内网信息安全管理汇总十篇
内网信息安全管理篇(1)
电力企业作为能源行业的重要组成,随着网络通信技术的广泛应用,逐渐形成完善的计算机网络信息安全管理系统。然而,由于电力企业地域性分布广泛,各类业务应用相对繁杂,特别是网络拓扑结构交错性强,加之来自网络内外的各类潜在病毒及黑客攻击的干扰,网络安全问题面临严峻挑战。本研究将从电力企业内网安全管理入手,就其风险因素及防范技术展开探讨。
一、电力企业内网面临的完全威胁
内网是相对于外网而言,在电力企业内外建设上,根据不同应用领域和管理实际,内网建设多以核心交换机为中心,来实现对不同部门、不同业务之间的协同管理。其面临的安全威胁主要表现在:
一是物理层面的风险,如信息中心各主要服务器、路由器、交换机、工作站等硬件设备、线缆的安全,在进行网络部署时未能从防火、抗震、抗电磁辐射干扰上进行优化,特别是未对接地电阻、独立接地体,以及线缆屏蔽层进行防护,对于重要服务器及重要网络设备未建立双UPS电源管理,对一些关键数据设备在出现故障时未进行容灾备份设计。
二是网络架构安全因素,由于内网设计不同领域、不同部门的每一个员工,在不同站点之间采用不同的连接方式,如有些是光纤连接、有些是租赁专线,有些是VPN连接;在网络拓扑结构上因设备系统扩展,缺乏科学规划,导致逻辑网络子网划分不合理、子网间不安全连接问题突出。
三是网络系统设置因素,对于不同主机系统、网络设备等硬件在安全配置上存在漏洞,有些系统补丁不健全,容易留下攻击隐患;有些配置管理操作不规范,如一些路由器配置不合理,特别是针对Windows系统与Linux系统共存环境下的内网配置参数问题,都给系统管理带来影响。四是应用软件风险因素,从内网应用软件系统来看,一方面为办公系统软件,设计系统等通用软件,另一方面是电力系统协同软件,财务软件等行业类软件,再者是围绕电力生产、供应、管理、调度而开发的专用自动化系统软件,营销系统等。
由于不同软件厂家在软件设计、使用及软件漏洞管理上都存在不足,而电力企业在内网应用软件管理上未能进行协同推进,特别是软件的口令授权、权限设置,软件系统数据管理及配置、备份管理等问题,都可能带来更多安全缺陷。五是病毒防范及信息安全意识不足,对于内网,同样需要关注病毒侵害风险,特别是在一些文档传输中,对于病毒的形式、传播途径等未能进行专业防范,特别是风险意识不足,未能真正从制度上、管理上落实安全管理要求。
二、电力企业内网安全管理技术
(一)防火墙技术的应用。
在企业内外网最关键的安全防线就是防火墙,一方面防火墙阻止外网的未经许可的访问,另一方面实现对内网的安全防护。利用防火墙中的包过滤技术,可以实现对未经授权的访问流进行检索和控制。如判定数据请求的源地址、目标地质是否安全,数据传输端口是否正确;同时,防火墙还可以通过对传输数据的相关地址属性信息来判定数据包的请求是否合法,并进行优化处理; 另外,利用防火墙,还可以实现IP地址的转换,特别是通过地址映射技术,实现对内网网络中的IP地址进行虚拟化管理,实现对内网的安全保护。
(二)漏洞扫描及入侵检测技术。
对于网络安全的检测与管理,通常需要从漏洞扫描技术应用中,来发现本地网络及内部其他网络的安全脆弱性问题。特别是对网络系统内部各类运行行为的扫描,分析安全日志并监测不同内网用户的操作行为是否合法,并从系统平台的安全策略检测上,对可疑行为发出告警。如利用分段入侵检测来检查网络系统安全防护结构的完整性,提升内网安全管理效度。
(三)网络安全防护技术。
从内网安全管理实践来看,网络安全防护技术主要通过对网络系统设备、软硬件系统进行正确配置和合理优化,来抵御可能存在的内网安全风险。如在操作系统登录管理上,利用授权账户管理,并从密码及有效期限,以及操作权限上进行分级管理;在进行内网远程登录连接过程中,所有数据传输实施加密协议,如基于WEB的SSL、TLS加密技术;对于来自网络内的各类Dos攻击行为,利用路由器来设置拒绝服务模式,提升设备的可用性。
(四)防病毒软件技术。
计算机病毒是影响内网安全的重要风险,在病毒防御及控制上,需要围绕系统性、综合性特点来部署。由于病毒的发生具有随机性、动态性,在进行病毒防范上,需要结合病毒特征码、程序行为、关键字等进行检测,而病毒库的更新尤为重要。因此,在病毒防范技术上,一方面做好病毒库的升级更新,另一方面一旦发现病毒,需要从系统隔离、病毒清除、文件保护等方面进行处理,特别是针对一些常见的、恶意病毒,要实施全方位、多层次的病毒防御体系,确保每一台内网机器的安全。
三、结语
内网信息安全管理篇(2)
doi:10.3969/j.issn.1008-0821.2014.02.016
〔中图分类号〕g250.7 〔文献标识码〕a 〔文章编号〕1008-0821(2014)02-0076-06
借助于网络高新技术的发展,新的信息资源形态和使用方式,给图书馆读者带来便利的同时也必然存在许多隐患。计算机网络分布的广域性、开放性和信息资源的共享性,为信息的窃取、盗用、非法的增删、修改及种种扰乱破坏,提供了极为方便且难以控制的可乘之机,图书馆信息服务的权益及监督得不到有效的保障;同时,由于计算机网络的脆弱性,图书馆的网络系统本身经常处于黑客的攻击之中,一旦图书馆网络出现故障,轻则信息服务得不到有效保障、数据丢失,重则整个图书馆处于瘫痪境地。因此,在信息化时代,图书馆信息安全显得尤为重要,构建图书馆网络信息安全管理模型来保证网络信息安全,使其高效运行是图书馆现代化建设中一项迫在眉睫的重要任务。
1 信息安全管理概述信息安全管理,是指实施和维护信息安全的原则、规划、标准和内容的综合,包括信息安全策略、信息风险评估、信息技术控制和信息安全意识等。这些内容在一个信息安全治理框架下相互协调、相互说明,从而为组织提供全面的信息安全规划。它结合技术、程序和人员,以培养信息安全文化为目的,最终实现信息资产风险的最小化。为对信息安全内容有一个全面深入的了解,本文从信息安全原则、信息安全规划、信息安全标准和信息安全内容4个方面进行详细的论述,从而为图书馆网络信息安全管理模型的构建提供理论上的指导。
1.1 isa信息安全原则为保护组织的信息资产免遭威胁,tudor提出了一个全面灵活的信息安全架构方法(information security architecture,简称isa),这种方法提出5个关键性的信息安全原则(见表1)[1]。这些原则,可以了解组织工作的风险环境并对其实行评估和控制,从而减少这种风险;强调遵守国家信息安全法规的重要性,确保组织的机密信息受到国家的保护;涵盖信息安全技术与过程,满足组织信息安全的需要。表1 isa信息安全原则
原 则含义或目标1安全组织和基础设施确定角色、职责和执行赞助。2安全政策、标准和程序制定政策、标准和程序。3安全规划风险管理纳入安全规划。4安全文化意识和培训通过用户培训提高安全意识。建立用户、管理和第三方之间的信任。5监控规范监控内外部的信息安全。
1.2 cmm信息安全规划为给组织提供一整套信息资产免受未经授权的访问、修改或销毁的信息安全整体规划,mccarthy和 campbell构建了能力成熟度模型(capability maturity model,简称cmm)[2]。该模型包括7个信息安全规划内容(见表2),目标是从战略层面开始并用战略水平去指导技术等方面的工作,在评估当前信息安全风险的基础上构建合适的解决方案以减轻风险,并在实践过程中对各解决方案集成应用与监控。表2 cmm信息安全规划
规 划含义或目标1安全领导安全赞助、安全策略以及投资回报。2安全规划安全规划程序、资源和技能。3安全政策安全政策、标准和程序。4安全管理安全操作、监控和隐私。5用户管理用户安全管理和意识。6信息资产安全应用程序的安全、数据库/元数据的安全、主机安全、内外部网络安全、杀毒及系统开发。7技术保护与持续性物理和环境控制与持续规划控制。
3 protect信息安全标准在eloff.j.h和eloff.m所主持研究的“protect”项目,是政策、风险、目标、技术、执行、合规性和团队的英文首字母的缩写,对信息安全管理及标准进行了综合的介绍[3]。“protect”项目涉及各种集成控制的方法,在确保组织的有效性和效率的基础上尽量减少风险,目的是全方面解决信息安全的问题。为实现项目目标,该项目提出了7个信息安全标准(见表3),确保信息安全规划从技术术和人文角度得到有效的实施和管理。
1.4 iso/iec 17799和iso/iec 27001信息安全内容国家标准组织(iso)指出信息安全技术是实现信息安全管理的关键点,通过技术对信息系统进行安全性控制,是信息安全管理的重要内容。
了更好地实现信息安全控制,iso提出了11个具体的信息安全控制内容(见表4),这些内容已成为国际上通用的信息安全内容的重要标准,即通常所说的iso/iec17799[4]。而iso/iec 27001是iso/iec 17799的第二部分,提出了包括操作、监控、审查、维护和提高等一系列持续改进信息安全管理系统的方法与过程[5]。表4 2 图书馆网络信息安全内容的选取与管理模型的构建 前文所述的信息安全管理的原则、规划、标准及内容是基于整个信息社会行业而言的,具有一定概括性且4个方面之间存在着重复性,为了构建出更具针对性的图书馆网络信息安全管理模型,笔者根据图书馆的特性对信息安全管理的原则、规划、标准和内容进行选取与整合,构建出符合图书馆应用要求的信息安全管理模型。
2.1 图书馆网络信息安全内容的选取图书馆网络信息是对外开放并以支持教学和科研为目的。在这种情况下,网络信息安全是指读者未经授权无权使用、移动、修改和破坏图书馆信息。在对图书馆信息采取安全保护措施时必须确保其具有以下属性:①保密性:确保图书馆隐私信息的安全。此类信息必须严格控制读者访问量,只能授权一定级别的读者访问;同时,有权限访问图书馆隐私信息的读者也不能向公众透露相关的隐私信息。②完整性:确保图书馆信息是准确、完整并具有持久性。因此,图书馆信息安全管理要确保图书馆信息内容不是残缺不全的、失踪的、腐朽的、任意放置的,外借、故意或意外变化不会边缘化,在盗窃或破坏中具有安全性。③可用性:读者在授权时间内能无限制地访问并获取图书馆信息。图书馆必须有一个安全稳定的信息管理(网络)系统来支撑图书馆的运行,确保图书馆信息能及时传递而不会被延误。在维护图书馆信息安全的同时确保图书馆信息的保密性、完整性及可用性不缺失,这就要求在构建图书馆网络信息安全管理模型时对信息安全内容的确定带有一定的甄别性,不能将信息行业安全管理的所有原则、规划、标准及内容全部应用于图书馆安全管理。根据图书馆信息的特性,本文从管理、运行与操作、人员、建筑与技术及安全文化5个维度对图书馆信息安全的内容进行了选取,这5个维度的具体内容在图书馆网络信息安全管理模型中将会详细论述。
2.2 图书馆网络信息安全管理模型的构建图书馆网络信息安全管理目标是为图书馆网络信息安全保护提供整体性方案,结合管理、运作流程、人文、建筑与文化氛围来保证图书馆信息安全管理达到一个合理水平,从而保证图书馆信息风险最小化。为实现这一目标,abashe atiku maidabino和zainab在满足图书馆信息的特性上,将da veiga和eloff构建的“房屋模型”[6]加以简化与融合,构建出图书馆网络信息安全管理模型[7],见图1。该模型将所有信息安全因素集合,确保图书馆信息能够得到充分保护,同时为图书馆提供一个全面的方法和工具来实施和评估信息安全管理。模型内容主要集中于5个维度:(1)管理维度:正确的领导,政策与程序到位;(2)流程和操作维度:包括实施过程、政策;(3)人员维度:读者/馆员信息安全意识和图书馆信息安全项目培训;(4)建筑和技术维度:支持馆藏信息安全项目;(5)安全文化维度:将图书馆馆藏信息安全理念有意识地植入馆员日常工作中[8]。图1 图书馆网络信息安全管理模型
管理维度是指一组角色的规定,信息安全政策制定与管理由负责制定目标和政策的安全管理团队成员行使,从而确保目标和政策的实现,信息风险的评估与管理。图书馆的安全管理团队由图书馆各部门高级管理人员和安全部门的人员组成。这些成员应具备必要的信息应用和安全管理方面的经验和知识,这些成员被授权管理时能够遵守信息安全政策。信息安全管理责任是模型中管理维度的重要部分,这就要求图书馆应规划与制定精确的信息安全管理策略,明确风险管理的目标和方向。信息安全风险评估在图书馆各级安全规划风险设置中处于优先级别。馆藏信息定期风险评估规则的编制涉及图书馆资产类型、收藏价值、识别可能出现风险的威胁、漏洞和成本分析等详细的情况。信息安全漏洞可以通过会议、问卷、观察和报告来确定。通过信息安全漏洞的监测和风险评估过程的完善可以降低图书馆信息安全的风险,并能缓解图书馆的一些过度的承诺。管理维度强调要为图书馆信息管理、记录、维护、审查、更新风险管理政策和程序编写报告,通过快讯、交互式网页及其他内部刊物在馆员与读者之间
广泛宣传馆藏信息安全管理的必要性,将信息安全意识植入馆员与读者脑袋。这一维度有利于为图书馆提供良好的馆藏安全管理信息。流程与操作维度是指信息安全管理团队为图书馆各相关部门制定信息安全管理运行方案的过程。分别是:(a)采访部:参与接收,标记并建立可用于识别丢失、错放地方和费用的库存清单,以便于图书馆备份和恢复;(b)流通部:创建手工或计算机系统对图书馆纸质信息进行丢失、被盗、错位、滥用、损坏等方面进行盘点,通过访问控制和信息的记录与跟踪,确保图书馆信息安全系统的修理与维护;(c)编目、技术部:通过图书馆opac系统对馆藏信息集合进行处理,应用图书馆识别标记建立和验证馆藏信息所有权,标识未经处理的信息并进行访问控制;(d)特藏部:对有价值的馆藏信息载体进行保护与保存,授权访问与监控。人员维度是指读者和执行安全管理政策与程序的馆员的安全意识。它规定图书馆需要阐明信息安全管理人员的角色和责任,对馆员进行有效的安全意识培训,帮助他们获得处理安全事件、准备可靠实用安全报告的知识。建筑与技术维度涉及信息安全管理所需要的建筑与技术氛围。建筑氛围是指信息安全管理措施应与图书馆建筑的物理结构和藏书空间融为一体:控制图书馆出入口;需要id卡身份识别进入图书馆特别是特别馆藏区域;制定保安巡逻图书馆的时间表。技术氛围包括技术实践和嵌入到馆藏安全应用规划中的各种程序。它强调使用电子安全系统等技术设备来处理馆藏应用过程,控制安全漏洞,并在图书馆出入口点安装安全系统。这就意味着图书馆需要安装电子反盗窃设备、可视化相机、烟感探测及出入口、阅览区报警系统等安全设备。这将有助于防止图书馆藏书的丢失和对阅读区、参考咨询区及书库进行可行性监控和读者流量的检测。安全文化维度作为图书馆网络信息安全管理模型构成基础的安全文化,包括读者和馆员对图书馆信息重要性的态度、信息保护存在的安全漏洞、信息相关事件的意识、阻碍或限制信息安全管理系统有效性的意识。意识是一个看不见但可以通过行为来证明的元素,如(a)图书馆馆员的馆藏信息安全政策和管理过程的认识水平;(b)馆员对安全政策和程序重要性的态度;(c)安全漏洞和安全验收责任的意识[9]。图书馆网络信息安全管理模型中的安全文化是一种安全责任相互共享的文化,安全人员能够相互提供信息和工具来应对各种安全情况。这种态度与意识能够确保图书馆信息安全治理、管理和运行的有效性。图书馆网络信息安全管理系统在权重一致的5个维度的相互作用下,在馆藏信息得到安全管理的同时还能确保其在保密性、完整性和可用性上维持在一个合理的水平。
3 图书馆网络信息安全管理模型应用方案目前,在图书馆的计算机网络上有馆藏书目信息、读者信息、各种电子文献数据库、光盘数据库检索系统、图书管理系统、特藏数据库等内容[10]。这些电子资源信息如果受到破坏,那么损失将会非常惨重,很可能会造成整个图书馆系统瘫痪。就目前的状况来看,图书馆所面临的网络信息安全问题主要有黑客攻击、计算机病毒、网络物理设备安全隐患、网络设备配置安全与人员造成的安全隐患等方面。为了预防与应对上述隐患对图书馆可能会带来的网络信息安全故障,图书馆应按照网络信息管理模型5维度的要求,建立起科学、规范、有效的网络信息安全管理流程(见图2),将网络信息安全隐患处理于萌芽之中。图2 图书馆网络信息安全管理流程
应用图书馆网络信息安全模型处理网络信息安全故障,其管理流程可分为3个阶段:故障初排阶段、故障处理阶段与评估阶段。在故障初排阶段,图书馆工作人员或读者在应用图书馆的过程中,如果发现信息安全故障,应及时进行隐患初排并上报技术部,由技术部工作人员对该事件进行了解,并请求技术部主管上报给以馆领导为主的信息安全管理团队;在故障处理阶段,技术部工作人员根据事件了解进行安全故障检查并调查影响范围,从而形成第一次进程报告,并将其上报给馆领导,由馆领导进行资源调度后,技术部应急抢修;技术部附上应急抢修进程报告上报给馆领导形成第二次进程报告,然后结案、审核并归档;在评估阶段,各部门对此次信息安全故障事件进行评估总结。图书馆网络信息安全管理模型是以人为核心的信息安全保障体系,它强调的不是技术问题,而是管理的问题。图书馆网络信息安全在以馆领导为核心的安全管理团队的
领导下,在工作人员、读者的共同配合下,依靠科学的管理流程,定能将图书馆网络信息安全管理达到一个全新的层次。 4 结束语构建一个适应计算机网络普遍应用的图书馆网络信息安全管理模型,不仅是适应新形势的需要,也是图书馆信息数字化建设的重要组成部分。随着图书馆社交网络应用的普及,图书馆信息将面临更大的开放性和更多的安全方面的挑战。图书馆网络信息安全管理模型是一个包括技术、管理、人员和安全文化等多个环节整体性很强的体系,不能孤立或静止地看待和解决问题,网络信息安全性的提高依赖于不断的技术进步和应用,依赖于管理的逐步完善和人员素质的全面提升。相关人员应根据网络信息的特点和需求,进行有针对性的系统设计,不断地改进和完善网络技术的安全工作,更好地推动图书馆网络事业健康发展。
参考文献
[1]j.k.tudor.information security architecture—an integrated approach to security in an organization[m].boca raton,fl:auerbach.
[2]mccarthy m.p,campbell s.security transformation[m].mcgraw-hill:new york.
[3]eloff j.h,eloff m.integrated information security architecture[j].computer fraud and security,2005,(11):10-16.
[4]iso/iec 17799(bs 7799-1).information technology,security techniques[s].code of practice for information security management,britain.
[5]iso/iec 27001(bs 7799-2).information technology,security techniques[s].code of practice for information security management,britain.
[6]a.da veiga,j.h.eloff.an information security governance framework[j].information systems managenment,2007,(4):361-372.
[7]abashe maidabino,a.n.zainab.a holistic approach to collection security implementation in university libraries[j].library collection,acquisitions & technical services,2012,(36):107-120.
[8]sipone m.t.five dimensions of information security awareness[j].computer and society,2000,(6):24-29.
内网信息安全管理篇(3)
DOI:10.3969/j.issn.1008-0821.2014.02.016
〔中图分类号〕G250.7 〔文献标识码〕A 〔文章编号〕1008-0821(2014)02-0076-06
借助于网络高新技术的发展,新的信息资源形态和使用方式,给图书馆读者带来便利的同时也必然存在许多隐患。计算机网络分布的广域性、开放性和信息资源的共享性,为信息的窃取、盗用、非法的增删、修改及种种扰乱破坏,提供了极为方便且难以控制的可乘之机,图书馆信息服务的权益及监督得不到有效的保障;同时,由于计算机网络的脆弱性,图书馆的网络系统本身经常处于黑客的攻击之中,一旦图书馆网络出现故障,轻则信息服务得不到有效保障、数据丢失,重则整个图书馆处于瘫痪境地。因此,在信息化时代,图书馆信息安全显得尤为重要,构建图书馆网络信息安全管理模型来保证网络信息安全,使其高效运行是图书馆现代化建设中一项迫在眉睫的重要任务。
1 信息安全管理概述信息安全管理,是指实施和维护信息安全的原则、规划、标准和内容的综合,包括信息安全策略、信息风险评估、信息技术控制和信息安全意识等。这些内容在一个信息安全治理框架下相互协调、相互说明,从而为组织提供全面的信息安全规划。它结合技术、程序和人员,以培养信息安全文化为目的,最终实现信息资产风险的最小化。为对信息安全内容有一个全面深入的了解,本文从信息安全原则、信息安全规划、信息安全标准和信息安全内容4个方面进行详细的论述,从而为图书馆网络信息安全管理模型的构建提供理论上的指导。
1.1 ISA信息安全原则为保护组织的信息资产免遭威胁,Tudor提出了一个全面灵活的信息安全架构方法(Information Security Architecture,简称ISA),这种方法提出5个关键性的信息安全原则(见表1)[1]。这些原则,可以了解组织工作的风险环境并对其实行评估和控制,从而减少这种风险;强调遵守国家信息安全法规的重要性,确保组织的机密信息受到国家的保护;涵盖信息安全技术与过程,满足组织信息安全的需要。表1 ISA信息安全原则
原 则含义或目标1安全组织和基础设施确定角色、职责和执行赞助。2安全政策、标准和程序制定政策、标准和程序。3安全规划风险管理纳入安全规划。4安全文化意识和培训通过用户培训提高安全意识。建立用户、管理和第三方之间的信任。5监控规范监控内外部的信息安全。
1.2 CMM信息安全规划为给组织提供一整套信息资产免受未经授权的访问、修改或销毁的信息安全整体规划,McCarthy和 Campbell构建了能力成熟度模型(Capability Maturity Model,简称CMM)[2]。该模型包括7个信息安全规划内容(见表2),目标是从战略层面开始并用战略水平去指导技术等方面的工作,在评估当前信息安全风险的基础上构建合适的解决方案以减轻风险,并在实践过程中对各解决方案集成应用与监控。表2 CMM信息安全规划
规 划含义或目标1安全领导安全赞助、安全策略以及投资回报。2安全规划安全规划程序、资源和技能。3安全政策安全政策、标准和程序。4安全管理安全操作、监控和隐私。5用户管理用户安全管理和意识。6信息资产安全应用程序的安全、数据库/元数据的安全、主机安全、内外部网络安全、杀毒及系统开发。7技术保护与持续性物理和环境控制与持续规划控制。
3 PROTECT信息安全标准在Eloff.J.H和Eloff.M所主持研究的“PROTECT”项目,是政策、风险、目标、技术、执行、合规性和团队的英文首字母的缩写,对信息安全管理及标准进行了综合的介绍[3]。“PROTECT”项目涉及各种集成控制的方法,在确保组织的有效性和效率的基础上尽量减少风险,目的是全方面解决信息安全的问题。为实现项目目标,该项目提出了7个信息安全标准(见表3),确保信息安全规划从技术术和人文角度得到有效的实施和管理。
1.4 ISO/IEC 17799和ISO/IEC 27001信息安全内容国家标准组织(ISO)指出信息安全技术是实现信息安全管理的关键点,通过技术对信息系统进行安全性控制,是信息安全管理的重要内容。为了更好地实现信息安全控制,ISO提出了11个具体的信息安全控制内容(见表4),这些内容已成为国际上通用的信息安全内容的重要标准,即通常所说的ISO/IEC17799[4]。而ISO/IEC 27001是ISO/IEC 17799的第二部分,提出了包括操作、监控、审查、维护和提高等一系列持续改进信息安全管理系统的方法与过程[5]。表4 2 图书馆网络信息安全内容的选取与管理模型的构建 前文所述的信息安全管理的原则、规划、标准及内容是基于整个信息社会行业而言的,具有一定概括性且4个方面之间存在着重复性,为了构建出更具针对性的图书馆网络信息安全管理模型,笔者根据图书馆的特性对信息安全管理的原则、规划、标准和内容进行选取与整合,构建出符合图书馆应用要求的信息安全管理模型。
2.1 图书馆网络信息安全内容的选取图书馆网络信息是对外开放并以支持教学和科研为目的。在这种情况下,网络信息安全是指读者未经授权无权使用、移动、修改和破坏图书馆信息。在对图书馆信息采取安全保护措施时必须确保其具有以下属性:①保密性:确保图书馆隐私信息的安全。此类信息必须严格控制读者访问量,只能授权一定级别的读者访问;同时,有权限访问图书馆隐私信息的读者也不能向公众透露相关的隐私信息。②完整性:确保图书馆信息是准确、完整并具有持久性。因此,图书馆信息安全管理要确保图书馆信息内容不是残缺不全的、失踪的、腐朽的、任意放置的,外借、故意或意外变化不会边缘化,在盗窃或破坏中具有安全性。③可用性:读者在授权时间内能无限制地访问并获取图书馆信息。图书馆必须有一个安全稳定的信息管理(网络)系统来支撑图书馆的运行,确保图书馆信息能及时传递而不会被延误。在维护图书馆信息安全的同时确保图书馆信息的保密性、完整性及可用性不缺失,这就要求在构建图书馆网络信息安全管理模型时对信息安全内容的确定带有一定的甄别性,不能将信息行业安全管理的所有原则、规划、标准及内容全部应用于图书馆安全管理。根据图书馆信息的特性,本文从管理、运行与操作、人员、建筑与技术及安全文化5个维度对图书馆信息安全的内容进行了选取,这5个维度的具体内容在图书馆网络信息安全管理模型中将会详细论述。
2.2 图书馆网络信息安全管理模型的构建图书馆网络信息安全管理目标是为图书馆网络信息安全保护提供整体性方案,结合管理、运作流程、人文、建筑与文化氛围来保证图书馆信息安全管理达到一个合理水平,从而保证图书馆信息风险最小化。为实现这一目标,Abashe Atiku Maidabino和Zainab在满足图书馆信息的特性上,将Da Veiga和Eloff构建的“房屋模型”[6]加以简化与融合,构建出图书馆网络信息安全管理模型[7],见图1。该模型将所有信息安全因素集合,确保图书馆信息能够得到充分保护,同时为图书馆提供一个全面的方法和工具来实施和评估信息安全管理。模型内容主要集中于5个维度:(1)管理维度:正确的领导,政策与程序到位;(2)流程和操作维度:包括实施过程、政策;(3)人员维度:读者/馆员信息安全意识和图书馆信息安全项目培训;(4)建筑和技术维度:支持馆藏信息安全项目;(5)安全文化维度:将图书馆馆藏信息安全理念有意识地植入馆员日常工作中[8]。图1 图书馆网络信息安全管理模型
管理维度是指一组角色的规定,信息安全政策制定与管理由负责制定目标和政策的安全管理团队成员行使,从而确保目标和政策的实现,信息风险的评估与管理。图书馆的安全管理团队由图书馆各部门高级管理人员和安全部门的人员组成。这些成员应具备必要的信息应用和安全管理方面的经验和知识,这些成员被授权管理时能够遵守信息安全政策。信息安全管理责任是模型中管理维度的重要部分,这就要求图书馆应规划与制定精确的信息安全管理策略,明确风险管理的目标和方向。信息安全风险评估在图书馆各级安全规划风险设置中处于优先级别。馆藏信息定期风险评估规则的编制涉及图书馆资产类型、收藏价值、识别可能出现风险的威胁、漏洞和成本分析等详细的情况。信息安全漏洞可以通过会议、问卷、观察和报告来确定。通过信息安全漏洞的监测和风险评估过程的完善可以降低图书馆信息安全的风险,并能缓解图书馆的一些过度的承诺。管理维度强调要为图书馆信息管理、记录、维护、审查、更新风险管理政策和程序编写报告,通过快讯、交互式网页及其他内部刊物在馆员与读者之间广泛宣传馆藏信息安全管理的必要性,将信息安全意识植入馆员与读者脑袋。这一维度有利于为图书馆提供良好的馆藏安全管理信息。流程与操作维度是指信息安全管理团队为图书馆各相关部门制定信息安全管理运行方案的过程。分别是:(a)采访部:参与接收,标记并建立可用于识别丢失、错放地方和费用的库存清单,以便于图书馆备份和恢复;(b)流通部:创建手工或计算机系统对图书馆纸质信息进行丢失、被盗、错位、滥用、损坏等方面进行盘点,通过访问控制和信息的记录与跟踪,确保图书馆信息安全系统的修理与维护;(c)编目、技术部:通过图书馆OPAC系统对馆藏信息集合进行处理,应用图书馆识别标记建立和验证馆藏信息所有权,标识未经处理的信息并进行访问控制;(d)特藏部:对有价值的馆藏信息载体进行保护与保存,授权访问与监控。人员维度是指读者和执行安全管理政策与程序的馆员的安全意识。它规定图书馆需要阐明信息安全管理人员的角色和责任,对馆员进行有效的安全意识培训,帮助他们获得处理安全事件、准备可靠实用安全报告的知识。建筑与技术维度涉及信息安全管理所需要的建筑与技术氛围。建筑氛围是指信息安全管理措施应与图书馆建筑的物理结构和藏书空间融为一体:控制图书馆出入口;需要ID卡身份识别进入图书馆特别是特别馆藏区域;制定保安巡逻图书馆的时间表。技术氛围包括技术实践和嵌入到馆藏安全应用规划中的各种程序。它强调使用电子安全系统等技术设备来处理馆藏应用过程,控制安全漏洞,并在图书馆出入口点安装安全系统。这就意味着图书馆需要安装电子反盗窃设备、可视化相机、烟感探测及出入口、阅览区报警系统等安全设备。这将有助于防止图书馆藏书的丢失和对阅读区、参考咨询区及书库进行可行性监控和读者流量的检测。安全文化维度作为图书馆网络信息安全管理模型构成基础的安全文化,包括读者和馆员对图书馆信息重要性的态度、信息保护存在的安全漏洞、信息相关事件的意识、阻碍或限制信息安全管理系统有效性的意识。意识是一个看不见但可以通过行为来证明的元素,如(a)图书馆馆员的馆藏信息安全政策和管理过程的认识水平;(b)馆员对安全政策和程序重要性的态度;(c)安全漏洞和安全验收责任的意识[9]。图书馆网络信息安全管理模型中的安全文化是一种安全责任相互共享的文化,安全人员能够相互提供信息和工具来应对各种安全情况。这种态度与意识能够确保图书馆信息安全治理、管理和运行的有效性。图书馆网络信息安全管理系统在权重一致的5个维度的相互作用下,在馆藏信息得到安全管理的同时还能确保其在保密性、完整性和可用性上维持在一个合理的水平。
3 图书馆网络信息安全管理模型应用方案目前,在图书馆的计算机网络上有馆藏书目信息、读者信息、各种电子文献数据库、光盘数据库检索系统、图书管理系统、特藏数据库等内容[10]。这些电子资源信息如果受到破坏,那么损失将会非常惨重,很可能会造成整个图书馆系统瘫痪。就目前的状况来看,图书馆所面临的网络信息安全问题主要有黑客攻击、计算机病毒、网络物理设备安全隐患、网络设备配置安全与人员造成的安全隐患等方面。为了预防与应对上述隐患对图书馆可能会带来的网络信息安全故障,图书馆应按照网络信息管理模型5维度的要求,建立起科学、规范、有效的网络信息安全管理流程(见图2),将网络信息安全隐患处理于萌芽之中。图2 图书馆网络信息安全管理流程
应用图书馆网络信息安全模型处理网络信息安全故障,其管理流程可分为3个阶段:故障初排阶段、故障处理阶段与评估阶段。在故障初排阶段,图书馆工作人员或读者在应用图书馆的过程中,如果发现信息安全故障,应及时进行隐患初排并上报技术部,由技术部工作人员对该事件进行了解,并请求技术部主管上报给以馆领导为主的信息安全管理团队;在故障处理阶段,技术部工作人员根据事件了解进行安全故障检查并调查影响范围,从而形成第一次进程报告,并将其上报给馆领导,由馆领导进行资源调度后,技术部应急抢修;技术部附上应急抢修进程报告上报给馆领导形成第二次进程报告,然后结案、审核并归档;在评估阶段,各部门对此次信息安全故障事件进行评估总结。图书馆网络信息安全管理模型是以人为核心的信息安全保障体系,它强调的不是技术问题,而是管理的问题。图书馆网络信息安全在以馆领导为核心的安全管理团队的领导下,在工作人员、读者的共同配合下,依靠科学的管理流程,定能将图书馆网络信息安全管理达到一个全新的层次。
4 结束语构建一个适应计算机网络普遍应用的图书馆网络信息安全管理模型,不仅是适应新形势的需要,也是图书馆信息数字化建设的重要组成部分。随着图书馆社交网络应用的普及,图书馆信息将面临更大的开放性和更多的安全方面的挑战。图书馆网络信息安全管理模型是一个包括技术、管理、人员和安全文化等多个环节整体性很强的体系,不能孤立或静止地看待和解决问题,网络信息安全性的提高依赖于不断的技术进步和应用,依赖于管理的逐步完善和人员素质的全面提升。相关人员应根据网络信息的特点和需求,进行有针对性的系统设计,不断地改进和完善网络技术的安全工作,更好地推动图书馆网络事业健康发展。
参考文献
[1]J.K.Tudor.Information Security Architecture—An integrated approach to security in an organization[M].Boca Raton,FL:Auerbach.
[2]McCarthy M.P,Campbell S.Security Transformation[M].McGraw-Hill:New York.
[3]Eloff J.H,Eloff M.Integrated Information Security Architecture[J].Computer Fraud and Security,2005,(11):10-16.
[4]ISO/IEC 17799(BS 7799-1).Information technology,Security techniques[S].Code of practice for information security management,Britain.
[5]ISO/IEC 27001(BS 7799-2).Information technology,Security techniques[S].Code of practice for information security management,Britain.
[6]A.Da Veiga,J.H.Eloff.An Information Security Governance Framework[J].Information Systems Managenment,2007,(4):361-372.
[7]Abashe Maidabino,A.N.Zainab.A holistic approach to collection security implementation in university libraries[J].Library Collection,Acquisitions & Technical Services,2012,(36):107-120.
内网信息安全管理篇(4)
中图分类号:TP309
随着信息技术的广泛应用,信息管理系统的安全问题也日益突出,信息管理系统需要同时防范内部和外部的各种攻击行为。对于通常意义上的信息管理系统而言,信息系统具有用户类型众多、用户成员分散、访问权限多变、系统中数据保密性强等特点。为了防止信息管理系统中用户的操作不当,或者越权操作给系统带来的影响,保证信息管理系统的正常运行,就要求信息管理系统必须要具备良好的安全性能,以满足用户对系统安全的需求。
1 信息管理系统常用的安全技术分析
1.1 安全隔离技术。安全隔离技术包括物理隔离、协议隔离和防火墙技术三种。(1)物理隔离。物理隔离技术从物理上将布设了信息管理系统的内部网络与Internet外部网络隔离,从而使得外部网无法直接通过防火墙或者服务器访问内部网络,是防范病毒、拒绝服务等网络攻击的有效手段;(2)协议隔离技术。使用协议隔离器隔离信息管理系统的内部网络和外部网络,在协议隔离器上用两个接口分别连接内部网络和外部网络,当需要内外网进行数据交互时,才会连通协议隔离器,而通常情况下的内外网是断开的;(3)防火墙技术。防火墙技术实现内外部网络的逻辑隔离,防火墙技术是内外网之间的数据通信屏障,可以对内外网之间的流通的数据进行检测和限制,从而对外部网络屏蔽内网络的网络结构、运行状态以及内部网络中传输的数量,达到保护内部网络数据的目的。
1.2 系统级安全技术。(1)操作系统安全。操作系统是应用软件的基础支撑平台,对整个系统的安全性有着非常重要的影响,可以根据具体的操作系统类型选择合适的安全机制,例如UNIX平台上的用户优化管理,以及Windows平台的用户权限和用户访问策略,以及在操作系统上安装防毒软件等手段来保护系统安全;(2)数据加密。数据加密技术无法防止系统中的数据被非法用户窃取,但是可以保证非法用户在非法获得信息管理系统中的数据后,也无法了解这些数据所代表的具体信息。数据加密技术可以改变信息的原有表现形式,从而使得获得加密数据的用户无法了解数据中的真实信息,或者合法用户可以确认所收到的数据是否被篡改。
1.3 应用级安全技术。(1)动态权限策略。根据信息管理的具体应用业务流程,并且结合系统级安全策略,动态对系统中的不同信息和用户赋予不同的权限。例如,在OA系统中,可以设定系统中的具体文档、合同的阅读者和审核者范围,甚至可以对哪些用户可以文档中某一部分的内容进行阅读或者修改的权限进行设定,采用动态权限机制来保证系统的安全;(2)操作记录。将用户操作进行自动记录和存档,同时保存文档修改之前和之后的版本,从而记录下文档的修改轨迹。
2 安全技术具体应用案例
2.1 信息管理系统安全分析。由于电力市场的特点决定,电力系统参与的各个主体分别代表了不同的利益团体,例如电力公司信息管理系统中的交易热暖,能够申报授权范围内的交易数据,对市场信息进行查询;结算人员可以对各类交易的执行情况和执行结果进行考核结算。因此,为了防止系统用户在信息管理系统中进行越权操作,或者操作不当给各方带来的损失,需要对电力公司的信息管理系统进行安全控制。
由于电力公司所涉及的业务广泛,为此电力公司内部信息管理系统数量众多,主要包括负责对发电厂、输配电线、变电站的正常运行和生产进行监控的SCADA/EMS系统,负责电网调度运行、电网通信、继电保护进行综合管理的DMIS系统,负责电力企业决策支持的MIS系统,以及负责电力企业办公自动化的OAS系统等。根据电力行业的特点,要求在电力公司信息管理系统中必须要确保SCADA/EMS系统的安全性,其他信息管理系统安全性要求也较高。
2.2 信息管理系统网络结构设计。目前,为了提高电力公司信息管理系统的安全性,电力公司采取如图1所示的,包括SPnet(电力信息网)和SPDnet(调度信息网)的专用网络和Internet公共网络相结合的网络结构。通过内网与外网的物理隔离,既满足了MIS系统、OAS系统的Internet用网需求,同时也保证SCADA/EMS不能够直接访问Internet,从而最大程度上的保证系统安全。
2.3 信息管理系统安全体系结构设计。
如图1所示,在电力公司信息管理系统安全体系结构中采用了如下的安全策略来保证信息管理系统的安全。(1)分区安全保护策略。根据电力公司内部各信息管理系统所管理业务的重要性,对信息管理系统的安全级别进行划分,重点保护网络内的安全区Ⅰ内的SCADA/EMS实时监控系统,和安全区Ⅱ内的交易系统;(2)横向隔离。安全区Ⅰ与安全区Ⅱ内部的时监控系统,和交易系统采用防火墙进行逻辑隔离,而安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间采用正向和反向专用的安全隔离装置进行物理隔离;(3)专网专用。SPDnet调度网提供两个逻辑隔离的安全隔离装置与安全区Ⅰ和Ⅱ进行通信,SPnet电力信息网与SPDnet调度网实现物理隔离;(4)纵向认证与保护。安全区Ⅰ和Ⅱ的边界都设置了具有加密和认证功能的安全网关,而Ⅲ和Ⅳ的边界部署了防火墙;(5)整个网络只有安全级别最低的安全区Ⅳ通过防火墙直接访问Internet。从如上的分析可以看出,根据不同信息管理系统的需要,可以灵活应用物理隔离技术、逻辑隔离技术,以及辅以系统安全技术和应用安全技术,来多方位的保证系统中信息管理系统的安全。
3 结束语
随着信息技术的发展,信息技术在社会各个领域中的应用也越来越广泛,由于网络的开放性,导致信息管理系统不可避免的会面临着系统的安全性问题。在本研究中主要根据信息管理系统的特点,对信息管理系统中常用的安全技术进行分析,并且以电力公司信息管理系统为例,对安全技术在信息管理系统中的应用进行案例分析。
参考文献:
[1]沈昌祥,张焕国,冯登国.信息安全综述[J].中国科学,2007(37):129-150.
[2]陈颂,王光伟.信息系统安全风险评估研究[J].通信技术,2012(01):128-130.
内网信息安全管理篇(5)
【关键词】移动网络 信息安全 现状
移动网络信息的安全管理涉及到的内容比较多,在移动网络对人们的工作生活带来方便的同时,一些网络信息安全问题也逐渐的突出。构建完善化的移动网络信息的安全体系,保障移动网络信息的安全性,是当前移动网络企业发展的重要目标。通过从理论层面加强移动网络信息安全的管理研究,就能有助于从理论层面提供移动网络信息安全的支持。
1 移动网络信息安全管理的特征体现以及主要内容
1.1 移动网络信息安全管理的特征体现分析
移动网络信息的安全管理过程中,有着鲜明特征体现,其中在网络信息安全管理的动态化特征山比较突出。在信息网络的不断发展过程中,对信息安全管理的动态化实施就比较重要。由于网络的更新换代比较快,这就必须在信息安全管理上形成动态化的管理。
移动网络信息安全管理的相对化特征上也比较突出,对移动网络的信息安全管理没有绝对可靠的安全管理措施。通过相应的方法手段应用,能有助于对移动网络的信息安全管理的效率提高,在保障性方面能加强,但是不能完善保障信息的安全性。所以在信息安全管理的相对性特征上比较突出。
另外,移动网络信息的安全管理天然化以及周期性的特征上也比较突出。移动网络的系统应用中并不是完美的,在受到多方面因素的影响下,就会存在着自然灾害以及错误操作的因素影响,这就对信息安全的管理有着很大威胁。需要对移动网络系统做好更新管理的准备,保障管理工作能够顺利进行。在对系统建设的工作实施上有着周期化特征。
1.2 移动网络信息安全管理的主要内容分析
加强对移动网络信息的安全管理,就要能充分重视其内容的良好保证,在信息的安全保障上主要涉及到管理方法以及技术应用和法律规范这三个内容。在对移动网络信息的安全管理中,需要员工在信息安全的意识上能加强,在信息安全管理的水平上要能有效提高,在对风险抵御的能力上不断加强。将移动网络信息安全管理的基础性工作能得以有效加强,在服务水平上能有效提高。然后在对移动网络信息安全的管理体系方面进行有效优化,在信息安全管理能力上进行有效提高,对风险评估的工作能妥善实施,这些都是网络信息安全管理的重要内容。
2 移动网络信息安全管理问题和应对策略
2.1 移动网络信息安全管理问题分析
移动网络信息安全管理工作中,会遇到各种各样的问题,网络的自主核心技术的缺乏,就会带来黑客的攻击问题。我国在移动网络的建设过程中,由于在自主核心技术方面比较缺乏,在网络应用的软硬件等都是进口的,所以在系统中就会存在着一些漏洞。黑客会利用这些系统漏洞对网络发起攻击,在信息安全方面受到很大的威胁。
再者,移动网络的开放性特征,也使得在具体的网络应用过程中,在网系的渗透攻击问题比较突出。在网络技术标准以及平台的应用下,由于网络渗透因素的影响,就比较容易出现黑客攻击以及恶意软件的攻击等问题,这就对移动网络信息的安全性带来很大威胁。具体的移动网络物理管理和环境的安全管理工作上没有明确职责,在运营管理方面没有加强,对网络访问控制方面没有加强。以及在网络系统的开发维护方面还存在着诸多安全风险。
2.2 移动网络信息安全管理优化策略
加强移动网络信息安全管理,就要能充分重视从技术层面进行加强和完善。移动网络企业要走自力更生和研发的道路,在移动网络的核心技术以及系统的研发进程上要能加强。对移动网络信息的安全隐患方面要能及时性的消除,将移动网络安全防护的能力有效提高。还要能充分重视对移动网络安全风险的评估妥善实施,构建有效完善的信息系统安全风险评估制度,对潜在的安全威胁加强防御。
再者,对移动网络安全监测预警机制要完善建立。保障移动网络信息的安全性,就要能注重对移动网络信息流量以及用户操作和软硬件设备的实时监测。在出现异常的情况下能够及时性的警报。在具体的措施实施上来看,就要能充分重视漏洞扫描技术的应用,对移动网络系统中的软硬件漏洞及时性查找,结合实际的问题来探究针对性的解决方案。对病毒的监测技术加以应用,这就需要对杀毒软件以及防毒软件进行安装,对网络病毒及时性的查杀。
将入侵检测技术应用在移动网络信息安全管理中去。加强对入侵检测技术的应用,对可能存在安全隐患的文件进行扫描,及时性的防治安全文件和病毒的侵害。在内容检查工作上也要能有效实施,这就需要在网络信息流的内容上能及时性查杀,对发生泄密以及窃密等问题及时性的报警等。这样对移动网络信息的安全性保障也有着积极作用。
另外,为能保障移动网络信息的安全性,就要充分注重移动网络应急机制的完善建立,对网络灾难恢复方案完善制定。在网络遭到了攻击后,能够及时性的分析原因,采取针对性的方法加以应对。这就需要能够部署IPS入侵防护系统进行应用,以及对运用蜜罐技术对移动网络信息安全进行保障。
3 结语
总而言之,对移动网络信息的安全性得以保障,就要充分注重多方面技术的应用以及管理方法的灵活应用。只有充分重视移动网络信息安全防护体系的构建,对实际的网络信息安全才能有效保障。通过此次的理论研究,希望能有助于从理论层面对移动网络信息安全保障提供支持。
参考文献
[1]董俊君.通讯网络信息安全防护探析[J].同煤科技,2011(02).
[2]来羽,张华杰.基于无线网络的网络信息安全防护措施探究[J].煤炭技术,2013(10).
[3]党政,潘超.加强通讯网络信息安全防护的措施探讨[J].通讯世界,2016(04).
[4]姜峰.有线数字电视播出平台的信息安全防护研究[J].广播电视信息,2015(03).
[5]林敏.无线网络环境下信息安全防护措施构建[J].计算机光盘软件与应用,2014(05).
作者简介
内网信息安全管理篇(6)
【中图分类号】TU714 【文献标识码】A 【文章编号】1672—5158(2012)08—0144-02
随着网络和计算机技术的不断发展,人们越来越离不开网络,网络不但给用户带来便利,还带来了信息安全问题。本文分析了电力企业网络信息安全管理存在的问题,并提出了相应的完善措施。
一、电力企业网络信息安全管理存在的问题
(一)电脑病毒的威胁
对所有的电脑用户来说,不得不面临的主要问题就是电脑病毒的威胁,电力企业也是如此,计算机病毒会从各种渠道传播到计算机中,使电力企业的网络系统出现问题。电脑病毒不但会影响计算机的运算速度,还会破坏计算机的硬件和软件,并且电脑病毒的感染速度极快,只要计算机连接一个含有电脑病毒的移动存储设备,就可以使计算机感染电脑病毒,并且企业网络环境的变化也会导致计算机感染病毒。
(二)信息的安全问题
在网络信息的存储和传递中,不可避免都会出现相应的网络安全问题。在电力企业存储信息的时候,通过介入外部的互联网,会导致企业内部一些商业机密被网络黑客盗取,从而给企业带来相应的损失。在信息的传输过程中,也会造成企业内部信息被非法截取,使得商业机密泄露,除此之外,一些黑客人员还会运用非法手段来篡改企业的信息,使得企业的数据出现错误,造成信息混乱,给企业员工的工作带来巨大的影响。因此,如果不有效的解决电力企业的信息安全问题,就会给企业带来严重的损失和破坏,严重的甚至会危机国家和社会的财产安全。
(三)管理人员素质风险
现今,许多企业存在重技术、轻管理的情况,没有完善的安全管理制度,并且管理人员普遍信息安全意识不强,这也就在一定程度上提高了网络风险,并且企业网络管理员配备不当也是造成企业信息安全问题的主要原因。除此之外,对于电力企业来说,来自内部的风险是非常主要的安全风险,特别是网络管理人员,不经意间泄露的重要信息,都将可能成为导致系统受攻击的最致命的安全威胁。
(四)设备本身与系统软件存在漏洞
由于电力企业的信息化发展较为缓慢,所以这就很可能造成电力企业很多设备和软件存在安全漏洞,给电力企业带来许多不良的安全问题。电力企业信息网络的操作系统、数据库存在安全漏洞,并且信息存储的介质受到损坏,就会造成大量的信息泄露或者丢失。除此之外,由于计算机设备工作时产生的辐射电磁波也会使电力企业网络信息存在安全问题,一些电力企业没有按照相关的要求及时的升级和修复防范软件,这就给网络信息安全带来一定的威胁。
二、完善电力企业网络信息安全管理的措施
(一)提高企业内全体员工的安全意识
目前,造成电力企业网络信息存在安全问题的其中一个主要问题就是用户的安全意识淡薄,对网络信息的安全不够重视,并且缺乏相应的防范措施。这些问题主要是因为电力企业网络信息管理不完善,缺乏相应的安全管理责任制,因此,必须提高用户的安全意识,使他们自觉的修补计算机的操作系统和安全漏洞,并且及时的升级防毒软件和防火墙,掌握安全评估的基本方法,对安全操作和维护技术的合理运用,使电力企业的网络信息处于安全的环境当中,只有这样才可以做好电力企业网络信息安全管理,减少网络的威胁。
(二)进行网络安全风险评估
电力企业想要从根本上解决网络安全问题,除了要从技术上面考虑以外,还应该做好网络安全风险评估工作。网络的安全离不开各种安全技术的实施,现在市面上有各种安全技术产品,想要选择合适的安全技术产品,首先应该进行可行性的分析,对电力企业存在的网络信息风险进行分析,并且对收益与付出进行比较,了解安全技术产品在电力企业中使用的效率,看下哪一个产品更加适合电力企业降低网络信息安全的需求。对电力企业来说,弄清楚网络信息存在的风险,并且评估这种风险带来的威胁和影响,只有这样才可以制定相应的安全管理策略,从而有效的提高电力企业网络信息的安全。
(三)完善网络防病毒体系
由于计算机病毒会广泛的传播,并且对网络用户的数据具有严重的破坏力,随着网络技术的不断发展,计算机病毒给网络用户带来的损失也越来越大,严重影响了电力企业网络系统的运行。因此,为了使电力企业免受病毒的侵害,作为网络管理人员应该建立从主机到服务器的完善的防病毒体系,建立健全的网络信息管理制定,以此来有效的提高电力企业网络信息的安全管理。
(四)建立企业网络信息安全文化
作为电力企业网络管理人员,应该建立企业网络信息安全文化,重点掌握企业信息安全的整体策略和目标,安全体系的建立和网络信息安全管理制度的制订。负责信息安全运行和维护的技术人员,应该对信息安全管理有一个充分的了解,并且掌握安全评估的基本方法,能够合理的运用安全操作和维护技术,提高安全管理人员的综合素质,使他们具备承担安全职责的能力,只有这样才可以降低电力企业网络信息安全风险,使电力企业免遭黑客和病毒的入侵,确保网络信息的安全。
(五)开展电力企业内部的全员信息安全教育和培训活动
在电力企业发展中,信息安全不但是整个信息网络部门的事情,还是企业内所有员工的职责,因此,为了提高电力企业网络信息安全管理的力度,就应该对企业内所有的员工进行信息安全教育,并开展相应的培训活动,以此来有效的避免由于失误造成企业内部出现安全风险。电力企业应该做好宣传工作,提高企业内所有员工对网络信息安全的认识,向每一位员工普及网络安全操作流程,使他们掌握基本的安全管理策略。除此之外,主管部门和各级管理人员,应该清楚掌握信息安全体系的构成情况,建立相应的管理责任制,每个部门每个员工都应该从自己做起,完善自己所用计算机的病毒软件和防火墙,防止网络病毒有机可乘。
三、结束语
综上所述,想要提高电力企业网络信息安全管理,首先应该提高企业内全体员工的安全意识,建立企业网络信息安全文化,并且完善网络防病毒体系和进行网络安全风险评估,开展电力企业内部的全员信息安全教育和培训活动,只有这样才可以确保电力企业的网络信息安全,避免网络安全风险的产生。
参考文献
[1]林世溪,林小迪.电力企业网络信息安全防护体系的建立[J].华东电力,2010,(05)
[2]朱琳娜,盛海港.网络信息安全管理在电力企业中的应用[J].中国电力教育,2010,(s2)
内网信息安全管理篇(7)
1而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,网络安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的网络系统面临的风险能够达到一个可以控制的标准,进一步保障网络信息系统的安全稳定运行。
网络安全保障体系是针对传统网络安全管理体系的一种重大变革。它依托安全知识库和工作流程驱动将包括主机、网络设备和安全设备等在内的不同资产和存放在不同位置中的大量的安全信息进行范式化、汇总、过滤和关联分析,形成基于资产/域的统一等级的威胁与风险管理,并对威胁与风险进行响应和处理,该系统可以极大地提高网络信息安全的可控性。
2网络安全保障体系的作用。网络安全保障体系在网络信息安全管理中具有十分重要的作用,主要体现在如下三个方面:首先,网络安全保障体系可以对整个网络系统中不同的安全设备进行有效的管理,而且可以对重要的网络通信设备资产实施完善的管理和等级保护;其次,网络安全保障体系可以有效帮助网络安全管理人员准确分析现有网络信息系统所面临的安全威胁,从而可以帮助管理人员制定合理的网络安全应急响应流程;最后,网络安全保障体系可以通过过对网络风险进行量化,实现对网络风险的有效监控和管理。
网络安全保障体系的构建策略
1确定网络安全保障体系构建的具体目标。网络安全保障体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。其中,信息安全的组织体系是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构,主要包括决策、管理、执行和监管机构四部分组成;信息安全的策略体系是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。
内网信息安全管理篇(8)
1.1提升现代企业的管理质量
在现代企业的发展过程中,信息安全具有不可或缺的重要作用。因此,加强现代企业信息网络安全优化管理,可保障企业信息的安全性和真实性,同时也可保障现代企业信息系统的可用性和机密性。企业信息网络的安全性得以保障,可为信息系统工作质量提供重要的参考数据。此外,信息网络管理人员要对信息网络优化和管理中体现出的实际问题进行总结,并针对信息系统管理中反馈出的实际问题,在企业内部制定针对性的应对方案和措施。最终,接提升现代企业的管理质量,提升整体管理水平。
1.2为现代企业获得更大的经济利益
任何一个企业发展的最终目的均为获得经济利益,利润是企业发展的主要动力。作为现代企业而言,保障企业的信息安全,并保障信息系统的正常运行,方可在有效安全技术的支持,为企业后期发展创造更大的利润空间。通过对企业近年来的发展情况进行分析和总结,利用数据和统计分析的方法,为企业的发展制定全面的发展方案[1]。同时,在进行数据分析和总结的过程中,可及时发现企业发展中存在的问题,并针对具体存在的问题,提出针对性的解决对策,保障现代企业获得更大的经济利益,获得更大的利润空间。
二、现代企业信息网络中存在的安全问题
2.1企业信息网络安全管理制度不健全
纵观目前我国现代企业的信息网络安全管理现状,仍存在较多的安全问题,其中,最为显著的安全问题就是企业内部尚未建立健全的网络安全管理制度。管理制度的不健全势必造成企业信息网络安全出现问题,例如,企业的网络管理工作中频繁出现违规操作的现象,造成信息网络的正常运行受到影响。
2.2企业信息网络安全管理人员的综合素质相对较低
从现代企业的网络安全人员配置上看,大部分现代企业在发展过程中仍存在技术人员缺乏的现象。企业在缺乏专业的技术人员和管理人员,导致企业在发展的过程中难以及时发现信息网络中存在的问题和漏洞。在网络信息技术不断发展的当今社会,企业信息网络安全面临着新的发展机遇[2]。当一些先进的技术、管理方式和操作方式引入到企业中,而企业内缺乏相关的专业人才,将造成企业信息系统的安全性和操作规范化受到影响。因此,现代企业的发展过程中,需要解决信息网络安全管理人员专业技能差、综合素质相对较低的问题,保障网络管理人员可及时解决信息系统在安全维护方面的问题,方可促进现代企业的全面发展。但就目前我国大部分企业的信息网络安全管理人员配置情况上看,解决此问题仍需要经历较长的一段时间,也需要企业付出更多的精力和财力。
2.3尚未制定完善的网络安全事故应急处理预案
在现代企业的发展过程中,加强对企业信息和信息系统安全运行的管理至关重要。企业出现网络信息安全是不可避免的,但企业可通过分析总结出现信息网络安全问题的原因,制定针对性的解决对策,预防信息网络安全事故的发生。但纵观现阶段我国大多数企业的发展现状,大多数企业仅仅意识到了加强网络信息安全管理的重要性,但并未在实际行动上体现出来。通过对现代企业的调查,发现大部分企业尚未制定完善的网络安全事故应急处理预案,当信息网络安全事故发生后,企业在面对安全问题上显得手足失措,难以有效应对。而这样的问题,对于信息网络的安全维护和安全管理而言,将造成较大的负面影响,不利于现代企业的长足发展。
三、实现现代企业信息网络安全优化的策略
3.1加强现代企业信息网络系统的规范化管理
在现代企业信息网络安全管理中,要实现企业信息网络的规范化和系统化,首先需要在企业内部制定严格的责任管理制度,加强安全管理。在网络管理中,通过建构多层防御和等级保护体系,加强对信息网络安全的控制和规范化管理。与此同时,企业要在现代化的发展过程中,要保障自身信息网络系统的安全性,要加强对网络性能的检测力度,并将外网和内网进行有效隔离[3],为信息网络系统提供安全管理,并在企业的各部门实现信息系统安全管理。
3.2提升现代企业信息网络管理人员的综合素质
在现代企业的发展过程中,信息网络安全优化和管理是一项相对较为复杂且系统的工作。因此,在信息网络安全优化中,网络管理人员的专业能力和综合素质对安全优化管理的工作质量均可产生决定性作用。这则要求企业要对信息网络管理人员进行定期培训,通过在企业内部开展培训项目可使管理人员的管理能力提升,同时也可培养网络安全管理人员严谨的工作态度,让其意识到信息网络安全优化工作的重要性和必要性。与此同时,现代企业还可组织相关技术人员和专家,对企业信息网络安全优化的相关措施进行专题分析。通过系列的专题分析,可了解企业信息网络运行的实际情况,从而激发现代企业网络管理人员的工作热情和工作积极性。最终,可提升网络管理人员的综合能力,提升现代企业信息网络安全管理质量,提升整体管理水平。
3.3制定企业信息网络安全事故的应急方案
内网信息安全管理篇(9)
目前,我国国内数字图书馆网络信息安全(以下简称为网络信息安全)应用研究方面,大多都侧重于技术,认为信息安全是一个技术性的问题,其所有出现的问题都依赖于先进技术。但信息技术无论多么完善,它都无法回答如下问题:管理主体、制度在信息安全中的责任;技术、人、制度三者之间的关系;如何能够解决信息安全可持续发展问题;为什么在信息技术很发达的情况下,信息安全问题依然存在,事故依然频繁发生等等。可见,信息安全除了信息技术影响之外必有其他方面深层次的原因。仅侧重于技术的应用研究,还不能适应信息安全实践发展的需求,信息安全研究仍有继续深化的必要。
网络信息安全分析
网络信息安全包括信息的安全和网络系统的安全两层意思,信息的安全是指保护基础运行信息、服务器信息、用户信息、网络信息资源等信息或数据的机密性、完整性和可用性,同时还需要对信息风险和信息控制之间的最优平衡有非凡的理解。机密性要求保证信息不泄露给未经授权的人。完整性要求防止信息被未经授权的篡改和破坏。可用性是指保证访问信息的用户可以在不受干涉和阻碍的情况下对信息进行访问和使用。网络系统安全是指保护网络信息系统设备中的硬件、软件和网络系统的正常状态和安全运行。概括地讲,网络信息安全就是指采用技术、管理等多种措施,保护网络系统连续正常运行,保护各种资源不因自然或人为因素遭到破坏、更改、泄露或非法占用。
网络信息安全技术。先进的安全技术是实现信息安全的重要手段,许多网络信息系统安全性保障都要依靠技术手段来实现。像信息安全所用到的防火墙技术、入侵检测或流量分析技术、认证控制技术、VLAN技术、加密技术、VPN、病毒防护技术、容灾技术等多项安全技术,为确保图书馆网络信息的保密性、完整性和可用性提供了强有力的支持。
制度和制度执行力。制定严格有效的安全管理制度规范人的行为,使人遵守规则,这是技术涉及不到的层面。而信息的保密性、完整性和可用性只有通过技术手段才能得以实现,却又是制度所不能解决的。在信息安全实践中,技术与制度二者不能断然分开,是相辅相成的,技术是一种硬手段,制度是一种规范性的软手段。目前,国内数字图书馆在安全管理制度建设方面存在着诸多问题。一是制度不完善。我国数字图书馆安全管理制度还不健全,缺乏严格、细致、有效的安全管理规定与安全技术相配套。二是缺乏安全教育培训常态机制。图书馆馆员以及用户安全意识薄弱,网络安全知识缺乏,知识产权保护意识不强。三是信息安全监督审查机制不健全。监督审查机制不健全,将导致安全管理制度流于形式,图书馆无法及时找出安全管理漏洞和不足,无法对安全管理漏洞及早采取补救措施。四是制度执行不力。从目前图书馆规章制度的建设来看,不缺少严谨细密的典章制度,缺少的是对规章条款的不折不扣地执行。一些图书馆存在有章不循、有规不依,奖惩不严、问责流于形式,安全督查不到位等种种问题。制定的制度是为了执行,因为只有执行才能把制度确定的各项要求落到实处,得不到执行的制度是毫无用处的,制度也就名存实亡。
网络信息安全管理。网络信息安全的主体是人,客体是网络信息安全防御体系,网络信息安全实际上就是主客体互动的过程。技术研究的对象是物,而物是没有目的、没有意义可言的,它不涉及人及其行为。技术只是一种手段,网络信息安全必然涉及到人及其行为和制度问题。安全管理贯穿于整个信息安全防御体系,包括建立安全管理组织、制定安全目标、制定安全防护策略、建立安全管理制度、制定安全规划与应急方案、对员工进行安全意识教育培训等内容。安全技术只有在有效的管理控制之下,才能得以较好地实施。可见,严格的安全管理是网络信息安全的根本保证。随着数字图书馆建设的深入,网络信息安全问题日趋凸显。目前,国内过多地强调技术的作用,将建设的重点放在技术上,致使安全管理工作跟不上技术发展的步伐。有人对2009年我国30家数字图书馆信息安全管理现状进行调研,发现在已发生的安全事件中,三分之一的安全事件是由安全管理机制不够完善引起的,而事件发生原因中管理因素高达70%以上。可见,安全管理上的缺失已成为数字图书馆整个网络信息系统不安全因素中的主要因素之一,对数字图书馆产生的危害远大于其他方面。这里主要讨论对人的管理问题,人的认识和观念问题。著名的前黑客凯文・米蒂尼说过,尽管很多公司采取了安全防护措施,但这些安全措施在网络犯罪面前仍然显得不堪一击,原因是他们忽略了网络安全最为薄弱的环节――人的因素。数字图书馆拥有功能非常强大的网络信息系统和最先进的安全技术设施,但却有可能缘于人而产生失误,致使安全管理存在诸多隐患和不足,从而导致数字图书馆网络信息系统面临一系列信息安全问题。如引入木马、病毒或其他危害程序;网络信息系统运行不正常甚至瘫痪,信息外泄,无法应对新出现的信息安全突发事件等,这与相关人员特别是一些负责人员对安全管理的不重视、认识不足以及责任感缺失有关。
图书馆管理者的安全管理理念的滞后,对安全管理的重要性缺乏深层的认识,导致决策上的失误或管理不足,将给数字图书馆的网络信息安全带来不可估量的损失。如有的管理者的管理理念,还停留在传统图书馆封闭式内部局域网安全管理模式上,并没有认识到数字图书馆更为开放的环境将面临更趋严峻的网络安全问题,致使在网络信息安全事件防御方面处于被动状态,有的管理者虽然认识到网络信息安全问题的严峻性,但却认为只要加大对安全产品的投入,购买并安装了最先进的安全技术产品,就可以高枕无忧了,或误认为到了信息技术特别发达的时候,网络信息安全维护管理是管理员的事情,与其他馆员无关。或误认为安全维护与管理都是服务提供商的事,图书馆只管应用就行了。不重视安全责任意识教育与技能培训,导致一些安全管理技术人员思想麻痹大意,安全责任意识不强,不知道网络信息安全的薄弱环节,不了解保护网络信息安全的责任以及在对付入侵行为方面的责任。
没有安全责任和责任分配机制,对信息安全责任人的责任内容、范围、责任分配不清楚。图书馆管理者制定的员工岗位责任书,责任划分不明、工作内容描述不清,导致馆员不清楚应在什么范围和限度内对自己的职业行为负有责任,应该承担何种责任和义务。致使出现安全管理问题时,不是相互推诿,就是听之任之。不重视对高素养、高技能安全管理技术人才的引进与培养,一些图书馆的馆内安全管理工作多为业务培训,但缺乏全面的安全管理知识和技能,对不断发展的新技术缺少深入和细致的了解和掌握,应付网络安全突发事件的预警能力不够强。由于安全知识与技能的欠缺,导致他们无法应对新出现的网络安全突发事件。应该清楚地看到,人是具有理性和非理性的,要使人的理于信息安全,必须要借助于制度规范,使人沿着信息安全正确的规定自觉行动。
应该指出,制度只是一种方法,是有边界的,并不是万能的。无论多么完善的制度,如果不被执行也形同一张废纸。同时,制度具有刚性,它不能时刻随着网络信息安全的变化而变化,落后的制度有可能阻碍网络信息安全的建设。综上所述,制度、技术和管理人员的责任意识都有自己的边界,如若单一运行制度、技术,即便是极为负责任的管理人员,也不可能完善地解决信息安全问题。因此,技术、制度、管理主体(人)的责任应三管齐下,才能真正预防和因减少技术、管理等因素所导致的网络信息安全问题,最大程度地保护网络,使其安全运行,并最大限度地挽回网络信息系统损失。
网络信息安全保障措施
网络信息安全需要技术(支撑)和管理(落实)的双重保证。从安全防范技术层面上讲,国内的数字图书馆都有较为成熟的防御体系,但在安全管理方面,数字图书馆还须做诸多努力。
加强网络信息安全教育与培训,树立安全责任意识。图书馆管理者应改变重技术轻管理的观念,树立全新的安全管理理念,针对图书馆馆员以及读者安全意识薄弱、安全措施不落实等现状,组织开展多层次、多方位的网络信息安全宣传工作。要加大对安全防范措施检查的力度,开展岗前培训、现场网络安全教育与技能培训,提倡自主学习,派送技术骨干再深造等。定期或不定期举办网络信息安全教育与技能培训讲座,将促使馆员熟知图书馆相关的安全管理规章制度,掌握相关设备的正确操作规程,以及确保系统和数据安全的操作方法。定期或不定期地组织馆内工作人员学习相关的法律法规和政策,使他们具有较强的安全防范意识,以及执行制度的意识和能力。图书馆要经常派遣馆内重点培养的年轻技术管理骨干参加国内外信息安全方面的技术培训,鼓励他们自主学习,及早掌握安全技术与管理新理论、新技术、新方法,掌握新的网络及安全产品的功能,了解网络病毒、密码攻击、分组窃听、IP欺骗、拒绝服务、端口攻击等多样化攻击手段。安全管理员要定期对网络信息安全状况进行风险评估,及时修正安全缺陷、评估缺失,及早采取补救措施。安全维护仅仅依靠馆内为数不多的安全管理技术人员是远远不够的,它还需要依靠全体馆员、用户(读者)的同心协力。通过安全意识教育,使全体馆员及用户明确自身权限和义务,严格、自觉地遵守图书馆上网规定,不越权、不随意下载和安装盗版或共享软件,同时保管好自己的密码,经常加固系统,提高系统的安全性。
内网信息安全管理篇(10)
1 前言
随着计算机信息网络技术的快速发展以及互联网的广泛应用,网络信息的安全性变得越来越重要,网络信息安全已经成为社会各界广泛关注的热点。但是,新时期随着互联网用户人数的增多,各种威胁互联网安全的因素也越来越多,例如计算机网络结构的不安全性、木马的威胁、欺骗技术等,严重的威胁着网络信息安全。因此,为了保证网络用户的信息安全,加强网络信息安全管理的措施已经势在必行。
2 新时期威胁网络信息安全的原因分析
(1)网络结构的不安全性。互联网是由众多局域网组成的一个巨大的网络结构,当一台主机与互联网中的另一台主机进行通信时,两者之间的信息传递通常需要经过多个机器进行多重转发,在信息传递的过程中如果攻击者利用先进的手段拦截信息,就能够接触用户的数据包,互联网的这种结构存在不安全性。
(2)网络信息没有加密。目前,互联网上的大多数数据流都没有进行加密,因此不法分子可以通过免费提供的工具轻易的对网络中传输的文件、口令以及电子邮件等进行窃取,网络信息安全受到严重的威胁。
(3)www欺骗技术。新时期许多用户会利用IE等浏览器访问各种网站,但是一般的用户并不会意识到这当中存在的安全问题,因为用户正在访问的网站可能被黑客篡改过,例如黑客将用户方位的网页的URL改写成自身的服务器,当用户在网页中输入内容或者执行操作时,实际上是向黑客的服务器发出指令,黑客就能够实现欺骗的目的。
(4)木马威胁。木马会通过伪装成游戏、工具程序等诱使用户打开带有木马程序的网上连接、邮件附件等,当用户打开了相应的连接之后,木马就能够直接侵入到用户的电脑中进行破坏,或者隐藏在Windows程序中,攻击者可以任意的修改用户的计算机参数、盗窃用户硬盘中的内容,以达到控制用户计算机的目的。
3 新时期加强网络信息安全管理的有效措施
(1)加强物理安全以及传输安全管理。物理安全以及传输安全管理是保证网络信息安全的重要措施,物理安全管理是保证整个网络信息安全的前提,主要物理安全风险包括地震、火灾、水灾等对网络系统造成的危险,该种风险防范可以根据《计算机场地安全要求》、《计算机场地技术条件》、《电子计算机机房设计规范》等进行设计,同时应该提高网络信息安全防范意识,防止计算机设备被毁或者盗窃等,保证网络信息安全;网络信息传输安全管理是为了防止信息在网络中传输的过程中遭受非法拦截,保证信息能够在网络中安全传输的关键技术,因此应该根据网络信息的不同安全要求,采用不同性质的传输方案以及传输材料,例如交互信息的传输,应该采用没有电磁泄露的电缆或者专用通信线路进行传输,以此保证网络信息的传输安全。
(2)加强网络信息加密管理。加密技术是网络信息安全管理中最常用的安全技术之一,主要是通过对网络传输的数据信息进行加密来保证信息安全的技术。加密能够对网络上传输数据的访问权进行限制,通过加密软件或者硬件、密钥加密对原始数据进行加密,通过加密之后形成密文,解密是对加密的反向处理,然后将密文转变成原始数据,但是解密工作需要应用相同类型的加密设备与密钥才能对密文进行解密。该种网络信息安全管理技术不仅效率高,而且还具备一定的灵活性,致使其被广泛的推广和应用在网络信息安全管理中。
(3)加强网络信息安全风险评估。网络信息安全风险评估能够对影响网络信息安全的因素进行评估,准确的判断和预测可能对网络信息安全造成威胁的因素,并且评估该种风险可能给网络信息安全造成的影响,然后制定相应的安全管理计划,并采用针对性的安全管理措施以及技术措施进行处理,以此保证网络信息安全。
(4)采用防火墙技术。防火墙技术是在外部网络与内部网络之间特殊位置的硬件设备,当需要使用内部链接、外部链接时都需要经过防火墙,从而防止网络受到不安全因素的威胁。防火墙技术在网络信息安全管理的作用主要表现在三个方面:其一,防火墙在网络安全管理方面的作用,利用自身的网络拓扑结构和包过滤技术,能够保护一个网络不受来自另一个网络的攻击,以此保证网络信息安全;其二,对网络信息的监视作用,能够多网络内部和外部的所有活动进行监控,进而控制网络活动;其三,隔离内外网络的作用,能够有效的限制外部网络对内部网络的访问,阻止内部网络随意访问带有不健康或者敏感信息的外部网络,以此保证内部网络的安全。
(5)加强网络信息安全管理人员的培训。当今社会人才是第一生产力,网络信息安全管理人员在保证网络信息安全中发挥着至关重要的作用。因此,应该加强网络信息安全管理人员的培训工作,一方面加强网络信息安全管理人员的责任意识和安全意识,这样能够为提高网络信息安全管理效率奠定良好的基础;另一方面应该加强网络信息技术培训,保证所有的网络信息安全管理人员掌握先进的信息安全管理技术,及时的了解威胁网络信息安全的各种因素,并采取针对性的措施进行处理,以此保证整个计算机网络的信息安全。
4 结束语
