序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn),特別為您篩選了11篇信息安全管理論文范文�����。如果您需要更多原創(chuàng)資料�����,歡迎隨時(shí)與我們的客服老師聯(lián)系����,希望您能從中汲取靈感和知識(shí)����!
篇1
2基層稅務(wù)信息安全管理的難題
2.1基層稅務(wù)信息安全管理存在的風(fēng)險(xiǎn)
信息技術(shù)飛速發(fā)展����,尤其是大數(shù)據(jù)時(shí)代的到來(lái)��,基層稅務(wù)信息安全技術(shù)管理風(fēng)險(xiǎn)與日俱增����。科學(xué)技術(shù)水平日新月異���,移動(dòng)互聯(lián)網(wǎng)����、虛擬化����、云技術(shù)、大數(shù)據(jù)應(yīng)用等新技術(shù)層出不強(qiáng)���。此類技術(shù)的應(yīng)用對(duì)于專業(yè)技術(shù)的要求較高����,安全保障措施也較為嚴(yán)密,但現(xiàn)有的稅務(wù)信息安全管理的軟硬件�����、制度�、頂層設(shè)計(jì)、稅務(wù)人員素質(zhì)���、社會(huì)要求等方面無(wú)法適應(yīng)其方便���、快捷、高效的特點(diǎn)���,使得稅務(wù)信息暴露在數(shù)據(jù)的海洋�����,極易造成信息被盜取����、被非法病毒所侵入,稅務(wù)信息安全技術(shù)管理必然風(fēng)險(xiǎn)激增��。改革不斷深化����,尤其是簡(jiǎn)政放權(quán)要求逐步提高�����,基層稅務(wù)信息安全行政管理風(fēng)險(xiǎn)突飛猛進(jìn)���。全面深化改革的推進(jìn)�����,行政管理被要求回歸理性簡(jiǎn)政放權(quán)��,實(shí)現(xiàn)由權(quán)力管制到權(quán)利治理���,基層稅務(wù)部門必然面臨著工作重心后移及執(zhí)法風(fēng)險(xiǎn)加大的交匯壓力,后續(xù)管理將成為稅務(wù)部門工作的一種常態(tài)�����。稅務(wù)管理信息化是保證后續(xù)管理科學(xué)、有效��、規(guī)范進(jìn)行的基本方式且根本保障����,而稅務(wù)信息安全管理是稅務(wù)管理信息化的基礎(chǔ),是故稅務(wù)信息安全管理必然成為稅收征收與管理過(guò)程的基礎(chǔ)和支撐����。稅務(wù)管理信息化下稅務(wù)信息不論是頻率還是數(shù)量均不斷提高,數(shù)量和質(zhì)量相生相克����,前者的增多必然導(dǎo)致后者的下降,稅務(wù)信息安全行政管理風(fēng)險(xiǎn)驟升�����。依法治稅加強(qiáng)���,尤其是納稅人權(quán)利意識(shí)的覺(jué)醒����,基層稅務(wù)信息安全管理涉紛風(fēng)險(xiǎn)不斷提高�。隨著經(jīng)濟(jì)���、社會(huì)以及文化的不斷發(fā)展,納稅人權(quán)利意識(shí)在不斷覺(jué)醒��,私權(quán)保護(hù)�����、正當(dāng)程序�����、公平正義成為了普遍訴求��。納稅人信息是稅務(wù)信息安全管理的重要內(nèi)容之一����,包含著巨大的商業(yè)價(jià)值���,稅務(wù)機(jī)關(guān)在采集����、保管和使用納稅人信息過(guò)程中往往由于安全措施不到位而導(dǎo)致納稅人權(quán)利受到損害事件時(shí)有發(fā)生�����,甚至誘發(fā)違法犯罪。近些年來(lái)����,由于稅務(wù)信息安全管理不善帶來(lái)的稅務(wù)糾紛呈水漲船高之勢(shì),納稅人訴諸法律途徑的越來(lái)越多�����,基層稅務(wù)部門涉議�����、涉訴風(fēng)險(xiǎn)不斷提高����。
2.2基層稅務(wù)信息安全管理面臨的困境
2.2.1稅務(wù)信息安全管理意識(shí)淡薄
稅務(wù)管理信息化在我國(guó)方興未艾,關(guān)于稅務(wù)信息安全的理解�����、保護(hù)方法��、風(fēng)險(xiǎn)防范手段等社會(huì)所知甚微。就稅務(wù)部門而言��,大部分基層稅務(wù)工作人員對(duì)于稅務(wù)信息安全管理是什么����、稅務(wù)信息安全管理意義是什么、怎樣實(shí)現(xiàn)稅務(wù)信息安全管理等內(nèi)容的認(rèn)識(shí)與理解存在偏差�,主觀地認(rèn)為稅務(wù)信息安全與稅務(wù)部門的核心業(yè)務(wù)無(wú)關(guān),是一種簡(jiǎn)單的信息存儲(chǔ)與傳輸���,意義不大�����。甚至是一提到稅務(wù)信息安全����,不少人就當(dāng)然的認(rèn)為是病毒和黑客���,而往往忽視內(nèi)部人員的過(guò)錯(cuò)或故意行為等因素。就納稅人而言�����,大部分納稅人抱有這樣的態(tài)度,就是只要按照法定規(guī)定和法定程序上繳完稅�,其他的就與自己沒(méi)有多大干系,稅務(wù)信息安全管理也是如此�����,因而往往不配合稅務(wù)信息的收集等工作���。由于少數(shù)人的安全意識(shí)淡薄和管理不善��,會(huì)影響整個(gè)稅務(wù)信息系統(tǒng)的安全性�。
2.2.2稅務(wù)信息安全管理方式滯后
整體上看�����,基層稅務(wù)信息安全管理還主要是依靠單一的技術(shù)方法��,稅務(wù)信息保密措施少�、身份認(rèn)證未得到全面應(yīng)用、缺少路由安全和防止入侵的技術(shù)措施�����,難以適應(yīng)稅務(wù)信息安全管理的要求��。首先,稅務(wù)信息技術(shù)管理方式賴以生存的硬件設(shè)施可靠性�����、穩(wěn)定性不足�,缺少日常維護(hù)及安全配套措施。其次��,稅務(wù)信息技術(shù)管理核心之處的軟件設(shè)施開(kāi)放性強(qiáng)����,比如,內(nèi)部網(wǎng)路終端信息共享范圍廣����、操作系統(tǒng)主要是國(guó)外研發(fā)的,內(nèi)外網(wǎng)機(jī)器存在混用現(xiàn)象��,極大增加了稅務(wù)信息安全風(fēng)險(xiǎn)����。最后��,采集數(shù)據(jù)分散�,不能形成有效共享,普遍存在“信息孤島”現(xiàn)象;業(yè)務(wù)信息不能通過(guò)計(jì)算機(jī)有效流轉(zhuǎn)�����,自動(dòng)化管理過(guò)程隔離���;尤其是信息缺乏高效的數(shù)據(jù)監(jiān)控措施��,沒(méi)有形成科學(xué)的內(nèi)����、外監(jiān)督體系��,不斷遭受黑客攻擊��,還出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象等�����。
2.2.3稅務(wù)信息安全管理制度不完善
稅務(wù)信息采集�、整理、貯存�����、傳輸、反饋及應(yīng)用等過(guò)程中安全管理的理念并未得到貫徹�,稅務(wù)信息安全管理制度還不全面、缺乏體系性����、可操作性也不強(qiáng)。具體來(lái)講����,一是缺乏強(qiáng)有力的稅務(wù)信息安全管理領(lǐng)導(dǎo)制度。一般而言��,基層稅務(wù)信息安全管理主要是由稅務(wù)信息中心實(shí)施�����,與其他內(nèi)設(shè)機(jī)構(gòu)之間是并列關(guān)系�,信息安全管理無(wú)法滲透到稅收征管的其他環(huán)節(jié)。二是缺乏科學(xué)的稅務(wù)信息安全事故預(yù)防����、報(bào)告及處理制度,各基層稅務(wù)部門普遍缺失完備的信息安全事故報(bào)告程序與預(yù)防處理方案�����,稅務(wù)信息安全事故的預(yù)防�、處理沒(méi)有可持續(xù)的制度支撐。三是缺乏規(guī)范的稅務(wù)信息安全管理考核制度�,基層稅務(wù)信息安全崗位與責(zé)任相適應(yīng)的考核標(biāo)準(zhǔn),機(jī)制不規(guī)范�����,致使信息安全管理深度與力度得不到有效落實(shí)�����。此外��,信息安全責(zé)任制度還需進(jìn)一步細(xì)化和完善�。
2.2.4信息安全風(fēng)險(xiǎn)管理機(jī)制存在缺陷
稅務(wù)信息化下,稅務(wù)信息安全風(fēng)險(xiǎn)有來(lái)自基礎(chǔ)設(shè)施毀損的風(fēng)險(xiǎn)�����,有技術(shù)應(yīng)用帶來(lái)的風(fēng)險(xiǎn)����,有人為操作引發(fā)的風(fēng)險(xiǎn),可謂無(wú)處不在��、無(wú)時(shí)不有。但目前基層稅務(wù)機(jī)關(guān)并沒(méi)有形成體系化的稅務(wù)信息安全風(fēng)險(xiǎn)識(shí)別����、評(píng)估、控制等管理機(jī)制�����。就稅務(wù)信息安全風(fēng)險(xiǎn)識(shí)別而言���,稅務(wù)信息并未被確定成為一種資產(chǎn)���,因而缺乏稅務(wù)信息必要的分類管理。同時(shí)�����,這種安全風(fēng)險(xiǎn)識(shí)別僅局限于技術(shù)硬件故障或錯(cuò)誤��、技術(shù)軟件故障或錯(cuò)誤���、技術(shù)淘汰等技術(shù)層面�,而對(duì)于其他層面的信息安全威脅鮮有涉及。就稅務(wù)信息安全風(fēng)險(xiǎn)評(píng)估而言�����,由于專業(yè)技術(shù)和人才的缺乏��,加之評(píng)估頻率與方法不當(dāng)����,很難真正分析出信息安全風(fēng)險(xiǎn)的高低�����,影響到控制措施的選擇��。就稅務(wù)信息安全風(fēng)險(xiǎn)控制而言���,由于識(shí)別與評(píng)估分析中的不健全����,使得風(fēng)險(xiǎn)控制策略選擇失去了可信基礎(chǔ)���,致使避免��、轉(zhuǎn)移����、緩解及接受等風(fēng)險(xiǎn)控制策略無(wú)從選擇。
3基層稅務(wù)信息安全管理的應(yīng)對(duì)
3.1加大信息安全管理教育培訓(xùn)�����,更新稅務(wù)信息安全管理理念
應(yīng)當(dāng)認(rèn)識(shí)到��,稅務(wù)信息安全管理既是國(guó)家信息安全管理的有機(jī)構(gòu)成�,也是基層稅務(wù)工作的重要組成部分,它涵蓋稅收信息的采集��、整理�、存儲(chǔ)、傳輸��、反饋�����、開(kāi)發(fā)及應(yīng)用等全過(guò)程�,不僅可以加強(qiáng)稅收收入的規(guī)劃性,有效發(fā)揮稅收促進(jìn)生產(chǎn)��,調(diào)節(jié)、監(jiān)督經(jīng)濟(jì)的作用�����,還能衡量稅收分配是否合理��,稅負(fù)負(fù)擔(dān)是否平衡�����,保障納稅人的權(quán)利���。因此,基層稅務(wù)部門要摒棄稅務(wù)信息安全管理不重要的觀念���,提高對(duì)稅務(wù)信息安全的認(rèn)識(shí)��,充分了解稅務(wù)信息安全管理的內(nèi)容����、作用及方法��,以此更新稅務(wù)信息安全管理理念����。稅務(wù)信息安全管理意識(shí)之所以淡薄��,原因在于信息安全管理教育與培訓(xùn)少��,稅務(wù)信息安全管理專業(yè)人才匱乏��。對(duì)此�����,一方面要靈活多樣地培訓(xùn)學(xué)習(xí)形式���,綜合平衡信息安全相關(guān)項(xiàng)目,提高稅務(wù)工作人員的信息安全意識(shí)與能力水平���;另一方面�����,要建立稅務(wù)信息安全管理培訓(xùn)機(jī)制���,通過(guò)組織開(kāi)展多層次、多方位的信息安全培訓(xùn)���,提高安全員信息安全防范技能�,培養(yǎng)稅務(wù)信息安全管理骨干。此外��,稅收普法宣傳教育中還要強(qiáng)化納稅人信息安全意識(shí)����。
3.2綜合內(nèi)外部控制手段,實(shí)現(xiàn)稅務(wù)信息安全管理方式多元化
稅務(wù)信息安全管理是一個(gè)系統(tǒng)工程����,涉及信息技術(shù)體系、信息風(fēng)險(xiǎn)管理及組織管理框架等諸多方面���,面對(duì)終端規(guī)模大、地域分布廣��、技術(shù)類型多的現(xiàn)實(shí)�,單純的依靠外部技術(shù)手段無(wú)法實(shí)現(xiàn)稅務(wù)信息安全管理,需要內(nèi)部控制措施予以協(xié)同�,多元化的管理方法才能更好地、更有效地保障稅務(wù)工作人員完成信息安全管理工作�����。首先,完善稅務(wù)信息安全技術(shù)手段����,做好信息安全防護(hù)體系建設(shè)和運(yùn)行管理。不論是采取何種技術(shù)手段進(jìn)行稅務(wù)信息管理��,都要建立完備的病毒防范�、身份鑒別與訪問(wèn)控制、入侵檢測(cè)及信息加密等信息安全管理技術(shù)體系����,定時(shí)檢查并更新硬件設(shè)備以確保其可靠性與穩(wěn)定性。其次��,要克服“唯技術(shù)論”的傾向��,稅務(wù)部門要建立統(tǒng)一的信息安全保障中心���,保證稅務(wù)信息安全集中和集成管理�����,努力形成完整的數(shù)據(jù)安全與備份體系�����。最后���,完善稅務(wù)信息安全管理內(nèi)部控制手段�����,以減輕由于內(nèi)部人員道德風(fēng)險(xiǎn)���、系統(tǒng)資源風(fēng)險(xiǎn)所造成的信息危害。主要是采用人機(jī)聯(lián)控的控制方式�����,通過(guò)實(shí)施一系列的控制活動(dòng)和保護(hù)措施�,以實(shí)現(xiàn)對(duì)與稅務(wù)信息安全相關(guān)的人與物的管理,并最大限度地保障稅務(wù)信息安全�����。
3.3完善稅務(wù)信息安全管理框架����,健全稅務(wù)信息安全管理制度
借鑒信息安全管理一般理論�����,完整的稅務(wù)信息安全管理框架包括定義稅務(wù)信息安全政策、定義稅務(wù)信息安全管理范圍����、進(jìn)行稅務(wù)信息安全風(fēng)險(xiǎn)評(píng)估、確定管理目標(biāo)和選擇管理措施���、準(zhǔn)備稅務(wù)信息安全適用性聲明�����、建立相關(guān)文檔�����、文檔的嚴(yán)格管理及安全事件記錄回饋���。針對(duì)目前稅務(wù)信息安全管理框架的不完善,稅務(wù)部門應(yīng)嚴(yán)格按照信息安全管理框架�,制定完善的信息安全規(guī)章、明確管理范圍��、風(fēng)險(xiǎn)���、目標(biāo)��、措施等予以完善���。與此同時(shí)�����,還要健全稅務(wù)信息安全管理相關(guān)制度�����。一是建議基層稅務(wù)機(jī)關(guān)應(yīng)成立信息安全領(lǐng)導(dǎo)小組����,各區(qū)局���、科室�、所都應(yīng)明確專人負(fù)責(zé)稅務(wù)信息安全的管理��,以健全稅務(wù)信息安全管理領(lǐng)導(dǎo)制度���;二是建議明確安全事故預(yù)防任務(wù)�����、報(bào)告時(shí)限與程序�����、處理方法與措施�,以健全稅務(wù)信息安全事故預(yù)防�、報(bào)告及處理制度;三是建議制定規(guī)范���、可行的信息安全管理考核機(jī)制��,明確規(guī)定每個(gè)稅務(wù)工作人員在信息安全方面應(yīng)承擔(dān)的責(zé)任��、保密要求以及違約責(zé)任�,以健全稅務(wù)信息安全管理責(zé)任制度���?�?傊?�,就是要建立安全管理機(jī)構(gòu)��,確定安全管理人員����,建立安全管理制度,建立責(zé)任和監(jiān)督機(jī)制����,切實(shí)保障稅務(wù)信息安全管理有效開(kāi)展。
篇2
移動(dòng)電子商務(wù)(M-Commerce)���,是通過(guò)手機(jī)�����、PDA(個(gè)人數(shù)字助理)���、呼機(jī)等移動(dòng)通信設(shè)備與因特網(wǎng)有機(jī)結(jié)合所進(jìn)行的電子商務(wù)活動(dòng)。移動(dòng)電子商務(wù)能提供以下服務(wù):PIM(個(gè)人信息服務(wù))����、銀行業(yè)務(wù)、交易�、購(gòu)物、基于位置的服務(wù)、娛樂(lè)等��。
移動(dòng)電子商務(wù)因其快捷方便��、無(wú)所不在的特點(diǎn)�����,已經(jīng)成為電子商務(wù)發(fā)展的新方向��。因?yàn)橹挥幸苿?dòng)電子商務(wù)才能在任何地方���、任何時(shí)間,真正解決做生意的問(wèn)題��。
但是對(duì)于任何通過(guò)無(wú)線網(wǎng)路(如:GSM網(wǎng)路)進(jìn)行金融交易的用戶����,安全和隱私問(wèn)題無(wú)疑是其關(guān)注的焦點(diǎn)。由于移動(dòng)電子商務(wù)的特殊性���,移動(dòng)電子商務(wù)的安全問(wèn)題尤其顯得重要�����。尤其對(duì)于有線電子商務(wù)用戶來(lái)說(shuō)�,通常認(rèn)為物理線纜能帶來(lái)更好的安全性,從而排斥使用移動(dòng)電子商務(wù)���。移動(dòng)電子商務(wù)是一個(gè)系統(tǒng)工程���,本文從技術(shù)、安全�、隱私和法制等方面討論了移動(dòng)商務(wù)的展所面臨的種種問(wèn)題,并指出這些問(wèn)題的有效解決是建設(shè)健康��、安全的移動(dòng)電子商務(wù)的重要保證��。
一����、移動(dòng)通信新技術(shù)的驅(qū)動(dòng)
1.無(wú)線應(yīng)用協(xié)議(WAP)
無(wú)線應(yīng)用協(xié)議WAP是無(wú)線通信和互聯(lián)網(wǎng)技術(shù)發(fā)展的產(chǎn)物,它不僅為無(wú)線設(shè)備提供豐富的互聯(lián)網(wǎng)資源���,也提供了開(kāi)發(fā)各種無(wú)線網(wǎng)路應(yīng)用的途徑���。1998年,WAP論壇公布了WAP1.0版本�����,制定了一套專門為移動(dòng)互聯(lián)網(wǎng)而設(shè)計(jì)的應(yīng)用協(xié)議,具有良好的開(kāi)放性和互通性���。隨著移動(dòng)通信網(wǎng)傳輸速率的顯著提高,WAP論壇于2001年頒布了WAP2.0版本��,該版本增加了對(duì)HTTP���、TLS和TCP等互聯(lián)網(wǎng)協(xié)議的支持�,WAP的工作大大簡(jiǎn)化����。WAP2.0模式有利于實(shí)現(xiàn)電子商務(wù)所需的端到端安全性,可以提供TLS隧道����。
2.移動(dòng)IP技術(shù)
移動(dòng)IP技術(shù),是指移動(dòng)用戶可在跨網(wǎng)絡(luò)隨意移動(dòng)和漫游中�,使用基于TCP/IP協(xié)議的網(wǎng)絡(luò)時(shí),不用修改計(jì)算機(jī)原來(lái)的IP地址����,同時(shí)��,也不必中斷正在進(jìn)行的通信�。移動(dòng)IP通過(guò)AAA(Authentication,Authorization,Accounting)機(jī)制����,實(shí)現(xiàn)網(wǎng)絡(luò)全方位的安全移動(dòng)或者漫游功能。移動(dòng)IP在一定程度上能夠很好地支持移動(dòng)商務(wù)的應(yīng)用�����。
3.第三代(3G)移動(dòng)通信系統(tǒng)
第三代移動(dòng)通信系統(tǒng)�����,簡(jiǎn)稱3G��,是指將無(wú)線通信與互聯(lián)網(wǎng)等多媒體通信結(jié)合的移動(dòng)通信系統(tǒng)�����。它能夠處理圖像�����、話音����、視頻流等多種媒體形式�,提供包括網(wǎng)頁(yè)瀏覽�����、電話會(huì)議��、電子商務(wù)等多種信息服務(wù)�����。與2G相比��,3G產(chǎn)品可提供數(shù)據(jù)速率高達(dá)2Mbps的多媒體業(yè)務(wù)��。在我國(guó)�����,以TD-SCDMA技術(shù)為基礎(chǔ)的3G基礎(chǔ)設(shè)施和產(chǎn)品的建設(shè)和研制發(fā)展迅速��,我國(guó)發(fā)展3G的條件已經(jīng)基本具備�����。由于3G帶來(lái)的高速率�����、移動(dòng)性和高安全性等特點(diǎn)���,必然會(huì)給移動(dòng)電子商務(wù)的應(yīng)用帶來(lái)巨大商機(jī)�����。
4.無(wú)線局域網(wǎng)(WLAN)技術(shù)
美國(guó)電子電器工程師協(xié)會(huì)IEEE在1991年就啟動(dòng)了WLAN標(biāo)準(zhǔn)工作組�,稱為IEEE802.11��,并在1997年產(chǎn)生了WLAN標(biāo)準(zhǔn)-IEEE802.11���,后來(lái)又相繼推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的標(biāo)準(zhǔn)�����。802.11WLAN標(biāo)準(zhǔn)自公布之日起��,安全問(wèn)題一直是其被關(guān)注的焦點(diǎn)問(wèn)題��。802.11b采用了基于RC4算法的有線對(duì)等保密(WEP)機(jī)制��,為網(wǎng)絡(luò)業(yè)務(wù)流提供安全保障��,但其加密和認(rèn)證機(jī)制都存在安全漏洞�。802.11i是2004年6月批準(zhǔn)的WLAN標(biāo)準(zhǔn),其目的是解決802.11標(biāo)準(zhǔn)中存在的安全問(wèn)題���。802.11i應(yīng)用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高級(jí)加密標(biāo)準(zhǔn)的CBC-MACProtocol(CCMP)��。其中TKIP仍然采用RC4作為其加密算法��,可以向后兼容802.11a/b/g等硬件設(shè)備�。中國(guó)寬帶無(wú)線IP標(biāo)準(zhǔn)工作組制訂了WLAN國(guó)家標(biāo)準(zhǔn)GB15629.11�,定義了無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI���,大大減少了WLAN中的安全隱患�。
二�����、移動(dòng)電子商務(wù)面臨的安全威脅
盡管移動(dòng)電子商務(wù)給工作效率的提高帶來(lái)了諸多優(yōu)勢(shì)(如:減少了服務(wù)時(shí)間�,降低了成本和增加了收入),但安全問(wèn)題仍是移動(dòng)商務(wù)推廣應(yīng)用的瓶頸����。有線網(wǎng)絡(luò)安全的技術(shù)手段不完全適用于無(wú)線設(shè)備�,由于無(wú)線設(shè)備的內(nèi)存和計(jì)算能力有限而不能承載大部分的病毒掃描和入侵檢測(cè)的程序�。例如:目前還沒(méi)有有效抵制手機(jī)病毒的防護(hù)軟件。
1.網(wǎng)絡(luò)本身的威脅
無(wú)線通信網(wǎng)絡(luò)可以不像有線網(wǎng)絡(luò)那樣受地理環(huán)境和通信電纜的限制就可以實(shí)現(xiàn)開(kāi)放性的通信����。無(wú)線信道是一個(gè)開(kāi)放性的信道,它給無(wú)線用戶帶來(lái)通信自由和靈活性的同時(shí)����,也帶來(lái)了諸多不安全因素:如通信內(nèi)容容易被竊聽(tīng)、通信雙方的身份容易被假冒��,以及通信內(nèi)容容易被篡改等����。在無(wú)線通信過(guò)程中,所有通信內(nèi)容(如:通話信息�,身份信息,數(shù)據(jù)信息等)都是通過(guò)無(wú)線信道開(kāi)放傳送的���。任何擁有一定頻率接收設(shè)備的人均可以獲取無(wú)線信道上傳輸?shù)膬?nèi)容�����。這對(duì)于無(wú)線用戶的信息安全���、個(gè)人安全和個(gè)人隱私都構(gòu)成了潛在的威脅��。
2.無(wú)線adhoc應(yīng)用的威脅
除了互聯(lián)網(wǎng)在線應(yīng)用帶來(lái)的威脅外���,無(wú)線裝置給其移動(dòng)性和通信媒體帶來(lái)了新的安全問(wèn)題?��?紤]無(wú)線裝置可以組成adhoc網(wǎng)路���。Adhoc網(wǎng)絡(luò)和傳統(tǒng)的移動(dòng)網(wǎng)絡(luò)有著許多不同,其中一個(gè)主要的區(qū)別就是AdHoc網(wǎng)絡(luò)不依賴于任何固定的網(wǎng)絡(luò)設(shè)施���,而是通過(guò)移動(dòng)節(jié)點(diǎn)間的相互協(xié)作來(lái)進(jìn)行網(wǎng)絡(luò)互聯(lián)���。由于其網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn)����,使得AdHoc網(wǎng)絡(luò)的安全問(wèn)題尤為突出。Adhoc網(wǎng)路的一個(gè)重要特點(diǎn)是網(wǎng)絡(luò)決策是分散的,網(wǎng)絡(luò)協(xié)議依賴于所有參與者之間的協(xié)作����。敵手可以基于該種假設(shè)的信任關(guān)系入侵協(xié)作的節(jié)點(diǎn)。
3.網(wǎng)路漫游的威脅
無(wú)線網(wǎng)路中的攻擊者不需要尋找攻擊目標(biāo)�����,攻擊目標(biāo)會(huì)漫游到攻擊者所在的小區(qū)�。在終端用戶不知情的情況下,信息可能被竊取和篡改���。服務(wù)也可被經(jīng)意或不經(jīng)意地拒絕��。交易會(huì)中途打斷而沒(méi)有重新認(rèn)證的機(jī)制�。由刷新引起連接的重新建立會(huì)給系統(tǒng)引入風(fēng)險(xiǎn)��,沒(méi)有再認(rèn)證機(jī)制的交易和連接的重新建立是危險(xiǎn)的��。連接一旦建立�,使用SSL和WTLS的多數(shù)站點(diǎn)不需要進(jìn)行重新認(rèn)證和重新檢查證書。攻擊者可以利用該漏洞來(lái)獲利����。
4.物理安全
無(wú)線設(shè)備另一個(gè)特有的威脅就是容易丟失和被竊。因?yàn)闆](méi)有建筑、門鎖和看管保證的物理邊界安全和其小的體積�,無(wú)線設(shè)備很容易丟失和被盜竊。對(duì)個(gè)人來(lái)說(shuō)��,移動(dòng)設(shè)備的丟失意味著別人將會(huì)看到電話上的數(shù)字證書����,以及其他一些重要數(shù)據(jù)。利用存儲(chǔ)的數(shù)據(jù)����,拿到無(wú)線設(shè)備的人就可以訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò),包括Email服務(wù)器和文件系統(tǒng)�。目前手持移動(dòng)設(shè)備最大的問(wèn)題就是缺少對(duì)特定用戶的實(shí)體認(rèn)證機(jī)制。
三���、移動(dòng)商務(wù)面臨的隱私和法律問(wèn)題
1.垃圾短信息
在移動(dòng)通信給人們帶來(lái)便利和效率的同時(shí)�,也帶來(lái)了很多煩惱����,遍地而來(lái)的垃圾短信廣告打擾著我們的生活。在移動(dòng)用戶進(jìn)行商業(yè)交易時(shí)�����,會(huì)把手機(jī)號(hào)碼留給對(duì)方���。通過(guò)街頭的社會(huì)調(diào)查時(shí)�,也往往需要被調(diào)查者填入手機(jī)號(hào)碼���。甚至有的用戶把手機(jī)號(hào)碼公布在網(wǎng)上����。這些都是公司獲取手機(jī)號(hào)碼的渠道����。垃圾短信使得人們對(duì)移動(dòng)商務(wù)充滿恐懼,而不敢在網(wǎng)絡(luò)上使用自己的移動(dòng)設(shè)備從事商務(wù)活動(dòng)�����。目前��,還沒(méi)有相關(guān)的法律法規(guī)來(lái)規(guī)范短信廣告�����,運(yùn)營(yíng)商還只是在技術(shù)層面來(lái)限制垃圾短信的群發(fā)����。目前�,信息產(chǎn)業(yè)部正在起草手機(jī)短信的規(guī)章制度���,相信不久的將來(lái)會(huì)還手機(jī)短信一片綠色的空間����。
2.定位新業(yè)務(wù)的隱私威脅
定位是移動(dòng)業(yè)務(wù)的新應(yīng)用���,其技術(shù)包括:全球定位系統(tǒng)�,該種技術(shù)利用24顆GPS衛(wèi)星來(lái)精確(誤差在幾米之內(nèi))定位地面上的人和車輛�;基于手機(jī)的定位技術(shù)TOA,該技術(shù)根據(jù)從GPS返回響應(yīng)信號(hào)的時(shí)間信息定位手機(jī)所處的位置�����。定位在受到歡迎的同時(shí)�����,也暴露了其不利的一面——隱私問(wèn)題��。移動(dòng)酒吧就是一個(gè)典型的例子��,當(dāng)你在路上時(shí),這種服務(wù)可以在你的PDA上列出離你最近的5個(gè)酒吧的位置和其特色���。或者當(dāng)你途經(jīng)一個(gè)商店時(shí)����,會(huì)自動(dòng)向你的手機(jī)發(fā)送廣告信息。定位服務(wù)在給我們帶來(lái)便利的同時(shí)���,也影響到了個(gè)人隱私���。利用這種技術(shù),執(zhí)法部門和政府可以監(jiān)聽(tīng)信道上的數(shù)據(jù)���,并能夠跟蹤一個(gè)人的物理位置���。
3.移動(dòng)商務(wù)的法律保障
電子商務(wù)的迅猛發(fā)展推動(dòng)了相關(guān)的立法工作。2005年4月1日���,中國(guó)首部真正意義上的信息化法律《電子簽名法》正式實(shí)施�����,電子簽名與傳統(tǒng)的手寫簽名和蓋章將具有同等的法律效力�,標(biāo)志著我國(guó)電子商務(wù)向誠(chéng)信發(fā)展邁出了第一步?���!峨娮雍灻ā妨⒎ǖ闹匾康氖菫榱舜龠M(jìn)電子商務(wù)和電子政務(wù)的發(fā)展,增強(qiáng)交易的安全性���。
參考文獻(xiàn):
篇3
根據(jù)信息管理的具體應(yīng)用業(yè)務(wù)流程�,并且結(jié)合系統(tǒng)級(jí)安全策略�����,動(dòng)態(tài)對(duì)系統(tǒng)中的不同信息和用戶賦予不同的權(quán)限�。例如,在OA系統(tǒng)中�,可以設(shè)定系統(tǒng)中的具體文檔、合同的閱讀者和審核者范圍�����,甚至可以對(duì)哪些用戶可以文檔中某一部分的內(nèi)容進(jìn)行閱讀或者修改的權(quán)限進(jìn)行設(shè)定�����,采用動(dòng)態(tài)權(quán)限機(jī)制來(lái)保證系統(tǒng)的安全;
(2)操作記錄
將用戶操作進(jìn)行自動(dòng)記錄和存檔�,同時(shí)保存文檔修改之前和之后的版本,從而記錄下文檔的修改軌跡�����。
2安全技術(shù)具體應(yīng)用案例
2.1信息管理系統(tǒng)安全分析
由于電力市場(chǎng)的特點(diǎn)決定�����,電力系統(tǒng)參與的各個(gè)主體分別代表了不同的利益團(tuán)體�����,例如電力公司信息管理系統(tǒng)中的交易熱暖����,能夠申報(bào)授權(quán)范圍內(nèi)的交易數(shù)據(jù)�,對(duì)市場(chǎng)信息進(jìn)行查詢;結(jié)算人員可以對(duì)各類交易的執(zhí)行情況和執(zhí)行結(jié)果進(jìn)行考核結(jié)算�。因此,為了防止系統(tǒng)用戶在信息管理系統(tǒng)中進(jìn)行越權(quán)操作����,或者操作不當(dāng)給各方帶來(lái)的損失�����,需要對(duì)電力公司的信息管理系統(tǒng)進(jìn)行安全控制����。由于電力公司所涉及的業(yè)務(wù)廣泛����,為此電力公司內(nèi)部信息管理系統(tǒng)數(shù)量眾多,主要包括負(fù)責(zé)對(duì)發(fā)電廠��、輸配電線����、變電站的正常運(yùn)行和生產(chǎn)進(jìn)行監(jiān)控的SCADA/EMS系統(tǒng),負(fù)責(zé)電網(wǎng)調(diào)度運(yùn)行�����、電網(wǎng)通信�����、繼電保護(hù)進(jìn)行綜合管理的DMIS系統(tǒng),負(fù)責(zé)電力企業(yè)決策支持的MIS系統(tǒng)���,以及負(fù)責(zé)電力企業(yè)辦公自動(dòng)化的OAS系統(tǒng)等���。根據(jù)電力行業(yè)的特點(diǎn),要求在電力公司信息管理系統(tǒng)中必須要確保SCADA/EMS系統(tǒng)的安全性�,其他信息管理系統(tǒng)安全性要求也較高。
2.2信息管理系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)
目前���,為了提高電力公司信息管理系統(tǒng)的安全性�����,電力公司采取如圖1所示的,包括SPnet(電力信息網(wǎng))和SPDnet(調(diào)度信息網(wǎng))的專用網(wǎng)絡(luò)和Internet公共網(wǎng)絡(luò)相結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu)���。通過(guò)內(nèi)網(wǎng)與外網(wǎng)的物理隔離�����,既滿足了MIS系統(tǒng)���、OAS系統(tǒng)的Internet用網(wǎng)需求,同時(shí)也保證SCADA/EMS不能夠直接訪問(wèn)Internet,從而最大程度上的保證系統(tǒng)安全�����。
2.3信息管理系統(tǒng)安全體系結(jié)構(gòu)設(shè)計(jì)
信息管理系統(tǒng)的安全體系結(jié)構(gòu)設(shè)計(jì)���。在電力公司信息管理系統(tǒng)安全體系結(jié)構(gòu)中采用了如下的安全策略來(lái)保證信息管理系統(tǒng)的安全����。
(1)分區(qū)安全保護(hù)策略
根據(jù)電力公司內(nèi)部各信息管理系統(tǒng)所管理業(yè)務(wù)的重要性���,對(duì)信息管理系統(tǒng)的安全級(jí)別進(jìn)行劃分�,重點(diǎn)保護(hù)網(wǎng)絡(luò)內(nèi)的安全區(qū)Ⅰ內(nèi)的SCADA/EMS實(shí)時(shí)監(jiān)控系統(tǒng)����,和安全區(qū)Ⅱ內(nèi)的交易系統(tǒng);
(2)橫向隔離
安全區(qū)Ⅰ與安全區(qū)Ⅱ內(nèi)部的時(shí)監(jiān)控系統(tǒng)��,和交易系統(tǒng)采用防火墻進(jìn)行邏輯隔離����,而安全區(qū)Ⅰ、Ⅱ與安全區(qū)Ⅲ����、Ⅳ之間采用正向和反向?qū)S玫陌踩綦x裝置進(jìn)行物理隔離�����;
(3)專網(wǎng)專用
SPDnet調(diào)度網(wǎng)提供兩個(gè)邏輯隔離的安全隔離裝置與安全區(qū)Ⅰ和Ⅱ進(jìn)行通信���,SPnet電力信息網(wǎng)與SPDnet調(diào)度網(wǎng)實(shí)現(xiàn)物理隔離;
(4)縱向認(rèn)證與保護(hù)
安全區(qū)Ⅰ和Ⅱ的邊界都設(shè)置了具有加密和認(rèn)證功能的安全網(wǎng)關(guān)����,而Ⅲ和Ⅳ的邊界部署了防火墻;
(5)整個(gè)網(wǎng)絡(luò)只有安全級(jí)別最低的安全區(qū)Ⅳ通過(guò)防火墻直接訪問(wèn)Internet
從如上的分析可以看出�,根據(jù)不同信息管理系統(tǒng)的需要,可以靈活應(yīng)用物理隔離技術(shù)�����、邏輯隔離技術(shù)�����,以及輔以系統(tǒng)安全技術(shù)和應(yīng)用安全技術(shù)�����,來(lái)多方位的保證系統(tǒng)中信息管理系統(tǒng)的安全�����。
篇4
2信息技術(shù)在道路安全管理中的應(yīng)用
如果說(shuō)對(duì)氣象����、交通、緊急事件信息的采集是實(shí)施道路安全管理的基礎(chǔ)����,那么對(duì)這些信息的高效及時(shí)就是道路安全管理的重中之重。在道路交通運(yùn)營(yíng)過(guò)程中���,交通狀況處于不斷的變化中����,不良的天氣氣候因素(大風(fēng)��、雨雪����、霧霾等)會(huì)對(duì)道路運(yùn)行安全造成很大的影響,容易引發(fā)車輛拋錨�、追尾等突發(fā)緊急事故�,從而降低道路交通的通行能力�����。所以���,道路運(yùn)行網(wǎng)絡(luò)系統(tǒng)�,需要將相關(guān)的信息及時(shí)準(zhǔn)確的出來(lái)��,為駕駛員行車路線的選擇提供有力的依據(jù)��。為了能夠保證信息系統(tǒng)能夠發(fā)揮對(duì)道路安全管理的作用�,要求道路網(wǎng)絡(luò)信息系統(tǒng)具備一定的功能,具體的功能要求體現(xiàn)在以下幾個(gè)方面:
(1)能夠及時(shí)準(zhǔn)確的氣象信息�����;
(2)能夠?yàn)橛脩籼峁┯嘘P(guān)道路中路面�����、隧道���、橋涵等狀態(tài)信息�����,還包括各種設(shè)備的檢修情況���;
(3)具備道路使用信息的功能,能夠提供道路運(yùn)行狀態(tài)���,包括堵塞�����、關(guān)閉����、事故����、施工或通暢,為駕駛員線路選擇提供依據(jù)��;
(4)具備道路限速信息功能�����;
(5)具備警告信息的能力,包括違章警告����、擁擠警告、排隊(duì)警告�、施工警告、事故警告�、環(huán)境警告等;
(6)對(duì)限速原因����、限速值等信息的供功能。信息技術(shù)主要包括圖形式可變信息板���、移動(dòng)通訊�����、文字式可變信息板���、交通廣播、車載系統(tǒng)���、路旁無(wú)線電等����。各種信息方式都具有各自的優(yōu)缺點(diǎn)���,如車載系統(tǒng)具有信息量大����、針對(duì)性強(qiáng)����、信息及時(shí)等優(yōu)點(diǎn),但同時(shí)也具有投資大����、技術(shù)要求高等缺陷。再如可變限速標(biāo)志能夠加強(qiáng)駕駛員對(duì)限速的重視�,并了解限速原因,但缺點(diǎn)在于其的信息較為單一�。在道路交通安全管理過(guò)程中,需要根據(jù)不同信息對(duì)象����,選擇不同的信息技術(shù)。信息對(duì)象主要包括駕駛員、交通救援部門����、交通管理部門等。
3道路安全管理總信息技術(shù)發(fā)展方向
隨著科技水平的進(jìn)步���,越來(lái)越多先進(jìn)的信息技術(shù)應(yīng)用到道路安全管理中�,同時(shí)信息通信技術(shù)����、傳感技術(shù)、人工智能技術(shù)等也得到了長(zhǎng)足的進(jìn)步�����?���;诖耍缆钒踩芾砉ぷ髦行畔⒓夹g(shù)發(fā)展前景主要表現(xiàn)在以下幾個(gè)方面:
(1)信息技術(shù)整體性能提升����。特別是傳感器技術(shù)的發(fā)展,強(qiáng)化了檢測(cè)器各項(xiàng)功能����。一方面�,根據(jù)電磁場(chǎng)變化原理����,開(kāi)發(fā)功能更加強(qiáng)大的車輛檢測(cè)器�����,改進(jìn)信號(hào)處理裝置以及探頭�,提高檢測(cè)器的使用壽命;另一方面�����,基于超聲波��、微波等電磁感應(yīng)原理����,提高檢測(cè)器的抗干擾能力,提高檢測(cè)器的安裝�����、維護(hù)簡(jiǎn)單性。
(2)系統(tǒng)化��、機(jī)電一體化發(fā)展前景��。以信息技術(shù)為基礎(chǔ)�,充分利用科學(xué)計(jì)算方法以及人工智能技術(shù),使道路安全管理信息化技術(shù)向著更加智能化����、系統(tǒng)化的方向發(fā)展。如感應(yīng)線圈智能交通流量檢測(cè)儀����、遙感微波檢測(cè)器、紅外線定位攝像系統(tǒng)等的開(kāi)發(fā)與研究�����。
(3)在現(xiàn)有的信息技術(shù)基礎(chǔ)上�,加強(qiáng)對(duì)新技術(shù)的開(kāi)發(fā),包括用新的計(jì)算機(jī)圖像處理技術(shù)��,代替?zhèn)鹘y(tǒng)的視頻監(jiān)測(cè)技術(shù)���,實(shí)現(xiàn)對(duì)更多車輛運(yùn)行參數(shù)的在線監(jiān)測(cè)�,提高交通監(jiān)控圖像識(shí)別的準(zhǔn)確性與實(shí)時(shí)性。
篇5
1規(guī)劃安全過(guò)濾規(guī)則
依據(jù)具體的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)策略和確切的目標(biāo)���,科學(xué)規(guī)劃安全過(guò)濾規(guī)則�,嚴(yán)格審核IP數(shù)據(jù)包��,主要包含以下內(nèi)容:端口�����、來(lái)源地址�����、目的地址和線路等����,最大限度地禁止非法用戶的入侵��。
2設(shè)置IP地址
在計(jì)算機(jī)網(wǎng)絡(luò)中��,針對(duì)全體用戶�����,規(guī)范設(shè)置相應(yīng)的IP地址,進(jìn)而使防火墻系統(tǒng)能夠準(zhǔn)確辨別數(shù)據(jù)包來(lái)源�,切實(shí)保障計(jì)算機(jī)網(wǎng)絡(luò)的全體用戶均能利用和享受安全的網(wǎng)絡(luò)服務(wù)。
3安裝防火墻
通過(guò)防火墻���,在網(wǎng)絡(luò)傳輸信息的過(guò)程中執(zhí)行訪問(wèn)控制命令����,只允許通過(guò)防火墻檢測(cè)合格的用戶和數(shù)據(jù)才能進(jìn)入內(nèi)網(wǎng)���,禁止一切不合格用戶或者不安全數(shù)據(jù)的訪問(wèn)����,有效地抑制了網(wǎng)絡(luò)黑客的蓄意攻擊�,避免他們擅自修改、刪除或者移動(dòng)信息?�,F(xiàn)階段�����,防火墻發(fā)展成熟且效果顯著�,在計(jì)算機(jī)網(wǎng)絡(luò)信息安全的防護(hù)中發(fā)揮著重要的作用,它能夠最大限度地避免病毒傳播到內(nèi)網(wǎng)��。
4有效利用入侵檢測(cè)技術(shù)
入侵檢測(cè)技術(shù)能夠有效防范源自內(nèi)外網(wǎng)的攻擊,分析計(jì)算機(jī)網(wǎng)絡(luò)信息安全防防護(hù)策略的性質(zhì)可知��,防火墻的本質(zhì)為一種被動(dòng)防護(hù)�,為進(jìn)一步增強(qiáng)其主動(dòng)性,應(yīng)有效利用入侵檢測(cè)技術(shù)��,積極防范惡意攻擊��。
5定期升級(jí)殺毒軟件
為避免計(jì)算機(jī)內(nèi)部信息被惡意盜竊���,應(yīng)主動(dòng)使用殺毒軟件��,定期對(duì)其進(jìn)行升級(jí)操作,進(jìn)而不斷增強(qiáng)殺毒軟件的安全防護(hù)能力�,高效防護(hù)計(jì)算機(jī)內(nèi)部信息,切實(shí)保障內(nèi)部信息安全���。分析計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)現(xiàn)狀可知��,殺毒軟件屬于一種經(jīng)濟(jì)適用的安全防護(hù)策略����,具有較強(qiáng)的安全防護(hù)效果�,并在現(xiàn)實(shí)生活中得到了有效的證實(shí)�。
6治理網(wǎng)絡(luò)中心環(huán)境
為達(dá)到增強(qiáng)計(jì)算機(jī)網(wǎng)路信息安全性的目的����,應(yīng)全面治理計(jì)算機(jī)網(wǎng)絡(luò)中心環(huán)境,以硬件設(shè)施為切入點(diǎn)���,及時(shí)解決網(wǎng)絡(luò)硬件的各種問(wèn)題�,避免因硬件設(shè)施故障而引發(fā)自然災(zāi)害現(xiàn)象的發(fā)生���,提升網(wǎng)絡(luò)硬件的工作效率��,增強(qiáng)網(wǎng)絡(luò)硬件設(shè)施的安全性和可靠性����,進(jìn)而達(dá)到計(jì)算機(jī)網(wǎng)絡(luò)信息管理標(biāo)準(zhǔn)�����。
篇6
二��、檔案管理信息化中安全風(fēng)險(xiǎn)評(píng)估的作用
人們?cè)谶M(jìn)行檔案信息管理的過(guò)程中受到認(rèn)識(shí)能力以及實(shí)踐能力的限制�,不能夠保證信息管理的完全安全性,所以檔案信息管理系統(tǒng)在一定程度上存在著脆弱性���,這種情況導(dǎo)致在使用檔案信息的過(guò)程中面臨著一些人為或者是自然條件的破壞����,所以檔案信息管理存在安全風(fēng)險(xiǎn)具有必然性。因此��,對(duì)檔案信息管理進(jìn)行安全風(fēng)險(xiǎn)評(píng)估具有重要的意義��,信息安全建設(shè)的前提是�����,基于對(duì)綜合成本以及效益的考慮�,采取有效的安全方法對(duì)風(fēng)險(xiǎn)進(jìn)行控制,保證殘余風(fēng)險(xiǎn)降低在最小的程度�。因?yàn)椋藗冏非髮?shí)際的信息系統(tǒng)的安全����,是指對(duì)信息系統(tǒng)實(shí)施了風(fēng)險(xiǎn)控制之后���,接受殘余風(fēng)險(xiǎn)的存在�,但是殘余風(fēng)險(xiǎn)應(yīng)該控制在最小的程度����。所以���,要保證檔案信息系統(tǒng)的安全可靠性,就應(yīng)該實(shí)施全面��、系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估�,將安全風(fēng)險(xiǎn)評(píng)估的思想以及觀念貫穿到整個(gè)信息管理的過(guò)程中。通常情況下����,信息安全風(fēng)險(xiǎn)主要指的是在整個(gè)信息管理的過(guò)程中,信息的安全屬性所面臨的危害發(fā)生的可能性��。產(chǎn)生這種可能性的原因是系統(tǒng)脆弱性��、人為因素或者是其他的因素造成的威脅�。用來(lái)衡量安全事件發(fā)生的概率以及造成的影響的指標(biāo)主要有兩種。然而��,危害的程度并不只取決于安全事件發(fā)展的概率�����,還與其造成的后果的嚴(yán)重性的大小有著直接的關(guān)系。安全風(fēng)險(xiǎn)評(píng)估具有很多的特點(diǎn)����。首先,它具有決策支持性��,這個(gè)特點(diǎn)在整個(gè)安全風(fēng)險(xiǎn)評(píng)估周期中都存在��,只是內(nèi)容不相同���,因?yàn)榘踩u(píng)估的真正目的是供給安全管理支持以及服務(wù)的��。在系統(tǒng)生命周期中都存在著安全隱患��,所以整個(gè)生命周期中都離不開(kāi)安全風(fēng)險(xiǎn)評(píng)估��。其次���,比較分析性,這個(gè)特點(diǎn)主要體現(xiàn)在對(duì)安全管理和運(yùn)營(yíng)的不同的方案能夠進(jìn)行有效的比較以及分析�;能夠?qū)Σ煌尘扒闆r下使用的科學(xué)技術(shù)以及資金投入進(jìn)行比較分析;還能夠?qū)Ξa(chǎn)生的結(jié)果進(jìn)行有效的比較分析�����。最后��,前提假設(shè)性���,對(duì)檔案信息進(jìn)行管理的過(guò)程中所使用的風(fēng)險(xiǎn)評(píng)估會(huì)涉及到各種評(píng)估數(shù)據(jù)���,這些數(shù)據(jù)能夠被分為兩種。其中一種數(shù)據(jù)的功能是對(duì)檔案信息實(shí)際情況的描述����,通過(guò)這些數(shù)據(jù)就可以了解整個(gè)檔案管理信息中的情況;另一種數(shù)據(jù)是指預(yù)測(cè)數(shù)據(jù)�����,主要是根據(jù)系統(tǒng)各種假設(shè)前提條件確定的��,因?yàn)樵谛畔⒐芾淼恼麄€(gè)過(guò)程中�,都要對(duì)一些未知的情況進(jìn)行事先的預(yù)測(cè),然后做出必要的假設(shè)�����,得出相關(guān)的預(yù)測(cè)數(shù)據(jù)�,再根據(jù)這些預(yù)測(cè)數(shù)據(jù)對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。
三、檔案管理不同階段
進(jìn)行不同的風(fēng)險(xiǎn)評(píng)估信息系統(tǒng)的開(kāi)發(fā)涉及到很多的模型���,而且隨著科學(xué)技術(shù)的快速發(fā)展��,各種模型都在不斷的升級(jí)�。從最早期的線性模型到螺旋式模型再到后來(lái)的并發(fā)式的模型�,這些系統(tǒng)模型的開(kāi)發(fā)都是為了滿足不同的系統(tǒng)需求。然而���,風(fēng)險(xiǎn)評(píng)估卻存在于整個(gè)信息系統(tǒng)的生命周期中���,但是由于信息系統(tǒng)的生命周期中有很多的階段,而且每一個(gè)階段活動(dòng)的內(nèi)容都有所差別���,因此信息管理的安全目標(biāo)以及對(duì)安全風(fēng)險(xiǎn)評(píng)估的要求也是不同的���。
(一)對(duì)于分析階段的風(fēng)險(xiǎn)評(píng)估。其真正的目的是為了實(shí)現(xiàn)規(guī)劃中的檔案信息系統(tǒng)安全風(fēng)險(xiǎn)的獲得�����,這樣才能夠根據(jù)獲得的信息來(lái)滿足安全建設(shè)的具體需求�。分析階段的風(fēng)險(xiǎn)評(píng)估的重點(diǎn)是抓住系統(tǒng)初期的安全風(fēng)險(xiǎn)評(píng)估�,從而有效的滿足對(duì)安全性的需求��,然后從宏觀的角度來(lái)分析和評(píng)估檔案信息管理系統(tǒng)中可能存在的危險(xiǎn)因素��。
(二)設(shè)計(jì)階段的安全風(fēng)險(xiǎn)評(píng)估���。這個(gè)階段涉及到的安全目標(biāo)比較多,所以能夠有效的確定安全目標(biāo)具有重要的意義���。應(yīng)該采取有效的措施�,通過(guò)安全風(fēng)險(xiǎn)評(píng)估����,保證檔案信息管理系統(tǒng)中安全目標(biāo)的明確。
(三)集成實(shí)現(xiàn)階段�����。這個(gè)階段的主要目的是要驗(yàn)證系統(tǒng)安全要求的實(shí)現(xiàn)效果與符合性是否一致�,所以,應(yīng)該通過(guò)有效的風(fēng)險(xiǎn)評(píng)估對(duì)其進(jìn)行驗(yàn)證�����。需要注意的是,在進(jìn)行資產(chǎn)評(píng)估的時(shí)候�����,如果在分析階段以及設(shè)計(jì)階段已經(jīng)對(duì)資產(chǎn)進(jìn)行了評(píng)估����,那么在這個(gè)階段就不需要再重新做資產(chǎn)評(píng)估的工作,防止重復(fù)性工作的發(fā)生��。所以��,可以直接用前兩個(gè)階段得出的資產(chǎn)評(píng)估的結(jié)果�,但是如果在分析階段和設(shè)計(jì)階段都沒(méi)有進(jìn)行資產(chǎn)評(píng)估,則需要在此階段先進(jìn)行這項(xiàng)工作����。威脅評(píng)估依然著重威脅環(huán)境,而且要對(duì)真實(shí)環(huán)境中的具體威脅進(jìn)行有效的分析�。除此之外,還應(yīng)該對(duì)檔案信息管理系統(tǒng)進(jìn)行實(shí)際環(huán)境的脆弱性的有效分析����,重點(diǎn)放在信息的運(yùn)行環(huán)境以及管理環(huán)境中的脆弱性的分析。
(四)運(yùn)行維護(hù)階段�。對(duì)檔案管理系統(tǒng)不斷的進(jìn)行有效的風(fēng)險(xiǎn)評(píng)估�,從而確保系統(tǒng)的安全��、可靠性�����,這樣才能夠保證檔案管理系統(tǒng)在整個(gè)生命周期中都處于安全的環(huán)境�。
四�、檔案信息安全風(fēng)險(xiǎn)評(píng)估存在的不足
我國(guó)在檔案信息安全風(fēng)險(xiǎn)評(píng)估方面已經(jīng)取得了很大的成就,積累了一些寶貴的經(jīng)驗(yàn)����。但是,由于我國(guó)檔案信息安全風(fēng)險(xiǎn)評(píng)估工作起步晚�,還存在一些不足之處,主要表現(xiàn)在以下幾點(diǎn)�����。
(一)管理層對(duì)于信息安全風(fēng)險(xiǎn)評(píng)估缺乏一定的重視���,而且缺少一些專業(yè)評(píng)估技術(shù)人員�����。當(dāng)前評(píng)估技術(shù)人員的專業(yè)技能不高也是現(xiàn)階段存在的問(wèn)題����。所以,應(yīng)該對(duì)評(píng)估人員進(jìn)行定期的培訓(xùn)�����,提高他們的專業(yè)技能�,保證風(fēng)險(xiǎn)評(píng)估工作有效的進(jìn)行,同時(shí)還應(yīng)該采取有效的措施來(lái)提高工作人員對(duì)于風(fēng)險(xiǎn)評(píng)估的重視��,是檔案管理信息化環(huán)境處于安全的運(yùn)行環(huán)境中��。
(二)風(fēng)險(xiǎn)評(píng)估的工作流程還不夠完善�����,而且一些風(fēng)險(xiǎn)技術(shù)標(biāo)準(zhǔn)也需要進(jìn)一步的更新���。檔案信息化管理的風(fēng)險(xiǎn)評(píng)估��,不僅僅是一個(gè)管理的過(guò)程��,也是一個(gè)技術(shù)性的過(guò)程���,所以應(yīng)該根據(jù)實(shí)際情況來(lái)科學(xué)合理地制定工作流程和技術(shù)標(biāo)準(zhǔn)����。如果所有的環(huán)境和情況都套用一種工作流程和一個(gè)技術(shù)標(biāo)準(zhǔn)����,就會(huì)導(dǎo)致不匹配現(xiàn)象的出現(xiàn)�����,不僅影響風(fēng)險(xiǎn)評(píng)估的效果,而且在一定程度上還影響信息系統(tǒng)的安全性���。
(三)評(píng)估工具的發(fā)展比較滯后�,隨著科學(xué)技術(shù)的快速發(fā)展����,信息安全漏洞會(huì)逐漸顯露出來(lái)��,所以對(duì)信息系統(tǒng)的威脅逐漸增加�����。應(yīng)該采用先進(jìn)的評(píng)估工具對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估�����,從而滿足檔案管理信息化的需求��。
篇7
2檔案管理工作者信息安全素質(zhì)現(xiàn)狀
2.1信息化管理意識(shí)欠缺
檔案管理者對(duì)于檔案信息化的認(rèn)識(shí)比較淺,不能夠?qū)㈦娮游募鳛槲覈?guó)的一項(xiàng)戰(zhàn)略信息資源,不能夠?qū)n案信息網(wǎng)絡(luò)安全有較深的意識(shí),在自己的日常工作中就不能夠去有意識(shí)的進(jìn)行預(yù)防,積極的應(yīng)對(duì),這是導(dǎo)致信息化管理意識(shí)比較緩慢的主要原因。
2.2信息化管理專業(yè)基礎(chǔ)知識(shí)相對(duì)薄弱
信息技術(shù)的日新月異,已經(jīng)掌握的技能方法如果不及時(shí)更新就會(huì)很快過(guò)時(shí)���。檔案工作者不是信息技術(shù)專業(yè)人員,信息安全意識(shí)的缺乏使他們雖然意識(shí)到自身信息安全技能的不足,但由于缺乏強(qiáng)制性的提升專業(yè)水平的制度要求和定期的培訓(xùn)機(jī)制,使他們的信息安全能力與實(shí)際工作要求的差距越來(lái)越大��。對(duì)于老的檔案管理者雖然掌握了檔案管理知識(shí),但是缺乏信息技術(shù)能力,不少掌握信息技術(shù)的年輕檔案工作者有的雖然掌握信息技術(shù),但是又缺乏檔案管理知識(shí),而有的年輕的檔案管理者由于在待遇�、職稱、前景等問(wèn)題上的偏差認(rèn)識(shí)而主動(dòng)改行從事其他工作,使得整體信息技術(shù)水平偏低的檔案部門更加缺乏掌握信息技術(shù)的人才��。
3提高檔案工作者信息安全素質(zhì)的對(duì)策
3.1提升檔案管理者的工作敏銳性,增加責(zé)任感
信息化時(shí)代大環(huán)境下,有很多的新領(lǐng)域和載體出現(xiàn),在檔案界引起了一些改變,同時(shí)也是提升了對(duì)檔案管理人員的素質(zhì)要求,我們要對(duì)檔案管理工作的基礎(chǔ)性有一個(gè)比較深刻的認(rèn)識(shí),將工作的重點(diǎn)置于服務(wù)和管理上,通過(guò)轉(zhuǎn)變工作的著力點(diǎn)來(lái)提升管理能力和服務(wù)效率,改善觀念,將檔案管理的綜合功能較好的發(fā)揮出來(lái),對(duì)現(xiàn)有的領(lǐng)域進(jìn)行拓展,變更服務(wù)模式,迎合現(xiàn)代檔案需求,不斷的開(kāi)創(chuàng)進(jìn)取,讓檔案管理可以為經(jīng)濟(jì)發(fā)展和社會(huì)發(fā)展提供幫助���。
3.2提升檔案管理人員的專業(yè)素質(zhì)和水平
為檔案工作者進(jìn)行信息安全素質(zhì)培養(yǎng)。對(duì)新入的檔案工作者以及現(xiàn)有的檔案管理者進(jìn)行培訓(xùn),針對(duì)他們的不同薄弱環(huán)節(jié)進(jìn)行加強(qiáng),增加檔案管理知識(shí),提升檔案管理水平���。根據(jù)不同崗位來(lái)進(jìn)行任務(wù)的分配,根據(jù)檔案人員自身的差異性來(lái)編排培訓(xùn)時(shí)間和內(nèi)容,對(duì)培訓(xùn)結(jié)果進(jìn)行考核����。檔案工作者在具備了一定的信息安全技術(shù)之后,需要對(duì)自己所需要承擔(dān)的社會(huì)責(zé)任以及義務(wù)有明確的認(rèn)識(shí),能夠知法、懂法�����、遵法,自覺(jué)的對(duì)違法行為進(jìn)行監(jiān)督管理,對(duì)知識(shí)產(chǎn)權(quán)和隱私給予保障,使用信息安全技術(shù)來(lái)提升檔案管理效率和安全性��。
3.3對(duì)檔案信息管理制度進(jìn)行強(qiáng)化
現(xiàn)在我國(guó)已經(jīng)存在一些信息安全標(biāo)準(zhǔn)以及相關(guān)規(guī)定,可是這些規(guī)定尚處于初期,并不完善,存在很多的問(wèn)題,還有很多的內(nèi)容需要在探索中完善,這些標(biāo)準(zhǔn)和規(guī)定中涉及到檔案信息管理者的信息安全素質(zhì)的要求和內(nèi)容,這也就導(dǎo)致了實(shí)際的問(wèn)題還無(wú)法獲得解決,因此無(wú)法將我國(guó)檔案管理者信息安全素質(zhì)差的現(xiàn)狀給扭轉(zhuǎn)過(guò)來(lái)���。因此需要將檔案信息管理制度進(jìn)行強(qiáng)化,對(duì)現(xiàn)有的內(nèi)容和標(biāo)準(zhǔn)進(jìn)行完善,對(duì)檔案管理工作者進(jìn)行標(biāo)準(zhǔn)制定,結(jié)合當(dāng)前的檔案管理工作,選用優(yōu)秀的檔案管理人員,引入優(yōu)秀的檔案管理人才,提升檔案隊(duì)伍的整體水平。還有就是對(duì)檔案管理工作者的專業(yè)技術(shù)職務(wù)進(jìn)行考核,將信息素質(zhì)作為考核的項(xiàng)目之一,督促檔案工作者能夠自主的進(jìn)行檔案信息管理內(nèi)容的學(xué)習(xí),根據(jù)崗位差異來(lái)具體的調(diào)整制度,方便其執(zhí)行��。
篇8
1.計(jì)算機(jī)網(wǎng)絡(luò)病毒的危害。
在危及信息系統(tǒng)安全的諸多因素中��,計(jì)算機(jī)病毒一直排在首要的防范對(duì)象之列����,日益增加的無(wú)孔不入的計(jì)算機(jī)網(wǎng)絡(luò)病毒,就對(duì)網(wǎng)絡(luò)計(jì)算機(jī)安全運(yùn)行構(gòu)成了最為常見(jiàn)����、最為廣泛的每日每時(shí)�����、無(wú)處不在的頭號(hào)威脅���。計(jì)算機(jī)病毒發(fā)作輕則在硬盤刪除文件�����、破壞盤上數(shù)據(jù)、造成系統(tǒng)癱瘓����、造成無(wú)法估量的直接和間接損失����。嚴(yán)重的情況下會(huì)影響教學(xué)管理����,校內(nèi)信息等難以彌補(bǔ)的延續(xù)后果��。
2.人為的無(wú)意失誤�����。
如操作員安全配置不當(dāng)�,造成的安全漏洞。用戶安全意識(shí)不強(qiáng)�,用戶口令選擇不慎���,用戶隨意將自己的帳號(hào)轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)信息系統(tǒng)安全帶來(lái)威脅�����。
3.人為的惡意攻擊。
這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅���。黑客的攻擊和計(jì)算機(jī)犯罪就屬于這一類�����。這類攻擊有兩種情況:一種是主動(dòng)攻擊。它以各種方式有選擇地破壞重要數(shù)據(jù)信息的完整�����;另一種是被動(dòng)攻擊���。它是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲�����、竊取、破譯以獲得重要機(jī)密信息����。這兩種情況的攻擊都會(huì)對(duì)計(jì)算機(jī)信息系統(tǒng)造成極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的泄露����。
4.操作系統(tǒng)及網(wǎng)絡(luò)軟件的漏洞和"后門"。
當(dāng)前計(jì)算機(jī)的操作系統(tǒng)和網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞�����,然而這些漏洞的缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo),另外�,軟件的"后門"都是軟件公司設(shè)計(jì)編程人員為了自己方便而設(shè)置的����,一般不為外人所知����,但一旦"后門"洞開(kāi)��,其后果將不堪設(shè)想。
二、安全措施
針對(duì)學(xué)校里使用的各類信息管理系統(tǒng)���,要構(gòu)建完善的校園系統(tǒng)安全體系���,網(wǎng)絡(luò)安全建設(shè)主要包括以下幾方面內(nèi)容:應(yīng)用防病毒技術(shù),建立全面的網(wǎng)絡(luò)防病毒體系;應(yīng)用防火墻技術(shù),控制訪問(wèn)權(quán)限、實(shí)現(xiàn)網(wǎng)絡(luò)安全集中管理,必要時(shí)采用內(nèi)網(wǎng)與外部網(wǎng)絡(luò)的物理隔離,根本上杜絕來(lái)自internet的黑客入侵;應(yīng)用入侵檢測(cè)技術(shù)保護(hù)主機(jī)資源�����,防止內(nèi)部輸入端口入侵;應(yīng)用安全漏洞掃描技術(shù)主動(dòng)探測(cè)網(wǎng)絡(luò)安全漏洞,進(jìn)行定期網(wǎng)絡(luò)安全評(píng)估與安全加固;應(yīng)用網(wǎng)絡(luò)安全緊急響應(yīng)體系�,做好日常數(shù)據(jù)備份、防范緊急突發(fā)事件。
1.建立網(wǎng)絡(luò)防病毒體系。
在校園網(wǎng)絡(luò)中要做好對(duì)計(jì)算機(jī)病毒的防范工作,首先要在校園系統(tǒng)內(nèi)部制定嚴(yán)格的安全管理機(jī)制�����,提高網(wǎng)絡(luò)管理人員和系統(tǒng)管理員的防范意識(shí)���,使用正版的計(jì)算機(jī)防毒軟件����,并經(jīng)常對(duì)計(jì)算機(jī)殺毒軟件進(jìn)行升級(jí)����。
2.建立防火墻體系�����。
防火墻是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障�����,也可稱之為控制進(jìn)/出兩個(gè)方向通信的門檻����。在網(wǎng)絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)�,以阻擋來(lái)自外部網(wǎng)絡(luò)的侵入��,使內(nèi)部網(wǎng)絡(luò)的安全有了很大的提高���。
3.建立入侵檢測(cè)系統(tǒng)。
入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)���,目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段�,記錄證據(jù)用于跟蹤和恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等��。實(shí)時(shí)入侵檢測(cè)能力之所以重要是因?yàn)樗軌驅(qū)Ω秮?lái)自內(nèi)外網(wǎng)絡(luò)的攻擊。其次是因?yàn)樗軌蚩s短黑客入侵的時(shí)間。在需要保護(hù)的主機(jī)網(wǎng)段上安裝入侵檢測(cè)系統(tǒng),可以實(shí)時(shí)監(jiān)視各種對(duì)主機(jī)的訪問(wèn)請(qǐng)求���,并及時(shí)將信息反饋給控制臺(tái)����,這樣全網(wǎng)任何一臺(tái)主機(jī)受到攻擊時(shí)系統(tǒng)都可以及時(shí)發(fā)現(xiàn)���。網(wǎng)絡(luò)系統(tǒng)安裝網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)后��,可以有效的解決來(lái)自網(wǎng)絡(luò)安全多個(gè)層面上的非法攻擊問(wèn)題。它的使用既可以避免來(lái)自外部網(wǎng)絡(luò)的惡意攻擊�,同時(shí)也可以加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理,保證主機(jī)資源不受來(lái)自內(nèi)部網(wǎng)絡(luò)的安全威脅����,防范住了防火墻后面的安全漏洞。
4.建立安全掃描系統(tǒng)����。
安全掃描技術(shù)是又一類重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測(cè)系統(tǒng)互相配合�,能夠有效提高網(wǎng)絡(luò)的安全性��。通過(guò)對(duì)網(wǎng)絡(luò)的掃描����,網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù),及時(shí)發(fā)現(xiàn)安全漏洞����,客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)�。網(wǎng)絡(luò)管理員可以根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤配置,在黑客攻擊前進(jìn)行防范。如果說(shuō)防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動(dòng)的防御手段��,那么安全掃描就是一種主動(dòng)的防范措施,可以有效避免黑客攻擊行為,做到防患于未然�����。
5.建立計(jì)算機(jī)災(zāi)難恢復(fù)系統(tǒng)����。
災(zāi)難恢復(fù)系統(tǒng)是為了保障計(jì)算機(jī)系統(tǒng)和業(yè)務(wù)在發(fā)生災(zāi)難的情況下能夠迅速地得以恢復(fù)而建立的一套完整的系統(tǒng)。它包括備份中心�、計(jì)算機(jī)備份運(yùn)行系統(tǒng)、可根據(jù)需要重置路由的數(shù)據(jù)通訊線路���、電源以及數(shù)據(jù)備份等�����。此外災(zāi)難恢復(fù)系統(tǒng)還應(yīng)當(dāng)包括對(duì)該系統(tǒng)的測(cè)試和對(duì)人員的培訓(xùn)����,這將有助于參與災(zāi)難恢復(fù)系統(tǒng)的系統(tǒng)管理員能夠更好地對(duì)災(zāi)難的發(fā)生做出合理的響應(yīng)�����。
篇9
高校計(jì)算機(jī)信息系統(tǒng)受到如地震水災(zāi)等自然災(zāi)害和突發(fā)自然事件造成的破壞��,也存在因設(shè)備老化或毀損以及計(jì)算機(jī)操作系統(tǒng)的崩潰造成的信息資料損失����,和服務(wù)器設(shè)備丟失或被破壞等物理層面的安全問(wèn)題。
(二)網(wǎng)絡(luò)層面的安全問(wèn)題��。
校內(nèi)網(wǎng)絡(luò)是連接整體外界互聯(lián)網(wǎng)絡(luò)的,容易受到來(lái)自外界互聯(lián)網(wǎng)的惡意攻擊����,同時(shí)整個(gè)數(shù)據(jù)在校內(nèi)局域網(wǎng)絡(luò)進(jìn)行傳播時(shí)在沒(méi)有對(duì)數(shù)據(jù)進(jìn)行加密情況下被監(jiān)控和改變也會(huì)發(fā)生。并且在計(jì)算機(jī)病毒從外界互聯(lián)網(wǎng)和內(nèi)部校內(nèi)局域網(wǎng)都可以進(jìn)入到整個(gè)系統(tǒng)中�����,破壞存儲(chǔ)的數(shù)據(jù)和操作系統(tǒng)���。最后�����,在路由器和相應(yīng)的體系輔助設(shè)備中也存有安全漏洞問(wèn)題�。
(三)應(yīng)用層面的安全問(wèn)題��。
體系的數(shù)據(jù)中心擁有著計(jì)算機(jī)信息校園整個(gè)關(guān)于教學(xué)和科研以及各高校主要構(gòu)成的數(shù)據(jù)信息運(yùn)行工作���,是高校計(jì)算機(jī)信息系統(tǒng)管理的核心。在用校內(nèi)局域網(wǎng)絡(luò)進(jìn)行連接促使信息高效應(yīng)用中也產(chǎn)生了任何網(wǎng)絡(luò)終端都可以進(jìn)入整個(gè)數(shù)據(jù)中心����,在安全層面造成了風(fēng)險(xiǎn)�。
(四)數(shù)據(jù)層面的安全風(fēng)險(xiǎn)���。
高校計(jì)算機(jī)信息系統(tǒng)是對(duì)數(shù)據(jù)進(jìn)行輸入和整理以及提供服務(wù)的過(guò)程��,大量的數(shù)據(jù)交換和數(shù)據(jù)儲(chǔ)存和相應(yīng)的數(shù)據(jù)修改調(diào)整都面對(duì)各層面的安全風(fēng)險(xiǎn)威脅��。
二�、高校計(jì)算機(jī)信息安全管理體系的對(duì)策
(一)物理層面的安全對(duì)策�����。
對(duì)物理層面的安全防護(hù)需要在成本和管理機(jī)制優(yōu)化上進(jìn)行考慮�����,對(duì)每個(gè)零散的設(shè)備單元統(tǒng)一進(jìn)行管理防護(hù)����。對(duì)相應(yīng)的重要數(shù)據(jù)庫(kù)和重要的配置服務(wù)器設(shè)備要進(jìn)行統(tǒng)一的機(jī)房維護(hù),在機(jī)房的環(huán)境和溫度以及濕度上都要進(jìn)行考慮和定期測(cè)量�����。同時(shí),在機(jī)房?jī)?nèi)的電路電源以及出現(xiàn)停電時(shí)的后備電源要進(jìn)行保障�,對(duì)出現(xiàn)機(jī)房建筑不穩(wěn)定和受到外界干擾影響程度大時(shí),要及時(shí)進(jìn)行修復(fù)�。同時(shí)每個(gè)核心設(shè)備間要有足夠的距離保證不受到電磁輻射的干擾。
(二)網(wǎng)絡(luò)層面的安全對(duì)策�����。
目前高校的外聯(lián)手段會(huì)涉及到網(wǎng)卡和藍(lán)牙以及USB等相應(yīng)設(shè)備��,這些終端的維護(hù)和保障是可以防止常規(guī)的惡意侵害方式的�����。要在固定網(wǎng)絡(luò)中設(shè)有相應(yīng)的端口輸入限制和對(duì)協(xié)議不完整的連接及時(shí)終端��,相關(guān)交換機(jī)實(shí)現(xiàn)對(duì)用戶搜索的數(shù)據(jù)整理的規(guī)范化�����。
(三)應(yīng)用層面的安全對(duì)策�。
高校計(jì)算機(jī)信息系統(tǒng)是面向校園內(nèi)信息數(shù)據(jù)流動(dòng)而服務(wù)的,在各個(gè)相關(guān)服務(wù)器和數(shù)據(jù)庫(kù)中需要加強(qiáng)安全域的建設(shè)�����,并對(duì)每個(gè)需要防護(hù)的病毒和數(shù)據(jù)保障方案和備份方案都要進(jìn)行統(tǒng)一建立�����。在主要信息存在的數(shù)據(jù)中心內(nèi)要對(duì)所涉及的各計(jì)算機(jī)信息系統(tǒng)硬件和相應(yīng)配置設(shè)備�����,以及數(shù)據(jù)資源進(jìn)行定期維護(hù)和安全級(jí)別的相應(yīng)建立�����,監(jiān)控和預(yù)防可能出現(xiàn)的各種情況����。對(duì)數(shù)據(jù)中心的安全域級(jí)別設(shè)定為頂級(jí)并加強(qiáng)各分支系統(tǒng)的保障手段。
(四)數(shù)據(jù)層面的安全對(duì)策��。
對(duì)本地需要加密的數(shù)據(jù)做好相應(yīng)的儲(chǔ)存和終端防護(hù)����,對(duì)設(shè)立相應(yīng)安全文件夾,由專人進(jìn)行管理�。對(duì)每個(gè)需要寫入的儲(chǔ)存信息,進(jìn)行寫入指令的控制�����,要求具有一定安全性的信息可以寫入數(shù)據(jù)儲(chǔ)存設(shè)備。每個(gè)客戶端口要建立USB安全管理策略��,需要系統(tǒng)內(nèi)部認(rèn)證并通過(guò)才可以進(jìn)行只讀等權(quán)限設(shè)定���。
篇10
1.1標(biāo)簽自身的訪問(wèn)缺陷
由于標(biāo)簽的成本有限����,標(biāo)簽自身很難具備保證安全的能力����,這就使整個(gè)系統(tǒng)面臨了很大的安全問(wèn)題。非法用戶能夠利用合法的閱讀器或是自己構(gòu)建一個(gè)閱讀器與標(biāo)簽直接進(jìn)行通信��。進(jìn)而輕松獲取標(biāo)簽里面的數(shù)據(jù)��。對(duì)于讀寫標(biāo)簽�,還能夠被非法用戶篡改標(biāo)簽內(nèi)數(shù)據(jù)。
1.2通信鏈路上的安全問(wèn)題
RFID的信息通信鏈路是無(wú)線通信鏈路��。與傳統(tǒng)的有線連接的端到端傳輸不同����,無(wú)線傳輸相當(dāng)于廣播�,信號(hào)本身就是開(kāi)放式的�����。信號(hào)覆蓋區(qū)域內(nèi)的非法用戶可以很方便的進(jìn)行各種操作如下:(1)非法截取竊聽(tīng)通信信息數(shù)據(jù)���;(2)業(yè)務(wù)拒絕式攻擊,通過(guò)發(fā)射大量干擾信號(hào)來(lái)堵塞區(qū)域內(nèi)通信鏈路����,使閱讀器不斷接收處理垃圾數(shù)據(jù),而無(wú)法接收處理標(biāo)簽發(fā)送過(guò)來(lái)的正常數(shù)據(jù)���;(3)利用冒名代替正常的標(biāo)簽向閱讀器發(fā)送虛假數(shù)據(jù)���,使得閱讀器處理的都是非法用戶的數(shù)據(jù),真實(shí)數(shù)據(jù)則被隱藏起來(lái)���。
1.3閱讀器內(nèi)在的安全風(fēng)險(xiǎn)在閱讀器中���,只有提供一些簡(jiǎn)單的數(shù)據(jù)篩選,時(shí)間過(guò)濾和管理功能�,對(duì)外只提供用戶對(duì)應(yīng)的業(yè)務(wù)接口����,沒(méi)有用于提升安全性能的相應(yīng)接口��。
1.4后端系統(tǒng)的脆弱性
除了前端標(biāo)簽�,閱讀器以及標(biāo)簽閱讀器之間存在的風(fēng)險(xiǎn),后端系統(tǒng)同時(shí)存在安全問(wèn)題��,例如后端數(shù)據(jù)的儲(chǔ)存安全��,后端系統(tǒng)訪問(wèn)安全���,后端系統(tǒng)與其他系統(tǒng)的交互安全等����。根據(jù)上述的RFID缺陷問(wèn)題�����,容易引發(fā)的攻擊方式可分為:主動(dòng)攻擊和被動(dòng)攻擊����。主動(dòng)攻擊:對(duì)獲取到的標(biāo)簽,在實(shí)驗(yàn)室環(huán)境下通過(guò)物理手段去除標(biāo)簽芯片的外部封裝��,使用微探針進(jìn)行敏感信號(hào)獲取,從而進(jìn)行重構(gòu)標(biāo)簽的復(fù)雜性攻擊����;通過(guò)軟件手段,利用微處理器上的通用通信接口��,不斷掃描����,探詢標(biāo)簽與讀寫器間的安全認(rèn)證協(xié)議與加密算法以及對(duì)應(yīng)存在的弱點(diǎn)�,進(jìn)行篡改標(biāo)簽內(nèi)容的攻擊;通過(guò)發(fā)送大量干擾廣播以阻塞信道或使用其他手段�,使區(qū)域內(nèi)工作環(huán)境異常,閱讀器無(wú)法正常工作��,進(jìn)行業(yè)務(wù)拒絕式攻擊等�����。被動(dòng)攻擊:采用竊聽(tīng)技術(shù)��,通過(guò)分析正常工作下微處理器產(chǎn)生的各種電磁信號(hào)����,獲得標(biāo)簽和識(shí)讀器之間或與其他RFID設(shè)備之間的通信信息(由于接收到閱讀器傳來(lái)的密碼不正確時(shí)標(biāo)簽的能耗會(huì)上升�����,功率消耗模式可被加以分析以確定何時(shí)標(biāo)簽接收了正確和不正確的密碼位)�����。
2RFID安全認(rèn)證與讀寫安全設(shè)計(jì)實(shí)現(xiàn)
RFID的安全認(rèn)證主要提供對(duì)信息來(lái)源方的鑒別��、保證信息的完整和不可否認(rèn)等功能�����,而這三種功能都需要通過(guò)數(shù)字簽名實(shí)現(xiàn)�。數(shù)字簽名的基本過(guò)程為:發(fā)送方將明文用相關(guān)算法獲得數(shù)字摘要�����,用簽名私鑰對(duì)摘要進(jìn)行加密得到數(shù)字簽名���,發(fā)送方將明文與數(shù)字簽名一起使用對(duì)稱加密發(fā)送給接收方�;接收方先使用秘鑰解密����,然后使用發(fā)送方公鑰解密數(shù)字簽名��,則驗(yàn)證發(fā)送方真實(shí)身份并得出數(shù)字摘要���;接收方將明文采用同樣算法計(jì)算出新的數(shù)字摘要,對(duì)比兩個(gè)數(shù)字摘要�,相同則證明內(nèi)容未被篡改。該密鑰系統(tǒng)既能發(fā)揮對(duì)稱加密算法加密效率高�、速度快,安全性好的優(yōu)點(diǎn)���;又能發(fā)揮非對(duì)稱加密算法密鑰管理方便���、安全性高�、可實(shí)現(xiàn)數(shù)字簽名的優(yōu)點(diǎn);各取所長(zhǎng)���,使得RFID系統(tǒng)更安全�、快速��,運(yùn)行代價(jià)更低��。
篇11
電力信息化是以網(wǎng)絡(luò)通訊�、數(shù)據(jù)庫(kù)��、電子信息等技術(shù)為基礎(chǔ)的���,隨著工作量的增加,產(chǎn)生的數(shù)據(jù)資料越來(lái)越多�。若采用傳統(tǒng)的人工管理模式,效率低下�����,容易丟失����,且不易長(zhǎng)期保存。在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的帶動(dòng)下����,電力行業(yè)相繼實(shí)現(xiàn)了信息化管理,工作效率得以大幅提升���。但其安全首先要有保證���,信息安全即信息要真實(shí)、完整、有效�、可控,電力行業(yè)與人們生活及國(guó)民經(jīng)濟(jì)密切相關(guān)����,一旦信息被篡改或被盜竊,將帶來(lái)嚴(yán)重的損失�。網(wǎng)絡(luò)在提供諸多方便的同時(shí),也容易被攻擊�����,所以電力信息安全必須得到重視�����。
1.2現(xiàn)狀
與國(guó)外發(fā)達(dá)國(guó)家相比���,國(guó)內(nèi)的電力信息化化技術(shù)起步較晚,稍顯落后�。近些年來(lái),電力行業(yè)有了很大進(jìn)步����,信息技術(shù)也在不斷改進(jìn),這意味著我國(guó)在此方面有著廣闊的應(yīng)用前景。電力信息化涉及諸多因素��,是一項(xiàng)長(zhǎng)期復(fù)雜的工程�,我國(guó)目前還存在著些許不足。
(1)信息安全意識(shí)薄弱�����,電力部門領(lǐng)導(dǎo)階層雖能認(rèn)識(shí)到信息化給電力行業(yè)帶來(lái)的積極作用����,但對(duì)信息安全有所忽視。認(rèn)為采用先進(jìn)的設(shè)備和軟件就能保證信息絕對(duì)地安全�����,以至于防護(hù)措施較為簡(jiǎn)單��,不能真正保護(hù)信息的完整性和真實(shí)性���。黑客攻擊����、病毒植入等手段越來(lái)越高明����,很多關(guān)鍵性信息存儲(chǔ)于計(jì)算機(jī)中�,很容易被侵入����。
(2)硬件和軟件是信息化管理的重要部分,但總體來(lái)說(shuō)�,國(guó)內(nèi)軟硬件水平偏低。如缺少自己研發(fā)的技術(shù)和品牌�,多從國(guó)外引進(jìn),并未掌握其中的核心技術(shù)���,致使不少的防病毒系統(tǒng)不能進(jìn)行全面防御��,也就無(wú)法充分發(fā)揮其作用����。甚至有些部門只重硬件�����,而忽略了軟件�,在硬件設(shè)備的性能��、配置、功能上不斷創(chuàng)新�����,軟件技術(shù)卻長(zhǎng)期沒(méi)有更新����,難以滿足越來(lái)越高的要求。
(3)由于技術(shù)落后���,國(guó)內(nèi)還未真正建立起一個(gè)有權(quán)威的信息化標(biāo)準(zhǔn)體系�����,全國(guó)各地的標(biāo)準(zhǔn)都不統(tǒng)一����,在很大程度上破壞了信息的安全性��。而電力部門也沒(méi)有制定規(guī)范標(biāo)準(zhǔn)����,致使信息安全管理出現(xiàn)混亂,各環(huán)節(jié)不能緊密相連�����,極易引起信息堵塞,無(wú)法實(shí)現(xiàn)資源共享���,給不法分子以可乘之機(jī)�。
2實(shí)例分析電力運(yùn)行管理信息安全運(yùn)行的因素
某電力公司建于1986年���,在2002年采用信息化技術(shù)之前���,主要是靠人工來(lái)管理,但效率十分低下����。不能及時(shí)獲取市場(chǎng)信息,消息閉塞����,以至于公司多次做出的決策都比較滯后。與外部其他企業(yè)缺少交流�����,難以從中借鑒先進(jìn)的經(jīng)驗(yàn)和技術(shù)���。隨著用電需求的增長(zhǎng)�,客戶越來(lái)越多���,工作量日益繁重��,有大量的信息資料需要記錄處理����。公司多采用紙質(zhì)檔案的方式存儲(chǔ)����,在起步階段,出現(xiàn)了幾次資料丟失的事件��,給公司造成一定的損失����,而且紙張不易長(zhǎng)期保存。公司內(nèi)部有著明確分工�,各部門只顧自己工作,溝通較少���,使得信息不能流暢地在內(nèi)部傳遞��。2002年公司采用了信息化技術(shù)����,工作效率明顯提高,但也存在有不足之處��。如網(wǎng)絡(luò)安全防范系統(tǒng)不夠完善��,攻擊者有兩次發(fā)現(xiàn)了其中漏洞����,并進(jìn)行侵占;信息網(wǎng)絡(luò)管理不合理��,沒(méi)有可行的制度和完整的管理體系��,流程也不完整�,使其作用有所減弱;缺少專業(yè)技術(shù)人才�����,特別是有技術(shù)又懂管理的人才���,部分管理人員是從其他部門調(diào)來(lái)的�,不了解信息網(wǎng)路運(yùn)行現(xiàn)狀。在發(fā)現(xiàn)潛在隱患����,或遇到突發(fā)安全事故時(shí),往往不能有效及時(shí)地處理���。2006年,公司對(duì)信息化技術(shù)進(jìn)一步完善����,總結(jié)了存在的問(wèn)題,并采取相關(guān)措施予以糾正解決�����。
3維護(hù)電力信息安全運(yùn)行的管理措施
3.1強(qiáng)化信息安全意識(shí)���,完善安全管理制度
電力部門深刻認(rèn)識(shí)到電力信息化的前提是要保證其安全性��,否則一系列后續(xù)工作都無(wú)法開(kāi)展����。領(lǐng)導(dǎo)階層不斷學(xué)習(xí)���,加大了在信息網(wǎng)絡(luò)安全教育上的投入���,對(duì)全體人員進(jìn)行專業(yè)培訓(xùn)��,并制定了安全防護(hù)策略���,將其徹底落實(shí)。負(fù)責(zé)人對(duì)信息安全體系的標(biāo)準(zhǔn)及目標(biāo)作為重點(diǎn)工作來(lái)抓���,積極宣傳有關(guān)知識(shí)��,同時(shí)根據(jù)企業(yè)實(shí)際情況制定了信息安全管理制度�,規(guī)范各個(gè)部門的行為��。實(shí)行責(zé)任制���,避免出現(xiàn)互相推卸責(zé)任的情況����。
3.2提高工作人員的綜合素質(zhì)
聘用專業(yè)人員��,需持證上崗,根據(jù)個(gè)人能力安排相應(yīng)的崗位�。采用獎(jiǎng)懲制度,建立起良性競(jìng)爭(zhēng)���,對(duì)表現(xiàn)優(yōu)秀者予以適當(dāng)?shù)莫?jiǎng)勵(lì)�����,在內(nèi)部培養(yǎng)一致高素質(zhì)的專業(yè)隊(duì)伍��。及時(shí)更新信息網(wǎng)絡(luò)技術(shù),了解現(xiàn)狀�,并安排工作人員積極學(xué)習(xí)新內(nèi)容,掌握如何運(yùn)用新的技術(shù)��。此外��,公司對(duì)工作人員的職業(yè)素質(zhì)也尤為重視�,培養(yǎng)其認(rèn)真負(fù)責(zé)的工作態(tài)度。
3.3采用信息安全防范技術(shù)
(1)防火墻技術(shù)����。供電系統(tǒng)的生產(chǎn)、計(jì)量����、營(yíng)銷��、調(diào)度管理等系統(tǒng)之間��,信息的共享�、整合與調(diào)用�����,都需要在不同網(wǎng)段之間對(duì)這些訪問(wèn)行為進(jìn)行過(guò)濾和控制����,阻斷攻擊破壞行為,分權(quán)限合理享用信息資源����。
(2)建立了信息安全身份認(rèn)證體系。供電企業(yè)面對(duì)來(lái)自內(nèi)部和外部信息安全風(fēng)險(xiǎn)威脅��,需建立有效的信息安全身份認(rèn)證體系���,實(shí)現(xiàn)網(wǎng)絡(luò)危險(xiǎn)過(guò)濾�����、終端準(zhǔn)入��、用戶識(shí)別���、上網(wǎng)授權(quán)等功能�����,警告或禁止檢查不通過(guò)的終端訪問(wèn)企業(yè)內(nèi)部資源�����,最終實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)用戶終端安全性的提升��,達(dá)成企業(yè)整網(wǎng)上網(wǎng)安全性的保障。
3.4加強(qiáng)信息設(shè)備管理
(1)購(gòu)買設(shè)備時(shí)���,要注意其售后保障服務(wù)���,將風(fēng)險(xiǎn)最低化。設(shè)備會(huì)出現(xiàn)老化的問(wèn)題�����,需要及時(shí)的更新?lián)Q代;設(shè)備管理人員可能存在技術(shù)經(jīng)驗(yàn)不足的問(wèn)題��,不能及時(shí)地解決故障���。這時(shí)就需要相關(guān)的售后服務(wù)來(lái)保障��。
