当前位置: 首页 精选范文 信息安全保障范文

信息安全保障精选(十四篇)

发布时间:2023-10-09 17:40:34

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇信息安全保障,期待它们能激发您的灵感。

信息安全保障

篇1

如今,伴随着科学技术的迅猛发展,我国电力企业各个方面的工作,也得到了大幅度的进步。电力信息安全保障体系,是电力发展事业各组成部分中的重要环节,在维持电力企业的正常运行、日常管理和营销管理等方面,起着至关重要的作用。因此,电力信息的安全问题,一直是电力企业所关注的重要内容之一,各个企业对于电力信息也逐渐重视起来。以下是笔者结合当前电力信息安全保障体系建设的实际情况,就在电力企业中,电力信息系统的安全领域出现的问题,进行有效详细的研究与分析,希望通过此次研究,能够对电力信息安全保障体系的建设领域的发展,起到一定的促进作用,为我国电力工作的发展,献计献策。

【关键词】

电力信息;安全保障;体系建设;探讨研究

所谓的电力信息系统,主要的内容包括信息网络、应用系统、网络服务系统、存储与备份系统、安全系统、辅助系统等。除此以外,上述系统的附属设备也在电力信息系统的行列内。本系统所涉及的技术,大致有数据加密技术、防火墙、入侵检测技术、网络扫描技术,以及访问控制技术等。虽然安全架构在设计上出现问题与管理方面出现问题,是引发信息系统安全问题的主要因素,但还是有其他因素存在。因此,在电力信息系统安全保障体系的建设,要考虑电网运行安全方面以外,还要经过信息安全系统的的建设、信息安全管理的建设和信息安全策略的建设三个阶段。

一、电力信息安全保障体系存在的问题

随着科学技术的不断发展,计算机技术也在不断进步,黑客是摆在我们面前不可忽视的问题。因此电力系统在正常运行的情况下,就很容易受到黑客的攻击,造成病毒的侵入,所以对电力信息的安全保障体系的建设予以加强,变得迫在眉睫。现如今,电力信息安全存在的主要问题,大致包括信息安全意识薄弱、信息安全运作机制不完善、信息安全保障工作没有常态化、系统安全设计不足,以及短板现象显著等。在大多数电力企业中,信息安全问题常常被忽视,有的甚至处于不防御状态。信息安全运作机制不完善,在不完善的业务连续性计划,不规范的信息文档和测试数据的管理中,有所体现。那么,怎么样去应对这些问题呢?使这些问题能够迎刃而解呢?主要从信息安全管理和信息安全技术两方面入手。其中,信息安全评估、建立安全管理组织、信息安全运行管理、安全策略规划和安全监督审计等,均属于信息安全管理范畴。而信息安全技术大致包括通用信息安全技术手段,也就是安全服务,比如访问管理、防恶意代码、身份认证和审核跟踪等等。

二、电力信息安全保障体系的策略与管理

结合当前形势与公司实际,要不断进行管理的创新与技术的实践。从管理层面讲,要对组织机构、系统运行维护、规章制度、相关工作人员教育等进行全面控制和管理;而从技术的层面出发,做到防护物理、主机系统、网络、数据应用等等各方面的安全性,同时在安全可靠前提下,建设一套高效、先进、实用的信息安全保障体系,支撑助力生产专业化与管理现代化,保障电力信息的安全性。制定电力信息安全策略,应该保证在国家信息安全等级保护政策的前提下进行,本着提升电力企业整体防篡改、防泄密、防攻击等综合能力的原则,进行策略的制定。电力信息安全的运行,在保证对基础环境、主营业务系统、软硬件平台等等运行维护的同时,还要确保运维技术规范、运维流程和定检等标准或机制的建立。另外,访问控制和身份认证,可以将主机系统、安全设备、应用系统,网络设备等的身份认证,进行统一管理。审计和监控,也可提高信息的安全性,对问题发生时的反应速度,也能够得以提升,对安全问题的发生,起到了有效的预防。在电力管理信息大区网络内部,还应建立能够对病毒进行预防、隔离、检测和清除的机制。这样,可以大大降低未知病毒的入侵率。

三、结论

总而言之,加强电力信息安全保障体系的建设,是新时期电力工作者热衷研究的一大科题,更是今后的工作方向。在电力信息系统安全保障体系建设的过程中,我们必须要以“坚持实事求是、以人为本”的方针为原则,系统性的分析影响电力信息系统运行安全与管理的因素,结合如今电力信息系统安全保障的实际情况,以最佳的建设原则与思路,对电力信息系统安全保障体系进行完善,为电力企业的健康长远发展做出突出的贡献。

作者:唐勇 单位:国网四川省电力公司电力科学研究院

参考文献

[1]李志茹,张华峰,党倩.电网企业信息系统安全防护措施的研究与探讨[J].电力信息化.2012(04)。

[2]香柱平.有关电力企业信息中心网络安全及防护措施的探讨[J].中小企业管理与科技(下旬刊).2010(05)。

[3]张建华,王昕伟,蒋程,于雷,俞悦,余加喜.基于蒙特卡罗方法的风电场有功出力的概率性评估[J].电力系统保护与控制.2014(03)。

[4]丁冬,刘宗歧,杨水丽,吴小刚,李婷婷.基于模糊控制的电池储能系统辅助AGC调频方法[J].电力系统保护与控制.2015(08)。

篇2

[关键词] 计算机网络; 信息安全; 保障策略; 防火墙; 预防措施

1网络信息安全定义及研究意义

1.1网络信息安全定义

网络安全从本质上来讲就是指网络系统中流动和保存的数据,不受到偶然的或者恶意的破坏、泄露、更改,系统能连续正常工作,网络服务不中断。而从广义上来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。

1.2网络信息安全研究意义

网络信息安全保障手段的研究和应用,对于保证信息处理和传输系统的安全,避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失;保护信息的保密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为;保护国家的安全、利益和发展,避免非法、有害的信息传播所造成的后果,能进行防止和控制,避免公用网络上大量自由传输的信息失控等方面都有非常重大的意义。

2网络信息安全现状

2.1物理传输对网络信息安全的威胁

网络通信都要通过通信线路、调制解调器、网络接口、终端、转换器和处理机等物理部件,这些往往都是黑客、攻击者的切入对象。主要有以下几方面的入侵行为:

(1) 电磁泄露:无线网络传输信号被捕获,对于一些通用的加密算法,黑客和攻击者已有一整套完备的破解方案,能够较轻易地获取传输内容。

(2) 非法终端:在现有终端上并接一个终端,或合法用户从网上断开时,非法用户乘机接入并操纵该计算机通信接口,或由于某种原因使信息传到非法终端。

(3) 非法监听:不法分子通过通信设备的监听功能对传输内容进行非法监听或捕获,由于是基于通信设备提供的正常功能,一般使用者很难察觉。

(4) 网络攻击:如arp风暴等小包攻击交换机等通信设备,引起网络拥塞或导致通信主机无法处理超量的请求,轻则网络服务不可用,重则整个系统死机瘫痪。

2.2软件对网络信息安全的威胁

现代通信系统如atm、软交换、ims、epon、pos终端、手机等都使用大量的软件进行通信控制,因此软件方面的入侵也相当普遍。

(1) 网络软件的漏洞或缺陷被利用。软件漏洞分为两种:一种是蓄意制造的漏洞,是系统设计者为日后控制系统或窃取信息而故意设计的漏洞;另一种是无意制造的漏洞,是系统设计者由于疏忽或其他技术原因而留下的漏洞。

(2) 软件病毒入侵后打开后门,并不断繁殖,然后扩散到网上的计算机来破坏系统。轻者使系统出错,重者可使整个系统瘫痪或崩溃。

(3) 通信系统或软件端口被暴露或未进行安全限制,导致黑客入侵,进而可以使用各种方式有选择地破坏对方信息的有效性和完整性,或者在不影响网络正常工作的情况下,进行截获、窃取、破译,以获得对方重要的机密信息。

2.3工作人员的不安全因素

内部工作人员有意或无意的操作或多或少存在信息安全隐患。

(1) 保密观念不强,关键信息或资产未设立密码保护或密码保护强度低;文档的共享没有经过必要的权限控制。

(2) 业务不熟练或缺少责任心,有意或无意中破坏网络系统和设备的保密措施。

(3) 熟悉系统的工作人员故意改动软件,或用非法手段访问系统,或通过窃取他人的口令字和用户标识码来非法获取信息。

(4) 利用系统的端口或传输介质窃取保密信息。

3网络信息安全保障策略

针对以上信息安全隐患,可以采用一些技术手段,对攻击者或不法分子的窃密、破坏行为进行被动或主动防御,避免不必要的损失。

3.1物理传输信息安全保障

(1) 减少电磁辐射。传输线路应有露天保护措施或埋于地下,并要求远离各种辐射源,以减少由于电磁干扰引起的数据错误。对无线传输设备应使用高可靠性的加密手段,并隐藏链接名。

(2) 采用数据加密技术,对传输内容使用加密算法将明文转换成无意义的密文,防止非法用户理解原始数据。数据加密技术是一种主动的信息安全防范措施,可大大加强数据的保密性。

(3) 使用可信路由、专用网或采用路由隐藏技术,将通信系统隐匿在网络中,避免传输路径暴露,成为网络风暴、ddos等攻击对象。

3.2软件类信息安全保障

安装必要的软件,可以快速有效地定位网络中病毒、蠕虫等网络安全威胁的切入点, 及时、准确地切断安全事件发生点和网络。

(1) 安装可信软件和操作系统补丁,定时对通信系统进行软件升级,及时堵住系统漏洞避免被不法分子利用。

(2) 使用防火墙技术,控制不同网络或网络安全域之间信息的出入口,根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流。且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施,是目前保护网络免遭黑客袭击的有效手段。

(3) 使用杀毒软件,及时升级杀毒软件病毒库。小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀,可以有效地清除病毒,扼杀木马。

(4) 使用入侵检测系统防止黑客入侵。一般分为基于网络和基于主机两种方式。基于网络的入侵检测系统,将检测模块驻留在被保护系统上,通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。基于主机的入侵检测系统对通信系统进行实时监控,通过监视不正当的系统设置或系统设置的不正当更改实现入侵检测功能。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。但在数据提取的实时性、充分性、可靠性方面,基于主机日志的入侵检测系统不如基于网络的入侵检测系统。 另外还有分布式入侵检测、应用层入侵检测、智能的入侵检测等信息安全保障手段可以使用。

3.2内部工作人员信息安全保障

(1) 加强安全意识和安全知识培训,让每个工作人员明白数据信息安全的重要性, 理解保证数据信息安全是所有系统使用者共同的责任。

(2) 加强局域网安全控制策略,使网络按用户权限进行隔离或授权访问。它能控制以下几个方面的权限: 防止用户对目录和文件的误删除,执行修改、查看目录和文件,显示向某个文件写数据,拷贝、删除目录或文件,执行文件,隐含文件,共享,系统属性等。控制哪些用户能够登录到服务器并获取网络资源, 控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限, 网络控制用户和用户组可以访问的目录、文件和其他资源, 可以指定用户对这些文件、目录、设备能够执行的操作,权限按照最小化原则进行分配。

(3) 利用桌面管理系统控制操作终端的系统配置、软件合法性、病毒库、防火墙等。若用户使用的终端或系统没有按照要求按照合法软件,则限制用户接入网络。若用户的系统、防火墙、防毒软件未及时更新,则强制用户进行更新操作。使用桌面管理系统可以最大化净化网络环境,避免操作人员的终端引入信息安全隐患。

(4) 启用密码策略, 强制计算机用户设置符合安全要求的密码, 包括设置口令锁定服务器控制台, 以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据, 提高系统安全性, 对密码不符合要求的计算机在多次警告后阻断其连网。

4结束语

计算机软件技术的发展使得计算机应用日益广泛与深入,同时也使计算机系统的安全问题日益复杂和突出,各种各样的威胁模式也不断涌现。网络信息安全是一个综合性的课题,涉及技术、管理、使用等许多方面,只有将各种方面的保障策略都结合起来,才能形成一个高效、通用、安全的网络系统。

主要参考文献

[1] 李淑芳,双娜,等. 网络安全浅析[j]. 科技,2006(2).

[2] 林志臣. 计算机网络安全及防范技术[j]. 科技咨询导报,2007(11).

[3] 殷伟. 计算机安全与病毒防治[m]. 合肥:安徽科学技术出版社,2004.

[4] 刘晓辉. 网络安全管理实践(网管天下)[m]. 北京:电子工业出版社,2007.

篇3

 

关键词:信息安全 漏洞挖掘 漏洞利用 病毒 云安全 保障模式变革

l 引言

信息安全与网络安全的概念正在与时俱进,它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全,再到如今的信息保障和信息保障体系。单纯的保密和静态的保障模式都已经不能适应今天的需要。信息安全保障依赖人、操作和技术实现组织的业务运作,稳健的信息保障模式意味着信息保障和政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均能得以实施。

近年以来,我国的信息安全形势发生着影响深远的变化,透过种种纷繁芜杂的现象,可以发现一些规律和趋势,一些未来信息安全保障模式变革初现端倪。

2 信息安全形势及分析

据英国《简氏战略报告》和其它网络组织对世界各国信息防护能力的评估,我国被列入防护能力最低的国家之一,排名大大低于美国、俄罗斯和以色列等信息安全强国,排在印度、韩国之后。我国已成为信息安全恶性事件的重灾区,国内与网络有关的各类违法行为以每年高于30%的速度递增。根据国家互联网应急响应中心的监测结果,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。

在互联网的催化下,计算机病毒领域正发生着深刻变革,病毒产业化经营的趋势日益显现。一条可怕的病毒产业链正悄然生成。

传统的黑客寻找安全漏洞、编写漏洞利用工具、传播病毒、操控受害主机等环节都需要自己手工完成。然而,现在由于整个链条通过互联网运作,从挖掘漏洞、漏洞利用、病毒传播到受害主机的操控,已经形成了一个高效的流水线,不同的黑客可以选择自己擅长的环节运作并牟取利润,从而使得整个病毒产业的运作效率更高。黑客产业化经营产生了严重的负面影响:

首先,病毒产业链的形成意味着更高的生产效率。一些经验丰富的黑客甚至可以编写出自动化的处理程序对已有的病毒进行变形,从而生产出大量新种类的病毒。面对井喷式的病毒增长,当前的病毒防范技术存在以下三大局限:①新样本巨量增加、单个样本的生存期缩短,现有技术无法及时截获新样本。②即使能够截获,则每天高达数十万的新样本数量,也在严重考验着对于样本的分析、处理能力。③即使能够分析处理,则如何能够让中断在最短时间内获取最新的病毒样本库,成为重要的问题。

其次,病毒产业链的形成意味着更多的未知漏洞被发现。在互联网的协作模式下,黑客间通过共享技术和成果,漏洞挖掘能力大幅提升,速度远远超过了操作系统和软件生产商的补丁速度。

再次,黑客通过租用更好的服务器、更大的带宽,为漏洞利用和病毒传播提供硬件上的便利;利用互联网论坛、博客等,高级黑客雇佣“软件民工”来编写更强的驱动程序,加入病毒中加强对抗功能。大量软件民工的加入,使得病毒产业链条更趋“正规化、专业化”,效率也进一步提高。

最后,黑客通过使用自动化的“肉鸡”管理工具,达到控制海量的受害主机并且利用其作为继续牟取商业利润的目的。至此整个黑客产业内部形成了一个封闭的以黑客养黑客的“良性循环”圈。

3 漏洞挖捆与利用

病毒产业能有今天的局面,与其突破了漏洞挖掘的瓶颈息息相关。而漏洞挖掘也是我们寻找漏洞、弥补漏洞的有利工具,这是一柄双刃剑。

3.1漏洞存在的必然性

首先,由于Internet中存在着大量早期的系统,包括低级设备、旧的系统等,拥有这些早期系统的组织没有足够的资源去维护、升级,从而保留了大量己知的未被修补的漏洞。其次,不断升级中的系统和各种应用软件,由于要尽快推向市场,往往没有足够的时间进行严格的测试,不可避免地存在大量安全隐患。再次,在软件开发中,由于开发成本、开发周期、系统规模过分庞大等等原因,Bug的存在有其固有性,这些Bug往往是安全隐患的源头。另外,过分庞大的网络在连接、组织、管理等方面涉及到很多因素,不同的硬件平台、不同的系统平台、不同的应用服务交织在一起,在某种特定限制下安全的网络,由于限制条件改变,也会漏洞百出。

3.2漏洞挖掘技术

漏洞挖掘技术并不单纯的只使用一种方法,根据不同的应用有选择地使用自下而上或者自上而下技术,发挥每种技术的优势,才能达到更好的效果。下面是常用的漏洞挖掘方法:

(1)安全扫描技术。安全扫描也称为脆弱性评估,其基本原理是采用模拟攻击的方式对目标系统可能存在的已知安全漏洞进行逐项检测。借助于安全扫描技术,人们可以发现主机和网络系统存在的对外开放的端口、提供的服务、某些系统信息、错误的配置等,从而检测出已知的安全漏洞,探查主机和网络系统的入侵点。

(2)手工分析。针对开源软件,手工分析一般是通过源码阅读工具,例如sourceinsight等,来提高源码检索和查询的速度。简单的分析一般都是先在系统中寻找strcpy0之类不安全的库函数调用进行审查,进一步地审核安全库函数和循环之类的使用。非开源软件与开源软件相比又有些不同,非开源软件的主要局限性是由于只能在反汇编获得的汇编代码基础上进行分析。在针对非开源软件的漏洞分析中,反编引擎和调试器扮演了最蘑要的角色,如IDA Pro是目前性能较好的反汇编工具。

(3)静态检查。静态检查根据软件类型分为两类,针对开源软件的静态检查和针对非开源软件的静态检查。前者主要使用编译技术在代码扫描或者编译期间确定相关的判断信息,然后根据这些信息对特定的漏洞模型进行检查。而后者主要是基于反汇编平台IDAPro,使用自下而上的分析方法,对二进制文件中的库函数调用,循环操作等做检查,其侧重点主要在于静态的数据流回溯和对软件的逆向工程。

(4)动态检查。动态检查也称为运行时检查,基本的原理就是通过操作系统提供的资源监视接口和调试接口获取运行时目标程序的运行状态和运行数据。目前常用的动态检查方法主要有环境错误注入法和数据流分析法。以上介绍的各种漏洞挖掘技术之间并不是完全独立的,各种技术往往通过融合来互相弥补缺陷,从而构造功能强大的漏洞挖掘工具。

篇4

1网络安全概述及发展现状分析

随着社会经济的不断发展,网络信息技术也在不断更新完善,这就要求网络安全工作也必须不断做出改革和创新。信息安全及系统安全是构成网络安全管理工作的两大核心内容,其中前者主要指的是对数据在传输和处理过程中的安全保护,尤其是对一些保密性较强的数据进行保护,避免数据被非法盗用,出现修改的状况,并最大限度的维护数据的可用性,使其能够在突发意外的情况下也可以正常应用于各项工作,不影响网络数据信息的使用效果,提高数据信息的安全性;而后者则主要指的是从硬件设施和软件装备来提高系统的可靠程度,涉及各个网络运行元件的安全。就我国当前网络安全管理工作的现状来看,我国已经颁布了一系列的政策措施并投入了一定的资金,在网络安全保障工作方面取得了一定的成效,构建了网络信息管理安全体系,但仍存在一些问题。恶意篡改、非法侵入数据信息库、病毒感染、网络黑客等违法行为,对网络信息系统安全造成了极大的危害,不利于信息可用性和真实性的保护,是当前信息安全保障工作的重中之重。

2增强信息安全保障体系的措施

2.1落实网络信息安全基础保障工作

由于网络环境的虚拟化、信息传输超高速化和区域无界化,网络信息安全保障工作具有一定的特殊性,其本质可以看作是实时性的安全预防、管理和应对。因此,不仅需要对国家现有的网络平台进行巩固,确保基本的信息管理设备和装置的合理应用和正常运行,还需要研制重点网络安全问题的应对机制。同时为了更好地开展信息安全保障工作,应加大网络安全的宣传力度,通过不同的途径和渠道让广大民众认识到信息安全保障工作的重要性和必要性,树立正确的网络安全意识,从而更好的遵守网络行为规范。还要打造一支网络安全意识强、安全管理能力高的专业化团队,为增强网络信息安全管理提供坚实的保障。除此之外,职能部门也应制定相应的安全管理计划方案,通过法律制度和标准,为信息安全管理工作的开展提供更好的政策依据。

2.2政府要加大对信息安全体系的构建力度

根据我国网络安全的重点问题,政府职能部门必须加强对信息安全的管控。可以采取试验试点的方式,对多种安全防治措施和方案进行探索和研究。在研发过程中可以从用户身份识别、信息来源追踪及用户对所接受消息的检测三个角度进行分析。譬如研发一套规范的数字证书验证体系,对网络用户的身份进行实名制认证,实现对用户信息和权限的系统化管理。这样,一旦发现问题,便可以立即采取有效的措施进行解决,从而创建一个安全的网络服务平台。

2.3构建健全的网络信息安全保障体系

在网络信息安全保障体系的构建过程中,除了做好基础保障工作,还应该不断地提高网络管理者的专业技能,完善网络体系的硬件和软件,让体系内的各个组成部分都拥有自身安全管理的机制。同时应明确网络环境中信息保护的根本目的,围绕信息安全的各个方面开展工作,提高和改善网络信息安全系统的监测能力、恢复能力、防御能力、反击能力、预警能力及应急能力。只有具备了以上六项能力才能做到运筹帷幄,对网络安全进行全面监控,对入侵行为进行有效的反击,对突发问题做出快速反应和及时处理,对数据信息进行合理的备份存储,使网络安全管理效率得到最大程度的提升。此外,还应制定一套系统自检测方案,对系统的安全性进行定时检测,对其中存在的漏洞问题进行处理,完成网络设备的自主检测和检测结果分析汇报。

3结语

篇5

关键词:信息安全;安全技术;网络

中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 06-0085-01

一、信息安全的定义

20世纪70年代以前,信息安全的主要研究内容是计算机系统中的数据泄漏控制和通信系统中的数据保密问题。然而,今天计算机网络的发展使得这个当时非常自然的定义显得非常不恰当。首先,随着黑客、特洛伊木马及病毒的攻击不断升温,人们发现除了数据的机密性保护外,数据的完整性保护以及信息系统对数据的可用性支持都非常重要。其次,不断增长的网络应用中所包含的内容远远不能用“数据”一词来概括。综上分析,信息安全是研究在特定的应用环境下,依据特定的安全策略对信息及其系统实施防护检测和恢复的科学。

二、信息安全面临的威胁

由于信息系统的复杂性、开放性以及系统软件硬件和网络协议的缺陷,导致了信息系统的安全威胁是多方面的:网络协议的弱点、网络操作系统的漏洞、应用系统设计的漏洞、网络系统设计的缺陷、恶意攻击、病毒、黑客的攻击、合法用户的攻击、物理攻击安全、管理安全等。

其次,非技术的社会工程攻击也是信息安全面临的威胁,通常把基于非计算机的欺骗技术成为社会工程。社会工程中,攻击者设法伪装自己的身份让人相信就是某个人,从而去获得密码和其他敏感的信息。目前社会工程攻击主要包括的方式为打电话请求密码和伪造E-mail。

三、信息安全相关的防护理念及其技术

计算机信息安全技术是针对信息在应用环境下的安全保护而提出的。是信息安全基础理论的具体应用。安全技术是对信息系统进行安检和防护的技术,其包括:防火墙技术、路由器技术、入侵检测技术、扫面技术等。

(一)防火墙技术

防火墙是指设置在不同网络(如可信任的企业内部和不可信任的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据个人的安全政策(允许、拒绝、检测)出入网络的信息流,且本身具有较强的抗攻击能力。一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证和审计等)配置在防火墙上。

(二)路由器技术

随着网络各种领域应用的日益普及,网络信息安全问题趋于复杂化和多样话。针对网络存在各种安全隐患,安全路由器必须具有如下的安全特性:

(1)可靠性与线路安全(2)身份认证(3)访问控制(4)信息隐藏

(5)数据加密(6)攻击探测和防范(7)安全管理

(三)物理隔离器技术

隔离卡技术是将一台计算机划分成两个独立的虚拟计算机,分别连接公共网络和网络。通过隔离卡,用户的硬盘被划分为公共区和安全区,装有独立的操作系统和应用软件。当用户在公共区启动时,计算机连接公共网络;当用户在安全区启动时,计算连接网。

(四)防病毒技术

1.虚拟机技术

虚拟机技术是国际反病毒领域的前沿技术。这种技术更接近于人工分析,智能化极高,查毒的准确性也极高。虚拟技术的主要执行过程如下:

在查杀病毒时,在计算机内存中模拟出一个“指令执行虚拟计算机”,在虚拟环境中虚拟执行可疑带毒文件在执行过程中,从虚拟机环境内截获文件数据如果含有可疑病毒代码,则说明发现了病毒。杀毒过程是在虚拟环境下摘除可疑代码然后将其还原到原文件中,从而实现对各类可执行文件内病毒的杀除

2.监控病毒源文件

密切关注、侦测和监控网络系统外部病毒的动向,将所有病毒源堵截在网络入口处,是当前网络防病毒技术的一个重点。趋势科技针对网络防病毒所提出的可以远程中央空管的趋势病毒监控系统不仅可完成跨网域的操作而且在传输过程中还能保障文件的安全。

3.无缝隙连接技术

无缝隙连接技术也叫嵌入式杀毒技术。通过该技术,我们可以对病毒经常攻击的应用程序和信息提供重点保护。它利用操作系统或应用程序提供的内部接口来实现对使用频度高、范围广的主要应用软件提供被动式的保护

4.检查压缩文件技术

检查压缩文件中的病毒有两种思路。第一种思路:首先必须搞清压缩文件的压缩算法,然后根据压缩管理算法将病毒码压缩成病毒压缩码,最后根据病毒压缩码在压缩文件中查找以判断该文件是否有病毒。另一种检查压缩文件中病毒的思路:在搞清压缩文件的压缩算法和解压算法的基础上,首先解压待检查的压缩文件。随后在解压后的文件中检查病毒码来判断该文件是否有病毒,以此来说明原压缩文件是否有病毒。最后将文件还原成原来的压缩格式。

四、建立网络安全体系的必要性和发展信息安全体系的重要性

国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。

完整的信息安全保障体系建设是信息安全走向成熟的标记,也受到了国家和众多企事业单位的重视。信息安全保障体系的建设,必须进行科学的规划,以用户身份认证为基础,信息安全保密为核心,网络边界防护和信息安全管理为辅助,建立全面有机的安全整体,从而建立真正有效的、能够为信息化建设提供安全保障的平台。

参考文献:

[1]徐茂智,雏维.信息安全概论.人民邮电出版社,2007

篇6

关键词:档案信息;安全保障;体系;构建

今天是一个科技高速发展的时代,信息技术越来越发到,为人们的生活带来了极大的便利性。社会发展朝着信息资源整合、共享的方向发展。随着信息资源整合数字化的脚步不断加快,信息网络化逐渐普及,档案信息化的进程不断加快,数字档案资源借助档案信息系统管理程度不断加深,档案信息的安全性要求越来越高。因此,提高档案信息风险控制能力,加强档案信息安全管理水平,档案信息资源的价值才能有效的发挥起来。

1 档案信息安全保障体系建立的必要性

(一)档案信息特点环境必要

档案信息作为国家信息资源的重要组成部分,因其真实性等特点,需要不断提高对档案信息的重视程度,切实做好保护措施。今天,是信息化的时代,电子档案的传统特点随着信息化的到来而受到质疑。加强档案保护的呼声日渐高涨,档案信息安全已经从原本只做保管向安全保障的方向发展。对于档案的保护工作在早期只在档案保管与内容保密上,到了中期,发展为保密、完整以及可用,最后发展为完整、保密、可用、真实、可控、可申以及不可抵赖。

(二)档案信息安全价值必要。

实现档案信息价值可以依赖档案信息安全保障体系的建立,其具备现实基础的意义。为社会提供服务以及供公众使用的档案信息必须具备真实、完整、准确、有效才行,这就需要档案工作的所有环节都要把防护工作做到位,提高安全思想意识,严格按照“预防第一,防治结合”的方针,制定有效的措施,确保档案信息的真是可用,并最大化档案信息的价值,充分发挥其作用。档案信息安全保障体系的建立,对档案管理事业的发展以及国家信息安全保障体系的建立起到重要的推动作用。

2 影响档案信息安全的因素

(一)自然因素

自然界是档案信息资源存在与运用的主要方面,因此,自然灾害对档案信息的危害极大,能够直接造成档案信息资源的安全隐患发生。

(二)环境因素

为档案信息带来安全隐患的因素还有环境条件的不符合,比如,控制档案信息的网络中心以及工作站会因为环境要求不达标,在成电源质量差、温湿度不合适等现象,再加上空气污染以及有害生物的作用下,很容易为档案信息造成不利影响。

(三)技术因素

对于纸质档案来说,纸张自身的耐久性与造纸技术有着极大的关联性。新型载体档案而言,决定档案信息的安全因素是载体的质量、计算机技术等因素。比如网络安全漏洞、计算机故障等,都会对信息安全带来不利影响。

(四)社会因素

第一制约档案信心安全的重要因素之一资金短缺。资金投入不足,很容易造成档案信息安全软、硬件设备的质量问题。第二,社会暴力等因素,也会为档案信息资源造成安全问题。随着我国互联网的不断发展,各种势力都会利用互联网进行危险活动,因此,很容易造成档案信息的安全问题。

3 档案信息安全管理保障体系

档案信息安全管理体系管理占据重要地位,另外还需要技术的达标。档案信息安全技术保障体系需要档案信息安全管理体系做支撑。剧相关统计表明,信息被盗、信息泄露的根源在于内部管理的松懈,系统内部是计算机安全问题的根源,这些情况的发生主要是因为相关人员思想意识松懈以及管理体制的缺失造成。所以,信息安全技术系统建立之后,相应的管理制度也要紧随其后,两者相辅相成,切实将档案信息安全保障体系落到实处。

(一)建立健全档案信息安全管理制度

相应的安全管理制度是档案信息安全管理与档案信息工作落实到位的重要保障。因此,首先要做好统筹规划工作,将“收、管、存、用”落实到位,制定科学有效的档案信息安全管理方案。其次,相应的档案信息安全管理部门要设置,专门监督档案信息安全与保密管理工作,确保档案信息系统各个方面的工作都落实到位。最后,相应的规章制度的建立,比如安全防范责任制、重要数据与文件管理制度、紧急备份与应急预案等。只有从制度上对安全工作进行约束与规范,才能提高安全管理工作,做好预防工作,将危害的损失降低到最小,切实将档案信息安全体系作用发挥到最优。

(二)加强人员档案信息安全培训提高安全意识

档案信息安全保障体系的核心是人,这不仅是档案信息系统的拥有者,也是管理者与使用者。因此,培养专业的档案信息人才,建设档案信息安全管理队伍,提高相关工作人员的档案信息安全意识,对不同层面的人员做好安全管理工作培训是建设档案信息安全保障体系的关键。只有将人员素质提高了,档案信息安全保障体系工作才能顺利进行。

(三)制定n案信息安全标准规范

根据国内相关法律法规以及行业标准规范、严格按照业界管理,结合自身实际情况,构建档案信息安全保障体系。现阶段,国家档案局以及编制好《档案信息系统安全等级保护定级工作指南》,为指导各省级以上的档案信息安全工作。但是,不可否认的是我国档案信息安全保障体系还处在建设的初级阶段,相比于信息安全保障体系的研究差距还很大,所以,在实施档案信息安全保障体系的过程中,可以参考国内外信息安全保障体系的相应标准规范。只有制定科学有效的档案信息安全标准与规范,档案信息安全工作才能有规可循,建设过程中不必要的工作也会相应的减少,从而更好的规范与保障档案信息安全。

我国信息资源的重要组成部分之一档案信息资源,对我国未来信息资源的安全有着重要的影响。档案管理工作的最基本也是最重要的任务就是档案信息安全保障工作。构建档案信息安全保障体系是发展的必然结果,而这也是一个不能缺少的体系。档案信息安全保障体系的构建,需要从档案信息安全的各个方面做好整体的计划,结合管理与技术,结合不断变化的环境需要制定具体的措施,同时还要根据档案工作的形式做好时时的调整与改进工作。

参考文献

[1]宋丹.基于信息安全风险评估机制的档案信息安全保障体系建设研究[J].档案时空,2013(12).

[2]顾倩倩.加强档案安全保障体系建设确保事业单位档案信息安全[J].才智, 2015(15).

篇7

人类社会的发展,离不开对于档案信息的管理。档案,对于人类文明等具有重要的意义,在我国的历史上就有对于档案保护的记载和研究,但是发展水平还是比较低下。随着信息化时代的到来和随着档案信息化建设的不断推进,如何加强数字档案的信息安全,重要性日益突出。如何建立安全的数字档案信息保障体系,成为了广泛关注的话题。虽然我国在近年来颁布了《全国档案信息化建设实施纲要》,但是相关的法律法规和制度体系还不够完善。信息安全保障自美国在1996年提出以来,随着信息化的推进,已经在全球传播开来。在关于数字档案信息安全保障体系方面的研究也越来越繁多和深入。

1、数字档案信息安全保障体系:

档案信息安全保障体系的建构是一个系统工程,需要多方的参与和合作。档案信息安全保障体系包括档案信息安全管理体系、档案信息安全技术体系、档案信息安全法规标准体系、档案信息安全基础设施体系、档案信息安全产业支撑体系、档案信息安全人才培养体系等。

信息安全管理体系,侧重于从整个系统的管理出发,对于相关的管理体制的建立;信息安全技术体系,主要目标是维护信息的具体技术安全;信息安全法规标准体系的含义,则是侧重强调法律法规对于信息安全相应的标准的制定,即通过立法,制定符合行业和国家发展的相关标准和制度;而基础设施的建设,是建设的重点,没有完善的基础设施作为基本的保障,即使其他方面的建设有多么完善,也会对数字档案信息安全保障体系的建立产生不利的影响。最后,在建设数字档案信息安全保障体系的过程中,只有从各方面来完善和改进,才能够使整体的合力发挥到最大,从而促成该体系的建构。

2、数字档案信息安全保障体系的特点及问题:

2.1特点

由于现代化的档案信息管理依靠计算机信息技术的发展,有别于传统的档案管理,大量的信息通过计算机得以储存,因此,对于计算机等硬件和软件的依赖性较大。另一方面,大量的信息储存在网络和计算机上面,由于黑客、计算机病毒、系统故障等,会使得大量的数据的存储受到威胁,因此,如何保障档案信息的安全成为了一个大问题。由于数字档案信息存储格式的复杂多样性,如图像、文字、声音和视频等,因此,增加了相应的数据档案的管理工作的难度和复杂性。

同时,由于我国的档案信息安全管理的法律法规建立还不够完善,而数字档案信息需要一定的标准来处理,因此建立一定的标准体系显得尤为必要。

2.2问题

2.2.1软硬件设施不够完善

文件的保存需要一个安全的管理环境和管理档案数据的系统,对于数字化的信息,一般将其保存在计算机和光盘等存储设备中,但是就我国目前的发展情况而言,我国计算机技术的发展比较缓慢,且起步比较晚,因此,数字档案信息的保存体系还不够完善,相关的软硬件设施还有很多的不足之处。另一方面,软硬件,如光盘等自身容易损坏,从而也不利于档案的管理。

2.2.2法律法规和管理体系建立不够完善

近年来,我国不断地强调依法治国,虽然大的法律框架体系已经建立了起来,但是,就具体的法律法规而言,还是不够完善。近年来,我国虽然相继出台了一些关于数字档案信息安全保障体系的法律法规但是这些法律法规大多相对滞后不能满足数字档案信息安全保障体系的需要,完全不能够适应社会发展的需要。同时在具体的管理工作当中,我国的数字档案信息管理体系与西方发达国家相比,还存在较大的差距。

2.2.3相关人员缺乏必要的专业素质,对问题认识不足

随着社会经济的发展,在档案管理领域,对于相关的专业人才的需求也不断加大,呈现出供不应求的状态。但是,我国的档案管理专业人员与西方发达国家相比较而言,人员素质普遍偏低,同时,在管理工作大的具体操作过程当中,相关工作人员对于档案的重要性和具体分类等问题认识不到位,以致许多档案管理混乱,严重影响了我国数字档案信息安全管理体系的建立。

3、相关对策

3.1加强我国数字档案信息的软硬件设施建设

数字档案信息保存时间的长久与计算机和光盘等媒介有着直接的关系,其质量的好坏关系到档案保存的安全。因此,在保存数字档案信息的过程当中,不能忽略和软硬件设施的质量,如何加大软硬件设施的投入,加强数字档案信息的保存是一个值得引起注意的问题。所以,在数字档案信息安全保障体系的建立中,要大力加强软硬件设施建设研究。

3.2加强相关法律法规建设

法律法规为我们提供了一些生活中解决问题和处理纠纷的依据,在数字档案信息安全保障体系的构建中,建立一套完善的数字档案信息安全保障的法律法规,是保障数字档案信息的安全与依法管理数字档案信息的重要保障。建立健全相关法律制度,能够有效地保护我国的信息安全,从而打击不法分子的嚣张气焰。在我国依法治国的建设过程中,加大各方面的法制建设,必定会促进我国的公平和谐发展。

3.3加强专业人员的培训

篇8

关键词:电子档案;实体档案;信息安全

1引言

档案信息资源作为一种重要的社会资源,保障其安全是十分有必要的。但是在社会的信息化发展中,由于法律法规的滞后、保存环境的不合理、保存技术的不成熟、管理人员专业水平的欠缺,使得档案信息的安全性受到了极大的挑战,因此档案信息安全保障体系的建设需要尽快完善。

2档案信息安全保障体系的建设现状

保障档案信息的安全具有很重要的现实意义,然而在实际操作中,保障档案信息的安全工作受到了很大的阻力和压力。第一,相关法律法规制度的建设相对滞后,给了很多不法分子可趁之机,使其可以低成本地、轻易地盗取、买卖、损坏档案信息[1]。第二,档案信息保存困难,尤其是实体资料。由于保存时间较长,很多档案资料存在字迹模糊、无法辨认的问题;还有的在较长的保存时间中,经历了很多任档案管理员的整理,使得查找起来十分困难,比如文字图片资料混合在一起、标签缺失、编号混乱等等。电子档案的保存也一样不容乐观,因为我国的电子档案信息化保存的发展历史还比较短,安全系统还不够完善强大,所以常常会受到黑客的攻击和病毒的侵扰;高素质、高技术的专业电子档案信息管理人员的缺失,也极大的延缓了档案信息电子化保存的工作进度。

3档案信息安全保障体系建设问题的解决策略

3.1完善法制保障

国家层面上,相应法律法规的修订和完善是保证档案信息安全保障体系健康安全有序发展的前提条件和依据。在修订中,也要注意循序渐进,多借鉴国外的相关成功经验,同时找到适合国内国情的特色方法。企业层面上,应当在规则允许的范围下,合理运用先进的技术和方法做好档案信息安全保障体系建设工作,管理分工明确、责任具体落实到个人、自己负责好自己的部分、尽量不要出错。在合作中逐渐形成有效有序的安全管理系统,确保每一步都有理有据、安全可行。从业人员层面上,档案信息安全工作人员需要具备较强的法律意识、服务意识、责任意识和过硬的专业技术能力,充分发挥每一位从业人员的主观积极性和创造性,并定期开展相关培训活动和交流会,使其工作能力不断提升,从而为档案信息安全保障体系的顺利建设奠定基础。例如近日铜仁市纪委市监委出台的《铜仁市市管干部廉政档案管理暂行办法》,通过法规的出台使1300余名市管干部档案信息安全得以保障。该《办法》遵从“一人一档”、“逐步完善”、“动态更新”的原则,同步建立电子廉政档案、纸质廉政档案和文书档案,全面收集归档反映全市在职市管干部廉政情况的信息和材料,梳理形成清单,实现一人一档、全面覆盖。同时,廉政档案实行集中管理、由专人负责、保持动态维护更新、严格执行保密相关规定,保证廉政档案的使用安全。

3.2加强管理保障

3.2.1改进工作方法

在电子档案保存过程中,首先硬件技术要能相匹配,计算机设备、扫描仪以及安全的移动硬盘都是不可缺少的。其次,在扫描过程中,也要在保证内容完整性的同时保证字迹的清晰度。再次,在保存过程中,既要严格清理存储在电脑中的信息,避免被盗,也要做好备份工作,防止丢失。最后,不把鸡蛋放在同一个篮子里,做好档案的分类和多重备份工作,也是抵御风险的一种有效办法。除此之外,在档案信息安全管理中,也可以使用防火墙技术、设置高级密码技术、高级人脸识别技术、指纹识别技术、多重密码防护技术以及软件定期查杀病毒的方式来增强信息的安全性。只要每一个步骤都严格控制,形成有效的安全保障体系,就可以避免不必要的损失,增加档案信息的安全系数。例如资阳区社保服务中心的业务资料整理归档工作,其按照档案管理规范化标准,全面收集应归档的各类文件、业务资料以确保档案的完整性;并且按照业务资料归档要求,规范化、系统化的完成装订、整理、分类、编号、装盒整理工作;同时按照档案保管要求,文件、资料的归档全部使用专用档案盒,并规范档案管理、保管、借阅等各项制度。每一步工作都认真负责、严格落实,以确保档案的保密性和安全性。

3.2.2提升人员素质

由于在档案信息安全工作中会遇到各种各样的突况,对档案信息安全工作人员的业务水平提出了很高的要求。因此,每一个从业者都必须不断提升自己的专业知识,做好行业培训工作,丰富自己的知识体系,提高自己的服务意识和安全隐患意识。并且需要多与各自领域的专业人才交流,强强联合以开阔思路,优化工作方式。

3.3强化技术保障

技术支持保障属于档案信息安全保障体系中的刚性保障,对整个体系的构建至关重要。对于实体档案,主要考虑保存环境与档案修复两个方面。其中配备合理的保存环境是保障实体档案信息安全的基础。保存环境的优劣会直接影响到档案的保管情况。保存环境的合理设计与建造能使档案得到更加长久、安全、完整的保护。当档案在保管、利用的过程中出现字迹模糊、纸张老化、硬盘受损、胶片褪色等现象时,修复技术的存在就是挽救实体档案信息安全的最后一道屏障。纸质档案修复技术主要包括:去污与去酸技术、加固与修裱技术、字迹恢复与显示技术等,而磁盘、光盘受损后目前技术还很难做到有效恢复[2]。

篇9

关键词:档案;安全保障;建设;研究

引言

档案信息安全作为档案管理工作的重中之重,一直以砭捅甘芄刈。但由于近年来受到自然灾害和信息技术发展的影响,档案信息安全再一次牵动了所有人的心,一旦发生安全隐患,将会造成一系列的连锁反应,对国家以及人民的生活形成恶劣影响。所以,对于加强档案信息安全保障体系的建设已是迫在眉睫。相关档案部门应要不断完善档案信息管理体系,从理论和实践两个角度对档案安全保障体系构建问题进行了全方位的分析和研究,以进一步提升了各级档案部门的档案安全保障能力。

1档案信息安全保障体系构建的依据

首先,加强档案的安全保障体系建设是针对我国当前的国情而定的体系准则。能源资源、信息资源是当前各个国家关注和争夺的非常重要的战略性资源,即使是国际上也都有真实的案例来反映出敌对势力运用各种途径和手段来获取档案信息,这也是当前新形势下首要应对的挑战。

其次,加强档案的安全保障体系建设是应对自然灾害的客观需求。自然灾害基本上人们只能尽最大努力去预防,现阶段并没有任何一种自然灾害是人为可以控制的,像地震、火灾、水灾、海啸、泥石流,等等,这些自然灾害一旦发生时是没有预知的,最重要的是这些自然灾害没有可抗拒性。因此对档案的实体危害也是最大的。地震和海啸对档案馆造成的后果是不可预知的,同时也给档案馆的灾害防治工作敲响警钟。

再次,加强档案安全保障体系建设是为了更加有效地解决我国档案安全体系存在问题的需求,很多档案管理部门对档案安全保障工作的理解都是非常的单一,其实档案安全主要分为载体安全保障和信息安全保障两种。一部分档案是呈现出显性状态,而一部分档案则是呈现出隐性状态,但是由于对档案安全保障体系理解的局限性,使得在实际的工作中,很多的档案管理方法和档案管理措施都非常传统,没有任何创新之处,安全工作的重心也出现了偏移,更加注重于基础设施的投入,对档案管理的长期维护并没有投入太多的时间和精力,有些地区甚至对这部门是忽视的,没有任何的精力投入,导致整个档案管理缺乏足够的安全意识和风险意识。

最后,档案安全保障体系建设是提升档案管理水平的有效途径。档案安全保障体系建设一定要以档案安全保障理论为指导依据,在综合了管理、人员、技术、手段的基础上,创建动态的、开放的安全保障体系,进而有效保障档案信息的安全。而创建档案安全保障体系还能够从根本上提高我国对档案文献的保存年限,实现档案的全方位控制,从根本上解决档案安全保障实施过程中的一些难题,提高档案安全保障体系的水平。

档案安全保障体系的构建还有效促进了我国档案安全保障从机构层面向国家层面的转变,从之前的单一技术向集成化技术转变,不断完善档案管理措施和技术措施,将档案安全保障体系成功的纳入到我国的档案建设计划中。档案安全保障体系的创建,意味着我国档案安全保障能力建设逐渐向系统化、集成化和规范化的方向发展。

2档案信息安全保障体系构建的研究

档案安全保障体系会涉及档案遭受安全威胁等多方面的问题,属于非常复杂的系统性工程,而且目前的档案安全管理以及档案保存还存在很多不安全因素。研究人员通过对档案风险进行分析和评估,确定了安全系统所面临的安全风险,进而找出安全风险的一些防范措施,进一步保证了档案管理的相关安全策略。档案安全问题的解决不仅仅需要解决技术方面的问题,还需要对档案安全保障各个环节的管理及组织问题进行详细的分析对比,进而形成一个目标明确、技术措施有效的档案安全保障体系,这一保障体系的核心思想主要是将档案的管理全过程以及技术安全等措施设计成为一个相对完整的、统一的安全保护平台,并且以管理活动为主线对档案安全保障体系进行分层防御,从而实现档案的层次性管理。现阶段我国的档案安全保障体系主要包括三个子系统,分别是档案管理安全子系统、档案维护安全保障子系统和档案新资源开发利用安全保障子系统,这三个子系统与档案的生命周期息息相关,所覆盖的领域也非常广泛,档案基本上涵盖了我国社会各个领域的内容。概括起来主要有以下几个方面。

2.1安全基础设施

安全基础设施主要是指维护档案安全、保障档案开发利用,为社会提供方便服务而进行的一系列基础性建设工作,这一阶段对档案管理的主要内容有档案的保管环境管理、档案利用设备管理、档案维护监控设备管理,等等。

2.2安全组织管理

这里所说的安全组织管理主要是指对当前档案机构部门安排与人员的教育培训方面进行安全方面的强化。从整体组织上来不断完善各个部门的安全管理职能,进一步加强各个部门之间的业务协调与经验交流,从管理层面上入手对工作人员进行培训和管理,从实际的人员操作入手,对一些不规范的操作要及时的予以纠正,而对那些有较大操作问题的则需要进行安全意识方面的教育。

2.3安全全程控制

安全全程控制主要是指对档案从形成立案之后直至销毁的各个过程都要进行非常严格的控制。具体控制内容如下:

第一是前端控制。这一阶段需要工作人员在所有的安全保障活动之前进行设计和准备。

第二是日常档案维护。这一阶段主要是对档案库房中的一些档案进行实时的安全监控管理。

第三是对灾难档案进行备份处理。这一阶段所接触的重点是恢复那些因自然因素和人为因素造成损坏的档案,及时发现问题,并快速响应问题。

第四是防止档案信息出现损坏和丢失。禁止人员擅自损坏删除档案,对恢复和抢救档案的过程要进行全程的记录。尽量避免出现二次档案伤害。

第五是对档案进行质量检查和评估。在各项档案工作完成之后,还要对档案的质量进行事前记录和事后对比,并对不同阶段的档案质量进行对比分析,查找出质量较差的档案,对其信息进行备份,并及时修复这批档案。

第六是对档案的风险进行预测。要对档案工作的全过程都进行风险评估,及时预测可能存在的潜在风险以及可能出现的一些后果,做好准备工作,并创建风险评估模式与指标体系。

2.4安全法规标准

这一标准主要是制定了详细的法律法规,是为了保障档案中各项安全保障活动都能够有法可寻。但是从我国当前的档案管理情况来看,很多档案馆都还是沿用传统的管理手段,档案安全保障体系的建立与开发等制度都会出现这样那样的问题。由此可见,档案安全保障体系的创建有利于档案的系统化管理,对建设中国特色的档案管理有极强的现实含义。

篇10

关键词:电子档案;信息安全;保障;策略

电子档案是档案发展的产物,但是随着时代的不断发展和社会的不断进步,信息技术取得了快速发展,档案存储介质、信息技术的不断更新、黑客以及监视都是影响电子档案安全的重要因素。本文主要对电子档案安全保障策略的研究情况进行了分析。建立健全法律管理手段

1 电子档案信息安全保障策略概述

电子档案信息安全和国家信息安全有密切联系,要做好电子档案信息安全保障工作,其一,将电子档案正式纳入到法律保障的范围内:目前我国的档案管理仍然处于一个非常懵懂的状态,并不具备一个完善的法律体系,在诸多方面都存在诸多的漏洞和空白,只有将档案管理正式纳入法律的管辖范围内,才能够对电子档案的安全管理起到敲山震虎的作用,从根本上解决对电子档案的安全管理的法律保障问题。完善的电子档案法律管理体系主要包含电子档案信息公开制度,电子档案信息隐私保护制度,以及电子档案的管理制度等制度都应一一进行完善,这项工作任重道远,切不可一蹴而就,必须按部就班的妥善的对这些法律逐一进行斟酌,有效保障电子档案管理法的可执行性。

其二,要制定专门的电子档案信息安全法,现阶段我国的相关的档案的管理法律条文都零散分布于其他法律体系里,但是没有专项的电子信息安全法,在这种情况下,保障电子档案信息安全的执法力度不能够得到充分的保障。电子信息档案信息的安全对国家和社会的安全有着非常重要的作用,必须制定坚实的法律对于保障人们生命财产安全有着非常重要的保障意义,执行电子信息档案的信息安全行为以及保障措施都有着非常重要的影响因素,制定专门的法律法规能够对电子档案的执行进行良好的保障。同时,必须对法律的执行力度进行严格的贯彻落实,只有将书面的法律落实到实处,才能够从根本上解决电子档案信息的安全问题,彻底保障电子的档案信息的安全性。

2 保障电子档案信息安全的策略

传统的纸质档案信息管理是和其载体―纸张密不可分的,所有信息都是固化在纸张当中,信息只有依附在纸张上才能够保存下来并用于传递或者交流,一旦纸张发生任何就可能使信息发生消亡,档案信息的存在也就变得没有意义,因此,保障纸质档案的安全实际上就是对其载体的保护,只要保住了纸张,就保住了记载于纸张上的信息。相对于纸质档案,电子档案的保护较为复杂,因为电子档案的信息和载体具有可分离性、电子信息对系统具有一定的依赖性,并且电子档案可能受到电脑病毒的影响,这些都因素都增加了电子档案信息安全保障工作的难度。

(一)建立健全应急防范机制

当今时代是一个信息时代,信息安全和国家安全密切相关,因此,世界各国都在积极主动地采取措施提高信息安全性,以求在当今时代取得主动权,我国信息技术起步较晚与发达国家存在一定的差距,这就导致了我国的信息安全极易受到窃听、干扰、黑客攻击等因素的威胁,档案信息安全是信息安全的主要组成部分,我国取得信息主动位置的战略和保障档案信息安全工作有密切的联系。为了保证国家电子信息安全,一定要建立健全应急防范机制,首先要从全社会以及相关的档案管理部门做起,对相关人员进行业务培训,提高他们的电子档案信息安全意识,在培训活动中要将国家制定的电子信息安全以及档案管理的相关规定,积极开展电子档案安全教育工作,不断提高电子档案信息安全管理人员的责任感和,使其能够自觉地把电子档案信息安全保障工作放在首位。

建立应急防范机制,对电子档案信息安全管理工作可能出现的问题进行预计,并且提出有针对性的建议,一旦发生危机,能够及时协调各方面,及时进行反应,保证电子档案信息安全管理工作安全运行。

(二)建立良好的载体保护环境

电子信息档案可以和载体进行脱离,电子信息档案能够按照脱机的方式进行储存,用于储存电子信息档案的载体可以是磁、光介质,因此,在进行电子档案管理时,工作人员应该创建一个适宜磁、光介质的载体保护环境,首先应该保证电子信息档案是储存在专用的档案馆之中,并且该档案馆必须具有恒温、恒湿的环境,并且要具有配备自动调温调湿设备、自动喷淋设备以及监控设备,使档案馆的稳度在18°左右,相对湿度在15%~40%之间,在此温度湿度范围内,电子档案载体能够长期保存。其次,在形成和保存电子档案时应该采取高质量的除尘措施,尘埃会影响电子档案载体的保存,最好能够使用较为先进的除尘设备,并且定期采用专业的措施对除尘设备进行养护,保证设备的高质量运行,减少灰尘对电子档案载体的有影响。第三,电子档案存放馆应该避免直接在阳光下暴露,防止紫外线对其造成伤害,通常情况下,电子档案存放馆不宜设置东西向的窗,为了保证自然通风而需要设置南北向的窗时,可以通过悬挂窗帘、安装百叶窗、蓝色吸热平板玻璃或者氧化钴玻璃等措施来保证室内环境适宜保存电子档案。第四,电子档案存放室应该远离磁场、以及易产生废气的工厂,在对档案载体进行移动时,必须要轻拿轻放,防止由于搬运对载体造成破坏,在选用存放柜时,应该选用防磁柜,防止柜子对电子档案产生磁化作用。

3 结语

综上所述,当今时代是一个高速发展的信息时代,科技快速发展使电子档案成为主流的档案形式,电子档案给人们提供了巨大的方便,档案制作、存储、管理、调用工作难度越来越小,但是于此同时,电子档案的信息安全问题也日益突出,我国的电子档案管理起步较晚,其安全保障措施较发达国家还存在一定的差距,只有采取有效的电子档案信心安全保障措施才能保证电子档案信息安全,提高电子档案的信心安全性,本文讲解了信息时代下电子档案信息安全的保障措施,希望能够给相关人员一定启示,促进电子档案信息安全保障工作的快速发展,为我国的信心安全提供保障。

参考文献

[1]马仁杰,刘俊玲. 论电子档案开放利用中信息安全保障存在的问题与对策[J]. 档案学通讯,2012,03:56-60.

[2]袁晓瑛. 浅论电子档案的信息安全保障[J]. 科技创新导报,2009,16:249+251.

[3]王拴勋. 论信息时代电子档案信息安全保障策略[J]. 商洛师范专科学校学报,2005,04:26-30.

篇11

关键词:信息异化;信息安全;安全保障策略

中图分类号:G202 文献标志码:A 文章编号:1000-8772(2013)09-0170-03

引言

在当前的错综复杂的信息环境中,信息随着信息环境多样化的发展,变得更加的丰富与多样。在信息的传播过程中,信息异化现象的越发明显,不仅给人们获取和利用信息带来了障碍。而且也进一步地影响了人们信息活动的安全。

“异化”(alienation)源于拉丁语alienation,有转让、疏远、脱离、差异和分离之意。所谓信息异化,是指人们创造的信息在生产、传播和利用等活动过程中,因受到各种因素的干扰,而导致信息丧失原有的内涵,甚至反客为主演变成外在的支配、统治和控制人的异己力量。简单地说,信息异化就是作为主体的人与作为客体的信息之间产生关系的颠倒,从而使人丢失了自身的主体性。由此可以看出,信息异化扭曲了信息的本质,直接影响了信息的合理利用,而如何客观的认识信息异化环境,准确处理信息异化问题,是我们必须解决的核心问题。

信息安全是信息异化所涉及到的最为敏感且重要的问题之一。关于信息异化在信息安全方面的研究,其采用的处理手段主要集中在信息导航、信息过滤控制以及信息安全保密角度三个方面。信息导航作为展示信息资源内容与结构的基本手段,以有序化的方式体现无序化的信息,为用户提供方便快捷的信息指引;网络信息过滤作为筛选信息、满足用户需求的有效方法,通过运用一定的标准和工具,从大量的动态网络信息流中根据用户的信息需求选取相关的信息或剔除不相关信息;信息安全保密控制的核心在于融合管理、技术、执法几种手段综合加以治理,通过内部网的安全保密技术以及内部网与外部网的防火墙技术隔离技术确保内部网的安全,同时细化电子文件密集,完善身份验证、存取控制、数据完整性、数据机密性、防火墙技术、安全协议等手段,实现信息安全技术的应用。

现阶段对于信息异化中信息安全的研究大多都处于强针对性条件下的研究现状,单一的目的性导致了信息异化影响无法完全消失,信息污染无法被彻底地清除,信息安全依旧得不到完善的保障。因此,本文旨在参照目前信息异化的现状处理的不足,在分析现有的安全保障系统缺陷的条件下,提出一套系统性的安全保障模式。

一、现有的企业信息安全保障系统

目前,国内外与信息异化环境下的信息安全保障相关的系统结构主要为OPSEC安全保障策略和网络信息创新平台。

(一)安全保障策略(OPSEC)系统

OPSEC安全保障策略(Operation Seeurity),是美国国家安全局依照企业反竞争情报的理念设计的一套以分析信息的价值人手,针对信息的价值来确定所要采取的保护策略的安全保障系统。OPSEC的运行机制是通过鉴别和分析竞争对手想要获得的决定竞争成败的关键信息,确定关键信息的危害程度,采取措施进行补救减少威胁,同时对自身信息系统的所有过程进行检验和分析。找到直接危害信息安全的弱点并采取弥补措施,通过对自身弱点的分析,找到弥补措施的平衡点,并最终综合上述所有的环节进行研究,制定出综合应对策略嘲。

OPSEC在通过运用过程中通过全面分析信息找出存在的漏洞,通过分析这些漏洞是否值得保护而进行的筛选信息保护。OPSEC的应用偏重于针对一定信息的异化处理和安全保障,有利于在低投入的条件下从根本上清除相关的信息污染,但降低了针对信息自身的多变性和时效性的异化分析。

(二)网络信息创新平台模式

网络信息创新平台即建立在技术进步基础之上,利用信息科学的基本原理和方法实现人类信息处理扩展的技术模式。网络创新平台的着重点在于虚实与创新有机结合的信息技术模式,从提高信息技术的综合水平上加强安全保密措施。虚实与创新有机结合的信息技术模式,在于针对现代信息技术发展造成信息生产者创新能力的丢失以及虚假信息扩散的现状,发展出的一种将虚实和创新有机结合的信息技术模式,通过信息的时效性、开放性等特征,将各种现实信息紧密联系,实现不同媒介信息的融合,提升信息的创新价值,在信息生产的阶段,由于信息技术的促使信息量逐步提升使得信息在急剧增加的同时质量下降,而提高信息技术的信息加工传递的速率以及信息的辨别处理能力。当今的技术漏洞使信息安全受到了威胁,成为威胁信息安全的隐患。信息系统安全保密技术是防止信息污染发生的一项关键性技术系统,保障信息活动逐步规范化。

网络信息创新平台在理论上建立起了针对信息异化环境的信息安全保障系统,通过从信息的生产源人手,进一步体现信息的本质并兼顾自身的安全保障,对信息的处理和安全保障更加规范化。但目前信息安全的发展缺乏在信息安全应用上的创新研究,研究与应用发展不平衡性,没有覆盖信息安全的主要方向。

二、企业信息安全保障系统构建与分析

(一)核心目标

信息安全保障系统是指在信息环境下由信息安全的各个组成部分相互联系且相辅相成所建立的总体结构。在信息异化的环境下,信息污染将成为信息安全的首要威胁之一,因此对于信息异化的处理将成为信息安全保障的首要工作。

信息安全保障系统能否具有可行性的关键,在于系统自身能否解决异化环境中信息污染的处理问题,以及能否适应当前所面对的各种客观的信息安全保障环境和日益加剧的安全系统漏洞。

(二)企业信息安全保障系统结构构建

信息异化环境下的企业信息安全保障系统(如图1所示),该系统的关键在于将异化后的信息通过信息清理模块的初步处理,使信息的核心价值得以体现,再通过安全保障模块的核心进行分析处理与安全保护模块的信息加密,防止信息受到二次异化,从而使得信息价值得到充分的利用。

(三)企业信息安全保障系统的运行机制

信息异化环境下企业信息安全保障系统的运行机制(如图2所示):将信息异化环境中被异化的信息提取并选择与自身安全有关联的信息进行关键词挖掘,通过对异化信息中的核心词汇进行提取用以找到合适的信息源,同时对同信息源或同类关键词汇进行合成从而形成关键信息并进行分析和制定安全保障策略,最后通过设置的保密措施来对安全保障策略进行实施和成效反馈。因此,该信息安全保障系统中应包含信息清理模块、安全保障策略模块以及自身的安全保护模块三个部分。

(四)企业信息安全保障系统功能分析

1 信息清理模块

信息清理模块主要用以对信息异化环境中受到异化的信息进行初处理,其具体的实施功能为信息源选取、关键词挖掘和信息集成。

(1)信息源选取。对信息异化环境中的信息进行过滤,选取与目前对自身安全有关的信息,并确认信息的信息源。(2)关键词挖掘。通过对与自身安全相关联的信息进行语义挖掘,判断并找出信息中的核心词汇。(3)信息集成。明确信息的信息源,并将其与被挖掘出来的信息关键词进行关联分析,同时通过将信息源所发出的所有与自身目前相关的信息与挖掘LIJ的信息关键词进行匹配,找到合适的信息体进行合成。

2 安全保障模块

安全保障模块是以信息分析,策略制定和实施以及成效反馈为主要步骤来进行的信息安全保障活动。

(1)信息分析。将已经合成的信息进行分析,发现其对自身信息安全产生的威胁,并找到自身信息安全存在的漏洞。(2)策略制定。对信息威胁和发现的信息漏洞进行综合研究,制定}H相关补救策略,同时进一步加强总体性的信息安全保障。(3)策略实施。针对所制定的策略细节进行加密保护,再将加密后的策略信息进行实施和传递存储。(4)成效反馈。基于策略实施后的成效进行反馈研究,并将结果进行加密后返送至信息分析功能板块,通过对反馈的成效分析,查漏补缺,进一步制定和完善信息安全保障策略。

3 安全保护模块

安全保护模块的主要功能是保密措施,其运行机制在于对安全保障模块中保障措施的实施和反馈进行的加密保护,并通过一系列实践活动进一步对策略的实施给予保障。

三、实验分析与验证

(一)信息清理

目前从网络销售平台中,将某手机品牌制造企业生产的E型手机选取三条相关信息:

信息1:本品牌产品本月综合关注排行有所提升;

信息2:此E型手机的总销量为近两百四十台;

信息3:此E型手机本月销量上升一个百分点。

(二)信息挖掘与集成

现分别将以上三条信息的关键词进行挖掘与集成,即如下表所示:

(三)安全保障

根据集成信息进行分析,可以得出本产品具有一定的市场潜力,在品牌效应促使下产品销量也正在逐步提升,因此,保障品牌的可信度以及产品的好评率是取得客户信任的关键一环。针对此现象,制定出进一步打造品牌效应,加强广告宣传力度以及实行产品促销活动,争取更广泛的客户群体的提升策略。

在策略进行的同时,开展有偿回访,积极深入了解客户的内心需求,并针对客户的需求进一步完善产品的功能,并在产品平台的基础上研发功能更加全面的软件,进行升级下载。

(四)安全保护

在策略制定的过程中,为了获取准确的客户信息。需要在客户回访中,深入了解客户购机的背景以及用途,同时进行多层次的交流以及实行多次的效应评估和完善评价。在品牌宣传的过程中实施相关信息的及时反馈,并在促销活动中体现品牌诚信以及公信度,从而进一步保障策略准确的实施和虚假异化信息的有效防范。

四、结论

信息是人及其活动中不可缺少的要素之一。在社会信息环境中,信息异化会促使人们表现出对自己创造的信息环境的不适感。针对信息异化现象的控制,需遵循信息生产、传播和利用的利他法则。因此,信息行为也必须像其他行为一样受道德与法律的双重规范的约束。对于信息异化的控制,需努力寻找其根源,从多个角度进行控制研究,有效控制信息异化。

通过对于目前所提出的信息异化环境下的企业信息安全保障系统的阐述,我们可以从中发现系统性综合性的信息安全保障模式可以在信息异化的环境下,针对特定的信息进行相关异化分析,并在内部和外部环境下的信息综合评价进行安全保护。但作为系统性的运作模式,各模块由于其间特性的不同,从而导致的模块之间的衔接较为简单,因而形成了信息安全保护相对较低、对于个别综合性较大的异化信息所需进行的处理力度略显不够的状况。因此,进一步提升信息安全的防范指数,促进信息异化环境下的信息安全运作系统各模块间的衔接,下一步所需研究的核心问题。

参考文献:

[1]刘丹丹,孙瑞英,网络环境下信息异化的心理原因探析[J]图书馆学研究,2009,33(4)

[2]孙瑞英。信息异化问题的理性思考[J]情报科学,2007,25(3):340-344

[3]曾忠禄,情报制胜[M],北京:企业管理出版社,2000:281-283

[4]俞培宁,信息异化的成因及对策研究[J],图书馆学研究,2011(3):9-11

[5]张立彬,信息异化的根源及其控制研究[J],情报科学,2009,27(3):338-343

篇12

关键词 信息系统;安全;保障体系;技术;信息技术基础设施

中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)14-0137-02

油服信息技术应用与集中程度的不断深入提高,信息安全保障体系建设工作已成为信息化建设过程中的重要组成部分。油服具有地域分布广、业务复杂多样等特点,在信息安全形势多变的情况下,独立分散的安全措施已无法更好地满足安全防护需求。信息安全若不能得到很好的保障,将给公司的业务正常运作及办公稳定性、高效性和有效性带来影响。因此,需完善公司的信息安全政策方针、规划并建立符合油服实际情况的信息安全保障体系,采用先进的安全管理过程模式,完善信息安全管理制度与规范,提高员工的信息安全意识,提升风险控制及保障水平,以支撑油服核心业务的健康发展。

1 信息安全保障体系

1.1 信息安全保障体系建设需求

油服在信息安全方面已部署了部分信息安全防护措施,如划分安全域、部署边界访问控制设备、配备入侵防御系统、部署统一的防恶意代码软件等。与此同时,每年都开展信息系统安全测评工作,对公司的信息系统进行安全等级测评差距分析、安全问题整改咨询核查以及渗透性测试等,从而能够较为全面的掌握当前各信息系统和信息安全管理制度的建设、运维和使用情况,以提高信息系统的安全防护能力。但从总体来看,仍缺乏信息安全保障体系框架,总体安全方针和策略不够明确,安全区域划分不够细致,网络设备和重要服务器的安全策略缺乏统一标准,未部署安全运维管理中心,无法真正起到纵深安全防御的效用。

1.2 信息安全保障体系目标与定位

信息安全保障体系的建设要结合油服的信息安全需求、网络应用现状及未来发展趋势,在风险评估的基础上,明确与等级保护相适应的安全策略及具体的实施办法。对全网进行合理的安全域划分,技术与管理并重的同时,以应用与实效为主导,从网络、应用系统、组织管理等方面,保障油服信息安全,形成集检测、响应、恢复、防护为一体的安全保障体系。

2 油服信息安全保障体系架构模型

油服信息安全保障体系框架采用“结构化”的分析和控制方法,纵向把保护对象分成安全计算环境、安全区域边界和安全通信网络;横向把控制体系分成安全管理、安全技术和安全运行的控制体系,同时通过“一个安全管理中心”的安全管理概念和模式,形成一个依托于安全保护对象为基础,横向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心“三个体系、一个中心、三重防护”的信息安全保障体系

框架。

2.1 安全管理体系

根据等级保护基本要求的相关内容,信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求。

2.2 安全技术体系

根据等级保护基本要求的相关内容,通过安全技术在物理、网络、主机、应用和数据各个层面的实施,建立与实际情况相结合的安全技术体系。

2.3 安全运行体系

根据等级保护基本要求的相关内容,信息安全运行体系重点落实系统建设管理和系统运维管理的相关控制要求,并与实际情况相结合,形成符合等级保护要求的信息安全运行体系

框架。

2.4 安全管理中心

根据等级保护基本要求和安全设计技术要求的相关内容,通过“自动、平台化”的方式,对信息安全管理、技术、运行三个体系的相关控制内容,结合实际情况加以落实。

3 油服信息安全保障体系架构设计

3.1 安全管理体系架构设计

信息安全管理体系架构的设计可从以下3方面开展。

3.1.1 信息安全组织

油服信息安全组织为信息安全管理委员会,各业务部门为信息安全小组,部门经理为本小组的第一安全责任人。同时,定义了组织中各职能角色的职责,以此指导信息安全工作开展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及时反映公司的信息安全风险动态,便于灵活地修订与更新;另一方面确保信息安全技术与管理人员及用户能够了解哪些是禁止做的,哪些是必须做的。

3.1.3 人员安全管理

在人员安全管理方面,可以通过对人员录用、调用、离岗、考核、培训教育和第三方人员安全几个方面进行设计。

3.2 安全技术体系架构设计

信息安全技术体系架构设计可从以下3个方面开展。

3.2.1 信息安全服务架构

信息安全服务架构设计分为保护、检测、响应与恢复四个环节,实现对信息可用性、完整性和机密性的保护,监测检查系统存在的安全漏洞,对危害系统安全的事件行为做出响应

处理。

3.2.2 信息技术基础设施安全架构

信息技术基础设施安全架构以网络安全架构为主体,结合系统软硬件进行安全配置和部署。网络安全架构的规划根据网络所承载的应用系统特性和所面临的风险划分不同的网络安全域,并实施安全防护措施。

3.2.3 应用安全架构

应用系统的信息安全保障是在信息技术基础设施安全架构上,更多地关注已有的信息安全服务是否被充分利用。为满足业务系统对信息安全的需求,通过在业务系统中实现集成保障信息安全的机制,从而达到信息安全技术控制要求。

3.3 安全运行体系架构设计

油服信息安全运行体系架构设计主要从以下3个方面开展。

3.3.1 信息系统安全等级划分

油服信息系统安全等级划分从信息资产等级、网络系统等级和应用系统等级三个方面进行定义。

3.3.2 信息安全技术控制

信息安全技术控制是由系统自身自动完成的安全控制。主要在信息系统的网络层、系统层和应用层,包含身份鉴别、访问控制、安全审计等五大类通用技术。

3.3.3 信息安全运作控制

信息安全运作控制是在油服业务运作和信息技术运作过程中进行实施的运作类安全控制,包括控制针对的主要风险点及具体分类。

4 结束语

在油服业务不断拓展,国际化步伐不断深入的过程中,信息系统在公司发展中的作用和地位日趋重要。公司对信息系统的依赖性也在不断增长,信息安全也愈发重要。健全油服信息安全保障体系,为实现“制度标准化、工作制度化”的管理常态奠定了坚实的基础。油服信息安全保障体系不仅从物理网络安全、系统应用安全、数据和用户安全等方面入手,还从安全域划分、安全边界防护、主动监控、访问控制和应急响应等方面综合考虑,进一步加强落实信息安全等级保护的基本要求,初步实现对网络与应用系统细粒度、全方位的安全管控,从而更为有效地提升了油服在信息安全方面的管理水平。

参考文献

[1]马永.浅谈企业信息安全保障体系建设[J].计算机安全,2007(7):72-75.

[2]王朗.一个信息安全保障体系模型的研究和设计[J].北京师范大学学报(自然科学版),2004(2):58-62.

[3]黄海鹰.信息安全保障体系建设研究[J].数字图书馆论坛,2009(9):13-15.

篇13

信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点。信息安全系统,可以说是信息系统的免疫系统:如果免疫系统不健全,整个系统将是无能的,甚至有害的。网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问题。如果信息安全问题解决不好,将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战、信息恐怖和高度经济金融风险的威胁之中。

信息保障在国外

世界各国信息安全领域的研究,已经从早期的通信保密到信息安全发展到目前的信息保障。

美国:1998年5月22日,美国政府颁发了《保护美国关键基础设施》总统令(PDD-63)。围绕“信息保障”成立了多个组织,其中包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应能动组等10多个全国性机构。

1998年美国国家安全局(NSA)制定了《信息保障技术框架》(IATF),提出了“深度防御策略”,确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标。

2000年1月,美国了《保卫美国的计算机空间——保护信息系统的国家计划》。该计划分析了美国关键基础设施所面临的威胁,确定了计划的目标和范围,制定出联邦政府关键基础设施保护计划(其中包括民用机构的基础设施保护方案和国防部基础设施保护计划)以及私营部门、州和地方政府的关键基础设施保障框架。

俄罗斯:1995年颁布了《联邦信息、信息化和信息保护法》,为提供高效益、高质量的信息保障创造条件,明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。

1997年,俄罗斯出台的《俄罗斯国家安全构想》明确提出:“保障国家安全应把保障经济安全放在第一位”,而“信息安全又是经济安全的重中之重”。

2000年,普京总统批准了《国家信息安全学说》,明确了联邦信息安全建设的目的、任务、原则和主要内容。第一次明确指出了俄罗斯在信息领域的利益是什么、受到的威胁是什么以及为确保信息安全首先要采取的措施等。

日本:已经制定了国家信息通信技术发展战略,强调“信息安全保障是日本综合安全保障体系的核心”,出台了《21世纪信息通信构想》和《信息通信产业技术战略》

我国的迫切性

党的十五届五中全会提出了大力推进国民经济和社会信息化的战略举措——“以信息化带动工业化,发挥后发优势,实现社会生产力的跨越式发展”。同时,要求强化信息网络安全保障体系。

目前我国信息与网络安全的防护能力处于发展的初级阶段,许多应用系统处于不设防状态。国防科技大学的一项研究表明,目前我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。

当前的信息与网络安全研究,处于忙于封堵现有信息系统的安全漏洞阶段。要彻底解决这些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。目前,我们迫切需要根据国情,从安全体系整体着手,在建立全方位的防护体系的同时,完善法律体系并加强管理体系。只有这样,才能保证国家信息化的健康发展,确保国家安全和社会稳定。

如何强化保障体系

信息系统的信息保障技术层面可以分为应用环境、应用区域边界、网络和电信传输、安全管理中心以及密码管理中心。

篇14

铁路信息安全建设和运行必须结合铁路信息化实际情况,从管理和技术两个层面综合保证铁路信息系统的运行操作安全,保障铁路信息系统及其安全基础设施的运行安全,并最终保障铁路运输业务及运输服务的安全。铁路信息安全保障体系结构见图1。管理和技术是铁路信息安全保障体系的两个要素,是保证铁路信息系统及其所支撑的铁路运输业务和服务安全建设和运行的必要条件。在这两个安全要素中,管理是核心,是基础,它影响和决定技术的选择以及技术标准规范;反过来,技术也会影响到信息安全管理方式和管理制度的具体形式,降低管理成本。在安全管理层面中,国家和铁路行业的信息安全方针政策法规是铁路信息安全建设和安全运维的管理基础;铁路信息安全管理制度是信息安全方针政策法规在铁路信息安全日常工作中的具体要求体现;铁路信息安全组织保障是落实铁路信息安全方针政策法规、执行铁路信息安全管理制度的岗位职责基础和人员保障;信息安全意识培养、培训和教育是铁路信息安全方针政策法规和铁路信息安全管理制度得以高效、准确地落实和执行的保证。管理安全保证不仅通过方针政策法规、组织保障、管理制度、意识培养培训教育等形式直接对铁路业务提供安全支持和保障外,还通过对信息安全技术的影响间接地保护铁路业务安全。铁路信息安全方针政策法规和管理制度等因素是制定铁路信息安全技术标准和规范的重要基础,同时,它们也会对信息安全方案的设计、产品选择和采购方式产生不同程度的影响。在安全管理控制下,只有具备安全资质的业务人员才可以在已经获得认证认可的技术手段支持下,执行规定的操作流程;铁路信息系统操作流程安全包括铁路信息系统的建设、运维和灾备恢复等活动的流程和操作安全,它旨在保证铁路信息系统及其安全基础设施在安全生命周期中各主要阶段的过程安全。铁路信息系统由铁路外部服务网、内部服务网、安全生产网以及若干生产专网组成,铁路的各种应用业务都直接运行在这些系统之上,为了更好地支撑这些业务系统的安全运行,支持铁路统一的安全管理,在铁路信息系统中还包括灾备中心、数字证书系统、集中管理及认证授权中心等安全基础设施系统或安全平台,这些安全基础设施及其所服务的铁路应用业务系统的运行安全是铁路运输业务及服务正常安全运行的环境保障。

2安全保障体系要素

在铁路信息系统中,无论是系统的建设、运行、灾难恢复、事件处置等活动,还是其支撑的运输业务和服务等系统目标,都离不开管理和技术两个安全要素的综合保证,其中管理是核心,在安全管理措施的控制下,只有具备安全资质的业务人员才可以在已经获得认证认可的技术手段支持下,执行规定的操作流程。

2.1铁路信息安全管理体系

铁路信息安全管理体系必须以国家信息安全相关法规、政策和标准以及铁路相关法规政策为基础和依据。按照GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》、GB/T22080—2008《信息技术安全技术信息安全管理体系要求》和GB/T22081—2008《信息技术安全技术信息安全管理实用规则》等国家标准和指南,结合我国铁路实际情况,将铁路信息安全管理体系划分为11个安全控制类别,其中包括信息安全政策、信息安全组织、资产业务、信息安全环境、设备使用、通信网络、配置授权、安全事件处置、安全运维、安全合规和灾备恢复等管理内容;在11个安全控制类别的基础上,建立铁路信息安全管理制度框架,如铁路信息资产管理制度、互联网访问管理制度、人员安全培训制度、机房管理制度、产品准入制度、系统运维制度、安全事件处理流程规定、介质管理制度、电子邮件使用管理规定、铁路软件开发管理流程规定等(见图2)。

2.2铁路信息安全技术框架

铁路信息安全技术框架是铁路信息安全保障体系的重要组成内容,主要包括安全管理、身份管理、授权管理、灾备管理、监控审计、可信保证等技术机制(见图3)。管理安全是统领铁路信息安全保障的纲领,纲举才能目张,构建一个全路信息系统可视化管理平台,以便对网络、计算机设备、应用系统部署、操作用户及角色、运维状态等关键信息进行全局的监控,提高对系统中安全问题及其隐患的发现、分析和防范能力。由全路统一身份管理平台、授权管理机制和责任认定构成的铁路网络信任管理体系是保障铁路信息安全可信和安全的前提。全路灾难备份和恢复策略管理是铁路信息系统可信、安全和业务可持续性的后盾。以密码技术为基础的可信计算技术为软硬件资源的安全和隔离提供了结构化保证,为计算环境的可信可靠(完整性)提供了有效的判别手段,为关键数据提供了可信安全存储,为分布式计算的安全机制一致性和网络接入控制提供了远程可信证明方法。可信计算技术是构建铁路信息安全保障体系的基础支撑。

2.3铁路信息安全的组织保证

铁路信息系统安全应该在组织上加以保证。在具体组织形式上应该由中国铁路总公司(简称总公司)主管领导和部门具体负责铁路信息安全的领导和组织工作,由相关专业职能部门分工协作,在铁路信息化的整体工作布局中设置专门机构和岗位、明确相关职责、配备信息安全专业技术和管理人员,确保信息安全管理制度的有效落实和信息安全技术机制的可操作性。铁路信息安全组织保证框架见图4。总公司信息安全主管部门应该包括以下职能机构:法规政策标准管理机构负责制定铁路信息安全相关法规、政策、标准和规范,并负责铁路业务应用密码的管理工作;安全建设运维管理机构根据铁路信息安全相关法规、政策、标准和规范,参与铁路信息系统及其安全基础设施的设计、开发和运维审核和监管工作;信息安全风险管理机构负责对进入铁路信息系统的相关产品进行测评认证,对运行系统进行安全监控,负责信息系统的安全风险管理工作;安全事件处置管理机构负责对系统紧急事件进行处理,对舆情进行综合分析,并根据事件性质和处理结果对事件进行通报;安全保密培训服务中心负责全路的信息安全法律法规、政策标准、安全意识和安全技能的培训提高工作,负责组织安排和协调社会力量以及高校等培训机构具体实施常态化信息安全培训工作;安全灾备恢复管理机构负责重要信息系统的运行和数据备份实施工作,并在系统出现严重故障后,迅速协调相关部门恢复服务或业务数据,保障关键业务服务的运行连续性。各铁路局(公司)应该参照总公司信息安全管理组织结构,设置相关部门或相关专职岗位,并有铁路局(公司)领导具体分管信息安全工作。铁路局(公司)信息安全工作应该在总公司统一组织、协调和安排下开展具体工作。

2.4铁路信息系统安全基础设施

铁路信息系统必须依赖于铁路网络与信息安全基础设施作为其安全支撑基础。铁路网络与信息安全基础设施不仅可以落实铁路集中统一安全管理的要求,提高铁路信息系统的安全水平,还能有效降低铁路信息安全的建设和运维成本。铁路信息安全基础设施包括铁路信息系统灾备恢复中心、铁路业务应用密码管理中心、数字证书系统、集中安全管理及认证授权中心、安全监控中心、安全隔离平台、信息安全培训平台以及铁路网络舆情分析系统(见图5)。铁路信息系统灾备恢复中心可以将由于系统重大故障或破坏带来的业务中断降低到最小程度,提高铁路的服务水平;铁路业务应用密码管理中心是保护铁路重要数据安全和业务安全的基础保证,同时它也是全路统一信任体系的技术基础;铁路数字证书系统可以在全路范围内建立统一的身份认证体系,提高铁路的信息安全集中管理能力,降低安全管理成本;铁路集中管理及认证授权中心通过全路集中的信息安全平台实现高效、统一的安全管理,保证安全策略的快速一致化部署;铁路信息系统安全监控中心可以对铁路信息系统的安全运行状态进行监控,掌握铁路信息系统的运行态势,从而实现在铁路信息系统中防患于未然,有效降低系统安全风险;铁路安全隔离平台是隔离铁路内部服务网和外部服务网的安全措施,它保证了铁路安全生产网络的正常运行;铁路信息安全培训平台对保证提高铁路员工的信息安全意识、培养安全素养极为重要,是人员安全的必要保证;铁路网络舆情分析系统对铁路了解社会评价、改善铁路社会化服务水平、提高铁路形象至为关键。

2.5铁路信息安全意识培养、培训和教育管理

要搞好铁路信息系统的信息安全管理,离不开相关人员的安全意识培养、技能培训和专业教育。铁路信息安全意识培养、培训和教育分别针对不同层次和专业的人员而设。信息安全意识培养通过对信息安全术语、议题和基本概念的宣传、宣导,吸引一般人群对信息安全的关注,帮助人们了解信息安全所关注的问题,并能因此产生正确的响应;信息安全培训让信息系统相关人员获得相关的技能和必备的资质,使其在信息安全管理、设计、开发、建设、运维、操作、评估和使用等方面满足与信息安全相关的岗位职能要求,培训可以分为初级、中级和高级等多个层次;信息安全教育则从信息安全专业理论、技术、经验等方面培养信息安全专家,与信息安全培训一样,这种信息安全教育也应分为初级、中级和高级等多个层次。为降低信息安全意识培养、培训和教育的管理和运作成本,铁路信息安全资质认证也可以和国家其他部门的资质认证机构合作,对一些可信度高、有较高权威的信息安全资质证书采取等同认可方法。铁路信息安全意识培养、培训和教育管理框架见图6。铁路信息安全意识培养、培训和教育管理可分为两方面:一方面是针对全部相关人员的信息安全意识培养。安全意识培养是一个长期的宣传和贯导工作,可以通过制度奖惩、危机教育、标语口号等方式建立普遍的信息安全概念,推广信息安全文化;另一方面是针对岗位定义不同的信息安全资质要求,并这对这些资质要求建立相对应的信息安全技能和专业培训、教育,为了满足这些资质培训教育工作,总公司必须建立相关的培训和认证机制,设置相关的机构。

2.6系统流程及操作安全保证

系统流程和操作安全是指铁路信息安全建设、运维和灾备恢复等活动的流程和操作安全,它旨在保证铁路信息系统及其安全基础设施在安全生命周期中主要阶段的过程安全。在铁路信息安全建设和运行过程中,要制定并依托相关的铁路网络与信息安全管理制度、技术标准规范和组织部门机构,对系统的安全设计、产品测评准入、安全工程等过程进行安全管控,从根本上杜绝系统在结构上的安全缺陷、严防不合规的产品进入系统、保证系统建设施工的安全规范;在铁路信息系统的日常运行过程中,也必须建立系统风险监控、评估和控制的管理和技术体系,通过专业专职的机构和部门,对系统的安全状态进行实时监控、对系统安全风险进行定期或不定期的评估;对安全事件进行预案规划、演练和应急处置,避免重大安全事件的发生;对系统服务或重要数据实施安全灾备,最大程度地减少系统故障带来的铁路运输业务和服务中断时间,减小风险后果。铁路信息安全建设、运维和灾备恢复流程见图7。

3结束语