緒論:在尋找寫作靈感嗎?愛(ài)發(fā)表網(wǎng)為您精選了8篇信息安全管理�����,愿這些內(nèi)容能夠啟迪您的思維��,激發(fā)您的創(chuàng)作熱情����,歡迎您的閱讀與分享�!
篇1
關(guān)鍵詞:企業(yè);信息�;安全管理
中圖分類號(hào):U283.4 文獻(xiàn)標(biāo)識(shí)碼:A
企業(yè)信息安全管理是運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的薄弱點(diǎn)�����,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和控制措施���,這是企業(yè)推進(jìn)信息化進(jìn)程和促進(jìn)生產(chǎn)經(jīng)營(yíng)管理的重要內(nèi)容��,是保障企業(yè)信息系統(tǒng)正常運(yùn)行�����、高效應(yīng)用和健康發(fā)展的前提條件����。
1我國(guó)企業(yè)信息安全管理存在的問(wèn)題
1.1缺少企業(yè)信息安全的法規(guī)和規(guī)范。企業(yè)信息安全是一個(gè)比較新的領(lǐng)域���,目前還缺少比較完善的法規(guī)���,即便現(xiàn)有的法規(guī),由于相關(guān)安全技術(shù)和手段還沒(méi)有成熟和標(biāo)準(zhǔn)化���,法規(guī)也不能很好地被執(zhí)行����,安全標(biāo)準(zhǔn)和規(guī)范的缺少�����,導(dǎo)致無(wú)從制定合理的安全策略并確保此策略能被有效執(zhí)行。
1.2存在物理安全風(fēng)險(xiǎn)�。物理安全是指各種服務(wù)器、路由器����、交換機(jī)、工作站等硬件設(shè)備和通信鏈路的安全����。風(fēng)險(xiǎn)的來(lái)源有:水災(zāi)、火災(zāi)��、雷擊等自然災(zāi)害�,人為的破壞或誤操作外界的電磁干擾,設(shè)備固有的弱點(diǎn)或缺陷等���。物理安全的威脅可以直接造成設(shè)備的損壞��、系統(tǒng)和網(wǎng)絡(luò)的不可用、數(shù)據(jù)的直接損壞或丟失等�����。
1.3信息外泄現(xiàn)象時(shí)有發(fā)生。進(jìn)入信息化時(shí)代后�����,企業(yè)的諸多資料都由原先的紙介質(zhì)變成了電子文檔��。電子文檔的特點(diǎn)就是復(fù)制十分容易�,許多跳槽的員工和競(jìng)爭(zhēng)對(duì)手都會(huì)將這些資料通過(guò)各種手段帶離企業(yè)。而且�,在企業(yè)信息管理系統(tǒng)中,大量購(gòu)�����、銷�����、存等業(yè)務(wù)��、財(cái)務(wù)數(shù)據(jù)��、文檔及客戶資料����,以存儲(chǔ)介質(zhì)形式存在于計(jì)算機(jī)中���,由于電磁輻射或數(shù)據(jù)可訪問(wèn)性等弱點(diǎn),受到人為和非人為因素的破壞����。數(shù)據(jù)一旦遭到破壞,將會(huì)嚴(yán)重影響企業(yè)日常業(yè)務(wù)的正常運(yùn)作�����。因此���,保證數(shù)據(jù)的安全���,就是保證企業(yè)的安全。
1.4缺少安全管理制度和責(zé)任性���。目前企業(yè)的安全解決方案�,基本上只是一個(gè)安全產(chǎn)品方案�,這使人們誤以為企業(yè)的信息安全只是信息技術(shù)部門的工作和責(zé)任,與其他人員不直接相關(guān).但是一個(gè)企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的��,因?yàn)樗麄儾攀瞧髽I(yè)信息系統(tǒng)的提供者和使用者�,他們是影響信息安全系統(tǒng)能否達(dá)到預(yù)期要求的決定因素.
2加強(qiáng)我國(guó)企業(yè)信息安全管理的幾點(diǎn)建議
2.1全面提高職工的信息安全知識(shí)素質(zhì),加強(qiáng)安全文化建設(shè)���,提升防患水平��,防微杜漸�。對(duì)于信息安全工作的開(kāi)展��,不是系統(tǒng)管理部門的事��,也不是系統(tǒng)使用部門的事��,而是全體員工的事���,必須要提高全體員工的信息安全意識(shí)�。通過(guò)培訓(xùn)和考核等措施����,提高員工對(duì)公司信息安全的認(rèn)識(shí),讓信息安全成為業(yè)務(wù)開(kāi)展的一部分���,才能有效提高公司整體信息安全水平�,也是信息安全工作得到有效的支持和推進(jìn)���。在此基礎(chǔ)上����,要建立適應(yīng)21世紀(jì)知識(shí)經(jīng)濟(jì)時(shí)代的企業(yè)信息安全文化,只有加強(qiáng)安全文化建設(shè)��,才能適應(yīng)知識(shí)經(jīng)濟(jì)時(shí)代的發(fā)展���。
2.2完善企業(yè)信息安全管理制度���。首先,數(shù)據(jù)安全管理制度���,即確保數(shù)據(jù)存儲(chǔ)介質(zhì)(設(shè)備)的安全���;定時(shí)進(jìn)行數(shù)據(jù)備份,備份數(shù)據(jù)必須異地存放��;對(duì)數(shù)據(jù)的操作需經(jīng)主管部門的審批����、同意方可進(jìn)行;數(shù)據(jù)的清除�����、整理工作需兩人或兩人以上在場(chǎng)����,并由相關(guān)部門進(jìn)行監(jiān)督、記錄�。第二,準(zhǔn)入管理制度�。準(zhǔn)入管理又稱密碼、權(quán)限管理����,通過(guò)準(zhǔn)入系統(tǒng)可以判斷請(qǐng)求登錄的用戶是否是合法的、值得信任的����。一個(gè)安全的準(zhǔn)入系統(tǒng)則需要收集請(qǐng)求登錄者的以下信息:一是請(qǐng)求方式。當(dāng)同一網(wǎng)段在單位時(shí)間內(nèi)多次請(qǐng)求登錄或多次登錄用戶��、密碼錯(cuò)誤者���,就應(yīng)在一定時(shí)間內(nèi)封閉其所在網(wǎng)段的請(qǐng)求����,并發(fā)出報(bào)警信號(hào)。二是系統(tǒng)安全驗(yàn)證���,即對(duì)登錄用戶的操作系統(tǒng)進(jìn)行安全證�,并提示登錄用戶進(jìn)行一系列的修復(fù)操作��。三是檢測(cè)設(shè)備自身數(shù)據(jù)是否被修改或篡改����,并對(duì)登錄戶相應(yīng)的操作進(jìn)行記錄備案。
2.3采取傳統(tǒng)的信息安全防范策略��。物理安全策略:包括環(huán)境安全���、設(shè)備安全�、媒體安全�����、信息資產(chǎn)的物理分布�����、人員的訪問(wèn)控制、審計(jì)記錄��、異常情況的追查等�����;網(wǎng)絡(luò)安全策略:包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�����、網(wǎng)絡(luò)設(shè)備的管理����、網(wǎng)絡(luò)安全訪問(wèn)措施�����、安全掃描�����、遠(yuǎn)程訪問(wèn)�、不同級(jí)別網(wǎng)絡(luò)的訪問(wèn)控制方式、識(shí)別/認(rèn)證機(jī)制等;數(shù)據(jù)加密策略:包括加密算法、適用范圍�、密鑰交換和管理等�;數(shù)據(jù)備份策略:包括適用范圍����、備份方式��、備份數(shù)據(jù)的安全存儲(chǔ)�����、備份周期�����、負(fù)責(zé)人等�;身份認(rèn)證及授權(quán)策略:包括認(rèn)證及授權(quán)機(jī)制、方式����、審計(jì)記錄等;災(zāi)難恢復(fù)策略:包括負(fù)責(zé)人員�����、恢復(fù)機(jī)制��、方式、歸檔管理�����、硬件��、軟件等����;事故處理、緊急響應(yīng)策略:包括響應(yīng)小組�����、聯(lián)系方式�����、事故處理計(jì)劃�����、控制過(guò)程等���。
2.4實(shí)施、檢查和改進(jìn)信息安全管理體制。企業(yè)應(yīng)按照規(guī)劃階段編制安全管理體系文件的控制要求來(lái)實(shí)施活動(dòng)�,主要實(shí)施和運(yùn)行ISMS方針、控制措施�����、過(guò)程和程序�,包括安全策略、所選擇的安全措施或控制�����、安全意識(shí)和培訓(xùn)程序等�����。在實(shí)施期間�����,企業(yè)應(yīng)及時(shí)檢查發(fā)現(xiàn)規(guī)劃中存在的問(wèn)題��,找出問(wèn)題根源�����,采取糾正措施,并按照更改控制程序要求對(duì)體系予以更改���,以達(dá)到進(jìn)一步完善信息安全管理體系的目的��。信息安全實(shí)施過(guò)程的效果如何���,需要通過(guò)監(jiān)視、審計(jì)���、復(fù)查�����、評(píng)估等手段來(lái)進(jìn)行檢查�����,檢查的依據(jù)就是計(jì)劃階段建立的安全策略、目標(biāo)����、程序,以及標(biāo)準(zhǔn)�����、法律法規(guī)和實(shí)踐經(jīng)驗(yàn),檢查的結(jié)果是進(jìn)一步采取措施的依據(jù)���。
2.5加強(qiáng)信息安全監(jiān)控�,保障信息系統(tǒng)安全運(yùn)行����。在信息安全監(jiān)控、信息安全配置和系統(tǒng)訪問(wèn)控制方面��,信息管理部門借助先進(jìn)成熟的信息技術(shù)��,充分挖掘和利用現(xiàn)有資源功能潛力�,進(jìn)一步提升企業(yè)信息系統(tǒng)的安全防范能力。例如�,加強(qiáng)信息系統(tǒng)監(jiān)控管理和風(fēng)險(xiǎn)評(píng)估,優(yōu)化信息系統(tǒng)安全架構(gòu)�����,開(kāi)展入侵檢測(cè)分析防范���、核心網(wǎng)絡(luò)冗余和服務(wù)器架構(gòu)調(diào)整等工作��,確保公司信息系統(tǒng)安全穩(wěn)定運(yùn)行�����。統(tǒng)一企業(yè)桌面安全管理體系��,建立網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)�����,加強(qiáng)接入層管理�、桌面安全管理和安全監(jiān)控管理,有效保障聯(lián)網(wǎng)計(jì)算機(jī)的安全運(yùn)行�����。優(yōu)化企業(yè)內(nèi)外網(wǎng)連接架構(gòu)和訪問(wèn)控制策略�����,增加網(wǎng)絡(luò)出口流量監(jiān)控環(huán)節(jié)���,使有限的網(wǎng)絡(luò)帶寬資源得到合理分配和充分利用。針對(duì)因特網(wǎng)瀏覽用戶違規(guī)現(xiàn)象較多�,造成非授權(quán)用戶占用大量網(wǎng)絡(luò)資源的問(wèn)題�,加強(qiáng)用戶訪問(wèn)監(jiān)控�����,嚴(yán)肅處理違規(guī)用戶��,加強(qiáng)保密教育�,促進(jìn)用戶規(guī)范使用信息系統(tǒng)。
2.6構(gòu)建信息安全管理團(tuán)隊(duì)�。信息安全管理團(tuán)隊(duì)是由決策者、管理者以及計(jì)算機(jī)��、信息��、通訊�����、安全和網(wǎng)絡(luò)技術(shù)等方面的專家為提升企業(yè)信息安全管理水平而組建的團(tuán)隊(duì)�����。信息安全管理團(tuán)隊(duì)是企業(yè)信息安全管理的直接管理者�����,其管理能力�、技術(shù)能力的高低會(huì)直接影響到企業(yè)信息安全管理的效率。因此必須增加對(duì)企業(yè)內(nèi)部信息安全管理人員����、技術(shù)人員的定期培訓(xùn),同時(shí)與外部專業(yè)技術(shù)企業(yè)建立長(zhǎng)期有效的外部技術(shù)支持網(wǎng)絡(luò)��,才能對(duì)企業(yè)信息安全事件做出及時(shí)�、快速、準(zhǔn)確的響應(yīng)���,確定并及時(shí)排除突發(fā)事件�����,使企業(yè)的風(fēng)險(xiǎn)和損失最小化���,最終形成一套有效的一體化管理體系,給企業(yè)帶來(lái)更大的管理效益與管理效率的提升��。
綜上所述����,隨著網(wǎng)絡(luò)普及和企業(yè)信息化業(yè)務(wù)的不斷拓展,信息成為一種重要的戰(zhàn)略資源�,信息安全保障能力成為一個(gè)企業(yè)綜合能力的重要組成部分。因此���,要提高企業(yè)信息安全管理的效率����,為企業(yè)決策提供信息支持���,確保企業(yè)信息數(shù)據(jù)安全���、可靠、真實(shí)���,為企業(yè)發(fā)展和經(jīng)營(yíng)管理提供有力保障�。
參考文獻(xiàn)
篇2
關(guān)鍵詞:石油企業(yè);信息安全;管理手段
0引言
隨著信息化建設(shè)進(jìn)程飛速發(fā)展���,作為信息載體的計(jì)算機(jī)����、互聯(lián)網(wǎng)已在企業(yè)生產(chǎn)、經(jīng)營(yíng)管理各個(gè)層面得到廣泛應(yīng)用�����。計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性�����、靈活性和廣泛性在全面數(shù)字化的今天給經(jīng)營(yíng)管理帶來(lái)了便捷��、高效��、有序的工作環(huán)境�����,同時(shí)也帶來(lái)了較大的安全管理隱患�����。黑客的出現(xiàn)�、安全漏洞的增多、管理的交叉混亂�����、惡意的網(wǎng)絡(luò)攻擊使網(wǎng)絡(luò)安全管理遭受了較大的沖擊,成為信息化健康發(fā)展的絆腳石�。網(wǎng)絡(luò)信息管理疏于安全的防范將危及到企業(yè)生產(chǎn)經(jīng)濟(jì)的有序發(fā)展。石油企業(yè)在國(guó)民經(jīng)濟(jì)中發(fā)揮著重要作用���,任何風(fēng)險(xiǎn)都可能導(dǎo)致國(guó)家經(jīng)濟(jì)受到重大影響。因此���,提高石油企業(yè)信息安全意識(shí)���,加強(qiáng)信息管理應(yīng)以保瘴服務(wù)和應(yīng)用為目標(biāo),強(qiáng)化安全意識(shí)��、制定周密的安全手段從而構(gòu)建完善的信息安全管理體系���。
1加強(qiáng)企業(yè)信息管理的必要性
1.1企業(yè)信息管理概念
企業(yè)信息管理是通過(guò)現(xiàn)代化的信息技術(shù)和設(shè)備�����,以網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)企業(yè)管理的自動(dòng)化���,進(jìn)而對(duì)企業(yè)進(jìn)行全方位和多角度的管理,以此來(lái)促進(jìn)企業(yè)生產(chǎn)��、經(jīng)營(yíng)管理的優(yōu)化配置,進(jìn)而通過(guò)企業(yè)資源的開(kāi)發(fā)和信息技術(shù)的有效利用來(lái)提高企業(yè)的管理水平���,增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力�����。企業(yè)信息管理的主要內(nèi)容�����,一般包括企業(yè)未來(lái)的經(jīng)濟(jì)形勢(shì)分析����、預(yù)測(cè)資料�����、資源的可獲量��、市場(chǎng)和競(jìng)爭(zhēng)對(duì)手的發(fā)展動(dòng)向��,以及政府政策與政治情況的環(huán)境變化等等����。企業(yè)信息管理與制訂企業(yè)發(fā)展戰(zhàn)略�、制訂規(guī)劃����、合理地分配資源是密切相關(guān)的。同時(shí)�,企業(yè)的信息管理也應(yīng)當(dāng)包括企業(yè)內(nèi)部的信息資源,如財(cái)務(wù)管理信息����、物資庫(kù)存���、鉆井施工���、職工檔案管理等多方面的內(nèi)容,并且促進(jìn)企業(yè)的全面發(fā)展����。
1.2企業(yè)信息安全管理的必要性
企業(yè)信息的存在方式有著多樣性,而進(jìn)行企業(yè)安全信息管理的主要目的��,在于保護(hù)企業(yè)的信息安全�,保證企業(yè)能夠順利的參與到市場(chǎng)經(jīng)濟(jì)活動(dòng)中,進(jìn)而提高企業(yè)的經(jīng)濟(jì)效益和社會(huì)效益���,構(gòu)筑起信息安全管理系統(tǒng)的保密性����、完整性、可用性��、可維護(hù)性����、可驗(yàn)證性的目標(biāo),使企業(yè)安全信息管理能夠通過(guò)有效的控制措施來(lái)實(shí)現(xiàn)���。第一�����,企業(yè)管理的信息具有很強(qiáng)的保密性和完整性的特點(diǎn)����,因此其對(duì)于企業(yè)的生產(chǎn)勢(shì)力����、科技含量、資金流動(dòng)��、企業(yè)的綜合競(jìng)爭(zhēng)力等多方面都有著重要的影響,同時(shí)對(duì)于企業(yè)的商業(yè)形象與合法經(jīng)營(yíng)也至關(guān)重要�����,因此加強(qiáng)企業(yè)信息安全管理是必要的��。第二�,由于網(wǎng)絡(luò)自身所具有的開(kāi)放性特性,決定了企業(yè)信息管理也面臨著來(lái)自各方面的安全威脅���,比如計(jì)算機(jī)病毒�����、黑客等,以及計(jì)算機(jī)詐騙��、泄密等問(wèn)題�����,也說(shuō)明了加強(qiáng)企業(yè)信息安全管理勢(shì)在必行�。第三,企業(yè)對(duì)于信息系統(tǒng)產(chǎn)生的依賴也從另一方面暴露出了信息管理系統(tǒng)的脆弱��,公共網(wǎng)絡(luò)與私人網(wǎng)絡(luò)的連接增強(qiáng)了信息的控制難度,使得信息在分散化的管理模式下��,集中�、專業(yè)控制的有效性大大減弱。另外�����,由于很多信息管理系統(tǒng)設(shè)計(jì)的缺陷�����,其自身就存在著不合理之處����,這對(duì)于信息安全管理也帶來(lái)了一定的難度?�;诖?��,對(duì)于企業(yè)信息管理的安全性也成為了當(dāng)前企業(yè)管理面臨的一個(gè)重大課題���。
2加強(qiáng)企業(yè)信息管理安全的防范措施
2.1不斷完善信息管理系統(tǒng)
隨著企業(yè)信息化的發(fā)展,目前應(yīng)用的管理系統(tǒng)有PKI��、郵箱、AD域�、普OA、合同系統(tǒng)��、A6�、ERP、網(wǎng)絡(luò)��、操作系統(tǒng)���、A7���、檔案系統(tǒng)、物采系統(tǒng)����、OSC�、視頻會(huì)議、企業(yè)微信��、門戶網(wǎng)站����、寶石花�����、數(shù)字營(yíng)房�����、會(huì)議保障�����、E2��、一體化���、RTX、移動(dòng)應(yīng)用���、短信平臺(tái)���。信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行越來(lái)越重要,一旦系統(tǒng)中斷����,將會(huì)給企業(yè)的生產(chǎn)經(jīng)營(yíng)管理帶來(lái)混亂���,而數(shù)據(jù)一旦丟失,后果是不可估量的�。為此,信息管理系統(tǒng)的投入和使用�����,是建立在充分的實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上��,通過(guò)一段時(shí)間的運(yùn)行和觀察�����,才能夠投入使用�����。在不同的部門進(jìn)行信息系統(tǒng)的引入時(shí)�,應(yīng)當(dāng)按照部門的實(shí)際情況,通過(guò)多方引進(jìn)�,使用統(tǒng)一的信息管理系統(tǒng)��。對(duì)于信息安全來(lái)說(shuō),首先要解決的就是系統(tǒng)是否能夠通過(guò)安全驗(yàn)證對(duì)用戶進(jìn)行有效的管理�,并且賦予不同等級(jí)的用戶不同的使用權(quán)限,這樣則能夠有效的防止無(wú)權(quán)訪問(wèn)信息的用戶對(duì)核心區(qū)域的訪問(wèn)���,保證信息不會(huì)被盜用��。同時(shí)���,為保證信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行,應(yīng)采用雙機(jī)服務(wù)器和從服務(wù)器��。一旦發(fā)生服務(wù)器故障�����,由從服務(wù)器自動(dòng)接替主服務(wù)器工作���。
2.2有效的設(shè)備管理
設(shè)備安全主要涉及到由于自然災(zāi)害����、人為因素造成的數(shù)據(jù)丟失���。信息安全應(yīng)建設(shè)完善的容災(zāi)備份系統(tǒng)�,容災(zāi)備份系統(tǒng)一般由兩個(gè)數(shù)據(jù)中心構(gòu)成,主中心和備份中心��。通過(guò)異地?cái)?shù)據(jù)備份�����,實(shí)時(shí)地將主中心數(shù)據(jù)拷貝至備份中心存儲(chǔ)系統(tǒng)中���,使主中心存儲(chǔ)數(shù)據(jù)與備份中心數(shù)據(jù)完全保持一致��。同時(shí)��,對(duì)于管理系統(tǒng)中使用的設(shè)備品牌���、機(jī)型、內(nèi)部配置以及使用時(shí)間等信息都要進(jìn)行專門的記錄����,通過(guò)這些記錄,定期對(duì)設(shè)備進(jìn)行維護(hù)�����,同時(shí)也能夠通過(guò)這些信息判斷出信息的使用效率以及運(yùn)行情況���,對(duì)于設(shè)備的損壞或者是丟失情況都能夠及時(shí)地了解����。
2.3加強(qiáng)對(duì)人員的監(jiān)督與管理
企業(yè)信息安全不單純是技術(shù)問(wèn)題���,而是一個(gè)綜合性的問(wèn)題���。其中最重要的因素是人,人是設(shè)備的主要操作者����,因此對(duì)于信息的安全管理,就需要加強(qiáng)對(duì)人的管理����,需要操作人員具有足夠的安全意識(shí),對(duì)于每一位操作人員進(jìn)行相關(guān)的培訓(xùn)��,對(duì)于唯一的用戶名和密碼等信息要進(jìn)行妥善保管����,同時(shí)讓操作人員認(rèn)識(shí)到泄密會(huì)導(dǎo)致的嚴(yán)重后果,增強(qiáng)責(zé)任意識(shí)����。只有通過(guò)不斷地學(xué)習(xí)及意識(shí)的培養(yǎng)����,管理人員才能養(yǎng)成定期維護(hù)����、按時(shí)打補(bǔ)丁、及時(shí)更新的操作習(xí)慣�,以不變應(yīng)萬(wàn)變的態(tài)度應(yīng)對(duì)各種網(wǎng)絡(luò)攻擊手段。通過(guò)不斷的加強(qiáng)過(guò)程管理��,通過(guò)對(duì)每個(gè)細(xì)節(jié)的嚴(yán)密審查�,能夠有效減少人為出錯(cuò)的現(xiàn)象,同時(shí)通過(guò)科學(xué)的評(píng)價(jià)機(jī)制和激勵(lì)機(jī)制�����,刺激人員工作的積極性��,加強(qiáng)自身的責(zé)任意識(shí)�。
2.4網(wǎng)絡(luò)傳輸安全
篇3
關(guān)鍵詞:信息安全;管理體系����;ISMS
中圖分類號(hào):TP315 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-8631(2010)05-0171-02
一���、概述
當(dāng)前,信息資源的開(kāi)發(fā)和利用�����,已成為信息化建設(shè)的核心���。信息作為一種重要的資產(chǎn),已成為大家的共識(shí)�。其一旦損毀、丟失�、或被不失當(dāng)?shù)仄毓狻?huì)給組織帶來(lái)一系列損失�。這些損失是我們不愿意面對(duì)的。因此信息安全越來(lái)越成為大家關(guān)注的熱點(diǎn)問(wèn)題����。前國(guó)家科技部部長(zhǎng)徐冠華曾經(jīng)指出:“沒(méi)有信息安全保障的信息工程一定是豆腐渣工程”。
所謂信息安全���,是針對(duì)技術(shù)和管理來(lái)說(shuō)的�,為信息處理體統(tǒng)提供安全保護(hù)��,保護(hù)計(jì)算機(jī)軟硬件及信息內(nèi)容不因偶然意外和惡意的原因而遭到破壞、更改和泄漏���。信息安全包括實(shí)體安全����、運(yùn)行安全���、信息(針對(duì)信息內(nèi)容)安全和管理安全四個(gè)方面:
1)實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備��、網(wǎng)絡(luò)設(shè)施以及其他通信與存儲(chǔ)介質(zhì)免遭地震��、水災(zāi)�、火災(zāi)�、有害氣體和其他環(huán)境事故破壞的措施、過(guò)程���。
2)運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)�����。提供一套安全措施(如風(fēng)險(xiǎn)分析����、審計(jì)跟蹤、備份與恢復(fù)�����、應(yīng)急措施)來(lái)保護(hù)信息處理過(guò)程的安全���。
3)信息安全是指防止信息資源的非授權(quán)泄漏����、更改���、破壞,或使信息被非法系統(tǒng)辨別�����、控制和否認(rèn)�。即確保信息的完整性、機(jī)密性���、可用性和可控性��。
4)管理安全是指通過(guò)信息安全相關(guān)的法律法令和規(guī)章制度以及安全管理手段���,確保系統(tǒng)安全生存和運(yùn)營(yíng)���。
信息安全是一個(gè)多層面、多因素����、綜合和動(dòng)態(tài)的過(guò)程。安全措施必須滲透到所有的環(huán)節(jié)�。才能獲得全面的保護(hù)。為了防范和減少風(fēng)險(xiǎn)�����,一般的信息系統(tǒng)都部署了基本的防御和檢測(cè)體系��,如防火墻���、防病毒軟件�����、入侵檢測(cè)系統(tǒng)���、漏洞掃描設(shè)備等等����。這些安全技術(shù)和安全設(shè)備及軟件的應(yīng)用�����,在很大程度上提高了信息系統(tǒng)的安全性�。但是這樣做不能從根本上降低安全風(fēng)險(xiǎn)。解決安全問(wèn)題���。因?yàn)椴荒馨研畔踩珕?wèn)題僅僅當(dāng)做是技術(shù)問(wèn)題�,日常所說(shuō)的防范黑客入侵和病毒感染只能是信息安全問(wèn)題的一個(gè)方面��。一方面由于所有安全產(chǎn)品的功能都是針對(duì)某一類問(wèn)題����,并不能應(yīng)用到所有問(wèn)題上�����,所以說(shuō)它們的功能相對(duì)比較狹窄�����,因此想通過(guò)設(shè)置安全產(chǎn)品來(lái)徹底解決信息安全問(wèn)題是不可能的;另一方面��,信息安全問(wèn)題并不是固定的�、靜態(tài)的,它會(huì)隨著信息系統(tǒng)和操作流程的改變而變化�����。而設(shè)置安全產(chǎn)品則是一種靜態(tài)的解決辦法���。一般情況下��,當(dāng)產(chǎn)品安裝和配置一段時(shí)期后�,舊的問(wèn)題解決了����。新的安全問(wèn)題就會(huì)產(chǎn)生,安全產(chǎn)品無(wú)法進(jìn)行動(dòng)態(tài)調(diào)整來(lái)適應(yīng)安全問(wèn)題的變化���。有效解決上述問(wèn)題的關(guān)鍵是搭建一個(gè)信息安全體系���。建設(shè)體系化管理手段��,通過(guò)安全產(chǎn)品的輔助��,從而保障信息系統(tǒng)的安全�����。
二�����、搭建信息安全管理體系
(一)BS7799
信息安全管理體系是安全管理和安全控制的有效結(jié)合體�,通過(guò)分析信息安全各個(gè)環(huán)節(jié)的實(shí)際需求情況和風(fēng)險(xiǎn)情況�,建立科學(xué)合理的安全控制措施,并且同信息系統(tǒng)審計(jì)相結(jié)合�,從而保證信息資產(chǎn)的安全性、完整性和可用性�����。國(guó)際上制定的信息安全管理標(biāo)準(zhǔn)主要有:英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)制定的信息安全管理體系標(biāo)準(zhǔn)-BS7799��;國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)制定的信息和相關(guān)技術(shù)控制目標(biāo)-COBIT���;是目前國(guó)際上通用的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)�����;英國(guó)政府的中央計(jì)算機(jī)和通信機(jī)構(gòu)提出的一套IT服務(wù)管理標(biāo)準(zhǔn)-ITIL��;國(guó)際標(biāo)準(zhǔn)化組織(IS01和國(guó)際電工委員會(huì)(IEC)所制定信息安全管理標(biāo)準(zhǔn)-IS0/IECl335��。其中BS7799英國(guó)的工業(yè)�、政府和商業(yè)共同需求而發(fā)展的一個(gè)標(biāo)準(zhǔn)�����,于1995年2月制定的�����、世界上第一個(gè)信息安全管理體系標(biāo)準(zhǔn)�。經(jīng)過(guò)不斷的修訂,目前已經(jīng)成為信息安全管理領(lǐng)域的權(quán)威標(biāo)準(zhǔn)���。其兩個(gè)組成部分目前已分別成為IS017799和IS027001標(biāo)準(zhǔn)���。BST799涵蓋了安全所應(yīng)涉及的方方面面,全面而不失操作性����,提供了一個(gè)可持續(xù)發(fā)展提高的信息安全管理環(huán)境�。在該標(biāo)準(zhǔn)中�,信息安全已經(jīng)不只是人們傳統(tǒng)上所講的安全,而是成為一種系統(tǒng)化和全局化的觀念��。和以往的安全體系相比��,該標(biāo)準(zhǔn)提出的信息安全管理體系(SMS)具有系統(tǒng)化����、程序化和文檔化的管理特點(diǎn)。
(二)息安全管理體系(ISMs)
信息安全管理體系(LSMS)是組織整體管理體系的一個(gè)重要組成部分����,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系�。基于對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的分析和認(rèn)識(shí)���,ISMS包括建立����、實(shí)施���、操作�、監(jiān)視���、復(fù)查�、維護(hù)和改進(jìn)信息安全等一系列的管理活動(dòng)�����。IS027001是建立和維護(hù)信息安全管理體系的準(zhǔn)繩���,它一般是要求通過(guò)確定的過(guò)程來(lái)建立ISMS框架:確定體系范圍����,制定信息安全策略�,明確管理職責(zé),通過(guò)風(fēng)險(xiǎn)評(píng)估確定控制目標(biāo)和控制方式���。整個(gè)體系一旦建立起來(lái)����,組織就必須實(shí)施�、維護(hù)和不斷改進(jìn)ISMS���,保持整個(gè)體系運(yùn)作的有效性。
(三)ISMS搭建步驟
當(dāng)一個(gè)組織建立和管理信息安全體系時(shí)�����。BS7799提供了指導(dǎo)性的建議��,即遵循PDCA(Plan�����,Check和Act)的持續(xù)改進(jìn)的管理模式��。PDCA循環(huán)實(shí)際上是有效進(jìn)行任何一項(xiàng)工作的合乎邏輯的工作程序����。對(duì)于搭建和管理信息安全體系,其PDCA過(guò)程如下:
1)信息安全體系(PLAN)
在PLAN階段通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)了解安全需求�����,根據(jù)需求設(shè)計(jì)解決方案��。根據(jù)BS7799-2。搭建ISMS一般有如下步驟:
A�����、定義安全方針:信息安全方針是組織的信息安全委員會(huì)制定的高層文件�,用于指導(dǎo)組織如何對(duì)資產(chǎn)�����,包括敏感信息進(jìn)行管理����、保護(hù)和分配的規(guī)則和指示。
B���、定義1SMS的范圍:ISMS的范圍是需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域��,組織可根據(jù)自己的實(shí)際情況�。在整個(gè)組織范圍內(nèi)��、或者在個(gè)別部門或領(lǐng)域架構(gòu)ISMS�����。
C、實(shí)施風(fēng)險(xiǎn)評(píng)估:首先對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定或估計(jì)����,然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估,同時(shí)對(duì)已存在的或規(guī)劃的安全控制措施進(jìn)行鑒定�。
D、風(fēng)險(xiǎn)管理:根據(jù)風(fēng)險(xiǎn)評(píng)估與現(xiàn)狀調(diào)查的結(jié)果�����。確定安全需求�,決定如何對(duì)信息資產(chǎn)實(shí)施保護(hù)及保護(hù)到何種程度限(如接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)����、轉(zhuǎn)移風(fēng)險(xiǎn)或降低風(fēng)險(xiǎn))。
E��、選擇控制目標(biāo)和控制措施:根據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的結(jié)果�,選擇合適的控制目標(biāo)和控制措施來(lái)滿足特定的安全需求。可以從BS7799-1的中進(jìn)行選擇��,也可以應(yīng)選擇一些其它適宜的控制方式。
F���、準(zhǔn)備適用性申明(SOA):SOA是適合組織需要的控制目標(biāo)和控制的評(píng)論��,記錄組織內(nèi)相關(guān)的風(fēng)險(xiǎn)控制目標(biāo)和針對(duì)每種風(fēng)險(xiǎn)所采取的各種控制措施�。
2)實(shí)施信息安全體系(D01
在DO階段將解決方案付諸實(shí)現(xiàn)��,實(shí)施組織所選擇的控制目標(biāo)與控制措施����。
3)檢查信息安全體系(cHECK)
在CH ECK階段進(jìn)行有關(guān)方針、程序���、標(biāo)準(zhǔn)與法律法規(guī)的符合性檢查�,對(duì)存在的問(wèn)題采取措施�����,予以改進(jìn)����,以保證控制措施的有效運(yùn)行。在此過(guò)程中����,要根據(jù)風(fēng)險(xiǎn)評(píng)估的對(duì)象及范圍的變化情況�。以及時(shí)調(diào)整或完善控制措施��。常見(jiàn)的檢查措施有:日常檢查、從其他處學(xué)習(xí)、內(nèi)部ISMS審核�����、管理評(píng)審、趨勢(shì)分析等��。
4)改進(jìn)信息安全體系(ACT)
在ACT階段對(duì)ISMS進(jìn)行評(píng)價(jià)。以檢查階段發(fā)現(xiàn)的問(wèn)題為基礎(chǔ)�,尋求改進(jìn)的機(jī)會(huì)�����,采取相應(yīng)的措施進(jìn)行調(diào)整與改進(jìn)���。
篇4
關(guān)鍵詞:校園網(wǎng)����;校園網(wǎng)信息�����;安全管理
中圖分類號(hào):G647 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 11-0000-02
To Strengthen the Campus Network Information Security Management
Liu Yong
(Guangdong Maoming Shi Gaoji Jigong Xuexiao,Maoming525000,China)
Abstract:Rapid development in information technology today,the campus network has penetrated into the campus life of each person,but the corresponding situation is a campus network information security has become increasingly prominent,which threaten the normal operation of the campus network,the consequences of the campus network breakdown,school work can not be carried out,serious influence the school is in normal operation,therefore,to strengthen the campus network security management is very important.
Keywords:Campus network;Campus network information;Security management
一、引言
前年茂名市政府免費(fèi)為我校提供了一條10M的政府網(wǎng)光纖,我校由此組建了校園網(wǎng)����。校園網(wǎng)的組建后,學(xué)校辦公自動(dòng)化得以實(shí)現(xiàn)�,校內(nèi)的教師與互聯(lián)網(wǎng)世界的聯(lián)系也越來(lái)越緊密���,極大的提高了學(xué)校的教學(xué)水平和辦公效率����。但是隨著校園網(wǎng)逐漸深入到我們每一教師的教學(xué)和工作當(dāng)中,網(wǎng)絡(luò)所常見(jiàn)的問(wèn)題也一并出現(xiàn)在我們每一位教師的面前�,例如有些教師經(jīng)常使用U盤在校內(nèi)的電腦上進(jìn)行交換數(shù)據(jù)的操作����;或者在上網(wǎng)時(shí)隨意下載文件等原因�����,經(jīng)常就導(dǎo)致了校內(nèi)某些電腦中病毒���,而中毒后的電腦自然就會(huì)對(duì)正在正常運(yùn)行的校園網(wǎng)系統(tǒng)造成威脅,出現(xiàn)大量無(wú)效數(shù)據(jù)堵塞校園網(wǎng)網(wǎng)絡(luò)����,使網(wǎng)絡(luò)出現(xiàn)突然變得緩慢等現(xiàn)象,甚至在蠕蟲泛濫的局域網(wǎng)中�,使校園網(wǎng)癱瘓的事件屢有發(fā)生�����,所以我們必須加強(qiáng)校園網(wǎng)信息安全管理�����,從而確保校園網(wǎng)安全�、穩(wěn)定、高效地運(yùn)行����。
二���、校園網(wǎng)信息安全的解決思路
校園網(wǎng)通過(guò)信息接入點(diǎn)與外部互聯(lián)網(wǎng)相連,校園范圍內(nèi)部所有計(jì)算機(jī)所組成的局域網(wǎng)我們將其稱為內(nèi)網(wǎng)����;信息接入點(diǎn)外部的網(wǎng)絡(luò)我們將它稱為外網(wǎng)�����?�;谫Y金���、設(shè)備和技術(shù)所限�����,我們校園網(wǎng)信息安全最主要的工作是保證內(nèi)網(wǎng)的安全、穩(wěn)定��、高效地運(yùn)行��。這要求我們從兩方面入手:分別是校園網(wǎng)主干網(wǎng)絡(luò)設(shè)備的安全和校園網(wǎng)的安全使用
(一)校園網(wǎng)內(nèi)網(wǎng)的安全
由于資金、設(shè)備和技術(shù)所限,校園網(wǎng)外部的網(wǎng)絡(luò)信息安全我們不用考慮����,也輪不到我們?nèi)タ紤]����,我們要充分考慮的是校園網(wǎng)內(nèi)部的信息安全,采取確實(shí)有效的防范措施來(lái)防止校園網(wǎng)內(nèi)部各電腦主機(jī)對(duì)網(wǎng)絡(luò)主干設(shè)備進(jìn)行攻擊而導(dǎo)致系統(tǒng)崩潰,保證校園網(wǎng)正常運(yùn)行����。
(二)校園網(wǎng)內(nèi)各用戶主機(jī)的安全
校園網(wǎng)的網(wǎng)絡(luò)運(yùn)行環(huán)境是一個(gè)十分復(fù)雜的環(huán)境��,各用戶主機(jī)安裝不同的操作系統(tǒng)�,各用戶的的電腦使用水平差異較大等原因,使得各用戶的主機(jī)難以避免存在各種系統(tǒng)安全漏洞�����,不及時(shí)修補(bǔ)這些漏洞����,就會(huì)給電腦病毒以可乘之機(jī)���,而中毒后的校園網(wǎng)用戶主機(jī)會(huì)對(duì)校園網(wǎng)主干設(shè)備造成影響��。
(三)控制校園網(wǎng)計(jì)算機(jī)病毒
計(jì)算機(jī)病毒是校園網(wǎng)信息安全的頭號(hào)殺手,必須做到有效控制。在校園網(wǎng)主干網(wǎng)絡(luò)設(shè)備和各用戶主機(jī)都要求安裝有效的殺毒軟件���,并且及時(shí)對(duì)病毒庫(kù)進(jìn)行更新����,定期進(jìn)行殺毒操作�,堅(jiān)持將計(jì)算機(jī)病毒扼殺在萌芽狀態(tài)��,使其對(duì)校園網(wǎng)信息安全的危害降到最低��。
三���、加強(qiáng)校園網(wǎng)信息安全管理的具體措施
(一)構(gòu)建網(wǎng)絡(luò)防范措施
如果單位經(jīng)濟(jì)條件允許建議在網(wǎng)絡(luò)信息接入點(diǎn)使用硬件防火墻�,防火墻可在校園網(wǎng)內(nèi)部“編織”好一張安全的大網(wǎng),保證校園網(wǎng)正常運(yùn)行����,是目前非常有效的網(wǎng)絡(luò)安全防范手段���,它提供一整套的安全控制策略,包括訪問(wèn)控制(例如ACL策略)��、數(shù)據(jù)包過(guò)濾和攻擊防范等網(wǎng)絡(luò)必需功能�����,能有效地檢測(cè)和防范校園網(wǎng)各種病毒的攻擊�����、入侵���,監(jiān)控網(wǎng)絡(luò)異常通信��,并對(duì)攻擊的主機(jī)進(jìn)行隔離等��,是我們校園網(wǎng)信息安全最值得信賴的好助手�。
由于每間學(xué)校的內(nèi)部地理結(jié)構(gòu)有差異����,我們很難從物理方面劃分VLAN�����,但我們可使用具有網(wǎng)管功能的交換機(jī)中的VLAN的技術(shù)優(yōu)化校園網(wǎng)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)�����,增強(qiáng)網(wǎng)絡(luò)的靈活性�,并根據(jù)不同的區(qū)域劃分不同的網(wǎng)段來(lái)限制相互間的訪問(wèn)���,達(dá)到限制用戶非法訪問(wèn)的目的。
使用靜態(tài)IP�����,在校園內(nèi)一定要將各用戶主機(jī)的MAC地址與我們事先分配給他IP進(jìn)行綁定����,并詳細(xì)登記各用戶的資料,如使用人姓名��、職務(wù)����、辦公室�、IP����、MAC�����、聯(lián)系電話等資料���,方便對(duì)中毒的電腦主機(jī)快速定位提供依據(jù)����。
在校園網(wǎng)服務(wù)器端使用網(wǎng)絡(luò)行為管理軟件���,例如IP-GUARD(威盾)���、聚生網(wǎng)管等�,實(shí)時(shí)掃描客戶端的主機(jī)的使用情況��、流量信息�����,分析網(wǎng)絡(luò)帶寬流量,防止大量的長(zhǎng)時(shí)間的占用網(wǎng)絡(luò)帶寬�����、防止使用BT、電驢等獨(dú)占帶寬的下載方式����,造成網(wǎng)絡(luò)擁擠���、繁忙���,做到遇故障能及時(shí)準(zhǔn)確地定位和排查。
通過(guò)上述措施���,我們基本上能保證校園網(wǎng)內(nèi)網(wǎng)的信息安全,將網(wǎng)絡(luò)病毒對(duì)校園主干設(shè)備的攻擊降到最低的程度����,使校園網(wǎng)的主干網(wǎng)絡(luò)設(shè)備正常運(yùn)行。
(二)加強(qiáng)校園網(wǎng)信息安全教育����,養(yǎng)成良好的電腦使用習(xí)慣
校園網(wǎng)信息安全涉及到校內(nèi)每一位教師��,因此對(duì)于校園網(wǎng)用戶來(lái)說(shuō)��,要進(jìn)一步提高網(wǎng)絡(luò)信息安全意識(shí)���,加強(qiáng)關(guān)于計(jì)算機(jī)信息安法律知識(shí)的學(xué)習(xí)�����,自覺(jué)規(guī)范操作行為�����,同時(shí)掌握一些有關(guān)信息安全技術(shù)和技能����,養(yǎng)成良好的電腦使用習(xí)慣�,把可能的危險(xiǎn)排除在發(fā)生之前。對(duì)于個(gè)人而言�����,可從以下幾個(gè)方面入手:
現(xiàn)在多數(shù)用戶在電腦中病毒或者因?yàn)槠渌驅(qū)е码娔X系統(tǒng)崩潰后,首要的選擇是重新安裝電腦系統(tǒng),而安裝系統(tǒng)時(shí)普遍采用GHOST覆蓋安裝方法��。這種方法的缺陷是雖然電腦暫時(shí)可以使用���,但病毒依然有可能保留在電腦的C盤內(nèi)��,建議在系統(tǒng)安裝時(shí)先格式化電腦的C盤����,然后再采用GHOST覆蓋進(jìn)行覆蓋安裝���,磁盤文件格式要采用NTFS格式,系統(tǒng)安裝好后立刻進(jìn)行全硬盤病毒掃描,可減少安全隱患�����。
及時(shí)對(duì)系統(tǒng)進(jìn)行漏洞掃描��、修補(bǔ)個(gè)人電腦的系統(tǒng)漏洞。現(xiàn)在網(wǎng)絡(luò)上比較流行的一款軟件360安全衛(wèi)士就具有這方面的功能�,它能及時(shí)掃描你的電腦系統(tǒng)是否還有容易被電腦黑客攻擊的漏洞,并及時(shí)通知你修補(bǔ)這方面的漏洞��。這里要注明一下的就是:有很多電腦用戶為圖方便不喜歡花時(shí)間做這方面的工作����,理由就是我的電腦一旦中毒��,我就重新安裝系統(tǒng)�。這種習(xí)慣在自己家里沒(méi)什么大問(wèn)題��,但現(xiàn)在我們同處在一個(gè)校園網(wǎng)的大環(huán)境下,一臺(tái)電腦中病毒就有可能會(huì)對(duì)整個(gè)校園網(wǎng)系統(tǒng)造成攻擊,使大家都無(wú)法正常上網(wǎng)���。因此我們應(yīng)定期使用類似360安全衛(wèi)士這類軟件漏洞掃描�、修補(bǔ)個(gè)人電腦的系統(tǒng)漏洞���。
操作系統(tǒng)安裝完成后���,要對(duì)系統(tǒng)的安全策略進(jìn)行必要的設(shè)置���。如登錄用戶名和密碼。用戶權(quán)限的分配,共享目錄的開(kāi)放與否���、磁盤空間的限制�����、注冊(cè)表的安全配置���、瀏覽器的安全等級(jí)等���,使用系統(tǒng)默認(rèn)的配置安全性較差��。
使用個(gè)人防火墻和反病毒軟件�,目前互聯(lián)網(wǎng)上的病毒非常猖獗�,達(dá)幾萬(wàn)種之多����,傳播途徑也相當(dāng)廣泛?�?赏ㄟ^(guò)u盤����、光盤、電子郵件和利用系統(tǒng)漏洞進(jìn)行主動(dòng)病毒傳播等�����,這就需要在用戶計(jì)算機(jī)上安裝防病毒軟件來(lái)控制病毒的傳播��。在單機(jī)版的防病毒軟件使用中,必須要定期或及時(shí)升級(jí)防病毒軟件和病毒碼特征庫(kù)?�,F(xiàn)在互聯(lián)網(wǎng)上很多殺毒軟件功能強(qiáng)大而且都是免費(fèi)的,例如360安全衛(wèi)士、360殺毒等�,如果我們能安裝這類殺毒軟件和防火墻,一般都足以抵御各類網(wǎng)絡(luò)攻擊�����,它能夠在一定程度上保護(hù)操作系統(tǒng)信息不對(duì)外泄漏���,也能監(jiān)控個(gè)人電腦正在進(jìn)行的網(wǎng)絡(luò)連接,把有害的數(shù)據(jù)拒絕于門外�。
四��、結(jié)束語(yǔ)
校園網(wǎng)信息安全牽涉到校園內(nèi)的每一個(gè)用戶�,想享用安全、穩(wěn)定、高效的校園網(wǎng)絡(luò)���,我們必須加強(qiáng)校園網(wǎng)信息安全管理����,確保校園網(wǎng)正常運(yùn)行�����,讓校園網(wǎng)絡(luò)為我們的教學(xué)和辦公的好助手�。
參考文獻(xiàn):
[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第4版)[M].電子工業(yè)出版社
篇5
關(guān)鍵詞:信息安全等級(jí)保護(hù)信息安全管理體系
ComparisonofCPISandISMS
LiJun(InnerMongoliaAutonomousRegionPublicSecurity)
XieZongxiao(ChinaFinancialCertificationAuthority,CFCA)
Abstract:Basedontheanalysisofdefinitionofclassifiedprotectionofinformationsystem(CPIS)andinformationsecuritymanagementsystem(ISMS)��,fromthelogicalframework,theimplementationofprocessesandcontrols�,wecomparedboth.
Keywords:informationSecurity,CPIS�����,ISMS
1信息安全等級(jí)保護(hù)(CPIS)
信息安全等級(jí)保護(hù),或者信息系統(tǒng)安全等級(jí)保護(hù)(簡(jiǎn)稱等級(jí)保護(hù))�,在公文中,一般是前者�,但是在標(biāo)準(zhǔn)中,例如����,最典型的GB/T22239—2008和GB/T22240—2008用的標(biāo)題是后者�。單就這2個(gè)標(biāo)準(zhǔn)而言的話����,描述的對(duì)象卻是主要圍繞“信息系統(tǒng)安全”����,而不是廣義的“信息安全”����。當(dāng)然���,本質(zhì)上來(lái)說(shuō),等級(jí)是針對(duì)“信息系統(tǒng)”劃分的�,而不是針對(duì)“信息”劃分的��。在實(shí)踐中�,這兩者不需要刻意區(qū)分�。等級(jí)保護(hù)具體的定義如下:
信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開(kāi)信息和8SeEVmi7me7sxRCjGkySNg==存儲(chǔ)��、傳輸�、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理�����,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)���、處置���。
這個(gè)定義來(lái)自《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》(公通字〔2004〕66號(hào)1))[2,3]。
注意信息系統(tǒng)的定義:
信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備�、設(shè)施構(gòu)成的�����,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸�、處理的系統(tǒng)或者網(wǎng)絡(luò)��;信息是指在信息系統(tǒng)中存儲(chǔ)���、傳輸��、處理的數(shù)字化信息����。
信息系統(tǒng)的定義也來(lái)自《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》��。更早的相關(guān)定義���,應(yīng)該來(lái)自GB17859—1999,其中的定義3.1���,定義了計(jì)算機(jī)信息系統(tǒng)(computerinformationsystem)����,具體為:
計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備�、實(shí)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集�����、加工�、存儲(chǔ)����、傳輸、檢索等處理的人機(jī)系統(tǒng)。
這種人機(jī)系統(tǒng)的定義����,在實(shí)踐中不容易理解,但是最接近學(xué)術(shù)中的最初理解,例如,Davis(2000)[4]認(rèn)為信息系統(tǒng)包括信息技術(shù)設(shè)施��、數(shù)據(jù)、應(yīng)用系統(tǒng)和人員(informationtechnologyinfrastructure,data���,applicationsystems����,andpersonnelthatemployITto...)
2信息安全管理體系(ISMS)
原則上說(shuō)�,信息安全管理體系(簡(jiǎn)稱ISMS)并不是一個(gè)專用術(shù)語(yǔ),在較早版本的標(biāo)準(zhǔn)中2)對(duì)其進(jìn)行了定義3)�����,滿足其中描述條件的應(yīng)該都是ISMS[5����,6]。但實(shí)際情況是,由于這個(gè)術(shù)語(yǔ)起源于ISO/IEC27002和ISO/IEC27001的早期版本��,屬于新生出來(lái)的一個(gè)詞匯����,其他文獻(xiàn)中����,就很少見(jiàn)到�����。所以在實(shí)踐中�,ISMS幾乎成了一個(gè)專用術(shù)語(yǔ)。這如同���,一提“質(zhì)量管理體系(QMS4))”,大家就認(rèn)為是ISO9000標(biāo)準(zhǔn)族道理是一樣的����。因?yàn)槟撤N產(chǎn)品過(guò)于普及,就成為某類行為的代名詞�,這是很常見(jiàn)的現(xiàn)象�。例如,你把快遞地址微信給我�,或者,回頭我把文件QQ給你����。由于ISO/IEC27000標(biāo)準(zhǔn)族在全球范圍內(nèi)實(shí)施廣泛���,在實(shí)踐中��,就會(huì)有此類對(duì)話�,例如:我們?cè)谧?7001�����,意思是說(shuō)����,我們?cè)诓渴餓SMS�����,或者說(shuō),我們?cè)诟鶕?jù)ISO/IEC27001部署信息安全�。
換個(gè)說(shuō)法���,ISMS是一整套的保障組織信息安全的方案(或方法),是組織管理體系的一部分��,定義和指導(dǎo)ISMS的標(biāo)準(zhǔn)是ISO/IEC27000標(biāo)準(zhǔn)族,而這其中��,ISO/IEC27002和ISO/IEC27001是最重要也是出現(xiàn)最早的2個(gè)標(biāo)準(zhǔn)。由于這個(gè)原因�����,導(dǎo)致這一堆詞匯在實(shí)踐中開(kāi)始混用,而不必刻意地去區(qū)分�。因此,在下文中����,這幾個(gè)詞匯都認(rèn)為是同義詞:
·信息安全管理體系(ISMS);
·ISO/IEC27000標(biāo)準(zhǔn)族�;
·ISO/IEC27002或ISO/IEC27001視上下文����,也可能是指代ISMS。
3邏輯框架及實(shí)施流程的比較
等級(jí)保護(hù)是強(qiáng)制實(shí)施的�,建立在一系列國(guó)家公文����、一個(gè)強(qiáng)制性標(biāo)準(zhǔn)以及諸多推薦性標(biāo)準(zhǔn)的基礎(chǔ)之上。ISMS則是建立在國(guó)際互認(rèn)基礎(chǔ)上的推薦性的標(biāo)準(zhǔn)5),這導(dǎo)致兩者在框架上存在很大的區(qū)別��。兩者的框架對(duì)比,如圖1所示�。
或者說(shuō)�����,對(duì)于ISMS來(lái)說(shuō),“組織(或企業(yè))自己負(fù)責(zé)正確的應(yīng)用6)”���,目的是保護(hù)組織(或企業(yè))自身的利益,(如果申請(qǐng)第三方認(rèn)證)同時(shí)向其他人證明組織有良好的信息安全管理水準(zhǔn)����。對(duì)于等級(jí)保護(hù)而言�,則是國(guó)家監(jiān)管機(jī)構(gòu)負(fù)責(zé)企業(yè)(或組織)正確的應(yīng)用�����,主要目的是為了保護(hù)國(guó)家和公眾利益��。
4對(duì)“控制措施”理解的比較
等級(jí)保護(hù)的相關(guān)支持文件主要包括政府公文和國(guó)家標(biāo)準(zhǔn)���,也可以稱為“政策體系”和“標(biāo)準(zhǔn)體系”[2]。以一系列的公文作為依據(jù)����,是等級(jí)保護(hù)的一個(gè)特點(diǎn)����,倒不是因?yàn)镮SMS缺乏國(guó)家監(jiān)管����,而是因?yàn)镮SMS的監(jiān)管與其他管理體系(例如��,ISO9000和ISO14000等)基本一致����,整個(gè)的架構(gòu)設(shè)計(jì)倒顯得沒(méi)那么重要。等級(jí)保護(hù)是一個(gè)全新的設(shè)計(jì)����,因此整個(gè)管理架構(gòu)就顯得非常重要,例如���,《信息安全等級(jí)保護(hù)管理辦法》(公安部〔2007〕43號(hào))就是一個(gè)非常重要的公文��,從國(guó)家層面確立了等級(jí)劃分與保護(hù)�����、等級(jí)保護(hù)實(shí)施與管理以及可能涉及的分級(jí)保護(hù)管理等整個(gè)管理架構(gòu)��。
但是��,就這兩者的框架而言�,還存在一個(gè)不同,即如何理解“控制措施”7)�����。簡(jiǎn)而言之���,等級(jí)保護(hù)部署“控制措施”為中心,ISMS部署是以“控制目標(biāo)”8)為中心����。
這僅僅是一個(gè)描述方式的區(qū)別���,嚴(yán)格講����,等級(jí)保護(hù)也是以控制目標(biāo)為中心��,雖然沒(méi)有非常明確。因?yàn)樗械目刂拼胧?��,最終還是為了實(shí)現(xiàn)安全目標(biāo)�。但這兩者還是不同的���,在等級(jí)保護(hù)中�����,一旦信息系統(tǒng)的等級(jí)被確定���,控制措施都是確定的����,同時(shí)也要注意,等級(jí)本身已經(jīng)隱含了信息系統(tǒng)的控制目標(biāo)�����。對(duì)于ISMS而言���,由于是自愿部署�����,組織自己負(fù)責(zé)識(shí)別安全要求����,自己設(shè)定控制目標(biāo)��,之后自愿部署控制措施�。
通俗地講����,等級(jí)保護(hù)中���,是組織和監(jiān)管機(jī)構(gòu)共同確定(是組織確定,之后提交監(jiān)管機(jī)構(gòu)確認(rèn))信息系統(tǒng)等級(jí)(其中隱含著控制目標(biāo))���,然后按要求部署����。在ISMS中����,是組織自己確定控制目標(biāo),然后按照要求部署�,是一個(gè)自圓其說(shuō)的邏輯��。在下文中��,我們討論定級(jí)備案等過(guò)程,兩者的區(qū)別就很清晰了�����。
當(dāng)然,無(wú)論是等級(jí)保護(hù)還是ISMS����,“控制”都是其核心內(nèi)容之一�����,在等級(jí)保護(hù)中表現(xiàn)為GB/T22239—2008�����,在ISMS中表現(xiàn)為ISO/IEC27002:2013。
在GB/T22239—2008中����,針對(duì)不同安全保護(hù)等級(jí)應(yīng)該具有的基本安全保護(hù)能力�,提出基本安全要求�。標(biāo)準(zhǔn)的架構(gòu)����,如圖2所示���。
在基本要求的基礎(chǔ)上�,自上而下又分為:類�����、控制點(diǎn)和控制項(xiàng)[7]�����。在圖2的10個(gè)大類中��,每個(gè)大類下面分為一系列的關(guān)鍵控制點(diǎn)����,控制點(diǎn)下又包括了具體的控制項(xiàng)�����。本文中不再討論具體條款,具體可以見(jiàn)參考文獻(xiàn)[8]��。
在ISO/IEC27002:2013中,并不區(qū)分技術(shù)要求或管理要求�����,或者說(shuō)��,不關(guān)心實(shí)現(xiàn)途徑����。其中控制的描述結(jié)構(gòu)�����,自上而下又分為:類���、目標(biāo)和控制����。具體而言�����,就是包含了如表1所示����,ISO/IEC27002:2013描述了14個(gè)大類�,這些大類又細(xì)化為35個(gè)目標(biāo),接著由114項(xiàng)控制來(lái)實(shí)現(xiàn)相應(yīng)的目標(biāo)。
具體到每一個(gè)主要安全控制類和控制的描述結(jié)構(gòu)��,參考ISO/IEC27002:2013中的描述,如下所述:
每一個(gè)主要安全控制類別包括11):
a)一個(gè)控制目標(biāo)����,聲明要實(shí)現(xiàn)什么��;
b)一個(gè)或多個(gè)控制����,可被用于實(shí)現(xiàn)該控制目標(biāo)�����。
控制的描述結(jié)構(gòu)如下:
控制
為滿足控制目標(biāo),給出定義特定控制的陳述�����。
實(shí)現(xiàn)指南
為支持該控制的實(shí)現(xiàn)并滿足控制目標(biāo)�,提供更詳細(xì)的信息�。該指南可能不能完全適用或不足以在所有情況下適用,也可能不能滿足組織的特定控制要求�����。
其他信息
提供需要考慮的進(jìn)一步的信息�,例如法律方面的考慮和對(duì)其他標(biāo)準(zhǔn)的參考��。如無(wú)其他信息��,本項(xiàng)將不給出。
關(guān)于ISO/IEC27002:2013����,可見(jiàn)參考文獻(xiàn)[9]和[10]���。
篇6
關(guān)鍵詞:網(wǎng)絡(luò)��;會(huì)計(jì);安全��;管理
會(huì)計(jì)信息的安全是指會(huì)計(jì)信息具有完整性、可用性��、保密性和可靠性的狀態(tài)�����,它來(lái)自于會(huì)計(jì)數(shù)據(jù)的完整和會(huì)計(jì)數(shù)據(jù)的安全����,并保證會(huì)計(jì)信息的持續(xù)性和有效性����。隨著網(wǎng)絡(luò)的發(fā)展�,信息技術(shù)越來(lái)越多的滲透到會(huì)計(jì)領(lǐng)域,但傳統(tǒng)會(huì)計(jì)軟件的設(shè)計(jì)多是考慮從業(yè)務(wù)操作功能上滿足會(huì)計(jì)實(shí)務(wù)的要求,對(duì)其安全性的考慮較少�����。會(huì)計(jì)信息化的輔助軟件雖然具備了強(qiáng)大的信息安全技術(shù)�����,但是又易使人陷入技術(shù)決定一切的誤區(qū)��。迄今為止���,網(wǎng)絡(luò)環(huán)境下的多種安全技術(shù)尚未能夠確保信息的安全性。企業(yè)只有從技術(shù)和管理兩方面構(gòu)建會(huì)計(jì)信息安全系統(tǒng)����,充分考慮技術(shù)的持續(xù)有效性,重視對(duì)安全工程建成后的管理���,才能最大限度地保障網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息的安全性�����。國(guó)際信息安全管理標(biāo)準(zhǔn)(ISO/IEC 17799:2005)對(duì)于信息系統(tǒng)安全管理和安全認(rèn)證的分析表明�����,解決信息系統(tǒng)的安全問(wèn)題不能只局限于技術(shù)。更重要的還在于管理����。因此�����,要讓安全技術(shù)發(fā)揮應(yīng)有的作用����,必然要有適當(dāng)管理措施的支持����。按照該標(biāo)準(zhǔn)(ISO/IEC 17799:2005)“制訂自己的準(zhǔn)則”的建議�����,探討管理對(duì)于會(huì)計(jì)信息安全的重要作用���,兼重管理和技術(shù)�����。對(duì)于真正實(shí)現(xiàn)會(huì)計(jì)信息安全目標(biāo)具有重要意義��。
一、目前會(huì)計(jì)信息安全的現(xiàn)狀及研究
目前會(huì)計(jì)實(shí)務(wù)中的信息安全面臨諸多問(wèn)題��。如會(huì)計(jì)管理越權(quán)、不相容崗位分工不清會(huì)導(dǎo)致會(huì)計(jì)信息的損壞:在網(wǎng)絡(luò)環(huán)境下�����,伴隨電子商務(wù)的發(fā)展而出現(xiàn)的會(huì)計(jì)數(shù)據(jù)載體無(wú)紙化使會(huì)計(jì)數(shù)據(jù)被篡改成為可能:網(wǎng)絡(luò)本身的安全性問(wèn)題����,則可能會(huì)使會(huì)計(jì)數(shù)據(jù)在傳輸過(guò)程中受病毒、黑客的威脅等�����。目前國(guó)內(nèi)被大量使用的傳統(tǒng)會(huì)計(jì)軟件主要是代替手工會(huì)計(jì)核算和減輕會(huì)計(jì)人員的計(jì)賬工作量,本身的安全性設(shè)計(jì)相對(duì)較差��,當(dāng)其在網(wǎng)絡(luò)環(huán)境下使用時(shí)�,上述的某些問(wèn)題就更加顯著���。據(jù)一份針對(duì)英國(guó)900家不同類型組織做的問(wèn)卷調(diào)查,1999―2000年有超過(guò)一半的政府機(jī)構(gòu)及2/3的民營(yíng)組織��,正面臨信息科技的不法入侵��、濫用甚至破壞���。而對(duì)大部分組織而言,信息安全的問(wèn)題尚無(wú)一個(gè)明確的解決方案����。許多文獻(xiàn)針對(duì)會(huì)計(jì)信息安全問(wèn)題進(jìn)行了研究��,但大多集中在技術(shù)方面���。如電子數(shù)據(jù)的存儲(chǔ)加密技術(shù)��、傳輸加密技術(shù)�、密鑰管理加密技術(shù)和確認(rèn)加密技術(shù)����、數(shù)字簽名等�����。也有很多文獻(xiàn)從不同的角度對(duì)會(huì)計(jì)信息安全的管理保障進(jìn)行了有益的探討����。本文從內(nèi)部控制�����,計(jì)算機(jī)軟�、硬件管理的角度,參考ISO/IEC 17799:2005推薦的部分控制措施�����,探討了針對(duì)會(huì)計(jì)實(shí)務(wù)的信息安全管理控制方法,結(jié)合對(duì)信息安全技術(shù)應(yīng)用的分析,闡述了會(huì)計(jì)信息安全管理系統(tǒng)的構(gòu)建過(guò)程中需注意的幾個(gè)薄弱環(huán)節(jié)����。
二、會(huì)計(jì)信息安全管理
(一)內(nèi)部控制
2002年美國(guó)FBI(聯(lián)邦調(diào)查局)和CSI通過(guò)對(duì)484家公司的調(diào)查�,安全威脅和安全事件研究統(tǒng)計(jì)表明:超過(guò)85%的安全威脅來(lái)自企業(yè)內(nèi)部��。本文先從企業(yè)內(nèi)部分析網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)安全問(wèn)題��。
1����、確保不相容崗位相分離�。防止越權(quán)�����。管理越權(quán)�、分工不清這些問(wèn)題在傳統(tǒng)會(huì)計(jì)模式下也會(huì)出現(xiàn)��,但應(yīng)用信息技術(shù)后���,信息載體的無(wú)紙化等特點(diǎn)使此類問(wèn)題更易出現(xiàn)且較隱蔽���,多數(shù)文獻(xiàn)指出����,實(shí)行用戶分級(jí)授權(quán)管理,建立崗位責(zé)任制�����,并賦予不同的操作權(quán)限���,拒絕其他非授權(quán)用戶的訪問(wèn)。對(duì)操作密碼要嚴(yán)格管理�,指定專人定期更換密碼��。在會(huì)計(jì)實(shí)務(wù)中可以推廣應(yīng)用生物識(shí)別技術(shù),其具有更多優(yōu)點(diǎn)�,比如會(huì)計(jì)與出納有不同的權(quán)限,擁有各自的密碼����,因?yàn)闀?huì)計(jì)與出納工作往來(lái)頻繁�,密碼被對(duì)方獲取的情況時(shí)有發(fā)生�,影響了會(huì)計(jì)信息的安全性��。而生物識(shí)別技術(shù)如指紋只能本人在場(chǎng)的情況下方可操作���,并且不存在遺忘或丟失的問(wèn)題���。
2����、保障原始數(shù)據(jù)安全性���。信息來(lái)源復(fù)雜性�����、接觸信息的部門和人員多樣性�����,增加內(nèi)部控制難度�,使原始數(shù)據(jù)錯(cuò)誤�����、信息篡改的風(fēng)險(xiǎn)加大。例如���,原始憑證是進(jìn)行會(huì)計(jì)核算的原始資料�����,是證明經(jīng)濟(jì)業(yè)務(wù)發(fā)生的唯一初始文件�����,有較強(qiáng)的法律效力����。在網(wǎng)絡(luò)環(huán)境下��,有些原始憑證是通過(guò)網(wǎng)上交易取得。如電子單據(jù)�、電子貨幣結(jié)算等網(wǎng)絡(luò)經(jīng)營(yíng)業(yè)務(wù)�����。為使其與紙質(zhì)原始憑證在安全性上達(dá)到同樣的功效,多數(shù)文獻(xiàn)提出的建議是利用網(wǎng)上公證技術(shù)及各種加密技術(shù)�����。但以磁(光)性介質(zhì)為載體的憑證易被篡改或偽造而不留任何痕跡的問(wèn)題是計(jì)算機(jī)及網(wǎng)絡(luò)本身的缺陷���,即使是采用了網(wǎng)上公證技術(shù)���,其法律效力仍無(wú)法與印鑒相比�,因此其安全性并不能超過(guò)紙質(zhì)原始憑證�,作為會(huì)計(jì)核算唯一憑據(jù)的原始憑證��,其地位至關(guān)重要,所以網(wǎng)上交易完成后必須索要紙質(zhì)原始憑證�����,以備核對(duì)��、保留����,盡可能確保會(huì)計(jì)信息完整性���、可用性。
3���、保障會(huì)計(jì)檔案安全性���。會(huì)計(jì)檔案是唯一保存完整的會(huì)計(jì)歷史資料��,是核實(shí)已發(fā)生會(huì)計(jì)活動(dòng)最重要的依據(jù)�����,信息技術(shù)應(yīng)用于會(huì)計(jì)后����,部分會(huì)計(jì)檔案是以磁性介質(zhì)存儲(chǔ)的��。若保管、備份策略和方法不合理�����,會(huì)形成會(huì)計(jì)安全隱患�����。例如���,電子檔案存儲(chǔ)介質(zhì)體積小���、無(wú)紙化等特點(diǎn)與傳統(tǒng)檔案相比更易于被竊取或泄漏�����,所以管理人員必須持有上崗證�。并且要經(jīng)常進(jìn)行檔案法��、保密法培訓(xùn)。在收集過(guò)程中要注意相關(guān)設(shè)備或軟件的收集��,使會(huì)計(jì)電子檔案在將來(lái)任何時(shí)間都可查閱使用��。企業(yè)備份電子檔案的同時(shí)�����。應(yīng)對(duì)已存檔的電子檔案定期檢查����、復(fù)制。電子檔案的定期復(fù)制的時(shí)間應(yīng)根據(jù)存儲(chǔ)介質(zhì)的性質(zhì)而定���,在不浪費(fèi)成本同時(shí)保障會(huì)計(jì)檔案安全����。
2008年6月���,財(cái)政部公布的《企業(yè)內(nèi)部控制基本規(guī)范》第4章明確指出:“內(nèi)部會(huì)計(jì)控制的方法主要包括:不相容職務(wù)相互分離控制�、授權(quán)批準(zhǔn)控制�、會(huì)計(jì)系統(tǒng)控制��、預(yù)算控制……”有文獻(xiàn)提出���,將這些有效的內(nèi)部控制方法、思想集成在軟件功能中��。單純地依靠企業(yè)制定的內(nèi)部控制制度來(lái)加以內(nèi)部控制�����,當(dāng)內(nèi)部人員協(xié)同舞弊時(shí),會(huì)導(dǎo)致內(nèi)部控制制度的失效�����。將內(nèi)部控制集成在會(huì)計(jì)軟件中可以確保會(huì)計(jì)信息正確、安全��。但將這些有效的內(nèi)部控制方法�����、思想集成在軟件功能中需要高素質(zhì)會(huì)計(jì)人員及熟悉信息技術(shù)的人員參與��,并且需要投入相當(dāng)數(shù)量的資金�����。維護(hù)容易跟不上��,因此現(xiàn)階段對(duì)多數(shù)企業(yè)來(lái)說(shuō)有一定困難�,但資金、人員基礎(chǔ)好的企業(yè)可以實(shí)施;并且要把基于PDCA(Plan���,Do����、Check和Act)的持續(xù)改進(jìn)的管理模式應(yīng)用其中。
(二)計(jì)算機(jī)硬件管理
PC客戶端����。數(shù)據(jù)存儲(chǔ)設(shè)備�����,網(wǎng)絡(luò)設(shè)備都會(huì)影響硬件系統(tǒng)安全����。所以應(yīng)制定主控機(jī)房和相應(yīng)網(wǎng)絡(luò)設(shè)備的管理制度,例如專
機(jī)專用��。計(jì)算機(jī)機(jī)房充分滿足防火、防潮���、防塵、防磁和防輻射及恒溫等技術(shù)要求����,關(guān)鍵性的硬件設(shè)備可采用雙機(jī)備份�����,硬件系統(tǒng)安全預(yù)警方案。同時(shí)采取相應(yīng)的激勵(lì)措施��,把相應(yīng)人員職責(zé)列入目標(biāo)考核�����,與獎(jiǎng)金相對(duì)應(yīng),提高其履行制度的積極性�����,確保計(jì)算機(jī)硬件安全。
(三)計(jì)算機(jī)軟件管理
設(shè)計(jì)���、開(kāi)發(fā)的財(cái)務(wù)軟件系統(tǒng)功能與用戶實(shí)際操作不相適應(yīng),軟件存在漏洞�����。軟件售后服務(wù)不及時(shí)都會(huì)影響網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)安全。因此�����,在設(shè)計(jì)、開(kāi)發(fā)和使用財(cái)務(wù)軟件時(shí)��,應(yīng)重點(diǎn)考慮會(huì)計(jì)數(shù)據(jù)及會(huì)計(jì)軟件系統(tǒng)自身的安全問(wèn)題�,采取的措施能有效確保系統(tǒng)安全運(yùn)行�����。保障會(huì)計(jì)軟件安全的具體措施有:
1�、身份認(rèn)證與權(quán)限控制�。堅(jiān)持多重登錄和多重密碼制�。只有被賦予一定權(quán)限的人員�、且密碼核對(duì)吻合時(shí)才能進(jìn)行相關(guān)業(yè)務(wù)操作�,最好采用生物技術(shù)。 2���、軟件升級(jí)必須慎重,與原系統(tǒng)有可兼容性�����,便于查閱往年會(huì)計(jì)電子檔案。
3�、定期備份計(jì)算機(jī)工作日志文件���。
4�、選擇售后服務(wù)好����、財(cái)政部推薦的會(huì)計(jì)軟件企業(yè)的產(chǎn)品。
(四)人為因素的管理
現(xiàn)階段��。多數(shù)企業(yè)的會(huì)計(jì)人員業(yè)務(wù)經(jīng)驗(yàn)豐富。而計(jì)算機(jī)專業(yè)知識(shí)和網(wǎng)絡(luò)知識(shí)卻知之甚少����,不能很好地勝任計(jì)算機(jī)和互聯(lián)網(wǎng)相關(guān)會(huì)計(jì)業(yè)務(wù)處理工作���。復(fù)合型高素質(zhì)人才的缺乏制約著信息技術(shù)在會(huì)計(jì)中的應(yīng)用��,部分網(wǎng)絡(luò)會(huì)計(jì)人員雖然具備較高業(yè)務(wù)水平�,但缺乏職業(yè)道德素質(zhì)。他們憑借精通網(wǎng)絡(luò)會(huì)計(jì)的優(yōu)勢(shì)進(jìn)行非法轉(zhuǎn)移電子資金和會(huì)計(jì)數(shù)據(jù)���、泄密等活動(dòng)����。多數(shù)文獻(xiàn)提出要加快調(diào)整現(xiàn)行會(huì)計(jì)教育體系,加大對(duì)現(xiàn)有會(huì)計(jì)人員關(guān)于網(wǎng)絡(luò)會(huì)計(jì)知識(shí)的后續(xù)教育。同時(shí)由于現(xiàn)階段我國(guó)會(huì)計(jì)人員不可能通過(guò)短期培訓(xùn)就成為復(fù)合型高素質(zhì)人才�����,所以還要從實(shí)際出發(fā)�����,使信息技術(shù)逐步應(yīng)用于會(huì)計(jì)��,在現(xiàn)階段輔助以傳統(tǒng)手工會(huì)計(jì),確保會(huì)計(jì)安全����,如電子交易中原始憑證的確認(rèn)與保留����。
三��、信息安全技術(shù)的應(yīng)用
網(wǎng)絡(luò)的開(kāi)放性使網(wǎng)絡(luò)易受攻擊����,網(wǎng)絡(luò)的龐大性使病毒易滋生、傳播����,會(huì)計(jì)更易面臨諸如泄密、黑客的侵襲而導(dǎo)致企業(yè)跨區(qū)域協(xié)同工作或與企業(yè)合作方網(wǎng)上交易時(shí)會(huì)計(jì)信息被盜或丟失等風(fēng)險(xiǎn)�����。計(jì)算機(jī)網(wǎng)絡(luò)病毒的存在直接破壞系統(tǒng)內(nèi)重要會(huì)計(jì)數(shù)據(jù)���,使系統(tǒng)不能正常運(yùn)行�,影響會(huì)計(jì)數(shù)據(jù)和信息的安全性和真實(shí)性。給網(wǎng)絡(luò)系統(tǒng)安全帶來(lái)了極大危害�。多數(shù)文獻(xiàn)指出電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善�����,這些技術(shù)包括加密技術(shù)�、認(rèn)證技術(shù)�、訪問(wèn)控制技術(shù)�����、信息流控制技術(shù)�、數(shù)據(jù)保護(hù)技術(shù)、軟件保護(hù)技術(shù)���、病毒檢測(cè)及清除技術(shù)等���。但還應(yīng)該注意以下方面����。第一��,采用以上技術(shù)的過(guò)程中需要花費(fèi)一定的成本��,一般情況下,費(fèi)用是隨著安全性的提高而增加的�,所以在采用安全技術(shù)的同時(shí)要考慮成本收益因素���。第二����。破解安全技術(shù)的成本不需大于所保護(hù)會(huì)計(jì)信息的價(jià)值。如果盜取信息的人破解密碼所花費(fèi)的費(fèi)用大于獲得信息而得到的收益���,將不會(huì)去截取信息�����。第三���。好的系統(tǒng)和好的協(xié)議必須根據(jù)人的觀念來(lái)進(jìn)行設(shè)計(jì)。忽略易用性問(wèn)題導(dǎo)致系統(tǒng)無(wú)法達(dá)到預(yù)期目標(biāo)��,安全功能非常難以理解��,以至于用戶無(wú)法正確使用���,從而避開(kāi)這些安全功能����,或者完全不在使用該系統(tǒng)�����。第四�����。在網(wǎng)絡(luò)本身存在種種安全性問(wèn)題的情況下����,要想保證會(huì)計(jì)的安全。在利用信息技術(shù)快捷的同時(shí)�����,在相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)仍要依靠印鑒來(lái)確保憑證��、合同的有效性以明確經(jīng)濟(jì)責(zé)任���。
四��、結(jié)論
會(huì)計(jì)信息安全不僅依賴于會(huì)計(jì)信息技術(shù)的合理可靠應(yīng)用���。還依賴于一個(gè)完善的會(huì)計(jì)安全管理制度��。既有的很多會(huì)計(jì)信息安全管理制度尚存一些薄弱環(huán)節(jié)�,其完善是一個(gè)從實(shí)際出發(fā)的漸進(jìn)過(guò)程�����。同時(shí)�����,會(huì)計(jì)信息技術(shù)在我國(guó)的應(yīng)用也將是一個(gè)長(zhǎng)期的過(guò)程���,依賴于高素質(zhì)技術(shù)人員的培訓(xùn)及各類相應(yīng)配套設(shè)施的投資和建立。
參考文獻(xiàn):
1、潘婧����,網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)及防范措施[J],財(cái)會(huì)研究,2008(2)
2��、谷增軍,基于數(shù)據(jù)加密拉書的會(huì)計(jì)電子數(shù)據(jù)安全對(duì)策[J]���,財(cái)會(huì)通訊��,2008(2)
3�����、昊亞飛�����,李新友等��,信息安全風(fēng)險(xiǎn)評(píng)估[J]�����,清華大學(xué)出版社�,2007
4、李筱佳���,會(huì)計(jì)信息化對(duì)會(huì)計(jì)實(shí)務(wù)的影響及對(duì)策[J]���,財(cái)會(huì)研究��,2009(6)
5、金麗榮�,會(huì)計(jì)信息系統(tǒng)的安全控制措施[J]����,科技資訊��,2008(1)
6����、尹曉偉IT環(huán)境下會(huì)計(jì)電算化內(nèi)部控制研究[J],會(huì)計(jì)之友,2008(11)
7��、田志剛����,劉秋生�����,現(xiàn)代管理型會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制研究[J]�,會(huì)計(jì)研究,2008(10)
8��、郝玉清���,網(wǎng)絡(luò)會(huì)計(jì)的信息安全問(wèn)題及其防范策略[J]�����,北方經(jīng)貿(mào)��,2007(11)
篇7
關(guān)鍵詞 管理�;信息�;安全��;違章
中圖分類號(hào):X934 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2013)20-0163-02
隨著科學(xué)技術(shù)的發(fā)展,信息化的進(jìn)程越來(lái)越快�����,并在電力市場(chǎng)經(jīng)濟(jì)環(huán)境的促使下���,供電企業(yè)開(kāi)始加大自身的信息化建設(shè),信息安全管理逐步得到完善。作為新時(shí)代的一員�����,每個(gè)人都自然而然的成為了信息化的一部分��,所以信息化同時(shí)也影響著社會(huì)上的每個(gè)人����,信息安全管理的問(wèn)題也成為了人們最關(guān)切的問(wèn)題���。
1 信息安全管理的目標(biāo)描述
1.1 信息安全管理的理念
信息安全就是要確保信息內(nèi)容在存取、處理和傳輸過(guò)程中保持機(jī)密性����、完整性和可用性����。信息安全包含信息本身(數(shù)據(jù))的安全和信息系統(tǒng)的安全。其中,數(shù)據(jù)安全就是防止數(shù)據(jù)丟失�、防止數(shù)據(jù)被竊取�����,防止數(shù)據(jù)被篡改�;信息安全就是要保證系統(tǒng)安全穩(wěn)定運(yùn)行,確保有權(quán)使用系統(tǒng)的人能順利地使用,無(wú)權(quán)使用該系統(tǒng)的人無(wú)法訪問(wèn)它�。
1.2 信息安全管理的范圍和目標(biāo)
1)信息安全管理的范圍���。海安縣供電公司信息安全的范圍包括:信息系統(tǒng)網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)服務(wù)器���、計(jì)算機(jī)終端����、桌面終端��、移動(dòng)存儲(chǔ)介質(zhì)等全方面的管理控制�����。
2)信息安全管理的目標(biāo)及目標(biāo)值�����。海安縣供電公司信息系統(tǒng)安全管理嚴(yán)格按照上級(jí)單位要求����,鞏固公司信息安全防護(hù)基礎(chǔ)���,強(qiáng)化安全風(fēng)險(xiǎn)預(yù)控手段�����,提高應(yīng)急反應(yīng)和處置能力���,確保網(wǎng)絡(luò)與信息系統(tǒng)安全的萬(wàn)無(wú)一失。公司信息安全管理主要包括以下指標(biāo)(見(jiàn)附表)�。
2 信息安全分類考核的主要做法
2.1 建立信息安全分類考核機(jī)制的目的
為貫徹國(guó)網(wǎng)以及省市公司關(guān)于信息安全工作的管理要求,確保信息系統(tǒng)安全穩(wěn)定運(yùn)行�,加強(qiáng)公司員工信息安全責(zé)任意識(shí),界定信息安全違章行為,進(jìn)一步明確考核細(xì)則�����,海安縣供電公司借鑒生產(chǎn)安全的管理制度�,出臺(tái)了《海安縣供電公司信息安全違章考核辦法(試行)》。
2.2 信息安全分類考核的依據(jù)和原則
依據(jù)國(guó)家電網(wǎng)公司、省市公司信息安全考核管理工作要求����,以“誰(shuí)主管誰(shuí)負(fù)責(zé)���、誰(shuí)使用誰(shuí)負(fù)責(zé)��、誰(shuí)用工誰(shuí)負(fù)責(zé)��、誰(shuí)是設(shè)備主人誰(shuí)負(fù)責(zé)”為原則����。
2.3 信息安全違章行為界定
違反國(guó)家信息安全有關(guān)法律和法規(guī)�;違反國(guó)家電網(wǎng)公司和省市公司信息安全管理規(guī)章制度��。
2.4 信息安全違章行為的分類
2.4.1 一般性違章(III類違章)
1)部門及人員未按公司要求及時(shí)簽訂《信息安全保密承諾書》�����。
2)計(jì)算機(jī)未按規(guī)定安裝運(yùn)行公司統(tǒng)一的防病毒軟件�、補(bǔ)丁更新策略����、桌面終端管理軟件等��。
3)未按要求使用安全移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行內(nèi)外網(wǎng)信息交換;擅自刪除或破壞已注冊(cè)安全移動(dòng)存儲(chǔ)介質(zhì)內(nèi)的管理軟件����。
4)擅自卸載(含格式化)本單位規(guī)定安裝的操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)客戶端。
5)計(jì)算機(jī)未按要求進(jìn)行注冊(cè)或注冊(cè)信息與責(zé)任人信息不一致��。
6)在公司所有工作場(chǎng)所的計(jì)算機(jī)終端上做任何與工作無(wú)關(guān)的事情(如游戲���、看電影或電視劇�����、聊天、炒股等)��。
7)違反上級(jí)公司信息安全管理規(guī)定被認(rèn)定為一般違章的其他行為����。
2.4.2 較嚴(yán)重違章(II類違章)
1)計(jì)算機(jī)維修未按公司要求送至指定的電腦公司處理導(dǎo)致與工作有關(guān)的信息外泄��。
2)計(jì)算機(jī)和硬盤更換或報(bào)廢未按相關(guān)要求送至公司安全運(yùn)檢部進(jìn)行規(guī)范處理��。
3)在計(jì)算機(jī)上安裝雙網(wǎng)卡或雙操作系統(tǒng)����,進(jìn)行內(nèi)外網(wǎng)切換����;私自拆卸與混用內(nèi)外網(wǎng)計(jì)算機(jī)硬盤。
4)私自開(kāi)啟文件共享導(dǎo)致共享文件被非授權(quán)訪問(wèn)�����、破壞或造成泄密��。
5)擅自更改計(jì)算機(jī)網(wǎng)卡的MAC地址或網(wǎng)絡(luò)端口以及在網(wǎng)絡(luò)設(shè)備上私拉亂接����。
6)計(jì)算機(jī)、移動(dòng)存儲(chǔ)介質(zhì)���、應(yīng)用系統(tǒng)����、內(nèi)網(wǎng)郵件系統(tǒng)未設(shè)置登錄口令��;設(shè)置了登錄口令,但口令長(zhǎng)度低于8位且不是由大寫字母���、小寫字母、數(shù)字或符號(hào)中至少3種組合構(gòu)成;使用系統(tǒng)內(nèi)的通用密碼�����;擅自新增用戶��,未按安全密碼要求設(shè)置密碼�����。
7)未按規(guī)定設(shè)置密碼被桌面終端系統(tǒng)監(jiān)控報(bào)警并經(jīng)調(diào)查認(rèn)定為弱口令事件�。
8)未經(jīng)許可在計(jì)算機(jī)上架設(shè)網(wǎng)站����、游戲服務(wù)器、論壇等非正常網(wǎng)絡(luò)應(yīng)用服務(wù)。
9)在非計(jì)算機(jī)中存儲(chǔ)和處理及通過(guò)互聯(lián)網(wǎng)傳輸國(guó)家���、公司的信息��。
10)內(nèi)網(wǎng)計(jì)算機(jī)私自帶出公司���。
11)擅自組建無(wú)線網(wǎng)絡(luò)并接入信息內(nèi)網(wǎng)。
12)干擾他人正常工作行為��,包括:不真實(shí)信息�、垃圾信息����;散布病毒及木馬����;未經(jīng)授權(quán)或通過(guò)口令猜測(cè)和破解等手段使用他人設(shè)備���、系統(tǒng)�、郵箱等。
13)擅自在內(nèi)網(wǎng)計(jì)算機(jī)中安裝黑客程序��、端口掃描或漏洞掃描軟件并使用其進(jìn)行網(wǎng)絡(luò)掃描或攻擊破壞��。
14)內(nèi)外網(wǎng)計(jì)算機(jī)同處一室,經(jīng)查實(shí)仍未按要求進(jìn)行整改���。
15)違反上級(jí)公司信息安全管理規(guī)定被認(rèn)定為較嚴(yán)重違章的其他行為。
2.4.3 嚴(yán)重違章(Ⅰ類違章)
1)未經(jīng)公司安全運(yùn)檢部安全檢測(cè)和許可��,擅自將計(jì)算機(jī)(含公用�、私用筆記本����、長(zhǎng)期未使用的計(jì)算機(jī)����、倉(cāng)庫(kù)報(bào)廢的計(jì)算機(jī)�����、外來(lái)人員的計(jì)算機(jī))等接入信息內(nèi)、外網(wǎng)�,被桌面終端系統(tǒng)監(jiān)控報(bào)警并經(jīng)調(diào)查認(rèn)定為內(nèi)網(wǎng)違規(guī)外聯(lián)事件。
2)在內(nèi)�����、外網(wǎng)計(jì)算機(jī)上利用無(wú)線上網(wǎng)卡��、WIFI或具備上網(wǎng)功能的手機(jī)和PDA等設(shè)備訪問(wèn)互聯(lián)網(wǎng)���,被桌面終端系統(tǒng)監(jiān)控報(bào)警并經(jīng)調(diào)查認(rèn)定為內(nèi)網(wǎng)違規(guī)外聯(lián)事件���。
3)手機(jī)與內(nèi)����、外網(wǎng)計(jì)算機(jī)相連,用于充電、同步或收發(fā)短信(彩信)、郵件等�����,被桌面終端系統(tǒng)監(jiān)控報(bào)警并經(jīng)調(diào)查認(rèn)定為內(nèi)網(wǎng)違規(guī)外聯(lián)事件�。
4)違反上級(jí)公司信息安全管理規(guī)定被認(rèn)定為嚴(yán)重違章的其他行為�。
2.5 信息安全違章的督查
1)各類人員必須嚴(yán)格執(zhí)行信息安全規(guī)章制度�����,遵章守紀(jì)�。各部門�、供電所(含工程隊(duì))必須認(rèn)真開(kāi)展自查自糾�,對(duì)于發(fā)現(xiàn)的違章行為�,嚴(yán)格按照“四不放過(guò)”的原則認(rèn)真分析和嚴(yán)肅處理�。實(shí)施四級(jí)信息安全日常管理制度,即個(gè)人每日一查、班組每周一查���、部門每月一查���、公司每季度抽查��,并對(duì)管理不到位的相關(guān)責(zé)任人及管理人員進(jìn)行考核�����。
2)對(duì)違章的查處采用專項(xiàng)督查�、日常檢查及應(yīng)用工具軟件檢查相結(jié)合的方式進(jìn)行。公司將對(duì)違章行為及相應(yīng)責(zé)任者進(jìn)行曝光����,以使責(zé)任者和廣大員工受到教育����。
2.6 信息安全違章的處罰
1)處罰標(biāo)準(zhǔn)����。
①I類違章:10000元以上或待崗處理�。
②II類違章:500-2000元�。
③III類違章:200-500元��。
2)違章處罰的對(duì)象為公司全體員工(含農(nóng)電人員),包括社會(huì)化用工��、承(分)包單位人員�����、外協(xié)人員等��。
3)連帶責(zé)任考核。
連帶責(zé)任考核標(biāo)準(zhǔn):因管理不到位�,視管理到位情況對(duì)相關(guān)部門、供電所(含工程隊(duì))的負(fù)責(zé)人���、管理人員、班組長(zhǎng)等進(jìn)行考核��。
4)對(duì)于信息安全反違章處罰的認(rèn)定����、處理有異議的��,可逐級(jí)向上申請(qǐng)復(fù)議��,最終以公司安委會(huì)的認(rèn)定為最終結(jié)果�����。
5)一年內(nèi)發(fā)生一起及以上嚴(yán)重違章,取消該部門����、供電所(含工程隊(duì))當(dāng)年度的先進(jìn)集體評(píng)選資格���。
3 評(píng)估與改進(jìn)
3.1 信息安全違章分類考核的評(píng)價(jià)
參照生產(chǎn)安全中的管理方法�,建立信息安全違章分類考核機(jī)制,有利于公司全體員工信息安全意識(shí)的灌輸�、宣傳�����、培訓(xùn),培養(yǎng)了良好的信息安全使用習(xí)慣�����,提高了全員信息安全技能水平���,使信息安全意識(shí)深入人心�。
建立信息安全違章分類考核機(jī)制至今,海安縣供電公司信息安全工作獲得省市公司的普遍認(rèn)可與高度評(píng)價(jià)��,沒(méi)有發(fā)生一起違規(guī)內(nèi)網(wǎng)外聯(lián)事件����。
3.2 信息安全管理的提升
1)加強(qiáng)信息安全防范工作。
近幾年來(lái)�����,公司對(duì)信息化的依賴程度越來(lái)越大��,對(duì)信息安全工作也越來(lái)越重視��,信息化水平也取得了高速的發(fā)展����,但同時(shí)也出現(xiàn)病毒泛濫��、網(wǎng)絡(luò)端口掃描��、惡意軟件����、信息外泄等威脅����,企業(yè)信息和企業(yè)信息系統(tǒng)未經(jīng)授權(quán)被訪問(wèn)、使用�����、泄露�����、中斷����、修改和破壞�。為適應(yīng)不斷變化的信息化工作��,通過(guò)管理手段和技術(shù)手段強(qiáng)化信息安全管理工作非常必要。
2)持續(xù)提高運(yùn)維人員業(yè)務(wù)水平���。
隨著信息技術(shù)的發(fā)展��,公司信息化水平的提高����,對(duì)信息系統(tǒng)運(yùn)維人員的技能水平提出了更高的要求。因此���,為適應(yīng)信息系統(tǒng)運(yùn)行與維護(hù)工作的需要�,公司信息系統(tǒng)運(yùn)維人員的技能水平和綜合業(yè)務(wù)水平應(yīng)該持續(xù)加強(qiáng)���。
3)進(jìn)一步加強(qiáng)員工信息安全意識(shí)��。
加強(qiáng)對(duì)信息化人員的培訓(xùn)和全員信息安全意識(shí)宣傳��,通過(guò)多種渠道普及網(wǎng)絡(luò)與信息安全相關(guān)知識(shí)���。安全意識(shí)和相關(guān)技能的教育是公司安全管理中重要的內(nèi)容�����,應(yīng)當(dāng)對(duì)公司各級(jí)管理人員�,用戶,技術(shù)人員進(jìn)行安全培訓(xùn)�����,減少人為差錯(cuò)�����、失誤造成的安全風(fēng)險(xiǎn)���。
4 結(jié)束語(yǔ)
生產(chǎn)安全是供電企業(yè)生產(chǎn)管理的根本,而信息系統(tǒng)安全是供電企業(yè)安全生產(chǎn)的基礎(chǔ)���。許多生產(chǎn)安全管理中的制度���、措施和辦法,值得我們?cè)谛畔踩芾碇薪梃b�。
參考文獻(xiàn)
[1]林世溪.電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系的建立[J].華東電力,2010.
[2]杜新光.電力安全生產(chǎn)管理中存在的問(wèn)題及其解決措施[J].中國(guó)電力教育�,2009.
篇8
國(guó)家、省市已經(jīng)頒布各種法律法規(guī)�,各大單位也根據(jù)自己的具體情況���,建立了自己的規(guī)章制度�����,維護(hù)信息安全已經(jīng)有法可依。但是信息安全管理工作涉及的知識(shí)面非常廣����,需要了解國(guó)家信息安全管理法規(guī)�����,需要學(xué)習(xí)信息技術(shù)一般理論�,需要知道信息安全漏洞知識(shí),需要明白信息安全禁令范疇���。為提高學(xué)習(xí)效率和質(zhì)量����,全面掌握信息安全理論和方法,按照信息安全管理知識(shí)體系,建設(shè)信息安全管理教學(xué)系統(tǒng)�����,提供學(xué)習(xí)信息安全管理的教學(xué)條件�����,從而為各方面人員學(xué)習(xí)和執(zhí)行各種規(guī)章制度提供依據(jù)���。相比其他管理工作,信息安全管理工作需要比較多的理工專業(yè)基礎(chǔ)和比較高的電腦技術(shù)要求���,在實(shí)際的信息安全管理工作中���,需要靈活的信息安全管理處置能力���,更多的是判斷信息安全問(wèn)題�����、識(shí)別信息安全陷阱�、規(guī)范信息安全管理�。由于知識(shí)背景和工作性質(zhì)特點(diǎn),管理干部需要花費(fèi)更多的時(shí)間和精力學(xué)習(xí)信息安全管理知識(shí)和技術(shù)�����,才能具備基本的信息安全防范技能。為幫助他們更好地獨(dú)立處置信息安全管理問(wèn)題�����,掌握發(fā)現(xiàn)問(wèn)題解決問(wèn)題技能���,依據(jù)現(xiàn)代教育理念和方法,不僅需要提供深入淺出��、知識(shí)完備的知識(shí)體系學(xué)習(xí)訓(xùn)練系統(tǒng)����,而且需要信息安全管理能力訓(xùn)練系統(tǒng)。
二�、信息安全管理培訓(xùn)思路
為滿足信息安全管理工作在人員培訓(xùn)方面的需要����,需要依托各級(jí)培訓(xùn)學(xué)校����,按照國(guó)家和省市地方的制度法規(guī)���,借助現(xiàn)代教育思想���,借助現(xiàn)代教育技術(shù)����,明確符合實(shí)際需要的功能定位���,建設(shè)信息安全管理復(fù)合應(yīng)用型人才培訓(xùn)體系��,實(shí)現(xiàn)信息安全管理工作對(duì)培訓(xùn)教育、終身教育的培訓(xùn)要求����。
1.培訓(xùn)依據(jù)
(1)依據(jù)各種信息安全管理制度法規(guī)。信息安全人員在履行工作職責(zé)的時(shí)候����,必須按照各種信息安全管理法規(guī)、制度和要求實(shí)施����,制訂人才培養(yǎng)方案和教學(xué)計(jì)劃必須依據(jù)國(guó)家��、省市和本部門的信息安全管理的相關(guān)規(guī)定,這樣的教學(xué)內(nèi)容才能保證人才培養(yǎng)的針對(duì)性和實(shí)用性����,保證管理干部履行信息安全管理職責(zé)的有效性。涉及信息安全制度法規(guī)的相關(guān)文件很多���,有的是專門為信息安全制訂的,有的制度和法規(guī)散落在各個(gè)業(yè)務(wù)管理制度中�。在建設(shè)信息安全管理知識(shí)體系時(shí)���,必須將業(yè)務(wù)部門的相關(guān)規(guī)定融入知識(shí)體系中,使得管理干部在處理具體業(yè)務(wù)中的信息安全管理工作具有針對(duì)性和有效性����。
(2)符合培訓(xùn)教育特點(diǎn)規(guī)律����。信息安全管理技能是從事管理工作人員的基本技能��,屬于崗位專業(yè)培訓(xùn)或?qū)I(yè)技能培訓(xùn)����,屬于培訓(xùn)教育培訓(xùn)。受訓(xùn)人員專業(yè)背景不同��,理論基礎(chǔ)不同���,學(xué)習(xí)能力不同,必須避免材、統(tǒng)一授課、統(tǒng)一訓(xùn)練��、和統(tǒng)一考核的傳統(tǒng)教學(xué)模式�����,采取因人而異�、因材施教的有針對(duì)性的教學(xué)方式,強(qiáng)調(diào)個(gè)性化學(xué)習(xí)�����,將不同層次受訓(xùn)者的信息安全管理能力達(dá)到信息安全管理工作所需要的水平上來(lái)�。
(3)遵循現(xiàn)代教育思想。在實(shí)施教育訓(xùn)練過(guò)程中�,現(xiàn)代教育思想要求采取“學(xué)為主體����、教為主導(dǎo)”的教學(xué)理念,學(xué)員能夠方便地獲得完整的知識(shí)體系和解決問(wèn)題的技能和方法��,自主學(xué)習(xí)�,開(kāi)放學(xué)習(xí)����,自主理解����、掌握知識(shí)和技能。為實(shí)現(xiàn)教學(xué)目的��,需要分析信息安全管理技能特點(diǎn)����,需要分析管理干部學(xué)習(xí)動(dòng)力���,結(jié)合教學(xué)目標(biāo),設(shè)計(jì)學(xué)員學(xué)習(xí)和訓(xùn)練的教育訓(xùn)練環(huán)境�����,提供完整的知識(shí)體系��、豐富的教學(xué)資源�、模擬的問(wèn)題情況��、交互的學(xué)習(xí)平臺(tái)和方便的使用途徑���,提供與培訓(xùn)教育特點(diǎn)規(guī)律和技能訓(xùn)練要求相適應(yīng)的培訓(xùn)條件。
2.信息安全管理培訓(xùn)目標(biāo)
按照信息安全管理工作的實(shí)際情況���,培養(yǎng)信息安全管理工作中管理、業(yè)務(wù)和技術(shù)三支人才隊(duì)伍����,突出業(yè)務(wù)和管理人才需要,兼顧信息安全技術(shù)人員的人才培養(yǎng)�,以現(xiàn)代教育思想為指導(dǎo)�,以信息技術(shù)為核心支持技術(shù),建設(shè)滿足信息安全人才培養(yǎng)的現(xiàn)代培訓(xùn)條件。信息安全管理培訓(xùn)以管理干部為培訓(xùn)對(duì)象�����,以信息安全管理工作為培訓(xùn)內(nèi)容����,區(qū)分信息安全管理人員���、業(yè)務(wù)干部和信息技術(shù)專門人員等不同層次�,跟蹤信息安全管理形勢(shì)��,實(shí)行階段反復(fù)輪訓(xùn)����,以適應(yīng)信息安全管理不斷發(fā)展的需要�����,確保信息安全管理工作的正常開(kāi)展�����。
三、信息安全管理培訓(xùn)環(huán)境構(gòu)建
為適應(yīng)信息安全管理培訓(xùn)需要�����,適應(yīng)管理干部培訓(xùn)教育需要���,必須構(gòu)建遵循信息安全管理規(guī)定��、符合現(xiàn)代教育思想�、依托信息技術(shù)手段��、瞄準(zhǔn)復(fù)合型適用人才培養(yǎng)的教育環(huán)境���。信息安全管理培訓(xùn)條件涉及面很廣��,包括組織機(jī)構(gòu)�����、舍堂館所����、師資隊(duì)伍��、后勤保障等等����,這里我們更關(guān)心符合培訓(xùn)思路的培訓(xùn)模式和教學(xué)支持���。從知識(shí)體系�、學(xué)習(xí)途徑����、訓(xùn)練場(chǎng)所和訓(xùn)練系統(tǒng)多方面著手,構(gòu)建信息安全管理訓(xùn)練體系,構(gòu)建管理人員信息安全人才培養(yǎng)條件。依據(jù)教育信息化研究成果和培訓(xùn)教育教學(xué)特點(diǎn)�����,需要建立完整的信息安全管理知識(shí)體系�,建立開(kāi)放式���、自主式教育網(wǎng)絡(luò)平臺(tái)����,建立強(qiáng)時(shí)效性的教學(xué)資源體系,建立信息安全管理知識(shí)測(cè)試系統(tǒng)��,建立信息安全管理能力訓(xùn)練系統(tǒng)��,等等�。
1.構(gòu)建信息安全管理知識(shí)體系
培訓(xùn)教育的一個(gè)特點(diǎn)就是受訓(xùn)對(duì)象知識(shí)背景和技能掌握程度千差萬(wàn)別�,必須首先建立完整的知識(shí)體系,以滿足不同基礎(chǔ)����、不同需求受訓(xùn)者對(duì)知識(shí)掌握和能力訓(xùn)練的要求。知識(shí)體系必須建立覆蓋學(xué)科知識(shí)和管理手段的所有內(nèi)容�,包括理論體系和教學(xué)資源兩部分�����,其中理論體系包括基礎(chǔ)知識(shí)���、安全理論、規(guī)范制度�����、管理方法����、歷史沿革、防范手段和操作方法�����,教學(xué)資源包括現(xiàn)狀分析����、經(jīng)典案例�����、技術(shù)講解、訓(xùn)練題庫(kù)和數(shù)據(jù)模型����,適應(yīng)和滿足每個(gè)受訓(xùn)對(duì)象的需求��。為滿足個(gè)性化服務(wù)需要�,可以按照知識(shí)點(diǎn)建設(shè)模塊化框架結(jié)構(gòu),設(shè)計(jì)具備菜單選擇功能的專家系統(tǒng)��,允許受訓(xùn)者建立適合自己的個(gè)性化教學(xué)計(jì)劃和實(shí)施方案�����,確保受訓(xùn)者完成培訓(xùn)任務(wù)后勝任安全管理的崗位需要����?����?梢越⒅悄芙虒W(xué)計(jì)劃生成系統(tǒng),系統(tǒng)對(duì)每位受訓(xùn)者進(jìn)行知識(shí)和技能測(cè)試�,按照教學(xué)目標(biāo),根據(jù)測(cè)試結(jié)果�����,將該學(xué)員沒(méi)有掌握或掌握不夠的知識(shí)內(nèi)容和技能形成列表�����,從知識(shí)體系中搜尋相關(guān)知識(shí)和技能的概念��、理論���、技術(shù)和操作技能,形成該受訓(xùn)者個(gè)性化的教學(xué)計(jì)劃�����。隨著信息技術(shù)的發(fā)展和信息安全管理需求的變化,信息安全管理知識(shí)體系應(yīng)該是動(dòng)態(tài)更新的����,剔除修改陳舊的,充實(shí)替換實(shí)用的�。
2.搭建開(kāi)放����、共享和交流的網(wǎng)絡(luò)平臺(tái)
網(wǎng)絡(luò)平臺(tái)是信息資源共享的基礎(chǔ)����,是交流互動(dòng)的基礎(chǔ)����。按照學(xué)科專業(yè)建設(shè)與管理規(guī)范建設(shè)知識(shí)體系,以數(shù)字化形式在互聯(lián)網(wǎng)�����,實(shí)現(xiàn)信息安全管理教育資源共享�����。作為資源共享平臺(tái)的網(wǎng)絡(luò)平臺(tái)��,不僅為建設(shè)者資源共享提供平臺(tái),而且可以為學(xué)習(xí)者提供資源上傳服務(wù)��,成為學(xué)習(xí)者之間相互交流資源的共享平臺(tái)�����,更為信息資源積累提供了很好的機(jī)制和存儲(chǔ)條件�����。網(wǎng)絡(luò)具有兩個(gè)特點(diǎn)��,一是允許網(wǎng)絡(luò)用戶365天24小時(shí)使用���,可以提供受訓(xùn)者隨時(shí)學(xué)習(xí)和訓(xùn)練���,二是允許網(wǎng)絡(luò)用戶在任何有信息覆蓋的地方登錄����,可以提供受訓(xùn)者隨地學(xué)習(xí)和訓(xùn)練��,這兩個(gè)特點(diǎn)打破了傳統(tǒng)教學(xué)時(shí)空的限制��,為學(xué)員自主學(xué)習(xí)�����、教師開(kāi)放教學(xué)���、師生互動(dòng)交流提供了可能�,也為實(shí)施現(xiàn)代教育思想提供了條件���。
3.建立虛擬講堂
優(yōu)秀教師的講授可以將學(xué)習(xí)效果演繹得趣味精彩���,可以將學(xué)習(xí)內(nèi)容組織得明白易懂���,可以將現(xiàn)實(shí)運(yùn)用解析得透徹自然��。為更多學(xué)員獲得完美的教學(xué)體驗(yàn)�,為積累并共享優(yōu)秀教學(xué)資源,為學(xué)員快捷準(zhǔn)確全面理解知識(shí)運(yùn)用知識(shí)提供幫助�����,記錄�����、整理并優(yōu)秀教師或?qū)<沂谡n錄像����,供更多受訓(xùn)者學(xué)習(xí)參考。教學(xué)錄像在網(wǎng)上成為虛擬講堂,成為不同專業(yè)不同時(shí)期受訓(xùn)者良好的教學(xué)資源���,目前全球風(fēng)行的慕課�,可以成為這種培訓(xùn)目的的教學(xué)模式��,成本低���,效益好��。因?yàn)榧夹g(shù)層面的因素,信息安全管理知識(shí)體系在理論基礎(chǔ)和原理解釋有大量不易理解的知識(shí)點(diǎn)和疑難問(wèn)題�����,學(xué)習(xí)時(shí)需要佐證的理論和嚴(yán)謹(jǐn)?shù)倪壿嫞枰獋魇谡攮h(huán)環(huán)相扣的謹(jǐn)密推演�����,因此針對(duì)重要知識(shí)點(diǎn)和疑難雜診的講授片段是受訓(xùn)者自主式學(xué)習(xí)時(shí)需要的重要教學(xué)參考資料��。各個(gè)大學(xué)基本都建設(shè)了網(wǎng)絡(luò)課堂��,為虛擬講堂建設(shè)提供了很好的技術(shù)平臺(tái)����。依據(jù)此平臺(tái),建設(shè)信息安全管理和教學(xué)資源和網(wǎng)絡(luò)課程���,可以構(gòu)筑完整的知識(shí)體系,為培訓(xùn)教育自主式學(xué)習(xí)提供了很好的學(xué)習(xí)資源����。
4.建設(shè)信息安全管理實(shí)驗(yàn)室
培訓(xùn)教育能力訓(xùn)練是教學(xué)環(huán)節(jié)中的主要部分,驗(yàn)證理論、觀摩操作方法和訓(xùn)練技能需要包括場(chǎng)所�、設(shè)備和軟件等實(shí)驗(yàn)條件,實(shí)驗(yàn)室是完成實(shí)驗(yàn)任務(wù)和檢驗(yàn)方法效果必須具備的教學(xué)條件��。理論��、方法和技能的實(shí)驗(yàn)和訓(xùn)練是信息安全管理培訓(xùn)需要完成的教學(xué)環(huán)節(jié)�,這些需要信息安全專業(yè)實(shí)驗(yàn)室的支持。信息技術(shù)具有可設(shè)計(jì)����、可復(fù)制�、可重用的特點(diǎn),使得基于信息技術(shù)的教育訓(xùn)練條件具備降低訓(xùn)練費(fèi)用���、提高學(xué)員學(xué)習(xí)自主性��、提供學(xué)員反復(fù)學(xué)習(xí)等長(zhǎng)處���,結(jié)合音頻處理技術(shù)��、視頻處理技術(shù)�����、三維動(dòng)畫技術(shù)�����,可以為學(xué)員學(xué)習(xí)提供強(qiáng)烈逼真的感官刺激、美輪美奐的藝術(shù)表現(xiàn)和自主操控的虛幻體驗(yàn)�。從訓(xùn)練目的而言,實(shí)驗(yàn)室可以分為虛擬實(shí)驗(yàn)室和能力訓(xùn)練場(chǎng)兩部分�����。
(1)虛擬實(shí)驗(yàn)室。信息安全管理涉及大量技術(shù)手段���,信息安全技術(shù)攻擊和防范具有不可見(jiàn)���、不易理解的特點(diǎn),需要顯而易見(jiàn)、通俗易懂的形象展示�。虛擬實(shí)驗(yàn)室是依托信息技術(shù)按照實(shí)驗(yàn)室運(yùn)行規(guī)律、要求和任務(wù)���,以網(wǎng)頁(yè)形式在計(jì)算機(jī)網(wǎng)絡(luò)上建立的可以模擬實(shí)驗(yàn)室運(yùn)行的軟件系統(tǒng)。虛擬實(shí)驗(yàn)室內(nèi)設(shè)信息安全管理所需要的各種理論����、方法和技能引擎,可以多維形象地反復(fù)演示信息安全管理的理論���、方法和技能����,可以允許受訓(xùn)者以第一人稱介入并依據(jù)受訓(xùn)者干預(yù)情況展示相應(yīng)信息安全分析結(jié)果��,虛擬實(shí)驗(yàn)室可以記錄并考核受訓(xùn)者實(shí)驗(yàn)過(guò)程和成績(jī)���。
