安全等級保護體系框架》、《GB/T22239-2008信息安全技術(shù)-信息系統(tǒng)安全等級保護基本要求》《GB/T20269-2006信息安全技術(shù)-信息系統(tǒng)安全管理要求》、《GB/T0984-2007信息安全技術(shù)-信息安全風(fēng)險評估規(guī)范》等國家標準,制定了《信息安全管理辦法》、《信息安全策略》、《安全保障框架》及《安全保障基線規(guī)范》規(guī)范等,率先在企業(yè)內(nèi)建立并實施該體系,全面倡導(dǎo)企業(yè)向信息安全生產(chǎn)經(jīng)營轉(zhuǎn)型,同時積極引導(dǎo)合作伙伴樹立信息安全意識,規(guī)范自身的生產(chǎn)及合作行為,明確安全風(fēng)險責(zé)任、細化管理要求,立足自身,兼顧第三方,共同打造信息安全的綠色長城,確保企業(yè)長足健康發(fā)展。通過該安全管理體系的實施,從中全面深入地挖掘現(xiàn)有安全體系的不足之處,并針對現(xiàn)有業(yè)務(wù)系統(tǒng)中的各類安全隱患制定了有效的整改方案并予以實施、預(yù)警,確保了移動互聯(lián)網(wǎng)業(yè)務(wù)的可持續(xù)性發(fā)展及業(yè)務(wù)信息系統(tǒng)的穩(wěn)定運行。首先,組織完成企業(yè)的自有業(yè)務(wù)信息系統(tǒng)和合作業(yè)務(wù)信息系統(tǒng)的安全等級劃分工作,將平臺安全管理工作落實到具體的責(zé)任人,并簽署責(zé)任狀,從而樹立全員安全責(zé)任意識,實現(xiàn)人人參與安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技術(shù)對業(yè)務(wù)信息系統(tǒng)進行安全掃描、安全審計,并應(yīng)用HIVE、Waka、PIG、Mahout等工具對海量日志、數(shù)據(jù)進行分析和審核,發(fā)現(xiàn)相關(guān)漏洞與脆弱點,并針對自有及合作業(yè)務(wù)信息系統(tǒng)編寫了整改建議和系統(tǒng)層面的加固方案。通過持續(xù)對自有及合作信息系統(tǒng)的檢查,共發(fā)現(xiàn)自有業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞攻擊39處,合作業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞14處,目前這些漏洞已經(jīng)全部整改與加固完畢,消除了安全隱患。其次,以信息安全管理為導(dǎo)向,組建了由電信營運商、合作伙伴、專業(yè)公司三方共同構(gòu)成的一支業(yè)務(wù)信息系統(tǒng)安全管理團隊,通過從合作業(yè)務(wù)管理規(guī)范的建立到合作伙伴安全技能培訓(xùn),從信息安全制度宣貫到系統(tǒng)安全處罰辦法的落實執(zhí)行,從系統(tǒng)安全的定期評估到系統(tǒng)漏洞的及時加固等一系列舉措,最終創(chuàng)建一套業(yè)務(wù)信息系統(tǒng)全新的安全管理模型,提高業(yè)務(wù)信息系統(tǒng)運行質(zhì)量和服務(wù)能力,提升創(chuàng)新業(yè)務(wù)品牌形象。從安全管理模型啟用至今,未發(fā)生一起信息安全事故,這樣強化了合作伙伴的信息安全概念,督促合作伙伴在發(fā)展業(yè)務(wù)的同時也重點關(guān)注信息安全問題,極大地降低了由于合作系統(tǒng)的信息安全漏洞導(dǎo)致的中病毒或木馬、假冒網(wǎng)站、賬號或密碼被盜、個人信息泄露等客戶信息安全事件的發(fā)生概率,此類原因造成創(chuàng)新業(yè)務(wù)投訴比率和往年相比降低了15%,改變了用戶對創(chuàng)新業(yè)務(wù)的固有印象,建立了良好的創(chuàng)新業(yè)務(wù)服務(wù)品牌形象。此模型具備良好的可復(fù)制性,可指導(dǎo)通信領(lǐng)域運營企業(yè)開展信息安全工作。在全國率先打造這套移動互聯(lián)網(wǎng)業(yè)務(wù)安全管理體系,包含一系列業(yè)務(wù)系統(tǒng)信息安全管理辦法、信息安全策略、安全保障框架、安全保障基線規(guī)范等相關(guān)業(yè)務(wù)系統(tǒng)管理制度及規(guī)范,業(yè)務(wù)系統(tǒng)安全管理體系的先進性和時效性在通信行業(yè)內(nèi)名列前茅,同時通過近兩年的安全理論研究和安全評估加固實踐,針對當(dāng)前企業(yè)業(yè)務(wù)平臺系統(tǒng)在信息安全監(jiān)管中面臨的一些問題,對當(dāng)前主流關(guān)聯(lián)分析技術(shù)進行研究的基礎(chǔ)上,提出了一種新的安全事件關(guān)聯(lián)分析技術(shù)。該技術(shù)涉及到多源數(shù)據(jù)預(yù)處理、報警聚合、關(guān)聯(lián)分析、大數(shù)據(jù)分析和安全狀況態(tài)勢評估等相關(guān)技術(shù)。此技術(shù)運用到電信行業(yè)的信息安全監(jiān)管上,就能夠?qū)ΡO(jiān)控設(shè)備收集的日志及安全設(shè)備產(chǎn)生的告警進行關(guān)聯(lián)分析和挖掘,從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏的安全信息,通過對此類信息的統(tǒng)計、濃縮、總結(jié)、關(guān)聯(lián)和分類,抽象出利于進行判斷和比較的特征庫,并智能地學(xué)習(xí)和維護其特征庫,從而在提高安全事件報警準確率的情況下保證極高的識別效率。同時該安全管理體系成功應(yīng)用到與百度公司合作開發(fā)的愛奇藝視頻業(yè)務(wù)系統(tǒng)、與騰訊科技公司聯(lián)合開發(fā)的微信平臺、與奇虎科技公司共同開發(fā)的安全衛(wèi)士手機應(yīng)用系統(tǒng),得到部分在美國納斯達克上市的中國互聯(lián)網(wǎng)精英公司的高度認可和贊許,并表示今后與電信運營商共同開發(fā)產(chǎn)品都依照此安全管理規(guī)范和體系,確保產(chǎn)品的各項安全性能指標。
2創(chuàng)新點
為順應(yīng)移動互聯(lián)網(wǎng)時代,運營商從基礎(chǔ)通信運營向流量運營轉(zhuǎn)型的新趨勢,湖北移動確定了“業(yè)務(wù)轉(zhuǎn)型,安全先行”的發(fā)展思路,堅持“以安全保發(fā)展、以發(fā)展促安全”。在已有的網(wǎng)絡(luò)與信息安全管理辦法的基礎(chǔ)上,積極開展適應(yīng)移動互聯(lián)網(wǎng)時代安全管理體系建設(shè),不斷推進科學(xué)的安全管理方法,做到六“注重”六“突出”,即:(1)注重整體規(guī)劃,突出體系建設(shè),促進職責(zé)高效履行。制定下發(fā)安全標準化管理與評價體系建設(shè)計劃,內(nèi)容涵蓋安全工作方針目標、安全目標、各方職責(zé)、安全管理體系和模式、安全設(shè)施和機房環(huán)境保護設(shè)施標準、安全文明操作保證金、安全考核與獎懲、過程的主要控制措施、應(yīng)急準備和響應(yīng)等方面。嚴格按計劃有序開展體系建設(shè)工作;嚴格按體系文件要求開展業(yè)務(wù)或系統(tǒng)試運行工作;加強保證與監(jiān)督體系的建設(shè)。(2)注重文化建設(shè),突出信息安全特色,促進習(xí)慣養(yǎng)成。以人為本,加強企業(yè)安全文化建設(shè),促使安全文化落地,提高員工安全與風(fēng)險防范意識。(3)注重教育培訓(xùn),突出行業(yè)特色,達到安全管理效果。通過多種渠道、形式多樣的安全教育和培訓(xùn)方式,組織各單位安全管理人員開展安全教育和培訓(xùn)工作:一是安排專家和行業(yè)資深人士進行專題講座;二是在專題培訓(xùn)的基礎(chǔ)上,做好網(wǎng)絡(luò)與信息安全專項工作如何開展的培訓(xùn)。(4)注重設(shè)備管理,突出針對特色,實現(xiàn)安全管理精細化。首先,網(wǎng)絡(luò)設(shè)備較多,加強網(wǎng)絡(luò)安全管理提高設(shè)備安全可靠性是首要任務(wù),為此各維護單位對每臺設(shè)備均建立了安全技術(shù)臺帳,臺帳包括運行記錄、檢查保養(yǎng)記錄和定期檢驗記錄。其次,組織精干力量先后兩次對所有設(shè)備、流程、機房進行全面的安全評估工作。第三,使隱患排查整改形成機制。(5)注重安全投入,突出專用特色,合理使用安全生產(chǎn)費用。認真落實安全管理費用投入長效機制,加大安全費用的管理,做到??顚S?,確保安全生產(chǎn)費用規(guī)范化、合理化和足額投入。并加強安全生產(chǎn)保證金的管理,建立安全生產(chǎn)保證金并實行年底考核的機制,有效促進了安全管理工作。(6)注重應(yīng)急預(yù)案,突出超前特色,安全管理贏在主動。在安全管理中,把預(yù)防工作落到實處,建立健全了應(yīng)急處置機構(gòu),將應(yīng)急處置工作進一步制度化,規(guī)范化,形成了完整的安全事故預(yù)防體系。同時,開展形式多樣、符合實際的應(yīng)急演練。
3結(jié)語
全新的移動互聯(lián)網(wǎng)業(yè)務(wù)安全管理體系具備創(chuàng)新性、可復(fù)制性,對此領(lǐng)域企業(yè)具備示范和指導(dǎo)意義。目前已經(jīng)被省公司相關(guān)專業(yè)部門采納,計劃結(jié)合信安部工作在全國范圍內(nèi)進行推廣,同時在移動互聯(lián)網(wǎng)行業(yè)領(lǐng)域,成為行業(yè)巨頭制定與電信運營商合作開發(fā)產(chǎn)品的管理規(guī)范。此安全管理體系在企業(yè)應(yīng)用范圍涵蓋的業(yè)務(wù)生產(chǎn)中,帶來了巨大經(jīng)濟效益和社會效益,通過持續(xù)對自有及合作信息系統(tǒng)的檢查,共發(fā)現(xiàn)自有業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞攻擊67處,合作業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞30處,成功處理異常安全入侵26次,避免了平臺業(yè)務(wù)收入的損失。
作者:彭敏 廖振松 單位:湖北移動政企分公司湖北移動網(wǎng)管中心
1電力信息安全
信息安全是指計算機網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件和其他數(shù)據(jù)等不受非法用法的破壞,主要指未經(jīng)授權(quán)的訪問者無法使用訪問數(shù)據(jù)和修改數(shù)據(jù),而只給授權(quán)的用戶提供數(shù)據(jù)服務(wù)和可信信息服務(wù),并保證服務(wù)的完整性、可信性和機密性。電力信息安全是指供電系統(tǒng)中提供給用戶或公司內(nèi)部員工的數(shù)據(jù)是安全的、可信的。供電公司管理系統(tǒng)是個繁雜的系統(tǒng),涉及用電客戶和公司內(nèi)部員工及第三方托管服務(wù)公司,系統(tǒng)的信息安全一直是公司發(fā)展的瓶頸。正確評估供電公司信息安全系統(tǒng)的合理性和安全性,針對安全風(fēng)險進行分析,最后制訂供電公司信息安全的策略非常重要,也是至關(guān)重要的。
2供電企業(yè)信息安全的影響因素
盡管供電公司投入了大量的財力、物力建設(shè)電網(wǎng)信息安全系統(tǒng),但供電企業(yè)內(nèi)部網(wǎng)絡(luò)仍不健全,存在許多安全隱患。另外,供電公司信息化水平不高,信息安全保障措施薄弱也制約了其信息安全系統(tǒng)的建設(shè)。要構(gòu)建一個健全的供電公司信息安全保障體系,就要首先分析供電公司信息安全的影響因素,對癥下藥,進一步提出供電企業(yè)加強信息安全管理的對策。
2.1不可抗拒因素
所謂“不可抗拒因素”,就是由于火災(zāi)、水災(zāi)、供電、雷電、地震等自然災(zāi)害影響,供電公司的供電線路、計算機網(wǎng)絡(luò)信號、計算機數(shù)據(jù)等受到破壞,并威脅到供電公司的信息安全。
2.2計算機網(wǎng)絡(luò)設(shè)備因素
供電公司計算機系統(tǒng)中使用大量的網(wǎng)絡(luò)設(shè)備,包括集線器、網(wǎng)絡(luò)服務(wù)器和路由器等,其正常運行關(guān)系著供電公司內(nèi)部網(wǎng)絡(luò)的正常運行,而計算機網(wǎng)絡(luò)設(shè)備的安全直接關(guān)系著供電公司的正常運行。
2.3數(shù)據(jù)庫安全因素
供電公司計算機系統(tǒng)監(jiān)控用戶峰值,管理用電客戶信息及其他用戶繳費等情況,計算機數(shù)據(jù)庫的系統(tǒng)安全決定了供電企業(yè)的調(diào)度效率,也決定了供電公司公共信息的安全。供電公司應(yīng)該使用專用網(wǎng)絡(luò)設(shè)備,確保企業(yè)內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)的隔離。
2.4管理因素
供電公司員工的業(yè)務(wù)素質(zhì)和職業(yè)修養(yǎng)參差不齊,直接影響到供電公司的網(wǎng)絡(luò)安全。供電公司應(yīng)該建立過錯追究制度,提高員工的信息化素質(zhì),有效防止和杜絕管理因素造成的信息安全問題。
3供電企業(yè)加強信息安全管理的對策
3.1提升員工信息安全防患意識
開展信息安全管理工作,并非僅僅是系統(tǒng)使用或者管理部門的事,而是企業(yè)所有職工的事,因此,要增強全體員工的信息安全和防患意識。通過采取培訓(xùn)和考核等有力措施,進一步提升全體員工對企業(yè)信息安全的認識,讓信息安全成為企業(yè)日常工作業(yè)務(wù)的一個組成部分,從而提升企業(yè)整體信息安全水平。
3.2采用知識型管理
傳統(tǒng)的安全管理大部分采取的是一種硬性的管理手段。在當(dāng)今知識經(jīng)濟的時代,安全管理應(yīng)當(dāng)以知識管理為主,從而使得安全管理措施與手段也越來越知識化、數(shù)字化和智能化,促使信息安全管理工作進入一個嶄新的階段。
3.3設(shè)置系統(tǒng)用戶權(quán)限
為了預(yù)防非法用戶侵入系統(tǒng),應(yīng)按照用戶不同的級別限制用戶的權(quán)限,并投入資金開展安全技術(shù)督查和安全審計等相關(guān)活動。信息安全并非一朝一夕就能完成的事,它需要一個長期的過程才能達到較高的水平,需建立并完善相應(yīng)的管理制度,從平時的基礎(chǔ)工作著手,及時發(fā)現(xiàn)問題,匯報問題,分析問題并解決問題。
3.4防范計算機病毒攻擊
加速信息安全管控措施的建設(shè),在電力信息化工作中,辦公自動化是其中一項非常重要的內(nèi)容,而核心工作業(yè)務(wù)就是電子郵件的發(fā)送與接收,這也正是計算機病毒一個非常重要的傳播渠道。因此,必須大力促進個人終端標準化工作的建設(shè),實現(xiàn)病毒軟件的自動更新、自動升級,不得隨意下載并安裝盜版軟件;加強對木馬病毒等的安全防范措施,對用戶訪問實施嚴格的控制。
3.5完善信息安全應(yīng)急預(yù)案
嚴格規(guī)范信息安全事故通報程序,對于隱瞞信息事件的現(xiàn)象,必須嚴肅查處。對于國家和企業(yè)信息安全運行動態(tài),要及時通報,分析事件,及時信息安全通告。對于己經(jīng)制定的相關(guān)預(yù)案和安全措施,必須落到實處。另外,還要進一步加強信息安全技術(shù)督查隊伍的建設(shè),提高信息安全考核與執(zhí)行的力度。
3.6建立信息安全保密機制
加強信息安全保密措施的落實,禁止將涉密計算機連接到互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò),完善外部人員訪問的相關(guān)授權(quán)、審批程序。定期組織開展信息系統(tǒng)安全保密的各項檢查工作,切實做好涉密文檔的登記、存檔和解密等環(huán)節(jié)的工作。
4結(jié)束語
為了保障國民經(jīng)濟的快速發(fā)展,就要確保供電系統(tǒng)的穩(wěn)定安全,就要合理應(yīng)用計算機網(wǎng)絡(luò)管理供電公司網(wǎng)絡(luò),科學(xué)管理供電網(wǎng)絡(luò)信息,促進企業(yè)的可持續(xù)發(fā)展。供電公司要充分利用好企業(yè)內(nèi)部網(wǎng)絡(luò),提高勞動生產(chǎn)率,并加強網(wǎng)絡(luò)信息安全監(jiān)控,加強企業(yè)內(nèi)部優(yōu)化,創(chuàng)新供電企業(yè)服務(wù)意識,加強供電企業(yè)信息安全管理對策,適當(dāng)提高供電企業(yè)信息化管理水平,保證供電企業(yè)的信息安全。
作者:吳金文 程麗琴 單位:國網(wǎng)贛西供電公司安全監(jiān)察質(zhì)量部
1目前我國供電企業(yè)網(wǎng)絡(luò)信息管理現(xiàn)狀
(1)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不健全。
現(xiàn)階段,我國的供電企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不夠健全,未能達成建立在供電企業(yè)內(nèi)部網(wǎng)絡(luò)信息化的理想狀態(tài)。中部市、縣級供電公司因為條件有限,信息安全工作相對投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個健全的內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)。但隨著各類信息系統(tǒng)不斷上線投運,財務(wù)、營銷、生產(chǎn)各專業(yè)都有相關(guān)的信息系統(tǒng)投入應(yīng)用,相對薄弱的網(wǎng)絡(luò)系統(tǒng)必將成為整個信息管理模式的最短板。
(2)存在于網(wǎng)絡(luò)信息化機構(gòu)漏洞較多。
目前在我國供電企業(yè)中,網(wǎng)絡(luò)信息化管理并未建立一個完整系統(tǒng)的體系,供電網(wǎng)絡(luò)的各類系統(tǒng)對于關(guān)鍵流程流轉(zhuǎn)、數(shù)據(jù)存儲等都非常的重要,不能出現(xiàn)絲毫的問題,但是所承載網(wǎng)絡(luò)平臺的可靠性卻不高,安全管理漏洞也較多,使得信息管理發(fā)展極不平衡。信息化作為一項系統(tǒng)的工程,未能有專門的部門來負責(zé)執(zhí)行和管理。網(wǎng)絡(luò)信息安全作為我國供電企業(yè)安全文化的重要組成部分,針對現(xiàn)今我國供電企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀來看,計算機病毒,黑客攻擊造成的關(guān)鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡(luò)安全隱患。各種計算機準入技術(shù),可移動存儲介質(zhì)加密技術(shù)的應(yīng)用,給企業(yè)信息網(wǎng)絡(luò)安全帶來了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實是:操作系統(tǒng)正版化程度嚴重不足。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新,針對操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計算機網(wǎng)絡(luò)病毒的出現(xiàn),就會對企業(yè)內(nèi)部計算機進行大規(guī)模的傳播,給目前相對公開化的網(wǎng)絡(luò)一個有機可乘的機會,對計算機系統(tǒng)進行惡意破壞,導(dǎo)致計算機系統(tǒng)崩潰。不法分力趁機竊取國家供電企業(yè)的相關(guān)文件,篡改供電系統(tǒng)相關(guān)數(shù)據(jù),對國家供電系統(tǒng)進行毀滅性的攻擊,甚至致使整個供電系統(tǒng)出現(xiàn)大面積癱瘓。
(3)職工安全防范意識不夠。
想要保證我國網(wǎng)絡(luò)信息的安全,就必須要提高供電企業(yè)員工的綜合素質(zhì),目前國內(nèi)供電企業(yè)職員的安全防范意識不強,水平參差不齊,多數(shù)為年輕職員,實際操作的能力較低,缺少應(yīng)對突發(fā)事件應(yīng)對措施知識的積累。且多數(shù)老齡職工難以對網(wǎng)絡(luò)信息完全掌握,跟不上信息化更新狀態(tài),與新型網(wǎng)絡(luò)技術(shù)相脫軌。
2網(wǎng)絡(luò)信息安全管理在供電企業(yè)中的應(yīng)用
造成供電企業(yè)的信息安全的威脅主要來自兩個方面,一方面是國家供電企業(yè)本身設(shè)備上的信息安全威脅,另一方面就是外界網(wǎng)絡(luò)惡意的攻擊其中以外界攻擊的方式存在的較多。現(xiàn)階段我國供電企業(yè)的相關(guān)部門都在使用計算機對網(wǎng)絡(luò)安全進行監(jiān)督和管理,難以保證所有計算機完全處在安全狀態(tài)。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業(yè)進行安全的管理,建立病毒防護體系,及時更新網(wǎng)絡(luò)防病毒軟件,針對性地引進遠程協(xié)助設(shè)備,提高警報設(shè)備的水平。供電企業(yè)的信息系統(tǒng)一個較為龐大且繁雜的系統(tǒng),在這個系統(tǒng)中存在信息安全風(fēng)險也是必然的。在這種情況下就要最大程度地降低存在的風(fēng)險,對經(jīng)歷的風(fēng)險進行剖析,制定針對性的風(fēng)險評估政策,確立供電企業(yè)信息系統(tǒng)安全是以制定針對性風(fēng)險評估政策為前提的,根據(jù)信息安全工作的緊迫需求做好全面的風(fēng)險評估至關(guān)重要?!罢莆蘸诵募夹g(shù)”不只是一句簡單的廣告詞語,還是國家和各個企業(yè)都應(yīng)該一直貫徹落實的方針政策。為了避免外界對我國供電企業(yè)信息技術(shù)的操控,國家相關(guān)部門就必須實行自主研發(fā)信息安全管理體系,有效地運用高科技網(wǎng)絡(luò)技術(shù)促使安全策略、安全服務(wù)和安全機制的相結(jié)合,大力開發(fā)信息網(wǎng)絡(luò),促進科技管理水平的快速提高,以保證我國供電信息管理的安全。
3結(jié)語
為了確保供電企業(yè)的安全,根據(jù)時展需要與時俱進,合理地運用網(wǎng)絡(luò)信息來進行科學(xué)的管理,有利于促進我國供電企業(yè)的可持續(xù)發(fā)展。供電企業(yè)在運用網(wǎng)絡(luò)的同時注意好對網(wǎng)絡(luò)信息安全的監(jiān)控,不斷優(yōu)化內(nèi)部管理,提高創(chuàng)新意識,制定好有效的風(fēng)險防范措施,適時提高我國供電企業(yè)職員的素質(zhì)水平,為實現(xiàn)我國供電企業(yè)信息管理提供可靠的保證。
作者:胡滔 單位:國網(wǎng)湖南省電力公司臨湘市供電分公司
1加強移動存儲介質(zhì)的管理
移動存儲設(shè)備管理主要是指當(dāng)存儲設(shè)備插入主機系統(tǒng)時,主機根據(jù)判斷設(shè)備識別信息與數(shù)據(jù)庫中身份注冊信息是否相符,再確定該移動存儲介質(zhì)是否能夠被主機系統(tǒng)激活并為用戶所用。然后根據(jù)用戶權(quán)限決定其所能使用的接口數(shù)量,如果超出則移動存儲設(shè)備自動彈出。建立合適的安全組織機構(gòu)能合理地協(xié)調(diào)各方面因素,實現(xiàn)安全管理的規(guī)范化、科學(xué)化,通過各級組織機構(gòu)對海港工程項目各級成員單位的信息安全建設(shè)進行監(jiān)督管理和檢查指導(dǎo),統(tǒng)一規(guī)劃和設(shè)計出海港工程項目信息安全管理體系,保證安全策略有機整合,避免安全漏洞。在部門之間,信息管理部門主要負責(zé)信息安全技術(shù),在安全管理上與本單位的保密部門、機要部門等相關(guān)部門協(xié)調(diào)合作,共同做好信息安全管理工作。
1.1限制外接設(shè)備和接口
接口限制主要包括兩個部分:外接存儲設(shè)備接口與網(wǎng)絡(luò)接口限制。一方面要限制外設(shè)接口濫用,一方面也要避免內(nèi)部人員利用網(wǎng)絡(luò)接口私自接入非法主機或接出外網(wǎng)。對USB接口統(tǒng)一管理,要求在不影響鼠標、鍵盤等外接設(shè)備正常運行的前提下嚴格管理和控制存儲設(shè)備接口的使用;對打印機、刻錄機、光驅(qū)、軟驅(qū)等常規(guī)外接設(shè)備嚴格限制,做到有用監(jiān)管、無用封禁、統(tǒng)一管理、集中使用,避免內(nèi)部人員私自利用本地打印或刻錄方式竊取涉密信息;對涉密存儲設(shè)備做到嚴格管制,專盤專用,由保密辦負責(zé)編號登記,標明密級并由專人保管,需使用時向保管部門借出并及時交還,不得在涉密計算機上使用未經(jīng)認證的存儲設(shè)備或?qū)⒃鎯?、處理過涉密信息的存儲設(shè)備挪作他用。
1.2實施集中刻錄和打印安全審核
海港工程項目內(nèi)部網(wǎng)絡(luò)有著極高涉密安全需求,除了需要防止用戶通過移動存儲設(shè)備拷貝涉密信息外,也需要預(yù)防有人通過光盤刻錄、打印等傳統(tǒng)手段下載機密信息。因此光盤刻錄工作集中在專項部門進行,用戶在使用前必須首先獲得許可,并全程跟蹤光盤的流向及使用情況。打印安全簡單來講就是需要確保敏感或機密信息不在打印環(huán)節(jié)遭到泄露。首先需要屏蔽用戶主機的打印機接口,接著由用戶端發(fā)起打印申請,審批備案后,再經(jīng)過海港工程項目信息安全管理中心統(tǒng)一授權(quán)的打印機構(gòu)予以打印。在打印過程中應(yīng)注意以下幾點:確保打印資料從電腦傳輸?shù)酱蛴C網(wǎng)絡(luò)的過程中不被他人惡意截取;確保打印好的文件不會被人有意無意取閱或拿走;對施工人員的打印作業(yè)進行有效的監(jiān)控和管理,特別是嚴格落實與打印相關(guān)的審核和控制;對打印的完整生命周期的管理,包括權(quán)限認證,任務(wù)發(fā)起,任務(wù)審核,拷貝銷毀等等;要求對所有安全文檔進行分級管理,按照涉密的級別打印,并進行精細化管理。
1.3防止存儲設(shè)備管理失控
海港工程項目在項目的施工過程中,往往會涉及許多的施工單位和部門,因此,使用存儲設(shè)備進行信息的臨時性存儲便變得十分平常,海港工程項目信息系統(tǒng)中大量的涉密信息都存儲在軟盤、磁盤和光盤里,而這些載體又十分容易被使用者帶入不安全的環(huán)境之中,發(fā)生載體丟失、被盜或存儲介質(zhì)受到損毀等意外情況,造成嚴重的信息泄露事故,給國防和軍隊建設(shè)造成重大損失,故必須加強此方面的防范力度。對于廢棄磁介質(zhì)的管理,由于磁性介質(zhì)具有剩磁特性,因此存儲過涉密信息的磁性存儲介質(zhì)可能會因為存儲介質(zhì)永久性磁化而造成信息的泄露。對于存儲過涉密信息的廢舊存儲設(shè)備和介質(zhì)必須嚴格控制其流通的范圍,按照信息安全管理的相關(guān)規(guī)定和流程將準備廢棄的設(shè)備交到保密機構(gòu)集中統(tǒng)一保管或進行嚴格規(guī)范的脫密、銷毀,并辦理好相應(yīng)的登記手續(xù)。
2加強紙質(zhì)文檔資料的管理
在海港工程項目建設(shè)的過程中,信息在流動時,人們通常會使用大量的紙質(zhì)類文件來記錄、保存和傳輸各種涉密的信息。為防止這些紙質(zhì)文檔上的資料和信息泄露。一般需要采取以下措施進行科學(xué)管理:嚴格遵守保密條例中的各項規(guī)定和制度要求,特別要嚴禁文檔資料的非法復(fù)??;在文件和文檔資料制作過程中,為防止丟棄的草稿紙、復(fù)寫紙、計算機表格、演算紙、數(shù)據(jù)卡片和學(xué)習(xí)筆記等“廢紙”造成泄密,必須嚴格按照保密守則銷毀一切廢品,并將所有廢紙及時進行粉碎和焚燒;嚴格控制相關(guān)文檔資料的傳閱范圍和人群,同時,還應(yīng)周密審查、嚴格控制在各種報紙雜志等媒體上的消息,防止間接泄露海港工程項目涉密信息。
3加強辦公設(shè)備和工地設(shè)備的管理
3.1強化電腦設(shè)備的審核與管理
嚴格區(qū)分涉密、非涉密計算機,涉密計算機必須登記在冊,非涉密計算機嚴禁儲存涉密信息。通過用戶訪談和網(wǎng)絡(luò)收集工具,從技術(shù)、管理、策略等角度更深層次地了解與海港建設(shè)項目信息相關(guān)的安全要素,挖掘出信息安全管理背后的風(fēng)險。并收集海港工程項目信息安全管理的網(wǎng)絡(luò)信息,主機開放端口信息及共享信息等情況。通過網(wǎng)管軟件對涉密計算機進行實時監(jiān)控,對海港工程項目內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和信息流進行安全審核,對工作人員操作及用戶行為進行記錄,建立即時預(yù)警平臺并留存操作證據(jù),以便信息安全管理部門的工作人員遠程監(jiān)控、查找和跟蹤線索。
3.2強化對工地施工設(shè)備的審查和管理
隨著信息技術(shù)的飛速發(fā)展和高新技術(shù)手段的應(yīng)用,信息的承載和傳輸方式由有形、有線向無形、無線發(fā)展,使信息管理難度加大。信息技術(shù)在施工設(shè)備上的使用和藏匿方式更加多樣化,使海港工程項目面臨的竊密和泄密威脅進一步增大。海港工程項目信息安全管理部門應(yīng)重點做好防范“預(yù)置陷阱”危害的工作,預(yù)置陷阱是指在信息系統(tǒng)、設(shè)備、部件中人為地預(yù)設(shè)了一些陷阱。例如:從境外引進的信息產(chǎn)品和工程施工設(shè)備很可能帶有“技術(shù)后門”和“陷阱”,對信息安全帶來嚴重隱患。因此,必須對所有參與競標的單位的施工設(shè)備進行嚴格的技術(shù)和安全審查,并制定一套有效的“技術(shù)后門”和“陷阱”應(yīng)急處置方案。由于海港工程項目中使用的信息產(chǎn)品有許多都是由外企生產(chǎn)或外方經(jīng)營控制的,因此,務(wù)必加強對海港工程項目內(nèi)部施工和通訊等設(shè)備的管理,做好施工設(shè)備的電、磁、光、聲泄露防護,避免因?qū)κ┕ぴO(shè)備審查不嚴而造成涉密信息的泄露。
作者:柴東洋 戰(zhàn)希臣 鄭海平 單位:海軍航空工程學(xué)院
一、管理干部需要進行信息安全管理技能培養(yǎng)
國家、省市已經(jīng)頒布各種法律法規(guī),各大單位也根據(jù)自己的具體情況,建立了自己的規(guī)章制度,維護信息安全已經(jīng)有法可依。但是信息安全管理工作涉及的知識面非常廣,需要了解國家信息安全管理法規(guī),需要學(xué)習(xí)信息技術(shù)一般理論,需要知道信息安全漏洞知識,需要明白信息安全禁令范疇。為提高學(xué)習(xí)效率和質(zhì)量,全面掌握信息安全理論和方法,按照信息安全管理知識體系,建設(shè)信息安全管理教學(xué)系統(tǒng),提供學(xué)習(xí)信息安全管理的教學(xué)條件,從而為各方面人員學(xué)習(xí)和執(zhí)行各種規(guī)章制度提供依據(jù)。相比其他管理工作,信息安全管理工作需要比較多的理工專業(yè)基礎(chǔ)和比較高的電腦技術(shù)要求,在實際的信息安全管理工作中,需要靈活的信息安全管理處置能力,更多的是判斷信息安全問題、識別信息安全陷阱、規(guī)范信息安全管理。由于知識背景和工作性質(zhì)特點,管理干部需要花費更多的時間和精力學(xué)習(xí)信息安全管理知識和技術(shù),才能具備基本的信息安全防范技能。為幫助他們更好地獨立處置信息安全管理問題,掌握發(fā)現(xiàn)問題解決問題技能,依據(jù)現(xiàn)代教育理念和方法,不僅需要提供深入淺出、知識完備的知識體系學(xué)習(xí)訓(xùn)練系統(tǒng),而且需要信息安全管理能力訓(xùn)練系統(tǒng)。
二、信息安全管理培訓(xùn)思路
為滿足信息安全管理工作在人員培訓(xùn)方面的需要,需要依托各級培訓(xùn)學(xué)校,按照國家和省市地方的制度法規(guī),借助現(xiàn)代教育思想,借助現(xiàn)代教育技術(shù),明確符合實際需要的功能定位,建設(shè)信息安全管理復(fù)合應(yīng)用型人才培訓(xùn)體系,實現(xiàn)信息安全管理工作對培訓(xùn)教育、終身教育的培訓(xùn)要求。
1.培訓(xùn)依據(jù)
(1)依據(jù)各種信息安全管理制度法規(guī)。信息安全人員在履行工作職責(zé)的時候,必須按照各種信息安全管理法規(guī)、制度和要求實施,制訂人才培養(yǎng)方案和教學(xué)計劃必須依據(jù)國家、省市和本部門的信息安全管理的相關(guān)規(guī)定,這樣的教學(xué)內(nèi)容才能保證人才培養(yǎng)的針對性和實用性,保證管理干部履行信息安全管理職責(zé)的有效性。涉及信息安全制度法規(guī)的相關(guān)文件很多,有的是專門為信息安全制訂的,有的制度和法規(guī)散落在各個業(yè)務(wù)管理制度中。在建設(shè)信息安全管理知識體系時,必須將業(yè)務(wù)部門的相關(guān)規(guī)定融入知識體系中,使得管理干部在處理具體業(yè)務(wù)中的信息安全管理工作具有針對性和有效性。
(2)符合培訓(xùn)教育特點規(guī)律。信息安全管理技能是從事管理工作人員的基本技能,屬于崗位專業(yè)培訓(xùn)或?qū)I(yè)技能培訓(xùn),屬于培訓(xùn)教育培訓(xùn)。受訓(xùn)人員專業(yè)背景不同,理論基礎(chǔ)不同,學(xué)習(xí)能力不同,必須避免統(tǒng)一教材、統(tǒng)一授課、統(tǒng)一訓(xùn)練、和統(tǒng)一考核的傳統(tǒng)教學(xué)模式,采取因人而異、因材施教的有針對性的教學(xué)方式,強調(diào)個性化學(xué)習(xí),將不同層次受訓(xùn)者的信息安全管理能力達到信息安全管理工作所需要的水平上來。
(3)遵循現(xiàn)代教育思想。在實施教育訓(xùn)練過程中,現(xiàn)代教育思想要求采取“學(xué)為主體、教為主導(dǎo)”的教學(xué)理念,學(xué)員能夠方便地獲得完整的知識體系和解決問題的技能和方法,自主學(xué)習(xí),開放學(xué)習(xí),自主理解、掌握知識和技能。為實現(xiàn)教學(xué)目的,需要分析信息安全管理技能特點,需要分析管理干部學(xué)習(xí)動力,結(jié)合教學(xué)目標,設(shè)計學(xué)員學(xué)習(xí)和訓(xùn)練的教育訓(xùn)練環(huán)境,提供完整的知識體系、豐富的教學(xué)資源、模擬的問題情況、交互的學(xué)習(xí)平臺和方便的使用途徑,提供與培訓(xùn)教育特點規(guī)律和技能訓(xùn)練要求相適應(yīng)的培訓(xùn)條件。
2.信息安全管理培訓(xùn)目標
按照信息安全管理工作的實際情況,培養(yǎng)信息安全管理工作中管理、業(yè)務(wù)和技術(shù)三支人才隊伍,突出業(yè)務(wù)和管理人才需要,兼顧信息安全技術(shù)人員的人才培養(yǎng),以現(xiàn)代教育思想為指導(dǎo),以信息技術(shù)為核心支持技術(shù),建設(shè)滿足信息安全人才培養(yǎng)的現(xiàn)代培訓(xùn)條件。信息安全管理培訓(xùn)以管理干部為培訓(xùn)對象,以信息安全管理工作為培訓(xùn)內(nèi)容,區(qū)分信息安全管理人員、業(yè)務(wù)干部和信息技術(shù)專門人員等不同層次,跟蹤信息安全管理形勢,實行階段反復(fù)輪訓(xùn),以適應(yīng)信息安全管理不斷發(fā)展的需要,確保信息安全管理工作的正常開展。
三、信息安全管理培訓(xùn)環(huán)境構(gòu)建
為適應(yīng)信息安全管理培訓(xùn)需要,適應(yīng)管理干部培訓(xùn)教育需要,必須構(gòu)建遵循信息安全管理規(guī)定、符合現(xiàn)代教育思想、依托信息技術(shù)手段、瞄準復(fù)合型適用人才培養(yǎng)的教育環(huán)境。信息安全管理培訓(xùn)條件涉及面很廣,包括組織機構(gòu)、舍堂館所、師資隊伍、后勤保障等等,這里我們更關(guān)心符合培訓(xùn)思路的培訓(xùn)模式和教學(xué)支持。從知識體系、學(xué)習(xí)途徑、訓(xùn)練場所和訓(xùn)練系統(tǒng)多方面著手,構(gòu)建信息安全管理訓(xùn)練體系,構(gòu)建管理人員信息安全人才培養(yǎng)條件。依據(jù)教育信息化研究成果和培訓(xùn)教育教學(xué)特點,需要建立完整的信息安全管理知識體系,建立開放式、自主式教育網(wǎng)絡(luò)平臺,建立強時效性的教學(xué)資源體系,建立信息安全管理知識測試系統(tǒng),建立信息安全管理能力訓(xùn)練系統(tǒng),等等。
1.構(gòu)建信息安全管理知識體系
培訓(xùn)教育的一個特點就是受訓(xùn)對象知識背景和技能掌握程度千差萬別,必須首先建立完整的知識體系,以滿足不同基礎(chǔ)、不同需求受訓(xùn)者對知識掌握和能力訓(xùn)練的要求。知識體系必須建立覆蓋學(xué)科知識和管理手段的所有內(nèi)容,包括理論體系和教學(xué)資源兩部分,其中理論體系包括基礎(chǔ)知識、安全理論、規(guī)范制度、管理方法、歷史沿革、防范手段和操作方法,教學(xué)資源包括現(xiàn)狀分析、經(jīng)典案例、技術(shù)講解、訓(xùn)練題庫和數(shù)據(jù)模型,適應(yīng)和滿足每個受訓(xùn)對象的需求。為滿足個性化服務(wù)需要,可以按照知識點建設(shè)模塊化框架結(jié)構(gòu),設(shè)計具備菜單選擇功能的專家系統(tǒng),允許受訓(xùn)者建立適合自己的個性化教學(xué)計劃和實施方案,確保受訓(xùn)者完成培訓(xùn)任務(wù)后勝任安全管理的崗位需要。可以建立智能教學(xué)計劃生成系統(tǒng),系統(tǒng)對每位受訓(xùn)者進行知識和技能測試,按照教學(xué)目標,根據(jù)測試結(jié)果,將該學(xué)員沒有掌握或掌握不夠的知識內(nèi)容和技能形成列表,從知識體系中搜尋相關(guān)知識和技能的概念、理論、技術(shù)和操作技能,形成該受訓(xùn)者個性化的教學(xué)計劃。隨著信息技術(shù)的發(fā)展和信息安全管理需求的變化,信息安全管理知識體系應(yīng)該是動態(tài)更新的,剔除修改陳舊的,充實替換實用的。
2.搭建開放、共享和交流的網(wǎng)絡(luò)平臺
網(wǎng)絡(luò)平臺是信息資源共享的基礎(chǔ),是交流互動的基礎(chǔ)。按照學(xué)科專業(yè)建設(shè)與管理規(guī)范建設(shè)知識體系,以數(shù)字化形式在互聯(lián)網(wǎng),實現(xiàn)信息安全管理教育資源共享。作為資源共享平臺的網(wǎng)絡(luò)平臺,不僅為建設(shè)者資源共享提供平臺,而且可以為學(xué)習(xí)者提供資源上傳服務(wù),成為學(xué)習(xí)者之間相互交流資源的共享平臺,更為信息資源積累提供了很好的機制和存儲條件。網(wǎng)絡(luò)具有兩個特點,一是允許網(wǎng)絡(luò)用戶365天24小時使用,可以提供受訓(xùn)者隨時學(xué)習(xí)和訓(xùn)練,二是允許網(wǎng)絡(luò)用戶在任何有信息覆蓋的地方登錄,可以提供受訓(xùn)者隨地學(xué)習(xí)和訓(xùn)練,這兩個特點打破了傳統(tǒng)教學(xué)時空的限制,為學(xué)員自主學(xué)習(xí)、教師開放教學(xué)、師生互動交流提供了可能,也為實施現(xiàn)代教育思想提供了條件。
3.建立虛擬講堂
優(yōu)秀教師的講授可以將學(xué)習(xí)效果演繹得趣味精彩,可以將學(xué)習(xí)內(nèi)容組織得明白易懂,可以將現(xiàn)實運用解析得透徹自然。為更多學(xué)員獲得完美的教學(xué)體驗,為積累并共享優(yōu)秀教學(xué)資源,為學(xué)員快捷準確全面理解知識運用知識提供幫助,記錄、整理并優(yōu)秀教師或?qū)<沂谡n錄像,供更多受訓(xùn)者學(xué)習(xí)參考。教學(xué)錄像在網(wǎng)上成為虛擬講堂,成為不同專業(yè)不同時期受訓(xùn)者良好的教學(xué)資源,目前全球風(fēng)行的慕課,可以成為這種培訓(xùn)目的的教學(xué)模式,成本低,效益好。因為技術(shù)層面的因素,信息安全管理知識體系在理論基礎(chǔ)和原理解釋有大量不易理解的知識點和疑難問題,學(xué)習(xí)時需要佐證的理論和嚴謹?shù)倪壿?,需要傳授者環(huán)環(huán)相扣的謹密推演,因此針對重要知識點和疑難雜診的講授片段是受訓(xùn)者自主式學(xué)習(xí)時需要的重要教學(xué)參考資料。各個大學(xué)基本都建設(shè)了網(wǎng)絡(luò)課堂,為虛擬講堂建設(shè)提供了很好的技術(shù)平臺。依據(jù)此平臺,建設(shè)信息安全管理和教學(xué)資源和網(wǎng)絡(luò)課程,可以構(gòu)筑完整的知識體系,為培訓(xùn)教育自主式學(xué)習(xí)提供了很好的學(xué)習(xí)資源。
4.建設(shè)信息安全管理實驗室
培訓(xùn)教育能力訓(xùn)練是教學(xué)環(huán)節(jié)中的主要部分,驗證理論、觀摩操作方法和訓(xùn)練技能需要包括場所、設(shè)備和軟件等實驗條件,實驗室是完成實驗任務(wù)和檢驗方法效果必須具備的教學(xué)條件。理論、方法和技能的實驗和訓(xùn)練是信息安全管理培訓(xùn)需要完成的教學(xué)環(huán)節(jié),這些需要信息安全專業(yè)實驗室的支持。信息技術(shù)具有可設(shè)計、可復(fù)制、可重用的特點,使得基于信息技術(shù)的教育訓(xùn)練條件具備降低訓(xùn)練費用、提高學(xué)員學(xué)習(xí)自主性、提供學(xué)員反復(fù)學(xué)習(xí)等長處,結(jié)合音頻處理技術(shù)、視頻處理技術(shù)、三維動畫技術(shù),可以為學(xué)員學(xué)習(xí)提供強烈逼真的感官刺激、美輪美奐的藝術(shù)表現(xiàn)和自主操控的虛幻體驗。從訓(xùn)練目的而言,實驗室可以分為虛擬實驗室和能力訓(xùn)練場兩部分。
(1)虛擬實驗室。信息安全管理涉及大量技術(shù)手段,信息安全技術(shù)攻擊和防范具有不可見、不易理解的特點,需要顯而易見、通俗易懂的形象展示。虛擬實驗室是依托信息技術(shù)按照實驗室運行規(guī)律、要求和任務(wù),以網(wǎng)頁形式在計算機網(wǎng)絡(luò)上建立的可以模擬實驗室運行的軟件系統(tǒng)。虛擬實驗室內(nèi)設(shè)信息安全管理所需要的各種理論、方法和技能引擎,可以多維形象地反復(fù)演示信息安全管理的理論、方法和技能,可以允許受訓(xùn)者以第一人稱介入并依據(jù)受訓(xùn)者干預(yù)情況展示相應(yīng)信息安全分析結(jié)果,虛擬實驗室可以記錄并考核受訓(xùn)者實驗過程和成績。
(2)能力訓(xùn)練場。信息安全管理,尤其是信息安全防范,必須掌握很多具體操作技能。信息化條件下信息安全管理技能訓(xùn)練,是運用計算機信息安全管理理論,構(gòu)建信息安全管理環(huán)境,圍繞信息安全管理攻防,突出信息安全防御和信息安全保密等主要內(nèi)容,反復(fù)進行“預(yù)實踐”活動。能力訓(xùn)練要注重訓(xùn)練手段創(chuàng)新,重視信息技術(shù)、虛擬仿真技術(shù)及信息安全理論方法和技能的跟蹤與研究,用“虛擬”制造“現(xiàn)實”,用網(wǎng)絡(luò)擴大規(guī)模,用模型替代裁判,用互聯(lián)造就聯(lián)合,開發(fā)信息安全管理模擬訓(xùn)練系統(tǒng),在體驗中感覺信息安全入侵,在互動中提高防范應(yīng)變能力,在對抗中捍衛(wèi)信息安全。信息化條件下的教育訓(xùn)練,為培訓(xùn)教育中因材施教的教學(xué)需求提供了很好的手段和方法,對信息安全管理的能力訓(xùn)練等有很好技術(shù)支持,當(dāng)然相對傳統(tǒng)教學(xué)而言,其教學(xué)理念、教學(xué)準備、教學(xué)實施和教學(xué)考核的教學(xué)全過程有深刻的變革,需要教育者不斷深入研究和努力實踐創(chuàng)新。
作者:韓全惜 單位:南京政治學(xué)院軍事信息管理系
1人員安全管理現(xiàn)狀
1.1崗位人員安全意識薄弱
崗位人員隨便下載安裝個人需要的軟件程序,往往會在安裝軟件的過程中直接將一些安裝程序中附帶的插件也裝在了操作系統(tǒng)中,如果是惡性插件,必然會造成系統(tǒng)的不穩(wěn)定,嚴重者甚至?xí)斐尚畔踩录陌l(fā)生,這些事件的發(fā)生很大程度上就是因為崗位人員安全意識薄弱所造成的。安全意識薄弱的因素有很多,一是相關(guān)技術(shù)部門沒有長期的進行圖書館信息安全意識的思想灌輸;二是崗位人員本身對信息安全意識重視不夠。
1.2人員安全管理制度不完善,執(zhí)行力不高
制度的制定給予管理提供依據(jù),無制度便無章可循,相關(guān)工作就會混亂無章。雖然多數(shù)高職院校圖書館在人員安全管理方面都制定了相關(guān)的管理制度,但制度的內(nèi)容不夠完善,很多細節(jié)問題不夠全面,甚至只是“白紙黑字”而已,形同虛設(shè),而且執(zhí)行起來也不夠徹底,執(zhí)行力不高。這大多數(shù)高職院校尤其是民辦性質(zhì)的高職院校圖書館都普通存在這樣的現(xiàn)象。
2人員安全管理策略
要解決人員安全管理不當(dāng)帶來的信息安全問題,必須要比較全面地完善人員安全方面的管理制度,提高執(zhí)行力。具體策略如下:
2.1技術(shù)人員崗位分工協(xié)作
對于技術(shù)人員充足的高職院校圖書館,可以將技術(shù)人員劃分為三個崗位:硬件安全人員、軟件安全人員和網(wǎng)絡(luò)數(shù)據(jù)人員。根據(jù)圖書館的實際情況出發(fā),將這三類技術(shù)人員進行分工協(xié)作,日常工作中完成各自崗位上的職責(zé)。具體劃分可以參考附表。
2.2崗位人員安全管理
2.2.1崗位人員的聘用審核
大多數(shù)圖書館都會每年進行一次崗位人員的招聘,因此,每年崗位人員的聘用必須經(jīng)過嚴格的政審并且考核其業(yè)務(wù)能力,尤其是安全保密方面的能力。對于信息安全意識強的,工作業(yè)務(wù)能力高的,要擇優(yōu)錄取。嚴格的聘用審核可以將一些毫無信息安全意識的聘用人員扼殺在圖書館外。
2.2.2崗位人員工作機使用限制
保障圖書館數(shù)字信息的全面安全與崗位人員是否正確使用工作機有很大的關(guān)系,不法黑客就是利用非技術(shù)人員亂下載亂安裝插件的陋習(xí)造成的系統(tǒng)漏洞進行系統(tǒng)的攻擊。根據(jù)各館的實際工作需要,可以對工作機的使用作必要的使用說明,例如可以這樣限制:①不得隨意下載安裝存在安全隱患的插件或其他與圖書館工作無關(guān)的軟件,例如:證券軟件、視頻軟件等。②不得隨意瀏覽不安全不健康的網(wǎng)頁;③如有需要安裝工作需要的軟件,須聯(lián)系技術(shù)人員為其下載安全;④遇到信息管理系統(tǒng)客戶端無法正常使用的情況,不要自行卸載或重裝,須聯(lián)系技術(shù)人員解決問題;⑤其他的一些使用原則。
2.2.3崗位人員安全意識培訓(xùn)
信息安全意識對于信息至上的圖書館而言是非常重要的,如果崗位人員都安全意識高,完全可以避免很多信息安全事件的發(fā)生。安全培訓(xùn)可以根據(jù)圖書館制定信息安全培訓(xùn)制度與培訓(xùn)計劃,有針對性地有重點地定時對不同崗位的工作人員進行培訓(xùn)。例如:X館在每個學(xué)期末的全館學(xué)期工作總結(jié)會議上,信息技術(shù)部主任都會對全館的工作人員進行迫切高度強調(diào)信息安全意識的重要性。
2.2.4崗位人員功能賬號統(tǒng)一管理
圖書館信息管理系統(tǒng)包括編目、流通、期刊、系統(tǒng)管理、檢索、采訪等幾個子功能系統(tǒng),不同崗位的工作人員擁有相應(yīng)的子系統(tǒng)功能賬號。為了保證數(shù)字信息的安全,崗位人員功能賬號的使用必須統(tǒng)一由相關(guān)部門(信息技術(shù)部)分配管理,提出有效的管理分配原則,例如:一個崗位人員只能擁有該崗位的功能賬號,不得擁有其他崗位的功能賬號;對于某些崗位人員有業(yè)務(wù)工作需求,需要其他崗位的功能賬號,可以設(shè)置多個公共功能賬號提供使用,需求者必須向信息技術(shù)部門提出申請;新進的崗位人員需向信息技術(shù)部相關(guān)工作人員申請賬號;崗位人員需要修改賬號或密碼,必須向技術(shù)部相關(guān)工作人員提出需求給予修改。
2.3讀者用戶安全管理
圖書館的信息是為讀者用戶服務(wù)的,信息訪問量最大的群體就是讀者用戶,讀者用戶是否安全訪問也直接影響著信息管理系統(tǒng)的信息安全。因此,圖書館有必要采取有效措施,制定確實可行的讀者用戶安全訪問管理制度,確保讀者用戶訪問圖書館信息的安全??梢酝ㄟ^以下方式提高讀者的信息安全意識:①每年新生入學(xué),圖書館可以通過開展新生入館教育的形式對新生讀者進行信息安全意識的提高,通過用戶安全培訓(xùn),提高用戶安全意識,使其自覺遵守安全制度。②通過網(wǎng)絡(luò)宣傳、現(xiàn)場海報宣傳,小冊子派發(fā)宣傳、講座演講宣傳等形式對讀者長期進行信息安全意識的宣傳,提升讀者的信息素養(yǎng),讓讀者掌握簡單有效的病毒攻擊防護技巧。
3結(jié)束語
信息安全是數(shù)字圖書館業(yè)務(wù)工作穩(wěn)定進行的基本保障,數(shù)字信息不安全,圖書館的信息服務(wù)工作就得不到保障。從圖書館技術(shù)人員的角度出發(fā),必須要認清信息安全在人員管理方面存在的不足,并提出確實有效可行的人員安全管理措施,以保障數(shù)字圖書館信息服務(wù)工作的正常進行。
作者:黃偉成 單位:廣東農(nóng)工商職業(yè)技術(shù)學(xué)院圖書館
一、信息安全管理體系的概述
隨著信息技術(shù)的不斷發(fā)展,我國信息安全管理工作質(zhì)量不斷提高,但是,目前仍然存在著一些問題,阻礙了信息安全管理的發(fā)展。首先,我國信息安全管理法規(guī)體系不夠完善,相關(guān)方面的法律規(guī)定較少,導(dǎo)致信息安全管理的實施得不到有效的法律保障。其次,我國信息安全管理片面注重技術(shù)層面的維護,缺乏有效的管理手段,信息安全管理比較薄弱。最后,信息安全管理主要采取被動手段,科學(xué)性不高,不能實現(xiàn)全面性管理,而且一些高層領(lǐng)導(dǎo)對信息安全管理工作的重視程度偏低,信息安全管理工作比較薄弱。
二、信息安全管理體系的構(gòu)建
2.1策劃準備
在構(gòu)建信息安全管理體系前,需要做好各種準備工作,包括計劃的制定、相關(guān)培訓(xùn)安排、組織調(diào)研活動、職責(zé)劃分等內(nèi)容。
2.2確定范圍
根據(jù)組織中IT技術(shù)水平、信息資產(chǎn)、工作人員等實際情況,進行信息安全管理體系適用的安全范圍,既可以選擇部分區(qū)域,也可選擇整個區(qū)域。確定合理的安全范圍后,信息的安全管理更加方便。
2.3風(fēng)險評估
構(gòu)建信息安全管理體系時,要做好信息處理、存儲等工作的安全性調(diào)查,預(yù)測可能發(fā)生的危害信息安全性的事件,并對可能性危害事件會造成的影響做出判斷,然后根據(jù)評估結(jié)果做好信息風(fēng)險管理工作。
2.4建立框架
要完成信息安全管理體系的構(gòu)建,離不開信息安全管理框架的建立,這就需要我們要做到全方面考慮,根據(jù)信息系統(tǒng)的實際情況,結(jié)合組織特點、技術(shù)水平等條件建立相應(yīng)的信息清單,對信息管理做好風(fēng)險分析、需求分析等內(nèi)容,并提出相應(yīng)的問題解決方案,進一步保證信息的安全性。
2.5文件編寫
要構(gòu)建信息安全管理體系,還需要對范圍確定、安全方針、風(fēng)險評估等內(nèi)容進行相應(yīng)的文件編寫,建立各種文檔,為風(fēng)險管理、體系改進等工作提供依據(jù)。
2.6體系運行
以上步驟完成后,信息安全管理體系開始運行。在運行時期,我們要進一步提高體系運作力度,使體系的整體功能得到有效發(fā)揮。一旦發(fā)現(xiàn)體系存在問題,要盡快找出解決措施,及時解決相關(guān)問題,不斷完善信息安全管理體系。
2.7體系審核
信息安全管理體系的審核主要是對體系進行客觀評價,通過內(nèi)部審核及外部審核兩種方式對體系的運行及相關(guān)文件進行全方面檢查。其中內(nèi)部審核主要是組織內(nèi)部的自我審核,外部審核主要由外部相應(yīng)的組織對體系進行檢查,通過內(nèi)外審核進一步確定信息安全管理體系的安全性。
三、總結(jié)
綜上所述,信息對于部隊來說非常重要,作為信息安全管理者,確保部隊信息的安全性是我們的主要職責(zé)。信息安全管理需要從技術(shù)和管理兩個方面入手,時代環(huán)境在不斷變化,信息管理技術(shù)也要不斷創(chuàng)新,從而適應(yīng)當(dāng)前時代的需求。目前,我國信息安全管理存在一定的問題,需要我們采取積極的手段構(gòu)建并完善相關(guān)體系,進一步提高信息的安全管理質(zhì)量。
作者:楊三勇 單位:72433 部隊檔案室
【文章摘要】電子檔案主要就是利用科學(xué)技術(shù)來對檔案進行合理構(gòu)建,可是國內(nèi)在管理電子檔案信息時,還存在諸多安全問題需要進行解決。文章分析了電子檔案管理過程中面臨的安全問題,從而提出一些強化策略,希望可以為我國管理電子檔案的工作人員提供參考。
【關(guān)鍵詞】電子檔案;信息安全;問題;策略
以前的紙質(zhì)檔案在保存過程中,時常會出現(xiàn)眾多隱患,譬如:破損、腐蝕、蟲蛀與丟失等,進而阻礙了檔案管理工作的質(zhì)量和發(fā)展速度。而在信息技術(shù)迅猛發(fā)展的當(dāng)下,眾多檔案管理人員開始應(yīng)用電子信息的方式來管理檔案,這樣一來就有效防止了紙質(zhì)檔案缺陷的發(fā)生。可是在一系列實踐工作中不難發(fā)現(xiàn),雖然現(xiàn)在我國應(yīng)用電子檔案信息的管理方式,可是在檔案管理中依舊會出現(xiàn)不同種類的問題。譬如:標準化及規(guī)范化程度不夠、編制人員素質(zhì)不統(tǒng)一等等。所以,筆者在探究這些問題的過程中,并提出了解決辦法,具體如下。
1分析檔案信息的安全需求
檔案信息安全具體包括以下要求:首先,要保證網(wǎng)絡(luò)系統(tǒng)的運行安全;其次,檔案信息內(nèi)容應(yīng)該具有相應(yīng)的安全性。檔案內(nèi)容安全是檔案管理中的重要內(nèi)容,其不但包括信息傳輸安全,還包括信息存儲安全。通過分析可知檔案信息安全需求如下:
1.1完整性
針對電子檔案信息而言,其背景信息、源數(shù)據(jù)以及內(nèi)容都需要進行完善,同時還要確保硬件說明、軟件說明、事件活動信息等都具有相應(yīng)的完整性。也就是說,在傳輸電子檔案信息時,一定不能出現(xiàn)破壞的現(xiàn)象,譬如:偽裝重置、刪除與篡改等。
1.2真實性
保證電子信息都是從可靠且安全的電子檔案中獲得來的,在通過遷移和傳輸后,不會與最初情況發(fā)生沖突,不會出現(xiàn)隨意破壞以及偽造和改動等情況。
1.3保密性
只有合法的用戶才能夠訪問電子信息,而那些非法用戶是不能進行訪問的。一般人們會對以下幾種保密技術(shù)進行使用:信息加密技術(shù)、物理保密技術(shù)、防輻射技術(shù)、防偵收技術(shù)等。防輻射這種技術(shù)就是防止一些使用性質(zhì)較高的信息被輻射出去;防偵收這種技術(shù)就是阻礙不法人員對有用的信息進行接收;物理保密這種技術(shù)就是應(yīng)用各種各樣的物理方法來保護信息,以有效預(yù)防信息外露;信息加密這種技術(shù)就是在秘鑰的有效控制下,進行恰當(dāng)?shù)募用芴幚怼?
1.4不能被否認的特性
檔案信息在通過網(wǎng)絡(luò)系統(tǒng)進行交互時,確保參與者的一致性及真實、可靠性。也就是一切參與者都不能在否定前進行操作。應(yīng)用信息源可以防止發(fā)信人員對自己已經(jīng)發(fā)送的信息進行否認。
2存在于電子檔案信息管理中的問題
現(xiàn)在我國在電子檔案信息管理方面還存著眾多安全問題,影響檔案管理效果與發(fā)展速度,其中安全問題包括下述幾種:
2.1標準化及規(guī)范化程度不夠
我國現(xiàn)在所進行的檔案信息管理還不是非常成熟,相比于那些發(fā)達的國家,還有很大的差距。我國電子信息檔案管理才剛剛起步,所以,在管理過程經(jīng)常會遇到這樣或那樣的問題。而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,人們逐漸明確數(shù)字化檔案、信息化檔案對于檔案管理工作是非常重要的??墒俏覈壳霸陔娮訖n案管理這方面卻沒有非常高的標準性和規(guī)范性,因此阻礙了數(shù)字化檔案和信息化檔案這個管理目標的實現(xiàn)。
2.2沒有統(tǒng)一的電子檔案文件
在電子檔案管理過程中,如果只針對計算機軟件的研究和開發(fā)而言,現(xiàn)在最需要重視的問題就是軟件開發(fā)無法與檔案的使用需求相符合,并且還不能提高檔案的存儲效率和實際利用。此外,單位、地區(qū)間應(yīng)用的檔案管理系統(tǒng)存在不統(tǒng)一的情況,這樣各單位以及地區(qū)就不能夠?qū)崿F(xiàn)共享和利用檔案文件的目的。
2.3沒有較強的技術(shù)支持
針對電子檔案管理工作而言,假如沒有較硬的技術(shù)支持,那么電子檔案信息就會存在安全隱患?,F(xiàn)在我國在進行檔案信息管理時,缺少科學(xué)技術(shù)支持。具體有下述表現(xiàn):其一,在選配硬件方面有問題存在。譬如:在選配硬件時,選擇的硬件系統(tǒng)性能和質(zhì)量都非常差,且功能還不健全,進而影響檔案管理系統(tǒng)的實際運行,還可能會因此丟失一部分檔案文件。其二,病毒入侵計算機。當(dāng)計算機中進入病毒之后,計算機當(dāng)中的數(shù)據(jù)就會被破壞,使得相應(yīng)的功能出現(xiàn)降低,并使數(shù)據(jù)和系統(tǒng)受到影響,進而失去安全性能,譬如:隨著木馬病毒的快速蔓延,電子系統(tǒng)就會被影響,進而影響到整個檔案管理工作。
2.4管理人員的素質(zhì)不統(tǒng)一
大部分企業(yè)當(dāng)中的檔案管理人員都具備眾多的管理檔案的知識,可是他們的素質(zhì)卻不相同,較為明顯的表現(xiàn)就是計算機知識和技能的掌握情況存在極大差距,在進行電子檔案管理時,想要對一些電子軟件進行操作,那么管理人員一定要具備非常強的操作能力,只有這樣管理才能使有效性得到提升??墒菍嶋H上,部分管理人員都比較缺少計算機知識、不具備基本的操作能力和應(yīng)用網(wǎng)絡(luò)技術(shù)的能力,進而致使檔案管理不能夠得到安全保證。
3強化檔案管理安全性的方法
3.1提高檔案管理的規(guī)范性及標準性
為了強化電子檔案的管理,使其安全性能得到提升,就應(yīng)該規(guī)范檔案管理工作。譬如:在搜集完電子文件之后,應(yīng)該形成一個系統(tǒng)的文件,然后再進行細致的整理及積累,最后在相關(guān)人員鑒定沒有錯誤后進行歸檔處理。只要按照以上步驟進行檔案歸檔工作,那么檔案的規(guī)范性、標準性都會得到相應(yīng)的提升。同時,當(dāng)整理完電子檔案,并做好歸檔工作之后,還應(yīng)該進行保管和移交工作。此外,檔案管理部門還應(yīng)該集中對電子文件進行管理,進而使檔案管理工作更加的規(guī)范和標準。
3.2對管理軟件進行升級處理
現(xiàn)在國內(nèi)所擁有的檔案管理軟件并不成熟,所以,應(yīng)該對管理軟件進行升級處理,以使檔案信息的安全得到保證。升級管理軟件的目標包括以下幾種:第一種,提升管理軟件的兼容性;第二種提升軟件的統(tǒng)一性。兼容性就是管理軟件能夠與其余操作系統(tǒng)和設(shè)備進行配合,因此軟件只有具有良好的配合功能,才算具有良好的兼容性,譬如:和操作平臺進行配合等等。而統(tǒng)一性就是升級過的電子軟件擁有一個較為完善的管理系統(tǒng),并且在每一個環(huán)節(jié)當(dāng)中都應(yīng)該體現(xiàn)出統(tǒng)一性原則,譬如:統(tǒng)一應(yīng)用軟件、統(tǒng)一規(guī)章制度、統(tǒng)一標準等,尤其是單位、地區(qū)內(nèi),一定要防止檔案系統(tǒng)出現(xiàn)較為嚴重的差異情況,進而使系統(tǒng)在具備統(tǒng)一特征之后,使檔案文件能夠被更加廣泛分享和利用。
3.3建立專業(yè)的管理隊伍
管理信息檔案屬于較為系統(tǒng)且復(fù)雜的一項工作,想要使檔案管理具備更高的安全性及有效性,便需要建立一支專業(yè)知識、操作能力及素質(zhì)都極高的管理隊伍。首先,對管理人員進行培養(yǎng),讓他們意識到管理工作的重要性,嚴格杜絕那些思想不先進、工作不積極的現(xiàn)象發(fā)生。其次,應(yīng)該選拔和聘用一些熟悉檔案業(yè)務(wù)且工作能力和素質(zhì)都極強的管理人員,然后再對這部分人員進行業(yè)務(wù)、技能和知識培訓(xùn),以此提升管理人員的綜合素質(zhì)。此外,因為部分管理人員沒有過硬的計算機操作能力,并且與計算機有關(guān)的知識積累也較為欠缺。所以,在網(wǎng)絡(luò)應(yīng)用和計算機操作方面都應(yīng)該加強培訓(xùn),進而使電子檔案的利用、整理、形成和接收等工作可以更加完善。
3.4構(gòu)建維護電子檔案的法律條例
為了防止檔案信息丟失和被隨意被更改的現(xiàn)象發(fā)生,就需要構(gòu)建維護電子檔案的法律條例。其一,在掌握目前已經(jīng)建立的法律內(nèi)容同時,認真的整合立法信息資源,并構(gòu)建維護電子檔案的法律體系,進而使電子文件更加的安全和真實。其二,檔案和文件在立法上一定要保持一致性,不能盲目的在兩者間進行立法,只有這樣才能促進檔案管理工作持續(xù)進行。其三,應(yīng)該明確電子文件在法律上的地位,制定恰當(dāng)?shù)姆珊头ㄒ?guī),進而使檔案管理工作在法律的維護下良好發(fā)展。其四,管理檔案的部門間應(yīng)該做好配合,如:信息部門、技術(shù)部門、法律部門等,充分分析文件所具有的特殊性質(zhì),并在借鑒發(fā)達國家頒布的法律體系基礎(chǔ)上,建立與國內(nèi)國情相符合的法規(guī)體系,促進檔案工作快速、穩(wěn)定發(fā)展。
4結(jié)語
針對目前的實際情況來看,在我國還有很多安全問題存在電子信息檔案管理過程中,譬如:電子文件統(tǒng)一性不足、管理人員素質(zhì)不統(tǒng)一、標準化及規(guī)范化不足、沒有較強的技術(shù)支持等。針對檔案管理工作而言,一定要在探討以上問題的基礎(chǔ)上,制定相應(yīng)的強化措施,以使電子文件的安全性得到提升。在管理電子檔案時,筆者認為要提高檔案管理的規(guī)范性及標準性、對管理軟件進行升級處理、建立專業(yè)的管理隊伍、構(gòu)建完善的法律條例,使電子檔案文件更加的安全和真實,保證檔案管理工作的完善性和科學(xué)性。
作者:李愛鋒 單位:衡水市計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心
一、檔案開放
(一)檔案開放的必要性。
進入現(xiàn)代社會,互聯(lián)網(wǎng)科技十分發(fā)達,人們了解獲得信息的渠道,方式多種多樣。無論國家政府的檔案,還是企業(yè)公司的檔案,都可以通過合法或者非法的方式進入互聯(lián)網(wǎng),為公眾所知。對于各種檔案,進行嚴密的保管是很難做到的,在當(dāng)下我們這個信息開放的社會,將檔案開放,方便社會群眾進行了解,使用,對于維護社會穩(wěn)定,提升檔案的利用價值,提高檔案的可靠真實度都有重要的意義。當(dāng)然,筆者本文所言的具有開放必要性的檔案是具有公共利益性質(zhì)的檔案,是能夠為人民提供一定服務(wù)的檔案。對于國家檔案,很多在一定時期屬于國家機密,是無法對外開放的,但是這并不代表這種檔案沒有開放的必要性,開放的必要性依舊存在,國家的人民有權(quán)利了解國家的相關(guān)事務(wù),隨著時期的過渡,這些檔案會慢慢解密為社會公眾所了解;對于企業(yè)檔案,開放的必要性是針對企業(yè)工作的工作人員。企業(yè)的領(lǐng)導(dǎo)層以及員工階層能夠方便調(diào)取個人以及企業(yè)的相關(guān)檔案對于提高企業(yè)工作效率,團結(jié)企業(yè)有著重要的意義。
(二)檔案開放的風(fēng)險性。
當(dāng)然,檔案的開放具有很大的危險性,存在很大的安全風(fēng)險。對于國家政府相關(guān)的檔案,即使在開放之前,考慮再三,十分謹慎,度過了某一敏感的時期,但是,一些檔案公之于眾之后還是會引起一些波瀾。甚至,政府類的檔案還容易被心懷叵測的社會主義敵對分子利用,借之進行歪解胡說,蠱惑一批無知又容易沖動的民眾,對我們的社會穩(wěn)定產(chǎn)生很多不利的因素。此外,對于企業(yè)或者機關(guān)單位的很多檔案,為了方便業(yè)內(nèi)人士提取,使用,進行開放后,往往容易造成個人隱私泄密,單位機密泄密,為不法分子提供可乘之機。總之,開放檔案,既有方便,積極的一面,同時也面臨著很大的風(fēng)險,存在很大的安全隱患問題。即使開放檔案存在這樣或者那樣,可預(yù)知以及不可預(yù)知的風(fēng)險,筆者還是認為,我們不能因噎廢食,還是應(yīng)該將應(yīng)該開放的檔案,大膽進行開放。
(三)檔案開放的程序。
所謂的檔案開放程序,就是指檔案開放所需要進行的必要操作,所必須經(jīng)歷的方法,步驟。只有確立嚴格的檔案開放程序,并且嚴格按照程序辦事,開放符合要求的相關(guān)檔案,才能降低開放檔案帶來的風(fēng)險,同時滿足檔案開放的必要性,發(fā)揮開放性檔案的積極作用。不同性質(zhì)的檔案,開放程序不同,有嚴密繁瑣的程序步驟,也有簡單章程性的程序,這主要根據(jù)檔案的重要性來決定。確立明確,嚴明的檔案開放程序,對于檔案的有序、科學(xué)使用,檔案信息的保密都有著重要的意義。
二、信息安全管理的方法策略
(一)管理工作人員的培養(yǎng)。
做好信息安全管理的工作我們首先需要一批具備安全管理信息才能的人才?;ヂ?lián)網(wǎng)時代的飛速發(fā)展,為我們的社會培養(yǎng)了很多具有互聯(lián)網(wǎng)知識,IT行業(yè)技術(shù)的高端人才。我們只要對這些人才進行短期的信息安全管理的培訓(xùn)工作,就完全能夠使這些人才勝任信息安全管理的工作。做好信息安全管理工作的首要一步是引進綜合素質(zhì)過硬的人才,并對這些人才進行必要的職前培訓(xùn),只有這樣,企業(yè)單位的信息部門才能做到信息的科學(xué),安全管理。既為企業(yè)單位提供開放信息帶來的便利,同時還要保證信息的安全。
(二)嚴格管理制度的確立。
確立嚴格,完善的安全管理信息的相關(guān)規(guī)章制度,并嚴格遵守,一切按照規(guī)章制度辦事,任何人在一般情況下都不能破壞規(guī)章制度,調(diào)取信息。企業(yè)和單位為了做好信息安全管理的工作,就要自上而下嚴格遵守企業(yè)制定的信息安全管理的規(guī)章制度。現(xiàn)代企業(yè)和事業(yè)單位的管理,都要以嚴格的,先進科學(xué)的管理制度進行管理,在信息管理部門同樣是如此,好的制度為信息安全管理提供有效的保障。
(三)安全可靠的設(shè)備。
檔案的管理人員在對檔案進行收集與整理的過程中就應(yīng)該對文件做一個明確的分類,并進行準確的編號。同時要隊文件的資料做一個科學(xué)合理的分類與陳列,或者是可以依照不同的部門而對其進行分類。提高報關(guān)信息設(shè)備的安全可靠性。企業(yè)和事業(yè)單位的信息部一定要完善處理,保管信息的設(shè)備,提高信息管理工作需要的硬件以及軟件設(shè)備的水平。高水平的硬件,軟件設(shè)備不僅能夠提高信息利用的效率,同時還能夠提高對信息的保護層級,防治外來黑客對信息進行竊取。
(四)監(jiān)督審查措施的常態(tài)開展。
為了保證信息的安全,要確立嚴格的監(jiān)督制度,對單位的信息進行嚴格的監(jiān)督,并且做到自下至上的,分工明確,責(zé)任明確。成立專門的信息監(jiān)督小組,通過互聯(lián)網(wǎng)以及其他相關(guān)的技術(shù)設(shè)備對信息進行監(jiān)督,管理。對單位的信息要做到定期系統(tǒng)管理,每隔一段時間,對單位所有的信息進行分門別類,系統(tǒng)的管理,淘汰無用的信息,保證信息的時效性。同時,要確立嚴格的審查,追責(zé)制度。首先,定期對信息進行審查,保證信息管理工作的安全可靠,其次,對于信息被濫用,泄露等惡劣事件,要做到嚴格追責(zé),嚴厲懲罰。
三、結(jié)束語
有些檔案具有開放的必要性,在當(dāng)今互聯(lián)網(wǎng)時代,將部分檔案開放,有利于提高檔案的使用價值,提升人民群眾的法治觀念,維護社會以及互聯(lián)網(wǎng)環(huán)境的文明,合法。同時,將檔案信息開放面臨著很多的風(fēng)險,但是我們不能因噎廢食,該開放的檔案信息還是要積極地進行開放,只是我們必須要完善我們的信息安全管理制度,并且培養(yǎng)大批從事信息安全管理工作的人才。只有做到嚴明制度,謹慎管理,我們才能夠一面發(fā)揮檔案信息開放的積極作用,同時還能保證檔案信息的安全,防止檔案信息被非法濫用。
作者:劉曉峰 單位:洮南市中小企業(yè)服務(wù)中心
一、加強領(lǐng)導(dǎo),健全網(wǎng)絡(luò)安全管理責(zé)任制
各單位要切實加強對信息網(wǎng)絡(luò)安全工作的組織領(lǐng)導(dǎo),一把手作為信息網(wǎng)絡(luò)安全和保密工作的第一責(zé)任人,要按照“誰主管誰負責(zé)、誰運行誰負責(zé)、誰使用誰負責(zé)”的原則建立健全網(wǎng)絡(luò)安全管理責(zé)任制,明確主要責(zé)任人和直接責(zé)任人,把管理責(zé)任落實到具體崗位和具體工作人員。
二、完善措施,確保公務(wù)外網(wǎng)信息網(wǎng)絡(luò)安全
(一)組織開展信息網(wǎng)絡(luò)安全培訓(xùn)
各單位要對工作人員進行國家保密法律、法規(guī)和網(wǎng)絡(luò)安全保密管理規(guī)定的培訓(xùn),特別是要對網(wǎng)絡(luò)管理人員開展崗位技能培訓(xùn),切實提高相關(guān)工作人員的信息網(wǎng)絡(luò)安全意識和防范能力。
(二)加強網(wǎng)絡(luò)安全管理
加強網(wǎng)絡(luò)安全管理,嚴格遵循“涉密不上網(wǎng),上網(wǎng)不涉密”原則,以防攻防、防癱瘓、防病毒、防竊密為重點,做好信息網(wǎng)絡(luò)安全管理工作。
1.公務(wù)外網(wǎng)屬于非涉密的政務(wù)外網(wǎng),各聯(lián)網(wǎng)單位不得將涉密計算機設(shè)備和網(wǎng)絡(luò)接入本網(wǎng),不得在公務(wù)外網(wǎng)上傳輸、處理或存儲涉密信息。嚴禁在涉密計算機與其他計算機之間交叉使用U盤等移動存儲設(shè)備。
2.為確保公務(wù)外網(wǎng)安全,嚴禁各單位私自接入路由器、交換機等網(wǎng)絡(luò)設(shè)備,嚴禁擅自擴大網(wǎng)絡(luò)的使用范圍。確需接入路由器等設(shè)備的,需向縣政府辦公室信息公開及網(wǎng)絡(luò)管理中心提出書面申請,經(jīng)審批后,按照有關(guān)程序,由專人負責(zé)接入。
3.連接公務(wù)外網(wǎng)的所有計算機、服務(wù)器和其他設(shè)備不得用于存儲、處理、傳輸涉密及秘密和敏感信息。工作人員不得在聯(lián)網(wǎng)計算機上炒股、打游戲、看電影、聊天,不得瀏覽、復(fù)制、傳播反動、色情等不良信息,不得傳播病毒等有害信息,不得在公務(wù)外網(wǎng)上從事違法活動。
4.加強IP地址管理,嚴禁違反統(tǒng)一規(guī)劃擅自更改和設(shè)置IP地址。
5.嚴禁內(nèi)網(wǎng)外聯(lián),嚴禁使用公用郵箱收發(fā)涉密郵件。
6.全縣公務(wù)外網(wǎng)具有統(tǒng)一的國際互聯(lián)網(wǎng)出口,接入公務(wù)外網(wǎng)的計算機、設(shè)備和網(wǎng)絡(luò),不得再通過其他線路聯(lián)接國際互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)。
7.各聯(lián)網(wǎng)單位計算機系統(tǒng)必須安裝殺毒軟件、木馬防火墻并及時更新。
8.設(shè)有獨立機房的單位要安排工作人員在機房值班,并定期和不定期地對網(wǎng)絡(luò)設(shè)備工作狀況、UPS電源維護、數(shù)據(jù)備份、防病毒軟件升級、移動存儲設(shè)備使用、數(shù)據(jù)傳輸及各項制度的執(zhí)行情況開展巡回檢查,注意防火防盜,確保網(wǎng)絡(luò)安全暢通無事故。
(三)加強網(wǎng)上信息的安全管理
已在互聯(lián)網(wǎng)上開通門戶網(wǎng)站或開通信息公開平臺的單位,要按照“誰誰負責(zé)、誰審核誰負責(zé)”的原則,嚴把信息關(guān),杜絕涉密、敏感信息上網(wǎng)。
三、開展自查,排除潛在的信息安全隱患
接此通知后,各單位要認真開展一次信息安全自查,做到不走過場、不留死角,發(fā)現(xiàn)信息安全隱患要及時采取有效措施,確保網(wǎng)絡(luò)信息安全。
四、建立機制,提升信息網(wǎng)絡(luò)安全應(yīng)急能力
各單位要建立健全信息網(wǎng)絡(luò)安全應(yīng)急預(yù)案,完善信息網(wǎng)絡(luò)安全應(yīng)急措施,提升網(wǎng)絡(luò)突發(fā)安全事件的處置和響應(yīng)能力。要加強預(yù)警監(jiān)測,一旦公務(wù)外網(wǎng)發(fā)生網(wǎng)絡(luò)安全事件,要迅速向縣政府辦公室報告,并做好先期處置、情況研判工作,最大限度地減少事件造成的損失和危害。