關(guān)于信息安全應(yīng)急響應(yīng)范文
時間:2023-10-12 18:02:14
導(dǎo)語:如何才能寫好一篇關(guān)于信息安全應(yīng)急響應(yīng),這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。
篇1
關(guān)鍵詞:會計信息安全 組織環(huán)境 風(fēng)險評估 監(jiān)控反饋 制度安排
中圖分類號:F23 文獻標(biāo)識碼:A 文章編號:1002-5812(2016)03-0026-04
隨著我國企業(yè)信息化的推進,會計信息化逐步由簡單的單用戶電算化應(yīng)用向復(fù)雜的深層次網(wǎng)絡(luò)化運用過渡,會計信息化系統(tǒng)也在一定程度上實現(xiàn)了由核算型向管理型的過渡。在企業(yè)會計信息化水平不斷提高的同時,作為企業(yè)重要資產(chǎn)的會計信息,其完整性、可用性、保密性等方面卻受到不同程度的挑戰(zhàn)和沖擊。如若企業(yè)會計信息安全不能得到有效保障,可能會引發(fā)相關(guān)商業(yè)機密的泄漏,嚴重的會導(dǎo)致企業(yè)失去客戶、市場,乃至核心競爭力;即便是信息系統(tǒng)的故障也會造成企業(yè)的相關(guān)業(yè)務(wù)中斷,給企業(yè)帶來資產(chǎn)與聲譽的損失。因此,為了使企業(yè)能持續(xù)不斷的發(fā)展,會計信息安全成為了企業(yè)管理越來越關(guān)注的內(nèi)容之一。
一、企業(yè)會計信息安全的影響因素
企業(yè)會計信息安全是指會計信息化環(huán)境下,會計信息處于完整性、可用性、保密性和可靠性的狀態(tài),它來自于會計數(shù)據(jù)的完整和會計數(shù)據(jù)的安全。參照國際標(biāo)準化組織和美國NSTISSC委員會對信息安全的闡述,本文認為企業(yè)會計信息安全就是為了使會計信息具有完整性、可用性、保密性和可靠性,而讓企業(yè)的會計信息和會計信息系統(tǒng)處于必要的保護之下免于未經(jīng)授權(quán)的訪問、使用、泄漏、修改和破壞,并適當(dāng)采取相應(yīng)政策、培訓(xùn)和教育以及技術(shù)等必要手段,其實質(zhì)就是扎根于企業(yè)經(jīng)營實踐活動并與企業(yè)戰(zhàn)略密切聯(lián)系的業(yè)務(wù)保障和管理問題。顯然,影響企業(yè)會計信息安全的因素必然來源于企業(yè)的生產(chǎn)經(jīng)營實踐活動,并與企業(yè)的經(jīng)營管理過程結(jié)合在一起。鑒于此,本文認為影響企業(yè)會計信息安全的因素不外乎組織環(huán)境、信息處理、風(fēng)險評估、監(jiān)控反饋、制度安排五個方面內(nèi)容。
(一)組織環(huán)境。企業(yè)組織環(huán)境是指能對企業(yè)生產(chǎn)經(jīng)營活動和決策產(chǎn)生直接影響并與企業(yè)戰(zhàn)略目標(biāo)實現(xiàn)密切相關(guān)的因素。企業(yè)會計信息安全及相關(guān)會計信息系統(tǒng)的運行都必須基于既有的企業(yè)組織環(huán)境。一般來說,企業(yè)組織環(huán)境包括企業(yè)愿景、企業(yè)戰(zhàn)略、企業(yè)文化、組織結(jié)構(gòu)、員工勝任能力以及管理者素質(zhì)、管理風(fēng)格、管理哲學(xué)等。企業(yè)組織環(huán)境對企業(yè)會計信息安全的影響作用在很大程度上取決于企業(yè)高層管理者。其原因在于,根據(jù)企業(yè)高層管理者的管理哲學(xué)與管理風(fēng)格以及由其演繹而成的組織結(jié)構(gòu)和企業(yè)文化形成了企業(yè)會計信息安全環(huán)境,并以此構(gòu)建相應(yīng)的會計信息安全管控框架,進而形成相應(yīng)的會計信息安全策略。此外,相關(guān)的企業(yè)會計信息安全管控策略若要能在企業(yè)內(nèi)部得到有效的持續(xù)的實施,也需要企業(yè)內(nèi)所有管理者和員工的共同參與,更是與管理者和員工的安全意識和職業(yè)素養(yǎng)密切相關(guān)。高層管理者負責(zé)制訂與企業(yè)組織發(fā)展方向相關(guān)以及影響整個企業(yè)戰(zhàn)略的會計信息安全管控決策;中層管理者負責(zé)將高層管理者所制訂的會計信息安全管控決策目標(biāo)轉(zhuǎn)換成為基層管理者可執(zhí)行的會計信息安全管控具體目標(biāo);基層管理者則負責(zé)直接指揮從事具體業(yè)務(wù)的相關(guān)員工進行日常業(yè)務(wù)作業(yè)。
(二)信息處理。企業(yè)會計信息處理是一個比較復(fù)雜的系統(tǒng),在這個系統(tǒng)中應(yīng)該能完整、可靠、安全地采集與企業(yè)經(jīng)營管理相關(guān)的各種會計信息,并使這些會計信息以適當(dāng)?shù)姆绞皆谄髽I(yè)有關(guān)層級及經(jīng)過適當(dāng)授權(quán)的客戶之間進行有效傳遞和正確使用。因此,在會計信息化環(huán)境下為達到上述要求,企業(yè)需要為會計信息處理系統(tǒng)配置適當(dāng)?shù)能浻布Y源。在這種情況下,企業(yè)會計信息安全問題就集中于物理硬件的可靠性和支持軟件的有效性。物理硬件通常由系統(tǒng)主機、網(wǎng)絡(luò)線路、終端電腦、附設(shè)周邊、物化防護等組成,譬如給數(shù)據(jù)加密的專用設(shè)備,添加專用防火墻的服務(wù)器,具有加密算法和多數(shù)位加密的路由等。支持軟件則主要由能實現(xiàn)會計信息采集、整理、加工、傳送、使用等功能的會計信息管理軟件構(gòu)成,當(dāng)然還包括操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、壓縮、加密算法、防病毒等相關(guān)軟件。
(三)風(fēng)險評估。風(fēng)險評估就是分析、識別和控制相關(guān)影響會計信息安全目標(biāo)實現(xiàn)的各種風(fēng)險的過程,它主要由會計信息安全的目標(biāo)設(shè)定、風(fēng)險分析、風(fēng)險識別和風(fēng)險控制等方面構(gòu)成。企業(yè)要確保其會計信息安全,則必須清楚且能應(yīng)對各種可能對其會計信息安全產(chǎn)生影響的風(fēng)險,在不斷變化的企業(yè)經(jīng)營環(huán)境中進行認真分析,識別并把握其變化規(guī)律,制訂相關(guān)的應(yīng)對措施,依據(jù)會計信息安全面臨的問題適時調(diào)整企業(yè)會計信息安全管控策略和方法。這就要求企業(yè)的會計信息安全管控策略要有更長遠的時間和更廣闊的視野來關(guān)注風(fēng)險,將風(fēng)險意識貫穿于企業(yè)會計信息安全管控的始終,不斷完善包括企業(yè)經(jīng)營理念、管理方式、管理風(fēng)格在內(nèi)的控制風(fēng)險環(huán)境。為此,企業(yè)還需要制訂相關(guān)的會計信息安全目標(biāo),并將這一目標(biāo)與企業(yè)的供應(yīng)、生產(chǎn)、銷售等經(jīng)營活動進行整合。唯有如此,才能實現(xiàn)整個企業(yè)經(jīng)營管理的協(xié)調(diào)一致。
(四)監(jiān)控反饋。企業(yè)必須制定監(jiān)控反饋的政策與程序,才能確保既定會計信息安全目標(biāo)和必要改進措施的有效實施。一方面,企業(yè)經(jīng)營環(huán)境是不斷發(fā)生變化的,企業(yè)經(jīng)營活動也隨之不斷變化。在這種情況下,唯有對企業(yè)會計信息安全管控系統(tǒng)進行必要的監(jiān)控,并在必要時加以修訂與調(diào)整,管控系統(tǒng)及相關(guān)的政策與程序才能反應(yīng)自如。另一方面,企業(yè)會計信息處理系統(tǒng)自身也會由于物理硬件或支持軟件方面的不確定因素而導(dǎo)致會計信息處理的延誤或失效。這樣,企業(yè)也需適時地對企業(yè)會計信息處理系統(tǒng)進行監(jiān)控,排除不確定因素,維護會計信息處理系統(tǒng)的有效和安全。此外,還應(yīng)考慮制定怎樣的監(jiān)控反饋政策與程序。通常,過于集權(quán)的監(jiān)控政策會導(dǎo)致因信息缺乏而引起的成本,過于分權(quán)的監(jiān)控政策則會出現(xiàn)因目標(biāo)不一致而引起的成本。鑒于此,企業(yè)對會計信息安全的監(jiān)控反饋政策與程序的選擇應(yīng)該是權(quán)衡這兩類成本,使成本之和最小。
(五)制度安排。企業(yè)會計信息安全還與企業(yè)制度安排密切相關(guān)。好的政策制度,能有效協(xié)調(diào)和激勵合意的行為,約束和懲罰不合意的行為,從而帶來良好的經(jīng)濟績效;差的政策制度,則會產(chǎn)生相反的結(jié)果。因此,企業(yè)在進行會計信息安全方面的制度安排時,需要依據(jù)會計信息安全的目標(biāo),設(shè)計出良好的管控制度,做到能有效地協(xié)調(diào)和激勵符合企業(yè)會計信息安全的行為,并能夠約束和懲罰不符合企業(yè)會計信息安全的行為,進而為企業(yè)帶來良好的會計信息安全管控效果。需要關(guān)注的是,制度安排的效果,還要與其實施的環(huán)境密切關(guān)聯(lián)。因為制度實施的環(huán)境發(fā)生了變化,就有可能使得原先實施效果很好的制度不再那么有效,甚至失效。
二、企業(yè)會計信息安全的主要風(fēng)險問題
通過上文的分析可知,企業(yè)會計信息安全受到?jīng)_擊和挑戰(zhàn)的原因很多,具體表現(xiàn)出來的風(fēng)險問題也是多樣的。但是,具體到企業(yè)管理實踐中,會計信息安全的風(fēng)險問題基本上集中于員工的會計信息安全認知、會計信息處理系統(tǒng)、風(fēng)險評估與監(jiān)控反饋的認識以及對會計信息安全管控制度的執(zhí)行等幾個方面。
(一)員工的會計信息安全認知不足?;诮M織環(huán)境方面的會計信息安全風(fēng)險問題多源于企業(yè)的員工對會計信息安全認知的不足。其原因在于,與安全有關(guān)的問題都離不開“人”這個主體因素。一方面,許多企業(yè)管理者的會計信息安全意識、安全知識和安全管理等方面存在不足。譬如,在確定企業(yè)會計信息安全管控方案時沒有對企業(yè)進行全面的自我診斷,僅是對企業(yè)的基本狀況做了一個大概了解,就直接在企業(yè)內(nèi)部實施現(xiàn)有的標(biāo)準或者其他企業(yè)或組織的成功方案。由于企業(yè)既沒有充分挖掘會計信息安全現(xiàn)狀和對會計信息安全的內(nèi)在需求,也沒有全面考慮利益相關(guān)者的利益安全需求,必然會導(dǎo)致企業(yè)對會計信息安全的實際需求與其能提供的安全管控之間存在差距。更有甚者,企業(yè)管理者對會計信息安全的支持和重視不足,導(dǎo)致企業(yè)內(nèi)部會計信息安全文化缺失和普通員工會計信息安全意識淡薄。另一方面,企業(yè)信息化的發(fā)展,使得越來越多的非財會相關(guān)崗位的普通員工也被包含到企業(yè)會計信息安全體系之中。這些員工,甚至一些財會崗位的員工,要么不完全理解會計信息安全的重要性,要么過度信賴企業(yè)會計信息安全管控方案,而不愿意把自己的精力和資源放在會計信息安全防護上,或者從根本上就認為即便對會計信息不采取安全防護措施也不一定會造成損失。當(dāng)然,也存在一些員工由于缺少必要的會計信息安全教育和培訓(xùn),根本不知道自己不遵守和執(zhí)行相關(guān)的會計信息安全管控方案會對企業(yè)帶來怎樣的不利影響。
(二)會計信息處理系統(tǒng)安全技術(shù)滯后。企業(yè)會計信息安全需求是隨著企業(yè)的生產(chǎn)經(jīng)營活動和企業(yè)所處的內(nèi)外部環(huán)境的變化而變化的。但是,很多企業(yè)并沒有意識到企業(yè)會計信息安全需求的動態(tài)變化規(guī)律,對會計信息安全管控方案依然秉承“投資一次,受用終身”的觀念,抱陳守舊。這種投資觀直接導(dǎo)致企業(yè)會計信息處理系統(tǒng)安全技術(shù)跟不上企業(yè)生產(chǎn)經(jīng)營活動和企業(yè)所處的內(nèi)外部環(huán)境的變化。具體體現(xiàn)在企業(yè)使用的會計信息處理軟件本身設(shè)計存在缺陷或技術(shù)漏洞得不到及時的完善以及殺毒軟件、防火墻等相關(guān)支持軟件不能得到及時更新;沒有隨著企業(yè)業(yè)務(wù)和環(huán)境的變化更新會計信息處理系統(tǒng)導(dǎo)致業(yè)務(wù)流程描述錯誤或漏洞、數(shù)據(jù)訪問權(quán)限設(shè)置不當(dāng)、關(guān)鍵數(shù)據(jù)備份不足等問題;以及系統(tǒng)主機、網(wǎng)絡(luò)線路、終端電腦、附設(shè)周邊、物化防護等老化損毀等。
(三)會計信息安全風(fēng)險意識薄弱與風(fēng)險評估體系缺失。當(dāng)前,不少企業(yè)員工,包括部分企業(yè)管理者,其會計信息安全風(fēng)險意識淡薄,認識不到企業(yè)會計信息安全風(fēng)險的客觀性。實際上,企業(yè)生產(chǎn)經(jīng)營活動中,風(fēng)險是客觀存在的,它是無處不在的,也是無時不在的。通常狀況下,企業(yè)所面臨的會計信息安全風(fēng)險,也與威脅企業(yè)實現(xiàn)其戰(zhàn)略目標(biāo)的相關(guān)事件密切相關(guān)。因此,企業(yè)會計信息安全風(fēng)險的評估,要求企業(yè)所有員工能對貫穿于企業(yè)方方面面的會計信息安全風(fēng)險有一個清晰的認知。尤為突出的是,很多企業(yè)并沒有形成一套有效的會計信息安全風(fēng)險評估體系來對會計信息處理系統(tǒng)進行風(fēng)險評估。會計信息安全風(fēng)險評估體系可以確定各種會計信息采集、整理、處置、披露和使用等行為的邊界,明確什么行為是可以做的,什么行為是不可以做的。如果發(fā)現(xiàn)有越界的行為,能夠及時發(fā)現(xiàn)并對其進行控制,進而使得這些越界行為造成的損失降至最低。
(四)會計信息安全監(jiān)控反饋欠佳。一般來說,企業(yè)會計信息安全監(jiān)控反饋機制可以分為三個步驟。一是對實際會計信息安全的衡量與評估;二是將實際衡量與評估的結(jié)果與企業(yè)設(shè)定的或標(biāo)準的安全目標(biāo)進行比較;三是采取必要的管控行動來糾正比較后得出的偏差與不足。顯然,會計信息安全監(jiān)控反饋過程是一個連續(xù)行動的過程,其有效性歸根結(jié)蒂取決于以上的衡量、比較與糾偏三個步驟,其中任何一個步驟或者幾個步驟低效率或不作為就會影響企業(yè)會計信息安全監(jiān)控反饋機制的有效性。但是,在現(xiàn)實的企業(yè)經(jīng)營管理實際中,由于企業(yè)員工認識不到會計信息安全監(jiān)控反饋機制是一個衡量、比較與糾偏的連續(xù)行動過程,而是過度強調(diào)這個監(jiān)控反饋機制中的某一個步驟或某幾個步驟,沒有從整個會計信息安全監(jiān)控反饋機制的全局上考慮,導(dǎo)致企業(yè)會計信息安全監(jiān)控反饋機制運行不暢,監(jiān)控反饋效果大打折扣,最終使該機制的有效性受到質(zhì)疑,動搖該機制在企業(yè)會計信息安全管控體系中的地位。
(五)會計信息安全管控制度低效。會計信息化依然是個新生事物,企業(yè)對會計信息安全管控的認知還處于初級階段,相關(guān)的制度建設(shè)尚不完善,有的還處于草創(chuàng)階段,導(dǎo)致企業(yè)日常會計事務(wù)的工作制度依然處于缺失狀態(tài),會計信息處理系統(tǒng)的使用和維護行為缺乏合理的引導(dǎo),會計信息處理設(shè)備的濫用和誤用、會計信息的不當(dāng)使用等現(xiàn)象時有發(fā)生,嚴重危害企業(yè)的會計信息安全。即便企業(yè)有相對健全的會計信息安全管控制度,若不能對相關(guān)執(zhí)行人進行必要的激勵,也難以使相關(guān)制度得到有效執(zhí)行。其原因在于任何制度都是由人來執(zhí)行的,要保證制度的執(zhí)行效果,就必須對執(zhí)行人進行激勵。激勵的目的就是當(dāng)個人的行為能促進企業(yè)目標(biāo)的實現(xiàn)時,能得到企業(yè)提供給其相應(yīng)的價值回報,把企業(yè)員工的個人行為動機與企業(yè)目標(biāo)的實現(xiàn)密切關(guān)聯(lián)起來。事實上,很多企業(yè)在信息安全管控制度的執(zhí)行過程中,并沒有設(shè)立相應(yīng)的激勵指標(biāo)來推動企業(yè)員工為企業(yè)信息安全目標(biāo)的實現(xiàn)而工作。
三、企業(yè)會計信息安全的管控建議
針對以上風(fēng)險問題,企業(yè)應(yīng)該在影響會計信息安全因素的組織環(huán)境、信息處理、風(fēng)險評估、監(jiān)控反饋、制度安排等方面強化作為。
(一)加強會計信息安全管控組織環(huán)境建設(shè)。一方面,要強化企業(yè)會計信息安全文化建設(shè),在企業(yè)內(nèi)部形成全體員工共同遵循的會計信息安全的信念、價值、意識以及經(jīng)營哲學(xué)等,以此為基礎(chǔ)設(shè)計相應(yīng)的企業(yè)會計信息安全管控制度,并提供理念支持。還可以在企業(yè)文化建設(shè)過程中,不斷強化企業(yè)會計信息安全的重要性和相關(guān)會計信息安全管制制度設(shè)計的員工參與度,以實現(xiàn)更加公平透明和執(zhí)行有效的企業(yè)會計信息安全管控文化。另一方面,要充分重視人的因素,加強企業(yè)員工的職業(yè)道德教育和業(yè)務(wù)素質(zhì)培養(yǎng),提高全體員工的職業(yè)勝任能力,充分發(fā)揮每個員工在完善企業(yè)會計信息安全管控制度方面的主觀能動性。企業(yè)還可以依據(jù)員工的工作性質(zhì)和職位安排,適宜安排企業(yè)會計信息安全教育與培訓(xùn)。對企業(yè)管理者,強化會計信息安全核心知識、技術(shù)手段、風(fēng)險管理等方面的教育與培訓(xùn);對企業(yè)普通員工,則結(jié)合其所在部門的業(yè)務(wù)特點加強會計信息安全技術(shù)手段、風(fēng)險意識等方面的教育與培訓(xùn)。這樣,就可以在企業(yè)內(nèi)部營造企業(yè)會計信息安全文化氛圍,最大程度地減少人為因素對企業(yè)會計信息安全的危害。
(二)適時更新會計信息處理系統(tǒng)安全技術(shù)。企業(yè)要遵循會計信息安全需求的動態(tài)變化規(guī)律,對會計信息安全管控方案放棄“投資一次,受用終身”的觀念,適時更新會計信息系統(tǒng)處理安全技術(shù),按照“適度防御”的原則,選擇合適的安全技術(shù)與產(chǎn)品,形成企業(yè)適用的安全技術(shù)防線。首先,適時更新會計信息處理的安全技術(shù)。在企業(yè)會計信息處理系統(tǒng)中提供包括用戶名、口令等在內(nèi)的多種身份驗證機制,必要時還需嵌入支持雙因素認證和具備登錄控制模塊,同時在會計信息處理的日常作業(yè)不受影響的情況下,控制相應(yīng)員工的訪問權(quán)限,減少可能的越權(quán)操作,保障會計信息處理系統(tǒng)的安全。其次,適時更新會計數(shù)據(jù)的安全技術(shù)。企業(yè)應(yīng)通過適時更新加密等技術(shù)手段保護會計信息處理系統(tǒng)中數(shù)據(jù)的保密性和完整性,提高會計信息數(shù)據(jù)訪問的抗依賴性。此外,還需加強相關(guān)會計信息數(shù)據(jù)的異地崩潰或者災(zāi)難恢復(fù)機制,通過實現(xiàn)本地會計信息數(shù)據(jù)能夠異地備份和復(fù)制,避免本地會計信息處理系統(tǒng)由于崩潰或者災(zāi)難等而導(dǎo)致會計信息數(shù)據(jù)遺失。再次,適時更新網(wǎng)絡(luò)安全技術(shù)。不但要適時更新系統(tǒng)掃描技術(shù)并對會計信息處理系統(tǒng)和操作系統(tǒng)層設(shè)備進行智能化檢測,幫助企業(yè)網(wǎng)絡(luò)管理人員高效完成定期檢測和操作系統(tǒng)的漏洞修復(fù),還要適時更新系統(tǒng)實時入侵探測技術(shù)來監(jiān)控主機系統(tǒng)事件,檢測可疑特征并給予響應(yīng)和處置。此外,還要適時更新在企業(yè)內(nèi)外部部署的網(wǎng)絡(luò)和信息安全設(shè)施,強化會計信息處理系統(tǒng)的物理實體管理,同時加強對漏洞掃描系統(tǒng)和入侵檢測系統(tǒng)的更新,以實現(xiàn)會計信息處理系統(tǒng)受到內(nèi)外部誤操作或各種攻擊時的實時保護。最后,適時完善物理設(shè)備的安全防護技術(shù)。不但要采取全面可靠的防火墻技術(shù)和防病毒系統(tǒng),還要針對環(huán)境的物理災(zāi)害、人為蓄意破壞甚至自然災(zāi)害采取有效的物化防護技術(shù),保障相關(guān)物理設(shè)備的安全。
(三)形成會計信息安全風(fēng)險評估體系。任何企業(yè)管理機制的構(gòu)建都是一個系統(tǒng)工程,能否構(gòu)建成功且在以后的運行中有效,關(guān)鍵是相關(guān)風(fēng)險的評估。正如管理大師德魯克所說,沒有評估就沒有管理。同樣的道理,沒有評估就不可能實現(xiàn)管理機制的構(gòu)建與施行。對會計信息安全管制機制的構(gòu)建亦是如此。為此,企業(yè)為了構(gòu)建有效的會計信息安全管理機制,就需對可能的損害企業(yè)會計信息安全的風(fēng)險進行歸集與分類,形成會計信息安全風(fēng)險評估體系。具體做法,可以采用以下三步。第一步,構(gòu)建適應(yīng)企業(yè)經(jīng)營實踐和企業(yè)會計信息安全要求的會計信息安全風(fēng)險評估目標(biāo)體系。既要根據(jù)會計信息的完整性、可用性、保密性和可靠性設(shè)置會計信息安全的一般目標(biāo),又要根據(jù)會計信息安全管控環(huán)節(jié)設(shè)置具體目標(biāo),譬如會計信息安全管控業(yè)務(wù)執(zhí)行的有效性、及時性、正確性等。第二步,按照會計信息處理的授權(quán)管理、崗位牽制、資源接觸等安全管控類型,分析并得出會計信息處理業(yè)務(wù)流程和各部門的關(guān)鍵風(fēng)險控制點和一般風(fēng)險控制點。最后,根據(jù)上述風(fēng)險控制點設(shè)置相應(yīng)的會計信息安全管控評估指標(biāo),并對每個指標(biāo)進行具體說明,且給出這些指標(biāo)的評估方法和評分標(biāo)準。
(四)推行企業(yè)全面信息安全監(jiān)控反饋機制。會計信息安全管控不應(yīng)該僅僅是涉及到會計信息這樣一個狹小的范疇,而應(yīng)該是一個綜合的概念,要把企業(yè)的經(jīng)營環(huán)境、愿景理念、組織領(lǐng)導(dǎo)、戰(zhàn)略計劃等綜合起來考慮。既要認識到現(xiàn)代企業(yè)中會計信息安全管控的重要性,也要能從會計信息安全的管控上升到企業(yè)信息安全管控,推行企業(yè)全面信息安全監(jiān)控反饋機制,實現(xiàn)企業(yè)全面信息安全管控,并使之成為企業(yè)的管理哲學(xué)。首先,要做到內(nèi)容方式的全面性。不僅要著眼于會計信息安全的管控,還要能從企業(yè)戰(zhàn)略的高度審視和評估會計信息安全管控,更要注重各種安全技術(shù)和方法的綜合使用,確保能實現(xiàn)從單純的會計信息安全管控向企業(yè)全面信息安全管控轉(zhuǎn)變。其次,要做到管控過程的全面性。要把會計信息安全管控作為核心貫穿到整個企業(yè)經(jīng)營過程中,即從市場調(diào)查、產(chǎn)品開發(fā)、生產(chǎn)銷售等環(huán)節(jié)延續(xù)到產(chǎn)品售后都要實行相應(yīng)的會計信息安全管控,確保會計信息從靜態(tài)安全管控向動態(tài)安全管控轉(zhuǎn)變,進而實現(xiàn)會計信息的保護、檢測、反應(yīng)和恢復(fù)協(xié)調(diào)一致。最后,要做到管控人員的全面性。即要求包括企業(yè)高管、其他管理人員、工程技術(shù)人員和普通員工在內(nèi)的全體員工都要參與到全面信息安全管控中,各司其職,對會計信息安全負責(zé)。
(五)強化會計信息安全管控制度安排。強化企業(yè)會計信息安全管控制度建設(shè),不外乎制度本身的完善和既有制度的有效執(zhí)行。會計信息安全管控制度的完善,就是建立一套完善的會計信息安全管控制度。這既是會計信息本身安全的基礎(chǔ),也是會計信息安全管控的前提。完善的會計信息安全管控制度至少應(yīng)該包括會計信息處理系統(tǒng)的開發(fā)或選購、使用、維護和應(yīng)急制度,以及機房和終端等會計信息處理系統(tǒng)物理實體管理制度、會計信息數(shù)據(jù)的使用制度、會計信息數(shù)據(jù)備份制度、會計信息安全風(fēng)險評估制度、會計信息安全審計制度等,實現(xiàn)從會計信息數(shù)據(jù)采集整理到會計信息數(shù)據(jù)使用備份的會計信息處理全程制度無縫構(gòu)建,并隨著企業(yè)經(jīng)營環(huán)境的變化適時更新和完善。而既有會計信息安全管控制度的有效執(zhí)行,則需充分重視企業(yè)員工績效考核制度。恰當(dāng)在企業(yè)員工的績效考核中納入企業(yè)會計信息安全評估的內(nèi)容,使其獲得報酬的變量和風(fēng)險密切關(guān)聯(lián)于企業(yè)會計信息安全。這樣就可以保證企業(yè)員工在會計信息安全管控制度的執(zhí)行方面上,能夠基于企業(yè)的長期利益,而不是其個人利益,進而實現(xiàn)既有會計信息安全制度的有效執(zhí)行。
四、結(jié)束語
企業(yè)會計信息安全對企業(yè)生產(chǎn)經(jīng)營活動的可持續(xù)發(fā)展以及對市場經(jīng)濟的建立健全等方面的作用是不容置疑的。但是,也要看到我國關(guān)于企業(yè)會計信息安全乃至整個企業(yè)信息安全管控實踐和研究的起步較晚,與發(fā)達市場經(jīng)濟國家在初始條件和實踐能力方面還存在一定程度的差距。這是我國企業(yè)在進行會計信息安全管控時所必須要考慮到的一個基本現(xiàn)實。因此,本文認為企業(yè)會計信息化安全管控,既是一個不斷發(fā)現(xiàn)問題和解決問題的過程,也是一個不斷迎接挑戰(zhàn)和接受沖擊的過程。
參考文獻:
[1]張紅旗,王新昌,楊英杰等.信息安全管理[M].北京:人民郵電出版社,2007.
[2]胡英松.信息化會計信息安全問題研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(社會科學(xué)版),2009,(4):83-85.
[3]ISO.ISO/IEC27002:2005[EB/OL].[2015-08-17].https:///obp/ui/#iso:std:iso-iec:27002:ed-1:v1:en.
[4]NSTISSC.Trusted Computer System Evaluation Criteria[EB/OL].[2015-08-17].Available online,http://csrc.nist.ov/publications/history/dod85.pdf
[5]梅雨.企業(yè)財務(wù)監(jiān)控問題解析[J].中國管理信息化,2009,(9):48-50.
[6]Schultz E.The Human Factor in Security[J].Computers and Security,2005,24(6):425-426.
篇2
論文摘要:作為未來最適應(yīng)時代要求的政府工作形態(tài),電子政務(wù)建設(shè)是我國當(dāng)前信息化工作的重,點,未來政府辦會發(fā)展的趨勢。本文探論了綜合電子政務(wù)平臺的棍念、結(jié)構(gòu)和相關(guān)技術(shù),分析了電子政務(wù)所面臨的安全威脅,并提出了相應(yīng)的解決方案。
1綜合電子政務(wù)平臺概述
電子政務(wù)是指政府機構(gòu)應(yīng)用信息技術(shù)提高政府事務(wù)處理的信息流效率,對政府機構(gòu)和職能進行優(yōu)化,改善政府組織和公共管理能力。通常由核心網(wǎng)絡(luò)、接人網(wǎng)絡(luò)及訪問網(wǎng)絡(luò)三部分組成。建設(shè)內(nèi)容一般包括:電子政務(wù)網(wǎng)絡(luò)平臺、政府門戶網(wǎng)站、電子政務(wù)主站點、“一站式”行政審批系統(tǒng)、視頻會議系統(tǒng)、公文交換和信息報送系統(tǒng)、電子郵件系統(tǒng)、辦公自動化系統(tǒng)等。
電子政務(wù)網(wǎng)絡(luò)平臺網(wǎng)絡(luò)結(jié)構(gòu)中,核心網(wǎng)絡(luò)擁有重要的信息資源,并處理政府部門間的核心業(yè)務(wù)。政府部門間的數(shù)據(jù)交換流程是閉環(huán)的,即任何一個節(jié)點既是用戶又是數(shù)據(jù)源。因此,核心網(wǎng)絡(luò)節(jié)點之間的業(yè)務(wù)流程應(yīng)該是高速、嚴密、安全的,并且有嚴格的審核機制。核心網(wǎng)絡(luò)與接人網(wǎng)絡(luò)形成上下級關(guān)系的協(xié)同工作平臺,進行信息、數(shù)據(jù)的交換。它們之間的信息往來必須具備信任安全體系。政府核心網(wǎng)絡(luò)面向社會公眾提供信息服務(wù),對外宣傳政府信息,與訪問網(wǎng)絡(luò)建立連接。
2綜合電子政務(wù)平臺的安全風(fēng)險
2.1網(wǎng)絡(luò)安全域的劃分和控制問題
電子政務(wù)中的信息涉及國家秘密、國家安全,因此它需要絕對的安全。但是同時電子政務(wù)現(xiàn)在很重要的發(fā)展方向是要為社會提供行政監(jiān)管的渠道,為社會提供公共服務(wù),如社保醫(yī)保、大量的公眾咨詢、投訴等等,它同時又需要一定程度的開放。因此如何合理地劃分安全域顯得非常重要。
2.2內(nèi)部監(jiān)控、審核問題
目前絕大部分單位都沒有系統(tǒng)可以實時地對內(nèi)部人員除個人隱私以外的各項具體操作進行監(jiān)控和記錄,更不用談對一些非法操作進行屏蔽和阻斷了。
2.3電子政務(wù)的信任體系問題
電子政務(wù)要做到比較完善的安全保障體系,第三方認證是必不可少的。只有通過一定級別的第三方認證,才能說建立了一套完善的信任體系。
2 .4數(shù)字簽名(簽發(fā))問題
在電子政務(wù)中,要真正實行無紙化辦公,很重要的一點是實現(xiàn)電子公文的流轉(zhuǎn),而在這之中,數(shù)字簽名(簽發(fā))問題又是重中之重。
2.5電子政務(wù)的災(zāi)難響應(yīng)和應(yīng)急處理問題
很多單位在進行網(wǎng)絡(luò)規(guī)劃的時候,沒有考慮到作為系統(tǒng)核心部分一一數(shù)據(jù)庫本身的安全問題,完全依賴干整個網(wǎng)絡(luò)的防護能力,一旦網(wǎng)絡(luò)的安全體系被穿破或者直接由內(nèi)部人員利用內(nèi)網(wǎng)用戶的優(yōu)勢進行破壞,“數(shù)據(jù)”可以說無任何招架之力
3綜合電子政務(wù)平臺安全體系建設(shè)方案
3 .1技術(shù)保障體系
技術(shù)保障體系是安全管理體系的重要組成部分。它涉及兩個層面的問題,一是信息安全的核心技術(shù)和基本理論的研究與開發(fā),二是信息安全產(chǎn)品和系統(tǒng)構(gòu)建綜合防護系統(tǒng)。
信息安全技術(shù)。信息安全的核心技術(shù)主要包括數(shù)據(jù)加密技術(shù)、信息隱藏技術(shù)和信息認證技術(shù)。數(shù)據(jù)加密是把有意義的信息編碼為偽隨機性的亂碼,以實現(xiàn)信息保護的目的。數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串,這段數(shù)字串同時也是對發(fā)送者信息真實性的證明。
信息安全防護體系。目前,主要的信息安全的產(chǎn)品和系統(tǒng)包括防病毒軟件、防火墻、入侵檢測系統(tǒng)、漏洞掃描、安全審計系統(tǒng)、物理隔離系統(tǒng)等。我們可采用屏蔽子網(wǎng)體系結(jié)構(gòu)保證核心網(wǎng)絡(luò)的安全。屏蔽子網(wǎng)體系結(jié)構(gòu)通過添加額外的安全層到被屏蔽主機體系結(jié)構(gòu),即通過添加周邊網(wǎng)絡(luò)更進一步地把內(nèi)部網(wǎng)絡(luò)與internet隔離開。在這種結(jié)構(gòu)下,即使攻破了堡壘主機,也不能直接侵人內(nèi)部網(wǎng)絡(luò),它將仍然必須通過內(nèi)部路由器。
3.2運行管理體系
安全行政管理。電子政務(wù)的安全行政管理應(yīng)包括建立安全組織機構(gòu)、安全人事管理、制定和落實安全制度。
安全技術(shù)管理。電子政務(wù)的安全技術(shù)管理可以從三個方面著手:硬件實體、軟件系統(tǒng)、密鑰。
風(fēng)險管理。風(fēng)險管理是對項目風(fēng)險的識別、分析和應(yīng)對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。
3.3社會服務(wù)體系
安全管理服務(wù)。目前,一些信息安全管理服務(wù)提供商(managed security service providers, mssp)正在逐步形成,它們有的是專門從事安全管理服務(wù)達到增值目的的,有的是一些軟件廠商為彌補其軟件系統(tǒng)的不足而附加一些服務(wù)的,有的是一些從it集成或咨詢商發(fā)展而來提供信息安全咨詢的。
安全測評服務(wù)。測評認證的實質(zhì)是由一個中立的權(quán)威機構(gòu),通過科學(xué)、規(guī)范、公正的測試和評估向消費者、購買者即需方,證實生產(chǎn)者或供方所提供的產(chǎn)品和服務(wù),符合公開、客觀和先進的標(biāo)準。
應(yīng)急響應(yīng)服務(wù)。應(yīng)急響應(yīng)是計算機或網(wǎng)絡(luò)系統(tǒng)遇到安全事件如黑客人侵、網(wǎng)絡(luò)惡意攻擊、病毒感染和破壞等時,所能夠提供的緊急的響應(yīng)和快速的救援與恢復(fù)服務(wù)。
3.4基礎(chǔ)設(shè)施平臺
法規(guī)基礎(chǔ)建設(shè)。主要有以下幾方面:在國家憲法和各部門法中對各類法律主體的有關(guān)信息活動涉及國家安全的權(quán)利和義務(wù)進行規(guī)范,形成國家關(guān)于信息及信息安全的總則性、普適性的法規(guī)體系;針對各類計算機和網(wǎng)絡(luò)犯罪,制訂直接約束各社會成員的信息活動的行為規(guī)范,形成計算機、網(wǎng)絡(luò)犯罪監(jiān)察嶼防范體系;對信息安全技術(shù)、信息安全產(chǎn)品(系統(tǒng))的授權(quán)審批應(yīng)制訂相應(yīng)的規(guī)定,形成信息安全審批與監(jiān)控體系;針對信息內(nèi)容的安全與保密問題,制訂相應(yīng)規(guī)定,形成信息內(nèi)容的審批、監(jiān)控、保密體系;從國家安全的角度,制訂網(wǎng)絡(luò)信息預(yù)警與反擊體系等。
篇3
一、自查情況
(一)安全制度落實情況
一是成立了信息系統(tǒng)安全小組。明確了信息安全的主管領(lǐng)導(dǎo)和具體負責(zé)管護人員,負責(zé)局信息系統(tǒng)安全監(jiān)督管理;二是建立了信息系統(tǒng)安全責(zé)任制。按責(zé)任規(guī)定:安全小組對信息安全負首責(zé),主管領(lǐng)導(dǎo)負總責(zé),具體管理人負主責(zé);三是制定了計算機及網(wǎng)絡(luò)的保密管理制度。局網(wǎng)站的信息管護人員負責(zé)保密管理,密碼管理,對計算機享有獨立使用權(quán),計算機的用戶名和開機密碼為其專有,且規(guī)定嚴禁外泄。
(二)安全防范措施落實情況
一是計算機經(jīng)過了保密技術(shù)檢查,并安裝了防火墻。同時配置安裝了專業(yè)殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性;二是計算機都設(shè)有開機密本文來源:文秘站 碼,由專人保管負責(zé)。同時,計算機相互共享之間設(shè)有嚴格的身份認證和訪問控制;三是網(wǎng)絡(luò)終端沒有違規(guī)上國際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象,沒有安裝無線網(wǎng)絡(luò)等;四是安裝了針對移動存儲設(shè)備的專業(yè)殺毒軟件。
(三)應(yīng)急響應(yīng)機制建設(shè)情況
一是制定了初步應(yīng)急預(yù)案,并隨著信息化程度的深入,結(jié)合我局實際,處于不斷完善階段;二是堅持和計算機系統(tǒng)定點維修單位聯(lián)系機關(guān)計算機維修事宜,并商定其給予應(yīng)急技術(shù)以最大程度的支持;三是嚴格文件的收發(fā),完善了清點、修理、編號、簽收制度,并要求信息管理員每天下班前進行存檔;四是及時對系統(tǒng)和軟件進行更新,對重要文件、信息資源做到及時備份,數(shù)據(jù)恢復(fù)。
(四)信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況
一是終端計算機的保密系統(tǒng)和防火墻、殺毒軟件等,皆為國產(chǎn)產(chǎn)品;二是公文處理軟件具體使用的是word20__系統(tǒng);三是年報系統(tǒng)皆為縣委、縣政府統(tǒng)一指定產(chǎn)品系統(tǒng)。
二、存在不足和整改意見
根據(jù)《通知》中的具體要求,在自查過程中我們也發(fā)現(xiàn)了一些不足,同時結(jié)合我局實際,今后要在以下幾個方面進行整改。
存在不足:一是專業(yè)技術(shù)人員較少,信息系統(tǒng)安全方面可投入的力量有限;二是規(guī)章制度體系初步建立,但還不完善,未能覆蓋相關(guān)信息系統(tǒng)安全的所有方面;三是遇到計算機病毒侵襲等突發(fā)事件處理不夠及時。
篇4
【 關(guān)鍵詞 】 IT 項目;信息安全管理;措施
The Analysis of Information Safety Management for IT Program
Lin Ting
(Chaina Unionpay Data Services Co.,Ltd Shanghai 200001)
【 Abstract 】 Based on the information safety management of IT program in the confidential engineering, the analysis scope of information safety is defined, and the risk of the program is researched. According to the study, the control measurement is established so that it is effective to control and reduce the risk for the safety of information system.
【 Keywords 】 IT program; information safety management; measurement
1 引言
公司與軍方合作比較廣泛,有一個關(guān)于武器設(shè)計的項目。由于項目的特殊性,整個項目的安全要求高,本著“安全第一,應(yīng)用第二”的原則,對內(nèi)部網(wǎng)絡(luò)的建設(shè)從發(fā)展的眼光出發(fā),將前瞻性與實用性相結(jié)合,在分析信息系統(tǒng)風(fēng)險的基礎(chǔ)上,制定出信息系統(tǒng)風(fēng)險應(yīng)對措施,進行風(fēng)險控制,降低信息系統(tǒng)的風(fēng)險,保障信息系統(tǒng)的安全。
2 安全需求分析
2.1 信息安全范圍需求
確保整個系統(tǒng)在建設(shè)之中和建設(shè)之后的維護的安全性同,所涉及的范圍包括內(nèi)容有:1)信息,包括數(shù)據(jù)、資料等; 2)硬件、軟件;3)環(huán)境及支持設(shè)備;4)參與人員的管理;5)網(wǎng)絡(luò)通訊設(shè)備;6)存儲設(shè)備。
2.2 信息安全優(yōu)先級需求
按由高到低的順序,依次是關(guān)鍵崗位人員的管理、重要信息、存儲信息的存儲設(shè)備、網(wǎng)絡(luò)通訊設(shè)備、服務(wù)、軟件、硬件、環(huán)境支持設(shè)備。
3 風(fēng)險識別與分析
風(fēng)險識別與分析從潛在的危險和系統(tǒng)的安全威脅等方面進行。
3.1 潛在的威脅
潛在威脅主要來自內(nèi)部和外部。其中來自內(nèi)部的犯罪主要是其一:純粹出于經(jīng)濟目的,或其他目的,利用自己可能的手段竊取信息,破壞信息系統(tǒng);其二則是在外部罪犯的指使、收買下,在可能獲得外部技術(shù)支持的情況下,對信息系統(tǒng)實施攻擊。信息網(wǎng)絡(luò)系統(tǒng)對兩種內(nèi)部人員的犯罪都應(yīng)有所防備;該項目信息安全保密實施的重點是防止系統(tǒng)的破壞和信息的損失。
3.2 系統(tǒng)的安全威脅
該單位系統(tǒng)與外界是物理隔離,所以通信數(shù)據(jù)被竊聽的概率很小。但仍然存在如下威脅:非法訪問、電磁泄漏、假冒;抵賴、破壞網(wǎng)絡(luò)的可用性、失誤操作、病毒侵害、自然災(zāi)害和環(huán)境事故、電力中斷。
4 風(fēng)險響應(yīng)規(guī)劃
根據(jù)上面風(fēng)險識別與風(fēng)險分析結(jié)果,制定以下風(fēng)險應(yīng)對措施。
4.1 信息傳輸與存儲方案
該單位信息網(wǎng)絡(luò)系統(tǒng)是一個級別達到機密級的信息網(wǎng)絡(luò),因此,按照國家保密局的規(guī)定,秘密、機密信息在所科研區(qū)等封閉區(qū)域內(nèi)的傳輸可采用光纜或屏蔽電纜,如果采用非屏蔽電纜而又不能滿足與其他并行線的線間距要求時,必須采用遠程加密傳輸。該單位的信息加密必須采用國家指定的算法,不得使用國外算法;該單位的信息加密可采用密文存儲和存取控制兩種方式;加密算法每三年必須更換,算法提供單位必須是同一家單位。
4.2 物理安全管理方案
對于出入存放機密級和機密級以上信息的設(shè)備地方,必須建立嚴格的審查登記制度,保證所有出入存放地的人員必須留有書面紀錄,包括姓名,證件,部門,進入時間和離開時間;
處理機密級和機密級以上信息的設(shè)備必須放在有鐵門、鐵窗、鐵柜的“三鐵”保護措施的地方:系統(tǒng)中心機房應(yīng)采取安全防范措施,確保非授權(quán)人員無法進入。處理秘密級、機密級信息的系統(tǒng)中心機房應(yīng)采用有效的電子門控系統(tǒng)。處理絕密級信息和重要信息的系統(tǒng)中心機房門控系統(tǒng)應(yīng)進行身份鑒別,應(yīng)有電視監(jiān)視系統(tǒng),并建立磁屏蔽區(qū)域保護設(shè)施。
4.3 信息級別管理方案
所有信息處理、傳輸、存儲、輸入、輸出設(shè)備均應(yīng)按照保密部門所規(guī)定的密級確定相應(yīng)的最高級別。密級的變化由保密部門確定后及時通知網(wǎng)管中心。設(shè)備的使用人必須清楚了解該級別的規(guī)定,并熟悉對該級別信息處理的要求。
4.4 介質(zhì)安全使用管理方案
U盤、硬盤、光盤、磁帶等介質(zhì)應(yīng)標(biāo)明級別,并按相應(yīng)密級管理。存儲過信息的介質(zhì)不能降低密級使用。不再使用的介質(zhì)應(yīng)及時銷毀。介質(zhì)的維修應(yīng)保證所存儲的信息不被泄露,維修應(yīng)在本單位進行,維修點需由單位保密委員會指定或認可;必須在單位外維修的,必須指派專人全程跟蹤負責(zé),保證所存儲的信息不被泄露。
4.5 身份管理方案
處理秘密級信息的系統(tǒng)可采用口令進行身份鑒別,口令長度不得少于8個字符,口令更換周期不得長于一個月;處理機密級信息的系統(tǒng)應(yīng)采用IC卡(或USB-KEY)進行身份鑒別,也可采用口令或其他措施加口令的方式進行身份鑒別,口令長度不得少于10個字符,口令更換周期不得長于一周:系統(tǒng)所使用的口令不得由用戶產(chǎn)生,應(yīng)當(dāng)由系統(tǒng)安全管理員集中產(chǎn)生供用戶選用,并且應(yīng)當(dāng)有口令更換記錄;應(yīng)采用組成復(fù)雜、不易猜測的口令,一般應(yīng)是大小寫英文字母、數(shù)字、特殊字符中兩者以上的組合。
4.6 數(shù)據(jù)備份與恢復(fù)方案
在內(nèi)部網(wǎng)絡(luò)系統(tǒng)中,主要設(shè)備、軟件、數(shù)據(jù)、電源等應(yīng)有備份,并具有在較短時間內(nèi)恢復(fù)系統(tǒng)運行的能力。該單位信息系統(tǒng)中關(guān)鍵服務(wù)器系統(tǒng)均需要進行系統(tǒng)備份,盡量在系統(tǒng)崩潰以后能快速、簡單、完全地恢復(fù)系統(tǒng)的運行。進行備份的最有效的方法是只備份那些對于系統(tǒng)崩潰恢復(fù)所必需的數(shù)據(jù)。核心服務(wù)器上的數(shù)據(jù)文件必須每周備份,而且必須每天進行文件增量備份;每天業(yè)務(wù)結(jié)束時進行增量備份。周備份的介質(zhì)必須實行異地存儲。異地存儲要求包含多種備份介質(zhì)。
4.7 防黑客方案
防火墻是用在網(wǎng)絡(luò)出入口上的一種訪問控制技術(shù),是對付黑客的一種主要手段。防火墻技術(shù)的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。
防火墻在內(nèi)部網(wǎng)絡(luò)中發(fā)揮上述作用主要是通過兩個層次的訪問控制實現(xiàn)的,一個是由狀態(tài)包過濾提供的基于IP地址的訪問控制功能,另一個是由防火墻提供的基于應(yīng)用協(xié)議的訪問控制功能。另外,部分防火墻還提供地址映射服務(wù),以隔離高子網(wǎng)。
4.8 事故應(yīng)急方案
該單位制定了在該所內(nèi)部網(wǎng)絡(luò)發(fā)生安全事故時的應(yīng)急響應(yīng)步驟。安全事故包括失竊、用戶口令丟失、可疑的系統(tǒng)訪問(包括共享口令)、內(nèi)部網(wǎng)絡(luò)的入侵行為、計算機病毒等。以上安全事故被分為三個級別:
(1)一級安全事故損失最小,事故發(fā)生后需要在一個工作日內(nèi)得到控制。此類安全事故只需與網(wǎng)絡(luò)管理中心聯(lián)系即可。該類事故包括:個人口令丟失或遺忘、可疑的共享行為等;(2)二級安全事故損失稍大,事故發(fā)生后需要在2h-4h內(nèi)得到控制;此類安全事故需要通知所網(wǎng)絡(luò)管理中心和所安全保密辦公室。該類事故包括:可疑人員進入機房,使用計算機(或本所職工出現(xiàn)可疑行為);未授權(quán)的訪問等;(3)三級安全事故發(fā)生后,必須立即防止事故危害擴散,同時必須立即通知所保密辦、保密委,并視情況嚴重程度逐級上報。
4.9 風(fēng)險監(jiān)控的策略
(1)建立合理的、科學(xué)的信息安全工作體系:設(shè)立所決策層、管理層、執(zhí)行層三層組織機構(gòu),制定各種管理制度與流程,采取相應(yīng)的信息安全技術(shù)措施。
(2)風(fēng)險控制主要途徑:根據(jù)控制成本與風(fēng)險平衡的原則,通過以下途徑及主要措施將風(fēng)險控制在可接受的范圍。
1)避免風(fēng)險:所內(nèi)部網(wǎng)絡(luò)與其他網(wǎng)絡(luò)物理隔離,可以避免所內(nèi)信息系統(tǒng)遭受來自外部的威脅。在公共信息網(wǎng)上采取適當(dāng)?shù)陌踩胧?,降低來自外部的威脅。嚴禁在公共信息網(wǎng)上處理信息,降低外部威脅對所信息資產(chǎn)的影響;2)減少威脅:通過身份認證、訪問控制、網(wǎng)絡(luò)監(jiān)控、入侵監(jiān)測、審計和安裝防病毒軟件等技術(shù)措施,建立黑客防范系統(tǒng)和惡意代碼防范系統(tǒng),減少信息系統(tǒng)受到內(nèi)部員工黑客行為和惡意代碼攻擊的機會;3)減少薄弱點:通過教育和培訓(xùn)強化員工的安全意識和安全操作技能;建立和完善信息安全管理制度,強化安全制度的檢查和落實;4)減少威脅可能的影響程度:應(yīng)用密碼技術(shù)對信息的存儲和傳輸進行加密處理;建立并實時業(yè)務(wù)系統(tǒng)的應(yīng)急響應(yīng)計劃,此計劃包括備份保護、應(yīng)急響應(yīng)、測試維護等活動的安全要求。
(3)安全解決方案動態(tài)調(diào)整:安全解決方案的基礎(chǔ)是風(fēng)險分析,應(yīng)該根據(jù)風(fēng)險的變化,進行動態(tài)調(diào)整。風(fēng)險的變化來自兩個方面:一是信息系統(tǒng)的脆弱性以及威脅技術(shù)發(fā)生變化;二是信息系統(tǒng)發(fā)生變更后可能產(chǎn)生的新的安全風(fēng)險和風(fēng)險變化。一成不變的靜態(tài)風(fēng)險管理,在風(fēng)險發(fā)生變化時不僅起不到應(yīng)有的安全作用,相反會產(chǎn)生負面影響。因此,風(fēng)險管理應(yīng)該動態(tài)進行,達到風(fēng)險預(yù)測、實時響應(yīng)、降低風(fēng)險的良性循環(huán)能力。
5 案例實施結(jié)果
已經(jīng)完成的項目的每一個階段,實施風(fēng)險措施后,進行動態(tài)監(jiān)測,發(fā)現(xiàn)新的風(fēng)險,及時調(diào)險應(yīng)對措施,實施措施后,動態(tài)監(jiān)測。如此反復(fù)循壞,達到了降低風(fēng)險,減少威脅的目的,項目進展順利,初步實現(xiàn)項目的目標(biāo)。
參考文獻
[1] 羅布?托姆塞特.極限項目管理.電子工業(yè)出版社,2005.
[2] 索威基.有效的項目管理.電子工業(yè)出版社,2002.1.
[3] 拉里?康斯坦丁.超越混沌:有效管理軟件開發(fā)項目.電子工業(yè)出版社,2002.4.
篇5
大會熱忱歡迎從事信息安全領(lǐng)域管理、科研、教學(xué)、生產(chǎn)、應(yīng)用和服務(wù)的組織機構(gòu)和個人踴躍投稿。所投稿件經(jīng)過專家組評審后,錄取論文將在《信息網(wǎng)絡(luò)安全》(2015年第9期)雜志正刊上刊登,并收錄中國知網(wǎng)論文庫。《信息網(wǎng)絡(luò)安全》將贈送國家圖書館等單位作為藏書收藏,并向錄取論文作者發(fā)放稿費,專委會還將向優(yōu)秀論文作者頒發(fā)獎金和獲獎證書。
一、會議主題
2015年是網(wǎng)絡(luò)強國戰(zhàn)略的起步年。網(wǎng)絡(luò)強國離不開自主可控的安全技術(shù)支持,只有實現(xiàn)網(wǎng)絡(luò)和信息安全的前沿技術(shù)和科技水平的趕超,才能實現(xiàn)關(guān)鍵核心技術(shù)的真正自主可控,才能實現(xiàn)從戰(zhàn)略層面、實施層面全局而振的長策。當(dāng)前,信息網(wǎng)絡(luò)應(yīng)用飛速發(fā)展,技術(shù)創(chuàng)新的步伐越來越快,云計算、大數(shù)據(jù)、移動網(wǎng)絡(luò)、物聯(lián)網(wǎng)、智能化、三網(wǎng)融合等一系列信息化應(yīng)用新概念、新技術(shù)、新應(yīng)用給信息安全行業(yè)提出新的挑戰(zhàn)。同時,國際上網(wǎng)絡(luò)安全技術(shù)事件和政治博弈越來越激烈和復(fù)雜,“工業(yè)4.0”時代對網(wǎng)絡(luò)安全的沖擊來勢洶涌。我們需要全民樹立建設(shè)網(wǎng)絡(luò)強國的新理念,并切實提升國家第五空間的戰(zhàn)略地位和執(zhí)行力。本次會議的主題為“科技是建設(shè)網(wǎng)絡(luò)強國的基礎(chǔ)”。
二、征文內(nèi)容
1. 關(guān)于提升國家第五空間的戰(zhàn)略地位和執(zhí)行力的研究
2. 云計算與云安全
3. 大數(shù)據(jù)及其應(yīng)用中的安全
4. 移動網(wǎng)絡(luò)及其信息安全
5. 物聯(lián)網(wǎng)安全
6. 智能化應(yīng)用安全
7. 網(wǎng)絡(luò)監(jiān)測與監(jiān)管技術(shù)
8. 面對新形勢的等級保護管理與技術(shù)研究
9. 信息安全應(yīng)急響應(yīng)體系
10. 可信計算
11. 網(wǎng)絡(luò)可信體系建設(shè)研究
12. 工業(yè)控制系統(tǒng)及基礎(chǔ)設(shè)施的網(wǎng)絡(luò)與信息安全
13. 網(wǎng)絡(luò)與信息系統(tǒng)的內(nèi)容安全
14. 預(yù)防和打擊計算機犯罪
15. 網(wǎng)絡(luò)與信息安全法制建設(shè)的研究
16. 重大安全事件的分析報告與對策建議
17. 我國網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的研究成果與訴求
18. 其他有關(guān)網(wǎng)絡(luò)安全和信息化的學(xué)術(shù)成果
凡屬于網(wǎng)絡(luò)安全和信息安全領(lǐng)域的各類學(xué)術(shù)論文、研究報告和成果介紹均可投稿。
三、征文要求
1. 論文要求主題明確、論據(jù)充分、聯(lián)系實際、反映信息安全最新研究成果,未曾發(fā)表,篇幅控制在5000字左右。
2. 提倡學(xué)術(shù)民主。鼓勵新觀點、新概念、新成果、新發(fā)現(xiàn)的發(fā)表和爭鳴。
3. 提倡端正學(xué)風(fēng)、反對抄襲,將對投稿的文章進行相似性比對檢查。
4. 文責(zé)自負。單位和人員投稿應(yīng)先由所在單位進行保密審查,通過后方可投稿。
5. 作者須按計算機安全專業(yè)委員會秘書處統(tǒng)一發(fā)出的論文模版格式排版并如實填寫投稿表,在截止日期前提交電子版的論文與投稿表。
6、論文模版和投稿表請到計算機安全專業(yè)委員會網(wǎng)站下載,網(wǎng)址是:.cn。
聯(lián)系人:田芳,郝文江
電話:010-88513291,88513292
征文上傳Email 地址:
篇6
1.1電子信息的加密技術(shù)
所謂電子信息的加密技術(shù)也就是對于所傳送的電子信息能夠起到一定的保密作用,也能夠使信息、數(shù)據(jù)的傳遞變得更加安全和完整。電子信息的加密技術(shù)是保障電子科技企業(yè)信息安全的重要保證。加密技術(shù)也主要分為對稱以及非對稱兩類,對稱的加密技術(shù)一般都是通過序列密碼或是分組機密的方式來實現(xiàn)的。這其中還包括了明文、密鑰、加密算法以及解密算法五個基本的組成部分。而非對稱加密與對稱加密也存在一定的差異,非對稱加密必須要具備公開密鑰和私有密鑰兩個密鑰,同時,這兩種密鑰只有配對使用,這樣才能解密。因此加密技術(shù)對于電子信息的安全具有很大的保障。如果在發(fā)送電子信息的時候,發(fā)送人是使用加密技術(shù)來發(fā)送郵件的,那么有人竊取信息的時候,也只能夠得到密文,不能得到具體的信息。這樣就大大加強了信息傳送的安全性。加快推進國內(nèi)關(guān)鍵行業(yè)領(lǐng)域信息系統(tǒng)的安全評估測試。在安全評估方面,主要針對主機安全保密檢查與信息監(jiān)管,采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測、語意分析等技術(shù),評估分析重要信息是否發(fā)生泄漏,并找出泄漏的原因和渠道。
1.2防火墻技術(shù)
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,雖然對于信息安全問題已經(jīng)不斷的得到加強,但是一些信息的不安全因素也在逐級的提高。有一些黑客或者是病毒木馬也在不斷的入侵,而這些不安全的因素會極大的威脅到電子科技企業(yè)信息的安全。而針對這種情況,一種比較有效的防護措施就是防火墻技術(shù)的使用。這種技術(shù)可以有效的防止黑客的入侵以及電腦中的信息被篡改等情況的發(fā)生。這樣就能夠有效的保障電子科技企業(yè)信息的安全。加強企業(yè)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)建設(shè),建設(shè)面向企業(yè)的信息安全專業(yè)服務(wù)平臺。重點開展等級保護設(shè)計咨詢、風(fēng)險評估、安全咨詢、安全測評、快速預(yù)警響應(yīng)、第三方資源共享的容災(zāi)備份、標(biāo)準驗證等服務(wù);建設(shè)企業(yè)信息安全數(shù)據(jù)庫,為廣大企業(yè)提供快速、高效的信息安全咨詢、預(yù)警、應(yīng)急處理等服務(wù),實現(xiàn)企業(yè)信息安全公共資源的共享共用,提高信息安全保障能力。
二、解決電子科技企業(yè)信息安全問題的方法
2.1構(gòu)建電子科技企業(yè)信息安全的管理體系
如果要想有效的保障電子科技企業(yè)的信息安全,除了要不斷的提高安全技術(shù)水平,還要建立起一套比較完善的信息安全管理體系。這樣才能使整個信息安全工作更加有條不紊的進行。在很多電子科技企業(yè)當(dāng)中,最初所建立的相關(guān)信息制度在很大程度上都制約著信息系統(tǒng)的安全性。如果一旦安全管理制度出現(xiàn)了問題,那么一系列的安全技術(shù)都無法發(fā)揮出來。很多信息安全工作也無法正常進行下去。因此,嚴格的信息安全管理體系對于信息安全的保障具有十分重要的作用。只有當(dāng)信息安全管理形成了一個完善的體系,那么信息安全工作才能夠更加順利的進行,同時也能夠大大的提升信息安全的系數(shù)。
2.2利用電子科技企業(yè)自身的網(wǎng)絡(luò)條件來提供信息安全服務(wù)
一般來說,電子科技企業(yè)都擁有自己的局域網(wǎng),很多企業(yè)也可以通過局域網(wǎng)來相互連通。因此,電子科技企業(yè)應(yīng)該充分的利用這一特點為自身的企業(yè)提供良好地信息安全服務(wù)。通過局域網(wǎng)的連通,不僅能夠在這個平臺上及時的公布一些安全公告以及安全法規(guī),同時還可以進行一些安全軟件的下載,為員工提供一些關(guān)于信息安全的培訓(xùn)。這樣不僅能夠為企業(yè)之間的員工提供一個安全的互相交流的平臺,同時還能夠很好的保障企業(yè)信息安全。針對企業(yè)主機安全保密檢查與信息監(jiān)管,采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測、語意分析等技術(shù),評估分析重要信息是否發(fā)生泄漏,并找出泄漏的原因和渠道。
2.3定期對信息安全防護軟件進行及時的更新
篇7
2021學(xué)校關(guān)于突發(fā)事故的應(yīng)急預(yù)案
為了保證學(xué)校師生的安全,健全大型活動的安全防范制度,搞好學(xué)校的安全工作,特制定學(xué)校大型活動安全預(yù)案。
一、事故預(yù)防:
1.凡是外出活動,須嚴密組織,統(tǒng)一指揮。
2.凡是舉行大型活動,事先做好學(xué)生的學(xué)習(xí)動員和安全教育工作。
3.帶隊教師明確職責(zé),做好學(xué)生的安全教育和管理工作,教會學(xué)生觀察好安全疏散通道。
4.凡是外出活動,學(xué)校校醫(yī)必須配備小藥箱,以便應(yīng)急。
5.凡是外出活動,體育教師和班主任組織學(xué)生以班為單位排成兩路縱隊行進,前后呼應(yīng)。嚴格行進紀律,注意行進安全。
6.到達活動目的地后,必須聽從當(dāng)?shù)氐慕y(tǒng)一指揮。無論是參觀或是聽取報告,必須遵守各處的規(guī)定和要求。
7.凡是進展室參觀,參觀者需成一路縱隊,魚貫而入,遵守展室規(guī)定,不準隨意觸摸展品。
二、應(yīng)急處理:
1.凡是在活動中發(fā)生傷害事故或發(fā)生病痛情況,應(yīng)做出緊急處理,嚴重者需撥打120或直接送醫(yī)院醫(yī)治。
2.當(dāng)事人要及時報告學(xué)校應(yīng)急領(lǐng)導(dǎo)小組。
3.做好學(xué)生的情緒安撫工作,保持秩序井然。
2021學(xué)校關(guān)于突發(fā)事故的應(yīng)急預(yù)案
本預(yù)案是指學(xué)生在體育活動中,因活動保護不當(dāng)造成的事故,輕則挫傷、擦傷、關(guān)節(jié)損傷、肌肉抽筋、拉傷,重則造成骨折、呼吸紊亂、嚴重休克甚至喪失生命。傷害事故一般發(fā)生在球類活動、
體操、田徑運動等運動項目中。
一、體育活動事故的應(yīng)急處理
1.在場人員發(fā)現(xiàn)險情后要及時報告在場老師、校醫(yī)和班主任,緊急或情況復(fù)雜時還應(yīng)及時報告學(xué)校領(lǐng)導(dǎo);校醫(yī)應(yīng)立即到達現(xiàn)場,了解傷者情況,判斷傷情,先行急救;遇到重傷的或不能判斷傷情的,應(yīng)及時送醫(yī)院檢查、急救或打 120 救護電話。
2.及時通知家長及其他監(jiān)護人,以便作出救治決定,并作好安慰工作。
3.保護現(xiàn)場、了解事故發(fā)生經(jīng)過,調(diào)查事故原因,作好有關(guān)記錄并保護現(xiàn)場,采集有關(guān)證據(jù),以利于對事故處理做到事實清楚,責(zé)任明確。
4.重大的傷害事故要及時上報上級有關(guān)部門。
5.事故發(fā)生在課上或因?qū)W校設(shè)施原因造成傷害的,根據(jù)上級有關(guān)規(guī)定,學(xué)校應(yīng)承擔(dān)責(zé)任的。學(xué)校應(yīng)視情況及時報告保險公司。
6.前往醫(yī)院探視,隨時掌握傷者身體康復(fù)情況。
二、體育活動事故的預(yù)防
1.加強思想教育、增強防范意識。中小學(xué)生好勝心強,經(jīng)驗不足,思想上麻痹大意,缺乏預(yù)防事故的意識,教師要教育學(xué)生樹立“寧失一球,勿傷一人”的思想。
2.完善活動設(shè)施建設(shè)和管理。運動場地要保持平整,不應(yīng)有坑洼、石塊等,地面不宜太硬、打滑;球架、球門要定期檢修。
3.教學(xué)和訓(xùn)練、競賽活動必須精心設(shè)計、嚴密組織、嚴格要求、嚴格訓(xùn)練。
①建立良好教學(xué)秩序、重視課前準備。教師、學(xué)生著裝規(guī)范,必須穿著體育服裝上課,學(xué)生不準穿皮鞋、有跟鞋、涼鞋,女學(xué)生不穿裙子上課。
②精密組織教學(xué),加強紀律教育。體育教師必須經(jīng)常反復(fù)地向?qū)W生進行遵守紀律、遵守常規(guī)、服從組織、遵守游戲規(guī)則等方面的教育。
③培養(yǎng)學(xué)生自我保護、相互保護的意識。
④體育教師應(yīng)掌握特異體質(zhì)的學(xué)生情況,掌握合理的運動量、注意區(qū)別對待。在運動量的掌握上,教師要隨時注意學(xué)生的生理反應(yīng),進行合理調(diào)整;教師對于病痛、體弱、傷殘的學(xué)生要及時關(guān)心,安排他們免修、見習(xí)等。
4.重視準備活動、加強醫(yī)務(wù)監(jiān)督。教師應(yīng)根據(jù)上課內(nèi)容和氣候情況決定準備活動的內(nèi)容,嚴禁不做準備活動就進入體育活動,準備活動要充分、有針對性;學(xué)生應(yīng)掌握自我醫(yī)務(wù)監(jiān)督的常識。
5.加強保護措施。嚴格裁判、禁止粗野動作,不使用錯誤的推、拉、撞等危險動作。加強組織領(lǐng)導(dǎo),建立和健全規(guī)章制度。
2021學(xué)校關(guān)于突發(fā)事故的應(yīng)急預(yù)案
為有效預(yù)防學(xué)校實驗室事故的發(fā)生,防止學(xué)校實驗室事故事態(tài)的擴大,保障在實驗室進行教育教學(xué)活動的師生的生命安全,制定本預(yù)案。
一、事故的處理:
1.火災(zāi)事故按火災(zāi)事故處理預(yù)案進行處理,按如下順序操作:報警、疏散等。
2.一旦發(fā)生學(xué)生傷害事故,立即送學(xué)校醫(yī)務(wù)室,由校醫(yī)視傷者情況決定是否送醫(yī)院,若情況嚴重則立即將傷者送醫(yī)院或撥打120電話。及時通知班主任。
3.通知受傷學(xué)生家長,如實告知情況。
4.保護現(xiàn)場。
5.重大事故必須立即向教育局匯報,先口頭、后書面。
6.進行善后處理,接待學(xué)生家長,進行理賠或補償協(xié)商。
二、事故的預(yù)防:
1.明確引發(fā)實驗室事故的原因:實驗室的易燃物品遇到明火、電火;實驗人員操作不當(dāng);學(xué)生違規(guī)自行接觸危險物品;易燃易爆物品管理不善。
2.實驗指導(dǎo)老師工作認真負責(zé)、專業(yè)知識豐富、合格、稱職。
3.學(xué)校加強對學(xué)生的行為規(guī)范教育。不隨意觸摸實驗室物品;教育學(xué)生不在實驗室隨便使用明火。
4.學(xué)生必須在教師的指導(dǎo)下,按規(guī)范的操作方法進行實驗。
5.實驗室易燃易爆或有毒物品必須做到“雙人雙鎖”保管。為防止劇毒物品外盜或外流,存放處需安裝報警裝置。
6.無關(guān)人員不得隨意進入實驗室。
7.實驗室電線、電器必須定期檢查,發(fā)現(xiàn)問題及時維修、解決。
8.按規(guī)定配備足夠數(shù)量的滅火器材。
2021學(xué)校關(guān)于突發(fā)事故的應(yīng)急預(yù)案
為確保網(wǎng)絡(luò)正常使用,充分發(fā)揮網(wǎng)絡(luò)在信息時代的作用,促進教育信息化健康發(fā)展,根據(jù)國務(wù)院《互聯(lián)網(wǎng)信息服務(wù)管理辦法》和有關(guān)規(guī)定,特制訂本預(yù)案,妥善處理危害網(wǎng)絡(luò)與信息安全的突發(fā)事件,最大限度地遏制突發(fā)事件的影響和有害信息的擴散。
一、危害網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急響應(yīng)
1.如在局域網(wǎng)內(nèi)發(fā)現(xiàn)病毒、木馬、黑客入侵等
網(wǎng)絡(luò)管理中心應(yīng)立即切斷局域網(wǎng)與外部的網(wǎng)絡(luò)連接。如有必要,斷開局內(nèi)各電腦的連接,防止外串和互串。
2.突發(fā)事件發(fā)生在校園網(wǎng)內(nèi)或具有外部ip地址的服務(wù)器上的,學(xué)校應(yīng)立即切斷與外部的網(wǎng)絡(luò)連接,如有必要,斷開校內(nèi)各節(jié)點的連接;突發(fā)事件發(fā)生在校外租用空間上的,立即與出租商聯(lián)系,關(guān)閉租用空間。
3.如在外部可訪問的網(wǎng)站、郵件等服務(wù)器上發(fā)現(xiàn)有害信息或數(shù)據(jù)被篡改,要立即切斷服務(wù)器的網(wǎng)絡(luò)連接,使得外部不可訪問。防止有害信息的擴散。
4.采取相應(yīng)的措施,徹底清除。如發(fā)現(xiàn)有害信息,在保留有關(guān)記錄后及時刪除,(情況嚴重的)報告市教育局和公安部門。
5.在確保安全問題解決后,方可恢復(fù)網(wǎng)絡(luò)(網(wǎng)站)的使用。
二、保障措施
1.加強領(lǐng)導(dǎo),健全機構(gòu),落實網(wǎng)絡(luò)與信息安全責(zé)任制。建立由主管領(lǐng)導(dǎo)負責(zé)的網(wǎng)絡(luò)與信息安全管理領(lǐng)導(dǎo)小組,并設(shè)立安全專管員。明確工作職責(zé),落實安全責(zé)任制;bbs、聊天室等交互性欄目要設(shè)有防范措施和專人管理。
2.局內(nèi)網(wǎng)絡(luò)由網(wǎng)管中心統(tǒng)一管理維護,其他人不得私自拆修設(shè)備,擅接終端設(shè)備。
篇8
企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源,對于企業(yè)自身來說具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來,企業(yè)的各項經(jīng)營活動都逐漸開始通過計算機,網(wǎng)絡(luò)開展,因此,企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時將企業(yè)信息安全管理與風(fēng)險控制結(jié)合起來,這是一個正確的選擇,能夠幫助企業(yè)實現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風(fēng)險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險控制的定義。企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件,保護網(wǎng)絡(luò)存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標(biāo),即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學(xué)科知識基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計算機技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講,最為關(guān)鍵的一項工作時保護企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過建立完善的企業(yè)風(fēng)險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標(biāo)。所以,怎樣把企業(yè)信息安全管理與風(fēng)險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風(fēng)險控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險體系實現(xiàn)。企業(yè)的信息安全風(fēng)險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對企業(yè)的信息進行風(fēng)險預(yù)估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風(fēng)險,從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險體系建立主要包含以下幾個方面的內(nèi)容。第一,建立企業(yè)信息安全風(fēng)險管理制度,明確企業(yè)信息安全管理的責(zé)任分配機制,明確企業(yè)各個部門對各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問責(zé)機制。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險管理指標(biāo),對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險定級,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三,企業(yè)要加強對信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險意識,讓企業(yè)內(nèi)部從事信息安全管理工作人員認識到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性。第四,將企業(yè)信息安全管理與風(fēng)險控制有效融合,重視企業(yè)信息安全管理工作,通過風(fēng)險控制對企業(yè)內(nèi)部信息安全的管理方式進行正確評估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。
二、企業(yè)信息安全管理與風(fēng)險控制存在的不足
1.企業(yè)信息安全管理工作人員素質(zhì)不高
對于企業(yè)來說,企業(yè)信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計,目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上,對企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險意識并沒有嚴格要求。此外,絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒有通過建立相關(guān)管理制度以及問責(zé)機制對企業(yè)信息安全管理工作人員實行監(jiān)督,這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。
2.企業(yè)信息安全管理技術(shù)不過關(guān)
企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計算機技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說成熟的計算機應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實是許多企業(yè)的信息安全管理技術(shù)并不過關(guān),一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對企業(yè)信息缺乏保護,另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗,企業(yè)信息安全管理的知識也并沒有及時更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂,很多服務(wù)器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個管理員進行管理是難以承擔(dān)如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。
3.企業(yè)信息安全管理制度不健全
企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一,企業(yè)員工對于信息安全管理的認識嚴重不足,對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業(yè)內(nèi)部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關(guān),認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動機制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對企業(yè)信息安全現(xiàn)狀所了解的少之又少。
三、企業(yè)信息安全管理常見的技術(shù)手段
1.OSI安全體系結(jié)構(gòu)
OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu),它的設(shè)計初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來實現(xiàn),而安全服務(wù)又是由各種安全機制來保障的。所以,安全服務(wù)標(biāo)志著一個安全系統(tǒng)的抗風(fēng)險的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。
2.P2DR模型
P2DR模型包含四個部分:響應(yīng)、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程,必須制定一個企業(yè)的安全模式。在安全策略的指導(dǎo)下實施所有的檢測、防護、響應(yīng),防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的,比如有防火墻、訪問控制、加密、認證等方法,檢測是動態(tài)響應(yīng)的判斷依據(jù),同時也是有力落實安全策略的實施工具,通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為,可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險潛在性的最有效的辦法。
3.HTP模型
HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強調(diào)動態(tài)管理,動態(tài)監(jiān)督,對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理,在實際工作中,通過HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善。
四、完善企業(yè)信息安全管理與降低風(fēng)險的建議
1.建設(shè)企業(yè)信息安全管理系統(tǒng)
(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個子系統(tǒng),明確實施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合,實現(xiàn)信息安全監(jiān)控的有效性和高效性。
(2)成立一個中央數(shù)據(jù)庫,整合分布式數(shù)據(jù)庫里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫,實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。
(3)設(shè)計優(yōu)良的人機界面,通過對企業(yè)數(shù)據(jù)信息進行有效的運用,為企業(yè)管理階層人員、各級領(lǐng)導(dǎo)及時提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。
(4)簡化企業(yè)內(nèi)部的信息傳輸通道,對應(yīng)用程序和數(shù)據(jù)庫進行程序化設(shè)計,加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準確性。
2.設(shè)計企業(yè)信息安全管理風(fēng)險體系
(1)確定信息安全風(fēng)險評估的目標(biāo)
在企業(yè)信息安全管理風(fēng)險體系的設(shè)計過程中,首要工作是設(shè)計企業(yè)信息安全風(fēng)險評估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險控制為目標(biāo)的信息安全管理工作制度,才能順利通過對風(fēng)險控制的結(jié)果的定量考核,檢測企業(yè)信息安全管理的風(fēng)險,定性定量地企業(yè)信息安全管理工作進行分析,找準企業(yè)信息安全管理的工作辦法。
(2)確定信息安全風(fēng)險評估的范圍
不同企業(yè)對于風(fēng)險的承受能力是有區(qū)別的,因此,對于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險控制辦法,其中,不同企業(yè)對于能夠承受的信息安全風(fēng)范圍有所不同,企業(yè)的信息安全風(fēng)險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此,企業(yè)的信息安全風(fēng)險評估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實際經(jīng)營情況變化采取有針對性的辦法。
(3)組建適當(dāng)?shù)脑u估管理與實施團隊
篇9
當(dāng)今是一個網(wǎng)絡(luò)時代,也是一個科技化快速高速發(fā)展的時代。特別是對于電子科技企業(yè)來說,信息就成為了一個企業(yè)成敗的關(guān)鍵。只有通過有效信息的掌握,才能讓企業(yè)未來的道路越走越好。隨著這樣的趨勢,企業(yè)信息化的進程也在不斷的發(fā)展,信息不僅是在一定程度上掌握了企業(yè)未來的命運,同時對于企業(yè)管理水平的提高也起到了非常重要的作用。有一些企業(yè)的商務(wù)活動基本上都是通過電子商務(wù)的形式來完成的,還有一些生產(chǎn)運作、運輸以及管理都離不開信息化的建設(shè)。還有一些電子科技企業(yè)為了企業(yè)未來的發(fā)展,要進行企業(yè)形象的宣傳,產(chǎn)品以及服務(wù)信息很大程度上都要依賴于信息化的建設(shè)。如今,信息化的時代已經(jīng)到來,信息化的建設(shè)對于電子科技企業(yè)來說具有至關(guān)重要的作用,因此電子科技企業(yè)應(yīng)該加快信息化建設(shè)的步伐,這樣才能促進電子科技企業(yè)進一步的發(fā)展。
2電子科技企業(yè)安全技術(shù)的闡述
2.1電子信息的加密技術(shù)
所謂電子信息的加密技術(shù)也就是對于所傳送的電子信息能夠起到一定的保密作用,也能夠使信息、數(shù)據(jù)的傳遞變得更加安全和完整。電子信息的加密技術(shù)是保障電子科技企業(yè)信息安全的重要保證。加密技術(shù)也主要分為對稱以及非對稱兩類,對稱的加密技術(shù)一般都是通過序列密碼或是分組機密的方式來實現(xiàn)的。這其中還包括了明文、密鑰、加密算法以及解密算法五個基本的組成部分。而非對稱加密與對稱加密也存在一定的差異,非對稱加密必須要具備公開密鑰和私有密鑰兩個密鑰,同時,這兩種密鑰只有配對使用,這樣才能解密。因此加密技術(shù)對于電子信息的安全具有很大的保障。如果在發(fā)送電子信息的時候,發(fā)送人是使用加密技術(shù)來發(fā)送郵件的,那么有人竊取信息的時候,也只能夠得到密文,不能得到具體的信息。這樣就大大加強了信息傳送的安全性。加快推進國內(nèi)關(guān)鍵行業(yè)領(lǐng)域信息系統(tǒng)的安全評估測試。在安全評估方面,主要針對主機安全保密檢查與信息監(jiān)管,采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測、語意分析等技術(shù),評估分析重要信息是否發(fā)生泄漏,并找出泄漏的原因和渠道。
2.2防火墻技術(shù)
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,雖然對于信息安全問題已經(jīng)不斷的得到加強,但是一些信息的不安全因素也在逐級的提高。有一些黑客或者是病毒木馬也在不斷的入侵,而這些不安全的因素會極大的威脅到電子科技企業(yè)信息的安全。而針對這種情況,一種比較有效的防護措施就是防火墻技術(shù)的使用。這種技術(shù)可以有效的防止黑客的入侵以及電腦中的信息被篡改等情況的發(fā)生。這樣就能夠有效的保障電子科技企業(yè)信息的安全。加強企業(yè)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)建設(shè),建設(shè)面向企業(yè)的信息安全專業(yè)服務(wù)平臺。重點開展等級保護設(shè)計咨詢、風(fēng)險評估、安全咨詢、安全測評、快速預(yù)警響應(yīng)、第三方資源共享的容災(zāi)備份、標(biāo)準驗證等服務(wù);建設(shè)企業(yè)信息安全數(shù)據(jù)庫,為廣大企業(yè)提供快速、高效的信息安全咨詢、預(yù)警、應(yīng)急處理等服務(wù),實現(xiàn)企業(yè)信息安全公共資源的共享共用,提高信息安全保障能力。
3解決電子科技企業(yè)信息安全問題的方法
3.1構(gòu)建電子科技企業(yè)信息安全的管理體系
如果要想有效的保障電子科技企業(yè)的信息安全,除了要不斷的提高安全技術(shù)水平,還要建立起一套比較完善的信息安全管理體系。這樣才能使整個信息安全工作更加有條不紊的進行。在很多電子科技企業(yè)當(dāng)中,最初所建立的相關(guān)信息制度在很大程度上都制約著信息系統(tǒng)的安全性。如果一旦安全管理制度出現(xiàn)了問題,那么一系列的安全技術(shù)都無法發(fā)揮出來。很多信息安全工作也無法正常進行下去。因此,嚴格的信息安全管理體系對于信息安全的保障具有十分重要的作用。只有當(dāng)信息安全管理形成了一個完善的體系,那么信息安全工作才能夠更加順利的進行,同時也能夠大大的提升信息安全的系數(shù)。
3.2利用電子科技企業(yè)自身的網(wǎng)絡(luò)條件來提供信息安全服務(wù)
一般來說,電子科技企業(yè)都擁有自己的局域網(wǎng),很多企業(yè)也可以通過局域網(wǎng)來相互連通。因此,電子科技企業(yè)應(yīng)該充分的利用這一特點為自身的企業(yè)提供良好地信息安全服務(wù)。通過局域網(wǎng)的連通,不僅能夠在這個平臺上及時的公布一些安全公告以及安全法規(guī),同時還可以進行一些安全軟件的下載,為員工提供一些關(guān)于信息安全的培訓(xùn)。這樣不僅能夠為企業(yè)之間的員工提供一個安全的互相交流的平臺,同時還能夠很好的保障企業(yè)信息安全。針對企業(yè)主機安全保密檢查與信息監(jiān)管,采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測、語意分析等技術(shù),評估分析重要信息是否發(fā)生泄漏,并找出泄漏的原因和渠道。
3.3定期對信息安全防護軟件進行及時的更新
篇10
關(guān)鍵詞:大數(shù)據(jù);計算機信息安全;企業(yè);防護策略
中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1009-3044(2017)01-0023-02
大數(shù)據(jù)(big data)形成于傳統(tǒng)計算機網(wǎng)絡(luò)技術(shù)應(yīng)用中,并不能將它理解為傳統(tǒng)意義中大量數(shù)據(jù)的集合,而是其中涵蓋了更多的數(shù)據(jù)信息處理技術(shù)、傳輸技術(shù)和應(yīng)用技術(shù)。正如國際信息咨詢公司Gartner所言“大數(shù)據(jù)在某些層面已經(jīng)超越了現(xiàn)有計算機信息技術(shù)處理能力范圍,它是一種極端信息資源。[1]”正是基于此,社會各個領(lǐng)域行業(yè)才應(yīng)用大數(shù)據(jù)技術(shù)來為計算機信息安全提供防范措施,尤其是企業(yè)計算機信息網(wǎng)絡(luò),更需要它來構(gòu)建網(wǎng)絡(luò)信息防護體系,迎接來自于企業(yè)外部不同背景下的不同安全威脅。
1關(guān)于企業(yè)計算機信息安全防護體系的建設(shè)需求
企業(yè)計算機系統(tǒng)涉及海量數(shù)據(jù)和多種關(guān)鍵技術(shù),它是企業(yè)正常運營的大腦,為了避免來自于內(nèi)外因素的干擾,確保企業(yè)正常運轉(zhuǎn),必須為“大腦”建立計算機信息安全防護體系,基于信息安全水平評價目標(biāo)來確立各項預(yù)訂指標(biāo)性能,確保企業(yè)計算機系統(tǒng)不會遭遇侵犯威脅,保護重要信息安全。因此企業(yè)所希望的安全防護體系建設(shè)應(yīng)該滿足以下3項需要。
首先,該安全防護體系能夠系統(tǒng)的從企業(yè)內(nèi)外部環(huán)境、生產(chǎn)及銷售業(yè)務(wù)流程來綜合判斷和考]企業(yè)計算機信息安全技術(shù)、制度及管理相關(guān)問題,并同時快速分析出企業(yè)在計算機信息管理過程中可能存在的各種安全隱患及危險因素。指出防護體系中所存在的缺陷,并提出相應(yīng)的防護措施。
其次,可以對潛在威脅企業(yè)計算機系統(tǒng)的不安定因素進行定性、定量分析,有必要時還要建立全面評價模型來展開分析預(yù)測,提出能夠確保體系信息安全水平提升的優(yōu)質(zhì)方案。
第三,可以利用體系評價結(jié)果來確定企業(yè)信息安全水平與企業(yè)規(guī)模,同時評價該防護體系能為企業(yè)帶來多大收益,確保防護體系能與企業(yè)所投入發(fā)展?fàn)顩r相互吻合。
2大數(shù)據(jù)環(huán)境對企業(yè)計算機信息安全建設(shè)的影響
大數(shù)據(jù)環(huán)境改變了企業(yè)計算機信息安全建設(shè)的思路與格局,應(yīng)該從技術(shù)與管理維度兩個層面來看這些影響變化。
2.1基于企業(yè)計算機信息安全建設(shè)的技術(shù)維度影響
大數(shù)據(jù)所蘊含技術(shù)豐富,它可以運用分布式并行處理機制來管理企業(yè)計算機信息安全。它不僅僅能確保企業(yè)信息的可用性與完整性,還能提高信息處理的準確性與傳輸連續(xù)性。因為在大數(shù)據(jù)背景下,復(fù)雜數(shù)據(jù)類型處理案例比比皆是,必須要避免信息處理過程錯誤所帶來的企業(yè)信息資源安全損失,所以應(yīng)該采取大數(shù)據(jù)環(huán)境技術(shù)來展開新的信息處理方式及存儲方式,像以Hadoop平臺為主的Mapreduce分布式計算就能啟動云存儲方式,對企業(yè)計算機信息進行有效存儲、轉(zhuǎn)移和管理,提高其信息安全水平。分布式計算會為企業(yè)計算機信息建立大型數(shù)據(jù)庫,或者采用第三方云服務(wù)提供商所提供的虛擬平臺來管理信息,這種做法可以為企業(yè)省下防火墻、數(shù)據(jù)庫、基礎(chǔ)性安防技術(shù)等等建設(shè)環(huán)節(jié)的大筆成本費用。
在信息傳遞方面,大數(shù)據(jù)環(huán)境主要能夠干預(yù)企業(yè)信息傳遞,例如為企業(yè)計算機系統(tǒng)提供高速不中斷的傳遞功能模塊,以確保企業(yè)信息傳遞的完整性與可持續(xù)性。在此過程中為了確保企業(yè)計算機信息傳輸?shù)陌踩煽?,就會基于大?shù)據(jù)技術(shù)來為企業(yè)提供數(shù)據(jù)加密服務(wù),確保數(shù)據(jù)傳輸整個過程都處于安全狀態(tài),避免任何信息泄露、被盜取現(xiàn)象的發(fā)生。
2.2基于企業(yè)計算機信息安全建設(shè)的管理維度影響
在大數(shù)據(jù)環(huán)境下,企業(yè)計算機信息安全的管理維度影響不容忽視,它體現(xiàn)在人員管理、大數(shù)據(jù)管理與第三方信息安全等多個方面。
在人員管理管理方面,大數(shù)據(jù)為企業(yè)所提供的是由傳統(tǒng)集中辦公向分散式辦公的工作模式轉(zhuǎn)變,它創(chuàng)建了企業(yè)自帶辦公設(shè)備BYOD (Bring Your Own Device),BYOD一方面能有效提高員工積極性,一方面也能為企業(yè)購置辦公設(shè)備節(jié)約成本,不過它也能影響到企業(yè)計算機的信息安全管理事項,移動設(shè)備大幅度降低了企業(yè)對計算機系統(tǒng)安全的可控度,可能會難以發(fā)現(xiàn)來自于外部黑客及安全漏洞、計算機病毒對系統(tǒng)的入侵,一定程度上增加了信息泄漏的安全隱患。
在第三方信息安全管理方面,它可能會對企業(yè)信息安全帶來巨大影響,因為第三方信息是需要用來進行加工分析的,但它對于企業(yè)計算機系統(tǒng)是否能形成保障實際上是難以被企業(yè)穩(wěn)定控制的,所以企業(yè)要確切保證第三方信息安全管理的有效性,基于大數(shù)據(jù)強化企業(yè)信息安全水平,利用分權(quán)式組織結(jié)構(gòu)來提高企業(yè)計算機系統(tǒng)及信息的利用效率,同時也增強大數(shù)據(jù)之于企業(yè)計算機系統(tǒng)的應(yīng)用實效性。
3 基于大數(shù)據(jù)優(yōu)化環(huán)境下的企業(yè)計算機信息安全防護策略
企業(yè)計算機信息安全對企業(yè)發(fā)展至關(guān)重要,為其建立安全防護體系首先要明確其信息安全管理是一項動態(tài)復(fù)雜的系統(tǒng)性工程。企業(yè)需要從管理、人員和技術(shù)3方面來滲透大數(shù)據(jù)意識及相關(guān)技術(shù)理念,為企業(yè)計算機系統(tǒng)構(gòu)筑防線,保護信息安全。
3.1 基于管理層面的計算機信息安全防護策略
社會企業(yè)其實就是大數(shù)據(jù)的主要來源,所以企業(yè)在對自身計算機信息安全進行保護過程中需要面臨可能存在的技術(shù)單一、難以滿足企業(yè)信息安全需求等問題。企業(yè)需要基于大數(shù)據(jù)技術(shù)來建立計算機信息安全防護機制,從大數(shù)據(jù)本身出發(fā),做到對數(shù)據(jù)的有效收集和合理分析,準確排查安全問題,建立企業(yè)計算機信息安全組織機構(gòu)。本文認為,該計算機信息安全防護策略中應(yīng)該包含安全運行監(jiān)管機制、信息安全快速響應(yīng)機制、信息訪問控制機制、信息安全管理機制以及災(zāi)難備份機制等等。在面對企業(yè)的關(guān)鍵性信息時,應(yīng)該在計算機系統(tǒng)中設(shè)置信息共享圈,盡可能降低外部不相關(guān)人員對于某些機密信息的接觸可能性,所以在此共享圈中還應(yīng)該設(shè)置信息共享層次安全結(jié)構(gòu),為信息安全施加“雙保險”。另一方面,企業(yè)管理層也應(yīng)該為計算機系統(tǒng)建立信息安全生態(tài)體系,一方面為保護管理層信息流通與共享,一方面也希望在大數(shù)據(jù)環(huán)境下實現(xiàn)信息技術(shù)的有效交流,為管理層提出企業(yè)決策提供有力技術(shù)支持。
再者,企業(yè)應(yīng)該完善大數(shù)據(jù)管理制度。首先企業(yè)應(yīng)該明確大數(shù)據(jù)主要由非結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)共同組成,所以要明確計算機系統(tǒng)中的所有大數(shù)據(jù)信息應(yīng)該通過周密分析與計算才能最終獲取,做到對系統(tǒng)中大數(shù)據(jù)存儲、分析、應(yīng)用與管理等流程的有效規(guī)范。舉例來說,某些企業(yè)在管理存儲于云端的第三方信息時,就應(yīng)該履行與云服務(wù)商所簽訂的第三方協(xié)議,在此基礎(chǔ)上來為企業(yè)自身計算機系統(tǒng)設(shè)置單獨隔離單元,防止信息泄露現(xiàn)象。另一方面,企業(yè)必須實施基于大數(shù)據(jù)的組織結(jié)構(gòu)扁平化建設(shè),這樣也能確保計算機系統(tǒng)信息流轉(zhuǎn)速度無限加快,有效降低企業(yè)基層員工與高層管理人員及領(lǐng)導(dǎo)之間的信息交流障礙[2]。
3.2基于人員層面的計算機信息安全防護策略
目前企業(yè)人員所應(yīng)用計算機個人系統(tǒng)已經(jīng)趨向于移動智能終端化,許多BYOD工作方案紛紛出現(xiàn)。這些工作方案利用智能移動終端連接企業(yè)內(nèi)部網(wǎng)絡(luò),可以實現(xiàn)對企業(yè)數(shù)據(jù)庫及內(nèi)部信息的有效訪問,這雖然能夠提高員工的工作積極性,節(jié)約企業(yè)購置辦公設(shè)備成本,但實際上它也間接加大了企業(yè)對算機信息安全的管理難度。具體來說,企業(yè)無法跟蹤員工的移動終端來監(jiān)控黑客行蹤,無法第一時間發(fā)現(xiàn)潛藏病毒對企業(yè)計算機系統(tǒng)及內(nèi)網(wǎng)安全的潛在威脅。因此企業(yè)需要針對員工個人來展開大數(shù)據(jù)背景下的信息流通及共享統(tǒng)計,明確員工在工作進程中信息的實際利用狀況。而且企業(yè)也應(yīng)該在基于保護大數(shù)據(jù)安全的背景下來強化員工信息安全教育,培養(yǎng)他們的信息安全意識,讓員工在使用BYOD進行企業(yè)內(nèi)部計算機數(shù)據(jù)庫訪問及相關(guān)信息共享過程中提前主動做好數(shù)據(jù)防護工作,輔助企業(yè)共同保護內(nèi)部重要機密信息。
3.3基于安全監(jiān)管技術(shù)層面的計算機信息安全防護策略
在大數(shù)據(jù)環(huán)境中,企業(yè)如果僅僅依靠計算機軟件來維持信息安全已經(jīng)無法滿足現(xiàn)實安全需求,如果能從安全監(jiān)管技術(shù)層面來提出相應(yīng)保護方案則要配合大數(shù)據(jù)相關(guān)技術(shù)來實施??紤]到企業(yè)容易受到高級可持續(xù)攻擊(Advanced Persistent Threat)載體的威脅(形成隱藏APT),不易被計算機系統(tǒng)發(fā)覺,為企業(yè)信息帶來不可估量威脅,所以企業(yè)應(yīng)該基于大數(shù)據(jù)技術(shù)來尋找APT在實施網(wǎng)絡(luò)攻擊時所留下的隱藏攻擊記錄,利用大數(shù)據(jù)配合計算機系統(tǒng)分析來找到APT攻擊源頭,從源頭遏制它所帶來的安全威脅,這種方法在企業(yè)已經(jīng)被證實為可行方案。另外,也可以考慮對企業(yè)計算系統(tǒng)中重要信息進行隔離存儲,利用較為完整的身份識別來訪問企業(yè)計算機管理系統(tǒng)。在這里會為每一位員工發(fā)放唯一的賬號密碼,并利用大數(shù)據(jù)來記錄員工在系統(tǒng)中操作的實時動態(tài),監(jiān)控他們的一切行為。企業(yè)要意識到大數(shù)據(jù)的財富化可能會導(dǎo)致計算機系統(tǒng)大量信息泄露,從而產(chǎn)生內(nèi)部威脅。所以在大數(shù)據(jù)背景下,應(yīng)該為計算機系統(tǒng)建立信息安全模式,利用其智能數(shù)據(jù)管理來實現(xiàn)系統(tǒng)的安全管理與自我監(jiān)控,盡可能減少人為操作所帶來的不必要失誤和信息篡改等安全問題。除此之外,企業(yè)也可以考慮建立大數(shù)據(jù)實時風(fēng)險模型,對計算機系統(tǒng)中所涉及的所有信息安全事件進行有效管理,協(xié)助企業(yè)完成預(yù)警報告、應(yīng)急響應(yīng)以及風(fēng)險分析,做好對內(nèi)外部違規(guī)、誤操作行為的有效審計,提高企業(yè)信息安全防護水平[3]。
4 總結(jié)
現(xiàn)代企業(yè)為保護計算機信息數(shù)據(jù)安全就必須與時俱進,結(jié)合大數(shù)據(jù)環(huán)境,利用信息管理、情報、數(shù)學(xué)模型構(gòu)建等多種科學(xué)理論來付諸實踐,分析大數(shù)據(jù)環(huán)境下可能影響到企業(yè)信息安全水平的各個因素,最后做出科學(xué)合理評價。本文僅僅從較淺角度分析了公司企業(yè)在大數(shù)據(jù)背景下對自身計算機信息安全的相關(guān)防護策略,希望為企業(yè)安全穩(wěn)定發(fā)展提供有益參考。
參考文獻:
[1] 尹淋雨.大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評價模型研究[D].安徽財經(jīng)大學(xué),2014:49-51.
熱門標(biāo)簽
相關(guān)文章
3關(guān)于農(nóng)業(yè)農(nóng)村工作計劃
4關(guān)于衛(wèi)生監(jiān)督協(xié)管工作計劃