發(fā)布時(shí)間:2022-03-11 18:31:32
序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的信息安全管理樣本,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā),請(qǐng)盡情閱讀。
為了保證互聯(lián)網(wǎng)信息的安全以及做好信息的保密工作,安全管理系統(tǒng)的設(shè)計(jì)內(nèi)容大體上分為三個(gè)模塊,首先是安全體制模塊,包含算法庫(kù)、信息庫(kù)以及用戶界面三個(gè)小方面;其次是網(wǎng)絡(luò)連接模塊,包含安全協(xié)議以及通信接口兩個(gè)小方面;最后是網(wǎng)絡(luò)信息傳輸,包含安全管理、安全支撐以及安全傳輸三個(gè)系統(tǒng)。算法庫(kù)是關(guān)于一些處理算法。信息庫(kù)是關(guān)于用戶進(jìn)入口令、管理參數(shù)以及權(quán)限的設(shè)定,檢查系統(tǒng)運(yùn)行狀況。
用戶接口是用戶操作界面以及用戶私人信息管理。安全協(xié)議包括連接網(wǎng)絡(luò)協(xié)議、用戶個(gè)人身份確定協(xié)議等。通信接口的安全保障是依賴于安全協(xié)議的工作、在通常情況下,通信接口的實(shí)現(xiàn)方式包括兩種:第一是用戶在進(jìn)入互聯(lián)網(wǎng)時(shí),才開啟安全服務(wù),并運(yùn)行安全體制,用戶所傳輸?shù)男畔⒍际墙?jīng)過系統(tǒng)的加密處理,然后被傳輸?shù)交ヂ?lián)網(wǎng)上,或者是數(shù)據(jù)鏈路,是比較透明的互聯(lián)網(wǎng)信息傳輸與交換。此種方法很容易實(shí)現(xiàn),而且不用對(duì)用戶目前所使用的系統(tǒng)做一絲改動(dòng),用戶所要投入的資金也比較少。第二種是修改目前的通信協(xié)議,在互聯(lián)網(wǎng)與應(yīng)用之間增加一個(gè)安全層,使信息的安全處理變得透明化以及自動(dòng)化。安全管理系統(tǒng)是一個(gè)包含很多程序的軟件包,主要負(fù)責(zé)用戶界面上安全管理器的正常工作,可以使得用戶很容易地控制計(jì)算機(jī)上信息的傳輸,保證安全。我們通常把這個(gè)系統(tǒng)安裝在用戶計(jì)算機(jī)的終端,或者是網(wǎng)絡(luò)節(jié)點(diǎn)。安全支撐系統(tǒng)是整個(gè)安全管理系統(tǒng)最值得信任的一方,其物理安全以及邏輯安全是非常重要的,需要得到嚴(yán)密而全面的防護(hù)。
二、安全管理系統(tǒng)的實(shí)現(xiàn)
安全管理系統(tǒng)總共包括以上的內(nèi)容,具體的實(shí)現(xiàn)有很多的問題,需要有條不紊的進(jìn)行。以下是針對(duì)管理系統(tǒng)實(shí)現(xiàn)所采取的具體的實(shí)現(xiàn)步驟,按照這些步驟來(lái)一步一步進(jìn)行,不會(huì)出現(xiàn)混亂的情況,而且條理清晰,可以降低出錯(cuò)的幾率,也可以保證管理系統(tǒng)的質(zhì)量。
(一)熟知互聯(lián)網(wǎng)的狀況,估計(jì)風(fēng)險(xiǎn)及各種木馬攻擊
互聯(lián)網(wǎng)上的信息安全保障是很薄弱的一個(gè)環(huán)節(jié),如果防護(hù)措施做不好,就會(huì)經(jīng)常受到黑客的攻擊,盜取信息,甚至泄露出去,造成個(gè)人或者是企業(yè)的損失。為了預(yù)防或者是擊退這些攻擊,需要全面地了解平時(shí)所有的攻擊方式、攻擊方位,還有要了解哪些部分是比較薄弱的地方,給予加強(qiáng)保護(hù)。只有掌握了攻擊的全面資料,才可能有針對(duì)性地做出比較全面而可靠的保護(hù)措施。
(二)安全策略的制定與優(yōu)化
安全管理系統(tǒng)需要一個(gè)明確的目標(biāo)與原則,這就是安全策略。安全策略的優(yōu)化需要考慮以下幾個(gè)方面:第一需要從系統(tǒng)整體出發(fā),咨詢用戶的需求,根據(jù)應(yīng)用的環(huán)境來(lái)制定策略,這其中包含各個(gè)子系統(tǒng)的策略制定。第二需要考慮策略的制定會(huì)不會(huì)對(duì)原有的系統(tǒng)產(chǎn)生什么負(fù)面的影響,比如通信延時(shí)等。第三,策略的制定要方便用戶對(duì)計(jì)算機(jī)的操作,包括控制,管理以及配置等。第四,用戶界面要人性化。第五,投資的金額要少。
(三)安全模型
模型可以把抽象的問題具體化,使問題簡(jiǎn)單起來(lái),不再那么復(fù)雜,尋求到更好地解決辦法,制定更加完善的安全策略,就像是教師教學(xué)時(shí)經(jīng)常使用各種模型,讓學(xué)生容易理解深?yuàn)W的問題。模型包括整個(gè)系統(tǒng)中的所有子系統(tǒng),這些子系統(tǒng)在上面的內(nèi)容已經(jīng)有過闡述。
(四)安全服務(wù)的選擇以及實(shí)現(xiàn)
應(yīng)用密碼技術(shù),來(lái)實(shí)現(xiàn)向用戶所保證的安全服務(wù)。這是一種現(xiàn)代的技術(shù),能夠保障整個(gè)系統(tǒng)的安全性,保護(hù)用戶的私人信息,使用戶不用再擔(dān)心個(gè)人資料的泄漏,保障用戶的個(gè)人利益。安全服務(wù)有兩條實(shí)現(xiàn)的途徑,分別為軟件編程以及硬件芯片,其中在通過軟件編程來(lái)實(shí)現(xiàn)安全服務(wù)時(shí),需要注意機(jī)身的內(nèi)存,優(yōu)化系統(tǒng)的流程,增加程序運(yùn)行時(shí)的穩(wěn)定,以及降低運(yùn)算時(shí)間。
(五)安全協(xié)議的制定
1.高校圖書館還比較缺乏信息安全管理方面的人才。從當(dāng)前一個(gè)時(shí)期來(lái)看,高校圖書館無(wú)論從管理層角度,還是從普通館員角度都有一個(gè)共識(shí),那就是高校圖書館信息安全管理對(duì)專門的安全技術(shù)人員非常認(rèn)可。然而現(xiàn)實(shí)是,高校圖書館專門信息安全人才依然比較匱乏,平時(shí)高校圖書館忙于事務(wù)性工作,也欠缺對(duì)館員進(jìn)行信息安全方面的培訓(xùn)和培養(yǎng)。
2.缺乏綜合性的安全解決方案。在實(shí)踐過程中,高校圖書館為了保證信息安全運(yùn)行,使用了大量的硬件防火墻、入侵監(jiān)測(cè)系統(tǒng)和殺毒軟件。從長(zhǎng)遠(yuǎn)講,這些措施還不能遠(yuǎn)遠(yuǎn)不能解決問題,高校圖書館在信息安全管理方面依然缺乏綜合性的解決方案,雖然也有各種信息安全管理規(guī)章制度和某些解決方案,沒有一個(gè)系統(tǒng)來(lái)組織這些規(guī)章制度和解決方案。
二、信息時(shí)代條件下創(chuàng)新高校圖書館信息安全管理的主要措施
(一)必須要對(duì)管理信息系統(tǒng)進(jìn)行科學(xué)規(guī)劃。對(duì)于高校圖書館來(lái)講,進(jìn)行管理信息系統(tǒng)創(chuàng)新,也離不開這個(gè)步驟,也必須做好前期的調(diào)查研究工作,研究擬開發(fā)設(shè)計(jì)的管理信息系統(tǒng)在本館的可行性、以及使用后的效果性等內(nèi)容。科學(xué)規(guī)劃所設(shè)計(jì)到的主要內(nèi)容有:制定前期科學(xué)、完善的主要目標(biāo),并對(duì)管理信息系統(tǒng)長(zhǎng)期發(fā)展方案進(jìn)行編,以確定管理信息系統(tǒng)在整個(gè)組織中發(fā)展方向、使用規(guī)模以及發(fā)展進(jìn)程;開展初步調(diào)查,其目的是為了合理地確定系統(tǒng)目標(biāo),進(jìn)行系統(tǒng)總體分析以及可行性研究,摸清本圖書館在管理信息系統(tǒng)建設(shè)存在的迫切性、主要不足、可行性和可能性;在初步調(diào)查的基礎(chǔ)上,形成詳實(shí)的調(diào)研報(bào)告,為后期系統(tǒng)詳細(xì)調(diào)研奠定基礎(chǔ)。
(二)對(duì)圖書館管理信息安全管理系統(tǒng)實(shí)施可行性分析。在前期初步調(diào)查的過程中,嚴(yán)格執(zhí)行調(diào)查內(nèi)容,明確圖書館管理信息系統(tǒng)的目標(biāo),對(duì)現(xiàn)行系統(tǒng)的基本情況作出初步了解、明確可行性。結(jié)合管理信息系統(tǒng)對(duì)運(yùn)行環(huán)境、資源要求等條件進(jìn)行考量,判斷出圖書館所擬上管理信息系統(tǒng)是否具有必要性和可能性。對(duì)管理信息系統(tǒng)現(xiàn)存的主要不足、問題、緊迫性、希望新的管理系統(tǒng)所能夠帶來(lái)主要功能、開發(fā)態(tài)度、資金保障、專業(yè)人員配備、后期維護(hù)與管理等方面進(jìn)行全方位了解。
(三)開發(fā)創(chuàng)新高校圖書館信息安全管理的新型系統(tǒng)。管理信息系統(tǒng)開發(fā)創(chuàng)新是更好提高管理效能的重要手段。當(dāng)前高校圖書館生存發(fā)展的宏觀、微觀環(huán)境已經(jīng)發(fā)生了深刻變化;高校圖書館職能的發(fā)揮必須要建立在充分隨時(shí)隨地取得準(zhǔn)確而及時(shí)的管理決策方面的內(nèi)部信息與外部信息,甚至是與高校圖書館管理過程中各項(xiàng)決策決議執(zhí)行情況的反饋信息,以實(shí)現(xiàn)對(duì)高校圖書館業(yè)務(wù)與管理的及時(shí)調(diào)控。管理信息系統(tǒng)主要的功能不但能夠有效進(jìn)行數(shù)據(jù)與信息的搜集、處理、而且還具備了預(yù)測(cè)和控制功能;在高校圖書館實(shí)施管理信息系統(tǒng)創(chuàng)新,對(duì)于高校圖書館管理曾來(lái)講,能夠有效解決在管理中所面臨的半結(jié)構(gòu)化問題和非結(jié)構(gòu)化問題,有效提高一種定性與定量分析的方法,有效提高管理效率和決策的科學(xué)化水平。
三、結(jié)語(yǔ)
電子信息安全管理防范意識(shí)管理質(zhì)量近些年來(lái),我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)異乎尋常地突飛猛進(jìn),把人們帶入了前所未有的信息化時(shí)代,網(wǎng)絡(luò)和人們息息相關(guān),無(wú)論工作、學(xué)習(xí)、生活、購(gòu)物乃至娛樂與游戲,一刻也離不開網(wǎng)絡(luò)的支持。信息化和網(wǎng)絡(luò)化時(shí)代,電子商務(wù)(Electronic Commerce)應(yīng)運(yùn)而生。隨著電子商務(wù)的出現(xiàn),人們的交流更加便利,比如電子郵件可以隨時(shí)隨地地進(jìn)行傳遞,電子商務(wù)讓人們的生活更加隨心所欲,工作效率得到了前所未有的提高。黑客(hacker)的出現(xiàn),極大地干擾了網(wǎng)絡(luò),帶來(lái)了一定的破壞,給人們帶來(lái)了巨大的經(jīng)濟(jì)損失和精神方面的憂慮,甚至一度引起全世界范圍內(nèi)的恐慌,人們對(duì)電子信息失去了信任,即使在安全的情況下,很多人依然心有余悸。以故,加強(qiáng)電子信息安全管理勢(shì)在必然。
一、電子信息安全管理中存在的問題
1.安全防范意識(shí)落后
我國(guó)的信息技術(shù)迅猛發(fā)展,人們沉浸在便利的喜悅中,忽略了安全管理。由于電子商務(wù)處于初步發(fā)展階段,很多技術(shù)方面尚不成熟,一些高標(biāo)準(zhǔn)的電子商務(wù)平臺(tái)尚還沒有搭建起來(lái),對(duì)黑客缺乏防御的小型電子商務(wù)平臺(tái)雖然隨處可見,但其缺乏有效的安全管理,經(jīng)營(yíng)者麻痹大意,心存僥幸,認(rèn)為“黑客”雖然存在,但是自身未必遭受攻擊,他們更多地關(guān)注業(yè)務(wù)的發(fā)展,重視平臺(tái)規(guī)模的擴(kuò)大和系統(tǒng)功能的開發(fā)。在這種情況下,系統(tǒng)缺乏安全防御,一旦受到攻擊,立即癱瘓不能運(yùn)轉(zhuǎn)和造成損失。此外,有些管理者為了防御黑客,在市場(chǎng)上購(gòu)買了一些大眾化的安全管理軟件,便覺得安裝了這些“高新”產(chǎn)品,就會(huì)高枕無(wú)憂,永遠(yuǎn)安全的使用電子商務(wù)。結(jié)果,常常事與愿違,造成巨大的損失。
2.信息安全技術(shù)匱乏
經(jīng)過一段時(shí)間的努力,國(guó)內(nèi)的信息安全管理技術(shù)不斷提升,連續(xù)邁上新的臺(tái)階,情況喜人。但是,我們也要有自知之明,因?yàn)楹驮S多西方國(guó)家相比,信息安全防御與控制技術(shù)相對(duì)落后很多,并且,我們?cè)诮?jīng)費(fèi)的投入方面,有明顯的差距;自主研發(fā)技術(shù)存在的不足之處多多,亟需改善。我們更要清楚的一點(diǎn)是:我們的技術(shù),很多都是借鑒國(guó)外的經(jīng)驗(yàn),缺乏獨(dú)創(chuàng)。如此步人后塵,電子信息安全管理質(zhì)量難以有質(zhì)的突破。
3.信息安全產(chǎn)品鑒定混亂無(wú)序
為了安全起見,很多企業(yè)花費(fèi)不菲,購(gòu)買了一些安全方面的軟件,殊不知,這些產(chǎn)品在一般情況下,確實(shí)能夠起到電子信息使用平臺(tái)的安全作用,但如果病毒強(qiáng)大,絕對(duì)的安全便難以保證。縱觀市場(chǎng)上的安全軟件產(chǎn)品,良莠不齊,并且,目前市場(chǎng)上對(duì)于安全產(chǎn)品的鑒定沒有統(tǒng)一標(biāo)準(zhǔn),各執(zhí)一說(shuō),很多都是主觀判斷,由此產(chǎn)生隱患。
二、電子信息安全管理的有效措施
在電子信息安全管理方面,一旦出現(xiàn)問題,就會(huì)造成損失,一些企業(yè)“吃一塹長(zhǎng)一智”,采取了相關(guān)措施,不過,調(diào)查表明,大多數(shù)企業(yè)存在“重技術(shù),輕管理”的情況,而且由于一些企業(yè)尚未造成重大損失,管理層對(duì)安全問題漠不關(guān)心,或重視不夠。下面針對(duì)加強(qiáng)電子信息安全管理的主要措施做一探討。
1.構(gòu)建完善的管理組織機(jī)構(gòu),加強(qiáng)管理
電子信息安全管理組織機(jī)構(gòu)的完善有力地促進(jìn)了企業(yè)的發(fā)展,從安全決策到認(rèn)真執(zhí)行,層層構(gòu)架,發(fā)揮職能。管理框架的構(gòu)建要集思廣益,審慎剴切;安全制度的審批須一絲不茍,審查入微;安全職責(zé)的分配必須認(rèn)真到位,監(jiān)督有力;遵照網(wǎng)絡(luò)系統(tǒng)安全制度,嚴(yán)肅執(zhí)行,進(jìn)行網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)。如屬于大型的電子商務(wù)平臺(tái)或者集團(tuán)企業(yè),更加需要增加投入,比如聘請(qǐng)有造詣的專家成立顧問組織,以便企業(yè)進(jìn)行疑難咨詢,或是參照出現(xiàn)的問題出列解決方案,爾后進(jìn)一步對(duì)責(zé)任進(jìn)行調(diào)查、評(píng)估。
2.電子信息安全管理制度有待進(jìn)一步完善
電子信息安全管理制度主要包括兩方面的內(nèi)容,第一點(diǎn)就是構(gòu)建電子信息控制制度,第二點(diǎn)是出現(xiàn)問題之后的解決策略。關(guān)于第一點(diǎn),需要明確責(zé)任,注重細(xì)節(jié),出現(xiàn)任何情況都要嚴(yán)格審核,并且定期檢查;至于第二點(diǎn),注意信息傳遞過程中的信息維護(hù),密切跟蹤,及時(shí)報(bào)告,達(dá)到有效監(jiān)督。最后,備份數(shù)據(jù)文件儲(chǔ)存。
3.專業(yè)亟待提升
互聯(lián)網(wǎng)的發(fā)展突飛猛進(jìn),普及千家萬(wàn)戶,安全技術(shù)的研發(fā)相對(duì)于互聯(lián)網(wǎng)的發(fā)展遠(yuǎn)遠(yuǎn)落后,原因諸多,最重要的一點(diǎn)就是缺乏過硬的技術(shù)人員。一般而言,電子商務(wù)規(guī)模越大,電子信息安全管理隊(duì)伍的陣容也要隨之?dāng)U充,只有電子信息安全管理隊(duì)伍強(qiáng)大,才能夠產(chǎn)生無(wú)窮的智慧與應(yīng)對(duì)措施,保證電子商務(wù)平臺(tái)的安全。
4.系統(tǒng)安全檢測(cè)
黑客一詞被用于泛指那些專門利用電腦網(wǎng)絡(luò)和系統(tǒng)安全漏洞對(duì)網(wǎng)絡(luò)進(jìn)行攻擊破壞或竊取資料的人。病毒與黑客不斷變換手段,頻頻對(duì)電子商務(wù)系統(tǒng)采取攻擊行動(dòng),有時(shí)候能導(dǎo)致整個(gè)系統(tǒng)癱瘓。出現(xiàn)意外情況,要立即檢測(cè),要經(jīng)常更換密碼,設(shè)置復(fù)雜一些的密碼,要經(jīng)常對(duì)防火墻進(jìn)行檢查,系統(tǒng)功能是否保持,是否出現(xiàn)漏洞等,要細(xì)致入微,不能有一絲一毫的疏忽,嚴(yán)防黑客侵入。
5.建立保護(hù)系統(tǒng)的方案
時(shí)常進(jìn)行安全檢測(cè),一旦系統(tǒng)的安全檢測(cè)失靈,必須立即建立系統(tǒng)安全防護(hù)措施。系統(tǒng)安全管理極其復(fù)雜,缺乏安全可靠的保護(hù),電子商務(wù)在網(wǎng)絡(luò)平臺(tái)失去有效的依靠,隨時(shí)會(huì)出現(xiàn)漏洞。反之,安全策略嚴(yán)謹(jǐn),防護(hù)得力,即便系統(tǒng)遭受攻擊,也會(huì)及時(shí)發(fā)現(xiàn),能將損失最小化。
6.管理培訓(xùn)的重要性
防護(hù)系統(tǒng)的工作人員,要進(jìn)行考試錄用、上崗培訓(xùn),企業(yè)經(jīng)常進(jìn)行人員培訓(xùn),定期學(xué)習(xí)安全策略和規(guī)章制度。讓每一個(gè)員工加強(qiáng)安全觀念,提升對(duì)信息安全的重視,認(rèn)識(shí)到防護(hù)的重要性,堅(jiān)守崗位,忠于職守,明了企業(yè)安全規(guī)章制度的含義。
三、結(jié)語(yǔ)
綜上所述,近年來(lái)經(jīng)濟(jì)騰飛,經(jīng)濟(jì)全球化進(jìn)程不斷加快,計(jì)算機(jī)技術(shù)無(wú)所不在,網(wǎng)絡(luò)暢通無(wú)極,人們?cè)诰W(wǎng)絡(luò)平臺(tái)上進(jìn)行商務(wù)管理、學(xué)習(xí)、游戲、查找資料、購(gòu)物匯款等等,網(wǎng)絡(luò)信息交互平臺(tái)已經(jīng)深入大家的生活,人們已經(jīng)一日不可沒有網(wǎng)絡(luò)的存在。網(wǎng)絡(luò)如此不可或缺,隨著計(jì)算機(jī)病毒造成的一次次的損失,人們對(duì)電子信息安全管理質(zhì)量憂心忡忡。
在這一背景下,很多電子信息安全管理研究機(jī)構(gòu)紛紛推出各類電子信息安全管理產(chǎn)品,盡管其對(duì)確保信息安全起到了一定的功效,但是,一切并不是萬(wàn)能的。這也使得人們明白了技術(shù)產(chǎn)品并不僅僅是安全管理工作的全部。本文結(jié)合當(dāng)前電子信息安全管理現(xiàn)狀,提出了一些相應(yīng)的應(yīng)對(duì)措施,希望能夠有效提升電子信息安全管理的質(zhì)量。
參考文獻(xiàn):
[1]姚帝曉.電子商務(wù)安全問題的思考[J].商場(chǎng)現(xiàn)代化,2006,(7):103.
關(guān)鍵詞:信息系統(tǒng) 信息社會(huì) 安全管理
中圖分類號(hào):TP393.0 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2013)07-0170-01
隨著網(wǎng)絡(luò)的迅速發(fā)展,信息化的進(jìn)程越來(lái)越快,對(duì)我國(guó)的可持續(xù)發(fā)展也有著重要的影響作用。以網(wǎng)絡(luò)為例,在1997年我國(guó)網(wǎng)民的人數(shù)有62萬(wàn)人次,到了1999年底,就已經(jīng)增至890萬(wàn)人次,是1997年的14倍,同時(shí),1997年的網(wǎng)站數(shù)量?jī)H僅只有1500個(gè),到1999年時(shí)已經(jīng)增長(zhǎng)了十倍。網(wǎng)絡(luò)化和信息化已經(jīng)在人們的生活中占據(jù)到非常重要的位置,深深的影響著人們生活的各個(gè)方面,同時(shí)也在潛移默化的改變著人們的思維模式。作為新時(shí)代的一員,每個(gè)人都自然而然的成為了信息化的一部分,所以信息化同時(shí)也影響著社會(huì)上的每個(gè)人,信息的安全管理問題也成為了人們最關(guān)切的問題。
1 信息安全管理的主要研究工作
隨著信息系統(tǒng)安全管理工作的不斷改進(jìn),它的復(fù)雜性也在不斷的增強(qiáng),對(duì)于信息安全的管理工作來(lái)說(shuō),難度也在不斷的增加。所以,應(yīng)該采用科學(xué)的手段,建立一個(gè)完善的信息安全管理體系和綜合的安全管理機(jī)制,使信息系統(tǒng)的安全管理任務(wù)更加便利,同時(shí)防范不良用戶對(duì)信息的攻擊和越權(quán)操作。下文對(duì)安全管理的研究工作進(jìn)行了相關(guān)的研究。
第一,要想有效的保證信息系統(tǒng)中安全管理的問題,策略模型是一個(gè)決定性因素,它的好壞決定著信息系統(tǒng)的安全性能和使用性能。在對(duì)信息安全進(jìn)行管理的過程中,要充分運(yùn)用策略模型的特征進(jìn)行分析,該模型將不同的應(yīng)用歸屬到不同的信任區(qū)域中,通過對(duì)區(qū)域的訪問和控制,從而更好的維護(hù)應(yīng)用的運(yùn)行,保證管理工作的順利運(yùn)行。
第二,建立健全的管理機(jī)制,管理機(jī)制對(duì)系統(tǒng)的安全起著很大的保障作用。有效的安全管理措施能夠?yàn)樾畔⑾到y(tǒng)防御內(nèi)部以及外部帶來(lái)的攻擊。通過設(shè)計(jì)完善的管理流程,使管理員之間形成相互協(xié)作、制約的和諧關(guān)系,不斷的增強(qiáng)管理的安全性能。
第三,根據(jù)策略模型以及管理流程工作,對(duì)管理體系的整體框架進(jìn)行設(shè)計(jì),基于LINUX的安全機(jī)制內(nèi)容,在LINUX環(huán)境下,設(shè)置系統(tǒng)管理員、審計(jì)員和安全管理員相互制約的管理機(jī)制,保障管理機(jī)制的持續(xù)發(fā)展。
2 目前信息安全管理中存在的問題
在目前的信息安全管理中,主要面臨著兩個(gè)方面的威脅,一個(gè)是誤用,一個(gè)是入侵。誤用是指在用戶的權(quán)限時(shí)出現(xiàn)配置錯(cuò)誤,對(duì)訪問的控制不到位,在應(yīng)用的時(shí)候有一定的缺陷;入侵是指當(dāng)系統(tǒng)遭受到外部的惡意攻擊,企圖對(duì)內(nèi)部的信息系統(tǒng)進(jìn)行越權(quán)的操作。這兩個(gè)威脅的出現(xiàn)的很重要的原因是因?yàn)樵诠芾磉^程中,實(shí)施不到位,安全管理方面出現(xiàn)了嚴(yán)重的漏洞。
在目前的信息系統(tǒng)管理中,不僅僅要依靠專業(yè)的技術(shù)手段來(lái)保證信息的安全,同時(shí)需要有效的管理對(duì)系統(tǒng)進(jìn)行更好的維護(hù),因?yàn)樵谛畔⑾到y(tǒng)運(yùn)行的過程中,常常會(huì)因?yàn)楣芾淼氖韬鲈斐上到y(tǒng)無(wú)法達(dá)到預(yù)期的目的。舉個(gè)例子來(lái)說(shuō),對(duì)于一般的系統(tǒng)而言,合法用戶通常被分為兩個(gè)類型,一個(gè)是具有所有權(quán)利的超級(jí)用戶,一個(gè)是沒有任何特權(quán)的一般用戶。在這種情形下,只要是能夠進(jìn)入到系統(tǒng)的任何人,都能夠?qū)⒆约恨D(zhuǎn)變?yōu)槌?jí)用戶的身份,同時(shí)能夠?qū)φ麄€(gè)系統(tǒng)進(jìn)行控制。隨著系統(tǒng)的功能不斷的增加,怎樣對(duì)信息進(jìn)行有效的管理和維護(hù),是一個(gè)比較棘手的問題。在信息系統(tǒng)的安全管理方面,主要存在著以下幾點(diǎn)問題。
其一,對(duì)整體機(jī)構(gòu)設(shè)計(jì)不夠合理。通常來(lái)說(shuō),企業(yè)會(huì)在安全技術(shù)問題上面投入大量的物力和財(cái)力,但是沒有運(yùn)用先進(jìn)的手段來(lái)對(duì)保障信息系統(tǒng)的安全問題進(jìn)行維護(hù),在管理結(jié)構(gòu)的設(shè)計(jì)上也不夠合理,不能及時(shí)的發(fā)現(xiàn)系統(tǒng)中存在的漏洞和安全問題,從而不能針對(duì)性的制定出相關(guān)的控制措施。
其二,信息安全管理工作不能得到落實(shí)。系統(tǒng)的安全性能和實(shí)用性能是一對(duì)不可調(diào)和的矛盾。在對(duì)系統(tǒng)使用的安全知識(shí)的普及過程中,無(wú)法讓所有的使用者都能夠深刻的了解其重要性,也無(wú)法讓他們承擔(dān)相應(yīng)的安全責(zé)任。信息系統(tǒng)的使用者往往只注重信息獲取的便捷性,而忽略了其安全問題,所以在安全管理的過程中,不能夠?qū)⑵溆行У穆鋵?shí),從而使安全功能的優(yōu)勢(shì)不能得到更大的發(fā)揮。
其三,信息的安全管理工作沒有得到有效的制約。在信息系統(tǒng)中,企業(yè)常常會(huì)設(shè)置擁有所有權(quán)限的超級(jí)用戶對(duì)系統(tǒng)進(jìn)行管理。在系統(tǒng)的管理中,超級(jí)用戶能夠訪問系統(tǒng)的任何信息資源,所以他們對(duì)系統(tǒng)進(jìn)行操作的過程中,出現(xiàn)的有意或者無(wú)意識(shí)的失誤就會(huì)對(duì)系統(tǒng)的安全造成很大的隱患。建立一個(gè)相互制約的環(huán)境,對(duì)信息系統(tǒng)的管理是一個(gè)很大的挑戰(zhàn)。
綜上所述,一個(gè)良好的安全管理機(jī)制對(duì)整個(gè)信息系統(tǒng)有著重要的影響,要想有效的保證信息系統(tǒng)的安全管理,首要應(yīng)該注意的問題是保證用戶和系統(tǒng)本身的行為是合法的,在信息系統(tǒng)的安全功能中,用戶能夠達(dá)到自身某種預(yù)期的目標(biāo),這種目標(biāo)包含安全目的。要使系統(tǒng)的安全管理功能得到最大限度的發(fā)揮,必須運(yùn)用強(qiáng)有力的管理手段對(duì)信息系統(tǒng)的安全性進(jìn)行保障。
3 結(jié)語(yǔ)
在對(duì)安全管理的問題進(jìn)做出決策時(shí),一定要實(shí)事求是,充分的將我國(guó)的安全管理技術(shù)現(xiàn)狀和水平考慮進(jìn)去。對(duì)于信息系統(tǒng)安全管理的重要性問題,世界上各個(gè)國(guó)家都制定了相關(guān)的管理措施和辦法,這些規(guī)范內(nèi)容對(duì)信息系統(tǒng)的安全性能檢驗(yàn)提供著重要的依據(jù)。目前,網(wǎng)絡(luò)中最大的安全隱患不是在國(guó)內(nèi)發(fā)現(xiàn)的,針對(duì)計(jì)算機(jī)病毒的解決措施也不是我國(guó)發(fā)明的,對(duì)于高級(jí)的黑客攻擊,在國(guó)內(nèi),并沒有一個(gè)有效的方法對(duì)其進(jìn)行掌握,黑客攻擊的檢測(cè)技術(shù)在國(guó)內(nèi)還處于較低的水平,所以我國(guó)要盡快的了解和正視自身存在問題,這樣才能夠更快的縮小與其他國(guó)家之間的差距。
參考文獻(xiàn)
[1]李全喜.計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞與防范措施[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2012(16).
[2]曲運(yùn)蓮.淺談學(xué)校計(jì)算機(jī)信息系統(tǒng)安全管理的措施[J].科技情報(bào)開發(fā)與經(jīng)濟(jì),2010(35).
數(shù)字化檔案是檔案與現(xiàn)代化的技術(shù)有機(jī)結(jié)合的新型檔案信息形態(tài),將檔案信息轉(zhuǎn)化成數(shù)字信息,應(yīng)用現(xiàn)代化技術(shù)的便捷性,將檔案信息進(jìn)行歸檔、利用以及資源共享等。這里所說(shuō)的現(xiàn)代化技術(shù)主要包括計(jì)算機(jī)技術(shù)、掃描技術(shù)、OCR技術(shù)、數(shù)字?jǐn)z影技術(shù)、數(shù)據(jù)庫(kù)技術(shù)、多媒體技術(shù)、存儲(chǔ)技術(shù)等。
2數(shù)字檔案信息安全問題相關(guān)分析
對(duì)于檔案信息本身來(lái)說(shuō),無(wú)論是傳統(tǒng)的檔案存儲(chǔ),還是現(xiàn)代化的數(shù)字檔案,安全問題都是首要問題。由于現(xiàn)代化的數(shù)字檔案是傳統(tǒng)檔案與現(xiàn)代化技術(shù)的結(jié)合,所以影響檔案信息安全問題的因素較多,這些因素的出現(xiàn),對(duì)數(shù)字化檔案信息安全造成了不同程度的影響。以下是對(duì)數(shù)字檔案信息安全問題的具體分析。
2.1數(shù)字檔案信息的安全管理。
檔案信息安全管理問題是決定數(shù)字檔案信息安全的直接因素。如果安全管理方面存在缺陷,例如制度的不完善、標(biāo)準(zhǔn)不統(tǒng)一、管理措施無(wú)效等,必然會(huì)失去數(shù)字檔案信息的基本保障。所謂的數(shù)字檔案信息安全管理主要包括管理制度、標(biāo)準(zhǔn)、管理措施,不僅如此還包括數(shù)字檔案信息歸檔流程等,相關(guān)流程不規(guī)范也會(huì)使數(shù)字檔案信息安全問題受到威脅。
2.2計(jì)算機(jī)故障問題。
由于數(shù)字檔案信息的歸檔及利用均以計(jì)算機(jī)為載體,所以計(jì)算機(jī)本身的不確定因素會(huì)影響數(shù)字檔案信息安全問題,其中計(jì)算機(jī)故障問題是影響數(shù)字檔案信息安全的主要問題,其中計(jì)算機(jī)故障又包括硬件故障與軟件故障。以下是對(duì)兩種故障的具體分析。
2.2.1硬件故障。
計(jì)算機(jī)硬件條件良好時(shí)數(shù)字檔案信息安全問題的基本保障,當(dāng)計(jì)算機(jī)硬件發(fā)生故障時(shí),數(shù)字檔案信息的存儲(chǔ)、查詢、利用等就會(huì)受到較大的影響,其在一定程度上導(dǎo)致檔案信息的丟失或損害,影響了檔案信息的完整程度,大大降低了數(shù)字檔案的使用質(zhì)量與效率,為使用者造成較大的不便。
2.2.2軟件故障。
計(jì)算機(jī)的軟件是處理數(shù)字檔案信息的必要條件,一旦計(jì)算機(jī)軟件出現(xiàn)故障亦或是性能無(wú)法滿足現(xiàn)階段數(shù)字化檔案信息系統(tǒng)的要求,檔案信息的處理能力就會(huì)大大下降,工作質(zhì)量與效率也會(huì)隨之下降,而數(shù)字化檔案信息本身也無(wú)法發(fā)揮最大作用。計(jì)算機(jī)軟件故障直接影響數(shù)字化檔案信息系統(tǒng)的操作,但是與計(jì)算機(jī)硬件故障相比較,其發(fā)生故障的幾率較小。
3探究數(shù)字化檔案信息安全管理相關(guān)策略
前文已述,管理問題直接影響著數(shù)字化檔案信息安全,故而要確保檔案信息的安全,首先要從管理策略方面抓起。以下是對(duì)數(shù)字化檔案信息安全管理相關(guān)策略的具體分析。
3.1加強(qiáng)數(shù)字化檔案宏觀管理。
加強(qiáng)數(shù)字化檔案的宏觀管理檔案數(shù)字化工作是一項(xiàng)技術(shù)性、專業(yè)性、綜合性很強(qiáng)的工作,必須加強(qiáng)領(lǐng)導(dǎo),統(tǒng)一思想,建立健全組織機(jī)構(gòu),比如建立專門的檔案數(shù)字化、信息化、網(wǎng)絡(luò)化協(xié)調(diào)組織機(jī)構(gòu),組織國(guó)家檔案信息網(wǎng)絡(luò)的總體設(shè)計(jì)與技術(shù)攻關(guān),加強(qiáng)檔案信息網(wǎng)絡(luò)一體化的宏觀管理。檔案數(shù)字化工作要納入科學(xué)管理體制,作為機(jī)關(guān)管理工作的一部分,制定相應(yīng)的工作分工范圍及管理權(quán)限。
3.2完善相關(guān)管理制度。
在完善管理制度時(shí),要綜合考慮各種因素對(duì)數(shù)字化檔案信息安全的影響。在人員安全管理方面,要設(shè)立具體的安全審查制度、崗位安全考核制度、安全培訓(xùn)制度等。對(duì)已經(jīng)存儲(chǔ)的數(shù)字信息均應(yīng)進(jìn)行密級(jí)分類,對(duì)敏感信息與機(jī)密信息應(yīng)當(dāng)加密并脫機(jī)存儲(chǔ)在安全的環(huán)境中,防止信息被竊聽、變更與毀壞。在系統(tǒng)安全運(yùn)行方面,要做好機(jī)房出入控制、環(huán)境條件保障管理、自然災(zāi)害防護(hù)、防護(hù)設(shè)施管理、電磁波與磁場(chǎng)防護(hù)等工作。設(shè)立操作安全管理、操作權(quán)限管理、操作規(guī)范管理、操作責(zé)任管理、操作監(jiān)督管理、操作恢復(fù)管理、應(yīng)用系備份管理、應(yīng)用軟件維護(hù)安全管理等制度。從技術(shù)上防止文件被人為地修改,增強(qiáng)電子文件的憑證性和可靠性。
3.3計(jì)算機(jī)安全管理。
由于計(jì)算機(jī)故障對(duì)數(shù)字化檔案信息安全造成較大的損害,所以要做好計(jì)算機(jī)安全管理工作。應(yīng)根據(jù)數(shù)字化檔案信息系統(tǒng)的實(shí)際情況選擇性能良好的的計(jì)算機(jī)硬件和軟件。在選擇計(jì)算機(jī)硬件和軟件的過程中應(yīng)注重計(jì)算機(jī)的品牌和服務(wù)器,全面對(duì)計(jì)算機(jī)硬件的兼容性和可擴(kuò)展性進(jìn)行一定的審核,這樣做的目的是為了避免當(dāng)計(jì)算機(jī)系統(tǒng)在升級(jí)時(shí)數(shù)字化檔案信息的相關(guān)數(shù)據(jù)丟失。不僅如此,還要定期更新軟件,選擇更有利于處理數(shù)字化檔案信息的軟件,確保最大程度上發(fā)揮數(shù)字化檔案信息的優(yōu)勢(shì)。
3.4信息技術(shù)安全管理。
依靠數(shù)字化檔案信息安全管理人員在強(qiáng)度安全管理是不夠的,還需要現(xiàn)階段科學(xué)信息技術(shù)援助。為了保證數(shù)字化檔案信息數(shù)據(jù)的安全,在數(shù)字化檔案信息安全管理工作中可以運(yùn)用一些先進(jìn)的科學(xué)信息技術(shù)來(lái)提高數(shù)字化檔案信息安全。例如,可以設(shè)置信息的訪問認(rèn)證,防病毒系統(tǒng),同時(shí)也對(duì)數(shù)字化檔案信息相關(guān)機(jī)密數(shù)據(jù)進(jìn)行加密操作,以數(shù)據(jù)加密的形式,可以有效地防止數(shù)字化檔案信息數(shù)據(jù)被一些木馬病毒和被非法網(wǎng)站入侵,進(jìn)行安全管理對(duì)保護(hù)數(shù)字化檔案信息安全是非常有效的。
3.5提高管理人員的專業(yè)素質(zhì)。
管理人員的專業(yè)素質(zhì)對(duì)數(shù)字化檔案信息安全管理來(lái)說(shuō)至關(guān)重要,故而提高管理人員自身專業(yè)素質(zhì)也是安全管理中的重要策略。相關(guān)的工作人員利用電子設(shè)施在網(wǎng)絡(luò)環(huán)境中開展對(duì)應(yīng)的相關(guān)工作,對(duì)相關(guān)的數(shù)字檔案實(shí)現(xiàn)有效地管理,也就是個(gè)相關(guān)人員自身的能力大小對(duì)相關(guān)的數(shù)字檔案工作的安全性有著比較大的影響。這就要求在具體的工作中,相關(guān)的數(shù)字檔案管理人員要熟悉管理方面的相關(guān)專業(yè)理論,還要在具體的工作中樹立其較強(qiáng)的管理安全意識(shí),不斷充實(shí)自己,提高數(shù)字化檔案安全管理的實(shí)踐工作技能。一旦工作中內(nèi)部成員想要泄露檔案信息,相關(guān)的管理人員就要切實(shí)提高警惕,有效的增強(qiáng)風(fēng)險(xiǎn)思想,確保信息在實(shí)際的工作中受到嚴(yán)密的保存;與此同時(shí),有關(guān)的組織機(jī)構(gòu)還要組織針對(duì)性的人員培訓(xùn)活動(dòng),有效地提高相關(guān)管理人員的安全理念,以此達(dá)到萬(wàn)無(wú)一失。除了以上幾種管理策略之外還存在著其他管理策略,例如規(guī)范數(shù)字化檔案信息歸檔存儲(chǔ)流程,確保數(shù)字化檔案信息的真實(shí)性與完整性,進(jìn)一步確保數(shù)字化檔案信息安全。
4結(jié)束語(yǔ)
隨著信息技術(shù)的不斷發(fā)展,我國(guó)信息安全管理工作質(zhì)量不斷提高,但是,目前仍然存在著一些問題,阻礙了信息安全管理的發(fā)展。首先,我國(guó)信息安全管理法規(guī)體系不夠完善,相關(guān)方面的法律規(guī)定較少,導(dǎo)致信息安全管理的實(shí)施得不到有效的法律保障。其次,我國(guó)信息安全管理片面注重技術(shù)層面的維護(hù),缺乏有效的管理手段,信息安全管理比較薄弱。最后,信息安全管理主要采取被動(dòng)手段,科學(xué)性不高,不能實(shí)現(xiàn)全面性管理,而且一些高層領(lǐng)導(dǎo)對(duì)信息安全管理工作的重視程度偏低,信息安全管理工作比較薄弱。
二、信息安全管理體系的構(gòu)建
2.1策劃準(zhǔn)備
在構(gòu)建信息安全管理體系前,需要做好各種準(zhǔn)備工作,包括計(jì)劃的制定、相關(guān)培訓(xùn)安排、組織調(diào)研活動(dòng)、職責(zé)劃分等內(nèi)容。
2.2確定范圍
根據(jù)組織中IT技術(shù)水平、信息資產(chǎn)、工作人員等實(shí)際情況,進(jìn)行信息安全管理體系適用的安全范圍,既可以選擇部分區(qū)域,也可選擇整個(gè)區(qū)域。確定合理的安全范圍后,信息的安全管理更加方便。
2.3風(fēng)險(xiǎn)評(píng)估
構(gòu)建信息安全管理體系時(shí),要做好信息處理、存儲(chǔ)等工作的安全性調(diào)查,預(yù)測(cè)可能發(fā)生的危害信息安全性的事件,并對(duì)可能性危害事件會(huì)造成的影響做出判斷,然后根據(jù)評(píng)估結(jié)果做好信息風(fēng)險(xiǎn)管理工作。
2.4建立框架
要完成信息安全管理體系的構(gòu)建,離不開信息安全管理框架的建立,這就需要我們要做到全方面考慮,根據(jù)信息系統(tǒng)的實(shí)際情況,結(jié)合組織特點(diǎn)、技術(shù)水平等條件建立相應(yīng)的信息清單,對(duì)信息管理做好風(fēng)險(xiǎn)分析、需求分析等內(nèi)容,并提出相應(yīng)的問題解決方案,進(jìn)一步保證信息的安全性。
2.5文件編寫
要構(gòu)建信息安全管理體系,還需要對(duì)范圍確定、安全方針、風(fēng)險(xiǎn)評(píng)估等內(nèi)容進(jìn)行相應(yīng)的文件編寫,建立各種文檔,為風(fēng)險(xiǎn)管理、體系改進(jìn)等工作提供依據(jù)。
2.6體系運(yùn)行
以上步驟完成后,信息安全管理體系開始運(yùn)行。在運(yùn)行時(shí)期,我們要進(jìn)一步提高體系運(yùn)作力度,使體系的整體功能得到有效發(fā)揮。一旦發(fā)現(xiàn)體系存在問題,要盡快找出解決措施,及時(shí)解決相關(guān)問題,不斷完善信息安全管理體系。
2.7體系審核
信息安全管理體系的審核主要是對(duì)體系進(jìn)行客觀評(píng)價(jià),通過內(nèi)部審核及外部審核兩種方式對(duì)體系的運(yùn)行及相關(guān)文件進(jìn)行全方面檢查。其中內(nèi)部審核主要是組織內(nèi)部的自我審核,外部審核主要由外部相應(yīng)的組織對(duì)體系進(jìn)行檢查,通過內(nèi)外審核進(jìn)一步確定信息安全管理體系的安全性。
三、總結(jié)
關(guān)鍵詞:煙草行業(yè) 信息安全 安全管理 安全防護(hù)體系
中圖分類號(hào):TS48 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-098X(2013)03(c)-0-01
中國(guó)的卷煙市場(chǎng)是全球最大的市場(chǎng),擁有30%的全球消費(fèi)者,中國(guó)煙草行業(yè)實(shí)行專賣專營(yíng)體制以來(lái),緊緊圍繞“做精做強(qiáng)主業(yè),保持平穩(wěn)發(fā)展”的基本方針,實(shí)現(xiàn)了經(jīng)濟(jì)效益的連年增長(zhǎng)。在取得成績(jī)的同時(shí),中國(guó)的煙草行業(yè)也一直貫徹堅(jiān)持科技進(jìn)步,大力推進(jìn)技術(shù)創(chuàng)新的思想,全面推進(jìn)煙草行業(yè)信息化網(wǎng)絡(luò)的建設(shè)。但是隨著信息化應(yīng)用的日益廣泛,信息系統(tǒng)中存儲(chǔ)的信息和數(shù)據(jù)的數(shù)量的不斷加大,其安全形勢(shì)不容樂觀,該文先介紹煙草行業(yè)信息安全的概念,然后對(duì)其現(xiàn)狀進(jìn)行描述,最后對(duì)如何推進(jìn)信息安全體系建設(shè),加強(qiáng)煙草行業(yè)信息安全管理進(jìn)行了研究與探索。
1 信息安全概述
信息安全本身包括的范圍很大,是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,信息服務(wù)不中斷。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵,自中國(guó)加入世貿(mào)組織后,煙草行業(yè)的競(jìng)爭(zhēng)日趨激烈,煙草行業(yè)在制造以及銷售方面信息化應(yīng)用的不斷擴(kuò)大,所以其安全程度對(duì)整個(gè)煙草行業(yè)起到?jīng)Q定性的作用。信息安全主要包括保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性五個(gè)方面的內(nèi)容,其中任何一個(gè)方面的安全漏洞都能威脅到全局安全,因此必須做好信息安全的管理工作。
2 煙草行業(yè)信息安全所面臨的威脅
由于近年來(lái)煙草行業(yè)進(jìn)行了幾輪大規(guī)模的重組合并,其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也越來(lái)越復(fù)雜,信息集成共享也更加廣泛,所以煙草行業(yè)信息安全所面臨的威脅來(lái)自各個(gè)方面,下面主要從內(nèi)部和外部?jī)煞矫孢M(jìn)行描述。
(1)由于煙草行業(yè)信息系統(tǒng)是由人員進(jìn)行設(shè)計(jì)、監(jiān)管以及操作的,其本身就存在一定的薄弱環(huán)節(jié)和不安全因素,若內(nèi)部保密工作不到位、內(nèi)部管理出現(xiàn)漏洞則會(huì)對(duì)系統(tǒng)造成破壞,數(shù)據(jù)發(fā)生丟失,給信息安全系統(tǒng)構(gòu)成威脅。
(2)黑客可以利用信息安全系統(tǒng)自身的缺陷非法闖入,進(jìn)行數(shù)據(jù)的“竊聽”和攔截,或者其他的破壞活動(dòng)。一般的煙草企業(yè)的網(wǎng)絡(luò)與整個(gè)外部網(wǎng)絡(luò)是相互連接的,這就無(wú)法避免垃圾郵件的威脅,這是防不勝防的。病毒侵入由于其無(wú)孔不入的能力以及無(wú)法預(yù)防的特性,一直是行業(yè)信息系統(tǒng)的最大隱患。
3 煙草行業(yè)信息安全管理現(xiàn)狀
經(jīng)過多年的信息化建設(shè)和網(wǎng)絡(luò)安全建設(shè),對(duì)于煙草信息安全系統(tǒng),主要存在以下現(xiàn)象。
(1)網(wǎng)絡(luò)基礎(chǔ)設(shè)施不健全,信息安全設(shè)備不穩(wěn)固。由于大范圍的兼并重組,新建的網(wǎng)絡(luò)設(shè)施、設(shè)備的穩(wěn)定性依然無(wú)法得到保證,對(duì)設(shè)備運(yùn)行的監(jiān)控參數(shù)沒有得到重視,不具備容災(zāi)功能。
(2)煙草行業(yè)信息安全管理制度和措施沒有得到有效的落實(shí),專業(yè)人員的素質(zhì)無(wú)法得到保證。盡管國(guó)家制定和頒布的煙草信息安全管理制度大部分得到了較好的貫徹落實(shí),但缺乏相關(guān)的管理制度,使得管理工作也只是流于形式,存儲(chǔ)設(shè)備的管理要求無(wú)法得到徹底落實(shí)。其次由于這個(gè)系統(tǒng)的動(dòng)態(tài)特性,對(duì)工作人員的要求較高,所以培訓(xùn)工作的滯后影響著整個(gè)系統(tǒng)的安全。
(3)缺乏整體性的防護(hù)措施。盡管近年來(lái)的信息安全保障體系建設(shè)已經(jīng)取得了一定的成效,但在建設(shè)初期的缺乏對(duì)整個(gè)系統(tǒng)的全盤考慮或是預(yù)算的原因使得現(xiàn)在已經(jīng)成型的煙草信息安全系統(tǒng)缺乏整體性的防護(hù)措施。
4 提高安全管理的對(duì)策
4.1 技術(shù)層面的建設(shè)
一個(gè)有效的網(wǎng)絡(luò)信息安全技術(shù)體系是整個(gè)信息安全管理的基礎(chǔ),所以安全體系的建設(shè)是所有安全構(gòu)架的基礎(chǔ),運(yùn)用先進(jìn)的技術(shù)手段,進(jìn)一步完善機(jī)房硬件設(shè)備等基礎(chǔ)設(shè)施;對(duì)不同的安全威脅要進(jìn)行針對(duì)性的建設(shè),確保核心設(shè)備具有較高的安全級(jí)別并且要對(duì)其端口進(jìn)行流量控制;對(duì)于核心信息資源所面臨的風(fēng)險(xiǎn)要進(jìn)行正確的評(píng)估,提高網(wǎng)絡(luò)信息化的安全保障能力;對(duì)于網(wǎng)絡(luò)存儲(chǔ)的大量信息和數(shù)據(jù)要做好備份工作,并對(duì)進(jìn)行傳輸?shù)男畔⑦M(jìn)行實(shí)時(shí)監(jiān)控,加強(qiáng)對(duì)突發(fā)安全事件的處理效率。通過以上技術(shù)層面的手段使整個(gè)安全體系在預(yù)警、防護(hù)、監(jiān)控等方面的能力得到提高。
4.2 管理層面的建設(shè)
管理層面的建設(shè)主要通過完善和優(yōu)化安全管理體系和建立相應(yīng)的措施來(lái)提高信息安全網(wǎng)絡(luò)的安全管理能力與監(jiān)督能力。制定出清晰完整的信息安全政策,從整體層面上指導(dǎo)整個(gè)網(wǎng)絡(luò)的安全建設(shè),對(duì)所有的管理人員以及工作人員實(shí)行法律化管理;建立嚴(yán)密的密碼管理制度,并且要定時(shí)更換,控制密碼的擴(kuò)散;此外對(duì)使用安全體系網(wǎng)絡(luò)的人員要進(jìn)行身份的辨別,對(duì)于管理員以及普通使用人員的權(quán)限進(jìn)行分離,在信息控制中心成立安全管理小組,專門負(fù)責(zé)電腦的安全運(yùn)行;重視煙草行業(yè)安全文化建設(shè),提高員工的基本安全意識(shí)和安全防范能力,營(yíng)造出一個(gè)濃厚的網(wǎng)絡(luò)信息安全氛圍;最后要加強(qiáng)網(wǎng)絡(luò)信息安全專業(yè)人才的培養(yǎng),從安全意識(shí)和安全技術(shù)兩個(gè)方面著手,對(duì)這些人員進(jìn)行定期、持續(xù)、系統(tǒng)地培訓(xùn)。
5 結(jié)語(yǔ)
盡管對(duì)煙草行業(yè)信息安全的管理存在很多困難,但是只要我們能做到將以人為本、技術(shù)、管理和法制這些手段綜合起來(lái)進(jìn)行治理,網(wǎng)絡(luò)信息安全將會(huì)得到很好地解決,煙草行業(yè)的信息化進(jìn)程將會(huì)為整個(gè)行業(yè)帶來(lái)更大的發(fā)展空間。
參考文獻(xiàn)
[1] 李益文.基于煙草行業(yè)業(yè)務(wù)可持續(xù)運(yùn)行的信息安全運(yùn)維管理體系的思考[J].東方企業(yè)文化,2012(22).
[2] 高萍,黃偉達(dá).煙草企業(yè)信息安全方面的思考[J].黑龍江科技信息,2010(31).
[3] 林加忠,葉鵬華.淺析網(wǎng)絡(luò)環(huán)境下煙草信息資源建設(shè)[J].硅谷,2009(5).
關(guān)鍵詞:地鐵;票務(wù)系統(tǒng);AFC;收益審核;安全管理
中圖分類號(hào):TP319 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-8937(2014)35-0064-02
隨著計(jì)算機(jī)技術(shù)的快速發(fā)展,在現(xiàn)代化經(jīng)濟(jì)不斷發(fā)展的今天,計(jì)算機(jī)技術(shù)在各個(gè)生活及經(jīng)濟(jì)領(lǐng)域中得到廣泛的應(yīng)用,其中,隨著地鐵的逐步開放,計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)技術(shù)在地鐵建設(shè)中發(fā)揮了重要作用,構(gòu)建了集計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)及自動(dòng)化技術(shù)于一體的地鐵票務(wù)系統(tǒng)。但是,人們?cè)谙硎苄录夹g(shù)帶來(lái)革命性變化時(shí),因計(jì)算機(jī)網(wǎng)絡(luò)終端分布不均、開放性、互聯(lián)性等特點(diǎn),計(jì)算機(jī)技術(shù)也給人們帶來(lái)了許多問題,尤其是網(wǎng)絡(luò)安全問題。在互聯(lián)網(wǎng)時(shí)代下,為了確保地鐵正常運(yùn)營(yíng),這就要求構(gòu)建的地鐵票務(wù)系統(tǒng)必須有足夠強(qiáng)的安全措施,加強(qiáng)地鐵票務(wù)系統(tǒng)信息的安全管理,減少人力、物力資源及經(jīng)濟(jì)的損失,以促進(jìn)我國(guó)軌道交通的建設(shè)與發(fā)展。為此,本文對(duì)地鐵票務(wù)系統(tǒng)的信息安全管理進(jìn)行探討,包括地鐵票務(wù)系統(tǒng)的日常安全管理工作、自動(dòng)售檢票系統(tǒng)(AFC)及票務(wù)等安全管理工作。
1 加強(qiáng)日常安全管理工作
在日常安全管理工作中,首先應(yīng)嚴(yán)格落實(shí)安全生產(chǎn)責(zé)任制,在地鐵票務(wù)中心,要求票務(wù)中心的領(lǐng)導(dǎo)及全體員工都簽署了《安全生產(chǎn)、消防、綜合治理目標(biāo)管理責(zé)任書》,將生產(chǎn)安全責(zé)任制度落實(shí)到實(shí)處,明確員工的責(zé)任和義務(wù),提高員工的安全意識(shí)。在條件允許的情況下,對(duì)全體員工進(jìn)行三級(jí)安全專業(yè)培訓(xùn),包括運(yùn)營(yíng)分公司級(jí)別、中心級(jí)別、車站(班組)級(jí)別三個(gè)安全培訓(xùn),有針對(duì)性地加強(qiáng)安全專業(yè)知識(shí)培訓(xùn),可以達(dá)到良好的效果。
其次,加強(qiáng)票務(wù)中心工作現(xiàn)場(chǎng)的安全檢查力度,定期由客運(yùn)部牽頭會(huì)同票務(wù)中心、站務(wù)中心、安保部及計(jì)劃財(cái)務(wù)部對(duì)票務(wù)系統(tǒng)進(jìn)行安全監(jiān)察,作為票務(wù)系統(tǒng)管理機(jī)構(gòu),可以深入到票務(wù)中心、車站票亭等對(duì)人員操作安全、工作環(huán)境及AFC設(shè)備等進(jìn)行安全檢查,若發(fā)現(xiàn)系統(tǒng)存在安全隱患,應(yīng)下發(fā)整改通知單,待下次檢查,確認(rèn)是否整改。
再次,建立一套安全網(wǎng)絡(luò),推進(jìn)安全管理工作的開展,要求地鐵票務(wù)管理部門在票務(wù)中心建立一套安全網(wǎng)絡(luò),每月定期開展安全例會(huì),車站每周舉行一次安全例會(huì),討論各項(xiàng)安全工作,全面貫徹落實(shí)上級(jí)下達(dá)的安全管理事項(xiàng),由于票務(wù)職員是票務(wù)安全管理的一員,加強(qiáng)票務(wù)支援的安全教育工作,對(duì)薪金職員進(jìn)行不同等級(jí)的安全培訓(xùn)工作,逐級(jí)通過考試合格后方能上崗,加強(qiáng)車站票務(wù)SLE系統(tǒng)的日常維護(hù)和檢修工作,以保證票務(wù)系統(tǒng)正常運(yùn)營(yíng)。
最后,建立危險(xiǎn)源管理流程,在地鐵運(yùn)營(yíng)中,既要做好OHSAS 18000職業(yè)健康安全管理體系的貫標(biāo)工作》、《城市軌道交通安全評(píng)價(jià)》等安全認(rèn)證和取證工作,也要提前制定一套科學(xué)、有效的危險(xiǎn)管理控制流程,通過地鐵票務(wù)安全管理部門組織各個(gè)部門召開安全例會(huì),從票務(wù)系統(tǒng)運(yùn)營(yíng)的危險(xiǎn)源為出發(fā)點(diǎn),包括AFC設(shè)備、票務(wù)備品、安全管理制度、票務(wù)作業(yè)環(huán)境及票務(wù)人員安全意識(shí)等;進(jìn)而有效辨識(shí)出危險(xiǎn)源所屬的部門,由各危險(xiǎn)源所屬部門向票務(wù)中心申報(bào),經(jīng)上級(jí)領(lǐng)導(dǎo)批準(zhǔn)后,各個(gè)班組安排工作人員對(duì)相應(yīng)的危險(xiǎn)源進(jìn)行整改,確保票務(wù)工作存在的危險(xiǎn)源均處于管控狀態(tài),定期對(duì)整改的危險(xiǎn)源進(jìn)行巡查,以保證票務(wù)系統(tǒng)的安全性和可靠性。
2 自動(dòng)售檢票系統(tǒng)(AFC)信息安全管理
自動(dòng)售檢票系統(tǒng)是票務(wù)管理的重要組成部分,主要由ACC、LC、SC、SLE及票務(wù)五個(gè)層次組成。其中,ACC系統(tǒng)主要由數(shù)據(jù)庫(kù)系統(tǒng)、域控制器、運(yùn)營(yíng)管理系統(tǒng)、監(jiān)控系統(tǒng)、報(bào)表查詢系統(tǒng)及車票初始化設(shè)備組成,在C/S模式下,可以調(diào)用數(shù)據(jù)庫(kù)中的信息;在車站終端設(shè)備(SLE)中,主要包括自動(dòng)售票機(jī)、閘機(jī)、自動(dòng)驗(yàn)票機(jī)、自動(dòng)增值機(jī)等設(shè)備,除閘機(jī)外,控制主機(jī)均為工控機(jī)。在自動(dòng)售檢票系統(tǒng)中,采用Windows2007 Server操作系統(tǒng),管理終端均為個(gè)人PC電腦。在現(xiàn)有的安全管理中,自動(dòng)售檢票實(shí)現(xiàn)了信息安全管理,包括:
①硬件冗余,通過在中央自動(dòng)檢售票系統(tǒng)核心交換機(jī)之間設(shè)置網(wǎng)絡(luò)冗余連接,有效避免了單點(diǎn)網(wǎng)絡(luò)故障影響系統(tǒng)運(yùn)作。
②邊界防護(hù),在中央自動(dòng)檢售票系統(tǒng)與通信系統(tǒng)及各個(gè)銀行系統(tǒng)的連接邊界,設(shè)置防火墻,并制定了嚴(yán)格的訪問控制策略,只開放特定的IP地址,確保了系統(tǒng)網(wǎng)絡(luò)的安全性。
③數(shù)據(jù)安全,采用數(shù)據(jù)備份的方式,每天對(duì)每個(gè)車站系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行一次備份,將同時(shí)生成的兩個(gè)備份文件分別保存在監(jiān)控終端電腦和服務(wù)器上。
④安全管理制度的落實(shí),制定《地鐵自動(dòng)檢售票系統(tǒng)使用管理規(guī)定》、《自動(dòng)檢售票系統(tǒng)數(shù)據(jù)管理辦法》、《AFC中心機(jī)房管理制度》等。但是,隨著新形勢(shì)及新技術(shù)的發(fā)展,為了實(shí)現(xiàn)票務(wù)系統(tǒng)的統(tǒng)一管理,現(xiàn)有的自動(dòng)檢售票系統(tǒng)難以滿足新形勢(shì)的需求。
基于此,為了加強(qiáng)自動(dòng)檢售票系統(tǒng)的信息安全管理,應(yīng)建立基于LeagView的自動(dòng)檢售票系統(tǒng)安全管理架構(gòu),如圖1所示。自動(dòng)檢售票系統(tǒng)安全管理主要分為與管理員交互的Web客戶端、LeagView服務(wù)和運(yùn)行在各個(gè)被管理設(shè)備上的程序等三個(gè)層次,在Web客戶端模式下,可以允許維護(hù)人員實(shí)時(shí)管理自動(dòng)售檢票系統(tǒng),其具有分權(quán)限的功能。然而,在賬戶和權(quán)限控制管理中,一旦管理員擁有超級(jí)管理員賬戶口令,管理人員就可以瀏覽、執(zhí)行系統(tǒng)中的任何文件和程序。在遠(yuǎn)程控制管理中,通過LeagView系統(tǒng)對(duì)遠(yuǎn)程終端進(jìn)行維護(hù)操作,在遠(yuǎn)程監(jiān)視模式下,管理人員可以看遠(yuǎn)程桌面的屏幕;在遠(yuǎn)程交互控制模式下,管理人員既可以看到桌面屏幕信息,也可以操作鼠標(biāo)和鍵盤。
除此之外,在系統(tǒng)運(yùn)行監(jiān)控上,在自動(dòng)檢售票系統(tǒng)安全管理中,網(wǎng)絡(luò)拓?fù)浜驮O(shè)備配置是基礎(chǔ)工作,只要對(duì)其進(jìn)行簡(jiǎn)單的配置,LeagView系統(tǒng)就可以自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)上所有可控制管理的網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備,同時(shí)也可以發(fā)現(xiàn)兩者之間的物理連接關(guān)系。由于系統(tǒng)運(yùn)行監(jiān)控涉及的內(nèi)容較多,包括網(wǎng)絡(luò)系統(tǒng)監(jiān)控、主機(jī)系統(tǒng)監(jiān)控、數(shù)據(jù)庫(kù)系統(tǒng)監(jiān)控及終端設(shè)備運(yùn)行狀態(tài)監(jiān)控等,其中,對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)監(jiān)控,主要包括整個(gè)數(shù)據(jù)庫(kù)系統(tǒng)參數(shù)和單個(gè)數(shù)據(jù)庫(kù)參數(shù)的監(jiān)控,如數(shù)據(jù)庫(kù)名稱、數(shù)據(jù)庫(kù)空間利用率及數(shù)據(jù)庫(kù)服務(wù)的啟動(dòng)時(shí)間等,通過參數(shù)的配置,可以加強(qiáng)數(shù)據(jù)庫(kù)服務(wù)進(jìn)程狀態(tài)時(shí)間、SQL執(zhí)行效率事件的處理。
總而言之,對(duì)于自動(dòng)檢售票系統(tǒng)的信息安全管理是地鐵交通一考通成功的關(guān)鍵,必須確定系統(tǒng)運(yùn)行的安全性和可靠性。在設(shè)計(jì)自動(dòng)檢售票系統(tǒng)中,必須制定一套完善的安全管理制度,并重點(diǎn)加強(qiáng)設(shè)備、網(wǎng)絡(luò)安全的管理,防范一卡通攻擊,以保證自動(dòng)售檢票系統(tǒng)設(shè)備能夠安全運(yùn)行。
3 票務(wù)安全管理
為了加強(qiáng)地鐵票務(wù)系統(tǒng)信息安全管理,還必須加強(qiáng)票務(wù)的管理,以規(guī)范的安全管理制度為依據(jù),從上述的日常安全管理工作概述可知,作為地鐵票務(wù)部門的管理人員,為了加強(qiáng)票務(wù)的安全管理,必須將票務(wù)系統(tǒng)運(yùn)營(yíng)中產(chǎn)生的信息詳細(xì)記錄在案,并制定相應(yīng)的規(guī)范制度,如《票務(wù)管理規(guī)定》、《自動(dòng)檢售票系統(tǒng)數(shù)據(jù)管理辦法》、《AFC中心機(jī)房管理制度》、《車站票務(wù)管理手冊(cè)》以及《車站票務(wù)應(yīng)急處理程序》等,將制定的安全管理制度落實(shí)實(shí)處,及時(shí)發(fā)現(xiàn)票務(wù)工作中出現(xiàn)的錯(cuò)誤,并予以糾正,有效防止票務(wù)舞弊的發(fā)生。除此之外,在票務(wù)管理中還應(yīng)做到以下幾方面的要求。
3.1 加強(qiáng)票務(wù)系統(tǒng)數(shù)據(jù)管理
數(shù)據(jù)庫(kù)是票務(wù)系統(tǒng)的核心部分,在票務(wù)管理中,必須認(rèn)真核對(duì)系統(tǒng)中的數(shù)據(jù),當(dāng)核對(duì)發(fā)現(xiàn)差異時(shí),作為票務(wù)部門的管理人員,應(yīng)積極幫助自動(dòng)售檢票系統(tǒng)設(shè)備的技術(shù)人員共同找出引起差異的原因,以保證系統(tǒng)數(shù)據(jù)更加安全、可靠。然而,對(duì)于自動(dòng)生成的數(shù)據(jù)來(lái)說(shuō),因系統(tǒng)自身的原因,對(duì)數(shù)據(jù)的審核會(huì)比較困難,如自動(dòng)售票機(jī)無(wú)法實(shí)現(xiàn)每日清點(diǎn)的功能,這就在一定程度上增加了審核的難度。而半自動(dòng)售票機(jī)的實(shí)現(xiàn),可以有效防止票務(wù)舞弊現(xiàn)象的發(fā)生,其收入都是以系統(tǒng)數(shù)據(jù)為準(zhǔn)。
3.2 加強(qiáng)節(jié)假日的票卡管理
在大型活動(dòng)慶典及節(jié)假日期間,導(dǎo)致車站大客流發(fā)生,這就要求必須制定每個(gè)車站車票的最低保有數(shù)量,并且配送足夠的預(yù)制單程票,確保票卡及時(shí)配送到位,有效緩解車站客流總量。在票務(wù)運(yùn)營(yíng)中,若客運(yùn)人員不及時(shí)疏散客流,站廳將會(huì)滯留很多乘客,這給票務(wù)運(yùn)作造成了很大壓力。因此,作為客運(yùn)值班員和站務(wù)員,必須注重節(jié)假日期間的票務(wù)管理,以保證票務(wù)系統(tǒng)的正常運(yùn)營(yíng)。
3.3 加強(qiáng)各種票務(wù)數(shù)據(jù)的管理
票務(wù)系統(tǒng)運(yùn)行中,將會(huì)產(chǎn)生大量的票務(wù)數(shù)據(jù),如客運(yùn)量、客運(yùn)收入、票務(wù)營(yíng)銷數(shù)據(jù)、平均票價(jià)等。作為地鐵票務(wù)部門的管理人員,應(yīng)將產(chǎn)生的各種數(shù)據(jù)及時(shí)傳輸?shù)缴弦患?jí)的票務(wù)系統(tǒng)管理服務(wù)器中,然后票務(wù)中心、客運(yùn)部對(duì)提供的票務(wù)數(shù)據(jù)進(jìn)行分析研究,最后生成報(bào)告,以便為今后的客運(yùn)、調(diào)度部門制定運(yùn)營(yíng)計(jì)劃和票務(wù)工作計(jì)劃提供詳實(shí)、可行的依據(jù)。
4 結(jié) 語(yǔ)
在現(xiàn)代經(jīng)濟(jì)不斷發(fā)展的今天,地鐵已成為了人們出行的重要交通方式。在地鐵交通運(yùn)輸中,票務(wù)系統(tǒng)是重要的組成部分,為了確保地鐵的順利運(yùn)行,就必須加強(qiáng)票務(wù)系統(tǒng)的安全管理,尤其是自動(dòng)檢售票系統(tǒng)的信息安全管理,加大自動(dòng)檢售票系統(tǒng)的設(shè)計(jì),實(shí)現(xiàn)基于LeagView的自動(dòng)檢售票系統(tǒng)安全管理,并加強(qiáng)日常的安全管理工作和票務(wù)管理,以保證票務(wù)系統(tǒng)的正常運(yùn)行。
參考文獻(xiàn):
[1] 陳祥.數(shù)據(jù)倉(cāng)庫(kù)在地鐵票務(wù)系統(tǒng)的應(yīng)用[D].廣州:華南理工大學(xué),2012.
[2] 劉薇.地鐵票務(wù)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].成都:電子科技大學(xué),2012.
[3] 葉芳.南京地鐵票務(wù)系統(tǒng)安全管理研究[J].中國(guó)高新技術(shù)企業(yè),2014,(15):103-104.
[4] 黃佳崴.淺析地鐵票務(wù)安全管理[J].科技視界,2012,(35):231-233.
[5] 牛鳳午.深圳地鐵自動(dòng)售檢票系統(tǒng)信息安全管理建設(shè)[D].天津:復(fù)旦大學(xué),2008.
