序言:寫作是分享個人見解和探索未知領域的橋梁�,我們?yōu)槟x了8篇的信息安全管理策略樣本�,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀�。
第1篇
關鍵詞:信息安全 管理 現(xiàn)狀 改進策略
雖然國際互聯(lián)網(wǎng)最早起源上個世紀八十年代,并在90年代末進入高速發(fā)展的時期�,但由于技術和設備的引入受到美國的限制�,導致我國一直到1994年才得以引入。迄今為止的20年間�,我國的計算機信息網(wǎng)絡技術得到了巨大的發(fā)展,很大程度的改變了我國居民的生活和工作模式�,給生產(chǎn)力的發(fā)展帶來巨大的推動作用。然而�,信息網(wǎng)絡環(huán)境的復雜性、多變性以及脆弱性等特點卻注定其是一把雙刃劍�,在產(chǎn)生巨大推動力的同時也帶來了許多的安全問題,造成許多不良的社會影響�,甚至是國民經(jīng)濟損失。這主要是由于我國在信息技術上的發(fā)展時間還不夠長�,在長足的發(fā)展中并沒有形成對于信息安全管理的足夠認識,在沒有足夠預警措施的背景下�,保護網(wǎng)絡信息安全是一項必須盡快施行的重要措施。
一�、我國的信息安全現(xiàn)狀
1.缺少法律體系的約束。
法律才是保障人民和國家利益的根本所在�,才是保障信息安全的基本防線。我國的法律體系主要是由法律�、行政法規(guī)以及規(guī)章等三層面的規(guī)定構成,信息行業(yè)作為一個新興的行業(yè),而且其涉及內(nèi)容�、影響范圍以及運行模式都在不斷的變化和革新,因此我國雖然對信息安全進行相關的立法保護�,但是仍有不少法律沒有涉及的部分,甚至原有的法律無法對新出現(xiàn)的信息板塊進行約束�。除此之外,我國的信息安全法律體系還存在一定的內(nèi)容交叉問題�,導致執(zhí)法困境的現(xiàn)象,最終阻礙了我國法律對于信息安全的保護�。
2.缺少嚴密的管理措施。
信息安全的管理是一個系統(tǒng)的工程�,其包括了事前的教育培訓和系統(tǒng)評估認證,還有預期懂的安全規(guī)劃�,事中的風險管理和應急措施,以及事后的總結和規(guī)劃�,各個內(nèi)容之間存在明確的管理和責任。然而我國并沒有在這個問題上進行詳細的約定和規(guī)范�,導致多頭管理和權責交叉的現(xiàn)象出現(xiàn),阻礙的信息安全管理效益�,信息安全的保障機制不能高效運行�。
3.缺乏信息安全意識。
信息安全不僅僅是制度和法律的保障�,更多的應當是來自于每一個人在每一個層次上進行安全保護。然而大多數(shù)人都沒有形成對于信息安全的足夠認識�,違規(guī)操作和風險運行的事件時有發(fā)生,極大的危害了信息安全的管理工作。這一方面說明了操作主體缺乏安全意識�,另一方面也說明了主體沒有受到相關的教育和培訓。
4.忽略了技術和管理的重要性�。
據(jù)不規(guī)則統(tǒng)計,大多數(shù)的安全問題都是由于操作技術和管理模式的緣故�。尤其是現(xiàn)階段,我國的企業(yè)發(fā)展十分迅速�,也對信息部門有了一定的認識,然而卻并源于投入更多的人力和物力來保障信息安全�,往往會出現(xiàn)安全系統(tǒng)過時、技術人員能力不足或是身兼數(shù)職等現(xiàn)象�,對信息安全的管理工作造成了極大的安全隱患。
二�、信息安全的主要特點
1.趨利性。
近幾年已經(jīng)網(wǎng)絡信息安全事件的多發(fā)期�,由于互聯(lián)網(wǎng)金融的發(fā)展,巨大的經(jīng)濟利益和信息網(wǎng)絡聯(lián)系在一起�,引起不法分子的主義,這也從另一方面說明了信息安全的威脅主要是利益引發(fā)的�,因此,這要求我國人民在進行經(jīng)濟利益相關的信息操作時需要更加的小心和細致�。
2.多樣性。
系統(tǒng)安全技術經(jīng)過多年的病毒洗禮之后已經(jīng)有了大幅度的提升�,然而,不法分子對于病毒形式也有了更多的研究�。各式各樣的病毒軟件被研發(fā)出來�,對PC和移動終端造成了巨大的影響�,過去常用的電子郵件病毒已經(jīng)漸漸被遺忘,更多種類的病毒危害著用戶的信息安全�。
3.漏洞多發(fā)性。
信息安全事故的發(fā)生雖然有一部分來自于不當操作�,但也不排除來自安全漏洞的原因。往往是由于用戶沒有對系統(tǒng)進行及時的更新�,也沒有對安全技術懂的革新引起足夠的重視,造成漏洞信心安全事故問題居高不下�。
三、防反信息安全風險的策略
1.構建并完善信息安全管理制度�。
要保障信息的安全就必須建立完善的信息安全管理制度,進行統(tǒng)一規(guī)劃和分工�,保障各部門、更階層甚至每個個體都各司其職�,分工合作。其次�,還需要保障管理的高效性,防止多頭控制和協(xié)調(diào)不力的現(xiàn)象出現(xiàn)�,保障權責統(tǒng)一。然后還需要在各省市甚至各縣城都建立基層保護體制�,維護各地區(qū)人民的信息安全利益。建立完善的監(jiān)管合作機制�,將政府�、機構甚至個人聯(lián)合起來�,建立內(nèi)外結合的安全管理體系�,將信息安全落到實處。
2.強化信息安全法律體系的完善工作�。
法律的建立和完善才是信息安全保護機制中最重要的組成部分,這對我國的法律法規(guī)建設工作提出了較高的要求�。首先,我國政府應該加快對于信息安全管理的法律法規(guī)建設速度�,對于相關的技術人員和執(zhí)法人員團隊的建設應當將職業(yè)意識和職業(yè)能力同時納入考核體系,只有健全職業(yè)意識才能在執(zhí)法過程中實現(xiàn)對于法律的執(zhí)行�,保障人民懂的根本利益。同時�,各有關管理機構和部門也應當積極配合,主動協(xié)調(diào)�,在履行自身義務的基礎上也要把本職工作做好,對于信息安全管理工作貢獻自身的一份力量�。除此之外,法律的維護和執(zhí)行需要社會各階層的自覺維護�,不僅僅是政府和機關,更包括各階層的社會團體和個人�,信息網(wǎng)絡環(huán)境的安全需要大家集體來護衛(wèi)。
3.加大信息安全違法犯罪的打擊力度�。
近年來,在網(wǎng)絡違法犯罪的問題上�,我國做出了巨大的努力,雖然取得了巨大的成就�,但隨著信息技術的不斷更新?lián)Q代�,網(wǎng)絡信息安全違法的形式變得越來越多樣化�。這要求,我國執(zhí)法機關和部門在健全法律執(zhí)行范圍的基礎�,在打擊力度上也要進一步強化,提高對于網(wǎng)絡信息犯罪的預防�、處理和控制等方面的能力,也要在信息安全的自我保護上多進行培訓和教育�,提高個體和群體對于信息安全技術和系統(tǒng)的認識和運行能力。最終�,實現(xiàn)防治結合。
4.加大政策扶持�,維系良好的信息安全環(huán)境。
首先要加強對于信息安全工作的扶持力度�。例如:政府需要建立轉型資金付出計劃,幫助相關的部門和機關進行公益性和公共性的信息安全系統(tǒng)建設和技術普及工作�,聯(lián)合各相關企業(yè)進行技術研發(fā)和技術培訓,明確各自對于信息安全的需求和期望�,建立適合自身現(xiàn)狀和發(fā)展的信息安全管理體系。其次是加強對于相關安全技術管理的人才培養(yǎng)�。督促相關的教育機構強化對于社會信息安全管理的需求了解工作,切實調(diào)整自身的發(fā)展步伐�,迎合市場需求,發(fā)展自身教育計劃�,建立專門的信息安全學習和進行機制,加快信息安全人才培養(yǎng),發(fā)揮人才所產(chǎn)生的保護效益�。
四�、結語
信息網(wǎng)絡是一把“雙刃劍”,其在推動社會生產(chǎn)和人們生活方式發(fā)展的同時也帶來了巨大的安全隱患�。因此,人們在享受這種社會科技利益的同時�,也要注意使用所引發(fā)的信息安全事故。因為�,只有在安全條件下的運營才會給人們帶來發(fā)展和效益增長。雖然現(xiàn)階段已經(jīng)有越來越多的人意識網(wǎng)絡信息安全問題的重要性�,不僅僅是政府和相關技術人員,更在不少的普通居民心中引起了足夠的重視�。只要堅定在黨的領導,加強信息安全法律體系的構建�,推動信息安全管理機制的建立,進一步強化對于安全信息的認識培訓�,推動我國信息安全產(chǎn)業(yè)的高速發(fā)展,我們就一定有信心在我國的網(wǎng)絡發(fā)展中保障信息安全�,維護國家和人民的利益。
參考文獻:
[1]楊珂.淺談網(wǎng)絡信息安全現(xiàn)狀[J].數(shù)字技術與應用,2013,02:172.
[2]薛鵬.信息安全的發(fā)展綜述研究[J].華東師范大學學報(自然科學版),2015,S1:180-184.
[3]王世偉.論信息安全�、網(wǎng)絡安全、網(wǎng)絡空間安全[J].中國圖書館學報,2015,02:72-84.
[4]華賢平.電子信息安全技術存在的問題和對策[J].電子技術與軟件工程,2014,15:211.
第2篇
1.移動網(wǎng)絡信息安全管理的特征體現(xiàn)以及主要內(nèi)容
1.1 移動網(wǎng)絡信息安全管理的特征體現(xiàn)分析
移動網(wǎng)絡信息的安全管理過程中�,有著鮮明特征體現(xiàn),其中在網(wǎng)絡信息安全管理的動態(tài)化特征山比較突出�。在信息網(wǎng)絡的不斷發(fā)展過程中,對信息安全管理的動態(tài)化實施就比較重要�。由于網(wǎng)絡的更新?lián)Q代比較快�,這就必須在信息安全管理上形成動態(tài)化的管理�。
移動網(wǎng)絡信息安全管理的相對化特征上也比較突出,對移動網(wǎng)絡的信息安全管理沒有絕對可靠的安全管理措施�。通過相應的方法手段應用,能有助于對移動網(wǎng)絡的信息安全管理的效率提高�,在保障性方面能加強,但是不能完善保障信息的安全性�。所以在信息安全管理的相對性特征上比較突出。
另外�,移動網(wǎng)絡信息的安全管理天然化以及周期性的特征上也比較突出。移動網(wǎng)絡的系統(tǒng)應用中并不是完美的�,在受到多方面因素的影響下,就會存在著自然災害以及錯誤操作的因素影響�,這就對信息安全的管理有著很大威脅。需要對移動網(wǎng)絡系統(tǒng)做好更新管理的準備�,保障管理工作能夠順利進行。在對系統(tǒng)建設的工作實施上有著周期化特征�。
1.2 移動網(wǎng)絡信息安全管理的主要內(nèi)容分析
加強對移動網(wǎng)絡信息的安全管理,就要能充分重視其內(nèi)容的良好保證�,在信息的安全保障上主要涉及到管理方法以及技術應用和法律規(guī)范這三個內(nèi)容。在對移動網(wǎng)絡信息的安全管理中�,需要員工在信息安全的意識上能加強,在信息安全管理的水平上要能有效提高�,在對風險抵御的能力上不斷加強。將移動網(wǎng)絡信息安全管理的基礎性工作能得以有效加強,在服務水平上能有效提高�。然后在對移動網(wǎng)絡信息安全的管理體系方面進行有效優(yōu)化,在信息安全管理能力上進行有效提高�,對風險評估的工作能妥善實施,這些都是網(wǎng)絡信息安全管理的重要內(nèi)容�。
2.移動網(wǎng)絡信息安全管理問題和應對策略
2.1 移動網(wǎng)絡信息安全管理問題分析
移動網(wǎng)絡信息安全管理工作中,會遇到各種各樣的問題�,網(wǎng)絡的自主核心技術的缺乏�,就會帶來黑客的攻擊問題。我國在移動網(wǎng)絡的建設過程中�,由于在自主核心技術方面比較缺乏,在網(wǎng)絡應用的軟硬件等都是進口的�,所以在系統(tǒng)中就會存在著一些漏洞。黑客會利用這些系統(tǒng)漏洞對網(wǎng)絡發(fā)起攻擊�,在信息安全方面受到很大的威脅。
再者�,移動網(wǎng)絡的開放性特征,也使得在具體的網(wǎng)絡應用過程中�,在網(wǎng)系的滲透攻擊問題比較突出。在網(wǎng)絡技術標準以及平臺的應用下�,由于網(wǎng)絡滲透因素的影響,就比較容易出現(xiàn)黑客攻擊以及惡意軟件的攻擊等問題�,這就對移動網(wǎng)絡信息的安全性帶來很大威脅。具體的移動網(wǎng)絡物理管理和環(huán)境的安全管理工作上沒有明確職責�,在運營管理方面沒有加強,對網(wǎng)絡訪問控制方面沒有加強。以及在網(wǎng)絡系統(tǒng)的開發(fā)維護方面還存在著諸多安全風險�。
2.2 移動網(wǎng)絡信息安全管理優(yōu)化策略
加強移動網(wǎng)絡信息安全管理,就要能充分重視從技術層面進行加強和完善�。移動網(wǎng)絡企業(yè)要走自力更生和研發(fā)的道路,在移動網(wǎng)絡的核心技術以及系統(tǒng)的研發(fā)進程上要能加強�。對移動網(wǎng)絡信息的安全隱患方面要能及時性的消除,將移動網(wǎng)絡安全防護的能力有效提高�。還要能充分重視對移動網(wǎng)絡安全風險的評估妥善實施,構建有效完善的信息系統(tǒng)安全風險評估制度�,對潛在的安全威脅加強防御。
再者�,對移動網(wǎng)絡安全監(jiān)測預警機制要完善建立。保障移動網(wǎng)絡信息的安全性�,就要能注重對移動網(wǎng)絡信息流量以及用戶操作和軟硬件設備的實時監(jiān)測。在出現(xiàn)異常的情況下能夠及時性的警報�。在具體的措施實施上來看,就要能充分重視漏洞掃描技術的應用�,對移動網(wǎng)絡系統(tǒng)中的軟硬件漏洞及時性查找,結合實際的問題來探究針對性的解決方案�。對病毒的監(jiān)測技術加以應用,這就需要對殺毒軟件以及防毒軟件進行安裝�,對網(wǎng)絡病毒及時性的查殺。
將入侵檢測技術應用在移動網(wǎng)絡信息安全管理中去�。加強對入侵檢測技術的應用,對可能存在安全隱患的文件進行掃描�,及時性的防治安全文件和病毒的侵害�。在內(nèi)容檢查工作上也要能有效實施�,這就需要在網(wǎng)絡信息流的內(nèi)容上能及時性查殺,對發(fā)生泄密以及竊密等問題及時性的報警等�。這樣對移動網(wǎng)絡信息的安全性保障也有著積極作用。
另外�,為能保障移動網(wǎng)絡信息的安全性,就要充分注重移動網(wǎng)絡應急機制的完善建立�,對網(wǎng)絡災難恢復方案完善制定。在網(wǎng)絡遭到了攻擊后�,能夠及時性的分析原因,采取針對性的方法加以應對�。這就需要能夠部署IPS入侵防護系統(tǒng)進行應用�,以及對運用蜜罐技術對移動網(wǎng)絡信息安全進行保障。
3.結語
第3篇
論文摘要:伴隨著企業(yè)信息化的發(fā)展�,信息安全越來越受到重視。針對當前信息安全存在的問題�����,作者進行了調(diào)查�����,分析了其中的原因���,最后從管理學的角度提出了相關的策略和建議����。
隨著信息技術的發(fā)展和網(wǎng)絡化應用的普遍推廣,各機關組織和企事業(yè)單位都開展各類管理業(yè)務的信息化建立���。企業(yè)的發(fā)展運作離不開信息系統(tǒng)的安全運行�。信息安全通過保護企業(yè)信息的機密性�、完整性和可用性,不僅保護了企業(yè)各類信息資產(chǎn)的安全����,還能增強企業(yè)的核心競爭力,維護企業(yè)的形象和信譽���。信息安全對企業(yè)的生存和發(fā)展的是至關重要的���,需要從戰(zhàn)略的高度對信息安全進行規(guī)劃和管理。
一���、企業(yè)中信息安全管理經(jīng)常存在的問題
日常安全管理中存在的主要問題���,首先是用戶安全意識和觀念薄弱的占58%���,第二位的是網(wǎng)絡安全管理人員缺乏培訓,占39%����;其后,依次是保障經(jīng)費投入不足���、缺乏安全信息共享和安全產(chǎn)品不能滿足要求���。
不僅在日常管理中,在技術管理方面也存在一定的問題����。在CSDN泄密門事件中�����,專業(yè)IT博客“月光博客”撰文表示“整個事件最不可思議的地方在于���,像CSDN這樣的以程序員和開發(fā)為核心的大型網(wǎng)站�����,居然采用明文存儲密碼”�����,“稍微懂一點編程的程序員都知道���,為了用戶的安全����,應該在數(shù)據(jù)庫里保存用戶密碼的加密信息�����,這樣黑客即使下載了數(shù)據(jù)庫�����,破解用戶密碼也不是一件容易的事情” �����??梢姡行┥婕凹夹g方面的問題�,也并不是單純的技術問題����,而是與技術人員安全意識不強�、責任心不到位有關。
為了了解企業(yè)內(nèi)部員工在信息安全問題上的看法及所做的努力�,我們對一家電子商務企業(yè)和一家銀行的部分工作人員進行了問卷和訪談調(diào)查,發(fā)現(xiàn)在企業(yè)員工中存在如下一些問題:
1.是信息安全意識方面�����,被調(diào)查者認為信息安全對企業(yè)和個人都非常重要����。但大多數(shù)受訪者對信息安全的問題了解很少等。
2.很多受訪者認為信息安全屬于技術人員的事情����;與技術人員的交流非常少;忙于業(yè)務���,沒有時間去處理。
3.是用戶認為信息安全管理措施效果不好�����。有些信息安全行為的規(guī)范標準雖然掛在網(wǎng)上或貼在墻上,很少有人去關注�����;公司發(fā)動的信息安全的培訓活動沒有收到好的效果���。
二����、信息安全問題的根源
通過對調(diào)查的結果進行深入分析���,發(fā)現(xiàn)導致信息安全事件頻發(fā)���、風險損失嚴重的原因從根本上來說,有以下幾個方面:
1.信息安全是一個多維問題�����,涉及到企業(yè)管理的方方面面�。企業(yè)在信息安全問題上往往涉及多個部門。有些情況下���,無法明確責任�����,使得信息安全得不到應有的重視以及有效的管理���。
2.風險平衡理論認為���,人會愿意承擔一定程度的風險。這與你采用多少的安全防護措施無關����。有時即使有條件可以到達絕對安全的狀態(tài),由于人性的緣故�,也不會那樣去做。
3.信息安全與效率和便利性本身是矛盾的�����。信息安全加強了���,受到的約束也就多了�,相應地效率也就降低了�。比如簡單規(guī)律地密碼�,可以不必費力去記�;插入U盤時進行殺毒�,必然要耽誤時間;沒有接入網(wǎng)絡�,不可能受到網(wǎng)絡攻擊,但也就失去了網(wǎng)上瀏覽所需信息�、網(wǎng)絡交流的自由,因此有人半開玩笑地說:“最安全的計算機是拔掉網(wǎng)絡的那臺計算機”�。
4.由于某些緣故,網(wǎng)絡中總是存在黑客�,專門竊取信息或破壞網(wǎng)絡系統(tǒng)。他們的水平都非常專業(yè)�,一般的用戶難以預防。所謂“道高一尺�,魔高一丈”,信息安全的水平總是在這種攻擊與防守中進步的�。
5.信息安全問題的不確定性。信息安全問題的不確定性主要指是否發(fā)生風險的不確定性�、無法精確地評估當前所面臨的風險以及風險發(fā)生所帶來的損失的難以把握。
所有這一切因素�,都使得信息安全無法得到有效的關注和重視,無法采用有效的措施來預防和避免�。這也是導致信息安全事件發(fā)生頻率居高不下,風險損失較大的主要原因�。 轉貼于
三、相關的建議和策略
針對企業(yè)信息安全的問題,文章運用管理學的理論進行論述�。企業(yè)管理涉及四個功能:計劃、組織�、領導、控制 �。
1.從計劃的角度來看:企業(yè)應當確立信息安全的發(fā)展戰(zhàn)略,從戰(zhàn)略的高度來對待和管理信息安全�,確保信息安全所引發(fā)的風險達到可以接受的范圍之內(nèi)�。從全局角度制定信息安全的策略,確立信息安全的目標����,以及實現(xiàn)目標需要的行動方案�����。
2.從組織的角度來看:人力資源的管理的觀點認為�,企業(yè)的組織結構�,取決于組織戰(zhàn)略 。在許多企業(yè)組織結構中�����,只有技術部門�����,沒有信息安全管理部門。S.H.(basie) von Solms 曾討論過��,技術管理與安全管理兩個部門必須設置成為兩個獨立的部門���,否則無法保證安全評估的客觀性。因此有必要設置一個專門負責信息安全管理的部門��,這個部門并不負責具體的技術�����,但是要懂技術��,主要是開展企業(yè)的安全培訓工作��、日常的安全管理工作���、對存在的風險進行評估����,最大限度地降低安全風險��。
3.從領導的角度來看:根據(jù)wilde的風險平衡理論,一個人會愿意承擔一定程度的風險�。 “風險平衡”觀念會讓整個機構處于盲目樂觀的過度自信狀態(tài),不管是企業(yè)的員工還是管理者都傾向于追求效率 ���,從而忽視信息安全的投入�。
在企業(yè)的管理過程中��,應當加強信息安全�����、風險意識方面的培訓和教育��,增進員工與技術人員的面對面的溝通與交流��,開展有效的安全意識活動����。
4.從控制的角度來看:對風險的控制要求企業(yè)對自己的安全狀況不斷評估,時時防范�。這就要求安全管理部門每隔一定時間向上匯報信息安全的進展情況,定期進行風險評估工作���。
文章從管理學的角度來分析信息安全風險管理���,對信息安全問題做了實地調(diào)查��,分析了目前信息安全存在的一些問題���,并對存在的問題的根源進行了深入的分析,最后文章運用管理學的理論��,從計劃�、組織��、領導�����、控制四個角度出了相應的建議和策略���。
參考文獻
[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.
[2]秦志華.企業(yè)管理[M].大連:東北財經(jīng)大學出版社��,2011����,1.
[3]廖三余���,曹會勇.人力資源管理[M].北京:清華大學出版社���,2011�,9.
第4篇
【關鍵詞】安全性訪問����;病毒的防治;數(shù)據(jù)備份與恢復��;安全策略�����;醫(yī)院信息管理系統(tǒng)
Abstract:In the hospital information construction process��,the hospital information management system is its core part��,the current most hospitals face very important problem is how to keep the hospital information management system is highly effective��,the security�,the stable operation.This article attempts from the system security access,prevention and control of the virus�,data backup and recovery,etc are discussed��,so as to work out the corresponding security strategy.
Keywords:Security access;Prevention and control of the virus���;Data backup and recovery���;Safety strategy;The hospital information management system
一���、引言
計算機技術不斷發(fā)展的今天����,在醫(yī)院的應用里面醫(yī)院信息管理系統(tǒng)得到了大眾的認可�����,醫(yī)院信息管理系統(tǒng)在應用的過程中�����,信息安全是受到普遍關注的焦點����。醫(yī)院信息管理系統(tǒng)是一個整個醫(yī)院都聯(lián)了網(wǎng)的系統(tǒng)���,因此對系統(tǒng)的信息安全要求非常高�。如果系統(tǒng)的信息安全出現(xiàn)問題,就是丟失醫(yī)院中的重要數(shù)據(jù)信息�����,使醫(yī)院的各項工作不能正常運行��,給醫(yī)院帶來的直接經(jīng)濟損失是無法估量的��,嚴重影響醫(yī)院的社會效益���。如今�����,很多醫(yī)院的信息管理系統(tǒng)的安全體系都很簡單���,然而醫(yī)院的數(shù)據(jù)業(yè)務卻在不斷增大,業(yè)務應用的復雜性也不斷提高��,簡單的醫(yī)院信息管理系統(tǒng)安全體系已不能滿足系統(tǒng)安全需求���。因此���,針對以上的這些問題���,為了完善系統(tǒng)的安全體系,本文提出了相應的安全策略����。使得系統(tǒng)能夠高效、安全�、穩(wěn)定的運行,這也是醫(yī)院信息管理系統(tǒng)需要解決的一個迫切問題�。
二、安全訪問的控制策略
在醫(yī)院信息管理系統(tǒng)里面�,人員是分散的,資源是共享的��,這也是醫(yī)院信息管理系統(tǒng)的主要特點���,護士、醫(yī)生�、行政管理人員、醫(yī)療技術人員和后勤管理人員都是該系統(tǒng)的操作用戶�,從人員的組成上面可以看出比較復雜,并且每種用戶負責的工作任務和自責都不一樣。所以�,醫(yī)院信息管理系統(tǒng)里面的系統(tǒng)管理員的主要任務是根據(jù)不同角色的用戶,給每一個用戶都分配一個用戶名和密碼��,這個用戶名和密碼對一個用戶來說有且只有一個�,系統(tǒng)管理員給每個用戶的操作權限也是不同的。不同角色的用戶登錄到醫(yī)院信息管理系統(tǒng)里面都只能在自己的權限范圍內(nèi)進行相應的操作和訪問��,對于沒有權限進行訪問和操作的模塊��,系統(tǒng)會對該用戶隱身���,使用戶看不到�。這樣可以防止那些不是本系統(tǒng)的用戶非法進入�����,是系統(tǒng)的安全得不到保障�。醫(yī)院信息管理系統(tǒng)的所有資源對于系統(tǒng)管理員來說,都是可以訪問的�,因此,對于系統(tǒng)管理員的賬號數(shù)量��,應該加以限制����,密碼在設置的時候也盡量使其復雜���,對于系統(tǒng)的運行狀況,由系統(tǒng)管理員定期進行匯報��,使得整個系統(tǒng)都能夠處于監(jiān)督之下�。
三、防治病毒的策略
計算機技術發(fā)展的非常迅速�����,但同事計算機病毒也隨之產(chǎn)生��,并且是系統(tǒng)主要的威脅����。所以,完善的病毒防治體制和規(guī)章制度的建立是迫在眉睫的��,主要的病毒的防治策略有:
1.對于數(shù)據(jù)服務器要做專門的備份�,由一些比較重要的數(shù)據(jù)備份要定期進行���,使系統(tǒng)受到病毒攻擊���、數(shù)據(jù)丟失或被惡意修改等事件的威脅降低�����,是系統(tǒng)數(shù)據(jù)的完整性和正確性得到保障����。
2.電腦安裝的操作系統(tǒng)盡量選用正版的����,對于官方網(wǎng)站中的一些重要信息,計算機的管理人員要時刻關注�,使操作系統(tǒng)得到及時的更新,降低操作系統(tǒng)遭到攻擊的機率����。
3.給每一臺跟醫(yī)院信息管理體系相連的電腦都安全GHOST軟件,定期對系統(tǒng)進行備份操作�,如果系統(tǒng)受到破壞之后沒辦法進行恢復了,就可以使用一鍵GHOST直接進行還原�。
4.使用醫(yī)院信息管理系統(tǒng)的整個醫(yī)院的全體員工都要有病毒防范的意識,并且要具備良好的動機�,如果發(fā)現(xiàn)了系統(tǒng)中出現(xiàn)了計算機病毒�,就應該及時通知相應的網(wǎng)絡管理部門進行處理�,減少病毒攻擊帶來的損失�。
5.在給系統(tǒng)安裝殺毒軟件的時候盡量選用正版的,并且殺毒軟件要定期進行升級操作�,這些任務由計算機管理人員完成,使整個醫(yī)院的電腦病毒庫都是最新的版本�。
6.在醫(yī)院信息管理系統(tǒng)中安裝防火墻,使得外部惡意的程序?qū)︶t(yī)院系統(tǒng)的入侵事件受到阻止��。
7.在電腦的使用方面�����,要建立一個嚴格的規(guī)章制度��,如果出現(xiàn)的問題��,就要追究這個用戶的責任��,情節(jié)比較嚴重的��,應該追究其法律責任�。
8.對于那些外部存儲連接設備像優(yōu)盤、硬盤等��,要嚴格對其進行管理���,如果沒有經(jīng)過允許就把這些設備連接到系統(tǒng)中��,出現(xiàn)問題追究用戶的責任���。
9.在使用內(nèi)網(wǎng)和外網(wǎng)的時候要非常嚴格,內(nèi)外網(wǎng)的配備要根據(jù)每個科室的不用業(yè)務需求來進行�,比如有的科室只使用外網(wǎng),那就不考慮內(nèi)網(wǎng)的連接�����,只連接外網(wǎng)��。
四�、數(shù)據(jù)的備份與恢復策略
1.系統(tǒng)的備份與恢復策略
在醫(yī)院信息管理系統(tǒng)中,所有的應用能夠正常進行的前提和保障就是系統(tǒng)的安全���,再有在操作系統(tǒng)有改動或者系統(tǒng)被破壞了�,系統(tǒng)的備份與恢復才會進行�。在進行系統(tǒng)的備份與恢復的時候,經(jīng)常使用的軟件就是一鍵GHOST�。在安裝系統(tǒng)的時候,把硬盤劃分成幾個區(qū)域�,其中的一個區(qū)域安裝操作系統(tǒng)��,把系統(tǒng)分區(qū)用GHOST軟件復制一份映射文件放到另一個分區(qū)里面去��,如果系統(tǒng)中出現(xiàn)了安全問題���,使得系統(tǒng)不能正常運行,這個時候就使用一鍵GHOST軟件根據(jù)映射文件使系統(tǒng)快速恢復���,這樣就可以在系統(tǒng)崩潰之后�����,數(shù)據(jù)信息還可以得到恢復和保存��。
2.后臺數(shù)據(jù)的備份與恢復
在后臺的數(shù)據(jù)庫中�����,有啟動和計劃任務的功能��,如果定期對其進行操作的話��,可以采取設定定時的方法���,自動地把主服務器的日志備份到一個備份的服務器上面�����,還可以設定一個定時啟動的恢復任務,使得備份服務器的數(shù)據(jù)庫能夠同步到主服務器的恢復��,在別的地方安裝一個容量非常大的數(shù)據(jù)存儲器�,把備份服務器中已經(jīng)得到恢復的數(shù)據(jù)放到這個容量非常大的數(shù)據(jù)存儲器中。如果服務器中的數(shù)據(jù)遭到了破壞��,就可以采取把之前備份好的事務日志進行恢復的策略�,可以使丟失數(shù)據(jù)的機率降到很低,基本上可以保證數(shù)據(jù)得到恢復����。比如,使用SQL Server 2005數(shù)據(jù)庫技術中的計劃任務進行不同地方的數(shù)據(jù)備份與恢復����,使用SQL Server 2005數(shù)據(jù)庫中的計劃任務進行很多個備份的任務操作,在平常生活比較空閑的時候�,對這些任務進行備份操作,然后再對這些數(shù)據(jù)進行不同地方的存儲���,也就是說把備份的任務存儲到別的計算機的硬盤上面����。這樣就可以保證在硬盤受到損壞的時候,可以使用別的保存了數(shù)據(jù)的計算機對這些數(shù)據(jù)進行恢復和還原�����。數(shù)據(jù)庫本身具有還原的功能�,可以利用數(shù)據(jù)庫的這一特點對數(shù)據(jù)庫中的數(shù)據(jù)進行還原,并且還原的速度也是很快的�,使得數(shù)據(jù)的安全性得到了保障,數(shù)據(jù)備份與恢復的效率也得到了極大的提高����。
五、其他
針對醫(yī)院信息管理系統(tǒng)�����,上面討論了三種加強醫(yī)院信息管理系統(tǒng)安全的策略�����,顧名思義肯定還有其他影響系統(tǒng)安全的因素���,比如��,計算機的軟硬件出現(xiàn)了故障���、電腦黑客對系統(tǒng)的入侵�、系統(tǒng)突然斷電或者人為的因素對系統(tǒng)造成破壞等等���,我也不一一全部進行列舉�����,但是的確還有很多因素會給系統(tǒng)造成破壞,給醫(yī)院帶來很大的直接經(jīng)濟損失�����。因此����,我們在平常的使用中就應該關注這些問題,使系統(tǒng)遭到破壞的機率減少了到最低��。
六�����、結語
在醫(yī)院信息化建設的過程中,醫(yī)院信息管理系統(tǒng)的安全問題是非常重要的部分����,每個使用醫(yī)院信息管理系統(tǒng)的用戶都有責任保證醫(yī)院信息系統(tǒng)的正常運行。所以��,醫(yī)院要對使用醫(yī)院信息管理系統(tǒng)的全部用戶都定期進行安全知識方面的培訓��,使全部使用醫(yī)院信息管理系統(tǒng)的用戶都具備良好的安全意識��,并且根據(jù)具體的情況制定出有效的安全應急的預案�,建立完善的安全管理規(guī)章制度,使醫(yī)院信息管理系統(tǒng)在運行的時候能夠高效��、安全����、穩(wěn)定,使醫(yī)院的服務水平�、市場競爭力和管理水平都得到相應的提高,當然��,這樣也能夠提高醫(yī)院的社會影響力���,使醫(yī)院的效益越來越高�。
參考文獻:
[1]嚴冰.網(wǎng)絡安全在醫(yī)院信息管理系統(tǒng)中的重要作用[J].行政與管理,2008�����,281.
[2]萎瓊��,張泉方.醫(yī)院信息管理中的數(shù)據(jù)備份研究[J].數(shù)據(jù)庫技術與應用�,2008.3(11):49-51.
[3]滿育紅.醫(yī)院信息管理系統(tǒng)中的數(shù)據(jù)備份與恢復[J].吉林醫(yī)學,2007��,28(9):1149-1150.
[4]張嬡.醫(yī)院信息管理系統(tǒng)的病毒的防治初探[J].信息與電腦�,2011���,5:12-14.
[5]張秀玉.SQL SERVER 數(shù)據(jù)庫程序設計[M].機械龔古爾出版社�,2005:68-97.
[6]胡柏敬�����,姚巧梅.SQL SERVER 2005 數(shù)據(jù)庫開發(fā)講解[M].電子工業(yè)出版社��,2006.
[7]DAVDV.客戶機/服務器策略[M].北京:電子工業(yè)出版社����,1995.
[8]張本成�,何清林.中小企事業(yè)單位數(shù)據(jù)安全網(wǎng)絡改造方案[J].科技情報開發(fā)與經(jīng)濟�,2005,20:204-205.
[9]苗雪蘭.數(shù)據(jù)庫系統(tǒng)原理及應用教程[M].機械工業(yè)出版社���,2001:7.
[10]醫(yī)保計算機系統(tǒng)中 IC 卡的安全設計:[D].南京:南京理工大學��,2004.
[11]項慶坤.劉彥偉.醫(yī)療保險管理系統(tǒng)中的數(shù)據(jù)傳輸設計[J].計算機絡����,2002����,13:5 6-57.
[12]薛華成.管理信息系統(tǒng)(第三版)[M].北京:清華大學出版社,1999.
[13]薩師煊���,王珊.數(shù)據(jù)庫系統(tǒng)概論(第三版)[M].高等教育出版社.
[14]洪深著.決策支持系統(tǒng)(DSS):理論.方法.案例[M].清華大學出版社����,2002�,9(2).
第5篇
關鍵詞:計算機網(wǎng)絡;信息管理��;安全防護
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)18-4389-02
1概述
互聯(lián)網(wǎng)技術給我們帶來很大的方便,同時也帶來了許多的網(wǎng)絡安全隱患��,諸如陷門�����、網(wǎng)絡數(shù)據(jù)竊密�、木馬掛馬、黑客侵襲��、病毒攻擊之類的網(wǎng)絡安全隱患一直都威脅著我們�。為了確保計算機網(wǎng)絡信息安全,特別是計算機數(shù)據(jù)安全�,目前已經(jīng)采用了諸如服務器、通道控制機制���、防火墻技術���、入侵檢測之類的技術來防護計算機網(wǎng)絡信息安全管理����,即便如此,仍然存在著很多的問題�,嚴重危害了社會安全���。計算機網(wǎng)絡信息管理工作面臨著巨大的挑戰(zhàn),如何在計算機網(wǎng)絡這個大環(huán)境之下����,確保其安全運行,完善安全防護策略�����,已經(jīng)成為了相關工作人員最亟待解決的問題之一�。
2計算機網(wǎng)絡信息管理工作中的安全問題分析
計算機網(wǎng)絡的共享性、開放性的特性給互聯(lián)網(wǎng)用戶帶來了較為便捷的信息服務���,但是也使得計算機網(wǎng)絡出現(xiàn)了一些安全問題�。在開展計算機網(wǎng)絡信息管理工作時���,應該將管理工作的重點放在網(wǎng)絡信息的和訪問方面��,確保計算機網(wǎng)絡系統(tǒng)免受干擾和非法攻擊��。
2.1安全指標分析
(1)保密性
通過加密技術����,能夠使得計算機網(wǎng)絡系統(tǒng)自動篩選掉那些沒有經(jīng)過授權的終端操作用戶的訪問請求,只能夠允許那些已經(jīng)授權的用戶來利用和訪問計算機網(wǎng)絡信息數(shù)據(jù)�。
(2)授權性
用戶授權的大小與其能夠在計算機網(wǎng)絡系統(tǒng)中能夠利用和訪問的范圍息息相關,我們一般都是采取策略標簽或者控制列表的形式來進行訪問����,這樣做的目的就在于能夠有效確保計算機網(wǎng)絡系統(tǒng)授權的正確性和合理性。
(3)完整性
可以通過散列函數(shù)或者加密的方法來防治非法信息進入計算機網(wǎng)絡信息系統(tǒng)�,以此來確保所儲存數(shù)據(jù)的完整性。
(4)可用性
在計算機網(wǎng)絡信息系統(tǒng)的設計環(huán)節(jié)�,應該要確保信息資源具有可用性,在突然遇到攻擊的時候�,能夠及時使得各類信息資源恢復到正常運行的狀態(tài)。
(5)認證性
為了確保權限所有者和權限提供者都是同一用戶����,目前應用較為廣泛的計算機網(wǎng)絡信息系統(tǒng)認證方式一般有兩種,分別是數(shù)據(jù)源認證和實體性認證兩種�����,這兩種方式都能夠得到在當前技術條件支持���。
2.2計算機網(wǎng)絡信息管理中的安全性問題
大量的實踐證明,計算機網(wǎng)絡信息管理中存在的安全性問題主要有兩種類型��,第一種主要針對計算機網(wǎng)絡信息管理工作的可用性和完整性,屬于信息安全監(jiān)測問題���;第二種主要針對計算機網(wǎng)絡信息管理工作的抗抵賴性��、認證性�、授權性��、保密性�,屬于信息訪問控制問題。
(1)信息安全監(jiān)測
有效地實施信息安全監(jiān)測工作�����,可以在最大程度上有效消除網(wǎng)絡系統(tǒng)脆弱性與網(wǎng)絡信息資源開放性二者之間的矛盾�,能夠使得網(wǎng)絡信息安全的管理人員及時發(fā)現(xiàn)安全隱患源,及時預警處理遭受攻擊的對象���,然后再確保計算機網(wǎng)絡信息系統(tǒng)中的關鍵數(shù)據(jù)能夠得以恢復��。
(2)信息訪問控制問題
整個計算機網(wǎng)絡信息管理的核心和基礎就是信息訪問控制問題�。信息資源使用方和擁有方在網(wǎng)絡信息通信的過程都應該有一定的訪問控制要求��。換而言之��,整個網(wǎng)絡信息安全防護的對象應該放在資源信息的和個人信息的儲存。
3如何有效加強計算機網(wǎng)絡信息安全防護
(1)高度重視����,完善制度
根據(jù)單位環(huán)境與特點制定、完善相關管理制度��。如計算機應用管理規(guī)范��、保密信息管理規(guī)定�、定期安全檢查與上報等制度。成立領導小組和工作專班��,完善《計算機安全管理制度》����、《網(wǎng)絡安全應急預案》和《計算機安全保密管理規(guī)定》等制度,為規(guī)范管理夯實了基礎�。同時,明確責任��,強化監(jiān)督�。嚴格按照保密規(guī)定,明確涉密信息錄入及流程�,定期進行安全保密檢查,及時消除保密隱患,對檢查中發(fā)現(xiàn)的問題��,提出整改時限和具體要求���,確保工作不出差錯。此外����,加強培訓,廣泛宣傳��。有針對性組織開展計算機操作系統(tǒng)和應用軟件���、網(wǎng)絡知識�、數(shù)據(jù)傳輸安全和病毒防護等基本技能培訓���,利用每周學習日集中收看網(wǎng)絡信息安全知識講座��,使信息安全意識深入人心����。
(2)合理配置����,注重防范
第一���,加強病毒防護。單位中心機房服務器和各基層單位工作端均部署防毒����、殺毒軟件,并及時在線升級�。嚴格區(qū)分訪問內(nèi)、外網(wǎng)客戶端����,對機房設備實行雙人雙查,定期做好網(wǎng)絡維護及各項數(shù)據(jù)備份工作���,對重要數(shù)據(jù)實時備份��,異地儲存����。同時�,嚴格病毒掃描。針對網(wǎng)絡傳輸��、郵件附件或移動介質(zhì)的方式接收的文件,有可能攜帶病毒的情況�,要求接收它們之前使用殺毒軟件進行病毒掃描。第二�����,加強強弱電保護�。在所有服務器和網(wǎng)絡設備接入端安裝弱電防雷設備�,在所有弱電機房安裝強電防雷保護器,保障雷雨季節(jié)主要設備的安全運行��。第三����,加強應急管理。建立應急管理機制��,完善應急事件出現(xiàn)時的事件上報�����、初步處理��、查實處理�����、責任追究等措施,并定期開展進行預演��,確保事件發(fā)生時能夠從容應對����。第四,加強“兩個隔離”管理�。即內(nèi)、外網(wǎng)物理徹底隔離和通過防火墻進行“邊界隔離”��,通過隔離實現(xiàn)有效防護外來攻擊����,防止內(nèi)、外網(wǎng)串聯(lián)���。第五�,嚴格移動存儲介質(zhì)應用管理�����。對單位所有的移動存儲介質(zhì)進行登記�,要求使用人員嚴格執(zhí)行《移動存儲介質(zhì)管理制度》��,杜絕外來病毒的入侵和泄密事件的發(fā)生���。同時,嚴格安全密碼管理��。所有工作用機設置開機密碼����,且密碼長度不得少于8位,定期更換密碼��。第六��,嚴格使用桌面安全防護系統(tǒng)���。每臺內(nèi)網(wǎng)計算機都安裝了桌面安全防護系統(tǒng),實現(xiàn)了對計算機設備軟�、硬件變動情況的適時監(jiān)控。第七����,嚴格數(shù)據(jù)備份管理。除了信息中心對全局數(shù)據(jù)定期備份外���,要求個人對重要數(shù)據(jù)也定期備份�����,把備份數(shù)據(jù)保存在安全介質(zhì)上�。
(3)堅持以信息安全等級保護工作為核心
把等級保護的相關政策和技術標準與自身的安全需求深度融合,采取一系列有效措施����,使等級保護制度在全局得到有效落實,有效的保障業(yè)務信息系統(tǒng)安全���。
第一���,領導高度重視,組織保障有力���。單位領導應該高度重視信息化和信息安全工作����,成立專門的信息中心����,具體負責等級保護相關工作�,統(tǒng)籌全局的信息安全工作���。建立可靠的信息安全基礎設施��,重點強化第二級信息系統(tǒng)的合規(guī)建設��,加強了信息系統(tǒng)的運維管理��,對重要信息系統(tǒng)建立了災難備份及應急預案��,有效提高了系統(tǒng)的安全防護水平�。
第二���,完善措施,保障經(jīng)費����。一是認真組織開展信息系統(tǒng)定級備案工作。二是組織開展信息系統(tǒng)等級測評和安全建設整改��。三是開展了信息安全檢查活動��。對信息安全����、等級保護落實情況進行了檢查�����。
第三�����,建立完善各項安全保護技術措施和管理制度����,有效保障重要信息系統(tǒng)安全����。一是對網(wǎng)絡和系統(tǒng)進行安全區(qū)域劃分。按照《信息系統(tǒng)安全等級保護基本要求》�����,提出了“縱向分層��、水平分區(qū)�、區(qū)內(nèi)細分”的網(wǎng)絡安全區(qū)域劃分原則,對網(wǎng)絡進行了認真梳理、合理規(guī)劃�����、有效調(diào)整�����。二是持續(xù)推進病毒治理和桌面安全管理��。三是加強制度建設和信息安全管理�。本著“預防為主,建章立制�,加強管理,重在治本”的原則��,堅持管理與技術并重的原則��,對信息安全工作的有效開展起到了很好的指導和規(guī)范作用��。
(4)采用專業(yè)性解決方案保護網(wǎng)絡信息安全
大型的單位�,如政府�、高校、大型企業(yè)由于網(wǎng)絡信息資源龐大����,可以采用專業(yè)性解決方案來保護網(wǎng)絡信息安全��,諸如銳捷網(wǎng)絡門戶網(wǎng)站保護解決方案�����。銳捷網(wǎng)絡門戶網(wǎng)站保護解決方案能提供從網(wǎng)絡層�����、應用層到Web層的全面防護��;其中防火墻�����、IDS分別提供網(wǎng)絡層和應用層防護�����,ACE對Web服務提供帶寬保障�����;而方案的主體產(chǎn)品銳捷WebGuard(WG)進行Web攻擊防御���,方案能給客戶帶來的價值:
防網(wǎng)頁篡改�、掛馬
許多大型的單位作為公共信息提供者�����,網(wǎng)頁被篡改�、掛馬將造成不良社會影響,降低單位聲譽��。目前客戶常用的防火墻��、IDS/ IPS���、網(wǎng)頁防篡改��,無法解決通過80端口��、無特征庫����、針對動態(tài)頁面的Web攻擊��。WebGuard DDSE深度解碼檢測引擎有效防御SQL注入�、跨站腳本等。
高性能�,一站式保護各院系網(wǎng)站
對于大型單位客戶,往往擁有眾多部門�,而并非所有大型單位都將各部門網(wǎng)站統(tǒng)一管理。各部門網(wǎng)站技術運維能力相對較弱����,經(jīng)常成為攻擊重點。WebGuard利用高性能多核架構��,提供并行處理��。支持在網(wǎng)絡出口部署����,一站式保護各部門網(wǎng)站。
“零配置”運行�,簡化部署
WebGuard針對用戶,集成默認配置模板�,支持“零配置”運行。一旦上線��,即可防護絕大多數(shù)攻擊�。后續(xù)用戶可以根據(jù)網(wǎng)絡情況,進行優(yōu)化策略�����。避免同類產(chǎn)品常見繁瑣配置,毋須客戶具備專業(yè)的安全技能�����,即可擁有良好的體驗��。
滿足合規(guī)性檢查要求
繼08年北京奧運��、09年國慶60周年后�,10年上海世博會、廣州亞運會先后舉行�。在重大活動前后,各級主管單位和公安部門�����,紛紛發(fā)文�����,要求針對網(wǎng)站安全采取措施�����。WebGuard恰好能很好的滿足合規(guī)性檢查的需求,幫助用戶順利通過檢查�����。
4結束語
新時期的計算機網(wǎng)絡信息管理工作正向著系統(tǒng)化����、集成化�����、多元化的方向發(fā)展�,但是網(wǎng)絡信息安全問題日益突出,值得我們大力關注����,有效加強計算機網(wǎng)絡信息安全防護是極為重要的,具有較大的經(jīng)濟價值和社會效益�。
參考文獻:
[1]段盛.企業(yè)計算機網(wǎng)絡信息管理系統(tǒng)可靠性探討[J].湖南農(nóng)業(yè)大學學報:自然科學版,2000(26):134-136.
[2]李曉琴.張卓容.醫(yī)院計算機網(wǎng)絡信息管理的設計與應用[J].醫(yī)療裝備,2003.(16):109-113.
[3]李曉紅.婦幼保健信息計算機網(wǎng)絡管理系統(tǒng)的建立與應用[J].中國婦幼保健,2010(25):156-158.
[4]羅宏儉.計算機網(wǎng)絡信息技術在公路建設項目管理中的應用[J].交通科技,2009.(1):120-125.
[5] Bace Rebecca.Intrusion Detection[M].Macmillan Technical Publishing,2000.
第6篇
計算機信息管理工作面臨非常大的挑戰(zhàn),如何在這種情況下保持互聯(lián)網(wǎng)環(huán)境的安全��,完善對于計算機網(wǎng)絡信息的保護手段是我們現(xiàn)階段需要大力解決的問題����。
互聯(lián)網(wǎng)技術給我們的日常生活帶來了很大的方便�,但是在我們使用互聯(lián)網(wǎng)的同時也可能存在很多的安全隱患��。為了解決這些現(xiàn)階段存在的問題��,我們現(xiàn)在一般使用防火墻技術���,通過服務器對外部入侵情況進行監(jiān)測和鑒定���,對計算機進行實時的防護。
雖然我們應用了這些技術進行防護�,但是計算機安全信息防護依舊有很多問題需要我們解決,嚴重影響著使用者的正常使用和網(wǎng)絡安全���。
1����、計算機網(wǎng)絡信息安全分析
計算機網(wǎng)絡的開放和共享給互聯(lián)網(wǎng)的用戶提供了更加方便的信息獲取途徑�,同時也是因為互聯(lián)網(wǎng)具有這樣的特性,所以也讓互聯(lián)網(wǎng)存在很多安全隱患�,在我們對計算機信息安全進行掛了你的同時,我們要認真管理和訪問的信息��,確保計算機不受非法信息的影響正常工作��。
1.1安全性指標分析
我們針對計算機網(wǎng)絡信息管理和安全防護的安全指標分析主要有保密性、授權性��、完整性��、可用性以及認證性���。這些指標都是我們對計算機網(wǎng)絡信息是否安全進行判定的基礎。
保密性是指我們通過加密的方式讓計算機自動識別沒有授權的訪問和操作請求��,只有通過計算機授權的使用者才能夠訪問網(wǎng)絡上的相關數(shù)據(jù)���。[1]用戶的授權范圍也是計算機信息防護的重要依據(jù)���,授權的范圍我們一般是通過控制列表或者策略標簽的方式來進行管理,這樣的最終目的就是為了能夠保證計算機系統(tǒng)授權更加合理和安全��。
為了保持計算機信息安全的完整性����,我們可以通過散列函數(shù)以及各種加密方式來防止非法入侵計算機的行為發(fā)生,可以確保信息在互聯(lián)網(wǎng)上的完整和安全�����。計算機信息的可用性主要是指我們需要保證計算機網(wǎng)絡信息系統(tǒng)在受到非法入侵的同時能在第一時間恢復相關信息的數(shù)據(jù)備份,讓計算機網(wǎng)絡系統(tǒng)在短時間內(nèi)恢復正常運行�。
為了確保計算機的所有者和當前計算機的使用者的同一人,我們一般采用系統(tǒng)認證的方式來確保信息版權��,現(xiàn)階段所使用的認證方式主要有實體認證和數(shù)據(jù)源認證兩種模式����。
1.2計算機網(wǎng)絡信息管理存在的問題
我們通過實踐證明,計算機網(wǎng)絡信息管理存在的問題主要是對網(wǎng)絡信息管理的完整性和可用性來進行安全檢測的���,其次我們需要對計算機網(wǎng)絡信息管理的工作進行授權�、保密和認證�。
首先我們需要關注一下網(wǎng)絡信息安全的檢測工作,我們通過全面良好的信息安全性檢測���,可以在最大程度上避免了資源開放和網(wǎng)絡信息脆弱性之間的沖突�,可以讓安全管理人員能夠更加及時發(fā)現(xiàn)安全隱患�����,解決這些問題�,確保計算機信息不丟失,并且能夠在短時間內(nèi)恢復正常工作。
其次我們需要對信息訪問進行有效的控制��,無論是對于信息的所有者還是信息的使用者來說�����,在使用網(wǎng)絡信息的時候都需要有一個訪問權限的有效控制�,換言之,對于計算機網(wǎng)絡的信息數(shù)據(jù)安全防護的關鍵點在于個人信息的儲存以及資源的上面��。
2��、如何加強計算機網(wǎng)絡信息的安全管理工作
2.1加強管理制度的建立��,引起足夠的重視
我們應當按照不同單位工作的特點來進行相關管理制度的制定����,比如計算機使用管理規(guī)范����、保密協(xié)定、計算機定期檢查管理規(guī)定等各種制度���。我們需要成立專門的管理小組��,對計算機的管理制度進行制定和完善�,同時我們應當將責任落實到每個人的頭上,加強對于網(wǎng)絡信息安全的監(jiān)督和管理工作�����,增強整個管理小組的執(zhí)行力���。同時管理人員需要嚴格遵守相關信息的保密協(xié)議��,對于一些機密信息的錄入和的過程�,一定要進行全程的安全檢查���,并且杜絕相關信息的泄漏�,防止發(fā)生網(wǎng)絡安全隱患����。
[2]在檢查過程中,一旦發(fā)現(xiàn)問題就要馬上進行整改�,確保安全管理工作的正常進行。同時要對相關人員進行培訓和宣傳�,并且有組織的對計算機網(wǎng)絡知識、數(shù)據(jù)安全和防護等技能進行培訓���,將安全意識融入到日常的工作中����。
2.2加強日常的防范工作
日常的防范工作我們首先要從病毒防火墻入手,無論是中心管理系統(tǒng)還是分端的服務器都需要進行相關的病毒防護�����,及時對軟件進行在線升級�����。要對內(nèi)外網(wǎng)訪問的客戶端進行嚴格區(qū)分����,機房設備要定期的對網(wǎng)絡數(shù)據(jù)進行維護和備份����,必要的時候可以進行異地儲存�,確保信息不會因為病毒的入侵而導致丟失。同時我們還需要對病毒進行定期掃描和殺毒�����,對于可能攜帶網(wǎng)絡病毒的郵件,要求在使用之前必須對其進行殺毒處理�。[3]其次我們要加強系統(tǒng)服務器的防雷電處理,在服務器連接終端我們需要安裝防雷裝置�����,保證在及時在雷雨季節(jié)���,各項設備也能不受雷雨的影響正常運行���。
其次我們需要增強應急預案的制定,建立一套完整的應急管理方案����,完善應急管理的各個程序,定期進行應急方案的預演��,確保真正發(fā)生特殊情況能夠不慌亂���,以最正確的方式進行處理。同時我們還需要增強對內(nèi)外網(wǎng)之間的隔離以及防火墻的邊界隔離���。通過隔離有效的避免外來攻擊的情況發(fā)生��。單位要對移動儲存介質(zhì)進行嚴格控制���,若需要使用必須進行嚴格的等級,避免外來病毒對計算機造成危害導致信息泄漏��,同時對于計算機密碼要進行嚴格的管理��,對于所有涉及到安全性信息的計算機都要設置對應的密碼�,并且要定期修改密碼�����。
嚴格使用桌面安全防護系統(tǒng)���,這個系統(tǒng)可以對每臺計算機進行有效的監(jiān)控��,實現(xiàn)計算機軟件和硬件的實時管理�。[4]不僅信息中心需要定期進行備份處理��,個人的重要數(shù)據(jù)也需要定期備份���,確保數(shù)據(jù)都能夠安全的儲存和使用���。
2.3采用專業(yè)性解決方案保障網(wǎng)絡信息的安全
大型單位的資源比較龐大,所以我們可以采取專業(yè)性的方案來進行網(wǎng)絡信息安全的防護����。我們通過采用防火墻等技術防止木馬的侵襲。一些比較大的單位一般下屬都會設有很多的分部門���,但是對于每個部門來說有很多對于部門網(wǎng)站都不是進行統(tǒng)一管理的����。這就造成了每個小部門的網(wǎng)絡安全管理能力較弱�,容易成為攻擊和侵害的對象。
總結
新時代的計算機網(wǎng)絡信息安全管理正在不斷的想著完整性和系統(tǒng)性邁進��。但是隨著計算機網(wǎng)絡技術的不斷發(fā)展�,網(wǎng)絡安全技術存在的問題也逐漸得到提現(xiàn),需要我們關注�。有效的加強計算機網(wǎng)絡信息安全是非常重要的,對于單位和個人來說都具有非常大的經(jīng)濟價值和社會價值�。
第7篇
關鍵詞:機房安全;服務器���;數(shù)據(jù)庫
中圖分類號:TP393 文獻標識碼:A文章編號:1007-9599 (2011) 08-0000-01
The Safe Operation Management Strategies of Enterprise Information Software System
Wang Huifeng
(SANYHE International Holdings Co.,Ltd,Shenyang110027,China)
Abstract:With the construction of enterprise information technology,information system security is also increasingly become increasingly important.With the expansion of network applications,business process applications in the network security risks are increasing,the intruder can attack the enterprise intranet,theft or other damage,which are on the corporate use of the network posed a serious security threat.This paper describes the enterprise information system security software applications to run management,from hardware management,software,security,fault handling different aspects of the management described.
Keywords:Computer room safety;Server;Database
一�、機房安全
企業(yè)應根據(jù)自身特點為企業(yè)信息軟件應用系統(tǒng)集中建立一個或多個專用機房��,在機房中存放信息軟件應用系統(tǒng)的服務器設備����、網(wǎng)絡設備、存儲設備等相關硬件�����。企業(yè)機房應當參照《國家標準電子計算機機房設計規(guī)范GB50174-93》進行設計與建設���。
企業(yè)機房要進行24小時專人執(zhí)班��,保證機房的溫度�����、濕度��、供電��、防靜電����、防雷�����、防火等環(huán)境符合要求��。人員進出機房要進行登記�����,外來人員不得隨意進入機房��。機房工作人員不得利用服務器從事工作以外的事情����。
二、硬件設備安全
硬件設備系統(tǒng)是指為保證企業(yè)信息軟件應用系統(tǒng)安全運行所涉及到的系統(tǒng)硬件設備安全�����。
(一)硬件范圍:主要包括系統(tǒng)數(shù)據(jù)庫服務器�����、系統(tǒng)應用服務器、系統(tǒng)前置機服務器�����、磁盤陣列�、磁帶庫、網(wǎng)絡防火墻��、網(wǎng)絡交換機等����。(二)對于設計有冗余電源的設備,應當在購置設備時配置N+1冗余電源�����,減少設備因單電源失效引起的宕機事故的幾率�����。(三)企業(yè)信息軟件應用系統(tǒng)中提供遠程登錄的設備如服務器��、防火墻�、交換機等,密碼要由專人持有,密碼設置要符合密碼復雜性要求��,密碼要定期修改�。(四)系統(tǒng)管理人員要定期對企業(yè)信息軟件應用系統(tǒng)所有硬件設備進行運行巡檢,檢查并記錄設備有無運行異常及告警信息�,巡檢過程中要由專人負責監(jiān)督�。
三、網(wǎng)絡安全管理
網(wǎng)絡安全管理是指企業(yè)信息軟件應用系統(tǒng)中的服務器設備所處的獨立網(wǎng)絡環(huán)境或企業(yè)應用系統(tǒng)數(shù)據(jù)中心(IDC)網(wǎng)絡環(huán)境的安全��。
(一)網(wǎng)絡風險范圍:主要包括企業(yè)信息軟件應用系統(tǒng)的網(wǎng)絡安全設備運行情況及其策略管理����。(二)在企業(yè)信息軟件應用系統(tǒng)的獨立運行網(wǎng)絡或企業(yè)數(shù)據(jù)中心(IDC),各網(wǎng)絡間開放最小量訪問策略����。(三)系統(tǒng)管理人員要定期與安全設備廠商保持聯(lián)系,及時更新設備廠商的安全補丁和升級程序�����,使安全設備運行在最佳安全狀態(tài)下�����。(四)系統(tǒng)管理人員要定期對網(wǎng)絡設備進行安全檢查(建議每周一次),并出具書面檢查報告�����。
四����、服務器系統(tǒng)安全管理
企業(yè)信息軟件應用系統(tǒng)的軟件實現(xiàn)都要依托服務器設備來實現(xiàn)。系統(tǒng)安全是指安裝在服務器上的操作系統(tǒng)軟件��、防病毒軟件和防火墻軟件的安全��。
(一)根據(jù)應用軟件系統(tǒng)的需求和服務器硬件架構選擇安裝合適的操作系統(tǒng)�,服務器操作系統(tǒng)軟件應當定期更新操作系統(tǒng)的安全升級補丁。(二)服務器應當安裝防病毒軟件��,系統(tǒng)管理人員要定期更新防病毒軟件更新補丁和病毒特征庫�。系統(tǒng)管理人員要為防病毒軟件定制自動病毒掃描策略,定期檢查策略的執(zhí)行情況���。(三)服務器應當安裝防火墻軟件����,系統(tǒng)管理人員要定期更新防火墻軟件更新補丁���。系統(tǒng)管理人員要為防火墻軟件配置出入操作系統(tǒng)的防火墻安全防護策略�����,阻止可疑的不安全防問�。
五、應用系統(tǒng)安全管理
(一)對數(shù)據(jù)庫用戶進行分類別管理�,一類是數(shù)據(jù)庫查詢用戶,一類是數(shù)據(jù)庫更改用戶���。數(shù)據(jù)庫更改用戶權限應通過DBA管理員監(jiān)時分配,每次操作后由DBA回收用戶權限�,下次需要修改數(shù)據(jù),向DBA申請權限�。(二)禁止任何操作人員手工直接調(diào)整數(shù)據(jù)庫業(yè)務數(shù)據(jù)。(三)系統(tǒng)管理人員應該為數(shù)據(jù)庫系統(tǒng)制定備份策略��,選擇在數(shù)據(jù)庫負荷比較空閑的時間執(zhí)行備份�。(四)應用系統(tǒng)服務器安裝了企業(yè)信息軟件程序,是應用系統(tǒng)的業(yè)務處理平臺��,是用戶讀取和寫入數(shù)據(jù)的橋梁�。應用服務器密碼要由專人負責持有,不得轉讓他人�,密碼要符合復雜性要求且定期修改��。
六�、系統(tǒng)數(shù)據(jù)備份管理
(一)系統(tǒng)管理人員要制定針對數(shù)據(jù)庫��、前置機服務平臺�、應用服務平臺的詳盡的備份策略。備份策略中應包含文件系統(tǒng)備份�,數(shù)據(jù)庫系統(tǒng)在線和離線數(shù)據(jù)備份、日志備份���。應根據(jù)應用系統(tǒng)數(shù)據(jù)的重要程度和應用系統(tǒng)的工作負荷靈活制定數(shù)據(jù)備份的方式和執(zhí)行頻率���。(二)系統(tǒng)管理員應定期檢查備份策略執(zhí)行日志,檢查備份執(zhí)行情況���。(三)所有備份數(shù)據(jù)的介質(zhì)集中保存在異地由專人保管�。每次備份介質(zhì)的交接要填寫交接記錄表��。
七��、故障處理流程
在企業(yè)信息軟件應用系統(tǒng)運行過程中��,有可能會出現(xiàn)各種故障�����,根據(jù)故障的嚴重程度可以進行分類。
一類為一般性故障�,該類故障主要是指應用系統(tǒng)中部分設備出現(xiàn)故障不能提供服務、網(wǎng)絡訪問緩慢或暫時中斷等����,該類故障不會引起系統(tǒng)數(shù)據(jù)丟失,不會造成全部用戶長時間不能訪問應用系統(tǒng)�����,處理時間相對較短���;另一類為災難性故障,該類故障主要是指系統(tǒng)因極端原因造成了系統(tǒng)宕機�����、數(shù)據(jù)丟失����、設備損壞等嚴重事故,該類故障會造成全部用戶長時間不能訪問應用系統(tǒng)���、數(shù)據(jù)可能會丟失�、處理時間相對較長。
第8篇
長期以來�,中國大多數(shù)企業(yè)的信息安全建設遵循“木桶理論”,但實踐證明��,在企業(yè)信息安全領域應用木桶理論仍存在一定缺陷��,很難實現(xiàn)“標本兼治”��。企業(yè)信息安全應從安全策略�����、安全管理體系���、安全技術體系和安全運維體系四個方面建設一個完善的信息安全體系對企業(yè)的信息資源提供全方位的安全防護���。整個安全體系以安全策略為核心,管理�、技術、運維三者有機結合����,又相互支撐��。三者之間的關系為“根據(jù)管理體系中的策略�,由相關組織或人員���,利用技術體系作為工具和手段����,進行操作來維持運行體系”���。在建立信息安全體系的過程中���,可采用ISO27001:2005所述的“過程方法”,即將“規(guī)劃(Plan)-實施(Do)-檢查(Check)-處置(Act)”(PDCA)四個步驟�。
2安全策略
信息安全策略研究就是依據(jù)國家信息安全的方針政策、法律法規(guī)和工作要求��,結合企業(yè)實際情況和管理要求�,制訂企業(yè)信息安全防護的建設方針和基本要求����,對信息安全管理體系、技術體系和運維體系中的各種安全控制措施和機制的部署提出目標和原則�����,是信息化“建、管����、用”各項工作和各個環(huán)節(jié)必須遵守的安全規(guī)則,也是針對每個系統(tǒng)和設備制訂分項安全策略的依據(jù)�。
3安全管理
信息安全管理可參照信息安全管理模型,按照先進的信息安全管理標準ISO17799標準建立組織完整的安全管理體系并實施與保持�,達到動態(tài)的、系統(tǒng)的�����、全員參與����、制度化的、以預防為主的信息安全管理方式����。管理體系架構可分為四層,最高層為企業(yè)信息安全總體策略����,為下面的各項分策略和具體的規(guī)章制度提供指導��。第二層為企業(yè)信息安全組織體系�,作用在于指導實施安全體系��,制定安全的相關標準和方針��,監(jiān)管安全事件等��。組織體系須設立專門的管理機構��,配備相應的安全管理人員��,明確主管領導���,落實部門責任��,各盡其職�。第三層為根據(jù)總策略�,對信息安全涉及的各方面制定有針對性的分項策略,為安全的具體實施提供管理和技術上的指導��。第四層為具體的安全管理制度�。
4安全技術
