发布时间:2022-03-11 18:31:32
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的信息安全管理样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
为了保证互联网信息的安全以及做好信息的保密工作,安全管理系统的设计内容大体上分为三个模块,首先是安全体制模块,包含算法库、信息库以及用户界面三个小方面;其次是网络连接模块,包含安全协议以及通信接口两个小方面;最后是网络信息传输,包含安全管理、安全支撑以及安全传输三个系统。算法库是关于一些处理算法。信息库是关于用户进入口令、管理参数以及权限的设定,检查系统运行状况。
用户接口是用户操作界面以及用户私人信息管理。安全协议包括连接网络协议、用户个人身份确定协议等。通信接口的安全保障是依赖于安全协议的工作、在通常情况下,通信接口的实现方式包括两种:第一是用户在进入互联网时,才开启安全服务,并运行安全体制,用户所传输的信息都是经过系统的加密处理,然后被传输到互联网上,或者是数据链路,是比较透明的互联网信息传输与交换。此种方法很容易实现,而且不用对用户目前所使用的系统做一丝改动,用户所要投入的资金也比较少。第二种是修改目前的通信协议,在互联网与应用之间增加一个安全层,使信息的安全处理变得透明化以及自动化。安全管理系统是一个包含很多程序的软件包,主要负责用户界面上安全管理器的正常工作,可以使得用户很容易地控制计算机上信息的传输,保证安全。我们通常把这个系统安装在用户计算机的终端,或者是网络节点。安全支撑系统是整个安全管理系统最值得信任的一方,其物理安全以及逻辑安全是非常重要的,需要得到严密而全面的防护。
二、安全管理系统的实现
安全管理系统总共包括以上的内容,具体的实现有很多的问题,需要有条不紊的进行。以下是针对管理系统实现所采取的具体的实现步骤,按照这些步骤来一步一步进行,不会出现混乱的情况,而且条理清晰,可以降低出错的几率,也可以保证管理系统的质量。
(一)熟知互联网的状况,估计风险及各种木马攻击
互联网上的信息安全保障是很薄弱的一个环节,如果防护措施做不好,就会经常受到黑客的攻击,盗取信息,甚至泄露出去,造成个人或者是企业的损失。为了预防或者是击退这些攻击,需要全面地了解平时所有的攻击方式、攻击方位,还有要了解哪些部分是比较薄弱的地方,给予加强保护。只有掌握了攻击的全面资料,才可能有针对性地做出比较全面而可靠的保护措施。
(二)安全策略的制定与优化
安全管理系统需要一个明确的目标与原则,这就是安全策略。安全策略的优化需要考虑以下几个方面:第一需要从系统整体出发,咨询用户的需求,根据应用的环境来制定策略,这其中包含各个子系统的策略制定。第二需要考虑策略的制定会不会对原有的系统产生什么负面的影响,比如通信延时等。第三,策略的制定要方便用户对计算机的操作,包括控制,管理以及配置等。第四,用户界面要人性化。第五,投资的金额要少。
(三)安全模型
模型可以把抽象的问题具体化,使问题简单起来,不再那么复杂,寻求到更好地解决办法,制定更加完善的安全策略,就像是教师教学时经常使用各种模型,让学生容易理解深奥的问题。模型包括整个系统中的所有子系统,这些子系统在上面的内容已经有过阐述。
(四)安全服务的选择以及实现
应用密码技术,来实现向用户所保证的安全服务。这是一种现代的技术,能够保障整个系统的安全性,保护用户的私人信息,使用户不用再担心个人资料的泄漏,保障用户的个人利益。安全服务有两条实现的途径,分别为软件编程以及硬件芯片,其中在通过软件编程来实现安全服务时,需要注意机身的内存,优化系统的流程,增加程序运行时的稳定,以及降低运算时间。
(五)安全协议的制定
1.高校图书馆还比较缺乏信息安全管理方面的人才。从当前一个时期来看,高校图书馆无论从管理层角度,还是从普通馆员角度都有一个共识,那就是高校图书馆信息安全管理对专门的安全技术人员非常认可。然而现实是,高校图书馆专门信息安全人才依然比较匮乏,平时高校图书馆忙于事务性工作,也欠缺对馆员进行信息安全方面的培训和培养。
2.缺乏综合性的安全解决方案。在实践过程中,高校图书馆为了保证信息安全运行,使用了大量的硬件防火墙、入侵监测系统和杀毒软件。从长远讲,这些措施还不能远远不能解决问题,高校图书馆在信息安全管理方面依然缺乏综合性的解决方案,虽然也有各种信息安全管理规章制度和某些解决方案,没有一个系统来组织这些规章制度和解决方案。
二、信息时代条件下创新高校图书馆信息安全管理的主要措施
(一)必须要对管理信息系统进行科学规划。对于高校图书馆来讲,进行管理信息系统创新,也离不开这个步骤,也必须做好前期的调查研究工作,研究拟开发设计的管理信息系统在本馆的可行性、以及使用后的效果性等内容。科学规划所设计到的主要内容有:制定前期科学、完善的主要目标,并对管理信息系统长期发展方案进行编,以确定管理信息系统在整个组织中发展方向、使用规模以及发展进程;开展初步调查,其目的是为了合理地确定系统目标,进行系统总体分析以及可行性研究,摸清本图书馆在管理信息系统建设存在的迫切性、主要不足、可行性和可能性;在初步调查的基础上,形成详实的调研报告,为后期系统详细调研奠定基础。
(二)对图书馆管理信息安全管理系统实施可行性分析。在前期初步调查的过程中,严格执行调查内容,明确图书馆管理信息系统的目标,对现行系统的基本情况作出初步了解、明确可行性。结合管理信息系统对运行环境、资源要求等条件进行考量,判断出图书馆所拟上管理信息系统是否具有必要性和可能性。对管理信息系统现存的主要不足、问题、紧迫性、希望新的管理系统所能够带来主要功能、开发态度、资金保障、专业人员配备、后期维护与管理等方面进行全方位了解。
(三)开发创新高校图书馆信息安全管理的新型系统。管理信息系统开发创新是更好提高管理效能的重要手段。当前高校图书馆生存发展的宏观、微观环境已经发生了深刻变化;高校图书馆职能的发挥必须要建立在充分随时随地取得准确而及时的管理决策方面的内部信息与外部信息,甚至是与高校图书馆管理过程中各项决策决议执行情况的反馈信息,以实现对高校图书馆业务与管理的及时调控。管理信息系统主要的功能不但能够有效进行数据与信息的搜集、处理、而且还具备了预测和控制功能;在高校图书馆实施管理信息系统创新,对于高校图书馆管理曾来讲,能够有效解决在管理中所面临的半结构化问题和非结构化问题,有效提高一种定性与定量分析的方法,有效提高管理效率和决策的科学化水平。
三、结语
电子信息安全管理防范意识管理质量近些年来,我国计算机网络技术异乎寻常地突飞猛进,把人们带入了前所未有的信息化时代,网络和人们息息相关,无论工作、学习、生活、购物乃至娱乐与游戏,一刻也离不开网络的支持。信息化和网络化时代,电子商务(Electronic Commerce)应运而生。随着电子商务的出现,人们的交流更加便利,比如电子邮件可以随时随地地进行传递,电子商务让人们的生活更加随心所欲,工作效率得到了前所未有的提高。黑客(hacker)的出现,极大地干扰了网络,带来了一定的破坏,给人们带来了巨大的经济损失和精神方面的忧虑,甚至一度引起全世界范围内的恐慌,人们对电子信息失去了信任,即使在安全的情况下,很多人依然心有余悸。以故,加强电子信息安全管理势在必然。
一、电子信息安全管理中存在的问题
1.安全防范意识落后
我国的信息技术迅猛发展,人们沉浸在便利的喜悦中,忽略了安全管理。由于电子商务处于初步发展阶段,很多技术方面尚不成熟,一些高标准的电子商务平台尚还没有搭建起来,对黑客缺乏防御的小型电子商务平台虽然随处可见,但其缺乏有效的安全管理,经营者麻痹大意,心存侥幸,认为“黑客”虽然存在,但是自身未必遭受攻击,他们更多地关注业务的发展,重视平台规模的扩大和系统功能的开发。在这种情况下,系统缺乏安全防御,一旦受到攻击,立即瘫痪不能运转和造成损失。此外,有些管理者为了防御黑客,在市场上购买了一些大众化的安全管理软件,便觉得安装了这些“高新”产品,就会高枕无忧,永远安全的使用电子商务。结果,常常事与愿违,造成巨大的损失。
2.信息安全技术匮乏
经过一段时间的努力,国内的信息安全管理技术不断提升,连续迈上新的台阶,情况喜人。但是,我们也要有自知之明,因为和许多西方国家相比,信息安全防御与控制技术相对落后很多,并且,我们在经费的投入方面,有明显的差距;自主研发技术存在的不足之处多多,亟需改善。我们更要清楚的一点是:我们的技术,很多都是借鉴国外的经验,缺乏独创。如此步人后尘,电子信息安全管理质量难以有质的突破。
3.信息安全产品鉴定混乱无序
为了安全起见,很多企业花费不菲,购买了一些安全方面的软件,殊不知,这些产品在一般情况下,确实能够起到电子信息使用平台的安全作用,但如果病毒强大,绝对的安全便难以保证。纵观市场上的安全软件产品,良莠不齐,并且,目前市场上对于安全产品的鉴定没有统一标准,各执一说,很多都是主观判断,由此产生隐患。
二、电子信息安全管理的有效措施
在电子信息安全管理方面,一旦出现问题,就会造成损失,一些企业“吃一堑长一智”,采取了相关措施,不过,调查表明,大多数企业存在“重技术,轻管理”的情况,而且由于一些企业尚未造成重大损失,管理层对安全问题漠不关心,或重视不够。下面针对加强电子信息安全管理的主要措施做一探讨。
1.构建完善的管理组织机构,加强管理
电子信息安全管理组织机构的完善有力地促进了企业的发展,从安全决策到认真执行,层层构架,发挥职能。管理框架的构建要集思广益,审慎剀切;安全制度的审批须一丝不苟,审查入微;安全职责的分配必须认真到位,监督有力;遵照网络系统安全制度,严肃执行,进行网络系统的日常维护。如属于大型的电子商务平台或者集团企业,更加需要增加投入,比如聘请有造诣的专家成立顾问组织,以便企业进行疑难咨询,或是参照出现的问题出列解决方案,尔后进一步对责任进行调查、评估。
2.电子信息安全管理制度有待进一步完善
电子信息安全管理制度主要包括两方面的内容,第一点就是构建电子信息控制制度,第二点是出现问题之后的解决策略。关于第一点,需要明确责任,注重细节,出现任何情况都要严格审核,并且定期检查;至于第二点,注意信息传递过程中的信息维护,密切跟踪,及时报告,达到有效监督。最后,备份数据文件储存。
3.专业亟待提升
互联网的发展突飞猛进,普及千家万户,安全技术的研发相对于互联网的发展远远落后,原因诸多,最重要的一点就是缺乏过硬的技术人员。一般而言,电子商务规模越大,电子信息安全管理队伍的阵容也要随之扩充,只有电子信息安全管理队伍强大,才能够产生无穷的智慧与应对措施,保证电子商务平台的安全。
4.系统安全检测
黑客一词被用于泛指那些专门利用电脑网络和系统安全漏洞对网络进行攻击破坏或窃取资料的人。病毒与黑客不断变换手段,频频对电子商务系统采取攻击行动,有时候能导致整个系统瘫痪。出现意外情况,要立即检测,要经常更换密码,设置复杂一些的密码,要经常对防火墙进行检查,系统功能是否保持,是否出现漏洞等,要细致入微,不能有一丝一毫的疏忽,严防黑客侵入。
5.建立保护系统的方案
时常进行安全检测,一旦系统的安全检测失灵,必须立即建立系统安全防护措施。系统安全管理极其复杂,缺乏安全可靠的保护,电子商务在网络平台失去有效的依靠,随时会出现漏洞。反之,安全策略严谨,防护得力,即便系统遭受攻击,也会及时发现,能将损失最小化。
6.管理培训的重要性
防护系统的工作人员,要进行考试录用、上岗培训,企业经常进行人员培训,定期学习安全策略和规章制度。让每一个员工加强安全观念,提升对信息安全的重视,认识到防护的重要性,坚守岗位,忠于职守,明了企业安全规章制度的含义。
三、结语
综上所述,近年来经济腾飞,经济全球化进程不断加快,计算机技术无所不在,网络畅通无极,人们在网络平台上进行商务管理、学习、游戏、查找资料、购物汇款等等,网络信息交互平台已经深入大家的生活,人们已经一日不可没有网络的存在。网络如此不可或缺,随着计算机病毒造成的一次次的损失,人们对电子信息安全管理质量忧心忡忡。
在这一背景下,很多电子信息安全管理研究机构纷纷推出各类电子信息安全管理产品,尽管其对确保信息安全起到了一定的功效,但是,一切并不是万能的。这也使得人们明白了技术产品并不仅仅是安全管理工作的全部。本文结合当前电子信息安全管理现状,提出了一些相应的应对措施,希望能够有效提升电子信息安全管理的质量。
参考文献:
[1]姚帝晓.电子商务安全问题的思考[J].商场现代化,2006,(7):103.
关键词:信息系统 信息社会 安全管理
中图分类号:TP393.0 文献标识码:A 文章编号:1007-9416(2013)07-0170-01
随着网络的迅速发展,信息化的进程越来越快,对我国的可持续发展也有着重要的影响作用。以网络为例,在1997年我国网民的人数有62万人次,到了1999年底,就已经增至890万人次,是1997年的14倍,同时,1997年的网站数量仅仅只有1500个,到1999年时已经增长了十倍。网络化和信息化已经在人们的生活中占据到非常重要的位置,深深的影响着人们生活的各个方面,同时也在潜移默化的改变着人们的思维模式。作为新时代的一员,每个人都自然而然的成为了信息化的一部分,所以信息化同时也影响着社会上的每个人,信息的安全管理问题也成为了人们最关切的问题。
1 信息安全管理的主要研究工作
随着信息系统安全管理工作的不断改进,它的复杂性也在不断的增强,对于信息安全的管理工作来说,难度也在不断的增加。所以,应该采用科学的手段,建立一个完善的信息安全管理体系和综合的安全管理机制,使信息系统的安全管理任务更加便利,同时防范不良用户对信息的攻击和越权操作。下文对安全管理的研究工作进行了相关的研究。
第一,要想有效的保证信息系统中安全管理的问题,策略模型是一个决定性因素,它的好坏决定着信息系统的安全性能和使用性能。在对信息安全进行管理的过程中,要充分运用策略模型的特征进行分析,该模型将不同的应用归属到不同的信任区域中,通过对区域的访问和控制,从而更好的维护应用的运行,保证管理工作的顺利运行。
第二,建立健全的管理机制,管理机制对系统的安全起着很大的保障作用。有效的安全管理措施能够为信息系统防御内部以及外部带来的攻击。通过设计完善的管理流程,使管理员之间形成相互协作、制约的和谐关系,不断的增强管理的安全性能。
第三,根据策略模型以及管理流程工作,对管理体系的整体框架进行设计,基于LINUX的安全机制内容,在LINUX环境下,设置系统管理员、审计员和安全管理员相互制约的管理机制,保障管理机制的持续发展。
2 目前信息安全管理中存在的问题
在目前的信息安全管理中,主要面临着两个方面的威胁,一个是误用,一个是入侵。误用是指在用户的权限时出现配置错误,对访问的控制不到位,在应用的时候有一定的缺陷;入侵是指当系统遭受到外部的恶意攻击,企图对内部的信息系统进行越权的操作。这两个威胁的出现的很重要的原因是因为在管理过程中,实施不到位,安全管理方面出现了严重的漏洞。
在目前的信息系统管理中,不仅仅要依靠专业的技术手段来保证信息的安全,同时需要有效的管理对系统进行更好的维护,因为在信息系统运行的过程中,常常会因为管理的疏忽造成系统无法达到预期的目的。举个例子来说,对于一般的系统而言,合法用户通常被分为两个类型,一个是具有所有权利的超级用户,一个是没有任何特权的一般用户。在这种情形下,只要是能够进入到系统的任何人,都能够将自己转变为超级用户的身份,同时能够对整个系统进行控制。随着系统的功能不断的增加,怎样对信息进行有效的管理和维护,是一个比较棘手的问题。在信息系统的安全管理方面,主要存在着以下几点问题。
其一,对整体机构设计不够合理。通常来说,企业会在安全技术问题上面投入大量的物力和财力,但是没有运用先进的手段来对保障信息系统的安全问题进行维护,在管理结构的设计上也不够合理,不能及时的发现系统中存在的漏洞和安全问题,从而不能针对性的制定出相关的控制措施。
其二,信息安全管理工作不能得到落实。系统的安全性能和实用性能是一对不可调和的矛盾。在对系统使用的安全知识的普及过程中,无法让所有的使用者都能够深刻的了解其重要性,也无法让他们承担相应的安全责任。信息系统的使用者往往只注重信息获取的便捷性,而忽略了其安全问题,所以在安全管理的过程中,不能够将其有效的落实,从而使安全功能的优势不能得到更大的发挥。
其三,信息的安全管理工作没有得到有效的制约。在信息系统中,企业常常会设置拥有所有权限的超级用户对系统进行管理。在系统的管理中,超级用户能够访问系统的任何信息资源,所以他们对系统进行操作的过程中,出现的有意或者无意识的失误就会对系统的安全造成很大的隐患。建立一个相互制约的环境,对信息系统的管理是一个很大的挑战。
综上所述,一个良好的安全管理机制对整个信息系统有着重要的影响,要想有效的保证信息系统的安全管理,首要应该注意的问题是保证用户和系统本身的行为是合法的,在信息系统的安全功能中,用户能够达到自身某种预期的目标,这种目标包含安全目的。要使系统的安全管理功能得到最大限度的发挥,必须运用强有力的管理手段对信息系统的安全性进行保障。
3 结语
在对安全管理的问题进做出决策时,一定要实事求是,充分的将我国的安全管理技术现状和水平考虑进去。对于信息系统安全管理的重要性问题,世界上各个国家都制定了相关的管理措施和办法,这些规范内容对信息系统的安全性能检验提供着重要的依据。目前,网络中最大的安全隐患不是在国内发现的,针对计算机病毒的解决措施也不是我国发明的,对于高级的黑客攻击,在国内,并没有一个有效的方法对其进行掌握,黑客攻击的检测技术在国内还处于较低的水平,所以我国要尽快的了解和正视自身存在问题,这样才能够更快的缩小与其他国家之间的差距。
参考文献
[1]李全喜.计算机网络安全漏洞与防范措施[J].计算机光盘软件与应用,2012(16).
[2]曲运莲.浅谈学校计算机信息系统安全管理的措施[J].科技情报开发与经济,2010(35).
数字化档案是档案与现代化的技术有机结合的新型档案信息形态,将档案信息转化成数字信息,应用现代化技术的便捷性,将档案信息进行归档、利用以及资源共享等。这里所说的现代化技术主要包括计算机技术、扫描技术、OCR技术、数字摄影技术、数据库技术、多媒体技术、存储技术等。
2数字档案信息安全问题相关分析
对于档案信息本身来说,无论是传统的档案存储,还是现代化的数字档案,安全问题都是首要问题。由于现代化的数字档案是传统档案与现代化技术的结合,所以影响档案信息安全问题的因素较多,这些因素的出现,对数字化档案信息安全造成了不同程度的影响。以下是对数字档案信息安全问题的具体分析。
2.1数字档案信息的安全管理。
档案信息安全管理问题是决定数字档案信息安全的直接因素。如果安全管理方面存在缺陷,例如制度的不完善、标准不统一、管理措施无效等,必然会失去数字档案信息的基本保障。所谓的数字档案信息安全管理主要包括管理制度、标准、管理措施,不仅如此还包括数字档案信息归档流程等,相关流程不规范也会使数字档案信息安全问题受到威胁。
2.2计算机故障问题。
由于数字档案信息的归档及利用均以计算机为载体,所以计算机本身的不确定因素会影响数字档案信息安全问题,其中计算机故障问题是影响数字档案信息安全的主要问题,其中计算机故障又包括硬件故障与软件故障。以下是对两种故障的具体分析。
2.2.1硬件故障。
计算机硬件条件良好时数字档案信息安全问题的基本保障,当计算机硬件发生故障时,数字档案信息的存储、查询、利用等就会受到较大的影响,其在一定程度上导致档案信息的丢失或损害,影响了档案信息的完整程度,大大降低了数字档案的使用质量与效率,为使用者造成较大的不便。
2.2.2软件故障。
计算机的软件是处理数字档案信息的必要条件,一旦计算机软件出现故障亦或是性能无法满足现阶段数字化档案信息系统的要求,档案信息的处理能力就会大大下降,工作质量与效率也会随之下降,而数字化档案信息本身也无法发挥最大作用。计算机软件故障直接影响数字化档案信息系统的操作,但是与计算机硬件故障相比较,其发生故障的几率较小。
3探究数字化档案信息安全管理相关策略
前文已述,管理问题直接影响着数字化档案信息安全,故而要确保档案信息的安全,首先要从管理策略方面抓起。以下是对数字化档案信息安全管理相关策略的具体分析。
3.1加强数字化档案宏观管理。
加强数字化档案的宏观管理档案数字化工作是一项技术性、专业性、综合性很强的工作,必须加强领导,统一思想,建立健全组织机构,比如建立专门的档案数字化、信息化、网络化协调组织机构,组织国家档案信息网络的总体设计与技术攻关,加强档案信息网络一体化的宏观管理。档案数字化工作要纳入科学管理体制,作为机关管理工作的一部分,制定相应的工作分工范围及管理权限。
3.2完善相关管理制度。
在完善管理制度时,要综合考虑各种因素对数字化档案信息安全的影响。在人员安全管理方面,要设立具体的安全审查制度、岗位安全考核制度、安全培训制度等。对已经存储的数字信息均应进行密级分类,对敏感信息与机密信息应当加密并脱机存储在安全的环境中,防止信息被窃听、变更与毁坏。在系统安全运行方面,要做好机房出入控制、环境条件保障管理、自然灾害防护、防护设施管理、电磁波与磁场防护等工作。设立操作安全管理、操作权限管理、操作规范管理、操作责任管理、操作监督管理、操作恢复管理、应用系备份管理、应用软件维护安全管理等制度。从技术上防止文件被人为地修改,增强电子文件的凭证性和可靠性。
3.3计算机安全管理。
由于计算机故障对数字化档案信息安全造成较大的损害,所以要做好计算机安全管理工作。应根据数字化档案信息系统的实际情况选择性能良好的的计算机硬件和软件。在选择计算机硬件和软件的过程中应注重计算机的品牌和服务器,全面对计算机硬件的兼容性和可扩展性进行一定的审核,这样做的目的是为了避免当计算机系统在升级时数字化档案信息的相关数据丢失。不仅如此,还要定期更新软件,选择更有利于处理数字化档案信息的软件,确保最大程度上发挥数字化档案信息的优势。
3.4信息技术安全管理。
依靠数字化档案信息安全管理人员在强度安全管理是不够的,还需要现阶段科学信息技术援助。为了保证数字化档案信息数据的安全,在数字化档案信息安全管理工作中可以运用一些先进的科学信息技术来提高数字化档案信息安全。例如,可以设置信息的访问认证,防病毒系统,同时也对数字化档案信息相关机密数据进行加密操作,以数据加密的形式,可以有效地防止数字化档案信息数据被一些木马病毒和被非法网站入侵,进行安全管理对保护数字化档案信息安全是非常有效的。
3.5提高管理人员的专业素质。
管理人员的专业素质对数字化档案信息安全管理来说至关重要,故而提高管理人员自身专业素质也是安全管理中的重要策略。相关的工作人员利用电子设施在网络环境中开展对应的相关工作,对相关的数字档案实现有效地管理,也就是个相关人员自身的能力大小对相关的数字档案工作的安全性有着比较大的影响。这就要求在具体的工作中,相关的数字档案管理人员要熟悉管理方面的相关专业理论,还要在具体的工作中树立其较强的管理安全意识,不断充实自己,提高数字化档案安全管理的实践工作技能。一旦工作中内部成员想要泄露档案信息,相关的管理人员就要切实提高警惕,有效的增强风险思想,确保信息在实际的工作中受到严密的保存;与此同时,有关的组织机构还要组织针对性的人员培训活动,有效地提高相关管理人员的安全理念,以此达到万无一失。除了以上几种管理策略之外还存在着其他管理策略,例如规范数字化档案信息归档存储流程,确保数字化档案信息的真实性与完整性,进一步确保数字化档案信息安全。
4结束语
随着信息技术的不断发展,我国信息安全管理工作质量不断提高,但是,目前仍然存在着一些问题,阻碍了信息安全管理的发展。首先,我国信息安全管理法规体系不够完善,相关方面的法律规定较少,导致信息安全管理的实施得不到有效的法律保障。其次,我国信息安全管理片面注重技术层面的维护,缺乏有效的管理手段,信息安全管理比较薄弱。最后,信息安全管理主要采取被动手段,科学性不高,不能实现全面性管理,而且一些高层领导对信息安全管理工作的重视程度偏低,信息安全管理工作比较薄弱。
二、信息安全管理体系的构建
2.1策划准备
在构建信息安全管理体系前,需要做好各种准备工作,包括计划的制定、相关培训安排、组织调研活动、职责划分等内容。
2.2确定范围
根据组织中IT技术水平、信息资产、工作人员等实际情况,进行信息安全管理体系适用的安全范围,既可以选择部分区域,也可选择整个区域。确定合理的安全范围后,信息的安全管理更加方便。
2.3风险评估
构建信息安全管理体系时,要做好信息处理、存储等工作的安全性调查,预测可能发生的危害信息安全性的事件,并对可能性危害事件会造成的影响做出判断,然后根据评估结果做好信息风险管理工作。
2.4建立框架
要完成信息安全管理体系的构建,离不开信息安全管理框架的建立,这就需要我们要做到全方面考虑,根据信息系统的实际情况,结合组织特点、技术水平等条件建立相应的信息清单,对信息管理做好风险分析、需求分析等内容,并提出相应的问题解决方案,进一步保证信息的安全性。
2.5文件编写
要构建信息安全管理体系,还需要对范围确定、安全方针、风险评估等内容进行相应的文件编写,建立各种文档,为风险管理、体系改进等工作提供依据。
2.6体系运行
以上步骤完成后,信息安全管理体系开始运行。在运行时期,我们要进一步提高体系运作力度,使体系的整体功能得到有效发挥。一旦发现体系存在问题,要尽快找出解决措施,及时解决相关问题,不断完善信息安全管理体系。
2.7体系审核
信息安全管理体系的审核主要是对体系进行客观评价,通过内部审核及外部审核两种方式对体系的运行及相关文件进行全方面检查。其中内部审核主要是组织内部的自我审核,外部审核主要由外部相应的组织对体系进行检查,通过内外审核进一步确定信息安全管理体系的安全性。
三、总结
关键词:烟草行业 信息安全 安全管理 安全防护体系
中图分类号:TS48 文献标识码:A 文章编号:1674-098X(2013)03(c)-0-01
中国的卷烟市场是全球最大的市场,拥有30%的全球消费者,中国烟草行业实行专卖专营体制以来,紧紧围绕“做精做强主业,保持平稳发展”的基本方针,实现了经济效益的连年增长。在取得成绩的同时,中国的烟草行业也一直贯彻坚持科技进步,大力推进技术创新的思想,全面推进烟草行业信息化网络的建设。但是随着信息化应用的日益广泛,信息系统中存储的信息和数据的数量的不断加大,其安全形势不容乐观,该文先介绍烟草行业信息安全的概念,然后对其现状进行描述,最后对如何推进信息安全体系建设,加强烟草行业信息安全管理进行了研究与探索。
1 信息安全概述
信息安全本身包括的范围很大,是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。网络环境下的信息安全体系是保证信息安全的关键,自中国加入世贸组织后,烟草行业的竞争日趋激烈,烟草行业在制造以及销售方面信息化应用的不断扩大,所以其安全程度对整个烟草行业起到决定性的作用。信息安全主要包括保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性五个方面的内容,其中任何一个方面的安全漏洞都能威胁到全局安全,因此必须做好信息安全的管理工作。
2 烟草行业信息安全所面临的威胁
由于近年来烟草行业进行了几轮大规模的重组合并,其网络拓扑结构也越来越复杂,信息集成共享也更加广泛,所以烟草行业信息安全所面临的威胁来自各个方面,下面主要从内部和外部两方面进行描述。
(1)由于烟草行业信息系统是由人员进行设计、监管以及操作的,其本身就存在一定的薄弱环节和不安全因素,若内部保密工作不到位、内部管理出现漏洞则会对系统造成破坏,数据发生丢失,给信息安全系统构成威胁。
(2)黑客可以利用信息安全系统自身的缺陷非法闯入,进行数据的“窃听”和拦截,或者其他的破坏活动。一般的烟草企业的网络与整个外部网络是相互连接的,这就无法避免垃圾邮件的威胁,这是防不胜防的。病毒侵入由于其无孔不入的能力以及无法预防的特性,一直是行业信息系统的最大隐患。
3 烟草行业信息安全管理现状
经过多年的信息化建设和网络安全建设,对于烟草信息安全系统,主要存在以下现象。
(1)网络基础设施不健全,信息安全设备不稳固。由于大范围的兼并重组,新建的网络设施、设备的稳定性依然无法得到保证,对设备运行的监控参数没有得到重视,不具备容灾功能。
(2)烟草行业信息安全管理制度和措施没有得到有效的落实,专业人员的素质无法得到保证。尽管国家制定和颁布的烟草信息安全管理制度大部分得到了较好的贯彻落实,但缺乏相关的管理制度,使得管理工作也只是流于形式,存储设备的管理要求无法得到彻底落实。其次由于这个系统的动态特性,对工作人员的要求较高,所以培训工作的滞后影响着整个系统的安全。
(3)缺乏整体性的防护措施。尽管近年来的信息安全保障体系建设已经取得了一定的成效,但在建设初期的缺乏对整个系统的全盘考虑或是预算的原因使得现在已经成型的烟草信息安全系统缺乏整体性的防护措施。
4 提高安全管理的对策
4.1 技术层面的建设
一个有效的网络信息安全技术体系是整个信息安全管理的基础,所以安全体系的建设是所有安全构架的基础,运用先进的技术手段,进一步完善机房硬件设备等基础设施;对不同的安全威胁要进行针对性的建设,确保核心设备具有较高的安全级别并且要对其端口进行流量控制;对于核心信息资源所面临的风险要进行正确的评估,提高网络信息化的安全保障能力;对于网络存储的大量信息和数据要做好备份工作,并对进行传输的信息进行实时监控,加强对突发安全事件的处理效率。通过以上技术层面的手段使整个安全体系在预警、防护、监控等方面的能力得到提高。
4.2 管理层面的建设
管理层面的建设主要通过完善和优化安全管理体系和建立相应的措施来提高信息安全网络的安全管理能力与监督能力。制定出清晰完整的信息安全政策,从整体层面上指导整个网络的安全建设,对所有的管理人员以及工作人员实行法律化管理;建立严密的密码管理制度,并且要定时更换,控制密码的扩散;此外对使用安全体系网络的人员要进行身份的辨别,对于管理员以及普通使用人员的权限进行分离,在信息控制中心成立安全管理小组,专门负责电脑的安全运行;重视烟草行业安全文化建设,提高员工的基本安全意识和安全防范能力,营造出一个浓厚的网络信息安全氛围;最后要加强网络信息安全专业人才的培养,从安全意识和安全技术两个方面着手,对这些人员进行定期、持续、系统地培训。
5 结语
尽管对烟草行业信息安全的管理存在很多困难,但是只要我们能做到将以人为本、技术、管理和法制这些手段综合起来进行治理,网络信息安全将会得到很好地解决,烟草行业的信息化进程将会为整个行业带来更大的发展空间。
参考文献
[1] 李益文.基于烟草行业业务可持续运行的信息安全运维管理体系的思考[J].东方企业文化,2012(22).
[2] 高萍,黄伟达.烟草企业信息安全方面的思考[J].黑龙江科技信息,2010(31).
[3] 林加忠,叶鹏华.浅析网络环境下烟草信息资源建设[J].硅谷,2009(5).
关键词:地铁;票务系统;AFC;收益审核;安全管理
中图分类号:TP319 文献标识码:A 文章编号:1006-8937(2014)35-0064-02
随着计算机技术的快速发展,在现代化经济不断发展的今天,计算机技术在各个生活及经济领域中得到广泛的应用,其中,随着地铁的逐步开放,计算机技术及网络技术在地铁建设中发挥了重要作用,构建了集计算机技术、网络技术及自动化技术于一体的地铁票务系统。但是,人们在享受新技术带来革命性变化时,因计算机网络终端分布不均、开放性、互联性等特点,计算机技术也给人们带来了许多问题,尤其是网络安全问题。在互联网时代下,为了确保地铁正常运营,这就要求构建的地铁票务系统必须有足够强的安全措施,加强地铁票务系统信息的安全管理,减少人力、物力资源及经济的损失,以促进我国轨道交通的建设与发展。为此,本文对地铁票务系统的信息安全管理进行探讨,包括地铁票务系统的日常安全管理工作、自动售检票系统(AFC)及票务等安全管理工作。
1 加强日常安全管理工作
在日常安全管理工作中,首先应严格落实安全生产责任制,在地铁票务中心,要求票务中心的领导及全体员工都签署了《安全生产、消防、综合治理目标管理责任书》,将生产安全责任制度落实到实处,明确员工的责任和义务,提高员工的安全意识。在条件允许的情况下,对全体员工进行三级安全专业培训,包括运营分公司级别、中心级别、车站(班组)级别三个安全培训,有针对性地加强安全专业知识培训,可以达到良好的效果。
其次,加强票务中心工作现场的安全检查力度,定期由客运部牵头会同票务中心、站务中心、安保部及计划财务部对票务系统进行安全监察,作为票务系统管理机构,可以深入到票务中心、车站票亭等对人员操作安全、工作环境及AFC设备等进行安全检查,若发现系统存在安全隐患,应下发整改通知单,待下次检查,确认是否整改。
再次,建立一套安全网络,推进安全管理工作的开展,要求地铁票务管理部门在票务中心建立一套安全网络,每月定期开展安全例会,车站每周举行一次安全例会,讨论各项安全工作,全面贯彻落实上级下达的安全管理事项,由于票务职员是票务安全管理的一员,加强票务支援的安全教育工作,对薪金职员进行不同等级的安全培训工作,逐级通过考试合格后方能上岗,加强车站票务SLE系统的日常维护和检修工作,以保证票务系统正常运营。
最后,建立危险源管理流程,在地铁运营中,既要做好OHSAS 18000职业健康安全管理体系的贯标工作》、《城市轨道交通安全评价》等安全认证和取证工作,也要提前制定一套科学、有效的危险管理控制流程,通过地铁票务安全管理部门组织各个部门召开安全例会,从票务系统运营的危险源为出发点,包括AFC设备、票务备品、安全管理制度、票务作业环境及票务人员安全意识等;进而有效辨识出危险源所属的部门,由各危险源所属部门向票务中心申报,经上级领导批准后,各个班组安排工作人员对相应的危险源进行整改,确保票务工作存在的危险源均处于管控状态,定期对整改的危险源进行巡查,以保证票务系统的安全性和可靠性。
2 自动售检票系统(AFC)信息安全管理
自动售检票系统是票务管理的重要组成部分,主要由ACC、LC、SC、SLE及票务五个层次组成。其中,ACC系统主要由数据库系统、域控制器、运营管理系统、监控系统、报表查询系统及车票初始化设备组成,在C/S模式下,可以调用数据库中的信息;在车站终端设备(SLE)中,主要包括自动售票机、闸机、自动验票机、自动增值机等设备,除闸机外,控制主机均为工控机。在自动售检票系统中,采用Windows2007 Server操作系统,管理终端均为个人PC电脑。在现有的安全管理中,自动售检票实现了信息安全管理,包括:
①硬件冗余,通过在中央自动检售票系统核心交换机之间设置网络冗余连接,有效避免了单点网络故障影响系统运作。
②边界防护,在中央自动检售票系统与通信系统及各个银行系统的连接边界,设置防火墙,并制定了严格的访问控制策略,只开放特定的IP地址,确保了系统网络的安全性。
③数据安全,采用数据备份的方式,每天对每个车站系统数据库进行一次备份,将同时生成的两个备份文件分别保存在监控终端电脑和服务器上。
④安全管理制度的落实,制定《地铁自动检售票系统使用管理规定》、《自动检售票系统数据管理办法》、《AFC中心机房管理制度》等。但是,随着新形势及新技术的发展,为了实现票务系统的统一管理,现有的自动检售票系统难以满足新形势的需求。
基于此,为了加强自动检售票系统的信息安全管理,应建立基于LeagView的自动检售票系统安全管理架构,如图1所示。自动检售票系统安全管理主要分为与管理员交互的Web客户端、LeagView服务和运行在各个被管理设备上的程序等三个层次,在Web客户端模式下,可以允许维护人员实时管理自动售检票系统,其具有分权限的功能。然而,在账户和权限控制管理中,一旦管理员拥有超级管理员账户口令,管理人员就可以浏览、执行系统中的任何文件和程序。在远程控制管理中,通过LeagView系统对远程终端进行维护操作,在远程监视模式下,管理人员可以看远程桌面的屏幕;在远程交互控制模式下,管理人员既可以看到桌面屏幕信息,也可以操作鼠标和键盘。
除此之外,在系统运行监控上,在自动检售票系统安全管理中,网络拓扑和设备配置是基础工作,只要对其进行简单的配置,LeagView系统就可以自动发现网络上所有可控制管理的网络设备和主机设备,同时也可以发现两者之间的物理连接关系。由于系统运行监控涉及的内容较多,包括网络系统监控、主机系统监控、数据库系统监控及终端设备运行状态监控等,其中,对于数据库系统监控,主要包括整个数据库系统参数和单个数据库参数的监控,如数据库名称、数据库空间利用率及数据库服务的启动时间等,通过参数的配置,可以加强数据库服务进程状态时间、SQL执行效率事件的处理。
总而言之,对于自动检售票系统的信息安全管理是地铁交通一考通成功的关键,必须确定系统运行的安全性和可靠性。在设计自动检售票系统中,必须制定一套完善的安全管理制度,并重点加强设备、网络安全的管理,防范一卡通攻击,以保证自动售检票系统设备能够安全运行。
3 票务安全管理
为了加强地铁票务系统信息安全管理,还必须加强票务的管理,以规范的安全管理制度为依据,从上述的日常安全管理工作概述可知,作为地铁票务部门的管理人员,为了加强票务的安全管理,必须将票务系统运营中产生的信息详细记录在案,并制定相应的规范制度,如《票务管理规定》、《自动检售票系统数据管理办法》、《AFC中心机房管理制度》、《车站票务管理手册》以及《车站票务应急处理程序》等,将制定的安全管理制度落实实处,及时发现票务工作中出现的错误,并予以纠正,有效防止票务舞弊的发生。除此之外,在票务管理中还应做到以下几方面的要求。
3.1 加强票务系统数据管理
数据库是票务系统的核心部分,在票务管理中,必须认真核对系统中的数据,当核对发现差异时,作为票务部门的管理人员,应积极帮助自动售检票系统设备的技术人员共同找出引起差异的原因,以保证系统数据更加安全、可靠。然而,对于自动生成的数据来说,因系统自身的原因,对数据的审核会比较困难,如自动售票机无法实现每日清点的功能,这就在一定程度上增加了审核的难度。而半自动售票机的实现,可以有效防止票务舞弊现象的发生,其收入都是以系统数据为准。
3.2 加强节假日的票卡管理
在大型活动庆典及节假日期间,导致车站大客流发生,这就要求必须制定每个车站车票的最低保有数量,并且配送足够的预制单程票,确保票卡及时配送到位,有效缓解车站客流总量。在票务运营中,若客运人员不及时疏散客流,站厅将会滞留很多乘客,这给票务运作造成了很大压力。因此,作为客运值班员和站务员,必须注重节假日期间的票务管理,以保证票务系统的正常运营。
3.3 加强各种票务数据的管理
票务系统运行中,将会产生大量的票务数据,如客运量、客运收入、票务营销数据、平均票价等。作为地铁票务部门的管理人员,应将产生的各种数据及时传输到上一级的票务系统管理服务器中,然后票务中心、客运部对提供的票务数据进行分析研究,最后生成报告,以便为今后的客运、调度部门制定运营计划和票务工作计划提供详实、可行的依据。
4 结 语
在现代经济不断发展的今天,地铁已成为了人们出行的重要交通方式。在地铁交通运输中,票务系统是重要的组成部分,为了确保地铁的顺利运行,就必须加强票务系统的安全管理,尤其是自动检售票系统的信息安全管理,加大自动检售票系统的设计,实现基于LeagView的自动检售票系统安全管理,并加强日常的安全管理工作和票务管理,以保证票务系统的正常运行。
参考文献:
[1] 陈祥.数据仓库在地铁票务系统的应用[D].广州:华南理工大学,2012.
[2] 刘薇.地铁票务管理系统的设计与实现[D].成都:电子科技大学,2012.
[3] 叶芳.南京地铁票务系统安全管理研究[J].中国高新技术企业,2014,(15):103-104.
[4] 黄佳崴.浅析地铁票务安全管理[J].科技视界,2012,(35):231-233.
[5] 牛凤午.深圳地铁自动售检票系统信息安全管理建设[D].天津:复旦大学,2008.
