对信息安全的认识精选(五篇)
发布时间:2023-10-09 17:41:30
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的5篇对信息安全的认识,期待它们能激发您的灵感。
篇1
关键词:信息安全、风险评估、重要问题
中图分类号:TP309 文献标识码:A 文章编号:1007-9599 (2012) 17-0000-02
在现阶段,由于快速发展的信息技术,致使那些极大影响着国计民生的关键信息资源,从其规模来看,具有越来越大的变化趋势,至于其信息系统的结构,具有越来越高的复杂程度;在当前要促使我国国民经济的持续发展以及能够顺利进行信息化建设,其中的一个关键因素就是要让这些信息资源以及信息系统的安全性得到有力保障。而有关可用性、机密性以及完整性等等内容正是信息安全目标的具体表现。在当前进行安全建设一个出发点就是要进行信息安全风险评估,进行风险评估具有很多重要意义,其中把传统的以技术驱动为导向的安全体系结构设计进行有力改变,这是它的一个重要意义;有关,信息安全风险评估,其对信息系统安全风险的识别,主要是结合资产的重要程度来进行,在遵循成本—效益这一原则的基础上,当信息系统面临着以下这两种情况时,对它进行全面评估:第一种情况,当信息系统面临着威胁;第二种情况,当信息系统因本身脆弱性而被威胁源所利用、导致本身可能出现安全问题、由此可见,所谓信息安全风险评估,就是基于安全管理这个角度考虑,采用合理的手段和分析方法,对有关信息系统以及信息化业务,当其面临来自自然或者人为威胁时所产生的脆弱性进行比较系统地分析,并对可能造成安全事件的危害程度进行相应的评估,在此基础上,并能够把那些具有防御效果的对策以及整改措施有针对性地提出来,以让网络和信息安全能够得到最大的保障。
1 有关信息安全风险评估中的几个重要问题的认识
1.1 对有关网络信息安全的主要内容以及主要因素这个重要问题的认识
(1)有关网络信息安全的主要内容。所谓网络信息安全,顾名思义就是指当前网络中各种各样网络信息的安全,这是从狭义这个层面来考虑的;如果从广义这个层面来看,除了前面所提到的各种信息安全外,还包括整个网络系统的安全,诸如各种软硬件、存储以及传输、数据以及数据处理等等使用过程。总的看来,网络信息安全具有以下五大方面上的典型特征,如下表所示:
五大典型特征 具体含义
①具有保密性特征 也就是不准把有关网络信息泄漏给非授权的实体或者个人
②具有完整性特征 也就是对于未经授权的信息,一律不准对其进行修改或者加以破坏
③具有可用性特征 对于那些合法的用户,能够正常访问相关的信息
④具有可控性特征 能够有效并且合法控制相关的信息内容及其传播过程
⑤具有可审查性特征 为使能事后查询核对,在信息使用过程中要而且必须有进行相关的记录
表一:网络信息安全的典型特征
(2)有关网络信息安全的风险因素。为了能够对这个网络信息安全问题所具有的复杂性进行有效解决并且能够顺利地找到一个解决或者考虑这类问题的出发点,就必须从研究有关网络信息安全的那些风险因素入手,为了更好地认识和研究有关这些网络信息安全风险因素,在现阶段,可以把它们分为几大类型,如下表所示:
主要类型 具体内容
①来自自然方面的因素 例如火灾、水灾、地震、雷电、台风、寒潮、海啸等等
②来自网络硬件方面的因素 例如机房的(路由器、交换机以及服务器)等,因受外界因素(温度、湿度、灰尘、电磁干扰)等所产生的影响
③来自软件方面的因素 主要包括①机房设备(机房服务器和管理软件等),②用户计算机操作系统,③各种服务器数据库配置的合理性与否,④杀毒软件、防火墙等等其他应用软件
④来自人为方面的因素 具体包括那些对网络信息进行使用和管理的种种行为所带来的种种影响,诸如恶意代码、木马攻击、操作失误、数据泄露、骗取口令、拒绝服务等等
表二:网络信息安全风险因素的主要类型
1.2 对有关安全风险评估方法这个重要问题的认识
(1)有关定制个性化这种评估方法。在当前有关比较标准的评估方法极其流程虽然已经有了很多种,但是在具体的实际应用当中,单纯的套用或者拷贝这些方法是不可取的,比较正确的做法应该是把它们作为一个参考,结合企业的具体情况以及企业相关安全风险评估方面的能力,对这些标准的评估方法进行重新组合,以产生出具有个性化特点的评估方法,从而促使相关进行的评估服务能够具有灵活性以及可裁剪性的特点。具体的评估种类比较多,诸如网络结构评估、IT安全评估、渗透测试以及整体评估等等。
(2)有关安全整体框架的设计。进行风险评估,其目的不仅仅要懂得风险,更为重要的是要进行风险管理并为之提供所需要的依据。管理风险,其安全整体框架在于评估的直接输出;但是对于具体的企业来说,由于它们所处的环境不一样,各自的需求也都不相同,此外,从他们工作层面这个角度考虑,其可供参考的模版都不是很多,这就到来了不是很多的整体框架应用。但是,把最近一、两年内的框架完成好,这是企业至少也要做到的,这样才有可能做到有据可依。
(3)有关多用户决策的评估。由于不同的问题可以被不同层面的用户所看到,因而要对风险进行全面了解,有关多用户沟通评估这项工作就要经常进行。把多用户的相关决策过程取自于其评估过程,将大大有利对风险进行全面的了解和深入的理解,并且能够把对风险的管理真正落实到行动上。很多实践表明,让多用户共同参与,具有非常显著的效果。因此,进行多用户相关的决策评估,具有一个具体的方法以及流程也显得极其重要。
1.3 对有关风险评估过程这个重要问题的认识
(1)准备阶段—前期。在这一阶段,主要的工作有,首先要明确所评估的目标;其次是对于所涉及的评估范围要进行确定,并且要把相关的协议以及合同签署好;最后要把已经存在的那些被评估对象的相关材料进行接收,并就此对评估对象展开其研究调查工作。
(2)现场阶段—中期。在这一阶段,相关测评方案要进行编写,并且要把相应的管理问卷以及现场测试表准备好,在这个基础上,再把调查研究阶段以及现场阶段的测试有条不紊地进行开展。
(3)评估阶段—后期。在最后这一阶段,要把测试报告进行系统编写,相关调查研究要进行相应的补充和完善,在把这两项重要工作完成后,评估者要据此得出最终的风险评估报告。
2 结束语
总而言之,建设信息系统管理体系和安全体系的基础就是信息安全风险评估;进行风险评估,不仅可以让信息系统的安全状况得到进一步的明确,也可以让信息系统的主要安全风险得到进一步的明确;因此,在当前进行信息安全风险评估,对于及早发现信息系统的安全隐患并且采取相应的防御方案以保证信息系统安全具有极其重要的意义。
参考文献:
[1]刚.信息安全风险评估的策划[J].信息技术与标准化,2008,9.
篇2
那么,什么是人事档案材料在内部网络中录入、整理、分类、保管运行的安全问题,在计算机科学中,网络安全问题,就是防止未授权的使用者访问带有保密的人事档案材料和未授权而试图破坏或更改人事档案材料的行为,网络安全就是一个系统保护人事档案材料和系统资源相应的机密性和完整性的能力,系统资源.即指CPU、硬盘、程序以及其他信息。具体讲包括敏感的人事档案材料的泄露、黑客侵扰、网络资源非法使用以及计算机病毒等。
内部网络安全与人事档案材料运行风险分析
内部网络(局域网)的开发应用,给内部人事部门在处理各类人事档案材料带来无尽的好处与便捷,随着内部网络应用的扩大,网络安全风险也变得更加严重和复杂,原来由单个计算机安全事故引起的损害可能传播到其他系统和主机引起大范围的瘫痪和损失,直接影响人事档案材料在内部网络运行中的安全。内部网络的安全问题主要有:
(一)内部网络物理安全问题。内部网络物理安全是整个网络系统安全的前提,物理安全存在风险主要有:火灾、水灾、地震等环境事故,造成整个系统毁灭;电源故障,造成设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁等,造成系统毁灭或人事档案材料泄漏;不正常的机房温湿度环境,造成服务器、路由器、交换机等局域网核心设备出现故障,甚至烧毁等。上述各种情况的发生,都将使人事档案材料在录入、整理、传递、存储等问题上存在安全问题。
(二)内部网络结构的安全问题。加强内部网络结构安全,防范黑客和病毒的攻击,是人事档案材料在内部网络运行中的安全保障,网络结构安全风险主要有:一是来自因特网的安全威胁,对于内部局域网络系统,就人事档案材料的录入、传递、整理、存档等,人事部门都制定相关规章,明确规定网内用户不得与互联网直接或间接相连,确保人事档案信材料在内部网络运行中的安全。尽管这样,但从技术角度看,用户计算机大多具备通过拨号方式连接因特网的能力;从管理角度看,也无法保证所有用户都能自觉严格执行有关管理规定。二是内部局域网络安全受到威胁,导致人事档案材料丢失和泄密,据有关数据统计表明,发生网络安全攻击事件中约70%是来自内部网络的病毒侵犯。三是内部网络设备的安全隐患,也影响人事档案材料在网络运行中的安全。网络设备包含路由器、交扳机、防火墙等。它们的设置比较复杂,可能由于疏忽或不正确理解而使这些设备使用的可靠性、安全性不佳;四是从系统的安全风险分析来看:内部局域网操作系统主要有Win98、Win2k、winXP、Win2KServer等,不管是什么操作系统,都有其BackDoor和Bug,这些“后门”和安全漏洞都存在着重大安全隐患,但是,系统的安全程度与计算机的安全配置以及与系统的应用面有很大关系,操作系统如果没有采用相应安全配置,则掌握一般攻击技术的人都可能入侵得手。因此.必须正确评估自己的网络安全,并根据网络风险大小作出相应的安全解决方案。
(三)内部网络系统应用安全问题。系统应用安全涉及很多方面,系统应用是动态的、不断变化的,应用的安全性也是动态的,这就需要我们对不同的系统应用检测安全漏洞必须采取相应的安全措施,降低系统应用的安全风险:一是资源共享。网络系统内部通常是共享网络资源,比如文件共享、打印机共享等,由此,可能存在少数同志有意无意把硬盘中重要的人事档案材料共享目录长期暴露在网络邻居上,而被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密;二是电子邮件系统。电子邮件系统为网内用户提供电子邮件应用,网内用户可以通过Outlook或lotus进行电子邮件收、发送,这就存在接收或传播一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件.没有警惕性,给侵入者提供机会,给系统带来不安全因素;三是病毒侵害。网络是病毒传播最快的途径之一,病毒程序可以通过网上下载,使用盗版光盘或软盘发送电子邮件,造成人为的病毒感染,病毒程序完全可能在极短的时间内迅速扩散,传播到网络上的其他主机,由于病毒入侵,机器死机等不安全因素,造成人事档案材料和人事机密文件泄漏和丢失;四是人事档案材料范围广、数量大、密级高,有些信息还必须在计算机上处理,因此,人事档案材料在网络上运行的安全问题对人事部门尤其重要。
加强内部网络安全性的对策
(一)树立良好的网络安全意识。增强计算机人员的安全防范意识,定期开展提高网络安全防范意识的培训,加强经常性的安全防范意识宣传教育,全面提高网络安全防范意识。目前不重视网络安全问题在个别单位和一定范围内还是存在,其原因也是多方面的,但主要还是思想认识问题。各单位主要责任人的安全意识对网络整体安全具有决定意义,领导干部应将网络安全意识、责任意识和保密意识联系起来,要把网络安全纳入到谁主管,谁负责;谁使用,谁负责的安全管理体制之中,同时要普及网络安全技术知识,用实际案例不断进行网络安全教育,不断强化重视网络安全的氛围。
(二)打牢过硬的网络技术防范能力。网络安全实质上也是一个综合性问题,技术手段同时也要与有效的管理相配合,充分发挥最大功效:一是做好物理安全防范。保证机房安全和各种设备的物理安全,是保障整个网络系统安全的前提。按照《电子计算机机房设计规范要求》,做好机房的各项防护工作,配备高性能、可靠性强的不间断电源,配置好空调设备保障机房的温湿度环境设备性能,可靠的消防器材,以预防各种火灾隐患,按照“三铁”要求和一定的报警设备,保障机房设备免受被盗被毁,实施机房专人值班和管理,落实各项规定和相关责任等等。二是做好网络结构安全防范。实行网络分段管理,网络分段是控制网络病毒传播的一种基本手段,也是保证网络安全的一项重要措施。网络结构安全主要指网络拓补结构是否合理,防止单独操作影响整个系统,在内部进行网络分段管理的基础上,采取逻辑分段的方式,投入具有三层交换功能的交换机,对局内用户较多的网段,以业务处室为单位再细分同段名,非法用户与敏感的网络资源相互隔离,从而防止可能的非法网络操作,以加强对网络用户的安全管理和网络安全责任的划分。三是做好系统安全防范。强化操作系统的安全防范措施,采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些不常用却存在安全隐患的应用、对一些保存有用户信息及口令的关键文件使用权限进行严格限制,并加强口令的使用管理(增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令)并及时给系统打补丁,系统内部相互调用人事档案材料不对外公开。四是做好应用安全防范。由于在网络环境下计算机病毒有不可估量的威胁性和破坏力,因此,计算机病毒的防范也是网络安全建设中应该考虑的重要环节之一、做好病毒的技术预防和检测工作,网内所有计算机安装实时更新病毒特征码软件,对网络服务器和工作站中的文件及电子邮件等进行频繁地扫描和监测,一旦发现与病毒代码库中相匹配的病毒代码,及时采取相应处理措施进行清除或删除,防止病毒进入网络进行传播扩散。
篇3
关键词 市民;食品安全;认知;支付意愿;特征分析;河南新乡
中图分类号 TS201.6 文献标识码 A 文章编号 1007-5739(2017)03-0241-02
当前,我国农产品生产仍然以一家一户为主要单位,在低成本、高产量观念的驱使下,违规使用农药及违禁药物现象较为常见。食品加工企业虽然数量多,但规模偏小,70%是10人以下的家庭作坊式企业,从农田到餐桌的食品产业链依然危机四伏,给食品安全监管带来很大困难。
随着市场机制建设的不断完善及信息交流体制建设的不断加快,食品安全信息在生产者和消费者之间趋于透明,消费者对食品安全的认识程度和为食品安全的支付意愿将直接决定消费者在市场的购买行为,这也是生产厂家调整和优化产业结构的重要依据。因此,笔者以新乡市市民作为调查研究对象,试图了解消费者对食品安全的支付意愿,并为解决上述问题提供建议。
1 研究方法
以新乡市民为调查对象,采用简单随机抽样的方法,发放书面调查问卷并辅以口头询问、查询相关资料等方法收集相关数据,本次调查共发放200份问卷,回收196份,其中有效问卷为187份。
2 结果与分析
2.1 农产品购买渠道
农产品销售渠道包括农贸市场、超市、专卖店、小摊贩、网络或者其他途径,通过调查研究分析消费者一般购买农产品渠道方面的信息,可以反映出消费者主要通过什么方式获得农产品,对农产品生产厂家利用什么样的渠道使自己的商品进入市场并能及时被消费者接触和购买,以及政府制定相关政策有重要的意义[1]。
调查结果显示,新乡市有34.62%的市民通过农贸市场购买农产品,有53.08%通过超市购买农产品,有11.64%的市民通过小摊贩购买农产品,通过专卖店、网络或其他途径购买的市民只占到0.66%。这说明新乡市民主要通过传统渠道购买农产品,对于网络、专卖店等较新兴的农产品销售渠道接受程度比较低。
2.2 对食品安全问题的认识
当前食品安全问题十分严峻,通过调查研究分析消费者在购买和食用粮食、蔬菜、瓜果等农产品的过程中对食品安全问题的关注程度,可以反映出消费者对食品安全的认识程度,对普及食品安全教育和生产安全农产品有重要的意义。
调查结果显示,新乡市市民在购买和食用农产品的过程中对食品安全问题的认识有比较大的差异。认为该问题比较严重的占37.93%,认为一般的占34.48%,这两者共占了70%以上。这说明消费者在购买和食用农产品的过程中对食品安全问题很关注并且有一定的认识。
2.3 对农产品安全与自身健康关系的认识
农产品安全与否关系到人们自身的身体健康,通过调查研究分析消费者对农产品安全与自身健康之间关系重要性的认知方面的信息,可以反映出消费者对食品安全与自身健康关系的认知程度,对安全食品的支付情况有重要的意义。
调查结果显示,新乡市市民对农产品安全与自身健康之间关系重要性的认知存在着比较大的差异。总体来看,所有被调查者都认为农产品安全与自身健康有关系,而认为农产品的安全性决定了身体的健康程度的占37%,认为对身体健康有重要影响的占45%。由此可见,83%左右的消费者认为食品安全问题与身体健康有密切关系。对于农产品安全与自身健康之间关系重要性的原因,有高认知水平的占64%,中认知水平的占34%,低认知水平的占2%。这说明消费者不仅关心农产品安全对身体健康的影响,而且对于农产品安全影响身体健康的机制也比较了解。
2.4 对食品安全的支付意愿
消费者对食品安全的支付意愿不仅可反映消费者对食品安全的有效需求,也可反映消费者对食品安全改善的价值评价,其是决定食品安全市场能否长期存在并不断发展壮大的关键因素[2]。
在对影响支付意愿的因素经过相关分析后发现,性别、年龄和职业对消费者的食品安全支付意愿产生的影响不显著,受教育程度和家庭平均月收入对消费者的食品安全支付意愿产生的影响是显著的。受教育程度越高以及家庭月均收入越高的消费者由于较为关注食品安全以及具备较高的经济支付能力,对于食品安全有着较高的支付意愿。
3 结论与建议
3.1 结论
(1)消费者在购买和食用农产品过程中对食品安全问题有较深的认识,并认为当前食品安全问题比较严重。60%以上的消费者对农产品安全程度决定自身身体健康状况有较高的认识水平。
(2)70%以上的消费者对食品安全有较高的支付意愿,但他们对各类更安全的农产品的支付价格仅比一般的农产品高30%左右,并认为农产品越安全、价格越低是最能为人们所接受的。也就是说,与当前食品安全的供给水平相比,消费者对食品安全的支付意愿仍处于较低水平[3]。
(3)影响消费者对食品安全问题认识的显著性因素有年龄、职业和家庭平均月收入,影响消费者对农产品安全与自身健康关系认识的显著性因素有年龄、受教育程度和家庭平均月收入,影响消费者对食品安全支付意愿的显著性因素有受教育程度和家庭平均月收入。
3.2 建议
若消费者对食品安全有较高的支付意愿,则可在一定程度上弥补生产厂商的相应生产成本,可以促使其生产出更多安全的食品,形成良性的市场循环。笔者认为可从以下几个方面提高消费者对安全食品的支付意愿。
(1)将家庭平均月收入3 000元以上,年龄20~50岁,受教育程度较高的消费者作为安全食品的目标消费人群,努力进行营销推广。发挥各类媒体的宣传作用,提高消费者对安全食品利益的认知,逐步形成消费者对安全食品的积极态度[4]。
(2)生产者要不断扩展和延伸安全食品的销售网络,构成城乡立体销售网络,提高消费者购买安全食品的便利性,满足消费者的购买需求。
(3)增强政府机构在食品安全监管方面的权威性,进一步规范和完善食品质量安全标准体系,重点对食品生产、加工、流通过程中的化学、生物污染和造假制劣、非法经营进行治理[5]。
4 参考文献
[1] 尹世久,徐迎军,徐玲玲,等.食品安全认证如何影响消费者偏好?:基于山东省821个样本的选择实验[J].中国农村经济,2015(11):40-53.
[2] 王怀明,尼楚君,徐锐钊.消费者对食品质量安全标识支付意愿实证研究:以南京市猪肉消费为例[J].南京农业大学学报(社会科学版),2011(1):21-29.
[3] 金成哲,金龙勋.消费者食品安全性意识与认证食品的支付意愿[J].延大学农学学报,2011(4):294-299.
篇4
【关键词】 传统行业 信息安全建设 问题 策略
【作者简介】 胡鹏,中石化湖北石油分公司工程师,研究方向:网络安全。
【中图分类号】 X913.2 【文献标识码】 A 【文章编号】 2095-5103(2015)04-0051-02
信息安全建设包括三大部分,即人员、管理和技术,尤其是信息安全管理,已经越发受到各界的广泛关注,并以此为核心来打造信息安全保障体系。信息安全对于各行各业来说,均具有极其重要的地位,其不仅关乎企业自身信息安全,也关乎普通消费者信息安全。因此构建信息安全体系,是企业未来发展的重点工作。
一、传统行业信息安全建设现状分析
(一)对信息安全建设缺乏足够认识。就目前国内实际情况来说,传统行业对于信息安全建设尚没有足够的认识,导致信息安全建设难以切实施行。具体来说,这主要表现在三个方面。一是传统行业的领导者对信息安全建设缺少必要的认识,在面对信息化浪潮的冲击时,其最先想到的是提升行业品质来面对新挑战,却忽视了通过信息安全建设保护行业核心信息资源,导致行业信息被逐渐泄露,无法与新行业相抗衡,以致逐渐失去竞争力。最典型的就是传统出版行业,在数字化刊物逐渐普及的情况下,传统出版行业已经显得捉襟见肘,出版物印刷量与销售量逐年下降。二是行业内部员工缺少对信息安全的认识,在日常工作中,会在不经意间泄露行业信息。更有甚者为了一己私利出卖行业信息。这些举动都对传统行业造成了极其恶劣的影响。三是普通消费者缺少对信息安全的认识,在某些需要消费者个人信息资料的行业中,消费者往往没有考虑个人信息资料是否安全,是否存在泄露的风险以及相应的后果。忽视这些的结果就是消费者缺少对相关企业信息安全的要求,在发生意外情况后无法挽回。
(二)信息安全建设技术水平较低。传统行业虽然缺乏对信息安全建设的认识,但也并非没有进行信息安全建设,只是其信息安全建设技术水平较低,无法切实满足对企业信息安全的保护。信息安全建设技术水平低主要表现在两个方面。一是信息安全管理体系架构技术层次低,一个体系架构的技术高低,决定了该体系所能发挥的功能高低。越先进越高端的技术,其对信息安全的保护也就越安全,反之亦然。传统行业信息安全管理体系的基础架构以及权限设置等信息保障措施,其技术相对一些新行业而言较为落后,无法符合不断更新的计算机技术,更无法有效弥补信息安全漏洞,只能说是徒有其表。二是人员管理技术水平较低,人员管理也是信息安全建设的重要环节。每一个员工都携带着一定程度的行业信息,只有加强对员工的管理,建立科学人性的管理体系,才能确保企业人员不会因为失误或利益泄露行业信息。
(三)信息安全建设覆盖范围较窄。信息安全建设覆盖范围较窄主要可以分为两个方面,一是进行信息安全建设的传统行业范围较窄;二是行业内部信息安全建设的范围较窄。对于所有传统行业而言,已经完成信息安全建设或正在建设的行业并不多。根据相关统计资料,传统行业中完成或进行中的信息安全建设的企业,尚不到20%。这一数据说明信息安全建设率在传统行业中来讲还很低,还需要加强相关理念的宣传,引导更多的传统企业进行信息安全建设。在行业内部,信息安全建设集中在企业核心机密,即企业相关财务数据、产品数据和市场数据等,忽视了员工信息安全及一些外在信息安全的构建。虽然此举能够保障企业核心利益,却无法保证企业正常良性的运转。
二、传统行业信息安全建设中的问题及原因
(一)缺少完善的法律法规。在信息安全方面,我国尚缺少有效完善的法律法规来加强信息安全建设,这主要表现在两个方面。一方面是缺少对传统行业信息安全建设的强制性法律法规。传统行业本身对信息安全缺少足够的认识,再加之缺少必须的法律法规,就致使传统行业基本忽视了信息安全建设。另一方面是缺少对信息安全犯罪的法律法规,近年来随着信息技术发展迅猛,各种信息安全犯罪层出不穷,犯罪性质也从经济犯罪上升到了更加恶劣的性质。各种由于个人信息泄露而出现的绑架、抢劫等案件,急需出台相应的信息安全法律法规来加以制约。
(二)传统行业内部信息安全管理不力。信息安全管理主要包括体系建设、制度建设和人员管理。这三个方面的工作在传统行业中来说都并不到位。体系建设主要是指信息安全管理体系,一套完整的管理体系,应当从上至下,由内而外,将方方面面的信息安全包罗其中,以形成一个上下一体的信息安全管理系统。制度建设主要针对信息安全制定相应的信息安全管理制度,通过确实的规章制度,对企业员工形成约束,避免其出现一些不利企业信息安全的行为。人员管理主要是加强对企业员工的信息安全意识教育,让其树立起保护信息安全的基本意识。
(三)基础信息安全建设设施缺乏。基础信息安全建设设施缺乏,是摆在传统行业面前的关键问题,这主要包括两个方面的问题。一是技术基础缺乏,目前我国信息安全建设的技术基础基本源自国外,这从信息安全的角度来说本身就是一种不安全的行为。只有创建完全自主的信息安全技术,才能杜绝国外技术可能存在的技术后门。二是硬件基础缺乏,这与技术基础缺乏对信息安全的不利影响是一致的。总的来说,硬软件的缺乏,是传统行业信息安全建设的最大问题。
三、传统行业信息安全建设策略分析
(一)完善信息安全法律法规。要做好传统行业信息安全建设,最首要的就是完善相应的信息安全法律法规,从法律层面对信息安全建设进行定性。首先是明确传统行业信息安全建设的义务,通过法律规定强制传统行业进行信息安全建设,迫使其领导层重视信息安全建设,进而在行业全局决策中增加对信息安全建设的思考与倾斜。其次是对信息安全犯罪作出全面的定性与量刑,加强对信息安全犯罪的打击力度,通过法律手段减少信息安全威胁。
(二)加强行业内部信息安全管理。加强行业内部信息安全管理,是信息安全建设的重要环节,其可以从三个方面来进行。第一是构建企业员工信息梯度,针对企业不同部门以及不同职位,制定不同的信息等级制度,以此改善员工功能与信息的不对等关系。第二是构建信息管理制度,针对企业类型、企业所包含信息的类型以及其机密程度,制定合理的信息管理制度,加强对内部员工的约束。第三是加强对企业员工的信息安全建设培训,使企业员工具有一定的信息安全建设意识,能够从一些小事上进行信息安全建设。
(三)自主化信息安全建设基础设施。自主化信息安全建设基础设施应当从基础技术与基础硬件两个方面进行。就基础技术而言,传统行业应该大量参考国外相关技术,博采众长,创建不依赖于国外技术的信息安全建设技术,真正实现信息安全建设技术国产化,从根源上排除国外技术对传统行业信息安全可能存在的技术风险。在基础硬件方面,传统行业可以加强与国内硬件厂商的合作,共同研发具有行业特点的信息安全建设硬件,减少国外硬件的引入与应用。总的来说,信息安全建设应该在国外硬软件的基础上,开发自主的硬软件设备,使信息安全建设完全实现国产化。
(四)综合采取多种有效措施构建信息安全大环境。信息安全建设并非企业一己之力就能够做好,还需要多方协作,构建信息安全大环境,如此才能在整个行业中进行信息安全建设。第一,加强企业之间的信息交流与合作管理。对于同一行业而言,企业的核心信息在一定程度上来说相似甚至相同,即企业的信息安全建设在一定程度上形成了交集。同类型企业可以加强信息交流,合作构建信息安全管理体系,加强信息安全管理。第二,构建企业信息安全评级制度,由国家相关部门牵头,联合行业内的优秀企业,组建企业信息安全评级机构,对行业内企业进行信息安全评级,并将评级结果公布于众,让消费者能够清楚认识到企业的信息安全等级以选择能够保障自身信息安全的企业。此举还可以加强企业对信息安全建设的重视程度,促使企业进行信息安全建设。第三,构建信息安全犯罪打击网络,由公安部牵头,联合国内优秀的信息安全商构建信息安全犯罪打击平台,加强对信息安全的监管及信息安全犯罪的打击。
参考文献:
篇5
关键词:信息安全 教育 企业 培训
中图分类号:G658.3 文献标识码:A 文章编号:1672-3791(2013)07(b)-0017-02
信息安全问题或许能够得到企业的认识,但更多的企业内部员工并没有认识到信息安全的重要性。甚至一些企业都没有预见到信息安全可能是阻碍企业长期发展的关键性问题。对此,企业普及信息安全的教育,确保企业信息的机密性、完整性和可用性变的越来越重要。
1 信息安全教育的必要性
信息安全对于企业来说是十分重要的。现在因为信息安全问题而造成经济损失的企业很多,其原因基本都是对信息安全的不够重视,而对于制造业来说信息安全则尤为重要。制造业面临着很多的问题,譬如说生产的产品都大同小异,没有技术方面的优势,产品属于劳动密集型的产品,在强手如林的市场经济中可以获得经济利益,却不能够实现企业的长足发展。对于此问题,各制造业都会将眼光放在产品的创新上,通过产品的研发设计优势、技术优势来冲破密集型产品给企业发展带来的阻碍。但是,如果企业保证产品优势的信息被别人窃取或是模仿,最终就可能导致产品的大众化,使企业产品的优势不复存在。即便企业知道信息安全的重要性,但企业内部员工如果没认识到信息安全的重要性和严重性,也可能导致信息的流失,从而损害企业的利益。对此,制造业更应该对信息安全问题加以重视。
2 信息安全的内容
信息安全大致可以分为两个方面一个是管理层方面;另一个是网络方面。本段将会对这两个方面所包含的内容作一下概述,以方便企业在进行信息安全管理制度的建立上可以进行全方位的掌控。
2.1 管理层方面
管理层方面的信息安全大致也包括物理层方面和管理层方面。
(1)物理层方面的信息安全主要是指物理环境建设安全尤其是信息中心物理环境安全。
环境安全包括防火防水防自然灾害和物理灾害等。在环境安全中,企业必须要有足够的认识,机房建设要严格按国家机房建设标准进行,做好防雷、防水、防静电等安全措施,从而杜绝各类安全隐患的发生。对企业内部员工要加强计算机安全使用规程的教育,确保计算机在安全的环境中使用,保证人长时间离开计算机时断开电源以确保安全。
(2)管理层方面的信息安全主要是指企业内部的管理制度建立是否完善,执行效果如何,企业内部员工对于信息安全的认识程度,企业内部员工职业道德的培养,企业内部员工信息安全的教育培训,网络技术人员技术能力的审核与培训以及企业内部部门的分工等。
企业必须要建立完善的信息安全管理制度,这个制度是由一个总的管理制度和各部门的管理制度和监督制度共同构成的。每一个部门根据信息资产内容的不同应该有自己相应的信息安全管理制度以确保制度的行之有效。其次要设有完善的监督机制来配合管理制度的实施,一个制度的建立,必须要能够执行下去,且执行过程是有效的才能够发挥管理制度的功效。而监督机制就是对制度执行情况的进行监测,对执行的效果进行审核作用的机制。
其次是对于企业员工的职业素养和信息安全的教育培训,这方面将在下一部分进行具体论述。
最后就是对于企业内部各部门之间的分工。在一个企业内部是有一套自己的工作流程的,但是这个工作流程是伴随着信息的流动产生的。所以在信息流动的过程中需要将信息转变的过程进行分工,以此来保障信息在局部过程中的完整性,以防止一个环节出现问题导致全局崩溃的情况发生。对此,企业内部不但要细化工作流程,对于信息转化过程也要进行分工,以防止问题的发生。
2.2 网络层方面
网络层方面的信息安全主要是指网络,系统和应用三个方面。在网络层方面的信息安全不只存在于IT部门,它应该在整个企业内部的员工中都得到重视。
(1)网络。
主要是包括网络上的信息以及设备的安全性能。其中可细化为网络层身份的认证,系统的安全,信息数据传输过程中的保密性,真实性和完整性以及网络资源的访问控制等。而这些网络层的信息安全出现问题,可能导致有网络黑客的侵入,计算机犯罪,信息丢失,信息窃取等威胁的存在。
(2)系统。
造成系统层信息安全威胁的原因,可能出在两个方面:操作系统本身就存在安全隐患,在配置操作系统的过程中存在安全配置的问题。
(3)应用。
在应用层影响信息安全的问题上,是指应用软件以及一些业务往来数据的安全,例如即时通讯系统和电子邮件等。当然,也包括一些病毒的入侵,对于系统所造成的威胁。
3 信息安全教育
3.1 保密协议
在信息安全教育培训的第一步需要对保密协议进行细致设计。有的企业认为,保密协议应该只针对于不同部门间需要保密的内容进行设计,使不同部门的员工签署不同的保密协议。这是不妥的想法,而且也比较繁杂。虽然不同部门间员工经常涉及到的信息保密不同,但有可能员工会有不同部门间的调配或者是不同部门间信息的相互获取。所以在保密协议上要让员工签署的是整个企业内所有需要保密的内容都要进行保密协议的确认。
有些企业认为保密协议的签署应该是在员工熟悉信息安全制度和进行安全教育培训之后再进行。这也是不妥的想法,因为在员工进入公司的那一刻开始,他就开始接触企业内的信息,所以需要员工在签署劳动合同的同时就要进行保密协议的签署。
在新员工签署保密协议的时候,企业的人力资源部门如果没有对新员工讲解企业保密协议,新员工对保密协议的内容都不了解而盲目签署,这使保密协议形同虚设,并不能发挥真正的作用,新员工对于信息安全的重要性也就得不到足够的重视,所以必须认真讲解保密协议内容后,使员工理解保密协议的重要性再进行签署。
3.2 信息安全管理制度
信息安全管理制度确立以后,需要对员工进行信息安全制度的培训。在培训过程中,企业不光要对于员工本岗位信息安全内容作介绍,对于其他部门信息安全内容也要做介绍,以确保员工形成信息安全的意识。在企业内部,很多员工对于信息安全的意识不够,甚至认为企业的信息根本就没有什么重要性,在工作外的时间里随意的就将企业的一些重要信息透露出去从而可能导致企业受到损失。对此,加强企业内部员工的信息安全教育培训是十分重要的。其中培训可以分为两个部分。
(1)对于企业内部所有员工进行信息安全意识的教育培训。
(2)对于企业内部的信息技术人员进行相关技术知识的教育培训。
3.3 员工职业素养的教育
在企业内部对员工的职业素养也需要进行培训。譬如对于一些业务员来说,职业素养的培训是非常重要的,业务员手中掌握的业务信息对于企业来说是至关重要的信息,如果这方面的信息出现问题就可能导致企业业务的流失,以及业务的持续性中断。所以企业要对内部员工的职业素养进行培训,从而促使员工清楚保证企业的信息安全也是对一个员工职业素养的基本要求。
3.4 普及计算机及网络知识的教育
企业内部员工根据职能的不同对于计算机熟悉程度的要求也是不同的。对于普通的办公室职员来说,会简单的基本操作就可以了。但是,如果从信息安全的角度来讲的话,员工只会基本的操作是远远不够的,必须要普及网络安全等方面的知识。譬如在计算机旁尽量不要有水或饮料的出现,因为有可能因为员工的不小心而将水洒在计算机上,从而导致计算机的短路等情况的发生。还有,员工在使用U盘的时候,有可能将家里或是其他计算机上的病毒带到企业内部,导致企业的计算机被病毒入侵,促使信息的安全受到威胁。所以说,对于企业内部的员工,应该普及计算机及网络知识的教育和培训,以确保信息的安全,从而促使员工有更高的信息安全意识。
4 结语
在企业当中,对于企业内部员工普及信息安全的教育是十分重要的。一个企业仅有对信息安全的意识是不足够的,它需要建立完善的信息安全管理制度,通过完善的信息安全管理制度去强制员工履行其信息安全的义务。其次,企业应该对员工进行信息安全教育培训,从信息安全知识、员工职业素养以及计算机及网络知识的培训来对员工进行深层次信息安全的教育。只有员工有了信息安全意识,才能够使整个企业具备防范信息安全威胁的能力。
参考文献
[1] 陈华.美国高校信息安全管理体系及其启示[J].科教导刊,2013(1).
[2] 范映红.关于大学生信息安全教育问题的思考[J].学理论,2012(29).
[3] 刘飞.对高校信息安全教育之思考[J].群文天地,2012(2).
