網(wǎng)絡(luò)信息安全培訓(xùn)方案范文

時(shí)間:2024-01-12 17:47:31

導(dǎo)語(yǔ):如何才能寫(xiě)好一篇網(wǎng)絡(luò)信息安全培訓(xùn)方案,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公文云整理的十篇范文,供你借鑒。

網(wǎng)絡(luò)信息安全培訓(xùn)方案

篇1

1998年4月出版的SP800-16第一版首次提出IT安全連續(xù)學(xué)習(xí)統(tǒng)一模型,并設(shè)計(jì)基于角度和表現(xiàn)的培訓(xùn)模型。該模型按政府工作人員的職能將受訓(xùn)人員分為6種角色,即管理人員、采購(gòu)人員、設(shè)計(jì)與開(kāi)發(fā)人員、操作人員、檢查測(cè)評(píng)人員以及普通使用人員。模型針對(duì)這6種角色設(shè)計(jì)了3個(gè)基本的培訓(xùn)領(lǐng)域(法律和法規(guī)、安全項(xiàng)目管理以及信息系統(tǒng)安全),并為此設(shè)計(jì)了安全培訓(xùn)課程框架,提出了培訓(xùn)有效性的評(píng)估方案。2009年3月NIST了SP800-16的第一次修訂草案。一是明確信息安全培訓(xùn)職責(zé),即對(duì)涉及信息安全培訓(xùn)的機(jī)構(gòu)領(lǐng)導(dǎo)、首席信息技術(shù)執(zhí)行官、高級(jí)機(jī)構(gòu)信息安全官、管理人員、培訓(xùn)設(shè)計(jì)專(zhuān)家、對(duì)信息安全負(fù)有重要責(zé)任的人員以及用戶(hù)等7類(lèi)人員的職責(zé)劃分。二是在信息安全培訓(xùn)課程的學(xué)習(xí)層次上強(qiáng)調(diào)知識(shí)水平的連貫性。三是對(duì)第一版的基于角色的培訓(xùn)提出了一個(gè)教學(xué)設(shè)計(jì)模型,即針對(duì)政府人員的信息安全需求,依次進(jìn)行需求分析、課程設(shè)計(jì)、課程開(kāi)發(fā)、培訓(xùn)實(shí)踐和教學(xué)評(píng)估等五大環(huán)節(jié),這使得信息安全的培訓(xùn)可以迭代改進(jìn)。2013年10月NIST了對(duì)SP800-16的第二次修訂版本草案,這次修訂中首次提出了網(wǎng)絡(luò)空間安全培訓(xùn),因?yàn)槊绹?guó)2010年4月啟動(dòng)了《國(guó)家網(wǎng)絡(luò)空間安全教育計(jì)劃》(NationalInitiativeofCyberSecurityEducation,NICE),該計(jì)劃旨在通過(guò)促進(jìn)教育和培訓(xùn)來(lái)改善人的網(wǎng)絡(luò)行為、技能和知識(shí),從而增強(qiáng)美國(guó)整體的網(wǎng)絡(luò)空間安全。這意味著美國(guó)政府已著手于將網(wǎng)絡(luò)空間安全上升到國(guó)家安全的戰(zhàn)略層面上來(lái)。2013年版的改動(dòng)有以下幾個(gè)方面:一是強(qiáng)調(diào)信息安全意識(shí)的培訓(xùn)應(yīng)當(dāng)在網(wǎng)絡(luò)空間的背景下進(jìn)行設(shè)計(jì);二是在信息安全培訓(xùn)的目標(biāo)對(duì)象中加入了對(duì)重要信息技術(shù)和網(wǎng)絡(luò)空間安全負(fù)有責(zé)任的政府工作人員;三是對(duì)信息安全培訓(xùn)的評(píng)估體系進(jìn)行了細(xì)化,即明確提出了評(píng)估培訓(xùn)的4個(gè)目的。不到半年時(shí)間,NIST再次了SP800-16的第三次修訂草案,這個(gè)版本改動(dòng)較小,主要是在信息安全培訓(xùn)的組織責(zé)任中加入了網(wǎng)絡(luò)空間培訓(xùn)管理員/首席學(xué)習(xí)執(zhí)行官。其職責(zé)包括:一是確保培訓(xùn)教材針對(duì)具體人員進(jìn)行設(shè)計(jì);二是確保培訓(xùn)教材對(duì)目標(biāo)人員的有效性;三是為信息安全培訓(xùn)提供有效的反饋信息;四是對(duì)信息安全培訓(xùn)教材進(jìn)行及時(shí)更新;五是重視培訓(xùn)效果的跟蹤和匯報(bào)。

2NIST特別出版物版本演變帶來(lái)的啟示

縱覽美國(guó)歷時(shí)17年對(duì)信息技術(shù)安全培訓(xùn)指南的修訂過(guò)程,其發(fā)展特點(diǎn)如下:首先,該指南進(jìn)行了頂層設(shè)計(jì),即提出IT安全連續(xù)學(xué)習(xí)統(tǒng)一模型,設(shè)計(jì)基于角度和表現(xiàn)的培訓(xùn)模型,對(duì)需要接受信息安全培訓(xùn)的目標(biāo)對(duì)象進(jìn)行角色劃分,按照角色需求從法律法規(guī)、安全項(xiàng)目管理以及信息系統(tǒng)安全3個(gè)領(lǐng)域進(jìn)行課程設(shè)計(jì),初步提出了課程的評(píng)估框架。此后的3個(gè)版本都是在該體系結(jié)構(gòu)下,從角色劃分、培訓(xùn)領(lǐng)域和課程評(píng)估方法等3個(gè)方面進(jìn)行充實(shí)、完善。其次,該指南具有可擴(kuò)展性,即該指南的最初版本就設(shè)計(jì)了連續(xù)學(xué)習(xí)統(tǒng)一體,為培訓(xùn)對(duì)象的知識(shí)結(jié)構(gòu)發(fā)生變化后,如何滿(mǎn)足其信息安全的知識(shí)結(jié)構(gòu)留下了足夠的學(xué)習(xí)空間。第三,該指南的實(shí)時(shí)更新性,即結(jié)合信息安全領(lǐng)域的新技術(shù),對(duì)培訓(xùn)目標(biāo)對(duì)象和培訓(xùn)課程進(jìn)行實(shí)時(shí)更新。如在美國(guó)NICE計(jì)劃頒發(fā)之后,指南很快在培訓(xùn)環(huán)節(jié)增加了對(duì)國(guó)家網(wǎng)絡(luò)空間安全的培訓(xùn)內(nèi)容。目前,我國(guó)的信息安全教育工作主要側(cè)重于專(zhuān)業(yè)技術(shù)人才的培養(yǎng),對(duì)涉及使用信息系統(tǒng)的廣大普通用戶(hù)的相關(guān)信息安全常識(shí)的教育重視不夠,更確切地說(shuō),對(duì)公眾的信息安全常識(shí)教育的計(jì)劃和實(shí)施體系尚未建立。我國(guó)有關(guān)部門(mén)應(yīng)該參照NISTSP800-16和SP800-50出臺(tái)適合我國(guó)國(guó)情的有關(guān)信息安全常識(shí)和培訓(xùn)綱要的規(guī)范指南,以便完善我國(guó)的信息安全教育的完整體系,推進(jìn)提高全民信息安全意識(shí)和技能的工作,為構(gòu)建我國(guó)信息安全保障體系提供人員安全素質(zhì)方面的基礎(chǔ)保證。

3結(jié)語(yǔ)

篇2

工業(yè)控制系統(tǒng)安全防護(hù)體系建設(shè)離不開(kāi)相關(guān)安全標(biāo)準(zhǔn)體系的支持,國(guó)外一些發(fā)達(dá)國(guó)家在工業(yè)控制系統(tǒng)信息安全防護(hù)領(lǐng)域的標(biāo)準(zhǔn)研究工作幵展較早,進(jìn)展較快。同際上已建立一些工控系統(tǒng)信息安全方面的國(guó)際及國(guó)家技術(shù)組織標(biāo)準(zhǔn),包括1SA-99(即1EC62443)、NERCCIP�NIST:SP800_82、WIBM-2784�IEC62351等等。近年來(lái),隨著我國(guó)信息安全等級(jí)保護(hù)政策的推進(jìn)和實(shí)施力度不斷加大,_家對(duì)工業(yè)控制系統(tǒng)信息安全重視程度不斷加大,國(guó)家重要行業(yè)的工控系統(tǒng)信息安全防護(hù)建設(shè)也取得了長(zhǎng)足的進(jìn)步,研制并逐漸部署了相應(yīng)的工業(yè)控制系統(tǒng)的標(biāo)準(zhǔn)體系,初步建立起了我國(guó)等級(jí)保護(hù)標(biāo)準(zhǔn)體系框架和信息安全標(biāo)準(zhǔn)體系框架,我國(guó)近年來(lái)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)建設(shè)內(nèi)容。但從總體上講,我國(guó)工控信息安全防護(hù)的標(biāo)準(zhǔn)體系建設(shè)仍明顯滯后于工業(yè)控制系統(tǒng)的建設(shè),同時(shí)在防護(hù)意識(shí)、防護(hù)策略、防護(hù)機(jī)制、法規(guī)標(biāo)準(zhǔn)等方面都存在不少問(wèn)題。因此,建立覆蓋工控應(yīng)用領(lǐng)域、覆蓋工控產(chǎn)品生命周期以及覆蓋工控系統(tǒng)業(yè)務(wù)層次的工控信息安全標(biāo)準(zhǔn)體系迫在眉睫,需要從五方面人手:

(1)在國(guó)家政策支持引導(dǎo)下,結(jié)合我同工控領(lǐng)域信息安全問(wèn)題和現(xiàn)狀,分析工控系統(tǒng)信息安全保障體系建設(shè)需求,建立具有針對(duì)性的工控信息安全標(biāo)準(zhǔn)體系整體框架。

(2)開(kāi)展重點(diǎn)標(biāo)準(zhǔn)的研制規(guī)劃,逐步豐富和完善覆蓋工控應(yīng)用領(lǐng)域和產(chǎn)品生命周期的信息安全標(biāo)準(zhǔn)體系。

(3)積極跟蹤和參與閏際相關(guān)標(biāo)準(zhǔn)規(guī)范制定,實(shí)現(xiàn)與國(guó)際認(rèn)證機(jī)構(gòu)的互認(rèn),體現(xiàn)我國(guó)工業(yè)安全意志。

(4)加快推動(dòng)我同相關(guān)標(biāo)準(zhǔn)規(guī)范的制定,建立完善的標(biāo)準(zhǔn)體系。

(5)加速人才隊(duì)伍培養(yǎng),依據(jù)標(biāo)準(zhǔn)建設(shè)丁.控信息安全檢測(cè)認(rèn)證能力。

2大力發(fā)展自主可控檢測(cè)認(rèn)證工具集

我國(guó)工業(yè)控制系統(tǒng)信息安全領(lǐng)域長(zhǎng)期受到核心技術(shù)限制、缺乏專(zhuān)業(yè)檢測(cè)認(rèn)證工具等諸多因素影響,導(dǎo)致我國(guó)重要基礎(chǔ)設(shè)施面臨著嚴(yán)重的安全威脅,因此,突破工控信息安全領(lǐng)域的技術(shù)壁壘,研發(fā)0主可控的檢測(cè)認(rèn)證工具集并與國(guó)際接軌勢(shì)在必行。在檢測(cè)認(rèn)證工具集方面,閏際上是以ISASecure認(rèn)證作為工業(yè)控制系統(tǒng)領(lǐng)域?qū)I(yè)的安全認(rèn)證標(biāo)準(zhǔn),它是基于IEC62443標(biāo)準(zhǔn)系列發(fā)展安全認(rèn)證流程的聯(lián)盟。ISASecure認(rèn)證包含嵌入式設(shè)備安全認(rèn)證�EDSA)�系統(tǒng)安全認(rèn)證�SSA)和安全開(kāi)發(fā)生命周期認(rèn)證�SDLA)三個(gè)項(xiàng)目。目前,_際上已經(jīng)獲得ISASecure認(rèn)證認(rèn)可的CRT測(cè)試工具有芬蘭Codenomi⑶n的Defensics�日本FFRI的RavenforICS以及加拿大Wurldtech的Achilles,而國(guó)內(nèi)并沒(méi)有成熟的檢測(cè)認(rèn)證工具產(chǎn)品。發(fā)展我國(guó)自主可控的檢測(cè)認(rèn)證工具集將有助于改變我國(guó)工控信息安全領(lǐng)域缺乏核心技術(shù)的現(xiàn)狀,提高我同工控系統(tǒng)檢測(cè)發(fā)現(xiàn)和探查能力,從而提升我國(guó)工控信息安全水平。檢測(cè)認(rèn)證工具集的研發(fā)應(yīng)以“自主可控,安全可靠”作為技術(shù)指導(dǎo)思想,從前瞻性研究人手,研究國(guó)際先進(jìn)的安全技術(shù),研究工控領(lǐng)域安全協(xié)議棧,建立典型工控模型庫(kù)、工控信息漏洞庫(kù),對(duì)工業(yè)生產(chǎn)控制系統(tǒng)內(nèi)部的上位機(jī)�PLC)�服務(wù)器、網(wǎng)絡(luò)等資產(chǎn)信息、應(yīng)ffl軟件、服務(wù)、開(kāi)放端口、防火墻、數(shù)據(jù)庫(kù)審計(jì)等內(nèi)容進(jìn)行檢測(cè)掃描,提供漏洞檢測(cè)與發(fā)現(xiàn)、漏洞風(fēng)險(xiǎn)評(píng)估、可視化和漏洞修復(fù)建議等功能。通過(guò)自主可控檢測(cè)認(rèn)證工具集的研發(fā),為我閩工控企業(yè)徹底解決生產(chǎn)控制系統(tǒng)內(nèi)部的信息安全隱患,保證工業(yè)生產(chǎn)的安全生產(chǎn)、安全管理。

3快速推進(jìn)工業(yè)控制系統(tǒng)信息安全培訓(xùn)

安全培訓(xùn)為培養(yǎng)高素質(zhì)工業(yè)控制系統(tǒng)信息安全相關(guān)人才、提升相關(guān)從業(yè)人員的專(zhuān)業(yè)技術(shù)及管理能力提供規(guī)范化、科學(xué)化的知識(shí)體系。我_工業(yè)控制系統(tǒng)信息安全培訓(xùn)現(xiàn)狀面臨著培訓(xùn)主體混雜、未形成規(guī)范、培訓(xùn)內(nèi)容指導(dǎo)性不強(qiáng)、培訓(xùn)基準(zhǔn)不夠完善以及以傳統(tǒng)信息安全為參照物等問(wèn)題,作為工業(yè)控制系統(tǒng)信息安全體系中不可或缺的一環(huán),安全培訓(xùn)也處于亟待重視與完善的位置。

(1)以“標(biāo)準(zhǔn)”建設(shè)“培訓(xùn)基準(zhǔn)”:隨著工業(yè)控制系統(tǒng)信息安全領(lǐng)域國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)體系的不斷完善和發(fā)展,需要積極主導(dǎo)、參與各類(lèi)相關(guān)標(biāo)準(zhǔn)的研究、編制、監(jiān)督等工作,建設(shè)可供工控安全領(lǐng)域合理、高效、安全發(fā)展的文件環(huán)境,進(jìn)而推動(dòng)工控信息安全培訓(xùn)基準(zhǔn)的建設(shè)。

(2)以檢測(cè)與認(rèn)證帶動(dòng)安全培訓(xùn):在自主可控檢測(cè)認(rèn)證工具集的基礎(chǔ)上,結(jié)合工控領(lǐng)域安全評(píng)估服務(wù),建設(shè)中立性的檢測(cè)、認(rèn)證環(huán)境,提供國(guó)家級(jí)的權(quán)威檢測(cè)認(rèn)證服務(wù),同時(shí)為培訓(xùn)業(yè)務(wù)的開(kāi)展提供更有指導(dǎo)性、實(shí)效性的基礎(chǔ)條件。以標(biāo)準(zhǔn)建設(shè)和自主可控檢測(cè)認(rèn)證工具為基礎(chǔ),從操作層面、技術(shù)層面、認(rèn)證培訓(xùn)以及職業(yè)教育層面建設(shè)工業(yè)控制系統(tǒng)信息安全培訓(xùn)體系,提升圖3自主可控檢測(cè)認(rèn)證工具集研發(fā)模型我國(guó)工控信息安全領(lǐng)域人員實(shí)踐操作技術(shù)能力和安全技能,加速人才隊(duì)伍培養(yǎng)。

4全面提供工業(yè)控制系統(tǒng)信息安全服務(wù)

為提升工控領(lǐng)域信息安全整體服務(wù)水平,在不斷健全國(guó)家相關(guān)標(biāo)準(zhǔn)和發(fā)展自主可控安全技術(shù)體系的基礎(chǔ)上,建設(shè)工業(yè)控制系統(tǒng)安全模擬仿真實(shí)驗(yàn)平臺(tái)服務(wù)支撐環(huán)境,為行業(yè)用戶(hù)提供定制化的安全評(píng)估、安全咨詢(xún)、安全防護(hù)等服務(wù)。

(1)安全評(píng)估:研究制定安全評(píng)估的流程和方法,建設(shè)完備的安全評(píng)估體系;針對(duì)在役系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估,提出整改、防護(hù)方案和建議,為相關(guān)企、事業(yè)單位提供安全評(píng)估服務(wù),規(guī)范工控系統(tǒng)的安全建設(shè)。最終擁有完備的安全評(píng)估方法論,為工業(yè)控制領(lǐng)域各行業(yè)提供專(zhuān)業(yè)的安全評(píng)估服務(wù);同時(shí)建立國(guó)內(nèi)工業(yè)控制系統(tǒng)信息安全評(píng)估體系。

(2)安全咨詢(xún):研究制定安全咨詢(xún)的流程和方法,建設(shè)完備的安全咨詢(xún)體系;針對(duì)產(chǎn)品研發(fā)、系統(tǒng)設(shè)計(jì),融入信息安全技術(shù),整體提升新建工控系統(tǒng)的安全性。最終擁有完整的安全咨詢(xún)體系,為各類(lèi)工業(yè)控制領(lǐng)域提供專(zhuān)業(yè)的安全咨詢(xún)服務(wù),逐步建立安全的工業(yè)控制系統(tǒng)模型庫(kù)。

(3)安全防護(hù):研發(fā)工控領(lǐng)域自主可控的專(zhuān)用信息安全防護(hù)產(chǎn)品;全方位、多層次地針對(duì)工業(yè)控制系統(tǒng)提出信息安全防護(hù)解決方案;最終實(shí)現(xiàn)工控領(lǐng)域安全防護(hù)產(chǎn)品全面國(guó)產(chǎn)化;逐步完善自主可控的安全防護(hù)解決方案體系。

5總結(jié)

篇3

論文關(guān)鍵詞:電力;信息安全;解決方案;技術(shù)手段

1電力信息化應(yīng)用和發(fā)展

目前,電力 企業(yè) 信息化建設(shè)硬件環(huán)境已經(jīng)基本構(gòu)建完成,硬件設(shè)備數(shù)量和網(wǎng)絡(luò)建設(shè)狀況良好,無(wú)論是在生產(chǎn)、調(diào)度還是營(yíng)業(yè)等部門(mén)都已實(shí)現(xiàn)了信息化,企業(yè)信息化已經(jīng)成為新世紀(jì)開(kāi)局階段的潮流。在網(wǎng)絡(luò)硬件方面,基本上已經(jīng)實(shí)現(xiàn)千兆骨干網(wǎng);百兆到桌面,三層交換;vlan,mpls等技術(shù)也普及使用。在軟件方面,各應(yīng)用十要包括調(diào)度自動(dòng)化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、營(yíng)銷(xiāo)信息系統(tǒng)、負(fù)荷監(jiān)控系統(tǒng)及各專(zhuān)業(yè)相關(guān)的應(yīng)用子系統(tǒng)等。 計(jì)算 機(jī)及信息網(wǎng)絡(luò)系統(tǒng)在電力生產(chǎn)、建設(shè)、經(jīng)營(yíng)、管理、科研、設(shè)計(jì)等各個(gè)領(lǐng)域有著十分廣泛的應(yīng)用,安全生產(chǎn)、節(jié)能消耗、降低成本、縮短工期、提高勞動(dòng)生產(chǎn)率等方面取得了明顯的社會(huì)效益和 經(jīng)濟(jì) 效益,同時(shí)也逐步健全和完善了信息化管理機(jī)制,培養(yǎng)和建立了一支強(qiáng)有力的技術(shù)隊(duì)伍,有利促進(jìn)了電力 工業(yè) 的發(fā)展。

2電力信息網(wǎng)安全現(xiàn)狀分析

結(jié)合電力生產(chǎn)特點(diǎn),從電力信息系統(tǒng)和電力運(yùn)行實(shí)時(shí)控制系統(tǒng)2個(gè)方面,分析電力系統(tǒng)信息安全存在的問(wèn)題。電力信息系統(tǒng)已經(jīng)初步建立其安全體系,將電力信息網(wǎng)絡(luò)和電力運(yùn)行實(shí)時(shí)控制網(wǎng)絡(luò)進(jìn)行隔離,網(wǎng)絡(luò)間設(shè)置了防火墻,購(gòu)買(mǎi)了網(wǎng)絡(luò)防病毒軟件,有了數(shù)據(jù)備份設(shè)備。但電力信息網(wǎng)絡(luò)的安全是不平衡的,很多單位沒(méi)有網(wǎng)絡(luò)防火墻,沒(méi)有數(shù)據(jù)備份的概念,更沒(méi)有對(duì)網(wǎng)絡(luò)安全做統(tǒng)一,長(zhǎng)遠(yuǎn)的規(guī)劃,網(wǎng)絡(luò)中有許多的安全隱患。朝陽(yáng)供電公司嚴(yán)格按照省公司的要求,對(duì)網(wǎng)絡(luò)安全進(jìn)行了全方位的保護(hù),防火墻、防病毒、入侵檢測(cè)、網(wǎng)管軟件的安裝、verjtas備份系統(tǒng)的使用,確保了信息的安全,為生產(chǎn)、營(yíng)業(yè)提供了有效的技術(shù)支持。但有些方面還不是很完善,管理起來(lái)還是很吃力,給網(wǎng)絡(luò)的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問(wèn)題。

3電力信息網(wǎng)安全風(fēng)險(xiǎn)分析

計(jì)算機(jī)及信息網(wǎng)絡(luò)安全意識(shí)亟待提高。電力系統(tǒng)各種計(jì)算機(jī)應(yīng)用對(duì)信息安全的認(rèn)識(shí)距離實(shí)際需要差距較大,對(duì)新出現(xiàn)的信息安全問(wèn)題認(rèn)識(shí)不足。

缺乏統(tǒng)一的信息安全管理規(guī)范。電力系統(tǒng)雖然對(duì)計(jì)算機(jī)安全一+直非常重視,但由于各種原因,目前還沒(méi)有一套統(tǒng)一、完善的能夠指導(dǎo)整個(gè)電力系統(tǒng)計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范。

急需建立同電力行業(yè)特點(diǎn)相適應(yīng)的計(jì)算機(jī)信息安全體系。相對(duì)來(lái)說(shuō),在計(jì)算機(jī)安全策略、安全技術(shù)和安全措施投入較少。為保證電力系統(tǒng)安全、穩(wěn)定、高效運(yùn)行,應(yīng)建立一套結(jié)合電力計(jì)算機(jī)應(yīng)用特點(diǎn)的計(jì)算機(jī)信息安全體系。

計(jì)算機(jī)網(wǎng)絡(luò)化使過(guò)去孤立的局域網(wǎng)在聯(lián)成廣域網(wǎng)后,面臨巨大的外部安全攻擊。電力系統(tǒng)較早的計(jì)算機(jī)系統(tǒng)一般都是內(nèi)部的局域網(wǎng),并沒(méi)有同外界連接。所以,早期的計(jì)算機(jī)安全只是防止外部破壞或者對(duì)內(nèi)部人員的安全控制就可以了,但現(xiàn)在就必須要面對(duì)國(guó)際互聯(lián)網(wǎng)上各種安全攻擊,如網(wǎng)絡(luò)病毒、木馬和電腦黑客等。

數(shù)據(jù)庫(kù)數(shù)據(jù)和文件的明文存儲(chǔ)。電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)中的信息一般存儲(chǔ)在由數(shù)據(jù)庫(kù)管理系統(tǒng)維護(hù)的數(shù)據(jù)庫(kù)中或操作系統(tǒng)文件中。以明文形式存儲(chǔ)的信息存在泄漏的可能,拿到存儲(chǔ)介質(zhì)的人可以讀出這些信息;黑客可以饒過(guò)操作系統(tǒng),數(shù)據(jù)庫(kù)管理系統(tǒng)的控制獲取這些信息;系統(tǒng)后門(mén)使軟硬件系統(tǒng)制造商很容易得到這些信息。弱身份認(rèn)證。電力行業(yè)應(yīng)用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設(shè)計(jì)和開(kāi)發(fā),用戶(hù)身份認(rèn)證基本上采用口令的鑒別模式,而這種模式很容易被攻破。有的應(yīng)用系統(tǒng)還使用白己的用戶(hù)鑒別方法,將用戶(hù)名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫(kù)或文件中,這種脆弱的安全控制措施在操作人員計(jì)算機(jī)應(yīng)用水平不斷提高、信息敏感性不斷增強(qiáng)的今天不能再使用了。沒(méi)有完善的數(shù)據(jù)備份措施。很多單位只是選擇一臺(tái)工作站備份一下數(shù)據(jù)就了事,沒(méi)有完善的數(shù)據(jù)備份設(shè)備、沒(méi)有數(shù)據(jù)備份策略、沒(méi)有備份的管理制度,沒(méi)有對(duì)數(shù)據(jù)備份的介質(zhì)進(jìn)行妥善保管。 

4電力信息網(wǎng)安全防護(hù)方案

4.1加強(qiáng)電力信息網(wǎng)安全 教育

安全意識(shí)和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容,其實(shí)施力度將直接關(guān)系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證安全的成功和有效,高級(jí)管理部門(mén)應(yīng)當(dāng)對(duì)企業(yè)各級(jí)管理人員、用戶(hù)、技術(shù)人員進(jìn)行安全培訓(xùn)。所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行企業(yè)安全策略。在安全教育具體實(shí)施過(guò)程中應(yīng)該有一定的層次性和普遍性。

主管信息安全工作的高級(jí)負(fù)責(zé)人或各級(jí)管理人員,重點(diǎn)是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部¨的建立和管理制度的制定等。負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員,重點(diǎn)是充分理解信息安全管理策略,掌握安全評(píng)估的基本方法,對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等。

信息用戶(hù),重點(diǎn)是學(xué)習(xí)各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應(yīng)該承擔(dān)的安全職責(zé)等。當(dāng)然,對(duì)于特定的人員要進(jìn)行特定的安全培訓(xùn)。安全教育應(yīng)當(dāng)定期的、持續(xù)的進(jìn)行。在企業(yè)中建立安全文化并納入整個(gè)企業(yè)文化體系中才是最根本的解決辦法。

4.2電力信息髓安全防護(hù)技術(shù)措旌

(1)網(wǎng)絡(luò)防火墻:防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口,所有的訪問(wèn)都將通過(guò)防火墻進(jìn)行,不允許任何饒過(guò)防火墻的連接。d m z區(qū)放置了企業(yè)對(duì)外提供各項(xiàng)服務(wù)的服務(wù)器,既能夠保證提供正常的服務(wù),又能夠有效地保護(hù)服務(wù)器不受攻擊。設(shè)置防火墻的訪問(wèn)策略,遵循“缺省全部關(guān)閉,按需求開(kāi)通的原則”,拒絕除明確許可證外的任何服務(wù)。

(2)物理隔離裝置:主要用于電力信息網(wǎng)的不同區(qū)之間的隔離,物理隔離裝置實(shí)際上是專(zhuān)用的防火墻,由于其不公開(kāi)性,使得更難被黑客攻擊。

(3)入侵檢測(cè)系統(tǒng):部署先進(jìn)的分布式入侵檢測(cè)構(gòu)架,最大限度地、全天候地實(shí)施監(jiān)控,提供 企業(yè) 級(jí)的安全檢測(cè)手段。在事后分析的時(shí)候,可以清楚地界定責(zé)任人和責(zé)任時(shí)間,為 網(wǎng)絡(luò) 管理人員提供強(qiáng)有力的保障。入侵檢測(cè)系統(tǒng)采用攻擊防衛(wèi)技術(shù),具有高可靠性、高識(shí)別率、規(guī)則更新迅速等特點(diǎn)。

(4)網(wǎng)絡(luò)隱患掃描系統(tǒng):網(wǎng)絡(luò)隱患掃描系統(tǒng)能夠掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持tcp/ip協(xié)議的設(shè)備,掃描的對(duì)象包括掃描多種操作系統(tǒng),掃描網(wǎng)絡(luò)設(shè)備包括:服務(wù)器、工作站、防火墻、路由器、路由交換機(jī)等。在進(jìn)行掃描時(shí),可以從網(wǎng)絡(luò)中不同的位置對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描。

掃描結(jié)束后生成詳細(xì)的安全評(píng)估報(bào)告,采用報(bào)表和圖形的形式對(duì)掃描結(jié)果進(jìn)行分析,可以方便直觀地對(duì)用戶(hù)進(jìn)行安全性能評(píng)估和檢查。

(5)網(wǎng)絡(luò)防病毒:為保護(hù)電力信息網(wǎng)絡(luò)受病毒侵害,保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性,應(yīng)構(gòu)建從主機(jī)到服務(wù)器的完善的防病毒體系。以服務(wù)器作為網(wǎng)絡(luò)的核心,對(duì)整個(gè)網(wǎng)絡(luò)部署查、殺毒,服務(wù)器通過(guò)internet從免疫中心實(shí)時(shí)獲取最新的病毒碼信息,及時(shí)更新病毒代碼庫(kù)。同時(shí),選擇的網(wǎng)絡(luò)防病毒軟件應(yīng)能夠適應(yīng)各種系統(tǒng)平臺(tái)、各種數(shù)據(jù)庫(kù)平臺(tái)、各種應(yīng)用軟件。

(6)數(shù)據(jù)加密及傳輸安全:通過(guò)文件加密、信息摘要和訪問(wèn)控制等安全措施,來(lái)實(shí)現(xiàn)文件存儲(chǔ)和傳輸?shù)谋C芎屯暾砸螅瑢?shí)現(xiàn)對(duì)文件訪問(wèn)的控制。對(duì)通信安全,采用數(shù)據(jù)加密,信息摘要和數(shù)字簽名等安全措施對(duì)通信過(guò)程中的信息進(jìn)行保護(hù),實(shí)現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴(lài)性安全要求。對(duì)遠(yuǎn)程接入安全,通過(guò)vpn技術(shù),提高實(shí)時(shí)的信息傳播中的保密性和安全性。

(7)數(shù)據(jù)備份:對(duì)于企業(yè)來(lái)說(shuō),最珍貴的是存儲(chǔ)在存儲(chǔ)介質(zhì)中的數(shù)據(jù)信息。數(shù)據(jù)備份和容錯(cuò)方案是必不可少的,必須建立集中和分散相結(jié)合的數(shù)據(jù)備份設(shè)施及切合實(shí)際的數(shù)據(jù)備份策略。

(8)數(shù)據(jù)庫(kù)安全:通過(guò)數(shù)據(jù)存儲(chǔ)加密、完整性檢驗(yàn)和訪問(wèn)控制來(lái)保證數(shù)據(jù)庫(kù)數(shù)據(jù)的機(jī)密和完整性,并實(shí)現(xiàn)數(shù)據(jù)庫(kù)數(shù)據(jù)的訪問(wèn)安全。 

4.3電力信息網(wǎng)安全防護(hù)管理措施

技術(shù)是安全的主體,管理是安全的靈魂。只有將有效的安全管理實(shí)踐自始至終貫徹落實(shí)于信息安全當(dāng)中,網(wǎng)絡(luò)安全的長(zhǎng)期性和穩(wěn)定性才能有所保證。

(1)要加強(qiáng)信息人員的安全 教育 ,保持信息人員特別是網(wǎng)絡(luò)管理人員和安全管理人員的相對(duì)穩(wěn)定,防止網(wǎng)路機(jī)密泄露,特別是注意人員調(diào)離時(shí)的網(wǎng)絡(luò)機(jī)密的泄露。

(2)對(duì)各類(lèi)密碼要妥善管理,杜絕默認(rèn)密碼,出廠密碼,無(wú)密碼,不要使用容易猜測(cè)的密碼。密碼要及時(shí)更新,特別是有人員調(diào)離時(shí)密碼一定要更新。

(3)技術(shù)管理,主要是指各種網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)安全設(shè)備的安全策略,如防火墻、物理隔離設(shè)備、入侵檢測(cè)設(shè)備、路由器的安全策略要切合實(shí)際。

(4)數(shù)據(jù)的備份策略要合理,備份要及時(shí),備份介質(zhì)保管要安全,要注意備份介質(zhì)的異地保存。

(5)加強(qiáng)信息設(shè)備的物理安全,注意服務(wù)器、 計(jì)算 機(jī)、交換機(jī)、路由器、存儲(chǔ)介質(zhì)等設(shè)備的防火、防盜、防水、防潮、防塵、防靜電等。

(6)注意信息介質(zhì)的安全管理,備份的介質(zhì)要防止丟失和被盜。報(bào)廢的介質(zhì)要及時(shí)清除和銷(xiāo)毀,特別要注意送出修理的設(shè)備上存儲(chǔ)的信息的安全。

5電力信息網(wǎng)絡(luò)安全工作應(yīng)注意的問(wèn)題

(1)理順技術(shù)與管理的關(guān)系。

解決信息安全問(wèn)題不能僅僅只從技術(shù)上考慮,要防止重技術(shù)輕管理的傾向,加強(qiáng)對(duì)人員的管理和培訓(xùn)。

(2)解決安全和 經(jīng)濟(jì) 合理的關(guān)系。安全方案要能適應(yīng)長(zhǎng)遠(yuǎn)的 發(fā)展 和今后的局部調(diào)整,防止不斷改造,不斷投入。

(3)要進(jìn)行有效的安全管理,必須建立起一套系統(tǒng)全面的信息安全管理體系,可以參照國(guó)際上通行的一些標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)。

(4)網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的、全局的管理問(wèn)題,網(wǎng)絡(luò)上的任何一個(gè)漏洞,都會(huì)導(dǎo)致全網(wǎng)的安全問(wèn)題,應(yīng)該用系統(tǒng)工程的觀點(diǎn)、方法,分析網(wǎng)絡(luò)的安全及具體措施。

篇4

關(guān)鍵詞:火電廠工控系統(tǒng);安全分區(qū);網(wǎng)絡(luò)專(zhuān)用;橫向隔離;縱向認(rèn)證;綜合防護(hù)

DOI:10.16640/ki.37-1222/t.2017.03.138

0 引言

在我國(guó)電力系統(tǒng)是由發(fā)電、輸電、變電、配電、用電和調(diào)度組成。其中發(fā)電企業(yè)是整個(gè)電力系統(tǒng)中起始環(huán)節(jié),是整個(gè)能源閉環(huán)系統(tǒng)中最主要的生產(chǎn)環(huán)節(jié)。發(fā)電企業(yè)通常情況下,主要的發(fā)電形式為火力發(fā)電、水利發(fā)電和核能發(fā)電。其中火力發(fā)電占據(jù)整個(gè)發(fā)電企業(yè)發(fā)電量的比重最高。而新型的火力發(fā)電控制系統(tǒng)已向數(shù)字化、智能化、網(wǎng)絡(luò)化和人性化進(jìn)行轉(zhuǎn)變,這勢(shì)必會(huì)將更多的IT技術(shù)應(yīng)用到傳統(tǒng)的邏輯控制和數(shù)字控制中。相比互聯(lián)網(wǎng)信息安全領(lǐng)域的熱絡(luò),工控安全作為信息安全的重要領(lǐng)域卻一直“備受冷落”。直到近期國(guó)外發(fā)生多起因黑客網(wǎng)絡(luò)攻擊導(dǎo)致工控系統(tǒng)癱瘓的事件,才引起人們對(duì)工控系統(tǒng)信息安全得以重視。

2015年國(guó)家能源局下發(fā)36號(hào)文《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》,通過(guò)認(rèn)真學(xué)習(xí)發(fā)現(xiàn)安全防護(hù)的總體原則與之前的電力二次安全防護(hù)原則增加了“綜合防護(hù)”。而“綜合防護(hù)”是對(duì)工控系統(tǒng)從主機(jī)、網(wǎng)絡(luò)設(shè)備、惡意代碼防范、應(yīng)用安全控制、審計(jì)、備用及容災(zāi)等多個(gè)層面進(jìn)行信息安全防護(hù)的過(guò)程,目前在絕大多數(shù)火電廠都是未開(kāi)展的工作,主要原因有兩個(gè),一是:國(guó)內(nèi)工控安全產(chǎn)品研發(fā)剛剛起步,火電廠也沒(méi)有成功實(shí)施的案例;二是:投資費(fèi)用較高,風(fēng)險(xiǎn)預(yù)控把握不大。

1 工控系統(tǒng)信息安全方案的解決思路

在開(kāi)展工控系統(tǒng)信息安全解決方案之前,有兩件準(zhǔn)備工作需要做,即定期進(jìn)行安全意識(shí)培訓(xùn)和安全評(píng)估。

1.1 安全意識(shí)

生產(chǎn)系統(tǒng)的安全是建立在人員安全意識(shí)之上,一線生產(chǎn)人員應(yīng)該保持一個(gè)良好的網(wǎng)絡(luò)安全防范意識(shí)和和安全操作習(xí)慣,這需要借助工控網(wǎng)絡(luò)安全培訓(xùn)來(lái)形成安全意識(shí)。

1.2 安全評(píng)估

在充分了解和掌握現(xiàn)場(chǎng)工控系統(tǒng)存在的風(fēng)險(xiǎn)和安全隱患之后,才能制定符合現(xiàn)場(chǎng)實(shí)際的防護(hù)措施。電力生產(chǎn)安全防護(hù)評(píng)估工作要貫穿整個(gè)電力生產(chǎn)系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄階段。

1.3 結(jié)構(gòu)安全

“橫向隔x、縱向認(rèn)證”在火電廠工控系統(tǒng)結(jié)構(gòu)已經(jīng)做的很好了,即在生產(chǎn)大區(qū)與管理信息大區(qū)采用單向隔離裝置,安全一區(qū)與安全二區(qū)之間有邏輯隔離的防火墻,而此防火墻只是基于四層以下進(jìn)行訪問(wèn)控制,對(duì)于報(bào)文負(fù)載部分沒(méi)有進(jìn)行過(guò)濾,現(xiàn)實(shí)中的APT攻擊完全可以利用防火墻的不足,在一區(qū)、二區(qū)之間進(jìn)行傳播。

2 火電廠工控系統(tǒng)信息安全現(xiàn)狀及應(yīng)對(duì)措施

2.1 火電廠工控系統(tǒng)安全及現(xiàn)狀

典型的火電廠工控系統(tǒng)通常由控制回路、HMI(人機(jī)接口)、遠(yuǎn)程診斷與維護(hù)工具三部分組件共同完成,控制回路用以控制邏輯運(yùn)算,HMI執(zhí)行信息交互,遠(yuǎn)程診斷與維護(hù)工具確保出現(xiàn)異常的操作時(shí)進(jìn)行診斷和恢復(fù)。與傳統(tǒng)的信息系統(tǒng)安全需求不同,工控系統(tǒng)設(shè)計(jì)需要兼顧應(yīng)用場(chǎng)景與控制管理等多方面因素,以?xún)?yōu)先確保系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性。在這種設(shè)計(jì)理念的影響下,缺乏有效的工業(yè)安全防御和數(shù)據(jù)通信保密措施是很多工業(yè)控制系統(tǒng)所面臨的通病。

2.2 火電廠工控系統(tǒng)安全風(fēng)險(xiǎn)分析及應(yīng)對(duì)措施

(1)安全風(fēng)險(xiǎn)一:操作系統(tǒng)與外接設(shè)備交互的風(fēng)險(xiǎn)性。追求可用性而犧牲安全,這是很多工業(yè)控制系統(tǒng)存在普遍現(xiàn)象,缺乏完整有效的安全策略與管理流程是當(dāng)前我國(guó)工業(yè)控制系統(tǒng)的最大難題,很多已經(jīng)實(shí)施了安全防御措施的工控網(wǎng)絡(luò)仍然會(huì)因?yàn)楣芾砘虿僮魃系氖д`,造成系統(tǒng)出現(xiàn)潛在的安全短板。應(yīng)對(duì)措施:制定關(guān)鍵設(shè)備信息安全的評(píng)測(cè)制度,防范關(guān)鍵設(shè)備中的預(yù)留后門(mén)及多余功能。對(duì)工控系統(tǒng)的設(shè)備、系統(tǒng)進(jìn)行評(píng)測(cè)和檢測(cè),確保關(guān)鍵設(shè)備、軟件沒(méi)有預(yù)埋的、不為我們所知的一些功能。落實(shí)工控系統(tǒng)的信息安全檢查制度,定期進(jìn)行自查,這是加強(qiáng)信息安全工作的常規(guī)手段。加強(qiáng)工控系統(tǒng)病毒防治工作,落實(shí)工控系統(tǒng)防治病毒管理規(guī)定,控制系統(tǒng)訪問(wèn)權(quán)限嚴(yán)格控制,移動(dòng)存儲(chǔ)介質(zhì)的使用應(yīng)當(dāng)符合管理規(guī)定。

(2)安全風(fēng)險(xiǎn)二:工控平臺(tái)的風(fēng)險(xiǎn)性。隨著TCP/IP等通用協(xié)議與開(kāi)發(fā)標(biāo)準(zhǔn)引入工業(yè)控制系統(tǒng),開(kāi)放、透明的工業(yè)控制系統(tǒng)同樣為物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)領(lǐng)域開(kāi)辟出廣闊的想象空間。理論上,絕對(duì)的物理隔離網(wǎng)絡(luò)正因?yàn)樾枨蠛蜆I(yè)務(wù)模式的改變而不再切實(shí)可行。目前,多數(shù)工控網(wǎng)絡(luò)僅通過(guò)部署防火墻(隔離網(wǎng)閘)來(lái)保證工業(yè)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的相對(duì)隔離,各個(gè)工業(yè)自動(dòng)化單元之間缺乏可靠的安全通信機(jī)制。應(yīng)對(duì)措施:傳統(tǒng)的IT防火墻已無(wú)法滿(mǎn)足工業(yè)控制系統(tǒng)的需求,但越來(lái)越多的控制系統(tǒng)廠家注重網(wǎng)絡(luò)安全,在控制層面就加裝了防火墻。工業(yè)級(jí)防火墻的出現(xiàn)可以針對(duì)控制層的網(wǎng)絡(luò)協(xié)議作出相應(yīng)的防護(hù),對(duì)Modbus和OPC的協(xié)議內(nèi)容進(jìn)行檢查和連接管理。不管是控制系統(tǒng)本身自帶的防火墻還是專(zhuān)業(yè)的工業(yè)級(jí)防火墻,都可以針對(duì)工控平臺(tái)的風(fēng)險(xiǎn)性起到彌補(bǔ)作用。

(3) 安全風(fēng)險(xiǎn)三:網(wǎng)絡(luò)的風(fēng)險(xiǎn)性。通用以太網(wǎng)技術(shù)的引入讓工控系統(tǒng)變得更智能,也讓工控網(wǎng)絡(luò)愈發(fā)透明、開(kāi)放、互聯(lián),TCP/IP存在的威脅同樣會(huì)在工業(yè)網(wǎng)絡(luò)中重現(xiàn)。當(dāng)前工控網(wǎng)絡(luò)主要的風(fēng)險(xiǎn)性集中體現(xiàn)為:邊界安全策略缺失;系統(tǒng)安全防御機(jī)制缺失;管理制度缺失或不完善;網(wǎng)絡(luò)配置規(guī)范缺失;監(jiān)控與應(yīng)急響應(yīng)制度缺失;網(wǎng)絡(luò)通信保障機(jī)制缺失。應(yīng)對(duì)措施:針對(duì)TCP/IP存在的威脅只用運(yùn)用原有的防火墻及防護(hù)方法采取應(yīng)對(duì)措施,而工控網(wǎng)絡(luò)的專(zhuān)屬控制協(xié)議防護(hù)則應(yīng)更加有針對(duì)性:控制層和數(shù)據(jù)層的隔離防護(hù),控制層網(wǎng)絡(luò)的冗余化等,都是可以有針對(duì)性的起到保護(hù)作用。

3 結(jié)語(yǔ)

其實(shí)不管是火電廠工控企業(yè)還是傳統(tǒng)企業(yè),隨著信息化的深入,企業(yè)或多或少會(huì)遇到信息安全的問(wèn)題,而隨著數(shù)據(jù)價(jià)值的不斷提高,這種影響對(duì)于企業(yè)來(lái)說(shuō)也會(huì)越來(lái)越明顯。所以保護(hù)企業(yè)的核心數(shù)據(jù)安全是未來(lái)所有企業(yè)面臨的同樣問(wèn)題,而面對(duì)不同企業(yè)不同的防護(hù)需求,采用靈活而具有針對(duì)性的安全防護(hù)設(shè)施或許才是最好的選擇。

參考文獻(xiàn):

篇5

目前,電力企業(yè)信息化建設(shè)硬件環(huán)境已經(jīng)基本構(gòu)建完成,硬件設(shè)備數(shù)量和網(wǎng)絡(luò)建設(shè)狀況良好,無(wú)論是在生產(chǎn)、調(diào)度還是營(yíng)業(yè)等部門(mén)都已實(shí)現(xiàn)了信息化,企業(yè)信息化已經(jīng)成為新世紀(jì)開(kāi)局階段的潮流。在網(wǎng)絡(luò)硬件方面,基本上已經(jīng)實(shí)現(xiàn)千兆骨干網(wǎng);百兆到桌面,三層交換;VLAN,MPLS等技術(shù)也普及使用。在軟件方面,各應(yīng)用十要包括調(diào)度自動(dòng)化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、營(yíng)銷(xiāo)信息系統(tǒng)、負(fù)荷監(jiān)控系統(tǒng)及各專(zhuān)業(yè)相關(guān)的應(yīng)用子系統(tǒng)等。計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)在電力生產(chǎn)、建設(shè)、經(jīng)營(yíng)、管理、科研、設(shè)計(jì)等各個(gè)領(lǐng)域有著十分廣泛的應(yīng)用,安全生產(chǎn)、節(jié)能消耗、降低成本、縮短工期、提高勞動(dòng)生產(chǎn)率等方面取得了明顯的社會(huì)效益和經(jīng)濟(jì)效益,同時(shí)也逐步健全和完善了信息化管理機(jī)制,培養(yǎng)和建立了一支強(qiáng)有力的技術(shù)隊(duì)伍,有利促進(jìn)了電力工業(yè)的發(fā)展。

2電力信息網(wǎng)安全現(xiàn)狀分析

結(jié)合電力生產(chǎn)特點(diǎn),從電力信息系統(tǒng)和電力運(yùn)行實(shí)時(shí)控制系統(tǒng)2個(gè)方面,分析電力系統(tǒng)信息安全存在的問(wèn)題。電力信息系統(tǒng)已經(jīng)初步建立其安全體系,將電力信息網(wǎng)絡(luò)和電力運(yùn)行實(shí)時(shí)控制網(wǎng)絡(luò)進(jìn)行隔離,網(wǎng)絡(luò)間設(shè)置了防火墻,購(gòu)買(mǎi)了網(wǎng)絡(luò)防病毒軟件,有了數(shù)據(jù)備份設(shè)備。但電力信息網(wǎng)絡(luò)的安全是不平衡的,很多單位沒(méi)有網(wǎng)絡(luò)防火墻,沒(méi)有數(shù)據(jù)備份的概念,更沒(méi)有對(duì)網(wǎng)絡(luò)安全做統(tǒng)一,長(zhǎng)遠(yuǎn)的規(guī)劃,網(wǎng)絡(luò)中有許多的安全隱患。朝陽(yáng)供電公司嚴(yán)格按照省公司的要求,對(duì)網(wǎng)絡(luò)安全進(jìn)行了全方位的保護(hù),防火墻、防病毒、入侵檢測(cè)、網(wǎng)管軟件的安裝、VerJtas備份系統(tǒng)的使用,確保了信息的安全,為生產(chǎn)、營(yíng)業(yè)提供了有效的技術(shù)支持。但有些方面還不是很完善,管理起來(lái)還是很吃力,給網(wǎng)絡(luò)的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問(wèn)題。

3電力信息網(wǎng)安全風(fēng)險(xiǎn)分析

計(jì)算機(jī)及信息網(wǎng)絡(luò)安全意識(shí)亟待提高。電力系統(tǒng)各種計(jì)算機(jī)應(yīng)用對(duì)信息安全的認(rèn)識(shí)距離實(shí)際需要差距較大,對(duì)新出現(xiàn)的信息安全問(wèn)題認(rèn)識(shí)不足。

缺乏統(tǒng)一的信息安全管理規(guī)范。電力系統(tǒng)雖然對(duì)計(jì)算機(jī)安全一+直非常重視,但由于各種原因,目前還沒(méi)有一套統(tǒng)一、完善的能夠指導(dǎo)整個(gè)電力系統(tǒng)計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范。

急需建立同電力行業(yè)特點(diǎn)相適應(yīng)的計(jì)算機(jī)信息安全體系。相對(duì)來(lái)說(shuō),在計(jì)算機(jī)安全策略、安全技術(shù)和安全措施投入較少。為保證電力系統(tǒng)安全、穩(wěn)定、高效運(yùn)行,應(yīng)建立一套結(jié)合電力計(jì)算機(jī)應(yīng)用特點(diǎn)的計(jì)算機(jī)信息安全體系。

計(jì)算機(jī)網(wǎng)絡(luò)化使過(guò)去孤立的局域網(wǎng)在聯(lián)成廣域網(wǎng)后,面臨巨大的外部安全攻擊。電力系統(tǒng)較早的計(jì)算機(jī)系統(tǒng)一般都是內(nèi)部的局域網(wǎng),并沒(méi)有同外界連接。所以,早期的計(jì)算機(jī)安全只是防止外部破壞或者對(duì)內(nèi)部人員的安全控制就可以了,但現(xiàn)在就必須要面對(duì)國(guó)際互聯(lián)網(wǎng)上各種安全攻擊,如網(wǎng)絡(luò)病毒、木馬和電腦黑客等。

數(shù)據(jù)庫(kù)數(shù)據(jù)和文件的明文存儲(chǔ)。電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)中的信息一般存儲(chǔ)在由數(shù)據(jù)庫(kù)管理系統(tǒng)維護(hù)的數(shù)據(jù)庫(kù)中或操作系統(tǒng)文件中。以明文形式存儲(chǔ)的信息存在泄漏的可能,拿到存儲(chǔ)介質(zhì)的人可以讀出這些信息;黑客可以饒過(guò)操作系統(tǒng),數(shù)據(jù)庫(kù)管理系統(tǒng)的控制獲取這些信息;系統(tǒng)后門(mén)使軟硬件系統(tǒng)制造商很容易得到這些信息。弱身份認(rèn)證。電力行業(yè)應(yīng)用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設(shè)計(jì)和開(kāi)發(fā),用戶(hù)身份認(rèn)證基本上采用口令的鑒別模式,而這種模式很容易被攻破。有的應(yīng)用系統(tǒng)還使用白己的用戶(hù)鑒別方法,將用戶(hù)名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫(kù)或文件中,這種脆弱的安全控制措施在操作人員計(jì)算機(jī)應(yīng)用水平不斷提高、信息敏感性不斷增強(qiáng)的今天不能再使用了。沒(méi)有完善的數(shù)據(jù)備份措施。很多單位只是選擇一臺(tái)工作站備份一下數(shù)據(jù)就了事,沒(méi)有完善的數(shù)據(jù)備份設(shè)備、沒(méi)有數(shù)據(jù)備份策略、沒(méi)有備份的管理制度,沒(méi)有對(duì)數(shù)據(jù)備份的介質(zhì)進(jìn)行妥善保管。

4電力信息網(wǎng)安全防護(hù)方案

4.1加強(qiáng)電力信息網(wǎng)安全教育

安全意識(shí)和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容,其實(shí)施力度將直接關(guān)系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證安全的成功和有效,高級(jí)管理部門(mén)應(yīng)當(dāng)對(duì)企業(yè)各級(jí)管理人員、用戶(hù)、技術(shù)人員進(jìn)行安全培訓(xùn)。所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行企業(yè)安全策略。在安全教育具體實(shí)施過(guò)程中應(yīng)該有一定的層次性和普遍性。

主管信息安全工作的高級(jí)負(fù)責(zé)人或各級(jí)管理人員,重點(diǎn)是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部¨的建立和管理制度的制定等。負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員,重點(diǎn)是充分理解信息安全管理策略,掌握安全評(píng)估的基本方法,對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等。

信息用戶(hù),重點(diǎn)是學(xué)習(xí)各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應(yīng)該承擔(dān)的安全職責(zé)等。當(dāng)然,對(duì)于特定的人員要進(jìn)行特定的安全培訓(xùn)。安全教育應(yīng)當(dāng)定期的、持續(xù)的進(jìn)行。在企業(yè)中建立安全文化并納入整個(gè)企業(yè)文化體系中才是最根本的解決辦法。

4.2電力信息髓安全防護(hù)技術(shù)措旌

(1)網(wǎng)絡(luò)防火墻:防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口,所有的訪問(wèn)都將通過(guò)防火墻進(jìn)行,不允許任何饒過(guò)防火墻的連接。DMZ區(qū)放置了企業(yè)對(duì)外提供各項(xiàng)服務(wù)的服務(wù)器,既能夠保證提供正常的服務(wù),又能夠有效地保護(hù)服務(wù)器不受攻擊。設(shè)置防火墻的訪問(wèn)策略,遵循“缺省全部關(guān)閉,按需求開(kāi)通的原則”,拒絕除明確許可證外的任何服務(wù)。

(2)物理隔離裝置:主要用于電力信息網(wǎng)的不同區(qū)之間的隔離,物理隔離裝置實(shí)際上是專(zhuān)用的防火墻,由于其不公開(kāi)性,使得更難被黑客攻擊。(3)入侵檢測(cè)系統(tǒng):部署先進(jìn)的分布式入侵檢測(cè)構(gòu)架,最大限度地、全天候地實(shí)施監(jiān)控,提供企業(yè)級(jí)的安全檢測(cè)手段。在事后分析的時(shí)候,可以清楚地界定責(zé)任人和責(zé)任時(shí)間,為網(wǎng)絡(luò)管理人員提供強(qiáng)有力的保障。入侵檢測(cè)系統(tǒng)采用攻擊防衛(wèi)技術(shù),具有高可靠性、高識(shí)別率、規(guī)則更新迅速等特點(diǎn)。

(4)網(wǎng)絡(luò)隱患掃描系統(tǒng):網(wǎng)絡(luò)隱患掃描系統(tǒng)能夠掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持TCP/IP協(xié)議的設(shè)備,掃描的對(duì)象包括掃描多種操作系統(tǒng),掃描網(wǎng)絡(luò)設(shè)備包括:服務(wù)器、工作站、防火墻、路由器、路由交換機(jī)等。在進(jìn)行掃描時(shí),可以從網(wǎng)絡(luò)中不同的位置對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描。

掃描結(jié)束后生成詳細(xì)的安全評(píng)估報(bào)告,采用報(bào)表和圖形的形式對(duì)掃描結(jié)果進(jìn)行分析,可以方便直觀地對(duì)用戶(hù)進(jìn)行安全性能評(píng)估和檢查。

(5)網(wǎng)絡(luò)防病毒:為保護(hù)電力信息網(wǎng)絡(luò)受病毒侵害,保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性,應(yīng)構(gòu)建從主機(jī)到服務(wù)器的完善的防病毒體系。以服務(wù)器作為網(wǎng)絡(luò)的核心,對(duì)整個(gè)網(wǎng)絡(luò)部署查、殺毒,服務(wù)器通過(guò)Internet從免疫中心實(shí)時(shí)獲取最新的病毒碼信息,及時(shí)更新病毒代碼庫(kù)。同時(shí),選擇的網(wǎng)絡(luò)防病毒軟件應(yīng)能夠適應(yīng)各種系統(tǒng)平臺(tái)、各種數(shù)據(jù)庫(kù)平臺(tái)、各種應(yīng)用軟件。

(6)數(shù)據(jù)加密及傳輸安全:通過(guò)文件加密、信息摘要和訪問(wèn)控制等安全措施,來(lái)實(shí)現(xiàn)文件存儲(chǔ)和傳輸?shù)谋C芎屯暾砸?,?shí)現(xiàn)對(duì)文件訪問(wèn)的控制。對(duì)通信安全,采用數(shù)據(jù)加密,信息摘要和數(shù)字簽名等安全措施對(duì)通信過(guò)程中的信息進(jìn)行保護(hù),實(shí)現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴(lài)性安全要求。對(duì)遠(yuǎn)程接入安全,通過(guò)VPN技術(shù),提高實(shí)時(shí)的信息傳播中的保密性和安全性。

(7)數(shù)據(jù)備份:對(duì)于企業(yè)來(lái)說(shuō),最珍貴的是存儲(chǔ)在存儲(chǔ)介質(zhì)中的數(shù)據(jù)信息。數(shù)據(jù)備份和容錯(cuò)方案是必不可少的,必須建立集中和分散相結(jié)合的數(shù)據(jù)備份設(shè)施及切合實(shí)際的數(shù)據(jù)備份策略。

(8)數(shù)據(jù)庫(kù)安全:通過(guò)數(shù)據(jù)存儲(chǔ)加密、完整性檢驗(yàn)和訪問(wèn)控制來(lái)保證數(shù)據(jù)庫(kù)數(shù)據(jù)的機(jī)密和完整性,并實(shí)現(xiàn)數(shù)據(jù)庫(kù)數(shù)據(jù)的訪問(wèn)安全。

4.3電力信息網(wǎng)安全防護(hù)管理措施

技術(shù)是安全的主體,管理是安全的靈魂。只有將有效的安全管理實(shí)踐自始至終貫徹落實(shí)于信息安全當(dāng)中,網(wǎng)絡(luò)安全的長(zhǎng)期性和穩(wěn)定性才能有所保證。

(1)要加強(qiáng)信息人員的安全教育,保持信息人員特別是網(wǎng)絡(luò)管理人員和安全管理人員的相對(duì)穩(wěn)定,防止網(wǎng)路機(jī)密泄露,特別是注意人員調(diào)離時(shí)的網(wǎng)絡(luò)機(jī)密的泄露。

(2)對(duì)各類(lèi)密碼要妥善管理,杜絕默認(rèn)密碼,出廠密碼,無(wú)密碼,不要使用容易猜測(cè)的密碼。密碼要及時(shí)更新,特別是有人員調(diào)離時(shí)密碼一定要更新。

(3)技術(shù)管理,主要是指各種網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)安全設(shè)備的安全策略,如防火墻、物理隔離設(shè)備、入侵檢測(cè)設(shè)備、路由器的安全策略要切合實(shí)際。

(4)數(shù)據(jù)的備份策略要合理,備份要及時(shí),備份介質(zhì)保管要安全,要注意備份介質(zhì)的異地保存。

(5)加強(qiáng)信息設(shè)備的物理安全,注意服務(wù)器、計(jì)算機(jī)、交換機(jī)、路由器、存儲(chǔ)介質(zhì)等設(shè)備的防火、防盜、防水、防潮、防塵、防靜電等。

(6)注意信息介質(zhì)的安全管理,備份的介質(zhì)要防止丟失和被盜。報(bào)廢的介質(zhì)要及時(shí)清除和銷(xiāo)毀,特別要注意送出修理的設(shè)備上存儲(chǔ)的信息的安全。

5電力信息網(wǎng)絡(luò)安全工作應(yīng)注意的問(wèn)題

(1)理順技術(shù)與管理的關(guān)系。解決信息安全問(wèn)題不能僅僅只從技術(shù)上考慮,要防止重技術(shù)輕管理的傾向,加強(qiáng)對(duì)人員的管理和培訓(xùn)。

(2)解決安全和經(jīng)濟(jì)合理的關(guān)系。安全方案要能適應(yīng)長(zhǎng)遠(yuǎn)的發(fā)展和今后的局部調(diào)整,防止不斷改造,不斷投入。

(3)要進(jìn)行有效的安全管理,必須建立起一套系統(tǒng)全面的信息安全管理體系,可以參照國(guó)際上通行的一些標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)。

(4)網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的、全局的管理問(wèn)題,網(wǎng)絡(luò)上的任何一個(gè)漏洞,都會(huì)導(dǎo)致全網(wǎng)的安全問(wèn)題,應(yīng)該用系統(tǒng)工程的觀點(diǎn)、方法,分析網(wǎng)絡(luò)的安全及具體措施。

篇6

【 關(guān)鍵詞 】 高校;科研機(jī)構(gòu);信息安全;對(duì)策

Discussion on Scientific Research Institution of Universities in

Information Security Management and Measures

Zhang Jian-hua

(President Office, Beijing University of Aeronautics and Astronautics Beijing 100191)

【 Abstract 】 In the light of the information security management problems of scientific research institution of universities, the measures are put forward to enhance the construction of information security level strategy from management and technology two respects.

【 Keywords 】 universities; scientific research institution; information security; measures

1 引言

隨著信息技術(shù)的發(fā)展和信息化應(yīng)用的日趨深入,信息安全建設(shè)及其應(yīng)用正在成為教育科研單位日常教育管理和科研生產(chǎn)不可或缺的一環(huán)。高校等科研單位對(duì)信息安全管理的認(rèn)識(shí)程度越來(lái)越高,研究院等單位的信息系統(tǒng)規(guī)模和水平也在不斷攀升,然而隨著高校各系統(tǒng)建設(shè)程度的不斷完善,以高校為代表的科研機(jī)構(gòu)的信息安全管理問(wèn)題也愈加突出。

2 高??蒲袡C(jī)構(gòu)存在的信息安全管理問(wèn)題

近年來(lái),高校等科研機(jī)構(gòu)逐步認(rèn)識(shí)到信息安全對(duì)于自身的重要性,于是不少單位成立了“信息管理部門(mén)”來(lái)推行統(tǒng)一的管理規(guī)范和進(jìn)行信息安全知識(shí)普及,其主要目的是為了從安全技術(shù)和管理兩個(gè)方面來(lái)解決高校中科研機(jī)構(gòu)的信息安全問(wèn)題,充分提高機(jī)構(gòu)人員的信息安全管理意識(shí)和保密工作的能力。當(dāng)下,雖然有一些高校的科研單位在信息安全和管理建設(shè)方面已經(jīng)取得了長(zhǎng)足的進(jìn)步,但其科研單位內(nèi)部仍然存在著很多問(wèn)題。

(1)首先,在以往長(zhǎng)期封閉的科研環(huán)境影響下,相關(guān)科研人員目前依然不具備良好的安全意識(shí),對(duì)于信息安全的認(rèn)識(shí)水平不高。同時(shí)高校等相關(guān)管理部門(mén)較容易忽視信息安全在其科研系統(tǒng)中的發(fā)展戰(zhàn)略和計(jì)劃,這些都間接導(dǎo)致了信息安全管理制度推行力度不夠,實(shí)施安全教育的硬性條件有限。其次,由于學(xué)科建設(shè)和專(zhuān)業(yè)水平所限,也使得國(guó)內(nèi)技術(shù)過(guò)硬的信息安全專(zhuān)業(yè)人才供應(yīng)不足,間接影響了相關(guān)單位的人才儲(chǔ)備水平。

(2)當(dāng)下許多高校等科研單位在信息系統(tǒng)不斷增加的情況下,對(duì)以往基礎(chǔ)設(shè)施配備水平存在著一定的依賴(lài)性,不能夠很好的適應(yīng)新環(huán)境。在信息系統(tǒng)運(yùn)作業(yè)務(wù)的安全風(fēng)險(xiǎn)和意識(shí)提升上,又缺乏有效性驗(yàn)證與評(píng)估辦法?,F(xiàn)實(shí)中的任何信息系統(tǒng)都是一連串復(fù)雜的環(huán)節(jié),信息安全措施必須滲透到信息系統(tǒng)的每一個(gè)部位,其中一些問(wèn)題的解決方案,需要信息系統(tǒng)的設(shè)計(jì)人員、測(cè)試人員和使用人員都熟知并能夠成為規(guī)范來(lái)遵守。

(3)不安全因素對(duì)于信息系統(tǒng)而言總是存在的,沒(méi)有任何一個(gè)信息管理方法能提供絕對(duì)的保障。因此,高校等科研單位在認(rèn)識(shí)和進(jìn)行信息系統(tǒng)安全管理教育的時(shí)候,應(yīng)該著重加強(qiáng)基層人員的信息安全管理實(shí)踐教育,應(yīng)讓相關(guān)人員充分意識(shí)到,雖然信息安全建設(shè)并非意在建設(shè)一個(gè)創(chuàng)收的平臺(tái),但它是一個(gè)保障科研成果和提升工作效率的平臺(tái)。管理者有必要做出適合科研單位進(jìn)行教育實(shí)施的信息安全教育發(fā)展戰(zhàn)略和計(jì)劃,充分加強(qiáng)信息安全教育在管理實(shí)踐上的投入,嚴(yán)格有效地執(zhí)行相應(yīng)的安全策略、安全措施和安全管理制度,以最大限度避免使用和管理信息系統(tǒng)時(shí)的固有風(fēng)險(xiǎn)。

(4)近年來(lái),我國(guó)大型科研單位相繼出現(xiàn)過(guò)不同程度的泄密事件,這些事件的直接后果是不僅導(dǎo)致了科研成果的流失,還造成了較大程度的經(jīng)濟(jì)損失和不良的社會(huì)影響。雖然各大信息系統(tǒng)工程和信息化程度要求非常高的相關(guān)行業(yè),也都出臺(tái)了對(duì)信息安全技術(shù)產(chǎn)品的應(yīng)用標(biāo)準(zhǔn)和規(guī)范,但只有建立一個(gè)嚴(yán)格的信息安全管理策略,才能全面的保障其安全性。

3 解決高??蒲袡C(jī)構(gòu)存在的信息安全的對(duì)策

3.1 技術(shù)層面

在技術(shù)層面上:高??蒲泄芾硐到y(tǒng)是以計(jì)算機(jī)和數(shù)據(jù)庫(kù)通信網(wǎng)絡(luò)為基礎(chǔ)的應(yīng)用管理系統(tǒng),是一個(gè)開(kāi)放式的互聯(lián)網(wǎng)絡(luò)系統(tǒng),與網(wǎng)絡(luò)系統(tǒng)連接的任何終端用戶(hù)都可以進(jìn)人和訪問(wèn)網(wǎng)絡(luò)中的資源。作為信息通訊數(shù)據(jù)平臺(tái),其所受到的安全威脅主要存在于信息通信傳輸、存儲(chǔ)和加工的各個(gè)階段。因此在制定技術(shù)對(duì)策方面就需要制定統(tǒng)一全面的安全策略,同時(shí)也注重建設(shè)統(tǒng)一認(rèn)證和授權(quán)管理系統(tǒng),通過(guò)硬件接入設(shè)備和定制化管理軟件的配合部署,加強(qiáng)網(wǎng)絡(luò)層面和應(yīng)用層面的安全資源整合,形成覆蓋全網(wǎng)的科研信息化安全保障能力,并充分利用自主創(chuàng)新的科研信息化安全技術(shù),不斷增強(qiáng)基礎(chǔ)運(yùn)行平臺(tái)的網(wǎng)絡(luò)安全能力,為科研信息化基礎(chǔ)環(huán)境和應(yīng)用系統(tǒng)提供有力的安全保障。

在保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要應(yīng)用系統(tǒng)的安全方面,一方面需要構(gòu)建身份認(rèn)證管理系統(tǒng)、網(wǎng)絡(luò)安全管理平臺(tái)、惡意代碼防護(hù)系統(tǒng)、安全審計(jì)平臺(tái)等面向全網(wǎng)用戶(hù)的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施,實(shí)現(xiàn)實(shí)時(shí)預(yù)警、事件分析、決策支持、資源調(diào)度等功能;另一方面需要建立起包括安全咨詢(xún)、安全規(guī)劃、安全檢測(cè)、安全培訓(xùn)等環(huán)節(jié)在內(nèi)的安全服務(wù)體系,引入除技術(shù)體系和管理體系以外的第三方服務(wù)支持,實(shí)現(xiàn)安全事件的及時(shí)發(fā)現(xiàn)。

3.2 管理和教育層面

在管理和教育層面上:以企業(yè)為參考標(biāo)度,對(duì)高??蒲袡C(jī)構(gòu)工作人員進(jìn)行信息安全意識(shí)以及管理實(shí)踐知識(shí)的普及,將信息安全管理理念提到戰(zhàn)略高度來(lái)看待。充分遵循信息安全流程制定相應(yīng)管理制度,除技術(shù)保障外,將人員、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)和管理規(guī)程的有機(jī)集合充分納入其中。充分認(rèn)識(shí)到信息安全管理實(shí)踐是保障信息實(shí)現(xiàn)有效管理與控制的重要途徑。所在部門(mén)應(yīng)客觀評(píng)估實(shí)現(xiàn)信息安全管理的需求水平,落實(shí)安全的組織和管理人員,明確每個(gè)人的角色與職責(zé);制定并開(kāi)發(fā)安全規(guī)劃和策略,定期開(kāi)展培訓(xùn)和工作會(huì)議;實(shí)施風(fēng)險(xiǎn)管理制度,制定業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難環(huán)境下恢復(fù)計(jì)劃;選擇實(shí)施安全措施;保證配置、變更的正確與安全;進(jìn)行安全審計(jì);保證維護(hù)支持;進(jìn)行監(jiān)控、檢查、處理安全事件。針對(duì)專(zhuān)業(yè)人員的培訓(xùn)和績(jī)效需要有效結(jié)合目標(biāo)管理和信息安全管理兩方面來(lái)展開(kāi)。

3.3 管理政策層面

在整個(gè)管理策略的制定上:建議采用分級(jí)策略,如果高校對(duì)于自身科研信息安全風(fēng)險(xiǎn)水平認(rèn)定為較高,而自身建設(shè)能力有限,則可以考慮與相關(guān)專(zhuān)業(yè)咨詢(xún)機(jī)構(gòu)合作,引入專(zhuān)家機(jī)制來(lái)完成相關(guān)工作,提升建設(shè)效率。

4 結(jié)束語(yǔ)

在國(guó)家大力推行科教興國(guó)與自主創(chuàng)新發(fā)展戰(zhàn)略的今天,信息安全建設(shè)對(duì)于保障科技創(chuàng)新自有成果,確保自主知識(shí)產(chǎn)權(quán)的創(chuàng)造價(jià)值,都有著極其重要的作用。而如何確保其信息安全能夠?qū)崿F(xiàn)自主可控的目標(biāo),也是以高校為代表的科研機(jī)構(gòu)行使和保障自身合法權(quán)益的重要途徑。因此我們必須綜合多方因素,系統(tǒng)考量,盡可能提供全面的、多方位的信息安全建設(shè)策略和信息安全管理與教育規(guī)范,以切實(shí)滿(mǎn)足高校等科研單位對(duì)信息安全保障體系的需求,降低科研成果的安全風(fēng)險(xiǎn),發(fā)揮高效的科研效率,保障科研生產(chǎn)的安全順利進(jìn)行。

參考文獻(xiàn)

[1] 張廣欽.信息管理教程[M].北京:北京大學(xué)出版社,2005.

[2] 徐茂智.信息安全概論[M].北京:人民郵電出版社,2007.

[3] 彭盛宏.淺析校園網(wǎng)存在的安全隱患及其對(duì)策[J].信息安全與技術(shù),2012,(1).

篇7

在通信計(jì)算機(jī)信息網(wǎng)絡(luò)化系統(tǒng)中通過(guò)電磁的方式對(duì)信息進(jìn)行處理,并對(duì)所有單位的信息處理系統(tǒng)做服務(wù),從而保護(hù)所有事業(yè)單位、企業(yè)、公司的信息安全就是通信計(jì)算機(jī)信息安全。確保信息的安全和正確,防止信息受到惡意傳播或篡改是通信計(jì)算機(jī)信息安全的主要目的。當(dāng)今社會(huì)飛速發(fā)展,信息的處理進(jìn)入到大數(shù)據(jù)云處理時(shí)代,也就是統(tǒng)一配置大量的互聯(lián)網(wǎng)所使用的信息資源,并向有需求的客戶(hù)發(fā)送有用的信息資源,從而實(shí)現(xiàn)大數(shù)據(jù)下對(duì)客戶(hù)的服務(wù)。信息的安全性若是在云計(jì)算、云處理的方式下得不到保障,被云計(jì)算所服務(wù)的對(duì)象的信息安全就會(huì)受到威脅,因此,我們必須保障通信計(jì)算機(jī)的信息安全。

2通信計(jì)算機(jī)存在的信息安全問(wèn)題

人為密碼操作不當(dāng)、黑客攻擊或病毒攻擊都會(huì)威脅到計(jì)算機(jī)的信息安全。通信計(jì)算機(jī)信息的物理安全與邏輯安全出現(xiàn)問(wèn)題,也會(huì)帶來(lái)安全隱患。通常物理安全就是指計(jì)算機(jī)的硬件安全,若是在信息數(shù)據(jù)沒(méi)有備份的前提下計(jì)算機(jī)的硬件發(fā)生了問(wèn)題,通信計(jì)算機(jī)的信息安全就會(huì)面臨著通信信息數(shù)據(jù)在不可預(yù)見(jiàn)的情況下消失的安全隱患;邏輯安全通常指對(duì)信息的不可缺失性、完整性的保護(hù),通過(guò)保密設(shè)置來(lái)保障信息的可用性。下面將詳細(xì)介紹通信計(jì)算機(jī)中存在的信息安全問(wèn)題。

2.1受到網(wǎng)絡(luò)黑客的攻擊

網(wǎng)絡(luò)黑客的攻擊是通信計(jì)算機(jī)面臨的最普遍也是最嚴(yán)重的安全問(wèn)題。網(wǎng)絡(luò)黑客對(duì)通信計(jì)算機(jī)的攻擊主要有以下兩種方式:一是主動(dòng)攻擊的方式,也就是黑客自主選擇其想要進(jìn)行攻擊的計(jì)算機(jī)或網(wǎng)絡(luò)程序,然后用此對(duì)其所具有的信號(hào)做破壞,最終使得計(jì)算機(jī)內(nèi)部的信號(hào)癱瘓或失效,進(jìn)而一次性獲取其所想要得到的信息的方式;二是被動(dòng)攻擊的方式,也就是在不對(duì)網(wǎng)絡(luò)信號(hào)進(jìn)行破壞的前提下,黑客利用一定的技術(shù)來(lái)獲取非常重要的網(wǎng)絡(luò)信息的方式。主動(dòng)攻擊的方式與被動(dòng)攻擊的方式都會(huì)給通信計(jì)算的安全帶來(lái)直接并嚴(yán)重的威脅,給通信計(jì)算機(jī)的信息帶來(lái)安全隱患,都會(huì)使得計(jì)算機(jī)內(nèi)部的關(guān)鍵重要信息得到泄露。

2.2受到病毒傳播的危害

通信計(jì)算機(jī)最常面臨的安全問(wèn)題就是病毒傳播,并且病毒傳播可以給計(jì)算機(jī)的信息安全帶來(lái)非常嚴(yán)重的危害。由于計(jì)算機(jī)具有異常復(fù)雜、類(lèi)型較多、可以自動(dòng)復(fù)制傳播的特點(diǎn),因此病毒一旦控制某個(gè)計(jì)算機(jī),就會(huì)使得這個(gè)計(jì)算機(jī)不能正常的進(jìn)行工作,并且會(huì)嚴(yán)重流失大量的信息,嚴(yán)重威脅到通信計(jì)算機(jī)的信息安全。因此,我們必須嚴(yán)加關(guān)注病毒傳播給通信計(jì)算機(jī)所帶來(lái)的安全問(wèn)題,并努力提出相應(yīng)的應(yīng)對(duì)措施。

2.3用戶(hù)自身的安全意識(shí)較低

在計(jì)算機(jī)得到大面積的應(yīng)用和普及之后,目前應(yīng)用通信計(jì)算機(jī)的用戶(hù)很多,但是真正具備豐富專(zhuān)業(yè)的計(jì)算機(jī)知識(shí)或計(jì)算機(jī)技術(shù)的用戶(hù)鮮見(jiàn),大多數(shù)用戶(hù)只是掌握了最基本的網(wǎng)絡(luò)使用功能用來(lái)查看和獲取有用的信息資源而已,因此他們對(duì)通信計(jì)算機(jī)網(wǎng)絡(luò)安全沒(méi)有全面透徹的意識(shí)與認(rèn)識(shí)。

3保障通信計(jì)算機(jī)信息安全的對(duì)策

3.1設(shè)置復(fù)雜嚴(yán)密的計(jì)算機(jī)密碼

由于在當(dāng)今云計(jì)算的時(shí)代,所設(shè)置密碼的復(fù)雜度直接決定了信息數(shù)據(jù)的安全性,因此,要想信息數(shù)據(jù)足夠安全,就必須設(shè)置異常復(fù)雜的密碼。從訪問(wèn)服務(wù)器來(lái)說(shuō),由于某些企業(yè)或公司對(duì)重要客戶(hù)的重要信息設(shè)置密碼的程序及所設(shè)置的密碼過(guò)于簡(jiǎn)單,從而給信息的安全性造成了嚴(yán)重的威脅。因此,只有設(shè)置足夠復(fù)雜的密碼,才能保障重要信息數(shù)據(jù)的安全性,需要盡量創(chuàng)造條件設(shè)置很難被破解的專(zhuān)業(yè)編碼。并且,為了有效地對(duì)信息安全實(shí)施保護(hù),需要在公司或企業(yè)內(nèi)部對(duì)密碼的設(shè)置制定相應(yīng)合理的程序,主要包括規(guī)定密碼的設(shè)置條件、知道密碼的人群等。

3.2安裝并使用網(wǎng)絡(luò)防火墻及病毒查殺工具

網(wǎng)絡(luò)防火墻的運(yùn)行原理主要是:首先,過(guò)濾技術(shù),就是利用事先設(shè)定的標(biāo)準(zhǔn)或技術(shù)來(lái)篩選在網(wǎng)絡(luò)中正在傳播的信息,對(duì)可疑的信息進(jìn)行排除,對(duì)安全信息開(kāi)通綠色通道,從而達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的;其次,監(jiān)測(cè)狀態(tài)技術(shù),就是通過(guò)系統(tǒng)化的監(jiān)測(cè)網(wǎng)絡(luò)的搜索引擎來(lái)保存網(wǎng)絡(luò)中的動(dòng)態(tài)信息,并把其用作網(wǎng)絡(luò)的參考標(biāo)準(zhǔn),若是監(jiān)測(cè)到某個(gè)網(wǎng)絡(luò)數(shù)據(jù)發(fā)生異常的變化,就馬上終止異常數(shù)據(jù)的繼續(xù)運(yùn)行。并且病毒查殺工具(例如360木馬查殺)的使用能夠有效地避免計(jì)算機(jī)受到病毒的攻擊,從而保障計(jì)算機(jī)的信息安全。

3.3提高網(wǎng)絡(luò)工作者的安全技術(shù)與安全意識(shí)

必須從網(wǎng)絡(luò)工作者的實(shí)際出發(fā),結(jié)合網(wǎng)絡(luò)安全問(wèn)題及安全知識(shí)給網(wǎng)絡(luò)工作者開(kāi)展有關(guān)網(wǎng)絡(luò)安全的宣傳與培訓(xùn),利用這一系列手段來(lái)提高他們的網(wǎng)絡(luò)安全意識(shí),并使其對(duì)網(wǎng)絡(luò)攻擊所造成的嚴(yán)重后果有深刻的認(rèn)識(shí),從而在工作過(guò)程中保持較高的安全警惕性,時(shí)刻避免與防止發(fā)生網(wǎng)絡(luò)安全事故。另一方面,也可以對(duì)網(wǎng)絡(luò)工作者開(kāi)展網(wǎng)絡(luò)技術(shù)培訓(xùn)工作,保障他們能夠與先進(jìn)的網(wǎng)絡(luò)知識(shí)有直接的接觸與了解,并使其熟練掌握與通信計(jì)算機(jī)有關(guān)的技術(shù),這樣能夠降低他們?cè)诠ぷ鬟^(guò)程中發(fā)生失誤的狀況,并且能夠使網(wǎng)絡(luò)計(jì)算機(jī)的管理得到加強(qiáng),提高計(jì)算網(wǎng)絡(luò)信息的可靠性與安全性。

3.4對(duì)信息數(shù)據(jù)管理者開(kāi)展有效的培訓(xùn)

要對(duì)有修改、查看通信信息數(shù)據(jù)權(quán)利的管理人員開(kāi)展有效的計(jì)算機(jī)知識(shí)的培訓(xùn),提高他們的網(wǎng)絡(luò)信息安全意識(shí)。同時(shí),企業(yè)在招聘的時(shí)候,要注意招聘具備通信計(jì)算機(jī)信息安全專(zhuān)業(yè)知識(shí)或素養(yǎng)的專(zhuān)業(yè)人才,因?yàn)樗麄兛梢栽谕ㄐ判畔⒃獾狡茐牡牡谝粫r(shí)間對(duì)其實(shí)施有效的維修,能夠找回失掉的通信信息,最大程度上降低損失,保障通信計(jì)算機(jī)的信息安全。

3.5加強(qiáng)安全服務(wù)與管理

首先,要加強(qiáng)對(duì)通信計(jì)算機(jī)信息的安全服務(wù),也就是在網(wǎng)絡(luò)的顯目位置對(duì)與網(wǎng)絡(luò)安全有關(guān)的知識(shí)進(jìn)行展示,并廣泛征集客戶(hù)對(duì)網(wǎng)站設(shè)計(jì)的意見(jiàn)及建議,建立網(wǎng)絡(luò)信息安全評(píng)估部門(mén),對(duì)運(yùn)營(yíng)和維修人員定期開(kāi)展相應(yīng)的安全培訓(xùn),實(shí)施安全巡檢制度,使對(duì)網(wǎng)絡(luò)的安全巡檢常態(tài)化。其次,要加強(qiáng)對(duì)通信計(jì)算機(jī)信息的安全管理,優(yōu)化安全管理機(jī)構(gòu),完善安全管理制度,開(kāi)發(fā)系統(tǒng)化的管理方案,建設(shè)系統(tǒng)化的運(yùn)營(yíng)與維修體系,盡最大努力降低通信計(jì)算機(jī)信息所受到的非技術(shù)問(wèn)題的安全威脅。

4小結(jié)

篇8

風(fēng)險(xiǎn)管理是當(dāng)前銀行經(jīng)營(yíng)活動(dòng)的主旋律。在銀行界越來(lái)越依賴(lài)于信息技術(shù)的情況下,信息風(fēng)險(xiǎn)監(jiān)督成為銀行信息化風(fēng)險(xiǎn)管理不可忽略的重要組成部分。雖然各銀行都有自己的信息安全主管部門(mén),他們是信息安全的建設(shè)者、維護(hù)者,對(duì)信息安全有著豐富的現(xiàn)場(chǎng)經(jīng)驗(yàn)與專(zhuān)業(yè)經(jīng)驗(yàn),但在他們身兼運(yùn)動(dòng)員和裁判員雙重身份的同時(shí),已不足以向最高管理層保證信息安全的有效性。因此,建立科學(xué)的信息風(fēng)險(xiǎn)監(jiān)督機(jī)制,對(duì)加強(qiáng)銀行風(fēng)險(xiǎn)管理,確保銀行信息系統(tǒng)的安全、穩(wěn)定、持續(xù)有效地運(yùn)行,就顯得尤為重要。

一、信息系統(tǒng)風(fēng)險(xiǎn)監(jiān)督的概念及意義

信息風(fēng)險(xiǎn)監(jiān)督是指對(duì)特定環(huán)境中的信息系統(tǒng)及其處理的傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等進(jìn)行監(jiān)督,進(jìn)而對(duì)其安全性進(jìn)行風(fēng)險(xiǎn)分析、評(píng)估,找出潛在的致命缺陷和易被忽略的問(wèn)題,為信息系統(tǒng)的安全設(shè)計(jì),選擇合理的安全產(chǎn)品和安全管理提供可靠的依據(jù)。信息風(fēng)險(xiǎn)監(jiān)督的內(nèi)容包括信息系統(tǒng)的物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、技術(shù)安全保障和安全管理控制五個(gè)部分。

信息風(fēng)險(xiǎn)監(jiān)督是信息安全的基礎(chǔ)性工作,它是對(duì)信息系統(tǒng)的運(yùn)行過(guò)程,進(jìn)行安全監(jiān)察、分析的一個(gè)持續(xù)工作,是分級(jí)防護(hù)和突出重點(diǎn)的具體體現(xiàn)。風(fēng)險(xiǎn)監(jiān)督對(duì)信息安全具有非常重要的意義:首先,它能摸清情況,評(píng)判保護(hù)措施,可對(duì)信息安全有關(guān)的決策產(chǎn)生決定性的影響;其次,它是信息安全規(guī)劃的重要依據(jù);第三,后評(píng)估是改進(jìn)信息安全工作的依據(jù)和出發(fā)點(diǎn)。即:進(jìn)行風(fēng)險(xiǎn)評(píng)估后,可以認(rèn)清信息安全環(huán)境、信息安全狀況,有助于達(dá)成公式,明確責(zé)任,采取或完善等級(jí)保護(hù)、分級(jí)管理、分類(lèi)指導(dǎo)等各種安全保障措施,使其更加經(jīng)濟(jì)有效,并使信息安全策略保持一致性和持續(xù)性;第四,它是制定信息安全策略和戰(zhàn)略的基礎(chǔ)。因此,信息風(fēng)險(xiǎn)監(jiān)督作為加強(qiáng)信息安全風(fēng)險(xiǎn)管理的重要組成部分,在整個(gè)銀行業(yè)信息風(fēng)險(xiǎn)管理中具有極其不可動(dòng)搖的地位。

二、信息系統(tǒng)脆弱性的客觀存在需要風(fēng)險(xiǎn)監(jiān)督

信息系統(tǒng)安全是相對(duì)的,沒(méi)有絕對(duì)的安全系統(tǒng)。它具有時(shí)效性、復(fù)雜性和不可避免的特點(diǎn)。隨著新的漏洞與攻擊方法的不斷發(fā)現(xiàn),原來(lái)的安全的系統(tǒng)霎時(shí)變得危機(jī)四伏;加之,由于技術(shù)發(fā)展的局限和人類(lèi)的能力限制,在程序設(shè)計(jì)之初人們不能認(rèn)識(shí)所有的問(wèn)題,失誤和考慮不周在所難免。因此,為了實(shí)現(xiàn)信息系統(tǒng)的安全、穩(wěn)定運(yùn)行這一目標(biāo),就必須采取一系列的安全制度和技術(shù)保障方法,對(duì)信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行事先防患、事中控制、事后監(jiān)督及糾正,以化解因信息系統(tǒng)的脆弱造成的金融風(fēng)險(xiǎn)。信息系統(tǒng)的脆弱性主要表現(xiàn)在以下幾個(gè)方面:

1、信息系統(tǒng)軟硬件本身存在著很大的脆弱性。一方面表現(xiàn)在設(shè)備的自然損耗、制造缺陷和不可預(yù)測(cè)的自然環(huán)境因素,如火災(zāi)、水災(zāi)、地震、戰(zhàn)爭(zhēng)等不可抗拒的自然災(zāi)難。另一方面表現(xiàn)在由于技術(shù)發(fā)展的局限和人類(lèi)的能力限制,面對(duì)龐大的操作系統(tǒng)、復(fù)雜的應(yīng)用程序,在設(shè)計(jì)之初人們不能認(rèn)識(shí)所有的問(wèn)題,失誤和考慮不周在所難免。

2、銀行數(shù)據(jù)傳輸網(wǎng)絡(luò)的脆弱性。隨著金融網(wǎng)上業(yè)務(wù)的拓展,網(wǎng)上銀行、移動(dòng)銀行、電子商務(wù)等,已成為銀行追逐的利潤(rùn)增長(zhǎng)點(diǎn)。銀行業(yè)務(wù)系統(tǒng)要順應(yīng)開(kāi)放和互連的趨勢(shì),其信息安全范疇已經(jīng)突破了以業(yè)務(wù)系統(tǒng)物理隔離和協(xié)議隔離為基礎(chǔ)的傳統(tǒng)銀行信息安全,在公網(wǎng)環(huán)境下防止黑客、病毒的破壞,在Internet上保證金融數(shù)據(jù)的安全采集、安全存儲(chǔ)、安全傳輸和安全處理,將是金融信息系統(tǒng)建設(shè)面臨的重要挑戰(zhàn)。

3、安全技術(shù)保障的欠缺。當(dāng)前我國(guó)金融界的信息安全建設(shè)中存在著:整體安全系統(tǒng)建設(shè)的欠缺;內(nèi)部網(wǎng)絡(luò)安全監(jiān)控與防范的欠缺;智能與主動(dòng)性安全防范體系建設(shè)的欠缺;全面集中安全管理策略平臺(tái)定制方面的欠缺。

4、信息風(fēng)險(xiǎn)是動(dòng)態(tài)變化的,安全是相對(duì)的。只有在特定環(huán)境與特定配制下的安全,技術(shù)的發(fā)展和環(huán)境的變化使系統(tǒng)安全始終處于動(dòng)態(tài)之中。日常管理中的不同配制會(huì)引入新的問(wèn)題;新的系統(tǒng)組件同樣會(huì)引入新的問(wèn)題,因此對(duì)它們監(jiān)督必須長(zhǎng)期的,并隨之變化而維護(hù)。

三、化解信息風(fēng)險(xiǎn)關(guān)鍵在于管理

我們面臨的信息安全問(wèn)題還不僅在于IT技術(shù)的脆弱性,更在于不同價(jià)值觀的挑戰(zhàn),在于不法之徒或敵對(duì)勢(shì)力集團(tuán)的威脅。解決信息安全三分靠技術(shù)、七分靠管理。因此,加強(qiáng)對(duì)信息安全管理體系的建設(shè)是信息監(jiān)督的重要任務(wù)和目的。一個(gè)好的信息安全管理體系,離不開(kāi)以下幾個(gè)環(huán)節(jié):

1、領(lǐng)導(dǎo)的重視。信息安全管理是一個(gè)復(fù)雜的、動(dòng)態(tài)的系統(tǒng)工程,關(guān)系到安全項(xiàng)目的規(guī)劃、應(yīng)用需求的分析、網(wǎng)絡(luò)技術(shù)運(yùn)用、安全策略制定、人員分工人員安全培訓(xùn)和規(guī)章制度建立的各個(gè)層面。這僅依靠技術(shù)人員的職能是無(wú)法完成的,必須有領(lǐng)導(dǎo)的高度重視與親身參與。

2、隨需求確定安全管理策略。隨著信息技術(shù)的不斷發(fā)展,一個(gè)完整信息安全策略的制訂和實(shí)施,是一個(gè)動(dòng)態(tài)的延續(xù)過(guò)程。不同的系統(tǒng)有不同的安全需求,在有限的資金情況下,遵照國(guó)家和本部門(mén)有關(guān)信息安全的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范,針對(duì)本部門(mén)專(zhuān)項(xiàng)應(yīng)用,對(duì)數(shù)據(jù)管理和系統(tǒng)流程的各個(gè)環(huán)節(jié)進(jìn)行安全評(píng)估,確定使用的安全技術(shù)、設(shè)定安全應(yīng)用等級(jí)、明確人員職責(zé)、制定安全分步實(shí)施方案,達(dá)到安全和應(yīng)用的科學(xué)平衡。

3、全員參與安全培訓(xùn)。信息安全最大的威脅不是來(lái)自外部,而是內(nèi)部人員對(duì)信息安全知識(shí)的缺乏。人是信息安全目標(biāo)實(shí)現(xiàn)的主體,信息安全要靠全體員工共同努力,否則就會(huì)出現(xiàn)所謂的“木桶效應(yīng)”。因此,加強(qiáng)信息安全培訓(xùn)和法制教育就顯得尤為重要,通過(guò)對(duì)計(jì)算機(jī)安全知識(shí)的培訓(xùn)和法制教育,使他們真正認(rèn)識(shí)到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的重要性和解決這一問(wèn)題的長(zhǎng)期性和艱巨性,真正了解遵守安全管理制度的必要性和違反制度帶來(lái)的后果,從而自覺(jué)把遵守規(guī)章制度貫徹到實(shí)際工作中去。全面提高全行員工的信息安全的防范能力。

同時(shí),由于信息技術(shù)始終處于不斷的發(fā)展變化中,對(duì)信息安全管理員來(lái)說(shuō)也是一個(gè)不斷學(xué)習(xí)、提高的過(guò)程,只有通過(guò)對(duì)安全理論、安全技術(shù),安全產(chǎn)品培訓(xùn)學(xué)習(xí),才能阻擊各種多樣化的攻擊手段,化解信息風(fēng)險(xiǎn)。

4、狠抓制度建設(shè)和落實(shí)。根據(jù)金融信息化建設(shè)的總體要求,逐步健全一套完整的風(fēng)險(xiǎn)安全管理體系,以加強(qiáng)規(guī)范信息管理和制度控制,規(guī)范銀行管理和操作人員的行為,明確具體責(zé)任。同時(shí),制定的各項(xiàng)制度要有很強(qiáng)的可操作性,只有這樣,才能保證它的有效實(shí)施。如:制定相應(yīng)的機(jī)房出入管理制度,口令密碼管理制度等;制定嚴(yán)格的操作規(guī)程,操作規(guī)程要根據(jù)職責(zé)分離和對(duì)人負(fù)責(zé)的原則,各負(fù)其責(zé),不能超越自己的管轄范圍;制定完善的系統(tǒng)維護(hù)制度,詳細(xì)記錄故障原因、維護(hù)內(nèi)容和維護(hù)前后的情況。

篇9

論文關(guān)鍵詞:醫(yī)院信息系統(tǒng) 安全體系 網(wǎng)絡(luò)安 全數(shù)據(jù)安全

論文摘要:分析了目前威脅醫(yī)院網(wǎng)絡(luò)信息安全的各種因素結(jié)合網(wǎng)絡(luò)安全與管理工作的實(shí)踐,探討了構(gòu)建醫(yī)院信息安全防御體系的措施。

中國(guó)醫(yī)院信息化建設(shè)經(jīng)過(guò)20多年的發(fā)展歷程目前已經(jīng)進(jìn)入了一個(gè)高速發(fā)展時(shí)期。據(jù)2007年衛(wèi)生部統(tǒng)計(jì)信息中心對(duì)全國(guó)3765所醫(yī)院(其中:三級(jí)以上663家:三級(jí)以下31o2家)進(jìn)行信息化現(xiàn)狀調(diào)查顯示,超過(guò)80%的醫(yī)院建立了信息系統(tǒng)…。隨著信息網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,醫(yī)療和管理工作對(duì)信息系統(tǒng)的依賴(lài)性會(huì)越來(lái)越強(qiáng)。信息系統(tǒng)所承載的信息和服務(wù)安全性越發(fā)顯得重要。

1醫(yī)院信息安全現(xiàn)狀分析

隨著我們對(duì)信息安全的認(rèn)識(shí)不斷深入,目前醫(yī)院信息安全建設(shè)存在諸多問(wèn)題。

1.1信息安全策略不明確

醫(yī)院信息化工作的特殊性,對(duì)醫(yī)院信息安全提出了很高的要求。醫(yī)院信息安全建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程。有些醫(yī)院只注重各種網(wǎng)絡(luò)安全產(chǎn)品的采購(gòu)沒(méi)有制定信息安全的中、長(zhǎng)期規(guī)劃,沒(méi)有根據(jù)自己的信息安全目標(biāo)制定符合醫(yī)院實(shí)際的安全管理策略,或者沒(méi)有根據(jù)網(wǎng)絡(luò)信息安全出現(xiàn)的一些新問(wèn)題,及時(shí)調(diào)整醫(yī)院的信息安全策略。這些現(xiàn)象的出現(xiàn),使醫(yī)院信息安全產(chǎn)品不能得到合理的配置和適當(dāng)?shù)膬?yōu)化,不能起到應(yīng)有的作用。

1.2以計(jì)算機(jī)病毒、黑客攻擊等為代表的安全事件頻繁發(fā)生,危害日益嚴(yán)重

病毒泛濫、系統(tǒng)漏洞、黑客攻擊等諸多問(wèn)題,已經(jīng)直接影響到醫(yī)院的正常運(yùn)營(yíng)。目前,多數(shù)網(wǎng)絡(luò)安全事件都是由脆弱的用戶(hù)終端和“失控”的網(wǎng)絡(luò)使用行為引起的。在醫(yī)院網(wǎng)中,用戶(hù)終端不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫(kù)的現(xiàn)象普遍存在;私設(shè)服務(wù)器、私自訪問(wèn)外部網(wǎng)絡(luò)、濫用政府禁用軟件等行為也比比皆是?!笆Э亍钡挠脩?hù)終端一旦接入網(wǎng)絡(luò),就等于給潛在的安全威脅敞開(kāi)了大門(mén),使安全威脅在更大范圍內(nèi)快速擴(kuò)散。保證用戶(hù)終端的安全、阻止威脅入侵網(wǎng)絡(luò),對(duì)用戶(hù)的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行有效的控制,是保證醫(yī)院網(wǎng)絡(luò)安全運(yùn)行的前提,也是目前醫(yī)院網(wǎng)絡(luò)安全管理急需解決的問(wèn)題。

1.3安全孤島現(xiàn)象嚴(yán)重

目前,在醫(yī)院網(wǎng)絡(luò)安全建設(shè)中網(wǎng)絡(luò)、應(yīng)用系統(tǒng)防護(hù)上雖然采取了防火墻等安全產(chǎn)品和硬件冗余等安全措施,但安全產(chǎn)品之間無(wú)法實(shí)現(xiàn)聯(lián)動(dòng),安全信息無(wú)法挖掘,安全防護(hù)效果低,投資重復(fù),存在一定程度的安全孤島現(xiàn)象。另外,安全產(chǎn)品部署不均衡,各個(gè)系統(tǒng)部署了多個(gè)安全產(chǎn)品,但在系統(tǒng)邊界存在安全空白,沒(méi)有形成縱深的安全防護(hù)。

1.4信息安全意識(shí)不強(qiáng),安全制度不健全

從許多安全案例來(lái)看,很多醫(yī)院要么未制定安全管理制度,要么制定后卻得不到實(shí)施。醫(yī)院內(nèi)部員工計(jì)算機(jī)知識(shí)特別是信息安全知識(shí)和意識(shí)的缺乏是醫(yī)院信息化的一大隱患。加強(qiáng)對(duì)員工安全知識(shí)的培訓(xùn)刻不容緩。

2醫(yī)院信息安全防范措施

醫(yī)院信息安全的任務(wù)是多方面的,根據(jù)當(dāng)前信息安全的現(xiàn)狀,醫(yī)院信息安全應(yīng)該是安全策略、安全技術(shù)和安全管理的完美結(jié)合。

2.1安全策略

醫(yī)院信息系統(tǒng)~旦投入運(yùn)行,其數(shù)據(jù)安全問(wèn)題就成為系統(tǒng)能否持續(xù)正常運(yùn)行的關(guān)鍵。作為一個(gè)聯(lián)機(jī)事務(wù)系統(tǒng),一些大中型醫(yī)院要求每天二十四小時(shí)不問(wèn)斷運(yùn)行,如門(mén)診掛號(hào)、收費(fèi)、檢驗(yàn)等系統(tǒng),不能有太長(zhǎng)時(shí)間的中斷,也絕對(duì)不允許數(shù)據(jù)丟失,稍有不慎就會(huì)造成災(zāi)難性后果和巨大損失醫(yī)院信息系統(tǒng)在醫(yī)院各部門(mén)的應(yīng)用,使得各類(lèi)信息越來(lái)越集中,構(gòu)成醫(yī)院的數(shù)據(jù)、信息中心,如何合理分配訪問(wèn)權(quán)限,控制信息泄露以及惡意的破壞等信息的訪問(wèn)控制尤其重要:pacs系統(tǒng)的應(yīng)用以及電子病歷的應(yīng)用,使得醫(yī)學(xué)數(shù)據(jù)量急劇膨脹,數(shù)據(jù)多樣化,以及數(shù)據(jù)安全性、實(shí)時(shí)性的要求越來(lái)越高,要求醫(yī)院信息系統(tǒng)(his)必須具有高可用性,完備可靠的數(shù)據(jù)存儲(chǔ)、備份。醫(yī)院要根據(jù)自身網(wǎng)絡(luò)的實(shí)際情況確定安全管理等級(jí)和安全管理范圍,制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度,制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等,建立適合自身的網(wǎng)絡(luò)安全管理策略。網(wǎng)絡(luò)信息安全是一個(gè)整體的問(wèn)題,需要從管理與技術(shù)相結(jié)合的高度,制定與時(shí)俱進(jìn)的整體管理策略,并切實(shí)認(rèn)真地實(shí)施這些策略,才能達(dá)到提高網(wǎng)絡(luò)信息系統(tǒng)安全性的目的。

在網(wǎng)絡(luò)安全實(shí)施的策略及步驟上應(yīng)遵循輪回機(jī)制考慮以下五個(gè)方面的內(nèi)容:制定統(tǒng)一的安全策略、購(gòu)買(mǎi)相應(yīng)的安全產(chǎn)品實(shí)施安全保護(hù)、監(jiān)控網(wǎng)絡(luò)安全狀況(遇攻擊時(shí)可采取安全措施)、主動(dòng)測(cè)試網(wǎng)絡(luò)安全隱患、生成網(wǎng)絡(luò)安全總體報(bào)告并改善安全策略。

2.2安全管理

從安全管理上,建立和完善安全管理規(guī)范和機(jī)制,切實(shí)加強(qiáng)和落實(shí)安全管理制度,加強(qiáng)安全培訓(xùn),增強(qiáng)醫(yī)務(wù)人員的安全防范意識(shí)以及制定網(wǎng)絡(luò)安全應(yīng)急方案等。

2.2.1安全機(jī)構(gòu)建設(shè)。設(shè)立專(zhuān)門(mén)的信息安全領(lǐng)導(dǎo)小組,明確主要領(lǐng)導(dǎo)、分管領(lǐng)導(dǎo)和信息科的相應(yīng)責(zé)任職責(zé),嚴(yán)格落實(shí)信息管理責(zé)任l。領(lǐng)導(dǎo)小組應(yīng)不定期的組織信息安全檢查和應(yīng)急安全演練。

2.2.2安全隊(duì)伍建設(shè)。通過(guò)引進(jìn)、培訓(xùn)等渠道,建設(shè)一支高水平、穩(wěn)定的安全管理隊(duì)伍,是醫(yī)院信息系統(tǒng)能夠正常運(yùn)行的保證。

2.2.3安全制度建設(shè)。建立一整套切實(shí)可行的安全制度,包括:物理安全、系統(tǒng)與數(shù)據(jù)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、運(yùn)行安全和信息安全等各方面的規(guī)章制度,確保醫(yī)療工作有序進(jìn)行。

2.2.4應(yīng)急預(yù)案的制定與應(yīng)急演練

依據(jù)醫(yī)院業(yè)務(wù)特點(diǎn),以病人的容忍時(shí)間為衡量指標(biāo),建立不同層面、不同深度的應(yīng)急演練。定期人為制造“故障點(diǎn)”,進(jìn)行在線的技術(shù)性的分段應(yīng)急演練和集中應(yīng)急演練。同時(shí)信息科定期召開(kāi)“系統(tǒng)安全分析會(huì)”。從技術(shù)層面上通過(guò)數(shù)據(jù)挖掘等手段,分析信息系統(tǒng)的歷史性能數(shù)據(jù),預(yù)測(cè)信息系統(tǒng)的運(yùn)轉(zhuǎn)趨勢(shì),提前優(yōu)化系統(tǒng)結(jié)構(gòu),從而降低信息系統(tǒng)出現(xiàn)故障的概率;另一方面,不斷總結(jié)信息系統(tǒng)既往故障和處理經(jīng)驗(yàn),不斷調(diào)整技術(shù)安全策略和團(tuán)隊(duì)?wèi)?yīng)急處理能力,確保應(yīng)急流程的時(shí)效性和可用性。不斷人為制造“故障點(diǎn)”不僅是對(duì)技術(shù)架構(gòu)成熟度的考驗(yàn),而且還促進(jìn)全員熟悉應(yīng)急流程,提高應(yīng)急處理能力,實(shí)現(xiàn)了技術(shù)和非技術(shù)的完美結(jié)合。

2.3安全技術(shù)

從安全技術(shù)實(shí)施上,要進(jìn)行全面的安全漏洞檢測(cè)和分析,針對(duì)檢測(cè)和分析的結(jié)果制定防范措施和完整的解決方案。

2.3.1冗余技術(shù)

醫(yī)院信息網(wǎng)絡(luò)由于運(yùn)行整個(gè)醫(yī)院的業(yè)務(wù)系統(tǒng),需要保證網(wǎng)絡(luò)的正常運(yùn)行,不因網(wǎng)絡(luò)的故障或變化引起醫(yī)院業(yè)務(wù)的瞬間質(zhì)量惡化甚至內(nèi)部業(yè)務(wù)系統(tǒng)的中斷。網(wǎng)絡(luò)作為數(shù)據(jù)處理及轉(zhuǎn)發(fā)中心,應(yīng)充分考慮可靠性。網(wǎng)絡(luò)的可靠性通過(guò)冗余技術(shù)實(shí)現(xiàn),包括電源冗余、處理器冗余、模塊冗余、設(shè)備冗余、鏈路冗余等技術(shù)。

2.3.2建立安全的數(shù)據(jù)中心

醫(yī)療系統(tǒng)的數(shù)據(jù)類(lèi)型豐富,在不斷的對(duì)數(shù)據(jù)進(jìn)行讀取和存儲(chǔ)的同時(shí),也帶來(lái)了數(shù)據(jù)丟失,數(shù)據(jù)被非法調(diào)用,數(shù)據(jù)遭惡意破壞等安全隱患。為了保證系統(tǒng)數(shù)據(jù)的安全,建立安全可靠的數(shù)據(jù)中心,能夠很有效的杜絕安全隱患,加強(qiáng)醫(yī)療系統(tǒng)的數(shù)據(jù)安全等級(jí),保證各個(gè)醫(yī)療系統(tǒng)的健康運(yùn)轉(zhuǎn),確保病患的及時(shí)信息交互。融合的醫(yī)療系統(tǒng)數(shù)據(jù)中心包括了數(shù)據(jù)交換、安全防護(hù)、數(shù)據(jù)庫(kù)、存儲(chǔ)、服務(wù)器集群、災(zāi)難備份/恢復(fù),遠(yuǎn)程優(yōu)化等各個(gè)組件。

2.3.3加強(qiáng)客戶(hù)機(jī)管理

醫(yī)院信息的特點(diǎn)是分散處理、高度共享,用戶(hù)涉及醫(yī)生、護(hù)士、醫(yī)技人員和行政管理人員,因此需要制定一套統(tǒng)一且便于管理的客戶(hù)機(jī)管理方案。通過(guò)設(shè)定不同的訪問(wèn)權(quán)限,加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制的安全措施,控制用戶(hù)對(duì)特定數(shù)據(jù)的訪問(wèn),使每個(gè)用戶(hù)在整個(gè)系統(tǒng)中具有唯一的帳號(hào),限定各用戶(hù)一定級(jí)別的訪問(wèn)權(quán)限,如對(duì)系統(tǒng)盤(pán)符讀寫(xiě)、光驅(qū)訪問(wèn)、usb口的訪問(wèn)、更改注冊(cè)表和控制面板的限制等。同時(shí)捆綁客戶(hù)機(jī)的ip與mac地址以防用戶(hù)隨意更改ip地址和隨意更換網(wǎng)絡(luò)插口等惡意行為,檢查用戶(hù)終端是否安裝了信息安全部門(mén)規(guī)定的安全軟件、防病毒軟件以及漏洞補(bǔ)丁等,從而阻止非法用戶(hù)和非法軟件入網(wǎng)以確保只有符合安全策略規(guī)定的終端才能連入醫(yī)療網(wǎng)絡(luò)。

2.3.4安裝安全監(jiān)控系統(tǒng)

安全監(jiān)控系統(tǒng)可充分利用醫(yī)院現(xiàn)有的網(wǎng)絡(luò)和安全投資,隨時(shí)監(jiān)控和記錄各個(gè)終端以及網(wǎng)絡(luò)設(shè)備的運(yùn)行情況,識(shí)別、隔離被攻擊的組件。與此同時(shí),它可以強(qiáng)化行為管理,對(duì)各種網(wǎng)絡(luò)行為和操作進(jìn)行實(shí)施監(jiān)控,保持醫(yī)院內(nèi)部安全策略的符合性。

2.3.5物理隔離

根據(jù)物理位置、功能區(qū)域、業(yè)務(wù)應(yīng)用或者管理策略等劃分安全區(qū)域,不同的區(qū)域之間進(jìn)行物理隔離。封閉醫(yī)療網(wǎng)絡(luò)中所有對(duì)外的接口,防止黑客、外部攻擊、避免病毒的侵入。

篇10

[關(guān)鍵詞]計(jì)算機(jī) 信息安全技術(shù) 相關(guān)概念 防護(hù)內(nèi)容 防護(hù)措施

中圖分類(lèi)號(hào):TP393.0 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2016)28-0194-01

1.計(jì)算機(jī)信息安全的相關(guān)概念

計(jì)算機(jī)網(wǎng)絡(luò)安全指的是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的安全環(huán)境維護(hù),卞要保護(hù)的是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬盤(pán)、軟件中的數(shù)據(jù)資源,在沒(méi)有因?yàn)橐馔饣驉阂獾惹闆r下未遭遇人為型破壞和更改相關(guān)重要的數(shù)據(jù)信息,從而保障計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)的正常運(yùn)作。

2.計(jì)算機(jī)信息安全技術(shù)防護(hù)的內(nèi)容

計(jì)算機(jī)信息安全防護(hù),強(qiáng)化計(jì)算機(jī)信息安全管理的防護(hù)工作和防護(hù)內(nèi)容較多。從現(xiàn)階段計(jì)拿機(jī)信息安全防護(hù)的實(shí)際情況來(lái)看,強(qiáng)化對(duì)計(jì)算機(jī)安全信息的管理可以從計(jì)算機(jī)安全技術(shù)入手,對(duì)計(jì)算機(jī)系統(tǒng)的安全信息存在的漏洞進(jìn)行及時(shí)的檢測(cè)、修補(bǔ)和分析結(jié)合檢測(cè)分析得到的結(jié)果制定有效的防護(hù)方案建立完善的安全系統(tǒng)體系。其中安全系統(tǒng)體系包括安全防火墻、計(jì)算機(jī)網(wǎng)絡(luò)的殺毒軟件、入侵監(jiān)測(cè)掃描系統(tǒng)等信息安全防護(hù)體系。從計(jì)算機(jī)信息安全管理方面來(lái)看,需要建立健全的信息安全制度,欄窀據(jù)信息安全管理制度的相關(guān)規(guī)定對(duì)計(jì)算機(jī)信息進(jìn)行防護(hù),加強(qiáng)管理人員的安全防護(hù)意識(shí)。此外,計(jì)算機(jī)信息安全防護(hù)還需要充分考慮計(jì)算機(jī)安全數(shù)據(jù)資源的合法使用、安全穩(wěn)定運(yùn)作數(shù)據(jù)資料存儲(chǔ)和傳輸?shù)耐暾?、可控性、機(jī)密性和可用性等。

3.計(jì)算機(jī)信息安全防護(hù)中存在的問(wèn)題

隨著計(jì)算機(jī)信息化技術(shù)的進(jìn)一步發(fā)展,信息安全已經(jīng)引起人們的高度關(guān)注?,F(xiàn)階段計(jì)算機(jī)安全信息防護(hù)還存在諸多問(wèn)題。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全體系不夠完善,因此要保障計(jì)算機(jī)信息安全必須要配置一些安全信息設(shè)備,但是目前的安全技術(shù)水平偏低,安全信息質(zhì)量得不到保障。此外計(jì)算機(jī)系統(tǒng)內(nèi)部的應(yīng)急措施的構(gòu)建機(jī)制不夠健全,安全制度不完善,滿(mǎn)足不了信息安全的防護(hù)標(biāo)準(zhǔn)要求。近幾年來(lái),我國(guó)用人單位對(duì)計(jì)算機(jī)催息安全管理工作越來(lái)越重視,但是有些單位的計(jì)算機(jī)安全信息防護(hù)意識(shí)薄弱,負(fù)責(zé)信息安全防護(hù)的管理人員業(yè)務(wù)素質(zhì)偏低,計(jì)算機(jī)信息安全技術(shù)防護(hù)水平偏低。同時(shí),一些企業(yè)對(duì)管理人員的信息安全培訓(xùn)力度不足,對(duì)安全信息防護(hù)的設(shè)備費(fèi)用的投入力度不足。因此,現(xiàn)階段我國(guó)企業(yè)的計(jì)算機(jī)信息安全防護(hù)水平與社會(huì)服務(wù)的程度偏低。

4.計(jì)算機(jī)信息安全防護(hù)的措施

4.1 注計(jì)算機(jī)病毒的防護(hù)

計(jì)算機(jī)網(wǎng)絡(luò)之間的病毒傳播速度較快。現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)病毒必須要在互聯(lián)網(wǎng)環(huán)境下,對(duì)計(jì)算機(jī)的操作系統(tǒng)采取科學(xué)合理的防毒措施,有效防護(hù)計(jì)算機(jī)信息安全?,F(xiàn)階段,從計(jì)算機(jī)信息行業(yè)來(lái)看,針對(duì)不同的操作系統(tǒng),所采用的計(jì)算機(jī)防毒軟件的具體功能也會(huì)不一樣,但是能夠加強(qiáng)計(jì)算機(jī)用戶(hù)的信息安全防護(hù)利用安全掃描技術(shù)、訪問(wèn)控制技術(shù)、信息過(guò)濾技術(shù),制止惡性攻擊,加強(qiáng)計(jì)算機(jī)系統(tǒng)的安全性能,強(qiáng)化對(duì)計(jì)算機(jī)信息安全的防護(hù)。

4.2 信息安全技術(shù)

計(jì)算機(jī)信息安全技術(shù)主要包括實(shí)時(shí)的掃描技術(shù)、病毒情況研究報(bào)告技術(shù)、檢測(cè)技術(shù)、檢驗(yàn)保護(hù)技術(shù)、防火墻、計(jì)算機(jī)信息安全管理技術(shù)等。企業(yè)需要建立完善的信息安全管理和防護(hù)制度,提高系統(tǒng)管理工作人員人員技術(shù)水平和職業(yè)道德素質(zhì)。對(duì)重要的機(jī)密信息進(jìn)行嚴(yán)格的開(kāi)機(jī)查毒,及時(shí)地備份重要數(shù)據(jù),對(duì)網(wǎng)站訪問(wèn)進(jìn)行肖致地控制,實(shí)現(xiàn)信息安全的防范和保護(hù)對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份和咬復(fù)實(shí)現(xiàn)防護(hù)和管理數(shù)據(jù)的完整性。利用數(shù)據(jù)流加密技術(shù)、公鑰密碼體制、單鑰密碼體制等密碼技術(shù)劉信息進(jìn)行安全管理,保護(hù)信息的安全。切斷傳播途徑,對(duì)感染的計(jì)算機(jī)進(jìn)行徹底性查毒,不使用來(lái)路不明的程序、軟盤(pán)等,不隨意打開(kāi)可疑的郵件等。提高計(jì)算機(jī)網(wǎng)絡(luò)的抗病毒能力。在計(jì)算機(jī)上配置病毒防火墻,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)文件進(jìn)行及時(shí)地檢測(cè)和掃描。利用防病毒卡,對(duì)網(wǎng)絡(luò)文件訪問(wèn)權(quán)限進(jìn)行設(shè)置。

4.3 提高信息安全管理人員的技術(shù)防護(hù)水平

計(jì)算機(jī)信息安全不僅需要從技術(shù)上進(jìn)行信息安全防范措施,同時(shí)也要采取有效的管理措施,貫徹落實(shí)計(jì)算機(jī)信息安全防護(hù)反律法規(guī)制度,提高計(jì)算機(jī)信息的安全性。對(duì)計(jì)算機(jī)管理人員進(jìn)行培訓(xùn);建立完善的計(jì)算機(jī)信息安全管理機(jī)制,改進(jìn)計(jì)算機(jī)信息安全管理能力,加強(qiáng)計(jì)算機(jī)信息安全的立法和執(zhí)法力度,強(qiáng)化計(jì)算機(jī)信息管理的道德規(guī)范,提高管理人員對(duì)安全信息的防護(hù)意識(shí);明確計(jì)算機(jī)系統(tǒng)管理人員的工作職責(zé)。此外,企業(yè)需要增加對(duì)計(jì)算機(jī)安全信息防護(hù)設(shè)備的投入費(fèi)用,整體提高我國(guó)社會(huì)部門(mén)的計(jì)算機(jī)信息安全防護(hù)與社會(huì)服務(wù)水平。

5.結(jié)束語(yǔ)

綜合上述,計(jì)算機(jī)信息安全防護(hù)過(guò)程中存在著;信息安全管理體系不夠健全、信息安全制度不完善、負(fù)責(zé)信息安全防護(hù)的管理人員業(yè)務(wù)素質(zhì)偏低等問(wèn)題,這就要求企業(yè)從計(jì)算機(jī)病毒的防護(hù)、信息安全技術(shù)、信息安全管理人員的技術(shù)防護(hù)水平這三方面入手,全面提高計(jì)算機(jī)信息安全技術(shù)水平和管理人員對(duì)計(jì)算機(jī)信息的安全防護(hù)能力。

參考文獻(xiàn)