信息系统安全风险管理(共12篇)
信息系统安全风险管理 篇1
0引言
现阶段我国对互联网技术的应用越来越多,应用范围也越来越广泛。虽然互联网技术的发展在一定程度上促进了我国的社会经济发展,但是计算机信息中安全事件常有发生,很多的用户都因此受到了困扰。尤其是现阶段黑客的频繁出现,攻击计算机网络的形式与手段也越来越多,造成信息泄露的问题也越来越多, 计算机网络安全问题也因此引起了社会各界的关注。
1分析计算机网络安全的现状
总的来说,应用计算机进行处理的电子形式就是计算机信息,那么针对计算机来说,应用这一种信息传播能将人们所下达的任何命令都进行识别与处理。在计算机信息当中会涉及到很多个领域,比如:签订在线数据库以及多媒体产品的合同,都离不开计算机。在一些计算机的攻击时间中,一般常出现的问题是信息泄露,而且多数是因为内部而发动一系列的攻击行为。比如: 直接泄露信息或者无意泄露信息,再加上黑客的攻击,导致现阶段计算机当中的安全问题非常严重,在一定程度上引起了各相关单位的高度重视。
一般计算机的信息泄露会从3个途径形成,其中有电磁波辐射、网络设置以及存储介质。在其中出现最多的就是存储介质所造成的信息泄露,存储介质一般为移动硬盘、光盘以及U盘等, 它们都是与计算机进行连接后再传输或转移信息,如果存储介质中有病毒或者是不小心丢失的话,会在一定程度上造成计算机的信息泄露,所以要是在计算机的系统中,如果没有进行网络的权限设置,那么就会非常容易通过断点以及节点等将计算机中的信息进行传输,造成信息泄露。以上两种问题基本都是外来原因或者是人为原因,那么针对计算机自身的问题就是电磁波辐射泄露信息,这是计算机在工作状态中所形成的电磁波,所以要使用计算机中的特定设备就必须要应用电磁波辐射所获取的信息,这是作为一种不好防范的信息泄露方式,对计算机信息的网络安全有严重的威胁。
2计算机网络安全的影响因素
一般来说,计算机网络安全因素主要是由内部以及外部网络两方面所组成。外部网络的安全威胁一般是指黑客进行攻击。内部主要是来自一些内部用户的失误操作或者是恶意攻击等,下面我们来分析一下威胁计算机网络安全的因素有哪些。
2.1黑客攻击
计算机网络系统中的各个安全漏洞是黑客以及计算机病毒最重要的滋生地,而网络黑客会对数据进行恶意的窃取、损坏以及篡改等,一般来说,黑客的攻击基本分成被动攻击以及主动攻击两种,主动攻击主要是指攻击者会将数据进行有选择的伪造、 中断以及篡改,以此来达到非法盈利的目的。被动攻击是指攻击者对网络上所传递的信息流进行监听,并且认真的分析信息流, 以此获取有价值的信息。
2.2计算机病毒
计算机病毒多数是以Internet的传播来带给上网用户较大的危害,其中病毒还可能导致网络以及计算机的工作效率降低以及瘫痪,还能将计算机的硬件系统破坏掉,造成文件以及数据出现丢失以及破坏的情况,或者将重要的信息进行窃取。
2.3人为因素
人为因素所造成的计算机网络安全问题一般是因为安全管理的制度不太健全,安全管理的措施也不到位,加上网络的管理人员管理出现问题,还有一些内部的管理人员因为安全意识比较差所以造成泄密的情况出现,有些甚至会利用自己合法的身份蓄意破坏网络系统。
3计算机网络安全的对策
以上对现阶段计算机信息安全的现状以及其中所存在的问题进行相应的分析,下面我们来重点探讨一下如何有效的保障计算机的信息安全。
3.1身份认证
对维护计算机信息的安全来说,身份认证技术有非常大的作用,要是用户想在网络中传递信息,就必须要提供自身真实的身份认证才允许进行相应操作,因此身份认证技术不论是针对企业还是个人来说都能有效将信息完整性进行保护。在很多场合中应用身份认证技术能对信息传递安全进行有效保障。很多企业都将身份认证技术引入进来,对内部员工的身份认证数据进行综合, 这样就能有效避免有外来访客访问信息的情况出现。使计算机信息的泄露问题能很好防止,以此使计算机信息安全利用与储存能力大幅度提升。
3.2扫描漏洞
在计算机信息安全的维护中不仅要应用技术支持,还需要采取一些高效的安全防范措施。现阶段的网络环境日益复杂,而单单靠网络工作人员的经验将网络漏洞找出基本上是无法完成的事情,因此必须要对网络安全中的扫描技术合理应用,如优化系统或应用打补丁等方法来使系统漏洞问题有效解决,以此使安全中所潜在的隐患能很好消除。还能在上级批准的情况下应用对应的黑客工具来攻击网络,这样做能使系统当中的漏洞暴露出来, 以此及时对漏洞进行修整,杜绝这一类的问题出现。
3.3入侵检测
应用防火墙技术只会对外部网络进行保障,但是无法进行内部网络的保护,而在内部网络当中同时也存在很多安全隐患。应用入侵检测技术能对防火墙所不能保护的方面进行补充,对其中的不足进行分析,入侵检测技术还能有效监控内部网络,要是发现网络遭受非法入侵,就会及时进行反应,自行进行阻挡,在一定程度上使信息的安全性有效提高。
3.4防火墙
在计算机信息安全的保护措施中,防火墙技术是最有效的措施之一。因为如果在网络对外接口之上应用防火墙技术,对网络设置安全屏障,那么就能对所有进入的数据来源进行鉴别,如果发现不良情况就立即进行屏蔽,因此应用防火墙技术能在最大限度中对黑客访问进行阻止,以此避免其网络信息出现更改或者是删除,现阶段的防火墙技术已广泛应用,在一定程度上也有了非常好的作用与效果。
3.5网络加密
在计算机信息的安全维护中,网络加密技术是非常基本的一个方式,主要是应用加密形式将信息保护起来,避免网络中恶意的病毒攻击,因此针对网络当中的安全建设来说,有非常重要的作用。要是应用网络加密技术,在对私人以及公用信息进行传递的时候,就可以将传输信息的IP包进行一定的加密,以此使数据准确以及完整性能得到保障,而这种方式能将在传输信息的过程中所会遭遇的安全问题有效避免。
4系统容灾
系统容灾技术也可以分成异地以及本地的容灾技术。其本地容灾技术又能分成:快照数据保护技术、磁盘保护技术、磁带数据备份技术等。而本地服务容灾如果从实现的技术上可以分成: 本地集群技术以及双击热备技术。而异地的容灾技术能分成:网络、服务以及远程数据等容灾技术。
远程数据容灾指的是将本地数据进行在线备份,降低在异地数据的系统当中进行保存,一旦灾难发生之后,就可以进行数据重构达到保护业务数据的目的。服务容灾技术主要是指当有灾难发生的时候,必须将生产中心所存在的所有业务进行转移,到容灾中心来进行运行。还要确保服务中能做到自动无缝的迁移,使用户不会感受到提供服务主体出现了变化。网络容灾技术指的是当网络被各种故障所损害时,因为人为及客观的因素造成的通信事故,在此情况下,仍然可以将业务质量能力有效的维持。
5结束语
综上所述,因为我国计算机网络业务大幅的增加导致计算机信息的安全问题日益严重,所以必须要采取有效的措施来维护计算机信息的安全。在维护的整个过程中,科研人员及网络管理人员也需要将自身的专业水平不断的进行提升,以此探讨出高效的安全防护措施,使恶意的网络攻击可以有效杜绝,使我国计算机信息的安全问题得到有效改善,并以此促进互联网技术的不断发展。
信息系统安全风险管理 篇2
信息系统的安全,是指为信息系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏,以保证系统连续正常运行。信息系统的安全方案是为发布、管理和保护敏感的信息资源而制定的一级法律、法规和措施的总和,是对信息资源使用、管理规则的正式描述,是院内所有人员都必须遵守的规则。信息系统的受到的安全威胁有:操作系统的不安全性、防火墙的不安全性、来自内部人员的安全威胁、缺乏有效的监督机制和评估网络系统的安全性手段、系统不能对病毒有效控制等。
一、机房设备的物理安全
硬件设备事故对信息系统危害极大,如电源事故引起的火灾,机房通风散热不好引起烧毁硬件等,严重的可使系统业务停顿,造成不可估量的损失;轻的也会使相应业务混乱,无法正常运转。对系统的管理、看护不善,可使一些不法分子盗窃计算机及网络硬件设备,从中牟利,使企业和国家财产遭受损失,还破坏了系统的正常运行。因此,信息系统安全首先要保证机房和硬件设备的安全。要制定严格的机房管理制度和保卫制度,注意防火、防盗、防雷击等突发事件和自然灾害,采用隔离、防辐射措施实现系统安全运行。
二、管理制度
在制定安全策略的同时,要制定相关的信息与网络安全的技术标
准与规范。技术标准着重从技术方面规定与规范实现安全策略的技术、机制与安全产品的功能指标要求。管理规范是从政策组织、人力与流程方面对安全策略的实施进行规划。这些标准与规范是安全策略的技术保障与管理基础,没有一定政策法规制度保障的安全策略形同一堆废纸。
要备好国家有关法规,如:《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《商用密码管理条例》等,做到有据可查。同时,要制定信息系统及其环境安全管理的规则,规则应包含下列内容:
1、岗位职责:包括门卫在内的值班制度与职责,管理人员和工程技术人员的职责;
2、信息系统的使用规则,包括各用户的使用权限,建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的登记制度,实现对网络客户、IP地址、MAC地址、服务帐号的精确管理;
3、软件管理制度;
4、机房设备(包括电源、空调)管理制度;
5、网络运行管理制度;
6、硬件维护制度;
7、软件维护制度;
8、定期安全检查与教育制度;
9、下属单位入网行为规范和安全协议。
三、网络安全
按照网络OSI七层模型,网络系统的安全贯穿与整个七层模型。针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的以下层次:
1、物理层安全:主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)。
2、链路层安全:需要保证网络链路传送的数据不被窃听。主要采用划分 VLAN、加密通讯(远程网)等手段。
3、网络层安全:需要保证网络只给授权的用户使用授权的服务,保证网络路由正确,避免被拦截或监听。
4、操作系统安全:保证客户资料、操作系统访问控制的安全,同时能够对该操作系统的应用进行审计。
5、应用平台安全:应用平台之建立在网络系统上的应用软件服务器,如数据服务器、电子邮件服务器、WEB服务器等。其安全通常采用多种技术(如SSL等)来增强应用平台的安全系统。
6、应用系统安全:使用应用平台提供的安全服务来保证基本安全,如通过通讯双方的认证、审计等手段。
系统安全体系应具备以下功能:建立对特等网段、服务的访问控制体系;检查安全漏洞;建立入侵性攻击监控体系;主动进行加密通
讯;建立良好的认证体系;进行良好的备份和恢复机制;进行多层防御,隐藏内部信息并建立安全监控中心等。
网络安全防范是每一个系统设计人员和管理人员的重要任务和职责。网络应采用保种控制技术保证安全访问而绝对禁止非法者进入,已经成为网络建设及安全的重大决策问题。
信息系统安全风险管理 篇3
关键词:空管安全风险;管理信息系统;优化;实施
鉴于空管安全风险的复杂性及安全管理需求的不断提高,管理信息系统的设计开发不是一劳永逸的,需要在系统建设的各个阶段进行有目的的跟踪评价,发现系统的薄弱环节并对其进行优化,实现空管安全风险管理信息系统的不断完善。本文采用理论与实际相结合的分析方法,以可行性和适用性为指导对系统进行优化设计,以期完善空管安全风险管理信息系统的综合性能,提高空管安全風险管理水平,保障我国民航事业又好又快发展。
一、空管安全风险管理信息系统优化的目标
空管安全风险管理信息系统优化的目标是通过系统调优及软硬件优化使系统架构更加明晰,使其能够进一步满足用户需求。应用先进的技术保障数据的安全性和系统的完备性,提高系统的易用性和可靠性。
二、空管安全风险管理信息系统优化的原则
(一)以用户为中心原则
优化的过程中需要用户的积极配合,尤其是中高层领导的支持,通过与用户的反复沟通进一步全面而充分的了解用户需求。
(二)持续改进原则
空管安全风险管理信息系统的优化工作是一项庞大的系统工程,不可能一蹴而就,也不可能是一劳永逸的。需要在执行中应坚持整体设计、分步推进的方法,通过连续性的改进,实现系统各项性能的不断优化。
(三)局部服从整体原则
依据系统的客观整体性,在空管安全风险管理信息系统优化的过程中要着眼于整体利益,考虑问题要讲求全面性和整体性,避免片面的、孤立地考虑问题。
(四)先软件后硬件原则
在不增加设备、网络等硬件成本的情况下,尽量挖掘软件方面的潜力,当软件方面的性能都挖掘差不多时,再考虑对硬件方面的优化,即要用尽可能少的成本带来尽可能大的效益。
三、空管安全风险管理信息系统优化方案的设计
(一)系统功能结构的完善
1、在指标预警的基础上增加实时预警功能
实时预警功能是通过人为或自动启动相应的实时预警指标来直接的以预警告警的形式达到风险预控的目标。主要是从宏观的角度来反映空管局单指标运行状态及指标之间相互作用后各个部门乃至整个空管局的安全运行情况,并通过预先设置指标警戒值,当指标未达标或超限时都能自动发出告警,提醒安全管理人员对安全隐患的注意并及时采取安全措施。它可以提高危险源收集的有效性和针对性,由此更加快捷有效地制定相关的安全建议和措施。
2、添加决策支持系统
决策支持系统是以管理科学、行为科学和决策科学为基础,以计算机技术和人工智能技术为手段,辅助中高层决策者利用数据和模型解决半结构化或非结构化问题的人机交互式的信息系统。
(二)系统界面优化
在系统优化的过程中,应该从规划合理的输入输出设计、界面空间布局、错误控制与帮助等方面对系统进行优化。需要对用户界面进行美工设计,尽可能的使系统体现出界面更加友好、美观和简洁的特性。可以试着将不同的操作界面整合到一个层面上,对界面的信息直观性、可操作性进行重点改进,使得用户操作更加灵活。
(三)查询响应效率的优化
空管安全风险管理信息系统的查询操作在各种数据库操作中所占的比例最大,查询效率是用户首要关心的问题,也是数据库系统的重要性能指标之一。可以尝试建立索引、表分割或优化查询语句等方法提高系统的查询效率。
(四)安全策略的优化
空管安全风险管理的特殊性和复杂性,对系统的安全性能要求较高,为了保证空管安全风险管理信息系统能够可靠地正常运行,一定要重视系统的安全性问题,系统投入使用过程中要保证不会出现数据丢失等现象,并保证数据的一致性、并发性和可移植性,而且要具有定期
四、优化方案的实施保障
空管安全风险管理信息系统优化方案的实施是一项非常复杂而艰巨的工作,除了要考虑实施过程中可能遇到的各种问题,系统开发者与系统使用者之间要进行有效的沟通外,还需要用户的全力支持及相关管理制度的保障,只有各项保障措施都得到了有效落实,才能确保优化方案的成功实施。具体来说空管安全风险管理信息系统优化方案有效实施的保障措施包括:
(一) 全体人员的支持和理解
在优化方案实施之前,需要将系统优化的流程、涉及的范围和优化内容等相关信息在实施领导小组和相关部门的业务骨干中进行宣传,获得领导层和执行层人员的重视,为后续工作的开展扫除障碍。同时,应对系统操作人员进行培训,使他们对系统有一个全面、细致的了解,尽快掌握系统基本功能的使用、操作及维护,力争培养既懂技术又懂管理的复合型人才,从而为系统优化及方案实施提供真实可靠的信息支持。
(二)建立优化支持团队
在空管安全风险管理信息系统优化的过程中,应当建立一支由空管业务和信息技术两方面专业人才组成的团队。既能加深对空管业务流程的了解,准确把握用户需求,又具有管理信息系统设计经验。团队内能够进行有效的沟通,及时发现系统中存在的因对用户需求把握不准确而出现的误差,进而设定科学的系统建设目标,确定系统的架构。强大的支持团队是系统建设及优化方案成功实施的关键。
(三)专家参与
专家在该领域具备丰富的经验,可以提升系统规划的科学性、使系统优化工作少走弯路,并且对优化方案的实施起到把关的作用,确保优化工作的顺利进行。
(四)加强空管安全文化建设
良好的安全文化能激发人的主观能动性,使人发挥最大潜能,聚集安全行为的集体力量、社会力量以及环境气氛,形成自然强制力,潜移默化地深入到人的思想中,以达到保障空管安全风险管理信息系统优化方案有效实施的目的。
(五)建立标准化制度保障
优化的过程中要注意统一各子系统之间的数据格式、建立健全系统数据接口,为更高层次的数据挖掘打好坚实的基础。另外,应当对数据源分析整理、数据标准化、数据模型设计、体系结构设计等基础工作给予充分的重视,为日后系统的对接、扩充、整合做好充足的准备,(六)对系统优化过程进行实时监控
空管安全风险管理信息系统优化工作涉及面广,技术难度大,应当对优化实施的过程进行全面的、客观的跟踪调查,对系统的优化效果进行实时监控,及时发现优化过程中存在的问题,并对优化方案进行相应的调整,确保空管安全风险管理信息系统优化工作的顺利实施。
五、结论
本文结合我国空管安全风险管理信息系统建设的现状和特点,从系统功能结构、界面设计、查询效率及安全策略方面提出优化方案,并提出优化方案有效实施的保障措施。
参考文献:
[1]王瑶.建设银行管理信息系统优化研究[D].西北大学,2009.
[2]赵建松.促进安全文化建设促进空管持续安全[J].空中交通管理, 2010,(4).
[3]陈娟娟,徐静瑞.基于Web的管理信息系统优化机制研究[J].中原工学院学报,2009,(3).
[4]孙宁.一个企业管理信息系统的设计与优化[D].华中科技大学,2005.
[5]孙荪,皇甫正贤.基于数据库的大型管理信息系统优化设计[J].计算机应用研究,2001,(6).
信息系统数据安全及管理 篇4
信息系统数据安全管理即针对企业信息的丢失, 泄露, 篡改以及被破坏等一系列的防御措施, 为企业信息系统提供保密性、完整性、有效性、综合性技术服务, 保护企业信息系统的安全, 不因偶然的或恶意的原因而遭受破坏、更改、泄露, 确保信息系统的安全可靠运行, 切实提高效率和服务质量, 使信息系统更好地服务于公司的整体运营和管理, 特制定有效的综合性安全管理方案.
二、现状分析:
1、信息系统保护措施单一:
一般企业使用的都是内部服务器、数据库、交换机、OA系统等平台, 但是这些企业除了使用一般的安全保护体系, 例如防火墙、防病毒软件、数据库审计、口令密码等, 基本没有专门的技术智能化保护措施对这些核心资源进行有效保护。
2、信息系统的被动运维:
企业在不断建设和升级信息应用系统, 随着各应用系统功能模块不断完善, 业务数据不断累积, 企业往往会忽略掉信息系统的安全性, 信息安全处于被动的状态, 发现问题了才来解决问题, 缺乏主动性;
3、信息系统运维技术缺乏:
一般企业除了使用基本的防护软件保护措施外, 没有设立专业的信息运维团队, 做不到专人专项的对信息系统进行系统化和全面化的管理和维护, 所以导致信息系统的的裸露性和可入侵性。
三、安全管理方案及运维流程:
<一>建立运维技术团队, 形成集中监控、综合管理、快速解决和及时预警的运维模式;
<二>建立一个集中的监控管理平台, 对应用系统进行及时有效的监控和管理:
1、定期排查:
定期的对信息系统进行预防性排查, 对应用系统进行可用性检查、日常预防性检查以及系统备份状态检查并做好记录。
2、问题解决:
在运维工作中, 发现系统故障及缺陷时, 对应用系统各类问题事件完成一线处理以及二线的技术支持及处理, 对系统问题进行分析并完成问题的处理
3、定期维护:
每月对应用系统的管理员账号、用户账号、权限配置进行清理检查, 确保用户账号的有效性。定期对应用系统数据进行备份和各功能模块健康性检查。
4、系统性能监控和优化:
随着业务系统用户量及功能要求的不断提升, 定期对系统性能进行监控, 避免业务系统出现性能瓶颈导致系统无法正常使用, 完成综合事务管理系统数据库优化工作, 提升系统响应速度。
5、系统升级:
对应用系统进行版本管理, 对原授权软件进行修正和升级, 消除运行中潜在的隐患。
6、系统安全加固:
定期对应用系统开展渗透性测试和安全漏洞检查, 系统安全加固及应急支持。
7、系统安全备份:
根据业务系统的实际情况制定软件和数据备份与恢复方案, 并对备份情况进行检查, 安排人员对备份文件进行恢复测试, 以确保备份文件的有效性与可恢复性。
流程图如下:
四、总结:
信息系统安全管理办法 篇5
目的为保证集团计算机信息系统的平安,防止信息泄密,特制定本管理办
法。
2.0
适用范围
本规定适用于本集团的全体员工;适用于本公司所有办公用计算机、网
络布线和网络连接设备。
3.0
职责
集团人力行政中心统一负责管理和维护集团各公司的计算机、打印机、电脑网络等办公自动化设备及各类软件,并对计算机系统平安保密工作进行指导、协调和监督检查;各部门主管负责本部门办公设备和信息系统的平安保密工作,应指定专人经常进行信息的平安情况检查;定期查、杀病毒,确保系统平安运行。
4.0
具体管理方法
4.1
设备平安管理
4.1.1
非设备维护人员,不得私自拆装计算机设备,不得私自变更网络设备的连接,对非法操作造成的财产损失和网络重大故障的有关人员,要追究
责任。
严禁带电拔插计算机上的所有连线和设备〔键盘、鼠标、打印机、软件
狗等〕,以防止损坏设备。
4.1.3
除不可抗拒的原因外,禁止非法开、关机,关机后再次启动电脑的间隔
时间不得低于1分钟。
对外来软盘、u盘等介质应先杀毒,以消除可能带有的病毒。
严禁在开机状态下移动计算机主机等设备。
4.1.6
未经人力行政中心IT部门登记,不得将外来的笔记本电脑等设备私自接
入公司网络。
4.2
软件平安管理
4.2.1
计算机上使用的系统软件由集团人力行政中心有关技术人员进行安装,各部门使用的自购或开发的软件必须由集团人力行政中心技术员检查确认平安问题并建立软件档案前方可使用。
计算机使用人员应遵守如下规定:
〔1〕不得随意修改计算机和网络上的配置参数、程序及信息资源;
〔2〕未经防病毒检查和平安性检查,不得随意拷入外来程序及数据;
〔3〕不得私自从因特网上下载非工作必需的软件,以免影响其他人上网的速度。
〔4〕不得安装与工作无关的软件,严禁办公时间在电脑上玩游戏、上网浏览色情网站或下载游戏软件,工作时间不得上网聊天或进入交友网站。
4.3
信息平安管理
4.3.1
各计算机用户负责妥善处理本人使用的计算机上的信息,未经许可不得
随意拷贝、打印保密信息。
4.3.2不得向网络输入有害程序和信息或利用网络查询、传播各种违法信息。
4.3.3向网站发布信息必须按相关规定审批前方可发布。
4.3.4需长期保存的文件不得放置在电脑C盘,应放在D、E等盘,并及时备份〔建议采用光盘或U盘的方式,尽量不使用软盘方式〕,以免由于系统出错格式化造成文档丧失,如因硬盘损坏等原因造成信息丧失的后果由当事人及部门主管负责。
任何部门或个人发现计算机信息系统泄密和存在不平安因素,应及时报
告集团人力行政中心IT部门采取措施补救。
5.0
违反本管理方法按?奖惩制度?处理。
6.0
本管理方法解释权归属集团人力行政中心。如原有规定与本管理方法有冲突,以本管理方法为准。
7.0
计算机信息系统安全问题与管理 篇6
关键词:计算机;信息;系统;安全;管理
中图分类号:TP309
计算机信息系统的安全关系到用户的使用,随着我国网络发展的加快,对于信息系统安全管理的重视程度也在逐渐的加强,而目前我国计算机信息系统在管理方面依然存在诸多的不足,本文重点对目前存在的问题和如何解决进行了详细的探索。
1 计算机信息系统安全问题
1.1 网络配置的缺陷
网络配置包含的因素较多,例如原件服务器以及防火墙都是网络配置中非常重要硬件设施,而网络传输效率较低,有很大程度上是由于服务器配置不当造成的,当路由器的配置出现故障,从而无法连接到网络,也会对防火墙的保护系统较大成都的降低,造成非常恶劣的后果。系统上讲,计算机网络安全受到的威胁主要包括两个方面,首先是网络在管理上存在漏洞。例如电子文档在授权访问以及在传输过程中存在一定的缺陷,导致内部的控制管理较为薄弱,其次是网络安全体系不够健全,网络密码保护较为脆弱,而登录系统由于不够健全,因此对网络的监控存在诸多的不利因素。网络配置的缺陷是最常见也是最基本的问题。
1.2 系统维护管理不科学
随着我国计算机科学技术的不断发展,因此在计算机系统中软件在不停的进行跟新,在系统升级以及系统维护的过程中,防火墙过滤系统太过复杂,造成了日常维护无法保证系统的安全,甚至会造成新的漏洞,因此从这个方面可以看出计算机系统在升级的过程中要做到高效升级,完全的对计算机进行维护,将计算机风险降到最低。
1.3 病毒的大量入侵
计算机病毒和人类病毒在原理上类似,都是通过不断的自我复制而破坏计算机系统,计算机病毒在没有激活的状态下是不能发挥其作用,但是一旦被激活,就能够通过网络进行大范围的传播,从而导致计算机运行速度大幅度的减慢,甚至会导致主板的破坏,最终导致数据的丢失。那么计算机病毒从管理的角度来看,是因为管理手段和技术手段不完善而造成的,而没有防火墙以及前缺乏安全意识是导致计算机系统中毒最主要的原因。
1.4 计算机操作系统漏洞导致的泄密隐患
目前世界上绝大部分的计算机都是采用windows操作系统。但是从这个系统的原则上讲,无疑存在非常多的漏洞,因此安全问题尤为突出,例如在多数情况下,我们认为计算机和互联网相连,不会泄漏个人的隐私,但是通過实际的检查发现,在互联网联通的情况下,能够取得对计算机的控制权,甚至能够对麦克风进行即使得监控,因此麦克风就成为了一种窃听器,导致了计算机内的所有人的通话都能够被窃听到。
2 计算机信息管理系统安全的对策探讨
2.1 保证计算机信息管理系统结构设计科学合理
首先要保证计算机系统在结构和功能方面的合理性,就必须注重的强调计算机网络运行系统的质量和网络安全,制定合理的技术优化方案,确保计算机信息系统的安全。同时相关部门对于网络的功能性需要进行限制,例如网络传输的数据资料容易被窃取和盗用,这些都是需要在日常管理中重点进行关注。
原因是局域网在进行数据传输的过程中,主要是采用交换机为中心,以路由器为边界进行网络数据的传输,另外交换机也具有范访问和控制功能,所以采用物理分段和逻辑分段两种典型的方式能够实现对计算机信息管理内局域网的安全性进行控制,防治他人对计算机进行控制,防治窃听和截取,但是在一定程度上也保证了信息系统的流畅性。
2.2 强化计算机信息系统安全防范与管理
对信息系统进行安全防范管理,在一定程度上能够保证计算机系统的正常进行,同时这也是计算机管理系统中重要的任务之一。在这个基础上必须对计算机信息管理系统的访问功能,权限控制和安全管理等模块进行详细的划分。对于计算机加强安全防范,不仅仅局限于对计算机信息管理系统制定相应的安全防范和控制措施,同时还需要保证计算机信息管理系统不被非法的用户攻击,后者是保护计算机信息管理系统最为重要的方法,而这种方法的技术手段,常常是安装防火墙,原因是,防火墙是一个阻止网络中非法用户对计算机系统进行攻击的重要保障,也是控制计算机信息交换的基础保护措施。
2.3 安全的上网浏览措施
在浏览网页的过程中,很容易的知道上网的IP地址,以及知道操作者的操作系统和访问次数,甚至自己的浏览习惯都有可能被知道,这些在网络上留下的“痕迹”无疑被攻击的概率会大大的增高,例如目前网络上经常会发送木马,对用户的数据进行盗取,以及对用户的个人资料进行更改,而采用代理服务器以及使用网上中间人可以降低被攻击的风险。
Cookie上网过程中留在硬盘中的小记录,因此在上网的过程中,绝大多的信息,就包括用户在注册网站过程中留下的信息以及留下的电话号码,很可能Cookie是大家隐私泄漏非常种重要的因素。因此在上网的过程中对Cookie进行定期的清楚无疑是非常良好的上网的习惯。
使用类似匿名发邮件的网站以及POP3等工具进行收信或者是发邮件是在工作和学习中很好的习惯,这样的电子邮件一方面很难进行查询,另外一方面还可以进行加密设计,因此让计算机被攻击的概率大幅度的降低
2.4 对传输的信息实行安全保护策略
信息传输的安全策略主要是从分级保护这个方面来阐述,从技术方面进行着手,能够对方案实行管理,规范其中的安全性。根本问题就是在计算机使用过程中,采取一套完成有效的规范措施,严格对计算机现边界防护。强化内部控制和安全保密的策略,提高涉密人员的安全保护策略。同时还需要加强对网路信息的安全管理,实现信息传输的有效性和安全性。
2.5 对信息进行备份和回复
对于计算机信息系统的备份而言,主要是由备份设备和备份系统共同完成的,那么常见的备份是通过光盘和移动硬盘完成的,一般情况下,计算机的备份应该按照以下策略进行完成:全备份、增量备份、差分备份。当然在这几个因素中,每一种备份都有其优势和劣势,因此造作者可以根据自身的情况对数据进行备份,而操作者的备份习惯在对计算机使用过程中是非常重要的。
2.6 分时保护
计算机信息的储存和使用是一个持续性的过程中,因此在对计算机信息系统的保护也应该更具储存的特点变化,因此安全防护措施也应该是在动态以及连续的状态下完成,而动态保护措施要贯穿整个数据的生成到结束的整个生命周期,因此一时间轴为横坐标,计算机对于数据进行保护和响应,在不同阶段应该采取不同的对策,最终实现对计算机信息系统合理的保护,将风向降到最低。
3 结束语
总之,计算机信息系统安全是我国未来计算机运用中重点关注的问题,对于网络安全和隐私保护具有积极的作用,而相关的网络管理人员要定期的对网络信息安全进行检查,防治造成不必要的损失。
参考文献:
[1]刘广良.建设银行计算机网络信息系统安全管理策略研究[D].湖南大学,2010.
[2]杨军,毕萍.浅谈计算机网络通信安全[J].电子设计工程,2012(06):89-92.
[3]郭郁洁,陈彬茹.计算机信息安全体系研究[J].电脑编程技巧与维护,2011(10):110+122.
作者简介:赵利锋(1979.07-),男,陕西西安人,北京分院副院长,工程师,学士学位,研究方向:信息化规划、网络信息系统的安全防护。
信息系统安全风险管理 篇7
1.1 医院信息系统的作用
医院信息系统内涵丰富, 涵盖门诊 (住院) 收费、门诊、住院病区、中西药房、物资库房管理等信息, 包括住院系统中的费用管理、医嘱管理、护理管理、床位管理、病案管理以及药库药房出入库调拨和电子病历与门诊处方等的管理, 更有医院临床检查检验标本、采集检验结果的传输信息、影像信息等。医院信息系统能很好地管理涉及医院的钱、财、物等诸多环节, 能较好提高医院的管理水平、提高其管理的效果, 特别是多种形式的病案信息为医院的科研、教学提供了丰富的实践经验, 是提高医疗质量的重要途径。现在医院管理信息系统已实现了临床管理的现代化、信息化、网络化、电子化, 为病人疾病的诊断和治疗提供了巨大帮助。信息化的医院管理系统为医院的资源配置合理优化, 为医院整体医疗竞争力的提高, 为医院的发展、治疗质量与品质的提升提供了信息支撑。
1.2 医院信息系统安全风险管理的意义
医院信息系统的资源数据化为优化工作流程、提升工作效率、提高综合竞争力、增加经济效益与社会效益奠定了信息基础。当前, 我国有近三分之一的医院实现了信息管理, 再次证明了信息系统在医院管理中重要的地位。但信息系统对医院来讲是一把双刃剑, 一旦医院信息系统安全风险管理不到位, 或出现这样那样的错误或漏洞, 其带来的负面作用将是巨大的, 或者说很可能其负面影响是难以挽回的。因此, 强化对医院信息系统安全风险管理显得特别重要。医院信息系统的安全俨然成为了医院安全发展的基础, 成为医院生存、发展、壮大的最基本的保障。医院信息系统的安全为推动医院改革进步与整个医疗事业的发展提供了强大助力, 为医院领导制定更加合理精确的决策提供了智力帮助。医院信息系统安全风险管理意义重大, 提高医院信息系统安全防范意识, 完善安全制度, 对医院信息安全风险管理实施严格的控制具有积极的作用, 是医院信息系统安全风险管理的重点。
2 医院信息系统安全风险管理问题与控制
2.1 信息安全隐患
医院信息系统是基于电脑与网络形成的, 在安全风险管理上具有天然的脆弱性, 其脆弱性涵盖信息系统体系本身与安全模型、安全风险等级的判断以及信息系统安全管理的诸多环节甚至是细节。医院信息系统安全风险管理的节点在于医院管理信息系统的开放体制和医院信息系统所需的保密性相矛盾。医院的信息管理受到计算机操作系统、开放的网络、需保密封存的数据库管理系统等矛盾之间造成的不和谐的制约。假如医院的用户系统和安全策略留在安全隐患就会导致医院信息系统管理出现漏洞, 同样受制于电脑网络等使用者知识、技能、水平的限制, 缺乏电脑安全常识或者操作系统基本知识的信息管理者, 其带给医院信息系统安全风险的概率会增加。医院的信息系统管理的风险还在于它面临包括地震、火灾、水灾、闪电等部分不可抗拒性灾害所带来的危害, 更涵盖许多人为的如信息诈骗、故意的破坏等不确定的因素威胁, 还有许多诸如信息被窃取、电脑病毒、黑客入侵破坏等隐患, 直接导致了医院信息系统安全风险管理趋于复杂化。
2.2 信息安全风险控制
对医院信息系统实施安全风险管理主要的途径, 是对信息安全风险予以风险评估并给予科学控制。主要是通过对医院信息系统进行主动性的、科学性的、系统性的风险识别与评估, 从而进一步采取有效的措施进行监控管理, 从客观上降低信息安全的风险系数。从医疗信息系统的安全性要求出发, 按照信息安全风险管理的规律科学优化管理手段、合理设置安全防护措施, 物理手段与网络控制手段双管齐下, 从信息主机到网络应用各个层面入手, 来确保信息的保密、完整、真实、可用等特性, 这是提高医院信息安全防护能力的关键。
3 信息系统安全管理的策略与措施
3.1 构筑信息安全体系
医院信息安全风险控制体系, 其安全策略的制定应依据医院的院情, 确定信息安全系统要达到的目标与未来发展的战略方向相结合, 做到未雨绸缪。尽量采取全方位性、动态性、循环性的方式去完成这一过程。医院信息安全体系策略制定的原则就是未雨绸缪、防微杜渐。医院信息安全防护具体要做到“门难进、脸难看、信难求、进的来、逃不出”的目标。所谓“门难进”是指医院的信息库或其他任何信息都被封存保护起来杜绝外来的“访问”, 也不允许外来的信息内容肆意进来;而“脸难看”是指医院的信息特别是敏感信息与内容需要得到授权才能看得到其真正的“面纱”;“信难求”是指对重要的有敏感内容的机密文件进行了加密处理, 其他“外来者”“求不到”;“进的来、逃不出”是指即使进来了入侵者, 也不能把信息拿走使用或任意篡改, 或者说只要入侵到了医院的信息安全防护网, 做了不该做的事, 就会被信息系统中设置的审计、监控、签名等“障碍”锁住, 确保了医院信息系统的绝对安全。
3.2 构筑严密的信息安全管理网
信息系统安全防护的关键点在于要有科学有效的系统维护程序、维护方式、呵护制度, 确保能保护医院管理信息系统的各种数据、机要文件, 使所有数据信息有备份存在或实施异质备份等。特别是维护信息系统时必须得到安全管理人员的允许, 在受到全方位监督的情况下才能进行。系统维护要有档案记录, 做到有案可查, 维护的时间、地点、故障原因、排除的方式、信息维护内容和前后的结果等情况详细、清晰。
信息系统安全防护的关键点还在于要有科学的应急预案。譬如在受到黑客、病毒等外来攻击时应迅速切断与外界的联系, 屏蔽外来的一切信息。网络设备与医院的各个工作站都要安装病毒防火墙、安装备份服务器特别是信息主服务器、备份服务器每日都要备份数据, 必要时要有备用电源, 谨防紧急停电导致信息数据丢失。
3.3 培养高素质的信息安全管理人才
人才是一切事业成败的关键。医院信息系统安全防护归根结底在于培养一支高素质、专业化的信息安全管理队伍。医院领导要高度重视信息安全管理人才的培养与引进工作, 给予他们参与医院信息系统软件的管理、开发、应用等工作机会。使其全程参加信息系统程序的测试、试运营、效果评估和工程验收等具体工作, 尽快使其通晓医院的各种业务和工作流程, 使其有机会梳理好医院信息系统与功能模块间的内在联系。在医院信息畅通、安全、高效、快捷传输等方面发挥决定性作用, 使医院的信息系统为医院的高效管理、有序运营、经济效益与社会效益双提升能做出贡献。
4 结语
医院信息系统安全风险管理关键在于医院领导的重视、健全建立科学合理的安全风险规避制度、强化对信息安全防护知识的宣教、建立信息系统安全监控机制和风险评估组织与运行质量检测机构、完善对重要信息与文件的安全防护。医院信息系统安全风险管理事关医院的生存、发展壮大, 事关医疗事业的腾飞, 事关社会稳定, 必须予以重视。
摘要:当前, 医院信息系统在医院的全方位管理运行中起到了不可或缺的作用, 尤其是在医院信息已纳入计算机网络系统的情况下, 其信息种类、数量庞大, 其中包括敏感、机密的信息, 如果发生人为或意外故障导致信息外泄难免会给医院甚至整个医疗事业造成不可挽回的损失和难以估量的社会影响。基于此, 将就医院信息系统安全风险管理这一问题展开研究, 希冀为医院信息系统安全管理的有关人员提供理论参考。
关键词:医院,信息系统,安全风险
参考文献
[1]刘建华.浅谈计算机信息系统的安全防护[J].电脑知识与技术, 2008 (36) .
信息系统安全风险管理 篇8
1 电力信息系统的风险分析与具体的防控措施
1.1 电力信息系统的风险分析
通过对电力信息系统风险进行分析, 就能够有效保护整个电力信息系统的安全[1]。首先可以发现, 电力信息系统的风险具有十分明显的不确定性特征, 这是由于电力信息系统的风险本身就是客观存在的, 这种存在带有明显的不确定性。其次, 其风险具有多样性, 电力信息系统其遇到的风险既可能是物理层面, 也可以是逻辑层面, 同样可以是安全管理方面, 其中的物理层面包含了访问、审核等, 逻辑层面包含信息的保密、完整等, 安全管理则包含了人员角色管理、系统管理等。接着, 电力信息系统遇到的风险是具有动态性质的, 其存在着多种变化形式, 甚至不同的阶段还会出现不同的风险。最后, 风险虽然存在不确定性但是能够从长期的风险事件或者是经验中得到其规律。
1.2 电力信息系统的防控措施
物理安全是指整个电力信息系统中的各种软件、硬件以及物理设施[2]。网络安全中包含了网络结构安全和访问控制与安全检测。首先网络结构安全就是需要对整个电力系统中的业务网、办公网、外网之间独立形成一个合理的分布, 保证当其中一个系统出现风险时不会殃及到其他系统。其次电力业务系统应该与Internet公网进行物理隔离, 增设防火墙。
管理安全, 逐渐完善与规范一个风险防控机制, 采用专业人才进行管理安全工作, 另外还需要建立一个管理方面的制度, 从基础的人员管理、机房管理、设备管理到操作管理、维护管理等, 有效保证电力信息系统不受到风险的威胁。另外加强风险防范培训工作, 对电力企业工作人员进行基础的风险防范等培训工作, 有效提高其风险防控的意识, 提高其技术水平, 从而提高整个电力企业的风险防控水平。
2 电力信息系统的信息安全技术
2.1 信息访问安全
(1) 身份认证技术;身份认证其工作原理是需要认证的对象向系统初始能够证明自身身份的过程。身份认证首先对身份进行识别, 之后进行验证。其需要对系统中的每一个合法的用户具备识别能力, 保证识别的有效性。验证是访问者提供了自身的身份之后, 系统对其进行验证。目前比较常见的身份认证技术有口令身份认证系统、数字证书身份认证系统、零知识身份认证系统等。 (2) 访问控制技术;在信息安全保障机制当中, 访问控制是其中的核心部分, 其决定了访问是拒绝还是通过[3]。一般而言, 访问控制只是针对越权使用资源的一种防御措施, 用户在访问的过程中都有一定的资源限制, 不能够进行越权访问。访问控制中主要通过授权与鉴别进行访问控制工作。 (3) 安全审计技术;安全审计技术的主要作用是事前控制人员或者设备的方位行为, 在事后能够直接获得电子证据, 防止攻击破坏行为重来的系统, 能够记录与跟踪信息系统转改的变化, 对各种安全事件进行识别、定位并做出反应。其中需要提到的基于日志的安全审计技术, 其能够对电力信息系统中的历史数据进行分析, 处理与追踪。电力企业的工作人员就能够对系统以及安全设计进行安全审计。
2.2 信息传输安全
在电力信息系统中, 信息传输安全能够对数据进行加密, 将明文变成密文。具体的加密过程是利用公钥握手为本次的会话获得一个私钥。另外, 还能够保证数据的完整性, 其中的不可否认性能够防止用户否认已发送或者接收到的信息。将COREA中间件与Web Service技术应用到电力信息系统当中, 对系统进行双层保护。YSS2000系统的传输安全体系能够保证整个数据交换系统中数据的保密性、完整性与抗抵赖性。该系统包括网络交互安全与系统应用层安全。其中的网络交互安全, 第一层安全的网络基础设施能够为数据交换提供可靠性保障, 第二层安全的COBRA中间件, 所有基于COBRA接口的调用都需要安全的COBRA中间件实现。第三层, 安全的Web Service, 其能够为松耦合系统架构提供安全的支撑, 保证了双方能够利用Web Service进行安全可靠的交互。
系统应用层安全, 其中的信息加密技术, 能够有效保证数据的机密性, 通过对重要数据进行传输前的加密, 这样就能够保证只有消息的发送者与接受者才能够看到消息的内容。信息摘要是保证数据的完整性, 这样信息的接受者就能够判断消息在传输过程中是否发生了修改, 防止不法入侵者利用虚假信息代替合法信息或者直接篡改信息进行恶意攻击。
3 结语
总之, 电力信息系统其受到的风险不仅来自其本身, 还包括了外部环境和人为的威胁。只有借助不断进步的信息技术, 总结风险防控的经验就能够从一定程度上降低电力信息系统遭遇的风险概率。
摘要:经济发展离不开电力系统的高效支持, 特别是当下的经济发展将计算机网络与信息技术融入到了电力系统当中, 组成了全新的电力信息系统。然而各种风险与信息安全各种问题也接踵而至, 由于电力信息系统对保证民众基本的生产生活有着重要作用, 因此针对电力信息系统出现或者可能出现的风险进行了解有着重要意义, 本文就从电力信息系统的风险防控与信息安全技术两个方面进行阐述, 旨在为实际提高电力系统安全性能提供一定的理论帮助。
关键词:信息系统,风险防控,信息安全技术
参考文献
[1]张竞, 肖先勇.基于XML的电能质量标准数据共享模型及跨平台数据交换[J].电力自动化设备, 2012 (12) :196.
[2]孙鸣, 谢芝东.基于嵌入式以太网的变电站自动化系统无缝通信体系结构[J].电网技术, 2010 (9) :206-207.
企业档案信息管理系统安全 篇9
一、企业档案信息管理系统的安全范畴
首先我们要清楚什么是企业档案信息管理系统。企业档案信息管理系统是企业在生产、基建、科研、经营、管理等各项活动中直接形成的以对国家和企业有保存和利用价值的原始记录为对象, 应用计算机、通信和多媒体技术, 提供数字化管理和电子网络查询的信息管理系统。
企业档案信息系统的安全包括内容安全、实体安全、系统安全、网络安全、应用安全和管理安全。内容安全指档案信息系统内的电子文件是否被故意地或者偶然地非授权更改、泄露或者破坏, 造成内容失真、不可用和系统无法辨认。例如PDF格式的文件在一些档案管理系统中就无法辨认, 必须借助第三方软件或者插件;实体安全指系统的一些硬件设施, 包括电脑主机、线路、数据备份、电源等的安全, 防止它们遭受自然灾害或者人为破坏;系统安全指的是档案信息管理系统所运行的环境, 也就是我们常说的计算机操作系统、数据库系统以及服务器的系统安全;网络安全指的是企业档案信息管理系统所运行的网络环境是否安全, 是否存在漏洞, 有没有抵制病毒的能力, 信息在传输过程中会不会丢失或者遭受破坏等等;管理安全就是对企业档案信息系统所涉及的技术的管理和人员管理, 以及相关的责任制和处罚等。
二、影响企业档案信息系统安全的因素
影响企业档案信息管理系统安全的因素既有内部因素, 也有外部因素;既有主观原因, 又有客观原因。具体讲, 影响企业档案信息管理系统的因素主要有自然因素、环境因素、技术因素、社会因素、管理因素和资金因素等。
自然因素, 企业档案信息管理系统存在和运用于自然界之中, 自然界的雷电、火灾、水灾、风灾、地震、强磁场、强电子脉冲等自然灾害时常发生, 直接危害着档案信息资源的安全。
环境因素, 环境条件不符合有关标准会对企业档案信息管理系统造成危害, 如档案信息网络控制中心机房场地和工作站的环境不合要求:电源质量差, 温湿度不适应, 无抗静电、抗磁场干扰和无防尘、防火、防水、防雷电、防漏电、防盗窃的设施和措施, 都会给企业档案信息管理系统带来不利的影响。
技术因素, 技术因素是决定企业档案信息管理系统的本质因素。对于新型载体档案来讲, 载体的质量、计算机技术等决定了企业档案信息管理系统的安全。如网络安全漏洞、计算机网络故障、硬件故障、软件系统缺陷或错误、电磁泄漏。
社会因素, 虽然现阶段社会稳定, 出现暴力、战争、恐怖事件可能性比较小, 但是网络犯罪、网络黑客、盗窃、破坏等也都可能危及企业档案信息管理系统。随着互联网在我国的迅速普及, 各种敌对势力会利用互联网作为工具进行反动宣传活动, 另外, 利用互联网进行赌博、毒品贩卖、信息犯罪等行径也呈增长趋势, 这些情况西方发达国家尤为突出。“9·11”恐怖事件, 使国际很多知名企业受到了致命的打击。2002年度的DTI信息安全入侵调查显示, 一年中有44%的英国企业遭受了至少一次的恶意安全入侵, 41%的英国企业遭受了病毒感染或者“拒绝服务”攻击, 19%的英国公司 (49%的大公司) 在雇员的Web访问中遭受过安全事故, 30%的公司 (55%的大公司) 遭受过电子邮件方面的安全事故。管理因素, 管理因素包括法律法规、标准制度和人员的素质、心理、责任心。人是网络的建设者和使用者, 网上内容的提供者, 人、网结合是网络时代信息安全的本质特征。据统计, 我国公安部门破获的网络入侵案件中, 90%以上都可以通过加强管理来避免。根据美国FBI的调查, 仅在美国每年因为网络安全造成的经济损失超过1700亿美元, 75%的公司报告财政损失是由于计算机系统安全问题造成的, 超过50%的安全来自于公司内部。资金因素, 企业档案信息管理系统的资金投入直接决定档案部门对档案信息管理系统的总体规划和发展及系统的功能。如果对档案信息管理的资金投入不足, 企业档案信息管理系统设计粗略, 设备简陋, 保管不利, 就会给档案信息带来不安全的隐患。
三、保障企业档案信息系统的策略
首先就必须要完善相关规定, 只有规章制度建立以后才能从根本上保障档案信息管理系统的安全。上海石化制定了《上海石化档案信息管理系统查询管理办法》以便规范上海石化的档案信息管理系统的使用, 从一定程度上起到了效果。
其次要增强企业档案信息管理系统管理人员的意识。只有当这些系统管理员重视企业档案信息系统的安全, 才能从行为上严格执行相关规章制度, 增加企业档案信息系统的安全系数。
第三, 要有有效安全保障应急防范机制。因为有些自然灾害和突发事件是不在我们的控制范围之内的, 一旦发生我们就必须要能够有效地恢复系统运行。例如, 对系统中的数据进行定期备份和统计, 对系统的硬件环境要定时进行保养和维护等等。
信息系统安全风险管理 篇10
随着改革开放以来我国经济、科技的飞速发展,人们的生活水平有了很大的提高,因此,对于医疗服务的追求也越来越高。如何做好医院的管理工作,保证医院的服务质量,是当今各医院应该切实考虑的问题。而医院信息系统的管理对医院的正常运行具有至关重要的作用。从医院的管理角度上讲,这些数据将直接影响医院的整体运作。因此,如何对医院信息数据安全、快捷、稳定的传输以及存储,是当今多数医院首要考虑的问题。由此可见,研究医院信息系统安全风险规避管理策略对医院的良好运转具有重要意义。
1 医院信息系统安全的内涵及其重要性
1.1 医院信息系统安全
医院的信息系统包括了许多方面的东西,主要包括其硬件、软件以及其余的一些数据信息等等。而医院信息系统安全所需要保护的就是这些硬件、软件以及所存储的数据,防止其受到各种形式的破坏,以此来保证医院网络服务畅通,能够正常运作。
1.2 医院信息系统安全的相关内容
(1)物理安全:物理安全主要指的是系统管理所用到的各类硬件设施以及链路连接的安全,如服务器、路由器、交换机以及光纤、网线等,这些设备是否能够正常运作是医院信息系统安全的重要保障。
(2)逻辑安全:逻辑安全主要针对的是数据,保存在其信息系统中的数据或者信息必须完整、可用,而且需要做好保密工作。
2 目前多数医院信息系统中存在的安全隐患
首先,现今多数医院中的相关管理者虽然意识到了信息系统对其医院的重要作用,但是其主要在意的是其系统的实用性,而不是安全性。因此,在其信息系统的建设中的相关经费投入不够,这使得其信息系统存在较大的缺陷,而这些缺陷就是安全隐患的“导火线”。其次,制度是一个集体良好运行的重要保证,特别是对医院这一大集体来说,没有良好的管理制度是远远不行的。多数医院缺乏与信息系统相关的、切实、可行的管理制度,这为医院带来了较多的安全隐患。最后,技术是第一要素,没有先进、优秀技术的支撑,一个集体就不可能变得强大。现今多数医院在维护信息系统的安全时缺乏过硬的管理技术,这会直接给医院带来较大的安全隐患。
3 医院信息系统安全风险规避管理的相关策略探讨
3.1 建立相关的安全风险评估、检测机制
医院信息系统所出现的大多数安全风险都会直接给医院带来无法挽回的损失,特别是由于医院工作性质的特殊性,严重情况下还可能会导致患者的伤亡。仔细分析,多数安全风险所引发的问题都是由于安全隐患没有及时发现和排除造成的。因此,各医院需要建立相应的安全风险评估、检测机制。具体可以通过不断的研究,及时发现信息系统中所存在的一些漏洞,并竭尽所能寻找解决该问题的最佳方案。对于还未出现的问题,如果发现其有潜在的危险,也应该及时处理,防止其风险发生之后为医院带来各种损失。当然,安全风险评估、检测机制应该包括完整的安全检测计划以及实施计划的相关人员。这就要求相关医院成立专门的系统安全检测小组,在医院其他部门的积极配合之下,按照预先制定好的安全检测计划来进行其工作,以此来保证其工作的规范性。最后,硬件设备的维护也是医院安全风险评估、检测机制中应该包括的。各医院应该定期对其基础设备、网络以及信息等等进行检测,及时更换一些老化的零部件,清理设备内部的积尘以及做好磁盘文件的瘦身工作等等。通过这种方法来优化其硬件设备,是其信息系统安全运行的最基本的保障。
3.2 领导人员应该提高其对系统安全性的意识
对医院这个庞大的集体中,领导人员的决策对医院的运行有着直接的影响。现今,已经有多数医院因其领导人员意识不到系统安全的重要性而导致了较多事故的发生。因此,各医院应该注意提高领导团队对于信息系统的安全意识。具体可以由院长带动其他各部门的管理者,分别成立不同的安全领导小组,并给其分配不同的任务,逐渐使其认识到系统安全的重要性。当然,制定合理的管理制度也是必不可少的。通过严格的管理制度来约束管理团队的行为,以此来使其全身性的投入其小组工作中,增强其责任意识。此外,各管理人员还应该就为医院信息系统安全管理工作投入资金达成一致协议。相关管理人员应该在经过仔细的调研之后,就其医院信息系统安全管理工作中所必要的一些设备进行统计,并增大这些设备的资金投入力度,以防止因设备的不先进而导致系统安全管理工作不到位。最后,为了节约医院的资金,对于一些大型的设备,可以通过更换核心部件等方法来改良设备,在节约资金的基础上保证设备的可靠性。
3.3 建立适合其医院实际情况的、科学的管理体制
不同种类的信息,其管理的方法也有很大的不同。现今多数医院在进行信息管理工作时,不对信息进行分类管理,管理工作具有很大的盲目性,这也给其医院的信息管理工作带来了较大的难题。为了改善这种状况,各医院应该根据其医院的实际情况建立适合其医院实际情况的、科学的管理体制。具体需要根据不同类型,例如易失性、重要性以及种类不同的信息都应该进行分类管理,通过分析其不同类型信息的特点总结出科学的管理方法。例如对每天的服务器纪录都应该进行合理的管理,包括信息系统的检测纪录,服务器的日常信息读取纪录以及用户的监控等等,对不同类型的纪录相关的工作人员都应该进行分类管理,为以后的信息检索提供服务。此外,要想做好信息分类管理工作,在建立管理体制时还应该对信息中心的值班管理制度进行明确规定,保证各个阶段信息中心都有人进行信息管理工作。
3.4 保证医院工作者的整体素质
相关的医院工作者是从事医院信息系统管理的人员,其技术、能力以及工作意识都会直接影响医院的整体工作。要想实现医院信息系统安全风险规避管理,就应该做好系统安全培训工作。首先,在进行信息系统管理时应该注意保证相关技术人员的整体素质,特别是其掌握的技术一定要满足实际信息系统安全风险壁柜的实际需求。职工的技术直接决定医院信息系统安全风险规避管理的效率,各医院应该做好职工技能的培训工作,加强选拔,以保证其技术能够满足实际管理工作的需求。此外,目前医院工作者中多数职工的安全意识都非常淡薄,在信息管理界面登录时所设置的密码过于简单,有的职工在其值班期间私自浏览安全性未知的网页以及私自接入其余设备等等,都可能会导致病毒入侵,而使得重要数据丢失。因此,医院应该在其相关工作者中开展安全知识教育工作,使得职工意识到医院信息系统安全的重要性,以及其不当行为可能会导致的后果,从而使其自觉遵守医院信息系统管理工作的相关规定。
4 结束语
医院良好的医疗水平对我国人们的生活质量的提高有很大的帮助,有利于社会的稳定发展。做好医院信息系统安全风险规避的管理工作,有利于医院的正常运行,为人们提供更为优质的服务。
参考文献
[1]陈龑.基于开放环境下医院信息系统安全问题分析[J].计算机光盘软件与应用,2014.
[2]沈亚琴,王跃军.军队医院信息安全体系建设[J].西北国防医学杂志,2014.
[3]刘松林,刘阳晨,李立.医院信息系统硬件的切换和思考[J].医疗卫生装备,2014.
加强医院信息管理系统安全的策略 篇11
【关键词】安全性访问;病毒的防治;数据备份与恢复;安全策略;医院信息管理系统
Abstract:In the hospital information construction process,the hospital information management system is its core part,the current most hospitals face very important problem is how to keep the hospital information management system is highly effective,the security,the stable operation.This article attempts from the system security access,prevention and control of the virus,data backup and recovery,etc are discussed,so as to work out the corresponding security strategy.
Keywords:Security access;Prevention and control of the virus;Data backup and recovery;Safety strategy;The hospital information management system
一、引言
计算机技术不断发展的今天,在医院的应用里面医院信息管理系统得到了大众的认可,医院信息管理系统在应用的过程中,信息安全是受到普遍关注的焦点。医院信息管理系统是一个整个医院都联了网的系统,因此对系统的信息安全要求非常高。如果系统的信息安全出现问题,就是丢失医院中的重要数据信息,使医院的各项工作不能正常运行,给医院带来的直接经济损失是无法估量的,严重影响医院的社会效益。如今,很多医院的信息管理系统的安全体系都很简单,然而医院的数据业务却在不断增大,业务应用的复杂性也不断提高,简单的医院信息管理系统安全体系已不能满足系统安全需求。因此,针对以上的这些问题,为了完善系统的安全体系,本文提出了相应的安全策略。使得系统能够高效、安全、稳定的运行,这也是医院信息管理系统需要解决的一个迫切问题。
二、安全访问的控制策略
在医院信息管理系统里面,人员是分散的,资源是共享的,这也是医院信息管理系统的主要特点,护士、医生、行政管理人员、医疗技术人员和后勤管理人员都是该系统的操作用户,从人员的组成上面可以看出比较复杂,并且每种用户负责的工作任务和自责都不一样。所以,医院信息管理系统里面的系统管理员的主要任务是根据不同角色的用户,给每一个用户都分配一个用户名和密码,这个用户名和密码对一个用户来说有且只有一个,系统管理员给每个用户的操作权限也是不同的。不同角色的用户登录到医院信息管理系统里面都只能在自己的权限范围内进行相应的操作和访问,对于没有权限进行访问和操作的模块,系统会对该用户隐身,使用户看不到。这样可以防止那些不是本系统的用户非法进入,是系统的安全得不到保障。医院信息管理系统的所有资源对于系统管理员来说,都是可以访问的,因此,对于系统管理员的账号数量,应该加以限制,密码在设置的时候也尽量使其复杂,对于系统的运行状况,由系统管理员定期进行汇报,使得整个系统都能够处于监督之下。
三、防治病毒的策略
计算机技术发展的非常迅速,但同事计算机病毒也随之产生,并且是系统主要的威胁。所以,完善的病毒防治体制和规章制度的建立是迫在眉睫的,主要的病毒的防治策略有:
1.对于数据服务器要做专门的备份,由一些比较重要的数据备份要定期进行,使系统受到病毒攻击、数据丢失或被恶意修改等事件的威胁降低,是系统数据的完整性和正确性得到保障。
2.电脑安装的操作系统尽量选用正版的,对于官方网站中的一些重要信息,计算机的管理人员要时刻关注,使操作系统得到及时的更新,降低操作系统遭到攻击的机率。
3.给每一台跟医院信息管理体系相连的电脑都安全GHOST软件,定期对系统进行备份操作,如果系统受到破坏之后没办法进行恢复了,就可以使用一键GHOST直接进行还原。
4.使用医院信息管理系统的整个医院的全体员工都要有病毒防范的意识,并且要具备良好的动机,如果发现了系统中出现了计算机病毒,就应该及时通知相应的网络管理部门进行处理,减少病毒攻击带来的损失。
5.在给系统安装杀毒软件的时候尽量选用正版的,并且杀毒软件要定期进行升级操作,这些任务由计算机管理人员完成,使整个医院的电脑病毒库都是最新的版本。
6.在医院信息管理系统中安装防火墙,使得外部恶意的程序对医院系统的入侵事件受到阻止。
7.在电脑的使用方面,要建立一个严格的规章制度,如果出现的问题,就要追究这个用户的责任,情节比较严重的,应该追究其法律责任。
8.對于那些外部存储连接设备像优盘、硬盘等,要严格对其进行管理,如果没有经过允许就把这些设备连接到系统中,出现问题追究用户的责任。
9.在使用内网和外网的时候要非常严格,内外网的配备要根据每个科室的不用业务需求来进行,比如有的科室只使用外网,那就不考虑内网的连接,只连接外网。
四、数据的备份与恢复策略
1.系统的备份与恢复策略
在医院信息管理系统中,所有的应用能够正常进行的前提和保障就是系统的安全,再有在操作系统有改动或者系统被破坏了,系统的备份与恢复才会进行。在进行系统的备份与恢复的时候,经常使用的软件就是一键GHOST。在安装系统的时候,把硬盘划分成几个区域,其中的一个区域安装操作系统,把系统分区用GHOST软件复制一份映射文件放到另一个分区里面去,如果系统中出现了安全问题,使得系统不能正常运行,这个时候就使用一键GHOST软件根据映射文件使系统快速恢复,这样就可以在系统崩溃之后,数据信息还可以得到恢复和保存。
2.后台数据的备份与恢复
在后台的数据库中,有启动和计划任务的功能,如果定期对其进行操作的话,可以采取设定定时的方法,自动地把主服务器的日志备份到一个备份的服务器上面,还可以设定一个定时启动的恢复任务,使得备份服务器的数据库能夠同步到主服务器的恢复,在别的地方安装一个容量非常大的数据存储器,把备份服务器中已经得到恢复的数据放到这个容量非常大的数据存储器中。如果服务器中的数据遭到了破坏,就可以采取把之前备份好的事务日志进行恢复的策略,可以使丢失数据的机率降到很低,基本上可以保证数据得到恢复。比如,使用SQL Server 2005数据库技术中的计划任务进行不同地方的数据备份与恢复,使用SQL Server 2005数据库中的计划任务进行很多个备份的任务操作,在平常生活比较空闲的时候,对这些任务进行备份操作,然后再对这些数据进行不同地方的存储,也就是说把备份的任务存储到别的计算机的硬盘上面。这样就可以保证在硬盘受到损坏的时候,可以使用别的保存了数据的计算机对这些数据进行恢复和还原。数据库本身具有还原的功能,可以利用数据库的这一特点对数据库中的数据进行还原,并且还原的速度也是很快的,使得数据的安全性得到了保障,数据备份与恢复的效率也得到了极大的提高。
五、其他
针对医院信息管理系统,上面讨论了三种加强医院信息管理系统安全的策略,顾名思义肯定还有其他影响系统安全的因素,比如,计算机的软硬件出现了故障、电脑黑客对系统的入侵、系统突然断电或者人为的因素对系统造成破坏等等,我也不一一全部进行列举,但是的确还有很多因素会给系统造成破坏,给医院带来很大的直接经济损失。因此,我们在平常的使用中就应该关注这些问题,使系统遭到破坏的机率减少了到最低。
六、结语
在医院信息化建设的过程中,医院信息管理系统的安全问题是非常重要的部分,每个使用医院信息管理系统的用户都有责任保证医院信息系统的正常运行。所以,医院要对使用医院信息管理系统的全部用户都定期进行安全知识方面的培训,使全部使用医院信息管理系统的用户都具备良好的安全意识,并且根据具体的情况制定出有效的安全应急的预案,建立完善的安全管理规章制度,使医院信息管理系统在运行的时候能够高效、安全、稳定,使医院的服务水平、市场竞争力和管理水平都得到相应的提高,当然,这样也能够提高医院的社会影响力,使医院的效益越来越高。
参考文献:
[1]严冰.网络安全在医院信息管理系统中的重要作用[J].行政与管理,2008,281.
[2]萎琼,张泉方.医院信息管理中的数据备份研究[J].数据库技术与应用,2008.3(11):49-51.
[3]满育红.医院信息管理系统中的数据备份与恢复[J].吉林医学,2007,28(9):1149-1150.
[4]张嫒.医院信息管理系统的病毒的防治初探[J].信息与电脑,2011,5:12-14.
[5]张秀玉.SQL SERVER 数据库程序设计[M].机械龚古尔出版社,2005:68-97.
[6]胡柏敬,姚巧梅.SQL SERVER 2005 数据库开发讲解[M].电子工业出版社,2006.
[7]DAVDV.客户机/服务器策略[M].北京:电子工业出版社,1995.
[8]张本成,何清林.中小企事业单位数据安全网络改造方案[J].科技情报开发与经济,2005,20:204-205.
[9]苗雪兰.数据库系统原理及应用教程[M].机械工业出版社,2001:7.
[10]医保计算机系统中 IC 卡的安全设计:[D].南京:南京理工大学,2004.
[11]项庆坤.刘彦伟.医疗保险管理系统中的数据传输设计[J].计算机络,2002,13:5 6-57.
[12]薛华成.管理信息系统(第三版)[M].北京:清华大学出版社,1999.
[13]萨师煊,王珊.数据库系统概论(第三版)[M].高等教育出版社.
[14]洪深著.决策支持系统(DSS):理论.方法.案例[M].清华大学出版社,2002,9(2).
[15]王淑容,刘平.医院管理信息系统的设计与实现[J].四川轻化工学院学报,2002.
信息系统安全风险管理 篇12
在1946年2月14日情人节的当天, 人类历史上第一台计算机ENIAC诞生, 同时现代科技也找到了它发展的最重要的“情人”, 开启了一个新的时代和应用纪元, 可能谁也不会预见那个庞然大物会在新世纪变得那样的便捷和重要。也正是因为这一次革命性的改变, 使人类也完全地步入了信息化时代, 大量的事件和人类信息被信息化、数据化, 世界上甚至是宇宙中的每个个体都可以是计算机中1和0的代码。计算机不仅应用在军方、政府的体系里, 万千的百姓也都可以利用信息化提供的优势使生活变得更加的便捷, 企业也可以利用新时代的技术使生意拓展到世界各地。但与此同时出现的问题也是同样的明显, 那就是信息安全和数据安全的问题, 个人和企业信息的外泄会造成不良的后果。所以, 对信息系统进行必要的管理就显得十分的必要, 对于企业也更是如此。所以, 对企业中出现的信息管理问题必须采取相应的措施进行解决和改进。
1 信息系统安全及数据安全的隐患
1.1 信息系统安全及数据安全的主要威胁
信息系统安全和数据安全通常情况下统称为网络安全, 网络的安全一般会受到中断威胁、伪造威胁、修改威胁、侦听威胁四个方面:中断威胁主要是针对信息系统的硬件损坏或者针对系统系统软件的攻击, 导致信息系统无法正常的使用, 属于破坏信息系统可用性的攻击, 例如破坏信息系统硬盘等一个硬件, 导致整个信息系统无法正常地使用;伪造威胁是指一个没有经过授权的客体, 通过伪造插入到信息系统中, 属于破坏信息系统真实性的攻击, 例如在网络中插入一些虚假的信件等;修改威胁是指在伪造身份的基础上, 对信息系统的完整性进行破坏, 例如修改信息系统中的数据文件、应用程序等;侦听威胁, 顾名思义, 就是通过没有授权的客体入侵到信息系统中, 对信息系统的保密性进行破坏, 例如对信息系统进行搭线窃听、非法拷贝文件等。
1.2 信息系统安全及数据安全的主要攻击
随着互联网的普及, 大量的病毒和黑客的出现对信息系统安全和数据的安全都产生了很大的威胁, 尤其是一些黑客的攻击行为。通过分析发现, 目前对于信息系统安全和数据安全的攻击主要有冒充攻击、重放攻击、修改攻击、拒绝服务攻击四种:冒充攻击就是一个实体冒充成信息系统中的一个实体, 对信息系统的鉴别序列进行获取, 然后就可以获得信息系统中的一些权限, 对信息系统的安全构成威胁;重放攻击就是通过获取的有效数据, 利用重播的方式获取信息系统的信任, 例如在远程登录信息系统时, 如果口令不及时的修改, 就很可能被第三者获取, 并用于冒充攻击;修改攻击是针对信息系统中的一些信件和权限的攻击, 例如信息系统中一个信件的阅读权限为王某, 那么早遭受到修改攻击后, 权限可能就变成李某等, 对信息系统的正常运行带来很大危险;拒绝服务攻击是一种严重后果的攻击, 可以对信息系统的正常运行和管理进行破坏, 通常情况下, 这种攻击都是具有一定的针对性, 例如通过发送大量的垃圾信件, 使网络发送过载, 降低信息系统的性能, 甚至直接导致信息系统的瘫痪。
2 信息系统安全及数据安全的管理技术
2.1 访问控制技术
访问控制技术是一个出现很早的安全管理技术, 最初是针对单机进行设计。随着互联网的普及, 访问控制技术也得到了很大的发展, 现在访问控制技术已经是信息系统安全和数据安全防范和保护的主要策略, 访问控制技术主要就是保证资源不被非法的访问和使用, 访问控制技术通常都包括了入网访问控制、服务器安全控制、目录级控制和属性指等。
对信息系统的访问也需要网络审计技术, 例如:电子签章审计, 网络数据库审计及电子商务软件系统等类型的审计技术。在网络化的电子商务环境中, 很多商业信息都是以电子文件的形式进行存储和传递的。因此, 传统的盖章已经失效, 出现了电子签章审计。电子签章技术的特点是应用面广泛, 可以应用在任何需要的信息上, 其实质是一种特殊加密的数据, 并不等同于传统的签章。为了保障数据信息的可靠性和完整性, 出现了数据库审计技术, 对数据库的审计可以采用计算机随机抽样, 通过计算、比较进行综合分析;也可以采用实时数据审计软件以保障数据的安全性和稳定性;也有通过实时数据备份技术进行审计工作, 但若想充分应用数据备份技术必须将其同整个设计过程相融合进行。
2.2 防火墙技术
随着计算机和互联网的普及, 防火墙 (Firewall) 已经成为了人尽皆知的一个词汇。防火墙通过把网络分成内部和外部, 可以对信息系统安全和数据安全进行很好地保护, 防火墙通过对服务、方向、用户、行为进行控制, 保证只有经过授权的数据包才可以通过, 防火墙按照网络体系结构, 可以分为工作在应用层的网关级防火墙、工作在传输层的电路级防火墙、工作在网络层的路由器级防火墙、工作在数据链路层的网桥级防火墙、工作在物理层的中继器级防火墙, 按照防火墙的应用技术可以分为应用代理防火墙、电路级网关、包过滤防火墙。
由于防火墙技术的特点, 其存在一定的局限性, 现实中存在一些防火墙无法防范的安全威胁, 例如一些不经过防火墙的攻击、不能防止网络内部的攻击、不能防止传送已感染病毒的数据。同时, 由于不同公司的防火墙策略不同, 对防火墙的管理和配置也有很大的难度, 容易出现一些安全上的漏洞。
2.3 信息安全检测
信息安全检测就是入侵检测系统 (Intrusion Detection Systems, IDS) , 通过软件和硬件进行结合, 对入侵进行检测。入侵检测系统可以对一些入侵信息系统和数据的行为做出实时的响应, 入侵检测是系统动态安全的核心技术之一。对于信息系统安全和数据安全的管理, 通常都是采用防火墙这样的静态安全防御技术和入侵检测系统这样的动态安全防御技术相结合的方式, 根据入侵检测系统收集信息的来源, 可以分成基于网络的入侵检测系统、基于主机的入侵检测系统、基于应用的入侵检测系统, 目前, 常用的入侵检测技术主要有统计分析技术、预测模式生成技术、基于神经网络的检测技术、状态转移分析技术、模式匹配技术、数据挖掘技术、针对分布式入侵的检测技术。入侵检测技术是随着互联网而发展起来的一种安全技术, 随着互联网的发展和信息系统安全和数据安全管理要求的提高, 入侵检测系统的发展也会出现大规模分布式的检测技术、数据挖掘技术、更先进的检测算法、入侵响应技术等。
2.4 隐患扫描技术
信息系统安全和数据安全问题的存在一个主要原因就是不知道漏洞的存在, 对于漏洞的修补也不够及时, 这给信息系统安全和数据安全带来了很大的隐患。而隐患扫描技术就是通过模拟黑客攻击, 对系统的漏洞进行扫描, 之后向安全管理人员提供一个可靠的安全性分析报告。目前对于隐患扫描的主要方法有基于单片机系统的安全评估系统、基于客户的安全评估系统、采用网络探测方式的安全评估系统、采用管理者方式的安全评估系统。信息系统中安全防护最弱的部分就是最容易出现安全问题的地方;而隐患扫描技术可以通过扫描找到系统中薄弱的部分, 然后相关的管理人员就可以针对找到的问题进行优化。
2.5 VPN技术
VPN就是虚拟专用网络 (Virtual Private Network) , VPN技术就是通过构建一个具有安全、独立的虚拟网络, 这样的虚拟网络就是利用互联网等公用网络的节点, 在虚拟网络之间采用一些加密和认证技术来通信, 极大的提高系统安全和数据安全。VPN技术由于其安全、可靠的互联网通道, 拥有实现网络安全、简化网络设计和管理、降低成本、良好的扩展性、完全控制的主动权等优点, 被广泛的应用在信息系统安全和数据安全管理中, 是很多企业的首选安全技术。目前VPN的主要技术有隧道技术、加解密技术、密钥管理技术、使用者与设备身份鉴别技术
4 结语
时代在不断地发展中, 信息行业作为这个时代知识更新速度最快的行业面对的挑战更是巨大, 相信随着互联网的普及, 针对信息系统安全和数据安全的威胁和攻击也会越来越多, 而信息系统安全和数据安全的管理技术也会越来越完善。为了应对信息系统安全和数据安全复杂多变的威胁, 将来的管理技术不会是一项安全技术, 而是强调整体性、融合性、开放性, 随着信息系统安全和数据安全管理技术的发展, 建设完善的安全技术体系、安全管理体系、安全保障体系必将是将来网络安全的发展趋势。
参考文献
[1]董建峰.信息系统的安全风险、审计策略及存在的问题[J].商情, 2011 (50) :132-132.
[2]瞿才.数据化管理在营销终端的应用[J].中国皮革, 2011 (17) :28-29.
[3]郑琼李晓雄.企业内部控制体系在信息化管理下的改进[J].商业会计, 2012, (2) :60-61.
【信息系统安全风险管理】推荐阅读:
安全信息工程系统结构05-19
医院信息系统安全研究05-23
信息系统安全年度报告05-30
工控系统信息安全评测06-01
网络信息系统安全事件08-12
信息系统安全保障体系08-24
直流系统管理信息系统08-28
管理信息系统08-01
企业信息系统的安全论文09-09
信息系统安全与保密期09-11