目前信息安全存在的問題范文

時間:2023-10-23 17:34:01

導語:如何才能寫好一篇目前信息安全存在的問題,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

目前信息安全存在的問題

篇1

甘肅建筑職業技術學院甘肅蘭州730050

摘要:目前高校教學管理信息中安全問題頻發,暴露出了諸多安全管理問題,文章對高校教學管理信息安全中存在的問題進行了仔細分析,并提出了相應的解決措施。

關鍵詞 :信息安全;問題;措施

隨著信息化建設進程的加快,信息安全問題逐步成為各高校所面臨的難題。高校經過多年的不斷努力,通過物理、技術、管理等方面的各種措施,來保障整個校園信息的安全,通過近年來的管理,也取得了一定的成效,但是高校網絡信息安全的管理不單單是技術上的問題,也不單單是出臺幾個管理條例就能解決的事情。根據信息安全管理體系理論對高校信息安全管理的基本要求,高校要建成相對比較完善的信息安全管理制度體系、管理措施等。而通過對高校目前的信息安全管理現狀分析來看,仍然存在多方面的不足。

1 高校信息安全管理存在的問題

1.1 信息安全意識淡薄。目前,高校在信息系統防御能力方面薄弱,網絡硬件、軟件、協議和安全防護存在較多缺陷和錯誤,且無法及時、定期修復,嚴重滯后于信息技術的發展。部分高校教師缺乏安全知識和信息技術水平,對防護措施漠不關心,片面認為學校信息安全是屬于專業技術人員的工作。有些學校也不重視高校信息安全管理,導致缺乏安全管理人才及專業指導,同時缺少信息安全系統規劃和合理整體布局,風險分析不徹底,制定保障策略存在漏洞。

1.2 過分依賴軟硬件技術保護。投入信息安全產品,如專業防火墻、專業的VPN 通道設置等之后,軟件和設備防護能力提高,起到信息安全保護與防范作用。但是仍然存在“重技術、輕管理”的思想,管理的意識不夠,觀念沒有徹底轉變。信息安全不僅是技術層面的工作,還需考慮物理、技術、管理安全方面的因素。目前,高校在技術措施上投入大量經費,購買安全產品,卻在管理措施上投入較少,過分依賴于硬件技術的保護。信息安全事件主要是人為的管理不善,管理意識的淡薄、條例的不健全、操作過程不當等造成的。

1.3 信息安全管理人員配備不足。做好信息安全管理工作,需要有一支高素質的管理隊伍,但高校在信息化辦公室人員配置上數量較少,專業結構不合理,信息技術部門的工作人員只是購買安全軟件裝在服務器上。在服務器的管理和維護工作上,通常采用與校外公司簽訂維護服務協議解決人員緊缺及技術問題,但因不是本校員工,難免出現因事務繁雜而導致責任心不強的問題,有所疏忽將造成重大的損失。還有一種不能忽視的問題,在各個高校普遍存在,就是有部分信息安全管理人員不是計算機或者網絡安全專業出身,不能勝任專業的信息安全管理工作,從一定意義上來說,這部分人員不是信息安全管理的專業人員。

1.4 管理制度體系不夠完善。目前,很多高校沒有成立信息安全組織機構,未配備專門人員,盡管部分高校制定了管理辦法和規章制度,但達不到信息安全的管理要求。根據信息安全現狀和管理要求,各高校都應成立相應的安全組織、管理和技術機構,形成系統的信息安全管理機制。同時,還有部分高校在信息安全管理方面,幾乎沒有應急預案,一旦出現信息安全問題,后果不堪設想,一些高校雖然制定了《大學網絡與信息安全報告管理辦法》,但沒有真正發揮作用,未能起到預防信息安全事件發生和消除事件影響的作用。因此,完善高校信息安全管理體系還有很多工作要做。

1.5 信息安全管理和技術有待提高。高校信息安全管理規章制度權威性不足,沒有形成長效機制,是目前普遍存在的問題。任何管理措施都需要執行力,盡管目前高校在教學、管理、服務等方面都普及了數字化,但由于信息安全風險的不確定性,致使信息安全不被充分重視,信息安全管理和保障設備投入有限,設施陳舊,組織框架混亂,安全管理工作的分工不明,導致不能預防和及時處理信息安全方面的問題。信息安全管理制度的落實是高校的重點工作,各高校要高度重視,加強軟硬件建設,提高管理人員技術水平,保證高校信息的安全性和可恢復性。

2 高校信息安全防護措施

2.1 建立有效的信息安全防護系統。合理配置操作系統端口,詳細設置防火墻,開放必須利用的端口,關閉其他不必要的端口;免費提供正版殺毒軟件,供全校師生免費下載使用,定期修復系統漏洞,發送錯誤報告并進行分析處理,升級防毒軟件,保障校內所有計算機的安全運行;安裝與配置IDS 入侵檢測系統,檢測防火墻過濾后的隱匿攻擊,安裝漏洞掃描系統,內外兼防確保信息終端的可信賴性。

2.2 建立安全管理體系。在了解高校當前信息安全管理面臨的威脅和風險,分析原因的基礎上,結合現有信息安全管理現狀,整體規劃設計信息安全管理體系。制定相應的安全管理工作機制,明確各管理部門責權,對重點部門、重點節點重點進行安全風險的防控,有效確保整個信息安全管理工作的高效落實。

2.3 加強信息安全管理人員的配備和管理。成立學校信息安全管理機構,采取激勵政策,引進培養素質高、數量足的高水平網絡、數據管理人才隊伍,并培養部門信息安全管理員,充分調動他們的積極性和主動性,為學校信息安全保駕護航。對全體師生進行信息安全技術培訓,使廣大師生熟練掌握日常的安全操作和系統維護,針對性的加強部門、學生內部安全意識和技術人才的培養,使教師學生掌握基本的網絡防御技能和安全保密素質。

2.4 提高高校信息安全管理應急處理能力。信息安全事件具有隱蔽性、突發性的特征,甚至是具有災難性和傳播性的惡性事件。因此,要充分考慮信息安全事件發生時的影響度、損壞度,并進行風險評估,建立和完善信息安全預警與應急處理機制。各校要成立網絡信息安全應急處理小組,明確應急處置流程、落實相關處置人員職責,以加強預防為主,在網絡信息安全應急事件發生時,迅速實施應急預案,有效控制突發事件,妥善處理問題。在處理信息安全突發事件時,要兼顧高校正常工作中對網絡的需求,在有效控制校園網絡信息安全突發事件后盡快恢復校園網絡,避免影響正常辦公。

3 結語

總體來講,高校目前在信息安全管理方面還存在很多缺陷,已有的安全管理規章和制度只是一種局部的、事后糾正式的安全管理方式,要從根本上避免和降低信息安全事件發生的概率,就必須要根據自身的實際情況,借鑒其他高校的相關經驗,制定一套適合本校的安全管理策略和措施體系。

參考文獻:

[1]聶磊,劉小玲.淺談校園網絡信息安全管理[J].教育教學論壇,2010(21).

篇2

關鍵詞:網絡;信息資源;管理;安全

中圖分類號:TP393.08

21世紀是信息化的時代,也是計算機飛速發展的時代,計算機的飛速發展給民眾帶來了極大的便利,使得信息傳遞的速度得到大幅度的提高,真正做到了“秀才不出門能知天下事”。利用計算機網絡進行信息管理已經成為目前廣泛認同的方式,但是計算機本身存在的安全隱患又給社會的發展帶來了極大的阻礙,各種網絡詐騙、網絡數據竊密、黑客入侵屢見不鮮。因此,如何保護計算機數據的安全是信息化建設進程中必須解決的問題。

1 計算機信息管理內容的區分

計算機網絡信息管理主要分為兩方面:第一,網絡信息資源的管理。第二,網絡信息的服務。主要作用是對網絡應用、服務、安全和用戶等資源進行合理、規范的管理,具體內容如下:(1)包含計算機網絡IP地址、域名以及自治系統號在內的基礎運行信息,其是計算機網絡信息管理工作的最基本管理對象,也是計算機網絡多元化發展的基礎;(2)由多樣性的網絡信息服務所組成的服務信息,主要由服務器的配置、信息服務、訪問情況、負載均衡等問題的反饋信息所組成;(3)包括用戶姓名、身份識別、用戶所在部門、職位、電子郵件和職責權限等在內的用戶信息,是網絡安全訪問控制中的重要組成部分,并且運用用戶信息實現身份認證、角色定義等是目前維護網絡信息管理主要措施。

2 計算機網絡信息管理中存在的問題

科技的不斷發展,使得社會對信息傳播速度和信息質量的要求越來越高,互聯網應運而生真正解決了社會對信息的需求,但是,隨著互聯網應用量的劇增,計算機網絡信息的安全問題也隨之變得越來越多,越來越復雜多端,網絡信息的安全性就越來越受關注。

2.1 計算機網絡信息管理中的安全指標。計算機的網絡信息管理中的安全指標主要分為兩大類,一類與網絡信息有關,包括保密性、完整性、可用性,另一類與使用者有關,包括授權性、認證性、抗抵賴性。對此筆者做以下分析:(1)保密性,眾所周知,一個計算機網絡系統能否取得社會的支持,首要條件是是否擁有一個合理的保密系統,能夠保證用戶的信息不被泄露。所以,保密性是計算機網絡安全指標的首要體現,在相應的加密技術的支持下對經過授權的用戶與沒有經過授權的用戶進行準確的篩選,只允許經過授權的用戶對計算機網絡信息進行訪問整個信息系統或者進行終端操作。保密性的提升主要依靠于加密技術的開發程度;(2)可用性。可用性主要是通過信息系統的設計環節來具體體現,在設計環節中必須考慮到可能發生的計算機安全問題,并做出相應的措施,使得在安全風險發生時計算機能夠進行合理、有效的應對措施,確保計算機系統可以在短時間內恢復正常的運行狀態。因此,在計算機設計和系統管理方面不斷的進行強化提升是提高可用性合理、有效的方法;(3)完整性,計算機網絡信息管理中的安全性,主要針對的是在網絡信息服務的過程中,保證用戶數據的完整性。就目前計算機網絡信息安全狀況來看,計算機網絡系統受到非法入侵的概率仍然很大,而計算機網絡信息管理中所提出的完整性就是主要針對這一點。當計算機網絡系統受到非法入侵時,該系統會立即做出相應的措施,有效的防止并且阻擋各種不良信息及病毒進入計算機,保證計算機系統中的數據的完整性;(4)授權性,授權性是用判斷用戶是否能夠進入計算機系統并且對其中相關信息進行訪問和操作,主要針對用戶計算機網絡系統中的權限。授權性的意義在于,通過對訪問列表控制的形式確保和實現計算機網絡系統的安全性,在一定程度上可以防止非法入侵的發生;(5)認證性,總的來說,認證性主要作用是彌補授權性在計算機網絡信息管理中存在的不足,兩者結合能夠更好的確保用戶和參與操作的是同一用戶,增加計算機網絡信息管理的安全性;(6)抗抵賴性,主要是為了防止用戶否認自身參與過完整網絡信息通信過程的真實性,是計算機網絡信息安全性建設的基礎。

2.2 計算機網絡信息安全中存在的主要問題。筆者經過長期的資料收集整理,提出一些目前計算機網絡信息安全中存在的主要問題:第一,信息安全檢測系統不完善。計算機網絡信息資源的開放性和網絡系統的脆弱性是極其對立的兩方面,兩者并存給計算機網絡信息管理提出了更大的挑戰。而信息安全檢查系統建立的目的就是為了消除這兩者之間的矛盾,使工作人員在面對非法攻擊或者入侵時可以及時的做出合理、有效的應對措施,及時的對被攻擊的對象進行彌補和修復,有效的確保了信息系統中關鍵數據的恢復。但是,信息安全檢測系統不完善,使得目前信息安全檢測的實施狀況遠達不到理想要求,因此,完善現有的計算機網絡信息安全檢查系統迫在眉睫。第二,信息訪問控制存在漏洞。想要保證計算機信息系統的安全性,對于信息訪問的控制不能忽視。但是,就目前的狀況來看,計算機網絡中對于信息者和信息訪問者的規則約束力度仍然比較低,制約力也不強,使得很多不法分子鉆法律、法規的漏洞,達到網上非法獲利的目的,極大的阻礙了網絡信息安全建設的進程。第三,計算機病毒侵蝕。互聯網技術的廣泛應用,使得網絡用戶能夠更加廣泛的了解到社會各方面的動態,給民眾帶來了極大的便利,但是與此同時互聯網也成了病毒傳播的載體,直接造成了用戶系統或數據的破壞或損失,給社會發展帶來了極大的阻礙,造成了很多不必要的社會財產損失。第四,網絡操作系統的漏洞。網絡軟件在開發的過程中,由于技術上的不成熟,很容易造成這樣那樣的不足,這些不足之處就成了黑客入侵計算機的主要攻擊手段和目標。

3 計算機網絡信息管理中存在的安全問題的應對策略

3.1 完善信息安全檢測系統。信息安全檢測系統是解決計算機網絡信息的開放性和網絡系統的脆弱性的基礎,因此,完善信息安全檢測系統是目前必須解決的問題。要想完善信息安全檢查系統,首要條件是信息安全檢測機構緊跟互聯網發展的步伐,加強各大網絡信息安全部門信息的共享和交流,在此基礎上不斷加強對各種影響網絡信息安全方式的了解,不斷完善已有的信息安全檢測系統。

3.2 解決信息訪問控制上存在的漏洞。針對計算機信息訪問控制上存在的漏洞,提出以下建議:將終端計算機連接到獨立的應用交換機上,在通過主線路連接到計算機信息中心的核心交換機上,與用戶簽訂安全防護證書,根據用戶的具體需要定義訪問權限,以此來保證整個計算機網絡信息的安全。

3.3 加大對網絡安全防護軟件發明的投資。就目前的情況來看,加大對網絡安全防護軟件的投資,使網絡防護軟件的功能更加全面是應對黑客入侵和病毒攻擊的有效措施,完善的網絡防護軟件可以及時的對計算機操作系統中所存在的漏洞進行修復,以及對網絡信息中存在的病毒進行清除,從而在很大程度上防止黑客的入侵和病毒的攻擊,使得計算機網絡信息安全性得到加強。

4 結束語

科技的不斷發展與人類的需求成正比,因此,科技不斷發展的同時,將會有更多的計算機網絡信息管理安全方面的問題出現,這就要求我們必須做到與時俱進,針對不同時代的網絡現狀做出不同的應對措施,不斷的完善網絡信息管理安全性,使互聯網能夠更好的服務于社會,促進社會發展的進程。

參考文獻:

[1]胡清.計算機網絡信息管理及其安全[J].科技傳播,2011(21):58-63.

[2]龍邵軍.計算機網絡信息管理及其安全[J].計算機光盤軟件與應用,2014(04):22-29.

篇3

關鍵詞: 企業信息系統;信息安全;安全策略

中圖分類號:F270.7 文獻標識碼:A 文章編號:1671-7597(2012)0220165-01

隨著市場經濟的不斷發展,企業競爭越來越激烈,國際化合作不斷增多,隨之而來的企業信息安全是目前我國企業普遍存在的問題。對企業來說,信息安全是一項艱巨的工作,關系到企業的發展。近年來,圍繞企業信息安全問題的話題不斷,企業信息安全事件也頻頻發生,如何保證企業信息的安全,保證信息系統的正常運轉,已經成為信息安全領域研究的新熱點。

1 企業信息安全的意義

信息安全是一個含義廣泛的名詞,是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞,或防止信息被非法辨識、控制,即確保信息的保密性、可用性、完整性和可控性。企業的正常運轉,離不開信息資源的支撐。企業信息安全建設對企業的發展意義重大。

首先,信息安全是時展的需要。計算機網絡時代的發展,改變了傳統的商務運作模式,改變了企業的生產方式和思想觀念,極大推動了企業文化的發展。企業信息安全的建設將使得企業的管理水平與國際先進水平接軌,從而成長為企業向國際化發展與合作的有力支撐。

其次,信息安全是企業發展的需要。企業的信息化建設帶來了生產效率提高、成本降低、業務拓展等諸多好處。當前越來越多的企業信息和數據,都是以電子文檔的形式存在,對企業來說,信息安全是使企業信息不受威脅和侵害的保證,是企業發展的基本保障,所以,在積極防御,綜合防范的方針指導下,有效地防范和規避風險,建立起一套切實可行的長效防范機制,逐步建立起信息安全保障體系,有利于企業的發展。

最后,信息安全是企業穩定的必要前提。信息安全成為保障和促進企業穩定和信息化發展的重點,要充分認識信息安全工作的緊迫感和長期性,從企業的安全、經濟發展、企業穩定和保護企業利益的角度來思考問題,扎扎實實地做好基礎性工作和基礎設施建設,在建立信息安全保障體系的過程中,必須搞好鏈接信息安全保障體系建設安全、建設健康的網絡環境,關注信息戰略,保障和促進信息化的健康發展。

2 企業信息安全的現狀

我國企業信息安全包括計算機系統的硬、軟件及系統中的數據受到保護,不受偶然的或惡意的原因而遭到破壞、更改、泄露,使得系統連續、可靠、正常的運行,網絡服務不中斷。計算機和網絡技術具有復雜性和多樣性,使得企業信息安全成為一個需要持續更新和提高的領域。就目前來看,主要存在以下三個方面的隱患。

2.1 企業缺少信息安全管理制度

企業信息安全是一個比較新的領域,目前還缺少比較完善的法規,現有的法規,由于相關安全技術和手段還沒有成熟和標準化,法規也不能很好地被執行,安全標準和規范的缺少,導致無從制定合理的安全策略并確保此策略能被有效執行。企業的信息系統安全問題是一個系統工程,涉及到計算機技術和網絡技術以及管理等方方面面,同時,隨著信息系統的延伸和新興技術集成應用升級換代,它又是一個不斷發展的動態過程。因此對企業信息系統運行風險和安全需求應進行同期化的管理,不斷制定和調整安全策略,只有這樣,才能在享受企業信息系統便利高效的同時,把握住信息系統安全的大門。

2.2 員工缺少安全管理的責任心

一個企業的信息系統是企業全體人員參與的,不考慮全員參與的信息安全方案,恰恰忽視信息安全中最關鍵的因素――人,因為他們才是企業信息系統的提供者和使用者,他們是影響信息安全系統能否達到預期要求的決定因素。在眾多的攻擊行為和事件中,發生最多的安全事件是信息泄露事件。攻擊者主要來自企業內部,而不是來自企業外部的黑客等攻擊者,安全事件造成最大的經濟損失主要是內部人員有意或無意的信息泄露事件。針對內部員工的泄密行為,目前還沒有成熟的、全面的解決,對于來自企業信息內部信息泄密的安全問題,一直是整個信息安全保障體系的難點和弱點所在。

2.3 信息系統缺乏信息安全技術

計算機信息安全技術是一門由密碼應用技術、信息安全技術、數據災難與數據恢復技術、操作系統維護技術、局域網組網與維護技術、數據庫應用技術等組成的計算機綜合應用學科。由于認識能力和技術發展的局限性,在硬件和軟件設計過程中,難免留下技術缺陷,網絡硬件、軟件系統多數依靠進口,由此可造成企業信息安全的隱患,現在黑客的攻擊并不是為了破壞底層系統,而是為了入侵應用,竊取數據,帶有明顯的商業目的,許多黑客就是通過計算機操作系統的漏洞和后門程序進入企業信息系統。隨著網絡應用要求的越來越多,針對應用的攻擊也越來越多,除了在管理制度上確保信息安全外,還要在技術上確保信息安全。

3 企業信息安全中存在的問題

信息時代的到來,從根本上改變了企業經營形式,企業實施信息化為其帶來便利的同時也產生了巨大的信息安全風險。由于我國企業信息安全工作還處于起步階段,基礎薄弱,導致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網絡攻擊等,這些問題給企業造成直接的經濟損失,成為企業信息安全的最大威脅,使企業信息安全存在著風險因素。

3.1 病毒危害

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼,它是具有破壞作用的程序或指令集合。計算機病毒已經泛濫成災,幾乎無孔不入,據統計,計算機病毒的種類已經超過4萬多種,而且還在以每年40%的速度在遞增,隨著Internet技術的發展,病毒在企業信息系統中傳播的速度越來越快,其破壞性也越來越來越強。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音,黑客是利用技術手段進入其權限以外的計算機系統的人。黑客破解或破壞某個程序、系統及網絡安全,或者破解某系統或網絡以提醒該系統所有者的系統安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務、網絡監聽、密碼破解等手段侵入計算機系統,盜竊系統保密信息,進行信息破壞或占用系統資源,黑客攻擊已經成為近年來經常出現的問題。

3.3 網絡攻擊

網絡攻擊就是對網絡安全威脅的具體表現,利用網絡存在的漏洞和安全缺陷對系統和資源進行的攻擊。尤其是在最近幾年里,網絡攻擊技術和攻擊工具有了新的發展趨勢,使借助Internet運行業務的企業面臨著前所未有的風險。由此可知,企業的信息安全問題、以及對信息的安全管理都是至關重要的。要保證企業信息安全,就必須找出存在信息安全問題的根源,并具有良好的安全管理策略。

4 企業信息安全的解決方案

為確保企業信息安全,要堅持積極防御,綜合防范的方針,全面提高信息安全防護能力。因此,面對企業信息安全的現狀和企業信息安全發展中出現的問題,必須實施對企業的信息安全管理,建設信息安全管理體系,只有建立完善的安全管理制度,將信息安全管理自始至終貫徹落實于信息管理系統的方方面面,企業信息安全才能得以實現。企業信息安全的解決方案,具體表現在以下三個方面:

4.1 建立完善的安全管理體系

完整的企業信息系統安全管理體系首先要建立完善的組織體系,完成制定并信息安全管理規范和建立信息安全管理組織等工作,保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規范,詳細說明各種信息安全策略。一個詳細的信息安全規劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業安全管理過程包括:采用科學的企業信息資產評估和風險分析模型法、設計完備的信息系統動態安全模型、建立科學的可實施的安全策略,采取規范的安全防范措施、選用可靠穩定的安全產品等。安全防范體系的建立不是一勞永逸的,企業網絡信息自身的情況不斷變化,新的安全問題不斷涌現,必須根據暴露出的一些問題,進行更新,保證網絡安全防范體系的良性發展,

4.2 提高企業員工的安全意識

科技以人為本,在信息安全方面也是靠人來維護企業的利益,我們在企業信息網絡鞏固正面防護的時候不能忽視對人的行為規范和績效管理。企業員工信息安全意識的高低是一個企業信息安全體系是否能夠最終成功實施的決定性因素。企業應當制定企業人員信息安全行為規范,必須有專門管理人才,才能有效地實現企業安全、可靠、穩定運行,保證企業信息安全。教育培訓是培訓信息安全人才的重要手段,企業可以對所有相關人員進行經常性的安全培訓,強化技術人員對信息安全的重視,提升使用人員的安全觀念,有針對性的開展安全意識宣傳教育,逐步提高員工的安全意識,強調人的作用,使他們明確企業各級組織和人員的安全權限和責任,使他們的行為符合整個安全策略的要求。

4.3 不斷優化企業信息安全技術

企業一旦制定了一套詳細的安全規劃來武裝自己,保護其智力資產,它就開始投入到選擇采用正確信息安全技術上。可供企業選擇的防止信息安全漏洞的安全技術有很多。當企業選擇采用何種技術時,首先了解信息安全的三個領域是十分有幫助的,這三個領域變得:驗證與授權、預防和抵制、檢測和響應。其中,用戶驗證是確認用戶身份的一種方法,一旦系統確認了用戶身份,那么它就可以決定該用戶的訪問權限,比如使用用戶名和密碼。預防和抵抗技術是指企業阻止入侵者訪問。對于任何企業,必須對那些故障做好準備和預測,目前可以幫助預防和建設抵抗攻擊的技術主要有內容過濾、加密和防火墻,在選用防火墻的時候,需要對所安裝的防火墻做一些攻擊測試。此外,企業信息安全的最后一道屏障是探測和反應技術,最常見的探測和反應技術是殺毒軟件。

5 結語

總之,企業信息安全是一項復雜的系統工程,企業要適應現代化發展的需要,要提高自身信息安全意識,加強對信息安全風險防范意識的認識,重視安全策略的施行及安全教育,必須做到管理和技術并重,安全技術必須結合安全措施,并加強信息安全立法和執法的力度,建立備份和恢復機制, 為企業設計適合實際情況的安全解決方案,制定正確和采取適當的安全策略和安全機制,保證企業安全體系處于應有的健康狀態。

參考文獻:

[1]張帆,企業信息安全威脅分析與安全策略[J].網絡安全技術與應用,2007(5).

[2]諶曉歡,企業信息安全問題及解決方案[J].企業技術開發,2008(8).

[3]付沙,企業信息安全策略的研究與探討[J].商場現代化,2007(26).

[4]姜樺、郭永利,企業信息安全策略研究[J].焦作大學學報,2009(1).

篇4

前言

銀行信息系統的安全保障要以縝密的分析為前提,制定詳細的對策, 充分利用安全技術、安全產品來實現安全措施。本文以泰安農村信用 社為例闡述銀行信息安全問題。

1。信息安全分析

銀行信息系統具有服務范圍廣泛,平臺復雜多樣,業務品種不斷 更新的特點。因此銀行信息系統龐大而復雜,信息安全涉及方面眾多, 我們大體可以按照安全管理、信息資產與環境、主機系統、網絡系統、 日常運維五個方面進行分析。

1。1安全管理問題分析.

泰安農村信用社信息系統一貫重視系統安全,但對與系統安全的 管理仍處于比較傳統的模式,即一種靜態的、局部的、少數人負責的、 突擊式的、事后糾正式的管理方式;安全管理偏重對業務的保障,在內 部管理上相對比較松散;一些安全管理策略和制度規范比較宏觀,在 可操作性和實效性上還值得進一步探討與改進。

1。2信息資產與環境問題分析.

泰安農信信息系統依照相關的規定進行建設。目前還需要改進的 問題為包括物理環境的單點故障隱患及不可抗力因素導致的系統安 全的風險;對信息資產的保護缺乏信息資產分類體系,無法實現對設 備的購置、維修、報廢等環節的實時管理.

1.3主機系統問題分析信息中心的主機上存放大量的業務數據,對全轄提供數據服務及 技術支持,保證轄內計算機系統全年365天、全天24小時不間斷運 行,因此主機采用高可用性和全冗余結構的主機系統,配置磁盤陣列 存儲數據.

目前面臨維護錯誤和操作失誤、未經授權訪問和操作、權限濫用、 硬件故障、數據庫本身存在的安全漏洞等威脅.

1.4網絡系統問題分析現行銀行計算機網絡是銀行計算機信息系統中最易受攻擊又最 難以防范的薄弱環節,為了保障網絡安全,目前采取的的措施有增加 防火墻,對連接科技中心主機全部做了限制,安裝了IDS入侵檢測系 統。還存在以下問題:主交換機雖然劃分了VLAN,但劃分VLAN數量 少,無法滿足業務高速發展需要;辦公網現在沒有邏輯劃分;在省市和 市縣之間沒有實施QOS策略,存在一定網絡擁塞的風險.

1.5日常運維問題分析目前日常運維工作繁重,日常運維只是通過已有的書面的操作流 程進行操作,無法記錄操作結果,對日常運維缺乏審計性;機房主要依 靠人工巡查等手段進行監控,存在不能及時發現問題的隱患。對于登 陸信息系統的網點柜員身份驗證停留在用戶名+密碼階段,存在非 法入侵的安全隱患.

2.信息安全風險識別

通過對泰安農村信用社進行信息資產識別,逐項進行風險評估, 并制訂風險控制措施.

2.1確定資產風險等級 全面了解泰安農信信息系統安全現狀,采用定性與定量相結合的 方法,并依據標準要求充分考慮到資產的安全價值、威脅、薄弱點、威 脅發生的可能性、威脅造成的潛在響應等因素,將各個資產所面臨的 眾多威脅因素統一起來描述.

2.2明確風險控制方法 根據風險評估表,對該資產已經識別出的風險點,在現有的控制 措施之外,進一步提出解決該風險點的新方法或新措施,以使風險降 低到可接受的程度,并明確責任人,制定一個切實可行的風險處理計 劃。

3.信息安全問題解決

根據風險評估的結果及風險控制方案,依照安全管理體系的要求 對準備階段中涉及的各類問題集中解決,使得在信息系統受到侵襲 時,確保業務持續開展并將損失降到最低程度.

3.1安全管理的安全實現 針對目前泰安農信信息系統在安全管理方面存在的問題,信息安 全人員仔細分析問題,提出問題解決方案如下.

3.1.1明確指出系統中每位員工的責權問題.

3.1.2建立較完善的信息科技制度體系,明確泰安農信信息系統 工作流程,避免管理混亂.

3.1.3建立規范的信息系統風險防控和應急處置流程,逐步提高 突發事件的應急能力.

3.2信息資產與環境的安全實現 針對目前泰安農信信息系統在信息資產與環境方面存在的問題, 信息安全人員仔細分析問題,提出如下問題解決方案.

3.2.1引入計算機設備管理系統軟件,規范設備管理。對設備的 購置、維修、報廢等環節的管理的問題進行跟蹤記錄.

3.2.2對銀行設備與物理環境進行容災規劃,實施容災系統。對通 訊線路及硬件設備進行冗余備份;對重要數據制定完善的備份規則.

3.3主機系統的安全實現 針對目前泰安農信信息系統在主機系統方面存在的問題,信息安 全人員仔細分析問題,提出如下問題解決方案.

3.3.1開發備份配置軟件,保存每次設置變更情況,使設置變更有 跡可循.

3.3.2為保證數據信息安全,采用雙機熱備、重要數據遠程備份、 異地存放等多種措施避免系統風險.

3.3.3應用運維安全管理系統對操作員的操作進行限制,杜絕 由于操作用戶權限過大而造成的安全隱患.

3.4網絡信息的安全實現 主要包括信用社內部數據傳輸線路的安全實現、第三方接入的安 全實現等。泰安農信采用SDH線路進行組網;通過端點隔離方式實現 業務和辦公網絡分離;通過整體路由規劃和QOS規劃實現對各業務 數據流的控制;內網配置了多套防火墻,實現對內網的通訊訪問的控 制與隔離.

3.5日常運維的安全實現 針對目前泰安農信信息系統在日常運維方面存在的問題,信息安 全人員仔細分析問題,提出如下問題解決方案.

3.5.1建立網絡化的運維機制。探索建立科技服務聯動網.

3.5.2分析日常工作流程,開發電子日志系統,確保日常工作不 會遺漏,并記錄操作員日常操作,保證操作過程的可審計性.

3.5.3建立機房自動監控系統,實時監控放置、設備的運行狀態及 工作參數,發現部件故障或參數異常,及時報警,并可記錄歷史數據和 報警時間.

3.5.4對營業網點操作柜員加強身份驗證,防范非法入侵.

篇5

【關鍵詞】計算機;信息安全

隨著計算機網絡的不斷發展與普及,人類生活已經入信息化、數字化時代,在我們的日常生活、學習、工作等諸多領域都有著網絡的痕跡,而目前獲取信息進行交流的主要手段也是網絡。眾所周知,一個國家國民教育程度的高低對整個國家國民素質的發展有著重要的影響。因此,網絡化教育已經成為教育發展的必然趨勢,國家的發展離不開教育,而教育的發展離不開網絡。然而,由于種種原因,網絡也有其不足之處,我們在進行網絡教育的過程中必然存在很多問題。為了提供一個安全可靠的網絡環境,在培養信息安全人才的同時,還必須加大網絡安全系統建設的投入,這是確保信息安全的關鍵。

網絡系統的信息安全是指防止信息被故意或偶然的非法泄露、更改、破壞或使信息被非法系統識別、控制等[4]。所以,強化網絡的信息安全,解決信息安全問題,才能使信息更加持續化,向健康的方向發展。

1. 目前學校網絡教育中信息安全教育存在的問題

當前,盡管全球信息化正在飛速發展,但信息在網絡上也面臨著隨時被竊取、篡改和偽造的危險,這就對保障信息安全帶來了很多挑戰。因此,我們在校園環境中也要認識到,現在學生上網已經是一種非常普遍的現象,而虛擬的網絡環境在為學生的學習和生活提供廣闊發展空間的同時,也對學生的健康成長起著直接或間接的負面影響,例如計算機病毒、黑客攻擊等現象。如果不能正確引導學生認識,那么學生對于網絡信息安全的理解就會走向誤區。下面將針對網絡教育中存在的信息安全問題做簡單論述:

1.1 對信息安全教育的認識不足。

加強學校信息安全教育,不僅是保證學生身心健康發展的關鍵,也是同其他國家爭奪人才的需要。目前很多學校未能意識到網絡信息安全教育的重要性,不能深刻理解其內涵,因此,從現在開始就要培養學生對網絡信息安全重要性的認識,掌握信息安全體系中最基本的原理和概念,能夠熟練運用常用的工具和必要手段進行安全故障的排查等等[5]。我們要最大限度地保證學生免受不良信息的侵害,盡量避免學生自身違法犯罪的發生,為我國培養高素質、高水平人才提供保障。

1.2 對網絡信息安全教育的重視力度不夠。

目前很多學校對于如何將信息安全教育正規、科學的納入到學校教學計劃,還沒有做出明確的規定。有些學校甚至只對個別專業的學生開設相關的信息安全教育課程,普及面非常狹窄,重視程度遠遠不夠,導致學生對計算機軟件和硬件知識體系的了解相當缺乏。為了全面提高我國高素質人才的計算機信息安全意識,我們不能僅僅對計算機專業的學生普及信息安全教育,還要將這項教育推廣到非計算機專業,這對于增強我國經濟社會全面信息化建設具有十分重要的保障作用。

1.3 對學校信息安全教育采用的方法不當。

很多學校所采用的信息安全教育的方法比較落后,依舊沿用老方法,跟不上當今網絡時代快速發展的要求,脫離了實際。大部分的教材只局限于理論的講述,而忽視了對信息安全技能方面的培養,缺少必要的實踐經驗,嚴重影響了信息安全教育的效果。

2. 計算機網絡系統本身存在的主要信息安全問題

由于計算機網絡的重要性和對社會活動的影響越來越大,大量數據需要進行存儲和傳輸,某些偶然的或惡意的因素都有可能對數據造成破壞、泄露、丟失或更改。以下內容主要是論述計算機網絡系統中本身存在的信息安全問題,并針對這些問題進一步提出了解決的策略。

2.1 影響計算機網絡安全的因素有多種,主要是自然因素和人為因素。自然因素是指一些意外事故,例如服務器突然斷電等;人為因素是指人為的入侵和破壞,這種情況危害性大且隱藏性較強。

2.2 無意的損壞,例如系統管理員安全配置不當而造成的安全漏洞,有些用戶安全意識不強、口令選擇不慎、將自己賬戶隨意轉借他人或與他人共享資源等帶來的安全問題。

2.3 有意的破壞,例如黑客利用網絡軟件設計時產生的漏洞和“后門”對電腦系統的非法惡意攻擊,從而使處于網絡覆蓋范圍的電腦系統遭到非法入侵者的攻擊,有些敏感數據就有可能被泄露或修改,這種破壞主要來自于黑客。

2.4 網絡黑客和計算機病毒是造成信息安全問題的主要原因。網絡黑客和計算機病毒的出現給計算機安全提出了嚴峻的挑戰,因此要解決此問題,最重要的一點是樹立“預防為主,防治結合”的思想,牢固樹立計算機安全意識,防患于未然,積極地預防黑客的攻擊和計算機病毒的侵入[4]。而病毒則以預防為主,主要是阻斷病毒的傳播途徑。

3. 網絡信息安全的防范措施

3.1 加強計算機防火墻的建設。

所謂計算機防火墻是由軟件和硬件設備組成、在內網和外網之間、專用網與公共網之間的界面上構造的保護屏障。它是一種計算機硬件和軟件的結合,保護內部網免受非法用戶的入侵,能夠保護計算機系統不受任何來自“本地”或“遠程”病毒的危害,向計算機系統提供雙向保護,也防止“本地”系統內的病毒向網絡或其他介質擴散[2]。

3.2 建立一個安全的網絡系統。

3.2.1 從技術上保障可行的資源保護和網絡訪問安全,主要包括網絡身份認證,數據傳輸的保密與完整性,域名系統的安全,路由系統的安全,入侵檢測的手段,網絡設施防御病毒等。如加密技術,它是電子商務采取的主要安全保密措施,是最常用的安全保密手段,是利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)的一種技術。

3.2.2 詳細了解當前存在的網絡信息安全問題,以及網絡信息安全的攻擊手段,積極采取相應的有效措施進行解決。

3.2.3 要從工作環境以及工作人員、外來人員方面切實做好保密工作,要有嚴格的崗位考核管理制度,對工作人員的安全意識要經常培訓,以便從物理上斷絕對網絡安全的威脅。

3.2.4 用戶本身方面,要有強烈的自我保護意識,對于個人隱私及與財產有關的相關信息要做好保密工作,不能輕易告知他人。

3.2.5 要對網絡外部運行環境(溫度、濕度、煙塵)進行不定期的檢測、檢查和維修,提供一個良好、暢通的外界環境。

隨著信息化進程的加快和網絡安全行業的快速發展,網絡教育在學校教育中扮演著越來越重要的角色,推動新的教育模式不斷向前發展。同樣,我們也面臨著新的威脅,因此我們必須運用新的防護技術。網絡信息安全是一個系統的工程,我們不能僅靠硬件設備(殺毒軟件、防火墻、漏洞檢測)等的防護,還應意識到計算機網絡系統是一個人機系統,計算機是安全保護的對象,但執行保護的主體是人,只有樹立人的計算機安全意識,才有可能防微杜漸,同時還要不斷進行網絡信息安全保護技術手段的研究和創新,從而使網絡信息能安全可靠地為廣大用戶服務。

參考文獻

[1] 葉炳煜.淺論計算機網絡安全[J].電腦知識與技術,2009,(03)

[2] 閻慧.防火墻原理與技術[M] .北京:機械工業出版社,2004

[3] 張紅旗.信息網絡安全[M].北京:清華大學出版社,2002

[4] 袁家政.計算機網絡安全與應用技術[M].北京:清華大學出版社,2003

篇6

關鍵詞 計算機 教學 安全問題

中圖分類號: G434 文獻標識碼:A

隨著計算機網絡的不斷發展與普及,人類生活已經入信息化、數字化時代,在我們的日常生活、學習、工作等諸多領域都有著網絡的痕跡,而目前獲取信息進行交流的主要手段也是網絡。

網絡系統的信息安全是指防止信息被故意或偶然的非法泄露、更改、破壞或使信息被非法系統識別、控制等。所以,強化網絡的信息安全,解決信息安全問題,才能使信息更加持續化,向健康的方向發展。

1 目前學校網絡教育中信息安全教育存在的問題

當前,盡管全球信息化正在飛速發展,但信息在網絡上也面臨著隨時被竊取、篡改和偽造的危險,這就對保障信息安全帶來了很多挑戰。因此,我們在校園環境中也要認識到,現在學生上網已經是一種非常普遍的現象,而虛擬的網絡環境在為學生的學習和生活提供廣闊發展空間的同時,也對學生的健康成長起著直接或間接的負面影響,例如計算機病毒、黑客攻擊等現象。如果不能正確引導學生認識,那么學生對于網絡信息安全的理解就會走向誤區。下面將針對網絡教育中存在的信息安全問題做簡單論述:

1.1 對信息安全教育的認識不足

加強學校信息安全教育,不僅是保證學生身心健康發展的關鍵,也是同其他國家爭奪人才的需要。目前很多學校未能意識到網絡信息安全教育的重要性,不能深刻理解其內涵,因此,從現在開始就要培養學生對網絡信息安全重要性的認識,掌握信息安全體系中最基本的原理和概念,能夠熟練運用常用的工具和必要手段進行安全故障的排查等等[5]。我們要最大限度地保證學生免受不良信息的侵害,盡量避免學生自身違法犯罪的發生,為我國培養高素質、高水平人才提供保障?

1.2 對網絡信息安全教育的重視力度不夠

目前很多學校對于如何將信息安全教育正規、科學的納入到學校教學計劃,還沒有做出明確的規定。有些學校甚至只對個別專業的學生開設相關的信息安全教育課程,普及面非常狹窄,重視程度遠遠不夠,導致學生對計算機軟件和硬件知識體系的了解相當缺乏。為了全面提高我國高素質人才的計算機信息安全意識,我們不能僅僅對計算機專業的學生普及信息安全教育,還要將這項教育推廣到非計算機專業,這對于增強我國經濟社會全面信息化建設具有十分重要的保障作用。

1.3 對學校信息安全教育采用的方法不當

很多學校所采用的信息安全教育的方法比較落后,依舊沿用老方法,跟不上當今網絡時代快速發展的要求,脫離了實際。大部分的教材只局限于理論的講述,而忽視了對信息安全技能方面的培養,缺少必要的實踐經驗,嚴重影響了信息安全教育的效果。

2 計算機網絡系統本身存在的主要信息安全問題

由于計算機網絡的重要性和對社會活動的影響越來越大,大量數據需要進行存儲和傳輸,某些偶然的或惡意的因素都有可能對數據造成破壞、泄露、丟失或更改。以下內容主要是論述計算機網絡系統中本身存在的信息安全問題,并針對這些問題進一步提出了解決的策略。

(1)影響計算機網絡安全的因素有多種,主要是自然因素和人為因素。自然因素是指一些意外事故,例如服務器突然斷電等;人為因素是指人為的入侵和破壞,這種情況危害性大且隱藏性較強。

(2)無意的損壞,例如系統管理員安全配置不當而造成的安全漏洞,有些用戶安全意識不強、口令選擇不慎、將自己賬戶隨意轉借他人或與他人共享資源等帶來的安全問題。

(3)有意的破壞,例如黑客利用網絡軟件設計時產生的漏洞和“后門”對電腦系統的非法惡意攻擊,從而使處于網絡覆蓋范圍的電腦系統遭到非法入侵者的攻擊,有些敏感數據就有可能被泄露或修改,這種破壞主要來自于黑客。

(4)網絡黑客和計算機病毒是造成信息安全問題的主要原因。網絡黑客和計算機病毒的出現給計算機安全提出了嚴峻的挑戰,因此要解決此問題,最重要的一點是樹立“預防為主,防治結合”的思想,牢固樹立計算機安全意識,防患于未然,積極地預防黑客的攻擊和計算機病毒的侵入。而病毒則以預防為主,主要是阻斷病毒的傳播途徑。

3 網絡信息安全的防范措施

3.1 加強計算機防火墻的建設

所謂計算機防火墻是由軟件和硬件設備組成、在內網和外網之間、專用網與公共網之間的界面上構造的保護屏障。它是一種計算機硬件和軟件的結合,保護內部網免受非法用戶的入侵,能夠保護計算機系統不受任何來自“本地”或“遠程”病毒的危害,向計算機系統提供雙向保護,也防止“本地”系統內的病毒向網絡或其他介質擴散。

3.2 建立一個安全的網絡系統

(1)從技術上保障可行的資源保護和網絡訪問安全,主要包括網絡身份認證,數據傳輸的保密與完整性,域名系統的安全,路由系統的安全,入侵檢測的手段,網絡設施防御病毒等。如加密技術,它是電子商務采取的主要安全保密措施,是最常用的安全保密手段,是利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)的一種技術。

(2)詳細了解當前存在的網絡信息安全問題,以及網絡信息安全的攻擊手段,積極采取相應的有效措施進行解決。

(3)要從工作環境以及工作人員、外來人員方面切實做好保密工作,要有嚴格的崗位考核管理制度,對工作人員的安全意識要經常培訓,以便從物理上斷絕對網絡安全的威脅。

(4)用戶本身方面,要有強烈的自我保護意識,對于個人隱私及與財產有關的相關信息要做好保密工作,不能輕易告知他人。

(5)要對網絡外部運行環境(溫度、濕度、煙塵)進行不定期的檢測、檢查和維修,提供一個良好、暢通的外界環境。

隨著信息化進程的加快和網絡安全行業的快速發展,網絡教育在學校教育中扮演著越來越重要的角色,推動新的教育模式不斷向前發展。同樣,我們也面臨著新的威脅,因此我們必須運用新的防護技術。網絡信息安全是一個系統的工程,我們不能僅靠硬件設備(殺毒軟件、防火墻、漏洞檢測)等的防護,還應意識到計算機網絡系統是一個人機系統,計算機是安全保護的對象,但執行保護的主體是人,只有樹立人的計算機安全意識,才有可能防微杜漸,同時還要不斷進行網絡信息安全保護技術手段的研究和創新,從而使網絡信息能安全可靠地為廣大用戶服務。

參考文獻

[1] 葉炳煜.淺論計算機網絡安全[J].電腦知識與技術,2009,(03).

[2] 閻慧.防火墻原理與技術[M] .北京:機械工業出版社,2004.

[3] 張紅旗.信息網絡安全[M].北京:清華大學出版社,2002.

篇7

【關鍵詞】信息安全管理 保險公司

一、保險公司信息安全管理的意義

科學的進步,信息技術的發展使當今的社會步入了互聯網和大數據的時代。這一時代的變革給社會經濟帶來了深刻的影響,產生了許多顛覆性的創新,改變了人們傳統的行為習慣、企業的商業模式和市場的競爭格局。

整個社會正在發生革命性的變化,世界在邁向信息化的過程中,也給保險行業的發展帶來了更廣闊的天空。信息技術在未來的保險領域中承載著越來越重要的作用,然而,新技術的應用和推廣中,風險與機遇是并存的。技術上的缺陷,安全管理上的漏洞,都將使得信息和信息系統的安全產生嚴重的問題,甚至于危害人們生命與財產的安全。因此,研究和制定保險公司的信息安全戰略,提升保險公司安全保障能力,架構保險信息安全體系是我們面臨的重大課題。本文的研究目的就是對保險公司的信息安全管理體系解決方案進行探索,為保險公司的大力發展提供有力的安全保障和基礎。

二、保險公司信息安全管理中普通存在的問題

盡管在日常生活中,人們對越來越多暴露出的信息安全問題愈發的敏感和關注,但是普遍來說,整個保險行業對信息安全問題的整體認識不足,缺乏必要和實質的行動,主要存在的問題有以下幾個方面:

(一)管理層對信息安全的意義認識不足

管理層對信息安全的認識還沒有達到戰略性的高度,沒有意識到信息安全問題將滲透到企業的方方面面,沒有意識到信息安全管理能力將成為企業未來的核心能力。由于管理層重視程度不高,導致了對信息安全管理上人力和物力的投入不足,許多企業的信息安全管理水平不理想。

(二)信息安全管理上缺乏全局思維

保險公司的安全管理目前仍然缺乏一整套完善的規范約束,重視其中的技術問題,輕視了管理問題;重視客觀性問題,輕視人為主觀性因素;重視對外部環境的安全,輕視內在存在的隱患;以靜態的觀念思考問題,缺乏前瞻性思維。

(三)信息安全治理的成熟度較低

信息安全治理要包括風險管理,組織流程,策略執行,責任到崗等一整套治理體系,目前許多保險企業的信息安全管理的成熟度仍然處于初級階段,表現為有局限性的安全保障行為,距離成熟的治理結構,即全面動態優化的階段,還有比較長的距離。

(四)安全管理基礎薄弱,對安全保障有行為沒有體系

信息安全問題不僅是技術上問題,,更要面臨管理的問題。需要利用技術手段去支持管理手段,利用管理手段提升技術手段應有作用的有效發揮。許多企業對安全的決策沒有整合到整個管理體系流程中,對風險的防范是片段的、分散的、局部的,也缺乏專業的安全治理部門和責任人對安全問題進行評估、監督和優化。

鑒于以上存在的問題和現狀,保險企業需要深刻的理解信息安全問題的重要性,建立和健全一整套的信息安全管理體系保證安全戰略的規劃和部署,在信息技術的支持下,促進行業和企業的高速發展。

三、建設和實施信息安全體系的步驟

《保險公司信息系統安全管理指引(試行)》中指出:信息系統安全工作應按照“積極防御、綜合防范”的原則,與自身業務及信息系統同步規劃、同步建設、同步運行,構建完備的信息系統安全保障體系。信息安全不是對單一的信息產品進行防護,而是構筑綜合防御體系。一個典型的綜合防御體系的構筑過程包括如下步驟:首先,明確信息安全的目標,并建立和完善企業安全治理結構,進而識別和評估企業中存在的安全風險,涉及的相關主體和面臨的各項約束,形成安全評估報告,并制定相關的安全控制規劃,建立分層次的安全管理體系,最后,對安全管理活動進行持續性的評估、監督、控制和改進。這個過程是個PDCA的過程,安全體系會隨著外部環境的變化、業務情況的變化和信息技術的改進而產生新的需求,新的方法,因此它需要不斷更新改進,是一個動態發展的過程。

(一)安全目標的確立

信息安全有三個層次的內涵:

第一層次:信息安全,指的是保護信息這種資產自身的安全,避免發生偶發的或有意的泄露、修改、破壞或喪失處理能力。包括三重含義:信息的機密性、信息的真實性和信息的完整性。

第二層次:信息系統的安全,信息系統是信息處理中包含硬件、軟件和網絡等支撐體系的集合,信息安全與信息系統安全相互附生,信息系統問題將直接引發信息安全問題。

第三層次:由信息安全和信息系統安全帶來的的傳統安全問題,如機密信息泄露導致的生命財產的損失。

以這三個層次為出發點,幫助我們分析信息安全中的主體、要素、相關關系,并結合公司的戰略規劃,確定信息安全的根本目標是制定和實施安全管理解決方案的首要任務。

(二)治理結構的設置

由于信息安全管理需要跨部門、跨業務整合資源,因此需要建立強有力的領導層和組織架構,進行頂層設計。在此基礎上,實施多資源系統控制政策,整合不同業務、不同渠道、不同條線、不同分支機構的要求,形成安全管理體系,開展具體工作,強化多項目綜合管理,既有牽頭部門,又要協同作戰,既有重點主次,又要全面推進。在高層組織機構的領導下,建立順暢的安全管理工作協作機制,破除部門壁壘,增進部門協作,推進工作的高效開展。

(三)安全風險的識別和評估

評估信息安全時需要對信息安全、技術安全及其涉及的治理機制、業務流程、人員管理、企業文化等內容進行分析,通過評估工具、人工分析、文檔清理、問卷調研等方式對公司現狀進行調研,了解物理安全(物理設備的訪問控制、電力供應等)、網絡安全(基礎網絡架構、網絡傳輸加密、訪問控制、網絡設備安全漏洞、設備配置安全)、系統安全(系統軟件安全漏洞、系統軟件配置安全等)、應用安全(應用軟件安全漏洞、軟件安全功能、數據防護等)的情況和控制措施。通過基線風險評估制定信息安全底線,對信息資產進行詳細的風險分析,了解與信息安全標準之間存在的差距,得到初步的安全評估;通過信息資產風險評估和流程風險評估進行詳細的風險評估,對重要的信息資產和IT流程中存在的安全威脅、漏洞及其可能性分析,選擇合適的方法進行管理,得到最終的風險評估報告。

(四)整體安全控制規劃的制定

為了保障安全管理工作有序、科學和順利的開展,必須要制定安全控制規劃。安全規劃在風險評估的基礎上,對安全管理框架和技術框架進行詳細的規劃,作為指導企業安全建設的指南,應該結合過去與未來的網絡架構、威脅防護、安全策略、組織、運行等各項工作的任務、內容、建設重點,制定實施的優先級、具體步驟和具體措施。

(五)安全控制體系的建立

安全控制體系架構的建立是整項工作的關鍵環節之一,我們將安全控制體系分成五個層次:安全內核層、安全服務標準接口層,通用安全接口層、安全組件服務層、安全系統應用層。架構安全控制體系時,滿足如下的原則:分層的體系結構要為不同層級的安全服務提供保障;層級功能有相對獨立性;應用服務具有通用性,提供統一的訪問接口,服務之間也可相互協調;具有很強的擴展能力,很好的兼容新的安全機制和模塊。

(六)有效性評估、監管、考核和審計

保險企業應該不斷地對信息安全控制體系的實施情況進行審查、監督,采取糾正性措施、預防性措施,并保持安全管理體系的有效運作。對信息安全策略、安全的目標達成情況、編制的文件、安全事件進行分析,采取積極措施,消除已發生的或未來可能發生的與實施和運作標準有差距的不合格狀況,防止不利事件的發生。

四、結束語

每一個保險企業具備的個性問題各不相同,在實施信息系統安全管理解決方案時會面臨不同條件和約束。同時,即便在共性問題上,也會隨著時間的進展,而產生新的問題。現代社會中,如何保障信息安全是一個不斷增長的社會需求。安全只是相對的,而不是絕對的,是動態的,不是靜止的,這也意味著對信息安全的管理將是一個持續發展、不斷完善的過程。

參考文獻:

篇8

【關鍵詞】醫院;信息化;建設;問題;對策

醫院信息化建設對于推動新醫改進程至關重要。為進一步提高醫院信息化建設水平,在了解醫院信息化建設存在的問題的基礎上,針對醫院信息化建設中存在的問題,解決醫院信息化建設問題的對策,可以從多個方面入手,下文將逐一進行分析。

1.醫院信息化建設存在的問題分析

1.1 醫院信息化建設人才缺乏

醫院信息化建設人才匱乏是醫院信息化建設的瓶頸。醫院信息系統的開發、推廣和維護離不開一批經驗豐富的信息技術人員,無論是解決目前急需,還是長遠發展,開發和建立醫療衛生行業信息技術人員培訓、繼續教育機制是非常關鍵的。而我國恰恰是沒有注重這方面的投入,目前行業的人才缺口很大,在醫院招聘過程中很難找到計算機和醫學知識兩方面都過硬的人才,導致了醫院信息化人才的匱乏,最終導致醫院已建設的信息系統很難充分發揮作用。

1.2 醫院信息化建設意識不高

醫院信息化建設意識不高是醫院信息化建設存在的問題之一。就目前而言,有些醫院由于沒有意識到信息化建設的重要性,信息化意識和利用信息能力不強的現象還普遍存在,在實際工作中,這些醫院往往沿襲傳統的醫院管理模式,不僅極大地影響了工作效率,而且傳統的人工管理的方式還造成了人力資源的浪費,不能滿足現代醫院發展的需要。

1.3 醫院信息化建設投入不足

信息化建設是一項高科技工程,它對知識、技術和資金的要求較高,因此,醫院信息化建設必須要有雄厚的資金。目前,醫院信息化建設的資金嚴重不足,嚴重阻礙了信息化建設。一般情況下,在信息化建設初期,醫院會投入大量的資金來促進建設。但是,在信息化建設的中后期,醫院則會為了眼前的利益而減少資金投入,無法用長遠的眼光來看待信息化建設,而更重視醫療設備的改進和完善,以此來獲取效益,從而導致信息化建設的進程緩慢[1]。

1.4 信息安全性問題

在醫院信息化建設的過程中,醫院要著重考慮信息的安全性問題。現階段醫院的信息管理系統也存在著較多的問題,大部分醫院還未建立完善的制度,信息管理得不到制度保障,相關人員也沒有簽訂相關的保密協議,無法規范第三方訪問控制管理、權限管理、密碼管理等,也無法及時配置安全軟件和完善安全設備,因此,醫院的培訓和教育活動受到了很大的限制,導致醫務人員總體信息安全意識不強。

2.解決醫院信息化建設問題的對策

醫院信息化建設工作多管齊下,下文從強化人員培訓、加強硬件建設、注重軟件開發、維護網絡安全、提高醫院信息化建設意識方面進行分析。

2.1 加速人才培養,強化人員培訓

醫院信息化建設的過程中必須具備一支強大的人才隊伍,擁有大批高素質的技術人才。因此,醫院要加速人才的培養,為醫院信息化建設提供源源不斷的動力。根據醫院信息化建設的人才需求特點來看,其人才的培養方式有兩種:

①加強在職培訓,不斷提升醫院信息部門現有工作人員的專業素質、無論他們的知識結構是傾向于計算機還是醫學,都要為他們提供盡可能的培訓機會,讓他們能夠掌握更多的專業知識,重視員工的崗位培訓和加強職業道德教育,促進學科與學科之間的融合,全面掌握業務的專業知識以及相關知識,努力培養出大量高素質的綜合型人才。

②積極引進衛生信息學專業的學生。該專業學生不僅具備相關的業務知識,還具備較高的技術素質,可以為醫院信息化建設提供技術支持,促進后期人才的培養。

2.2 提高醫院信息化建設意識

提高醫院信息化建設意識是醫院信息化建設的關鍵。在醫院信息化建設過程中,醫院領導應意識到信息化建設的重要性,及時轉變管理理念,提高醫院信息化建設意識。不僅如此,在醫院信息化建設中,還要加大對信息化建設的宣傳推廣工作,使信息化建設意識深入人心,通過提高醫院信息化建設意識,才能適應醫院內部外發展環境的需要,進而滿足現代醫院發展的需要[2]。另外,還要加強社區信息化建設,社區心電網絡全覆蓋;積極推進醫卡通項目的全面實施,并和銀行協作,拓展“醫卡通”項目的銀醫圈存、POS自助等方面的功能。

2.3 加大醫院信息化建設投入

醫院應從醫院信息化建設的硬件投入和軟件投入兩個方面,積極引進先進的醫院信息化建設設備和軟件,從醫院的實際出發,在先進的信息化建設理念的指導下醫院進行現代化改造,開發一個基本完整的、達到較高水平的、適合該院的信息系統管理的應用系統[3]。目前,我院已經實現了臨床科室電子病歷全覆蓋,我院電子病歷已經有電子病歷、質量控制、護理、醫囑、臨床路徑、病案等模塊系統,實現了質控和護理模塊的融合,電子病歷與LIS的對接;積極推進臨床路徑管理工作,目前已開展7個病種的臨床路徑,完成新農合即時結報的HIS接口程序升級測試及數據庫建設,錄入三大目錄庫信息一萬余條,試用結果良好;無線心電網絡系統運行良好,診斷速度和診斷質量大幅提高。

2.4 重視信息安全

醫院要重視信息安全,醫務人員要樹立信息安全意識、在信息系統建設初期,要考慮到信息系統的安全性,在檢測系統時要反復檢測信息系統安全,保證其安全性。對于醫院己有的信息系統,醫院要采取相關的措施加以完善。在醫院信息化建設過程中,要加大對信息安全的投資力度。同時,還要建立相關的制度,對信息安全工作進行監督和控制,不斷提高網絡和信息系統安全性能,建立和完善可靠的安全運行機制,以此來確保系統穩定和資料信息安全。

3.結束語

總之,醫院信息化建設是一項綜合的系統工程,具有長期性和復雜性。為促進醫院信息化建設,應提高醫院信息化建設意識、加大醫院信息化建設投入、培養醫院信息化建設人才、防范醫院信息化安全隱患,針對醫院信息化建設中存在的問題,積極探索解決醫院信息化建設問題的對策,只有這樣,才能不斷提高醫院信息化建設水平,進而促進醫院持續健康發展。

參考文獻

[1]滕姍.加強地市級醫院信息化建設探析[J]. 行政事業資產與財務,2014(19).

篇9

關鍵詞:信息安全;防御技術;網絡措施

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2013) 20-0000-01

雖然信息網絡給我們的生活帶來了極大的便利,但是由于信息網絡環境是一個具有開放性、互聯性、多終端性、多聯結形式性等特殊屬性,這就導致了信息網絡非常容易遭受惡意軟件侵染、網絡黑客攻擊等破壞性、竊取侵擾。如何維護信息網絡的信息安全、通暢運行等安全問題,已經成為我們亟待解決的問題。

一、信息網絡安全存在的問題

(一)網絡結構安全。信息網絡是一種網間網技術,它是由無數局域網絡通過繁多的軟硬件網格式連接而成的龐大的網絡系統,網絡因此也給我們提供了一個巨大的資源倉庫,當我們通過個人信息在網絡世界中與另一局域網絡的主機進行信息互通時,信息要通過互聯網設施設備各個節點層層轉送、傳輸才能到達目標終端,在這個過程中,任何兩個節點之間的信息數據包,不僅會在節點之間傳輸,還會被兩端的網卡所接收,也存在被這兩個節點間的以太網上的任何一個節點網卡所截獲。如此一來,網絡黑客就可以利用網絡設施設備,隨意接入以太網上的任何一個節點,劫取在這個以太網上傳輸的所有的數據包,然后再利用相關程序進行解碼翻譯,最終拿到關鍵的信息數據等。更何況,互聯網上傳輸的信息包大多數都沒有進行加密保護,有時根本不需要繁雜的工序就可以對所傳輸的命令、數據、電子郵件、文件等輕易截獲解碼,這也是互聯網在提供便利的同時所存在的固有的安全隱患。[1]

(二)路由器等網絡設備的安全問題。路由器的主要任務是數據傳輸通道和控制設備,也是實現局域網絡與外界網絡進行連接的必備設施,嚴格來說,所有的網絡攻擊的破壞都要最先通過路由器才能到達終端機器,只要做好路由器的控制設計就可以防患于未然了,但是在路由器的設計上還是存在若干的缺陷,一些破壞性典型的攻擊就是利用路由器的設計缺陷來實現攻擊破壞目的的,并且有些攻擊更是在路由器上進行的。這給網絡安全埋下了不可逾越的安全隱患。

(三)網絡信息病毒攻擊。網絡信息病毒是信息網絡中比較常見的一種安全攻擊性程序,就有較高的設計技巧和隱秘隱藏性,它并不是獨立存在的,而是以一種寄生生存的形式,依附于其他程序之中,當人們進行正常的信息搜索、下載、保存、解包的同時,病毒軟件跟隨侵入到了終端用戶的主機系統之中,破壞主機的運行程序、攻擊主機的安全屏障,造成主機的運行困難,更甚至是運行癱瘓、信息損壞、資料丟失等重大損失。病毒軟件具有隱蔽性、潛伏性、傳染性、形式多樣性和巨大破壞性,是我們的信息網絡環境中長期、普遍存在的不穩定、不安全因素[2]。信息病毒還存在破壞性、隱蔽性、傳染性、繁殖性、潛伏性和可觸發性。

(四)信息安全軟件滯后及功能不齊。雖然網絡安全已經受到了廣泛的重視,在一定程度上也能取得較大的防護作用,但是相較于網絡攻擊手段變化速度而言,其更新的速度還是存在相對滯后的現象。目前,我們所常用的網絡安全防護軟件研制商已經非常注重軟件的完善和更新速度的提升了,但是在新網絡安全問題的應對方面仍然顯得比較吃力。

二、信息網絡安全防御技術

(一)防火墻技術。防火墻技術是目前信息網絡安全運行中較為常用的防護措施。防火墻技術是指綜合應用適當技術在用戶網絡周圍組建用于分隔被保護網絡與外界網絡之間的系統。在一定意義上,防火墻等于在被保護網絡與外界網絡之間,建設了一堵不可輕易逾越的保護層,是由軟件和硬件設備組合而成、在內部網絡和外界網絡之間、公共網絡和專用網絡之間的界面上建立的保護措施。防火墻主要包括服務訪問政策、驗證工具、數據包過濾和應用網關四部分組成,任何的訪問操作都要經過保護層的驗證、過濾、許可才能進行,只有被防火墻驗證授權的信息交流才能獲得允許通過進行操作,同時將不被允許的訪問行為拒之門外,防止篡改、移動和刪除相關信息的發生。[2]

(二)防病毒技術。信息網絡給我們的工作、生活帶來便利的同時,也遭受著信息病毒的侵擾,信息技術發展也使得信息病毒變化的速度非常之快,朝著多樣化、隱蔽化、高級化的發展趨勢演變,對信息網絡造成了極大的威脅,防病毒技術無疑是解決這一威脅的必要措施,也是信息安全防御技術較為常用的保障要素。防病毒軟件從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。網絡防病毒軟件故名此意主要是針對網絡安全運行的應用軟件,主要注重網絡防病毒,一旦病毒入侵網絡或通過網絡侵染其他資源終端,防病毒軟件會立刻進行檢測并刪除阻止操作,防止其行為的進行,減少侵染區域,保護信息資源安全。單機防病毒軟件主要是信息生產商在信息CPU等硬件上植入的安全防護措施,他們主要針對的是單臺CPU或相關局域工作臺領域的所謂防病毒安全防護。

(三)數據加密技術。信息安全成為了社會各界網絡建設的基礎架構,但是傳統的安全防護技術已經遠遠不能滿足用戶的安全需求,新型的安全防護手段逐步成為了信息安全發展的主力軍。數據加密技術就是在這一背景下產生并發展起來的較為新興的信息安全防護技術。數據加密技術又稱為密碼學,它是一門具有著悠久發展史的應用型技術,是通過加密算法和加密密鑰將明文轉換成密文的技術。數據加密是目前信息技術中進行信息保護的最為有效的一種防護措施。數據加密技術可以利用密碼技術,將重要的信息進行加密處理,使信息隱藏屏蔽,達到保護信息安全的目的。

三、結語

所有的信息安全技術都是為了達到一定的安全目標,其核心包括保密性、完整性、可用性、可控性和不可否認性五個安全目標。我們要不斷加強信息網絡安全措施的研發、推廣和應用,為維護網絡安全、社會穩定、生活便利貢獻力量。

參考文獻:

篇10

網絡技術的普及和應用正在改變傳統的信息技術產業,信息交流變得更加快捷和便利,但是這樣也給網絡信息的保密提出了更高的要求。

1.計算機網絡安全問題產生的背景

計算機網絡的應用已經滲透到社會的各個領域,網絡信息安全已經成為人們日常生活頗為關注的問題。隨著計算機網絡技術的應用和發展,計算機網絡的安全問題也越來越受到人們的關注。網絡安全問題日益顯得重要,網絡的開放性與共享性,系統的復雜性,邊界的不確定性,以及路徑的不確定性,等等,都導致網絡安全問題的發生,使得網絡很容易受到外界的攻擊和破壞,同樣也使得數據信息的保密性受到嚴重的影響。網絡安全問題已經迫在眉睫。

2.網絡信息安全的重要性

隨著信息技術的快速發展,隨之而來的就是網絡平臺的安全問題,因此,人們對網絡環境的要求越來越高,對網絡安全也越來越重視。無論是網上交易,還是網絡信息的傳遞,都是對網絡安全提出的一個很大的挑戰。網絡信息安全已經成為國家、國防,以及國民經濟的重要組成部分。隨著計算機通訊技術和網絡技術的不斷發展,計算機網絡將會日益成為農業、工業和國防等方面的重要信息交換手段,滲透到社會的各個領域。基于以上的情況,我們必須認清網絡的脆弱性和潛在的威脅。所以,采取強力的安全措施是必要的,對于保證網絡信息的安全傳遞十分重要。而目前并沒有任何的計算機技術能完全保證網絡信息的安全性,所以我們除了要加強技術方面的發展,還必須考慮非技術方面的因素,例如人們的安全意識等。

3.網絡安全信息所面臨的主要威脅

3.1計算機病毒的威脅。

病毒可以說是當前網絡信息最主要的威脅,其發展趨勢呈爆發式增長。國際安全協會的統計表明:計算機病毒正在以每年超過50%的速度增長。我國最大的防病毒廠商瑞星公司的報告顯示:2004年上半年截獲各種新型病毒11835個,2005年同期為26927個,而到2006年同期達到了119402個,2007年達到133717個,而2008年截獲的病毒木馬居然達到了1242244個,數量已經超過近五年來病毒數量的總和。以前,一個計算機病毒需要3年的時間才能傳遍全球,而現在借助網絡信息則只需要僅僅幾分鐘。根據有關部門統計,從2000年開始至今,全球數千萬臺計算機受到病毒感染,累計造成經濟損失1000多億美元,給全球的經濟、科技的發展帶來巨大的損失。

3.2計算機黑客的威脅。

根據我國公安部門的統計,1997年我國發生的與黑客有關的網絡犯罪20起,1998年142起,1999年908起,2000年就超過了3000起,從2001年到目前為止,每年的網絡犯罪更是數以萬計,并且由于網絡的隱蔽性,導致了破案率還不到10%。

3.3流氓軟件的威脅。

當前越來越多的正規軟件廠商受到利益的驅使,大量的制作并使用介于正規軟件和病毒軟件之間的流氓軟件,而這些軟件大多又具有木馬的特征,與病毒之間的界限也越來越模糊。根據有關部門調查顯示,從2006年開始,流氓軟件對用戶的侵害有超過病毒的趨勢,嚴重地干擾了用戶的日常工作,信息數據安全,以及個人隱私。

4.影響網絡信息安全的主要因素

當前影響網絡安全的因素很多,但是主要還是來自法律、管理、技術三個大方面。

4.1網絡信息安全的相關法律法規的不健全。

對于網絡犯罪越來越猖獗的情況,世界各國都已經開始擬定相關的法律法規,但是在互聯網這樣一個虛擬的世界里,可以說很難對網絡信息犯罪進行監控和證據的收集。而制裁傳統犯罪的法律法規又并不適合于網絡信息犯罪,關于世界各國對于網絡的犯罪底線又過于模糊和籠統,實在是很難有一個清楚的界限。網絡世界里的立法尚有許多的空白點,這也導致了網絡世界的“無政府”狀態的情況日益加劇,網絡信息犯罪呈泛濫的趨勢,但是真正被送上審判席的可以說少之又少,網絡犯罪幾乎是無處不在。雖然目前有好幾例網絡信息犯罪被送上審判庭,但這對于目前龐大的網絡犯罪數量來說只是冰山一角。

4.2網絡信息安全意識淡薄,管理體制不夠健全。

網絡信息安全管制是網絡安全的一個重要不可缺少的因素,但是大多數人的安全意識很薄弱,重技術、輕管理,殊不知大部分的信息安全問題都是出自于管理上的疏忽。在制度、流程和人員管理方面相當的混亂,這就為網絡信息安全留下隱患,也為盜取信息者大開方便之門。據網絡信息安全專家不完全統計,約80%的信息泄露都是由于管理上的疏忽。

4.3網絡安全技術存在著不足。

網絡信息系統安全一般由網絡協議層安全、宿主操作系統層安全、數據庫管理系統層安全和應用程序層安全四個層次組成,而這四個安全層次均在不同程度上存在安全方面的先天不足。首先,網絡協議存在安全缺陷。網絡協議是網絡信息系統的基石,TCP/IP協議族是目前使用最廣泛的互聯網協議,已經成為互聯網的事實標準。但令人遺憾的是,TCP/IP協議族的各種應用服務和通信流程在設計上均存在不同程度的安全缺陷,加之其以明文方式傳送數據,導致欺騙攻擊、否認服務、拒絕服務、數據截取和數據纂改等網絡攻擊可以輕而易舉地實現。其次,作為網絡信息系統的運行平臺,當前主流的操作系統Windows、UNIX、Unux等在體系結構的設計上均存在對安全性要求考慮不周的缺陷。根據美國國家安全局(NSA)的國家計算機安全中心1983年8月頒發的官方標準,受信任計算機系統評量基準,它們都屬于安全級別較低的CZ級,其可動態連接機制、可動態創建遠程/近程進程機制、特權程序適時激活機制和無口令遠程過程調用服務人口為遠程傳輸并執行惡意程序大開綠燈,成為病毒和黑客的樂園。再次,作為電子商務、金融,以及EPR系統等各種應用的基礎,當前主流的數據庫管理系統Oracle、DBZ、SQL、Sybase等在設計上缺乏全面考慮的安全分級管理策略,其與操作系統的眾多接口很容易造成核心權限的失控,導致基于數據庫漏洞的網絡攻擊成為黑客最常采用的攻擊手段之一。最后,當前主流的軟件開發技術瀑布模型、敏捷建模、中間件技術及軟件構件化技術等對安全因素均不夠重視。軟件開發商和開發人員為追求商業利益,在應用程序開發過程中普遍存在重應用輕安全的思想,對威脅建模、安全策略和安全測試考慮不周,而寧可采取亡羊補牢的方法,導致當前各種應用程序漏洞頻發和補丁程序滿天飛這一極不正常的現象。并且由于補丁程序滯后于漏洞攻擊程序這一必然規律,用戶別無選擇地被至于危險的境地。

5.保障網絡信息安全的手段和措施

雖然網絡信息系統的安全缺陷和安全威脅是客觀存在的,但其風險是可以控制乃至規避的。

5.1網絡信息安全的立法工作,強化對網絡信息安全的重視。

法律是打擊網絡信息犯罪最有力的武器,是保障網絡信息安全的根本。對所有危害網絡信息安全的行為實施嚴厲的法律制裁,才能從根本上解決當前信息網絡病毒泛濫、黑客猖撅、流氓軟件明火執仗的無政府現狀。網絡信息安全也引起了我國政府的重視,國家有關部門建立了相應的機構,了有關的法規,以期加強對網絡信息安全的管理。2005年4月1日開始實行《中華人民共和國電子簽名法》,該法對于電子銀行的業務發展是相當重要的,為銀行在網絡上的發展提供了基礎的法律保障。2001年中國人民銀行制定頒布的《網上銀行業務管理暫行辦法》直接規范了電子銀行業務。為了有效地控制電子銀行業務的風險,中國銀監會制定了《電子銀行業務管理辦法》和《電子銀行安全評估指引》,并且從2006年3月1日起正式實施,這一切都反映出我國對計算機網絡與信息安全的高度重視,以及努力推動我國金融信息安全產業發展、提高我國信息安全技術水平的決心。

5.2強化網絡信息安全體制。

研究表明,絡信息安全漏洞主要是由于管理不善,因此,我們首先必須建立科學合理的網絡信息安全管理、執行和監督機構,明確網絡信息安全原則,構建網絡信息安全策略,合理協調法律、技術和管理等諸多因素,實現網絡信息安全的制度化。其次,必須建立從監測、響應、防護到恢復的一整套科學合理的網絡信息安全管理體制,保證網絡信息系統的安全運轉。再次,必須正確認識當前的防病毒技術、人侵檢測技術、防火墻技術、加密、解密技術、認證技術及數據恢復技術的重要性和局限性,采用最先進的安全技術保障網絡信息安全。最后,加強人員的安全培訓,提高網絡信息安全防范意識,盡量減少人為因素造成的風險。

5.3開發安全的軟件,防范于未然。

提高軟件開發組織及其從業人員的安全意識,致力于開發安全的軟件,從根本上減少軟件系統的安全缺陷才是網絡安全的終極之道。因此,所有軟件開發從業人員必須掌握安全軟件開發的思想和技術,堅決杜絕無視安全的開發。軟件開發組織必須建立完善的安全軟件開發管理制度,在軟件開發過程中將軟件安全性作為軟件質量的一個重要測度,在設計階段加入安全對策,并進行嚴格的安全測試,在正式前較少軟件的安全缺陷,確保軟件系統的安全性。

綜上所述,網絡信息安全是一個復雜的綜合性工程,涉及法律、管理和技術等多個領域。雖然目前已經取得了一定的成效,但形勢依然十分嚴峻,必須依靠眾多相關方的共同努力,才能為廣大信息網絡用戶打造一個安全可靠的應用環境。

參考文獻:

[1]李衛.計算機網絡安全與管理.北京:清華大學出版社,2006.1.

[2]蔡立軍.計算機網絡安全技術.北京:中國水利水電出版社,2005.2.