保障信息安全的措施精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的保障信息安全的措施主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:保障信息安全的措施范文
隨著我國信息化發展的日新月異,信息系統的風險評估也被國家決策層納為重要項目。與世界上的一些發達國家相比,我國在信息安全風險評估方面雖然開展的比較快,但是起步晚,并且是隨著對風險問題的認識的深化而發展的。商業銀行信息安全是至關重要的問題,因為在任何一個環節出現問題,就會影響到整個系統的發展,造成全局性的失誤。實踐是檢驗真理的唯一標準,作為商業銀行傳統的信貸、柜臺等業務已有多年的信息安全風險管理的實踐驗證,而作為一項新型的業務---信用卡,它連接了多個方面的利益關系。包括發卡行、特約商戶以及持卡人之間的關系,所以其中的信息安全成為重中之重。銀行的基礎是什么?毫無疑問,當然是信息和數據。對于客戶來說,商業銀行給客戶提供服務的同時,必須要為客戶提供可靠的環境以及信息的準確性和安全性。
加強商業銀行信息安全措施建議
商業銀行應該積極開展對持卡人信息安全意識的培訓,對于持卡人,在開卡時,要明確的詳細的傳遞有效的信息,對于用卡的安全性和風險性進行必須的培訓;定期向持卡用戶發送相應的提示信息,以提醒用戶保證用卡安全。
對于持卡人的個人身份進行定期的驗證,通過各種有效的手段進行身份核實,以保證用戶的用卡安全。發現問題和錯誤,要及時更正、修改。
對于惡性病毒軟件進行有效的預防與整治。制定嚴格執行惡意軟件的升級以及定期掃描,使得網絡通信方面的風險最小化。科學技術是第一生產線力,在實現網絡安全方面也是如此。要實現網絡的安全,首先要有先進的技術,在此基礎之上才能構建一個安全的網絡信息系統。在技術的保證之下,需要實現以下幾個基本目標:網絡線路及設備安全、防范網絡黑客攻擊、數據傳輸保密、對網絡通信進行實時監控、減少網絡安全漏洞、應用訪問控制等。在此基礎上,才能保證安全技術解決方案的實行。
1. 網絡線路及設備。網絡設備安全是整個網絡系統安全的前提,很容易出現單點故障,解決辦法主要通過在網絡設計中增加冗余設備、冗余線路等方式,來避免設備或線路失效對網絡產生影響。考慮到銀行業務數據的重要性,在進行廣域網設計時必須充分考慮到廣域網線路和設備的冗余備份和自動恢復的功能,因此兩級銀行(總.分,分.支)的網絡至少選擇兩個不同的電信運營商的廣域網線路進行互聯,兩條線路之間互為備份。當一家ISP出現故障或者一條線路出現故障時,路由器會通過動態路由自動選擇另外一條線路。
2. 網絡隔離。為了防止外部對內部和內部網之間的非法訪問,首先要對各個不同安全等級的網絡進行邏輯隔離,然后再對各網段實施訪問控制。
3. ACL。ACL使用包過濾技術,在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。網絡中的節點資源節點和用戶節點兩大類,其中資源節點提供服務或數據,用戶節點訪問資源節點所提供的服務與數據。ACL的主要功能就是一方面保護資源節點,阻止非法用戶對資源節點的訪問,另一方面限制特定的用戶節點所能具備的訪問權限。創建訪問列表同編寫一系列if-then語句非常相似――如果滿足給定的條件,則執行給定的操作;如果指定的條件不滿足,不做任何操作,繼續測試下一個語句。訪問列表語句基本上是對包進行比較、分類,然后根據條件實施操作的包過濾器。列表一旦建立,可以應用到任何端口輸入或輸出方向的流量上。應用訪問列表后,路由器會分析沿特定方向通過那個接口的每個包,并執行相應的操作。
4. 硬件防火墻。一般銀行系統用到的都是硬件防火墻般銀行系統用到的都是硬件防火墻設備,這樣就能夠比較高效的保證網絡的安全性能,從而可以過濾不安全的信息類型,以降低風險。要想使得網絡環境變得更加安全,就應該加強防火墻的安全措施,比如只有通過管理員認可的應用協議才可以通過防火墻。防火墻的應用比分散到各個主機上更加便捷、經濟。它對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻 ,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網绔使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。另外,收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測到攻擊,并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的;防止內部信息的外泄:通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。在一種意義上來說,網絡內部最關心的問題就是隱私問題,細節可能包含了多重信息。一個看似微不足道的細節,可能會是安全問題的一個導火索,引起內部安全漏洞的出現。所以,注重細節,是關系到信息安全的一個重要問題。
第2篇:保障信息安全的措施范文
【關鍵詞】IT系統;數據;信息安全;構建策略
在信息科技時代,IT系統運行的安全保障,是確保信息數據安全的重要基礎。當前,信息數據安全是IT系統運行中的主要問題,也是影響系統有效運行的重要因素。系統硬件問題、入侵問題和病毒防范,已成為IT系統信息安全的主要問題。因此,在的歷史時期,IT系統數據信息安全的構建,關鍵在于建立完善的安全防御系統,有效運用安全技術,如防火墻的科學設置、數據加密技術的應用等,為數據安全提供有力保障。本文立足對IT系統安全的研究,就如何構建IT系統數據的安全防御體系,做了具體闡述。
1IT系統數據信息安全問題
1.1系統硬件問題
在IT系統運行中,硬件及運維是系統信息安全構建的重要保障。系統運行中出現服務中斷,極易造成信息數據的丟失,影響系統的有效運行。首先,系統硬件出現故障,造成設備損壞、網絡連接出現錯誤,這些都會造成系統運行的信息安全問題;其次,在IT系統的安全運行中,節點設備的有效維護,能夠確保數據信息的安全。而在實際工作中,運維工作開展不到位,對于系統網絡的檢修等工作缺乏有效落實;再次,企業在安全管理的構建中,對IT系統硬件運維工作缺乏重視,導致出現硬件老化、超負荷運行狀態,這就造成了硬件設備故障頻發,影響IT系統的安全運行。
1.2惡意入侵問題
在多元化的互聯網時代,惡意入侵成為影響IT系統數據信息安全的重要來源。特別是在商業利益的誘使之下,非法入侵等行為,對系統數據的安全保障形成了較大影響。(1)基于系統漏洞,黑客展開惡意攻擊,對系統運行造成影響,數據信息被竊取;(2)系統操作不規范,IT系統運行存在諸多安全隱患,進而為黑客攻擊創設了條件。對數據信息安全造成威脅;(3)安全意識淡薄,在IT系統的信息安全構建中,缺乏主動的安全防范策略,以提高系統信息的安全保障。
1.3病毒防范問題
病毒入侵是造成IT系統運行安全的重要因素,也是安全防范的重要手段。(1)在開放式的運行環境中,計算機病毒的入侵,極易造成服務器等故障,進而對系統數據信息安全造成影響;(2)企業安全防范系統不完善,病毒查殺軟件、防火墻的設置,都缺乏有效構建,導致系統極易被木馬病毒等的入侵,影響數據信息安全;(3)病毒防范策略不到位,錯誤的安全配置、不當的操作行為,都會形成IT系統的安全問題。在數據信息的傳輸、共享的過程中,病毒入侵所形成的問題,極易造成數據安全威脅。為此,構建完善的安全防范系統及安全機制,是系統安全的有力保障。
2IT系統數據信息安全的構建策略
2.1強化安全防御,科學設置防火墻
在IT系統的安全運行中,應注重安全防御的構建,為系統運行提供安全保障。科學設置防火墻,能夠為數據信息安全保駕護航,實現有效的網絡隔離。在數據信息的安全防御中,通過有效的防火墻設置,能夠實現對系統內外網絡的科學控制,嚴格控制惡意攻擊行為對系統信息安全造成的影響。為此,對于IT系統的安全防御而言,應高科學設置防火墻,實現系統運行安全的有效構建。
2.2應用數據加密技術,實現安全防范
在IT系統數據信息安全的構建中,加密技術的應用,能夠實現提高系統的安全防范能力。在筆者看來,數據加密技術提高了數據傳輸中的安全,避免黑客、病毒的攻擊,對數據信息造成的破壞,確保數據信息的安全。在系統數據信息的傳輸過程中,積極與加密技術,實現了對數據信息的安全保障,在密文的作用之下,能夠防止數據信息被篡改、盜用。并且,為了避免密碼被分析破譯,通過加密算法的強化,確保了信息數據加密的安全性,進而確保了數據信息安全。
2.3強化安全防御意識,構建安全防御措施
在數據信息的安全保障中,應該強化安全防御意識,能夠在多元化的安全風險因素中,積極主動防御,構建安全防御措施。首先,要進一步規范操作行為,建立完善的安全機制,為IT系統的運行,提供良好的安全環境。強化安全教育引導,能夠在思想意識上,認識到數據信息安全的重要性,提高安全知識的學習;其次,建立預警機制,能夠對信息安全進行有效檢測,對網絡運行的數據進行監測收集。一旦發現安全攻擊,能夠及時預警反應,便于安全防御措施的開展;再次,強化安全入侵檢測,為IT系統的運行安全提供切實保障。通過專業的如今檢測技術,彌補防火墻的技術不足,與防火墻技術形成更加完善的安全防御體系。
2.4強化網絡訪問保護,落實數據安全防護
在IT系統的管理中,應強化網絡訪問保護,為系統數據的運行安全提供保障。對于IT系統數據信息而言,極易受到臨時接入用戶或非法權限用戶的影響,進而對系統訪問帶來安全隱患。為此,在落實數據安全防護的過程中,應該進一步強化用戶訪問權限管理,形成更加完善的方位保護模塊。在Windows系統中,NAP客戶端管理模塊,能夠對網絡訪問進行規范化管理。對于非健康權限的訪問請求,NAP模塊可為其分配一個隔離網絡,讓其進行單獨訪問,這就確保了整個IT系統數據的訪問安全。
3結束語
總而言之,IT系統安全的構建,在于如何優化安全環境,構建安全防御措施,為系統數據信息安全提供有力保障。病毒入侵、黑客攻擊、硬件系統問題,都需要在安全防御體系的構建中,得以有效防御。通過防火墻的科學設置、加密技術的有效應用等措施,為數據信息安全提供有力保障。
參考文獻
[1]胡心遠.企業IT系統的信息安全研究[J].計算機光盤軟件與應用,2016(02).
[2]趙楠.IT系統數據信息安全解決方案解析[J].科技資訊,2013(08).
[3]趙青,周宇.企業IT系統的信息安全分析[J].經營管理者,2017(18).
[4]劉曉文.石化信息系統IT運維安全實踐[J].信息安全與通信保密,2016(05).
第3篇:保障信息安全的措施范文
隨著社會經濟的不斷發展,網絡時代逐漸進入人們的生活,計算機被運用在了各個領域中,成為促進社會發展的重要媒介。而與此同時,企業信息安全問題也逐漸凸顯出來,嚴重阻礙了企業的可持續發展,因此,在網絡時代背景下研究企業安全風險和控制具有重要意義。
1 企業信息安全相關概述
1.1 信息安全的含義
迄今為止,對信息安全依然沒有一個統一和公認的定義。但是從國內外研究來看,對其主要存在2種說法:一種指的是具體信息安全技術系統的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態的角度上闡述了信息安全的基本層面,但是信息系統和網絡的影響決定了信息安全是一個動態的改變,其主要是防止企業信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對象提供安全、可靠的信息。
1.2 信息安全在企業中發揮的重要作用
企業信息作為企業的寶貴資源,保證企業信息的安全性對企業的生存和發展具有重要作用,主要體現在以下3個方面:一是企業信息安全是保障企業正常運行的基本前提。在網絡時代背景下,企業信息安全的內容更廣泛,再加上現代企業制度的不斷建立和完善,越來越多的企業依靠信息數據庫開展各項工作,例如:對于市場情況的分析、做出重大決策等等。二是保障企業信息安全是提高企業市場競爭力的必備條件。隨著市場經濟的不斷完善,企業面臨的競爭也越來越激烈,在這種形勢下,企業要想獲取市場競爭優勢就需要依靠信息安全來實現。三是企業信息安全作為企業發展戰略中重要的組成部分,而企業實施各項戰略主要是通過自身的經營活動、財務信息等開展的,這些數據也能夠將企業的戰略實施方法以及下一步計劃詳細地反應出來,因此,如果企業的信息安全無法得到保障,那么企業要實施各項戰略難度也很大。
2 網絡時代下企業信息安全風險分析
2.1 缺乏高度的信息安全風險意識
在網絡時代的浪潮下,很多企業都在逐步加強自身信息安全的建設,通過加大資金投入、創新技術等措施來保障自身的信息安全,然而,對信息風險的控制并非僅僅依靠技術就可以實現,更重要的是人們要樹立起信息安全的風險意識。但是從當前來看,還有很大一部分企業的領導者、管理者、員工缺乏對信息安全風險的高度重視,主要表現在:個別人甚至片面地認為信息安全僅僅是網絡部門的責任,跟自身沒有多大關系;二是有個別企業領導者認為對信息安全的宣傳過度夸張,遭受網絡攻擊的概率小,一般不會發生在自己身上;三是個別企業沒有建立信息安全風險管理體系,再加上企業缺乏具體的故障系統,導致企業信息安全遭到風險時,員工往往手足無措,雖說有些企業針對自身的信息安全制定了一系列規章和制度,但是由于缺乏針對性和操作性,導致這些制度無法得到真正落實。
2.2 應用系統的安全性不高
企業要實現信息化建設的目的,少不了各種應用系統作支撐,但是從實際情況來看,很多企業還存在著應用系統的安全性不高等問題,進而導致企業在數據傳輸和存儲等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取,實現非法訪問,進而引發企業信息丟失或者泄露等安全風險。另外,很多企業應用系統的安全方模式也較為單一,絕大部分主要是采用“口令”的方式進行認證,無法實現對信息安全全方位的防范。另外,企業設置的密碼過于簡單、操作不規范等等都會增加應用系統安全的風險。
2.3 技術設備和設施的作用發揮不足
個別企業為了防范信息安全風險,針對一些重要信息設置了安全設備,但是由于操作條件和參數設施不夠合理,無法將這些設備的作用充分發揮出來。還有很多企業沒有通過建立工作日志來對安全設備、設施的運行情況進行監控,進而不能根據企業的經營情況對信息安全進行風險控制,更無法采取有效措施保障企業風險管理。
3 網絡時代下控制企業信息安全風險途徑分析
3.1 加強信息安全教育,提高信息安全風險意識
由于在企業信息安全控制中,提高員工的信息安全意識是保證企業信息安全的決定性因素,因此,企業應該加強對員工的信息安全教育,幫助員工樹立起信息安全風險意識,例如:企業可以利用一些重大節日開展關于信息安全的演講比賽、征文比賽,也可以通過建立適當的激勵制度以及開展培訓活動等途徑來加強員工對信息安全重要性的認識,進而提高自身的信息安全風險防范意識和觀念。
3.2 加強信息化建設,設置信息安全管理部門
在企業信息化建設中,信息安全作為重要的基礎,企業要強化自身的內部控制,就應該落實信息安全的建設工作。加強信息化建設首先需要企業將信息安全納入安全管理范圍內,進而突出信息安全建設管理的重要地位;然后不斷健全信息安全的責任制度,爭取形成信息安全聯動管理機制,確保信息安全管理的有效性;最后,在企業中設置信息安全管理機構,該部分的主要職能為企業信息安全建設、管理以及員工的信息安全教育培訓工作等,從而為企業的信息安全風險控制創建一個良好的內部環境[2]。
3.3 運用新技術,加強信息安全風險防范
當前控制信息安全風險常見的主要有VPN技術和防火墻技術:(1)VPN技術。VPN主要指的是在公共網絡的虛擬專用網絡中建立一個臨時的安全鏈接,在通常情況下,對VPN內部進行擴展可以實現遠程操作,建立一條分公司、商業合作商和供應商跟公司內部網絡安全聯系,從而確保信息交換的安全性,保證數據傳輸的安全性。(2)防火墻技術。防火墻也被稱為訪問控制系統,主要是通過對網絡做拓撲結構和服務類型上的隔離來保障網絡安全。運用防火墻技術可以保證企業的內部網絡免受外部網絡的侵占,并阻斷非法訪問的外部網絡進入企業內部網絡,保證企業信息和資源的安全。
4 結 語
總之,網絡時代的產生為企業發展創造了新的模式和發展契機,但與此同時,企業的信息安全也面臨著很大的威脅,在很大程度上制約了企業的可持續發展。要實現對企業信息安全風險的控制,首先應該找準企業信息安全的風險點,然后采取對應措施,如:加強信息安全教育、加強信息化建設、運用新技術等幾個方面來控制信息安全風險。
作者:袁亮 來源:中國管理信息化 2015年17期
第4篇:保障信息安全的措施范文
關鍵詞:電力系統;信息安全;安全策略
中圖分類號:TM39 文獻標識碼:A
隨著飛速發展的電力信息化,電力系統越來越依賴于計算機網絡與電子信息系統,電力信息安全系統一旦產生差錯,將直接危害電網以及其衍射破壞國民經濟,其殺傷力勢必無法估量。電力系統信息安全是一項技術復雜度高、管理程度較深綜合型系統工程,波及到電力生產、傳輸、分配與使用等各個環節的同時,需最大限度地確保電力信息的密保性、整體性、可用性、可控性。此外,電力系統信息安全的深入研究,構建電力系統信息安全保障體系顯得尤為重要。
一、電力系統現存的信息安全隱患
近幾年,快速發展的國內電力信息化,電力通信逐步轉變為以光纖和數字微波為主導的的傳輸方式,并存著衛星、電力線載波、電纜、無線等多種通信方式的全國電力系統通信,為進一步發展國內電氣信息化夯實了基礎。綜合來講,相對較高的國內電力系統信息安全程度,保障著電力系統信息運行的安全性、穩定性。
雖然我國電力系統信息安全已取得了可喜的成效,但仍有進一步完善之處:
1.未統一規范管理的電力系統信息安全。確保正常運作電力系統,信息安全極為重要,但就目前來說,統一化、權威性的電力系統信息安全管理規范仍未真正落實到位。
2.符合電力行業指標的信息安全保障體系未合理構建。如在電力行業內部缺失計算機信息網絡安全意識、未實施完善的數據備份措施、脆弱的身份認證、計算機網絡化以及局域網廣域化,加大了外在危險的攻擊力等問題,屢見不鮮。隨著逐步推進的電氣信息化進程,計算機網絡越來越多的應用于電力系統的生產管理領域,但具有一定運行特點的電力系統,構建與電力工業特點相一致的計算機信息安全保障體系極為關鍵。
3.涌現出軟件內部的安全漏洞。軟件的獨特定已決定了自身一定不是健全的產品,不同影響的安全漏洞會不斷涌現。加之應用廣泛的軟件,增加了軟件接觸的條件復雜性,從而一定程度上隱藏了自身潛在的缺陷。
4.假借網頁進行惡意攻擊。一般情況下,每個電力企業均有自己電力系統網站,在互聯網連入后,各種網頁均在每位電腦用戶搜尋所需的有用信息不斷點擊下打開。這也是不可回避的情況,然而,并不是打開的所有網頁是安全的。部分網站的開發者或擁有者,為獲取某種利益,就會巧妙地修改自己的網頁,以便其具有一定的特殊功能。如:點擊打開某網站鏈接時,不經意間會發覺自己的瀏覽器已被自動更換,名稱已換成惡意網站的標題。此情況下,運用正常手段根本無法修正。更有甚者,部分網頁自身具有攜帶木馬的功能,只要不小心打開或瀏覽后,就有可能將木馬種在你的機器內,之后就會無意間破壞或泄露你個人的信息等。
5.針對當前服務虛擬化快速發展變革期的來臨,給電力企業信息系統帶來了一定的安全問題。比如攻擊內部虛擬機、爭奪有限的資源以及增加管理難度等方面。對此,基于信息安全保障體系預設的前提下,可以制定虛擬化感知的安全應對方案,規避爭奪資源,進而最大限度的提高服務器處于高峰和非高峰期內的工作效率。
二、構建電力系統信息安全保障體系的幾點思考
1.進一步完善信息安全管理機制
整體規劃統籌,關注重點,建設信息安全管理制度與規范標準進程需進一步加快,切實制定相關的信息安全制度條例,有效編制電力系統的實施辦法,明確信息安全項目的側重點,規劃統籌電力系統信息安全任務。合理構建電力系統信息安全保障體系,為本單位防護信息安全設施完善與更新工作做好全方位指導,及時調查應對產生信息事故之后的規范性工作,從而進一步提高信息安全事件的管理與監督力度。與此同時,針對規范建設災難恢復系統,需緊抓研究與編制,實施有效的恢復災難措施,適當規劃統籌單位內部恢復災難的系統建設工作。
除此之外,標準化、規范化是確保電力系統信息安全的基礎性工作。電力企業需著手于電力系統的實際特點,格外重視電力系統信息安全的規范化、統一性管理,適當的制定并完善一套標準化、統一性的安全管理規范機制,從而最大限度的彌補電力企業內部信息安全管理存在的不足之處,增強企業的風險承受力。在構建電力系統信息安全保障體系的過程中,電力系統主要管理部門必須嚴格按照確保電力系統正常運行的指標需求,參照現今的國際安全標準、國家安全標準以及相關的安全法規政策,有效地構建電力系統信息安全的各項管理規范和相關技術標準,進一步規范基礎性設施構建、系統與網絡平臺搭建、應用軟件開發、運行管理等各個重要環節,進而為電力系統信息安全的構建創造堅實的基礎。
2.加快建設信息安全管控機制
全面落實信息安全保障體系不可忽略主要負責人員的組織、管理工作。結合每人的不同因素,需嚴格遵循以人為本的安全理念是構建電力系統信息安全保障體系的基本原則之一,對此,在整個電力系統信息安全中,需重視組織安全機制的有效落實工作。在制定健全組織安全機制的過程中,需進一步提高計算機信息網絡工作人員的安全意識,并針對專門負責信息安全工作人員開展定期或不定期的安全培訓。
建設個人終端標準化工作需加快推進,嚴格管理個人終端接入網,將個人終端補丁程序與及時自動更新、升級病毒軟件落實到日常工作中,而對于隨意下載或安裝的非正版軟件需加大嚴禁力度。加強實施防治木馬病毒等危險因素侵入的安全措施,做好外來用戶訪問控制工作。全面有效的監控信息安全,盡快構建信息安全監控體系,實現集中監視防火墻、入侵檢測等安全防護設施,或對其進行及時有效地警示,同時,深入研究信息安全模型,制定綜合評估檢測信息安全機制,確保安全信息評估的科學化、簡便性。
3.增強安息安全密保工作的認識度
認清形勢,對全體員工的密保知識水平與防護技能進行全方面檢測,提高網絡竊密泄密防范水平。針對外網連接其他公共信息網絡,需嚴格審查或嚴禁,并嚴禁外存或處理國家和單位機密在非網上,將保護信息安全工作和職責切實落實到位。與合作單位的開發、咨詢工作需強化信息安全保密管理,簽訂保密協議,嚴審外來人員的訪問,加強授權管理,做好監管與備案工作。定期或不定期開展審查信息系統安全保密活動,對文檔做好登記、存檔、銷毀、定檢以及解密等各方面工作,及時發現、解除隱性的或顯性的泄密隱患。
在信息安全保障體系設計階段,確保電力系統信息安全需重點考慮的關鍵條件之一。規范化使用系統內部的部分安全設施,增強基礎設備的安全度,諸如盡可能實行深埋或架空通信線路等措施,避免各種方式的意外損壞。嚴格化管理保障體系內的部分精密設施,合理制定專項負責制,將責任具體到每人。
三、憑借防火墻及云計算安全手段,保障信息安全
近年來,隨著網絡科技的快速發展,防火墻技術已作為新興的計算機網絡安全保護性技術措施之一。在網絡中,通過阻止黑客訪問某個機構的內部網絡而設定的屏障,換句話而言,是專門控制超出兩個方向的通信門檻。針對邊界網絡,可利用對應的網絡通信監控系統的構建來將內外網絡進行隔離,從而防止外部網絡的入侵;緊密結合實電力系統,較為合適的利用“防火墻十殺毒軟件”配置方式,做好及時升級、更新工作,避免工作流于表面。與此同時,為保密信息因惡意外部破壞造成丟失或網絡癱瘓,需認真做好備份重要網絡信息和系統數據。此外,備份的有效性定期檢驗也顯得尤為重要。有力鑒定數據備份的有效性關鍵在于定期的恢復演習,也是有效演練網絡負責人恢復數據的操作技能,鍛煉應對問題時的從容面對,冷靜思考,進而為網絡訪問創造保障環境。
防火墻的類型多樣,具體概況為包過濾防火墻、防火墻與雙穴防火墻三大類。其中網絡層設置的一般是包過濾防火墻,而在路由器上實現包過濾目的。此類防火墻可以用來對外部非法用戶訪問的禁止,以及訪問某些服務類型的禁止等。又稱應用層網管級防火墻的防火墻,其組成主要有服務器和過濾路由器,是當前相對較為流行的防火墻種類之一。而針對雙穴防火墻,是在一個網絡內進行數據搜集,并有選擇性的傳送到另一個網絡。電力系統信息安全的保障性離不開防火墻的合理配置,確保安全連接各個網絡,從而在連接端口規避出現安全漏洞。
同時,通過加強云計算威脅管理,為信息安全保障體系提供靈活的管理策略,進一步豐富審計日志以及報表的功能。并有效結合“云中保險箱技術”,合理利用密鑰及管理策略機制,保護用戶存儲的云隱私與數據信息,使電力企業所運用的云平臺或數據交換突破時空限制,且更為安全。
結束語
總的來說,電力系統信息安全保障體系的構建是為了更好地應對電力系統信息安全的潛在威脅,使電力系統信息的安全性不斷提高。在總結過去經驗的基礎上,各電力企業要積極分析電力系統的特點,合理利用云計算安全手段,制定相應的安全策略,建立全面合理的信息安全體系,確保電力信息乃至整個電力系統的安全。
參考文獻
[1].吳克河.電力信息系統安全防御體系及關鍵技術[M].北京: 科學出版社.2011(10).
[2].田雨平.周鳳鳴.電力企業現代安全管理[M]. 北京:中國電力出版社.2009(1).
[3].國家電力監管委員會安全監管局.電力安全監督管理工作手冊[M].北京:中國電力出版社.2009(4).
第5篇:保障信息安全的措施范文
【關鍵詞】外匯 信息安全 風險 保障措施
近年來,國家外匯管理局加大了信息化建設步伐,信息系統已基本替代了手工操作用于處理外匯管理日常工作,在外匯監管與服務的過程中發揮著越來越重要的作用,外匯業務信息系統的安全正常運行已成為外匯局開展業務開展的前提,任何一個環節的信息系安全管理缺失,都可能給外匯管理工作帶來嚴重的后果。
一、外匯信息系統和數據所面臨的風險
信息安全就是保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的保密性、完整性、可用性.可控性和平可否認性。
外匯管理信息系統和數據在采集、保存和使用等過程中存在諸多安全風險,例如硬盤損壞等物理環境風險,操作系統和網絡協議漏洞導致外匯信息數據被非法訪問、修改或惡意刪除,最終導致外匯信息喪失上述安全特性,從而影響了外匯業務的正常開展。本節僅結合外匯信息系統和數據實際情況,簡要介紹外匯信息常見的風險。
(一)電子設備存在軟件和硬件故障風險
外匯信息系統在運行過程往往會面臨硬件設備發生故障,軟件系統出現運行錯誤的風險,例如服務器電源設備老化、硬盤出現壞道無法讀寫、軟件崩潰、通訊網絡故障等問題。上述問題是外匯信息系統實際運維過程中最為常見風險源。
(二)人為操作風險
因人為操作外匯信息系統產生的未授權的數據訪問和數據修改、信息錯誤或虛假信息輸入、授權的終端用戶濫用、不完整處理等。產生該類風險的原因是用戶安全意識淡薄,未授權訪問數據造成外匯信息泄漏,數據手工處理導致的錯誤或虛假信息,未授權用戶操作等行為都會造成信息系統安全性風險。實際外匯信息系統運行中,人為事件造成損失的概率遠遠大于其他威脅造成損失的。
(三)系統風險
一般所用的計算機操作系統以及大量的應用軟件在組織業務交流的過程中使用,來自這些系統和應用軟件的問題和缺陷會對一系列系統造成影響,特別是在多個應用系統互聯時,影響會涉及整個組織的多個系統。例如,部分系統具有維護困難、結構不完善、缺乏文檔和設計有漏洞等多個隱患,有時就會在系統升級和安裝補丁的時候引入較高的風險。
(四)物理環境風險
由于組織缺乏對組織場所的安全保衛,或者缺乏防水、防火、防雷等防護措施,在面臨自然災難時,可能會造成極大的損失。
二、外匯信息安全基本準則和特性
外匯信息系統是一個以保障外匯業務系統正常運行的專用的信息系統,近年來在不斷加大信息科技方面投入、加快信息化建設的過程中得到了有效整合和完善。為有效應對外匯信息系統安全風險,科技部門應同步提升科技管理制度的完整性和執行力度、管理精細化程度。制定外匯信息系統安全的具體保障措施之前,首先需要我們認清信息安全的基本準則和一些特性:
(一)信息安全短板效應
對信息系統安全所涉及的領域進行安全保護即全面構筑外匯管理信息安全保障工作,重點加強對安全洼地、薄弱環節的安全防護。
(二)信息安全系統化
信息系統安全其實是一項系統工程,要從管理、技術、工程等層面總體考量,全面保障外匯管理局信息系統安全。
(三)信息安全動態化
信息安全保障措施所防范的對象是一個動態變化的過程,所以信息系統也應該隨著內外部安全形勢的變化不斷改進。
(四)信息安全常態化
信息安全從時間角度看是一個長期存在的問題,只有在信息安全技術方面嚴格把握重點,綜合信息安全體系的可持續構建,才能保障外匯管理局信息系統安全。
(五)系統操作權責明確
信息系統安全的前提是要嚴格內部授權,劃分各崗位職責,如加大內控風險防范和控制。使各系統角色操作者權限形成相互制約的控制機制。
三、外匯信息安全保障應對措施
外匯信息安全工作應以信息系統所面臨的安全威脅依據,遵循基本準則,以信息基礎設施建設和安全管理制度為我切入點制定相應的防護措施。
(一)建立系統性的安全管理制度
安全管理制度要包括人員管理、資產管理、數據管理、網絡管理、運維管理、應急管理、事后審查等方面內容
(二)建立良好的網絡信息安全防護體系
從物理環境安全、網絡邊界安全、設備安全、應用系統安全以及數據安全等方面部署相關的安全防護設備和措施。
(三)定期進行信息安全教育培訓
因信息技術行業快速發展,信息安全形勢也在不斷變化,外匯管理局科技部門可定期對轄內外匯信息系統維護和操作人員進行信息系統安全培訓,更新安全知識。為了有效防范未知威脅和隱患,外匯管理局科技部門可對轄內定期開展信息系統安全檢查,確保外匯信息系統安全有效運行,保障外匯信息的可控、可用和完整性。
(四)開展信息系統安全風險評估,進一步做好系統等保工作
首先對外匯信息系統安全進行風險評估,根據評估識別威脅外匯信息系統安全的風險,作為制定、實施安全策略、措施的基礎,風險評估同時也是外匯信息系統安全等級保護的重要前提與依據。其次確定信息系統安全級別,根據級別的不同,實施對應的保護措施,啟動對應級別的安全事件應急響應程序。
(五)運用入侵檢測等技術,預防惡意攻擊
隨著技術發展,當前惡意攻擊手段呈現越來越隱蔽的趨勢,需要科技部門采用具有預警功能的技術手段來應對,如入侵檢測、數據挖掘等技術,通過分析歷史數據,發現當前安全措施的缺陷,及時糾正和預防內外部風險再次發生。
(六)完善監督管理,實施信息安全自查與檢查相結合
查找現有信息化建設工作中的薄弱環節,井切實進行整改,建立良性的信息安全管理機制。開展信息安全檢查與自查是完善信息安全監督管理工作的有效方式之一,其中信息安全檢查方案的設計是安全檢查的核心,科技部門需要根據外匯業務實際情況,將外匯管理局有關要求進行梳理完善,對相應風險點進行總結和歸納,科學設計了信息安全檢查方案。
參考文獻
[1]林國恩.信息系統安全[M].北京:電子工業出版社.2010
第6篇:保障信息安全的措施范文
關鍵詞:電子政務;安全隱患;解決措施
在信息網絡中電子政務是一個特殊的應用領域,涉及領域內的眾多信息都是具有保密性的。如果電子政務系統的安全性被破壞,造成敏感信息的泄露、黑客的入侵、網絡信息的非法使用以及計算機病毒等都將對電子政務系統的正常運轉構成威脅,甚至對政府部門和社會公眾產生危害,嚴重的還將危害國家的信息安全及安全。
1 我國電子政務中信息安全存在的問題
1.1技術問題
1.1.1技術被動性:首先我國的芯片大多數均依賴進口,即便有部分是自己開發的也需要到國外去加工;其次,由于加入了WTO,為了減少與發達國家的差距,我國引進了不少國外設備,同時也帶來了不容小覷的安全缺陷。另外我國大部分網絡運行的主要是TCP/IP等網絡協議,這些都不是為安全通訊而設計的,因此,在利用這些技術進行服務本身就存在著許多方面的安全威脅。
1.1.2網絡技術本身的缺陷:中國是一個國土面積約960萬平方公里的泱泱大國,不可避免包括了丘陵、高原、盆地等,要使全國都電子政務化,其網絡規模不言而喻,這就造成了通信線路過長,其安全系數越低。另外現代通信分為有線和無線兩種,有線線路容易遭受物理破壞,易被搭線竊聽;無線線路易遭截獲、監聽等等,同樣存在安全隱患。
1.1.3安全標準的不統一:目前全國缺乏統一的加密系統、密碼算法和數據管理制度。在應用平臺時,用戶不規范造成病毒、黑客入侵;直接面向用戶時存在信息泄露、信息篡改、信息抵賴、信息假冒等等,信息的絕對安全沒有保障。
1.2管理問題
1993年,國務院成立了國家經濟信息化聯席會議,正式啟動國民經濟信息化工程,開始實施“三金工程”,及金橋工程、金關工程和金卡工程,以及以后的金質工程等。[1]隨著政府全面上網工程模式的展開,形成了一定的規模,但是電子政務的安全管理的難度系數也加大,很多機關管理部門忽略其安全防范,放松安全意識,造成我國電子政務的損失。目前出現的管理薄弱問題,給不法分子和不少國家的敵對勢力空檔,通過在網上發表不實言論以損害國家利益。
2 維護電子政務信息安全的具體措施
2.1技術保障
針對存在的技術問題,可以提出防火墻技術、數據加密技術、入侵檢測技術、防病毒技術和數據存儲、備份技術。[2]
2.2強化組織和和管理
目前的管理方式停滯不前,仍是“看家護院”的傳統模式。我們應該配合國家信息化領導機構,在個地區和部委建立相應的信息安全管理機構,以完成和強化信息安全的管理,形成自上而下的信息安全管理組織體系。同時,根據管理需求,可以對電子政務系統信息內容實施安全監控管理,來保護政務信息的安全,防止由于內部違規或外部入侵造成的網絡泄密,同時也阻止了有害信息在政務網上的傳播。
2.3法律和政策的健全
電子商務的工作內容和工作流程涉及到國家的秘密與核心政務,它的安全關系到國家的主權、國家的安全和公眾利益,因此電子政務的安全實施和保障,必須以國家法規形式將其固化,形成全國共同遵守的規約,成為電子政務國際交往的重要依據。這樣做的目的就是為了保護守法者和依法者的合法權益,為司法和執法者提供法律依據,對違法、犯法者形成嚴打的威懾。因此,制訂相應的法規,適度的解密和規范開放的規則,保護政府部門間信息的正常交流,保護社會公眾對信息的合法享用,打破對政務信息資源的壟斷和封鎖,提高政府行政透明度和民主進程,是非常有利的。[3]例如:《計算機軟件保護條例》(1992年)、《中華人民共和國計算機信息系統安全保護條例》(1994年)、《警察法》(1995年)、《計算機信息網絡國際聯網安全保護管理辦法》(1997年),都可作為執法人員執法時的依據。
2.4自主知識產權信息安全核心技術的研發
由于我國所用的核心技術不是依賴進口就是在國外生產,完全無任何安全保障,所以在未來的發展過程中我們除了做好防范安全隱患的措施外,搞好自主知識產權的研發作為維護電子政務信息安全的核心,更應該著力于研發具有自主知識產權的信息安全核心技術,生產出能與美國等發達國家相媲美的具有高密度信息安全的產品。
【參考文獻】
[1] 陶學榮,朱旺力;中國電子化政府:歷史、現狀和挑戰[J];江西社會科學;2004年02期
第7篇:保障信息安全的措施范文
【關鍵詞】軍隊檔案;安全保障體系建設;思考
檔案安全保障體系建設是推動檔案管理機制創新,提升檔案管理水平的重要途徑之一。檔案安全保障體系建設必須以檔案安全保障理論為指導,綜合技術、管理、人員、活動,建立動態調整的、獨立的、開放的安全保障體系,保證檔案終身安全。特別是在當前,我國自然災害和頻發、公共服務體系建設和政府信息公開提速、信息技術應用導致數字檔案信息大量產生的新形勢下,進一步加強軍隊檔案安全保障體系建設,全面提升軍隊檔案部門的安全保障能力,顯得尤為重要。加強軍隊檔案安全保障體系建設,是應對敵對勢力竊取我軍核心檔案信息資源的客觀需要;是應對近年我國自然災害多發頻發、對檔案安全構成嚴重威脅的客觀需要;是應對社會轉型期出現,威脅檔案安全的重要舉措;是應對新技術廣泛應用,對數字檔案信息資源安全帶來的新隱患新挑戰的必然選擇。從軍隊檔案管理工作實踐的角度來看,檔案安全保障體系建設的任務非常繁重,涉及檔案收集、保管、利用等各個環節,貫穿于檔案管理的整個過程。從軍隊檔案安全保障體系的基礎設施以及制度、技術、人員等諸多支撐要素來看,必須將其作為一個有機整體的系統工程,統籌考慮和謀劃,全方位地整體推進。
一、加強檔案安全保障體系建設的物質保障
軍隊檔案館(室)是保障檔案安全的重要屏障。加強檔案安全相關基礎設施建設,首先要堅持不懈地抓好檔案館(室)建設,改善檔案館(室)設施和檔案保管條件。在檔案館(室)建設過程中,應當高度重視抗震烈度、防火等級等方面的剛性要求,充分考慮堅固、安全、環保、實用等因素,嚴格遵循國家和軍隊有關檔案館(室)建設的標準和規范,把檔案館(室)建設好,筑起保障檔案安全的堅固防線。在設施設備方面,要嚴格遵循視頻監控、門禁、火災報警、消防、溫濕度監控、恒溫恒濕、周界防護、電子巡查、通訊、計算機安全等系統建設的新要求。全面構建和實施檔案安全保障體系,可以從根本上提高軍隊對檔案文獻遺產長期保存、有效利用的控制力,從根本上提高檔案安全保障技術整體水平。
二、加強檔案安全保障體系建設的制度保障
建立健全軍隊檔案管理規章制度,加強對規章制度執行情況的監督檢查,建立起長效機制,確保規章制度落到實處。一手抓建章立制,一手抓貫徹落實,同時在制度的制定和執行兩個方面下工夫,不能有“椰子效應”,即在政策的“硬包裝”之下存在一個執行的“軟內核”,從確保軍隊核心信息資源安全的高度,充分認識檔案安全保障能力建設的重要性和緊迫性,不斷完善各項涉及檔案安全工作的規章制度,并認真付諸實施,把安全至上的理念物化到檔案管理各個環節中去。完善突發事件應對制度,建立危機預防與危機管理機制,加強突發事件應急管理,提高應對自然災害損毀和影響的能力。按照《檔案工作突發事件應急處置管理辦法》的要求,根據單位實際制定相應的應急預案,對所能設想到的各種突發災害、突發社會事件到來時怎樣搶救、保護檔案制定出方案,以便緊急情況發生時按預案辦事。每年不定期按預案進行演練,以提高應急處置的執行力。加強《檔案館災害防治工作指南》的宣傳貫徹,用以指導各級檔案部門的防災備災、應急處置和恢復重建工作。
實施重要檔案備份制度,是提高抵御各種突發事件影響能力的一項重要舉措。俗話說,雞蛋不能只放在一個籃子里。我國自古以來就有對重要檔案實行多套異地備份的制度,在危害檔案安全的突發社會事件和自然災害頻發的今天,我們必須進一步強化風險防范意識,更加重視實施重要檔案異地備份制度,提高災害應對能力。完善檔案利用安全保密制度,處理好檔案開放和公開與信息安全的關系,提高檔案利用過程中本體安全和信息安全保障能力。在更多關注信息公開、改善公共信息服務的同時,要加強對利用檔案的審查監管工作,不該提供利用的檔案堅決不提供,能利用副本的盡量利用副本,保障檔案本體的安全和檔案信息的安全。完善受損檔案搶救制度,對突發災害、事件以及自然老化等因素造成檔案損毀的,一定要盡快對破損檔案采取搶救和保護措施,避免造成更大損失,加強對各項搶救保護工作的監督和指導,是落實檔案搶救制度的關鍵所在。
完善數字檔案信息安全制度,認真做好檔案信息化建設過程中的信息安全保障工作。數字檔案信息的安全保障工作,應當從設備、網絡、系統、數據等各個方面、各個環節加強安全管理,以完備的防范體系來保證數字檔案信息萬無一失。電子文件是一種易被改動、易被竊取、易于傳播、易于消失的信息,特別是它還是一種不能直接識讀而必須依賴于特定的設備和軟件才能被讀取的信息,必須在不斷攻克相關關鍵技術的同時,建立完善的管理制度和規程,解決好電子文件的保密、保存、讀取等巨大難題。
三、加強檔案安全保障體系建設的理論支撐和技術保障
構建檔案安全保障體系的前提是分析檔案安全保障體系的理論定位與實際應用的關系,爭取實現基于高起點、實現高目標、開拓新局面。
目前,國內外關于檔案安全保障體系的理解大致有三層含義:其一,控制環境,降低風險。這里的“環境”是指檔案保管環境、物理環境、社會環境、信息存儲環境等,降低環境因素對檔案安全的影響,最大可能降低風險。其二,建立安全保障平臺,采取安全防護措施,使檔案盡可能保持穩定狀態。其三,對已經處于不安全環境中的檔案,采取各種措施使其達到新的穩定狀態,保存其信息的可讀、可用和可藏。這三層含義包括檔案安全保障體系中的社會因素、管理體制、組織體系、策略、政策法規、安全保障技術或安全保護效果的評價等等較為宏觀的要素。
檔案安全保障屬于檔案管理和檔案維護中非常重要的一部分工作,需要滲透到檔案形成階段、保管階段和維護階段,也就是整個生命周期。充分結合檔案工作實際,加強檔案防災減災策略、數字檔案信息安全保障策略、受損檔案搶救修復技術方法、電子文件真實性保證和長久保存方法、突發事件應對措施等關鍵理論和技術方法的研究攻關,不斷提高檔案安全的理論支撐和技術保障能力。如對于檔案保管單位來講需要進行系統的檔案安全現狀的普查工作,了解檔案的種類、損壞程度、檔案保管安全現狀和存在的安全隱患,建立檔案安全數據庫平臺。摸清家底會對檔案安全總體狀況有個全面和系統的了解,可以從整個軍隊的層面制訂相應的檔案安全保障長期策略。這就使得檔案的安全保障工作更加具有整體性的把握及其長期的計劃性,以至實施保障技術措施時更加具有針對性。采取有效措施推進檔案安全保障相關新技術、新設備、新方法的推廣應用,促進檔案安全保障能力快速提升。
四、加強檔案安全保障體系建設的人才保障
正如國家檔案局楊冬權局長所說:在影響檔案安全的各種因素中,人是決定性的因素檔案安全的最大保障是人的認真,檔案安全的最大危險是人的疏忽。許多檔案安全事故的發生,就源自于人的認識不到位、思想不重視,疏于防范;許多自然災害中檔案損失的大小,完全取決于人們是否重視檔案安全并采取了有效防范與搶救措施。因此,確保檔案安全,對檔案部門和檔案工作者來說,是本職、是天職、是稱職;相反,則是失職、瀆職、不稱職。若是由此給軍隊造成重大損失的,還要免職、撤職,直至追究刑事責任。
由此可見,提高軍隊檔案干部整體素質、增強安全保障能力,是檔案部門的一項重要而緊迫的任務。通過對檔案工作人員開展經常性的安全教育和學習培訓,強化他們的安全防范意識和責任意識,普及檔案安全保障基本知識與技能,培養造就一支責任意識強、掌握現代科技知識和專業技能、勝任本職工作的檔案干部隊伍,為檔案安全提供可靠的人才保障。
現代條件下的檔案安全保障體系的構建是決定檔案事業發展的關鍵之一,它圍繞檔案主體工作而形成的,包括檔案創新能力、關鍵技術研發與應用能力、安全保護活動組織能力、業務拓展能力、事業發展支持能力、檔案技術力量培訓能力等,是一項長期而艱巨的任務,需要檔案機構上上下下、方方面面的通力合作,積極配合。檔案安全保障體系對于檔案工作及檔案工作者都是一個全新的概念,它的構建、研究和推廣應用為檔案事業的長期發展提供了巨大的空間。
參考文獻:
[1]周朱華.電子政務網絡與信息安全保障體系設計[J].信息安全,2009(3).
[2]王愛紅.一種安全電子政務系統的開發[J].計算機信息,2007(1)-(3).
[3]王謙,陳放.我國電子政務信息安全及保障體系[J].網絡安全技術與應用,2006(04).
[4]楊冬權.在電子文件管理國家戰略國際學術研討會上的講話[N].中國檔案報,2009-6-26(1).
[5]楊安蓮.電子文件信息安全管理研究[J].檔案學通訊,2009(4).
[6]馬芳.國外信息安全保障技術的回顧與前瞻[J].信息安全與通信保密,2008(6).
第8篇:保障信息安全的措施范文
1我省林業信息化安全形勢嚴峻
我省林業系統信息安全面臨的形勢不容樂觀,從省直機關及部分地市單位的調查結果看,有39%的單位發生過信息安全事件,說明我省林業系統網絡和信息安全基礎還比較薄弱,保障機制尚待健全。主要有以下四個方面表現。
1.1從發生信息安全事件的結構上看,超過半數的屬于感染病毒、木馬。引起事件的原因35.5%來自于單位外部,主要原因是未修補或升級軟件漏洞。42.2%的事件損失比較輕微,只有0.9%的事故屬于比較嚴重。而對于事件的覺察,36%是通過網絡管理員工作監測發現,22.7%是事后分析發現。這說明,我省林業網絡安全形勢總體上是好的,但也說明網絡與信息安全事件總體防范能力不足,缺乏對安全事件的提前預防。
1.2從信息安全管理來看,有74%的單位制定了安全管理規章制度,78%的單位能做到隨時進行安全檢查,61.1%的部門在管理中采取口令加密。這說明林業系統內大部門單位已經認識到了信息安全的重要性,但管理手段單一,技術落后,缺乏有效的身份認證、授權管理和安全審計手段。
1.3從信息安全投資來看,只有14.70%的單位信息安全投入達到了15%,70%的單位信息安全投資低于信息化項目總投資的10%,甚至還有7%的單位在信息安全方面從來沒有過投資。說明整體網絡與信息安全投入明顯不足。
1.4從專職人員配備情況來看,只有46%的部門有專職的信息安全人員,大部分是兼職人員或外包服務。僅有3.8%的單位組織了對單位全體員工的信息安全培訓,而對于網絡安全管理技術人員的培訓也只有46%的單位搞過。從業人員不足,安全培訓少,也是影響信息安全的一個重要因素。上述現狀,反映出我省林業系統網絡與信息安全意識淡薄,信息系統綜合防范手段匱乏,信息安全管理薄弱,應急處理能力不強,信息安全管理和技術人才缺乏。隨著我省林業信息化建設和應用的加快,多樣化的侵害和信息安全隱患將會不斷地暴露出來,使我省林業網絡與信息安全工作面臨著更大的威脅和風險。
2我省林業系統信息安全保障思路及主要任務
省委省政府關于建設“平安山東”的決定,提出了把我省建設成為全國最穩定、最安全的地區之一的明確目標和任務,切實加強網絡與信息安全保障工作是大力推進國民經濟和社會信息化的重要保障,是平安山東建設的重要內容。省政府印發的山東省國民經濟和社會信息化的十二五規劃,把信息安全保障體系作為主要內容之一。在此基礎上,林業信息化建設以全面提高網絡與信息安全的保障能力為己任,努力開創了我省信息化建設與信息安全保障體系相互適應、共同進步的新局面。
2.1信息安全保障工作的思路以科學發展觀為指導,認真貫徹“積極防御,綜合防范”的方針,加強網絡信任體系、信息安全監控體系和應急保障體系建設,全面提高林業系統網絡與信息安全防護和應急事件處置能力,重點保障我省林業基礎信息網絡和重要信息系統安全;強化林業信息安全制度建設和人才隊伍建設,充分發揮各方面的積極性,協同構筑我省網絡與信息安全保障體系。
2.2信息安全保障工作的主要任務
2.2.1建立健全我省信息安全管理體制,充分發揮網絡與信息安全建設的作用,建立了信息安全的通報制度,形成我省林業信息安全相關部門密切配合的良好機制。
2.2.2積極推進了信息風險評估和等級保護制度的建立。省信息辦制定了山東省信息安全風險評估實施辦法,介紹了實施風險評估的方法和流程,十一五期間,已選取了多家單位作為試點,下一步將根據自己工作實施風險評估,并爭取在全省范圍內推廣。
2.2.3大力促進網絡與信息安全的制度建設,積極貫徹有關信息安全標準的應用和推廣,出臺了林業系統網絡信息安全建設的指導意見。
2.2.4加強信息安全應急處置體系建設,利用現有的專業隊伍和技術資源,規劃和建設林業數據備份中心,啟動建設信息化應急技術處理中心,逐步實現為我省林業網絡信息安全提供預警、評測等服務,按照“誰主管誰負責、誰運營誰負責”的要求,各部門出現問題及時處理,如果處理不了,可以呼叫應急中心通過技術手段判斷突發事件的原因。
2.2.5加強人才隊伍培養和建設。不定期的舉辦了面向工作人員提高安全意識、防范意識的培訓,對從事信息化的專業人員建立管理培訓的制度。
3加快我省林業信息安全保障體系建設進程的建議林業信息安全保障體系的建設是關系我省民生的大事,做好這項工作十分重要。
3.1充分認識做好信息安全保障工作的重要意義。目前對信息安全問題不少人仍然缺乏全面的、深刻的認識,現有各個部門在安全工作中缺乏安全防范的意識,安全防護注重于系統外部,忽略了系統內部的安全管理措施,安全保障缺乏循環、良性的提高,不能自主發現和及時消除安全隱患,對安全工作仍然不同程度的存在“說起來重要,忙起來次要,干起來不要”的問題。各單位各部門要從經濟發展、社會穩定的高度充分認識信息安全的重要性,增強緊迫感、責任感和自覺性。
3.2正確把握加強信息安全保障工作的總體要求。要堅持積極防御、綜合防范的方針,正確處理發展與安全的關系,堅持以發展求安全、以安全保發展,同時管理與技術并用,大力發展信息技術的同時,切實加強信息安全管理工作,努力從預防、監控、應急處理和打擊犯罪等環節在法律、管理、技術、人才各方面采取各種措施全面提升信息安全的防護水平。
3.3突出重點,抓好落實。各部門要制定工作重點,加強信息安全體系建設和管理,最大限度的控制和限制安全風險,重點保障基礎信息網絡和重要信息系統的安全,做好應急服務工作,盡可能的防止因信息安全問題造成的重要信息系統的大面積的出現問題。防止數據丟失和錯誤,避免對社會造成的損失。
第9篇:保障信息安全的措施范文
關鍵詞 內網;信息安全;保障體系
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2013)16-0129-01
內網的構建不僅需要工作人員將內網的數據傳輸技術進行實時更新與維護,更加需要專業的信息管理員對內網的信息內容進行管理,確保內網信息安全健康。保障體系作為一種以內網信息為工作對象的管理體系,其工作的開展較多的依賴于體系各環節的協調。本文將從內網信息安全的保障為中心,簡要分析推進該安全保障體系建設的措施。
1 內網信息安全保障體系構建的重要性
1.1 對網絡環境的規范作用
隨著計算機網絡技術的廣泛應用,網絡已經成為我國國民生活的一部分,信息傳播速度的不斷提升和觀念交流的及時有效逐漸的形成了對網絡環境的威脅。網絡環境是確保網絡信息安全、健康的基礎,只有確保網絡環境的清潔,網民的信息安全才有所保障。
推進內網信息安全保障體系的建設對網絡環境有一定的規范作用。首先,內網信息安全保障體系是針對網絡信息安全這項內容的,而該項內容是網絡環境中極為重要的部分,網民之間的信息交流構成網絡環境的基礎。保障體系的建立能夠有效地提高網絡環境的清潔力度。其次,內網信息安全保障體系的建立有利于加強局域網絡的穩定性,減少因網絡故障導致的全網癱瘓。
1.2 對用戶信息安全的保障作用
網絡用戶的信息安全一直都是網絡平臺信息管理者需要關注的重點。隨著網絡用戶數量的增加,網絡安全問題逐漸凸顯,部分網民私人信息泄露已經成為網絡常態。建設內網信息安全保障體系對用戶信息安全有著積極的意義。一方面,內網信息安全要求工作者將網絡信息進行管理,并利用一定的網絡技術保護網民的信息資料安全;另一方面,內網信息安全保障體系在建設過程中不斷地完善自身的應用技術,對推動網絡平臺的穩定十分有利,從而能夠確保用戶的資料安全。
2 內網安全風險分析
與外網的信息安全相比,內網的信息安全工作的開展具有一定的困難,網絡黑客雖然不容易經由翻墻技術進入局域網盜竊信息或者進行破壞活動,但通過局域網內部人員的關系,內網信息安全就有極大的安全隱患。
1) 內網安全保障技術的防護性能不強,不能很好地開展網絡信息安全保障工作。內網使用人員在進行信息交流時,其網絡信息的安全保障技術并沒有較大的技術性,簡單的黑客技術就能夠將內網信息掌控到手。這是由多方面因素造成的。第一,內網技術維護人員并沒有設定專門的安全保障技術,部分信息共享、使用等都只通過簡單口令的保護,防護手段不到位,另外,一些研發階段的技術也沒有提供專業的安全防護,導致數據和資料丟失現象較常見。
2) 內網工作人員的信息安全防護意識不強。內網的使用大部分都是統一范圍內的單位員工或企業職員。這些人對內網各部分信息都十分熟悉,因此,從一定程度上講,該網絡內部的工作人員是威脅網絡安全的重要部分。員工渠道的信息泄露包括員工有意進行的泄露和員工無意開展的行為。一方面,部分員工的職業素質不高,對所在企業的歸屬感不強,對企業重要資料的安全防護意識也就相對較弱,在被不法分子利用后,這部分員工極易成為網絡信息安全的最大威脅。另一方面,相當一部分員工對企業的重要資料的重視程度較高,但其對安全保障措施的運用卻不靈活,對技術保護不甚了解,因此,會出現無意的信息泄露,進而影響企業的資料安全。
內部信息泄露手段主要有:資料的復制、電子郵件通信、辦公電腦與私人電腦混用、文件共享等,這些途徑不僅簡單快捷,節約時間,同時還是技術難度較低的行為。
3 推進內網信息安全保障體系建設
內網信息安全保障體系的建設需要工作人員結合其信息安全常出現的問題進行技術改進和工作落實。
3.1 規范網絡節點接入,減少信息安全隱患
我國目前的網絡接入狀態是,非內網成員可以通過一定的技術輕松訪問內部網絡,這一現象一方面是由于現代化的樓宇布線技術導致的,另一方面,科學技術的進步降低了內網接入的難度。非內網成員在進入內網后,對內網信息的安全形成威脅,部分核心數據面臨著被盜用泄露的風險,因此,工作人員需要針對這一問題展開工作,及時的發現未知接入點的存在,并根據其性質進行隔離處理,減少信息泄露的可能。
非法接入點的規范工作還包括對計算機IP地址的轉變進行及時的記錄和分析,當該IP的轉換對局域網內部信息的安全造成威脅時,工作人員要對該網絡進行阻斷。
病毒庫的更新也是保障內網信息安全的要素之一。內網的組成是多臺計算機的連接,這些計算機組中性能較差或者應用技術較落后的計算機往往是網絡安全工作中的重點,黑客在侵入內網時多選擇在這一端口進入。因此,企業需要及時的進行病毒庫的更新,保障計算機的安全,降低黑客入侵的可行性。
3.2 完善內網信息監控系統,確保信息安全使用
內網信息的安全不僅需要一定的技術支持,也需要有完善的內網監控系統的輔助。內網中各種先進科學技術的應用以及軟件等的配合都為監控工作的進行提供了可能。運行軟件、設備、網絡拓撲等都能夠積極參與到網絡信息安全監控中來。工作人員需要針對不同的現象開展相應的工作,如中斷運行異常的軟件,控制移動設備在辦公主機上的運用,監控系統運行情況等。實時監控的進行是保障信息基本安全的有力措施,同時,企業需要對監控措施的管理工作進行人員安排,確保監控力度到位。
3.3 結合安全保障技術和安全管理理念,維護內網信息安全
企業的內網信息安全離不開技術和管理理念的支持,只有這兩者協作才能夠確保企業內部工作的安全。
1)企業需要對內網的安全保障技術進行革新,及時的應用先進的科學技術,對計算機組進行定期維護和系統升級,確保其功能的穩定,減少系統漏洞的出現。積極鼓勵技術人員學習新知識,完善自身的知識儲備,研發出有自主知識產權的設備和系統,推動自身網絡技術的發展。
2)企業需要進行規章制度的建立。①企業要制定出完善的符合社會發展要求的網絡信息安全等級,為技術人員開展網絡信息維護提供數據參照;②企業要對辦公電腦和核心數據的使用人進行管理;③加強對內網各環節的管理,保障數據訪問的設備安全。
4 結束語
內網信息安全保障體系的建設需要相關技術人員積極的進行技術革新,研發出具有自主知識產權的系統和設備產品,改變目前國內網絡技術受制于人的現狀。
參考文獻
[1]鄧波.內網:應用需求與安全保障第七期電子政務沙龍權威支招[J].信息化建設,2012(02).
[2]韓惠良,盧敬泰.內網信息安全保障體系建設研究[J].信息網絡安全,2010(09).
