网络信息安全管理员岗位职责(精选8篇)
网络信息安全管理员岗位职责 篇1
税务系统网络与信息安全管理岗位及其职责
《税务系统网络与信息安全管理岗位及其职责》
编制说明
《税务系统网络与信息安全管理岗位及其职责》是税务系统网络与信息安全管理体系框架中的文档之一,这个文档是依据《税务系统网络与信息安全总体策略》的相关要求编写,目的是为了初步建立税务系统网络与信息安全管理岗位,明确安全管理人员的职责。
但由于各级税务系统(总局、省局、地市局、区县级局)具有不同的特点,没有一种模式适用所有的组织,而且由于人员的限制,特别是地市局及区县级局中人员的限制,通常没有特定的专职人员来担任本文档中描述的众多安全管理角色。因此,本文档的适用范围确定在总局、各省局、各地市局,对区县级局不适用,各区县级局可由其上级地市局根据具体情况做相应要求。
本《税务系统网络与信息安全管理岗位及其职责》文档共包括二章内容,第一章为管理角色与职责,描述了税务系统网络与信息安全管理组织架构,以及主要的信息安全管理角色与职责;第二章为管理岗位及设置原则,示例列出信息技术部门中主要信息安全管理岗位,并描述了税务系统网络与信息安全管理岗位设置原则。
税务系统网络与信息安全管理岗位及其职责
税务系统网络与信息安全管理岗位及其职
责
(试行稿)
国家税务总局信息中心 二〇〇四年十月
税务系统网络与信息安全管理岗位及其职责
目录
一、税务系统网络与信息安全管理角色与职责.....................................1 1.1 信息安全领导小组.....................................................1 1.2 信息安全管理部门.....................................................2 1.3 具体执行管理角色.....................................................3 安全管理员............................................................3 主机系统管理员........................................................3 网络管理员............................................................4 数据库管理员..........................................................4 应用管理员............................................................4 安全审计员............................................................5 病毒防护员............................................................5 密钥管理员(包括证书管理员、证书操作员)..............................5 资产管理员............................................................5 安全保卫员(机房安全员)..............................................5 安全协调人员..........................................................5 人事管理人员..........................................................5 安全法律顾问..........................................................6
二、税务系统网络与信息安全管理岗位及设置原则.................................6 2.1 信息安全管理岗位.....................................................6 安全管理员岗位........................................................6 网络系统管理员岗位....................................................6 应用管理员岗位........................................................6 2.2 安全岗位设置原则.....................................................7 多人负责原则..........................................................7 任期有限原则..........................................................7 职责分离原则..........................................................7 工作分开原则..........................................................7 权限随岗原则..........................................................7
税务系统网络与信息安全管理岗位及其职责
一、税务系统网络与信息安全管理角色与职责
为有效实施信息安全管理,保障和实施税务系统的信息安全,在税务系统内部应该建立自己的信息安全管理组织架构。
信息安全管理组织架构是实施系统安全,进行安全管理的必要保证。根据税务系统编制体系现状以及人员结构,信息安全管理组织架构纵向涵盖总局、省局、地市局三级,总局对省局、省局对地市局在信息化建设与安全管理运行方面,应起到指导与监管的作用。在一个机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。因此,总局、省局、地市局每一级应设置相应职能部门和人员负责各级信息系统安全管理工作。具体的信息安全组织和管理角色及其职责描述如下。
1.1 信息安全领导小组
信息安全是全国税务系统工作人员必须共用承担的责任,一般来说,各级税务系统首先应建立信息安全领导小组。信息安全领导小组是各级税务系统网络与信息安全工作的最高领导决策机构,它不隶属于任何部门,直接对本单位最高领导负责,信息安全领导小组是一个常设机构,负责本单位信息安全工作的宏观管理。
总局信息安全领导小组负责全国税务系统网络与信息安全总体规划与决策,并领导总局信息系统安全建设、运行、维护和管理等工作;省局信息安全领导小组负责组织落实上层决策,制定本省决策,并领导本省信息安全工作;地市局信息安全领导小组负责落实上层决策,制定本地市决策,并领导本地市信息安全工作。各级信息安全领导小组的组长一般由各级税务系统的高层领导挂帅,并结合与信息安全相关各职能部门的主要负责人参加。各级信息安全领导小组的职责是:
1. 总局信息安全领导小组负责领导制定全国税务系统网络与信息安全建设的总体规划并审议监督各省级安全工作规划的制定与实施;负责制定总局信息安全总体策略并审批总局信息系统安全策略以及各省级上报的安全策略;负责领导制定总局与信息系统安全相关的规章制度;负责总局信息系统安全管理层以上的人员权限授予工作;负责审阅总局信息安全
第1页
税务系统网络与信息安全管理岗位及其职责
工作报告;负责全国税务系统重大安全事故查处与汇报工作。
2. 省局信息安全领导小组负责领导落实全国税务系统安全建设的总体规划,制定本省建设规划并监督各地市级安全工作规划的制定与实施;在全国税务系统网络与信息安全总体方针的指导下,负责组织制定本省信息系统安全策略并审批地方局上报的信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责本省信息系统安全管理层以上的人员权限授予工作;负责审阅省局信息安全工作报告;负责本省重大安全事故查处与汇报工作。
3. 地市局信息安全领导小组负责领导落实本省信息系统安全建设规划,制定地市局级安全规划;在全国税务系统网络与信息安全总体方针以及省级相关策略文件的指导下,负责组织制定审批本地市信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责本地市信息系统安全管理层以上的人员权限授予工作;负责审阅地市局信息安全工作报告;负责本地市重大安全事故查处与汇报工作。
1.2 信息安全管理部门
在信息安全领导小组的基础上,各级税务系统网络与信息安全管理应该由本机构信息安全相关的若干管理部门共同完成,例如有信息技术部门、业务应用部门、安全保卫部门、人事行政部门等等。
信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持,在技术上对信息系统和信息系统安全保障承担管理责任。业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任。行政部门从行政上对信息安全保障执行管理工作。各个部门应与信息技术部门协作,共同对信息系统的建设和运行维护承担管理责任。
为明确安全职责,应在相关管理部门中指定对信息安全负责的主管,这些主管共同贯彻执行税务系统安全工作的方针政策、规章制度及有关的技术标准、规范和方案,并监督安全策略的落实。
第2页
税务系统网络与信息安全管理岗位及其职责
1.3 具体执行管理角色
对于信息系统建设和运行维护的具体执行,应该有相应的安全管理岗位,但由于全国税务系统包括国家税务总局在内、各省局、各地市局的具体情况有所差别,不宜在本文档中直接定义具体的安全岗位,而只是定义了相应的安全角色和职责,各具体机构根据实际情况设置相应安全岗位,具体的安全角色和职责的描述如下。安全管理员
负责对安全产品购置提供建议,负责组织制定各种安全产品策略与配置规则,负责跟踪安全产品投产后的使用情况;
负责指导并监督系统管理员(包括主机系统管理员、网络管理员、数据库管理员和应用管理员等)及普通用户与安全相关的工作;
负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全评估报告;
根据本机构的信息安全需求,定期提出本机构的信息安全改进意见,并上报信息安全管理部门主管;
定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导系统管理员进行安全防范;
负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度;
负责参与安全事故调查。主机系统管理员
负责主机操作系统的安全配置(包括及时修补系统漏洞)和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制; 协助安全管理员制定主机操作系统的安全配置规则,并落实执行; 负责主机设备的日常管理与维护,保持系统处于良好的运行状态; 为安全审计员提供完整、准确的主机系统运行活动的日志记录; 在主机系统异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报;
第3页
税务系统网络与信息安全管理岗位及其职责
编制主机设备的维修、报损、报废计划,报主管领导审核; 网络管理员
负责网络的部署以及网络产品、网络安全产品的配置、管理与监控,并对关键网络配置文件进行备份,及时修补网络设备的漏洞; 协助安全管理员制定网络设备安全配置规则,并落实执行;
为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志;
在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报;
编制网络设备的维修、报损、报废等计划,报主管领导审核; 数据库管理员
对数据库系统进行安全配置,修补已发现的漏洞;
负责数据库系统的用户账号管理,对系统中所有的用户进行登记备案;对数据库系统的用户、口令的安全性进行管理;对数据库系统登录用户进行监测和分析;
负责业务数据及系统其它重要数据的备份与备份数据管理工作; 为安全审计员提供完整、准确的数据库系统运行活动的日志记录,详细记载发生异常时的现象、时间和处理方式,并及时上报; 在发生安全问题导致数据损坏或丢失时,进行数据的恢复;
根据业务发展的需求,提交数据存储介质购买或存储系统扩容计划。应用管理员
对业务应用系统进行安全配置;督促软件开发商提供补丁来修补已发现的漏洞;
对业务应用系统的用户、口令的安全性进行管理;对业务应用系统的登录用户进行监测和分析;
负责提出数据的备份要求,制定数据备份策略,督促数据库管理员按照备份方案按时完成,并恢复所需数据;
实施系统软件版本管理,应用软件备份和恢复管理。
第4页
税务系统网络与信息安全管理岗位及其职责
安全审计员
负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计,发现问题及时上报;
负责对信息安全保障管理活动进行独立的监督,提供内部独立的审计和评估工作,并根据需要可以协同外部审计评估机构进行评估和认证,为决策领导提供信息系统和信息安全保障执行状况的客观评价。
病毒防护员
协助安全管理员制定病毒防范操作规程; 负责执行和监督整个系统全面的杀毒工作;
定时升级网络杀毒软件的病毒库,监督个人杀毒软件的升级工作; 实时监控重要业务系统和数据的安全,杜绝非法开放的病毒入侵途径,降低病毒侵害的影响;
及时报告上级部门病毒入侵和感染情况,提供感染频率高和严重性强的病毒的有效解决方案。
密钥管理员(包括证书管理员、证书操作员)
负责税务系统交易、传输、认证密钥的管理以及加密机的操作。资产管理员
负责信息技术部门全部资产的采购、登记、分发、回收、废弃等管理。安全保卫员(机房安全员)
负责制定和执行适当的物理安全控制;
主要负责非技术性的、常规的安全工作,如信息处理场地的保卫,办公室安全,验证出人信息中心的手续和多项规章制度的落实。
安全协调人员
负责安全项目、安全问题、安全事件、安全工作的组织协调。人事管理人员
协助安全主管确定某个职位是否需要进行安全背景调查;
第5页
税务系统网络与信息安全管理岗位及其职责
还可能负责为员工离开本单位时提供与安全相关的离职规程。安全法律顾问
负责本单位与外单位签署安全服务合同的法律咨询工作。
二、税务系统网络与信息安全管理岗位及设置原则
2.1 信息安全管理岗位
根据税务系统网络与信息安全管理角色与职责,相应地,税务系统组织机构内需要设置信息安全管理岗位,由于全国税务系统包括国家税务总局在内、各省局、各地市局的具体情况有所差别,所以本文档中仅列出信息技术部门中的主要信息安全管理岗位,总局、各省局及各地市局应根据本文档结合本机构的具体情况指导本机构内的岗位分工和各岗位安全职责,从而进行具体的设置。安全管理员岗位
安全管理员岗位可以是安全管理员角色和安全审计员角色的组合,同时,根据具体需要,可以兼任病毒管理员和密钥管理员的角色。也可以根据具体情况,设置多个安全管理员岗位。网络系统管理员岗位
网络系统管理员岗位可以是主机系统管理员角色和网络管理员角色的组合,同时,根据具体需要,可以兼任资产管理员的角色。也可以根据具体情况,设置多个网络系统管理员岗位。应用管理员岗位
应用管理员岗位可以是数据库管理员角色和应用管理员角色的组合。也可以根据具体情况,设置多个应用管理员岗位。
对于其他的安全角色需要设置的岗位,可以由相关安全职能部门的人员兼任,也可以单独设置岗位。
第6页
税务系统网络与信息安全管理岗位及其职责
2.2 安全岗位设置原则
为确保税务信息系统的安全,必须加强人事安全管理,提高安全管理人员的技术水平和安全意识,同时在人员岗位的设置方面要遵循以下原则。多人负责原则
对一些有较高密级的与安全有关的活动,都必须有两人或多人在场。工作人员必须由系统主管领导指派,且忠诚可靠,能胜任工作;工作人员应该认真记录签署工作情况,以证明安全工作已得到保障。
上述所指与安全有关的活动包括:硬件和软件的维护;系统软件的设计、实现和维护;处理保密信息;系统用媒介的发放与回收;访问控制用证件的发放与回收;重要程序和数据的删除和销毁等。任期有限原则
决不能由一人长期担任安全管理职务。对一些重要安全岗位的工作人员应该不定期循环任职,强制实行轮换、休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。职责分离原则
非经系统主管领导批准,任何信息系统的工作人员都不得打听、了解或参与其职责以外的任何与系统安全有关的事情。安全工作人员活动所涉及的范围应是受到限制的,不能越权限访问。工作分开原则
权力不能过于集中在某个人或某些人手里,在信息安全工作中,有的工作不能由一个人担任,工作分开便于相互制约。出于对安全的考虑,下面每组内的两项信息处理工作应该由不同的人员来负责:对计算机操作与计算机编程;机密资料的接收和传送;安全管理和系统管理;应用程序和系统程序的编制;访问证件的管理与其它工作;计算机操作与信息系统使用媒介的保管等。权限随岗原则
权限随岗原则。根据岗位变动情况及时调整相应的授权,做到:在岗有权、离岗失权。
第7页
网络信息安全管理员岗位职责 篇2
在我们国家, 政府部门对信息系统的安全性也非常的重视, 在国家技术监督局和其他主管部门的指导下, 我们国家与国际标准接轨的, 关于信息安全与网络安全方面的技术标准和产品标准已经陆续出台, 并早在1997年就建立了全国信息技术、安全技术委员会。网络安全问题除了引起了政府机关、国家安全部门、金融机构等的重视, 一般的企事业单位甚至个人也都日益关注这些网络安全问题。
一、网络安全威胁的起因
为什么会存在这么多的网络安全, 网络安全威胁的起因包括:
1. 技术上存在缺陷。
互联网使用的通讯协议是TCP/IP, TCP/IP在最初的设计时, 主要考虑的是如何实现网络连接, 并没有充分考虑到网络的安全问题, 而TCP/IP协议是完全公开的, 这就导致入侵者可以利用TCP/IP协议的漏洞对网络进行攻击。另外计算机使用的操作系统, 比如说目前仍普遍使用的微软windows操作系统在设计上也存在安全漏洞, 用户经常需要更新、下载它的安全补丁, 以修补它的安全漏洞。其他的技术缺陷还包括应用程序的编写对安全性考虑不足, 网络通讯设备包括路由器、交换机存在安全的缺陷等等, 这些技术上的缺陷都容易被入侵者利用, 从而构成安全威胁。
2. 思想上不重视。
由于企业的负责人、网络管理员思想上不重视或者疏忽, 没有正视黑客入侵所造成的严重后果, 没有投入必要的人力、物力和财力来加强网络的安全性, 没有采取有效的安全策略和安全机制, 缺乏先进的网络安全技术、工具、手段和产品等等, 这也导致了网络的安全防范能力差。
二、网络安全问题可能导致的后果
在现代网络信息社会环境下, 由于存在各种各样的安全威胁, 比如病毒、误操作、设备故障和黑客攻击等, 从而可能会造成重要数据文件的丢失。安全问题具体的后果包括:
1.企业的资料被有意篡改、网站的页面被丑化或者修改。比如说, 在被攻击的网站首页上贴上谣言、黄色图片或反动言论, 从而造成法律上和政治上的严重后果。
2.破坏计算机的硬件系统, 比如说磁盘系统, 从而造成文件永久丢失。
3.使得商业机密或技术成果泄露或者被散播。
4.安全问题还可能使得服务被迫停止, 并给客户层带来服务质量低劣的印象, 使得企业形象被破坏, 从而造成恶劣影响和难以挽回的损失。
三、网络攻击的主要方式
互联网技术在飞速发展的同时, 黑客技术也在飞速发展, 网络世界的安全性不断地在受到挑战。对于黑客来说, 要进入普通人的电脑非常容易。只果你要上网, 就免不了遇到病毒和黑客。那么黑客们有哪些常用攻击手段呢?
1. 口令攻击。
口令攻击就是通过窃取口令的方式进行破坏的活动, 口令攻击是比较常用的一种攻击方式。在现实生活中, 由于用户名和密码被盗造成损失的例子有很多, 一旦用户名和密码被盗, 入侵者还可以冒用此用户的名义对系统进行进一步的破坏和攻击, 从而给用户本身或者整个系统造成非常大的损失。
就目前的黑客技术来说, 用户名和密码的盗取对黑客不再是有难度的事情, 黑客盗取口令的方法有很多。比如说, 有的黑客通过FTP、TFTP和Telnet等工具, 可以搜集用户账户资料、获得口令文件, 然后对口令文件进行解密来获得口令。或者如果用户的口令设置缺乏安全性, 可能被轻易地被“字典攻击”猜到用户的口令。“字典攻击”就是通过编写一个应用程序, 根据一定的规律, 由应用程序自动反复地去尝试口令, 强行破解用户口令。“字典攻击”要求黑客要有足够的耐心和时间, 但对那些口令安全系数极低的用户, 只要短短的几分钟, 甚至数十秒就可以被破解。
2. 软件攻击。
软件攻击有时又叫漏洞攻击, 许多系统包括计算机系统、网络系统都有这样那样的安全漏洞 (B u g) 和后门 (backdoor) 。特别是计算机系统, 在安装好操作系统后, 出现漏洞和缺陷的可能性是最大的, 这些漏洞需要厂商发布补丁 (patch) 程序来进行修补。各个硬件厂商和软件厂商, 包括微软在内, 都在不断地发布自己的补丁, 这要求用户及时的去下载这些补丁, 进行系统更新操作。如果系统管理人员没有对网络和操作系统的漏洞及时打补丁, 入侵者就可以很容易利用这些公开的漏洞, 侵入系统, 从而对整个网络带来灾难性的后果。
软件攻击除了利用系统的漏洞外, 还可以利用一些后门程序。后门, 就是秘密入口。比如说, 在程序开发阶段, 程序员可能会设置一些后门, 以便于测试、修改和增强模块功能。正常情况下, 程序开放完成后需要去掉各个模块的后门, 不过有时由于疏忽或者其他原因, 比如说如保留后门便于日后访问、测试或维护, 后门没有去掉, 一些别有用心的人就会利用专门的扫描工具发现并利用这些后门, 然后进入系统并发动攻击。
3. 窃听攻击。
网络窃听是最直接的获取数据的手段, 如果在共享的网络通道上, 用没有加密的明文传输敏感数据, 这些信息很可能被窃听和监视。窃听者可以采用如Sniffer等网络协议分析工具, 非常容易地在信息传输过程中获取所有信息的内容, 这些信息包括账号、密码等重要信息。一旦, 入侵者监听到用户传输的口令, 就可以利用口令入侵到系统中。比如说, 政府部门内部的普通工作人员, 如果通过内部网络窃听手段, 获取了领导的账号和密码, 从而可以利用这些密码, 查阅只能由领导查阅的秘密文件等。这类方法有一定的局限性, 但危害性较大, 监听者往往能够获得其所在网段的所有用户账号和口令, 对内部网络安全威胁巨大, 因为内网数据往往是密级非常高的, 如果被非法窃听而导致信息泄露, 将对国家造成非常大的损失。
4. 欺诈攻击。
欺诈攻击是利用假冒方式骗取连接和信息资源、损害企业的声誉和利益的方式。比如说, 黑客在被攻击主机上启动一个可执行程序, 该程序显示一个伪造的登录界面。当用户在这个伪装的界面上键入登录信息后, 黑客程序会将用户输入的信息传送到攻击者主机, 然后关闭界面给出提示错误, 要求用户重新登录。此后, 才会出现真正的登录界面, 这就是欺诈攻击的一种方式。
再比如说, 黑客可以制作自己的网页, 一旦用户点击了假冒链接地址, 进入到这个网页后, 如果用户此时输入银行账号、密码、验证码后, 该假冒网页会提示验证码错误, 随后再转向正常的网页, 这样, 黑客就巧妙地从中获取了用户的机密信息。
5. 病毒攻击。
计算机病毒实际上是一段可执行程序, 为什么称之为病毒, 主要是因为它和现实世界的病毒一样具有传染性、潜伏性和破坏性。在越来越依赖网络的今天, 由于病毒导致的系统破坏将带来巨大的损失。
计算机病毒对计算机的影响是灾难性的。从20世纪80年代起, 计算机使用者就开始和计算机病毒斗争, 特别是随着近年互联网的发展、网络应用的普及、人们对计算机的依赖程度的不断提高, 这一切为病毒的传播提供了方便的渠道, 同时也使计算机病毒的种类迅速增加, 扩散速度大大加快, 受感染的范围越来越广, 病毒的破坏性也越来越严重。以前病毒的传播方式主要是单机之间通过软盘介质传染, 而现在病毒可以更迅速地通过网络共享文件、电子邮件及互联网在全世界范围内传播。
6. 拒绝服务攻击。
拒绝服务 (denial-of-service) 攻击, 简称Do S攻击, 是通过向攻击目标施加超强力的服务要求, 要求被攻击目标提供超出它能力范围的服务, 从而引起的攻击目标对正常服务的拒绝或服务性能大大降低。简单的说拒绝服务攻击就是想办法将被攻击的计算机资源或网络带宽资源耗尽, 导致网络或系统不胜负荷以至于瘫痪, 而停止提供正常的服务。
Do S攻击由于可以通过使用一些公开的软件和工具进行攻击, 因而它的发动较为简单, “拒绝服务”的攻击方式是:用户发送许多要求确认的信息到服务器, 使服务器里充斥着这种大量要求回复的无用信息, 所有的信息都有需回复的虚假地址, 而当服务器试图回传时, 却无法找到用户。服务器于是暂时等候, 然后再切断连接。服务器切断连接时, 黑客再度传送新一批需要确认的信息, 这个过程周而复始, 最终导致服务器资源耗尽而瘫痪。
四、网络安全的主要防范措施
网络安全防范的目的是保护以网络为代表的系统资源不受攻击影响、同时要发现可疑的行为、对可能影响安全的事件作出反应。网络系统安全的最终目标是要保证数据和信息的安全性, 也就是说, 网络自身的安全是为数据和信息安全服务的。网络安全不单是单点的安全, 而是整个系统的安全, 需要专业的安全产品与网络产品紧密配合才能达到。网络安全的防范措施包括:
1. 安装防火墙。
最常用的网络安全技术就是采用防火墙, 防火墙所处的位置和功能很象是建筑上所说的防火墙, 防火墙是安装在计算机网络上, 防止内部的网络系统被人恶意破坏的一个网络安全产品。防火墙通常是防范外部入侵的第一道防线, 使用了防火墙后, 可以有效地挡住外来的攻击, 对进出的数据进行监视。
2. 防止内部破坏。
有了防火墙可以防范外部的攻击, 这还不能完全有效地保障内网的安全, 因为很多不安全因素来自内部非授权人员对涉密信息的非法访问和恶意窃取, 因此在网络内部, 也必须要有强有力的身份鉴别、访问控制、权限管理以及涉密文件的保密存储和传输等措施, 才能有效地保障内部涉密信息的安全性。
3. 口令保护。
口令攻击是常见的一种网络攻击方式, 黑客可以通过破解用户口令入侵用户系统, 因此必须非常注意对口令的保护, 特别是在设置口令时不能简单了事, 密码设置不要容易被别人猜出, 重要的密码最好定期更换等等。
除了在设定口令时要注意口令安全, 还有一种动态口令方式来保护口令的安全, 动态口令认证是针对, 静态口令身份认证机制的安全弱点, 提出的一种新的身份认证机制。在这种机制下, 认证客户端和认证服务器都基于用户密钥和当前时间, 通过特定的密码算法, 生成该用户的当前登录口令, 用于身份认证。由于当前登录口令是和当前时间相关的, 而且登录口令只是一次有效, 用户在登录时口令是随时变化的, 因此很好地解决了口令的泄露问题, 保证了用户的身份真实性和不可抵赖性。
4. 数据加密。
在互联网出现后, 特别是随着电子商务应用的普及, 企业的许多数据要经过互联网传输, 传输过程中间极有可能出现数据被窃取和被篡改的危险, 因此跨越互联网传输的数据都必须经过加密, 保证数据不被窃取。除了跨越互联网传输的数据需要加密外, 以往发生的数据泄露事件中, 内部数据泄露也比较多, 因此网络内部的数据也应该采用一定的加密措施。
加密技术的主要目标是确保数据的机密性、真实性、完整性, 通过加密措施, 使非法窃听者即使截获部分信息也无法理解这些信息, 另外通过校验技术, 可以使数据被篡改后还有机制去恢复被篡改的内容。
总之, 网络安全防范是一个动态的概念, 不可能做到一劳永逸, 重要的是要建立一个网络安全防范体系。网络安全是一个广泛而复杂的课题, 各种类型的企业对网络安全有不同的需求, 必须进行具体的分析才能制定出适合企业自身要求的、总体网络安全解决方案。
摘要:在互联网络飞速发展的今天, 由于技术上的缺陷以及思想上不购重视等原因, 在现代网络信息社会环境下, 存在着各种各样的安全威胁。这些威胁可能会造成重要数据文件的丢失, 甚至给政府、银行证券以及企业的网络信息系统带来了极大的损失和危害。网络攻击的主要方式包括口令攻击、软件攻击、窃听攻击、欺诈攻击、病毒攻击以及拒绝服务攻击等, 而网络安全的防范措施则包括安装防火墙、防止内部破坏、口令保护和数据加密等多种方式。网络安全防范是一个动态的概念, 重要的是要建立一个网络安全防范体系。
关键词:网络安全,信息安全,网络攻击,安全防范
参考文献
[1]马翔:网络安全的策略和解决方案研究.中国科技信息, 2007 (22)
[2]黄梯云:管理信息系统, 北京:高等教育出版社, 2005.3
网络信息管理及其安全 篇3
关键字:网络信息;访问控制;安全管理
中图分类号:TN915.07文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
Network Information Management&Security
(Tianjin T&B Garden,Environment and Sanitation Development Co.,Ltd.,Tianjin300308,China)
Abstract:The rapid development of computer network technology,information management for the network has put forward higher requirements.Information from the current dependence on the network can be seen,information society development has become an irreversible trend,therefore,to ensure the security of network information with complete network information management,naturally the information age has become an important field of study,and the whole community had a profound impact.
Keyword:Network information;Access control;Safety management
一、前言
近几十年来计算机行业的迅速崛起,也给人们的生活带来了天翻地覆的变化,信息共享程度的提高,一方面依赖于计算机技术的支持,另一方面也取决于网络技术的配合。因此,网络的开放性程度越高,对网络信息管理的要求也越来越高,不仅关系到网络信息服务系统的运行状况,也与国家与整个社会的信息安全和经济发展密切相关。只有采取适当的信息处理手段,对信息服务于信息内容安全加以适度的维护,才能够保障整个信息网络的正常运营和信息终端的正常使用,从而推动整个信息化发展进程。
二、网络信息管理内容的分类
网络信息管理涵盖了包括IP地址和域名在内的基础运行信息,同时也涉及到网络服务器的配置情况与信息服务、访问状态以及负载均衡等多方面与服务器相关的信息范畴。此外,网络信息资源使用的权限划分是根据用户信息的分类来实现的,因此,对于用户的基本信息记录,包括姓名、所属机构、职位、职责权限和邮件地址确认等方面也是网络信息管理与安全保护的重点。对于网络信息提供者的信息来源管理,是保障信息内容的根本,从信息的发布、信息过滤,甚至是信息检索和导航等,都要依据相应的管理程序来进行,从而保证信息源的稳定与有效,一方面要提高信息资源的防篡改能力,另一方面也要防止信息的泄露和不良信息的侵入。
三、网络信息管理中的安全问题
目前,网络信息管理和使用过程中最为棘手的就是信息安全问题。因此,网络信息资源的有效与网络信息服务的正常运行等诸多与网络安全相关的问题,也格外的凸现出来,成为提高网络信息管理水平的突破口。也许我们并不能够做到真正意义上的清除所有网络完全隐患,但我们可以通过安全管理来实现最大限度上的遏制,降低网络风险的发生几率,提高网络信息系统抵御不良攻击的能力。
保证网络系统的安全就是要维护系统的保密性、完整性、可用性、可控性与可审查性。保密性与完整性是我们最为熟知的两种网络安全目标,前者主要用于对非授权用户侵入网络系统的拦截和数据传输过程中防止被截获的能力,是对授权用户访问的私密性保护;而后者,则是防止数据在传输和使用过程中被未授权的用户篡改或删除,从而造成信息资源的缺失。可用性、可控性与可审查性分别是针对用户需求、信息传播和安全隐患而言的,可用性保证了用户需求的满足;可控性提高了信息传播与内容上的掌控能力;可审查性为安全隐患的产生提供了可查询依据。以上就是网络安全的五项主要目标,是构成整个计算机信息网络的核心内容。
四、网络信息管理安全策略研究
针对目前计算机网络信息管理中所暴露的安全问题,应当适当的采取一些防范措施,降低网络风险的发生几率,从而保障计算机网络系统的安全运营。
(一)访问控制策略
从访问权限的控制做起,严格规范网络资源的使用和改动权限,保证网络资源的合法利用。从初级的网络的进入访问权限控制,到较高级别的网络服务器安全控制等都要制定严格的权限审核制度,从而控制授权用户的信息可操作性。
(二)信息加密策略
为了实现网络信息的保密处理,需要在信息的传输过程中采取加密处理,防止信息被窃取或破坏,甚至是非法侵入系统的用户对信息的肆意篡改。
(三)数据备份策略
数据的备份是信息管理的重要手段,通过分离存储设备来提高数据系统与主机系统之间的相对独立关系,从而起到对数据的保护作用,以备不时之需,特别是数据的备份可以将系统故障时的损失降低到最低程度,防止数据丢失。
五、网络信息管理安全体系的建立
网络信息管理安全体系构建要以完善的制度为基础,以安全策略为核心,从网络管理的基础环节做起,提高网络使用者的安全防范意识和自我信息保护意识,加强网络技术的培训,提高网络管理人员的整体技术水平,从管控的角度来掌握信息系统全局的运营情况。此外,作为信息化发展的有效保障,网络信息的安全管理还要以强大的计算机技术发展水平为依托,安全管理与网络风险从来都是相伴而生的,因此,安全管理既是有针对性的风险反击,也是广泛的防范过程。
六、结语
网络信息管理和安全始终是一系列问题与矛盾的解决过程,涉及技术、管理、立法与使用的诸多方面。如何正视网络信息管理的重要性,如何定位网络信息安全的约束标准,成为了计算机网络发展的综合性话题,也是社会信息化进程的重要推动力。
参考文献:
[1]黄贤英.大型企业计算机网络安全实施方案[J].计算机安全,2009:12-13
[2]王居野.对互联网安全管理的一點思考[J].江淮论坛,2009:23-24
网络与信息管理中心岗位职责 篇4
1、保障网络信息安全,通过网络信息系统为学校的教学、科研、管理及校园文化建设提供良好的服务;
2、建立和完善网络信息管理的各项规章制度,实现管理的规范化和制度化,认真履行,严格遵守;
3、负责学校级别网站的建设、管理与维护等工作,保证网站内容的及时性、准确性和有效性;
4、负责各部门二级网站的统一部署和维护,协助相关部门进行网页内容和源代码的更新修改;
5、负责校内各应用系统的配置、维护、调整及更新,对各部门管理员分配相应权限,并提供技术支持,解决校园网应用和管理中的关键技术;
6、负责学校信息的安全管理,提出和执行具体措施保障校园网络信息设备和信息系统的安全、高效、平稳运行;
7、定期检查设备的运转情况,做好设备维护记录,落实责任制,明确责任人和职责,保证设备高效稳定的运行;
8、负责校内各类信息网站和应用系统的数据备份、资料整理和归档,定期对服务器防护软件进行更新升级,保证数据的安全;
9、对于服务器等设备的故障和信息网站受到的恶意攻击,及时响应并采取应急预案,最短时间内恢复正常的网络信息服务。并查找确认故障源或攻击源,采取有效措施预防;
网络信息安全管理员岗位职责 篇5
1、负责学校全面电子数据的安全管理工作,对学校的信息数据和运维的网络服务软件的正常运行负责。
2、合理处理各种信息安全事故,按国家信息产业部和教育部的要求,来规范学校信息数据管理工作。
3、参与信息资源库的开发和维护,协助相关部门开展网络教学工作,并提供技术支持。
4、丰富、更新网络提供的其他服务内容,包括 VOD、软件下载等。
5、做好学校校务管理与办公自动化系统的建设、维护和管理工作。
6、在工作中善于总结经验教训,提高工作效率,每学期要完成一份数据安全运维报告,系统总结学校在数据安全运维工作中存在的问题,并提出整改意见。
7、负责 DNS、WEB、FTP、教学、VOD、数据库等服务器的安装、配置、维护工作。
8、负责计算机系统备份、网络数据备份、各种数据库的备份工作,制订相应备份方案,并严格执行方案。
9、负责学校网站的创建与管理,协调管理大型数据库信息系统的应用及其它各种公共应用服务系统。
10、负责公共信息服务器的安全监控和日常管理,及时排除各种故障,确保服务器正常运行;删除信息系统中的各种不良信息,并能查找不良信息的来源及判断其危害程度,再按危害程度作出相应的合理反应。
11、学习网络新技术,优化和扩展校园网功能,提供各种关于信息安全的技术支持。
12、推动学校网络知识的普及,组织并实施校内单位和个人的网络安全知识培训。
网络信息安全管理制度 篇6
1、工作所需的资料、数据,不得带出办公区。因外派等业务需带出的情况除外,但需始终注意做好相关资料的保密工作。外派等业务活动结束后,必须将相关资料数据及时带回,并清除保留在公司以外设备上的资料。
2、当使用公司的网络打印机时,打印的资料必须在 30 分钟内取回,保密资料的打印不得使用公用的网络打印机。
3、保密的资料应设臵密码并妥善保管,不得随意臵于桌面。
4、在执行资料转移时,要对那些存储保密资料或数据的载体使用强保密措施并进行保护。
5、个人资料,工作资料应定期做好备份工作(重要资料应随时双重备份在其他电脑和其他介质上),以防病毒侵袭、硬件损坏等造成数据丢失。
四、网络信息安全管理
1、新员工入职,在得到自己的办公平台的帐户名和密码后,应立即更改自己的密码,如果因为没有更改密码而造成办公平台或公共管理系统帐户被他人盗用的情况,后果将由员工本人负责。
2、公司办公平台是为全体员工从事生产活动以及业务沟通提供服务的。不得利用公司的办公平台从事与工作无关的活动,一经查出或对公司造成不良影响的,将追究其责任。
3、员工有责任预防病毒的传播,有任何疑问都可以与综合部网络管理员联系。如果员工未按照上述要求执行,导致电脑感染电脑病毒并在公司局域网内传播电脑病毒,造成严重后果的,公司将追究该员工的责任。
4、由于办公平台服务器磁盘空间有限,公司通常情况下默认分配给每个员工的空间是 1G,员工应将在办公平台存储超过一年的文件删除,以节约磁盘空间,重要文件请联系网维。
5.公司IP地址由综合部网络管理员统一规划和分配使用,员工个人不得随意变更个人电脑的IP地址。
6、个人由于业务学习等而需用计算机以及计算机网络的,可以利用休息时间进行,不可以占用工作时间。
7、不得利用计算机技术侵占用户合法利益,不得制作、复制、和传播妨害公司稳定的有关信息。
8、不得利用公司计算机网络从事危害国家安全及其他法律明文禁止的活动;
9、不访问不明网站的内容,以避免恶意网络攻击和病毒的侵扰。
六、下载管理
1、不准在任何时间利用公司网络下载黑客工具、解密软件,系统扫描工具,木马程序等威胁系统和网络安全的软件。
2、工作期间不允许下载和在线观看与工作无关的软件或其他内容,如 MP3、小说、电影、电视和图片等。
网络信息安全管理策略分析 篇7
关键词:网络信息,问题处理,管理策略,安全措施
网络的使用使人们的生活更加快捷方便, 也使得人们的视野更加宽广, 甚至使事业蒸蒸日上, 在网络给人们带来好处的同时, 也带来了一定程度上的严重后果。例如:加密数据的损失以及安全系统的崩溃等, 因此解决网络安全隐患就显得尤为重要。
1 网络信息安全的具体描述
在科技尚不发达的年代, 人们并不关注网络, 更不了解何为网络信息安全, 但随着电脑的普及, 网络深入人心, 网络信息安全愈发受到重视。但何为网络信息安全, 其实并没有很明确的定义, 因为不同的领域或国家有不同的规定。同时, 随着时代的发展, 人们对信息安全的要求也更深一步, 再加上现有网络信息不光只是单纯的信息, 还混合人和技术, 所以现代信息安全更加严谨、慎重。本文所说的信息安全一般是指一个独立国家的社会信息化状态及其信息技术不受到外来的影响与侵害。所以要确定信息是否安全就要充分了解信息所在的这个传递载体及网络, 同时也要明白信息安全本身的具体特性。信息安全的特性有: (1) 完整性。即信息在存储和传输过程中不存在任何的破坏遗漏等现象。 (2) 可用性。即所属信息是完全合法的。 (3) 保密性、可控性。即授权方可以有效控制信息的去向等。 (4) 可靠性。即信息真实质量保证受到客户认可。简单来说, 信息安全就是在保证信息安全不损坏的基础上传输到指定地点。
2 常见的网络信息安全问题
网络信息安全问题主要分为2类:一种针对信息本身的安全, 另一种针对传输载体网络的安全。任何一种都会造成网络信息安全问题。综合来看, 主要分为人为影响和软件或是系统本身存在的不足。人为影响有无意识行为, 如操作出问题或者不会使用随意与人共享密码等;恶意攻击行为, 主要代表是电脑黑客的存在, 如利用编写的病毒程序刻意攻击用户电脑, 或是在客户正常使用时, 对信息进行拦截等。现有情况下, 对网络信息安全传输的影响方式主要有信息的拦截破译、信息的伪造、信息的中断和信息的篡改。主要信息出现一丁点的纰漏都不能保证其完整性, 所以都会造成信息安全问题。
3 现有维护网络安全的技术
3.1 “防火墙”安全保障技术
防火墙是一个针对多个网络中访问权限控制的网络设备, 主要为了保护本地网络安全不受外来网络攻击。简单地说, 防火墙就像二极管, 对己方网络起到趋利避害的作用, 而对外来网络则详细检查, 在确保信息安全的情况下才会允许进入, 若不安全则会阻止进入。相对地, 防火墙也存在特有属性:首先是针对数据的双向筛选, 即不仅是从外部网络进来的数据要审查, 内部网络流出的数据也同样要接受审查。其次, 符合规定的信息数据才能通过。再有, 具有防侵入作用, 即在未知来源的软件或是数据进入时会自动阻止, 防止攻击原有网络信息。这样就能在一定程度上保证网络信息安全。当然, 防火墙技术的使用也存在一定的问题, 主要是在使用防火墙时会对网速等造成影响, 所以在使用防火墙技术前应考虑清楚是否要安装。
3.2 针对数据的加密技术
数据尤其是一些机密的数据非常重要, 所以要重视数据的安全, 而加密技术的产生就是为了保证数据不被窃取或者销毁。数据加密就像是为数据在原有基础上重新加上一把锁。只有使用者才拥有打开保护数据的锁的钥匙, 而其他非法者都没办法解读其中的数据。一般数据加密有2种:即线路加密和端对端加密。2种方法的区别就在于一种是针对传输线路进行加密, 而另一种则是在端的两头加密。具体分为对称加密和非对称加密。对称加密就是加密解密密钥, 这种加密方式在一定程度上简化了操作过程, 但其安全性就有一定程度的下降。非对称加密就是一对密钥一个负责加密另一个负责解密, 2个密钥不一样, 这样提高了数据安全性, 因为要想破译加密数据就要同时解读2个密钥, 相对地, 难度就会增加很多。其中非对称加密的典型代表就是数字签名, 通过“签名”对数据进行加密, 在通过给定密钥解读签名来达到解锁数据。
其中最主要的是密钥, 因此对于密钥的管理就很重要。无论是从其产生作用到最后销毁都要严格管理。对于对称型密钥来说, 只要买卖双方达成共识, 互相保证交易过程的安全保密性, 就能使对称加密过程更加简单, 同时还使原有的难以区分的问题得到解决。
3.3 控制访问权限的技术
顾名思义就是对所有的要求访问的用户按照自己的意愿进行对应的权限控制, 对于那些带有恶意的用户杜绝访问, 减少了本地网络信息的泄漏, 更好地保护了信息的完整性。该技术是保护信息安全的重要手段, 也是网络中比较基础的保护方式。但是, 也存在一定的不足之处, 如没有阻止被授权组织的能力。现今主要常见的控制访问权限的技术有:自主访问控制、强制访问控制及基于角色的访问控制。所谓自主访问控制即现有信息所属者拥有想让谁能访问的设置权限, 即可以根据自己的情况按照自己的意愿来设置。这样就能在一定程度上过滤出一些不安全因素。再有, 为保护个人信息等还可以自行设定额外的保护锁, 就像腾讯QQ中空间相册可以有选择的另行设定密码是一个道理。而强制访问控制就是不受用户控制的, 直接听命于生产方的那些。通俗来说就像你买一台电脑, 电脑本身有很多系统是买来就带有的, 且自己无法更改或删除的, 这些系统就称为强制访问权限。基于角色的访问控制就是根据各部分数据或信息的不同, 将之指定为不同的角色, 在使用时直接根据角色的不同选择对应的访问权限, 从而达到控制权限的效果。区别于常见类型的主要是中间角色的加入。
认识到了所谓的访问控制, 不得不看看访问控制机制又是怎样工作的。常见的技术支持有入网访问控制, 就是对于登录使用时的权限控制;权限控制, 即设定所拥有数据信息哪些能被访问, 哪些不能被访问的技术;目录级安全控制, 即在一定的级别区间内只能对此区间的数据等起到效果, 没办法越级控制;属性安全控制, 服务器安全控制, 一般可锁定服务台或是锁定登录时间, 只能在规定时间登录。这样就能有效保护数据安全不被破坏。
3.4 虚拟网专业技术
就目前来看, 针对网络信息安全问题最有效的就是虚拟专用网技术的研发, 所谓虚拟专用网技术简单来说就是在公共网络中建立一个专用的信息通道, 使得所需传递的信息能够安全的传递。
3.5 针对是否有入侵现象的检测系统
就是随时随地对网络信息进行保护防范作用, 及时检测是否有不安全因素的闯入, 保证信息的安全。其操作流程是:首先对安全行为进行分析了解, 然后查看系统各部分是否有漏洞, 再扫描到已有攻击时应作出提醒, 并将其记录在案, 最后看所传输数据是否安全完整等。
当然, 还有很多维护网络安全的技术如身份认证技术、安全隔离技术等, 正因为这些技术的存在才能使现在网络信息的安全。
4 频发网络安全事故及其应对策略
由于网络系统的开发过程中总是伴有漏洞的产生, 而漏洞不能及时安装补丁加以修复, 往往会遭受网络攻击, 但是网络攻击又有很多种攻击方法, 有拒绝服务的攻击, 就是攻击者使计算机不能正常提供服务, 此类攻击一般伴有特定现象如被攻击对象中有很多TCP连接在运行, 或是网速被拖慢导致无法有效与外界沟通交流等。还有利用型的攻击, 对于此类攻击一般采用设置晦涩的口令或是下载安装特洛伊木马等方式来预防。再有就是收集信息类的攻击, 其主要包括信息扫描技术即专门针对网络地址, 连接端口的扫描并根据反响映射来找出自己所需要的信息的技术总和;对于体系结构的试探检测, 最后是利用不同的信息服务。还有就是利用虚假信息来进行有效攻击的手段, 像虚假的邮件、系统软件等。
在网络安全事件多发的时候, 为保证信息安全性就一定要进行有效的防治。首先要随时预防病毒的进入, 对于重要数据信息要及时进行备份与恢复, 要认识到网络安全的重要性。在对木马病毒的防治上, 应首先认识到病毒侵入的常见表现, 有运行速度变慢, 莫名的死机或是有异常的电脑显示等。其次就是要安装杀毒软件。再有就是要把各个磁盘里的无用东西进行彻底的清除, 最后则是把各系统硬盘中的垃圾等无用的东西清理掉, 保证电脑的通畅运行, 这样才能减少病毒藏匿于各垃圾软件中的概率, 只有将这些无用软件都清理掉才能有效防止病毒的入侵, 保证网络信息的安全。
5 加强网络安全建设
随着科技的进步, 使用网络的人也越来越多, 通过网络进行交易的人也越来越多, 此时的网络不单只是娱乐休闲的代名词, 网络中所传输的信息更加重要, 上至国家要事, 下至百姓生活都与网络有着千丝万缕的关系。因此网络安全就成为关注的重点。只有网络安全, 网络中所传输的重要信息才能获得好的保证, 才能使社会和谐, 国泰民安。
基于此, 应针对现在网络中存在的潜在威胁及常见漏洞提出相对应的解决方式, 借此加强网络安全建设。
首先, 应从国家层面重视网络安全, 制定有效的政策制度来规范网络运行及保证网络环境。但网络问题又是千奇百怪的, 所以需要政府采用适当的方式方法来解决问题, 并提高网络防御力。只有网络环境安全健康了, 信息安全才能得到有效的保障。
其次, 应针对网络的使用者, 即深刻认识网络安全的重要性。在购买电脑设备时就应该保证其质量, 不要贪图便宜吃大亏, 还有就是在买入设备后一定要及时下载安装防毒杀毒软件, 预防病毒的入侵, 保证网络环境的干净。再有就是要及时清理电脑各硬盘磁盘中不使用的软件安装包等, 保证电脑的运行, 也减少病毒的藏匿。
最后, 网络系统的开发者应认真编写系统程序, 减少系统漏洞的产生, 这样就能加强网络安全建设。
6 结语
综上所述, 现在有很多针对网络信息安全的科技, 减少了网络问题, 而且更多的新科技也在研发中。也就是说, 网络安全问题的加强指日可待, 但就目前来说, 只要从各个方面提高保护意识, 就能从一定程度上提高网络安全性。只有保证网络安全, 人们才能更加放心地使用网络创造更多的财富与文明, 使这个社会更加稳定和谐, 使国家繁荣昌盛。
参考文献
[1]蒋耀平, 李一军, 王海伟.国家网络信息安全战略规划的国际比较研究[J].管理科学, 2004 (1) :66-71.
[2]华涛.网络信息安全与全球化时代信息安全国际体质的建立——关于微软视窗系统暗含NSA秘钥事件的思考[J].世界经济与政治, 2010 (3) :89-91.
[3]郑加峰.浅谈互联网安全与信息加密技术[J].情报探索, 2012 (1) :68-69.
[4]黄世权.网络安全及其基本方案解决[J].科技情报开发与经济, 2004 (12) :240-241.
[5]张正兰, 许建.基于PKI的网络信息安全体系架构及应用研究[J].计算机与现代化, 2004 (1) :79-81.
[6]赵秦.计算机网络信息安全技术研究[J].中国新技术新产品, 2012 (14) :36-38.
[7].张明光.电子商务安全体系的探讨[J].计算机工程与设计, 2011 (2) :93-96.
[8]李明.一种基于身份的可认证群组密钥协商方案[J].计算机工程, 2009 (20) :1-2.
[9]李联.信息安全中的DES加密算法[J].现代电子技术, 2012 (9) :18-20.
网络信息安全管理员岗位职责 篇8
关键词:网络环境;档案信息;安全管理
中图分类号:G270.7 文献标识码:A 文章编号:1006-8937(2015)17-0123-02
档案信息会涉及到一些秘密性的资料,因此加强档案信息管理安全是工作性质的必然要求。网络信息技术的应用,对档案信息管理工作来说是迎来了改革的机遇,将进入到现代化的发展阶段。然而网络信息技术是一项非常复杂的技术,既涉及到软件又涉及到硬件,因此在应用的过程中需要进行不断的探索与研究。我国目前档案信息管理在网络环境下的发展情况还存在诸多的不足,因此必须加强对网络环境下档案信息管理安全体系的探索,以期促进我国档案信息管理的科学化。
1 网络环境下档案信息管理的内涵
档案管理就是指档案馆(室)直接对档案实体和档案信息进行的管理并提供利用服务各项业务工作的总称[1]。档案管理实际上既是管理性的工作,又是服务性工作,同时也是政治性工作。档案管理存在的意义就在于解决档案与利用档案者之间的矛盾。档案信息越来越呈现出信息量大、数据精准度要求高等特点,网络技术的应用恰好满足了档案信息管理的需求。通过网络技术对档案信息的管理,不仅可以提高信息的准确性,同时还可以提高档案信息管理的工作效率,降低档案信息管理的成本。档案信息管理越来越呈现出信息化、数字化、现代化的特征。
2 网络环境下档案信息管理现状及存在的安全隐患
随着信息技术的不断完善与提高,来自网络安全的威胁等级也越高,网络环境下的档案信息管理同样受到来自网络的安全威胁,并且这种威胁出现的频率和技术含量都呈现出上涨的趋势[2]。面对这样严峻的安全威胁挑战,档案管理人员的认识程度却不是很高,工作重点依然还是只关注于档案信息进入现代化的程度,忽视了对档案信息的安全管理。
2.1 网络环境
网络信息技术的应用,离不开网络环境的支持。由于网络技术是一个逐步发展与创新的过程,因此在网络系统设备方面存在不够完善的一方面,这就给网络环境下的档案信息管理安全带来了隐患。网络环境方面存在的漏洞,对于档案信息安全来说是一个薄弱环节,很可能造成档案信息的损毁和泄漏。由于我国本国的网络技术起步较晚、发展的还不够成熟,缺乏有效的档案信息安全防范技术,因此我国的档案信息管理必然会存在安全隐患。
2.2 设备层面
网络技术的应用需要以软件和硬件为载体。基于我国网络技术的有限性,在硬件方面我们还缺乏足够的自我研发和生产能力,目前硬件设备的核心技术还需要依托于从他国引进。而软件系统方面,我国发展的也不够完善,容易修改、复杂性等缺陷还在制约着我国网络系统的安全。在进行档案信息输入的过程中,我国主要使用的软件是腾讯QQ。尽管这类的传输软件已经进行了加密认证,但是认证级别却不是很高,面对技术较强的网络安全威胁还是无能为力[3]。设备设计中存在的漏洞对于档案信息管理来说是一种潜在的威胁,很可能对我国的档案信息管理造成重大的危害。
2.3 管理方法
在档案信息管理对网络信息技术加以应用之初,档案管理人员是需要经过培训,合格以后才能上岗的。但是随着网络技术的快速发展,在很短的时间内已经快速扩大到众多的生活、学习领域,对于档案管理人员的管理来说反而变得更加困难。除了管理人员难于管理之外,网络环境下的档案信息管理方法及相关制度还不够健全,在一定程度上也降低了档案信息管理的安全性。尽管国家颁布了相关的管理规章制度,但是缺乏具体的实施方案,在一定程度上制约了网络环境下档案信息管理的科学性,使其安全性受到极大的威胁[4]。
3 加强网络环境下档案信息管理安全的策略
3.1 加强电子档案的管理
由于目前我国网络环境存在漏洞,为了提高网络环境下档案信息管理的安全性,需要加强对电子档案的管理。①需要对电子档案进行专项的同步式管理。在对相关技术文件进行整理的过程中需要加强对档案的存储和管理,在整理原件档案信息的过程中需要对原件进行妥善的保管。②需要对同步管理加强控制。制定相关的制度,加大审核与研究的力度。③需要加大建设资金的投入。只有在保障资金充足的情况下,提高技术水平,改善网络环境,才能有效的降低档案信息管理的危险性。
3.2 健全档案信息管理的制度体系
由于档案信息管理具有政治性的一面,因此在构建档案信息管理安全方面,不仅需要档案馆(室)自身的努力,同时还需要政府的大力支持。在健全档案信息管理制度体系的过程中,既需要从内部进行建设,同时还需要外部建设的支持[5]。为了提供档案室的工作效率,还需要对未来档案室工作开展的管理方案及管理政策进行研究和制定。从外部政府方面来说,一方面需要在已经制定的规章制度的基础上,出台具体的实施方案,增强规章制度的可操作性;另一方面需要结合网络信息技术平台自身的特点,制定具有针对性的条例制度,以规范我国网络信息的发展和应用。
3.3 提高防范能力
在档案信息管理过程中,管理人员的素质起着重要的作用[6],管理人员是否具备安全意识对于网络安全的监控至关重要。因此,档案馆(室)需要加强对档案信息管理从业人员的培养,强化其安全意识,提高其防范能力。作为负责档案信息管理安全的人员,需要明确自身的工作职责,必须要时刻保持冷静,注意排查各种潜在的危险。另外,国家信息安全部门需要发挥自身的作用,协助档案馆(室)加强安保队伍的建设,加大对档案信息安全员的培训力度,以促进档案信息安全员个人素质和能力的不断提高。
3.4 克服系统的不足
档案馆(室)内的档案不仅有常规性的文件资料,还有一些档案资料是秘密性质的。保护秘密资料不外泄,也是档案信息管理的重要内容之一。随着科技的不断发展,移动存储设备应运而生,如U盘、移动硬盘、手机等。一旦存储设备与档案信息网络系统产生接触,那么很容易造成档案信息的损毁或者泄漏。如果是普通的档案信息后果还能够计算,但是如果是秘密资料被泄漏,后果将不堪设想。因此,在档案信息管理的过程中一定要严格禁止移动存储设备与档案信息网络系统中的涉密系统接触。
3.5 严格把控涉密人员的范围
为了提高秘密资料的安全性,除了需要严格控制移动存储设备与档案信息网络系统的接触外,还需要对涉密人员的范围进行严格的把控。首先,需要减少接触秘密资料的人员。秘密资料的保密性极强,接触的人越多,被泄漏的可能性就越大,所以要从涉密人员的数量上进行把关。其次,加大对保护秘密资料措施的研究。一方面要加强基础防范措施的应用;另一方面要对可能造成秘密资料外泄的环节加大控制力度,对于档案信息的存储、保管、销毁、传输等环节都应该加以重视。为了提高档案信息的安全性,在档案信息网络系统中还需要加强对安全防火墙的设计与应用,实现对档案信息网络系统的科学化监控。
3.6 加大研发软硬件力度
在计算机硬件设备和软件系统的共同作用下,网络技术得以在各个领域发挥作用。然而,目前我国的计算机硬件核心技术却依赖于进口,软件系统中也存在诸多不足。为了提高我国网络技术、完善我国的网络环境,必须加大对软硬件技术的研发力度。首先,需要加强对计算机人才的培养。各高校在开设计算机课程中,要注重对学生创意思维的培养及实践能力的提高。其次,加大对国外技术的研究和学习。国外计算机技术起步较早,理论较为成熟,技术水平较高。我国在进行自主品牌的研发过程中,需要虚心向国外学习,借鉴其成熟的经验,有助于我国在研发的过程中少走弯路。我国只有拥有了自主品牌的软硬件设备,档案信息安全才能从根本上得到保障[8]。
3.7 实施网络安全测评
在档案信息网络系统应用的过程中,难免会出现系统漏洞,为了能够及时发现并解决系统漏洞,因此需要对档案信息网络系统实施网络安全测评。也就是说为了提高档案信息网络系统的安全性,需要有计划的开展针对档案信息的内容、数据技术、漏洞、恶意代码、档案网站等的技术检测。通过开展有效的安全测评,不仅有利于提高档案信息网络系统的安全性,还有利于防止秘密资料的泄漏。
4 结 语
计算机网络的应用提高了档案信息管理的工作效率,这是值得肯定的,但是在多种因素的影响下,目前档案信息管理过程中存在诸多的安全隐患。如何提高档案信息管理的安全性,已经成为档案信息管理的重要内容之一。在档案信息管理安全建设过程中,既需要发挥档案馆(室)自身的作用,同时还需要政府发挥一定的作用。结合当下网络环境下档案信息管理中存在的安全隐患,本文提出了一些加强网络环境下档案信息管理安全的相关策略,希望能够对促进我国档案信息管理的发展起到一定的推动作用。
参考文献:
[1] 盛杨华.浅谈新形势下的档案创新管理与信息安全[J].办公室业务,2015,(5).
[2] 李牧.网络环境下的档案信息安全管理及其保密技术[J].网络安全技术与应用,2015,(2).
[3] 李静.网络环境下档案信息管理的探讨[J].电子技术与软件工程,2013,(20).
[4] 陈静.档案信息社会化服务面临的问题与强化策略[J].黑龙江档案,2014,(2).
[5] 黄靖.网络环境下档案信息管理安全的对策[J].兰台世界,2014,(20).
[6] 肖谋飞.浅析网络环境下档案信息资源整合管理[J].黑龙江史志,2014,(17).
[7] 刘生湘.基于网络环境下档案信息安全工作的思考[J].黑龙江档案,2014,(6).
【网络信息安全管理员岗位职责】推荐阅读:
网络信息管理及其安全01-29
网络信息安全管理策略07-16
网络信息安全管理论文03-03
网络信息安全管理制度09-28
机房、网络、信息、数据安全管理制度09-24
信息及网络安全管理办法02-19
信息网络安全07-13
网络和信息安全08-05
电力网络信息安全08-09
扫一扫微信支付