前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全的管理主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞 : 企業(yè)信息化;犯罪特征;控制防范;
一、一般而言,企業(yè)在實(shí)施信息化以前,數(shù)據(jù)資料往往分散在各個(gè)分離的業(yè)務(wù)部門,以紙張的形式記錄保存
企業(yè)通過實(shí)施信息化建設(shè),利用信息系統(tǒng)把企業(yè)的數(shù)據(jù)資料集中在計(jì)算機(jī)系統(tǒng)中進(jìn)行管理和維護(hù),企業(yè)中的各個(gè)部門和很多的人員甚至企業(yè)以外的組織或者個(gè)人可以訪問、使用企業(yè)信息系統(tǒng)中的數(shù)據(jù)。因此,企業(yè)實(shí)施信息化建設(shè)以后,其數(shù)據(jù)資料如果得不到妥善的管理,更容易被破壞和濫用。
隨著計(jì)算機(jī)技術(shù)在各個(gè)領(lǐng)域的廣泛應(yīng)用,計(jì)算機(jī)犯罪已經(jīng)成為了一個(gè)非常突出的問題。從20世紀(jì)90年代以來,計(jì)算機(jī)犯罪已經(jīng)嚴(yán)重影響了企業(yè)也及其他組織的信息資源的安全,有些已經(jīng)造成了重大的損失。可以說,計(jì)算機(jī)犯罪已經(jīng)成為信息時(shí)代企業(yè)所面臨的一個(gè)重要挑戰(zhàn)。
計(jì)算機(jī)犯罪是隨著計(jì)算機(jī)的產(chǎn)生和發(fā)展而產(chǎn)生的,它和其他的犯罪相比,具有獨(dú)有的特征:
(一)犯罪手段比較新
企業(yè)信息化的成果是企業(yè)信息系統(tǒng)。企業(yè)信息系統(tǒng)由地理上比較分散的計(jì)算機(jī)以及通信設(shè)施等構(gòu)成,這樣就為犯罪分子提供了多個(gè)途徑和目標(biāo)。而計(jì)算機(jī)既是犯罪的手段和工具,又是犯罪攻擊的目標(biāo)對(duì)象。對(duì)著計(jì)算機(jī)和電信技術(shù)的快速發(fā)展,近些年來,許多犯罪分子往往采用先進(jìn)的電子跟蹤技術(shù)和電子掃描技術(shù)等進(jìn)行犯罪活動(dòng)。計(jì)算機(jī)犯罪的手段具有多種形式,但大多采用技術(shù)手段而非暴力手段,非法訪問和使用是目前計(jì)算機(jī)犯罪分子常常采用的形式。信息已經(jīng)成為企業(yè)的重要資源,而且某些關(guān)鍵的商業(yè)機(jī)密對(duì)于企業(yè)而言可能是生死攸關(guān)的。如果系統(tǒng)采取的安全措施不當(dāng),企業(yè)的信息很可能就會(huì)被非法訪問和使用。
(二)受空間限制下
由于計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為企業(yè)信息管理的基礎(chǔ)設(shè)施,而且許多企業(yè)的網(wǎng)絡(luò)和企業(yè)外部的網(wǎng)絡(luò)以及互聯(lián)網(wǎng)連接,所以計(jì)算機(jī)犯罪在一定程度上根本不受時(shí)間和空間的限制,犯罪分子幾乎可以在任何時(shí)候、在任何一個(gè)和企業(yè)網(wǎng)絡(luò)相同的計(jì)算機(jī)終端上從事計(jì)算機(jī)犯罪活動(dòng),從遠(yuǎn)程對(duì)目標(biāo)進(jìn)行攻擊或者非法竊取數(shù)據(jù)。
(三)多利用管理制度和技術(shù)漏洞
計(jì)算機(jī)犯罪的客體往往是計(jì)算機(jī)系統(tǒng)中以電子形式存在的數(shù)據(jù)和信息,而對(duì)信息系統(tǒng)中的數(shù)據(jù)的存取控制和相應(yīng)的管理制度是防止系統(tǒng)中的數(shù)據(jù)和信息被竊取和破壞的重要屏障。不管是分取技術(shù)還是管理制度,只要兩者之一存在漏洞,就會(huì)給不法分子提供機(jī)會(huì),會(huì)給企業(yè)的安全帶來威脅。
(四)系統(tǒng)內(nèi)部人員犯罪較多
和傳統(tǒng)的犯罪形式不大一樣,計(jì)算機(jī)犯罪人員往往是系統(tǒng)內(nèi)部人員,這些人員還往往是精通計(jì)算機(jī)技術(shù)、熟知系統(tǒng)的功能并且具有合法身份或者便利條件的高智商員工。當(dāng)然,目前隨著互聯(lián)網(wǎng)的快速發(fā)展,外部人員通過遠(yuǎn)程方式從事計(jì)算機(jī)犯罪活動(dòng)的現(xiàn)象也越來越多。據(jù)有關(guān)數(shù)據(jù)表明,在過去,接近80%的違反信息安全的記錄都有來自于企業(yè)或者組織內(nèi)部。但是,現(xiàn)在看來,來自外部黑客攻擊的數(shù)量基本趕上了內(nèi)部違規(guī)的數(shù)量。
二、 計(jì)算機(jī)的防控
與傳統(tǒng)犯罪一樣,法律手段是非常重要的算然國家已經(jīng)制定了相關(guān)的法律和政策,但除了依靠法律的威懾力之外,企業(yè)更要從管理和技術(shù)上入手,在各個(gè)環(huán)節(jié)加強(qiáng)企業(yè)資源的安全管理。為了最大限度地減少計(jì)算機(jī)的破壞,企業(yè)必須把專門的政策和步驟融合到信息資源的管理中,做好管理好控制工作??刂剖潜WC企業(yè)信息管理安全最根本的手段。所謂控制是根據(jù)信息管理標(biāo)準(zhǔn),為保證企業(yè)信息系統(tǒng)的安全運(yùn)行而進(jìn)行的人工與自動(dòng)化相結(jié)合的方法。
企業(yè)信息資源是犯罪分子的目標(biāo),所以管理和控制企業(yè)系統(tǒng)的信息資源是至關(guān)重要的。要做好系統(tǒng)信息資源的控制,必須做好以下幾點(diǎn):
(一)同一性檢查
所謂同一性監(jiān)察是指用戶在使用系統(tǒng)的資源時(shí),要事先檢查該用戶是否具備訪問系統(tǒng)資源的權(quán)限。它要求不僅僅要檢查用戶的代碼,還要監(jiān)察用戶的口令,這兩者都和系統(tǒng)中設(shè)置的代碼完全匹配時(shí),才能夠使用系統(tǒng)的資源。這樣,可以阻止未被授權(quán)的人員訪問系統(tǒng)資源。而且,用戶的代碼和口令不應(yīng)該長(zhǎng)期不變,應(yīng)該經(jīng)常變更,防止用戶代碼和口令被破譯。
(二)用戶使用權(quán)限分配和檢測(cè)
企業(yè)信息系統(tǒng)具有很多的用戶,實(shí)際上這些用戶對(duì)于企業(yè)資源的訪問和使用權(quán)限是不同的。所以說,企業(yè)系統(tǒng)資源的管理人員必須授予相應(yīng)的用戶一個(gè)適當(dāng)?shù)臋?quán)限。有些用戶可能只具有閱讀企業(yè)系統(tǒng)的某個(gè)子系統(tǒng)中的某些數(shù)據(jù)資源的資格,而有些高級(jí)別的用戶可能具有改寫系統(tǒng)數(shù)據(jù)的權(quán)限。所以說,在設(shè)置權(quán)限控制清單時(shí),不能夠有半點(diǎn)的模糊,而且要給用戶規(guī)定實(shí)際需要的最小權(quán)限。
(三)必須建立系統(tǒng)運(yùn)行日志。
建立系統(tǒng)運(yùn)行日志的目的是確認(rèn)、跟蹤與系統(tǒng)數(shù)據(jù)資源的處理和使用等相關(guān)的事物,它可以提供檢察系統(tǒng)的具體使用情況等信息,可以幫助發(fā)現(xiàn)權(quán)限問題、系統(tǒng)的故障等。
參考文獻(xiàn):
[1](美)MichaelE.Whitman,(美)HerbertJ.Mattord著,齊立博譯.信息安全原理[M].清華大學(xué)出版社,2006.
[2]鄭志彬,吳昊,辛陽.建立產(chǎn)學(xué)研結(jié)合的信息安全人才培養(yǎng)道路[J].北京電子科技學(xué)院學(xué)報(bào).2006(01).
關(guān)鍵詞:信息安全;企業(yè)管理;經(jīng)濟(jì)信息管理
中圖分類號(hào):F208 文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1673-291X(2017)08-0147-02
高效的經(jīng)濟(jì)信息管理是企業(yè)不斷發(fā)展的重要保障,而要想實(shí)現(xiàn)高效的信息管理,對(duì)信息安全性的管理與控制是十分重要的一個(gè)因素。近年來,隨著科技與管理理念的不斷豐富,對(duì)信息管理中的信息安全性控制也在不斷強(qiáng)化并起到了一定的作用。但是,由于企業(yè)信息管理涉及的因素較多,導(dǎo)致目前仍舊存在一定的安全隱患。因此,有必要對(duì)企業(yè)的經(jīng)濟(jì)信息管理中的信息安全進(jìn)行分析與探討。
一、企業(yè)經(jīng)濟(jì)信息管理的信息安全存在的問題
(一)企業(yè)管理力度不足
企業(yè)管理力度不足是信息管理目前存在的普遍問題,也是導(dǎo)致企業(yè)信息管理存在安全隱患的主要原因之一。一方面,部分企業(yè)將管理重點(diǎn)放在了人員管理與財(cái)務(wù)控制方面,忽視了對(duì)經(jīng)濟(jì)信息安全的管理與控制;另一方面,部分企業(yè)的管理人員由于專業(yè)素質(zhì)與工作經(jīng)驗(yàn)的缺乏,對(duì)信息安全管理沒有采取科學(xué)的方式方法,導(dǎo)致信息安全管理難以充分發(fā)揮其作用與價(jià)值,進(jìn)而導(dǎo)致信息管理存在一定的安全隱患??傊?,管理人員與管理制度是導(dǎo)致企業(yè)管理力度不足的重要因素。
(二)缺乏總體規(guī)劃
在企業(yè)管理中,對(duì)經(jīng)濟(jì)信息的管理涉及到許多因素,所以高效的管理需要一個(gè)科學(xué)的總體規(guī)劃。對(duì)于企業(yè)來說,經(jīng)濟(jì)信息管理不是單個(gè)部門或人員的工作,而是需要整個(gè)企業(yè)人員都具有信息保護(hù)的意識(shí)。但在實(shí)際工作中,由于工作內(nèi)容具有一定的差異性或工作重點(diǎn)不同等原因,使得不同的員工與信息安全的意識(shí)程度不同,所以管理效果也難以達(dá)到最佳狀態(tài)??紤]到這些問題,企業(yè)在進(jìn)行經(jīng)濟(jì)信息管理時(shí)就需要制定一個(gè)整體規(guī)劃,但許多企業(yè)在這方面的工作力度仍有不足。
(三)對(duì)信息安全不夠重視
隨著我國經(jīng)濟(jì)的不斷發(fā)展,市場(chǎng)競(jìng)爭(zhēng)也越來越激烈,此時(shí)保證企業(yè)的經(jīng)濟(jì)信息安全是管理中十分重要的一部分。但是,在實(shí)際競(jìng)爭(zhēng)中,許多企業(yè)對(duì)經(jīng)濟(jì)信息的安全保障意識(shí)不夠強(qiáng)烈。只是單一的對(duì)市場(chǎng)信息進(jìn)行分析,而沒有完善的管理系統(tǒng),難免會(huì)導(dǎo)致信息儲(chǔ)存或管理出現(xiàn)一定的問題,甚至造成企業(yè)關(guān)鍵經(jīng)濟(jì)信息的泄露,給企業(yè)發(fā)展帶來不可挽回的損失。另外,信息管理中管理人員作用的發(fā)揮也非常重要。部分企業(yè)沒有重視到這一點(diǎn),管理人員的管理能力提升速度較慢,導(dǎo)致安全隱患的存在。
二、對(duì)企業(yè)信息管理安全產(chǎn)生影響的主要因素分析
(一)環(huán)境因素的影響
由于市場(chǎng)競(jìng)爭(zhēng)比較激烈,許多企業(yè)將管理重心放在了市場(chǎng)拓展與產(chǎn)品優(yōu)化等方面,出現(xiàn)了先重視產(chǎn)品與業(yè)務(wù),再考慮信息安全的現(xiàn)象,導(dǎo)致信息安全管理滯后于業(yè)務(wù)的進(jìn)行,產(chǎn)生一定的安全隱患。這是外部環(huán)境的影響,內(nèi)部環(huán)境對(duì)企業(yè)的信息管理也有著一定的影響。企業(yè)的業(yè)務(wù)流程對(duì)信息管理體系的設(shè)置與實(shí)施有著一定的影響。此外,部分企業(yè)雖然重視對(duì)信息安全的管理,但由于防范體系的不夠完善等原因,使得安全責(zé)任沒有落實(shí)到具體,這些都是導(dǎo)致經(jīng)濟(jì)信息管理存在安全隱患的因素。
(二)人為因素的影響
人為因素的影響主要是指經(jīng)濟(jì)信息管理人員的工作能力與工作態(tài)度等因素的影響。一方面,安全管理人員是接觸機(jī)密信息的直接人員,這部分工作人員若是出現(xiàn)刻意泄露或工作疏忽等現(xiàn)象,極易導(dǎo)致企業(yè)關(guān)鍵經(jīng)濟(jì)信息的泄露,給企業(yè)帶來不可挽回的損失,影響企業(yè)的穩(wěn)定發(fā)展。另一方面,技術(shù)人員也是人為因素中的重要部分,技術(shù)人員主要對(duì)相關(guān)設(shè)備進(jìn)行管理與維護(hù),也能夠直接接觸到關(guān)鍵信息。需要S護(hù)的設(shè)備較多,但部分企業(yè)為了節(jié)約人力成本,讓同一個(gè)技術(shù)人員負(fù)責(zé)多個(gè)設(shè)備的維護(hù),導(dǎo)致技術(shù)人員的工作難度增加,進(jìn)而影響其工作效率。
(三)技術(shù)因素的影響
信息安全技術(shù)是保證信息安全的重要因素,也是企業(yè)在這方面管理中比較重視的一部分。具體來說,技術(shù)因素對(duì)信息安全的影響主要體現(xiàn)在以下兩個(gè)方面:一是軟件方面影響,包含了設(shè)計(jì)漏洞或技術(shù)缺陷,以及殺毒軟件更新較慢或臨時(shí)發(fā)生的運(yùn)行故障等問題,這些都是對(duì)信息安全管理產(chǎn)生影響的因素。二是信息管理體系的設(shè)計(jì)方面,包含了風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)、業(yè)務(wù)流程數(shù)據(jù)、測(cè)試數(shù)據(jù)、訪問權(quán)限設(shè)置以及對(duì)信息資產(chǎn)的保護(hù)程度等。這些因素導(dǎo)致信息管理體系存在必然的安全隱患或漏洞,而這些漏洞將會(huì)為整個(gè)企業(yè)管理帶來嚴(yán)重的不利影響。
三、強(qiáng)化企業(yè)經(jīng)濟(jì)信息管理中信息安全的必要性
(一)企業(yè)信息管理的主要特征
企業(yè)信息管理的特征主要包括三個(gè)內(nèi)容:第一是具有保密性,這是信息管理的基本特征,也是信息管理的基本要求。各個(gè)部門負(fù)責(zé)的事項(xiàng)不同,部門人員只能獲取應(yīng)當(dāng)了解的信息,而不能越權(quán)了解其他私密信息。第二是完整性。保證經(jīng)濟(jì)信息的完整是企業(yè)信息管理的基本原則,只有保證信息具有基本的完整性,才能更加精準(zhǔn)地獲得數(shù)據(jù)價(jià)值,從而發(fā)揮其作用。第三是可用性。只有具有較強(qiáng)的可用價(jià)值與企業(yè)的私密信息,才具有一定的安全保護(hù)價(jià)值,才能在企業(yè)發(fā)展中發(fā)揮其本身的作用。
(二)強(qiáng)化信息管理安全的必要性
正是由于經(jīng)濟(jì)信息具有的這些特征,才使其有了明確的強(qiáng)化必要性。首先,強(qiáng)化信息安全的管理有助于保證數(shù)據(jù)的保密性與完整性。只有保證信息的完整與私密,才能促使其在企業(yè)競(jìng)爭(zhēng)中充分發(fā)揮價(jià)值。其次,信息的高效運(yùn)用與價(jià)值發(fā)揮的實(shí)現(xiàn),本身就需要一定的網(wǎng)絡(luò)條件,而網(wǎng)絡(luò)環(huán)境比較復(fù)雜,所以對(duì)數(shù)據(jù)的安全保護(hù)就顯得十分關(guān)鍵。例如,不法分子的信息盜取、網(wǎng)路黑客的惡意攻擊等,都是影響信息安全的因素。所以,對(duì)信息安全管理進(jìn)行加強(qiáng),是企業(yè)實(shí)現(xiàn)進(jìn)一步發(fā)展的重要手段。
四、提高企業(yè)經(jīng)濟(jì)信息管理安全性的建議
(一)健全經(jīng)濟(jì)信息體系的安全保障
構(gòu)建健全的經(jīng)濟(jì)信息體系的安全保障,是實(shí)現(xiàn)高效經(jīng)濟(jì)信息管理的重要前提,也是實(shí)現(xiàn)信息管理制度能夠穩(wěn)定發(fā)展的重要條件。在健全管理體系的保障過程中,最為首要的任務(wù),即是在系統(tǒng)設(shè)計(jì)過程中就強(qiáng)調(diào)安全性。
從目前來看,由于市場(chǎng)的寬容度逐漸升高,越來越多的企業(yè)參與到市場(chǎng)競(jìng)爭(zhēng)中。由于部分企業(yè)對(duì)信息安全的認(rèn)知不夠明確,或者管理制度不夠合理等因素,導(dǎo)致其經(jīng)濟(jì)信息管理制度本身就存在一定的安全隱患,不利于企業(yè)的發(fā)展。因此,企業(yè)需充分明確自身實(shí)力與發(fā)展情況,確定當(dāng)前發(fā)展中的關(guān)鍵,設(shè)計(jì)針對(duì)性的安全管理制度。具體來說,企業(yè)可加強(qiáng)對(duì)進(jìn)入內(nèi)部信息系統(tǒng)的準(zhǔn)入設(shè)置與權(quán)限、增加必要的保護(hù)屏障技術(shù)等。另外,還可借助科學(xué)技術(shù)與計(jì)算機(jī)技術(shù),將指紋識(shí)別等運(yùn)用到信息管理中,以保障管理制度的安全性。
(二)提高工作人員的工作能力
企業(yè)重要的經(jīng)濟(jì)信息泄露,其中一個(gè)關(guān)鍵的原因,即是工作人員的刻意為之或工作疏忽導(dǎo)致的。因此,在企業(yè)的經(jīng)濟(jì)信息管理中,提升工作人員的工作能力與安全意識(shí)是十分有必要的一項(xiàng)措施。一方面,企業(yè)可加強(qiáng)對(duì)管理人員的培訓(xùn),促使其對(duì)信息安全有明確的認(rèn)識(shí);同時(shí),還可借助培訓(xùn),提升管理人員的管理能力與風(fēng)險(xiǎn)意識(shí)。另一方面,管理責(zé)任的落實(shí)也十分重要。企業(yè)的經(jīng)濟(jì)信息涉及到許多企業(yè)的重要信息,要在日常管理者中將管理責(zé)任落實(shí)到具體,進(jìn)而提高工作人員的管理責(zé)任心。此外,提高管理人員的職業(yè)道德以及綜合素質(zhì)等,也是一個(gè)比較有效的方式,能夠在一定程度上提高企業(yè)的經(jīng)濟(jì)信息管理效率。
(三)強(qiáng)調(diào)對(duì)硬件的安全管理
在信息安全這個(gè)問題上,管理設(shè)備與硬件條件的強(qiáng)化是必不可少的一部分??梢哉f,硬件設(shè)備是高效的信息安全管理中的重要基礎(chǔ)。
首先,針對(duì)企業(yè)的實(shí)際情況,可淘汰一部分功能比較傳統(tǒng)的設(shè)備,購進(jìn)更先進(jìn)、安全保障程度更高的設(shè)備,進(jìn)而促使設(shè)備在信息安全管理中充分發(fā)揮作用。
其次,在運(yùn)用過程中,隨著運(yùn)用時(shí)間的增長(zhǎng)硬件設(shè)備的損耗程度也更大,所以對(duì)硬件設(shè)備的維護(hù)工作必須得到重視。企業(yè)可安排專門的維護(hù)人員,定期對(duì)設(shè)備進(jìn)行檢查或零件更換,避免因硬件系統(tǒng)而導(dǎo)致的信息泄露等問題。同時(shí),還可對(duì)維護(hù)人員進(jìn)行培訓(xùn),以提高其技術(shù)水平。此外,合理的安全屏障與接入控制、禁止未授權(quán)訪問或下載文件等措施都是硬件強(qiáng)化中的重要方法,能夠在一定程度上加強(qiáng)對(duì)經(jīng)濟(jì)信息的安全保障。
(四)健全企業(yè)信息安全管理制度
企業(yè)信息安全管理制度的完善,是保證企業(yè)經(jīng)濟(jì)信息管理安全性的重要因素。從企業(yè)管理的角度來講,企業(yè)對(duì)經(jīng)濟(jì)信息進(jìn)行的管理是根據(jù)本身的信息安全需要、業(yè)務(wù)分析以及風(fēng)險(xiǎn)預(yù)測(cè)等的結(jié)果,并結(jié)合科學(xué)技術(shù)與計(jì)算機(jī)技術(shù)實(shí)現(xiàn)的信息管理。構(gòu)建完善的信息管理制度,能夠?yàn)樾畔⒐芾硖峁┌ㄔO(shè)計(jì)、運(yùn)行等各個(gè)方面的安全保障,并有效避免因安全隱患導(dǎo)致的各類安全事故。一方面,企業(yè)可建立起相關(guān)的安全管理w系與防范制度,加強(qiáng)對(duì)關(guān)鍵數(shù)據(jù)的保存與備份,以保證在發(fā)生安全事故時(shí)能夠及時(shí)進(jìn)行彌補(bǔ),避免業(yè)務(wù)受到影響,進(jìn)而將企業(yè)的損失降到最小程度;另一方面,還可建立起集中的管理控制體系,將經(jīng)濟(jì)信息進(jìn)行綜合管理,并借助企業(yè)內(nèi)部的管理平臺(tái)對(duì)其進(jìn)行管理。
結(jié)語
據(jù)上述的分析可知,強(qiáng)化企業(yè)經(jīng)濟(jì)信息管理中的信息安全,不僅是推動(dòng)企業(yè)不斷發(fā)展的重要方法,更是推進(jìn)我國企業(yè)管理理念不斷完善的重要手段。通過健全經(jīng)濟(jì)信息體系的安全保障、提高工作人員的工作能力、強(qiáng)調(diào)對(duì)硬件的安全管理,以及健全企業(yè)信息安全管理制度等方式,從企業(yè)管理的各個(gè)角度強(qiáng)調(diào)了信息安全的重要性,在一定程度上提高了企業(yè)信息管理中的信息安全。
參考文獻(xiàn):
[1] 馬志程,張磊,王瓊.基于ISO/IEC17799標(biāo)準(zhǔn)體系的企業(yè)信息安全管理新模式[J].電力信息與通信技術(shù),2016,(1):80-83.
[2] 梁俊榮.基于信息安全的企業(yè)經(jīng)濟(jì)信息管理探討[J].信息化建設(shè),2016,(5):335.
[3] 劉曉松,郭玲玲.基于管理因素的企業(yè)信息安全事故分析[J].企業(yè)經(jīng)濟(jì),2013,(1):55-58.
【 關(guān)鍵詞 】 電子商務(wù);信息;安全;管理
Electronic Business Information Security Situation and Information Security Management Countermeasures
Wang Jing
(JiLinHua Zhongyou Construction Engineering Co., LTD Jilin 132021 )
【 Abstract 】 with the height of the information and network in China, the electronic commerce the strange term began to get people's attention. It will appear to the life of people brought great convenience, but there are a number of people have questioned the electronic commerce attitude, so the electronic commerce safety have to take seriously. This paper combines the electronic business information security situation and information security management countermeasures were discussed.
【 Keywords 】 electronic commerce; information; security; management
1 現(xiàn)階段電子商務(wù)發(fā)展的情況
隨著我國進(jìn)入了信息時(shí)代,網(wǎng)絡(luò)不斷得到普及,因此網(wǎng)絡(luò)業(yè)也出現(xiàn)了不少的問題,比如網(wǎng)絡(luò)傳輸光纖的阻斷,嚴(yán)重影響著信息的流暢;電腦黑客的入侵,電腦病毒惡意攻擊網(wǎng)站等,無時(shí)無刻不在威脅著電子商務(wù)的正常運(yùn)行。如何從根本上解決問題,這需要長(zhǎng)期大量的進(jìn)行防范。電子商務(wù)的網(wǎng)絡(luò)化主要是企業(yè)通過網(wǎng)絡(luò)與商家進(jìn)行交易,如果在交易中網(wǎng)絡(luò)的安全出現(xiàn)了疏漏,使得病毒以及黑客得以入侵,由此所造成的損失是巨大的。電子商務(wù)在網(wǎng)絡(luò)上的運(yùn)行還不夠規(guī)范,對(duì)于網(wǎng)上的稅收、合同以及保險(xiǎn)等方面都存在著不規(guī)范的現(xiàn)象,在加之法律在網(wǎng)絡(luò)上的不健全,這些都制約著電子商務(wù)在網(wǎng)絡(luò)的發(fā)展。
因特網(wǎng)是在虛擬空間運(yùn)行的,看似并不需要現(xiàn)實(shí)的空間。但隨著網(wǎng)絡(luò)的不斷壯大,要想有著更好的發(fā)展,就必須建立起強(qiáng)大的通訊設(shè)施作為基礎(chǔ),通訊設(shè)施也是電子商務(wù)安全的基礎(chǔ)。在我國網(wǎng)絡(luò)的現(xiàn)階段,網(wǎng)絡(luò)管理信息內(nèi)容、網(wǎng)絡(luò)技術(shù)、通訊速度、資費(fèi)水平、安全的保障條件等方面都無法跟上高速發(fā)展的電子商務(wù)步伐。銀行作為電子商務(wù)中商家與企業(yè)的紐帶,必須具備網(wǎng)絡(luò)結(jié)算、支付的功能。但電子商務(wù)的快速發(fā)展對(duì)銀行的電子結(jié)算與支付提出了更為嚴(yán)格的要求,它不光要求銀行有上網(wǎng)支付和結(jié)算的功能,還要保證網(wǎng)絡(luò)交易的安全性、用戶的密碼以及個(gè)人信息的保密。要想建立完備的電子商務(wù)網(wǎng)絡(luò)設(shè)施,就要建立全國性的數(shù)據(jù)通信網(wǎng)絡(luò),對(duì)寬帶的傳輸速度要滿易時(shí)的通信要求,這是實(shí)現(xiàn)電子商務(wù)信息化的必要條件。
2 電子商務(wù)在網(wǎng)絡(luò)交易中常出現(xiàn)的隱患
2.1 安全防范意識(shí)不強(qiáng)
我國信息技術(shù)正在飛速的發(fā)展,但電子商務(wù)才剛剛得以發(fā)展,有很多電子商務(wù)平臺(tái)的規(guī)模不是很大,自認(rèn)為對(duì)市場(chǎng)的作用不大,根本引起不了一些病毒或黑客的惡意攻擊,很多商家正是存在著這種安全意識(shí)不強(qiáng)的原因,使得平臺(tái)和網(wǎng)站頻頻受到惡意的攻擊,嚴(yán)重的影響著交易的正常運(yùn)行,嚴(yán)重的還會(huì)泄漏個(gè)人的信息。還有盲目的使用各種安全產(chǎn)品,認(rèn)為安裝了這些軟件就不會(huì)出現(xiàn)安全的隱患,這就是對(duì)安全技術(shù)缺少了解的表現(xiàn)。
2.2 安全產(chǎn)品的鑒定
上面就提到了一些交易平臺(tái)濫用安全產(chǎn)品的現(xiàn)象。隨著人們對(duì)網(wǎng)絡(luò)安全的不斷重視,互聯(lián)網(wǎng)一些相關(guān)的安全產(chǎn)品也越來越火爆。盡管這些安全產(chǎn)品能夠?qū)灰灼脚_(tái)起到一定的保護(hù)作用,但這并不是說明安裝了這些安全產(chǎn)品就可以放心使用,不會(huì)出現(xiàn)安全的隱患,這種想法是錯(cuò)的。計(jì)算機(jī)安全產(chǎn)品在計(jì)算機(jī)的安全中只能起到輔助的作用,并不能對(duì)計(jì)算機(jī)的安全起到主導(dǎo)的作用,更何況安全產(chǎn)品自身的安全性還有待鑒定,一旦安全產(chǎn)品出現(xiàn)了問題,輕則可能會(huì)失去保護(hù)計(jì)算機(jī)的功能,重則有可能對(duì)互聯(lián)網(wǎng)自身帶來安全隱患。
2.3 安全技術(shù)方面的不足
我國網(wǎng)絡(luò)雖然得到了迅猛的發(fā)展,但距離發(fā)達(dá)國家的水平還有很大的差距,計(jì)算機(jī)安全技術(shù)的研究也并不算長(zhǎng),許多技術(shù)還是照國外借鑒的,因此優(yōu)秀的網(wǎng)絡(luò)系統(tǒng)和技術(shù)全面的安全專家是我國所缺少的。這樣一來,我國電子商務(wù)的平臺(tái)以及網(wǎng)站的安全就得不到保障。
1 社區(qū)衛(wèi)生服務(wù)中心信息安全背景
20世紀(jì)90年代以來,信息技術(shù)不斷創(chuàng)新,信息產(chǎn)業(yè)持續(xù)發(fā)展,信息網(wǎng)絡(luò)廣泛普及,特別是原衛(wèi)生部《衛(wèi)生信息化發(fā)展規(guī)劃(2011~2015年)》之后,明確了衛(wèi)生信息化是深化醫(yī)藥衛(wèi)生體制改革的重要內(nèi)容。那么作為整個(gè)衛(wèi)生信息化體系的“網(wǎng)底”的社區(qū)衛(wèi)生服務(wù)中心,其重要性不言而喻。隨著衛(wèi)生信息化的建設(shè)不斷擴(kuò)展和深入,依托于區(qū)域衛(wèi)生信息中心的各類應(yīng)用系統(tǒng)不斷上線推廣應(yīng)用。網(wǎng)絡(luò)與數(shù)據(jù)安全已逐步成為各項(xiàng)衛(wèi)生信息工作開展的重要基礎(chǔ)依托。因此社區(qū)衛(wèi)生服務(wù)中心作為區(qū)域衛(wèi)生信息中心的重要結(jié)點(diǎn)。信息安全管理就顯得尤為重要。
2 什么是信息安全管理
“三分技術(shù),七分管理”是信息安全保障工作中經(jīng)常提到的??梢姡畔踩芾硎切畔踩U系闹陵P(guān)重要的組成部分。信息安全管理(Information Security Management)指組織中為了完成信息安全目標(biāo),遵循安全策略,按照規(guī)定的程序,運(yùn)用恰當(dāng)?shù)姆椒?,而進(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動(dòng)。作為組織完成的管理體系中的一個(gè)重要環(huán)節(jié),它構(gòu)成了信息安全具有能動(dòng)性的部分,是指導(dǎo)和控制組織相互協(xié)調(diào)完成關(guān)于信息安全風(fēng)險(xiǎn)的活動(dòng),其對(duì)象就是包括人員在內(nèi)的各類信息相關(guān)資產(chǎn)。在社區(qū)衛(wèi)生服務(wù)中心由于信息系統(tǒng)應(yīng)用較為廣泛,基本包含了醫(yī)療、護(hù)理、醫(yī)技、行政等所有科室及其人員。
長(zhǎng)期以來,社區(qū)衛(wèi)生服務(wù)中心在信息安全建設(shè)方面,存在重技術(shù)輕管理、重產(chǎn)品功能輕安全管理、缺乏整體性信息安全體系考慮等各方面的問題。區(qū)域衛(wèi)生信息中心采用集中管理的信息安全技術(shù)及產(chǎn)品的應(yīng)用,一定程度上可以來解決社區(qū)衛(wèi)生服務(wù)中心在網(wǎng)絡(luò)傳輸時(shí)的信息安全問題。但是僅僅靠這些產(chǎn)品和技術(shù)還不夠,即使采購和使用了足夠先進(jìn)、足夠多的信息安全產(chǎn)品,仍然無法避免一些信息安全事件的發(fā)生。近年來,由于管理不善、操作失誤等原因?qū)е碌男l(wèi)生信息及病患基本信息泄露的安全事件數(shù)量不斷攀升,更加劇了社區(qū)衛(wèi)生服務(wù)中心需要信息安全管理的迫切性。
3 社區(qū)衛(wèi)生服務(wù)中心信息安全管理作用
社區(qū)衛(wèi)生服務(wù)中心信息安全管理的作用體現(xiàn)任以下幾個(gè)方面。
3.1信息安全管理是社區(qū)衛(wèi)生服務(wù)中心組織整體管理的重要的、固有的組織部分,是組織實(shí)現(xiàn)中心業(yè)務(wù)目標(biāo)的重要保障。在信息時(shí)代的今天,信息安全威脅已經(jīng)成為社區(qū)衛(wèi)生服務(wù)中心等醫(yī)療機(jī)構(gòu)業(yè)務(wù)正常運(yùn)營和持續(xù)發(fā)展的最大威脅。如在社區(qū)衛(wèi)生服務(wù)中心發(fā)生的費(fèi)用結(jié)算85%以上通過醫(yī)保信息系統(tǒng)來進(jìn)行,所有的醫(yī)生工作站都依托中心服務(wù)器來提供數(shù)據(jù)進(jìn)行操作,醫(yī)技部門也通過信息系統(tǒng)獲取病人信息和傳送結(jié)果。一旦信息系統(tǒng)發(fā)生故障對(duì)于社區(qū)衛(wèi)生服務(wù)中心來說是災(zāi)難性的。因此中心需要信息安全管理,有其必然性。
3.2信息安全管理是信息安全技術(shù)的融合劑,是各項(xiàng)技術(shù)措施能夠發(fā)揮作用的重要保障。安全技術(shù)是信息安全控制的重要手段,許多信息系統(tǒng)的安全性保障都要依靠技術(shù)手段來實(shí)現(xiàn),但光有安全技術(shù)還不行,要讓安全技術(shù)發(fā)揮應(yīng)有的作用,必然要有適當(dāng)?shù)墓芾沓绦虻闹С?,否則,安全技術(shù)職能趨于僵化和失敗。如果說安全技術(shù)是信息安全的構(gòu)筑材料,那么信息安全管理就是融合劑和催化劑,良好的管理可以變廢為寶,使現(xiàn)有的各項(xiàng)技術(shù)相互配合發(fā)揮應(yīng)有的作用,而糟糕的管理會(huì)使技術(shù)措施變得毫無用處。實(shí)現(xiàn)信息安全,技術(shù)和產(chǎn)品是基礎(chǔ),管理才是關(guān)鍵。在信息安全保障工作中必須管理與技術(shù)并重,進(jìn)行綜合防范,才能有效保障安全,這也是實(shí)現(xiàn)信息安全目標(biāo)的必由之路
3.3信息安全管理是預(yù)防、阻止或減少信息安全事件發(fā)生的重要保障。早期人們對(duì)于信息安全的認(rèn)識(shí)主要側(cè)重在技術(shù)措施的開發(fā)和利用上,這種技術(shù)主導(dǎo)論的思路能夠解決信息安全的一部分問題,但卻解決不了根本,據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)表明,信息安全問題大約70%以上是由管理方面原因造成的,大多數(shù)信息安全事件的發(fā)生,與其說是技術(shù)上的原因,不如說是管理不善造成的。因此解決信息安全問題、防止發(fā)生信息安全事件不應(yīng)僅從技術(shù)方面著手,同時(shí)更應(yīng)加強(qiáng)信息安全的管理工作。
信息安全涉及的范疇非常廣,信息安全不是產(chǎn)品的簡(jiǎn)單堆積,也不是一次性的靜態(tài)過程,它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程,是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程。因此,要求社區(qū)衛(wèi)生服務(wù)中心的相關(guān)人員正確理解信息安全、理解信息安全管理的關(guān)鍵作用,以更好地開展信息安全管理工作。強(qiáng)調(diào)信息安全管理的作用,并不是要削弱信息安全技術(shù)的作用;開展信息安全管理工作,要處理好管理和技術(shù)的關(guān)系,要堅(jiān)持管理與技術(shù)并重的原則,這也是信息安全保障工作的主要原則之一。
4 社區(qū)衛(wèi)生服務(wù)中心信息安全管理控制措施
在我國對(duì)于信息安全等同采用IS0 27002:2005,命名為《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》(GB/T 22081-2008)。信息安全是通過實(shí)施一組合適的控制措施而達(dá)到的,包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能??梢妼?duì)于社區(qū)衛(wèi)生服務(wù)中心的信息安全來說,安全控制措施是必要且十分重要的。其中比較重要的如下:
4.1安全方針 社區(qū)衛(wèi)生服務(wù)中心的信息安全方針控制目標(biāo),是指中心的信息安全方針能夠依據(jù)業(yè)務(wù)的要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息安全。社區(qū)衛(wèi)生服務(wù)中心信息安全方針文件的內(nèi)容應(yīng)包含中心管理者的管理承諾、組織管理信息安全的方法、中心信息安全整體目標(biāo)和范圍的定義、中心管理者意圖的聲明、控制目標(biāo)和控制措施的框架、重要安全策略、原則、標(biāo)準(zhǔn)和符合性要求說明、中心信息安全管理的一般和特定職責(zé)的定義、支持方針的文件的引用等。
4.2信息安全組織 信息安全組織一般分為內(nèi)部組織和外部組織。社區(qū)衛(wèi)生服務(wù)中心內(nèi)部組織的信息安全控制目標(biāo)是指在中心內(nèi)管理信息安全。組織的安全建立在每一位人員不同責(zé)任分工的劃分,不同的責(zé)任會(huì)有不同的工作指導(dǎo)原則。其中應(yīng)當(dāng)包括信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責(zé)的分配、信息處理的授權(quán)、保密協(xié)議、信息安全的獨(dú)立評(píng)審等。社區(qū)衛(wèi)生服務(wù)中心外部組織的信息安全控制目標(biāo)是保持中心被外部各方訪問、處理、管理或與外部進(jìn)行通信的信息和信息處理的安全。主要包括中心與系統(tǒng)外單位信息通信相關(guān)風(fēng)險(xiǎn)的識(shí)別、處理相關(guān)的安全問題和處理第三方協(xié)議中的安全問題等。
4.3人力資源安全 人員在中心的信息安全管理中是一個(gè)最重要的因素,有資料表明,70%的安全問題是來自人員管理的疏漏,為了對(duì)人員有一個(gè)有效的管理,需要從任用之前、任用中、任用的終止或變更三項(xiàng)控制目標(biāo)進(jìn)行管理。
4.3.1任用之前控制是指社區(qū)衛(wèi)生服務(wù)中心任用人員之前為了確保人力資源的安全,需考慮到角色是否適合相應(yīng)崗位,以降低設(shè)施被竊、信息泄露和誤用的風(fēng)險(xiǎn),這一目標(biāo)的實(shí)現(xiàn)需通過角色和職責(zé)、審查、任用條款和條件三項(xiàng)控制措施的落實(shí)來保障。
4.3.2任用中社區(qū)衛(wèi)生服務(wù)中心的信息安全控制目標(biāo)就是確保所有的員工、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作過程中支持組織的安全方針,以減少人為過失的風(fēng)險(xiǎn)。
4.3.3社區(qū)衛(wèi)生服務(wù)中心發(fā)生任用的終止或變更時(shí),應(yīng)確保信息的安全不外泄,確保員工、承包方人員和第三方人員以一個(gè)規(guī)范的方式退出或改變其任用關(guān)系??梢酝ㄟ^終止職責(zé)、資產(chǎn)的歸還、撤銷訪問權(quán)限等控制措施來實(shí)現(xiàn)。
4.4物理和環(huán)境安全 社區(qū)衛(wèi)生服務(wù)中心的物理和環(huán)境安全可以從安全區(qū)域和設(shè)備安全來入手管理。定義安全區(qū)域是為了防止對(duì)中心場(chǎng)所和信息的未授權(quán)物理訪問、損壞和干擾??梢酝ㄟ^設(shè)置物理安全邊界、物理入口控制、辦公室房間和設(shè)施的安全保護(hù)、外部和環(huán)境的安全防護(hù)、在安全區(qū)域工作、公共訪問和交接區(qū)安全。設(shè)備安全是指防止由于資產(chǎn)丟失、損壞、失竊而危及社區(qū)衛(wèi)生服務(wù)中心的資產(chǎn)安全以及信息安全。中心可通過設(shè)備安置和保護(hù)、支持性設(shè)施、布纜安全、設(shè)備維護(hù)、場(chǎng)所外的設(shè)備安全、設(shè)備的安全處置和再利用,資產(chǎn)的移動(dòng)等措施來進(jìn)行保障。
4.5通信和操作管理 社區(qū)衛(wèi)生服務(wù)中心的通信和操作管理一般可從操作規(guī)程和職責(zé)、第三方服務(wù)交付管理、系統(tǒng)規(guī)劃和驗(yàn)收、防范惡意和移動(dòng)代碼、備份、網(wǎng)絡(luò)安全管理、介質(zhì)處置、信息的交換、電子商務(wù)服務(wù)、監(jiān)視等方面入手。
4.6訪問控制 對(duì)于社區(qū)衛(wèi)生服務(wù)中心來說,訪問控制可從訪問控制的業(yè)務(wù)要求、用戶訪問管理、用戶職責(zé)、網(wǎng)絡(luò)訪問控制、操作系統(tǒng)訪問控制、應(yīng)用和信息訪問控制、移動(dòng)計(jì)算和遠(yuǎn)程工作等控制目標(biāo)來入手。
4.7信息安全事件管理 社區(qū)衛(wèi)生服務(wù)中心的信息安全事件管理可以從報(bào)告信息安全事態(tài)和弱點(diǎn)、信息安全事件和改進(jìn)的管理兩個(gè)控制目標(biāo)入手進(jìn)行管理。
4.7.1報(bào)告信息安全事態(tài)和弱點(diǎn)這項(xiàng)控制目標(biāo)旨在確保中心與信息系統(tǒng)有關(guān)的信息安全事態(tài)和弱點(diǎn)能夠以某種方式傳達(dá),以便及時(shí)采取糾正措施。該目標(biāo)下有報(bào)告信息安全事態(tài)和報(bào)告安全弱點(diǎn)這兩項(xiàng)控制措施來保障這一目標(biāo)的實(shí)現(xiàn)。①報(bào)告信息安全事態(tài)控制措施,是指信息安全事態(tài)應(yīng)該盡可能快地通過適當(dāng)?shù)墓芾砬肋M(jìn)行報(bào)告。實(shí)施過程中應(yīng)建立正式的信息安全事態(tài)報(bào)告程序,以及在收到信息安全事態(tài)報(bào)告后采取措施的事件響應(yīng)和上報(bào)程序。②報(bào)告安全弱點(diǎn)控制措施,是指中心應(yīng)要求信息系統(tǒng)和服務(wù)的所有職員、承包方人員和第三方人員記錄并報(bào)告他們觀察到的或懷疑的任何系統(tǒng)或服務(wù)的安全弱點(diǎn)。報(bào)告機(jī)制應(yīng)盡可能容易、易理解和方便可用。應(yīng)告知他們?cè)谌魏吻闆r下,都不應(yīng)試圖去證明被懷疑的弱點(diǎn)。
4.7.2信息安全事件和改進(jìn)的管理。社區(qū)衛(wèi)生服務(wù)中心信息安全事件和改進(jìn)的管理這一控制目標(biāo)旨在確保采用一致和有效的方法對(duì)信息安全事件進(jìn)行管理。中心可以用職責(zé)和程序的控制措施、對(duì)信息安全事件的總結(jié)、證據(jù)的收集三項(xiàng)控制措施來保障這一目標(biāo)的實(shí)現(xiàn)。①職責(zé)和程序的控制措施。它是指中心應(yīng)當(dāng)建立管理職責(zé)和程序,以確保能對(duì)信息安全事件做出快速、有效和有序的響應(yīng)。該項(xiàng)措施實(shí)施時(shí)除了對(duì)中心的信息安全事態(tài)和弱點(diǎn)進(jìn)行報(bào)告外,還應(yīng)利用對(duì)系統(tǒng)、報(bào)警和脆弱性的監(jiān)視來檢測(cè)中心信息安全事件。遵循嚴(yán)格的信息安全事件管理程序的前提是中心需建立規(guī)程以處理不同類型的信息安全事件,如惡意代碼、拒絕服務(wù)、信息系統(tǒng)故障和服務(wù)丟失、違反保密性和完整性、信息系統(tǒng)誤用等。中心除了考慮正常的應(yīng)急計(jì)劃還要考慮事件原因的分析和確定、遏制事件影響擴(kuò)大的策略、向合適的機(jī)構(gòu)報(bào)告所采取的措施等。②中心對(duì)信息安全事件的總結(jié)控制措施,是指社區(qū)衛(wèi)生服務(wù)中心應(yīng)有一套機(jī)制量化和監(jiān)視信息安全事件的類型、數(shù)量和代價(jià)。從信息安全事件評(píng)價(jià)中獲取的信息應(yīng)用來識(shí)別再發(fā)生的事件或高影響的事件。③證據(jù)的收集。證據(jù)的收集對(duì)于社區(qū)衛(wèi)生服務(wù)中心來說,是指當(dāng)中心的一個(gè)信息安全事件涉及到訴訟(民事的或刑事的),需要進(jìn)一步對(duì)個(gè)人或組織進(jìn)行起訴時(shí),應(yīng)收集、保留和呈遞證據(jù),以使證據(jù)符合相關(guān)訴訟管轄權(quán)。過程有:為應(yīng)對(duì)懲罰措施而收集和提交證據(jù),應(yīng)制定和遵循內(nèi)部程序,為了獲得被容許的證據(jù),中心應(yīng)確保其信息系統(tǒng)符合任何公布的標(biāo)準(zhǔn)或?qū)嵱靡?guī)則來產(chǎn)生被容許的證據(jù):任何法律取證工作應(yīng)僅在證據(jù)材料的拷貝上進(jìn)行。
4.8業(yè)務(wù)連續(xù)性管理 對(duì)于社區(qū)衛(wèi)生服務(wù)中心來說業(yè)務(wù)連續(xù)性管理是指防止中心業(yè)務(wù)中斷,保證中心重要業(yè)務(wù)流程不受重大故障與災(zāi)難的影響。業(yè)務(wù)連續(xù)性管理過程中包含信息安全,該控制措施是指應(yīng)為貫穿于組織的業(yè)務(wù)連續(xù)性開發(fā)和保持一個(gè)管理過程。解決中心的業(yè)務(wù)連續(xù)性所需的信息安全要求,保護(hù)關(guān)鍵業(yè)務(wù)過程免受信息系統(tǒng)重大失誤或?yàn)?zāi)難的影響,并確保他們的及時(shí)恢復(fù)。應(yīng)包含中心的信息安全、業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估、制定和實(shí)施包含信息安全的連續(xù)性計(jì)劃、業(yè)務(wù)連續(xù)性計(jì)劃框架、測(cè)試、維護(hù)和再評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃等內(nèi)容。
5 社區(qū)衛(wèi)生服務(wù)機(jī)構(gòu)信息安全的展望
對(duì)于社區(qū)衛(wèi)生服務(wù)中心來說信息安全保障不僅僅是一門技術(shù)學(xué)科,信息安全保障應(yīng)綜合技術(shù)、管理和人。在中心的管理上,信息安全保障應(yīng)考慮建立綜合的信息化的組織管理體系,明晰相應(yīng)的崗位職責(zé)、規(guī)章制度并嚴(yán)格執(zhí)行等等。在人員上,應(yīng)加強(qiáng)所有使用信息系統(tǒng)人員的安全意識(shí)和技能,以及中心從事信息系統(tǒng)專業(yè)人員的專業(yè)技能和能力。社區(qū)衛(wèi)生服務(wù)中心的信息安全保障亦不是一種項(xiàng)目性的暫時(shí)行為,而是融入信息系統(tǒng)生命周期的全過程的保障。信息安全保障不是一種打補(bǔ)丁,頭疼醫(yī)頭、腳疼醫(yī)腳的臨時(shí)行為,而是一種系統(tǒng)化、體系化的保障過程。信息安全保障的目的不僅僅是保障信息系統(tǒng)本身,信息安全保障的根本目的是通過保障信息系統(tǒng)進(jìn)而保障運(yùn)行于信息系統(tǒng)之上的中心業(yè)務(wù)系統(tǒng)。信息安全保障應(yīng)以業(yè)務(wù)為主導(dǎo)、以社區(qū)衛(wèi)生服務(wù)中心的使命、社會(huì)職責(zé)和社會(huì)服務(wù)性為出發(fā)點(diǎn)和落腳點(diǎn)。社區(qū)衛(wèi)生服務(wù)中心的信息安全保障不僅僅是孤立的自身的問題,信息安全保障是一個(gè)社會(huì)化的、需要各方參與的工作。信息安全保障不僅僅是孤立的自身的問題,信息系統(tǒng)需要電信、電力等基礎(chǔ)設(shè)施的支持、信息系統(tǒng)需要承擔(dān)保密、公共安全、國家安全等社會(huì)職責(zé),信息安全保障工作是一個(gè)社會(huì)化的、需要各方參與的綜合的工作。社區(qū)衛(wèi)生服務(wù)中心的信息安全保障是主觀和客觀的結(jié)合。沒有絕對(duì)的安全,信息安全保障并不提供絕對(duì)的安全,信息安全保障是討論風(fēng)險(xiǎn)和策略,討論適度安全。因此,它是一個(gè)需要持之以恒和不斷完善與發(fā)展的工作。
世界范圍內(nèi)的各個(gè)機(jī)構(gòu)、組織、個(gè)人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關(guān)信息安全的本國標(biāo)準(zhǔn),國際標(biāo)準(zhǔn)化組織(ISO)也了ISO17799、ISO13335、ISO15408等與信息安全相關(guān)的國際標(biāo)準(zhǔn)及技術(shù)報(bào)告。
在信息安全管理方面,英國標(biāo)準(zhǔn)ISO27000:2005已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn),它是在BSI/DISC的BDD/2信息安全管理委員會(huì)指導(dǎo)下制定完成。
(來源:文章屋網(wǎng) )
【關(guān)鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系(ISMS)
近年來,“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實(shí)名認(rèn)證信息漏洞”、“京東12G用戶數(shù)據(jù)泄露”、“700元買他人隱私信息”等信息安全事件層出不窮,引起各國領(lǐng)導(dǎo)的重視和社會(huì)關(guān)注。為提高網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)治理,2014年,我國成立了以主席為最高領(lǐng)導(dǎo)的信息安全管理機(jī)構(gòu)-中央網(wǎng)信辦;2016年11月,在中國烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網(wǎng)大會(huì)》。通過一系列的行為,為求現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)能夠提高安全能力,為廣大社會(huì)群眾提供服務(wù)的同時(shí),能夠保證人民的利益。
信息系統(tǒng)是由硬件、軟件、信息、規(guī)章制度等組成,主要以處理信息流為主,信息系統(tǒng)的網(wǎng)絡(luò)安全備受關(guān)注。企業(yè)在應(yīng)對(duì)外部攻擊,安全風(fēng)險(xiǎn)的同時(shí),當(dāng)務(wù)之急是建立一套完整的信息安全管理體系。在統(tǒng)一的體系管控下,分布實(shí)施,開展各項(xiàng)安全工作。
目前,大多數(shù)企業(yè)的信息安全工作比較單一,主要是部署安全防護(hù)設(shè)備,進(jìn)行簡(jiǎn)單的配置。信息安全工作不全面,安全管理相對(duì)薄弱,不足以抵抗來自外部的威脅。
1 信息安全問題
1.1 身份鑒別不嚴(yán)格
考慮到方便記憶和頻繁的登錄操作,企業(yè)普遍存在管理員賬號(hào)簡(jiǎn)單或者直接采用系統(tǒng)的默認(rèn)賬號(hào)現(xiàn)象,并且基本不設(shè)定管理員的權(quán)限,默認(rèn)使用最大權(quán)限。一旦攻擊者通過猜測(cè)或其他手段獲得管理員賬號(hào),攻擊者如入無人之境,可以任意妄為。最終可造成數(shù)據(jù)泄露,系統(tǒng)癱瘓等不可估量的嚴(yán)重后果。注重信息安全的企業(yè)會(huì)修改默認(rèn)管理員賬號(hào),設(shè)定較為復(fù)雜的口令,并定期進(jìn)行口令更換。但是也僅僅使用一種身份鑒別技術(shù),不足以抵抗外部攻擊。
1.2 外部攻擊,層出不窮
隨著計(jì)算機(jī)技術(shù)的發(fā)展,信息系統(tǒng)的外部攻簦層出不窮。攻擊者利用網(wǎng)絡(luò)系統(tǒng)的漏洞和缺陷,攻擊系統(tǒng)軟件、硬件和數(shù)據(jù),進(jìn)行非法操作,造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術(shù)、郵件
攻擊、拒絕服務(wù)攻擊、口令攻擊、惡意程序等等;入侵常用的步驟包括采用漏洞掃描工具進(jìn)行掃描、選擇合適的方式入侵、獲取系統(tǒng)的一定權(quán)限、提升為系統(tǒng)最高權(quán)限、安裝系統(tǒng)后門、獲取敏感信息或者其他攻擊目的。攻擊者會(huì)根據(jù)系統(tǒng)特性和網(wǎng)絡(luò)結(jié)構(gòu)采取不同的手段對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,如果不采取相應(yīng)的防御手段,很容易被黑客攻擊,造成損失。
1.3 員工安全意識(shí)薄弱
很多互聯(lián)網(wǎng)企業(yè)的員工缺乏信息安全意識(shí),存在離開辦公電腦時(shí)不鎖屏現(xiàn)象;將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時(shí)取走打印機(jī)房?jī)?nèi)的材料;優(yōu)盤未經(jīng)殺毒直接連接公司電腦;隨意點(diǎn)擊不明郵件的鏈接;更有員工將系統(tǒng)賬號(hào)、密碼粘貼在辦公桌上;在系統(tǒng)建設(shè)階段,大到管理者,小到開發(fā)人員、測(cè)試人員,均注重技術(shù)實(shí)現(xiàn)和業(yè)務(wù)要求,而忽略了系統(tǒng)的安全和管理。由于員工的信息安全意識(shí)較為薄弱,很容易造成公司信息泄露,進(jìn)而導(dǎo)致公司的損失。
1.4 內(nèi)部管理制度不完善
俗話說,“不以規(guī)矩,不能成方圓”。未形成全面的信息安全管理制度體系,缺失部分安全策略、管理制度、操作規(guī)程,可能導(dǎo)致信息安全管理制度體系存在疏漏,部分管理內(nèi)容無法有效實(shí)施。使相關(guān)工作過程缺乏規(guī)范依據(jù)和質(zhì)量保障,進(jìn)而影響到信息系統(tǒng)的安全建設(shè)和安全運(yùn)維。比如在軟件開發(fā)過程中,開發(fā)人員會(huì)因?yàn)楦鞣N原因而忽略安全開發(fā)(存在開發(fā)人員沒有意識(shí)到代碼安全開發(fā)的問題;有些開發(fā)人員不愿意使用邊界檢查,怕影響系統(tǒng)的效率和性能;當(dāng)然也存在許多遺留代碼存在問題的現(xiàn)象,從而導(dǎo)致二次開發(fā)同樣產(chǎn)生問題),可能導(dǎo)致系統(tǒng)存在后門,被黑客攻擊。
2 防范措施
企業(yè)需依據(jù)《信息安全等級(jí)保護(hù)管理辦法(公通字[2007]43號(hào))》、《中華人民共和國網(wǎng)絡(luò)安全法》》、《ISO/IEC 27001》等標(biāo)準(zhǔn)和法律法規(guī)進(jìn)行信息系統(tǒng)安全建設(shè)工作。測(cè)評(píng)機(jī)構(gòu)在網(wǎng)安的要求下,對(duì)企業(yè)信息系統(tǒng)的安全進(jìn)行測(cè)評(píng),并出具相應(yīng)測(cè)評(píng)結(jié)果。根據(jù)測(cè)評(píng)結(jié)果和整改建議,采用相應(yīng)的技術(shù)手段(安全認(rèn)證、入侵檢測(cè)、漏洞掃描、監(jiān)控管理、數(shù)據(jù)備份與加密等)和管理措施(安全團(tuán)隊(duì)、教育與培訓(xùn)、管理體系等)對(duì)信息系統(tǒng)進(jìn)行整改。如圖1所示。
2.1 技術(shù)手段
2.1.1 安全認(rèn)證
身份鑒別是指在計(jì)算機(jī)系統(tǒng)中確認(rèn)執(zhí)行者身份的過程,以確定該用戶是否具有訪問某種資源的權(quán)限,防止非法用戶訪問系統(tǒng)資源,保障合法用戶訪問授權(quán)的信息系統(tǒng)。凡登錄系統(tǒng)的用戶,均需進(jìn)行身份鑒別和標(biāo)識(shí),且標(biāo)識(shí)需具有唯一性。用戶身份鑒別機(jī)制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對(duì)不同鑒別機(jī)制,常用的鑒別技術(shù)(認(rèn)證技術(shù))如表1所示。
不同的認(rèn)證技術(shù),在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級(jí)較高,但會(huì)遇到各種問題,導(dǎo)致便捷性較差(比如存在軟硬件適配性問題,移動(dòng)終端無USB口等)。一般認(rèn)為在相同的便捷性前提下,選擇安全等級(jí)較高的認(rèn)證技術(shù)。針對(duì)重要系統(tǒng)應(yīng)采用雙因子認(rèn)證技術(shù)。
2.1.2 入侵檢測(cè)
入侵檢測(cè)能夠依據(jù)安全策略,對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行監(jiān)視,發(fā)現(xiàn)各種攻擊行為,能夠?qū)崟r(shí)保護(hù)內(nèi)部攻擊、外部攻擊和誤操作的情況,保證信息系統(tǒng)網(wǎng)絡(luò)資源的安全。入侵檢測(cè)系統(tǒng)(IDS)是一個(gè)旁路監(jiān)聽設(shè)備,需要部署在網(wǎng)絡(luò)內(nèi)部。如果信息系統(tǒng)中包含了多個(gè)邏輯隔離的子網(wǎng),則需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署,從而掌控整個(gè)信息系統(tǒng)安全狀況。
2.1.3 漏洞掃描
漏洞掃描是指基于漏洞數(shù)據(jù)庫,通過掃描等手段對(duì)目標(biāo)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè),發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)行為。常見的漏洞掃描類型主要包括系統(tǒng)安全隱患掃描、應(yīng)用安全隱患掃描、數(shù)據(jù)庫安全配置隱患掃描等。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同,分為基于網(wǎng)絡(luò)的和基于主機(jī)的系統(tǒng)安全掃描,可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、安全配置隱患、弱口令、服務(wù)和端口等。應(yīng)用安全隱患掃描可以掃描出Web應(yīng)用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數(shù)據(jù)庫安全配置隱患掃描可以檢測(cè)出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補(bǔ)丁未升級(jí)等自身漏洞。
漏洞掃描主要用于評(píng)估主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備操作系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用平臺(tái)軟件的安全情況,它能有效避免黑客攻擊行為,做到防患于未然。
2.1.4 監(jiān)控管理
網(wǎng)絡(luò)監(jiān)控主要包括上網(wǎng)監(jiān)控和內(nèi)網(wǎng)監(jiān)控兩部分。目前市場(chǎng)上已做的完整監(jiān)控軟件已包含上述功能。網(wǎng)絡(luò)監(jiān)控需結(jié)合網(wǎng)絡(luò)拓?fù)洌诰W(wǎng)絡(luò)關(guān)鍵點(diǎn)接入監(jiān)控工具監(jiān)測(cè)當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流量,分析可疑信息流,通過截包解碼分析的方式驗(yàn)證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?。例如Solarwinds網(wǎng)絡(luò)監(jiān)控平臺(tái),它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance (IP SLA) 、IP Address Management、Network Configuration Management、Application Performance Monitoring等??梢詧?zhí)行全面的帶寬性能監(jiān)控和故障管理;可以分析網(wǎng)絡(luò)流量;可以對(duì)服務(wù)器上運(yùn)行的服務(wù)和進(jìn)程進(jìn)行自動(dòng)監(jiān)控,并在故障發(fā)生時(shí)及時(shí)告警;可對(duì)VOIP的相關(guān)參數(shù)進(jìn)行監(jiān)控;可以通過直觀的網(wǎng)絡(luò)控制臺(tái)管理整個(gè)IP架構(gòu);可快速檢測(cè)、診斷及解決虛擬化環(huán)境的網(wǎng)絡(luò)性能;強(qiáng)大的應(yīng)用程序監(jiān)視、告警、報(bào)告功能等。
2.1.5 數(shù)據(jù)備份與加密
企業(yè)高度重視業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)。數(shù)據(jù)在存儲(chǔ)時(shí)應(yīng)加密存儲(chǔ),防止黑客攻擊系統(tǒng),輕易獲得敏感數(shù)據(jù),造成公司的重大經(jīng)濟(jì)損失。常用的加密算法包括對(duì)稱加密(DES、AES)和不對(duì)稱加密算法(RSA)。密碼技術(shù)不僅可以防止信息泄露,同時(shí)可以保證信息的完整性和不可抵賴性。例如現(xiàn)在比較成熟的哈希算法、數(shù)字簽名、數(shù)字證書等。
除了對(duì)數(shù)據(jù)進(jìn)行加密存儲(chǔ)外,由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機(jī)房著火等意外,需對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份。按照備份環(huán)境,備份分為本地備份和異地備份;按照備份數(shù)據(jù)量的多少,備份分為全備、增備、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務(wù)要求和實(shí)際情況,選取合適的備份方式進(jìn)行備份。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設(shè)計(jì)。
2.2 管理措施
2.2.1 安全團(tuán)隊(duì)
企業(yè)應(yīng)設(shè)立能夠統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的專業(yè)的安全管理團(tuán)隊(duì)負(fù)責(zé)信息安全工作,該團(tuán)隊(duì)包括信息安全委員會(huì),信息安全部門及其成員。安全部門負(fù)責(zé)人除了具備極強(qiáng)的業(yè)務(wù)處理能力,還需要有管理能力、溝通能力、應(yīng)變能力。目前安全團(tuán)隊(duì)的從業(yè)人員數(shù)量在逐漸增加,話語權(quán)在增多,肩上的擔(dān)子也越來越大。安全團(tuán)隊(duì)需要定好自己的位,多檢查少運(yùn)維,多幫企業(yè)解決問題。即安全團(tuán)隊(duì)修路,各部門在上面跑自己的需求。
2.2.2 教育c培訓(xùn)
保護(hù)企業(yè)信息安全,未雨綢繆比亡羊補(bǔ)牢要強(qiáng)。培養(yǎng)企業(yè)信息安全意識(shí)文化,樹立員工信息安全責(zé)任心,是解決企業(yè)信息安全的關(guān)鍵手段之一。企業(yè)的競(jìng)爭(zhēng)實(shí)際上是人才的競(jìng)爭(zhēng),除了定期進(jìn)行技能培訓(xùn)外,還需對(duì)員工的安全意識(shí)進(jìn)行教育和培訓(xùn)。信息安全團(tuán)隊(duì)?wèi)?yīng)制定信息安全意識(shí)教育和培訓(xùn)計(jì)劃,包括但不限于在線、郵件、海報(bào)(標(biāo)語)、視頻、專場(chǎng)、外培等形式。通過對(duì)員工的安全意識(shí)教育,能從內(nèi)部預(yù)防企業(yè)安全事件的發(fā)生,提高企業(yè)的安全保障能力。
2.2.3 管理體系
隨著計(jì)算機(jī)攻擊技術(shù)的不斷提高,攻擊事件越來越多,且存在部分攻擊來自公司組織內(nèi)部。單靠個(gè)人的力量已無法保障信息系統(tǒng)的安全。因此,企業(yè)需建立自上而下的信息安全管理體系(ISMS, Information Security Management System),以達(dá)到分工明確,職責(zé)清晰,安全開發(fā),可靠運(yùn)維。安全管理制度作為安全管理體系的綱領(lǐng)性文件,在信息系統(tǒng)的整個(gè)生命周期中起著至關(guān)重要的作用。不同機(jī)構(gòu)在建立與完善信息安全管理體系時(shí),可根據(jù)自身情況,采取不同的方法,一般經(jīng)過PDCA四個(gè)基本階段(Plan:策劃與準(zhǔn)備;Do文件的編制;Check運(yùn)行;Action審核、評(píng)審和持續(xù)改進(jìn))??梢罁?jù)ISO27000,信息安全等級(jí)保護(hù)等,從制度、安全機(jī)構(gòu)、人員、系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維5個(gè)方面去制定信息安全管理體系。通常,信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規(guī)程和記錄文檔組成,如圖2所示。
3 結(jié)語
國家不斷加強(qiáng)對(duì)各個(gè)互聯(lián)網(wǎng)企業(yè)、金融、銀行等的信息安全工作監(jiān)督,通過ISO27000、信息安全等級(jí)保護(hù)測(cè)評(píng)、電子銀行評(píng)估、互聯(lián)網(wǎng)網(wǎng)站專項(xiàng)安全測(cè)評(píng)等方式,規(guī)范企業(yè)的信息安全建設(shè)工作。同樣,信息安全工作長(zhǎng)期面臨挑戰(zhàn),不能一蹴而就,需要相關(guān)安全工作人員戮力同心、同舟共濟(jì)、相互扶持、攜手共建信息安全的共同體。
參考文獻(xiàn)
[1]沈昌祥,張煥國,馮登國等.信息安全綜述[J].中國科學(xué)雜志社,2007(37):129-150.
[2]李嘉,蔡立志,張春柳等.信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)實(shí)踐[M].哈爾濱工程大學(xué)出版社,2016(01).
[3]蔣欣.計(jì)算機(jī)網(wǎng)絡(luò)戰(zhàn)防御技術(shù)分析[J].指揮控制與仿真,2006(08),28-4.
作者簡(jiǎn)介
康玉婷(1988-),女,上海市人。碩士學(xué)位?,F(xiàn)為信息安全等級(jí)測(cè)評(píng)師、初級(jí)工程師。主要研究方向?yàn)樾畔踩?/p>
作者單位
關(guān)鍵詞:醫(yī)院信息系統(tǒng);信息安全;管理策略
中圖分類號(hào):TP315 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2016)14-0005-02
許多醫(yī)院在信息系統(tǒng)管理中構(gòu)建了自己的信息系統(tǒng),醫(yī)院信息系統(tǒng)的作用是形成適合的網(wǎng)絡(luò),對(duì)系統(tǒng)的安全和穩(wěn)定性都具有較高要求,信息系統(tǒng)安全性已經(jīng)成為了醫(yī)院高效運(yùn)行,積極開展醫(yī)療服務(wù)工作的基本保障。目前醫(yī)院在系統(tǒng)管理中多數(shù)運(yùn)用內(nèi)網(wǎng),形成封閉性的網(wǎng)絡(luò)結(jié)構(gòu),在部門和單位聯(lián)系中具有網(wǎng)絡(luò)建構(gòu)和維護(hù)的功能,并且具有系統(tǒng)性強(qiáng)、靈活度高和傳輸速度快等特點(diǎn)。
信息時(shí)代計(jì)算機(jī)系統(tǒng)形成了整個(gè)醫(yī)院管理中的全新類型,凸顯了在運(yùn)行過程中工作效率的大大提升,實(shí)現(xiàn)業(yè)務(wù)秩序的整頓,減少了等候時(shí)間,在醫(yī)院形象塑造和經(jīng)濟(jì)效益提升方面都起到了積極作用。但在醫(yī)院信息系統(tǒng)運(yùn)行中依然存在一些問題,比如在網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行方面依然需要進(jìn)行精準(zhǔn)性解決。
1 醫(yī)院管理系統(tǒng)安全存在的問題
1.1 內(nèi)部系統(tǒng)安全
在醫(yī)院信息系統(tǒng)的運(yùn)行中,常態(tài)化的運(yùn)用和數(shù)據(jù)保存中,中心機(jī)房具有重要作用,在醫(yī)院管理系統(tǒng)中如何保證數(shù)據(jù)有效滿足醫(yī)院應(yīng)用,其中的重要核心因素是在計(jì)算機(jī)中心機(jī)房等場(chǎng)地的環(huán)境,計(jì)算機(jī)設(shè)備中形成有效的防護(hù)設(shè)計(jì),比如防雷、防火和機(jī)房安全等技術(shù)方面需要滿足要求。目前在醫(yī)院信息系統(tǒng)總機(jī)房的管理中,涉及新建改建和搬遷等,在具體施工過程中依然有很多問題沒有形成有效解決,在計(jì)算機(jī)系統(tǒng)中存在一些問題,比如在環(huán)境和人為等方面存在操作問題,導(dǎo)致安全犯罪等,需要在有效管理過程中形成積極保障。
1.2 網(wǎng)絡(luò)系統(tǒng)安全
網(wǎng)絡(luò)系統(tǒng)管理中主要存在問題是網(wǎng)絡(luò)應(yīng)用過程中在入口,比如在第一層網(wǎng)關(guān)等位置,在控制系統(tǒng)中各種服務(wù)器的訪問中,主要是在交換機(jī)、路由器、集線器和綜合布線等方面存在威脅。在使用交換機(jī)和集線器等方面,往往攻擊者尋找配置不良的網(wǎng)絡(luò)過程中被利用。在常見系統(tǒng)中比較脆弱的是安全設(shè)置,在門戶大開下往往沒有形成修補(bǔ)設(shè)備。在綜合布線過程中一些網(wǎng)絡(luò)設(shè)備和線路等暴露在外,造成了在網(wǎng)絡(luò)系統(tǒng)方面的環(huán)境脆弱,并且隨時(shí)可能發(fā)生搭錯(cuò)線,以及監(jiān)控和線路破壞等情況存在。 防火墻雖然提高了網(wǎng)絡(luò)信息安全的管理,但是在防范一些偷越防火墻攻擊行為等方面存在困難。
1.3 數(shù)據(jù)系統(tǒng)安全
在醫(yī)院信息系統(tǒng)安全中主要是對(duì)后臺(tái)數(shù)據(jù)的安全管理,從數(shù)據(jù)信息角度看是整個(gè)系統(tǒng)中的靈魂,尤其是在安全方面具有重要作用。數(shù)據(jù)庫是數(shù)據(jù)信息系統(tǒng),對(duì)保證數(shù)據(jù)有效保存,查詢和分析等技術(shù)性因素都是具有重要作用的,數(shù)據(jù)系統(tǒng)的安全儲(chǔ)存和合法使用,以及對(duì)數(shù)據(jù)監(jiān)控都必須形成有效的訪問權(quán)限管理。在目前數(shù)據(jù)庫系統(tǒng)管理中,從用戶識(shí)別、使用權(quán)限、審計(jì)和數(shù)據(jù)加密等方面都需要形成權(quán)限清晰的管理,尤其是在登錄權(quán)限,資源管理權(quán)限和數(shù)據(jù)庫管理權(quán)限等方面需要形成積極的建構(gòu)和管理,促進(jìn)在數(shù)據(jù)庫安全管理中避免安全性薄弱環(huán)節(jié)出現(xiàn)。比如在硬件故障、軟件故障和網(wǎng)絡(luò)故障等方面都可能對(duì)數(shù)據(jù)庫造成影響,這就需要在數(shù)據(jù)管理中保持系統(tǒng)運(yùn)行。
1.4 操作系用安全
醫(yī)院業(yè)務(wù)系統(tǒng)不斷增大對(duì)醫(yī)院系統(tǒng)管理要求也不斷提高,在某一服務(wù)器管理中軟件、硬件和人為等因素影響下,隨時(shí)都可能發(fā)生問題,這就需要在系統(tǒng)運(yùn)行管理中形成雙備份的系統(tǒng)集群等,目標(biāo)是可以提高操作系統(tǒng)的應(yīng)用性等。在系統(tǒng)運(yùn)用中通過跳線等進(jìn)行系統(tǒng)的管理,對(duì)存在不足等在系統(tǒng)應(yīng)用過程中將影響降到最低。目前醫(yī)院信息系統(tǒng)在設(shè)計(jì)過程中運(yùn)用第三臺(tái)服務(wù)器進(jìn)行備份管理不足,沒有能夠形成在服務(wù)器管理的防護(hù)建構(gòu),尤其是從安全審計(jì)和入侵檢測(cè)等方面沒有形成精準(zhǔn)性管理。
2 醫(yī)院系統(tǒng)安全防護(hù)策略
2.1 內(nèi)部硬件安全管理
在醫(yī)院系統(tǒng)安全中主要是網(wǎng)絡(luò)交換器、服務(wù)器和工作站等安全管理,這些設(shè)備管理中需要形成在信息管理中的安全管理,促進(jìn)在局域網(wǎng)絡(luò)管理中可以構(gòu)建新的結(jié)構(gòu),促進(jìn)中心交換管理中網(wǎng)絡(luò)的優(yōu)化。在服務(wù)器管理和儲(chǔ)存設(shè)備的管理中需要形成數(shù)據(jù)管理,比如在電源故障管理中形成積極運(yùn)作,促進(jìn)形成網(wǎng)絡(luò)的正常運(yùn)用。在醫(yī)院信息網(wǎng)絡(luò)建構(gòu)基礎(chǔ)上,在安全性方面保證系統(tǒng)運(yùn)行中的關(guān)鍵性因素是做好防護(hù)方面工作,這就需要形成在標(biāo)準(zhǔn)方面的建構(gòu),促進(jìn)在醫(yī)院信息化建設(shè)過程中形成高標(biāo)準(zhǔn)建構(gòu),促進(jìn)積極地進(jìn)行網(wǎng)絡(luò)安全保證。在硬件方面做好保證,避免在相同設(shè)備等方面出現(xiàn)問題,促進(jìn)在數(shù)據(jù)庫服務(wù)中采用集中管理系統(tǒng),硬盤采用磁盤陣列式,在極短時(shí)間內(nèi)形成切換過程,促進(jìn)在整個(gè)系統(tǒng)中形成安全運(yùn)用。另外進(jìn)行雙路管理,一路是從UPS系統(tǒng),另外的一路使用市電,促進(jìn)在服務(wù)器和網(wǎng)絡(luò)設(shè)備等方面的正常運(yùn)行。
2.2 網(wǎng)絡(luò)安全管理
網(wǎng)絡(luò)安全的管理是避免形成對(duì)計(jì)算機(jī)攻擊情況,不管是主動(dòng)攻擊,還是被動(dòng)攻擊,在網(wǎng)絡(luò)正常的運(yùn)行中截取、竊取和破壞醫(yī)院系統(tǒng)重要信息情況都可能存在,在攻擊過程中對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和數(shù)據(jù)等都會(huì)造成較大的損傷。網(wǎng)絡(luò)攻擊對(duì)內(nèi)網(wǎng)和公網(wǎng)都存在很大的安全隱患,運(yùn)營商必須在人力和物力方面進(jìn)行積極投入,目標(biāo)是防范人為的惡意攻擊,形成在醫(yī)院網(wǎng)絡(luò)安全方面的積極管理,促進(jìn)營造醫(yī)院網(wǎng)絡(luò)信息安全的全面管理。在系統(tǒng)網(wǎng)絡(luò)管理中,需要形成醫(yī)院的積極管理,避免給醫(yī)院建設(shè)帶來不可估量的損失等。所以在網(wǎng)絡(luò)安全管理中必須在認(rèn)識(shí)上形成高度重視,形成在管理和技術(shù)方面溝通,促進(jìn)執(zhí)行具有前瞻性的管理策略,促進(jìn)形成積極的實(shí)施策略,實(shí)現(xiàn)提高網(wǎng)絡(luò)信息安全管理的目的等。
2.3 數(shù)據(jù)庫安全管理
在醫(yī)院的系統(tǒng)管理中,數(shù)據(jù)信息是整個(gè)管理中的核心,其安全性具有重要的作用,在數(shù)據(jù)庫管理中可以實(shí)現(xiàn)保證數(shù)據(jù)的安全和查詢等,在數(shù)據(jù)的安全儲(chǔ)存中可以保持合法的訪問,以及促進(jìn)構(gòu)建基礎(chǔ)的訪問權(quán)限等。比如在采用Oracle數(shù)據(jù)庫管理中就應(yīng)該做好用戶區(qū)別和密碼的保護(hù)工作,比如在SYS和system特殊賬戶管理中,就需要對(duì)網(wǎng)絡(luò)上的DBA權(quán)限等進(jìn)行控制,避免遠(yuǎn)程訪問等。對(duì)DBA的查看警告,日志文件,定期檢查等需要積極的監(jiān)控和管理,及時(shí)發(fā)現(xiàn)問題和解決問題,促進(jìn)在管理過程中形成對(duì)數(shù)據(jù)庫碎片等管理和對(duì)可用空間等進(jìn)行管理。在數(shù)據(jù)庫管理中需要定期的查看鏈接情況,清理不必要鏈接。在檢查網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)硬件管理過程中保持硬件良好運(yùn)行。嚴(yán)格執(zhí)行周期性數(shù)據(jù)庫管理,制定完善的數(shù)據(jù)庫恢復(fù)預(yù)案,建立Oracle審計(jì)機(jī)制,促進(jìn)在數(shù)據(jù)庫參數(shù)設(shè)置和字段的屬性方面管理,做好字典的維護(hù)工作。在數(shù)據(jù)庫管理中需要對(duì)執(zhí)行權(quán)限形成清晰的管理,建構(gòu)用戶審計(jì)制度,對(duì)每次的操作情況進(jìn)行詳細(xì)記錄,促進(jìn)建立系統(tǒng)和形成記錄系統(tǒng)命令,在數(shù)據(jù)庫服務(wù)器方面形成使用情況的積極管理等。
2.4 軟件系統(tǒng)管理
在操作系統(tǒng)管理中主要是對(duì)正版的操作系統(tǒng)做好補(bǔ)丁,比如在屏幕保護(hù)方面,需要放置數(shù)據(jù)暴露在桌面。在軟件系統(tǒng)管理中需要形成多個(gè)分區(qū),分別進(jìn)行操作系統(tǒng),應(yīng)用系統(tǒng),以及一些重要數(shù)據(jù)的放置等。在管理中需要?jiǎng)h除多余的服務(wù)和網(wǎng)絡(luò)協(xié)議等,關(guān)閉不必要端口,促進(jìn)實(shí)現(xiàn)默認(rèn)管理,形成鎖定注冊(cè)表管理等。在網(wǎng)絡(luò)管理中需要對(duì)醫(yī)院信息系統(tǒng)內(nèi)網(wǎng)和互聯(lián)網(wǎng)形成隔開,不允許在內(nèi)網(wǎng)中運(yùn)行計(jì)算機(jī)需要形成互聯(lián)網(wǎng)鏈接,促進(jìn)對(duì)內(nèi)網(wǎng)的操作系統(tǒng)等形成精準(zhǔn)性管理。在殺毒軟件管理中需要安裝正版軟件,保證進(jìn)行定期升級(jí),促進(jìn)保證病毒庫安全,必要時(shí)候可以運(yùn)用輔助軟件等,對(duì)流行性新興病毒等需要進(jìn)行定期查殺,形成在軟件管理中的實(shí)時(shí)監(jiān)控,在下載升級(jí)后必須先殺毒和后使用,形成在良好搭建和構(gòu)建,與現(xiàn)行系統(tǒng)環(huán)境等形成結(jié)合,促進(jìn)在升級(jí)軟件和測(cè)設(shè)環(huán)境過程中,做好管理運(yùn)行,積極的對(duì)使用者進(jìn)行教育等。
3 結(jié)束語
在醫(yī)院信息的安全管理中,需要對(duì)醫(yī)院信息系統(tǒng)等形成積極管理,避免數(shù)據(jù)泄露,以及在數(shù)據(jù)恢復(fù)中可能造成的大量人力、物力和時(shí)間的消耗,在一些管理中進(jìn)行資金投入是必要的。在內(nèi)網(wǎng)安全管理中需要從醫(yī)院的實(shí)際出發(fā),調(diào)動(dòng)各方面的積極性,促進(jìn)部門協(xié)調(diào),形成在管理制度和管理規(guī)范方面的建構(gòu),促進(jìn)形成日?;统B(tài)化管理。在網(wǎng)絡(luò)系統(tǒng)安全和軟件安全管理方面需要通過人、技術(shù)和管理等形成多方面優(yōu)化,只有在形成穩(wěn)定和可靠的醫(yī)院信息系統(tǒng)下,才可以在醫(yī)院的信息網(wǎng)絡(luò)建構(gòu)過程中得到加強(qiáng)。
參考文獻(xiàn):
[1] 王麗. 新形勢(shì)下醫(yī)院信息安全所面臨的挑戰(zhàn)與對(duì)策分析[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2015(1).
[2] 顧海華. 醫(yī)院信息安全建設(shè)[J]. 中國數(shù)字醫(yī)學(xué), 2007(7).
[3] 沈?qū)m建. 淺談醫(yī)院信息安全的發(fā)展[J]. 醫(yī)療裝備, 2014(5).
[4] 王一飛. 讓醫(yī)院的安全防御"動(dòng)起來"醫(yī)院信息安全建設(shè)思路[J]. 醫(yī)學(xué)信息:中旬刊, 2011(4).
關(guān)鍵詞:網(wǎng)絡(luò)信息; 網(wǎng)絡(luò)信息安全; 安全管理
一、概述
在現(xiàn)代生活中,互聯(lián)網(wǎng)給人們帶來了巨大的便利,和人們的生活、工作、學(xué)習(xí)息息相關(guān),并且涉及到各行各業(yè),已成為人們生活中必不可少的溝通紐帶。共享性、開放性和廣泛性是計(jì)算機(jī)網(wǎng)絡(luò)的主要特性,因而給互聯(lián)網(wǎng)帶來方便快捷的信息服務(wù)。然而,計(jì)算機(jī)網(wǎng)絡(luò)卻頻頻出現(xiàn)一些安全問題,網(wǎng)絡(luò)數(shù)據(jù)被竊、安全漏洞、黑客入侵、木馬等病毒侵襲等一系列安全問題的出現(xiàn),嚴(yán)重危害了信息安全,給人們的工作生活造成危害,甚至危害社會(huì)經(jīng)濟(jì)的發(fā)展,于是人們?cè)絹碓街匾暰W(wǎng)絡(luò)信息安全的管理工作,計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)相對(duì)復(fù)雜難以管理的大環(huán)境,確保計(jì)算機(jī)信息安全是一項(xiàng)十分重要而艱巨的任務(wù)。
二、信息管理的內(nèi)涵及其分類
信息管理是一門把信息技術(shù)作為主要途徑,用以研究信息的分布、交換、開發(fā)利用等方面的學(xué)科。網(wǎng)絡(luò)信息管理主要包括四方面內(nèi)容。第一,基礎(chǔ)信息的運(yùn)行管理,包括四方面,IP地址、工作組、域名以及自治系統(tǒng)號(hào)。第二,服務(wù)器相關(guān)信息的管理,也就是網(wǎng)絡(luò)信息服務(wù)有關(guān)信息管理,包括服務(wù)器的配置、運(yùn)行環(huán)境、訪問情況、負(fù)載均衡、信息類別以及信息的可用性和完整性。第三,用戶相關(guān)信息管理,這也是實(shí)施安全訪問控制的重要環(huán)節(jié),包括用戶的姓名、身份標(biāo)識(shí),以及單位、部門、職務(wù)、權(quán)限、電子郵件等。第四,網(wǎng)絡(luò)信息資源的管理,主要包括信息的過濾、、搜索以及導(dǎo)航等方面。信息在服務(wù)器上的分布呈現(xiàn)非線性和分散兩種情況,而且在網(wǎng)絡(luò)信息管理的實(shí)際操作過程中,信息的有分布式進(jìn)行和異步進(jìn)行兩種,在信息的環(huán)節(jié)采取有力的防范措施,可以有效防止出現(xiàn)信息泄露和不良信息的引入的情況。
三、網(wǎng)絡(luò)信息管理中存在的安全問題
(一)網(wǎng)絡(luò)信息管理安全主要包括以下五個(gè)方面,保密性、可維護(hù)性、完整性、可用性、以及認(rèn)證性,一般也把這五個(gè)方面作為網(wǎng)絡(luò)信息管理的安全目標(biāo)。其中保密性主要指只有有權(quán)限的用戶才能夠?yàn)g覽相關(guān)的計(jì)算機(jī)網(wǎng)絡(luò)的信息,通過這樣的保密防范性措施,可以有效的防止非權(quán)限用戶隨意篡改和竊取信息數(shù)據(jù),保證了機(jī)要信息的完整性。被授權(quán)的用戶可根據(jù)需求使用信息還可以控制維護(hù)信息的安全,這樣有利于確保信息的可維護(hù)性。而且還要確保網(wǎng)絡(luò)數(shù)據(jù)可用,遇到安全問題或者出現(xiàn)權(quán)限不匹配時(shí),網(wǎng)絡(luò)系統(tǒng)還應(yīng)該可以提供審核以及驗(yàn)證依據(jù)。目前的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)認(rèn)證方式包括數(shù)據(jù)源認(rèn)證和實(shí)體性認(rèn)證兩種。
(二)網(wǎng)絡(luò)信息管理安全包括六個(gè)方面的安全:保密性、認(rèn)證、授權(quán)、完整性、可用性、以及不可否認(rèn)性。在網(wǎng)絡(luò)信息管理中主要有兩類安全問題,信息訪問控制和信息安全監(jiān)測(cè)。其中信息安全監(jiān)測(cè),主要針對(duì)完整性和可用性兩方面的安全問題,而信息訪問控制主要是針對(duì)的其余四方面的安全而言的。
四、網(wǎng)絡(luò)信息管理安全策略
在具體闡述了網(wǎng)絡(luò)信息安全的指標(biāo)和網(wǎng)絡(luò)安全的概念之后,針對(duì)現(xiàn)實(shí)操作中出現(xiàn)的一系列安全問題提出以下具體的防范策略和建議,對(duì)于構(gòu)建安全的網(wǎng)絡(luò)信息管理體系起到幫助作用。
(一)加強(qiáng)宣傳,提高對(duì)網(wǎng)絡(luò)信息安全的重視,并且完善相關(guān)法規(guī)和制度。
制定、完善相關(guān)法規(guī)制度,例如計(jì)算機(jī)應(yīng)用管理規(guī)范、計(jì)算機(jī)安全管理制度等,有利于明確權(quán)責(zé),更方便監(jiān)督和管理。嚴(yán)格按照規(guī)范操作,定期進(jìn)行安全檢查,對(duì)于問題及時(shí)采取措施處理。此外,加強(qiáng)培訓(xùn),廣泛宣傳,提高人們的防范意識(shí),建立完善的網(wǎng)絡(luò)信息安全防范體系也是必不可少的。
(二)從網(wǎng)絡(luò)信息安全的目標(biāo)出發(fā),有以下建議措施:
第一,進(jìn)一步加強(qiáng)訪問控制,這是維護(hù)網(wǎng)絡(luò)信息安全的首要措施。通過使用身份證書、角色證書和權(quán)限證書可以有效的進(jìn)行全面的訪問控制,有利于保證網(wǎng)絡(luò)信息合法訪問以及使用。第二,加強(qiáng)對(duì)信息的加密處理,通過對(duì)重要的信息的加密保護(hù),例如鏈路加密、端點(diǎn)加密以及節(jié)點(diǎn)加密,可以有效的防范信息被竊取、篡改和破壞,網(wǎng)內(nèi)數(shù)據(jù)、文件、口令的安全控制。第三,及時(shí)進(jìn)行網(wǎng)絡(luò)入侵檢測(cè),是從防御系統(tǒng)出發(fā)而采取的措施。及時(shí)采取防范檢測(cè)或者自動(dòng)抗擊模式可以有效的抑制惡意攻擊。第四,進(jìn)行數(shù)據(jù)備份,可以防患于未然。這樣即使發(fā)生安全問題,也不會(huì)導(dǎo)致數(shù)據(jù)的丟失,減輕了危害程度。
五、結(jié)束語
計(jì)算機(jī)網(wǎng)絡(luò)信息安全的應(yīng)該以系統(tǒng)化、多元化為發(fā)展方向,隨著新的網(wǎng)絡(luò)信息安全問題的不斷出現(xiàn),加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的管理以及采取有效的防護(hù)措施,顯得尤為重要,高校應(yīng)該引進(jìn)先進(jìn)技術(shù)為網(wǎng)絡(luò)信息做好安全保密工作。
參考文獻(xiàn)
[1] 段盛.企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息管理系統(tǒng)可靠性探討[J]. 湖南農(nóng)業(yè)大學(xué)學(xué)報(bào):自然科學(xué)版,2000(26):134-136.
[2] 韓萍.對(duì)信息網(wǎng)絡(luò)問題與管理的思考[J]. 前沿,2004(9):34-35.
【關(guān)鍵詞】計(jì)算機(jī)信息系統(tǒng) 安全 管理
計(jì)算機(jī)提高了諸多企業(yè)的信息化水平,增強(qiáng)了企業(yè)的競(jìng)爭(zhēng)力,因此被廣泛應(yīng)用在多個(gè)領(lǐng)域之中。計(jì)算機(jī)信息系統(tǒng)安全是計(jì)算機(jī)應(yīng)用的基礎(chǔ),如計(jì)算機(jī)信息系統(tǒng)存在較大安全問題,往往給企業(yè)造成較大經(jīng)濟(jì)損失,因此,加強(qiáng)計(jì)算機(jī)系統(tǒng)管理,確保其安全性具有重要的現(xiàn)實(shí)意義。
1 計(jì)算機(jī)信息系統(tǒng)安全問題
計(jì)算機(jī)信息系統(tǒng)應(yīng)用過程中受多種因素影響,使其面臨較大的安全問題,這些問題主要體現(xiàn)在以下幾個(gè)方面:
1.1 非法攻擊
研究發(fā)現(xiàn),計(jì)算機(jī)信息系統(tǒng)應(yīng)用過程中時(shí)常會(huì)遇到黑客攻擊,導(dǎo)致服務(wù)器死機(jī),如此時(shí)正傳輸重要信息,容易導(dǎo)致重要信息丟失。黑客攻擊計(jì)算機(jī)信息系統(tǒng)比較常見,攻擊的原因存在較大差別:部分黑客攻擊計(jì)算機(jī)信息系統(tǒng)從中獲取重要信息謀取暴利,不僅影響計(jì)算機(jī)信息系統(tǒng)良好的運(yùn)營秩序,而且給計(jì)算機(jī)的使用者帶來諸多不便。部分黑客攻擊計(jì)算機(jī)信息系統(tǒng)只是為了展示以下自己的技術(shù),但同樣給計(jì)算機(jī)信息系統(tǒng)的正常工作帶來不良影響。
1.2 計(jì)算機(jī)病毒破壞
計(jì)算機(jī)病毒是一種能夠在網(wǎng)絡(luò)上傳播的惡意程序,其給計(jì)算機(jī)信息系統(tǒng)造成的危害主要表現(xiàn)為:部分病毒具有破壞性,侵入到計(jì)算機(jī)信息系統(tǒng)后私自刪除重要文件,導(dǎo)致計(jì)算機(jī)信息系統(tǒng)的癱瘓。部分計(jì)算機(jī)病毒,例如木馬病毒等能夠控制被侵入計(jì)算機(jī),輕易的竊取計(jì)算機(jī)信息系統(tǒng)的重要信息。隨著計(jì)算機(jī)技術(shù)的普及,計(jì)算機(jī)病毒日益猖獗,其傳播性與破壞性大大增強(qiáng),給計(jì)算機(jī)信息系統(tǒng)安全構(gòu)成嚴(yán)重威脅。
1.3 疏于安全管理
受自身及外界因素影響,計(jì)算機(jī)信息系統(tǒng)不可避免的存在一些安全問題,但是管理員平時(shí)屬于管理,不重視人為控制的監(jiān)控及病毒查殺,導(dǎo)致計(jì)算機(jī)信息安全性較差。部分管理員責(zé)任心不強(qiáng),計(jì)算機(jī)信息系統(tǒng)安全管理意識(shí)低,工作過程中不注重細(xì)節(jié)等,給不法攻擊行為留下可乘之機(jī)。另外,沒有健全的管理制度做支撐。因缺乏完善的計(jì)算機(jī)信息系統(tǒng)安全管理制度,部分管理員工作過程中隨意性大,信息系統(tǒng)安全管理防范性差,結(jié)果泄漏了重要信息卻渾然不覺。
2 計(jì)算機(jī)信息系統(tǒng)安全管理對(duì)策
在當(dāng)今競(jìng)爭(zhēng)激烈的社會(huì)加強(qiáng)計(jì)算機(jī)信息系統(tǒng)安全管理具有重要意義:確保計(jì)算機(jī)信息系統(tǒng)安全,可為計(jì)算機(jī)穩(wěn)定運(yùn)行創(chuàng)造良好的環(huán)境,提高我國信息化水平,為我國信息產(chǎn)業(yè)化發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。為此,我國相關(guān)部門應(yīng)加強(qiáng)計(jì)算機(jī)信息系統(tǒng)安全管理,不斷提高計(jì)算機(jī)信息系統(tǒng)管理水平與質(zhì)量,具體可通過以下措施實(shí)現(xiàn)。
2.1 合理設(shè)計(jì)計(jì)算機(jī)信息系統(tǒng)結(jié)構(gòu)
設(shè)計(jì)計(jì)算機(jī)信息系統(tǒng)結(jié)構(gòu)時(shí)應(yīng)從安全角度進(jìn)行設(shè)計(jì)與規(guī)劃,尤其應(yīng)結(jié)合我國計(jì)算機(jī)信息系統(tǒng)安全問題現(xiàn)狀,設(shè)計(jì)出切實(shí)可行的實(shí)施方案,并經(jīng)過充分的論證分析,確保設(shè)計(jì)結(jié)構(gòu)的合理性。同時(shí),注重安全細(xì)節(jié)方面的設(shè)計(jì)。例如在路由器、交換機(jī)等物理角度入手加強(qiáng)訪問、防攻擊的配置,以避免惡意攻擊影響計(jì)算機(jī)信息系統(tǒng)安全性。另外,還應(yīng)根據(jù)設(shè)計(jì)的整個(gè)計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò),在合適位置安裝防火墻等,在硬件方面構(gòu)建安全的計(jì)算機(jī)信息系統(tǒng),為計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行保駕護(hù)航。
2.2 提升管理員安全防范意識(shí)
管理員在確保計(jì)算機(jī)信息系統(tǒng)安全上有著重要責(zé)任,因此,為確保計(jì)算機(jī)信息系統(tǒng)安全應(yīng)重視管理員安全防范意識(shí)的提高。首先,加強(qiáng)計(jì)算機(jī)信息系統(tǒng)安全教育宣傳。相關(guān)部門應(yīng)提高認(rèn)識(shí),重視計(jì)算機(jī)信息系統(tǒng)安全宣傳工作,以提高管理員計(jì)算機(jī)信息系統(tǒng)安全的防范意識(shí)。同時(shí),定期組織管理員進(jìn)行培訓(xùn),為其講解近年來計(jì)算機(jī)信息系統(tǒng)安全領(lǐng)域出現(xiàn)的重大事件,尤其為其闡述事件發(fā)生的原因及造成的損失,以提高管理員對(duì)計(jì)算機(jī)信息系統(tǒng)安全的重要性認(rèn)識(shí);其次,完善計(jì)算機(jī)信息系統(tǒng)安全管理制度。研究表明,制度是確保各項(xiàng)工作順利開展的重要舉措,因此相關(guān)部門應(yīng)制定完善的計(jì)算機(jī)信息系統(tǒng)安全管理制度,對(duì)管理員日常行為加以約束,確保制定的安全防范策略得以充分落實(shí);最后,還應(yīng)重視管理員工作監(jiān)督。及時(shí)發(fā)現(xiàn)并指正管理工作中可能引發(fā)安全問題的行為,如禁止管理員接收來歷不明的郵件、禁止帶其他人員進(jìn)入到機(jī)房等。
2.3 提升計(jì)算機(jī)信息系統(tǒng)安全性能
當(dāng)前木馬、病毒日益猖獗,給計(jì)算機(jī)信息系統(tǒng)安全構(gòu)成嚴(yán)重潛在威脅,因此,管理員應(yīng)積極采取應(yīng)對(duì)措施,避免病毒、木馬的侵入,以提高計(jì)算機(jī)信息系統(tǒng)安全性能,具體可參考以下內(nèi)容:
首先,安裝防病毒軟件及系統(tǒng)。當(dāng)前,計(jì)算機(jī)安全服務(wù)商推出了很多安全產(chǎn)品,管理應(yīng)結(jié)合計(jì)算機(jī)信息系統(tǒng)選擇性的安裝,例如360殺毒軟件、卡巴斯基、諾頓等,以實(shí)現(xiàn)對(duì)病毒的識(shí)別監(jiān)控、掃描、清除。甚至部分安全系統(tǒng)還具備自動(dòng)備份的功能,能夠及時(shí)備份系統(tǒng)中重要的數(shù)據(jù),避免數(shù)據(jù)信息的丟失、損壞;其次,定期進(jìn)行漏洞掃描。研究發(fā)現(xiàn),很多病毒的侵入多是利用了計(jì)算機(jī)信息系統(tǒng)的漏洞,因此,管理員應(yīng)將漏洞掃描當(dāng)做日常重要工作。例如,定期掃描服務(wù)器上TCP端口分配情況,并使用專門的訪問評(píng)估策略評(píng)估其安全性,以及時(shí)發(fā)現(xiàn)漏洞進(jìn)行修補(bǔ),不給病毒的入侵留下可乘之機(jī);最后,及時(shí)升級(jí)計(jì)算機(jī)信息系統(tǒng)補(bǔ)丁。為提高計(jì)算機(jī)信息系統(tǒng)安全性,計(jì)算機(jī)信息系統(tǒng)提供商會(huì)定期一些系統(tǒng)漏洞,并要求用戶及時(shí)進(jìn)行升級(jí),因此管理員應(yīng)及時(shí)關(guān)注計(jì)算機(jī)信息系統(tǒng)提供商官方網(wǎng)站,一旦發(fā)現(xiàn)升級(jí)通知,應(yīng)及時(shí)下載升級(jí),以實(shí)現(xiàn)計(jì)算機(jī)信息系統(tǒng)安全性的提高。
3 總結(jié)
隨著計(jì)算機(jī)技術(shù)的普及,計(jì)算機(jī)信息系統(tǒng)安全性受到越來越多人的關(guān)注,因此,作為計(jì)算機(jī)信息系統(tǒng)管理者更應(yīng)以身作則,嚴(yán)格落實(shí)制定的信息系統(tǒng)安全制度,不斷提高自身計(jì)算機(jī)信息系統(tǒng)安全防范意識(shí),做好日常的漏洞掃描,補(bǔ)丁升級(jí)等細(xì)節(jié),為保障計(jì)算機(jī)信息系統(tǒng)安全性貢獻(xiàn)應(yīng)有力量。
參考文獻(xiàn)
[1]張曉琴.通信計(jì)算機(jī)信息安全問題及解決對(duì)策[J].中國新通信,2014(09).
[2]鄧娟.計(jì)算機(jī)信息安全問題研究[J].科技資訊,2009(08).
[3]李桂巖,魏賓.計(jì)算機(jī)信息安全問題及對(duì)策[J].科技風(fēng),2008(01).