引论:我们为您整理了13篇保障信息安全的措施范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
1计算机信息安全技术的相应对策
要使得计算机的信息得到安全的保障,就要采用安全性能高的系统,并对数据加密,加密技术要完善。可以通过隐藏、水印数字等手段将比较重要的文件与资料隐藏到一般的文件中,然后再通过信息的传递,这样可以提高信息的保密性。在电脑上安装杀毒软件和防火墙是很必要的,在主机上安装杀毒软件,能对定期的病毒入侵进行扫描检测,及时地补漏洞,主动地杀死病毒,这也对文件、资料等其他可能出现安全隐患的东西进行监测,发现异常情况时就可以直接处理。使用电脑时,要使用安全的路由器,采用安全性能高的密码算法的路由器,可以采用密码算法和加解密专用芯片的路由器。
篇2
一、内容与表现
(1)内容。软件漏洞、安全缺陷、恶意攻击与结构隐患等典型网络威胁;访问控制、数据完整性、保密与认证等安全服务机制;ESP与AH等IPsec网络层协议、SSL安全套接口层、PGP加密、电子交易安全SET应用层协议等网络安全协议;安全产品种类,具有特定安全的生产生制作而成的性能产品,如网络流量分析产品、安全网关、SVN、扫描器、VPN、防火墙、防毒软件、密码机、入侵检测系统等解决方案。
(2)表现。黑客行为,根据系统脆弱性(缺口)与网络用户失误(误入非法网站)等机会,对特定的目标以侵占或攻击等拒绝服务行为;恶意传播有害信息,有害言论的广泛传播,对社会舆论进行影响或控制,如暴力言论、民族分裂言论等;信息系统脆弱性,这主要是因为系统本身具有特定隐藏的安全风险被无意激活,系统则会出现崩溃;泛滥的垃圾邮件,以广播式传播,干扰用户网络活动;病毒与蠕虫的扩散,攻击目标不明确,但操作系统特定,攻击一旦生成控制较为困难。
二、保障措施
(1)控制体系。通信协议堆栈是网络信息传输完成的主体,分为物理层、链路层、网络层、传输层与应用层等通信协议。网络通信以通信协议分层为保障,对网络通信的安全信息传输有效,信息传输可实现可用性、完整性与机密性。在分析安全控制需要后,可设计相应的控制体系,见下表格。应用层对可用性负责,传输层、链路层、网络层与应用层对实体完整性与机密性负责。在需求的前提下实现各层的访问控制。网络层主要确认信息来源是否真实,应用层则鉴别用户与用户的身份,传输层则鉴别端到端身份,链路层或网络层鉴别点到点身份。各层安全协议在安全需求前提下可保障数据机密性。加密细颗粒度数据主要在应用层实现,加密对象有不同数据单元或字段、敏感数据字段等。加密端到端的数据则可在传输层实现,加密算法的强度根据服务差异做调整。
信息安全的控制体系表格如表1所示。
加密点到点数据由网络层完成,加密链路数据由链路层完成,加密物理数据包由物理层完成。可见,靠下的加密层,会出现更多的数据字段保护需要,信息暴露减少,安全强度会提升,但灵活性与控制粒度会变坏,网络范围将减少。结合集中控制与分层控制是通信安全控制的模式,在各通信协议中,分层控制配合密切,满足通信链路、通信实体安全需求,信息传输可用、完整与保密得到保护。
(2)加密量子密码信息。保护自我信息是网络世界中避免篡改或窃取的重要方式。量子力学与密码学的结合诞生了量子密码,加密信息与解密信息都是在量子状态下进行,安全性的保证在于神奇的量子性质。Bell、海森堡测不准、非正交的两个量子态性质原理是主要的量子密码技术。以质子极化可编排量子密码,垂直、水平、对角线各一组为为计划在质子方式。量子密匙的传递需要光子的偏振,光子指向差异由0与1数字代表。
三、结语
信息安全、用户安全、系统安全、访问控制安全、管理安全、传输安全与物理安全是网络安全的完整系统结构。保证网络通信的安全,可在密码技术、访问控制技术、身份认证技术、检测系统漏洞技术等帮助下,对服务协议功能不断的增强提高。实现无论是框架还是填充都能有安全的链路,让网络通信的信息传输、存储与利用都在掌控之中。
参 考 文 献
篇3
目前,计算机网络技术的应用日趋广泛,但网络信息安全还存在很多问题,网络安全工作明显滞后于网络建设。网络安全问题容易造成信息泄露等问题,造成了信息安全的问题,严重的影响了各方面的发展和安全,这就需要从多方面综合研究信息安全问题,不断研发解决措施,真正实现计算机网络的安全有效的应用。
1 我国信息安全技术中存在的问题
1.1信息安全制度上 目前来说我国颁布了一些关于信息安全的法律法规以及出台了一些相关政府文件,例如,《网络信息安全不同等级保护措施》、《国家安全法》、《互联网络信息电子签名法》等。这些法律条例对于计算机网络的应用以及安全有一定的约束和保护,但是从全方面来看,很多条例知识针对网络信息内容进行了规范,整体上来说较为分散,没有一个统一的概述和规划,国家出台了一些规划措施,但是由于互联网安全问题的不断发展,时代的变化造成规划内容并不够明确,这些问题给网络信息安全技术带来了一定的隐患。
1.2 信息安全技术上
1.2.1 我国信息化建设发展速度很快,但是由于发展较晚,发展时间较短,这就造成我国的信息化建设缺乏自主研发的计算机网络软硬件的信息技术,很多软件都依赖国外的进口,这就造成网络安全的巨大隐患和脆弱状态。
1.2.2 在信息网络的应用中长期存在着病毒感染的隐患,虽然网络技术也在不断的发展,但是病毒也在不断改善,现代病毒能够通过多种突进进行传播和蔓延,例如,文件、网页、邮件等,这些病毒具有自启功能,能够直接潜入核心系统和内存,造成计算机网络数据传输出现问题,严重的甚至出现系统瘫痪。
1.2.3 在网络安全工作中,信息在网络中的传输具有可靠性低等特点,这就容易造成信息在网络系统易被破解和搜索。
1.2.4 网络中没有进行保护措施的电脑很容易受到潜在的威胁,威胁有很多方式,来自于网络的内部和外部等,木马病毒的入侵、硬盘数据被修改等都容易造成网络安全的问题。
1.3 信息安全意识上 在网络技术的不断发展中,我们更多注重的是网络基础设施的建设,但是相关的管理和安全工作却没有跟上,对于网络安全的投资和重视都严重不够,一旦安全上出现了隐患或者问题没有科学有效的措施进行及时的补救,甚至需要采取关闭网络等方式解决,造成了问题的严重化而不能真正有效的解决,在整个网络运行过程中,缺乏行之有效的安全检查和应对保护制度。
2 我国信息安全保障措施
2.1 制度上完善 为了保证网络信息安全发展就需要制定相关的政策,保证每个行为都有据可依有法可循,由于网络信息发展更新较快,这就需要对规范要求也及时跟新,保证制度上的完善,为网络信息安全技术提供法律基础。
2.2 技术上提高
2.2.1 数据加密技术。目前来说数据操作系统安全等级分为D1,Cl,C2,B1,B2, B3,A级,安全等级由低到高。在安全等级的应用上,使用C2级操作系统时要尽量使用配套相关级别,对于极端重要的系统要使用B级或者A级的保护。
2.2.2 防火墙和防病毒软件。防火墙和防病毒软件是常用的一种安全防护措施,能够对病毒实时进行扫描和检测,在清毒过程中由被动转为主动,对文件、内存以及网页等进行实时监控手段,一旦发现异常及时进行处理,防火墙则是防病毒软件和硬件的共同作用,利用防火墙本身内外网之间的安全网关对数据进行有效的过滤和筛选,控制其是否能够进行转发,另外防火墙还能够对信息的流向进行控制,提供网络使用状况和流量的审计、隐藏内部IP地址及网络结构的细节。它还可以帮助系统进行有效的网络安全隔离,通过安全过滤规则严格控制外网用户非法访问,并只打开必须的服务,防范外部的拒绝服务攻击。
2.2.3 使用安全路由器。安全路由器的使用能对单位内外部网络的互联、流量以及信息安全进行有效的安全维护,建设虚拟专用网是在区域网中将若干个区域网络实体利用隧道技术连接成各虚拟的独立网络,网络中的数据利用加/解密算法进行加密封装后,通过虚拟的公网隧道在各网络实体间传输,从而防止未授权用户窃取、篡改信息。
2.2.4 安装入侵检测系统。在安全防御体系中,入侵检测能力是一项重要的衡量因素,入侵检测系统包括入侵检测的软件和硬件,入侵检测系统能够弥补网络防火墙的静态防御漏洞,能够对内部攻击、外物攻击以及误操作等进行实时的防护和拦截,一旦计算机网络出现安全问题,入侵系统能够及时进行处理和完善,消除威胁。并且一种新型的网络诱骗系统能够对入侵者进行诱骗,通过构建一个环境真实的模拟网络,诱骗入侵者进行攻击,一旦攻击实施就能及时进行定位和控制,从而保护实际运行网络系统的安全,同时在虚拟网络中还能够获取入侵者的信息,从而为入侵行为提供证据,实现对入侵行为的打击。
2.3 意识上重视 首先对于思想的强化和加强是安全管理工作的基础,只有人的思想得到了充分的重视才能够对网络安全技术有所提高,参与人员必须熟悉相关规范要求,增强保密意识,真正的实现保密安全环境的优化。制度上要严格控制,设立专门的安全管理机构,实现专人专责,从而保证安全管理的问题。最后在这个信息化的时代,人才是重要的生产力,我们必须重视网络信息安全的人才培养,保障网络人员的高技术高素质,实现网络信息技术的安全。
3 结论
综上所述,信息安全对于一个国家的社会经济发展以及文化安全等方面都十分重要。这就需要我们充分重视信息安全问题,提高信息安全技术,针对不同的问题相应解决,实现我国信息安全制度的顺利运行。
参考文献:
篇4
审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。
一、审计工作的现状及存在的问题
随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。
(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向的作用。
(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。
二、信息化审计体系的健全
当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。
信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。 转贴于 三、主机系统安全审计
信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。
主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。
四、待解决的若干问题
计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。
保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。
防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。VPN可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防DDos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。
从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。
参考文献:
篇5
20世纪90年代以来,信息技术不断创新,信息产业持续发展,信息网络广泛普及,特别是原卫生部《卫生信息化发展规划(2011~2015年)》之后,明确了卫生信息化是深化医药卫生体制改革的重要内容。那么作为整个卫生信息化体系的“网底”的社区卫生服务中心,其重要性不言而喻。随着卫生信息化的建设不断扩展和深入,依托于区域卫生信息中心的各类应用系统不断上线推广应用。网络与数据安全已逐步成为各项卫生信息工作开展的重要基础依托。因此社区卫生服务中心作为区域卫生信息中心的重要结点。信息安全管理就显得尤为重要。
2 什么是信息安全管理
“三分技术,七分管理”是信息安全保障工作中经常提到的。可见,信息安全管理是信息安全保障的至关重要的组成部分。信息安全管理(Information Security Management)指组织中为了完成信息安全目标,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动。作为组织完成的管理体系中的一个重要环节,它构成了信息安全具有能动性的部分,是指导和控制组织相互协调完成关于信息安全风险的活动,其对象就是包括人员在内的各类信息相关资产。在社区卫生服务中心由于信息系统应用较为广泛,基本包含了医疗、护理、医技、行政等所有科室及其人员。
长期以来,社区卫生服务中心在信息安全建设方面,存在重技术轻管理、重产品功能轻安全管理、缺乏整体性信息安全体系考虑等各方面的问题。区域卫生信息中心采用集中管理的信息安全技术及产品的应用,一定程度上可以来解决社区卫生服务中心在网络传输时的信息安全问题。但是仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。近年来,由于管理不善、操作失误等原因导致的卫生信息及病患基本信息泄露的安全事件数量不断攀升,更加剧了社区卫生服务中心需要信息安全管理的迫切性。
3 社区卫生服务中心信息安全管理作用
社区卫生服务中心信息安全管理的作用体现任以下几个方面。
3.1信息安全管理是社区卫生服务中心组织整体管理的重要的、固有的组织部分,是组织实现中心业务目标的重要保障。在信息时代的今天,信息安全威胁已经成为社区卫生服务中心等医疗机构业务正常运营和持续发展的最大威胁。如在社区卫生服务中心发生的费用结算85%以上通过医保信息系统来进行,所有的医生工作站都依托中心服务器来提供数据进行操作,医技部门也通过信息系统获取病人信息和传送结果。一旦信息系统发生故障对于社区卫生服务中心来说是灾难性的。因此中心需要信息安全管理,有其必然性。
3.2信息安全管理是信息安全技术的融合剂,是各项技术措施能够发挥作用的重要保障。安全技术是信息安全控制的重要手段,许多信息系统的安全性保障都要依靠技术手段来实现,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理程序的支持,否则,安全技术职能趋于僵化和失败。如果说安全技术是信息安全的构筑材料,那么信息安全管理就是融合剂和催化剂,良好的管理可以变废为宝,使现有的各项技术相互配合发挥应有的作用,而糟糕的管理会使技术措施变得毫无用处。实现信息安全,技术和产品是基础,管理才是关键。在信息安全保障工作中必须管理与技术并重,进行综合防范,才能有效保障安全,这也是实现信息安全目标的必由之路
3.3信息安全管理是预防、阻止或减少信息安全事件发生的重要保障。早期人们对于信息安全的认识主要侧重在技术措施的开发和利用上,这种技术主导论的思路能够解决信息安全的一部分问题,但却解决不了根本,据权威机构统计表明,信息安全问题大约70%以上是由管理方面原因造成的,大多数信息安全事件的发生,与其说是技术上的原因,不如说是管理不善造成的。因此解决信息安全问题、防止发生信息安全事件不应仅从技术方面着手,同时更应加强信息安全的管理工作。
信息安全涉及的范畴非常广,信息安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程。因此,要求社区卫生服务中心的相关人员正确理解信息安全、理解信息安全管理的关键作用,以更好地开展信息安全管理工作。强调信息安全管理的作用,并不是要削弱信息安全技术的作用;开展信息安全管理工作,要处理好管理和技术的关系,要坚持管理与技术并重的原则,这也是信息安全保障工作的主要原则之一。
4 社区卫生服务中心信息安全管理控制措施
在我国对于信息安全等同采用IS0 27002:2005,命名为《信息技术安全技术信息安全管理实用规则》(GB/T 22081-2008)。信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件和硬件功能。可见对于社区卫生服务中心的信息安全来说,安全控制措施是必要且十分重要的。其中比较重要的如下:
4.1安全方针 社区卫生服务中心的信息安全方针控制目标,是指中心的信息安全方针能够依据业务的要求和相关法律法规提供管理指导并支持信息安全。社区卫生服务中心信息安全方针文件的内容应包含中心管理者的管理承诺、组织管理信息安全的方法、中心信息安全整体目标和范围的定义、中心管理者意图的声明、控制目标和控制措施的框架、重要安全策略、原则、标准和符合性要求说明、中心信息安全管理的一般和特定职责的定义、支持方针的文件的引用等。
4.2信息安全组织 信息安全组织一般分为内部组织和外部组织。社区卫生服务中心内部组织的信息安全控制目标是指在中心内管理信息安全。组织的安全建立在每一位人员不同责任分工的划分,不同的责任会有不同的工作指导原则。其中应当包括信息安全的管理承诺、信息安全协调、信息安全职责的分配、信息处理的授权、保密协议、信息安全的独立评审等。社区卫生服务中心外部组织的信息安全控制目标是保持中心被外部各方访问、处理、管理或与外部进行通信的信息和信息处理的安全。主要包括中心与系统外单位信息通信相关风险的识别、处理相关的安全问题和处理第三方协议中的安全问题等。
4.3人力资源安全 人员在中心的信息安全管理中是一个最重要的因素,有资料表明,70%的安全问题是来自人员管理的疏漏,为了对人员有一个有效的管理,需要从任用之前、任用中、任用的终止或变更三项控制目标进行管理。
4.3.1任用之前控制是指社区卫生服务中心任用人员之前为了确保人力资源的安全,需考虑到角色是否适合相应岗位,以降低设施被窃、信息泄露和误用的风险,这一目标的实现需通过角色和职责、审查、任用条款和条件三项控制措施的落实来保障。
4.3.2任用中社区卫生服务中心的信息安全控制目标就是确保所有的员工、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。
4.3.3社区卫生服务中心发生任用的终止或变更时,应确保信息的安全不外泄,确保员工、承包方人员和第三方人员以一个规范的方式退出或改变其任用关系。可以通过终止职责、资产的归还、撤销访问权限等控制措施来实现。
4.4物理和环境安全 社区卫生服务中心的物理和环境安全可以从安全区域和设备安全来入手管理。定义安全区域是为了防止对中心场所和信息的未授权物理访问、损坏和干扰。可以通过设置物理安全边界、物理入口控制、办公室房间和设施的安全保护、外部和环境的安全防护、在安全区域工作、公共访问和交接区安全。设备安全是指防止由于资产丢失、损坏、失窃而危及社区卫生服务中心的资产安全以及信息安全。中心可通过设备安置和保护、支持性设施、布缆安全、设备维护、场所外的设备安全、设备的安全处置和再利用,资产的移动等措施来进行保障。
4.5通信和操作管理 社区卫生服务中心的通信和操作管理一般可从操作规程和职责、第三方服务交付管理、系统规划和验收、防范恶意和移动代码、备份、网络安全管理、介质处置、信息的交换、电子商务服务、监视等方面入手。
4.6访问控制 对于社区卫生服务中心来说,访问控制可从访问控制的业务要求、用户访问管理、用户职责、网络访问控制、操作系统访问控制、应用和信息访问控制、移动计算和远程工作等控制目标来入手。
4.7信息安全事件管理 社区卫生服务中心的信息安全事件管理可以从报告信息安全事态和弱点、信息安全事件和改进的管理两个控制目标入手进行管理。
4.7.1报告信息安全事态和弱点这项控制目标旨在确保中心与信息系统有关的信息安全事态和弱点能够以某种方式传达,以便及时采取纠正措施。该目标下有报告信息安全事态和报告安全弱点这两项控制措施来保障这一目标的实现。①报告信息安全事态控制措施,是指信息安全事态应该尽可能快地通过适当的管理渠道进行报告。实施过程中应建立正式的信息安全事态报告程序,以及在收到信息安全事态报告后采取措施的事件响应和上报程序。②报告安全弱点控制措施,是指中心应要求信息系统和服务的所有职员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。报告机制应尽可能容易、易理解和方便可用。应告知他们在任何情况下,都不应试图去证明被怀疑的弱点。
4.7.2信息安全事件和改进的管理。社区卫生服务中心信息安全事件和改进的管理这一控制目标旨在确保采用一致和有效的方法对信息安全事件进行管理。中心可以用职责和程序的控制措施、对信息安全事件的总结、证据的收集三项控制措施来保障这一目标的实现。①职责和程序的控制措施。它是指中心应当建立管理职责和程序,以确保能对信息安全事件做出快速、有效和有序的响应。该项措施实施时除了对中心的信息安全事态和弱点进行报告外,还应利用对系统、报警和脆弱性的监视来检测中心信息安全事件。遵循严格的信息安全事件管理程序的前提是中心需建立规程以处理不同类型的信息安全事件,如恶意代码、拒绝服务、信息系统故障和服务丢失、违反保密性和完整性、信息系统误用等。中心除了考虑正常的应急计划还要考虑事件原因的分析和确定、遏制事件影响扩大的策略、向合适的机构报告所采取的措施等。②中心对信息安全事件的总结控制措施,是指社区卫生服务中心应有一套机制量化和监视信息安全事件的类型、数量和代价。从信息安全事件评价中获取的信息应用来识别再发生的事件或高影响的事件。③证据的收集。证据的收集对于社区卫生服务中心来说,是指当中心的一个信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。过程有:为应对惩罚措施而收集和提交证据,应制定和遵循内部程序,为了获得被容许的证据,中心应确保其信息系统符合任何公布的标准或实用规则来产生被容许的证据:任何法律取证工作应仅在证据材料的拷贝上进行。
4.8业务连续性管理 对于社区卫生服务中心来说业务连续性管理是指防止中心业务中断,保证中心重要业务流程不受重大故障与灾难的影响。业务连续性管理过程中包含信息安全,该控制措施是指应为贯穿于组织的业务连续性开发和保持一个管理过程。解决中心的业务连续性所需的信息安全要求,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保他们的及时恢复。应包含中心的信息安全、业务连续性和风险评估、制定和实施包含信息安全的连续性计划、业务连续性计划框架、测试、维护和再评估业务连续性计划等内容。
5 社区卫生服务机构信息安全的展望
篇6
引言
在当前的错综复杂的信息环境中,信息随着信息环境多样化的发展,变得更加的丰富与多样。在信息的传播过程中,信息异化现象的越发明显,不仅给人们获取和利用信息带来了障碍。而且也进一步地影响了人们信息活动的安全。
“异化”(alienation)源于拉丁语alienation,有转让、疏远、脱离、差异和分离之意。所谓信息异化,是指人们创造的信息在生产、传播和利用等活动过程中,因受到各种因素的干扰,而导致信息丧失原有的内涵,甚至反客为主演变成外在的支配、统治和控制人的异己力量。简单地说,信息异化就是作为主体的人与作为客体的信息之间产生关系的颠倒,从而使人丢失了自身的主体性。由此可以看出,信息异化扭曲了信息的本质,直接影响了信息的合理利用,而如何客观的认识信息异化环境,准确处理信息异化问题,是我们必须解决的核心问题。
信息安全是信息异化所涉及到的最为敏感且重要的问题之一。关于信息异化在信息安全方面的研究,其采用的处理手段主要集中在信息导航、信息过滤控制以及信息安全保密角度三个方面。信息导航作为展示信息资源内容与结构的基本手段,以有序化的方式体现无序化的信息,为用户提供方便快捷的信息指引;网络信息过滤作为筛选信息、满足用户需求的有效方法,通过运用一定的标准和工具,从大量的动态网络信息流中根据用户的信息需求选取相关的信息或剔除不相关信息;信息安全保密控制的核心在于融合管理、技术、执法几种手段综合加以治理,通过内部网的安全保密技术以及内部网与外部网的防火墙技术隔离技术确保内部网的安全,同时细化电子文件密集,完善身份验证、存取控制、数据完整性、数据机密性、防火墙技术、安全协议等手段,实现信息安全技术的应用。
现阶段对于信息异化中信息安全的研究大多都处于强针对性条件下的研究现状,单一的目的性导致了信息异化影响无法完全消失,信息污染无法被彻底地清除,信息安全依旧得不到完善的保障。因此,本文旨在参照目前信息异化的现状处理的不足,在分析现有的安全保障系统缺陷的条件下,提出一套系统性的安全保障模式。
一、现有的企业信息安全保障系统
目前,国内外与信息异化环境下的信息安全保障相关的系统结构主要为OPSEC安全保障策略和网络信息创新平台。
(一)安全保障策略(OPSEC)系统
OPSEC安全保障策略(Operation Seeurity),是美国国家安全局依照企业反竞争情报的理念设计的一套以分析信息的价值人手,针对信息的价值来确定所要采取的保护策略的安全保障系统。OPSEC的运行机制是通过鉴别和分析竞争对手想要获得的决定竞争成败的关键信息,确定关键信息的危害程度,采取措施进行补救减少威胁,同时对自身信息系统的所有过程进行检验和分析。找到直接危害信息安全的弱点并采取弥补措施,通过对自身弱点的分析,找到弥补措施的平衡点,并最终综合上述所有的环节进行研究,制定出综合应对策略嘲。
OPSEC在通过运用过程中通过全面分析信息找出存在的漏洞,通过分析这些漏洞是否值得保护而进行的筛选信息保护。OPSEC的应用偏重于针对一定信息的异化处理和安全保障,有利于在低投入的条件下从根本上清除相关的信息污染,但降低了针对信息自身的多变性和时效性的异化分析。
(二)网络信息创新平台模式
网络信息创新平台即建立在技术进步基础之上,利用信息科学的基本原理和方法实现人类信息处理扩展的技术模式。网络创新平台的着重点在于虚实与创新有机结合的信息技术模式,从提高信息技术的综合水平上加强安全保密措施。虚实与创新有机结合的信息技术模式,在于针对现代信息技术发展造成信息生产者创新能力的丢失以及虚假信息扩散的现状,发展出的一种将虚实和创新有机结合的信息技术模式,通过信息的时效性、开放性等特征,将各种现实信息紧密联系,实现不同媒介信息的融合,提升信息的创新价值,在信息生产的阶段,由于信息技术的促使信息量逐步提升使得信息在急剧增加的同时质量下降,而提高信息技术的信息加工传递的速率以及信息的辨别处理能力。当今的技术漏洞使信息安全受到了威胁,成为威胁信息安全的隐患。信息系统安全保密技术是防止信息污染发生的一项关键性技术系统,保障信息活动逐步规范化。
网络信息创新平台在理论上建立起了针对信息异化环境的信息安全保障系统,通过从信息的生产源人手,进一步体现信息的本质并兼顾自身的安全保障,对信息的处理和安全保障更加规范化。但目前信息安全的发展缺乏在信息安全应用上的创新研究,研究与应用发展不平衡性,没有覆盖信息安全的主要方向。
二、企业信息安全保障系统构建与分析
(一)核心目标
信息安全保障系统是指在信息环境下由信息安全的各个组成部分相互联系且相辅相成所建立的总体结构。在信息异化的环境下,信息污染将成为信息安全的首要威胁之一,因此对于信息异化的处理将成为信息安全保障的首要工作。
信息安全保障系统能否具有可行性的关键,在于系统自身能否解决异化环境中信息污染的处理问题,以及能否适应当前所面对的各种客观的信息安全保障环境和日益加剧的安全系统漏洞。
(二)企业信息安全保障系统结构构建
信息异化环境下的企业信息安全保障系统(如图1所示),该系统的关键在于将异化后的信息通过信息清理模块的初步处理,使信息的核心价值得以体现,再通过安全保障模块的核心进行分析处理与安全保护模块的信息加密,防止信息受到二次异化,从而使得信息价值得到充分的利用。
(三)企业信息安全保障系统的运行机制
信息异化环境下企业信息安全保障系统的运行机制(如图2所示):将信息异化环境中被异化的信息提取并选择与自身安全有关联的信息进行关键词挖掘,通过对异化信息中的核心词汇进行提取用以找到合适的信息源,同时对同信息源或同类关键词汇进行合成从而形成关键信息并进行分析和制定安全保障策略,最后通过设置的保密措施来对安全保障策略进行实施和成效反馈。因此,该信息安全保障系统中应包含信息清理模块、安全保障策略模块以及自身的安全保护模块三个部分。
(四)企业信息安全保障系统功能分析
1 信息清理模块
信息清理模块主要用以对信息异化环境中受到异化的信息进行初处理,其具体的实施功能为信息源选取、关键词挖掘和信息集成。
(1)信息源选取。对信息异化环境中的信息进行过滤,选取与目前对自身安全有关的信息,并确认信息的信息源。(2)关键词挖掘。通过对与自身安全相关联的信息进行语义挖掘,判断并找出信息中的核心词汇。(3)信息集成。明确信息的信息源,并将其与被挖掘出来的信息关键词进行关联分析,同时通过将信息源所发出的所有与自身目前相关的信息与挖掘LIJ的信息关键词进行匹配,找到合适的信息体进行合成。
2 安全保障模块
安全保障模块是以信息分析,策略制定和实施以及成效反馈为主要步骤来进行的信息安全保障活动。
(1)信息分析。将已经合成的信息进行分析,发现其对自身信息安全产生的威胁,并找到自身信息安全存在的漏洞。(2)策略制定。对信息威胁和发现的信息漏洞进行综合研究,制定}H相关补救策略,同时进一步加强总体性的信息安全保障。(3)策略实施。针对所制定的策略细节进行加密保护,再将加密后的策略信息进行实施和传递存储。(4)成效反馈。基于策略实施后的成效进行反馈研究,并将结果进行加密后返送至信息分析功能板块,通过对反馈的成效分析,查漏补缺,进一步制定和完善信息安全保障策略。
3 安全保护模块
安全保护模块的主要功能是保密措施,其运行机制在于对安全保障模块中保障措施的实施和反馈进行的加密保护,并通过一系列实践活动进一步对策略的实施给予保障。
三、实验分析与验证
(一)信息清理
目前从网络销售平台中,将某手机品牌制造企业生产的E型手机选取三条相关信息:
信息1:本品牌产品本月综合关注排行有所提升;
信息2:此E型手机的总销量为近两百四十台;
信息3:此E型手机本月销量上升一个百分点。
(二)信息挖掘与集成
现分别将以上三条信息的关键词进行挖掘与集成,即如下表所示:
(三)安全保障
根据集成信息进行分析,可以得出本产品具有一定的市场潜力,在品牌效应促使下产品销量也正在逐步提升,因此,保障品牌的可信度以及产品的好评率是取得客户信任的关键一环。针对此现象,制定出进一步打造品牌效应,加强广告宣传力度以及实行产品促销活动,争取更广泛的客户群体的提升策略。
在策略进行的同时,开展有偿回访,积极深入了解客户的内心需求,并针对客户的需求进一步完善产品的功能,并在产品平台的基础上研发功能更加全面的软件,进行升级下载。
(四)安全保护
在策略制定的过程中,为了获取准确的客户信息。需要在客户回访中,深入了解客户购机的背景以及用途,同时进行多层次的交流以及实行多次的效应评估和完善评价。在品牌宣传的过程中实施相关信息的及时反馈,并在促销活动中体现品牌诚信以及公信度,从而进一步保障策略准确的实施和虚假异化信息的有效防范。
四、结论
信息是人及其活动中不可缺少的要素之一。在社会信息环境中,信息异化会促使人们表现出对自己创造的信息环境的不适感。针对信息异化现象的控制,需遵循信息生产、传播和利用的利他法则。因此,信息行为也必须像其他行为一样受道德与法律的双重规范的约束。对于信息异化的控制,需努力寻找其根源,从多个角度进行控制研究,有效控制信息异化。
通过对于目前所提出的信息异化环境下的企业信息安全保障系统的阐述,我们可以从中发现系统性综合性的信息安全保障模式可以在信息异化的环境下,针对特定的信息进行相关异化分析,并在内部和外部环境下的信息综合评价进行安全保护。但作为系统性的运作模式,各模块由于其间特性的不同,从而导致的模块之间的衔接较为简单,因而形成了信息安全保护相对较低、对于个别综合性较大的异化信息所需进行的处理力度略显不够的状况。因此,进一步提升信息安全的防范指数,促进信息异化环境下的信息安全运作系统各模块间的衔接,下一步所需研究的核心问题。
参考文献:
[1]刘丹丹,孙瑞英,网络环境下信息异化的心理原因探析[J]图书馆学研究,2009,33(4)
[2]孙瑞英。信息异化问题的理性思考[J]情报科学,2007,25(3):340-344
[3]曾忠禄,情报制胜[M],北京:企业管理出版社,2000:281-283
[4]俞培宁,信息异化的成因及对策研究[J],图书馆学研究,2011(3):9-11
篇7
2增强信息安全保障体系的措施
2.1落实网络信息安全基础保障工作
由于网络环境的虚拟化、信息传输超高速化和区域无界化,网络信息安全保障工作具有一定的特殊性,其本质可以看作是实时性的安全预防、管理和应对。因此,不仅需要对国家现有的网络平台进行巩固,确保基本的信息管理设备和装置的合理应用和正常运行,还需要研制重点网络安全问题的应对机制。同时为了更好地开展信息安全保障工作,应加大网络安全的宣传力度,通过不同的途径和渠道让广大民众认识到信息安全保障工作的重要性和必要性,树立正确的网络安全意识,从而更好的遵守网络行为规范。还要打造一支网络安全意识强、安全管理能力高的专业化团队,为增强网络信息安全管理提供坚实的保障。除此之外,职能部门也应制定相应的安全管理计划方案,通过法律制度和标准,为信息安全管理工作的开展提供更好的政策依据。
2.2政府要加大对信息安全体系的构建力度
根据我国网络安全的重点问题,政府职能部门必须加强对信息安全的管控。可以采取试验试点的方式,对多种安全防治措施和方案进行探索和研究。在研发过程中可以从用户身份识别、信息来源追踪及用户对所接受消息的检测三个角度进行分析。譬如研发一套规范的数字证书验证体系,对网络用户的身份进行实名制认证,实现对用户信息和权限的系统化管理。这样,一旦发现问题,便可以立即采取有效的措施进行解决,从而创建一个安全的网络服务平台。
2.3构建健全的网络信息安全保障体系
在网络信息安全保障体系的构建过程中,除了做好基础保障工作,还应该不断地提高网络管理者的专业技能,完善网络体系的硬件和软件,让体系内的各个组成部分都拥有自身安全管理的机制。同时应明确网络环境中信息保护的根本目的,围绕信息安全的各个方面开展工作,提高和改善网络信息安全系统的监测能力、恢复能力、防御能力、反击能力、预警能力及应急能力。只有具备了以上六项能力才能做到运筹帷幄,对网络安全进行全面监控,对入侵行为进行有效的反击,对突发问题做出快速反应和及时处理,对数据信息进行合理的备份存储,使网络安全管理效率得到最大程度的提升。此外,还应制定一套系统自检测方案,对系统的安全性进行定时检测,对其中存在的漏洞问题进行处理,完成网络设备的自主检测和检测结果分析汇报。
篇8
计算机的信息安全保障要建立在完善的计算机安全防护系统之下,具体措施如下:
计算机信息安全技术的相应对策要使得计算机的信息得到安全的保障,就要采用安全性能高的系统,并对数据加密,加密技术要完善。可以通过隐藏、水印数字等手段将比较重要的文件与资料隐藏到一般的文件中,然后再通过信息的传递,这样可以提高信息的保密性。在电脑上安装杀毒软件和防火墙是很必要的,在主机上安装杀毒软件,能对定期的病毒入侵进行扫描检测,及时地补漏洞,主动地杀死病毒,这也对文件、资料等其他可能出现安全隐患的东西进行监测,发现异常情况时就可以直接处理。使用电脑时,要使用安全的路由器,采用安全性能高的密码算法的路由器,可以采用密码算法和加解密专用芯片的路由器。
计算机信息安全管理对策要想完善计算机信息安全管理系统,关键是要建立一套行之有效的管理制度,以及提出技术性的安全问题防范措施。具体来说,计算机信息安全管理对策,首先要制定一套有效的管理规范,为信息安全管理创造良好的制度环境。要明确管理人员的职责范围,确保管理人员各司其职,又能密切配合。对于管理难度较大的项目,建议实行多人共管的制度,由多个人员负责同一个安全问题的管理,注意保存重要的文件、定期检查存储于计算机中的重要资料,对不明的邮件和信息不随意打开和回复等等。对于较容易管理的项目,可以指派一个员工单独负责,该员工要严格履行自己的职责,同时注意与其他管理者的协作。计算机信息安全分为系统安全、资料安全和软件安全等,对于每一个信息安全领域,要指派专人进行管理,对于,造成信息丢失或被盗的员工予以批评或相应惩戒,以督促其他管理者认真履行职责。
篇9
企业档案以企业文件材料归档为原点。向前延伸,涉及企业文件材料形成的各个环节。加强前端控制和全程管理,不仅是企业文件管理者的职责,也是企业档案工作者的职责,以档案工作者的独特眼光、科学态度和严谨作风,加强企业文件材料形成过程的业务指导、监督、规范作业流程和建章立制,是―种可行而必要的方法;向后拓展,涉及企业档案信息安全管理的各个方面,规范制度,严格执行。制度至少包括:档案归档制度,档案保密制度,档案借阅利用制度,档案鉴定销毁制度,档案分类、密级及保管期限划分制度,各类档案管理规定。
2 建立一套重当前、谋深远的档案信息安全保障策略和技术方法
档案信息安全管理策略。在企业档案信息化系统建设的过程中,应当制定和落实重当前、谋深远的全程管理、风险管理、分级管理、重点管理的档案信息安全保障策略。
全程管理就是指对电子文件从形成就开始进行控制,并贯彻到电子文件形成、归档、流转、鉴定、整理、保管等工作始终。风险管理是指加强风险点分析与控制,把有害因素降低到最小程度和可控范围内。分级管理是指对信息内容作出主动公开、申请公开和不公开的分级划分,以便满足不同利用者的需求,又能确保企业知识产权、国家安全和个人隐私、商业秘密不被外泄。重点管理是指对于核心信息和信息采取特殊安全措施,确保无虞。
技术方法的研究和应用。当前要重点加强以下技术方法的研究和应用:数字加密技术,数字签名技术,数字水印技术,二维码技术,电子档案防扩散技术应用,备份与灾难恢复技术。
3 建立一套人防、物防、技防综合运用的档案信息安全措施
人防的重点是筑牢思想防线,落实档案信息安全的工作措施;物防的重点是要配备各种必要的防护设施、设备和物质保障;技防的重点是要加强研究和应用技术手段,在力所能及的条件下,用高端技术防范高端风险,防止信息外泄与扩散。综合运用“三防”机制,是全面提高企业档案信息安全的基本要求和可靠保障,一定要认真落实,从基础做起。
企业信息安全的主要指标
实体安全。包括纸质实体和电子载体。对电子档案载体要加强存放安全和技术检测,确保物理性能稳定和数字安全可靠。
存储安全。在企业档案信息化过程中,档案管理一般都使用“双套制”的模式,即纸质一套,电子一套。电子档案数据存储安全尤为重要。需要关注的焦点:一是抗病毒能力。在各种网络和计算机病毒层出不穷的环境下,怎样确保每天在系统中存取的电子档案数据不曾被病毒感染是个重要问题。加强抗病毒能力建设刻不容缓;二是数据加密能力。近年国外企业数据丢失案件频频发生。保证存储设备上的数据在丢失后不至于带来更大的灾害,需要加强存储系统加密能力建设,防止出现更大范围数据丢失现象发生;三是数据恢复能力。企业的数据存储系统复杂性决定了企业档案信息安全问题的复杂性。怎样在灾难性事故发生后将丢失的数据完好的恢复,也是考量企业档案信息存储安全的一项重要指标。
利用安全。利用是一个永恒的主题,也是安全工作的目标。档案利用环节应重点关心如下的问题:文档加密,权限控管,时间划允记录追踪。在企业档案信息化的过程中,可以基于上述的指标,构建一套文档安全防扩散系统,确保档案利用安全。
传输安全。包括在线和离线两个方面。在线安全主要是信息安全;离线安全主要是载体安全。二者都要有安全可靠的控制措施和防范措施。
企业档案信息安全实践思路
篇10
电子档案是一种基于数字化技术所建立的一种信息管理平台,在档案管理工作中应用数字化的技术与平台,不仅可以提高信息数据的使用效率,还可以让档案管理本身更加安全、有效。因为档案开放利用的现象,许多档案的查询便利性得到提升,但是其安全保障也遭受了一定的影响。对此,探讨电子档案开放利用中信息安全保障存在的问题与对策具备显著意义。
1电子档案开放利用中信息安全保障存在的问题
1.1电子档案信息安全问题
网络安全是电子档案信息安全的基本前提和保障,基于网络的电子档案信息安全管理的要求前提必然是网络本身的安全性,电子档案的信息安全可以从以下三个方面实现直接体现:①电子档案信息的长效性,数字档案对于网络的依赖性较为明显,如果网络发生故障,则电子档案内的信息也会随之遭受影响,想要确保电子档案信息的长效性,就务必提升网络的维护力度以及安全程度[1];②电子档案的完整性。电子档案的信息主要是储存在网络当中,所以在遭受病毒和黑客攻击的情况下,会导致电子档案内的信息完整性遭受破坏,出现被篡改、删除的安全问题;③电子档案信息的真实性。电子档案在开放利用的过程中遭受篡改的可能性较高,因为任何的档案使用者都有可能按照自身的思维去改变和决定档案当中的信息内容,这也是开放性利用的环境下电子档案信息安全的主要问题。
1.2影响电子档案信息安全的主要因素
就当前网络环境而言,应当电子档案信息安全的主要因素主要有三个方面。①网络的安全性。网络本身的不安全性必然会导致电子档案内信息安全性遭受破坏和影响;②外部环境的安全性。例如电子档案的硬件设备在发生故障时,必然会导致电子档案的信息发生丢失、停运以及损坏等可能性;③电子档案信息的不及时性。电子档案信息仍然有较为明显的不及时性,在许多领域中档案的更新和修改速度有待提升。
2电子档案开放利用中信息安全保障改进对策
通过上述关于电子档案开放利用过程中信息安全保障所呈现的问题可以发现,想要真正提高信息安全程度,就需要在开放利用环境之下提高电子档案的管理质量,并从根本上着手,优化国家的信息网络安全性,构建网络的安全屏障[2]。例如采用以下几个方面的措施:①构建稳定的网络环境,提高网络本身的安全性,例如在网络当中构建各种安全管理技术,例如路由安全技术、访问控制技术、密码技术、安全管理技术、系统漏洞技术、病毒查杀技术以及防火墙技术等;②构建安全可靠的档案基础,尤其是提高计算机等硬件设备的防火防水防震动等能力,从而确保电子档案开放利用过程中信息的安全性;③改进电子档案管理理念,从根本上提高对档案管理的重视程度。意识是行动的导向,为了持续创新和完善电子档案管理利用发展平台的功能,确保档案管理可以推动社会发展,提高数字化档案管理意识成为必要措施。无论是在普通员工还是管理者中,都必须充分认识到档案管理的重要性,并构建行之有效的管理制度进行管理,尤其是明确电子安全信息管理的目标和方式,管理措施、管理内容以及管理要求等,明确每一个电子档案信息安全管理部门的职责以及任务,例如法律法规支撑、环境与设备安全支撑、人力资源支撑以及安全防护技术支撑等,促使电子档案安全管理逐渐成为信息安全保障的目标。
3总结
综上所述,电子档案开放利用在很大程度上可以推动档案发展,并且显著优化档案的储存效率、使用效率以及修改和共享效率,是档案管理必然的发展方向。但是,我国当前电子档案在信息安全管理层面仍然存在一些问题和不足,想要提升电子档案信息的安全性以及资源共享有效性,务必保障电子档案安全的管理重要性,并通过不断的优化和创新,提高信息安全保障效果,推动电子档案长远发展。
参考文献
[1]余建国.论电子档案开放利用中信息安全保障存在的问题与对策[J].信息化建设,2015,23(12):5001~5002.
篇11
1.1 大数据的主要特征分析
处在大数据时展背景下,大数据的特征体现也比较鲜明,首先在海量信息数据的特征方面就比较显著。在计算机的硬盘容量已经进行了升级,在容量上也大大的扩大了,在数据的规模上也不可同日而语。这就对信息技术的进一步发展有着重要的促进作用,这也是大数据时代的一个重要标志。再者是大数据的数据信息种类的多样化,多样化类型的传感器以及终端设备都是大数据信息数据的源头[1]。这样就形成了数据类型的多样化。
1.2 大数据涉及的相关内容分析
大数据发展下涉及到的内容是比较多的,在网络的安全问题上是大数据发展下的重要问题内容。大数据的发展为网络犯罪也提供了很大的便利,使得范围的模式发生了变化,并且在犯罪的水平上也比较高,这就对信息安全带来了很大的威胁。再有是涉及到的云数据,在云计算的应用下,也是面临着一些问题,使得在对数据的处理过程中会有着诸多不可测的风险。另外在个人设备管理的问题上,移动设备的应用广泛化,使得数据的存储和访问等都变得比较简单化,这也存在着信息安全的问题[2]。最后在涉及到的数据保密的内容层面也是需要急迫解决的。对于这些内容都要能够充分的重视。
2 大数据时代下信息安全问题和解决策略探究
2.1 大数据时代下信息安全问题分析
大数据时代背景下的信息安全问题也比较突出,主要体现在人们对大数据环境下的信息安全的意识没有得到强化,对信息的安全防范意识不足。网络的安全性问题在当前的社会发展中愈来愈严重,在一些社交平台或公共购物平台等,都可能对个人的信息造成泄漏,由于网络的开放性特征,也使得个人的信息安全得不到有效的保障。而当下的公众在信息安全的防范意识上还不是很强,这就使得信息安全问题发生的可能性就增大了。
再者,大数据环境下的信息已经成为高级可持续攻击载体。大数据自身的价值密度低的特征下,使得外界的环境影响比较敏感,容易受到黑客的攻击。而这些攻击的代码是处在大数据当中的,所以进行安全服务鉴别中就存在着很大的难度。这样就使得大数据信息成为了可持续攻击的一个载体,在这一方面的问题要能充分的重视,结合实际进行应对。
另外,大数据环境中的信息安全问题还体现在智能终端的威胁。移动智能终端在我国的使用数量不断的增长,这就使得智能终端的信息也比较多,在信息的安全性方面就存在着很大的隐患。智能终端一旦被破坏,就会使得信息丢失,而受到病毒的控制也会造成信息的安全性得不到有效保证[3]。
2.2 大数据时代下信息安全问题的解决策略
对于大数据时代背景下的信息安全问题的解决,要能从多方面进行考虑。首先在数据的结构优化措施的实施上要重视,这对信息安全保护有着重要作用发挥。由于大数据时代的数据信息比较复杂,在数量上也比较大,通过数据结构的优化和加密管理,就比较方便处理。能够在数据结构化基础上对入侵的数据就能实现智能化的辨别,在信息的安全系数上就得到了有效提升。
再者,大数据时代对信息安全的防范要进一步加强敏感数据的监管力度。大数据的海量信息的特征,使得在管理上存在着诸多难度,这就为黑客信息扫描检测漏洞提供了可能。故此政府方面要在大数据的监管力度上进行加强,在管理制度上结合实际进行有效完善,并要能够对移动设备的安全使用进行保障。从大数据的使用流程以及方法层面严格执行,这样才能保证对信息安全的保证。对大数据时代背景下的信息安全问题的解决,还要能从大数据平台建立方面得到加强。
另外,强化大数据信息安全技术的应用,不断的将安全保障技术进行优化。信息的安全性保障离不开技术的支持,要定期的对网络中的潜在漏洞实施扫描,在信息的安全防御层面进行有效加强。在大数据的技术研发方面要进行加强,将数据加密技术以及安全访问控制技术等得到有效应用,从整体上将信息安全的防范能力进行加强[4]。要能通过相关技术的应用,从数据信息的泄漏重点领域加以强化,通过对设备的访问权限设置,以及通过SSL技术的应用等,全面加强数据信息的安全保护作用。
例如:应用沙箱(Application Sandboxing)是一项借鉴于 Trusted BSD的技术。通过这一功能,可以对特定资源进行定义,对应用的访问权限作出限制,包括网络资源、内存及部分文件系统等。Gatekeeper是一项能让Mac电脑免遭恶意软件入侵的技术。有了Gatekeeper,你可以让那些被允许在Mac电脑上运行的应用,只能通过Mac App Store获取并签名,或成为由合法开发者签名的应用。
不仅如此,对大数据信息安全的保护还要从法律层面进行加强,完善网络信息的法律法规的保障措施。对个人隐私信息以及公共信息的安全保护进行加强,从法律层面来建设安全信息的保障体系,将信息安全的法律化要制定细化可操作的制度加以防范。
3 结语
总而言之,大数据背景下的信息安全防范愈来愈重要,要不断的将信息安全保护措施合理化的加以实施,从根本上保障个人以及企业的信息安全性,只有如此才能真正的对信息安全起到保障作用。此次主要从大数据环境下的信息安全问题和保障的措施实施进行了重点分析,希望有助于实际的信息安全保护。
参考文献:
[1]张茂月.大数据时代个人信息数据安全的新威胁及其保护[J].中国科技论坛,2015(07).
篇12
本文主要就计算机网络信息安全内涵及具体的安全问题进行详细分析,然后结合实际探究对网络信息安全的具体防护措施,希望能够保障网络信息的安全运行。
全球化的发展进程中,随着城市化建设的不断加快,人们在网络技术的应用上也愈加的广泛化,网络技术已经成为人们生活中重要的部分。但是网络信息安全问题一直是一个比较重要的课题,对这一问题的解决也在当前比较迫切,通过对网络信息安全问题的理论研究,就对实际问题的解决有着实质性意义。
1 计算机网络信息安全内涵及具体的安全问题分析
1.1 计算机网络信息安全内涵分析
对于计算机网络安全体现在多个层面,计算机网络作为人们生活中重要的部分,随着社会的不断发展人们对计算机信息系统生产信息需求以及依赖性也得到了有效加强,在信息的安全方面就愈来愈重要。对计算机网络信息安全主要体现在实体安全以及数据和运行安全、以及信息管理上的安全。从基础运行信息方面来看,这是计算机网络信息的基础,也是重要管理对象,任何计算机的信息多元化发展都要将信息运行作为重要的管理基础。
1.2 计算机网络信息具体的安全问题分析
从当前的计算机网络信息的安全问题来看,体现在多个层面的,主要能够分为自然威胁以及人为威胁。从自然灾害造成的网络信息安全主要是计算机是智能机器,所以就比较容易受到环境以及自然灾害等方面的威胁,计算机在这方面的抵抗能力比较弱,所以就会使得网络信息的安全得不到有效保障。
再者,计算机网络自身所存在的安全漏洞也是造成信息安全得不到保障的重要因素。一些新的操作系统以及应用软件上市就有漏洞找出,任何系统也都会存在着漏洞。
其中在缓冲区溢出方面这是攻击当中比较容易被利用的漏洞,还有是拒绝服务问题。由于网络系统自身的脆弱性,运行协议网络系统由于TCP/IP自身的安全性能有待加强,所以就存在着欺骗攻击以及拒绝服务等问题。
另外,人为额恶意攻击以及用户的操作失误等也会造成计算机网络系统的安全性得不到有效保证。还有是计算机病毒的威胁以及垃圾邮件和间谍软件的威胁,都会造成信息安全得不到保障,所以要能够针对这些问题进行针对性的解决。
2 计算机网络信息安全的防护措施探究
2.1 计算机网络信息管理原则
对计算机网络的信息安全管理要能够遵循相应的原则,这样才能够真正对信息的安全得到保证。在保密性原则方面要能充分重视,要筛选掉没有授权用户的访问请求。
再有是在完整性方面要重视,通过加密技术保证信息的完整性,然后就是要对授权性以及可用性的原则进行遵循,网络信息的可用性主要是在信息系统的设计环节得到体现,确保计算机系统中的各种信息收到攻击的时候能正常性的运行。
2.2 计算机网络信息安全防护措施探究
对计算机网络信息的安全防护措施的实施要能从多方面进行实施,通过对用户账号安全的强化能够起到有效的保护作用。用户的账号涉及面相对比较广泛,这就涵盖着系统登录账号以及电子邮件账号等,对合法账号及密码的获取是黑客比较常用的手段,所以这就要能够结合实际加强对系统登录账号的密码设置,在密码设置上要复杂化,账号密码最好不要设置相同或者相似的,要将数字和字母以及特殊的符号进行联合使用,以此来加强密码的复杂性。对于账号密码要能够隔一段时间进行更换一次,这样能够有效防止账号被盗。
对计算机网络信息的安全防护系统要能进一步健全,将完整的检查以及审计入侵工作能够得到有效完善,网络的漏洞扫描以及检测病毒和网络监控等各方面的内容要能充分重视,在信息安全方面可通过警报以及拦截进行反应。要能够制定标准网络管理规范对信息安全体系进行有效规范。
计算机网络安全的问题中,黑客主要是通过网络探测技术对主机信息进行查看,主要是获取网络主机的IP地址,如果是掌握了IP地址就为网络攻击打下了基础。
能够通过这一IP来实施多种攻击,所以对IP地址的隐藏就是成了比较有效的方法,通过服务器就能够实现这一目标,在设置之后其它的用户只能够探测到服务器的IP地址,这样在用户上网安全方面就得到了有效保障。
对计算机网络安全的防护最为有效常用额方法就是安装杀毒软件以及防火墙,网络防火墙技术是对网络间的访问控制加强的,对外部网络用户通过非法手段进入内网的有效技术措施,防火墙对网络运行状况的监视功能能有效发展网络问题,防火墙的技术种类也是多种多样的,有监测型的防火墙技术以及滤型的防火墙技术和型的防火墙技术。
例如监测型的防火墙技术就是新一代的防火墙产品,能对各层数据实施主动实时的监测,在数据的分析下就能够有效的对非法入侵问题准确的进行判断。
除此之外,网络信息安全的防护还可通过文件加密技术来进行实现,这对信息的安全性就能得到有效保证。当前比较常用的就是网络数据传输加密以及端到端的加密方式,前者主要是对流通中网络数据的加密,后者则是将文件变成密码进行的传递,都能够达到信息安全防护的效果。
3 结语
篇13
在信息化时代下,完善的体制架构被划分为机构协调、职能分工和运作规则等几个部分。就机构协调而言,不再是传统的金字塔模式,即信息自下而上层层传递,决策由上而下层层布置;而是采用更加扁平的组织流模式,管理趋向于文化,而不在是制度,组织的信息化水平越高,即信息传递速度越快,内容描述得越精准,管理就变得越简单,国家或企业的安全就更加可控。
实施科学风险评估
风险评估作为保障信息安全的重要措施之一,其在信息化发展方面起着至关重要的作用。随着信息化的不断发展,各种社会组织都越来越多地依赖于信息技术和信息系统来处理其信息和管理业务,从而提高自身竞争力,风险管理也随之在信息化的推进和管理中扮演越来越重要的角色。信息化作为两化融合的重要组成部分,所涉及的众多信息都具有保密性,即使安全功能再强大的网络系统,也有被非法攻击的可能性,因此,对基于两化融合思路的信息安全风险评估服务也显得更为重要。寻求完善有效的基于两化融合思路信息安全风险评估模式,是保障信息安全的有效措施,也已成为世界各国两化融合工作的新方向。
信息安全风险管理是一个包括识别风险、评估风险以及采取措施降低风险至可以接受的程度在内的全过程,其目标是要保护重要的信息系统和信息安全,帮助管理层更好地做出与管理风险相关的各种决策,帮助管理层更好地审批和建设信息系统,掌握其可能面临的风险。它从风险管理角度,运用科学的方法和手段,系统分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平。这样综合评估的结果可以帮助风险管理进行决策,即需要采取什么样的风险管理措施,优先次序是什么,以及如何落实这些风险控制措施。
进行整体安全防范
对信息网络的整体安全防范应该在风险评估的基础上进行相应的信息安全等级保护和重要信息安全保护。信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用,进而保障两化融合的顺利实施。