《信息安全的管理范文(优秀10篇)》
在当下社会,大家逐渐认识到制度的重要性,制度具有使我们知道,应该做什么,不应该做什么,惩恶扬善、维护公平的作用。一般制度是怎么制定的呢?
信息安全管理 篇1
关键词:信息;安全;重要性
建立安全有效的铁路运营系统能够实现比较理想的企业目标,这要求现代企业加强信息化的建设与发展,应当确保铁路运营信息系统的安全性。
1信息系统的安全管理现状
我国铁路运输是拥有全世界第一大的铁路运输系统,在发展过程中针对信息管理出现的各种状况,建立针对铁路运营方面的安全体系,充分重视信息安全方面的管理体系。但目前我国的铁路信息系统中缺乏信息安全的整体策略,缺乏完善的信息安全风险评估标准体系。
1.1缺乏信息安全的整体策略
目前在铁路发展上缺乏信息安全的整体策略,一般在具体的发展过程中是从个别单位信息安全的角度出发,而缺乏对信息安全整体策略的运用。在信息安全的发展过程中注重于从对单一某关键信息的角度进行保护,而没有从单位整体上信息安全的角度,将单个信息放在整体系统之中进行考虑,并制定整体性的信息安全发展策略。
1.2缺乏完善的信息安全风险评估标准体系
铁路信息安全上的需求难以充分确定,从而难以充分确定铁路信息保护的对象与边界,没有对系统进行全面的信息安全风险评估与信息安全保障体系制定,在铁路信息管理过程中存在着注重产品、缺乏对服务的充分重视,注重技术的发展而没有充分重视管理的作用。没有建立相应的网络技术,网路安全的发展受到了新的挑战,对铁路信息安全提出了新的要求,目前的安全措施应当进行新的调整。
2信息安全的重要性
信息安全的建立对铁路运输的正常运营起着重要的影响作用,铁路运输是我国货运运输以及客运运输中的重要方式之一,是国计民生的重要组成部分之一。在铁路运输中应当充分关注安全问题,这对于现代铁路运输企业的发展非常重要。在现代(铁路运输)企业信息安全的规划方面,应当加强对人员的安全管理,加强对基础设施的管理,加强输入与输出的有效控制,加强对应用软件的维护与控制以及加强对数据的完整性与有效性控制。下文从这5个方面进行了相应分析。
2.1加强对人员的安全管理
系统的发展是由人来控制的,因此需要对重要的岗位人员进行审查,加强严密的管理制度。为此在制度的发展过程中应当坚持授权最小化的原则,在员工能够满足本职工作的情况下对其进行最小的授权,表现在使用计算机外设与数据访问方面。其次是授权的分散化,在对关键性任务的完成上进行划分,要求多人能够进行共同承担,使得没有个人能够完成全部的任务。最后是授权的规划化,在进行申请、建立、发出与关闭的过程中能够建立严格的授权管理制度。
2.2加强对基础设施的管理
首先加强物理访问控制,在一些重要区域中对人员的进出进行严格限制与控制,例如备份介质存放点、供电系统以及能够连接到内部的区域以及机房等区域。其次是建筑物的安全,要求能够对建筑物的发展进行防火、防盗、防鼠、防汛、防雷、地震,结构坍塌以及漏水等现象的发生,为铁路运输的发展创造良好的条件。再次是公用设施的保证,在系统的发展过程中要求能够充分保护其中的服务与硬件设施,从而促进铁路运输供电、供水、空调、网络通道、报警设备等设施的维护与发展。最后是在数据安全方面,在铁路运输过程中出现信息泄露包括直接获取、在铁路运输过程中进行截获以及电磁辐射泄露方面。在信息安全管理与维护过程中可以从这3个方面进行分别评估。在信息安全系统中建立针对便携式计算机方面的安全保管制度,对于其中的一些敏感数据进行加密处理,从而有效避免由于数据的丢失或者被盗而出现的数据泄露现象。
2.3加强输入与输出的有效控制
建立一种针对系统的输入输出信息或介质方面的管理制度,在系统的输入或者输出信息的过程中需要通过官方的授权。同时还需要针对一些突发事件制定充分的应急方案,要求在发生一些故障时能够制定充分积极的应急方案,对故障的发生在充分分析的基础上制作出一种紧急的故障恢复操作指南,为此就需要对各个岗位的工作人员进行基于其角色的相关培训与演练。
2.4加强对应用软件的维护与控制
在对应用软件的维护时,应当充分维护使用的商业软件中的版权与来源等,需要对应用软件工作中的修改等问题进行充分检查,同时在数据测试过程中需要充分检查调度、客票、办公、货票系、车号识别、统计以及车站应用系统等,最终实现系统安全的有效运行,实现铁路运输的良性发展。数据网络分布如图1所示。
2.5加强对数据的完整性与有效性控制
在铁路运输管理过程中需要充分保证数据信息的完整性与有效性,具体需要评估的内容包括系统的备份和恢复措施,从而进行有效的计算机病毒防护,建立实时性的监控系统日志文件,加强对系统的充分记录与可用性记录。
3建立信息安全管理体系
信息安全管理体系标准十一大控制领域如图2所示。在制定(铁路运输)企业建立信息安全管理体系过程中主要包括以下部分,构建有效的信息安全管理框架,建立针对信息安全管理体系的文档与文件以及加强对安全事件的充分记录与反馈等。下文从这4个方面进行了相应分析。
3.1构建有效的信息安全管理框架
严格按照相关的顺序进行信息安全框架的充分建设,具体主要包括以下部分,首先制定正确的信息安全政策,其次,对信息管理管理体系的范围进行定义,再次,充分评估信息安全的风险,最后是对于信息安全风险的充分管理,根据铁路运输行业发展的具体情况制定管制的目标,并且有效选择相应的管制措施,同时加强信息安全的适用性。
3.2信息安全管理体系的具体实施方面
在充分制定了信息安全管理体系框架体系之后,在实施过程中需要充分考虑各种真实的情况,包括信息安全管理体系运行、信息安全管理体系内部审核、信息安全管理体系有效性、信息安全管理体系管理评审等,在新的问题产生的过程中会发生与原来工作习惯之间的冲突,在不同部门与不同机构的工作之间也会产生一定的摩擦与矛盾,因此,在信息安全管理体系中应当对这些矛盾进行充分协调,严格按照指定的信息安全管理机制执行。
3.3建立信息安全事件处置体系
在铁路运输信息安全管理过程中必不可少的组成部分就是建立信息安全事件处置体系。应当针对铁路运输中各个部门信息安全方面的信息,分门别类地建立相应的信息安全文档信息。对其中所涵盖的文档内容以及管理框架等进行充分分析,对信息管理管制的工作内容进行收集。将信息以文档的形式进行保存,要求对不同的等级与类型进行分别记录。在信息安全的认证方面,要求允许第三方进行登记与访问。在针对文档完成登记之后,应当根据铁路运输发展的规律与周期性工作对文档信息进行及时调整,将部分不符合企业发展规律的信息进行及时废除。部分企业信息即使已经过时,但是出于知识产权等相关法律的原因,可以继续进行这些信息的保存。按照信息安全的发生机制分别制定相应的工作内容,根据具体的工作内容分别制定相应的相应流程,设置信息安全的响应机构,对出现的信息安全问题进行及时充分的处理。
3.4加强对安全事件的充分记录与反馈
在针对铁路运输的信息安全管理中,应当及时对信息安全管理进行安全事件的记录与反馈,为了充分加强对信息安全的有效分析,需要充分定义信息安全,有效结合铁路运输中发生的真实情况对其进行及时调整, 加强对理论安全事件的充分保存,并对其进行周期性与定期性的维护,在信息安全的管理过程中一旦发生文件损坏的现象,能够对其进行及时补救与维护。
4结语
在铁路运输过程中应当充分重视信息安全,为此需要对企业信息发展中的各项内容进行充分规划与考虑,促进基础数据的采集和共享,加强安全评估和风险预控,加大各专业及信息安全管理部门之间的横向联系,提高信息安全管理能力和应急响应能力,为铁路运输安全提供系统的、可靠的技术保障。
[参考文献]
[1]宋国良,王宝坤,刘立国。铁路网络与信息安全风险管理研究[J].科研,2016(12):212.
[2]麻磊,刘春煌,刘立法,等。铁路企业设备管理信息系统的开发与研究[C].重庆:中国智能交通年会,2016.
[3]王亚民。铁路信息安全等级保护实施工作建议[J].铁路计算机应用,2015(2):38-40.
[4]周张俊。对建设铁路信息安全管理标准体系的探讨[J].铁道经济研究,2014(6):33-36.
信息安全管理 篇2
关键词:大数据时代;信息;安全管理
大数据时代信息安全管理问题主要体现在制度和技术方面,信息安全管理工作具有较强的专业性,需要基于信息安全的视角,探究问题的根源,并采取针对性的措施,切实强化信息安全管理工作的开展。
一、大数据时代信息安全管理问题梳理
第一,制度问题。近年来,国家在信息安全监管方面出台了诸多法律法规,但是对信息安全犯罪的惩戒力度仍然较低,其问题有:立法层次低、漏洞多;现有法律法规不完善,实践性不足。加上信息安全方面的犯罪具有较强的隐蔽性,且科技含量较大,使得侦破难度较大,而专业执法人才较为缺乏,使得信息安全犯罪打击难度加大。第二,技术问题。由于信息系统自身的特点,其难以抵御自然灾害,而且物理设备也可能会发生机械故障和电气故障,这给信息系统安全带来巨大威胁。而在系统实际设计中,主要注重的是数据处理能力,从而往往会忽视信息安全管理问题,导致操作系统的安全隐患较大,加上操作不当,进而给系统带来破坏,比如数据信息被窃取,以及被病毒感染、被黑客攻击等[1]。
二、大数据时代信息安全管理问题的应对之道
(一)在信息安全管理制度上不断完善。第一,确保信息安全等级保护制度得到严格落实,在建立信息安全等级保护制度的基础上,需要确保其得到严格落实。当前,我国的信息系统安全保护等级主要为五级,在不同的等级信息系统中,所需投入的资源也有差别,因此需要具有侧重点和区分保护,对保护对象重要性予以明确。在现有资源下实现效益最大化的基础上,使得系统安全性得到提升,在促进信息安全等级保护制度得到完善的基础上,通过落实和完善信息安全管理等级保护制度强化信息安全管理工作的开展,提升管理行为的针对性和有效性,使得信息安全管理得到高效实施,使得信息安全管理制度得到完善。第二,在信息安全管理中,需要在法律法规上加大对其的保障力度,既要注重对安全管理目标的明确,又要确保满足数据日常管理与紧急情况下及时处理的需要,采用完善的规章制度与安全策略,对信息安全管理工作进行不断规范。(二)在信息安全管理设施上加大投入力度。在确保信息安全管理制度得到规范的基础上,还应配备专业的信息安全管理设施,以确保硬件正常运行。只有确保信息安全管理所需的硬件设施得到保护,并采取针对性的辅助措施,比如加强屏蔽电磁干扰信号和电力供应保障以及确保线路畅通等方面,加大对其的投入和完善,才能更好地确保数据信息存储介质变得更加安全。与此同时,还要做好数据信息安全备份,确保数据可恢复能力得到保障,尤其是一些机密文件,还要切实做好对其的加密管理[2]。(三)加强Hadoop技术的应用。Hadoop(一种分布式系统基础架构)旨在构建基于大数据的,以分布式处理开源为拓展的可靠性软件框架。Hadoop的应用环境主要是在分布式运算环境中,且采用的计算机具有量大和成本低的特点。因此,为确保其合理性,考虑到存储节点与计算节点难免会出现故障,所以需要专门为此设计相应的数据副本机制,这样在发生故障时,就能对任务进行重新分配,从而确保其运行的正常。Hadoop在运行中采取并行的方式对数据进行快速处理,因此其具有较高的处理效率。在Hadoop设计之初,考虑到需要应对PB级的大数据环境,所以通过强化对其的特殊设计,以满足这方面的需要,同时使其具有较强的拓展性。这就使得Hadoop具有高效、可靠、扩展性好的优势,加上开源免费,其得到快速发展,在2008年,Hadoop成为Apache顶级项目的核心支持。其具有的特点较多:一是具有较强的扩容能力,能对TB级数据进行可靠存储与处理;二是成本低廉,采用成本较低的普通PC端就能组成一个服务器集群,在对数据进行分化和处理的同时,还能满足上千个节点数据处理的需要;三是具有较高的效率,Hadoop在数据分发和处理数据时的速度非常快;四是具有较高的可靠性,能有效进行数据维护,实现多份复制,即便是计算任务失败,也能自动重新部署与分配任务[3]。
综上所述,大数据时代信息安全管理问题较多,需要我们切实加强管理,尤其是在技术方面加强应用,比如利用Hadoop技术加强安全管理,使得信息安全管理问题得到有效解决。
参考文献:
[1]陈凡。大数据时代下的数据库安全管理[J].计算机产品与流通,2020(8):39.
[2]董鑫,安文强。大数据时代企业信息安全管理体系分析[J].商讯,2020(8):98-99.
信息安全管理 篇3
1.1计算机信息安全技术问题
出现计算机信息安全问题,证明计算机信息安全技术的防护还存在漏洞,对计算机的信息安全构成威胁。黑客、病毒、恶意软件的入侵,会导致原有的计算机系统瘫痪,安全技术不到位,计算机的安全防线会被攻破,进而感染计算机病毒或信息被泄露,可出现一系列的信息安全问题。另外,在进行数据传输时,隐私、信息会存在泄密的危险,若系统不够严密,随时会受到病毒的侵扰,用户的信息安全受到威胁。以上信息安全问题,归咎于信息安全技术不够严密,数据安全仍受到严重威胁。
1.2计算机信息安全管理问题
在计算机信息安全管理中,用户对信息管理的重视程度不够,缺乏足够的信息安全管理意识,往往忘记备份,一旦数据丢失,会造成不可估量的损失。另外,缺乏严格的计算机信息安全管理制度,没有对账号、密码等重要信息加强管理,都是计算机信息安全管理中存在的重要问题。现代企业的发展离不开计算机信息网络技术,随之带来一系列的安全问题,而计算机信息管理者们没有做好信息安全的应对措施,出现问题时,缺少应急方案,最终导致数据遭窃或丢失。
2加强计算机信息安全管理的有效策略
2.1优化计算机信息安全技术
2.1.1采用数字加密技术
为了加强计算机信息安全管理,优化计算机信息安全技术,采用数字加密技术,为保护计算机信息安全增添屏障。数字加密技术是利用数字来锁定信息、数据,保证数据在传输过程中不会被窃取或泄露,整个传输过程都处于加密状态,只有破解数字才能得到信息,这是保障信息安全的一种有效方式。采用数字加密技术,可以隐藏重要信息,利用数据水印、指纹等方式隐藏数据,以提升数据的安全性,是计算机信息安全技术中实用性最强的安全技术。
2.1.2采用防火墙技术
防火墙技术是利用防火墙这个屏障来阻挡病毒、木马、黑客、恶性软件,等等,以达到保护计算机信息的目的。防火墙通过对数据、信息的过滤,对信息的安全性予以分析和鉴别,将可疑性对象阻隔在外,控制和管理非法入侵者,防止外部用户对内部网络的访问,以避免出现信息窥探或丢失。防火墙具有很强的阻隔性,将网络分成内部网络和外部网络,注重对恶意信息的过滤,将携带非法身份的对象遏制在外。同时,要绑定计算及网络的IP地址和MAC地址,避免他人利用假IP地址侵入计算机系统。
2.1.3采用入侵检测技术
在计算机网络运行过程中,应安装入侵检测系统,一旦有黑客、木马、恶意软件闯入,就会被检测出来,将其阻隔在外,避免对有效信息的窥探和窃取。入侵检测技术具有很强的防御能力,能对非法对象的侵入做出积极反应,达到保护计算机信息安全的目的。
2.2提升计算机信息安全管理水平
2.2.1提升用户信息安全管理意识
计算机信息安全问题的不断出现,与用户的信息安全管理意识薄弱有关。为了加强对计算机信息安全的管理,应从用户本身着手,提升用户对计算机信息安全重要性的认识,在利用网络平台时,应增强个人警惕性,加强对自己重要信息的加密保护,尤其是对账号、密码、身份证号等信息的保护,以避免造成信息泄露或被盗窃现象。
2.2.2提高网络人员的专业素质
为了实现对网络信息的安全管理,应注重对网络安全人员的专业培养,加强对相关人员的技术培训,提升网络管理人员的专业素质。对网络信息安全中可能出现的各种安全问题进行预测,正确使用网络信息安全技术,维护好计算机信息网络。出现问题时,能做出专业性的判断和反应。2.2.3做好信息、数据的备份� 对信息、数据进行备份,将不再修改的信息刻录在光盘中保存起来;对不确定的信息,可以放在移动硬盘里;对于其他不重要的数据,可直接保存在计算机中。
3结语
信息安全管理 篇4
关键词:信息安全;网络;数字密钥;生物特征
当今社会的特点是信息化,信息安全是在国家各个领域备受关注的问题。通常所说的信息安全,是指“保护信息免受意外或故意的非授权泄露、传递、修改或破坏”[1]。在信息安全领域,根据信息载体的不同,可将信息分为实物信息和数据信息两大类,所谓实物信息,是指以实物形式例如纸质文件、重要仪器、装置设备等存在的信息;所谓数据信息,是指用计算机存储的包含各种重要数据的文件信息。根据访问信息的用户身份,可将其分为合法用户和非法用户。这里所说的信息安全,一方面是指信息环境的安全,另一方面是指信息操作的安全。所谓信息环境安全,是指与信息有关的环境,应确保合法用户能够顺利、安全地进入。所谓信息操作安全,是指合法用户能正常处理信息,非法用户不能对信息进行任何操作。目前,我国的信息安全能力正处于发展阶段,而重视信息安全的管理,逐步发展、逐步完善是非常重要的[2]。当前的信息安全工作,既要防范非法用户利用网络盗用信息,又要防范合法用户可能造成的失密或泄密。
1信息环境的安全管理
信息环境是与信息有关的外部环境,是确保信息安全的前提和基础。广义上的信息环境既包括存储安全实物的物理环境,也包括存储数据信息的计算机环境。信息环境安全主要指物理环境的安全,即确保信息的安全存储与随时的合法访问。通常情况下,根据存储物质的特性,要求信息环境具有一定的温度、湿度以及必要的防火、防盗等自然条件。信息环境的安全程度主要取决于存储信息的安全级别,信息安全级别越高,信息环境的安全程度尤其是可控人员的进入要求越高。因此,信息环境的管理人员要具备一定的政治素质和技术素质,政治素质要求管理人员能抵制各种诱惑,防止因利益驱使而破坏信息环境的安全性,技术素质要求管理人员能在信息环境面临安全威胁时积极采取补救措施以减小损失。管理人员应当定期参加理论学习,定期进行操作演练,定期组织环境安全检查,切实将信息环境的安全工作落到实处。另外,信息环境还需有严格的管理制度,一旦安全性遭到破坏,可利用管理制度对相关责任人实施处罚,起到警示作用。除此之外,大型信息系统尤其是对安全性要求极高的大型信息系统,应建立信息安全保障体系,系统研究技术,维护信息安全,抵御来自各方面的所有可能威胁。
2信息操作的安全管理
正如前面提到的,安全信息可分为实物信息和数据信息两类。通常情况下,实物安全管理是将实物本身的安全性转化为所处环境的安全性,亦即实物信息的安全性主要取决于所处环境的安全性。为确保实物不被偷盗、映像、损毁,通常做法是为所处环境设置安全屏障,例如门卫岗哨处明确标识“闲人禁入”。数据信息通常存储于计算机内部,本身具有区别于实物信息的特点,尤其是操作方面的读取、复制、篡改等非法行为不易被信息管理者发现。因此,与实物信息的安全管理相比,数据信息的安全管理更为复杂。2.1信息存储借助计算机存储信息时,不同信息具有不同秘级。秘级为公开的信息可访问人数最多,随着密级升高,有访问权限的人数将随之减少。为防止访问公开信息的用户访问安全信息,可将计算机本身分成两类,其一用于操作一般信息,其二用于操作具有秘级的信息。这一管理方法的优点在于能够避免非法用户访问安全信息,但由于密级较高的信息通常数量较少,因此可能造成计算机资源浪费。
2.2网络管理
网� 考虑到黑客可能利用网络攻击计算机安全,因此防止安全信息在网络上被恶意复制、篡改或删除就尤为重要,而网络病毒侵入将直接影响使用计算机操作各类信息。因此,管理人员通常禁止存储安全信息的计算机连接网络,同时禁止移动介质在网络计算机和秘密计算机之间混用,这在一定程度上可以阻止黑客借助网络非法操作安全信息,然而,一旦固定使用移动介质,这些移动介质也会形成资源浪费,同时刻录光盘用于安全信息流转,尽管安全性得以保证但传输速度是无法与网络传输比拟的,而且光盘的后续处理又将带来新的安全威胁。
3信息安全管理的趋势分析
正如前面所述,信息管理的诸多措施既有优点又有不足,例如存储某一重要设备的环境,总有不合法的用户无法被拒绝而进入。又如存储某些重要数据的计算机,也可能有不合法的用户伺机访问。因此,单独以人作为管理者通过拒绝的形式维护信息安全,在一定程度上是存在漏洞的。信息安全管理更需要由机器参与而摒弃可能由情感带来的非法访问,例如环境涉入、信息访问、复制、传输等一系列操作均由计算机来判定用户是否合法,从而确定是否允许对信息执行后续操作。至于合法用户,为避免由证件等实物导致的错误判断,直接由计算机借助生物特征进行识别。生物特征例如虹膜、指纹、掌纹、耳廓、人脸等能否真正实现与物理身份的统一,实验表明生物特征由于具有较好的稳定性,在身份识别方面具有较高的准确率。因此,以生物特征验证身份是否合法从而确定能否访问并操作信息,在很大程度上能真正实现信息的安全管理,也将成为信息安全管理的必然发展趋势。
3.1基于生物特征的门禁系统
为防止非法用户进入某一区域,基于生物特征的门禁系统能有效维护信息环境安全。当前门禁系统多数是以指纹形式开发的,这是因为指纹特征具有便于采集、高匹配性能等特点。门禁系统的工作原理是:事先采集合法用户的指纹形成模板库,验证时只需将实时采集的指纹和模板库中的注册指纹进行比对,通过算法分析即可判定是否为合法用户以确定其能否进入信息环境。门禁系统还可以扩展为用指纹存储某些重要实物,例如重要档案、枪支弹药等的管理,要求输入合法指纹方可开启存储实物的装置。用门禁系统和指纹存储管理信息,能提高信息管理的安全性。随着识别技术的改进,这些系统也可借助其它生物特征实现,甚至可采用若干生物特征融合提高识别性能,从而确保合法用户访问信息。
3.2基于生物特征的文件操作系统
为防止非法用户访问移动存储的数据和计算机数据,当前已开发出指纹存储和指纹计算机[3]。与指纹门禁系统的原理相同,也是通过指纹识别身份的合法性确定是否能进行后续的信息操作。虽然指纹存储和指纹计算机可以拒绝非法用户进行相关操作,但是合法用户未必允许操作某些较高秘级的文件。因此,对这些文件进行操作包括浏览、复制、删除时同样要求重新输入生物特征进行权限验证,也就是说,文件的操作属性与合法用户的身份特征进行了绑定。因此,恶意的浏览、复制和删除等操作在一定程度上可以避免。3.3基于生物特征的其它应用系统网络传输信息具有高效性,例如邮件系统、公文传送系统等[4]。为确保信息的安全操作,可以基于生物特征开发其应用系统。现有的指纹邮件系统,能很好地避免黑客访问他人邮件。局域网上的公文传送也可通过生物特征验证身份,避免有人盗用数字密钥非法浏览信息,从而实现公文安全传送。
4结语
信息安全一直是国家各个部门所关注的重要问题,信息安全管理不仅要在思想上具有一定的安全意识,更应在技术上防范可能的信息非法访问。信息安全首先需要做到信息环境的安全,还需要在技术上实现操作管理的安全。人在信息安全管理中固然发挥着重要作用,但要提高管理的安全效率,还需要借助机器例如计算机通过身份识别确保信息的安全操作。基于生物特征实现信息安全管理能获得事半功倍的效果,也将成为信息安全管理必然发展趋势,但是也应注意到:生物特征是个人的隐私信息,大量应用生物特征投入安全管理系统的开发,一旦隐私信息被攻击,则该生物特征参与的所有应用系统都将面临安全威胁。另外,使用生物特征能识别合法用户,这些合法用户均能访问安全信息,如果某些合法用户合谋非法使用信息,也可能带来严重后果。因此,信息安全管理是一个系统工作,管理过程中不仅要确保用户合法,同时要确保使用合法。
作者:赵伟舟 景慧丽 张辉 单位:火箭军工程大学理学院数学与军事运筹教研室
参考文献:
[1]徐晟,吕奇阳,康明光。加强军事信息安全管理的几点思考[J].科技视界,2012(5):424.
[2]曲运莲。对信息安全管理下的信息安全保障分析[J].科学之友,2013(11):131-132.
信息安全管理 篇5
1深圳市“互联网+政务”信息安全管理取得的初步成效
1.1信息安全支撑保障体系基本成形
第一,较完善的信息安全管理制度。深圳市电子政务起步早,也较早地认识到了信息安全的重要性,因此,深圳市政府在法制工作上也是先试先行,先后出台了《深圳市人民政府信息系统安全检査办法》、《深圳市电子政务信息安全管理试行办法》等一系列规范深圳市电子政务信息安全规划、建设、运维和管理的指导性政策文件。第三,电子政务信息安全管理体系框架已初步形成。为保障电子政务的安全有序,深圳市统一规划,建立了全市统一的网络平台、数据中心、灾备中心、政务信息资源共享交换平台、网站生成平台、党政机关信息安全支撑平台、政务邮件系统和短信平台等,政府网站等一批重要应用均建立了较完整的安全保障体系。
1.2集约化电子政务支撑体系初步建成
1.3电子政务信息安全管理机构基本组建
深圳市于2011年成立了由市委办公厅、市政府办公厅、原市科工贸信委、市公安局、市国家安全局、市国家保密局、市密码管理局屯部口构成的觉政机关信息安全联合检査制度,依巧深圳市信息安全测评中也,每年在全市范围内开展联合安全检査、联合应急演练等活动,进一步促进了各部口之间的交流和配合,推动了深圳市信息安全治理体系的建设,当然也对信息化主管部口的统筹协调能力提出了较高的要求。
2深圳市“互联网+政务”信息安全管理存在的主要问题
2.1电子政务系统基础设施对发达国家依赖性大
硬件方面,信息化建设的硬件设备主要依赖进口。大到核心服务器、路由器,小到CPU,我国都几乎完全依赖国外,特别是作为国家信息化建设的核心设备——髙端容错服务器,国产化率不到10%,几乎清一色的采用旧M、惠普等国外公司的产品,其对国家信息安全乃至国家经济命脉的安全风险不言而喻。软件方面,依赖进口的情况更加严重。目前,不论是操作终端还是移动设备,几乎清一色使用国外操作系统,据IDC统计,我国目前桌面端操作系统市场餘额仍然由微软Windows占据绝对垄断份额,国产操作系统厂商如红旗、礫麟、深之度等定制化Linux厂商份额合计不到5%。办公软件方面,我国虽然此前也在政府部口推广金山WPS、永中Office、红旗RedOffice等国产办公软件,但据艾瑞咨询统计微软Office系列产品仍然占据超过80%的市场份额。
2.2电子政务系统管理、使用人员信息安全意识薄弱
一是部分部口领导对于信息安全监管缺乏意识,对安全设施、管理制度的重要性认识不到位,缺乏相应的信息安全应急处置对策和体系,全市的信息安全工作水平参差不齐,未得到足够重视。虽然第十二届全国人大常委会已经审议通过了《关于维护互联网安全的决定》,详细规定了网络安全的相关条文,但部分单位的领导和工作人员在日常工作中对于信息缺乏信息安全监管意识,未按照规定严格执行,也缺少详细的操作规程和管理规章,常常敷衍了事。二是使用人员的信息安全意识薄弱,信息安全培训工作多流于形式,有半数单位全员安全意识培训工作存在问题。操作系统、应用软件及网络中存在各种各样的安全漏洞,虽然国家工信部会定时漏洞和漏洞修补安装包,但由于使用人员缺乏安全意识,对于修补漏洞的通知视而不见,以为耽误几天不会受到影响,普遍存在的侥幸意识使得黑客和不法分子有机可乘,极易给整个政务系统带来重大损失。
2.3电子政务信息安全管理措施不完善
是安全事件和病毒感染事件频发。敌对分子针对我国部分单位、人员和系统防范机制不足、安全意识薄弱、防护措施不为的漏洞,进行窃密活动。2015年2月2日至28日,国家计算机病毒应急处理中也在全国范围内开展了信息安全检査活动,调査结果显示,2014年度,移动终端病毒感染率显著增多,达到了31.5%,相比2013年増长5.2%;传统计算化终端的病毒感染率是63.7%,增长了8.8%;绝大多数的网友遇到过信息安全问题。二是技术的高度发展带来了新的风险。目前,智能终端逐步普及,但由于目前很多部门未对智能终端的管理提离认识,很多工作人员甚至通过智能终端连接电子政务外网、互联网,使得黑客和不法分子有机可乘,造成整个电子政务网�
3深圳市“互联网+政务”信息安全管理存在问题的原因剖析
3.1电子政务信息安全管理技术相对薄弱
一是过于依赖国外产品和技术,核心技术相对落后。从目前信息技术的发展情况看,深圳市的信息安全基础设施防护薄弱,而且,政府部门对于国外品牌的电子产品和信息技术比较依赖。纵观全球,绝大多数的核也信息技术都掌握在国外发达国家手中。关键芯片和程序代码仍然受制于人,出现设备问题时常常无法自行维护修理,只能退回国外原厂维修或者重新购买的情况,这无疑使得深圳的电子政务网络安全风险大增。二是整体安全防护能力滞后。由于政府网站公信力高、影响力大,极易成为黑客攻击目标。为了获得非法经济报酬,不少不法分子使用违法行为入侵电子政务内网窃取涉密资料或对网络进行破坏。但部分部门信息安全综合技术防护能力滞后。网站被篡改、被植入后门、上传携带病毒的文件等信息安全事件时有发生。
3.2对信息安全问题带来的风险认识不足
一是对信息安全风险认识不足。由于我国目前大部分城市还是处于技术、管理人员分立的模式,电子政务系统的使用人员往往缺乏信息安全技术的相关知识,对很多高新技术接触较少,信息安全技术培训又流于形式。而且,这类人群往往认为信息安全相关技术只需由技术人员学习,自己无法使用,造成了操作人员与基础信息技术的“鸿沟”。二是存在侥幸心理。部分管理和操作人员虽然对信息安全管理工作的重要性有了一定的认知,但却普遍存在侥幸心理,认为信息安全事件不会发生在自己身上,因此对管理制度缺乏重视。在深圳市信息安全联合检查中,侥幸心理在大多数单位并不少见,主要体现在对安全保密规定视而不见,将电子政务内、外网与互联网混用,安全设备配置不合理,访问控制不够严格,信息的审查、信息的管理维护、网络的规划、网络建设敷衍了事等等,送些问题的存在将直接带来严重的信息安全问题。
3.3电子政务信息安全保障体系不健全
一是管理措施不完善,漏洞监管不及时。由于我国信息安全标准的统一、源代码控制等网络风险监控措施严重滞后,很多网站上的漏洞安装包不及时,无法消除当前最新面临的安全风险或漏洞。另一方面,从深圳市信息安全联合检查的结果看,部分单位普遍存在漏洞修复周期较长,没有过及时修复漏洞过多,存在SQL注入漏洞、文件上传漏洞、Sturts2漏洞等高危漏洞,大量累积的漏洞使得被攻击度严重增多。二是新兴技术对信息安全形成新的冲击。随着"互联网+"不断推进,信息技术迅速,大数据、云计算将大量的电力、交通、金融等信息高度集中,极易成为网络攻击的重点目标,如何应对新兴技术对信息安全的冲击尤为重要。另一方面,移动互联网的出现以及智能终端的普及,虽然使得互联网得到了更多的普及,但也不可避免的带来了更多的安全隐患。
4改善和加强“互联网+政务”信息安全管理的对策思考
4.1完善信息安全检查机制,强化电子政务保障功能
4.2加大财政资金投入力度,促进信息产业快速发展
一是加大政府财政投入力度,支持安全企业利用资本市场融资发展。信息安全行业资金需求量大,深圳市相关政府机构可加大财政投入力度,如设立信息安全行业发展专项资金,支持信息安全行业发展。政府政策对于企业创业具有积极的鼓励、引导作用,因此,可考虑引入有关机构或产业关联信息安全企业,为中小企业融资、贷款等提供便利。二是加快建设信息安全产业基地,完善配套基础设施。目前,深圳信息安全企业整体规模偏小,产业集群效应尚不明显。因此,深圳市政府部门应加快建设信息安全产业基地,开展招商引资工作,加快引进信息安全重大项目和领军企业。市政府应做好海外先进技术兼容并收,支持、鼓励企业"学进来、走出去",发展具有竞争优势的信息安全产业集群。
4.3提高全民信息安全意识,着力培育信息安全文化
营造良好的信息安全文化氛围,推广基础信息安全管理知识,可以有效降低信息安全风险,每一位市民实际上都是信息安全的重要参与者和执行者,市民特别是领导、技术人员、涉密人员都应清楚信息安全常见的风险及相应的防范、解决措施。为了实现这一目标,可由市政府牵头、借助化会力量,由企业来承办培训的方式,利用各种宣传和培训手段,在全民中普及信息安全意识,使得人人懂信息安全。另一方面,还应特别关注、培养政府公务人员的电子政务安全信息意识。作为电子政务最直接的使用者,公务人员应对潜在的风险有更进一步的认知,时刻在日常工作中绷紧安全意识这根弦,时刻注意维护电子政务信息和数据的安全。
5结论
由于深圳市信息化基础网络覆盖广,电子政务网络化程度高,因而也面临着更严峻的信息安全威胁,特别是在"互联网+"快速发展的当下,信息安全的重要性不言而喻。在这种情况下,必须全面提深圳市信息安全保障能力,完善深圳市信息安全管理策略,才能与全市"互联网+"的总体目标相适应。目前,深圳市电子政务信息安全管理方面支撑保障体系基本成形、集约化电子政务支撑体系初步建成、管理机构基本组建、信息基础设施建设领跑全国。但深圳市也面临很多突出的问题。因此通过借鉴他们在信息安全管理方面所做的工作,以及结合信息安全管理相关的知识,本文提出提升深圳市电子政务信息安全管理水平的对策,希望通过本文的研究可以为深圳市“互联网+政务”信息安全管理提供帮助。
作者:叶丽婷 单位:辽宁对外经贸学院
参考文献:
[1]宁家骏。关于加强我国新时期电子政务信息安全保障体系建设的一些刍议[J].电子政务,2010(7).
[2]林乐坚,林向民,许哲君。关于电子政务信息安全管理体系建设的几点思考[J].海峡科学,2010(11).
[3]高松林,向洪,皮章,袁莉。对电子政务信息安全管理的思考[J].秘书之友,2010(10).
[4]智慧城市发展研究课题组。“十三五”我国智慧城市“转型创新”发展的路径研究[J].电子政务,2016(3).
信息安全管理 篇6
一、新时代档案安全管理的重要性
档案安全是档案工作的重中之重,是档案工作的根基。《中华人民共和国档案法》(以下简称《档案法》)于2020年6月20日修订通过,自2021年1月1日起施行。新《档案法》中有关档案安全的词条如安全管理、安全工作机制、安全应急处置能力、安全措施、安全保密等共24处,新《档案法》把有效保护档案作为其根本宗旨之一。
二、新时代档案安全管理中遇到的新问题
随着档案的经济性被重视,文物价值被发掘,档案自身利用方式也发生了改变,新型载体材料增多,档案在社会活动中体现出的价值越来越高。新方法、新成果、新技术以及产生的新情况、新问题都促使档案安全管理方式发生很大的变化,档案安全管理工作的重要性更加凸显。因此保证档案实体安全和信息安全已�
三、新时代加强档案实体安全和信息安全的解决对策
2018年12月14日,国家档案局办公室印发《档案馆安全风险评估指标体系》,其中对档案实体安全和信息安全包含的二级指标进行了规定。新时期档案馆应对档案安全管理工作中出现的新问题,不仅要按照《档案馆安全风险评估指标体系》进行安全风险评估分析,还要拓宽档案安全管理研究的视角,如把档案管理内容扩充,由档案保护延伸到档案安全管理;把档案工作环境扩展,由库内的安全管理延伸到库外利用档案环节的安全管理上。要考虑新型载体不断增多,档案信息化、数字化面临复杂的保管环境等因素,要抓紧抓牢安全工作不放松,针对存在的安全风险点提出建议确保档案的绝对安全。
1.加强档案人才保障,构建复合型档案安全管理团队
人才是档案安全保障工作 新时代由于要满足人们在线利用档案数字资源的需求,档案馆建设需要坚持“以人为本,依法治档”的理念,数字档案馆和智慧档案馆正在稳步实施,按照信息资源安全等级保护的要求,要确保数字档案馆建设和运行的安全,推动档案资源共享。在数字档案馆建设过程中,对档案管理人员提出了更新更高的要求,应配备具备档案专业或信息技术相关专业知识,具有较好的信息资源管理、知识管理能力和计算机应用技能的人员,构建复合型档案安全管理团队,这是保障档案安全管理工作中的重要工作。以笔者所在高校为例,在学校层面除了加大人财物的支持力度外,还成立了由校长牵头的档案安全管理机构和档案鉴定销毁领导小组,档案管理工作中的重要事项和重大事务需要各级分管领导通过召开专题会议、听取汇报、批示指示等方式进行工作部署和工作落实。制定增强档案管理人员安全意识的培训制度以及责任追究制度,做到职责明确。建立档案工作责任制,明确领导责任、管理责任以及执行责任,明确安全责任到人,签署档案保密工作责任书。“采取走出去请进来”、线上线下相结合的方式进行档案安全警示教育培训。深刻吸取巴西国家博物馆重大火灾教训,深入开展档案安全警示教育,学习档案保护与安全技术以及档案工作突发事件应急处理预案,消除和克服档案保管中的麻痹、松懈和侥幸心理,减少自然和人为因素对档案造成的危害。
2.加强安全管理,建立健全档案安全管理制度
强化档案管理人员的安全意识,根据国家有关档案安全管理的政策,完善档案安全标准规范,健全档案安全管理机制。一是建立健全档案的收集、鉴定、整理、立卷、归档、编研、利用和统计等方面的安全工作制度。如依据教育部国家档案局第27号令《高等学校档案管理办法》制定高校档案馆档案管理办法、档案接收质量标准和检查验收制度、档案征集的安全管理制度、档案整理指南、档案借阅管理规定。建立档案利用登记、严格执行档案利用审批手续、借阅登记和催还制度、档案鉴定销毁制度、档案审查审批制度。定期对馆藏档案、资料的数量、质量情况和保管状况进行全面清查和分类统计。完善档案展览过程中灾害防护和突发事件应急处置方案,服务外包工作严格执行《DA/T68.1-2020档案服务外包工作规范》。二是建立健全和不断修订档案库房安全管理制度,制定和落实档案库房管理规范,如定时观测分析库房温湿度,采取有效措施改善档案安全环境,消除和化解档案库房内的安全隐患和薄弱环节,建立档案库房突发事件、自然灾害和人为事故应对机制,建立档案库房安全监测、案件情况收集和技术防范的数据库管理系统。
3.重视档案馆建设的基础设施设备
档案馆选址要考虑防震、防水、防潮、防有害气体和灰尘、确保档案安全管理,便于档案提供利用等因素。新档案馆的建设要严守档案库房安全建设标准,档案馆设计要严格遵守《档案馆建筑设计规范》(JGJ25-2010),执行“八防”要求,配备符合要求的设备设施。要加强库房保管的安全措施,安装门禁系统、防盗报警装置、24小时视频监控系统、气体灭火系统或高压细水雾灭火系统;特殊载体库房安装防磁等设备;涉密档案库房安装信息屏蔽措施;专用机房配备防电磁干扰、防静电、防尘、隔热设施、过载保护装置、电磁信号干扰器等。同时还要考虑安装通风过滤设备,对墙面和地面进行防尘处理以及库房周围绿植的覆盖率等因素。要坚持“安全第一、预防为主”的工作方针,深入开展档案安全的风险排查,构建人防、物防、技防三位一体的保障体系,提升档案库房的管理水平。档案馆基础设备设施建设的前提是要明晰各类载体材料的特点以及各类载体档案的保管条件,有针对性地采取有效措施,保证实体档案的安全。如保护纸质实体档案,一是要了解纸质材料的成分及特点。档案纸张内含有木质素、硫酸铝、松香等成分,成为酸的来源,从而造成纸张的酸化。二是要熟知实体档案的保管条件。酸是加速纸张脆化变质的重要因素,如果空气中的酸性气体如二氧化硫、二氧化氮含量达到一定浓度,与水结合会形成酸性物质,纸张的PH值高于6.2,纸张会慢速变质,PH值低于6.2,纸张会快速变质,PH值小于5,纸张会迅速变质,造成纸质材料的寿命会越来越短。三是要采取有针对性的有效措施,对空气质量和环境温湿度进行监测,将二氧化碳、PM2.5值、PM10值、空气质量TVOC值控制在规定范围内,在一定程度上减缓纸质档案的变黄变脆和老化的速度。如可以在库房内安装恒温恒湿设备、环境监测设备以及脱酸机等。库房内温湿度也是影响档案的重要因素。国家档案局《档案库房技术管理暂行规定》对档案库房的温湿度值和温湿度的变化幅度范围作了明确的规定。温湿度符合规定则有利于档案的长久保存,高湿或低湿情况下对档案制成材料或者纸张内部结构的破坏作用都很大,会加速档案纸张中纤维素的水解,有利于有害生物的生长和繁殖,促进纤维素光氧化反应,促进空气中有害气体、灰尘对档案的破坏,影响档案的寿命。
4.档案的抢救与修复
档案抢救与保护技术性强,如抢救魏玛女王阿玛利亚图书馆和科隆的城市拱门火灾损坏的图书,采取气溶胶处理、档案雾剂以及加入氧化镁和碳酸钙等措施。要保证档案实体安全需要充分考虑保护实体材料安全的差异性,采取不同的保护措施,如光盘、胶片、纸质材料及碱性材料等要采取不同的保护措施。2018年1月1日起实施的《纸质档案抢救与修复规范第3部分:修复质量要求》(DA/T64.3-2017),为各级各类档案馆纸质档案抢救与保护工作提供了指导性的建议,推进了档案保护工作的制度化、科学化。如针对档案的唯一性,对已破损褪变的档案进行修复和复制,复制件用以提供利用,以减少原件的机械磨损,更好地保护档案原件。
5.加强档案技术保护,保证档案的实体安全和信息安全
要注重档案利用中的档案安全,确保档案不丢失、不损坏,档案信息不失密、不泄密。2014年国家档案局颁布的《数字档案馆建设指南》中指出,数字档案馆在建设过程中,每个环节要采取安全保障技术方法,确保数字档案馆建设和运行的安全。要加强档案信息化过程中的信息保障工作。在数字化过程中不仅要做好数据更新和档案备份工作,还要做好人员、设备的保密工作,档案在保管外包和服务外包的各个环节以及进行各种载体档案数字化的过程中都要严格按照相关规范开展,应对信息化数据采取档案备份和异地存放措施,确保万一情况下档案实体的安全。要加强档案信息资源在开放和利用过程中的信息安全保障工作。对于已开放和解密的档案信息按照档案管理的各项规定进行利用、公布和编辑出版;对于涉密和未开放的档案信息在开放、公布、利用之前要根据法律法规和制度规范严格执行审查审批制度,确保档案信息的安全。
参考文献:
[1]邬海燕。试论档案实体安全与档案信息安全技术保护问题——以沙角A电厂档案管理为例[J].黑龙江档案,2017(1):70-71
[2]赵洁。档案实体安全和信息安全管理中存在的问题与解决对策[J].高等教育,2020(27):69-70
[3]任迎。加强高校科研档案规范化管理探析[J].城建档案,2021(11):79-80
信息安全管理 篇7
1高校信息安全管理问题
在强大科技的支撑下,加之高校自身不懈努力,采取了物理、技术、管理等一系列举措,在保障信息安全方面取得了一定成效。但是,纵观高校信息安全管理整体,其中还存在不少问题,具体表述如下:
1.1制度体系缺失
长期的实践经验表明,一般情况下,任何管理活动都需要一套完备的管理制度体系,高校信息安全管理亦是如此。近年来,大多数高校已逐步认识到信息安全管理的重要性及必要性,并先后制定了管理办法及规章制度,以保证此项工作有序开展、高效完成,然而从客观的角度上讲,其相关建设还不尽完善。随着信息技术的发展,虚拟网络环境愈加复杂,威胁信息安全的因素变化多端,并且具有很强的突变性。有些高校对信息安全管理的特性认识不到位,尚未设置相应的应急预案,一旦遇到信息安全问题突然爆发,势必会导致高校应对不及,从而可能造成不可挽回的损失或影响。甚至有些高校并未成立专门的信息安全管理组织机构,相关制度、措施落实不到位,形同虚设,加之监管不力,直接影响了信息安全管理工作成效。
1.2技术人才不足
高校信息安全管理是一项系统工程,它不仅仅是技术上的问题,也不是单凭几项管理条例就能解决的,其核心还在于专业技术人才。部分高校在安全技术举措方面投入大量经费本无可厚非,但其过度依赖软硬件技术防护,轻视专业技术人才队伍建设,则很难实现信息安全管理目标。首先,从数量上来看,高校所设信息安全管理各岗位人数不尽合理,甚至存在一人多职的现象。正所谓术业有专攻,如此不仅分散了信息安全管理工作人员的时间和精力,难以在某个专业领域有所建树,还暴露出了其在某个岗位上的能力缺陷,直接影响了工作成效;其次,从质量上来看,高校信息安全管理工作人员素质及能力表现普遍不高。影响信息安全的因素众多,并且具有多变的特性。由于高校培训力度不够,加之信息安全管理工作人员自主学习意识弱化,逐渐与网络发展脱节,在遇到棘手问题时不能快速、有效解决。
2高校信息安全管理强化策略
信息安全管理是高校教育迈入发展快车道的保障基础。作者结合上文的分析,有针对性地提出了以下几种强化高校信息安全管理策略,以供参考和借鉴。
2.1完善规章制度
成熟的信息安全管理组织可以使得高校信息安全管理工作事半功倍。新时期,高校必须要转变重技术、轻管理的思想观念,统筹发展规划,尽快完善相关规章制度,加大技术投资的同时,提高管理投入,以保证信息安全管理工作高效运转和实施。具体而言,高校应结合信息安全管理需求,科学设置工作岗位,并明确责任制度和奖惩制度,严格审查各部门及个人工作表现情况,进而作出相应的奖励或处罚,督导其提高工作实效。此外,高校还应该进一步完善信息安全风险评估机制和应急预警机制,理性分析现代网络环境中的不稳定因素,深刻认识到网络系统、应用软件以及数据信息等都可能成为威胁信息安全的目标,并逐步形成制度化,以免这些对高校信息网络造成干扰。在此基础上,高校还需针对应急预警机制做预控方案,考虑信息安全事件发生时造成的影响度和损坏度,避免事态扩大。
2.2加强人才建设
就现阶段而言,高校信息安全管理的当务之急,是建立一支专业化人才队伍。在此过程中,高校应依据信息安全管理岗位设计,配置相等数量的人才,各司其职,最大限度地发挥其专业特长,使之有更多的时间和精力投入到本职工作上。高校作为高素质人才的聚集地,应该充分发挥自身资源优势,组织相关专业导师及学生积极参与信息安全管理。如此不仅缓解了投入压力,同时还为教学提供了良好的实践平台。此外,高校还应定时定期开展信息安全管理培训工作,及时更新相关人员的思想观念及专业知识,分享有效经验,提高其综合素质和能力,使之提供更完善、高效的信息安全管理服务,夯实工作的人才基础。与此同时,高校需要加强与企业的合作,从不同角度、层面认识信息安全管理工作,积极促动彼此间的互动交流,及时掌握行业发展动态,保证技术与人才的先进性。
3结束语
总而言之,高校信息安全管理十分重要和必要。由于个人能力有限,加之网络信息技术发展迅速,威胁信息安全因素众多,本文作出的相关研究可能存在不足之处。因此,作者希望各高校提高对信息安全管理的重视程度,可结合本文论点,深刻分析和总结此项工作中的不足或问题,并进行深化与拓展,有针对性地采取更多完善措施,从而提升信息安全管理成效,为广大师生营造安全、良好的应用环境。
作者:张威 单位:沈阳科技学院
参考文献:
[1]何济玲,陈仕品,程吉麟,艾贤明。基于ISO/IEC27001标准的高校信息安全治理[J].现代教育技术,2016(09):60-65.
信息安全管理 篇8
1民航空管信息安全管理特点和现状
1.1民航空管信息安全管理特点。民航空管信息安全管理系统为了维持民航空管信息的安全和稳定具备如下特点:(1)处理信息时间有限,民航空管信息量极为庞大。民航空管信息安全管理系统需要对天气状况、导航的精准度等影响航空器的运行状况的影响因素进行加工处理,为飞行器提供准确信息。这就要求系统管理员具备熟练的专业素养,在极短的时间内对大量信息进行处理,确保飞机飞行安全;(2)民航空管信息安全管理系统中信息的传播途径单一,只能通过无线电设备进行传播,例如:电话、对讲机等。这样在传播过程中很容易受到外界干预,影响决策的准确性;(3)空管信息安全管理员是管理的中心,所有的信息采集、处理过程以及决策都是由信息管理员参与完成,虽然信息处理准确性没有计算机精准,但由于信息的来源不同等因素,信息具有复杂性的特点,暂时不能用计算机进行决策。1.2民航空管信息安全管理发展现状。民航空管信息安全管理由于各地经济水平发展不同,管理体系发展不同,安全管理现状发展也存在着差异。有的地区安全管理制度执行令顾客满意,有的地区安全管理状况则令人堪忧。各地的航空公司安全管理也存在着差异,有的公司在安全管理方面存在很多漏洞。十几年前我国的民航领域在开始逐步推行民航安全审计和安全管理系统,民航各级也逐步健全安全管理的监管制度,仔细分析这些年来民航安全管理制度的状况就会发现,顶层制度和具体制度之间存在较大差异。上层的安全管理制度比较完善,而在具体执行安全管理制度时,缺乏制度的细节性和具体性。我国航空安全管理各级制度的影响力和执行力都很薄弱。一方面是协调性不足,另一方面是监管的力度不足。制度的执行人员、制度的适应性、制度的稳定性等等因素都与安全管理的执行有关。当前我国航空安全管理体制和制度在逐步完善,如何处理安全管理出现的漏洞是每个航空领域工作人员该关注和思考的问题。
2民航信息安全管理发展趋势
随着空管事业的发展,民航空管信息安全管理工作将会进一步的法制化、规范化、专业化。未来民航信息安全管理会量化安全管理标准保证信息共享、健全安全技术手段、完善信息安全制度,使民航信息安全管理朝着更加安全稳定的方向迈进。2.1量化安全管理标准保证信息共享。信息安全管理系统的完善需要加以先进的逻辑分析手段和管理手段,对开发流程进行量化资源评估,对信息传播渠道、信息网络安全性能、网络数据库防火墙设置以及信息采集前段布置等方面进行量化考核,明确这些技术指标,引入国外的安全管理规范,与国际的民航标准相结合,增强安全管理系统的可靠性和机动性。为了保证信息安全管理协调性可以进行信息共享。要保证各个部门之间的安全管理信息共享,这样可以实现安全信息资源的合作发展,加强各个部门共同交流能力和合作应急能力。要加强航空公司和顾客之间的安全管理信息共享,例如:通过一些第三方机构进行评估,评估该航空公司的安全管理质量,使顾客通过这些第三方机构来了解安全管理质量的现状。这样能够督促航空公司改进信息安全管理,提高航空服务水平。2.2加快安全技术手段建设。如今我国新兴技术不断更新换代,安全管理方面的技术研发也处于不断发展之中。在新的形势之下,民航空管信息安全管理系统不仅要识别出安全问题的位置,也找到出现安全隐患的原因,提出安全问题的解决办法。防火墙技术作为一种信息安全管理中的主要预防技术,是提高空管网络信息安全很有效的技术手段。如今网络安全问题日益突出,需要提高防火墙的识别性能和隔离性能,要求工作人员对管理系统进行规范的操作。研发人员也要不断地对信息安全管理系统进行不断的升级,及时修整管理系统中的漏洞,提高民航空管信息管理的网络安全。在民航的发展过程中需要研发有创新性的技术,提升空管设备的可靠性和安全性。需要对航空管制工作人员进行及时的培训,使工作人员能够尽快适应新技术,满足民航事业的需求。2.3构建完善的信息管理安全制度。民航空管信息安全管理系统的安全运行必须由规范的严格的制度作为保证。民航空管信息安全管理十分复杂,制定相关制度需要深入理解每一部分的作用和运行机制。从制度上给予管理充分的保障,可以提高民航空管信息管理的安全性。在各类规定中必须明确工作责任的分工,包括网络管理、应用管理和设备管理规定,包括责任追究、奖励惩罚、检查通报等措施;要建设项目和设备的接入准入制度,做到接入、使用、退出、变更等全程的管理;要建立定期的日常巡视制度、热线电话、变更管理、实时监控、故障抢修等等,实现管理信息系统的“一体化”运行管理机制。民航信息安全管理制度应该具有协调性和适应性,对着技术的审计和社会的发展做出相应的改变,与不断变化的现实需求相符合。信息安全管理既需要协调性也需要稳定性,减少制度的离心倾向,发挥制度的向心作用。
3结论
综上所述,民航空管信息安全管理十分的重要,尽管已经构建了相关的体系,但仍有一些不足,因此需要保证信息的共享、建立安全技术手段、完善信息安全制度、量化安全管理标准。这些需要研发人员和航空管制人员的共同努力,为我国的民航事业的发展做出贡献。
参考文献
[1]王伟颀。民航空管网络与信息安全保障的实践与思考[J].中国新通信,2018,20(11):146-147.
信息安全管理 篇9
关键词:网络环境;高校档案信息安全管理;保密技术
档案信息管理是一项重要工作,关系到企事业单位的利益,因此要提高重视程度。在高校档案管理中,教学档案数量大、保密性高,提高教学档案管理的安全性,是对教师和学生的信息安全必不可少的措施。目前,网络技术已经被普遍应用到档案信息管理中,大大提升了工作效率,但是也存在一定弊端,网络环境具有开放性的特点,容易受到侵害,无法保障档案信息的安全。为了解决面临的问题,要加强保密技术的研究,不断提升档案信息管理安全等级。如今,高校在不断的扩大招生,学生人数不断增多,高校教学档案信息安全管理问题逐渐加剧,所以高校教学档案信息安全管理需要不断强化。
一、网络环境下高校档案信息安全管理特点
高校信息管理包括很多方面,教学档案管理是其中的重要组成部分,能充分体现一所高校的历史沿革和师生的教学活动,可以反映老师和学生的真实在校情况。隐私性、周期性、保密性和专业性和是高校教学档案的信息安全管理几个特点。在高校,每年都要迎接新的学生、送走毕业的学生,学生的人数是动态平衡的,高校教学档案真实反映了学生的学习和生活状态,虽然每届学生都不一样,每个学生都存在个体差异,但每一届学生的整体档案信息是有规律的,档案管理人员应该实时发现其中蕴藏的规律,由此制定出更加有利于学生发展的培养方案。另外,随着高校成立时间越来越长,积累的教学档案数据逐渐增多,学生、家长、教师个人信息和教学信息、科研信息以及历年试题信息具有很高的保密性和隐私性。在档案管理的实际工作中,工作人员要全面的注意到这些特点,根据学校的实际情况,确定出适合高校的管理措施。
二、网络环境下高校教学档案信息安全管理的必要性
高校档案信息的安全至关重要,影响着全体师生的切身利益,并且对学校的发展有深远的影响,需要高度重视。它是高校教育教学工作真实情况的记录,是高校档案管理的重要构成部分,肩负的责任十分重大。高校教学档案信息安全管理不应该被看作是存于计算机和纸质档案中的无足轻重的资料,它是在学校整个发展过程中逐渐形成的庞大的信息数据库。通过教学档案,可以看出学校的历史沿革、教育成果,以此来制定出更为有利于学校发展的方针政策以及学校与社会发展相结合的培养方案。
三、网络环境下的档案信息安全管理存在的问题
1.重视程度不够。从现阶段情况来看,档案管理已经基本实现了信息化,除了个人档案外,还有很多部级别的安全信息问题,一旦出现档案信息泄露问题,就会威胁到国家安全,造成不可挽回的经济损失。虽然档案管理采用了安全技术,但是依然会出现泄露的情况,主要原因是网络环境中存在着漏洞和缺陷,成为严重影响因素。近几年出现了很多档案信息泄密的事件,不仅造成恶劣社会影响,而且会带来巨大损失。但是档案管理人员并没有意识到这一点,日常工作就是对档案进行维护,忽视了安全管理的重要性。在网络环境下,很多危险因素不易被察觉,管理人员容易掉以轻心,导致了档案信息泄密事件发生。即使没有出现档案信息问题,也要保持警惕心,建立完善的安全保障体系,减少不确定因素影响。只有思想上引起重视,才能在实际管理中做出改变,保证档案信息管理的安全性。2.管理人员配置不足。在教学档案信息安全管理中,相关管理人员配置不足,在职的工作人员的业务能力也无法有效地支撑教学档案信息安全管理工作。3.计算机硬件、软件问题。计算机硬件系统在档案信息管理中发挥着重要作用,由于存在电磁波辐射,会对计算机数据信息处理产生影响。为了避免影响,要选用专业的电磁波接收器,可以接受主机和电子设备的电磁波辐射,这样就可以提升档案信息的安全性。档案信息会保存在计算机的存储设备中,如果出现问题就会出现泄密的情况。计算机软件系统最大特点就是开放性,让档案信息处理速度得到了提升,在整个过程中,可能会遭受恶意攻击,导致信息安全性降低,很有可能会出现泄密情况。为了保证系统运行稳定性,计算机都安装了相关程序来修复漏洞,如果漏洞过多,档案信息处理就会遭受病毒侵害,档案信息出现泄露的情况。从档案信息管理安全角度出发,不断完善系统,保证安全、高效运行,为档案信息管理提供支持。4.学生档案管理的内容没有显现出其作用。由于大多数高校学生的教学档案只是一张成绩单或几张证书,无法体现出学生的综合素质,因此无法满足社会对人才多方面的考核需求。在高校的教学档案信息安全管理工作中,管理制度缺失,教师和学生查阅困难,档案馆只是作为档案管理部门存在,基本从未为学生和老师提供服务,师生也不知道档案馆里有什么、可以干什么。5.加强培养档案管理工作人员的综合素质。教学档案信息管理有部分工作关系到师生的个人隐私信息、教师科研工作项目以及专利申报等活动,因此还需要加强培养档案管理工作人员的道德素养和职业精神,提高其综合素质。6.网络安全问题。档案是非常重要的资料资源,管理目的主要是为了便于人们应用。在这种情况下,档案信息需要进行传播,存储设备发生了改变。档案在整个传送过程中需要经历多个环节,增加了不确定性,对档案信息安全带来影响。网络黑客和病毒是档案信息安全管理的主要威胁因素,当计算机防护体系比较弱,就非常容易遭受黑客或者病毒的侵害,出现档案信息泄露的情况。档案信息涉及范围比较广,处于不断增加之中,这对档案管理人员提出了更高的要求。部分人员自身能力有限,在档案信息管理方面存在漏洞,降低信息的安全性。档案信息管理业务量增加,需要更多数量的工作人员,为了满足工作需求,很多人员没有经过专业培训,档案信息管理队伍整体水平层次不齐,无法适应发展需求,成为了限制性因素。
四、网络环境下的档案信息安全管理及其保密技术
1.构建完善的防护体系。运用计算机开展档案管理工作时,为了保证安全性,最直接的方式就是构建防护体系。虽然计算机都安装了防护体系,但是不够全面,依然存在着漏洞,会出现档案信息泄露的问题。如果防护措施不到位,就会给病毒可乘之机,让计算机系统遭受破坏,无法正常运行。通过对档案信息管理安全问题分析,发现往往是因为一个漏洞导致系统崩溃,遭受巨大损失,所以在档案信息管理系统中建立综合性防护体系是非常必要的,可以提升计算机系统的安全等级,防止黑客或者病毒的入侵。要加强防护体系的建设,从体系的各个方面去完善,提升整体防护水平,建立一套完善的防护体� 2.提升高校档案信息管理人员的专业性。首先,高校需要在相关老师道德素养和敬业精神方面更进一步的加大培训力度,制定对档案工作人员定期信息安全法律考试制度,严格落实考核管理,促进相关工作人员全面学习档案管理知识,建成一支具有一定专业水准的档案信息安全管理队伍,保障学校的教学活动顺利开展,促使学校向着更好的方向不断前进。其次,任何工作人员的专业能力都是及其重要的,在高校教学档案信息安全管理中尤其如此。随着互联网信息技术的无孔不入,档案管理的形式也越来越多样化,档案管理的安全性也要求越来越高,这就要求档案管理人员要掌握更多更新的档案管理知识。然而,在实际的工作中,高校档案信息管理人员大多是非本专业教师,这些老师很多在档案管理方面的专业知识和管理经验为空白,学校也没有对其开展系统的业务培训。在实际的档案管理工作中,很多老师面临着想干好却又专业能力缺乏的困境。3.建立健全法律法规。为了保证网络环境的绿色性、健康性,需要健全法律法规作为保障,这是非常重要的。目前,关于网络环境下档案信息管理的法律法规比较缺失,当出现安全事件时,找不到解决的法律依据,那么情况会变得越来越糟,严重威胁到档案信息管理的安全性。为了保证档案信息安全性,法律法规是必不可少的,可以发挥出规范的作用,提升档案信息管理的安全等级,避免受到不利影响。对于致使档案信息泄露的不法分子要加大处罚力度,可以起到警示作用,创建出绿色健康的网络环境。加强对档案信息安全管理重要性的宣传,不断增强网民的法律法规意识,上网必须符合相关要求,才能创建出健康的网络环境。在档案信息安全管理中会不断遇到新问题,所以要建立健全法律法规,保证档案信息安全管理工作顺利开展。不断增强法律法规的执行力,包含档案信息管理的各个方面,将具体效果落到实处,提升档案信息管理的权威性。4.加大档案安全重要性的宣传。当前学校大多数师生对教学档案信息安全管理工作的重视程度普遍较差,并没有完全意识到档案信息管理对师生的重要意义。这也造成学生对档案信息安全管理的主动性较弱,对档案的具体内容、对自己工作生活的影响以及传递的方式了解甚少。学生在毕业离开学校之后,结业、未就业等各种不同原因导致档案信息很长一段时间是滞留在在学校档案馆的,给学校增加了很多不必要的档案管理工作。更加严重的是,学生在就业、升职等情况下需要档案时,却对自己的档案身在何处、档案内容包括什么一问三不知,给毕业后续的工作生活造成了许多的麻烦,甚至影响工作就业。所以,高校需要注重档案信息管理的宣传工作,让学生认识到档案管理的重要性,明确清楚自己档案的内容、意义以及毕业工作后的流转途径,以确保个人档案的安全,防止出现个人档案信息的丢失。5.做好档案保密工作。档案信息事关重大,因此保密工作是非常关键的,避免档案信息出现泄露的情况。网络环境具有开放性,人们在上网过程中可以浏览一些档案信息,其中部分档案是可以供大众浏览的,如人事档案、个人简历等,但是有的档案信息是不能任意下载的,如重大工程或者国家的案例,其中含有重要的信息资料,没有经过批准是不能公开的。根据我国《保密法》的相关要求,在开展档案管理工作时,可以分为保密档案和非保密档案,所以要区别对待,采用不同保密方式。有些档案是有保密年限的,到了时间后就可以解密,供人们浏览。对档案保密要划分不同等级、不同类型档案采取相应的保密措施,保证档案保密工作有序开展。这就要求人员具备较强专业素养和责任心,档案保密不能有半点马虎,一定要足够细致,才能保证档案信息的安全性。6.提高安全防护技术水平。计算机技术发展为人们带来便利的同时,也给非法入侵者带来了可乘之机,如果不提升安全防护技术水平,肯定会威胁到档案信息的安全性。为了适应发展需求,要加强网络安全防护技术的研究,和实际工作情况联系在一起,确保达到良好效果。只有具备较高等级的安全防护技术,才能为档案信息安全提供可靠保障,抵御病毒的入侵。意识到档案信息安全管理的重要性,档案信息管理和社会经济发展有着直接关系,加强管理对于促进档案事业发展具有重要意义。创新档案管理工作模式,对于不同档案信息要区别对待,设置严密的安全等级,提高档案信息保密的规范标准,对非法入侵者要加大惩罚力度,可以起到震慑的作用。每个档案管理单位情况有所差异,所以要从实际出发制定科学合理的管理方式,解决工作中遇到问题,提升档案信息管理水平。7.保密技术。一是防火墙技术。这是比较常见的计算机安全防护技术,恶意软件和病毒是无法进入到系统中,为计算机系统运行提供保障。防火墙技术主要包括两种技术手段,分别是分组过滤技术和技术,为了提升安全防护水平,要将过滤技术和技术结合在一起,有利于提升档案信息系统的安全水平。二是数字签名技术。通过加快处理来提高信息资料传送过程中的安全性和保密性,避免信息资料在各个传送节点出现漏洞或者受其他因素的影响,确保信息资料传送每个环节安全性。三是电子文件认证技术。这项技术和数字加密技术是一样的,需要通过计算和运算来完成。电子文件认证技术是通过比较运算来获得验证码,通过摘要来鉴别电子文件的真实性。但是电子文件认证技术也存在弊端,文件在发送过程中不具备保密性。除此之外,要提高档案信息安全管理人员综合素质,积极学习先进技术,应用到工作中来。增强自身安全意识,处理好档案信息管理每个环节,保证具有安全性。
五、结语
综上所述,档案信息安全管理是一项非常重要的工作,尤其是在网络环境下,存在着很多危险因素,对档案信息安全会造成威胁。为了防止出现信息泄露或者丢失的情况,要加强保密技术的研究,为档案信息安全提供可靠保障。在信息技术快速发展的今天,会面临更加复杂的情况,因此创新保密技术,更好的应用在工作中,推动档案管理事业向前发展。
参考文献:
[1]李琴。网络环境下的档案信息安全管理及其保密技术分析[J].卷宗,2019
[2]李牧。网络环境下的档案信息安全管理及其保密技术[J].网络安全技术与应用,2017
[3]田星原,邹欣云,文芳,等。网络环境下的档案信息安全管理及其保密技术[J].科研,2017
信息安全管理 篇10
关键词:信息安全;ISO27001;信息安全管理体系;管理
1企业信息安全管理现状
1.1信息安全技术问题
信息安全包括应用安全、数据安全、主机安全、网络安全、安全审计和安全管理等六个方面。因技术发展和资金投入的局限性,在企业信息系统设计开发过程中难免存在缺陷与漏洞,从而造成企业的信息安全隐患。此外,企业未成立专业部门、团队去开发、维护、更新企业信息系统,部分企业甚至无专业IT安全管理人员等,都会导致信息安全事件频发问题。
1.2信息安全管理问题
1.2.1缺乏统筹规划企业未根据自身的需求制定长远的信息安全管理规划。公司领导对信息安全规划参与度有限或受专业能力的限制,不能有效提出指导意见与发展方向。如安全目标不清晰、管理职责不明确、重要信息资产未管控等问题,都会引发企业的信息安全危机。1.2.2缺少信息安全管理制度在国家层面,因信息安全属于较新领域,政府已的信息安全法律法规并不完善,处罚力度与管制范围不能满足当前企业安全要求。在企业层面,多数企业尚未制定适宜本企业的信息安全管理制度,导致企业对信息安全管控薄弱,容易出现不安全事件。1.2.3员工安全意识薄弱员工不知晓自身在工作中所承担的信息安全职责,普遍认为信息安全是IT部门或系统管理员的事,不清楚企业的信息安全还包含人员信息、存储介质、应用系统、文件等多方面。据统计,多数企业出现信息安全问题的主要原因并不来自外界攻击,而是企业内部员工有意或无意间的信息泄漏。员工安全意识的薄弱,也是企业信息安全受到威胁的主要原因。1.2.4缺乏安全风险防控能力在现实中,部分企业在经营管理过程中缺乏安全风险防控意识,未建立“事故、事件”应急处置方案。对重要信息系统和资料未制定备份策略与恢复措施。一旦出现信息安全事件,只能被动接受或补救。不能做到“事前预防、事中控制、事后改进”的风险防控管理,严重影响了企业业务运行的连续性与可靠性。
2企业信息安全问题的应对策略
2.1加强基础设施建设,采用先进的安全技术手段
为保障企业的信息安全建设,最基本的条件是要提高企业安全技术能力与基础设施建设。企业应增加安全投入,购置性能较高的安全设备,采用先进信息安全技术手段来防止安全漏洞的产生。从技术角度,企业可从信息安全的三个主要领域“验证与授权、预防与防范、检测与响应”来开展工作。验证与授权,“验证”指系统要先确定用户的身份,再根据身份设置访问权限进行“授权”。验证与授权可采用:令牌、智能卡、指纹、人脸和声音等相关产品。预防与防范,指企业采用内容过滤、加密与防火墙等措施,防止非法入侵与非法访问系统,这也是企业必须加强的关键安全防御环节。检测与响应,是企业信息安全的最后一道防线,常用的检测与响应技术如杀毒软件等。
2.2引入ISO27001标准,构建信息安全管理体系
单纯依靠技术手段是无法有效保障企业的信息安全。因为企业的信息安全不是一个技术过程,而是一个管理过程。企业可结合目前国际上应用较广的ISO27001标准[1],搭建信息安全管理体系模型(如图1)。通过风险分析的方法,找出企业所面临的安全风险,制定相关管理要求或采用适宜的技术手段进行管控,来帮助企业有效的规避、降低风险,定期开展内外部审核监控活动,使体系实现PDCA持续改进循环,进而提升企业的信息安全保障能力。针对企业所面临的主要风险,借鉴ISO27001标准,从以下几个方面提出解决企业安全管理的相关措施。2.2.1加强统筹规划,健全信息安全组织架构为保障企业的信息安全目标能够实现,信息资源能够得到保障。企业领导应根据自身业务的发展需求,制定信息安全目标,搭建信息安全组织架构,明确相关职责和权限。决策层:由企业主抓信息安全工作的领导组成,负责企业信息安全规划、策略以及重大安全事件的审批,并提供相应信息资源支持。管理层:由企业的信息安全主管部门或IT部门承担,负责企业日常的信息安全管理、监督、考核与培训。执行层:由IT部门的技术人员与其它部门的专、兼职信息安全人员构成。负责落实安全措施,消除安全风险,以及安全事件发生后的应急响应和处理。2.2.2完善制度建设,规范安全管理流程企业管理离不开制度建设,全面、适宜的制度,会帮助企业快速、有效地落实安全职责。ISO27001标准附录A中[1-2],提出了企业在信息安全建设中主要涉及的14个管理领域与控制策略,企业可根据上述控制策略建立管理制度,从而完善企业的信息安全管理要求,可参考表1。2.2.3重视安全教育培训、培养安全责任意识“人”是企业在开展信息安全管理过程中最重要的因素。ISO27001标准中要求企业应对做好人员的安全审查与教育培训工作。在任用前,应进行员工背景调查,聘用合同中应列明员工需遵守的信息安全责任。在任用中,应定期举办信息安全教育培训类活动,将企业的信息安全管理要求对全员、外包人员,以及利益相关方人员知晓并遵守。在任用终止或变更时,应告之员工仍需遵守的信息安全责任及职责。2.2.4加强风险防控意识、建立应急保障机制企业可参考ISO27001标准中信息安全事件管理部分要求,建立并完善“事故、事件”应急处置流程,对安全事件进行分级、分类。企业应重视应急预案的制定与演练,对重要的信息系统与资料应制定备份策略与恢复措施,使企业真正实现“事前预防、事中控制、事后改进”的全面风险管理。
3结语
企业的信息安全离不开“技术”与“管理”,二者相融相依,共同促进。ISO27001标准的引入,可帮助企业从技术管理、风险管理、职责落实、制度建设、意识提升和应急响应等各个方面不断加强,有助于企业持续提升信息安全管理水平。
参考文献
[1]国际标准ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系-要求[S].