信息安全与管理精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的信息安全与管理主题范文，仅供参考，欢迎阅读并收藏。

第1篇：信息安全与管理范文

一、档案的创新管理

1、健全档案管理制度

档案管理应有章可循，规范操作，因此，一套完善且行之有效的档案管理制度尤为重要。档案管理制度要体现合理性、科学性，以便更好地发挥其规范引导作用。作为档案管理人员要强化档案管理意识，遵守档案管理制度，严格档案管理程序，及时、准确地收集档案资料，努力做到档案信息收集齐全完整、内容真实可靠。对于新信息要及时补充调整。同时要完善档案管理硬件设备，确保档案工作有效落实。

2、加强对档案管理人员培训，提升专业化管理水平

档案管理部门应有针对性地培养一支素质较高的档案管理人员队伍，加强档案管理人员的业务培训，让管理人员学习相关理论知识和现代化管理方法，摒弃传统的陈旧管理模式，更新理念，提高业务要求标准。要充分认识到档案管理工作的重要性，并且不断改进工作方式和工作方法，创新工作模式，提高工作效率，努力做好档案服务创新工作，探索档案服务创新之路，把档案管理提高到一个新的台阶。

3、建立电子档案，完善档案现代化管理

随着办公系统信息化与网络技术的普及，档案的管理模式也在逐步现代化，无纸化办公将变为现实，档案归档形式必须更新，传统的以纸质为载体的档案管理方式将发生根本的变革。因此，档案管理工作必须从传统模式向信息化管理模式过渡。采用更为科学、先进的办公软件进行档案信息的存储和利用，将传统的纸质载体档案转化为电子档案，并通过计算机信息系统管理转化为可以自动检索、数据信息分析的技术。缩微摄影技术和数码影像技术的应用可以使照片、影像等档案资料更完整、安全的保存。在后期档案使用时可以直接检索、统计和查阅，同时可以实现远程档案信息传递，提高工作效率。电子档案还具有占地小、容量大、投入少、管理简便、查阅方便等优点。

4、建立档案网页，开展网上在线服务

建立档案网页，开展网上在线服务是对传统工作模式的新的突破，是科技发展给办公自动化带来的变革，同时也给档案管理工作提出新的挑战。网络传输作为一种信息传播方式具有无比的优越性。一是传播速度快，二是传播范围广，三是传播不走样，四是传播成本低。因此，使用互联网开展的网上档案服务已成为为社会和单位提供档案利用服务的一种更加便捷的形式。随着局域网的普及，档案部门可制作自己的网页，组织上网数据和信息，实现档案信息的现代化管理。通过网上服务，电子文件通过下载和上传就可以完成。传统档案管理存在重保管轻利用的问题，而档案网页不仅方便档案的检索等常规服务，更有利于电子信息的资源共享和宣传利用，实现档案的真正价值。此外，现代生活中，人们更注重信息的时效性，而开展网上在线服务通过信息系统及网络及时准确的获得多方信息，更好的满足了人们的需求。网页还可提供信息咨询、文件阅览等服务，具有覆盖面广、信息全、利用率高等优点。档案网页适应新形势的要求，有利于转变工作职能，提高工作效率。

二、档案的信息安全管理

不同于其他信息，档案具有较强的保密性和利用限制性，而在对电子档案及档案网页进行常规操作、信息传输、资料存贮的过程中以及在电子档案的收集整理、归档利用过程中，都难免产生错误操作、信息丢失、病毒侵入、黑客侵犯等问题，这些都对档案的信息安全保障工作提出了更高的要求。加强档案的保密工作，提高档案信息的安全性成为档案管理部门需要面临的一项重要工作。

1、人员安全

档案信息在操作过程中最有可能发生的安全问题就是人为的泄密。因此，必须培养一支有较高素质和较强法律意识的专业档案管理人才队伍。档案管理人员必须认识到档案信息安全的重要性，严防保密信息的泄露，使信息安全问题发生的几率降到最小。档案管理人员要认真学习《档案法》、《保密法》，树立保密意识。应根据档案管理人员的职权岗位给予不同的使用及管理权限。档案管理人员要牢记系统密码并熟练掌握查杀病毒、资料备份等相关安全措施的操作方法。工作人员还要做好操作记录，清晰记录每一次查询、收录、整理等档案管理的时间、参与人员等信息。要分工明确、责任到人、规范操作。遇到档案管理人员调职、离职等情况时要注意加强管理，防止信息外流。

2、操作安全

操作安全是档案安全的重要环节。在档案信息操作过程中要树立安全意识，如确保收集信息的准确性，按时查杀病毒，避免档案信息被病毒感染、篡改。要养成信息备份的习惯，避免操作失误造成的信息资料丢失的情况，带来不可挽回的损失。在对影像、录音等资料进行收集时要注意提取原件，并确保内容未遭到过破坏、篡改。绝密档案的调阅、销毁应经相关领导审批通过后严格按规定手续办理，完善的安全应急机制也是十分重要的，当意外发生时要及时采取措施，有效应对，将损失降到最低。在管理过程中要主动接受保密部门对工作的监督指导，做好对文件的安全保障工作。

3、信息设备安全环境

设备安全是保证档案信息安全的基本条件，无论是纸质档案还是电子档案都应在充分安全的环境下进行保存，档案室、电脑房等档案管理环境必须专人管理并建立严格的门禁制度，出入时要进行详细登记，以避免闲杂人等进入。还应做好信息设备环境的防火、防盗工作，避免水灾、火灾等外力破坏或盗窃等不法行为对档案安全带来的威胁。

第2篇：信息安全与管理范文

关键词： 信息安全 信息管理与信息系统专业 专业特色教学

1.前言

伴随着计算机和因特网为代表的信息技术的迅猛发展，我国信息化水平有了很大提高，在信息安全方面的发展也很迅速。信息安全问题在信息化发展过程中日益凸显出来，因为信息一旦受到安全威胁，不仅会使信息系统瘫痪，而且会造成企业巨大的经济损失，甚至会危及公众个人隐私信息和国家政治、经济、国防等信息的安全性。目前，我国的信息安全产品市场规模已经超7亿人民币，专门从事信息安全产品生产的企业已过1000家［1］。

信息管理与信息系统专业是管理科学与工程学科的一个重要组成部分，是由信息技术、管理科学和系统科学交叉形成的前沿学科，它运用管理学、运筹学、系统科学和经济学的知识和方法，通过以计算机为基础的信息系统来实现各种管理活动和信息处理业务。该专业培养的人才在信息化建设中主要负责信息系统运行管理和伴随企业成长而不断更新信息系统的使命，人才的就业岗位归属于各种组织（企业）的信息中心或管理行政部门［2］。信息化的发展引发了信息管理与信息系统专业的发展，同样带来的信息安全问题也进入了管理学科的研究范围。在管理学科专业中开设信息安全课程，也是学科建设的需要［3］。但是就目前在专业设置方面提出的信息安全课程内容框架基本上都是针对计算机学科下的信息安全专业而设置的［4－6］，信息管理与信息系统专业不等同于计算机专业，最大区别在于更加强调各种信息安全技术和方法在实际管理问题中的应用。另一方面，同经济管理类专业相比，该专业更加强调使用计算机工具，用工程化的思想来实现信息化的管理。因此，在信息管理与信息系统专业中开设信息安全课程，要具有专业针对性并结合专业特色展开课程内容的教授和课程实验的设置。

2.我国信息安全教育现状

2.1信息安全人才缺乏。

2000年武汉大学创建了全国第一个信息安全本科专业，我国从此开始了信息安全本科生的培养。但是由于我国信息化产业的快速发展，对信息安全人才的需求远远不能得到满足。在2006年10月27日的第二届“全国信息安全学科专业建设与发展研讨会”上，许多专家呼吁要加大信息安全人才的培养［7］。信息安全是一个以信息安全学为核心，以信息技术学、信息工程学和信息管理学为支撑，以国家和社会各领域信息安全防护为应用方向的跨学科的交叉性学科群体系［8］。当前我国对信息安全人才的需求主要分布在政府、工商、电信、银行、军队、公安、交通、教育与科研、信息产业和一般企业。从人才需求分布看，不仅是计算机学科中需要设置信息安全专业，其他的交叉学科同样需要设置信息安全相关课程。

2.2信息管理与信息系统专业中开设信息安全课程的必要性。

信息管理与信息系统专业旨在培养企事业、政府的技术部门、经济部门或管理部门中从事信息系统的分析、设计、开发、利用和维护的应用型技术人才和从事信息化项目和信息资源开发利用的应用型管理人才。而信息安全问题具体涉及信息基础建设、网络与系统的构造、信息系统与业务应用系统的开发、信息安全的法律法规、安全管理体系等。不难发现，信息安全问题存在于信息技术的各个层次中。可以说，信息安全课程是研究信息、信息系统及信息系统应用领域的一门应用学科。因此，培养信息管理与信息系统专业的学生有必要学习信息安全知识，并需要将信息安全思想同信息系统有效结合并应用。

3.信息管理与信息系统专业中信息安全教学探索与实践

3.1针对专业特色，整合教学内容。

信息安全主要包括系统安全和数据安全两方面，所用技术有密码学、访问控制、防火墙技术、病毒查杀技术、身份认证技术、数字签名技术等，这也构成了对应的课程内容。在众多技术中密码技术是信息安全的核心。数论知识是密码学技术中必不可少的关键技术，在信息加密处理、公开加密算法的编写、密钥管理中都有不可或缺的应用。而数论基础知识对信息管理与信息系统专业的学生来说，具有较大难度。如果在课程开始就教授数论知识，会让学生倍感枯燥，难以调动学生学习的兴趣和主动性。

根据该专业侧重于信息管理与信息系统设计实现的专业特点，按照循序渐进、注重实际应用的原则，整合已有的信息安全教材，组织教学内容。在介绍密码学原理之前，首先给学生介绍密码学的发展历史，让其了解现代信息安全与密码的发展情况，同时体会到信息安全与密码学、数论知识密不可分。对数论部分内容作合理选择，在教授公钥加密体制时选择对应的数论知识进行介绍，如在重点讲解RSA加密算法时，选择运用到的数论知识――同余式、欧拉定理、模运算法则、大整数分解方法、相关免疫函数密码、素性测试算法进行详细介绍。结合信息系统开发和设计的实际应用，将访问控制、防火墙技术、病毒查杀技术、身份认证技术等技术同具体的信息系统相结合，让学生深刻感受到信息安全技术应用到信息系统中的重要性。

3.2理论验证和工程训练相结合，设置课程实验。

实验教学作为教学过程中的重要环节，不但有助于学生对理论知识的理解和应用，而且可以提高学生的动手能力和对知识的运用能力。信息安全的基础是各种信息技术，在这个领域中，工程应用占了相当大的比重，因此在本专业中的信息安全课程的实验部分需要加大面向工程应用的实验设置。

实验教学主要分为基础验证实验和综合设计实验两个层次。基础验证实验主要是对课程教授内容中的基本原理进行设计实现，使学生能对所学内容全面掌握并加深理解。鉴于信息管理与信息系统专业的学生具有一定的编程基础，基础验证实验主要要求学生对具有代表性的古典加密算法（如Playfair密码和Vigenere密码）和形成现代密码体制的经典数学方法（如辗转相除法求最大公约数，解同余方程等）用计算机高级语言实现，同时验证防火墙技术和数字签名技术在信息系统中的应用。综合设计实验要求学生能运用已学的先行课程知识，结合本门课程，采用工程化的思想，设计出一个完整的具有实际运用意义的信息系统，如设计实现基于Web的考试报名系统，并选择加密算法对用户密码进行管理，对用户报名照片添加本系统专有数字签名水印，同时学生可以自由选择和应用已有的信息安全知识自行设计系统的延伸功能。基础验证实验和综合设计实验在总实验学时中的比例是3∶7。实践证明，综合设计实验有助于加强学生动手能力和创新能力的培养，同时锻炼了学生的思维和操作能力，激发了学生的学习兴趣，使学生充分发挥了学习主动性。

3.3多项指标构成课程考核评价结果。

学生得到的课程成绩将不再仅仅是考试成绩，而是由多项指标构成。包括：第一，学生在基础实验过程中独立完成的情况。第二，在综合实验中允许学生分组，让学生提高与他人协调工作能力的同时，注重发挥自己在团队里作用，综合实验成绩按照学生在团队中相对应的工作及其完成情况决定。第三，学生需要完成课程认识报告，是对本课程学习情况的总结，选择所学内容中感兴趣的方面做深入研究形成报告的主要内容。第四，课程结束后的考试成绩。由这四部分构成学生最终的综合成绩，使学生不再拘泥于学习课本知识，更加注重动手实践能力，将课本所学应用到实际信息系统工程中去。同时以小组为单位，更加锻炼组织协调及与人沟通的能力。

4.总结

本文针对信息管理与信息系统专业特点和信息安全课程教学内容，根据目前我国信息安全课程教育现状，对在该专业下设置信息安全课程方式进行探讨。教学实践证明，整合教学资源，具有专业特色的实验设置和多项指标构成的评价体系，更加能够提高学生的学习兴趣和主动性，加深学生对信息系统工程化思想的理解，锻炼团队学习工作能力，从而大幅度地提高教学质量。当然，信息安全是一门跨学科、涉及面广的综合性学科，如何更好地结合本专业的其他基础课程及所涉及的交叉学科课程，同时兼顾专业特色，更好地提高教学质量，还需要我们继续努力。

参考文献：

［1］禹金云，罗一新.我国信息安全的现状及对策研究［J］.中国安全科学学报，2006(1).

［2］刘秋生.信息管理与信息系统专业建设探讨［J］.中国管理信息化，2007(7).

［3］王英.管理学科信息安全教学研究［J］.信息安全与通信保密，2008(1).

［4］马建峰，李凤华.信息安全学科建设与人才培养现状问题与对策 ［J］.计算机教育，2005(1).

［5］林柏钢.信息安全专业宽口径培养模式探讨［J］.北京电子科技学院学报，2006(1).

［6］吕欣.关于信息安全人才培养和学科建设的思考［J］.北京电子科技学院学报，2006(1).

第3篇：信息安全与管理范文

关键字：校园；网络；管理；信息；安全；保障

目前，校园网络信息安全性的问题逐渐得到高级技工学校的关注,学校在不断的完善校园网络的管理以及信息安全保障的政策。校园网络作为高级技工学校信息化建设的重点,确保网络信息安全的完整性、保密性、可控性、可用性、不可否认性成为了学校保障网络信息安全的重点工作。

一、校园网络信息安全的特征

校园网络信息安全需要具有完整性，确保信息在传输以及存储的过程中可能被恶意的篡改，应该确保网络信息的正确以及有效，避免被非授权人将信息的完整性破坏；校园网络信息安全需要具有保密性，通过密码技术对重要的信息采取保护措施或进行加密处理，避免重要信息的泄漏、丢失等，确保合法用户能够安全的使用信息；校园网络信息安全需要具有可控性，使授权机构能够控制信息的内容以及具备监控和管理传播流向和方式的能力；校园网络信息安全需要具有可用性，确保授权用户能够进入系统进行信息的访问，防止非授权者恶意访问系统，窃取、泄漏、破坏校园网络的信息安全。与此同时，还应该防止网络病毒引发的系统瘫痪，造成服务器拒绝用户使用或被入侵者所用；校园网络信息安全需要具有不可否认性，也可以称之为不可抵赖性，当信息传输结束以后,信息传输双方不能抵赖自身的行为，比如否认接收过对方的信息，通过信息源的证据，双方就无法对完成的操作进行抵赖，能够有效的防止发送方否认已经传输过的信息。

二、校园网络管理和信息安全保障的必要性

随着计算机网络的不断发展,强化学校网络安全管理的建设,不仅能够提升学校整体的形象，还是学校发展成为信息化的必然趋势。网络安全对于校园整体形象和未来发展趋势都有影响。校园网络信息安全对于学生来说，能够促进学生的全面发展，还能提高学校的整体经济效益。目前，学校的网络中储存了大量的文献信息,网络信息安全对于高级技校的教育工作有着重要的意义，教师进行教学越来越依赖计算机网络，如果网络的安全出现问题，信息资源被恶意篡改、丢失、删除、破坏等，对于学校来说是无法弥补的经济以及资源损失。因此，校园网络管理和信息安全保障对于高校来说十分重要，建设校园网络的过程中，应该重视网络运行的安全问题，引进先进的网络技术，严格按照网络安全管理规范，及时解决网络系统可能出现的问题，确保校园网络能够安全、可靠、正常的运行。

三、校园网络管理和信息安全保障的现状

3.1校园网络的安全受到威胁

目前，高级技工院校为了提高网络的安全性,通常会配置网络防火墙系统。然而防护墙是利用静态技术只能起到防范的作用,并且防护的范围不够全面，防护的效果也不是十分明显。为了采取更加有效的防护措施，高校需要采用动态防护技术，比如入侵检测技术。如今病毒的传播方式多种多样，具有很强的破坏能力，并且传播速度很快,一旦校园的某台计算机被病毒入侵,主机系统就会受到影响，导致整个校园的网络都会瘫痪。

3.2不重视校园网络的管理

大部分的高级技工院校对于网络管理问题，普遍是“重设备,轻管理”的理念，仅重视设备的购买,而忽视了对设备的管理。学校错误认为安装防火墙、电脑管家以及杀毒软件，就能起到信息安全防护的作用，其实信息安全还包含其他方面，安全防护设备在校园网络中虽然得到了普遍应用，然而对于软件的实践应用只能解决一部分的信息安全问题。学校应该重视安全设备安装后的管理问题，通过制定相关的管理规则，使用户能够合理的使用校园网络，从而确保网络信息的安全。

3.3用户的校园网络安全意识不够高

高级技工学校用户普遍缺乏网络安全意识，需要不断提高网络安全意识，才能从根本上保障校园网络信息的安全。对于学校来说，校园网络用户在网络信息管理和保障中起到十分关键的作用，用户的实践操作行为直接影响信息的安全。目前，大部分校园网络用户,进行口令的选取时,忽视自身操作的规范性，导致校园网络被恶意入侵。

四、校园网络管理和信息安全保障的实践策略

4.1完善校园网络的访问权限设置

校园网络为了保证信息的安全需要设置网络权限，通常校园网络只提供给本校师生使用，这样就能有效的减少不良信息传播的途径，避免病毒通过其他途径破坏系统，从而保障校园网络信息的安全。访问权限设置能够控制用户的非法访问，检测用户登陆的服务器以及用户查看过的信息，使用户的账号能够受到监管，避免用户信息被盗用，导致信息的泄漏。

4.2重要信息及时做好备份

校园网络如果遭受到病毒的侵害，计算机系统就会受到损害，导致用户的重要信息泄漏、丢失等，造成用户的损失。因此，学校网络的数据库需要及时进行重要信息的备份，确保用户的重要信息能够通过备份系统找回，避免给用户造成不便。

4.3监控校园网络的日志

做好校园网络日志的监控工作是高级技工学校的重点工作，对于保障信息安全起到了重要的作用。安全设备虽然能够保障信息的安全，但是不能仅仅停留在表面，作为校园网络的管理人员，应该不断提高自身的素质，进行安全设备性能、用途等多方面的深入研究，从而更好的管理校园网络的信息。监控校园网络信息安全的对象有防火墙、检测系统、服务器等，由于防护核心思想的差异，综合使用监控设备能够有效的进行用户访问时间的跟踪，了解用户的登陆地点，登陆设备、登陆时间等，这些信息有助于学校管理和保障信息安全，了解校园网络日志的具体来源和途径，从而提高校园网络的安全性。

4.4建立校园网络管理相关的制度

高级技工学校应该制定相关的政策，强化用户对信息安全防护的意识，提高自身的网络素养。制定完善的制度管理体系，使用用户能够严格按照相关规定约束自身的行为，避免由于自身错误的操作，造成校园网络信息的泄密、丢失等。由于校园网络使用的用户普遍为在校学生,因此学校可以结合学生的实际情况，设立网络相关的选修课程,提高学生的网络安全意识。与此同时，校园网络使用的用户还包括教师，学校应该对教师展开定期的培训，提高教师的综合素质，从而做到言传身教。通过不断提高校园网络用户的整体素质，网络不良信息的传播才能得到有效的控制，避免恶意入侵的非法用户危害校园网络的安全。

五、结语

综上所述，校园网络是一把双刃剑,虽然为学生和教师的学习和教学工作带来了方便，然而随着网络技术的不断发展，信息安全的问题接踵而至，为了有效确保校园网络信息的安全，学校需要不断的完善校园网络的访问权限设置，对重要的信息及时做好备份，监控校园网络的日志，建立校园网络管理相关的制度，从而提高校园网络用户的综合素质，提高校园网络的安全性。

参考文献

[1]杨梅,甘露,张林涛.校园网络管理和信息安全保障实践探讨[J].玉林师范学院学报,2013,01:112-116.

[2]王平,赵仕伟,赵义平.浅谈校园网络管理与信息安全保障对策研究[J].网友世界,2014,06:5.

[3]徐喆.高校网络安全存在的问题与对策研究[D].燕山大学,2012.

第4篇：信息安全与管理范文

【关键词】网络信息安全 防火墙 数据加密 内部网

一、网络信息安全的脆弱性

在因特网上，除了电子邮件、新闻论坛等文本信息的交流与传播之外，网络电话、网络传真、静态及视频等通信技术都在不断地发展与完善。在信息化社会中，网络信息系统将在政治、军事、经济、交通、文教等方面发挥越来越大的作用。网络信息系统都依靠计算机网络接收和处理信息，实现相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。网络正在逐步改变人们的工作和生活方式。面对这种现实，政府有关部门和企业不得不重视网络安全的问题。

二、网络安全的主要技术

（一）防火墙技术

1.防火墙的技术实现

通常是基于“包过滤”技术，而进行包过滤的标准通常就是根据安全策略制定的。包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有：包的源地址、包的目的地址、连接请求的方向、数据包协议以及服务请求的类型等。

防火墙还可以利用服务器软件实现。一般都具有加密、解密和压缩、解压等功能，这些技术增加了信息在互联网上的安全性。现在，防火墙技术的研究已经成为网络信息安全技术的主导研究方向。

2.防火墙的特性

（1）所有从内到外和从外到内的数据包都要经过防火墙；

（2）只有安全策略允许的数据包才能通过防火墙；

（3）防火墙本身应具有预防侵入的功能，防火墙主要用来保护安全网络免受来自不安全的侵入。

（二）数据加密技术

1.常用的数据加密技术

目前最常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和解密，非对称加密技术就是加密和解密所用的密钥不一样，它有一对密钥，分别称为“公钥”和“私钥”。

2.数据加密技术的发展现状

在网络传输中，加密技术是一种效率高而又灵活的安全手段，值得在企业网络中加以推广。加密算法有多种。现在金融系统和商界普遍使用的算法是美国的数据加密标准DES。近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。

（三）访问控制

1.身份验证

身份验证主要包括验证依据、验证系统和安全要求。

2.存取控制

存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面，主要包括人员限制、数据标识、权限控制、类型控制和风险分析。

三、常见网络攻击方法

网络中的安全漏洞无处不在。即便旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。

网络攻击的常见方法：

1.口令入侵

2.放置特洛伊木马程序

特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就可以在windows启动时悄悄执行的程序。

3.WWW的欺骗技术

在网上用户可以利用IE等浏览器进行WEB站点的访问，但一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！

4.电子邮件攻击

电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。

5.网络监听

网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。但监听者往往能够获得其所在网段的所有用户帐号及口令。

6.安全漏洞攻击

许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的。由于很多系统在不检查程序与缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。若攻击者特别配置一串准备用作攻击的字符，他甚至可以访问根目录，从而拥有对整个网络的绝对控制权。

四、网络攻击应对策略

1.提高安全意识

不要随意打开来历不明的电子邮件及文件，不要随便运行别人给你的程序；尽量避免从Internet下载不知名的软件；密码设置尽可能使用字母数字混排；及时下载安装系统补丁程序；

2.使用防毒、防黑等防火墙软件

3.设置服务器，隐藏自己的IP地址

4.将防毒、防黑当成日常例性工作

5.提高警惕

第5篇：信息安全与管理范文

关键词：铁路网络；信息；安全风险；管理措施

 

目前，我国已经进入信息网络技术普及的时代中，在信息技术应用越来越广泛、作用越来越强大的同时，铁路运输组织、服务、管理、建设等多方面的发展逐渐依赖于信息技术与网络技术，目前铁路生产与管理已经进入智能化、管控一体化的管理模式中，因此，信息与网络的安全性对铁路发展有着至关重要的影响。但是随着信息化越来越强烈，存在的风险越来越多，这对铁路发展无疑是一种严重的威胁，下面对控制网络与信息安全风险提出了几点参考建议。

一、信息安全管理体系结构

信息安全风险管理体系结构模型主要由技术、管理以及系统生命周期三大要素组成的三维模型。而信息安全是由信息安全技术与信息安全管理共同参与保护工作而实现的，信息安全技术的保护作用在于对信息安全保护采取的有效技术措施，而信息安全管理的作用主要在于对信息安全技术实施与运行过程中进行科学管理，促使信息安全技术发挥最大作用。随着信息安全风险越来越多，需要不断提高信息安全技术实施与运行能力，更重要的是加强信息安全管理，从政策、法律、技术、人员等方面进行全面管理，为保证信息安全采取有效的应对措施。

1、技术要素

在技术要素中主要含有环境、系统、网络、应用四个技术方面。铁路信息系统建设过程中，环境安全是保护信息系统安全的基础与屏障，对于机房环境安全要求非常严格，从机房建设过程开始就需要对机房地址、周边环境等方面进行考虑，特别是对防火、防雷击、防渗水、防鼠害等多种对机房安全有影响的因素全部考虑在内，同时还要加强对机房维护与管理等方面工作的考虑。值班人员管理、设备管理、电源管理、机房询问控制以及机房保密等方面中都会存在安全风险，因此需要对其采取相应的管理措施，来降低风险发生几率，保障信息安全。

系统主要是由硬件、软件以及数据组成，加强系统安全，首先要确保硬件安全、软件安全以及数据安全，一旦发生安全风险，就会使数据遭到破坏、更改、泄露等风险出现，因此，需要加强对其安全保护，保证数据安全、促使系统正常运行。网络是数据传输、分析、处理等方面的重要渠道，要对网络安全加以重视，网络安全是可以保证信息安全的基础，因此，需要对其加强管理，要从结构、访问、审计、设备、代码、病毒等方面进行全面加强防范措施。应用系统是实现信息权限管理的重要技术，具有赋予、变更、撤销等重要信息应用功能，因此，加强应用系统安全管理有一定的必要性。首先要完善专用用户登录识别功能；其次要提高访问控制功能；再次需要对重要信息进行加密保管；还要保证数据完整性，加强密码技术功能应用；最后要对资源进行合理控制，限制使用额度。

2、管理要素

信息安全风险管理效果与铁路内部组织结构、管理制度以及人员管理有着直接的关系，没有完善的组织结构，相应的管理制度，会使内部管理混乱，进而发生信息安全管理不得当，同时技术人员的技术水平以及个人素质等因素都会造成信息泄露、丢失等风险存在。因此，必须建立完善的组织结构，铁路信息系统的安全要在组织结构方面得到安全保证。铁路信息安全管理应建立由上级领导层、中级管理层、下级执行层三个层面的管理组织机构，并制定完善的管理制度，落实到实际工作中，加强技术人员的培训，以提高技术人员专业水平以及综合素质为目的，优化整个信息安全管理部门，促使铁路信息安全风险管理得到保证。

3、系统生命周期要素分析

设计阶段的安全风险管理过程应对设计方案中所提供的安全功能符合性进行判断，作为采购过程风险控制的依据。应详细评估设计方案中对系统可能面临威胁的描述，将使用的具体设备、软件等资产及其安全功能需求列表。基于设计阶段的资产列表、安全措施，实施阶段应对规划阶段的安全威胁进行进一步细分，同时评估安全措施的实现程度，从而确定安全措施能否抵御现有威胁、脆弱性的影响。运行维护阶段的风险评估应采取定期和非定期两种方式；当组织的业务流程、系统状况发生重大变更时，也应进行风险评估。

二、采取措施建议

在信息系统规划、设计阶段，应对信息系统的安全需求进行分析，同步规划、设计信息系统的安全等级和保护措施，建立安全环境，从源头上保障信息安全。对已定级的信息系统，应严格按照等保要求进行区域划分、边界防护、访问控制、安全审计及安全管理。构建一个全路信息系统可视化管理平台，对网络、计算机设备、应用系统部署、操作用户及角色、运维状态等关键信息进行全局监控，提高对系统中安全问题及其隐患的发现、分析和防范能力。建立全路统一的身份认证与授权机制，对各信息系统的用户进行统一管理，确保信息在产生、存储、传输、处理过程中的保密性、完整性、抗抵赖性和可用性。

铁路网络与信息安全风险管理，不仅仅是从加强技术或者管理任意一方面就可以实现的，而是需要对信息技术与安全管理相结合，共同完善信息安全风险管理。加强对信息技术内部结构的保护，从硬件、软件、数据、加密手段、权限管理手段等多方面进行安全防护，控制系统安全风险发生，同时还需要加强信息外部管理，从建设、人员、操作、管理等方面进行管理，保证铁路网络与信息安全，降低风险发生，为铁路发展提供信息安全保障。

 

参考文献：

第6篇：信息安全与管理范文

关键词:独立学院 校园网 网络安全 信息安全

中图分类号:G64 文献标识码:A

文章编号:1004-4914(2010)05-108-02

独立学院是近几年发展起来的一种新的高等教育院校,虽然这些院校成立的时间不是很长,但是其发展速度却很快。独立学院除了校园和基本教学设施以外,其校园网也发展起来了。目前,独立学院在尽情享受校园网所带来的方便与高效的同时,也面临着信息安全的严峻考验,校园网信息安全问题已经成为当前各独立学院网络建设中不可忽视的首要问题。信息安全是独立学院信息化建设的根本保证,通过制定独立学院校园网信息安全策略,来保障校园网的数据安全具有现实的紧迫性和重要性。构建以安全意识为核心、以安全技术为支撑、以安全服务为落实、以安全管理为重要手段的安全防范体系是校园信息安全的保障。{1}

一、独立学院校园网信息安全的现状

随着独立学院校园网络的不断扩建和升级,网络规模日益庞大,校园网络中的信息安全隐患也越来越多。目前高校校园网信息安全存在的问题具体体现在以下几个方面:

1.计算机信息系统比较脆弱,网络与信息系统的应急处理能力不强,防护水平不高。

2.高水平的信息安全技术人才和管理人才缺乏,关键技术整体上还比较落后,安全保障预警和检测方面的工作基本没有开展,保护、应急和恢复等方面的工作还不够深入与完善。

3.信息安全管理制度和标准缺乏权威性。

4.因资金等原因造成一些信息系统安全保障的必要设施短缺。

5.信息安全管理观念薄弱,相关人员特别是一些负责人员的信息安全意识不强。

6.信息安全保障管理机构和组织队伍不健全,制约着信息安全保障工作的进一步开展,也制约着信息安全保障能力的进一步提升。{2}

二、独立学院校园网信息安全急待解决的问题

许多独立学院校园网是从局域网发展来的,由于意识与资金方面的原因,他们在安全方面往往没有太多的设置,包括一些独立学院在内,常常只是在内部网与互联网之间放一个防火墙就了事了,有的甚至什么也不放,直接就面对互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等,这些安全隐患发生任何一事对整个网络都将是致命性的。{3}因此,校园网的网络安全需求是全方位的,具体来说,包括以下几个部分:

1.网络病毒的防范。在网络中,病毒已从存储介质(软、硬、光盘)的感染发展为网络通信和电子邮件的感染上来。其传播速度极快、破坏力更强,据统计,一个新病毒从一台计算机出发仅六个小时就能感染全球互联网机器。网络一旦被病毒侵入而发作,将会对重要数据的安全、网络环境的正常运行带来严重的危害。所以,防止计算机病毒是计算机网络安全工作的重要环节。

2.网络安全隔离。为了各行业间、部门之间加强业务联系,以及信息化建设都需要网络和网络之间互联,交流信息、信息共享,这给学校的工作带来极大的便利,同时也给有意、无意的黑客或破坏者带来了充分的施展空间。所以网络之间进行有效的安全隔离是必须的。

3.网络监控措施。网间隔离起边缘区保护作用,无法防备内部不满者攻击行为。往往内部来的攻击比外部攻击更具有致命性。在不影响网络的正常运行的情况下,增加内部网络监控机制可以做到最大限度的网络资源保护。从网络监控中得到统计信息来确定网络安全规范及安全风险评估。

4.网络安全漏洞。校园网拥有Www、邮件、数据库等服务器,还有重要的教学服务器,对于非专业人员来说,无法确切了解和解决每个服务器系统和整个网络的安全缺陷及安全漏洞。因此,需要借助第三方软件来解决此安全隐患、并提出相应的安全解决方案。

5.数据备份和恢复。数据是整个网络的核心,其安全性非常重要。设备可以替换,数据一旦被破坏或丢失,其损失几乎可以用灾难来衡量。所以,做一套完整的数据备份和恢复措施是校园网迫切需要的。

6.有害信息过滤。许多校园网经过多年的建设,已发展成为较复杂的网络,网络中的应用较多,电脑数量达到几千台;校园内不仅电教室、电子阅览室、办公室的电脑能上网,学生宿舍和家属楼的电脑电信宽带也能上网。对于这种大、中型的校园网络,要实施网络有害信息的过滤,必须采用一套完整的网络管理和信息过滤相结合的系统,实现对整个校园内电脑访问互联网进行有害信息过滤管理。

7.网络安全服务。许多学校缺少网络管理人员,日常网络的维护量大,特别在网络安全方面暂时没有配备专职专业的系统安全管理员,同时在网络规划建设初期时,对整体的网络安全考虑较少,投资有限。因此,为确保整个网络的安全有效运行,有必要对整个网络进行全面的安全性分析和研究,制定出一套满足网络实际安全需要的,切实可行的安全管理和设备配备方案。如将网络的日常安全维护和设备配备外包给专业的网络安全服务和设备提供商,可以在短时间内实现对网络安全的要求,同时解决专业人士缺乏的现状,并且在由网络安全专业公司提供服务的同时,培养自己的队伍,最终完成自己对学校网络的安全管理。{4}

三、构建独立学院校园网信息安全管理体系

安全管理是安全防范体系中具体落实的手段,它贯穿于整个网络安全防范体系中。独立学院校园网的安全管理应当保障计算机网络设备和配套设施的安全,保障信息的安全及运行环境的安全。校园网的所有工作人员及用户必须遵守《中国教育和科研计算机网络安全管理》协议,接受并配合国家有关部门及学校依法进行的监督检查。整体而言,高校应加强安全管理工作,增强学生的安全意识,并逐步建立健全安全管理规章制度。

1.落实安全职责。在校办及各系部配备专职的信息安全管理人员,落实建立信息安全责任制度和工作章程,负责并保证组织内部的信息安全。管理人员必须做到及时进行漏洞修补、软件定期升级和安全系统定期巡检,保证对网络的监控和管理。

2.制定科学的信息安全策略。信息安全策略是指在一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。它包括严格的管理、先进的技术和相关的法律。信息安全策略决定采用何种方式和手段来保证网络系统的安全。即首先清楚自己需要什么,制定恰当的满足需求的策略方案,然后才考虑技术上如何实施。

3.集中进行监控和管理。严格规范上网场所的管理,集中进行监控和管理。上网用户不但要通过统一的校级身份认证系统确认,而且合法用户的上网行为也要受到统一的监控。上网行为的日志文件要集中保存在中心服务器上,扫描日志文件确保其准确性和安全性。

4.重要数据的及时备份与恢复。在实际的网络运行环境中,数据备份与恢复是非常重要的。尽管从预防、防护、加密、检测等方面加强了安全措施,但任何人也不能保证网络系统不会出现安全故障。因此,应该对重要数据进行备份,保障数据的完整性。与此同时,还必须充分考虑遭遇火灾和系统硬件故障时的数据恢复,在数据容量较大时需考虑采用磁带介质备份和异地备份,并重点对应用区域中的关键服务器提供数据备份和恢复机制。

5.使用规范的网络协议。要建立一个安全有效的校园网必须使用规范的网络协议,只有使用规范的网络协议才能有效地进行网络通信,便于以后的扩展和维护。

6.加强信息安全教育,构建良好的校园文化氛围。我们应利用多种形式进行信息安全教育:其一是利用行政手段,通过各种会议进行信息安全教育;其二是利用教育手段,通过信息安全学术研讨会、安全知识竞赛、安全知识讲座等进行信息安全教育;其三是利用学校传播媒介、舆论工具等手段,通过校刊、校报、校园网络、广播、宣传栏等进行信息安全教育。信息安全是高校实现教育信息化的头等大事,除先进的安全技术、完善的安全管理外,良好的校园文化氛围也是保证高校信息安全工作顺利开展的前提。

参考文献:

1.李欣.高校校园网络安全探索[J].中国现代教育装备,2007(1):45～47

2.高爱乃.基于校园网的信息安全系统[J].中国科技信息,2006(9):191、196

3.王绍卜.企业信息安全研究与策略[J].商场现代化,2006(465):87―88

4.李秀英,蔡自兴.浅析网络信息安全技术[J].企业技术开发,2006(1):6―8

5.彭绍平.关于我国网络信息安全的思考[J].图书馆工作与研究,2007(4):84―86

第7篇：信息安全与管理范文

关键词：民航空管网络；信息安全；管理体系

随着我国经济的快速发展，信息技术和计算机管理计术在企业的日常管理中得到了广泛的应用，信息技术与经济发展相结合是未来的发展趋势，当前国内各空管局已经开始引入空管网络系统来提高管理效率和管理质量，其核心技术主要包含信息网络、电子、计算机技术以及管理学等方面的物质成果。出于民航管理系统的特殊地位，民航企业和相关管理部门对系统运行的稳定性和安全性有着十分严格的要求。民航空管业务的运行工作，需要安全、稳定、快速的信息网络对航班的飞行信息和管理信息进行实时的传递，信息网络也是下达管制指令、管理飞行活动的核心通道，许多航空安全事故的发生都是由于信息传递不通畅所致。

一、民航空管网络信息安全管理的发展现状

为了提高民航空管的管理效率，根据国内外优秀空管管理经验，必须加强民航空管的信息化建设，建立功能全面的空管信息网络。信息网络主要包含雷达设备、地面监测设备、地空通信设备以及自动化设备等，通过不同类型的前端装置进行数据的采集工作，其中数据库以及数据传输网络是所采集数据进行交互传递的核心通道，所建立的空管系统已经实现信息资源的集中管理以及数据采集装置的全覆盖。民航空管网络可以将飞机的实时飞行信息进行采集和存档，并将相关信息传送给计算机，对信息进行处理，将处理结果上传给管理人员，为技术分析人员、管制员以及飞行员提供技术支持和数据支持。然而当前国内还没有针对民航空管网络进行专门的安全性建设，造成许多民航空管信息系统长期存在信息安全漏洞，信息防火墙建设还处于空白阶段。在管理方面，缺乏专门的硬件设计和软件管理人员，空管网络一旦出现问题，通常需要由设备供应商来进行维护和修理，造成空管信息系统的失效，空管运行工作得不到有力的保障。

二、构建我国民航空管网络与信息管理体系

由于民航空管系统具有工作量繁复、技术难度大以及信息网络覆盖面广等特点，这就需要民航企业根据自身的特点来建立起一个与空管网络相适应的信息安全管理体系，信息安全管理体系的建设需要从以下几个方面出发。

（一）完善信息安全管理机制，保障资源配给

空管网络信息十分复杂，建设网络安全管理体系，需要对空管网络系统进行深入的研究，深入理解系统中每一部分的运行机制和作用。在管理方面，从制度上给予充分的保障，民航空管部门可以组建一支专门的安全管理队伍。在人员选拔方面，需要重点起用专门的网络信息技术人员，不仅要具备扎实的IT功底也要具有过硬的管理经验，熟知管理学的一般规律。网络信息管理技术团队要专注于信息安全管理体系的构建和相关技术的研发，可以与相关企业、科研单位以及学校开展合作，共享研发资金和研发成果，引进国外先进的信息安全管理系统，并在原有模型上进行有针对性的优化与改良。将丰富的软硬件资源投入到重要功能的补充上，在资金和人才上给予充分的保障。

（二）评估现有资源，量化安全管理标准

信息安全管理系统的建设与完善需要辅之以先进的管理手段和逻辑分析手段，对开发工作和建设流程进行量化资源评估，对信息网络操作管理、信息局域网安全性能、数据库防火墙设置、信息传播渠道以及信息采集前端布置进行量化考核，明确建设过程所有的技术指标，与国际民航的相关标准相结合，引入国外安全管理规范，制定准确的安全警告触发标准，增强安全管理系统的灵活性、机动性和可靠性。

（三）重视技术研发，及时升级换代

当前我国正处于信息技术发展的黄金时代，更新换代十分快速，安全问题的具体表现也处于不断变化之中。新形势下，信息安全管理系统不仅要识别出现安全问题的部位，也要给出安全隐患出现的原因以及安全问题的解决方案。防火墙技术作为一种主要防御技术，是目前有效提高民航空管网络安全性的技术手段。面对网络安全问题日益突出的形式，对于防火墙的识别性能和隔离性能也提出了更高的要求，这就要求管理人员对管理系统进行规范化操作。另外，研发人员要不断地对信息安全管理体系进行优化与升级，及时补修管理系统中存在的漏洞，提高信息网络的安全性。结束语民航空管系统不是固定不变的系统，随着相关设备以及前端硬件和升级，技术人员需要对空管系统进行不断的调整，以适应相关硬件的变化，信息化管理是民航空管发展的重要趋势，信息安全管理对于民航空管工作有着十分重要的意义，需要业内研发人员对其进行持续不断的研究，为我国民航事业的进步作出贡献。

作者:李雅静 单位:中国民用航空西北地区空中交通管理局青海分局

参考文献：

[1]许婷.民航空管中计算机网络信息安全分析[J].硅谷.2014(20)

第8篇：信息安全与管理范文

〔关键词〕图书馆；网络信息安全管理；模型

doi：10.3969/j.issn.1008-0821.2014.02.016

〔中图分类号〕g250.7 〔文献标识码〕a 〔文章编号〕1008-0821（2014）02-0076-06

借助于网络高新技术的发展，新的信息资源形态和使用方式，给图书馆读者带来便利的同时也必然存在许多隐患。计算机网络分布的广域性、开放性和信息资源的共享性，为信息的窃取、盗用、非法的增删、修改及种种扰乱破坏，提供了极为方便且难以控制的可乘之机，图书馆信息服务的权益及监督得不到有效的保障；同时，由于计算机网络的脆弱性，图书馆的网络系统本身经常处于黑客的攻击之中，一旦图书馆网络出现故障，轻则信息服务得不到有效保障、数据丢失，重则整个图书馆处于瘫痪境地。因此，在信息化时代，图书馆信息安全显得尤为重要，构建图书馆网络信息安全管理模型来保证网络信息安全，使其高效运行是图书馆现代化建设中一项迫在眉睫的重要任务。

1 信息安全管理概述信息安全管理，是指实施和维护信息安全的原则、规划、标准和内容的综合，包括信息安全策略、信息风险评估、信息技术控制和信息安全意识等。这些内容在一个信息安全治理框架下相互协调、相互说明，从而为组织提供全面的信息安全规划。它结合技术、程序和人员，以培养信息安全文化为目的，最终实现信息资产风险的最小化。为对信息安全内容有一个全面深入的了解，本文从信息安全原则、信息安全规划、信息安全标准和信息安全内容4个方面进行详细的论述，从而为图书馆网络信息安全管理模型的构建提供理论上的指导。

1.1 isa信息安全原则为保护组织的信息资产免遭威胁，tudor提出了一个全面灵活的信息安全架构方法（information security architecture，简称isa），这种方法提出5个关键性的信息安全原则（见表1）[1]。这些原则，可以了解组织工作的风险环境并对其实行评估和控制，从而减少这种风险；强调遵守国家信息安全法规的重要性，确保组织的机密信息受到国家的保护；涵盖信息安全技术与过程，满足组织信息安全的需要。表1 isa信息安全原则

原 则含义或目标1安全组织和基础设施确定角色、职责和执行赞助。2安全政策、标准和程序制定政策、标准和程序。3安全规划风险管理纳入安全规划。4安全文化意识和培训通过用户培训提高安全意识。建立用户、管理和第三方之间的信任。5监控规范监控内外部的信息安全。

1.2 cmm信息安全规划为给组织提供一整套信息资产免受未经授权的访问、修改或销毁的信息安全整体规划，mccarthy和 campbell构建了能力成熟度模型（capability maturity model，简称cmm）[2]。该模型包括7个信息安全规划内容（见表2），目标是从战略层面开始并用战略水平去指导技术等方面的工作，在评估当前信息安全风险的基础上构建合适的解决方案以减轻风险，并在实践过程中对各解决方案集成应用与监控。表2 cmm信息安全规划

规 划含义或目标1安全领导安全赞助、安全策略以及投资回报。2安全规划安全规划程序、资源和技能。3安全政策安全政策、标准和程序。4安全管理安全操作、监控和隐私。5用户管理用户安全管理和意识。6信息资产安全应用程序的安全、数据库/元数据的安全、主机安全、内外部网络安全、杀毒及系统开发。7技术保护与持续性物理和环境控制与持续规划控制。

3 protect信息安全标准在eloff.j.h和eloff.m所主持研究的“protect”项目，是政策、风险、目标、技术、执行、合规性和团队的英文首字母的缩写，对信息安全管理及标准进行了综合的介绍[3]。“protect”项目涉及各种集成控制的方法，在确保组织的有效性和效率的基础上尽量减少风险，目的是全方面解决信息安全的问题。为实现项目目标，该项目提出了7个信息安全标准（见表3），确保信息安全规划从技术术和人文角度得到有效的实施和管理。

1.4 iso/iec 17799和iso/iec 27001信息安全内容国家标准组织（iso）指出信息安全技术是实现信息安全管理的关键点，通过技术对信息系统进行安全性控制，是信息安全管理的重要内容。

了更好地实现信息安全控制，iso提出了11个具体的信息安全控制内容（见表4），这些内容已成为国际上通用的信息安全内容的重要标准，即通常所说的iso/iec17799[4]。而iso/iec 27001是iso/iec 17799的第二部分，提出了包括操作、监控、审查、维护和提高等一系列持续改进信息安全管理系统的方法与过程[5]。表4 2 图书馆网络信息安全内容的选取与管理模型的构建 前文所述的信息安全管理的原则、规划、标准及内容是基于整个信息社会行业而言的，具有一定概括性且4个方面之间存在着重复性，为了构建出更具针对性的图书馆网络信息安全管理模型，笔者根据图书馆的特性对信息安全管理的原则、规划、标准和内容进行选取与整合，构建出符合图书馆应用要求的信息安全管理模型。

2.1 图书馆网络信息安全内容的选取图书馆网络信息是对外开放并以支持教学和科研为目的。在这种情况下，网络信息安全是指读者未经授权无权使用、移动、修改和破坏图书馆信息。在对图书馆信息采取安全保护措施时必须确保其具有以下属性：①保密性：确保图书馆隐私信息的安全。此类信息必须严格控制读者访问量，只能授权一定级别的读者访问；同时，有权限访问图书馆隐私信息的读者也不能向公众透露相关的隐私信息。②完整性：确保图书馆信息是准确、完整并具有持久性。因此，图书馆信息安全管理要确保图书馆信息内容不是残缺不全的、失踪的、腐朽的、任意放置的，外借、故意或意外变化不会边缘化，在盗窃或破坏中具有安全性。③可用性：读者在授权时间内能无限制地访问并获取图书馆信息。图书馆必须有一个安全稳定的信息管理（网络）系统来支撑图书馆的运行，确保图书馆信息能及时传递而不会被延误。在维护图书馆信息安全的同时确保图书馆信息的保密性、完整性及可用性不缺失，这就要求在构建图书馆网络信息安全管理模型时对信息安全内容的确定带有一定的甄别性，不能将信息行业安全管理的所有原则、规划、标准及内容全部应用于图书馆安全管理。根据图书馆信息的特性，本文从管理、运行与操作、人员、建筑与技术及安全文化5个维度对图书馆信息安全的内容进行了选取，这5个维度的具体内容在图书馆网络信息安全管理模型中将会详细论述。

2.2 图书馆网络信息安全管理模型的构建图书馆网络信息安全管理目标是为图书馆网络信息安全保护提供整体性方案，结合管理、运作流程、人文、建筑与文化氛围来保证图书馆信息安全管理达到一个合理水平，从而保证图书馆信息风险最小化。为实现这一目标，abashe atiku maidabino和zainab在满足图书馆信息的特性上，将da veiga和eloff构建的“房屋模型”[6]加以简化与融合，构建出图书馆网络信息安全管理模型[7]，见图1。该模型将所有信息安全因素集合，确保图书馆信息能够得到充分保护，同时为图书馆提供一个全面的方法和工具来实施和评估信息安全管理。模型内容主要集中于5个维度：（1）管理维度：正确的领导，政策与程序到位；（2）流程和操作维度：包括实施过程、政策；（3）人员维度：读者/馆员信息安全意识和图书馆信息安全项目培训；（4）建筑和技术维度：支持馆藏信息安全项目；（5）安全文化维度：将图书馆馆藏信息安全理念有意识地植入馆员日常工作中[8]。图1 图书馆网络信息安全管理模型

管理维度是指一组角色的规定，信息安全政策制定与管理由负责制定目标和政策的安全管理团队成员行使，从而确保目标和政策的实现，信息风险的评估与管理。图书馆的安全管理团队由图书馆各部门高级管理人员和安全部门的人员组成。这些成员应具备必要的信息应用和安全管理方面的经验和知识，这些成员被授权管理时能够遵守信息安全政策。信息安全管理责任是模型中管理维度的重要部分，这就要求图书馆应规划与制定精确的信息安全管理策略，明确风险管理的目标和方向。信息安全风险评估在图书馆各级安全规划风险设置中处于优先级别。馆藏信息定期风险评估规则的编制涉及图书馆资产类型、收藏价值、识别可能出现风险的威胁、漏洞和成本分析等详细的情况。信息安全漏洞可以通过会议、问卷、观察和报告来确定。通过信息安全漏洞的监测和风险评估过程的完善可以降低图书馆信息安全的风险，并能缓解图书馆的一些过度的承诺。管理维度强调要为图书馆信息管理、记录、维护、审查、更新风险管理政策和程序编写报告，通过快讯、交互式网页及其他内部刊物在馆员与读者之间

广泛宣传馆藏信息安全管理的必要性，将信息安全意识植入馆员与读者脑袋。这一维度有利于为图书馆提供良好的馆藏安全管理信息。流程与操作维度是指信息安全管理团队为图书馆各相关部门制定信息安全管理运行方案的过程。分别是：（a）采访部：参与接收，标记并建立可用于识别丢失、错放地方和费用的库存清单，以便于图书馆备份和恢复；（b）流通部：创建手工或计算机系统对图书馆纸质信息进行丢失、被盗、错位、滥用、损坏等方面进行盘点，通过访问控制和信息的记录与跟踪，确保图书馆信息安全系统的修理与维护；（c）编目、技术部：通过图书馆opac系统对馆藏信息集合进行处理，应用图书馆识别标记建立和验证馆藏信息所有权，标识未经处理的信息并进行访问控制；（d）特藏部：对有价值的馆藏信息载体进行保护与保存，授权访问与监控。人员维度是指读者和执行安全管理政策与程序的馆员的安全意识。它规定图书馆需要阐明信息安全管理人员的角色和责任，对馆员进行有效的安全意识培训，帮助他们获得处理安全事件、准备可靠实用安全报告的知识。建筑与技术维度涉及信息安全管理所需要的建筑与技术氛围。建筑氛围是指信息安全管理措施应与图书馆建筑的物理结构和藏书空间融为一体：控制图书馆出入口；需要id卡身份识别进入图书馆特别是特别馆藏区域；制定保安巡逻图书馆的时间表。技术氛围包括技术实践和嵌入到馆藏安全应用规划中的各种程序。它强调使用电子安全系统等技术设备来处理馆藏应用过程，控制安全漏洞，并在图书馆出入口点安装安全系统。这就意味着图书馆需要安装电子反盗窃设备、可视化相机、烟感探测及出入口、阅览区报警系统等安全设备。这将有助于防止图书馆藏书的丢失和对阅读区、参考咨询区及书库进行可行性监控和读者流量的检测。安全文化维度作为图书馆网络信息安全管理模型构成基础的安全文化，包括读者和馆员对图书馆信息重要性的态度、信息保护存在的安全漏洞、信息相关事件的意识、阻碍或限制信息安全管理系统有效性的意识。意识是一个看不见但可以通过行为来证明的元素，如（a）图书馆馆员的馆藏信息安全政策和管理过程的认识水平；（b）馆员对安全政策和程序重要性的态度；（c）安全漏洞和安全验收责任的意识[9]。图书馆网络信息安全管理模型中的安全文化是一种安全责任相互共享的文化，安全人员能够相互提供信息和工具来应对各种安全情况。这种态度与意识能够确保图书馆信息安全治理、管理和运行的有效性。图书馆网络信息安全管理系统在权重一致的5个维度的相互作用下，在馆藏信息得到安全管理的同时还能确保其在保密性、完整性和可用性上维持在一个合理的水平。

3 图书馆网络信息安全管理模型应用方案目前，在图书馆的计算机网络上有馆藏书目信息、读者信息、各种电子文献数据库、光盘数据库检索系统、图书管理系统、特藏数据库等内容[10]。这些电子资源信息如果受到破坏，那么损失将会非常惨重，很可能会造成整个图书馆系统瘫痪。就目前的状况来看，图书馆所面临的网络信息安全问题主要有黑客攻击、计算机病毒、网络物理设备安全隐患、网络设备配置安全与人员造成的安全隐患等方面。为了预防与应对上述隐患对图书馆可能会带来的网络信息安全故障，图书馆应按照网络信息管理模型5维度的要求，建立起科学、规范、有效的网络信息安全管理流程（见图2），将网络信息安全隐患处理于萌芽之中。图2 图书馆网络信息安全管理流程

应用图书馆网络信息安全模型处理网络信息安全故障，其管理流程可分为3个阶段：故障初排阶段、故障处理阶段与评估阶段。在故障初排阶段，图书馆工作人员或读者在应用图书馆的过程中，如果发现信息安全故障，应及时进行隐患初排并上报技术部，由技术部工作人员对该事件进行了解，并请求技术部主管上报给以馆领导为主的信息安全管理团队；在故障处理阶段，技术部工作人员根据事件了解进行安全故障检查并调查影响范围，从而形成第一次进程报告，并将其上报给馆领导，由馆领导进行资源调度后，技术部应急抢修；技术部附上应急抢修进程报告上报给馆领导形成第二次进程报告，然后结案、审核并归档；在评估阶段，各部门对此次信息安全故障事件进行评估总结。图书馆网络信息安全管理模型是以人为核心的信息安全保障体系，它强调的不是技术问题，而是管理的问题。图书馆网络信息安全在以馆领导为核心的安全管理团队的

领导下，在工作人员、读者的共同配合下，依靠科学的管理流程，定能将图书馆网络信息安全管理达到一个全新的层次。 　4 结束语构建一个适应计算机网络普遍应用的图书馆网络信息安全管理模型，不仅是适应新形势的需要，也是图书馆信息数字化建设的重要组成部分。随着图书馆社交网络应用的普及，图书馆信息将面临更大的开放性和更多的安全方面的挑战。图书馆网络信息安全管理模型是一个包括技术、管理、人员和安全文化等多个环节整体性很强的体系，不能孤立或静止地看待和解决问题，网络信息安全性的提高依赖于不断的技术进步和应用，依赖于管理的逐步完善和人员素质的全面提升。相关人员应根据网络信息的特点和需求，进行有针对性的系统设计，不断地改进和完善网络技术的安全工作，更好地推动图书馆网络事业健康发展。

参考文献

[1]j.k.tudor.information security architecture—an integrated approach to security in an organization[m].boca raton，fl：auerbach.

[2]mccarthy m.p，campbell s.security transformation[m].mcgraw-hill：new york.

[3]eloff j.h，eloff m.integrated information security architecture[j].computer fraud and security，2005，（11）：10-16.

[4]iso/iec 17799（bs 7799-1）.information technology，security techniques[s].code of practice for information security management，britain.

[5]iso/iec 27001（bs 7799-2）.information technology，security techniques[s].code of practice for information security management，britain.

[6]a.da veiga，j.h.eloff.an information security governance framework[j].information systems managenment，2007，（4）：361-372.

[7]abashe maidabino，a.n.zainab.a holistic approach to collection security implementation in university libraries[j].library collection，acquisitions & technical services，2012，（36）：107-120.

[8]sipone m.t.five dimensions of information security awareness[j].computer and society，2000，（6）：24-29.

[9]holt g.e.theft by library staff[j].the bottom line：managing library finances，2007，（2）：85-92.

第9篇：信息安全与管理范文

关键字：电子信息；信息安全；安全管理；措施

随着国民经济水平的提高，人们日益增长的物质文化需求给电子信息产业带来了前所未有的挑战，一时之间全球化、信息化的发展日趋明显。无论在哪个行业，以计算机网络为基础的电子信息技术开始进入我们的生活。

1 电子信息安全管理的定义

首先我们来看什么是电子信息。电子信息工程是一门应用计算机等现代化技术进行电子信息控制和信息处理的学科，主要研究信息的获取与处理，电子设备与信息系统的设计、开发、应用和集成。那么信息安全则是用来如何保证这些信息在存储和传递的过程中保护信息的保密性、真实性和完整性。总体来说，电子信息安全管理就是信息安全技术和信息安全管理的统称。

2 信息时代背景下，电子信息安全管理的重要性

（一）全面维系网络秩序

随着当前社会经济的发展进程的不断加快，互联网时代已经全面到来，人们的事件沟通和传递也从面对面交谈变成了电脑、手机的信息交流，因此人们愿意将更多的信息在网上进行展示和沟通，电子信息使用的面积不断扩大，网络的安全性也被提到日程上来，网络黑客、病毒已成为威胁电子信息安全管理的主要因素。 要想更好的发展电子信息产业，就要在当前信息时代背景下，做好电子信息安全管理，只有这样才能够全面建立维系网络安全的秩序，从而不断地实践网络和电子信息技术安全管理能力，为新形势下的电子信息安全管理提供更多的实用价值。

（二）促进社会经济的稳定性发展和建设

电子信息安全管理是为了适应当前的社会经济发展的要求而产生的，因为电子信息安全管理不仅能够提升网络运营中的安全保障，还能将有效的投资进一步的付诸于实践中。特别是在企业运行中，只有更好的执行电子信息安全管理，明确相关的职责、条例，才能不断提升企业的工作效率，促进公司组织结构的优化，从而创造更多的经济价值。以便更好地服务于社会，推动社会在变革创新中的总体经济发展。

（三）提升国民对电子信息安全管理的认识

随着互联网技术的高速发展，要想全面开展电子信息安全管理，需要全民一起的努力，只有大家积极的学习电子安全管理的相关知识，才能在运用中避免错误，不给黑客等具有威胁性的组织任何机会。因此，具体到日常的使用电脑中，企业的工作人员要及时的更新杀毒软件，养成良好的用电脑习惯，做好实时监控，加强理论学习，提升安全管理意识。

3 信息时代电子信息安全管理存在的问题

电子信息的快速发展对社会的进步有着重要的作用，不仅提高了信息处理的效率，还让工作中各个部门之间有了更有效的配合。但在高速发展的电子信息产业发展的同时，我们也应该看到电子信息安全管理存在的一些问题。

（一）未形成相关的制度体系

目前，我国在信息安全管理方面还没有一套完整的法律法规。政府部门在监管的时候也无法可依，导致管理漏洞和不到位现象层出不穷，造成资源和财产的损失，因此相关部门要尽快制度明确的法律法规，为电子信息安全做好应有的保障。

（二）安全管理的局限性

电子信息产业的高速运行，让它的发展有着自己的轨迹，但是在电子信息安全管理方面的发展却有着不容忽视的局限性。各个行业都存在自己的电子信息工作中不断创新，却没有一个统一的体系，在安全管理中十分散乱。再加上没有相应的制度，在管理中会出现交叉和不够完善的状态出现，这都会对管理带来一些不好的影响。同时管理和维护中设备更新的不够及时，或者是网格管理维护人员技术不到位，防范意识差等等也会对安全管理带来局限性。

4 信息时代背景下，电子信息安全管理的主要措施

针对电子信息安全管理工作中出现的问题，我们应该积极做好应对措施，通过一系列的手段，加大电子信息安全管理工作。

（一）建立电子信息安全管理的思想意识

在电子信息安全管理中，首先要给相关人员建立安全管理的意识，在对社会各个方面进行电子信息安全管理时，只有认识到各种网络安全威胁，做到意识先行，才能在日常工作中指导实践落到实处，从而进行有效和科学的开展信息安全管理工作。

（二）建立企业专门的电子信息安全管理部门

为了更好的解决企业的网络威胁问题，企业内部应主动建立电子信息安全管理部门，做好网情监控，针对企业内部的网络状况进行全面的检查和维护管理。从而保护企业资源，提高工作效率。与此同时，还要肩负起制定本企业电子信息安全管理条例的责任，严格按照内部管理制度和计算机使用要求开展工作，对后台权限等问题进行控制，促进企业在良性的轨道中前行发展。

（三）实施企业内部的纸质档案管理和电子信息安全管理相互结合

具体到企业内部实际信息安全管理中，在原有纸质档案管理的基础上，应运用先进的技术，与电子信息安全管理相结合，开展内部员工的电子档案。电子档案可以快速提取所要查询的内容，在保障纸质档案完整性留存的基础上，电子档案更有针对性，可反复查询，提高了档案管理人员的工作效率。但我们在实施的过程中也要注重这方面的电子信息安全管理工作，做好加密工作，防止黑客盗取资料内容，避免信息丢失等现象。

（四）提升电子信息安全管理人员的自身素质

因为电子信息安全管理的本身具有较多的技术要求和理论要求，因此对相关操作人员各个层面上的要求也十分重要。电子信息安全管理人员不但要及时排查有可能的安全隐患，还在在发现问题是及时处理，避免危险进一步扩大。随着科技的不断发展，电子信息安全人员还要做到与时俱进，及时补充当前最新的技g，加强学习，发挥主观能动性，不断提升个人素质，从而全面做好电子信息安全管理工作。

5 结语

综上所述，电子信息安全管理工作是一个系统完善的工程，需要各方面的统一协调和配合，并且是一项长期而又艰巨的任务，需要相关人员不断的探索和实践。只有这样才能在纷繁复杂的网络环境中，建立安全可靠的管理系统，为现代化社会发展贡献更大的力量。

参考文献