發布時間:2022-03-11 18:31:32
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的信息安全管理樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
為了保證互聯網信息的安全以及做好信息的保密工作,安全管理系統的設計內容大體上分為三個模塊,首先是安全體制模塊,包含算法庫、信息庫以及用戶界面三個小方面;其次是網絡連接模塊,包含安全協議以及通信接口兩個小方面;最后是網絡信息傳輸,包含安全管理、安全支撐以及安全傳輸三個系統。算法庫是關于一些處理算法。信息庫是關于用戶進入口令、管理參數以及權限的設定,檢查系統運行狀況。
用戶接口是用戶操作界面以及用戶私人信息管理。安全協議包括連接網絡協議、用戶個人身份確定協議等。通信接口的安全保障是依賴于安全協議的工作、在通常情況下,通信接口的實現方式包括兩種:第一是用戶在進入互聯網時,才開啟安全服務,并運行安全體制,用戶所傳輸的信息都是經過系統的加密處理,然后被傳輸到互聯網上,或者是數據鏈路,是比較透明的互聯網信息傳輸與交換。此種方法很容易實現,而且不用對用戶目前所使用的系統做一絲改動,用戶所要投入的資金也比較少。第二種是修改目前的通信協議,在互聯網與應用之間增加一個安全層,使信息的安全處理變得透明化以及自動化。安全管理系統是一個包含很多程序的軟件包,主要負責用戶界面上安全管理器的正常工作,可以使得用戶很容易地控制計算機上信息的傳輸,保證安全。我們通常把這個系統安裝在用戶計算機的終端,或者是網絡節點。安全支撐系統是整個安全管理系統最值得信任的一方,其物理安全以及邏輯安全是非常重要的,需要得到嚴密而全面的防護。
二、安全管理系統的實現
安全管理系統總共包括以上的內容,具體的實現有很多的問題,需要有條不紊的進行。以下是針對管理系統實現所采取的具體的實現步驟,按照這些步驟來一步一步進行,不會出現混亂的情況,而且條理清晰,可以降低出錯的幾率,也可以保證管理系統的質量。
(一)熟知互聯網的狀況,估計風險及各種木馬攻擊
互聯網上的信息安全保障是很薄弱的一個環節,如果防護措施做不好,就會經常受到黑客的攻擊,盜取信息,甚至泄露出去,造成個人或者是企業的損失。為了預防或者是擊退這些攻擊,需要全面地了解平時所有的攻擊方式、攻擊方位,還有要了解哪些部分是比較薄弱的地方,給予加強保護。只有掌握了攻擊的全面資料,才可能有針對性地做出比較全面而可靠的保護措施。
(二)安全策略的制定與優化
安全管理系統需要一個明確的目標與原則,這就是安全策略。安全策略的優化需要考慮以下幾個方面:第一需要從系統整體出發,咨詢用戶的需求,根據應用的環境來制定策略,這其中包含各個子系統的策略制定。第二需要考慮策略的制定會不會對原有的系統產生什么負面的影響,比如通信延時等。第三,策略的制定要方便用戶對計算機的操作,包括控制,管理以及配置等。第四,用戶界面要人性化。第五,投資的金額要少。
(三)安全模型
模型可以把抽象的問題具體化,使問題簡單起來,不再那么復雜,尋求到更好地解決辦法,制定更加完善的安全策略,就像是教師教學時經常使用各種模型,讓學生容易理解深奧的問題。模型包括整個系統中的所有子系統,這些子系統在上面的內容已經有過闡述。
(四)安全服務的選擇以及實現
應用密碼技術,來實現向用戶所保證的安全服務。這是一種現代的技術,能夠保障整個系統的安全性,保護用戶的私人信息,使用戶不用再擔心個人資料的泄漏,保障用戶的個人利益。安全服務有兩條實現的途徑,分別為軟件編程以及硬件芯片,其中在通過軟件編程來實現安全服務時,需要注意機身的內存,優化系統的流程,增加程序運行時的穩定,以及降低運算時間。
(五)安全協議的制定
1.高校圖書館還比較缺乏信息安全管理方面的人才。從當前一個時期來看,高校圖書館無論從管理層角度,還是從普通館員角度都有一個共識,那就是高校圖書館信息安全管理對專門的安全技術人員非常認可。然而現實是,高校圖書館專門信息安全人才依然比較匱乏,平時高校圖書館忙于事務性工作,也欠缺對館員進行信息安全方面的培訓和培養。
2.缺乏綜合性的安全解決方案。在實踐過程中,高校圖書館為了保證信息安全運行,使用了大量的硬件防火墻、入侵監測系統和殺毒軟件。從長遠講,這些措施還不能遠遠不能解決問題,高校圖書館在信息安全管理方面依然缺乏綜合性的解決方案,雖然也有各種信息安全管理規章制度和某些解決方案,沒有一個系統來組織這些規章制度和解決方案。
二、信息時代條件下創新高校圖書館信息安全管理的主要措施
(一)必須要對管理信息系統進行科學規劃。對于高校圖書館來講,進行管理信息系統創新,也離不開這個步驟,也必須做好前期的調查研究工作,研究擬開發設計的管理信息系統在本館的可行性、以及使用后的效果性等內容。科學規劃所設計到的主要內容有:制定前期科學、完善的主要目標,并對管理信息系統長期發展方案進行編,以確定管理信息系統在整個組織中發展方向、使用規模以及發展進程;開展初步調查,其目的是為了合理地確定系統目標,進行系統總體分析以及可行性研究,摸清本圖書館在管理信息系統建設存在的迫切性、主要不足、可行性和可能性;在初步調查的基礎上,形成詳實的調研報告,為后期系統詳細調研奠定基礎。
(二)對圖書館管理信息安全管理系統實施可行性分析。在前期初步調查的過程中,嚴格執行調查內容,明確圖書館管理信息系統的目標,對現行系統的基本情況作出初步了解、明確可行性。結合管理信息系統對運行環境、資源要求等條件進行考量,判斷出圖書館所擬上管理信息系統是否具有必要性和可能性。對管理信息系統現存的主要不足、問題、緊迫性、希望新的管理系統所能夠帶來主要功能、開發態度、資金保障、專業人員配備、后期維護與管理等方面進行全方位了解。
(三)開發創新高校圖書館信息安全管理的新型系統。管理信息系統開發創新是更好提高管理效能的重要手段。當前高校圖書館生存發展的宏觀、微觀環境已經發生了深刻變化;高校圖書館職能的發揮必須要建立在充分隨時隨地取得準確而及時的管理決策方面的內部信息與外部信息,甚至是與高校圖書館管理過程中各項決策決議執行情況的反饋信息,以實現對高校圖書館業務與管理的及時調控。管理信息系統主要的功能不但能夠有效進行數據與信息的搜集、處理、而且還具備了預測和控制功能;在高校圖書館實施管理信息系統創新,對于高校圖書館管理曾來講,能夠有效解決在管理中所面臨的半結構化問題和非結構化問題,有效提高一種定性與定量分析的方法,有效提高管理效率和決策的科學化水平。
三、結語
電子信息安全管理防范意識管理質量近些年來,我國計算機網絡技術異乎尋常地突飛猛進,把人們帶入了前所未有的信息化時代,網絡和人們息息相關,無論工作、學習、生活、購物乃至娛樂與游戲,一刻也離不開網絡的支持。信息化和網絡化時代,電子商務(Electronic Commerce)應運而生。隨著電子商務的出現,人們的交流更加便利,比如電子郵件可以隨時隨地地進行傳遞,電子商務讓人們的生活更加隨心所欲,工作效率得到了前所未有的提高。黑客(hacker)的出現,極大地干擾了網絡,帶來了一定的破壞,給人們帶來了巨大的經濟損失和精神方面的憂慮,甚至一度引起全世界范圍內的恐慌,人們對電子信息失去了信任,即使在安全的情況下,很多人依然心有余悸。以故,加強電子信息安全管理勢在必然。
一、電子信息安全管理中存在的問題
1.安全防范意識落后
我國的信息技術迅猛發展,人們沉浸在便利的喜悅中,忽略了安全管理。由于電子商務處于初步發展階段,很多技術方面尚不成熟,一些高標準的電子商務平臺尚還沒有搭建起來,對黑客缺乏防御的小型電子商務平臺雖然隨處可見,但其缺乏有效的安全管理,經營者麻痹大意,心存僥幸,認為“黑客”雖然存在,但是自身未必遭受攻擊,他們更多地關注業務的發展,重視平臺規模的擴大和系統功能的開發。在這種情況下,系統缺乏安全防御,一旦受到攻擊,立即癱瘓不能運轉和造成損失。此外,有些管理者為了防御黑客,在市場上購買了一些大眾化的安全管理軟件,便覺得安裝了這些“高新”產品,就會高枕無憂,永遠安全的使用電子商務。結果,常常事與愿違,造成巨大的損失。
2.信息安全技術匱乏
經過一段時間的努力,國內的信息安全管理技術不斷提升,連續邁上新的臺階,情況喜人。但是,我們也要有自知之明,因為和許多西方國家相比,信息安全防御與控制技術相對落后很多,并且,我們在經費的投入方面,有明顯的差距;自主研發技術存在的不足之處多多,亟需改善。我們更要清楚的一點是:我們的技術,很多都是借鑒國外的經驗,缺乏獨創。如此步人后塵,電子信息安全管理質量難以有質的突破。
3.信息安全產品鑒定混亂無序
為了安全起見,很多企業花費不菲,購買了一些安全方面的軟件,殊不知,這些產品在一般情況下,確實能夠起到電子信息使用平臺的安全作用,但如果病毒強大,絕對的安全便難以保證。縱觀市場上的安全軟件產品,良莠不齊,并且,目前市場上對于安全產品的鑒定沒有統一標準,各執一說,很多都是主觀判斷,由此產生隱患。
二、電子信息安全管理的有效措施
在電子信息安全管理方面,一旦出現問題,就會造成損失,一些企業“吃一塹長一智”,采取了相關措施,不過,調查表明,大多數企業存在“重技術,輕管理”的情況,而且由于一些企業尚未造成重大損失,管理層對安全問題漠不關心,或重視不夠。下面針對加強電子信息安全管理的主要措施做一探討。
1.構建完善的管理組織機構,加強管理
電子信息安全管理組織機構的完善有力地促進了企業的發展,從安全決策到認真執行,層層構架,發揮職能。管理框架的構建要集思廣益,審慎剴切;安全制度的審批須一絲不茍,審查入微;安全職責的分配必須認真到位,監督有力;遵照網絡系統安全制度,嚴肅執行,進行網絡系統的日常維護。如屬于大型的電子商務平臺或者集團企業,更加需要增加投入,比如聘請有造詣的專家成立顧問組織,以便企業進行疑難咨詢,或是參照出現的問題出列解決方案,爾后進一步對責任進行調查、評估。
2.電子信息安全管理制度有待進一步完善
電子信息安全管理制度主要包括兩方面的內容,第一點就是構建電子信息控制制度,第二點是出現問題之后的解決策略。關于第一點,需要明確責任,注重細節,出現任何情況都要嚴格審核,并且定期檢查;至于第二點,注意信息傳遞過程中的信息維護,密切跟蹤,及時報告,達到有效監督。最后,備份數據文件儲存。
3.專業亟待提升
互聯網的發展突飛猛進,普及千家萬戶,安全技術的研發相對于互聯網的發展遠遠落后,原因諸多,最重要的一點就是缺乏過硬的技術人員。一般而言,電子商務規模越大,電子信息安全管理隊伍的陣容也要隨之擴充,只有電子信息安全管理隊伍強大,才能夠產生無窮的智慧與應對措施,保證電子商務平臺的安全。
4.系統安全檢測
黑客一詞被用于泛指那些專門利用電腦網絡和系統安全漏洞對網絡進行攻擊破壞或竊取資料的人。病毒與黑客不斷變換手段,頻頻對電子商務系統采取攻擊行動,有時候能導致整個系統癱瘓。出現意外情況,要立即檢測,要經常更換密碼,設置復雜一些的密碼,要經常對防火墻進行檢查,系統功能是否保持,是否出現漏洞等,要細致入微,不能有一絲一毫的疏忽,嚴防黑客侵入。
5.建立保護系統的方案
時常進行安全檢測,一旦系統的安全檢測失靈,必須立即建立系統安全防護措施。系統安全管理極其復雜,缺乏安全可靠的保護,電子商務在網絡平臺失去有效的依靠,隨時會出現漏洞。反之,安全策略嚴謹,防護得力,即便系統遭受攻擊,也會及時發現,能將損失最小化。
6.管理培訓的重要性
防護系統的工作人員,要進行考試錄用、上崗培訓,企業經常進行人員培訓,定期學習安全策略和規章制度。讓每一個員工加強安全觀念,提升對信息安全的重視,認識到防護的重要性,堅守崗位,忠于職守,明了企業安全規章制度的含義。
三、結語
綜上所述,近年來經濟騰飛,經濟全球化進程不斷加快,計算機技術無所不在,網絡暢通無極,人們在網絡平臺上進行商務管理、學習、游戲、查找資料、購物匯款等等,網絡信息交互平臺已經深入大家的生活,人們已經一日不可沒有網絡的存在。網絡如此不可或缺,隨著計算機病毒造成的一次次的損失,人們對電子信息安全管理質量憂心忡忡。
在這一背景下,很多電子信息安全管理研究機構紛紛推出各類電子信息安全管理產品,盡管其對確保信息安全起到了一定的功效,但是,一切并不是萬能的。這也使得人們明白了技術產品并不僅僅是安全管理工作的全部。本文結合當前電子信息安全管理現狀,提出了一些相應的應對措施,希望能夠有效提升電子信息安全管理的質量。
參考文獻:
[1]姚帝曉.電子商務安全問題的思考[J].商場現代化,2006,(7):103.
關鍵詞:信息系統 信息社會 安全管理
中圖分類號:TP393.0 文獻標識碼:A 文章編號:1007-9416(2013)07-0170-01
隨著網絡的迅速發展,信息化的進程越來越快,對我國的可持續發展也有著重要的影響作用。以網絡為例,在1997年我國網民的人數有62萬人次,到了1999年底,就已經增至890萬人次,是1997年的14倍,同時,1997年的網站數量僅僅只有1500個,到1999年時已經增長了十倍。網絡化和信息化已經在人們的生活中占據到非常重要的位置,深深的影響著人們生活的各個方面,同時也在潛移默化的改變著人們的思維模式。作為新時代的一員,每個人都自然而然的成為了信息化的一部分,所以信息化同時也影響著社會上的每個人,信息的安全管理問題也成為了人們最關切的問題。
1 信息安全管理的主要研究工作
隨著信息系統安全管理工作的不斷改進,它的復雜性也在不斷的增強,對于信息安全的管理工作來說,難度也在不斷的增加。所以,應該采用科學的手段,建立一個完善的信息安全管理體系和綜合的安全管理機制,使信息系統的安全管理任務更加便利,同時防范不良用戶對信息的攻擊和越權操作。下文對安全管理的研究工作進行了相關的研究。
第一,要想有效的保證信息系統中安全管理的問題,策略模型是一個決定性因素,它的好壞決定著信息系統的安全性能和使用性能。在對信息安全進行管理的過程中,要充分運用策略模型的特征進行分析,該模型將不同的應用歸屬到不同的信任區域中,通過對區域的訪問和控制,從而更好的維護應用的運行,保證管理工作的順利運行。
第二,建立健全的管理機制,管理機制對系統的安全起著很大的保障作用。有效的安全管理措施能夠為信息系統防御內部以及外部帶來的攻擊。通過設計完善的管理流程,使管理員之間形成相互協作、制約的和諧關系,不斷的增強管理的安全性能。
第三,根據策略模型以及管理流程工作,對管理體系的整體框架進行設計,基于LINUX的安全機制內容,在LINUX環境下,設置系統管理員、審計員和安全管理員相互制約的管理機制,保障管理機制的持續發展。
2 目前信息安全管理中存在的問題
在目前的信息安全管理中,主要面臨著兩個方面的威脅,一個是誤用,一個是入侵。誤用是指在用戶的權限時出現配置錯誤,對訪問的控制不到位,在應用的時候有一定的缺陷;入侵是指當系統遭受到外部的惡意攻擊,企圖對內部的信息系統進行越權的操作。這兩個威脅的出現的很重要的原因是因為在管理過程中,實施不到位,安全管理方面出現了嚴重的漏洞。
在目前的信息系統管理中,不僅僅要依靠專業的技術手段來保證信息的安全,同時需要有效的管理對系統進行更好的維護,因為在信息系統運行的過程中,常常會因為管理的疏忽造成系統無法達到預期的目的。舉個例子來說,對于一般的系統而言,合法用戶通常被分為兩個類型,一個是具有所有權利的超級用戶,一個是沒有任何特權的一般用戶。在這種情形下,只要是能夠進入到系統的任何人,都能夠將自己轉變為超級用戶的身份,同時能夠對整個系統進行控制。隨著系統的功能不斷的增加,怎樣對信息進行有效的管理和維護,是一個比較棘手的問題。在信息系統的安全管理方面,主要存在著以下幾點問題。
其一,對整體機構設計不夠合理。通常來說,企業會在安全技術問題上面投入大量的物力和財力,但是沒有運用先進的手段來對保障信息系統的安全問題進行維護,在管理結構的設計上也不夠合理,不能及時的發現系統中存在的漏洞和安全問題,從而不能針對性的制定出相關的控制措施。
其二,信息安全管理工作不能得到落實。系統的安全性能和實用性能是一對不可調和的矛盾。在對系統使用的安全知識的普及過程中,無法讓所有的使用者都能夠深刻的了解其重要性,也無法讓他們承擔相應的安全責任。信息系統的使用者往往只注重信息獲取的便捷性,而忽略了其安全問題,所以在安全管理的過程中,不能夠將其有效的落實,從而使安全功能的優勢不能得到更大的發揮。
其三,信息的安全管理工作沒有得到有效的制約。在信息系統中,企業常常會設置擁有所有權限的超級用戶對系統進行管理。在系統的管理中,超級用戶能夠訪問系統的任何信息資源,所以他們對系統進行操作的過程中,出現的有意或者無意識的失誤就會對系統的安全造成很大的隱患。建立一個相互制約的環境,對信息系統的管理是一個很大的挑戰。
綜上所述,一個良好的安全管理機制對整個信息系統有著重要的影響,要想有效的保證信息系統的安全管理,首要應該注意的問題是保證用戶和系統本身的行為是合法的,在信息系統的安全功能中,用戶能夠達到自身某種預期的目標,這種目標包含安全目的。要使系統的安全管理功能得到最大限度的發揮,必須運用強有力的管理手段對信息系統的安全性進行保障。
3 結語
在對安全管理的問題進做出決策時,一定要實事求是,充分的將我國的安全管理技術現狀和水平考慮進去。對于信息系統安全管理的重要性問題,世界上各個國家都制定了相關的管理措施和辦法,這些規范內容對信息系統的安全性能檢驗提供著重要的依據。目前,網絡中最大的安全隱患不是在國內發現的,針對計算機病毒的解決措施也不是我國發明的,對于高級的黑客攻擊,在國內,并沒有一個有效的方法對其進行掌握,黑客攻擊的檢測技術在國內還處于較低的水平,所以我國要盡快的了解和正視自身存在問題,這樣才能夠更快的縮小與其他國家之間的差距。
參考文獻
[1]李全喜.計算機網絡安全漏洞與防范措施[J].計算機光盤軟件與應用,2012(16).
[2]曲運蓮.淺談學校計算機信息系統安全管理的措施[J].科技情報開發與經濟,2010(35).
數字化檔案是檔案與現代化的技術有機結合的新型檔案信息形態,將檔案信息轉化成數字信息,應用現代化技術的便捷性,將檔案信息進行歸檔、利用以及資源共享等。這里所說的現代化技術主要包括計算機技術、掃描技術、OCR技術、數字攝影技術、數據庫技術、多媒體技術、存儲技術等。
2數字檔案信息安全問題相關分析
對于檔案信息本身來說,無論是傳統的檔案存儲,還是現代化的數字檔案,安全問題都是首要問題。由于現代化的數字檔案是傳統檔案與現代化技術的結合,所以影響檔案信息安全問題的因素較多,這些因素的出現,對數字化檔案信息安全造成了不同程度的影響。以下是對數字檔案信息安全問題的具體分析。
2.1數字檔案信息的安全管理。
檔案信息安全管理問題是決定數字檔案信息安全的直接因素。如果安全管理方面存在缺陷,例如制度的不完善、標準不統一、管理措施無效等,必然會失去數字檔案信息的基本保障。所謂的數字檔案信息安全管理主要包括管理制度、標準、管理措施,不僅如此還包括數字檔案信息歸檔流程等,相關流程不規范也會使數字檔案信息安全問題受到威脅。
2.2計算機故障問題。
由于數字檔案信息的歸檔及利用均以計算機為載體,所以計算機本身的不確定因素會影響數字檔案信息安全問題,其中計算機故障問題是影響數字檔案信息安全的主要問題,其中計算機故障又包括硬件故障與軟件故障。以下是對兩種故障的具體分析。
2.2.1硬件故障。
計算機硬件條件良好時數字檔案信息安全問題的基本保障,當計算機硬件發生故障時,數字檔案信息的存儲、查詢、利用等就會受到較大的影響,其在一定程度上導致檔案信息的丟失或損害,影響了檔案信息的完整程度,大大降低了數字檔案的使用質量與效率,為使用者造成較大的不便。
2.2.2軟件故障。
計算機的軟件是處理數字檔案信息的必要條件,一旦計算機軟件出現故障亦或是性能無法滿足現階段數字化檔案信息系統的要求,檔案信息的處理能力就會大大下降,工作質量與效率也會隨之下降,而數字化檔案信息本身也無法發揮最大作用。計算機軟件故障直接影響數字化檔案信息系統的操作,但是與計算機硬件故障相比較,其發生故障的幾率較小。
3探究數字化檔案信息安全管理相關策略
前文已述,管理問題直接影響著數字化檔案信息安全,故而要確保檔案信息的安全,首先要從管理策略方面抓起。以下是對數字化檔案信息安全管理相關策略的具體分析。
3.1加強數字化檔案宏觀管理。
加強數字化檔案的宏觀管理檔案數字化工作是一項技術性、專業性、綜合性很強的工作,必須加強領導,統一思想,建立健全組織機構,比如建立專門的檔案數字化、信息化、網絡化協調組織機構,組織國家檔案信息網絡的總體設計與技術攻關,加強檔案信息網絡一體化的宏觀管理。檔案數字化工作要納入科學管理體制,作為機關管理工作的一部分,制定相應的工作分工范圍及管理權限。
3.2完善相關管理制度。
在完善管理制度時,要綜合考慮各種因素對數字化檔案信息安全的影響。在人員安全管理方面,要設立具體的安全審查制度、崗位安全考核制度、安全培訓制度等。對已經存儲的數字信息均應進行密級分類,對敏感信息與機密信息應當加密并脫機存儲在安全的環境中,防止信息被竊聽、變更與毀壞。在系統安全運行方面,要做好機房出入控制、環境條件保障管理、自然災害防護、防護設施管理、電磁波與磁場防護等工作。設立操作安全管理、操作權限管理、操作規范管理、操作責任管理、操作監督管理、操作恢復管理、應用系備份管理、應用軟件維護安全管理等制度。從技術上防止文件被人為地修改,增強電子文件的憑證性和可靠性。
3.3計算機安全管理。
由于計算機故障對數字化檔案信息安全造成較大的損害,所以要做好計算機安全管理工作。應根據數字化檔案信息系統的實際情況選擇性能良好的的計算機硬件和軟件。在選擇計算機硬件和軟件的過程中應注重計算機的品牌和服務器,全面對計算機硬件的兼容性和可擴展性進行一定的審核,這樣做的目的是為了避免當計算機系統在升級時數字化檔案信息的相關數據丟失。不僅如此,還要定期更新軟件,選擇更有利于處理數字化檔案信息的軟件,確保最大程度上發揮數字化檔案信息的優勢。
3.4信息技術安全管理。
依靠數字化檔案信息安全管理人員在強度安全管理是不夠的,還需要現階段科學信息技術援助。為了保證數字化檔案信息數據的安全,在數字化檔案信息安全管理工作中可以運用一些先進的科學信息技術來提高數字化檔案信息安全。例如,可以設置信息的訪問認證,防病毒系統,同時也對數字化檔案信息相關機密數據進行加密操作,以數據加密的形式,可以有效地防止數字化檔案信息數據被一些木馬病毒和被非法網站入侵,進行安全管理對保護數字化檔案信息安全是非常有效的。
3.5提高管理人員的專業素質。
管理人員的專業素質對數字化檔案信息安全管理來說至關重要,故而提高管理人員自身專業素質也是安全管理中的重要策略。相關的工作人員利用電子設施在網絡環境中開展對應的相關工作,對相關的數字檔案實現有效地管理,也就是個相關人員自身的能力大小對相關的數字檔案工作的安全性有著比較大的影響。這就要求在具體的工作中,相關的數字檔案管理人員要熟悉管理方面的相關專業理論,還要在具體的工作中樹立其較強的管理安全意識,不斷充實自己,提高數字化檔案安全管理的實踐工作技能。一旦工作中內部成員想要泄露檔案信息,相關的管理人員就要切實提高警惕,有效的增強風險思想,確保信息在實際的工作中受到嚴密的保存;與此同時,有關的組織機構還要組織針對性的人員培訓活動,有效地提高相關管理人員的安全理念,以此達到萬無一失。除了以上幾種管理策略之外還存在著其他管理策略,例如規范數字化檔案信息歸檔存儲流程,確保數字化檔案信息的真實性與完整性,進一步確保數字化檔案信息安全。
4結束語
隨著信息技術的不斷發展,我國信息安全管理工作質量不斷提高,但是,目前仍然存在著一些問題,阻礙了信息安全管理的發展。首先,我國信息安全管理法規體系不夠完善,相關方面的法律規定較少,導致信息安全管理的實施得不到有效的法律保障。其次,我國信息安全管理片面注重技術層面的維護,缺乏有效的管理手段,信息安全管理比較薄弱。最后,信息安全管理主要采取被動手段,科學性不高,不能實現全面性管理,而且一些高層領導對信息安全管理工作的重視程度偏低,信息安全管理工作比較薄弱。
二、信息安全管理體系的構建
2.1策劃準備
在構建信息安全管理體系前,需要做好各種準備工作,包括計劃的制定、相關培訓安排、組織調研活動、職責劃分等內容。
2.2確定范圍
根據組織中IT技術水平、信息資產、工作人員等實際情況,進行信息安全管理體系適用的安全范圍,既可以選擇部分區域,也可選擇整個區域。確定合理的安全范圍后,信息的安全管理更加方便。
2.3風險評估
構建信息安全管理體系時,要做好信息處理、存儲等工作的安全性調查,預測可能發生的危害信息安全性的事件,并對可能性危害事件會造成的影響做出判斷,然后根據評估結果做好信息風險管理工作。
2.4建立框架
要完成信息安全管理體系的構建,離不開信息安全管理框架的建立,這就需要我們要做到全方面考慮,根據信息系統的實際情況,結合組織特點、技術水平等條件建立相應的信息清單,對信息管理做好風險分析、需求分析等內容,并提出相應的問題解決方案,進一步保證信息的安全性。
2.5文件編寫
要構建信息安全管理體系,還需要對范圍確定、安全方針、風險評估等內容進行相應的文件編寫,建立各種文檔,為風險管理、體系改進等工作提供依據。
2.6體系運行
以上步驟完成后,信息安全管理體系開始運行。在運行時期,我們要進一步提高體系運作力度,使體系的整體功能得到有效發揮。一旦發現體系存在問題,要盡快找出解決措施,及時解決相關問題,不斷完善信息安全管理體系。
2.7體系審核
信息安全管理體系的審核主要是對體系進行客觀評價,通過內部審核及外部審核兩種方式對體系的運行及相關文件進行全方面檢查。其中內部審核主要是組織內部的自我審核,外部審核主要由外部相應的組織對體系進行檢查,通過內外審核進一步確定信息安全管理體系的安全性。
三、總結
關鍵詞:煙草行業 信息安全 安全管理 安全防護體系
中圖分類號:TS48 文獻標識碼:A 文章編號:1674-098X(2013)03(c)-0-01
中國的卷煙市場是全球最大的市場,擁有30%的全球消費者,中國煙草行業實行專賣專營體制以來,緊緊圍繞“做精做強主業,保持平穩發展”的基本方針,實現了經濟效益的連年增長。在取得成績的同時,中國的煙草行業也一直貫徹堅持科技進步,大力推進技術創新的思想,全面推進煙草行業信息化網絡的建設。但是隨著信息化應用的日益廣泛,信息系統中存儲的信息和數據的數量的不斷加大,其安全形勢不容樂觀,該文先介紹煙草行業信息安全的概念,然后對其現狀進行描述,最后對如何推進信息安全體系建設,加強煙草行業信息安全管理進行了研究與探索。
1 信息安全概述
信息安全本身包括的范圍很大,是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。網絡環境下的信息安全體系是保證信息安全的關鍵,自中國加入世貿組織后,煙草行業的競爭日趨激烈,煙草行業在制造以及銷售方面信息化應用的不斷擴大,所以其安全程度對整個煙草行業起到決定性的作用。信息安全主要包括保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性五個方面的內容,其中任何一個方面的安全漏洞都能威脅到全局安全,因此必須做好信息安全的管理工作。
2 煙草行業信息安全所面臨的威脅
由于近年來煙草行業進行了幾輪大規模的重組合并,其網絡拓撲結構也越來越復雜,信息集成共享也更加廣泛,所以煙草行業信息安全所面臨的威脅來自各個方面,下面主要從內部和外部兩方面進行描述。
(1)由于煙草行業信息系統是由人員進行設計、監管以及操作的,其本身就存在一定的薄弱環節和不安全因素,若內部保密工作不到位、內部管理出現漏洞則會對系統造成破壞,數據發生丟失,給信息安全系統構成威脅。
(2)黑客可以利用信息安全系統自身的缺陷非法闖入,進行數據的“竊聽”和攔截,或者其他的破壞活動。一般的煙草企業的網絡與整個外部網絡是相互連接的,這就無法避免垃圾郵件的威脅,這是防不勝防的。病毒侵入由于其無孔不入的能力以及無法預防的特性,一直是行業信息系統的最大隱患。
3 煙草行業信息安全管理現狀
經過多年的信息化建設和網絡安全建設,對于煙草信息安全系統,主要存在以下現象。
(1)網絡基礎設施不健全,信息安全設備不穩固。由于大范圍的兼并重組,新建的網絡設施、設備的穩定性依然無法得到保證,對設備運行的監控參數沒有得到重視,不具備容災功能。
(2)煙草行業信息安全管理制度和措施沒有得到有效的落實,專業人員的素質無法得到保證。盡管國家制定和頒布的煙草信息安全管理制度大部分得到了較好的貫徹落實,但缺乏相關的管理制度,使得管理工作也只是流于形式,存儲設備的管理要求無法得到徹底落實。其次由于這個系統的動態特性,對工作人員的要求較高,所以培訓工作的滯后影響著整個系統的安全。
(3)缺乏整體性的防護措施。盡管近年來的信息安全保障體系建設已經取得了一定的成效,但在建設初期的缺乏對整個系統的全盤考慮或是預算的原因使得現在已經成型的煙草信息安全系統缺乏整體性的防護措施。
4 提高安全管理的對策
4.1 技術層面的建設
一個有效的網絡信息安全技術體系是整個信息安全管理的基礎,所以安全體系的建設是所有安全構架的基礎,運用先進的技術手段,進一步完善機房硬件設備等基礎設施;對不同的安全威脅要進行針對性的建設,確保核心設備具有較高的安全級別并且要對其端口進行流量控制;對于核心信息資源所面臨的風險要進行正確的評估,提高網絡信息化的安全保障能力;對于網絡存儲的大量信息和數據要做好備份工作,并對進行傳輸的信息進行實時監控,加強對突發安全事件的處理效率。通過以上技術層面的手段使整個安全體系在預警、防護、監控等方面的能力得到提高。
4.2 管理層面的建設
管理層面的建設主要通過完善和優化安全管理體系和建立相應的措施來提高信息安全網絡的安全管理能力與監督能力。制定出清晰完整的信息安全政策,從整體層面上指導整個網絡的安全建設,對所有的管理人員以及工作人員實行法律化管理;建立嚴密的密碼管理制度,并且要定時更換,控制密碼的擴散;此外對使用安全體系網絡的人員要進行身份的辨別,對于管理員以及普通使用人員的權限進行分離,在信息控制中心成立安全管理小組,專門負責電腦的安全運行;重視煙草行業安全文化建設,提高員工的基本安全意識和安全防范能力,營造出一個濃厚的網絡信息安全氛圍;最后要加強網絡信息安全專業人才的培養,從安全意識和安全技術兩個方面著手,對這些人員進行定期、持續、系統地培訓。
5 結語
盡管對煙草行業信息安全的管理存在很多困難,但是只要我們能做到將以人為本、技術、管理和法制這些手段綜合起來進行治理,網絡信息安全將會得到很好地解決,煙草行業的信息化進程將會為整個行業帶來更大的發展空間。
參考文獻
[1] 李益文.基于煙草行業業務可持續運行的信息安全運維管理體系的思考[J].東方企業文化,2012(22).
[2] 高萍,黃偉達.煙草企業信息安全方面的思考[J].黑龍江科技信息,2010(31).
[3] 林加忠,葉鵬華.淺析網絡環境下煙草信息資源建設[J].硅谷,2009(5).
關鍵詞:地鐵;票務系統;AFC;收益審核;安全管理
中圖分類號:TP319 文獻標識碼:A 文章編號:1006-8937(2014)35-0064-02
隨著計算機技術的快速發展,在現代化經濟不斷發展的今天,計算機技術在各個生活及經濟領域中得到廣泛的應用,其中,隨著地鐵的逐步開放,計算機技術及網絡技術在地鐵建設中發揮了重要作用,構建了集計算機技術、網絡技術及自動化技術于一體的地鐵票務系統。但是,人們在享受新技術帶來革命性變化時,因計算機網絡終端分布不均、開放性、互聯性等特點,計算機技術也給人們帶來了許多問題,尤其是網絡安全問題。在互聯網時代下,為了確保地鐵正常運營,這就要求構建的地鐵票務系統必須有足夠強的安全措施,加強地鐵票務系統信息的安全管理,減少人力、物力資源及經濟的損失,以促進我國軌道交通的建設與發展。為此,本文對地鐵票務系統的信息安全管理進行探討,包括地鐵票務系統的日常安全管理工作、自動售檢票系統(AFC)及票務等安全管理工作。
1 加強日常安全管理工作
在日常安全管理工作中,首先應嚴格落實安全生產責任制,在地鐵票務中心,要求票務中心的領導及全體員工都簽署了《安全生產、消防、綜合治理目標管理責任書》,將生產安全責任制度落實到實處,明確員工的責任和義務,提高員工的安全意識。在條件允許的情況下,對全體員工進行三級安全專業培訓,包括運營分公司級別、中心級別、車站(班組)級別三個安全培訓,有針對性地加強安全專業知識培訓,可以達到良好的效果。
其次,加強票務中心工作現場的安全檢查力度,定期由客運部牽頭會同票務中心、站務中心、安保部及計劃財務部對票務系統進行安全監察,作為票務系統管理機構,可以深入到票務中心、車站票亭等對人員操作安全、工作環境及AFC設備等進行安全檢查,若發現系統存在安全隱患,應下發整改通知單,待下次檢查,確認是否整改。
再次,建立一套安全網絡,推進安全管理工作的開展,要求地鐵票務管理部門在票務中心建立一套安全網絡,每月定期開展安全例會,車站每周舉行一次安全例會,討論各項安全工作,全面貫徹落實上級下達的安全管理事項,由于票務職員是票務安全管理的一員,加強票務支援的安全教育工作,對薪金職員進行不同等級的安全培訓工作,逐級通過考試合格后方能上崗,加強車站票務SLE系統的日常維護和檢修工作,以保證票務系統正常運營。
最后,建立危險源管理流程,在地鐵運營中,既要做好OHSAS 18000職業健康安全管理體系的貫標工作》、《城市軌道交通安全評價》等安全認證和取證工作,也要提前制定一套科學、有效的危險管理控制流程,通過地鐵票務安全管理部門組織各個部門召開安全例會,從票務系統運營的危險源為出發點,包括AFC設備、票務備品、安全管理制度、票務作業環境及票務人員安全意識等;進而有效辨識出危險源所屬的部門,由各危險源所屬部門向票務中心申報,經上級領導批準后,各個班組安排工作人員對相應的危險源進行整改,確保票務工作存在的危險源均處于管控狀態,定期對整改的危險源進行巡查,以保證票務系統的安全性和可靠性。
2 自動售檢票系統(AFC)信息安全管理
自動售檢票系統是票務管理的重要組成部分,主要由ACC、LC、SC、SLE及票務五個層次組成。其中,ACC系統主要由數據庫系統、域控制器、運營管理系統、監控系統、報表查詢系統及車票初始化設備組成,在C/S模式下,可以調用數據庫中的信息;在車站終端設備(SLE)中,主要包括自動售票機、閘機、自動驗票機、自動增值機等設備,除閘機外,控制主機均為工控機。在自動售檢票系統中,采用Windows2007 Server操作系統,管理終端均為個人PC電腦。在現有的安全管理中,自動售檢票實現了信息安全管理,包括:
①硬件冗余,通過在中央自動檢售票系統核心交換機之間設置網絡冗余連接,有效避免了單點網絡故障影響系統運作。
②邊界防護,在中央自動檢售票系統與通信系統及各個銀行系統的連接邊界,設置防火墻,并制定了嚴格的訪問控制策略,只開放特定的IP地址,確保了系統網絡的安全性。
③數據安全,采用數據備份的方式,每天對每個車站系統數據庫進行一次備份,將同時生成的兩個備份文件分別保存在監控終端電腦和服務器上。
④安全管理制度的落實,制定《地鐵自動檢售票系統使用管理規定》、《自動檢售票系統數據管理辦法》、《AFC中心機房管理制度》等。但是,隨著新形勢及新技術的發展,為了實現票務系統的統一管理,現有的自動檢售票系統難以滿足新形勢的需求。
基于此,為了加強自動檢售票系統的信息安全管理,應建立基于LeagView的自動檢售票系統安全管理架構,如圖1所示。自動檢售票系統安全管理主要分為與管理員交互的Web客戶端、LeagView服務和運行在各個被管理設備上的程序等三個層次,在Web客戶端模式下,可以允許維護人員實時管理自動售檢票系統,其具有分權限的功能。然而,在賬戶和權限控制管理中,一旦管理員擁有超級管理員賬戶口令,管理人員就可以瀏覽、執行系統中的任何文件和程序。在遠程控制管理中,通過LeagView系統對遠程終端進行維護操作,在遠程監視模式下,管理人員可以看遠程桌面的屏幕;在遠程交互控制模式下,管理人員既可以看到桌面屏幕信息,也可以操作鼠標和鍵盤。
除此之外,在系統運行監控上,在自動檢售票系統安全管理中,網絡拓撲和設備配置是基礎工作,只要對其進行簡單的配置,LeagView系統就可以自動發現網絡上所有可控制管理的網絡設備和主機設備,同時也可以發現兩者之間的物理連接關系。由于系統運行監控涉及的內容較多,包括網絡系統監控、主機系統監控、數據庫系統監控及終端設備運行狀態監控等,其中,對于數據庫系統監控,主要包括整個數據庫系統參數和單個數據庫參數的監控,如數據庫名稱、數據庫空間利用率及數據庫服務的啟動時間等,通過參數的配置,可以加強數據庫服務進程狀態時間、SQL執行效率事件的處理。
總而言之,對于自動檢售票系統的信息安全管理是地鐵交通一考通成功的關鍵,必須確定系統運行的安全性和可靠性。在設計自動檢售票系統中,必須制定一套完善的安全管理制度,并重點加強設備、網絡安全的管理,防范一卡通攻擊,以保證自動售檢票系統設備能夠安全運行。
3 票務安全管理
為了加強地鐵票務系統信息安全管理,還必須加強票務的管理,以規范的安全管理制度為依據,從上述的日常安全管理工作概述可知,作為地鐵票務部門的管理人員,為了加強票務的安全管理,必須將票務系統運營中產生的信息詳細記錄在案,并制定相應的規范制度,如《票務管理規定》、《自動檢售票系統數據管理辦法》、《AFC中心機房管理制度》、《車站票務管理手冊》以及《車站票務應急處理程序》等,將制定的安全管理制度落實實處,及時發現票務工作中出現的錯誤,并予以糾正,有效防止票務舞弊的發生。除此之外,在票務管理中還應做到以下幾方面的要求。
3.1 加強票務系統數據管理
數據庫是票務系統的核心部分,在票務管理中,必須認真核對系統中的數據,當核對發現差異時,作為票務部門的管理人員,應積極幫助自動售檢票系統設備的技術人員共同找出引起差異的原因,以保證系統數據更加安全、可靠。然而,對于自動生成的數據來說,因系統自身的原因,對數據的審核會比較困難,如自動售票機無法實現每日清點的功能,這就在一定程度上增加了審核的難度。而半自動售票機的實現,可以有效防止票務舞弊現象的發生,其收入都是以系統數據為準。
3.2 加強節假日的票卡管理
在大型活動慶典及節假日期間,導致車站大客流發生,這就要求必須制定每個車站車票的最低保有數量,并且配送足夠的預制單程票,確保票卡及時配送到位,有效緩解車站客流總量。在票務運營中,若客運人員不及時疏散客流,站廳將會滯留很多乘客,這給票務運作造成了很大壓力。因此,作為客運值班員和站務員,必須注重節假日期間的票務管理,以保證票務系統的正常運營。
3.3 加強各種票務數據的管理
票務系統運行中,將會產生大量的票務數據,如客運量、客運收入、票務營銷數據、平均票價等。作為地鐵票務部門的管理人員,應將產生的各種數據及時傳輸到上一級的票務系統管理服務器中,然后票務中心、客運部對提供的票務數據進行分析研究,最后生成報告,以便為今后的客運、調度部門制定運營計劃和票務工作計劃提供詳實、可行的依據。
4 結 語
在現代經濟不斷發展的今天,地鐵已成為了人們出行的重要交通方式。在地鐵交通運輸中,票務系統是重要的組成部分,為了確保地鐵的順利運行,就必須加強票務系統的安全管理,尤其是自動檢售票系統的信息安全管理,加大自動檢售票系統的設計,實現基于LeagView的自動檢售票系統安全管理,并加強日常的安全管理工作和票務管理,以保證票務系統的正常運行。
參考文獻:
[1] 陳祥.數據倉庫在地鐵票務系統的應用[D].廣州:華南理工大學,2012.
[2] 劉薇.地鐵票務管理系統的設計與實現[D].成都:電子科技大學,2012.
[3] 葉芳.南京地鐵票務系統安全管理研究[J].中國高新技術企業,2014,(15):103-104.
[4] 黃佳崴.淺析地鐵票務安全管理[J].科技視界,2012,(35):231-233.
[5] 牛鳳午.深圳地鐵自動售檢票系統信息安全管理建設[D].天津:復旦大學,2008.
