信息安全管理范文
发布时间:2023-10-11 17:47:44
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇信息安全管理范例,将为您的写作提供有力的支持和灵感!
篇1
近十年来,企业的生产经营越来越离不开网络,离不开计算机,企业的每一项活动都需要计算机与网络的参与,企业的管理需要借助相关的计算机软件,企业的销售需要运用到电子商务,企业的仓储管理需要数据库系统的支持,在企业感受到计算机带来生产经营便利的同时,企业也不得不重视由计算机网络所带来的信息安全问题。通过分析我国企业信息安全管理的相关资料,可以发现我国企业在信息安全管理上所做的努力显然无法与西方企业相比,我国企业在信息安全管理这条路上还有很长的路要走。
我国企业在信息管理上起步较晚,同时受制于观念,技术,人力等各个方面的因素,我国企业在信息安全管理上存在十分严重的漏洞。不仅如此,企业信息安全管理受到各方面的威胁,各类病毒层出不穷,钓鱼软件,木马也防不胜防,我国企业信息安全管理所面临的考验十分严峻。企业的信息安全管理不仅仅是企业自身的事,企业是我国经济发展最重要的角色,倘若我国企业在信息安全管理上存在漏洞,这也将直接影响我国的经济发展,这并不是危言耸听。
因此,加强我国企业信息安全管理势在必行,必须采取有效的举措提升我国企业信息安全管理水平。开展我国企业信息安全管理工作不仅仅需要政府的支持,企业自身也应当充分认识到企业信息安全管理对于企业自身的重要性,企业信息安全管理并不是一件小事,理应得到足够的重视。下面本文将首先介绍影响我国企业信息安全管理的几点因素,结合各种影响我国企业信息安全的几点因素展开探讨,在此基础上,分析我国企业在信息安全管理中常用的手段,并通过借鉴国外优秀企业在信息安全管理的经验,对更好地完善我国企业信息安全管理提出几点意见与建议。
二、企业面临的信息安全管理风险
1.企业内部管理缺陷
企业要想提升信息安全管理的水平,其中很重要的一个步骤在于完善企业的管理制度。企业的信息安全管理会受到许许多多的因数影响,但是做好企业信息安全管理的基础在于提升企业的内部管理水平。企业内部管理的制度涉及到企业生产经营的方方面面,倘若企业在内部管理制度上存在缺陷,那么做好企业的信息安全管理也就无从谈起了。常见的影响企业信息安全管理的制度缺陷有以下几个方面。第一,企业对于企业内部信息安全管理的工作人员缺乏监督。企业信息安全管理必须建立在企业信息安全管理工作人员认知履行职责,规范操作的基础上,倘若企业对于信息安全管理的工作人员缺乏监督,那么久很难保证企业整个信息安全管理系统的行之有效。第二,企业对于企业内部信息安全管理工作人员缺乏培训,企业内部并没有指定相关的信息安全管理规章制度。要想完善企业的信息安全管理,就必须做到对企业内部信息安全管理的每一个环节都一丝不苟,对每一个可能存在信息安全漏洞的地方都要严格管理,对每一项信息安全管理的工作步骤都做明确要求。要想确保企业内部信息安全管理系统的平稳运行,只有从规范企业内部信息安全管理的行为规范上着手。第三,企业内部信息安全管理系统投入不足。这一点在我国大型企业上并不存在,我国大型企业拥有足够的资金,足够的人力资本,足够技术投入,相比较于我国中小型企业,在信息安全管理工作上具有较大的优势。可是,我国大型企业毕竟是少数,我国中小企业的数量十分巨大,中小企业并没有相应的资金,人员,技术投入,中小企业受制于现实条件,在信息安全管理系统上所做的工作严重不足,我国中小企业在信息安全上所面临的风险十分巨大。
2.影响企业信息安全管理的外部因素
影响我国企业信息安全管理的外部因素有许多。常见的影响我国企业信息安全管理的外部因素包括病毒,木马,钓鱼网站等等。不论是谁出于怎么样的目的破坏企业的信息安全,较为常见的手段也就是通过黑客攻击企业的信息安全管理系统。我国企业在应对黑客的攻击时往往处于较为被动的局面,一方面,黑客属于主动攻击,主动攻击的前提在于对于企业的内部信息安全管理系统有着较为全面的了解,并且往往已经掌握了企业内部信息安全管理系统所存在的安全漏洞,另一方面,我国绝大多数企业在信息安全管理系统的投入有限,企业内部信息安全管理的工作人员在技术手段上与黑客比较并没有优势。即使企业内部信息安全管理的工作人员最终能够战胜黑客,但是,由于缺乏完善的信息安全手段,对企业内部重要的信息保护不足,黑客对企业的信息安全所造成的影响往往也是致命的。反击黑客的攻击行为往往具有滞后性,因此,即使战胜了黑客,但是黑客对企业信息安全的攻击行为往往已经发生,企业必然会因此造成相应的损失,在现代企业经营管理信息化的背景下,这样的攻击行为对企业造成的损失往往是企业不能够承担的,很有可能影响一个企业最基本的生存。
三、完善企业信息安全管理的几点建议
1.建立信息安全密码
密码技术近年来在应用中不断成熟,越来越多企业开始将密码技术应用到企业信息安全管理中去,这是一个十分正确的选择。企业内部信息具有重要价值,密码技术是企业信息安全最为关键的一道屏障。密码的形式十分多样,企业应当根据自身情况正确选择密码的形式,密码技术是一项十分成熟的技术,应当得到更多的关注,并且将这项技术全面应用到企业内部信息安全管理当中去。企业内部信息得到密码的保护,能够在企业内部信息不慎泄露后得到最大化的保护,对于企业内部信息的密码也应当严格保密,做好相关的密码保护工作。
2.建立安全管理制度
企业信息安全管理制度的建立需要多方面的配合,同时,企业信息安全管理制度的建立是一项十分复杂的工作,必须在实践的过程中不断完善。建立企业内部信息安全管理制度是为了更加规范地保证企业内部信息的安全,也对企业内部信息安全管理人员的工作内容,工作步骤做了明确规定,这对于企业内部形成信息安全管理的长效机制具有重要价值。企业信息安全管理制度应当与企业的实际生产经营情况相结合,在尽可能不影响企业正常工作的前提下,对企业的信息安全作出明确规定。常见的规定包括定期组织企业内部信息安全管理工作人员进行信息安全的例行检查;对企业内部信息安全管理人员的工作做到全面监督,有效反馈等等。
3.建立数据库的备份与恢复机制
现如今,外界主动攻击企业信息安全的事件越来越频发,企业在被外界攻击信息安全后所造成的损失往往无法挽回,同时这些信息对于企业具有十分重要的价值,倘若能够及时恢复相关信息,能够在很大程度上减小企业所遭受的损失,因此,建立一套基于数据库信息备份与还原的信息安全管理机制十分重要。企业内部信息系统数据库的备份,可以有效保障企业信息系统非法入侵后的系统恢复工作。备份是对数据库内容保护最为稳定和容易的一种方法。当不稳定因素发生的时候,能够保证企业网络信息的正常运行。而恢复的理解,就是在不限定因素发展之后利用网络技术的备份功能用来对数据库内容进行重新恢复并正常使用的功能。
4.建立网络安全预警系统
篇2
中图分类号:U283.4 文献标识码:A
企业信息安全管理是运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的薄弱点,提出有针对性的抵御威胁的防护对策和控制措施,这是企业推进信息化进程和促进生产经营管理的重要内容,是保障企业信息系统正常运行、高效应用和健康发展的前提条件。
1我国企业信息安全管理存在的问题
1.1缺少企业信息安全的法规和规范。企业信息安全是一个比较新的领域,目前还缺少比较完善的法规,即便现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。
1.2存在物理安全风险。物理安全是指各种服务器、路由器、交换机、工作站等硬件设备和通信链路的安全。风险的来源有:水灾、火灾、雷击等自然灾害,人为的破坏或误操作外界的电磁干扰,设备固有的弱点或缺陷等。物理安全的威胁可以直接造成设备的损坏、系统和网络的不可用、数据的直接损坏或丢失等。
1.3信息外泄现象时有发生。进入信息化时代后,企业的诸多资料都由原先的纸介质变成了电子文档。电子文档的特点就是复制十分容易,许多跳槽的员工和竞争对手都会将这些资料通过各种手段带离企业。而且,在企业信息管理系统中,大量购、销、存等业务、财务数据、文档及客户资料,以存储介质形式存在于计算机中,由于电磁辐射或数据可访问性等弱点,受到人为和非人为因素的破坏。数据一旦遭到破坏,将会严重影响企业日常业务的正常运作。因此,保证数据的安全,就是保证企业的安全。
1.4缺少安全管理制度和责任性。目前企业的安全解决方案,基本上只是一个安全产品方案,这使人们误以为企业的信息安全只是信息技术部门的工作和责任,与其他人员不直接相关.但是一个企业的信息系统是企业全体人员参与的,因为他们才是企业信息系统的提供者和使用者,他们是影响信息安全系统能否达到预期要求的决定因素.
2加强我国企业信息安全管理的几点建议
2.1全面提高职工的信息安全知识素质,加强安全文化建设,提升防患水平,防微杜渐。对于信息安全工作的开展,不是系统管理部门的事,也不是系统使用部门的事,而是全体员工的事,必须要提高全体员工的信息安全意识。通过培训和考核等措施,提高员工对公司信息安全的认识,让信息安全成为业务开展的一部分,才能有效提高公司整体信息安全水平,也是信息安全工作得到有效的支持和推进。在此基础上,要建立适应21世纪知识经济时代的企业信息安全文化,只有加强安全文化建设,才能适应知识经济时代的发展。
2.2完善企业信息安全管理制度。首先,数据安全管理制度,即确保数据存储介质(设备)的安全;定时进行数据备份,备份数据必须异地存放;对数据的操作需经主管部门的审批、同意方可进行;数据的清除、整理工作需两人或两人以上在场,并由相关部门进行监督、记录。第二,准入管理制度。准入管理又称密码、权限管理,通过准入系统可以判断请求登录的用户是否是合法的、值得信任的。一个安全的准入系统则需要收集请求登录者的以下信息:一是请求方式。当同一网段在单位时间内多次请求登录或多次登录用户、密码错误者,就应在一定时间内封闭其所在网段的请求,并发出报警信号。二是系统安全验证,即对登录用户的操作系统进行安全证,并提示登录用户进行一系列的修复操作。三是检测设备自身数据是否被修改或篡改,并对登录户相应的操作进行记录备案。
2.3采取传统的信息安全防范策略。物理安全策略:包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等;网络安全策略:包括网络拓扑结构、网络设备的管理、网络安全访问措施、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等;数据加密策略:包括加密算法、适用范围、密钥交换和管理等;数据备份策略:包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等;身份认证及授权策略:包括认证及授权机制、方式、审计记录等;灾难恢复策略:包括负责人员、恢复机制、方式、归档管理、硬件、软件等;事故处理、紧急响应策略:包括响应小组、联系方式、事故处理计划、控制过程等。
2.4实施、检查和改进信息安全管理体制。企业应按照规划阶段编制安全管理体系文件的控制要求来实施活动,主要实施和运行ISMS方针、控制措施、过程和程序,包括安全策略、所选择的安全措施或控制、安全意识和培训程序等。在实施期间,企业应及时检查发现规划中存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。信息安全实施过程的效果如何,需要通过监视、审计、复查、评估等手段来进行检查,检查的依据就是计划阶段建立的安全策略、目标、程序,以及标准、法律法规和实践经验,检查的结果是进一步采取措施的依据。
2.5加强信息安全监控,保障信息系统安全运行。在信息安全监控、信息安全配置和系统访问控制方面,信息管理部门借助先进成熟的信息技术,充分挖掘和利用现有资源功能潜力,进一步提升企业信息系统的安全防范能力。例如,加强信息系统监控管理和风险评估,优化信息系统安全架构,开展入侵检测分析防范、核心网络冗余和服务器架构调整等工作,确保公司信息系统安全稳定运行。统一企业桌面安全管理体系,建立网络运维管理系统,加强接入层管理、桌面安全管理和安全监控管理,有效保障联网计算机的安全运行。优化企业内外网连接架构和访问控制策略,增加网络出口流量监控环节,使有限的网络带宽资源得到合理分配和充分利用。针对因特网浏览用户违规现象较多,造成非授权用户占用大量网络资源的问题,加强用户访问监控,严肃处理违规用户,加强保密教育,促进用户规范使用信息系统。
2.6构建信息安全管理团队。信息安全管理团队是由决策者、管理者以及计算机、信息、通讯、安全和网络技术等方面的专家为提升企业信息安全管理水平而组建的团队。信息安全管理团队是企业信息安全管理的直接管理者,其管理能力、技术能力的高低会直接影响到企业信息安全管理的效率。因此必须增加对企业内部信息安全管理人员、技术人员的定期培训,同时与外部专业技术企业建立长期有效的外部技术支持网络,才能对企业信息安全事件做出及时、快速、准确的响应,确定并及时排除突发事件,使企业的风险和损失最小化,最终形成一套有效的一体化管理体系,给企业带来更大的管理效益与管理效率的提升。
综上所述,随着网络普及和企业信息化业务的不断拓展,信息成为一种重要的战略资源,信息安全保障能力成为一个企业综合能力的重要组成部分。因此,要提高企业信息安全管理的效率,为企业决策提供信息支持,确保企业信息数据安全、可靠、真实,为企业发展和经营管理提供有力保障。
篇3
用户接口是用户操作界面以及用户私人信息管理。安全协议包括连接网络协议、用户个人身份确定协议等。通信接口的安全保障是依赖于安全协议的工作、在通常情况下,通信接口的实现方式包括两种:第一是用户在进入互联网时,才开启安全服务,并运行安全体制,用户所传输的信息都是经过系统的加密处理,然后被传输到互联网上,或者是数据链路,是比较透明的互联网信息传输与交换。此种方法很容易实现,而且不用对用户目前所使用的系统做一丝改动,用户所要投入的资金也比较少。第二种是修改目前的通信协议,在互联网与应用之间增加一个安全层,使信息的安全处理变得透明化以及自动化。安全管理系统是一个包含很多程序的软件包,主要负责用户界面上安全管理器的正常工作,可以使得用户很容易地控制计算机上信息的传输,保证安全。我们通常把这个系统安装在用户计算机的终端,或者是网络节点。安全支撑系统是整个安全管理系统最值得信任的一方,其物理安全以及逻辑安全是非常重要的,需要得到严密而全面的防护。
二、安全管理系统的实现
安全管理系统总共包括以上的内容,具体的实现有很多的问题,需要有条不紊的进行。以下是针对管理系统实现所采取的具体的实现步骤,按照这些步骤来一步一步进行,不会出现混乱的情况,而且条理清晰,可以降低出错的几率,也可以保证管理系统的质量。
(一)熟知互联网的状况,估计风险及各种木马攻击
互联网上的信息安全保障是很薄弱的一个环节,如果防护措施做不好,就会经常受到黑客的攻击,盗取信息,甚至泄露出去,造成个人或者是企业的损失。为了预防或者是击退这些攻击,需要全面地了解平时所有的攻击方式、攻击方位,还有要了解哪些部分是比较薄弱的地方,给予加强保护。只有掌握了攻击的全面资料,才可能有针对性地做出比较全面而可靠的保护措施。
(二)安全策略的制定与优化
安全管理系统需要一个明确的目标与原则,这就是安全策略。安全策略的优化需要考虑以下几个方面:第一需要从系统整体出发,咨询用户的需求,根据应用的环境来制定策略,这其中包含各个子系统的策略制定。第二需要考虑策略的制定会不会对原有的系统产生什么负面的影响,比如通信延时等。第三,策略的制定要方便用户对计算机的操作,包括控制,管理以及配置等。第四,用户界面要人性化。第五,投资的金额要少。
(三)安全模型
模型可以把抽象的问题具体化,使问题简单起来,不再那么复杂,寻求到更好地解决办法,制定更加完善的安全策略,就像是教师教学时经常使用各种模型,让学生容易理解深奥的问题。模型包括整个系统中的所有子系统,这些子系统在上面的内容已经有过阐述。
(四)安全服务的选择以及实现
应用密码技术,来实现向用户所保证的安全服务。这是一种现代的技术,能够保障整个系统的安全性,保护用户的私人信息,使用户不用再担心个人资料的泄漏,保障用户的个人利益。安全服务有两条实现的途径,分别为软件编程以及硬件芯片,其中在通过软件编程来实现安全服务时,需要注意机身的内存,优化系统的流程,增加程序运行时的稳定,以及降低运算时间。
篇4
1 引言
我国新安全观是以为核心的第三代领导集体根据当时国际形式提出“互信、互利、平等、协作”为原则的中国安全观。其具有丰富内涵与鲜明的特色,已被国际社会广泛接受和认可。新安全观在深化与完善阶段仍在与理论创新不断互动、磨合与有机统一。直至全球化不断发展的今天,当互联网技术已经覆盖了各个领域并产生深远影响的时候,特别是大数据背景下的信息量呈海量爆发时,网络信息安全管理问题成为中国新安全^环境下需首要面对的研究项目。
现有的网络信息安全控制体系中有很多信息安全管理的方法和策略,然而在面对大数据背景下的海量数据量时的能力明显不足。建立一套适应大数据背景的网络信息安全机制是当前网络信息安全管理研究的重点。本文通过对相关领域文献的收集与研究,从大数据背景下网络信息安全管理特点出发,提出了以安全控制三要素“人、环境、技术”为中心的控制模型,建立安全评价体系。技术路线为大数据环境下网络信息安全问题的提出相关概念控制要素控制机制评价体系控制策略。
2 基本理论
2.1 大数据的概念与作用特点
大数据概念指以计算机技术为基础的无法常规处理的操作数据,其出现表明了当前的信息技术的进化规模的庞大,需要采用更加高效、经济、智能的处理模式。
大数据存在数据规模巨大,数据海量的特性(Volume)、结构多样化,数据类型复杂特性(Variety)、有价值信息密度低特性(Value)、信息处理速度快特性(Velocity)、复杂性特性(Complexity)。简单来说即通过4V+C进行描述。大数据的作用总结为:
(1)新一代的信息技术的融合与应用的节点,即各网络技术的应用形态。
(2)信息产业发展的新途径,在信息服务领域会加快网络技术产业的发展。
(3)提升核心竞争力的关键因素,是保持社会稳定,加快经济发展,提升国家综合实力的重要手段。
(4)可改变相应的科学研究方法,如社会科学的基本研究方法的抽样调查不再具有普遍适用性。紧跟大数据时代特色成为学科发展新的方向。
2.2 网络信息安全的定义与特点
网络信息安全是一个全新的概念,还没有在各个国家之间形成统一的认知,自2001年联合国信息安全会议后,各国对网络信息安全的认识逐渐发展,达成共识的信息安全特征为信息的完整性、信息的保密性、信息的可用性、信息的可控性及信息抗否认性五个特征。我国的信息安全专家又将网络信息安全分解为环境、系统、程序与数据四个方面,即保证网络系统的软硬件与系统数据的安全。
网络信息安全与国家安全观中的政治安全、经济安全、军事安全息息相关而又不同于它们具有其自身独特特点,特点包括:
2.2.1 脆弱性
互联网的开放性决定了互联网是一个脆弱性的系统,开放程度越大脆弱性越高即安全性越低。主要表现在系统设计、维护等多个环节。
2.2.2 突发性
对网络信息安全造成突然性破坏的因素多是计算机病毒。计算机病毒具有破坏性、传播性、潜伏性、复制性和不可预测性,其突发程度能够迅速破坏或窃取系统中数据。全球性:互联网的互动与互联将全球一体化为“地球村”,互联网的完全开放特性使网络信息安全不分国界,不分地域。
2.3 目前网络信息安全控制机制与评价
目前的网络信息安全控制管理要素为:
(1)控制者,即网络信息安全管理者。
(2)控制对象,以人员、财务等资源为主要内容的信息数据库。
(3)控制手段与工具,管理者组织机构、原则、法规及管理方法等。在大数据背景下网络信息安全控制机制即是认定安全控制对象,组织管理者与工作人员针对网络信息安全问题进行有效分配任务,制定实用的管理规章制度的过程。
对当前网络信息安全控制的评价需坚持科学性原则。由于当前的大数据背景下的网络信息具有的综合特性,因此对其评价也应从全面性入手进行数据收集量化和简化评价。目前在评价方面的研究多为通过实践调查建立评价指标体系,该方法只能选择客观存在的评价指标而不能选择偶然因素影响下的指标。因此需要全面的选取指标以增大选取空间,还要量化评价因素最终才能够揭示事物的本来面目。
3 大数据与网络信息安全
3.1 大数据背景下网络信息安全问题的成因
大数据背景下的网络信息安全问题存在着安全事故趋势的上升、基础薄弱和时刻面临新挑战。其成因包括:
3.1.1 技术层面问题
技术层面问题又分为硬件设备缺陷和软件的后门及漏洞。网络战已然存在并屡屡发生,黑客利用漏洞与后门作为武器,使漏洞如军火一般大有市场,严重危害了网络的安全环境。
3.1.2 人员层面问题
人员的控制的影响是所有问题的根源,网络信息安全问题也是如此。从使用人员的安全防护意思,到技术人员的岗位责任心,到专业人员的钻空子,再到不法人员的非法获利都会对网络安全系统造成严重的危害,是影响网络信息安全的主体。
3.1.3 管理层面问题
网络信息安全管理制度与管理体系的不健全也会危及网络安全系数。表现为管理人员的不够重视、技术人员的麻痹大意、技术人员与使用者的教育及培训欠缺、监督机制的不完善。在新安全观背景下的网络信息安全已成为国家安全重要组成部分,所面临的形势相当严峻。对于我国基础薄弱的网络信息安全系统的建设是当前亟待解决的问题
3.2 针对大数据背景的管理机制构建要素
大数据背景下的网络信息安全具有以下特点,改变原有数据保护原则;巨大的价值诱惑引发数据有更大的安全隐患;技术发展将数据安全隐患进一步放大。我国相关法律的不健全使网络信息安全形势更加不容乐观。我国目前面临形势为大数据网络攻击危害巨大,用户隐私易泄露,存储存在隐患。根据以上特点难点,本文提出了控制职能的构成要三素“人员、环境、技术”,是对前文“控制者、控制对象、控制手段与工具”的职能要素进行的概括处理。大数据背景下的网络信息安全控制机制的建立将围绕这三要素展开:
3.2.1 将控制者开阔为网络控制人员,包括管理者本身和管理ο
针对我国目前网络信息安全管理工作现状与大数据的特殊性,首先需要网络信息服务提供商在处理用户数据的时候采取安全合理的操作流程,保护用户数据信息免受非法侵害。而服务提供商的运营行为需接受相关法律约束与监管,避免服务提供者在大数据利益驱使下对用户的主动侵害。同时,用户的个人信息知情权也应该得到有效维护,并在信息受到非法侵害时得到通知或警告。
3.2.2 将控制对象概括为“环境”,大数据背景下的网络环境包括网络设施、网络文化与网络政策性法律
网络设施的正常运转与维护是互联网运行的根本。面对大数据背景下的海量数据信息,降低存储成本、合理充分利用资源、构建存储于管理体系、挖掘计算机体系、升级网络设施、优化算法、提高系统吞吐率等一系列手段是保障网络信息安全的基础,健康的网络文化和完善的相关政策与法规保是网络信息安全控制机制的有效保障。
3.2.3 技术,是网络信息安全必不可少的要素
在大数据背景下安全技术首先从“防”做起,防火墙通过授权信息隔离内部与外部网络,具有防止作用。其次为“密”即数据加密技术,使数据在传输过程中的安全性得到一定的保障。再者为“控”即网络监控与检测技术,通过监控软件与监控硬件对外部入侵系统行为和无授权的内部用户行为进行处理。最后为“审”即安全审计技术,主要目的为:
(1)威慑警示潜在攻击者。
(2)测试系统控制情况,将其调整到与安全策略相一致。
(3)评估破坏事件程度,为恢复和追责提供依据。
(4)发挥系统管理员的协作作用。
3.3 根据管理机制要素建模
通过前文分析认为,大数据背景下建立网络信息安全管理机制模型应从“人员、环境、技术”三要素的角度出发。网络信息安全控制机制人员层模型如图1所示。
在网络信息安全管理机制中,网络信息安全问题的源头为网络用户的行为,而所要保障的也是网络用户的正当权益。因此人员处于核心地位,人员层为核心动力层。环境层则通过各种方式创造安全的网络环境,起到支撑作用。技术层则通过各种安全技术措施来构建防护层。在大数据背景下通过安全防护与实时监控两方面对信息安全进行控制管理,安全模型的构建也需要借助大数据信息安全技术以确保大数据下各个节点间安全通信。
4 结论
本文遵从国家新安全观的核心内容与实践要求,对网络信息安全的实际情况进行了分析调研。以大数据背景为着眼点,提出了大数据背景下的网络信息安全管理要素为“人员、环境、技术”,并提出网络信息安全管理机制,围绕三要素建立网络信息安全管理机制模型。分析验证了三要素对网络信息安全的影响作用,为大数据背景下的网络信息安全工作提供了理论指导和实践指导,为国家新安全观工作的开展提供了帮助。
参考文献
[1]刘海燕,黄睿,黄轩.基于主题爬虫的漏洞库维护系统[J].计算机与现代化,2014(08):67-70.
[2]孙国瑞,华锦芝,刘思帆,等.实时风险评估模型的研究与实现[J].计算机科学与探索,2015,9(04):462-474.
[3]黄国彬,郑琳.大数据信息安全风险框架及应对策略研究[J].图书馆学研究,2015(13):24-29.
[4]Benaroch M,Chernobai A,Goldstein J.An internal control perspective on the market value consequences of IT operational risk events[J].International Journal of Accounting Information Systems,2012,13(04):357-381.
作者简介
篇5
中图分类号:G647 文献标识码:A文章编号:1007-9599 (2011) 11-0000-02
To Strengthen the Campus Network Information Security Management
Liu Yong
(Guangdong Maoming Shi Gaoji Jigong Xuexiao,Maoming525000,China)
Abstract:Rapid development in information technology today,the campus network has penetrated into the campus life of each person,but the corresponding situation is a campus network information security has become increasingly prominent,which threaten the normal operation of the campus network,the consequences of the campus network breakdown,school work can not be carried out,serious influence the school is in normal operation,therefore,to strengthen the campus network security management is very important.
Keywords:Campus network;Campus network information;Security management
一、引言
前年茂名市政府免费为我校提供了一条10M的政府网光纤,我校由此组建了校园网。校园网的组建后,学校办公自动化得以实现,校内的教师与互联网世界的联系也越来越紧密,极大的提高了学校的教学水平和办公效率。但是随着校园网逐渐深入到我们每一教师的教学和工作当中,网络所常见的问题也一并出现在我们每一位教师的面前,例如有些教师经常使用U盘在校内的电脑上进行交换数据的操作;或者在上网时随意下载文件等原因,经常就导致了校内某些电脑中病毒,而中毒后的电脑自然就会对正在正常运行的校园网系统造成威胁,出现大量无效数据堵塞校园网网络,使网络出现突然变得缓慢等现象,甚至在蠕虫泛滥的局域网中,使校园网瘫痪的事件屡有发生,所以我们必须加强校园网信息安全管理,从而确保校园网安全、稳定、高效地运行。
二、校园网信息安全的解决思路
校园网通过信息接入点与外部互联网相连,校园范围内部所有计算机所组成的局域网我们将其称为内网;信息接入点外部的网络我们将它称为外网。基于资金、设备和技术所限,我们校园网信息安全最主要的工作是保证内网的安全、稳定、高效地运行。这要求我们从两方面入手:分别是校园网主干网络设备的安全和校园网的安全使用
(一)校园网内网的安全
由于资金、设备和技术所限,校园网外部的网络信息安全我们不用考虑,也轮不到我们去考虑,我们要充分考虑的是校园网内部的信息安全,采取确实有效的防范措施来防止校园网内部各电脑主机对网络主干设备进行攻击而导致系统崩溃,保证校园网正常运行。
(二)校园网内各用户主机的安全
校园网的网络运行环境是一个十分复杂的环境,各用户主机安装不同的操作系统,各用户的的电脑使用水平差异较大等原因,使得各用户的主机难以避免存在各种系统安全漏洞,不及时修补这些漏洞,就会给电脑病毒以可乘之机,而中毒后的校园网用户主机会对校园网主干设备造成影响。
(三)控制校园网计算机病毒
计算机病毒是校园网信息安全的头号杀手,必须做到有效控制。在校园网主干网络设备和各用户主机都要求安装有效的杀毒软件,并且及时对病毒库进行更新,定期进行杀毒操作,坚持将计算机病毒扼杀在萌芽状态,使其对校园网信息安全的危害降到最低。
三、加强校园网信息安全管理的具体措施
(一)构建网络防范措施
如果单位经济条件允许建议在网络信息接入点使用硬件防火墙,防火墙可在校园网内部“编织”好一张安全的大网,保证校园网正常运行,是目前非常有效的网络安全防范手段,它提供一整套的安全控制策略,包括访问控制(例如ACL策略)、数据包过滤和攻击防范等网络必需功能,能有效地检测和防范校园网各种病毒的攻击、入侵,监控网络异常通信,并对攻击的主机进行隔离等,是我们校园网信息安全最值得信赖的好助手。
由于每间学校的内部地理结构有差异,我们很难从物理方面划分VLAN,但我们可使用具有网管功能的交换机中的VLAN的技术优化校园网内部网络结构,增强网络的灵活性,并根据不同的区域划分不同的网段来限制相互间的访问,达到限制用户非法访问的目的。
使用静态IP,在校园内一定要将各用户主机的MAC地址与我们事先分配给他IP进行绑定,并详细登记各用户的资料,如使用人姓名、职务、办公室、IP、MAC、联系电话等资料,方便对中毒的电脑主机快速定位提供依据。
在校园网服务器端使用网络行为管理软件,例如IP-GUARD(威盾)、聚生网管等,实时扫描客户端的主机的使用情况、流量信息,分析网络带宽流量,防止大量的长时间的占用网络带宽、防止使用BT、电驴等独占带宽的下载方式,造成网络拥挤、繁忙,做到遇故障能及时准确地定位和排查。
通过上述措施,我们基本上能保证校园网内网的信息安全,将网络病毒对校园主干设备的攻击降到最低的程度,使校园网的主干网络设备正常运行。
(二)加强校园网信息安全教育,养成良好的电脑使用习惯
校园网信息安全涉及到校内每一位教师,因此对于校园网用户来说,要进一步提高网络信息安全意识,加强关于计算机信息安法律知识的学习,自觉规范操作行为,同时掌握一些有关信息安全技术和技能,养成良好的电脑使用习惯,把可能的危险排除在发生之前。对于个人而言,可从以下几个方面入手:
现在多数用户在电脑中病毒或者因为其他原因导致电脑系统崩溃后,首要的选择是重新安装电脑系统,而安装系统时普遍采用GHOST覆盖安装方法。这种方法的缺陷是虽然电脑暂时可以使用,但病毒依然有可能保留在电脑的C盘内,建议在系统安装时先格式化电脑的C盘,然后再采用GHOST覆盖进行覆盖安装,磁盘文件格式要采用NTFS格式,系统安装好后立刻进行全硬盘病毒扫描,可减少安全隐患。
及时对系统进行漏洞扫描、修补个人电脑的系统漏洞。现在网络上比较流行的一款软件360安全卫士就具有这方面的功能,它能及时扫描你的电脑系统是否还有容易被电脑黑客攻击的漏洞,并及时通知你修补这方面的漏洞。这里要注明一下的就是:有很多电脑用户为图方便不喜欢花时间做这方面的工作,理由就是我的电脑一旦中毒,我就重新安装系统。这种习惯在自己家里没什么大问题,但现在我们同处在一个校园网的大环境下,一台电脑中病毒就有可能会对整个校园网系统造成攻击,使大家都无法正常上网。因此我们应定期使用类似360安全卫士这类软件漏洞扫描、修补个人电脑的系统漏洞。
操作系统安装完成后,要对系统的安全策略进行必要的设置。如登录用户名和密码。用户权限的分配,共享目录的开放与否、磁盘空间的限制、注册表的安全配置、浏览器的安全等级等,使用系统默认的配置安全性较差。
使用个人防火墙和反病毒软件,目前互联网上的病毒非常猖獗,达几万种之多,传播途径也相当广泛。可通过u盘、光盘、电子邮件和利用系统漏洞进行主动病毒传播等,这就需要在用户计算机上安装防病毒软件来控制病毒的传播。在单机版的防病毒软件使用中,必须要定期或及时升级防病毒软件和病毒码特征库。现在互联网上很多杀毒软件功能强大而且都是免费的,例如360安全卫士、360杀毒等,如果我们能安装这类杀毒软件和防火墙,一般都足以抵御各类网络攻击,它能够在一定程度上保护操作系统信息不对外泄漏,也能监控个人电脑正在进行的网络连接,把有害的数据拒绝于门外。
四、结束语
校园网信息安全牵涉到校园内的每一个用户,想享用安全、稳定、高效的校园网络,我们必须加强校园网信息安全管理,确保校园网正常运行,让校园网络为我们的教学和办公的好助手。
参考文献:
