信息安全管理范文1
关键词:信息安全;高等院校;管理策略;形势分析
1信息安全形势分析
随着环境的不断恶化,我国信息安全环境发生了较大变化。网络空间进入以网络扩军热为代表的“后黑客时代”,有组织的网络犯罪持续升高,针对重要信息系统的攻击持续发生,关键信息基础设施安全威胁日益加剧,云计算和大数据等新技术应用带来新风险,国家意识形态安全受到新冲击。近几年,中共中央高度重视信息安全工作,加紧制定信息安全战略体系。2014年2月中央网络安全和信息化领导小组成立,提出“没有网络安全就没有国家安全”。2015年8月通过的《刑法修正案(九)》对网络服务提供者增加了刑事责任的规定。2017年6月《网络安全法》正式实施,明确网络空间主权、网络空间命运共同体等内容。至此,我国的信息安全战略地位空前提高。而教育行业的信息安全未能随信息化进程的不断加快而同步发展,安全事件频发。对安全事件进行不完全分析,可分为如下几类:(1)师生基础数据泄露;(2)学位、学历信息遭篡改;(3)考试成绩、高考志愿、招生录取信息遭篡改;(4)网站遭篡改、贴反动标语:2016年国外反动黑客组织攻击教育行业信息系统21次。(5)系统遭DDOS攻击;(6)APT攻击等。目前我国已有教育机构约50万所,学生总数达到约2.6亿人,教师总数约1800万人,.edu.cn域名网站约45万个,涉及到的人员数据约3.8亿人次,发生安全事件后其传播速度、关注度和影响力都难以估量。教育部于2014年指定“科技司”为信息技术安全工作的分管部门,明确责任部门,密集信息安全指导意见,部分文件有:教技[2014]4号《关于加强教育行业网络与信息安全工作的指导意见》、教技[2015]2号《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》、教技厅函[2016]32号《关于启动信息系统安全监测的通知》、教技厅[2017]3号《教育行业网络安全综合治理行动方案》,以加强教育行业的信息安全。
2高校信息安全的管理隐患
高校是教育行业中融合教学、科研、社会服务、文化传承的高等学府,需格外重视信息安全管理工作,目前仍存在顶层设计忽视、网站和漏洞管理混乱、人才缺乏和安全意识缺失等方面的问题。(1)顶层设计忽视安全管理。高校在信息化建设飞速发展时,未能从顶层设计上做到信息安全与信息化建设“同步规划、同步建设、同步运行”,信息安全被放到次要位置。[1]或过分依赖软硬件技术,忽视信息安全管理,安全防护缺乏统筹安排。(2)网站和漏洞管理混乱。未能意识网站集中建设的重要性,存在二级单位自建网站,服务器托管在校外等的情况,这种网站存在对外开放却无人问津,有高危漏洞却无人修复,出现问题却无人响应的重大隐患。多数高校仍处于以安全漏洞和安全事件中心的被动局面,缺少主动的漏洞管理流程。(3)安全管理制度缺失。在信息安全的组织架构建设、制度体系建设、等级保护等方面的工作落实不够,虽然针对校园网、机房安全、二级网站等内容制定了管理条例,但存在未成体系化,修订不及时等问题。未能将等级保护纳入信息安全管理制度中。(4)人才缺失和安全意识缺乏。目前国内专业人才培养仍处于起步阶段,高校在引进专业人才上存在一定的困难,而且对从业人员又缺少专业的教育和培训。一些高校师生对信息安全的重要性及对信息安全事件造成的危害认识不足,未能树立正确的网络安全观。
3高校的信息安全管理策略
2016年04月,在网络安全和信息化工作座谈会上提出:面对复杂严峻的网络安全形势,需树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。[2]这为高校在新形势下制定有效的信息安全管理策略提供较好的方向指引。据此提出如下策略:
3.1加强信息安全的顶层设计
学校领导层需认清网络安全和信息化的关系是一体之两翼,必须协调一致、齐头并进,将信息安全建设工作纳入学校长远规划;认清长期的安全持续管理和服务重于一次性的安全产品投入,从顶层设计上形成完整的安全保障体系。在组织架构上,可借鉴美国高校的首席信息官(ChiefInformationOffice,CIO)体制[3],成立校级层面的信息安全管理机构,通过统筹协调、宏观规划推动高校信息安全工作开展。
3.2有效治理网站乱象
对外开放的网站是存在信息安全威胁的主体。为加强对网站乱象的有效治理,建立网站群平台,制定全校二级网站集中管理的体系;定期在学校范围内对网站进行“地毯式”排查,杜绝非学校域名且非学校IP的“两非网站”存在,对存在安全隐患长期不修复、运维停止更新服务、已完成工作使命且无继续使用必要的僵尸网站进行清理,及时消除安全隐患。
3.3漏洞管理流程
建立规范、闭环的安全漏洞管理流程能有效增强高校的安全防御能力,流程中应包括漏洞发现、处置、整改、结果验证等环节[4]。在漏洞发现上,高校信息化部门需指派安全管理员对全校信息系统定期进行漏洞扫描,并随时跟踪安全漏洞平台获得有关漏洞动态。在处置和整改上,安全管理员先对发现的漏洞进行验证,排除误报,再对漏洞的危险等级进行分析评判。若为中高危漏洞,应立即关闭该信息系统的对外访问,根据备案情况,将漏洞情况反馈给系统的责任部门进行限期整改;若为低危,限期整改,若未限期整改完则关闭其对外访问。在结果验证上,信息化部门在收到责任部门的整改完成信息后,对整改结果进行检验,对通过检验的恢复正常运行,未通过检验的则需继续整改直到验证通过。
3.4制定系统的信息安全管理制度
可参照《信息系统安全管理要求》等标准要求,建立岗位和人员管理制度,确定安全管理策略,落实安全管理措施,形成高效、系统、完整的信息安全管理体系。管理措施需需包括人员安全管理、系统运维管理、系统建设管理。系统运维管理可包括环境和资产安全管理、设备和介质安全管理、日常运行维护、集中安全管理、事件处置与应急响应、灾难备份、安全监测等。《网络安全法》明确规定,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。因此,高校需建立等级保护制度和程序,补齐等保短板,增强信息安全防护能力。对于已上线信息系统,应尽快完成等级保护定级备案和测评工作,对照标准深入查找薄弱环节并迅速整改;对于新建系统,需制定在正式上线前应完成定级备案和测评整改的工作流程。
3.5加强队伍建设和意识教育
充分认识到人才在信息安全建设工作中的作用,可以通过组建结构化人才队伍和加强培训以进行队伍建设。结构化,是指人才队伍不仅局限在高校信息化相关部门,而是扩充到所有责任单位,确保每个责任单位都有一名信息化干事和信息化分管领导监督管理本单位的信息安全工作,与信息化部门协作完成安全防护。专业培训,既要包含专业理论和技术知识又要包含政策法规学习,“双管齐下”方能提高专业素养。信息化部门可联合保卫处、宣传部、学生处等部门,利用新生教育、网络安全宣传周等契机,对全校师生进行信息安全教育。注重法律法规教育,提醒师生要清楚个人在网络虚拟环境下的权利、义务和责任;注重安全知识和防御技能教育,全面提高学校及师生个人的网络安全防范能力。
3.6加强监测预警水平
为全天候全方位感知网络安全态势的要求,需健全信息安全值守制度,形成7*24小时值班制度;制定信息安全演练方案,针对不同情况采取不同级别的演练等级,在演练中不断优化应急处置流程;加强基础网络的技术防护,将部署的安全设备能够有效利用;对重要信息系统采取“前台静态呈现、前后台分离部署”的防护策略,同时进行定期巡检,一旦发现异常需快速反应。
4总结
由于信息安全存在攻防高度不对称的特点,黑客防不胜防,一旦存在出现防护短板就会产生灾难性后果,信息安全只是“相对”安全。在此情况下,对高校信息安全管理者提出了更高要求,需不断加强自身的技术能力,保持警惕状态,同时可形成安全共同体,建立多方联动的安全防护体系,为构建安全、稳定、和谐的校园网络环境不断努力。
参考文献:
[1]罗南.高校信息安全风险分析[J].电脑知识与技术:学术交流,2016,12(10X):24-25.
[2]在网络安全和信息化工作座谈会上的讲话[EB/OL].
[3]陈明.美国高校信息安全管理体系及其启示[J].科技信息,2012(33):131-132.
信息安全管理范文2
关键词:大数据模型;茶叶企业;信息技术;安全管理;企业管理
在信息技术成熟应用的今天,茶叶企业在经营发展过程中,需要积极探究信息技术的价值特点,同时深度解析企业自身的发展特点,通过发挥大数据模型的技术优势,进而实现茶叶企业自身的信息化经营。但是,在茶叶企业应用大数据模型时,我们看到其中依旧存在较为严重的信息安全问题。实践证明,只有做好信息安全管理工作,才能真正实现茶叶企业的信息化经营。
1大数据模型的内涵及应用特点分析
现阶段计算机技术和网络信息技术,实现了成熟应用,无论是该技术的应用优势,还是其应用广泛性,都实现了全面提升。但是在信息技术实际应用过程中,正面临着极其复杂的价值挑战。随着大数据、云技术的不断发展,安全已经成信息技术合理应用中,首要解决的问题。当然,当前企业在应用大数据时,所面临的网络环境,存在极为复杂的安全形势。结合复杂的信息攻击与多重威胁,如何有效应对,并且做好信息安全管理活动,就至关重要。大数据建模活动,是一项极为复杂的信息科学,其中关系到企业经营的各项数据,以及自身业务发展流程的多样化需求。在大数据模型中,需要考虑的因素,极为多样。对于大数据来说,其中所包含的设计逻辑和数据的关联性,都是其价值应用的生动呈现。在大数据模型中,通过相应的逻辑转换为具体的物理模型。对于大数据模型来说,其中包含了该数据的存储设备,以及信息数据库和相关数据文件组成。在当前数据建模过程中,可以使用hadoop和Tableau大数据软件来构建相应的模型。在当前发挥大数据工具与方法中,IT者可以使用大数据来构建相关模型。实际上,对于任何企业来说,每天在具体应用和信息技术应用过程中,会产生大量的信息数据。通过对数据内容进行及分析,我们看到其中大多数据,并非有效数据。因此,如果构建的数据模型是诠释所有企业信息数据的模型,并没有太大意义。所以,对于多数企业来说,围绕自身经营发展的重要数据进行建模,对于该企业有着重要价值。因此,通过构建良好的大数据模型,提供高质量的数据模式,从而真正有效支持企业经营,发挥该数据模型的价值意义。完善的开发数据与元数据,恰恰是当前大数据模型构建的价值。对于目前大数据模型来说,企业寻找到数据的常用切入点。
2茶叶企业信息安全管理活动的具体背景
当前茶叶企业管理过程中,缺乏必要的管理特色与时代精神,特别是很多经营者缺乏对时代精神和信息技术价值的足够了解。茶叶企业管理活动中,所使用的各项素材中,也未能融入必要的信息因素,从而影响了茶叶企业管理活动的时代性与效率。信息化和电商模式是基于当前时展进程的重要管理活动和发展趋势。随着当前互联网信息技术应用不断广泛,如今在当前各个产业发展基础中,大数据与云技术等时代性技术得以广泛应用,在这一大的背景下,不断涌现了各种类型的全新经营模式,良好的信息技术应用,以及科技力量的合理把握,恰恰是现阶段茶叶企业适应管理活动的关键因素。特别是就茶叶企业的实际特点看,电商模式与信息化经营,已经成茶叶企业的核心命题。电商销售、网络支付等等,都需要茶叶企业在充分认知信息技术优势的基础上,创新管理思维。但是,也需要理性认知信息技术应用过程中的各项复杂问题,积极做好安全管理。结合茶叶企业在以往安全管理活动中存在的复杂挑战与局限性看,我们需要将Hadoop技术综合融入到茶叶企业信息安全管理活动的平台之中,通过充分发挥其信息数据的优势,从而构建适合当前茶叶企业的安全管理体系,从而实现对茶叶企业经营过程中,超大数据信息的有效采集与合理融合,乃至具体的数据存储,通过发挥其可视化价值,进而实现茶叶企业安全信息管理与技术应用的最佳效果。
3茶叶企业信息安全管理活动的实施诉求
结合当前茶叶企业的发展实际来说,无论是经营方法、乃至管理素材和理念,都需要在当前时代背景下,不断完善与创新。在信息时代,茶叶企业在发展进程中,其中所关注的除了市场因素外,也要注重发挥科技的力量。特别是要在发挥科技应用优势的基础上,有效提升茶叶企业的管理水平,并且有效解决茶叶产业所面临的各种时代命题和价值。结合信息技术广泛应用这一现状看,以大数据应用为基础的信息安全管理活动,已经成为重要的时代诉求。茶叶企业所关注的不仅是信息技术的合理融入,更需要做好信息安全管理。因此,当前茶叶企业大数据模型应用过程中,必须在科技因素的引导下,通过构建时代化、安全化的信息安全管理机制,从而真正发挥信息技术所彰显的价值效益。对于茶叶企业来说,良好的信息安全管理至关重要。其一,要注重发挥现代信息技术的价值,要综合发挥现代科技因素的价值,真正实现茶叶企业管理的时代化与信息化。对于当前茶叶企业发展来说,信息技术的合理应用,乃至管理技术的合理融入,已经发展成为重要的企业管理特征。尤其是对于茶叶企业信息安全管理活动来说,只有确保其合理化与科学化,才能真正、有效的实现对信息技术的安全应用。
4基于大数据模型的茶叶企业信息安全管理机制
大数据作为一种新的信息管理模式,该模式是一种源自信息技术的全新理念。如何让该模式适应于茶叶企业的发展与管理活动,就需要立足茶叶企业自身的实际状况,结合信息时代的发展特征,通过积极革新与改造,从而构建适合我国茶叶企业的信息安全管理机制。因此,在当前想要实现大数据模式的最佳应用效果,就必须以信息安全管理作为大数据技术应用的核心动力。通过创新茶叶企业管理机制,构建安全、科学的信息安全管理新机制,从而适应当前时代的发展诉求。对于茶叶企业来说,要在技术创新的推动下,构建基于大数据模型的茶叶企业信息安全管理机制,从而实现技术优势与企业管理之间的协调、理性发展。想要实现对信息技术的合理应用,不仅需要我们发挥先进技术的应用优势,更重要的是引导企业正确应用信息技术,通过构建信息安全管理机制,从而助力茶叶企业实现的良性发展与生动构建。当前大数据模型在应用过程中,其主流技术是Hadoop技术。在发挥大数据模型时,要充分发挥该模型技术的应用价值和作用。在Hadoop中,具体包含的HDFS、HBase技术,恰恰与大数据自身的存储需求之间,有着重要匹配。当然,Hadoop中所包含的MapReduce技术,往往能够有效满足大数据快速分析与实时分析技术。结合茶叶企业信息化建设实际看,大数据模型在应用过程中,做好大数据的安全性应用,恰恰是茶叶企业信息安全管理的核心所在。当然,对于茶叶企业来说,其大数据安全管理过程中,要注重合理使用安全数据分析法,通过综合考虑数据安全的特点与信息,从而让大数据安全分析活动,更有价值和意义。当前,整个茶叶产业正在面临复杂的信息环境,以及复杂的信息安全问题。所以,茶叶企业想要更好适应信息时代的各项要求,就需要做好大数据模型的安全应用,通过提升其安全管理水平,从而实现茶叶企业信息化建设的理想效果。
5结语
随着现阶段茶叶产业发展不断成熟,当前我们认识到时代因素,在茶叶产业发展与应用中的突出价值。在我国,茶叶产业有着极其特殊的价值和意义。并且在今天,随着大众健康生活意识的不断成熟,茶叶产业实现了真正转型。在不断转型之后,茶叶产业逐渐从一种生活习惯,深化为内涵丰富的产业机制。对于茶叶产业来说,极具行业优势和领导力的企业,不仅是引导该产业健康发展的基础,更是推动我国茶叶产业优势转化的关键。
参考文献
[1]吴忭,顾小清.教育大数据的深度认知、实践案例与趋势展望———2017年“教育大数据应用技术”国际学术研讨会评述[J].现代远程教育研究,2017(5):131-132.
[2]赵子濠,陈昊鹏,吴强强,蒋建伟.基于MOOC的多维度学习质量及教学质量综合评价研究———以“好大学在线”历史数据为例[J],工业和信息化教育,2017(11):120-121.
信息安全管理范文3
【关键词】大数据;档案管理;信息安全;数据结构化
1引言
随着国家大数据发展战略和系列互联网行动计划的推进,我们正走向我国的档案大数据时代。如今档案的信息数量越来越多,与之有关系的信息结构较过往也有很大的区别,而随着全民生活水平、整体素质的提高,以纸质档案服务为主的传统服务模式已难以满足大部分人的要求,公众对档案信息的需求的数量、质量、服务方式均有了更高的要求。加快档案资源整合与共享、加快档案管理部门服务转型升级、加快构筑档案安全防线已成为档案事业发展的外在动力和内在需求。如何在大数据的时代保证档案信息的安全性隐私性,如何预防被非法分子盗取档案信息等均是档案管理的重中之重。对这样的情况该如何解决,又怎样从本质上杜绝此类事情的发生,则是我们今天所要深入探讨的问题。
2大数据环境对档案管理工作的影响
在以数据发掘技术以及数据解析技术的大数据技术的前提下,能够对大量的档案数据进行分析和了解,在大量的数据中发掘出适合自己并具有珍贵价值的信息内容,使档案数据从原本的单调乏味的数字或是一串串符号转变成适合自己有用的信息并化成自身的知识财富,能够更好的贴近人民生活、为人民群众服务。因此大数据环境对档案信息的发展未来、价值、繁华可以说是起了重要性的作用。
2.1档案管理人性化、智能化的要求
大数据的发掘技术有利于档案管理过程中能够实现更加人性化、智能化的管理,同时也能够通过数据发掘提供更加贴近人民生活的人性化、智能化的信息服务。将对实时搜索起来的档案数据进行分析,如此我们可以更加便捷地得到合适、准确、有效的数据。大数据的发掘技术也可以使各部门、单位的档案信息拥有更紧密的联系,让这些档案信息不再是单独的个体,也不再孤立;而在数据分析过程中,我们也可以更加便利的得到满意的答案。
2.2实现信息主动优质推送的需要
档案管理不应仅只是对档案内容的分类整合,在与大数据技术相互配合的作用下,我们对大数据的处理需比传统方法更加重视,比如档案被使用的地点、时间、数量、时长等等,均可通过大数据分析进行总结归纳。分析大量档案管理相关数据的共同点、差异、规律,都可以提供一定有价值的信息,我们可以通过大数据将平常使用搜索的用户的普遍数据进行积累,然后通过专业的手段进行分析并得到出有用的信息。我们也可以利用大数据技术为用户提供他们想要的文档信息的推送,从而使档案信息的服务更加的亲民化,主动化,个性化,优质化。
3大数据环境下档案信息的安全隐患
随着科技的进步,人民自身的隐私性也受到了十分严重的威胁,可想而知,在此大环境下,大数据这个以开放性为主体的平台,给档案数据的整体性、可用性、隐私性均带来了威胁,传统的安全防范工具、措施就没有那么的适用了。大数据时代对档案信息安全就带来了重大挑战,加大了档案信息数据的安全保护难度。如何保证档案信息安全是我们目前需要考虑的重点问题之一。
3.1档案数据的存储安全
大数据的特点之一就是数据量巨大,就目前的情况来看,在近几年数据的量会给大家呈现一种爆炸式的递增,因此在对大数据的管理中,如何存储数据是重大难题,在当今大环境的条件下,大数据的种类多样化也给档案的存储工作带来了巨大的挑战,就当前来说有80%是没有固定结构的数据,数据的种类与格式不兼容导致后续的提取、应用、分析都不能按照原来的计划进行。其中如何安全的存储它们也是一个特别难以解答的问题,当前没有结构化的数据存储不能按照具有严格的访问权限和隐私管理的有结构的数据存储方法,而没有固定结构的数据的存储方法还不是特别的成熟,也没有更好的安全防护措施,而且在使用过程中安全代码也不是十分好用,同样的没有固定结构的数据也存在了很多目前没有办法解决的漏洞。如果建立一个可以相互联系并相互监督的客户端程序,又会带来很多安全问题,例如输入验证、输出验证、身份验证等问题。
3.2档案数据的有效利用
就目前大数据的服务来看,最为重要的就是大数据的增值服务,而增值服务的核心功能是预测,那么如果实现并使用大数据核心的服务预测功能,那就是通过对档案数据的有限利用来实现。而档案数据有效利用的基石就是数据源,如果没有特别好的基石,档案数据的有效利用也只能是一个不能实现的梦,而预测功能也只能说是天方夜谭,由此可知,数据源的来源以及如何有效的利用成为了一个重要的问题,这时就需要将一些不确定不准确不符合要求的档案数据剔除,进一步的完善我们所需要的数据库,同时也要保证它的可信度,为以后档案数据的有效利用打下基础。
3.3档案数据的保密工作
大数据背景下,数据的来源范围特别广泛,大量从各种地方汇集的数据存在了很大的安全漏洞,也加大了信息泄露的风险。目前,我国对一些比较敏感的数据使用权限并没有明确规定,很多分析得出的数据并没有考虑到安全和隐私等问题,这就要求我们对敏感信息进行分析时,要解决信息保密、信息不被恶意使用等问题。但大数据的开放性使很多有价值或潜在价值的数据容易被攻击者相中,数据种类多且集中,一旦攻击得手,攻击者会得到大于他攻击的成本的利益,如何确保数据的保密工作可以说也是一个重要的点。
4大数据环境下档案信息安全管理策略
面对大数据这个大环境,我们必须要总结出来合适的方法,或利用大数据的IP技术,有效的解决安全防护的问题,并针对特殊的问题要相处合理有效的解决方法,争取从根上解决,杜绝类似错误的产生,也是为以后的后续工作提供保障。就上述所总结出来的问题,下面的这几点是我通过大量的研究和探讨所想出来的解决方法:(1)重视档案数据的有序化、结构化;(2)打好存储档案数据的基础;(3)搭建档案数据的安全堡垒;(4)积极使用新科技打击非法使用数据的外来者;(5)提高档案管理人员的技术水平以及安全意识;(6)加强档案信息安全制度建设;(7)强化档案管理与信息安全技术的融合。
5结语
大数据环境对档案的日常管理、开发利用、安全防范等各方面均提出了更高的要求。改变传统思维与服务理念,构建数据管理体系,充分利用大数据完善与发展档案工作,运用大数据思维提升档案信息服务能力,加强档案信息资源进行分析整合,可及时为档利用者提供综合信息资源,为管理者提供整体运营进度资料。但其中涉及的网络安全、存储安全、非法访问安全、保密安全等,需要多方协力,构建可靠的服务平台,方可更安心地享受档案大数据时代带给人们的便捷。
【参考文献】
[1]冯伟.大数据时代面临的信息安全机遇和执战办中国科技授责,2012,(34)77-79.
[2]郭三强,郭洪伟.大数据环境下的数据安全研究[J]科技广场,2017,13(2).14-17.
信息安全管理范文4
关键词:石油企业;信息安全;管理手段
0引言
随着信息化建设进程飞速发展,作为信息载体的计算机、互联网已在企业生产、经营管理各个层面得到广泛应用。计算机网络的开放性、灵活性和广泛性在全面数字化的今天给经营管理带来了便捷、高效、有序的工作环境,同时也带来了较大的安全管理隐患。黑客的出现、安全漏洞的增多、管理的交叉混乱、恶意的网络攻击使网络安全管理遭受了较大的冲击,成为信息化健康发展的绊脚石。网络信息管理疏于安全的防范将危及到企业生产经济的有序发展。石油企业在国民经济中发挥着重要作用,任何风险都可能导致国家经济受到重大影响。因此,提高石油企业信息安全意识,加强信息管理应以保瘴服务和应用为目标,强化安全意识、制定周密的安全手段从而构建完善的信息安全管理体系。
1加强企业信息管理的必要性
1.1企业信息管理概念
企业信息管理是通过现代化的信息技术和设备,以网络技术和网络设备实现企业管理的自动化,进而对企业进行全方位和多角度的管理,以此来促进企业生产、经营管理的优化配置,进而通过企业资源的开发和信息技术的有效利用来提高企业的管理水平,增强企业的核心竞争力。企业信息管理的主要内容,一般包括企业未来的经济形势分析、预测资料、资源的可获量、市场和竞争对手的发展动向,以及政府政策与政治情况的环境变化等等。企业信息管理与制订企业发展战略、制订规划、合理地分配资源是密切相关的。同时,企业的信息管理也应当包括企业内部的信息资源,如财务管理信息、物资库存、钻井施工、职工档案管理等多方面的内容,并且促进企业的全面发展。
1.2企业信息安全管理的必要性
企业信息的存在方式有着多样性,而进行企业安全信息管理的主要目的,在于保护企业的信息安全,保证企业能够顺利的参与到市场经济活动中,进而提高企业的经济效益和社会效益,构筑起信息安全管理系统的保密性、完整性、可用性、可维护性、可验证性的目标,使企业安全信息管理能够通过有效的控制措施来实现。第一,企业管理的信息具有很强的保密性和完整性的特点,因此其对于企业的生产势力、科技含量、资金流动、企业的综合竞争力等多方面都有着重要的影响,同时对于企业的商业形象与合法经营也至关重要,因此加强企业信息安全管理是必要的。第二,由于网络自身所具有的开放性特性,决定了企业信息管理也面临着来自各方面的安全威胁,比如计算机病毒、黑客等,以及计算机诈骗、泄密等问题,也说明了加强企业信息安全管理势在必行。第三,企业对于信息系统产生的依赖也从另一方面暴露出了信息管理系统的脆弱,公共网络与私人网络的连接增强了信息的控制难度,使得信息在分散化的管理模式下,集中、专业控制的有效性大大减弱。另外,由于很多信息管理系统设计的缺陷,其自身就存在着不合理之处,这对于信息安全管理也带来了一定的难度。基于此,对于企业信息管理的安全性也成为了当前企业管理面临的一个重大课题。
2加强企业信息管理安全的防范措施
2.1不断完善信息管理系统
随着企业信息化的发展,目前应用的管理系统有PKI、邮箱、AD域、普OA、合同系统、A6、ERP、网络、操作系统、A7、档案系统、物采系统、OSC、视频会议、企业微信、门户网站、宝石花、数字营房、会议保障、E2、一体化、RTX、移动应用、短信平台。信息系统的连续稳定运行越来越重要,一旦系统中断,将会给企业的生产经营管理带来混乱,而数据一旦丢失,后果是不可估量的。为此,信息管理系统的投入和使用,是建立在充分的实践经验的基础上,通过一段时间的运行和观察,才能够投入使用。在不同的部门进行信息系统的引入时,应当按照部门的实际情况,通过多方引进,使用统一的信息管理系统。对于信息安全来说,首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理,并且赋予不同等级的用户不同的使用权限,这样则能够有效的防止无权访问信息的用户对核心区域的访问,保证信息不会被盗用。同时,为保证信息系统的连续稳定运行,应采用双机服务器和从服务器。一旦发生服务器故障,由从服务器自动接替主服务器工作。
2.2有效的设备管理
设备安全主要涉及到由于自然灾害、人为因素造成的数据丢失。信息安全应建设完善的容灾备份系统,容灾备份系统一般由两个数据中心构成,主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。同时,对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录,通过这些记录,定期对设备进行维护,同时也能够通过这些信息判断出信息的使用效率以及运行情况,对于设备的损坏或者是丢失情况都能够及时地了解。
2.3加强对人员的监督与管理
企业信息安全不单纯是技术问题,而是一个综合性的问题。其中最重要的因素是人,人是设备的主要操作者,因此对于信息的安全管理,就需要加强对人的管理,需要操作人员具有足够的安全意识,对于每一位操作人员进行相关的培训,对于唯一的用户名和密码等信息要进行妥善保管,同时让操作人员认识到泄密会导致的严重后果,增强责任意识。只有通过不断地学习及意识的培养,管理人员才能养成定期维护、按时打补丁、及时更新的操作习惯,以不变应万变的态度应对各种网络攻击手段。通过不断的加强过程管理,通过对每个细节的严密审查,能够有效减少人为出错的现象,同时通过科学的评价机制和激励机制,刺激人员工作的积极性,加强自身的责任意识。
2.4网络传输安全
信息安全管理范文5
关键词:大数据;信息安全;管理范式;转型
信息时代的到来,促使众多传统行业与互联网技术产生了融合,由此带来的海量、分散、多类型数据的采集、存储、分析的技术被称之为大数据技术[1]。大数据技术能够帮助科技与产业实现交叉融合,帮助人类开发新的知识、创立新的产业、提升传统领域的价值和能力。因此,大数据正逐渐成为当今社会产业革命、群体跃进的重要标志和实现工具。数据驱动正在对我国乃至全球范围内的经济、文化、政治、军事等领域产生巨大的影响,传统的信息安全管理范式已经无法适应当下社会的需求[2]。研究从大数据时代信息安全管理工作的特点入手,对未来我国信息安全管理工作范式的转型方向和方法进行了分析。新的信息安全管理范式能够帮助我国建立网络安全管理战略、国家大数据战略,对相关人员进行网络安全管理研究也能够起到一定的借鉴作用。
1大数据时代信息安全的新特点
1.1规模安全
大数据时代的万物互联体系,促使全球范围内的物与人之间形成了新的数据和信息传播生态链,个人、机构、政府、社会之间的互联互通导致互联网中的一切痕迹都将被记录下来[3]。长期的信息产生—传递—记录过程中,数据的来源形成了巨量增长并覆盖了社会生活中的各个领域,且数据的规模仍在不断扩大。2015年7月,据美国有关部门披露,有超过2100万个社保账号被黑客盗取了机密信息,其中包括近1/4的美国联邦政府工作人员。该事件波及范围之大,高达美国总人口的7%,被称为世界史上最大的信息泄露事件。据有关部门预测,到2020年,全球范围内将有超过550亿台设备通过信息网络进行数据交流;到2025年,进行网络互联的设备总数将超过1000亿台;地球上平均每人将会拥有超过9台数据收集和传输设备;巨量的数据将会在生活、科研、政治、军事等领域进行传播,每个人的信息安全问题都将成为一项巨大的威胁。这是大数据时代信息安全管理的特点之一,即信息安全管理问题将成为覆盖全球每个人的严峻问题。
1.2泛在安全
大数据时代,人们的工作和生活模式发生了翻天覆地的变化。利用互联网、物联网逐渐实现了人人可上网、物物可连接的工作和生活方式[4]。人们的各类信息和数据安全管理问题逐渐渗透到了工作生活中的所有领域和环节,呈现出实时性和泛在性。在数据的驱动下,信息网络的管理问题从以往的静态管理发展成为如今的动态治理,治理的时间概念也由传统的日、周、月逐渐转变为分秒必争的短时间信息安全治理管控,形成了无所不在的泛在安全管理特点。数据的飞速传递和万物互联网立体网状结构给信息安全溯源和监管控制工作带来了新的挑战。
1.3跨域安全
经济全球化、网络全球化为现代社会带来了大量的信息、资金、人力资源等数据的全球流动[5]。在这种全新规模的数据传递模式下,传统的国家、地域概念被打破,网络安全问题逐渐呈现出全球化和跨域化的特征。面对数据全球化带来的跨域安全问题,我国需要积极构建针对跨境数据传递的安全预警系统,对各类型的跨境数据进行风险监管和监测。
1.4隐性安全
大数据时代的信息管理隐性安全问题主要体现在4个方面:(1)大量的信息冗余导致有价值的数据被淹没,如果不进行充分的数据挖掘,往往会因为数据泛滥而被忽略。(2)数据的跨区域传播使原本的数据质量得到了升华,分散的碎片化信息逐渐呈现出越来越高的价值,原本关联性较低的一般信息也因为立体化的网络而逐渐体现出越来越高的战略价值,为有效信息的提取以及信息的被截取提供了方便。(3)在移动互联网技术的推动下,网络信息的传递呈现出了比以往更加明显的个性和独立性,点对点的信息传播具有比传统点对面的信息传播高的隐蔽性,安全管理系统更加难以发现和预测其中的安全问题。(4)在大数据的推动下,越来越多的传统行业实现了与信息网络的结合,同时也促使越来越多不充分具备信息安全意识的人群接触网络,为网上犯罪、信息诈骗等带来了可能。
2大数据时代中国信息安全管理范式转型
2.1新模式
大数据时代催生了新的安全管理模式,要求中国在信息安全管理过程中能够总体协调、精准治理。新的国家信息安全管理模式主要体现在:(1)管理体制上,要总体协同,避免传统单打独斗形式的管理模式。(2)管理机制上,要与大数据时代相适应进行动态跨域管理。(3)管理方法上,要由传统的依靠经验进行管理的形式逐渐转变为依靠数据、模型等进行科学的管理。(4)改变以往被动的“发现问题—解决问题”的安全管理对策,向事前预防发展。(5)摒弃以往层层申报、层层审批的信息情报管理模式,形成扁平化的信息情报传递体系。(6)利用云技术,解决“信息孤岛”问题,通过数据共享互通,建设更加开源和资源整合程度更高的信息资源数据采集模式。(7)建立融安全意识、信息技能、数据信息交流、安全防范为一体的公众信息素养培训体系,一方面全面激发大数据时代带来的信息安全管理人才潜能,另一方面推动社会各阶层全面了解大数据时代的信息安全管理和防护方法及手段。
2.2新路径
大数据在帮助全球社会实现万物互联的同时,带来了大量、冗余的信息噪音。因此,形成能够鉴别信息真伪,具有强大信息鉴别能力以及可靠的国家信息安全管理信息路径成为中国信息安全管理范式转型的基础条件。主要从4个方面入手:(1)从国家层面注重对数据真伪的鉴别,将某些通过一定手段故意扭曲网民真实想法的人员和行为及时进行清理,深化数据安全揭示工作,对来源复杂的数据进行交叉验证。(2)改变以往信息安全管理工作中粗劣的数据统计和分析方法,了解大数据去粗取精的方法,注重大数据的变化性、多样性、不确定性,从而克服数据来源难追溯、感知威胁迟缓等问题,提升数据统计模型计算的有效性。(3)注重大数据的动态数据资源体系建设,包括标准框架及数据集成等,一方面形成数据之间的强弱、上下互联和检索体系,另一方面将信息安全管理数据从大数据体系中单独提出,形成独立的安全管理体系。(4)注重对大数据为基础的信息处理方法的归纳,利用互联网技术建立联系更加紧密、误差更小、多元化的网状数据归纳系统,从数据本身出发,总结信息安全管理工作的发展趋势和规律。
2.3新政策
我国已经初步实现了决策公开、执行公开、管理公开、服务公开、结果公开等政府信息公开要求。大数据时代的到来,对我国信息数据披露和开放提出了更高的要求。随着大数据体系下数据全方位分享、互动和联通效应的产生,传统的行业领域信息约束和限制体系被打破,原本只归属于某一特定部门或领域的沉睡信息逐渐呈现出开放和动态交流的状态,被认为没有太多价值的管理信息逐渐被激活。在此前提下,我国的信息安全管理政策要逐渐由封闭走向开放、共享,建立完备的法治体系保障信息安全与信息化的平衡发展,保障信息主体的基本权力,促进信息在更加自由的体系中进行交流和互动。
3结语
大数据在促成万物互联社会发展的同时,也给信息安全管理工作带来了更大的压力和挑战。在与传统行业进行融合的同时,数据信息逐渐呈现出海量、多源、多类、快速等特点。文章从大数据时代信息安全管理的特点入手对我国信息安全管理工作范式转型的问题进行了分析,从新模式、新路径、新政策3个角度提出了范式改革的方法。对我国而言,信息安全管理范式转型正处于初级阶段,需要从国家层面到公民层面继续不断探索和实践。
[参考文献]
[1]徐全盛,葛林强,邹勤宜.基于大数据分析的无线通信技术研究[J].通信技术,2016(12):1635-1641.
[2]王世伟.论大数据时代信息安全的新特点与新要求[J].图书情报工作,2016(6):5-14.
[3]赵梦.基于大数据环境的网络安全态势感知[J].信息网络安全,2016(9):90-93.
[4]王世伟.打造智慧安全的大城市[J].中国建设信息,2015(8):16-19.
信息安全管理范文6
1.中国移动中央动漫是一种信息容量大、表现形式丰富的增值业务,将成为一种非常有前景的移动增值业务形式,但同时中央动漫平台及业务本身面临着众多的安全威胁。为了有效防范信息安全方面的潜在风险,中国移动开展了中央动漫信息安全威胁分析工作,全面发掘平台所面临的信息安全威胁,定义安全防护要求,为日后的安全规划和建设打下坚实的基础。 安全威胁 中国移动中央动漫平台安全可划分为物理层安全、网络层安全、系统层安全、应用层安全、内容安全等方面。 2.1物理层安全 物理层安全威胁主要集中在供电、携带静电操作、电磁干扰、温度及湿度异常等方面。在物理层安全部分,威胁较大的是携带静电操作,其他威胁如机房配套设施故障、自然灾害、人为灾难、非授权访问及操作等,虽发生概率较小,但大部分危害较大,应给予足够关注。这些均对动漫平台的可用性造成威胁。 2.2网络层安全 动漫平台面临的网络层安全威胁与其他基于IP的信息系统类似,主要集中在设备硬件故障、外部攻击、网络蠕虫、信息泄露、不正确的运维操作等方面。 在网络层安全部分,拒绝服务攻击、网络蠕虫、信息泄露的威胁较大,设备失控风险发生概率较小,但危害严重,其他威胁如硬件故障、伪造IP接入、不正确的运维操作等威胁较小。 2.3系统层安全 动漫平台采用通用的操作系统,面临的安全威胁与其他信息系统类似,主要集中在常见的病毒、蠕虫、后门、外部攻击、权限滥用、非授权访问、设备硬件故障、不正确的运维操作等方面。 在系统层安全部分,拒绝服务攻击、病毒、蠕虫、后门、非授权访问的威胁较高,设备失控风险在限制不严格时也有不低的发生概率,其他威胁较小。 2.4应用层安全 动漫平台在通用平台上开发,并通过多种方式对外提供服务,由此带来的安全问题是应用安全防护的重点。应用层安全威胁主要集中在常见的病毒、木马、后门、外部攻击、权限滥用、业务数据窃取、非授权访问、抵赖、软件故障、存储故障、不正确的运维操作等方面。在应用安全部分,拒绝服务攻击、病毒、木马、后门、非授权访问的威胁较高,信息泄露及应用中断也会对动漫业务造成不小的影响,其他威胁较小。 2.5内容安全 中央动漫平台内容方面主要面临内容盗用与成为不良信息传播平台的风险。内容盗用包括未授权转载、非法盗版以及作品被他方通过技术手段抄袭或相关版权信息被清除,影响动漫作品的完整性。不良信息传播包含低俗、色情、暴力、欺诈、迷信、诽谤、网络钓鱼等扰乱社会秩序、破坏社会稳定、侵害他人合法权益的不良信息,通过中央动漫用户展示平台传播。 此类安全威胁均有不小的危害,应格外关注。 安全防护措施在理解中央动漫平台安全威胁的基础上,关联COBIT4.1和ISO/IEC27002提出平台各个层次的安全功能和安全防护技术要求。 3.1物理层动漫平台物理安全防护应严格遵循中国移动集团及相关部门制定并下发的机房安全管理制度,相关控制措施应覆盖以下3方面。 (1)机房环境管理,应防尘、防静电、防爆、防盗、防雷、防冻、防潮、温度、湿度、防火、电力等。 (2)机房人员管理,应制定访问控制、操作管理等。 (3)机房安全设施配备及保持,如UPS、灭火、门禁、巡检等。 3.2网络层 动漫平台网络结构并不复杂,其面临的安全威胁与其他基于IP的信息系统类似。为处理其面临的安全威胁,网络层应提供如下安全防护。 (1)网络访问控制 在网络边界进行设备、链路冗余,网络拓扑设计双机冗余、网络链路冗余,保障网络可靠性。业务控制访问策略最小化并进行网络流量的监控。由于平台安全特性要求,需要进一步在平台内部划分安全子域。接入层划分为系统管理区及业务系统区两个区域。安全子域之间及子域与外部网络间应严格遵循最小服务开放策略,仅允许正常服务需要开放的端口在域间流转。 采用IP+MAC+端口绑定的方式对非授权接入进行控制,或采用统一维护终端安全策略,严格控制漫游终端(包括厂商工程师现场接入终端、中国移动维护人员的办公终端)接入,对未经许可接入网络的计算机设备,立即报警并给予阻断,并对终端接入行为进行审计。 对于使用IP进行远程维护的设备,应配置SSH等加密协议。对网络、安全设备管理地址,应进行源地址限制,只允许特定地址访问;配置定时账户自动登出,登出后需再次登录才能进入系统。运用审计系统对设备配置操作信息进行自动审计、记录,可考虑实现集中账号管理、集中认证、集中授权、集中审计。 (2)设备安全 应符合中国移动相关网络设备安全基线规范要求。定期对网络设备版本进行升级或者打补丁操作,如厂商已不再维护设备,需要及时更新版本或者退服。 (3)入侵、恶意代码防范 使用入侵检测系统依照一定的安全策略,对网络的运行状况进行监视,尽可能发现各种攻击企图、判断是否有违规或者恶意行为发生并告知网络管理员。通过对已发生安全事件的统计分析,协助网络管理员了解平台的内部状况,为进一步的网络安全建设提供决策依据。 使用入侵防御系统对发生在网络中的深层攻击行为进行准确地分析判断,在判定为攻击行为后立即予以阻断,主动而有效地保护网络的安全,降低网络可用性损失。#p#分页标题#e# 采用专用硬件抗DoS攻击设备,检测是否发生DoS攻击,并在发生攻击时提供流量清洗防护服务,保障服务的可用性。采用相应设备对试图进入平台的恶意代码进行检测和清除,使用防病毒网关时要定期对恶意代码库进行升级。 (4)内部人员技能及外部联系 对网络维护相关人员进行系统的网络安全技术、工作技能培训,提高人员运维能力,保障平台稳定运行。加强第三方安全管理,并与设备厂商、外部安全服务商建立密切联系,随时对设备出现的硬件故障作出响应。 3.3系统层 动漫平台系统层面临诸多威胁,可能会造成较大影响。为处理其面临的安全威胁,动漫平台应提供如下安全防护。(1)主机访问控制对终端接入方式、网络地址进行限定。 设置登录终端的操作超时时鉴别为失败并锁定,规定解锁或终止方式。限制单个用户对系统资源的最大或最小使用限度。严格限制匿名用户的访问权限。 采用终端接入管理系统。 运用审计系统对主机系统配置操作信息进行自动审计、记录。 可考虑实现集中账号管理、集中认证、集中授权、集中审计。 (2)主机系统安全 操作系统、数据库本身应该定期进行漏洞扫描,并根据结果对系统进行加固(如补丁升级、安全配置等)。门户服务器主机系统应采用集群技术,提供冗余备份和负载均衡;核心功能(如DRM、鉴权计费、营销分析、数据库等)应当采用本地双机备份的方式进行容灾保护。评估平台内部主机系统安全性,其配置应符合中国移动相关系统安全基线规范要求。监控服务端口的开放变更情况,发现异常变更应及时上报系统管理员处理。主机系统如需安装补丁,必须在通过补丁兼容性测试后才能进行加载。 (3)入侵、恶意代码防范 系统层入侵及恶意代码防范参考网络层相关防护措施,并通过安全配置加强主机系统的防攻击能力。 3.4应用层 动漫平台在通用平台上进行开发,并通过多种方式对外提供服务,应提供的安全防护如下。 (1)应用安全 采用应用漏洞扫描系统,进行定期扫描,找出应用软件存在的漏洞,及时了解风险所在,为应用安全加固及策略调整提供重要依据。 考虑实现集中账号管理、集中认证、集中授权、集中审计。要求开发人员参照规范编写代码,编写完成后对代码进行安全脆弱性分析和穿透性测试,确定可以抵御攻击者发起的攻击。 严格按照可访问数据资源、可使用系统功能、系统指令对用户使用权限进行划分及控制,便于最小权限原则的贯彻实施。权限管理实现管理与审计权限分离,可授予不同人员。对用户认证的敏感数据进行加密传送(如HTTPS)。 应用安全日志的设计需包含日期和时间、类型、主体标识、客体标识、事件的结果等。 为防止抵赖事件发生,需保存数据发送和接收双方证据。提供自动的备份机制,对重要数据(如动漫内容、动漫产品、营销数据、用户信息等)进行备份。 (2)数据防泄露 DLP全面覆盖终端、存储和网络3个方面,对敏感数据提供发现、监控、保护及预防。发现:快速定位敏感机密数据的存放位置。 监控:分为网络监控与端点监控两个环节,网络监控用于监控通过E-mail、IM、Web、HTTPS、FTP、P2P及其他常见基于TCP方式的网络文件传送行为,端点监控用于监控通过终端USB、光盘等方式的传送行为。 保护与预防:保护阶段通过网络或端点控制方式对敏感机密数据的扩散提供有效的技术保护手段,确保不可被任意复制或传播;预防阶段主要根据中央动漫基地的整体数据防泄密策略,预先部署传播控制机制。 (3)数据库审计 通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管,促进核心资产数据库的正常运营。在动漫平台中,核心信息资产如用户信息、订购信息、营销数据等存放于数据库之间。通过使用数据库审计系统,加强对这些关键系统的访问控制与审计,从而有效减少核心信息资产的破坏和泄漏。通过数据库审计系统可进行溯源,便于事后追查原因与界定责任。 (4)防手机病毒及恶意订购治理 对WAP网关、彩信系统、动漫基地等部署防手机病毒,检测其内容是否存在病毒,阻止手机病毒经过动漫基地传播。 遵循中国移动恶意订购治理工作思路“试点研究利用数据信令监测系统、MISC系统日志实现WAP恶意订购事件快速发现的技术方案”进行推动。 (5)入侵、恶意代码防范 参考网络层相关防护措施,通过安全配置加强应用系统防攻击能力,对应用程序的最大并发会话连接数进行限制;针对每个用户进行会话数限制,仅允许单个用户的会话数在一定范围内,这个范围根据其授权业务进行设置。对系统在一个时间段内可能的并发会话数进行限制,时间段基本分为忙时、闲时等。当通信中的一方在一段时间内未作任何响应时,另一方应能够自动结束会话。 3.5内容安全 内容安全防护方面,需提供DRM能力,用于保障平台的经济效益,同进需要对不良信息进行监测,以免动漫平台成为不良信息传播中心。#p#分页标题#e# (1)DRM 主动DRM内容版权保护DRM通过对内容和版权证书的加密,有效地保护内容版权,在用户间进行内容传播时也能精确控制动漫版权。被动数字指纹版权保护对于非用户端传播的动漫产品,采用数字指纹方式进行被动保护。 当某个用户将其拷贝非法传播到外界时,版权所有者可以通过提取拷贝中的指纹来追踪非法用户。 (2)不良信息监测 不良信息监控系统对动漫平台提供的漫画图片、动画等内容进行监测,发现其中的暴力、血腥、色情等不良内容,阻止其对外。不良信息监测可作为辅助工具,用于持续对动漫内容进行检查,帮助审核人员高效完成不良信息监测工作。不良信息防范的关键主要应该从建立SP自律机制以及严格遵守业务上线流程中的版权审核要求等方面着手。
信息安全管理范文7
在国际信息安全环境日趋恶劣,国家全面倡导信息安全的大环境下,为了确保信息安全工作的可持续性开展及业务信息系统的稳定运行,依据集团总部《关于建立集团公司网络与信息安全组织保障体系的通知》、鄂通信局发[2013]127号《关于进一步落实基础电信企业网络与信息安全责任考核及有关工作的意见》等相关文件精神,同时参考《GA/T708-2007信息安全技术-信息系统安全等级保护体系框架》、《GB/T22239-2008信息安全技术-信息系统安全等级保护基本要求》《GB/T20269-2006信息安全技术-信息系统安全管理要求》、《GB/T0984-2007信息安全技术-信息安全风险评估规范》等国家标准,制定了《信息安全管理办法》、《信息安全策略》、《安全保障框架》及《安全保障基线规范》规范等,率先在企业内建立并实施该体系,全面倡导企业向信息安全生产经营转型,同时积极引导合作伙伴树立信息安全意识,规范自身的生产及合作行为,明确安全风险责任、细化管理要求,立足自身,兼顾第三方,共同打造信息安全的绿色长城,确保企业长足健康发展。通过该安全管理体系的实施,从中全面深入地挖掘现有安全体系的不足之处,并针对现有业务系统中的各类安全隐患制定了有效的整改方案并予以实施、预警,确保了移动互联网业务的可持续性发展及业务信息系统的稳定运行。首先,组织完成企业的自有业务信息系统和合作业务信息系统的安全等级划分工作,将平台安全管理工作落实到具体的责任人,并签署责任状,从而树立全员安全责任意识,实现人人参与安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技术对业务信息系统进行安全扫描、安全审计,并应用HIVE、Waka、PIG、Mahout等工具对海量日志、数据进行分析和审核,发现相关漏洞与脆弱点,并针对自有及合作业务信息系统编写了整改建议和系统层面的加固方案。通过持续对自有及合作信息系统的检查,共发现自有业务信息系统存在各类安全漏洞攻击39处,合作业务信息系统存在各类安全漏洞14处,目前这些漏洞已经全部整改与加固完毕,消除了安全隐患。其次,以信息安全管理为导向,组建了由电信营运商、合作伙伴、专业公司三方共同构成的一支业务信息系统安全管理团队,通过从合作业务管理规范的建立到合作伙伴安全技能培训,从信息安全制度宣贯到系统安全处罚办法的落实执行,从系统安全的定期评估到系统漏洞的及时加固等一系列举措,最终创建一套业务信息系统全新的安全管理模型,提高业务信息系统运行质量和服务能力,提升创新业务品牌形象。从安全管理模型启用至今,未发生一起信息安全事故,这样强化了合作伙伴的信息安全概念,督促合作伙伴在发展业务的同时也重点关注信息安全问题,极大地降低了由于合作系统的信息安全漏洞导致的中病毒或木马、假冒网站、账号或密码被盗、个人信息泄露等客户信息安全事件的发生概率,此类原因造成创新业务投诉比率和往年相比降低了15%,改变了用户对创新业务的固有印象,建立了良好的创新业务服务品牌形象。此模型具备良好的可复制性,可指导通信领域运营企业开展信息安全工作。在全国率先打造这套移动互联网业务安全管理体系,包含一系列业务系统信息安全管理办法、信息安全策略、安全保障框架、安全保障基线规范等相关业务系统管理制度及规范,业务系统安全管理体系的先进性和时效性在通信行业内名列前茅,同时通过近两年的安全理论研究和安全评估加固实践,针对当前企业业务平台系统在信息安全监管中面临的一些问题,对当前主流关联分析技术进行研究的基础上,提出了一种新的安全事件关联分析技术。该技术涉及到多源数据预处理、报警聚合、关联分析、大数据分析和安全状况态势评估等相关技术。此技术运用到电信行业的信息安全监管上,就能够对监控设备收集的日志及安全设备产生的告警进行关联分析和挖掘,从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息,通过对此类信息的统计、浓缩、总结、关联和分类,抽象出利于进行判断和比较的特征库,并智能地学习和维护其特征库,从而在提高安全事件报警准确率的情况下保证极高的识别效率。同时该安全管理体系成功应用到与百度公司合作开发的爱奇艺视频业务系统、与腾讯科技公司联合开发的微信平台、与奇虎科技公司共同开发的安全卫士手机应用系统,得到部分在美国纳斯达克上市的中国互联网精英公司的高度认可和赞许,并表示今后与电信运营商共同开发产品都依照此安全管理规范和体系,确保产品的各项安全性能指标。
2创新点
为顺应移动互联网时代,运营商从基础通信运营向流量运营转型的新趋势,湖北移动确定了“业务转型,安全先行”的发展思路,坚持“以安全保发展、以发展促安全”。在已有的网络与信息安全管理办法的基础上,积极开展适应移动互联网时代安全管理体系建设,不断推进科学的安全管理方法,做到六“注重”六“突出”,即:(1)注重整体规划,突出体系建设,促进职责高效履行。制定下发安全标准化管理与评价体系建设计划,内容涵盖安全工作方针目标、安全目标、各方职责、安全管理体系和模式、安全设施和机房环境保护设施标准、安全文明操作保证金、安全考核与奖惩、过程的主要控制措施、应急准备和响应等方面。严格按计划有序开展体系建设工作;严格按体系文件要求开展业务或系统试运行工作;加强保证与监督体系的建设。(2)注重文化建设,突出信息安全特色,促进习惯养成。以人为本,加强企业安全文化建设,促使安全文化落地,提高员工安全与风险防范意识。(3)注重教育培训,突出行业特色,达到安全管理效果。通过多种渠道、形式多样的安全教育和培训方式,组织各单位安全管理人员开展安全教育和培训工作:一是安排专家和行业资深人士进行专题讲座;二是在专题培训的基础上,做好网络与信息安全专项工作如何开展的培训。(4)注重设备管理,突出针对特色,实现安全管理精细化。首先,网络设备较多,加强网络安全管理提高设备安全可靠性是首要任务,为此各维护单位对每台设备均建立了安全技术台帐,台帐包括运行记录、检查保养记录和定期检验记录。其次,组织精干力量先后两次对所有设备、流程、机房进行全面的安全评估工作。第三,使隐患排查整改形成机制。(5)注重安全投入,突出专用特色,合理使用安全生产费用。认真落实安全管理费用投入长效机制,加大安全费用的管理,做到专款专用,确保安全生产费用规范化、合理化和足额投入。并加强安全生产保证金的管理,建立安全生产保证金并实行年底考核的机制,有效促进了安全管理工作。(6)注重应急预案,突出超前特色,安全管理赢在主动。在安全管理中,把预防工作落到实处,建立健全了应急处置机构,将应急处置工作进一步制度化,规范化,形成了完整的安全事故预防体系。同时,开展形式多样、符合实际的应急演练。
3结语
信息安全管理范文8
国家、省市已经颁布各种法律法规,各大单位也根据自己的具体情况,建立了自己的规章制度,维护信息安全已经有法可依。但是信息安全管理工作涉及的知识面非常广,需要了解国家信息安全管理法规,需要学习信息技术一般理论,需要知道信息安全漏洞知识,需要明白信息安全禁令范畴。为提高学习效率和质量,全面掌握信息安全理论和方法,按照信息安全管理知识体系,建设信息安全管理教学系统,提供学习信息安全管理的教学条件,从而为各方面人员学习和执行各种规章制度提供依据。相比其他管理工作,信息安全管理工作需要比较多的理工专业基础和比较高的电脑技术要求,在实际的信息安全管理工作中,需要灵活的信息安全管理处置能力,更多的是判断信息安全问题、识别信息安全陷阱、规范信息安全管理。由于知识背景和工作性质特点,管理干部需要花费更多的时间和精力学习信息安全管理知识和技术,才能具备基本的信息安全防范技能。为帮助他们更好地独立处置信息安全管理问题,掌握发现问题解决问题技能,依据现代教育理念和方法,不仅需要提供深入浅出、知识完备的知识体系学习训练系统,而且需要信息安全管理能力训练系统。
二、信息安全管理培训思路
为满足信息安全管理工作在人员培训方面的需要,需要依托各级培训学校,按照国家和省市地方的制度法规,借助现代教育思想,借助现代教育技术,明确符合实际需要的功能定位,建设信息安全管理复合应用型人才培训体系,实现信息安全管理工作对培训教育、终身教育的培训要求。
1.培训依据
(1)依据各种信息安全管理制度法规。信息安全人员在履行工作职责的时候,必须按照各种信息安全管理法规、制度和要求实施,制订人才培养方案和教学计划必须依据国家、省市和本部门的信息安全管理的相关规定,这样的教学内容才能保证人才培养的针对性和实用性,保证管理干部履行信息安全管理职责的有效性。涉及信息安全制度法规的相关文件很多,有的是专门为信息安全制订的,有的制度和法规散落在各个业务管理制度中。在建设信息安全管理知识体系时,必须将业务部门的相关规定融入知识体系中,使得管理干部在处理具体业务中的信息安全管理工作具有针对性和有效性。
(2)符合培训教育特点规律。信息安全管理技能是从事管理工作人员的基本技能,属于岗位专业培训或专业技能培训,属于培训教育培训。受训人员专业背景不同,理论基础不同,学习能力不同,必须避免统一教材、统一授课、统一训练、和统一考核的传统教学模式,采取因人而异、因材施教的有针对性的教学方式,强调个性化学习,将不同层次受训者的信息安全管理能力达到信息安全管理工作所需要的水平上来。
(3)遵循现代教育思想。在实施教育训练过程中,现代教育思想要求采取“学为主体、教为主导”的教学理念,学员能够方便地获得完整的知识体系和解决问题的技能和方法,自主学习,开放学习,自主理解、掌握知识和技能。为实现教学目的,需要分析信息安全管理技能特点,需要分析管理干部学习动力,结合教学目标,设计学员学习和训练的教育训练环境,提供完整的知识体系、丰富的教学资源、模拟的问题情况、交互的学习平台和方便的使用途径,提供与培训教育特点规律和技能训练要求相适应的培训条件。
2.信息安全管理培训目标
按照信息安全管理工作的实际情况,培养信息安全管理工作中管理、业务和技术三支人才队伍,突出业务和管理人才需要,兼顾信息安全技术人员的人才培养,以现代教育思想为指导,以信息技术为核心支持技术,建设满足信息安全人才培养的现代培训条件。信息安全管理培训以管理干部为培训对象,以信息安全管理工作为培训内容,区分信息安全管理人员、业务干部和信息技术专门人员等不同层次,跟踪信息安全管理形势,实行阶段反复轮训,以适应信息安全管理不断发展的需要,确保信息安全管理工作的正常开展。
三、信息安全管理培训环境构建
为适应信息安全管理培训需要,适应管理干部培训教育需要,必须构建遵循信息安全管理规定、符合现代教育思想、依托信息技术手段、瞄准复合型适用人才培养的教育环境。信息安全管理培训条件涉及面很广,包括组织机构、舍堂馆所、师资队伍、后勤保障等等,这里我们更关心符合培训思路的培训模式和教学支持。从知识体系、学习途径、训练场所和训练系统多方面着手,构建信息安全管理训练体系,构建管理人员信息安全人才培养条件。依据教育信息化研究成果和培训教育教学特点,需要建立完整的信息安全管理知识体系,建立开放式、自主式教育网络平台,建立强时效性的教学资源体系,建立信息安全管理知识测试系统,建立信息安全管理能力训练系统,等等。
1.构建信息安全管理知识体系
培训教育的一个特点就是受训对象知识背景和技能掌握程度千差万别,必须首先建立完整的知识体系,以满足不同基础、不同需求受训者对知识掌握和能力训练的要求。知识体系必须建立覆盖学科知识和管理手段的所有内容,包括理论体系和教学资源两部分,其中理论体系包括基础知识、安全理论、规范制度、管理方法、历史沿革、防范手段和操作方法,教学资源包括现状分析、经典案例、技术讲解、训练题库和数据模型,适应和满足每个受训对象的需求。为满足个性化服务需要,可以按照知识点建设模块化框架结构,设计具备菜单选择功能的专家系统,允许受训者建立适合自己的个性化教学计划和实施方案,确保受训者完成培训任务后胜任安全管理的岗位需要。可以建立智能教学计划生成系统,系统对每位受训者进行知识和技能测试,按照教学目标,根据测试结果,将该学员没有掌握或掌握不够的知识内容和技能形成列表,从知识体系中搜寻相关知识和技能的概念、理论、技术和操作技能,形成该受训者个性化的教学计划。随着信息技术的发展和信息安全管理需求的变化,信息安全管理知识体系应该是动态更新的,剔除修改陈旧的,充实替换实用的。
2.搭建开放、共享和交流的网络平台
网络平台是信息资源共享的基础,是交流互动的基础。按照学科专业建设与管理规范建设知识体系,以数字化形式在互联网,实现信息安全管理教育资源共享。作为资源共享平台的网络平台,不仅为建设者资源共享提供平台,而且可以为学习者提供资源上传服务,成为学习者之间相互交流资源的共享平台,更为信息资源积累提供了很好的机制和存储条件。网络具有两个特点,一是允许网络用户365天24小时使用,可以提供受训者随时学习和训练,二是允许网络用户在任何有信息覆盖的地方登录,可以提供受训者随地学习和训练,这两个特点打破了传统教学时空的限制,为学员自主学习、教师开放教学、师生互动交流提供了可能,也为实施现代教育思想提供了条件。
3.建立虚拟讲堂
优秀教师的讲授可以将学习效果演绎得趣味精彩,可以将学习内容组织得明白易懂,可以将现实运用解析得透彻自然。为更多学员获得完美的教学体验,为积累并共享优秀教学资源,为学员快捷准确全面理解知识运用知识提供帮助,记录、整理并优秀教师或专家授课录像,供更多受训者学习参考。教学录像在网上成为虚拟讲堂,成为不同专业不同时期受训者良好的教学资源,目前全球风行的慕课,可以成为这种培训目的的教学模式,成本低,效益好。因为技术层面的因素,信息安全管理知识体系在理论基础和原理解释有大量不易理解的知识点和疑难问题,学习时需要佐证的理论和严谨的逻辑,需要传授者环环相扣的谨密推演,因此针对重要知识点和疑难杂诊的讲授片段是受训者自主式学习时需要的重要教学参考资料。各个大学基本都建设了网络课堂,为虚拟讲堂建设提供了很好的技术平台。依据此平台,建设信息安全管理和教学资源和网络课程,可以构筑完整的知识体系,为培训教育自主式学习提供了很好的学习资源。
4.建设信息安全管理实验室
培训教育能力训练是教学环节中的主要部分,验证理论、观摩操作方法和训练技能需要包括场所、设备和软件等实验条件,实验室是完成实验任务和检验方法效果必须具备的教学条件。理论、方法和技能的实验和训练是信息安全管理培训需要完成的教学环节,这些需要信息安全专业实验室的支持。信息技术具有可设计、可复制、可重用的特点,使得基于信息技术的教育训练条件具备降低训练费用、提高学员学习自主性、提供学员反复学习等长处,结合音频处理技术、视频处理技术、三维动画技术,可以为学员学习提供强烈逼真的感官刺激、美轮美奂的艺术表现和自主操控的虚幻体验。从训练目的而言,实验室可以分为虚拟实验室和能力训练场两部分。
(1)虚拟实验室。信息安全管理涉及大量技术手段,信息安全技术攻击和防范具有不可见、不易理解的特点,需要显而易见、通俗易懂的形象展示。虚拟实验室是依托信息技术按照实验室运行规律、要求和任务,以网页形式在计算机网络上建立的可以模拟实验室运行的软件系统。虚拟实验室内设信息安全管理所需要的各种理论、方法和技能引擎,可以多维形象地反复演示信息安全管理的理论、方法和技能,可以允许受训者以第一人称介入并依据受训者干预情况展示相应信息安全分析结果,虚拟实验室可以记录并考核受训者实验过程和成绩。
