信息安全与管理精选(十四篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的14篇信息安全与管理，期待它们能激发您的灵感。

篇1

1.1加密技术

在计算机网络世界中，加密技术指的是把容易理解的数据和信息（称为明文）转换为不容易分辨的形式（密文）的过程，以满足数据的安全性。想要获取加密后信息的准确内容，就必须先将其解密为明文，这就是解密过程。整个加密系统由加密和解密组成，而明文和密文统称为报文。现有的加密技术种类有很多，从加密技术的发展进程来看，包括古典密码、对称秘钥密码，以及公开秘钥密码等。其中，古典密码又可以更为详细地分为替代和置换加密，对称加密算法则可分为DES和AES。最后，非对称加密包括RSA、背包密码和椭圆密码等。

1.2认证技术

如今，认证技术已被广泛应用于各个领域，如电子商务和电子政务等。在电子商务的进行过程中，认证技术随处可见，原因就在于用户私有信息的安全性是电子商务得以正常运转的基础保证。认证技术主要包含两个部分，分别是信息认证和身份认证。顾名思义，身份认证就是通过一些安全策略对信息的所有者进行身份的判别，这是后续操作得以继续进行的充分条件，这样可以避免网络数据被他人非法获得。而信息认证指的是在身份认证通过后，对信息执行加密传输和验证的过程。认证技术的实现方式有很多，如数字签名和数字信封等。

1.3入侵检测技术

前文提到的几种技术，都是从信息源头处就对信息进行判断，但是想完全避免网络安全问题，光靠这些还远远不够。这就需要额外的补救措施，入侵检测技术就是一种高效地方法。入侵检测指的是对入侵行为的发觉。通过收集和分析提前在网络中设置的一些标志点的信息，能够迅速发现网络是否被攻击。因而不难理解，入侵检测技术能够很好地对防火墙进行功能性补充。

2网络安全管理

2.1信息集成

所谓信息集成，就是指信息整合，或者说信息融合。要想高效地实现信息集成，最重要的就是要做到信息资源和信息内容的集成。那么，怎样对信息资源进行集成呢？我们可以从环境、技术、方法和过程的集成这几个方面来考虑。信息集成方面的研究已经存在于方方面面，数据仓库和海量数据的挖掘就是非常典型的应用场景。略显不足的是，在计算机网络信息安全管理中有关信息集成的理论研究有所欠缺。因此，对信息集成的开展，更多时候只能借助于已有的经验，标准不够明确，效率不高。在后期信息集成的发展过程中，统一标准的制定将是最为关键而又亟待解决的问题。

2.2关联分析

所谓关联分析，即是对杂乱的信息进行简化处理。在处理的过程中，充分挖掘这些信息之间存在的关联性，如因果关系，或者互补关系等。在理解了信息之间的相互关系之后，我们就能够对其执行进一步分类，进一步探索出隐藏的关联性，从而获得所需的信息。

2.3技术

现在，在大多数人的印象中，技术意味着我们根本不需要自己实际动手操作，而只需要将任务交给来自动完成，而且是动态执行整个过程。然而，在目前的众多研究领域中，对于技术的定义，还没有较大的争议性。从技术本身来看，具有以下一些特征。1）协同性：协同性主要存在于多的情形中,多个之间应该能够相互协作，以完成任务。同时，这些可以使用自己的特定方式来与其它进行通信，甚至于与人进行交互。2）自治性：每一个都是独立的个体，它的运行并不会受到其它或者人的直接干涉。它的所有动作和行为都是根据自身的内部情况和对外界环境的感知来进行反馈的。3）适应性：适应性指的是能够感知周边环境，并且及时地根据环境的变化而做出相应的调整，以适应各种情况的需要。4）演进性：能够根据已有的信息和说明，通过自身的推理来演进、完成任务。5）自适应性：技术同样还具备学习和自适应的功能。能够不时地探查丰富的知识库，并根据已有的数据和规范来进行更深层次的演化。同时，还能够整理、整合之前的结论，改正已有的不正确行为。6）动态性：技术还可以自发地在不同的网络中动态运行，并且自始至终都能够保持数据信息的连续性和正确性，可以有效地完成跨平台任务。

2.4协同及通信规范

计算机网络中的通信范畴非常广泛，网络部件与部件之间，或者不同部件和网络中的主机之间，甚至于这些部件和网络用户之间，都要经常进行通信。这就需要一种沟通的方式，以此进行有效的协同。这种联系的方式可以是消息传递，也可以是通过网络传输协议，或者接口，这些都是采用的直接的方式。当然，也可以采用间接通信的方法，比如通过一个公共的平台，通信双方都只是向这个中间平台读写数据，以此达到通讯的效果。安全部件间的无缝协同是网络安全管理的另一个关键技术，也是安全事件综合分析与联合响应的前提。目前这两个方面集中了这一领域的研究工作。这个公共的中间平台可以是公共安全管理信息基，也就是SMIB。它的构成并不复杂，仅仅需要几个数据库就可以实现所有的功能，数据库中所存储的控制信息和各种参数也将为网络安全管理的一些基本功能共同使用。SMIB是一个存储机构，为了以便关联分析，它常被设计成知识库形式。上面提到过，计算机网络中的通信包括网络部件与部件之间的协同，在这方面，接口、消息和网络协议可以高效、直接地满足所需的功能要求。它们之间的区别在于安全管理协议的标准化程度更高。然而遗憾的是，目前存在的安全管理协议并没有一个统一的标准，这极大地限制了网络安全管理的进行。相比而言，简单网络安全协议（SNMP）在目前的网络使用过程中，还算是一种比较受大众认可的标准。另外确立统一的网络安全管理协议是未来协同及通讯规范领域的工作重点，正如SNMP之于网络管理，想要极大地促进网络安全管理技术的发展，统一的协议标准是必需要的。CheckPoint的OPSEC是在接口和消息方面具有代表性的工作。它的组成体系中有很多公开的接口，同时第三方软件可以通过这些接口来进行各种安全管理应用的开发，并将其完美地融入到公共平台中，它是一个得到多厂商认同的开放可扩展框架。如此说来，分布式SMIB同样是以后需要大力关注的内容。

3结论

篇2

关键词：网络；会计；安全；管理

会计信息的安全是指会计信息具有完整性、可用性、保密性和可靠性的状态，它来自于会计数据的完整和会计数据的安全，并保证会计信息的持续性和有效性。随着网络的发展，信息技术越来越多的渗透到会计领域，但传统会计软件的设计多是考虑从业务操作功能上满足会计实务的要求，对其安全性的考虑较少。会计信息化的辅助软件虽然具备了强大的信息安全技术，但是又易使人陷入技术决定一切的误区。迄今为止，网络环境下的多种安全技术尚未能够确保信息的安全性。企业只有从技术和管理两方面构建会计信息安全系统，充分考虑技术的持续有效性，重视对安全工程建成后的管理，才能最大限度地保障网络环境下会计信息的安全性。国际信息安全管理标准(ISO／IEC 17799:2005)对于信息系统安全管理和安全认证的分析表明，解决信息系统的安全问题不能只局限于技术。更重要的还在于管理。因此，要让安全技术发挥应有的作用，必然要有适当管理措施的支持。按照该标准(ISO/IEC 17799:2005)“制订自己的准则”的建议，探讨管理对于会计信息安全的重要作用，兼重管理和技术。对于真正实现会计信息安全目标具有重要意义。

一、目前会计信息安全的现状及研究

目前会计实务中的信息安全面临诸多问题。如会计管理越权、不相容岗位分工不清会导致会计信息的损坏：在网络环境下，伴随电子商务的发展而出现的会计数据载体无纸化使会计数据被篡改成为可能：网络本身的安全性问题，则可能会使会计数据在传输过程中受病毒、黑客的威胁等。目前国内被大量使用的传统会计软件主要是代替手工会计核算和减轻会计人员的计账工作量，本身的安全性设计相对较差，当其在网络环境下使用时，上述的某些问题就更加显著。据一份针对英国900家不同类型组织做的问卷调查，1999―2000年有超过一半的政府机构及2/3的民营组织，正面临信息科技的不法入侵、滥用甚至破坏。而对大部分组织而言，信息安全的问题尚无一个明确的解决方案。许多文献针对会计信息安全问题进行了研究，但大多集中在技术方面。如电子数据的存储加密技术、传输加密技术、密钥管理加密技术和确认加密技术、数字签名等。也有很多文献从不同的角度对会计信息安全的管理保障进行了有益的探讨。本文从内部控制，计算机软、硬件管理的角度，参考ISO/IEC 17799:2005推荐的部分控制措施，探讨了针对会计实务的信息安全管理控制方法，结合对信息安全技术应用的分析，阐述了会计信息安全管理系统的构建过程中需注意的几个薄弱环节。

二、会计信息安全管理

(一)内部控制

2002年美国FBI(联邦调查局)和CSI通过对484家公司的调查，安全威胁和安全事件研究统计表明：超过85％的安全威胁来自企业内部。本文先从企业内部分析网络环境下会计安全问题。

1、确保不相容岗位相分离。防止越权。管理越权、分工不清这些问题在传统会计模式下也会出现，但应用信息技术后，信息载体的无纸化等特点使此类问题更易出现且较隐蔽，多数文献指出，实行用户分级授权管理，建立岗位责任制，并赋予不同的操作权限，拒绝其他非授权用户的访问。对操作密码要严格管理，指定专人定期更换密码。在会计实务中可以推广应用生物识别技术，其具有更多优点，比如会计与出纳有不同的权限，拥有各自的密码，因为会计与出纳工作往来频繁，密码被对方获取的情况时有发生，影响了会计信息的安全性。而生物识别技术如指纹只能本人在场的情况下方可操作，并且不存在遗忘或丢失的问题。

2、保障原始数据安全性。信息来源复杂性、接触信息的部门和人员多样性，增加内部控制难度，使原始数据错误、信息篡改的风险加大。例如，原始凭证是进行会计核算的原始资料，是证明经济业务发生的唯一初始文件，有较强的法律效力。在网络环境下，有些原始凭证是通过网上交易取得。如电子单据、电子货币结算等网络经营业务。为使其与纸质原始凭证在安全性上达到同样的功效，多数文献提出的建议是利用网上公证技术及各种加密技术。但以磁(光)性介质为载体的凭证易被篡改或伪造而不留任何痕迹的问题是计算机及网络本身的缺陷，即使是采用了网上公证技术，其法律效力仍无法与印鉴相比，因此其安全性并不能超过纸质原始凭证，作为会计核算唯一凭据的原始凭证，其地位至关重要，所以网上交易完成后必须索要纸质原始凭证，以备核对、保留，尽可能确保会计信息完整性、可用性。

3、保障会计档案安全性。会计档案是唯一保存完整的会计历史资料，是核实已发生会计活动最重要的依据，信息技术应用于会计后，部分会计档案是以磁性介质存储的。若保管、备份策略和方法不合理，会形成会计安全隐患。例如，电子档案存储介质体积小、无纸化等特点与传统档案相比更易于被窃取或泄漏，所以管理人员必须持有上岗证。并且要经常进行档案法、保密法培训。在收集过程中要注意相关设备或软件的收集，使会计电子档案在将来任何时间都可查阅使用。企业备份电子档案的同时。应对已存档的电子档案定期检查、复制。电子档案的定期复制的时间应根据存储介质的性质而定，在不浪费成本同时保障会计档案安全。

2008年6月，财政部公布的《企业内部控制基本规范》第4章明确指出：“内部会计控制的方法主要包括：不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制……”有文献提出，将这些有效的内部控制方法、思想集成在软件功能中。单纯地依靠企业制定的内部控制制度来加以内部控制，当内部人员协同舞弊时，会导致内部控制制度的失效。将内部控制集成在会计软件中可以确保会计信息正确、安全。但将这些有效的内部控制方法、思想集成在软件功能中需要高素质会计人员及熟悉信息技术的人员参与，并且需要投入相当数量的资金。维护容易跟不上，因此现阶段对多数企业来说有一定困难，但资金、人员基础好的企业可以实施；并且要把基于PDCA(Plan，Do、Check和Act)的持续改进的管理模式应用其中。

(二)计算机硬件管理

PC客户端。数据存储设备，网络设备都会影响硬件系统安全。所以应制定主控机房和相应网络设备的管理制度，例如专

机专用。计算机机房充分满足防火、防潮、防尘、防磁和防辐射及恒温等技术要求，关键性的硬件设备可采用双机备份，硬件系统安全预警方案。同时采取相应的激励措施，把相应人员职责列入目标考核，与奖金相对应，提高其履行制度的积极性，确保计算机硬件安全。

(三)计算机软件管理

设计、开发的财务软件系统功能与用户实际操作不相适应，软件存在漏洞。软件售后服务不及时都会影响网络环境下会计安全。因此，在设计、开发和使用财务软件时，应重点考虑会计数据及会计软件系统自身的安全问题，采取的措施能有效确保系统安全运行。保障会计软件安全的具体措施有：

1、身份认证与权限控制。坚持多重登录和多重密码制。只有被赋予一定权限的人员、且密码核对吻合时才能进行相关业务操作，最好采用生物技术。 　2、软件升级必须慎重，与原系统有可兼容性，便于查阅往年会计电子档案。

3、定期备份计算机工作日志文件。

4、选择售后服务好、财政部推荐的会计软件企业的产品。

(四)人为因素的管理

现阶段。多数企业的会计人员业务经验丰富。而计算机专业知识和网络知识却知之甚少，不能很好地胜任计算机和互联网相关会计业务处理工作。复合型高素质人才的缺乏制约着信息技术在会计中的应用，部分网络会计人员虽然具备较高业务水平，但缺乏职业道德素质。他们凭借精通网络会计的优势进行非法转移电子资金和会计数据、泄密等活动。多数文献提出要加快调整现行会计教育体系，加大对现有会计人员关于网络会计知识的后续教育。同时由于现阶段我国会计人员不可能通过短期培训就成为复合型高素质人才，所以还要从实际出发，使信息技术逐步应用于会计，在现阶段辅助以传统手工会计，确保会计安全，如电子交易中原始凭证的确认与保留。

三、信息安全技术的应用

网络的开放性使网络易受攻击，网络的庞大性使病毒易滋生、传播，会计更易面临诸如泄密、黑客的侵袭而导致企业跨区域协同工作或与企业合作方网上交易时会计信息被盗或丢失等风险。计算机网络病毒的存在直接破坏系统内重要会计数据，使系统不能正常运行，影响会计数据和信息的安全性和真实性。给网络系统安全带来了极大危害。多数文献指出电子商务的信息安全在很大程度上依赖于技术的完善，这些技术包括加密技术、认证技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术等。但还应该注意以下方面。第一，采用以上技术的过程中需要花费一定的成本，一般情况下，费用是随着安全性的提高而增加的，所以在采用安全技术的同时要考虑成本收益因素。第二。破解安全技术的成本不需大于所保护会计信息的价值。如果盗取信息的人破解密码所花费的费用大于获得信息而得到的收益，将不会去截取信息。第三。好的系统和好的协议必须根据人的观念来进行设计。忽略易用性问题导致系统无法达到预期目标，安全功能非常难以理解，以至于用户无法正确使用，从而避开这些安全功能，或者完全不在使用该系统。第四。在网络本身存在种种安全性问题的情况下，要想保证会计的安全。在利用信息技术快捷的同时，在相当长的一段时间内仍要依靠印鉴来确保凭证、合同的有效性以明确经济责任。

四、结论

会计信息安全不仅依赖于会计信息技术的合理可靠应用。还依赖于一个完善的会计安全管理制度。既有的很多会计信息安全管理制度尚存一些薄弱环节，其完善是一个从实际出发的渐进过程。同时，会计信息技术在我国的应用也将是一个长期的过程，依赖于高素质技术人员的培训及各类相应配套设施的投资和建立。

参考文献：

1、潘婧，网络会计信息系统的安全风险及防范措施[J]，财会研究，2008(2)

2、谷增军，基于数据加密拉书的会计电子数据安全对策[J]，财会通讯，2008(2)

3、昊亚飞，李新友等，信息安全风险评估[J]，清华大学出版社，2007

4、李筱佳，会计信息化对会计实务的影响及对策[J]，财会研究，2009(6)

5、金丽荣，会计信息系统的安全控制措施[J]，科技资讯，2008(1)

6、尹晓伟IT环境下会计电算化内部控制研究[J]，会计之友，2008(11)

7、田志刚，刘秋生，现代管理型会计信息系统的内部控制研究[J]，会计研究，2008(10)

8、郝玉清，网络会计的信息安全问题及其防范策略[J]，北方经贸，2007(11)

篇3

一、档案的创新管理

1、健全档案管理制度

档案管理应有章可循，规范操作，因此，一套完善且行之有效的档案管理制度尤为重要。档案管理制度要体现合理性、科学性，以便更好地发挥其规范引导作用。作为档案管理人员要强化档案管理意识，遵守档案管理制度，严格档案管理程序，及时、准确地收集档案资料，努力做到档案信息收集齐全完整、内容真实可靠。对于新信息要及时补充调整。同时要完善档案管理硬件设备，确保档案工作有效落实。

2、加强对档案管理人员培训，提升专业化管理水平

档案管理部门应有针对性地培养一支素质较高的档案管理人员队伍，加强档案管理人员的业务培训，让管理人员学习相关理论知识和现代化管理方法，摒弃传统的陈旧管理模式，更新理念，提高业务要求标准。要充分认识到档案管理工作的重要性，并且不断改进工作方式和工作方法，创新工作模式，提高工作效率，努力做好档案服务创新工作，探索档案服务创新之路，把档案管理提高到一个新的台阶。

3、建立电子档案，完善档案现代化管理

随着办公系统信息化与网络技术的普及，档案的管理模式也在逐步现代化，无纸化办公将变为现实，档案归档形式必须更新，传统的以纸质为载体的档案管理方式将发生根本的变革。因此，档案管理工作必须从传统模式向信息化管理模式过渡。采用更为科学、先进的办公软件进行档案信息的存储和利用，将传统的纸质载体档案转化为电子档案，并通过计算机信息系统管理转化为可以自动检索、数据信息分析的技术。缩微摄影技术和数码影像技术的应用可以使照片、影像等档案资料更完整、安全的保存。在后期档案使用时可以直接检索、统计和查阅，同时可以实现远程档案信息传递，提高工作效率。电子档案还具有占地小、容量大、投入少、管理简便、查阅方便等优点。

4、建立档案网页，开展网上在线服务

建立档案网页，开展网上在线服务是对传统工作模式的新的突破，是科技发展给办公自动化带来的变革，同时也给档案管理工作提出新的挑战。网络传输作为一种信息传播方式具有无比的优越性。一是传播速度快，二是传播范围广，三是传播不走样，四是传播成本低。因此，使用互联网开展的网上档案服务已成为为社会和单位提供档案利用服务的一种更加便捷的形式。随着局域网的普及，档案部门可制作自己的网页，组织上网数据和信息，实现档案信息的现代化管理。通过网上服务，电子文件通过下载和上传就可以完成。传统档案管理存在重保管轻利用的问题，而档案网页不仅方便档案的检索等常规服务，更有利于电子信息的资源共享和宣传利用，实现档案的真正价值。此外，现代生活中，人们更注重信息的时效性，而开展网上在线服务通过信息系统及网络及时准确的获得多方信息，更好的满足了人们的需求。网页还可提供信息咨询、文件阅览等服务，具有覆盖面广、信息全、利用率高等优点。档案网页适应新形势的要求，有利于转变工作职能，提高工作效率。

二、档案的信息安全管理

不同于其他信息，档案具有较强的保密性和利用限制性，而在对电子档案及档案网页进行常规操作、信息传输、资料存贮的过程中以及在电子档案的收集整理、归档利用过程中，都难免产生错误操作、信息丢失、病毒侵入、黑客侵犯等问题，这些都对档案的信息安全保障工作提出了更高的要求。加强档案的保密工作，提高档案信息的安全性成为档案管理部门需要面临的一项重要工作。

1、人员安全

档案信息在操作过程中最有可能发生的安全问题就是人为的泄密。因此，必须培养一支有较高素质和较强法律意识的专业档案管理人才队伍。档案管理人员必须认识到档案信息安全的重要性，严防保密信息的泄露，使信息安全问题发生的几率降到最小。档案管理人员要认真学习《档案法》、《保密法》，树立保密意识。应根据档案管理人员的职权岗位给予不同的使用及管理权限。档案管理人员要牢记系统密码并熟练掌握查杀病毒、资料备份等相关安全措施的操作方法。工作人员还要做好操作记录，清晰记录每一次查询、收录、整理等档案管理的时间、参与人员等信息。要分工明确、责任到人、规范操作。遇到档案管理人员调职、离职等情况时要注意加强管理，防止信息外流。

2、操作安全

操作安全是档案安全的重要环节。在档案信息操作过程中要树立安全意识，如确保收集信息的准确性，按时查杀病毒，避免档案信息被病毒感染、篡改。要养成信息备份的习惯，避免操作失误造成的信息资料丢失的情况，带来不可挽回的损失。在对影像、录音等资料进行收集时要注意提取原件，并确保内容未遭到过破坏、篡改。绝密档案的调阅、销毁应经相关领导审批通过后严格按规定手续办理，完善的安全应急机制也是十分重要的，当意外发生时要及时采取措施，有效应对，将损失降到最低。在管理过程中要主动接受保密部门对工作的监督指导，做好对文件的安全保障工作。

3、信息设备安全环境

设备安全是保证档案信息安全的基本条件，无论是纸质档案还是电子档案都应在充分安全的环境下进行保存，档案室、电脑房等档案管理环境必须专人管理并建立严格的门禁制度，出入时要进行详细登记，以避免闲杂人等进入。还应做好信息设备环境的防火、防盗工作，避免水灾、火灾等外力破坏或盗窃等不法行为对档案安全带来的威胁。

篇4

数字化档案信息在管理的过程中，会受到各种因素的影响，而使得数字化档案信息管理中存在较多的安全风险因素，从而很容易使得数字化档案信息出现丢失。而数字化档案信息的缺失会直接对档案管理事业造成冲击，从而抑制档案管理事业的发展。就我国目前的数字化档案信息存在的安全问题来说，主要包括以下几个方面的内容：

1.1存储介质失效。目前档案数字化后的存储介质主要包括硬盘、光盘、磁带和微缩胶片，但是无论什么存储介质都存在失效的可能，上述存储介质的有效期只有3-5年，如果期间保管不善，其效果还将降低。

1.2计算机硬件故障。就目前的计算机来说，为了能够有效的保障计算机部件使用的安全，需要在计算机中设置相应的保护机制，但是，即使设置相应的保护机制，计算机中的硬件也还是会受到各种因素的影响，而出现故障问题，一旦计算机中的硬件出现故障，就会使得数字化档案中的信息数据出现丢失的问题，从而使得数字化档案信息的完整性受到破坏，不利于提高档案信息的利用率，从而阻碍了数字化档案管理事业的发展。而在计算机种类以及功能不断增强的今天，计算机中硬件出现故障的次数也在逐渐增加，这样的现象更加不利于数字化档案信息的存储和保护。1.3计算机软件故障。数字档案主要是利用计算机来实现数据信息管理管理，利用计算机中的相关管理软件以及相关的数据处理系统来对档案信息进行处理和分析，以期保障数字化档案数据信息的完整性，从而提高数字档案信息的利用率。可以说，计算机相关管理软件的性能将直接决定数字化档案信息的安全，随着计算机相关软件性能的不断提升，数字化档案信息的安全性也在不断的提高。然而，就我国现阶段的计算机软件发展水平来说，其还无法对数字化档案信息安全形成高效的保护，计算机软件会受到来自各种因素的影响，而使得相关软件性能的稳定性无法保障，造成计算机软件出现故障。计算机软件一旦出现故障，就会使得数字化档案信息管理操作受到阻碍，但是相比于计算机硬件来说，计算机软件出现故障的可能性相对较低。

1.4信息安全管理制度不够健全。信息安全来源于多方面，除了直接的硬件和软件安全外，还包括网络、信息保管和人为等，但是在信息安全技术不断增长的过程中，信息安全管理无法跟上其步伐。重建设轻维护、重应用轻数据或备份、重硬件轻软件是信息化的历来问题，如项目建设完成了就高高挂起，直至系统瘫痪，甚至数据无法恢复。

2数字化档案信息安全管理策略

要想使得数字化档案信息安全得到有效的保障，就需要不断的对计算机中的硬件设备进行有效的改进，同时也需要采取有效的保护机制，利用先进的科学防护技术对计算机中的硬件和软件进行有效的保护，从而保障数字化档案信息的安全，并针对数字化档案信息的不同类别，采取不同的安全管理策略，以提升安全管理的效果，保障数字化档案信息的完整性和稳定性。而针对数字化档案信息的安全问题，可以采用的数字化档案信息安全管理策略主要包括以下几个方面：

2.1计算机设备安全管理。就相关的调查报告可知，计算机硬件出现故障的次数相对来说较多，而计算机故障对数字化档案信息安全所造成的影响也相对较为严重，因此，在对数字化档案信息进行安全管理的过程中，应该积极采取有效的安全措施，对硬件设备实施高效的安全管理，从而降低计算机硬件设备发生故障的几率。在对计算机硬件设备进行安全管理的过程中，可以从而计算机硬件设备的选择上入手，尽可能选择性能良好的计算机硬件设备，对硬件设备进行严格的检验，并对硬件设备的厂家的营业执照和信誉程度进行详细的调查，并在计算机硬件的兼容性上和拓展性上对计算机硬件实施全面的审核，从而保障计算机升级过程中数字化档案信息的安全。另外，计算机软件设备故障也对数字化档案信息的安全管理具有一定的影响，但是相对于计算机硬件来说，其所能够产生的影响作用相对较小，对其实施安全管理过程中，也可以采用和计算机设备安全管理相同策略，从计算机硬件也软件设备两个方面对计算机设备实施安全管理，可以更好的提高计算机设备管理的安全性，最大限度的保障数字化档案信息的完整性和有效性。

2.2信息技术安全管理。依靠数字化档案信息安全管理人员在强度安全管理是不够的，还需要现阶段科学信息技术援助。为了保证数字化档案信息数据的安全，在数字化档案信息安全管理工作中可以运用一些先进的科学信息技术来提高数字化档案信息安全。

2.3完善信息安全管理制度。要维护数字信息的安全，不仅要依靠技术手段，除此之外，还要做好对信息的管理工作，通过制定一系列的严密并且合理的管理规范与措施，从而保证数字信息的完整。真实和可靠。要充分保证数字化档案信息的安全，就需要通过制定一系列的规章制度来进行规范。第一，就是要建立人员安全的管理制度，主要包括有岗位安全考核制度、安全审查制度、安全培训制度等；第二是建立文档的管理制度，按照一定的密级对易经存储的数字信息进行分类，对于机密新信息和敏感信息需要进行加密，以防信息被窃听、毁坏或者变更。

篇5

ERM在国外已经有了一定的发展，但在中国还属少数。北京思智科技有限公司将这一理念引入中国，并将这一安全理念付诸实践，为企业用户实现信息安全和权限管理的双重保护。

管理企业信息数据

通过整合大量先进的信息安全技术，ERM已经超越了简单意义上的数据信息安全，不再是传统的对文件进行口令管理或是加密，而是第一次从企业的角度管理了信息数据使用中面临的风险。思智总经理刘昊原说：“作为一个系统性的安全解决方案，ERM能够确保信息的授权使用者只能获取自己所必需的应用权限。这样就可以很大程度上避免由于电子文档自身的易复制性和易修改性所带来的安全风险。”

同时，ERM系统是对数据信息本身的安全保护，相对于目前大量企业所采用的网络边界防护设备和内网行为管理系统，ERM能够更为彻底、有效的保护数据信息，防止信息泄露等安全事件的发生。在维护和应用成本上，ERM也有着更为突出的优势。ERM具备安全性、易用性和易管理性等特点。

衔接安全、管理两大市场

对于安全厂商来讲，每一项新技术、新产品的出现，都会为业界提供新的思路。刘昊原表示：“思智将ERM引入中国的过程中，也和很多的合作伙伴，包括安全行业内的厂商进行过大量的交流和沟通，最终推出了适合中国用户市场的ERM产品。所以对于整个企业安全市场来讲，我认为合作机会大于竞争，思智非常重视与数据存储、系统集成等行业的合作伙伴进行更为深入和广泛的合作。

”据悉，思智目前已经开发出了针对于企业应用的NET-LOCK文档安全管理系统，对数据信息提供全面的安全保护，有效杜绝泄密和窃密等安全事件的发生。下一阶段，思智将致力于为特定行业用户提供权限管理和安全保护，并在将ERM推广到更广阔的领域。

用电子商务刷新传统行业

雨恬

“互联网行业风险太大，100万个互联网企业里，不烧钱还出点名的成功企业只有100个到300个，仅仅万分之三的概率。”对于当前web2.0概念风行天下的互联网现状，起家于传统餐饮业与互联网业结合点的饭统网总经理臧力，显得十分冷静而沉稳――“互联网只能是工具，要想真的在互联网行业里创业成功，你必须和传统行业有所结合。”

此前传统餐饮业和互联网有相结合的案例也不少，如无线点菜收银系统(Mobile POS)、互动式桌面点餐系统等、企业上网工程、垂直资讯门户如中华美食网等。然而，真正涉及到电子商务层面的企业或服务，还处于摸索当中。

在臧力看来，原来的“单向”餐饮网显然不太具有平台盈利的前景，因此，要想让饭统网实现盈利，就必须让自己成为餐厅与食客的双向互动平台。对此，臧力形象地称之为“双轮模式”――“就像摩托车，前轮后轮必须都转，摩托车才可能前进。”“前轮”代表的就是餐厅，而“后轮”则代表的就是食客(用户)。

确定“双轮模式”后，接下来的事就是让更多的餐厅加入进来，经过努力到2003年底正式上线前，饭统网已经拥有了700多家加盟餐厅。“前轮”启动，“后轮”当然也不能落后。因此，摆在饭统网面前的第二问题就是：要为用户使用饭统网找到一个合适的理由――网络预定餐厅，看似非常简单的一项基本服务，引来了无数拥趸。

除了网上预订服务之外，排位优先权也是收获食客粘性的有利武器。通过这两个主要途径，饭统网在餐厅和用户之间架起了一座沟通桥梁。

在互联网领域，尽管Web 2.0网站仍然吸引眼球，但除了少数Web2.0网站受到风险投资的青睐并实现飞跃式发展之外，很大一部分正处于迷茫摸索甚至挣扎的状态。

篇6

关键词： 信息安全 信息管理与信息系统专业 专业特色教学

1.前言

伴随着计算机和因特网为代表的信息技术的迅猛发展，我国信息化水平有了很大提高，在信息安全方面的发展也很迅速。信息安全问题在信息化发展过程中日益凸显出来，因为信息一旦受到安全威胁，不仅会使信息系统瘫痪，而且会造成企业巨大的经济损失，甚至会危及公众个人隐私信息和国家政治、经济、国防等信息的安全性。目前，我国的信息安全产品市场规模已经超7亿人民币，专门从事信息安全产品生产的企业已过1000家［1］。

信息管理与信息系统专业是管理科学与工程学科的一个重要组成部分，是由信息技术、管理科学和系统科学交叉形成的前沿学科，它运用管理学、运筹学、系统科学和经济学的知识和方法，通过以计算机为基础的信息系统来实现各种管理活动和信息处理业务。该专业培养的人才在信息化建设中主要负责信息系统运行管理和伴随企业成长而不断更新信息系统的使命，人才的就业岗位归属于各种组织（企业）的信息中心或管理行政部门［2］。信息化的发展引发了信息管理与信息系统专业的发展，同样带来的信息安全问题也进入了管理学科的研究范围。在管理学科专业中开设信息安全课程，也是学科建设的需要［3］。但是就目前在专业设置方面提出的信息安全课程内容框架基本上都是针对计算机学科下的信息安全专业而设置的［4－6］，信息管理与信息系统专业不等同于计算机专业，最大区别在于更加强调各种信息安全技术和方法在实际管理问题中的应用。另一方面，同经济管理类专业相比，该专业更加强调使用计算机工具，用工程化的思想来实现信息化的管理。因此，在信息管理与信息系统专业中开设信息安全课程，要具有专业针对性并结合专业特色展开课程内容的教授和课程实验的设置。

2.我国信息安全教育现状

2.1信息安全人才缺乏。

2000年武汉大学创建了全国第一个信息安全本科专业，我国从此开始了信息安全本科生的培养。但是由于我国信息化产业的快速发展，对信息安全人才的需求远远不能得到满足。在2006年10月27日的第二届“全国信息安全学科专业建设与发展研讨会”上，许多专家呼吁要加大信息安全人才的培养［7］。信息安全是一个以信息安全学为核心，以信息技术学、信息工程学和信息管理学为支撑，以国家和社会各领域信息安全防护为应用方向的跨学科的交叉性学科群体系［8］。当前我国对信息安全人才的需求主要分布在政府、工商、电信、银行、军队、公安、交通、教育与科研、信息产业和一般企业。从人才需求分布看，不仅是计算机学科中需要设置信息安全专业，其他的交叉学科同样需要设置信息安全相关课程。

2.2信息管理与信息系统专业中开设信息安全课程的必要性。

信息管理与信息系统专业旨在培养企事业、政府的技术部门、经济部门或管理部门中从事信息系统的分析、设计、开发、利用和维护的应用型技术人才和从事信息化项目和信息资源开发利用的应用型管理人才。而信息安全问题具体涉及信息基础建设、网络与系统的构造、信息系统与业务应用系统的开发、信息安全的法律法规、安全管理体系等。不难发现，信息安全问题存在于信息技术的各个层次中。可以说，信息安全课程是研究信息、信息系统及信息系统应用领域的一门应用学科。因此，培养信息管理与信息系统专业的学生有必要学习信息安全知识，并需要将信息安全思想同信息系统有效结合并应用。

3.信息管理与信息系统专业中信息安全教学探索与实践

3.1针对专业特色，整合教学内容。

信息安全主要包括系统安全和数据安全两方面，所用技术有密码学、访问控制、防火墙技术、病毒查杀技术、身份认证技术、数字签名技术等，这也构成了对应的课程内容。在众多技术中密码技术是信息安全的核心。数论知识是密码学技术中必不可少的关键技术，在信息加密处理、公开加密算法的编写、密钥管理中都有不可或缺的应用。而数论基础知识对信息管理与信息系统专业的学生来说，具有较大难度。如果在课程开始就教授数论知识，会让学生倍感枯燥，难以调动学生学习的兴趣和主动性。

根据该专业侧重于信息管理与信息系统设计实现的专业特点，按照循序渐进、注重实际应用的原则，整合已有的信息安全教材，组织教学内容。在介绍密码学原理之前，首先给学生介绍密码学的发展历史，让其了解现代信息安全与密码的发展情况，同时体会到信息安全与密码学、数论知识密不可分。对数论部分内容作合理选择，在教授公钥加密体制时选择对应的数论知识进行介绍，如在重点讲解RSA加密算法时，选择运用到的数论知识――同余式、欧拉定理、模运算法则、大整数分解方法、相关免疫函数密码、素性测试算法进行详细介绍。结合信息系统开发和设计的实际应用，将访问控制、防火墙技术、病毒查杀技术、身份认证技术等技术同具体的信息系统相结合，让学生深刻感受到信息安全技术应用到信息系统中的重要性。

3.2理论验证和工程训练相结合，设置课程实验。

实验教学作为教学过程中的重要环节，不但有助于学生对理论知识的理解和应用，而且可以提高学生的动手能力和对知识的运用能力。信息安全的基础是各种信息技术，在这个领域中，工程应用占了相当大的比重，因此在本专业中的信息安全课程的实验部分需要加大面向工程应用的实验设置。

实验教学主要分为基础验证实验和综合设计实验两个层次。基础验证实验主要是对课程教授内容中的基本原理进行设计实现，使学生能对所学内容全面掌握并加深理解。鉴于信息管理与信息系统专业的学生具有一定的编程基础，基础验证实验主要要求学生对具有代表性的古典加密算法（如Playfair密码和Vigenere密码）和形成现代密码体制的经典数学方法（如辗转相除法求最大公约数，解同余方程等）用计算机高级语言实现，同时验证防火墙技术和数字签名技术在信息系统中的应用。综合设计实验要求学生能运用已学的先行课程知识，结合本门课程，采用工程化的思想，设计出一个完整的具有实际运用意义的信息系统，如设计实现基于Web的考试报名系统，并选择加密算法对用户密码进行管理，对用户报名照片添加本系统专有数字签名水印，同时学生可以自由选择和应用已有的信息安全知识自行设计系统的延伸功能。基础验证实验和综合设计实验在总实验学时中的比例是3∶7。实践证明，综合设计实验有助于加强学生动手能力和创新能力的培养，同时锻炼了学生的思维和操作能力，激发了学生的学习兴趣，使学生充分发挥了学习主动性。

3.3多项指标构成课程考核评价结果。

学生得到的课程成绩将不再仅仅是考试成绩，而是由多项指标构成。包括：第一，学生在基础实验过程中独立完成的情况。第二，在综合实验中允许学生分组，让学生提高与他人协调工作能力的同时，注重发挥自己在团队里作用，综合实验成绩按照学生在团队中相对应的工作及其完成情况决定。第三，学生需要完成课程认识报告，是对本课程学习情况的总结，选择所学内容中感兴趣的方面做深入研究形成报告的主要内容。第四，课程结束后的考试成绩。由这四部分构成学生最终的综合成绩，使学生不再拘泥于学习课本知识，更加注重动手实践能力，将课本所学应用到实际信息系统工程中去。同时以小组为单位，更加锻炼组织协调及与人沟通的能力。

4.总结

本文针对信息管理与信息系统专业特点和信息安全课程教学内容，根据目前我国信息安全课程教育现状，对在该专业下设置信息安全课程方式进行探讨。教学实践证明，整合教学资源，具有专业特色的实验设置和多项指标构成的评价体系，更加能够提高学生的学习兴趣和主动性，加深学生对信息系统工程化思想的理解，锻炼团队学习工作能力，从而大幅度地提高教学质量。当然，信息安全是一门跨学科、涉及面广的综合性学科，如何更好地结合本专业的其他基础课程及所涉及的交叉学科课程，同时兼顾专业特色，更好地提高教学质量，还需要我们继续努力。

参考文献：

［1］禹金云，罗一新.我国信息安全的现状及对策研究［J］.中国安全科学学报，2006(1).

［2］刘秋生.信息管理与信息系统专业建设探讨［J］.中国管理信息化，2007(7).

［3］王英.管理学科信息安全教学研究［J］.信息安全与通信保密，2008(1).

［4］马建峰，李凤华.信息安全学科建设与人才培养现状问题与对策 ［J］.计算机教育，2005(1).

［5］林柏钢.信息安全专业宽口径培养模式探讨［J］.北京电子科技学院学报，2006(1).

［6］吕欣.关于信息安全人才培养和学科建设的思考［J］.北京电子科技学院学报，2006(1).

篇7

【关键词】电力信息；运行；维护；管理

前言

在全球信息化的推动下，计算机信息网络作用不断扩大的同时，对于管理信息系统的安全，除在系统设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强系统的安全管理。安全系统需要由人来计划和管理，任何系统安全设施也不能完全由计算机系统独立承担系统安全保障。诸多不安全因素恰恰反映在组织管理和人员因素方面。文章结合电力信息网络的安全风险，提出了供电企业的网络信息的安全与管理问题。

1、电力信息网络的安全分析

(1)计算机及信息网络安全意识薄弱。供电系统各种计算机应用对信息安全的认识距离实际需要差距较大，对新出现的信息安全问题认识不足。

(2)急需建立同供电行业特点相适应的计算机信息安全体系。相对来说，在计算机安全策略、安全技术和安全措施投入较少。为保证供电系统安全、稳定、高效运行，应建立一套结合电力计算机应用特点的计算机信息安全体系。

(3)联网的外部威胁。供电系统依据有关规定将网络分为信息内网和信息外网，信息内外网之间实行物理隔离。供电系统用户通过外网与互联网连接，必须要面对国际互联网上各种安全攻击，如网络病毒、木马和电脑黑客等。

(4)数据库数据和文件的明文存储保护不完善。供电行业应用系统基本上基于商业软硬件系统设计和开发，用户身份认证基本上采用口令的鉴别模式，而这种模式很容易被攻破。没有完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了事，没有完善的数据备份设备、没有数据备份策略、没有备份的管理制度，没有对数据备份的介质进行妥善保管。

2、供电企业的信息安全措施

供电系统的信息安全具有访问方式多样，用户群庞大、网络行为突发性较高等特点，信息安全问题需从网络规划设计阶段就仔细考虑，并在实际运行中严格管理。为了保障信息安全，采取的策略主要包括以下几个方面。

2．1加强电力信息网络安全教育

①为了保证信息安全的成功和有效，信息管理部门应当对企业各级管理人员、用户、技术人员进行信息安全培训，所有的企业人员必须了解并严格执行企业信息安全策略。②主管信息安全工作的负责人或各级管理人员，重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部的建立和管理制度的制定等。

2．2重视设备管理

重视设备管理是在企业网络规划设计阶段就应充分考虑安全问题。将一些重要的设备，如各种服务器、主干交换机、路由器等尽量实行集中管理；各种通信线路尽量实行深埋、穿线或架空，并有明显标记，防止意外损坏；对于终端设备，如工作站、小型交换机、集线器和其它转接设备要落实到人，进行专人严格管理；加强信息设备的物理安全，注意服务器、计算机、交换机等设备的防火、防盗、防水、防潮、防尘、防静电。

2．3重视技术管理

①防火墙技术。供电系统的生产、计量、营销、调度管理等系统之间，信息的共享、整合与调用，都需要在不同网段之间对这些访问行为进行过滤和控制，阻断攻击破坏行为，分权限合理享用信息资源。②虚拟局域网技术(VLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域，每一个VLAN都包含1组有着相同需求的计算机工作站，与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分，所以同一个LAN内的各工作站无须放置在同一物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。③数据与系统备份技术。供电企业的数据库必须定期进行备份，按其重要程度确定数据备份等级。配置数据备份策略，建立数据备份中心，采用先进灾难恢复技术，对关键业务的数据与应用系统进行备份，制定详尽的应用数据备份和数据库故障恢复预案，并进行定期预演。确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统，从而保证信息系统的可用性和可靠性。④建立信息安全身份认证体系。供电企业面对来自内部和外部信息安全风险威胁，需建立有效的信息安全身份认证体系，实现网络危险过滤、终端准入、用户识别、上网授权等功能，警告或禁止检查不通过的终端访问企业内部资源，最终实现企业内网用户终端安全性的提升，达成企业整网上网安全性的保障。

3、当前信息系统运行管理的工作

3．1探索设备运行管理新方法

确保信息系统正常运行的一个前提条件是设备正常运行。信息设备多种多样，包括网络(交换机，路由器等)，主机服务器，防火墙等，各类又包括很多品牌和不同技术的设备，如何保证设备的正常运行，怎样做好信息设备的管理工作?

(1)购买必要的质保服务，适度控制风险。一方面设备老化会出问题，需要更新；另一方面，管理人员的技术力量不够，设备出现问题就要尽量控制它。

(2)加强设备的规范化管理。信息化设备管理处于刚刚起步阶段，大家对设备管理的经验不足，有必要向电网一、二次系统设备管理学习。

(3)建立设备运行预警体系。我国企业设备管理的一个重要发展趋势是以管理为中心替代以检修为中心，且逐步由预防维修、在线检修替代事后维修。

(4)做好数据备份工作。数据已经成为企业可持续性发展的重要环节，数据备份也是信息安全的最后一道保障。

(5)尽量由自己完成操作。管理人员根据服务厂商提供的操作步骤完成工作，可以提高管理人员的技术水平，更好地保护企业信息安全。

4、信息系统运行管理的绩效问题

企业追求的是经济效益，评价信息系统的效益需要建立企业的关键绩效指标(KPI)。信息系统运行管理，并不产生直接的经济效益，甚至是纯粹的消费，但是，关键应用系统的故障，给企业带来损失。

信息系统运行管理中的关键绩效指标主要有：1)关键应用系统的平均无故障时间；2)重要设备的平均无故障时间；3)信息安全度；4)应用系统的效益。

信息运行管理不产生直接的经济效益，运行管理工作常常被人们忽视，有必要从历史经验去寻找信息系统运行的效益。比如，SCADA系统不能正常使用，给企业带来的损失。营销系统或者95598系统不能正常使用，给企业带来的负面影响，网络中断或者病毒给企业带来的损失。从不同的方面、多个角度分析信息系统运行管理的经济效益，提高信息运行管理在企业中的地位。

篇8

企业经营信息对于企业来说是一种资源，对于企业自身来说具有重要意义，企业需要妥善管理自身企业的信息。近年来，企业的各项经营活动都逐渐开始通过计算机，网络开展，因此，企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革，把更多的注意力放在企业内部的信息安全管理工作，同时将企业信息安全管理与风险控制结合起来，这是一个正确的选择，能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义，因此，本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。企业的信息安全管理包含十分丰富的内容，简单来说是指企业通过各种手段来保护企业硬件和软件，保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标，即保证信息数据的完整，保证信息数据不被泄露，保证信息数据能够正常使用，保证信息数据能够控制管理。要想做好企业的信息安全管理，首先需要了解的是关于信息的传输方式。随着信息技术的不断普及，信息传递的方式越来越多，常见的信息传递方式主要有互联网传播，局域网传播，硬件传播等等。要想实现企业的信息安全管理，其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作，从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲，最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结，企业信息安全不仅仅需要信息技术的支持，更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以，怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前，提前对企业的信息进行风险预估，并采取一系列的有针对性的活动降低企业面临的信息安全风险，从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一，建立企业信息安全风险管理制度，明确企业信息安全管理的责任分配机制，明确企业各个部门对各自信息安全所应承担的责任，并建立相应的问责机制。第二，设置规范的企业信息安全风险管理指标，对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级，方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三，企业要加强对信息安全管理人员的培训，提高企业信息安全管理工作人员的风险意识，让企业内部从事信息安全管理工作人员认识到自身工作的重要性，让企业内部从事信息安全管理工作人员了解到规范自身行为，正确履行职责的重要性。第四，将企业信息安全管理与风险控制有效融合，重视企业信息安全管理工作，通过风险控制对企业内部信息安全的管理方式进行正确评估，找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说，企业信息安全管理工作是一项极为重要而隐秘的工作，因此，必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计，目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上，对企业信息安全管理工作人员的道德素养，职业素养，风险意识并没有严格要求。此外，绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训，并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督，这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术，包括信息技术，计算机技术，密码技术，网络应用技术等等，应当说成熟的计算机应用技术是做好企业信息安全管理的基础，但是，现实是许多企业的信息安全管理技术并不过关，一方面企业的信息安全管理硬件并不过关，在物理层面对企业信息缺乏保护，另一方面，企业信息安全管理工作的专业技术没有及时更新，一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验，企业信息安全管理的知识也并没有及时更新，从而导致企业的信息安全管理理论严重滞后，这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂，很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业，企业内部设备数量比较多，尤其是客户端数量占了较大比重，仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外，企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善，更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析，许多企业虽然建立了企业信息安全管理制度，但是通常情况下，这些制度只能流于形式，企业信息安全管理工作缺少有效的制约和监督，企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全，企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一，企业员工对于信息安全管理的认识严重不足，对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新，使用，甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关，认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二，企业内部信息安全管理制度并没有形成联动机制，企业信息安全管理工作仅仅由企业信息安全部门“一人包干”，企业信息安全反映的问题并没有得到积极的反馈，一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构，它的设计初衷是面向客户的，提供给客户各种安全应用，安全应用必须依靠安全服务来实现，而安全服务又是由各种安全机制来保障的。所以，安全服务标志着一个安全系统的抗风险的能力，安全服务数量越多，系统就越安全。

2.P2DR模型

P2DR模型包含四个部分：响应、安全策略、检测、防护。安全策略是信息安全的重点，为安全管理提供管理途径和保障手段。因此，要想实施动态网络安全循环过程，必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应，防护通常是通过采用一些传统的静态安全技术或者方法来突破的，比如有防火墙、访问控制、加密、认证等方法，检测是动态响应的判断依据，同时也是有力落实安全策略的实施工具，通过监视来自网络的入侵行为，可以检测出骚扰行为或错误程序导致的网络不安全因素；经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中，应急响应占有重要的地位，它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者，企业信息安全工作人员直接主导企业信息安全管理工作，企业信息安全工作人员不仅仅是企业信息安全的保障者，也是企业信息安全管理的威胁者。因此，HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外，HTP模式同样是建立在企业信心安全体系，信息安全技术防范的基础上，HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后，HTP强调动态管理，动态监督，对于企业信息安全管理工作始终保持高强度的监督与管理，在实际工作中，通过HTP模型的应用，找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

（1）充分调查和分析企业的安全系统，建立一个全面合理的系统模型，安全系统被划分成各个子系统，明确实施步骤和功能摸块，将企业常规管理工作和安全管理联动协议相融合，实现信息安全监控的有效性和高效性。

（2）成立一个中央数据库，整合分布式数据库里的数据，把企业的所有数据上传到中央数据库，实现企业数据信息的集中管理与有效运用。

（3）设计优良的人机界面，通过对企业数据信息进行有效的运用，为企业管理阶层人员、各级领导及时提供各种信息，为企业领导的正确决策提供数据支持，根本上提高信息数据的管理水平。

（4）简化企业内部的信息传输通道，对应用程序和数据库进行程序化设计，加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

（1）确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中，首要工作是设计企业信息安全风险评估的目标，只有明确了企业信息安全管理的目标，明确了企业信息安全管理的要求和工作能容，才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度，才能顺利通过对风险控制的结果的定量考核，检测企业信息安全管理的风险，定性定量地企业信息安全管理工作进行分析，找准企业信息安全管理的工作办法。

（2）确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的，因此，对于不同的企业的特殊性应该采取不同的风险控制办法，其中，不同企业对于能够承受的信息安全风范围有所不同，企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此，企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。

（3）组建适当的评估管理与实施团队

篇9

关键字：校园；网络；管理；信息；安全；保障

目前，校园网络信息安全性的问题逐渐得到高级技工学校的关注,学校在不断的完善校园网络的管理以及信息安全保障的政策。校园网络作为高级技工学校信息化建设的重点,确保网络信息安全的完整性、保密性、可控性、可用性、不可否认性成为了学校保障网络信息安全的重点工作。

一、校园网络信息安全的特征

校园网络信息安全需要具有完整性，确保信息在传输以及存储的过程中可能被恶意的篡改，应该确保网络信息的正确以及有效，避免被非授权人将信息的完整性破坏；校园网络信息安全需要具有保密性，通过密码技术对重要的信息采取保护措施或进行加密处理，避免重要信息的泄漏、丢失等，确保合法用户能够安全的使用信息；校园网络信息安全需要具有可控性，使授权机构能够控制信息的内容以及具备监控和管理传播流向和方式的能力；校园网络信息安全需要具有可用性，确保授权用户能够进入系统进行信息的访问，防止非授权者恶意访问系统，窃取、泄漏、破坏校园网络的信息安全。与此同时，还应该防止网络病毒引发的系统瘫痪，造成服务器拒绝用户使用或被入侵者所用；校园网络信息安全需要具有不可否认性，也可以称之为不可抵赖性，当信息传输结束以后,信息传输双方不能抵赖自身的行为，比如否认接收过对方的信息，通过信息源的证据，双方就无法对完成的操作进行抵赖，能够有效的防止发送方否认已经传输过的信息。

二、校园网络管理和信息安全保障的必要性

随着计算机网络的不断发展,强化学校网络安全管理的建设,不仅能够提升学校整体的形象，还是学校发展成为信息化的必然趋势。网络安全对于校园整体形象和未来发展趋势都有影响。校园网络信息安全对于学生来说，能够促进学生的全面发展，还能提高学校的整体经济效益。目前，学校的网络中储存了大量的文献信息,网络信息安全对于高级技校的教育工作有着重要的意义，教师进行教学越来越依赖计算机网络，如果网络的安全出现问题，信息资源被恶意篡改、丢失、删除、破坏等，对于学校来说是无法弥补的经济以及资源损失。因此，校园网络管理和信息安全保障对于高校来说十分重要，建设校园网络的过程中，应该重视网络运行的安全问题，引进先进的网络技术，严格按照网络安全管理规范，及时解决网络系统可能出现的问题，确保校园网络能够安全、可靠、正常的运行。

三、校园网络管理和信息安全保障的现状

3.1校园网络的安全受到威胁

目前，高级技工院校为了提高网络的安全性,通常会配置网络防火墙系统。然而防护墙是利用静态技术只能起到防范的作用,并且防护的范围不够全面，防护的效果也不是十分明显。为了采取更加有效的防护措施，高校需要采用动态防护技术，比如入侵检测技术。如今病毒的传播方式多种多样，具有很强的破坏能力，并且传播速度很快,一旦校园的某台计算机被病毒入侵,主机系统就会受到影响，导致整个校园的网络都会瘫痪。

3.2不重视校园网络的管理

大部分的高级技工院校对于网络管理问题，普遍是“重设备,轻管理”的理念，仅重视设备的购买,而忽视了对设备的管理。学校错误认为安装防火墙、电脑管家以及杀毒软件，就能起到信息安全防护的作用，其实信息安全还包含其他方面，安全防护设备在校园网络中虽然得到了普遍应用，然而对于软件的实践应用只能解决一部分的信息安全问题。学校应该重视安全设备安装后的管理问题，通过制定相关的管理规则，使用户能够合理的使用校园网络，从而确保网络信息的安全。

3.3用户的校园网络安全意识不够高

高级技工学校用户普遍缺乏网络安全意识，需要不断提高网络安全意识，才能从根本上保障校园网络信息的安全。对于学校来说，校园网络用户在网络信息管理和保障中起到十分关键的作用，用户的实践操作行为直接影响信息的安全。目前，大部分校园网络用户,进行口令的选取时,忽视自身操作的规范性，导致校园网络被恶意入侵。

四、校园网络管理和信息安全保障的实践策略

4.1完善校园网络的访问权限设置

校园网络为了保证信息的安全需要设置网络权限，通常校园网络只提供给本校师生使用，这样就能有效的减少不良信息传播的途径，避免病毒通过其他途径破坏系统，从而保障校园网络信息的安全。访问权限设置能够控制用户的非法访问，检测用户登陆的服务器以及用户查看过的信息，使用户的账号能够受到监管，避免用户信息被盗用，导致信息的泄漏。

4.2重要信息及时做好备份

校园网络如果遭受到病毒的侵害，计算机系统就会受到损害，导致用户的重要信息泄漏、丢失等，造成用户的损失。因此，学校网络的数据库需要及时进行重要信息的备份，确保用户的重要信息能够通过备份系统找回，避免给用户造成不便。

4.3监控校园网络的日志

做好校园网络日志的监控工作是高级技工学校的重点工作，对于保障信息安全起到了重要的作用。安全设备虽然能够保障信息的安全，但是不能仅仅停留在表面，作为校园网络的管理人员，应该不断提高自身的素质，进行安全设备性能、用途等多方面的深入研究，从而更好的管理校园网络的信息。监控校园网络信息安全的对象有防火墙、检测系统、服务器等，由于防护核心思想的差异，综合使用监控设备能够有效的进行用户访问时间的跟踪，了解用户的登陆地点，登陆设备、登陆时间等，这些信息有助于学校管理和保障信息安全，了解校园网络日志的具体来源和途径，从而提高校园网络的安全性。

4.4建立校园网络管理相关的制度

高级技工学校应该制定相关的政策，强化用户对信息安全防护的意识，提高自身的网络素养。制定完善的制度管理体系，使用用户能够严格按照相关规定约束自身的行为，避免由于自身错误的操作，造成校园网络信息的泄密、丢失等。由于校园网络使用的用户普遍为在校学生,因此学校可以结合学生的实际情况，设立网络相关的选修课程,提高学生的网络安全意识。与此同时，校园网络使用的用户还包括教师，学校应该对教师展开定期的培训，提高教师的综合素质，从而做到言传身教。通过不断提高校园网络用户的整体素质，网络不良信息的传播才能得到有效的控制，避免恶意入侵的非法用户危害校园网络的安全。

五、结语

综上所述，校园网络是一把双刃剑,虽然为学生和教师的学习和教学工作带来了方便，然而随着网络技术的不断发展，信息安全的问题接踵而至，为了有效确保校园网络信息的安全，学校需要不断的完善校园网络的访问权限设置，对重要的信息及时做好备份，监控校园网络的日志，建立校园网络管理相关的制度，从而提高校园网络用户的综合素质，提高校园网络的安全性。

参考文献

[1]杨梅,甘露,张林涛.校园网络管理和信息安全保障实践探讨[J].玉林师范学院学报,2013,01:112-116.

[2]王平,赵仕伟,赵义平.浅谈校园网络管理与信息安全保障对策研究[J].网友世界,2014,06:5.

[3]徐喆.高校网络安全存在的问题与对策研究[D].燕山大学,2012.

篇10

计算机网络技术不断发展,应用较为广泛,但是也存在安全性问题,使个人或者企事业单位面临威胁。如果计算机信息管理的方法不恰当,会使机密的信息被窃取,引起经济损失。对计算机信息进行安全管理成为重要的问题。计算机安全保护的目的主要是进行信息的安全管理,保证计算机在存储信息方面具备完整性以及机密性,信息的效用价值被激发出来。

二、计算机信息安全存在的问题

信息安全威胁主要指的是人、事、物对某一资源信息造成的威胁,主要安全威胁表现在以下方面:机密性;完整性;可用性;真实性;可控性。安全威胁可以分为两类:主动威胁、被动威胁。主动威胁指的是对信息作出修改,被动威胁指的是对信息只做监听不做修改。

2.1攻击方式

信息的安全问题一直受到人们的关注,对计算机进行侵袭的方式花样百出。典型的方式包括:()l信息泄露;(2)重放;(3)拒绝服务。无法访问信息资源,延迟操作。(4)窃听:(5)否认:(6)业务流分析:(7)病毒。

2.2网络外部因素出现问题

网络外部因素是出现信息安全的重要原因,在信息安全问题中处于关键地位。主要表现在:()l借助技术手段进行网络干扰;(2)借助先进的设备,植人病毒等,威胁信息系统。

2.3网络内部因素出现的问题

网络系统具有脆弱性,是信息安全问题的内因。主要表现在:(l)安全策略与安全管理有待完善;(2)软件系统存在漏洞;(3)网络协议体系存在问题。

三、计算机信息安全管理的方法

3.1进行信息加密

在安装防火墙软件后,不能有效防御系统内部的威胁,在这种情况下,可以采用信息加密的技术,把明文文件、数据信息等进行优质化处理,进行密文的传送,到达目的地后,录人密钥,重现原来的信息内容,对信息文件设置安全保护,使数据资源保持安全性。与加密过程相反的是解密,主要是转化已经编码的信息,还原本来的信息。根据系统功能的要求,选择信息加密的手段,保证信息的安全性以及可靠性。

3.2采用安全性较高的系统软件

安全性较高的系统软件指的是操作系统以及数据库等具有很高的安全性。在系统终端,操作系统应当版本统一,为维护以及管理提供了很大的方便。对系统的终端进行安全管理,主要指的是针对应用软件进行远程操控,对于不安全的端口以及软件进行屏蔽。在系统的终端,安装杀毒软件,对系统的补丁进行自动的更新,便于进行集中的控管。对客户端的操作系统进行定期的扫描杀毒。

3.3访问控制技术

访问控制主要指的是对用户的访问权限进行控制,允许特定的用户进行网络访问,人网的用户需要进行身份确认,用户访问系统的特定资源,规定资源的使用程度等等。访问控制可以加强网络系统的安全,对网络资源进行有效的保护。访问控制的措施包括:第一,设置口令;第二,应用数字证书等。通过以上方法,验证、确认用户的信息,设定访问的权限,进行网络跟踪,并对网络系统采取防护措施。为了确保口令的安全性,要注重口令的选取以及保护。进行访问控制,主要是为了确保访问操作的合法性,避免非授权的访问。

3.4进行风险分析

采用信息加密算法可以增加计算机信息整体的安全性。从传统的加密方法来看,主要是把密匙作为核心,也就是对称加密。在进行解密和加密时,用户可以采用相同的密钥。近年来,加密算法发展较快,公开密钥得到了广泛的应用,也称为非对称加密。进行加密、解密,采用不同的密钥,主体涵盖的技术包括RsA以及DsA技术。现在比较常用的是DES、RSA算法,与PGP加密的方式相混合,能够进行优质运用。与此同时,还要进行病毒的防御。计算机技术在不断进步,病毒的形式更加多样,分辨存在很大的难度,产生很大的危害。

因此,为了保证计算机信息的安全性,我们应当更新技术,不断研发防御病毒的方式,使功能更加优质全面。我们必须进行风险分析,分析利弊,制定适当的管理方法,使计算机信息安全有所保证。养成规范操作的习惯,加强密钥的管理。

篇11

关键词 校园网 信息安全 安全管理

中图分类号：TP393 文献标识码：A

0前言

校园网是高校中，师生获取信息和交流想法观点的重要途径，在高校的建设中占据着举足轻重的地位。但在建立校园网的过程中，它自身存在的问题也逐渐暴露出来，随着网络的不断发展和深化，信息安全方面的问题得到了人们越来越高的重视。为了保障校园网的信息安全，应该从管理方面着手，分析出校园网信息安全得不到保障的原因，以及在今后的建设中，应该如何加强对校园网的管理，建立起一个网络信息安全的长效机制，从根本上还原一个安全的网络环境。

1校园网信息安全的研究思路

校园网是指在各高校间被广泛应用的开放式网络，给学生和老师的上网环境提供了便利，但由于校园网的用户层次具有差异性，致使信息安全方面出现了很多问题。

1.1校园网的边界安全

校园网的边界安全是指校园网和外界网络之间实现的信息交换是安全的，建设校园网的边界安全，要求既能保证校园网和外界网络能够正常实行信息通讯活动，又能抵御来自互联网的病毒、端口扫描等一系列恶意攻击。

1.2系统漏洞的修补

校园网的用户主要是高校学生，每个学校里都有数量众多的学生，使得校园网的网络运行环境成了多用户、多系统、多应用的网络，数量庞大的网络设备和操作系统，让应用软件无可避免地存在许多安全漏洞，如果这些漏洞得不到及时的清理，将会带来大量的病毒、木马和黑客入侵。

1.3校园网计算机与存储设备的安全

校园网的终端计算机中存储了大量的文档信息，其中包含了学生档案、教师的教学设计、学生作业以及考试题目，这些信息非常重要，但是由于数量巨大，致使在应用和管理上这些信息存在着许多安全隐患，比如设备的无分级管理、操作人员没有安全信息方面的意识等。

1.4校园网维护管理

校园网建设完成后，想要保障信息的安全，就必要加强日常的维护管理。具体实施体现在网络的安全运行要有一个校园网的安全运营中心，通过对安全管理工作的重视和强化，对校园网的硬件设备、系统应用方面实时监控，对其情况进行汇总和分析，随时能够提出紧急的应急措施，确保校园网的信息安全。

2校园网中安全信息出现的问题

2.1安全管理制度的不完善和安全意识淡薄

对校园网的安全信息保障离不开管理力度的投入，但在实际情况中，很多高校存在着重建设、轻管理的现象。随着时间的流逝，表明了安全管理如果不被重视，会导致大量的网络安全风险。在大部分高校中，对校园网的建设也不够成熟，在这个阶段中，工作人员缺乏安全管理的意识，不能及时发现系统中存在的漏洞并予以修复，同时还缺乏一个安全预警和监管的体系制度，不能够有效做好安全信息的预防工作。

2.2病毒的侵害

近几年的发展中，校园网的网络规模不断扩大，性能也逐渐提高，但这也给病毒的传播提供了一个温床，造成了越来越严重的后果。比如曾经有新闻报道，某高校的校园网出现了“ARP病毒”，让校园网中的大部分用户无法上网，一时间，计算机的病毒成了校园网中威胁信息安全的头号杀手。

2.3系统的安全风险

系统是计算机网络最重要的组成部分，系统的安全风险主要是指操作系统、数据系统以及各种应用系统在运行过程中出现的安全风险。就目前的形势来看，校园网所使用的系统大多数都是微软系统，而这些系统和网络软件并不能保证没有漏洞和缺陷，有些漏洞可以直接获得管理员的权限，对服务器进行攻击，这也给校园网的信息安全带来了巨大的隐患。

2.4人为因素的影响

除了校园网本身的设备会对信息安全造成威胁外，还有一个最不确定的因素就是人为因素的影响。根据实践表明，人为因素破坏信息安全主要分为两类，一类是无意间造成的，是指操作软件的过程中，操作人员的技能不够熟练，在使用过程中出现了失误而致使了系统的故障；另一类就是故意的行为，主要是网络黑客为了窃取校园网中的数据而发起的蓄意攻击，非法使用网络资源，严重破坏了网络的信息安全。

3如何加强对校园网信息安全地管理

3.1建立健全校园网的规章制度

一个完善的制度可以引领行动，建立一个健全的校园网管理制度，就可以让管理工作做到有章可循。在现在的高校中，想要实现现代化的教学条件，就必须加强对校园网的建设，针对信息安全得不到保障的问题，可以建立一些相关的规章制度。而在建立规章制度的过程中，必须要从生活实际出发，让这些规章制度符合校园网的实际情况，能够做到全面、具体，当制度建完之后，则要规定师生都能够严格执行，只有这样才能让规章制度达到良好的效果。

3.2做好软件设备维护，定期进行杀毒

软件设备决定了校园网能够高效运行，要想让软件设备发挥出最大化的优势，就要定期对软件进行杀毒，加强软件设备的维护工作，只有这样，才能保障校园网的正常运行。在实际的工作中，软件设备的维护工作看似简单，但实际上非常繁琐，这就要求了工作人员要具备专业的知识，并不断学习新技术、新知识，从技术上保障软件设备的维护工作。网络中的病毒无处不在，一旦这些病毒入侵了校园网的服务器，就会让系统出现瘫痪的状态，因此要经常对病毒进行扫描，升级杀毒软件。除此之外，学校还应该对重要的数据进行备份，避免病毒入侵，数据丢失所带来的重大损失。

3.3做好硬件设备的维护

校园网的硬件设备主要是指服务器，它是网络能够正常运转的基本条件，也是整个校园网的核心。如果说软件设备维护不当会影响校园网的高效运行，那么硬件设备如果维护不当，则会让校园网根本无法运行，这会让老师无法开展教学工作，学生的学习也会受到影响。因此，在硬件设备的维护中，要求工作人员全面掌握计算机的工作原理，定期给硬件设备清灰除尘，保持机房的温度和湿度，保持在良好的自然条件中，一旦校园网的硬件设备出现了问题，工作人员能及实地维护和更换。

4结论

现代化科技的发展，让高校的教育越来越多地应用到了网络多媒体，因此建立一个校园网是尤为必要的，它能加强老师和学生之间的沟通交流。但在实际生活中，校园网的信息安全一直存在着许多问题，想要从根本上保证信息安全，就必须要加强管理工作。常言道：三分靠设备，七分靠管理，把管理的效率提高，自然会保障信息的安全。在实际工作中，管理人员一定要树立安全意识，提高对网络安全的技术掌握。另外，学校也需要建立相关的规章制度，有效控制校园网内部的安全隐患，让校园网能够健康平稳地发展。

参考文献

[1] 李小许，李杰.校园网信息安全与网络管理探讨[J].数字化用户，2013，（09）：115.

[2] 牟文杰.探索校园网信息安全管理工作的长效机制[J].思想理论教育导刊，2005，（08）：62-67.

[3] 左靖.校园网信息安全与网络管理[J].硅谷，2009，（01）：56-66.

篇12

【关键词】网络信息安全 防火墙 数据加密 内部网

一、网络信息安全的脆弱性

在因特网上，除了电子邮件、新闻论坛等文本信息的交流与传播之外，网络电话、网络传真、静态及视频等通信技术都在不断地发展与完善。在信息化社会中，网络信息系统将在政治、军事、经济、交通、文教等方面发挥越来越大的作用。网络信息系统都依靠计算机网络接收和处理信息，实现相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。网络正在逐步改变人们的工作和生活方式。面对这种现实，政府有关部门和企业不得不重视网络安全的问题。

二、网络安全的主要技术

（一）防火墙技术

1.防火墙的技术实现

通常是基于“包过滤”技术，而进行包过滤的标准通常就是根据安全策略制定的。包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有：包的源地址、包的目的地址、连接请求的方向、数据包协议以及服务请求的类型等。

防火墙还可以利用服务器软件实现。一般都具有加密、解密和压缩、解压等功能，这些技术增加了信息在互联网上的安全性。现在，防火墙技术的研究已经成为网络信息安全技术的主导研究方向。

2.防火墙的特性

（1）所有从内到外和从外到内的数据包都要经过防火墙；

（2）只有安全策略允许的数据包才能通过防火墙；

（3）防火墙本身应具有预防侵入的功能，防火墙主要用来保护安全网络免受来自不安全的侵入。

（二）数据加密技术

1.常用的数据加密技术

目前最常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和解密，非对称加密技术就是加密和解密所用的密钥不一样，它有一对密钥，分别称为“公钥”和“私钥”。

2.数据加密技术的发展现状

在网络传输中，加密技术是一种效率高而又灵活的安全手段，值得在企业网络中加以推广。加密算法有多种。现在金融系统和商界普遍使用的算法是美国的数据加密标准DES。近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。

（三）访问控制

1.身份验证

身份验证主要包括验证依据、验证系统和安全要求。

2.存取控制

存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面，主要包括人员限制、数据标识、权限控制、类型控制和风险分析。

三、常见网络攻击方法

网络中的安全漏洞无处不在。即便旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。

网络攻击的常见方法：

1.口令入侵

2.放置特洛伊木马程序

特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就可以在windows启动时悄悄执行的程序。

3.WWW的欺骗技术

在网上用户可以利用IE等浏览器进行WEB站点的访问，但一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！

4.电子邮件攻击

电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。

5.网络监听

网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。但监听者往往能够获得其所在网段的所有用户帐号及口令。

6.安全漏洞攻击

许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的。由于很多系统在不检查程序与缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。若攻击者特别配置一串准备用作攻击的字符，他甚至可以访问根目录，从而拥有对整个网络的绝对控制权。

四、网络攻击应对策略

1.提高安全意识

不要随意打开来历不明的电子邮件及文件，不要随便运行别人给你的程序；尽量避免从Internet下载不知名的软件；密码设置尽可能使用字母数字混排；及时下载安装系统补丁程序；

2.使用防毒、防黑等防火墙软件

3.设置服务器，隐藏自己的IP地址

4.将防毒、防黑当成日常例性工作

5.提高警惕

篇13

 

1 信息环境下的企业管理路径

 

1.1 完善管理信息化建设体制

 

企业要加快管理信息系统建设，规范信息化标准体系，提高管理的信息化水平。首先，企业要成立信息化管理部门，负责企业信息化建设项目的全面推进，并且结合企业信息环境和管理需求制定信息化工作管理制度、专项经费管理制度、信息化工作考核制度等，保障信息系统建设制度化开展。其次，明确管理信息系统建设重点，如生产指挥调度管理系统、资金管理系统、会计核算系统、移动办公系统、物资采购管理系统等，提高企业对各项经营活动的管控能力。最后，建立信息化标准体系，包括技术支撑、基础建设、安全保障、业务应用等方面的标准，从而确保企业管理信息系统建设项目的质量。

 

1.2 建设企业ERP系统

 

企业要结合经营管理实际情况，引入ERP系统，从供应链管理层面推动物流、资金流与信息流的有机整合，提高企业集成化、信息化管理水平，提升企业供应链运作效率。在ERP系统的支持下，企业要实现财务业务一体化管理，完善财务管理系统功能，促使业务产生的信息实时传递到财务部门进行处理，同时也将财务信息、财务报告及时提供给企业管理层进行查阅，并将其作为企业经营决策的可靠依据。

 

1.3 优化人力资源信息化管理

 

在信息环境下，为进一步提升企业的管理水平，应当在现有的基础上，对人力资源信息化管理进行优化。首先，企业应当建立起一个相对完善的且包含绩效考核、员工培训、人才能力管理的信息化系统，并通过对相关流程的梳理，促进企业管理规范化和标准化，从而全面提升企业的人力资源管理效率。其次，企业可将一些重要的项目作为契机，实现人力资源与企业管理要求的对接，遵循现代企业管理的思维方式，开展相关的人力资源信息化管理工作，如员工绩效考核、领导干部测评等，借助项目成果，提升企业人力资源的整体管理水平，由此能够推动企业在信息环境下的稳定、持续发展。

 

1.4 加强信息化建设中的风险管理

 

企业在建设信息化的过程中不可避免地会面临各种风险，为此，企业应当采取有效的方法和措施加强风险管理。企业应当建立相对完善的风险防范机制，在该机制建立的过程中，要对管理信息系统开发中的所有风险予以充分考虑，针对风险因素进行有效的管理。实践证明，大多数风险都可以通过相应的方法进行防控，其前提是需要对风险进行准确的识别，但必须指出的是，风险本身具有不确定性和随机性的特点，并且有些风险是很难进行预防和控制的，因此，企业在开发管理信息系统时，必须制订出一套能够应对突发意外事件的方案，从而在意外发生时，能够进行解决，避免造成损失。

 

2 保障企业信息安全的体系构建

 

在信息环境下，信息安全是企业开展管理信息化建设面临的重大问题之一，直接关系到企业管理信息化水平的提升。为此，企业要结合管理实际需求，构建起信息安全保障体系，具体实施措施如下。

 

2.1 加强网络安全管理

 

企业在加强网络安全管理的过程中，可采取如下技术措施。

 

2.1.1 对远程接入进行严格控制近年来，虚拟专用网络技术(VPN)获得了快速发展，由此大幅度降低了远程接入给企业带来的风险，与此同时，移动办公的出现，在一定程度上促进了远程接入的发展，为确保远程接入的安全性，企业可以应用USB KEY身份认证或是动态口令等方式，对远程接入进行安全控制。

 

2.1.2 IPSec企业内网中存在一些非受控终端，这些终端的存在给黑客提供了访问企业网络的路径，为确保网络信息的安全性，企业可以应用IPSec，由此能够对内部终端进行管理和控制。

 

2.1.3 入侵检测这是防火墙的一项补充技术，能够对网络传输进行实时监控，当检测到可疑的数据信息传输后，会自行发出报警。通过入侵检测，可以使企业对来自外部的恶意攻击进行有效的防范。

 

2.1.4 确保无线网络安全大部分企业的办公区域内都有无线网络覆盖，其在给企业和用户带来便利的同时，也给信息安全带来了一定的隐患。为确保无线网络安全，企业应当采用比较安全的协议，如WPA或WPA2等，也可借助EAP协议对无线网络进行访问控制。

 

2.2 加强访问控制

 

在信息环境下，企业可以通过加强访问控制，来确保网络信息安全，具体可采取如下技术措施。

 

2.2.1 密码策略相关研究结果表明，密码的强度等级越高，破解所需的时间越长，正因如此，使得提高企业用户的密码强度等级成为访问控制最为有效的手段之一，为此，企业应当制定合理可行的密码策略，并借助相关的技术措施确保策略的执行。

 

2.2.2 权限管理企业应当对身份管理平台进行完善，以此为依托对员工的权限进行管理，并实行企业内部网络应用单点登录的策略。

 

2.2.3 构建公匙系统该系统是访问控制的核心，通过它能够有效提高无线网络访问授权、VPN接入的安全水平。

 

2.3 加强信息安全监控与审计

 

企业在加强信息安全的监控与审计方面，可以采取如下技术措施。

 

2.3.1 扫描病毒这是一种较为有效的网络信息安全监控手段，通过防病毒软件系统，可以对病毒进行自动扫描，并针对操作系统存在的漏洞，自动进行相关“补丁”的更新，由此大幅度提升了桌面终端的安全性。这种技术措施需要将客户端安装在企业用户的终端设备上，当终端与企业内网进行连接时，病毒扫描软件便会启动，并对将要接入的终端设备进行评估，通过之后，才能与企业内网连接。

 

2.3.2 防控体系针对网络黑客的恶意攻击，企业应当构建相应的防控体系，该体系可由以下几个部分组成：能够实时更新的防病毒软件、可以过滤掉不安全信息、邮件及非法网页的网关、入侵检测系统等。

 

2.3.3 记录与审计企业应当配置日志审计系统，借助该系统对信息安全事件进行收集，进而生成审计记录，据此对安全事件进行分析，并采取有效的措施加以解决处理。

 

2.4 加强员工信息安全培训

 

在信息环境下，企业网络信息安全需要凭借全体员工来维护，为此，企业应当加强对员工信息安全方面的培训，借此来增强他们的信息安全意识。为使培训效果最大化，必须保证培训工作的实效性，首先，要做好网络管理人员的技术技能培训工作，可将培训的重点放在网络设备的安装与调试以及软件的配置上。其次，应加大对企业领导层的培训，通过培训使领导层认识到提高网络信息安全的重要性和安全管理体系建设的必要性，以便获得他们的支持，使信息安全管理工作的开展更加顺利。最后，应当加大对网络客户端上用户的培训，培训的重点为实际操作，并在培训完毕后，制定相关的管理制度，要求用户严格执行，从而确保网络信息的安全。

 

3 结 论

 

在信息环境下，企业要积极推动管理信息化建设，将其渗透到物流管理、人力资源管理、财务管理等多个管理领域，从而不断提高企业管理效率。与此同时，企业也要认清管理信息化建设带来的信息安全问题，针对信息安全管理的薄弱环节制定有效的管理措施，做好员工信息安全培训工作，保障企业管理信息系统建设的顺利实施，不断提高企业信息化管理水平。

篇14

1电子信息安全管理现状

随着经济建设与科学技术的不断进步，电子信息时代悄然来临，其不仅改变了传统的信息管理方式，同时也为人们的生活以及工作模式带来了很大程度的改变，而且也为我国的经济发提供了很大的商机。但是，电子信息是依靠网络平台储存、运输、转换以及使用的。因此，其在使用过程中，同样也面临着网络上巨大且复杂的安全风险。例如，黑客攻击攻击、网络病毒的蔓延等，这些问题的存在对电子信息管理的安全性产生了极大的威胁。除此之外，电子信息的安全管理工作还面临着管理人员安全管理意识不到位、管理理论与管理体系的不完善等，均使得电子信息管理工作存在着极大的安全风险。所以，为了进一步提高电子管理的安全性，必须采取有效措施，对管理理论与管理体系进行完善，同时不断增强管理工作人员的安全管理意识与专业水平，只有这样才能在根本上为电子信息管理的安全性提供保障。

2电子信息管理的安全风险因素

2.1缺乏完善的管理理论以及系统的管理体系。理论是一切行动的基础，对于电子信息管理这一新兴行业而言，成熟而又完善的指导理论以及系统性的管理体系是十分重要的。但是，由于电子信息在我国兴起的时间比较晚，导致我国目前的电子信息管理理论以及管理体系均不是十分完善，跟世界上的发达国家相比，存在比较大的差距。由于缺乏相应理论以及体系的指导，我国电子信息管理水平比较落后，无法取得明显成效。此外，我国现阶段对电子信息安全管理的标准以及规范比较低，电子信息安全问题层出不穷，极大的阻碍了我国电子信息安全管理工作的顺利开展。2.2管理人员安全意识不到位。从某种程度上来说，工作人员的安全意识水平对电子信息管理的安全性有着非常重要的影响。但是，受到种种客观因素的限制，我国从事电子信息安全管理工作的人员，对电子信息安全的重要性没有深刻的认知，对风险识别工作的理解也比较浅显，甚至依然沿用传统的档案信息管理对策，这种情况极大的限制了电子信息管理工作的有效开展。此外，电子信息管理是一项比较细致、繁琐的，其不仅要求管理人员具备高超的专业技术，同时也对其工作态度有着严谨的要求，管理人员必须保持高度负责的精神状态，不让电脑病毒以及不法分子有机可乘。但是，目前大部分管理人员并没有做到这一点，在工作电脑上随意安装游戏、娱乐等软件，导致电脑被病毒入侵，电子信息发生泄漏，为公民的个人财产造成无法挽回的损失。除此之外，大部分管理工作人员在移交信息资料时，经常使用U盘等不安全载体，这类移动储存设备，可被轻易的读写，而且极其容易传播病毒，为电子信息管理带来安全性威胁。2.3计算机技术方面的问题。计算机是电子信息的载体，其对电子信息管理的安全性以及风险识别有着重要影响。针对我国电子信息管理的现状来看，计算机技术问题主要体现在以下几个方面：2.3.1技术的先天风险。电子信息以计算机、存储设备、服务器以及管理系统作为主要的硬件支撑，而现阶段电子信息的存储介质均是计算机网络。因此，计算机的硬件一旦发生故障，便会导致网络中断或者信息存储设备的损坏，进而造成电子信息数据泄露、资料丢失等风险问题。2.3.2网络环境的安全性威胁。资源共享、信息无边界等，是现代化网络的主要特征，其在方便人们进行信息交流的同时，也为网络环境增添了许多不安全因素，盗窃、恶意篡改或者不正当访问的现象成为常态。因此，为了确保电子信息管理的安全性，必须设置相应的访问等级以及访问权限，并对电子信息实现加密控制。2.3.3计算机软件问题。再先进的软件都不是完美的，随着使用程度的不断深入，计算机软件的缺陷以及漏洞便会逐渐凸显出来。此时，必须要通过软件升级或者补丁安装来迅速修复软件的漏洞，以免系统被恶意攻击，发生死机瘫痪等现象。2.3.4网络黑客与病毒的威胁。网络黑客与网络病毒是无法避免的存在，其利用计算机软件漏洞或者管理工作人员的疏忽，而渗透或入侵到管理系统当中，对计算机进行攻击，导致网络不稳。系统停止工作等现象，进而造成数据资料的缺失、重要档案信息的泄漏等问题。网络黑客与网络病毒的存在，不仅极大的威胁着电子信息管理的安全性，同时也影响着每个个体的信息安全以及切身利益。2.4管理工作不到位。一方面，相关部门的管理工作人员没有正确认识到电子信息安全的重要性，自身的信息素养比较差，未具备信息安全意识。造成这一现状的主要原因是，电子信息技术在我国起步较晚，发展时期比较短暂，再加上我国建设电子政务的起点很低，种种客观因素导致相关管理工作人员在自身素质与意识上尚未形成系统化、高水平的基础环境，同时也未能深入理解电子信息安全管理。除此之外，其在电子信息安全管理的认识上，存在明显的误区，这也成为了限制电子信息安全管理工作进一步发展的主要因素之一。另一方面，针对电子信息安全管理的体制不够完善，管理制度比较落后，出现了许多安全漏洞。我国各个相关部门为了确保电子信息管理的安全性，一直致力于技术方面的研究，而严重忽视了软措施建设，即管理体制建设。由于电子信息安全管理的管理体制没有得到有效的细化、安全管理责任制度没有得到贯彻落实，电子信息管理与认证系统的不完善等，导致目前我国的电子信息管理体系存在着许多安全隐患，安全管理工作的协调性、统一性比较低。这种现状下，一旦管理发生安全事故，便会导致事故定位不准确，难以找出事故原因，责任承担不清楚等问题，进而造成无法弥补的后果。

3提高电子信息管理安全性与风险识别水平的方法对策

3.1建立健全管理理论以及管理体系。完善的理论以及管理体系，是电子信息管理工作得以顺利开展的重要保障。为了确保电子信息管理的安全，必须依靠科学的指导理论以及系统的管理体系。首先，相关工作人员必须仔细分析自身管理的实际情况以及实际市场情况，制定出符合自身特点，顺应自身发展趋势的电子信息管理制度。其中，最基本的也是最重要的一项便是，建立起身份认证系统，以免其他闲杂人员随意参与到电子信息管理工作当中，而验证身份的信息可以是管理人员的编号、身份证号等，保证每名工作人员均有专属的通行密码。而在进行管理工作时，工作人员只需要输入通行密码，计算机便会进行自主验证，若与原本的储存的信息相同，便可以通行。3.2增强管理工作人员的安全管理意识。管理工作人员是电子信息安全管理工作的主体，提高其对电子信息安全管理的认知，增强其安全管理意识，对电子信息管理的安全性来说，有着极其重要的意义。因此，作为管理工作人员，必须改变传统的管理理念，不断丰富自身管理知识构架，适应现代化的电子信息储存方式，提高自身操作的规范性，确保电子信息的完整性以及安全性。同时，工作人员还要不断的提高自身专业水平，在电子信息的存储、转换以及管理的过程中，侧重于信息内容完整性、正确性以及可读性的保证。具体来说，首先，相关部门要大力宣传电子信息安全的重要性，通过宣讲会、座谈会等，向社会大众普及电子信息管理风险的危害，全面提高社会对电子信息管理安全性的重视程度；其次，要对管理人员进行岗位培训。对从事不同管理岗位的工作人员开展针对性的培训，增强其专业理论知识以及技术水平，提高工作人员的管理效率，促使电子信息安全管理工作向着更加标准、规范、可靠的趋势发展。除此之外，还要培养并提高管理工作人员的风险识别能力，最大限度的消除电子信息的安全管理风险，提高电子信息管理的安全性，进而为广大公民的信息安全提供根本保障。3.3提高电子信息技术水平。提高电子信息技术水平，是确保电子信息安全的重要途径。为此，在计算机的基础性硬件配置、信息储存、信息运输、数据库操作系统、网站访问与软件运行等方面，必须要采取相应的防护措施。比如，强化计算机的防火墙设置，增强对网络访问权限的控制；借助防火墙等技术，防止电子数据被随意拷贝；借助计算机系统的入侵监测技术，对网络动态进行全面、系统的监控，防止非法入侵；大力推行电子信息签名技术，以免发生电子信息文件被随意、非法滥用现象的发生；实行身份证实名认证登录技术，阻止网络黑客入侵系统后，随意访问登录；增强关于防病毒软件以及排查病毒软件的研发；设置电子信息访问权限时，对核心信息进行隔离，对网络区域以及信息类型实行部署，而非核心信息则可以借助授权管理进行使用；对电子信息的资源管理，必须将责任制度落到实处，进行多人协调管理，并且定期额进行岗位转换，实现管理工作人员之间的互相监督、互相制约，以此来避免个人集中管理制度的风险。除此之外，还要定期对计算机系统、软件等进行维护、升级，将网络病毒阻拦在计算机系统之外。只有全面提高计算机的硬件与软件配置，增强防查病毒的技术水平，才能在根本上为电子信息管理提供一个安全、可靠的网络环境。3.4提高管理水平。为了提高电子信息安全管理水平以及风险识别能力，必须综合考虑电子信息管理的特点以及要求，制定出安全、科学的安全防范制度，找出最有效的安全防治措施。与此同时，还要构建起完善的信息安全管理制度，并对其可行性进行分析，力求将电子信息安全管理工作变得更加规范化、标准化。除此之外，还要建立起完善的电子信息安全保障系统。从某种角度上来说，工作人员的管理能力要比管理技术更重要，预防对策与补救对策更重要。因此，完善的电子信息保障系统，可以显著的增强电子信息管理的安全等级。一方面，必须建立起系统的、完整的技术保障体系，以此来确保计算机硬件以及部分应用软件的使用安全性；另一方面，必须制定出完善的电子信息管理制度，使电子信息的存储、运输、使用等程序更加规范化、标准化。除此之外，还有建立并健全电子信息管理的监督系统，对电子信息管理工作进行定期的有效监管，并且要将重要的核心信息资料进行备份，增强控制职能。此外，各个管理工作人员之间也要进行互相的监督，以期更好的保证电子信息管理的安全性。

4结论

从某个角度来看，电子信息的普及，为档案数据的管理赋予了新的内涵。但是，就现阶段我国电子信息安全管理的实际情况来看，仍然存在着很多很多问题亟待解决，极大的影响了电子信息的安全，同时也限制了电子信息的进一步发展。本文简单阐述了电子信息安全管理的现状，并重点介绍了电子信息管理的安全风险因素：缺乏完善的管理理论以及系统的管理体系、管理人员安全意识不到位、计算机技术方面的问题以及管理工作不到位。并且，针对这些问题提出了具体的解决对策：建立健全管理理论以及管理体系、增强管理工作人员的安全管理意识、提高电子信息技术水平以及提高管理水平。希望通过上述四方面的努力，能够全面改善我国电子信息安全管理以及风险识别的现状，提高电子信息管理的安全性，进而确保社会的稳定发展以及电子信息行业的进一步发展，使其更好的为我国经济建设提供服务。

作者:宁富强 单位:深圳钰湖电力有限公司

参考文献