信息安全行業(yè)分析范文

時間:2023-10-19 16:07:44

導語:如何才能寫好一篇信息安全行業(yè)分析,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

信息安全行業(yè)分析

篇1

關(guān)鍵詞:航空企業(yè);信息系統(tǒng);安全處理;現(xiàn)狀;體系

中圖分類號:TP393.08

隨著計算機網(wǎng)絡技術(shù)的不斷發(fā)展,信息數(shù)據(jù)系統(tǒng)廣泛應用于航空企業(yè)的信息管理中。然而,航空企業(yè)因其服務行業(yè)的特性,需要不斷將航班等外部信息傳播發(fā)送給旅客,另一方面,航空企業(yè)內(nèi)部管理信息卻需要做到嚴格的保密,這就對航空企業(yè)的信息系統(tǒng)安全處理提出了高要求,航空企業(yè)必須建立一套全面完備的信息安全處理體系,只有這樣,才能提高航空運輸信息的安全水平,保障航空企業(yè)的穩(wěn)定發(fā)展。

1 航空企業(yè)信息系統(tǒng)安全管處理現(xiàn)狀

近年來,我國航空企業(yè)已經(jīng)開始廣泛應用信息管理系統(tǒng)。在這些企業(yè)的信息系統(tǒng)中,包含了對交通服務、航班導航、天氣情況以及企業(yè)內(nèi)部信息的各類應用,航空企業(yè)信息管理部門需要將這些信息進行整合,構(gòu)建成為一個完整的信息管理系統(tǒng)。然而,從目前航空企業(yè)的信息系統(tǒng)安全管理來看,多數(shù)航空企業(yè)在進行信息系統(tǒng)安全管理的研究時,都是將重點集中在某一特定領(lǐng)域,通過病毒檢測系統(tǒng)、認證系統(tǒng)等對特定領(lǐng)域進行信息安全處理,并沒有一個全面完整的信息安全處理體系。

另外,國家有關(guān)部門已經(jīng)加強了對航空信息安全的重視,中國民用航空局頒布了關(guān)于管理民用航空安全信息的規(guī)定,通過將各航空企業(yè)的信息管理系統(tǒng)進行統(tǒng)一監(jiān)督,統(tǒng)籌管理全行業(yè)的信息安全管理系統(tǒng)。無論從當今形勢發(fā)展來看,還是從國家有關(guān)部門對信息系統(tǒng)安全管理的重視程度來看,建立一套完整的信息系統(tǒng)安全處理體系對于航空企業(yè)都是非常有必要的。

2 構(gòu)建航空企業(yè)信息系統(tǒng)安全處理體系

在對信息系統(tǒng)安全處理體系進行構(gòu)建時,應當遵循可行性、靈活性、擴展性等原則,使信息系統(tǒng)的安全處理能夠滿足信息的完整性、保密性和可用性。在進行信息系統(tǒng)安全處理體系構(gòu)建時,可以用到的安全技術(shù)大致包括計算機病毒防范技術(shù)、信息偵測技術(shù)、安全操作平臺技術(shù)、安全審計和入侵預警技術(shù)、內(nèi)容分級監(jiān)管技術(shù)等。

2.1 構(gòu)建航空企業(yè)信息系統(tǒng)安全處理體系的初始步驟

(1)確定控制用戶訪問的安全處理系統(tǒng)。在進行訪問權(quán)的控制時,可以設置相應的客戶端界面,利用DCE/Kerberos身份驗證機制,只要用戶輸入的個人信息得到驗證后,用戶才能進行下一步訪問。還可以設置一種封閉策略,只有得到授權(quán)的用戶才能獲得相應信息。但是,在通過限制用戶訪問來達到信息安全處理的效果時,應當注意對數(shù)據(jù)信息的最大共享原則,使用戶能夠通過客戶端獲得對所有數(shù)據(jù)的訪問權(quán),除非是不應當開放的保密性數(shù)據(jù)。

(2)建立備份制度和事務日志制度等。對于信息系統(tǒng)而言,其安全性總會受到一定的威脅,企業(yè)在進行信息系統(tǒng)的安全處理時,還應當重視對數(shù)據(jù)的備份,使數(shù)據(jù)能夠在受到安全威脅后得到有效恢復。

(3)確定信息數(shù)據(jù)安全的最小單位。在構(gòu)建航空企業(yè)信息系統(tǒng)的安全處理體系時,可以將屬性或關(guān)系作為最小安全單位,從而滿足對信息安全性的高要求。

2.2 進一步構(gòu)建航空企業(yè)信息系統(tǒng)安全處理體系的策略

在航空企業(yè)信息管理系統(tǒng)中,安全處理內(nèi)部保密信息是很重要的,但對需要向外界公布的信息數(shù)據(jù)也不容輕視,因此僅僅依靠DCE/Kerberos身份驗證機制無法進行全面的安全處理。

(1)建立信息系統(tǒng)的自行監(jiān)控和預警機制

保障信息系統(tǒng)高效穩(wěn)定的運轉(zhuǎn)是航空企業(yè)進行各項業(yè)務的關(guān)鍵,因此,在進行信息系統(tǒng)的安全處理時,首先應當做到的就是對系統(tǒng)運行的監(jiān)控和預警,從而能夠早發(fā)現(xiàn)、早解決系統(tǒng)運行問題,避免影響航空業(yè)務的運行。

(2)應用各種安全產(chǎn)品,構(gòu)建全面的防御體系

在航空企業(yè)信息系統(tǒng)建立安全處理體系時,航空企業(yè)應當加大投入力度,建立一個全面的防御體系,從而減少安全問題的產(chǎn)生。例如,在建立防病毒、防黑客體系時,可以通過部署應用漏洞掃描軟件、防病毒軟件等安全產(chǎn)品,構(gòu)建出一個全面的防御體系,將信息系統(tǒng)的內(nèi)部運轉(zhuǎn)充分控制起來,從而能夠及早發(fā)現(xiàn)安全問題,及早解決。

(3)設置控制用戶訪問的安全處理策略

航空企業(yè)的信息系統(tǒng)在為用戶提供服務時,使用的是一種端對端的信息交流方式,因此,保障信息傳遞過程中的信息安全,防止信息遭到修改是信息安全處理的重點。SOAP協(xié)議基于XML數(shù)據(jù)結(jié)構(gòu),它可以為用戶提供信息交換的平臺。為保護SOAP協(xié)議的安全性,進而保障信息安全,我們可以進行用戶查詢權(quán)、修改權(quán)及刪除權(quán)的設定,通過設立安全矩陣的方式將各類信息及各類人員的權(quán)限進行分類處理,從而提高信息管理系統(tǒng)的運行效率,如下表1所示。

通過這種矩陣式分類,就可以直觀地將各部門權(quán)限表現(xiàn)出來,從而達到對信息系統(tǒng)客戶端的有效管理。

(4)實現(xiàn)信息系統(tǒng)各子系統(tǒng)之間訪問管理的安全性

在信息系統(tǒng)的使用中,用戶對資源的使用往往會涉及到整個系統(tǒng)中的多數(shù)子系統(tǒng),在訪問這些子系統(tǒng)時,系統(tǒng)需要對授權(quán)進行逐一判斷,這就會使系統(tǒng)屬性發(fā)生改變,安全隱患也就隨之而來,因此,應當建立一種訪問控制體系,用于對訪問各子系統(tǒng)信息資源的安全處理。

UCON模型,就是適應現(xiàn)代業(yè)務流程訪問控制而產(chǎn)生的新型模型,包含了主體、客體和權(quán)限三個基本元素,它將義務、條件和授權(quán)作為了決策進程的一部分,提供了一種更好的決策能力。這種模型區(qū)別于其他訪問控制模型之處就在于它的可變屬性,可變屬性可以隨著訪問對象的改變而發(fā)生改變,這種模型解決了傳統(tǒng)的訪問控制技術(shù)缺乏綜合性的問題,并涵蓋了安全和隱私兩個重要方面,是一種具有決策連續(xù)性和屬性易變性特點的訪問控制模型。通過對UCON模型和數(shù)據(jù)庫管理系統(tǒng)的綜合使用,可以有效保護信息系統(tǒng)的數(shù)據(jù)資源,并能夠在結(jié)合其他技術(shù)的基礎上,對計算機系統(tǒng)資源和網(wǎng)絡資源進行保護,從而達到航空企業(yè)信息系統(tǒng)安全處理的目標,防止非法訪問現(xiàn)象的發(fā)生。

2.3 構(gòu)建完善的航空企業(yè)信息系統(tǒng)安全處理體系

一個完整的信息系統(tǒng)安全處理體系,必須涵蓋了從客戶端到服務提供端,再到訪問控制端的安全處理流程。首先,對于客戶端安全處理環(huán)節(jié)的實現(xiàn),可以借助用戶身份信息的收集和對服務返回結(jié)果的安全處理,并運用DCE/Kerberos身份驗證機制等安全平臺操作技術(shù)對信息系統(tǒng)的安全性進行管理。其次,是對服務提供端安全處理的實現(xiàn),這一環(huán)節(jié)包括了對用戶身份的驗證和對數(shù)據(jù)傳輸?shù)陌踩幚恚梢允褂肧OAP協(xié)議等安全審計技術(shù)為信息系統(tǒng)提供安全保障。最后,是對訪問控制端安全處理的實現(xiàn),這一環(huán)節(jié)可以分為對系統(tǒng)各環(huán)節(jié)的信息匹配和對訪問控制服務的安全處理,是整個信息系統(tǒng)安全處理的重要環(huán)節(jié),在構(gòu)建系統(tǒng)安全處理體系時,可以使用UCON模型將訪問控制權(quán)具體化,并設立安全矩陣,最終達到信息系統(tǒng)安全處理的目的。

總結(jié):

航空企業(yè)的行業(yè)特性,決定了構(gòu)建符合其行業(yè)特點的信息系統(tǒng)安全處理體系是一個復雜而繁瑣的過程,企業(yè)信息安全管理部門應當從實際出發(fā),結(jié)合企業(yè)信息系統(tǒng)的客戶端、服務端以及數(shù)據(jù)庫對信息安全的不同要求,運用現(xiàn)代化技術(shù),依據(jù)信息系統(tǒng)設計原則,構(gòu)建一個既能滿足共享性,又能滿足保密性的獨特的安全處理體系。另外,企業(yè)管理部門不僅要加大對技術(shù)的扶持和研發(fā),還應當注重對企業(yè)內(nèi)部人員的信息安全教育,能夠建立一個完善的信息系統(tǒng)管理制度,從而使企業(yè)人員能夠積極進行信息系統(tǒng)的安全防護。

參考文獻:

[1]郝梁怡.淺析民航空管信息安全管理[J].中國科技縱橫,2013(12).

[2]張云高.基于SMS關(guān)鍵要素的航空公司安全管理信息系統(tǒng)分析與設計[J].電子科技大學,2011(1).

[3]田波,吳倩,甄浩.航空公司信息安全管理系統(tǒng)的構(gòu)建與安全保障體系研究[J].情報科學,2011(9).

[4]白瑜.基于UCON的訪問控制的應用[J].電力學報,2012(6).

[5]付茂沼.民用航空信息安全研究[J].中國民航飛行學院學報,2010(3).

[6]姜鵬.民航空管信息處理系統(tǒng)的安全保障[J].中國新技術(shù)新產(chǎn)品,2011(13).

篇2

關(guān)鍵詞:藥品物流管理系統(tǒng);信息安全素養(yǎng);信息安全干預

21世紀是一個全方位大數(shù)據(jù)的時代,從紙張過渡到電子病歷系統(tǒng)的醫(yī)療記錄數(shù)據(jù)呈指數(shù)級增長[1,2],但在體驗信息化帶來的前所未有便捷的同時,巨大信息安全隱患也逐漸浮出水面,正逐漸引起大眾的高度重視和警覺[3~5]。2014年醫(yī)療/保健行業(yè)在所有報告的數(shù)據(jù)泄露事件中所占比例超過42%,遠高于其他行業(yè)(如銀行/金融、商業(yè)、教育等)[6~8]。上海市執(zhí)行了藥品陽光采購平臺,在此基礎上建立了藥品物流管理系統(tǒng),該系統(tǒng)利用信息化技術(shù)手段和智能設施設備讓藥品在供應、分揀、配送等各個環(huán)節(jié),實現(xiàn)公司、醫(yī)院、科室、患者之間一體化、精細化管理。盡管目前實施了藥品安全信息化監(jiān)管,但是藥品信息錯綜復雜、工作人員意識薄弱、藥品信息管理人員復雜,一旦信息泄露,存在醫(yī)保套用、患者信息泄露被不法分子利用、統(tǒng)方等隱患。藥品信息的管理核心是人員的管理,監(jiān)管的最終目標也是保障藥品安全供應和合理使用。金山區(qū)自2016起開始陽光平臺藥品采購試點,在上海市率先執(zhí)行了藥品物流管理系統(tǒng)。本文結(jié)合工作實際,對金山區(qū)藥品物流管理系統(tǒng)的信息管理人員和使用者的安全意識進行調(diào)查、評估和干預,為提高全市藥品相關(guān)人員的信息安全水平,減少因信息泄露而導致的醫(yī)療安全事件的發(fā)生提供參考。

1對象與方法

1.1研究對象

金山區(qū)藥品物流管理系統(tǒng)全部管理用戶,包括藥品陽光采購平臺、藥品物流管理系統(tǒng)、各醫(yī)療機構(gòu)HIS系統(tǒng)藥品信息管理人員、使用人員193人。

1.2研究內(nèi)容與方法

1.2.1名詞定義與指標計算方法藥品物流管理系統(tǒng):利用信息化技術(shù)手段和智能設施設備讓藥品在供應、分揀、配送等各個環(huán)節(jié),實現(xiàn)公司、醫(yī)院、科室、患者之間一體化、精細化管理的系統(tǒng)。信息安全素養(yǎng):指人員在信息化條件下對信息安全的認識以及對信息安全表現(xiàn)的綜合能力,包括信息安全動機、信息安全知識、信息安全能力、信息行為等內(nèi)容[4]。指標計算方法:參考《中國居民健康素養(yǎng)調(diào)查》方案設計,正確回答題目的賦值1分,題目回答錯誤的賦值0分,計算每名調(diào)查對象最終的答題得分。根據(jù)專家咨詢意見,所有問題全部回答正確視為具備總體信息安全素養(yǎng),對信息安全知識問題、信息安全動機問題、信息安全角色認知問題、信息安全行為問題全部回答正確的分別視為該調(diào)查對象具備這四個方面的信息安全素養(yǎng)。1.2.2系統(tǒng)用戶信息安全素養(yǎng)水平調(diào)查通過文獻研究收集國內(nèi)外關(guān)于信息安全的相關(guān)材料以及實踐工作中的經(jīng)驗等內(nèi)容,初步形成評估問卷和調(diào)查問卷,通過德爾菲法選擇衛(wèi)生信息化領(lǐng)域工作經(jīng)驗豐富的專家開展問卷設計咨詢,所有專家均為衛(wèi)生信息化領(lǐng)域或健康行為研究領(lǐng)域;本科及以上學歷;工作經(jīng)驗豐富,從事相關(guān)工作5年以上,最終選擇了上海市疾病預防控制中心信息所、金山區(qū)衛(wèi)生信息中心等8名專家對問卷進行審核、修訂,針對部分調(diào)查對象進行預調(diào)查后對存在的問題進行相應的修改,形成最終的評估和調(diào)查問卷,問卷由基本情況、信息安全知識、信息安全動機、信息安全角色認知、信息安全行為和系統(tǒng)用戶信息等6部分條目構(gòu)成。對金山區(qū)藥品物流管理系統(tǒng)的所有用戶開展面對面問卷調(diào)查。問卷調(diào)查在調(diào)查前向受訪者進行調(diào)查說明,承諾調(diào)查信息保密,在受訪者知情同意后開展調(diào)查,提高受訪者的支持配合。問卷調(diào)查后及時整理和質(zhì)控,確保信息完整。1.2.3信息安全干預措施實施后效果調(diào)查采用整群隨機分組方法,以一個社區(qū)的系統(tǒng)用戶為一個群組,將金山區(qū)11個社區(qū)的所有系統(tǒng)用戶隨機分為干預組和對照組,結(jié)合用戶信息安全素養(yǎng)調(diào)查過程中發(fā)現(xiàn)的問題,對干預組進行進行信息安全干預,實施包括培訓講座、專項指導、發(fā)放信息安全宣傳材料、微信宣傳等一系列有針對性的干預措施;對照組則不給予任何干預措施。干預后對兩組進行終末調(diào)查,對比兩組在基線和終末調(diào)查時信息安全素養(yǎng)水平的變化情況。

1.3數(shù)據(jù)整理與分析

使用EpiData3.1軟件建立數(shù)據(jù)庫,用spss19.0軟件進行統(tǒng)計分析。計數(shù)資料以構(gòu)成比(%)表示,比較采用χ2檢驗;計量資料以x珋±s表示。P<0.05為差異有統(tǒng)計學意義。

2結(jié)果

2.1人口學特征

金山藥品物流管理系統(tǒng)用戶人數(shù)共計193人,發(fā)放問卷193份,收集到有效問卷共163份,問卷有效回收率84.46%?;厥諉柧淼哪信詣e比為0.43∶1,平均年齡為(34.69±9.32)歲;用戶角色中,58.9%是普通用戶,41.1%是管理賬戶;52.15%的調(diào)查對象是各醫(yī)療機構(gòu)藥庫工作人員,31.90%為各醫(yī)療機構(gòu)信息科信息管理人員。調(diào)查對象的人口學特征分布見表1。

2.2問卷的信度效度分析

信度(reliability)目前最常用的是Alpha信度系數(shù),一般情況下主要考慮量表的內(nèi)在信度———項目之間是否具有較高的內(nèi)在一致性。通過Alpha信度系數(shù)分析,本研究中,量表的信息安全知識、動機、角色認知、行為等四個維度的信度系數(shù)均>0.7,總體信度系數(shù)為0.732,問表明該問卷具有可接受的信度。問卷的效度分析主要采用因子分析了解結(jié)構(gòu)效度,首先對問卷數(shù)據(jù)進行KMO樣本測度和巴特萊特球體檢驗,以驗證數(shù)據(jù)是否適合做因子分析,得到KMO值為0.713,巴特萊特球體檢驗P<0.01,適合作因子分析。按特征值>1的標準提取公共因子,共提取5個因子,并采用方差最大正交旋轉(zhuǎn)進行因子旋轉(zhuǎn),所得因子間不相關(guān),累計方差貢獻率為60.023%。一般認為累計方差貢獻率大于60%,問卷結(jié)構(gòu)效度尚可。

2.3信息安全素養(yǎng)干預前后對比

干預組和對照組的基本情況見表2。兩組性別、年齡、教育程度及賬戶角色構(gòu)成等方面差異無統(tǒng)計學意義(P>0.05),具有可比性?;€調(diào)查時,干預組和對照組在總體素養(yǎng)、知識、動機、角色認知方面無明顯差異(P>0.05)。終末調(diào)查時,在知識、角色認知、行為等三方面,干預組明顯高于對照組(P<0.05),而在總體素養(yǎng)和動機方面兩組沒有顯著差異(P>0.05)。干預后,干預組的總體素養(yǎng)、知識、動機、角色認知等水平素養(yǎng)均有顯著提高(P<0.05或P<0.01),但信息安全行為水平無明顯提升(P>0.05);對照組用戶的各項安全素養(yǎng)水平與總體水平在基線和終末調(diào)查中均無明顯變化(P>0.05)。見表3.

2.4較薄弱的藥品信息安全問題集中點

通過對調(diào)查結(jié)果逐一分析,回答正確標記1分,回答錯誤標記為0分,將各題目分數(shù)累計綜合除以總?cè)藬?shù),得到回答合格率。結(jié)果顯示,系統(tǒng)用戶部分問題的合格率較低,對合格率較低的重點問題進行匯總和分析,見表4。以準確發(fā)現(xiàn)在金山區(qū)藥品物流管理系統(tǒng)用戶之間存在的信息安全方面的問題,便于在后期干預工作中有針對性的開展干預和信息安全素養(yǎng)提升措施。

3討論

3.1金山區(qū)藥品物流管理系統(tǒng)用戶的信息安全水平亟待于進一步的提高

信息的泄露主要是在于醫(yī)療機構(gòu)和信息服務機構(gòu)人員使用、管理過程中出現(xiàn)的無意泄露,更多時候信息泄露于無意識的情況下[9,10],另外組織環(huán)境也對用戶提供參考,并對用戶的某些行為有一定的積極或消極的作用[11]。本次調(diào)查發(fā)現(xiàn)金山區(qū)藥品物流管理系統(tǒng)用戶對信息安全的重視程度不夠,用戶在信息保護、信息安全風險防范方面的能力遠不能達到實際的工作要求,尤其是在信息安全行為方面存在較為嚴重風險行為,醫(yī)務工作者需要提高保護個人隱私信息的能力和意識,否則將在不經(jīng)意的情況下,侵犯或泄漏醫(yī)療信息資料。同時,應通過增強信息系統(tǒng)安全性、建立相應的管理制度、加強培訓宣傳、規(guī)范工作流程以及用戶操作行為等措施,提高信息系統(tǒng)的安全性。

3.2信息安全干預措施有效提升了用戶的信息安全素養(yǎng)水平

通過實施一系列的干預措施,干預組的信息安全總體素養(yǎng)、信息安全知識、信息安全動機、信息安全角色認知在干預前后的差異具有統(tǒng)計學意義,均有了顯著的提高,但信息安全行為干預前后沒有顯著的變化,知識、動機、認知的提高沒有明顯的轉(zhuǎn)化為具體行為的改善,后期應注重在提高知識、動機、認知的同時注重行為的強化和培養(yǎng)。對照組用戶的信息安全素養(yǎng)總體水平以及信息安全知識、信息安全動機、信息安全角色認知、信息安全行為等幾方面水平在基線和終末調(diào)查中均沒有明顯的變化,可見對系統(tǒng)用戶通過多途徑的實施具有針對性的信息安全干預措施能有效提高用戶的信息安全素養(yǎng)水平。

3.3組織管理制度的完善和系統(tǒng)安全設置要求的提升

干預結(jié)束后,通過梳理制定金山藥品物流管理系統(tǒng)安全管理制度,對管理網(wǎng)絡、組織分工、賬戶管理、數(shù)據(jù)流通等方面作了詳盡的規(guī)定。根據(jù)管理制度的規(guī)定[12],通過系統(tǒng)運維人員在密碼策略、用戶權(quán)限、賬戶清理等方面從系統(tǒng)方面進行了設置和強制性要求。在信息安全素養(yǎng)干預手段沒有有效發(fā)揮作用的部分,通過制度約束和技術(shù)手段強制,彌補了信息安全教育、培訓等手段的不足,實現(xiàn)金山區(qū)藥品物流管理系統(tǒng)安全性的全面提升。

3.4小結(jié)

篇3

大數(shù)據(jù)時代信息安全面臨挑戰(zhàn)

在大數(shù)據(jù)時代,無處不在的智能終端、隨時在線的網(wǎng)絡傳輸、互動頻繁的社交網(wǎng)絡使得互聯(lián)網(wǎng)時時刻刻都在產(chǎn)生著海量的數(shù)據(jù)。隨著產(chǎn)生、存儲、分析的數(shù)據(jù)量越來越大,在這些海量數(shù)據(jù)背后隱藏著大量的經(jīng)濟與政治利益。大數(shù)據(jù)如同一把雙刃劍,在我們享受大數(shù)據(jù)分析帶來的精準信息的同時,其所帶來的安全問題也開始成為企業(yè)的隱患。

1、黑客更顯著的攻擊目標:在網(wǎng)絡空間里,大數(shù)據(jù)是更容易被“發(fā)現(xiàn)”的大目標。一方面,大數(shù)據(jù)意味著海量的數(shù)據(jù),也意味著更復雜、更敏感的數(shù)據(jù),這些數(shù)據(jù)會吸引更多的潛在攻擊者。另一方面,數(shù)據(jù)的大量匯集,使得黑客成功攻擊一次就能獲得更多數(shù)據(jù),無形中降低了黑客的攻擊成本,增加了其“收益率”。

2、隱私泄露風險增加:大量數(shù)據(jù)的匯集不可避免地加大了用戶隱私泄露的風險。一方面,數(shù)據(jù)集中存儲增加了泄露風險,而這些數(shù)據(jù)不被濫用,也成為人身安全的一部分。另一方面,一些敏感數(shù)據(jù)的所有權(quán)和使用權(quán)并沒有明確界定,很多基于大數(shù)據(jù)的分析都未考慮到其中涉及的個體隱私問題。

3、威脅現(xiàn)有的存儲和防護措施:大數(shù)據(jù)存儲帶來新的安全問題。數(shù)據(jù)大集中的后果是復雜多樣的數(shù)據(jù)存儲在一起,很可能會出現(xiàn)將某些生產(chǎn)數(shù)據(jù)放在經(jīng)營數(shù)據(jù)存儲位置的情況,致使企業(yè)安全管理不合規(guī)。大數(shù)據(jù)的大小也影響到安全控制措施能否正確運行。安全防護手段的更新升級速度無法跟上數(shù)據(jù)量非線性增長的步伐,就會暴露大數(shù)據(jù)安全防護的漏洞。

4、大數(shù)據(jù)技術(shù)成為黑客的攻擊手段:在企業(yè)用數(shù)據(jù)挖掘和數(shù)據(jù)分析等大數(shù)據(jù)技術(shù)獲取商業(yè)價值的同時,黑客也在利用這些大數(shù)據(jù)技術(shù)向企業(yè)發(fā)起攻擊。黑客會最大限度地收集更多有用信息,比如社交網(wǎng)絡、郵件、微博、電子商務、電話和家庭住址等信息,大數(shù)據(jù)分析使黑客的攻擊更加精準。此外,大數(shù)據(jù)也為黑客發(fā)起攻擊提供了更多機會。黑客利用大數(shù)據(jù)發(fā)起僵尸網(wǎng)絡攻擊,可能會同時控制上百萬臺傀儡機并發(fā)起攻擊。

5、成為高級可持續(xù)攻擊的載體:傳統(tǒng)的檢測是基于單個時間點進行的基于威脅特征的實時匹配檢測,而高級可持續(xù)攻擊(APT)是一個實施過程,無法被實時檢測。此外,由于大數(shù)據(jù)的價值低密度特性,使得安全分析工具很難聚焦在價值點上,黑客可以將攻擊隱藏在大數(shù)據(jù)中,給安全服務提供商的分析制造很大困難。黑客設置的任何一個會誤導安全廠商目標信息提取和檢索的攻擊,都會導致安全監(jiān)測偏離應有方向。

6、信息安全產(chǎn)業(yè)面臨變革:大數(shù)據(jù)的到來也為信息安全產(chǎn)業(yè)的發(fā)展帶來了新的契機,還沒有意識到這場變革的安全廠商將在這場變革大潮中被拋棄。大數(shù)據(jù)正在為安全分析提供新的可能性,在未來的安全架構(gòu)體系中,通過大數(shù)據(jù)智能分析有效的將原來分割的安全產(chǎn)品更好的融合起來,成為不同的安全智能節(jié)點,這將是在大數(shù)據(jù)時代安全產(chǎn)業(yè)需要研究突破的重點。

RSA信息安全智能分析平臺解析

日前,EMC信息安全事業(yè)部RSA宣布推出了RSA信息安全智能分析平臺,該平臺基于RSA NetWitness成熟的技術(shù)架構(gòu),并將SIEM、網(wǎng)絡取證(Network Forensics)和大數(shù)據(jù)分析技術(shù)進行了融合,為信息安全專業(yè)人員提供了深度可視性,幫助他們察看和了解安全漏洞及安全攻擊,使安全風險一出現(xiàn)就能被發(fā)現(xiàn),因此顯著節(jié)省了時間,將查找時間從幾天縮短為幾分鐘。另外,通過幫助信息安全專業(yè)人員了解起源于企業(yè)內(nèi)部及外部的數(shù)字風險,企業(yè)還能更好地保護自己的資產(chǎn),包括知識產(chǎn)權(quán)以及其他敏感數(shù)據(jù),同時節(jié)省與安全威脅管理及法規(guī)遵從報告有關(guān)的時間和費用。

RSA信息安全智能分析平臺特性:

數(shù)據(jù)快速捕獲與分析:與信息安全相關(guān)的數(shù)據(jù),包括通過網(wǎng)絡傳送的完整數(shù)據(jù)包、日志和安全威脅情報,都能快速捕獲和分析,以加速對潛在安全威脅的檢測。

強大的分析能力:實現(xiàn)比基于SIEM的傳統(tǒng)安全方法大得多的數(shù)據(jù)采集規(guī)模,而且新的分析方法具有更強大的分析能力。

集成了應對安全威脅的智能性:幫助企業(yè)實現(xiàn)安全威脅情報供給的可操作性,以加速對指向企業(yè)的、潛在攻擊工具及方法的檢測和查找。

安全威脅的背景信息:通過與RSA Archer GRC平臺以及與RSA防數(shù)據(jù)丟失(DLP)套件的集成,還通過融合其他產(chǎn)品產(chǎn)生的數(shù)據(jù),分析人員可以利用業(yè)務背景信息,為造成最大風險的安全威脅優(yōu)先分配資源。

惡意軟件識別:該解決方案利用各種查找方法識別基于惡意軟件的攻擊,識別范圍大得多。

法規(guī)遵從報告自動化:通過良好的信息安全實踐,幫助實現(xiàn)法規(guī)遵從性。

成熟的大數(shù)據(jù)平臺及分析方法與信息安全工具相集成,使信息安全保障方式取得了極大的進步。正如所開發(fā)的那樣,RSA信息安全智能分析平臺整合了無與倫比的可視性,可利用大數(shù)據(jù)平臺及先進的分析方法,識別高風險活動、降低高級安全威脅風險并滿足法規(guī)遵從要求。

大數(shù)據(jù)安全未來趨勢展望

據(jù)MacDonald預測,到2016年,40%的企業(yè)(銀行、保險、醫(yī)藥和國防行業(yè)為主)將積極地對至少10TB數(shù)據(jù)進行分析,以找出潛在危險的活動。然而,供應商的產(chǎn)品格局卻無法在短期內(nèi)進行轉(zhuǎn)變。現(xiàn)在,企業(yè)通常依賴于SIEM系統(tǒng)來關(guān)聯(lián)和分析安全相關(guān)的數(shù)據(jù),MacDonald表示目前的SIEM產(chǎn)品無法處理這么大的工作量,大多數(shù)SIEM產(chǎn)品提供接近實時數(shù)據(jù),但只能處理規(guī)范化數(shù)據(jù),還有些SIEM產(chǎn)品能夠處理大量原始交易數(shù)據(jù),但無法提供實時情報信息。

Gartner公司分析師表示,使用“大數(shù)據(jù)”來提高企業(yè)信息安全不完全是炒作,這在未來幾年內(nèi)這將成為現(xiàn)實。大數(shù)據(jù)將為安全團隊帶來新的工作方式,通過了解大數(shù)據(jù)的優(yōu)勢、制定切合實際的目標以及利用現(xiàn)有安全技術(shù)的優(yōu)勢,安全管理人員將會發(fā)現(xiàn)他們在大數(shù)據(jù)進行的投資是值得的。

篇4

1.1政府和行業(yè)對互聯(lián)網(wǎng)信息安全重視程度增加

隨著近些年來網(wǎng)絡信息安全問題的不斷發(fā)酵,網(wǎng)絡安全問題已經(jīng)拓展到國家安全的角度,國家的重視度不斷增加?,F(xiàn)在,國家網(wǎng)絡安全的行業(yè)進入了一個加速發(fā)展的時代,網(wǎng)絡安全對政治商業(yè)和經(jīng)濟等利益都有較大的影響,因此,網(wǎng)絡安全行業(yè)的發(fā)展已經(jīng)到了存量和增量大幅增加的階段。從政府方面來講,政府正在加大加國產(chǎn)硬件和軟件及一些安全軟件的采購力度,逐步提升企事業(yè)單位的IT基礎設施建設和網(wǎng)絡防御能力;從企事業(yè)單位的方面來講,我們用于信息安全的投資明顯的低于世界平均水平。現(xiàn)在,各類網(wǎng)絡安全問題的出現(xiàn)及一些商業(yè)機密泄露等事件敲響了企事業(yè)單位安全意識的警鐘,企事業(yè)但是開始強化數(shù)據(jù)保護和提高安全防御措施。

1.2互聯(lián)網(wǎng)犯罪猖獗

現(xiàn)在網(wǎng)絡違法犯罪活動愈發(fā)猖獗。一些不法分子利用互聯(lián)網(wǎng)進行各種各樣的違法犯罪活動,如賭博、詐騙、撒播謠言、竊密盜竊等不法活動,還有通過互聯(lián)網(wǎng)攻擊竊取數(shù)據(jù)和機密等的犯罪活動。這些通過互聯(lián)網(wǎng)進行的違法犯罪不僅危害了公民的合法權(quán)益,而且破壞了國家的安全和社會的穩(wěn)定。

1.3網(wǎng)絡安全產(chǎn)業(yè)有很大的發(fā)展空間

伴隨著大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等技術(shù)的快速應用,互聯(lián)網(wǎng)已經(jīng)影響到我們生活的方方面面,而網(wǎng)絡安全產(chǎn)業(yè)也面臨著新的機遇和挑戰(zhàn)。為了保證國家的網(wǎng)絡安全,要不斷發(fā)展有自主知識產(chǎn)權(quán)的網(wǎng)絡安全產(chǎn)品?,F(xiàn)在由于互聯(lián)網(wǎng)的核心的設施、技術(shù)還有比較高端的服務還是主要依賴于國外的進口,在操作系統(tǒng)使用、專用芯片制造和大型應用軟件開發(fā)等方面都存在著嚴重的安全的隱患。因此,具有自主知識產(chǎn)權(quán)的網(wǎng)絡安全產(chǎn)品和產(chǎn)業(yè)有非常廣闊的發(fā)展空間和發(fā)展前景。

1.4互聯(lián)網(wǎng)信息安全研究成為熱點

現(xiàn)在可穿戴設備、智能終端等設備的應用非常廣泛,信息安全問題是現(xiàn)在互聯(lián)網(wǎng)技術(shù)研究的熱點問題,隨著研究的深入進行和技術(shù)的不斷發(fā)展,會幫助解決互聯(lián)網(wǎng)在安全方面所遇到的問題?,F(xiàn)在已經(jīng)有很多的高校將互聯(lián)網(wǎng)信息安全作為專門的課程開設,這也有助于我國互聯(lián)網(wǎng)信息安全研究的發(fā)展。

2加強我國互聯(lián)網(wǎng)信息安全對策

2.1發(fā)揮政府功能,強化法規(guī)建設,建立全國范圍內(nèi)的網(wǎng)絡安全協(xié)助機制

隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡安全受到巨大的威脅,針對這種情況,要加強公民的網(wǎng)絡安全教育工作,盡可能提升全民的網(wǎng)絡安全的基礎知識和水平,增強公民的“網(wǎng)絡道德”意識,保護我國網(wǎng)絡信息的安全。而且要進一步強化網(wǎng)絡立法以及執(zhí)法的能力,深化政府職能,完善法規(guī)建設,在全國范圍內(nèi)建立網(wǎng)絡安全協(xié)助的機制,這樣有助于協(xié)調(diào)全國網(wǎng)絡的安全運行。制定出網(wǎng)絡在建設階段和運行階段的安全級別的定義和安全行為的細則,安全程度的考核評定等標準化文本,分析網(wǎng)絡出現(xiàn)的攻擊手段,報告系統(tǒng)漏洞并給出“補丁”程序,并且對全國范圍內(nèi)協(xié)調(diào)網(wǎng)絡安全建設,另外,還要大力提高我國自主研發(fā),生產(chǎn)相關(guān)的應用系統(tǒng)與網(wǎng)絡安全的能力,用以代替進口產(chǎn)品。

2.2加大互聯(lián)網(wǎng)信息安全犯罪的打擊力度

目前,互聯(lián)網(wǎng)技術(shù)的發(fā)展速度已經(jīng)遠遠超越了網(wǎng)絡犯罪的立法速度,有一些立法對互聯(lián)網(wǎng)犯罪的處罰力度非常輕,還有一些互聯(lián)網(wǎng)犯罪活動并沒有相關(guān)的法律規(guī)定。這種情況對于加大網(wǎng)絡信息安全的打擊力度是非常不利的。因此,現(xiàn)在要加快對互聯(lián)網(wǎng)犯罪的立法工作,使得在處理互聯(lián)網(wǎng)犯罪的時候可以做到有法可依。近些年,國家加大了最互聯(lián)網(wǎng)的監(jiān)督和監(jiān)管力度,使得很多的互聯(lián)網(wǎng)犯罪活動能夠在較短的時間內(nèi)得到取證和解決,但是相對而言,公民的互聯(lián)網(wǎng)安全意思還是比較淡薄,因此,提高公民的互聯(lián)網(wǎng)安全意識也成了迫在眉睫需要解決的問題。

2.3加大網(wǎng)絡信息安全的宣傳和教育的工作

現(xiàn)今社會,互聯(lián)網(wǎng)已經(jīng)深入到生活的方方面面,互聯(lián)網(wǎng)正在改變著人們傳統(tǒng)的生活方式,人們的生活離不開互聯(lián)網(wǎng)??墒请S之而來的是計算機病毒、計算機犯罪、計算機黑客等問題,影響著人們對互聯(lián)網(wǎng)的正常和安全使用,更是影響到國家的經(jīng)濟發(fā)展和安全。因此,加大我國網(wǎng)絡信息安全的宣傳和教育工作是一件非常急迫的事情,通過不斷提高公民的網(wǎng)絡安全意識,能夠有效避免一些網(wǎng)絡犯罪的發(fā)生,并且對提高我國整體網(wǎng)絡安全有很大的幫助。要不斷的通過電視、網(wǎng)絡、報紙等多種媒體進行網(wǎng)絡安全知識的宣傳,讓網(wǎng)絡安全意識深入人心。

2.4建立互聯(lián)網(wǎng)的信息安全預警和應急保障制度

重點加強對全社會信息安全問題的統(tǒng)籌安排,對信息安全工作責任制要不斷深化細化;加強重點信息領(lǐng)域的安全保障工作,推動信息安全等工作的開展、要把安全測評、應急管理等信息安全基本制度落到實處;加快推進網(wǎng)絡與信息安全應急基礎平臺建設;提升信息安全綜合監(jiān)管和服務水平,積極應對信息安全新情況、新問題,針對云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新技術(shù)、新應用開展專項研究,建立信息安全風險評估和應對機制;建立統(tǒng)一的網(wǎng)絡信任體系、信息安全測評認證平臺、電子政務災難備份中心等基礎設施等,力求對信息安全保障工作形成更強的基礎支撐。

2.5技術(shù)防護安全策略

技術(shù)防護是確保網(wǎng)站信息安全的有力措施,在技術(shù)防護上,主要做好以下幾方面工作:一是要加強網(wǎng)絡環(huán)境安全;二是加強網(wǎng)站平臺安全管理;三是加強網(wǎng)站代碼安全;四是加強數(shù)據(jù)安全。

3結(jié)語

篇5

關(guān)鍵詞:地市煙草;網(wǎng)絡安全;技術(shù);管理

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2014) 02-0000-02

煙草行業(yè)自1985年有了第一臺計算機以來,經(jīng)過20多年行業(yè)信息化工作者孜孜不倦的努力,行業(yè)的信息化建設工作取得了長足的發(fā)展,建立了涵蓋行業(yè)各個方面工作的完備的信息網(wǎng)絡,為行業(yè)工作的便捷開展提供了可靠的信息化助力,為“卷煙上水平”做出了應有的貢獻。但不可否認的是,在信息化建設之初,由于經(jīng)驗的缺乏及技術(shù)的限制,沒有形成一個具有遠見性及科學性,能與行業(yè)整體業(yè)務發(fā)展戰(zhàn)略緊密融合的信息網(wǎng)絡安全建設戰(zhàn)略,導致多年來行業(yè)信息網(wǎng)絡安全建設工作缺乏統(tǒng)一的導向和組織,雖然各省煙草公司都制定并出臺了計算機網(wǎng)絡建設與管理規(guī)范,指導各地市的信息網(wǎng)絡建設,但因為制度出臺時間較短,及網(wǎng)絡改造需要流程與時間,可以說目前各地市網(wǎng)絡安全建設水平仍不夠理想,信息網(wǎng)絡安全建設發(fā)展至今,越來越多的困難與矛盾開始逐漸凸顯。

一、地市煙草公司信息網(wǎng)絡安全建設現(xiàn)狀

地市煙草信息網(wǎng)絡是構(gòu)成全省煙草信息網(wǎng)絡的個體,因此地市信息網(wǎng)絡安全建設水平便直接關(guān)系全省信息網(wǎng)絡建設水平,是構(gòu)成全省信息網(wǎng)絡安全建設的一環(huán),就像構(gòu)成木桶的一板,依據(jù)管理學上“木桶效應”的短板理論,木桶的盛水量由構(gòu)成木桶的最短的一板決定,當有一個地市信息網(wǎng)絡安全建設水平大大低于平均水平,就將大大拉低全省煙草信息網(wǎng)絡整體安全防護水平。可以說全省煙草的信息網(wǎng)路安全建設必將是環(huán)環(huán)相扣的,一環(huán)均不得松懈,一環(huán)均不得落后。

地市信息網(wǎng)絡安全建設關(guān)系到全行業(yè)主干的網(wǎng)絡的安全與穩(wěn)定,而信息網(wǎng)絡環(huán)境的復雜性、多變性以及系統(tǒng)的脆弱性、開放性和易受攻擊性,決定了信息網(wǎng)絡安全威脅的客觀存在。當行業(yè)人員在享受著信息網(wǎng)絡給日常辦公帶來便利性的同時,信息網(wǎng)絡安全問題也日漸突出,信息網(wǎng)絡安全建設形勢日益嚴峻。結(jié)合地市煙草實際情況分析總結(jié)(某地市煙草信息網(wǎng)絡安全結(jié)構(gòu)圖如下),以及筆者日常的實際工作體會,主要可以總結(jié)出當前地市煙草信息網(wǎng)絡安全建設還主要存在著以下幾方面問題:

(一)將信息網(wǎng)絡安全建設理解為單純的安全設備采購

經(jīng)過多年的信息化網(wǎng)絡安全建設投入,一種簡單的理念容易令一些行業(yè)信息化工作從業(yè)者產(chǎn)生誤解,即所謂的信息網(wǎng)絡安全建設就是網(wǎng)絡安全設備的采購,只要網(wǎng)絡安全設備采購部署到位,信息網(wǎng)絡安全便高枕無憂,從一定角度來說,這種觀點并沒有錯誤,隨著信息技術(shù)的發(fā)展,日益先進強大的網(wǎng)絡安全設備層出不窮,人性化的操作界面也使得設備使用與配置變得不再困難,對信息網(wǎng)絡安全起到很好的保障。各地市煙草公司也在逐年增加著安全設備的采購數(shù)量,網(wǎng)絡安全隨著安全設備的增加看起來已經(jīng)不再是問題。但實際情況是這樣嗎?在實際情況中我們?nèi)匀粫l(fā)現(xiàn),地市煙草在重視網(wǎng)絡安全設備采購的時卻較為忽視對網(wǎng)絡安全設備采購的前期規(guī)劃,導致亟需網(wǎng)絡設備沒有得到采購,或者采購的安全設備沒有得到很好的實施。造成重復投資及資產(chǎn)浪費的局面,同時設備上線實施后期的運行維護及更新升級,隨著時間的流逝,人為的懈怠與忽視,都導致購買的安全設備沒有起到最大的作用。

(二)信網(wǎng)絡安全建設偏重技術(shù)鉆研,忽略日常管理

信息網(wǎng)絡安全不能完全依賴技術(shù)手段來解決,更多的需要從信息安全日常管理上入手,畢竟信息網(wǎng)絡的使用者是人,只有對人的管理到位,才能保證在技術(shù)手段搭建的網(wǎng)絡安全保障平臺下不出現(xiàn)人為操作引發(fā)的漏洞。當前地市信息化工作從業(yè)者在對信息安全技術(shù)鉆研方面投以了很大的熱情,但對信息網(wǎng)絡安全日常管理方面卻顯得無能為力,或者說掌控能力還不夠,雖然制定并頒布了涵蓋網(wǎng)絡安全各方面的信息化制度,但相關(guān)制度卻沒有得到很好的貫徹執(zhí)行,很多制度名存實亡,而行業(yè)各級員工良好信息網(wǎng)絡安全使用習慣始終沒有得到養(yǎng)成,信息安全問責機制得不到很好實施,同時而信息中心作為相關(guān)信息安全管理制度的制定者,受限于部門職能及自身管理水平所限,導致對制度執(zhí)行的監(jiān)督管理能力低下。而在信息網(wǎng)絡安全管理不力的情況下,致使再強大的技術(shù)防護都無法避免管理缺失形成的隱患。

(三)信息網(wǎng)絡安全建設重視對外防護,忽視對內(nèi)防護

當前網(wǎng)絡安全建設更多的針對外來攻擊的防護,而忽視對內(nèi)的安全防護,更多的是在網(wǎng)絡邊界搭設安全設備抵御從外部而來的非法入侵及非法訪問,而針對內(nèi)部終端用戶的審計及跟蹤則較為缺失。根據(jù)統(tǒng)計結(jié)果標明,99.9%的網(wǎng)絡安全事件來源于網(wǎng)絡內(nèi)部,而只有0.1%安全事件來自于外部,絕大多網(wǎng)絡安全事件來自于以內(nèi)部客戶端為跳板進行的網(wǎng)絡攻擊。當企業(yè)內(nèi)部存在有惡意的攻擊者,他們就能較好的規(guī)避防火墻等安全設備的安全策略,并把安全策略轉(zhuǎn)向?qū)τ谒麄冇欣囊幻?,對?nèi)部網(wǎng)絡進行攻擊。同時外部的黑客,也能通過木馬,能讓內(nèi)部用戶運行他們指定的程序,操縱主機,竊取數(shù)據(jù),這些都源于當前的信息網(wǎng)絡建設對來自網(wǎng)絡內(nèi)部攻擊防護較為薄弱,同時對內(nèi)部網(wǎng)絡準入控制把控力度做得較為不足,雖部署有桌面終端管理系統(tǒng),但在相應策略部署上,沒有及時到位,而該系統(tǒng)特殊的技術(shù)阻斷方式,也在一定程度容易導致其阻斷率無法達到100%。

(四)網(wǎng)絡安全建設應急機制不健全

目前地市信息網(wǎng)絡安全建設更多的是重視的日常安全巡檢等日常檢查工作,但是對網(wǎng)絡突發(fā)事件的應急處置則較為欠缺,地市網(wǎng)絡安全建設應急機制建立不健全,缺乏相應網(wǎng)絡事故應急預案及相關(guān)演練,對突況的應變不熟練,導致出現(xiàn)突發(fā)的網(wǎng)絡安全事故時則會變得手忙腳亂,無法很好應對突發(fā)事件帶來的異常,促使事故造成的損失愈發(fā)嚴重,同時沒有良好的容災備份機制,一旦信息安全事故發(fā)生,是否能快速有效的恢復關(guān)鍵數(shù)據(jù)成為疑問。

二、針對當前網(wǎng)絡安全建設現(xiàn)狀的一些建議

針對當前地市煙草信息網(wǎng)絡安全建設過程中存在的問題,通過一定的分析總結(jié),參照最新的技術(shù)規(guī)范及管理理念,以及上級的制度規(guī)定,我們試提出以下幾條改進建議,以達到全面提升信息網(wǎng)絡安全建設實用性、科學性、全面性、穩(wěn)定性的效果,具體如下:

(一)加強網(wǎng)絡安全設備采購的前期規(guī)劃及合理配置實用

網(wǎng)絡安全設備的采購應加強前期規(guī)劃及需求分析工作,不能無目的,無原則的一味追求高新設備,當前的現(xiàn)狀是各地市對網(wǎng)絡安全的設備采購均存在著檔次及匹配性問題,存在過大及追高的弊病,形成投資浪費,同時由于項目管控能力較弱,前期規(guī)劃不足,購置的設備在配置實施后等不到很好的使用,或起不到原先預想的效果。因此要加強項目前期規(guī)劃,做好需求調(diào)研與需求分析工作,對網(wǎng)絡安全設備應起到的效果及采購設備級別有準確的預估,加強采購項目的整體實施管控,并重點關(guān)注設備采購后的實施上線工作,做好安全策略的制定和部署,要充分利用設備、活用設備,充分達到應起的效用,在設備正式上線運行后,要做好安全防護策略的及時更新與修訂,作好安全設備的日常巡檢工作,保證安全設備始終發(fā)揮作用,而不是上線運行一段時間后就閑置不管。通過對購置網(wǎng)絡安全設備活用、善用,提升資產(chǎn)投資價值,搭建堅固穩(wěn)妥信息網(wǎng)絡安全環(huán)境,促進信息網(wǎng)絡安全建設的實用性。

(二)建立完善的信息網(wǎng)絡安全日常管理體系

加強網(wǎng)絡安全建設的日常管理工作,應以培養(yǎng)員工的良好的網(wǎng)絡安全習慣為工作重點。所謂信息網(wǎng)絡安全建設“三分技術(shù),七分管理”,管理到位,信息網(wǎng)絡安全建設也將事半功倍。一味單純的依靠技術(shù)進行網(wǎng)絡安全防護,而管理上存在漏洞,再強大的技術(shù)也將一無所用。好的技術(shù),加上完善嚴密的管理,才能確保信息網(wǎng)絡安全、堅固、穩(wěn)妥。因此要注重建立完善信息安全管理保障體系,加強安全監(jiān)管和信息安全等級保護工作,要對網(wǎng)絡設備的安全性和信息安全專用產(chǎn)品實行強制認證。同時在加強對員工日常信息安全理念培訓的同時,要與接入網(wǎng)內(nèi)的計算機終端使用者簽訂信息安全責任狀,樹立“誰使用、誰負責”、“誰管理、誰負責”的信息安全理念,嚴格落實信息安全責任制,確保員工不敢輕易觸碰信息安全底限,養(yǎng)成良好信息網(wǎng)路安全使用習慣。通過建立全面多級信息網(wǎng)絡安全管理體系,增進信息網(wǎng)絡建設的科學性。

(三)加強信息網(wǎng)絡安全建設對內(nèi)防護工作

地市公司目前均在互聯(lián)網(wǎng)出口及邊界架設了硬件防火墻等安全設備,但由于防火墻的特殊技術(shù)架構(gòu),其對內(nèi)部通過防火墻外部的數(shù)據(jù)是不進行檢測的,這就導致黑客可以利用內(nèi)網(wǎng)主機上的后門程序,建立隱蔽信道,攻破防火墻,因此其在抵御外部攻擊上起到較好作用,但面對來自網(wǎng)絡內(nèi)部的攻擊就顯得束手無策,針對這一情況,在進行信息網(wǎng)絡安全建設的同時,應重點加強信息網(wǎng)絡安全的內(nèi)部防護工作,而加強對客戶端的上網(wǎng)行為審計及網(wǎng)絡準入控制,就成了加強信息網(wǎng)絡內(nèi)部安全建設的必然選擇??蛻舳私尤刖W(wǎng)絡的同時,通過對其安全狀況及授權(quán)情況進行檢測,只有安全狀況符合要求,得到合理授權(quán)的客戶端才能正常接入辦公網(wǎng)絡。應在互聯(lián)網(wǎng)出口處,防火墻之前,部署上網(wǎng)行為管理設備,對客戶端出互聯(lián)網(wǎng)的數(shù)據(jù)進行檢測及篩選,降低客戶端進行危險的互聯(lián)網(wǎng)訪問,感染病毒,遭受攻擊的分險。通過加強信息網(wǎng)絡安全建設的內(nèi)部防護,提升信息網(wǎng)絡安全的全面性。

(四)加強信息網(wǎng)路安全建設應急機制建設及演練

要加強信息網(wǎng)絡安全建設的應急機制建設,加強應急預案的實施演練,增強對網(wǎng)絡安全突發(fā)事件的應急處理能力。每年應進行定期仿真度高的應急方案演練,模擬網(wǎng)絡安全事故發(fā)生時可能發(fā)生的情況,進行針對性演習。在方案演練前,要做好演練前期的方案策劃,演練過程的完全記錄,演練過后的總結(jié)分析工作。并以此來不斷改進現(xiàn)有的應急預案。同時應做好容災備份工作,進行關(guān)鍵網(wǎng)絡設備的冗余配置及重要數(shù)據(jù)庫的備份工作,確保發(fā)生突發(fā)事件后,能夠及時進行網(wǎng)絡及數(shù)據(jù)恢復工作,將突發(fā)事件帶來的影響降到最低,不過多的影響正常辦公業(yè)務的開展,確保信息網(wǎng)絡安全的穩(wěn)定性。

四、結(jié)束語

煙草是個比較特殊的行業(yè),在專賣體制下實行“統(tǒng)一領(lǐng)導?垂直管理?壟斷經(jīng)營”,處于一種行政限產(chǎn)型的壟斷狀態(tài)。行業(yè)的特殊性要求我們必須克服特殊體制帶來的缺陷,高效的開展行業(yè)信息化建設工作。地市信息網(wǎng)絡安絡,作為全省信息網(wǎng)絡的組成部分,其信息安全建設水平?jīng)Q定了全省信息網(wǎng)絡安全性與穩(wěn)定性,其重要性不言而喻,只有重視信息網(wǎng)絡安全建設,重視當前信息網(wǎng)絡安全建設過程中發(fā)現(xiàn)的問題,通過科學的規(guī)劃,合理的布局,周密的實施,去逐漸改變當前的不利局面,才能確保信息網(wǎng)絡安全建設的科學性、全面性、穩(wěn)定性與實用性,確保日常信息網(wǎng)絡的平穩(wěn)運轉(zhuǎn),為全行業(yè)的快速發(fā)展提供穩(wěn)定強大的信息化助力!

參考文獻:

[1]福建省煙草公司.計算機網(wǎng)絡建設與管理規(guī)范[Z].2012.

[2]盧昱,王宇.信息網(wǎng)絡安全控制[M].北京:國防工業(yè)出版社,2011.

篇6

關(guān)鍵詞:網(wǎng)絡信息安全狀況缺陷威脅對策建議

中圖分類號:TN711 文獻標識碼:A 文章編號:

網(wǎng)絡信息安全分為網(wǎng)絡安全和信息安全兩個層面。網(wǎng)絡安全包括系統(tǒng)安全,即硬件平臺、操作系統(tǒng)、應用軟件;運行服務安全,即保證服務的連續(xù)性、高效率;信息安全則是指對信息的精確性、真實性、機密性、完整性、可用性和效用性的保護。網(wǎng)絡信息安全是網(wǎng)絡賴以生存的根基,只有安全得到保障,網(wǎng)絡才能充分發(fā)揮自身的價值。

隨著計算機網(wǎng)絡技術(shù)的廣泛應用和飛速發(fā)展,計算機信息網(wǎng)絡已成為現(xiàn)代信息社會的基礎設施。它作為進行信息交流、開展各種社會活動的基礎工具,已深入到人們工作和生活當中。人類在盡情享受網(wǎng)絡信息帶來的巨大財富和便捷的同時,計算機網(wǎng)絡信息安全問題也隨之日益突出,安全問題已成為人們普遍關(guān)注的問題。

1、目前計算機網(wǎng)絡主要存在的缺陷:

1.1操作系統(tǒng)的漏洞――操作系統(tǒng)是一個復雜的軟件包,即使研究人員考慮的比較周密,但幾年來,發(fā)現(xiàn)在許多操作系統(tǒng)中存在著漏洞,漏洞逐漸被填補。操作系統(tǒng)最大的漏洞是I/O處理,I/O命令通常駐留在用戶內(nèi)存空間,任何用戶在I/O操作開始之后都可以改變命令的源地址或目的地址。由于系統(tǒng)已進行過一次存取檢查,因此在每次每塊數(shù)據(jù)傳輸時并不再檢查,僅只改變傳輸?shù)刂?。這種漏洞為黑客打開了方便之門。此外,操作系統(tǒng)還存在著其它漏洞。

1.2 TCP/IP協(xié)議的漏洞――TCP/IP協(xié)議應用的目的是為了在INTERNET上的應用,雖然TCP/IP是標準的通信協(xié)議。但設計時對網(wǎng)絡的安全性考慮的不夠完全,仍存在著漏洞。由于采用明文傳輸,在傳輸過程中攻擊者可以截取電子郵件進行攻擊,通過網(wǎng)頁中輸入口令或填寫個人資料也很容易劫持。另外TCP/IP協(xié)議以IP地址作為網(wǎng)絡節(jié)點的唯一標識,并沒有對節(jié)點上的用戶身份進行認證。這是導致網(wǎng)絡不安全的又一個原因。

1.3應用系統(tǒng)安全漏洞――WEB服務器和瀏覽器難以保障安全,最初人們引入CGI程序目的是讓主頁活起來,然而很多人在編CGI程序時對軟件包并不十分了解,多數(shù)人不是新編程序,而是對程序加以適當?shù)男薷?這樣一來,很多CGI程序就難免具有相同安全漏洞。

1.4網(wǎng)絡硬件的配置不協(xié)調(diào)。一是文件服務器。它是網(wǎng)絡的中樞,其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡系統(tǒng)的質(zhì)量。網(wǎng)絡的需求沒有引起足夠的重視,設計和選型考慮欠周密,從而使網(wǎng)絡功能發(fā)揮受阻,影響網(wǎng)絡的可靠性、擴充性和升級換代。二是網(wǎng)卡用工作站選配不當導致網(wǎng)絡不穩(wěn)定。

1.5安全管理的漏洞――由于缺少網(wǎng)絡管理員,信息系統(tǒng)管理不規(guī)范,不能定期進行安全測試、檢查,缺少網(wǎng)絡安全監(jiān)控等對網(wǎng)絡安全都產(chǎn)生威脅。

2、網(wǎng)絡信息安全主要面對的威脅:

2.1軟件漏洞:每一個操作系統(tǒng)或網(wǎng)絡軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地,一旦連接入網(wǎng),將成為眾矢之的。

2.2配置不當:安全配置不當造成安全漏洞,例如,防火墻軟件的配置不正確,那么它根本不起作用。對特定的網(wǎng)絡應用程序,當它啟動時,就打開了一系列的安全缺口,許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或?qū)ζ溥M行正確配置,否則,安全隱患始終存在。

2.3安全意識不強:用戶口令選擇不慎,或?qū)⒆约旱膸ぬ栯S意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡安全帶來威脅。

2.4病毒:目前數(shù)據(jù)安全的頭號大敵是計算機病毒,它是編制者在計算機程序中插入的破壞計算機功能或數(shù)據(jù),影響計算機軟件、硬件的正常運行并且能夠自我復制的一組 計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等 特點。因此,提高對病毒的防范刻不容緩。

2.5黑客:對于計算機數(shù)據(jù)安全構(gòu)成威脅的另一個方面是來自電腦黑客(backer)。電腦黑客利用系統(tǒng)中的安全漏洞非法進入他人計算機系統(tǒng),其危害性非常大。從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。

3、應采取的對策建議

3.1加快完善我國信息安全政策法規(guī)建設

3.1.1、進一步完善我國信息安全法律體系。適應新形勢變化,制定新的信息安全法律,規(guī)范網(wǎng)絡空間主體的權(quán)利和義務,尤其在打擊網(wǎng)絡犯罪、信息資源保護、信息資源和數(shù)據(jù)的跨國流動等方面加強立法,明確相關(guān)主體應當承擔的法律責任和義務,逐步構(gòu)建起信息安全立法框架。

3.1.2、建立完善的信息安全監(jiān)督管理制度體系。進一步加強信息安全等級保護工作,推進信息安全風險評估工作,建立有效的信息安全審查制度,對航空航天、石油石化、電力系統(tǒng)等重要領(lǐng)域中應用的核心技術(shù)和產(chǎn)品進行安全檢查和風險評估。

3.1.3、參考WTO規(guī)則制定我國信息安全行業(yè)管理規(guī)范。堅持政府引導,行業(yè)自律的原則,針對信息安全行業(yè)中個人隱私、惡意競爭等公眾比較關(guān)注的問題,加強行業(yè)管理規(guī)范和行業(yè)自律準則的制定和實施,規(guī)范信息安全企業(yè)的行為。

3.2加強我國信息安全保障體制機制建設

3.2.1、進一步加強網(wǎng)絡與信息安全協(xié)調(diào)小組對我國網(wǎng)絡安全的統(tǒng)一領(lǐng)導和協(xié)調(diào)職責,提高保障網(wǎng)絡安全、應對網(wǎng)絡犯罪、推動網(wǎng)絡應用和宣傳推廣等工作的協(xié)調(diào)能力,加強信息安全工作體制機制建設,建立運轉(zhuǎn)順暢、協(xié)調(diào)有力、分工合理、責任明確的信息安全管理體制。

3.2.2、逐步對各部委信息安全職能單位進行調(diào)整,打破現(xiàn)在各部門“分工負責、各司其職”的條塊方式,依據(jù)十“穩(wěn)步推進大部制改革”的指導精神,實現(xiàn)對信息安全部門的整合,成立“大信息安全機構(gòu)”。

3.2.3、成立國家級的信息安全支撐機構(gòu)――中國信息安全研究院,整合各方信息安全支撐機構(gòu),打造集信息安全政策、法規(guī)、標準、技術(shù)、產(chǎn)業(yè)研究為一體的支撐團隊,形成對信息安全領(lǐng)域重大問題、關(guān)鍵技術(shù)的持續(xù)研究能力,提高我國信息安全產(chǎn)業(yè)的核心競爭力。

3.3全面提升新興技術(shù)安全風險防護能力

一是加大對云計算、移動互聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新興技術(shù)研發(fā)的資金投入,加強核心技術(shù)攻關(guān),提高我國對新興技術(shù)的掌控能力,形成擁有自主知識產(chǎn)權(quán)的安全產(chǎn)業(yè)鏈條。二是加快網(wǎng)絡防護、入侵檢測、身份管理等信息安全關(guān)鍵技術(shù)研發(fā),并與新興技術(shù)結(jié)合起來,提高新興技術(shù)在應用過程的安全防護能力,如在基于PKI體系的電子認證技術(shù)基礎上,研發(fā)應用于云計算、移動互聯(lián)網(wǎng)等新興技術(shù)上的身份管理等安全防護技術(shù)。三是建立新興技術(shù)的信息安全預警機制,成立專門的機構(gòu)對新興技術(shù)的信息安全隱患進行分析和研究,并為公眾提供相關(guān)技術(shù)的使用指南或標準,對于關(guān)鍵領(lǐng)域或部門則應出臺強制性標準或規(guī)定,限制新興技術(shù)的使用方式和范圍,如國家應如何對掌控大量經(jīng)濟、地理等關(guān)鍵領(lǐng)域數(shù)據(jù)的企業(yè)進行管控,限制其對相關(guān)數(shù)據(jù)的使用權(quán)限和范圍等。 結(jié)語

網(wǎng)絡信息安全作為一項動態(tài)工程,它的安全程度會隨著時間的變化而發(fā)生變化。在信息技術(shù)日新月異的今天,我們需要隨著時間和網(wǎng)絡環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略。關(guān)于如何解決好網(wǎng)絡安全問題,網(wǎng)絡安全技術(shù)與工具是網(wǎng)絡安全的基礎,高水平的網(wǎng)絡安全技術(shù)隊伍是網(wǎng)絡安全的保證,嚴格的管理則是網(wǎng)絡安全的關(guān)鍵。我們要清醒認識到任何網(wǎng)絡安全和數(shù)據(jù)保護的防范措施都是有一定的限度,一勞永逸的網(wǎng)絡安全體系是不存在的。網(wǎng)絡安全需要我們每一個人的參與。

參考文獻:

【1】中國網(wǎng).2009年中國電腦病毒疫情及互聯(lián)網(wǎng)安全報告.2009年1月.

篇7

論文關(guān)鍵詞:政府;信息安全;信息安全人事管理

隨著我國信息化建設的不斷推進以及電子政務的持續(xù)發(fā)展,政府信息安全事故也頻頻發(fā)生。

資料表明,七成以上的政府信息安全事故是由政府內(nèi)部相關(guān)工作人員引發(fā)的。可見,在信息安全事件中起決定作用的是人,人是信息安全保障T作中最活躍的因素。信息安全人事管理是指以現(xiàn)代人力資源管理理論為基礎,從招聘選拔、人員培訓、人員使用、績效考核、人員激勵、離職管理等主要職能人手,對組織中信息安全人員進行科學管理、合理配置和有效開發(fā),籍以實現(xiàn)組織信息安全管理目標的活動。信息安全人事管理是信息安全管理的核心。作為信息安全保障的一個關(guān)鍵要素,信息安全人事管理的強化實施可以為政府搭建起一道牢固的“人力防火墻”。本文將現(xiàn)代人力資源管理相關(guān)理論與信息安全工作特點結(jié)合起來,發(fā)掘與提煉信息安全人事管理各主要職能具有特殊性與規(guī)律性的實務要點,以期為有關(guān)方面提供借鑒和參考。

一、信息安全人員招募與選拔

招募與選拔是政府信息安全人員的“入口”,直接影響到信息安全工作的質(zhì)量和效率。信息安全人員的招募與選拔實務應該把握以下要點:

1.從招募與選拔的標準上看,突出對個人品德及專業(yè)知識的要求。信息安全工作具有保密性、綜合性、層次性和規(guī)范性等特點,進而決定了信息安全從業(yè)人員具有諸多特殊性及要求:他們在工作中會接觸到關(guān)系國家及組織榮辱興衰、生死存亡的大量秘密,保守秘密是他們的基本職業(yè)道德;他們必須不斷學習,對自己的知識與能力進行“升級”,才能適應信息時代信息安全工作的需要;他們必須遵守更多的規(guī)定,而且在組織中具有明確的職責,不能越雷池半步。這些都表明,信息安全人員必須具有更高的品德修養(yǎng)。這對應聘者提出更高的標準及要求:必須具有很強的組織紀律性和保密意識;具有很強的團隊意識和合作精神,愿意為組織利益犧牲個人利益;具有長遠眼光和接納新事物的胸懷,不斷更新自身素質(zhì)。組織可以通過面試、心理測驗、背景審查等選拔方式考察應聘者的德行。此外,管理與技術(shù)是做好信息安全工作的兩大法寶,因此是否具備一定的信息安全管理與技術(shù)專業(yè)知識是信息安全人員招聘的另外一個主要標準。組織可以通過筆試來考察應聘者專業(yè)知識掌握的程度,并根據(jù)職位的不同定位來確定不同的考察重點。

2.從招募的途徑上看,在內(nèi)部招募和外部招募相結(jié)合的基礎上,突出內(nèi)部招募。內(nèi)部招募是指從組織內(nèi)部發(fā)現(xiàn)并培養(yǎng)所需要的各種人才,其方式包括內(nèi)部晉升、崗位輪換和返聘等;外部招募是指按照一定的標準和程序,從組織外部的眾多候選人中挑選符合空缺職位要求的人員,其方式包括人才招聘會與校園招聘等。內(nèi)部招募和外部招募各有優(yōu)劣,兩者結(jié)合起來可使招募效果最大化。由于信息安全工作的保密性要求,信息安全人員招募一般突出依賴內(nèi)部招募,這主要是為了人員安全可靠的考慮,確保信息安全人員的穩(wěn)定性。信息安全關(guān)鍵或領(lǐng)導職位出現(xiàn)空缺尤為如此。不過,由于當前我國政府信息安全人才仍舊匱乏,所以當內(nèi)部招募滿足不了組織用人需求時也適當考慮外部招募。招募非關(guān)鍵性信息安全人員時尤為如此。

3.從選拔的過程上看,尤為重視背景審查和保密協(xié)議簽訂兩個環(huán)節(jié)。一般單位選拔人員可能也進行背景審查,但不一定是必須的,或者審查的過程與結(jié)果不一定非常嚴格與仔細。與之不同的是,信息安全人員的選拔尤為重視背景審查這個環(huán)節(jié)。該環(huán)節(jié)不僅不可或缺,而且在審查的時間、內(nèi)容、過程、結(jié)果等方面比一般人員審查有更高的要求。其意義在于保證信息安全人員招聘的準確性與可靠性,并在“人口”或“源頭”上控制信息安全人事風險。例如,美國中央情報局聯(lián)邦調(diào)查局等部門在選拔關(guān)鍵涉密人員過程中經(jīng)常采用“心理測謊術(shù)”等高科技手段來對候選人進行審查,以確定候選人的誠實度、心理健康度或意志力等。此外,一旦候選人接受了工作,錄用合同就成為重要的安全手段。在合同中,組織可以將“政策認可”作為招聘的一個基本要求即在合同中附上一個保密協(xié)議,要求候選人在將來的工作甚至離職后的一段時間中,必須遵守組織相關(guān)保密規(guī)定,擔負起保障組織信息安全的責任,否則就會

二、信息安全人員培訓

信息安全人員培訓是通過各種方式幫助信息安全人員習得相關(guān)的知識、技能、觀念和態(tài)度的學習過程以及開發(fā)其潛能的各種活動。其實務要點包括:

1.從培訓原則看,堅持保密性原則和適時性原則。保密性原則是指信息安全人員的培訓要做好保密工作,特別是對于培訓內(nèi)容、時間和地點等,不可隨意泄露,以免引起不必要的麻煩。此外,適時性原則主要是為了順應當前信息安全科技發(fā)展迅猛、更新?lián)Q代速度加快而提出來的。信息安全人員培訓只有遵循適時性原則,才能使信息安全人員跟蹤本領(lǐng)域科技發(fā)展最新動態(tài),掌握最先進的知識與技能,以防止思想觀念陳舊與知識技能老化。

2.從培訓內(nèi)容看,側(cè)重于信息安全意識與信息安全知識與技能培訓。高度的信息安全意識是信息安全人員必須具備的基本素質(zhì)。信息安全意識貫穿于員工工作的始終,但是工作時間越長員工大多會出現(xiàn)倦怠,信息安全意識便會降低逐漸放松警惕,信息安全風險隨之倍增,所以加大信息安全意識培訓力度勢在必行。政府可以使用各種媒介進行宣傳,包括鼠標墊、水杯、鋼筆或在工作期間經(jīng)常使用的任何物體上,在這些物體上印制上安全標語,用來提醒員工注意安全如在鼠標墊上印上“BeSafe:Think BethreYouClick”,使信息安全人員在每天工作時都最先考慮信息安全,樹立自覺維護信息安全的意識。此外,信息安全行業(yè)的綜合性使得組織必須根據(jù)學用一致的原則,加強對信息安全人員進行信息安全知識與技能的培訓。只有不斷給員工“輸入”新觀念、新知識與新技術(shù),使其掌握信息安全的基本原理、要求和慣例,才能提高其技術(shù)與管理水平。

三、信息安全人員使用

信息安全人員使用是指組織通過各種人事政策,促使信息安全人員與信息安全工作兩者之間實現(xiàn)“人事相宜”、“人職匹配”等,以保障組織信息安全。信息安全人員使用實務要點是:

1.堅持責任分離和可監(jiān)控原則。責任分離是一種控制機制,用來減少一個人破壞信息安全,

威脅到信息的機密性、完整性和可用性的機會。其具體要求是:(1)明確信息安全系統(tǒng)中每個人的職責,要求“誰管理,誰負責”;(2)關(guān)鍵崗位的人員不得再兼任其他職位,嚴格控制使用兼職人員;(3)避免一個人從事某項信息安全行為或保管組織所有安全信息;(4)堅持崗位輪換原則,確保一個員工的工作有另一個員工進行審核;(5)重要的任務有兩人以上共同完成。此外,可監(jiān)控原則是對責任分離原則的量化,使組織能夠?qū)π畔踩藛T的工作內(nèi)容進行監(jiān)督,進行明確的審查。其具體要求包括:每位員工對所有的相關(guān)操作做好記錄,以便核查;重要的更改活動如更改配置,更新信息系統(tǒng)等,必須按層級權(quán)限申報,獲得批準后方可實施;沒有日期、沒有內(nèi)容、沒有人簽署而無法追查的活動,必須嚴格禁止。而且,由于員工非工作時間的種種表現(xiàn)也會影響信息安全,因此除了對員工在工作時間的表現(xiàn)進行監(jiān)督,還必須掌握其非工作時間的一些異常表現(xiàn)。

2.防范信息安全人事風險。信息安全人事風險是指由于組織內(nèi)信息安全人員的行為偏離組織期望和目標或違背客觀規(guī)律、越軌等給組織信息安全造成的損失或危害。它主要是由于信息安全人員的使用不當而導致破壞計算機系統(tǒng)、越權(quán)處理公務等所造成的危害。人是信息安全中最活躍的因素,因此預防由人為因素導致的信息安全風險是信息安全人事風險防范的重中之重。政府可以采取以下措施防范信息安全人事風險:首先通過培訓等方式,提高信息安全人員對信息安全人事風險的認識,增強防范意識;其次,健全人事管理周邊制度,如督察制度、處理與反饋制度、懲罰制度、反饋制度等,以實現(xiàn)對信息安全人事風險的全過程監(jiān)控。第,大力建設以人為本、誠實守信等有利于防范人事風險的文化氛圍,提高信息安全人員的免疫力。

四、信息安全人員績效考核

信息安全人員績效考核是指按照事先確定的信息安全工作目標及衡量標準,考察信息安全人員實際完成工作情況的過程。績效考核的結(jié)果是組織進行人事決策的基本依據(jù)。信息安全人員績效考核是確保人員安全的有效手段,并可以幫助員工提高工作績效,促進員工和組織共同發(fā)展。它包括以下實務要點:

1.從績效考核的原則上看,堅持重點考核與分級分類考核相結(jié)合。重點考核是指對于那些涉密程度深、安全等級高的關(guān)鍵崗位的人員定期進行考核。其目的在于保證重點崗位的重要信息安全。分級分類考核是按照組織中對于安全保護等級的劃分,制定不同的考核方法,有針對性地進行考核。2007年我國臺的《信息安全等級保護管理辦法》將信息安全分五級防護:第一級為自主保護級,第二級為指導保護級,第級為監(jiān)督保護級,第四級為強制保護級,第五級為??乇Wo級。很明顯,處于不同等級中的信息安全人員的職責與涉密程度是不一樣的,加上不同崗位上不同類型的人員,如系統(tǒng)主管人員、數(shù)據(jù)錄入人員、程序員等職責和要求也不同,岡此有必要遵循分級分類原則,避免“一刀切”的做法。

受到處罰。候選人只有在保密協(xié)議上簽字,承諾遵守相關(guān)政策,組織才能錄用。

二、信息安全人員培訓

信息安全人員培訓是通過各種方式幫助信息安全人員習得相關(guān)的知識、技能、觀念和態(tài)度的學習過程以及開發(fā)其潛能的各種活動。其實務要點包括:

1.從培訓原則看,堅持保密性原則和適時性原則。保密性原則是指信息安全人員的培訓要做好保密工作,特別是對于培訓內(nèi)容、時間和地點等,不可隨意泄露,以免引起不必要的麻煩。此外,適時性原則主要是為了順應當前信息安全科技發(fā)展迅猛、更新?lián)Q代速度加快而提出來的。信息安全人員培訓只有遵循適時性原則,才能使信息安全人員跟蹤本領(lǐng)域科技發(fā)展最新動態(tài),掌握最先進的知識與技能,以防止思想觀念陳舊與知識技能老化。

2.從培訓內(nèi)容看,側(cè)重于信息安全意識與信息安全知識與技能培訓。高度的信息安全意識是信息安全人員必須具備的基本素質(zhì)。信息安全意識貫穿于員工工作的始終,但是工作時間越長員工大多會出現(xiàn)倦怠,信息安全意識便會降低逐漸放松警惕,信息安全風險隨之倍增,所以加大信息安全意識培訓力度勢在必行。政府可以使用各種媒介進行宣傳,包括鼠標墊、水杯、鋼筆或在工作期間經(jīng)常使用的任何物體上,在這些物體上印制上安全標語,用來提醒員工注意安全如在鼠標墊上印上“BeSafe:Think BethreYouClick”,使信息安全人員在每天工作時都最先考慮信息安全,樹立自覺維護信息安全的意識。此外,信息安全行業(yè)的綜合性使得組織必須根據(jù)學用一致的原則,加強對信息安全人員進行信息安全知識與技能的培訓。只有不斷給員工“輸入”新觀念、新知識與新技術(shù),使其掌握信息安全的基本原理、要求和慣例,才能提高其技術(shù)與管理水平。

三、信息安全人員使用

信息安全人員使用是指組織通過各種人事政策,促使信息安全人員與信息安全工作兩者之間實現(xiàn)“人事相宜”、“人職匹配”等,以保障組織信息安全。信息安全人員使用實務要點是:

1.堅持責任分離和可監(jiān)控原則。責任分離是一種控制機制,用來減少一個人破壞信息安全,

威脅到信息的機密性、完整性和可用性的機會。其具體要求是:(1)明確信息安全系統(tǒng)中每個人的職責,要求“誰管理,誰負責”;(2)關(guān)鍵崗位的人員不得再兼任其他職位,嚴格控制使用兼職人員;(3)避免一個人從事某項信息安全行為或保管組織所有安全信息;(4)堅持崗位輪換原則,確保一個員工的工作有另一個員工進行審核;(5)重要的任務有兩人以上共同完成。此外,可監(jiān)控原則是對責任分離原則的量化,使組織能夠?qū)π畔踩藛T的工作內(nèi)容進行監(jiān)督,進行明確的審查。其具體要求包括:每位員工對所有的相關(guān)操作做好記錄,以便核查;重要的更改活動如更改配置,更新信息系統(tǒng)等,必須按層級權(quán)限申報,獲得批準后方可實施;沒有日期、沒有內(nèi)容、沒有人簽署而無法追查的活動,必須嚴格禁止。而且,由于員工非工作時間的種種表現(xiàn)也會影響信息安全,因此除了對員工在工作時間的表現(xiàn)進行監(jiān)督,還必須掌握其非工作時間的一些異常表現(xiàn)。

2.防范信息安全人事風險。信息安全人事風險是指由于組織內(nèi)信息安全人員的行為偏離組織期望和目標或違背客觀規(guī)律、越軌等給組織信息安全造成的損失或危害。它主要是由于信息安全人員的使用不當而導致破壞計算機系統(tǒng)、越權(quán)處理公務等所造成的危害。人是信息安全中最活躍的因素,因此預防由人為因素導致的信息安全風險是信息安全人事風險防范的重中之重。政府可以采取以下措施防范信息安全人事風險:首先通過培訓等方式,提高信息安全人員對信息安全人事風險的認識,增強防范意識;其次,健全人事管理周邊制度,如督察制度、處理與反饋制度、懲罰制度、反饋制度等,以實現(xiàn)對信息安全人事風險的全過程監(jiān)控。第,大力建設以人為本、誠實守信等有利于防范人事風險的文化氛圍,提高信息安全人員的免疫力。

四、信息安全人員績效考核

信息安全人員績效考核是指按照事先確定的信息安全工作目標及衡量標準,考察信息安全人員實際完成工作情況的過程。績效考核的結(jié)果是組織進行人事決策的基本依據(jù)。信息安全人員績效考核是確保人員安全的有效手段,并可以幫助員工提高工作績效,促進員工和組織共同發(fā)展。它包括以下實務要點:

1.從績效考核的原則上看,堅持重點考核與分級分類考核相結(jié)合。重點考核是指對于那些涉密程度深、安全等級高的關(guān)鍵崗位的人員定期進行考核。其目的在于保證重點崗位的重要信息安全。分級分類考核是按照組織中對于安全保護等級的劃分,制定不同的考核方法,有針對性地進行考核。2007年我國臺的《信息安全等級保護管理辦法》將信息安全分五級防護:第一級為自主保護級,第二級為指導保護級,第級為監(jiān)督保護級,第四級為強制保護級,第五級為??乇Wo級。很明顯,處于不同等級中的信息安全人員的職責與涉密程度是不一樣的,加上不同崗位上不同類型的人員,如系統(tǒng)主管人員、數(shù)據(jù)錄入人員、程序員等職責和要求也不同,岡此有必要遵循分級分類原則,避免“一刀切”的做法。

2.從績效考核的內(nèi)容上看,突出考核信息安全人員的道德品質(zhì)與工作事故情況,而且不僅考核工作時間內(nèi)的表現(xiàn),也考核工作時間外的表現(xiàn)。一般的組織在員工進行績效考核時,多依據(jù)“事后”的工作結(jié)果及業(yè)績,業(yè)績高則評價高,業(yè)績低則評價低。但是信息安全這一行業(yè)具有其特殊性,單純以“事后”的結(jié)果與業(yè)績作為考核標準,難免會在組織內(nèi)出現(xiàn)業(yè)績高、品德低以及不重視過程的人員,進而存組織內(nèi)埋下安全隱患,因此應突出考核信息安全人員在工作過程中所表現(xiàn)出來的道德品質(zhì)、心理素質(zhì)、忠誠度等。這些素質(zhì)是一個人的行為指向標,決定一個人的行為方向,其一般標準是責任心強、遵守職業(yè)道德、具有進取精神、作風正派、遵紀守法等。而且,由于信息安全工作對安全性要求明顯,岡此還要突出考核信息安全人員存工作過程中是否能恪盡職守,有無工作事故的發(fā)生。另外,必須通過日??己苏莆招畔踩ぷ魅藛T工作時間外的表現(xiàn),包括是否存在隨便與人交往問題,家庭關(guān)系是否和諧,生活作風是否正常,以及非工作行為是否怪異等等。

3.從績效考核的期間看,以平時考核為主。信息安全人員的工作由于涉及到安全問題,因此不能像一般丁作人員那樣以年終考核為主,而應突出平時考核以實現(xiàn)日常監(jiān)控,并達到天天、時時、秒秒不安全問題。基于此,信息安全人員績效考核可實施“月考”、“周考”,甚至“日考”,可以說,考核時間越短越有利于確保安全。安全問題無小事,若不重視平時考核,由此引發(fā)的哪怕是一眨眼功夫發(fā)生的事故,也有可能導致組織在安全上“功虧一簣”、“全盤皆輸”??己酥芷诙屉m然做起來麻煩,但“安全問題高于一切”,只要有利于保障信息安全,工作上“麻煩”一點是值得的。

五、信息安全人員激勵

信息安全人員激勵的關(guān)鍵是調(diào)動工作積極性,激發(fā)信息安全人員的潛能去實現(xiàn)工作目標,實務要點包括:

1.重視滿足歸屬、人際交往與尊重的需要。內(nèi)容型激勵理論認為,組織滿足員工的歸屬、人際交往與尊重等需要可以激勵員工努力工作。而信息安全人員,特別是關(guān)鍵涉密人員的工作基本上是單調(diào)、枯燥、責任重大的,他們經(jīng)常需要長時間值班或加班,長期處于全封閉或半封閉式的環(huán)境中,在單位及花在工作上的時間要比常人多得多,生活及社交空間相對狹小,所以組織更要設法滿足其歸屬、人際交往與尊重的需要,而這主要依靠在單位及崗位上與領(lǐng)導或同事之間的相互溝通與關(guān)愛中得以實現(xiàn)。因此,組織必須創(chuàng)設關(guān)系融洽、和諧的工作氛圍,建立良好的上下級與同事關(guān)系,多關(guān)心、愛護、支持信息安全人員,以滿足他們歸屬等需要,激發(fā)他們的工作積極性。

2.強化目標激勵。過程型激勵理論認為,明確而可行的工作目標可以牽引員工積極付出行動以實現(xiàn)目標。由于信息安全工作責任重、壓力大,同時又相對封閉與單調(diào),容易導致信息安全人員產(chǎn)生工作倦怠和目標迷失等不良現(xiàn)象,進而影響到他們職業(yè)發(fā)展與組織目標的實現(xiàn)。對此,應幫助信息安全人員樹立合理可行的工作目標,特別要通過引導他們認識到自己所從事工作的光榮與神圣,進而激勵他們努力干好信息安全工作,以此獲得職業(yè)發(fā)展與心理滿足等。

六、信息安全人員離職管理

篇8

在本人參加工作半年多時間來,受到領(lǐng)導和各位前輩多方面的關(guān)心和照顧,在工作上亦受到了無微不至的指導,幫助我快速的勝任崗位。

風險管理部是負責**支行全面風險管理政策的落實,監(jiān)測、評價和控制的綜合管理部門,是風險和內(nèi)控的日常管理職責部門。本人任職的綜合統(tǒng)計崗,主要負責對本行信貸資產(chǎn)風險狀況和風險分類的統(tǒng)計、分析和管理;負責全行信貸數(shù)據(jù)動態(tài)管理、分析。

在實際工作中,本人主要完成以下幾個方面的:信貸手工臺帳的錄入與核對,對實際發(fā)生的信貸業(yè)務明細進行動態(tài)掌控、分析和管理,以便于及時準確的獲得各項信貸統(tǒng)計數(shù)據(jù);對**支行運行的老信貸系統(tǒng)進行維護和管理,對各部辦錄入的數(shù)據(jù)及報表進行統(tǒng)計及分析;提供**行各項信貸資產(chǎn)數(shù)據(jù)及明細,完成四級分類和五級分類的統(tǒng)計工作和分析工作;月度為行領(lǐng)導以及計財處、公司部、個金部提供同業(yè)經(jīng)營情況的詳細數(shù)據(jù);月度、季度、年度,獨立的或配合辦公室、計財處等部門對外提供各項信貸數(shù)據(jù)報表。此外,我行新設了信息安全員一崗,本人即任風險管理部信息安全員,負責部門電腦網(wǎng)絡信息安全的維護。

進入**銀行半年多時間來,在領(lǐng)導和前輩的關(guān)心照顧下,本人抱著謙虛好學的態(tài)度努力工作,積極學習業(yè)務知識、掌握操作技能、適應工作崗位,基本能較好的完成本職工作和領(lǐng)導交辦的其他工作。本人是剛畢業(yè)的理科本科學生,踏上工作崗位接觸全新的銀行工作,面臨著全新的挑戰(zhàn),這個過程不僅是專業(yè)的換位,更是一種思考方式和學習方法的換位,在綜合統(tǒng)計崗位上,領(lǐng)導和前輩的關(guān)心指導使本人認識到,嚴謹?shù)膽B(tài)度、正確的方法、積極的溝通、努力的思考,才能獲得最準確的統(tǒng)計數(shù)據(jù)和最高的工作效率。也正是銀行業(yè)這種對我而言全新的工作,提供給我一個全新的學習機會,在**優(yōu)良的成長環(huán)境下使我能夠養(yǎng)成在每一天的工作生活中不斷學習和獲取新的知識,努力了解銀行業(yè)、金融業(yè)的運行規(guī)律,把所學所悟的點點滴滴運用到實際工作崗位工作中。

篇9

在本人參加工作半年多時間來,受到領(lǐng)導和各位前輩多方面的關(guān)心和照顧,在工作上亦受到了無微不至的指導,幫助我快速的勝任崗位。

風險管理部是負責支行全面風險管理政策的落實,監(jiān)測、評價和控制的綜合管理部門,是風險和內(nèi)控的日常管理職責部門。本人任職的綜合統(tǒng)計崗,主要負責對本行信貸資產(chǎn)風險狀況和風險分類的統(tǒng)計、分析和管理;負責全行信貸數(shù)據(jù)動態(tài)管理、分析。

在實際工作中,本人主要完成以下幾個方面的:信貸手工臺帳的錄入與核對,對實際發(fā)生的信貸業(yè)務明細進行動態(tài)掌控、分析和管理,以便于及時準確的獲得各項信貸統(tǒng)計數(shù)據(jù);對支行運行的老信貸系統(tǒng)進行維護和管理,對各部辦錄入的數(shù)據(jù)及報表進行統(tǒng)計及分析;提供行各項信貸資產(chǎn)數(shù)據(jù)及明細,完成四級分類和五級分類的統(tǒng)計工作和分析工作;月度為行領(lǐng)導以及計財處、公司部、個金部提供同業(yè)經(jīng)營情況的詳細數(shù)據(jù);月度、季度、年度,獨立的或配合辦公室、計財處等部門對外提供各項信貸數(shù)據(jù)報表。此外,我行新設了信息安全員一崗,本人即任風險管理部信息安全員,負責部門電腦網(wǎng)絡信息安全的維護。

進入銀行半年多時間來,在領(lǐng)導和前輩的關(guān)心照顧下,本人抱著謙虛好學的態(tài)度努力工作,積極學習業(yè)務知識、掌握操作技能、適應工作崗位,基本能較好的完成本職工作和領(lǐng)導交辦的其他工作。本人是剛畢業(yè)的理科本科學生,踏上工作崗位接觸全新的銀行工作,面臨著全新的挑戰(zhàn),這個過程不僅是專業(yè)的換位,更是一種思考方式和學習方法的換位,在綜合統(tǒng)計崗位上,領(lǐng)導和前輩的關(guān)心指導使本人認識到,嚴謹?shù)膽B(tài)度、正確的方法、積極的溝通、努力的思考,才能獲得最準確的統(tǒng)計數(shù)據(jù)和最高的工作效率。也正是銀行業(yè)這種對我而言全新的工作,提供給我一個全新的學習機會,在優(yōu)良的成長環(huán)境下使我能夠養(yǎng)成在每一天的工作生活中不斷學習和獲取新的知識,努力了解銀行業(yè)、金融業(yè)的運行規(guī)律,把所學所悟的點點滴滴運用到實際工作崗位工作中。

篇10

分拆,是為了更好地專注

對于賽門鐵克來說,分拆出來的是其2004年以135億美元高價收購的Veritas,現(xiàn)在又將其分拆出來的原因是什么?“最重要的原因是安全與存儲領(lǐng)域的業(yè)務重點的分割越來越明顯,收購之后影響了兩部分業(yè)務各自的專注?!泵氛罡嬖V本報記者。 賽門鐵克公司亞太區(qū)大客戶部副總裁兼大中華區(qū)總裁梅正宇

收購Veritas之前的賽門鐵克是安全行業(yè)的領(lǐng)頭羊,但時任CEO John W. Thompson認為,未來安全將不會獨立存在,而會成為更大的存儲和數(shù)據(jù)管理市場中的組成部分。按照John W. Thompson的規(guī)劃,公司通過整合賽門鐵克的安全產(chǎn)品和Veritas的信息備份、歸檔和存儲產(chǎn)品來搶占更多的市場。在實踐中,賽門鐵克也為此做出了努力,比如在郵件歸檔系統(tǒng)中融入安全,從存儲層面防御僵尸網(wǎng)絡威脅等。然而,隨著IT技術(shù)的發(fā)展,無論是信息安全還是信息管理業(yè)務部門都面臨著獨有的機遇和挑戰(zhàn),對于賽門鐵克而言,應對兩個行業(yè)需要完全不同的戰(zhàn)略和投資。在這樣的背景下,賽門鐵克董事會決定了拆分計劃。

“拆分之后,賽門鐵克和Veritas會更加專注于各自擅長的領(lǐng)域,針對獨有的增長機遇進行研發(fā)和產(chǎn)品部署。其次,兩部分業(yè)務獨立也會簡化企業(yè)架構(gòu)和運營復雜程度,使客戶更容易與我們進行合作。第三,兩家公司也會進一步加強各自的戰(zhàn)略靈活性,包括資本的重新分配政策、新合作伙伴政策等,為客戶帶來更加針對他們需求的產(chǎn)品和服務。”梅正宇表示。

專注迎來增長

“分拆后的新賽門鐵克將重新回到‘安全’這個核心業(yè)務上來,這意味著我們所有的研發(fā)、服務,包括所有的市場策略都會圍繞安全來展開?!泵氛钫f。

今年4月份,梅正宇正式接手賽門鐵克大中華地區(qū)的安全業(yè)務。隨后經(jīng)過一個多月的緊張和忙碌,如今這個團隊已經(jīng)到位,市場戰(zhàn)略也已經(jīng)基本清晰。梅正宇說,分拆帶來的實際效果已經(jīng)開始顯現(xiàn),重新專注安全之后迎來了業(yè)務的明顯增長。

梅正宇透露,賽門鐵克未來的安全產(chǎn)品將會基于一個統(tǒng)一的平臺上――統(tǒng)一安全分析平臺。賽門鐵克將會基于它對現(xiàn)有的產(chǎn)品進行整合,并重點開發(fā)威脅防護和信息防護領(lǐng)域的產(chǎn)品及解決方案。此外,網(wǎng)絡安全服務也將從傳統(tǒng)的監(jiān)測服務擴展到事故響應、安全模擬和威脅情報分析等。梅正宇介紹說,威脅防護、信息防護和網(wǎng)絡安全服務都會基于統(tǒng)一安全分析平臺,為客戶提供最及時的安全情報以及最佳的防御措施。

其次,賽門鐵克在產(chǎn)品研發(fā)上也會從數(shù)據(jù)中心向云、移動方面傾斜。梅正宇介紹說,現(xiàn)在賽門鐵克要做的是充分發(fā)揮最全產(chǎn)品線以及覆蓋全球的數(shù)據(jù)智能網(wǎng)絡等優(yōu)勢,進一步整合產(chǎn)品。他特別強調(diào),未來整合的不止是賽門鐵克的產(chǎn)品,也包括第三方的產(chǎn)品。

中國是賽門鐵克的戰(zhàn)略市場

專注的另一個好處是可以更好地與合作伙伴配合,深化賽門鐵克與中國本地合作伙伴的合作,以更好地服務于客戶,為客戶創(chuàng)造價值。梅正宇說,憑借全球資源和對本土市場的深入了解,新賽門鐵克在渠道政策上會更有針對性,也更具體,這在過去是比較難做到的。此外,賽門鐵克也將在各個地區(qū)繼續(xù)推動市場和用戶對信息安全的認知和保護意識,并針對信息安全相關(guān)領(lǐng)域開展培訓。

梅正宇表示,中國是賽門鐵克最重要的戰(zhàn)略市場之一,是公司一直以來和在未來繼續(xù)發(fā)展的重點區(qū)域。 除了在中國市場提供全面的解決方案和完善的安全服務之外,當下的重點之一是加大市場的覆蓋力度,一方面要開發(fā)更多的大客戶,另一方面要針對中小企業(yè)和二線城市,與合作伙伴共同探索更多模式、搶占更多的市場。

“作為一個跨國公司,多年來賽門鐵克在安全行業(yè)建立起自己的核心競爭力,我們擁有業(yè)界最全的產(chǎn)品線和全球最大的數(shù)據(jù)智能網(wǎng)絡之一,能夠提供重要的全球范圍內(nèi)的威脅數(shù)據(jù)與分析,從而在應對網(wǎng)絡犯罪、抵御復雜的互聯(lián)網(wǎng)安全威脅和其他安全風險中發(fā)揮出核心作用。”梅正宇繼續(xù)表示,“同時,我們還擁有一直扎根安全的人才隊伍以及品牌優(yōu)勢,這都是我們未來贏得市場的基礎。根據(jù)賽門鐵克最新的財報預測,2016財年第一財季及2016財年業(yè)績將實現(xiàn)兩位數(shù)增長。只要我們專注,我們的整合優(yōu)勢就能夠充分發(fā)揮出來,市場份額也會隨之增長?!?/p>

采訪手記

梅正宇:安全行業(yè)更有挑戰(zhàn)也更有成就感

梅正宇在去年11月份正式進入賽門鐵克,此時賽門鐵克已經(jīng)明確要拆分。顯然,梅正宇是準備接受新挑戰(zhàn)而進入賽門鐵克的。在采訪中,梅正宇也坦言他喜歡這份工作的挑戰(zhàn)性,也很享受為客戶提供安全服務后帶給自己的成就感,這是之前的工作經(jīng)歷中所沒有的。

實際上,對梅正宇以及賽門鐵克而言,挑戰(zhàn)的確不小。首先是當下的IT環(huán)境發(fā)生了很大變化,特別是PC市場疲軟。根據(jù)Gartner 6月份公布的數(shù)據(jù),2014年全球安全軟件收益總額達214億美元,相比2013年增長了5.3%,但終端防護平臺與消費類安全軟件收益雙雙下滑(兩者共占據(jù)39%的市場總額)。而這正是賽門鐵克的傳統(tǒng)領(lǐng)地。