引言:易發(fā)表網(wǎng)憑借豐富的文秘實(shí)踐��,為您精心挑選了九篇信息安全管理論文范例�����。如需獲取更多原創(chuàng)內(nèi)容���,可隨時聯(lián)系我們的客服老師����。
第1篇
1.1崗位人員安全意識薄弱
崗位人員隨便下載安裝個人需要的軟件程序�,往往會在安裝軟件的過程中直接將一些安裝程序中附帶的插件也裝在了操作系統(tǒng)中,如果是惡性插件��,必然會造成系統(tǒng)的不穩(wěn)定�����,嚴(yán)重者甚至?xí)斐?a href="http://www.markxinwenwang.cn/haowen/36422.html" target="_blank">信息安全事件的發(fā)生,這些事件的發(fā)生很大程度上就是因?yàn)閸徫蝗藛T安全意識薄弱所造成的。安全意識薄弱的因素有很多��,一是相關(guān)技術(shù)部門沒有長期的進(jìn)行圖書館信息安全意識的思想灌輸���;二是崗位人員本身對信息安全意識重視不夠�。
1.2人員安全管理制度不完善,執(zhí)行力不高
制度的制定給予管理提供依據(jù),無制度便無章可循��,相關(guān)工作就會混亂無章��。雖然多數(shù)高職院校圖書館在人員安全管理方面都制定了相關(guān)的管理制度���,但制度的內(nèi)容不夠完善,很多細(xì)節(jié)問題不夠全面�����,甚至只是“白紙黑字”而已�����,形同虛設(shè)�����,而且執(zhí)行起來也不夠徹底,執(zhí)行力不高����。這大多數(shù)高職院校尤其是民辦性質(zhì)的高職院校圖書館都普通存在這樣的現(xiàn)象����。
2人員安全管理策略
要解決人員安全管理不當(dāng)帶來的信息安全問題,必須要比較全面地完善人員安全方面的管理制度,提高執(zhí)行力。具體策略如下:
2.1技術(shù)人員崗位分工協(xié)作
對于技術(shù)人員充足的高職院校圖書館,可以將技術(shù)人員劃分為三個崗位:硬件安全人員�����、軟件安全人員和網(wǎng)絡(luò)數(shù)據(jù)人員。根據(jù)圖書館的實(shí)際情況出發(fā),將這三類技術(shù)人員進(jìn)行分工協(xié)作,日常工作中完成各自崗位上的職責(zé)�。具體劃分可以參考附表�����。
2.2崗位人員安全管理
2.2.1崗位人員的聘用審核
大多數(shù)圖書館都會每年進(jìn)行一次崗位人員的招聘,因此,每年崗位人員的聘用必須經(jīng)過嚴(yán)格的政審并且考核其業(yè)務(wù)能力���,尤其是安全保密方面的能力�����。對于信息安全意識強(qiáng)的�����,工作業(yè)務(wù)能力高的�����,要擇優(yōu)錄取。嚴(yán)格的聘用審核可以將一些毫無信息安全意識的聘用人員扼殺在圖書館外��。
2.2.2崗位人員工作機(jī)使用限制
保障圖書館數(shù)字信息的全面安全與崗位人員是否正確使用工作機(jī)有很大的關(guān)系��,不法黑客就是利用非技術(shù)人員亂下載亂安裝插件的陋習(xí)造成的系統(tǒng)漏洞進(jìn)行系統(tǒng)的攻擊����。根據(jù)各館的實(shí)際工作需要���,可以對工作機(jī)的使用作必要的使用說明�,例如可以這樣限制:①不得隨意下載安裝存在安全隱患的插件或其他與圖書館工作無關(guān)的軟件�,例如:證券軟件����、視頻軟件等。②不得隨意瀏覽不安全不健康的網(wǎng)頁���;③如有需要安裝工作需要的軟件,須聯(lián)系技術(shù)人員為其下載安全�;④遇到信息管理系統(tǒng)客戶端無法正常使用的情況��,不要自行卸載或重裝����,須聯(lián)系技術(shù)人員解決問題;⑤其他的一些使用原則����。
2.2.3崗位人員安全意識培訓(xùn)
信息安全意識對于信息至上的圖書館而言是非常重要的����,如果崗位人員都安全意識高�,完全可以避免很多信息安全事件的發(fā)生。安全培訓(xùn)可以根據(jù)圖書館制定信息安全培訓(xùn)制度與培訓(xùn)計劃�����,有針對性地有重點(diǎn)地定時對不同崗位的工作人員進(jìn)行培訓(xùn)��。例如:X館在每個學(xué)期末的全館學(xué)期工作總結(jié)會議上���,信息技術(shù)部主任都會對全館的工作人員進(jìn)行迫切高度強(qiáng)調(diào)信息安全意識的重要性。
2.2.4崗位人員功能賬號統(tǒng)一管理
圖書館信息管理系統(tǒng)包括編目�、流通�、期刊、系統(tǒng)管理��、檢索���、采訪等幾個子功能系統(tǒng)���,不同崗位的工作人員擁有相應(yīng)的子系統(tǒng)功能賬號�����。為了保證數(shù)字信息的安全,崗位人員功能賬號的使用必須統(tǒng)一由相關(guān)部門(信息技術(shù)部)分配管理���,提出有效的管理分配原則,例如:一個崗位人員只能擁有該崗位的功能賬號�����,不得擁有其他崗位的功能賬號�����;對于某些崗位人員有業(yè)務(wù)工作需求��,需要其他崗位的功能賬號���,可以設(shè)置多個公共功能賬號提供使用�,需求者必須向信息技術(shù)部門提出申請����;新進(jìn)的崗位人員需向信息技術(shù)部相關(guān)工作人員申請賬號�����;崗位人員需要修改賬號或密碼,必須向技術(shù)部相關(guān)工作人員提出需求給予修改����。
2.3讀者用戶安全管理
圖書館的信息是為讀者用戶服務(wù)的���,信息訪問量最大的群體就是讀者用戶,讀者用戶是否安全訪問也直接影響著信息管理系統(tǒng)的信息安全。因此�,圖書館有必要采取有效措施�,制定確實(shí)可行的讀者用戶安全訪問管理制度���,確保讀者用戶訪問圖書館信息的安全����?����?梢酝ㄟ^以下方式提高讀者的信息安全意識:①每年新生入學(xué),圖書館可以通過開展新生入館教育的形式對新生讀者進(jìn)行信息安全意識的提高�,通過用戶安全培訓(xùn)�����,提高用戶安全意識,使其自覺遵守安全制度����。②通過網(wǎng)絡(luò)宣傳��、現(xiàn)場海報宣傳,小冊子派發(fā)宣傳、講座演講宣傳等形式對讀者長期進(jìn)行信息安全意識的宣傳���,提升讀者的信息素養(yǎng),讓讀者掌握簡單有效的病毒攻擊防護(hù)技巧���。
3結(jié)束語
第2篇
(1)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不健全����。
現(xiàn)階段����,我國的供電企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不夠健全���,未能達(dá)成建立在供電企業(yè)內(nèi)部網(wǎng)絡(luò)信息化的理想狀態(tài)����。中部市、縣級供電公司因?yàn)闂l件有限�,信息安全工作相對投入較少�,安全隱患較大,各種安全保障措施較為薄弱��,未能建立一個健全的內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)���。但隨著各類信息系統(tǒng)不斷上線投運(yùn)����,財務(wù)、營銷�、生產(chǎn)各專業(yè)都有相關(guān)的信息系統(tǒng)投入應(yīng)用�����,相對薄弱的網(wǎng)絡(luò)系統(tǒng)必將成為整個信息管理模式的最短板。
(2)存在于網(wǎng)絡(luò)信息化機(jī)構(gòu)漏洞較多���。
目前在我國供電企業(yè)中,網(wǎng)絡(luò)信息化管理并未建立一個完整系統(tǒng)的體系����,供電網(wǎng)絡(luò)的各類系統(tǒng)對于關(guān)鍵流程流轉(zhuǎn)�、數(shù)據(jù)存儲等都非常的重要,不能出現(xiàn)絲毫的問題��,但是所承載網(wǎng)絡(luò)平臺的可靠性卻不高�����,安全管理漏洞也較多,使得信息管理發(fā)展極不平衡����。信息化作為一項(xiàng)系統(tǒng)的工程���,未能有專門的部門來負(fù)責(zé)執(zhí)行和管理���。網(wǎng)絡(luò)信息安全作為我國供電企業(yè)安全文化的重要組成部分���,針對現(xiàn)今我國供電企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀來看����,計算機(jī)病毒,黑客攻擊造成的關(guān)鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡(luò)安全隱患�����。各種計算機(jī)準(zhǔn)入技術(shù)�,可移動存儲介質(zhì)加密技術(shù)的應(yīng)用,給企業(yè)信息網(wǎng)絡(luò)安全帶來了一定的保障���。但是目前供電企業(yè)信息管理工作不可回避的事實(shí)是:操作系統(tǒng)正版化程度嚴(yán)重不足。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新�����,針對操作系統(tǒng)的攻擊將變得更加頻繁����。一旦有計算機(jī)網(wǎng)絡(luò)病毒的出現(xiàn),就會對企業(yè)內(nèi)部計算機(jī)進(jìn)行大規(guī)模的傳播,給目前相對公開化的網(wǎng)絡(luò)一個有機(jī)可乘的機(jī)會,對計算機(jī)系統(tǒng)進(jìn)行惡意破壞���,導(dǎo)致計算機(jī)系統(tǒng)崩潰。不法分力趁機(jī)竊取國家供電企業(yè)的相關(guān)文件,篡改供電系統(tǒng)相關(guān)數(shù)據(jù)���,對國家供電系統(tǒng)進(jìn)行毀滅性的攻擊��,甚至致使整個供電系統(tǒng)出現(xiàn)大面積癱瘓。
(3)職工安全防范意識不夠。
想要保證我國網(wǎng)絡(luò)信息的安全�,就必須要提高供電企業(yè)員工的綜合素質(zhì)�,目前國內(nèi)供電企業(yè)職員的安全防范意識不強(qiáng)��,水平參差不齊�,多數(shù)為年輕職員,實(shí)際操作的能力較低��,缺少應(yīng)對突發(fā)事件應(yīng)對措施知識的積累����。且多數(shù)老齡職工難以對網(wǎng)絡(luò)信息完全掌握,跟不上信息化更新狀態(tài)���,與新型網(wǎng)絡(luò)技術(shù)相脫軌。
2網(wǎng)絡(luò)信息安全管理在供電企業(yè)中的應(yīng)用
造成供電企業(yè)的信息安全的威脅主要來自兩個方面��,一方面是國家供電企業(yè)本身設(shè)備上的信息安全威脅�����,另一方面就是外界網(wǎng)絡(luò)惡意的攻擊其中以外界攻擊的方式存在的較多?,F(xiàn)階段我國供電企業(yè)的相關(guān)部門都在使用計算機(jī)對網(wǎng)絡(luò)安全進(jìn)行監(jiān)督和管理�����,難以保證所有計算機(jī)完全處在安全狀態(tài)�。一般情況下某臺計算機(jī)泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的�����,這就需要加強(qiáng)我國供電企業(yè)進(jìn)行安全的管理�,建立病毒防護(hù)體系��,及時更新網(wǎng)絡(luò)防病毒軟件�,針對性地引進(jìn)遠(yuǎn)程協(xié)助設(shè)備�����,提高警報設(shè)備的水平����。供電企業(yè)的信息系統(tǒng)一個較為龐大且繁雜的系統(tǒng)���,在這個系統(tǒng)中存在信息安全風(fēng)險也是必然的�。在這種情況下就要最大程度地降低存在的風(fēng)險,對經(jīng)歷的風(fēng)險進(jìn)行剖析�,制定針對性的風(fēng)險評估政策���,確立供電企業(yè)信息系統(tǒng)安全是以制定針對性風(fēng)險評估政策為前提的����,根據(jù)信息安全工作的緊迫需求做好全面的風(fēng)險評估至關(guān)重要����。“掌握核心技術(shù)”不只是一句簡單的廣告詞語,還是國家和各個企業(yè)都應(yīng)該一直貫徹落實(shí)的方針政策����。為了避免外界對我國供電企業(yè)信息技術(shù)的操控��,國家相關(guān)部門就必須實(shí)行自主研發(fā)信息安全管理體系��,有效地運(yùn)用高科技網(wǎng)絡(luò)技術(shù)促使安全策略�����、安全服務(wù)和安全機(jī)制的相結(jié)合�����,大力開發(fā)信息網(wǎng)絡(luò),促進(jìn)科技管理水平的快速提高��,以保證我國供電信息管理的安全��。
3結(jié)語
第3篇
現(xiàn)代計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展�����,為我國檔案信息管理提供了現(xiàn)代化的管理手段和方式。檔案信息是社會生產(chǎn)活動的真實(shí)記錄���,是一種不可否認(rèn)的社會史實(shí);另外站在更高的角度來講��,檔案又是一種重要的信息資源��,與社會生活和經(jīng)濟(jì)活動密不可分�����。從目前來看,可利用的社會資源越來越少�����,社會上的虛假信息越來越多����,人們?yōu)榱俗陨淼陌l(fā)展����,不惜一切代價獲取真實(shí)的信息資源�。重要的檔案信息資源對個人來說����,可能為個人的成功提供了機(jī)會;對一個企業(yè)來說�����,可能是幫助企業(yè)渡過難關(guān)��,獲得最大效益的法寶����;對一個國家來說�����,信息資源甚至決定國家的興衰�����。由此可見,檔案信息資源在國家社會生活的方方面面發(fā)揮著深遠(yuǎn)的影響,具有重要的價值�。因此�,做好檔案信息的安全管理工作是當(dāng)前檔案工作的重中之重。
二���、檔案信息安全管理的現(xiàn)狀分析
近年來隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展�,我國的檔案管理模式基本上分為兩種:實(shí)體檔案信息管理和電子檔案信息管理。下面針對不同的檔案信息管理模式,對其現(xiàn)狀和存在的問題進(jìn)行分析。
1.實(shí)體檔案信息管理
實(shí)體檔案信息管理是長期以來一直沿用的管理方法��。實(shí)體檔案信息管理需要大量的檔案館庫做支撐�,但是我國目前的檔案館庫多是20世紀(jì)80年代的建筑,特別是在經(jīng)濟(jì)發(fā)展相對緩慢、生活貧困的地區(qū)����,其中不少檔案館庫及設(shè)施在漫長的歲月演變中變得破敗不堪��,檔案庫房的功能大大減弱,這對檔案信息的存放和保管構(gòu)成了嚴(yán)重的威脅����。不僅檔案館庫等建筑設(shè)施的狀況影響檔案信息的安全�����,在檔案信息管理中同樣存在嚴(yán)重的安全漏洞����。主要表現(xiàn)在以下幾方面:首先�,字跡不清晰。受到歷史條件的制約,以前很多紙質(zhì)檔案書寫所用的材料不符合規(guī)范,形成大量的鉛筆、圓珠筆字跡�,再加上時間久遠(yuǎn)����,檔案保護(hù)不當(dāng)��,造成檔案字跡模糊不清晰���。其次����,檔案信息保護(hù)環(huán)境不良��。在檔案存放和保管過程中,由于存放環(huán)境的惡劣導(dǎo)致檔案的破壞屢見不鮮��。最后����,檔案的自然損壞嚴(yán)重。檔案信息的自然損壞主要是歷史原因所致��,由于存放時間比較久遠(yuǎn)�,記錄檔案信息的載體經(jīng)過漫長的時期發(fā)生了不同程度的損壞,導(dǎo)致所記錄的檔案信息隨之發(fā)生損壞�。
2.電子檔案信息管理
隨著經(jīng)濟(jì)發(fā)展水平的不斷提高�,特別是計算機(jī)��、互聯(lián)網(wǎng)和信息技術(shù)的出現(xiàn)和應(yīng)用���,為檔案信息管理提供了新的管理手段和方法����。電子檔案信息管理不僅保證了檔案管理的高效性���,還節(jié)省了檔案信息管理的經(jīng)濟(jì)成本�。但是由于受到技術(shù)發(fā)展水平的限制,電子檔案信息管理受到網(wǎng)絡(luò)黑客的攻擊和威脅����,電子檔案信息管理工作同樣面臨嚴(yán)峻的安全問題,主要存在以下兩方面問題��。
(1)檔案信息在查詢利用過程中面臨安全威脅
由于目前經(jīng)濟(jì)發(fā)展水平的限制,電子檔案信息管理并沒有形成統(tǒng)一的機(jī)制�����。因此導(dǎo)致電子檔案信息系統(tǒng)平臺不一致��,在管理上無法達(dá)到統(tǒng)一規(guī)范,造成電子檔案信息管理網(wǎng)絡(luò)環(huán)境不穩(wěn)定��,極易遭受網(wǎng)絡(luò)攻擊����。目前并沒有專門為電子檔案信息管理建立的安全可靠的局域網(wǎng),也沒有針對檔案信息安全管理的完善的法律法規(guī)�,這種管理上的不到位致使電子檔案信息在利用的過程中受到網(wǎng)絡(luò)環(huán)境的影響和損害����。
(2)電子檔案信息管理系統(tǒng)功能不夠強(qiáng)大
電子檔案信息是一種重要的信息資源�,一個單位檔案信息的失竊可能會給一個企業(yè)帶來巨大的經(jīng)濟(jì)損失,一個國家的檔案信息泄漏�,嚴(yán)重的會引發(fā)國與國之間的矛盾或戰(zhàn)爭��。盡管國家對電子檔案信息管理十分重視,并且出臺了涉及國家秘密的信息系統(tǒng)審批管理相關(guān)法律法規(guī)�����,但是由于受到各種條件的限制�����,不少地區(qū)的電子檔案信息管理系統(tǒng)功能并不能達(dá)到國家相關(guān)規(guī)定的要求���,從而使檔案信息安全面臨極大風(fēng)險����。具體到系統(tǒng)的登錄權(quán)限、身份識別����、數(shù)字認(rèn)證����、指紋識別等功能都有待進(jìn)一步的完善和提高��。
三、檔案信息安全管理措施探析
1.增強(qiáng)檔案實(shí)體管理
檔案實(shí)體管理是一種重要的管理形式����,針對檔案實(shí)體管理中出現(xiàn)的問題����,應(yīng)著力發(fā)揮國家的財政支撐作用���,對不符合標(biāo)準(zhǔn)的館庫及時進(jìn)行修整�,對庫房的防護(hù)功能定期進(jìn)行檢查和確認(rèn),確保檔案信息管理硬件環(huán)境的安全。
2.營造電子檔案網(wǎng)絡(luò)安全環(huán)境
眾所周知,檔案信息具有嚴(yán)格的保密性�����,是十分重要的信息資源���。這就要求我們一定要營造一個安全的電子檔案網(wǎng)絡(luò)環(huán)境�。首先對于網(wǎng)絡(luò)應(yīng)用的硬件和軟件系統(tǒng)要進(jìn)行有效的保護(hù),防止網(wǎng)絡(luò)黑客及病毒的襲擊是不容忽視的��,要不斷研究和升級防范網(wǎng)絡(luò)黑客攻擊的技術(shù)����,將檔案信息的安全隱患降到最低。其次還要對電子檔案的網(wǎng)絡(luò)系統(tǒng)功能進(jìn)行完善和升級��,對網(wǎng)絡(luò)系統(tǒng)的登入采用先進(jìn)的指紋識別技術(shù)�,進(jìn)行嚴(yán)格的身份驗(yàn)證,從而建立強(qiáng)大的網(wǎng)絡(luò)系統(tǒng)�����。
3.加強(qiáng)行政保護(hù)
檔案信息來源于社會生活和社會生產(chǎn)����,為國家經(jīng)濟(jì)建設(shè)和經(jīng)濟(jì)活動的開展提供必要的信息支持��。隨著國家經(jīng)濟(jì)建設(shè)的不斷發(fā)展��,檔案信息的發(fā)展與傳播步伐也越來越快,并逐漸對社會生活的各個領(lǐng)域產(chǎn)生不可估量的影響和作用���。首先國家要重視并宣傳檔案信息的重要性,使人們普遍樹立檔案信息的保密意識����,其次還要采取一定的行政手段�����,制定相關(guān)的法律法規(guī),約束和規(guī)范檔案信息安全管理����,特別要對電子檔案網(wǎng)絡(luò)安全管理系統(tǒng)制定嚴(yán)格的規(guī)范����,從而在制度保障的前提下建立強(qiáng)大的檔案信息安全系統(tǒng)��。
四����、結(jié)語
第4篇
隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長����,用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)�,對電信運(yùn)營商在IP城域�����、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求�。本文從信息安全管理的理念���、方法學(xué)和相關(guān)技術(shù)入手��,結(jié)合電信IP城域網(wǎng)����,提出電信IP城域網(wǎng)安全管理�、風(fēng)險評估和加固的實(shí)踐方法建議。
關(guān)鍵字(Keywords):
安全管理�����、風(fēng)險����、弱點(diǎn)、評估�����、城域網(wǎng)���、IP����、AAA、DNS
1信息安全管理概述
普遍意義上��,對信息安全的定義是“保護(hù)信息系統(tǒng)和信息����,防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞�����、更改和泄漏�,保證信息系統(tǒng)能夠連續(xù)����、可靠、正常的運(yùn)行”����。所以說信息安全應(yīng)該理解為一個動態(tài)的管理過程,通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足���。這些安全需求包括“保密性”���、“完整性”����、“可用性”����、“防抵賴性”�����、“可追溯性”和“真實(shí)性”等���。
信息安全管理的本質(zhì),可以看作是動態(tài)地對信息安全風(fēng)險的管理,即要實(shí)現(xiàn)對信息和信息系統(tǒng)的風(fēng)險進(jìn)行有效管理和控制。標(biāo)準(zhǔn)ISO15408-1(信息安全風(fēng)險管理和評估規(guī)則)����,給出了一個非常經(jīng)典的信息安全風(fēng)險管理模型��,如下圖一所示:
圖一信息安全風(fēng)險管理模型
既然信息安全是一個管理過程,則對PDCA模型有適用性�,結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT(計劃-實(shí)施與部署-監(jiān)控與評估-維護(hù)和改進(jìn))的循環(huán)過程����。
圖二信息安全體系的“PDCA”管理模型
2建立信息安全管理體系的主要步驟
如圖二所示��,在PLAN階段���,就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)����、結(jié)合企業(yè)信息系統(tǒng)實(shí)際情況��,建設(shè)適合于自身的ISMS信息安全管理體系���,ISMS的構(gòu)建包含以下主要步驟:
(1)確定ISMS的范疇和安全邊界
(2)在范疇內(nèi)定義信息安全策略���、方針和指南
(3)對范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險評估
a)Planning(規(guī)劃)
b)InformationGathering(信息搜集)
c)RiskAnalysis(風(fēng)險分析)
uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評估)
uThreatAnalysis(威脅分析)
uVulnerabilityAnalysis(弱點(diǎn)分析)
u資產(chǎn)/威脅/弱點(diǎn)的映射表
uImpact&LikelihoodAssessment(影響和可能性評估)
uRiskResultAnalysis(風(fēng)險結(jié)果分析)
d)Identifying&SelectingSafeguards(鑒別和選擇防護(hù)措施)
e)Monitoring&Implementation(監(jiān)控和實(shí)施)
f)Effectestimation(效果檢查與評估)
(4)實(shí)施和運(yùn)營初步的ISMS體系
(5)對ISMS運(yùn)營的過程和效果進(jìn)行監(jiān)控
(6)在運(yùn)營中對ISMS進(jìn)行不斷優(yōu)化
3IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理主要實(shí)踐步驟
目前���,寬帶IP網(wǎng)絡(luò)所接入的客戶對網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來越高�����,且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化��。IP寬帶網(wǎng)絡(luò)的運(yùn)營者意識到有必要對IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理����,以使得能夠動態(tài)的了解��、管理和控制各種可能存在的安全風(fēng)險���。
由于網(wǎng)絡(luò)運(yùn)營者目前對于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗(yàn)和人才隊(duì)伍���,所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系�����。此類咨詢項(xiàng)目一般按照以下幾個階段,進(jìn)行項(xiàng)目實(shí)踐:
3.1項(xiàng)目準(zhǔn)備階段�。
a)主要搜集和分析與項(xiàng)目相關(guān)的背景信息�;
b)和客戶溝通并明確項(xiàng)目范圍����、目標(biāo)與藍(lán)圖;
c)建議并明確項(xiàng)目成員組成和分工��;
d)對項(xiàng)目約束條件和風(fēng)險進(jìn)行聲明����;
e)對客戶領(lǐng)導(dǎo)和項(xiàng)目成員進(jìn)行意識、知識或工具培訓(xùn)���;
f)匯報項(xiàng)目進(jìn)度計劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。
3.2項(xiàng)目執(zhí)行階段�。
a)在項(xiàng)目范圍內(nèi)進(jìn)行安全域劃分;
b)分安全域進(jìn)行資料搜集和訪談,包括用戶規(guī)模、用戶分布�、網(wǎng)絡(luò)結(jié)構(gòu)�����、路由協(xié)議與策略���、認(rèn)證協(xié)議與策略�����、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫配置信息���、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施���、曾經(jīng)發(fā)生過的安全事件信息等;
c)在各個安全域進(jìn)行資產(chǎn)鑒別��、價值分析�����、威脅分析�����、弱點(diǎn)分析、可能性分析和影響分析�,形成資產(chǎn)表����、威脅評估表���、風(fēng)險評估表和風(fēng)險關(guān)系映射表����;
d)對存在的主要風(fēng)險進(jìn)行風(fēng)險等級綜合評價��,并按照重要次序�,給出相應(yīng)的防護(hù)措施選擇和風(fēng)險處置建議��。
3.3項(xiàng)目總結(jié)階段
a)項(xiàng)目中產(chǎn)生的策略�����、指南等文檔進(jìn)行審核和批準(zhǔn);
b)對項(xiàng)目資產(chǎn)鑒別報告�、風(fēng)險分析報告進(jìn)行審核和批準(zhǔn)�;
c)對需要進(jìn)行的相關(guān)風(fēng)險處置建議進(jìn)行項(xiàng)目安排�����;
4IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理實(shí)踐要點(diǎn)分析
運(yùn)營商IP寬帶網(wǎng)絡(luò)和常見的針對以主機(jī)為核心的IT系統(tǒng)的安全風(fēng)險管理不同���,其覆蓋的范圍和影響因素有很大差異性����。所以不能直接套用通用的風(fēng)險管理的方法和資料��。在項(xiàng)目執(zhí)行的不同階段�����,需要特別注意以下要點(diǎn):
4.1安全目標(biāo)
充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量�����。
4.2項(xiàng)目范疇
應(yīng)該包含寬帶IP骨干網(wǎng)��、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng):如網(wǎng)管系統(tǒng)����、AAA平臺�、DNS等����。
4.3項(xiàng)目成員
應(yīng)該得到運(yùn)營商高層領(lǐng)導(dǎo)的明確支持��,項(xiàng)目組長應(yīng)該具備管理大型安全咨詢項(xiàng)目經(jīng)驗(yàn)的人承擔(dān),且項(xiàng)目成員除了包含一些專業(yè)安全評估人員之外,還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”����、“設(shè)備與系統(tǒng)維護(hù)”���、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員��。
4.4背景信息搜集:
背景信息搜集之前,應(yīng)該對信息搜集對象進(jìn)行分組,即分為IP骨干網(wǎng)小組��、IP接入網(wǎng)小組���、管理支撐系統(tǒng)小組等�����。分組搜集的信息應(yīng)包含:
a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)
b)城域網(wǎng)結(jié)構(gòu)和配置
c)接入網(wǎng)結(jié)構(gòu)和配置
d)AAA平臺系統(tǒng)結(jié)構(gòu)和配置
e)DNS系統(tǒng)結(jié)構(gòu)和配置
f)相關(guān)主機(jī)和設(shè)備的軟硬件信息
g)相關(guān)業(yè)務(wù)操作規(guī)范����、流程和接口
h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成�����、存儲和安全需求信息
i)已有的安全事故記錄
j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施
k)相關(guān)機(jī)房的物理環(huán)境信息
l)已有的安全管理策略、規(guī)定和指南
m)其它相關(guān)
4.5資產(chǎn)鑒別
資產(chǎn)鑒別應(yīng)該自頂向下進(jìn)行鑒別��,必須具備層次性���。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)����、接入網(wǎng)、AAA平臺��、DNS平臺����、網(wǎng)管系統(tǒng)等一級資產(chǎn)組;然后可以在一級資產(chǎn)組內(nèi)����,按照功能或地域進(jìn)行劃分二級資產(chǎn)組�,如AAA平臺一級資產(chǎn)組可以劃分為RADIUS組���、DB組����、計費(fèi)組、網(wǎng)絡(luò)通信設(shè)備組等二級資產(chǎn)組����;進(jìn)一步可以針對各個二級資產(chǎn)組的每個設(shè)備進(jìn)行更為細(xì)致的資產(chǎn)鑒別�,鑒別其設(shè)備類型����、地址配置�����、軟硬件配置等信息��。
4.6威脅分析
威脅分析應(yīng)該具有針對性,即按照不同的資產(chǎn)組進(jìn)行針對性威脅分析�。如針對IP城域網(wǎng)����,其主要風(fēng)險可能是:蠕蟲����、P2P�、路由攻擊�、路由設(shè)備入侵等;而對于DNS或AAA平臺��,其主要風(fēng)險可能包括:主機(jī)病毒�����、后門程序�����、應(yīng)用服務(wù)的DOS攻擊、主機(jī)入侵����、數(shù)據(jù)庫攻擊�、DNS釣魚等���。
4.7威脅影響分析
是指對不同威脅其可能造成的危害進(jìn)行評定�,作為下一步是否采取或采取何種處置措施的參考依據(jù)���。在威脅影響分析中應(yīng)該充分參考運(yùn)營商意見�����,尤其要充分考慮威脅發(fā)生后可能造成的社會影響和信譽(yù)影響�����。
4.8威脅可能性分析
是指某種威脅可能發(fā)生的概率,其發(fā)生概率評定非常困難,所以一般情況下都應(yīng)該采用定性的分析方法,制定出一套評價規(guī)則,主要由運(yùn)營商管理人員按照規(guī)則進(jìn)行評價�����。
第5篇
信息系統(tǒng)的風(fēng)險性可以分為人為性風(fēng)險和非人為性風(fēng)險,非人為性風(fēng)險主要包括環(huán)境和系統(tǒng)風(fēng)險���。信息系統(tǒng)的脆弱性主要包括硬件�����、軟件���、管理以及運(yùn)行環(huán)境等四個方向,從硬件方向講,指硬件設(shè)備存在的漏洞和缺陷�。從軟件方向講,在信息系統(tǒng)的研發(fā)過程中所產(chǎn)生的錯誤信息,進(jìn)而導(dǎo)致系統(tǒng)出現(xiàn)漏洞,對安全造成嚴(yán)重危害��。從管理方面講,是指在日常管理和應(yīng)急預(yù)案管理的過程中存在問題��。從運(yùn)行環(huán)境方面講,指的是辦公室、計算機(jī)房、溫度�、濕度以及照明條件等情況導(dǎo)致的系統(tǒng)漏洞�����。
2信息系統(tǒng)管理中信息安全風(fēng)險評估方法
2.1信息安全風(fēng)險評估內(nèi)容
信息安全風(fēng)險評估的主要內(nèi)容包括評估資產(chǎn)的威脅性和脆弱性,對已有安全措施進(jìn)行風(fēng)險評估分析���。信息資產(chǎn)是指對信息資源產(chǎn)生一定利用價值的總稱,是信息安全評估中的重點(diǎn)保護(hù)對象,主要分為人員�����、數(shù)據(jù)�����、軟件和硬件等資源,根據(jù)各種資源的完整性、保密性以及可用性進(jìn)行等級劃分,評估組織系統(tǒng)中資產(chǎn)的威脅性,包括直接威脅和間接威脅等,根本目的在于對安全風(fēng)險需求的分析,建立風(fēng)險防范措施,有效降低信息安全的威脅性因素����。
2.2風(fēng)險評估方法
信息系統(tǒng)管理中的信息安全風(fēng)險評估方法較多,本文主要從人工評估法和定性評估法兩方面進(jìn)行分析�����。人工評估法。又稱為手工評估法,是指在整個風(fēng)險評估的過程中,運(yùn)用人工作業(yè)的形式進(jìn)行信息安全風(fēng)險評估,通過對資產(chǎn)�、投資成本的風(fēng)險的安全需求��、威脅性��、脆弱性以及安全措施等,進(jìn)行有效評估,根據(jù)其風(fēng)險效益制定出與之相對應(yīng)的決策。定性評估法。定性評估法是根據(jù)專業(yè)機(jī)構(gòu)以及專家等對風(fēng)險的判斷分析,屬于一種相對主觀的評估方法,該評估方法偏向于關(guān)注風(fēng)險帶來的損失,忽略了風(fēng)險的發(fā)生頻率����。其他評估方法包括工具輔助評估和定量評估等方法�����。
2.3層次分析方法
通過運(yùn)用層次分析法對信息安全的評價體系進(jìn)行構(gòu)建,進(jìn)而對風(fēng)險進(jìn)行綜合性評價。通過運(yùn)用層次分析法對信息安全的風(fēng)險作出評估,評價信息安全風(fēng)險所涉及到的各個要素間的相對重要的權(quán)數(shù),根據(jù)各個要素的排序,作出橫向比較分析,為信息安全的風(fēng)險評估提供可靠依據(jù)。對信息安全的風(fēng)險評估中,通過運(yùn)用層次分析法進(jìn)行有效評估,進(jìn)而增強(qiáng)風(fēng)險評估的有效性。通過分析資產(chǎn)���、威脅性�、脆弱性以及安全措施的四個評價指標(biāo)體系,對安全風(fēng)險進(jìn)行合理性的分析評估,降低安全風(fēng)險系數(shù)。
3結(jié)語
第6篇
(一)電力安全管理信息系統(tǒng)的核心設(shè)計
工作電力安全生產(chǎn)管理信息系統(tǒng)的重點(diǎn)在于對設(shè)備的全生命周期進(jìn)行有效管理���,這使得對數(shù)據(jù)儲存及數(shù)據(jù)傳輸設(shè)計工作擁有高標(biāo)準(zhǔn)、高要求的特點(diǎn)���。
1、數(shù)據(jù)儲存的具體設(shè)計
CIM模型包含邏輯包20個��,設(shè)備資源類定義300有余��,對電力系統(tǒng)應(yīng)用進(jìn)行了全方位的統(tǒng)一描述��,作用是為電網(wǎng)設(shè)備數(shù)據(jù)提供儲存空間。電力公司的信息整合工作以國際通用的IEC61970標(biāo)準(zhǔn)為主體標(biāo)準(zhǔn)依據(jù)����,以國際通用的IEC61968標(biāo)準(zhǔn)為主要參照標(biāo)準(zhǔn)�。其中�,IEC61970系列標(biāo)準(zhǔn)也可以被叫做EMS-API系列標(biāo)準(zhǔn),此系列標(biāo)準(zhǔn)由CIM與GIS兩部分組成�。CIM的作用是為能量管理系統(tǒng)信息提供綜合邏輯框架圖���。CIM具有描繪能量管理系統(tǒng)中所有主要對象的功能�����,使得它被很多應(yīng)用程序所需要,具有很強(qiáng)的應(yīng)用價值�。電力公司基礎(chǔ)數(shù)據(jù)模型的建立離不開CIM功能上的支持���。由于CIM并不具有業(yè)務(wù)流程數(shù)據(jù)的功能�����,所以包括缺陷管理數(shù)據(jù)、缺陷圖片數(shù)據(jù)及缺陷細(xì)分類型數(shù)據(jù)等要以表格的方式在Oracle數(shù)據(jù)庫折嬌陜西省地方電力(集團(tuán))有限公司神木供電分公司719300中進(jìn)行存儲���。
2����、電力安全管理信息系統(tǒng)的接口
設(shè)計電力安全管理信息系統(tǒng)的接口需要分別提供對CIM模型、GIS系統(tǒng)及普通數(shù)據(jù)庫的接口。由于電力安全管理信息系統(tǒng)接口需要集成大量其他系統(tǒng)���,所以在設(shè)計上比較復(fù)雜。采取數(shù)據(jù)總線加適配器模式可以很好的解決這一問題。數(shù)據(jù)總線加適配器模式具有傳遞格式統(tǒng)一的特點(diǎn)����,可以明顯提高對不同系統(tǒng)數(shù)據(jù)進(jìn)行集成的便捷性�,同時也為以后的系統(tǒng)擴(kuò)展工作提供了方便�。
二、電力安全生產(chǎn)管理信息系統(tǒng)實(shí)現(xiàn)
(一)系統(tǒng)實(shí)現(xiàn)的開發(fā)環(huán)境
電力安全生產(chǎn)管理信息系統(tǒng)作為WEB項(xiàng)目中的一種����,它的開發(fā)以JAVA技術(shù)為基礎(chǔ)�����。電力安全生產(chǎn)管理信息系統(tǒng)的開發(fā)需要對以下軟件進(jìn)行運(yùn)用:利用Dreamweaver8.0軟件進(jìn)行網(wǎng)頁制作;以Tomcat5.5作為JAVA集成開發(fā)環(huán)境��;以O(shè)racle10g或CIMserver作為數(shù)據(jù)庫系統(tǒng)軟件���;以EOS或Eclipse作為系統(tǒng)開發(fā)平臺���。電力安全生產(chǎn)管理信息系統(tǒng)的開發(fā)也對計算機(jī)系統(tǒng)配置提出了高要求,具體要求如下:操作系統(tǒng)需要Window2003及以上版本�����;2G以上的中央處理器內(nèi)存���;2~4G的內(nèi)存條容量及200G以上的硬盤空間�。同時���,WEB服務(wù)器版本為浪潮NP370D�。
(二)電力安全生產(chǎn)管理信息系統(tǒng)界面的實(shí)現(xiàn)
在對電力安全生產(chǎn)管理信息系統(tǒng)界面進(jìn)行設(shè)計時要確保做到以下幾點(diǎn):首先,應(yīng)力求做到系統(tǒng)界面的簡潔感和美感的統(tǒng)一,使系統(tǒng)界面實(shí)現(xiàn)便捷性和可操作性�����;其次,在對菜單進(jìn)行設(shè)計時����,要做到手動和自動化的完美統(tǒng)一�;在對登陸界面的設(shè)計時應(yīng)添加合理的操作權(quán)限��,使不同部門的工作人員只能對其職能范圍內(nèi)的內(nèi)容進(jìn)行瀏覽和操作�;要最大限度的保證系統(tǒng)信息的準(zhǔn)確性和可靠性��,提高操作安全度��,保證企業(yè)重要內(nèi)部機(jī)密不被泄露。
(三)電力安全生產(chǎn)管理信息系統(tǒng)功能模塊的實(shí)現(xiàn)
電力安全生產(chǎn)管理信息系統(tǒng)由十余個模塊共同組成,其功能異常龐大��,具備極強(qiáng)的實(shí)用性����。由于電力安全生產(chǎn)管理信息系統(tǒng)對于電力生產(chǎn)管理來說具有非凡的重要意義,所以要盡最大可能的確保電力安全生產(chǎn)管理信息系統(tǒng)的安全和可靠,同時也要讓系統(tǒng)能夠在今后繼續(xù)實(shí)現(xiàn)功能的拓展。在對數(shù)據(jù)庫進(jìn)行實(shí)際操作時����,要充分借鑒其他軟件系統(tǒng)的長處�����,對數(shù)據(jù)庫采取統(tǒng)一的操作。同時,要充分考慮到數(shù)據(jù)庫內(nèi)的數(shù)據(jù)具有可變動的特征�,應(yīng)采取單一配置文件保存的方式對各類操作碼及屬性進(jìn)行保存,以防止數(shù)據(jù)出現(xiàn)混亂與丟失����。
三����、結(jié)語
第7篇
(一)采用系統(tǒng)的思想
網(wǎng)絡(luò)安全的建設(shè)是一個系統(tǒng)工程��,它需要對影響信息系統(tǒng)安全的各種因素進(jìn)行綜合考慮���,同時需要對信息系統(tǒng)運(yùn)行的全過程進(jìn)行綜合分析��,實(shí)現(xiàn)預(yù)警、防護(hù)��、恢復(fù)等網(wǎng)絡(luò)安全的全過程環(huán)節(jié)的無縫銜接�;另一方面要充分考慮技術(shù)、管理�����、人員等影響網(wǎng)絡(luò)安全的主要因素����,實(shí)現(xiàn)技術(shù)、管理����、人員的協(xié)同作戰(zhàn)���。
(二)強(qiáng)調(diào)風(fēng)險管理
基于風(fēng)險管理��,體現(xiàn)預(yù)防控制為主的思想,強(qiáng)調(diào)全過程和動態(tài)控制�,確保信息的保密性����、完整性和可用性�����,保持系統(tǒng)運(yùn)作的持續(xù)性���。
(三)動態(tài)的安全管理
公安信息網(wǎng)絡(luò)安全模型中的“動態(tài)”網(wǎng)絡(luò)安全有兩個含義:一是整個網(wǎng)絡(luò)的安全目標(biāo)是動態(tài)的���,而不再是傳統(tǒng)的�、一旦部署完畢就固定不變的���,從而支持部分或者全網(wǎng)范圍內(nèi)安全級別的動態(tài)調(diào)整�;二是達(dá)到安全目標(biāo)的手段、途徑必須能夠根據(jù)周邊/內(nèi)部環(huán)境的變化進(jìn)行動態(tài)調(diào)整�����。
二��、基于策略的動態(tài)安全管理模型的定義
基于上述指導(dǎo)思想�����,建立基于策略的動態(tài)安全管理模型,主要包括四類要素:人員�����、管理����、策略�、流程(技術(shù)產(chǎn)品)。安全策略確定后���,需要根據(jù)組織切實(shí)的安全需要,以上述定義的安全策略為基礎(chǔ)��,將安全周期內(nèi)各個階段的����、反映不同安全需求的防護(hù)手段和實(shí)施方法以一種利于連動的、協(xié)同的方式組織起來��,提高系統(tǒng)的安全性����。總的指導(dǎo)原則是:第一,防護(hù)是基礎(chǔ)��,是基本條件���,它包含了對系統(tǒng)的靜態(tài)保護(hù)措施��,是保護(hù)信息系統(tǒng)必須實(shí)現(xiàn)的部分��。第二,檢測和預(yù)測是手段,是擴(kuò)展條件�,提供對系統(tǒng)的動態(tài)監(jiān)測措施�,是保護(hù)信息系統(tǒng)須擴(kuò)展實(shí)現(xiàn)的部分�����。第三����,響應(yīng)是目標(biāo)�,是進(jìn)行安全控制和緩解入侵威脅的期望結(jié)果,反應(yīng)了系統(tǒng)的安全控制力度��,是保護(hù)信息系統(tǒng)須優(yōu)先實(shí)現(xiàn)的部分��。這些不同的安全技術(shù)和產(chǎn)品按照統(tǒng)一的策略集成在一起,保持防護(hù)、監(jiān)測��、預(yù)警�、恢復(fù)的動態(tài)過程的無縫銜接,并隨著環(huán)境的變化而進(jìn)行適當(dāng)?shù)恼{(diào)整��,這樣就能夠針對系統(tǒng)的薄弱環(huán)節(jié)有的放矢,有效防范,從而完善信息安全防護(hù)系統(tǒng)。
三、基于策略的動態(tài)安全管理模型的實(shí)施過程
在公安信息安全管理體系的建立、實(shí)施和改進(jìn)的過程中引用PDCA(Plan-Do-Check-Act)模型��,按照PDCA模型將信息安全管理體系分解成風(fēng)險評估���、安全設(shè)計與執(zhí)行��、安全管理和再評估四個子過程����。組織通過持續(xù)的執(zhí)行這些過程而使自身的信息安全水平得到不斷的提高��。PDCA模型的主要過程如下:
(一)計劃(Plan)
計劃就是根據(jù)組織的業(yè)務(wù)目標(biāo)與安全要求���,在風(fēng)險評估的基礎(chǔ)上����,建立信息安全框架�。包括下面三項(xiàng)主要工作:
1.明確安全目標(biāo),制定安全方針根據(jù)公安專用網(wǎng)絡(luò)信息安全需求及有關(guān)法律法規(guī)要求��,制定信息安全方針����、策略,通過風(fēng)險評估建立控制目標(biāo)與控制方式,包括公安系統(tǒng)工程必要的過程與持續(xù)性計劃。
2.定義信息安全管理的范圍信息安全管理范圍的確定需要重點(diǎn)確定信息安全管理的領(lǐng)域,公安信息安全管理部門需要根據(jù)公安系統(tǒng)工程的實(shí)際情況����,在整個金盾工程規(guī)劃中或者各業(yè)務(wù)部門構(gòu)架信息安全管理框架��。
3.明確管理職責(zé)成立相應(yīng)的安全管理職能部門����,明確管理職責(zé),同時要對所有相關(guān)人員進(jìn)行信息安全策略的培訓(xùn)����,對信息安全負(fù)有特殊責(zé)任的人員要進(jìn)行特殊的培訓(xùn)���,以使信息安全方針真正植根于所有公安干警的腦海并落實(shí)到實(shí)際工作中�。
(二)實(shí)施(Do)
實(shí)施過程就是按照所選定的控制目標(biāo)與方式進(jìn)行信息安全控制����,即安全管理職能部門按照公安信息安全管理策略、程序�、規(guī)章等規(guī)定的要求進(jìn)行信息安全管理實(shí)施����。在實(shí)施過程中���,以公安信息安全管理策略為核心��,監(jiān)測����、安全保護(hù)措施�����、風(fēng)險評估��、補(bǔ)救組成一個循環(huán)鏈,其中信息安全管理策略是保證整個安全系統(tǒng)能夠動態(tài)���、自適應(yīng)運(yùn)行的核心�。
1.選擇安全策略根據(jù)公安業(yè)務(wù)目標(biāo)、公安信息安全管理目標(biāo)���、公安信息安全管理指導(dǎo)方針選擇或制定信息安全策略。
2.部署安全策略對于高層策略���,在此階段,首先應(yīng)將各種全局的高層策略規(guī)范編譯成低級(基本)策略���。根據(jù)底層的服務(wù)或是應(yīng)用的要求將策略編譯成執(zhí)行組件可以理解的形式,針對特定類型的策略實(shí)施封裝具體實(shí)施策略所需的行為,封裝執(zhí)行策略所必需的實(shí)現(xiàn)代碼�����,這些代碼與底層實(shí)現(xiàn)有關(guān)。將策略分發(fā)并載入到相應(yīng)的策略實(shí)施中����,繼而可以對策略對象執(zhí)行啟用��、禁用、卸載等策略操作�。
3.執(zhí)行安全策略(1)監(jiān)測���。對公安信息系統(tǒng)進(jìn)行安全保護(hù)以后并不能完全消除信息安全風(fēng)險�,所以要定期地監(jiān)控整個信息系統(tǒng)以發(fā)現(xiàn)不正常的活動��。(2)進(jìn)行信息安全風(fēng)險評估�����。風(fēng)險評估主要對公安信息安全管理范圍內(nèi)的數(shù)據(jù)信息進(jìn)行鑒定和估價,然后對數(shù)據(jù)信息面對的各種威脅進(jìn)行評估�����,同時對已存在的或規(guī)劃的安全管理措施進(jìn)行鑒定����。(3)公安信息安全風(fēng)險處置�。根據(jù)風(fēng)險評估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險處置,公安信息安全風(fēng)險處置措施主要包括降低風(fēng)險、避免風(fēng)險、轉(zhuǎn)嫁風(fēng)險、接受風(fēng)險等���,使得公安業(yè)務(wù)可以正常進(jìn)行,并重新進(jìn)行風(fēng)險分析與評估,增加或更改原有的信息安全保護(hù)措施�。在公安信息系統(tǒng)正常運(yùn)行時��,要定期地對系統(tǒng)進(jìn)行備份。(4)根據(jù)公安信息安全策略調(diào)整控制安全措施。由于信息安全是一個動態(tài)的系統(tǒng)工程�,安全管理職能部門應(yīng)實(shí)時對選擇的管理目標(biāo)和管理措施加以校驗(yàn)和調(diào)整�,以適應(yīng)變化了的情況��,使公安系統(tǒng)數(shù)據(jù)資源得到有效���、經(jīng)濟(jì)��、合理的保護(hù)。
(三)檢查(Check)
檢查就是根據(jù)安全目標(biāo)���、安全標(biāo)準(zhǔn),審查變化中環(huán)境的風(fēng)險水平�,執(zhí)行內(nèi)部信息安全管理體系審計���,報告安全管理的有效性����,在實(shí)踐中檢查制定的安全目標(biāo)是否合適���、安全策略和控制手段是否能夠保證安全目標(biāo)的實(shí)現(xiàn)�,系統(tǒng)還有哪些漏洞。
(四)改進(jìn)(Action)
改進(jìn)就是對信息安全管理體系實(shí)行改進(jìn),以適應(yīng)環(huán)境的變化����。改進(jìn)內(nèi)容包括三部分:一是系統(tǒng)的安全目標(biāo)、安全指導(dǎo)思想�、安全管理制度����、安全策略�����。二是安全技術(shù)手段的改進(jìn)�����。隨著安全技術(shù)和安全產(chǎn)品的改進(jìn),系統(tǒng)的安全技術(shù)手段也要不定期地更換。但更換后的安全技術(shù)手段仍然要遵循相應(yīng)的信息安全策略���。三是對人員的改進(jìn)。安全管理措施和手段改進(jìn)后�,要對民警要進(jìn)行安全教育與培訓(xùn)�����,并根據(jù)民警的不同角色為其制定不同的安全職責(zé)和年度信息安全計劃����,并按照計劃進(jìn)行工作�����,年底時要對安全計劃的執(zhí)行情況進(jìn)行檢查�����。
四、結(jié)束語
第8篇
為了對信息進(jìn)行有力的管理和控制以及有效處理,鋁礦安全標(biāo)準(zhǔn)化管理信息系統(tǒng)作為一個現(xiàn)代化企業(yè)的信息化管理系統(tǒng)必須進(jìn)行有效的設(shè)置。建立一個安全系統(tǒng)的重要意義在于對單個信息進(jìn)行有效管理���,進(jìn)而形成一個安全信息管理中心�����,有助于對危險信息進(jìn)行及時的監(jiān)控�、預(yù)防和應(yīng)對����。通過近幾年來越來越多鋁礦企業(yè)對于安全標(biāo)準(zhǔn)化管理信息系統(tǒng)的開發(fā)與應(yīng)用,我們看到了有力的作用�����。尤其是找到與自己企業(yè)相適應(yīng)的安全管理系統(tǒng)���,對于礦業(yè)集團(tuán)的健康運(yùn)營會有著重要的影響�。不僅能夠預(yù)知安全隱患,而且可以及時應(yīng)對與解決所發(fā)現(xiàn)的安全隱患��。通過這種系統(tǒng)的研發(fā)與運(yùn)用不僅提高了工作效率而且能夠使得信息得到及時的暢通傳輸��。因此�,越來越多的鋁礦企業(yè)重視和運(yùn)用這種系統(tǒng)�����。
2鋁礦安全標(biāo)準(zhǔn)化管理信息系統(tǒng)設(shè)計
如同礦山安全標(biāo)準(zhǔn)化管理系統(tǒng)設(shè)計�,鋁礦安全標(biāo)準(zhǔn)化管理信息系統(tǒng)也需要包括14個元素�����,不僅需要安全還需要包含健康兩個方面���。系統(tǒng)的運(yùn)行模式需要按照準(zhǔn)備->組織->實(shí)行->檢修->評審這樣的一個流程來進(jìn)行操作。任何一個礦業(yè)集團(tuán)必須要遵循礦山安全標(biāo)準(zhǔn)化管理系統(tǒng)的14要素,從而獲得大量安群信息實(shí)現(xiàn)統(tǒng)一管理�����,進(jìn)而保證施工安全����,營造有秩序的生產(chǎn)環(huán)境,創(chuàng)造經(jīng)濟(jì)效益����。
2.1系統(tǒng)實(shí)現(xiàn)功能
鋁礦企業(yè)在進(jìn)行安全標(biāo)準(zhǔn)化管理信息系統(tǒng)構(gòu)建的時候要注意系統(tǒng)需要實(shí)現(xiàn)如下功能:首先是這個系統(tǒng)在使用者搜索相關(guān)文獻(xiàn)資料時能夠快速的進(jìn)行檢索�,為使用者提供強(qiáng)有力的理論支持��。同時還要方便各個部門查詢到其他以及本部門的獎懲以及安全排名情況���,使得信息及時有效快速的傳遞到相應(yīng)部門�����,為員工了解企業(yè)提供便利。其次安全標(biāo)準(zhǔn)化管理信息系統(tǒng)的設(shè)計要讓人容易接受,易操作,只有這樣才能使得多數(shù)員工能夠自己動手操作,即系統(tǒng)要便于多數(shù)人。同時系統(tǒng)還要及時更新實(shí)時情況�����,能夠隨著各種動態(tài)信息及時更新,并時常處于一個比較活躍的狀態(tài)�����。再次就是系統(tǒng)要具有存儲和管理文件資料的功能���,方便使用者隨時隨地對于文件資料的獲取�����。并且系統(tǒng)的設(shè)計是與多媒體信息技術(shù)互相關(guān)聯(lián)的,必須要考慮到一些潛在的安全隱患���,做好漏洞處理。
2.2系統(tǒng)模式開發(fā)
首先是系統(tǒng)技術(shù)的運(yùn)用�,考慮到安全標(biāo)準(zhǔn)化的信息管理�,系統(tǒng)功能的實(shí)現(xiàn)需要運(yùn)用多想技術(shù)進(jìn)行支持���。第一個首先要提到的就是企業(yè)局域網(wǎng)內(nèi)開發(fā)的web軟件是基于internet技術(shù)的����,從而實(shí)現(xiàn)比較優(yōu)惠的成本運(yùn)行。第二個就是運(yùn)用組建開發(fā)過程,提高信息化平臺開發(fā)效率及系統(tǒng)的穩(wěn)定性和可維護(hù)性���。再一個就是通過XML實(shí)現(xiàn)一個比較靈活多變的配置策略,使得系統(tǒng)和數(shù)據(jù)庫的服務(wù)器可以在局域網(wǎng)中進(jìn)行比較自由靈活的配置。其次就是系統(tǒng)的運(yùn)行�。安全標(biāo)準(zhǔn)化管理信息系統(tǒng)是一個比較科學(xué)規(guī)范和系統(tǒng)的管理系統(tǒng)���,主要是為了做好危險源的識別和風(fēng)險的評估控制����。礦業(yè)集團(tuán)的安全管理就是突破傳統(tǒng)的管理模式���,加強(qiáng)比較整體和縱向橫向的發(fā)展��,運(yùn)用一種全新的現(xiàn)代技術(shù)和原理進(jìn)行管理操作����。在整個系統(tǒng)的運(yùn)行過程中部件要做好管理體系的思想和方法�����,還要做好風(fēng)險管理。通過系統(tǒng)運(yùn)行實(shí)現(xiàn)安全生產(chǎn)的目的,在消除安全事故隱患的同時,也要降低安全事故的發(fā)生頻率,提高生產(chǎn)效益。同時安全標(biāo)準(zhǔn)化系統(tǒng)將礦山錯綜復(fù)雜的安全管理事務(wù)融合在一起,減少了日常工作量,提高了生產(chǎn)效率����。而且系統(tǒng)化的管理還減少了紙質(zhì)成本�����,在實(shí)現(xiàn)高效管理的同時節(jié)約了成本。在安全標(biāo)準(zhǔn)化管理信息系統(tǒng)這個平臺基礎(chǔ)上�,系統(tǒng)運(yùn)行中的各個環(huán)節(jié)將會更加良好���,員利用也可得到有效的提高�����。
2.3安全標(biāo)準(zhǔn)化管理信息系統(tǒng)設(shè)計流程
首先,企業(yè)內(nèi)部的系統(tǒng)使用者都需要一個獨(dú)立的帳號進(jìn)行系統(tǒng)的使用和查詢�,考慮到安全系統(tǒng)的重要性����,每個用戶還需要有特定的權(quán)限��,這個需要系統(tǒng)管理員根據(jù)每個用戶的職責(zé)進(jìn)行授權(quán)����。其次���,在授權(quán)管理滯后,管理者需要運(yùn)用自己的管理權(quán)限將各個相關(guān)的規(guī)劃上傳至系統(tǒng)����,這樣一來每個員工都可以清晰明了的看到每個時期的安全記錄�����。再次����,就是安全規(guī)劃方面的計劃需要在系統(tǒng)首頁進(jìn)行現(xiàn)實(shí),這樣每個用戶可以了解到與自己先關(guān)的任務(wù)信息�����,通過這個在自己的工作中了解到重點(diǎn)在哪里���。管理者也能根據(jù)此信息制定一個比較詳細(xì)合理的監(jiān)督時間���,及時對下級工作狀態(tài)進(jìn)行檢查����,通過監(jiān)察記錄將相關(guān)信息記錄在系統(tǒng)。
3進(jìn)行系統(tǒng)研發(fā)時的注意事項(xiàng)
3.1加強(qiáng)對鋁礦安全標(biāo)準(zhǔn)化管理信息系統(tǒng)的認(rèn)識
對于整個集團(tuán)的員工要加強(qiáng)安全系統(tǒng)的宣傳教育��,從思想上意識上重視安全生產(chǎn)�。同時對于這一安全系統(tǒng)的建設(shè)做好準(zhǔn)備,與此同時可以將鋁礦工作中的安全隱患在員工的思想中重申一遍����,可以使得自身對于生命安全的保障有更加充足的認(rèn)識��。
3.2處理好鋁礦安全質(zhì)量標(biāo)準(zhǔn)化的工作
在進(jìn)行安全標(biāo)準(zhǔn)化管理信息系統(tǒng)建設(shè)的時候,做好部門分工��,尤其是管理人員�,一定要明確自己部門的工作,做好分管部門的日常工作和分工�����,從而帶動下級積極建設(shè)鋁礦安全標(biāo)準(zhǔn)化管理���。另外�,一定要合理安排經(jīng)驗(yàn)豐富的員工進(jìn)行定期的安全工作檢查���,并根據(jù)檢查情況制定合理的解決辦法�,從而提高鋁礦企業(yè)的運(yùn)作效率。
3.3對于鋁礦安全標(biāo)準(zhǔn)化管理信息系統(tǒng)的建設(shè)����,要明確分工職責(zé)
第9篇
醫(yī)院信息系統(tǒng)的常態(tài)運(yùn)行和醫(yī)療數(shù)據(jù)資源的保存�����、利用與開發(fā)對醫(yī)院發(fā)展起著非常重要的作用.因此作為信息系統(tǒng)的“神經(jīng)中樞”及數(shù)據(jù)存儲中心的機(jī)房標(biāo)準(zhǔn)設(shè)計就顯得尤為重要。如何使中心機(jī)房內(nèi)的設(shè)備安全有效地運(yùn)行,如何保證數(shù)據(jù)及時有效地滿足醫(yī)院應(yīng)用����,很重要的一個環(huán)節(jié)就是計算機(jī)機(jī)房建設(shè)�����。中心機(jī)房的安全應(yīng)注意計算機(jī)機(jī)房的場地環(huán)境�����、計算機(jī)設(shè)備及場地的防雷、防火和機(jī)房用電安全技術(shù)的要求等問題�����。機(jī)房安全是整個計算機(jī)系統(tǒng)安全的前提����,所以在新建、改建和擴(kuò)建的計算機(jī)機(jī)房,在具體施工建設(shè)中都有許多技術(shù)問題要解決���,從計算機(jī)系統(tǒng)自身存在的問題�、環(huán)境導(dǎo)致的安全問題和人為的錯誤操作及各種計算機(jī)犯罪導(dǎo)致的安全問題入手,規(guī)范機(jī)房管理,機(jī)房安全是可以得到保障的����。
2服務(wù)器及服務(wù)器操作系統(tǒng)安全
隨著醫(yī)院業(yè)務(wù)對IT系統(tǒng)的依賴不斷增大����,用戶對于醫(yī)院系統(tǒng)的可用性要求也不斷上升。一旦某一臺服務(wù)器由于軟件、硬件或人為原因發(fā)生問題時��,系統(tǒng)必須維持正常運(yùn)行���。因此�����,應(yīng)采用雙機(jī)熱備份的方式實(shí)現(xiàn)系統(tǒng)集群,提高系統(tǒng)可用性����。服務(wù)器以主從或互備方式工作����,通過心跳線偵查另一臺服務(wù)器的工作情況,一旦某臺機(jī)器發(fā)生故障�����,另外一臺立即自動接管����,
變成工作主機(jī)��,平時某臺機(jī)器需要重啟時,管理員可以在節(jié)點(diǎn)間任意切換����,整個過程只要幾秒鐘��,將系統(tǒng)中斷的影響降到最低。此外�,還可以采用第三臺服務(wù)器做集群的備份服務(wù)器��。在制度上,建立服務(wù)器管理制度及防護(hù)措施����,如:安全審計、入侵檢測(IDS)、防病毒、定期檢查運(yùn)行情況、定期重啟等�����。
3網(wǎng)絡(luò)安全
惡意攻擊是醫(yī)院計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅��,敵手的攻擊和計算機(jī)犯罪就屬于這一類��。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲�����、竊取���、破譯以獲得重要機(jī)密信急。這兩種攻擊均可對計算機(jī)網(wǎng)絡(luò)造成極大的危害�,并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏���。網(wǎng)絡(luò)黑客和計算機(jī)病毒對企業(yè)網(wǎng)絡(luò)(內(nèi)聯(lián)網(wǎng))和公網(wǎng)安全構(gòu)成巨大威脅���,每年企業(yè)和網(wǎng)絡(luò)運(yùn)營商都要花費(fèi)大量的人力和物力用于這方而的網(wǎng)絡(luò)安全防范����,因此防范人為的惡意攻擊將是醫(yī)院網(wǎng)絡(luò)安全工作的重點(diǎn)。
醫(yī)院網(wǎng)絡(luò)信息安全是一個整體的問題,系統(tǒng)網(wǎng)絡(luò)所產(chǎn)生數(shù)據(jù)是醫(yī)院賴以生存的寶貴財富�,一旦數(shù)據(jù)丟失或出現(xiàn)其他問題�����,都會給醫(yī)院建設(shè)帶來不可估量巨大的損失�����。所以必須高度重視,必須要從管理與技術(shù)相結(jié)合的高度����,制定與時俱進(jìn)的整體管理策略���,并切實(shí)認(rèn)真地實(shí)施這些策略,才能達(dá)到提高網(wǎng)絡(luò)信息系統(tǒng)安全性的目的�。
4數(shù)據(jù)庫安全
在醫(yī)院信息系統(tǒng)的后臺,數(shù)據(jù)信息是整個系統(tǒng)的靈魂�����,其安全性至關(guān)重要���,而數(shù)據(jù)庫管理系統(tǒng)是保證數(shù)據(jù)能有效保存�����、查詢���、分析等的基礎(chǔ);數(shù)據(jù)被安全存儲�、合法地訪問數(shù)據(jù)庫以及跟蹤監(jiān)視數(shù)據(jù)庫�����,都必須具有數(shù)據(jù)有效訪問權(quán)限�����,所以應(yīng)該實(shí)現(xiàn):數(shù)據(jù)庫管理系統(tǒng)提供的用戶名�����、口令識別���,試圖����、使用權(quán)限控制�����、審計����、數(shù)據(jù)加密等管理措施�;數(shù)據(jù)庫權(quán)限的劃分清晰,如登錄權(quán)限、資源管理權(quán)限和數(shù)據(jù)庫管理權(quán)限���;數(shù)據(jù)表的建立、數(shù)據(jù)查詢、存儲過程的執(zhí)行等的權(quán)限必須清晰�����;建立用戶審計,記錄每次操作的用戶的詳細(xì)情況;建立系統(tǒng)審計,記錄系統(tǒng)級命令和數(shù)據(jù)庫服務(wù)器本身的使用情況。
醫(yī)院如何開展信息安全工作���,應(yīng)該本著從實(shí)際出發(fā)的精神,先進(jìn)行風(fēng)險評估��,研究信息系統(tǒng)存在的漏洞缺陷����、面臨的風(fēng)險與威脅�����,對于可能發(fā)現(xiàn)的漏洞�����、風(fēng)險,制定相應(yīng)的策略:首先在技術(shù)上��,確定操作系統(tǒng)類型��、安全級別��,以選擇合適的安全的服務(wù)器系統(tǒng)和相關(guān)的安全硬件����;再確定適當(dāng)?shù)木W(wǎng)絡(luò)系統(tǒng)����,從安全角度予以驗(yàn)證;選擇合適的應(yīng)用系統(tǒng)�,特別要強(qiáng)調(diào)應(yīng)用系統(tǒng)的身份認(rèn)證與授權(quán)����。在行為上,對網(wǎng)絡(luò)行為����、各種操作進(jìn)行實(shí)時的監(jiān)控���,對各種行為規(guī)范進(jìn)行分類管理�����,規(guī)定行為規(guī)范的范圍和期限����,對不同類型��、不同敏感度的信息�����,規(guī)定合適的管理制度和使用方法���,限制一些不安全的行為���。在管理上��,制定各項(xiàng)安全制度����,并定期檢查�����、督促落實(shí)��;確定醫(yī)院的安全領(lǐng)導(dǎo)小組��,合理分配職責(zé)�,做到責(zé)任到人��。
當(dāng)然�����,還要意識到信息安全工作的開展有可能會影響到系統(tǒng)使用的方便性,畢竟��,安全和方便是矛盾的統(tǒng)一體��,要安全就不會很方便���,相關(guān)工作效率必定降低���,要方便則安全得不到保證�����,因此必須權(quán)衡估量。
參考文獻(xiàn):
[1]王淑容����,劉平.醫(yī)院管理信息系統(tǒng)的設(shè)計與實(shí)現(xiàn).四川輕化工學(xué)院學(xué)報.2002.
[2]上海市醫(yī)院計算機(jī)信息網(wǎng)絡(luò)系統(tǒng)安全策略.上海市衛(wèi)生局信息中心.2003.
