前言:中文期刊网精心挑选了加强信息安全管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
加强信息安全管理范文1
关键词:校园 网络 文化 管理
网络成为了高校师生获取知识、进行交流的重要渠道,并对广大师生的学习、生活乃至思想观念产生深刻的影响。同时,网上良莠不齐的信息增加了青年学生辨别真伪的难度,容易产生某些思想的混乱,影响高校和社会的稳定。加强学校网络文化建设与管理,净化网络育人环境,非常之必要。目前,很多高校开办了自己的官方网站。高校对外网站是学校对外宣传、开展教科研活动、进行教学交流、呈现学校资源的网络平台,是展示学院形象和学校教育的重要窗口。学院主页及部门网页的内容和编辑不仅反映了学校的水平和形象,也将影响到学校的招生、就业,科研项目的争取等关系发展的重大事项。利用好、建设好、管理好校园网站,是高校网络文化建设的主要途径之一。要把校园网站建设成为传播主旋律的主渠道,信息安全是第一要务,主要就是要加强制度建设和信息员队伍的建设。
1 制定严格的对外网站信息管理办法
高校加强对外网站管理的制度建设的核心内容是制定严格的《网站信息管理办法》,主要应包含以下规定:①网站信息的必须遵守国际、国内有关法律的规定。不得与宪法和法律相悖、危害国家安全和利益的、宣扬封建迷信、侮辱诽谤他人的、破坏学校安定团结、有损学校形象等有关法律、法规禁止的信息内容。②高校网站信息的管理部门是党委宣传部,各系部也要成立部门的网站管理小组,配备部门的网站信息员。网站信息员名单需报学校备案。③网上信息采取责任追究制度,信息工作坚持“谁谁负责”的原则,网站信息员对本部门网站信息的安全性、准确性负责。登录密码和帐号一般应由网站信息工作小组组长和信息员掌握,不得向他人泄漏。④学校党委宣传部负责学校外网主页内容的审查和更新,负责各部门网页内容的审查和备案,负责校园网络信息安全的监控、负责校园网络突发事件的预防和处理、网络舆论情报的搜集与反馈等。⑤各系、各部门定期在校园网上充实更新部门网页,充分利用网站宣传学校,提升学校的知名度和美誉度。各部门的信息内容必须由网站信息小组组长确认,并交学校党委宣传部审核、备案后方可。⑥任何部门未经申请同意,不得私设部门网站,各种信息,更不准将个人网站链接到学校网站。
2 高度重视网站信息员队伍建设
建立一支高素质的网站信息员队伍是用积极、健康的思想文化占领网络阵地、进一步净化校园网络环境的重要手段,也是加快和谐校园建设的一项重要任务。
2.1 信息员的选任条件和要求 ①具有较高的思想政治素质,有较强的政治敏感性和政治鉴别力,能较好地把握正确的舆论导向,有较高的政策理论水平,具有一定的思想政治工作经验或学生教育管理经验。②了解掌握高等教育法律法规,熟悉高等教育政策和学校的基本情况,具有较强的工作责任心,富有社会责任感、正义感,热心服务高等教育的改革和发展。③熟悉网络基本操作技术,了解网络传播特点和规律,善于运用网络语言,知识面广,有较强的文字功底。
2.2 信息员的职责义务 努力充分挖掘本系部信息题材,弘扬本系部正面舆论,利用学校网站传播平台和技术支持,把校园网建设成为立德树人的新阵地,师生精神文化活动的新空间,校园文化和服务的新平台。
①信息员要充分调动本系部教师、学生提供有价值信息线索的积极性,尤其是学生干部的积极性,对系部、师生中出现的新闻信息要及时报道,写成通讯发送到学校网站上。②信息员要及时关注关于学院和本系部的网上舆论信息。经常查询关于学校和本系部的网上评论,重大问题要及时向宣传部报告。③信息员要主动介入校园BBS和校外一些网站的交互式栏目(论坛、贴吧、说吧、留言板等),在网上就师生关注的热点问题、难点问题参与评论,积极跟帖。还可以通过创建贴吧,QQ群,播客、在论坛上发表文章等形式,用生动活泼的语言,塑造学校和各系部的正面形象。④对于突发事件,信息员要及时引导网上舆论,维护正面声音,最大程度消除各种负面影响,维护学校稳定。信息员要加强对学生思想动态和活动情况的调查了解,对校园网上表达正能量的信息,要予以保留和支持,加强正面引导力度。对未经证实的信息和各种制造恐慌、影响稳定的谣言,要认真核实、及时澄清、公开辟谣。⑤信息员要不断加强政治理论、高等教育法律法规、政策以及网络技术等方面的学习,努力提高理论素养、政策水平和业务水平,以高度的政治责任感和历史使命感,按照“加强网络文化建设和管理,营造良好网络环境”的要求努力创造文明健康、积极向上的校园网络文化。
2.3 加强信息员队伍建设的组织领导 要不断加强信息员队伍建设的组织领导。党委宣传部定期召开会议,听取网上舆情引导工作汇报,及时解决网络评论工作中出现的问题。党委宣传部负责信息员队伍的人员选拔、业务培训、工作考核、实绩奖励。不断完善网络信息员培训和学习机制,特别是要在如何有效地提高舆情引导能力,消除负面影响等方面加强培训,不断提高信息员政治业务素质、网上舆论引导能力和计算机网络应用水平。
参考文献:
[1]李欣.高校校园网络安全探索[J].中国现代教育装备,2007(01).
[2]龙冬阳.网络安全技术及应用[M].华南理工大学出版社,2006.
[3]黄昌富.网络不安全因素[J].信息网络安全.2004(08).
加强信息安全管理范文2
关键词:信息网络;安全问题;安全缺陷;原因分析;
中图分类号: TU714 文献标识码: A
前言:
近年来,随着信息技术的发展,现如今信息网络已经成为了人们工作和生活也是不可缺少的一部分,人们对于信息网络系统的需求和以来的程度也在不断的增加。但是随之增加的就是信息网络安全也得到了一定的威胁,计算机病毒无处不在,黑客的侵入、Internet的开放性及其其他的原因导致网络环境之下的计算机系统存在着很多的安全隐患,不论是外部还是内部的信息网络都遇到了众多网络安全问题的威胁。因此,分析影响信息网络安全的原因,提出保障信息网络安全的相关对策变得十分重要。
1、信息网络常见安全问题
1.1 自然灾害
和一般的电子系统一样,信息网络喜用也是一种电子线路,信息网络实际上就是一种电信号,温度、湿度、振动和污染等各个方面的异常因素都有可能会影响网络的正常运行。例如:网络中心若无较为完善的防震、防火、防水、避雷、防电磁泄漏或干扰等设施,抵御自然灾害和意外事故的能力就会很差;强烈噪音和电磁辐射,譬如雷电、高压输电等,也会导致网络信噪比下降,误码率增加,威胁到信息网络安全。
1.2 网络管理人员的安全意识不够强
当前,我国计算机网络系统的安全管理人员是整个网络系统安全管理工作的主要执行者与参与者,他们能否做好计算机网络信息安全管理工作,是直接关系到网络信息安全与否的关键因素之一。但是,就目前来看,我国计算机网络人员的安全意识并不是很强烈,其安全技能并不够高,职业素养整体上来说较低,对于网络信息的安全性与有可能造成的危害或损失都缺乏一定的认识,并没有能够真正做到面临安全威胁时采取及时的补救措施。此外,还有由于用户操作失误,人为恶意攻击,计算机病毒,计算机犯罪,间谍软件以及垃圾邮件等造成
的威胁。
1.3 病毒攻击
计算机病毒属于一种恶意指令和破坏代码,病毒编制人员将计算机病毒插入到计算机程序中,目的是破坏计算机内部存储的数据并导致数据泄露,严重的会导致计算机硬件也被破坏。具有自我复制性、寄生性、潜伏性、破坏性和触发性。病毒的传播途径非常广泛,但主要途径为程序复制、程序在运行过程中传播、计算机数据包收发产生。
1.4 黑客攻击
黑客攻击一般情况就是分为网络侦查和网络攻击两种,网络侦查就是指黑客以某个或者某些计算机为攻击的目标,然后截取和窃取目标计算机的重要信息,所以这种黑客攻击并不会影响正常的网络工作;网络攻击则是指黑客使用各种手段选择性的攻击计算机网络信息的有效性,导致网络信息安全大量泄漏和数据丢失。
1.5 邮件攻击
电子邮件炸弹是最古老的一种攻击的方式,通过设置一台及其而不断的向同一个地址发送电子邮件,攻击的人可以耗尽接受人员的网络,占据堆放的油箱空间,组织了用户对正常邮件的接受,妨碍了计算机的正常工作。
2、信息网络安全缺陷的原因分析
2.1 网络系统的脆弱性
Internet技术的最显著的有点就是具有开放性,其所依赖的TCP/IP 协议是公布于众的,它对网络的安全性考虑得并不多,本身安全性不高,因而运行该协议的网络系统就存在欺骗攻
击、拒绝服务、数据截取和数据篡改等威胁。如果人们对TCP/IP 协议很熟悉,就可以利用它的安全缺陷来实施信息网络攻击。
2.2 网络结构的不安全性
因特网是一种网间网技术,它主要就是由无数个局域网所连接而成的一个网络。当人们的一台主机和另一局域网的主机相互通信的时候,一般情况下他们之间相互传送的数据流主要可以经过多台机器进行转发,如果攻击的人员利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包,对信息网络的安全造成威胁。
2.3 人为的恶意攻击
这中攻击是当前计算机网络面临的最大的威胁,恶意攻击又可以分为主动攻击和被动攻击两种。主动攻击是以各种各样的方式有选择性的破坏信息的有效性和完整性。被动攻击是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。现在使用的网络软件或多或少存在一定的缺陷和漏洞,给网络黑客们以可趁之机修改和破坏信息网络的正常
使用状态,造成数据丢失或系统瘫痪。
3、信息网络安全防护策略
3.1 加强物理环境的建设和治理
要想全面保证信息网络系统的安全和可靠,那么就必须要全面保证系统有个安全的物理环境的条件。信息系统的安全环境条件主要包括温度、湿度、振动、冲击和电气干扰等各个方面,具有很具体的要求和严格的标准。因此,为信息系统选择一个合适的安装场所具有重要的意义,它直接影响到系统的安全和可靠性。选择机房场地要注意其外部环境的安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。
3.2 对管理员的账户进行更换
计算机系统内的管理员的账户拥有的权限是最高的,如果账户被人盗取或者利用,那么造成的结果就是很难以控制的。当黑客侵入的时候通常是盗取管理人员的账户秘密,这就要求计算机用户要及时的配置管理人员的账号。对于管理人员来说,可以设备一个相对于复杂的密码,然后在对管理人员的账号进行重命名,然后再创建一个没有实际权限的账户来迷惑入侵者,这样入侵者就很难辨认出到底哪个是真正的管理者账户,这就就会大大降低网络信息被窃取的可能性。
3.3 网络防火墙
防火墙可以控制网络之间的访问量,防火墙的工作内容就是监控并且审计网络存取及访问;过滤一些不安全的信息,合理的划分整个网络资源,以隔离内部网络的重要网段从而避免个别不安全因素对整个网络的影响。它能够控制外部网络对内部网络的访问和内部网络访问外部网络时可能触及的不安全信息实施控制。
3.4 建立系统容灾体系
一个完整的信息网络安全体系,还必须要具有灾难容忍和系统恢复的能力。现阶段来说,主要有基于数据备份和基于系统容错的系统容灾技术。数据容灾通过IP 容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关
键数据。二者通过IP 相连,构成完整的数据容灾系统,也能提供数据库容灾功能。
3.5 实施入侵检测和网络监控
应用入侵检测系统的时候可以提供实时的入侵的检测。实时入侵检测能力指所以重要是因为首先它能够对付来自于内外网络的供给,其次它能够有效的减少黑客入侵的时间。如果在需要保护的主机网段上安装入侵检测的系统,那么就可以实时监视各种对于主机的访问请求并及时将信息反馈给控制台,这样网内任何一台主机受到攻击时系统都可以及时发现。
4、结束语
信息网络安全是一个不断变化快速更新的领域。随着信息技术的不断发展,过去有效的信息网络安全策略很有可能对当前的问题没有任何的解决的措施,这就一味着单纯的使用某一种防护措施是很难以保证信息网络安全。因此,我们必须要综合运用各种防护的策略,相互配合,通过不断的改进和学习来努力营造安全的网络环境,逐步建立起更好的信息网络安全防
护体系。
参考文献:
[1]邢露,张棋. 计算机网络信息安全与病毒防治[J]. 河南科技,2011,(1):63.
[2]孙丽玲,唐杰,段义勇. 信息网络安全及防护策略浅谈[J]. 网络安全技术与应用,2014,01:152-153.
加强信息安全管理范文3
移动网络信息的安全管理涉及到的内容比较多,在移动网络对人们的工作生活带来方便的同时,一些网络信息安全问题也逐渐的突出。构建完善化的移动网络信息的安全体系,保障移动网络信息的安全性,是当前移动网络企业发展的重要目标。通过从理论层面加强移动网络信息安全的管理研究,就能有助于从理论层面提供移动网络信息安全的支持。
1 移动网络信息安全管理的特征体现以及主要内容
1.1 移动网络信息安全管理的特征体现分析
移动网络信息的安全管理过程中,有着鲜明特征体现,其中在网络信息安全管理的动态化特征山比较突出。在信息网络的不断发展过程中,对信息安全管理的动态化实施就比较重要。由于网络的更新换代比较快,这就必须在信息安全管理上形成动态化的管理。
移动网络信息安全管理的相对化特征上也比较突出,对移动网络的信息安全管理没有绝对可靠的安全管理措施。通过相应的方法手段应用,能有助于对移动网络的信息安全管理的效率提高,在保障性方面能加强,但是不能完善保障信息的安全性。所以在信息安全管理的相对性特征上比较突出。
另外,移动网络信息的安全管理天然化以及周期性的特征上也比较突出。移动网络的系统应用中并不是完美的,在受到多方面因素的影响下,就会存在着自然灾害以及错误操作的因素影响,这就对信息安全的管理有着很大威胁。需要对移动网络系统做好更新管理的准备,保障管理工作能够顺利进行。在对系统建设的工作实施上有着周期化特征。
1.2 移动网络信息安全管理的主要内容分析
加强对移动网络信息的安全管理,就要能充分重视其内容的良好保证,在信息的安全保障上主要涉及到管理方法以及技术应用和法律规范这三个内容。在对移动网络信息的安全管理中,需要员工在信息安全的意识上能加强,在信息安全管理的水平上要能有效提高,在对风险抵御的能力上不断加强。将移动网络信息安全管理的基础性工作能得以有效加强,在服务水平上能有效提高。然后在对移动网络信息安全的管理体系方面进行有效优化,在信息安全管理能力上进行有效提高,对风险评估的工作能妥善实施,这些都是网络信息安全管理的重要内容。
2 移动网络信息安全管理问题和应对策略
2.1 移动网络信息安全管理问题分析
移动网络信息安全管理工作中,会遇到各种各样的问题,网络的自主核心技术的缺乏,就会带来黑客的攻击问题。我国在移动网络的建设过程中,由于在自主核心技术方面比较缺乏,在网络应用的软硬件等都是进口的,所以在系统中就会存在着一些漏洞。黑客会利用这些系统漏洞对网络发起攻击,在信息安全方面受到很大的威胁。
再者,移动网络的开放性特征,也使得在具体的网络应用过程中,在网系的渗透攻击问题比较突出。在网络技术标准以及平台的应用下,由于网络渗透因素的影响,就比较容易出现黑客攻击以及恶意软件的攻击等问题,这就对移动网络信息的安全性带来很大威胁。具体的移动网络物理管理和环境的安全管理工作上没有明确职责,在运营管理方面没有加强,对网络访问控制方面没有加强。以及在网络系统的开发维护方面还存在着诸多安全风险。
2.2 移动网络信息安全管理优化策略
加强移动网络信息安全管理,就要能充分重视从技术层面进行加强和完善。移动网络企业要走自力更生和研发的道路,在移动网络的核心技术以及系统的研发进程上要能加强。对移动网络信息的安全隐患方面要能及时性的消除,将移动网络安全防护的能力有效提高。还要能充分重视对移动网络安全风险的评估妥善实施,构建有效完善的信息系统安全风险评估制度,对潜在的安全威胁加强防御。
再者,对移动网络安全监测预警机制要完善建立。保障移动网络信息的安全性,就要能注重对移动网络信息流量以及用户操作和软硬件设备的实时监测。在出现异常的情况下能够及时性的警报。在具体的措施实施上来看,就要能充分重视漏洞扫描技术的应用,对移动网络系统中的软硬件漏洞及时性查找,结合实际的问题来探究针对性的解决方案。对病毒的监测技术加以应用,这就需要对杀毒软件以及防毒软件进行安装,对网络病毒及时性的查杀。
将入侵检测技术应用在移动网络信息安全管理中去。加强对入侵检测技术的应用,对可能存在安全隐患的文件进行扫描,及时性的防治安全文件和病毒的侵害。在内容检查工作上也要能有效实施,这就需要在网络信息流的内容上能及时性查杀,对发生泄密以及窃密等问题及时性的报警等。这样对移动网络信息的安全性保障也有着积极作用。
另外,为能保障移动网络信息的安全性,就要充分注重移动网络应急机制的完善建立,对网络灾难恢复方案完善制定。在网络遭到了攻击后,能够及时性的分析原因,采取针对性的方法加以应对。这就需要能够部署IPS入侵防护系统进行应用,以及对运用蜜罐技术对移动网络信息安全进行保障。
3 结语
总而言之,对移动网络信息的安全性得以保障,就要充分注重多方面技术的应用以及管理方法的灵活应用。只有充分重视移动网络信息安全防护体系的构建,对实际的网络信息安全才能有效保障。通过此次的理论研究,希望能有助于从理论层面对移动网络信息安全保障提供支持。
作者简介
加强信息安全管理范文4
一、目前企业网络信息安全管理中存在的问题
目前各级供电企业对信息安全日趋重视,但主要侧重于防备外来未授权用户的非访问,并过于注重如防火墙、入侵检测等技术问题,忽略了信息安全中人的管理,造成了几个突出问题:
1、人员安全意识淡薄
由于系统的专业教育与培训不足,许多专业技术人员仍然抱着“防火墙等于安全”的侥幸心理,缺乏“防黑防毒”的意识和内部员工操作失误或恶意攻击的警惕性,对信息安全采取的防护措施非常简单。大多数信息系统使用员工对信息安全知识和技能掌握不够,认为信息安全只是技术部门的事,安全防护意识不强。
2、网络信息机构不健全
有些供电企业没有专门的信息技术运行机构或没有规范的建制和岗位,人员配置又偏少,而且信息系统架构的分散也导致人力资源不集中,信息战线拉得大长,几乎没有时间关注信息安全。由于IT技术发展很快,基层信息技术人员得不到相应的培训,难以对日新月异的IT技术中有关主机、操作系统、数据库、网络、存储、安全等方面作全面的了解和掌握,运行维护能力低下,系统安全监控不到位。
3、网络信息安全管理专业化程度不够
大多数基层供电公司缺乏专门的信息安全监督管理机构,或者没有配备专业的信息安全监督管理人员,或者只设兼职。由于缺乏信息安全管理专业知识和技能,对信息安全特殊性认识不足,难于发挥有效的信息安全监督管理,使信息安全管理工作处于一种似管非管或基本不管的真空状态。
4、管理制度滞后且执行不力
随着国网公司集中集成工作的展开和信息网络基础建设不断加强,原有的信息安全管理制度已相对滞后,而且有些制度不完全适合基层实际,个别条款操作性较差,难于执行,这就造成制度执行不力、有章不循、违规操作,这些都增加了信息安全风险。
二、加强企业网络信息安全管理的几点建议
1、加强全员网络信息安全意识教育
通过普及信息安全知识教育,提高企业员工网络信息安全知识和安全意识,掌握发现、解决某些常见安全问题的能力。信息安全教育的具体内容一般应包括以下内容:(1)信息安全所面临的风险;
(2)企业信息安全方针及目标;
(3)企业安全管理规章制度;
(4)与信息安全有关的其它内容。通过安全教育使所有员工增强整体信息系统的安全防护意识。
2、加强企业员工相应技能培训
为了确保企业员工在日常工作过程中具有保护企业信息安全方面的能力,应当加强对员工计算机安全技能培训,教育员工平时应做到所有操作应符合规定、不得向他人泄露自己的操作口令、不访问陌生的网站、不浏览或打开一些来历不明的邮件及附件、外来光盘、U盘等存储设备须先杀毒后使用、发现问题立即通知技术人员处理等基本的安全技能。
3、健全信息技术部门建设
根据需要合理配置信息技术人员,加强信息技术队伍建设,明确机房管理员、网络管理员、应用系统管理员、数据库管理员、防病毒管理员、运行维护员等岗位配置,重要岗位设置A、B岗,落实岗位职责具体到人。对技术人员应注重技术培训,可以定期或不定期参加各种针对性的技术培训,增强技术储备力度。
4、加强信息安全规章制度建设
建立健全适应企业实际的安全管理制度是信息安全管理的前提。标准化的安全管理,能够克服传统管理中个人的主观意志驱动的管理模式。应在对企业信息安全评估下,根据单位实际情况,遵照上级有关规定,制定出切实可行、全面的安全管理制度。如:保密制度、机房管理制度、网络运行管理制度、应用系统运行管理制度、设备维护工作制度、值班制度、计算机系统使用规范等,管理制度应明确描述所有信息技术人员以及信息系统使用人员的信息安全职责和信息系统日常使用规范,规范信息系统操作流程,减少人为失误。
5、建立安全监督保证体系
成立安全领导小组,由分管领导抓信息安全工作,并设置一个独立于信息技术部门的信息安全管理监督部门作为企业的信息安全日常管理机构,根据信息系统安全需要设定安全事务的职位,负责企业范围内信息安全监督管理工作。各部门应配备计算机技能较强的信息安全专兼职人员,负责所在部门信息安全制度的落实和执行,形成良好的信息安全监督保证体系。
6、加强信息安全考核力度
加强信息安全管理范文5
关键词:政府门户网站 信息安全 对策研究 福建省
一、引言
《2006-2020年国家信息化发展战略》提出,“到2020年我国信息安全的长效机制基本形成,国家信息安全保障体系较为完善,信息安全保障能力显著增强”。政府门户网站是政府部门在国际互联网上建立的信息、办公互动、数据交换的窗口,是政务公开的载体和舞台,也是政府与社会、企业、民众沟通的桥梁。通过政府门户网站,公众可以便捷地获取政府信息和服务,使得公众与政府关系简单化。由于互联网是个开放的网络,政府网站的信息一天24小时都在被查询、阅读、下载或转载。如果没有可靠的信息安全体系和有效的事件响应能力,那么一旦网页被篡改或网站被中断,将直接干扰、破坏政府履职,损害政府的形象,败坏公众对政府的信任,后果不堪设想。根据有关资料显示,2005年,我国90%以上的政府网站存在安全漏洞,很多网站都曾受到过不同程度的黑客攻击和计算机病毒的侵害,给国家造成了较大的损失。因此,信息安全问题是政府门户网站建设的一项重要内容,必须综合运用多种策略和手段建设政府门户网站安全保障体系。
二、政府门户网站信息安全存在的主要问题
安全管理认识存在偏差以及缺乏有效组织规划培训和相应法律制度支持,是当前福建省各级政府门户网站信息安全建设中存在的最主要问题,主要表现有以下几个方面:
一是重系统建设轻安全管理。由于受到传统的政府绩效评价和考核体制的影响,各级政府信息主管部门往往认为“安全”只是保障“业务应用”的一种手段,只重视网站信息系统的建设,轻视相应的信息系统安全建设和管理。
二是重消极应对轻主动预案。在政府门户网站安全管理中,很多情况是等出了问题,才匆忙借助经验和应变能力去处理突发安全事件,缺乏应急预案的制定和按照应急预案进行处理的观念。
三是缺乏整体安全意识。谈及信息安全,很多管理者认为安全就是防火墙、入侵检测、身份认证等技术措施,没有真正意识到安全是一个包括理念、技术、制度、人才等各方面缺一不可的整体。
四是缺乏及时有效培训。信息化安全技术日新月异,网络攻击手段也日趋多样化,各级网站主管部门对安全管理人员缺乏及时有效培训,无法保证网站信息安全。
五是缺乏统一信息安全技术标准与规范。不同层次、不同部门的网站信息安全建设各自为政,没有进行有效的组织和规划,使用的安全技术五花八门。这样不仅造成了资源的严重浪费和低效率,也给网站信息安全带来各种各样的隐患。
六是缺乏相应的法律和制度的支持。政府作为信息的所有者,其权利范围和内容较为模糊,相关网站信息安全的法律和制度较为薄弱,法律上缺乏相应的保护。
三、政府门户网站信息安全存在问题的原因分析
1.管理体制未理顺
政府系统缺乏专门的电子政务信息安全的领导体制、研究机构和相应政策措施的落实机制,尽管在中央一级设有领导小组以及专家咨询委员会,但在地方由于“条块”职责不清、管理多头的实际状况,直接影响对电子政务安全的重视程度和贯彻落实相应信息安全政策措施的力度。
2.运行机制未健全
信息安全保障的运行机制不健全表现在电子政务信息安全的地位与其重要程度不相称,电子政务信息安全在政府发展任务的地位上,远不及经济、社会、文化等其他方面;在资金、人力等方面的投入得不到更好的保障;与信息安全相关的政策法规、技术标准与规范的制定落后于实际发展的需要。
3.技术与实际安全需求存在差距
技术是确保信息安全的重要因素,由于技术本身的局限性和推广应用程度不够,使技术与实际安全需求存在差距。技术不能完全保证安全,安全更不可能完全依赖技术。我国目前的电子政务安全保障技术本身并不发达,福建省在电子政务安全技术、产品推广应用方面的重视程度不高、力度不强。
4.过分强调安全技术的重要性
认为信息安全是技术问题,依靠相应的技术就能防范。实际上国内外许多信息安全事故都是人为造成的,三分靠技术,七分靠管理,要防止此类事故的发生,必须从建立和完善信息安全管理体系入手。
四、加强政府门户网站信息安全的对策建议
网络安全不仅是一个技术问题,要从法规、管理和技术三方面来统筹保障政府门户网站信息安全。在法制上,加强网络和信息安全管理等方面的立法工作,为政府门户网站的建设、运行、维护和管理提供法律保障,构筑促进国家信息化发展的社会环境;在管理上,从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面保障政府门户网站正常安全运行;在技术上,采用多种防范、监控等先进的技术手段,制定各种应急措施,保证政府门户网站安全可靠地运行。
⒈加强政府门户网站信息安全法规与制度建设
一是加强信息安全管理等方面的立法工作。国家及省都有加强网站建设方面的相关政策,但还没从立法的角度予以确认和强化,应从“电子政府”建设的高度,制定相应的法规,为包括政府门户网站在内的电子政务网络与系统的建设、运行、维护和管理提供法律保障。
二是加强网络和信息安全管理等方面的制度建设。用管理手段来弥补技术落后问题,本着“堵漏、补缺、管用”的原则,采用整体思路,加强管理,切实从机关内部堵塞漏洞,在若干不够安全的技术环节的基础上,形成一个相对安全的整体。在加强信息安全防护能力的同时,重视隐患发现、网络应急反应、信息对抗等管理能力的提高。
⒉建立健全政府门户网站信息安全管理体系
一是明确技术管理规范。面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。具体包括:非、网机器不允许混用;非网机器不允许运行信息,网机器不允许上非网;严格按照安全等级、安全域划分,制定相应的安全保密制度;不同安全域、安全等级之间的信息必须通过安全交换系统方可交流。只有所有接入网络的设备都安全,整个网络的安全才能得到保证。
二是明确相关人员的职责。强调以人为本,把网站安全纳入一个人人有责、层层负责、由第一责任人负总责的安全管理体制之中。主管领导负责安全体系的建设实施,在安全实施过程中取得相关部门的配合,领导整个部门不断提高系统的安全等级;网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略;安全操作员负责安全系统的具体实施;信息编辑人员负责信息采集、编辑和审核工作,确保所信息的完整性、一致性、权威性和准确性。另外,还应建立安全专家小组,负责安全问题的重大决策。
三是建立应急响应机制。从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面建立应急响应机制,以保障政府门户网站正常安全运行。
四是建立信息安全检查监督和激励机制。依据已确立的技术法规、标准与制度,定期开展信息安全检查工作,确保信息安全保障工作落到实处;建立责任通报制度,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改;建立良好的激励机制,从人才引进、培养的渐进性和连续性上优化人员结构,形成梯队,重点加强系统运行人员技能的培养力度,不断增强自我运行操作能力与应急能力。
五是做好政府门户网站信息安全培训工作。政府门户网站的运行维护,需要一支具有较高的政治素质和职业道德水准,既懂业务又懂技术的队伍。建立完善技术培训体系,使之更贴近实际业务、贴近技术前沿,提高各类人员的安全理论实践水平和安全意识。只有让每一位员工都成为安全卫士,才能实现真正意义上的全方位的安全防范。
六是合理安排信息安全建设资金。在电子政务信息项目建设上,要在项目建设前期就安排相应比例的资金用于信息安全的建设;切实落实国家信息安全建设的有关规定,保证信息安全建设资金足额到位。
七是加强信息安全设施建设。联合公安等部门,加强网络监管中心、测评认证中心、应急处理中心、病毒防治中心、数字证书认证中心等信息安全基础设施建设。
⒊积极完善政府门户网站信息安全技术防范手段
2007年9月,福建省为加强政府类互联网站的安全管理,确保网站健康有序发展,下发了《福建省人民政府办公厅关于加强我省政府类互联网站安全管理的通知》(闽政办〔2007〕182号),要求各级各单位建立健全网站安全管理制度,并贯彻落实网站安全技术措施。笔者根据实践提出以下建议:
一是加强电子政务网络的总体规划和统一建设,避免多头建设和重复建设,保证网络整体性,避免网络架构缺陷引起的安全问题。
二是统一信息安全技术标准与规范,各级政府门户网站信息安全建设都应按照这个标准和规范进行实施,以确保信息整体安全。
三是加强信息资源安全等级标准的规划和建设,明确不同信息的服务对象和公开范围。既要避免出现保密过度,限制政务信息化应用的推广和发展的情况,又要避免保密不够,造成电子政务信息泄密情况的发生。在确保信息安全的基础上,最大限度地保证信息共享。
四是在信息安全方面,既要考虑省、市级政府的信息服务对象着重于政府部门和相关的领导等的特点,又要考虑到县、区级政府及相关部门的信息服务对象着重于群众或居民的特点。
五是在技术手段上,要统筹好网络被动防御和网络主动防御的关系,确保信息的安全。网络被动防御方面可以采取防火墙、入侵检测、防病毒等技术;网络主动防御方面可以采取漏洞扫描、补丁升级和自动分发、网页防篡改、容灾备份等技术。
五、结束语
综上所述,加强政府门户网站的信息安全,必须做好信息安全的法规制度建设、建立健全安全管理体系、积极完善安全技术防范手段等三方面的工作。同时,还要处理好信息安全与网站发展辩证统一的关系:安全是前提保证,发展是最终目的,要在发展过程中确保安全,在确保安全的条件下加快发展,使政府门户网站充满生机与活力,并充分发挥其应有的社会效益,为海峡西岸经济区建设做出积极的贡献。
作者简介:
加强信息安全管理范文6
【关键词】电力企业信息安全管理;组织管理;失误因素
1 电力企业信息安全管理中组织管理失误的分析方法
电力企业信息安全管理中的组织管理失误分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通过CREAM的应用,可以将失误事件的外在表现形式称为失效模式,并且将引起这些失误事件的直接原因定义为前因。实践中,前因可分为具体的前因、一般性前因,CREAM分析法是以失效模式作为出发点。首先,通过分析失效模式的一般前因、具体前因,得到失效模式前因表,在表中选定一个前因作为后果,然后分析引起这一后果的可能前因,最终得到包含这一后果、可能的前因追溯表;再以该可能前因为后果,分析可能的前因,通过连续不断的寻找,最终找到引起事件失误的根本原因。
2 在电力电力企业信息组织管理过程中,开展多项管控措施、分三步走
第一步,从思想上加强重视。实践中,应当认真学习贯彻违规外联、外网邮箱发送的要求,严格按照“业务工作谁主管,保密工作谁负责”以及“统一领导、分级负责”的原则,将信息安全保密职责有效地落实到人,让每个员工熟悉、掌握保密工作的基本要求和规范。
第二步,深入检查,全面整改。实践中,应当严格按照检查内容检查,一定不能留死角、搞形式。在检查中发现的问题,要立即纠正,认真整改,对存在严重问题的单位要监督整改,并组织复查;发生泄密、违规问题时,一定要严肃查处,必要时还要追究责任人的责任。
第三步,严格管理,务求实效。要进一步落实保密工作责任制,坚持标本兼治、系统治理,把检查活动与日常保密工作安排结合起来,边检查边整改,以查促管、以查促改、以查促教、以查促防,确保检查取得实效。
3 电力企业信息系统安全管理的必要性
电力企业信息系统安全管理,是企业在一定范围内建立起来的信息安全目标和方针,并通过努力完成目标。对于电力企业信息安全管理而言,可表示为方法、目的、基本原则和实施过程等要素集合,作为直接的信息安全管理结果。2014年8月,某技术质管部专责高某通过电子邮箱将创新成果--《电力设计企业基于桌面云技术的信息》以附件形式经压缩、更名后在没有经过加密的情况下,发送到某部门专家评审组;由于附件内容出现“保密”等敏感词,该邮件被公司外网邮件拦截系统拦截。经现场查实,邮件均不涉商业秘密,但违反了“工作邮件只限于公司内网邮箱发送”规定。由此可见,电力企业信息系统安全管理工作非常重要,也非常有必要。通常情况下,电力企业信息安全管理工作主要包括制定信息安全管理的策略,合理、科学的对电力企业信息安全工作进行组织管理,具有非常重要的作用。电力企业应当提高全体员工的信息安全意识,加强电力电力企业信息内外网安全管理。第一,内、外网电脑都必须安装三种软件,即北信源、天以及趋势杀毒。软件有内、外网版本之别,而且客户端也不同;第二,遵守专机、专网之规定,内网电脑不能与外网相连接,外网电脑不能连接内网,家用电脑不能接入内网使用,尤其是来历不明、使用背景不明的电脑,一律禁止接入内网系统。
4 电力企业信息安全管理中组织管理常见失误
近年来,随着市场经济体制改革的不断深化,虽然电力企业信息安全管理水平有了很大程度的提升,但电力企业信息安全管理过程中依然存在着一些问题与不足,总结之,主要表现在以下几个方面:
第一,信息安全措施和技术手段不成熟。对于大多数企业而言,在信息系统建设过程中欠缺完善的安全手段和措施,严重影响了安全措施的制定与执行。
第二,电力企业信息安全风险控制不到位。实践中可以看到,很多企业在信息化规划与建设过程中,对信息安全的前期分析比较欠缺,将分析对象主要集中在技术层面研究上,很难有效解决企业安全信息系统操作失误、缺陷与不足等安全问题。
第三,信息安全意识不强,缺乏有效的安全管理机制。对于部分企业领导层而言,对信息安全的重视不够,对潜在的各种风险和安全隐患问题分析不到位。
5 电力企业信息安全管理体现构建的有效策略
基于以上对当前企业安全管理中的问题分析,笔者认为要想减少和控制电力企业信息安全管理中组织管理失误现象, 应当根据企业实际生产运营状况,以IS027001信息安全管理体系标准为基础,从组织、技术、管理以及运行和监督这等方面入手,对现有的信息安全管理架构进行改进和完善,增加运行、监督环节。
5.1 提高对电力企业信息安全的认知度
针对企业员工对信息安全知识掌握不足的现状和问题,通过宣传、教育和培训等方法,提高企业全体员工对信息安全的认知度。首先,加强信息安全宣传教育。电力企业信息安全宣传的目的在于让全体员工清楚地认识到信息安全管理工作的重要性,了解信息安全管理目标,以此来提高企业员工的信息安全管理意识。
5.2 建立健全信息安全审计机制
内部审计是对电力企业信息安全管理体系建设与实施情况的评价,定期组织审计活动,以此来促进安全管理体系的改进与完善。企业的信息安全政策、规范制度是信息安全管理工作得以有效开展的重要依据,因此审计工作的主要内容是检验信息安全标准的符合性、执行情况。在审计过程中,主要包括如下内容,即检验是否按照要求制定规章制度、执行细则;检验员工对的规章制度执行状况,对审计结果的整改落实情况进行核查;同时,还要对信息安全控制措施的应用效果进行全面检查,确保评估的有效性。
5.3 建立和完善信息安全风险管理制度
信息安全风险,即威胁利用系统弱点对相关信息资产造成破坏、损失的可能性,信息系统安全与否,主要取决于其风险是否己在现有措施条件下实现了最小化,而非绝对没有风险。
