引論:我們為您整理了13篇加強信息安全管理范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
國網公司現已建成覆蓋至基層生產班站及營業站所的信息內網。隨著SG186工程的全面投入運行,從職能部室到一線班組,電力企業所有的業務數據都依賴網絡進行流轉,電網企業生產和經營對信息網絡和信息系統的依賴程度越來越高信息安全的重要性日益凸顯。國網公司已將網絡與信息安全納入公司安全管理體系。
一直以來,信息安全防御理念常局限于常規的網關級別(防火墻等)、網絡邊界(漏洞掃描、安全審計)等方面的防御,重要的安全設施大多集中于核心機房、網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅已大大減少,尤其實行內外網隔離、雙網雙機后,來自于互聯網的威脅微乎其微。而內網辦公終端由于分布地點廣泛,管控難度大,加之現在無線上網卡、無線wifi和智能手機的興起,內網計算機接入互聯網的事件時有發生,一旦使用人員將內網計算機通過以上方式接入互聯網,即造成違規外聯事件。由于違規外聯開通了一條無任何保護措施進出內外網的通道,一旦遭遇黑客襲擊,就可能造成信息泄露、重要數據丟失、病毒入侵、網絡癱瘓等信息安全事故,給企業信息安全帶來重大的安全隱患和風險。
二、強化管理、落實責任,監培并進
1、將違規外聯明確寫入公司各項規章制度,并納入經濟責任考核。在《公司信息系統安全管理辦法》中,對杜絕違規外聯事件進行了明確的要求:所有內網計算機必須粘貼防止違規外聯提示卡,嚴禁將接入過互聯網未經處理的計算機接入內網,嚴禁在普通計算機上安裝雙網卡,嚴禁將智能設備(3G手機、無線網卡等)插入內網計算機USB端口,嚴禁在辦公區通過路由器連接外網,杜絕違規外聯行為。 一旦發生違規外聯事件,依據《企業信息化工作評級實施細則》,按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則對事件責任人進行嚴肅處理和經濟考核,并在全公司通報批評。將信息安全責任落實到人。
2、加大違規外聯宣貫和培訓力度。信息安全工作,重在預防,將一切安全事件消滅在萌芽狀態,才能確保信息系統安全穩定運行。分層次組織開展公司在崗員工,尤其是新員工的信息安全教育培訓工作,即重點培訓各部門信息化管理人員,各級管理人員培訓本部門技術人員,本部門技術人員培訓一線員工。通過分層式培訓,提高了培訓效果,同時各級管理人員、技術人員作為下級培訓對象講師提高了自身素質,強化了信息安全關鍵點的作用。確保違規外聯事件的嚴重性、危害性和工作機理已宣貫至公司每一位員工,實現全員重視、全員掌握,做到內網計算機“離座就鎖屏,下班就關機”的工作習慣。
3、加強外來工作人員管控。加強外來工作人員信息安全教育,并簽訂《第三方人員現場安全合同書》,嚴禁外來工作人員計算機接入公司內外網。對第三方人員工作過程全程監控,防止因外來工作人員擅自操作造成違規外聯事件。
二、加強技術管控,從源頭杜絕安全事件的發生
2.1嚴格執行“雙網雙機”
嚴禁在信息內網和外網交叉使用計算機。對要求接入信息內、外網的計算機,需向本人核實該計算機之前網絡接入情況,對內外網絡接入方式有變化、或者是不清楚的情況,需對計算機進行硬盤格式化并重裝系統后方可接入網絡。
2.2安裝桌面終端,設置強口令,防止違規外聯
實時監控全公司內網終端桌面終端系統安裝率,確保所有內網計算機桌面終端安裝率達100%。設置桌面終端策略,一旦發生違規外聯,系統立即采取斷網措施,并對終端用戶進行警示。要求全部內網計算機設置開機強口令(數字+字母+特殊符號,且大于8位),防止非本人操作的違規外聯行為。通過桌面終端系統對內網計算機開機強口令進行實時監控。
2.3做好溫馨提示,明確內外網設備,防止違規外聯
做到每一臺內網計算機均粘貼信息安全提示標簽提示員工切勿內網計算機接入外網網絡,無線網卡及智能手機切勿接入內網。內外網網絡端口模塊、網線端口都要有明顯標識,防止員工誤接網絡。
2.4實行內網計算機IP、MAC綁定和外網計算機IP、認證賬號綁定
加強IP地址綁定,從交換機端口對接入內網的計算機進行IP、MAC地址綁定,確保除本計算機外,其余計算機無法通過該端口接入內網。
篇2
一、信息數據管理
今天,電子信息的廣泛運用,對軍事信息的產生、承載、傳播的方式和途徑產生了革命性的影響。軍事秘密的存在方式,已有紙質為主拓展到聲、光、電、磁等各類載體;保密工作領域,也有地面延伸到海底、天空、太空以及網絡空間。與口耳相傳和紙介質載體時代相比,計算機介質存儲了大量的信息和各種秘密,并且傳遞的速度、效率是過去的成千上萬倍,這種介質實際上已成為一種以信息形式存在的資源,是另一種“金庫”和“機要室”。于是,海量的軍事信息儲存在“盤”內、流動在網上、傳播與空中,是泄密的隱患和漏洞大為增加,造成的危害也越來越大,因此必須大力加強信息數據管理。
(一) 對數據信息進行分類
可按信息數據的關鍵性、敏感性和防護等級等為標準進行分類,也可根據本單位的具體情況進行分類,但必須按照《中國人民保密條例》密級的有關規定劃定,并做上明顯的具有與信息不可分的密級標記和出網標記。分類標記在計算機上顯示時,要再文頭特別字段指明,也可在封裝上用鮮艷的顏色編碼表示。
(二)對重要的信息和數據,必須及時備份和異地存放,并按照其原密集采取相應的安全保護措施
磁介質存放較長時間后,上面記錄的信息的準確性會受到影響。要根據磁介質存儲的環境定期進行循環拷貝,以保證記錄信息的可靠性。
(三)數據庫保護
用于存儲信息和重要數據的數據庫,必須具備相應的安全保密防護措施,確保數據庫系統安全的可信性及其數據庫的完整性。應當根據工作需要和最小授權原則進行存取,設定訪問級別,控制不同部門之間的相互訪問和下級人員對上級人員接觸信息的訪問權限,制止越權訪問,任何單位后個人不得越權調閱、使用、修改、復制、和刪除。要建立并執行一整套科學、合力、嚴密的管理制度,從信息數據形成、處理、傳輸、收集、積累、整理、歸檔,到使用、保管的每一個環節都要堵塞漏洞、進行全過程管理,任何一個環節疏于管理,都有可能導致信息數據的丟失或失真,都會造成無法彌補的損失。
二、 行政管理
所謂行政管理,就是成立專門負責信息安全的行政管理機構,以指定、審查、確定、信息安全措施;確定安全措施實施的方針、政策、策略和原則;具體組織實施安全措施的執行,并協調、監督檢查安全措施的執行情況。加強信息安全的行政管理,是提高信息安全性,減少信息安全事故的重要措施。
(一) 加強信息安全工作的組織
應根據信息安全建設的新形勢,建立一個實體化的權威機構,強化其權限和職能,實行統一管理,避免多頭分散、功能重復和資源浪費,從而提高信息安全工作的整體效能。
(二) 強化信息安全監督檢查
信息安全檢查,是指各級信息安全主管部門按照依法行政的職責要求,以有關法規、標準、為依據,采用一定的形式和手段,調查了解所屬的單位及其人員是否履行維護信息安全的責任和義務,檢驗衡量有關的具體行為是否符合安全要求的一種活動。其目的在于了解、掌握情況,發現、解決問題推動信息安全工作方針、原則、規劃、計劃的落實和各項工作的順利開展。
(三)正確把握信息安全技術與行政管理的關系
我國是計算機技術相對比較落后的國家,自主研制信息技術和安全產品的技術性能和水平,還不能滿足現實信息安全工作的需要。因此,必須著眼新世紀最具挑戰的的現實任務,克服技術上的不足和缺陷,加強行政管理,走好我軍揚管理之長,避技術之短,以劣勝優之路。
三、人員管理
在威脅信息安全的幾大因素之中,人的因素是最大也是最主要的威脅。因為信息系統不僅是由人制造的,也是由人來操作和使用的。據國外有關部門的調查顯示,對計算機網絡最普遍的安全威脅來自系統內部人員,這些威脅之中既有由于操作人員的操作失誤而無意造成的,也有內外勾結蓄意破壞系統、竊取機密和進行犯罪的。因此加強信息安全管理,重在人員管理。
(一) 加強信息安全觀教育
人員的管理問題,首先要加強信息安全觀教育,牢固樹立信息安全保密觀念,使其認識到新時期信息安全保密問題的重要性、緊迫性,從而增強保守國家秘密的意識。各種信息安全保密事故中,大多是由于保密觀念淡漠、安全意識不強造成的,主要表現為“無密可保”和“有密難保”的糊涂認識上。我們時刻不能放松警惕,必須牢固樹立信息安全觀念,加強管理,以確保平時和戰時的信息安全。
(二) 加強對信息系統工作人員的管理
篇3
2 高度重視網站信息員隊伍建設
建立一支高素質的網站信息員隊伍是用積極、健康的思想文化占領網絡陣地、進一步凈化校園網絡環境的重要手段,也是加快和諧校園建設的一項重要任務。
2.1 信息員的選任條件和要求 ①具有較高的思想政治素質,有較強的政治敏感性和政治鑒別力,能較好地把握正確的輿論導向,有較高的政策理論水平,具有一定的思想政治工作經驗或學生教育管理經驗。②了解掌握高等教育法律法規,熟悉高等教育政策和學校的基本情況,具有較強的工作責任心,富有社會責任感、正義感,熱心服務高等教育的改革和發展。③熟悉網絡基本操作技術,了解網絡傳播特點和規律,善于運用網絡語言,知識面廣,有較強的文字功底。
篇4
(二)病毒的破壞
計算機病毒的攻擊行為,主要是針對于計算機系統,對系統文件或重要信息進行攻擊、篡改系統數據信息、破壞網絡共享資源等實施的網絡攻擊侵入行為,它嚴重影響了企業網絡系統間的信息安全,甚至會導致網絡系統的全體癱瘓,因此,它是影響企業網絡信息安全的主要因素。
(三)網絡環境堪憂
企業內部網是一個比較特殊的網絡環境。隨著企業內部網絡規模的擴大,目前,大多數企業基本實現了科室辦公上網。由于上網地點的擴大,使得網絡監管更是難上加難。由于企業中部分員工對網絡知識很感興趣,而且具有相當高的專業知識水平,有的員工上學時所學的專業甚至就是網絡安全,攻擊企業內部網就成了他們表現才華,甚至是泄私憤的首選。其次,許多領導和員工的計算機網絡安全意識薄弱、安全知識缺乏。企業的規章制度還不夠完善,還不能夠有效的規范和約束領導和員工的上網行為。
二、企業局域網絡安全管理策略
安全策略的實施需要一個良好的管理氛圍,而為了塑造這種氛圍,就需要在一個特定氛圍內,提供一個特定級別的安全保障行為遵守規則。也就是說,這種企業內部網絡信息安全管理策略的構建實施基礎,就是要求其能夠達到嚴格管理、利用現今較為先進管理水準的相應技術、以及以相關法律作為約束等的實施基礎去進行,從而才能營造出良好的安全信息管理氛圍,制定出合適、適中的需求方案。
(一)物理安全策略
確保計算機網絡系統的安全前提首要予以重視的問題就是,對設備的安全考慮。也就是說,設備從正常使用到損壞這一過程中,物理安全的意義在其中可以理解為,就是約束這種受損過程所采取的安全防護措施。從而避免由于意外引起的受損過程,如地震、火災、水災等的災害事故引發的設備受損;或者人為性質引起的損害過程,諸如操作失誤、計算機偷盜犯罪行為引發的受損等導致的受損。總之,物理安全策略的實質是為了確保計算系統、Web服務器、系統內硬件實體、以及通信信道鏈路層的安全性,從而免受自然災害導致的設備受損或人為主觀意識操作的搭線攻擊等。
物理安全策略主要包含兩方面:一是環境安全,即對設備所在環境的安全防護,保障系統喲一個良性的工作兼容條件。二是設備安全,主要指防范于犯罪與不法行為、防銷毀、防電磁干擾與核輻射泄漏、以及對電源進行保護等。
(二)訪問控制策略
1、訪問授權設置
今天,大多數企業級WLAN產品和許多SMB產品都提供內置來賓管理功能。從簡單的強制網絡門戶和防火墻過濾到流量整形和唯一的來賓登錄,這類產品都可以不用IT協助自動生成。舉例說明,我們看下Meraki的企業級WLAN云控制器提供的來賓管理功能。為了創建一個Meraki來賓無線局域網,我們需要開始指令配置一個SSID,比如一次點擊或者登入開始頁面。如果選擇了開始頁面,用戶會被重定向到一個定制的入口,通過輸入用戶名和密碼登錄。
來賓開始創建有三種選擇。第一,管理員配置來賓賬號。第二,來賓代表可以增加和刪除來賓賬號但是不能做其他改動,第三,允許來賓在入口提示頁使用他們自己的賬戶,以管理員批準為準。
下一步便是控制登錄用戶的活動。考慮強制網絡門戶是否要求用戶運行防毒軟件。然后設置允許的目的地,端口和URL,選擇性的添加帶寬限制和有線/無線屬性。最后,考慮在允許或不允許本地局域網訪問時,來賓流量是否需要橋接到一個VLAN或路由到Internet。云控制器可以分析流量來查看無線來賓網絡的使用情況。這些功能通常適用于未加密的來賓無線網絡,但是也可以結合WPA2-PSK實現加密。設置PSK可以降低拒絕服務攻擊和防止外部探測。然而傳統的PSK是共享給每個用戶的,他們沒法跟蹤或對單獨的來賓取消跟蹤。不過一些產品提供動態PSK給每個用戶,如Ruckus
DPSK和Aerohive
PPSK可以解決這類問題。例如,Ruckus無線局域網可以設置給每個來賓一個唯一的DPSK。任何有企業網絡訪問權的用戶都可以通過一個Web表格來申請Ruckus來賓權限,每個的來賓權限都提供了他們可打印的說明,包括來賓姓名,來賓SSID,來賓唯一的DPSK和有效期限。這些設置甚至可以自動安裝到Windows系統、OS
X和iPhone客戶端上,有效避免手工設置和可能出現的錯誤。一旦生效,DPSK會自動過期或被廢除,不用中斷其他的使用。
2、相應產品應用
對一些企業,針對使用windows的來賓進行完整性檢查已經足夠了,畢竟,病毒在Windows下比較普通。但是其他企業可能傾向于阻止那些不能檢查的來賓或者對他們進行限制(如,只能HTTP,不能訪問內網)。第三種可能是使用NAC或者IDS產品,比如ForeScout,CounterACT或Bradford
Network
Sentry,他們可以運行基于網絡的檢查。NAC設備可以整合到現有的無線網絡設施中給來賓管理者提供訪問控制策略,如果檢測到客戶端有病毒威脅或者策略違反就立即切斷。
(三)防火墻控制策略
防火墻技術在當前網絡信息安全的維護角度來看,其已經逐漸普及運用開來。其作為當前一個常用的系統內部網絡安全屏障,可以有效約束、限制外來的非法、未經授權
的陌生訪問。這是由于,它以系統間的網絡通信監控系統去實現自身系統與外部網絡之間的隔離,從而能夠把外部未經授權的陌生訪問隔離在外,防止其惡意入侵,進而有效起到了防護信息安全的效用。
(四)信息加密策略
信息加密技術的發展以及運用的最本質目的是為了能夠去報網間數據、文件、以及口令與重要信息、數據等的有效保護。通常較為常用的加密方法有鏈路加密、端點接口加密、以及節點加密等。而為了達到這種加密的隱私安全可靠性質,目前已經推出了多種加密算法對重要機密性文件進行了有效保護。一般情況下,信息加密是保障當前網絡信息、數據的機密性的關鍵方法。
(五)備份與景象技術
備份與景象技術能偶提高信息安全的結構完整性,確保信息的真實可靠性。也就是說,備份能夠實現數據、文件、重要信息等的丟失事后處理的完善程度,一旦丟失還能重新用備份的文件去進行的下一步工作的開展。而鏡像技術,簡要去說,則是指兩個同樣的設備在進行工作,當一個設備出現了內部系統故障或是其他方面的技術故障等,另一個設備仍然能夠勝任其工作,從而不影響工作的效率與質量。
三、結語
總之,對于企業內部局域網絡間的信息安全問題,要做好三方面的協調與控制。其一是設備維護,其二是技術防護控制,其三是針對于網絡安全信息防護下所開展措施的監督與管理。而與此同時,企業還要加強員工以及領導自身的網絡安全業務技能的相關知識,進行相關的科學培訓,從而在相應設立的防范管理制度下去約束不規范行為,自身做好相應的周密準備,加強企業網絡安全信息的完整性與真實性,絕不給不法人員一絲可趁之機。
參考文獻:
[1]賀瑞凰.淺談單位局域網的信息安全[J].科技情報開發與經濟,2011,(06).
[2]勞俊,鐘培俊.局域網信息安全問題的分析與解決[J].四川兵工學報,
2009,(07).
[3]方剛,江寶釧.局域網信息安全面臨的威脅分析和防范措施探討[J].網絡安全技術與應用,2007,(07).
[4]黃凱濤.企事業單位局域網信息安全管理策略[J].信息通信,2011,(02).
[5]竇勝林.局域網的信息安全與病毒防治策略分析[J].黑龍江科技信息,
2010,(24).
[6]趙文娟.信息技術在局域網中的應用研究[J].科技情報開發與經濟,
篇5
客戶檔案信息指的是存在于企業客戶關系管理系統中以數據資料的形式存在的信息。它是企業在與客戶的業務中形成的專門數據,企業在這些數據的基礎上,整合客戶的資料和數據最后形成了客戶檔案信息。企業客戶檔案信息不僅記錄了客戶的基本信息,也記錄了一些對客戶信息進行綜合分析的數據結果,是企業相當重要的信息資源。
1 ERP管理系統客戶檔案信息管理的重要意義
為進一步加強企業信息化建設,提升企業信息化建設水平和依靠信息化加強企業的決策及管理能力,一般企業都部署實施ERP管理系統,雖然目前各ERP管理系統形態萬千,但其基本功能都趨于一致,基本上都覆蓋了客戶、項目、庫存和采購供應等管理工作,貫穿企業的進銷存全過程,通過優化企業資源達到資源效益最大化。
客戶檔案信息不僅是企業重要的經營資源,其本身也是客戶重要的個人信息,具有一定的社會屬性,它的安全管理同時具有重要的社會責任。由于企業員工個人素質、企業歸屬感的不同,其對于信息的保密意識也存在很大的差異。同時由于系統設計、應用以及管理等各方面的因素,系統中客戶檔案資料面臨著來自各方面的威脅,安全隱患不容忽視。
2 ERP管理系統客戶檔案信息的內容及管理流程
2.1 ERP管理系統中客戶檔案信息的內容
目前ERP管理系統中,客戶檔案信息一般主要由客戶的基本信息、經營水平、日常服務信息等模塊組成,含有多個字段。這些信息模塊和字段的原始信息維護,由不同崗位人員完成,對應的崗位人員對檔案信息有錄入、修改和查詢等權限。
2.2 ERP管理系統中客戶檔案信息的管理流程
2.2.1 客戶檔案信息的獲取
客戶檔案信息一般采用業務過程中的采集,或者由客戶提供的一些相關材料等方式獲取,然后統一錄入到ERP管理系統的CRM系統中。
客戶檔案從采集到錄入,嚴格按照流程進行管理,層層審核,步步完善。在流程管理過程中不斷完善客戶在CRM管理系統中的檔案信息。
2.2.2 客戶檔案信息變更
客戶檔案信息的變更,一般都通過現場實地考察來確定。在客戶信息變更過程中,企業的客戶關系管理人員有著很大的變更權限,經過嚴格把關審核后,最終實現客戶檔案的信息變更。
3 ERP管理系統客戶檔案信息的安全隱患
ERP管理系統的數據主要有丟失和泄露等方面的安全隱患。ERP管理系統的數據安全,是指存在于系統內的客戶檔案信息存儲載體處于良好的保管狀態,在一定范圍內被知曉,并可隨時還原、處理、復制出載體中所包含的客戶檔案的信息內容用于企業經營業務,但不能被隨意泄露,導致客戶檔案信息的公開,從而為不法人員利用,形成對客戶的危害。客戶檔案信息的安全問題涉及許多方面,存儲這些數據的載體的多樣性加上利用的多樣性,以及人員管理的復雜性,使得客戶檔案信息要面對許多的問題。總結起來,影響客戶檔案信息安全的因素包括以下幾點:
3.1 客觀方面存在的隱患
3.1.1 計算機網絡病毒的入侵
隨著計算機網絡的不斷發展,網絡病毒層出不窮,變化多端,防不勝防。客戶檔案信息的采集、錄入、整理等,都依賴于計算機處理,以至計算機硬盤上存儲了大量的數據信息,所以必須防御計算機網絡病毒的入侵和破壞。此外,在進行客戶檔案信息維護的時候,無論聯網還是不聯網,外接存儲介質仍可能將病毒植入而破壞系統的重要數據,從而造成巨大的損失。
3.1.2 應用系統的設計缺陷
應用系統不可能是完美無缺的,一般的應用系統都會存在設計缺陷。目前,客戶檔案信息的錄入、維護和變更等都依賴于CRM管理系統,系統本身設計的缺陷將對數據本身造成一定的威脅。由于系統的架構很難有統一的標準和普遍適用性,以及技術原因和使用領域不同,在技術設計上肯定存在不一致現象,用不同的字段抽取,獲取的數據也存在差異。這些系統設計存在的缺陷,給客戶檔案信息的安全埋下一定的隱患。
3.1.3 人員素質的參差不齊
由于員工的受教育程度不同,文化層次存在差距,以至于員工的綜合素質參差不齊。相關人員對系統的應用水平和領會能力也存在差異,同時由于人員管理的復雜性,內部人員的信息泄露成為客戶檔案信息安全管理重點考慮的內容之一。
3.2 主觀應用方面存在的隱患
3.2.1 數據利用監管不夠
(1)客戶檔案信息查詢權限的限制機制不健全。企業相關人員可以隨意在系統中查詢客戶資料,并能獲取電子版本,隨意復制,無關人員接觸這些信息無人監管。
(2)客戶檔案信息的查詢、調用審批程序不完善。目前,多數企業對客戶檔案信息的查詢、調用無審批和監管流程,相關人員如有需要,只要獲取相應的角色權限即可,缺少數據查詢、調用的審批手續。
3.2.2 流程管理監管缺失
(1)在客戶信息新增過程中,無論是信息錄入人員還是信息審核人員,都能看到錄入的原始信息,每個環節都有可能造成信息的泄漏。所以加強每個環節、每個節點的監管和保密管理對于信息的安全也是至關重要的。不但要小心外部人員有目的的竊取和盜用,還要防止內部人員的有意識或無意識的信息泄漏。
(2)客戶檔案信息的變更過程中,審核流程一般都不完善,缺少監管流程。操作人員操作失誤或者有意無意泄露客戶信息,都會給客戶檔案信息的安全帶來很大威脅。
4 ERP管理系統客戶檔案信息的管理措施
針對ERP管理系統客戶檔案信息的管理流程和安全隱患,應采取相應的管理措施,來加強對客戶檔案信息的安全管理。具體為:
(1)加強計算機網絡安全管理。采取部署殺毒軟件和管理策略等相應的技術和管理措施,確保整體網絡環境的安全,避免網絡病毒的侵擾。
(2)嚴格管理客戶檔案信息的存儲載體。加強對存儲載體的管理尤為重要。要定期檢測存儲設備,檢測存儲載體上的數據有效性,確保這些載體不受到損壞,在出現意外情況時這些載體的信息能夠被完全、真實的還原出來。
(3)做好客戶檔案信息的基礎數據庫建設。客戶檔案信息基礎數據庫建設,必須提前設定各項數據采集項,整個管理環節要采用適用的軟件。在具體日常數據的維護和采集中,注意客戶檔案信息的保管和整合。對于不斷增加和更新的基礎數據庫中的數據要及時進行備份,并保證備份資料的有效性。
(4)加強科技創新,不斷完善系統功能及設計架構。根據應用過程中發現的問題和缺陷,及時升級系統版本,整改設計缺陷,完善系統功能。相關人員在修改完善客戶檔案信息時,做到修改有痕跡,完善有記錄。其他人員只能查詢瀏覽信息,不能修改不能復制,并且有網絡訪問流量的統計記錄。
(5)加強數據利用監管,提高數據利用的規范性和安全性。 1)建立有效的客戶檔案信息的管理規章制度,提高數據安全管理。客戶檔案信息的管理必須依據嚴格的規章制度,確保檢查、督促、獎懲等措施的落實。客戶檔案管理人員的數據安全意識尤為重要,提高這些人的數據安全意識,加強防范措施是最重要的。確保人員具備了安全意識才能從根本上杜絕威脅數據安全的隱患。2)嚴格控制客戶檔案信息的知曉范圍以及查詢權限。客戶檔案信息的知曉人員及其查詢權限應該有嚴格的限制,尤其是那些重要的信息必須嚴格控制知曉范圍。做到無關人員不得接觸客戶檔案信息,不得查詢,不得復制。3)嚴格管理客戶檔案資料的查閱、調用等環節。客戶檔案信息的利用都應按照相應的規定做好各種登記、審批工作,對于重要的客戶信息的查閱還應注明查閱人身份、查詢用途等。做到重要數據信息在辦理審批手續之后方可進行調用。內部工作人員要本著不擴大知悉范圍和安全利用的原則。這些利用環節的管理要有專人負責,做好監督、監管工作。
(6)強化流程管理監管,完善流程管理的審批流程和監管措施。1)提高相關人員的安全意識,做好賬號和口令的保密工作。避免對外泄露自己的賬號、密碼,造成客戶資料外泄,誰泄露誰負責。定期進行系統賬戶進行梳理,對不再涉及業務系統使用的人員賬號予以收回禁用。2)規范使用人員的操作權限分配,不同崗位分配不同的角色,對應不同的操作權限。嚴格規范權限分配,做到角色一致、權責統一。
篇6
一、加強組織領導,健全信息安全責任制
各縣市區政府、各部門要把信息安全和保密工作列入重要議事日程,加強領導,落實責任,完善措施,切實抓緊抓好。要按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,健全信息安全和保密責任制,把責任落實到具體部門、具體崗位和個人。要明確一名主管領導,負責本單位信息系統安全和保密管理工作,根據國家法律法規和有關要求,結合實際組織制訂信息安全保密管理制度和防護措施,開展信息安全、保密教育和監督檢查。要指定一名安全觀念強、富有責任心、懂防護技術的工作人員任信息系統安全員,負責日常督促、檢查和指導工作。要建立健全崗位信息安全和保密責任制度,明確信息安全和保密責任。
二、強化教育培訓,提高安全意識和防護技能
各縣市區、各部門要認真組織信息安全和保密基本技能培訓,開展信息安全和保密形勢分析、典型案例分析和警示教育,并做到經常化、制度化。要把信息安全和保密教育作為工作人員上崗、干部培訓、業務學習的重要內容,提高安全和保密意識,使主動做好信息安全和保密工作成為每個工作人員的自覺行動。加快研究建立行政機關工作人員信息安全技能考試制度,逐步做到工作人員持證上崗。當前,要針對存在的突出問題,深入學習宣傳信息安全“五禁止”規定:一是禁止將信息系統接入國際互聯網及其他公共信息網絡;二是禁止在計算機與非計算機之間交叉使用U盤等移動存儲設備;三是禁止在沒有防護措施的情況下將國際互聯網公共信息網絡上的數據拷貝到信息系統;四是禁止計算機、移動存儲設備與非計算機、非移動存儲設備混用;五是禁止使用具有無線互聯功能的設備處理信息。行政機關及其工作人員要切實遵守信息安全和保密管理各項規定,做到令行禁止,杜絕安全隱患。
三、完善安全措施和手段,夯實安全工作基礎
一是加強對信息、人員、場所和設備的管理。嚴格執行保密要害部門、要害部位管理制度;嚴格執行人員管理和資格審查制度;嚴格執行計算機、設備登記管理和定期檢查制度;嚴格執行計算機、信息系統軟件和維護服務提供者資質審查及監管制度。
二是實行計算機配置管理和安全審計。加快對辦公用計算機和移動存儲設備實行配置管理,統一編號、統一標志、統一登記;對辦公用計算機逐步加裝安全審計工具,定期進行安全審計。市信息辦要會同有關部門和單位抓緊制訂行政機關辦公用計算機配置指南、安全使用規范和安全審計辦法。
三是規范電子文檔的管理。統一電子文檔命名規則,根據文件內容在文件名中標明密級、類別,便于識別和管理。建立并保留電子文檔的創建、復制、刪除等相關記錄,為安全審計提供依據。規范電子文檔的復制、傳遞,電子文檔要嚴格按照同等密級紙質文件的有關規定進行。逐步采用加密等技術手段對電子文檔的存儲和傳輸進行保護。
四是加快信息安全防護設施建設。行政機關在規劃建設政府信息系統時,要嚴格遵循同步規劃、同步建設、同步運行的原則,按照國家有關法律法規和標準同步規劃、設計、建設、運行、管理信息安全防護設施。要將信息安全防護設施建設、運行、維護、檢查和管理費用納入預算,保證資金落實。項目審批部門要將擬建政府信息系統是否具備信息安全防護設施作為重要審核內容。政府信息系統建成后,必須經保密工作部門審批后方可投入使用。
五是切實增強政府業務網絡安全保障能力。政府業務網絡是政府信息系統的重要組成部分,是推行電子政務的重要基礎,必須采取切實有效的安全措施。要加快建立健全以身份認證、訪問控制、安全審計、責任認定、病毒防護等為主要內容的網絡安全體系,完善網絡安全技術防護手段。抓緊制訂網絡對接、信息交換、安全技術及運行管理標準規范,實行嚴格的網絡接入審批制度。行政機關要督促、指導業務網絡管理單位完善相應的辦法,保證網絡安全運行。
六是嚴格信息技術產品的采購管理。按照政府采購法有關政策要求,行政機關要帶頭使用國產信息技術產品和服務,確保信息系統安全可控。其中,辦公用計算機、公文處理軟件、信息安全產品等應使用國產產品,信息安全服務應選擇有相應資質的國內廠商,因特殊原因必須選用國外信息技術產品和信息安全服務的,應進行安全審查,并報本單位主管信息安全的領導同志批準。政府信息系統、保密要害部門和部位使用信息技術產品及服務,必須嚴格執行國家有關保密規定和標準。政府信息系統以及關系國家安全的重要信息系統的數據中心、災難備份中心不得設立在境外,原則上不得接受在線遠程服務。
四、做好信息安全檢查工作,依法追究責任
各縣市區、各部門每半年要對政府信息系統進行一次全面的安全檢查,認真查找隱患,及時掌握信息安全狀況和面臨的威脅,及時采取應對措施,堵塞安全漏洞,減少安全風險。要提高應急處置能力,及時發現網絡泄密隱患,迅速處置網絡泄密事件。市信息辦負責制定信息安全檢查辦法,各部門要定期向其報告檢查落實情況。各縣市區還要結合實際制訂具體的信息安全檢查和實施辦法。
篇7
檔案資料便于領導對下屬進行政治審查和身份考核,同時,它也是目前社會考察人民階級立場和階級關系的一個重要途徑,因此,我們首先需要肯定,檔案的管理、檔案的存在具有一定的政治因素。這樣,檔案管理工作更應該得到相關政府部門的重視。同時,檔案的安全關系到一個國家的穩定與否,重要的檔案信息的泄漏可能導致一場戰爭,使得百姓生靈涂炭,因此,加強檔案的管理,安全性的保證又是前提。隨著國際形勢的日益緊張,國家與國家之間矛盾的頻發,各個國家都提高了檔案管理工作的重視,并結合本國的實際情況,對于檔案管理工作提出了具體的要求。就我們國家而言,全面提高檔案管理工作,需要從以下幾個方面來推進:首先,堅持集中統一的原則,檔案的管理工作要由專門負責檔案管理的有關部門集中管理,檔案局的工作人員必須進行層層的審查和考核,政治立場堅定具有管理檔案工作能力的工作人員,考察合格后才能正式上崗工作,同時,要根據不同檔案的性質,進行重要等級的分類,將同一級別的檔案統一管理;其次,對于一些確實需要手寫的部分資料,檔案管理人員要一絲不茍、嚴格謹慎的完成,并進行二次審核,審核無誤之后存檔;最后,定期進行檔案管理人員的業務培訓,重點培訓檔案管理人員的階級立場和職業操守,提高他們的保密意識,堅決不做任何危害國家安全和人民利益的事情。并要結合實際情況,定期的進行電子計算機操作的業務培訓,以便于適應信息化的檔案管理趨勢。
三、全面檔案管理的安全保密及信息收集能力的方法
作為一種關系重大的社會資源,檔案信息在具有社會性的同時,又具有一定專業性,也正因如此,它才能滿足各行各業的信息需求。我國社會主義市場經濟日趨成熟,對信息量的需求也是與日俱增。檔案管理工作只有緊跟時展步伐,不斷更新與完善才能確保檔案信息的全面性與完整性。就目前情況來看,檔案管理人員的服務意識、業務水平以及道德素養還有很大的上升空間,進一步加強培訓,提高管理人員綜合能力刻不容緩。筆者建議,管理人員還可以新增定位服務,化被動為主動,向領導部門征求意見,向科技工作者進行檔案法制的宣教,認真落實領導決策,滿足受眾對各類數據資料的需求。充分利用信息網絡等先進技術,提高信息收集效率,實現資源共享。
四、進行信息化檔案管理的有效方式
篇8
美國,作為當今世界信息化程度最高的國家,在信息安全管理的理論相關研究以及實踐方面都處于世界領先地位。為了方便信息安全管理措施的執行,美國大部分知名高校單獨設立了信息安全管理部門,并通過該部門向首席信息官匯報安全工作。與此同時,美國高校還建立了文件化的信息安全管理體系,并將這些規范應用到日常工作中。同樣,在歐洲的大部分高校中,其信息安全管理體系都較為成熟。而我國信息安全管理工作起步較晚,在信息安全領域的研究,落后于發達國家。并且,技術手段是國內大部分高校保障信息安全的主要方式。但隨著信息化建設進程的不斷發展,國內高校信息化建設理論與實踐也在不斷進步。
二、高校面臨的信息安全管理問題
技術和管理是網絡信息安全的兩個主要構成部分。如果沒有合理有效的安全管理工作貫穿于信息活動中,即使有很好的安全技術,也是無法真正實現信息安全的。而國內大部分高校對管理的不重視,使得國內高校的信息安全管理存在著多方面的不足。1.過分依賴軟硬件技術“三分技術,七分管理”,表明管理貫穿于信息安全的整個過程。而國內部分高校投入大量的經費購買殺毒軟件、防火墻、漏洞掃描系統等安全防范產品,過分依賴軟硬件技術,卻忽視了信息安全管理。其網絡信息安全防護僅僅是靠著產品與技術的堆砌,這只能起到隔靴搔癢的作用,而并不能真正地解決信息安全問題。2.信息安全管理人員配備不足高校信息系統的安全很大程度取決于高校信息系統管理人才的素質。當前,國內信息安全專業人才培訓還處在起步階段,缺乏信息安全管理人員。同時,很多高校只是在軟硬件方面投入很多,而對信息安全技術人員的引進、培養卻只做了很少的工作。在高校工作的部分信息安全管理人員缺乏信息安全管理的專業教育培訓。這使得高校或是信息安全人員的缺乏,或是信息安全管理人員專業素質不高,對于惡意攻擊事件缺乏防御。3.信息安全管理制度體系不健全通常來說,若想實現信息安全的管理,首先應當建立一套完整的信息安全管理制度體系。而目前高校在信息安全管理上缺乏一套完整、健全的制度體系,這就導致信息內部管理較為松散,相關信息安全指令不能夠及時的被執行。并且缺少嚴格的安全監督檢查機制,沒有職能合理的信息安全管理機構,使得管理內部權責不分明,出現過失時,無法快速找出責任人。4.信息安全管理的參與度不高高校信息安全管理的重要部分之一是對校園網用戶進行信息安全普及,而國內高校對大學生以及教職工的信息安全教育不夠重視,只是把信息安全教育作為一種形式。使得大學生以及教職工對學校信息安全缺乏正確的認識,對計算機與網絡安全相應的法律、行政法規和技術法規缺乏了解。
三、高校信息安全問題管理對策
1.轉變重技術、輕管理的觀念在信息安全管理活動中,將技術與管理充分融合,并更加注重管理措施的實行。將安全操作系統、防火墻、病毒防護、入侵檢測、安全掃描技術等各種計算機網絡信息系統安全技術融合在一起,形成一個完整的、連貫的網絡安全體系。此外,安全技術必須與安全管理設施相結合,制定措施并加強執行力度,以確保校園網能夠更加正常、高效、安全的服務于學校的教學、管理、研究等服務。2.加強信息安全管理人員的配備和管理充分認識到信息安全在信息化建設中的重要作用,加大信息安全投入,積極引進信息安全管理人員。同時,加強內部信息管理人員的專業素質,積極開展各種信息安全宣傳教育活動。不定期的組織各種安全管理、技術培訓,以增強安全意識與管理水平。并建立懲獎制度,對其工作行為進行約束,并調動信息安全管理人員的工作積極性,以培養信息化專業人才。3.制定和完善信息安全管理體系在信息安全建設中,管理制度對一個信息系統的安全至關重要。而技術手段只是作為一種輔助手段,用以配合管理制度。首先,制定信息安全管理體系,即通過分析安全風險、根據實際需求、整合規劃,制定出完整、系統、高效率的信息安全管理體系。其次,明確信息安全管理體系的組織結構,各司其職,不去僭越他人職位,從根本上提高信息安全管理水平。4.加強全校師生的信息安全意識教育首先,通過信息安全法律法規教育,使得學生和教職工了解信息安全管理的重要性,增強師生的信息安全法律意識。其次,在全校師生中普及信息安全知識,提高他們的安全保密素質,讓師生充分意識到維護信息安全工作的重要性,以及發揮自己在信息安全建設維護中的主體作用。最后,為了提高師生的信息防御以及簡單處理技術問題的技能,對全校師生進行信息安全技術培訓。
四、小結
網絡安全是一個相對的概念,而非絕對的。隨著網絡的迅速發展,信息安全防范體系并不是一成不變的,新的安全隱患將層出不窮。高校應該根據實際情況,技術與管理相結合,致力于提高信息安全管理人員專業素質,加強對師生的安全教育,從而保障網絡安全體系的高效運作,保證高校的信息安全。
參考文獻
[1]黃瑞,鄒霞,黃艷.高校信息化建設進程中信息安全問題成因及對策探析[J].現代教育技術,2014,(3):57-63.
[2]王延明,許寧.高校信息安全風險分析與保障策略研究[J].情報科學,2014,(10):134-138.
[3]李西明,鹿海濤.高校信息安全管理探討[J].中國教育信息化,2010,(1):20-22.
[4]梁藝軍.高校信息安全管理探討[J].計算機科學,2012,(S2):195-197.
篇9
關鍵詞 :信息安全;問題;措施
隨著信息化建設進程的加快,信息安全問題逐步成為各高校所面臨的難題。高校經過多年的不斷努力,通過物理、技術、管理等方面的各種措施,來保障整個校園信息的安全,通過近年來的管理,也取得了一定的成效,但是高校網絡信息安全的管理不單單是技術上的問題,也不單單是出臺幾個管理條例就能解決的事情。根據信息安全管理體系理論對高校信息安全管理的基本要求,高校要建成相對比較完善的信息安全管理制度體系、管理措施等。而通過對高校目前的信息安全管理現狀分析來看,仍然存在多方面的不足。
1 高校信息安全管理存在的問題
1.1 信息安全意識淡薄。目前,高校在信息系統防御能力方面薄弱,網絡硬件、軟件、協議和安全防護存在較多缺陷和錯誤,且無法及時、定期修復,嚴重滯后于信息技術的發展。部分高校教師缺乏安全知識和信息技術水平,對防護措施漠不關心,片面認為學校信息安全是屬于專業技術人員的工作。有些學校也不重視高校信息安全管理,導致缺乏安全管理人才及專業指導,同時缺少信息安全系統規劃和合理整體布局,風險分析不徹底,制定保障策略存在漏洞。
1.2 過分依賴軟硬件技術保護。投入信息安全產品,如專業防火墻、專業的VPN 通道設置等之后,軟件和設備防護能力提高,起到信息安全保護與防范作用。但是仍然存在“重技術、輕管理”的思想,管理的意識不夠,觀念沒有徹底轉變。信息安全不僅是技術層面的工作,還需考慮物理、技術、管理安全方面的因素。目前,高校在技術措施上投入大量經費,購買安全產品,卻在管理措施上投入較少,過分依賴于硬件技術的保護。信息安全事件主要是人為的管理不善,管理意識的淡薄、條例的不健全、操作過程不當等造成的。
1.3 信息安全管理人員配備不足。做好信息安全管理工作,需要有一支高素質的管理隊伍,但高校在信息化辦公室人員配置上數量較少,專業結構不合理,信息技術部門的工作人員只是購買安全軟件裝在服務器上。在服務器的管理和維護工作上,通常采用與校外公司簽訂維護服務協議解決人員緊缺及技術問題,但因不是本校員工,難免出現因事務繁雜而導致責任心不強的問題,有所疏忽將造成重大的損失。還有一種不能忽視的問題,在各個高校普遍存在,就是有部分信息安全管理人員不是計算機或者網絡安全專業出身,不能勝任專業的信息安全管理工作,從一定意義上來說,這部分人員不是信息安全管理的專業人員。
1.4 管理制度體系不夠完善。目前,很多高校沒有成立信息安全組織機構,未配備專門人員,盡管部分高校制定了管理辦法和規章制度,但達不到信息安全的管理要求。根據信息安全現狀和管理要求,各高校都應成立相應的安全組織、管理和技術機構,形成系統的信息安全管理機制。同時,還有部分高校在信息安全管理方面,幾乎沒有應急預案,一旦出現信息安全問題,后果不堪設想,一些高校雖然制定了《大學網絡與信息安全報告管理辦法》,但沒有真正發揮作用,未能起到預防信息安全事件發生和消除事件影響的作用。因此,完善高校信息安全管理體系還有很多工作要做。
1.5 信息安全管理和技術有待提高。高校信息安全管理規章制度權威性不足,沒有形成長效機制,是目前普遍存在的問題。任何管理措施都需要執行力,盡管目前高校在教學、管理、服務等方面都普及了數字化,但由于信息安全風險的不確定性,致使信息安全不被充分重視,信息安全管理和保障設備投入有限,設施陳舊,組織框架混亂,安全管理工作的分工不明,導致不能預防和及時處理信息安全方面的問題。信息安全管理制度的落實是高校的重點工作,各高校要高度重視,加強軟硬件建設,提高管理人員技術水平,保證高校信息的安全性和可恢復性。
2 高校信息安全防護措施
2.1 建立有效的信息安全防護系統。合理配置操作系統端口,詳細設置防火墻,開放必須利用的端口,關閉其他不必要的端口;免費提供正版殺毒軟件,供全校師生免費下載使用,定期修復系統漏洞,發送錯誤報告并進行分析處理,升級防毒軟件,保障校內所有計算機的安全運行;安裝與配置IDS 入侵檢測系統,檢測防火墻過濾后的隱匿攻擊,安裝漏洞掃描系統,內外兼防確保信息終端的可信賴性。
2.2 建立安全管理體系。在了解高校當前信息安全管理面臨的威脅和風險,分析原因的基礎上,結合現有信息安全管理現狀,整體規劃設計信息安全管理體系。制定相應的安全管理工作機制,明確各管理部門責權,對重點部門、重點節點重點進行安全風險的防控,有效確保整個信息安全管理工作的高效落實。
2.3 加強信息安全管理人員的配備和管理。成立學校信息安全管理機構,采取激勵政策,引進培養素質高、數量足的高水平網絡、數據管理人才隊伍,并培養部門信息安全管理員,充分調動他們的積極性和主動性,為學校信息安全保駕護航。對全體師生進行信息安全技術培訓,使廣大師生熟練掌握日常的安全操作和系統維護,針對性的加強部門、學生內部安全意識和技術人才的培養,使教師學生掌握基本的網絡防御技能和安全保密素質。
2.4 提高高校信息安全管理應急處理能力。信息安全事件具有隱蔽性、突發性的特征,甚至是具有災難性和傳播性的惡性事件。因此,要充分考慮信息安全事件發生時的影響度、損壞度,并進行風險評估,建立和完善信息安全預警與應急處理機制。各校要成立網絡信息安全應急處理小組,明確應急處置流程、落實相關處置人員職責,以加強預防為主,在網絡信息安全應急事件發生時,迅速實施應急預案,有效控制突發事件,妥善處理問題。在處理信息安全突發事件時,要兼顧高校正常工作中對網絡的需求,在有效控制校園網絡信息安全突發事件后盡快恢復校園網絡,避免影響正常辦公。
3 結語
總體來講,高校目前在信息安全管理方面還存在很多缺陷,已有的安全管理規章和制度只是一種局部的、事后糾正式的安全管理方式,要從根本上避免和降低信息安全事件發生的概率,就必須要根據自身的實際情況,借鑒其他高校的相關經驗,制定一套適合本校的安全管理策略和措施體系。
參考文獻:
篇10
1.2計算機信息安全管理問題
在計算機信息安全管理中,用戶對信息管理的重視程度不夠,缺乏足夠的信息安全管理意識,往往忘記備份,一旦數據丟失,會造成不可估量的損失。另外,缺乏嚴格的計算機信息安全管理制度,沒有對賬號、密碼等重要信息加強管理,都是計算機信息安全管理中存在的重要問題。現代企業的發展離不開計算機信息網絡技術,隨之帶來一系列的安全問題,而計算機信息管理者們沒有做好信息安全的應對措施,出現問題時,缺少應急方案,最終導致數據遭竊或丟失。
2加強計算機信息安全管理的有效策略
2.1優化計算機信息安全技術
2.1.1采用數字加密技術
為了加強計算機信息安全管理,優化計算機信息安全技術,采用數字加密技術,為保護計算機信息安全增添屏障。數字加密技術是利用數字來鎖定信息、數據,保證數據在傳輸過程中不會被竊取或泄露,整個傳輸過程都處于加密狀態,只有破解數字才能得到信息,這是保障信息安全的一種有效方式。采用數字加密技術,可以隱藏重要信息,利用數據水印、指紋等方式隱藏數據,以提升數據的安全性,是計算機信息安全技術中實用性最強的安全技術。
2.1.2采用防火墻技術
防火墻技術是利用防火墻這個屏障來阻擋病毒、木馬、黑客、惡性軟件,等等,以達到保護計算機信息的目的。防火墻通過對數據、信息的過濾,對信息的安全性予以分析和鑒別,將可疑性對象阻隔在外,控制和管理非法入侵者,防止外部用戶對內部網絡的訪問,以避免出現信息窺探或丟失。防火墻具有很強的阻隔性,將網絡分成內部網絡和外部網絡,注重對惡意信息的過濾,將攜帶非法身份的對象遏制在外。同時,要綁定計算及網絡的IP地址和MAC地址,避免他人利用假IP地址侵入計算機系統。
2.1.3采用入侵檢測技術
在計算機網絡運行過程中,應安裝入侵檢測系統,一旦有黑客、木馬、惡意軟件闖入,就會被檢測出來,將其阻隔在外,避免對有效信息的窺探和竊取。入侵檢測技術具有很強的防御能力,能對非法對象的侵入做出積極反應,達到保護計算機信息安全的目的。
2.2提升計算機信息安全管理水平
2.2.1提升用戶信息安全管理意識
計算機信息安全問題的不斷出現,與用戶的信息安全管理意識薄弱有關。為了加強對計算機信息安全的管理,應從用戶本身著手,提升用戶對計算機信息安全重要性的認識,在利用網絡平臺時,應增強個人警惕性,加強對自己重要信息的加密保護,尤其是對賬號、密碼、身份證號等信息的保護,以避免造成信息泄露或被盜竊現象。
2.2.2提高網絡人員的專業素質
為了實現對網絡信息的安全管理,應注重對網絡安全人員的專業培養,加強對相關人員的技術培訓,提升網絡管理人員的專業素質。對網絡信息安全中可能出現的各種安全問題進行預測,正確使用網絡信息安全技術,維護好計算機信息網絡。出現問題時,能做出專業性的判斷和反應。2.2.3做好信息、數據的備份工作為了實現計算機信息安全管理,應時刻做好信息備份工作,一旦出現信息丟失,可以立即恢復。對信息、數據進行備份,將不再修改的信息刻錄在光盤中保存起來;對不確定的信息,可以放在移動硬盤里;對于其他不重要的數據,可直接保存在計算機中。
篇11
0.引言
隨著信息技術的不斷發展以及市場競爭的不斷激烈,企業信息安全建設已經成為提高企業競爭力的重要途徑,杜絕信息泄露可以避免巨大的經濟損失。雖然大多數企業在信息安全管理方面采取了較多的措施,但是信息安全問題仍然頻發,對于企業的經營活動帶來巨大的損失。加強企業內部的計算機管理,提高對于信息安全的認識程度,保證信息數據庫的安全,避免信息泄露的發生已經成為現階段企業信息化建設亟待解決的管理問題。
1.企業信息化建設信息安全影響因素分析
(1)信息系統實體安全。信息實體主要包括用于企業信息化建設的計算機、網絡連接、服務器等媒介硬件設施,對于信息實體安全影響因素主要包括火災、水災、失竊或者是其他事故造成設備硬件的損壞,從而造成企業信息庫數據安全出現問題。
(2)信息系統運行安全。信息系統的安全是指為了保證企業信息數據庫的安全,采取各種措施對系統運行進行安全保護。由于信息數據庫有可能受到非授權的訪問、泄露、數據纂改或者是被其他非法程序控制的威脅,因此確保信息系統運行安全主要是保證信息數據庫的完整、保密以及時時可用性。
(3)信息系統管理人員安全責任意識。管理人員在日常工作中的安全管理意識、專業操作水平以及法律意識等均會對企業信息數據的安全產生影響。信息安全管理人員的日常管理工作責任心以及工作方式方法,對于保證信息數據庫的安全十分重要。
2.企業信息安全管理問題分析
目前由于管理制度以及軟硬件設施等一系列的問題,企業數據庫破壞以及重要數據信息泄漏的現象時有發生,嚴重影響了企業的正常生產經營活動,通過分析發現影響企業信息化建設信息安全的問題主要由以下幾方面:
(1)企業內部移動存儲設備管理疏松,缺乏安全保密管理制度。由于許多企業在日常管理過程中,移動存儲設備使用較多,員工可以隨意對企業內部的各種信息資料進行備份,企業用于經營活動的客戶信息、產品設計、財務管理等各項信息極易造成泄漏,帶來巨大的信息安全損失。部分企業由于對于信息安全管理認識程度不足,企業內部信息安全管理缺乏必要的規章制度,安全管理職責權限不清,信息安全漏洞較多。
(2)對于內部信息共享控制不嚴格,信息安全管理權限混亂。由于企業在生產經營過程中為了提高生產經營效率以及加強企業內部各部門之間的溝通聯系,對于一些設計企業銷售計劃、客戶信息以及生產計劃等文件采取共享的措施,因此企業員工的流動或者其他管理不當均會造成企業信息的泄露。
(3)信息權限管理混亂,企業的中介服務體系穩定性較差。對于加密的授權訪問,權限管理則成為保護企業信息安全的重要因素。但是由于企業在信息安全管理過程中體系混亂,操作權限不清晰導致經常出現影響信息安全的非授權訪問。而且對于部分中小企業由于信息化建設采取對外委托的方式,而中介第三方由于穩定性難以保證,隨時更換或者退出的第三方極易造成企業有價值信息的泄漏,影響企業信息安全建設。
(4)信息管理安全防范體系不健全,缺乏針對信息安全管理的專業技術人才。雖然部分企業已經認識到信息化管理的重要性,并在企業網絡內設置了必要的安全設備。但是缺乏一系列的安全管理機制,在信息安全管理方面缺乏行之有效的整體規劃與具體落實措施。此外,由于大部分企業在信息安全管理工作中將重點放在軟硬件設施上,而忽略了對于信息安全技術人員的培養,而且為了減少人力資源支出成本,信息安全管理人員少工作任務重,管理權限集中化程度高,影響了信息化建設的安全管理。
3.企業信息建設信息安全管理措施
(1)加強對于信息庫硬件設備的保護管理。首先應保證計算機等硬件設備具有安全的工作環境,做好計算機設備的防火、防潮、防盜措施,并避免強磁環境對信息數據可能造成的損壞。其次,在對各種硬件設備進行檢修時,硬組織企業內部相關技術人員進行監督管理,對于需要外送檢修的設備,則應提前進行數據加密處理。
(2)提高企業內部的信息安全管理意識。企業信息安全管理對于提高企業競爭力,避免企業經濟損失具有重要的意義。在企業的正常管理過程中,加強信息安全宣傳工作,使員工充分認識到企業信息安全管理的重要性,并熟悉企業相關信息數據保密的規則制度,提高企業的整體信息安全防范水平。
(3)加強信息安全操作管理人員的管理。在企業信息日常管理過程中,應加強對于業務操作以及數據存取控制代碼的管理。系統管理操作代碼的獲得應經過企業管理者授權,系統管理人員在進行企業相關信息數據庫的整理以及維護過程中,必須通過授權進行。系統管理人員離開工作崗位后,相關責任人應及時更換管理員操作代碼。
(4)加強企業信息數據庫的密碼與權限管理。對于涉及到企業信息數據庫安全的密碼,應分別設置用戶密碼以及操作密碼,并提高密碼的安全程度,及時定期更換登陸操作密碼。對于組成企業內部局域網絡的服務器、路由器等設施的設置管理工作,應嚴格按照相關管理規定進行設置。
(5)明確企業信息數據庫管理制度。對于企業重要的數據應存放備份數據,并采取異地存放的方式對備份數據庫進行管理。對于廢棄或者需要銷毀的數據信息,應嚴格依照程序采取逐級審批的方式,避免數據信息的泄露。需要進行數據恢復工作時,應嚴格按照相關技術手冊,并對恢復的數據進行驗證確認數據的完整可用。
(6)加強企業信息數據機房的管理。相關人員出入信息數據庫機房進行數據查閱以及提取工作時,應經由相關主管人員的授權,并登記進入。在日常管理過程中,定期對硬件設備進行保養,同時研究違章操作在信息數據機房安裝外部其他軟件。
參考文獻
篇12
首先應當加強針對電子檔案的專項的同步式管理,加強管理手段和相關政策制定的健全程度。在實踐的檔案和相關技術文件收集過程之中還應當加強對檔案的存儲和管理,對于一些原件,也應當進行妥善的保管,雖然電子檔案的相關技術當前發展相當先進,但是需要注意的是網絡環境并不是非常的安全,所以如果出現有電子檔案受到破壞的情況,則會帶來巨大的損失。所以,還應當加強檔案信息安全管理的同步管理控制,同步的建設相關措施,嚴格的進行項目的審核與研究,同時還應當在技術的發展過程之中增強資金的投入力度,依靠技術的支持,依靠規范化的管理和運行,這樣可以在最大程度之上降低網絡環境不安全性所帶來的不良影響,使得檔案信息安全管理和保密技術的發展真正意義上發揮出應有的效應。所以,還應當加強對檔案信息安全管理工作的分析。需要注意的是當前檔案信息安全管理是相關項目建設的重點和難點,在實踐的工作之中應當結合傳統工作的經驗,認真的進行歸納和總結,并且樹立起良好的工作意識和思想觀念,最鯰使得檔案信息安全管理的發展進入到一個嶄新的階段之中。不斷的加強對原始數據信息的積累,實現檔案信息安全管理工作的改進和相關項目的完善。對于相關技術文件,還應當進行一定程度上的修改和補充,常見的諸如工作檔案以及人事檔案等等,在存儲的過程之中應當嚴格的遵循方便后期修改的基本原則,而對于一些合同性的文件,則應當保證其存儲格式的科學性,保證后期查閱資料的方便與快捷,這一點是當前檔案信息安全管理的基本原則。
1.2健全檔案信息安全管理相關制度和規定
除了上述分析到的電子檔案的同步管理之外,在實踐之中還應當充分的結合現有的資源情況制定出健全并且完善的檔案信息安全管理控制制度,以保證工作的開展可以真正意義上達到有章可循的標準。需要注意的是網絡環境的完善需要實現制度和法規的健全,所以還應當建立起一個完善的信息控制系統,對其中的各個子系統以及資源等進行全面的完善,同時還應當保證相關政策和制度的制定可以充分的符合當前網絡環境的基本狀況,保證工作幵展的健全程度和制度制定的完善程度,構建出一個和諧的網絡技術環境。最后還需要注意的是針對檔案信息安全管理相關制度和政策的完善還應當加強信息技術、信息人才以及相關投資方面的建設,在當前的環境之下,網絡是一個相對開放的平臺,所以應當加強其中相關條例的制定。在實踐的工作幵展過程之中不僅應當結合當前工作的基本趨勢,提出計算機信息系統保密技術的防范措施,同時還應當對今后的管理方案和管理的政策等進行研究,旨在更好的促進實踐工作的改革。而在信息技術的安全層面之中也應當保證政策制度的制定者可以結合安全管理的現狀,制定出可行的措施方案,只有這樣才能夠真正意義上建設出安全的、和諧的、可靠的、穩定的網絡技術環境。
1.3加強檔案信息安全管理中的保密工作
加強保密工作是真正意義上促進檔案信息安全管理水準持續改進的關鍵點。在實踐的網絡工作過程之中不少檔案是可以進行瀏覽的,常見的諸如個人簡歷以及人事檔案等等,但針對公司項目檔案或保密檔案等應當充分的結合我國保密法之中的相關規定,進行有效的加密,因此應對檔案進行分門別類,進行專項的技術管理,同時還應當設置工作的標準化方案,以保證檔案信息安全管理的基本的保密性。此外針對檔案的保密程度也應當進行嚴格的而劃分,一些較為貴重的檔案資料應當避免進入到網絡之內,最后,結合檔案信息安全管理的保密程度不同,還可以釆取不同的安全標準化協議,以達到最佳的控制和管理的效果。
篇13
1.銀行信息安全管理中出現的問題
各種信息技術設備在銀行業的廣泛應用,雖然有效提升了銀行的工作效率與服務質量,但是也逐漸暴露出各種信息安全管理問題,主要表現在以下幾個方面。
1.1 信息安全管理體系不健全
我國很多銀行在安全管理方面存在各種問題,其中最為普遍的就是信息安全管理體系不健全。這些銀行的起步較晚,信息技術的應用范圍相對狹窄,在風險評估與等級保護等方面有待完善,并且信息安全的實施策略、標準以及質量控制等還沒有達到國際標準。同時部分銀行制定的信息安全策略不夠完善,尤其表現在信息資產的管理以及業務管理等方面,極大增加了信息系統的安全隱患,而一些銀行的信息安全管理工作流于形式,根本沒有建立全面而長效的信息安全管理機制。
1.2 運維監控與預警系統存在問題
我國的一些銀行還沒有建立有效的運維監控與預警系統,或者在銀行的硬件設施與業務系統方面存在一些缺陷,無法對銀行的重要設備以及周圍的環境進行實時監測。部分銀行在風險預警監控方面的自動化程度有待提高,而在對突發事件、意外事件等進行預警與監測時人工檢測占據了大部分比例,這樣就很難保障銀行風險預警監控的可靠性與及時性。
1.3 銀行工作人員導致的風險
當前很多銀行的管理人員并沒有加強對員工安全意識的定期強制性培訓,員工普遍缺乏安全意識,在工作過程中不能很好地保障銀行的信息安全,在出現問題后也無法及時發現,這就導致銀行潛在的風險增加。一些銀行員工由于缺乏安全意識,可能會將私人的優盤等設備接入銀行的信息系統中,導致病毒入侵,直接威脅到銀行的信息安全。同時目前銀行還普遍缺乏風險管理專業人才,無法做到對風險的專業化管理[2]。
1.4 信息技術的監控與審計不完善
當前部分銀行在信息技術的監控與設計方面有待加強。首先審計問題的整改落實不到位,銀行在通過審計發現問題后沒有及時查處,或者查處的力度不夠,缺乏長效的監督;大多采用經濟處罰,遇到侵犯領導利益的事件就大事化了或隱瞞事實。其次,銀行審計的廣度、深度還不夠,并且審核的周期與間隔較長,部分基層銀行甚至完全不開展信息技術審計工作。一些銀行雖然開展了審計工作,但審計缺乏深度,很難識別深層次的安全隱患[3]。
2.加強銀行信息安全管理的重要性
銀行加強信息安全的主要目的就是為了保障信息化的持續穩定發展,信息安全不僅屬于技術問題,也屬于管理問題。從信息技術層面來看,當前我們使用的很多操作系統存在一定的安全漏洞,開發商會針對發現的漏洞設計相應的補丁程序,這就需要定期更新系統。例如,運用主機熱備份以及災難備份的方式,可以有效保障信息的安全運行。同時一些軟件開放人員在編程設計過程中留有“后門”,如果這些“后門”被不法分子知道,就會將該部分作為攻擊目標,進而影響到信息系統的安全。當前大部分的黑客攻擊等都是由于系統“漏洞”引起的,因此銀行在應用軟件過程中應該盡量避免留有“漏洞”。
此外,隨著我國信息化技術的不斷發展,信息系統的安全管理也被納入國家的重點項目中。與世界上的部分發達國家相比,我國的信息安全管理工作起步較晚,但是發展較快,并且對系統風險認識的不斷深化促進了信息安全管理的發展。對于銀行而言,信息安全是至關重要的問題,這是因為任何一個環節出現問題,都會對整個系統的發展帶來影響,甚至導致全局性的失誤。例如,銀行傳統的信貸、柜臺等業務已經有多年的信息安全管理經驗,而信用卡作為一種新型的業務,它連接了多個方面的利益關系,其中涉及到發卡行、特約商戶以及持卡人之間的關系,因此信息安全就成為重中之重。在銀行開展各項業務過程中,信息和數據是基礎[4]。此外,從客戶的角度來看,銀行在給客戶提供服務時,必須保障提供信息的準確性、可靠性與安全性。由此可見,銀行加強信息安全管理是十分必要的。
3.構建銀行信息安全管理體系的思考
二十一世紀屬于信息網絡時代,我們生活中的大部分工作與事物都會用到信息技術,而在應用信息技術過程中也伴隨著一些信息安全問題。根據銀行安全管理中出現的問題,并結合銀行業的未來發展規劃,我們應該構建一個健全、高效的銀行信息安全管理體系。
3.1 建設信息安全管理技術體系
在整個銀行信息安全管理體系建設中,先進的技術是其中最為重要的部分,運用先進的信息技術能夠有效避免出現安全事件。我們使用較多的信息技術有身份識別、系統防火墻、防病毒技術等,同時也可以使用漏洞掃描、邊界防護等技術,通過多種安全防護技術來加強信息安全管理。
在使用防火墻技術時通常是將其設置在網絡的邊界上,以此對外界進行隔離,對信息安全管理系統進行安全強化[5]。病毒是信息網絡中最為常見的安全問題,如果出現網絡病毒將給銀行帶來巨大的經濟損失,這個時候我們就需要對重要文件進行實時備份,并且及時更新病毒數據庫。此外,在信息安全管理系統中充分應用身份識別技術,即用戶在登陸系統提交信息后,系統將嚴格識別操作者的身份,必要時會控制操作者的操作活動。
3.2 建設信息安全管理體系
所謂“三分技術七分管理”,銀行信息安全管理體系中的管理體系起到控制各種活動的作用。首先設置文檔化的管理體系,它包括制度建設與人員管理兩個部分。從銀行的制度、政策、操作流程等多個方面進行監督,對各個角色在信息系統中的活動進行監控。在信息安全管理系統中制定科學完備的管理制度,可以為信息安全提供基本保障,各大銀行都應該積極制定并完善自身的信息安全管理制度,如制定并按時更新《信息安全管理辦法》等,切實保障信息系統的安全運行。
信息安全管理系統的重要職責就是對操作人員進行管理,在人才選拔過程中應該嚴格按照銀行的聘用制度操作,不能單靠關系。在用人方面應該對員工的行為進行嚴格監督,加強員工的安全意識培訓,避免由于員工的疏忽、私欲等導致銀行信息系統被破壞。同時建立科學合理的銀行人事任用制度,保證內部員工能夠按照相關規范完成信息系統的管理工作,并及時讓技術人員掌握最新的技術。通過建設信息安全管理體系,讓銀行運行過程中的各項程序、日常維護、監控等操作符合規范,以此保障信息系統的穩定可靠運行。
為了提高銀行信息系統的安全性,管理人員也需要對已經識別的安全信息進行正確應用,定期檢測系統中的安全事件并及時解決,實時監視信息安全管理系統的運行情況,查看技術以及管理方面的控制措施是否合理。對信息系統的監控是一個長期的過程,監控的過程應該密切聯系信息系統的周期,監控程序應該能夠對與安全相關的結果進行改進,以提高信息系統的安全性。通過信息安全管理系統的構建,讓銀行業務數據的完整性、準確性與真實性得以保障;讓信息系統、網絡系統以及其它應用系統的安全性得以保障;讓與信息系統相關的設備、環境與存儲介質的安全性得以保障。
4.結語
銀行在應用先進信息技術提高銀行工作效率并方便大眾的同時,也應該加強對信息安全的管理,從技術和管理層面構建完善、高效的信息安全管理體系,避免重要信息的泄露,以此有效降低安全事故的發生率,營造良好安全的銀行服務環境。
參考文獻
[1]趙小東.數據集中模式下銀行業信息系統災備體系的研究與應用[D].山西財經大學,2011.
[2]王陽.基于IS027001的風險評估系統的設計與實現[D].大連理工大學,2010.
[3]王令朝.創建鐵路信息安全管理及其標準體系的探討[J].鐵道技術監督,2010,38(07).
