公務員期刊網 精選范文 網絡信息安全管理辦法范文

    網絡信息安全管理辦法精選(九篇)

    前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡信息安全管理辦法主題范文,僅供參考,歡迎閱讀并收藏。

    網絡信息安全管理辦法

    第1篇:網絡信息安全管理辦法范文

    信息安全防護要考慮不同層次的問題。例如網絡平臺就需要擁有網絡節點之間的相互認證以及訪問控制;應用平臺則需要有針對各個用戶的認證以及訪問控制,這就需要保證每一個數據的傳輸的完整性和保密性,當然也需要保證應用系統的可靠性和可用性。一般電力企業主要采用的措施有:

    1.1信息安全等級保護

    信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作,工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。要積極參與信息安全等級定級評定,及時在當地公安機關進行備案,然后根據對應等級要求,組織好評測,然后開展針對性的防護,從而提供全面的保障。

    1.2網絡分區和隔離

    運用網絡設備和網絡安全設備將企業網絡劃分為若干個區域,通過在不同區域實施特定的安全策略實現對區域的防護,保證網絡及基礎設置穩定正常,保障業務信息安全。

    1.3終端安全防護

    需要部署(實施)防病毒系統、上網行為管理、主機補丁管理等終端安全防護措施。通過這些安全措施使網絡內的終端可以防御各種惡意代碼和病毒;可以對互聯網訪問行為監管,為網絡的安全防護管理提供安全保障;可以自動下發操作系統補丁,提高終端的安全性。

    2.構建信息安全防護體系

    電力企業應充分利用已經成熟的信息安全理論成果,在此基礎上在設計出具有可操作性,能兼顧整體性,并且能融合策略、組織、技術以及運行為一體化的信息安全保障體系,從而保障信息安全。

    2.1建立科學合理的信息安全策略體系

    信息安全策略體系包括信息安全策略、信息安全操作流程、信息安全標準以及規范和多方面的細則,所涉及的基本要素包括信息管理和信息技術這兩方面,其覆蓋了信息系統的網絡層面、物理層面、系統層面以及應用層面這四大層面。

    2.2建設先進可靠的信息安全技術防護體系

    結合電力企業的特點,在企業內部形成分區、分域、分級、分層的網絡環境,然后充分運用防火墻、病毒過濾、入侵防護、單向物理隔離、拒絕服務防護和認證授權等技術進行區域邊界防護。通過統一規劃,解決系統之間、系統內部網段間邊界不清晰,訪問控制措施薄弱的問題,對不同等級保護的業務系統分級防護,避免安全要求低的業務系統的威脅影響到安全要求高的業務系統,實現全方位的技術安全防護。同時,還要結合信息機房物流防護、網絡準入控制、補丁管理、PKI基礎設施、病毒防護、數據庫安全防護、終端安全管理和電子文檔安全防護等細化的措施,形成覆蓋企業全領域的技術防護體系。

    2.3設置責權統一的信息安全組織體系

    在企業內部設置網絡與信息安全領導機構和工作機構,按照“誰主管誰負責,誰運營誰負責”原則,實行統一領導、分級管理。信息安全領導機構由決策層組成,工作機構由各部門管理成員組成。工作機構一般設置在信息管理部門,包含安全管理員、系統管理員、網絡管理員和應用管理員,并分配相關安全責任,使信息安全在組織內得以有效管理。

    2.4構建全面完善的信息安全管理體系

    對于電力企業的信息安全防范來說,單純的使用技術手段是遠遠不夠的,只有配合管理才能提供有效運營的保障。

    2.4.1用制度保證信息安全

    企業要建立從指導性到具體性的安全管理框架體系。安全方針是信息安全指導性文件,指明信息安全的發展方向,為信息安全提供管理指導和支持;安全管理辦法是對信息安全各方面內容進行管理的方法總述;安全管理流程是在信息安全管理辦法的基礎上描述各控制流程;安全規范和操作手冊則是為用戶提供詳細使用文檔。人是信息安全最活躍的因素,人的行為會直接影響到信息安全保障。所以需要通過加強人員信息安全培訓、建立懲罰機制、加大關鍵崗位員工安全防范力度、加強離崗或調動人員的信息安全審查等措施實現企業工作人員的規范管理,明確員工信息安全責任和義務,避免人為風險。

    2.4.3建設時就考慮信息安全

    在網絡和應用系統建設時,就從生命周期的各階段統籌考慮信息安全,遵照信息安全和信息化建設“三同步”原則,即“同步規劃、同步建設、同步投入運行”。

    2.4.4實施信息安全運行保障

    主要是以資產管理為基礎,風險管理為核心,事件管理為主線,輔以有效的管理、監視與響應功能,構建動態的可信安全運行保障。同時,還需要不斷完善應急預案,做好預案演練,可以對信息安全事件進行及時的應急響應和處置。

    3.總結

    第2篇:網絡信息安全管理辦法范文

    1 引言

     

    隨著醫院的發展和信息化的進步,信息系統滲透到醫院的各個角落。醫院的醫療業務、教學、研究對信息系統的依賴性是不容置疑的。醫院的信息安全不僅是保證醫院有效秩序的前提 ,還是保障醫院的財務管理等方面巨大的支撐,并且安全的醫療信息數據才能夠有效地提高病人的治療效果、維護病人的權益。因此加強管理和監控,加強醫院有關信息安全系統方面的建設 ,是醫院良好有序發展的前提以及客觀要求[1]。因此對信息安全的認識從方方面面都得到了前所未有的重視。作為走在信息安全研究前列的大國,美、俄、日等國家都已制定自己的信息安全發展戰略和計劃,確保信息安全沿著正確的方向發展。2000年初美國出臺了電腦空間安全計劃,旨在加強關鍵基礎設施、計算機系統網絡免受威脅的防御能力。2000年7月日本信息技術戰略本部及信息安全會擬定了信息安全指導方針。2000年9月俄羅斯批準了《國家信息安全構想》,明確了保護信息安全的措施。

     

    我國對信息安全研究起步較晚,目前已初步建成了國家信息安全組織保障體系[2]。我國在1994年頒布了《中華人民共和國計算機信息系統安全保護條例》。在以后的十幾年中,國家又出臺了多個法律、法規,對信息安全等級保護的具體內容、職責和工作方法做了具體的規定。在2007年公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室出臺了《信息安全等級保護管理辦法》。首都醫科大學附屬醫院北京婦產醫院(以下簡稱“北京婦產醫院”)正是借著《信息安全等級保護管理辦法》的實行,促進了院信息安全工作的發展,提高了信息安全的水平。從2007年到今天,院信息安全等級保護工作已經走到了第十個年頭。這十年信息安全建設大約分為兩個階段。

     

    2 第一階段:夯實制度基礎,加強邊界防護

     

    北京婦產醫院于2007年10月根據《信息安全等級保護管理辦法》的要求和醫院的實際情況,把醫院的核心系統HIS和LIS系統定為二級系統。在隨后的幾年中嚴格按照等級保護二級系統的規范進行建設。

     

    2.1 制定和完善制度,促進安全管理

     

    任何技術都只是手段,而人是最重要的因素,能把兩者有效的、高效的結合在一起的是管理。管理又是通過制度實現的。參照等級保護的要求,增加制定了網絡安全管理制度、計算機病毒防治管理制度、業務網絡安全管理規定、信息安全數據使用授權制度和重大信息安全事件報告制度等制度,基本做到了制度完備。通過信息安全管理相關規范的制訂與,確立信息安全方針,對信息安全管理體系文檔的制訂、、修訂、評審進行約定,以保證信息安全管理規范文檔的嚴肅性。通過制訂全院統一的信息安全策略,有效指導信息安全管理與技術工作的開展,為全院建立了統一的信息安全策略標準。

     

    2.2 提高信息安全意識

     

    在領導層面,北京婦產醫院建立了醫院信息系統安全領導小組,明確信息安全工作由院長負責,成員包括信息科、院辦、醫務科等相關科室領導。在基層層面,根據技術專長和日常工作把工作人員安排為信息安全管理員、安全審計員、系統管理員等。這樣不僅使每個人了解信息安全,還要負責信息安全的事,同時也讓工作人員時時刻刻有信息安全的意識,還把信息安全內容納入到每年進修人員和新入職人員培訓日程之中。

     

    2.3 加強中心機房的安全建設和管理

     

    北京婦產醫院參照《信息系統安全等級保護基本要求》進行信息化基礎設施建設。中心機房配置門禁系統,機房出入口安排專人值守,控制、鑒別和記錄進入的人員。外來人員進出機房須獲得機房管理員的授權,對人員及設備進出情況進行記錄。中心機房內服務器、網絡設備均安置在機柜內并固定,對設備與走線進行了標識。中心機房設置防盜報警系統、視頻監控系統、自動消防系統、空調周圍安裝漏水檢測報警系統等物理安全設備。目前中心機房物理環境基本達到了等級保護三級系統所要求的物理環境,物理安全防護措施相對完善。

     

    2.4 部署了基線網絡監控管理系統

     

    此系統能夠通過SNMP協議獲得被監控網絡設備、服務器、通訊線路、網段、應用等有關信息,包括系統信息、網絡連接、TCP連接、程序運行、 ARP表、路由表以及CPU負荷等。網絡管理員可以通過此系統對全網絡可以實時的監控。此系統還可以對IP地址的全局使用情況有一個清晰準確的統計,對于 IP地址使用的管理、分配都可以起到很好的輔助作用。

     

    2.5 部署了桌面管理系統

     

    此系統能夠遠程維護、遠程控制為網絡的管理、維護與故障診斷提供了全方位的平臺。在管理、維護或故障排除需要時,網絡管理員可以通過本功能遠程登錄客戶機,當服務器顯示客戶機桌面后,即可以對其進行相應的操作。通過桌面管理系統可以管理外部設備,我院業務網禁用了U盤、軟驅、光驅、UBS等各種各樣的外部存儲設備,減少病毒通過外部存儲設備進入到業務網中的可能。通過桌面管理系統指定部分關鍵終端進行IP地址綁定,進一步提升了業務網的安全性。桌面管理系統還不斷地進行更新、升級,以提升網絡的防護水平。

     

    北京婦產醫院通過信息系統的等級保護定級工作,對醫院的信息安全狀況進行了一次較為全面的摸底,認識到自身信息安全水平和問題所在。針對信息安全投入了相當的力量,通過以上和其他措施加強了防篡改、防病毒、防泄密等方面的安全,提升了業務網的邊界防護能力,使其處于基本安全的環境中。

     

    3 第二階段:持續性推進,再上臺階

     

    2007年至2012年,北京婦產醫院年門診量從7萬人次增長11萬人次;年出院人次從2.5萬人次增長到約3萬人次;病房手術人次從1.9 萬人次增長到2.5萬人次。HIS系統的主要用戶醫生、護士、醫技人員也從500余個增加到約1200余個。HIS系統的應用大大提高了醫院工作效率,使醫院的資源得到了更合理的優化配置。但是同時對信息系統的依賴性越高,也就對信息系統的安全有了更高的要求。在2012年《北京地區衛生行業信息安全等級保護工作實施細則》中提出:“三級甲等醫院的核心業務信息系統的安全保護等級原則上不低于第三級”。針對過去的問題和三級的要求,積極進行整改和推動信息安全工作,在2014年將核心系統 - HIS系統原定級2級提升為3級系統。

     

    3.1 確定保護對象及其區域邊界,打好建設基礎。

     

    根據北京婦產醫院業務的發展需要,原有的內、外網物理的隔離的網絡拓撲將隨著區域衛生平臺、網上預約掛號等業務的推進而發生結構性的改變。如圖1所示。

     

    因此,醫院原有相對獨立的業務網將會受到來自互聯網以及其他第三方網絡威脅源的攻擊。北京婦產醫院與時俱進,根據《信息系統安全等級保護基本要求》首先確定了保護對象及其區域邊界。根據醫院信息系統的計算環境劃分情況,圍繞信息系統確定出區域邊界:

     

    (1)東院業務域計算環境區域邊界;

     

    (2)西院業務域計算環境區域邊界;

     

    (3)東院終端控制域計算環境區域邊界;

     

    (4)外網業務應用域計算環境區域邊界;

     

    (5)內網數據交換前置域計算環境區域邊界;

     

    (6)外網無線網絡域邊界;

     

    (7)安全管理域計算環境區域邊界;

     

    (8)內網辦公終端域計算環境區域邊界;

     

    (9)外網辦公終端域計算環境區域邊界。

     

    保護對象及其區域邊界的確定,為以后的計算環境、區域邊界、通信網絡等安全保護設計和實施奠定了堅實地基礎。

     

    3.2 完善日常安全管理,切實落實安全制度

     

    北京婦產醫院以前更多地關注技術的提升,有了等級保護要求之后,使得大家能全方位來看待信息安全。從安全管理平臺角度來看,技術安全和管理安全同等重要,而在實際工作中,網絡維護人員常常忽視管理層面的安全防護,如安全制度的建立和長期執行,機房登記制度等[3]。

     

    北京婦產醫院的信息安全制度根據實際情況進行不定期修改,使其具有科學性和可操作性。為保證信息安全制度及各種安全管理手段與技術的落實,信息科制定了完善的巡檢制度。巡檢人員按規定時間、內容及技術路線對設備進行巡回檢查,巡檢的內容涵蓋了全院。硬件包括中心機房的服務器、交換機;門診大廳的自助打印機、排號機;中心機房和各個樓層設備間的環境監控和消防等,軟件包括數據庫監控、病毒監控和移動存儲設備的監控;磁盤空間容量、系統運行情況等。巡檢人員每日巡檢項目11大類504小項,巡檢內容還要及時向上級進行反饋,以保證各種安全隱患的得到及時處理。同時還記錄每天的程序改動、軟件問題等信息,便于事后追溯。

     

    3.3 提高數據備份與恢復能力,降低安全事件帶來影響和損失

     

    北京婦產醫院原有利用東、西兩院區各自獨立的機房,采用了后臺磁盤陣列之間的遠程鏡像技術,實現東、西兩院區數據同步和遠程容災。通過存儲在不同存儲設施上的鏡像數據,可以實現醫院內部關鍵業務數據的備份與快速恢復。醫院對數據保護的方式主要是采用雙機高可用和備份系統。但是,雙機熱備系統也只能避免由于網絡故障、服務器故障、物理硬盤故障造成的系統停機問題,如果應用數據受到病毒感染、人為誤刪除、黑客攻擊、甚至是共享磁盤陣列故障,應用系統也是無法運行的。

     

    隨著等保工作和信息化建設的推進,醫院又配置了CDP保護設備,實現重要數據實時保護;1-3分鐘內找回丟失的數據,同時可以恢復到毫秒級的數據版本狀態,保障核心業務數據的完整性、一致性、可用性,從而保證核心業務系統正常、穩定、連續運行;數據恢復過程簡單方便;后端重建系統,無停機時間;僅復制上次復制后已更改的增量數據,進行有效的系統及數據備份;大大縮短恢復過程,從而減少停機時間并保持生產力;如果出現應用程序故障或硬盤崩潰,可以可靠地捕捉啟動應用程序服務器所需的數據。CDP設備部署如2圖所示。

     

    CDP設備不僅能夠輕而易舉的實現本地的應用系統保護和恢復,而且能夠很輕松的將保護延伸到遠程,建立起更為強大的異地容災系統。

     

    4 結束語

     

    信息安全是動態的,隨著技術的發展而變化。信息安全防護沒有完全單一而又絕對保險的安全措施[4]。如果墨守成規,止步不前,必然會影響信息安全的整體水平。每年按照等級保護的要求進行自查,可以讓醫院查缺補漏,對醫院的信息安全是很好的督促。醫院在等級保護制度的指導下,持續性的推進信息安全工作,必然會明顯地降低信息安全的風險。等級保護制度還促進了衛生行業信息安全建設的標準化和規范化。我們有理由認為信息安全等級保護制度對醫院信息安全的建設、管理等方方面面都有極大的促進作用。

    第3篇:網絡信息安全管理辦法范文

    關鍵詞:火力發電廠;信息安全體系;安全管理

    隨著我國社會經濟的高速發展,火力發電廠規模不斷擴大,受到人們的廣泛關注,取得了較好的成效,但也面臨一系列的挑戰。應轉變傳統的經營管理模式,充分發揮現代計算機信息技術的作用,將網絡信息技術融入火力發電廠中,逐步實現自動化生產,創新火力發電廠管理方式,提高其信息管理水平,實現數據共享。為推動火力發電廠的現代化發展,應根據火力發電廠的實際情況建立健全的信息安全體系,加強火力發電廠信息安全管理工作,消除其中存在的安全漏洞,保障火力發電廠安全運行,實現綜合效益最大化。

    1火力發電廠的相關內容

    火力發電廠是利用燃料生產電能的工廠,在科學技術時代背景下,火力發電廠的經營管理發生了變化。為了應對日益激烈的市場競爭,開始充分應用現代信息技術,將其融入電力生產中,制定完善的信息管理系統,提高電力生產效率,為電力生產供應提供重要的安全保障。

    2現階段火力發電廠信息安全中存在的威脅

    首先,在火力發電廠運營過程中,使用的信息管理系統存在安全風險。在電力生產過程中,目前使用的信息管理系統已具備相應的安全管理功能,但受多方面因素影響,其內部仍存在威脅。工作人員的安全防護意識不強,在操作過程中易導致安全信息系統出現故障。其次,受外部攻擊存在的安全風險。信息管理系統受外來病毒入侵、網絡攻擊,導致系統無法正常運行,信息數據丟失,影響了火力發電廠信息系統的安全運行,難以保障火力發電廠的供電服務質量,不利于提升火力發電廠的經濟效益[1]。

    3構建火力發電廠信息安全體系的有效措施

    3.1建立健全的火力發電廠信息安全技術體系。(1)應充分應用防火墻技術。在火力發電廠信息安全體系中安裝防火墻,有利于強化信息系統的安全性,可對其進行有效防護。在信息網絡出口處安裝防火墻硬件時,需要根據實際需求選擇適宜的防火墻類型,維護信息數據傳輸的穩定性、安全性。有效的防火墻技術可封閉操作信息管理系統中的數據包,并設計科學的過濾配置,不允許未經許可的IP地址訪問信息管理系統,以免泄露火力發電廠的重要信息。可根據火力發電廠信息系統的特點、功能性,確定安全控制點,將其放置于信息系統和系統間,確保信息系統的獨立性[2]。(2)做好系統安全分區防護工作。為保障火力發電廠信息安全技術的有效應用,應實施系統安全分區防護工作。遵循橫向隔離原則,在網絡專用的指導下,科學設計安全分區。應基于火力發電廠的實際經營狀況,遵循信息系統安全分區原則,科學劃分各區域的安全等級,實施有效的安全防護措施預防安全風險。①實時控制區域,如生產控制系統,應對其實施重點防護工作;②二級控制區域,如管理信息系統;③生產信息管理系統、脫銷控制系統等區域,需要進行一級安全防護。可采用物理方式,安裝單向隔離裝置,科學調度和優化數據網絡系統,有效開展實時控制工作。應基于各區域的類型和功能制定適宜的訪問權限,優化安全隔離裝置設計,以提高各信息系統區域的安全性。在管理自動電壓控制系統、遠程終端單元系統時,應將其放在重點安全防護區域中,線路母線錄波、機組錄波等劃分至二級安全防護區域,可充分發揮加密認證的作用。(3)制定統一的防病毒系統。在火力發電廠信息安全系統中,應統一部署網絡防病毒系統,主要針對生產控制區域、管理信息區域。所有的大區服務器、終端設備均須安裝統一的防病毒客戶端,以實施有效的防病毒管理。應在第一時間更新病毒特征碼,科學分析獲得的病毒防護相關數據,明確火力發電廠信息系統中存在威脅的病毒類型,根據其實際情況選擇適宜的安全防護技術,保障信息系統的安全性。可將防病毒網設置于網絡系統的出口位置,以免病毒透過網絡傳播至火力發電廠的內部信息系統中。(4)提高服務器安全水平。在火力發電廠信息安全系統中,應對關鍵服務器實施高效的安全加固工作,針對服務器運行中存在的問題,為其系統添加補丁,實施有效的系統審計工作,強化用戶管理,優化資源配置,保障火力發電廠信息安全系統的正常運行。①在信息安全系統中,安裝適宜的安全補丁,以強化系統操作的安全性;②定期清理安全系統中的各賬號和信息,刪除和清理無用的賬號,設置負責口令,加強對賬號的管理;③做好審計工作,關注系統中的日志,及時進行科學調整;④火力電廠信息系統中的特定賬戶,應進行有效的審計工作,實施全面的監督管理措施,優化配置信息資源;⑤在火力電廠信息系統中安裝病毒防范軟件,并定期進行升級,以提高信息系統的安全系數;⑥加強數據庫服務器系統安全防護措施,及時發現數據庫中存在的安全漏洞,并采取有效措施進行修復。應設置賬戶口令,擁有訪問權限的賬戶方可操作數據庫系統。可在數據庫中安裝安全補丁,刪除無關賬號,鎖定數據庫運行;設置賬號口令,不可使用賬戶默認密碼,超級管理員的賬戶不可遠程登錄。(5)建立健全的網絡入侵防護系統。為保障火力發電廠信息系統安全,應創建網絡入侵防護系統,以抵御黑客攻擊,識別計非法訪問,隔離病毒。可在網絡入口處設置IPS,深度防護網絡各層,應將IPS設置于核心交換機上,以加強對內網、外網的安全防護。內網出現黑客攻擊等非法訪問行為時,可利用IPS進行科學分析,找出攻擊來源,查看異常狀況,進而實施有效的安全防護措施進行處理,保障信息系統的安全運行。3.2制定完善的信息安全組織制度。在火力發電廠信息安全體系的構建過程中,應制定完善的信息安全組織制度,以保障信息安全。應根據實際情況培養專業的人員,實施有效的信息安全管理工作,成立專門的火力發電廠信息安全管理組織,各部門積極合作,加強彼此間的交流與互動。在部門成立安全管理小組,設置科學的責任機制,強化信息安全管理人員的責任意識,使工作人員全身心投入安全監督審查工作中,優化人力資源配置,保障信息系統的安全運行[3]。3.3建立健全的安全管理體系。建立健全的安全管理體系,有利于保障火力發電廠信息系統的安全性。(1)應制定完善的安全管理制度,并將其貫徹落實在信息安全管理工作中,做到有據可循、有法可依。制定的信息安全制度應具有全面性、可操作性,應規范相關人員的操作行為,統一技術標準,以充分發揮信息安全管理體系的有效作用,可制定《計算機網絡管理辦法》《信息安全風險評估管理辦法》等。安全管理行為均須嚴格按照相關規章制度的要求執行,實施跟蹤信息安全管理效果。(2)應根據當前火力發電廠信息安全體系的實際情況,科學部署網絡準入策略,加強訪問控制工作。擬定的技術方案應符合實際需求,做好入網登記備案工作,按照相關制度的要求,實施網絡巡檢工作,以提高火力發電廠信息網絡建設水平,強化信息網絡管理工作。(3)應積極開展信息安全培訓工作,加強工作人員間信息交流。培養相關人員的信息安全意識,明確火電廠信息安全體系中的核心,貫徹落實相關安全措施,加大安全管理力度,提升信息網絡系統的安全系數。(4)應保障信息系統的物理安全,加強對網絡系統的硬件設施的安全管理。應保證計算機機房的安全性,做好防火、防潮等措施,定期對服務器、網絡硬件設備等進行檢查和維護,確保儲存系統、備份系統的正常運行,保證供電質量安全。一方面,應從技術層面進行安全防護。設立專門的電子門禁系統,在機房等區域中設置防盜報警系統、監控報警系統、攝像頭,可充分利用火災自動消防系統,進行防水檢測,控制計算機機房中的溫度、濕度,為設備的日常運行創造良好的環境。另一方面,應從管理層方面進行有效防護。制定完善的規章制度,嚴格按照機房規定進行操作和管理,規范計算機房的使用標準,派遣專人進行安全巡檢工作,實施全面監控工作。

    4結語

    綜上所述,在火力發電廠信息安全體系的構建過程中,應明確當前信息系統運行中存在的安全威脅,實施有效的安全防范措施,保障信息管理系統的正常運行。應從技術、組織和管理等方面進行具體分析,建立健全的安全技術體系,制定完善的安全管理制度,優化安全監控組織,保障火力發電廠信息系統的安全運行,推動火力發電廠的可持續發展。

    參考文獻

    [1]郭小諾.火力發電廠一體化監控信息系統的設計與應用[J].中國新技術新產品,2017(20):30-31.

    [2]朱曉琴.火力發電廠一體化監控信息系統的設計與應用[J].貴州電力技術,2013,16(8):19-21.

    第4篇:網絡信息安全管理辦法范文

    1. 系統軟件的先天不足

    一是系統軟件兩三年就要更新一次,開發之快,檔案部門的人力和物力都難以跟得上。二是在編寫軟件的過程中,每1000行程序就可能會出現一個漏洞,如微軟操作系統是由幾千萬行程序組成,為黑客的攻擊留下了余地。三是軟件公司的設計編程人員為了自己維護方便,往往開設了一個不為人知的“后門”,假若被別有用心之人利用,則后果不堪設想。四是關鍵技術設備受制于人。我國微電子技術與發達國家存在著很大的差距,關鍵技術設備必須從美國等發達國家引進,而不排除這些國家在出口產品中安裝了后門,預設對外聲稱用于網上遠程維護“機關”的可能性。1990年海灣戰爭,美軍通過帶病毒芯片的打印機設備發送指令,致使伊拉克軍隊系統癱瘓,輕易地摧毀了伊軍的防空系統。

    2. 人為的疏忽失誤和蓄意破壞

    疏忽失誤,是指由于人的思想意識的松懈、粗心大意、心不在焉或者一心二用等,使行為后果與預期目的出現的偏差。據調查,在所有數據庫丟失的案件中,有80%是人為造成的,其中又約有70%來自于內部網絡的侵犯,不排除技術人員的經驗不足和長時間的疲勞、困倦或帶疾病的工作,思想不集中,或計算機病毒入侵防范不當等人為疏忽因素造成的。尤其是病毒具有潛伏性、破壞性,且傳染性廣而快的特點。如在網絡環境下利用各種途徑潛伏或寄生在存儲媒體、程序,迅速擴散,甚至通過遠程工作站將病毒傳播到千里之外。在單機環境操作,病毒可通過軟盤帶到另一臺機,若多臺機器協同工作,還可引發病毒交叉感染。有人統計,全世界社會每隔20分鐘就會產生一種新的計算機病毒,通過互聯網,以每秒30萬公里的速度,向全球各個角落傳播,這意味著上網的計算機每隔20 分鐘就有可能被新的病毒感染一次。

    蓄意破壞,一方面是人為故意改動、覆蓋、改寫、增刪數字化檔案信息內容,以達到某種目的功利。如美聯社2006年7月15日刊登了一張攝影者為獲取新聞價值而有意夸大中國陜西省西安市區的水浸膝蓋處理為腰部的災情新聞照片。另一方面是“黑客”攻擊。黑客一般在不影響網絡正常運作下進行截獲竊取、破譯獲取重要機密,或隨意添加修改,擾亂或刪除計算機儲存系統的任何信息等。

    因此,要減少或杜絕不穩定因素,確保企業數字化檔案信息的安全,就應該做到以下幾個方面:

    1. 信息安全意識先行是保障企業數字化檔案穩定的基礎

    一個正常人的思想行為活動過程,應是先有思想意識,后有行為動作,意識理念帶動行為規范。當一個人的主觀思想烙印了信息安全意識,就能與個體情操產生相一致的行為效應。然而在計算機系統運作中,有80%以上屬于人為操作錯誤,其中不排除人的主觀思想對信息安全意識的輕視或認識不足。為此許多國家通過制定法案、研究對策來提高技術人員的信息安全防范意識。如美國政府2002年出臺的《網絡安全研究與開發法案》,決定未來5 年內投資8.78億美元培養計算機和網絡安全人才,并義務資助他們開展研究工作。日本政府于2000年6 月召開了推進高度信息化社會本部會議,決定在政府內部盡快研制在安全方面具有高而可靠性的政府計算機系統,也投入了大量的人力、物力培養綜合性、系統性的信息安全人才。我國也已開始注意信息安全思想先行的意識,先后出臺了《計算機信息網絡安全保護管理辦法》《全國信息技術人才培養實施意見》《全國信息技術人才培養工程培訓體系管理辦法》等規定,許多部門和企業都相繼舉辦各種中、短期信息安全人員培訓班。從思想理念源頭上提高管理者的安全意識。

    2. 信息安全技術運作是確保企業數字化檔案穩定的核心

    信息技術運作是企業數字化檔案信息安全的“瓶頸”。一方面檔案部門從事信息化工作的技術人員不足,特別是缺乏既熟悉信息技術,又了解熟悉檔案專業;既懂管理又懂具體業務的復合型人才。另一方面,專業結構不合理。主要受企業人員的編制制約和領導的不重視,有的單位既不考慮學科結構,又不考慮懂業務與否,硬性安排一些照顧人員。據有關資料顯示,2003年度我國的國家信息化指數NIQ為38.46,而中國的信息化人才資源指數僅為13.43,從數據的反差顯示了計算機人才之缺。而有關部門預測,全國計算機應用專業人才每年需要量增加百萬人左右。欲緩解目前的狀態,一是補充新鮮“血液”,引進復合型人才;二是建立一套繼續教育機制,對現有檔案專業技術人員進行必要的轉型;三是制定一個系統的、全國性的信息安全技術操作規范標準,確保數字化檔案信息安全運作。如數據庫備份、數字簽名、建立防火墻、防改寫措施等。

    3. 規范信息安全管理制度是維護企業數字化檔案穩定的關鍵

    安全法律規范化。目前各國政府紛紛出臺了多級安全模型、多邊安全模型、國際安全體系結構ISO/IE7498―2、信息安全管理標準BS7799定義的管理模型等等。美國政府早在1998年就提出電子檔案檔案館ERA方案,以應對數字化檔案安全管理諸多問題挑戰。而我國政府也陸續出臺的《中華人民共和國計算機信息網絡國際聯網管理暫行規定》《國務院修改國際聯網管理暫行規定》、《計算機信息網絡國際聯網安全保護管理辦法》等。由于各級政府管理體制方式各異和缺少必要的協調機制,多為原則性,缺乏比較健全的法律和法規。企業要健全法規還需要深入調研,注意規范性和可操作性,系統性與兼容性、管理與發展并重,同時也要善于吸收和借鑒國內外信息安全法規建設經驗,使安全法規逐步完善。

    計算機系統操作安全保護制度規范化。數字化檔案的錄入、信息與提供利用都需要在計算機上進行,除了嚴格遵守《中華人民共和國計算機信息系統安全保護條例》和一定的法規外,還可根據實際工作需要,確定科學的數字轉換與圖像處理技術參數,建立有效的操作規范制度,形成管理機制。

    第5篇:網絡信息安全管理辦法范文

    【關鍵詞】校園網信息安全現狀防范

    【中圖分類號】G647【文獻標識碼】A【文章編號】1006-9682(2009)12-0051-01

    隨著高校校園網絡的不斷擴建和升級,網絡規模日益龐大。在方便信息傳遞,實現資源共享,提高工作效率的同時,高校校園網的信息安全問題已成為高校日常工作中不可或缺的重要組成部分。校園網作為高校教學應用的內部網及教職工對外交流的窗口,具有開放共享的特點,使校園網的信息安全受到極大的危險。近年來高校中的信息安全事件時有發生,信息的泄密、數據的破壞、服務無法正常進行等屢屢發生,有些甚至導致校園網癱瘓,給高校校園網的管理和維護帶來了嚴重挑戰。

    一、高校校園網信息安全的現狀

    高校本身是研究和探索新科技、傳授新知識的場所,儲存了大量的科研成果和技術資料,是信息安全受到威脅的“集中營”。

    1.工作人員對信息系統的應急處理能力不強,防范水平不高。

    高校辦公室工作人員大都是非計算機專業的人員,計算機知識相對缺乏,對信息安全的防范意識尤為薄弱,缺乏對系統的基本維護能力,這勢必給高校校園網的信息安全造成威脅。

    2.信息安全管理觀念薄弱,負責信息安全人員的意識不強。

    高校校園網用戶對安全意識以及防范能力沒有足夠重視,且認為防范信息安全是網絡信息或專業人員的事情,與個人無關。負責信息安全人員把計算機安裝還原卡當作“萬事通”,只對出問題的計算機進行檢查并未對高校網絡檢查等。

    3.信息安全保障管理機構和組織隊伍不健全

    對于高校校園網,信息瀏覽人數多,流量大,加大了信息安全人員對其管理和維護難度。且高校普遍存在維護人員短缺、工作機制不完善、隊伍不健全、無法及時響應、快速解決,不能很好地保證校園網絡方便、快捷、規范地運行。

    4.信息系統安全保障的必要設施短缺

    信息系統軟硬件的內在缺陷不僅直接造成系統癱瘓,還會為一些人為的惡意攻擊提供機會。應用軟件的缺陷造成計算機信息系統的故障,降低系統安全性能,而設備的不完善、不更新,也給惡意攻擊有機可乘。

    5.信息安全管理制度和標準缺乏開發性

    我國的信息安全管理制度結構比較單一,層次較低,難以適應信息網絡技術發展的需要和日新月異帶來的信息安全問題。我國現行的信息安全管理制度基本上是一些保護條例、管理辦法,缺少系統規范網絡行為的相應法律。

    二、構建高校校園網信息安全的防范措施

    1.培養高素質的安全運行維護隊伍

    高校可以組建一支以學生為主體的安全運行維護隊伍,由網絡中心統一領導,中心專業老師負責對學生等用戶進行安全管理方面的培訓和指導,加強校園網的管理和維護力量,力爭對突發安全事件做到及時響應,快速解決,保證校園網方便、快捷、規范地運行。這樣不但能解決由于經費和維護人員不足造成的困難,而且也可以通過讓學生參與校園網的管理維護,來鍛煉他們的實際動手能力,為今后的工作奠定良好的基礎。

    2.制定完善安全管理規章制度

    安全管理貫穿于安全防范體系的始終,是保證網絡安全的基礎。各部門配備專職的信息安全管理人員,落實建立信息安全責任制度和工作章程,負責并保證組織內部的信息安全。管理人員必須做到及時進行漏洞修補、定期軟件升級和定期安全系統巡檢,保證對網絡的監控和管理。同時必須制訂一系列的安全管理制度,并遵循可操作、動態性、管理與技術的有機結合等原則,使校園網的信息安全工作進一步走向規范化和制度化。

    3.利用多種形式進行信息安全教育

    高校應利用多種形式進行信息安全教育:①是利用行政手段,通過各種會議進行信息安全教育;②是利用教育手段,通過信息安全學術研討會、安全知識競賽、安全知識講座等進行信息安全教育;③是利用學校傳播媒介、輿論工具等手段,通過校刊、校報、校園網絡、廣播、宣傳欄等進行信息安全教育。

    4.構建良好的校園文化氛圍

    信息安全是高校實現教育信息化的頭等大事,除先進的安全技術、完善的安全管理外,良好的校園文化氛圍也是保證高校信息安全工作順利開展的前提。

    面對日益復雜的高校校園網信息安全及與日俱增的安全威脅,高校校園網的安全建設必須以了解校園網信息安全的現狀為前提。通過信息安全培訓加強所有用戶的安全意識,從而完善安全防范體系賴以生存的大環境,有效地實現校園網可靠、穩定地運行,創造出一個安全、便捷的網絡應用環境,有效地保障校園網的安全,提高網絡信息的保密性、完整性和可用性。

    參考文獻

    1 楊 東.高校校園網信息安全隱患與防范措施探討[J].江蘇科技信息,2009(4):32~33

    2 汪 瑩、朱齊媛.關于高校校園網信息安全的現狀與對策[J].重慶工學院學報(自然科學),2008(6):126~128

    3 孫 揚.淺析校園內部局域網信息安全[J].信息科學,2008(6):77

    4 楊文娟.我國網絡信息安全問題及其立法現狀分析[J].情報探索,2008(1):121~123

    5 張煥遠、尹凱敏、車 路.校園網網絡信息安全防護體系的研究與實踐[J].用戶之聲,2008(3):28~31

    6 付 沙.高校校園網信息安全策略的探索[J].中國教育信息化,2008(1):121~123

    7 薛 質、蘇 波、李建華.信息安全技術基礎和安全策略[M].北京:清華大學出版社,2007:167~181

    8 賈童舒.如何使用電子政務信息更安全[J].信息系統工程,2009(6):92~93、97

    第6篇:網絡信息安全管理辦法范文

    為配合風險管理工作計劃的執行更好地發揮計算機在公司生產經營管理中的作用,提高辦公自動化的整體應用水平,加強對計算機軟硬件、網絡及公司信息的安全管理,特制定了計算機及網絡管理辦法。

    二、2010年度風險管理工作計劃

    根據計算機及網絡管理辦法加強對信息安全和信息系統的風險管理.(一)信息安全風險管理:

    計算機數據和信息包括公司計算機和移動存儲設備里內存儲的銷售數據、活動方案、財務報表、員工資料、客戶資料、生產技術、各種合同和檔案資料等。

    一、各種數據及信息嚴格控制在公司內部,任何人不得泄露公司的數據及信息;

    二、涉及機密的資料處理按公司的保密規定執行。嚴禁將存有涉及公司經營管理、銷售合同等信息的移動存儲設備帶離公司,

    三、公司計算機里的保密資料文件夾不提供共享。

    四、對個人使用的公司計算機中的重要數據文件,員工定期備份到移動存儲設備;電腦管理員負責將服務器上的oa數據庫及其他數據庫每月底備份一次,每半年一次將備份數據刻錄成光盤,并做好記錄。

    五、加強對系統服務器的安全管理,及時升級更新各系統。

    (二)信息系統風險管理:

    從信息處理的過程來看,一個信息系統模型大致包括幾個要素:信息數據、輸入、數據處理/信息處理、輸出、過程控制和結果反饋。管理信息系統是特定的信息系統,是信息系統在管理中的應用。管理信息系統中包括管理數據處理系統,決策支持系統。it在信息系統風險管理策略與解決方案主要表現在軟、硬件兩個方面。

    一、計算機在使用中發生故障或困難,使用者作簡易處理仍不能解決的,由電腦管理員負責維護、維修;

    二、  計算機維修維護過程中,首先確保對公司資料和個人資料進行拷貝并且妥善保管,防止丟失或者失效。

    三、計算機操作人員必須經過培訓或具有一定操作經驗,未經培訓或無操作經驗者一律不準使用公司計算機。

    四、計算機的使用要嚴格按照有關操作要求進行,要做到人走停機斷電.

    五、嚴禁在計算機旁存放易燃品、易爆品、腐蝕品和強磁性物品,嚴禁在計算機鍵盤附近放置水杯、食物.

    六、定期對使用中的軟件進行軟件更新檢查,及時升級,保持其可用性;

    七、定期對系統垃圾、磁盤碎片等進行清理、整理和維護工作。

    八、嚴禁隨意復制他人軟件及使用來歷不明的光盤、閃存和其他移動存儲設備,以防感染病毒;。

    九、嚴禁安裝各種盜版軟件,防止盜版軟件留下軟件后門造成的信息泄露。

    十、嚴禁擅自修改系統軟件和應用軟件的設置(如ip地址、瀏覽器的相關配置、oa的參數設置、殺毒軟件的設置、操作系統的參數設置等)。

    十一、如工作需要,需對計算機的軟件設置進行改動的,應按程序申請同意后,由計算機管理員實施加強以上管理不斷完善和改進。

    第7篇:網絡信息安全管理辦法范文

    1高校信息安全管理問題

    在強大科技的支撐下,加之高校自身不懈努力,采取了物理、技術、管理等一系列舉措,在保障信息安全方面取得了一定成效。但是,縱觀高校信息安全管理整體,其中還存在不少問題,具體表述如下:

    1.1制度體系缺失

    長期的實踐經驗表明,一般情況下,任何管理活動都需要一套完備的管理制度體系,高校信息安全管理亦是如此。近年來,大多數高校已逐步認識到信息安全管理的重要性及必要性,并先后制定了管理辦法及規章制度,以保證此項工作有序開展、高效完成,然而從客觀的角度上講,其相關建設還不盡完善。隨著信息技術的發展,虛擬網絡環境愈加復雜,威脅信息安全的因素變化多端,并且具有很強的突變性。有些高校對信息安全管理的特性認識不到位,尚未設置相應的應急預案,一旦遇到信息安全問題突然爆發,勢必會導致高校應對不及,從而可能造成不可挽回的損失或影響。甚至有些高校并未成立專門的信息安全管理組織機構,相關制度、措施落實不到位,形同虛設,加之監管不力,直接影響了信息安全管理工作成效。

    1.2技術人才不足

    高校信息安全管理是一項系統工程,它不僅僅是技術上的問題,也不是單憑幾項管理條例就能解決的,其核心還在于專業技術人才。部分高校在安全技術舉措方面投入大量經費本無可厚非,但其過度依賴軟硬件技術防護,輕視專業技術人才隊伍建設,則很難實現信息安全管理目標。首先,從數量上來看,高校所設信息安全管理各崗位人數不盡合理,甚至存在一人多職的現象。正所謂術業有專攻,如此不僅分散了信息安全管理工作人員的時間和精力,難以在某個專業領域有所建樹,還暴露出了其在某個崗位上的能力缺陷,直接影響了工作成效;其次,從質量上來看,高校信息安全管理工作人員素質及能力表現普遍不高。影響信息安全的因素眾多,并且具有多變的特性。由于高校培訓力度不夠,加之信息安全管理工作人員自主學習意識弱化,逐漸與網絡發展脫節,在遇到棘手問題時不能快速、有效解決。

    2高校信息安全管理強化策略

    信息安全管理是高校教育邁入發展快車道的保障基礎。作者結合上文的分析,有針對性地提出了以下幾種強化高校信息安全管理策略,以供參考和借鑒。

    2.1完善規章制度

    成熟的信息安全管理組織可以使得高校信息安全管理工作事半功倍。新時期,高校必須要轉變重技術、輕管理的思想觀念,統籌發展規劃,盡快完善相關規章制度,加大技術投資的同時,提高管理投入,以保證信息安全管理工作高效運轉和實施。具體而言,高校應結合信息安全管理需求,科學設置工作崗位,并明確責任制度和獎懲制度,嚴格審查各部門及個人工作表現情況,進而作出相應的獎勵或處罰,督導其提高工作實效。此外,高校還應該進一步完善信息安全風險評估機制和應急預警機制,理性分析現代網絡環境中的不穩定因素,深刻認識到網絡系統、應用軟件以及數據信息等都可能成為威脅信息安全的目標,并逐步形成制度化,以免這些對高校信息網絡造成干擾。在此基礎上,高校還需針對應急預警機制做預控方案,考慮信息安全事件發生時造成的影響度和損壞度,避免事態擴大。

    2.2加強人才建設

    就現階段而言,高校信息安全管理的當務之急,是建立一支專業化人才隊伍。在此過程中,高校應依據信息安全管理崗位設計,配置相等數量的人才,各司其職,最大限度地發揮其專業特長,使之有更多的時間和精力投入到本職工作上。高校作為高素質人才的聚集地,應該充分發揮自身資源優勢,組織相關專業導師及學生積極參與信息安全管理。如此不僅緩解了投入壓力,同時還為教學提供了良好的實踐平臺。此外,高校還應定時定期開展信息安全管理培訓工作,及時更新相關人員的思想觀念及專業知識,分享有效經驗,提高其綜合素質和能力,使之提供更完善、高效的信息安全管理服務,夯實工作的人才基礎。與此同時,高校需要加強與企業的合作,從不同角度、層面認識信息安全管理工作,積極促動彼此間的互動交流,及時掌握行業發展動態,保證技術與人才的先進性。

    3結束語

    總而言之,高校信息安全管理十分重要和必要。由于個人能力有限,加之網絡信息技術發展迅速,威脅信息安全因素眾多,本文作出的相關研究可能存在不足之處。因此,作者希望各高校提高對信息安全管理的重視程度,可結合本文論點,深刻分析和總結此項工作中的不足或問題,并進行深化與拓展,有針對性地采取更多完善措施,從而提升信息安全管理成效,為廣大師生營造安全、良好的應用環境。

    作者:張威 單位:沈陽科技學院

    參考文獻:

    [1]何濟玲,陳仕品,程吉麟,艾賢明.基于ISO/IEC27001標準的高校信息安全治理[J].現代教育技術,2016(09):60-65.

    第8篇:網絡信息安全管理辦法范文

    作者:侯煒

    我國高速公路近幾年來建設里程越來越遠,而且隨著互聯網的迅速發展,高速公路進入了全國聯網、信息交互的時代。一方面,這有助于高速公路網絡信息的共享和傳播。但另一方面,高速公路全面聯網也對網絡安全提出了新的要求。一旦網絡被別有用心的人攻擊,輕則導致信息泄露,重則有可能引起大的交通事故。

    一、高速公路網絡信息安全分析

    針對目前高速公路信息網絡系統安全的現狀,很多專家學者都提出自己的觀點和看法,例如:北京交科公路勘察設計研究院盛剛談到網絡安全問題時指出:一方面,不管是在設計還是建設方面,偏重于網絡系統的技術和設備方面,缺乏整體系統的思想觀念和管理理念;重點放在外部攻擊與入侵,忽視內容的監管;重視網絡安全的專業性知識,忽視培養技術人員,技術儲備力量不足;新產品,技術發展快,信息安全隱患日益凸顯,另一方面,針對高速收費、聯網監控這方面,1、建設施工方面,相關的運營單位的認識和重視度不夠,存在著投資大、效率低、操作難等問題;2、技術方面,未能嚴格按照國際相關標準規定執行,提出的技術不具備針對性。

    網絡安全現階段的外部威脅主要來自黑客活動,包括:木馬程序、網絡安全漏洞、各種病毒,而內部人員監管手段的疏忽和不規范的操作也是導致網絡安全系統受到威脅的原因之一。

    在網絡信息安全問題上,各省又都有各自的實際問題。例如:江蘇高速公路呈現出:網絡寬帶分配不均、網絡大小不同、網絡技術復雜、網絡資源分散、網絡系統陳舊、網絡結構多樣化的特點。網絡信息安全問題已經日趨嚴重,已成為當前高速網絡首要解決的難題,治理措施刻不容緩。

    二、網絡信息安全的途徑分析

    基于現階段高速公路網絡信息存在的安全問題,多數學者提出自己的看法,其中盛剛提出需要從多角度、多方位的考慮,指出了全面的安全保障體系,包括:技術體系、運維體系、管理體系和標準體系。技術體系主要從主機安全、物理安全、數據安全、網絡安全等多方面考慮的綜合建設體系;運維體系分為四個部分:風險管理安全、安全體系的推廣落實、安全維護、安全管理的工程建設這四部分;管理體系指信息安全的方針目標,以及在完成這些目標的過程中所使用的體系方法;標準體系具體主要確定網絡信息安全的規章制度、管理辦法,工作流程和總體框架。

    針對各省份出現的安全問題,各自根據實際情況提出不同的解決方案,例如山西省針對本省高速公路網絡信息安全也提出了自己的解決方案。從管理和技術兩方面入手,管理具體從以下幾方面著手:人員安全管理、系統運維管理、管理制度安全、安全管理機構、系統建設管理等方面提出的具體要求。技術方面主要分為:系統主機安全、物理安全、應用安全、數據安全和網絡安全。管理和技術在維護系統安全中起著不可替代的作用,兩者相輔相成,缺一不可。

    山西省不僅從管理和技術兩方面確保高速公路網絡安全,在具體的實施過程中,更全面透徹地分析了全省高速公路在網絡安全中存在的各種安全隱患,涉及網絡安全、主機設備、物理安全、網絡病毒、數據安全、業務管理、應用體系安全、主機系統安全、行為操作安全等各類隱患,針對具體存在的安全問題,對癥下藥,采取實施有效的安全防護措施。

    除江蘇和山西省外,福建省也提出了自己的安全措施,制定了詳細的分析報告(確定框架―制定方案―修改方案―執行方案),從2013年試開始運行,截止目前為止,安全防護措施已步入正軌,已將相關制度運行管理制度實現了良好的銜接。

    第9篇:網絡信息安全管理辦法范文

     

    1 問題的提出

     

    隨著Internet網絡技術飛速發展及普及,電子商務(Electronic Commerce,簡稱EC)已經逐漸成為人們進行商務活動的新模式,越來越多的人通過Internet進行商務活動。電子商務是利用網絡技術、計算機技術和通信技術,實現數字化、電子化,商務化,網絡化的整個商務過程,它與傳統商業活動相比,最大的一個特征就是基于B/S方式下,交易雙方在不見面的情況下完成商品貿易活動。

     

    2 國內電子商務安全研究現狀

     

    2.1 我國電子商務安全研究現狀

     

    國務院在1996年了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》,公安部在1997年了《計算機信息網絡國際聯網安全保護管理辦法》,2000年由國家信息化推進工作辦公室牽頭起草的《關于發展我國電子商務的若干意見》上報國家最高決策層進行審議。網絡信息安全問題不但得到了政府、企業的高度重視,同時國內的大專院校、研究所和有實力的大公司也紛紛進入網絡信息安全問題的研究領域。

     

    2.2 電子商務信息安全隱患

     

    電子商務的信息存儲安全隱患主要包括:(1)內部隱患。主要是網內用戶未經許可隨意增加、刪除、修改或無意或故意地非授權調用電子商務信息。(2)外部隱患。主要是因為軟件問題造成外部人員非法闖入內網,造成電子商務信息被增加、刪除、修改或調用。

     

    電子商務交易雙方的信息安全隱患主要是:(1)商家的信息安全隱患。不法分子冒充合法用戶修改商務信息內容,致使電子商務活動中斷,造成商家無法從事正常的業務活動。(2)用戶的信息安全隱患。不法分子竊用攔截合法用戶身份信息,以合法的用戶進行電子商務活動,使用戶蒙受損失。

     

    2.3 電子商務信息安全管理

     

    在電子商務活動中,有些信息屬于商業秘密,如果失竊,將帶來不可估量的損失,因此需有一個能不中斷地提供服務及可靠穩定的電子商務平臺,任何系統的中斷,如軟硬件錯誤,病毒,網絡故障等都可能導致電子商務系統不能正常工作,所以電子商務信息的安全管理問題就成了電子商務順利推進的保障。隨著電子商務的深入應用,攻擊網絡技術和手段不斷改進,這就對電子商務信息系統的安全性提出了更高的要求,必須保證外網用戶不能對系統構成威脅,所以人們對這些基本技術進行了反復改進以適應更高的安全需求。

     

    3 電子商務信息安全技術

     

    在電子商務交易過程中,采取適當的安全技術措施能夠有效的降低電子商務交易過程中的風險,滿足電子商務對于安全性的要求。下面對常用的電子商務信息安全技術措施進行研究。

     

    3.1 防火墻技術

     

    目前的防火墻分可為兩大類,一類是簡單的包過濾技術,它是在網絡層對數據包實施有選擇的通過。依據系統內事先制定好的過濾邏輯,檢查數據流中每個數據包后,根據數據包的源地址、目的地址等因素來確定是否允許數據包通過。另一類是應用網管和服務器,其顯著的優點是能提供小顆度的存取控制,可針對特別的數據過濾協議和網絡應用服務,并且能夠對數據包分析并形成相關的報告。通過防火墻技術,可以過濾掉不安全的服務,提高網絡安全和減少網絡中主機的風險。但防火墻是一種被動安全技術,不能阻止來自內部網絡的攻擊。唯一的解決辦法就是,在每臺計算機上都裝反病毒軟件。

     

    3.2 病毒防范技術

     

    計算機病毒實際上就是在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒繞過系統或違反授權入侵成功后,在系統中植入木馬等病毒程序,為以后攻擊系統、竊取信息做好準備。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁的掃描和監測,工作站上對網絡目錄及文件設置訪問權限等。

     

    現在較流行的反病毒技術基于病毒的特征碼掃描法、文件實時監控技術并輔以指令虛擬技術。掃描病毒:分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中,在掃描時將掃描對象與特征代碼庫比較,如有吻合則判斷為染上病毒。該技術實現簡單有效,安全徹底。監控病毒:通過利用操作系統底層接口技術,對系統中的指定類型的文件進行實時的行為監控,一旦有病毒傳染或發作時就及時報警。從而實現了對病毒的實時、永久、自動監控。刪除病毒:在刪除時采用虛擬技術對變種的病毒進行處理或編寫出相應的程序,將病毒移除計算機內存。

     

    3.3 認證技術

     

    安全認證技術主要有:(1)數字摘要技術,也稱安全HASH編碼法。用于對所要傳輸的數據進行運算生成信息摘要,它并不是一種加密機制,但能產生信息的數字"指紋",目的是為了確保數據沒有被篡改,從而保證數據的完整性和有效性。(2)數字簽名技術,又稱電子簽章、公鑰數字簽名。是一種類似寫在紙上的普通的物理簽名,就是附加在數據單元上的一些數據,或是對數據單元所作的密碼變換。這種變換或數據允許數據單元的接收者用以確認完整性和數據單元的來源并保護數據,防止被人偽造。它是對電子形式的消息進行簽名的一種方法,一個簽名消息能在一個通信網絡中傳輸。主要功能是保證信息傳輸的完整性、發送者的身份認證、防止交易中發生抵賴。(3)數字證書技術,又稱為數字憑證。負責用電子手段來證實用戶的身份和對網絡資源訪問的權限。(4)身份認證實際。是計算機系統通過審查用戶身份證明的過程,提供確認和判別用戶身份的機制,確定用戶是否具有對系統資源操作和訪問權限。本質是確認用戶身份,用戶必須能夠證明其身份標識合法性。身份認證技術是訪問控制、安全審計、入侵檢測等安企機制的基礎,在電子商務信息安全理論與技術中占有至關重要的位。目身份認證技術主要有基于口令的認證技術、基于密碼學的認證技術、基于智能卡的認證技術以及基于生物學特征的認證技術等。

     

    3.4 安全協議技術

     

    電子商務安全問題的核心是電子交易的安全性,為了徹底解決電子商務的安全機制,人們開發了各種用于加強電子商務安全的協議。當前廣泛應用的電子商務安全協議主要有SET協議(Secure Electronic Transaction,安全電子交易)和SSL協議(Secure Sockets Layer,安全套接層),二者都采用了RSA算法加密。

     

    總之,電子商務信息的安全問題是一項復雜的系統工程,隨著電子商務的發展,通過各種網絡的交易手段也會更加多樣化,安全問題也會變得更加突出。它不僅涉及到動態傳輸信息及靜態存儲信息的安全問題,還需要保證電子商務信息安全,加快電子商務的發展。加強電子商務信息安全技術研究有著重要意義,需要我們根據具體的電子商務信息安全需求,不斷的加強電子商務信息安全管理。

    主站蜘蛛池模板: 国产精品成人久久久久久久| 国产成人免费网站app下载 | 亚洲成人午夜电影| 国产成人在线观看免费网站| 亚洲av无码成人精品国产| 日韩国产成人精品视频| 成人免费乱码大片A毛片| 亚洲国产精品成人综合久久久| a级成人毛片免费视频高清| 成人一a毛片免费视频| 亚洲欧美成人一区二区在线电影| 麻豆国产成人AV在线| 在线成人播放毛片| 青春草国产成人精品久久| 国产成人av在线影院| 成人浮力影院免费看| 久久成人福利视频| 国产成人无码一区二区三区在线| 久久亚洲AV成人无码| 国产成人精品久久亚洲高清不卡| a国产成人免费视频| 国产成人a视频在线观看| 成人精品视频99在线观看免费 | 中文字幕成人在线| 亚洲国产成人久久一区二区三区| 成人au免费视频影院| 成人网站免费看黄a站视频| 久久久久国产成人精品| 成人久久精品一区二区三区| 2021成人国产精品| 亚洲国产成人久久99精品| 国产成人在线观看免费网站| 成人国产一区二区三区精品| 成人午夜视频在线观看| 欧美成人精品第一区首页 | 成人免费无码大片A毛片抽搐色欲| www成人免费视频| 亚洲av成人综合网| 久久精品国产成人| 精品无码成人久久久久久| 欧美成人aa久久狼窝动画|