时间:2023-07-18 16:41:33
导语:在安全保障管理策略的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
随着云计算、大数据等新兴技术的不断发展,企业信息化、智能化程度、网络化、数字化程度越来越高,人类社会进入到以大数据为主要特征的知识文明时代。大数据是企业的重要财富,正在成为企业一种重要的生产资料,成为企业创新、竞争、业务提升的前沿。大数据正在成为企业未来业务发展的重要战略方向,大数据将引领企业实现业务跨越式发展;同时,由此带来的信息安全风险挑战前所未有,远远超出了传统意义上信息安全保障的内涵,对于众多大数据背景下涉及的信息安全问题,很难通过一套完整的安全产品和服务从根本上解决安全隐患。
自2008年国际综合性期刊《Nature》发表有关大数据(Big Data)的专刊以来,面向各应用领域的大数据分析更成为各行业及信息技术方向关注的焦点。大数据的固有特征使得传统安全机制和方法显示出不足。本文系统分析了大数据时代背景下的企业信息系统存在的主要信息安全脆弱性、信息安全威胁以及信息安全风险问题,并有针对性地提出相应的信息安全保障策略,为大数据背景下的企业信息安全保障提供一定指导的作用。
1 大数据基本内涵
大数据(Big Data),什么是大数据,目前还没有形成统一的共识。网络企业普遍将大数据定义为数据量与数据类型复杂到在合理时间内无法通过当前的主流数据库管理软件生成、获取、传输、存储、处理,管理、分析挖掘、应用决策以及销毁等的大型数据集。大数据具有4V特征(Volume,Varity,Value,Velocity),即数据量大、数据类型多、数据价值密度低、数据处理速度快。
2011年麦肯锡咨询公司了《大数据:下一个创新、竞争和生产力的变革领域》[1]的研究报告,引起了信息产业界的广泛关注。美国谷歌公司(Google)、国际商业机器公司(IBM)、美国易安信公司(EMC)、脸书(Facebook)等公司相继开始了大数据应用、分析、存储、管理等相关技术的研究,并推出各自的大数据解决框架、方案以及产品。
例如,阿帕奇软件基金会(Apache)组织推出的Hadoop大数据分析框架,谷歌公司推出的BigTable、GFS(Google File System)、MapReduce等技术框架等,这些研究成果为随后的大数据应用迅猛发展提供了便利的条件。2012年3月,美国奥巴马总统了2亿美元的“Big Data Initiative”(大数据研究和发展计划),该计划涉及能源、国防、医疗、基础科学等领域的155个项目种类,该计划极大地推动了大数据技术的创新与应用,标志着奥巴马政府将大数据战略从起初的政策层提升到国家战略层。
同时,我国对大数据的认识、应用及相关技术服务等也在不断提高,企业界一致认同大数据在降低企业经营运营成本、提升管理层决策效率、提高企业经济效益等方面具有广阔的应用前景,相继大数据相关战略文件,同时国家组织在民生、国防等重要领域投入大量的人力物力进行相关技术研究与创新实践。中国移动通信公司在已有的云计算平台基础上,开展了大量大数据应用研究,力图将数据信息转化为商业价值,促进业务创新。
例如,通过挖掘用户的移动互联网行为特征,助力市场决策;利用信令数据支撑终端、网络、业务平台关联分析,优化网络质量。商业银行也相继开展了经融大数据研究,提升银行的竞争力。例如,通过对用户数据分析开展信用评估,降低企业风险;从细粒度的级别进行客户数据分析,为不同客户提供个性化的产品与服务,提升银行的服务效率。总而言之,大数据正在带来一场颠覆性的革命,将会推动整个社会取得全面进步。
2 大数据安全研究现状
在大数据计算和分析过程中,安全是不容忽视的。大数据的固有特征对现有的安全标准、安全体系架构、安全机制等都提出了新的挑战。目前对大数据完整性的研究主要包括两方面,一是对数据完整性的检测;二是对完整性被破坏的数据的恢复。在完整性检测方面,数据量的增大使传统的MD5、SHA1等效率较低的散列校验方法不再适用,验证者也无法将全部数据下载到本地主机后再进行验证。
面向大数据的高效隐私保护方法方面,高效、轻量级的数据加密已有多年研究,虽然可用于大数据加密,但加密后数据不具可用性。保留数据可用性的非密码学的隐私保护方法因而得到了广泛的研究和应用。这些方法包括数据随机化、k-匿名化、差分隐私等。这些方法在探究隐私泄漏的风险、提高隐私保护的可信度方面还有待深入,也不能适应大数据的海量性、异构性和时效性。
在隐私保护下大数据的安全计算方面,很多应用领域中的安全多方计算问题都在半诚实模型中得到了充分的研究,采用的方法包括电路赋值(Circuit Evaluation)、遗忘传输(Oblivious Transfer)、同态加密等。通过构造零知识证明,可以将半诚实模型中的解决方法转换到恶意模型中。而在多方参与、涉及大量数据处理的计算问题,目前研究的主要缺陷是恶意模型中方法的复杂度过高,不适应多方参与、多协议执行的复杂网络环境。
企业大数据技术是指大数据相关技术在企业的充分应用,即对企业业务、生产、监控、监测等信息系统在运行过程中涉及的海量数据进行抽取、传输、存储、处理,管理、分析挖掘、应用决策以及销毁等,实现大数据对企业效率的提升、效益的增值以及风险的预测等。
企业的大数据类型通常主要包括业务经营数据即客户信息数据、企业的生产运营与管理数据以及企业的设备运行数据等,即客户信息数据、员工信息数据、财务数据、物资数据、系统日志、设备监测数据、调度数据、检修数据、状态数据等。企业大数据具有3V、3E特征[2],3V即数据体量大(Volume)、数据类型多(Varity)与数据速度快(Velocity),3E即数据即能量(Energy)、数据即交互(Exchange)与数据即共情(Empathy)。3 大数据时代企业信息安全漏洞与风险并存
大数据时代,大数据在推动企业向着更为高效、优质、精准的服务前行的同时,其重要性与特殊性也给企业带来新的信息安全风险与挑战。如何针对大数据的重要性与特殊性构建全方位多层次的信息安全保障体系,是企业发展中面临的重要课题。大数据背景下,结合大数据时代的企业工作模式,企业可能存在的信息安全风险主要表现在以下三个方面:
(1)企业业务大数据信息安全风险:由于缺乏针对大数据相关的政策法规、标准与管理规章制度,导致企业对客户信息大数据的“开放度”难以掌握,大数据开放和隐私之间难以平衡;企业缺乏清晰的数据需求导致数据资产流失的风险;企业数据孤岛,数据质量差可用性低,导致数据无法充分利用以及数据价值不能充分挖掘的风险;大数据安全能力和防范意识差,大数据人才缺乏导致大数据分析、处理等工作难以开展的风险;管理技术和架构相对滞后,导致数据泄露的风险。
(2)企业基础设施信息安全风险:2010年,震网病毒[3]通过网络与预制的系统漏洞对伊朗核电站发起攻击,导致伊朗浓缩铀工程的部分离心机出现故障,极大的延缓了伊朗核进程。从此开启了世界各国对工业控制系统安全的重视与管控。对于生产企业,工业生产设备是企业的命脉,其控制系统的安全性必须得到企业的高度重视。随着物理设备管理控制系统与大数据采集系统在企业的不断应用,监控与数据采集系统必将成为是物理攻击的重点方向,越来越多的安全问题随之出现。
设备“接入点”范围的不断扩大,传统的边界防护概念被改变; 2013年初,美国工业控制系统网络紧急响应小组(ICS-CERT)预警,发现美国两家电厂的发电控制设备在2012年10月至12月期间感染了USB设备中的恶意软件。该软件能够远程控制开关闸门、旋转仪表表盘、大坝控制等重要操作,对电力设备及企业安全造成了极大的威胁。
(3)企业平台信息安全风险: 应用层安全风险主要是指网络给用户提供服务所采用的应用软件存在的漏洞所带来的安全风险,包括: Web服务、邮件系统、数据库软件、域名系统、路由与交换系统、防火墙及网管系统、业务应用软件以及其他网络服务系统等;操作系统层的安全风险主要是指网络运行的操作系统存在的漏洞带来的安全风险,例如Windows NT、UNIX、Linux系列以及专用操作系统本身安全漏洞,主要包括访问控制、身份认证、系统漏洞以及操作系统的安全配置等;网络层安全风险主要指网络层身份认证,网络资源的访问控制,数据传输的保密性与完整性、路由系统的安全、远程接入、域名系统、入侵检测的手段等网络信息漏洞带来的安全性。
4 企业大数据信息安全保障策略
针对大数据时代下企业可能存在的信息安全漏洞与风险,本文从企业的网络边界信息安全保障、应用终端信息安全保障、应用平台信息安全保障、网络安全信息安全保障、数据安全信息安全保障等多方面提出如下信息安全保障策略,形成具有层次特性的企业信息安全保障体系,提升大数据时代下的企业信息安全保障能力。
4.1企业系统终端——信息安全保障策略
对企业计算机终端进行分类,依照国家信息安全等级保护的要求实行分级管理,根据确定的等级要求采取相应的安全保障策略。企业拥有多种类型终端设备,对于不同终端,根据具体终端的类型、通信方式以及应用环境等选择适宜的保障策略。确保移动终端的接入安全,移动作业类终端严格执行企业制定的办公终端严禁“内外网机混用”原则,移动终端接入内网需采用软硬件相结合的加密方式接入。配子站终端需配置安全模块,对主站系统的参数设置指令和控制命令采取数据完整性验证和安全鉴别措施,以防范恶意操作电气设备,冒充主站对子站终端进行攻击。
4.2企业网络边界——信息安全保障策略
企业网络具有分区分层的特点,使边界不受外部的攻击,防止恶意的内部人员跨越边界对外实施攻击,在不同区的网络边界加强安全防护策略,或外部人员通过开放接口、隐蔽通道进入内部网络。在管理信息内部,审核不同业务安全等级与网络密级,在网络边界进行相应的隔离保护。按照业务网络的安全等级、实时性需求以及用途等评价指标,采用防火墙隔离技术、协议隔离技术、物理隔离技术等[4]对关键核心业务网络进行安全隔离,实现内部网与外部网访问资源限制。
4.3企业网络安全——信息安全保障策略
网络是企业正常运转的重要保障,是连接物理设备、应用平台与数据的基础环境。生产企业主要采用公共网络和专用网络相结合的网络结构,专用网络支撑企业的生产管理、设备管理、调度管理、资源管理等核心业务,不同业务使用的专用网络享有不同安全等级与密级,需要采取不同的保障策略。网络弹性是指基础网络在遇到突发事件时继续运行与快速恢复的能力。
采用先进的网络防护技术,建立基础网一体化感知、响应、检测、恢复与溯源机制,采取网络虚拟化、硬件冗余、叠加等方法提高企业网络弹性与安全性;对网络基础服务、网络业务、信息流、网络设备等基础网络环境采用监控审计、安全加固、访问控制、身份鉴别、备份恢复、入侵检测、资源控制等措施增强网络环境安全防护;在企业网络中,重要信息数据需要安全通信。针对信息数字资源的安全交换需求,构建企业的业务虚拟专用网。在已有基础网络中采用访问控制、用户认证、信息加密等相关技术,防止企业敏感数据被窃取,采取建立数据加密虚拟网络隧道进行信息传输安全通信机制。
4.4企业应用系统平台——信息安全保障策略
应用系统平台安全直接关系到企业各业务应用的稳定运行,对应用平台进行信息安全保障,可以有效避免企业业务被阻断、扰乱、欺骗等破坏行为,本文建议给每个应用平台建立相应的日志系统,可以对用户的操作记录、访问记录等信息进行归档存储,为安全事件分析提供取证与溯源数据,防范内部人员进行异常操作。
企业应用平台的用户类型多样,不同的应用主体享有不同的功能与应用权限,考虑到系统的灵活性与安全性,采用基于属性权限访问控制[5]、基于动态和控制中心访问权限控制[6]、基于域访问权限控制[7]、基于角色访问控制等访问控制技术;确保企业应用平台系统安全可靠,在应用平台上线前,应邀请第三方权威机构对其进行信息安全测评,即对应用平台系统进行全面、系统的安全漏洞分析与风险评估[8],并制定相应的信息安全保障策略。4.5企业大数据安全——信息保障策略
大数据时代下,大数据是企业的核心资源。企业客户数据可能不仅包含个人的隐私信息,而且还包括个人、家庭的消费行为信息,如果针对客户大数据不妥善处理,会对用户造成极大的危害,进而失信于客户。目前感知大数据(数据追踪溯源)、应用大数据(大数据的隐私保护[9]与开放)、管控大数据(数据访问安全、数据存储安全)等问题,仍然制约与困扰着大数据的发展。大数据主要采用分布式文件系统技术在云端存储,在对云存储环境进行安全防护的前提下,对关键核心数据进行冗余备份,强化数据存储安全,提高企业大数据安全存储能力。
为了保护企业数据的隐私安全、提高企业大数据的安全性的同时提升企业的可信度,可采用数据分享、分析、时进行匿名保护已经隐私数据存储加密保护措施来加强企业数据的隐私安全,对大数据用户进行分类与角色划分,严格控制、明确各角色数据访问权限,规范各级用户的访问行为,确保不同等级密级数据的读、写操作,有效抵制外部恶意行为,有效管理云存储环境下的企业大数据安全。
5 结束语
随着信息技术的快速革新,数据正以惊人的速度积累,大数据时代已经来临了;智能终端和数据传感器成为大数据时代的数据主要来源。大数据在推动企业不断向前发展给企业提供了更多机遇的同时,也给企业的应用创新与转型发展带来了新的信息安全威胁、信息安全漏洞以及信息安全风险。传统的信息安全保障策略已经无法满足大数据时代的信息安全保障需求。怎样做好企业大数据信息安全保障、加强信息安全防护、建设相关法律法规将是大数据时代长期研究的问题。
【关键词】军队档案;安全保障体系建设;思考
档案安全保障体系建设是推动档案管理机制创新,提升档案管理水平的重要途径之一。档案安全保障体系建设必须以档案安全保障理论为指导,综合技术、管理、人员、活动,建立动态调整的、独立的、开放的安全保障体系,保证档案终身安全。特别是在当前,我国自然灾害和频发、公共服务体系建设和政府信息公开提速、信息技术应用导致数字档案信息大量产生的新形势下,进一步加强军队档案安全保障体系建设,全面提升军队档案部门的安全保障能力,显得尤为重要。加强军队档案安全保障体系建设,是应对敌对势力窃取我军核心档案信息资源的客观需要;是应对近年我国自然灾害多发频发、对档案安全构成严重威胁的客观需要;是应对社会转型期出现,威胁档案安全的重要举措;是应对新技术广泛应用,对数字档案信息资源安全带来的新隐患新挑战的必然选择。从军队档案管理工作实践的角度来看,档案安全保障体系建设的任务非常繁重,涉及档案收集、保管、利用等各个环节,贯穿于档案管理的整个过程。从军队档案安全保障体系的基础设施以及制度、技术、人员等诸多支撑要素来看,必须将其作为一个有机整体的系统工程,统筹考虑和谋划,全方位地整体推进。
一、加强档案安全保障体系建设的物质保障
军队档案馆(室)是保障档案安全的重要屏障。加强档案安全相关基础设施建设,首先要坚持不懈地抓好档案馆(室)建设,改善档案馆(室)设施和档案保管条件。在档案馆(室)建设过程中,应当高度重视抗震烈度、防火等级等方面的刚性要求,充分考虑坚固、安全、环保、实用等因素,严格遵循国家和军队有关档案馆(室)建设的标准和规范,把档案馆(室)建设好,筑起保障档案安全的坚固防线。在设施设备方面,要严格遵循视频监控、门禁、火灾报警、消防、温湿度监控、恒温恒湿、周界防护、电子巡查、通讯、计算机安全等系统建设的新要求。全面构建和实施档案安全保障体系,可以从根本上提高军队对档案文献遗产长期保存、有效利用的控制力,从根本上提高档案安全保障技术整体水平。
二、加强档案安全保障体系建设的制度保障
建立健全军队档案管理规章制度,加强对规章制度执行情况的监督检查,建立起长效机制,确保规章制度落到实处。一手抓建章立制,一手抓贯彻落实,同时在制度的制定和执行两个方面下工夫,不能有“椰子效应”,即在政策的“硬包装”之下存在一个执行的“软内核”,从确保军队核心信息资源安全的高度,充分认识档案安全保障能力建设的重要性和紧迫性,不断完善各项涉及档案安全工作的规章制度,并认真付诸实施,把安全至上的理念物化到档案管理各个环节中去。完善突发事件应对制度,建立危机预防与危机管理机制,加强突发事件应急管理,提高应对自然灾害损毁和影响的能力。按照《档案工作突发事件应急处置管理办法》的要求,根据单位实际制定相应的应急预案,对所能设想到的各种突发灾害、突发社会事件到来时怎样抢救、保护档案制定出方案,以便紧急情况发生时按预案办事。每年不定期按预案进行演练,以提高应急处置的执行力。加强《档案馆灾害防治工作指南》的宣传贯彻,用以指导各级档案部门的防灾备灾、应急处置和恢复重建工作。
实施重要档案备份制度,是提高抵御各种突发事件影响能力的一项重要举措。俗话说,鸡蛋不能只放在一个篮子里。我国自古以来就有对重要档案实行多套异地备份的制度,在危害档案安全的突发社会事件和自然灾害频发的今天,我们必须进一步强化风险防范意识,更加重视实施重要档案异地备份制度,提高灾害应对能力。完善档案利用安全保密制度,处理好档案开放和公开与信息安全的关系,提高档案利用过程中本体安全和信息安全保障能力。在更多关注信息公开、改善公共信息服务的同时,要加强对利用档案的审查监管工作,不该提供利用的档案坚决不提供,能利用副本的尽量利用副本,保障档案本体的安全和档案信息的安全。完善受损档案抢救制度,对突发灾害、事件以及自然老化等因素造成档案损毁的,一定要尽快对破损档案采取抢救和保护措施,避免造成更大损失,加强对各项抢救保护工作的监督和指导,是落实档案抢救制度的关键所在。
完善数字档案信息安全制度,认真做好档案信息化建设过程中的信息安全保障工作。数字档案信息的安全保障工作,应当从设备、网络、系统、数据等各个方面、各个环节加强安全管理,以完备的防范体系来保证数字档案信息万无一失。电子文件是一种易被改动、易被窃取、易于传播、易于消失的信息,特别是它还是一种不能直接识读而必须依赖于特定的设备和软件才能被读取的信息,必须在不断攻克相关关键技术的同时,建立完善的管理制度和规程,解决好电子文件的保密、保存、读取等巨大难题。
三、加强档案安全保障体系建设的理论支撑和技术保障
构建档案安全保障体系的前提是分析档案安全保障体系的理论定位与实际应用的关系,争取实现基于高起点、实现高目标、开拓新局面。
目前,国内外关于档案安全保障体系的理解大致有三层含义:其一,控制环境,降低风险。这里的“环境”是指档案保管环境、物理环境、社会环境、信息存储环境等,降低环境因素对档案安全的影响,最大可能降低风险。其二,建立安全保障平台,采取安全防护措施,使档案尽可能保持稳定状态。其三,对已经处于不安全环境中的档案,采取各种措施使其达到新的稳定状态,保存其信息的可读、可用和可藏。这三层含义包括档案安全保障体系中的社会因素、管理体制、组织体系、策略、政策法规、安全保障技术或安全保护效果的评价等等较为宏观的要素。
档案安全保障属于档案管理和档案维护中非常重要的一部分工作,需要渗透到档案形成阶段、保管阶段和维护阶段,也就是整个生命周期。充分结合档案工作实际,加强档案防灾减灾策略、数字档案信息安全保障策略、受损档案抢救修复技术方法、电子文件真实性保证和长久保存方法、突发事件应对措施等关键理论和技术方法的研究攻关,不断提高档案安全的理论支撑和技术保障能力。如对于档案保管单位来讲需要进行系统的档案安全现状的普查工作,了解档案的种类、损坏程度、档案保管安全现状和存在的安全隐患,建立档案安全数据库平台。摸清家底会对档案安全总体状况有个全面和系统的了解,可以从整个军队的层面制订相应的档案安全保障长期策略。这就使得档案的安全保障工作更加具有整体性的把握及其长期的计划性,以至实施保障技术措施时更加具有针对性。采取有效措施推进档案安全保障相关新技术、新设备、新方法的推广应用,促进档案安全保障能力快速提升。
四、加强档案安全保障体系建设的人才保障
正如国家档案局杨冬权局长所说:在影响档案安全的各种因素中,人是决定性的因素档案安全的最大保障是人的认真,档案安全的最大危险是人的疏忽。许多档案安全事故的发生,就源自于人的认识不到位、思想不重视,疏于防范;许多自然灾害中档案损失的大小,完全取决于人们是否重视档案安全并采取了有效防范与抢救措施。因此,确保档案安全,对档案部门和档案工作者来说,是本职、是天职、是称职;相反,则是失职、渎职、不称职。若是由此给军队造成重大损失的,还要免职、撤职,直至追究刑事责任。
由此可见,提高军队档案干部整体素质、增强安全保障能力,是档案部门的一项重要而紧迫的任务。通过对档案工作人员开展经常性的安全教育和学习培训,强化他们的安全防范意识和责任意识,普及档案安全保障基本知识与技能,培养造就一支责任意识强、掌握现代科技知识和专业技能、胜任本职工作的档案干部队伍,为档案安全提供可靠的人才保障。
现代条件下的档案安全保障体系的构建是决定档案事业发展的关键之一,它围绕档案主体工作而形成的,包括档案创新能力、关键技术研发与应用能力、安全保护活动组织能力、业务拓展能力、事业发展支持能力、档案技术力量培训能力等,是一项长期而艰巨的任务,需要档案机构上上下下、方方面面的通力合作,积极配合。档案安全保障体系对于档案工作及档案工作者都是一个全新的概念,它的构建、研究和推广应用为档案事业的长期发展提供了巨大的空间。
参考文献:
[1]周朱华.电子政务网络与信息安全保障体系设计[J].信息安全,2009(3).
[2]王爱红.一种安全电子政务系统的开发[J].计算机信息,2007(1)-(3).
[3]王谦,陈放.我国电子政务信息安全及保障体系[J].网络安全技术与应用,2006(04).
[4]杨冬权.在电子文件管理国家战略国际学术研讨会上的讲话[N].中国档案报,2009-6-26(1).
[5]杨安莲.电子文件信息安全管理研究[J].档案学通讯,2009(4).
[6]马芳.国外信息安全保障技术的回顾与前瞻[J].信息安全与通信保密,2008(6).
【关键词】电子文件信息;安全保障体系;构建
在时代的变革下,电子文件已然成为各个机构开展业务中的主要凭证,是信息资源中最为可靠、权威的信息,该种信息资源是保障机构运行的重要支撑,也属于国家信息资源的有机组成部分。构建出科学的电子文件信息安全保障体系不仅是信息安全的必然需求,也是促进组织发展的客观需求。
1电子文件信息安全保障体系构建目标分析
构建电子文件信息安全保障体系的前提是制定出相关的安全保障体系,对电子文件管理中的各类风险进行准确的预估,制定出系统、科学的安全保障体系,最大限度的保障文件的可用性、安全性与完整性,避免私密信息、重要信息与敏感信息泄密。各个机构在建设电子政府信息系统的过程中,必须要充分的意识到这一问题,将其放置在一定的高度进行考虑。这需要遵循如下的几个原则:第一,科学性原则:在构建电子文件信息安全保障体系时,必须要进行科学的调查和研究,找出其中的风险,制定出科学的防范措施,将相关的理论应用在具体的实践过程中,提升安全保障体系的可操作性。第二,标准规范性原则:电子文件信息安全保障体系的构建必须要符合我国相关法律的要求,要遵循国际与国家的标准,严格按照规章制度来办事。第三,适度经济性原则:在工作中,需要根据上网信息的等级来制定安全防范体系,根据各单位的人力、物力和财力以及风险评估等级来确定资金的分配方式,不仅要考虑到系统的操作性,也要分析安全保密性能。第四,长久安全性原则:在构建电子文件信息安全保障体系,需要进行总体的设计与规划,考虑到信息发展情况与条件变化因素,尤其是分析系统安全功能设计时需要考虑到技术因素的潜在功能。
2电子文件信息安全保障体系构建措施
在构建电子文件信息安全保障体系时,其首要的支撑就是信息安全理论,以这一理论作为指导,采用多样化的手段,将管理制度、法律规范与技术措施有机融合起来,构建出科学的安全保障体系:
2.1建设思路
在建设安全保障体系时,需要先梳理现有的法律制度,解决现有问题,为电子文件信息安全保障体系的建设提供科学的依据,尽快的完善现有的法律法规,并结合管理内容的特点突出重点,完善流程,充实、细化安全法规。此外,还要结合机构的情况来制定文件安全管理制度,建立起科学的监督机制,对电子文件信息的人员管理、风险评估以及操作流程进行系统、全面的控制。
2.2管理策略
虽然技术方式可以保障电子文件信息的安全,但是依然需要制定出合理的管理制度,仅仅依靠传统的技术防火墙是无法起到良好的效果的,一般情况下,管理策略需要涵盖到几个内容:树立起风险意识:管理人员风险意识的淡薄是影响电子文件信息安全的主要诱因,实施风险管理模式可以提升电子文件应用的安全性,提升其管理水平,为此,相关部门需要加强对工作人员的培训与教育,提升他们的风险意识,建立防护体系,明确管理重点,为电子文件提供科学的保障;将安全管理原则落实到实处,要保障电子文件信息的安全性,必须要制定出专门的安全管理守则,安全守则的制定需要遵循职责分离原则、专人负责原则以及制度保障原则几个方面。在具体的应用过程中,每个单位都需要考虑到自身的实际情况,及时调整管理策略,一旦发现有人违反规定,必须要严厉处罚。此外,电子文件信息安全保障体系涉及的内容是非常多样的,在研制软件时,就需要考虑到这些问题,一些单位为了省事,往往聘请软件公司来负责这一事宜,但是,市面上的软件公司水平往往参差不齐,研制的软件也难以取得理想的效果。为了解决这一问题,单位必须要加强与软件公司的沟通和交流,分析其中存在的安全风险,充分的考虑到每一个细节问题,最大限度的保障内部电子文件信息的安全性。建立起科学的电子文件备份机制。合理的备份机制是应对安全事件的有效保障,电子文件备份机制能够避免文件的丢失,这包括三个类型:第一就是硬件级别的备份,采用各类闲置硬件来保障系统运行的稳定性,但是,该种方式是无法避免病毒、人为操作等引起的错误的;第二,进行软件备份,保存好系统数据,如果系统发生错误,可以及时的恢复,避免数据出现逻辑性损坏;第三,进行人工备份,利用硬件备份避免物理故障问题的发生,同时,联合使用软件备份与人工备份,进行多重保护。对于备份机制,需要制定好完善的计划表,建立好备份副本,制定出合理的应急机制,对于网络环境,不仅要做好文件备份,还要对整个网络体系进行备份;第四,利用多重技术保证文件的传输安全。对于加密文件信息,可以将传统加密技术与防消息泄密技术、信息隐藏技术与防拷贝技术结合起来,其中,信息加密技术就是采用密码的形式储存相关的文件信息,让窃取者无法在短时间内破译内容。而信息隐藏技术主要针对的文件,将消息的发送者与接收者隐藏。防消息泄密技术能够避免电子文件信息出现电磁辐射泄漏。防拷贝技术主要针对贮存的电子文件,对其载体进行技术处理,即便被不法分子获取,也无法识别出来。
3结语
总而言之,为了保障电子文件信息的安全性,必须要建立起与之相关的安全保障体系,纵观我国的实际情况来看,关于这一内容尚未制定出系统的规章制度,要提升电子文件信息的安全性,需要综合考虑到各个方面的内容,这一道路还任重道远。
参考文献:
[1]陈清明,张俊彦.信息安全风险评估工具及其应用分析[J].信息安全与通信保密,2010(01).
[2]张江珊.档案信息公开的程序化思考——基于16宗案例及《信息公开司法解释》的分析[J].档案学通讯,2011(04).
我国信息化发展空前迅速,信息安全保障需求已成为信息化发展的重要部分。如何以信息化提升综合国力,并在信息化快速发展的同时确保国家的信息安全,已成为各国政府关心的热点问题。
中国信息化建设在突飞猛进的同时,也面临着一系列的信息安全隐患。关键信息的安全管理漏洞,将会给政府、电信、金融、民航等重点行业带来不可估量的严重后果。病毒的大肆传播与黑客的不断攻击等事件的发生,也将造成巨大的经济损失,甚至威胁到国家的安全。
建立国家信息安全保障体系
信息安全保障体系的建设策略是要建立信息安全防护能力,要具有隐患发现能力、网络反应能力、信息对抗能力。
信息安全技术保障体系的建立要强调自主研发与创新,要组建研发国家队与普遍推动相结合,推动自主知识产权与专利,建设技术工程中心与加速产品孵化,加大技术研发专项基金,全面推动与突出重点的技术研发相结合。要建立纵深的防御体系,采用网络信息安全域的划分与隔离控制、内部网安全服务与控制策略、外部网安全服务与控制策略、互联网安全服务与控制策略、公共干线的安全服务与控制策略、计算环境的安全服务机制、多级设防与科学部署策略、全局安全检测、集成管理、联动控制与恢复等手段来保障信息安全。此外,要采用信息系统安全工程的控制方法和安全技术产品与系统互操作性策略。
建立资质认证机制和监理机制,形成社会化服务和行政监管体系。要建立基于数字证书的信任体系、信息安全测评与评估体系、应急响应与支援体系、计算机病毒防治与服务体系,建立灾难恢复基础设施和密钥管理基础设施。
在搭建国家信息安全保障体系框架时,要建立信息安全标准与法规环境,这就需要强力推动信息安全标准化工作、加强信息安全标准的研发、评审、审批,加快信息安全法规的制订以及相关法规的制订。此外,还需要培养大量高级信息安全人才。
信息安全需要技术保障
信息安全保障,从保密性、完整性、可用性、可控性、不可否认性等安全属性的需要,以及在预警、保护、检测、响应、恢复及反击等环节提出了诸多的技术需求。
目前,国际上出现了一个叫"MALWERE(坏件)"的新概念,它把计算机病毒、蠕虫、逻辑炸弹、特洛伊木马、愚弄和下流玩笑程序以及恶意代码都包括在内。在这个概念的推动下,计算机病毒检测功能必将逐步有所扩充。
现在的防火墙在功能上有了许多扩展和延伸,许多产品把VPN的功能加入到防火墙中,也有把入侵检测(IDS)、病毒检测等功能模块加入防火墙之中。
为了实现对各种安全模块的集中管理,共享安全事件审计分析信息,统一制订和实施安全策略,还出现了集中安全管理平台的研制开发。
政府信息化采购应兼顾信息安全
政务信息化政府采购不仅应满足经济指标,也应兼顾信息安全。现在我国《政府采购法》已经出台,这将有利于政务信息化的信息安全,也有利于本国IT企业的发展。
在政府采购中,电子政务占有重要的地位。据预测,2002年中国电子政务市场总投资将达到350亿元,比2001年增长23.4%;2002年~2004年中国电子政务总体市场年复合增长率为25.7%。按照这一速度计算,5年后电子政务市场的投资额将突破1000亿元,因此它将成为国内外企业关注的一个焦点。
《政府采购法》支持本国产业
采购法中明确规定,除一些特殊情况外,政府采购应当采购本国货物、工程和服务(包括本国软件和服务),这个规定既有利于本国企业,也有利于保障信息安全。
加入WTO并不等于立刻开放政府采购市场,因为加入WTO并不等于加入《政府采购协议》(GPA)。GPA是所谓"复边贸易协议",仅对签字成员方有效,我国在两年后才会谈判是否加入GPA。而在我国加入WTO的GPA之前,根据国际惯例,可以通过政府采购扶持本国产业。
政府采购支持NC推广
目前,具有我国自主知识产权、非Wintel架构(采用方舟CPU和LinuxOS)的NC已经开始在学校、银行等单位应用。它具有信息安全性好、容易管理和维护、成本低等优点,非常适合在电子政务中推广应用。现在国家有关部门要求在电子政务中采用NC,因此可以在政务信息化项目的招标中,将上述这些指标列入招标条件,那么NC将明显胜过PC。只要依法采购,NC就可以首先在政务信息化中得到推广,然后在政府的带动下,逐步推广到其他领域,逐步改变我国计算机产业的"无芯"状态。
关键词:金融信息,网络安全,保障体系,服务
1金融信息系统安全保障体系的总体构架
金融信息系统安全保障体系的总体构架有系统安全、物理安全、应用安全、网络安全、和管理安全。毕业论文,网络安全。
1.1金融信息系统的安全
系统安全指的就是网络结构的安全和操作系统的安全,应用系统安全等等。毕业论文,网络安全。网络结构的安全就是指网络拓扑没有冗余的环路产生,线路比较畅通,结构合理。操作系统的安全就是指要采用较高的网络操作系统,删除一些不常用却存在安全隐患的应用,对一些用户的信息和口令要进行严格的把关和限制。应用系统的安全就是指只保留一些常用的端口号和协议,要严格的控制使用者的操作权限。在系统中要对系统有一些必要的备份和恢复,它是为了保护金融系统出现问题时,能够快速的恢复,在金融系统在运行的过程中要对其内容进行备份。
1.2金融信息系统的物理安全
物理安全就是要保证整个网络体系与信息结构都是安全的。物理安全主要涉及的就是环境的安全和设备的安全,环境安全主要就是防雷、防火、防水、等等,而设备的安全指的就是防盗、放干扰等等。
1.3金融信息系统的应用安全
金融信息系统的应用安全主要就是指金融信息系统访问控制的需要,对访问的控制采用不同的级别,对用户级别的访问授权也是不同。收集验证数据和安全传输的数据都是对目前使用者的身份识别和验证的重要步骤。而对于金融系统中数据资源的备份和恢复的机制也要采取相应的保护措施,在故障发生后第一时间恢复系统。
1.4金融信息系统的网络安全
金融信息都是通过才能向外界的,而通过采取数据链路层和网络层的加密来实现通信的保护,对网络中重要信息进行保护。而对网络进行入侵检测也是必要的,通过信息代码对进出的网段进行监控,来确保信息的安全性。毕业论文,网络安全。对系统也要进行不定期的部件检测,所是发现有漏洞要及时的进行补救。
1.5金融信息系统的安全管理
金融系统是一个涵盖多方面的网络,也运行着很多的网络,对金融系统进行信息管理,就应该设置安全的管理中心,要集中的管理,严格的规定和确定明确的责任和控制,确保金融系统可靠的运行。
2金融信息系统安全保障的措施
2.1设置安全保障的措施
对于任何未经允许的策略都严格的禁止,系统允许访问的都要经过眼的认证才能进入下一步,重要的金融信息要经加密的措施进行传输。要通过网络安全策略对金融信息系统的网络设置防火墙,用来保护各个金融节点的信息安全,允许授权用户访问局域网,允许授权用户访问该局域网内的特定资源;按业务和行政归属,在横向和纵向网络上通过采用MPLSVPN技术进行VPN划分。
2.2使用安全技术和安全产品的措施
为了金融系统有个安全可靠运行环境,遵循金融系统的安全保障体系策略,要在金融信息系统中安装一些安全技术和安全的产品。将金融信息系统划分为不同的安全区域,每个区域都不同的责任和任务,对不同的区域要有不同的保护措施,即方便又增强了安全性。在金融想呕吐中安装一道防火墙,用来防止不可预见的事故,若是有潜在的破坏性的攻击者,防火墙会起到一定的作用,对外部屏蔽内部的消息,以实现网络的安全防护。应该在金融信息系统中设置入侵检测系统,要对网络的安全状态进行定期的检测,对入侵的事件进行检测,对网络进行全方位的保护。在金融信息系统中安装防病毒的系统,对有可能产生的病源或是路径进行相对应的配置防病毒的软件,对金融信息系统提供一个集中式的管理,对反病毒的程序进行安装、扫描、更新和共享等,将日常的金融信息系统的维护工作简单化,对有可能侵入金融信息系统的病毒进行24小时监控,使得网络免遭病毒的危害。定期的对金融信息系统进行安全评估,对系统中的工作站、服务器、交换机、数据库一一的进行检测评估,根据评估的结果,向系统提供报告。安全的评估与防火墙的入侵检测是相互配合的,够使网络提供更高性能的服务。毕业论文,网络安全。
2.3金融信息管理的安全措施
在管理的技术手段上,也要提高安全管理的水平。金融信息系统是相对比较封闭的,金融信息系统的安全是最重要的,业务逻辑与操作规范的严密是重中之重。因此对于金融信息系统的内部管理,加强领导班子对安全管理的体系,强化日常的管理制度吗、,提升根本的管理层次。
2.3.1建立完善的组织机构
如今我国更加重视信息安全的发展,它可以促进经济发展和维护社会的稳定。在金融信息系统的内部要建立安全管理小组,安全管理小组的任务就是要制定出符合金融发展的安全策略。管理小组由责任和义务维护好系统的安全和稳定。
2.3.2制定一系列的安全管理办法和法规,主要就是抓住内网的管理,行为、应用等管理,进行内容控制和存储管理。对每个设施都要有一套预案,并定期进行测试。毕业论文,网络安全。
2.3.3 加强严格管理,加强登陆身份的认证,严格控制用户的使用权限,对每个用户都要进行信息跟踪,为系统的审核提供保障。毕业论文,网络安全。
2.3.4加强重视信息保护的等级,对金融信息系统中信息重点保护,对重要信息实施强制保护和强制性认证,以确保金融业务信息的安全。也要不断的加强信息管理人才与安全队伍的建设,加大对复合型人才的培养力度,通过各种会议、网站、广播、电视、报纸等媒体加大信息安全普法和守法宣传力度,提高全民信息安全意识,尤其是加强企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。
3结语
随着金融信息化的快速发展,金融信息系统的规模逐步扩大,金融信息资产的数量急剧增加,对网络与信息系统实施安全保护已势在必行。目前互联网的应用还缺乏一定的安全措施,这样就严重的影响和限制了金融系统通过网络向外界提供服务的质量和种类。因此,各个金融信息系统都必须要采取一定的安全防护措施,构建一个安全的合理的金融信息系统。
参考文献:
[1]卢新德.构建信息安全保障新体系:全球信息战的新形势与我国的信息安全战略[M].北京:中国经济出版社,2007.
[2]李改成.金融信息安全工程[M].北京:机械工业出版社,2010.
[3]方德英,黄飞鸣.金融业信息化战略——理论与实践[M].北京:电子工业出版社,2009.4.
关键词:电力系统;信息安全;安全策略
中图分类号:TM39 文献标识码:A
随着飞速发展的电力信息化,电力系统越来越依赖于计算机网络与电子信息系统,电力信息安全系统一旦产生差错,将直接危害电网以及其衍射破坏国民经济,其杀伤力势必无法估量。电力系统信息安全是一项技术复杂度高、管理程度较深综合型系统工程,波及到电力生产、传输、分配与使用等各个环节的同时,需最大限度地确保电力信息的密保性、整体性、可用性、可控性。此外,电力系统信息安全的深入研究,构建电力系统信息安全保障体系显得尤为重要。
一、电力系统现存的信息安全隐患
近几年,快速发展的国内电力信息化,电力通信逐步转变为以光纤和数字微波为主导的的传输方式,并存着卫星、电力线载波、电缆、无线等多种通信方式的全国电力系统通信,为进一步发展国内电气信息化夯实了基础。综合来讲,相对较高的国内电力系统信息安全程度,保障着电力系统信息运行的安全性、稳定性。
虽然我国电力系统信息安全已取得了可喜的成效,但仍有进一步完善之处:
1.未统一规范管理的电力系统信息安全。确保正常运作电力系统,信息安全极为重要,但就目前来说,统一化、权威性的电力系统信息安全管理规范仍未真正落实到位。
2.符合电力行业指标的信息安全保障体系未合理构建。如在电力行业内部缺失计算机信息网络安全意识、未实施完善的数据备份措施、脆弱的身份认证、计算机网络化以及局域网广域化,加大了外在危险的攻击力等问题,屡见不鲜。随着逐步推进的电气信息化进程,计算机网络越来越多的应用于电力系统的生产管理领域,但具有一定运行特点的电力系统,构建与电力工业特点相一致的计算机信息安全保障体系极为关键。
3.涌现出软件内部的安全漏洞。软件的独特定已决定了自身一定不是健全的产品,不同影响的安全漏洞会不断涌现。加之应用广泛的软件,增加了软件接触的条件复杂性,从而一定程度上隐藏了自身潜在的缺陷。
4.假借网页进行恶意攻击。一般情况下,每个电力企业均有自己电力系统网站,在互联网连入后,各种网页均在每位电脑用户搜寻所需的有用信息不断点击下打开。这也是不可回避的情况,然而,并不是打开的所有网页是安全的。部分网站的开发者或拥有者,为获取某种利益,就会巧妙地修改自己的网页,以便其具有一定的特殊功能。如:点击打开某网站链接时,不经意间会发觉自己的浏览器已被自动更换,名称已换成恶意网站的标题。此情况下,运用正常手段根本无法修正。更有甚者,部分网页自身具有携带木马的功能,只要不小心打开或浏览后,就有可能将木马种在你的机器内,之后就会无意间破坏或泄露你个人的信息等。
5.针对当前服务虚拟化快速发展变革期的来临,给电力企业信息系统带来了一定的安全问题。比如攻击内部虚拟机、争夺有限的资源以及增加管理难度等方面。对此,基于信息安全保障体系预设的前提下,可以制定虚拟化感知的安全应对方案,规避争夺资源,进而最大限度的提高服务器处于高峰和非高峰期内的工作效率。
二、构建电力系统信息安全保障体系的几点思考
1.进一步完善信息安全管理机制
整体规划统筹,关注重点,建设信息安全管理制度与规范标准进程需进一步加快,切实制定相关的信息安全制度条例,有效编制电力系统的实施办法,明确信息安全项目的侧重点,规划统筹电力系统信息安全任务。合理构建电力系统信息安全保障体系,为本单位防护信息安全设施完善与更新工作做好全方位指导,及时调查应对产生信息事故之后的规范性工作,从而进一步提高信息安全事件的管理与监督力度。与此同时,针对规范建设灾难恢复系统,需紧抓研究与编制,实施有效的恢复灾难措施,适当规划统筹单位内部恢复灾难的系统建设工作。
除此之外,标准化、规范化是确保电力系统信息安全的基础性工作。电力企业需着手于电力系统的实际特点,格外重视电力系统信息安全的规范化、统一性管理,适当的制定并完善一套标准化、统一性的安全管理规范机制,从而最大限度的弥补电力企业内部信息安全管理存在的不足之处,增强企业的风险承受力。在构建电力系统信息安全保障体系的过程中,电力系统主要管理部门必须严格按照确保电力系统正常运行的指标需求,参照现今的国际安全标准、国家安全标准以及相关的安全法规政策,有效地构建电力系统信息安全的各项管理规范和相关技术标准,进一步规范基础性设施构建、系统与网络平台搭建、应用软件开发、运行管理等各个重要环节,进而为电力系统信息安全的构建创造坚实的基础。
2.加快建设信息安全管控机制
全面落实信息安全保障体系不可忽略主要负责人员的组织、管理工作。结合每人的不同因素,需严格遵循以人为本的安全理念是构建电力系统信息安全保障体系的基本原则之一,对此,在整个电力系统信息安全中,需重视组织安全机制的有效落实工作。在制定健全组织安全机制的过程中,需进一步提高计算机信息网络工作人员的安全意识,并针对专门负责信息安全工作人员开展定期或不定期的安全培训。
建设个人终端标准化工作需加快推进,严格管理个人终端接入网,将个人终端补丁程序与及时自动更新、升级病毒软件落实到日常工作中,而对于随意下载或安装的非正版软件需加大严禁力度。加强实施防治木马病毒等危险因素侵入的安全措施,做好外来用户访问控制工作。全面有效的监控信息安全,尽快构建信息安全监控体系,实现集中监视防火墙、入侵检测等安全防护设施,或对其进行及时有效地警示,同时,深入研究信息安全模型,制定综合评估检测信息安全机制,确保安全信息评估的科学化、简便性。
3.增强安息安全密保工作的认识度
认清形势,对全体员工的密保知识水平与防护技能进行全方面检测,提高网络窃密泄密防范水平。针对外网连接其他公共信息网络,需严格审查或严禁,并严禁外存或处理国家和单位机密在非网上,将保护信息安全工作和职责切实落实到位。与合作单位的开发、咨询工作需强化信息安全保密管理,签订保密协议,严审外来人员的访问,加强授权管理,做好监管与备案工作。定期或不定期开展审查信息系统安全保密活动,对文档做好登记、存档、销毁、定检以及解密等各方面工作,及时发现、解除隐性的或显性的泄密隐患。
在信息安全保障体系设计阶段,确保电力系统信息安全需重点考虑的关键条件之一。规范化使用系统内部的部分安全设施,增强基础设备的安全度,诸如尽可能实行深埋或架空通信线路等措施,避免各种方式的意外损坏。严格化管理保障体系内的部分精密设施,合理制定专项负责制,将责任具体到每人。
三、凭借防火墙及云计算安全手段,保障信息安全
近年来,随着网络科技的快速发展,防火墙技术已作为新兴的计算机网络安全保护性技术措施之一。在网络中,通过阻止黑客访问某个机构的内部网络而设定的屏障,换句话而言,是专门控制超出两个方向的通信门槛。针对边界网络,可利用对应的网络通信监控系统的构建来将内外网络进行隔离,从而防止外部网络的入侵;紧密结合实电力系统,较为合适的利用“防火墙十杀毒软件”配置方式,做好及时升级、更新工作,避免工作流于表面。与此同时,为保密信息因恶意外部破坏造成丢失或网络瘫痪,需认真做好备份重要网络信息和系统数据。此外,备份的有效性定期检验也显得尤为重要。有力鉴定数据备份的有效性关键在于定期的恢复演习,也是有效演练网络负责人恢复数据的操作技能,锻炼应对问题时的从容面对,冷静思考,进而为网络访问创造保障环境。
防火墙的类型多样,具体概况为包过滤防火墙、防火墙与双穴防火墙三大类。其中网络层设置的一般是包过滤防火墙,而在路由器上实现包过滤目的。此类防火墙可以用来对外部非法用户访问的禁止,以及访问某些服务类型的禁止等。又称应用层网管级防火墙的防火墙,其组成主要有服务器和过滤路由器,是当前相对较为流行的防火墙种类之一。而针对双穴防火墙,是在一个网络内进行数据搜集,并有选择性的传送到另一个网络。电力系统信息安全的保障性离不开防火墙的合理配置,确保安全连接各个网络,从而在连接端口规避出现安全漏洞。
同时,通过加强云计算威胁管理,为信息安全保障体系提供灵活的管理策略,进一步丰富审计日志以及报表的功能。并有效结合“云中保险箱技术”,合理利用密钥及管理策略机制,保护用户存储的云隐私与数据信息,使电力企业所运用的云平台或数据交换突破时空限制,且更为安全。
结束语
总的来说,电力系统信息安全保障体系的构建是为了更好地应对电力系统信息安全的潜在威胁,使电力系统信息的安全性不断提高。在总结过去经验的基础上,各电力企业要积极分析电力系统的特点,合理利用云计算安全手段,制定相应的安全策略,建立全面合理的信息安全体系,确保电力信息乃至整个电力系统的安全。
参考文献
[1].吴克河.电力信息系统安全防御体系及关键技术[M].北京: 科学出版社.2011(10).
[2].田雨平.周凤鸣.电力企业现代安全管理[M]. 北京:中国电力出版社.2009(1).
[3].国家电力监管委员会安全监管局.电力安全监督管理工作手册[M].北京:中国电力出版社.2009(4).
即使这样,如下安全问题依然摆在了很多企业面前:安全设备部署了很多,安全制度流程也建立了,但从整体角度看,仍然是各自为战,仿佛信息安全问题只是IT部门的事情,与其他人无关,这就使得无法形成整体有效的安全防护;一边是业务应用越来越复杂,一边是安全设备和制度不断增加,如果安全设备和制度做多了,业务部门抱怨太繁琐,但如果不做这么多,又怕出现安全问题,左右为难。
那么,出现这些问题的根源是什么呢?我们早就知道,建设安全系统不仅仅是技术问题,也是管理问题。而信息安全服务的主要目标就是更好的支撑IT应用系统的效果和效率,也就是说,信息安全的主要目的是通过信息安全管理体系、技术体系以及运维体系的综合有效建设,让IT应用系统能够达到更好的运营效果以及更高的效率。而如何综合而有效的建立信息安全保障体系,成为了摆在每个企业面前的课题。
合规是重中之重
信息安全标准是确保信息安全产品和系统在设计、研发、生产、建设、使用和测评过程中保持一致性、可靠性、可控性、先进性和符合性的技术规范和依据,其不仅关系到国家的信息安全,也是保护国家利益、促进产业发展的一种重要手段,同时更是信息安全保障体系中的重要组成部分,是政府进行宏观管理的重要依据。
我国在这方面虽然起步较晚,但也制定了一批符合中国国情的信息安全标准,同时在一些重点行业还颁布了一批信息安全的行业标准,尤其是国家等级保护制度和分级保护制度是我国在进行信息安全保障体系建设中的重要依据。
因此,企业只有在信息安全保障体系建设过程中依据相关标准进行合规性分析,通过安全风险评估,然后比对相关标准中所涉及的技术要求、管理要求、测评要求,才能明确得出建设的方向和重点,了解目前系统中存在的问题和改进的方法,同时明确在管理、部署和运维过程中信息安全管理的相关制度、流程和需要持续改进的目标。
此外,相关标准还为企业明确了进行信息安全保障体系建设的方法,只有遵循这种方法才能做到“有法可依、有章可循”。
安全咨询是桥梁
前面提到,信息安全建设的主要目的是让IT应用系统能够达到更好的运行效果,并提高系统的运行效率,也就是说,要让信息安全保障体系成为IT应用系统的有效支撑。然而,不同政府或企业的具体业务环境和流程各不相同,所以也不是每个政府或企业都可以使用一个统一的模板。不同的组织在建立与完善信息安全保障体系时,必须根据自己的业务特点和具体情况以及IT应用的实际情况,采取不同的步骤和方法。此外,还要注意,信息安全不仅涉及安全管理和技术层面的问题,还会涉及到治理机制、业务流程、人员管理、企业文化等内容。
这就使得,企业要运用风险的方法来决定信息安全体系建设的目标和步骤。这个过程实际上是需要专业资深的安全服务人员对目标的业务特点、IT应用实际情况和具体管理方式进行现场调研、符合性分析、相关的风险评估等操作的,尤其是对关键业务应用的深入了解和分析,只有这样才能与标准比对形成安全基线和框架参考。
而且,在建设过程中,还要不断与相关负责人(决策人员、安全管理员、网络安全维护人员)进行深入沟通,以便发现安全隐患、找出关注重点,并提出有效的策略建议,最终才能运用风险的方法来决定体系建设的目标和步骤,并一步一步实施完成。通过这一点我们不难看出,信息安全咨询贯穿于整个信息安全体系建设的过程中,是联系实际需求和建设目标的桥梁。
实际落地是关键
信息安全技术体系是利用技术手段实现了技术层面的安全保护,是整个信息安全保障体系中非常重要的一部分。很多政府和企业都部署过一些技术防护手段,但这些防护手段是不是符合相关标准和关键业务的需求,是不是把风险控制到了一个可控的水平,我们就不得而知了。
因此,在信息安全保障体系建立过程中,一定要依照标准来选择技术防护手段,同时实现技术手段的落地是关键。而要实现技术手段的落地,就要兼顾以下几点:选择的技术产品要满足政府或企业实际环境、IT应用和管理流程制度等客观条件;选择的技术产品要具有易维护、管理简便的特点,并要能够保持先进性;选择的技术产品要能够满足应用变化的需要,并适应技术的不断发展。即保障可用性、适用性和持续性。
安全意识是必须
在很多政府部门和企业中普遍存在这样一个问题,仿佛信息安全只是IT部门的事情,其他业务部门大多采取了“事不关己,高高挂起”的态度,这势必会造成安全天天喊,但是总没有明显效果的局面。
可以说,建设信息安全保障体系是企业内的一次“安全革命”,通过培训,不仅仅要让每个人都提高对安全事件处理的管理水平和技术水平,更重要的是让每个人都拥有“信息安全人人有责”的意识。
同时,这场“安全革命”给企业带来了新的知识和管理模式,企业必须通过培训将整个信息安全保障体系的相关知识转移到每位员工身上,让他们对整个体系逐步达到从接受到适应,再到最终掌握。只有这样才能让整个信息安全保障体系真正应用起来,并真正起到效果。
运维平台是手段
1农业科学技术档案的安全管理现状
近年来,一方面,由于强烈地震、泥石流等自然灾害和突发事件的发生,可能使农业科学技术档案遭受损毁;另一方面,由于管理机制、管理制度的不健全,也存在安全隐患。另外,一些别有用心的人,企图用非法手段窃取重要的农业科学技术档案信息也将造成隐患。这不仅使农业科学技术档案信息资源出现缺失,而且对本单位科研工作的创新也将造成严重影响。
1.1管理机制上的疏忽
农业科学技术档案的规范管理不仅是档案部门的工作,更是农业科研单位行政管理和科研管理工作的重要组成部分。但是,有的农业科研单位在制定中、长期规划纲要、农业科研工作计划和目标任务时,对农业科研档案的安全管理工作并没有列入其中。比如,在制定“十二五规划”时,对农业科学技术档案资源建设、安全管理工作不列入其中;在年度计划、总结中对农业科学技术档案工作不重视,对广大农业科技工作者对档案资源的利用需求不做统计;对“农业科研工作和农业科研资料建档工作实行‘四同步’”的政策规定不能全面贯彻落实等。鉴于管理机制上的不重视,造成农业科学技术档案管理不规范,制度不健全,档案人员责任不清、业务不精、意识不强等不良现象,将造成农业科学技术档案的严重缺失。
1.2管理制度不健全
目前,有的农业科研单位对农业科学技术档案在形成、收集、鉴定、整理、移交、保管、借阅、利用、销毁以及向综合档案馆移交等环节中,制度建立不够健全完善;对负责资料收集、档案管理的不同岗位上的相关人员的责任、素质、技能、培训等没有具体明确的职责规范。另外,对于电子档案,在其形成积累、整理归档、移交、保管利用等各个环节也没有健全完善的管理制度。将会存在着电子载体遭破坏、信息被篡改、材料丢失和破损的可能性。因此,依法建立科学规范,健全完善的管理制度,确保农业科研档案的原始性、真实性和系统完整性是农业科学技术档案资源建设、安全管理和有效利用的法制保障,应当引起各农业科研单位的足够重视。
1.3库房及设施设备中存在的问题
农业科学技术档案的存放库房是其安全最重要的保证。但是,由于受经济所限,各级农业科研单位对档案库房建设的投入不足,很多档案库房设在本单位办公楼区域内,一般都建于20世纪80年代末90年代初,有的多年没有进行维修,雨季室内漏雨,库房湿度过高,水暖管道锈蚀,电路老化,存在水灾、火灾隐患;大多没有安装安全监控系统、自动报警系统、自动灭火系统等设备;有的在基本建设中,不能根据农业科学技术档案的年扩增量,对档案库房的建设面积做详细的预算,盲目的留置一些闲置的小房间用于存放档案,库存面积小,导致现在《纸质档案数字化技术规范》、《磁性载体档案管理与保护规范》赋予的档案安全保障措施等业务工作无法正常开展。另外,在购置存放实体档案的存储柜、密集架时为了方便查阅,整齐美观,不考虑在自然灾害、突发事件发生时,便于搬运,给抢救工作创造便利条件等因素。上述现象将造成农业科学技术档案的安全隐患。
面对复杂的农业科学技术档案安全隐患,尽快建立安全保障体系,最大限度地保障农业科学技术档案的安全管理和有效利用刻不容缓。
2农业科学技术档案安全保障体系的构建设想
一个相对完善的农业科学技术档案安全保障体系,一般应当包含安全人员保障体系、安全管理法规体系、设施设备安全保管体系以及电子档案安全管理体系等。
2.1农业科学技术档案安全保障人员体系
安全人员保障,是在国家档案行政管理部门的法规要求和专业指导下,通过农业科研单位内部的岗位设置、人员分工、部门配合、制度约束等管理机制的建立,为农业科学技术档案的安全管理提供组织上的保障。具体包括决策、管理、执行方面。决策工作由农业科研单位相关部门组成农业科学技术档案安全管理工作领导小组等机制,制定安全保障体系的总体规划、实施目标、重点工作任务、档案灾害预警机制及演练方案等。做好各阶段前期工作的统筹安排及全过程技术实施方案等,以科学的态度,作出科学的决策。
管理工作由档案部门负责,依法处理农业科学技术档案安全管理的日常工作,协调各方面实施执行。并提出制定、修改具体业务工作中的安全策略、操作规范、实施细则等意见,记录和处理农业科学技术活动中形成的文件材料在收集、整理、立卷归档、保管利用等过程中出现的安全问题。
执行者则是具体负责特定档案事务的设在各个岗位上的工作人员。要选择有强烈的事业心和高度的责任感,具有良好的服务意识和安全意识的专业人员,还要为他们创造业务学习和培训的机会,不断更新知识,以便更好地适应档案工作的要求。除档案工作人员外,收发人员、安全保卫人员等也是安全体系中的执行者,要对他们进行定期或不定期的培训,明确责任,增强意识,做到警钟长鸣,尽量减少人为因素给农业科研档案带来的安全风险和隐患。
2.2农业科学技术档案安全保障法规体系
威胁农业科学技术档案安全的因素来自各个层面和各个环节,因此需要构建全面的法规制度体系。即由国家的法律、行政法规、地方性法规和规章制度所构成的相互联系、相互融合的统一体,来保障农业科学技术档案的绝对安全。
2.2.1农业科学技术档案安全管理的法律
涉及农业科学技术档案安全管理方面的法律主要有《中华人民共和国档案法》以及刑法、民法等基本法律及其他专门法律中涉及到档案的内容或条款等。认真学习和深刻领会档案法律,对于保证农业科学技术档案的真实性、完整性、系统性和开发利用具有重要的意义,是我们构建农业科学技术档案安全管理体系并赖以实施的依据和准绳。
2.2.2农业科学技术档案安全管理的行政法规、标准、地方性档案法规
可以遵循的行政法规主要有《中华人民共和国档案法实施办法》、《机关档案工作条例》、《科学技术档案工作条例》等。可遵循的国家标准有《科学技术档案案卷构成的一般要求》、《电子文件归档与管理规范》等;行业标准有《科学技术研究课题档案管理规范》、《归档文件整理规则》、《纸质档案数字化技术规范》、《磁性载体档案管理与保护规范》等。地方性法规有《甘肃省档案管理条例》等。行政法规、标准、地方性档案法规规定了对各种档案各主要管理环节的操作要求及质量标准,既是建立标准化、规范化档案管理工作的依据,又是进行档案日常管理工作的操作指南,我们应当认真学习,熟练地掌握和运用。
2.2.3农业科学技术档案安全管理的规章制度
除了要执行国家有关档案法律法规外,还应针对自身的特点和实际需要制定本单位的规章制度。包括档案工作制度、管理规范、部门工作职责以及电子档案管理规范等。工作制度是依据法律法规,结合本单位实际,对农业科学技术档案的管理体制、管理分工、保密、档案利用原则等所做的规定,要求本单位所有部门和工作人员都要执行。管理规范包括对归档范围、分类方案、保管期限、鉴定标准、整理、移交、保管、借阅利用、鉴定销毁、业绩考核等环节所做的规定。部门工作职责包括档案室、档案工作人员、库房管理人员、保卫人员等工作职责。电子档案管理制度包括计算机使用、密码管理、电子档案异质备份、业务系统操作制度等内部规范。建立健全农业科学技术档案规章制度,是进行科学化、规范化管理的有效措施,也是确保其安全的有效手段。
2.2.4落实各项规章制度
有了科学完善的农业科学技术档案安全管理的法规制度,关键在于落实,要加强对农业科学技术档案资源监测,严格其管理和利用活动,依法管理,按章办事,科学有效地实现档案的管理与保护。依法对破坏、危害农业科学技术档案的安全行为进行查处,追究责任,维护档案法规的严肃性。
2.3设施设备安全保管体系
确保库房的安全无疑是整个系统安全的前提。包括库房建设、设施设备配备、日常管理等方面。在库房建设方面。对于计划重新修建的库房,严格按照《档案馆建设标准》和《档案馆建筑设计规范》要求,建设满足未来30~70年需求的坚固、安全的现代化档案库房[1]。对于现有的库房,要进行安全风险评估,增强防患意识。同时,要开辟足够的库房存储面积,配备监控自动报警、自动灭火、温湿度控制、门禁系统等先进设施,实现档案安全管理的自动化和可控性。库房除了传统意义上的日常存放实体档案外,还必须放眼长远,考虑到兼顾存放备份磁盘、光盘等离线电子档案,在做到“八防”要求外,应增加针对电子档案特性的电磁屏蔽等安全防范措施。小规模离线电子档案存储库房,可考虑使用恒温恒湿防磁柜用以存放电子介质[2]
。
另外,在配备存储档案密集架和防磁柜时,应当考虑在应急搬运时的安全便捷因素。做好设施设备安全保管体系建设,为农业科学技术档案的安全保障打造第一道防线。
2.4电子档案安全保障体系
目前,许多农业科研单位对于电子档案的管理,认识不足。一方面,由于开展此项工作资金投入大,要配备完善的支持电子档案运行的设施设备;另一方面,电子档案安全管理保障技术尚未普及,现有的农业科研档案管理人员也不能保证具有与其岗位职责相适应的技术能力和管理能力。在现有条件下,我们可以从以下几方面尝试。
2.4.1开展电子档案的组织保障
随着信息化和办公无纸化的飞速发展,农业科研项目的研究工作、鉴定验收、成果转化等系列流程都离不开电子设备,因此,从组织机制入手,进行电子档案的规划建设,是立足长远的发展之路。
多渠道筹措资金,配备完善的存储电子档案的最佳磁、光载体等先进的设施设备,建立归档数据安全监控系统,确保存储的电子档案长期安全可读,有效利用。确立将纸质和电子两种版本并存和异质异地备份策略管理的目标,是加强农业科学技术档案安全保障的有效举措。
2.4.2开展电子档案的技术策略
实施电子档案策略,一方面,应以现存农业科学技术档案纸质载体为基础,选择利用纸质档案数字化技术,扫描纸质档案产生数字图像,存储于安全性能好的磁、光介质上,供快速有效利用。再利用COM(计算机输出缩微品)技术,将数字图像输出到缩微胶片上,制作成农业科研档案缩微品,进行长期安全保存[3]。另一方面,制定纸质档案与电子档案“双轨制”归档管理实施方案。在文件生成、运转过程中二者共存,即两种版本档案同步随农业科研工作流程运转,使纸质和电子两种版本双套归档[4]。这不但有利于开展农业科学技术档案异质异地备份策略,而且将增加农业科学技术档案安全保障和有效利用力度。
2.4.3电子档案的人才队伍建设
电子档案安全管理工作是一项科技含量很高的知识创新工作,需要高素质的,具有计算机、自动化和网络方面基础知识以及在数字资源开发、组织和提供利用方面有丰富经验的专业技术人员和管理人员。为此,应当通过引进和培养的渠道,建设高素质的人才队伍,有效管理电子档案。
2.4.4电子档案安全操作中应注意的主要问题
为确保电子档案扩散范围的精准控制,需要采用规范的存储方法,选择良好的载体和创造安全的保护环境。在接受电子档案存储时,要对文字、图像、视频、音频处理技术形成的农业科学技术文件材料,转化为通用格式,并要注明格式、文字处理工具,必要时保存文字处理工具软件。对电子档案的可读性、真实性以及传输安全方面,应参考国内外先进的研究成果加强管理。还要采取严密的防尘措施,用先进的除尘设备,减少灰尘对电子载体的损害等。在电子档案的开发利用中,应该严密控制外泄和破坏,选择具有安全保密功能的运行软件,进行安全操作,必要时应该与责任者签订安全使用协议书,确定调阅档案人员范围和档案利用手续,以确保其安全。
3结论
农业科学技术档案安全保障体系的构建是一项系统工程,需要组织保障、技术保障、人员、经费、存储保障等多方面的协调工作。也是一项复杂而严谨的工作,需要科学研究先行,做好前期技术储备及全过程技术保障。
信息安全防护要考虑不同层次的问题。例如网络平台就需要拥有网络节点之间的相互认证以及访问控制;应用平台则需要有针对各个用户的认证以及访问控制,这就需要保证每一个数据的传输的完整性和保密性,当然也需要保证应用系统的可靠性和可用性。一般电力企业主要采用的措施有:
1.1信息安全等级保护
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。要积极参与信息安全等级定级评定,及时在当地公安机关进行备案,然后根据对应等级要求,组织好评测,然后开展针对性的防护,从而提供全面的保障。
1.2网络分区和隔离
运用网络设备和网络安全设备将企业网络划分为若干个区域,通过在不同区域实施特定的安全策略实现对区域的防护,保证网络及基础设置稳定正常,保障业务信息安全。
1.3终端安全防护
需要部署(实施)防病毒系统、上网行为管理、主机补丁管理等终端安全防护措施。通过这些安全措施使网络内的终端可以防御各种恶意代码和病毒;可以对互联网访问行为监管,为网络的安全防护管理提供安全保障;可以自动下发操作系统补丁,提高终端的安全性。
2.构建信息安全防护体系
电力企业应充分利用已经成熟的信息安全理论成果,在此基础上在设计出具有可操作性,能兼顾整体性,并且能融合策略、组织、技术以及运行为一体化的信息安全保障体系,从而保障信息安全。
2.1建立科学合理的信息安全策略体系
信息安全策略体系包括信息安全策略、信息安全操作流程、信息安全标准以及规范和多方面的细则,所涉及的基本要素包括信息管理和信息技术这两方面,其覆盖了信息系统的网络层面、物理层面、系统层面以及应用层面这四大层面。
2.2建设先进可靠的信息安全技术防护体系
结合电力企业的特点,在企业内部形成分区、分域、分级、分层的网络环境,然后充分运用防火墙、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护和认证授权等技术进行区域边界防护。通过统一规划,解决系统之间、系统内部网段间边界不清晰,访问控制措施薄弱的问题,对不同等级保护的业务系统分级防护,避免安全要求低的业务系统的威胁影响到安全要求高的业务系统,实现全方位的技术安全防护。同时,还要结合信息机房物流防护、网络准入控制、补丁管理、PKI基础设施、病毒防护、数据库安全防护、终端安全管理和电子文档安全防护等细化的措施,形成覆盖企业全领域的技术防护体系。
2.3设置责权统一的信息安全组织体系
在企业内部设置网络与信息安全领导机构和工作机构,按照“谁主管谁负责,谁运营谁负责”原则,实行统一领导、分级管理。信息安全领导机构由决策层组成,工作机构由各部门管理成员组成。工作机构一般设置在信息管理部门,包含安全管理员、系统管理员、网络管理员和应用管理员,并分配相关安全责任,使信息安全在组织内得以有效管理。
2.4构建全面完善的信息安全管理体系
对于电力企业的信息安全防范来说,单纯的使用技术手段是远远不够的,只有配合管理才能提供有效运营的保障。
2.4.1用制度保证信息安全
企业要建立从指导性到具体性的安全管理框架体系。安全方针是信息安全指导性文件,指明信息安全的发展方向,为信息安全提供管理指导和支持;安全管理办法是对信息安全各方面内容进行管理的方法总述;安全管理流程是在信息安全管理办法的基础上描述各控制流程;安全规范和操作手册则是为用户提供详细使用文档。人是信息安全最活跃的因素,人的行为会直接影响到信息安全保障。所以需要通过加强人员信息安全培训、建立惩罚机制、加大关键岗位员工安全防范力度、加强离岗或调动人员的信息安全审查等措施实现企业工作人员的规范管理,明确员工信息安全责任和义务,避免人为风险。
2.4.3建设时就考虑信息安全
在网络和应用系统建设时,就从生命周期的各阶段统筹考虑信息安全,遵照信息安全和信息化建设“三同步”原则,即“同步规划、同步建设、同步投入运行”。
2.4.4实施信息安全运行保障
主要是以资产管理为基础,风险管理为核心,事件管理为主线,辅以有效的管理、监视与响应功能,构建动态的可信安全运行保障。同时,还需要不断完善应急预案,做好预案演练,可以对信息安全事件进行及时的应急响应和处置。
3.总结
购物车(0)