信息安全保障

关键词： 信息 资源

信息安全保障（精选十篇）

信息安全保障 篇1

随着网络技术的日益发展, 信息资源安全已经成为影响国民经济生活的重要因素之一。人们开始认识到信息资源安全既不是单纯的制度问题, 也不是单纯的技术问题, 它是一个复杂的、多维的、具有多层次性和多目标性的, 需要全方位考虑、整体规划的管理体系。信息资源安全包括预检、预警、处理、灾难恢复、数据备份、信息资源存储等多个环节。因此, 信息资源安全必须从系统角度出发, 多角度、全方位考虑影响信息资源安全的各个因素, 构建一个规范化、立体化、全方位、多层次的信息资源安全管理体系, 才能从真正意义上保证信息资源的安全。

一般而言, 信息资源安全主要指信息从产生、制作、传播、收集、处理直到选取等一系列信息传播与使用过程中信息资源的安全, 目前对信息资源安全的主要关注点集中在信息传输的安全、信息储存的安全以及网络传输信息内容的安全等三个方面。中国工程院何德全院士则从大系统的概念出发, 指出现在的信息资源安全应该更为强调面向数据、面相用户, 它涉及个人权益、企业生存、金融风险防范、社会稳定和国家的安全。保障信息资源安全的目的是保证主体——人对信息资源的控制。

2 本文研究现状

信息资源安全概念包含广泛的动态内容:信息基础设施的可能攻击、破坏、干扰和影响以及在这种情势下响应、维持、恢复和发挥功能的状态和能力;各种系统、网络和结构在无意的或人为的影响下所引起的功能破坏、中止、削弱等情势以及由此产生的后果和可能的响应与状态;在上述各类型以及其他情势中, 信息资源本身所遭遇的各种类型的破坏、篡改、丢失、偷盗及非法和不当利用。从这个角度看, 信息安全实际上就是一个涉及许多领域的多维现象和概念。

2004年, 国家通过了《中华人民共和国电子签名法》, 这是我国信息安全法制化建设中的重要一笔;2006年, 国家先后发布了《国务院办公厅关于加强政府网站建设和管理的意见》、《信息安全等级保护管理办法》等政策、法规;我国的信息安全标准进入了快速发展期。我国已制定、报批和发布有关信息安全的国家标准就有76个, 如《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《中华人民共和国计算机信息网络国际互联网安全保护管理办法》等。2007年1月, 我国又公布了《信息安全技术公钥基础设施数字证书格式》、《信息安全技术公钥基础设施特定权限管理中心技术规范》、《信息安全技术公钥基础设施时间戳规范》等标准, 进一步规范了信息安全的发展。这些工作的开展, 极大地推动了信息资源安全的规范化发展, 为信息资源安全保护开辟一条更为广阔的道路。

3 主要思路及框架设计

本文提出一种基于用户和信息分离的网络信息管控模型, 可以为涉密电子文档和数据库等资源提供强制性的保护, 避免秘密信息的泄露。在网络中, 秘密信息由电子文档承载。电子文档包括用户的办公文档、电子银行下发的证书和数据库系统的数据等等。近年来, 网络主要泄密事件都是由于涉密电子文档的泄露, 因此, 电子文档的保护就成为网络信息资源保密的重要内容。要保护电子文档, 就需要加强文档的使用管理和扩散控制, 即对文档的原始性进行保护和记录。根据这一要求, 可以确定电子文档保护思路: (1) 根据文档属性和制空权限定操作人员行为; (2) 将文档集中管理, 用户终端与文档本身隔离, 不能接触电子文档原件; (3) 策略不受限于具体的网络环境和操作系统; (4) 对文档从生成到存储、编辑和销毁的整个过程进行保护。如果这些约束条件能够满足, 那么原来用于纸质文档保护的策略, 同样在电子文档保护中有效。

3.1 模型实现

基于用户与资源分离的网络信息资源管控模型的实现, 就是将所有的用户、应用和数据集中在服务器上进行管理, 用户的所有操作都在服务器上进行, 通过集中授权、终端控制和通信加密、访问控制和数据加密等遍布整个访问流程的安全措施, 实现对信息操作流程的控制, 从而实现对信息资源的保护。用户网和资源网之间, 通过IP阻断, 切断从用户网到资源网的通用网络协议, 而只有系统认可的应用通信才能通过, 实现网络不通而应用相通的效果。应用接入服务器具有多个标准网络接口, 用户网和资源网分接在不同的网络接口上, 实现网络层及以上协议的阻断。这样, 对于部署在资源网段的各类服务、应用及内容, 有效地避免了来自于用户网的直接攻击, 从而可以放心地打开业务所用的各类端口, 而无需担心遭受非业务系统的恶意攻击。从根本上保障了用户的安全。

用户网需要对资源网的操作, 均通过私有协议进行, 而私有协议则在应用接入服务器中进行有效过滤, 只有合法的访问才能通过。应用代理实现键盘鼠标信息接收、解析及应用程序调用、参数输入功能, 以及返回结果截屏、发送功能, 控制恶意代码上传和信息复制。

3.2 框架设计

一般来说, 信息资源泄漏主要有两种方式:一种是对网络空间的电磁袭击所造成的电磁泄漏;另外一种是从网络进入的攻击所造成的信息泄漏。而对于对网络空间的电磁袭击所造成的电磁泄漏安全防护, 相关研究非常丰富, 这里不再做研究, 本文主要对从网络进入的攻击所造成的信息泄漏的安全方法机制进行研究。

4 结论

就本文的研究对象来说, 信息资源安全是近年来非传统安全领域的研究重点, 但由于信息资源的技术型特征关注的传统取向, 我国国民经济的信息化过程使得信息安全问题日益成为关注的焦点, 本文在此做一个较深入的研究, 从而有利于完善信息资源安全理论。

摘要：当今社会是信息化社会, 信息无处不在, 毋庸置疑信息给人们的生活带来很多便利, 但我们也看到信息安全正受到威胁, 信息资源安全成为影响国民经济的一个重要因素, 国家也出台了一系列的保障措施。本文提出一种基于用户和信息分离的网络信息管控模型, 可以为涉密电子文档和数据库等资源提供强制性的保护, 避免秘密信息的泄露。

关键词：信息资源,安全,网络

参考文献

[1]王育民.信息安全理论与技术的几个进展情况.中国科学基金, 2010.

[2]郑佳.信息安全意识初探[J].电子政务, 2008 (03) .

[3]卢新德.构建信息安全保障新体系:全球信息战的新形势与我国的信息安全战略[M].北京:中国经济出版社, 2007.

[4]高宏, 王西芳.现代图书馆网络安全隐患及防范对策.河南图书馆学刊[M].2011 (1) .

[5]陈宏愚, 欧明灿.我国信息安全技术的发展.中国信息导报.

[6]吕连元.信息战装备技术发展浅议[J].电子对抗, 2008.

[7]杜欣明, 郑明玺.论中国的信息安全建设[J].现代情报, 2005, 25 (07) .

信息安全保障 篇2

保护个人信息，享受美好人生。

网络是娱乐的新窗口，对待窗口要收放自如。

健全信息安全保障体系，增强信息安全保障能力。

安全意识深入心，争当中国好网民。

给网络安扇门，让文明有个家。

保护个人信息安全，维护社会稳定大局。

网络恒久远，文明永留传。

增强社会网络安全意识，提高全民网络安全知识水平。

创新网络，预见未来。

网文化之精华，络天下之精英，闻世间之正事，明做人之德行。

乘信息快车，请系好安全带。

网络是就业的新领域，对待领域要开发资源。

保护个人信息安全，人人有责。

互联网上路路通，个人资料勿放松。

智能互联天下，有预则立未来。

丰富的网络让人心充实，纯净的心灵使网络文明。

增强网民安全意识，提升基本防护技能。

切实增强网络安全意识，共同提高识骗防骗能力。

用信息保障社会安全 篇3

航天信息走过十几年，我们也在反思，如何实现跨越式发展？我们提出的思路是，巩固航 天信息在国家的金税金盾金卡“三金”工程中的主力军基业，同时在企业信息化、行业信息化和物联网等方面深耕细作，通过自主知识产权核心的信息安全产品来带动我们整体解决方案，为用户创造更好的价值。

现在航天信息物联网规模遍布多行业和领域，包括智能交通、公共安全、智能物流、身份识别、智能电力、感知粮食、平安城市、应急管理等多系统多方案的解决方案，以及IC卡、读写终端的研究、销售模式。

作为人口大国，粮食安全对中国来说至关重要。粮库信息化正是航天信息与国家粮食局和相关省粮食局签订了框架战略合作协议中的内容，预计到明年底，粮食安全信息化建设中的首批16个粮库的试点工作将全部完成。通过在粮食收购、仓储、运输、加工、超市等流通领域建立的农户结算卡系统、粮户信息集成系统、安全追溯系统，全面依靠新技术、安全技术提升，为粮食清仓查库提供准确的依据。

信息安全保障 篇4

1 信息化建设中的信息安全

数字化网络的特点使这些信息系统的运作方式有别于传统模式, 系统均与保密信息或敏感信息有关。但是, 无论是在计算机上的存储、处理和应用, 还是在通信网络上的传输, 信息都有可能被非法授权访问导致泄密、被篡改破坏导致不完整、被冒充替换导致否认, 也可能被阻塞拦截而导致无法存取, 因此, 信息系统的安全问题直接影响到社会经济、政治、军事、个人生活的各个领域, 甚至影响到国家安全。不解决信息安全问题, 不加强信息系统的安全保障, 信息化不可能得到持续健康的发展。网络信息系统的安全问题究其根源, 主要是由于操作系统本身的脆弱性;计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性;数据库管理系统等应用系统设计中存在安全性缺陷, 缺乏有效的安全管理。

2 信息安全的特征

信息安全的特征可以包括以下几个方面:

(1) 保密性。保密性是指隐藏信息或资源, 不将信息泄露给非授权的用户, 只提供给授权用户使用。保密性包括信息内容的加密和隐藏数据的存在性。常用的保密技术有防侦收、防辐射、信息加密、物理保密等。

(2) 完整性。完整性是指数据和资源未被改变, 真实可信。完整性机制分为预防机制和检测机制。常用的保障信息完整性方法有协议、纠错编码方法、密码校验、数字签名、公证等。

(3) 可用性。可用性指网络信息或资源可以被访问和使用的特性。网络信息系统最基本的功能是向用户提供服务, 用户可以存取所需的信息。可用性是网络安全服务的重要方面, 破坏系统的可用性被称为拒绝服务攻击。

(4) 可控性。可控性指对信息的传播及内容具有控制能力的特性。

(5) 不可否认性。不可否认性指在网络信息交互过程中, 用户不能否认曾经完成的动作。用户不能否认已经发出的信息, 也不能否认曾经接到对方的信息。建立有效的责任机制, 防止用户否认其行为, 这一点在电子商务中是极其重要的。

(6) 可保护性。可保护性是指保护网络的软、硬件资源不被非法占有, 保护服务、资源和信息的正常传输, 保护节点和用户的安全性。

3 信息安全评价体系

对于信息安全风险发生影响的量化, 第一步.需要选取评价指标集合, 选取的依据应当是根据风险事件发生后对系统的影响, 从几个不同的方面反映风险事件的影响程度。所以一般来说, 评价指标应当从财务、能力、外界影响等几个宏观层面来选取, 这样能够全面地衡量风险事件对于信息系统的影响。第二步对于根据不同系统特点所选取的评价指标, 用AHP同样采用1~9等级方法, 建立判断举证, 计算m相应的评价指标的权重关系, 然后选取一定的量纲作为评估指标的总值, 按照评价指标的权重关系, 分配总值, 得出每一个评估指标的风险评估值。第三步, 建立相应的评估指标风险等级判断表格, 将每一个评估指标按不同的影响程度分级, 一般来说可以分为5级, 级别越低影响程度越低。对每一个级别进行详细的描述, 并且赋值。根据风险事件过去发生的经验, 选取每一个评价指标所属于的风险等级, 为了减小评估的主观性, 可扩大评估人数, 选取人数最多的等级, 作为评价指标的风险等级, 然后用相应的等级量化数与评估指标的风险值相乘, 得出风险影响值。最后利用公式, 将风险发生可能性与风险发生影响相结合, 求解出风险评估结果。

4 结语

我国是国际标准化组织的成员国, 信息安全标准化工作在各方面的努力下正在积极开展之中。从20世纪80年代中期开始, 自主制定和采用了一批相应的信息安全标准。但是, 应该承认, 标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距, 使我国的信息安全标准化工作与国际已有的工作相比, 覆盖的范围还不够大, 宏观和微观的指导作用也有待进一步提高。

摘要：随着信息技术的迅速发展和我国信息化进程的不断推进, 各种信息化系统已经成为国家关键基础设施, 它们应用于网络通信、电子商务、电子政务、电子金融、网络教育、网络计算以及公安、医疗、社保等各个方面。

关键词：信息化建设,信息安全保障,信息安全,评价指标体系

参考文献

[1]陈驰, 冯登国, 徐震等.信息安全产品安全保证量化评估方法研究[J].电子学报, 2007, 35 (10) :1886-1891

[2]张焕国, 王丽娜, 杜瑞颖等.信息安全学科体系结构研究[J].武汉大学学报 (理学版) , 2010, 56 (5) :614-620

信息安全保障 篇5

组织体系

组织体系 1 范围 本标准规定了公司内部安全保障体系组织架构的要求，包括人员组成，责任和要求。

本标准适用于公司，各厂应依据本标准制订适用的标准。规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注版本（日期）的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注版本（日期）的引用文件，其最新版本适用于本标准。术语和定义 无。职责 4.1 信息中心负责公司整体信息安全保障体系组织建设。

4.2 各厂负责在授权范围内开展安全组织建设，负责本单位信息安全日常管理、监督。信息安全管理组织架构 在组织架构方面，应依托企业现有的组织体系，赋予各层面的组织和个人以安全职责，使原有的组织架构具有信息安全的管理职能，同时应对企业安全管理的三层组织结构：决策层、管理层和执行层的机构建立、安全目标、岗位设置、安全职责进行确定，组织架构的建立和充分发挥职能是整个系统安全的前提和基础。

决策层管理层业务安全决策安全战略规划安全绩效考核信息安全领导小组信息安全管理部门安全管理系统安全工程安全绩效管理信息安全执行部门实施与运作运行管理安全审计实施执行层

图 1 信息安全管理组织架构层次图 组织架构

企业本部

企业下属各厂

决策层

公司信息化建设主管领导 各厂信息化建设主管领导 管理层

公司信息、办公室、财务、营销、人事、技术等各部门负责人 各厂信息、财务、生产、人事等业务部门负责人 执行层

公司具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职（或兼职）信息安全员 各厂具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职（或兼职）信息安全员

图 2 信息安全管理组织架构细化表信息安全组织架构各层职责说明 6.1 决策机构 信息安全决策机构处于安全组织机构的第一个层次，是企业公司信息安全工作的最高管理机构，按照国家和国家局的方针、政策和要求，对企业公司信息安全进行统一领导和管理。

其主要职责包括：

1)领导和督促全企业公司范围的信息安全工作； 2)制定企业公司信息安全战略、方针和政策，确定企业公司信息安全发展方向和目标； 3)为信息安全提供所需的资源； 4)批准整个组织内信息安全特定角色和职责的分配； 5)建立企业公司的总体安全规划方案； 6)制定企业公司统一的安全策略体系； 7)审批企业公司重大的信息安全活动； 8)重大技术事项或突发紧急问题的协调处理和事后调查仲裁等； 9)审批信息安全项目及安全产品的采购申请； 10)审阅下级的重要工作汇报和意见，并及时反馈批复意见； 11)监督管理层信息安全工作的管理和执行情况，协调管理队伍之间的关系； 12)负责组织企业公司范围的信息安全事件的调查，并听取相关汇报； 13)定期组织会议，了解企业公司信息系统的整体安全现状，讨论提高安全水平的整改措施。

14)启动计划和程序来保持信息安全意识； 15)信息安全领导小组应定期组织信息安全巡检和评审工作。

6.2 管理机构 信息安全管理机构处于安全组织机构的第二个层次，在决策机构的领导下，负责组织制订信息安全保障体系建设规划，以及信息安全的管理、监督、检查、考核等工作。日常的信息安全管理工作主要由信息化工作部门负责。

其主要职责包括：

1)根据决策层总体安全规划制定系统安全建设的详细安全计划并组织实施； 2)根据决策层统一的安全策略制定并落实信息安全管理制度； 3)监督和指导执行层信息安全工作的贯彻和实施； 4)组织技术人员和普通员工的安全技术交流与培训； 5)参与信息系统相关的新工程建设和新业务开展的方案论证，并提出安全方面的相应

建议； 6)在信息系统相关的工程验收时，对信息安全方面的验收测试方案进行审查并参与验收； 7)组织相关安全员定期进行信息安全巡检； 8)负责组织范围内的信息安全事件调查，并听取相关汇报； 9)审阅执行层的重要工作汇报和意见，并及时反馈批复意见； 10)定期组织会议，了解管辖系统的整体安全现状，讨论提高安全水平的整改措施； 6.3 执行机构 信息安全执行机构处于信息安全组织机构的第三个层次，在管理层的领导下，负责保证信息安全技术体系的有效运行及日常维护，通过具体技术手段落实安全策略，消除安全风险，以及发生安全事件后的具体响应和处理。

主要职责包括：

1)学习和执行企业公司制定的各项信息安全管理策略、制度、规范和指南； 2)企业公司信息安全规划、管理制度的落实和执行工作； 3)直接负责管理范围内各业务系统的安全管理和维护工作； 4)参与检查与国家信息安全相关的法律、法规、规章、标准等的符合性，参与企业公司安全方案的规划、设计； 5)具体安全项目的实施与支持； 6)根据管理层安全规划制定系统安全建设的详细安全计划并组织实施； 7)监督和指导管理范围内信息安全工作的贯彻和实施； 8)组织内部的安全技术交流与培训； 9)参与管理范围内工程建设和业务开展的方案论证，并提出相应的安全方面的建议； 10)提出的网络安全整改意见，提交管理层审批； 11)向管理层定期汇报系统当前安全现状以及安全事件的处理情况；安全职责的分配 为明确安全责任，划分（界定）安全管理与具体执行之间的工作职责，公司必须建立安全责任制度。

安全责任分配的基本原则是“谁主管，谁负责”。公司拥有的每项网络与信息资产，必须根据资产归属确定“责任人”。“责任人”对资产安全保护负有完全责任。“责任人”可以是个人或部门，但“责任人”是部门时，应由该部门领导实际负责。

“责任人”可以将具体的执行工作委派给“维护人”，但“责任人”仍然必须承担资产安全的最终责任。因此“责任人”应明确规定“维护人”的工作职责，并定期检查“维护人”是否正确履行了安全职责。“维护人”可以是个人或部门，也可以是外包服务提供商。当“维护人”是部门时，应由该部门领导实际负责。

安全工作人员的职责是指导、监督、管理、考核“责任人”的安全工作，不能替代“责任人”对具体网络与信息资产进行安全保护。

在资产的安全保护工作中，应重点关注以下内容：

a)应清楚地说明每个独立的网络与信息系统所包含的各种资产和相应的安全保护流程。

b)“责任人”与“维护人”都应明确接受其负责的安全职责和安全保护流程，并对该职责的详细内容记录在案。

c)所有授权的内容和权限应当被明确规定，并记录在案。职责分散与隔离 职责分隔（Segregation of Duties）是一种减少偶然或故意行为造成安全风险的方法。公司应分散某些任务的管理、执行及职责范围，以减少误用或滥用职责带来风险的概率。例如关键数据修改的审批与制作必须分开。

在无法实现职责充分分散的情况下，应采取其他补偿控制措施并记录在案。例如：活动监控、检查审计跟踪记录以及管理监督等。

为避免串通勾结等欺诈活动，公司应尽量隔离相应职责，并增加执行和监督人员，以降低串通的可能性。安全信息的获取和发布 信息技术的发展日新月异，安全工作愈发复杂和困难。公司必须建立有效可靠的渠道，获取安全信息，不断推进安全工作。例如：

a)从内部挑选经验丰富的安全管理和技术人员，组成内部专家组，制定安全解决方案，参与安全事件处理，解决实际安全问题，提供预防性建议等。为使内部专家组的工作更具成效，应允许他们直接接触公司的管理层。

b)与设备提供商、安全服务商等外部安全专家保持紧密联系，听取他们的安全建议。

c)从一些公开的信息渠道获取安全信息，例如专业出版物、定期公告等。

企业权威的安全信息发布机构为公司信息中心。公司负责收集和整理并向各厂信息部门发布安全信息；各厂负责厂内发布和信息上报。加强与外部组织之间的协作 公司应加强与国家安全机关、行业监管部门、其他运营商和信息服务提供商等外部组织的联系，并建立协作流程，以便在出现安全事件时，尽快获取信息、采取措施。

公司在加入安全组织或与其他组织进行交流时，应对信息交换予以严格限制，以确保公司信息的保密性。安全审计的独立性 安全审计是从管理和技术两个方面检查公司的安全策略和控制措施的执行情况，发现安全隐患的过程。

安全审计的独立性是指审计方与被审计方应保持相对独立，即不能自己审计自己的工作，以确保审计结果的公正可靠。

信息安全保障 篇6

近年来，各地区、各部门认真贯彻落实党中央、国务院决策部署，加快推进信息化建设，建立健全信息安全保障体系，有力地促进了经济社会发展。但是，我国信息化建设和信息安全保障仍存在一些亟待解决的问题，宽带信息基础设施发展水平与发达国家的差距有所拉大，政务信息共享和业务协同水平不高，核心技术受制于人；信息安全工作的战略统筹和综合协调不够，重要信息系统和基础信息网络防护能力不强，移动互联网等技术应用给信息安全带来严峻挑战。必须进一步增强紧迫感，采取更加有力的政策措施，大力推进信息化发展，切实保障信息安全。为此，国务院提出实施“宽带中国”工程，构建下一代信息基础设施、推动信息化和工业化深度融合，提高经济发展信息化水平、加快社会领域信息化，推进先进网络文化建设等意见，要求大力推进信息化发展。

意见对加快推进民生领域信息化提出具体要求，指出，加快学校宽带网络建设，推动优质数字教育资源开发和共享，完善教育管理信息系统，构建面向全民的终身学习网络和服务平台，大力发展远程教育，形成教育综合信息服务体系。完善医疗服务与管理信息系统，加快建立居民电子健康档案和电子病历，加强国家和区域医药卫生信息共享，夯实远程医疗发展的基础。构建覆盖城乡居民的劳动就业和社会保障信息服务体系，全面推行社会保障卡应用，推动就业信息共享。推进减灾救灾、社会救助、社会福利和慈善事业等社会服务信息化。提高面向残疾人等特殊人群的信息服务能力。

另外，意见还指出要发展先进网络文化。鼓励开发具有中国特色和自主知识产权的数字文化产品，加强知识产权保护，壮大数字内容产业，培育数字内容与网络文化产业骨干企业，扩展数字内容产业链。加强重点新闻网站建设，规范管理综合性商业网站，构建积极健康的网络传播新秩序和网络氛围。积极推进数字图书馆等公益性文化信息基础设施建设，开发精品网络科普资源，完善公共文化信息服务体系。

保障企业信息系统安全简述 篇7

一、网络安全方面

1. 物理隔离网络

内部网不直接或间接地连接公共网。实现的方法为分别部署内、外两套网络线路系统, 在终端使用一人双机或网络安全隔离卡隔离计算机。

2. 逻辑上的隔离

内外网使用同一套网络线路系统, 使用网络隔离设备 (如防火墙、网闸、抗攻击网关和防病毒网关等) , 隔离内外网之间的通信, 以期达到内外网的隔离效果。

3. 认证

使用认证来保证远程登陆的合法性。防止非法用户非法登陆, 降低信息泄露的危害。

4. 虚拟专用网

使用公用的互联网络来进行通信, 而不是架设专用线路, 这样, 就可以显著降低使用成本。VPN虚拟专用网, 建立一条通过公众网络的逻辑上的专用连接, 使得用户在异地访问内部网络时, 能够和在本地访问一样的资源, 同时不用担心泄密的问题。

5. 域服务器管理

通过域服务器来统一定义客户端机器的安全策略, 规范、引导用户安全使用办公电脑。

6. 入侵检测

入侵检测是对入侵行为的发觉, 是一种增强系统安全的有效方法, 能检测出系统中违背系统安全性规则以及威胁到的保密性、完整性、可用性、可控性、可审查性等。

7. 建立完备的管理制度

建立各种管理制度, 包括:《计算机网络管理办法》对计算机的操作使用, 管理及保护等进行阐述;《核心网络设置管理办法》对网络设备、服务器等设置及管理的阐述;《IT管理员工作手册》岗位说明书, 规范IT管理人员的日常必要维护事项及操作方法;《计算机维护指南》针对分机构计算机用户的自我计算机维护操作指南等。

二、服务器方面

1. 安装安全的文件系统, 现在认为比较安全的文件系统就是NTFS了;

2. 服务器的管理员登陆账户密码与普通用户的登陆账户密码区别开, 降低用户名与密码泄露对服务器造成的危害;

3. 不同管理人员利用不同的账户管理服务器, 建议一个服务采用一台服务器;

4. 服务器的上的共享文件夹对不同用户设置不同的访问权限;

5. 关闭不必要的服务, 如DHCP客户端、禁止Ping入、远程协助、自动更新等服务器用不到的服务项目, 都可以关闭掉;

6. 及时的下载补丁, 对操作系统及数据库进行更新;

7. 安装正版的杀毒软件;

8. 经常使用注册表和组策略对服务器进行维护;

9. 开启的事件日志;

1 0. 做好服务器系统备份;

三、数据库方面 (以SQL Server数据库为例)

1. 使用安全的密码策略

数据库帐号的密码过于简单, sa更应该注意, 不要让sa帐号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步!并且养成定期修改密码的良好习惯。

2. 使用安全的帐号策略

由于SQL Server不能更改或删除sa用户名称, 我们必须对这个帐号进行最强的保护, 建议数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。

3. 加强数据库日志的记录

审核数据库登录事件的“失败和成功”, 将其中的审核级别选定为全部。这样在数据库系统和操作系统日志里面, 就详细记录了所有帐号的登录事件。定期查看日志检查是否有可疑的登录事件发生。

4. 管理扩展存储过程

对存储过程进行调整, 帐号调用扩展存储过程的权限要慎重。删除应用系统中不必要用到的存储过程, 防止被人利用来提升权限。

5. 不要让人随便探测到你的TCP/IP端口

隐藏SQL Server实例。将禁止对试图枚举网络上现有的SQL Server实例的客户端所发出的广播作出响应。这样, 别人就不能用1434来探测你的TCP/IP端口了 (除非用Port Scan) 。

6. 修改TCP/IP使用的端口

请在上一步配置的基础上, 更改原默认的1433端口。在实例属性中选择网络配置中的TCP/IP协议的属性, 将TCP/IP使用的默认端口变为其他端口。

7. 拒绝来自1434端口的探测

由于1434端口探测没有限制, 能够被别人探测到一些数据库信息, 而且还可能遭到DOS攻击让数据库服务器的CPU负荷增大, 所以对Windows 2000操作系统来说, 在IPSec过滤拒绝掉1434端口的UDP通讯, 可以尽可能地隐藏你的SQL Server。

8. 对网络连接进行IP限制

SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法, 但是Windows提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制, 只保证自己的IP能够访问, 也拒绝其他IP进行的端口连接, 把来自网络上的安全威胁进行有效的控制。

9. 隔离您的服务器, 并定期备份

SQL Server安全的基础包括物理和逻辑上的隔离。承载数据库的服务器应该处于一个在物理形式上受到保护的地方, 配备有洪水检测以及火灾检测防雷系统等合乎相应标准的专用机房。并应存在企业内部网的安全区域中, 不要直接连接到Internet。要做到定期备份所有数据, 将副本保存在安全的站点。

数字档案信息的安全保障 篇8

(一) 数字档案信息自身的因素

首先, 数字档案信息存储载体的寿命远远低于传统的纸质档案。虽其载体形式经历了软盘—光盘—硬盘的升级, 但温度、湿度、磁场、灰尘等因素的变化, 极易导致数字档案信息内容的损坏甚至丢失。

其次, 现在大部分档案管理部门都应用档案管理系统来管理本部门的档案, 但因缺乏统一的协调与管理, 导致不同管理系统之间不兼容。随着信息技术的飞速发展, 极易出现不同系统生成的文件难以互相读取, 系统升级无法将原有信息完整、准确转移的情况。

再者, 由于数字档案信息与载体具有可分离性, 使得对其删改变得十分简单, 给保证档案信息内容的原始性与可靠性带来很大困难。另外, 系统每时每刻都产生大量的数据, 若不及时备份, 极易发生数据丢失的情况。

(二) 网络环境对数字档案信息安全的影响

首先, 现阶段服务器直接与互联网连接, 这样用户可以通过各类终端随时随地访问系统, 获取所需档案信息, 然而这样也导致了病毒对档案信息安全的威胁。一旦感染病毒, 就会带来诸如系统性能降低、占用并消耗额外内存资源、破坏数据、干扰硬件设施正常使用, 甚至永久摧毁计算机系统等一系列问题。

其次, 大多数系统都存在安全漏洞, 黑客正是从这些漏洞入手, 非法访问数字档案信息, 这必然直接导致信息泄露、系统崩溃等严重后果。

(三) 管理及人为因素对数字档案信息安全的影响

首先, 管理制度不健全。近些年, 我国的档案管理部门针对信息安全出台一系列制度, 但工作模式仍拘泥于传统的档案管理方法, 缺乏对数字档案信息从生成—归档—利用整个流程的科学管理。网络安全、密级信息处理缺乏行之有效的方法, 同时责任追究也存在诸多漏洞。

其次, 档案管理人员安全意识淡薄。部分人员认为只要做好纸质档案的安全保密工作即可, 而对于数字档案信息安全和保密问题, 既没有足够的认识, 也不知采取何种技术手段保护数字档案信息。

再者, 管理人员操作不规范。有些管理人员缺乏足够的计算机和网络专业知识, 设置密码过于简单, 没有定期升级杀毒软件、防火墙, 不能及时更新系统漏洞, 造成系统运行缓慢甚至数据丢失等严重后果。

二、数字档案信息安全防护的对策

(一) 数字档案信息安全的物质保障

1. 加强基础设施建设

首先, 加强数字档案信息的存储设备管理。要结合实际, 根据数字档案信息的不同用途来选择相应介质。如数据对传输速度要求不高, 可选用可擦写光盘、磁带, 若数据量较大且需长期保存, 可选用硬盘存储, 对于特别珍贵的数字档案信息, 则应转移至纸质的缩微胶片上。

其次, 无论选用何种载体, 只有通过连续备份, 才能确保数字档案信息安全、有效、可用, 实现异地存储、灾难恢复。管理人员必须对备份数据介质进行定期检查、更新、迁移、转换, 使备份真正发挥恢复系统和数据的作用。

再者, 加强对数字档案信息传输设备的管理, 由专人负责定期检查网线、交换机、网关设备、桥接设备等网络设施, 防止因老化、人为破坏、辐射等原因导致数字档案信息传输过程中的丢失。

2. 做好资金和人力资源保障

资金保障是构建数字档案信息安全体系的前提, 人力资源是安全管理的核心, 两者缺一不可。由于档案管理部门是社会公益性部门, 应在向财政部门争取充足资金划拨的基础上, 做到资金使用明晰、规范、科学, 将有限的资金真正应用在档案馆设施购置、管理技术升级及相关技术人员培训等事项上。

如今大多数的档案馆急需建立一支拥有全面、系统档案专业知识、现代信息技术和对于档案事业发展有前瞻性眼光的专业队伍。这就要求档案管理部门切实加强档案管理队伍建设, 定期开展安全教育, 普及保障数字档案信息安全的常识和技能。对于有一定专长的人员, 通过专业培训、进修等不同形式的教育, 组成数字档案信息管理小组, 使数字档案管理人员掌握涉密档案的加密保护方法, 灵活运用杀毒软件、防火墙, 了解数字档案信息载体物理安全知识, 做好数字档案信息载体的安全防护, 切实保障数字档案的信息安全。

(二) 数字档案信息安全的法规制度保障

1. 健全数字档案信息安全的法律法规体系

目前, 我国还未出台专门的法律法规保护数字档案信息安全, 若重要的数字档案信息泄露, 则会给国家造成无法估量的损失。为保证数字档案信息的长期存储, 笔者认为, 一方面要加强数字档案信息传输环境的立法, 只有利用法律的强制性、规范性, 加之技术层面的不断更新、升级, 才能保证网络环境中数字档案信息的安全;另一方面, 制定保护数字档案信息的法律法规, 如归档与管理、知识产权保护等, 从法律层面防止数字档案信息被篡改、窃取、攻击。

2. 完善数字档案信息的管理制度

第一, 建立健全数字档案信息计算机及相关网络设施管理制度, 这是保证数字档案信息长期存储的重要措施。包括制订服务器、通信设备等支持系统运行的网络基础设施在内的维修、检查、防火防盗等管理制度, 加强对密码、口令的授权管理, 若设备发生故障应及时做好记录。

第二, 落实数字档案信息安全管理和使用规范。在数字档案形成阶段, 文本型数字档案以DOX, XLS, FDF, TXT作为通用格式, 图片型数字档案以JPEG, TIFF作为通用格式, 音频文件以WAV, MP3作为通用格式, 视频文件以AVI, MPEG作为通用格式。在归档阶段, 要严格规定数字档案归档范围、时间、方式, 以保证数字档案信息的完整性、真实性、合法性。在保管期间, 在搭建适用于光、磁介质保存环境的基础上, 要定期对其进行检查, 保证数字档案信息可读、完整。在利用过程中, 在对人员的管理上, 首先要根据其各自的分工, 严格进行权限管理;其次是利用方式的管理, 在保证所提供的数字档案真实、完整、有效的同时, 各档案管理部门要根据自身的技术条件及数字档案信息的密级, 有针对性地选择直接利用、拷贝、网络传输等方式。

3. 完善数字档案信息管理系统的管理制度

主要包括内外网连接、配置系统、漏洞的修复、划分账户权限、服务器日志审计等。

(三) 数字档案信息安全的技术保障

1. 访问控制与防火墙技术

它们是防范病毒和黑客攻击的有效方式。访问控制技术通过控制数据库, 达到防止非法访问的目的, 它主要分为自由访问控制、强制访问控制、角色访问控制。目前大多数档案管理部门采用强制访问控制, 即由系统规定用户能否对数字档案信息进行访问, 系统对每个用户和数字档案信息匀赋予相应的安全级别, 用以达到制订用户的权限和限定读取数据库中某类数字档案信息的目的。这种控制最大优点在于:当工作角色发生变化时, 直接改变用户身份即可, 增加了访问控制的灵活性。防火墙技术也是一种访问控制技术, 它可以将网络规划得更为清晰, 防止超越权限访问的出现。当档案管理部门内部网与互联网连接, 而内部网中又有重要的档案信息资源时, 通过设置防火墙, 既控制外界用户随意访问资源, 又可限制部门内部不同计算机的互相访问。同时, 防火墙可以将非法的访问行为记录下来, 对非法访问进行分析, 供今后采取更为有效的防范措施做准备。

2. 入侵检测技术

它是防火墙技术的补充, 一旦防火墙失灵, 它可以继续监视、分析用户活动, 检测攻击行为, 搜集并记录侵入活动证据并及时报警、自动响应、诊断攻击者入侵方式和地点, 提供解决方案, 保护连接网络的服务器, 扩展管理员的管理能力等。

3. 加密技术

信息安全保障 篇9

一、档案存储信息一定要确保安全运行

档案的内容不能和一般的网络信息相比, 这是一个比较严肃的信息材料, 它的发布内容包括着国家、行业、部门的真实确切的活动历史过程。从大的方面讲, 这些档案中有很大部分都是国家机密, 关系着国家安全, 包含着一个国家各行各业诸多方面的敏感信息;从小的方面讲, 有我们各个单位所发生的事件和办事流程所涉及的内容。所有的方方面面都要具有较强的保密和限制性。如果这些信息一旦被有恶意之人非法利用, 严重地讲, 这将威胁到一个国家的安全, 损害人民群众的利益, 影响到社会的稳定。

二、电子档案信息的存储要做好安全设计

首先是工作人员的安全。作为从事档案管理工作的人员, 如果不能有一个胜任本工作的素质和能力, 就算设计再安全再周密的档案信息安全系统, 亦是徒具形式而已。因此, 在档案电子信息操作的过程中, 最可怕的问题就是人为地泄露秘密。在每一项档案电子信息发布之前, 一定需加防范各种可能蓄意或非蓄意的人为因素。这就要求所有从事档案管理人员要经过各项培训, 从思想上和政治觉悟上都要对自身所从事的工作高度重视, 有一个积极宣传电子信息安全重要性的头脑, 以更好地降低信息流失的发生几率。与此同时, 要有一个严格的档案管理制度, 在原有制度的基础上, 更加严格执行。无论任何人在使用档案信息前, 一定要先确认其身份方可进入档案室。另外, 由于任何从事档案工作的人员难免都会接触到档案实体, 所以人员变动, 包括人员调转、离职或者退休等, 都有可能造成档案信息外传, 为了免除档案信息意外流失, 就要做好人员变动与其权限有效期管理办法。如果有人需要了解档案信息, 必须在获得区域内电脑使用权限, 核实使用者权限的管理和控制。根据人员的不同身份职位的要求, 给予不同层次和级别的使用权限。然后固定使用人员的账号和命名, 这便有了一个最初的辨识办法, 如果此人有入侵的企图, 那么他所使用的代码一定会受到系统的限制, 这样就可以立刻被发现和限制在系统之外。在设置账号密码的时候要有一定的复杂程度, 不可过于简单, 使有企图的人不容易轻易就猜得到。

再就是操作安全问题。档案管理工作既作为基础工作又是一项要求非常高的工作, 这项工作要不断地对工作人员进行电子信息安全的教育, 这是保证档案电子信息安全执行政策具体有效的重要手段。作为档案管理工作者不仅要有宣导电子信息安全的观念, 更应有着保证档案电子信息操作过程的安全可靠性, 其中包括所用电脑的杀毒防毒软件配备, 还要做好存储资料的备份工作;对电子输入时做好杀毒程序, 避免在档案信息公开路径中, 在不知不觉的时候带进电脑病毒一同被输送出去, 形成文件的感染, 从而导致使用者档案信息的电子资料损坏、被篡改或者丢失, 造成不能恢复的损失。作为档案管理部门, 除了要在所用电脑的服务器中安装杀毒软件之外, 同时也必须要在邮件服务器上安装好邮件的杀毒工具, 以建立最基本的安全环境。随着电子科技的快速发展, 我们所用的电脑在病毒入侵方面真是防不胜防, 因此在这样的环境下, 我们每一位工作人员在录入信息的同时一定要养成把重要资料做好备份的习惯, 不仅要将重要的信息备份在电脑中, 还要做一个备份的光碟或U盘, 以减少一旦被病毒破坏后的损失。另外还要有建立一个异地备份的思想, 使得做备份的工作形成制度化。

浅析档案信息安全保障体系建设 篇10

1. 档案信息安全思想保障。

树立和坚持全面的、科学的、发展的档案信息安全观, 是保障档案信息安全的思想基础。传统安全观、保密安全观、技术安全观、系统安全观和网络安全观等, 都是不科学的、不全面的、不完整的, 是静止的、片面的认识。科学的档案信息安全观是对档案信息安全主体、档案信息安全内容、档案信息安全方式认识的综合, 是档案信息记录内容、记录方式和记录载体三位一体的安全观。为建立现代档案信息安全体系和筹划档案信息安全战略提供了正确的理论指导和价值取向。在新时期, 档案部门应在国家信息安全总的指导方针下, 坚持“纵深防御、综合治理、等级保护、促进发展”的思想方针。信息时代的“防”已经扩展到纵深的防御;“治”是一种包括了策略、管理和技术 (包括传统技术和现代信息技术及其他相关技术) 的综合治理。突出重点, 实行档案信息等级保护, 对推动我国档案信息安全保障体系建设具有重要意义。档案部门应做好档案信息等级保护工作, 以有效保障档案信息安全, 促进档案事业健康、持续、快速发展。

2. 档案信息安全策略保障。

档案信息安全策略是档案信息安全保障体系的核心和纲要, 是档案信息安全保障的总体规划和具体措施。针对档案信息安全的新情况、新变化和新特点, 制定档案信息安全国家战略和规划;根据国家战略和规划, 研究制定本地区和本单位的档案信息安全保障规划和计划, 以增强档案信息安全保障工作的针对性和科学性。强化危机管理意识, 加强档案信息危机管理, 最大限度地减少和降低档案人员和档案信息遭受损失。完善危机管理法规制度, 建立危机管理机构网络, 制定科学、合理的档案防灾应急预案, 从档案信息资产、档案信息面临的安全威胁和安全缺陷等方面, 全面、客观地评估风险和分析威胁, 做好防灾应急演练、培训、档案异地备份等工作, 健全安全决策和危机预测与反应机制。把握好档案业务工作主要环节, 做好重要活动档案的归档和接收工作, 有计划地收集和征集散失的档案资料;实现电子文件实时归档, 档案部门与信息化部门加强沟通、协调与合作, 研究提出档案管理功能需求, 真正实现文档管理一体化。建立库房管理制度。做好档案信息的整理、编目工作。正确处理档案利用与保护的关系, 制定并完善档案信息公开与保护方面的法规制度, 有效地保护知识产权和隐私权, 做好利用中的档案实体保护工作。

3. 档案信息安全技术保障。

先进的科学技术研究和应用是保障档案信息安全的重心所在。档案信息安全技术不仅涉及到传统的“防”和“治”的技术, 而且已经扩展到涉及密码技术、访问控制技术、标识和鉴别技术、审计与监控技术、网络安全技术、系统安全技术、应用安全技术等多种现代信息技术。传统技术与现代技术相互补充、相互结合, 从不同角度、不同层次来解决档案信息安全问题, 共同构筑档案信息的安全屏障。档案信息安全技术的发展与更新, 加快档案信息安全技术成果的应用、推广和转化, 在引进、消化和吸收相关领域科学技术成果的同时, 坚持自主创新, 走国产化道路, 开发拥有独立自主知识产权的、保障档案信息安全的核心技术和关键设备。建立档案科学技术奖励基金, 开展档案信息安全技术成果奖励活动, 激发广大档案科技人员的积极性和主动性。

4. 档案信息安全人才保障。