時間:2022-07-07 19:52:42
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇信息安全管理論文范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
2.1基層稅務信息安全管理存在的風險
信息技術飛速發展,尤其是大數據時代的到來,基層稅務信息安全技術管理風險與日俱增。科學技術水平日新月異,移動互聯網、虛擬化、云技術、大數據應用等新技術層出不強。此類技術的應用對于專業技術的要求較高,安全保障措施也較為嚴密,但現有的稅務信息安全管理的軟硬件、制度、頂層設計、稅務人員素質、社會要求等方面無法適應其方便、快捷、高效的特點,使得稅務信息暴露在數據的海洋,極易造成信息被盜取、被非法病毒所侵入,稅務信息安全技術管理必然風險激增。改革不斷深化,尤其是簡政放權要求逐步提高,基層稅務信息安全行政管理風險突飛猛進。全面深化改革的推進,行政管理被要求回歸理性簡政放權,實現由權力管制到權利治理,基層稅務部門必然面臨著工作重心后移及執法風險加大的交匯壓力,后續管理將成為稅務部門工作的一種常態。稅務管理信息化是保證后續管理科學、有效、規范進行的基本方式且根本保障,而稅務信息安全管理是稅務管理信息化的基礎,是故稅務信息安全管理必然成為稅收征收與管理過程的基礎和支撐。稅務管理信息化下稅務信息不論是頻率還是數量均不斷提高,數量和質量相生相克,前者的增多必然導致后者的下降,稅務信息安全行政管理風險驟升。依法治稅加強,尤其是納稅人權利意識的覺醒,基層稅務信息安全管理涉紛風險不斷提高。隨著經濟、社會以及文化的不斷發展,納稅人權利意識在不斷覺醒,私權保護、正當程序、公平正義成為了普遍訴求。納稅人信息是稅務信息安全管理的重要內容之一,包含著巨大的商業價值,稅務機關在采集、保管和使用納稅人信息過程中往往由于安全措施不到位而導致納稅人權利受到損害事件時有發生,甚至誘發違法犯罪。近些年來,由于稅務信息安全管理不善帶來的稅務糾紛呈水漲船高之勢,納稅人訴諸法律途徑的越來越多,基層稅務部門涉議、涉訴風險不斷提高。
2.2基層稅務信息安全管理面臨的困境
2.2.1稅務信息安全管理意識淡薄
稅務管理信息化在我國方興未艾,關于稅務信息安全的理解、保護方法、風險防范手段等社會所知甚微。就稅務部門而言,大部分基層稅務工作人員對于稅務信息安全管理是什么、稅務信息安全管理意義是什么、怎樣實現稅務信息安全管理等內容的認識與理解存在偏差,主觀地認為稅務信息安全與稅務部門的核心業務無關,是一種簡單的信息存儲與傳輸,意義不大。甚至是一提到稅務信息安全,不少人就當然的認為是病毒和黑客,而往往忽視內部人員的過錯或故意行為等因素。就納稅人而言,大部分納稅人抱有這樣的態度,就是只要按照法定規定和法定程序上繳完稅,其他的就與自己沒有多大干系,稅務信息安全管理也是如此,因而往往不配合稅務信息的收集等工作。由于少數人的安全意識淡薄和管理不善,會影響整個稅務信息系統的安全性。
2.2.2稅務信息安全管理方式滯后
整體上看,基層稅務信息安全管理還主要是依靠單一的技術方法,稅務信息保密措施少、身份認證未得到全面應用、缺少路由安全和防止入侵的技術措施,難以適應稅務信息安全管理的要求。首先,稅務信息技術管理方式賴以生存的硬件設施可靠性、穩定性不足,缺少日常維護及安全配套措施。其次,稅務信息技術管理核心之處的軟件設施開放性強,比如,內部網路終端信息共享范圍廣、操作系統主要是國外研發的,內外網機器存在混用現象,極大增加了稅務信息安全風險。最后,采集數據分散,不能形成有效共享,普遍存在“信息孤島”現象;業務信息不能通過計算機有效流轉,自動化管理過程隔離;尤其是信息缺乏高效的數據監控措施,沒有形成科學的內、外監督體系,不斷遭受黑客攻擊,還出現數據丟失的現象等。
2.2.3稅務信息安全管理制度不完善
稅務信息采集、整理、貯存、傳輸、反饋及應用等過程中安全管理的理念并未得到貫徹,稅務信息安全管理制度還不全面、缺乏體系性、可操作性也不強。具體來講,一是缺乏強有力的稅務信息安全管理領導制度。一般而言,基層稅務信息安全管理主要是由稅務信息中心實施,與其他內設機構之間是并列關系,信息安全管理無法滲透到稅收征管的其他環節。二是缺乏科學的稅務信息安全事故預防、報告及處理制度,各基層稅務部門普遍缺失完備的信息安全事故報告程序與預防處理方案,稅務信息安全事故的預防、處理沒有可持續的制度支撐。三是缺乏規范的稅務信息安全管理考核制度,基層稅務信息安全崗位與責任相適應的考核標準,機制不規范,致使信息安全管理深度與力度得不到有效落實。此外,信息安全責任制度還需進一步細化和完善。
2.2.4信息安全風險管理機制存在缺陷
稅務信息化下,稅務信息安全風險有來自基礎設施毀損的風險,有技術應用帶來的風險,有人為操作引發的風險,可謂無處不在、無時不有。但目前基層稅務機關并沒有形成體系化的稅務信息安全風險識別、評估、控制等管理機制。就稅務信息安全風險識別而言,稅務信息并未被確定成為一種資產,因而缺乏稅務信息必要的分類管理。同時,這種安全風險識別僅局限于技術硬件故障或錯誤、技術軟件故障或錯誤、技術淘汰等技術層面,而對于其他層面的信息安全威脅鮮有涉及。就稅務信息安全風險評估而言,由于專業技術和人才的缺乏,加之評估頻率與方法不當,很難真正分析出信息安全風險的高低,影響到控制措施的選擇。就稅務信息安全風險控制而言,由于識別與評估分析中的不健全,使得風險控制策略選擇失去了可信基礎,致使避免、轉移、緩解及接受等風險控制策略無從選擇。
3基層稅務信息安全管理的應對
3.1加大信息安全管理教育培訓,更新稅務信息安全管理理念
應當認識到,稅務信息安全管理既是國家信息安全管理的有機構成,也是基層稅務工作的重要組成部分,它涵蓋稅收信息的采集、整理、存儲、傳輸、反饋、開發及應用等全過程,不僅可以加強稅收收入的規劃性,有效發揮稅收促進生產,調節、監督經濟的作用,還能衡量稅收分配是否合理,稅負負擔是否平衡,保障納稅人的權利。因此,基層稅務部門要摒棄稅務信息安全管理不重要的觀念,提高對稅務信息安全的認識,充分了解稅務信息安全管理的內容、作用及方法,以此更新稅務信息安全管理理念。稅務信息安全管理意識之所以淡薄,原因在于信息安全管理教育與培訓少,稅務信息安全管理專業人才匱乏。對此,一方面要靈活多樣地培訓學習形式,綜合平衡信息安全相關項目,提高稅務工作人員的信息安全意識與能力水平;另一方面,要建立稅務信息安全管理培訓機制,通過組織開展多層次、多方位的信息安全培訓,提高安全員信息安全防范技能,培養稅務信息安全管理骨干。此外,稅收普法宣傳教育中還要強化納稅人信息安全意識。
3.2綜合內外部控制手段,實現稅務信息安全管理方式多元化
稅務信息安全管理是一個系統工程,涉及信息技術體系、信息風險管理及組織管理框架等諸多方面,面對終端規模大、地域分布廣、技術類型多的現實,單純的依靠外部技術手段無法實現稅務信息安全管理,需要內部控制措施予以協同,多元化的管理方法才能更好地、更有效地保障稅務工作人員完成信息安全管理工作。首先,完善稅務信息安全技術手段,做好信息安全防護體系建設和運行管理。不論是采取何種技術手段進行稅務信息管理,都要建立完備的病毒防范、身份鑒別與訪問控制、入侵檢測及信息加密等信息安全管理技術體系,定時檢查并更新硬件設備以確保其可靠性與穩定性。其次,要克服“唯技術論”的傾向,稅務部門要建立統一的信息安全保障中心,保證稅務信息安全集中和集成管理,努力形成完整的數據安全與備份體系。最后,完善稅務信息安全管理內部控制手段,以減輕由于內部人員道德風險、系統資源風險所造成的信息危害。主要是采用人機聯控的控制方式,通過實施一系列的控制活動和保護措施,以實現對與稅務信息安全相關的人與物的管理,并最大限度地保障稅務信息安全。
3.3完善稅務信息安全管理框架,健全稅務信息安全管理制度
借鑒信息安全管理一般理論,完整的稅務信息安全管理框架包括定義稅務信息安全政策、定義稅務信息安全管理范圍、進行稅務信息安全風險評估、確定管理目標和選擇管理措施、準備稅務信息安全適用性聲明、建立相關文檔、文檔的嚴格管理及安全事件記錄回饋。針對目前稅務信息安全管理框架的不完善,稅務部門應嚴格按照信息安全管理框架,制定完善的信息安全規章、明確管理范圍、風險、目標、措施等予以完善。與此同時,還要健全稅務信息安全管理相關制度。一是建議基層稅務機關應成立信息安全領導小組,各區局、科室、所都應明確專人負責稅務信息安全的管理,以健全稅務信息安全管理領導制度;二是建議明確安全事故預防任務、報告時限與程序、處理方法與措施,以健全稅務信息安全事故預防、報告及處理制度;三是建議制定規范、可行的信息安全管理考核機制,明確規定每個稅務工作人員在信息安全方面應承擔的責任、保密要求以及違約責任,以健全稅務信息安全管理責任制度。總之,就是要建立安全管理機構,確定安全管理人員,建立安全管理制度,建立責任和監督機制,切實保障稅務信息安全管理有效開展。
移動電子商務(M-Commerce),是通過手機、PDA(個人數字助理)、呼機等移動通信設備與因特網有機結合所進行的電子商務活動。移動電子商務能提供以下服務:PIM(個人信息服務)、銀行業務、交易、購物、基于位置的服務、娛樂等。
移動電子商務因其快捷方便、無所不在的特點,已經成為電子商務發展的新方向。因為只有移動電子商務才能在任何地方、任何時間,真正解決做生意的問題。
但是對于任何通過無線網路(如:GSM網路)進行金融交易的用戶,安全和隱私問題無疑是其關注的焦點。由于移動電子商務的特殊性,移動電子商務的安全問題尤其顯得重要。尤其對于有線電子商務用戶來說,通常認為物理線纜能帶來更好的安全性,從而排斥使用移動電子商務。移動電子商務是一個系統工程,本文從技術、安全、隱私和法制等方面討論了移動商務的展所面臨的種種問題,并指出這些問題的有效解決是建設健康、安全的移動電子商務的重要保證。
一、移動通信新技術的驅動
1.無線應用協議(WAP)
無線應用協議WAP是無線通信和互聯網技術發展的產物,它不僅為無線設備提供豐富的互聯網資源,也提供了開發各種無線網路應用的途徑。1998年,WAP論壇公布了WAP1.0版本,制定了一套專門為移動互聯網而設計的應用協議,具有良好的開放性和互通性。隨著移動通信網傳輸速率的顯著提高,WAP論壇于2001年頒布了WAP2.0版本,該版本增加了對HTTP、TLS和TCP等互聯網協議的支持,WAP的工作大大簡化。WAP2.0模式有利于實現電子商務所需的端到端安全性,可以提供TLS隧道。
2.移動IP技術
移動IP技術,是指移動用戶可在跨網絡隨意移動和漫游中,使用基于TCP/IP協議的網絡時,不用修改計算機原來的IP地址,同時,也不必中斷正在進行的通信。移動IP通過AAA(Authentication,Authorization,Accounting)機制,實現網絡全方位的安全移動或者漫游功能。移動IP在一定程度上能夠很好地支持移動商務的應用。
3.第三代(3G)移動通信系統
第三代移動通信系統,簡稱3G,是指將無線通信與互聯網等多媒體通信結合的移動通信系統。它能夠處理圖像、話音、視頻流等多種媒體形式,提供包括網頁瀏覽、電話會議、電子商務等多種信息服務。與2G相比,3G產品可提供數據速率高達2Mbps的多媒體業務。在我國,以TD-SCDMA技術為基礎的3G基礎設施和產品的建設和研制發展迅速,我國發展3G的條件已經基本具備。由于3G帶來的高速率、移動性和高安全性等特點,必然會給移動電子商務的應用帶來巨大商機。
4.無線局域網(WLAN)技術
美國電子電器工程師協會IEEE在1991年就啟動了WLAN標準工作組,稱為IEEE802.11,并在1997年產生了WLAN標準-IEEE802.11,后來又相繼推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的標準。802.11WLAN標準自公布之日起,安全問題一直是其被關注的焦點問題。802.11b采用了基于RC4算法的有線對等保密(WEP)機制,為網絡業務流提供安全保障,但其加密和認證機制都存在安全漏洞。802.11i是2004年6月批準的WLAN標準,其目的是解決802.11標準中存在的安全問題。802.11i應用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高級加密標準的CBC-MACProtocol(CCMP)。其中TKIP仍然采用RC4作為其加密算法,可以向后兼容802.11a/b/g等硬件設備。中國寬帶無線IP標準工作組制訂了WLAN國家標準GB15629.11,定義了無線局域網鑒別與保密基礎結構WAPI,大大減少了WLAN中的安全隱患。
二、移動電子商務面臨的安全威脅
盡管移動電子商務給工作效率的提高帶來了諸多優勢(如:減少了服務時間,降低了成本和增加了收入),但安全問題仍是移動商務推廣應用的瓶頸。有線網絡安全的技術手段不完全適用于無線設備,由于無線設備的內存和計算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序。例如:目前還沒有有效抵制手機病毒的防護軟件。
1.網絡本身的威脅
無線通信網絡可以不像有線網絡那樣受地理環境和通信電纜的限制就可以實現開放性的通信。無線信道是一個開放性的信道,它給無線用戶帶來通信自由和靈活性的同時,也帶來了諸多不安全因素:如通信內容容易被竊聽、通信雙方的身份容易被假冒,以及通信內容容易被篡改等。在無線通信過程中,所有通信內容(如:通話信息,身份信息,數據信息等)都是通過無線信道開放傳送的。任何擁有一定頻率接收設備的人均可以獲取無線信道上傳輸的內容。這對于無線用戶的信息安全、個人安全和個人隱私都構成了潛在的威脅。
2.無線adhoc應用的威脅
除了互聯網在線應用帶來的威脅外,無線裝置給其移動性和通信媒體帶來了新的安全問題。考慮無線裝置可以組成adhoc網路。Adhoc網絡和傳統的移動網絡有著許多不同,其中一個主要的區別就是AdHoc網絡不依賴于任何固定的網絡設施,而是通過移動節點間的相互協作來進行網絡互聯。由于其網絡的結構特點,使得AdHoc網絡的安全問題尤為突出。Adhoc網路的一個重要特點是網絡決策是分散的,網絡協議依賴于所有參與者之間的協作。敵手可以基于該種假設的信任關系入侵協作的節點。
3.網路漫游的威脅
無線網路中的攻擊者不需要尋找攻擊目標,攻擊目標會漫游到攻擊者所在的小區。在終端用戶不知情的情況下,信息可能被竊取和篡改。服務也可被經意或不經意地拒絕。交易會中途打斷而沒有重新認證的機制。由刷新引起連接的重新建立會給系統引入風險,沒有再認證機制的交易和連接的重新建立是危險的。連接一旦建立,使用SSL和WTLS的多數站點不需要進行重新認證和重新檢查證書。攻擊者可以利用該漏洞來獲利。
4.物理安全
無線設備另一個特有的威脅就是容易丟失和被竊。因為沒有建筑、門鎖和看管保證的物理邊界安全和其小的體積,無線設備很容易丟失和被盜竊。對個人來說,移動設備的丟失意味著別人將會看到電話上的數字證書,以及其他一些重要數據。利用存儲的數據,拿到無線設備的人就可以訪問企業內部網絡,包括Email服務器和文件系統。目前手持移動設備最大的問題就是缺少對特定用戶的實體認證機制。
三、移動商務面臨的隱私和法律問題
1.垃圾短信息
在移動通信給人們帶來便利和效率的同時,也帶來了很多煩惱,遍地而來的垃圾短信廣告打擾著我們的生活。在移動用戶進行商業交易時,會把手機號碼留給對方。通過街頭的社會調查時,也往往需要被調查者填入手機號碼。甚至有的用戶把手機號碼公布在網上。這些都是公司獲取手機號碼的渠道。垃圾短信使得人們對移動商務充滿恐懼,而不敢在網絡上使用自己的移動設備從事商務活動。目前,還沒有相關的法律法規來規范短信廣告,運營商還只是在技術層面來限制垃圾短信的群發。目前,信息產業部正在起草手機短信的規章制度,相信不久的將來會還手機短信一片綠色的空間。
2.定位新業務的隱私威脅
定位是移動業務的新應用,其技術包括:全球定位系統,該種技術利用24顆GPS衛星來精確(誤差在幾米之內)定位地面上的人和車輛;基于手機的定位技術TOA,該技術根據從GPS返回響應信號的時間信息定位手機所處的位置。定位在受到歡迎的同時,也暴露了其不利的一面——隱私問題。移動酒吧就是一個典型的例子,當你在路上時,這種服務可以在你的PDA上列出離你最近的5個酒吧的位置和其特色。或者當你途經一個商店時,會自動向你的手機發送廣告信息。定位服務在給我們帶來便利的同時,也影響到了個人隱私。利用這種技術,執法部門和政府可以監聽信道上的數據,并能夠跟蹤一個人的物理位置。
3.移動商務的法律保障
電子商務的迅猛發展推動了相關的立法工作。2005年4月1日,中國首部真正意義上的信息化法律《電子簽名法》正式實施,電子簽名與傳統的手寫簽名和蓋章將具有同等的法律效力,標志著我國電子商務向誠信發展邁出了第一步。《電子簽名法》立法的重要目的是為了促進電子商務和電子政務的發展,增強交易的安全性。
參考文獻:
根據信息管理的具體應用業務流程,并且結合系統級安全策略,動態對系統中的不同信息和用戶賦予不同的權限。例如,在OA系統中,可以設定系統中的具體文檔、合同的閱讀者和審核者范圍,甚至可以對哪些用戶可以文檔中某一部分的內容進行閱讀或者修改的權限進行設定,采用動態權限機制來保證系統的安全;
(2)操作記錄
將用戶操作進行自動記錄和存檔,同時保存文檔修改之前和之后的版本,從而記錄下文檔的修改軌跡。
2安全技術具體應用案例
2.1信息管理系統安全分析
由于電力市場的特點決定,電力系統參與的各個主體分別代表了不同的利益團體,例如電力公司信息管理系統中的交易熱暖,能夠申報授權范圍內的交易數據,對市場信息進行查詢;結算人員可以對各類交易的執行情況和執行結果進行考核結算。因此,為了防止系統用戶在信息管理系統中進行越權操作,或者操作不當給各方帶來的損失,需要對電力公司的信息管理系統進行安全控制。由于電力公司所涉及的業務廣泛,為此電力公司內部信息管理系統數量眾多,主要包括負責對發電廠、輸配電線、變電站的正常運行和生產進行監控的SCADA/EMS系統,負責電網調度運行、電網通信、繼電保護進行綜合管理的DMIS系統,負責電力企業決策支持的MIS系統,以及負責電力企業辦公自動化的OAS系統等。根據電力行業的特點,要求在電力公司信息管理系統中必須要確保SCADA/EMS系統的安全性,其他信息管理系統安全性要求也較高。
2.2信息管理系統網絡結構設計
目前,為了提高電力公司信息管理系統的安全性,電力公司采取如圖1所示的,包括SPnet(電力信息網)和SPDnet(調度信息網)的專用網絡和Internet公共網絡相結合的網絡結構。通過內網與外網的物理隔離,既滿足了MIS系統、OAS系統的Internet用網需求,同時也保證SCADA/EMS不能夠直接訪問Internet,從而最大程度上的保證系統安全。
2.3信息管理系統安全體系結構設計
信息管理系統的安全體系結構設計。在電力公司信息管理系統安全體系結構中采用了如下的安全策略來保證信息管理系統的安全。
(1)分區安全保護策略
根據電力公司內部各信息管理系統所管理業務的重要性,對信息管理系統的安全級別進行劃分,重點保護網絡內的安全區Ⅰ內的SCADA/EMS實時監控系統,和安全區Ⅱ內的交易系統;
(2)橫向隔離
安全區Ⅰ與安全區Ⅱ內部的時監控系統,和交易系統采用防火墻進行邏輯隔離,而安全區Ⅰ、Ⅱ與安全區Ⅲ、Ⅳ之間采用正向和反向專用的安全隔離裝置進行物理隔離;
(3)專網專用
SPDnet調度網提供兩個邏輯隔離的安全隔離裝置與安全區Ⅰ和Ⅱ進行通信,SPnet電力信息網與SPDnet調度網實現物理隔離;
(4)縱向認證與保護
安全區Ⅰ和Ⅱ的邊界都設置了具有加密和認證功能的安全網關,而Ⅲ和Ⅳ的邊界部署了防火墻;
(5)整個網絡只有安全級別最低的安全區Ⅳ通過防火墻直接訪問Internet
從如上的分析可以看出,根據不同信息管理系統的需要,可以靈活應用物理隔離技術、邏輯隔離技術,以及輔以系統安全技術和應用安全技術,來多方位的保證系統中信息管理系統的安全。
2信息技術在道路安全管理中的應用
如果說對氣象、交通、緊急事件信息的采集是實施道路安全管理的基礎,那么對這些信息的高效及時就是道路安全管理的重中之重。在道路交通運營過程中,交通狀況處于不斷的變化中,不良的天氣氣候因素(大風、雨雪、霧霾等)會對道路運行安全造成很大的影響,容易引發車輛拋錨、追尾等突發緊急事故,從而降低道路交通的通行能力。所以,道路運行網絡系統,需要將相關的信息及時準確的出來,為駕駛員行車路線的選擇提供有力的依據。為了能夠保證信息系統能夠發揮對道路安全管理的作用,要求道路網絡信息系統具備一定的功能,具體的功能要求體現在以下幾個方面:
(1)能夠及時準確的氣象信息;
(2)能夠為用戶提供有關道路中路面、隧道、橋涵等狀態信息,還包括各種設備的檢修情況;
(3)具備道路使用信息的功能,能夠提供道路運行狀態,包括堵塞、關閉、事故、施工或通暢,為駕駛員線路選擇提供依據;
(4)具備道路限速信息功能;
(5)具備警告信息的能力,包括違章警告、擁擠警告、排隊警告、施工警告、事故警告、環境警告等;
(6)對限速原因、限速值等信息的供功能。信息技術主要包括圖形式可變信息板、移動通訊、文字式可變信息板、交通廣播、車載系統、路旁無線電等。各種信息方式都具有各自的優缺點,如車載系統具有信息量大、針對性強、信息及時等優點,但同時也具有投資大、技術要求高等缺陷。再如可變限速標志能夠加強駕駛員對限速的重視,并了解限速原因,但缺點在于其的信息較為單一。在道路交通安全管理過程中,需要根據不同信息對象,選擇不同的信息技術。信息對象主要包括駕駛員、交通救援部門、交通管理部門等。
3道路安全管理總信息技術發展方向
隨著科技水平的進步,越來越多先進的信息技術應用到道路安全管理中,同時信息通信技術、傳感技術、人工智能技術等也得到了長足的進步。基于此,道路安全管理工作中信息技術發展前景主要表現在以下幾個方面:
(1)信息技術整體性能提升。特別是傳感器技術的發展,強化了檢測器各項功能。一方面,根據電磁場變化原理,開發功能更加強大的車輛檢測器,改進信號處理裝置以及探頭,提高檢測器的使用壽命;另一方面,基于超聲波、微波等電磁感應原理,提高檢測器的抗干擾能力,提高檢測器的安裝、維護簡單性。
(2)系統化、機電一體化發展前景。以信息技術為基礎,充分利用科學計算方法以及人工智能技術,使道路安全管理信息化技術向著更加智能化、系統化的方向發展。如感應線圈智能交通流量檢測儀、遙感微波檢測器、紅外線定位攝像系統等的開發與研究。
(3)在現有的信息技術基礎上,加強對新技術的開發,包括用新的計算機圖像處理技術,代替傳統的視頻監測技術,實現對更多車輛運行參數的在線監測,提高交通監控圖像識別的準確性與實時性。
1規劃安全過濾規則
依據具體的計算機網絡安全防護策略和確切的目標,科學規劃安全過濾規則,嚴格審核IP數據包,主要包含以下內容:端口、來源地址、目的地址和線路等,最大限度地禁止非法用戶的入侵。
2設置IP地址
在計算機網絡中,針對全體用戶,規范設置相應的IP地址,進而使防火墻系統能夠準確辨別數據包來源,切實保障計算機網絡的全體用戶均能利用和享受安全的網絡服務。
3安裝防火墻
通過防火墻,在網絡傳輸信息的過程中執行訪問控制命令,只允許通過防火墻檢測合格的用戶和數據才能進入內網,禁止一切不合格用戶或者不安全數據的訪問,有效地抑制了網絡黑客的蓄意攻擊,避免他們擅自修改、刪除或者移動信息。現階段,防火墻發展成熟且效果顯著,在計算機網絡信息安全的防護中發揮著重要的作用,它能夠最大限度地避免病毒傳播到內網。
4有效利用入侵檢測技術
入侵檢測技術能夠有效防范源自內外網的攻擊,分析計算機網絡信息安全防防護策略的性質可知,防火墻的本質為一種被動防護,為進一步增強其主動性,應有效利用入侵檢測技術,積極防范惡意攻擊。
5定期升級殺毒軟件
為避免計算機內部信息被惡意盜竊,應主動使用殺毒軟件,定期對其進行升級操作,進而不斷增強殺毒軟件的安全防護能力,高效防護計算機內部信息,切實保障內部信息安全。分析計算機網絡信息安全防護現狀可知,殺毒軟件屬于一種經濟適用的安全防護策略,具有較強的安全防護效果,并在現實生活中得到了有效的證實。
6治理網絡中心環境
為達到增強計算機網路信息安全性的目的,應全面治理計算機網絡中心環境,以硬件設施為切入點,及時解決網絡硬件的各種問題,避免因硬件設施故障而引發自然災害現象的發生,提升網絡硬件的工作效率,增強網絡硬件設施的安全性和可靠性,進而達到計算機網絡信息管理標準。
二、檔案管理信息化中安全風險評估的作用
人們在進行檔案信息管理的過程中受到認識能力以及實踐能力的限制,不能夠保證信息管理的完全安全性,所以檔案信息管理系統在一定程度上存在著脆弱性,這種情況導致在使用檔案信息的過程中面臨著一些人為或者是自然條件的破壞,所以檔案信息管理存在安全風險具有必然性。因此,對檔案信息管理進行安全風險評估具有重要的意義,信息安全建設的前提是,基于對綜合成本以及效益的考慮,采取有效的安全方法對風險進行控制,保證殘余風險降低在最小的程度。因為,人們追求實際的信息系統的安全,是指對信息系統實施了風險控制之后,接受殘余風險的存在,但是殘余風險應該控制在最小的程度。所以,要保證檔案信息系統的安全可靠性,就應該實施全面、系統的安全風險評估,將安全風險評估的思想以及觀念貫穿到整個信息管理的過程中。通常情況下,信息安全風險主要指的是在整個信息管理的過程中,信息的安全屬性所面臨的危害發生的可能性。產生這種可能性的原因是系統脆弱性、人為因素或者是其他的因素造成的威脅。用來衡量安全事件發生的概率以及造成的影響的指標主要有兩種。然而,危害的程度并不只取決于安全事件發展的概率,還與其造成的后果的嚴重性的大小有著直接的關系。安全風險評估具有很多的特點。首先,它具有決策支持性,這個特點在整個安全風險評估周期中都存在,只是內容不相同,因為安全評估的真正目的是供給安全管理支持以及服務的。在系統生命周期中都存在著安全隱患,所以整個生命周期中都離不開安全風險評估。其次,比較分析性,這個特點主要體現在對安全管理和運營的不同的方案能夠進行有效的比較以及分析;能夠對不同背景情況下使用的科學技術以及資金投入進行比較分析;還能夠對產生的結果進行有效的比較分析。最后,前提假設性,對檔案信息進行管理的過程中所使用的風險評估會涉及到各種評估數據,這些數據能夠被分為兩種。其中一種數據的功能是對檔案信息實際情況的描述,通過這些數據就可以了解整個檔案管理信息中的情況;另一種數據是指預測數據,主要是根據系統各種假設前提條件確定的,因為在信息管理的整個過程中,都要對一些未知的情況進行事先的預測,然后做出必要的假設,得出相關的預測數據,再根據這些預測數據對系統進行風險評估。
三、檔案管理不同階段
進行不同的風險評估信息系統的開發涉及到很多的模型,而且隨著科學技術的快速發展,各種模型都在不斷的升級。從最早期的線性模型到螺旋式模型再到后來的并發式的模型,這些系統模型的開發都是為了滿足不同的系統需求。然而,風險評估卻存在于整個信息系統的生命周期中,但是由于信息系統的生命周期中有很多的階段,而且每一個階段活動的內容都有所差別,因此信息管理的安全目標以及對安全風險評估的要求也是不同的。
(一)對于分析階段的風險評估。其真正的目的是為了實現規劃中的檔案信息系統安全風險的獲得,這樣才能夠根據獲得的信息來滿足安全建設的具體需求。分析階段的風險評估的重點是抓住系統初期的安全風險評估,從而有效的滿足對安全性的需求,然后從宏觀的角度來分析和評估檔案信息管理系統中可能存在的危險因素。
(二)設計階段的安全風險評估。這個階段涉及到的安全目標比較多,所以能夠有效的確定安全目標具有重要的意義。應該采取有效的措施,通過安全風險評估,保證檔案信息管理系統中安全目標的明確。
(三)集成實現階段。這個階段的主要目的是要驗證系統安全要求的實現效果與符合性是否一致,所以,應該通過有效的風險評估對其進行驗證。需要注意的是,在進行資產評估的時候,如果在分析階段以及設計階段已經對資產進行了評估,那么在這個階段就不需要再重新做資產評估的工作,防止重復性工作的發生。所以,可以直接用前兩個階段得出的資產評估的結果,但是如果在分析階段和設計階段都沒有進行資產評估,則需要在此階段先進行這項工作。威脅評估依然著重威脅環境,而且要對真實環境中的具體威脅進行有效的分析。除此之外,還應該對檔案信息管理系統進行實際環境的脆弱性的有效分析,重點放在信息的運行環境以及管理環境中的脆弱性的分析。
(四)運行維護階段。對檔案管理系統不斷的進行有效的風險評估,從而確保系統的安全、可靠性,這樣才能夠保證檔案管理系統在整個生命周期中都處于安全的環境。
四、檔案信息安全風險評估存在的不足
我國在檔案信息安全風險評估方面已經取得了很大的成就,積累了一些寶貴的經驗。但是,由于我國檔案信息安全風險評估工作起步晚,還存在一些不足之處,主要表現在以下幾點。
(一)管理層對于信息安全風險評估缺乏一定的重視,而且缺少一些專業評估技術人員。當前評估技術人員的專業技能不高也是現階段存在的問題。所以,應該對評估人員進行定期的培訓,提高他們的專業技能,保證風險評估工作有效的進行,同時還應該采取有效的措施來提高工作人員對于風險評估的重視,是檔案管理信息化環境處于安全的運行環境中。
(二)風險評估的工作流程還不夠完善,而且一些風險技術標準也需要進一步的更新。檔案信息化管理的風險評估,不僅僅是一個管理的過程,也是一個技術性的過程,所以應該根據實際情況來科學合理地制定工作流程和技術標準。如果所有的環境和情況都套用一種工作流程和一個技術標準,就會導致不匹配現象的出現,不僅影響風險評估的效果,而且在一定程度上還影響信息系統的安全性。
(三)評估工具的發展比較滯后,隨著科學技術的快速發展,信息安全漏洞會逐漸顯露出來,所以對信息系統的威脅逐漸增加。應該采用先進的評估工具對其進行風險評估,從而滿足檔案管理信息化的需求。
2檔案管理工作者信息安全素質現狀
2.1信息化管理意識欠缺
檔案管理者對于檔案信息化的認識比較淺,不能夠將電子文件作為我國的一項戰略信息資源,不能夠對檔案信息網絡安全有較深的意識,在自己的日常工作中就不能夠去有意識的進行預防,積極的應對,這是導致信息化管理意識比較緩慢的主要原因。
2.2信息化管理專業基礎知識相對薄弱
信息技術的日新月異,已經掌握的技能方法如果不及時更新就會很快過時。檔案工作者不是信息技術專業人員,信息安全意識的缺乏使他們雖然意識到自身信息安全技能的不足,但由于缺乏強制性的提升專業水平的制度要求和定期的培訓機制,使他們的信息安全能力與實際工作要求的差距越來越大。對于老的檔案管理者雖然掌握了檔案管理知識,但是缺乏信息技術能力,不少掌握信息技術的年輕檔案工作者有的雖然掌握信息技術,但是又缺乏檔案管理知識,而有的年輕的檔案管理者由于在待遇、職稱、前景等問題上的偏差認識而主動改行從事其他工作,使得整體信息技術水平偏低的檔案部門更加缺乏掌握信息技術的人才。
3提高檔案工作者信息安全素質的對策
3.1提升檔案管理者的工作敏銳性,增加責任感
信息化時代大環境下,有很多的新領域和載體出現,在檔案界引起了一些改變,同時也是提升了對檔案管理人員的素質要求,我們要對檔案管理工作的基礎性有一個比較深刻的認識,將工作的重點置于服務和管理上,通過轉變工作的著力點來提升管理能力和服務效率,改善觀念,將檔案管理的綜合功能較好的發揮出來,對現有的領域進行拓展,變更服務模式,迎合現代檔案需求,不斷的開創進取,讓檔案管理可以為經濟發展和社會發展提供幫助。
3.2提升檔案管理人員的專業素質和水平
為檔案工作者進行信息安全素質培養。對新入的檔案工作者以及現有的檔案管理者進行培訓,針對他們的不同薄弱環節進行加強,增加檔案管理知識,提升檔案管理水平。根據不同崗位來進行任務的分配,根據檔案人員自身的差異性來編排培訓時間和內容,對培訓結果進行考核。檔案工作者在具備了一定的信息安全技術之后,需要對自己所需要承擔的社會責任以及義務有明確的認識,能夠知法、懂法、遵法,自覺的對違法行為進行監督管理,對知識產權和隱私給予保障,使用信息安全技術來提升檔案管理效率和安全性。
3.3對檔案信息管理制度進行強化
現在我國已經存在一些信息安全標準以及相關規定,可是這些規定尚處于初期,并不完善,存在很多的問題,還有很多的內容需要在探索中完善,這些標準和規定中涉及到檔案信息管理者的信息安全素質的要求和內容,這也就導致了實際的問題還無法獲得解決,因此無法將我國檔案管理者信息安全素質差的現狀給扭轉過來。因此需要將檔案信息管理制度進行強化,對現有的內容和標準進行完善,對檔案管理工作者進行標準制定,結合當前的檔案管理工作,選用優秀的檔案管理人員,引入優秀的檔案管理人才,提升檔案隊伍的整體水平。還有就是對檔案管理工作者的專業技術職務進行考核,將信息素質作為考核的項目之一,督促檔案工作者能夠自主的進行檔案信息管理內容的學習,根據崗位差異來具體的調整制度,方便其執行。
1.計算機網絡病毒的危害。
在危及信息系統安全的諸多因素中,計算機病毒一直排在首要的防范對象之列,日益增加的無孔不入的計算機網絡病毒,就對網絡計算機安全運行構成了最為常見、最為廣泛的每日每時、無處不在的頭號威脅。計算機病毒發作輕則在硬盤刪除文件、破壞盤上數據、造成系統癱瘓、造成無法估量的直接和間接損失。嚴重的情況下會影響教學管理,校內信息等難以彌補的延續后果。
2.人為的無意失誤。
如操作員安全配置不當,造成的安全漏洞。用戶安全意識不強,用戶口令選擇不慎,用戶隨意將自己的帳號轉借他人或與別人共享等都會對信息系統安全帶來威脅。
3.人為的惡意攻擊。
這是計算機網絡所面臨的最大威脅。黑客的攻擊和計算機犯罪就屬于這一類。這類攻擊有兩種情況:一種是主動攻擊。它以各種方式有選擇地破壞重要數據信息的完整;另一種是被動攻擊。它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種情況的攻擊都會對計算機信息系統造成極大的危害,并導致機密數據的泄露。
4.操作系統及網絡軟件的漏洞和"后門"。
當前計算機的操作系統和網絡軟件不可能是百分之百的無缺陷和無漏洞,然而這些漏洞的缺陷恰恰是黑客進行攻擊的首選目標,另外,軟件的"后門"都是軟件公司設計編程人員為了自己方便而設置的,一般不為外人所知,但一旦"后門"洞開,其后果將不堪設想。
二、安全措施
針對學校里使用的各類信息管理系統,要構建完善的校園系統安全體系,網絡安全建設主要包括以下幾方面內容:應用防病毒技術,建立全面的網絡防病毒體系;應用防火墻技術,控制訪問權限、實現網絡安全集中管理,必要時采用內網與外部網絡的物理隔離,根本上杜絕來自internet的黑客入侵;應用入侵檢測技術保護主機資源,防止內部輸入端口入侵;應用安全漏洞掃描技術主動探測網絡安全漏洞,進行定期網絡安全評估與安全加固;應用網絡安全緊急響應體系,做好日常數據備份、防范緊急突發事件。
1.建立網絡防病毒體系。
在校園網絡中要做好對計算機病毒的防范工作,首先要在校園系統內部制定嚴格的安全管理機制,提高網絡管理人員和系統管理員的防范意識,使用正版的計算機防毒軟件,并經常對計算機殺毒軟件進行升級。
2.建立防火墻體系。
防火墻是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻擋來自外部網絡的侵入,使內部網絡的安全有了很大的提高。
3.建立入侵檢測系統。
入侵檢測系統是近年出現的新型網絡安全技術,目的是提供實時的入侵檢測及采取相應的防護手段,記錄證據用于跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要是因為它能夠對付來自內外網絡的攻擊。其次是因為它能夠縮短黑客入侵的時間。在需要保護的主機網段上安裝入侵檢測系統,可以實時監視各種對主機的訪問請求,并及時將信息反饋給控制臺,這樣全網任何一臺主機受到攻擊時系統都可以及時發現。網絡系統安裝網絡入侵檢測系統后,可以有效的解決來自網絡安全多個層面上的非法攻擊問題。它的使用既可以避免來自外部網絡的惡意攻擊,同時也可以加強內部網絡的安全管理,保證主機資源不受來自內部網絡的安全威脅,防范住了防火墻后面的安全漏洞。
4.建立安全掃描系統。
安全掃描技術是又一類重要的網絡安全技術。安全掃描技術與防火墻、入侵檢測系統互相配合,能夠有效提高網絡的安全性。通過對網絡的掃描,網絡管理員可以了解網絡的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級。網絡管理員可以根據掃描的結果更正網絡安全漏洞和系統中的錯誤配置,在黑客攻擊前進行防范。如果說防火墻和網絡監控系統是被動的防御手段,那么安全掃描就是一種主動的防范措施,可以有效避免黑客攻擊行為,做到防患于未然。
5.建立計算機災難恢復系統。
災難恢復系統是為了保障計算機系統和業務在發生災難的情況下能夠迅速地得以恢復而建立的一套完整的系統。它包括備份中心、計算機備份運行系統、可根據需要重置路由的數據通訊線路、電源以及數據備份等。此外災難恢復系統還應當包括對該系統的測試和對人員的培訓,這將有助于參與災難恢復系統的系統管理員能夠更好地對災難的發生做出合理的響應。
高校計算機信息系統受到如地震水災等自然災害和突發自然事件造成的破壞,也存在因設備老化或毀損以及計算機操作系統的崩潰造成的信息資料損失,和服務器設備丟失或被破壞等物理層面的安全問題。
(二)網絡層面的安全問題。
校內網絡是連接整體外界互聯網絡的,容易受到來自外界互聯網的惡意攻擊,同時整個數據在校內局域網絡進行傳播時在沒有對數據進行加密情況下被監控和改變也會發生。并且在計算機病毒從外界互聯網和內部校內局域網都可以進入到整個系統中,破壞存儲的數據和操作系統。最后,在路由器和相應的體系輔助設備中也存有安全漏洞問題。
(三)應用層面的安全問題。
體系的數據中心擁有著計算機信息校園整個關于教學和科研以及各高校主要構成的數據信息運行工作,是高校計算機信息系統管理的核心。在用校內局域網絡進行連接促使信息高效應用中也產生了任何網絡終端都可以進入整個數據中心,在安全層面造成了風險。
(四)數據層面的安全風險。
高校計算機信息系統是對數據進行輸入和整理以及提供服務的過程,大量的數據交換和數據儲存和相應的數據修改調整都面對各層面的安全風險威脅。
二、高校計算機信息安全管理體系的對策
(一)物理層面的安全對策。
對物理層面的安全防護需要在成本和管理機制優化上進行考慮,對每個零散的設備單元統一進行管理防護。對相應的重要數據庫和重要的配置服務器設備要進行統一的機房維護,在機房的環境和溫度以及濕度上都要進行考慮和定期測量。同時,在機房內的電路電源以及出現停電時的后備電源要進行保障,對出現機房建筑不穩定和受到外界干擾影響程度大時,要及時進行修復。同時每個核心設備間要有足夠的距離保證不受到電磁輻射的干擾。
(二)網絡層面的安全對策。
目前高校的外聯手段會涉及到網卡和藍牙以及USB等相應設備,這些終端的維護和保障是可以防止常規的惡意侵害方式的。要在固定網絡中設有相應的端口輸入限制和對協議不完整的連接及時終端,相關交換機實現對用戶搜索的數據整理的規范化。
(三)應用層面的安全對策。
高校計算機信息系統是面向校園內信息數據流動而服務的,在各個相關服務器和數據庫中需要加強安全域的建設,并對每個需要防護的病毒和數據保障方案和備份方案都要進行統一建立。在主要信息存在的數據中心內要對所涉及的各計算機信息系統硬件和相應配置設備,以及數據資源進行定期維護和安全級別的相應建立,監控和預防可能出現的各種情況。對數據中心的安全域級別設定為頂級并加強各分支系統的保障手段。
(四)數據層面的安全對策。
對本地需要加密的數據做好相應的儲存和終端防護,對設立相應安全文件夾,由專人進行管理。對每個需要寫入的儲存信息,進行寫入指令的控制,要求具有一定安全性的信息可以寫入數據儲存設備。每個客戶端口要建立USB安全管理策略,需要系統內部認證并通過才可以進行只讀等權限設定。
1.1標簽自身的訪問缺陷
由于標簽的成本有限,標簽自身很難具備保證安全的能力,這就使整個系統面臨了很大的安全問題。非法用戶能夠利用合法的閱讀器或是自己構建一個閱讀器與標簽直接進行通信。進而輕松獲取標簽里面的數據。對于讀寫標簽,還能夠被非法用戶篡改標簽內數據。
1.2通信鏈路上的安全問題
RFID的信息通信鏈路是無線通信鏈路。與傳統的有線連接的端到端傳輸不同,無線傳輸相當于廣播,信號本身就是開放式的。信號覆蓋區域內的非法用戶可以很方便的進行各種操作如下:(1)非法截取竊聽通信信息數據;(2)業務拒絕式攻擊,通過發射大量干擾信號來堵塞區域內通信鏈路,使閱讀器不斷接收處理垃圾數據,而無法接收處理標簽發送過來的正常數據;(3)利用冒名代替正常的標簽向閱讀器發送虛假數據,使得閱讀器處理的都是非法用戶的數據,真實數據則被隱藏起來。
1.3閱讀器內在的安全風險在閱讀器中,只有提供一些簡單的數據篩選,時間過濾和管理功能,對外只提供用戶對應的業務接口,沒有用于提升安全性能的相應接口。
1.4后端系統的脆弱性
除了前端標簽,閱讀器以及標簽閱讀器之間存在的風險,后端系統同時存在安全問題,例如后端數據的儲存安全,后端系統訪問安全,后端系統與其他系統的交互安全等。根據上述的RFID缺陷問題,容易引發的攻擊方式可分為:主動攻擊和被動攻擊。主動攻擊:對獲取到的標簽,在實驗室環境下通過物理手段去除標簽芯片的外部封裝,使用微探針進行敏感信號獲取,從而進行重構標簽的復雜性攻擊;通過軟件手段,利用微處理器上的通用通信接口,不斷掃描,探詢標簽與讀寫器間的安全認證協議與加密算法以及對應存在的弱點,進行篡改標簽內容的攻擊;通過發送大量干擾廣播以阻塞信道或使用其他手段,使區域內工作環境異常,閱讀器無法正常工作,進行業務拒絕式攻擊等。被動攻擊:采用竊聽技術,通過分析正常工作下微處理器產生的各種電磁信號,獲得標簽和識讀器之間或與其他RFID設備之間的通信信息(由于接收到閱讀器傳來的密碼不正確時標簽的能耗會上升,功率消耗模式可被加以分析以確定何時標簽接收了正確和不正確的密碼位)。
2RFID安全認證與讀寫安全設計實現
RFID的安全認證主要提供對信息來源方的鑒別、保證信息的完整和不可否認等功能,而這三種功能都需要通過數字簽名實現。數字簽名的基本過程為:發送方將明文用相關算法獲得數字摘要,用簽名私鑰對摘要進行加密得到數字簽名,發送方將明文與數字簽名一起使用對稱加密發送給接收方;接收方先使用秘鑰解密,然后使用發送方公鑰解密數字簽名,則驗證發送方真實身份并得出數字摘要;接收方將明文采用同樣算法計算出新的數字摘要,對比兩個數字摘要,相同則證明內容未被篡改。該密鑰系統既能發揮對稱加密算法加密效率高、速度快,安全性好的優點;又能發揮非對稱加密算法密鑰管理方便、安全性高、可實現數字簽名的優點;各取所長,使得RFID系統更安全、快速,運行代價更低。
電力信息化是以網絡通訊、數據庫、電子信息等技術為基礎的,隨著工作量的增加,產生的數據資料越來越多。若采用傳統的人工管理模式,效率低下,容易丟失,且不易長期保存。在計算機網絡技術的帶動下,電力行業相繼實現了信息化管理,工作效率得以大幅提升。但其安全首先要有保證,信息安全即信息要真實、完整、有效、可控,電力行業與人們生活及國民經濟密切相關,一旦信息被篡改或被盜竊,將帶來嚴重的損失。網絡在提供諸多方便的同時,也容易被攻擊,所以電力信息安全必須得到重視。
1.2現狀
與國外發達國家相比,國內的電力信息化化技術起步較晚,稍顯落后。近些年來,電力行業有了很大進步,信息技術也在不斷改進,這意味著我國在此方面有著廣闊的應用前景。電力信息化涉及諸多因素,是一項長期復雜的工程,我國目前還存在著些許不足。
(1)信息安全意識薄弱,電力部門領導階層雖能認識到信息化給電力行業帶來的積極作用,但對信息安全有所忽視。認為采用先進的設備和軟件就能保證信息絕對地安全,以至于防護措施較為簡單,不能真正保護信息的完整性和真實性。黑客攻擊、病毒植入等手段越來越高明,很多關鍵性信息存儲于計算機中,很容易被侵入。
(2)硬件和軟件是信息化管理的重要部分,但總體來說,國內軟硬件水平偏低。如缺少自己研發的技術和品牌,多從國外引進,并未掌握其中的核心技術,致使不少的防病毒系統不能進行全面防御,也就無法充分發揮其作用。甚至有些部門只重硬件,而忽略了軟件,在硬件設備的性能、配置、功能上不斷創新,軟件技術卻長期沒有更新,難以滿足越來越高的要求。
(3)由于技術落后,國內還未真正建立起一個有權威的信息化標準體系,全國各地的標準都不統一,在很大程度上破壞了信息的安全性。而電力部門也沒有制定規范標準,致使信息安全管理出現混亂,各環節不能緊密相連,極易引起信息堵塞,無法實現資源共享,給不法分子以可乘之機。
2實例分析電力運行管理信息安全運行的因素
某電力公司建于1986年,在2002年采用信息化技術之前,主要是靠人工來管理,但效率十分低下。不能及時獲取市場信息,消息閉塞,以至于公司多次做出的決策都比較滯后。與外部其他企業缺少交流,難以從中借鑒先進的經驗和技術。隨著用電需求的增長,客戶越來越多,工作量日益繁重,有大量的信息資料需要記錄處理。公司多采用紙質檔案的方式存儲,在起步階段,出現了幾次資料丟失的事件,給公司造成一定的損失,而且紙張不易長期保存。公司內部有著明確分工,各部門只顧自己工作,溝通較少,使得信息不能流暢地在內部傳遞。2002年公司采用了信息化技術,工作效率明顯提高,但也存在有不足之處。如網絡安全防范系統不夠完善,攻擊者有兩次發現了其中漏洞,并進行侵占;信息網絡管理不合理,沒有可行的制度和完整的管理體系,流程也不完整,使其作用有所減弱;缺少專業技術人才,特別是有技術又懂管理的人才,部分管理人員是從其他部門調來的,不了解信息網路運行現狀。在發現潛在隱患,或遇到突發安全事故時,往往不能有效及時地處理。2006年,公司對信息化技術進一步完善,總結了存在的問題,并采取相關措施予以糾正解決。
3維護電力信息安全運行的管理措施
3.1強化信息安全意識,完善安全管理制度
電力部門深刻認識到電力信息化的前提是要保證其安全性,否則一系列后續工作都無法開展。領導階層不斷學習,加大了在信息網絡安全教育上的投入,對全體人員進行專業培訓,并制定了安全防護策略,將其徹底落實。負責人對信息安全體系的標準及目標作為重點工作來抓,積極宣傳有關知識,同時根據企業實際情況制定了信息安全管理制度,規范各個部門的行為。實行責任制,避免出現互相推卸責任的情況。
3.2提高工作人員的綜合素質
聘用專業人員,需持證上崗,根據個人能力安排相應的崗位。采用獎懲制度,建立起良性競爭,對表現優秀者予以適當的獎勵,在內部培養一致高素質的專業隊伍。及時更新信息網絡技術,了解現狀,并安排工作人員積極學習新內容,掌握如何運用新的技術。此外,公司對工作人員的職業素質也尤為重視,培養其認真負責的工作態度。
3.3采用信息安全防范技術
(1)防火墻技術。供電系統的生產、計量、營銷、調度管理等系統之間,信息的共享、整合與調用,都需要在不同網段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權限合理享用信息資源。
(2)建立了信息安全身份認證體系。供電企業面對來自內部和外部信息安全風險威脅,需建立有效的信息安全身份認證體系,實現網絡危險過濾、終端準入、用戶識別、上網授權等功能,警告或禁止檢查不通過的終端訪問企業內部資源,最終實現企業內網用戶終端安全性的提升,達成企業整網上網安全性的保障。
3.4加強信息設備管理
(1)購買設備時,要注意其售后保障服務,將風險最低化。設備會出現老化的問題,需要及時的更新換代;設備管理人員可能存在技術經驗不足的問題,不能及時地解決故障。這時就需要相關的售后服務來保障。
