引論:我們為您整理了13篇保障信息安全的措施范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
1計算機信息安全技術的相應對策
要使得計算機的信息得到安全的保障,就要采用安全性能高的系統,并對數據加密,加密技術要完善。可以通過隱藏、水印數字等手段將比較重要的文件與資料隱藏到一般的文件中,然后再通過信息的傳遞,這樣可以提高信息的保密性。在電腦上安裝殺毒軟件和防火墻是很必要的,在主機上安裝殺毒軟件,能對定期的病毒入侵進行掃描檢測,及時地補漏洞,主動地殺死病毒,這也對文件、資料等其他可能出現安全隱患的東西進行監測,發現異常情況時就可以直接處理。使用電腦時,要使用安全的路由器,采用安全性能高的密碼算法的路由器,可以采用密碼算法和加解密專用芯片的路由器。
篇2
一、內容與表現
(1)內容。軟件漏洞、安全缺陷、惡意攻擊與結構隱患等典型網絡威脅;訪問控制、數據完整性、保密與認證等安全服務機制;ESP與AH等IPsec網絡層協議、SSL安全套接口層、PGP加密、電子交易安全SET應用層協議等網絡安全協議;安全產品種類,具有特定安全的生產生制作而成的性能產品,如網絡流量分析產品、安全網關、SVN、掃描器、VPN、防火墻、防毒軟件、密碼機、入侵檢測系統等解決方案。
(2)表現。黑客行為,根據系統脆弱性(缺口)與網絡用戶失誤(誤入非法網站)等機會,對特定的目標以侵占或攻擊等拒絕服務行為;惡意傳播有害信息,有害言論的廣泛傳播,對社會輿論進行影響或控制,如暴力言論、民族分裂言論等;信息系統脆弱性,這主要是因為系統本身具有特定隱藏的安全風險被無意激活,系統則會出現崩潰;泛濫的垃圾郵件,以廣播式傳播,干擾用戶網絡活動;病毒與蠕蟲的擴散,攻擊目標不明確,但操作系統特定,攻擊一旦生成控制較為困難。
二、保障措施
(1)控制體系。通信協議堆棧是網絡信息傳輸完成的主體,分為物理層、鏈路層、網絡層、傳輸層與應用層等通信協議。網絡通信以通信協議分層為保障,對網絡通信的安全信息傳輸有效,信息傳輸可實現可用性、完整性與機密性。在分析安全控制需要后,可設計相應的控制體系,見下表格。應用層對可用性負責,傳輸層、鏈路層、網絡層與應用層對實體完整性與機密性負責。在需求的前提下實現各層的訪問控制。網絡層主要確認信息來源是否真實,應用層則鑒別用戶與用戶的身份,傳輸層則鑒別端到端身份,鏈路層或網絡層鑒別點到點身份。各層安全協議在安全需求前提下可保障數據機密性。加密細顆粒度數據主要在應用層實現,加密對象有不同數據單元或字段、敏感數據字段等。加密端到端的數據則可在傳輸層實現,加密算法的強度根據服務差異做調整。
信息安全的控制體系表格如表1所示。
加密點到點數據由網絡層完成,加密鏈路數據由鏈路層完成,加密物理數據包由物理層完成。可見,靠下的加密層,會出現更多的數據字段保護需要,信息暴露減少,安全強度會提升,但靈活性與控制粒度會變壞,網絡范圍將減少。結合集中控制與分層控制是通信安全控制的模式,在各通信協議中,分層控制配合密切,滿足通信鏈路、通信實體安全需求,信息傳輸可用、完整與保密得到保護。
(2)加密量子密碼信息。保護自我信息是網絡世界中避免篡改或竊取的重要方式。量子力學與密碼學的結合誕生了量子密碼,加密信息與解密信息都是在量子狀態下進行,安全性的保證在于神奇的量子性質。Bell、海森堡測不準、非正交的兩個量子態性質原理是主要的量子密碼技術。以質子極化可編排量子密碼,垂直、水平、對角線各一組為為計劃在質子方式。量子密匙的傳遞需要光子的偏振,光子指向差異由0與1數字代表。
三、結語
信息安全、用戶安全、系統安全、訪問控制安全、管理安全、傳輸安全與物理安全是網絡安全的完整系統結構。保證網絡通信的安全,可在密碼技術、訪問控制技術、身份認證技術、檢測系統漏洞技術等幫助下,對服務協議功能不斷的增強提高。實現無論是框架還是填充都能有安全的鏈路,讓網絡通信的信息傳輸、存儲與利用都在掌控之中。
參 考 文 獻
篇3
目前,計算機網絡技術的應用日趨廣泛,但網絡信息安全還存在很多問題,網絡安全工作明顯滯后于網絡建設。網絡安全問題容易造成信息泄露等問題,造成了信息安全的問題,嚴重的影響了各方面的發展和安全,這就需要從多方面綜合研究信息安全問題,不斷研發解決措施,真正實現計算機網絡的安全有效的應用。
1 我國信息安全技術中存在的問題
1.1信息安全制度上 目前來說我國頒布了一些關于信息安全的法律法規以及出臺了一些相關政府文件,例如,《網絡信息安全不同等級保護措施》、《國家安全法》、《互聯網絡信息電子簽名法》等。這些法律條例對于計算機網絡的應用以及安全有一定的約束和保護,但是從全方面來看,很多條例知識針對網絡信息內容進行了規范,整體上來說較為分散,沒有一個統一的概述和規劃,國家出臺了一些規劃措施,但是由于互聯網安全問題的不斷發展,時代的變化造成規劃內容并不夠明確,這些問題給網絡信息安全技術帶來了一定的隱患。
1.2 信息安全技術上
1.2.1 我國信息化建設發展速度很快,但是由于發展較晚,發展時間較短,這就造成我國的信息化建設缺乏自主研發的計算機網絡軟硬件的信息技術,很多軟件都依賴國外的進口,這就造成網絡安全的巨大隱患和脆弱狀態。
1.2.2 在信息網絡的應用中長期存在著病毒感染的隱患,雖然網絡技術也在不斷的發展,但是病毒也在不斷改善,現代病毒能夠通過多種突進進行傳播和蔓延,例如,文件、網頁、郵件等,這些病毒具有自啟功能,能夠直接潛入核心系統和內存,造成計算機網絡數據傳輸出現問題,嚴重的甚至出現系統癱瘓。
1.2.3 在網絡安全工作中,信息在網絡中的傳輸具有可靠性低等特點,這就容易造成信息在網絡系統易被破解和搜索。
1.2.4 網絡中沒有進行保護措施的電腦很容易受到潛在的威脅,威脅有很多方式,來自于網絡的內部和外部等,木馬病毒的入侵、硬盤數據被修改等都容易造成網絡安全的問題。
1.3 信息安全意識上 在網絡技術的不斷發展中,我們更多注重的是網絡基礎設施的建設,但是相關的管理和安全工作卻沒有跟上,對于網絡安全的投資和重視都嚴重不夠,一旦安全上出現了隱患或者問題沒有科學有效的措施進行及時的補救,甚至需要采取關閉網絡等方式解決,造成了問題的嚴重化而不能真正有效的解決,在整個網絡運行過程中,缺乏行之有效的安全檢查和應對保護制度。
2 我國信息安全保障措施
2.1 制度上完善 為了保證網絡信息安全發展就需要制定相關的政策,保證每個行為都有據可依有法可循,由于網絡信息發展更新較快,這就需要對規范要求也及時跟新,保證制度上的完善,為網絡信息安全技術提供法律基礎。
2.2 技術上提高
2.2.1 數據加密技術。目前來說數據操作系統安全等級分為D1,Cl,C2,B1,B2, B3,A級,安全等級由低到高。在安全等級的應用上,使用C2級操作系統時要盡量使用配套相關級別,對于極端重要的系統要使用B級或者A級的保護。
2.2.2 防火墻和防病毒軟件。防火墻和防病毒軟件是常用的一種安全防護措施,能夠對病毒實時進行掃描和檢測,在清毒過程中由被動轉為主動,對文件、內存以及網頁等進行實時監控手段,一旦發現異常及時進行處理,防火墻則是防病毒軟件和硬件的共同作用,利用防火墻本身內外網之間的安全網關對數據進行有效的過濾和篩選,控制其是否能夠進行轉發,另外防火墻還能夠對信息的流向進行控制,提供網絡使用狀況和流量的審計、隱藏內部IP地址及網絡結構的細節。它還可以幫助系統進行有效的網絡安全隔離,通過安全過濾規則嚴格控制外網用戶非法訪問,并只打開必須的服務,防范外部的拒絕服務攻擊。
2.2.3 使用安全路由器。安全路由器的使用能對單位內外部網絡的互聯、流量以及信息安全進行有效的安全維護,建設虛擬專用網是在區域網中將若干個區域網絡實體利用隧道技術連接成各虛擬的獨立網絡,網絡中的數據利用加/解密算法進行加密封裝后,通過虛擬的公網隧道在各網絡實體間傳輸,從而防止未授權用戶竊取、篡改信息。
2.2.4 安裝入侵檢測系統。在安全防御體系中,入侵檢測能力是一項重要的衡量因素,入侵檢測系統包括入侵檢測的軟件和硬件,入侵檢測系統能夠彌補網絡防火墻的靜態防御漏洞,能夠對內部攻擊、外物攻擊以及誤操作等進行實時的防護和攔截,一旦計算機網絡出現安全問題,入侵系統能夠及時進行處理和完善,消除威脅。并且一種新型的網絡誘騙系統能夠對入侵者進行誘騙,通過構建一個環境真實的模擬網絡,誘騙入侵者進行攻擊,一旦攻擊實施就能及時進行定位和控制,從而保護實際運行網絡系統的安全,同時在虛擬網絡中還能夠獲取入侵者的信息,從而為入侵行為提供證據,實現對入侵行為的打擊。
2.3 意識上重視 首先對于思想的強化和加強是安全管理工作的基礎,只有人的思想得到了充分的重視才能夠對網絡安全技術有所提高,參與人員必須熟悉相關規范要求,增強保密意識,真正的實現保密安全環境的優化。制度上要嚴格控制,設立專門的安全管理機構,實現專人專責,從而保證安全管理的問題。最后在這個信息化的時代,人才是重要的生產力,我們必須重視網絡信息安全的人才培養,保障網絡人員的高技術高素質,實現網絡信息技術的安全。
3 結論
綜上所述,信息安全對于一個國家的社會經濟發展以及文化安全等方面都十分重要。這就需要我們充分重視信息安全問題,提高信息安全技術,針對不同的問題相應解決,實現我國信息安全制度的順利運行。
參考文獻:
篇4
審計的基礎工作是內部審計,內審是審計監督體系中不可或缺的重要組成部分,是全面經濟管理必不可少的手段,是加強任何機構內部管理的必要,推動經濟管理向科學化方向發展的重要環節也是審計。因此說審計部門是其他監督部門不能代替的,促進黨風廉政建設、加強對黨政領導干部及管理人員的監督都可以通過審計來完成。審計應用與高新技術機構中,在防范風險中發揮著重要作用,也有助于領導層做出正確決策。
一、審計工作的現狀及存在的問題
隨著我國經濟迅猛發展,審計監督力度不斷增強,審計范圍也不斷擴大。當前,審計方式已由財政財務審計向效益審計發展,由賬項基礎審計向制度基礎審計、風險基礎審計發展,由事后審計向事中、事前審計發展。審計管理上建立審計質量控制體系,要求審計機關把審計管理工作前移,把質量控制體系貫穿與審計工作中。在此趨勢下,傳統的審計方法暴露出其效率低、審計范圍小等劣勢,使得完成審計任務,達到審計目標越發缺乏及時性。
(一)內部審計性質認定較為模糊。內部審計是市場經濟條件下,基于加強經營管理的內在需要,也是內部審計賴以存在的客觀基礎。但是,現代內部審計的產生卻是一個行政命令產物,強調外向。這種審計模式使人們對內部審計在性質認定上產生模糊,阻礙了內部審計的發展。內部審計很難融入經營管理中,審計工作很難正常開展,很難履行監督評價職能和開展保證咨詢活動,因此就不能充分發揮其應有的內向的作用。
(二)內部審計工作范圍過于狹窄。內部審計的目的在于為組織增加價值并提高組織的運作效率,其職能是監督和服務。但是,我國內部審計工作的重心局限在財務收支的真實性及合規性審計。長久以來內部審計突出了監督職能,而忽視了服務職能。內部審計認識水平、思想觀念的束縛以及管理體制等諸多因素,影響和阻礙著內審作用的有效發揮。原因有會計人員知識水平、業務素質不高,也有不重視法律、法規的因素,還有監管不力、查處不嚴的原因。目前內部審計尚處在查錯階段,停留在調賬、糾正錯誤上,還不能多角度、深層次分析問題,沒有較國際先進的審計理念,我國內部審計的作用尚待開發。審計人員的計算機知識匱乏,不適應電算化、信息化的迅速發展。目前多數審計人員硬件知識掌握不熟練,軟件知識了解也不足,因此不能有效地評估信息系統的安全性、效益性。由于計算機審計軟件開發標準不同,功能也不完整,因此全面推廣計算機輔助審計就有一定難度,導致審計人員的知識和審計手段滯后于信息化的發展。
二、信息化審計體系的健全
當前國家審計信息化發展的趨勢是建立審計信息資源的標準化、共享化、公開化,逐步達到向現代審計方式的轉變。這一趨勢是隨著當前科學發展、和諧社會的推進,國家確立的公共財政建設、公共服務的實施、公共產品的提供應運而生的,三個“公共”的主旨是:國家財政資金的使用更注重民生;使用重點更注重服務;使用效益更注重民意。
信息安全審計是任何機構內控、信息系統治理、安全風險控制等不可或缺的關鍵手段。收集并評估證據以決定一個計算機系統是否有效地做到保護資產、維護數據完整、完成目標,同時能更經濟的使用資源。信息安全審計與信息安全管理密切相關,信息安全審計的主要依據是出于不同的角度提出的控制體系的信息安全管理相關的標準。這些控制體系下的信息化審計可以有效地控制信息安全,從而達到安全審計的目的,提高信息系統的安全性。由此,國際組織也制定了相關文件規范填補信息系統審計方面的某些空白。例如《信息安全管理業務規范》通過了國際標準化組織ISO的認可,正式成為國際標準。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務院辦公廳關利用計算機信息系統開展審計工作有關的通知》等文件,基本規范了內部審計機制,健全了內部審計機構;強調機構應加強內審工作,機構內部要形成有權就有責、用權受監督的最佳氛圍;審計委員會直接對領導班子負責,其成員需具有相應的獨立性,委員會成員具良好的職業操守和能力,內審人員應當具備內審人員從業資格,其工作范圍不應受到人為限制。內部審計機構對審計過程中發現的重大問題,視具體情況,可以直接向審計委員會或者領導層報告。 轉貼于 三、主機系統安全審計
信息技術審計,或信息系統審計,是一個信息技術基礎設施控制范圍內的檢查。信息系統審計是一個通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面做出判斷的過程。
以技術劃分,信息化安全審計主要分為主機審計、網絡審計、應用審計、數據庫審計,綜合審計。簡單的說獲取、記錄被審計主機的狀態信息和敏感操作就是主機審計,主機審計可以從已有的系統審計記錄中提取相關信息,并以審計規則為標準來分析判斷被審計主機是否存在違規行為。總之,為了在最大限度保障安全的基礎上找到最佳途徑使得業務正常工作的一切行為及手段,而對計算機信息系統的薄弱環節進行檢測、評估及分析,都可稱作安全審計。
主機安全審計系統中事件產生器、分析器和響應單元已經分別以智能審計主機、系統中心、管理與報警處置控制臺來替代。實現主機安全系統的審計包括系統安全審計、主機應用安全審計及用戶行為審計。智能審計替代主機安裝在網絡計算機用戶上,并按照設計思路監視用戶操作行為,同時智能分析事件安全。從面向防護的對象可將主機安全審計系統分為系統安全審計、主機應用安全審計、用戶行為審計、移動數據防護審計等方面。
四、待解決的若干問題
計算機與信息系統廣泛使用,如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系,也就是建立安全策略體系、安全管理體系和安全技術體系。
保護網絡設備、設施、介質,對操作系統、數據庫及服務系統進行漏洞修補和安全加固,對服務器建立嚴格審核。在安全管理上完善人員管理、資產管理、站點維護管理、災難管理、應急響應、安全服務、人才管理,形成一套比較完備的信息系統安全管理保障體系。
防火墻是保證網絡安全的重要屏障,也是降低網絡安全風險的重要因素。VPN可以通過一個公用網絡建立一個臨時的、安壘的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。借助專業的防DDos系統,可以有效的阻止惡意攻擊。信息系統的安全需求是全方位的、系統的、整體的,需要從技術、管理等方面進行全面的安全設計和建設,有效提高信息系統的防護、檢側、響應、恢復能力,以抵御不斷出現的安全威脅與風險,保證系統長期穩定可靠的運行。嚴格的安全管理制度,明確的安全職責劃分,合理的人員角色定義,都可以在很大程度上減少網絡的安全隱患。
從戰略高度充分認識信息安全的重要性和緊迫性。健全安全管理組織體系,明確安全管理的相關組織、機構和職責,建立集中統一、分工協作、各司其職的安全管理責任機制。為了確保突發重大安全事件時,能得到及時的響應和支援,信息系統必須建立和逐步完善應急響應支援體系,確保整個信息系統的安全穩定運行。
參考文獻:
篇5
20世紀90年代以來,信息技術不斷創新,信息產業持續發展,信息網絡廣泛普及,特別是原衛生部《衛生信息化發展規劃(2011~2015年)》之后,明確了衛生信息化是深化醫藥衛生體制改革的重要內容。那么作為整個衛生信息化體系的“網底”的社區衛生服務中心,其重要性不言而喻。隨著衛生信息化的建設不斷擴展和深入,依托于區域衛生信息中心的各類應用系統不斷上線推廣應用。網絡與數據安全已逐步成為各項衛生信息工作開展的重要基礎依托。因此社區衛生服務中心作為區域衛生信息中心的重要結點。信息安全管理就顯得尤為重要。
2 什么是信息安全管理
“三分技術,七分管理”是信息安全保障工作中經常提到的。可見,信息安全管理是信息安全保障的至關重要的組成部分。信息安全管理(Information Security Management)指組織中為了完成信息安全目標,遵循安全策略,按照規定的程序,運用恰當的方法,而進行的規劃、組織、指導、協調和控制等活動。作為組織完成的管理體系中的一個重要環節,它構成了信息安全具有能動性的部分,是指導和控制組織相互協調完成關于信息安全風險的活動,其對象就是包括人員在內的各類信息相關資產。在社區衛生服務中心由于信息系統應用較為廣泛,基本包含了醫療、護理、醫技、行政等所有科室及其人員。
長期以來,社區衛生服務中心在信息安全建設方面,存在重技術輕管理、重產品功能輕安全管理、缺乏整體性信息安全體系考慮等各方面的問題。區域衛生信息中心采用集中管理的信息安全技術及產品的應用,一定程度上可以來解決社區衛生服務中心在網絡傳輸時的信息安全問題。但是僅僅靠這些產品和技術還不夠,即使采購和使用了足夠先進、足夠多的信息安全產品,仍然無法避免一些信息安全事件的發生。近年來,由于管理不善、操作失誤等原因導致的衛生信息及病患基本信息泄露的安全事件數量不斷攀升,更加劇了社區衛生服務中心需要信息安全管理的迫切性。
3 社區衛生服務中心信息安全管理作用
社區衛生服務中心信息安全管理的作用體現任以下幾個方面。
3.1信息安全管理是社區衛生服務中心組織整體管理的重要的、固有的組織部分,是組織實現中心業務目標的重要保障。在信息時代的今天,信息安全威脅已經成為社區衛生服務中心等醫療機構業務正常運營和持續發展的最大威脅。如在社區衛生服務中心發生的費用結算85%以上通過醫保信息系統來進行,所有的醫生工作站都依托中心服務器來提供數據進行操作,醫技部門也通過信息系統獲取病人信息和傳送結果。一旦信息系統發生故障對于社區衛生服務中心來說是災難性的。因此中心需要信息安全管理,有其必然性。
3.2信息安全管理是信息安全技術的融合劑,是各項技術措施能夠發揮作用的重要保障。安全技術是信息安全控制的重要手段,許多信息系統的安全性保障都要依靠技術手段來實現,但光有安全技術還不行,要讓安全技術發揮應有的作用,必然要有適當的管理程序的支持,否則,安全技術職能趨于僵化和失敗。如果說安全技術是信息安全的構筑材料,那么信息安全管理就是融合劑和催化劑,良好的管理可以變廢為寶,使現有的各項技術相互配合發揮應有的作用,而糟糕的管理會使技術措施變得毫無用處。實現信息安全,技術和產品是基礎,管理才是關鍵。在信息安全保障工作中必須管理與技術并重,進行綜合防范,才能有效保障安全,這也是實現信息安全目標的必由之路
3.3信息安全管理是預防、阻止或減少信息安全事件發生的重要保障。早期人們對于信息安全的認識主要側重在技術措施的開發和利用上,這種技術主導論的思路能夠解決信息安全的一部分問題,但卻解決不了根本,據權威機構統計表明,信息安全問題大約70%以上是由管理方面原因造成的,大多數信息安全事件的發生,與其說是技術上的原因,不如說是管理不善造成的。因此解決信息安全問題、防止發生信息安全事件不應僅從技術方面著手,同時更應加強信息安全的管理工作。
信息安全涉及的范疇非常廣,信息安全不是產品的簡單堆積,也不是一次性的靜態過程,它是人員、技術、操作三者緊密結合的系統工程,是不斷演進、循環發展的動態過程。因此,要求社區衛生服務中心的相關人員正確理解信息安全、理解信息安全管理的關鍵作用,以更好地開展信息安全管理工作。強調信息安全管理的作用,并不是要削弱信息安全技術的作用;開展信息安全管理工作,要處理好管理和技術的關系,要堅持管理與技術并重的原則,這也是信息安全保障工作的主要原則之一。
4 社區衛生服務中心信息安全管理控制措施
在我國對于信息安全等同采用IS0 27002:2005,命名為《信息技術安全技術信息安全管理實用規則》(GB/T 22081-2008)。信息安全是通過實施一組合適的控制措施而達到的,包括策略、過程、規程、組織結構以及軟件和硬件功能。可見對于社區衛生服務中心的信息安全來說,安全控制措施是必要且十分重要的。其中比較重要的如下:
4.1安全方針 社區衛生服務中心的信息安全方針控制目標,是指中心的信息安全方針能夠依據業務的要求和相關法律法規提供管理指導并支持信息安全。社區衛生服務中心信息安全方針文件的內容應包含中心管理者的管理承諾、組織管理信息安全的方法、中心信息安全整體目標和范圍的定義、中心管理者意圖的聲明、控制目標和控制措施的框架、重要安全策略、原則、標準和符合性要求說明、中心信息安全管理的一般和特定職責的定義、支持方針的文件的引用等。
4.2信息安全組織 信息安全組織一般分為內部組織和外部組織。社區衛生服務中心內部組織的信息安全控制目標是指在中心內管理信息安全。組織的安全建立在每一位人員不同責任分工的劃分,不同的責任會有不同的工作指導原則。其中應當包括信息安全的管理承諾、信息安全協調、信息安全職責的分配、信息處理的授權、保密協議、信息安全的獨立評審等。社區衛生服務中心外部組織的信息安全控制目標是保持中心被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理的安全。主要包括中心與系統外單位信息通信相關風險的識別、處理相關的安全問題和處理第三方協議中的安全問題等。
4.3人力資源安全 人員在中心的信息安全管理中是一個最重要的因素,有資料表明,70%的安全問題是來自人員管理的疏漏,為了對人員有一個有效的管理,需要從任用之前、任用中、任用的終止或變更三項控制目標進行管理。
4.3.1任用之前控制是指社區衛生服務中心任用人員之前為了確保人力資源的安全,需考慮到角色是否適合相應崗位,以降低設施被竊、信息泄露和誤用的風險,這一目標的實現需通過角色和職責、審查、任用條款和條件三項控制措施的落實來保障。
4.3.2任用中社區衛生服務中心的信息安全控制目標就是確保所有的員工、承包方人員和第三方人員知悉信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針,以減少人為過失的風險。
4.3.3社區衛生服務中心發生任用的終止或變更時,應確保信息的安全不外泄,確保員工、承包方人員和第三方人員以一個規范的方式退出或改變其任用關系。可以通過終止職責、資產的歸還、撤銷訪問權限等控制措施來實現。
4.4物理和環境安全 社區衛生服務中心的物理和環境安全可以從安全區域和設備安全來入手管理。定義安全區域是為了防止對中心場所和信息的未授權物理訪問、損壞和干擾。可以通過設置物理安全邊界、物理入口控制、辦公室房間和設施的安全保護、外部和環境的安全防護、在安全區域工作、公共訪問和交接區安全。設備安全是指防止由于資產丟失、損壞、失竊而危及社區衛生服務中心的資產安全以及信息安全。中心可通過設備安置和保護、支持性設施、布纜安全、設備維護、場所外的設備安全、設備的安全處置和再利用,資產的移動等措施來進行保障。
4.5通信和操作管理 社區衛生服務中心的通信和操作管理一般可從操作規程和職責、第三方服務交付管理、系統規劃和驗收、防范惡意和移動代碼、備份、網絡安全管理、介質處置、信息的交換、電子商務服務、監視等方面入手。
4.6訪問控制 對于社區衛生服務中心來說,訪問控制可從訪問控制的業務要求、用戶訪問管理、用戶職責、網絡訪問控制、操作系統訪問控制、應用和信息訪問控制、移動計算和遠程工作等控制目標來入手。
4.7信息安全事件管理 社區衛生服務中心的信息安全事件管理可以從報告信息安全事態和弱點、信息安全事件和改進的管理兩個控制目標入手進行管理。
4.7.1報告信息安全事態和弱點這項控制目標旨在確保中心與信息系統有關的信息安全事態和弱點能夠以某種方式傳達,以便及時采取糾正措施。該目標下有報告信息安全事態和報告安全弱點這兩項控制措施來保障這一目標的實現。①報告信息安全事態控制措施,是指信息安全事態應該盡可能快地通過適當的管理渠道進行報告。實施過程中應建立正式的信息安全事態報告程序,以及在收到信息安全事態報告后采取措施的事件響應和上報程序。②報告安全弱點控制措施,是指中心應要求信息系統和服務的所有職員、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統或服務的安全弱點。報告機制應盡可能容易、易理解和方便可用。應告知他們在任何情況下,都不應試圖去證明被懷疑的弱點。
4.7.2信息安全事件和改進的管理。社區衛生服務中心信息安全事件和改進的管理這一控制目標旨在確保采用一致和有效的方法對信息安全事件進行管理。中心可以用職責和程序的控制措施、對信息安全事件的總結、證據的收集三項控制措施來保障這一目標的實現。①職責和程序的控制措施。它是指中心應當建立管理職責和程序,以確保能對信息安全事件做出快速、有效和有序的響應。該項措施實施時除了對中心的信息安全事態和弱點進行報告外,還應利用對系統、報警和脆弱性的監視來檢測中心信息安全事件。遵循嚴格的信息安全事件管理程序的前提是中心需建立規程以處理不同類型的信息安全事件,如惡意代碼、拒絕服務、信息系統故障和服務丟失、違反保密性和完整性、信息系統誤用等。中心除了考慮正常的應急計劃還要考慮事件原因的分析和確定、遏制事件影響擴大的策略、向合適的機構報告所采取的措施等。②中心對信息安全事件的總結控制措施,是指社區衛生服務中心應有一套機制量化和監視信息安全事件的類型、數量和代價。從信息安全事件評價中獲取的信息應用來識別再發生的事件或高影響的事件。③證據的收集。證據的收集對于社區衛生服務中心來說,是指當中心的一個信息安全事件涉及到訴訟(民事的或刑事的),需要進一步對個人或組織進行起訴時,應收集、保留和呈遞證據,以使證據符合相關訴訟管轄權。過程有:為應對懲罰措施而收集和提交證據,應制定和遵循內部程序,為了獲得被容許的證據,中心應確保其信息系統符合任何公布的標準或實用規則來產生被容許的證據:任何法律取證工作應僅在證據材料的拷貝上進行。
4.8業務連續性管理 對于社區衛生服務中心來說業務連續性管理是指防止中心業務中斷,保證中心重要業務流程不受重大故障與災難的影響。業務連續性管理過程中包含信息安全,該控制措施是指應為貫穿于組織的業務連續性開發和保持一個管理過程。解決中心的業務連續性所需的信息安全要求,保護關鍵業務過程免受信息系統重大失誤或災難的影響,并確保他們的及時恢復。應包含中心的信息安全、業務連續性和風險評估、制定和實施包含信息安全的連續性計劃、業務連續性計劃框架、測試、維護和再評估業務連續性計劃等內容。
5 社區衛生服務機構信息安全的展望
篇6
引言
在當前的錯綜復雜的信息環境中,信息隨著信息環境多樣化的發展,變得更加的豐富與多樣。在信息的傳播過程中,信息異化現象的越發明顯,不僅給人們獲取和利用信息帶來了障礙。而且也進一步地影響了人們信息活動的安全。
“異化”(alienation)源于拉丁語alienation,有轉讓、疏遠、脫離、差異和分離之意。所謂信息異化,是指人們創造的信息在生產、傳播和利用等活動過程中,因受到各種因素的干擾,而導致信息喪失原有的內涵,甚至反客為主演變成外在的支配、統治和控制人的異己力量。簡單地說,信息異化就是作為主體的人與作為客體的信息之間產生關系的顛倒,從而使人丟失了自身的主體性。由此可以看出,信息異化扭曲了信息的本質,直接影響了信息的合理利用,而如何客觀的認識信息異化環境,準確處理信息異化問題,是我們必須解決的核心問題。
信息安全是信息異化所涉及到的最為敏感且重要的問題之一。關于信息異化在信息安全方面的研究,其采用的處理手段主要集中在信息導航、信息過濾控制以及信息安全保密角度三個方面。信息導航作為展示信息資源內容與結構的基本手段,以有序化的方式體現無序化的信息,為用戶提供方便快捷的信息指引;網絡信息過濾作為篩選信息、滿足用戶需求的有效方法,通過運用一定的標準和工具,從大量的動態網絡信息流中根據用戶的信息需求選取相關的信息或剔除不相關信息;信息安全保密控制的核心在于融合管理、技術、執法幾種手段綜合加以治理,通過內部網的安全保密技術以及內部網與外部網的防火墻技術隔離技術確保內部網的安全,同時細化電子文件密集,完善身份驗證、存取控制、數據完整性、數據機密性、防火墻技術、安全協議等手段,實現信息安全技術的應用。
現階段對于信息異化中信息安全的研究大多都處于強針對性條件下的研究現狀,單一的目的性導致了信息異化影響無法完全消失,信息污染無法被徹底地清除,信息安全依舊得不到完善的保障。因此,本文旨在參照目前信息異化的現狀處理的不足,在分析現有的安全保障系統缺陷的條件下,提出一套系統性的安全保障模式。
一、現有的企業信息安全保障系統
目前,國內外與信息異化環境下的信息安全保障相關的系統結構主要為OPSEC安全保障策略和網絡信息創新平臺。
(一)安全保障策略(OPSEC)系統
OPSEC安全保障策略(Operation Seeurity),是美國國家安全局依照企業反競爭情報的理念設計的一套以分析信息的價值人手,針對信息的價值來確定所要采取的保護策略的安全保障系統。OPSEC的運行機制是通過鑒別和分析競爭對手想要獲得的決定競爭成敗的關鍵信息,確定關鍵信息的危害程度,采取措施進行補救減少威脅,同時對自身信息系統的所有過程進行檢驗和分析。找到直接危害信息安全的弱點并采取彌補措施,通過對自身弱點的分析,找到彌補措施的平衡點,并最終綜合上述所有的環節進行研究,制定出綜合應對策略嘲。
OPSEC在通過運用過程中通過全面分析信息找出存在的漏洞,通過分析這些漏洞是否值得保護而進行的篩選信息保護。OPSEC的應用偏重于針對一定信息的異化處理和安全保障,有利于在低投入的條件下從根本上清除相關的信息污染,但降低了針對信息自身的多變性和時效性的異化分析。
(二)網絡信息創新平臺模式
網絡信息創新平臺即建立在技術進步基礎之上,利用信息科學的基本原理和方法實現人類信息處理擴展的技術模式。網絡創新平臺的著重點在于虛實與創新有機結合的信息技術模式,從提高信息技術的綜合水平上加強安全保密措施。虛實與創新有機結合的信息技術模式,在于針對現代信息技術發展造成信息生產者創新能力的丟失以及虛假信息擴散的現狀,發展出的一種將虛實和創新有機結合的信息技術模式,通過信息的時效性、開放性等特征,將各種現實信息緊密聯系,實現不同媒介信息的融合,提升信息的創新價值,在信息生產的階段,由于信息技術的促使信息量逐步提升使得信息在急劇增加的同時質量下降,而提高信息技術的信息加工傳遞的速率以及信息的辨別處理能力。當今的技術漏洞使信息安全受到了威脅,成為威脅信息安全的隱患。信息系統安全保密技術是防止信息污染發生的一項關鍵性技術系統,保障信息活動逐步規范化。
網絡信息創新平臺在理論上建立起了針對信息異化環境的信息安全保障系統,通過從信息的生產源人手,進一步體現信息的本質并兼顧自身的安全保障,對信息的處理和安全保障更加規范化。但目前信息安全的發展缺乏在信息安全應用上的創新研究,研究與應用發展不平衡性,沒有覆蓋信息安全的主要方向。
二、企業信息安全保障系統構建與分析
(一)核心目標
信息安全保障系統是指在信息環境下由信息安全的各個組成部分相互聯系且相輔相成所建立的總體結構。在信息異化的環境下,信息污染將成為信息安全的首要威脅之一,因此對于信息異化的處理將成為信息安全保障的首要工作。
信息安全保障系統能否具有可行性的關鍵,在于系統自身能否解決異化環境中信息污染的處理問題,以及能否適應當前所面對的各種客觀的信息安全保障環境和日益加劇的安全系統漏洞。
(二)企業信息安全保障系統結構構建
信息異化環境下的企業信息安全保障系統(如圖1所示),該系統的關鍵在于將異化后的信息通過信息清理模塊的初步處理,使信息的核心價值得以體現,再通過安全保障模塊的核心進行分析處理與安全保護模塊的信息加密,防止信息受到二次異化,從而使得信息價值得到充分的利用。
(三)企業信息安全保障系統的運行機制
信息異化環境下企業信息安全保障系統的運行機制(如圖2所示):將信息異化環境中被異化的信息提取并選擇與自身安全有關聯的信息進行關鍵詞挖掘,通過對異化信息中的核心詞匯進行提取用以找到合適的信息源,同時對同信息源或同類關鍵詞匯進行合成從而形成關鍵信息并進行分析和制定安全保障策略,最后通過設置的保密措施來對安全保障策略進行實施和成效反饋。因此,該信息安全保障系統中應包含信息清理模塊、安全保障策略模塊以及自身的安全保護模塊三個部分。
(四)企業信息安全保障系統功能分析
1 信息清理模塊
信息清理模塊主要用以對信息異化環境中受到異化的信息進行初處理,其具體的實施功能為信息源選取、關鍵詞挖掘和信息集成。
(1)信息源選取。對信息異化環境中的信息進行過濾,選取與目前對自身安全有關的信息,并確認信息的信息源。(2)關鍵詞挖掘。通過對與自身安全相關聯的信息進行語義挖掘,判斷并找出信息中的核心詞匯。(3)信息集成。明確信息的信息源,并將其與被挖掘出來的信息關鍵詞進行關聯分析,同時通過將信息源所發出的所有與自身目前相關的信息與挖掘LIJ的信息關鍵詞進行匹配,找到合適的信息體進行合成。
2 安全保障模塊
安全保障模塊是以信息分析,策略制定和實施以及成效反饋為主要步驟來進行的信息安全保障活動。
(1)信息分析。將已經合成的信息進行分析,發現其對自身信息安全產生的威脅,并找到自身信息安全存在的漏洞。(2)策略制定。對信息威脅和發現的信息漏洞進行綜合研究,制定}H相關補救策略,同時進一步加強總體性的信息安全保障。(3)策略實施。針對所制定的策略細節進行加密保護,再將加密后的策略信息進行實施和傳遞存儲。(4)成效反饋。基于策略實施后的成效進行反饋研究,并將結果進行加密后返送至信息分析功能板塊,通過對反饋的成效分析,查漏補缺,進一步制定和完善信息安全保障策略。
3 安全保護模塊
安全保護模塊的主要功能是保密措施,其運行機制在于對安全保障模塊中保障措施的實施和反饋進行的加密保護,并通過一系列實踐活動進一步對策略的實施給予保障。
三、實驗分析與驗證
(一)信息清理
目前從網絡銷售平臺中,將某手機品牌制造企業生產的E型手機選取三條相關信息:
信息1:本品牌產品本月綜合關注排行有所提升;
信息2:此E型手機的總銷量為近兩百四十臺;
信息3:此E型手機本月銷量上升一個百分點。
(二)信息挖掘與集成
現分別將以上三條信息的關鍵詞進行挖掘與集成,即如下表所示:
(三)安全保障
根據集成信息進行分析,可以得出本產品具有一定的市場潛力,在品牌效應促使下產品銷量也正在逐步提升,因此,保障品牌的可信度以及產品的好評率是取得客戶信任的關鍵一環。針對此現象,制定出進一步打造品牌效應,加強廣告宣傳力度以及實行產品促銷活動,爭取更廣泛的客戶群體的提升策略。
在策略進行的同時,開展有償回訪,積極深入了解客戶的內心需求,并針對客戶的需求進一步完善產品的功能,并在產品平臺的基礎上研發功能更加全面的軟件,進行升級下載。
(四)安全保護
在策略制定的過程中,為了獲取準確的客戶信息。需要在客戶回訪中,深入了解客戶購機的背景以及用途,同時進行多層次的交流以及實行多次的效應評估和完善評價。在品牌宣傳的過程中實施相關信息的及時反饋,并在促銷活動中體現品牌誠信以及公信度,從而進一步保障策略準確的實施和虛假異化信息的有效防范。
四、結論
信息是人及其活動中不可缺少的要素之一。在社會信息環境中,信息異化會促使人們表現出對自己創造的信息環境的不適感。針對信息異化現象的控制,需遵循信息生產、傳播和利用的利他法則。因此,信息行為也必須像其他行為一樣受道德與法律的雙重規范的約束。對于信息異化的控制,需努力尋找其根源,從多個角度進行控制研究,有效控制信息異化。
通過對于目前所提出的信息異化環境下的企業信息安全保障系統的闡述,我們可以從中發現系統性綜合性的信息安全保障模式可以在信息異化的環境下,針對特定的信息進行相關異化分析,并在內部和外部環境下的信息綜合評價進行安全保護。但作為系統性的運作模式,各模塊由于其間特性的不同,從而導致的模塊之間的銜接較為簡單,因而形成了信息安全保護相對較低、對于個別綜合性較大的異化信息所需進行的處理力度略顯不夠的狀況。因此,進一步提升信息安全的防范指數,促進信息異化環境下的信息安全運作系統各模塊間的銜接,下一步所需研究的核心問題。
參考文獻:
[1]劉丹丹,孫瑞英,網絡環境下信息異化的心理原因探析[J]圖書館學研究,2009,33(4)
[2]孫瑞英。信息異化問題的理性思考[J]情報科學,2007,25(3):340-344
[3]曾忠祿,情報制勝[M],北京:企業管理出版社,2000:281-283
[4]俞培寧,信息異化的成因及對策研究[J],圖書館學研究,2011(3):9-11
篇7
2增強信息安全保障體系的措施
2.1落實網絡信息安全基礎保障工作
由于網絡環境的虛擬化、信息傳輸超高速化和區域無界化,網絡信息安全保障工作具有一定的特殊性,其本質可以看作是實時性的安全預防、管理和應對。因此,不僅需要對國家現有的網絡平臺進行鞏固,確保基本的信息管理設備和裝置的合理應用和正常運行,還需要研制重點網絡安全問題的應對機制。同時為了更好地開展信息安全保障工作,應加大網絡安全的宣傳力度,通過不同的途徑和渠道讓廣大民眾認識到信息安全保障工作的重要性和必要性,樹立正確的網絡安全意識,從而更好的遵守網絡行為規范。還要打造一支網絡安全意識強、安全管理能力高的專業化團隊,為增強網絡信息安全管理提供堅實的保障。除此之外,職能部門也應制定相應的安全管理計劃方案,通過法律制度和標準,為信息安全管理工作的開展提供更好的政策依據。
2.2政府要加大對信息安全體系的構建力度
根據我國網絡安全的重點問題,政府職能部門必須加強對信息安全的管控。可以采取試驗試點的方式,對多種安全防治措施和方案進行探索和研究。在研發過程中可以從用戶身份識別、信息來源追蹤及用戶對所接受消息的檢測三個角度進行分析。譬如研發一套規范的數字證書驗證體系,對網絡用戶的身份進行實名制認證,實現對用戶信息和權限的系統化管理。這樣,一旦發現問題,便可以立即采取有效的措施進行解決,從而創建一個安全的網絡服務平臺。
2.3構建健全的網絡信息安全保障體系
在網絡信息安全保障體系的構建過程中,除了做好基礎保障工作,還應該不斷地提高網絡管理者的專業技能,完善網絡體系的硬件和軟件,讓體系內的各個組成部分都擁有自身安全管理的機制。同時應明確網絡環境中信息保護的根本目的,圍繞信息安全的各個方面開展工作,提高和改善網絡信息安全系統的監測能力、恢復能力、防御能力、反擊能力、預警能力及應急能力。只有具備了以上六項能力才能做到運籌帷幄,對網絡安全進行全面監控,對入侵行為進行有效的反擊,對突發問題做出快速反應和及時處理,對數據信息進行合理的備份存儲,使網絡安全管理效率得到最大程度的提升。此外,還應制定一套系統自檢測方案,對系統的安全性進行定時檢測,對其中存在的漏洞問題進行處理,完成網絡設備的自主檢測和檢測結果分析匯報。
篇8
計算機的信息安全保障要建立在完善的計算機安全防護系統之下,具體措施如下:
計算機信息安全技術的相應對策要使得計算機的信息得到安全的保障,就要采用安全性能高的系統,并對數據加密,加密技術要完善。可以通過隱藏、水印數字等手段將比較重要的文件與資料隱藏到一般的文件中,然后再通過信息的傳遞,這樣可以提高信息的保密性。在電腦上安裝殺毒軟件和防火墻是很必要的,在主機上安裝殺毒軟件,能對定期的病毒入侵進行掃描檢測,及時地補漏洞,主動地殺死病毒,這也對文件、資料等其他可能出現安全隱患的東西進行監測,發現異常情況時就可以直接處理。使用電腦時,要使用安全的路由器,采用安全性能高的密碼算法的路由器,可以采用密碼算法和加解密專用芯片的路由器。
計算機信息安全管理對策要想完善計算機信息安全管理系統,關鍵是要建立一套行之有效的管理制度,以及提出技術性的安全問題防范措施。具體來說,計算機信息安全管理對策,首先要制定一套有效的管理規范,為信息安全管理創造良好的制度環境。要明確管理人員的職責范圍,確保管理人員各司其職,又能密切配合。對于管理難度較大的項目,建議實行多人共管的制度,由多個人員負責同一個安全問題的管理,注意保存重要的文件、定期檢查存儲于計算機中的重要資料,對不明的郵件和信息不隨意打開和回復等等。對于較容易管理的項目,可以指派一個員工單獨負責,該員工要嚴格履行自己的職責,同時注意與其他管理者的協作。計算機信息安全分為系統安全、資料安全和軟件安全等,對于每一個信息安全領域,要指派專人進行管理,對于,造成信息丟失或被盜的員工予以批評或相應懲戒,以督促其他管理者認真履行職責。
篇9
企業檔案以企業文件材料歸檔為原點。向前延伸,涉及企業文件材料形成的各個環節。加強前端控制和全程管理,不僅是企業文件管理者的職責,也是企業檔案工作者的職責,以檔案工作者的獨特眼光、科學態度和嚴謹作風,加強企業文件材料形成過程的業務指導、監督、規范作業流程和建章立制,是―種可行而必要的方法;向后拓展,涉及企業檔案信息安全管理的各個方面,規范制度,嚴格執行。制度至少包括:檔案歸檔制度,檔案保密制度,檔案借閱利用制度,檔案鑒定銷毀制度,檔案分類、密級及保管期限劃分制度,各類檔案管理規定。
2 建立一套重當前、謀深遠的檔案信息安全保障策略和技術方法
檔案信息安全管理策略。在企業檔案信息化系統建設的過程中,應當制定和落實重當前、謀深遠的全程管理、風險管理、分級管理、重點管理的檔案信息安全保障策略。
全程管理就是指對電子文件從形成就開始進行控制,并貫徹到電子文件形成、歸檔、流轉、鑒定、整理、保管等工作始終。風險管理是指加強風險點分析與控制,把有害因素降低到最小程度和可控范圍內。分級管理是指對信息內容作出主動公開、申請公開和不公開的分級劃分,以便滿足不同利用者的需求,又能確保企業知識產權、國家安全和個人隱私、商業秘密不被外泄。重點管理是指對于核心信息和信息采取特殊安全措施,確保無虞。
技術方法的研究和應用。當前要重點加強以下技術方法的研究和應用:數字加密技術,數字簽名技術,數字水印技術,二維碼技術,電子檔案防擴散技術應用,備份與災難恢復技術。
3 建立一套人防、物防、技防綜合運用的檔案信息安全措施
人防的重點是筑牢思想防線,落實檔案信息安全的工作措施;物防的重點是要配備各種必要的防護設施、設備和物質保障;技防的重點是要加強研究和應用技術手段,在力所能及的條件下,用高端技術防范高端風險,防止信息外泄與擴散。綜合運用“三防”機制,是全面提高企業檔案信息安全的基本要求和可靠保障,一定要認真落實,從基礎做起。
企業信息安全的主要指標
實體安全。包括紙質實體和電子載體。對電子檔案載體要加強存放安全和技術檢測,確保物理性能穩定和數字安全可靠。
存儲安全。在企業檔案信息化過程中,檔案管理一般都使用“雙套制”的模式,即紙質一套,電子一套。電子檔案數據存儲安全尤為重要。需要關注的焦點:一是抗病毒能力。在各種網絡和計算機病毒層出不窮的環境下,怎樣確保每天在系統中存取的電子檔案數據不曾被病毒感染是個重要問題。加強抗病毒能力建設刻不容緩;二是數據加密能力。近年國外企業數據丟失案件頻頻發生。保證存儲設備上的數據在丟失后不至于帶來更大的災害,需要加強存儲系統加密能力建設,防止出現更大范圍數據丟失現象發生;三是數據恢復能力。企業的數據存儲系統復雜性決定了企業檔案信息安全問題的復雜性。怎樣在災難性事故發生后將丟失的數據完好的恢復,也是考量企業檔案信息存儲安全的一項重要指標。
利用安全。利用是一個永恒的主題,也是安全工作的目標。檔案利用環節應重點關心如下的問題:文檔加密,權限控管,時間劃允記錄追蹤。在企業檔案信息化的過程中,可以基于上述的指標,構建一套文檔安全防擴散系統,確保檔案利用安全。
傳輸安全。包括在線和離線兩個方面。在線安全主要是信息安全;離線安全主要是載體安全。二者都要有安全可靠的控制措施和防范措施。
企業檔案信息安全實踐思路
篇10
電子檔案是一種基于數字化技術所建立的一種信息管理平臺,在檔案管理工作中應用數字化的技術與平臺,不僅可以提高信息數據的使用效率,還可以讓檔案管理本身更加安全、有效。因為檔案開放利用的現象,許多檔案的查詢便利性得到提升,但是其安全保障也遭受了一定的影響。對此,探討電子檔案開放利用中信息安全保障存在的問題與對策具備顯著意義。
1電子檔案開放利用中信息安全保障存在的問題
1.1電子檔案信息安全問題
網絡安全是電子檔案信息安全的基本前提和保障,基于網絡的電子檔案信息安全管理的要求前提必然是網絡本身的安全性,電子檔案的信息安全可以從以下三個方面實現直接體現:①電子檔案信息的長效性,數字檔案對于網絡的依賴性較為明顯,如果網絡發生故障,則電子檔案內的信息也會隨之遭受影響,想要確保電子檔案信息的長效性,就務必提升網絡的維護力度以及安全程度[1];②電子檔案的完整性。電子檔案的信息主要是儲存在網絡當中,所以在遭受病毒和黑客攻擊的情況下,會導致電子檔案內的信息完整性遭受破壞,出現被篡改、刪除的安全問題;③電子檔案信息的真實性。電子檔案在開放利用的過程中遭受篡改的可能性較高,因為任何的檔案使用者都有可能按照自身的思維去改變和決定檔案當中的信息內容,這也是開放性利用的環境下電子檔案信息安全的主要問題。
1.2影響電子檔案信息安全的主要因素
就當前網絡環境而言,應當電子檔案信息安全的主要因素主要有三個方面。①網絡的安全性。網絡本身的不安全性必然會導致電子檔案內信息安全性遭受破壞和影響;②外部環境的安全性。例如電子檔案的硬件設備在發生故障時,必然會導致電子檔案的信息發生丟失、停運以及損壞等可能性;③電子檔案信息的不及時性。電子檔案信息仍然有較為明顯的不及時性,在許多領域中檔案的更新和修改速度有待提升。
2電子檔案開放利用中信息安全保障改進對策
通過上述關于電子檔案開放利用過程中信息安全保障所呈現的問題可以發現,想要真正提高信息安全程度,就需要在開放利用環境之下提高電子檔案的管理質量,并從根本上著手,優化國家的信息網絡安全性,構建網絡的安全屏障[2]。例如采用以下幾個方面的措施:①構建穩定的網絡環境,提高網絡本身的安全性,例如在網絡當中構建各種安全管理技術,例如路由安全技術、訪問控制技術、密碼技術、安全管理技術、系統漏洞技術、病毒查殺技術以及防火墻技術等;②構建安全可靠的檔案基礎,尤其是提高計算機等硬件設備的防火防水防震動等能力,從而確保電子檔案開放利用過程中信息的安全性;③改進電子檔案管理理念,從根本上提高對檔案管理的重視程度。意識是行動的導向,為了持續創新和完善電子檔案管理利用發展平臺的功能,確保檔案管理可以推動社會發展,提高數字化檔案管理意識成為必要措施。無論是在普通員工還是管理者中,都必須充分認識到檔案管理的重要性,并構建行之有效的管理制度進行管理,尤其是明確電子安全信息管理的目標和方式,管理措施、管理內容以及管理要求等,明確每一個電子檔案信息安全管理部門的職責以及任務,例如法律法規支撐、環境與設備安全支撐、人力資源支撐以及安全防護技術支撐等,促使電子檔案安全管理逐漸成為信息安全保障的目標。
3總結
綜上所述,電子檔案開放利用在很大程度上可以推動檔案發展,并且顯著優化檔案的儲存效率、使用效率以及修改和共享效率,是檔案管理必然的發展方向。但是,我國當前電子檔案在信息安全管理層面仍然存在一些問題和不足,想要提升電子檔案信息的安全性以及資源共享有效性,務必保障電子檔案安全的管理重要性,并通過不斷的優化和創新,提高信息安全保障效果,推動電子檔案長遠發展。
參考文獻
[1]余建國.論電子檔案開放利用中信息安全保障存在的問題與對策[J].信息化建設,2015,23(12):5001~5002.
篇11
1.1 大數據的主要特征分析
處在大數據時展背景下,大數據的特征體現也比較鮮明,首先在海量信息數據的特征方面就比較顯著。在計算機的硬盤容量已經進行了升級,在容量上也大大的擴大了,在數據的規模上也不可同日而語。這就對信息技術的進一步發展有著重要的促進作用,這也是大數據時代的一個重要標志。再者是大數據的數據信息種類的多樣化,多樣化類型的傳感器以及終端設備都是大數據信息數據的源頭[1]。這樣就形成了數據類型的多樣化。
1.2 大數據涉及的相關內容分析
大數據發展下涉及到的內容是比較多的,在網絡的安全問題上是大數據發展下的重要問題內容。大數據的發展為網絡犯罪也提供了很大的便利,使得范圍的模式發生了變化,并且在犯罪的水平上也比較高,這就對信息安全帶來了很大的威脅。再有是涉及到的云數據,在云計算的應用下,也是面臨著一些問題,使得在對數據的處理過程中會有著諸多不可測的風險。另外在個人設備管理的問題上,移動設備的應用廣泛化,使得數據的存儲和訪問等都變得比較簡單化,這也存在著信息安全的問題[2]。最后在涉及到的數據保密的內容層面也是需要急迫解決的。對于這些內容都要能夠充分的重視。
2 大數據時代下信息安全問題和解決策略探究
2.1 大數據時代下信息安全問題分析
大數據時代背景下的信息安全問題也比較突出,主要體現在人們對大數據環境下的信息安全的意識沒有得到強化,對信息的安全防范意識不足。網絡的安全性問題在當前的社會發展中愈來愈嚴重,在一些社交平臺或公共購物平臺等,都可能對個人的信息造成泄漏,由于網絡的開放性特征,也使得個人的信息安全得不到有效的保障。而當下的公眾在信息安全的防范意識上還不是很強,這就使得信息安全問題發生的可能性就增大了。
再者,大數據環境下的信息已經成為高級可持續攻擊載體。大數據自身的價值密度低的特征下,使得外界的環境影響比較敏感,容易受到黑客的攻擊。而這些攻擊的代碼是處在大數據當中的,所以進行安全服務鑒別中就存在著很大的難度。這樣就使得大數據信息成為了可持續攻擊的一個載體,在這一方面的問題要能充分的重視,結合實際進行應對。
另外,大數據環境中的信息安全問題還體現在智能終端的威脅。移動智能終端在我國的使用數量不斷的增長,這就使得智能終端的信息也比較多,在信息的安全性方面就存在著很大的隱患。智能終端一旦被破壞,就會使得信息丟失,而受到病毒的控制也會造成信息的安全性得不到有效保證[3]。
2.2 大數據時代下信息安全問題的解決策略
對于大數據時代背景下的信息安全問題的解決,要能從多方面進行考慮。首先在數據的結構優化措施的實施上要重視,這對信息安全保護有著重要作用發揮。由于大數據時代的數據信息比較復雜,在數量上也比較大,通過數據結構的優化和加密管理,就比較方便處理。能夠在數據結構化基礎上對入侵的數據就能實現智能化的辨別,在信息的安全系數上就得到了有效提升。
再者,大數據時代對信息安全的防范要進一步加強敏感數據的監管力度。大數據的海量信息的特征,使得在管理上存在著諸多難度,這就為黑客信息掃描檢測漏洞提供了可能。故此政府方面要在大數據的監管力度上進行加強,在管理制度上結合實際進行有效完善,并要能夠對移動設備的安全使用進行保障。從大數據的使用流程以及方法層面嚴格執行,這樣才能保證對信息安全的保證。對大數據時代背景下的信息安全問題的解決,還要能從大數據平臺建立方面得到加強。
另外,強化大數據信息安全技術的應用,不斷的將安全保障技術進行優化。信息的安全性保障離不開技術的支持,要定期的對網絡中的潛在漏洞實施掃描,在信息的安全防御層面進行有效加強。在大數據的技術研發方面要進行加強,將數據加密技術以及安全訪問控制技術等得到有效應用,從整體上將信息安全的防范能力進行加強[4]。要能通過相關技術的應用,從數據信息的泄漏重點領域加以強化,通過對設備的訪問權限設置,以及通過SSL技術的應用等,全面加強數據信息的安全保護作用。
例如:應用沙箱(Application Sandboxing)是一項借鑒于 Trusted BSD的技術。通過這一功能,可以對特定資源進行定義,對應用的訪問權限作出限制,包括網絡資源、內存及部分文件系統等。Gatekeeper是一項能讓Mac電腦免遭惡意軟件入侵的技術。有了Gatekeeper,你可以讓那些被允許在Mac電腦上運行的應用,只能通過Mac App Store獲取并簽名,或成為由合法開發者簽名的應用。
不僅如此,對大數據信息安全的保護還要從法律層面進行加強,完善網絡信息的法律法規的保障措施。對個人隱私信息以及公共信息的安全保護進行加強,從法律層面來建設安全信息的保障體系,將信息安全的法律化要制定細化可操作的制度加以防范。
3 結語
總而言之,大數據背景下的信息安全防范愈來愈重要,要不斷的將信息安全保護措施合理化的加以實施,從根本上保障個人以及企業的信息安全性,只有如此才能真正的對信息安全起到保障作用。此次主要從大數據環境下的信息安全問題和保障的措施實施進行了重點分析,希望有助于實際的信息安全保護。
參考文獻:
[1]張茂月.大數據時代個人信息數據安全的新威脅及其保護[J].中國科技論壇,2015(07).
篇12
本文主要就計算機網絡信息安全內涵及具體的安全問題進行詳細分析,然后結合實際探究對網絡信息安全的具體防護措施,希望能夠保障網絡信息的安全運行。
全球化的發展進程中,隨著城市化建設的不斷加快,人們在網絡技術的應用上也愈加的廣泛化,網絡技術已經成為人們生活中重要的部分。但是網絡信息安全問題一直是一個比較重要的課題,對這一問題的解決也在當前比較迫切,通過對網絡信息安全問題的理論研究,就對實際問題的解決有著實質性意義。
1 計算機網絡信息安全內涵及具體的安全問題分析
1.1 計算機網絡信息安全內涵分析
對于計算機網絡安全體現在多個層面,計算機網絡作為人們生活中重要的部分,隨著社會的不斷發展人們對計算機信息系統生產信息需求以及依賴性也得到了有效加強,在信息的安全方面就愈來愈重要。對計算機網絡信息安全主要體現在實體安全以及數據和運行安全、以及信息管理上的安全。從基礎運行信息方面來看,這是計算機網絡信息的基礎,也是重要管理對象,任何計算機的信息多元化發展都要將信息運行作為重要的管理基礎。
1.2 計算機網絡信息具體的安全問題分析
從當前的計算機網絡信息的安全問題來看,體現在多個層面的,主要能夠分為自然威脅以及人為威脅。從自然災害造成的網絡信息安全主要是計算機是智能機器,所以就比較容易受到環境以及自然災害等方面的威脅,計算機在這方面的抵抗能力比較弱,所以就會使得網絡信息的安全得不到有效保障。
再者,計算機網絡自身所存在的安全漏洞也是造成信息安全得不到保障的重要因素。一些新的操作系統以及應用軟件上市就有漏洞找出,任何系統也都會存在著漏洞。
其中在緩沖區溢出方面這是攻擊當中比較容易被利用的漏洞,還有是拒絕服務問題。由于網絡系統自身的脆弱性,運行協議網絡系統由于TCP/IP自身的安全性能有待加強,所以就存在著欺騙攻擊以及拒絕服務等問題。
另外,人為額惡意攻擊以及用戶的操作失誤等也會造成計算機網絡系統的安全性得不到有效保證。還有是計算機病毒的威脅以及垃圾郵件和間諜軟件的威脅,都會造成信息安全得不到保障,所以要能夠針對這些問題進行針對性的解決。
2 計算機網絡信息安全的防護措施探究
2.1 計算機網絡信息管理原則
對計算機網絡的信息安全管理要能夠遵循相應的原則,這樣才能夠真正對信息的安全得到保證。在保密性原則方面要能充分重視,要篩選掉沒有授權用戶的訪問請求。
再有是在完整性方面要重視,通過加密技術保證信息的完整性,然后就是要對授權性以及可用性的原則進行遵循,網絡信息的可用性主要是在信息系統的設計環節得到體現,確保計算機系統中的各種信息收到攻擊的時候能正常性的運行。
2.2 計算機網絡信息安全防護措施探究
對計算機網絡信息的安全防護措施的實施要能從多方面進行實施,通過對用戶賬號安全的強化能夠起到有效的保護作用。用戶的賬號涉及面相對比較廣泛,這就涵蓋著系統登錄賬號以及電子郵件賬號等,對合法賬號及密碼的獲取是黑客比較常用的手段,所以這就要能夠結合實際加強對系統登錄賬號的密碼設置,在密碼設置上要復雜化,賬號密碼最好不要設置相同或者相似的,要將數字和字母以及特殊的符號進行聯合使用,以此來加強密碼的復雜性。對于賬號密碼要能夠隔一段時間進行更換一次,這樣能夠有效防止賬號被盜。
對計算機網絡信息的安全防護系統要能進一步健全,將完整的檢查以及審計入侵工作能夠得到有效完善,網絡的漏洞掃描以及檢測病毒和網絡監控等各方面的內容要能充分重視,在信息安全方面可通過警報以及攔截進行反應。要能夠制定標準網絡管理規范對信息安全體系進行有效規范。
計算機網絡安全的問題中,黑客主要是通過網絡探測技術對主機信息進行查看,主要是獲取網絡主機的IP地址,如果是掌握了IP地址就為網絡攻擊打下了基礎。
能夠通過這一IP來實施多種攻擊,所以對IP地址的隱藏就是成了比較有效的方法,通過服務器就能夠實現這一目標,在設置之后其它的用戶只能夠探測到服務器的IP地址,這樣在用戶上網安全方面就得到了有效保障。
對計算機網絡安全的防護最為有效常用額方法就是安裝殺毒軟件以及防火墻,網絡防火墻技術是對網絡間的訪問控制加強的,對外部網絡用戶通過非法手段進入內網的有效技術措施,防火墻對網絡運行狀況的監視功能能有效發展網絡問題,防火墻的技術種類也是多種多樣的,有監測型的防火墻技術以及濾型的防火墻技術和型的防火墻技術。
例如監測型的防火墻技術就是新一代的防火墻產品,能對各層數據實施主動實時的監測,在數據的分析下就能夠有效的對非法入侵問題準確的進行判斷。
除此之外,網絡信息安全的防護還可通過文件加密技術來進行實現,這對信息的安全性就能得到有效保證。當前比較常用的就是網絡數據傳輸加密以及端到端的加密方式,前者主要是對流通中網絡數據的加密,后者則是將文件變成密碼進行的傳遞,都能夠達到信息安全防護的效果。
3 結語
篇13
在信息化時代下,完善的體制架構被劃分為機構協調、職能分工和運作規則等幾個部分。就機構協調而言,不再是傳統的金字塔模式,即信息自下而上層層傳遞,決策由上而下層層布置;而是采用更加扁平的組織流模式,管理趨向于文化,而不在是制度,組織的信息化水平越高,即信息傳遞速度越快,內容描述得越精準,管理就變得越簡單,國家或企業的安全就更加可控。
實施科學風險評估
風險評估作為保障信息安全的重要措施之一,其在信息化發展方面起著至關重要的作用。隨著信息化的不斷發展,各種社會組織都越來越多地依賴于信息技術和信息系統來處理其信息和管理業務,從而提高自身競爭力,風險管理也隨之在信息化的推進和管理中扮演越來越重要的角色。信息化作為兩化融合的重要組成部分,所涉及的眾多信息都具有保密性,即使安全功能再強大的網絡系統,也有被非法攻擊的可能性,因此,對基于兩化融合思路的信息安全風險評估服務也顯得更為重要。尋求完善有效的基于兩化融合思路信息安全風險評估模式,是保障信息安全的有效措施,也已成為世界各國兩化融合工作的新方向。
信息安全風險管理是一個包括識別風險、評估風險以及采取措施降低風險至可以接受的程度在內的全過程,其目標是要保護重要的信息系統和信息安全,幫助管理層更好地做出與管理風險相關的各種決策,幫助管理層更好地審批和建設信息系統,掌握其可能面臨的風險。它從風險管理角度,運用科學的方法和手段,系統分析網絡與信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,為防范和化解信息安全風險,將風險控制在可接受的水平。這樣綜合評估的結果可以幫助風險管理進行決策,即需要采取什么樣的風險管理措施,優先次序是什么,以及如何落實這些風險控制措施。
進行整體安全防范
對信息網絡的整體安全防范應該在風險評估的基礎上進行相應的信息安全等級保護和重要信息安全保護。信息安全等級保護是指國家通過制定統一的信息安全等級保護管理規范和技術標準,組織公民、法人和其他組織對信息系統分等級實行安全保護,對等級保護工作的實施進行監督、管理。信息安全等級保護制度是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設健康發展的一項基本制度。實行信息安全等級保護制度,能夠充分調動國家、法人和其他組織及公民的積極性,發揮各方面的作用,達到有效保護的目的,增強安全保護的整體性、針對性和實效性,使信息系統安全建設更加突出重點、統一規范、科學合理,對促進我國信息安全的發展將起到重要推動作用,進而保障兩化融合的順利實施。
