緒論:在尋找寫作靈感嗎?愛發(fā)表網(wǎng)為您精選了8篇信息安全管理�����,愿這些內(nèi)容能夠啟迪您的思維��,激發(fā)您的創(chuàng)作熱情�,歡迎您的閱讀與分享����!
篇1
關(guān)鍵詞:企業(yè)�;信息;安全管理
中圖分類號:U283.4 文獻(xiàn)標(biāo)識碼:A
企業(yè)信息安全管理是運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的薄弱點(diǎn)����,提出有針對性的抵御威脅的防護(hù)對策和控制措施��,這是企業(yè)推進(jìn)信息化進(jìn)程和促進(jìn)生產(chǎn)經(jīng)營管理的重要內(nèi)容,是保障企業(yè)信息系統(tǒng)正常運(yùn)行���、高效應(yīng)用和健康發(fā)展的前提條件����。
1我國企業(yè)信息安全管理存在的問題
1.1缺少企業(yè)信息安全的法規(guī)和規(guī)范����。企業(yè)信息安全是一個比較新的領(lǐng)域����,目前還缺少比較完善的法規(guī)����,即便現(xiàn)有的法規(guī),由于相關(guān)安全技術(shù)和手段還沒有成熟和標(biāo)準(zhǔn)化���,法規(guī)也不能很好地被執(zhí)行�����,安全標(biāo)準(zhǔn)和規(guī)范的缺少�,導(dǎo)致無從制定合理的安全策略并確保此策略能被有效執(zhí)行��。
1.2存在物理安全風(fēng)險(xiǎn)�。物理安全是指各種服務(wù)器、路由器����、交換機(jī)、工作站等硬件設(shè)備和通信鏈路的安全�����。風(fēng)險(xiǎn)的來源有:水災(zāi)�、火災(zāi)、雷擊等自然災(zāi)害�����,人為的破壞或誤操作外界的電磁干擾����,設(shè)備固有的弱點(diǎn)或缺陷等。物理安全的威脅可以直接造成設(shè)備的損壞�、系統(tǒng)和網(wǎng)絡(luò)的不可用、數(shù)據(jù)的直接損壞或丟失等�。
1.3信息外泄現(xiàn)象時有發(fā)生。進(jìn)入信息化時代后�����,企業(yè)的諸多資料都由原先的紙介質(zhì)變成了電子文檔����。電子文檔的特點(diǎn)就是復(fù)制十分容易,許多跳槽的員工和競爭對手都會將這些資料通過各種手段帶離企業(yè)���。而且�,在企業(yè)信息管理系統(tǒng)中,大量購�、銷、存等業(yè)務(wù)�、財(cái)務(wù)數(shù)據(jù)、文檔及客戶資料����,以存儲介質(zhì)形式存在于計(jì)算機(jī)中,由于電磁輻射或數(shù)據(jù)可訪問性等弱點(diǎn)��,受到人為和非人為因素的破壞�。數(shù)據(jù)一旦遭到破壞,將會嚴(yán)重影響企業(yè)日常業(yè)務(wù)的正常運(yùn)作���。因此��,保證數(shù)據(jù)的安全�����,就是保證企業(yè)的安全����。
1.4缺少安全管理制度和責(zé)任性。目前企業(yè)的安全解決方案�����,基本上只是一個安全產(chǎn)品方案���,這使人們誤以為企業(yè)的信息安全只是信息技術(shù)部門的工作和責(zé)任,與其他人員不直接相關(guān).但是一個企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的�����,因?yàn)樗麄儾攀瞧髽I(yè)信息系統(tǒng)的提供者和使用者����,他們是影響信息安全系統(tǒng)能否達(dá)到預(yù)期要求的決定因素.
2加強(qiáng)我國企業(yè)信息安全管理的幾點(diǎn)建議
2.1全面提高職工的信息安全知識素質(zhì),加強(qiáng)安全文化建設(shè)�,提升防患水平�,防微杜漸。對于信息安全工作的開展,不是系統(tǒng)管理部門的事��,也不是系統(tǒng)使用部門的事�����,而是全體員工的事,必須要提高全體員工的信息安全意識。通過培訓(xùn)和考核等措施,提高員工對公司信息安全的認(rèn)識�,讓信息安全成為業(yè)務(wù)開展的一部分,才能有效提高公司整體信息安全水平�,也是信息安全工作得到有效的支持和推進(jìn)���。在此基礎(chǔ)上�,要建立適應(yīng)21世紀(jì)知識經(jīng)濟(jì)時代的企業(yè)信息安全文化,只有加強(qiáng)安全文化建設(shè)��,才能適應(yīng)知識經(jīng)濟(jì)時代的發(fā)展����。
2.2完善企業(yè)信息安全管理制度��。首先,數(shù)據(jù)安全管理制度����,即確保數(shù)據(jù)存儲介質(zhì)(設(shè)備)的安全;定時進(jìn)行數(shù)據(jù)備份�,備份數(shù)據(jù)必須異地存放;對數(shù)據(jù)的操作需經(jīng)主管部門的審批����、同意方可進(jìn)行;數(shù)據(jù)的清除�、整理工作需兩人或兩人以上在場,并由相關(guān)部門進(jìn)行監(jiān)督�、記錄。第二�����,準(zhǔn)入管理制度���。準(zhǔn)入管理又稱密碼���、權(quán)限管理��,通過準(zhǔn)入系統(tǒng)可以判斷請求登錄的用戶是否是合法的��、值得信任的�。一個安全的準(zhǔn)入系統(tǒng)則需要收集請求登錄者的以下信息:一是請求方式����。當(dāng)同一網(wǎng)段在單位時間內(nèi)多次請求登錄或多次登錄用戶、密碼錯誤者���,就應(yīng)在一定時間內(nèi)封閉其所在網(wǎng)段的請求�,并發(fā)出報(bào)警信號���。二是系統(tǒng)安全驗(yàn)證�,即對登錄用戶的操作系統(tǒng)進(jìn)行安全證��,并提示登錄用戶進(jìn)行一系列的修復(fù)操作�����。三是檢測設(shè)備自身數(shù)據(jù)是否被修改或篡改���,并對登錄戶相應(yīng)的操作進(jìn)行記錄備案�����。
2.3采取傳統(tǒng)的信息安全防范策略�。物理安全策略:包括環(huán)境安全�����、設(shè)備安全���、媒體安全�、信息資產(chǎn)的物理分布���、人員的訪問控制�����、審計(jì)記錄��、異常情況的追查等��;網(wǎng)絡(luò)安全策略:包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�����、網(wǎng)絡(luò)設(shè)備的管理���、網(wǎng)絡(luò)安全訪問措施�����、安全掃描����、遠(yuǎn)程訪問��、不同級別網(wǎng)絡(luò)的訪問控制方式��、識別/認(rèn)證機(jī)制等�����;數(shù)據(jù)加密策略:包括加密算法���、適用范圍����、密鑰交換和管理等��;數(shù)據(jù)備份策略:包括適用范圍���、備份方式���、備份數(shù)據(jù)的安全存儲、備份周期�����、負(fù)責(zé)人等�����;身份認(rèn)證及授權(quán)策略:包括認(rèn)證及授權(quán)機(jī)制��、方式�����、審計(jì)記錄等����;災(zāi)難恢復(fù)策略:包括負(fù)責(zé)人員���、恢復(fù)機(jī)制、方式��、歸檔管理�����、硬件���、軟件等����;事故處理�、緊急響應(yīng)策略:包括響應(yīng)小組、聯(lián)系方式����、事故處理計(jì)劃、控制過程等����。
2.4實(shí)施、檢查和改進(jìn)信息安全管理體制��。企業(yè)應(yīng)按照規(guī)劃階段編制安全管理體系文件的控制要求來實(shí)施活動,主要實(shí)施和運(yùn)行ISMS方針��、控制措施��、過程和程序�����,包括安全策略�、所選擇的安全措施或控制����、安全意識和培訓(xùn)程序等。在實(shí)施期間�����,企業(yè)應(yīng)及時檢查發(fā)現(xiàn)規(guī)劃中存在的問題����,找出問題根源,采取糾正措施����,并按照更改控制程序要求對體系予以更改��,以達(dá)到進(jìn)一步完善信息安全管理體系的目的����。信息安全實(shí)施過程的效果如何�����,需要通過監(jiān)視�、審計(jì)、復(fù)查����、評估等手段來進(jìn)行檢查,檢查的依據(jù)就是計(jì)劃階段建立的安全策略�����、目標(biāo)���、程序����,以及標(biāo)準(zhǔn)�、法律法規(guī)和實(shí)踐經(jīng)驗(yàn)�,檢查的結(jié)果是進(jìn)一步采取措施的依據(jù)�����。
2.5加強(qiáng)信息安全監(jiān)控����,保障信息系統(tǒng)安全運(yùn)行�����。在信息安全監(jiān)控��、信息安全配置和系統(tǒng)訪問控制方面����,信息管理部門借助先進(jìn)成熟的信息技術(shù),充分挖掘和利用現(xiàn)有資源功能潛力��,進(jìn)一步提升企業(yè)信息系統(tǒng)的安全防范能力���。例如����,加強(qiáng)信息系統(tǒng)監(jiān)控管理和風(fēng)險(xiǎn)評估,優(yōu)化信息系統(tǒng)安全架構(gòu)�,開展入侵檢測分析防范、核心網(wǎng)絡(luò)冗余和服務(wù)器架構(gòu)調(diào)整等工作��,確保公司信息系統(tǒng)安全穩(wěn)定運(yùn)行����。統(tǒng)一企業(yè)桌面安全管理體系,建立網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)���,加強(qiáng)接入層管理�����、桌面安全管理和安全監(jiān)控管理�����,有效保障聯(lián)網(wǎng)計(jì)算機(jī)的安全運(yùn)行��。優(yōu)化企業(yè)內(nèi)外網(wǎng)連接架構(gòu)和訪問控制策略����,增加網(wǎng)絡(luò)出口流量監(jiān)控環(huán)節(jié),使有限的網(wǎng)絡(luò)帶寬資源得到合理分配和充分利用�����。針對因特網(wǎng)瀏覽用戶違規(guī)現(xiàn)象較多�,造成非授權(quán)用戶占用大量網(wǎng)絡(luò)資源的問題,加強(qiáng)用戶訪問監(jiān)控����,嚴(yán)肅處理違規(guī)用戶,加強(qiáng)保密教育���,促進(jìn)用戶規(guī)范使用信息系統(tǒng)。
2.6構(gòu)建信息安全管理團(tuán)隊(duì)����。信息安全管理團(tuán)隊(duì)是由決策者、管理者以及計(jì)算機(jī)�����、信息�����、通訊、安全和網(wǎng)絡(luò)技術(shù)等方面的專家為提升企業(yè)信息安全管理水平而組建的團(tuán)隊(duì)��。信息安全管理團(tuán)隊(duì)是企業(yè)信息安全管理的直接管理者��,其管理能力���、技術(shù)能力的高低會直接影響到企業(yè)信息安全管理的效率���。因此必須增加對企業(yè)內(nèi)部信息安全管理人員、技術(shù)人員的定期培訓(xùn)�,同時與外部專業(yè)技術(shù)企業(yè)建立長期有效的外部技術(shù)支持網(wǎng)絡(luò),才能對企業(yè)信息安全事件做出及時�����、快速�����、準(zhǔn)確的響應(yīng)�����,確定并及時排除突發(fā)事件��,使企業(yè)的風(fēng)險(xiǎn)和損失最小化,最終形成一套有效的一體化管理體系�����,給企業(yè)帶來更大的管理效益與管理效率的提升�����。
綜上所述�����,隨著網(wǎng)絡(luò)普及和企業(yè)信息化業(yè)務(wù)的不斷拓展�,信息成為一種重要的戰(zhàn)略資源,信息安全保障能力成為一個企業(yè)綜合能力的重要組成部分�。因此���,要提高企業(yè)信息安全管理的效率�����,為企業(yè)決策提供信息支持���,確保企業(yè)信息數(shù)據(jù)安全、可靠、真實(shí)�,為企業(yè)發(fā)展和經(jīng)營管理提供有力保障。
參考文獻(xiàn)
篇2
關(guān)鍵詞:石油企業(yè);信息安全;管理手段
0引言
隨著信息化建設(shè)進(jìn)程飛速發(fā)展���,作為信息載體的計(jì)算機(jī)����、互聯(lián)網(wǎng)已在企業(yè)生產(chǎn)��、經(jīng)營管理各個層面得到廣泛應(yīng)用���。計(jì)算機(jī)網(wǎng)絡(luò)的開放性���、靈活性和廣泛性在全面數(shù)字化的今天給經(jīng)營管理帶來了便捷、高效��、有序的工作環(huán)境���,同時也帶來了較大的安全管理隱患�。黑客的出現(xiàn)����、安全漏洞的增多�、管理的交叉混亂����、惡意的網(wǎng)絡(luò)攻擊使網(wǎng)絡(luò)安全管理遭受了較大的沖擊,成為信息化健康發(fā)展的絆腳石���。網(wǎng)絡(luò)信息管理疏于安全的防范將危及到企業(yè)生產(chǎn)經(jīng)濟(jì)的有序發(fā)展����。石油企業(yè)在國民經(jīng)濟(jì)中發(fā)揮著重要作用�����,任何風(fēng)險(xiǎn)都可能導(dǎo)致國家經(jīng)濟(jì)受到重大影響����。因此,提高石油企業(yè)信息安全意識���,加強(qiáng)信息管理應(yīng)以保瘴服務(wù)和應(yīng)用為目標(biāo),強(qiáng)化安全意識��、制定周密的安全手段從而構(gòu)建完善的信息安全管理體系���。
1加強(qiáng)企業(yè)信息管理的必要性
1.1企業(yè)信息管理概念
企業(yè)信息管理是通過現(xiàn)代化的信息技術(shù)和設(shè)備���,以網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)企業(yè)管理的自動化�,進(jìn)而對企業(yè)進(jìn)行全方位和多角度的管理���,以此來促進(jìn)企業(yè)生產(chǎn)���、經(jīng)營管理的優(yōu)化配置,進(jìn)而通過企業(yè)資源的開發(fā)和信息技術(shù)的有效利用來提高企業(yè)的管理水平����,增強(qiáng)企業(yè)的核心競爭力。企業(yè)信息管理的主要內(nèi)容�,一般包括企業(yè)未來的經(jīng)濟(jì)形勢分析、預(yù)測資料��、資源的可獲量����、市場和競爭對手的發(fā)展動向,以及政府政策與政治情況的環(huán)境變化等等�����。企業(yè)信息管理與制訂企業(yè)發(fā)展戰(zhàn)略、制訂規(guī)劃�����、合理地分配資源是密切相關(guān)的�����。同時��,企業(yè)的信息管理也應(yīng)當(dāng)包括企業(yè)內(nèi)部的信息資源�����,如財(cái)務(wù)管理信息��、物資庫存���、鉆井施工����、職工檔案管理等多方面的內(nèi)容��,并且促進(jìn)企業(yè)的全面發(fā)展����。
1.2企業(yè)信息安全管理的必要性
企業(yè)信息的存在方式有著多樣性,而進(jìn)行企業(yè)安全信息管理的主要目的�����,在于保護(hù)企業(yè)的信息安全���,保證企業(yè)能夠順利的參與到市場經(jīng)濟(jì)活動中��,進(jìn)而提高企業(yè)的經(jīng)濟(jì)效益和社會效益��,構(gòu)筑起信息安全管理系統(tǒng)的保密性��、完整性���、可用性、可維護(hù)性�����、可驗(yàn)證性的目標(biāo)�,使企業(yè)安全信息管理能夠通過有效的控制措施來實(shí)現(xiàn)。第一����,企業(yè)管理的信息具有很強(qiáng)的保密性和完整性的特點(diǎn)����,因此其對于企業(yè)的生產(chǎn)勢力���、科技含量���、資金流動、企業(yè)的綜合競爭力等多方面都有著重要的影響�,同時對于企業(yè)的商業(yè)形象與合法經(jīng)營也至關(guān)重要,因此加強(qiáng)企業(yè)信息安全管理是必要的��。第二���,由于網(wǎng)絡(luò)自身所具有的開放性特性���,決定了企業(yè)信息管理也面臨著來自各方面的安全威脅,比如計(jì)算機(jī)病毒��、黑客等��,以及計(jì)算機(jī)詐騙、泄密等問題����,也說明了加強(qiáng)企業(yè)信息安全管理勢在必行�。第三,企業(yè)對于信息系統(tǒng)產(chǎn)生的依賴也從另一方面暴露出了信息管理系統(tǒng)的脆弱���,公共網(wǎng)絡(luò)與私人網(wǎng)絡(luò)的連接增強(qiáng)了信息的控制難度���,使得信息在分散化的管理模式下,集中�����、專業(yè)控制的有效性大大減弱��。另外����,由于很多信息管理系統(tǒng)設(shè)計(jì)的缺陷,其自身就存在著不合理之處����,這對于信息安全管理也帶來了一定的難度。基于此�����,對于企業(yè)信息管理的安全性也成為了當(dāng)前企業(yè)管理面臨的一個重大課題����。
2加強(qiáng)企業(yè)信息管理安全的防范措施
2.1不斷完善信息管理系統(tǒng)
隨著企業(yè)信息化的發(fā)展,目前應(yīng)用的管理系統(tǒng)有PKI��、郵箱�����、AD域�����、普OA���、合同系統(tǒng)�、A6�����、ERP、網(wǎng)絡(luò)���、操作系統(tǒng)����、A7����、檔案系統(tǒng)��、物采系統(tǒng)�����、OSC��、視頻會議��、企業(yè)微信��、門戶網(wǎng)站�����、寶石花、數(shù)字營房���、會議保障��、E2���、一體化、RTX��、移動應(yīng)用��、短信平臺��。信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行越來越重要��,一旦系統(tǒng)中斷�,將會給企業(yè)的生產(chǎn)經(jīng)營管理帶來混亂�����,而數(shù)據(jù)一旦丟失����,后果是不可估量的��。為此�,信息管理系統(tǒng)的投入和使用����,是建立在充分的實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上,通過一段時間的運(yùn)行和觀察����,才能夠投入使用。在不同的部門進(jìn)行信息系統(tǒng)的引入時���,應(yīng)當(dāng)按照部門的實(shí)際情況,通過多方引進(jìn)���,使用統(tǒng)一的信息管理系統(tǒng)����。對于信息安全來說����,首先要解決的就是系統(tǒng)是否能夠通過安全驗(yàn)證對用戶進(jìn)行有效的管理,并且賦予不同等級的用戶不同的使用權(quán)限���,這樣則能夠有效的防止無權(quán)訪問信息的用戶對核心區(qū)域的訪問�����,保證信息不會被盜用���。同時,為保證信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行�����,應(yīng)采用雙機(jī)服務(wù)器和從服務(wù)器��。一旦發(fā)生服務(wù)器故障���,由從服務(wù)器自動接替主服務(wù)器工作��。
2.2有效的設(shè)備管理
設(shè)備安全主要涉及到由于自然災(zāi)害�����、人為因素造成的數(shù)據(jù)丟失。信息安全應(yīng)建設(shè)完善的容災(zāi)備份系統(tǒng)����,容災(zāi)備份系統(tǒng)一般由兩個數(shù)據(jù)中心構(gòu)成,主中心和備份中心���。通過異地?cái)?shù)據(jù)備份,實(shí)時地將主中心數(shù)據(jù)拷貝至備份中心存儲系統(tǒng)中���,使主中心存儲數(shù)據(jù)與備份中心數(shù)據(jù)完全保持一致。同時���,對于管理系統(tǒng)中使用的設(shè)備品牌�、機(jī)型、內(nèi)部配置以及使用時間等信息都要進(jìn)行專門的記錄���,通過這些記錄�����,定期對設(shè)備進(jìn)行維護(hù),同時也能夠通過這些信息判斷出信息的使用效率以及運(yùn)行情況����,對于設(shè)備的損壞或者是丟失情況都能夠及時地了解。
2.3加強(qiáng)對人員的監(jiān)督與管理
企業(yè)信息安全不單純是技術(shù)問題����,而是一個綜合性的問題�。其中最重要的因素是人����,人是設(shè)備的主要操作者,因此對于信息的安全管理����,就需要加強(qiáng)對人的管理,需要操作人員具有足夠的安全意識��,對于每一位操作人員進(jìn)行相關(guān)的培訓(xùn)���,對于唯一的用戶名和密碼等信息要進(jìn)行妥善保管���,同時讓操作人員認(rèn)識到泄密會導(dǎo)致的嚴(yán)重后果����,增強(qiáng)責(zé)任意識�����。只有通過不斷地學(xué)習(xí)及意識的培養(yǎng)�����,管理人員才能養(yǎng)成定期維護(hù)����、按時打補(bǔ)丁、及時更新的操作習(xí)慣���,以不變應(yīng)萬變的態(tài)度應(yīng)對各種網(wǎng)絡(luò)攻擊手段�����。通過不斷的加強(qiáng)過程管理,通過對每個細(xì)節(jié)的嚴(yán)密審查��,能夠有效減少人為出錯的現(xiàn)象,同時通過科學(xué)的評價機(jī)制和激勵機(jī)制�����,刺激人員工作的積極性�,加強(qiáng)自身的責(zé)任意識。
2.4網(wǎng)絡(luò)傳輸安全
篇3
關(guān)鍵詞:信息安全�;管理體系;ISMS
中圖分類號:TP315 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-8631(2010)05-0171-02
一�����、概述
當(dāng)前���,信息資源的開發(fā)和利用���,已成為信息化建設(shè)的核心。信息作為一種重要的資產(chǎn)��,已成為大家的共識�。其一旦損毀、丟失��、或被不失當(dāng)?shù)仄毓狻o組織帶來一系列損失��。這些損失是我們不愿意面對的�。因此信息安全越來越成為大家關(guān)注的熱點(diǎn)問題。前國家科技部部長徐冠華曾經(jīng)指出:“沒有信息安全保障的信息工程一定是豆腐渣工程”���。
所謂信息安全�,是針對技術(shù)和管理來說的����,為信息處理體統(tǒng)提供安全保護(hù),保護(hù)計(jì)算機(jī)軟硬件及信息內(nèi)容不因偶然意外和惡意的原因而遭到破壞�、更改和泄漏。信息安全包括實(shí)體安全�、運(yùn)行安全、信息(針對信息內(nèi)容)安全和管理安全四個方面:
1)實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備�、網(wǎng)絡(luò)設(shè)施以及其他通信與存儲介質(zhì)免遭地震、水災(zāi)����、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施���、過程�����。
2)運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)����。提供一套安全措施(如風(fēng)險(xiǎn)分析���、審計(jì)跟蹤�、備份與恢復(fù)����、應(yīng)急措施)來保護(hù)信息處理過程的安全。
3)信息安全是指防止信息資源的非授權(quán)泄漏���、更改�、破壞����,或使信息被非法系統(tǒng)辨別、控制和否認(rèn)�����。即確保信息的完整性、機(jī)密性��、可用性和可控性���。
4)管理安全是指通過信息安全相關(guān)的法律法令和規(guī)章制度以及安全管理手段,確保系統(tǒng)安全生存和運(yùn)營�����。
信息安全是一個多層面��、多因素�����、綜合和動態(tài)的過程��。安全措施必須滲透到所有的環(huán)節(jié)���。才能獲得全面的保護(hù)���。為了防范和減少風(fēng)險(xiǎn),一般的信息系統(tǒng)都部署了基本的防御和檢測體系�,如防火墻���、防病毒軟件、入侵檢測系統(tǒng)���、漏洞掃描設(shè)備等等。這些安全技術(shù)和安全設(shè)備及軟件的應(yīng)用�,在很大程度上提高了信息系統(tǒng)的安全性。但是這樣做不能從根本上降低安全風(fēng)險(xiǎn)����。解決安全問題。因?yàn)椴荒馨研畔踩珕栴}僅僅當(dāng)做是技術(shù)問題���,日常所說的防范黑客入侵和病毒感染只能是信息安全問題的一個方面��。一方面由于所有安全產(chǎn)品的功能都是針對某一類問題�����,并不能應(yīng)用到所有問題上��,所以說它們的功能相對比較狹窄�,因此想通過設(shè)置安全產(chǎn)品來徹底解決信息安全問題是不可能的����;另一方面����,信息安全問題并不是固定的�����、靜態(tài)的���,它會隨著信息系統(tǒng)和操作流程的改變而變化����。而設(shè)置安全產(chǎn)品則是一種靜態(tài)的解決辦法�����。一般情況下����,當(dāng)產(chǎn)品安裝和配置一段時期后,舊的問題解決了����。新的安全問題就會產(chǎn)生���,安全產(chǎn)品無法進(jìn)行動態(tài)調(diào)整來適應(yīng)安全問題的變化。有效解決上述問題的關(guān)鍵是搭建一個信息安全體系�����。建設(shè)體系化管理手段���,通過安全產(chǎn)品的輔助,從而保障信息系統(tǒng)的安全�。
二、搭建信息安全管理體系
(一)BS7799
信息安全管理體系是安全管理和安全控制的有效結(jié)合體�,通過分析信息安全各個環(huán)節(jié)的實(shí)際需求情況和風(fēng)險(xiǎn)情況,建立科學(xué)合理的安全控制措施��,并且同信息系統(tǒng)審計(jì)相結(jié)合����,從而保證信息資產(chǎn)的安全性、完整性和可用性�����。國際上制定的信息安全管理標(biāo)準(zhǔn)主要有:英國標(biāo)準(zhǔn)協(xié)會制定的信息安全管理體系標(biāo)準(zhǔn)-BS7799��;國際信息系統(tǒng)審計(jì)與控制協(xié)會制定的信息和相關(guān)技術(shù)控制目標(biāo)-COBIT;是目前國際上通用的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)����;英國政府的中央計(jì)算機(jī)和通信機(jī)構(gòu)提出的一套IT服務(wù)管理標(biāo)準(zhǔn)-ITIL;國際標(biāo)準(zhǔn)化組織(IS01和國際電工委員會(IEC)所制定信息安全管理標(biāo)準(zhǔn)-IS0/IECl335���。其中BS7799英國的工業(yè)����、政府和商業(yè)共同需求而發(fā)展的一個標(biāo)準(zhǔn)�����,于1995年2月制定的���、世界上第一個信息安全管理體系標(biāo)準(zhǔn)���。經(jīng)過不斷的修訂,目前已經(jīng)成為信息安全管理領(lǐng)域的權(quán)威標(biāo)準(zhǔn)�。其兩個組成部分目前已分別成為IS017799和IS027001標(biāo)準(zhǔn)。BST799涵蓋了安全所應(yīng)涉及的方方面面����,全面而不失操作性�����,提供了一個可持續(xù)發(fā)展提高的信息安全管理環(huán)境�����。在該標(biāo)準(zhǔn)中��,信息安全已經(jīng)不只是人們傳統(tǒng)上所講的安全��,而是成為一種系統(tǒng)化和全局化的觀念���。和以往的安全體系相比���,該標(biāo)準(zhǔn)提出的信息安全管理體系(SMS)具有系統(tǒng)化���、程序化和文檔化的管理特點(diǎn)。
(二)息安全管理體系(ISMs)
信息安全管理體系(LSMS)是組織整體管理體系的一個重要組成部分�,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系���?����;趯I(yè)務(wù)風(fēng)險(xiǎn)的分析和認(rèn)識����,ISMS包括建立、實(shí)施�����、操作��、監(jiān)視����、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列的管理活動��。IS027001是建立和維護(hù)信息安全管理體系的準(zhǔn)繩��,它一般是要求通過確定的過程來建立ISMS框架:確定體系范圍�����,制定信息安全策略,明確管理職責(zé)���,通過風(fēng)險(xiǎn)評估確定控制目標(biāo)和控制方式�。整個體系一旦建立起來�����,組織就必須實(shí)施�����、維護(hù)和不斷改進(jìn)ISMS�,保持整個體系運(yùn)作的有效性。
(三)ISMS搭建步驟
當(dāng)一個組織建立和管理信息安全體系時��。BS7799提供了指導(dǎo)性的建議����,即遵循PDCA(Plan�����,Check和Act)的持續(xù)改進(jìn)的管理模式��。PDCA循環(huán)實(shí)際上是有效進(jìn)行任何一項(xiàng)工作的合乎邏輯的工作程序����。對于搭建和管理信息安全體系�,其PDCA過程如下:
1)信息安全體系(PLAN)
在PLAN階段通過風(fēng)險(xiǎn)評估來了解安全需求�,根據(jù)需求設(shè)計(jì)解決方案。根據(jù)BS7799-2����。搭建ISMS一般有如下步驟:
A、定義安全方針:信息安全方針是組織的信息安全委員會制定的高層文件���,用于指導(dǎo)組織如何對資產(chǎn)��,包括敏感信息進(jìn)行管理�����、保護(hù)和分配的規(guī)則和指示��。
B�����、定義1SMS的范圍:ISMS的范圍是需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域��,組織可根據(jù)自己的實(shí)際情況��。在整個組織范圍內(nèi)���、或者在個別部門或領(lǐng)域架構(gòu)ISMS���。
C、實(shí)施風(fēng)險(xiǎn)評估:首先對ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定或估計(jì)���,然后對信息資產(chǎn)面對的各種威脅和脆弱性進(jìn)行評估����,同時對已存在的或規(guī)劃的安全控制措施進(jìn)行鑒定���。
D��、風(fēng)險(xiǎn)管理:根據(jù)風(fēng)險(xiǎn)評估與現(xiàn)狀調(diào)查的結(jié)果�。確定安全需求�,決定如何對信息資產(chǎn)實(shí)施保護(hù)及保護(hù)到何種程度限(如接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)���、轉(zhuǎn)移風(fēng)險(xiǎn)或降低風(fēng)險(xiǎn))�。
E��、選擇控制目標(biāo)和控制措施:根據(jù)風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理的結(jié)果�,選擇合適的控制目標(biāo)和控制措施來滿足特定的安全需求?����?梢詮腂S7799-1的中進(jìn)行選擇�����,也可以應(yīng)選擇一些其它適宜的控制方式����。
F、準(zhǔn)備適用性申明(SOA):SOA是適合組織需要的控制目標(biāo)和控制的評論����,記錄組織內(nèi)相關(guān)的風(fēng)險(xiǎn)控制目標(biāo)和針對每種風(fēng)險(xiǎn)所采取的各種控制措施。
2)實(shí)施信息安全體系(D01
在DO階段將解決方案付諸實(shí)現(xiàn)��,實(shí)施組織所選擇的控制目標(biāo)與控制措施����。
3)檢查信息安全體系(cHECK)
在CH ECK階段進(jìn)行有關(guān)方針���、程序、標(biāo)準(zhǔn)與法律法規(guī)的符合性檢查�����,對存在的問題采取措施���,予以改進(jìn)�,以保證控制措施的有效運(yùn)行�。在此過程中,要根據(jù)風(fēng)險(xiǎn)評估的對象及范圍的變化情況��。以及時調(diào)整或完善控制措施��。常見的檢查措施有:日常檢查����、從其他處學(xué)習(xí)、內(nèi)部ISMS審核����、管理評審、趨勢分析等���。
4)改進(jìn)信息安全體系(ACT)
在ACT階段對ISMS進(jìn)行評價�。以檢查階段發(fā)現(xiàn)的問題為基礎(chǔ)����,尋求改進(jìn)的機(jī)會,采取相應(yīng)的措施進(jìn)行調(diào)整與改進(jìn)�。
篇4
關(guān)鍵詞:校園網(wǎng);校園網(wǎng)信息��;安全管理
中圖分類號:G647 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2011) 11-0000-02
To Strengthen the Campus Network Information Security Management
Liu Yong
(Guangdong Maoming Shi Gaoji Jigong Xuexiao,Maoming525000,China)
Abstract:Rapid development in information technology today,the campus network has penetrated into the campus life of each person,but the corresponding situation is a campus network information security has become increasingly prominent,which threaten the normal operation of the campus network,the consequences of the campus network breakdown,school work can not be carried out,serious influence the school is in normal operation,therefore,to strengthen the campus network security management is very important.
Keywords:Campus network;Campus network information;Security management
一��、引言
前年茂名市政府免費(fèi)為我校提供了一條10M的政府網(wǎng)光纖����,我校由此組建了校園網(wǎng)。校園網(wǎng)的組建后����,學(xué)校辦公自動化得以實(shí)現(xiàn),校內(nèi)的教師與互聯(lián)網(wǎng)世界的聯(lián)系也越來越緊密����,極大的提高了學(xué)校的教學(xué)水平和辦公效率。但是隨著校園網(wǎng)逐漸深入到我們每一教師的教學(xué)和工作當(dāng)中�����,網(wǎng)絡(luò)所常見的問題也一并出現(xiàn)在我們每一位教師的面前,例如有些教師經(jīng)常使用U盤在校內(nèi)的電腦上進(jìn)行交換數(shù)據(jù)的操作����;或者在上網(wǎng)時隨意下載文件等原因,經(jīng)常就導(dǎo)致了校內(nèi)某些電腦中病毒���,而中毒后的電腦自然就會對正在正常運(yùn)行的校園網(wǎng)系統(tǒng)造成威脅���,出現(xiàn)大量無效數(shù)據(jù)堵塞校園網(wǎng)網(wǎng)絡(luò),使網(wǎng)絡(luò)出現(xiàn)突然變得緩慢等現(xiàn)象�����,甚至在蠕蟲泛濫的局域網(wǎng)中�,使校園網(wǎng)癱瘓的事件屢有發(fā)生,所以我們必須加強(qiáng)校園網(wǎng)信息安全管理��,從而確保校園網(wǎng)安全���、穩(wěn)定����、高效地運(yùn)行。
二�、校園網(wǎng)信息安全的解決思路
校園網(wǎng)通過信息接入點(diǎn)與外部互聯(lián)網(wǎng)相連,校園范圍內(nèi)部所有計(jì)算機(jī)所組成的局域網(wǎng)我們將其稱為內(nèi)網(wǎng)���;信息接入點(diǎn)外部的網(wǎng)絡(luò)我們將它稱為外網(wǎng)���?����;谫Y金�、設(shè)備和技術(shù)所限,我們校園網(wǎng)信息安全最主要的工作是保證內(nèi)網(wǎng)的安全���、穩(wěn)定�����、高效地運(yùn)行。這要求我們從兩方面入手:分別是校園網(wǎng)主干網(wǎng)絡(luò)設(shè)備的安全和校園網(wǎng)的安全使用
(一)校園網(wǎng)內(nèi)網(wǎng)的安全
由于資金��、設(shè)備和技術(shù)所限,校園網(wǎng)外部的網(wǎng)絡(luò)信息安全我們不用考慮�����,也輪不到我們?nèi)タ紤]��,我們要充分考慮的是校園網(wǎng)內(nèi)部的信息安全,采取確實(shí)有效的防范措施來防止校園網(wǎng)內(nèi)部各電腦主機(jī)對網(wǎng)絡(luò)主干設(shè)備進(jìn)行攻擊而導(dǎo)致系統(tǒng)崩潰��,保證校園網(wǎng)正常運(yùn)行�����。
(二)校園網(wǎng)內(nèi)各用戶主機(jī)的安全
校園網(wǎng)的網(wǎng)絡(luò)運(yùn)行環(huán)境是一個十分復(fù)雜的環(huán)境��,各用戶主機(jī)安裝不同的操作系統(tǒng)�����,各用戶的的電腦使用水平差異較大等原因����,使得各用戶的主機(jī)難以避免存在各種系統(tǒng)安全漏洞�����,不及時修補(bǔ)這些漏洞��,就會給電腦病毒以可乘之機(jī)���,而中毒后的校園網(wǎng)用戶主機(jī)會對校園網(wǎng)主干設(shè)備造成影響�。
(三)控制校園網(wǎng)計(jì)算機(jī)病毒
計(jì)算機(jī)病毒是校園網(wǎng)信息安全的頭號殺手,必須做到有效控制。在校園網(wǎng)主干網(wǎng)絡(luò)設(shè)備和各用戶主機(jī)都要求安裝有效的殺毒軟件����,并且及時對病毒庫進(jìn)行更新,定期進(jìn)行殺毒操作��,堅(jiān)持將計(jì)算機(jī)病毒扼殺在萌芽狀態(tài)�����,使其對校園網(wǎng)信息安全的危害降到最低�����。
三��、加強(qiáng)校園網(wǎng)信息安全管理的具體措施
(一)構(gòu)建網(wǎng)絡(luò)防范措施
如果單位經(jīng)濟(jì)條件允許建議在網(wǎng)絡(luò)信息接入點(diǎn)使用硬件防火墻����,防火墻可在校園網(wǎng)內(nèi)部“編織”好一張安全的大網(wǎng)��,保證校園網(wǎng)正常運(yùn)行���,是目前非常有效的網(wǎng)絡(luò)安全防范手段�,它提供一整套的安全控制策略�,包括訪問控制(例如ACL策略)��、數(shù)據(jù)包過濾和攻擊防范等網(wǎng)絡(luò)必需功能,能有效地檢測和防范校園網(wǎng)各種病毒的攻擊、入侵�,監(jiān)控網(wǎng)絡(luò)異常通信�,并對攻擊的主機(jī)進(jìn)行隔離等�,是我們校園網(wǎng)信息安全最值得信賴的好助手�。
由于每間學(xué)校的內(nèi)部地理結(jié)構(gòu)有差異,我們很難從物理方面劃分VLAN�����,但我們可使用具有網(wǎng)管功能的交換機(jī)中的VLAN的技術(shù)優(yōu)化校園網(wǎng)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)�,增強(qiáng)網(wǎng)絡(luò)的靈活性�����,并根據(jù)不同的區(qū)域劃分不同的網(wǎng)段來限制相互間的訪問�����,達(dá)到限制用戶非法訪問的目的。
使用靜態(tài)IP,在校園內(nèi)一定要將各用戶主機(jī)的MAC地址與我們事先分配給他IP進(jìn)行綁定�,并詳細(xì)登記各用戶的資料�,如使用人姓名��、職務(wù)���、辦公室��、IP、MAC�����、聯(lián)系電話等資料���,方便對中毒的電腦主機(jī)快速定位提供依據(jù)����。
在校園網(wǎng)服務(wù)器端使用網(wǎng)絡(luò)行為管理軟件�����,例如IP-GUARD(威盾)�����、聚生網(wǎng)管等�,實(shí)時掃描客戶端的主機(jī)的使用情況、流量信息�����,分析網(wǎng)絡(luò)帶寬流量���,防止大量的長時間的占用網(wǎng)絡(luò)帶寬���、防止使用BT���、電驢等獨(dú)占帶寬的下載方式,造成網(wǎng)絡(luò)擁擠��、繁忙�,做到遇故障能及時準(zhǔn)確地定位和排查。
通過上述措施�,我們基本上能保證校園網(wǎng)內(nèi)網(wǎng)的信息安全,將網(wǎng)絡(luò)病毒對校園主干設(shè)備的攻擊降到最低的程度�,使校園網(wǎng)的主干網(wǎng)絡(luò)設(shè)備正常運(yùn)行。
(二)加強(qiáng)校園網(wǎng)信息安全教育�,養(yǎng)成良好的電腦使用習(xí)慣
校園網(wǎng)信息安全涉及到校內(nèi)每一位教師,因此對于校園網(wǎng)用戶來說��,要進(jìn)一步提高網(wǎng)絡(luò)信息安全意識����,加強(qiáng)關(guān)于計(jì)算機(jī)信息安法律知識的學(xué)習(xí),自覺規(guī)范操作行為�,同時掌握一些有關(guān)信息安全技術(shù)和技能,養(yǎng)成良好的電腦使用習(xí)慣�,把可能的危險(xiǎn)排除在發(fā)生之前�����。對于個人而言�����,可從以下幾個方面入手:
現(xiàn)在多數(shù)用戶在電腦中病毒或者因?yàn)槠渌驅(qū)е码娔X系統(tǒng)崩潰后�����,首要的選擇是重新安裝電腦系統(tǒng),而安裝系統(tǒng)時普遍采用GHOST覆蓋安裝方法�����。這種方法的缺陷是雖然電腦暫時可以使用��,但病毒依然有可能保留在電腦的C盤內(nèi)�,建議在系統(tǒng)安裝時先格式化電腦的C盤,然后再采用GHOST覆蓋進(jìn)行覆蓋安裝�,磁盤文件格式要采用NTFS格式,系統(tǒng)安裝好后立刻進(jìn)行全硬盤病毒掃描�,可減少安全隱患。
及時對系統(tǒng)進(jìn)行漏洞掃描����、修補(bǔ)個人電腦的系統(tǒng)漏洞?,F(xiàn)在網(wǎng)絡(luò)上比較流行的一款軟件360安全衛(wèi)士就具有這方面的功能���,它能及時掃描你的電腦系統(tǒng)是否還有容易被電腦黑客攻擊的漏洞�����,并及時通知你修補(bǔ)這方面的漏洞��。這里要注明一下的就是:有很多電腦用戶為圖方便不喜歡花時間做這方面的工作���,理由就是我的電腦一旦中毒,我就重新安裝系統(tǒng)�。這種習(xí)慣在自己家里沒什么大問題,但現(xiàn)在我們同處在一個校園網(wǎng)的大環(huán)境下��,一臺電腦中病毒就有可能會對整個校園網(wǎng)系統(tǒng)造成攻擊���,使大家都無法正常上網(wǎng)��。因此我們應(yīng)定期使用類似360安全衛(wèi)士這類軟件漏洞掃描����、修補(bǔ)個人電腦的系統(tǒng)漏洞。
操作系統(tǒng)安裝完成后����,要對系統(tǒng)的安全策略進(jìn)行必要的設(shè)置。如登錄用戶名和密碼�����。用戶權(quán)限的分配�����,共享目錄的開放與否���、磁盤空間的限制、注冊表的安全配置�、瀏覽器的安全等級等,使用系統(tǒng)默認(rèn)的配置安全性較差��。
使用個人防火墻和反病毒軟件����,目前互聯(lián)網(wǎng)上的病毒非常猖獗,達(dá)幾萬種之多�,傳播途徑也相當(dāng)廣泛�?���?赏ㄟ^u盤、光盤����、電子郵件和利用系統(tǒng)漏洞進(jìn)行主動病毒傳播等,這就需要在用戶計(jì)算機(jī)上安裝防病毒軟件來控制病毒的傳播���。在單機(jī)版的防病毒軟件使用中��,必須要定期或及時升級防病毒軟件和病毒碼特征庫?,F(xiàn)在互聯(lián)網(wǎng)上很多殺毒軟件功能強(qiáng)大而且都是免費(fèi)的����,例如360安全衛(wèi)士、360殺毒等����,如果我們能安裝這類殺毒軟件和防火墻,一般都足以抵御各類網(wǎng)絡(luò)攻擊���,它能夠在一定程度上保護(hù)操作系統(tǒng)信息不對外泄漏��,也能監(jiān)控個人電腦正在進(jìn)行的網(wǎng)絡(luò)連接���,把有害的數(shù)據(jù)拒絕于門外���。
四、結(jié)束語
校園網(wǎng)信息安全牽涉到校園內(nèi)的每一個用戶�����,想享用安全����、穩(wěn)定、高效的校園網(wǎng)絡(luò)���,我們必須加強(qiáng)校園網(wǎng)信息安全管理,確保校園網(wǎng)正常運(yùn)行��,讓校園網(wǎng)絡(luò)為我們的教學(xué)和辦公的好助手�。
參考文獻(xiàn):
[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第4版)[M].電子工業(yè)出版社
篇5
關(guān)鍵詞:信息安全等級保護(hù)信息安全管理體系
ComparisonofCPISandISMS
LiJun(InnerMongoliaAutonomousRegionPublicSecurity)
XieZongxiao(ChinaFinancialCertificationAuthority,CFCA)
Abstract:Basedontheanalysisofdefinitionofclassifiedprotectionofinformationsystem(CPIS)andinformationsecuritymanagementsystem(ISMS)�����,fromthelogicalframework,theimplementationofprocessesandcontrols����,wecomparedboth.
Keywords:informationSecurity,CPIS��,ISMS
1信息安全等級保護(hù)(CPIS)
信息安全等級保護(hù)����,或者信息系統(tǒng)安全等級保護(hù)(簡稱等級保護(hù)),在公文中��,一般是前者�,但是在標(biāo)準(zhǔn)中,例如��,最典型的GB/T22239—2008和GB/T22240—2008用的標(biāo)題是后者�。單就這2個標(biāo)準(zhǔn)而言的話,描述的對象卻是主要圍繞“信息系統(tǒng)安全”���,而不是廣義的“信息安全”����。當(dāng)然,本質(zhì)上來說����,等級是針對“信息系統(tǒng)”劃分的,而不是針對“信息”劃分的���。在實(shí)踐中����,這兩者不需要刻意區(qū)分���。等級保護(hù)具體的定義如下:
信息安全等級保護(hù)是指對國家秘密信息��、法人和其他組織及公民的專有信息以及公開信息和8SeEVmi7me7sxRCjGkySNg==存儲����、傳輸���、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)����,對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理���,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)�、處置��。
這個定義來自《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》(公通字〔2004〕66號1))[2��,3]�。
注意信息系統(tǒng)的定義:
信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的��,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行存儲���、傳輸����、處理的系統(tǒng)或者網(wǎng)絡(luò)����;信息是指在信息系統(tǒng)中存儲、傳輸�����、處理的數(shù)字化信息��。
信息系統(tǒng)的定義也來自《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》。更早的相關(guān)定義�����,應(yīng)該來自GB17859—1999����,其中的定義3.1,定義了計(jì)算機(jī)信息系統(tǒng)(computerinformationsystem)��,具體為:
計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備����、實(shí)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集�、加工、存儲����、傳輸、檢索等處理的人機(jī)系統(tǒng)�����。
這種人機(jī)系統(tǒng)的定義�,在實(shí)踐中不容易理解��,但是最接近學(xué)術(shù)中的最初理解,例如����,Davis(2000)[4]認(rèn)為信息系統(tǒng)包括信息技術(shù)設(shè)施、數(shù)據(jù)����、應(yīng)用系統(tǒng)和人員(informationtechnologyinfrastructure,data�,applicationsystems,andpersonnelthatemployITto...)
2信息安全管理體系(ISMS)
原則上說����,信息安全管理體系(簡稱ISMS)并不是一個專用術(shù)語,在較早版本的標(biāo)準(zhǔn)中2)對其進(jìn)行了定義3)����,滿足其中描述條件的應(yīng)該都是ISMS[5,6]�����。但實(shí)際情況是�����,由于這個術(shù)語起源于ISO/IEC27002和ISO/IEC27001的早期版本,屬于新生出來的一個詞匯��,其他文獻(xiàn)中�,就很少見到。所以在實(shí)踐中��,ISMS幾乎成了一個專用術(shù)語����。這如同,一提“質(zhì)量管理體系(QMS4))”�,大家就認(rèn)為是ISO9000標(biāo)準(zhǔn)族道理是一樣的。因?yàn)槟撤N產(chǎn)品過于普及��,就成為某類行為的代名詞����,這是很常見的現(xiàn)象。例如�����,你把快遞地址微信給我�����,或者,回頭我把文件QQ給你���。由于ISO/IEC27000標(biāo)準(zhǔn)族在全球范圍內(nèi)實(shí)施廣泛,在實(shí)踐中��,就會有此類對話����,例如:我們在做27001,意思是說��,我們在部署ISMS���,或者說�,我們在根據(jù)ISO/IEC27001部署信息安全�����。
換個說法����,ISMS是一整套的保障組織信息安全的方案(或方法)�����,是組織管理體系的一部分��,定義和指導(dǎo)ISMS的標(biāo)準(zhǔn)是ISO/IEC27000標(biāo)準(zhǔn)族���,而這其中,ISO/IEC27002和ISO/IEC27001是最重要也是出現(xiàn)最早的2個標(biāo)準(zhǔn)��。由于這個原因��,導(dǎo)致這一堆詞匯在實(shí)踐中開始混用���,而不必刻意地去區(qū)分����。因此����,在下文中,這幾個詞匯都認(rèn)為是同義詞:
·信息安全管理體系(ISMS);
·ISO/IEC27000標(biāo)準(zhǔn)族;
·ISO/IEC27002或ISO/IEC27001視上下文���,也可能是指代ISMS���。
3邏輯框架及實(shí)施流程的比較
等級保護(hù)是強(qiáng)制實(shí)施的,建立在一系列國家公文���、一個強(qiáng)制性標(biāo)準(zhǔn)以及諸多推薦性標(biāo)準(zhǔn)的基礎(chǔ)之上��。ISMS則是建立在國際互認(rèn)基礎(chǔ)上的推薦性的標(biāo)準(zhǔn)5)��,這導(dǎo)致兩者在框架上存在很大的區(qū)別。兩者的框架對比�����,如圖1所示����。
或者說,對于ISMS來說�,“組織(或企業(yè))自己負(fù)責(zé)正確的應(yīng)用6)”,目的是保護(hù)組織(或企業(yè))自身的利益��,(如果申請第三方認(rèn)證)同時向其他人證明組織有良好的信息安全管理水準(zhǔn)���。對于等級保護(hù)而言����,則是國家監(jiān)管機(jī)構(gòu)負(fù)責(zé)企業(yè)(或組織)正確的應(yīng)用,主要目的是為了保護(hù)國家和公眾利益�����。
4對“控制措施”理解的比較
等級保護(hù)的相關(guān)支持文件主要包括政府公文和國家標(biāo)準(zhǔn)����,也可以稱為“政策體系”和“標(biāo)準(zhǔn)體系”[2]。以一系列的公文作為依據(jù)���,是等級保護(hù)的一個特點(diǎn)�,倒不是因?yàn)镮SMS缺乏國家監(jiān)管����,而是因?yàn)镮SMS的監(jiān)管與其他管理體系(例如,ISO9000和ISO14000等)基本一致�����,整個的架構(gòu)設(shè)計(jì)倒顯得沒那么重要��。等級保護(hù)是一個全新的設(shè)計(jì),因此整個管理架構(gòu)就顯得非常重要�,例如,《信息安全等級保護(hù)管理辦法》(公安部〔2007〕43號)就是一個非常重要的公文����,從國家層面確立了等級劃分與保護(hù)、等級保護(hù)實(shí)施與管理以及可能涉及的分級保護(hù)管理等整個管理架構(gòu)����。
但是,就這兩者的框架而言�����,還存在一個不同�����,即如何理解“控制措施”7)���。簡而言之,等級保護(hù)部署“控制措施”為中心���,ISMS部署是以“控制目標(biāo)”8)為中心���。
這僅僅是一個描述方式的區(qū)別����,嚴(yán)格講�,等級保護(hù)也是以控制目標(biāo)為中心,雖然沒有非常明確��。因?yàn)樗械目刂拼胧?�,最終還是為了實(shí)現(xiàn)安全目標(biāo)���。但這兩者還是不同的����,在等級保護(hù)中����,一旦信息系統(tǒng)的等級被確定,控制措施都是確定的����,同時也要注意,等級本身已經(jīng)隱含了信息系統(tǒng)的控制目標(biāo)�。對于ISMS而言��,由于是自愿部署����,組織自己負(fù)責(zé)識別安全要求���,自己設(shè)定控制目標(biāo)����,之后自愿部署控制措施���。
通俗地講�,等級保護(hù)中����,是組織和監(jiān)管機(jī)構(gòu)共同確定(是組織確定,之后提交監(jiān)管機(jī)構(gòu)確認(rèn))信息系統(tǒng)等級(其中隱含著控制目標(biāo))����,然后按要求部署��。在ISMS中����,是組織自己確定控制目標(biāo)��,然后按照要求部署���,是一個自圓其說的邏輯。在下文中���,我們討論定級備案等過程�����,兩者的區(qū)別就很清晰了����。
當(dāng)然���,無論是等級保護(hù)還是ISMS�����,“控制”都是其核心內(nèi)容之一�����,在等級保護(hù)中表現(xiàn)為GB/T22239—2008��,在ISMS中表現(xiàn)為ISO/IEC27002:2013���。
在GB/T22239—2008中���,針對不同安全保護(hù)等級應(yīng)該具有的基本安全保護(hù)能力,提出基本安全要求���。標(biāo)準(zhǔn)的架構(gòu)���,如圖2所示。
在基本要求的基礎(chǔ)上���,自上而下又分為:類����、控制點(diǎn)和控制項(xiàng)[7]��。在圖2的10個大類中�,每個大類下面分為一系列的關(guān)鍵控制點(diǎn)���,控制點(diǎn)下又包括了具體的控制項(xiàng)��。本文中不再討論具體條款��,具體可以見參考文獻(xiàn)[8]���。
在ISO/IEC27002:2013中����,并不區(qū)分技術(shù)要求或管理要求�����,或者說��,不關(guān)心實(shí)現(xiàn)途徑�。其中控制的描述結(jié)構(gòu),自上而下又分為:類����、目標(biāo)和控制。具體而言���,就是包含了如表1所示���,ISO/IEC27002:2013描述了14個大類���,這些大類又細(xì)化為35個目標(biāo),接著由114項(xiàng)控制來實(shí)現(xiàn)相應(yīng)的目標(biāo)��。
具體到每一個主要安全控制類和控制的描述結(jié)構(gòu)�,參考ISO/IEC27002:2013中的描述,如下所述:
每一個主要安全控制類別包括11):
a)一個控制目標(biāo)�,聲明要實(shí)現(xiàn)什么;
b)一個或多個控制����,可被用于實(shí)現(xiàn)該控制目標(biāo)。
控制的描述結(jié)構(gòu)如下:
控制
為滿足控制目標(biāo)���,給出定義特定控制的陳述�。
實(shí)現(xiàn)指南
為支持該控制的實(shí)現(xiàn)并滿足控制目標(biāo)��,提供更詳細(xì)的信息��。該指南可能不能完全適用或不足以在所有情況下適用��,也可能不能滿足組織的特定控制要求。
其他信息
提供需要考慮的進(jìn)一步的信息��,例如法律方面的考慮和對其他標(biāo)準(zhǔn)的參考�����。如無其他信息����,本項(xiàng)將不給出�。
關(guān)于ISO/IEC27002:2013,可見參考文獻(xiàn)[9]和[10]�。
篇6
關(guān)鍵詞:網(wǎng)絡(luò);會計(jì)�����;安全����;管理
會計(jì)信息的安全是指會計(jì)信息具有完整性、可用性�����、保密性和可靠性的狀態(tài),它來自于會計(jì)數(shù)據(jù)的完整和會計(jì)數(shù)據(jù)的安全���,并保證會計(jì)信息的持續(xù)性和有效性���。隨著網(wǎng)絡(luò)的發(fā)展,信息技術(shù)越來越多的滲透到會計(jì)領(lǐng)域���,但傳統(tǒng)會計(jì)軟件的設(shè)計(jì)多是考慮從業(yè)務(wù)操作功能上滿足會計(jì)實(shí)務(wù)的要求,對其安全性的考慮較少�。會計(jì)信息化的輔助軟件雖然具備了強(qiáng)大的信息安全技術(shù),但是又易使人陷入技術(shù)決定一切的誤區(qū)�����。迄今為止��,網(wǎng)絡(luò)環(huán)境下的多種安全技術(shù)尚未能夠確保信息的安全性。企業(yè)只有從技術(shù)和管理兩方面構(gòu)建會計(jì)信息安全系統(tǒng)�����,充分考慮技術(shù)的持續(xù)有效性���,重視對安全工程建成后的管理�,才能最大限度地保障網(wǎng)絡(luò)環(huán)境下會計(jì)信息的安全性���。國際信息安全管理標(biāo)準(zhǔn)(ISO/IEC 17799:2005)對于信息系統(tǒng)安全管理和安全認(rèn)證的分析表明,解決信息系統(tǒng)的安全問題不能只局限于技術(shù)���。更重要的還在于管理�。因此��,要讓安全技術(shù)發(fā)揮應(yīng)有的作用���,必然要有適當(dāng)管理措施的支持。按照該標(biāo)準(zhǔn)(ISO/IEC 17799:2005)“制訂自己的準(zhǔn)則”的建議��,探討管理對于會計(jì)信息安全的重要作用���,兼重管理和技術(shù)。對于真正實(shí)現(xiàn)會計(jì)信息安全目標(biāo)具有重要意義��。
一����、目前會計(jì)信息安全的現(xiàn)狀及研究
目前會計(jì)實(shí)務(wù)中的信息安全面臨諸多問題�。如會計(jì)管理越權(quán)����、不相容崗位分工不清會導(dǎo)致會計(jì)信息的損壞:在網(wǎng)絡(luò)環(huán)境下,伴隨電子商務(wù)的發(fā)展而出現(xiàn)的會計(jì)數(shù)據(jù)載體無紙化使會計(jì)數(shù)據(jù)被篡改成為可能:網(wǎng)絡(luò)本身的安全性問題��,則可能會使會計(jì)數(shù)據(jù)在傳輸過程中受病毒�����、黑客的威脅等。目前國內(nèi)被大量使用的傳統(tǒng)會計(jì)軟件主要是代替手工會計(jì)核算和減輕會計(jì)人員的計(jì)賬工作量���,本身的安全性設(shè)計(jì)相對較差,當(dāng)其在網(wǎng)絡(luò)環(huán)境下使用時���,上述的某些問題就更加顯著���。據(jù)一份針對英國900家不同類型組織做的問卷調(diào)查,1999―2000年有超過一半的政府機(jī)構(gòu)及2/3的民營組織���,正面臨信息科技的不法入侵、濫用甚至破壞���。而對大部分組織而言,信息安全的問題尚無一個明確的解決方案�。許多文獻(xiàn)針對會計(jì)信息安全問題進(jìn)行了研究���,但大多集中在技術(shù)方面�。如電子數(shù)據(jù)的存儲加密技術(shù)、傳輸加密技術(shù)����、密鑰管理加密技術(shù)和確認(rèn)加密技術(shù)�����、數(shù)字簽名等�����。也有很多文獻(xiàn)從不同的角度對會計(jì)信息安全的管理保障進(jìn)行了有益的探討���。本文從內(nèi)部控制,計(jì)算機(jī)軟�、硬件管理的角度����,參考ISO/IEC 17799:2005推薦的部分控制措施,探討了針對會計(jì)實(shí)務(wù)的信息安全管理控制方法����,結(jié)合對信息安全技術(shù)應(yīng)用的分析�,闡述了會計(jì)信息安全管理系統(tǒng)的構(gòu)建過程中需注意的幾個薄弱環(huán)節(jié)���。
二、會計(jì)信息安全管理
(一)內(nèi)部控制
2002年美國FBI(聯(lián)邦調(diào)查局)和CSI通過對484家公司的調(diào)查��,安全威脅和安全事件研究統(tǒng)計(jì)表明:超過85%的安全威脅來自企業(yè)內(nèi)部。本文先從企業(yè)內(nèi)部分析網(wǎng)絡(luò)環(huán)境下會計(jì)安全問題�����。
1����、確保不相容崗位相分離��。防止越權(quán)�。管理越權(quán)��、分工不清這些問題在傳統(tǒng)會計(jì)模式下也會出現(xiàn),但應(yīng)用信息技術(shù)后��,信息載體的無紙化等特點(diǎn)使此類問題更易出現(xiàn)且較隱蔽����,多數(shù)文獻(xiàn)指出�,實(shí)行用戶分級授權(quán)管理����,建立崗位責(zé)任制,并賦予不同的操作權(quán)限���,拒絕其他非授權(quán)用戶的訪問��。對操作密碼要嚴(yán)格管理,指定專人定期更換密碼�。在會計(jì)實(shí)務(wù)中可以推廣應(yīng)用生物識別技術(shù)�,其具有更多優(yōu)點(diǎn)�����,比如會計(jì)與出納有不同的權(quán)限�����,擁有各自的密碼��,因?yàn)闀?jì)與出納工作往來頻繁�����,密碼被對方獲取的情況時有發(fā)生����,影響了會計(jì)信息的安全性����。而生物識別技術(shù)如指紋只能本人在場的情況下方可操作����,并且不存在遺忘或丟失的問題��。
2����、保障原始數(shù)據(jù)安全性��。信息來源復(fù)雜性、接觸信息的部門和人員多樣性����,增加內(nèi)部控制難度,使原始數(shù)據(jù)錯誤�����、信息篡改的風(fēng)險(xiǎn)加大����。例如���,原始憑證是進(jìn)行會計(jì)核算的原始資料,是證明經(jīng)濟(jì)業(yè)務(wù)發(fā)生的唯一初始文件�����,有較強(qiáng)的法律效力���。在網(wǎng)絡(luò)環(huán)境下,有些原始憑證是通過網(wǎng)上交易取得�。如電子單據(jù)�����、電子貨幣結(jié)算等網(wǎng)絡(luò)經(jīng)營業(yè)務(wù)���。為使其與紙質(zhì)原始憑證在安全性上達(dá)到同樣的功效,多數(shù)文獻(xiàn)提出的建議是利用網(wǎng)上公證技術(shù)及各種加密技術(shù)����。但以磁(光)性介質(zhì)為載體的憑證易被篡改或偽造而不留任何痕跡的問題是計(jì)算機(jī)及網(wǎng)絡(luò)本身的缺陷����,即使是采用了網(wǎng)上公證技術(shù),其法律效力仍無法與印鑒相比��,因此其安全性并不能超過紙質(zhì)原始憑證���,作為會計(jì)核算唯一憑據(jù)的原始憑證���,其地位至關(guān)重要���,所以網(wǎng)上交易完成后必須索要紙質(zhì)原始憑證����,以備核對、保留���,盡可能確保會計(jì)信息完整性、可用性�����。
3����、保障會計(jì)檔案安全性����。會計(jì)檔案是唯一保存完整的會計(jì)歷史資料�����,是核實(shí)已發(fā)生會計(jì)活動最重要的依據(jù)�����,信息技術(shù)應(yīng)用于會計(jì)后�,部分會計(jì)檔案是以磁性介質(zhì)存儲的�。若保管�����、備份策略和方法不合理�����,會形成會計(jì)安全隱患�。例如�����,電子檔案存儲介質(zhì)體積小�、無紙化等特點(diǎn)與傳統(tǒng)檔案相比更易于被竊取或泄漏���,所以管理人員必須持有上崗證。并且要經(jīng)常進(jìn)行檔案法����、保密法培訓(xùn)���。在收集過程中要注意相關(guān)設(shè)備或軟件的收集,使會計(jì)電子檔案在將來任何時間都可查閱使用��。企業(yè)備份電子檔案的同時��。應(yīng)對已存檔的電子檔案定期檢查、復(fù)制����。電子檔案的定期復(fù)制的時間應(yīng)根據(jù)存儲介質(zhì)的性質(zhì)而定�,在不浪費(fèi)成本同時保障會計(jì)檔案安全。
2008年6月����,財(cái)政部公布的《企業(yè)內(nèi)部控制基本規(guī)范》第4章明確指出:“內(nèi)部會計(jì)控制的方法主要包括:不相容職務(wù)相互分離控制�����、授權(quán)批準(zhǔn)控制���、會計(jì)系統(tǒng)控制、預(yù)算控制……”有文獻(xiàn)提出�,將這些有效的內(nèi)部控制方法、思想集成在軟件功能中����。單純地依靠企業(yè)制定的內(nèi)部控制制度來加以內(nèi)部控制����,當(dāng)內(nèi)部人員協(xié)同舞弊時��,會導(dǎo)致內(nèi)部控制制度的失效��。將內(nèi)部控制集成在會計(jì)軟件中可以確保會計(jì)信息正確��、安全。但將這些有效的內(nèi)部控制方法��、思想集成在軟件功能中需要高素質(zhì)會計(jì)人員及熟悉信息技術(shù)的人員參與,并且需要投入相當(dāng)數(shù)量的資金���。維護(hù)容易跟不上,因此現(xiàn)階段對多數(shù)企業(yè)來說有一定困難�����,但資金、人員基礎(chǔ)好的企業(yè)可以實(shí)施��;并且要把基于PDCA(Plan��,Do、Check和Act)的持續(xù)改進(jìn)的管理模式應(yīng)用其中�。
(二)計(jì)算機(jī)硬件管理
PC客戶端。數(shù)據(jù)存儲設(shè)備�����,網(wǎng)絡(luò)設(shè)備都會影響硬件系統(tǒng)安全���。所以應(yīng)制定主控機(jī)房和相應(yīng)網(wǎng)絡(luò)設(shè)備的管理制度,例如專
機(jī)專用��。計(jì)算機(jī)機(jī)房充分滿足防火�����、防潮�、防塵���、防磁和防輻射及恒溫等技術(shù)要求�����,關(guān)鍵性的硬件設(shè)備可采用雙機(jī)備份��,硬件系統(tǒng)安全預(yù)警方案����。同時采取相應(yīng)的激勵措施�,把相應(yīng)人員職責(zé)列入目標(biāo)考核,與獎金相對應(yīng)�,提高其履行制度的積極性�,確保計(jì)算機(jī)硬件安全。
(三)計(jì)算機(jī)軟件管理
設(shè)計(jì)���、開發(fā)的財(cái)務(wù)軟件系統(tǒng)功能與用戶實(shí)際操作不相適應(yīng),軟件存在漏洞�����。軟件售后服務(wù)不及時都會影響網(wǎng)絡(luò)環(huán)境下會計(jì)安全���。因此�,在設(shè)計(jì)�、開發(fā)和使用財(cái)務(wù)軟件時�����,應(yīng)重點(diǎn)考慮會計(jì)數(shù)據(jù)及會計(jì)軟件系統(tǒng)自身的安全問題��,采取的措施能有效確保系統(tǒng)安全運(yùn)行����。保障會計(jì)軟件安全的具體措施有:
1����、身份認(rèn)證與權(quán)限控制。堅(jiān)持多重登錄和多重密碼制��。只有被賦予一定權(quán)限的人員���、且密碼核對吻合時才能進(jìn)行相關(guān)業(yè)務(wù)操作���,最好采用生物技術(shù)����。 2�、軟件升級必須慎重����,與原系統(tǒng)有可兼容性,便于查閱往年會計(jì)電子檔案����。
3���、定期備份計(jì)算機(jī)工作日志文件����。
4�、選擇售后服務(wù)好����、財(cái)政部推薦的會計(jì)軟件企業(yè)的產(chǎn)品�����。
(四)人為因素的管理
現(xiàn)階段。多數(shù)企業(yè)的會計(jì)人員業(yè)務(wù)經(jīng)驗(yàn)豐富�。而計(jì)算機(jī)專業(yè)知識和網(wǎng)絡(luò)知識卻知之甚少��,不能很好地勝任計(jì)算機(jī)和互聯(lián)網(wǎng)相關(guān)會計(jì)業(yè)務(wù)處理工作。復(fù)合型高素質(zhì)人才的缺乏制約著信息技術(shù)在會計(jì)中的應(yīng)用�,部分網(wǎng)絡(luò)會計(jì)人員雖然具備較高業(yè)務(wù)水平��,但缺乏職業(yè)道德素質(zhì)�。他們憑借精通網(wǎng)絡(luò)會計(jì)的優(yōu)勢進(jìn)行非法轉(zhuǎn)移電子資金和會計(jì)數(shù)據(jù)��、泄密等活動����。多數(shù)文獻(xiàn)提出要加快調(diào)整現(xiàn)行會計(jì)教育體系�,加大對現(xiàn)有會計(jì)人員關(guān)于網(wǎng)絡(luò)會計(jì)知識的后續(xù)教育����。同時由于現(xiàn)階段我國會計(jì)人員不可能通過短期培訓(xùn)就成為復(fù)合型高素質(zhì)人才�,所以還要從實(shí)際出發(fā)�,使信息技術(shù)逐步應(yīng)用于會計(jì)�����,在現(xiàn)階段輔助以傳統(tǒng)手工會計(jì),確保會計(jì)安全�,如電子交易中原始憑證的確認(rèn)與保留���。
三、信息安全技術(shù)的應(yīng)用
網(wǎng)絡(luò)的開放性使網(wǎng)絡(luò)易受攻擊�,網(wǎng)絡(luò)的龐大性使病毒易滋生����、傳播��,會計(jì)更易面臨諸如泄密��、黑客的侵襲而導(dǎo)致企業(yè)跨區(qū)域協(xié)同工作或與企業(yè)合作方網(wǎng)上交易時會計(jì)信息被盜或丟失等風(fēng)險(xiǎn)�����。計(jì)算機(jī)網(wǎng)絡(luò)病毒的存在直接破壞系統(tǒng)內(nèi)重要會計(jì)數(shù)據(jù),使系統(tǒng)不能正常運(yùn)行�����,影響會計(jì)數(shù)據(jù)和信息的安全性和真實(shí)性����。給網(wǎng)絡(luò)系統(tǒng)安全帶來了極大危害���。多數(shù)文獻(xiàn)指出電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善,這些技術(shù)包括加密技術(shù)��、認(rèn)證技術(shù)���、訪問控制技術(shù)��、信息流控制技術(shù)�����、數(shù)據(jù)保護(hù)技術(shù)��、軟件保護(hù)技術(shù)�、病毒檢測及清除技術(shù)等�����。但還應(yīng)該注意以下方面�����。第一�,采用以上技術(shù)的過程中需要花費(fèi)一定的成本�,一般情況下��,費(fèi)用是隨著安全性的提高而增加的,所以在采用安全技術(shù)的同時要考慮成本收益因素�����。第二���。破解安全技術(shù)的成本不需大于所保護(hù)會計(jì)信息的價值。如果盜取信息的人破解密碼所花費(fèi)的費(fèi)用大于獲得信息而得到的收益����,將不會去截取信息��。第三�����。好的系統(tǒng)和好的協(xié)議必須根據(jù)人的觀念來進(jìn)行設(shè)計(jì)���。忽略易用性問題導(dǎo)致系統(tǒng)無法達(dá)到預(yù)期目標(biāo)���,安全功能非常難以理解����,以至于用戶無法正確使用�,從而避開這些安全功能�,或者完全不在使用該系統(tǒng)���。第四。在網(wǎng)絡(luò)本身存在種種安全性問題的情況下��,要想保證會計(jì)的安全�。在利用信息技術(shù)快捷的同時,在相當(dāng)長的一段時間內(nèi)仍要依靠印鑒來確保憑證�����、合同的有效性以明確經(jīng)濟(jì)責(zé)任��。
四�、結(jié)論
會計(jì)信息安全不僅依賴于會計(jì)信息技術(shù)的合理可靠應(yīng)用�����。還依賴于一個完善的會計(jì)安全管理制度。既有的很多會計(jì)信息安全管理制度尚存一些薄弱環(huán)節(jié)�����,其完善是一個從實(shí)際出發(fā)的漸進(jìn)過程�。同時����,會計(jì)信息技術(shù)在我國的應(yīng)用也將是一個長期的過程,依賴于高素質(zhì)技術(shù)人員的培訓(xùn)及各類相應(yīng)配套設(shè)施的投資和建立��。
參考文獻(xiàn):
1����、潘婧��,網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)及防范措施[J],財(cái)會研究���,2008(2)
2�����、谷增軍,基于數(shù)據(jù)加密拉書的會計(jì)電子數(shù)據(jù)安全對策[J]�����,財(cái)會通訊�,2008(2)
3���、昊亞飛����,李新友等���,信息安全風(fēng)險(xiǎn)評估[J],清華大學(xué)出版社�����,2007
4��、李筱佳,會計(jì)信息化對會計(jì)實(shí)務(wù)的影響及對策[J]�����,財(cái)會研究����,2009(6)
5、金麗榮����,會計(jì)信息系統(tǒng)的安全控制措施[J]�,科技資訊���,2008(1)
6�����、尹曉偉IT環(huán)境下會計(jì)電算化內(nèi)部控制研究[J]�,會計(jì)之友��,2008(11)
7����、田志剛����,劉秋生,現(xiàn)代管理型會計(jì)信息系統(tǒng)的內(nèi)部控制研究[J]�����,會計(jì)研究�����,2008(10)
8����、郝玉清�����,網(wǎng)絡(luò)會計(jì)的信息安全問題及其防范策略[J]����,北方經(jīng)貿(mào)�����,2007(11)
篇7
關(guān)鍵詞 管理���;信息���;安全��;違章
中圖分類號:X934 文獻(xiàn)標(biāo)識碼:A 文章編號:1671-7597(2013)20-0163-02
隨著科學(xué)技術(shù)的發(fā)展,信息化的進(jìn)程越來越快����,并在電力市場經(jīng)濟(jì)環(huán)境的促使下�,供電企業(yè)開始加大自身的信息化建設(shè)���,信息安全管理逐步得到完善。作為新時代的一員��,每個人都自然而然的成為了信息化的一部分����,所以信息化同時也影響著社會上的每個人���,信息安全管理的問題也成為了人們最關(guān)切的問題。
1 信息安全管理的目標(biāo)描述
1.1 信息安全管理的理念
信息安全就是要確保信息內(nèi)容在存取�����、處理和傳輸過程中保持機(jī)密性����、完整性和可用性�。信息安全包含信息本身(數(shù)據(jù))的安全和信息系統(tǒng)的安全�����。其中���,數(shù)據(jù)安全就是防止數(shù)據(jù)丟失����、防止數(shù)據(jù)被竊取,防止數(shù)據(jù)被篡改�����;信息安全就是要保證系統(tǒng)安全穩(wěn)定運(yùn)行���,確保有權(quán)使用系統(tǒng)的人能順利地使用����,無權(quán)使用該系統(tǒng)的人無法訪問它���。
1.2 信息安全管理的范圍和目標(biāo)
1)信息安全管理的范圍。海安縣供電公司信息安全的范圍包括:信息系統(tǒng)網(wǎng)絡(luò)���、業(yè)務(wù)應(yīng)用系統(tǒng)及數(shù)據(jù)庫服務(wù)器��、計(jì)算機(jī)終端、桌面終端���、移動存儲介質(zhì)等全方面的管理控制��。
2)信息安全管理的目標(biāo)及目標(biāo)值�。海安縣供電公司信息系統(tǒng)安全管理嚴(yán)格按照上級單位要求,鞏固公司信息安全防護(hù)基礎(chǔ)���,強(qiáng)化安全風(fēng)險(xiǎn)預(yù)控手段����,提高應(yīng)急反應(yīng)和處置能力����,確保網(wǎng)絡(luò)與信息系統(tǒng)安全的萬無一失����。公司信息安全管理主要包括以下指標(biāo)(見附表)����。
2 信息安全分類考核的主要做法
2.1 建立信息安全分類考核機(jī)制的目的
為貫徹國網(wǎng)以及省市公司關(guān)于信息安全工作的管理要求,確保信息系統(tǒng)安全穩(wěn)定運(yùn)行���,加強(qiáng)公司員工信息安全責(zé)任意識��,界定信息安全違章行為,進(jìn)一步明確考核細(xì)則����,海安縣供電公司借鑒生產(chǎn)安全的管理制度��,出臺了《海安縣供電公司信息安全違章考核辦法(試行)》�����。
2.2 信息安全分類考核的依據(jù)和原則
依據(jù)國家電網(wǎng)公司、省市公司信息安全考核管理工作要求�,以“誰主管誰負(fù)責(zé)、誰使用誰負(fù)責(zé)���、誰用工誰負(fù)責(zé)���、誰是設(shè)備主人誰負(fù)責(zé)”為原則。
2.3 信息安全違章行為界定
違反國家信息安全有關(guān)法律和法規(guī)��;違反國家電網(wǎng)公司和省市公司信息安全管理規(guī)章制度���。
2.4 信息安全違章行為的分類
2.4.1 一般性違章(III類違章)
1)部門及人員未按公司要求及時簽訂《信息安全保密承諾書》����。
2)計(jì)算機(jī)未按規(guī)定安裝運(yùn)行公司統(tǒng)一的防病毒軟件、補(bǔ)丁更新策略���、桌面終端管理軟件等����。
3)未按要求使用安全移動存儲介質(zhì)進(jìn)行內(nèi)外網(wǎng)信息交換�;擅自刪除或破壞已注冊安全移動存儲介質(zhì)內(nèi)的管理軟件。
4)擅自卸載(含格式化)本單位規(guī)定安裝的操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)客戶端����。
5)計(jì)算機(jī)未按要求進(jìn)行注冊或注冊信息與責(zé)任人信息不一致�。
6)在公司所有工作場所的計(jì)算機(jī)終端上做任何與工作無關(guān)的事情(如游戲、看電影或電視劇����、聊天���、炒股等)����。
7)違反上級公司信息安全管理規(guī)定被認(rèn)定為一般違章的其他行為����。
2.4.2 較嚴(yán)重違章(II類違章)
1)計(jì)算機(jī)維修未按公司要求送至指定的電腦公司處理導(dǎo)致與工作有關(guān)的信息外泄。
2)計(jì)算機(jī)和硬盤更換或報(bào)廢未按相關(guān)要求送至公司安全運(yùn)檢部進(jìn)行規(guī)范處理����。
3)在計(jì)算機(jī)上安裝雙網(wǎng)卡或雙操作系統(tǒng)�,進(jìn)行內(nèi)外網(wǎng)切換���;私自拆卸與混用內(nèi)外網(wǎng)計(jì)算機(jī)硬盤。
4)私自開啟文件共享導(dǎo)致共享文件被非授權(quán)訪問���、破壞或造成泄密�。
5)擅自更改計(jì)算機(jī)網(wǎng)卡的MAC地址或網(wǎng)絡(luò)端口以及在網(wǎng)絡(luò)設(shè)備上私拉亂接�。
6)計(jì)算機(jī)、移動存儲介質(zhì)�、應(yīng)用系統(tǒng)���、內(nèi)網(wǎng)郵件系統(tǒng)未設(shè)置登錄口令�����;設(shè)置了登錄口令���,但口令長度低于8位且不是由大寫字母�、小寫字母���、數(shù)字或符號中至少3種組合構(gòu)成�����;使用系統(tǒng)內(nèi)的通用密碼�;擅自新增用戶�����,未按安全密碼要求設(shè)置密碼����。
7)未按規(guī)定設(shè)置密碼被桌面終端系統(tǒng)監(jiān)控報(bào)警并經(jīng)調(diào)查認(rèn)定為弱口令事件����。
8)未經(jīng)許可在計(jì)算機(jī)上架設(shè)網(wǎng)站���、游戲服務(wù)器、論壇等非正常網(wǎng)絡(luò)應(yīng)用服務(wù)。
9)在非計(jì)算機(jī)中存儲和處理及通過互聯(lián)網(wǎng)傳輸國家����、公司的信息��。
10)內(nèi)網(wǎng)計(jì)算機(jī)私自帶出公司����。
11)擅自組建無線網(wǎng)絡(luò)并接入信息內(nèi)網(wǎng)�。
12)干擾他人正常工作行為,包括:不真實(shí)信息�、垃圾信息;散布病毒及木馬�;未經(jīng)授權(quán)或通過口令猜測和破解等手段使用他人設(shè)備、系統(tǒng)��、郵箱等�。
13)擅自在內(nèi)網(wǎng)計(jì)算機(jī)中安裝黑客程序、端口掃描或漏洞掃描軟件并使用其進(jìn)行網(wǎng)絡(luò)掃描或攻擊破壞。
14)內(nèi)外網(wǎng)計(jì)算機(jī)同處一室,經(jīng)查實(shí)仍未按要求進(jìn)行整改。
15)違反上級公司信息安全管理規(guī)定被認(rèn)定為較嚴(yán)重違章的其他行為。
2.4.3 嚴(yán)重違章(Ⅰ類違章)
1)未經(jīng)公司安全運(yùn)檢部安全檢測和許可,擅自將計(jì)算機(jī)(含公用��、私用筆記本�、長期未使用的計(jì)算機(jī)����、倉庫報(bào)廢的計(jì)算機(jī)���、外來人員的計(jì)算機(jī))等接入信息內(nèi)�����、外網(wǎng)�����,被桌面終端系統(tǒng)監(jiān)控報(bào)警并經(jīng)調(diào)查認(rèn)定為內(nèi)網(wǎng)違規(guī)外聯(lián)事件。
2)在內(nèi)、外網(wǎng)計(jì)算機(jī)上利用無線上網(wǎng)卡���、WIFI或具備上網(wǎng)功能的手機(jī)和PDA等設(shè)備訪問互聯(lián)網(wǎng)�,被桌面終端系統(tǒng)監(jiān)控報(bào)警并經(jīng)調(diào)查認(rèn)定為內(nèi)網(wǎng)違規(guī)外聯(lián)事件�����。
3)手機(jī)與內(nèi)�����、外網(wǎng)計(jì)算機(jī)相連�����,用于充電���、同步或收發(fā)短信(彩信)、郵件等�,被桌面終端系統(tǒng)監(jiān)控報(bào)警并經(jīng)調(diào)查認(rèn)定為內(nèi)網(wǎng)違規(guī)外聯(lián)事件����。
4)違反上級公司信息安全管理規(guī)定被認(rèn)定為嚴(yán)重違章的其他行為��。
2.5 信息安全違章的督查
1)各類人員必須嚴(yán)格執(zhí)行信息安全規(guī)章制度����,遵章守紀(jì)���。各部門�����、供電所(含工程隊(duì))必須認(rèn)真開展自查自糾����,對于發(fā)現(xiàn)的違章行為,嚴(yán)格按照“四不放過”的原則認(rèn)真分析和嚴(yán)肅處理。實(shí)施四級信息安全日常管理制度�,即個人每日一查、班組每周一查、部門每月一查��、公司每季度抽查,并對管理不到位的相關(guān)責(zé)任人及管理人員進(jìn)行考核。
2)對違章的查處采用專項(xiàng)督查�����、日常檢查及應(yīng)用工具軟件檢查相結(jié)合的方式進(jìn)行。公司將對違章行為及相應(yīng)責(zé)任者進(jìn)行曝光,以使責(zé)任者和廣大員工受到教育。
2.6 信息安全違章的處罰
1)處罰標(biāo)準(zhǔn)。
①I類違章:10000元以上或待崗處理。
②II類違章:500-2000元�。
③III類違章:200-500元����。
2)違章處罰的對象為公司全體員工(含農(nóng)電人員),包括社會化用工���、承(分)包單位人員、外協(xié)人員等��。
3)連帶責(zé)任考核�����。
連帶責(zé)任考核標(biāo)準(zhǔn):因管理不到位��,視管理到位情況對相關(guān)部門�����、供電所(含工程隊(duì))的負(fù)責(zé)人��、管理人員����、班組長等進(jìn)行考核。
4)對于信息安全反違章處罰的認(rèn)定���、處理有異議的�,可逐級向上申請復(fù)議��,最終以公司安委會的認(rèn)定為最終結(jié)果���。
5)一年內(nèi)發(fā)生一起及以上嚴(yán)重違章�,取消該部門�、供電所(含工程隊(duì))當(dāng)年度的先進(jìn)集體評選資格。
3 評估與改進(jìn)
3.1 信息安全違章分類考核的評價
參照生產(chǎn)安全中的管理方法����,建立信息安全違章分類考核機(jī)制���,有利于公司全體員工信息安全意識的灌輸、宣傳����、培訓(xùn),培養(yǎng)了良好的信息安全使用習(xí)慣���,提高了全員信息安全技能水平�����,使信息安全意識深入人心���。
建立信息安全違章分類考核機(jī)制至今,海安縣供電公司信息安全工作獲得省市公司的普遍認(rèn)可與高度評價�����,沒有發(fā)生一起違規(guī)內(nèi)網(wǎng)外聯(lián)事件�����。
3.2 信息安全管理的提升
1)加強(qiáng)信息安全防范工作。
近幾年來�,公司對信息化的依賴程度越來越大,對信息安全工作也越來越重視�����,信息化水平也取得了高速的發(fā)展�����,但同時也出現(xiàn)病毒泛濫�、網(wǎng)絡(luò)端口掃描�、惡意軟件、信息外泄等威脅���,企業(yè)信息和企業(yè)信息系統(tǒng)未經(jīng)授權(quán)被訪問�����、使用�����、泄露�、中斷、修改和破壞���。為適應(yīng)不斷變化的信息化工作���,通過管理手段和技術(shù)手段強(qiáng)化信息安全管理工作非常必要。
2)持續(xù)提高運(yùn)維人員業(yè)務(wù)水平�。
隨著信息技術(shù)的發(fā)展,公司信息化水平的提高���,對信息系統(tǒng)運(yùn)維人員的技能水平提出了更高的要求���。因此,為適應(yīng)信息系統(tǒng)運(yùn)行與維護(hù)工作的需要�����,公司信息系統(tǒng)運(yùn)維人員的技能水平和綜合業(yè)務(wù)水平應(yīng)該持續(xù)加強(qiáng)����。
3)進(jìn)一步加強(qiáng)員工信息安全意識。
加強(qiáng)對信息化人員的培訓(xùn)和全員信息安全意識宣傳���,通過多種渠道普及網(wǎng)絡(luò)與信息安全相關(guān)知識����。安全意識和相關(guān)技能的教育是公司安全管理中重要的內(nèi)容,應(yīng)當(dāng)對公司各級管理人員���,用戶���,技術(shù)人員進(jìn)行安全培訓(xùn)��,減少人為差錯���、失誤造成的安全風(fēng)險(xiǎn)��。
4 結(jié)束語
生產(chǎn)安全是供電企業(yè)生產(chǎn)管理的根本�,而信息系統(tǒng)安全是供電企業(yè)安全生產(chǎn)的基礎(chǔ)�。許多生產(chǎn)安全管理中的制度、措施和辦法�,值得我們在信息安全管理中借鑒。
參考文獻(xiàn)
[1]林世溪.電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系的建立[J].華東電力�����,2010.
[2]杜新光.電力安全生產(chǎn)管理中存在的問題及其解決措施[J].中國電力教育,2009.
篇8
國家�����、省市已經(jīng)頒布各種法律法規(guī)�����,各大單位也根據(jù)自己的具體情況�����,建立了自己的規(guī)章制度�,維護(hù)信息安全已經(jīng)有法可依����。但是信息安全管理工作涉及的知識面非常廣,需要了解國家信息安全管理法規(guī)�����,需要學(xué)習(xí)信息技術(shù)一般理論���,需要知道信息安全漏洞知識��,需要明白信息安全禁令范疇��。為提高學(xué)習(xí)效率和質(zhì)量��,全面掌握信息安全理論和方法����,按照信息安全管理知識體系,建設(shè)信息安全管理教學(xué)系統(tǒng)��,提供學(xué)習(xí)信息安全管理的教學(xué)條件����,從而為各方面人員學(xué)習(xí)和執(zhí)行各種規(guī)章制度提供依據(jù)�����。相比其他管理工作���,信息安全管理工作需要比較多的理工專業(yè)基礎(chǔ)和比較高的電腦技術(shù)要求����,在實(shí)際的信息安全管理工作中,需要靈活的信息安全管理處置能力�,更多的是判斷信息安全問題����、識別信息安全陷阱、規(guī)范信息安全管理���。由于知識背景和工作性質(zhì)特點(diǎn),管理干部需要花費(fèi)更多的時間和精力學(xué)習(xí)信息安全管理知識和技術(shù)��,才能具備基本的信息安全防范技能��。為幫助他們更好地獨(dú)立處置信息安全管理問題��,掌握發(fā)現(xiàn)問題解決問題技能��,依據(jù)現(xiàn)代教育理念和方法���,不僅需要提供深入淺出�、知識完備的知識體系學(xué)習(xí)訓(xùn)練系統(tǒng)�����,而且需要信息安全管理能力訓(xùn)練系統(tǒng)。
二�、信息安全管理培訓(xùn)思路
為滿足信息安全管理工作在人員培訓(xùn)方面的需要,需要依托各級培訓(xùn)學(xué)校���,按照國家和省市地方的制度法規(guī)��,借助現(xiàn)代教育思想,借助現(xiàn)代教育技術(shù)���,明確符合實(shí)際需要的功能定位���,建設(shè)信息安全管理復(fù)合應(yīng)用型人才培訓(xùn)體系,實(shí)現(xiàn)信息安全管理工作對培訓(xùn)教育�、終身教育的培訓(xùn)要求。
1.培訓(xùn)依據(jù)
(1)依據(jù)各種信息安全管理制度法規(guī)�����。信息安全人員在履行工作職責(zé)的時候�����,必須按照各種信息安全管理法規(guī)�����、制度和要求實(shí)施����,制訂人才培養(yǎng)方案和教學(xué)計(jì)劃必須依據(jù)國家、省市和本部門的信息安全管理的相關(guān)規(guī)定��,這樣的教學(xué)內(nèi)容才能保證人才培養(yǎng)的針對性和實(shí)用性���,保證管理干部履行信息安全管理職責(zé)的有效性�。涉及信息安全制度法規(guī)的相關(guān)文件很多�,有的是專門為信息安全制訂的,有的制度和法規(guī)散落在各個業(yè)務(wù)管理制度中���。在建設(shè)信息安全管理知識體系時����,必須將業(yè)務(wù)部門的相關(guān)規(guī)定融入知識體系中���,使得管理干部在處理具體業(yè)務(wù)中的信息安全管理工作具有針對性和有效性���。
(2)符合培訓(xùn)教育特點(diǎn)規(guī)律����。信息安全管理技能是從事管理工作人員的基本技能�,屬于崗位專業(yè)培訓(xùn)或?qū)I(yè)技能培訓(xùn),屬于培訓(xùn)教育培訓(xùn)��。受訓(xùn)人員專業(yè)背景不同����,理論基礎(chǔ)不同,學(xué)習(xí)能力不同���,必須避免材�、統(tǒng)一授課�、統(tǒng)一訓(xùn)練、和統(tǒng)一考核的傳統(tǒng)教學(xué)模式����,采取因人而異、因材施教的有針對性的教學(xué)方式�,強(qiáng)調(diào)個性化學(xué)習(xí)���,將不同層次受訓(xùn)者的信息安全管理能力達(dá)到信息安全管理工作所需要的水平上來�����。
(3)遵循現(xiàn)代教育思想����。在實(shí)施教育訓(xùn)練過程中,現(xiàn)代教育思想要求采取“學(xué)為主體���、教為主導(dǎo)”的教學(xué)理念�����,學(xué)員能夠方便地獲得完整的知識體系和解決問題的技能和方法���,自主學(xué)習(xí),開放學(xué)習(xí)���,自主理解����、掌握知識和技能���。為實(shí)現(xiàn)教學(xué)目的�,需要分析信息安全管理技能特點(diǎn),需要分析管理干部學(xué)習(xí)動力���,結(jié)合教學(xué)目標(biāo)�,設(shè)計(jì)學(xué)員學(xué)習(xí)和訓(xùn)練的教育訓(xùn)練環(huán)境�,提供完整的知識體系、豐富的教學(xué)資源�、模擬的問題情況、交互的學(xué)習(xí)平臺和方便的使用途徑����,提供與培訓(xùn)教育特點(diǎn)規(guī)律和技能訓(xùn)練要求相適應(yīng)的培訓(xùn)條件。
2.信息安全管理培訓(xùn)目標(biāo)
按照信息安全管理工作的實(shí)際情況����,培養(yǎng)信息安全管理工作中管理、業(yè)務(wù)和技術(shù)三支人才隊(duì)伍���,突出業(yè)務(wù)和管理人才需要�����,兼顧信息安全技術(shù)人員的人才培養(yǎng)���,以現(xiàn)代教育思想為指導(dǎo)�����,以信息技術(shù)為核心支持技術(shù),建設(shè)滿足信息安全人才培養(yǎng)的現(xiàn)代培訓(xùn)條件��。信息安全管理培訓(xùn)以管理干部為培訓(xùn)對象�����,以信息安全管理工作為培訓(xùn)內(nèi)容�,區(qū)分信息安全管理人員、業(yè)務(wù)干部和信息技術(shù)專門人員等不同層次�,跟蹤信息安全管理形勢,實(shí)行階段反復(fù)輪訓(xùn)�,以適應(yīng)信息安全管理不斷發(fā)展的需要,確保信息安全管理工作的正常開展���。
三����、信息安全管理培訓(xùn)環(huán)境構(gòu)建
為適應(yīng)信息安全管理培訓(xùn)需要��,適應(yīng)管理干部培訓(xùn)教育需要,必須構(gòu)建遵循信息安全管理規(guī)定�����、符合現(xiàn)代教育思想��、依托信息技術(shù)手段�����、瞄準(zhǔn)復(fù)合型適用人才培養(yǎng)的教育環(huán)境��。信息安全管理培訓(xùn)條件涉及面很廣���,包括組織機(jī)構(gòu)��、舍堂館所���、師資隊(duì)伍、后勤保障等等���,這里我們更關(guān)心符合培訓(xùn)思路的培訓(xùn)模式和教學(xué)支持�。從知識體系�、學(xué)習(xí)途徑�����、訓(xùn)練場所和訓(xùn)練系統(tǒng)多方面著手�����,構(gòu)建信息安全管理訓(xùn)練體系,構(gòu)建管理人員信息安全人才培養(yǎng)條件�����。依據(jù)教育信息化研究成果和培訓(xùn)教育教學(xué)特點(diǎn)�,需要建立完整的信息安全管理知識體系,建立開放式����、自主式教育網(wǎng)絡(luò)平臺,建立強(qiáng)時效性的教學(xué)資源體系���,建立信息安全管理知識測試系統(tǒng)��,建立信息安全管理能力訓(xùn)練系統(tǒng)�����,等等����。
1.構(gòu)建信息安全管理知識體系
培訓(xùn)教育的一個特點(diǎn)就是受訓(xùn)對象知識背景和技能掌握程度千差萬別,必須首先建立完整的知識體系�,以滿足不同基礎(chǔ)、不同需求受訓(xùn)者對知識掌握和能力訓(xùn)練的要求���。知識體系必須建立覆蓋學(xué)科知識和管理手段的所有內(nèi)容��,包括理論體系和教學(xué)資源兩部分�����,其中理論體系包括基礎(chǔ)知識�����、安全理論��、規(guī)范制度�����、管理方法��、歷史沿革�、防范手段和操作方法,教學(xué)資源包括現(xiàn)狀分析�、經(jīng)典案例、技術(shù)講解����、訓(xùn)練題庫和數(shù)據(jù)模型,適應(yīng)和滿足每個受訓(xùn)對象的需求���。為滿足個性化服務(wù)需要,可以按照知識點(diǎn)建設(shè)模塊化框架結(jié)構(gòu)���,設(shè)計(jì)具備菜單選擇功能的專家系統(tǒng)��,允許受訓(xùn)者建立適合自己的個性化教學(xué)計(jì)劃和實(shí)施方案�,確保受訓(xùn)者完成培訓(xùn)任務(wù)后勝任安全管理的崗位需要���?���?梢越⒅悄芙虒W(xué)計(jì)劃生成系統(tǒng)���,系統(tǒng)對每位受訓(xùn)者進(jìn)行知識和技能測試�,按照教學(xué)目標(biāo),根據(jù)測試結(jié)果����,將該學(xué)員沒有掌握或掌握不夠的知識內(nèi)容和技能形成列表,從知識體系中搜尋相關(guān)知識和技能的概念��、理論����、技術(shù)和操作技能,形成該受訓(xùn)者個性化的教學(xué)計(jì)劃�����。隨著信息技術(shù)的發(fā)展和信息安全管理需求的變化����,信息安全管理知識體系應(yīng)該是動態(tài)更新的,剔除修改陳舊的��,充實(shí)替換實(shí)用的���。
2.搭建開放�、共享和交流的網(wǎng)絡(luò)平臺
網(wǎng)絡(luò)平臺是信息資源共享的基礎(chǔ),是交流互動的基礎(chǔ)�����。按照學(xué)科專業(yè)建設(shè)與管理規(guī)范建設(shè)知識體系�,以數(shù)字化形式在互聯(lián)網(wǎng),實(shí)現(xiàn)信息安全管理教育資源共享�。作為資源共享平臺的網(wǎng)絡(luò)平臺,不僅為建設(shè)者資源共享提供平臺�,而且可以為學(xué)習(xí)者提供資源上傳服務(wù),成為學(xué)習(xí)者之間相互交流資源的共享平臺����,更為信息資源積累提供了很好的機(jī)制和存儲條件。網(wǎng)絡(luò)具有兩個特點(diǎn)�,一是允許網(wǎng)絡(luò)用戶365天24小時使用�����,可以提供受訓(xùn)者隨時學(xué)習(xí)和訓(xùn)練���,二是允許網(wǎng)絡(luò)用戶在任何有信息覆蓋的地方登錄�,可以提供受訓(xùn)者隨地學(xué)習(xí)和訓(xùn)練���,這兩個特點(diǎn)打破了傳統(tǒng)教學(xué)時空的限制���,為學(xué)員自主學(xué)習(xí)�、教師開放教學(xué)���、師生互動交流提供了可能���,也為實(shí)施現(xiàn)代教育思想提供了條件。
3.建立虛擬講堂
優(yōu)秀教師的講授可以將學(xué)習(xí)效果演繹得趣味精彩��,可以將學(xué)習(xí)內(nèi)容組織得明白易懂����,可以將現(xiàn)實(shí)運(yùn)用解析得透徹自然。為更多學(xué)員獲得完美的教學(xué)體驗(yàn)���,為積累并共享優(yōu)秀教學(xué)資源�����,為學(xué)員快捷準(zhǔn)確全面理解知識運(yùn)用知識提供幫助��,記錄�����、整理并優(yōu)秀教師或?qū)<沂谡n錄像���,供更多受訓(xùn)者學(xué)習(xí)參考�。教學(xué)錄像在網(wǎng)上成為虛擬講堂�,成為不同專業(yè)不同時期受訓(xùn)者良好的教學(xué)資源,目前全球風(fēng)行的慕課��,可以成為這種培訓(xùn)目的的教學(xué)模式���,成本低�,效益好����。因?yàn)榧夹g(shù)層面的因素,信息安全管理知識體系在理論基礎(chǔ)和原理解釋有大量不易理解的知識點(diǎn)和疑難問題�����,學(xué)習(xí)時需要佐證的理論和嚴(yán)謹(jǐn)?shù)倪壿?�,需要傳授者環(huán)環(huán)相扣的謹(jǐn)密推演��,因此針對重要知識點(diǎn)和疑難雜診的講授片段是受訓(xùn)者自主式學(xué)習(xí)時需要的重要教學(xué)參考資料����。各個大學(xué)基本都建設(shè)了網(wǎng)絡(luò)課堂,為虛擬講堂建設(shè)提供了很好的技術(shù)平臺�����。依據(jù)此平臺�,建設(shè)信息安全管理和教學(xué)資源和網(wǎng)絡(luò)課程,可以構(gòu)筑完整的知識體系����,為培訓(xùn)教育自主式學(xué)習(xí)提供了很好的學(xué)習(xí)資源。
4.建設(shè)信息安全管理實(shí)驗(yàn)室
培訓(xùn)教育能力訓(xùn)練是教學(xué)環(huán)節(jié)中的主要部分���,驗(yàn)證理論���、觀摩操作方法和訓(xùn)練技能需要包括場所、設(shè)備和軟件等實(shí)驗(yàn)條件�����,實(shí)驗(yàn)室是完成實(shí)驗(yàn)任務(wù)和檢驗(yàn)方法效果必須具備的教學(xué)條件。理論���、方法和技能的實(shí)驗(yàn)和訓(xùn)練是信息安全管理培訓(xùn)需要完成的教學(xué)環(huán)節(jié)�,這些需要信息安全專業(yè)實(shí)驗(yàn)室的支持�����。信息技術(shù)具有可設(shè)計(jì)�、可復(fù)制、可重用的特點(diǎn)�,使得基于信息技術(shù)的教育訓(xùn)練條件具備降低訓(xùn)練費(fèi)用、提高學(xué)員學(xué)習(xí)自主性����、提供學(xué)員反復(fù)學(xué)習(xí)等長處,結(jié)合音頻處理技術(shù)���、視頻處理技術(shù)���、三維動畫技術(shù),可以為學(xué)員學(xué)習(xí)提供強(qiáng)烈逼真的感官刺激�����、美輪美奐的藝術(shù)表現(xiàn)和自主操控的虛幻體驗(yàn)���。從訓(xùn)練目的而言�,實(shí)驗(yàn)室可以分為虛擬實(shí)驗(yàn)室和能力訓(xùn)練場兩部分�����。
(1)虛擬實(shí)驗(yàn)室�����。信息安全管理涉及大量技術(shù)手段�,信息安全技術(shù)攻擊和防范具有不可見、不易理解的特點(diǎn)�����,需要顯而易見�����、通俗易懂的形象展示����。虛擬實(shí)驗(yàn)室是依托信息技術(shù)按照實(shí)驗(yàn)室運(yùn)行規(guī)律��、要求和任務(wù)�����,以網(wǎng)頁形式在計(jì)算機(jī)網(wǎng)絡(luò)上建立的可以模擬實(shí)驗(yàn)室運(yùn)行的軟件系統(tǒng)����。虛擬實(shí)驗(yàn)室內(nèi)設(shè)信息安全管理所需要的各種理論����、方法和技能引擎,可以多維形象地反復(fù)演示信息安全管理的理論�、方法和技能,可以允許受訓(xùn)者以第一人稱介入并依據(jù)受訓(xùn)者干預(yù)情況展示相應(yīng)信息安全分析結(jié)果����,虛擬實(shí)驗(yàn)室可以記錄并考核受訓(xùn)者實(shí)驗(yàn)過程和成績。
