導(dǎo)語:在安全保障管理策略的撰寫旅程中���,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑��,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感���,引領(lǐng)您探索更多的創(chuàng)作可能。
第1篇
隨著云計(jì)算��、大數(shù)據(jù)等新興技術(shù)的不斷發(fā)展��,企業(yè)信息化��、智能化程度�����、網(wǎng)絡(luò)化�����、數(shù)字化程度越來越高,人類社會(huì)進(jìn)入到以大數(shù)據(jù)為主要特征的知識(shí)文明時(shí)代���。大數(shù)據(jù)是企業(yè)的重要財(cái)富���,正在成為企業(yè)一種重要的生產(chǎn)資料,成為企業(yè)創(chuàng)新��、競(jìng)爭(zhēng)���、業(yè)務(wù)提升的前沿�����。大數(shù)據(jù)正在成為企業(yè)未來業(yè)務(wù)發(fā)展的重要戰(zhàn)略方向��,大數(shù)據(jù)將引領(lǐng)企業(yè)實(shí)現(xiàn)業(yè)務(wù)跨越式發(fā)展;同時(shí)�����,由此帶來的信息安全風(fēng)險(xiǎn)挑戰(zhàn)前所未有��,遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)意義上信息安全保障的內(nèi)涵��,對(duì)于眾多大數(shù)據(jù)背景下涉及的信息安全問題���,很難通過一套完整的安全產(chǎn)品和服務(wù)從根本上解決安全隱患��。
自2008年國(guó)際綜合性期刊《Nature》發(fā)表有關(guān)大數(shù)據(jù)(Big Data)的?��?詠恚嫦蚋鲬?yīng)用領(lǐng)域的大數(shù)據(jù)分析更成為各行業(yè)及信息技術(shù)方向關(guān)注的焦點(diǎn)��。大數(shù)據(jù)的固有特征使得傳統(tǒng)安全機(jī)制和方法顯示出不足��。本文系統(tǒng)分析了大數(shù)據(jù)時(shí)代背景下的企業(yè)信息系統(tǒng)存在的主要信息安全脆弱性���、信息安全威脅以及信息安全風(fēng)險(xiǎn)問題,并有針對(duì)性地提出相應(yīng)的信息安全保障策略��,為大數(shù)據(jù)背景下的企業(yè)信息安全保障提供一定指導(dǎo)的作用��。
1 大數(shù)據(jù)基本內(nèi)涵
大數(shù)據(jù)(Big Data)��,什么是大數(shù)據(jù)��,目前還沒有形成統(tǒng)一的共識(shí)�����。網(wǎng)絡(luò)企業(yè)普遍將大數(shù)據(jù)定義為數(shù)據(jù)量與數(shù)據(jù)類型復(fù)雜到在合理時(shí)間內(nèi)無法通過當(dāng)前的主流數(shù)據(jù)庫管理軟件生成、獲取�����、傳輸�����、存儲(chǔ)���、處理���,管理、分析挖掘�����、應(yīng)用決策以及銷毀等的大型數(shù)據(jù)集���。大數(shù)據(jù)具有4V特征(Volume���,Varity,Value�����,Velocity),即數(shù)據(jù)量大��、數(shù)據(jù)類型多�����、數(shù)據(jù)價(jià)值密度低�����、數(shù)據(jù)處理速度快��。
2011年麥肯錫咨詢公司了《大數(shù)據(jù):下一個(gè)創(chuàng)新��、競(jìng)爭(zhēng)和生產(chǎn)力的變革領(lǐng)域》[1]的研究報(bào)告���,引起了信息產(chǎn)業(yè)界的廣泛關(guān)注。美國(guó)谷歌公司(Google)���、國(guó)際商業(yè)機(jī)器公司(IBM)���、美國(guó)易安信公司(EMC)�����、臉書(Facebook)等公司相繼開始了大數(shù)據(jù)應(yīng)用��、分析���、存儲(chǔ)、管理等相關(guān)技術(shù)的研究���,并推出各自的大數(shù)據(jù)解決框架���、方案以及產(chǎn)品。
例如��,阿帕奇軟件基金會(huì)(Apache)組織推出的Hadoop大數(shù)據(jù)分析框架���,谷歌公司推出的BigTable�����、GFS(Google File System)�����、MapReduce等技術(shù)框架等���,這些研究成果為隨后的大數(shù)據(jù)應(yīng)用迅猛發(fā)展提供了便利的條件�����。2012年3月�����,美國(guó)奧巴馬總統(tǒng)了2億美元的“Big Data Initiative”(大數(shù)據(jù)研究和發(fā)展計(jì)劃)��,該計(jì)劃涉及能源��、國(guó)防���、醫(yī)療、基礎(chǔ)科學(xué)等領(lǐng)域的155個(gè)項(xiàng)目種類�����,該計(jì)劃極大地推動(dòng)了大數(shù)據(jù)技術(shù)的創(chuàng)新與應(yīng)用�����,標(biāo)志著奧巴馬政府將大數(shù)據(jù)戰(zhàn)略從起初的政策層提升到國(guó)家戰(zhàn)略層���。
同時(shí)�����,我國(guó)對(duì)大數(shù)據(jù)的認(rèn)識(shí)�����、應(yīng)用及相關(guān)技術(shù)服務(wù)等也在不斷提高��,企業(yè)界一致認(rèn)同大數(shù)據(jù)在降低企業(yè)經(jīng)營(yíng)運(yùn)營(yíng)成本�����、提升管理層決策效率���、提高企業(yè)經(jīng)濟(jì)效益等方面具有廣闊的應(yīng)用前景,相繼大數(shù)據(jù)相關(guān)戰(zhàn)略文件��,同時(shí)國(guó)家組織在民生�����、國(guó)防等重要領(lǐng)域投入大量的人力物力進(jìn)行相關(guān)技術(shù)研究與創(chuàng)新實(shí)踐。中國(guó)移動(dòng)通信公司在已有的云計(jì)算平臺(tái)基礎(chǔ)上�����,開展了大量大數(shù)據(jù)應(yīng)用研究��,力圖將數(shù)據(jù)信息轉(zhuǎn)化為商業(yè)價(jià)值�����,促進(jìn)業(yè)務(wù)創(chuàng)新�����。
例如���,通過挖掘用戶的移動(dòng)互聯(lián)網(wǎng)行為特征�����,助力市場(chǎng)決策;利用信令數(shù)據(jù)支撐終端��、網(wǎng)絡(luò)��、業(yè)務(wù)平臺(tái)關(guān)聯(lián)分析�����,優(yōu)化網(wǎng)絡(luò)質(zhì)量��。商業(yè)銀行也相繼開展了經(jīng)融大數(shù)據(jù)研究�����,提升銀行的競(jìng)爭(zhēng)力�����。例如,通過對(duì)用戶數(shù)據(jù)分析開展信用評(píng)估��,降低企業(yè)風(fēng)險(xiǎn);從細(xì)粒度的級(jí)別進(jìn)行客戶數(shù)據(jù)分析���,為不同客戶提供個(gè)性化的產(chǎn)品與服務(wù)�����,提升銀行的服務(wù)效率���?�?偠灾?����,大數(shù)據(jù)正在帶來一場(chǎng)顛覆性的革命�����,將會(huì)推動(dòng)整個(gè)社會(huì)取得全面進(jìn)步�����。
2 大數(shù)據(jù)安全研究現(xiàn)狀
在大數(shù)據(jù)計(jì)算和分析過程中��,安全是不容忽視的��。大數(shù)據(jù)的固有特征對(duì)現(xiàn)有的安全標(biāo)準(zhǔn)�����、安全體系架構(gòu)�����、安全機(jī)制等都提出了新的挑戰(zhàn)�����。目前對(duì)大數(shù)據(jù)完整性的研究主要包括兩方面���,一是對(duì)數(shù)據(jù)完整性的檢測(cè);二是對(duì)完整性被破壞的數(shù)據(jù)的恢復(fù)。在完整性檢測(cè)方面�����,數(shù)據(jù)量的增大使傳統(tǒng)的MD5���、SHA1等效率較低的散列校驗(yàn)方法不再適用��,驗(yàn)證者也無法將全部數(shù)據(jù)下載到本地主機(jī)后再進(jìn)行驗(yàn)證��。
面向大數(shù)據(jù)的高效隱私保護(hù)方法方面���,高效、輕量級(jí)的數(shù)據(jù)加密已有多年研究��,雖然可用于大數(shù)據(jù)加密��,但加密后數(shù)據(jù)不具可用性��。保留數(shù)據(jù)可用性的非密碼學(xué)的隱私保護(hù)方法因而得到了廣泛的研究和應(yīng)用���。這些方法包括數(shù)據(jù)隨機(jī)化���、k-匿名化���、差分隱私等。這些方法在探究隱私泄漏的風(fēng)險(xiǎn)���、提高隱私保護(hù)的可信度方面還有待深入���,也不能適應(yīng)大數(shù)據(jù)的海量性、異構(gòu)性和時(shí)效性���。
在隱私保護(hù)下大數(shù)據(jù)的安全計(jì)算方面�����,很多應(yīng)用領(lǐng)域中的安全多方計(jì)算問題都在半誠(chéng)實(shí)模型中得到了充分的研究�����,采用的方法包括電路賦值(Circuit Evaluation)�����、遺忘傳輸(Oblivious Transfer)���、同態(tài)加密等�����。通過構(gòu)造零知識(shí)證明,可以將半誠(chéng)實(shí)模型中的解決方法轉(zhuǎn)換到惡意模型中�����。而在多方參與�����、涉及大量數(shù)據(jù)處理的計(jì)算問題���,目前研究的主要缺陷是惡意模型中方法的復(fù)雜度過高��,不適應(yīng)多方參與���、多協(xié)議執(zhí)行的復(fù)雜網(wǎng)絡(luò)環(huán)境�����。
企業(yè)大數(shù)據(jù)技術(shù)是指大數(shù)據(jù)相關(guān)技術(shù)在企業(yè)的充分應(yīng)用���,即對(duì)企業(yè)業(yè)務(wù)、生產(chǎn)���、監(jiān)控��、監(jiān)測(cè)等信息系統(tǒng)在運(yùn)行過程中涉及的海量數(shù)據(jù)進(jìn)行抽取��、傳輸�����、存儲(chǔ)�����、處理��,管理���、分析挖掘�����、應(yīng)用決策以及銷毀等���,實(shí)現(xiàn)大數(shù)據(jù)對(duì)企業(yè)效率的提升、效益的增值以及風(fēng)險(xiǎn)的預(yù)測(cè)等��。
企業(yè)的大數(shù)據(jù)類型通常主要包括業(yè)務(wù)經(jīng)營(yíng)數(shù)據(jù)即客戶信息數(shù)據(jù)��、企業(yè)的生產(chǎn)運(yùn)營(yíng)與管理數(shù)據(jù)以及企業(yè)的設(shè)備運(yùn)行數(shù)據(jù)等���,即客戶信息數(shù)據(jù)、員工信息數(shù)據(jù)���、財(cái)務(wù)數(shù)據(jù)���、物資數(shù)據(jù)、系統(tǒng)日志���、設(shè)備監(jiān)測(cè)數(shù)據(jù)�����、調(diào)度數(shù)據(jù)���、檢修數(shù)據(jù)�����、狀態(tài)數(shù)據(jù)等�����。企業(yè)大數(shù)據(jù)具有3V���、3E特征[2],3V即數(shù)據(jù)體量大(Volume)�����、數(shù)據(jù)類型多(Varity)與數(shù)據(jù)速度快(Velocity)��,3E即數(shù)據(jù)即能量(Energy)�����、數(shù)據(jù)即交互(Exchange)與數(shù)據(jù)即共情(Empathy)。3 大數(shù)據(jù)時(shí)代企業(yè)信息安全漏洞與風(fēng)險(xiǎn)并存
大數(shù)據(jù)時(shí)代���,大數(shù)據(jù)在推動(dòng)企業(yè)向著更為高效��、優(yōu)質(zhì)��、精準(zhǔn)的服務(wù)前行的同時(shí)�����,其重要性與特殊性也給企業(yè)帶來新的信息安全風(fēng)險(xiǎn)與挑戰(zhàn)�����。如何針對(duì)大數(shù)據(jù)的重要性與特殊性構(gòu)建全方位多層次的信息安全保障體系��,是企業(yè)發(fā)展中面臨的重要課題��。大數(shù)據(jù)背景下,結(jié)合大數(shù)據(jù)時(shí)代的企業(yè)工作模式�����,企業(yè)可能存在的信息安全風(fēng)險(xiǎn)主要表現(xiàn)在以下三個(gè)方面:
(1)企業(yè)業(yè)務(wù)大數(shù)據(jù)信息安全風(fēng)險(xiǎn):由于缺乏針對(duì)大數(shù)據(jù)相關(guān)的政策法規(guī)、標(biāo)準(zhǔn)與管理規(guī)章制度�����,導(dǎo)致企業(yè)對(duì)客戶信息大數(shù)據(jù)的“開放度”難以掌握�����,大數(shù)據(jù)開放和隱私之間難以平衡;企業(yè)缺乏清晰的數(shù)據(jù)需求導(dǎo)致數(shù)據(jù)資產(chǎn)流失的風(fēng)險(xiǎn);企業(yè)數(shù)據(jù)孤島�����,數(shù)據(jù)質(zhì)量差可用性低���,導(dǎo)致數(shù)據(jù)無法充分利用以及數(shù)據(jù)價(jià)值不能充分挖掘的風(fēng)險(xiǎn);大數(shù)據(jù)安全能力和防范意識(shí)差��,大數(shù)據(jù)人才缺乏導(dǎo)致大數(shù)據(jù)分析���、處理等工作難以開展的風(fēng)險(xiǎn);管理技術(shù)和架構(gòu)相對(duì)滯后,導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)���。
(2)企業(yè)基礎(chǔ)設(shè)施信息安全風(fēng)險(xiǎn):2010年���,震網(wǎng)病毒[3]通過網(wǎng)絡(luò)與預(yù)制的系統(tǒng)漏洞對(duì)伊朗核電站發(fā)起攻擊,導(dǎo)致伊朗濃縮鈾工程的部分離心機(jī)出現(xiàn)故障,極大的延緩了伊朗核進(jìn)程��。從此開啟了世界各國(guó)對(duì)工業(yè)控制系統(tǒng)安全的重視與管控�����。對(duì)于生產(chǎn)企業(yè)�����,工業(yè)生產(chǎn)設(shè)備是企業(yè)的命脈���,其控制系統(tǒng)的安全性必須得到企業(yè)的高度重視���。隨著物理設(shè)備管理控制系統(tǒng)與大數(shù)據(jù)采集系統(tǒng)在企業(yè)的不斷應(yīng)用,監(jiān)控與數(shù)據(jù)采集系統(tǒng)必將成為是物理攻擊的重點(diǎn)方向���,越來越多的安全問題隨之出現(xiàn)���。
設(shè)備“接入點(diǎn)”范圍的不斷擴(kuò)大,傳統(tǒng)的邊界防護(hù)概念被改變; 2013年初��,美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組(ICS-CERT)預(yù)警��,發(fā)現(xiàn)美國(guó)兩家電廠的發(fā)電控制設(shè)備在2012年10月至12月期間感染了USB設(shè)備中的惡意軟件�����。該軟件能夠遠(yuǎn)程控制開關(guān)閘門��、旋轉(zhuǎn)儀表表盤���、大壩控制等重要操作�,對(duì)電力設(shè)備及企業(yè)安全造成了極大的威脅��。
(3)企業(yè)平臺(tái)信息安全風(fēng)險(xiǎn): 應(yīng)用層安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)給用戶提供服務(wù)所采用的應(yīng)用軟件存在的漏洞所帶來的安全風(fēng)險(xiǎn)�,包括: Web服務(wù)、郵件系統(tǒng)�、數(shù)據(jù)庫軟件、域名系統(tǒng)��、路由與交換系統(tǒng)�、防火墻及網(wǎng)管系統(tǒng)、業(yè)務(wù)應(yīng)用軟件以及其他網(wǎng)絡(luò)服務(wù)系統(tǒng)等;操作系統(tǒng)層的安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)存在的漏洞帶來的安全風(fēng)險(xiǎn)����,例如Windows NT、UNIX�、Linux系列以及專用操作系統(tǒng)本身安全漏洞�,主要包括訪問控制�、身份認(rèn)證、系統(tǒng)漏洞以及操作系統(tǒng)的安全配置等;網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)主要指網(wǎng)絡(luò)層身份認(rèn)證�,網(wǎng)絡(luò)資源的訪問控制,數(shù)據(jù)傳輸?shù)谋C苄耘c完整性����、路由系統(tǒng)的安全、遠(yuǎn)程接入�、域名系統(tǒng)、入侵檢測(cè)的手段等網(wǎng)絡(luò)信息漏洞帶來的安全性����。
4 企業(yè)大數(shù)據(jù)信息安全保障策略
針對(duì)大數(shù)據(jù)時(shí)代下企業(yè)可能存在的信息安全漏洞與風(fēng)險(xiǎn),本文從企業(yè)的網(wǎng)絡(luò)邊界信息安全保障�、應(yīng)用終端信息安全保障、應(yīng)用平臺(tái)信息安全保障��、網(wǎng)絡(luò)安全信息安全保障��、數(shù)據(jù)安全信息安全保障等多方面提出如下信息安全保障策略��,形成具有層次特性的企業(yè)信息安全保障體系��,提升大數(shù)據(jù)時(shí)代下的企業(yè)信息安全保障能力����。
4.1企業(yè)系統(tǒng)終端——信息安全保障策略
對(duì)企業(yè)計(jì)算機(jī)終端進(jìn)行分類�,依照國(guó)家信息安全等級(jí)保護(hù)的要求實(shí)行分級(jí)管理����,根據(jù)確定的等級(jí)要求采取相應(yīng)的安全保障策略��。企業(yè)擁有多種類型終端設(shè)備�,對(duì)于不同終端,根據(jù)具體終端的類型�、通信方式以及應(yīng)用環(huán)境等選擇適宜的保障策略。確保移動(dòng)終端的接入安全��,移動(dòng)作業(yè)類終端嚴(yán)格執(zhí)行企業(yè)制定的辦公終端嚴(yán)禁“內(nèi)外網(wǎng)機(jī)混用”原則����,移動(dòng)終端接入內(nèi)網(wǎng)需采用軟硬件相結(jié)合的加密方式接入。配子站終端需配置安全模塊��,對(duì)主站系統(tǒng)的參數(shù)設(shè)置指令和控制命令采取數(shù)據(jù)完整性驗(yàn)證和安全鑒別措施��,以防范惡意操作電氣設(shè)備��,冒充主站對(duì)子站終端進(jìn)行攻擊�。
4.2企業(yè)網(wǎng)絡(luò)邊界——信息安全保障策略
企業(yè)網(wǎng)絡(luò)具有分區(qū)分層的特點(diǎn)�,使邊界不受外部的攻擊����,防止惡意的內(nèi)部人員跨越邊界對(duì)外實(shí)施攻擊,在不同區(qū)的網(wǎng)絡(luò)邊界加強(qiáng)安全防護(hù)策略��,或外部人員通過開放接口����、隱蔽通道進(jìn)入內(nèi)部網(wǎng)絡(luò)。在管理信息內(nèi)部����,審核不同業(yè)務(wù)安全等級(jí)與網(wǎng)絡(luò)密級(jí),在網(wǎng)絡(luò)邊界進(jìn)行相應(yīng)的隔離保護(hù)����。按照業(yè)務(wù)網(wǎng)絡(luò)的安全等級(jí)、實(shí)時(shí)性需求以及用途等評(píng)價(jià)指標(biāo)����,采用防火墻隔離技術(shù)、協(xié)議隔離技術(shù)��、物理隔離技術(shù)等[4]對(duì)關(guān)鍵核心業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行安全隔離����,實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)訪問資源限制�。
4.3企業(yè)網(wǎng)絡(luò)安全——信息安全保障策略
網(wǎng)絡(luò)是企業(yè)正常運(yùn)轉(zhuǎn)的重要保障��,是連接物理設(shè)備�、應(yīng)用平臺(tái)與數(shù)據(jù)的基礎(chǔ)環(huán)境。生產(chǎn)企業(yè)主要采用公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)相結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu)����,專用網(wǎng)絡(luò)支撐企業(yè)的生產(chǎn)管理�、設(shè)備管理、調(diào)度管理��、資源管理等核心業(yè)務(wù)��,不同業(yè)務(wù)使用的專用網(wǎng)絡(luò)享有不同安全等級(jí)與密級(jí)����,需要采取不同的保障策略。網(wǎng)絡(luò)彈性是指基礎(chǔ)網(wǎng)絡(luò)在遇到突發(fā)事件時(shí)繼續(xù)運(yùn)行與快速恢復(fù)的能力����。
采用先進(jìn)的網(wǎng)絡(luò)防護(hù)技術(shù),建立基礎(chǔ)網(wǎng)一體化感知�、響應(yīng)��、檢測(cè)����、恢復(fù)與溯源機(jī)制����,采取網(wǎng)絡(luò)虛擬化、硬件冗余����、疊加等方法提高企業(yè)網(wǎng)絡(luò)彈性與安全性;對(duì)網(wǎng)絡(luò)基礎(chǔ)服務(wù)、網(wǎng)絡(luò)業(yè)務(wù)�、信息流、網(wǎng)絡(luò)設(shè)備等基礎(chǔ)網(wǎng)絡(luò)環(huán)境采用監(jiān)控審計(jì)����、安全加固、訪問控制�、身份鑒別、備份恢復(fù)��、入侵檢測(cè)�、資源控制等措施增強(qiáng)網(wǎng)絡(luò)環(huán)境安全防護(hù);在企業(yè)網(wǎng)絡(luò)中,重要信息數(shù)據(jù)需要安全通信。針對(duì)信息數(shù)字資源的安全交換需求����,構(gòu)建企業(yè)的業(yè)務(wù)虛擬專用網(wǎng)。在已有基礎(chǔ)網(wǎng)絡(luò)中采用訪問控制����、用戶認(rèn)證、信息加密等相關(guān)技術(shù)�,防止企業(yè)敏感數(shù)據(jù)被竊取,采取建立數(shù)據(jù)加密虛擬網(wǎng)絡(luò)隧道進(jìn)行信息傳輸安全通信機(jī)制����。
4.4企業(yè)應(yīng)用系統(tǒng)平臺(tái)——信息安全保障策略
應(yīng)用系統(tǒng)平臺(tái)安全直接關(guān)系到企業(yè)各業(yè)務(wù)應(yīng)用的穩(wěn)定運(yùn)行����,對(duì)應(yīng)用平臺(tái)進(jìn)行信息安全保障,可以有效避免企業(yè)業(yè)務(wù)被阻斷�、擾亂、欺騙等破壞行為����,本文建議給每個(gè)應(yīng)用平臺(tái)建立相應(yīng)的日志系統(tǒng),可以對(duì)用戶的操作記錄��、訪問記錄等信息進(jìn)行歸檔存儲(chǔ),為安全事件分析提供取證與溯源數(shù)據(jù)����,防范內(nèi)部人員進(jìn)行異常操作。
企業(yè)應(yīng)用平臺(tái)的用戶類型多樣�,不同的應(yīng)用主體享有不同的功能與應(yīng)用權(quán)限,考慮到系統(tǒng)的靈活性與安全性��,采用基于屬性權(quán)限訪問控制[5]����、基于動(dòng)態(tài)和控制中心訪問權(quán)限控制[6]、基于域訪問權(quán)限控制[7]��、基于角色訪問控制等訪問控制技術(shù);確保企業(yè)應(yīng)用平臺(tái)系統(tǒng)安全可靠��,在應(yīng)用平臺(tái)上線前�,應(yīng)邀請(qǐng)第三方權(quán)威機(jī)構(gòu)對(duì)其進(jìn)行信息安全測(cè)評(píng),即對(duì)應(yīng)用平臺(tái)系統(tǒng)進(jìn)行全面����、系統(tǒng)的安全漏洞分析與風(fēng)險(xiǎn)評(píng)估[8],并制定相應(yīng)的信息安全保障策略����。4.5企業(yè)大數(shù)據(jù)安全——信息保障策略
大數(shù)據(jù)時(shí)代下����,大數(shù)據(jù)是企業(yè)的核心資源�。企業(yè)客戶數(shù)據(jù)可能不僅包含個(gè)人的隱私信息,而且還包括個(gè)人����、家庭的消費(fèi)行為信息,如果針對(duì)客戶大數(shù)據(jù)不妥善處理��,會(huì)對(duì)用戶造成極大的危害��,進(jìn)而失信于客戶�。目前感知大數(shù)據(jù)(數(shù)據(jù)追蹤溯源)、應(yīng)用大數(shù)據(jù)(大數(shù)據(jù)的隱私保護(hù)[9]與開放)�、管控大數(shù)據(jù)(數(shù)據(jù)訪問安全、數(shù)據(jù)存儲(chǔ)安全)等問題�,仍然制約與困擾著大數(shù)據(jù)的發(fā)展����。大數(shù)據(jù)主要采用分布式文件系統(tǒng)技術(shù)在云端存儲(chǔ),在對(duì)云存儲(chǔ)環(huán)境進(jìn)行安全防護(hù)的前提下�,對(duì)關(guān)鍵核心數(shù)據(jù)進(jìn)行冗余備份��,強(qiáng)化數(shù)據(jù)存儲(chǔ)安全,提高企業(yè)大數(shù)據(jù)安全存儲(chǔ)能力���。
為了保護(hù)企業(yè)數(shù)據(jù)的隱私安全、提高企業(yè)大數(shù)據(jù)的安全性的同時(shí)提升企業(yè)的可信度���,可采用數(shù)據(jù)分享�����、分析�����、時(shí)進(jìn)行匿名保護(hù)已經(jīng)隱私數(shù)據(jù)存儲(chǔ)加密保護(hù)措施來加強(qiáng)企業(yè)數(shù)據(jù)的隱私安全���,對(duì)大數(shù)據(jù)用戶進(jìn)行分類與角色劃分,嚴(yán)格控制�����、明確各角色數(shù)據(jù)訪問權(quán)限�����,規(guī)范各級(jí)用戶的訪問行為���,確保不同等級(jí)密級(jí)數(shù)據(jù)的讀���、寫操作���,有效抵制外部惡意行為,有效管理云存儲(chǔ)環(huán)境下的企業(yè)大數(shù)據(jù)安全���。
5 結(jié)束語
隨著信息技術(shù)的快速革新�,數(shù)據(jù)正以驚人的速度積累�,大數(shù)據(jù)時(shí)代已經(jīng)來臨了;智能終端和數(shù)據(jù)傳感器成為大數(shù)據(jù)時(shí)代的數(shù)據(jù)主要來源。大數(shù)據(jù)在推動(dòng)企業(yè)不斷向前發(fā)展給企業(yè)提供了更多機(jī)遇的同時(shí)�����,也給企業(yè)的應(yīng)用創(chuàng)新與轉(zhuǎn)型發(fā)展帶來了新的信息安全威脅���、信息安全漏洞以及信息安全風(fēng)險(xiǎn)�。傳統(tǒng)的信息安全保障策略已經(jīng)無法滿足大數(shù)據(jù)時(shí)代的信息安全保障需求�。怎樣做好企業(yè)大數(shù)據(jù)信息安全保障���、加強(qiáng)信息安全防護(hù)���、建設(shè)相關(guān)法律法規(guī)將是大數(shù)據(jù)時(shí)代長(zhǎng)期研究的問題�。
第2篇
【關(guān)鍵詞】軍隊(duì)檔案�;安全保障體系建設(shè);思考
檔案安全保障體系建設(shè)是推動(dòng)檔案管理機(jī)制創(chuàng)新�,提升檔案管理水平的重要途徑之一。檔案安全保障體系建設(shè)必須以檔案安全保障理論為指導(dǎo)���,綜合技術(shù)�����、管理�、人員���、活動(dòng)�����,建立動(dòng)態(tài)調(diào)整的���、獨(dú)立的、開放的安全保障體系�����,保證檔案終身安全。特別是在當(dāng)前�,我國(guó)自然災(zāi)害和頻發(fā)、公共服務(wù)體系建設(shè)和政府信息公開提速�、信息技術(shù)應(yīng)用導(dǎo)致數(shù)字檔案信息大量產(chǎn)生的新形勢(shì)下,進(jìn)一步加強(qiáng)軍隊(duì)檔案安全保障體系建設(shè)�,全面提升軍隊(duì)檔案部門的安全保障能力,顯得尤為重要���。加強(qiáng)軍隊(duì)檔案安全保障體系建設(shè)�����,是應(yīng)對(duì)敵對(duì)勢(shì)力竊取我軍核心檔案信息資源的客觀需要�����;是應(yīng)對(duì)近年我國(guó)自然災(zāi)害多發(fā)頻發(fā)�、對(duì)檔案安全構(gòu)成嚴(yán)重威脅的客觀需要���;是應(yīng)對(duì)社會(huì)轉(zhuǎn)型期出現(xiàn)���,威脅檔案安全的重要舉措;是應(yīng)對(duì)新技術(shù)廣泛應(yīng)用�����,對(duì)數(shù)字檔案信息資源安全帶來的新隱患新挑戰(zhàn)的必然選擇�。從軍隊(duì)檔案管理工作實(shí)踐的角度來看,檔案安全保障體系建設(shè)的任務(wù)非常繁重���,涉及檔案收集�����、保管���、利用等各個(gè)環(huán)節(jié),貫穿于檔案管理的整個(gè)過程�����。從軍隊(duì)檔案安全保障體系的基礎(chǔ)設(shè)施以及制度���、技術(shù)�、人員等諸多支撐要素來看���,必須將其作為一個(gè)有機(jī)整體的系統(tǒng)工程�����,統(tǒng)籌考慮和謀劃���,全方位地整體推進(jìn)�����。
一���、加強(qiáng)檔案安全保障體系建設(shè)的物質(zhì)保障
軍隊(duì)檔案館(室)是保障檔案安全的重要屏障。加強(qiáng)檔案安全相關(guān)基礎(chǔ)設(shè)施建設(shè)�,首先要堅(jiān)持不懈地抓好檔案館(室)建設(shè),改善檔案館(室)設(shè)施和檔案保管條件�����。在檔案館(室)建設(shè)過程中���,應(yīng)當(dāng)高度重視抗震烈度�����、防火等級(jí)等方面的剛性要求�,充分考慮堅(jiān)固、安全�����、環(huán)保���、實(shí)用等因素,嚴(yán)格遵循國(guó)家和軍隊(duì)有關(guān)檔案館(室)建設(shè)的標(biāo)準(zhǔn)和規(guī)范�����,把檔案館(室)建設(shè)好�,筑起保障檔案安全的堅(jiān)固防線。在設(shè)施設(shè)備方面�,要嚴(yán)格遵循視頻監(jiān)控、門禁���、火災(zāi)報(bào)警���、消防、溫濕度監(jiān)控、恒溫恒濕�����、周界防護(hù)�����、電子巡查�、通訊、計(jì)算機(jī)安全等系統(tǒng)建設(shè)的新要求���。全面構(gòu)建和實(shí)施檔案安全保障體系���,可以從根本上提高軍隊(duì)對(duì)檔案文獻(xiàn)遺產(chǎn)長(zhǎng)期保存、有效利用的控制力�����,從根本上提高檔案安全保障技術(shù)整體水平���。
二���、加強(qiáng)檔案安全保障體系建設(shè)的制度保障
建立健全軍隊(duì)檔案管理規(guī)章制度�,加強(qiáng)對(duì)規(guī)章制度執(zhí)行情況的監(jiān)督檢查�,建立起長(zhǎng)效機(jī)制,確保規(guī)章制度落到實(shí)處���。一手抓建章立制�,一手抓貫徹落實(shí)�����,同時(shí)在制度的制定和執(zhí)行兩個(gè)方面下工夫�����,不能有“椰子效應(yīng)”�,即在政策的“硬包裝”之下存在一個(gè)執(zhí)行的“軟內(nèi)核”�,從確保軍隊(duì)核心信息資源安全的高度,充分認(rèn)識(shí)檔案安全保障能力建設(shè)的重要性和緊迫性�,不斷完善各項(xiàng)涉及檔案安全工作的規(guī)章制度,并認(rèn)真付諸實(shí)施���,把安全至上的理念物化到檔案管理各個(gè)環(huán)節(jié)中去�。完善突發(fā)事件應(yīng)對(duì)制度���,建立危機(jī)預(yù)防與危機(jī)管理機(jī)制�����,加強(qiáng)突發(fā)事件應(yīng)急管理�����,提高應(yīng)對(duì)自然災(zāi)害損毀和影響的能力���。按照《檔案工作突發(fā)事件應(yīng)急處置管理辦法》的要求�����,根據(jù)單位實(shí)際制定相應(yīng)的應(yīng)急預(yù)案�,對(duì)所能設(shè)想到的各種突發(fā)災(zāi)害�����、突發(fā)社會(huì)事件到來時(shí)怎樣搶救���、保護(hù)檔案制定出方案���,以便緊急情況發(fā)生時(shí)按預(yù)案辦事�����。每年不定期按預(yù)案進(jìn)行演練���,以提高應(yīng)急處置的執(zhí)行力。加強(qiáng)《檔案館災(zāi)害防治工作指南》的宣傳貫徹���,用以指導(dǎo)各級(jí)檔案部門的防災(zāi)備災(zāi)���、應(yīng)急處置和恢復(fù)重建工作。
實(shí)施重要檔案?jìng)浞葜贫?,是提高抵御各種突發(fā)事件影響能力的一項(xiàng)重要舉措�。俗話說,雞蛋不能只放在一個(gè)籃子里���。我國(guó)自古以來就有對(duì)重要檔案實(shí)行多套異地備份的制度�,在危害檔案安全的突發(fā)社會(huì)事件和自然災(zāi)害頻發(fā)的今天�����,我們必須進(jìn)一步強(qiáng)化風(fēng)險(xiǎn)防范意識(shí)�����,更加重視實(shí)施重要檔案異地備份制度,提高災(zāi)害應(yīng)對(duì)能力�。完善檔案利用安全保密制度,處理好檔案開放和公開與信息安全的關(guān)系���,提高檔案利用過程中本體安全和信息安全保障能力�。在更多關(guān)注信息公開�、改善公共信息服務(wù)的同時(shí),要加強(qiáng)對(duì)利用檔案的審查監(jiān)管工作�����,不該提供利用的檔案堅(jiān)決不提供���,能利用副本的盡量利用副本���,保障檔案本體的安全和檔案信息的安全。完善受損檔案搶救制度�,對(duì)突發(fā)災(zāi)害、事件以及自然老化等因素造成檔案損毀的���,一定要盡快對(duì)破損檔案采取搶救和保護(hù)措施�,避免造成更大損失,加強(qiáng)對(duì)各項(xiàng)搶救保護(hù)工作的監(jiān)督和指導(dǎo)�����,是落實(shí)檔案搶救制度的關(guān)鍵所在�����。
完善數(shù)字檔案信息安全制度�,認(rèn)真做好檔案信息化建設(shè)過程中的信息安全保障工作。數(shù)字檔案信息的安全保障工作���,應(yīng)當(dāng)從設(shè)備�、網(wǎng)絡(luò)�����、系統(tǒng)�、數(shù)據(jù)等各個(gè)方面�、各個(gè)環(huán)節(jié)加強(qiáng)安全管理,以完備的防范體系來保證數(shù)字檔案信息萬無一失���。電子文件是一種易被改動(dòng)�、易被竊取、易于傳播���、易于消失的信息�����,特別是它還是一種不能直接識(shí)讀而必須依賴于特定的設(shè)備和軟件才能被讀取的信息�,必須在不斷攻克相關(guān)關(guān)鍵技術(shù)的同時(shí)�����,建立完善的管理制度和規(guī)程���,解決好電子文件的保密���、保存、讀取等巨大難題�����。
三�、加強(qiáng)檔案安全保障體系建設(shè)的理論支撐和技術(shù)保障
構(gòu)建檔案安全保障體系的前提是分析檔案安全保障體系的理論定位與實(shí)際應(yīng)用的關(guān)系,爭(zhēng)取實(shí)現(xiàn)基于高起點(diǎn)、實(shí)現(xiàn)高目標(biāo)�����、開拓新局面�。
目前,國(guó)內(nèi)外關(guān)于檔案安全保障體系的理解大致有三層含義:其一���,控制環(huán)境�,降低風(fēng)險(xiǎn)���。這里的“環(huán)境”是指檔案保管環(huán)境�、物理環(huán)境���、社會(huì)環(huán)境�、信息存儲(chǔ)環(huán)境等���,降低環(huán)境因素對(duì)檔案安全的影響�,最大可能降低風(fēng)險(xiǎn)���。其二,建立安全保障平臺(tái)�����,采取安全防護(hù)措施,使檔案盡可能保持穩(wěn)定狀態(tài)�����。其三�,對(duì)已經(jīng)處于不安全環(huán)境中的檔案,采取各種措施使其達(dá)到新的穩(wěn)定狀態(tài)���,保存其信息的可讀�����、可用和可藏�。這三層含義包括檔案安全保障體系中的社會(huì)因素�、管理體制、組織體系�����、策略���、政策法規(guī)���、安全保障技術(shù)或安全保護(hù)效果的評(píng)價(jià)等等較為宏觀的要素�����。
檔案安全保障屬于檔案管理和檔案維護(hù)中非常重要的一部分工作�,需要滲透到檔案形成階段�����、保管階段和維護(hù)階段�,也就是整個(gè)生命周期。充分結(jié)合檔案工作實(shí)際���,加強(qiáng)檔案防災(zāi)減災(zāi)策略�、數(shù)字檔案信息安全保障策略�����、受損檔案搶救修復(fù)技術(shù)方法���、電子文件真實(shí)性保證和長(zhǎng)久保存方法�、突發(fā)事件應(yīng)對(duì)措施等關(guān)鍵理論和技術(shù)方法的研究攻關(guān),不斷提高檔案安全的理論支撐和技術(shù)保障能力�����。如對(duì)于檔案保管單位來講需要進(jìn)行系統(tǒng)的檔案安全現(xiàn)狀的普查工作�,了解檔案的種類�����、損壞程度���、檔案保管安全現(xiàn)狀和存在的安全隱患�,建立檔案安全數(shù)據(jù)庫平臺(tái)�。摸清家底會(huì)對(duì)檔案安全總體狀況有個(gè)全面和系統(tǒng)的了解,可以從整個(gè)軍隊(duì)的層面制訂相應(yīng)的檔案安全保障長(zhǎng)期策略���。這就使得檔案的安全保障工作更加具有整體性的把握及其長(zhǎng)期的計(jì)劃性�,以至實(shí)施保障技術(shù)措施時(shí)更加具有針對(duì)性�。采取有效措施推進(jìn)檔案安全保障相關(guān)新技術(shù)、新設(shè)備�����、新方法的推廣應(yīng)用,促進(jìn)檔案安全保障能力快速提升�����。
四�、加強(qiáng)檔案安全保障體系建設(shè)的人才保障
正如國(guó)家檔案局楊冬權(quán)局長(zhǎng)所說:在影響檔案安全的各種因素中,人是決定性的因素檔案安全的最大保障是人的認(rèn)真�����,檔案安全的最大危險(xiǎn)是人的疏忽�����。許多檔案安全事故的發(fā)生�,就源自于人的認(rèn)識(shí)不到位、思想不重視�,疏于防范;許多自然災(zāi)害中檔案損失的大小�,完全取決于人們是否重視檔案安全并采取了有效防范與搶救措施。因此�����,確保檔案安全�,對(duì)檔案部門和檔案工作者來說�,是本職�����、是天職�、是稱職�����;相反�,則是失職、瀆職�����、不稱職���。若是由此給軍隊(duì)造成重大損失的���,還要免職、撤職�����,直至追究刑事責(zé)任。
由此可見�,提高軍隊(duì)檔案干部整體素質(zhì)、增強(qiáng)安全保障能力�����,是檔案部門的一項(xiàng)重要而緊迫的任務(wù)�。通過對(duì)檔案工作人員開展經(jīng)常性的安全教育和學(xué)習(xí)培訓(xùn),強(qiáng)化他們的安全防范意識(shí)和責(zé)任意識(shí)�,普及檔案安全保障基本知識(shí)與技能,培養(yǎng)造就一支責(zé)任意識(shí)強(qiáng)�����、掌握現(xiàn)代科技知識(shí)和專業(yè)技能�����、勝任本職工作的檔案干部隊(duì)伍�����,為檔案安全提供可靠的人才保障���。
現(xiàn)代條件下的檔案安全保障體系的構(gòu)建是決定檔案事業(yè)發(fā)展的關(guān)鍵之一���,它圍繞檔案主體工作而形成的���,包括檔案創(chuàng)新能力、關(guān)鍵技術(shù)研發(fā)與應(yīng)用能力�����、安全保護(hù)活動(dòng)組織能力�、業(yè)務(wù)拓展能力���、事業(yè)發(fā)展支持能力���、檔案技術(shù)力量培訓(xùn)能力等,是一項(xiàng)長(zhǎng)期而艱巨的任務(wù)�,需要檔案機(jī)構(gòu)上上下下、方方面面的通力合作�,積極配合。檔案安全保障體系對(duì)于檔案工作及檔案工作者都是一個(gè)全新的概念�����,它的構(gòu)建�����、研究和推廣應(yīng)用為檔案事業(yè)的長(zhǎng)期發(fā)展提供了巨大的空間。
參考文獻(xiàn):
[1]周朱華.電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系設(shè)計(jì)[J].信息安全,2009(3).
[2]王愛紅.一種安全電子政務(wù)系統(tǒng)的開發(fā)[J].計(jì)算機(jī)信息,2007(1)-(3).
[3]王謙,陳放.我國(guó)電子政務(wù)信息安全及保障體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006(04).
[4]楊冬權(quán).在電子文件管理國(guó)家戰(zhàn)略國(guó)際學(xué)術(shù)研討會(huì)上的講話[N].中國(guó)檔案報(bào),2009-6-26(1).
[5]楊安蓮.電子文件信息安全管理研究[J].檔案學(xué)通訊,2009(4).
[6]馬芳.國(guó)外信息安全保障技術(shù)的回顧與前瞻[J].信息安全與通信保密,2008(6).
第3篇
【關(guān)鍵詞】電子文件信息���;安全保障體系���;構(gòu)建
在時(shí)代的變革下,電子文件已然成為各個(gè)機(jī)構(gòu)開展業(yè)務(wù)中的主要憑證�,是信息資源中最為可靠、權(quán)威的信息���,該種信息資源是保障機(jī)構(gòu)運(yùn)行的重要支撐�,也屬于國(guó)家信息資源的有機(jī)組成部分�����。構(gòu)建出科學(xué)的電子文件信息安全保障體系不僅是信息安全的必然需求�����,也是促進(jìn)組織發(fā)展的客觀需求���。
1電子文件信息安全保障體系構(gòu)建目標(biāo)分析
構(gòu)建電子文件信息安全保障體系的前提是制定出相關(guān)的安全保障體系�,對(duì)電子文件管理中的各類風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確的預(yù)估,制定出系統(tǒng)���、科學(xué)的安全保障體系�����,最大限度的保障文件的可用性�、安全性與完整性�����,避免私密信息�、重要信息與敏感信息泄密�。各個(gè)機(jī)構(gòu)在建設(shè)電子政府信息系統(tǒng)的過程中,必須要充分的意識(shí)到這一問題�����,將其放置在一定的高度進(jìn)行考慮�����。這需要遵循如下的幾個(gè)原則:第一,科學(xué)性原則:在構(gòu)建電子文件信息安全保障體系時(shí)���,必須要進(jìn)行科學(xué)的調(diào)查和研究�����,找出其中的風(fēng)險(xiǎn)�����,制定出科學(xué)的防范措施�����,將相關(guān)的理論應(yīng)用在具體的實(shí)踐過程中�����,提升安全保障體系的可操作性���。第二,標(biāo)準(zhǔn)規(guī)范性原則:電子文件信息安全保障體系的構(gòu)建必須要符合我國(guó)相關(guān)法律的要求�,要遵循國(guó)際與國(guó)家的標(biāo)準(zhǔn),嚴(yán)格按照規(guī)章制度來辦事�。第三,適度經(jīng)濟(jì)性原則:在工作中,需要根據(jù)上網(wǎng)信息的等級(jí)來制定安全防范體系�����,根據(jù)各單位的人力�、物力和財(cái)力以及風(fēng)險(xiǎn)評(píng)估等級(jí)來確定資金的分配方式,不僅要考慮到系統(tǒng)的操作性�����,也要分析安全保密性能�����。第四�����,長(zhǎng)久安全性原則:在構(gòu)建電子文件信息安全保障體系���,需要進(jìn)行總體的設(shè)計(jì)與規(guī)劃,考慮到信息發(fā)展情況與條件變化因素�����,尤其是分析系統(tǒng)安全功能設(shè)計(jì)時(shí)需要考慮到技術(shù)因素的潛在功能。
2電子文件信息安全保障體系構(gòu)建措施
在構(gòu)建電子文件信息安全保障體系時(shí)���,其首要的支撐就是信息安全理論���,以這一理論作為指導(dǎo),采用多樣化的手段�����,將管理制度�、法律規(guī)范與技術(shù)措施有機(jī)融合起來,構(gòu)建出科學(xué)的安全保障體系:
2.1建設(shè)思路
在建設(shè)安全保障體系時(shí)�,需要先梳理現(xiàn)有的法律制度,解決現(xiàn)有問題�����,為電子文件信息安全保障體系的建設(shè)提供科學(xué)的依據(jù)�,盡快的完善現(xiàn)有的法律法規(guī),并結(jié)合管理內(nèi)容的特點(diǎn)突出重點(diǎn)�,完善流程,充實(shí)�����、細(xì)化安全法規(guī)。此外�����,還要結(jié)合機(jī)構(gòu)的情況來制定文件安全管理制度�,建立起科學(xué)的監(jiān)督機(jī)制,對(duì)電子文件信息的人員管理�、風(fēng)險(xiǎn)評(píng)估以及操作流程進(jìn)行系統(tǒng)、全面的控制�。
2.2管理策略
雖然技術(shù)方式可以保障電子文件信息的安全,但是依然需要制定出合理的管理制度�����,僅僅依靠傳統(tǒng)的技術(shù)防火墻是無法起到良好的效果的�����,一般情況下�,管理策略需要涵蓋到幾個(gè)內(nèi)容:樹立起風(fēng)險(xiǎn)意識(shí):管理人員風(fēng)險(xiǎn)意識(shí)的淡薄是影響電子文件信息安全的主要誘因,實(shí)施風(fēng)險(xiǎn)管理模式可以提升電子文件應(yīng)用的安全性�����,提升其管理水平���,為此���,相關(guān)部門需要加強(qiáng)對(duì)工作人員的培訓(xùn)與教育,提升他們的風(fēng)險(xiǎn)意識(shí)���,建立防護(hù)體系���,明確管理重點(diǎn),為電子文件提供科學(xué)的保障�;將安全管理原則落實(shí)到實(shí)處,要保障電子文件信息的安全性�����,必須要制定出專門的安全管理守則���,安全守則的制定需要遵循職責(zé)分離原則�����、專人負(fù)責(zé)原則以及制度保障原則幾個(gè)方面�����。在具體的應(yīng)用過程中�,每個(gè)單位都需要考慮到自身的實(shí)際情況,及時(shí)調(diào)整管理策略���,一旦發(fā)現(xiàn)有人違反規(guī)定�,必須要嚴(yán)厲處罰�。此外,電子文件信息安全保障體系涉及的內(nèi)容是非常多樣的���,在研制軟件時(shí)���,就需要考慮到這些問題,一些單位為了省事�,往往聘請(qǐng)軟件公司來負(fù)責(zé)這一事宜,但是���,市面上的軟件公司水平往往參差不齊�����,研制的軟件也難以取得理想的效果���。為了解決這一問題�,單位必須要加強(qiáng)與軟件公司的溝通和交流�����,分析其中存在的安全風(fēng)險(xiǎn)���,充分的考慮到每一個(gè)細(xì)節(jié)問題,最大限度的保障內(nèi)部電子文件信息的安全性�。建立起科學(xué)的電子文件備份機(jī)制。合理的備份機(jī)制是應(yīng)對(duì)安全事件的有效保障�,電子文件備份機(jī)制能夠避免文件的丟失,這包括三個(gè)類型:第一就是硬件級(jí)別的備份���,采用各類閑置硬件來保障系統(tǒng)運(yùn)行的穩(wěn)定性�����,但是�����,該種方式是無法避免病毒���、人為操作等引起的錯(cuò)誤的���;第二,進(jìn)行軟件備份�,保存好系統(tǒng)數(shù)據(jù),如果系統(tǒng)發(fā)生錯(cuò)誤���,可以及時(shí)的恢復(fù)���,避免數(shù)據(jù)出現(xiàn)邏輯性損壞;第三�,進(jìn)行人工備份,利用硬件備份避免物理故障問題的發(fā)生���,同時(shí)�,聯(lián)合使用軟件備份與人工備份���,進(jìn)行多重保護(hù)�。對(duì)于備份機(jī)制�����,需要制定好完善的計(jì)劃表,建立好備份副本�����,制定出合理的應(yīng)急機(jī)制�����,對(duì)于網(wǎng)絡(luò)環(huán)境���,不僅要做好文件備份,還要對(duì)整個(gè)網(wǎng)絡(luò)體系進(jìn)行備份���;第四�,利用多重技術(shù)保證文件的傳輸安全�。對(duì)于加密文件信息,可以將傳統(tǒng)加密技術(shù)與防消息泄密技術(shù)�、信息隱藏技術(shù)與防拷貝技術(shù)結(jié)合起來,其中�����,信息加密技術(shù)就是采用密碼的形式儲(chǔ)存相關(guān)的文件信息�����,讓竊取者無法在短時(shí)間內(nèi)破譯內(nèi)容。而信息隱藏技術(shù)主要針對(duì)的文件�����,將消息的發(fā)送者與接收者隱藏�。防消息泄密技術(shù)能夠避免電子文件信息出現(xiàn)電磁輻射泄漏。防拷貝技術(shù)主要針對(duì)貯存的電子文件�,對(duì)其載體進(jìn)行技術(shù)處理�,即便被不法分子獲取,也無法識(shí)別出來�。
3結(jié)語
總而言之,為了保障電子文件信息的安全性���,必須要建立起與之相關(guān)的安全保障體系�,縱觀我國(guó)的實(shí)際情況來看���,關(guān)于這一內(nèi)容尚未制定出系統(tǒng)的規(guī)章制度�,要提升電子文件信息的安全性�,需要綜合考慮到各個(gè)方面的內(nèi)容,這一道路還任重道遠(yuǎn)���。
參考文獻(xiàn):
[1]陳清明,張俊彥.信息安全風(fēng)險(xiǎn)評(píng)估工具及其應(yīng)用分析[J].信息安全與通信保密,2010(01).
[2]張江珊.檔案信息公開的程序化思考——基于16宗案例及《信息公開司法解釋》的分析[J].檔案學(xué)通訊,2011(04).
第4篇
我國(guó)信息化發(fā)展空前迅速���,信息安全保障需求已成為信息化發(fā)展的重要部分���。如何以信息化提升綜合國(guó)力,并在信息化快速發(fā)展的同時(shí)確保國(guó)家的信息安全���,已成為各國(guó)政府關(guān)心的熱點(diǎn)問題�����。
中國(guó)信息化建設(shè)在突飛猛進(jìn)的同時(shí),也面臨著一系列的信息安全隱患�����。關(guān)鍵信息的安全管理漏洞���,將會(huì)給政府�����、電信���、金融���、民航等重點(diǎn)行業(yè)帶來不可估量的嚴(yán)重后果。病毒的大肆傳播與黑客的不斷攻擊等事件的發(fā)生�,也將造成巨大的經(jīng)濟(jì)損失,甚至威脅到國(guó)家的安全�����。
建立國(guó)家信息安全保障體系
信息安全保障體系的建設(shè)策略是要建立信息安全防護(hù)能力���,要具有隱患發(fā)現(xiàn)能力�、網(wǎng)絡(luò)反應(yīng)能力�����、信息對(duì)抗能力���。
信息安全技術(shù)保障體系的建立要強(qiáng)調(diào)自主研發(fā)與創(chuàng)新���,要組建研發(fā)國(guó)家隊(duì)與普遍推動(dòng)相結(jié)合,推動(dòng)自主知識(shí)產(chǎn)權(quán)與專利���,建設(shè)技術(shù)工程中心與加速產(chǎn)品孵化�,加大技術(shù)研發(fā)專項(xiàng)基金,全面推動(dòng)與突出重點(diǎn)的技術(shù)研發(fā)相結(jié)合�。要建立縱深的防御體系,采用網(wǎng)絡(luò)信息安全域的劃分與隔離控制�����、內(nèi)部網(wǎng)安全服務(wù)與控制策略���、外部網(wǎng)安全服務(wù)與控制策略�����、互聯(lián)網(wǎng)安全服務(wù)與控制策略�����、公共干線的安全服務(wù)與控制策略、計(jì)算環(huán)境的安全服務(wù)機(jī)制���、多級(jí)設(shè)防與科學(xué)部署策略�����、全局安全檢測(cè)�����、集成管理�、聯(lián)動(dòng)控制與恢復(fù)等手段來保障信息安全。此外�,要采用信息系統(tǒng)安全工程的控制方法和安全技術(shù)產(chǎn)品與系統(tǒng)互操作性策略。
建立資質(zhì)認(rèn)證機(jī)制和監(jiān)理機(jī)制�����,形成社會(huì)化服務(wù)和行政監(jiān)管體系�����。要建立基于數(shù)字證書的信任體系�����、信息安全測(cè)評(píng)與評(píng)估體系�����、應(yīng)急響應(yīng)與支援體系�、計(jì)算機(jī)病毒防治與服務(wù)體系�����,建立災(zāi)難恢復(fù)基礎(chǔ)設(shè)施和密鑰管理基礎(chǔ)設(shè)施���。
在搭建國(guó)家信息安全保障體系框架時(shí),要建立信息安全標(biāo)準(zhǔn)與法規(guī)環(huán)境�����,這就需要強(qiáng)力推動(dòng)信息安全標(biāo)準(zhǔn)化工作�、加強(qiáng)信息安全標(biāo)準(zhǔn)的研發(fā)、評(píng)審、審批,加快信息安全法規(guī)的制訂以及相關(guān)法規(guī)的制訂�。此外��,還需要培養(yǎng)大量高級(jí)信息安全人才��。
信息安全需要技術(shù)保障
信息安全保障����,從保密性����、完整性、可用性��、可控性�、不可否認(rèn)性等安全屬性的需要,以及在預(yù)警��、保護(hù)�、檢測(cè)、響應(yīng)����、恢復(fù)及反擊等環(huán)節(jié)提出了諸多的技術(shù)需求。
目前�,國(guó)際上出現(xiàn)了一個(gè)叫"MALWERE(壞件)"的新概念,它把計(jì)算機(jī)病毒����、蠕蟲、邏輯炸彈�、特洛伊木馬、愚弄和下流玩笑程序以及惡意代碼都包括在內(nèi)��。在這個(gè)概念的推動(dòng)下�,計(jì)算機(jī)病毒檢測(cè)功能必將逐步有所擴(kuò)充。
現(xiàn)在的防火墻在功能上有了許多擴(kuò)展和延伸��,許多產(chǎn)品把VPN的功能加入到防火墻中,也有把入侵檢測(cè)(IDS)��、病毒檢測(cè)等功能模塊加入防火墻之中�。
為了實(shí)現(xiàn)對(duì)各種安全模塊的集中管理,共享安全事件審計(jì)分析信息��,統(tǒng)一制訂和實(shí)施安全策略����,還出現(xiàn)了集中安全管理平臺(tái)的研制開發(fā)。
政府信息化采購應(yīng)兼顧信息安全
政務(wù)信息化政府采購不僅應(yīng)滿足經(jīng)濟(jì)指標(biāo)����,也應(yīng)兼顧信息安全。現(xiàn)在我國(guó)《政府采購法》已經(jīng)出臺(tái)��,這將有利于政務(wù)信息化的信息安全����,也有利于本國(guó)IT企業(yè)的發(fā)展。
在政府采購中�,電子政務(wù)占有重要的地位。據(jù)預(yù)測(cè)����,2002年中國(guó)電子政務(wù)市場(chǎng)總投資將達(dá)到350億元,比2001年增長(zhǎng)23.4%����;2002年~2004年中國(guó)電子政務(wù)總體市場(chǎng)年復(fù)合增長(zhǎng)率為25.7%。按照這一速度計(jì)算��,5年后電子政務(wù)市場(chǎng)的投資額將突破1000億元����,因此它將成為國(guó)內(nèi)外企業(yè)關(guān)注的一個(gè)焦點(diǎn)。
《政府采購法》支持本國(guó)產(chǎn)業(yè)
采購法中明確規(guī)定�,除一些特殊情況外,政府采購應(yīng)當(dāng)采購本國(guó)貨物�、工程和服務(wù)(包括本國(guó)軟件和服務(wù)),這個(gè)規(guī)定既有利于本國(guó)企業(yè)��,也有利于保障信息安全��。
加入WTO并不等于立刻開放政府采購市場(chǎng)����,因?yàn)榧尤隬TO并不等于加入《政府采購協(xié)議》(GPA)。GPA是所謂"復(fù)邊貿(mào)易協(xié)議"����,僅對(duì)簽字成員方有效�,我國(guó)在兩年后才會(huì)談判是否加入GPA��。而在我國(guó)加入WTO的GPA之前��,根據(jù)國(guó)際慣例��,可以通過政府采購扶持本國(guó)產(chǎn)業(yè)����。
政府采購支持NC推廣
目前,具有我國(guó)自主知識(shí)產(chǎn)權(quán)�、非Wintel架構(gòu)(采用方舟CPU和LinuxOS)的NC已經(jīng)開始在學(xué)校、銀行等單位應(yīng)用�。它具有信息安全性好、容易管理和維護(hù)�、成本低等優(yōu)點(diǎn),非常適合在電子政務(wù)中推廣應(yīng)用?�,F(xiàn)在國(guó)家有關(guān)部門要求在電子政務(wù)中采用NC��,因此可以在政務(wù)信息化項(xiàng)目的招標(biāo)中����,將上述這些指標(biāo)列入招標(biāo)條件����,那么NC將明顯勝過PC����。只要依法采購��,NC就可以首先在政務(wù)信息化中得到推廣��,然后在政府的帶動(dòng)下����,逐步推廣到其他領(lǐng)域,逐步改變我國(guó)計(jì)算機(jī)產(chǎn)業(yè)的"無芯"狀態(tài)�。
第5篇
關(guān)鍵詞:金融信息,網(wǎng)絡(luò)安全�,保障體系,服務(wù)
1金融信息系統(tǒng)安全保障體系的總體構(gòu)架
金融信息系統(tǒng)安全保障體系的總體構(gòu)架有系統(tǒng)安全�、物理安全、應(yīng)用安全����、網(wǎng)絡(luò)安全、和管理安全��。畢業(yè)論文,網(wǎng)絡(luò)安全����。
1.1金融信息系統(tǒng)的安全
系統(tǒng)安全指的就是網(wǎng)絡(luò)結(jié)構(gòu)的安全和操作系統(tǒng)的安全,應(yīng)用系統(tǒng)安全等等�。畢業(yè)論文,網(wǎng)絡(luò)安全�。網(wǎng)絡(luò)結(jié)構(gòu)的安全就是指網(wǎng)絡(luò)拓?fù)錄]有冗余的環(huán)路產(chǎn)生,線路比較暢通��,結(jié)構(gòu)合理�。操作系統(tǒng)的安全就是指要采用較高的網(wǎng)絡(luò)操作系統(tǒng),刪除一些不常用卻存在安全隱患的應(yīng)用�,對(duì)一些用戶的信息和口令要進(jìn)行嚴(yán)格的把關(guān)和限制。應(yīng)用系統(tǒng)的安全就是指只保留一些常用的端口號(hào)和協(xié)議��,要嚴(yán)格的控制使用者的操作權(quán)限�。在系統(tǒng)中要對(duì)系統(tǒng)有一些必要的備份和恢復(fù),它是為了保護(hù)金融系統(tǒng)出現(xiàn)問題時(shí)����,能夠快速的恢復(fù),在金融系統(tǒng)在運(yùn)行的過程中要對(duì)其內(nèi)容進(jìn)行備份��。
1.2金融信息系統(tǒng)的物理安全
物理安全就是要保證整個(gè)網(wǎng)絡(luò)體系與信息結(jié)構(gòu)都是安全的��。物理安全主要涉及的就是環(huán)境的安全和設(shè)備的安全,環(huán)境安全主要就是防雷����、防火、防水��、等等����,而設(shè)備的安全指的就是防盜��、放干擾等等�。
1.3金融信息系統(tǒng)的應(yīng)用安全
金融信息系統(tǒng)的應(yīng)用安全主要就是指金融信息系統(tǒng)訪問控制的需要,對(duì)訪問的控制采用不同的級(jí)別�,對(duì)用戶級(jí)別的訪問授權(quán)也是不同。收集驗(yàn)證數(shù)據(jù)和安全傳輸?shù)臄?shù)據(jù)都是對(duì)目前使用者的身份識(shí)別和驗(yàn)證的重要步驟�。而對(duì)于金融系統(tǒng)中數(shù)據(jù)資源的備份和恢復(fù)的機(jī)制也要采取相應(yīng)的保護(hù)措施,在故障發(fā)生后第一時(shí)間恢復(fù)系統(tǒng)����。
1.4金融信息系統(tǒng)的網(wǎng)絡(luò)安全
金融信息都是通過才能向外界的,而通過采取數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的加密來實(shí)現(xiàn)通信的保護(hù)����,對(duì)網(wǎng)絡(luò)中重要信息進(jìn)行保護(hù)�。而對(duì)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)也是必要的��,通過信息代碼對(duì)進(jìn)出的網(wǎng)段進(jìn)行監(jiān)控����,來確保信息的安全性。畢業(yè)論文��,網(wǎng)絡(luò)安全��。對(duì)系統(tǒng)也要進(jìn)行不定期的部件檢測(cè)����,所是發(fā)現(xiàn)有漏洞要及時(shí)的進(jìn)行補(bǔ)救。
1.5金融信息系統(tǒng)的安全管理
金融系統(tǒng)是一個(gè)涵蓋多方面的網(wǎng)絡(luò)��,也運(yùn)行著很多的網(wǎng)絡(luò)����,對(duì)金融系統(tǒng)進(jìn)行信息管理,就應(yīng)該設(shè)置安全的管理中心��,要集中的管理�,嚴(yán)格的規(guī)定和確定明確的責(zé)任和控制,確保金融系統(tǒng)可靠的運(yùn)行�。
2金融信息系統(tǒng)安全保障的措施
2.1設(shè)置安全保障的措施
對(duì)于任何未經(jīng)允許的策略都嚴(yán)格的禁止����,系統(tǒng)允許訪問的都要經(jīng)過眼的認(rèn)證才能進(jìn)入下一步����,重要的金融信息要經(jīng)加密的措施進(jìn)行傳輸。要通過網(wǎng)絡(luò)安全策略對(duì)金融信息系統(tǒng)的網(wǎng)絡(luò)設(shè)置防火墻��,用來保護(hù)各個(gè)金融節(jié)點(diǎn)的信息安全�,允許授權(quán)用戶訪問局域網(wǎng),允許授權(quán)用戶訪問該局域網(wǎng)內(nèi)的特定資源;按業(yè)務(wù)和行政歸屬��,在橫向和縱向網(wǎng)絡(luò)上通過采用MPLSVPN技術(shù)進(jìn)行VPN劃分�。
2.2使用安全技術(shù)和安全產(chǎn)品的措施
為了金融系統(tǒng)有個(gè)安全可靠運(yùn)行環(huán)境�,遵循金融系統(tǒng)的安全保障體系策略,要在金融信息系統(tǒng)中安裝一些安全技術(shù)和安全的產(chǎn)品����。將金融信息系統(tǒng)劃分為不同的安全區(qū)域,每個(gè)區(qū)域都不同的責(zé)任和任務(wù)��,對(duì)不同的區(qū)域要有不同的保護(hù)措施��,即方便又增強(qiáng)了安全性����。在金融想嘔吐中安裝一道防火墻��,用來防止不可預(yù)見的事故�,若是有潛在的破壞性的攻擊者�,防火墻會(huì)起到一定的作用,對(duì)外部屏蔽內(nèi)部的消息�,以實(shí)現(xiàn)網(wǎng)絡(luò)的安全防護(hù)。應(yīng)該在金融信息系統(tǒng)中設(shè)置入侵檢測(cè)系統(tǒng)��,要對(duì)網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行定期的檢測(cè)��,對(duì)入侵的事件進(jìn)行檢測(cè)����,對(duì)網(wǎng)絡(luò)進(jìn)行全方位的保護(hù)��。在金融信息系統(tǒng)中安裝防病毒的系統(tǒng)�,對(duì)有可能產(chǎn)生的病源或是路徑進(jìn)行相對(duì)應(yīng)的配置防病毒的軟件,對(duì)金融信息系統(tǒng)提供一個(gè)集中式的管理��,對(duì)反病毒的程序進(jìn)行安裝����、掃描����、更新和共享等����,將日常的金融信息系統(tǒng)的維護(hù)工作簡(jiǎn)單化,對(duì)有可能侵入金融信息系統(tǒng)的病毒進(jìn)行24小時(shí)監(jiān)控��,使得網(wǎng)絡(luò)免遭病毒的危害����。定期的對(duì)金融信息系統(tǒng)進(jìn)行安全評(píng)估,對(duì)系統(tǒng)中的工作站��、服務(wù)器����、交換機(jī)��、數(shù)據(jù)庫一一的進(jìn)行檢測(cè)評(píng)估�,根據(jù)評(píng)估的結(jié)果,向系統(tǒng)提供報(bào)告����。安全的評(píng)估與防火墻的入侵檢測(cè)是相互配合的����,夠使網(wǎng)絡(luò)提供更高性能的服務(wù)�。畢業(yè)論文,網(wǎng)絡(luò)安全�。
2.3金融信息管理的安全措施
在管理的技術(shù)手段上,也要提高安全管理的水平�。金融信息系統(tǒng)是相對(duì)比較封閉的,金融信息系統(tǒng)的安全是最重要的��,業(yè)務(wù)邏輯與操作規(guī)范的嚴(yán)密是重中之重��。因此對(duì)于金融信息系統(tǒng)的內(nèi)部管理�,加強(qiáng)領(lǐng)導(dǎo)班子對(duì)安全管理的體系,強(qiáng)化日常的管理制度嗎�、,提升根本的管理層次����。
2.3.1建立完善的組織機(jī)構(gòu)
如今我國(guó)更加重視信息安全的發(fā)展,它可以促進(jìn)經(jīng)濟(jì)發(fā)展和維護(hù)社會(huì)的穩(wěn)定�。在金融信息系統(tǒng)的內(nèi)部要建立安全管理小組,安全管理小組的任務(wù)就是要制定出符合金融發(fā)展的安全策略��。管理小組由責(zé)任和義務(wù)維護(hù)好系統(tǒng)的安全和穩(wěn)定。
2.3.2制定一系列的安全管理辦法和法規(guī)�,主要就是抓住內(nèi)網(wǎng)的管理,行為��、應(yīng)用等管理�,進(jìn)行內(nèi)容控制和存儲(chǔ)管理。對(duì)每個(gè)設(shè)施都要有一套預(yù)案����,并定期進(jìn)行測(cè)試。畢業(yè)論文��,網(wǎng)絡(luò)安全�。
2.3.3 加強(qiáng)嚴(yán)格管理,加強(qiáng)登陸身份的認(rèn)證��,嚴(yán)格控制用戶的使用權(quán)限�,對(duì)每個(gè)用戶都要進(jìn)行信息跟蹤,為系統(tǒng)的審核提供保障��。畢業(yè)論文�,網(wǎng)絡(luò)安全。
2.3.4加強(qiáng)重視信息保護(hù)的等級(jí)��,對(duì)金融信息系統(tǒng)中信息重點(diǎn)保護(hù)�,對(duì)重要信息實(shí)施強(qiáng)制保護(hù)和強(qiáng)制性認(rèn)證,以確保金融業(yè)務(wù)信息的安全����。也要不斷的加強(qiáng)信息管理人才與安全隊(duì)伍的建設(shè),加大對(duì)復(fù)合型人才的培養(yǎng)力度�,通過各種會(huì)議、網(wǎng)站�、廣播、電視�、報(bào)紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識(shí)����,尤其是加強(qiáng)企業(yè)內(nèi)部人員的信息安全知識(shí)培訓(xùn)與教育,提高員工的信息安全自律水平�。
3結(jié)語
隨著金融信息化的快速發(fā)展,金融信息系統(tǒng)的規(guī)模逐步擴(kuò)大��,金融信息資產(chǎn)的數(shù)量急劇增加��,對(duì)網(wǎng)絡(luò)與信息系統(tǒng)實(shí)施安全保護(hù)已勢(shì)在必行����。目前互聯(lián)網(wǎng)的應(yīng)用還缺乏一定的安全措施,這樣就嚴(yán)重的影響和限制了金融系統(tǒng)通過網(wǎng)絡(luò)向外界提供服務(wù)的質(zhì)量和種類�。因此�,各個(gè)金融信息系統(tǒng)都必須要采取一定的安全防護(hù)措施�,構(gòu)建一個(gè)安全的合理的金融信息系統(tǒng)。
參考文獻(xiàn):
[1]盧新德.構(gòu)建信息安全保障新體系:全球信息戰(zhàn)的新形勢(shì)與我國(guó)的信息安全戰(zhàn)略[M].北京:中國(guó)經(jīng)濟(jì)出版社����,2007.
[2]李改成.金融信息安全工程[M].北京:機(jī)械工業(yè)出版社,2010.
[3]方德英����,黃飛鳴.金融業(yè)信息化戰(zhàn)略——理論與實(shí)踐[M].北京:電子工業(yè)出版社,2009.4.
第6篇
關(guān)鍵詞:電力系統(tǒng)����;信息安全;安全策略
中圖分類號(hào):TM39 文獻(xiàn)標(biāo)識(shí)碼:A
隨著飛速發(fā)展的電力信息化����,電力系統(tǒng)越來越依賴于計(jì)算機(jī)網(wǎng)絡(luò)與電子信息系統(tǒng),電力信息安全系統(tǒng)一旦產(chǎn)生差錯(cuò)�,將直接危害電網(wǎng)以及其衍射破壞國(guó)民經(jīng)濟(jì),其殺傷力勢(shì)必?zé)o法估量��。電力系統(tǒng)信息安全是一項(xiàng)技術(shù)復(fù)雜度高����、管理程度較深綜合型系統(tǒng)工程�,波及到電力生產(chǎn)����、傳輸����、分配與使用等各個(gè)環(huán)節(jié)的同時(shí),需最大限度地確保電力信息的密保性����、整體性、可用性��、可控性��。此外����,電力系統(tǒng)信息安全的深入研究,構(gòu)建電力系統(tǒng)信息安全保障體系顯得尤為重要�。
一、電力系統(tǒng)現(xiàn)存的信息安全隱患
近幾年����,快速發(fā)展的國(guó)內(nèi)電力信息化�,電力通信逐步轉(zhuǎn)變?yōu)橐怨饫w和數(shù)字微波為主導(dǎo)的的傳輸方式��,并存著衛(wèi)星����、電力線載波、電纜�、無線等多種通信方式的全國(guó)電力系統(tǒng)通信,為進(jìn)一步發(fā)展國(guó)內(nèi)電氣信息化夯實(shí)了基礎(chǔ)��。綜合來講����,相對(duì)較高的國(guó)內(nèi)電力系統(tǒng)信息安全程度,保障著電力系統(tǒng)信息運(yùn)行的安全性����、穩(wěn)定性。
雖然我國(guó)電力系統(tǒng)信息安全已取得了可喜的成效��,但仍有進(jìn)一步完善之處:
1.未統(tǒng)一規(guī)范管理的電力系統(tǒng)信息安全����。確保正常運(yùn)作電力系統(tǒng),信息安全極為重要��,但就目前來說,統(tǒng)一化����、權(quán)威性的電力系統(tǒng)信息安全管理規(guī)范仍未真正落實(shí)到位。
2.符合電力行業(yè)指標(biāo)的信息安全保障體系未合理構(gòu)建�。如在電力行業(yè)內(nèi)部缺失計(jì)算機(jī)信息網(wǎng)絡(luò)安全意識(shí)����、未實(shí)施完善的數(shù)據(jù)備份措施、脆弱的身份認(rèn)證����、計(jì)算機(jī)網(wǎng)絡(luò)化以及局域網(wǎng)廣域化,加大了外在危險(xiǎn)的攻擊力等問題����,屢見不鮮。隨著逐步推進(jìn)的電氣信息化進(jìn)程��,計(jì)算機(jī)網(wǎng)絡(luò)越來越多的應(yīng)用于電力系統(tǒng)的生產(chǎn)管理領(lǐng)域��,但具有一定運(yùn)行特點(diǎn)的電力系統(tǒng)�,構(gòu)建與電力工業(yè)特點(diǎn)相一致的計(jì)算機(jī)信息安全保障體系極為關(guān)鍵。
3.涌現(xiàn)出軟件內(nèi)部的安全漏洞����。軟件的獨(dú)特定已決定了自身一定不是健全的產(chǎn)品����,不同影響的安全漏洞會(huì)不斷涌現(xiàn)����。加之應(yīng)用廣泛的軟件,增加了軟件接觸的條件復(fù)雜性����,從而一定程度上隱藏了自身潛在的缺陷。
4.假借網(wǎng)頁進(jìn)行惡意攻擊��。一般情況下��,每個(gè)電力企業(yè)均有自己電力系統(tǒng)網(wǎng)站��,在互聯(lián)網(wǎng)連入后�,各種網(wǎng)頁均在每位電腦用戶搜尋所需的有用信息不斷點(diǎn)擊下打開。這也是不可回避的情況��,然而�,并不是打開的所有網(wǎng)頁是安全的。部分網(wǎng)站的開發(fā)者或擁有者,為獲取某種利益��,就會(huì)巧妙地修改自己的網(wǎng)頁��,以便其具有一定的特殊功能�。如:點(diǎn)擊打開某網(wǎng)站鏈接時(shí),不經(jīng)意間會(huì)發(fā)覺自己的瀏覽器已被自動(dòng)更換�,名稱已換成惡意網(wǎng)站的標(biāo)題。此情況下����,運(yùn)用正常手段根本無法修正��。更有甚者�,部分網(wǎng)頁自身具有攜帶木馬的功能,只要不小心打開或?yàn)g覽后����,就有可能將木馬種在你的機(jī)器內(nèi),之后就會(huì)無意間破壞或泄露你個(gè)人的信息等�。
5.針對(duì)當(dāng)前服務(wù)虛擬化快速發(fā)展變革期的來臨,給電力企業(yè)信息系統(tǒng)帶來了一定的安全問題��。比如攻擊內(nèi)部虛擬機(jī)��、爭(zhēng)奪有限的資源以及增加管理難度等方面。對(duì)此�,基于信息安全保障體系預(yù)設(shè)的前提下,可以制定虛擬化感知的安全應(yīng)對(duì)方案��,規(guī)避爭(zhēng)奪資源��,進(jìn)而最大限度的提高服務(wù)器處于高峰和非高峰期內(nèi)的工作效率�。
二、構(gòu)建電力系統(tǒng)信息安全保障體系的幾點(diǎn)思考
1.進(jìn)一步完善信息安全管理機(jī)制
整體規(guī)劃統(tǒng)籌��,關(guān)注重點(diǎn)��,建設(shè)信息安全管理制度與規(guī)范標(biāo)準(zhǔn)進(jìn)程需進(jìn)一步加快��,切實(shí)制定相關(guān)的信息安全制度條例��,有效編制電力系統(tǒng)的實(shí)施辦法��,明確信息安全項(xiàng)目的側(cè)重點(diǎn)�,規(guī)劃統(tǒng)籌電力系統(tǒng)信息安全任務(wù)。合理構(gòu)建電力系統(tǒng)信息安全保障體系�,為本單位防護(hù)信息安全設(shè)施完善與更新工作做好全方位指導(dǎo),及時(shí)調(diào)查應(yīng)對(duì)產(chǎn)生信息事故之后的規(guī)范性工作��,從而進(jìn)一步提高信息安全事件的管理與監(jiān)督力度����。與此同時(shí)�,針對(duì)規(guī)范建設(shè)災(zāi)難恢復(fù)系統(tǒng)����,需緊抓研究與編制,實(shí)施有效的恢復(fù)災(zāi)難措施��,適當(dāng)規(guī)劃統(tǒng)籌單位內(nèi)部恢復(fù)災(zāi)難的系統(tǒng)建設(shè)工作��。
除此之外��,標(biāo)準(zhǔn)化����、規(guī)范化是確保電力系統(tǒng)信息安全的基礎(chǔ)性工作����。電力企業(yè)需著手于電力系統(tǒng)的實(shí)際特點(diǎn),格外重視電力系統(tǒng)信息安全的規(guī)范化����、統(tǒng)一性管理,適當(dāng)?shù)闹贫ú⑼晟埔惶讟?biāo)準(zhǔn)化����、統(tǒng)一性的安全管理規(guī)范機(jī)制����,從而最大限度的彌補(bǔ)電力企業(yè)內(nèi)部信息安全管理存在的不足之處�,增強(qiáng)企業(yè)的風(fēng)險(xiǎn)承受力。在構(gòu)建電力系統(tǒng)信息安全保障體系的過程中�,電力系統(tǒng)主要管理部門必須嚴(yán)格按照確保電力系統(tǒng)正常運(yùn)行的指標(biāo)需求,參照現(xiàn)今的國(guó)際安全標(biāo)準(zhǔn)����、國(guó)家安全標(biāo)準(zhǔn)以及相關(guān)的安全法規(guī)政策,有效地構(gòu)建電力系統(tǒng)信息安全的各項(xiàng)管理規(guī)范和相關(guān)技術(shù)標(biāo)準(zhǔn)����,進(jìn)一步規(guī)范基礎(chǔ)性設(shè)施構(gòu)建、系統(tǒng)與網(wǎng)絡(luò)平臺(tái)搭建��、應(yīng)用軟件開發(fā)�、運(yùn)行管理等各個(gè)重要環(huán)節(jié),進(jìn)而為電力系統(tǒng)信息安全的構(gòu)建創(chuàng)造堅(jiān)實(shí)的基礎(chǔ)��。
2.加快建設(shè)信息安全管控機(jī)制
全面落實(shí)信息安全保障體系不可忽略主要負(fù)責(zé)人員的組織�、管理工作。結(jié)合每人的不同因素�,需嚴(yán)格遵循以人為本的安全理念是構(gòu)建電力系統(tǒng)信息安全保障體系的基本原則之一�,對(duì)此����,在整個(gè)電力系統(tǒng)信息安全中,需重視組織安全機(jī)制的有效落實(shí)工作����。在制定健全組織安全機(jī)制的過程中,需進(jìn)一步提高計(jì)算機(jī)信息網(wǎng)絡(luò)工作人員的安全意識(shí)����,并針對(duì)專門負(fù)責(zé)信息安全工作人員開展定期或不定期的安全培訓(xùn)。
建設(shè)個(gè)人終端標(biāo)準(zhǔn)化工作需加快推進(jìn)��,嚴(yán)格管理個(gè)人終端接入網(wǎng)��,將個(gè)人終端補(bǔ)丁程序與及時(shí)自動(dòng)更新��、升級(jí)病毒軟件落實(shí)到日常工作中����,而對(duì)于隨意下載或安裝的非正版軟件需加大嚴(yán)禁力度�。加強(qiáng)實(shí)施防治木馬病毒等危險(xiǎn)因素侵入的安全措施,做好外來用戶訪問控制工作��。全面有效的監(jiān)控信息安全,盡快構(gòu)建信息安全監(jiān)控體系����,實(shí)現(xiàn)集中監(jiān)視防火墻、入侵檢測(cè)等安全防護(hù)設(shè)施��,或?qū)ζ溥M(jìn)行及時(shí)有效地警示����,同時(shí),深入研究信息安全模型�,制定綜合評(píng)估檢測(cè)信息安全機(jī)制,確保安全信息評(píng)估的科學(xué)化��、簡(jiǎn)便性��。
3.增強(qiáng)安息安全密保工作的認(rèn)識(shí)度
認(rèn)清形勢(shì)����,對(duì)全體員工的密保知識(shí)水平與防護(hù)技能進(jìn)行全方面檢測(cè),提高網(wǎng)絡(luò)竊密泄密防范水平����。針對(duì)外網(wǎng)連接其他公共信息網(wǎng)絡(luò),需嚴(yán)格審查或嚴(yán)禁�,并嚴(yán)禁外存或處理國(guó)家和單位機(jī)密在非網(wǎng)上�,將保護(hù)信息安全工作和職責(zé)切實(shí)落實(shí)到位�。與合作單位的開發(fā)、咨詢工作需強(qiáng)化信息安全保密管理����,簽訂保密協(xié)議,嚴(yán)審?fù)鈦砣藛T的訪問����,加強(qiáng)授權(quán)管理,做好監(jiān)管與備案工作����。定期或不定期開展審查信息系統(tǒng)安全保密活動(dòng),對(duì)文檔做好登記����、存檔、銷毀��、定檢以及解密等各方面工作�,及時(shí)發(fā)現(xiàn)、解除隱性的或顯性的泄密隱患����。
在信息安全保障體系設(shè)計(jì)階段,確保電力系統(tǒng)信息安全需重點(diǎn)考慮的關(guān)鍵條件之一�。規(guī)范化使用系統(tǒng)內(nèi)部的部分安全設(shè)施,增強(qiáng)基礎(chǔ)設(shè)備的安全度��,諸如盡可能實(shí)行深埋或架空通信線路等措施��,避免各種方式的意外損壞����。嚴(yán)格化管理保障體系內(nèi)的部分精密設(shè)施,合理制定專項(xiàng)負(fù)責(zé)制��,將責(zé)任具體到每人�。
三、憑借防火墻及云計(jì)算安全手段����,保障信息安全
近年來,隨著網(wǎng)絡(luò)科技的快速發(fā)展�,防火墻技術(shù)已作為新興的計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)性技術(shù)措施之一。在網(wǎng)絡(luò)中��,通過阻止黑客訪問某個(gè)機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)而設(shè)定的屏障�,換句話而言,是專門控制超出兩個(gè)方向的通信門檻��。針對(duì)邊界網(wǎng)絡(luò),可利用對(duì)應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)的構(gòu)建來將內(nèi)外網(wǎng)絡(luò)進(jìn)行隔離����,從而防止外部網(wǎng)絡(luò)的入侵;緊密結(jié)合實(shí)電力系統(tǒng)��,較為合適的利用“防火墻十殺毒軟件”配置方式��,做好及時(shí)升級(jí)����、更新工作,避免工作流于表面�。與此同時(shí),為保密信息因惡意外部破壞造成丟失或網(wǎng)絡(luò)癱瘓�,需認(rèn)真做好備份重要網(wǎng)絡(luò)信息和系統(tǒng)數(shù)據(jù)。此外��,備份的有效性定期檢驗(yàn)也顯得尤為重要�。有力鑒定數(shù)據(jù)備份的有效性關(guān)鍵在于定期的恢復(fù)演習(xí),也是有效演練網(wǎng)絡(luò)負(fù)責(zé)人恢復(fù)數(shù)據(jù)的操作技能�,鍛煉應(yīng)對(duì)問題時(shí)的從容面對(duì),冷靜思考�,進(jìn)而為網(wǎng)絡(luò)訪問創(chuàng)造保障環(huán)境。
防火墻的類型多樣,具體概況為包過濾防火墻�、防火墻與雙穴防火墻三大類。其中網(wǎng)絡(luò)層設(shè)置的一般是包過濾防火墻��,而在路由器上實(shí)現(xiàn)包過濾目的����。此類防火墻可以用來對(duì)外部非法用戶訪問的禁止�,以及訪問某些服務(wù)類型的禁止等。又稱應(yīng)用層網(wǎng)管級(jí)防火墻的防火墻��,其組成主要有服務(wù)器和過濾路由器��,是當(dāng)前相對(duì)較為流行的防火墻種類之一�。而針對(duì)雙穴防火墻,是在一個(gè)網(wǎng)絡(luò)內(nèi)進(jìn)行數(shù)據(jù)搜集����,并有選擇性的傳送到另一個(gè)網(wǎng)絡(luò)。電力系統(tǒng)信息安全的保障性離不開防火墻的合理配置��,確保安全連接各個(gè)網(wǎng)絡(luò)�,從而在連接端口規(guī)避出現(xiàn)安全漏洞。
同時(shí)��,通過加強(qiáng)云計(jì)算威脅管理,為信息安全保障體系提供靈活的管理策略��,進(jìn)一步豐富審計(jì)日志以及報(bào)表的功能����。并有效結(jié)合“云中保險(xiǎn)箱技術(shù)”,合理利用密鑰及管理策略機(jī)制��,保護(hù)用戶存儲(chǔ)的云隱私與數(shù)據(jù)信息��,使電力企業(yè)所運(yùn)用的云平臺(tái)或數(shù)據(jù)交換突破時(shí)空限制��,且更為安全��。
結(jié)束語
總的來說����,電力系統(tǒng)信息安全保障體系的構(gòu)建是為了更好地應(yīng)對(duì)電力系統(tǒng)信息安全的潛在威脅,使電力系統(tǒng)信息的安全性不斷提高�。在總結(jié)過去經(jīng)驗(yàn)的基礎(chǔ)上,各電力企業(yè)要積極分析電力系統(tǒng)的特點(diǎn)��,合理利用云計(jì)算安全手段����,制定相應(yīng)的安全策略�,建立全面合理的信息安全體系����,確保電力信息乃至整個(gè)電力系統(tǒng)的安全。
參考文獻(xiàn)
[1].吳克河.電力信息系統(tǒng)安全防御體系及關(guān)鍵技術(shù)[M].北京: 科學(xué)出版社.2011(10).
[2].田雨平.周鳳鳴.電力企業(yè)現(xiàn)代安全管理[M]. 北京:中國(guó)電力出版社.2009(1).
[3].國(guó)家電力監(jiān)管委員會(huì)安全監(jiān)管局.電力安全監(jiān)督管理工作手冊(cè)[M].北京:中國(guó)電力出版社.2009(4).
第7篇
即使這樣��,如下安全問題依然擺在了很多企業(yè)面前:安全設(shè)備部署了很多����,安全制度流程也建立了��,但從整體角度看��,仍然是各自為戰(zhàn)��,仿佛信息安全問題只是IT部門的事情����,與其他人無關(guān),這就使得無法形成整體有效的安全防護(hù)��;一邊是業(yè)務(wù)應(yīng)用越來越復(fù)雜����,一邊是安全設(shè)備和制度不斷增加����,如果安全設(shè)備和制度做多了����,業(yè)務(wù)部門抱怨太繁瑣,但如果不做這么多�,又怕出現(xiàn)安全問題,左右為難��。
那么��,出現(xiàn)這些問題的根源是什么呢��?我們?cè)缇椭?�,建設(shè)安全系統(tǒng)不僅僅是技術(shù)問題�,也是管理問題。而信息安全服務(wù)的主要目標(biāo)就是更好的支撐IT應(yīng)用系統(tǒng)的效果和效率����,也就是說,信息安全的主要目的是通過信息安全管理體系����、技術(shù)體系以及運(yùn)維體系的綜合有效建設(shè)����,讓IT應(yīng)用系統(tǒng)能夠達(dá)到更好的運(yùn)營(yíng)效果以及更高的效率����。而如何綜合而有效的建立信息安全保障體系,成為了擺在每個(gè)企業(yè)面前的課題����。
合規(guī)是重中之重
信息安全標(biāo)準(zhǔn)是確保信息安全產(chǎn)品和系統(tǒng)在設(shè)計(jì)、研發(fā)�、生產(chǎn)�、建設(shè)、使用和測(cè)評(píng)過程中保持一致性����、可靠性、可控性��、先進(jìn)性和符合性的技術(shù)規(guī)范和依據(jù)����,其不僅關(guān)系到國(guó)家的信息安全,也是保護(hù)國(guó)家利益�、促進(jìn)產(chǎn)業(yè)發(fā)展的一種重要手段����,同時(shí)更是信息安全保障體系中的重要組成部分�,是政府進(jìn)行宏觀管理的重要依據(jù)。
我國(guó)在這方面雖然起步較晚�,但也制定了一批符合中國(guó)國(guó)情的信息安全標(biāo)準(zhǔn),同時(shí)在一些重點(diǎn)行業(yè)還頒布了一批信息安全的行業(yè)標(biāo)準(zhǔn)�,尤其是國(guó)家等級(jí)保護(hù)制度和分級(jí)保護(hù)制度是我國(guó)在進(jìn)行信息安全保障體系建設(shè)中的重要依據(jù)。
因此����,企業(yè)只有在信息安全保障體系建設(shè)過程中依據(jù)相關(guān)標(biāo)準(zhǔn)進(jìn)行合規(guī)性分析,通過安全風(fēng)險(xiǎn)評(píng)估�,然后比對(duì)相關(guān)標(biāo)準(zhǔn)中所涉及的技術(shù)要求、管理要求�、測(cè)評(píng)要求,才能明確得出建設(shè)的方向和重點(diǎn)����,了解目前系統(tǒng)中存在的問題和改進(jìn)的方法,同時(shí)明確在管理�、部署和運(yùn)維過程中信息安全管理的相關(guān)制度、流程和需要持續(xù)改進(jìn)的目標(biāo)����。
此外�,相關(guān)標(biāo)準(zhǔn)還為企業(yè)明確了進(jìn)行信息安全保障體系建設(shè)的方法��,只有遵循這種方法才能做到“有法可依����、有章可循”。
安全咨詢是橋梁
前面提到����,信息安全建設(shè)的主要目的是讓IT應(yīng)用系統(tǒng)能夠達(dá)到更好的運(yùn)行效果,并提高系統(tǒng)的運(yùn)行效率�,也就是說,要讓信息安全保障體系成為IT應(yīng)用系統(tǒng)的有效支撐��。然而�,不同政府或企業(yè)的具體業(yè)務(wù)環(huán)境和流程各不相同,所以也不是每個(gè)政府或企業(yè)都可以使用一個(gè)統(tǒng)一的模板����。不同的組織在建立與完善信息安全保障體系時(shí)����,必須根據(jù)自己的業(yè)務(wù)特點(diǎn)和具體情況以及IT應(yīng)用的實(shí)際情況,采取不同的步驟和方法����。此外��,還要注意����,信息安全不僅涉及安全管理和技術(shù)層面的問題����,還會(huì)涉及到治理機(jī)制、業(yè)務(wù)流程�、人員管理、企業(yè)文化等內(nèi)容����。
這就使得,企業(yè)要運(yùn)用風(fēng)險(xiǎn)的方法來決定信息安全體系建設(shè)的目標(biāo)和步驟�。這個(gè)過程實(shí)際上是需要專業(yè)資深的安全服務(wù)人員對(duì)目標(biāo)的業(yè)務(wù)特點(diǎn)、IT應(yīng)用實(shí)際情況和具體管理方式進(jìn)行現(xiàn)場(chǎng)調(diào)研��、符合性分析��、相關(guān)的風(fēng)險(xiǎn)評(píng)估等操作的�,尤其是對(duì)關(guān)鍵業(yè)務(wù)應(yīng)用的深入了解和分析,只有這樣才能與標(biāo)準(zhǔn)比對(duì)形成安全基線和框架參考。
而且�,在建設(shè)過程中,還要不斷與相關(guān)負(fù)責(zé)人(決策人員����、安全管理員、網(wǎng)絡(luò)安全維護(hù)人員)進(jìn)行深入溝通��,以便發(fā)現(xiàn)安全隱患����、找出關(guān)注重點(diǎn),并提出有效的策略建議�,最終才能運(yùn)用風(fēng)險(xiǎn)的方法來決定體系建設(shè)的目標(biāo)和步驟,并一步一步實(shí)施完成��。通過這一點(diǎn)我們不難看出����,信息安全咨詢貫穿于整個(gè)信息安全體系建設(shè)的過程中,是聯(lián)系實(shí)際需求和建設(shè)目標(biāo)的橋梁�。
實(shí)際落地是關(guān)鍵
信息安全技術(shù)體系是利用技術(shù)手段實(shí)現(xiàn)了技術(shù)層面的安全保護(hù),是整個(gè)信息安全保障體系中非常重要的一部分�。很多政府和企業(yè)都部署過一些技術(shù)防護(hù)手段�,但這些防護(hù)手段是不是符合相關(guān)標(biāo)準(zhǔn)和關(guān)鍵業(yè)務(wù)的需求,是不是把風(fēng)險(xiǎn)控制到了一個(gè)可控的水平����,我們就不得而知了��。
因此�,在信息安全保障體系建立過程中��,一定要依照標(biāo)準(zhǔn)來選擇技術(shù)防護(hù)手段��,同時(shí)實(shí)現(xiàn)技術(shù)手段的落地是關(guān)鍵�。而要實(shí)現(xiàn)技術(shù)手段的落地,就要兼顧以下幾點(diǎn):選擇的技術(shù)產(chǎn)品要滿足政府或企業(yè)實(shí)際環(huán)境��、IT應(yīng)用和管理流程制度等客觀條件����;選擇的技術(shù)產(chǎn)品要具有易維護(hù)、管理簡(jiǎn)便的特點(diǎn)�,并要能夠保持先進(jìn)性;選擇的技術(shù)產(chǎn)品要能夠滿足應(yīng)用變化的需要��,并適應(yīng)技術(shù)的不斷發(fā)展����。即保障可用性、適用性和持續(xù)性。
安全意識(shí)是必須
在很多政府部門和企業(yè)中普遍存在這樣一個(gè)問題�,仿佛信息安全只是IT部門的事情,其他業(yè)務(wù)部門大多采取了“事不關(guān)己��,高高掛起”的態(tài)度��,這勢(shì)必會(huì)造成安全天天喊��,但是總沒有明顯效果的局面�。
可以說,建設(shè)信息安全保障體系是企業(yè)內(nèi)的一次“安全革命”��,通過培訓(xùn)�,不僅僅要讓每個(gè)人都提高對(duì)安全事件處理的管理水平和技術(shù)水平,更重要的是讓每個(gè)人都擁有“信息安全人人有責(zé)”的意識(shí)�。
同時(shí),這場(chǎng)“安全革命”給企業(yè)帶來了新的知識(shí)和管理模式�,企業(yè)必須通過培訓(xùn)將整個(gè)信息安全保障體系的相關(guān)知識(shí)轉(zhuǎn)移到每位員工身上,讓他們對(duì)整個(gè)體系逐步達(dá)到從接受到適應(yīng)�,再到最終掌握。只有這樣才能讓整個(gè)信息安全保障體系真正應(yīng)用起來��,并真正起到效果��。
運(yùn)維平臺(tái)是手段
第8篇
1農(nóng)業(yè)科學(xué)技術(shù)檔案的安全管理現(xiàn)狀
近年來�,一方面��,由于強(qiáng)烈地震、泥石流等自然災(zāi)害和突發(fā)事件的發(fā)生��,可能使農(nóng)業(yè)科學(xué)技術(shù)檔案遭受損毀����;另一方面,由于管理機(jī)制����、管理制度的不健全,也存在安全隱患�。另外,一些別有用心的人��,企圖用非法手段竊取重要的農(nóng)業(yè)科學(xué)技術(shù)檔案信息也將造成隱患��。這不僅使農(nóng)業(yè)科學(xué)技術(shù)檔案信息資源出現(xiàn)缺失�,而且對(duì)本單位科研工作的創(chuàng)新也將造成嚴(yán)重影響。
1.1管理機(jī)制上的疏忽
農(nóng)業(yè)科學(xué)技術(shù)檔案的規(guī)范管理不僅是檔案部門的工作�,更是農(nóng)業(yè)科研單位行政管理和科研管理工作的重要組成部分。但是��,有的農(nóng)業(yè)科研單位在制定中�、長(zhǎng)期規(guī)劃綱要����、農(nóng)業(yè)科研工作計(jì)劃和目標(biāo)任務(wù)時(shí)�,對(duì)農(nóng)業(yè)科研檔案的安全管理工作并沒有列入其中。比如�,在制定“十二五規(guī)劃”時(shí),對(duì)農(nóng)業(yè)科學(xué)技術(shù)檔案資源建設(shè)����、安全管理工作不列入其中;在年度計(jì)劃�、總結(jié)中對(duì)農(nóng)業(yè)科學(xué)技術(shù)檔案工作不重視,對(duì)廣大農(nóng)業(yè)科技工作者對(duì)檔案資源的利用需求不做統(tǒng)計(jì)��;對(duì)“農(nóng)業(yè)科研工作和農(nóng)業(yè)科研資料建檔工作實(shí)行‘四同步’”的政策規(guī)定不能全面貫徹落實(shí)等����。鑒于管理機(jī)制上的不重視,造成農(nóng)業(yè)科學(xué)技術(shù)檔案管理不規(guī)范�,制度不健全,檔案人員責(zé)任不清��、業(yè)務(wù)不精��、意識(shí)不強(qiáng)等不良現(xiàn)象�,將造成農(nóng)業(yè)科學(xué)技術(shù)檔案的嚴(yán)重缺失����。
1.2管理制度不健全
目前����,有的農(nóng)業(yè)科研單位對(duì)農(nóng)業(yè)科學(xué)技術(shù)檔案在形成�、收集、鑒定����、整理、移交����、保管、借閱�、利用、銷毀以及向綜合檔案館移交等環(huán)節(jié)中�,制度建立不夠健全完善;對(duì)負(fù)責(zé)資料收集����、檔案管理的不同崗位上的相關(guān)人員的責(zé)任、素質(zhì)��、技能、培訓(xùn)等沒有具體明確的職責(zé)規(guī)范�。另外,對(duì)于電子檔案��,在其形成積累����、整理歸檔、移交����、保管利用等各個(gè)環(huán)節(jié)也沒有健全完善的管理制度。將會(huì)存在著電子載體遭破壞�、信息被篡改、材料丟失和破損的可能性��。因此��,依法建立科學(xué)規(guī)范����,健全完善的管理制度,確保農(nóng)業(yè)科研檔案的原始性��、真實(shí)性和系統(tǒng)完整性是農(nóng)業(yè)科學(xué)技術(shù)檔案資源建設(shè)�、安全管理和有效利用的法制保障����,應(yīng)當(dāng)引起各農(nóng)業(yè)科研單位的足夠重視����。
1.3庫房及設(shè)施設(shè)備中存在的問題
農(nóng)業(yè)科學(xué)技術(shù)檔案的存放庫房是其安全最重要的保證。但是��,由于受經(jīng)濟(jì)所限��,各級(jí)農(nóng)業(yè)科研單位對(duì)檔案庫房建設(shè)的投入不足��,很多檔案庫房設(shè)在本單位辦公樓區(qū)域內(nèi)����,一般都建于20世紀(jì)80年代末90年代初��,有的多年沒有進(jìn)行維修����,雨季室內(nèi)漏雨,庫房濕度過高��,水暖管道銹蝕,電路老化�,存在水災(zāi)����、火災(zāi)隱患��;大多沒有安裝安全監(jiān)控系統(tǒng)��、自動(dòng)報(bào)警系統(tǒng)�、自動(dòng)滅火系統(tǒng)等設(shè)備;有的在基本建設(shè)中��,不能根據(jù)農(nóng)業(yè)科學(xué)技術(shù)檔案的年擴(kuò)增量��,對(duì)檔案庫房的建設(shè)面積做詳細(xì)的預(yù)算����,盲目的留置一些閑置的小房間用于存放檔案,庫存面積小�,導(dǎo)致現(xiàn)在《紙質(zhì)檔案數(shù)字化技術(shù)規(guī)范》、《磁性載體檔案管理與保護(hù)規(guī)范》賦予的檔案安全保障措施等業(yè)務(wù)工作無法正常開展����。另外,在購置存放實(shí)體檔案的存儲(chǔ)柜�、密集架時(shí)為了方便查閱,整齊美觀,不考慮在自然災(zāi)害����、突發(fā)事件發(fā)生時(shí),便于搬運(yùn)��,給搶救工作創(chuàng)造便利條件等因素����。上述現(xiàn)象將造成農(nóng)業(yè)科學(xué)技術(shù)檔案的安全隱患。
面對(duì)復(fù)雜的農(nóng)業(yè)科學(xué)技術(shù)檔案安全隱患��,盡快建立安全保障體系�,最大限度地保障農(nóng)業(yè)科學(xué)技術(shù)檔案的安全管理和有效利用刻不容緩。
2農(nóng)業(yè)科學(xué)技術(shù)檔案安全保障體系的構(gòu)建設(shè)想
一個(gè)相對(duì)完善的農(nóng)業(yè)科學(xué)技術(shù)檔案安全保障體系��,一般應(yīng)當(dāng)包含安全人員保障體系����、安全管理法規(guī)體系�、設(shè)施設(shè)備安全保管體系以及電子檔案安全管理體系等。
2.1農(nóng)業(yè)科學(xué)技術(shù)檔案安全保障人員體系
安全人員保障��,是在國(guó)家檔案行政管理部門的法規(guī)要求和專業(yè)指導(dǎo)下��,通過農(nóng)業(yè)科研單位內(nèi)部的崗位設(shè)置、人員分工�、部門配合、制度約束等管理機(jī)制的建立�,為農(nóng)業(yè)科學(xué)技術(shù)檔案的安全管理提供組織上的保障。具體包括決策��、管理�、執(zhí)行方面。決策工作由農(nóng)業(yè)科研單位相關(guān)部門組成農(nóng)業(yè)科學(xué)技術(shù)檔案安全管理工作領(lǐng)導(dǎo)小組等機(jī)制����,制定安全保障體系的總體規(guī)劃、實(shí)施目標(biāo)��、重點(diǎn)工作任務(wù)�、檔案災(zāi)害預(yù)警機(jī)制及演練方案等。做好各階段前期工作的統(tǒng)籌安排及全過程技術(shù)實(shí)施方案等��,以科學(xué)的態(tài)度����,作出科學(xué)的決策。
管理工作由檔案部門負(fù)責(zé)�,依法處理農(nóng)業(yè)科學(xué)技術(shù)檔案安全管理的日常工作,協(xié)調(diào)各方面實(shí)施執(zhí)行��。并提出制定、修改具體業(yè)務(wù)工作中的安全策略�、操作規(guī)范、實(shí)施細(xì)則等意見��,記錄和處理農(nóng)業(yè)科學(xué)技術(shù)活動(dòng)中形成的文件材料在收集����、整理、立卷歸檔����、保管利用等過程中出現(xiàn)的安全問題。
執(zhí)行者則是具體負(fù)責(zé)特定檔案事務(wù)的設(shè)在各個(gè)崗位上的工作人員����。要選擇有強(qiáng)烈的事業(yè)心和高度的責(zé)任感,具有良好的服務(wù)意識(shí)和安全意識(shí)的專業(yè)人員��,還要為他們創(chuàng)造業(yè)務(wù)學(xué)習(xí)和培訓(xùn)的機(jī)會(huì)�,不斷更新知識(shí)�,以便更好地適應(yīng)檔案工作的要求。除檔案工作人員外��,收發(fā)人員����、安全保衛(wèi)人員等也是安全體系中的執(zhí)行者��,要對(duì)他們進(jìn)行定期或不定期的培訓(xùn)��,明確責(zé)任����,增強(qiáng)意識(shí)����,做到警鐘長(zhǎng)鳴,盡量減少人為因素給農(nóng)業(yè)科研檔案帶來的安全風(fēng)險(xiǎn)和隱患����。
2.2農(nóng)業(yè)科學(xué)技術(shù)檔案安全保障法規(guī)體系
威脅農(nóng)業(yè)科學(xué)技術(shù)檔案安全的因素來自各個(gè)層面和各個(gè)環(huán)節(jié),因此需要構(gòu)建全面的法規(guī)制度體系��。即由國(guó)家的法律����、行政法規(guī)、地方性法規(guī)和規(guī)章制度所構(gòu)成的相互聯(lián)系��、相互融合的統(tǒng)一體��,來保障農(nóng)業(yè)科學(xué)技術(shù)檔案的絕對(duì)安全。
2.2.1農(nóng)業(yè)科學(xué)技術(shù)檔案安全管理的法律
涉及農(nóng)業(yè)科學(xué)技術(shù)檔案安全管理方面的法律主要有《中華人民共和國(guó)檔案法》以及刑法�、民法等基本法律及其他專門法律中涉及到檔案的內(nèi)容或條款等。認(rèn)真學(xué)習(xí)和深刻領(lǐng)會(huì)檔案法律����,對(duì)于保證農(nóng)業(yè)科學(xué)技術(shù)檔案的真實(shí)性、完整性����、系統(tǒng)性和開發(fā)利用具有重要的意義,是我們構(gòu)建農(nóng)業(yè)科學(xué)技術(shù)檔案安全管理體系并賴以實(shí)施的依據(jù)和準(zhǔn)繩。
2.2.2農(nóng)業(yè)科學(xué)技術(shù)檔案安全管理的行政法規(guī)��、標(biāo)準(zhǔn)�、地方性檔案法規(guī)
可以遵循的行政法規(guī)主要有《中華人民共和國(guó)檔案法實(shí)施辦法》、《機(jī)關(guān)檔案工作條例》��、《科學(xué)技術(shù)檔案工作條例》等����。可遵循的國(guó)家標(biāo)準(zhǔn)有《科學(xué)技術(shù)檔案案卷構(gòu)成的一般要求》����、《電子文件歸檔與管理規(guī)范》等��;行業(yè)標(biāo)準(zhǔn)有《科學(xué)技術(shù)研究課題檔案管理規(guī)范》、《歸檔文件整理規(guī)則》����、《紙質(zhì)檔案數(shù)字化技術(shù)規(guī)范》、《磁性載體檔案管理與保護(hù)規(guī)范》等����。地方性法規(guī)有《甘肅省檔案管理?xiàng)l例》等。行政法規(guī)��、標(biāo)準(zhǔn)�、地方性檔案法規(guī)規(guī)定了對(duì)各種檔案各主要管理環(huán)節(jié)的操作要求及質(zhì)量標(biāo)準(zhǔn),既是建立標(biāo)準(zhǔn)化�、規(guī)范化檔案管理工作的依據(jù),又是進(jìn)行檔案日常管理工作的操作指南����,我們應(yīng)當(dāng)認(rèn)真學(xué)習(xí),熟練地掌握和運(yùn)用�。
2.2.3農(nóng)業(yè)科學(xué)技術(shù)檔案安全管理的規(guī)章制度
除了要執(zhí)行國(guó)家有關(guān)檔案法律法規(guī)外,還應(yīng)針對(duì)自身的特點(diǎn)和實(shí)際需要制定本單位的規(guī)章制度����。包括檔案工作制度、管理規(guī)范��、部門工作職責(zé)以及電子檔案管理規(guī)范等。工作制度是依據(jù)法律法規(guī)����,結(jié)合本單位實(shí)際,對(duì)農(nóng)業(yè)科學(xué)技術(shù)檔案的管理體制����、管理分工、保密�、檔案利用原則等所做的規(guī)定,要求本單位所有部門和工作人員都要執(zhí)行��。管理規(guī)范包括對(duì)歸檔范圍����、分類方案、保管期限��、鑒定標(biāo)準(zhǔn)��、整理����、移交、保管��、借閱利用、鑒定銷毀����、業(yè)績(jī)考核等環(huán)節(jié)所做的規(guī)定��。部門工作職責(zé)包括檔案室��、檔案工作人員��、庫房管理人員��、保衛(wèi)人員等工作職責(zé)�。電子檔案管理制度包括計(jì)算機(jī)使用、密碼管理��、電子檔案異質(zhì)備份�、業(yè)務(wù)系統(tǒng)操作制度等內(nèi)部規(guī)范。建立健全農(nóng)業(yè)科學(xué)技術(shù)檔案規(guī)章制度����,是進(jìn)行科學(xué)化、規(guī)范化管理的有效措施����,也是確保其安全的有效手段��。
2.2.4落實(shí)各項(xiàng)規(guī)章制度
有了科學(xué)完善的農(nóng)業(yè)科學(xué)技術(shù)檔案安全管理的法規(guī)制度�,關(guān)鍵在于落實(shí)�,要加強(qiáng)對(duì)農(nóng)業(yè)科學(xué)技術(shù)檔案資源監(jiān)測(cè),嚴(yán)格其管理和利用活動(dòng)�,依法管理,按章辦事����,科學(xué)有效地實(shí)現(xiàn)檔案的管理與保護(hù)。依法對(duì)破壞�、危害農(nóng)業(yè)科學(xué)技術(shù)檔案的安全行為進(jìn)行查處,追究責(zé)任��,維護(hù)檔案法規(guī)的嚴(yán)肅性��。
2.3設(shè)施設(shè)備安全保管體系
確保庫房的安全無疑是整個(gè)系統(tǒng)安全的前提����。包括庫房建設(shè)、設(shè)施設(shè)備配備��、日常管理等方面�。在庫房建設(shè)方面。對(duì)于計(jì)劃重新修建的庫房,嚴(yán)格按照《檔案館建設(shè)標(biāo)準(zhǔn)》和《檔案館建筑設(shè)計(jì)規(guī)范》要求����,建設(shè)滿足未來30~70年需求的堅(jiān)固、安全的現(xiàn)代化檔案庫房[1]��。對(duì)于現(xiàn)有的庫房�,要進(jìn)行安全風(fēng)險(xiǎn)評(píng)估��,增強(qiáng)防患意識(shí)�。同時(shí),要開辟足夠的庫房存儲(chǔ)面積��,配備監(jiān)控自動(dòng)報(bào)警�、自動(dòng)滅火、溫濕度控制�、門禁系統(tǒng)等先進(jìn)設(shè)施,實(shí)現(xiàn)檔案安全管理的自動(dòng)化和可控性��。庫房除了傳統(tǒng)意義上的日常存放實(shí)體檔案外,還必須放眼長(zhǎng)遠(yuǎn),考慮到兼顧存放備份磁盤����、光盤等離線電子檔案,在做到“八防”要求外����,應(yīng)增加針對(duì)電子檔案特性的電磁屏蔽等安全防范措施。小規(guī)模離線電子檔案存儲(chǔ)庫房�,可考慮使用恒溫恒濕防磁柜用以存放電子介質(zhì)[2]
。
另外���,在配備存儲(chǔ)檔案密集架和防磁柜時(shí)�,應(yīng)當(dāng)考慮在應(yīng)急搬運(yùn)時(shí)的安全便捷因素�。做好設(shè)施設(shè)備安全保管體系建設(shè),為農(nóng)業(yè)科學(xué)技術(shù)檔案的安全保障打造第一道防線���。
2.4電子檔案安全保障體系
目前�����,許多農(nóng)業(yè)科研單位對(duì)于電子檔案的管理�,認(rèn)識(shí)不足�。一方面,由于開展此項(xiàng)工作資金投入大�����,要配備完善的支持電子檔案運(yùn)行的設(shè)施設(shè)備�;另一方面�����,電子檔案安全管理保障技術(shù)尚未普及�����,現(xiàn)有的農(nóng)業(yè)科研檔案管理人員也不能保證具有與其崗位職責(zé)相適應(yīng)的技術(shù)能力和管理能力�。在現(xiàn)有條件下�����,我們可以從以下幾方面嘗試�。
2.4.1開展電子檔案的組織保障
隨著信息化和辦公無紙化的飛速發(fā)展�����,農(nóng)業(yè)科研項(xiàng)目的研究工作�、鑒定驗(yàn)收、成果轉(zhuǎn)化等系列流程都離不開電子設(shè)備�,因此,從組織機(jī)制入手�����,進(jìn)行電子檔案的規(guī)劃建設(shè),是立足長(zhǎng)遠(yuǎn)的發(fā)展之路�����。
多渠道籌措資金���,配備完善的存儲(chǔ)電子檔案的最佳磁�、光載體等先進(jìn)的設(shè)施設(shè)備�,建立歸檔數(shù)據(jù)安全監(jiān)控系統(tǒng),確保存儲(chǔ)的電子檔案長(zhǎng)期安全可讀���,有效利用�。確立將紙質(zhì)和電子兩種版本并存和異質(zhì)異地備份策略管理的目標(biāo)�,是加強(qiáng)農(nóng)業(yè)科學(xué)技術(shù)檔案安全保障的有效舉措。
2.4.2開展電子檔案的技術(shù)策略
實(shí)施電子檔案策略�����,一方面�,應(yīng)以現(xiàn)存農(nóng)業(yè)科學(xué)技術(shù)檔案紙質(zhì)載體為基礎(chǔ),選擇利用紙質(zhì)檔案數(shù)字化技術(shù)�,掃描紙質(zhì)檔案產(chǎn)生數(shù)字圖像,存儲(chǔ)于安全性能好的磁���、光介質(zhì)上���,供快速有效利用�。再利用COM(計(jì)算機(jī)輸出縮微品)技術(shù)�,將數(shù)字圖像輸出到縮微膠片上,制作成農(nóng)業(yè)科研檔案縮微品�����,進(jìn)行長(zhǎng)期安全保存[3]�����。另一方面�����,制定紙質(zhì)檔案與電子檔案“雙軌制”歸檔管理實(shí)施方案�����。在文件生成�、運(yùn)轉(zhuǎn)過程中二者共存�,即兩種版本檔案同步隨農(nóng)業(yè)科研工作流程運(yùn)轉(zhuǎn)�,使紙質(zhì)和電子兩種版本雙套歸檔[4]���。這不但有利于開展農(nóng)業(yè)科學(xué)技術(shù)檔案異質(zhì)異地備份策略���,而且將增加農(nóng)業(yè)科學(xué)技術(shù)檔案安全保障和有效利用力度。
2.4.3電子檔案的人才隊(duì)伍建設(shè)
電子檔案安全管理工作是一項(xiàng)科技含量很高的知識(shí)創(chuàng)新工作�����,需要高素質(zhì)的�����,具有計(jì)算機(jī)���、自動(dòng)化和網(wǎng)絡(luò)方面基礎(chǔ)知識(shí)以及在數(shù)字資源開發(fā)���、組織和提供利用方面有豐富經(jīng)驗(yàn)的專業(yè)技術(shù)人員和管理人員。為此�,應(yīng)當(dāng)通過引進(jìn)和培養(yǎng)的渠道,建設(shè)高素質(zhì)的人才隊(duì)伍�,有效管理電子檔案。
2.4.4電子檔案安全操作中應(yīng)注意的主要問題
為確保電子檔案擴(kuò)散范圍的精準(zhǔn)控制�,需要采用規(guī)范的存儲(chǔ)方法�,選擇良好的載體和創(chuàng)造安全的保護(hù)環(huán)境�。在接受電子檔案存儲(chǔ)時(shí),要對(duì)文字�����、圖像���、視頻�����、音頻處理技術(shù)形成的農(nóng)業(yè)科學(xué)技術(shù)文件材料�,轉(zhuǎn)化為通用格式�,并要注明格式、文字處理工具�,必要時(shí)保存文字處理工具軟件。對(duì)電子檔案的可讀性���、真實(shí)性以及傳輸安全方面,應(yīng)參考國(guó)內(nèi)外先進(jìn)的研究成果加強(qiáng)管理�����。還要采取嚴(yán)密的防塵措施,用先進(jìn)的除塵設(shè)備�,減少灰塵對(duì)電子載體的損害等。在電子檔案的開發(fā)利用中���,應(yīng)該嚴(yán)密控制外泄和破壞�,選擇具有安全保密功能的運(yùn)行軟件���,進(jìn)行安全操作���,必要時(shí)應(yīng)該與責(zé)任者簽訂安全使用協(xié)議書,確定調(diào)閱檔案人員范圍和檔案利用手續(xù)�,以確保其安全。
3結(jié)論
農(nóng)業(yè)科學(xué)技術(shù)檔案安全保障體系的構(gòu)建是一項(xiàng)系統(tǒng)工程�����,需要組織保障���、技術(shù)保障���、人員、經(jīng)費(fèi)���、存儲(chǔ)保障等多方面的協(xié)調(diào)工作�。也是一項(xiàng)復(fù)雜而嚴(yán)謹(jǐn)?shù)墓ぷ鳎枰茖W(xué)研究先行�,做好前期技術(shù)儲(chǔ)備及全過程技術(shù)保障。
第9篇
信息安全防護(hù)要考慮不同層次的問題�����。例如網(wǎng)絡(luò)平臺(tái)就需要擁有網(wǎng)絡(luò)節(jié)點(diǎn)之間的相互認(rèn)證以及訪問控制�;應(yīng)用平臺(tái)則需要有針對(duì)各個(gè)用戶的認(rèn)證以及訪問控制,這就需要保證每一個(gè)數(shù)據(jù)的傳輸?shù)耐暾院捅C苄?,?dāng)然也需要保證應(yīng)用系統(tǒng)的可靠性和可用性。一般電力企業(yè)主要采用的措施有:
1.1信息安全等級(jí)保護(hù)
信息安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作���,工作包括定級(jí)���、備案、安全建設(shè)和整改�����、信息安全等級(jí)測(cè)評(píng)���、信息安全檢查五個(gè)階段���。要積極參與信息安全等級(jí)定級(jí)評(píng)定,及時(shí)在當(dāng)?shù)毓矙C(jī)關(guān)進(jìn)行備案���,然后根據(jù)對(duì)應(yīng)等級(jí)要求���,組織好評(píng)測(cè),然后開展針對(duì)性的防護(hù)�,從而提供全面的保障。
1.2網(wǎng)絡(luò)分區(qū)和隔離
運(yùn)用網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備將企業(yè)網(wǎng)絡(luò)劃分為若干個(gè)區(qū)域�����,通過在不同區(qū)域?qū)嵤┨囟ǖ陌踩呗詫?shí)現(xiàn)對(duì)區(qū)域的防護(hù)�����,保證網(wǎng)絡(luò)及基礎(chǔ)設(shè)置穩(wěn)定正常�����,保障業(yè)務(wù)信息安全���。
1.3終端安全防護(hù)
需要部署(實(shí)施)防病毒系統(tǒng)���、上網(wǎng)行為管理�����、主機(jī)補(bǔ)丁管理等終端安全防護(hù)措施�����。通過這些安全措施使網(wǎng)絡(luò)內(nèi)的終端可以防御各種惡意代碼和病毒�����;可以對(duì)互聯(lián)網(wǎng)訪問行為監(jiān)管�,為網(wǎng)絡(luò)的安全防護(hù)管理提供安全保障���;可以自動(dòng)下發(fā)操作系統(tǒng)補(bǔ)丁�����,提高終端的安全性�。
2.構(gòu)建信息安全防護(hù)體系
電力企業(yè)應(yīng)充分利用已經(jīng)成熟的信息安全理論成果�,在此基礎(chǔ)上在設(shè)計(jì)出具有可操作性���,能兼顧整體性,并且能融合策略�、組織���、技術(shù)以及運(yùn)行為一體化的信息安全保障體系�����,從而保障信息安全���。
2.1建立科學(xué)合理的信息安全策略體系
信息安全策略體系包括信息安全策略、信息安全操作流程���、信息安全標(biāo)準(zhǔn)以及規(guī)范和多方面的細(xì)則�,所涉及的基本要素包括信息管理和信息技術(shù)這兩方面���,其覆蓋了信息系統(tǒng)的網(wǎng)絡(luò)層面�����、物理層面���、系統(tǒng)層面以及應(yīng)用層面這四大層面�����。
2.2建設(shè)先進(jìn)可靠的信息安全技術(shù)防護(hù)體系
結(jié)合電力企業(yè)的特點(diǎn)�����,在企業(yè)內(nèi)部形成分區(qū)���、分域、分級(jí)�、分層的網(wǎng)絡(luò)環(huán)境,然后充分運(yùn)用防火墻���、病毒過濾���、入侵防護(hù)、單向物理隔離�����、拒絕服務(wù)防護(hù)和認(rèn)證授權(quán)等技術(shù)進(jìn)行區(qū)域邊界防護(hù)���。通過統(tǒng)一規(guī)劃���,解決系統(tǒng)之間�、系統(tǒng)內(nèi)部網(wǎng)段間邊界不清晰�,訪問控制措施薄弱的問題,對(duì)不同等級(jí)保護(hù)的業(yè)務(wù)系統(tǒng)分級(jí)防護(hù)���,避免安全要求低的業(yè)務(wù)系統(tǒng)的威脅影響到安全要求高的業(yè)務(wù)系統(tǒng),實(shí)現(xiàn)全方位的技術(shù)安全防護(hù)���。同時(shí)�,還要結(jié)合信息機(jī)房物流防護(hù)���、網(wǎng)絡(luò)準(zhǔn)入控制�����、補(bǔ)丁管理�����、PKI基礎(chǔ)設(shè)施�、病毒防護(hù)、數(shù)據(jù)庫安全防護(hù)���、終端安全管理和電子文檔安全防護(hù)等細(xì)化的措施�,形成覆蓋企業(yè)全領(lǐng)域的技術(shù)防護(hù)體系�。
2.3設(shè)置責(zé)權(quán)統(tǒng)一的信息安全組織體系
在企業(yè)內(nèi)部設(shè)置網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)機(jī)構(gòu)和工作機(jī)構(gòu),按照“誰主管誰負(fù)責(zé)�,誰運(yùn)營(yíng)誰負(fù)責(zé)”原則,實(shí)行統(tǒng)一領(lǐng)導(dǎo)���、分級(jí)管理�����。信息安全領(lǐng)導(dǎo)機(jī)構(gòu)由決策層組成���,工作機(jī)構(gòu)由各部門管理成員組成。工作機(jī)構(gòu)一般設(shè)置在信息管理部門�����,包含安全管理員�、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和應(yīng)用管理員���,并分配相關(guān)安全責(zé)任�����,使信息安全在組織內(nèi)得以有效管理�。
2.4構(gòu)建全面完善的信息安全管理體系
對(duì)于電力企業(yè)的信息安全防范來說,單純的使用技術(shù)手段是遠(yuǎn)遠(yuǎn)不夠的���,只有配合管理才能提供有效運(yùn)營(yíng)的保障���。
2.4.1用制度保證信息安全
企業(yè)要建立從指導(dǎo)性到具體性的安全管理框架體系���。安全方針是信息安全指導(dǎo)性文件���,指明信息安全的發(fā)展方向,為信息安全提供管理指導(dǎo)和支持���;安全管理辦法是對(duì)信息安全各方面內(nèi)容進(jìn)行管理的方法總述���;安全管理流程是在信息安全管理辦法的基礎(chǔ)上描述各控制流程;安全規(guī)范和操作手冊(cè)則是為用戶提供詳細(xì)使用文檔�。人是信息安全最活躍的因素�,人的行為會(huì)直接影響到信息安全保障�。所以需要通過加強(qiáng)人員信息安全培訓(xùn)、建立懲罰機(jī)制�、加大關(guān)鍵崗位員工安全防范力度、加強(qiáng)離崗或調(diào)動(dòng)人員的信息安全審查等措施實(shí)現(xiàn)企業(yè)工作人員的規(guī)范管理�,明確員工信息安全責(zé)任和義務(wù),避免人為風(fēng)險(xiǎn)�����。
2.4.3建設(shè)時(shí)就考慮信息安全
在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)時(shí)���,就從生命周期的各階段統(tǒng)籌考慮信息安全�����,遵照信息安全和信息化建設(shè)“三同步”原則�,即“同步規(guī)劃�����、同步建設(shè)�、同步投入運(yùn)行”。
2.4.4實(shí)施信息安全運(yùn)行保障
主要是以資產(chǎn)管理為基礎(chǔ),風(fēng)險(xiǎn)管理為核心�,事件管理為主線,輔以有效的管理���、監(jiān)視與響應(yīng)功能���,構(gòu)建動(dòng)態(tài)的可信安全運(yùn)行保障。同時(shí)�����,還需要不斷完善應(yīng)急預(yù)案�����,做好預(yù)案演練�����,可以對(duì)信息安全事件進(jìn)行及時(shí)的應(yīng)急響應(yīng)和處置���。
3.總結(jié)
