时间:2023-04-08 11:45:36
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇信息安全管理论文范例。如需获取更多原创内容,可随时联系我们的客服老师。
1.1岗位人员安全意识薄弱
岗位人员随便下载安装个人需要的软件程序,往往会在安装软件的过程中直接将一些安装程序中附带的插件也装在了操作系统中,如果是恶性插件,必然会造成系统的不稳定,严重者甚至会造成信息安全事件的发生,这些事件的发生很大程度上就是因为岗位人员安全意识薄弱所造成的。安全意识薄弱的因素有很多,一是相关技术部门没有长期的进行图书馆信息安全意识的思想灌输;二是岗位人员本身对信息安全意识重视不够。
1.2人员安全管理制度不完善,执行力不高
制度的制定给予管理提供依据,无制度便无章可循,相关工作就会混乱无章。虽然多数高职院校图书馆在人员安全管理方面都制定了相关的管理制度,但制度的内容不够完善,很多细节问题不够全面,甚至只是“白纸黑字”而已,形同虚设,而且执行起来也不够彻底,执行力不高。这大多数高职院校尤其是民办性质的高职院校图书馆都普通存在这样的现象。
2人员安全管理策略
要解决人员安全管理不当带来的信息安全问题,必须要比较全面地完善人员安全方面的管理制度,提高执行力。具体策略如下:
2.1技术人员岗位分工协作
对于技术人员充足的高职院校图书馆,可以将技术人员划分为三个岗位:硬件安全人员、软件安全人员和网络数据人员。根据图书馆的实际情况出发,将这三类技术人员进行分工协作,日常工作中完成各自岗位上的职责。具体划分可以参考附表。
2.2岗位人员安全管理
2.2.1岗位人员的聘用审核
大多数图书馆都会每年进行一次岗位人员的招聘,因此,每年岗位人员的聘用必须经过严格的政审并且考核其业务能力,尤其是安全保密方面的能力。对于信息安全意识强的,工作业务能力高的,要择优录取。严格的聘用审核可以将一些毫无信息安全意识的聘用人员扼杀在图书馆外。
2.2.2岗位人员工作机使用限制
保障图书馆数字信息的全面安全与岗位人员是否正确使用工作机有很大的关系,不法黑客就是利用非技术人员乱下载乱安装插件的陋习造成的系统漏洞进行系统的攻击。根据各馆的实际工作需要,可以对工作机的使用作必要的使用说明,例如可以这样限制:①不得随意下载安装存在安全隐患的插件或其他与图书馆工作无关的软件,例如:证券软件、视频软件等。②不得随意浏览不安全不健康的网页;③如有需要安装工作需要的软件,须联系技术人员为其下载安全;④遇到信息管理系统客户端无法正常使用的情况,不要自行卸载或重装,须联系技术人员解决问题;⑤其他的一些使用原则。
2.2.3岗位人员安全意识培训
信息安全意识对于信息至上的图书馆而言是非常重要的,如果岗位人员都安全意识高,完全可以避免很多信息安全事件的发生。安全培训可以根据图书馆制定信息安全培训制度与培训计划,有针对性地有重点地定时对不同岗位的工作人员进行培训。例如:X馆在每个学期末的全馆学期工作总结会议上,信息技术部主任都会对全馆的工作人员进行迫切高度强调信息安全意识的重要性。
2.2.4岗位人员功能账号统一管理
图书馆信息管理系统包括编目、流通、期刊、系统管理、检索、采访等几个子功能系统,不同岗位的工作人员拥有相应的子系统功能账号。为了保证数字信息的安全,岗位人员功能账号的使用必须统一由相关部门(信息技术部)分配管理,提出有效的管理分配原则,例如:一个岗位人员只能拥有该岗位的功能账号,不得拥有其他岗位的功能账号;对于某些岗位人员有业务工作需求,需要其他岗位的功能账号,可以设置多个公共功能账号提供使用,需求者必须向信息技术部门提出申请;新进的岗位人员需向信息技术部相关工作人员申请账号;岗位人员需要修改账号或密码,必须向技术部相关工作人员提出需求给予修改。
2.3读者用户安全管理
图书馆的信息是为读者用户服务的,信息访问量最大的群体就是读者用户,读者用户是否安全访问也直接影响着信息管理系统的信息安全。因此,图书馆有必要采取有效措施,制定确实可行的读者用户安全访问管理制度,确保读者用户访问图书馆信息的安全。可以通过以下方式提高读者的信息安全意识:①每年新生入学,图书馆可以通过开展新生入馆教育的形式对新生读者进行信息安全意识的提高,通过用户安全培训,提高用户安全意识,使其自觉遵守安全制度。②通过网络宣传、现场海报宣传,小册子派发宣传、讲座演讲宣传等形式对读者长期进行信息安全意识的宣传,提升读者的信息素养,让读者掌握简单有效的病毒攻击防护技巧。
3结束语
(1)内网网络结构不健全。
现阶段,我国的供电企业内网网络结构不够健全,未能达成建立在供电企业内部网络信息化的理想状态。中部市、县级供电公司因为条件有限,信息安全工作相对投入较少,安全隐患较大,各种安全保障措施较为薄弱,未能建立一个健全的内网网络系统。但随着各类信息系统不断上线投运,财务、营销、生产各专业都有相关的信息系统投入应用,相对薄弱的网络系统必将成为整个信息管理模式的最短板。
(2)存在于网络信息化机构漏洞较多。
目前在我国供电企业中,网络信息化管理并未建立一个完整系统的体系,供电网络的各类系统对于关键流程流转、数据存储等都非常的重要,不能出现丝毫的问题,但是所承载网络平台的可靠性却不高,安全管理漏洞也较多,使得信息管理发展极不平衡。信息化作为一项系统的工程,未能有专门的部门来负责执行和管理。网络信息安全作为我国供电企业安全文化的重要组成部分,针对现今我国供电企业网络安全管理的现状来看,计算机病毒,黑客攻击造成的关键保密数据外泄是目前最具威胁性的网络安全隐患。各种计算机准入技术,可移动存储介质加密技术的应用,给企业信息网络安全带来了一定的保障。但是目前供电企业信息管理工作不可回避的事实是:操作系统正版化程度严重不足。随着在企业内被广泛使用的XP操作系统停止更新,针对操作系统的攻击将变得更加频繁。一旦有计算机网络病毒的出现,就会对企业内部计算机进行大规模的传播,给目前相对公开化的网络一个有机可乘的机会,对计算机系统进行恶意破坏,导致计算机系统崩溃。不法分力趁机窃取国家供电企业的相关文件,篡改供电系统相关数据,对国家供电系统进行毁灭性的攻击,甚至致使整个供电系统出现大面积瘫痪。
(3)职工安全防范意识不够。
想要保证我国网络信息的安全,就必须要提高供电企业员工的综合素质,目前国内供电企业职员的安全防范意识不强,水平参差不齐,多数为年轻职员,实际操作的能力较低,缺少应对突发事件应对措施知识的积累。且多数老龄职工难以对网络信息完全掌握,跟不上信息化更新状态,与新型网络技术相脱轨。
2网络信息安全管理在供电企业中的应用
造成供电企业的信息安全的威胁主要来自两个方面,一方面是国家供电企业本身设备上的信息安全威胁,另一方面就是外界网络恶意的攻击其中以外界攻击的方式存在的较多。现阶段我国供电企业的相关部门都在使用计算机对网络安全进行监督和管理,难以保证所有计算机完全处在安全状态。一般情况下某台计算机泄露重要文件或者遭到黑客的恶意攻击都是很难察觉的,这就需要加强我国供电企业进行安全的管理,建立病毒防护体系,及时更新网络防病毒软件,针对性地引进远程协助设备,提高警报设备的水平。供电企业的信息系统一个较为庞大且繁杂的系统,在这个系统中存在信息安全风险也是必然的。在这种情况下就要最大程度地降低存在的风险,对经历的风险进行剖析,制定针对性的风险评估政策,确立供电企业信息系统安全是以制定针对性风险评估政策为前提的,根据信息安全工作的紧迫需求做好全面的风险评估至关重要。“掌握核心技术”不只是一句简单的广告词语,还是国家和各个企业都应该一直贯彻落实的方针政策。为了避免外界对我国供电企业信息技术的操控,国家相关部门就必须实行自主研发信息安全管理体系,有效地运用高科技网络技术促使安全策略、安全服务和安全机制的相结合,大力开发信息网络,促进科技管理水平的快速提高,以保证我国供电信息管理的安全。
3结语
现代计算机网络技术的发展,为我国档案信息管理提供了现代化的管理手段和方式。档案信息是社会生产活动的真实记录,是一种不可否认的社会史实;另外站在更高的角度来讲,档案又是一种重要的信息资源,与社会生活和经济活动密不可分。从目前来看,可利用的社会资源越来越少,社会上的虚假信息越来越多,人们为了自身的发展,不惜一切代价获取真实的信息资源。重要的档案信息资源对个人来说,可能为个人的成功提供了机会;对一个企业来说,可能是帮助企业渡过难关,获得最大效益的法宝;对一个国家来说,信息资源甚至决定国家的兴衰。由此可见,档案信息资源在国家社会生活的方方面面发挥着深远的影响,具有重要的价值。因此,做好档案信息的安全管理工作是当前档案工作的重中之重。
二、档案信息安全管理的现状分析
近年来随着计算机网络技术的发展,我国的档案管理模式基本上分为两种:实体档案信息管理和电子档案信息管理。下面针对不同的档案信息管理模式,对其现状和存在的问题进行分析。
1.实体档案信息管理
实体档案信息管理是长期以来一直沿用的管理方法。实体档案信息管理需要大量的档案馆库做支撑,但是我国目前的档案馆库多是20世纪80年代的建筑,特别是在经济发展相对缓慢、生活贫困的地区,其中不少档案馆库及设施在漫长的岁月演变中变得破败不堪,档案库房的功能大大减弱,这对档案信息的存放和保管构成了严重的威胁。不仅档案馆库等建筑设施的状况影响档案信息的安全,在档案信息管理中同样存在严重的安全漏洞。主要表现在以下几方面:首先,字迹不清晰。受到历史条件的制约,以前很多纸质档案书写所用的材料不符合规范,形成大量的铅笔、圆珠笔字迹,再加上时间久远,档案保护不当,造成档案字迹模糊不清晰。其次,档案信息保护环境不良。在档案存放和保管过程中,由于存放环境的恶劣导致档案的破坏屡见不鲜。最后,档案的自然损坏严重。档案信息的自然损坏主要是历史原因所致,由于存放时间比较久远,记录档案信息的载体经过漫长的时期发生了不同程度的损坏,导致所记录的档案信息随之发生损坏。
2.电子档案信息管理
随着经济发展水平的不断提高,特别是计算机、互联网和信息技术的出现和应用,为档案信息管理提供了新的管理手段和方法。电子档案信息管理不仅保证了档案管理的高效性,还节省了档案信息管理的经济成本。但是由于受到技术发展水平的限制,电子档案信息管理受到网络黑客的攻击和威胁,电子档案信息管理工作同样面临严峻的安全问题,主要存在以下两方面问题。
(1)档案信息在查询利用过程中面临安全威胁
由于目前经济发展水平的限制,电子档案信息管理并没有形成统一的机制。因此导致电子档案信息系统平台不一致,在管理上无法达到统一规范,造成电子档案信息管理网络环境不稳定,极易遭受网络攻击。目前并没有专门为电子档案信息管理建立的安全可靠的局域网,也没有针对档案信息安全管理的完善的法律法规,这种管理上的不到位致使电子档案信息在利用的过程中受到网络环境的影响和损害。
(2)电子档案信息管理系统功能不够强大
电子档案信息是一种重要的信息资源,一个单位档案信息的失窃可能会给一个企业带来巨大的经济损失,一个国家的档案信息泄漏,严重的会引发国与国之间的矛盾或战争。尽管国家对电子档案信息管理十分重视,并且出台了涉及国家秘密的信息系统审批管理相关法律法规,但是由于受到各种条件的限制,不少地区的电子档案信息管理系统功能并不能达到国家相关规定的要求,从而使档案信息安全面临极大风险。具体到系统的登录权限、身份识别、数字认证、指纹识别等功能都有待进一步的完善和提高。
三、档案信息安全管理措施探析
1.增强档案实体管理
档案实体管理是一种重要的管理形式,针对档案实体管理中出现的问题,应着力发挥国家的财政支撑作用,对不符合标准的馆库及时进行修整,对库房的防护功能定期进行检查和确认,确保档案信息管理硬件环境的安全。
2.营造电子档案网络安全环境
众所周知,档案信息具有严格的保密性,是十分重要的信息资源。这就要求我们一定要营造一个安全的电子档案网络环境。首先对于网络应用的硬件和软件系统要进行有效的保护,防止网络黑客及病毒的袭击是不容忽视的,要不断研究和升级防范网络黑客攻击的技术,将档案信息的安全隐患降到最低。其次还要对电子档案的网络系统功能进行完善和升级,对网络系统的登入采用先进的指纹识别技术,进行严格的身份验证,从而建立强大的网络系统。
3.加强行政保护
档案信息来源于社会生活和社会生产,为国家经济建设和经济活动的开展提供必要的信息支持。随着国家经济建设的不断发展,档案信息的发展与传播步伐也越来越快,并逐渐对社会生活的各个领域产生不可估量的影响和作用。首先国家要重视并宣传档案信息的重要性,使人们普遍树立档案信息的保密意识,其次还要采取一定的行政手段,制定相关的法律法规,约束和规范档案信息安全管理,特别要对电子档案网络安全管理系统制定严格的规范,从而在制度保障的前提下建立强大的档案信息安全系统。
四、结语
随着宽带网络和用户规模的不断增长,用户对宽带接入业务的高可用性要求不断增强,对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手,结合电信IP城域网,提出电信IP城域网安全管理、风险评估和加固的实践方法建议。
关键字(Keywords):
安全管理、风险、弱点、评估、城域网、IP、AAA、DNS
1信息安全管理概述
普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。
信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408-1(信息安全风险管理和评估规则),给出了一个非常经典的信息安全风险管理模型,如下图一所示:
图一信息安全风险管理模型
既然信息安全是一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。
图二信息安全体系的“PDCA”管理模型
2建立信息安全管理体系的主要步骤
如图二所示,在PLAN阶段,就需要遵照BS7799等相关标准、结合企业信息系统实际情况,建设适合于自身的ISMS信息安全管理体系,ISMS的构建包含以下主要步骤:
(1)确定ISMS的范畴和安全边界
(2)在范畴内定义信息安全策略、方针和指南
(3)对范畴内的相关信息和信息系统进行风险评估
a)Planning(规划)
b)InformationGathering(信息搜集)
c)RiskAnalysis(风险分析)
uAssetsIdentification&valuation(资产鉴别与资产评估)
uThreatAnalysis(威胁分析)
uVulnerabilityAnalysis(弱点分析)
u资产/威胁/弱点的映射表
uImpact&LikelihoodAssessment(影响和可能性评估)
uRiskResultAnalysis(风险结果分析)
d)Identifying&SelectingSafeguards(鉴别和选择防护措施)
e)Monitoring&Implementation(监控和实施)
f)Effectestimation(效果检查与评估)
(4)实施和运营初步的ISMS体系
(5)对ISMS运营的过程和效果进行监控
(6)在运营中对ISMS进行不断优化
3IP宽带网络安全风险管理主要实践步骤
目前,宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高,且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理,以使得能够动态的了解、管理和控制各种可能存在的安全风险。
由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍,所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段,进行项目实践:
3.1项目准备阶段。
a)主要搜集和分析与项目相关的背景信息;
b)和客户沟通并明确项目范围、目标与蓝图;
c)建议并明确项目成员组成和分工;
d)对项目约束条件和风险进行声明;
e)对客户领导和项目成员进行意识、知识或工具培训;
f)汇报项目进度计划并获得客户领导批准等。
3.2项目执行阶段。
a)在项目范围内进行安全域划分;
b)分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;
c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;
d)对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。
3.3项目总结阶段
a)项目中产生的策略、指南等文档进行审核和批准;
b)对项目资产鉴别报告、风险分析报告进行审核和批准;
c)对需要进行的相关风险处置建议进行项目安排;
4IP宽带网络安全风险管理实践要点分析
运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同,其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段,需要特别注意以下要点:
4.1安全目标
充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。
4.2项目范畴
应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统:如网管系统、AAA平台、DNS等。
4.3项目成员
应该得到运营商高层领导的明确支持,项目组长应该具备管理大型安全咨询项目经验的人承担,且项目成员除了包含一些专业安全评估人员之外,还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。
4.4背景信息搜集:
背景信息搜集之前,应该对信息搜集对象进行分组,即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含:
a)IP宽带网络总体架构
b)城域网结构和配置
c)接入网结构和配置
d)AAA平台系统结构和配置
e)DNS系统结构和配置
f)相关主机和设备的软硬件信息
g)相关业务操作规范、流程和接口
h)相关业务数据的生成、存储和安全需求信息
i)已有的安全事故记录
j)已有的安全产品和已经部署的安全控制措施
k)相关机房的物理环境信息
l)已有的安全管理策略、规定和指南
m)其它相关
4.5资产鉴别
资产鉴别应该自顶向下进行鉴别,必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组;然后可以在一级资产组内,按照功能或地域进行划分二级资产组,如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组;进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别,鉴别其设备类型、地址配置、软硬件配置等信息。
4.6威胁分析
威胁分析应该具有针对性,即按照不同的资产组进行针对性威胁分析。如针对IP城域网,其主要风险可能是:蠕虫、P2P、路由攻击、路由设备入侵等;而对于DNS或AAA平台,其主要风险可能包括:主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。
4.7威胁影响分析
是指对不同威胁其可能造成的危害进行评定,作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见,尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。
4.8威胁可能性分析
是指某种威胁可能发生的概率,其发生概率评定非常困难,所以一般情况下都应该采用定性的分析方法,制定出一套评价规则,主要由运营商管理人员按照规则进行评价。
信息系统的风险性可以分为人为性风险和非人为性风险,非人为性风险主要包括环境和系统风险。信息系统的脆弱性主要包括硬件、软件、管理以及运行环境等四个方向,从硬件方向讲,指硬件设备存在的漏洞和缺陷。从软件方向讲,在信息系统的研发过程中所产生的错误信息,进而导致系统出现漏洞,对安全造成严重危害。从管理方面讲,是指在日常管理和应急预案管理的过程中存在问题。从运行环境方面讲,指的是办公室、计算机房、温度、湿度以及照明条件等情况导致的系统漏洞。
2信息系统管理中信息安全风险评估方法
2.1信息安全风险评估内容
信息安全风险评估的主要内容包括评估资产的威胁性和脆弱性,对已有安全措施进行风险评估分析。信息资产是指对信息资源产生一定利用价值的总称,是信息安全评估中的重点保护对象,主要分为人员、数据、软件和硬件等资源,根据各种资源的完整性、保密性以及可用性进行等级划分,评估组织系统中资产的威胁性,包括直接威胁和间接威胁等,根本目的在于对安全风险需求的分析,建立风险防范措施,有效降低信息安全的威胁性因素。
2.2风险评估方法
信息系统管理中的信息安全风险评估方法较多,本文主要从人工评估法和定性评估法两方面进行分析。人工评估法。又称为手工评估法,是指在整个风险评估的过程中,运用人工作业的形式进行信息安全风险评估,通过对资产、投资成本的风险的安全需求、威胁性、脆弱性以及安全措施等,进行有效评估,根据其风险效益制定出与之相对应的决策。定性评估法。定性评估法是根据专业机构以及专家等对风险的判断分析,属于一种相对主观的评估方法,该评估方法偏向于关注风险带来的损失,忽略了风险的发生频率。其他评估方法包括工具辅助评估和定量评估等方法。
2.3层次分析方法
通过运用层次分析法对信息安全的评价体系进行构建,进而对风险进行综合性评价。通过运用层次分析法对信息安全的风险作出评估,评价信息安全风险所涉及到的各个要素间的相对重要的权数,根据各个要素的排序,作出横向比较分析,为信息安全的风险评估提供可靠依据。对信息安全的风险评估中,通过运用层次分析法进行有效评估,进而增强风险评估的有效性。通过分析资产、威胁性、脆弱性以及安全措施的四个评价指标体系,对安全风险进行合理性的分析评估,降低安全风险系数。
3结语
(一)电力安全管理信息系统的核心设计
工作电力安全生产管理信息系统的重点在于对设备的全生命周期进行有效管理,这使得对数据储存及数据传输设计工作拥有高标准、高要求的特点。
1、数据储存的具体设计
CIM模型包含逻辑包20个,设备资源类定义300有余,对电力系统应用进行了全方位的统一描述,作用是为电网设备数据提供储存空间。电力公司的信息整合工作以国际通用的IEC61970标准为主体标准依据,以国际通用的IEC61968标准为主要参照标准。其中,IEC61970系列标准也可以被叫做EMS-API系列标准,此系列标准由CIM与GIS两部分组成。CIM的作用是为能量管理系统信息提供综合逻辑框架图。CIM具有描绘能量管理系统中所有主要对象的功能,使得它被很多应用程序所需要,具有很强的应用价值。电力公司基础数据模型的建立离不开CIM功能上的支持。由于CIM并不具有业务流程数据的功能,所以包括缺陷管理数据、缺陷图片数据及缺陷细分类型数据等要以表格的方式在Oracle数据库折娇陕西省地方电力(集团)有限公司神木供电分公司719300中进行存储。
2、电力安全管理信息系统的接口
设计电力安全管理信息系统的接口需要分别提供对CIM模型、GIS系统及普通数据库的接口。由于电力安全管理信息系统接口需要集成大量其他系统,所以在设计上比较复杂。采取数据总线加适配器模式可以很好的解决这一问题。数据总线加适配器模式具有传递格式统一的特点,可以明显提高对不同系统数据进行集成的便捷性,同时也为以后的系统扩展工作提供了方便。
二、电力安全生产管理信息系统实现
(一)系统实现的开发环境
电力安全生产管理信息系统作为WEB项目中的一种,它的开发以JAVA技术为基础。电力安全生产管理信息系统的开发需要对以下软件进行运用:利用Dreamweaver8.0软件进行网页制作;以Tomcat5.5作为JAVA集成开发环境;以Oracle10g或CIMserver作为数据库系统软件;以EOS或Eclipse作为系统开发平台。电力安全生产管理信息系统的开发也对计算机系统配置提出了高要求,具体要求如下:操作系统需要Window2003及以上版本;2G以上的中央处理器内存;2~4G的内存条容量及200G以上的硬盘空间。同时,WEB服务器版本为浪潮NP370D。
(二)电力安全生产管理信息系统界面的实现
在对电力安全生产管理信息系统界面进行设计时要确保做到以下几点:首先,应力求做到系统界面的简洁感和美感的统一,使系统界面实现便捷性和可操作性;其次,在对菜单进行设计时,要做到手动和自动化的完美统一;在对登陆界面的设计时应添加合理的操作权限,使不同部门的工作人员只能对其职能范围内的内容进行浏览和操作;要最大限度的保证系统信息的准确性和可靠性,提高操作安全度,保证企业重要内部机密不被泄露。
(三)电力安全生产管理信息系统功能模块的实现
电力安全生产管理信息系统由十余个模块共同组成,其功能异常庞大,具备极强的实用性。由于电力安全生产管理信息系统对于电力生产管理来说具有非凡的重要意义,所以要尽最大可能的确保电力安全生产管理信息系统的安全和可靠,同时也要让系统能够在今后继续实现功能的拓展。在对数据库进行实际操作时,要充分借鉴其他软件系统的长处,对数据库采取统一的操作。同时,要充分考虑到数据库内的数据具有可变动的特征,应采取单一配置文件保存的方式对各类操作码及属性进行保存,以防止数据出现混乱与丢失。
三、结语
(一)采用系统的思想
网络安全的建设是一个系统工程,它需要对影响信息系统安全的各种因素进行综合考虑,同时需要对信息系统运行的全过程进行综合分析,实现预警、防护、恢复等网络安全的全过程环节的无缝衔接;另一方面要充分考虑技术、管理、人员等影响网络安全的主要因素,实现技术、管理、人员的协同作战。
(二)强调风险管理
基于风险管理,体现预防控制为主的思想,强调全过程和动态控制,确保信息的保密性、完整性和可用性,保持系统运作的持续性。
(三)动态的安全管理
公安信息网络安全模型中的“动态”网络安全有两个含义:一是整个网络的安全目标是动态的,而不再是传统的、一旦部署完毕就固定不变的,从而支持部分或者全网范围内安全级别的动态调整;二是达到安全目标的手段、途径必须能够根据周边/内部环境的变化进行动态调整。
二、基于策略的动态安全管理模型的定义
基于上述指导思想,建立基于策略的动态安全管理模型,主要包括四类要素:人员、管理、策略、流程(技术产品)。安全策略确定后,需要根据组织切实的安全需要,以上述定义的安全策略为基础,将安全周期内各个阶段的、反映不同安全需求的防护手段和实施方法以一种利于连动的、协同的方式组织起来,提高系统的安全性。总的指导原则是:第一,防护是基础,是基本条件,它包含了对系统的静态保护措施,是保护信息系统必须实现的部分。第二,检测和预测是手段,是扩展条件,提供对系统的动态监测措施,是保护信息系统须扩展实现的部分。第三,响应是目标,是进行安全控制和缓解入侵威胁的期望结果,反应了系统的安全控制力度,是保护信息系统须优先实现的部分。这些不同的安全技术和产品按照统一的策略集成在一起,保持防护、监测、预警、恢复的动态过程的无缝衔接,并随着环境的变化而进行适当的调整,这样就能够针对系统的薄弱环节有的放矢,有效防范,从而完善信息安全防护系统。
三、基于策略的动态安全管理模型的实施过程
在公安信息安全管理体系的建立、实施和改进的过程中引用PDCA(Plan-Do-Check-Act)模型,按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。PDCA模型的主要过程如下:
(一)计划(Plan)
计划就是根据组织的业务目标与安全要求,在风险评估的基础上,建立信息安全框架。包括下面三项主要工作:
1.明确安全目标,制定安全方针根据公安专用网络信息安全需求及有关法律法规要求,制定信息安全方针、策略,通过风险评估建立控制目标与控制方式,包括公安系统工程必要的过程与持续性计划。
2.定义信息安全管理的范围信息安全管理范围的确定需要重点确定信息安全管理的领域,公安信息安全管理部门需要根据公安系统工程的实际情况,在整个金盾工程规划中或者各业务部门构架信息安全管理框架。
3.明确管理职责成立相应的安全管理职能部门,明确管理职责,同时要对所有相关人员进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于所有公安干警的脑海并落实到实际工作中。
(二)实施(Do)
实施过程就是按照所选定的控制目标与方式进行信息安全控制,即安全管理职能部门按照公安信息安全管理策略、程序、规章等规定的要求进行信息安全管理实施。在实施过程中,以公安信息安全管理策略为核心,监测、安全保护措施、风险评估、补救组成一个循环链,其中信息安全管理策略是保证整个安全系统能够动态、自适应运行的核心。
1.选择安全策略根据公安业务目标、公安信息安全管理目标、公安信息安全管理指导方针选择或制定信息安全策略。
2.部署安全策略对于高层策略,在此阶段,首先应将各种全局的高层策略规范编译成低级(基本)策略。根据底层的服务或是应用的要求将策略编译成执行组件可以理解的形式,针对特定类型的策略实施封装具体实施策略所需的行为,封装执行策略所必需的实现代码,这些代码与底层实现有关。将策略分发并载入到相应的策略实施中,继而可以对策略对象执行启用、禁用、卸载等策略操作。
3.执行安全策略(1)监测。对公安信息系统进行安全保护以后并不能完全消除信息安全风险,所以要定期地监控整个信息系统以发现不正常的活动。(2)进行信息安全风险评估。风险评估主要对公安信息安全管理范围内的数据信息进行鉴定和估价,然后对数据信息面对的各种威胁进行评估,同时对已存在的或规划的安全管理措施进行鉴定。(3)公安信息安全风险处置。根据风险评估的结果进行相应的风险处置,公安信息安全风险处置措施主要包括降低风险、避免风险、转嫁风险、接受风险等,使得公安业务可以正常进行,并重新进行风险分析与评估,增加或更改原有的信息安全保护措施。在公安信息系统正常运行时,要定期地对系统进行备份。(4)根据公安信息安全策略调整控制安全措施。由于信息安全是一个动态的系统工程,安全管理职能部门应实时对选择的管理目标和管理措施加以校验和调整,以适应变化了的情况,使公安系统数据资源得到有效、经济、合理的保护。
(三)检查(Check)
检查就是根据安全目标、安全标准,审查变化中环境的风险水平,执行内部信息安全管理体系审计,报告安全管理的有效性,在实践中检查制定的安全目标是否合适、安全策略和控制手段是否能够保证安全目标的实现,系统还有哪些漏洞。
(四)改进(Action)
改进就是对信息安全管理体系实行改进,以适应环境的变化。改进内容包括三部分:一是系统的安全目标、安全指导思想、安全管理制度、安全策略。二是安全技术手段的改进。随着安全技术和安全产品的改进,系统的安全技术手段也要不定期地更换。但更换后的安全技术手段仍然要遵循相应的信息安全策略。三是对人员的改进。安全管理措施和手段改进后,要对民警要进行安全教育与培训,并根据民警的不同角色为其制定不同的安全职责和年度信息安全计划,并按照计划进行工作,年底时要对安全计划的执行情况进行检查。
四、结束语
为了对信息进行有力的管理和控制以及有效处理,铝矿安全标准化管理信息系统作为一个现代化企业的信息化管理系统必须进行有效的设置。建立一个安全系统的重要意义在于对单个信息进行有效管理,进而形成一个安全信息管理中心,有助于对危险信息进行及时的监控、预防和应对。通过近几年来越来越多铝矿企业对于安全标准化管理信息系统的开发与应用,我们看到了有力的作用。尤其是找到与自己企业相适应的安全管理系统,对于矿业集团的健康运营会有着重要的影响。不仅能够预知安全隐患,而且可以及时应对与解决所发现的安全隐患。通过这种系统的研发与运用不仅提高了工作效率而且能够使得信息得到及时的畅通传输。因此,越来越多的铝矿企业重视和运用这种系统。
2铝矿安全标准化管理信息系统设计
如同矿山安全标准化管理系统设计,铝矿安全标准化管理信息系统也需要包括14个元素,不仅需要安全还需要包含健康两个方面。系统的运行模式需要按照准备->组织->实行->检修->评审这样的一个流程来进行操作。任何一个矿业集团必须要遵循矿山安全标准化管理系统的14要素,从而获得大量安群信息实现统一管理,进而保证施工安全,营造有秩序的生产环境,创造经济效益。
2.1系统实现功能
铝矿企业在进行安全标准化管理信息系统构建的时候要注意系统需要实现如下功能:首先是这个系统在使用者搜索相关文献资料时能够快速的进行检索,为使用者提供强有力的理论支持。同时还要方便各个部门查询到其他以及本部门的奖惩以及安全排名情况,使得信息及时有效快速的传递到相应部门,为员工了解企业提供便利。其次安全标准化管理信息系统的设计要让人容易接受,易操作,只有这样才能使得多数员工能够自己动手操作,即系统要便于多数人。同时系统还要及时更新实时情况,能够随着各种动态信息及时更新,并时常处于一个比较活跃的状态。再次就是系统要具有存储和管理文件资料的功能,方便使用者随时随地对于文件资料的获取。并且系统的设计是与多媒体信息技术互相关联的,必须要考虑到一些潜在的安全隐患,做好漏洞处理。
2.2系统模式开发
首先是系统技术的运用,考虑到安全标准化的信息管理,系统功能的实现需要运用多想技术进行支持。第一个首先要提到的就是企业局域网内开发的web软件是基于internet技术的,从而实现比较优惠的成本运行。第二个就是运用组建开发过程,提高信息化平台开发效率及系统的稳定性和可维护性。再一个就是通过XML实现一个比较灵活多变的配置策略,使得系统和数据库的服务器可以在局域网中进行比较自由灵活的配置。其次就是系统的运行。安全标准化管理信息系统是一个比较科学规范和系统的管理系统,主要是为了做好危险源的识别和风险的评估控制。矿业集团的安全管理就是突破传统的管理模式,加强比较整体和纵向横向的发展,运用一种全新的现代技术和原理进行管理操作。在整个系统的运行过程中部件要做好管理体系的思想和方法,还要做好风险管理。通过系统运行实现安全生产的目的,在消除安全事故隐患的同时,也要降低安全事故的发生频率,提高生产效益。同时安全标准化系统将矿山错综复杂的安全管理事务融合在一起,减少了日常工作量,提高了生产效率。而且系统化的管理还减少了纸质成本,在实现高效管理的同时节约了成本。在安全标准化管理信息系统这个平台基础上,系统运行中的各个环节将会更加良好,员利用也可得到有效的提高。
2.3安全标准化管理信息系统设计流程
首先,企业内部的系统使用者都需要一个独立的帐号进行系统的使用和查询,考虑到安全系统的重要性,每个用户还需要有特定的权限,这个需要系统管理员根据每个用户的职责进行授权。其次,在授权管理滞后,管理者需要运用自己的管理权限将各个相关的规划上传至系统,这样一来每个员工都可以清晰明了的看到每个时期的安全记录。再次,就是安全规划方面的计划需要在系统首页进行现实,这样每个用户可以了解到与自己先关的任务信息,通过这个在自己的工作中了解到重点在哪里。管理者也能根据此信息制定一个比较详细合理的监督时间,及时对下级工作状态进行检查,通过监察记录将相关信息记录在系统。
3进行系统研发时的注意事项
3.1加强对铝矿安全标准化管理信息系统的认识
对于整个集团的员工要加强安全系统的宣传教育,从思想上意识上重视安全生产。同时对于这一安全系统的建设做好准备,与此同时可以将铝矿工作中的安全隐患在员工的思想中重申一遍,可以使得自身对于生命安全的保障有更加充足的认识。
3.2处理好铝矿安全质量标准化的工作
在进行安全标准化管理信息系统建设的时候,做好部门分工,尤其是管理人员,一定要明确自己部门的工作,做好分管部门的日常工作和分工,从而带动下级积极建设铝矿安全标准化管理。另外,一定要合理安排经验丰富的员工进行定期的安全工作检查,并根据检查情况制定合理的解决办法,从而提高铝矿企业的运作效率。
3.3对于铝矿安全标准化管理信息系统的建设,要明确分工职责
医院信息系统的常态运行和医疗数据资源的保存、利用与开发对医院发展起着非常重要的作用.因此作为信息系统的“神经中枢”及数据存储中心的机房标准设计就显得尤为重要。如何使中心机房内的设备安全有效地运行,如何保证数据及时有效地满足医院应用,很重要的一个环节就是计算机机房建设。中心机房的安全应注意计算机机房的场地环境、计算机设备及场地的防雷、防火和机房用电安全技术的要求等问题。机房安全是整个计算机系统安全的前提,所以在新建、改建和扩建的计算机机房,在具体施工建设中都有许多技术问题要解决,从计算机系统自身存在的问题、环境导致的安全问题和人为的错误操作及各种计算机犯罪导致的安全问题入手,规范机房管理,机房安全是可以得到保障的。
2服务器及服务器操作系统安全
随着医院业务对IT系统的依赖不断增大,用户对于医院系统的可用性要求也不断上升。一旦某一台服务器由于软件、硬件或人为原因发生问题时,系统必须维持正常运行。因此,应采用双机热备份的方式实现系统集群,提高系统可用性。服务器以主从或互备方式工作,通过心跳线侦查另一台服务器的工作情况,一旦某台机器发生故障,另外一台立即自动接管,
变成工作主机,平时某台机器需要重启时,管理员可以在节点间任意切换,整个过程只要几秒钟,将系统中断的影响降到最低。此外,还可以采用第三台服务器做集群的备份服务器。在制度上,建立服务器管理制度及防护措施,如:安全审计、入侵检测(IDS)、防病毒、定期检查运行情况、定期重启等。
3网络安全
恶意攻击是医院计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信急。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。网络黑客和计算机病毒对企业网络(内联网)和公网安全构成巨大威胁,每年企业和网络运营商都要花费大量的人力和物力用于这方而的网络安全防范,因此防范人为的恶意攻击将是医院网络安全工作的重点。
医院网络信息安全是一个整体的问题,系统网络所产生数据是医院赖以生存的宝贵财富,一旦数据丢失或出现其他问题,都会给医院建设带来不可估量巨大的损失。所以必须高度重视,必须要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高网络信息系统安全性的目的。
4数据库安全
在医院信息系统的后台,数据信息是整个系统的灵魂,其安全性至关重要,而数据库管理系统是保证数据能有效保存、查询、分析等的基础;数据被安全存储、合法地访问数据库以及跟踪监视数据库,都必须具有数据有效访问权限,所以应该实现:数据库管理系统提供的用户名、口令识别,试图、使用权限控制、审计、数据加密等管理措施;数据库权限的划分清晰,如登录权限、资源管理权限和数据库管理权限;数据表的建立、数据查询、存储过程的执行等的权限必须清晰;建立用户审计,记录每次操作的用户的详细情况;建立系统审计,记录系统级命令和数据库服务器本身的使用情况。
医院如何开展信息安全工作,应该本着从实际出发的精神,先进行风险评估,研究信息系统存在的漏洞缺陷、面临的风险与威胁,对于可能发现的漏洞、风险,制定相应的策略:首先在技术上,确定操作系统类型、安全级别,以选择合适的安全的服务器系统和相关的安全硬件;再确定适当的网络系统,从安全角度予以验证;选择合适的应用系统,特别要强调应用系统的身份认证与授权。在行为上,对网络行为、各种操作进行实时的监控,对各种行为规范进行分类管理,规定行为规范的范围和期限,对不同类型、不同敏感度的信息,规定合适的管理制度和使用方法,限制一些不安全的行为。在管理上,制定各项安全制度,并定期检查、督促落实;确定医院的安全领导小组,合理分配职责,做到责任到人。
当然,还要意识到信息安全工作的开展有可能会影响到系统使用的方便性,毕竟,安全和方便是矛盾的统一体,要安全就不会很方便,相关工作效率必定降低,要方便则安全得不到保证,因此必须权衡估量。
参考文献:
[1]王淑容,刘平.医院管理信息系统的设计与实现.四川轻化工学院学报.2002.
[2]上海市医院计算机信息网络系统安全策略.上海市卫生局信息中心.2003.
