序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗�,特別為您篩選了11篇信息安全管理論文范文。如果您需要更多原創(chuàng)資料�����,歡迎隨時與我們的客服老師聯(lián)系���,希望您能從中汲取靈感和知識��!
篇1
2基層稅務(wù)信息安全管理的難題
2.1基層稅務(wù)信息安全管理存在的風(fēng)險
信息技術(shù)飛速發(fā)展�����,尤其是大數(shù)據(jù)時代的到來�����,基層稅務(wù)信息安全技術(shù)管理風(fēng)險與日俱增�����?����?茖W(xué)技術(shù)水平日新月異�����,移動互聯(lián)網(wǎng)���、虛擬化�����、云技術(shù)�����、大數(shù)據(jù)應(yīng)用等新技術(shù)層出不強���。此類技術(shù)的應(yīng)用對于專業(yè)技術(shù)的要求較高,安全保障措施也較為嚴密��,但現(xiàn)有的稅務(wù)信息安全管理的軟硬件�、制度����、頂層設(shè)計�、稅務(wù)人員素質(zhì)�、社會要求等方面無法適應(yīng)其方便、快捷��、高效的特點����,使得稅務(wù)信息暴露在數(shù)據(jù)的海洋,極易造成信息被盜取�、被非法病毒所侵入,稅務(wù)信息安全技術(shù)管理必然風(fēng)險激增�。改革不斷深化,尤其是簡政放權(quán)要求逐步提高����,基層稅務(wù)信息安全行政管理風(fēng)險突飛猛進。全面深化改革的推進���,行政管理被要求回歸理性簡政放權(quán)�,實現(xiàn)由權(quán)力管制到權(quán)利治理���,基層稅務(wù)部門必然面臨著工作重心后移及執(zhí)法風(fēng)險加大的交匯壓力��,后續(xù)管理將成為稅務(wù)部門工作的一種常態(tài)�。稅務(wù)管理信息化是保證后續(xù)管理科學(xué)、有效����、規(guī)范進行的基本方式且根本保障,而稅務(wù)信息安全管理是稅務(wù)管理信息化的基礎(chǔ)����,是故稅務(wù)信息安全管理必然成為稅收征收與管理過程的基礎(chǔ)和支撐。稅務(wù)管理信息化下稅務(wù)信息不論是頻率還是數(shù)量均不斷提高�,數(shù)量和質(zhì)量相生相克,前者的增多必然導(dǎo)致后者的下降�,稅務(wù)信息安全行政管理風(fēng)險驟升。依法治稅加強���,尤其是納稅人權(quán)利意識的覺醒�,基層稅務(wù)信息安全管理涉紛風(fēng)險不斷提高。隨著經(jīng)濟�����、社會以及文化的不斷發(fā)展�����,納稅人權(quán)利意識在不斷覺醒���,私權(quán)保護����、正當(dāng)程序�、公平正義成為了普遍訴求。納稅人信息是稅務(wù)信息安全管理的重要內(nèi)容之一�,包含著巨大的商業(yè)價值,稅務(wù)機關(guān)在采集��、保管和使用納稅人信息過程中往往由于安全措施不到位而導(dǎo)致納稅人權(quán)利受到損害事件時有發(fā)生�,甚至誘發(fā)違法犯罪。近些年來���,由于稅務(wù)信息安全管理不善帶來的稅務(wù)糾紛呈水漲船高之勢�,納稅人訴諸法律途徑的越來越多���,基層稅務(wù)部門涉議����、涉訴風(fēng)險不斷提高����。
2.2基層稅務(wù)信息安全管理面臨的困境
2.2.1稅務(wù)信息安全管理意識淡薄
稅務(wù)管理信息化在我國方興未艾��,關(guān)于稅務(wù)信息安全的理解���、保護方法、風(fēng)險防范手段等社會所知甚微�����。就稅務(wù)部門而言����,大部分基層稅務(wù)工作人員對于稅務(wù)信息安全管理是什么、稅務(wù)信息安全管理意義是什么�、怎樣實現(xiàn)稅務(wù)信息安全管理等內(nèi)容的認識與理解存在偏差,主觀地認為稅務(wù)信息安全與稅務(wù)部門的核心業(yè)務(wù)無關(guān)����,是一種簡單的信息存儲與傳輸,意義不大����。甚至是一提到稅務(wù)信息安全,不少人就當(dāng)然的認為是病毒和黑客�����,而往往忽視內(nèi)部人員的過錯或故意行為等因素。就納稅人而言�����,大部分納稅人抱有這樣的態(tài)度�����,就是只要按照法定規(guī)定和法定程序上繳完稅��,其他的就與自己沒有多大干系��,稅務(wù)信息安全管理也是如此�,因而往往不配合稅務(wù)信息的收集等工作���。由于少數(shù)人的安全意識淡薄和管理不善�����,會影響整個稅務(wù)信息系統(tǒng)的安全性�����。
2.2.2稅務(wù)信息安全管理方式滯后
整體上看���,基層稅務(wù)信息安全管理還主要是依靠單一的技術(shù)方法�,稅務(wù)信息保密措施少���、身份認證未得到全面應(yīng)用�、缺少路由安全和防止入侵的技術(shù)措施�����,難以適應(yīng)稅務(wù)信息安全管理的要求���。首先����,稅務(wù)信息技術(shù)管理方式賴以生存的硬件設(shè)施可靠性�����、穩(wěn)定性不足���,缺少日常維護及安全配套措施���。其次����,稅務(wù)信息技術(shù)管理核心之處的軟件設(shè)施開放性強���,比如����,內(nèi)部網(wǎng)路終端信息共享范圍廣���、操作系統(tǒng)主要是國外研發(fā)的,內(nèi)外網(wǎng)機器存在混用現(xiàn)象�����,極大增加了稅務(wù)信息安全風(fēng)險����。最后,采集數(shù)據(jù)分散�,不能形成有效共享,普遍存在“信息孤島”現(xiàn)象����;業(yè)務(wù)信息不能通過計算機有效流轉(zhuǎn)�����,自動化管理過程隔離�;尤其是信息缺乏高效的數(shù)據(jù)監(jiān)控措施����,沒有形成科學(xué)的內(nèi)、外監(jiān)督體系�,不斷遭受黑客攻擊,還出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象等�����。
2.2.3稅務(wù)信息安全管理制度不完善
稅務(wù)信息采集�、整理、貯存�、傳輸、反饋及應(yīng)用等過程中安全管理的理念并未得到貫徹����,稅務(wù)信息安全管理制度還不全面、缺乏體系性�、可操作性也不強�。具體來講���,一是缺乏強有力的稅務(wù)信息安全管理領(lǐng)導(dǎo)制度�����。一般而言�����,基層稅務(wù)信息安全管理主要是由稅務(wù)信息中心實施�,與其他內(nèi)設(shè)機構(gòu)之間是并列關(guān)系�����,信息安全管理無法滲透到稅收征管的其他環(huán)節(jié)���。二是缺乏科學(xué)的稅務(wù)信息安全事故預(yù)防、報告及處理制度�,各基層稅務(wù)部門普遍缺失完備的信息安全事故報告程序與預(yù)防處理方案,稅務(wù)信息安全事故的預(yù)防�����、處理沒有可持續(xù)的制度支撐。三是缺乏規(guī)范的稅務(wù)信息安全管理考核制度����,基層稅務(wù)信息安全崗位與責(zé)任相適應(yīng)的考核標準,機制不規(guī)范����,致使信息安全管理深度與力度得不到有效落實。此外�,信息安全責(zé)任制度還需進一步細化和完善。
2.2.4信息安全風(fēng)險管理機制存在缺陷
稅務(wù)信息化下���,稅務(wù)信息安全風(fēng)險有來自基礎(chǔ)設(shè)施毀損的風(fēng)險�,有技術(shù)應(yīng)用帶來的風(fēng)險����,有人為操作引發(fā)的風(fēng)險,可謂無處不在��、無時不有�。但目前基層稅務(wù)機關(guān)并沒有形成體系化的稅務(wù)信息安全風(fēng)險識別、評估���、控制等管理機制�。就稅務(wù)信息安全風(fēng)險識別而言,稅務(wù)信息并未被確定成為一種資產(chǎn)���,因而缺乏稅務(wù)信息必要的分類管理�。同時�,這種安全風(fēng)險識別僅局限于技術(shù)硬件故障或錯誤、技術(shù)軟件故障或錯誤�、技術(shù)淘汰等技術(shù)層面,而對于其他層面的信息安全威脅鮮有涉及�����。就稅務(wù)信息安全風(fēng)險評估而言���,由于專業(yè)技術(shù)和人才的缺乏��,加之評估頻率與方法不當(dāng),很難真正分析出信息安全風(fēng)險的高低����,影響到控制措施的選擇。就稅務(wù)信息安全風(fēng)險控制而言����,由于識別與評估分析中的不健全����,使得風(fēng)險控制策略選擇失去了可信基礎(chǔ)���,致使避免���、轉(zhuǎn)移、緩解及接受等風(fēng)險控制策略無從選擇�。
3基層稅務(wù)信息安全管理的應(yīng)對
3.1加大信息安全管理教育培訓(xùn),更新稅務(wù)信息安全管理理念
應(yīng)當(dāng)認識到����,稅務(wù)信息安全管理既是國家信息安全管理的有機構(gòu)成,也是基層稅務(wù)工作的重要組成部分���,它涵蓋稅收信息的采集�����、整理���、存儲���、傳輸、反饋�、開發(fā)及應(yīng)用等全過程,不僅可以加強稅收收入的規(guī)劃性�,有效發(fā)揮稅收促進生產(chǎn),調(diào)節(jié)��、監(jiān)督經(jīng)濟的作用�,還能衡量稅收分配是否合理,稅負負擔(dān)是否平衡����,保障納稅人的權(quán)利。因此�����,基層稅務(wù)部門要摒棄稅務(wù)信息安全管理不重要的觀念�����,提高對稅務(wù)信息安全的認識�����,充分了解稅務(wù)信息安全管理的內(nèi)容����、作用及方法,以此更新稅務(wù)信息安全管理理念���。稅務(wù)信息安全管理意識之所以淡薄�,原因在于信息安全管理教育與培訓(xùn)少�����,稅務(wù)信息安全管理專業(yè)人才匱乏����。對此,一方面要靈活多樣地培訓(xùn)學(xué)習(xí)形式���,綜合平衡信息安全相關(guān)項目����,提高稅務(wù)工作人員的信息安全意識與能力水平��;另一方面����,要建立稅務(wù)信息安全管理培訓(xùn)機制����,通過組織開展多層次��、多方位的信息安全培訓(xùn)���,提高安全員信息安全防范技能��,培養(yǎng)稅務(wù)信息安全管理骨干����。此外�����,稅收普法宣傳教育中還要強化納稅人信息安全意識��。
3.2綜合內(nèi)外部控制手段�����,實現(xiàn)稅務(wù)信息安全管理方式多元化
稅務(wù)信息安全管理是一個系統(tǒng)工程�,涉及信息技術(shù)體系�、信息風(fēng)險管理及組織管理框架等諸多方面����,面對終端規(guī)模大����、地域分布廣、技術(shù)類型多的現(xiàn)實�����,單純的依靠外部技術(shù)手段無法實現(xiàn)稅務(wù)信息安全管理���,需要內(nèi)部控制措施予以協(xié)同���,多元化的管理方法才能更好地、更有效地保障稅務(wù)工作人員完成信息安全管理工作�。首先,完善稅務(wù)信息安全技術(shù)手段�����,做好信息安全防護體系建設(shè)和運行管理���。不論是采取何種技術(shù)手段進行稅務(wù)信息管理�,都要建立完備的病毒防范、身份鑒別與訪問控制�����、入侵檢測及信息加密等信息安全管理技術(shù)體系��,定時檢查并更新硬件設(shè)備以確保其可靠性與穩(wěn)定性�。其次,要克服“唯技術(shù)論”的傾向�,稅務(wù)部門要建立統(tǒng)一的信息安全保障中心,保證稅務(wù)信息安全集中和集成管理���,努力形成完整的數(shù)據(jù)安全與備份體系���。最后,完善稅務(wù)信息安全管理內(nèi)部控制手段�����,以減輕由于內(nèi)部人員道德風(fēng)險��、系統(tǒng)資源風(fēng)險所造成的信息危害。主要是采用人機聯(lián)控的控制方式�,通過實施一系列的控制活動和保護措施,以實現(xiàn)對與稅務(wù)信息安全相關(guān)的人與物的管理����,并最大限度地保障稅務(wù)信息安全�。
3.3完善稅務(wù)信息安全管理框架,健全稅務(wù)信息安全管理制度
借鑒信息安全管理一般理論��,完整的稅務(wù)信息安全管理框架包括定義稅務(wù)信息安全政策����、定義稅務(wù)信息安全管理范圍、進行稅務(wù)信息安全風(fēng)險評估�����、確定管理目標和選擇管理措施�、準備稅務(wù)信息安全適用性聲明、建立相關(guān)文檔��、文檔的嚴格管理及安全事件記錄回饋�����。針對目前稅務(wù)信息安全管理框架的不完善,稅務(wù)部門應(yīng)嚴格按照信息安全管理框架��,制定完善的信息安全規(guī)章��、明確管理范圍���、風(fēng)險����、目標�、措施等予以完善。與此同時�����,還要健全稅務(wù)信息安全管理相關(guān)制度����。一是建議基層稅務(wù)機關(guān)應(yīng)成立信息安全領(lǐng)導(dǎo)小組,各區(qū)局���、科室�、所都應(yīng)明確專人負責(zé)稅務(wù)信息安全的管理�,以健全稅務(wù)信息安全管理領(lǐng)導(dǎo)制度;二是建議明確安全事故預(yù)防任務(wù)、報告時限與程序�����、處理方法與措施�,以健全稅務(wù)信息安全事故預(yù)防、報告及處理制度����;三是建議制定規(guī)范、可行的信息安全管理考核機制�,明確規(guī)定每個稅務(wù)工作人員在信息安全方面應(yīng)承擔(dān)的責(zé)任�����、保密要求以及違約責(zé)任����,以健全稅務(wù)信息安全管理責(zé)任制度?����?傊?,就是要建立安全管理機構(gòu),確定安全管理人員,建立安全管理制度�����,建立責(zé)任和監(jiān)督機制�,切實保障稅務(wù)信息安全管理有效開展。
篇2
移動電子商務(wù)(M-Commerce)���,是通過手機��、PDA(個人數(shù)字助理)���、呼機等移動通信設(shè)備與因特網(wǎng)有機結(jié)合所進行的電子商務(wù)活動。移動電子商務(wù)能提供以下服務(wù):PIM(個人信息服務(wù))�����、銀行業(yè)務(wù)���、交易���、購物、基于位置的服務(wù)�����、娛樂等。
移動電子商務(wù)因其快捷方便����、無所不在的特點,已經(jīng)成為電子商務(wù)發(fā)展的新方向�。因為只有移動電子商務(wù)才能在任何地方、任何時間����,真正解決做生意的問題。
但是對于任何通過無線網(wǎng)路(如:GSM網(wǎng)路)進行金融交易的用戶��,安全和隱私問題無疑是其關(guān)注的焦點�。由于移動電子商務(wù)的特殊性����,移動電子商務(wù)的安全問題尤其顯得重要。尤其對于有線電子商務(wù)用戶來說����,通常認為物理線纜能帶來更好的安全性,從而排斥使用移動電子商務(wù)����。移動電子商務(wù)是一個系統(tǒng)工程����,本文從技術(shù)����、安全、隱私和法制等方面討論了移動商務(wù)的展所面臨的種種問題��,并指出這些問題的有效解決是建設(shè)健康�����、安全的移動電子商務(wù)的重要保證��。
一����、移動通信新技術(shù)的驅(qū)動
1.無線應(yīng)用協(xié)議(WAP)
無線應(yīng)用協(xié)議WAP是無線通信和互聯(lián)網(wǎng)技術(shù)發(fā)展的產(chǎn)物,它不僅為無線設(shè)備提供豐富的互聯(lián)網(wǎng)資源��,也提供了開發(fā)各種無線網(wǎng)路應(yīng)用的途徑����。1998年��,WAP論壇公布了WAP1.0版本�,制定了一套專門為移動互聯(lián)網(wǎng)而設(shè)計的應(yīng)用協(xié)議�,具有良好的開放性和互通性。隨著移動通信網(wǎng)傳輸速率的顯著提高�,WAP論壇于2001年頒布了WAP2.0版本,該版本增加了對HTTP�、TLS和TCP等互聯(lián)網(wǎng)協(xié)議的支持,WAP的工作大大簡化�。WAP2.0模式有利于實現(xiàn)電子商務(wù)所需的端到端安全性,可以提供TLS隧道�。
2.移動IP技術(shù)
移動IP技術(shù),是指移動用戶可在跨網(wǎng)絡(luò)隨意移動和漫游中���,使用基于TCP/IP協(xié)議的網(wǎng)絡(luò)時����,不用修改計算機原來的IP地址����,同時����,也不必中斷正在進行的通信��。移動IP通過AAA(Authentication,Authorization,Accounting)機制�,實現(xiàn)網(wǎng)絡(luò)全方位的安全移動或者漫游功能�����。移動IP在一定程度上能夠很好地支持移動商務(wù)的應(yīng)用�����。
3.第三代(3G)移動通信系統(tǒng)
第三代移動通信系統(tǒng)�,簡稱3G,是指將無線通信與互聯(lián)網(wǎng)等多媒體通信結(jié)合的移動通信系統(tǒng)���。它能夠處理圖像�����、話音����、視頻流等多種媒體形式����,提供包括網(wǎng)頁瀏覽����、電話會議�、電子商務(wù)等多種信息服務(wù)。與2G相比�����,3G產(chǎn)品可提供數(shù)據(jù)速率高達2Mbps的多媒體業(yè)務(wù)�����。在我國�,以TD-SCDMA技術(shù)為基礎(chǔ)的3G基礎(chǔ)設(shè)施和產(chǎn)品的建設(shè)和研制發(fā)展迅速,我國發(fā)展3G的條件已經(jīng)基本具備�����。由于3G帶來的高速率���、移動性和高安全性等特點�,必然會給移動電子商務(wù)的應(yīng)用帶來巨大商機�����。
4.無線局域網(wǎng)(WLAN)技術(shù)
美國電子電器工程師協(xié)會IEEE在1991年就啟動了WLAN標準工作組���,稱為IEEE802.11����,并在1997年產(chǎn)生了WLAN標準-IEEE802.11��,后來又相繼推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的標準�����。802.11WLAN標準自公布之日起�����,安全問題一直是其被關(guān)注的焦點問題�����。802.11b采用了基于RC4算法的有線對等保密(WEP)機制�����,為網(wǎng)絡(luò)業(yè)務(wù)流提供安全保障,但其加密和認證機制都存在安全漏洞�。802.11i是2004年6月批準的WLAN標準,其目的是解決802.11標準中存在的安全問題�。802.11i應(yīng)用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高級加密標準的CBC-MACProtocol(CCMP)。其中TKIP仍然采用RC4作為其加密算法���,可以向后兼容802.11a/b/g等硬件設(shè)備����。中國寬帶無線IP標準工作組制訂了WLAN國家標準GB15629.11�����,定義了無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI��,大大減少了WLAN中的安全隱患�����。
二����、移動電子商務(wù)面臨的安全威脅
盡管移動電子商務(wù)給工作效率的提高帶來了諸多優(yōu)勢(如:減少了服務(wù)時間,降低了成本和增加了收入)����,但安全問題仍是移動商務(wù)推廣應(yīng)用的瓶頸�����。有線網(wǎng)絡(luò)安全的技術(shù)手段不完全適用于無線設(shè)備,由于無線設(shè)備的內(nèi)存和計算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序����。例如:目前還沒有有效抵制手機病毒的防護軟件。
1.網(wǎng)絡(luò)本身的威脅
無線通信網(wǎng)絡(luò)可以不像有線網(wǎng)絡(luò)那樣受地理環(huán)境和通信電纜的限制就可以實現(xiàn)開放性的通信�。無線信道是一個開放性的信道,它給無線用戶帶來通信自由和靈活性的同時����,也帶來了諸多不安全因素:如通信內(nèi)容容易被竊聽、通信雙方的身份容易被假冒�����,以及通信內(nèi)容容易被篡改等�。在無線通信過程中,所有通信內(nèi)容(如:通話信息����,身份信息,數(shù)據(jù)信息等)都是通過無線信道開放傳送的。任何擁有一定頻率接收設(shè)備的人均可以獲取無線信道上傳輸?shù)膬?nèi)容�����。這對于無線用戶的信息安全���、個人安全和個人隱私都構(gòu)成了潛在的威脅���。
2.無線adhoc應(yīng)用的威脅
除了互聯(lián)網(wǎng)在線應(yīng)用帶來的威脅外,無線裝置給其移動性和通信媒體帶來了新的安全問題����。考慮無線裝置可以組成adhoc網(wǎng)路�����。Adhoc網(wǎng)絡(luò)和傳統(tǒng)的移動網(wǎng)絡(luò)有著許多不同����,其中一個主要的區(qū)別就是AdHoc網(wǎng)絡(luò)不依賴于任何固定的網(wǎng)絡(luò)設(shè)施,而是通過移動節(jié)點間的相互協(xié)作來進行網(wǎng)絡(luò)互聯(lián)��。由于其網(wǎng)絡(luò)的結(jié)構(gòu)特點��,使得AdHoc網(wǎng)絡(luò)的安全問題尤為突出。Adhoc網(wǎng)路的一個重要特點是網(wǎng)絡(luò)決策是分散的���,網(wǎng)絡(luò)協(xié)議依賴于所有參與者之間的協(xié)作���。敵手可以基于該種假設(shè)的信任關(guān)系入侵協(xié)作的節(jié)點。
3.網(wǎng)路漫游的威脅
無線網(wǎng)路中的攻擊者不需要尋找攻擊目標�,攻擊目標會漫游到攻擊者所在的小區(qū)��。在終端用戶不知情的情況下�����,信息可能被竊取和篡改����。服務(wù)也可被經(jīng)意或不經(jīng)意地拒絕。交易會中途打斷而沒有重新認證的機制�。由刷新引起連接的重新建立會給系統(tǒng)引入風(fēng)險,沒有再認證機制的交易和連接的重新建立是危險的���。連接一旦建立���,使用SSL和WTLS的多數(shù)站點不需要進行重新認證和重新檢查證書���。攻擊者可以利用該漏洞來獲利。
4.物理安全
無線設(shè)備另一個特有的威脅就是容易丟失和被竊���。因為沒有建筑��、門鎖和看管保證的物理邊界安全和其小的體積��,無線設(shè)備很容易丟失和被盜竊�。對個人來說���,移動設(shè)備的丟失意味著別人將會看到電話上的數(shù)字證書�,以及其他一些重要數(shù)據(jù)�。利用存儲的數(shù)據(jù),拿到無線設(shè)備的人就可以訪問企業(yè)內(nèi)部網(wǎng)絡(luò)����,包括Email服務(wù)器和文件系統(tǒng)。目前手持移動設(shè)備最大的問題就是缺少對特定用戶的實體認證機制���。
三�����、移動商務(wù)面臨的隱私和法律問題
1.垃圾短信息
在移動通信給人們帶來便利和效率的同時�����,也帶來了很多煩惱�����,遍地而來的垃圾短信廣告打擾著我們的生活���。在移動用戶進行商業(yè)交易時,會把手機號碼留給對方����。通過街頭的社會調(diào)查時,也往往需要被調(diào)查者填入手機號碼��。甚至有的用戶把手機號碼公布在網(wǎng)上��。這些都是公司獲取手機號碼的渠道��。垃圾短信使得人們對移動商務(wù)充滿恐懼����,而不敢在網(wǎng)絡(luò)上使用自己的移動設(shè)備從事商務(wù)活動���。目前,還沒有相關(guān)的法律法規(guī)來規(guī)范短信廣告�,運營商還只是在技術(shù)層面來限制垃圾短信的群發(fā)。目前�����,信息產(chǎn)業(yè)部正在起草手機短信的規(guī)章制度�,相信不久的將來會還手機短信一片綠色的空間。
2.定位新業(yè)務(wù)的隱私威脅
定位是移動業(yè)務(wù)的新應(yīng)用�,其技術(shù)包括:全球定位系統(tǒng),該種技術(shù)利用24顆GPS衛(wèi)星來精確(誤差在幾米之內(nèi))定位地面上的人和車輛����;基于手機的定位技術(shù)TOA,該技術(shù)根據(jù)從GPS返回響應(yīng)信號的時間信息定位手機所處的位置�����。定位在受到歡迎的同時�����,也暴露了其不利的一面——隱私問題���。移動酒吧就是一個典型的例子��,當(dāng)你在路上時����,這種服務(wù)可以在你的PDA上列出離你最近的5個酒吧的位置和其特色?;蛘弋?dāng)你途經(jīng)一個商店時,會自動向你的手機發(fā)送廣告信息�����。定位服務(wù)在給我們帶來便利的同時�����,也影響到了個人隱私����。利用這種技術(shù)���,執(zhí)法部門和政府可以監(jiān)聽信道上的數(shù)據(jù)��,并能夠跟蹤一個人的物理位置����。
3.移動商務(wù)的法律保障
電子商務(wù)的迅猛發(fā)展推動了相關(guān)的立法工作。2005年4月1日���,中國首部真正意義上的信息化法律《電子簽名法》正式實施���,電子簽名與傳統(tǒng)的手寫簽名和蓋章將具有同等的法律效力,標志著我國電子商務(wù)向誠信發(fā)展邁出了第一步�����?���!峨娮雍灻ā妨⒎ǖ闹匾康氖菫榱舜龠M電子商務(wù)和電子政務(wù)的發(fā)展,增強交易的安全性�。
參考文獻:
篇3
根據(jù)信息管理的具體應(yīng)用業(yè)務(wù)流程,并且結(jié)合系統(tǒng)級安全策略�����,動態(tài)對系統(tǒng)中的不同信息和用戶賦予不同的權(quán)限���。例如��,在OA系統(tǒng)中���,可以設(shè)定系統(tǒng)中的具體文檔�����、合同的閱讀者和審核者范圍��,甚至可以對哪些用戶可以文檔中某一部分的內(nèi)容進行閱讀或者修改的權(quán)限進行設(shè)定�����,采用動態(tài)權(quán)限機制來保證系統(tǒng)的安全��;
(2)操作記錄
將用戶操作進行自動記錄和存檔����,同時保存文檔修改之前和之后的版本����,從而記錄下文檔的修改軌跡���。
2安全技術(shù)具體應(yīng)用案例
2.1信息管理系統(tǒng)安全分析
由于電力市場的特點決定�����,電力系統(tǒng)參與的各個主體分別代表了不同的利益團體��,例如電力公司信息管理系統(tǒng)中的交易熱暖�����,能夠申報授權(quán)范圍內(nèi)的交易數(shù)據(jù)��,對市場信息進行查詢����;結(jié)算人員可以對各類交易的執(zhí)行情況和執(zhí)行結(jié)果進行考核結(jié)算。因此���,為了防止系統(tǒng)用戶在信息管理系統(tǒng)中進行越權(quán)操作����,或者操作不當(dāng)給各方帶來的損失�,需要對電力公司的信息管理系統(tǒng)進行安全控制。由于電力公司所涉及的業(yè)務(wù)廣泛�,為此電力公司內(nèi)部信息管理系統(tǒng)數(shù)量眾多�,主要包括負責(zé)對發(fā)電廠�、輸配電線、變電站的正常運行和生產(chǎn)進行監(jiān)控的SCADA/EMS系統(tǒng)���,負責(zé)電網(wǎng)調(diào)度運行�、電網(wǎng)通信�、繼電保護進行綜合管理的DMIS系統(tǒng),負責(zé)電力企業(yè)決策支持的MIS系統(tǒng)���,以及負責(zé)電力企業(yè)辦公自動化的OAS系統(tǒng)等���。根據(jù)電力行業(yè)的特點,要求在電力公司信息管理系統(tǒng)中必須要確保SCADA/EMS系統(tǒng)的安全性����,其他信息管理系統(tǒng)安全性要求也較高。
2.2信息管理系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計
目前���,為了提高電力公司信息管理系統(tǒng)的安全性�,電力公司采取如圖1所示的�,包括SPnet(電力信息網(wǎng))和SPDnet(調(diào)度信息網(wǎng))的專用網(wǎng)絡(luò)和Internet公共網(wǎng)絡(luò)相結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu)。通過內(nèi)網(wǎng)與外網(wǎng)的物理隔離�����,既滿足了MIS系統(tǒng)�、OAS系統(tǒng)的Internet用網(wǎng)需求,同時也保證SCADA/EMS不能夠直接訪問Internet��,從而最大程度上的保證系統(tǒng)安全�。
2.3信息管理系統(tǒng)安全體系結(jié)構(gòu)設(shè)計
信息管理系統(tǒng)的安全體系結(jié)構(gòu)設(shè)計。在電力公司信息管理系統(tǒng)安全體系結(jié)構(gòu)中采用了如下的安全策略來保證信息管理系統(tǒng)的安全���。
(1)分區(qū)安全保護策略
根據(jù)電力公司內(nèi)部各信息管理系統(tǒng)所管理業(yè)務(wù)的重要性�����,對信息管理系統(tǒng)的安全級別進行劃分����,重點保護網(wǎng)絡(luò)內(nèi)的安全區(qū)Ⅰ內(nèi)的SCADA/EMS實時監(jiān)控系統(tǒng)���,和安全區(qū)Ⅱ內(nèi)的交易系統(tǒng)����;
(2)橫向隔離
安全區(qū)Ⅰ與安全區(qū)Ⅱ內(nèi)部的時監(jiān)控系統(tǒng)�����,和交易系統(tǒng)采用防火墻進行邏輯隔離,而安全區(qū)Ⅰ���、Ⅱ與安全區(qū)Ⅲ�����、Ⅳ之間采用正向和反向?qū)S玫陌踩綦x裝置進行物理隔離�����;
(3)專網(wǎng)專用
SPDnet調(diào)度網(wǎng)提供兩個邏輯隔離的安全隔離裝置與安全區(qū)Ⅰ和Ⅱ進行通信����,SPnet電力信息網(wǎng)與SPDnet調(diào)度網(wǎng)實現(xiàn)物理隔離����;
(4)縱向認證與保護
安全區(qū)Ⅰ和Ⅱ的邊界都設(shè)置了具有加密和認證功能的安全網(wǎng)關(guān),而Ⅲ和Ⅳ的邊界部署了防火墻����;
(5)整個網(wǎng)絡(luò)只有安全級別最低的安全區(qū)Ⅳ通過防火墻直接訪問Internet
從如上的分析可以看出,根據(jù)不同信息管理系統(tǒng)的需要�����,可以靈活應(yīng)用物理隔離技術(shù)、邏輯隔離技術(shù)��,以及輔以系統(tǒng)安全技術(shù)和應(yīng)用安全技術(shù)�,來多方位的保證系統(tǒng)中信息管理系統(tǒng)的安全�����。
篇4
二�、信息安全管理培訓(xùn)思路
為滿足信息安全管理工作在人員培訓(xùn)方面的需要,需要依托各級培訓(xùn)學(xué)校�,按照國家和省市地方的制度法規(guī),借助現(xiàn)代教育思想����,借助現(xiàn)代教育技術(shù),明確符合實際需要的功能定位���,建設(shè)信息安全管理復(fù)合應(yīng)用型人才培訓(xùn)體系�,實現(xiàn)信息安全管理工作對培訓(xùn)教育��、終身教育的培訓(xùn)要求�����。
1.培訓(xùn)依據(jù)
(1)依據(jù)各種信息安全管理制度法規(guī)。信息安全人員在履行工作職責(zé)的時候�,必須按照各種信息安全管理法規(guī)、制度和要求實施�����,制訂人才培養(yǎng)方案和教學(xué)計劃必須依據(jù)國家���、省市和本部門的信息安全管理的相關(guān)規(guī)定���,這樣的教學(xué)內(nèi)容才能保證人才培養(yǎng)的針對性和實用性,保證管理干部履行信息安全管理職責(zé)的有效性����。涉及信息安全制度法規(guī)的相關(guān)文件很多,有的是專門為信息安全制訂的�����,有的制度和法規(guī)散落在各個業(yè)務(wù)管理制度中����。在建設(shè)信息安全管理知識體系時���,必須將業(yè)務(wù)部門的相關(guān)規(guī)定融入知識體系中,使得管理干部在處理具體業(yè)務(wù)中的信息安全管理工作具有針對性和有效性�。
(2)符合培訓(xùn)教育特點規(guī)律。信息安全管理技能是從事管理工作人員的基本技能���,屬于崗位專業(yè)培訓(xùn)或?qū)I(yè)技能培訓(xùn),屬于培訓(xùn)教育培訓(xùn)�����。受訓(xùn)人員專業(yè)背景不同�,理論基礎(chǔ)不同,學(xué)習(xí)能力不同���,必須避免材���、統(tǒng)一授課、統(tǒng)一訓(xùn)練�����、和統(tǒng)一考核的傳統(tǒng)教學(xué)模式�����,采取因人而異、因材施教的有針對性的教學(xué)方式�,強調(diào)個性化學(xué)習(xí),將不同層次受訓(xùn)者的信息安全管理能力達到信息安全管理工作所需要的水平上來����。
(3)遵循現(xiàn)代教育思想。在實施教育訓(xùn)練過程中�,現(xiàn)代教育思想要求采取“學(xué)為主體、教為主導(dǎo)”的教學(xué)理念����,學(xué)員能夠方便地獲得完整的知識體系和解決問題的技能和方法,自主學(xué)習(xí)�����,開放學(xué)習(xí)�,自主理解、掌握知識和技能����。為實現(xiàn)教學(xué)目的,需要分析信息安全管理技能特點,需要分析管理干部學(xué)習(xí)動力�����,結(jié)合教學(xué)目標�,設(shè)計學(xué)員學(xué)習(xí)和訓(xùn)練的教育訓(xùn)練環(huán)境,提供完整的知識體系����、豐富的教學(xué)資源、模擬的問題情況�、交互的學(xué)習(xí)平臺和方便的使用途徑,提供與培訓(xùn)教育特點規(guī)律和技能訓(xùn)練要求相適應(yīng)的培訓(xùn)條件�����。
2.信息安全管理培訓(xùn)目標
按照信息安全管理工作的實際情況��,培養(yǎng)信息安全管理工作中管理��、業(yè)務(wù)和技術(shù)三支人才隊伍�,突出業(yè)務(wù)和管理人才需要�,兼顧信息安全技術(shù)人員的人才培養(yǎng),以現(xiàn)代教育思想為指導(dǎo)���,以信息技術(shù)為核心支持技術(shù)����,建設(shè)滿足信息安全人才培養(yǎng)的現(xiàn)代培訓(xùn)條件。信息安全管理培訓(xùn)以管理干部為培訓(xùn)對象�,以信息安全管理工作為培訓(xùn)內(nèi)容,區(qū)分信息安全管理人員��、業(yè)務(wù)干部和信息技術(shù)專門人員等不同層次���,跟蹤信息安全管理形勢����,實行階段反復(fù)輪訓(xùn)����,以適應(yīng)信息安全管理不斷發(fā)展的需要,確保信息安全管理工作的正常開展�。
三、信息安全管理培訓(xùn)環(huán)境構(gòu)建
為適應(yīng)信息安全管理培訓(xùn)需要�����,適應(yīng)管理干部培訓(xùn)教育需要���,必須構(gòu)建遵循信息安全管理規(guī)定��、符合現(xiàn)代教育思想���、依托信息技術(shù)手段�、瞄準復(fù)合型適用人才培養(yǎng)的教育環(huán)境���。信息安全管理培訓(xùn)條件涉及面很廣���,包括組織機構(gòu)、舍堂館所���、師資隊伍����、后勤保障等等�,這里我們更關(guān)心符合培訓(xùn)思路的培訓(xùn)模式和教學(xué)支持���。從知識體系����、學(xué)習(xí)途徑、訓(xùn)練場所和訓(xùn)練系統(tǒng)多方面著手�,構(gòu)建信息安全管理訓(xùn)練體系,構(gòu)建管理人員信息安全人才培養(yǎng)條件���。依據(jù)教育信息化研究成果和培訓(xùn)教育教學(xué)特點�,需要建立完整的信息安全管理知識體系�����,建立開放式�����、自主式教育網(wǎng)絡(luò)平臺����,建立強時效性的教學(xué)資源體系,建立信息安全管理知識測試系統(tǒng)����,建立信息安全管理能力訓(xùn)練系統(tǒng),等等�。
1.構(gòu)建信息安全管理知識體系
培訓(xùn)教育的一個特點就是受訓(xùn)對象知識背景和技能掌握程度千差萬別,必須首先建立完整的知識體系���,以滿足不同基礎(chǔ)����、不同需求受訓(xùn)者對知識掌握和能力訓(xùn)練的要求。知識體系必須建立覆蓋學(xué)科知識和管理手段的所有內(nèi)容�,包括理論體系和教學(xué)資源兩部分,其中理論體系包括基礎(chǔ)知識����、安全理論、規(guī)范制度�����、管理方法����、歷史沿革、防范手段和操作方法���,教學(xué)資源包括現(xiàn)狀分析���、經(jīng)典案例���、技術(shù)講解����、訓(xùn)練題庫和數(shù)據(jù)模型,適應(yīng)和滿足每個受訓(xùn)對象的需求�。為滿足個性化服務(wù)需要,可以按照知識點建設(shè)模塊化框架結(jié)構(gòu)����,設(shè)計具備菜單選擇功能的專家系統(tǒng),允許受訓(xùn)者建立適合自己的個性化教學(xué)計劃和實施方案���,確保受訓(xùn)者完成培訓(xùn)任務(wù)后勝任安全管理的崗位需要����?���?梢越⒅悄芙虒W(xué)計劃生成系統(tǒng),系統(tǒng)對每位受訓(xùn)者進行知識和技能測試�����,按照教學(xué)目標�,根據(jù)測試結(jié)果��,將該學(xué)員沒有掌握或掌握不夠的知識內(nèi)容和技能形成列表���,從知識體系中搜尋相關(guān)知識和技能的概念、理論����、技術(shù)和操作技能,形成該受訓(xùn)者個性化的教學(xué)計劃����。隨著信息技術(shù)的發(fā)展和信息安全管理需求的變化,信息安全管理知識體系應(yīng)該是動態(tài)更新的��,剔除修改陳舊的����,充實替換實用的。
2.搭建開放���、共享和交流的網(wǎng)絡(luò)平臺
網(wǎng)絡(luò)平臺是信息資源共享的基礎(chǔ)����,是交流互動的基礎(chǔ)。按照學(xué)科專業(yè)建設(shè)與管理規(guī)范建設(shè)知識體系�,以數(shù)字化形式在互聯(lián)網(wǎng)����,實現(xiàn)信息安全管理教育資源共享。作為資源共享平臺的網(wǎng)絡(luò)平臺�,不僅為建設(shè)者資源共享提供平臺,而且可以為學(xué)習(xí)者提供資源上傳服務(wù)�����,成為學(xué)習(xí)者之間相互交流資源的共享平臺�,更為信息資源積累提供了很好的機制和存儲條件。網(wǎng)絡(luò)具有兩個特點�,一是允許網(wǎng)絡(luò)用戶365天24小時使用,可以提供受訓(xùn)者隨時學(xué)習(xí)和訓(xùn)練�,二是允許網(wǎng)絡(luò)用戶在任何有信息覆蓋的地方登錄,可以提供受訓(xùn)者隨地學(xué)習(xí)和訓(xùn)練����,這兩個特點打破了傳統(tǒng)教學(xué)時空的限制,為學(xué)員自主學(xué)習(xí)�、教師開放教學(xué)、師生互動交流提供了可能�����,也為實施現(xiàn)代教育思想提供了條件。
3.建立虛擬講堂
優(yōu)秀教師的講授可以將學(xué)習(xí)效果演繹得趣味精彩���,可以將學(xué)習(xí)內(nèi)容組織得明白易懂��,可以將現(xiàn)實運用解析得透徹自然����。為更多學(xué)員獲得完美的教學(xué)體驗�,為積累并共享優(yōu)秀教學(xué)資源,為學(xué)員快捷準確全面理解知識運用知識提供幫助����,記錄、整理并優(yōu)秀教師或?qū)<沂谡n錄像���,供更多受訓(xùn)者學(xué)習(xí)參考����。教學(xué)錄像在網(wǎng)上成為虛擬講堂�����,成為不同專業(yè)不同時期受訓(xùn)者良好的教學(xué)資源,目前全球風(fēng)行的慕課�,可以成為這種培訓(xùn)目的的教學(xué)模式,成本低�,效益好。因為技術(shù)層面的因素���,信息安全管理知識體系在理論基礎(chǔ)和原理解釋有大量不易理解的知識點和疑難問題,學(xué)習(xí)時需要佐證的理論和嚴謹?shù)倪壿?�,需要傳授者環(huán)環(huán)相扣的謹密推演��,因此針對重要知識點和疑難雜診的講授片段是受訓(xùn)者自主式學(xué)習(xí)時需要的重要教學(xué)參考資料����。各個大學(xué)基本都建設(shè)了網(wǎng)絡(luò)課堂,為虛擬講堂建設(shè)提供了很好的技術(shù)平臺����。依據(jù)此平臺,建設(shè)信息安全管理和教學(xué)資源和網(wǎng)絡(luò)課程�,可以構(gòu)筑完整的知識體系,為培訓(xùn)教育自主式學(xué)習(xí)提供了很好的學(xué)習(xí)資源����。
4.建設(shè)信息安全管理實驗室
培訓(xùn)教育能力訓(xùn)練是教學(xué)環(huán)節(jié)中的主要部分,驗證理論、觀摩操作方法和訓(xùn)練技能需要包括場所��、設(shè)備和軟件等實驗條件��,實驗室是完成實驗任務(wù)和檢驗方法效果必須具備的教學(xué)條件�����。理論����、方法和技能的實驗和訓(xùn)練是信息安全管理培訓(xùn)需要完成的教學(xué)環(huán)節(jié),這些需要信息安全專業(yè)實驗室的支持�����。信息技術(shù)具有可設(shè)計���、可復(fù)制����、可重用的特點����,使得基于信息技術(shù)的教育訓(xùn)練條件具備降低訓(xùn)練費用�、提高學(xué)員學(xué)習(xí)自主性��、提供學(xué)員反復(fù)學(xué)習(xí)等長處�����,結(jié)合音頻處理技術(shù)��、視頻處理技術(shù)�、三維動畫技術(shù)��,可以為學(xué)員學(xué)習(xí)提供強烈逼真的感官刺激���、美輪美奐的藝術(shù)表現(xiàn)和自主操控的虛幻體驗�。從訓(xùn)練目的而言�����,實驗室可以分為虛擬實驗室和能力訓(xùn)練場兩部分�����。
篇5
1規(guī)劃安全過濾規(guī)則
依據(jù)具體的計算機網(wǎng)絡(luò)安全防護策略和確切的目標���,科學(xué)規(guī)劃安全過濾規(guī)則���,嚴格審核IP數(shù)據(jù)包����,主要包含以下內(nèi)容:端口����、來源地址、目的地址和線路等���,最大限度地禁止非法用戶的入侵。
2設(shè)置IP地址
在計算機網(wǎng)絡(luò)中��,針對全體用戶���,規(guī)范設(shè)置相應(yīng)的IP地址,進而使防火墻系統(tǒng)能夠準確辨別數(shù)據(jù)包來源�����,切實保障計算機網(wǎng)絡(luò)的全體用戶均能利用和享受安全的網(wǎng)絡(luò)服務(wù)����。
3安裝防火墻
通過防火墻,在網(wǎng)絡(luò)傳輸信息的過程中執(zhí)行訪問控制命令����,只允許通過防火墻檢測合格的用戶和數(shù)據(jù)才能進入內(nèi)網(wǎng)��,禁止一切不合格用戶或者不安全數(shù)據(jù)的訪問��,有效地抑制了網(wǎng)絡(luò)黑客的蓄意攻擊��,避免他們擅自修改���、刪除或者移動信息?�,F(xiàn)階段�,防火墻發(fā)展成熟且效果顯著��,在計算機網(wǎng)絡(luò)信息安全的防護中發(fā)揮著重要的作用�,它能夠最大限度地避免病毒傳播到內(nèi)網(wǎng)�。
4有效利用入侵檢測技術(shù)
入侵檢測技術(shù)能夠有效防范源自內(nèi)外網(wǎng)的攻擊�,分析計算機網(wǎng)絡(luò)信息安全防防護策略的性質(zhì)可知���,防火墻的本質(zhì)為一種被動防護,為進一步增強其主動性���,應(yīng)有效利用入侵檢測技術(shù),積極防范惡意攻擊��。
5定期升級殺毒軟件
為避免計算機內(nèi)部信息被惡意盜竊����,應(yīng)主動使用殺毒軟件����,定期對其進行升級操作�����,進而不斷增強殺毒軟件的安全防護能力���,高效防護計算機內(nèi)部信息����,切實保障內(nèi)部信息安全����。分析計算機網(wǎng)絡(luò)信息安全防護現(xiàn)狀可知,殺毒軟件屬于一種經(jīng)濟適用的安全防護策略�����,具有較強的安全防護效果�,并在現(xiàn)實生活中得到了有效的證實�����。
6治理網(wǎng)絡(luò)中心環(huán)境
為達到增強計算機網(wǎng)路信息安全性的目的�����,應(yīng)全面治理計算機網(wǎng)絡(luò)中心環(huán)境,以硬件設(shè)施為切入點���,及時解決網(wǎng)絡(luò)硬件的各種問題���,避免因硬件設(shè)施故障而引發(fā)自然災(zāi)害現(xiàn)象的發(fā)生,提升網(wǎng)絡(luò)硬件的工作效率�,增強網(wǎng)絡(luò)硬件設(shè)施的安全性和可靠性����,進而達到計算機網(wǎng)絡(luò)信息管理標準���。
篇6
二����、檔案管理信息化中安全風(fēng)險評估的作用
人們在進行檔案信息管理的過程中受到認識能力以及實踐能力的限制����,不能夠保證信息管理的完全安全性���,所以檔案信息管理系統(tǒng)在一定程度上存在著脆弱性�����,這種情況導(dǎo)致在使用檔案信息的過程中面臨著一些人為或者是自然條件的破壞����,所以檔案信息管理存在安全風(fēng)險具有必然性�。因此�,對檔案信息管理進行安全風(fēng)險評估具有重要的意義,信息安全建設(shè)的前提是�����,基于對綜合成本以及效益的考慮���,采取有效的安全方法對風(fēng)險進行控制,保證殘余風(fēng)險降低在最小的程度���。因為,人們追求實際的信息系統(tǒng)的安全�,是指對信息系統(tǒng)實施了風(fēng)險控制之后,接受殘余風(fēng)險的存在����,但是殘余風(fēng)險應(yīng)該控制在最小的程度����。所以,要保證檔案信息系統(tǒng)的安全可靠性����,就應(yīng)該實施全面�、系統(tǒng)的安全風(fēng)險評估����,將安全風(fēng)險評估的思想以及觀念貫穿到整個信息管理的過程中。通常情況下����,信息安全風(fēng)險主要指的是在整個信息管理的過程中�,信息的安全屬性所面臨的危害發(fā)生的可能性。產(chǎn)生這種可能性的原因是系統(tǒng)脆弱性�����、人為因素或者是其他的因素造成的威脅��。用來衡量安全事件發(fā)生的概率以及造成的影響的指標主要有兩種����。然而��,危害的程度并不只取決于安全事件發(fā)展的概率���,還與其造成的后果的嚴重性的大小有著直接的關(guān)系���。安全風(fēng)險評估具有很多的特點�。首先,它具有決策支持性�����,這個特點在整個安全風(fēng)險評估周期中都存在��,只是內(nèi)容不相同�,因為安全評估的真正目的是供給安全管理支持以及服務(wù)的。在系統(tǒng)生命周期中都存在著安全隱患���,所以整個生命周期中都離不開安全風(fēng)險評估�。其次,比較分析性��,這個特點主要體現(xiàn)在對安全管理和運營的不同的方案能夠進行有效的比較以及分析�����;能夠?qū)Σ煌尘扒闆r下使用的科學(xué)技術(shù)以及資金投入進行比較分析�;還能夠?qū)Ξa(chǎn)生的結(jié)果進行有效的比較分析���。最后��,前提假設(shè)性���,對檔案信息進行管理的過程中所使用的風(fēng)險評估會涉及到各種評估數(shù)據(jù),這些數(shù)據(jù)能夠被分為兩種���。其中一種數(shù)據(jù)的功能是對檔案信息實際情況的描述�,通過這些數(shù)據(jù)就可以了解整個檔案管理信息中的情況�;另一種數(shù)據(jù)是指預(yù)測數(shù)據(jù)����,主要是根據(jù)系統(tǒng)各種假設(shè)前提條件確定的,因為在信息管理的整個過程中���,都要對一些未知的情況進行事先的預(yù)測,然后做出必要的假設(shè)��,得出相關(guān)的預(yù)測數(shù)據(jù)���,再根據(jù)這些預(yù)測數(shù)據(jù)對系統(tǒng)進行風(fēng)險評估。
三�����、檔案管理不同階段
進行不同的風(fēng)險評估信息系統(tǒng)的開發(fā)涉及到很多的模型�����,而且隨著科學(xué)技術(shù)的快速發(fā)展�����,各種模型都在不斷的升級。從最早期的線性模型到螺旋式模型再到后來的并發(fā)式的模型���,這些系統(tǒng)模型的開發(fā)都是為了滿足不同的系統(tǒng)需求��。然而�,風(fēng)險評估卻存在于整個信息系統(tǒng)的生命周期中���,但是由于信息系統(tǒng)的生命周期中有很多的階段��,而且每一個階段活動的內(nèi)容都有所差別��,因此信息管理的安全目標以及對安全風(fēng)險評估的要求也是不同的���。
(一)對于分析階段的風(fēng)險評估。其真正的目的是為了實現(xiàn)規(guī)劃中的檔案信息系統(tǒng)安全風(fēng)險的獲得����,這樣才能夠根據(jù)獲得的信息來滿足安全建設(shè)的具體需求���。分析階段的風(fēng)險評估的重點是抓住系統(tǒng)初期的安全風(fēng)險評估,從而有效的滿足對安全性的需求����,然后從宏觀的角度來分析和評估檔案信息管理系統(tǒng)中可能存在的危險因素���。
(二)設(shè)計階段的安全風(fēng)險評估�����。這個階段涉及到的安全目標比較多�,所以能夠有效的確定安全目標具有重要的意義。應(yīng)該采取有效的措施��,通過安全風(fēng)險評估��,保證檔案信息管理系統(tǒng)中安全目標的明確�����。
(三)集成實現(xiàn)階段����。這個階段的主要目的是要驗證系統(tǒng)安全要求的實現(xiàn)效果與符合性是否一致�����,所以�����,應(yīng)該通過有效的風(fēng)險評估對其進行驗證����。需要注意的是����,在進行資產(chǎn)評估的時候�,如果在分析階段以及設(shè)計階段已經(jīng)對資產(chǎn)進行了評估����,那么在這個階段就不需要再重新做資產(chǎn)評估的工作�,防止重復(fù)性工作的發(fā)生。所以�,可以直接用前兩個階段得出的資產(chǎn)評估的結(jié)果��,但是如果在分析階段和設(shè)計階段都沒有進行資產(chǎn)評估�����,則需要在此階段先進行這項工作�����。威脅評估依然著重威脅環(huán)境���,而且要對真實環(huán)境中的具體威脅進行有效的分析。除此之外����,還應(yīng)該對檔案信息管理系統(tǒng)進行實際環(huán)境的脆弱性的有效分析����,重點放在信息的運行環(huán)境以及管理環(huán)境中的脆弱性的分析。
(四)運行維護階段���。對檔案管理系統(tǒng)不斷的進行有效的風(fēng)險評估,從而確保系統(tǒng)的安全����、可靠性�����,這樣才能夠保證檔案管理系統(tǒng)在整個生命周期中都處于安全的環(huán)境。
四��、檔案信息安全風(fēng)險評估存在的不足
我國在檔案信息安全風(fēng)險評估方面已經(jīng)取得了很大的成就����,積累了一些寶貴的經(jīng)驗�����。但是,由于我國檔案信息安全風(fēng)險評估工作起步晚�,還存在一些不足之處,主要表現(xiàn)在以下幾點���。
(一)管理層對于信息安全風(fēng)險評估缺乏一定的重視,而且缺少一些專業(yè)評估技術(shù)人員�。當(dāng)前評估技術(shù)人員的專業(yè)技能不高也是現(xiàn)階段存在的問題。所以���,應(yīng)該對評估人員進行定期的培訓(xùn)��,提高他們的專業(yè)技能,保證風(fēng)險評估工作有效的進行�����,同時還應(yīng)該采取有效的措施來提高工作人員對于風(fēng)險評估的重視�����,是檔案管理信息化環(huán)境處于安全的運行環(huán)境中����。
(二)風(fēng)險評估的工作流程還不夠完善����,而且一些風(fēng)險技術(shù)標準也需要進一步的更新��。檔案信息化管理的風(fēng)險評估�,不僅僅是一個管理的過程,也是一個技術(shù)性的過程�,所以應(yīng)該根據(jù)實際情況來科學(xué)合理地制定工作流程和技術(shù)標準。如果所有的環(huán)境和情況都套用一種工作流程和一個技術(shù)標準��,就會導(dǎo)致不匹配現(xiàn)象的出現(xiàn)���,不僅影響風(fēng)險評估的效果�,而且在一定程度上還影響信息系統(tǒng)的安全性。
(三)評估工具的發(fā)展比較滯后��,隨著科學(xué)技術(shù)的快速發(fā)展����,信息安全漏洞會逐漸顯露出來���,所以對信息系統(tǒng)的威脅逐漸增加。應(yīng)該采用先進的評估工具對其進行風(fēng)險評估�,從而滿足檔案管理信息化的需求�����。
篇7
2檔案管理工作者信息安全素質(zhì)現(xiàn)狀
2.1信息化管理意識欠缺
檔案管理者對于檔案信息化的認識比較淺,不能夠?qū)㈦娮游募鳛槲覈囊豁棏?zhàn)略信息資源,不能夠?qū)n案信息網(wǎng)絡(luò)安全有較深的意識,在自己的日常工作中就不能夠去有意識的進行預(yù)防,積極的應(yīng)對,這是導(dǎo)致信息化管理意識比較緩慢的主要原因����。
2.2信息化管理專業(yè)基礎(chǔ)知識相對薄弱
信息技術(shù)的日新月異,已經(jīng)掌握的技能方法如果不及時更新就會很快過時�����。檔案工作者不是信息技術(shù)專業(yè)人員,信息安全意識的缺乏使他們雖然意識到自身信息安全技能的不足,但由于缺乏強制性的提升專業(yè)水平的制度要求和定期的培訓(xùn)機制,使他們的信息安全能力與實際工作要求的差距越來越大�。對于老的檔案管理者雖然掌握了檔案管理知識,但是缺乏信息技術(shù)能力,不少掌握信息技術(shù)的年輕檔案工作者有的雖然掌握信息技術(shù),但是又缺乏檔案管理知識,而有的年輕的檔案管理者由于在待遇、職稱��、前景等問題上的偏差認識而主動改行從事其他工作,使得整體信息技術(shù)水平偏低的檔案部門更加缺乏掌握信息技術(shù)的人才�����。
3提高檔案工作者信息安全素質(zhì)的對策
3.1提升檔案管理者的工作敏銳性,增加責(zé)任感
信息化時代大環(huán)境下,有很多的新領(lǐng)域和載體出現(xiàn),在檔案界引起了一些改變,同時也是提升了對檔案管理人員的素質(zhì)要求,我們要對檔案管理工作的基礎(chǔ)性有一個比較深刻的認識,將工作的重點置于服務(wù)和管理上,通過轉(zhuǎn)變工作的著力點來提升管理能力和服務(wù)效率,改善觀念,將檔案管理的綜合功能較好的發(fā)揮出來,對現(xiàn)有的領(lǐng)域進行拓展,變更服務(wù)模式,迎合現(xiàn)代檔案需求,不斷的開創(chuàng)進取,讓檔案管理可以為經(jīng)濟發(fā)展和社會發(fā)展提供幫助。
3.2提升檔案管理人員的專業(yè)素質(zhì)和水平
為檔案工作者進行信息安全素質(zhì)培養(yǎng)�����。對新入的檔案工作者以及現(xiàn)有的檔案管理者進行培訓(xùn),針對他們的不同薄弱環(huán)節(jié)進行加強,增加檔案管理知識,提升檔案管理水平���。根據(jù)不同崗位來進行任務(wù)的分配,根據(jù)檔案人員自身的差異性來編排培訓(xùn)時間和內(nèi)容,對培訓(xùn)結(jié)果進行考核��。檔案工作者在具備了一定的信息安全技術(shù)之后,需要對自己所需要承擔(dān)的社會責(zé)任以及義務(wù)有明確的認識,能夠知法、懂法�����、遵法,自覺的對違法行為進行監(jiān)督管理,對知識產(chǎn)權(quán)和隱私給予保障,使用信息安全技術(shù)來提升檔案管理效率和安全性����。
3.3對檔案信息管理制度進行強化
現(xiàn)在我國已經(jīng)存在一些信息安全標準以及相關(guān)規(guī)定,可是這些規(guī)定尚處于初期,并不完善,存在很多的問題,還有很多的內(nèi)容需要在探索中完善,這些標準和規(guī)定中涉及到檔案信息管理者的信息安全素質(zhì)的要求和內(nèi)容,這也就導(dǎo)致了實際的問題還無法獲得解決,因此無法將我國檔案管理者信息安全素質(zhì)差的現(xiàn)狀給扭轉(zhuǎn)過來���。因此需要將檔案信息管理制度進行強化,對現(xiàn)有的內(nèi)容和標準進行完善,對檔案管理工作者進行標準制定,結(jié)合當(dāng)前的檔案管理工作,選用優(yōu)秀的檔案管理人員,引入優(yōu)秀的檔案管理人才,提升檔案隊伍的整體水平。還有就是對檔案管理工作者的專業(yè)技術(shù)職務(wù)進行考核,將信息素質(zhì)作為考核的項目之一,督促檔案工作者能夠自主的進行檔案信息管理內(nèi)容的學(xué)習(xí),根據(jù)崗位差異來具體的調(diào)整制度,方便其執(zhí)行����。
篇8
1.計算機網(wǎng)絡(luò)病毒的危害���。
在危及信息系統(tǒng)安全的諸多因素中��,計算機病毒一直排在首要的防范對象之列,日益增加的無孔不入的計算機網(wǎng)絡(luò)病毒�,就對網(wǎng)絡(luò)計算機安全運行構(gòu)成了最為常見、最為廣泛的每日每時���、無處不在的頭號威脅。計算機病毒發(fā)作輕則在硬盤刪除文件����、破壞盤上數(shù)據(jù)、造成系統(tǒng)癱瘓��、造成無法估量的直接和間接損失�����。嚴重的情況下會影響教學(xué)管理,校內(nèi)信息等難以彌補的延續(xù)后果�。
2.人為的無意失誤。
如操作員安全配置不當(dāng)�,造成的安全漏洞�����。用戶安全意識不強��,用戶口令選擇不慎����,用戶隨意將自己的帳號轉(zhuǎn)借他人或與別人共享等都會對信息系統(tǒng)安全帶來威脅。
3.人為的惡意攻擊�。
這是計算機網(wǎng)絡(luò)所面臨的最大威脅�����。黑客的攻擊和計算機犯罪就屬于這一類�。這類攻擊有兩種情況:一種是主動攻擊�。它以各種方式有選擇地破壞重要數(shù)據(jù)信息的完整;另一種是被動攻擊���。它是在不影響網(wǎng)絡(luò)正常工作的情況下,進行截獲���、竊取���、破譯以獲得重要機密信息。這兩種情況的攻擊都會對計算機信息系統(tǒng)造成極大的危害����,并導(dǎo)致機密數(shù)據(jù)的泄露。
4.操作系統(tǒng)及網(wǎng)絡(luò)軟件的漏洞和"后門"。
當(dāng)前計算機的操作系統(tǒng)和網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞�����,然而這些漏洞的缺陷恰恰是黑客進行攻擊的首選目標�,另外�,軟件的"后門"都是軟件公司設(shè)計編程人員為了自己方便而設(shè)置的,一般不為外人所知�����,但一旦"后門"洞開���,其后果將不堪設(shè)想。
二����、安全措施
針對學(xué)校里使用的各類信息管理系統(tǒng),要構(gòu)建完善的校園系統(tǒng)安全體系�����,網(wǎng)絡(luò)安全建設(shè)主要包括以下幾方面內(nèi)容:應(yīng)用防病毒技術(shù)���,建立全面的網(wǎng)絡(luò)防病毒體系;應(yīng)用防火墻技術(shù)����,控制訪問權(quán)限、實現(xiàn)網(wǎng)絡(luò)安全集中管理����,必要時采用內(nèi)網(wǎng)與外部網(wǎng)絡(luò)的物理隔離��,根本上杜絕來自internet的黑客入侵���;應(yīng)用入侵檢測技術(shù)保護主機資源,防止內(nèi)部輸入端口入侵�;應(yīng)用安全漏洞掃描技術(shù)主動探測網(wǎng)絡(luò)安全漏洞,進行定期網(wǎng)絡(luò)安全評估與安全加固��;應(yīng)用網(wǎng)絡(luò)安全緊急響應(yīng)體系,做好日常數(shù)據(jù)備份����、防范緊急突發(fā)事件�����。
1.建立網(wǎng)絡(luò)防病毒體系。
在校園網(wǎng)絡(luò)中要做好對計算機病毒的防范工作�,首先要在校園系統(tǒng)內(nèi)部制定嚴格的安全管理機制,提高網(wǎng)絡(luò)管理人員和系統(tǒng)管理員的防范意識�����,使用正版的計算機防毒軟件���,并經(jīng)常對計算機殺毒軟件進行升級。
2.建立防火墻體系���。
防火墻是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障,也可稱之為控制進/出兩個方向通信的門檻���。在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)����,以阻擋來自外部網(wǎng)絡(luò)的侵入�����,使內(nèi)部網(wǎng)絡(luò)的安全有了很大的提高����。
3.建立入侵檢測系統(tǒng)�����。
入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)���,目的是提供實時的入侵檢測及采取相應(yīng)的防護手段,記錄證據(jù)用于跟蹤和恢復(fù)�����、斷開網(wǎng)絡(luò)連接等�。實時入侵檢測能力之所以重要是因為它能夠?qū)Ω秮碜詢?nèi)外網(wǎng)絡(luò)的攻擊。其次是因為它能夠縮短黑客入侵的時間�����。在需要保護的主機網(wǎng)段上安裝入侵檢測系統(tǒng)���,可以實時監(jiān)視各種對主機的訪問請求,并及時將信息反饋給控制臺����,這樣全網(wǎng)任何一臺主機受到攻擊時系統(tǒng)都可以及時發(fā)現(xiàn)。網(wǎng)絡(luò)系統(tǒng)安裝網(wǎng)絡(luò)入侵檢測系統(tǒng)后���,可以有效的解決來自網(wǎng)絡(luò)安全多個層面上的非法攻擊問題。它的使用既可以避免來自外部網(wǎng)絡(luò)的惡意攻擊�����,同時也可以加強內(nèi)部網(wǎng)絡(luò)的安全管理����,保證主機資源不受來自內(nèi)部網(wǎng)絡(luò)的安全威脅�,防范住了防火墻后面的安全漏洞。
4.建立安全掃描系統(tǒng)�����。
安全掃描技術(shù)是又一類重要的網(wǎng)絡(luò)安全技術(shù)��。安全掃描技術(shù)與防火墻���、入侵檢測系統(tǒng)互相配合,能夠有效提高網(wǎng)絡(luò)的安全性���。通過對網(wǎng)絡(luò)的掃描,網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運行的應(yīng)用服務(wù)�,及時發(fā)現(xiàn)安全漏洞�,客觀評估網(wǎng)絡(luò)風(fēng)險等級。網(wǎng)絡(luò)管理員可以根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯誤配置�����,在黑客攻擊前進行防范�。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動的防御手段�,那么安全掃描就是一種主動的防范措施�����,可以有效避免黑客攻擊行為,做到防患于未然���。
5.建立計算機災(zāi)難恢復(fù)系統(tǒng)�。
災(zāi)難恢復(fù)系統(tǒng)是為了保障計算機系統(tǒng)和業(yè)務(wù)在發(fā)生災(zāi)難的情況下能夠迅速地得以恢復(fù)而建立的一套完整的系統(tǒng)。它包括備份中心����、計算機備份運行系統(tǒng)����、可根據(jù)需要重置路由的數(shù)據(jù)通訊線路���、電源以及數(shù)據(jù)備份等。此外災(zāi)難恢復(fù)系統(tǒng)還應(yīng)當(dāng)包括對該系統(tǒng)的測試和對人員的培訓(xùn)��,這將有助于參與災(zāi)難恢復(fù)系統(tǒng)的系統(tǒng)管理員能夠更好地對災(zāi)難的發(fā)生做出合理的響應(yīng)���。
篇9
高校計算機信息系統(tǒng)受到如地震水災(zāi)等自然災(zāi)害和突發(fā)自然事件造成的破壞�,也存在因設(shè)備老化或毀損以及計算機操作系統(tǒng)的崩潰造成的信息資料損失�����,和服務(wù)器設(shè)備丟失或被破壞等物理層面的安全問題����。
(二)網(wǎng)絡(luò)層面的安全問題�。
校內(nèi)網(wǎng)絡(luò)是連接整體外界互聯(lián)網(wǎng)絡(luò)的,容易受到來自外界互聯(lián)網(wǎng)的惡意攻擊�,同時整個數(shù)據(jù)在校內(nèi)局域網(wǎng)絡(luò)進行傳播時在沒有對數(shù)據(jù)進行加密情況下被監(jiān)控和改變也會發(fā)生����。并且在計算機病毒從外界互聯(lián)網(wǎng)和內(nèi)部校內(nèi)局域網(wǎng)都可以進入到整個系統(tǒng)中����,破壞存儲的數(shù)據(jù)和操作系統(tǒng)。最后��,在路由器和相應(yīng)的體系輔助設(shè)備中也存有安全漏洞問題���。
(三)應(yīng)用層面的安全問題���。
體系的數(shù)據(jù)中心擁有著計算機信息校園整個關(guān)于教學(xué)和科研以及各高校主要構(gòu)成的數(shù)據(jù)信息運行工作���,是高校計算機信息系統(tǒng)管理的核心�����。在用校內(nèi)局域網(wǎng)絡(luò)進行連接促使信息高效應(yīng)用中也產(chǎn)生了任何網(wǎng)絡(luò)終端都可以進入整個數(shù)據(jù)中心����,在安全層面造成了風(fēng)險�����。
(四)數(shù)據(jù)層面的安全風(fēng)險����。
高校計算機信息系統(tǒng)是對數(shù)據(jù)進行輸入和整理以及提供服務(wù)的過程�,大量的數(shù)據(jù)交換和數(shù)據(jù)儲存和相應(yīng)的數(shù)據(jù)修改調(diào)整都面對各層面的安全風(fēng)險威脅����。
二��、高校計算機信息安全管理體系的對策
(一)物理層面的安全對策��。
對物理層面的安全防護需要在成本和管理機制優(yōu)化上進行考慮���,對每個零散的設(shè)備單元統(tǒng)一進行管理防護。對相應(yīng)的重要數(shù)據(jù)庫和重要的配置服務(wù)器設(shè)備要進行統(tǒng)一的機房維護�����,在機房的環(huán)境和溫度以及濕度上都要進行考慮和定期測量���。同時,在機房內(nèi)的電路電源以及出現(xiàn)停電時的后備電源要進行保障�,對出現(xiàn)機房建筑不穩(wěn)定和受到外界干擾影響程度大時�����,要及時進行修復(fù)��。同時每個核心設(shè)備間要有足夠的距離保證不受到電磁輻射的干擾����。
(二)網(wǎng)絡(luò)層面的安全對策�。
目前高校的外聯(lián)手段會涉及到網(wǎng)卡和藍牙以及USB等相應(yīng)設(shè)備,這些終端的維護和保障是可以防止常規(guī)的惡意侵害方式的����。要在固定網(wǎng)絡(luò)中設(shè)有相應(yīng)的端口輸入限制和對協(xié)議不完整的連接及時終端���,相關(guān)交換機實現(xiàn)對用戶搜索的數(shù)據(jù)整理的規(guī)范化。
(三)應(yīng)用層面的安全對策�����。
高校計算機信息系統(tǒng)是面向校園內(nèi)信息數(shù)據(jù)流動而服務(wù)的���,在各個相關(guān)服務(wù)器和數(shù)據(jù)庫中需要加強安全域的建設(shè),并對每個需要防護的病毒和數(shù)據(jù)保障方案和備份方案都要進行統(tǒng)一建立�。在主要信息存在的數(shù)據(jù)中心內(nèi)要對所涉及的各計算機信息系統(tǒng)硬件和相應(yīng)配置設(shè)備��,以及數(shù)據(jù)資源進行定期維護和安全級別的相應(yīng)建立,監(jiān)控和預(yù)防可能出現(xiàn)的各種情況�。對數(shù)據(jù)中心的安全域級別設(shè)定為頂級并加強各分支系統(tǒng)的保障手段���。
(四)數(shù)據(jù)層面的安全對策。
對本地需要加密的數(shù)據(jù)做好相應(yīng)的儲存和終端防護�����,對設(shè)立相應(yīng)安全文件夾����,由專人進行管理�。對每個需要寫入的儲存信息���,進行寫入指令的控制��,要求具有一定安全性的信息可以寫入數(shù)據(jù)儲存設(shè)備。每個客戶端口要建立USB安全管理策略����,需要系統(tǒng)內(nèi)部認證并通過才可以進行只讀等權(quán)限設(shè)定。
篇10
1.1標簽自身的訪問缺陷
由于標簽的成本有限����,標簽自身很難具備保證安全的能力,這就使整個系統(tǒng)面臨了很大的安全問題�����。非法用戶能夠利用合法的閱讀器或是自己構(gòu)建一個閱讀器與標簽直接進行通信��。進而輕松獲取標簽里面的數(shù)據(jù)。對于讀寫標簽�,還能夠被非法用戶篡改標簽內(nèi)數(shù)據(jù)。
1.2通信鏈路上的安全問題
RFID的信息通信鏈路是無線通信鏈路����。與傳統(tǒng)的有線連接的端到端傳輸不同�,無線傳輸相當(dāng)于廣播,信號本身就是開放式的�。信號覆蓋區(qū)域內(nèi)的非法用戶可以很方便的進行各種操作如下:(1)非法截取竊聽通信信息數(shù)據(jù)�;(2)業(yè)務(wù)拒絕式攻擊,通過發(fā)射大量干擾信號來堵塞區(qū)域內(nèi)通信鏈路���,使閱讀器不斷接收處理垃圾數(shù)據(jù)�����,而無法接收處理標簽發(fā)送過來的正常數(shù)據(jù)���;(3)利用冒名代替正常的標簽向閱讀器發(fā)送虛假數(shù)據(jù)���,使得閱讀器處理的都是非法用戶的數(shù)據(jù)����,真實數(shù)據(jù)則被隱藏起來。
1.3閱讀器內(nèi)在的安全風(fēng)險在閱讀器中��,只有提供一些簡單的數(shù)據(jù)篩選�����,時間過濾和管理功能�,對外只提供用戶對應(yīng)的業(yè)務(wù)接口,沒有用于提升安全性能的相應(yīng)接口�。
1.4后端系統(tǒng)的脆弱性
除了前端標簽,閱讀器以及標簽閱讀器之間存在的風(fēng)險�,后端系統(tǒng)同時存在安全問題,例如后端數(shù)據(jù)的儲存安全���,后端系統(tǒng)訪問安全�,后端系統(tǒng)與其他系統(tǒng)的交互安全等�����。根據(jù)上述的RFID缺陷問題�����,容易引發(fā)的攻擊方式可分為:主動攻擊和被動攻擊。主動攻擊:對獲取到的標簽�����,在實驗室環(huán)境下通過物理手段去除標簽芯片的外部封裝����,使用微探針進行敏感信號獲取��,從而進行重構(gòu)標簽的復(fù)雜性攻擊;通過軟件手段�,利用微處理器上的通用通信接口����,不斷掃描�,探詢標簽與讀寫器間的安全認證協(xié)議與加密算法以及對應(yīng)存在的弱點,進行篡改標簽內(nèi)容的攻擊����;通過發(fā)送大量干擾廣播以阻塞信道或使用其他手段����,使區(qū)域內(nèi)工作環(huán)境異常,閱讀器無法正常工作��,進行業(yè)務(wù)拒絕式攻擊等�。被動攻擊:采用竊聽技術(shù)���,通過分析正常工作下微處理器產(chǎn)生的各種電磁信號,獲得標簽和識讀器之間或與其他RFID設(shè)備之間的通信信息(由于接收到閱讀器傳來的密碼不正確時標簽的能耗會上升��,功率消耗模式可被加以分析以確定何時標簽接收了正確和不正確的密碼位)�����。
2RFID安全認證與讀寫安全設(shè)計實現(xiàn)
RFID的安全認證主要提供對信息來源方的鑒別���、保證信息的完整和不可否認等功能,而這三種功能都需要通過數(shù)字簽名實現(xiàn)���。數(shù)字簽名的基本過程為:發(fā)送方將明文用相關(guān)算法獲得數(shù)字摘要,用簽名私鑰對摘要進行加密得到數(shù)字簽名�����,發(fā)送方將明文與數(shù)字簽名一起使用對稱加密發(fā)送給接收方��;接收方先使用秘鑰解密��,然后使用發(fā)送方公鑰解密數(shù)字簽名,則驗證發(fā)送方真實身份并得出數(shù)字摘要�����;接收方將明文采用同樣算法計算出新的數(shù)字摘要�,對比兩個數(shù)字摘要,相同則證明內(nèi)容未被篡改��。該密鑰系統(tǒng)既能發(fā)揮對稱加密算法加密效率高���、速度快,安全性好的優(yōu)點��;又能發(fā)揮非對稱加密算法密鑰管理方便�、安全性高���、可實現(xiàn)數(shù)字簽名的優(yōu)點�����;各取所長����,使得RFID系統(tǒng)更安全�����、快速����,運行代價更低��。
篇11
電力信息化是以網(wǎng)絡(luò)通訊�、數(shù)據(jù)庫����、電子信息等技術(shù)為基礎(chǔ)的���,隨著工作量的增加����,產(chǎn)生的數(shù)據(jù)資料越來越多��。若采用傳統(tǒng)的人工管理模式,效率低下,容易丟失��,且不易長期保存�。在計算機網(wǎng)絡(luò)技術(shù)的帶動下�����,電力行業(yè)相繼實現(xiàn)了信息化管理����,工作效率得以大幅提升�。但其安全首先要有保證�,信息安全即信息要真實、完整��、有效�����、可控���,電力行業(yè)與人們生活及國民經(jīng)濟密切相關(guān)���,一旦信息被篡改或被盜竊,將帶來嚴重的損失���。網(wǎng)絡(luò)在提供諸多方便的同時,也容易被攻擊�����,所以電力信息安全必須得到重視����。
1.2現(xiàn)狀
與國外發(fā)達國家相比�����,國內(nèi)的電力信息化化技術(shù)起步較晚�,稍顯落后��。近些年來��,電力行業(yè)有了很大進步,信息技術(shù)也在不斷改進����,這意味著我國在此方面有著廣闊的應(yīng)用前景�����。電力信息化涉及諸多因素�����,是一項長期復(fù)雜的工程�,我國目前還存在著些許不足��。
(1)信息安全意識薄弱���,電力部門領(lǐng)導(dǎo)階層雖能認識到信息化給電力行業(yè)帶來的積極作用���,但對信息安全有所忽視�。認為采用先進的設(shè)備和軟件就能保證信息絕對地安全,以至于防護措施較為簡單�����,不能真正保護信息的完整性和真實性���。黑客攻擊、病毒植入等手段越來越高明�,很多關(guān)鍵性信息存儲于計算機中�����,很容易被侵入���。
(2)硬件和軟件是信息化管理的重要部分,但總體來說����,國內(nèi)軟硬件水平偏低��。如缺少自己研發(fā)的技術(shù)和品牌���,多從國外引進����,并未掌握其中的核心技術(shù)���,致使不少的防病毒系統(tǒng)不能進行全面防御,也就無法充分發(fā)揮其作用�。甚至有些部門只重硬件,而忽略了軟件�����,在硬件設(shè)備的性能����、配置�、功能上不斷創(chuàng)新���,軟件技術(shù)卻長期沒有更新���,難以滿足越來越高的要求。
(3)由于技術(shù)落后��,國內(nèi)還未真正建立起一個有權(quán)威的信息化標準體系�,全國各地的標準都不統(tǒng)一�����,在很大程度上破壞了信息的安全性。而電力部門也沒有制定規(guī)范標準�,致使信息安全管理出現(xiàn)混亂,各環(huán)節(jié)不能緊密相連���,極易引起信息堵塞,無法實現(xiàn)資源共享�����,給不法分子以可乘之機���。
2實例分析電力運行管理信息安全運行的因素
某電力公司建于1986年�,在2002年采用信息化技術(shù)之前���,主要是靠人工來管理�,但效率十分低下���。不能及時獲取市場信息��,消息閉塞,以至于公司多次做出的決策都比較滯后���。與外部其他企業(yè)缺少交流����,難以從中借鑒先進的經(jīng)驗和技術(shù)�。隨著用電需求的增長,客戶越來越多�����,工作量日益繁重����,有大量的信息資料需要記錄處理����。公司多采用紙質(zhì)檔案的方式存儲,在起步階段����,出現(xiàn)了幾次資料丟失的事件,給公司造成一定的損失���,而且紙張不易長期保存。公司內(nèi)部有著明確分工����,各部門只顧自己工作,溝通較少�,使得信息不能流暢地在內(nèi)部傳遞。2002年公司采用了信息化技術(shù)��,工作效率明顯提高�����,但也存在有不足之處��。如網(wǎng)絡(luò)安全防范系統(tǒng)不夠完善����,攻擊者有兩次發(fā)現(xiàn)了其中漏洞���,并進行侵占;信息網(wǎng)絡(luò)管理不合理����,沒有可行的制度和完整的管理體系,流程也不完整�,使其作用有所減弱;缺少專業(yè)技術(shù)人才�����,特別是有技術(shù)又懂管理的人才�����,部分管理人員是從其他部門調(diào)來的�����,不了解信息網(wǎng)路運行現(xiàn)狀����。在發(fā)現(xiàn)潛在隱患,或遇到突發(fā)安全事故時,往往不能有效及時地處理�����。2006年�,公司對信息化技術(shù)進一步完善���,總結(jié)了存在的問題,并采取相關(guān)措施予以糾正解決����。
3維護電力信息安全運行的管理措施
3.1強化信息安全意識�����,完善安全管理制度
電力部門深刻認識到電力信息化的前提是要保證其安全性����,否則一系列后續(xù)工作都無法開展。領(lǐng)導(dǎo)階層不斷學(xué)習(xí)�����,加大了在信息網(wǎng)絡(luò)安全教育上的投入���,對全體人員進行專業(yè)培訓(xùn)�,并制定了安全防護策略���,將其徹底落實���。負責(zé)人對信息安全體系的標準及目標作為重點工作來抓�����,積極宣傳有關(guān)知識,同時根據(jù)企業(yè)實際情況制定了信息安全管理制度���,規(guī)范各個部門的行為。實行責(zé)任制�,避免出現(xiàn)互相推卸責(zé)任的情況。
3.2提高工作人員的綜合素質(zhì)
聘用專業(yè)人員,需持證上崗�,根據(jù)個人能力安排相應(yīng)的崗位�。采用獎懲制度,建立起良性競爭��,對表現(xiàn)優(yōu)秀者予以適當(dāng)?shù)莫剟?����,在?nèi)部培養(yǎng)一致高素質(zhì)的專業(yè)隊伍。及時更新信息網(wǎng)絡(luò)技術(shù),了解現(xiàn)狀�����,并安排工作人員積極學(xué)習(xí)新內(nèi)容��,掌握如何運用新的技術(shù)。此外�����,公司對工作人員的職業(yè)素質(zhì)也尤為重視�����,培養(yǎng)其認真負責(zé)的工作態(tài)度�。
3.3采用信息安全防范技術(shù)
(1)防火墻技術(shù)。供電系統(tǒng)的生產(chǎn)�、計量�����、營銷�、調(diào)度管理等系統(tǒng)之間����,信息的共享、整合與調(diào)用���,都需要在不同網(wǎng)段之間對這些訪問行為進行過濾和控制�����,阻斷攻擊破壞行為����,分權(quán)限合理享用信息資源�����。
(2)建立了信息安全身份認證體系���。供電企業(yè)面對來自內(nèi)部和外部信息安全風(fēng)險威脅�,需建立有效的信息安全身份認證體系����,實現(xiàn)網(wǎng)絡(luò)危險過濾����、終端準入��、用戶識別�、上網(wǎng)授權(quán)等功能���,警告或禁止檢查不通過的終端訪問企業(yè)內(nèi)部資源�����,最終實現(xiàn)企業(yè)內(nèi)網(wǎng)用戶終端安全性的提升���,達成企業(yè)整網(wǎng)上網(wǎng)安全性的保障���。
3.4加強信息設(shè)備管理
(1)購買設(shè)備時�����,要注意其售后保障服務(wù)�,將風(fēng)險最低化���。設(shè)備會出現(xiàn)老化的問題����,需要及時的更新?lián)Q代;設(shè)備管理人員可能存在技術(shù)經(jīng)驗不足的問題�����,不能及時地解決故障���。這時就需要相關(guān)的售后服務(wù)來保障���。
