緒論:在尋找寫作靈感嗎?愛發(fā)表網(wǎng)為您精選了8篇信息安全論文�,愿這些內(nèi)容能夠啟迪您的思維�,激發(fā)您的創(chuàng)作熱情��,歡迎您的閱讀與分享�����!
篇1
1.論信息安全��、網(wǎng)絡(luò)安全��、網(wǎng)絡(luò)空間安全
2.用戶參與對信息安全管理有效性的影響——多重中介方法
3.基于信息安全風(fēng)險評估的檔案信息安全保障體系構(gòu)架與構(gòu)建流程
4.論電子檔案開放利用中信息安全保障存在的問題與對策
5.美國網(wǎng)絡(luò)信息安全治理機制及其對我國之啟示
6.制度壓力�、信息安全合法化與組織績效——基于中國企業(yè)的實證研究
7.“棱鏡”折射下的網(wǎng)絡(luò)信息安全挑戰(zhàn)及其戰(zhàn)略思考
8.再論信息安全、網(wǎng)絡(luò)安全�、網(wǎng)絡(luò)空間安全
9.“云計算”時代的法律意義及網(wǎng)絡(luò)信息安全法律對策研究
10.計算機網(wǎng)絡(luò)信息安全及其防護對策
11.網(wǎng)絡(luò)信息安全防范與Web數(shù)據(jù)挖掘技術(shù)的整合研究
12.現(xiàn)代信息技術(shù)環(huán)境中的信息安全問題及其對策
13.處罰對信息安全策略遵守的影響研究——威懾理論與理性選擇理論的整合視角
14.論國民信息安全素養(yǎng)的培養(yǎng)
15.國民信息安全素養(yǎng)評價指標(biāo)體系構(gòu)建研究
16.高校信息安全風(fēng)險分析與保障策略研究
17.大數(shù)據(jù)信息安全風(fēng)險框架及應(yīng)對策略研究
18.信息安全學(xué)科體系結(jié)構(gòu)研究
19.檔案信息安全保障體系框架研究
20.美國關(guān)鍵基礎(chǔ)設(shè)施信息安全監(jiān)測預(yù)警機制演進與啟示
21.美國政府采購信息安全法律制度及其借鑒
22.“5432戰(zhàn)略”:國家信息安全保障體系框架研究
23.智慧城市建設(shè)對城市信息安全的強化與沖擊分析
24.信息安全技術(shù)體系研究
25.電力系統(tǒng)信息安全研究綜述
26.美國電力行業(yè)信息安全工作現(xiàn)狀與特點分析
27.國家信息安全協(xié)同治理:美國的經(jīng)驗與啟示
28.論大數(shù)據(jù)時代信息安全的新特點與新要求
29.構(gòu)建基于信息安全風(fēng)險評估的檔案信息安全保障體系必要性研究
30.工業(yè)控制系統(tǒng)信息安全研究進展
31.電子文件信息安全管理評估體系研究
32.社交網(wǎng)絡(luò)中用戶個人信息安全保護研究
33.信息安全與網(wǎng)絡(luò)社會法律治理:空間、戰(zhàn)略�、權(quán)利、能力——第五屆中國信息安全法律大會會議綜述
34.三網(wǎng)融合下的信息安全問題
35.云計算環(huán)境下信息安全分析
36.信息安全風(fēng)險評估研究綜述
37.淺談網(wǎng)絡(luò)信息安全技術(shù)
38.云計算時代的數(shù)字圖書館信息安全思考
39.“互聯(lián)網(wǎng)+金融”模式下的信息安全風(fēng)險防范研究
40.故障樹分析法在信息安全風(fēng)險評估中的應(yīng)用
41.信息安全風(fēng)險評估風(fēng)險分析方法淺談
42.計算機網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)
43.用戶信息安全行為研究述評
44.數(shù)字化校園信息安全立體防御體系的探索與實踐
45.大數(shù)據(jù)時代面臨的信息安全機遇和挑戰(zhàn)
46.企業(yè)信息化建設(shè)中的信息安全問題
47.基于管理因素的企業(yè)信息安全事故分析
48.借鑒國際經(jīng)驗 完善我國電子政務(wù)信息安全立法
49.美國信息安全法律體系考察及其對我國的啟示
50.論網(wǎng)絡(luò)信息安全合作的國際規(guī)則制定
51.國外依法保障網(wǎng)絡(luò)信息安全措施比較與啟示
52.云計算下的信息安全問題研究
53.云計算信息安全分析與實踐
54.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考
55.歐盟信息安全法律框架之解讀
56.組織信息安全文化的角色與建構(gòu)研究
57.國家治理體系現(xiàn)代化視域下地理信息安全組織管理體制的重構(gòu)
58.信息安全本科專業(yè)的人才培養(yǎng)與課程體系
59.美國電力行業(yè)信息安全運作機制和策略分析
60.信息安全人因風(fēng)險研究進展綜述
61.信息安全:意義���、挑戰(zhàn)與策略
62.工業(yè)控制系統(tǒng)信息安全新趨勢
63.基于MOOC理念的網(wǎng)絡(luò)信息安全系列課程教學(xué)改革
64.信息安全風(fēng)險綜合評價指標(biāo)體系構(gòu)建和評價方法
65.企業(yè)群體間信息安全知識共享的演化博弈分析
66.智能電網(wǎng)信息安全及其對電力系統(tǒng)生存性的影響
67.中文版信息安全自我效能量表的修訂與校驗
68.智慧城市環(huán)境下個人信息安全保護問題分析及立法建議
69.基于決策樹的智能信息安全風(fēng)險評估方法
70.互動用電方式下的信息安全風(fēng)險與安全需求分析
71.高校信息化建設(shè)進程中信息安全問題成因及對策探析
72.高校圖書館網(wǎng)絡(luò)信息安全問題及解決方案
73.國內(nèi)信息安全研究發(fā)展脈絡(luò)初探——基于1980-2010年CNKI核心期刊的文獻計量與內(nèi)容分析
74.云會計下會計信息安全問題探析
75.智慧城市信息安全風(fēng)險評估模型構(gòu)建與實證研究
76.試論信息安全與信息時代的國家安全觀
77.IEC 62443工控網(wǎng)絡(luò)與系統(tǒng)信息安全標(biāo)準(zhǔn)綜述
78.美國信息安全法律體系綜述及其對我國信息安全立法的借鑒意義
79.淺談網(wǎng)絡(luò)信息安全現(xiàn)狀
80.大學(xué)生信息安全素養(yǎng)分析與形成
81.車聯(lián)網(wǎng)環(huán)境下車載電控系統(tǒng)信息安全綜述
82.組織控制與信息安全制度遵守:面子傾向的調(diào)節(jié)效應(yīng)
83.信息安全管理領(lǐng)域研究現(xiàn)狀的統(tǒng)計分析與評價
84.網(wǎng)絡(luò)信息安全及網(wǎng)絡(luò)立法探討
85.神經(jīng)網(wǎng)絡(luò)在信息安全風(fēng)險評估中應(yīng)用研究
86.信息安全風(fēng)險評估模型的定性與定量對比研究
87.美國信息安全戰(zhàn)略綜述
88.信息安全風(fēng)險評估的綜合評估方法綜述
89.信息安全產(chǎn)業(yè)與信息安全經(jīng)濟分析
90.信息安全政策體系構(gòu)建研究
91.智能電網(wǎng)物聯(lián)網(wǎng)技術(shù)架構(gòu)及信息安全防護體系研究
92.我國網(wǎng)絡(luò)信息安全立法研究
93.電力信息安全的監(jiān)控與分析
94.從復(fù)雜網(wǎng)絡(luò)視角評述智能電網(wǎng)信息安全研究現(xiàn)狀及若干展望
95.情報素養(yǎng):信息安全理論的核心要素
96.信息安全的發(fā)展綜述研究
97.俄羅斯聯(lián)邦信息安全立法體系及對我國的啟示
98.國家信息安全戰(zhàn)略的思考
篇2
(一)檔案信息制度不健全帶來的信息安全隱患
在檔案信息化突飛猛進的背景下��,相關(guān)的檔案信息安全管理制度卻未及時地建立起來����,給別有用心的人竊取和不當(dāng)利用檔案信息以可乘之機�����,嚴(yán)重危害著檔案信息的安全�。比如,有的檔案管理單位解答了檔案利用者的問題�,因為認(rèn)為該問題具有代表性,就將該問題放入常見問題資訊庫中����。若該檔案管理單位缺乏檔案信息的保護制度和保密意識,沒有對咨詢?nèi)说膫€人信息進行必要的屏蔽和處理���,可能會造成用戶信息的泄露���,侵犯檔案利用者的隱私權(quán)。再比如��,有的地市住房公積金管理網(wǎng)絡(luò)系統(tǒng)由于缺乏相應(yīng)的安全制度和技術(shù)保障措施,只需要輸入公積金繳存人的姓名就可以查閱到其工資水平和住房公積金繳納情況���,而個人的收入狀況屬于個人不愿向外界透漏的的隱私���,這就造成了個人檔案信息的泄露。
(二)檔案網(wǎng)絡(luò)化管理帶來的信息安全隱患
網(wǎng)絡(luò)化管理給檔案管理工作帶來便利����。但是,計算機感染木馬病毒和遭受黑客惡意攻擊的風(fēng)險給檔案信息的安全性帶來隱患�����。木馬程序一旦侵入檔案管理系統(tǒng)�,很可能會破壞檔案信息數(shù)據(jù),甚至?xí)扇〈鄹?����、盜竊����、銷毀檔案數(shù)據(jù)的破壞手段,造成檔案管理的混亂�,給檔案數(shù)據(jù)的安全性帶來致命損害�����。另外�����,以光盤、硬盤等存儲介質(zhì)為載體的電子數(shù)據(jù)檔案有其自身不可克服的缺點�����,如信息數(shù)據(jù)不夠穩(wěn)定��、易于損壞和難以固定保存等���,加之檔案存儲設(shè)備更新速度很快�����,若不對檔案存儲設(shè)備以及相關(guān)的計算機硬件和軟件及時更新��,解決數(shù)字檔案的格式轉(zhuǎn)換等問題�����,極易造成檔案數(shù)據(jù)丟失���、毀損或無法順利讀取等情況發(fā)生�。
(三)檔案管理造成的信息安全隱患
檔案信息化對檔案管理人員的素質(zhì)提出了更高的要求���,要求檔案管理人員不但要精通檔案管理知識��,還要精通互聯(lián)網(wǎng)知識���、計算機和相應(yīng)檔案管理軟件的操作方法。但是��,當(dāng)前檔案管理人員的年齡結(jié)構(gòu)存在普遍偏大的狀況����。有些年齡較大的檔案管理人員知識更新不夠及時,仍然拘泥于傳統(tǒng)的檔案管理模式�,對信息化的檔案管理可能會感覺力不從心。因為對檔案管理設(shè)備和檔案管理軟件研究不夠深入����,操作熟練程度不夠等原因,在管理過程中容易造成檔案數(shù)據(jù)意外刪除等丟失毀損情況��,構(gòu)成檔案信息的安全隱患。
二����、加強檔案信息安全的舉措
(一)加強制度建設(shè),提高檔案安全管理意識
首先�,單位領(lǐng)導(dǎo)要充分認(rèn)識到檔案信息安全管理的重要性,制定相應(yīng)的檔案信息安全管理制度�����,與檔案管理人員簽訂檔案安全管理責(zé)任承諾書���,安排專門檔案管理人員對所有檔案信息進行保密管理,規(guī)范檔案信息的保密審查程序和公開程序�,確保做到公開的檔案信息不,的檔案信息不公開�。同時,要完善檔案信息安全防范機制��,嚴(yán)格禁止其他計算機對檔案管理系統(tǒng)網(wǎng)絡(luò)的接入和訪問�����,的檔案信息不允許與互聯(lián)網(wǎng)聯(lián)接��,的計算機要設(shè)置專用密碼,在轉(zhuǎn)為非計算機時要按照《保密法》的規(guī)定對存儲硬盤進行拆除��。
(二)不斷提高檔案安全管理技術(shù)��,做好電子檔案的異質(zhì)備份工作
首先����,提升檔案安全管理技術(shù)是保障檔案信息安全的有效途徑,要定期對管理檔案的計算機設(shè)備進行殺毒軟件的升級���,及時對病毒進行掃描和查殺���,避免木馬程序和黑客惡意侵入檔案管理系統(tǒng)。同時����,定期對檔案管理設(shè)備如計算機設(shè)備、打印機��、復(fù)印設(shè)備等進行檢查��,確保各種檔案管理設(shè)備的正常使用���。其次���,承載電子數(shù)據(jù)檔案的存儲設(shè)備有別于傳統(tǒng)的檔案載體文件���,對它的讀取必須依靠必要的硬件設(shè)備和閱讀軟件才能夠?qū)崿F(xiàn),對這些電子文件檔案同時轉(zhuǎn)化為其他類型的載體就成為必要�����。做好電子檔案的異質(zhì)備份工作�,就可以防止隨著技術(shù)的發(fā)展出現(xiàn)現(xiàn)有的電子檔案因為缺乏相應(yīng)的閱讀設(shè)備和軟件而不能順利讀取的尷尬局面。異質(zhì)備份的常見方法主要有:將網(wǎng)絡(luò)下載文件轉(zhuǎn)變成紙質(zhì)文檔��;將紙質(zhì)文檔通過掃描等手段轉(zhuǎn)換成電子文檔�;將現(xiàn)有的電子照片通過拷貝等形式制作成多份備查等�。
(三)優(yōu)化檔案管理人員結(jié)構(gòu),提高檔案安全防范意識
檔案管理的信息化對檔案管理人員的素質(zhì)提出了更高要求���,要優(yōu)化檔案管理人員結(jié)構(gòu)���,建立形成梯隊的復(fù)合型檔案管理隊伍。檔案管理人員不但要熟悉檔案管理方面的業(yè)務(wù)知識以及相關(guān)的檔案管理法規(guī)���,還要對計算機操作��、互聯(lián)網(wǎng)知識等現(xiàn)代化的科技知識做到熟練掌握�。這就要求我們必須要建立健全檔案管理人員的管理制度,對檔案管理人員的配備�、流入流出等規(guī)定嚴(yán)格的程序,明確各類管理人員的工作職責(zé)和違反規(guī)定造成檔案安全信息不當(dāng)泄露應(yīng)承擔(dān)的責(zé)任�����。要定期對檔案管理人員進行業(yè)務(wù)知識和檔案信息安全管理方面的培訓(xùn)�,提高他們的安全防范意識和防范技能水平。
三�����、結(jié)語
篇3
論文提要:當(dāng)今世界已進入了信息化時代���,信息化和信息產(chǎn)業(yè)發(fā)展水平已成為衡量一個國家綜合國力的重要標(biāo)準(zhǔn)��。黨的十七大明確提出了一條“以信息化帶動工業(yè)化�,以工業(yè)化促進信息化”的具有中國特色的信息化道路���。信息資源隨之成為社會資源的重要組成部分�����,但由于信息資源不同于其他資源的特殊性質(zhì)����,如何保證信息的安全性和保密性成為我國信息化建設(shè)過程中需要解決的重要問題。
一��、信息化的內(nèi)涵����、信息資源的性質(zhì)及信息的安全問題
“信息化”一詞最早是由日本學(xué)者于20世紀(jì)六十年代末提出來的。經(jīng)過40多年的發(fā)展��,信息化已成為各國社會發(fā)展的主題�。
信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì),主要表現(xiàn)在知識性�、中介性、可轉(zhuǎn)化性�、可再生性和無限應(yīng)用性���。由于其特殊性質(zhì)造成信息資源存在可能被篡改����、偽造、竊取以及截取等安全隱患��,造成信息的丟失�、泄密,甚至造成病毒的傳播���,從而導(dǎo)致信息系統(tǒng)的不安全性����,給國家的信息化建設(shè)帶來不利影響��。因此����,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內(nèi)容:真實性�,保證信息的來源真實可靠;機密性��,信息即使被截獲也無法理解其內(nèi)容����;完整性,信息的內(nèi)容不會被篡改或破壞����;可用性����,能夠按照用戶需要提供可用信息�;可控性,對信息的傳播及內(nèi)容具有控制能力��;不可抵賴性�����,用戶對其行為不能進行否認(rèn)����;可審查性,對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段���。與傳統(tǒng)的安全問題相比�����,基于網(wǎng)絡(luò)的信息安全有一些新的特點:
一是由于信息基礎(chǔ)設(shè)施的固有特點導(dǎo)致的信息安全的脆弱性�����。由于因特網(wǎng)與生俱來的開放性特點��,從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開放性的特點��,通過網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的��、開放的��,而不是封閉的�、保密的���。這種先天的技術(shù)弱點導(dǎo)致網(wǎng)絡(luò)易受攻擊����。
二是信息安全問題的易擴散性�����。信息安全問題會隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴大�����。由于因特網(wǎng)的龐大系統(tǒng)�,造成了病毒極易滋生和傳播�����,從而導(dǎo)致信息危害�。
三是信息安全中的智能性���、隱蔽性特點���。傳統(tǒng)的安全問題更多的是使用物理手段造成的破壞行為,而網(wǎng)絡(luò)環(huán)境下的安全問題常常表現(xiàn)為一種技術(shù)對抗�����,對信息的破壞�、竊取等都是通過技術(shù)手段實現(xiàn)的。而且這樣的破壞甚至攻擊也是“無形”的��,不受時間和地點的約束��,犯罪行為實施后對機器硬件的信息載體可以不受任何損失�,甚至不留任何痕跡,給偵破和定罪帶來困難��。
信息安全威脅主要來源于自然災(zāi)害、意外事故��;計算機犯罪�����;人為錯誤���,比如使用不當(dāng),安全意識差等�;“黑客”行為;內(nèi)部泄密����;外部泄密;信息丟失��;電子諜報���,比如信息流量分析��、信息竊取等��;信息戰(zhàn)�����;網(wǎng)絡(luò)協(xié)議自身缺陷�,等等。
二�、我國信息化中的信息安全問題
近年來,隨著國家宏觀管理和支持力度的加強���、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進行�����、對國際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素�,我國在信息安全管理上的進展是迅速的�����。但是��,由于我國的信息化建設(shè)起步較晚���,相關(guān)體系不完善�����,法律法規(guī)不健全等諸多因素��,我國的信息化仍然存在不安全問題����。
1、信息與網(wǎng)絡(luò)安全的防護能力較弱����。我國的信息化建設(shè)發(fā)展迅速����,各個企業(yè)紛紛設(shè)立自己的網(wǎng)站,特別是“政府上網(wǎng)工程”全面啟動后��,各級政府已陸續(xù)設(shè)立了自己的網(wǎng)站����,但是由于許多網(wǎng)站沒有防火墻設(shè)備、安全審計系統(tǒng)�����、入侵監(jiān)測系統(tǒng)等防護設(shè)備��,整個系統(tǒng)存在著相當(dāng)大的信息安全隱患。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報告稱��,在網(wǎng)絡(luò)黑客攻擊的國家中�,中國是最大的受害國。
2��、對引進的國外設(shè)備和軟件缺乏有效的管理和技術(shù)改造����。由于我國信息技術(shù)水平的限制,很多單位和部門直接引進國外的信息設(shè)備�����,并不對其進行必要的監(jiān)測和改造���,從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機����。
3�����、我國基礎(chǔ)信息產(chǎn)業(yè)薄弱��,核心技術(shù)嚴(yán)重依賴國外,缺乏自主創(chuàng)新產(chǎn)品�,尤其是信息安全產(chǎn)品。我國信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來自國外���,這使我國的網(wǎng)絡(luò)安全性能大大減弱��,被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”��。由于缺乏自主技術(shù)���,我國的網(wǎng)絡(luò)處于被竊聽��、干擾���、監(jiān)視和欺詐等多種信息安全威脅中����,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)�。
4、信息犯罪在我國有快速發(fā)展趨勢��。除了境外黑客對我國信息網(wǎng)絡(luò)進行攻擊����,國內(nèi)也有部分人利用系統(tǒng)漏洞進行網(wǎng)絡(luò)犯罪�����,例如傳播病毒����、竊取他人網(wǎng)絡(luò)銀行賬號密碼等���。
5����、在研究開發(fā)�����、產(chǎn)業(yè)發(fā)展�����、人才培養(yǎng)�����、隊伍建設(shè)等方面與迅速發(fā)展的形勢極不適應(yīng)。
造成以上問題的相關(guān)因素在于:首先��,我國的經(jīng)濟基礎(chǔ)薄弱��,在信息產(chǎn)業(yè)上的投入還是不足�����,尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識�����。其次����,全民信息安全意識淡薄,警惕性不高���。大多數(shù)計算機用戶都曾被病毒感染過,并且病毒的重復(fù)感染率相當(dāng)高��。
除此之外����,我國目前信息技術(shù)領(lǐng)域的不安全局面���,也與西方發(fā)達國家對我國的技術(shù)輸出進行控制有關(guān)。
三�����、相關(guān)解決措施
針對我國信息安全存在的問題����,要實現(xiàn)信息安全不但要靠先進的技術(shù),還要有嚴(yán)格的法律法規(guī)和信息安全教育��。
1����、加強全民信息安全教育,提高警惕性���。從小做起����,從己做起�����,有效利用各種信息安全防護設(shè)備,保證個人的信息安全�,提高整個系統(tǒng)的安全防護能力,從而促進整個系統(tǒng)的信息安全���。超級秘書網(wǎng)
2����、發(fā)展有自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)�����,加大信息產(chǎn)業(yè)投入����。增強自主創(chuàng)新意識,加大核心技術(shù)的研發(fā)�����,尤其是信息安全產(chǎn)品�����,減小對國外產(chǎn)品的依賴程度����。
3、創(chuàng)造良好的信息化安全支撐環(huán)境�。完善我國信息安全的法規(guī)體系,制定相關(guān)的法律法規(guī)�,例如信息安全法、數(shù)字簽名法�����、電子信息犯罪法�、電子信息出版法、電子信息知識產(chǎn)權(quán)保護法�、電子信息個人隱私法、電子信息進出境法等���,加大對網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度��,對其進行嚴(yán)厲的懲處���。
4、高度重視信息安全基礎(chǔ)研究和人才的培養(yǎng)����。為了在高技術(shù)環(huán)境下發(fā)展自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)�����,應(yīng)大力培養(yǎng)信息安全專業(yè)人才��,建立信息安全人才培養(yǎng)體系��。
5�、加強國際防范��,創(chuàng)造良好的安全外部環(huán)境��。由于網(wǎng)絡(luò)與生俱有的開放性�、交互性和分散性等特征,產(chǎn)生了許多安全問題�,要保證信息安全,必須積極參與國際合作����,通過吸收和轉(zhuǎn)化有關(guān)信息網(wǎng)絡(luò)安全管理的國際法律規(guī)范,防范來自世界各地的黑客入侵�����,加強信息網(wǎng)絡(luò)安全�。
篇4
論文提要:當(dāng)今世界已進入了信息化時代,信息化和信息產(chǎn)業(yè)發(fā)展水平已成為衡量一個國家綜合國力的重要標(biāo)準(zhǔn)��。黨的十七大明確提出了一條“以信息化帶動工業(yè)化�,以工業(yè)化促進信息化”的具有中國特色的信息化道路。信息資源隨之成為社會資源的重要組成部分�,但由于信息資源不同于其他資源的特殊性質(zhì),如何保證信息的安全性和保密性成為我國信息化建設(shè)過程中需要解決的重要問題�。
一、信息化的內(nèi)涵���、信息資源的性質(zhì)及信息的安全問題
“信息化”一詞最早是由日本學(xué)者于20世紀(jì)六十年代末提出來的��。經(jīng)過40多年的發(fā)展���,信息化已成為各國社會發(fā)展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì)�,主要表現(xiàn)在知識性、中介性�、可轉(zhuǎn)化性、可再生性和無限應(yīng)用性��。由于其特殊性質(zhì)造成信息資源存在可能被篡改���、偽造�、竊取以及截取等安全隱患,造成信息的丟失����、泄密,甚至造成病毒的傳播�,從而導(dǎo)致信息系統(tǒng)的不安全性,給國家的信息化建設(shè)帶來不利影響��。因此����,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內(nèi)容:真實性�����,保證信息的來源真實可靠����;機密性,信息即使被截獲也無法理解其內(nèi)容��;完整性����,信息的內(nèi)容不會被篡改或破壞���;可用性,能夠按照用戶需要提供可用信息���;可控性,對信息的傳播及內(nèi)容具有控制能力����;不可抵賴性,用戶對其行為不能進行否認(rèn)�����;可審查性���,對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段�����。與傳統(tǒng)的安全問題相比����,基于網(wǎng)絡(luò)的信息安全有一些新的特點:
一是由于信息基礎(chǔ)設(shè)施的固有特點導(dǎo)致的信息安全的脆弱性。由于因特網(wǎng)與生俱來的開放性特點�,從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開放性的特點,通過網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的��、開放的�,而不是封閉的、保密的����。這種先天的技術(shù)弱點導(dǎo)致網(wǎng)絡(luò)易受攻擊。
二是信息安全問題的易擴散性�����。信息安全問題會隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴大�����。由于因特網(wǎng)的龐大系統(tǒng)���,造成了病毒極易滋生和傳播�����,從而導(dǎo)致信息危害�。
三是信息安全中的智能性、隱蔽性特點�����。傳統(tǒng)的安全問題更多的是使用物理手段造成的破壞行為�,而網(wǎng)絡(luò)環(huán)境下的安全問題常常表現(xiàn)為一種技術(shù)對抗,對信息的破壞���、竊取等都是通過技術(shù)手段實現(xiàn)的。而且這樣的破壞甚至攻擊也是“無形”的�,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失���,甚至不留任何痕跡�����,給偵破和定罪帶來困難�����。
信息安全威脅主要來源于自然災(zāi)害�����、意外事故���;計算機犯罪�;人為錯誤��,比如使用不當(dāng)�����,安全意識差等����;“黑客”行為;內(nèi)部泄密��;外部泄密���;信息丟失����;電子諜報�����,比如信息流量分析、信息竊取等�;信息戰(zhàn);網(wǎng)絡(luò)協(xié)議自身缺陷����,等等。
二�����、我國信息化中的信息安全問題
近年來��,隨著國家宏觀管理和支持力度的加強���、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進行、對國際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素���,我國在信息安全管理上的進展是迅速的�����。但是����,由于我國的信息化建設(shè)起步較晚,相關(guān)體系不完善�����,法律法規(guī)不健全等諸多因素�����,我國的信息化仍然存在不安全問題�。
1、信息與網(wǎng)絡(luò)安全的防護能力較弱��。我國的信息化建設(shè)發(fā)展迅速�����,各個企業(yè)紛紛設(shè)立自己的網(wǎng)站����,特別是“政府上網(wǎng)工程”全面啟動后,各級政府已陸續(xù)設(shè)立了自己的網(wǎng)站���,但是由于許多網(wǎng)站沒有防火墻設(shè)備�、安全審計系統(tǒng)��、入侵監(jiān)測系統(tǒng)等防護設(shè)備,整個系統(tǒng)存在著相當(dāng)大的信息安全隱患����。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報告稱,在網(wǎng)絡(luò)黑客攻擊的國家中����,中國是最大的受害國。
2�����、對引進的國外設(shè)備和軟件缺乏有效的管理和技術(shù)改造��。由于我國信息技術(shù)水平的限制��,很多單位和部門直接引進國外的信息設(shè)備����,并不對其進行必要的監(jiān)測和改造�,從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機。3�����、我國基礎(chǔ)信息產(chǎn)業(yè)薄弱,核心技術(shù)嚴(yán)重依賴國外�,缺乏自主創(chuàng)新產(chǎn)品,尤其是信息安全產(chǎn)品���。我國信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來自國外���,這使我國的網(wǎng)絡(luò)安全性能大大減弱,被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”���。由于缺乏自主技術(shù)����,我國的網(wǎng)絡(luò)處于被竊聽���、干擾��、監(jiān)視和欺詐等多種信息安全威脅中��,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)��。
4��、信息犯罪在我國有快速發(fā)展趨勢�����。除了境外黑客對我國信息網(wǎng)絡(luò)進行攻擊�����,國內(nèi)也有部分人利用系統(tǒng)漏洞進行網(wǎng)絡(luò)犯罪����,例如傳播病毒、竊取他人網(wǎng)絡(luò)銀行賬號密碼等�。
5、在研究開發(fā)����、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)�、隊伍建設(shè)等方面與迅速發(fā)展的形勢極不適應(yīng)。
造成以上問題的相關(guān)因素在于:首先���,我國的經(jīng)濟基礎(chǔ)薄弱,在信息產(chǎn)業(yè)上的投入還是不足�,尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識。其次,全民信息安全意識淡薄����,警惕性不高。大多數(shù)計算機用戶都曾被病毒感染過�����,并且病毒的重復(fù)感染率相當(dāng)高��。
除此之外���,我國目前信息技術(shù)領(lǐng)域的不安全局面�,也與西方發(fā)達國家對我國的技術(shù)輸出進行控制有關(guān)�。
三、相關(guān)解決措施
針對我國信息安全存在的問題���,要實現(xiàn)信息安全不但要靠先進的技術(shù)�����,還要有嚴(yán)格的法律法規(guī)和信息安全教育�����。
1��、加強全民信息安全教育��,提高警惕性��。從小做起��,從己做起�����,有效利用各種信息安全防護設(shè)備�����,保證個人的信息安全��,提高整個系統(tǒng)的安全防護能力����,從而促進整個系統(tǒng)的信息安全。
2��、發(fā)展有自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)����,加大信息產(chǎn)業(yè)投入。增強自主創(chuàng)新意識�����,加大核心技術(shù)的研發(fā)����,尤其是信息安全產(chǎn)品,減小對國外產(chǎn)品的依賴程度��。
3����、創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國信息安全的法規(guī)體系��,制定相關(guān)的法律法規(guī)�,例如信息安全法、數(shù)字簽名法���、電子信息犯罪法��、電子信息出版法��、電子信息知識產(chǎn)權(quán)保護法��、電子信息個人隱私法�����、電子信息進出境法等�����,加大對網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度�����,對其進行嚴(yán)厲的懲處�。
4、高度重視信息安全基礎(chǔ)研究和人才的培養(yǎng)��。為了在高技術(shù)環(huán)境下發(fā)展自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)�����,應(yīng)大力培養(yǎng)信息安全專業(yè)人才��,建立信息安全人才培養(yǎng)體系�����。
5、加強國際防范���,創(chuàng)造良好的安全外部環(huán)境。由于網(wǎng)絡(luò)與生俱有的開放性�����、交互性和分散性等特征���,產(chǎn)生了許多安全問題�����,要保證信息安全���,必須積極參與國際合作,通過吸收和轉(zhuǎn)化有關(guān)信息網(wǎng)絡(luò)安全管理的國際法律規(guī)范��,防范來自世界各地的黑客入侵���,加強信息網(wǎng)絡(luò)安全��。
篇5
鐵路投產(chǎn)運行的信息系統(tǒng)很多�,有的系統(tǒng)按照等級保護要求確定了安全等級并建立了安全系統(tǒng);有的系統(tǒng)在設(shè)計中考慮了安全等級����,但在建設(shè)過程中并未按設(shè)計要求實施安全方案;還有的系統(tǒng)沒有考慮安全措施�����。針對鐵路信息系統(tǒng)投產(chǎn)運行后的實際情況�,鐵路總公司有必要組織內(nèi)外部測評隊伍,根據(jù)國家和總公司對信息安全的建設(shè)要求��,對信息系統(tǒng)開展技術(shù)和管理兩方面的現(xiàn)狀評估���,檢查信息系統(tǒng)在物理安全���、網(wǎng)絡(luò)安全、主機安全�����、應(yīng)用安全、數(shù)據(jù)安全以及安全管理上與相應(yīng)安全等級標(biāo)準(zhǔn)的差距�,進行差距分析,提出建設(shè)整改意見���。
2安全等級測評
在信息系統(tǒng)等級保護安全建設(shè)完成和投產(chǎn)之前��,首先組織內(nèi)部測評隊伍對安全建設(shè)情況進行效果測評���,發(fā)現(xiàn)不符合性提出整改建議。內(nèi)部測評結(jié)束及整改驗收后���,再聘請有第三方測評資質(zhì)的測評機構(gòu)進行等級測評,驗證與國家及行業(yè)等級保護標(biāo)準(zhǔn)的符合性����。通過總公司內(nèi)部和專業(yè)測評機構(gòu)的兩級測評,可有效地推進國家及行業(yè)信息安全標(biāo)準(zhǔn)在全路的落實完善����。按照GB/T22239-2008《信息安全技術(shù)—信息系統(tǒng)安全等級保護基本要求》中的等級測評要求,信息系統(tǒng)在運行過程中����,等級保護測評工作要定期開展,其中三級系統(tǒng)每年要測評一次,四級系統(tǒng)每半年要測評一次����。根據(jù)該要求,結(jié)合每年鐵路安全大檢查工作的需要�����,制定每年的安全大檢查計劃��,組織內(nèi)外部專業(yè)測評隊伍�,對三級及以上的信息系統(tǒng)開展安全等級測評工作。
3安全建設(shè)整改
3.1機房物理環(huán)境整改
按照《鐵路行業(yè)信息機房設(shè)計及建設(shè)規(guī)范》�����、《鐵路行業(yè)信息機房管理規(guī)范》的要求�,完善機房環(huán)境、設(shè)備管理���、電源管理�、安全管理和資料管理���,并從防雷�、防火、防水����、防靜電、防盜竊����、防破壞、電力供應(yīng)���、機房電源及環(huán)境監(jiān)控等方面對機房環(huán)境進行改造�����。
3.2安全域劃分
按照《鐵路行業(yè)信息系統(tǒng)安全體系總體設(shè)計方案》,根據(jù)信息系統(tǒng)的安全等級����,采用交換機劃分VLAN、設(shè)置訪問控制策略���、部署防火墻等技術(shù)措施對信息系統(tǒng)進行安全域劃分�。
3.3邊界網(wǎng)絡(luò)防護
明確總公司信息網(wǎng)絡(luò)���、業(yè)務(wù)專網(wǎng)和互聯(lián)網(wǎng)的網(wǎng)絡(luò)邊界��,對網(wǎng)絡(luò)邊界部署內(nèi)����、外部網(wǎng)絡(luò)訪問控制策略、入侵檢測等多項防護措施���,并加強網(wǎng)絡(luò)邊界的監(jiān)測�。
3.4主機安全加固
遵照《鐵路行業(yè)信息系統(tǒng)安全加固實施指南》����,通過配置安全策略、安裝安全補丁�����、修補系統(tǒng)漏洞���、強化身份鑒別等方法對各類主機設(shè)備的操作系統(tǒng)��、數(shù)據(jù)庫����、中間件等及時進行策略配置和加固。
3.5應(yīng)用及數(shù)據(jù)安全防護
依照國家和行業(yè)標(biāo)準(zhǔn)�����,從用戶身份認(rèn)證�����、訪問控制����、數(shù)據(jù)加密、容錯能力����、日志審計等方面進行應(yīng)用系統(tǒng)安全改造和建設(shè)。在數(shù)據(jù)安全防護方面�,采用有效的數(shù)據(jù)備份策略對重要數(shù)據(jù)進行定期和增量備份,采用安全移動存儲介質(zhì)進行必要的數(shù)據(jù)交換�����。
3.6強化信息安全隊伍建設(shè)
從安全管理�����、運行���、監(jiān)督���、技術(shù)支持等方面加強行業(yè)內(nèi)信息安全隊伍建設(shè),確保安全責(zé)任落實�。做好總公司、鐵路局兩級和一線服務(wù)�、二線運維、三線技術(shù)支持安全運維服務(wù)隊伍��,負(fù)責(zé)各系統(tǒng)日常安全運行維護工作��。
3.7完善信息安全管理工作
為切實做好信息安全管理工作����,總公司需要結(jié)合信息安全管理體系建設(shè)項目,以等級保護為抓手�����,將等級保護與信息安全日常管理緊密結(jié)合���,將信息安全管理全面納入鐵路運輸安全生產(chǎn)管理體系�,按照“誰主管誰負(fù)責(zé)、誰運行誰負(fù)責(zé)”和屬地化管理原則���,逐級落實信息安全責(zé)任��,建立與總公司信息化發(fā)展相適應(yīng)的信息安全監(jiān)督機制����、應(yīng)急機制��、故障通報與處理機制��、事件責(zé)任追究機制和風(fēng)險管理機制����。總公司在加強信息系統(tǒng)建設(shè)管理方面�,需制定一系列的規(guī)章制度,包括《鐵路行業(yè)信息系統(tǒng)上下線管理規(guī)范》和《鐵路行業(yè)計算機應(yīng)用軟件通用安全要求》等�����,明確系統(tǒng)定級備案�����、方案設(shè)計����、產(chǎn)品采購使用、密碼使用�����、軟件開發(fā)�����、驗收交付���、等級測評����、安全服務(wù)等管理內(nèi)容����。
4安全措施落實
4.1建立鐵路信息系統(tǒng)安全技術(shù)體系
研究建立“一個中心(安全管理中心),三重防護(計算環(huán)境�、區(qū)域邊界、信息網(wǎng)絡(luò))”的鐵路信息系統(tǒng)安全縱深防護和主動防御的技術(shù)體系��,按總公司、鐵路局��、站段三級管理模式和信息系統(tǒng)運輸生產(chǎn)專網(wǎng)���、內(nèi)部服務(wù)網(wǎng)��、外部服務(wù)網(wǎng)三網(wǎng)的特點����,實現(xiàn)運輸組織及客貨營銷類信息系統(tǒng)“分級分區(qū)��、專網(wǎng)專用��、橫向隔離���、縱向認(rèn)證”的安全策略�����,經(jīng)營管理類信息系統(tǒng)“三級獨立成域���、主動防御、內(nèi)外兼防”的安全策略。
4.2建設(shè)鐵路信息安全綜合管理平臺
鐵路信息安全綜合管理平臺是為總公司及下屬單位開展與信息安全管理相關(guān)工作的綜合工作平臺���,功能將覆蓋總公司及其下屬單位的信息安全管理工作的主要內(nèi)容,并支持公安部等級保護管理工作����。平臺主要提供以下3類功能:
(1)以信息系統(tǒng)定級、備案��、整改�、測評和檢查等規(guī)定步驟為主線,實現(xiàn)等級保護工作任務(wù)的下發(fā)���、執(zhí)行����、進度監(jiān)控和督辦��;
(2)風(fēng)險管理�、應(yīng)急管理、安全檢查和事故通報等專項管理功能���;
(3)日常辦公的綜合管理�����、培訓(xùn)教育�����、標(biāo)準(zhǔn)管理等�。
4.3建設(shè)鐵路信息安全一體化運行監(jiān)控平臺
鐵路信息安全一體化運行監(jiān)控平臺是集綜合網(wǎng)管、應(yīng)用防護����、IT運維、機房監(jiān)控為一體的信息系統(tǒng)安全運行監(jiān)控管理平臺�����,實現(xiàn)網(wǎng)絡(luò)監(jiān)控�、主機監(jiān)控、機房監(jiān)控��、邊界防御��、桌面終端安全的全方位監(jiān)控功能�����。
4.4開展國產(chǎn)化和自主可控技術(shù)研究
在信息安全越來越重視國產(chǎn)化的大技術(shù)背景下,開展鐵路行業(yè)的信息安全國產(chǎn)化和自主可控技術(shù)的研究尤為重要�。在國產(chǎn)化方面,緊緊圍繞鐵路網(wǎng)絡(luò)安全自主可控戰(zhàn)略目標(biāo)�,根據(jù)國產(chǎn)產(chǎn)品成熟情況,結(jié)合鐵路業(yè)務(wù)發(fā)展�、業(yè)務(wù)需求,按照“統(tǒng)籌規(guī)劃�、分步實施�����,應(yīng)用牽引��、平臺重構(gòu)��,項目推動���、政策保障”的工作思路����,采取“直接采用���、對等替換�、平臺替換”技術(shù)策略,進行信息系統(tǒng)國產(chǎn)化改造和構(gòu)建鐵路信息安全等級保護技術(shù)體系的積極探索�。在自主可控方面,通過統(tǒng)一標(biāo)準(zhǔn)����、自主研發(fā)、自主實施���、產(chǎn)權(quán)管理���、風(fēng)險評估、安全測評��、安全管控��、安全巡檢等手段實現(xiàn)信息系統(tǒng)全生命周期各階段的安全可控�����。
4.5開展基于云計算的安全技術(shù)探索
云計算已成為信息技術(shù)的重要發(fā)展方向����,建立鐵路云應(yīng)用平臺將對鐵路信息化應(yīng)用技術(shù)產(chǎn)生深遠(yuǎn)影響。云計算環(huán)境下的信息安全問題是信息安全技術(shù)領(lǐng)域面臨的一個新課題��,在開展鐵路云應(yīng)用平臺研究的同時,同步開展云安全應(yīng)用技術(shù)的研究和探索���,使基于云計算的鐵路應(yīng)用平臺在設(shè)計����、建設(shè)�、投產(chǎn)3個環(huán)節(jié)將信息安全同步納入。
4.6建立鐵路信息安全評測體系與技術(shù)督查體系
采用安全檢查��、風(fēng)險評估����、內(nèi)外評測��、安全運維等管理和技術(shù)手段���,建立有效的安全測評與技術(shù)督查體系�����。通過在重要時間節(jié)點(如春運����、暑運等)開展安全檢查和自查工作,使路局����、站段管理人員保持安全意識;按照等級保護標(biāo)準(zhǔn)要求定期開展風(fēng)險評估��、等級評測等工作��,確保等級保護安全手段能貫穿重要信息系統(tǒng)的始終�����;通過完善鐵路兩級三線安全運維服務(wù)體系�,建立總公司、鐵路局兩級信息安全技術(shù)督查工作機制����,將信息安全技術(shù)和管理有機結(jié)合起來,實現(xiàn)安全管理����、運維、督辦相輔相成����、相互監(jiān)督的局面�����。
4.7等級保護示范工程仿真實驗環(huán)境及試點工程建設(shè)
篇6
港口信息安全保障應(yīng)貫穿在港口信息系統(tǒng)的整個生命周期中���。港口信息安全保障的工作者應(yīng)針對港口信息系統(tǒng)的發(fā)展特點,通過對港口信息系統(tǒng)的風(fēng)險分析�����,制定并執(zhí)行相應(yīng)的安全保障策略����,從多角度、多層面提出港口信息安全保障要求�����,確保港口信息系統(tǒng)的保密性����、完整性和可用性��,將安全風(fēng)險降至最低或可接受的程度���。港口信息化發(fā)展重點主要在于對外的數(shù)據(jù)交換和服務(wù)����。港口信息安全風(fēng)險主要來自于港口信息系統(tǒng)自身存在的漏洞和系統(tǒng)外部的威脅。為最大化控制該風(fēng)險���,港口信息系統(tǒng)安全保障工作者應(yīng)在信息安全保障策略體系的指導(dǎo)下�,設(shè)計并實現(xiàn)港口信息安全評價體系架構(gòu)或模型����,港口信息安全評價體系的制定應(yīng)反映港口企業(yè)對信息系統(tǒng)安全保障及其目標(biāo)的理解,其制定和貫徹執(zhí)行對信息系統(tǒng)安全保障起著綱領(lǐng)性指導(dǎo)作用�����。港口信息安全評價體系應(yīng)選用一種折中的機制����,在有限資源前提下實現(xiàn)最優(yōu)選擇。防范不足會造成直接的損失�����,防范過多又會造成間接的損失,在解決或預(yù)防安全問題時�����,要從經(jīng)濟����、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍�。從現(xiàn)代港口企業(yè)信息安全保障工作者的視角出發(fā),其工作層面無外乎對港口信息安全保障的戰(zhàn)略管理�����、常態(tài)監(jiān)管和應(yīng)急響應(yīng)����。戰(zhàn)略管理體現(xiàn)其信息安全戰(zhàn)略的先進性,表現(xiàn)在港口企業(yè)對信息安全戰(zhàn)略規(guī)劃的制定情況�、港口信息安全管理部門的戰(zhàn)略地位和港口企業(yè)對信息安全工作的資金保障力度等。這些評價能反映港口企業(yè)對信息安全的重視程度�����,預(yù)見港口企業(yè)信息安全工作未來的發(fā)展前景����。常態(tài)監(jiān)管主要指港口信息安全戰(zhàn)略的具體執(zhí)行情況,包括基于對港口業(yè)務(wù)風(fēng)險的認(rèn)識���,建立�����、實施���、操作、監(jiān)視�、復(fù)查、維護和改進信息安全等一系列管理活動�����,具體表現(xiàn)為計劃活動��、目標(biāo)與原則�、人員與責(zé)任、過程與方法����、資源等諸多要素的集合。應(yīng)急響應(yīng)主要包括在一些緊急、無預(yù)測的危機下����,快速應(yīng)對、解決問題的能力�,度過危機以減少損失或者把損失降低到最低程度。
2現(xiàn)代港口信息安全評價指標(biāo)體系框架
為了讓指標(biāo)體系更加科學(xué)�����、全面�、綜合,力爭每個門類的指標(biāo)定量���、定性相結(jié)合��,筆者選用了工作層面���、保障要素、指標(biāo)類型作為現(xiàn)代港口企業(yè)信息安全保障指標(biāo)體系框架的3個維度����。
3評價指標(biāo)
按照評價指標(biāo)體系框架,采用第一維度����、第二維度、第三維度逐個相交的方式�,對各評價點進行分解,可以設(shè)計出適應(yīng)現(xiàn)代港口企業(yè)信息安全保障工作的評價指標(biāo)體系���。為了讓指標(biāo)體系更加科學(xué)�、可操作�,筆者在對上海港、黃驊港等大中型港口調(diào)研的基礎(chǔ)上�����,梳理分析����,設(shè)計出一套普適性較強的評價指標(biāo)體系。該體系能夠較客觀��、準(zhǔn)確��、全面地反映港口信息安全工作水平����,供港口企業(yè)信息安全保障工作者參考���。
4結(jié)語
1)信息安全評價體系對于現(xiàn)代港口評價信息安全保障工作的完備性,最大化降低���、控制信息安全風(fēng)險��,減少技術(shù)故障�����、網(wǎng)絡(luò)攻擊等安全問題對業(yè)務(wù)帶來的影響具有十分重要的作用����。
2)以現(xiàn)代港口企業(yè)信息安全保障工作為研究對象�����,遵循科學(xué)全面���、簡單可操作���、向?qū)栽瓌t,從工作層面�、保障要素���、指標(biāo)類型出發(fā),設(shè)計了一套三維評價指標(biāo)體系框架�,并結(jié)合國家對港口企業(yè)信息安全的相關(guān)要求���,分析出56個具體指標(biāo)����,提出了評價指標(biāo)的量化方法和計算方法���,可為港口企業(yè)信息安全自評價提供參考����。
篇7
在這個網(wǎng)絡(luò)信息時代�����,伴隨著信息化的進程的發(fā)展�,提升管理水平的重要手段就是信息,這也是企業(yè)成敗的關(guān)鍵�。而根據(jù)最新的調(diào)查結(jié)果顯示,只有不到四分之一的企業(yè)應(yīng)用了電子商務(wù)這樣關(guān)系到交易����。也就是說���,約有82%的企業(yè)對網(wǎng)站的應(yīng)用還處于初級階段———即停留在對企業(yè)形象的宣傳,對產(chǎn)品和服務(wù)信息的和對客戶資料的簡單收集�����。電子商務(wù)形勢已被現(xiàn)在的企業(yè)商務(wù)活動采用���,信息化技術(shù)已經(jīng)被企業(yè)的生產(chǎn)運作����,運輸和銷售等諸多方面加以運用�。例如,利用網(wǎng)絡(luò)收集各種原材料信息從而建立對采購有重要作用的原材料信息系統(tǒng)����,電子信息化水準(zhǔn)經(jīng)由分析系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)得到采購建議和對策得以實現(xiàn)。但還不到四分之一這一數(shù)據(jù)說明企業(yè)還未充分開發(fā)和利用商業(yè)渠道信息�。企業(yè)信息化時代已經(jīng)到來,企業(yè)應(yīng)該加快信息化的建設(shè)���。
2電子信息安全技術(shù)闡述
2.1電子信息中的加密技術(shù)為保證數(shù)據(jù)的傳送更加完整和安全��,電子信息重要使用加密技術(shù)����。對稱加密技術(shù)和非對稱加密技術(shù)是加密技術(shù)的兩種類型。對稱加密技術(shù)的實現(xiàn)經(jīng)由包括明文���、密鑰��、加密算法和解密算法這樣的五個基本成分在內(nèi)的分組機密或序列密碼。而非對稱加密技術(shù)解密和加密相對獨立�����,經(jīng)由兩把不同的密鑰進行加密和解密�����。被稱為公鑰的加密秘鑰向公眾公開��,被稱為私鑰的加密秘鑰秘密保存���,二者必須配對使用�。被傳送的加密信息經(jīng)過加密技術(shù)起到了保密作用�����。發(fā)送電子信息的過程中,所要發(fā)出的信息被發(fā)送人經(jīng)過加密秘鑰加密后發(fā)出�,如果信息在傳輸過程被竊取,他也只能拿到?jīng)]辦法沒理解的密文�����,但是密文可以被接受者用解密秘鑰進行解密����,得到明文。
2.2電子信息中的防火墻技術(shù)網(wǎng)絡(luò)技術(shù)的發(fā)展也使網(wǎng)絡(luò)安全收到了來自網(wǎng)絡(luò)黑客���,郵件炸彈以及木馬病毒的威脅�����。其網(wǎng)絡(luò)也同樣被企業(yè)的信息化以這樣的形式所威脅著以至于難以保證企業(yè)電子信息的安全���。防火墻這一保護措施在這種網(wǎng)絡(luò)極度不安全的情況下被最初采用。防火墻在阻止電腦信息被惡意篡改和防止被黑客入侵等方面也同樣在個人電腦的保護中起到了重要的作用��。
2.3電子信息中的認(rèn)證技術(shù)電子信息的認(rèn)證技術(shù)分為身份認(rèn)證和消息認(rèn)證兩種。身份認(rèn)證包括識別(明確并區(qū)分訪問者身份)以及驗證(確認(rèn)訪問者身份)��,用于對用戶身份的鑒別����。身份認(rèn)證必須在用戶訪問不公開的資源時被通過。消息認(rèn)證是用來辨別信息的真?zhèn)魏托畔⒂袥]有經(jīng)過第三方的偽造或者修改�,被用于確認(rèn)和保證信息的完整性和抗否認(rèn)性。
3企業(yè)電子信息的主要安全要素
3.1企業(yè)電子信息的機密性信息的保密工作隨著網(wǎng)絡(luò)的發(fā)展已經(jīng)變得越來越困難����。但是身為企業(yè)商業(yè)機密代表的信息其重要性也不言而喻。擺在各個企業(yè)面前的首要解決問題就是:應(yīng)當(dāng)怎樣確保自己的信息安全地在互聯(lián)網(wǎng)上傳遞而不被第三方進行竊取和篡改或者濫用和破壞���。
3.2企業(yè)電子信息的有效性現(xiàn)今,企業(yè)的信息傳遞大多采用電子的形式����,這是電子信息技術(shù)發(fā)展的必然結(jié)果。關(guān)系企業(yè)貿(mào)易能否順利進行和整個企業(yè)的經(jīng)濟利益的前提條件就是信息的有效性�����。要保證信息傳遞的有效性���,排除各類潛在的對信息有效傳遞存在威脅的因素尤為重要�����。
3.3企業(yè)電子信息的完整性對企業(yè)交易雙方都十分重要的一點是要保證交易各方的信息的完整����,因其經(jīng)營的策略被交易方的信息完整性所制約。所以企業(yè)之間進行交易的基礎(chǔ)就是防止信息在傳送的過程中丟失�����,或被隨意生成或者篡改���,保證信息的完整性�。
4企業(yè)中電子信息安全問題的解決策略
電子信息技術(shù)發(fā)展的安全性直接關(guān)系著企業(yè)以及個人發(fā)展的根本利益�,因此,我們應(yīng)該在這方面加強建設(shè)的力度���,采取有效的措施提高網(wǎng)絡(luò)信息的安全���。
4.1提高電子信息發(fā)展的安全意識
隨著社會發(fā)展的需要,各個領(lǐng)域的發(fā)展都在逐步走向智能化����,這與網(wǎng)絡(luò)信息技術(shù)的發(fā)展是息息相關(guān)的��,尤其是網(wǎng)絡(luò)技術(shù)在軍事和經(jīng)濟上的應(yīng)用更應(yīng)該引起我們的重視��,直接關(guān)系著整個國家的發(fā)展和國防的安全性�����。為此��,我們應(yīng)該清楚的認(rèn)識到電子信息安全的重要性���,樹立維護電子信息安全的意識,促進網(wǎng)絡(luò)的安全發(fā)展����。
4.2構(gòu)建企業(yè)信息安全管理體制
保證順利進行信息安全的管理,除了對各種安全技術(shù)的使用之外���,建立完善的電子信息安全管理的制度也是十分必要的。一個信息系統(tǒng)的安全被一開始建立的相關(guān)的信息管理制度所制約���。這是一般的企業(yè)中都存在的��。信息的安全性無法被保證都是因為相關(guān)的安全管理制度的問題所致����,因為這一制度的相關(guān)安全管理技術(shù)都無法被正常進行,可見一個嚴(yán)格的管理制度極度影響著信息系統(tǒng)的安全���。電子信息安全技術(shù)及其工具無法發(fā)揮相應(yīng)作用的重要原因之一就是沒有一套完善且嚴(yán)格的信息安全管理制度��。
4.3培養(yǎng)專業(yè)技術(shù)人才
我國電子信息技術(shù)的發(fā)展還存在很大的發(fā)展空間�,各方面的技術(shù)還有待提高��,因此�����,應(yīng)該進一步的進行發(fā)展和研究�����。而電子信息的發(fā)展離不開專業(yè)化�、高素質(zhì)的信息安全人才。為了提高信息技術(shù)安全發(fā)展的腳步��,我們加大對人才的培養(yǎng)力度�。通過加大對科研教育的投入���,使他們能夠擁有更高端的實驗器材以及科研資金進行技術(shù)的研究和開發(fā);同時與國際接軌�����,進行學(xué)術(shù)上的經(jīng)驗交流�����,學(xué)習(xí)優(yōu)秀的技術(shù)并應(yīng)用到我國發(fā)展的實際當(dāng)中�����,提高我國信息技術(shù)的發(fā)展水平����;加強對企業(yè)內(nèi)部人員的培訓(xùn),提高工作人員的專業(yè)水平和道德修養(yǎng)����,保證工作團隊的團結(jié)協(xié)作,為我國信息技術(shù)的發(fā)展凝聚力量��。
4.4利用企業(yè)的網(wǎng)絡(luò)條件來提供信息安全服務(wù)
很多企業(yè)的多個二級單位都在系統(tǒng)內(nèi)通過廣域網(wǎng)被聯(lián)通��,局域網(wǎng)在各單位都全部建成����,企業(yè)良好的信息安全服務(wù)是經(jīng)由優(yōu)良的網(wǎng)絡(luò)條件來提供的。技術(shù)標(biāo)準(zhǔn)����、安全公告和法規(guī)經(jīng)由企業(yè)網(wǎng)絡(luò)平臺,同時信息安全軟件下載和安全設(shè)備選擇也可通過這一平臺提供�。除此之外,企業(yè)的員工也可以利用這一平臺進行經(jīng)驗交流�����,進行信息安全的在線教育培訓(xùn)等�����。4.5定期評估和改進安全防護軟件系統(tǒng)企業(yè)的信息安全技術(shù)和應(yīng)用隨著企業(yè)的發(fā)展也在推進發(fā)展著���,伴隨技術(shù)發(fā)展�,人們對信息安全問題的認(rèn)識也在提高���。安全防護軟件系統(tǒng)———這一用來解決信息的安全問題的“解藥”也應(yīng)伴隨著信息安全問題的發(fā)現(xiàn)而定期評估和改進�����。
5總結(jié)
篇8
隨著全員信息安全意識的提高�,外匯分局信息安全工作正日益完善,但與中央網(wǎng)信辦和外匯局的要求還有一定差距�,存在一些薄弱環(huán)節(jié),主要表現(xiàn)在以下幾方面����。一是缺乏完整、成體系的信息安全制度����。外匯分局已有的制度里沒有完全涵蓋從機構(gòu)建設(shè)、人員管理到數(shù)據(jù)管理���、運維管理��、應(yīng)急管理以及教育培訓(xùn)等一系列規(guī)范的信息安全內(nèi)容��。二是人員管理方面���。人員離崗離職后沒有及時收回或變更其在相關(guān)應(yīng)用系統(tǒng)里的權(quán)限。三是網(wǎng)絡(luò)安全防護上方面。外匯分局網(wǎng)絡(luò)各區(qū)域間邊界不清晰��,缺乏必要的安全防護設(shè)備����。另外��,對內(nèi)部網(wǎng)絡(luò)的用戶管理較松�,容易發(fā)生對系統(tǒng)的非授權(quán)訪問或者冒充合法用戶訪問等問題。四是終端計算機安全防護方面��。外匯分局終端都由人民銀行科技部門統(tǒng)一管理����,統(tǒng)一下發(fā)補丁軟件,但是存在業(yè)務(wù)人員在終端機上安裝與工作無關(guān)軟件的情況����,導(dǎo)致植入病毒的幾率大大增加,為系統(tǒng)安全埋下隱患����。五是安全教育培訓(xùn)及安全檢查方面。外匯分局對于全員安全意識教訓(xùn)及專業(yè)技能培訓(xùn)比較欠缺�����,特別是對所轄中心支局業(yè)務(wù)人員的安全教育培訓(xùn)不足,安全檢查的廣度和深度也不夠�����。
二���、結(jié)合實際�,提升信息安全保障措施
外匯分局在查找出信息安全風(fēng)險隱患后�,應(yīng)結(jié)合自身實際,從管理和技術(shù)兩方面采取相應(yīng)的防護措施����。
(一)加大信息安全管理制度的體系建設(shè)
一是建立系統(tǒng)的信息安全管理制度。外匯分局應(yīng)遵循“誰主管誰負(fù)責(zé)����、誰運行誰負(fù)責(zé)”的原則,按照相關(guān)要求明確信息安全管理機構(gòu)及責(zé)任人���,制度應(yīng)涵蓋人員管理�、資產(chǎn)管理����、數(shù)據(jù)管理��、網(wǎng)絡(luò)管理�、運維管理��、應(yīng)急管理����、教育培訓(xùn)等內(nèi)容����。二是加強信息安全應(yīng)急管理。外匯分局應(yīng)制定應(yīng)急預(yù)案����,保障應(yīng)急資源,并定期或不定期地進行應(yīng)急演練�����。
(二)加強信息安全技術(shù)防護措施
一是建立良好的網(wǎng)絡(luò)安全防護措施�。針對近期的網(wǎng)絡(luò)改造工程,外匯分局應(yīng)明確各區(qū)域的網(wǎng)絡(luò)邊界���,做好邊界防護措施����,并制定制度進一步規(guī)范網(wǎng)絡(luò)用戶的操作,完善網(wǎng)絡(luò)設(shè)備的安全配置及審計措施��。二是做好應(yīng)用系統(tǒng)的安全訪問控制����。外匯分局對所有的應(yīng)用系統(tǒng),包括電子郵箱����、門戶網(wǎng)等,都應(yīng)做好用戶權(quán)限管理和劃分���。三是規(guī)范終端計算機的安全操作行為�����。主要是建立相應(yīng)制度規(guī)范業(yè)務(wù)人員操作��,并在終端上設(shè)置賬戶密碼保障安全���。針對WindowsXP停止安全服務(wù)的情況��,外匯分局應(yīng)卸載與工作無關(guān)的應(yīng)用程序����、關(guān)閉不必要的服務(wù)和端口等��,不斷加強對使用WindowsXP系統(tǒng)終端計算機的管理����。
(三)強化信息安全教育培訓(xùn)
外匯分局應(yīng)采取各種方法做好信息安全教育培訓(xùn)。除開展提高安全意識的培訓(xùn)外��,還需要加強信息安全知識及安全防護技能的培訓(xùn)����。
(四)深入開展信息安全檢查工作
