信息安全行業(yè)分析范文

時(shí)間:2023-10-19 16:07:44

導(dǎo)語:如何才能寫好一篇信息安全行業(yè)分析,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

信息安全行業(yè)分析

篇1

關(guān)鍵詞:航空企業(yè);信息系統(tǒng);安全處理;現(xiàn)狀;體系

中圖分類號:TP393.08

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,信息數(shù)據(jù)系統(tǒng)廣泛應(yīng)用于航空企業(yè)的信息管理中。然而,航空企業(yè)因其服務(wù)行業(yè)的特性,需要不斷將航班等外部信息傳播發(fā)送給旅客,另一方面,航空企業(yè)內(nèi)部管理信息卻需要做到嚴(yán)格的保密,這就對航空企業(yè)的信息系統(tǒng)安全處理提出了高要求,航空企業(yè)必須建立一套全面完備的信息安全處理體系,只有這樣,才能提高航空運(yùn)輸信息的安全水平,保障航空企業(yè)的穩(wěn)定發(fā)展。

1 航空企業(yè)信息系統(tǒng)安全管處理現(xiàn)狀

近年來,我國航空企業(yè)已經(jīng)開始廣泛應(yīng)用信息管理系統(tǒng)。在這些企業(yè)的信息系統(tǒng)中,包含了對交通服務(wù)、航班導(dǎo)航、天氣情況以及企業(yè)內(nèi)部信息的各類應(yīng)用,航空企業(yè)信息管理部門需要將這些信息進(jìn)行整合,構(gòu)建成為一個(gè)完整的信息管理系統(tǒng)。然而,從目前航空企業(yè)的信息系統(tǒng)安全管理來看,多數(shù)航空企業(yè)在進(jìn)行信息系統(tǒng)安全管理的研究時(shí),都是將重點(diǎn)集中在某一特定領(lǐng)域,通過病毒檢測系統(tǒng)、認(rèn)證系統(tǒng)等對特定領(lǐng)域進(jìn)行信息安全處理,并沒有一個(gè)全面完整的信息安全處理體系。

另外,國家有關(guān)部門已經(jīng)加強(qiáng)了對航空信息安全的重視,中國民用航空局頒布了關(guān)于管理民用航空安全信息的規(guī)定,通過將各航空企業(yè)的信息管理系統(tǒng)進(jìn)行統(tǒng)一監(jiān)督,統(tǒng)籌管理全行業(yè)的信息安全管理系統(tǒng)。無論從當(dāng)今形勢發(fā)展來看,還是從國家有關(guān)部門對信息系統(tǒng)安全管理的重視程度來看,建立一套完整的信息系統(tǒng)安全處理體系對于航空企業(yè)都是非常有必要的。

2 構(gòu)建航空企業(yè)信息系統(tǒng)安全處理體系

在對信息系統(tǒng)安全處理體系進(jìn)行構(gòu)建時(shí),應(yīng)當(dāng)遵循可行性、靈活性、擴(kuò)展性等原則,使信息系統(tǒng)的安全處理能夠滿足信息的完整性、保密性和可用性。在進(jìn)行信息系統(tǒng)安全處理體系構(gòu)建時(shí),可以用到的安全技術(shù)大致包括計(jì)算機(jī)病毒防范技術(shù)、信息偵測技術(shù)、安全操作平臺技術(shù)、安全審計(jì)和入侵預(yù)警技術(shù)、內(nèi)容分級監(jiān)管技術(shù)等。

2.1 構(gòu)建航空企業(yè)信息系統(tǒng)安全處理體系的初始步驟

(1)確定控制用戶訪問的安全處理系統(tǒng)。在進(jìn)行訪問權(quán)的控制時(shí),可以設(shè)置相應(yīng)的客戶端界面,利用DCE/Kerberos身份驗(yàn)證機(jī)制,只要用戶輸入的個(gè)人信息得到驗(yàn)證后,用戶才能進(jìn)行下一步訪問。還可以設(shè)置一種封閉策略,只有得到授權(quán)的用戶才能獲得相應(yīng)信息。但是,在通過限制用戶訪問來達(dá)到信息安全處理的效果時(shí),應(yīng)當(dāng)注意對數(shù)據(jù)信息的最大共享原則,使用戶能夠通過客戶端獲得對所有數(shù)據(jù)的訪問權(quán),除非是不應(yīng)當(dāng)開放的保密性數(shù)據(jù)。

(2)建立備份制度和事務(wù)日志制度等。對于信息系統(tǒng)而言,其安全性總會受到一定的威脅,企業(yè)在進(jìn)行信息系統(tǒng)的安全處理時(shí),還應(yīng)當(dāng)重視對數(shù)據(jù)的備份,使數(shù)據(jù)能夠在受到安全威脅后得到有效恢復(fù)。

(3)確定信息數(shù)據(jù)安全的最小單位。在構(gòu)建航空企業(yè)信息系統(tǒng)的安全處理體系時(shí),可以將屬性或關(guān)系作為最小安全單位,從而滿足對信息安全性的高要求。

2.2 進(jìn)一步構(gòu)建航空企業(yè)信息系統(tǒng)安全處理體系的策略

在航空企業(yè)信息管理系統(tǒng)中,安全處理內(nèi)部保密信息是很重要的,但對需要向外界公布的信息數(shù)據(jù)也不容輕視,因此僅僅依靠DCE/Kerberos身份驗(yàn)證機(jī)制無法進(jìn)行全面的安全處理。

(1)建立信息系統(tǒng)的自行監(jiān)控和預(yù)警機(jī)制

保障信息系統(tǒng)高效穩(wěn)定的運(yùn)轉(zhuǎn)是航空企業(yè)進(jìn)行各項(xiàng)業(yè)務(wù)的關(guān)鍵,因此,在進(jìn)行信息系統(tǒng)的安全處理時(shí),首先應(yīng)當(dāng)做到的就是對系統(tǒng)運(yùn)行的監(jiān)控和預(yù)警,從而能夠早發(fā)現(xiàn)、早解決系統(tǒng)運(yùn)行問題,避免影響航空業(yè)務(wù)的運(yùn)行。

(2)應(yīng)用各種安全產(chǎn)品,構(gòu)建全面的防御體系

在航空企業(yè)信息系統(tǒng)建立安全處理體系時(shí),航空企業(yè)應(yīng)當(dāng)加大投入力度,建立一個(gè)全面的防御體系,從而減少安全問題的產(chǎn)生。例如,在建立防病毒、防黑客體系時(shí),可以通過部署應(yīng)用漏洞掃描軟件、防病毒軟件等安全產(chǎn)品,構(gòu)建出一個(gè)全面的防御體系,將信息系統(tǒng)的內(nèi)部運(yùn)轉(zhuǎn)充分控制起來,從而能夠及早發(fā)現(xiàn)安全問題,及早解決。

(3)設(shè)置控制用戶訪問的安全處理策略

航空企業(yè)的信息系統(tǒng)在為用戶提供服務(wù)時(shí),使用的是一種端對端的信息交流方式,因此,保障信息傳遞過程中的信息安全,防止信息遭到修改是信息安全處理的重點(diǎn)。SOAP協(xié)議基于XML數(shù)據(jù)結(jié)構(gòu),它可以為用戶提供信息交換的平臺。為保護(hù)SOAP協(xié)議的安全性,進(jìn)而保障信息安全,我們可以進(jìn)行用戶查詢權(quán)、修改權(quán)及刪除權(quán)的設(shè)定,通過設(shè)立安全矩陣的方式將各類信息及各類人員的權(quán)限進(jìn)行分類處理,從而提高信息管理系統(tǒng)的運(yùn)行效率,如下表1所示。

通過這種矩陣式分類,就可以直觀地將各部門權(quán)限表現(xiàn)出來,從而達(dá)到對信息系統(tǒng)客戶端的有效管理。

(4)實(shí)現(xiàn)信息系統(tǒng)各子系統(tǒng)之間訪問管理的安全性

在信息系統(tǒng)的使用中,用戶對資源的使用往往會涉及到整個(gè)系統(tǒng)中的多數(shù)子系統(tǒng),在訪問這些子系統(tǒng)時(shí),系統(tǒng)需要對授權(quán)進(jìn)行逐一判斷,這就會使系統(tǒng)屬性發(fā)生改變,安全隱患也就隨之而來,因此,應(yīng)當(dāng)建立一種訪問控制體系,用于對訪問各子系統(tǒng)信息資源的安全處理。

UCON模型,就是適應(yīng)現(xiàn)代業(yè)務(wù)流程訪問控制而產(chǎn)生的新型模型,包含了主體、客體和權(quán)限三個(gè)基本元素,它將義務(wù)、條件和授權(quán)作為了決策進(jìn)程的一部分,提供了一種更好的決策能力。這種模型區(qū)別于其他訪問控制模型之處就在于它的可變屬性,可變屬性可以隨著訪問對象的改變而發(fā)生改變,這種模型解決了傳統(tǒng)的訪問控制技術(shù)缺乏綜合性的問題,并涵蓋了安全和隱私兩個(gè)重要方面,是一種具有決策連續(xù)性和屬性易變性特點(diǎn)的訪問控制模型。通過對UCON模型和數(shù)據(jù)庫管理系統(tǒng)的綜合使用,可以有效保護(hù)信息系統(tǒng)的數(shù)據(jù)資源,并能夠在結(jié)合其他技術(shù)的基礎(chǔ)上,對計(jì)算機(jī)系統(tǒng)資源和網(wǎng)絡(luò)資源進(jìn)行保護(hù),從而達(dá)到航空企業(yè)信息系統(tǒng)安全處理的目標(biāo),防止非法訪問現(xiàn)象的發(fā)生。

2.3 構(gòu)建完善的航空企業(yè)信息系統(tǒng)安全處理體系

一個(gè)完整的信息系統(tǒng)安全處理體系,必須涵蓋了從客戶端到服務(wù)提供端,再到訪問控制端的安全處理流程。首先,對于客戶端安全處理環(huán)節(jié)的實(shí)現(xiàn),可以借助用戶身份信息的收集和對服務(wù)返回結(jié)果的安全處理,并運(yùn)用DCE/Kerberos身份驗(yàn)證機(jī)制等安全平臺操作技術(shù)對信息系統(tǒng)的安全性進(jìn)行管理。其次,是對服務(wù)提供端安全處理的實(shí)現(xiàn),這一環(huán)節(jié)包括了對用戶身份的驗(yàn)證和對數(shù)據(jù)傳輸?shù)陌踩幚?,可以使用SOAP協(xié)議等安全審計(jì)技術(shù)為信息系統(tǒng)提供安全保障。最后,是對訪問控制端安全處理的實(shí)現(xiàn),這一環(huán)節(jié)可以分為對系統(tǒng)各環(huán)節(jié)的信息匹配和對訪問控制服務(wù)的安全處理,是整個(gè)信息系統(tǒng)安全處理的重要環(huán)節(jié),在構(gòu)建系統(tǒng)安全處理體系時(shí),可以使用UCON模型將訪問控制權(quán)具體化,并設(shè)立安全矩陣,最終達(dá)到信息系統(tǒng)安全處理的目的。

總結(jié):

航空企業(yè)的行業(yè)特性,決定了構(gòu)建符合其行業(yè)特點(diǎn)的信息系統(tǒng)安全處理體系是一個(gè)復(fù)雜而繁瑣的過程,企業(yè)信息安全管理部門應(yīng)當(dāng)從實(shí)際出發(fā),結(jié)合企業(yè)信息系統(tǒng)的客戶端、服務(wù)端以及數(shù)據(jù)庫對信息安全的不同要求,運(yùn)用現(xiàn)代化技術(shù),依據(jù)信息系統(tǒng)設(shè)計(jì)原則,構(gòu)建一個(gè)既能滿足共享性,又能滿足保密性的獨(dú)特的安全處理體系。另外,企業(yè)管理部門不僅要加大對技術(shù)的扶持和研發(fā),還應(yīng)當(dāng)注重對企業(yè)內(nèi)部人員的信息安全教育,能夠建立一個(gè)完善的信息系統(tǒng)管理制度,從而使企業(yè)人員能夠積極進(jìn)行信息系統(tǒng)的安全防護(hù)。

參考文獻(xiàn):

[1]郝梁怡.淺析民航空管信息安全管理[J].中國科技縱橫,2013(12).

[2]張?jiān)聘?基于SMS關(guān)鍵要素的航空公司安全管理信息系統(tǒng)分析與設(shè)計(jì)[J].電子科技大學(xué),2011(1).

[3]田波,吳倩,甄浩.航空公司信息安全管理系統(tǒng)的構(gòu)建與安全保障體系研究[J].情報(bào)科學(xué),2011(9).

[4]白瑜.基于UCON的訪問控制的應(yīng)用[J].電力學(xué)報(bào),2012(6).

[5]付茂沼.民用航空信息安全研究[J].中國民航飛行學(xué)院學(xué)報(bào),2010(3).

[6]姜鵬.民航空管信息處理系統(tǒng)的安全保障[J].中國新技術(shù)新產(chǎn)品,2011(13).

篇2

關(guān)鍵詞:藥品物流管理系統(tǒng);信息安全素養(yǎng);信息安全干預(yù)

21世紀(jì)是一個(gè)全方位大數(shù)據(jù)的時(shí)代,從紙張過渡到電子病歷系統(tǒng)的醫(yī)療記錄數(shù)據(jù)呈指數(shù)級增長[1,2],但在體驗(yàn)信息化帶來的前所未有便捷的同時(shí),巨大信息安全隱患也逐漸浮出水面,正逐漸引起大眾的高度重視和警覺[3~5]。2014年醫(yī)療/保健行業(yè)在所有報(bào)告的數(shù)據(jù)泄露事件中所占比例超過42%,遠(yuǎn)高于其他行業(yè)(如銀行/金融、商業(yè)、教育等)[6~8]。上海市執(zhí)行了藥品陽光采購平臺,在此基礎(chǔ)上建立了藥品物流管理系統(tǒng),該系統(tǒng)利用信息化技術(shù)手段和智能設(shè)施設(shè)備讓藥品在供應(yīng)、分揀、配送等各個(gè)環(huán)節(jié),實(shí)現(xiàn)公司、醫(yī)院、科室、患者之間一體化、精細(xì)化管理。盡管目前實(shí)施了藥品安全信息化監(jiān)管,但是藥品信息錯(cuò)綜復(fù)雜、工作人員意識薄弱、藥品信息管理人員復(fù)雜,一旦信息泄露,存在醫(yī)保套用、患者信息泄露被不法分子利用、統(tǒng)方等隱患。藥品信息的管理核心是人員的管理,監(jiān)管的最終目標(biāo)也是保障藥品安全供應(yīng)和合理使用。金山區(qū)自2016起開始陽光平臺藥品采購試點(diǎn),在上海市率先執(zhí)行了藥品物流管理系統(tǒng)。本文結(jié)合工作實(shí)際,對金山區(qū)藥品物流管理系統(tǒng)的信息管理人員和使用者的安全意識進(jìn)行調(diào)查、評估和干預(yù),為提高全市藥品相關(guān)人員的信息安全水平,減少因信息泄露而導(dǎo)致的醫(yī)療安全事件的發(fā)生提供參考。

1對象與方法

1.1研究對象

金山區(qū)藥品物流管理系統(tǒng)全部管理用戶,包括藥品陽光采購平臺、藥品物流管理系統(tǒng)、各醫(yī)療機(jī)構(gòu)HIS系統(tǒng)藥品信息管理人員、使用人員193人。

1.2研究內(nèi)容與方法

1.2.1名詞定義與指標(biāo)計(jì)算方法藥品物流管理系統(tǒng):利用信息化技術(shù)手段和智能設(shè)施設(shè)備讓藥品在供應(yīng)、分揀、配送等各個(gè)環(huán)節(jié),實(shí)現(xiàn)公司、醫(yī)院、科室、患者之間一體化、精細(xì)化管理的系統(tǒng)。信息安全素養(yǎng):指人員在信息化條件下對信息安全的認(rèn)識以及對信息安全表現(xiàn)的綜合能力,包括信息安全動機(jī)、信息安全知識、信息安全能力、信息行為等內(nèi)容[4]。指標(biāo)計(jì)算方法:參考《中國居民健康素養(yǎng)調(diào)查》方案設(shè)計(jì),正確回答題目的賦值1分,題目回答錯(cuò)誤的賦值0分,計(jì)算每名調(diào)查對象最終的答題得分。根據(jù)專家咨詢意見,所有問題全部回答正確視為具備總體信息安全素養(yǎng),對信息安全知識問題、信息安全動機(jī)問題、信息安全角色認(rèn)知問題、信息安全行為問題全部回答正確的分別視為該調(diào)查對象具備這四個(gè)方面的信息安全素養(yǎng)。1.2.2系統(tǒng)用戶信息安全素養(yǎng)水平調(diào)查通過文獻(xiàn)研究收集國內(nèi)外關(guān)于信息安全的相關(guān)材料以及實(shí)踐工作中的經(jīng)驗(yàn)等內(nèi)容,初步形成評估問卷和調(diào)查問卷,通過德爾菲法選擇衛(wèi)生信息化領(lǐng)域工作經(jīng)驗(yàn)豐富的專家開展問卷設(shè)計(jì)咨詢,所有專家均為衛(wèi)生信息化領(lǐng)域或健康行為研究領(lǐng)域;本科及以上學(xué)歷;工作經(jīng)驗(yàn)豐富,從事相關(guān)工作5年以上,最終選擇了上海市疾病預(yù)防控制中心信息所、金山區(qū)衛(wèi)生信息中心等8名專家對問卷進(jìn)行審核、修訂,針對部分調(diào)查對象進(jìn)行預(yù)調(diào)查后對存在的問題進(jìn)行相應(yīng)的修改,形成最終的評估和調(diào)查問卷,問卷由基本情況、信息安全知識、信息安全動機(jī)、信息安全角色認(rèn)知、信息安全行為和系統(tǒng)用戶信息等6部分條目構(gòu)成。對金山區(qū)藥品物流管理系統(tǒng)的所有用戶開展面對面問卷調(diào)查。問卷調(diào)查在調(diào)查前向受訪者進(jìn)行調(diào)查說明,承諾調(diào)查信息保密,在受訪者知情同意后開展調(diào)查,提高受訪者的支持配合。問卷調(diào)查后及時(shí)整理和質(zhì)控,確保信息完整。1.2.3信息安全干預(yù)措施實(shí)施后效果調(diào)查采用整群隨機(jī)分組方法,以一個(gè)社區(qū)的系統(tǒng)用戶為一個(gè)群組,將金山區(qū)11個(gè)社區(qū)的所有系統(tǒng)用戶隨機(jī)分為干預(yù)組和對照組,結(jié)合用戶信息安全素養(yǎng)調(diào)查過程中發(fā)現(xiàn)的問題,對干預(yù)組進(jìn)行進(jìn)行信息安全干預(yù),實(shí)施包括培訓(xùn)講座、專項(xiàng)指導(dǎo)、發(fā)放信息安全宣傳材料、微信宣傳等一系列有針對性的干預(yù)措施;對照組則不給予任何干預(yù)措施。干預(yù)后對兩組進(jìn)行終末調(diào)查,對比兩組在基線和終末調(diào)查時(shí)信息安全素養(yǎng)水平的變化情況。

1.3數(shù)據(jù)整理與分析

使用EpiData3.1軟件建立數(shù)據(jù)庫,用spss19.0軟件進(jìn)行統(tǒng)計(jì)分析。計(jì)數(shù)資料以構(gòu)成比(%)表示,比較采用χ2檢驗(yàn);計(jì)量資料以x珋±s表示。P<0.05為差異有統(tǒng)計(jì)學(xué)意義。

2結(jié)果

2.1人口學(xué)特征

金山藥品物流管理系統(tǒng)用戶人數(shù)共計(jì)193人,發(fā)放問卷193份,收集到有效問卷共163份,問卷有效回收率84.46%。回收問卷的男女性別比為0.43∶1,平均年齡為(34.69±9.32)歲;用戶角色中,58.9%是普通用戶,41.1%是管理賬戶;52.15%的調(diào)查對象是各醫(yī)療機(jī)構(gòu)藥庫工作人員,31.90%為各醫(yī)療機(jī)構(gòu)信息科信息管理人員。調(diào)查對象的人口學(xué)特征分布見表1。

2.2問卷的信度效度分析

信度(reliability)目前最常用的是Alpha信度系數(shù),一般情況下主要考慮量表的內(nèi)在信度———項(xiàng)目之間是否具有較高的內(nèi)在一致性。通過Alpha信度系數(shù)分析,本研究中,量表的信息安全知識、動機(jī)、角色認(rèn)知、行為等四個(gè)維度的信度系數(shù)均>0.7,總體信度系數(shù)為0.732,問表明該問卷具有可接受的信度。問卷的效度分析主要采用因子分析了解結(jié)構(gòu)效度,首先對問卷數(shù)據(jù)進(jìn)行KMO樣本測度和巴特萊特球體檢驗(yàn),以驗(yàn)證數(shù)據(jù)是否適合做因子分析,得到KMO值為0.713,巴特萊特球體檢驗(yàn)P<0.01,適合作因子分析。按特征值>1的標(biāo)準(zhǔn)提取公共因子,共提取5個(gè)因子,并采用方差最大正交旋轉(zhuǎn)進(jìn)行因子旋轉(zhuǎn),所得因子間不相關(guān),累計(jì)方差貢獻(xiàn)率為60.023%。一般認(rèn)為累計(jì)方差貢獻(xiàn)率大于60%,問卷結(jié)構(gòu)效度尚可。

2.3信息安全素養(yǎng)干預(yù)前后對比

干預(yù)組和對照組的基本情況見表2。兩組性別、年齡、教育程度及賬戶角色構(gòu)成等方面差異無統(tǒng)計(jì)學(xué)意義(P>0.05),具有可比性?;€調(diào)查時(shí),干預(yù)組和對照組在總體素養(yǎng)、知識、動機(jī)、角色認(rèn)知方面無明顯差異(P>0.05)。終末調(diào)查時(shí),在知識、角色認(rèn)知、行為等三方面,干預(yù)組明顯高于對照組(P<0.05),而在總體素養(yǎng)和動機(jī)方面兩組沒有顯著差異(P>0.05)。干預(yù)后,干預(yù)組的總體素養(yǎng)、知識、動機(jī)、角色認(rèn)知等水平素養(yǎng)均有顯著提高(P<0.05或P<0.01),但信息安全行為水平無明顯提升(P>0.05);對照組用戶的各項(xiàng)安全素養(yǎng)水平與總體水平在基線和終末調(diào)查中均無明顯變化(P>0.05)。見表3.

2.4較薄弱的藥品信息安全問題集中點(diǎn)

通過對調(diào)查結(jié)果逐一分析,回答正確標(biāo)記1分,回答錯(cuò)誤標(biāo)記為0分,將各題目分?jǐn)?shù)累計(jì)綜合除以總?cè)藬?shù),得到回答合格率。結(jié)果顯示,系統(tǒng)用戶部分問題的合格率較低,對合格率較低的重點(diǎn)問題進(jìn)行匯總和分析,見表4。以準(zhǔn)確發(fā)現(xiàn)在金山區(qū)藥品物流管理系統(tǒng)用戶之間存在的信息安全方面的問題,便于在后期干預(yù)工作中有針對性的開展干預(yù)和信息安全素養(yǎng)提升措施。

3討論

3.1金山區(qū)藥品物流管理系統(tǒng)用戶的信息安全水平亟待于進(jìn)一步的提高

信息的泄露主要是在于醫(yī)療機(jī)構(gòu)和信息服務(wù)機(jī)構(gòu)人員使用、管理過程中出現(xiàn)的無意泄露,更多時(shí)候信息泄露于無意識的情況下[9,10],另外組織環(huán)境也對用戶提供參考,并對用戶的某些行為有一定的積極或消極的作用[11]。本次調(diào)查發(fā)現(xiàn)金山區(qū)藥品物流管理系統(tǒng)用戶對信息安全的重視程度不夠,用戶在信息保護(hù)、信息安全風(fēng)險(xiǎn)防范方面的能力遠(yuǎn)不能達(dá)到實(shí)際的工作要求,尤其是在信息安全行為方面存在較為嚴(yán)重風(fēng)險(xiǎn)行為,醫(yī)務(wù)工作者需要提高保護(hù)個(gè)人隱私信息的能力和意識,否則將在不經(jīng)意的情況下,侵犯或泄漏醫(yī)療信息資料。同時(shí),應(yīng)通過增強(qiáng)信息系統(tǒng)安全性、建立相應(yīng)的管理制度、加強(qiáng)培訓(xùn)宣傳、規(guī)范工作流程以及用戶操作行為等措施,提高信息系統(tǒng)的安全性。

3.2信息安全干預(yù)措施有效提升了用戶的信息安全素養(yǎng)水平

通過實(shí)施一系列的干預(yù)措施,干預(yù)組的信息安全總體素養(yǎng)、信息安全知識、信息安全動機(jī)、信息安全角色認(rèn)知在干預(yù)前后的差異具有統(tǒng)計(jì)學(xué)意義,均有了顯著的提高,但信息安全行為干預(yù)前后沒有顯著的變化,知識、動機(jī)、認(rèn)知的提高沒有明顯的轉(zhuǎn)化為具體行為的改善,后期應(yīng)注重在提高知識、動機(jī)、認(rèn)知的同時(shí)注重行為的強(qiáng)化和培養(yǎng)。對照組用戶的信息安全素養(yǎng)總體水平以及信息安全知識、信息安全動機(jī)、信息安全角色認(rèn)知、信息安全行為等幾方面水平在基線和終末調(diào)查中均沒有明顯的變化,可見對系統(tǒng)用戶通過多途徑的實(shí)施具有針對性的信息安全干預(yù)措施能有效提高用戶的信息安全素養(yǎng)水平。

3.3組織管理制度的完善和系統(tǒng)安全設(shè)置要求的提升

干預(yù)結(jié)束后,通過梳理制定金山藥品物流管理系統(tǒng)安全管理制度,對管理網(wǎng)絡(luò)、組織分工、賬戶管理、數(shù)據(jù)流通等方面作了詳盡的規(guī)定。根據(jù)管理制度的規(guī)定[12],通過系統(tǒng)運(yùn)維人員在密碼策略、用戶權(quán)限、賬戶清理等方面從系統(tǒng)方面進(jìn)行了設(shè)置和強(qiáng)制性要求。在信息安全素養(yǎng)干預(yù)手段沒有有效發(fā)揮作用的部分,通過制度約束和技術(shù)手段強(qiáng)制,彌補(bǔ)了信息安全教育、培訓(xùn)等手段的不足,實(shí)現(xiàn)金山區(qū)藥品物流管理系統(tǒng)安全性的全面提升。

3.4小結(jié)

篇3

大數(shù)據(jù)時(shí)代信息安全面臨挑戰(zhàn)

在大數(shù)據(jù)時(shí)代,無處不在的智能終端、隨時(shí)在線的網(wǎng)絡(luò)傳輸、互動頻繁的社交網(wǎng)絡(luò)使得互聯(lián)網(wǎng)時(shí)時(shí)刻刻都在產(chǎn)生著海量的數(shù)據(jù)。隨著產(chǎn)生、存儲、分析的數(shù)據(jù)量越來越大,在這些海量數(shù)據(jù)背后隱藏著大量的經(jīng)濟(jì)與政治利益。大數(shù)據(jù)如同一把雙刃劍,在我們享受大數(shù)據(jù)分析帶來的精準(zhǔn)信息的同時(shí),其所帶來的安全問題也開始成為企業(yè)的隱患。

1、黑客更顯著的攻擊目標(biāo):在網(wǎng)絡(luò)空間里,大數(shù)據(jù)是更容易被“發(fā)現(xiàn)”的大目標(biāo)。一方面,大數(shù)據(jù)意味著海量的數(shù)據(jù),也意味著更復(fù)雜、更敏感的數(shù)據(jù),這些數(shù)據(jù)會吸引更多的潛在攻擊者。另一方面,數(shù)據(jù)的大量匯集,使得黑客成功攻擊一次就能獲得更多數(shù)據(jù),無形中降低了黑客的攻擊成本,增加了其“收益率”。

2、隱私泄露風(fēng)險(xiǎn)增加:大量數(shù)據(jù)的匯集不可避免地加大了用戶隱私泄露的風(fēng)險(xiǎn)。一方面,數(shù)據(jù)集中存儲增加了泄露風(fēng)險(xiǎn),而這些數(shù)據(jù)不被濫用,也成為人身安全的一部分。另一方面,一些敏感數(shù)據(jù)的所有權(quán)和使用權(quán)并沒有明確界定,很多基于大數(shù)據(jù)的分析都未考慮到其中涉及的個(gè)體隱私問題。

3、威脅現(xiàn)有的存儲和防護(hù)措施:大數(shù)據(jù)存儲帶來新的安全問題。數(shù)據(jù)大集中的后果是復(fù)雜多樣的數(shù)據(jù)存儲在一起,很可能會出現(xiàn)將某些生產(chǎn)數(shù)據(jù)放在經(jīng)營數(shù)據(jù)存儲位置的情況,致使企業(yè)安全管理不合規(guī)。大數(shù)據(jù)的大小也影響到安全控制措施能否正確運(yùn)行。安全防護(hù)手段的更新升級速度無法跟上數(shù)據(jù)量非線性增長的步伐,就會暴露大數(shù)據(jù)安全防護(hù)的漏洞。

4、大數(shù)據(jù)技術(shù)成為黑客的攻擊手段:在企業(yè)用數(shù)據(jù)挖掘和數(shù)據(jù)分析等大數(shù)據(jù)技術(shù)獲取商業(yè)價(jià)值的同時(shí),黑客也在利用這些大數(shù)據(jù)技術(shù)向企業(yè)發(fā)起攻擊。黑客會最大限度地收集更多有用信息,比如社交網(wǎng)絡(luò)、郵件、微博、電子商務(wù)、電話和家庭住址等信息,大數(shù)據(jù)分析使黑客的攻擊更加精準(zhǔn)。此外,大數(shù)據(jù)也為黑客發(fā)起攻擊提供了更多機(jī)會。黑客利用大數(shù)據(jù)發(fā)起僵尸網(wǎng)絡(luò)攻擊,可能會同時(shí)控制上百萬臺傀儡機(jī)并發(fā)起攻擊。

5、成為高級可持續(xù)攻擊的載體:傳統(tǒng)的檢測是基于單個(gè)時(shí)間點(diǎn)進(jìn)行的基于威脅特征的實(shí)時(shí)匹配檢測,而高級可持續(xù)攻擊(APT)是一個(gè)實(shí)施過程,無法被實(shí)時(shí)檢測。此外,由于大數(shù)據(jù)的價(jià)值低密度特性,使得安全分析工具很難聚焦在價(jià)值點(diǎn)上,黑客可以將攻擊隱藏在大數(shù)據(jù)中,給安全服務(wù)提供商的分析制造很大困難。黑客設(shè)置的任何一個(gè)會誤導(dǎo)安全廠商目標(biāo)信息提取和檢索的攻擊,都會導(dǎo)致安全監(jiān)測偏離應(yīng)有方向。

6、信息安全產(chǎn)業(yè)面臨變革:大數(shù)據(jù)的到來也為信息安全產(chǎn)業(yè)的發(fā)展帶來了新的契機(jī),還沒有意識到這場變革的安全廠商將在這場變革大潮中被拋棄。大數(shù)據(jù)正在為安全分析提供新的可能性,在未來的安全架構(gòu)體系中,通過大數(shù)據(jù)智能分析有效的將原來分割的安全產(chǎn)品更好的融合起來,成為不同的安全智能節(jié)點(diǎn),這將是在大數(shù)據(jù)時(shí)代安全產(chǎn)業(yè)需要研究突破的重點(diǎn)。

RSA信息安全智能分析平臺解析

日前,EMC信息安全事業(yè)部RSA宣布推出了RSA信息安全智能分析平臺,該平臺基于RSA NetWitness成熟的技術(shù)架構(gòu),并將SIEM、網(wǎng)絡(luò)取證(Network Forensics)和大數(shù)據(jù)分析技術(shù)進(jìn)行了融合,為信息安全專業(yè)人員提供了深度可視性,幫助他們察看和了解安全漏洞及安全攻擊,使安全風(fēng)險(xiǎn)一出現(xiàn)就能被發(fā)現(xiàn),因此顯著節(jié)省了時(shí)間,將查找時(shí)間從幾天縮短為幾分鐘。另外,通過幫助信息安全專業(yè)人員了解起源于企業(yè)內(nèi)部及外部的數(shù)字風(fēng)險(xiǎn),企業(yè)還能更好地保護(hù)自己的資產(chǎn),包括知識產(chǎn)權(quán)以及其他敏感數(shù)據(jù),同時(shí)節(jié)省與安全威脅管理及法規(guī)遵從報(bào)告有關(guān)的時(shí)間和費(fèi)用。

RSA信息安全智能分析平臺特性:

數(shù)據(jù)快速捕獲與分析:與信息安全相關(guān)的數(shù)據(jù),包括通過網(wǎng)絡(luò)傳送的完整數(shù)據(jù)包、日志和安全威脅情報(bào),都能快速捕獲和分析,以加速對潛在安全威脅的檢測。

強(qiáng)大的分析能力:實(shí)現(xiàn)比基于SIEM的傳統(tǒng)安全方法大得多的數(shù)據(jù)采集規(guī)模,而且新的分析方法具有更強(qiáng)大的分析能力。

集成了應(yīng)對安全威脅的智能性:幫助企業(yè)實(shí)現(xiàn)安全威脅情報(bào)供給的可操作性,以加速對指向企業(yè)的、潛在攻擊工具及方法的檢測和查找。

安全威脅的背景信息:通過與RSA Archer GRC平臺以及與RSA防數(shù)據(jù)丟失(DLP)套件的集成,還通過融合其他產(chǎn)品產(chǎn)生的數(shù)據(jù),分析人員可以利用業(yè)務(wù)背景信息,為造成最大風(fēng)險(xiǎn)的安全威脅優(yōu)先分配資源。

惡意軟件識別:該解決方案利用各種查找方法識別基于惡意軟件的攻擊,識別范圍大得多。

法規(guī)遵從報(bào)告自動化:通過良好的信息安全實(shí)踐,幫助實(shí)現(xiàn)法規(guī)遵從性。

成熟的大數(shù)據(jù)平臺及分析方法與信息安全工具相集成,使信息安全保障方式取得了極大的進(jìn)步。正如所開發(fā)的那樣,RSA信息安全智能分析平臺整合了無與倫比的可視性,可利用大數(shù)據(jù)平臺及先進(jìn)的分析方法,識別高風(fēng)險(xiǎn)活動、降低高級安全威脅風(fēng)險(xiǎn)并滿足法規(guī)遵從要求。

大數(shù)據(jù)安全未來趨勢展望

據(jù)MacDonald預(yù)測,到2016年,40%的企業(yè)(銀行、保險(xiǎn)、醫(yī)藥和國防行業(yè)為主)將積極地對至少10TB數(shù)據(jù)進(jìn)行分析,以找出潛在危險(xiǎn)的活動。然而,供應(yīng)商的產(chǎn)品格局卻無法在短期內(nèi)進(jìn)行轉(zhuǎn)變?,F(xiàn)在,企業(yè)通常依賴于SIEM系統(tǒng)來關(guān)聯(lián)和分析安全相關(guān)的數(shù)據(jù),MacDonald表示目前的SIEM產(chǎn)品無法處理這么大的工作量,大多數(shù)SIEM產(chǎn)品提供接近實(shí)時(shí)數(shù)據(jù),但只能處理規(guī)范化數(shù)據(jù),還有些SIEM產(chǎn)品能夠處理大量原始交易數(shù)據(jù),但無法提供實(shí)時(shí)情報(bào)信息。

Gartner公司分析師表示,使用“大數(shù)據(jù)”來提高企業(yè)信息安全不完全是炒作,這在未來幾年內(nèi)這將成為現(xiàn)實(shí)。大數(shù)據(jù)將為安全團(tuán)隊(duì)帶來新的工作方式,通過了解大數(shù)據(jù)的優(yōu)勢、制定切合實(shí)際的目標(biāo)以及利用現(xiàn)有安全技術(shù)的優(yōu)勢,安全管理人員將會發(fā)現(xiàn)他們在大數(shù)據(jù)進(jìn)行的投資是值得的。

篇4

1.1政府和行業(yè)對互聯(lián)網(wǎng)信息安全重視程度增加

隨著近些年來網(wǎng)絡(luò)信息安全問題的不斷發(fā)酵,網(wǎng)絡(luò)安全問題已經(jīng)拓展到國家安全的角度,國家的重視度不斷增加?,F(xiàn)在,國家網(wǎng)絡(luò)安全的行業(yè)進(jìn)入了一個(gè)加速發(fā)展的時(shí)代,網(wǎng)絡(luò)安全對政治商業(yè)和經(jīng)濟(jì)等利益都有較大的影響,因此,網(wǎng)絡(luò)安全行業(yè)的發(fā)展已經(jīng)到了存量和增量大幅增加的階段。從政府方面來講,政府正在加大加國產(chǎn)硬件和軟件及一些安全軟件的采購力度,逐步提升企事業(yè)單位的IT基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)防御能力;從企事業(yè)單位的方面來講,我們用于信息安全的投資明顯的低于世界平均水平?,F(xiàn)在,各類網(wǎng)絡(luò)安全問題的出現(xiàn)及一些商業(yè)機(jī)密泄露等事件敲響了企事業(yè)單位安全意識的警鐘,企事業(yè)但是開始強(qiáng)化數(shù)據(jù)保護(hù)和提高安全防御措施。

1.2互聯(lián)網(wǎng)犯罪猖獗

現(xiàn)在網(wǎng)絡(luò)違法犯罪活動愈發(fā)猖獗。一些不法分子利用互聯(lián)網(wǎng)進(jìn)行各種各樣的違法犯罪活動,如賭博、詐騙、撒播謠言、竊密盜竊等不法活動,還有通過互聯(lián)網(wǎng)攻擊竊取數(shù)據(jù)和機(jī)密等的犯罪活動。這些通過互聯(lián)網(wǎng)進(jìn)行的違法犯罪不僅危害了公民的合法權(quán)益,而且破壞了國家的安全和社會的穩(wěn)定。

1.3網(wǎng)絡(luò)安全產(chǎn)業(yè)有很大的發(fā)展空間

伴隨著大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等技術(shù)的快速應(yīng)用,互聯(lián)網(wǎng)已經(jīng)影響到我們生活的方方面面,而網(wǎng)絡(luò)安全產(chǎn)業(yè)也面臨著新的機(jī)遇和挑戰(zhàn)。為了保證國家的網(wǎng)絡(luò)安全,要不斷發(fā)展有自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品?,F(xiàn)在由于互聯(lián)網(wǎng)的核心的設(shè)施、技術(shù)還有比較高端的服務(wù)還是主要依賴于國外的進(jìn)口,在操作系統(tǒng)使用、專用芯片制造和大型應(yīng)用軟件開發(fā)等方面都存在著嚴(yán)重的安全的隱患。因此,具有自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品和產(chǎn)業(yè)有非常廣闊的發(fā)展空間和發(fā)展前景。

1.4互聯(lián)網(wǎng)信息安全研究成為熱點(diǎn)

現(xiàn)在可穿戴設(shè)備、智能終端等設(shè)備的應(yīng)用非常廣泛,信息安全問題是現(xiàn)在互聯(lián)網(wǎng)技術(shù)研究的熱點(diǎn)問題,隨著研究的深入進(jìn)行和技術(shù)的不斷發(fā)展,會幫助解決互聯(lián)網(wǎng)在安全方面所遇到的問題?,F(xiàn)在已經(jīng)有很多的高校將互聯(lián)網(wǎng)信息安全作為專門的課程開設(shè),這也有助于我國互聯(lián)網(wǎng)信息安全研究的發(fā)展。

2加強(qiáng)我國互聯(lián)網(wǎng)信息安全對策

2.1發(fā)揮政府功能,強(qiáng)化法規(guī)建設(shè),建立全國范圍內(nèi)的網(wǎng)絡(luò)安全協(xié)助機(jī)制

隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全受到巨大的威脅,針對這種情況,要加強(qiáng)公民的網(wǎng)絡(luò)安全教育工作,盡可能提升全民的網(wǎng)絡(luò)安全的基礎(chǔ)知識和水平,增強(qiáng)公民的“網(wǎng)絡(luò)道德”意識,保護(hù)我國網(wǎng)絡(luò)信息的安全。而且要進(jìn)一步強(qiáng)化網(wǎng)絡(luò)立法以及執(zhí)法的能力,深化政府職能,完善法規(guī)建設(shè),在全國范圍內(nèi)建立網(wǎng)絡(luò)安全協(xié)助的機(jī)制,這樣有助于協(xié)調(diào)全國網(wǎng)絡(luò)的安全運(yùn)行。制定出網(wǎng)絡(luò)在建設(shè)階段和運(yùn)行階段的安全級別的定義和安全行為的細(xì)則,安全程度的考核評定等標(biāo)準(zhǔn)化文本,分析網(wǎng)絡(luò)出現(xiàn)的攻擊手段,報(bào)告系統(tǒng)漏洞并給出“補(bǔ)丁”程序,并且對全國范圍內(nèi)協(xié)調(diào)網(wǎng)絡(luò)安全建設(shè),另外,還要大力提高我國自主研發(fā),生產(chǎn)相關(guān)的應(yīng)用系統(tǒng)與網(wǎng)絡(luò)安全的能力,用以代替進(jìn)口產(chǎn)品。

2.2加大互聯(lián)網(wǎng)信息安全犯罪的打擊力度

目前,互聯(lián)網(wǎng)技術(shù)的發(fā)展速度已經(jīng)遠(yuǎn)遠(yuǎn)超越了網(wǎng)絡(luò)犯罪的立法速度,有一些立法對互聯(lián)網(wǎng)犯罪的處罰力度非常輕,還有一些互聯(lián)網(wǎng)犯罪活動并沒有相關(guān)的法律規(guī)定。這種情況對于加大網(wǎng)絡(luò)信息安全的打擊力度是非常不利的。因此,現(xiàn)在要加快對互聯(lián)網(wǎng)犯罪的立法工作,使得在處理互聯(lián)網(wǎng)犯罪的時(shí)候可以做到有法可依。近些年,國家加大了最互聯(lián)網(wǎng)的監(jiān)督和監(jiān)管力度,使得很多的互聯(lián)網(wǎng)犯罪活動能夠在較短的時(shí)間內(nèi)得到取證和解決,但是相對而言,公民的互聯(lián)網(wǎng)安全意思還是比較淡薄,因此,提高公民的互聯(lián)網(wǎng)安全意識也成了迫在眉睫需要解決的問題。

2.3加大網(wǎng)絡(luò)信息安全的宣傳和教育的工作

現(xiàn)今社會,互聯(lián)網(wǎng)已經(jīng)深入到生活的方方面面,互聯(lián)網(wǎng)正在改變著人們傳統(tǒng)的生活方式,人們的生活離不開互聯(lián)網(wǎng)。可是隨之而來的是計(jì)算機(jī)病毒、計(jì)算機(jī)犯罪、計(jì)算機(jī)黑客等問題,影響著人們對互聯(lián)網(wǎng)的正常和安全使用,更是影響到國家的經(jīng)濟(jì)發(fā)展和安全。因此,加大我國網(wǎng)絡(luò)信息安全的宣傳和教育工作是一件非常急迫的事情,通過不斷提高公民的網(wǎng)絡(luò)安全意識,能夠有效避免一些網(wǎng)絡(luò)犯罪的發(fā)生,并且對提高我國整體網(wǎng)絡(luò)安全有很大的幫助。要不斷的通過電視、網(wǎng)絡(luò)、報(bào)紙等多種媒體進(jìn)行網(wǎng)絡(luò)安全知識的宣傳,讓網(wǎng)絡(luò)安全意識深入人心。

2.4建立互聯(lián)網(wǎng)的信息安全預(yù)警和應(yīng)急保障制度

重點(diǎn)加強(qiáng)對全社會信息安全問題的統(tǒng)籌安排,對信息安全工作責(zé)任制要不斷深化細(xì)化;加強(qiáng)重點(diǎn)信息領(lǐng)域的安全保障工作,推動信息安全等工作的開展、要把安全測評、應(yīng)急管理等信息安全基本制度落到實(shí)處;加快推進(jìn)網(wǎng)絡(luò)與信息安全應(yīng)急基礎(chǔ)平臺建設(shè);提升信息安全綜合監(jiān)管和服務(wù)水平,積極應(yīng)對信息安全新情況、新問題,針對云計(jì)算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用開展專項(xiàng)研究,建立信息安全風(fēng)險(xiǎn)評估和應(yīng)對機(jī)制;建立統(tǒng)一的網(wǎng)絡(luò)信任體系、信息安全測評認(rèn)證平臺、電子政務(wù)災(zāi)難備份中心等基礎(chǔ)設(shè)施等,力求對信息安全保障工作形成更強(qiáng)的基礎(chǔ)支撐。

2.5技術(shù)防護(hù)安全策略

技術(shù)防護(hù)是確保網(wǎng)站信息安全的有力措施,在技術(shù)防護(hù)上,主要做好以下幾方面工作:一是要加強(qiáng)網(wǎng)絡(luò)環(huán)境安全;二是加強(qiáng)網(wǎng)站平臺安全管理;三是加強(qiáng)網(wǎng)站代碼安全;四是加強(qiáng)數(shù)據(jù)安全。

3結(jié)語

篇5

關(guān)鍵詞:地市煙草;網(wǎng)絡(luò)安全;技術(shù);管理

中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A 文章編號:1674-7712 (2014) 02-0000-02

煙草行業(yè)自1985年有了第一臺計(jì)算機(jī)以來,經(jīng)過20多年行業(yè)信息化工作者孜孜不倦的努力,行業(yè)的信息化建設(shè)工作取得了長足的發(fā)展,建立了涵蓋行業(yè)各個(gè)方面工作的完備的信息網(wǎng)絡(luò),為行業(yè)工作的便捷開展提供了可靠的信息化助力,為“卷煙上水平”做出了應(yīng)有的貢獻(xiàn)。但不可否認(rèn)的是,在信息化建設(shè)之初,由于經(jīng)驗(yàn)的缺乏及技術(shù)的限制,沒有形成一個(gè)具有遠(yuǎn)見性及科學(xué)性,能與行業(yè)整體業(yè)務(wù)發(fā)展戰(zhàn)略緊密融合的信息網(wǎng)絡(luò)安全建設(shè)戰(zhàn)略,導(dǎo)致多年來行業(yè)信息網(wǎng)絡(luò)安全建設(shè)工作缺乏統(tǒng)一的導(dǎo)向和組織,雖然各省煙草公司都制定并出臺了計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)與管理規(guī)范,指導(dǎo)各地市的信息網(wǎng)絡(luò)建設(shè),但因?yàn)橹贫瘸雠_時(shí)間較短,及網(wǎng)絡(luò)改造需要流程與時(shí)間,可以說目前各地市網(wǎng)絡(luò)安全建設(shè)水平仍不夠理想,信息網(wǎng)絡(luò)安全建設(shè)發(fā)展至今,越來越多的困難與矛盾開始逐漸凸顯。

一、地市煙草公司信息網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀

地市煙草信息網(wǎng)絡(luò)是構(gòu)成全省煙草信息網(wǎng)絡(luò)的個(gè)體,因此地市信息網(wǎng)絡(luò)安全建設(shè)水平便直接關(guān)系全省信息網(wǎng)絡(luò)建設(shè)水平,是構(gòu)成全省信息網(wǎng)絡(luò)安全建設(shè)的一環(huán),就像構(gòu)成木桶的一板,依據(jù)管理學(xué)上“木桶效應(yīng)”的短板理論,木桶的盛水量由構(gòu)成木桶的最短的一板決定,當(dāng)有一個(gè)地市信息網(wǎng)絡(luò)安全建設(shè)水平大大低于平均水平,就將大大拉低全省煙草信息網(wǎng)絡(luò)整體安全防護(hù)水平??梢哉f全省煙草的信息網(wǎng)路安全建設(shè)必將是環(huán)環(huán)相扣的,一環(huán)均不得松懈,一環(huán)均不得落后。

地市信息網(wǎng)絡(luò)安全建設(shè)關(guān)系到全行業(yè)主干的網(wǎng)絡(luò)的安全與穩(wěn)定,而信息網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及系統(tǒng)的脆弱性、開放性和易受攻擊性,決定了信息網(wǎng)絡(luò)安全威脅的客觀存在。當(dāng)行業(yè)人員在享受著信息網(wǎng)絡(luò)給日常辦公帶來便利性的同時(shí),信息網(wǎng)絡(luò)安全問題也日漸突出,信息網(wǎng)絡(luò)安全建設(shè)形勢日益嚴(yán)峻。結(jié)合地市煙草實(shí)際情況分析總結(jié)(某地市煙草信息網(wǎng)絡(luò)安全結(jié)構(gòu)圖如下),以及筆者日常的實(shí)際工作體會,主要可以總結(jié)出當(dāng)前地市煙草信息網(wǎng)絡(luò)安全建設(shè)還主要存在著以下幾方面問題:

(一)將信息網(wǎng)絡(luò)安全建設(shè)理解為單純的安全設(shè)備采購

經(jīng)過多年的信息化網(wǎng)絡(luò)安全建設(shè)投入,一種簡單的理念容易令一些行業(yè)信息化工作從業(yè)者產(chǎn)生誤解,即所謂的信息網(wǎng)絡(luò)安全建設(shè)就是網(wǎng)絡(luò)安全設(shè)備的采購,只要網(wǎng)絡(luò)安全設(shè)備采購部署到位,信息網(wǎng)絡(luò)安全便高枕無憂,從一定角度來說,這種觀點(diǎn)并沒有錯(cuò)誤,隨著信息技術(shù)的發(fā)展,日益先進(jìn)強(qiáng)大的網(wǎng)絡(luò)安全設(shè)備層出不窮,人性化的操作界面也使得設(shè)備使用與配置變得不再困難,對信息網(wǎng)絡(luò)安全起到很好的保障。各地市煙草公司也在逐年增加著安全設(shè)備的采購數(shù)量,網(wǎng)絡(luò)安全隨著安全設(shè)備的增加看起來已經(jīng)不再是問題。但實(shí)際情況是這樣嗎?在實(shí)際情況中我們?nèi)匀粫l(fā)現(xiàn),地市煙草在重視網(wǎng)絡(luò)安全設(shè)備采購的時(shí)卻較為忽視對網(wǎng)絡(luò)安全設(shè)備采購的前期規(guī)劃,導(dǎo)致亟需網(wǎng)絡(luò)設(shè)備沒有得到采購,或者采購的安全設(shè)備沒有得到很好的實(shí)施。造成重復(fù)投資及資產(chǎn)浪費(fèi)的局面,同時(shí)設(shè)備上線實(shí)施后期的運(yùn)行維護(hù)及更新升級,隨著時(shí)間的流逝,人為的懈怠與忽視,都導(dǎo)致購買的安全設(shè)備沒有起到最大的作用。

(二)信網(wǎng)絡(luò)安全建設(shè)偏重技術(shù)鉆研,忽略日常管理

信息網(wǎng)絡(luò)安全不能完全依賴技術(shù)手段來解決,更多的需要從信息安全日常管理上入手,畢竟信息網(wǎng)絡(luò)的使用者是人,只有對人的管理到位,才能保證在技術(shù)手段搭建的網(wǎng)絡(luò)安全保障平臺下不出現(xiàn)人為操作引發(fā)的漏洞。當(dāng)前地市信息化工作從業(yè)者在對信息安全技術(shù)鉆研方面投以了很大的熱情,但對信息網(wǎng)絡(luò)安全日常管理方面卻顯得無能為力,或者說掌控能力還不夠,雖然制定并頒布了涵蓋網(wǎng)絡(luò)安全各方面的信息化制度,但相關(guān)制度卻沒有得到很好的貫徹執(zhí)行,很多制度名存實(shí)亡,而行業(yè)各級員工良好信息網(wǎng)絡(luò)安全使用習(xí)慣始終沒有得到養(yǎng)成,信息安全問責(zé)機(jī)制得不到很好實(shí)施,同時(shí)而信息中心作為相關(guān)信息安全管理制度的制定者,受限于部門職能及自身管理水平所限,導(dǎo)致對制度執(zhí)行的監(jiān)督管理能力低下。而在信息網(wǎng)絡(luò)安全管理不力的情況下,致使再強(qiáng)大的技術(shù)防護(hù)都無法避免管理缺失形成的隱患。

(三)信息網(wǎng)絡(luò)安全建設(shè)重視對外防護(hù),忽視對內(nèi)防護(hù)

當(dāng)前網(wǎng)絡(luò)安全建設(shè)更多的針對外來攻擊的防護(hù),而忽視對內(nèi)的安全防護(hù),更多的是在網(wǎng)絡(luò)邊界搭設(shè)安全設(shè)備抵御從外部而來的非法入侵及非法訪問,而針對內(nèi)部終端用戶的審計(jì)及跟蹤則較為缺失。根據(jù)統(tǒng)計(jì)結(jié)果標(biāo)明,99.9%的網(wǎng)絡(luò)安全事件來源于網(wǎng)絡(luò)內(nèi)部,而只有0.1%安全事件來自于外部,絕大多網(wǎng)絡(luò)安全事件來自于以內(nèi)部客戶端為跳板進(jìn)行的網(wǎng)絡(luò)攻擊。當(dāng)企業(yè)內(nèi)部存在有惡意的攻擊者,他們就能較好的規(guī)避防火墻等安全設(shè)備的安全策略,并把安全策略轉(zhuǎn)向?qū)τ谒麄冇欣囊幻?,對?nèi)部網(wǎng)絡(luò)進(jìn)行攻擊。同時(shí)外部的黑客,也能通過木馬,能讓內(nèi)部用戶運(yùn)行他們指定的程序,操縱主機(jī),竊取數(shù)據(jù),這些都源于當(dāng)前的信息網(wǎng)絡(luò)建設(shè)對來自網(wǎng)絡(luò)內(nèi)部攻擊防護(hù)較為薄弱,同時(shí)對內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制把控力度做得較為不足,雖部署有桌面終端管理系統(tǒng),但在相應(yīng)策略部署上,沒有及時(shí)到位,而該系統(tǒng)特殊的技術(shù)阻斷方式,也在一定程度容易導(dǎo)致其阻斷率無法達(dá)到100%。

(四)網(wǎng)絡(luò)安全建設(shè)應(yīng)急機(jī)制不健全

目前地市信息網(wǎng)絡(luò)安全建設(shè)更多的是重視的日常安全巡檢等日常檢查工作,但是對網(wǎng)絡(luò)突發(fā)事件的應(yīng)急處置則較為欠缺,地市網(wǎng)絡(luò)安全建設(shè)應(yīng)急機(jī)制建立不健全,缺乏相應(yīng)網(wǎng)絡(luò)事故應(yīng)急預(yù)案及相關(guān)演練,對突況的應(yīng)變不熟練,導(dǎo)致出現(xiàn)突發(fā)的網(wǎng)絡(luò)安全事故時(shí)則會變得手忙腳亂,無法很好應(yīng)對突發(fā)事件帶來的異常,促使事故造成的損失愈發(fā)嚴(yán)重,同時(shí)沒有良好的容災(zāi)備份機(jī)制,一旦信息安全事故發(fā)生,是否能快速有效的恢復(fù)關(guān)鍵數(shù)據(jù)成為疑問。

二、針對當(dāng)前網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀的一些建議

針對當(dāng)前地市煙草信息網(wǎng)絡(luò)安全建設(shè)過程中存在的問題,通過一定的分析總結(jié),參照最新的技術(shù)規(guī)范及管理理念,以及上級的制度規(guī)定,我們試提出以下幾條改進(jìn)建議,以達(dá)到全面提升信息網(wǎng)絡(luò)安全建設(shè)實(shí)用性、科學(xué)性、全面性、穩(wěn)定性的效果,具體如下:

(一)加強(qiáng)網(wǎng)絡(luò)安全設(shè)備采購的前期規(guī)劃及合理配置實(shí)用

網(wǎng)絡(luò)安全設(shè)備的采購應(yīng)加強(qiáng)前期規(guī)劃及需求分析工作,不能無目的,無原則的一味追求高新設(shè)備,當(dāng)前的現(xiàn)狀是各地市對網(wǎng)絡(luò)安全的設(shè)備采購均存在著檔次及匹配性問題,存在過大及追高的弊病,形成投資浪費(fèi),同時(shí)由于項(xiàng)目管控能力較弱,前期規(guī)劃不足,購置的設(shè)備在配置實(shí)施后等不到很好的使用,或起不到原先預(yù)想的效果。因此要加強(qiáng)項(xiàng)目前期規(guī)劃,做好需求調(diào)研與需求分析工作,對網(wǎng)絡(luò)安全設(shè)備應(yīng)起到的效果及采購設(shè)備級別有準(zhǔn)確的預(yù)估,加強(qiáng)采購項(xiàng)目的整體實(shí)施管控,并重點(diǎn)關(guān)注設(shè)備采購后的實(shí)施上線工作,做好安全策略的制定和部署,要充分利用設(shè)備、活用設(shè)備,充分達(dá)到應(yīng)起的效用,在設(shè)備正式上線運(yùn)行后,要做好安全防護(hù)策略的及時(shí)更新與修訂,作好安全設(shè)備的日常巡檢工作,保證安全設(shè)備始終發(fā)揮作用,而不是上線運(yùn)行一段時(shí)間后就閑置不管。通過對購置網(wǎng)絡(luò)安全設(shè)備活用、善用,提升資產(chǎn)投資價(jià)值,搭建堅(jiān)固穩(wěn)妥信息網(wǎng)絡(luò)安全環(huán)境,促進(jìn)信息網(wǎng)絡(luò)安全建設(shè)的實(shí)用性。

(二)建立完善的信息網(wǎng)絡(luò)安全日常管理體系

加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的日常管理工作,應(yīng)以培養(yǎng)員工的良好的網(wǎng)絡(luò)安全習(xí)慣為工作重點(diǎn)。所謂信息網(wǎng)絡(luò)安全建設(shè)“三分技術(shù),七分管理”,管理到位,信息網(wǎng)絡(luò)安全建設(shè)也將事半功倍。一味單純的依靠技術(shù)進(jìn)行網(wǎng)絡(luò)安全防護(hù),而管理上存在漏洞,再強(qiáng)大的技術(shù)也將一無所用。好的技術(shù),加上完善嚴(yán)密的管理,才能確保信息網(wǎng)絡(luò)安全、堅(jiān)固、穩(wěn)妥。因此要注重建立完善信息安全管理保障體系,加強(qiáng)安全監(jiān)管和信息安全等級保護(hù)工作,要對網(wǎng)絡(luò)設(shè)備的安全性和信息安全專用產(chǎn)品實(shí)行強(qiáng)制認(rèn)證。同時(shí)在加強(qiáng)對員工日常信息安全理念培訓(xùn)的同時(shí),要與接入網(wǎng)內(nèi)的計(jì)算機(jī)終端使用者簽訂信息安全責(zé)任狀,樹立“誰使用、誰負(fù)責(zé)”、“誰管理、誰負(fù)責(zé)”的信息安全理念,嚴(yán)格落實(shí)信息安全責(zé)任制,確保員工不敢輕易觸碰信息安全底限,養(yǎng)成良好信息網(wǎng)路安全使用習(xí)慣。通過建立全面多級信息網(wǎng)絡(luò)安全管理體系,增進(jìn)信息網(wǎng)絡(luò)建設(shè)的科學(xué)性。

(三)加強(qiáng)信息網(wǎng)絡(luò)安全建設(shè)對內(nèi)防護(hù)工作

地市公司目前均在互聯(lián)網(wǎng)出口及邊界架設(shè)了硬件防火墻等安全設(shè)備,但由于防火墻的特殊技術(shù)架構(gòu),其對內(nèi)部通過防火墻外部的數(shù)據(jù)是不進(jìn)行檢測的,這就導(dǎo)致黑客可以利用內(nèi)網(wǎng)主機(jī)上的后門程序,建立隱蔽信道,攻破防火墻,因此其在抵御外部攻擊上起到較好作用,但面對來自網(wǎng)絡(luò)內(nèi)部的攻擊就顯得束手無策,針對這一情況,在進(jìn)行信息網(wǎng)絡(luò)安全建設(shè)的同時(shí),應(yīng)重點(diǎn)加強(qiáng)信息網(wǎng)絡(luò)安全的內(nèi)部防護(hù)工作,而加強(qiáng)對客戶端的上網(wǎng)行為審計(jì)及網(wǎng)絡(luò)準(zhǔn)入控制,就成了加強(qiáng)信息網(wǎng)絡(luò)內(nèi)部安全建設(shè)的必然選擇??蛻舳私尤刖W(wǎng)絡(luò)的同時(shí),通過對其安全狀況及授權(quán)情況進(jìn)行檢測,只有安全狀況符合要求,得到合理授權(quán)的客戶端才能正常接入辦公網(wǎng)絡(luò)。應(yīng)在互聯(lián)網(wǎng)出口處,防火墻之前,部署上網(wǎng)行為管理設(shè)備,對客戶端出互聯(lián)網(wǎng)的數(shù)據(jù)進(jìn)行檢測及篩選,降低客戶端進(jìn)行危險(xiǎn)的互聯(lián)網(wǎng)訪問,感染病毒,遭受攻擊的分險(xiǎn)。通過加強(qiáng)信息網(wǎng)絡(luò)安全建設(shè)的內(nèi)部防護(hù),提升信息網(wǎng)絡(luò)安全的全面性。

(四)加強(qiáng)信息網(wǎng)路安全建設(shè)應(yīng)急機(jī)制建設(shè)及演練

要加強(qiáng)信息網(wǎng)絡(luò)安全建設(shè)的應(yīng)急機(jī)制建設(shè),加強(qiáng)應(yīng)急預(yù)案的實(shí)施演練,增強(qiáng)對網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急處理能力。每年應(yīng)進(jìn)行定期仿真度高的應(yīng)急方案演練,模擬網(wǎng)絡(luò)安全事故發(fā)生時(shí)可能發(fā)生的情況,進(jìn)行針對性演習(xí)。在方案演練前,要做好演練前期的方案策劃,演練過程的完全記錄,演練過后的總結(jié)分析工作。并以此來不斷改進(jìn)現(xiàn)有的應(yīng)急預(yù)案。同時(shí)應(yīng)做好容災(zāi)備份工作,進(jìn)行關(guān)鍵網(wǎng)絡(luò)設(shè)備的冗余配置及重要數(shù)據(jù)庫的備份工作,確保發(fā)生突發(fā)事件后,能夠及時(shí)進(jìn)行網(wǎng)絡(luò)及數(shù)據(jù)恢復(fù)工作,將突發(fā)事件帶來的影響降到最低,不過多的影響正常辦公業(yè)務(wù)的開展,確保信息網(wǎng)絡(luò)安全的穩(wěn)定性。

四、結(jié)束語

煙草是個(gè)比較特殊的行業(yè),在專賣體制下實(shí)行“統(tǒng)一領(lǐng)導(dǎo)?垂直管理?壟斷經(jīng)營”,處于一種行政限產(chǎn)型的壟斷狀態(tài)。行業(yè)的特殊性要求我們必須克服特殊體制帶來的缺陷,高效的開展行業(yè)信息化建設(shè)工作。地市信息網(wǎng)絡(luò)安絡(luò),作為全省信息網(wǎng)絡(luò)的組成部分,其信息安全建設(shè)水平?jīng)Q定了全省信息網(wǎng)絡(luò)安全性與穩(wěn)定性,其重要性不言而喻,只有重視信息網(wǎng)絡(luò)安全建設(shè),重視當(dāng)前信息網(wǎng)絡(luò)安全建設(shè)過程中發(fā)現(xiàn)的問題,通過科學(xué)的規(guī)劃,合理的布局,周密的實(shí)施,去逐漸改變當(dāng)前的不利局面,才能確保信息網(wǎng)絡(luò)安全建設(shè)的科學(xué)性、全面性、穩(wěn)定性與實(shí)用性,確保日常信息網(wǎng)絡(luò)的平穩(wěn)運(yùn)轉(zhuǎn),為全行業(yè)的快速發(fā)展提供穩(wěn)定強(qiáng)大的信息化助力!

參考文獻(xiàn):

[1]福建省煙草公司.計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)與管理規(guī)范[Z].2012.

[2]盧昱,王宇.信息網(wǎng)絡(luò)安全控制[M].北京:國防工業(yè)出版社,2011.

篇6

關(guān)鍵詞:網(wǎng)絡(luò)信息安全狀況缺陷威脅對策建議

中圖分類號:TN711 文獻(xiàn)標(biāo)識碼:A 文章編號:

網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個(gè)層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全,即硬件平臺、操作系統(tǒng)、應(yīng)用軟件;運(yùn)行服務(wù)安全,即保證服務(wù)的連續(xù)性、高效率;信息安全則是指對信息的精確性、真實(shí)性、機(jī)密性、完整性、可用性和效用性的保護(hù)。網(wǎng)絡(luò)信息安全是網(wǎng)絡(luò)賴以生存的根基,只有安全得到保障,網(wǎng)絡(luò)才能充分發(fā)揮自身的價(jià)值。

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用和飛速發(fā)展,計(jì)算機(jī)信息網(wǎng)絡(luò)已成為現(xiàn)代信息社會的基礎(chǔ)設(shè)施。它作為進(jìn)行信息交流、開展各種社會活動的基礎(chǔ)工具,已深入到人們工作和生活當(dāng)中。人類在盡情享受網(wǎng)絡(luò)信息帶來的巨大財(cái)富和便捷的同時(shí),計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題也隨之日益突出,安全問題已成為人們普遍關(guān)注的問題。

1、目前計(jì)算機(jī)網(wǎng)絡(luò)主要存在的缺陷:

1.1操作系統(tǒng)的漏洞――操作系統(tǒng)是一個(gè)復(fù)雜的軟件包,即使研究人員考慮的比較周密,但幾年來,發(fā)現(xiàn)在許多操作系統(tǒng)中存在著漏洞,漏洞逐漸被填補(bǔ)。操作系統(tǒng)最大的漏洞是I/O處理,I/O命令通常駐留在用戶內(nèi)存空間,任何用戶在I/O操作開始之后都可以改變命令的源地址或目的地址。由于系統(tǒng)已進(jìn)行過一次存取檢查,因此在每次每塊數(shù)據(jù)傳輸時(shí)并不再檢查,僅只改變傳輸?shù)刂?。這種漏洞為黑客打開了方便之門。此外,操作系統(tǒng)還存在著其它漏洞。

1.2 TCP/IP協(xié)議的漏洞――TCP/IP協(xié)議應(yīng)用的目的是為了在INTERNET上的應(yīng)用,雖然TCP/IP是標(biāo)準(zhǔn)的通信協(xié)議。但設(shè)計(jì)時(shí)對網(wǎng)絡(luò)的安全性考慮的不夠完全,仍存在著漏洞。由于采用明文傳輸,在傳輸過程中攻擊者可以截取電子郵件進(jìn)行攻擊,通過網(wǎng)頁中輸入口令或填寫個(gè)人資料也很容易劫持。另外TCP/IP協(xié)議以IP地址作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識,并沒有對節(jié)點(diǎn)上的用戶身份進(jìn)行認(rèn)證。這是導(dǎo)致網(wǎng)絡(luò)不安全的又一個(gè)原因。

1.3應(yīng)用系統(tǒng)安全漏洞――WEB服務(wù)器和瀏覽器難以保障安全,最初人們引入CGI程序目的是讓主頁活起來,然而很多人在編CGI程序時(shí)對軟件包并不十分了解,多數(shù)人不是新編程序,而是對程序加以適當(dāng)?shù)男薷?這樣一來,很多CGI程序就難免具有相同安全漏洞。

1.4網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)。一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞,其運(yùn)行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)的需求沒有引起足夠的重視,設(shè)計(jì)和選型考慮欠周密,從而使網(wǎng)絡(luò)功能發(fā)揮受阻,影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級換代。二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。

1.5安全管理的漏洞――由于缺少網(wǎng)絡(luò)管理員,信息系統(tǒng)管理不規(guī)范,不能定期進(jìn)行安全測試、檢查,缺少網(wǎng)絡(luò)安全監(jiān)控等對網(wǎng)絡(luò)安全都產(chǎn)生威脅。

2、網(wǎng)絡(luò)信息安全主要面對的威脅:

2.1軟件漏洞:每一個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計(jì)算機(jī)處于危險(xiǎn)的境地,一旦連接入網(wǎng),將成為眾矢之的。

2.2配置不當(dāng):安全配置不當(dāng)造成安全漏洞,例如,防火墻軟件的配置不正確,那么它根本不起作用。對特定的網(wǎng)絡(luò)應(yīng)用程序,當(dāng)它啟動時(shí),就打開了一系列的安全缺口,許多與該軟件捆綁在一起的應(yīng)用軟件也會被啟用。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置,否則,安全隱患始終存在。

2.3安全意識不強(qiáng):用戶口令選擇不慎,或?qū)⒆约旱膸ぬ栯S意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。

2.4病毒:目前數(shù)據(jù)安全的頭號大敵是計(jì)算機(jī)病毒,它是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù),影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行并且能夠自我復(fù)制的一組 計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等 特點(diǎn)。因此,提高對病毒的防范刻不容緩。

2.5黑客:對于計(jì)算機(jī)數(shù)據(jù)安全構(gòu)成威脅的另一個(gè)方面是來自電腦黑客(backer)。電腦黑客利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng),其危害性非常大。從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。

3、應(yīng)采取的對策建議

3.1加快完善我國信息安全政策法規(guī)建設(shè)

3.1.1、進(jìn)一步完善我國信息安全法律體系。適應(yīng)新形勢變化,制定新的信息安全法律,規(guī)范網(wǎng)絡(luò)空間主體的權(quán)利和義務(wù),尤其在打擊網(wǎng)絡(luò)犯罪、信息資源保護(hù)、信息資源和數(shù)據(jù)的跨國流動等方面加強(qiáng)立法,明確相關(guān)主體應(yīng)當(dāng)承擔(dān)的法律責(zé)任和義務(wù),逐步構(gòu)建起信息安全立法框架。

3.1.2、建立完善的信息安全監(jiān)督管理制度體系。進(jìn)一步加強(qiáng)信息安全等級保護(hù)工作,推進(jìn)信息安全風(fēng)險(xiǎn)評估工作,建立有效的信息安全審查制度,對航空航天、石油石化、電力系統(tǒng)等重要領(lǐng)域中應(yīng)用的核心技術(shù)和產(chǎn)品進(jìn)行安全檢查和風(fēng)險(xiǎn)評估。

3.1.3、參考WTO規(guī)則制定我國信息安全行業(yè)管理規(guī)范。堅(jiān)持政府引導(dǎo),行業(yè)自律的原則,針對信息安全行業(yè)中個(gè)人隱私、惡意競爭等公眾比較關(guān)注的問題,加強(qiáng)行業(yè)管理規(guī)范和行業(yè)自律準(zhǔn)則的制定和實(shí)施,規(guī)范信息安全企業(yè)的行為。

3.2加強(qiáng)我國信息安全保障體制機(jī)制建設(shè)

3.2.1、進(jìn)一步加強(qiáng)網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組對我國網(wǎng)絡(luò)安全的統(tǒng)一領(lǐng)導(dǎo)和協(xié)調(diào)職責(zé),提高保障網(wǎng)絡(luò)安全、應(yīng)對網(wǎng)絡(luò)犯罪、推動網(wǎng)絡(luò)應(yīng)用和宣傳推廣等工作的協(xié)調(diào)能力,加強(qiáng)信息安全工作體制機(jī)制建設(shè),建立運(yùn)轉(zhuǎn)順暢、協(xié)調(diào)有力、分工合理、責(zé)任明確的信息安全管理體制。

3.2.2、逐步對各部委信息安全職能單位進(jìn)行調(diào)整,打破現(xiàn)在各部門“分工負(fù)責(zé)、各司其職”的條塊方式,依據(jù)十“穩(wěn)步推進(jìn)大部制改革”的指導(dǎo)精神,實(shí)現(xiàn)對信息安全部門的整合,成立“大信息安全機(jī)構(gòu)”。

3.2.3、成立國家級的信息安全支撐機(jī)構(gòu)――中國信息安全研究院,整合各方信息安全支撐機(jī)構(gòu),打造集信息安全政策、法規(guī)、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)業(yè)研究為一體的支撐團(tuán)隊(duì),形成對信息安全領(lǐng)域重大問題、關(guān)鍵技術(shù)的持續(xù)研究能力,提高我國信息安全產(chǎn)業(yè)的核心競爭力。

3.3全面提升新興技術(shù)安全風(fēng)險(xiǎn)防護(hù)能力

一是加大對云計(jì)算、移動互聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新興技術(shù)研發(fā)的資金投入,加強(qiáng)核心技術(shù)攻關(guān),提高我國對新興技術(shù)的掌控能力,形成擁有自主知識產(chǎn)權(quán)的安全產(chǎn)業(yè)鏈條。二是加快網(wǎng)絡(luò)防護(hù)、入侵檢測、身份管理等信息安全關(guān)鍵技術(shù)研發(fā),并與新興技術(shù)結(jié)合起來,提高新興技術(shù)在應(yīng)用過程的安全防護(hù)能力,如在基于PKI體系的電子認(rèn)證技術(shù)基礎(chǔ)上,研發(fā)應(yīng)用于云計(jì)算、移動互聯(lián)網(wǎng)等新興技術(shù)上的身份管理等安全防護(hù)技術(shù)。三是建立新興技術(shù)的信息安全預(yù)警機(jī)制,成立專門的機(jī)構(gòu)對新興技術(shù)的信息安全隱患進(jìn)行分析和研究,并為公眾提供相關(guān)技術(shù)的使用指南或標(biāo)準(zhǔn),對于關(guān)鍵領(lǐng)域或部門則應(yīng)出臺強(qiáng)制性標(biāo)準(zhǔn)或規(guī)定,限制新興技術(shù)的使用方式和范圍,如國家應(yīng)如何對掌控大量經(jīng)濟(jì)、地理等關(guān)鍵領(lǐng)域數(shù)據(jù)的企業(yè)進(jìn)行管控,限制其對相關(guān)數(shù)據(jù)的使用權(quán)限和范圍等。 結(jié)語

網(wǎng)絡(luò)信息安全作為一項(xiàng)動態(tài)工程,它的安全程度會隨著時(shí)間的變化而發(fā)生變化。在信息技術(shù)日新月異的今天,我們需要隨著時(shí)間和網(wǎng)絡(luò)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略。關(guān)于如何解決好網(wǎng)絡(luò)安全問題,網(wǎng)絡(luò)安全技術(shù)與工具是網(wǎng)絡(luò)安全的基礎(chǔ),高水平的網(wǎng)絡(luò)安全技術(shù)隊(duì)伍是網(wǎng)絡(luò)安全的保證,嚴(yán)格的管理則是網(wǎng)絡(luò)安全的關(guān)鍵。我們要清醒認(rèn)識到任何網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的防范措施都是有一定的限度,一勞永逸的網(wǎng)絡(luò)安全體系是不存在的。網(wǎng)絡(luò)安全需要我們每一個(gè)人的參與。

參考文獻(xiàn):

【1】中國網(wǎng).2009年中國電腦病毒疫情及互聯(lián)網(wǎng)安全報(bào)告.2009年1月.

篇7

論文關(guān)鍵詞:政府;信息安全;信息安全人事管理

隨著我國信息化建設(shè)的不斷推進(jìn)以及電子政務(wù)的持續(xù)發(fā)展,政府信息安全事故也頻頻發(fā)生。

資料表明,七成以上的政府信息安全事故是由政府內(nèi)部相關(guān)工作人員引發(fā)的??梢?,在信息安全事件中起決定作用的是人,人是信息安全保障T作中最活躍的因素。信息安全人事管理是指以現(xiàn)代人力資源管理理論為基礎(chǔ),從招聘選拔、人員培訓(xùn)、人員使用、績效考核、人員激勵、離職管理等主要職能人手,對組織中信息安全人員進(jìn)行科學(xué)管理、合理配置和有效開發(fā),籍以實(shí)現(xiàn)組織信息安全管理目標(biāo)的活動。信息安全人事管理是信息安全管理的核心。作為信息安全保障的一個(gè)關(guān)鍵要素,信息安全人事管理的強(qiáng)化實(shí)施可以為政府搭建起一道牢固的“人力防火墻”。本文將現(xiàn)代人力資源管理相關(guān)理論與信息安全工作特點(diǎn)結(jié)合起來,發(fā)掘與提煉信息安全人事管理各主要職能具有特殊性與規(guī)律性的實(shí)務(wù)要點(diǎn),以期為有關(guān)方面提供借鑒和參考。

一、信息安全人員招募與選拔

招募與選拔是政府信息安全人員的“入口”,直接影響到信息安全工作的質(zhì)量和效率。信息安全人員的招募與選拔實(shí)務(wù)應(yīng)該把握以下要點(diǎn):

1.從招募與選拔的標(biāo)準(zhǔn)上看,突出對個(gè)人品德及專業(yè)知識的要求。信息安全工作具有保密性、綜合性、層次性和規(guī)范性等特點(diǎn),進(jìn)而決定了信息安全從業(yè)人員具有諸多特殊性及要求:他們在工作中會接觸到關(guān)系國家及組織榮辱興衰、生死存亡的大量秘密,保守秘密是他們的基本職業(yè)道德;他們必須不斷學(xué)習(xí),對自己的知識與能力進(jìn)行“升級”,才能適應(yīng)信息時(shí)代信息安全工作的需要;他們必須遵守更多的規(guī)定,而且在組織中具有明確的職責(zé),不能越雷池半步。這些都表明,信息安全人員必須具有更高的品德修養(yǎng)。這對應(yīng)聘者提出更高的標(biāo)準(zhǔn)及要求:必須具有很強(qiáng)的組織紀(jì)律性和保密意識;具有很強(qiáng)的團(tuán)隊(duì)意識和合作精神,愿意為組織利益犧牲個(gè)人利益;具有長遠(yuǎn)眼光和接納新事物的胸懷,不斷更新自身素質(zhì)。組織可以通過面試、心理測驗(yàn)、背景審查等選拔方式考察應(yīng)聘者的德行。此外,管理與技術(shù)是做好信息安全工作的兩大法寶,因此是否具備一定的信息安全管理與技術(shù)專業(yè)知識是信息安全人員招聘的另外一個(gè)主要標(biāo)準(zhǔn)。組織可以通過筆試來考察應(yīng)聘者專業(yè)知識掌握的程度,并根據(jù)職位的不同定位來確定不同的考察重點(diǎn)。

2.從招募的途徑上看,在內(nèi)部招募和外部招募相結(jié)合的基礎(chǔ)上,突出內(nèi)部招募。內(nèi)部招募是指從組織內(nèi)部發(fā)現(xiàn)并培養(yǎng)所需要的各種人才,其方式包括內(nèi)部晉升、崗位輪換和返聘等;外部招募是指按照一定的標(biāo)準(zhǔn)和程序,從組織外部的眾多候選人中挑選符合空缺職位要求的人員,其方式包括人才招聘會與校園招聘等。內(nèi)部招募和外部招募各有優(yōu)劣,兩者結(jié)合起來可使招募效果最大化。由于信息安全工作的保密性要求,信息安全人員招募一般突出依賴內(nèi)部招募,這主要是為了人員安全可靠的考慮,確保信息安全人員的穩(wěn)定性。信息安全關(guān)鍵或領(lǐng)導(dǎo)職位出現(xiàn)空缺尤為如此。不過,由于當(dāng)前我國政府信息安全人才仍舊匱乏,所以當(dāng)內(nèi)部招募滿足不了組織用人需求時(shí)也適當(dāng)考慮外部招募。招募非關(guān)鍵性信息安全人員時(shí)尤為如此。

3.從選拔的過程上看,尤為重視背景審查和保密協(xié)議簽訂兩個(gè)環(huán)節(jié)。一般單位選拔人員可能也進(jìn)行背景審查,但不一定是必須的,或者審查的過程與結(jié)果不一定非常嚴(yán)格與仔細(xì)。與之不同的是,信息安全人員的選拔尤為重視背景審查這個(gè)環(huán)節(jié)。該環(huán)節(jié)不僅不可或缺,而且在審查的時(shí)間、內(nèi)容、過程、結(jié)果等方面比一般人員審查有更高的要求。其意義在于保證信息安全人員招聘的準(zhǔn)確性與可靠性,并在“人口”或“源頭”上控制信息安全人事風(fēng)險(xiǎn)。例如,美國中央情報(bào)局聯(lián)邦調(diào)查局等部門在選拔關(guān)鍵涉密人員過程中經(jīng)常采用“心理測謊術(shù)”等高科技手段來對候選人進(jìn)行審查,以確定候選人的誠實(shí)度、心理健康度或意志力等。此外,一旦候選人接受了工作,錄用合同就成為重要的安全手段。在合同中,組織可以將“政策認(rèn)可”作為招聘的一個(gè)基本要求即在合同中附上一個(gè)保密協(xié)議,要求候選人在將來的工作甚至離職后的一段時(shí)間中,必須遵守組織相關(guān)保密規(guī)定,擔(dān)負(fù)起保障組織信息安全的責(zé)任,否則就會

二、信息安全人員培訓(xùn)

信息安全人員培訓(xùn)是通過各種方式幫助信息安全人員習(xí)得相關(guān)的知識、技能、觀念和態(tài)度的學(xué)習(xí)過程以及開發(fā)其潛能的各種活動。其實(shí)務(wù)要點(diǎn)包括:

1.從培訓(xùn)原則看,堅(jiān)持保密性原則和適時(shí)性原則。保密性原則是指信息安全人員的培訓(xùn)要做好保密工作,特別是對于培訓(xùn)內(nèi)容、時(shí)間和地點(diǎn)等,不可隨意泄露,以免引起不必要的麻煩。此外,適時(shí)性原則主要是為了順應(yīng)當(dāng)前信息安全科技發(fā)展迅猛、更新?lián)Q代速度加快而提出來的。信息安全人員培訓(xùn)只有遵循適時(shí)性原則,才能使信息安全人員跟蹤本領(lǐng)域科技發(fā)展最新動態(tài),掌握最先進(jìn)的知識與技能,以防止思想觀念陳舊與知識技能老化。

2.從培訓(xùn)內(nèi)容看,側(cè)重于信息安全意識與信息安全知識與技能培訓(xùn)。高度的信息安全意識是信息安全人員必須具備的基本素質(zhì)。信息安全意識貫穿于員工工作的始終,但是工作時(shí)間越長員工大多會出現(xiàn)倦怠,信息安全意識便會降低逐漸放松警惕,信息安全風(fēng)險(xiǎn)隨之倍增,所以加大信息安全意識培訓(xùn)力度勢在必行。政府可以使用各種媒介進(jìn)行宣傳,包括鼠標(biāo)墊、水杯、鋼筆或在工作期間經(jīng)常使用的任何物體上,在這些物體上印制上安全標(biāo)語,用來提醒員工注意安全如在鼠標(biāo)墊上印上“BeSafe:Think BethreYouClick”,使信息安全人員在每天工作時(shí)都最先考慮信息安全,樹立自覺維護(hù)信息安全的意識。此外,信息安全行業(yè)的綜合性使得組織必須根據(jù)學(xué)用一致的原則,加強(qiáng)對信息安全人員進(jìn)行信息安全知識與技能的培訓(xùn)。只有不斷給員工“輸入”新觀念、新知識與新技術(shù),使其掌握信息安全的基本原理、要求和慣例,才能提高其技術(shù)與管理水平。

三、信息安全人員使用

信息安全人員使用是指組織通過各種人事政策,促使信息安全人員與信息安全工作兩者之間實(shí)現(xiàn)“人事相宜”、“人職匹配”等,以保障組織信息安全。信息安全人員使用實(shí)務(wù)要點(diǎn)是:

1.堅(jiān)持責(zé)任分離和可監(jiān)控原則。責(zé)任分離是一種控制機(jī)制,用來減少一個(gè)人破壞信息安全,

威脅到信息的機(jī)密性、完整性和可用性的機(jī)會。其具體要求是:(1)明確信息安全系統(tǒng)中每個(gè)人的職責(zé),要求“誰管理,誰負(fù)責(zé)”;(2)關(guān)鍵崗位的人員不得再兼任其他職位,嚴(yán)格控制使用兼職人員;(3)避免一個(gè)人從事某項(xiàng)信息安全行為或保管組織所有安全信息;(4)堅(jiān)持崗位輪換原則,確保一個(gè)員工的工作有另一個(gè)員工進(jìn)行審核;(5)重要的任務(wù)有兩人以上共同完成。此外,可監(jiān)控原則是對責(zé)任分離原則的量化,使組織能夠?qū)π畔踩藛T的工作內(nèi)容進(jìn)行監(jiān)督,進(jìn)行明確的審查。其具體要求包括:每位員工對所有的相關(guān)操作做好記錄,以便核查;重要的更改活動如更改配置,更新信息系統(tǒng)等,必須按層級權(quán)限申報(bào),獲得批準(zhǔn)后方可實(shí)施;沒有日期、沒有內(nèi)容、沒有人簽署而無法追查的活動,必須嚴(yán)格禁止。而且,由于員工非工作時(shí)間的種種表現(xiàn)也會影響信息安全,因此除了對員工在工作時(shí)間的表現(xiàn)進(jìn)行監(jiān)督,還必須掌握其非工作時(shí)間的一些異常表現(xiàn)。

2.防范信息安全人事風(fēng)險(xiǎn)。信息安全人事風(fēng)險(xiǎn)是指由于組織內(nèi)信息安全人員的行為偏離組織期望和目標(biāo)或違背客觀規(guī)律、越軌等給組織信息安全造成的損失或危害。它主要是由于信息安全人員的使用不當(dāng)而導(dǎo)致破壞計(jì)算機(jī)系統(tǒng)、越權(quán)處理公務(wù)等所造成的危害。人是信息安全中最活躍的因素,因此預(yù)防由人為因素導(dǎo)致的信息安全風(fēng)險(xiǎn)是信息安全人事風(fēng)險(xiǎn)防范的重中之重。政府可以采取以下措施防范信息安全人事風(fēng)險(xiǎn):首先通過培訓(xùn)等方式,提高信息安全人員對信息安全人事風(fēng)險(xiǎn)的認(rèn)識,增強(qiáng)防范意識;其次,健全人事管理周邊制度,如督察制度、處理與反饋制度、懲罰制度、反饋制度等,以實(shí)現(xiàn)對信息安全人事風(fēng)險(xiǎn)的全過程監(jiān)控。第,大力建設(shè)以人為本、誠實(shí)守信等有利于防范人事風(fēng)險(xiǎn)的文化氛圍,提高信息安全人員的免疫力。

四、信息安全人員績效考核

信息安全人員績效考核是指按照事先確定的信息安全工作目標(biāo)及衡量標(biāo)準(zhǔn),考察信息安全人員實(shí)際完成工作情況的過程??冃Э己说慕Y(jié)果是組織進(jìn)行人事決策的基本依據(jù)。信息安全人員績效考核是確保人員安全的有效手段,并可以幫助員工提高工作績效,促進(jìn)員工和組織共同發(fā)展。它包括以下實(shí)務(wù)要點(diǎn):

1.從績效考核的原則上看,堅(jiān)持重點(diǎn)考核與分級分類考核相結(jié)合。重點(diǎn)考核是指對于那些涉密程度深、安全等級高的關(guān)鍵崗位的人員定期進(jìn)行考核。其目的在于保證重點(diǎn)崗位的重要信息安全。分級分類考核是按照組織中對于安全保護(hù)等級的劃分,制定不同的考核方法,有針對性地進(jìn)行考核。2007年我國臺的《信息安全等級保護(hù)管理辦法》將信息安全分五級防護(hù):第一級為自主保護(hù)級,第二級為指導(dǎo)保護(hù)級,第級為監(jiān)督保護(hù)級,第四級為強(qiáng)制保護(hù)級,第五級為??乇Wo(hù)級。很明顯,處于不同等級中的信息安全人員的職責(zé)與涉密程度是不一樣的,加上不同崗位上不同類型的人員,如系統(tǒng)主管人員、數(shù)據(jù)錄入人員、程序員等職責(zé)和要求也不同,岡此有必要遵循分級分類原則,避免“一刀切”的做法。

受到處罰。候選人只有在保密協(xié)議上簽字,承諾遵守相關(guān)政策,組織才能錄用。

二、信息安全人員培訓(xùn)

信息安全人員培訓(xùn)是通過各種方式幫助信息安全人員習(xí)得相關(guān)的知識、技能、觀念和態(tài)度的學(xué)習(xí)過程以及開發(fā)其潛能的各種活動。其實(shí)務(wù)要點(diǎn)包括:

1.從培訓(xùn)原則看,堅(jiān)持保密性原則和適時(shí)性原則。保密性原則是指信息安全人員的培訓(xùn)要做好保密工作,特別是對于培訓(xùn)內(nèi)容、時(shí)間和地點(diǎn)等,不可隨意泄露,以免引起不必要的麻煩。此外,適時(shí)性原則主要是為了順應(yīng)當(dāng)前信息安全科技發(fā)展迅猛、更新?lián)Q代速度加快而提出來的。信息安全人員培訓(xùn)只有遵循適時(shí)性原則,才能使信息安全人員跟蹤本領(lǐng)域科技發(fā)展最新動態(tài),掌握最先進(jìn)的知識與技能,以防止思想觀念陳舊與知識技能老化。

2.從培訓(xùn)內(nèi)容看,側(cè)重于信息安全意識與信息安全知識與技能培訓(xùn)。高度的信息安全意識是信息安全人員必須具備的基本素質(zhì)。信息安全意識貫穿于員工工作的始終,但是工作時(shí)間越長員工大多會出現(xiàn)倦怠,信息安全意識便會降低逐漸放松警惕,信息安全風(fēng)險(xiǎn)隨之倍增,所以加大信息安全意識培訓(xùn)力度勢在必行。政府可以使用各種媒介進(jìn)行宣傳,包括鼠標(biāo)墊、水杯、鋼筆或在工作期間經(jīng)常使用的任何物體上,在這些物體上印制上安全標(biāo)語,用來提醒員工注意安全如在鼠標(biāo)墊上印上“BeSafe:Think BethreYouClick”,使信息安全人員在每天工作時(shí)都最先考慮信息安全,樹立自覺維護(hù)信息安全的意識。此外,信息安全行業(yè)的綜合性使得組織必須根據(jù)學(xué)用一致的原則,加強(qiáng)對信息安全人員進(jìn)行信息安全知識與技能的培訓(xùn)。只有不斷給員工“輸入”新觀念、新知識與新技術(shù),使其掌握信息安全的基本原理、要求和慣例,才能提高其技術(shù)與管理水平。

三、信息安全人員使用

信息安全人員使用是指組織通過各種人事政策,促使信息安全人員與信息安全工作兩者之間實(shí)現(xiàn)“人事相宜”、“人職匹配”等,以保障組織信息安全。信息安全人員使用實(shí)務(wù)要點(diǎn)是:

1.堅(jiān)持責(zé)任分離和可監(jiān)控原則。責(zé)任分離是一種控制機(jī)制,用來減少一個(gè)人破壞信息安全,

威脅到信息的機(jī)密性、完整性和可用性的機(jī)會。其具體要求是:(1)明確信息安全系統(tǒng)中每個(gè)人的職責(zé),要求“誰管理,誰負(fù)責(zé)”;(2)關(guān)鍵崗位的人員不得再兼任其他職位,嚴(yán)格控制使用兼職人員;(3)避免一個(gè)人從事某項(xiàng)信息安全行為或保管組織所有安全信息;(4)堅(jiān)持崗位輪換原則,確保一個(gè)員工的工作有另一個(gè)員工進(jìn)行審核;(5)重要的任務(wù)有兩人以上共同完成。此外,可監(jiān)控原則是對責(zé)任分離原則的量化,使組織能夠?qū)π畔踩藛T的工作內(nèi)容進(jìn)行監(jiān)督,進(jìn)行明確的審查。其具體要求包括:每位員工對所有的相關(guān)操作做好記錄,以便核查;重要的更改活動如更改配置,更新信息系統(tǒng)等,必須按層級權(quán)限申報(bào),獲得批準(zhǔn)后方可實(shí)施;沒有日期、沒有內(nèi)容、沒有人簽署而無法追查的活動,必須嚴(yán)格禁止。而且,由于員工非工作時(shí)間的種種表現(xiàn)也會影響信息安全,因此除了對員工在工作時(shí)間的表現(xiàn)進(jìn)行監(jiān)督,還必須掌握其非工作時(shí)間的一些異常表現(xiàn)。

2.防范信息安全人事風(fēng)險(xiǎn)。信息安全人事風(fēng)險(xiǎn)是指由于組織內(nèi)信息安全人員的行為偏離組織期望和目標(biāo)或違背客觀規(guī)律、越軌等給組織信息安全造成的損失或危害。它主要是由于信息安全人員的使用不當(dāng)而導(dǎo)致破壞計(jì)算機(jī)系統(tǒng)、越權(quán)處理公務(wù)等所造成的危害。人是信息安全中最活躍的因素,因此預(yù)防由人為因素導(dǎo)致的信息安全風(fēng)險(xiǎn)是信息安全人事風(fēng)險(xiǎn)防范的重中之重。政府可以采取以下措施防范信息安全人事風(fēng)險(xiǎn):首先通過培訓(xùn)等方式,提高信息安全人員對信息安全人事風(fēng)險(xiǎn)的認(rèn)識,增強(qiáng)防范意識;其次,健全人事管理周邊制度,如督察制度、處理與反饋制度、懲罰制度、反饋制度等,以實(shí)現(xiàn)對信息安全人事風(fēng)險(xiǎn)的全過程監(jiān)控。第,大力建設(shè)以人為本、誠實(shí)守信等有利于防范人事風(fēng)險(xiǎn)的文化氛圍,提高信息安全人員的免疫力。

四、信息安全人員績效考核

信息安全人員績效考核是指按照事先確定的信息安全工作目標(biāo)及衡量標(biāo)準(zhǔn),考察信息安全人員實(shí)際完成工作情況的過程??冃Э己说慕Y(jié)果是組織進(jìn)行人事決策的基本依據(jù)。信息安全人員績效考核是確保人員安全的有效手段,并可以幫助員工提高工作績效,促進(jìn)員工和組織共同發(fā)展。它包括以下實(shí)務(wù)要點(diǎn):

1.從績效考核的原則上看,堅(jiān)持重點(diǎn)考核與分級分類考核相結(jié)合。重點(diǎn)考核是指對于那些涉密程度深、安全等級高的關(guān)鍵崗位的人員定期進(jìn)行考核。其目的在于保證重點(diǎn)崗位的重要信息安全。分級分類考核是按照組織中對于安全保護(hù)等級的劃分,制定不同的考核方法,有針對性地進(jìn)行考核。2007年我國臺的《信息安全等級保護(hù)管理辦法》將信息安全分五級防護(hù):第一級為自主保護(hù)級,第二級為指導(dǎo)保護(hù)級,第級為監(jiān)督保護(hù)級,第四級為強(qiáng)制保護(hù)級,第五級為??乇Wo(hù)級。很明顯,處于不同等級中的信息安全人員的職責(zé)與涉密程度是不一樣的,加上不同崗位上不同類型的人員,如系統(tǒng)主管人員、數(shù)據(jù)錄入人員、程序員等職責(zé)和要求也不同,岡此有必要遵循分級分類原則,避免“一刀切”的做法。

2.從績效考核的內(nèi)容上看,突出考核信息安全人員的道德品質(zhì)與工作事故情況,而且不僅考核工作時(shí)間內(nèi)的表現(xiàn),也考核工作時(shí)間外的表現(xiàn)。一般的組織在員工進(jìn)行績效考核時(shí),多依據(jù)“事后”的工作結(jié)果及業(yè)績,業(yè)績高則評價(jià)高,業(yè)績低則評價(jià)低。但是信息安全這一行業(yè)具有其特殊性,單純以“事后”的結(jié)果與業(yè)績作為考核標(biāo)準(zhǔn),難免會在組織內(nèi)出現(xiàn)業(yè)績高、品德低以及不重視過程的人員,進(jìn)而存組織內(nèi)埋下安全隱患,因此應(yīng)突出考核信息安全人員在工作過程中所表現(xiàn)出來的道德品質(zhì)、心理素質(zhì)、忠誠度等。這些素質(zhì)是一個(gè)人的行為指向標(biāo),決定一個(gè)人的行為方向,其一般標(biāo)準(zhǔn)是責(zé)任心強(qiáng)、遵守職業(yè)道德、具有進(jìn)取精神、作風(fēng)正派、遵紀(jì)守法等。而且,由于信息安全工作對安全性要求明顯,岡此還要突出考核信息安全人員存工作過程中是否能恪盡職守,有無工作事故的發(fā)生。另外,必須通過日常考核掌握信息安全工作人員工作時(shí)間外的表現(xiàn),包括是否存在隨便與人交往問題,家庭關(guān)系是否和諧,生活作風(fēng)是否正常,以及非工作行為是否怪異等等。

3.從績效考核的期間看,以平時(shí)考核為主。信息安全人員的工作由于涉及到安全問題,因此不能像一般丁作人員那樣以年終考核為主,而應(yīng)突出平時(shí)考核以實(shí)現(xiàn)日常監(jiān)控,并達(dá)到天天、時(shí)時(shí)、秒秒不安全問題。基于此,信息安全人員績效考核可實(shí)施“月考”、“周考”,甚至“日考”,可以說,考核時(shí)間越短越有利于確保安全。安全問題無小事,若不重視平時(shí)考核,由此引發(fā)的哪怕是一眨眼功夫發(fā)生的事故,也有可能導(dǎo)致組織在安全上“功虧一簣”、“全盤皆輸”。考核周期短雖然做起來麻煩,但“安全問題高于一切”,只要有利于保障信息安全,工作上“麻煩”一點(diǎn)是值得的。

五、信息安全人員激勵

信息安全人員激勵的關(guān)鍵是調(diào)動工作積極性,激發(fā)信息安全人員的潛能去實(shí)現(xiàn)工作目標(biāo),實(shí)務(wù)要點(diǎn)包括:

1.重視滿足歸屬、人際交往與尊重的需要。內(nèi)容型激勵理論認(rèn)為,組織滿足員工的歸屬、人際交往與尊重等需要可以激勵員工努力工作。而信息安全人員,特別是關(guān)鍵涉密人員的工作基本上是單調(diào)、枯燥、責(zé)任重大的,他們經(jīng)常需要長時(shí)間值班或加班,長期處于全封閉或半封閉式的環(huán)境中,在單位及花在工作上的時(shí)間要比常人多得多,生活及社交空間相對狹小,所以組織更要設(shè)法滿足其歸屬、人際交往與尊重的需要,而這主要依靠在單位及崗位上與領(lǐng)導(dǎo)或同事之間的相互溝通與關(guān)愛中得以實(shí)現(xiàn)。因此,組織必須創(chuàng)設(shè)關(guān)系融洽、和諧的工作氛圍,建立良好的上下級與同事關(guān)系,多關(guān)心、愛護(hù)、支持信息安全人員,以滿足他們歸屬等需要,激發(fā)他們的工作積極性。

2.強(qiáng)化目標(biāo)激勵。過程型激勵理論認(rèn)為,明確而可行的工作目標(biāo)可以牽引員工積極付出行動以實(shí)現(xiàn)目標(biāo)。由于信息安全工作責(zé)任重、壓力大,同時(shí)又相對封閉與單調(diào),容易導(dǎo)致信息安全人員產(chǎn)生工作倦怠和目標(biāo)迷失等不良現(xiàn)象,進(jìn)而影響到他們職業(yè)發(fā)展與組織目標(biāo)的實(shí)現(xiàn)。對此,應(yīng)幫助信息安全人員樹立合理可行的工作目標(biāo),特別要通過引導(dǎo)他們認(rèn)識到自己所從事工作的光榮與神圣,進(jìn)而激勵他們努力干好信息安全工作,以此獲得職業(yè)發(fā)展與心理滿足等。

六、信息安全人員離職管理

篇8

在本人參加工作半年多時(shí)間來,受到領(lǐng)導(dǎo)和各位前輩多方面的關(guān)心和照顧,在工作上亦受到了無微不至的指導(dǎo),幫助我快速的勝任崗位。

風(fēng)險(xiǎn)管理部是負(fù)責(zé)**支行全面風(fēng)險(xiǎn)管理政策的落實(shí),監(jiān)測、評價(jià)和控制的綜合管理部門,是風(fēng)險(xiǎn)和內(nèi)控的日常管理職責(zé)部門。本人任職的綜合統(tǒng)計(jì)崗,主要負(fù)責(zé)對本行信貸資產(chǎn)風(fēng)險(xiǎn)狀況和風(fēng)險(xiǎn)分類的統(tǒng)計(jì)、分析和管理;負(fù)責(zé)全行信貸數(shù)據(jù)動態(tài)管理、分析。

在實(shí)際工作中,本人主要完成以下幾個(gè)方面的:信貸手工臺帳的錄入與核對,對實(shí)際發(fā)生的信貸業(yè)務(wù)明細(xì)進(jìn)行動態(tài)掌控、分析和管理,以便于及時(shí)準(zhǔn)確的獲得各項(xiàng)信貸統(tǒng)計(jì)數(shù)據(jù);對**支行運(yùn)行的老信貸系統(tǒng)進(jìn)行維護(hù)和管理,對各部辦錄入的數(shù)據(jù)及報(bào)表進(jìn)行統(tǒng)計(jì)及分析;提供**行各項(xiàng)信貸資產(chǎn)數(shù)據(jù)及明細(xì),完成四級分類和五級分類的統(tǒng)計(jì)工作和分析工作;月度為行領(lǐng)導(dǎo)以及計(jì)財(cái)處、公司部、個(gè)金部提供同業(yè)經(jīng)營情況的詳細(xì)數(shù)據(jù);月度、季度、年度,獨(dú)立的或配合辦公室、計(jì)財(cái)處等部門對外提供各項(xiàng)信貸數(shù)據(jù)報(bào)表。此外,我行新設(shè)了信息安全員一崗,本人即任風(fēng)險(xiǎn)管理部信息安全員,負(fù)責(zé)部門電腦網(wǎng)絡(luò)信息安全的維護(hù)。

進(jìn)入**銀行半年多時(shí)間來,在領(lǐng)導(dǎo)和前輩的關(guān)心照顧下,本人抱著謙虛好學(xué)的態(tài)度努力工作,積極學(xué)習(xí)業(yè)務(wù)知識、掌握操作技能、適應(yīng)工作崗位,基本能較好的完成本職工作和領(lǐng)導(dǎo)交辦的其他工作。本人是剛畢業(yè)的理科本科學(xué)生,踏上工作崗位接觸全新的銀行工作,面臨著全新的挑戰(zhàn),這個(gè)過程不僅是專業(yè)的換位,更是一種思考方式和學(xué)習(xí)方法的換位,在綜合統(tǒng)計(jì)崗位上,領(lǐng)導(dǎo)和前輩的關(guān)心指導(dǎo)使本人認(rèn)識到,嚴(yán)謹(jǐn)?shù)膽B(tài)度、正確的方法、積極的溝通、努力的思考,才能獲得最準(zhǔn)確的統(tǒng)計(jì)數(shù)據(jù)和最高的工作效率。也正是銀行業(yè)這種對我而言全新的工作,提供給我一個(gè)全新的學(xué)習(xí)機(jī)會,在**優(yōu)良的成長環(huán)境下使我能夠養(yǎng)成在每一天的工作生活中不斷學(xué)習(xí)和獲取新的知識,努力了解銀行業(yè)、金融業(yè)的運(yùn)行規(guī)律,把所學(xué)所悟的點(diǎn)點(diǎn)滴滴運(yùn)用到實(shí)際工作崗位工作中。

篇9

在本人參加工作半年多時(shí)間來,受到領(lǐng)導(dǎo)和各位前輩多方面的關(guān)心和照顧,在工作上亦受到了無微不至的指導(dǎo),幫助我快速的勝任崗位。

風(fēng)險(xiǎn)管理部是負(fù)責(zé)支行全面風(fēng)險(xiǎn)管理政策的落實(shí),監(jiān)測、評價(jià)和控制的綜合管理部門,是風(fēng)險(xiǎn)和內(nèi)控的日常管理職責(zé)部門。本人任職的綜合統(tǒng)計(jì)崗,主要負(fù)責(zé)對本行信貸資產(chǎn)風(fēng)險(xiǎn)狀況和風(fēng)險(xiǎn)分類的統(tǒng)計(jì)、分析和管理;負(fù)責(zé)全行信貸數(shù)據(jù)動態(tài)管理、分析。

在實(shí)際工作中,本人主要完成以下幾個(gè)方面的:信貸手工臺帳的錄入與核對,對實(shí)際發(fā)生的信貸業(yè)務(wù)明細(xì)進(jìn)行動態(tài)掌控、分析和管理,以便于及時(shí)準(zhǔn)確的獲得各項(xiàng)信貸統(tǒng)計(jì)數(shù)據(jù);對支行運(yùn)行的老信貸系統(tǒng)進(jìn)行維護(hù)和管理,對各部辦錄入的數(shù)據(jù)及報(bào)表進(jìn)行統(tǒng)計(jì)及分析;提供行各項(xiàng)信貸資產(chǎn)數(shù)據(jù)及明細(xì),完成四級分類和五級分類的統(tǒng)計(jì)工作和分析工作;月度為行領(lǐng)導(dǎo)以及計(jì)財(cái)處、公司部、個(gè)金部提供同業(yè)經(jīng)營情況的詳細(xì)數(shù)據(jù);月度、季度、年度,獨(dú)立的或配合辦公室、計(jì)財(cái)處等部門對外提供各項(xiàng)信貸數(shù)據(jù)報(bào)表。此外,我行新設(shè)了信息安全員一崗,本人即任風(fēng)險(xiǎn)管理部信息安全員,負(fù)責(zé)部門電腦網(wǎng)絡(luò)信息安全的維護(hù)。

進(jìn)入銀行半年多時(shí)間來,在領(lǐng)導(dǎo)和前輩的關(guān)心照顧下,本人抱著謙虛好學(xué)的態(tài)度努力工作,積極學(xué)習(xí)業(yè)務(wù)知識、掌握操作技能、適應(yīng)工作崗位,基本能較好的完成本職工作和領(lǐng)導(dǎo)交辦的其他工作。本人是剛畢業(yè)的理科本科學(xué)生,踏上工作崗位接觸全新的銀行工作,面臨著全新的挑戰(zhàn),這個(gè)過程不僅是專業(yè)的換位,更是一種思考方式和學(xué)習(xí)方法的換位,在綜合統(tǒng)計(jì)崗位上,領(lǐng)導(dǎo)和前輩的關(guān)心指導(dǎo)使本人認(rèn)識到,嚴(yán)謹(jǐn)?shù)膽B(tài)度、正確的方法、積極的溝通、努力的思考,才能獲得最準(zhǔn)確的統(tǒng)計(jì)數(shù)據(jù)和最高的工作效率。也正是銀行業(yè)這種對我而言全新的工作,提供給我一個(gè)全新的學(xué)習(xí)機(jī)會,在優(yōu)良的成長環(huán)境下使我能夠養(yǎng)成在每一天的工作生活中不斷學(xué)習(xí)和獲取新的知識,努力了解銀行業(yè)、金融業(yè)的運(yùn)行規(guī)律,把所學(xué)所悟的點(diǎn)點(diǎn)滴滴運(yùn)用到實(shí)際工作崗位工作中。

篇10

分拆,是為了更好地專注

對于賽門鐵克來說,分拆出來的是其2004年以135億美元高價(jià)收購的Veritas,現(xiàn)在又將其分拆出來的原因是什么?“最重要的原因是安全與存儲領(lǐng)域的業(yè)務(wù)重點(diǎn)的分割越來越明顯,收購之后影響了兩部分業(yè)務(wù)各自的專注?!泵氛罡嬖V本報(bào)記者。 賽門鐵克公司亞太區(qū)大客戶部副總裁兼大中華區(qū)總裁梅正宇

收購Veritas之前的賽門鐵克是安全行業(yè)的領(lǐng)頭羊,但時(shí)任CEO John W. Thompson認(rèn)為,未來安全將不會獨(dú)立存在,而會成為更大的存儲和數(shù)據(jù)管理市場中的組成部分。按照J(rèn)ohn W. Thompson的規(guī)劃,公司通過整合賽門鐵克的安全產(chǎn)品和Veritas的信息備份、歸檔和存儲產(chǎn)品來搶占更多的市場。在實(shí)踐中,賽門鐵克也為此做出了努力,比如在郵件歸檔系統(tǒng)中融入安全,從存儲層面防御僵尸網(wǎng)絡(luò)威脅等。然而,隨著IT技術(shù)的發(fā)展,無論是信息安全還是信息管理業(yè)務(wù)部門都面臨著獨(dú)有的機(jī)遇和挑戰(zhàn),對于賽門鐵克而言,應(yīng)對兩個(gè)行業(yè)需要完全不同的戰(zhàn)略和投資。在這樣的背景下,賽門鐵克董事會決定了拆分計(jì)劃。

“拆分之后,賽門鐵克和Veritas會更加專注于各自擅長的領(lǐng)域,針對獨(dú)有的增長機(jī)遇進(jìn)行研發(fā)和產(chǎn)品部署。其次,兩部分業(yè)務(wù)獨(dú)立也會簡化企業(yè)架構(gòu)和運(yùn)營復(fù)雜程度,使客戶更容易與我們進(jìn)行合作。第三,兩家公司也會進(jìn)一步加強(qiáng)各自的戰(zhàn)略靈活性,包括資本的重新分配政策、新合作伙伴政策等,為客戶帶來更加針對他們需求的產(chǎn)品和服務(wù)?!泵氛畋硎?。

專注迎來增長

“分拆后的新賽門鐵克將重新回到‘安全’這個(gè)核心業(yè)務(wù)上來,這意味著我們所有的研發(fā)、服務(wù),包括所有的市場策略都會圍繞安全來展開?!泵氛钫f。

今年4月份,梅正宇正式接手賽門鐵克大中華地區(qū)的安全業(yè)務(wù)。隨后經(jīng)過一個(gè)多月的緊張和忙碌,如今這個(gè)團(tuán)隊(duì)已經(jīng)到位,市場戰(zhàn)略也已經(jīng)基本清晰。梅正宇說,分拆帶來的實(shí)際效果已經(jīng)開始顯現(xiàn),重新專注安全之后迎來了業(yè)務(wù)的明顯增長。

梅正宇透露,賽門鐵克未來的安全產(chǎn)品將會基于一個(gè)統(tǒng)一的平臺上――統(tǒng)一安全分析平臺。賽門鐵克將會基于它對現(xiàn)有的產(chǎn)品進(jìn)行整合,并重點(diǎn)開發(fā)威脅防護(hù)和信息防護(hù)領(lǐng)域的產(chǎn)品及解決方案。此外,網(wǎng)絡(luò)安全服務(wù)也將從傳統(tǒng)的監(jiān)測服務(wù)擴(kuò)展到事故響應(yīng)、安全模擬和威脅情報(bào)分析等。梅正宇介紹說,威脅防護(hù)、信息防護(hù)和網(wǎng)絡(luò)安全服務(wù)都會基于統(tǒng)一安全分析平臺,為客戶提供最及時(shí)的安全情報(bào)以及最佳的防御措施。

其次,賽門鐵克在產(chǎn)品研發(fā)上也會從數(shù)據(jù)中心向云、移動方面傾斜。梅正宇介紹說,現(xiàn)在賽門鐵克要做的是充分發(fā)揮最全產(chǎn)品線以及覆蓋全球的數(shù)據(jù)智能網(wǎng)絡(luò)等優(yōu)勢,進(jìn)一步整合產(chǎn)品。他特別強(qiáng)調(diào),未來整合的不止是賽門鐵克的產(chǎn)品,也包括第三方的產(chǎn)品。

中國是賽門鐵克的戰(zhàn)略市場

專注的另一個(gè)好處是可以更好地與合作伙伴配合,深化賽門鐵克與中國本地合作伙伴的合作,以更好地服務(wù)于客戶,為客戶創(chuàng)造價(jià)值。梅正宇說,憑借全球資源和對本土市場的深入了解,新賽門鐵克在渠道政策上會更有針對性,也更具體,這在過去是比較難做到的。此外,賽門鐵克也將在各個(gè)地區(qū)繼續(xù)推動市場和用戶對信息安全的認(rèn)知和保護(hù)意識,并針對信息安全相關(guān)領(lǐng)域開展培訓(xùn)。

梅正宇表示,中國是賽門鐵克最重要的戰(zhàn)略市場之一,是公司一直以來和在未來繼續(xù)發(fā)展的重點(diǎn)區(qū)域。 除了在中國市場提供全面的解決方案和完善的安全服務(wù)之外,當(dāng)下的重點(diǎn)之一是加大市場的覆蓋力度,一方面要開發(fā)更多的大客戶,另一方面要針對中小企業(yè)和二線城市,與合作伙伴共同探索更多模式、搶占更多的市場。

“作為一個(gè)跨國公司,多年來賽門鐵克在安全行業(yè)建立起自己的核心競爭力,我們擁有業(yè)界最全的產(chǎn)品線和全球最大的數(shù)據(jù)智能網(wǎng)絡(luò)之一,能夠提供重要的全球范圍內(nèi)的威脅數(shù)據(jù)與分析,從而在應(yīng)對網(wǎng)絡(luò)犯罪、抵御復(fù)雜的互聯(lián)網(wǎng)安全威脅和其他安全風(fēng)險(xiǎn)中發(fā)揮出核心作用。”梅正宇繼續(xù)表示,“同時(shí),我們還擁有一直扎根安全的人才隊(duì)伍以及品牌優(yōu)勢,這都是我們未來贏得市場的基礎(chǔ)。根據(jù)賽門鐵克最新的財(cái)報(bào)預(yù)測,2016財(cái)年第一財(cái)季及2016財(cái)年業(yè)績將實(shí)現(xiàn)兩位數(shù)增長。只要我們專注,我們的整合優(yōu)勢就能夠充分發(fā)揮出來,市場份額也會隨之增長。”

采訪手記

梅正宇:安全行業(yè)更有挑戰(zhàn)也更有成就感

梅正宇在去年11月份正式進(jìn)入賽門鐵克,此時(shí)賽門鐵克已經(jīng)明確要拆分。顯然,梅正宇是準(zhǔn)備接受新挑戰(zhàn)而進(jìn)入賽門鐵克的。在采訪中,梅正宇也坦言他喜歡這份工作的挑戰(zhàn)性,也很享受為客戶提供安全服務(wù)后帶給自己的成就感,這是之前的工作經(jīng)歷中所沒有的。

實(shí)際上,對梅正宇以及賽門鐵克而言,挑戰(zhàn)的確不小。首先是當(dāng)下的IT環(huán)境發(fā)生了很大變化,特別是PC市場疲軟。根據(jù)Gartner 6月份公布的數(shù)據(jù),2014年全球安全軟件收益總額達(dá)214億美元,相比2013年增長了5.3%,但終端防護(hù)平臺與消費(fèi)類安全軟件收益雙雙下滑(兩者共占據(jù)39%的市場總額)。而這正是賽門鐵克的傳統(tǒng)領(lǐng)地。