前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的关于信息安全问题主题范文,仅供参考,欢迎阅读并收藏。
关键词:信息化建设;信息资源;安全
中图分类号:G20 文献标志码:A 文章编号:1002-2589(2013)12-0197-03
进入新世纪后,党校的信息化建设无论是资金方面,还是在技术方面都有了大幅度的提升。在资源共享方面,通过VPN虚拟网等方式实现了各级党校之间的联网;校园办公软件系统和资源管理系统实现的有机地整合,数字资源和内容也得到极大地丰富,种类更加齐全。信息化对党校的工作、教学、科研带来方便的同时也对信息化安全工作提出了更高的要求。
一、党校信息化及安全建设的必然性
1.新时期党校建设要求,党校必然要进一步进行信息化建设
新时期,党赋予党校的任务是党校作为干部培训的“主渠道”,并且发挥着中国特色社会主义理论“主阵地”和党委政府“思想库”的作用。通过信息化建设,开展领导干部网络课堂、远程教育等方式,可以拓宽干部培训渠道,增大党校干部培训的力度和范围,放大党校干部培训工作的效用,更充分发挥各级党校在干部培训中主渠道的作用。通过建设数字图书馆,为党校领导干部提供读书便利,在创建学习型政党和学习型社会进程中发挥积极的推动作用。针对网络时代的特点,坚持马列主义在意识形态的指导地位,做好理论宣传工作的战略部署,要使党校在信息化建设中发挥马列主义宣传阵地的作用。
在2012年7月17日全国党校校长会议的开幕式上,同志在讲话中对新时期党校的工作提出战略性的指导意见:“坚持上级党校对下级党校的指导,加强中央党校与地方党校之间以及地方各级党校相互之间在教学、科研、管理服务等方面的通力合作,充分发挥党校系统的整体优势。”因此党校的信息化建设也要紧紧围绕着这一新时期党校建设的目标和方向。在今后党校信息化建设中要更好地为党校的教学科研服务。通过信息化建设,努力提高办公自动化水平,提高处理事物的效率;通过提高各级党校之间数字资源共建共享程度,促进各级党校之间的优势互补,促进党校的整体水平[1]。
2.信息化安全建设是信息化建设的必然要求
在党校信息化建设过程中,安全保障起了至关重要的作用。只有信息化安全建设到位,才能保证信息建设在实际办公、教学、科研、交流中能够正常有序并可持续地进行。在总结过去党校信息化安全建设的经验教训中,我们可以看到党校信息化安全建设走过了一条曲折的道路。党校对信息化安全建设的需求从原来按文件指示而动转变成为党校发展的自身要求;对信息化安全建设的主要内容从一知半解到现在心中系统有数;对于信息化安全建设的方式从原来的跟风而动转变成按需而置、量力而行;信息化安全的人才队伍从无到有,从弱到强,并逐步适应了党校信息化的需要。这一系列的发展变化都说明了,党校在保障信息化建设的进程中,不断探索和实践出了具有党校特色的信息化安全建设发展之路。
二、目前整体信息安全状况对党校信息安全建设的要求
在信息化建设取得了具大成果的背后,我们也应当清醒地认识到信息化建设中所存在的安全问题并没有消失,也没有得到根本性的解决。应当说,随着党校信息化建设的日益深入,范围不断扩大,安全隐患和问题会更加防不胜防。
1.搜索引擎无孔不入的信息收集方式对党校在公网上的信息安全提出了考验
我们应当清醒地认识到,党校面向互联网公开的网站上的所有信息都将成为目前国内外网页搜索引擎所网罗收集的对象。以百度搜索为例,笔者在百度百科中输入所知道的各个党校名称,就可以看到该党校在公开于互联网网站中关于学校简介所有内容按原文给予转发。其他的搜索引擎网站也是类似于这种情景,或多或少都收集了各个党校公开的信息内容。作为专业的搜索引擎网站的信息收集员在收集党校公开网站上的信息时,不可能只关心其中的一两点内容,而是会把所有内容都详细看一遍。笔者在百度搜索中输入“党校通讯录”,结果在搜索的结果的链接中非常方便地打开了相关信息,如某函授班级的通讯录,上面详细记载着学员的相关信息;如在某省委党校网站中全省党校系统通讯录,可以很详细地看到全省所有地市县党校的有关通讯信息。随着党校所承担社会职能的增多,参与社会政治经济建设的作用不断提高,各搜索引擎网站对党校公开于互联网的信息的收集力度将不断加强。因此,在公网上,哪些内容可以公布,哪些内容不能公布都要进行严格的审查,以避免无意中将一些不宜公开的信息公布于网站中,这既是国家有关法律法规的要求,也是《党校工作条例》中有关信息化建设的要求。
2.黑客技术的发展与党校安全技术的相对滞后,对党校信息资源建设存在严峻的挑战
在防患黑客攻击和病毒木马的传染方面,经过多年的信息化建设,在不断累积经验和教训的探索之中,党校信息安全建设取得了一定的成绩。安全防患意识在不断地加强,安全防护能力在不断提高。但仍然没有改变信息安全工作处于相对被动的局面。从自身的建设来看,在信息安全的有关设备和软件上投入仍然不足。大多数党校预防黑客攻击的设备仅仅依靠防火墙集成的功能,基本上没有装配入侵检测设备、入侵检测防御设备、行为管理器和网页防篡改系统。在这种情况下,对外网抗攻击安全指数偏低,对内网的攻击就是一片真空。然而要配齐一套包括较先进的可三层管理的防火墙和其他的相关设备,从绝对价格来看是一笔不菲的开支。在目前大部分党校信息化建设投入资金有限的情况下其财力上是难以承当的,以至相当多的党校都对于安全设备的配置都采用了能简则简、能省则省的做法。
3.内部信息安全制度的进一步规范化,并使之与党校信息化的发展相适应
党校的信息化安全工作应当按照国家有关信息化建设的法律法规进行,这是最基本的出发点。但国家的有关法律法规是针对社会普遍现象而制定的,不可能考虑到具体行业、具体单位对信息安全工作个性化需求,难免在实际操作中有考虑不周的地方。因此,针对党校信息建设的特点、具体操作过程的需求以及对将来信息建设的发展,参照国家有关的法律法规,适时制定和修改党校系统的信息化安全工作规定是势在必行的。
党校信息化安全条例应当具有可操作性,要能够对具体的工作起到指导性的作用。其中的具体化要求应当从生效之日起,融入到党校的日常工作教学生活之中,具体的执行情况应当列入工作考核或绩效考核之中。用信息化安全条例来规范信息化建设,也要从日常教学工作执行过程发现条例的不足之处并及时完善,让信息化安全条例更好地为党校信息化建设服务,让党校信息化工作能够可持续性地更好发展。
4.加强各级党校之间信息化安全工作的合作
“天下党校是一家”一直是各级党校在各项业务交流与合作中的不成文规定。所以,无论是现在还是将来,各级党校在信息化安全工作中也要发扬“一家人”的无间合作理念。随着各级党校之间的信息资源共享开展,对信息化安全工作中的合作成为必然要求。在将来,云计算在党校信息化建设中的应用,将更促进各级党校有了“一家人”的感觉,通过扩展的网络连接合作,各级党校的网络形成一个社区,这将对未来党校信息化安全工作提出更高的要求。在这种情况下,不是单靠一校之力所能完成信息化安全工作,需要各个党校相互配合,发挥整体人才的优势,各尽其长,来不断地完善和推进党校信息化工作的开展。
上级党校要对下级党校进行指导工作。在日常具体化操作中,应当包括上级党校对下级党校信息化安全工作进行指导。在目前实际情况中,中央党校和省级党校在信息安全工作中具有明显的人才优势,而市级党校和县区级党校在这方面的人才就较为匮乏。在日常工作中通过省级党校信息化安全工作人员有针对性的业务指导工作,能较好地提高市级和县(区)级党校的信息化安全工作水平。
总的来看,各级党校在信息化建设中对安全工作都是相当重视的,在实践中也积累了不少丰富的经验。然而我们也更要清醒地认识到,无论是操作系统,还是应用软件系统都有我们无法预知的安全漏洞;不论是哪种型号的硬件设备,都无法保证能一劳永逸,不会出现任何故障;资金、技术、人才在一段时间内都将是党校信息化安全工作的难题;信息技术日新月异发展的同时,也对党校信息化工作不断提出了新问题、新要求。但我们相信,只要各级党校相互合作,发挥利用党校系统在信息化安全工作上的整体优势,共享信息化安全工作的经验成果,我们是有信心解决信息化建设道路上所遇到的安全问题的。
信息系统安全管理并不是一个很新的概念,很多信息系统业务平台的管理人员对其的认识可能还简单停留在防火墙和杀毒软件上,认为威胁主要来自于互联网和外部的威胁。随着近年来移动互联网技术的革命性发展,智能移动终端的普及,虚拟化云存储技术的大规模应用,安全威胁也从原先的单一方式外部攻击模式转变为APT攻击模式,如果再使用传统的方法和理念来应对新模式的安全威胁显然远远不够,必须要从人防、技防和管理制度上进行相适应的变化。
1管理系统本身存在的安全威胁
每一个信息系统管理平台需要有一个运行环境,都离不开运行程序或代码,读写数据库存储的数据,因此,如果编写的系统代码中有漏洞,承载信息管理平台的运行环境有漏洞,都可能导致信息泄露,如果存放敏感信息的数据不被加密则有可能导致更为严重的后果。
1.1管理系统代码的漏洞
无论是自行开发,还是使用现成代码二次开发的信息系统管理平台都可能在其代码上存在漏洞。比如,joomla是一个开源的CMS系统,其本身也会存在一些漏洞。而某网站是使用joomla系统二次开发的,那么该网站也会有类似的漏洞出现,需要及时使用补丁修补。针对信息管理系统的代码漏洞要在系统上线之前请有资质的专业公司进行代码监测,以防止开发或二次开发中产生的漏洞被攻击者利用导致信息泄露,有条件的情况下对一些重要的系统要根据公安部关于信息安全等级保护制度的相关要求对信息系统分等级进行安全保护和监管。信息安全等级保护制度的主要工作包括:定级、备案、建设整改、等级评测和监督检查。
1.2系统管理权限设置的问题
在信息系统管理中,会为不同的用户设置不同等级的管理权限,权限设置应力求精确,避免对用户设置高于使用需求的权限,对一些权限最大的系统管理员用户(如admin等)应修改其默认的名称。实际工作中有时为了工作和维护方便会存在一些为用户过度设置权限的情况,一个比较常见的案例是在Apache服务器的配置中,如果启用了FTP服务,为了维护方便,一些管理员会为FTP用户账号开设root权限,一旦FTP服务出现漏洞被攻击者加以利用,即可获得对整个服务器系统的控制权,造成非常严重的后果。对此,应使用系统的ACLs功能进行权限控制,而不是对一些易受攻击服务的用户赋予不必要的权限。
1.3数据库敏感信息的泄漏
近年来网络攻击的类型由单纯的瘫痪服务式攻击形式转向了以入侵系统窃取信息为主要目的的形式,一些企业和政府机关的信息系统和电商系统多次发生用户信息疑似泄露的情况,如2013年汉廷、如家等酒店开房记录(包括客户的身份证号等大量隐私信息)因第三方存储漏洞疑似遭泄露。2015年4-5月间全国多地社保系统爆出漏洞,数百万人的敏感信息疑似遭到泄露。这些事件充分表明除了做好对系统漏洞特别是对数据库常用的SQL注入漏洞的修补工作外,还必须对数据库中的敏感信息字段进行加密处理,数据库对用户的password字段使用SHA-1算法进行加密。
2密码使用和管理的安全威胁
信息系统管理的身份认证核心是密码,密码的作用是保证合法用户使用管理系统,对密码的设置要遵循严格的规范,防止被他人破解,对使用密码的人员也要严格遵循使用权限进行分配,对密码使用的环境也要有安全意识。使用密码与多重认证技术相结合进行身份识别会大大提高系统的安全性。
2.1未按规定设置密码
实际使用中由于管理人员经常需要登录信息系统各个模块,对信息系统的内容进行管理和维护,包括对数据库的操作和对系统的修改和升级等,因此,一些维护人员为了使用方便常常使用弱密码甚至是空密码,严重威胁信息系统管理的安全。2015年2月一名初中生利用漏洞入侵天河一号的事件是典型的案例,通过分析,主要问题是天河的一个企业用户没有进行严格的网络隔离,其办公室的无线网络的认证策略设置为不使用密码,而且该企业用户在天河的登录节点使用弱口令,这些隐患都会直接导致信息泄露和系统被攻击者利用,如果是一些存有敏感信息的系统,则会造成严重的后果。作为管理人员实际在使用可采取如下手段加强密码管理:(1)密码的长度必须在6位以上,密码由大、小写字母、数字和特殊符号组成。(2)不要使用连续数字和字母的组合,不要使用相同的数字和字母组合。(3)严禁使用经常出现在暴力破解软件词典中的一些密码(如123456|111|1|password等)。(4)定期更换密码。(5)按密码所对应的权限大小实施分级管理,工作人员只掌握其工作中需要使用的密码。(6)禁止使用电子邮件和即时通讯工具发送密码,密码存根应使用纸质介质由专人保管。(7)人员离岗或调动,以及发生密码泄露要及时修改密码。
2.2在不安全的网络使用非加密方式登录管理系统
远程管理和移动管理已经十分普遍地被应用,但实际上近年来很多信息系统管理平台为节约费用并没有设计专门的安全管理模块,在一些场合远程登录管理系统会有安全隐患。比如当管理人员连接到“钓鱼”wifi,进行远程管理时就可能泄露管理员密码等信息,常见的“钓鱼”wifi站点案例,攻击者先使用类似ChinaNet或CMCC等SSID,不设置密码诱使使用者连接,通过在交换机使用端口镜像技术,让pc或工作站能利用数据报监听过滤软件截取使用者的用户名或密码。还可以使用攻击者设置DNS服务器对特定域名进行DNS劫持。对此,系统设计之初就要考虑使用安全的方式进行远程登录管理,如使用VPN技术等,对使用web方式进行管理的系统要使用SSL方式登录。
2.3未使用多重认证机制
在信息系统管理中使用多重认证机制是一种行之有效的手段,可以解决单重认证被瓦解后整个信息系统管理平台安全机制全线崩溃的局面。比如,如果信息管理系统使用web方式管理,使用ssl方式连接,可是如果密码被别人得知了怎么办呢?这里比较有效的方法是使用短信二次认证技术,将有管理权的人员的手机号码加入认证系统,登录时不但要求输入系统用户名和密码,还要输入本人对应手机相应的短信验证码。以下是一段使用.net技术编写的短信认证程序关键部分的案例:hostIP=″XXX.XXX.XXX.XXX″
port=″XXX″
Account=″XXX″’Trim(row(″uid″))
Password=″XXX″’Trim(row(″pwd″))
result=msgCtrl.connection.connect(hostIP,port,Account,Password)
以上部分为使用运营商提供的短信平台的ip地址、端口号、用户名以及密码连接其短信平台。
mobiles.Add(str_tel)
msg.content=Trim(TextBox2.Text)
msg.needStatus=False
msg.ServiceID=Account
msg.SendNow=True
msg.srcID=.AccountID
msg.SequenceID=.SequenceID。。以上部分为发送短信验证码到指定手机,其中TextBox2.Text为系统数据库生成的验证码,可在一定时间内使用,mobiles为登录管理人员的手机号码。
3移动管理终端的安全威胁
随着移动支付系统的发展,手机短信验证技术已经被广泛采用,在信息系统管理平台中使用此类技术进行身份验证也已不是新鲜事物,但是这并不等于说使用了这种技术就能保证信息管理系统的绝对安全,短信方式的APT攻击和木马APP就对移动管理终端构成现实的威胁。
3.1使用短信方式植入木马
攻击者会使用APT攻击的方式即针对特定用户(信息系统的管理人员)的业务流程和目标系统进行精确攻击以获取被攻击用户的受信系统的信息。攻击过程是首先发送一个欺诈性的短信,短信的号码可能是一些公共服务号(如,10086等),这些短信的共性是带有一个链接,目的是诱使用户连接到一个含有木马的网页并将木马安装到用户手机,一旦信息系统管理人员的手机被植入了木马,木马可以截取手机短信并发给攻击者,这样攻击者就可能获取信息系统管理平台的短信验证码。由于此类攻击方式使用的木马基本都是针对智能手机,除了常规的安装手机杀毒软件查杀木马外,系统管理人员用于接收短信验证码的终端可使用非智能手机,为了加强安全性还可以使用一个专用的手机号码用于接收短信验证码而不是管理人员日常使用的号码。
3.2植入木马的手机APP
这种攻击方法与使用短信植入木马的原理基本类似,只是植入木马的媒介换成了手机APP,将木马预先植入正常手机APP,引诱特定用户安装,一些手机木马还可以监听手机通话,比较著名的木马有“X卧底”和“窃听大盗”等,应对的方法和短信植入木马方式相同。
4结语
关键词:信息安全管理对策
信息安全随着信息技术的发展而产生,并且其重要性日益凸现出来,信息安全的内涵也随着计算机技术的发展而不断变化,进入二十一世纪以来,信息安全的重点放在了保护信息,确保信息在存储,处理,传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。即强调信息的保密性、完整性、可用性、可控性。
一、电力企业信息安全风险分析
随着企业的生产指挥,经营管理等经营活动越来越依赖于计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄漏,不能提供服务等问题,则将对电网的安全运行,电力企业的生产管理以及经济效益等造成不可估量的损失,高技术在带来便利与效率的同时,也带来了新的安全风险和问题。
1、电力公司信息安全的主要风险分析
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力公司信息系统面临的主要风险存在于如下几个方面:
(1)计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。
在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,一台计算机感染病毒,在两三天内可以感染到区域内所有单位的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。
(2)网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等。
网络联通也带来了网络安全问题。企业内部广域网上的用户数量多且难于进行管理,互联网更是连接到国际上的各个地方,什么样的用户都有。内部网,互联网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力公司网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业商业秘密和机密信息,非法使用网络资源等,给企业造成巨大的损失。更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。
如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是电力企业面临的一个非常突出的安全问题。
(3)信息传递的安全不容忽视:随着办公自动化,财务管理系统,用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。同时电力公司和外部的政府,研究院所,以及国外有关公司都有着许多的工作联系,日常许多信息,数据都需要通过互联网来传输。
网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。
(4)用户身份认证和信息系统的访问控制急需加强:企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。
一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和安全了。
如何为各应用系统提供统一的用户管理和身份认证服务,是我们开发建设应用系统时必须考虑的一个共性的安全问题。
(5)实时控制系统和数据网络的安全至关重要:电网的调度指挥,自动控制,微机保护等领域的计算机应用在电力企业中起步早,应用水平高,不但实现了对电网运行状况的实时监视,还实现了对电网一次设备的遥控,遥调以及保护设备的远方管理。随着数据网的建设和应用,这些电网监视和控制方面的系统逐步从采用专线通道传输数据转移到通过数据网络来传送数据和下发控制指控令。由于这些计算机系统可以直接管理和操作控制电网一次设备,系统的安全可靠,数据网的安全可靠,信息指令传输的实时性等直接关系着电网的安全,其安全等级要求高于一般的广域网系统。
同时,这些电网控制和监视系统中的许多信息又是生产指挥,管理决策必不可少的,需要通过和生产管理局域网互联,将数据传送生产管理信息系统中,供各级领导和各专业管理人员察看,使用。数据网和生产管理局域网的互联带来了不同安全等级的网络互连的安全问题。
(6)电子商务的安全逐步提上议事日程:随着计算机信息系统在电力市场,用电营销,财务管理等业务中的深入应用,电子商务在电力企业的应用开始起步。例如:电力市场系统中发电厂和电网公司之间的报价,电力交易,电费结算等都将通过计算机信息系统来实现和完成,这可以视为电子商务中常提到的B2B模式。用电营销系统中的电费计费结算,用户买电交费,银电联网代收电费等,是典型的电力公司和用户之间的电子交易,可以视为电子商务中的B2C模式;以后还有物资采购等方面的电子商务系统。
随着电子商务在电力企业中的应用逐步推广和深入,如何保障电子交易的安全,可靠,即电子商务安全问题也会越来越突出。
二、解决信息安全问题的基本原则
统筹规划,分步实施。要建立完整的信息安全防护体系,绝不能一哄而上,必须分清需求的轻重缓急,根据信息化建设的发展,结合信息系统建设和应用的步伐,统一规划,分步建设,逐步投资。
转贴于 1、做好安全风险的评估。进行安全系统的建设,首先必须做好安全状况评估分析,评估应聘请专业信息安全咨询公司,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。
信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。
培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。
2、采用信息安全新技术,建立信息安全防护体系
企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施
3、计算机防病毒系统
计算机防病毒系统是发展时间最长的信息安全技术,从硬件防病毒卡,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。
在目前的网络环境下,能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件,是电网公司这样的大型企业的首选。个人版本的杀毒软件适合家庭,小规模用户。
4、网络安全防护系统
信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。
对于已经投入使用的信息系统,可以通过采用增加安全访问网关的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
5、开展信息安全专题研究,为将来的应用做好准备
电网实时监视与控制系统的安全问题要求更高,技术难度更大,应开展专题研究。
国家有关部门和电力企业对电网实时监视与控制系统的安全问题高度重视,专门发文要求确保电网二次系统的计算机和网络系统的安全,要实现调度控制系统,数据网与其他生产管理系统和网络的有效隔离,甚至是物理隔离。
6、电子商务安全需要深入研究和逐步应用
电子商务的安全牵涉很多方面,包括严格,安全的身份的认证技术,对涉及商业机密的信息实现加密传输,采取数字签名技术保证合同和交易的完整性及不可否认性等。这些方面又与信息安全基础技术平台密切相关,因此安全基础平台的建设对于电子商务的安全应用是至关重要的。目前已经有电子商务的应用系统投入在线使用,我们必须加快对电子商务的安全的研究和应用,否则将来会出现因电子在线交易不安全,不可靠的而导致电子商务系统无人敢用的局面。
7、依据法规,遵循标准,提高安全管理水平
信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息安全"七分管理,三分技术"的说法不是很精确,但管理的作用可见一斑。
三、解决信息安全问题的思路与对策
电力企业的信息安全管理相对来说还是一个较新的话题,国内其他电力企业也在积极研究和探讨,以下是一些粗浅的看法。
1、依据国家法律,法规,建立企业信息安全管理制度
国家在信息安全方面了一系列的法律法规和技术标准,对信息网络安全进行了明确的规定,并有专门的部门负责信息安全的管理和执法。企业首先必须遵守国家的这些法律法规和技术标准,企业也必须依据这些法律法规,来建立自己的管理标准,技术体系,指导信息安全工作。学习信息安全管理国际标准,提升企业信息安全管理水平
国际上的信息技术发展和应用比我们先进,在信息安全领域的研究起步比我们更早,取得了很多的成果和经验,我们可以充分利用国际标准来指导我们的工作,提高水平,少走弯路。
信息安全是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息安全工作的组织体系和常设机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,长能保证信息安全工作长期的,有效的开展,才能取得好的成绩。
2、开展全员信息安全教育和培训活动
安全意识和相关技能的教育是企业安全管理中重要的内容,信息安全不仅仅是信息部门的事,它牵涉到企业所有的员工,为了保证安全的成功和有效,应当对企业各级管理人员,用户,技术人员进行安全培训,减少人为差错,失误造成的安全风险。
开展安全教育和培训还应该注意安全知识的层次性,主管信息安全工作的负责人或各级管理人员,重点是了解,掌握企业信息安全的整体策略及目标,信息安全体系的构成,安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等;用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
3、充分利用企业网络条件,提供全面,及时和快捷的信息安全服务
山东省电力公司广域网联通了系统内的各个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为省公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息与技术支持平台,安全公告,安全法规和技术标准,提供安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。
4、在发展中求安全
没有百分之百安全的技术和防护系统黑客技术,计算机病毒等信息安全攻击技术在不断发展的,人们对它们的认识,掌握也不是完全的,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。
不是所有的信息安全问题可以一次解决
人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的,不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备,也仅仅是满足某一些方面的安全需求,不是企业有某一方面的信息安全需求,市场上就有对应的成熟产品,因此不是所有的安全问题都可以找到有效的解决方案。
【 关键词 】 中小银行;信息安全;管理问题
Small and Medium-sized Banks on Information Security Management Problem Discussed in this Paper
Shan Yu
(Hefei University of Technology,School of Computer and Information AnhuiHefen 230009; HuiShang Bank AnhuiHefen 230001)
【 Abstract 】 At present, China''s banking on the establishment of information system work in unceasingly promoted, but in the process has some problems, and that is lagging, this is a lot of small and medium-sized Banks are existing problems, a lot about information system in risk is more and more, and constantly obvious, on the safety and reliable information caused a threat. Based on this, this paper mainly for small and medium-sized Banks information security management problem was discussed.
【 Keywords 】 small and medium-sized Banks; Information security; Management problems
0 引言
中小银行在新时代的发展速度非常的快,已经突破了地域的限制,出现了异地之间在业务方面的联系,这使中小银行更具有了活力,可是同时也带来了一定的风险。目前,中小银行与一些规模很大的商业银行之间还存在着很大的差距,主要体现在缺乏对信息风险的有效抵御,对信息风险的处理不足等,这些风险给地区金融体系的稳健带来了很大的不利影响,所以,很多中小银行当前的关键工作就是强化对信息风险的抵御能力。
1 信息安全隐患的具体体现
1.1 信息安全管理内容的不完整
很多的中小银行由于实力还不是很强,利用信息技术的时间滞后且不全面,缺乏完善的信息安全体系以及有力的信息安全管理手段,缺乏对风险的分析以及相关的预防措施,职员信息安全理念的缺失,和国际对信息安全的要求,具体措施以及计划等不管是在内容上还是在质量上都有很大的区别,安全措施的制定不完整,特别是业务的持续管理等水平还很低,且没有引起足够的关注。
1.2 外包管理的力度不够,存在的安全风险不易预防
首先,中小银行对科技的支持力度不够,先进技术缺乏,缺乏软件开发人员以及有关的组织机构。很多中小银行在技术的利用方面都是和相关的软件开发公司进行协作来获得所需的信息技术,把一些关键的业务系统以及防火墙等方面的工作都交给专业的公司。以信息安全的立场为出发点,把这些软件的开发工作交由相关的公司负责,会使很多的重要信息例如源代码以及有关的配置等技术不受自己掌握,另外,专业的软硬件公司的工作人员一般都不固定,要是商业银行对这些公司的跟进不到位并缺乏有力的制约的话,会给外包系统带来非常不利的影响,给系统的运作到来很大的安全隐患,阻碍系统的有效运作。
其次,要是购买别的公司的软件技术的话,由于都是密封的装置,没有源代码的帮助,因此不利于商业银行在管理方面自主性的发挥,无法实施一定的调整以及优化以更好的满足自身的实际,对一些不足等不能及时发现和处理,对系统的维护缺乏主动性。
最后,针对外包的一些规定以及制约的不完整性,主要表现在对有关的目标没有进行清晰的规定,对项目缺乏严格的审核,导致一切使用外包的现象的出现,以及对外包的管理没有做到具体问题具体分析。
1.3 要积极进行运作监督体系以及预警监测系统的建立与完善
一些中小银行缺乏全面的包括硬件设备以及业务体系的信息化的预警监测系统,缺乏对机房以及主机等设施的自动化跟踪监督,而主要依靠的是人的力量,对风险监督的信息化和安全性不够,还缺乏及时的监测,此外,中小银行还要高度关注对信息风险的预防以及相关的预警报告体制的建设和改进,以便于出现风险时,能够做到信息的畅通,有利于有关的人员采取措施进行及时的处理,使风险的处理措施能够尽量科学合理。
2 信息安全管理的关键内容
2.1 采取信息安全的分层保护
1.1信息系统的概念。信息系统是指一个由人、计算机及其他外围设备等组成的能进行信息的收集、存储、加工、维护和使用的系统。这种系统是利用信息技术和数据通信技术的计算机互联网管理系统。
1.2信息系统安全问题。信息系统安全问题是整个信息系统在设计、制造等过程中,由于系统自身防御系统不够先进和网络上外来入侵的一系列影响系统安全运行的问题,这类安全问题在硬件环境、操作系统等多个层面上是十分常见的,它具有自己的特性,主要包括时效性、隐蔽性、相对性、复杂性、动态性、多样性。每一个问题特性都给信息系统造成了一定的影响,给信息系统的安全带来了挑战。
2、影响图书馆信息系统安全的因素
2.1计算机病毒。计算机病毒对网络安全的破坏力度很大,它能够迅速传播和生长,严重地破坏了计算机网络和图书馆信息的安全,有时这种破坏是毁灭性的。它自身带来的破坏性不可小觑,它引起的多种疫情的破坏更是无法估量,计算机病毒会造成服务性能的下降,数据库的数据丢失甚至删除文件,同时对计算机硬件的影响颇大,使图书馆网络系统出现瘫痪现象,各种信息服务不能顺利开展,造成巨大的损失。计算机病毒对信息领域的安全造成了严重的不良影响。
2.2网络黑客的攻击。网络信息的发展让黑客的出现成为必然,黑客是计算机网络无法解开的谜,现在我们所说的黑客是指破坏计算机网络信息系统安全让系统无法正常访问的人员[1]。网络有很强的目的性,破坏性比计算机病毒更大。黑客对图书馆信息系统的破坏主要窃取数据中的数据,恶意破坏等。它一般是通过获取口令、制造木马程序、对电子邮件进行攻击等,导致程序遭到攻击,网络失去控制权。因此,网络黑客的攻击对图书馆信息安全带来极大的危害性。
2.3人为的不合法操作。人为的不合法操作也会影响信息系统的安全,它的影响是最大、最难确定的。这种不合法的操作和工作人员的专业素质或操作不够熟练等有着莫大的关系,很容易在工作过程中失误,从而导致系统出故障。因此,图书馆负责网络管理和技术支持的工作人员在工过程中要高度重视系统操作。
2.4信息系统环境的影响。计算机的硬件、软件和机房环境等因素都是系统环境的组成部分。图书馆信息系统的硬件是组成网络系统的物质基础,它包括各类服务器、工作站、存储设备等,这些对网络正常运行有着一定的影响[2]。如果计算机的硬件要求不达标,就有可能导致网络系统崩溃,系统安全就面临着挑战,除此之外,操作系统的不合法也为信息系统埋下了安全隐患。同时,我们也不能忽视机房环境的影响,它会破坏信息系统的安全。总而言之,信息系统环境能够对信息系统安全起到保障作用。
3、图书馆信息系统安全的基本策略
随着社会的进步和社会经济的发展,促进了计算机网络技术和信息技术的不断发展且得到了广泛的使用,给人们带来了很大的便利同时也为不法分子创造了更多的犯罪机会,为谋取非法利益想尽一切办法攻击信息系统,使信息系统的安全得不到保障。因此,如何采取安全技术及策略解决信息系统的安全问题是信息系统得以生存和发展的关键。
计算机信息系统的安全问题要得到解决,一方面必须加强对安全问题的认识再加以重视,目前信息系统的运用已经极为广泛,社会生活和国民经济的各个领域都涉及到信息系统,因此,信息系统的安全和整个国家的安全有着密切的关系,另一方面要加强信息安全和保密管理机制,采取有效措施进行监督,积极研究安全技术,尽最大的努力开发核心技术,建立健全安全运行的保障机制,为计算机网络和信息系统提供强而有力的保障。在此基础上,也要强化法制观念,提高安全意识,制定相关的管理制度,把人为因素造成的损失降到最低。由于图书信息系统的安全很难得到保护,这就要求根据国家制定的严格的法律法规,制定科学合理的管理制度,建立健全监督机制,如此才能保证系统安全、正常地运行。下面就根据相关的安全技术对解决图书信息系统的安全问题进行具体的分析,从而提出相关的策略。
3.1防范计算机病毒的技术。计算机病毒具有多样性、时效性,能够广泛传播到网络和各类系统中,信息系统如果传染到病毒,就会导致计算机甚至整个系统崩溃,后果难以想象[3]。因此,防范计算机病毒的技术在很大程度上保护了信息系统的安全。这种技术的运用对防范计算机病毒有着重要的作用,能够有效阻止病毒的入侵,预防未知病毒及对中毒后的计算机进行及时的挽救。
3.2防火墙技术的运用。目前计算机网络安全最为广泛的安全防范技术就是防火墙技术,它就相当于网络信息系统的的首道防线,能够实现对风险区域的隔离,形成外部网络与内部网络的一道防护屏障,有效阻止外部的非法访问和保护内部信息的安全。同样,这种技术也在很大程度上保障了中学图书信息系统的安全。
3.3控制访问技术。利用控制访问技术,可以让信息系统通过身份识别技术对访问用户进行身份的识别,有效避免了非法用户的进入,设置不同用户的访问权限,使访问用户访问合法的网站。这种安全技术防止了权限的滥用,为信息系统的安全提供了一定的保护。这种技术在保障中学图书信息系统安全上也起到了一定的作用,因此这种安全技术值得运用于保护中学图书信息系统的安全。
3.4数据备份。对数据备份是保护信息系统安全的最基本的技术,图书信息管理系统的数据冗杂而且集中,数据会发生实时的变化和更新,数据丢失的可能性较大[4]。因此,图书信息系统的数据库中的数据应该要进行备份,以便在信息系统中数据库的数据丢失后能够得到及时的找回,对于备份后的数据要进行适时的恢复,减小不必要的损失,使数据库中的数据完整和可用。
[关键词]信息不对称;食品安全;流通环节[中图分类号]F252 [文献标识码]A [文章编号]1005-6432(2013)30-0023-02
1 流通环节中食品安全信息不对称的表现与原因分析
1.1 分段监管的食品安全管理体制中存在信息不对称的现象
2010年2月以来我国实行在食品安全委员会统筹指导下,农业、卫生、工商、质检、食品药品监管等部门分段负责的食品安全监管体制。设立食品安全委员会的目的是为了协调各相关职能部门密切配合统一行动,以达到良好的监管效果。但是实践证明这种监管体制的效果并不理想,并未从根本上解决实际监管中出现的各部门的各自为政以及职能界限不清的体制弊病。原因在于食品安全委员会只是一个议事协调机构,对各部门缺乏统一指挥的权力,想让各部门实现监管信息共享进而实现监管行动无缝衔接就显得不太现实;各部门之间无隶属关系,在监管实践中仍然是各自为政,均不愿主动与其他部门实现监管信息的共享,其结果是各部门在监管中对食品安全违法行为的处理以“一罚了之”的简单处理方式为主,很少将食品安全违法事件告知其他部门进而统一行动,以达到良好的监管效果。2013年国务院机构改革方案中将各监管部门的职能得到了一定的整合,监管体制从多段管理到两段管理,近年来的实践已经有力的说明分段管理的模式很难达到良好的监管效果,这次的机构改革未必能起到预期的效果。
1.2 食品安全方面的法律法规和基本常识普及率不高,使得食品买卖双方之间存在信息不对称的现象
首先我国食品安全方面的法律法规在人民群众中的普及率并不高,他们大多法律意识淡薄,偏远农村的情况更为严重。城市中的农贸市场和农村的集贸市场中一定程度地存在着销售不合格不卫生食品的现象,他们大多只顾赚取利润,很少或从未想过销售劣质食品的危害以及应负的法律责任。其次我国食品安全方面的法律法规建设不够完善,还存在一些管理漏洞,一些靠批发或零售低劣食品牟取暴利并且对相关法律法规非常熟悉的企业或个人,他们故意在法律的盲区内活动,而依据现实的法律法规又很难将他们予以惩处;这样的事例在食品流通环节中并不罕见。
1.3 实际监管环节中存在信息不对称
依照法律法规的规定工商管理部门有打击流通领域的走私贩私行为和经济违法违章行为的职责。但在现实中由于工商部门执法人员力量的不足,所以很难充分掌握所管辖区域内的流通领域的遵纪守法状况;城市里人员众多且流动性大,由于执法人员数量极其有限,掌握流通领域全部的食品安全信息实现更好的流通领域的食品监管对于工商部门来说显得力不从心。农村地域广大,食品经营户较分散,基层监管力量明显不足[1],仅有的几名执法人员走访一遍所有村子就需要一两月的时间,对流通领域的食品监管难度很大,掌握的相关监管信息也是明显不足,很多的批发商就是利用农村的隐蔽性特点从事劣质食品的仓储工作。
1.4 市场信用体系建设滞后,加剧了各市场主体之间信息不对称的局面
目前工商部门只是对各市场主体进行简单的登记工作,这对不法商贩的监管力度极其有限。在实践中我们常常发现这样的情况:当工商部门对某一不法商贩查处后,由于社会对该商家的违法行为了解有限,该商家后续的经营几乎不受太大影响。这暴露出我们当前的管理体制的不足:市场信用体系建设滞后,对市场主体缺乏足够的约束。
1.5 执法信息不公开,使得人民群众与监管部门之间存在信息不对称
近年来随着市场经济的深入发展,我国政府一直在努力转变政府职能,深化行政执行方式的改革。政府信息公开化是深化行政执行方式改革的重要内容,虽然政府信息公开化的工作已经开展了多年,但从工商部门执法信息的公开现状来说,这方面的工作做得还远远不够,相当一部分的信息公开只是流于形式。为了实现更好的食品市场监管,从理论上来说工商部门应该将不涉及保密规定的具体执法信息公之于众,这样一方面可以接受公众的监督,另一方面也对不法商贩起到一定的震慑作用。
2 加强流通环节食品监管的对策建议
2.1 改革政府各职能部门分段监管的局面,建立信息通畅的管理体制
现代高效的行政组织系统必然是一个信息畅通、指挥统一、权责明确的有机系统,各部门不仅在信息上做到上下贯通左右协调,而且能够为了共同的目标统一行动。欧盟的统一监管和美国的分类监管启示我们,同一种类产品的全部生产流通环节受到同一部门的监督,这种监管方式在实际的运用中更加有效,并能节省监管成本[2]。鉴于我国食品安全分段管理体制的严重弊病,我们可以借鉴这种按产品种类进行监管的体制,从理论上来说,这种体制的权责划分明确,可有效避免现行体制中的部门信息沟通不畅的弊病,从而有利于流通环节的监管。
2.2 加强食品安全常识及法律法规的教育,改善消费者处于食品安全信息劣势的局面
鉴于我国食品安全法律法规及常识的普及率较低的现状,开展相关方面的教育工作显得尤为必要。政府相关部门以及消费者协会要切实负起责任,通过举办多种形式贴近人民群众的活动向公众宣传基本的食品安全常识及相关法律,提高公众辨别食品优劣的能力和法律水平。另外还要加强对市场流通主体的教育工作,增强他们的法制观念与守法意识,努力使他们自觉规范自身行为。
2.3 建立食品安全流通环节社会监管信息网络系统,实现监管网络的社会化
在当前深化食品安全监管体制改革的大背景下,相关监管部门应该更新管理观念创新管理方式,向社会让渡部分管理职能,建立全民参与的食品安全监管电子网络系统,让人民群众参与到流通环节食品安全的监管中来。这样一方面可以弥补工商等职能部门因监管力量不足而导致的所掌握的监管信息不足的缺陷;另一方面也在客观上充实了监管力量,对流通环节的食品安全违法行为也起到一定的震慑作用。可以说社会监管网络的建立对流通领域的食品安全监管工作将起到极大的促进作用。不法商贩生活在人民群众当中,人民群众在发现食品安全违法行为的时候可以积极通过监管网络向相关监管部门举报,这对监管部门实现良好地监管效果来说将起到事半功倍的作用;为保证社会监管网络系统的持续健康发展,必须建立健全相关配套机制,如对举报人的保密和奖励制度,采用这些措施将极大地激励人们参与到食品安全流通环节的监管中来。
2.4 建立食品安全流通环节信用体系,从深层次上解决信息不对称的局面
食品安全监管只是治本,开发建立流通领域食品安全社会信用体系是治本之策。在借鉴银行业系统建立的个人信用档案系统的基础上,工商部门应在对市场主体进行登记的基础上建立他们的市场行为的信用记录系统,并向社会公开相关信息方便公众查询,这有利于缓解目前市场经济活动中各市场主体占有信息不对称的局面。相比目前的事后监管模式,信用体系具有多方面的优势。一方面是诚信记录的公开化使食品流通环节的各参与者占有更多的食品安全方面的信息;另一方面这一措施将极大地促进整个市场诚信体系的建设,从而在更深层次上促进信息不对称的问题的解决。
2.5 加大政府信息公开力度,建立流通环节食品安全监管长效机制
没有监管的权力必然导致腐败,这是一条已被证明了无数次的真理。加强社会各界对食品安全相关监管部门的监督,将对相关职能部门认真履行职责起到巨大的促进作用,而取得良好监督效果的关键就是相关执法信息的公开。信息公开可以使公众了解更多食品流通环节执法的真实情况,这一方面可以使相关职能部门主动规范自身监督行为,有效减少监管过程中营私舞弊和走过场等不良现象;另一方面还有利于督促监管部门将监管工作常态化,改变现在靠开展专项行动突击检查的非良性监管模式,监管常态化有利于监管部门缓解对市场主体行为的相关信息了解有限的局面,极大的提高监管效果。
参考文献:
【关键词】计算机 信息安全 技术研究 防护研究
计算机的信息安全问题关乎用户的很多权益,因而计算机工作人员应该对这个问题高度重视。技术人员应该大力关注对计算机信息安全技术的创新,及时为广大用户提供有效的帮助。只有这样,计算机用户才能在安心地在网上进行工作学习以及购物等。现在的网络黑客也比较嚣张,他们严重地破坏了我国的计算机网络工作环境。因此,国家也应该制定这方面的法律,让不法分子不能得逞。只要大家共同努力,就一定能够还网络一个安全的环境,让用户的信息安全得到充分的保障。
1 计算机信息安全技术
1.1 理解计算机信息安全
简单来讲,计算机信息安全主要是指人们在使用计算机时会对大量的信息进行搜集和整理,在处理信息的这个过程中,我们需要对其进行信息安全加密保护。
目前,互联网发展非常迅速,很多人都在使用计算机。并且因为互联网的存在,这些用户的信息都被捆绑在了一起。在庞大的互联网信息环境下,客观来讲,在使用计算机时,人们的信息存在很大的安全隐患。用户的信息面临着被盗的危险,相关互联网工作人员应该定时对其进行安全防护。对于如何保护好大家的计算机信息,相关人员应该不断创新自己的网络技术以便于提供及时的帮助。共同维护计算机用户信息的安全是每一个人的任,只有这样我们才能营造一个和谐的互联网环境。
1.2 关于计算机信息安全以及防护的技术
互联网时代,大家都离不开计算机。对计算机用户的安全问题,需要使用相关的技术以及防护措施进行解决。一般情况下,计算机信息安全防护技术它本身不是单一的,这个里面包含着一系列的防护措施。比如在计算机用户的电脑里都会安装一个防火墙,这个也是在进行信息保护过程中经常用的最普遍的技术。当有病毒来侵袭你的电脑时,计算机中的防火墙就会帮助用户进行病毒处理和阻拦等。除此以外,还有一种就是可以利用专门的杀毒软件对用户信息进行保护。当有病毒出现,会出现相应的提醒以及防护措施。目前,各种信息安全防护技术也在不断地发展和优化中。
2 关于计算机信息安全防护措施
2.1 找出问题的来源
计算机用户的信息被盗,必须得到技术人员的重视并帮助解决。而最为关键的,就是要找到出现信息安全隐患的根本所在。计算机技术人员应该努力找到病毒的来源,继而及时给出解决信息安全问题的办法。计算机中存在的病毒一般都是潜藏在用户浏览的网站中,或者各种链接中。如果用户的信息被盗,很有可能会导致文件的丢失,甚至导致银行账户财产的损失。因而,技术人员找到病毒的源头,帮助用户从根本上清除病毒,才是长久之策。除了从杀毒软件角度进行消灭病毒以外,用户还需要建立一个坚固的防护网。这样可以避免一些病毒的侵入,也算是一种从源头遏制问题的发生。
2.2 提高维护信息安全技术
不可否认,现在的计算机网络技术更新的非常及时。同时,黑客的侵害计算机用户的技术也越来越高超。因此,计算机技术部门必须要加快对信息安全技术的研究,才能使得技术足以解决计算机安全问题。然而,从我国计算机技术水平来看,很多的技术还是处于很低级的状态,根本不能有效地对抗计算机中存在的病毒。技术部门不仅要时刻关注安全防护技术的更新,还要加强对计算机安全防护系统的设置。从企业角度来讲,应该招聘优秀的计算机工作人员,经常性地对计算机进行维修。另外,企业还可以建立一个专门维护计算机信息安全的团队。企业通过对计算机员工进行专业化的管理,能够大大地提高计算机信息安全维护技术。
2.3 国家和政府给予支持
由于信息技术现代化的步伐从未停歇,因而攻研计算机安全防护技术也要一直坚持下去。在这个攻研的过程中,肯定是需要很大资金的投入。此时,国家以及政府应该给予一定的资金援助。有了资金基础,能够有效地帮助技术人员加大技术攻克的力度。除此以外,国家还可以制定一些关于维护计算机信息安全的制度或者法律。通过法律和制度的保障,对那些网络非法分子进行严厉的惩罚。
另外,当计算机用户的权益受到了侵害,也可以通过法律途径来维护自己的权益。如果企业由于信息受到侵害导致资金损失的话,也是可以通过法律及时弥补损失。由此,我国的信息化网络环境可以得到有效地净化,从而有效地保障计算机用户的权益。
3 计算机网络信息安全技术介绍
3.1 身份认证技术
简单来讲,身份认证技术就是需要用户的身份证明。通过身份认证方式,计算机用户的信息安全可以得到一定的保障。通常的身份认证途径有两种,一是密码认证,二是生物特征认证。密码认证就是每个用户都有一个密码,输入密码正确即可表示认证成功。但是,这种认证方式安全信度低,密码也很容易被盗。生物特征认证就是通过每个人的生理和行为的特点进行鉴别。一般包括指纹、声音、人脸等的鉴定,这种鉴定方式有着很大的发展空间。
3.2 杀毒软件
计算机一旦中了病毒,用户的信息会完全被盗,后果是不堪设想的。因此,用户在计算机中安装相关的杀毒软件是非常有必要的。不同的计算机有不同的系统,据此要安装相关的杀毒软件。杀毒软件主要是不断地对计算机信息安全进行维护,观察是否有可疑病毒出现。同时,杀毒软件也会针对病毒进行及时处理。
4 结束语
充分认识计算机信息安全的定义,同时在了解了相关的信息安全技术之后,计算机用户应该会对信息安全有更为深刻的理解。计算机信息安全维护人员也要加大对技术的攻克力度,不断更新杀毒件。当然了,在进行这些技术的攻克时,还需要其他人的帮助。如企业可以提高资金的援助,政府加强信息安全的宣传,国家给予制度保证等。相信,在多方人员的共同努力下,我们一定能够营造一个和谐而安全的网络环境。同时,计算机用户的信息也能够得到有效地保护,从而充分享受互联网的便利。
参考文献
[1]王颖波.计算机信息安全技术及防护研究[J].计算机光盘软件与应用,2013(22):171-172.
[2]赵立.关于计算机信息安全技术及防护的研究[J].民营科技,2016(11).
关键词:信息化;内涵;信息资源;性质;信息安全
1 信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点: 一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。 三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。 信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
2 我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
2.1信息与网络安全的防护能力较弱
我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2.2对引进的国外设备和软件缺乏有效管理和技术改造
由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
2.3我国基础信息产业薄弱
核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
2.4信息犯罪在我国有快速发展趋势
除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
2.5在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。 造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。 除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
3 相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
【关键词】企业;信息化建设;信息安全
伴随着我国社会经济的发展,各个企业间的竞争也是非常的激烈。各企业发展的过程中重要工作就是加强信息化建设,在企业信息化建设发展的过程当中,又显现出来了信息安全的问题,加上有的不法分子会采取各种手段盗取企业的内部信息以便达到自己的经济利益。所以说研究企业信息化当中的信息安全问题是具有非常重要意义。
一、企业信息化建设过程中信息安全的问题
一般情况下能造成企业内部信息安全问题的原因分为外部原因和内部原因,可是不管是内部原因还是外部原因都会对企业的信息系统的安全带来隐患。
1.1企业内部因素
第一个方面是企业的信息安全意识不强,虽然是现在有很多的企业加快企业内部信息化建设的进程,但是有些企业只是在表面上看到信息化建设所带来的优势,而信息化建设当中的安全问题并没能够引起企业的足够重视,所以在信息化建设的过程中比较容易出现安全隐患。第二个方面就是我国的安全软件还是比较落后,虽然国内计算机软件技术在快速的反战,可是与一些发达的国家相比还是存在一定距离,第三个方面在管理操作方面存在问题,现在有很多的企业对于自己企业内部的信息安全问题还存在不够重视的问题,在企业信息系统的管理上不够谨慎,这就会被不法分子和黑客进入的机会,造成了企业的主要信息被盗取。第四个方面缺少优秀的专业管理团队,企业信息的系统安全是前期的制定和日常系统安全的维护以及日后都是由专业的人员来进行操作,所以相关的技术人员都必须具有很好的素养和贤能的技术,第五个方面法律法规的不全面。现在我国与企业信息安全问题的法律法规不全面这就造成企业内部信息被盗取不能得到相关的赔偿。
1.2企业外部因素
现在企业信息安全系统的威胁主要来自于外部的因素,随着我国经济社会的飞速变化,在竞争激烈情况下信息是非常重要的,大昂仁会有很多的不法分子会利用各种手段来盗取企业的信息为自身得到利益。还有些企业在于对手的竞争过程中使用不正当的手段来击垮对手保证自己企业的利益。
二、企业信息化建设过程中的信息安全与对策
在我国社会经济快速发展的今天,企业信息安全对于一个企业的发展是非常具有意义的,企业的信息被盗取和泄露会给企业带来很大的损失,所以说企业对信息安全问题必须要有足够的重视。有的企业已经做好了信息安全的必要工作就应该更加注意安全软件并不是时时刻刻都能做好安全的保护,做好安全保护还要加强管理。
2.1确保正确的安全意识
一个企业在信息化发展的过程中,应该认识到企业信息的安全问题和企业发展相互的关联。如果企业的重要内部信息被盗取或者泄露那么对于企业所造成的打击是非常大的,而与此同时也是给了对手创造了很好机会。所以确保正确的安全信息意识对于一个企业来说是非常重要的,也是为了以后给企业的各项工作打下了很好基础。
2.2选择安全性能比较高的软件
其实任何软件都不是牢不可破的,可是对于安全性能比较高的软件,如果说破解的话难度还是相当高的,所以企业选择安全软件的时候要选择安全性能高的,不要为了节省一点企业的支出而选择使用安全性能差的保护软件,一旦出现问题所造成的企业损失价值会大于软件的价格。
2.3加强企业网路管理
很大一部分的企业信息被盗取都是不法分子通过网络进行的,所以说必须要对企业的网络管理进行加强,这样才能确保企业信息系统在安全的状态的情况下运行。对于信息安全的种类和等级的高低来进行制定合理的方案,并且提前做出如果发生特殊情况下怎么进行处理的方案。如果说企业的信息安全发生危机的时候,企业应该快速的组建处理小组,针对信息安全危机的步骤处理并且做好危机处理的工作,还要避免出现由于处理不当而产生的各种情况。
三、结语
以上所述是企业信息化建设过程中所必需要面对的问题,一个企业的信息安全建设应该先从管理开始,必须做到以防范为主要,必需制定有效的安全防护把安全的风险降至最低。在现在经济发展的快速时代,企业信息的安全问题决定着企业的安全运营。
参考文献
[1]原黎.探析企业信息安全问题的成因及对策[J].现代工业经济和信息化.2011(08)
[2]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技术与软件工程.2013(14)
[3]赵晓华,陈秀芹,周文艳,夏莉莉,李建忠.网络环境下河北中小企业信息安全问题研究[J].科技资讯.2013(31)
[4]叶瑞强.企业网络信息安全存在的问题及对策[J].信息与电脑(理论版).2012(03)