信息安全行業(yè)分析范文

時(shí)間:2023-10-19 16:07:44

導(dǎo)語(yǔ):如何才能寫好一篇信息安全行業(yè)分析,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

信息安全行業(yè)分析

篇1

關(guān)鍵詞:航空企業(yè);信息系統(tǒng);安全處理;現(xiàn)狀;體系

中圖分類號(hào):TP393.08

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,信息數(shù)據(jù)系統(tǒng)廣泛應(yīng)用于航空企業(yè)的信息管理中。然而,航空企業(yè)因其服務(wù)行業(yè)的特性,需要不斷將航班等外部信息傳播發(fā)送給旅客,另一方面,航空企業(yè)內(nèi)部管理信息卻需要做到嚴(yán)格的保密,這就對(duì)航空企業(yè)的信息系統(tǒng)安全處理提出了高要求,航空企業(yè)必須建立一套全面完備的信息安全處理體系,只有這樣,才能提高航空運(yùn)輸信息的安全水平,保障航空企業(yè)的穩(wěn)定發(fā)展。

1 航空企業(yè)信息系統(tǒng)安全管處理現(xiàn)狀

近年來(lái),我國(guó)航空企業(yè)已經(jīng)開始廣泛應(yīng)用信息管理系統(tǒng)。在這些企業(yè)的信息系統(tǒng)中,包含了對(duì)交通服務(wù)、航班導(dǎo)航、天氣情況以及企業(yè)內(nèi)部信息的各類應(yīng)用,航空企業(yè)信息管理部門需要將這些信息進(jìn)行整合,構(gòu)建成為一個(gè)完整的信息管理系統(tǒng)。然而,從目前航空企業(yè)的信息系統(tǒng)安全管理來(lái)看,多數(shù)航空企業(yè)在進(jìn)行信息系統(tǒng)安全管理的研究時(shí),都是將重點(diǎn)集中在某一特定領(lǐng)域,通過(guò)病毒檢測(cè)系統(tǒng)、認(rèn)證系統(tǒng)等對(duì)特定領(lǐng)域進(jìn)行信息安全處理,并沒有一個(gè)全面完整的信息安全處理體系。

另外,國(guó)家有關(guān)部門已經(jīng)加強(qiáng)了對(duì)航空信息安全的重視,中國(guó)民用航空局頒布了關(guān)于管理民用航空安全信息的規(guī)定,通過(guò)將各航空企業(yè)的信息管理系統(tǒng)進(jìn)行統(tǒng)一監(jiān)督,統(tǒng)籌管理全行業(yè)的信息安全管理系統(tǒng)。無(wú)論從當(dāng)今形勢(shì)發(fā)展來(lái)看,還是從國(guó)家有關(guān)部門對(duì)信息系統(tǒng)安全管理的重視程度來(lái)看,建立一套完整的信息系統(tǒng)安全處理體系對(duì)于航空企業(yè)都是非常有必要的。

2 構(gòu)建航空企業(yè)信息系統(tǒng)安全處理體系

在對(duì)信息系統(tǒng)安全處理體系進(jìn)行構(gòu)建時(shí),應(yīng)當(dāng)遵循可行性、靈活性、擴(kuò)展性等原則,使信息系統(tǒng)的安全處理能夠滿足信息的完整性、保密性和可用性。在進(jìn)行信息系統(tǒng)安全處理體系構(gòu)建時(shí),可以用到的安全技術(shù)大致包括計(jì)算機(jī)病毒防范技術(shù)、信息偵測(cè)技術(shù)、安全操作平臺(tái)技術(shù)、安全審計(jì)和入侵預(yù)警技術(shù)、內(nèi)容分級(jí)監(jiān)管技術(shù)等。

2.1 構(gòu)建航空企業(yè)信息系統(tǒng)安全處理體系的初始步驟

(1)確定控制用戶訪問(wèn)的安全處理系統(tǒng)。在進(jìn)行訪問(wèn)權(quán)的控制時(shí),可以設(shè)置相應(yīng)的客戶端界面,利用DCE/Kerberos身份驗(yàn)證機(jī)制,只要用戶輸入的個(gè)人信息得到驗(yàn)證后,用戶才能進(jìn)行下一步訪問(wèn)。還可以設(shè)置一種封閉策略,只有得到授權(quán)的用戶才能獲得相應(yīng)信息。但是,在通過(guò)限制用戶訪問(wèn)來(lái)達(dá)到信息安全處理的效果時(shí),應(yīng)當(dāng)注意對(duì)數(shù)據(jù)信息的最大共享原則,使用戶能夠通過(guò)客戶端獲得對(duì)所有數(shù)據(jù)的訪問(wèn)權(quán),除非是不應(yīng)當(dāng)開放的保密性數(shù)據(jù)。

(2)建立備份制度和事務(wù)日志制度等。對(duì)于信息系統(tǒng)而言,其安全性總會(huì)受到一定的威脅,企業(yè)在進(jìn)行信息系統(tǒng)的安全處理時(shí),還應(yīng)當(dāng)重視對(duì)數(shù)據(jù)的備份,使數(shù)據(jù)能夠在受到安全威脅后得到有效恢復(fù)。

(3)確定信息數(shù)據(jù)安全的最小單位。在構(gòu)建航空企業(yè)信息系統(tǒng)的安全處理體系時(shí),可以將屬性或關(guān)系作為最小安全單位,從而滿足對(duì)信息安全性的高要求。

2.2 進(jìn)一步構(gòu)建航空企業(yè)信息系統(tǒng)安全處理體系的策略

在航空企業(yè)信息管理系統(tǒng)中,安全處理內(nèi)部保密信息是很重要的,但對(duì)需要向外界公布的信息數(shù)據(jù)也不容輕視,因此僅僅依靠DCE/Kerberos身份驗(yàn)證機(jī)制無(wú)法進(jìn)行全面的安全處理。

(1)建立信息系統(tǒng)的自行監(jiān)控和預(yù)警機(jī)制

保障信息系統(tǒng)高效穩(wěn)定的運(yùn)轉(zhuǎn)是航空企業(yè)進(jìn)行各項(xiàng)業(yè)務(wù)的關(guān)鍵,因此,在進(jìn)行信息系統(tǒng)的安全處理時(shí),首先應(yīng)當(dāng)做到的就是對(duì)系統(tǒng)運(yùn)行的監(jiān)控和預(yù)警,從而能夠早發(fā)現(xiàn)、早解決系統(tǒng)運(yùn)行問(wèn)題,避免影響航空業(yè)務(wù)的運(yùn)行。

(2)應(yīng)用各種安全產(chǎn)品,構(gòu)建全面的防御體系

在航空企業(yè)信息系統(tǒng)建立安全處理體系時(shí),航空企業(yè)應(yīng)當(dāng)加大投入力度,建立一個(gè)全面的防御體系,從而減少安全問(wèn)題的產(chǎn)生。例如,在建立防病毒、防黑客體系時(shí),可以通過(guò)部署應(yīng)用漏洞掃描軟件、防病毒軟件等安全產(chǎn)品,構(gòu)建出一個(gè)全面的防御體系,將信息系統(tǒng)的內(nèi)部運(yùn)轉(zhuǎn)充分控制起來(lái),從而能夠及早發(fā)現(xiàn)安全問(wèn)題,及早解決。

(3)設(shè)置控制用戶訪問(wèn)的安全處理策略

航空企業(yè)的信息系統(tǒng)在為用戶提供服務(wù)時(shí),使用的是一種端對(duì)端的信息交流方式,因此,保障信息傳遞過(guò)程中的信息安全,防止信息遭到修改是信息安全處理的重點(diǎn)。SOAP協(xié)議基于XML數(shù)據(jù)結(jié)構(gòu),它可以為用戶提供信息交換的平臺(tái)。為保護(hù)SOAP協(xié)議的安全性,進(jìn)而保障信息安全,我們可以進(jìn)行用戶查詢權(quán)、修改權(quán)及刪除權(quán)的設(shè)定,通過(guò)設(shè)立安全矩陣的方式將各類信息及各類人員的權(quán)限進(jìn)行分類處理,從而提高信息管理系統(tǒng)的運(yùn)行效率,如下表1所示。

通過(guò)這種矩陣式分類,就可以直觀地將各部門權(quán)限表現(xiàn)出來(lái),從而達(dá)到對(duì)信息系統(tǒng)客戶端的有效管理。

(4)實(shí)現(xiàn)信息系統(tǒng)各子系統(tǒng)之間訪問(wèn)管理的安全性

在信息系統(tǒng)的使用中,用戶對(duì)資源的使用往往會(huì)涉及到整個(gè)系統(tǒng)中的多數(shù)子系統(tǒng),在訪問(wèn)這些子系統(tǒng)時(shí),系統(tǒng)需要對(duì)授權(quán)進(jìn)行逐一判斷,這就會(huì)使系統(tǒng)屬性發(fā)生改變,安全隱患也就隨之而來(lái),因此,應(yīng)當(dāng)建立一種訪問(wèn)控制體系,用于對(duì)訪問(wèn)各子系統(tǒng)信息資源的安全處理。

UCON模型,就是適應(yīng)現(xiàn)代業(yè)務(wù)流程訪問(wèn)控制而產(chǎn)生的新型模型,包含了主體、客體和權(quán)限三個(gè)基本元素,它將義務(wù)、條件和授權(quán)作為了決策進(jìn)程的一部分,提供了一種更好的決策能力。這種模型區(qū)別于其他訪問(wèn)控制模型之處就在于它的可變屬性,可變屬性可以隨著訪問(wèn)對(duì)象的改變而發(fā)生改變,這種模型解決了傳統(tǒng)的訪問(wèn)控制技術(shù)缺乏綜合性的問(wèn)題,并涵蓋了安全和隱私兩個(gè)重要方面,是一種具有決策連續(xù)性和屬性易變性特點(diǎn)的訪問(wèn)控制模型。通過(guò)對(duì)UCON模型和數(shù)據(jù)庫(kù)管理系統(tǒng)的綜合使用,可以有效保護(hù)信息系統(tǒng)的數(shù)據(jù)資源,并能夠在結(jié)合其他技術(shù)的基礎(chǔ)上,對(duì)計(jì)算機(jī)系統(tǒng)資源和網(wǎng)絡(luò)資源進(jìn)行保護(hù),從而達(dá)到航空企業(yè)信息系統(tǒng)安全處理的目標(biāo),防止非法訪問(wèn)現(xiàn)象的發(fā)生。

2.3 構(gòu)建完善的航空企業(yè)信息系統(tǒng)安全處理體系

一個(gè)完整的信息系統(tǒng)安全處理體系,必須涵蓋了從客戶端到服務(wù)提供端,再到訪問(wèn)控制端的安全處理流程。首先,對(duì)于客戶端安全處理環(huán)節(jié)的實(shí)現(xiàn),可以借助用戶身份信息的收集和對(duì)服務(wù)返回結(jié)果的安全處理,并運(yùn)用DCE/Kerberos身份驗(yàn)證機(jī)制等安全平臺(tái)操作技術(shù)對(duì)信息系統(tǒng)的安全性進(jìn)行管理。其次,是對(duì)服務(wù)提供端安全處理的實(shí)現(xiàn),這一環(huán)節(jié)包括了對(duì)用戶身份的驗(yàn)證和對(duì)數(shù)據(jù)傳輸?shù)陌踩幚?,可以使用SOAP協(xié)議等安全審計(jì)技術(shù)為信息系統(tǒng)提供安全保障。最后,是對(duì)訪問(wèn)控制端安全處理的實(shí)現(xiàn),這一環(huán)節(jié)可以分為對(duì)系統(tǒng)各環(huán)節(jié)的信息匹配和對(duì)訪問(wèn)控制服務(wù)的安全處理,是整個(gè)信息系統(tǒng)安全處理的重要環(huán)節(jié),在構(gòu)建系統(tǒng)安全處理體系時(shí),可以使用UCON模型將訪問(wèn)控制權(quán)具體化,并設(shè)立安全矩陣,最終達(dá)到信息系統(tǒng)安全處理的目的。

總結(jié):

航空企業(yè)的行業(yè)特性,決定了構(gòu)建符合其行業(yè)特點(diǎn)的信息系統(tǒng)安全處理體系是一個(gè)復(fù)雜而繁瑣的過(guò)程,企業(yè)信息安全管理部門應(yīng)當(dāng)從實(shí)際出發(fā),結(jié)合企業(yè)信息系統(tǒng)的客戶端、服務(wù)端以及數(shù)據(jù)庫(kù)對(duì)信息安全的不同要求,運(yùn)用現(xiàn)代化技術(shù),依據(jù)信息系統(tǒng)設(shè)計(jì)原則,構(gòu)建一個(gè)既能滿足共享性,又能滿足保密性的獨(dú)特的安全處理體系。另外,企業(yè)管理部門不僅要加大對(duì)技術(shù)的扶持和研發(fā),還應(yīng)當(dāng)注重對(duì)企業(yè)內(nèi)部人員的信息安全教育,能夠建立一個(gè)完善的信息系統(tǒng)管理制度,從而使企業(yè)人員能夠積極進(jìn)行信息系統(tǒng)的安全防護(hù)。

參考文獻(xiàn):

[1]郝梁怡.淺析民航空管信息安全管理[J].中國(guó)科技縱橫,2013(12).

[2]張?jiān)聘?基于SMS關(guān)鍵要素的航空公司安全管理信息系統(tǒng)分析與設(shè)計(jì)[J].電子科技大學(xué),2011(1).

[3]田波,吳倩,甄浩.航空公司信息安全管理系統(tǒng)的構(gòu)建與安全保障體系研究[J].情報(bào)科學(xué),2011(9).

[4]白瑜.基于UCON的訪問(wèn)控制的應(yīng)用[J].電力學(xué)報(bào),2012(6).

[5]付茂沼.民用航空信息安全研究[J].中國(guó)民航飛行學(xué)院學(xué)報(bào),2010(3).

[6]姜鵬.民航空管信息處理系統(tǒng)的安全保障[J].中國(guó)新技術(shù)新產(chǎn)品,2011(13).

篇2

關(guān)鍵詞:藥品物流管理系統(tǒng);信息安全素養(yǎng);信息安全干預(yù)

21世紀(jì)是一個(gè)全方位大數(shù)據(jù)的時(shí)代,從紙張過(guò)渡到電子病歷系統(tǒng)的醫(yī)療記錄數(shù)據(jù)呈指數(shù)級(jí)增長(zhǎng)[1,2],但在體驗(yàn)信息化帶來(lái)的前所未有便捷的同時(shí),巨大信息安全隱患也逐漸浮出水面,正逐漸引起大眾的高度重視和警覺[3~5]。2014年醫(yī)療/保健行業(yè)在所有報(bào)告的數(shù)據(jù)泄露事件中所占比例超過(guò)42%,遠(yuǎn)高于其他行業(yè)(如銀行/金融、商業(yè)、教育等)[6~8]。上海市執(zhí)行了藥品陽(yáng)光采購(gòu)平臺(tái),在此基礎(chǔ)上建立了藥品物流管理系統(tǒng),該系統(tǒng)利用信息化技術(shù)手段和智能設(shè)施設(shè)備讓藥品在供應(yīng)、分揀、配送等各個(gè)環(huán)節(jié),實(shí)現(xiàn)公司、醫(yī)院、科室、患者之間一體化、精細(xì)化管理。盡管目前實(shí)施了藥品安全信息化監(jiān)管,但是藥品信息錯(cuò)綜復(fù)雜、工作人員意識(shí)薄弱、藥品信息管理人員復(fù)雜,一旦信息泄露,存在醫(yī)保套用、患者信息泄露被不法分子利用、統(tǒng)方等隱患。藥品信息的管理核心是人員的管理,監(jiān)管的最終目標(biāo)也是保障藥品安全供應(yīng)和合理使用。金山區(qū)自2016起開始陽(yáng)光平臺(tái)藥品采購(gòu)試點(diǎn),在上海市率先執(zhí)行了藥品物流管理系統(tǒng)。本文結(jié)合工作實(shí)際,對(duì)金山區(qū)藥品物流管理系統(tǒng)的信息管理人員和使用者的安全意識(shí)進(jìn)行調(diào)查、評(píng)估和干預(yù),為提高全市藥品相關(guān)人員的信息安全水平,減少因信息泄露而導(dǎo)致的醫(yī)療安全事件的發(fā)生提供參考。

1對(duì)象與方法

1.1研究對(duì)象

金山區(qū)藥品物流管理系統(tǒng)全部管理用戶,包括藥品陽(yáng)光采購(gòu)平臺(tái)、藥品物流管理系統(tǒng)、各醫(yī)療機(jī)構(gòu)HIS系統(tǒng)藥品信息管理人員、使用人員193人。

1.2研究?jī)?nèi)容與方法

1.2.1名詞定義與指標(biāo)計(jì)算方法藥品物流管理系統(tǒng):利用信息化技術(shù)手段和智能設(shè)施設(shè)備讓藥品在供應(yīng)、分揀、配送等各個(gè)環(huán)節(jié),實(shí)現(xiàn)公司、醫(yī)院、科室、患者之間一體化、精細(xì)化管理的系統(tǒng)。信息安全素養(yǎng):指人員在信息化條件下對(duì)信息安全的認(rèn)識(shí)以及對(duì)信息安全表現(xiàn)的綜合能力,包括信息安全動(dòng)機(jī)、信息安全知識(shí)、信息安全能力、信息行為等內(nèi)容[4]。指標(biāo)計(jì)算方法:參考《中國(guó)居民健康素養(yǎng)調(diào)查》方案設(shè)計(jì),正確回答題目的賦值1分,題目回答錯(cuò)誤的賦值0分,計(jì)算每名調(diào)查對(duì)象最終的答題得分。根據(jù)專家咨詢意見,所有問(wèn)題全部回答正確視為具備總體信息安全素養(yǎng),對(duì)信息安全知識(shí)問(wèn)題、信息安全動(dòng)機(jī)問(wèn)題、信息安全角色認(rèn)知問(wèn)題、信息安全行為問(wèn)題全部回答正確的分別視為該調(diào)查對(duì)象具備這四個(gè)方面的信息安全素養(yǎng)。1.2.2系統(tǒng)用戶信息安全素養(yǎng)水平調(diào)查通過(guò)文獻(xiàn)研究收集國(guó)內(nèi)外關(guān)于信息安全的相關(guān)材料以及實(shí)踐工作中的經(jīng)驗(yàn)等內(nèi)容,初步形成評(píng)估問(wèn)卷和調(diào)查問(wèn)卷,通過(guò)德爾菲法選擇衛(wèi)生信息化領(lǐng)域工作經(jīng)驗(yàn)豐富的專家開展問(wèn)卷設(shè)計(jì)咨詢,所有專家均為衛(wèi)生信息化領(lǐng)域或健康行為研究領(lǐng)域;本科及以上學(xué)歷;工作經(jīng)驗(yàn)豐富,從事相關(guān)工作5年以上,最終選擇了上海市疾病預(yù)防控制中心信息所、金山區(qū)衛(wèi)生信息中心等8名專家對(duì)問(wèn)卷進(jìn)行審核、修訂,針對(duì)部分調(diào)查對(duì)象進(jìn)行預(yù)調(diào)查后對(duì)存在的問(wèn)題進(jìn)行相應(yīng)的修改,形成最終的評(píng)估和調(diào)查問(wèn)卷,問(wèn)卷由基本情況、信息安全知識(shí)、信息安全動(dòng)機(jī)、信息安全角色認(rèn)知、信息安全行為和系統(tǒng)用戶信息等6部分條目構(gòu)成。對(duì)金山區(qū)藥品物流管理系統(tǒng)的所有用戶開展面對(duì)面問(wèn)卷調(diào)查。問(wèn)卷調(diào)查在調(diào)查前向受訪者進(jìn)行調(diào)查說(shuō)明,承諾調(diào)查信息保密,在受訪者知情同意后開展調(diào)查,提高受訪者的支持配合。問(wèn)卷調(diào)查后及時(shí)整理和質(zhì)控,確保信息完整。1.2.3信息安全干預(yù)措施實(shí)施后效果調(diào)查采用整群隨機(jī)分組方法,以一個(gè)社區(qū)的系統(tǒng)用戶為一個(gè)群組,將金山區(qū)11個(gè)社區(qū)的所有系統(tǒng)用戶隨機(jī)分為干預(yù)組和對(duì)照組,結(jié)合用戶信息安全素養(yǎng)調(diào)查過(guò)程中發(fā)現(xiàn)的問(wèn)題,對(duì)干預(yù)組進(jìn)行進(jìn)行信息安全干預(yù),實(shí)施包括培訓(xùn)講座、專項(xiàng)指導(dǎo)、發(fā)放信息安全宣傳材料、微信宣傳等一系列有針對(duì)性的干預(yù)措施;對(duì)照組則不給予任何干預(yù)措施。干預(yù)后對(duì)兩組進(jìn)行終末調(diào)查,對(duì)比兩組在基線和終末調(diào)查時(shí)信息安全素養(yǎng)水平的變化情況。

1.3數(shù)據(jù)整理與分析

使用EpiData3.1軟件建立數(shù)據(jù)庫(kù),用spss19.0軟件進(jìn)行統(tǒng)計(jì)分析。計(jì)數(shù)資料以構(gòu)成比(%)表示,比較采用χ2檢驗(yàn);計(jì)量資料以x珋±s表示。P<0.05為差異有統(tǒng)計(jì)學(xué)意義。

2結(jié)果

2.1人口學(xué)特征

金山藥品物流管理系統(tǒng)用戶人數(shù)共計(jì)193人,發(fā)放問(wèn)卷193份,收集到有效問(wèn)卷共163份,問(wèn)卷有效回收率84.46%?;厥諉?wèn)卷的男女性別比為0.43∶1,平均年齡為(34.69±9.32)歲;用戶角色中,58.9%是普通用戶,41.1%是管理賬戶;52.15%的調(diào)查對(duì)象是各醫(yī)療機(jī)構(gòu)藥庫(kù)工作人員,31.90%為各醫(yī)療機(jī)構(gòu)信息科信息管理人員。調(diào)查對(duì)象的人口學(xué)特征分布見表1。

2.2問(wèn)卷的信度效度分析

信度(reliability)目前最常用的是Alpha信度系數(shù),一般情況下主要考慮量表的內(nèi)在信度———項(xiàng)目之間是否具有較高的內(nèi)在一致性。通過(guò)Alpha信度系數(shù)分析,本研究中,量表的信息安全知識(shí)、動(dòng)機(jī)、角色認(rèn)知、行為等四個(gè)維度的信度系數(shù)均>0.7,總體信度系數(shù)為0.732,問(wèn)表明該問(wèn)卷具有可接受的信度。問(wèn)卷的效度分析主要采用因子分析了解結(jié)構(gòu)效度,首先對(duì)問(wèn)卷數(shù)據(jù)進(jìn)行KMO樣本測(cè)度和巴特萊特球體檢驗(yàn),以驗(yàn)證數(shù)據(jù)是否適合做因子分析,得到KMO值為0.713,巴特萊特球體檢驗(yàn)P<0.01,適合作因子分析。按特征值>1的標(biāo)準(zhǔn)提取公共因子,共提取5個(gè)因子,并采用方差最大正交旋轉(zhuǎn)進(jìn)行因子旋轉(zhuǎn),所得因子間不相關(guān),累計(jì)方差貢獻(xiàn)率為60.023%。一般認(rèn)為累計(jì)方差貢獻(xiàn)率大于60%,問(wèn)卷結(jié)構(gòu)效度尚可。

2.3信息安全素養(yǎng)干預(yù)前后對(duì)比

干預(yù)組和對(duì)照組的基本情況見表2。兩組性別、年齡、教育程度及賬戶角色構(gòu)成等方面差異無(wú)統(tǒng)計(jì)學(xué)意義(P>0.05),具有可比性?;€調(diào)查時(shí),干預(yù)組和對(duì)照組在總體素養(yǎng)、知識(shí)、動(dòng)機(jī)、角色認(rèn)知方面無(wú)明顯差異(P>0.05)。終末調(diào)查時(shí),在知識(shí)、角色認(rèn)知、行為等三方面,干預(yù)組明顯高于對(duì)照組(P<0.05),而在總體素養(yǎng)和動(dòng)機(jī)方面兩組沒有顯著差異(P>0.05)。干預(yù)后,干預(yù)組的總體素養(yǎng)、知識(shí)、動(dòng)機(jī)、角色認(rèn)知等水平素養(yǎng)均有顯著提高(P<0.05或P<0.01),但信息安全行為水平無(wú)明顯提升(P>0.05);對(duì)照組用戶的各項(xiàng)安全素養(yǎng)水平與總體水平在基線和終末調(diào)查中均無(wú)明顯變化(P>0.05)。見表3.

2.4較薄弱的藥品信息安全問(wèn)題集中點(diǎn)

通過(guò)對(duì)調(diào)查結(jié)果逐一分析,回答正確標(biāo)記1分,回答錯(cuò)誤標(biāo)記為0分,將各題目分?jǐn)?shù)累計(jì)綜合除以總?cè)藬?shù),得到回答合格率。結(jié)果顯示,系統(tǒng)用戶部分問(wèn)題的合格率較低,對(duì)合格率較低的重點(diǎn)問(wèn)題進(jìn)行匯總和分析,見表4。以準(zhǔn)確發(fā)現(xiàn)在金山區(qū)藥品物流管理系統(tǒng)用戶之間存在的信息安全方面的問(wèn)題,便于在后期干預(yù)工作中有針對(duì)性的開展干預(yù)和信息安全素養(yǎng)提升措施。

3討論

3.1金山區(qū)藥品物流管理系統(tǒng)用戶的信息安全水平亟待于進(jìn)一步的提高

信息的泄露主要是在于醫(yī)療機(jī)構(gòu)和信息服務(wù)機(jī)構(gòu)人員使用、管理過(guò)程中出現(xiàn)的無(wú)意泄露,更多時(shí)候信息泄露于無(wú)意識(shí)的情況下[9,10],另外組織環(huán)境也對(duì)用戶提供參考,并對(duì)用戶的某些行為有一定的積極或消極的作用[11]。本次調(diào)查發(fā)現(xiàn)金山區(qū)藥品物流管理系統(tǒng)用戶對(duì)信息安全的重視程度不夠,用戶在信息保護(hù)、信息安全風(fēng)險(xiǎn)防范方面的能力遠(yuǎn)不能達(dá)到實(shí)際的工作要求,尤其是在信息安全行為方面存在較為嚴(yán)重風(fēng)險(xiǎn)行為,醫(yī)務(wù)工作者需要提高保護(hù)個(gè)人隱私信息的能力和意識(shí),否則將在不經(jīng)意的情況下,侵犯或泄漏醫(yī)療信息資料。同時(shí),應(yīng)通過(guò)增強(qiáng)信息系統(tǒng)安全性、建立相應(yīng)的管理制度、加強(qiáng)培訓(xùn)宣傳、規(guī)范工作流程以及用戶操作行為等措施,提高信息系統(tǒng)的安全性。

3.2信息安全干預(yù)措施有效提升了用戶的信息安全素養(yǎng)水平

通過(guò)實(shí)施一系列的干預(yù)措施,干預(yù)組的信息安全總體素養(yǎng)、信息安全知識(shí)、信息安全動(dòng)機(jī)、信息安全角色認(rèn)知在干預(yù)前后的差異具有統(tǒng)計(jì)學(xué)意義,均有了顯著的提高,但信息安全行為干預(yù)前后沒有顯著的變化,知識(shí)、動(dòng)機(jī)、認(rèn)知的提高沒有明顯的轉(zhuǎn)化為具體行為的改善,后期應(yīng)注重在提高知識(shí)、動(dòng)機(jī)、認(rèn)知的同時(shí)注重行為的強(qiáng)化和培養(yǎng)。對(duì)照組用戶的信息安全素養(yǎng)總體水平以及信息安全知識(shí)、信息安全動(dòng)機(jī)、信息安全角色認(rèn)知、信息安全行為等幾方面水平在基線和終末調(diào)查中均沒有明顯的變化,可見對(duì)系統(tǒng)用戶通過(guò)多途徑的實(shí)施具有針對(duì)性的信息安全干預(yù)措施能有效提高用戶的信息安全素養(yǎng)水平。

3.3組織管理制度的完善和系統(tǒng)安全設(shè)置要求的提升

干預(yù)結(jié)束后,通過(guò)梳理制定金山藥品物流管理系統(tǒng)安全管理制度,對(duì)管理網(wǎng)絡(luò)、組織分工、賬戶管理、數(shù)據(jù)流通等方面作了詳盡的規(guī)定。根據(jù)管理制度的規(guī)定[12],通過(guò)系統(tǒng)運(yùn)維人員在密碼策略、用戶權(quán)限、賬戶清理等方面從系統(tǒng)方面進(jìn)行了設(shè)置和強(qiáng)制性要求。在信息安全素養(yǎng)干預(yù)手段沒有有效發(fā)揮作用的部分,通過(guò)制度約束和技術(shù)手段強(qiáng)制,彌補(bǔ)了信息安全教育、培訓(xùn)等手段的不足,實(shí)現(xiàn)金山區(qū)藥品物流管理系統(tǒng)安全性的全面提升。

3.4小結(jié)

篇3

大數(shù)據(jù)時(shí)代信息安全面臨挑戰(zhàn)

在大數(shù)據(jù)時(shí)代,無(wú)處不在的智能終端、隨時(shí)在線的網(wǎng)絡(luò)傳輸、互動(dòng)頻繁的社交網(wǎng)絡(luò)使得互聯(lián)網(wǎng)時(shí)時(shí)刻刻都在產(chǎn)生著海量的數(shù)據(jù)。隨著產(chǎn)生、存儲(chǔ)、分析的數(shù)據(jù)量越來(lái)越大,在這些海量數(shù)據(jù)背后隱藏著大量的經(jīng)濟(jì)與政治利益。大數(shù)據(jù)如同一把雙刃劍,在我們享受大數(shù)據(jù)分析帶來(lái)的精準(zhǔn)信息的同時(shí),其所帶來(lái)的安全問(wèn)題也開始成為企業(yè)的隱患。

1、黑客更顯著的攻擊目標(biāo):在網(wǎng)絡(luò)空間里,大數(shù)據(jù)是更容易被“發(fā)現(xiàn)”的大目標(biāo)。一方面,大數(shù)據(jù)意味著海量的數(shù)據(jù),也意味著更復(fù)雜、更敏感的數(shù)據(jù),這些數(shù)據(jù)會(huì)吸引更多的潛在攻擊者。另一方面,數(shù)據(jù)的大量匯集,使得黑客成功攻擊一次就能獲得更多數(shù)據(jù),無(wú)形中降低了黑客的攻擊成本,增加了其“收益率”。

2、隱私泄露風(fēng)險(xiǎn)增加:大量數(shù)據(jù)的匯集不可避免地加大了用戶隱私泄露的風(fēng)險(xiǎn)。一方面,數(shù)據(jù)集中存儲(chǔ)增加了泄露風(fēng)險(xiǎn),而這些數(shù)據(jù)不被濫用,也成為人身安全的一部分。另一方面,一些敏感數(shù)據(jù)的所有權(quán)和使用權(quán)并沒有明確界定,很多基于大數(shù)據(jù)的分析都未考慮到其中涉及的個(gè)體隱私問(wèn)題。

3、威脅現(xiàn)有的存儲(chǔ)和防護(hù)措施:大數(shù)據(jù)存儲(chǔ)帶來(lái)新的安全問(wèn)題。數(shù)據(jù)大集中的后果是復(fù)雜多樣的數(shù)據(jù)存儲(chǔ)在一起,很可能會(huì)出現(xiàn)將某些生產(chǎn)數(shù)據(jù)放在經(jīng)營(yíng)數(shù)據(jù)存儲(chǔ)位置的情況,致使企業(yè)安全管理不合規(guī)。大數(shù)據(jù)的大小也影響到安全控制措施能否正確運(yùn)行。安全防護(hù)手段的更新升級(jí)速度無(wú)法跟上數(shù)據(jù)量非線性增長(zhǎng)的步伐,就會(huì)暴露大數(shù)據(jù)安全防護(hù)的漏洞。

4、大數(shù)據(jù)技術(shù)成為黑客的攻擊手段:在企業(yè)用數(shù)據(jù)挖掘和數(shù)據(jù)分析等大數(shù)據(jù)技術(shù)獲取商業(yè)價(jià)值的同時(shí),黑客也在利用這些大數(shù)據(jù)技術(shù)向企業(yè)發(fā)起攻擊。黑客會(huì)最大限度地收集更多有用信息,比如社交網(wǎng)絡(luò)、郵件、微博、電子商務(wù)、電話和家庭住址等信息,大數(shù)據(jù)分析使黑客的攻擊更加精準(zhǔn)。此外,大數(shù)據(jù)也為黑客發(fā)起攻擊提供了更多機(jī)會(huì)。黑客利用大數(shù)據(jù)發(fā)起僵尸網(wǎng)絡(luò)攻擊,可能會(huì)同時(shí)控制上百萬(wàn)臺(tái)傀儡機(jī)并發(fā)起攻擊。

5、成為高級(jí)可持續(xù)攻擊的載體:傳統(tǒng)的檢測(cè)是基于單個(gè)時(shí)間點(diǎn)進(jìn)行的基于威脅特征的實(shí)時(shí)匹配檢測(cè),而高級(jí)可持續(xù)攻擊(APT)是一個(gè)實(shí)施過(guò)程,無(wú)法被實(shí)時(shí)檢測(cè)。此外,由于大數(shù)據(jù)的價(jià)值低密度特性,使得安全分析工具很難聚焦在價(jià)值點(diǎn)上,黑客可以將攻擊隱藏在大數(shù)據(jù)中,給安全服務(wù)提供商的分析制造很大困難。黑客設(shè)置的任何一個(gè)會(huì)誤導(dǎo)安全廠商目標(biāo)信息提取和檢索的攻擊,都會(huì)導(dǎo)致安全監(jiān)測(cè)偏離應(yīng)有方向。

6、信息安全產(chǎn)業(yè)面臨變革:大數(shù)據(jù)的到來(lái)也為信息安全產(chǎn)業(yè)的發(fā)展帶來(lái)了新的契機(jī),還沒有意識(shí)到這場(chǎng)變革的安全廠商將在這場(chǎng)變革大潮中被拋棄。大數(shù)據(jù)正在為安全分析提供新的可能性,在未來(lái)的安全架構(gòu)體系中,通過(guò)大數(shù)據(jù)智能分析有效的將原來(lái)分割的安全產(chǎn)品更好的融合起來(lái),成為不同的安全智能節(jié)點(diǎn),這將是在大數(shù)據(jù)時(shí)代安全產(chǎn)業(yè)需要研究突破的重點(diǎn)。

RSA信息安全智能分析平臺(tái)解析

日前,EMC信息安全事業(yè)部RSA宣布推出了RSA信息安全智能分析平臺(tái),該平臺(tái)基于RSA NetWitness成熟的技術(shù)架構(gòu),并將SIEM、網(wǎng)絡(luò)取證(Network Forensics)和大數(shù)據(jù)分析技術(shù)進(jìn)行了融合,為信息安全專業(yè)人員提供了深度可視性,幫助他們察看和了解安全漏洞及安全攻擊,使安全風(fēng)險(xiǎn)一出現(xiàn)就能被發(fā)現(xiàn),因此顯著節(jié)省了時(shí)間,將查找時(shí)間從幾天縮短為幾分鐘。另外,通過(guò)幫助信息安全專業(yè)人員了解起源于企業(yè)內(nèi)部及外部的數(shù)字風(fēng)險(xiǎn),企業(yè)還能更好地保護(hù)自己的資產(chǎn),包括知識(shí)產(chǎn)權(quán)以及其他敏感數(shù)據(jù),同時(shí)節(jié)省與安全威脅管理及法規(guī)遵從報(bào)告有關(guān)的時(shí)間和費(fèi)用。

RSA信息安全智能分析平臺(tái)特性:

數(shù)據(jù)快速捕獲與分析:與信息安全相關(guān)的數(shù)據(jù),包括通過(guò)網(wǎng)絡(luò)傳送的完整數(shù)據(jù)包、日志和安全威脅情報(bào),都能快速捕獲和分析,以加速對(duì)潛在安全威脅的檢測(cè)。

強(qiáng)大的分析能力:實(shí)現(xiàn)比基于SIEM的傳統(tǒng)安全方法大得多的數(shù)據(jù)采集規(guī)模,而且新的分析方法具有更強(qiáng)大的分析能力。

集成了應(yīng)對(duì)安全威脅的智能性:幫助企業(yè)實(shí)現(xiàn)安全威脅情報(bào)供給的可操作性,以加速對(duì)指向企業(yè)的、潛在攻擊工具及方法的檢測(cè)和查找。

安全威脅的背景信息:通過(guò)與RSA Archer GRC平臺(tái)以及與RSA防數(shù)據(jù)丟失(DLP)套件的集成,還通過(guò)融合其他產(chǎn)品產(chǎn)生的數(shù)據(jù),分析人員可以利用業(yè)務(wù)背景信息,為造成最大風(fēng)險(xiǎn)的安全威脅優(yōu)先分配資源。

惡意軟件識(shí)別:該解決方案利用各種查找方法識(shí)別基于惡意軟件的攻擊,識(shí)別范圍大得多。

法規(guī)遵從報(bào)告自動(dòng)化:通過(guò)良好的信息安全實(shí)踐,幫助實(shí)現(xiàn)法規(guī)遵從性。

成熟的大數(shù)據(jù)平臺(tái)及分析方法與信息安全工具相集成,使信息安全保障方式取得了極大的進(jìn)步。正如所開發(fā)的那樣,RSA信息安全智能分析平臺(tái)整合了無(wú)與倫比的可視性,可利用大數(shù)據(jù)平臺(tái)及先進(jìn)的分析方法,識(shí)別高風(fēng)險(xiǎn)活動(dòng)、降低高級(jí)安全威脅風(fēng)險(xiǎn)并滿足法規(guī)遵從要求。

大數(shù)據(jù)安全未來(lái)趨勢(shì)展望

據(jù)MacDonald預(yù)測(cè),到2016年,40%的企業(yè)(銀行、保險(xiǎn)、醫(yī)藥和國(guó)防行業(yè)為主)將積極地對(duì)至少10TB數(shù)據(jù)進(jìn)行分析,以找出潛在危險(xiǎn)的活動(dòng)。然而,供應(yīng)商的產(chǎn)品格局卻無(wú)法在短期內(nèi)進(jìn)行轉(zhuǎn)變。現(xiàn)在,企業(yè)通常依賴于SIEM系統(tǒng)來(lái)關(guān)聯(lián)和分析安全相關(guān)的數(shù)據(jù),MacDonald表示目前的SIEM產(chǎn)品無(wú)法處理這么大的工作量,大多數(shù)SIEM產(chǎn)品提供接近實(shí)時(shí)數(shù)據(jù),但只能處理規(guī)范化數(shù)據(jù),還有些SIEM產(chǎn)品能夠處理大量原始交易數(shù)據(jù),但無(wú)法提供實(shí)時(shí)情報(bào)信息。

Gartner公司分析師表示,使用“大數(shù)據(jù)”來(lái)提高企業(yè)信息安全不完全是炒作,這在未來(lái)幾年內(nèi)這將成為現(xiàn)實(shí)。大數(shù)據(jù)將為安全團(tuán)隊(duì)帶來(lái)新的工作方式,通過(guò)了解大數(shù)據(jù)的優(yōu)勢(shì)、制定切合實(shí)際的目標(biāo)以及利用現(xiàn)有安全技術(shù)的優(yōu)勢(shì),安全管理人員將會(huì)發(fā)現(xiàn)他們?cè)诖髷?shù)據(jù)進(jìn)行的投資是值得的。

篇4

1.1政府和行業(yè)對(duì)互聯(lián)網(wǎng)信息安全重視程度增加

隨著近些年來(lái)網(wǎng)絡(luò)信息安全問(wèn)題的不斷發(fā)酵,網(wǎng)絡(luò)安全問(wèn)題已經(jīng)拓展到國(guó)家安全的角度,國(guó)家的重視度不斷增加?,F(xiàn)在,國(guó)家網(wǎng)絡(luò)安全的行業(yè)進(jìn)入了一個(gè)加速發(fā)展的時(shí)代,網(wǎng)絡(luò)安全對(duì)政治商業(yè)和經(jīng)濟(jì)等利益都有較大的影響,因此,網(wǎng)絡(luò)安全行業(yè)的發(fā)展已經(jīng)到了存量和增量大幅增加的階段。從政府方面來(lái)講,政府正在加大加國(guó)產(chǎn)硬件和軟件及一些安全軟件的采購(gòu)力度,逐步提升企事業(yè)單位的IT基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)防御能力;從企事業(yè)單位的方面來(lái)講,我們用于信息安全的投資明顯的低于世界平均水平?,F(xiàn)在,各類網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)及一些商業(yè)機(jī)密泄露等事件敲響了企事業(yè)單位安全意識(shí)的警鐘,企事業(yè)但是開始強(qiáng)化數(shù)據(jù)保護(hù)和提高安全防御措施。

1.2互聯(lián)網(wǎng)犯罪猖獗

現(xiàn)在網(wǎng)絡(luò)違法犯罪活動(dòng)愈發(fā)猖獗。一些不法分子利用互聯(lián)網(wǎng)進(jìn)行各種各樣的違法犯罪活動(dòng),如賭博、詐騙、撒播謠言、竊密盜竊等不法活動(dòng),還有通過(guò)互聯(lián)網(wǎng)攻擊竊取數(shù)據(jù)和機(jī)密等的犯罪活動(dòng)。這些通過(guò)互聯(lián)網(wǎng)進(jìn)行的違法犯罪不僅危害了公民的合法權(quán)益,而且破壞了國(guó)家的安全和社會(huì)的穩(wěn)定。

1.3網(wǎng)絡(luò)安全產(chǎn)業(yè)有很大的發(fā)展空間

伴隨著大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等技術(shù)的快速應(yīng)用,互聯(lián)網(wǎng)已經(jīng)影響到我們生活的方方面面,而網(wǎng)絡(luò)安全產(chǎn)業(yè)也面臨著新的機(jī)遇和挑戰(zhàn)。為了保證國(guó)家的網(wǎng)絡(luò)安全,要不斷發(fā)展有自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品?,F(xiàn)在由于互聯(lián)網(wǎng)的核心的設(shè)施、技術(shù)還有比較高端的服務(wù)還是主要依賴于國(guó)外的進(jìn)口,在操作系統(tǒng)使用、專用芯片制造和大型應(yīng)用軟件開發(fā)等方面都存在著嚴(yán)重的安全的隱患。因此,具有自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品和產(chǎn)業(yè)有非常廣闊的發(fā)展空間和發(fā)展前景。

1.4互聯(lián)網(wǎng)信息安全研究成為熱點(diǎn)

現(xiàn)在可穿戴設(shè)備、智能終端等設(shè)備的應(yīng)用非常廣泛,信息安全問(wèn)題是現(xiàn)在互聯(lián)網(wǎng)技術(shù)研究的熱點(diǎn)問(wèn)題,隨著研究的深入進(jìn)行和技術(shù)的不斷發(fā)展,會(huì)幫助解決互聯(lián)網(wǎng)在安全方面所遇到的問(wèn)題。現(xiàn)在已經(jīng)有很多的高校將互聯(lián)網(wǎng)信息安全作為專門的課程開設(shè),這也有助于我國(guó)互聯(lián)網(wǎng)信息安全研究的發(fā)展。

2加強(qiáng)我國(guó)互聯(lián)網(wǎng)信息安全對(duì)策

2.1發(fā)揮政府功能,強(qiáng)化法規(guī)建設(shè),建立全國(guó)范圍內(nèi)的網(wǎng)絡(luò)安全協(xié)助機(jī)制

隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全受到巨大的威脅,針對(duì)這種情況,要加強(qiáng)公民的網(wǎng)絡(luò)安全教育工作,盡可能提升全民的網(wǎng)絡(luò)安全的基礎(chǔ)知識(shí)和水平,增強(qiáng)公民的“網(wǎng)絡(luò)道德”意識(shí),保護(hù)我國(guó)網(wǎng)絡(luò)信息的安全。而且要進(jìn)一步強(qiáng)化網(wǎng)絡(luò)立法以及執(zhí)法的能力,深化政府職能,完善法規(guī)建設(shè),在全國(guó)范圍內(nèi)建立網(wǎng)絡(luò)安全協(xié)助的機(jī)制,這樣有助于協(xié)調(diào)全國(guó)網(wǎng)絡(luò)的安全運(yùn)行。制定出網(wǎng)絡(luò)在建設(shè)階段和運(yùn)行階段的安全級(jí)別的定義和安全行為的細(xì)則,安全程度的考核評(píng)定等標(biāo)準(zhǔn)化文本,分析網(wǎng)絡(luò)出現(xiàn)的攻擊手段,報(bào)告系統(tǒng)漏洞并給出“補(bǔ)丁”程序,并且對(duì)全國(guó)范圍內(nèi)協(xié)調(diào)網(wǎng)絡(luò)安全建設(shè),另外,還要大力提高我國(guó)自主研發(fā),生產(chǎn)相關(guān)的應(yīng)用系統(tǒng)與網(wǎng)絡(luò)安全的能力,用以代替進(jìn)口產(chǎn)品。

2.2加大互聯(lián)網(wǎng)信息安全犯罪的打擊力度

目前,互聯(lián)網(wǎng)技術(shù)的發(fā)展速度已經(jīng)遠(yuǎn)遠(yuǎn)超越了網(wǎng)絡(luò)犯罪的立法速度,有一些立法對(duì)互聯(lián)網(wǎng)犯罪的處罰力度非常輕,還有一些互聯(lián)網(wǎng)犯罪活動(dòng)并沒有相關(guān)的法律規(guī)定。這種情況對(duì)于加大網(wǎng)絡(luò)信息安全的打擊力度是非常不利的。因此,現(xiàn)在要加快對(duì)互聯(lián)網(wǎng)犯罪的立法工作,使得在處理互聯(lián)網(wǎng)犯罪的時(shí)候可以做到有法可依。近些年,國(guó)家加大了最互聯(lián)網(wǎng)的監(jiān)督和監(jiān)管力度,使得很多的互聯(lián)網(wǎng)犯罪活動(dòng)能夠在較短的時(shí)間內(nèi)得到取證和解決,但是相對(duì)而言,公民的互聯(lián)網(wǎng)安全意思還是比較淡薄,因此,提高公民的互聯(lián)網(wǎng)安全意識(shí)也成了迫在眉睫需要解決的問(wèn)題。

2.3加大網(wǎng)絡(luò)信息安全的宣傳和教育的工作

現(xiàn)今社會(huì),互聯(lián)網(wǎng)已經(jīng)深入到生活的方方面面,互聯(lián)網(wǎng)正在改變著人們傳統(tǒng)的生活方式,人們的生活離不開互聯(lián)網(wǎng)??墒请S之而來(lái)的是計(jì)算機(jī)病毒、計(jì)算機(jī)犯罪、計(jì)算機(jī)黑客等問(wèn)題,影響著人們對(duì)互聯(lián)網(wǎng)的正常和安全使用,更是影響到國(guó)家的經(jīng)濟(jì)發(fā)展和安全。因此,加大我國(guó)網(wǎng)絡(luò)信息安全的宣傳和教育工作是一件非常急迫的事情,通過(guò)不斷提高公民的網(wǎng)絡(luò)安全意識(shí),能夠有效避免一些網(wǎng)絡(luò)犯罪的發(fā)生,并且對(duì)提高我國(guó)整體網(wǎng)絡(luò)安全有很大的幫助。要不斷的通過(guò)電視、網(wǎng)絡(luò)、報(bào)紙等多種媒體進(jìn)行網(wǎng)絡(luò)安全知識(shí)的宣傳,讓網(wǎng)絡(luò)安全意識(shí)深入人心。

2.4建立互聯(lián)網(wǎng)的信息安全預(yù)警和應(yīng)急保障制度

重點(diǎn)加強(qiáng)對(duì)全社會(huì)信息安全問(wèn)題的統(tǒng)籌安排,對(duì)信息安全工作責(zé)任制要不斷深化細(xì)化;加強(qiáng)重點(diǎn)信息領(lǐng)域的安全保障工作,推動(dòng)信息安全等工作的開展、要把安全測(cè)評(píng)、應(yīng)急管理等信息安全基本制度落到實(shí)處;加快推進(jìn)網(wǎng)絡(luò)與信息安全應(yīng)急基礎(chǔ)平臺(tái)建設(shè);提升信息安全綜合監(jiān)管和服務(wù)水平,積極應(yīng)對(duì)信息安全新情況、新問(wèn)題,針對(duì)云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用開展專項(xiàng)研究,建立信息安全風(fēng)險(xiǎn)評(píng)估和應(yīng)對(duì)機(jī)制;建立統(tǒng)一的網(wǎng)絡(luò)信任體系、信息安全測(cè)評(píng)認(rèn)證平臺(tái)、電子政務(wù)災(zāi)難備份中心等基礎(chǔ)設(shè)施等,力求對(duì)信息安全保障工作形成更強(qiáng)的基礎(chǔ)支撐。

2.5技術(shù)防護(hù)安全策略

技術(shù)防護(hù)是確保網(wǎng)站信息安全的有力措施,在技術(shù)防護(hù)上,主要做好以下幾方面工作:一是要加強(qiáng)網(wǎng)絡(luò)環(huán)境安全;二是加強(qiáng)網(wǎng)站平臺(tái)安全管理;三是加強(qiáng)網(wǎng)站代碼安全;四是加強(qiáng)數(shù)據(jù)安全。

3結(jié)語(yǔ)

篇5

關(guān)鍵詞:地市煙草;網(wǎng)絡(luò)安全;技術(shù);管理

中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2014) 02-0000-02

煙草行業(yè)自1985年有了第一臺(tái)計(jì)算機(jī)以來(lái),經(jīng)過(guò)20多年行業(yè)信息化工作者孜孜不倦的努力,行業(yè)的信息化建設(shè)工作取得了長(zhǎng)足的發(fā)展,建立了涵蓋行業(yè)各個(gè)方面工作的完備的信息網(wǎng)絡(luò),為行業(yè)工作的便捷開展提供了可靠的信息化助力,為“卷煙上水平”做出了應(yīng)有的貢獻(xiàn)。但不可否認(rèn)的是,在信息化建設(shè)之初,由于經(jīng)驗(yàn)的缺乏及技術(shù)的限制,沒有形成一個(gè)具有遠(yuǎn)見性及科學(xué)性,能與行業(yè)整體業(yè)務(wù)發(fā)展戰(zhàn)略緊密融合的信息網(wǎng)絡(luò)安全建設(shè)戰(zhàn)略,導(dǎo)致多年來(lái)行業(yè)信息網(wǎng)絡(luò)安全建設(shè)工作缺乏統(tǒng)一的導(dǎo)向和組織,雖然各省煙草公司都制定并出臺(tái)了計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)與管理規(guī)范,指導(dǎo)各地市的信息網(wǎng)絡(luò)建設(shè),但因?yàn)橹贫瘸雠_(tái)時(shí)間較短,及網(wǎng)絡(luò)改造需要流程與時(shí)間,可以說(shuō)目前各地市網(wǎng)絡(luò)安全建設(shè)水平仍不夠理想,信息網(wǎng)絡(luò)安全建設(shè)發(fā)展至今,越來(lái)越多的困難與矛盾開始逐漸凸顯。

一、地市煙草公司信息網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀

地市煙草信息網(wǎng)絡(luò)是構(gòu)成全省煙草信息網(wǎng)絡(luò)的個(gè)體,因此地市信息網(wǎng)絡(luò)安全建設(shè)水平便直接關(guān)系全省信息網(wǎng)絡(luò)建設(shè)水平,是構(gòu)成全省信息網(wǎng)絡(luò)安全建設(shè)的一環(huán),就像構(gòu)成木桶的一板,依據(jù)管理學(xué)上“木桶效應(yīng)”的短板理論,木桶的盛水量由構(gòu)成木桶的最短的一板決定,當(dāng)有一個(gè)地市信息網(wǎng)絡(luò)安全建設(shè)水平大大低于平均水平,就將大大拉低全省煙草信息網(wǎng)絡(luò)整體安全防護(hù)水平??梢哉f(shuō)全省煙草的信息網(wǎng)路安全建設(shè)必將是環(huán)環(huán)相扣的,一環(huán)均不得松懈,一環(huán)均不得落后。

地市信息網(wǎng)絡(luò)安全建設(shè)關(guān)系到全行業(yè)主干的網(wǎng)絡(luò)的安全與穩(wěn)定,而信息網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及系統(tǒng)的脆弱性、開放性和易受攻擊性,決定了信息網(wǎng)絡(luò)安全威脅的客觀存在。當(dāng)行業(yè)人員在享受著信息網(wǎng)絡(luò)給日常辦公帶來(lái)便利性的同時(shí),信息網(wǎng)絡(luò)安全問(wèn)題也日漸突出,信息網(wǎng)絡(luò)安全建設(shè)形勢(shì)日益嚴(yán)峻。結(jié)合地市煙草實(shí)際情況分析總結(jié)(某地市煙草信息網(wǎng)絡(luò)安全結(jié)構(gòu)圖如下),以及筆者日常的實(shí)際工作體會(huì),主要可以總結(jié)出當(dāng)前地市煙草信息網(wǎng)絡(luò)安全建設(shè)還主要存在著以下幾方面問(wèn)題:

(一)將信息網(wǎng)絡(luò)安全建設(shè)理解為單純的安全設(shè)備采購(gòu)

經(jīng)過(guò)多年的信息化網(wǎng)絡(luò)安全建設(shè)投入,一種簡(jiǎn)單的理念容易令一些行業(yè)信息化工作從業(yè)者產(chǎn)生誤解,即所謂的信息網(wǎng)絡(luò)安全建設(shè)就是網(wǎng)絡(luò)安全設(shè)備的采購(gòu),只要網(wǎng)絡(luò)安全設(shè)備采購(gòu)部署到位,信息網(wǎng)絡(luò)安全便高枕無(wú)憂,從一定角度來(lái)說(shuō),這種觀點(diǎn)并沒有錯(cuò)誤,隨著信息技術(shù)的發(fā)展,日益先進(jìn)強(qiáng)大的網(wǎng)絡(luò)安全設(shè)備層出不窮,人性化的操作界面也使得設(shè)備使用與配置變得不再困難,對(duì)信息網(wǎng)絡(luò)安全起到很好的保障。各地市煙草公司也在逐年增加著安全設(shè)備的采購(gòu)數(shù)量,網(wǎng)絡(luò)安全隨著安全設(shè)備的增加看起來(lái)已經(jīng)不再是問(wèn)題。但實(shí)際情況是這樣嗎?在實(shí)際情況中我們?nèi)匀粫?huì)發(fā)現(xiàn),地市煙草在重視網(wǎng)絡(luò)安全設(shè)備采購(gòu)的時(shí)卻較為忽視對(duì)網(wǎng)絡(luò)安全設(shè)備采購(gòu)的前期規(guī)劃,導(dǎo)致亟需網(wǎng)絡(luò)設(shè)備沒有得到采購(gòu),或者采購(gòu)的安全設(shè)備沒有得到很好的實(shí)施。造成重復(fù)投資及資產(chǎn)浪費(fèi)的局面,同時(shí)設(shè)備上線實(shí)施后期的運(yùn)行維護(hù)及更新升級(jí),隨著時(shí)間的流逝,人為的懈怠與忽視,都導(dǎo)致購(gòu)買的安全設(shè)備沒有起到最大的作用。

(二)信網(wǎng)絡(luò)安全建設(shè)偏重技術(shù)鉆研,忽略日常管理

信息網(wǎng)絡(luò)安全不能完全依賴技術(shù)手段來(lái)解決,更多的需要從信息安全日常管理上入手,畢竟信息網(wǎng)絡(luò)的使用者是人,只有對(duì)人的管理到位,才能保證在技術(shù)手段搭建的網(wǎng)絡(luò)安全保障平臺(tái)下不出現(xiàn)人為操作引發(fā)的漏洞。當(dāng)前地市信息化工作從業(yè)者在對(duì)信息安全技術(shù)鉆研方面投以了很大的熱情,但對(duì)信息網(wǎng)絡(luò)安全日常管理方面卻顯得無(wú)能為力,或者說(shuō)掌控能力還不夠,雖然制定并頒布了涵蓋網(wǎng)絡(luò)安全各方面的信息化制度,但相關(guān)制度卻沒有得到很好的貫徹執(zhí)行,很多制度名存實(shí)亡,而行業(yè)各級(jí)員工良好信息網(wǎng)絡(luò)安全使用習(xí)慣始終沒有得到養(yǎng)成,信息安全問(wèn)責(zé)機(jī)制得不到很好實(shí)施,同時(shí)而信息中心作為相關(guān)信息安全管理制度的制定者,受限于部門職能及自身管理水平所限,導(dǎo)致對(duì)制度執(zhí)行的監(jiān)督管理能力低下。而在信息網(wǎng)絡(luò)安全管理不力的情況下,致使再?gòu)?qiáng)大的技術(shù)防護(hù)都無(wú)法避免管理缺失形成的隱患。

(三)信息網(wǎng)絡(luò)安全建設(shè)重視對(duì)外防護(hù),忽視對(duì)內(nèi)防護(hù)

當(dāng)前網(wǎng)絡(luò)安全建設(shè)更多的針對(duì)外來(lái)攻擊的防護(hù),而忽視對(duì)內(nèi)的安全防護(hù),更多的是在網(wǎng)絡(luò)邊界搭設(shè)安全設(shè)備抵御從外部而來(lái)的非法入侵及非法訪問(wèn),而針對(duì)內(nèi)部終端用戶的審計(jì)及跟蹤則較為缺失。根據(jù)統(tǒng)計(jì)結(jié)果標(biāo)明,99.9%的網(wǎng)絡(luò)安全事件來(lái)源于網(wǎng)絡(luò)內(nèi)部,而只有0.1%安全事件來(lái)自于外部,絕大多網(wǎng)絡(luò)安全事件來(lái)自于以內(nèi)部客戶端為跳板進(jìn)行的網(wǎng)絡(luò)攻擊。當(dāng)企業(yè)內(nèi)部存在有惡意的攻擊者,他們就能較好的規(guī)避防火墻等安全設(shè)備的安全策略,并把安全策略轉(zhuǎn)向?qū)τ谒麄冇欣囊幻?,?duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊。同時(shí)外部的黑客,也能通過(guò)木馬,能讓內(nèi)部用戶運(yùn)行他們指定的程序,操縱主機(jī),竊取數(shù)據(jù),這些都源于當(dāng)前的信息網(wǎng)絡(luò)建設(shè)對(duì)來(lái)自網(wǎng)絡(luò)內(nèi)部攻擊防護(hù)較為薄弱,同時(shí)對(duì)內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制把控力度做得較為不足,雖部署有桌面終端管理系統(tǒng),但在相應(yīng)策略部署上,沒有及時(shí)到位,而該系統(tǒng)特殊的技術(shù)阻斷方式,也在一定程度容易導(dǎo)致其阻斷率無(wú)法達(dá)到100%。

(四)網(wǎng)絡(luò)安全建設(shè)應(yīng)急機(jī)制不健全

目前地市信息網(wǎng)絡(luò)安全建設(shè)更多的是重視的日常安全巡檢等日常檢查工作,但是對(duì)網(wǎng)絡(luò)突發(fā)事件的應(yīng)急處置則較為欠缺,地市網(wǎng)絡(luò)安全建設(shè)應(yīng)急機(jī)制建立不健全,缺乏相應(yīng)網(wǎng)絡(luò)事故應(yīng)急預(yù)案及相關(guān)演練,對(duì)突況的應(yīng)變不熟練,導(dǎo)致出現(xiàn)突發(fā)的網(wǎng)絡(luò)安全事故時(shí)則會(huì)變得手忙腳亂,無(wú)法很好應(yīng)對(duì)突發(fā)事件帶來(lái)的異常,促使事故造成的損失愈發(fā)嚴(yán)重,同時(shí)沒有良好的容災(zāi)備份機(jī)制,一旦信息安全事故發(fā)生,是否能快速有效的恢復(fù)關(guān)鍵數(shù)據(jù)成為疑問(wèn)。

二、針對(duì)當(dāng)前網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀的一些建議

針對(duì)當(dāng)前地市煙草信息網(wǎng)絡(luò)安全建設(shè)過(guò)程中存在的問(wèn)題,通過(guò)一定的分析總結(jié),參照最新的技術(shù)規(guī)范及管理理念,以及上級(jí)的制度規(guī)定,我們?cè)囂岢鲆韵聨讞l改進(jìn)建議,以達(dá)到全面提升信息網(wǎng)絡(luò)安全建設(shè)實(shí)用性、科學(xué)性、全面性、穩(wěn)定性的效果,具體如下:

(一)加強(qiáng)網(wǎng)絡(luò)安全設(shè)備采購(gòu)的前期規(guī)劃及合理配置實(shí)用

網(wǎng)絡(luò)安全設(shè)備的采購(gòu)應(yīng)加強(qiáng)前期規(guī)劃及需求分析工作,不能無(wú)目的,無(wú)原則的一味追求高新設(shè)備,當(dāng)前的現(xiàn)狀是各地市對(duì)網(wǎng)絡(luò)安全的設(shè)備采購(gòu)均存在著檔次及匹配性問(wèn)題,存在過(guò)大及追高的弊病,形成投資浪費(fèi),同時(shí)由于項(xiàng)目管控能力較弱,前期規(guī)劃不足,購(gòu)置的設(shè)備在配置實(shí)施后等不到很好的使用,或起不到原先預(yù)想的效果。因此要加強(qiáng)項(xiàng)目前期規(guī)劃,做好需求調(diào)研與需求分析工作,對(duì)網(wǎng)絡(luò)安全設(shè)備應(yīng)起到的效果及采購(gòu)設(shè)備級(jí)別有準(zhǔn)確的預(yù)估,加強(qiáng)采購(gòu)項(xiàng)目的整體實(shí)施管控,并重點(diǎn)關(guān)注設(shè)備采購(gòu)后的實(shí)施上線工作,做好安全策略的制定和部署,要充分利用設(shè)備、活用設(shè)備,充分達(dá)到應(yīng)起的效用,在設(shè)備正式上線運(yùn)行后,要做好安全防護(hù)策略的及時(shí)更新與修訂,作好安全設(shè)備的日常巡檢工作,保證安全設(shè)備始終發(fā)揮作用,而不是上線運(yùn)行一段時(shí)間后就閑置不管。通過(guò)對(duì)購(gòu)置網(wǎng)絡(luò)安全設(shè)備活用、善用,提升資產(chǎn)投資價(jià)值,搭建堅(jiān)固穩(wěn)妥信息網(wǎng)絡(luò)安全環(huán)境,促進(jìn)信息網(wǎng)絡(luò)安全建設(shè)的實(shí)用性。

(二)建立完善的信息網(wǎng)絡(luò)安全日常管理體系

加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的日常管理工作,應(yīng)以培養(yǎng)員工的良好的網(wǎng)絡(luò)安全習(xí)慣為工作重點(diǎn)。所謂信息網(wǎng)絡(luò)安全建設(shè)“三分技術(shù),七分管理”,管理到位,信息網(wǎng)絡(luò)安全建設(shè)也將事半功倍。一味單純的依靠技術(shù)進(jìn)行網(wǎng)絡(luò)安全防護(hù),而管理上存在漏洞,再?gòu)?qiáng)大的技術(shù)也將一無(wú)所用。好的技術(shù),加上完善嚴(yán)密的管理,才能確保信息網(wǎng)絡(luò)安全、堅(jiān)固、穩(wěn)妥。因此要注重建立完善信息安全管理保障體系,加強(qiáng)安全監(jiān)管和信息安全等級(jí)保護(hù)工作,要對(duì)網(wǎng)絡(luò)設(shè)備的安全性和信息安全專用產(chǎn)品實(shí)行強(qiáng)制認(rèn)證。同時(shí)在加強(qiáng)對(duì)員工日常信息安全理念培訓(xùn)的同時(shí),要與接入網(wǎng)內(nèi)的計(jì)算機(jī)終端使用者簽訂信息安全責(zé)任狀,樹立“誰(shuí)使用、誰(shuí)負(fù)責(zé)”、“誰(shuí)管理、誰(shuí)負(fù)責(zé)”的信息安全理念,嚴(yán)格落實(shí)信息安全責(zé)任制,確保員工不敢輕易觸碰信息安全底限,養(yǎng)成良好信息網(wǎng)路安全使用習(xí)慣。通過(guò)建立全面多級(jí)信息網(wǎng)絡(luò)安全管理體系,增進(jìn)信息網(wǎng)絡(luò)建設(shè)的科學(xué)性。

(三)加強(qiáng)信息網(wǎng)絡(luò)安全建設(shè)對(duì)內(nèi)防護(hù)工作

地市公司目前均在互聯(lián)網(wǎng)出口及邊界架設(shè)了硬件防火墻等安全設(shè)備,但由于防火墻的特殊技術(shù)架構(gòu),其對(duì)內(nèi)部通過(guò)防火墻外部的數(shù)據(jù)是不進(jìn)行檢測(cè)的,這就導(dǎo)致黑客可以利用內(nèi)網(wǎng)主機(jī)上的后門程序,建立隱蔽信道,攻破防火墻,因此其在抵御外部攻擊上起到較好作用,但面對(duì)來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊就顯得束手無(wú)策,針對(duì)這一情況,在進(jìn)行信息網(wǎng)絡(luò)安全建設(shè)的同時(shí),應(yīng)重點(diǎn)加強(qiáng)信息網(wǎng)絡(luò)安全的內(nèi)部防護(hù)工作,而加強(qiáng)對(duì)客戶端的上網(wǎng)行為審計(jì)及網(wǎng)絡(luò)準(zhǔn)入控制,就成了加強(qiáng)信息網(wǎng)絡(luò)內(nèi)部安全建設(shè)的必然選擇。客戶端接入網(wǎng)絡(luò)的同時(shí),通過(guò)對(duì)其安全狀況及授權(quán)情況進(jìn)行檢測(cè),只有安全狀況符合要求,得到合理授權(quán)的客戶端才能正常接入辦公網(wǎng)絡(luò)。應(yīng)在互聯(lián)網(wǎng)出口處,防火墻之前,部署上網(wǎng)行為管理設(shè)備,對(duì)客戶端出互聯(lián)網(wǎng)的數(shù)據(jù)進(jìn)行檢測(cè)及篩選,降低客戶端進(jìn)行危險(xiǎn)的互聯(lián)網(wǎng)訪問(wèn),感染病毒,遭受攻擊的分險(xiǎn)。通過(guò)加強(qiáng)信息網(wǎng)絡(luò)安全建設(shè)的內(nèi)部防護(hù),提升信息網(wǎng)絡(luò)安全的全面性。

(四)加強(qiáng)信息網(wǎng)路安全建設(shè)應(yīng)急機(jī)制建設(shè)及演練

要加強(qiáng)信息網(wǎng)絡(luò)安全建設(shè)的應(yīng)急機(jī)制建設(shè),加強(qiáng)應(yīng)急預(yù)案的實(shí)施演練,增強(qiáng)對(duì)網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急處理能力。每年應(yīng)進(jìn)行定期仿真度高的應(yīng)急方案演練,模擬網(wǎng)絡(luò)安全事故發(fā)生時(shí)可能發(fā)生的情況,進(jìn)行針對(duì)性演習(xí)。在方案演練前,要做好演練前期的方案策劃,演練過(guò)程的完全記錄,演練過(guò)后的總結(jié)分析工作。并以此來(lái)不斷改進(jìn)現(xiàn)有的應(yīng)急預(yù)案。同時(shí)應(yīng)做好容災(zāi)備份工作,進(jìn)行關(guān)鍵網(wǎng)絡(luò)設(shè)備的冗余配置及重要數(shù)據(jù)庫(kù)的備份工作,確保發(fā)生突發(fā)事件后,能夠及時(shí)進(jìn)行網(wǎng)絡(luò)及數(shù)據(jù)恢復(fù)工作,將突發(fā)事件帶來(lái)的影響降到最低,不過(guò)多的影響正常辦公業(yè)務(wù)的開展,確保信息網(wǎng)絡(luò)安全的穩(wěn)定性。

四、結(jié)束語(yǔ)

煙草是個(gè)比較特殊的行業(yè),在專賣體制下實(shí)行“統(tǒng)一領(lǐng)導(dǎo)?垂直管理?壟斷經(jīng)營(yíng)”,處于一種行政限產(chǎn)型的壟斷狀態(tài)。行業(yè)的特殊性要求我們必須克服特殊體制帶來(lái)的缺陷,高效的開展行業(yè)信息化建設(shè)工作。地市信息網(wǎng)絡(luò)安絡(luò),作為全省信息網(wǎng)絡(luò)的組成部分,其信息安全建設(shè)水平?jīng)Q定了全省信息網(wǎng)絡(luò)安全性與穩(wěn)定性,其重要性不言而喻,只有重視信息網(wǎng)絡(luò)安全建設(shè),重視當(dāng)前信息網(wǎng)絡(luò)安全建設(shè)過(guò)程中發(fā)現(xiàn)的問(wèn)題,通過(guò)科學(xué)的規(guī)劃,合理的布局,周密的實(shí)施,去逐漸改變當(dāng)前的不利局面,才能確保信息網(wǎng)絡(luò)安全建設(shè)的科學(xué)性、全面性、穩(wěn)定性與實(shí)用性,確保日常信息網(wǎng)絡(luò)的平穩(wěn)運(yùn)轉(zhuǎn),為全行業(yè)的快速發(fā)展提供穩(wěn)定強(qiáng)大的信息化助力!

參考文獻(xiàn):

[1]福建省煙草公司.計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)與管理規(guī)范[Z].2012.

[2]盧昱,王宇.信息網(wǎng)絡(luò)安全控制[M].北京:國(guó)防工業(yè)出版社,2011.

篇6

關(guān)鍵詞:網(wǎng)絡(luò)信息安全狀況缺陷威脅對(duì)策建議

中圖分類號(hào):TN711 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):

網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個(gè)層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全,即硬件平臺(tái)、操作系統(tǒng)、應(yīng)用軟件;運(yùn)行服務(wù)安全,即保證服務(wù)的連續(xù)性、高效率;信息安全則是指對(duì)信息的精確性、真實(shí)性、機(jī)密性、完整性、可用性和效用性的保護(hù)。網(wǎng)絡(luò)信息安全是網(wǎng)絡(luò)賴以生存的根基,只有安全得到保障,網(wǎng)絡(luò)才能充分發(fā)揮自身的價(jià)值。

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用和飛速發(fā)展,計(jì)算機(jī)信息網(wǎng)絡(luò)已成為現(xiàn)代信息社會(huì)的基礎(chǔ)設(shè)施。它作為進(jìn)行信息交流、開展各種社會(huì)活動(dòng)的基礎(chǔ)工具,已深入到人們工作和生活當(dāng)中。人類在盡情享受網(wǎng)絡(luò)信息帶來(lái)的巨大財(cái)富和便捷的同時(shí),計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題也隨之日益突出,安全問(wèn)題已成為人們普遍關(guān)注的問(wèn)題。

1、目前計(jì)算機(jī)網(wǎng)絡(luò)主要存在的缺陷:

1.1操作系統(tǒng)的漏洞――操作系統(tǒng)是一個(gè)復(fù)雜的軟件包,即使研究人員考慮的比較周密,但幾年來(lái),發(fā)現(xiàn)在許多操作系統(tǒng)中存在著漏洞,漏洞逐漸被填補(bǔ)。操作系統(tǒng)最大的漏洞是I/O處理,I/O命令通常駐留在用戶內(nèi)存空間,任何用戶在I/O操作開始之后都可以改變命令的源地址或目的地址。由于系統(tǒng)已進(jìn)行過(guò)一次存取檢查,因此在每次每塊數(shù)據(jù)傳輸時(shí)并不再檢查,僅只改變傳輸?shù)刂?。這種漏洞為黑客打開了方便之門。此外,操作系統(tǒng)還存在著其它漏洞。

1.2 TCP/IP協(xié)議的漏洞――TCP/IP協(xié)議應(yīng)用的目的是為了在INTERNET上的應(yīng)用,雖然TCP/IP是標(biāo)準(zhǔn)的通信協(xié)議。但設(shè)計(jì)時(shí)對(duì)網(wǎng)絡(luò)的安全性考慮的不夠完全,仍存在著漏洞。由于采用明文傳輸,在傳輸過(guò)程中攻擊者可以截取電子郵件進(jìn)行攻擊,通過(guò)網(wǎng)頁(yè)中輸入口令或填寫個(gè)人資料也很容易劫持。另外TCP/IP協(xié)議以IP地址作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識(shí),并沒有對(duì)節(jié)點(diǎn)上的用戶身份進(jìn)行認(rèn)證。這是導(dǎo)致網(wǎng)絡(luò)不安全的又一個(gè)原因。

1.3應(yīng)用系統(tǒng)安全漏洞――WEB服務(wù)器和瀏覽器難以保障安全,最初人們引入CGI程序目的是讓主頁(yè)活起來(lái),然而很多人在編CGI程序時(shí)對(duì)軟件包并不十分了解,多數(shù)人不是新編程序,而是對(duì)程序加以適當(dāng)?shù)男薷?這樣一來(lái),很多CGI程序就難免具有相同安全漏洞。

1.4網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)。一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞,其運(yùn)行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)的需求沒有引起足夠的重視,設(shè)計(jì)和選型考慮欠周密,從而使網(wǎng)絡(luò)功能發(fā)揮受阻,影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級(jí)換代。二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。

1.5安全管理的漏洞――由于缺少網(wǎng)絡(luò)管理員,信息系統(tǒng)管理不規(guī)范,不能定期進(jìn)行安全測(cè)試、檢查,缺少網(wǎng)絡(luò)安全監(jiān)控等對(duì)網(wǎng)絡(luò)安全都產(chǎn)生威脅。

2、網(wǎng)絡(luò)信息安全主要面對(duì)的威脅:

2.1軟件漏洞:每一個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無(wú)缺陷和漏洞的。這就使我們的計(jì)算機(jī)處于危險(xiǎn)的境地,一旦連接入網(wǎng),將成為眾矢之的。

2.2配置不當(dāng):安全配置不當(dāng)造成安全漏洞,例如,防火墻軟件的配置不正確,那么它根本不起作用。對(duì)特定的網(wǎng)絡(luò)應(yīng)用程序,當(dāng)它啟動(dòng)時(shí),就打開了一系列的安全缺口,許多與該軟件捆綁在一起的應(yīng)用軟件也會(huì)被啟用。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置,否則,安全隱患始終存在。

2.3安全意識(shí)不強(qiáng):用戶口令選擇不慎,或?qū)⒆约旱膸ぬ?hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。

2.4病毒:目前數(shù)據(jù)安全的頭號(hào)大敵是計(jì)算機(jī)病毒,它是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù),影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行并且能夠自我復(fù)制的一組 計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等 特點(diǎn)。因此,提高對(duì)病毒的防范刻不容緩。

2.5黑客:對(duì)于計(jì)算機(jī)數(shù)據(jù)安全構(gòu)成威脅的另一個(gè)方面是來(lái)自電腦黑客(backer)。電腦黑客利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng),其危害性非常大。從某種意義上講,黑客對(duì)信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。

3、應(yīng)采取的對(duì)策建議

3.1加快完善我國(guó)信息安全政策法規(guī)建設(shè)

3.1.1、進(jìn)一步完善我國(guó)信息安全法律體系。適應(yīng)新形勢(shì)變化,制定新的信息安全法律,規(guī)范網(wǎng)絡(luò)空間主體的權(quán)利和義務(wù),尤其在打擊網(wǎng)絡(luò)犯罪、信息資源保護(hù)、信息資源和數(shù)據(jù)的跨國(guó)流動(dòng)等方面加強(qiáng)立法,明確相關(guān)主體應(yīng)當(dāng)承擔(dān)的法律責(zé)任和義務(wù),逐步構(gòu)建起信息安全立法框架。

3.1.2、建立完善的信息安全監(jiān)督管理制度體系。進(jìn)一步加強(qiáng)信息安全等級(jí)保護(hù)工作,推進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估工作,建立有效的信息安全審查制度,對(duì)航空航天、石油石化、電力系統(tǒng)等重要領(lǐng)域中應(yīng)用的核心技術(shù)和產(chǎn)品進(jìn)行安全檢查和風(fēng)險(xiǎn)評(píng)估。

3.1.3、參考WTO規(guī)則制定我國(guó)信息安全行業(yè)管理規(guī)范。堅(jiān)持政府引導(dǎo),行業(yè)自律的原則,針對(duì)信息安全行業(yè)中個(gè)人隱私、惡意競(jìng)爭(zhēng)等公眾比較關(guān)注的問(wèn)題,加強(qiáng)行業(yè)管理規(guī)范和行業(yè)自律準(zhǔn)則的制定和實(shí)施,規(guī)范信息安全企業(yè)的行為。

3.2加強(qiáng)我國(guó)信息安全保障體制機(jī)制建設(shè)

3.2.1、進(jìn)一步加強(qiáng)網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組對(duì)我國(guó)網(wǎng)絡(luò)安全的統(tǒng)一領(lǐng)導(dǎo)和協(xié)調(diào)職責(zé),提高保障網(wǎng)絡(luò)安全、應(yīng)對(duì)網(wǎng)絡(luò)犯罪、推動(dòng)網(wǎng)絡(luò)應(yīng)用和宣傳推廣等工作的協(xié)調(diào)能力,加強(qiáng)信息安全工作體制機(jī)制建設(shè),建立運(yùn)轉(zhuǎn)順暢、協(xié)調(diào)有力、分工合理、責(zé)任明確的信息安全管理體制。

3.2.2、逐步對(duì)各部委信息安全職能單位進(jìn)行調(diào)整,打破現(xiàn)在各部門“分工負(fù)責(zé)、各司其職”的條塊方式,依據(jù)十“穩(wěn)步推進(jìn)大部制改革”的指導(dǎo)精神,實(shí)現(xiàn)對(duì)信息安全部門的整合,成立“大信息安全機(jī)構(gòu)”。

3.2.3、成立國(guó)家級(jí)的信息安全支撐機(jī)構(gòu)――中國(guó)信息安全研究院,整合各方信息安全支撐機(jī)構(gòu),打造集信息安全政策、法規(guī)、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)業(yè)研究為一體的支撐團(tuán)隊(duì),形成對(duì)信息安全領(lǐng)域重大問(wèn)題、關(guān)鍵技術(shù)的持續(xù)研究能力,提高我國(guó)信息安全產(chǎn)業(yè)的核心競(jìng)爭(zhēng)力。

3.3全面提升新興技術(shù)安全風(fēng)險(xiǎn)防護(hù)能力

一是加大對(duì)云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新興技術(shù)研發(fā)的資金投入,加強(qiáng)核心技術(shù)攻關(guān),提高我國(guó)對(duì)新興技術(shù)的掌控能力,形成擁有自主知識(shí)產(chǎn)權(quán)的安全產(chǎn)業(yè)鏈條。二是加快網(wǎng)絡(luò)防護(hù)、入侵檢測(cè)、身份管理等信息安全關(guān)鍵技術(shù)研發(fā),并與新興技術(shù)結(jié)合起來(lái),提高新興技術(shù)在應(yīng)用過(guò)程的安全防護(hù)能力,如在基于PKI體系的電子認(rèn)證技術(shù)基礎(chǔ)上,研發(fā)應(yīng)用于云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)上的身份管理等安全防護(hù)技術(shù)。三是建立新興技術(shù)的信息安全預(yù)警機(jī)制,成立專門的機(jī)構(gòu)對(duì)新興技術(shù)的信息安全隱患進(jìn)行分析和研究,并為公眾提供相關(guān)技術(shù)的使用指南或標(biāo)準(zhǔn),對(duì)于關(guān)鍵領(lǐng)域或部門則應(yīng)出臺(tái)強(qiáng)制性標(biāo)準(zhǔn)或規(guī)定,限制新興技術(shù)的使用方式和范圍,如國(guó)家應(yīng)如何對(duì)掌控大量經(jīng)濟(jì)、地理等關(guān)鍵領(lǐng)域數(shù)據(jù)的企業(yè)進(jìn)行管控,限制其對(duì)相關(guān)數(shù)據(jù)的使用權(quán)限和范圍等。 結(jié)語(yǔ)

網(wǎng)絡(luò)信息安全作為一項(xiàng)動(dòng)態(tài)工程,它的安全程度會(huì)隨著時(shí)間的變化而發(fā)生變化。在信息技術(shù)日新月異的今天,我們需要隨著時(shí)間和網(wǎng)絡(luò)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略。關(guān)于如何解決好網(wǎng)絡(luò)安全問(wèn)題,網(wǎng)絡(luò)安全技術(shù)與工具是網(wǎng)絡(luò)安全的基礎(chǔ),高水平的網(wǎng)絡(luò)安全技術(shù)隊(duì)伍是網(wǎng)絡(luò)安全的保證,嚴(yán)格的管理則是網(wǎng)絡(luò)安全的關(guān)鍵。我們要清醒認(rèn)識(shí)到任何網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的防范措施都是有一定的限度,一勞永逸的網(wǎng)絡(luò)安全體系是不存在的。網(wǎng)絡(luò)安全需要我們每一個(gè)人的參與。

參考文獻(xiàn):

【1】中國(guó)網(wǎng).2009年中國(guó)電腦病毒疫情及互聯(lián)網(wǎng)安全報(bào)告.2009年1月.

篇7

論文關(guān)鍵詞:政府;信息安全;信息安全人事管理

隨著我國(guó)信息化建設(shè)的不斷推進(jìn)以及電子政務(wù)的持續(xù)發(fā)展,政府信息安全事故也頻頻發(fā)生。

資料表明,七成以上的政府信息安全事故是由政府內(nèi)部相關(guān)工作人員引發(fā)的。可見,在信息安全事件中起決定作用的是人,人是信息安全保障T作中最活躍的因素。信息安全人事管理是指以現(xiàn)代人力資源管理理論為基礎(chǔ),從招聘選拔、人員培訓(xùn)、人員使用、績(jī)效考核、人員激勵(lì)、離職管理等主要職能人手,對(duì)組織中信息安全人員進(jìn)行科學(xué)管理、合理配置和有效開發(fā),籍以實(shí)現(xiàn)組織信息安全管理目標(biāo)的活動(dòng)。信息安全人事管理是信息安全管理的核心。作為信息安全保障的一個(gè)關(guān)鍵要素,信息安全人事管理的強(qiáng)化實(shí)施可以為政府搭建起一道牢固的“人力防火墻”。本文將現(xiàn)代人力資源管理相關(guān)理論與信息安全工作特點(diǎn)結(jié)合起來(lái),發(fā)掘與提煉信息安全人事管理各主要職能具有特殊性與規(guī)律性的實(shí)務(wù)要點(diǎn),以期為有關(guān)方面提供借鑒和參考。

一、信息安全人員招募與選拔

招募與選拔是政府信息安全人員的“入口”,直接影響到信息安全工作的質(zhì)量和效率。信息安全人員的招募與選拔實(shí)務(wù)應(yīng)該把握以下要點(diǎn):

1.從招募與選拔的標(biāo)準(zhǔn)上看,突出對(duì)個(gè)人品德及專業(yè)知識(shí)的要求。信息安全工作具有保密性、綜合性、層次性和規(guī)范性等特點(diǎn),進(jìn)而決定了信息安全從業(yè)人員具有諸多特殊性及要求:他們?cè)诠ぷ髦袝?huì)接觸到關(guān)系國(guó)家及組織榮辱興衰、生死存亡的大量秘密,保守秘密是他們的基本職業(yè)道德;他們必須不斷學(xué)習(xí),對(duì)自己的知識(shí)與能力進(jìn)行“升級(jí)”,才能適應(yīng)信息時(shí)代信息安全工作的需要;他們必須遵守更多的規(guī)定,而且在組織中具有明確的職責(zé),不能越雷池半步。這些都表明,信息安全人員必須具有更高的品德修養(yǎng)。這對(duì)應(yīng)聘者提出更高的標(biāo)準(zhǔn)及要求:必須具有很強(qiáng)的組織紀(jì)律性和保密意識(shí);具有很強(qiáng)的團(tuán)隊(duì)意識(shí)和合作精神,愿意為組織利益犧牲個(gè)人利益;具有長(zhǎng)遠(yuǎn)眼光和接納新事物的胸懷,不斷更新自身素質(zhì)。組織可以通過(guò)面試、心理測(cè)驗(yàn)、背景審查等選拔方式考察應(yīng)聘者的德行。此外,管理與技術(shù)是做好信息安全工作的兩大法寶,因此是否具備一定的信息安全管理與技術(shù)專業(yè)知識(shí)是信息安全人員招聘的另外一個(gè)主要標(biāo)準(zhǔn)。組織可以通過(guò)筆試來(lái)考察應(yīng)聘者專業(yè)知識(shí)掌握的程度,并根據(jù)職位的不同定位來(lái)確定不同的考察重點(diǎn)。

2.從招募的途徑上看,在內(nèi)部招募和外部招募相結(jié)合的基礎(chǔ)上,突出內(nèi)部招募。內(nèi)部招募是指從組織內(nèi)部發(fā)現(xiàn)并培養(yǎng)所需要的各種人才,其方式包括內(nèi)部晉升、崗位輪換和返聘等;外部招募是指按照一定的標(biāo)準(zhǔn)和程序,從組織外部的眾多候選人中挑選符合空缺職位要求的人員,其方式包括人才招聘會(huì)與校園招聘等。內(nèi)部招募和外部招募各有優(yōu)劣,兩者結(jié)合起來(lái)可使招募效果最大化。由于信息安全工作的保密性要求,信息安全人員招募一般突出依賴內(nèi)部招募,這主要是為了人員安全可靠的考慮,確保信息安全人員的穩(wěn)定性。信息安全關(guān)鍵或領(lǐng)導(dǎo)職位出現(xiàn)空缺尤為如此。不過(guò),由于當(dāng)前我國(guó)政府信息安全人才仍舊匱乏,所以當(dāng)內(nèi)部招募滿足不了組織用人需求時(shí)也適當(dāng)考慮外部招募。招募非關(guān)鍵性信息安全人員時(shí)尤為如此。

3.從選拔的過(guò)程上看,尤為重視背景審查和保密協(xié)議簽訂兩個(gè)環(huán)節(jié)。一般單位選拔人員可能也進(jìn)行背景審查,但不一定是必須的,或者審查的過(guò)程與結(jié)果不一定非常嚴(yán)格與仔細(xì)。與之不同的是,信息安全人員的選拔尤為重視背景審查這個(gè)環(huán)節(jié)。該環(huán)節(jié)不僅不可或缺,而且在審查的時(shí)間、內(nèi)容、過(guò)程、結(jié)果等方面比一般人員審查有更高的要求。其意義在于保證信息安全人員招聘的準(zhǔn)確性與可靠性,并在“人口”或“源頭”上控制信息安全人事風(fēng)險(xiǎn)。例如,美國(guó)中央情報(bào)局聯(lián)邦調(diào)查局等部門在選拔關(guān)鍵涉密人員過(guò)程中經(jīng)常采用“心理測(cè)謊術(shù)”等高科技手段來(lái)對(duì)候選人進(jìn)行審查,以確定候選人的誠(chéng)實(shí)度、心理健康度或意志力等。此外,一旦候選人接受了工作,錄用合同就成為重要的安全手段。在合同中,組織可以將“政策認(rèn)可”作為招聘的一個(gè)基本要求即在合同中附上一個(gè)保密協(xié)議,要求候選人在將來(lái)的工作甚至離職后的一段時(shí)間中,必須遵守組織相關(guān)保密規(guī)定,擔(dān)負(fù)起保障組織信息安全的責(zé)任,否則就會(huì)

二、信息安全人員培訓(xùn)

信息安全人員培訓(xùn)是通過(guò)各種方式幫助信息安全人員習(xí)得相關(guān)的知識(shí)、技能、觀念和態(tài)度的學(xué)習(xí)過(guò)程以及開發(fā)其潛能的各種活動(dòng)。其實(shí)務(wù)要點(diǎn)包括:

1.從培訓(xùn)原則看,堅(jiān)持保密性原則和適時(shí)性原則。保密性原則是指信息安全人員的培訓(xùn)要做好保密工作,特別是對(duì)于培訓(xùn)內(nèi)容、時(shí)間和地點(diǎn)等,不可隨意泄露,以免引起不必要的麻煩。此外,適時(shí)性原則主要是為了順應(yīng)當(dāng)前信息安全科技發(fā)展迅猛、更新?lián)Q代速度加快而提出來(lái)的。信息安全人員培訓(xùn)只有遵循適時(shí)性原則,才能使信息安全人員跟蹤本領(lǐng)域科技發(fā)展最新動(dòng)態(tài),掌握最先進(jìn)的知識(shí)與技能,以防止思想觀念陳舊與知識(shí)技能老化。

2.從培訓(xùn)內(nèi)容看,側(cè)重于信息安全意識(shí)與信息安全知識(shí)與技能培訓(xùn)。高度的信息安全意識(shí)是信息安全人員必須具備的基本素質(zhì)。信息安全意識(shí)貫穿于員工工作的始終,但是工作時(shí)間越長(zhǎng)員工大多會(huì)出現(xiàn)倦怠,信息安全意識(shí)便會(huì)降低逐漸放松警惕,信息安全風(fēng)險(xiǎn)隨之倍增,所以加大信息安全意識(shí)培訓(xùn)力度勢(shì)在必行。政府可以使用各種媒介進(jìn)行宣傳,包括鼠標(biāo)墊、水杯、鋼筆或在工作期間經(jīng)常使用的任何物體上,在這些物體上印制上安全標(biāo)語(yǔ),用來(lái)提醒員工注意安全如在鼠標(biāo)墊上印上“BeSafe:Think BethreYouClick”,使信息安全人員在每天工作時(shí)都最先考慮信息安全,樹立自覺維護(hù)信息安全的意識(shí)。此外,信息安全行業(yè)的綜合性使得組織必須根據(jù)學(xué)用一致的原則,加強(qiáng)對(duì)信息安全人員進(jìn)行信息安全知識(shí)與技能的培訓(xùn)。只有不斷給員工“輸入”新觀念、新知識(shí)與新技術(shù),使其掌握信息安全的基本原理、要求和慣例,才能提高其技術(shù)與管理水平。

三、信息安全人員使用

信息安全人員使用是指組織通過(guò)各種人事政策,促使信息安全人員與信息安全工作兩者之間實(shí)現(xiàn)“人事相宜”、“人職匹配”等,以保障組織信息安全。信息安全人員使用實(shí)務(wù)要點(diǎn)是:

1.堅(jiān)持責(zé)任分離和可監(jiān)控原則。責(zé)任分離是一種控制機(jī)制,用來(lái)減少一個(gè)人破壞信息安全,

威脅到信息的機(jī)密性、完整性和可用性的機(jī)會(huì)。其具體要求是:(1)明確信息安全系統(tǒng)中每個(gè)人的職責(zé),要求“誰(shuí)管理,誰(shuí)負(fù)責(zé)”;(2)關(guān)鍵崗位的人員不得再兼任其他職位,嚴(yán)格控制使用兼職人員;(3)避免一個(gè)人從事某項(xiàng)信息安全行為或保管組織所有安全信息;(4)堅(jiān)持崗位輪換原則,確保一個(gè)員工的工作有另一個(gè)員工進(jìn)行審核;(5)重要的任務(wù)有兩人以上共同完成。此外,可監(jiān)控原則是對(duì)責(zé)任分離原則的量化,使組織能夠?qū)π畔踩藛T的工作內(nèi)容進(jìn)行監(jiān)督,進(jìn)行明確的審查。其具體要求包括:每位員工對(duì)所有的相關(guān)操作做好記錄,以便核查;重要的更改活動(dòng)如更改配置,更新信息系統(tǒng)等,必須按層級(jí)權(quán)限申報(bào),獲得批準(zhǔn)后方可實(shí)施;沒有日期、沒有內(nèi)容、沒有人簽署而無(wú)法追查的活動(dòng),必須嚴(yán)格禁止。而且,由于員工非工作時(shí)間的種種表現(xiàn)也會(huì)影響信息安全,因此除了對(duì)員工在工作時(shí)間的表現(xiàn)進(jìn)行監(jiān)督,還必須掌握其非工作時(shí)間的一些異常表現(xiàn)。

2.防范信息安全人事風(fēng)險(xiǎn)。信息安全人事風(fēng)險(xiǎn)是指由于組織內(nèi)信息安全人員的行為偏離組織期望和目標(biāo)或違背客觀規(guī)律、越軌等給組織信息安全造成的損失或危害。它主要是由于信息安全人員的使用不當(dāng)而導(dǎo)致破壞計(jì)算機(jī)系統(tǒng)、越權(quán)處理公務(wù)等所造成的危害。人是信息安全中最活躍的因素,因此預(yù)防由人為因素導(dǎo)致的信息安全風(fēng)險(xiǎn)是信息安全人事風(fēng)險(xiǎn)防范的重中之重。政府可以采取以下措施防范信息安全人事風(fēng)險(xiǎn):首先通過(guò)培訓(xùn)等方式,提高信息安全人員對(duì)信息安全人事風(fēng)險(xiǎn)的認(rèn)識(shí),增強(qiáng)防范意識(shí);其次,健全人事管理周邊制度,如督察制度、處理與反饋制度、懲罰制度、反饋制度等,以實(shí)現(xiàn)對(duì)信息安全人事風(fēng)險(xiǎn)的全過(guò)程監(jiān)控。第,大力建設(shè)以人為本、誠(chéng)實(shí)守信等有利于防范人事風(fēng)險(xiǎn)的文化氛圍,提高信息安全人員的免疫力。

四、信息安全人員績(jī)效考核

信息安全人員績(jī)效考核是指按照事先確定的信息安全工作目標(biāo)及衡量標(biāo)準(zhǔn),考察信息安全人員實(shí)際完成工作情況的過(guò)程???jī)效考核的結(jié)果是組織進(jìn)行人事決策的基本依據(jù)。信息安全人員績(jī)效考核是確保人員安全的有效手段,并可以幫助員工提高工作績(jī)效,促進(jìn)員工和組織共同發(fā)展。它包括以下實(shí)務(wù)要點(diǎn):

1.從績(jī)效考核的原則上看,堅(jiān)持重點(diǎn)考核與分級(jí)分類考核相結(jié)合。重點(diǎn)考核是指對(duì)于那些涉密程度深、安全等級(jí)高的關(guān)鍵崗位的人員定期進(jìn)行考核。其目的在于保證重點(diǎn)崗位的重要信息安全。分級(jí)分類考核是按照組織中對(duì)于安全保護(hù)等級(jí)的劃分,制定不同的考核方法,有針對(duì)性地進(jìn)行考核。2007年我國(guó)臺(tái)的《信息安全等級(jí)保護(hù)管理辦法》將信息安全分五級(jí)防護(hù):第一級(jí)為自主保護(hù)級(jí),第二級(jí)為指導(dǎo)保護(hù)級(jí),第級(jí)為監(jiān)督保護(hù)級(jí),第四級(jí)為強(qiáng)制保護(hù)級(jí),第五級(jí)為??乇Wo(hù)級(jí)。很明顯,處于不同等級(jí)中的信息安全人員的職責(zé)與涉密程度是不一樣的,加上不同崗位上不同類型的人員,如系統(tǒng)主管人員、數(shù)據(jù)錄入人員、程序員等職責(zé)和要求也不同,岡此有必要遵循分級(jí)分類原則,避免“一刀切”的做法。

受到處罰。候選人只有在保密協(xié)議上簽字,承諾遵守相關(guān)政策,組織才能錄用。

二、信息安全人員培訓(xùn)

信息安全人員培訓(xùn)是通過(guò)各種方式幫助信息安全人員習(xí)得相關(guān)的知識(shí)、技能、觀念和態(tài)度的學(xué)習(xí)過(guò)程以及開發(fā)其潛能的各種活動(dòng)。其實(shí)務(wù)要點(diǎn)包括:

1.從培訓(xùn)原則看,堅(jiān)持保密性原則和適時(shí)性原則。保密性原則是指信息安全人員的培訓(xùn)要做好保密工作,特別是對(duì)于培訓(xùn)內(nèi)容、時(shí)間和地點(diǎn)等,不可隨意泄露,以免引起不必要的麻煩。此外,適時(shí)性原則主要是為了順應(yīng)當(dāng)前信息安全科技發(fā)展迅猛、更新?lián)Q代速度加快而提出來(lái)的。信息安全人員培訓(xùn)只有遵循適時(shí)性原則,才能使信息安全人員跟蹤本領(lǐng)域科技發(fā)展最新動(dòng)態(tài),掌握最先進(jìn)的知識(shí)與技能,以防止思想觀念陳舊與知識(shí)技能老化。

2.從培訓(xùn)內(nèi)容看,側(cè)重于信息安全意識(shí)與信息安全知識(shí)與技能培訓(xùn)。高度的信息安全意識(shí)是信息安全人員必須具備的基本素質(zhì)。信息安全意識(shí)貫穿于員工工作的始終,但是工作時(shí)間越長(zhǎng)員工大多會(huì)出現(xiàn)倦怠,信息安全意識(shí)便會(huì)降低逐漸放松警惕,信息安全風(fēng)險(xiǎn)隨之倍增,所以加大信息安全意識(shí)培訓(xùn)力度勢(shì)在必行。政府可以使用各種媒介進(jìn)行宣傳,包括鼠標(biāo)墊、水杯、鋼筆或在工作期間經(jīng)常使用的任何物體上,在這些物體上印制上安全標(biāo)語(yǔ),用來(lái)提醒員工注意安全如在鼠標(biāo)墊上印上“BeSafe:Think BethreYouClick”,使信息安全人員在每天工作時(shí)都最先考慮信息安全,樹立自覺維護(hù)信息安全的意識(shí)。此外,信息安全行業(yè)的綜合性使得組織必須根據(jù)學(xué)用一致的原則,加強(qiáng)對(duì)信息安全人員進(jìn)行信息安全知識(shí)與技能的培訓(xùn)。只有不斷給員工“輸入”新觀念、新知識(shí)與新技術(shù),使其掌握信息安全的基本原理、要求和慣例,才能提高其技術(shù)與管理水平。

三、信息安全人員使用

信息安全人員使用是指組織通過(guò)各種人事政策,促使信息安全人員與信息安全工作兩者之間實(shí)現(xiàn)“人事相宜”、“人職匹配”等,以保障組織信息安全。信息安全人員使用實(shí)務(wù)要點(diǎn)是:

1.堅(jiān)持責(zé)任分離和可監(jiān)控原則。責(zé)任分離是一種控制機(jī)制,用來(lái)減少一個(gè)人破壞信息安全,

威脅到信息的機(jī)密性、完整性和可用性的機(jī)會(huì)。其具體要求是:(1)明確信息安全系統(tǒng)中每個(gè)人的職責(zé),要求“誰(shuí)管理,誰(shuí)負(fù)責(zé)”;(2)關(guān)鍵崗位的人員不得再兼任其他職位,嚴(yán)格控制使用兼職人員;(3)避免一個(gè)人從事某項(xiàng)信息安全行為或保管組織所有安全信息;(4)堅(jiān)持崗位輪換原則,確保一個(gè)員工的工作有另一個(gè)員工進(jìn)行審核;(5)重要的任務(wù)有兩人以上共同完成。此外,可監(jiān)控原則是對(duì)責(zé)任分離原則的量化,使組織能夠?qū)π畔踩藛T的工作內(nèi)容進(jìn)行監(jiān)督,進(jìn)行明確的審查。其具體要求包括:每位員工對(duì)所有的相關(guān)操作做好記錄,以便核查;重要的更改活動(dòng)如更改配置,更新信息系統(tǒng)等,必須按層級(jí)權(quán)限申報(bào),獲得批準(zhǔn)后方可實(shí)施;沒有日期、沒有內(nèi)容、沒有人簽署而無(wú)法追查的活動(dòng),必須嚴(yán)格禁止。而且,由于員工非工作時(shí)間的種種表現(xiàn)也會(huì)影響信息安全,因此除了對(duì)員工在工作時(shí)間的表現(xiàn)進(jìn)行監(jiān)督,還必須掌握其非工作時(shí)間的一些異常表現(xiàn)。

2.防范信息安全人事風(fēng)險(xiǎn)。信息安全人事風(fēng)險(xiǎn)是指由于組織內(nèi)信息安全人員的行為偏離組織期望和目標(biāo)或違背客觀規(guī)律、越軌等給組織信息安全造成的損失或危害。它主要是由于信息安全人員的使用不當(dāng)而導(dǎo)致破壞計(jì)算機(jī)系統(tǒng)、越權(quán)處理公務(wù)等所造成的危害。人是信息安全中最活躍的因素,因此預(yù)防由人為因素導(dǎo)致的信息安全風(fēng)險(xiǎn)是信息安全人事風(fēng)險(xiǎn)防范的重中之重。政府可以采取以下措施防范信息安全人事風(fēng)險(xiǎn):首先通過(guò)培訓(xùn)等方式,提高信息安全人員對(duì)信息安全人事風(fēng)險(xiǎn)的認(rèn)識(shí),增強(qiáng)防范意識(shí);其次,健全人事管理周邊制度,如督察制度、處理與反饋制度、懲罰制度、反饋制度等,以實(shí)現(xiàn)對(duì)信息安全人事風(fēng)險(xiǎn)的全過(guò)程監(jiān)控。第,大力建設(shè)以人為本、誠(chéng)實(shí)守信等有利于防范人事風(fēng)險(xiǎn)的文化氛圍,提高信息安全人員的免疫力。

四、信息安全人員績(jī)效考核

信息安全人員績(jī)效考核是指按照事先確定的信息安全工作目標(biāo)及衡量標(biāo)準(zhǔn),考察信息安全人員實(shí)際完成工作情況的過(guò)程???jī)效考核的結(jié)果是組織進(jìn)行人事決策的基本依據(jù)。信息安全人員績(jī)效考核是確保人員安全的有效手段,并可以幫助員工提高工作績(jī)效,促進(jìn)員工和組織共同發(fā)展。它包括以下實(shí)務(wù)要點(diǎn):

1.從績(jī)效考核的原則上看,堅(jiān)持重點(diǎn)考核與分級(jí)分類考核相結(jié)合。重點(diǎn)考核是指對(duì)于那些涉密程度深、安全等級(jí)高的關(guān)鍵崗位的人員定期進(jìn)行考核。其目的在于保證重點(diǎn)崗位的重要信息安全。分級(jí)分類考核是按照組織中對(duì)于安全保護(hù)等級(jí)的劃分,制定不同的考核方法,有針對(duì)性地進(jìn)行考核。2007年我國(guó)臺(tái)的《信息安全等級(jí)保護(hù)管理辦法》將信息安全分五級(jí)防護(hù):第一級(jí)為自主保護(hù)級(jí),第二級(jí)為指導(dǎo)保護(hù)級(jí),第級(jí)為監(jiān)督保護(hù)級(jí),第四級(jí)為強(qiáng)制保護(hù)級(jí),第五級(jí)為??乇Wo(hù)級(jí)。很明顯,處于不同等級(jí)中的信息安全人員的職責(zé)與涉密程度是不一樣的,加上不同崗位上不同類型的人員,如系統(tǒng)主管人員、數(shù)據(jù)錄入人員、程序員等職責(zé)和要求也不同,岡此有必要遵循分級(jí)分類原則,避免“一刀切”的做法。

2.從績(jī)效考核的內(nèi)容上看,突出考核信息安全人員的道德品質(zhì)與工作事故情況,而且不僅考核工作時(shí)間內(nèi)的表現(xiàn),也考核工作時(shí)間外的表現(xiàn)。一般的組織在員工進(jìn)行績(jī)效考核時(shí),多依據(jù)“事后”的工作結(jié)果及業(yè)績(jī),業(yè)績(jī)高則評(píng)價(jià)高,業(yè)績(jī)低則評(píng)價(jià)低。但是信息安全這一行業(yè)具有其特殊性,單純以“事后”的結(jié)果與業(yè)績(jī)作為考核標(biāo)準(zhǔn),難免會(huì)在組織內(nèi)出現(xiàn)業(yè)績(jī)高、品德低以及不重視過(guò)程的人員,進(jìn)而存組織內(nèi)埋下安全隱患,因此應(yīng)突出考核信息安全人員在工作過(guò)程中所表現(xiàn)出來(lái)的道德品質(zhì)、心理素質(zhì)、忠誠(chéng)度等。這些素質(zhì)是一個(gè)人的行為指向標(biāo),決定一個(gè)人的行為方向,其一般標(biāo)準(zhǔn)是責(zé)任心強(qiáng)、遵守職業(yè)道德、具有進(jìn)取精神、作風(fēng)正派、遵紀(jì)守法等。而且,由于信息安全工作對(duì)安全性要求明顯,岡此還要突出考核信息安全人員存工作過(guò)程中是否能恪盡職守,有無(wú)工作事故的發(fā)生。另外,必須通過(guò)日??己苏莆招畔踩ぷ魅藛T工作時(shí)間外的表現(xiàn),包括是否存在隨便與人交往問(wèn)題,家庭關(guān)系是否和諧,生活作風(fēng)是否正常,以及非工作行為是否怪異等等。

3.從績(jī)效考核的期間看,以平時(shí)考核為主。信息安全人員的工作由于涉及到安全問(wèn)題,因此不能像一般丁作人員那樣以年終考核為主,而應(yīng)突出平時(shí)考核以實(shí)現(xiàn)日常監(jiān)控,并達(dá)到天天、時(shí)時(shí)、秒秒不安全問(wèn)題?;诖?,信息安全人員績(jī)效考核可實(shí)施“月考”、“周考”,甚至“日考”,可以說(shuō),考核時(shí)間越短越有利于確保安全。安全問(wèn)題無(wú)小事,若不重視平時(shí)考核,由此引發(fā)的哪怕是一眨眼功夫發(fā)生的事故,也有可能導(dǎo)致組織在安全上“功虧一簣”、“全盤皆輸”。考核周期短雖然做起來(lái)麻煩,但“安全問(wèn)題高于一切”,只要有利于保障信息安全,工作上“麻煩”一點(diǎn)是值得的。

五、信息安全人員激勵(lì)

信息安全人員激勵(lì)的關(guān)鍵是調(diào)動(dòng)工作積極性,激發(fā)信息安全人員的潛能去實(shí)現(xiàn)工作目標(biāo),實(shí)務(wù)要點(diǎn)包括:

1.重視滿足歸屬、人際交往與尊重的需要。內(nèi)容型激勵(lì)理論認(rèn)為,組織滿足員工的歸屬、人際交往與尊重等需要可以激勵(lì)員工努力工作。而信息安全人員,特別是關(guān)鍵涉密人員的工作基本上是單調(diào)、枯燥、責(zé)任重大的,他們經(jīng)常需要長(zhǎng)時(shí)間值班或加班,長(zhǎng)期處于全封閉或半封閉式的環(huán)境中,在單位及花在工作上的時(shí)間要比常人多得多,生活及社交空間相對(duì)狹小,所以組織更要設(shè)法滿足其歸屬、人際交往與尊重的需要,而這主要依靠在單位及崗位上與領(lǐng)導(dǎo)或同事之間的相互溝通與關(guān)愛中得以實(shí)現(xiàn)。因此,組織必須創(chuàng)設(shè)關(guān)系融洽、和諧的工作氛圍,建立良好的上下級(jí)與同事關(guān)系,多關(guān)心、愛護(hù)、支持信息安全人員,以滿足他們歸屬等需要,激發(fā)他們的工作積極性。

2.強(qiáng)化目標(biāo)激勵(lì)。過(guò)程型激勵(lì)理論認(rèn)為,明確而可行的工作目標(biāo)可以牽引員工積極付出行動(dòng)以實(shí)現(xiàn)目標(biāo)。由于信息安全工作責(zé)任重、壓力大,同時(shí)又相對(duì)封閉與單調(diào),容易導(dǎo)致信息安全人員產(chǎn)生工作倦怠和目標(biāo)迷失等不良現(xiàn)象,進(jìn)而影響到他們職業(yè)發(fā)展與組織目標(biāo)的實(shí)現(xiàn)。對(duì)此,應(yīng)幫助信息安全人員樹立合理可行的工作目標(biāo),特別要通過(guò)引導(dǎo)他們認(rèn)識(shí)到自己所從事工作的光榮與神圣,進(jìn)而激勵(lì)他們努力干好信息安全工作,以此獲得職業(yè)發(fā)展與心理滿足等。

六、信息安全人員離職管理

篇8

在本人參加工作半年多時(shí)間來(lái),受到領(lǐng)導(dǎo)和各位前輩多方面的關(guān)心和照顧,在工作上亦受到了無(wú)微不至的指導(dǎo),幫助我快速的勝任崗位。

風(fēng)險(xiǎn)管理部是負(fù)責(zé)**支行全面風(fēng)險(xiǎn)管理政策的落實(shí),監(jiān)測(cè)、評(píng)價(jià)和控制的綜合管理部門,是風(fēng)險(xiǎn)和內(nèi)控的日常管理職責(zé)部門。本人任職的綜合統(tǒng)計(jì)崗,主要負(fù)責(zé)對(duì)本行信貸資產(chǎn)風(fēng)險(xiǎn)狀況和風(fēng)險(xiǎn)分類的統(tǒng)計(jì)、分析和管理;負(fù)責(zé)全行信貸數(shù)據(jù)動(dòng)態(tài)管理、分析。

在實(shí)際工作中,本人主要完成以下幾個(gè)方面的:信貸手工臺(tái)帳的錄入與核對(duì),對(duì)實(shí)際發(fā)生的信貸業(yè)務(wù)明細(xì)進(jìn)行動(dòng)態(tài)掌控、分析和管理,以便于及時(shí)準(zhǔn)確的獲得各項(xiàng)信貸統(tǒng)計(jì)數(shù)據(jù);對(duì)**支行運(yùn)行的老信貸系統(tǒng)進(jìn)行維護(hù)和管理,對(duì)各部辦錄入的數(shù)據(jù)及報(bào)表進(jìn)行統(tǒng)計(jì)及分析;提供**行各項(xiàng)信貸資產(chǎn)數(shù)據(jù)及明細(xì),完成四級(jí)分類和五級(jí)分類的統(tǒng)計(jì)工作和分析工作;月度為行領(lǐng)導(dǎo)以及計(jì)財(cái)處、公司部、個(gè)金部提供同業(yè)經(jīng)營(yíng)情況的詳細(xì)數(shù)據(jù);月度、季度、年度,獨(dú)立的或配合辦公室、計(jì)財(cái)處等部門對(duì)外提供各項(xiàng)信貸數(shù)據(jù)報(bào)表。此外,我行新設(shè)了信息安全員一崗,本人即任風(fēng)險(xiǎn)管理部信息安全員,負(fù)責(zé)部門電腦網(wǎng)絡(luò)信息安全的維護(hù)。

進(jìn)入**銀行半年多時(shí)間來(lái),在領(lǐng)導(dǎo)和前輩的關(guān)心照顧下,本人抱著謙虛好學(xué)的態(tài)度努力工作,積極學(xué)習(xí)業(yè)務(wù)知識(shí)、掌握操作技能、適應(yīng)工作崗位,基本能較好的完成本職工作和領(lǐng)導(dǎo)交辦的其他工作。本人是剛畢業(yè)的理科本科學(xué)生,踏上工作崗位接觸全新的銀行工作,面臨著全新的挑戰(zhàn),這個(gè)過(guò)程不僅是專業(yè)的換位,更是一種思考方式和學(xué)習(xí)方法的換位,在綜合統(tǒng)計(jì)崗位上,領(lǐng)導(dǎo)和前輩的關(guān)心指導(dǎo)使本人認(rèn)識(shí)到,嚴(yán)謹(jǐn)?shù)膽B(tài)度、正確的方法、積極的溝通、努力的思考,才能獲得最準(zhǔn)確的統(tǒng)計(jì)數(shù)據(jù)和最高的工作效率。也正是銀行業(yè)這種對(duì)我而言全新的工作,提供給我一個(gè)全新的學(xué)習(xí)機(jī)會(huì),在**優(yōu)良的成長(zhǎng)環(huán)境下使我能夠養(yǎng)成在每一天的工作生活中不斷學(xué)習(xí)和獲取新的知識(shí),努力了解銀行業(yè)、金融業(yè)的運(yùn)行規(guī)律,把所學(xué)所悟的點(diǎn)點(diǎn)滴滴運(yùn)用到實(shí)際工作崗位工作中。

篇9

在本人參加工作半年多時(shí)間來(lái),受到領(lǐng)導(dǎo)和各位前輩多方面的關(guān)心和照顧,在工作上亦受到了無(wú)微不至的指導(dǎo),幫助我快速的勝任崗位。

風(fēng)險(xiǎn)管理部是負(fù)責(zé)支行全面風(fēng)險(xiǎn)管理政策的落實(shí),監(jiān)測(cè)、評(píng)價(jià)和控制的綜合管理部門,是風(fēng)險(xiǎn)和內(nèi)控的日常管理職責(zé)部門。本人任職的綜合統(tǒng)計(jì)崗,主要負(fù)責(zé)對(duì)本行信貸資產(chǎn)風(fēng)險(xiǎn)狀況和風(fēng)險(xiǎn)分類的統(tǒng)計(jì)、分析和管理;負(fù)責(zé)全行信貸數(shù)據(jù)動(dòng)態(tài)管理、分析。

在實(shí)際工作中,本人主要完成以下幾個(gè)方面的:信貸手工臺(tái)帳的錄入與核對(duì),對(duì)實(shí)際發(fā)生的信貸業(yè)務(wù)明細(xì)進(jìn)行動(dòng)態(tài)掌控、分析和管理,以便于及時(shí)準(zhǔn)確的獲得各項(xiàng)信貸統(tǒng)計(jì)數(shù)據(jù);對(duì)支行運(yùn)行的老信貸系統(tǒng)進(jìn)行維護(hù)和管理,對(duì)各部辦錄入的數(shù)據(jù)及報(bào)表進(jìn)行統(tǒng)計(jì)及分析;提供行各項(xiàng)信貸資產(chǎn)數(shù)據(jù)及明細(xì),完成四級(jí)分類和五級(jí)分類的統(tǒng)計(jì)工作和分析工作;月度為行領(lǐng)導(dǎo)以及計(jì)財(cái)處、公司部、個(gè)金部提供同業(yè)經(jīng)營(yíng)情況的詳細(xì)數(shù)據(jù);月度、季度、年度,獨(dú)立的或配合辦公室、計(jì)財(cái)處等部門對(duì)外提供各項(xiàng)信貸數(shù)據(jù)報(bào)表。此外,我行新設(shè)了信息安全員一崗,本人即任風(fēng)險(xiǎn)管理部信息安全員,負(fù)責(zé)部門電腦網(wǎng)絡(luò)信息安全的維護(hù)。

進(jìn)入銀行半年多時(shí)間來(lái),在領(lǐng)導(dǎo)和前輩的關(guān)心照顧下,本人抱著謙虛好學(xué)的態(tài)度努力工作,積極學(xué)習(xí)業(yè)務(wù)知識(shí)、掌握操作技能、適應(yīng)工作崗位,基本能較好的完成本職工作和領(lǐng)導(dǎo)交辦的其他工作。本人是剛畢業(yè)的理科本科學(xué)生,踏上工作崗位接觸全新的銀行工作,面臨著全新的挑戰(zhàn),這個(gè)過(guò)程不僅是專業(yè)的換位,更是一種思考方式和學(xué)習(xí)方法的換位,在綜合統(tǒng)計(jì)崗位上,領(lǐng)導(dǎo)和前輩的關(guān)心指導(dǎo)使本人認(rèn)識(shí)到,嚴(yán)謹(jǐn)?shù)膽B(tài)度、正確的方法、積極的溝通、努力的思考,才能獲得最準(zhǔn)確的統(tǒng)計(jì)數(shù)據(jù)和最高的工作效率。也正是銀行業(yè)這種對(duì)我而言全新的工作,提供給我一個(gè)全新的學(xué)習(xí)機(jī)會(huì),在優(yōu)良的成長(zhǎng)環(huán)境下使我能夠養(yǎng)成在每一天的工作生活中不斷學(xué)習(xí)和獲取新的知識(shí),努力了解銀行業(yè)、金融業(yè)的運(yùn)行規(guī)律,把所學(xué)所悟的點(diǎn)點(diǎn)滴滴運(yùn)用到實(shí)際工作崗位工作中。

篇10

分拆,是為了更好地專注

對(duì)于賽門鐵克來(lái)說(shuō),分拆出來(lái)的是其2004年以135億美元高價(jià)收購(gòu)的Veritas,現(xiàn)在又將其分拆出來(lái)的原因是什么?“最重要的原因是安全與存儲(chǔ)領(lǐng)域的業(yè)務(wù)重點(diǎn)的分割越來(lái)越明顯,收購(gòu)之后影響了兩部分業(yè)務(wù)各自的專注?!泵氛罡嬖V本報(bào)記者。 賽門鐵克公司亞太區(qū)大客戶部副總裁兼大中華區(qū)總裁梅正宇

收購(gòu)Veritas之前的賽門鐵克是安全行業(yè)的領(lǐng)頭羊,但時(shí)任CEO John W. Thompson認(rèn)為,未來(lái)安全將不會(huì)獨(dú)立存在,而會(huì)成為更大的存儲(chǔ)和數(shù)據(jù)管理市場(chǎng)中的組成部分。按照J(rèn)ohn W. Thompson的規(guī)劃,公司通過(guò)整合賽門鐵克的安全產(chǎn)品和Veritas的信息備份、歸檔和存儲(chǔ)產(chǎn)品來(lái)?yè)屨几嗟氖袌?chǎng)。在實(shí)踐中,賽門鐵克也為此做出了努力,比如在郵件歸檔系統(tǒng)中融入安全,從存儲(chǔ)層面防御僵尸網(wǎng)絡(luò)威脅等。然而,隨著IT技術(shù)的發(fā)展,無(wú)論是信息安全還是信息管理業(yè)務(wù)部門都面臨著獨(dú)有的機(jī)遇和挑戰(zhàn),對(duì)于賽門鐵克而言,應(yīng)對(duì)兩個(gè)行業(yè)需要完全不同的戰(zhàn)略和投資。在這樣的背景下,賽門鐵克董事會(huì)決定了拆分計(jì)劃。

“拆分之后,賽門鐵克和Veritas會(huì)更加專注于各自擅長(zhǎng)的領(lǐng)域,針對(duì)獨(dú)有的增長(zhǎng)機(jī)遇進(jìn)行研發(fā)和產(chǎn)品部署。其次,兩部分業(yè)務(wù)獨(dú)立也會(huì)簡(jiǎn)化企業(yè)架構(gòu)和運(yùn)營(yíng)復(fù)雜程度,使客戶更容易與我們進(jìn)行合作。第三,兩家公司也會(huì)進(jìn)一步加強(qiáng)各自的戰(zhàn)略靈活性,包括資本的重新分配政策、新合作伙伴政策等,為客戶帶來(lái)更加針對(duì)他們需求的產(chǎn)品和服務(wù)?!泵氛畋硎?。

專注迎來(lái)增長(zhǎng)

“分拆后的新賽門鐵克將重新回到‘安全’這個(gè)核心業(yè)務(wù)上來(lái),這意味著我們所有的研發(fā)、服務(wù),包括所有的市場(chǎng)策略都會(huì)圍繞安全來(lái)展開。”梅正宇說(shuō)。

今年4月份,梅正宇正式接手賽門鐵克大中華地區(qū)的安全業(yè)務(wù)。隨后經(jīng)過(guò)一個(gè)多月的緊張和忙碌,如今這個(gè)團(tuán)隊(duì)已經(jīng)到位,市場(chǎng)戰(zhàn)略也已經(jīng)基本清晰。梅正宇說(shuō),分拆帶來(lái)的實(shí)際效果已經(jīng)開始顯現(xiàn),重新專注安全之后迎來(lái)了業(yè)務(wù)的明顯增長(zhǎng)。

梅正宇透露,賽門鐵克未來(lái)的安全產(chǎn)品將會(huì)基于一個(gè)統(tǒng)一的平臺(tái)上――統(tǒng)一安全分析平臺(tái)。賽門鐵克將會(huì)基于它對(duì)現(xiàn)有的產(chǎn)品進(jìn)行整合,并重點(diǎn)開發(fā)威脅防護(hù)和信息防護(hù)領(lǐng)域的產(chǎn)品及解決方案。此外,網(wǎng)絡(luò)安全服務(wù)也將從傳統(tǒng)的監(jiān)測(cè)服務(wù)擴(kuò)展到事故響應(yīng)、安全模擬和威脅情報(bào)分析等。梅正宇介紹說(shuō),威脅防護(hù)、信息防護(hù)和網(wǎng)絡(luò)安全服務(wù)都會(huì)基于統(tǒng)一安全分析平臺(tái),為客戶提供最及時(shí)的安全情報(bào)以及最佳的防御措施。

其次,賽門鐵克在產(chǎn)品研發(fā)上也會(huì)從數(shù)據(jù)中心向云、移動(dòng)方面傾斜。梅正宇介紹說(shuō),現(xiàn)在賽門鐵克要做的是充分發(fā)揮最全產(chǎn)品線以及覆蓋全球的數(shù)據(jù)智能網(wǎng)絡(luò)等優(yōu)勢(shì),進(jìn)一步整合產(chǎn)品。他特別強(qiáng)調(diào),未來(lái)整合的不止是賽門鐵克的產(chǎn)品,也包括第三方的產(chǎn)品。

中國(guó)是賽門鐵克的戰(zhàn)略市場(chǎng)

專注的另一個(gè)好處是可以更好地與合作伙伴配合,深化賽門鐵克與中國(guó)本地合作伙伴的合作,以更好地服務(wù)于客戶,為客戶創(chuàng)造價(jià)值。梅正宇說(shuō),憑借全球資源和對(duì)本土市場(chǎng)的深入了解,新賽門鐵克在渠道政策上會(huì)更有針對(duì)性,也更具體,這在過(guò)去是比較難做到的。此外,賽門鐵克也將在各個(gè)地區(qū)繼續(xù)推動(dòng)市場(chǎng)和用戶對(duì)信息安全的認(rèn)知和保護(hù)意識(shí),并針對(duì)信息安全相關(guān)領(lǐng)域開展培訓(xùn)。

梅正宇表示,中國(guó)是賽門鐵克最重要的戰(zhàn)略市場(chǎng)之一,是公司一直以來(lái)和在未來(lái)繼續(xù)發(fā)展的重點(diǎn)區(qū)域。 除了在中國(guó)市場(chǎng)提供全面的解決方案和完善的安全服務(wù)之外,當(dāng)下的重點(diǎn)之一是加大市場(chǎng)的覆蓋力度,一方面要開發(fā)更多的大客戶,另一方面要針對(duì)中小企業(yè)和二線城市,與合作伙伴共同探索更多模式、搶占更多的市場(chǎng)。

“作為一個(gè)跨國(guó)公司,多年來(lái)賽門鐵克在安全行業(yè)建立起自己的核心競(jìng)爭(zhēng)力,我們擁有業(yè)界最全的產(chǎn)品線和全球最大的數(shù)據(jù)智能網(wǎng)絡(luò)之一,能夠提供重要的全球范圍內(nèi)的威脅數(shù)據(jù)與分析,從而在應(yīng)對(duì)網(wǎng)絡(luò)犯罪、抵御復(fù)雜的互聯(lián)網(wǎng)安全威脅和其他安全風(fēng)險(xiǎn)中發(fā)揮出核心作用?!泵氛罾^續(xù)表示,“同時(shí),我們還擁有一直扎根安全的人才隊(duì)伍以及品牌優(yōu)勢(shì),這都是我們未來(lái)贏得市場(chǎng)的基礎(chǔ)。根據(jù)賽門鐵克最新的財(cái)報(bào)預(yù)測(cè),2016財(cái)年第一財(cái)季及2016財(cái)年業(yè)績(jī)將實(shí)現(xiàn)兩位數(shù)增長(zhǎng)。只要我們專注,我們的整合優(yōu)勢(shì)就能夠充分發(fā)揮出來(lái),市場(chǎng)份額也會(huì)隨之增長(zhǎng)?!?/p>

采訪手記

梅正宇:安全行業(yè)更有挑戰(zhàn)也更有成就感

梅正宇在去年11月份正式進(jìn)入賽門鐵克,此時(shí)賽門鐵克已經(jīng)明確要拆分。顯然,梅正宇是準(zhǔn)備接受新挑戰(zhàn)而進(jìn)入賽門鐵克的。在采訪中,梅正宇也坦言他喜歡這份工作的挑戰(zhàn)性,也很享受為客戶提供安全服務(wù)后帶給自己的成就感,這是之前的工作經(jīng)歷中所沒有的。

實(shí)際上,對(duì)梅正宇以及賽門鐵克而言,挑戰(zhàn)的確不小。首先是當(dāng)下的IT環(huán)境發(fā)生了很大變化,特別是PC市場(chǎng)疲軟。根據(jù)Gartner 6月份公布的數(shù)據(jù),2014年全球安全軟件收益總額達(dá)214億美元,相比2013年增長(zhǎng)了5.3%,但終端防護(hù)平臺(tái)與消費(fèi)類安全軟件收益雙雙下滑(兩者共占據(jù)39%的市場(chǎng)總額)。而這正是賽門鐵克的傳統(tǒng)領(lǐng)地。