前言:中文期刊网精心挑选了信息安全与管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全与管理范文1
【 关键词 】 电子商务;信息;安全;管理
Electronic Business Information Security Situation and Information Security Management Countermeasures
Wang Jing
(JiLinHua Zhongyou Construction Engineering Co., LTD Jilin 132021 )
【 Abstract 】 with the height of the information and network in China, the electronic commerce the strange term began to get people's attention. It will appear to the life of people brought great convenience, but there are a number of people have questioned the electronic commerce attitude, so the electronic commerce safety have to take seriously. This paper combines the electronic business information security situation and information security management countermeasures were discussed.
【 Keywords 】 electronic commerce; information; security; management
1 现阶段电子商务发展的情况
随着我国进入了信息时代,网络不断得到普及,因此网络业也出现了不少的问题,比如网络传输光纤的阻断,严重影响着信息的流畅;电脑黑客的入侵,电脑病毒恶意攻击网站等,无时无刻不在威胁着电子商务的正常运行。如何从根本上解决问题,这需要长期大量的进行防范。电子商务的网络化主要是企业通过网络与商家进行交易,如果在交易中网络的安全出现了疏漏,使得病毒以及黑客得以入侵,由此所造成的损失是巨大的。电子商务在网络上的运行还不够规范,对于网上的税收、合同以及保险等方面都存在着不规范的现象,在加之法律在网络上的不健全,这些都制约着电子商务在网络的发展。
因特网是在虚拟空间运行的,看似并不需要现实的空间。但随着网络的不断壮大,要想有着更好的发展,就必须建立起强大的通讯设施作为基础,通讯设施也是电子商务安全的基础。在我国网络的现阶段,网络管理信息内容、网络技术、通讯速度、资费水平、安全的保障条件等方面都无法跟上高速发展的电子商务步伐。银行作为电子商务中商家与企业的纽带,必须具备网络结算、支付的功能。但电子商务的快速发展对银行的电子结算与支付提出了更为严格的要求,它不光要求银行有上网支付和结算的功能,还要保证网络交易的安全性、用户的密码以及个人信息的保密。要想建立完备的电子商务网络设施,就要建立全国性的数据通信网络,对宽带的传输速度要满易时的通信要求,这是实现电子商务信息化的必要条件。
2 电子商务在网络交易中常出现的隐患
2.1 安全防范意识不强
我国信息技术正在飞速的发展,但电子商务才刚刚得以发展,有很多电子商务平台的规模不是很大,自认为对市场的作用不大,根本引起不了一些病毒或黑客的恶意攻击,很多商家正是存在着这种安全意识不强的原因,使得平台和网站频频受到恶意的攻击,严重的影响着交易的正常运行,严重的还会泄漏个人的信息。还有盲目的使用各种安全产品,认为安装了这些软件就不会出现安全的隐患,这就是对安全技术缺少了解的表现。
2.2 安全产品的鉴定
上面就提到了一些交易平台滥用安全产品的现象。随着人们对网络安全的不断重视,互联网一些相关的安全产品也越来越火爆。尽管这些安全产品能够对交易平台起到一定的保护作用,但这并不是说明安装了这些安全产品就可以放心使用,不会出现安全的隐患,这种想法是错的。计算机安全产品在计算机的安全中只能起到辅助的作用,并不能对计算机的安全起到主导的作用,更何况安全产品自身的安全性还有待鉴定,一旦安全产品出现了问题,轻则可能会失去保护计算机的功能,重则有可能对互联网自身带来安全隐患。
2.3 安全技术方面的不足
我国网络虽然得到了迅猛的发展,但距离发达国家的水平还有很大的差距,计算机安全技术的研究也并不算长,许多技术还是照国外借鉴的,因此优秀的网络系统和技术全面的安全专家是我国所缺少的。这样一来,我国电子商务的平台以及网站的安全就得不到保障。
信息安全与管理范文2
关键词:计算机 网络信息安全 管理
中图分类号:TP393.08 文献标识码:A 文章编号:1672-3791(2017)03(c)-0003-02
在当今这个以互联网技术为核心的信息时代,计算机信息技术的发展给我们的工作和学习生活都带来了巨大便利,也正是由于近年来网络的迅速普及,电脑走近千万家,计算机网络信息安全事故也频频发生,时有个人信息泄露,利用网络漏洞行骗,非法钓鱼网站等安全隐患不断增大,病毒和木马程序日益猖狂,计算机网络信息安全面临着巨大的挑战。结合计算机网络信息技术在当今科技中所处地位不难发现,网络信息安全直接影响用户、企业甚至是国家的信息安全,所以关注计算机网络信息安全问题迫在眉睫,保障网络信息安全,完善计算机网络信息防护技术是当前最亟待解决的问题之一。
1 当前我国计算机网络信息安全现状
1.1 计算机网络信息安全防护技术落后
计算机网络是指,多台计算机通过通信线路连接,在网络操作系统、网络管理软件以及网络通信管理的协调下,实现资源共享、数据传输和信息传递。在此共享、传输、传递的过程中,由于所传输的数据和信息量巨大,所以无论是数据传输,信息运行,安全意识等任何一项计算机网络信息安全的决定因素产生问题都会造成计算机网络信息安全漏洞,威胁我们的信息安全。
当前存在的主要信息安全问题有:黑客威胁,黑客指精通计算机网络技术的人,擅长利用计算机病毒和系统漏洞侵入他人网站非法获得他人信息,更有严重者可以进行非法监听,线上追踪,侵入系统,破解机密文件造成商业泄密等对社会财产产生威胁的违法行为。相对而言病毒更为简单常见,病毒是破坏计算机功能或者毁坏数据影响计算机使用的程序代码,它具有传染速度快,破坏性强、可触发性高的特点,能通过特定指令侵入他人文件,直接造成文件丢失或泄露,或用于盗取用户重要个人信息,如身份证号码、银行账户及密码等。此外计算机本身的安全漏洞也是一大问题,操作系统自身并不安全、软件存在固有漏洞加之计算机管理人员操作不当在系统设计之初便留下破绽,为网络安全埋下隐患。从物理层面来讲,计算机所处环境条件对其硬件保护具有很大的影响,潮湿和尘土容易使计算机出现系统故障、设备故障、电源故障等,此类问题出现频率低,但不易解决。
相较于频繁出现的计算机网络信息安全问题,当前的计算机信息安全防护技术单一落后,仍然只靠防火墙等低端技术来解决问题,根本于事无补。新的病毒和木马程序不断更新换代,层出不穷,只有我们的计算机信息安全防护技术提高水准才能规避信息安全隐患。
1.2 计算机网络信息安全管理制度缺失
制定计算机网络安全管理制度的目的是加强日常计算机网络和软件管理,保障网络系统安全,保证软件设计和计算机的安全,保障系统数据库安全运营。常见计算机网络信息安全管理制度包括日常W络维修,系统管理员定时检查维修漏洞,及时发现问题提出解决方案并记录在《网络安全运行日志》中。然而当前使用计算机的个人企业和事业单位众多,却鲜有企业用户制定相应的计算机网络安全管理制度,公司也没有相应部门专门负责计算机系统网络打的定时检查,做数据备份和服务器防毒措施和加密技术,更加没有聘用专业技术人员解决修复计算机本身的系统漏洞,加之平时不注意对计算机的物理保护,软硬件设施都有巨大的安全泄密隐患。
长期以来,由于相关机构没有完整、完善的管理制度和措施,造成了管理人员的懈怠,滋生了计算机工作者的懒惰心理和部分内部人员从内部泄密的违法行为。参照国外成熟的计算机网络信息安全管理模式,我们不难发现一个良好的计算机网络信息安全管理机制所起到的作用不仅仅是保障了我们的信息安全,并且提高了日常办公效率,对更好地发展计算机技术有促进作用。解决计算机网络信息安全迫在眉睫,从管理制度缺失上面入手,实质上是从源头避免计算机网络信息安全问题的产生,具有很深刻的实践意义。
1.3 缺乏计算机网络信息安全意识
对计算机网络信息安全来说,技术保障是基础,管理保障是关键环节,尽管前两者在对计算机网络信息安全保护的过程中起到了巨大的作用。但是仅仅依赖与计算机网络信息技术保障我们会发现计算机病毒不断更新换代,应用的侵入程序技术越来越高级,专业技术人员提高遏制病毒的技术,新型病毒再次产生,如此一来陷入“道高一尺魔高一丈”的恶性循环,仅仅依赖计算机网络信息管理制度,取得成效所需时间长,浪费人力物力多,程序繁杂与提高计算机网络管理效率的初衷相悖。为制止计算机网络信息安全威胁的社会危害性,我国已经制定相关法律通过加强计算机使用者的安全意识和法律强制手段打击计算机网络犯罪。网络信息安全意识的培养和法律法规的强制规定,提高计算机使用者的网络安全防范意识,主动使用加密设置和杀毒程序,法律法规能够打击网络违法犯罪,弥补法律漏洞,使其无法逃脱。
我们还必须意识到,法律保障计算机网络信息安全的措施才刚刚起步,大部分计算机安全防范意识并不成熟。在我国大中小城市中,区域发展不平衡,计算机网络安全防范意识对比明显,信息安全防护技术不成熟,计算机网络信息安全问题依然严峻。
2 根据计算机网络信息安全现状分析相关管理措施
2.1 计算机信息加密技术应用
随着近年来网上购物的火速发展,第三方支付系统出现,支付宝、微信、网上银行等货款交易都是线上进行,对计算机防护系统提出了更高的标准,计算机加密技术成为了最常用的安全技术,即所谓的密码技术,现在已经演变为二维码技术,验证码技术,对账户进行加密,保证账户资金安全。在该技术的应用中,如果出现信息窃取,窃取者只能窃取乱码无法窃取实际信息。
从1986年的首例计算机病毒――小球病毒开始,计算机病毒呈现出了传染性强,破坏性强,触发性高的特点,迅速成为计算机网络信息安全中最为棘手的问题之一。针对病毒威胁,最有效的方法是对机关单位计算机网络应用系统设防,将病毒拦住在计算机应用程序之外。通过扫描技术对计算机进行漏洞扫描,如若出现病毒,即刻杀毒并修复计算机运行中所产生的漏洞和危险。对计算机病毒采取三步消除政策:第一步,病毒预防,预防低级病毒侵入;第二步,病毒检验,包括病毒产生的原因,如数据段异常,针对具体的病毒程序做分析研究登记方便日后杀毒;第三步,病毒清理,利用杀毒软件杀毒,现有的病毒清理技术需要计算机病毒检验后进行研究分析,具体情况具体分析利用不同杀毒软件杀毒,这也正是当前计算机病毒的落后性和局限性所在。我们应当开发新型杀毒软件,研究如何清除不断变化着的计算机病毒,该研究对技术人员的专业性要求高,对程序数据精确性要求高,同时对计算机网络信息安全具有重要意义。
2.2 完善改进计算机网络信息安全管理制度
根据近些年来的计算机网络安全问题事件来看,许多网络安全问题的产生都是由于计算机管理者内部疏于管理,未能及时更新防护技术,检查计算机管理系统,使得病毒、木马程序有了可乘之机,为计算机网络信息安全运行留下了巨大安全隐患。
企业事业单位领导应该高度重视计算机网络信息安全管理制度的建立,有条件的企业事业单位应当成立专门的信息保障中心,具体负责日常计算机系统的维护,漏洞的检查,病毒的清理,保护相关文件不受损害。
建议组织开展信息系统等级测评,同时坚持管理与技术并重的原则,邀请专业技术人员开展关于“计算机网络信心安全防护”的主题讲座,增加员工对计算机网络安全防护技术的了解,对信息安全工作的有效开展起到了很好的指导和规范作用。
2.3 提高信息安全防护意识,制定相关法律
在网络信息时代,信息具有无可比拟的重要性,关系着国家的利益,影响着国家发展的繁荣和稳定,目前我国计算机网络信息安全的防护技术和能力从整体上看还不尽如人意,但在出台《国家信息安全报告》探讨在互联网信息时代应如何建设我国计算机网络信息安全的问题后,我国计算机网络安全现状已经有所改观。根据国家计算机病毒应急处理中心的最新统计数据,2016年的计算机信息网络安全事故较上一年有所下降。事实说明计算机信息安全防护意识在法律规定作用下是有所进步的。
3 结语
计算机网络信息技术在给我们带来了极大便捷的同时,也有它的缺陷,以正确的态度面对和解决这些问题,是该文今天的目的所在。因计算机网络信息安全这个课题涉及范围广,该文只是描述了当前计算机网络信息安全的现状,诸如计算机防护技术落后,管理制度缺失,安全防范意识不高等,并针对该现象给出了科学的建议。希望在提高计算机安全防护技术,完善计算机网络信息安全制度,提高公民计算机安全防范意识的同时,达到最终目的:保障我们的信息安全,为社会稳定繁荣作出贡献。
参考文献
信息安全与管理范文3
随着电力信息化的不断推进,信息安全问题也日益突出,在信息安全建设方面,供电企业相继投入了大量的安全防护措施。文章结合实际工作探讨了供电企业如何建立起一个完整的、强有力的信息安全维护与保障体系。
1 电力信息网络的安全分析
①计算机及信息网络安全意识薄弱。供电系统各种计算机应用对信息安全的认识距离实际需要差距较大,对新出现的信息安全问题认识不足。②急需建立同供电行业特点相适应的计算机信息安全体系。相对来说,在计算机安全策略、安全技术和安全措施投入较少。为保证供电系统安全、稳定、高效运行,应建立一套结合电力计算机应用特点的计算机信息安全体系。③联网的外部威胁。供电系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以早期的计算机安全只是防止外部破坏或者对内部人员的安全控制就可以了,但现在就必须要面对国际互联网上各种安全攻击,如网络病毒、木马和电脑黑客等。④数据库数据和文件的明文存储保护不完善。供电行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。没有完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了事,没有完善的数据备份设备、没有数据备份策略、没有备份的管理制度,没有对数据备份的介质进行妥善保管。
2 供电企业的信息安全措施
供电系统的信息安全具有访问方式多样,用户群庞大、网络行为突发性较高等特点,信息安全问题需从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为了保障信息安全,采取的策略主要包括以下几个方面。
2.1加强电力信息网安全教育
①为了保证安全的成功和有效,管理部门应当对企业各级管理人员、用户、技术人员进行安全培训,所有的企业人员必须了解并严格执行企业安全策略。②主管信息安全工作的负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
2.2重视设备管理
重视设备管理是在企业网络规划设计阶段就应充分考虑安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理;各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止意外损坏;对于终端设备,如工作站、小型交挟机、集线器和其它转接设备要落实到人,进行严格管理;加强信息设备的物理安全,注意服务器、计算机、交换机等设备的防火、防盗、防水、防潮、防尘、防静电。
2.3重视技术管理
①防火墙技术。供电系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。②虚拟局域网技术[vLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含1组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分,所以同一个tAN内的各工作站无须放置在同一物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。③数据与系统备份技术。供电企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统,从而保证信息系统的可用性和可靠性。④建立信息安全身份认证体系。电力市场交易系统就其实质来说,是一个典型的电子商务系统,它必须保证交易数据安全。在电力市场技术支持系统中,作为市场成员交易各方的身份确认、物流控制、财务结算、实时数据交换系统中,均需要权威、安全的身份认证系统。
信息安全与管理范文4
【关键词】电子文件;载体保护;信息安全;管理策略
电子文件是指在数字设备及环境中形成,以数码形式存储于磁带、磁盘、光盘等载体,依赖计算机等数字设备阅读、处理,并可在通信网络上传送的文件。然而,当前许多单位缺乏对电子文件载体科学保存与信息安全管理技术重视,因此有必要采取相关管理方法确保电子文件载体保护和信息安全。
一、电子文件的特点
(一)信息的非人工识读性
由于电子文件的存贮载体是磁盘、磁带和光盘等具有“海量存储”之称介质中,以数字编码序列的形式存在的,必须由相应的计算机设备将载体上编码序列读取出来,然后转换成人能识别的形式显示在屏幕上或打印纸上,具有非人工识读性。同时电子文件从形成、传输到存储都是通过计算机实现的,对于系统具有依赖性。
(二)信息与载体之间的可分离性
电子文件与纸质文件不同在于:纸质文件的信息与载体是不可分离的,而电子文件则是信息与载体之间是可分离的。电子文件中的信息不一定具有固定的物理位置,可以从一个载体转换到另一个载体上,也可以对非实体形态进行加工和管理。这种分离性造成了电子文件信息的易于更改,而且改后可不留任何痕迹,同时也可以造成信息易复制和易传输等。一旦管理不当,则会影响电子文件的真实性、系统性和完整性。
(三)多种信息媒体的集成性
过去的文件一般只能记录一种或两种信息媒体,使用多媒体计算机之后,电子文件可将图文信息、音频信号、视频图像等不同媒体形式的信息记录在同一份文件上,使其达到声像并茂,真实地再现当时的活动情况,从而使具有了多种信息集成性特点。
二、对电子文件的管理策略
(一)电子文件载体的物理保护
1、严格控制温湿度
由于电子文件的载体是磁带、磁盘和光盘等介质对外界环境的要求很高,容易受到损坏,为确保承载信息安全,在日常中保存的温湿度相对稳定很重要,应在温度15℃—27℃,相对湿度为40%—60%范围内。最佳环境是温度为18℃,相对湿度为40%。因此,工作人员控制温湿度,努力使其处于最佳的温湿度中。
2、做好防尘工作,保持空气洁净
灰尘对磁性载体的影响是很大,可能对电子文件载体有物理、化学和生物损坏。如表面灰尘与电子文件载体摩擦而产生划痕,引起磁性记录信号的衰减,造成记录信息的损毁。灰尘中所含的化学成分会不同程度地引起磁盘、磁带、光盘载体腐蚀、降解等化学作用而毁坏。同时灰尘中有害生物(主要是霉菌)落在电子文件载体上,培养基不断地繁殖,软盘(磁带)发霉后,不仅会使数据丢失,而且会污染驱动器读写磁头,甚至会不断传染给其它电子文件。正确地对磁性载体进行清洁,不要用手触摸磁带等载体,应戴非棉质手套操作,在日常管理中做好清洁卫生工作。
3、防磁防震
为了保证电子文件的完整性、有效性,必须做好电子文件防磁防震的保管工作。磁性载体文件与磁场源(永久磁铁、马达、变压器等)之间的距离不得少于76mm。如果磁性载体附近有磁场,可使用软磁物质构成容器、箱柜对其进行屏蔽。设备应放置平稳固定,如果硬盘驱动器执行读写时,不要移动或碰撞工作台,以免磁头划伤盘片。
4、定期进行检测与拷贝
电子文件是以磁性载体来承载信息的,保存时间相对纸质文件来说是不稳定的。应该定期对电子文件进行检测和拷贝,必要时可以打印相应的文件,将纸质文件与电子文件一起保存,保证电子文件的完整性,安全性,有效性。
(二)电子文件信息的安全维护
1、及时备份和采用镜像技术
信息的损坏、信息的丢失也越来越严重。电子文件在共享时很容易造成信息的不安全性,易更改性,并且信息的增删容易且不留任何痕迹。可以通过制作备份工作,可以把放置安全的地方,以防原件因载体损坏或设备故障、自然灾害等原因而丢失信息,从而保证了文件的完整性。同时,镜像技术也是防止信息丢失的一种手段。它是指对实时要求极为严格的动态数据库文件所采取的安全备份措施,以防止文件信息丢失。
2、加密技术
为了防止电子文件的易传播,易扩散性造成信息失密,可以使用加密技术手段对数据库存储的数据或网络中正在传递的电子文件进行保密,使非法截获者无法了解电子文件的内容。现在的网络传输过程中常常采用“双密钥码”进行加密,每个加密通信者拥有一堆密钥,一个是可以公开的密钥,一个是严格保密的解密密钥。只要不泄露解密密钥,第三者很难破密。因此,即使被非法载取,电子文件的内容也不会被窃取,避免电子文件易传播、扩散性特点带来的弊端。
3、访问控制
访问控制的目的是杜绝电子文件的非法利用和蓄意破坏,从而对信息的安全起了保护的作用,可以用身份验证、防火墙等方式来控制。身份验证是为防止未授权者进入系统对文件或数据访问,在用户登录或实施某项操作之前,系统将对某身份进行验证,并根据实现的设定来决定是否许可。通常给每一个合法的用户通行证,如果验明身份合法,可接受他进入系统对相关的业务访问,否则就被拒之门外。防火墙是单位与网络群体之间有效的安全防范体系,在局域网和外界网络连接的通道之间设置障碍,阻止其他系统的网上用户对局域网内的信息非法访问,也阻止内部信息从网络上非法输出,保护电子文件的原始性和真实性。
4、防治病毒
病毒入侵是威胁电子文件信息安全的因素之一。相关研究数据显示,每年电脑病毒造成损失上百亿美元,如:“风暴蠕虫”、“口令蠕虫”和“冲击波”病毒,严重干扰影响电子文件信息安全。因此,做好防治病毒的工作:一是预防,二是杀毒。以防为主,在系统安装专门的防毒软件或防毒卡硬件。组织专业人员建立完善有效的防治体系,使用安装正版杀毒软件,定期进行杀毒,及时安装补丁程序,确保证计算机以良性的运行状态保护电子文件信息安全性。
综上所述,实践工作中结合电子文件自身的特点,对电子文件的载体和信息安全做好管理,以保证电子文件的原始性、完整性和有效性。
参考文献
[1]王云庆,苗壮.现代文件管理学[M].青岛出版社,2002.
[2]邓绍兴,陈智为.文件管理学(第二版)[M].中国人民大学出版社,1996.
[3]徐绍敏,李统祜.文件立法研究[M].浙江大学出版社,2003.
[4]王云庆,苗壮.现代文件管理学[M].青岛出版社,2002.
信息安全与管理范文5
摘 要:信息安全是信息社会中备受关注的主要问题,该文着重研究了信息安全的管理方案以及发展趋势。首先讨论了信息环境的安全管理,其次从信息存储和网络环境两个方面讨论了信息操作的安全管理方案,然后分析了基于实物和数字密钥进行身份识别所导致的信息安全管理问题,讨论了以生物特征实施信息安全管理的发展趋势。
关键词:信息安全 网络 数字密钥 生物特征
中图分类号:TP3 文献标识码:A 文章编号:1672-3791(2016)09(c)-0128-02
Management Research and Trend Analysis of Information Security
Zhao Weizhou Jing Huili Zhang Hui
(Rocket Force Engineering University Science Institute, Xi`an Shaanxi, 710025, China)
Abstract: Information security is focused on in this information society. Management and trend are researched in this paper. Firstly, security management of information environment is discussed. Secondly, security management of information operation is discussed from information storage and internet environment. Finally, some problems, those result from identification based on cards or digital key, are analyzed. And a trend that biometrics participating in information security management is discussed.
Key Words: Information security; Internet; Digital key; Biometrics
今社会的特点是信息化,信息安全是在国家各个领域备受关注的问题。通常所说的信息安全,是指“保护信息免受意外或故意的非授权泄露、传递、修改或破坏”[1]。在信息安全领域,根据信息载体的不同,可将信息分为实物信息和数据信息两大类,所谓实物信息,是指以实物形式例如纸质文件、重要仪器、装置设备等存在的信息;所谓数据信息,是指用计算机存储的包含各种重要数据的文件信息。根据访问信息的用户身份,可将其分为合法用户和非法用户。这里所说的信息安全,一方面是指信息环境的安全,另一方面是指信息操作的安全。所谓信息环境安全,是指与信息有关的环境,应确保合法用户能够顺利、安全地进入。所谓信息操作安全,是指合法用户能正常处理信息,非法用户不能对信息进行任何操作。目前,我国的信息安全能力正处于发展阶段,而重视信息安全的管理,逐步发展、逐步完善是非常重要的[2]。当前的信息安全工作,既要防范非法用户利用网络盗用信息,又要防范合法用户可能造成的失密或泄密。
1 信息环境的安全管理
信息环境是与信息有关的外部环境,是确保信息安全的前提和基础。广义上的信息环境既包括存储安全实物的物理环境,也包括存储数据信息的计算机环境。信息环境安全主要指物理环境的安全,即确保信息的安全存储与随时的合法访问。通常情况下,根据存储物质的特性,要求信息环境具有一定的温度、湿度以及必要的防火、防盗等自然条件。信息环境的安全程度主要取决于存储信息的安全级别,信息安全级别越高,信息环境的安全程度尤其是可控人员的进入要求越高。因此,信息环境的管理人员要具备一定的政治素质和技术素质,政治素质要求管理人员能抵制各种诱惑,防止因利益驱使而破坏信息环境的安全性,技术素质要求管理人员能在信息环境面临安全威胁时积极采取补救措施以减小损失。管理人员应当定期参加理论学习,定期进行操作演练,定期组织环境安全检查,切实将信息环境的安全工作落到实处。另外,信息环境还需有严格的管理制度,一旦安全性遭到破坏,可利用管理制度对相关责任人实施处罚,起到警示作用。除此之外,大型信息系统尤其是对安全性要求极高的大型信息系统,应建立信息安全保障体系,系统研究技术,维护信息安全,抵御来自各方面的所有可能威胁。
2 信息操作的安全管理
正如前面提到的,安全信息可分为实物信息和数据信息两类。通常情况下,实物安全管理是将实物本身的安全性转化为所处环境的安全性,亦即实物信息的安全性主要取决于所处环境的安全性。为确保实物不被偷盗、映像、损毁,通常做法是为所处环境设置安全屏障,例如门卫岗哨处明确标识“闲人禁入”。数据信息通常存储于计算机内部,本身具有区别于实物信息的特点,尤其是操作方面的读取、复制、篡改等非法行为不易被信息管理者发现。因此,与实物信息的安全管理相比,数据信息的安全管理更为复杂。
2.1 信息存储
借助计算机存储信息时,不同信息具有不同秘级。秘级为公开的信息可访问人数最多,随着密级升高,有访问权限的人数将随之减少。为防止访问公开信息的用户访问安全信息,可将计算机本身分成两类,其一用于操作一般信息,其二用于操作具有秘级的信息。这一管理方法的优点在于能够避免非法用户访问安全信息,但由于密级较高的信息通常数量较少,因此可能造成计算机资源浪费。
2.2 网络管理
网络时代在共享信息的同时,又给安全信息的正常流转带来威胁。考虑到黑客可能利用网络攻击计算机安全,因此防止安全信息在网络上被恶意复制、篡改或删除就尤为重要,而网络病毒侵入将直接影响使用计算机操作各类信息。因此,管理人员通常禁止存储安全信息的计算机连接网络,同时禁止移动介质在网络计算机和秘密计算机之间混用,这在一定程度上可以阻止黑客借助网络非法操作安全信息,然而,一旦固定使用移动介质,这些移动介质也会形成资源浪费,同时刻录光盘用于安全信息流转,尽管安全性得以保证但传输速度是无法与网络传输比拟的,而且光盘的后续处理又将带来新的安全威胁。
3 信息安全管理的趋势分析
正如前面所述,信息管理的诸多措施既有优点又有不足,例如存储某一重要设备的环境,总有不合法的用户无法被拒绝而进入。又如存储某些重要数据的计算机,也可能有不合法的用户伺机访问。因此,单独以人作为管理者通过拒绝的形式维护信息安全,在一定程度上是存在漏洞的。信息安全管理更需要由机器参与而摒弃可能由情感带来的非法访问,例如环境涉入、信息访问、复制、传输等一系列操作均由计算机来判定用户是否合法,从而确定是否允许对信息执行后续操作。至于合法用户,为避免由证件等实物导致的错误判断,直接由计算机借助生物特征进行识别。生物特征例如虹膜、指纹、掌纹、耳廓、人脸等能否真正实现与物理身份的统一,实验表明生物特征由于具有较好的稳定性,在身份识别方面具有较高的准确率。因此,以生物特征验证身份是否合法从而确定能否访问并操作信息,在很大程度上能真正实现信息的安全管理,也将成为信息安全管理的必然发展趋势。
3.1 基于生物特征的门禁系统
为防止非法用户进入某一区域,基于生物特征的门禁系统能有效维护信息环境安全。当前门禁系统多数是以指纹形式开发的,这是因为指纹特征具有便于采集、高匹配性能等特点。门禁系统的工作原理是:事先采集合法用户的指纹形成模板库,验证时只需将实时采集的指纹和模板库中的注册指纹进行比对,通过算法分析即可判定是否为合法用户以确定其能否进入信息环境。门禁系统还可以扩展为用指纹存储某些重要实物,例如重要档案、枪支弹药等的管理,要求入合法指纹方可开启存储实物的装置。用门禁系统和指纹存储管理信息,能提高信息管理的安全性。随着识别技术的改进,这些系统也可借助其它生物特征实现,甚至可采用若干生物特征融合提高识别性能,从而确保合法用户访问信息。
3.2 基于生物特征的文件操作系统
为防止非法用户访问移动存储的数据和计算机数据,当前已开发出指纹存储和指纹计算机[3]。与指纹门禁系统的原理相同,也是通过指纹识别身份的合法性确定是否能进行后续的信息操作。虽然指纹存储和指纹计算机可以拒绝非法用户进行相关操作,但是合法用户未必允许操作某些较高秘级的文件。因此,对这些文件进行操作包括浏览、复制、删除时同样要求重新输入生物特征进行权限验证,也就是说,文件的操作属性与合法用户的身份特征进行了绑定。因此,恶意的浏览、复制和删除等操作在一定程度上可以避免。
3.3 基于生物特征的其它应用系统
网络传输信息具有高效性,例如邮件系统、公文传送系统等[4]。为确保信息的安全操作,可以基于生物特征开发其应用系统。现有的指纹邮件系统,能很好地避免黑客访问他人邮件。局域网上的公文传送也可通过生物特征验证身份,避免有人盗用数字密钥非法浏览信息,从而实现公文安全传送。
4 结语
信息安全一直是国家各个部门所关注的重要问题,信息安全管理不仅要在思想上具有一定的安全意识,更应在技术上防范可能的信息非法访问。信息安全首先需要做到信息环境的安全,还需要在技术上实现操作管理的安全。人在信息安全管理中固然发挥着重要作用,但要提高管理的安全效率,还需要借助机器例如计算机通过身份识别确保信息的安全操作。基于生物特征实现信息安全管理能获得事半功倍的效果,也将成为信息安全管理必然发展趋势,但是也应注意到:生物特征是个人的隐私信息,大量应用生物特征投入安全管理系统的开发,一旦隐私信息被攻击,则该生物特征参与的所有应用系统都将面临安全威胁。另外,使用生物特征能识别合法用户,这些合法用户均能访问安全信息,如果某些合法用户合谋非法使用信息,也可能带来严重后果。因此,信息安全管理是一个系统工作,管理过程中不仅要确保用户合法,同时要确保使用合法。
参考文献
[1] 徐晟,吕奇阳,康明光.加强军事信息安全管理的几点思考[J].科技视界,2012(5):424.
[2] 曲运莲.对信息安全管理下的信息安全保障分析[J].科学之友,2013(11):131-132.
信息安全与管理范文6
一、数字化加工中档案原件与数字档案信息安全管理主要内容
1 工作流程的设计
制定科学合理的档案数字化工作流程。只有制定完善的数字化工作流程,才能确保数字化过程中档案原件和档案信息的安全。通过对不同种类档案数字化工作的考察分析,我们设计了一个科学合理的档案数字化工作流程,这个工作流程涉及了调档、前处理、数字化、还档、挂接以及相应的检查等全部档案化工作环节。具体工作流程见图。
2 管理细节的控制
建立和逐步完善各工作岗位的责任制,细化数字化工作过程中各工序间的档案交接手续,规范数字化加工场所的安全保密要求,加强对数字化承建单位及人员的安全保密管理和采取各种安全保密措施,是档案数字化工作中管理控制的基础。
(1)根据《中华人民共和国档案法》、《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统灾难恢复规范》等有关法律法规和标准的规定,制定档案数字化中的档案安全保管和保密工作责任制。档案部门要制定具体的工作方案,调整充实档案安全领导机构,建立健全安全检查、安全保管制度,建立安全检查档案。工作人员要分工明确、责任到人,从档案出库、前处理、数字化到最后检查、还档和数字档案信息的存储备份,每个环节、步骤,都要安排专人负责。要采取强有力的措施,确保档案原件与档案信息的绝对安全。
(2)设计档案数字化流程中各个工作环节登记表。要严格做好档案进出及各个工作流程的登记工作,确保每份档案的流向有书面记载。设计与“调档”工作相配套的《档案调档登记表》,与“前处理”工作相配套的《档案数字化前处理登记表》,与“数字化”工作相配套的《数字化加工登记表》,与“检查数字档案信息”工作相配套的《数字档案检验登记表》,与“数字档案信息存储、备份、提供利用”工作相配套的《数字档案信息存储备份登记表》和与“还档”工作相配套的《档案验收还档登记表》等,每张表格均标明日期、全宗号、目录号、数量、张页数、重量、破损情况等相关信息,并要求相关交接人员签字确认,做到每份档案的去向都登记在册,一目了然。通过这些涉及各个工作环节的登记表,让数字化工作中每份档案都有一份明确的、清晰的、记录有每个加工环节录的“安全档案”,以确保每个工作环节中档案原件和档案信鼠的安全。
(3)档案数字化要指定专门的数字化加工场所。数字化应在档案馆指定的安全场所内进行,工作场所中应安装监管系统与保密设施,实现防磁泄漏功能或加装磁干扰设备,消除通过磁泄漏而产生的安全隐患,并不得在工作场所中使用与工作无关的任何电器设备。要制定严格的数字化工作场所人员出入制度,条件允许的情况下,可加装门禁系统,严禁无关人员进入档案数字化场所。数字化加工场所必须配备消防系统、防盗报警系统、视频监控系统。针对自然灾害要制定相应的防范措施,以便在自然灾害发生时可以最大限度保护档案的安全。禁止在加工场所内吸烟,在加工工作台饮水、餐饮等。对于数字化加工场所要进行定期和不定期的检查,发现问题及时解决,防止各类档案安全事故的发生。
(4)要对档案数字化承建单位及人员有严格的安全保密要求。档案数字化工作的承建单位应该有特定资质,数字化承建单位要严格遵守《保密守则》和档案法律法规,严格按照数字化工作流程进行工作,确保数字化加工中档案原件和档案信息的安全。不得遗失、损坏档案原件。未经档案部门同意。不得擅自将档案原件和加工数据带离指定场所,凡因加工需要,档案或数据必须离开指定场所的,必须采取措施,确保档案原件和档案信息的安全。数字化承建单位对数字化工作人员要进行保密培训,并持证上岗。要制定数字化工作期间的人员安全管理制度、安全审查制度、岗位安全考核等制度,并要严格执行。严禁加工人员对档案原件及档案信息的私自复制。
(5)要采取各种行之有效的安全保密措施。在档案的“前处理”、“数字化”和“原档复原”等工作环节中可能要对档案进行拆卷、扫描、装订、放音、放像等处理,每一步都要采取必要的安全措施,以保证档案原件的安全,不能因为人为的原因造成档案原件的污染、破损、断裂甚至失窃等无法挽回的损失。
3 技术支撑平台的保障
搭建档案数字化工作的技术支撑平台。要根据档案数字化工作的实际情况,采用各种安全技术和安全手段,以确保档案信息的安全。技术支撑平台主要包括网络建设、硬件建设、存储备份方案、安全技术和防范手段等几个方面。
二、技术支撑平台的设计与搭建
1 网络建设
档案数字化加工网络必须采用物理隔离方式,打造封闭式档案数字化工作网络体系,该网络必须是封闭式独立网络,禁止与其他任何网络系统互联,并且该网络系统要严格按照保密部门的相关规定进行管理。
2 硬件建设
在硬件组成方面,重点考虑实现整个档案数字化工作所必需的设备及其性能,包括服务器、终端设备、存储设备、网络设备、各类输入设备等,整个系统的硬件组成及布置设计如下:
(1)服务器:在数字化所形成的数据量不大的情况下,服务器可用高性能微机代替,否则应配备专用服务器;
(2)终端设备:终端设备应采用可以控制各输出口,如USB口、打印口、软驱、可刻录光驱的瘦客户机或专用计算机;
(3)存储设备:若数字化所形成的数据量较大,则要购买专用存储设备,如磁盘阵列,否则可采用在服务器上加装硬盘的方式;
(4)网络设备:采用100M以上带宽的网络设备,用于数字化过程中各工序的信息传输和共享;
(5)输入设备:纸质档案数字化可采用专业高速扫描仪、彩色大幅面扫描仪、零边距高速平板彩色扫描仪等设备,录音录像档案数字化可采用专用音视频采集设备。
3 存储备份方案
要制定良好的存储备份方案,以切实保证数字档案信息的安全。存储备份方
案要遵循数据适度安全准则,综合考虑数据安全与长期保存读取、存储备份自动化程度、操作快捷有序、存储备份经济性等各种因素,采取网络在线存储备份,异地、异质备份等相结合的技术手段,并指定专人负责。
(1)纸质档案数字化一般采用黑白二值模式;对于页面为黑白两色,但字迹清晰度差或带有插图的档案,以及页面为多色文字的档案,可采用灰度模式;对于页面中有红头、印章或插有黑白照片、彩色照片、彩色插图的档案,可视需要采用彩色模式。扫描分辨率要求一般在200DPI以上。数字化后所形成的图像文件,一般采用TIFF(G4)格式存储。存储时的压缩率的选择,应在保证图像清晰可读的前提下,尽量减小存储容量为准则。
(2)照片档案数字化时,彩色照片宜采用“RGB”模式,黑白照片宜采用“灰度”模式。分辨率一般应不低于600dpi。数字化后所形成的图像文件,一般采用TIFF格式存储,采用LZWN式压缩。
(3)录音带数字化时应选用44.1kHz,16bit来进行立体声采样。数字化后存储格式应为WAV或MP3。录像带数字化时数据传输率应不低于4Mb/s,采用MPEG2压缩存储标准。
4 安全技术
要采用入侵检测、操作系统安全内核技术,病毒防范等技术和内网安全审计管理技术加强档案信息的安全。
(1)启用人侵检测和访问控制的联动服务,对计算机和网络资源的恶意使用行为进行识别和响应处理,以帮助系统对付网络攻击,扩展系统管理员的安全管理能力。
(2)采取操作系统安全内核技术,把系统内核中可能引起安全性问题的部分从内核中剔除出去,提高系统的安全性。
(3)采取病毒防范技术,建立网络化的病毒防范体系,实现病毒库的同步升级,做到无漏洞运行,提高档案信息的安全性。
(4)采用内网安全审计管理技术,将用户终端所有信息输出口封闭,在网络内只允许数据由终端向服务器进行的单向传输,杜绝随意拷贝、复制档案信息的可能。
