發布時間:2023-10-13 09:37:54
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的信息安全管理策略樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
關鍵詞:信息安全 管理 現狀 改進策略
雖然國際互聯網最早起源上個世紀八十年代,并在90年代末進入高速發展的時期,但由于技術和設備的引入受到美國的限制,導致我國一直到1994年才得以引入。迄今為止的20年間,我國的計算機信息網絡技術得到了巨大的發展,很大程度的改變了我國居民的生活和工作模式,給生產力的發展帶來巨大的推動作用。然而,信息網絡環境的復雜性、多變性以及脆弱性等特點卻注定其是一把雙刃劍,在產生巨大推動力的同時也帶來了許多的安全問題,造成許多不良的社會影響,甚至是國民經濟損失。這主要是由于我國在信息技術上的發展時間還不夠長,在長足的發展中并沒有形成對于信息安全管理的足夠認識,在沒有足夠預警措施的背景下,保護網絡信息安全是一項必須盡快施行的重要措施。
一、我國的信息安全現狀
1.缺少法律體系的約束。
法律才是保障人民和國家利益的根本所在,才是保障信息安全的基本防線。我國的法律體系主要是由法律、行政法規以及規章等三層面的規定構成,信息行業作為一個新興的行業,而且其涉及內容、影響范圍以及運行模式都在不斷的變化和革新,因此我國雖然對信息安全進行相關的立法保護,但是仍有不少法律沒有涉及的部分,甚至原有的法律無法對新出現的信息板塊進行約束。除此之外,我國的信息安全法律體系還存在一定的內容交叉問題,導致執法困境的現象,最終阻礙了我國法律對于信息安全的保護。
2.缺少嚴密的管理措施。
信息安全的管理是一個系統的工程,其包括了事前的教育培訓和系統評估認證,還有預期懂的安全規劃,事中的風險管理和應急措施,以及事后的總結和規劃,各個內容之間存在明確的管理和責任。然而我國并沒有在這個問題上進行詳細的約定和規范,導致多頭管理和權責交叉的現象出現,阻礙的信息安全管理效益,信息安全的保障機制不能高效運行。
3.缺乏信息安全意識。
信息安全不僅僅是制度和法律的保障,更多的應當是來自于每一個人在每一個層次上進行安全保護。然而大多數人都沒有形成對于信息安全的足夠認識,違規操作和風險運行的事件時有發生,極大的危害了信息安全的管理工作。這一方面說明了操作主體缺乏安全意識,另一方面也說明了主體沒有受到相關的教育和培訓。
4.忽略了技術和管理的重要性。
據不規則統計,大多數的安全問題都是由于操作技術和管理模式的緣故。尤其是現階段,我國的企業發展十分迅速,也對信息部門有了一定的認識,然而卻并源于投入更多的人力和物力來保障信息安全,往往會出現安全系統過時、技術人員能力不足或是身兼數職等現象,對信息安全的管理工作造成了極大的安全隱患。
二、信息安全的主要特點
1.趨利性。
近幾年已經網絡信息安全事件的多發期,由于互聯網金融的發展,巨大的經濟利益和信息網絡聯系在一起,引起不法分子的主義,這也從另一方面說明了信息安全的威脅主要是利益引發的,因此,這要求我國人民在進行經濟利益相關的信息操作時需要更加的小心和細致。
2.多樣性。
系統安全技術經過多年的病毒洗禮之后已經有了大幅度的提升,然而,不法分子對于病毒形式也有了更多的研究。各式各樣的病毒軟件被研發出來,對PC和移動終端造成了巨大的影響,過去常用的電子郵件病毒已經漸漸被遺忘,更多種類的病毒危害著用戶的信息安全。
3.漏洞多發性。
信息安全事故的發生雖然有一部分來自于不當操作,但也不排除來自安全漏洞的原因。往往是由于用戶沒有對系統進行及時的更新,也沒有對安全技術懂的革新引起足夠的重視,造成漏洞信心安全事故問題居高不下。
三、防反信息安全風險的策略
1.構建并完善信息安全管理制度。
要保障信息的安全就必須建立完善的信息安全管理制度,進行統一規劃和分工,保障各部門、更階層甚至每個個體都各司其職,分工合作。其次,還需要保障管理的高效性,防止多頭控制和協調不力的現象出現,保障權責統一。然后還需要在各省市甚至各縣城都建立基層保護體制,維護各地區人民的信息安全利益。建立完善的監管合作機制,將政府、機構甚至個人聯合起來,建立內外結合的安全管理體系,將信息安全落到實處。
2.強化信息安全法律體系的完善工作。
法律的建立和完善才是信息安全保護機制中最重要的組成部分,這對我國的法律法規建設工作提出了較高的要求。首先,我國政府應該加快對于信息安全管理的法律法規建設速度,對于相關的技術人員和執法人員團隊的建設應當將職業意識和職業能力同時納入考核體系,只有健全職業意識才能在執法過程中實現對于法律的執行,保障人民懂的根本利益。同時,各有關管理機構和部門也應當積極配合,主動協調,在履行自身義務的基礎上也要把本職工作做好,對于信息安全管理工作貢獻自身的一份力量。除此之外,法律的維護和執行需要社會各階層的自覺維護,不僅僅是政府和機關,更包括各階層的社會團體和個人,信息網絡環境的安全需要大家集體來護衛。
3.加大信息安全違法犯罪的打擊力度。
近年來,在網絡違法犯罪的問題上,我國做出了巨大的努力,雖然取得了巨大的成就,但隨著信息技術的不斷更新換代,網絡信息安全違法的形式變得越來越多樣化。這要求,我國執法機關和部門在健全法律執行范圍的基礎,在打擊力度上也要進一步強化,提高對于網絡信息犯罪的預防、處理和控制等方面的能力,也要在信息安全的自我保護上多進行培訓和教育,提高個體和群體對于信息安全技術和系統的認識和運行能力。最終,實現防治結合。
4.加大政策扶持,維系良好的信息安全環境。
首先要加強對于信息安全工作的扶持力度。例如:政府需要建立轉型資金付出計劃,幫助相關的部門和機關進行公益性和公共性的信息安全系統建設和技術普及工作,聯合各相關企業進行技術研發和技術培訓,明確各自對于信息安全的需求和期望,建立適合自身現狀和發展的信息安全管理體系。其次是加強對于相關安全技術管理的人才培養。督促相關的教育機構強化對于社會信息安全管理的需求了解工作,切實調整自身的發展步伐,迎合市場需求,發展自身教育計劃,建立專門的信息安全學習和進行機制,加快信息安全人才培養,發揮人才所產生的保護效益。
四、結語
信息網絡是一把“雙刃劍”,其在推動社會生產和人們生活方式發展的同時也帶來了巨大的安全隱患。因此,人們在享受這種社會科技利益的同時,也要注意使用所引發的信息安全事故。因為,只有在安全條件下的運營才會給人們帶來發展和效益增長。雖然現階段已經有越來越多的人意識網絡信息安全問題的重要性,不僅僅是政府和相關技術人員,更在不少的普通居民心中引起了足夠的重視。只要堅定在黨的領導,加強信息安全法律體系的構建,推動信息安全管理機制的建立,進一步強化對于安全信息的認識培訓,推動我國信息安全產業的高速發展,我們就一定有信心在我國的網絡發展中保障信息安全,維護國家和人民的利益。
參考文獻:
[1]楊珂.淺談網絡信息安全現狀[J].數字技術與應用,2013,02:172.
[2]薛鵬.信息安全的發展綜述研究[J].華東師范大學學報(自然科學版),2015,S1:180-184.
[3]王世偉.論信息安全、網絡安全、網絡空間安全[J].中國圖書館學報,2015,02:72-84.
[4]華賢平.電子信息安全技術存在的問題和對策[J].電子技術與軟件工程,2014,15:211.
1.移動網絡信息安全管理的特征體現以及主要內容
1.1 移動網絡信息安全管理的特征體現分析
移動網絡信息的安全管理過程中,有著鮮明特征體現,其中在網絡信息安全管理的動態化特征山比較突出。在信息網絡的不斷發展過程中,對信息安全管理的動態化實施就比較重要。由于網絡的更新換代比較快,這就必須在信息安全管理上形成動態化的管理。
移動網絡信息安全管理的相對化特征上也比較突出,對移動網絡的信息安全管理沒有絕對可靠的安全管理措施。通過相應的方法手段應用,能有助于對移動網絡的信息安全管理的效率提高,在保障性方面能加強,但是不能完善保障信息的安全性。所以在信息安全管理的相對性特征上比較突出。
另外,移動網絡信息的安全管理天然化以及周期性的特征上也比較突出。移動網絡的系統應用中并不是完美的,在受到多方面因素的影響下,就會存在著自然災害以及錯誤操作的因素影響,這就對信息安全的管理有著很大威脅。需要對移動網絡系統做好更新管理的準備,保障管理工作能夠順利進行。在對系統建設的工作實施上有著周期化特征。
1.2 移動網絡信息安全管理的主要內容分析
加強對移動網絡信息的安全管理,就要能充分重視其內容的良好保證,在信息的安全保障上主要涉及到管理方法以及技術應用和法律規范這三個內容。在對移動網絡信息的安全管理中,需要員工在信息安全的意識上能加強,在信息安全管理的水平上要能有效提高,在對風險抵御的能力上不斷加強。將移動網絡信息安全管理的基礎性工作能得以有效加強,在服務水平上能有效提高。然后在對移動網絡信息安全的管理體系方面進行有效優化,在信息安全管理能力上進行有效提高,對風險評估的工作能妥善實施,這些都是網絡信息安全管理的重要內容。
2.移動網絡信息安全管理問題和應對策略
2.1 移動網絡信息安全管理問題分析
移動網絡信息安全管理工作中,會遇到各種各樣的問題,網絡的自主核心技術的缺乏,就會帶來黑客的攻擊問題。我國在移動網絡的建設過程中,由于在自主核心技術方面比較缺乏,在網絡應用的軟硬件等都是進口的,所以在系統中就會存在著一些漏洞。黑客會利用這些系統漏洞對網絡發起攻擊,在信息安全方面受到很大的威脅。
再者,移動網絡的開放性特征,也使得在具體的網絡應用過程中,在網系的滲透攻擊問題比較突出。在網絡技術標準以及平臺的應用下,由于網絡滲透因素的影響,就比較容易出現黑客攻擊以及惡意軟件的攻擊等問題,這就對移動網絡信息的安全性帶來很大威脅。具體的移動網絡物理管理和環境的安全管理工作上沒有明確職責,在運營管理方面沒有加強,對網絡訪問控制方面沒有加強。以及在網絡系統的開發維護方面還存在著諸多安全風險。
2.2 移動網絡信息安全管理優化策略
加強移動網絡信息安全管理,就要能充分重視從技術層面進行加強和完善。移動網絡企業要走自力更生和研發的道路,在移動網絡的核心技術以及系統的研發進程上要能加強。對移動網絡信息的安全隱患方面要能及時性的消除,將移動網絡安全防護的能力有效提高。還要能充分重視對移動網絡安全風險的評估妥善實施,構建有效完善的信息系統安全風險評估制度,對潛在的安全威脅加強防御。
再者,對移動網絡安全監測預警機制要完善建立。保障移動網絡信息的安全性,就要能注重對移動網絡信息流量以及用戶操作和軟硬件設備的實時監測。在出現異常的情況下能夠及時性的警報。在具體的措施實施上來看,就要能充分重視漏洞掃描技術的應用,對移動網絡系統中的軟硬件漏洞及時性查找,結合實際的問題來探究針對性的解決方案。對病毒的監測技術加以應用,這就需要對殺毒軟件以及防毒軟件進行安裝,對網絡病毒及時性的查殺。
將入侵檢測技術應用在移動網絡信息安全管理中去。加強對入侵檢測技術的應用,對可能存在安全隱患的文件進行掃描,及時性的防治安全文件和病毒的侵害。在內容檢查工作上也要能有效實施,這就需要在網絡信息流的內容上能及時性查殺,對發生泄密以及竊密等問題及時性的報警等。這樣對移動網絡信息的安全性保障也有著積極作用。
另外,為能保障移動網絡信息的安全性,就要充分注重移動網絡應急機制的完善建立,對網絡災難恢復方案完善制定。在網絡遭到了攻擊后,能夠及時性的分析原因,采取針對性的方法加以應對。這就需要能夠部署IPS入侵防護系統進行應用,以及對運用蜜罐技術對移動網絡信息安全進行保障。
3.結語
論文摘要:伴隨著企業信息化的發展,信息安全越來越受到重視。針對當前信息安全存在的問題,作者進行了調查,分析了其中的原因,最后從管理學的角度提出了相關的策略和建議。
隨著信息技術的發展和網絡化應用的普遍推廣,各機關組織和企事業單位都開展各類管理業務的信息化建立。企業的發展運作離不開信息系統的安全運行。信息安全通過保護企業信息的機密性、完整性和可用性,不僅保護了企業各類信息資產的安全,還能增強企業的核心競爭力,維護企業的形象和信譽。信息安全對企業的生存和發展的是至關重要的,需要從戰略的高度對信息安全進行規劃和管理。
一、企業中信息安全管理經常存在的問題
日常安全管理中存在的主要問題,首先是用戶安全意識和觀念薄弱的占58%,第二位的是網絡安全管理人員缺乏培訓,占39%;其后,依次是保障經費投入不足、缺乏安全信息共享和安全產品不能滿足要求。
不僅在日常管理中,在技術管理方面也存在一定的問題。在CSDN泄密門事件中,專業IT博客“月光博客”撰文表示“整個事件最不可思議的地方在于,像CSDN這樣的以程序員和開發為核心的大型網站,居然采用明文存儲密碼”,“稍微懂一點編程的程序員都知道,為了用戶的安全,應該在數據庫里保存用戶密碼的加密信息,這樣黑客即使下載了數據庫,破解用戶密碼也不是一件容易的事情” 。可見,有些涉及技術方面的問題,也并不是單純的技術問題,而是與技術人員安全意識不強、責任心不到位有關。
為了了解企業內部員工在信息安全問題上的看法及所做的努力,我們對一家電子商務企業和一家銀行的部分工作人員進行了問卷和訪談調查,發現在企業員工中存在如下一些問題:
1.是信息安全意識方面,被調查者認為信息安全對企業和個人都非常重要。但大多數受訪者對信息安全的問題了解很少等。
2.很多受訪者認為信息安全屬于技術人員的事情;與技術人員的交流非常少;忙于業務,沒有時間去處理。
3.是用戶認為信息安全管理措施效果不好。有些信息安全行為的規范標準雖然掛在網上或貼在墻上,很少有人去關注;公司發動的信息安全的培訓活動沒有收到好的效果。
二、信息安全問題的根源
通過對調查的結果進行深入分析,發現導致信息安全事件頻發、風險損失嚴重的原因從根本上來說,有以下幾個方面:
1.信息安全是一個多維問題,涉及到企業管理的方方面面。企業在信息安全問題上往往涉及多個部門。有些情況下,無法明確責任,使得信息安全得不到應有的重視以及有效的管理。
2.風險平衡理論認為,人會愿意承擔一定程度的風險。這與你采用多少的安全防護措施無關。有時即使有條件可以到達絕對安全的狀態,由于人性的緣故,也不會那樣去做。
3.信息安全與效率和便利性本身是矛盾的。信息安全加強了,受到的約束也就多了,相應地效率也就降低了。比如簡單規律地密碼,可以不必費力去記;插入U盤時進行殺毒,必然要耽誤時間;沒有接入網絡,不可能受到網絡攻擊,但也就失去了網上瀏覽所需信息、網絡交流的自由,因此有人半開玩笑地說:“最安全的計算機是拔掉網絡的那臺計算機”。
4.由于某些緣故,網絡中總是存在黑客,專門竊取信息或破壞網絡系統。他們的水平都非常專業,一般的用戶難以預防。所謂“道高一尺,魔高一丈”,信息安全的水平總是在這種攻擊與防守中進步的。
5.信息安全問題的不確定性。信息安全問題的不確定性主要指是否發生風險的不確定性、無法精確地評估當前所面臨的風險以及風險發生所帶來的損失的難以把握。
所有這一切因素,都使得信息安全無法得到有效的關注和重視,無法采用有效的措施來預防和避免。這也是導致信息安全事件發生頻率居高不下,風險損失較大的主要原因。 轉貼于
三、相關的建議和策略
針對企業信息安全的問題,文章運用管理學的理論進行論述。企業管理涉及四個功能:計劃、組織、領導、控制 。
1.從計劃的角度來看:企業應當確立信息安全的發展戰略,從戰略的高度來對待和管理信息安全,確保信息安全所引發的風險達到可以接受的范圍之內。從全局角度制定信息安全的策略,確立信息安全的目標,以及實現目標需要的行動方案。
2.從組織的角度來看:人力資源的管理的觀點認為,企業的組織結構,取決于組織戰略 。在許多企業組織結構中,只有技術部門,沒有信息安全管理部門。S.H.(basie) von Solms 曾討論過,技術管理與安全管理兩個部門必須設置成為兩個獨立的部門,否則無法保證安全評估的客觀性。因此有必要設置一個專門負責信息安全管理的部門,這個部門并不負責具體的技術,但是要懂技術,主要是開展企業的安全培訓工作、日常的安全管理工作、對存在的風險進行評估,最大限度地降低安全風險。
3.從領導的角度來看:根據wilde的風險平衡理論,一個人會愿意承擔一定程度的風險。 “風險平衡”觀念會讓整個機構處于盲目樂觀的過度自信狀態,不管是企業的員工還是管理者都傾向于追求效率 ,從而忽視信息安全的投入。
在企業的管理過程中,應當加強信息安全、風險意識方面的培訓和教育,增進員工與技術人員的面對面的溝通與交流,開展有效的安全意識活動。
4.從控制的角度來看:對風險的控制要求企業對自己的安全狀況不斷評估,時時防范。這就要求安全管理部門每隔一定時間向上匯報信息安全的進展情況,定期進行風險評估工作。
文章從管理學的角度來分析信息安全風險管理,對信息安全問題做了實地調查,分析了目前信息安全存在的一些問題,并對存在的問題的根源進行了深入的分析,最后文章運用管理學的理論,從計劃、組織、領導、控制四個角度出了相應的建議和策略。
參考文獻
[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.
[2]秦志華.企業管理[M].大連:東北財經大學出版社,2011,1.
[3]廖三余,曹會勇.人力資源管理[M].北京:清華大學出版社,2011,9.
【關鍵詞】安全性訪問;病毒的防治;數據備份與恢復;安全策略;醫院信息管理系統
Abstract:In the hospital information construction process,the hospital information management system is its core part,the current most hospitals face very important problem is how to keep the hospital information management system is highly effective,the security,the stable operation.This article attempts from the system security access,prevention and control of the virus,data backup and recovery,etc are discussed,so as to work out the corresponding security strategy.
Keywords:Security access;Prevention and control of the virus;Data backup and recovery;Safety strategy;The hospital information management system
一、引言
計算機技術不斷發展的今天,在醫院的應用里面醫院信息管理系統得到了大眾的認可,醫院信息管理系統在應用的過程中,信息安全是受到普遍關注的焦點。醫院信息管理系統是一個整個醫院都聯了網的系統,因此對系統的信息安全要求非常高。如果系統的信息安全出現問題,就是丟失醫院中的重要數據信息,使醫院的各項工作不能正常運行,給醫院帶來的直接經濟損失是無法估量的,嚴重影響醫院的社會效益。如今,很多醫院的信息管理系統的安全體系都很簡單,然而醫院的數據業務卻在不斷增大,業務應用的復雜性也不斷提高,簡單的醫院信息管理系統安全體系已不能滿足系統安全需求。因此,針對以上的這些問題,為了完善系統的安全體系,本文提出了相應的安全策略。使得系統能夠高效、安全、穩定的運行,這也是醫院信息管理系統需要解決的一個迫切問題。
二、安全訪問的控制策略
在醫院信息管理系統里面,人員是分散的,資源是共享的,這也是醫院信息管理系統的主要特點,護士、醫生、行政管理人員、醫療技術人員和后勤管理人員都是該系統的操作用戶,從人員的組成上面可以看出比較復雜,并且每種用戶負責的工作任務和自責都不一樣。所以,醫院信息管理系統里面的系統管理員的主要任務是根據不同角色的用戶,給每一個用戶都分配一個用戶名和密碼,這個用戶名和密碼對一個用戶來說有且只有一個,系統管理員給每個用戶的操作權限也是不同的。不同角色的用戶登錄到醫院信息管理系統里面都只能在自己的權限范圍內進行相應的操作和訪問,對于沒有權限進行訪問和操作的模塊,系統會對該用戶隱身,使用戶看不到。這樣可以防止那些不是本系統的用戶非法進入,是系統的安全得不到保障。醫院信息管理系統的所有資源對于系統管理員來說,都是可以訪問的,因此,對于系統管理員的賬號數量,應該加以限制,密碼在設置的時候也盡量使其復雜,對于系統的運行狀況,由系統管理員定期進行匯報,使得整個系統都能夠處于監督之下。
三、防治病毒的策略
計算機技術發展的非常迅速,但同事計算機病毒也隨之產生,并且是系統主要的威脅。所以,完善的病毒防治體制和規章制度的建立是迫在眉睫的,主要的病毒的防治策略有:
1.對于數據服務器要做專門的備份,由一些比較重要的數據備份要定期進行,使系統受到病毒攻擊、數據丟失或被惡意修改等事件的威脅降低,是系統數據的完整性和正確性得到保障。
2.電腦安裝的操作系統盡量選用正版的,對于官方網站中的一些重要信息,計算機的管理人員要時刻關注,使操作系統得到及時的更新,降低操作系統遭到攻擊的機率。
3.給每一臺跟醫院信息管理體系相連的電腦都安全GHOST軟件,定期對系統進行備份操作,如果系統受到破壞之后沒辦法進行恢復了,就可以使用一鍵GHOST直接進行還原。
4.使用醫院信息管理系統的整個醫院的全體員工都要有病毒防范的意識,并且要具備良好的動機,如果發現了系統中出現了計算機病毒,就應該及時通知相應的網絡管理部門進行處理,減少病毒攻擊帶來的損失。
5.在給系統安裝殺毒軟件的時候盡量選用正版的,并且殺毒軟件要定期進行升級操作,這些任務由計算機管理人員完成,使整個醫院的電腦病毒庫都是最新的版本。
6.在醫院信息管理系統中安裝防火墻,使得外部惡意的程序對醫院系統的入侵事件受到阻止。
7.在電腦的使用方面,要建立一個嚴格的規章制度,如果出現的問題,就要追究這個用戶的責任,情節比較嚴重的,應該追究其法律責任。
8.對于那些外部存儲連接設備像優盤、硬盤等,要嚴格對其進行管理,如果沒有經過允許就把這些設備連接到系統中,出現問題追究用戶的責任。
9.在使用內網和外網的時候要非常嚴格,內外網的配備要根據每個科室的不用業務需求來進行,比如有的科室只使用外網,那就不考慮內網的連接,只連接外網。
四、數據的備份與恢復策略
1.系統的備份與恢復策略
在醫院信息管理系統中,所有的應用能夠正常進行的前提和保障就是系統的安全,再有在操作系統有改動或者系統被破壞了,系統的備份與恢復才會進行。在進行系統的備份與恢復的時候,經常使用的軟件就是一鍵GHOST。在安裝系統的時候,把硬盤劃分成幾個區域,其中的一個區域安裝操作系統,把系統分區用GHOST軟件復制一份映射文件放到另一個分區里面去,如果系統中出現了安全問題,使得系統不能正常運行,這個時候就使用一鍵GHOST軟件根據映射文件使系統快速恢復,這樣就可以在系統崩潰之后,數據信息還可以得到恢復和保存。
2.后臺數據的備份與恢復
在后臺的數據庫中,有啟動和計劃任務的功能,如果定期對其進行操作的話,可以采取設定定時的方法,自動地把主服務器的日志備份到一個備份的服務器上面,還可以設定一個定時啟動的恢復任務,使得備份服務器的數據庫能夠同步到主服務器的恢復,在別的地方安裝一個容量非常大的數據存儲器,把備份服務器中已經得到恢復的數據放到這個容量非常大的數據存儲器中。如果服務器中的數據遭到了破壞,就可以采取把之前備份好的事務日志進行恢復的策略,可以使丟失數據的機率降到很低,基本上可以保證數據得到恢復。比如,使用SQL Server 2005數據庫技術中的計劃任務進行不同地方的數據備份與恢復,使用SQL Server 2005數據庫中的計劃任務進行很多個備份的任務操作,在平常生活比較空閑的時候,對這些任務進行備份操作,然后再對這些數據進行不同地方的存儲,也就是說把備份的任務存儲到別的計算機的硬盤上面。這樣就可以保證在硬盤受到損壞的時候,可以使用別的保存了數據的計算機對這些數據進行恢復和還原。數據庫本身具有還原的功能,可以利用數據庫的這一特點對數據庫中的數據進行還原,并且還原的速度也是很快的,使得數據的安全性得到了保障,數據備份與恢復的效率也得到了極大的提高。
五、其他
針對醫院信息管理系統,上面討論了三種加強醫院信息管理系統安全的策略,顧名思義肯定還有其他影響系統安全的因素,比如,計算機的軟硬件出現了故障、電腦黑客對系統的入侵、系統突然斷電或者人為的因素對系統造成破壞等等,我也不一一全部進行列舉,但是的確還有很多因素會給系統造成破壞,給醫院帶來很大的直接經濟損失。因此,我們在平常的使用中就應該關注這些問題,使系統遭到破壞的機率減少了到最低。
六、結語
在醫院信息化建設的過程中,醫院信息管理系統的安全問題是非常重要的部分,每個使用醫院信息管理系統的用戶都有責任保證醫院信息系統的正常運行。所以,醫院要對使用醫院信息管理系統的全部用戶都定期進行安全知識方面的培訓,使全部使用醫院信息管理系統的用戶都具備良好的安全意識,并且根據具體的情況制定出有效的安全應急的預案,建立完善的安全管理規章制度,使醫院信息管理系統在運行的時候能夠高效、安全、穩定,使醫院的服務水平、市場競爭力和管理水平都得到相應的提高,當然,這樣也能夠提高醫院的社會影響力,使醫院的效益越來越高。
參考文獻:
[1]嚴冰.網絡安全在醫院信息管理系統中的重要作用[J].行政與管理,2008,281.
[2]萎瓊,張泉方.醫院信息管理中的數據備份研究[J].數據庫技術與應用,2008.3(11):49-51.
[3]滿育紅.醫院信息管理系統中的數據備份與恢復[J].吉林醫學,2007,28(9):1149-1150.
[4]張嬡.醫院信息管理系統的病毒的防治初探[J].信息與電腦,2011,5:12-14.
[5]張秀玉.SQL SERVER 數據庫程序設計[M].機械龔古爾出版社,2005:68-97.
[6]胡柏敬,姚巧梅.SQL SERVER 2005 數據庫開發講解[M].電子工業出版社,2006.
[7]DAVDV.客戶機/服務器策略[M].北京:電子工業出版社,1995.
[8]張本成,何清林.中小企事業單位數據安全網絡改造方案[J].科技情報開發與經濟,2005,20:204-205.
[9]苗雪蘭.數據庫系統原理及應用教程[M].機械工業出版社,2001:7.
[10]醫保計算機系統中 IC 卡的安全設計:[D].南京:南京理工大學,2004.
[11]項慶坤.劉彥偉.醫療保險管理系統中的數據傳輸設計[J].計算機絡,2002,13:5 6-57.
[12]薛華成.管理信息系統(第三版)[M].北京:清華大學出版社,1999.
[13]薩師煊,王珊.數據庫系統概論(第三版)[M].高等教育出版社.
[14]洪深著.決策支持系統(DSS):理論.方法.案例[M].清華大學出版社,2002,9(2).
關鍵詞:計算機網絡;信息管理;安全防護
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)18-4389-02
1概述
互聯網技術給我們帶來很大的方便,同時也帶來了許多的網絡安全隱患,諸如陷門、網絡數據竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網絡安全隱患一直都威脅著我們。為了確保計算機網絡信息安全,特別是計算機數據安全,目前已經采用了諸如服務器、通道控制機制、防火墻技術、入侵檢測之類的技術來防護計算機網絡信息安全管理,即便如此,仍然存在著很多的問題,嚴重危害了社會安全。計算機網絡信息管理工作面臨著巨大的挑戰,如何在計算機網絡這個大環境之下,確保其安全運行,完善安全防護策略,已經成為了相關工作人員最亟待解決的問題之一。
2計算機網絡信息管理工作中的安全問題分析
計算機網絡的共享性、開放性的特性給互聯網用戶帶來了較為便捷的信息服務,但是也使得計算機網絡出現了一些安全問題。在開展計算機網絡信息管理工作時,應該將管理工作的重點放在網絡信息的和訪問方面,確保計算機網絡系統免受干擾和非法攻擊。
2.1安全指標分析
(1)保密性
通過加密技術,能夠使得計算機網絡系統自動篩選掉那些沒有經過授權的終端操作用戶的訪問請求,只能夠允許那些已經授權的用戶來利用和訪問計算機網絡信息數據。
(2)授權性
用戶授權的大小與其能夠在計算機網絡系統中能夠利用和訪問的范圍息息相關,我們一般都是采取策略標簽或者控制列表的形式來進行訪問,這樣做的目的就在于能夠有效確保計算機網絡系統授權的正確性和合理性。
(3)完整性
可以通過散列函數或者加密的方法來防治非法信息進入計算機網絡信息系統,以此來確保所儲存數據的完整性。
(4)可用性
在計算機網絡信息系統的設計環節,應該要確保信息資源具有可用性,在突然遇到攻擊的時候,能夠及時使得各類信息資源恢復到正常運行的狀態。
(5)認證性
為了確保權限所有者和權限提供者都是同一用戶,目前應用較為廣泛的計算機網絡信息系統認證方式一般有兩種,分別是數據源認證和實體性認證兩種,這兩種方式都能夠得到在當前技術條件支持。
2.2計算機網絡信息管理中的安全性問題
大量的實踐證明,計算機網絡信息管理中存在的安全性問題主要有兩種類型,第一種主要針對計算機網絡信息管理工作的可用性和完整性,屬于信息安全監測問題;第二種主要針對計算機網絡信息管理工作的抗抵賴性、認證性、授權性、保密性,屬于信息訪問控制問題。
(1)信息安全監測
有效地實施信息安全監測工作,可以在最大程度上有效消除網絡系統脆弱性與網絡信息資源開放性二者之間的矛盾,能夠使得網絡信息安全的管理人員及時發現安全隱患源,及時預警處理遭受攻擊的對象,然后再確保計算機網絡信息系統中的關鍵數據能夠得以恢復。
(2)信息訪問控制問題
整個計算機網絡信息管理的核心和基礎就是信息訪問控制問題。信息資源使用方和擁有方在網絡信息通信的過程都應該有一定的訪問控制要求。換而言之,整個網絡信息安全防護的對象應該放在資源信息的和個人信息的儲存。
3如何有效加強計算機網絡信息安全防護
(1)高度重視,完善制度
根據單位環境與特點制定、完善相關管理制度。如計算機應用管理規范、保密信息管理規定、定期安全檢查與上報等制度。成立領導小組和工作專班,完善《計算機安全管理制度》、《網絡安全應急預案》和《計算機安全保密管理規定》等制度,為規范管理夯實了基礎。同時,明確責任,強化監督。嚴格按照保密規定,明確涉密信息錄入及流程,定期進行安全保密檢查,及時消除保密隱患,對檢查中發現的問題,提出整改時限和具體要求,確保工作不出差錯。此外,加強培訓,廣泛宣傳。有針對性組織開展計算機操作系統和應用軟件、網絡知識、數據傳輸安全和病毒防護等基本技能培訓,利用每周學習日集中收看網絡信息安全知識講座,使信息安全意識深入人心。
(2)合理配置,注重防范
第一,加強病毒防護。單位中心機房服務器和各基層單位工作端均部署防毒、殺毒軟件,并及時在線升級。嚴格區分訪問內、外網客戶端,對機房設備實行雙人雙查,定期做好網絡維護及各項數據備份工作,對重要數據實時備份,異地儲存。同時,嚴格病毒掃描。針對網絡傳輸、郵件附件或移動介質的方式接收的文件,有可能攜帶病毒的情況,要求接收它們之前使用殺毒軟件進行病毒掃描。第二,加強強弱電保護。在所有服務器和網絡設備接入端安裝弱電防雷設備,在所有弱電機房安裝強電防雷保護器,保障雷雨季節主要設備的安全運行。第三,加強應急管理。建立應急管理機制,完善應急事件出現時的事件上報、初步處理、查實處理、責任追究等措施,并定期開展進行預演,確保事件發生時能夠從容應對。第四,加強“兩個隔離”管理。即內、外網物理徹底隔離和通過防火墻進行“邊界隔離”,通過隔離實現有效防護外來攻擊,防止內、外網串聯。第五,嚴格移動存儲介質應用管理。對單位所有的移動存儲介質進行登記,要求使用人員嚴格執行《移動存儲介質管理制度》,杜絕外來病毒的入侵和泄密事件的發生。同時,嚴格安全密碼管理。所有工作用機設置開機密碼,且密碼長度不得少于8位,定期更換密碼。第六,嚴格使用桌面安全防護系統。每臺內網計算機都安裝了桌面安全防護系統,實現了對計算機設備軟、硬件變動情況的適時監控。第七,嚴格數據備份管理。除了信息中心對全局數據定期備份外,要求個人對重要數據也定期備份,把備份數據保存在安全介質上。
(3)堅持以信息安全等級保護工作為核心
把等級保護的相關政策和技術標準與自身的安全需求深度融合,采取一系列有效措施,使等級保護制度在全局得到有效落實,有效的保障業務信息系統安全。
第一,領導高度重視,組織保障有力。單位領導應該高度重視信息化和信息安全工作,成立專門的信息中心,具體負責等級保護相關工作,統籌全局的信息安全工作。建立可靠的信息安全基礎設施,重點強化第二級信息系統的合規建設,加強了信息系統的運維管理,對重要信息系統建立了災難備份及應急預案,有效提高了系統的安全防護水平。
第二,完善措施,保障經費。一是認真組織開展信息系統定級備案工作。二是組織開展信息系統等級測評和安全建設整改。三是開展了信息安全檢查活動。對信息安全、等級保護落實情況進行了檢查。
第三,建立完善各項安全保護技術措施和管理制度,有效保障重要信息系統安全。一是對網絡和系統進行安全區域劃分。按照《信息系統安全等級保護基本要求》,提出了“縱向分層、水平分區、區內細分”的網絡安全區域劃分原則,對網絡進行了認真梳理、合理規劃、有效調整。二是持續推進病毒治理和桌面安全管理。三是加強制度建設和信息安全管理。本著“預防為主,建章立制,加強管理,重在治本”的原則,堅持管理與技術并重的原則,對信息安全工作的有效開展起到了很好的指導和規范作用。
(4)采用專業性解決方案保護網絡信息安全
大型的單位,如政府、高校、大型企業由于網絡信息資源龐大,可以采用專業性解決方案來保護網絡信息安全,諸如銳捷網絡門戶網站保護解決方案。銳捷網絡門戶網站保護解決方案能提供從網絡層、應用層到Web層的全面防護;其中防火墻、IDS分別提供網絡層和應用層防護,ACE對Web服務提供帶寬保障;而方案的主體產品銳捷WebGuard(WG)進行Web攻擊防御,方案能給客戶帶來的價值:
防網頁篡改、掛馬
許多大型的單位作為公共信息提供者,網頁被篡改、掛馬將造成不良社會影響,降低單位聲譽。目前客戶常用的防火墻、IDS/ IPS、網頁防篡改,無法解決通過80端口、無特征庫、針對動態頁面的Web攻擊。WebGuard DDSE深度解碼檢測引擎有效防御SQL注入、跨站腳本等。
高性能,一站式保護各院系網站
對于大型單位客戶,往往擁有眾多部門,而并非所有大型單位都將各部門網站統一管理。各部門網站技術運維能力相對較弱,經常成為攻擊重點。WebGuard利用高性能多核架構,提供并行處理。支持在網絡出口部署,一站式保護各部門網站。
“零配置”運行,簡化部署
WebGuard針對用戶,集成默認配置模板,支持“零配置”運行。一旦上線,即可防護絕大多數攻擊。后續用戶可以根據網絡情況,進行優化策略。避免同類產品常見繁瑣配置,毋須客戶具備專業的安全技能,即可擁有良好的體驗。
滿足合規性檢查要求
繼08年北京奧運、09年國慶60周年后,10年上海世博會、廣州亞運會先后舉行。在重大活動前后,各級主管單位和公安部門,紛紛發文,要求針對網站安全采取措施。WebGuard恰好能很好的滿足合規性檢查的需求,幫助用戶順利通過檢查。
4結束語
新時期的計算機網絡信息管理工作正向著系統化、集成化、多元化的方向發展,但是網絡信息安全問題日益突出,值得我們大力關注,有效加強計算機網絡信息安全防護是極為重要的,具有較大的經濟價值和社會效益。
參考文獻:
[1]段盛.企業計算機網絡信息管理系統可靠性探討[J].湖南農業大學學報:自然科學版,2000(26):134-136.
[2]李曉琴.張卓容.醫院計算機網絡信息管理的設計與應用[J].醫療裝備,2003.(16):109-113.
[3]李曉紅.婦幼保健信息計算機網絡管理系統的建立與應用[J].中國婦幼保健,2010(25):156-158.
[4]羅宏儉.計算機網絡信息技術在公路建設項目管理中的應用[J].交通科技,2009.(1):120-125.
[5] Bace Rebecca.Intrusion Detection[M].Macmillan Technical Publishing,2000.
計算機信息管理工作面臨非常大的挑戰,如何在這種情況下保持互聯網環境的安全,完善對于計算機網絡信息的保護手段是我們現階段需要大力解決的問題。
互聯網技術給我們的日常生活帶來了很大的方便,但是在我們使用互聯網的同時也可能存在很多的安全隱患。為了解決這些現階段存在的問題,我們現在一般使用防火墻技術,通過服務器對外部入侵情況進行監測和鑒定,對計算機進行實時的防護。
雖然我們應用了這些技術進行防護,但是計算機安全信息防護依舊有很多問題需要我們解決,嚴重影響著使用者的正常使用和網絡安全。
1、計算機網絡信息安全分析
計算機網絡的開放和共享給互聯網的用戶提供了更加方便的信息獲取途徑,同時也是因為互聯網具有這樣的特性,所以也讓互聯網存在很多安全隱患,在我們對計算機信息安全進行掛了你的同時,我們要認真管理和訪問的信息,確保計算機不受非法信息的影響正常工作。
1.1安全性指標分析
我們針對計算機網絡信息管理和安全防護的安全指標分析主要有保密性、授權性、完整性、可用性以及認證性。這些指標都是我們對計算機網絡信息是否安全進行判定的基礎。
保密性是指我們通過加密的方式讓計算機自動識別沒有授權的訪問和操作請求,只有通過計算機授權的使用者才能夠訪問網絡上的相關數據。[1]用戶的授權范圍也是計算機信息防護的重要依據,授權的范圍我們一般是通過控制列表或者策略標簽的方式來進行管理,這樣的最終目的就是為了能夠保證計算機系統授權更加合理和安全。
為了保持計算機信息安全的完整性,我們可以通過散列函數以及各種加密方式來防止非法入侵計算機的行為發生,可以確保信息在互聯網上的完整和安全。計算機信息的可用性主要是指我們需要保證計算機網絡信息系統在受到非法入侵的同時能在第一時間恢復相關信息的數據備份,讓計算機網絡系統在短時間內恢復正常運行。
為了確保計算機的所有者和當前計算機的使用者的同一人,我們一般采用系統認證的方式來確保信息版權,現階段所使用的認證方式主要有實體認證和數據源認證兩種模式。
1.2計算機網絡信息管理存在的問題
我們通過實踐證明,計算機網絡信息管理存在的問題主要是對網絡信息管理的完整性和可用性來進行安全檢測的,其次我們需要對計算機網絡信息管理的工作進行授權、保密和認證。
首先我們需要關注一下網絡信息安全的檢測工作,我們通過全面良好的信息安全性檢測,可以在最大程度上避免了資源開放和網絡信息脆弱性之間的沖突,可以讓安全管理人員能夠更加及時發現安全隱患,解決這些問題,確保計算機信息不丟失,并且能夠在短時間內恢復正常工作。
其次我們需要對信息訪問進行有效的控制,無論是對于信息的所有者還是信息的使用者來說,在使用網絡信息的時候都需要有一個訪問權限的有效控制,換言之,對于計算機網絡的信息數據安全防護的關鍵點在于個人信息的儲存以及資源的上面。
2、如何加強計算機網絡信息的安全管理工作
2.1加強管理制度的建立,引起足夠的重視
我們應當按照不同單位工作的特點來進行相關管理制度的制定,比如計算機使用管理規范、保密協定、計算機定期檢查管理規定等各種制度。我們需要成立專門的管理小組,對計算機的管理制度進行制定和完善,同時我們應當將責任落實到每個人的頭上,加強對于網絡信息安全的監督和管理工作,增強整個管理小組的執行力。同時管理人員需要嚴格遵守相關信息的保密協議,對于一些機密信息的錄入和的過程,一定要進行全程的安全檢查,并且杜絕相關信息的泄漏,防止發生網絡安全隱患。
[2]在檢查過程中,一旦發現問題就要馬上進行整改,確保安全管理工作的正常進行。同時要對相關人員進行培訓和宣傳,并且有組織的對計算機網絡知識、數據安全和防護等技能進行培訓,將安全意識融入到日常的工作中。
2.2加強日常的防范工作
日常的防范工作我們首先要從病毒防火墻入手,無論是中心管理系統還是分端的服務器都需要進行相關的病毒防護,及時對軟件進行在線升級。要對內外網訪問的客戶端進行嚴格區分,機房設備要定期的對網絡數據進行維護和備份,必要的時候可以進行異地儲存,確保信息不會因為病毒的入侵而導致丟失。同時我們還需要對病毒進行定期掃描和殺毒,對于可能攜帶網絡病毒的郵件,要求在使用之前必須對其進行殺毒處理。[3]其次我們要加強系統服務器的防雷電處理,在服務器連接終端我們需要安裝防雷裝置,保證在及時在雷雨季節,各項設備也能不受雷雨的影響正常運行。
其次我們需要增強應急預案的制定,建立一套完整的應急管理方案,完善應急管理的各個程序,定期進行應急方案的預演,確保真正發生特殊情況能夠不慌亂,以最正確的方式進行處理。同時我們還需要增強對內外網之間的隔離以及防火墻的邊界隔離。通過隔離有效的避免外來攻擊的情況發生。單位要對移動儲存介質進行嚴格控制,若需要使用必須進行嚴格的等級,避免外來病毒對計算機造成危害導致信息泄漏,同時對于計算機密碼要進行嚴格的管理,對于所有涉及到安全性信息的計算機都要設置對應的密碼,并且要定期修改密碼。
嚴格使用桌面安全防護系統,這個系統可以對每臺計算機進行有效的監控,實現計算機軟件和硬件的實時管理。[4]不僅信息中心需要定期進行備份處理,個人的重要數據也需要定期備份,確保數據都能夠安全的儲存和使用。
2.3采用專業性解決方案保障網絡信息的安全
大型單位的資源比較龐大,所以我們可以采取專業性的方案來進行網絡信息安全的防護。我們通過采用防火墻等技術防止木馬的侵襲。一些比較大的單位一般下屬都會設有很多的分部門,但是對于每個部門來說有很多對于部門網站都不是進行統一管理的。這就造成了每個小部門的網絡安全管理能力較弱,容易成為攻擊和侵害的對象。
總結
新時代的計算機網絡信息安全管理正在不斷的想著完整性和系統性邁進。但是隨著計算機網絡技術的不斷發展,網絡安全技術存在的問題也逐漸得到提現,需要我們關注。有效的加強計算機網絡信息安全是非常重要的,對于單位和個人來說都具有非常大的經濟價值和社會價值。
關鍵詞:機房安全;服務器;數據庫
中圖分類號:TP393 文獻標識碼:A文章編號:1007-9599 (2011) 08-0000-01
The Safe Operation Management Strategies of Enterprise Information Software System
Wang Huifeng
(SANYHE International Holdings Co.,Ltd,Shenyang110027,China)
Abstract:With the construction of enterprise information technology,information system security is also increasingly become increasingly important.With the expansion of network applications,business process applications in the network security risks are increasing,the intruder can attack the enterprise intranet,theft or other damage,which are on the corporate use of the network posed a serious security threat.This paper describes the enterprise information system security software applications to run management,from hardware management,software,security,fault handling different aspects of the management described.
Keywords:Computer room safety;Server;Database
一、機房安全
企業應根據自身特點為企業信息軟件應用系統集中建立一個或多個專用機房,在機房中存放信息軟件應用系統的服務器設備、網絡設備、存儲設備等相關硬件。企業機房應當參照《國家標準電子計算機機房設計規范GB50174-93》進行設計與建設。
企業機房要進行24小時專人執班,保證機房的溫度、濕度、供電、防靜電、防雷、防火等環境符合要求。人員進出機房要進行登記,外來人員不得隨意進入機房。機房工作人員不得利用服務器從事工作以外的事情。
二、硬件設備安全
硬件設備系統是指為保證企業信息軟件應用系統安全運行所涉及到的系統硬件設備安全。
(一)硬件范圍:主要包括系統數據庫服務器、系統應用服務器、系統前置機服務器、磁盤陣列、磁帶庫、網絡防火墻、網絡交換機等。(二)對于設計有冗余電源的設備,應當在購置設備時配置N+1冗余電源,減少設備因單電源失效引起的宕機事故的幾率。(三)企業信息軟件應用系統中提供遠程登錄的設備如服務器、防火墻、交換機等,密碼要由專人持有,密碼設置要符合密碼復雜性要求,密碼要定期修改。(四)系統管理人員要定期對企業信息軟件應用系統所有硬件設備進行運行巡檢,檢查并記錄設備有無運行異常及告警信息,巡檢過程中要由專人負責監督。
三、網絡安全管理
網絡安全管理是指企業信息軟件應用系統中的服務器設備所處的獨立網絡環境或企業應用系統數據中心(IDC)網絡環境的安全。
(一)網絡風險范圍:主要包括企業信息軟件應用系統的網絡安全設備運行情況及其策略管理。(二)在企業信息軟件應用系統的獨立運行網絡或企業數據中心(IDC),各網絡間開放最小量訪問策略。(三)系統管理人員要定期與安全設備廠商保持聯系,及時更新設備廠商的安全補丁和升級程序,使安全設備運行在最佳安全狀態下。(四)系統管理人員要定期對網絡設備進行安全檢查(建議每周一次),并出具書面檢查報告。
四、服務器系統安全管理
企業信息軟件應用系統的軟件實現都要依托服務器設備來實現。系統安全是指安裝在服務器上的操作系統軟件、防病毒軟件和防火墻軟件的安全。
(一)根據應用軟件系統的需求和服務器硬件架構選擇安裝合適的操作系統,服務器操作系統軟件應當定期更新操作系統的安全升級補丁。(二)服務器應當安裝防病毒軟件,系統管理人員要定期更新防病毒軟件更新補丁和病毒特征庫。系統管理人員要為防病毒軟件定制自動病毒掃描策略,定期檢查策略的執行情況。(三)服務器應當安裝防火墻軟件,系統管理人員要定期更新防火墻軟件更新補丁。系統管理人員要為防火墻軟件配置出入操作系統的防火墻安全防護策略,阻止可疑的不安全防問。
五、應用系統安全管理
(一)對數據庫用戶進行分類別管理,一類是數據庫查詢用戶,一類是數據庫更改用戶。數據庫更改用戶權限應通過DBA管理員監時分配,每次操作后由DBA回收用戶權限,下次需要修改數據,向DBA申請權限。(二)禁止任何操作人員手工直接調整數據庫業務數據。(三)系統管理人員應該為數據庫系統制定備份策略,選擇在數據庫負荷比較空閑的時間執行備份。(四)應用系統服務器安裝了企業信息軟件程序,是應用系統的業務處理平臺,是用戶讀取和寫入數據的橋梁。應用服務器密碼要由專人負責持有,不得轉讓他人,密碼要符合復雜性要求且定期修改。
六、系統數據備份管理
(一)系統管理人員要制定針對數據庫、前置機服務平臺、應用服務平臺的詳盡的備份策略。備份策略中應包含文件系統備份,數據庫系統在線和離線數據備份、日志備份。應根據應用系統數據的重要程度和應用系統的工作負荷靈活制定數據備份的方式和執行頻率。(二)系統管理員應定期檢查備份策略執行日志,檢查備份執行情況。(三)所有備份數據的介質集中保存在異地由專人保管。每次備份介質的交接要填寫交接記錄表。
七、故障處理流程
在企業信息軟件應用系統運行過程中,有可能會出現各種故障,根據故障的嚴重程度可以進行分類。
一類為一般性故障,該類故障主要是指應用系統中部分設備出現故障不能提供服務、網絡訪問緩慢或暫時中斷等,該類故障不會引起系統數據丟失,不會造成全部用戶長時間不能訪問應用系統,處理時間相對較短;另一類為災難性故障,該類故障主要是指系統因極端原因造成了系統宕機、數據丟失、設備損壞等嚴重事故,該類故障會造成全部用戶長時間不能訪問應用系統、數據可能會丟失、處理時間相對較長。
長期以來,中國大多數企業的信息安全建設遵循“木桶理論”,但實踐證明,在企業信息安全領域應用木桶理論仍存在一定缺陷,很難實現“標本兼治”。企業信息安全應從安全策略、安全管理體系、安全技術體系和安全運維體系四個方面建設一個完善的信息安全體系對企業的信息資源提供全方位的安全防護。整個安全體系以安全策略為核心,管理、技術、運維三者有機結合,又相互支撐。三者之間的關系為“根據管理體系中的策略,由相關組織或人員,利用技術體系作為工具和手段,進行操作來維持運行體系”。在建立信息安全體系的過程中,可采用ISO27001:2005所述的“過程方法”,即將“規劃(Plan)-實施(Do)-檢查(Check)-處置(Act)”(PDCA)四個步驟。
2安全策略
信息安全策略研究就是依據國家信息安全的方針政策、法律法規和工作要求,結合企業實際情況和管理要求,制訂企業信息安全防護的建設方針和基本要求,對信息安全管理體系、技術體系和運維體系中的各種安全控制措施和機制的部署提出目標和原則,是信息化“建、管、用”各項工作和各個環節必須遵守的安全規則,也是針對每個系統和設備制訂分項安全策略的依據。
3安全管理
信息安全管理可參照信息安全管理模型,按照先進的信息安全管理標準ISO17799標準建立組織完整的安全管理體系并實施與保持,達到動態的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式。管理體系架構可分為四層,最高層為企業信息安全總體策略,為下面的各項分策略和具體的規章制度提供指導。第二層為企業信息安全組織體系,作用在于指導實施安全體系,制定安全的相關標準和方針,監管安全事件等。組織體系須設立專門的管理機構,配備相應的安全管理人員,明確主管領導,落實部門責任,各盡其職。第三層為根據總策略,對信息安全涉及的各方面制定有針對性的分項策略,為安全的具體實施提供管理和技術上的指導。第四層為具體的安全管理制度。
4安全技術
