信息安全管理建设

信息安全管理建设（共12篇）

信息安全管理建设 篇1

随着电网的发展和科技进步, 电力信息化工作也有了突飞猛进的发展。由于Internet是一个开放性的、非可信的网络, 2006年以来, 国家电网公司高度重视信息化建设, 提出了建设SG186工程的总体要求, 即在一体化信息平台基础上构建八大业务管理应用系统, 并通过六项保障体系建设, 保证信息化建设的成效, 从而建成“纵向贯通、横向集成”的企业级信息系统, 实现信息化企业, 为集团化运作、集约化发展、精益化管理、标准化建设提供有力支撑。

虽然SG186工程建设以来, 信息系统在整个电力系统的生产、经营、管理等方面应用越来越多, 但在计算机安全策略、安全技术、和安全措施投入较少。因此解决依托Internet的信息系统的安全将是一个非常复杂的系统工程, 要求必须建立完整的、可管理的安全体系。电力行业作为国民经济的基础性行业, 电力系统的安全运行直接关系到国民经济的持续发展, 所以供电企业信息安全管理建设刻不容缓。

1 信息安全的基本特性

(1) 机密性, 确保信息仅对被授权者可用。

(2) 完整性, 指数据不以未经授权方式进行改变或损坏的的特性。

(3) 可用性, 是保证信息及信息系统确定为授权使用者所用。

(4) 可控性, 可以控制授权访问内的信息流向以及方式。

(5) 可审性, 具有信息的责任需求, 在电力信息系统安全中是重要的。

(6) 不可抵赖性, 包括证据的生成、验证和记录, 以及在解决纠纷时随即进行的证据恢复和再次验证。

2 我国供电企业信息化发展的优势与存在的主要问题

2.1 我国信息化优势主要表现在以下几方面:

2.1.1 电力行业相比其他行业的信息化较为领先。各电力公司使用计算机的比率接近100%。

2.1.2 SG186一体化信息平台是基于基础信息网络, 建设企业

门户、数据中心、数据交换、应用集成等基础信息基础平台, 实现应用系统集成与整合、数据的纵向传递与横向交换、数据的分析挖掘与展现、统一用户身份管理与待办业务管理。

一直以来电网的信息化应用程度比较高, 基础设施比较完善, 对管理信息化工作也比较重视, IT应用水平比较高, 国家电网公司的“SG186工程”将会使各网省公司与总公司协调一致, 对信息化工作进一步重视起来, 把信息化工作提升到一个相当的高度。

2.1.3 目前省电力调度机构全部建立SCADA系统, 电网的三级调度实现了自动化。

我国电厂、电力调度的自动化水平达到国际先进水平。各发电集团把信息系统管理建设放到了重要位置, 借助信息化推动电力工业现代化。

2.2 我国供电企业信息化存在的主要问题:

存在网络信息安全风险, 影响因素大体可分为以下几种:

2.2.1 自然环境及不可抗拒因素:因水灾、雷电等灾害性事故引发的网络中断、数据被毁等。

2.2.2 物理设备风险:大量地使用了网络设备, 如路由器等, 这些设备的自身安全性也会直接影响到网络应用的正常运转。

2.2.3 人为及管理因素:工作人员的素质、职业道德是其中重要因素。建立过错善的法律法规, 防止人为破坏和管理的漏洞。

2.2.4 数据库安全风险:

供电企业和调度中心的电力监控系统不得与办公信息网络直接连接, 必须加装经国家有关部门认证的安全隔离设施, 电力调度数据网络应在专用通道上利用专用设备组网, 必须保证物理层面上与公用信息网络安全隔离。

2.2.5 电磁干扰因素:

信息在传送过程中会产生电磁干扰, 可能会造成信息泄漏。

3 信息系统安全管理建设几点建议

3.1 全面提高职工的信息安全知识素质, 加强安全文化建设, 提高人员信息安全意识, 提升防患水平, 防微杜渐。

对于信息安全工作的开展, 不是系统管理部门的事, 也不是系统使用部门的事, 而是全体员工的事, 必须要提高全体员工的信息安全意识。通过培训和考核等措施, 提高员工对公司信息安全的认识, 让信息安全成为业务开展的一部分, 才能有效提高公司整体信息安全水平, 也是信息安全工作得到有效的支持和推进。21世纪将是知识经济的发展时代, 知识经济时代对电力企业安全文化建设提出了新的更高的要求, 电力企业只有加强安全文化建设, 才能适应知识经济时代的发展。

3.2 由硬性管理知识向知识型管理转变, 如同其他管理工作一

样, 安全管理也是管理者向被管理者实施控制的过程, 管理多采用硬性的管理手段。在知识经济时代, 安全管理以知识管理为主, 安全知识成为联结管理者与被管理者的中间链条, 安全管理决策和手段也将越来越知识化、智能化和数字化, 推动信息安全管理活动不断迈上新的台阶。

3.3 采用系统授权, 防止非法用户进入系统, 根据用户不同的级别拥有的权限对用户的活动进行限制。

同时应投入资金开展安全审计、安全技术督查活动。信息安全不是一蹴而就的事, 也并不是短期工作就能达到较高水平的, 需要形成日常弱点发现, 汇报, 管理的机制, 从日常基础工作人员开始, 发现问题, 识别问题, 分析问题, 汇报问题, 处理问题, 建立从下到上的无障碍流转的解决流程。

3.4 防止计算机病毒进入。

加快信息安全管控手段建设, 在电力信息系统中, 办公自动化占了很重要的地位;而核心就是电子邮件传送, 电子邮件现在已成为计算机病毒最主要的传播媒介, 全面推进个人终端标准化建设工作, 实现个人终端补丁程序、病毒软件自动更新、升级, 严禁随意下载和安装非正版软件。强化防木马病毒等安全措施, 严格用户访问控制。

3.5 强化信息安全应急与通报工作, 不断完善信息安全应急机制, 制定预案, 加强演练。

规范信息安全事件通报程序, 坚决杜绝发生信息事件隐瞒不报的情况。及时传达国家和企业信息安全运行动态, 及时响应和处理信息安全事件, 加强事件分析, 实时发布安全通告。对已制定的预案要加强督促实施, 已制定的安全策略要加强督导, 建立健全信息安全技术督查队伍, 加大信息安全考核力度。

3.6 重视信息安全保密工作, 严禁将涉密计算机与互联网和其

他公共信息网络连接, 严格对外部人员访问的授权和审批, 加强监管和备案。及时开展信息系统安全保密检查, 做好涉密文档的登记、存档、解密等各环节工作, 及时发现并堵塞泄密隐患。

4 结语

网络安全是一个系统的的管理问题, 任何一个漏洞, 都会导致全网的安全问题。作为供电企业, 电力信息系统安全和电力生产安全同等重要, 是国家安全的重要组成部分。因此研究信息安全技术, 建立电力信息系统的安全防护体系, 对确保电力系统安全稳定、经济优质运行, 加速实现“数字电力系统”的进程具有重要的现实意义。

摘要：近年来, 国家主管部门对我国企业信息安全工作非常重视, 各主要企业也都投入了大量人力、物力, 开展信息系统安全建设工作, 有效提升了信息安全水平。电力信息系统安全是电网安全运行的保障, 本文针对我国电力企业信息管理存在的主要问题, 提出几点提高电力信息系统安全管理的措施和方法。

关键词：信息安全,建设

信息安全管理建设 篇2

关键词：信息化;信息安全;安全管理

1、企业信息安全现状

近几年，随着行业信息化建设逐步深入，伴随着OA办公自动化、ERP、卷烟生产经营决策管理和MES生产制造执行等系统相继投入使用，与生产经营息息相关的关键业务对信息系统的依赖程度越来越高，企业也逐步认识到信息安全的重要性，企业员工的安全意识也都得到逐步提高。行业也相继出台了烟草行业信息安全保障体系建设指南和各类信息安全制度，并通过这几年信息安全检查工作，促进企业的信息安全水平得到了进一步提高。

由于企业信息安全意识不断提高，企业不断加大信息安全方面的投入，如建立标准化的机房、购买与部署各类信息安全软件和设备等。但是木马、病毒、垃圾邮件、间谍软件、恶意软件、僵尸网络等也随着计算机技术的发展不断更新，攻击手段也越发隐蔽和多样化。企业不仅要应对外部的攻击，也要应对来自于企业内部的信息安全威胁，安全形势不容乐观。企业的信息安全已不仅仅是技术问题，还需要借助管理手段来保障。企业如果不能正确树立信息风险导向意识，一味注重“技术”的作用，忽略“管理”的重要性，就很难发挥信息安全技术的作用，无法把企业的各项信息安全措施落到实处，企业的信息安全也就无从谈起。只有切实发挥管理作用，企业的信息安全才能得到有效保障。

2、企业信息安全体系架构

在谈到信息安全时，大多数刚接触的人都比较疑惑，都说保障信息安全十分重要，那到底什么是信息安全呢?下面就简单介绍一下信息安全的概念以及企业的信息安全体系架构。

2.1信息。对企业来说，信息是一种无形资产，具有一定商业价值，以电子、影像、话语等多种形式存在，必须进行保护。

2.2信息安全。主要是指防止信息泄露、被篡改、被损坏或被非法辨识与控制，避免造成不良影响或者资产损失。

2.3企业信息安全体系架构。在保障企业信息安全过程中，信息安全技术是保障信息安全的重要手段。通过上文对企业信息安全现状的分析，不难看出企业信息安全体系主要分为技术、管理两个重要体系，进一步细分则涉及安全运维方面。

2.3.1信息安全技术体系作用。主要是指通过部署信息安全产品，合理制定安全策略，实现防止信息泄露、被篡改、被损坏等安全目标。信息安全产品主要是指实现信息安全的工具平台，如防火墙类产品、防攻击类产品、杀毒软件类产品和密码类产品等，而信息安全技术则是指实现信息安全产品的技术基础。

2.3.2信息安全管理体系作用。完善信息安全组织机构、制度，细化职责分工，制定执行标准，确保日常管理、检查等制度有效执行，最大程度发挥信息安全技术体系作用，确保信息安全相关保护措施有效执行。通过上文简单介绍，对信息安全以及信息安全系统有了大概了解。可以看出单纯借助技术或管理无法保障企业信息安全，因此，建立企业信息安全管理体系的重要性也就不言而喻。

3、信息安全管理体系概念

3.1信息安全管理。运用技术、管理手段，做好信息安全工作整体规划、组织、协调与控制，确保实现信息安全目标。

3.2管理体系。体系是指相互关联和相互作用的一组要素，而管理体系则是建立方针和目标并实现这些目标的体系。

3.3信息安全管理体系(ISMS)。在一定组织范围内建立、完成信息安全方针和目标，采取或运用方法的体系。作为管理活动最终结果，包含方针、原则、目标、方法、过程、核查表等众多要素。

3.4建立信息安全管理体系的目的`。作为企业总管理体系的一个子体系，目的是建立、实施、运行、监视、评审、保持和改进信息安全。

3.5信息安全管理体系涉及的要素。

3.5.1信息安全组织机构。明确职责分工，确保信息安全工作组织与落实。

3.5.2信息安全管理体系文件。编制信息安全管理体系的方针、过程、程序和其他必需的文件等。

信息安全管理建设 篇3

引言

在国网公司“三集五大”体系建设的大环境下，信息化全业务覆盖将渗透到县公司各个环节， 县公司信息化建设有了重大进展和显著成效，尤其是在省电力公司信息系统全面推广应用后，建立合理、高效地信息安全管理体系显得尤为重要。西平县电业公司结合自己的实际情况，实施了一系列的信息安全方面的建设和管理，有效地保证了我公司的信息安全，提高了公司信息系统整体安全防护水平。

一、工作思路

（一）现状分析

西平县电业公司原来的局域网网络，由于内外网没有隔离，制度制定不全面，管理比较混乱，局域网内的计算机终端可以随意上网，由于没有桌面管理软件，私自接入路由器、交换机的情况比较严重，严重威胁到了公司局域网的网络安全。

（二）工作思路

为进一步加强我公司的信息安全管理，强化日常信息安全的监督、防控及应急处理体系，杜绝发生信息安全事故，有效提升全我公司整体信息安全防护水平，消除安全隐患，解决信息安全短板，强化信息安全建设，重新制定各种信息安全规章制度，明确信息安全责任人，对引起信息安全责任事故的，从严处罚；实施内网物理隔离，局域网内所有计算机终端安装省公司统一部署的北信源桌面管理系统和趋势杀毒软件，配备安全移动存储介质，最大限度消除各类信息安全隐患，确保公司局域网的安全。

二、主要做法

（一）加强组织机构与制度建设

我公司成立信息安全组织，以公司经理为组长，主管副经理为副组长，各部室主任为成员的安全信息管理网络体系，分级负责信息安全工作；信息安全管理实行统一领导、分级管理，各部门主要负责人是本单位信息安全第一责任人，公司信息化领导小组负责本单位信息安全重大事项决策和协调工作。公司负责人与各部室及各单位签订信息安全责任书，全体员工签订信息安全保密承诺书，对员工宣传“八不准、三个不发生”的安全要求，明确“谁使用、谁负责”的信息安全原则。信息安全纳入公司安全管理体系，实行专业管理、归口监督，科技信息部负责管理信息大区（信息内网和信息外网）的安全保障，负责指导、协调和檢查各单位信息安全工作，组织落实公司信息系统等级保护制度，统筹开展公司信息系统风险评估和安全检查工作，负责规范公司信息系统安全产品的测评和选型工作。组织本单位信息系统安全的宣传和培训，建立健全信息系统安全管理体系，设立系统管理员、网络管理员、安全管理员等岗位。

一是完善制度，制定包括各级信息安全岗位职责、值班制度、巡视检修制度、机房管理制度、业务受理制度、数据备份制度、信息发布与审核制度、信息安全审计制度等在内的各项制度；二是建立健全监督考核机制，严格系统分级权限分配、监督与管理；三是加强流程控制，数据录用前，必须要保证信息系统数据的合法性、安全性以及处理后数据的正确性，更重要的是对各环节人员操作程序进行安全管理，同时还要引进和强化计算机自动控制系统，以保证计算机系统及数据的安全性和数据处理的可靠性。四是建立完善了信息安全责任制度、信息系统日志管理制度、账号与口令管理制度、数据备份制度及应急预案制度等。

（二）加强硬件与软件及信息安全技术建设

为保障信息系统的安全，实施了内外网物理隔离，使互联网和局域网成为两个独立的网络，并配合省、市公司，对县—市—省三级联网通道进行改造，建设成了主通道为100M、备用通道为20M的光纤通道，与省、市公司互联。在各计算机终端安装了北信源桌面管理系统和趋势杀毒软件，启用桌面管理系统的补丁安装功能，对存在漏洞的计算机进行了补丁安装，对于个别无法安装补丁的计算机进行了重新安装操作系统，并实施了弱口令专项治理工作，坚决杜绝弱口令的发生。指派专人实时监控桌面管理系统，确保杀毒软件安装率、桌面管理系统注册率等达到100%。严格执行“涉密不上网、上网不涉密”的纪律要求。在内外网的网络终端上安装安全管理终端，登记内外网终端使用信息，监控网络终端基本信息。严禁违规上国际互联网及其他的信息网的现象；严禁内外网互联现象；严禁使用未登记备案的外网接口；严禁安装、使用未经批准的无线网络等，杜绝违规外联的发生。加强移动存储介质的使用和管理，专门配备了安全移动存储介质，保证了病毒、木马依靠移动存储介质进行传播。在各信息系统服务器上增加软件防火墙，取消不必要的协议及远程登录功能。对于远抄、集抄、智能手机抄表等信息系统，把原来的互联网接入方式更换为APN接入方式，保证了信息系统服务器的安全。对于入网及互联网用户实行严格的审批制度，并对其进行了MAC地址绑定，使局域网安全得以保障。

三、对实践过程的思考和对效果的评价

通过一系列的信息安全的建设和管理，改变了原来公司局域网管理混乱的模式，加强了公司信息安全管理工作，提高了公司信息系统整体安全防护水平，实现信息系统安全的可控、能控、在控。规范了信息安全的主要责任，确保信息系统持续、稳定、可靠的运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃，抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止公司对外服务中断和由此造成的电力系统运行事故，为国网公司“三集五大”体系建设及省电力公司统推的信息系统建设提供了强有力的安全保障，以信息化建设促进了企业管理水平和经济效益的提高。

信息安全管理建设 篇4

《信息系统安全集成》一书是一部信息化、信息安全工程建设指导类书籍,该书全面论述和系统分析了计算机信息系统如何开展信息安全保护建设和实现信息安全目标,是一部将信息系统安全相关法律、法规、政策、保护制度、信息安全等级保护系列规范、涉及国家秘密信息系统分级保护建设规范、安全技术措施、安全管理措施融于一体的工程建设指导书,是一部理论与实践相结合的好书,对我国信息化和信息安全建设实践将发挥重要指导作用。与其他相关专业书刊内容相比,该书最显著的特点是:对贯穿于信息化系统建设过程各个环节的内容进行了全面论述,对信息化工程设计者、工程实施者都有指导意义。

该书共分六章,第一章信息安全概述,第二章信息安全集成准备,第三章信息系统安全方案设计,第四章安全设备测试,第五章工程实施,第六章信息安全管理。该书从信息安全相关法律、法规,到等级保护、分级保护规范标准;从信息安全的需求分析、方案设计,到工程施工组织管理、系统测试、质量控制;从技术保护措施,到安全管理保障措施,全面系统分析了信息系统安全建设工作涉及的方方面面。

信息化建设与信息安全(四)1 篇5

（四）11.被喻为“我国首部真正意义的信息化法律”的是《中华人民共和国计算机信息系统安全保护条例》。（）判断正确错误

您的答案：错误正确答案：错误

2.我国信息安全法律体系框架分为法律，行政法规，地方性法规和规章，以及规范性文件等四个层面。（）判断正确错误

您的答案：正确正确答案：正确

3.PKI是PMI的基础。（）判断正确错误

您的答案：正确正确答案：正确

4.缺乏网络伦理的危害包括（）。多选 A 垃圾邮件浪费了宝贵的网络资源 B 安全问题削弱了人们对网络的信赖 C 在网络中存在大量的不道德的行为 D 流氓软件使用户忍无可忍 您的答案： A B C D 正确答案： A B C D

5.下面与信息安全管理相关的工作有（）。多选 A 人事管理 B 设备和场地管理 C 存储媒体管理 D 软件管理 E 密码和密钥管理

您的答案： A B C D E 正确答案： A B C D E

6.党的十八大报告有19处提及信息、信息化、信息网络、信息技术与信息安全，并且提出了（）的目标。单选 A 建设国家信息安全保障体系 B 构筑国家信息安全保障体系 C 健全国家信息安全保障体系 D 完善国家信息安全保障体系

您的答案：C 正确答案：C

7.网络信任体系的内容不包括（）。单选 A 身份认证 B 授权管理 C 责任认定 D 信息安全 您的答案：D 正确答案：D

8.以下对PMI的叙述错误的是（）。单选 A PMI不是PKI的扩展及补充 B 是在PKI提出并解决了信任和统一的安全认证问题后提出的，其目的是解决统一的授权管理和访问控制问题。

C PMI系统要管理信息资源和系统用户两大类业务 D 负责为网络中的用户进行授权，审核、签发、发布并管理证明用户权限的属性证书。

您的答案：A 正确答案：A

9.数字签名的优点包括（）。多选 A 签名人不能否认自己所签的文件 B 可以在远距离以外签署文件 C 所签文件很容易被篡改 D 所签文件具有完整性，难以断章取义。

您的答案： A B D 正确答案： A B D

企业财务管理信息建设分析 篇6

关键词：财务管理；信息建设；企业制度

一、企业实行财务管理信息化建设的重要功效

在经济环境的变化和企业精细化管理等因素共同作用下，财务管理信息化建设是现代企业财务管理模式的必然选择，在企业的健康持续经营过程中发挥了重要的功效，这主要体现在三个方面。首先，财务信息化建设是高效贯彻企业发展战略、加强自身核心竞争力的重要途径。实现财务信息化，将企业的所有财务资料与企业和社会接轨，是借助互联网和通信技术，企业主动并及时地处理企业财务信息化，优化了财务管理流程。财务信息化建设可以帮助企业管理者更加快速准确地掌握企业财务活动，整合和获取企业各部门信息，快速了解企业资金筹集、投资活动、原料采购、产品生产等环节的现状，有利于企业发挥财务集中监管职能，进而能帮助企业管理者正确分析当前企业环境，在企业发展战略和方针的指导下，采取科学的管理制度，保障企业的保值增值，进而提高企业的竞争力。其次，财务信息化建设能够节约企业管理成本，提高企业财务管理效率。实现企业财务信息化建设，要求企业购置和启用高效、有针对性的基于现代信息技术研发的财务信息管理平台和应用软件。以这些现代化的信息系统为管理工具，能够快速整合企业繁琐、多元化的财务活动信息，解放了一大批手工记账等传统管理模式下很多基础工作所需人员，机械化工作在一定程度内降低了劳动力的工作强度，让更多的物力、人力转移到财务管理中的关键和重要环节，这就要求企业管理层必须采取人事的精细化管理，合理设置财务管理岗位和改革传统的企业组织结构。最后，财务信息化建设是企业向现代化迈进，与国际视野接轨的桥梁。现代企业制度要求企业职责明确、科学管理、产权分明、以人为本，而财务管理信息化建设迎合了企业管理的需求，能够满足企业对资金的宏观调控和配置，不管是现代企业管理还是运营都需要对财务活动进行科学统筹。

二、我国企业财务管理信息化建设不足之处

（一）企业推进财务信息化建设的现实条件不满足。尽管我国财政部等对企业财务信息化建设有着一定的规章要求和财力支持，但是对于企业来说，企业存在着诸多主客观因素，不能满足财务信息化建设所需的物资保障等。比如，企业内部缺乏具有对应计算机水平的财务人员能够胜任财务信息系统的操作工作。尽管超过一半的中小企业从会工作员工已经历过相关的财务信息化操作训练，但是在实践中能够学以致用的仍在少数。大部分的受训工作者只能处理简单的网核操作，而对于信息系统的一些特殊功能、快捷核算仅仅停留于道听途说，真正的财务信息化难以实现。

（二）财务管理信息化软件的适应性较差。就我国已经实现财务管理信息化建设的企业来说，绝大部分都是采用行业通用的财务软件来进行财务管理，主要有友通、金蝶。通用软件上手快，基础模块完整，但是软件的针对性较弱，功能单一。其一，通用财务软件基本上只能完成做账、核算基础工作，而相对重要并与企业业务配套和运营同步的资金管理、预算管理、成本分摊、功能没法实现，仍需手工执行；其二，我国的软件研发机构规模小，研发人才匮乏，研发实力有待加强，同时进口财务软件通道受高成本和国情影响。

（三）企业内部信息传递、共享性不高。会计部门在传统企业管理中地位特殊，独立性较强，同样在财务信息化建设过程中，财会计部门直接接触和使用财务信息化软件，另外的部门则不需要涉及。因此，其他部门在给会计部门提供本部门的财务信息时可能会因为自身利益而不及时反馈或者不真实报送财务材料，对企业管理正确、科学的采购、生产、销售等决策有很大的干扰。

（四）财务管理信息化软件的安全性维护不到位。企业使用的通用财务软件管理系统，很多没有防火墙进行隔离，企业也没有相应的稳固的信息安全管控手段，会计信息和电子资料丢失、被盗、损坏频繁出现。很多企业对财务软件的使用，都不重视后期维护工作，使得财务信息化管理没能充分体现其优越性和价值，没能真正发挥实效。

三、企业财务管理信息化建设的举措

（一）使用会计电算化软件，推进企业内外流程一致性应

用。企业应该具备一定的计算机运用技术，采用会计电算化软件，并能够编写单机程序进而履行财务记账、财务核算、财务报表编制、财务评价等基本会计职能，实现常规财务工作的自动化处理，建立财务信息化建设的第一手电子数据信息。同时，对于电子信息的管理，企业需要制定完善的安全管理方案和严格的权限分配，确保信息的准确性和安全性。

（二）采用国际管理ERP系统，实现企业的核算会计向管理会计转型。企业应该采用标准化的财务信息化管理平台，加强会计职能，逐渐由核算型会计过渡到管理型会计。即要求企业的财务管理引入国际管理ERP系统和NC平台，比如金蝶

ERP管理系统和用友ERP管理系统，不仅仅强调企业的财务处理职能，而是更多的是突出企业对物流、生产、成本、计划管理、人力资源等方面的信息化管理职能。在这方面加纳的财务管理信息化模式值得推广。加纳政府采用了GIFMIS财务管理系统，成功化解了PFM方面的诸多难题，比如财务信息不对称，预算不合理控制，由于会计与财务报告系统弱化因素的存在导致财务规划所需信息的质量不高等现象。所以，对于一般企业来说，只有真正引入与自身业务实务相适应的ERP管理系统，同时所有参与其中的财务工作者必须认真履行职责，爱岗敬业，保持高度的责任心，配合企业的管理活动，方能加快企业财务信息化建设步伐。

（三）企业财务管理服务软件应与企业管理实际需要紧密

相合。企业财务管理服务软件的研发应该立足于企业管理实际需要，必须有完备的功能来服务于企业的整套财务活动流程，所以研发与企业实务相匹配的财务管理信息系统，是推进企业财务管理信息化建设的关键工作。企业应该主动联系软件公司，向其提供企业的需求；软件公司则应该不断改进和更新研发技术，根据企业的需求，在基础财务软件基础上，进行二次研发，争取研发包括能够满足企业会计精细化核算目标、费用管理、全面预算管理信息化等职能的财务管理信息平台。

（四）重视财务信息化建设所需技术人才的培养。专业人才是企业财务信息化建设的根本保障，所以不管是软件公司中系统的研发人才还是企业财务信息平台的操作人才，都需要国家和相关企业共同培养相应的财务信息建设专技。比如，要培养一批兼具计算机技术和企业管理思想的人才，共同完成系统的研发，因为只有这样的人才方能深刻领悟企业信息化管理的需求，能够决策该种需求是否能够实现以及如何实现。而在系统的应用过程，则主要是要求掌握财务管理核心技术的管理型人才。因此，充足的人才储备是财务信息化建设进程的最强支撑，是推进企业财务信息化的必要条件，企业应该拨付经费打造人才队伍。

总之，企业推进财务管理信息化建设是应经济发展之需，企业现代化的迫切要求，企业应义无反顾推进该项工程，实现资金的高效运作和提高财务管理效率，将企业做大做强。

参考文献：

[1] 韩雪.企业财务管理信息化建设分析[J].商场现代化.2014（30）

企业的信息安全建设 篇7

随着信息化应用的日益广泛, 企业的信息系统中存储的大量有价值的信息和数据已成为各种网络犯罪组织和恶意势力的攻击目标, 网络非法行为日趋复杂, 且更为频繁, 各种攻击方法相互融合, 攻击手段更为隐秘, 破坏性更强, 攻击从网络层向应用层迁移。但是, 我们也应该看到, 信息安全虽然是由信息技术问题引起的, 但信息安全问题的解决不能够单纯地由技术问题入手, 还得从系统的、管理的角度切入, 一个完美的解决安全问题的技术方案在现实中是不存在的, 而且用信息技术解决信息技术的脆弱性和不完善性有可能带来另外的脆弱性和不完善性。因此, 信息安全中的技术问题是一个关键问题, 不能解决全部问题。信息安全界有句名言:三分技术, 七分管理, 安全和管理是分不开的。即使有再好的安全设备和系统, 而没有一套良好的安全管理制度、管理方法并贯彻实施, 信息安全问题就是空谈。许多出现信息安全事故的单位, 要么是有安全管理制度但没有执行, 要么就是没有安全管理制度。

一、信息系统的安全风险评估

所谓信息系统的安全风险, 是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响。风险评估是分析分析确定风险的过程。任何系统的安全性都可通过风险的大小来衡量。

网络信息系统得安全建设应该建立在风险评估的基础上, 这是信息化建设的内在要求, 系统主管部门和运营、应用单位都必须做好本系统得信息安全评估工作。只有在建设的初期, 在规划的过程中, 就运用风险评估、风险管理的手段, 才可以避免重复建设和投资的浪费。信息安全风险评估是风险评估理论和方法在信息系统中的运用, 是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险, 并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间做出抉择的过程。所有信息安全建设都应该是基于信息安全风险评估, 只有在正确地、全面地理解风险后, 才能在控制风险、减少风险之间做出正确的判断, 决定调动多少资源、以什么样的代价、采取什么样的应对措施去化解、控制风险。在风险评估中, 最终要根据对安全事件发生的可能性和负面影响的评估来识别信息系统的安全风险。造成信息安全事件的源头, 可以归为外因和内因。外因为威胁, 内因则为脆弱性。因此, 在风险评估中要刻意刻画信息安全事件, 就必须对威胁和脆弱性都有深入了解, 这构成了风险评估工作的关键。

要确保信息网络系统得安全高效, 就必须建立和完善信息安全风险评估机制, 也就是要构建一个“发现隐患、制定对策、提高强度、效果认证”的封闭式、反馈型、非线性的评估系统。同时, 信息网络在建设规划阶段必须进行风险评估以确定系统的安全目标;在工程验收阶段一定要进行效果认证和风险在评估以判定系统得安全目标达成与否;在运行维护阶段要针对安全形势和问题, 进行制度化的风险评估工作, 以确定安全措施的有效性和决定是否采取隔离或实施升级行动, 以确保安全保障形势始终维持在期望的目标水平之上。

信息安全风险评估有助于信息化建设的有序开展, 促进信息安全保障体系得完善, 提高信息系统的安全防护能力。其目的是借助科学的评估体系和技术方法, 弄清本单位信息安全的基本态势和网络环境安全状况, 及时采取或完善安全保障措施, 确保信息安全策略和方针在常态化中得到贯彻与执行。对于企业具体涵盖的内容来说, 首先要明确企业的哪些资产需要保护:企业必须花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常, 各公司认为表述资产的价值是很容易的, 但具体如要按级别界定就不那么简单。对此, 就需要用安全厂商与企业共同制定规范以确定需要保护的资产的安全级别, 并为制定切实可行的安全管理策略打下基础。另外, 还需完成威胁识别的任务:如果企业想增强竞争实力, 必须随时改进和更新系统和网络, 但是机会增加常伴随着安全风险的增加, 尤其是机构的数据对更多用户开放的时候———因为技术越先进, 安全管理就越复杂。所以企业为了消除安全隐患, 下一步就需要安全厂商与企业一起必须要对现有的网络、系统、应用进行相应的风险评估, 确定在企业的具体环境下到底存在哪些和安全隐患。在此基础上, 制定并实施, 完成安全策略的责任分配, 设立安全标准:几乎所有企业目前都有策略, 只不过许多策略都没有书面化, 只作为完成任务的一种手段。恰当的安全策略必须与机构的所有业务需求直接相关。它基于几类安全标准。标准分类将使企业能发现违反策略的行为, 并指出每个区域的漏洞或潜在安全威胁区。最后, 管理还应包括安全厂商与企业共同组织的对企业安全管理人员进行安全培训, 以便维护和管理整个的实施和运行情况。

企业的网络信息系统必须按照风险管理的思想, 对可能存在的威胁、脆弱性和需要保护的信息资源进行分析, 依据风险评估的结果为信息系统选择适当的安全措施, 妥善应对可能发生的风险。目前, 信息安全等级保护是发达国家保护关键信息基础设施, 保障信息安全的通行。

二、信息安全等级保护

(一) 信息安全等级保护和风险评估的关系

1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行信息系统安全等级保护。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》中明确提出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统, 抓紧建立信息系统安全等级保护制度, 制定信息系统安全等级保护的管理办法和技术指南”。2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》也指出:“信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中, 提高信息安全保障能力水平, 维护国家安全、社会稳定和公共利益, 保障和促进信息化建设健康发展的一项基本制度”。等级保护工作的核心是对信息安全分等级, 按标准进行建设、管理和监督。风险评估做为信息安全工作的一种重要技术手段, 为系统安全等级保护的定级、测评和整改等工作阶段提供重要依据, 在实施信息安全等级保护周期和层次中发挥着重要作用。在等级保护周期的系统等级阶段中, 依据信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、以及系统自身脆弱性的严重程度进行识别和关联分析, 判断信息系统应采取什么强度的安全措施, 然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内;在安全实施阶段, 按照风险评估标准, 对现有系统进行评估和加固, 然后进行安全设备的部署, 对在安全实施过程中也会发生事件并可能带来长期的隐患, 风险评估能及早发现并解决这些问题;在安全运维阶段, 按照风险评估标准开展定期和不定期的风险评估以便帮助确认它保持的安全等级是否发生变化。

风险评估的技术手段包括有系统审计、漏洞扫描和渗透测试, 他们在等级保护的各个层。

(二) 等级保护制度的落实

目前, 国家通过制定统一的信息安全等级保护管理规范和技术标准, 组织公民、法人和其他组织对信息系统分等级实行安全防护, 对等级保护工作的实施实行监督、管理, 从而大力推行信息化建设的全面发展, 但是, 绝大多数的信息系统得运营、使用单位依旧采用传统的工作方式解决等级保护工作中的一系列问题, 尤其是相对数量的信息安全等级保护工作的职能部门, 他们在落实等级保护工作中存在很大的问题, 表现在以下几个方面:

一是信息系统安全等级保护工作认识不深刻、重视不到位。信息系统得安全性问题不仅仅是用户自身财产安全的问题, 其所有者应当承担相应的社会安全和公众利益安全的义务。然而, 部分执行部门在开展等级保护工作中从始至终都在被动的应付监管部门的检查, 这种思想上的不重视给监管部门工作开展带来困难的同时, 也阻碍整个信息系统安全等级保护工作的开展;二是信息系统安全等级保护工作管理无序、缺乏约束力。目前, 一部分执行单位他们对信息系统安全等级保护工作组织开展、管理实施无从下手, 甚至对相关法律、政策和标准还不是很清楚, 同时没有各自内部专门机构对等保工作实施监督;三是执行单位的安全分工不清, 没有建立相应得安全职能部门, 这使得在安全等级保护工作中无法确定各相关部门的职责, 从而无法落实安全责任制。

针对这些问题, 建立信息安全管理组织是做好信息安全等级保护工作的必要条件。

1. 建立信息安全管理组织的必要性

一个单位应该也必须建立信息安全管理组织, 这个组织是这个单位在信息系统安全方面的最高权力组织。信息安全是所有管理层成员所共有的责任, 一个管理组织应确保有明确的安全目标。在一个单位内部, 有关信息安全的工作需要一个强有力领导机构来领带和推动, 这是由于:1) 首先是一些单位的业务对信息系统形成了完全的依赖, 另外信息安全会导致对社会公众利益、社会秩序和国家安全造成侵害, 甚至是严重的侵害。2) 在一个单位中多个部门的信息任务既有联系又有相对的独立性, 而这些任务又是这个单位全部信息任务的组成部分, 所有这些都需要一个强有力的机构进行协调和指导。3) 全员使用的信息系统中不同员工在其中所对应的是不同的角色, 在工作中的权限也有4) 一个单位对信息系统安全所采取的各类措施和决策是需要权威机构来审批和决定的。

2. 信息系统使用单位的安全管理机构的职能包括

1) 信息系统安全管理就够负责与信息安全有关的规划、建设、投资、人事、安全政策、资源利用和事故处理等方面的决策和实施。2) 负责与各级国家安全信息安全监管机构、上级主管部门和技术保卫机构建立日常的工作关系。3) 组织、协调、指导计算机信息系统得安全开发工作。4) 建立健全本系统的系统安全保护规程、制度。5) 确定信息安全各岗位人员的职责和权限、建立岗位责任制。6) 审议并通过安全规划、年度安全报告、与信息安全相关的安全宣传、教育培育计划。7) 执行信息安全报告制度, 定期向当地公安信息安全监管部门报告本单位信息安全保护管理情况, 及时报告重大安全事件。8) 安全审计跟踪分析和安全检查, 及时发现安全隐患和犯罪嫌疑, 防患于未然, 将可能的攻击拒之门外。9) 负责向所属组织或机构的领导层汇报工作, 积极争取领导层对信息安全的支持。10) 信息发布的审核管理。

三、结束语

这种现代化、信息化的以等级保护为核心的信息安全管理体系, 不仅有助于职能部门解决其使用传统方式开展登记保护所导致的问题, 也为各职能部门积极主动地解决自身安全问题提供了有效帮助。根据企业实际情况, 进一步发展完善, 加强定级对象信息系统整体防护, 建设管理中心支持下的计算环境、区域边界、通信网络三重防护体系结构, 做好操作人员使用的终端防护, 把住攻击发生的源头关, 做到操作使用安全, 以防内为主, 内外兼防, 提高计算节点自身防护能力, 减少从外部入口上封堵, 做到不同级别信息系统安全保护技术和管理逐级增强。

摘要：针对企业信息安全形势, 进行信息系统安全的风险评估, 落实安全等级的维护, 加强信息网络安全保障, 做好网络安全管理, 而完成这些工作的必要条件是建立的有完善工作只能的信息安全管理组织。

关键词：信息安全,风险评估,等级保护,信息安全管理组织

参考文献

[1]李明, 吴忠.信息安全发展与研究[J].上海工程技术大学学报, 2005.

[2]吴晓明.美国信息安全风险评估探悉[J].信息网络安全, 2009.

信息安全管理建设 篇8

当今社会已经步入信息知识经济时代,信息安全是目前发展的大趋势,趋势重点是BYOD条件下,移动4G、WIFI互联等多边界企业网络环境下,安全边界的界定和管理。可包括信息安全架构体系的搭建,其中包括网络边界安全、信息流安全、系统等级定义、CA认证、统一身份认证等方面。本文主要就这些方面深度论述信息安全在企业发展中的重要性,剖析对系统操作的意义,并提出某些改进措施及观点,以此来完善企业网络安全、系统安全等信息安全工作。

1企业信息化安全现状

当前,企业信息安全尚在起步阶段,发展不够成熟健全,还有更多需要解决的问题。随着网络技术的发展,经济信息量的大幅度上涨,处理信息必须依靠计算机才能完成,但计算机存在一定的弱点,例如计算机病毒、人员素质低下、黑客入侵等因素, 以及移动4G、WIFI互联等多边界企业网络环境下,由于内外部网络是直接连接,其互通性和网络访问无限制性易形成黑客或恶意份子入侵的切入口,若是没有设置任何的网络边界安全机制, 将造成企业信息受到潜在的安全威胁。企业要想持续发展,信息安全是基本保障。企业信息化程度越高,企业数据也就越安全。 企业发展的基础即信息安全,企业管理者要正确认识信息安全工作的长期性和紧迫性。从保护企业利益,促进经济发展,保证企业稳定与安全的角度来看,只有做好基础性工作和设施建设,建立信息安全保障,以及建设安全健康的网络环境,才能有助于信息化安全建设。其实不管科技如何发达,技术如何高超,都是人类智慧的结晶体,所以信息安全已无法离开人类。不少企业信息被泄露,多是人为因素导致,员工滥用企业信息将会给企业带来极大的损失。

2企业信息化安全建设

当今社会已经步入信息知识经济时代,信息对企业良性长久的发展尤为关键,但目前企业信息系统安全问题无疑是企业发展阶段所面临的重点难点。所谓的企业信息安全就是对企业信息资产采取保护措施,使其不受恶意或偶然侵犯而被破坏、篡改及泄露,确保信息系统可靠正常并连续的运行,最小化安全事件对业务的影响,实现业务运行的连续性。因此笔者认为以下几方面是关键。

2.1做好网络保护

其实要保证外网安全需要企业加大硬件设备的投入,信息安全产品在网络经济发展下正面临着新的挑战,传统防火墙、信息加密、防病毒等已无法有效的抵御外部入侵;同时由于内部操作不当,导致内网感染病毒造成信息泄露的现状也是信息安全的焦点问题。针对以上情况,建立事前有效防御,事后追究机制是企业信息化安全建设的当务之急。根据现代企业的特点,笔者认为从下面这几点入手,有助于保护网络的安全:

(1)身份认证技术。企业内网操作时,可采用身份认证技术,借助PKI、PKM等工具,控制网络应用程序的访问,以及进行身份认证,实现有效资源合法应用和访问的目的。

(2)审计跟踪技术。通过审计跟踪技术监控和审计网络, 控制外设备如MSN、QQ、端口、打印、光驱、软驱等,从而实现禁止使用指定程序,并促进员工操作行为及日志审计规范的目的。

(3)企业还应组建自身网络拓扑结构,利用严格密钥机制和加密算法,有机的结合加密、认证、授权、审计等功能,保护最底层不同密集评定和授权方式的核心数据,而非限制应用网络和控制网络,进而真正实现合理保护,确保企业信息数据资源的安全。

2.2安全边界的界定和管理

安全边界的界定通过分析现有网络边界安全的需求,笔者认为有几方面:首先,内部网段。即企业网内网,是防火墙的重点保护对象,安全级别和授信级别更高,主要承载对象是企业所有人员的计算机。其次,外部网段。即边界路由器以外的网络,比如移动4G、WIFI互联等多边界网络,安全级别和授信级别最低, 是企业信息数据泄露最大的安全隐患,需要严格禁止或控制。最后,DMZ网段。即对外服务器,安全级别和授信级别介于内外网络之间,其资源运行外部网络访问。

(1)由于外部用户访问DMZ区域中服务器的方式较为特殊,在系统默认情况下是不被允许的。可实际应用中是需要外部用户对其进行访问,所以防火墙上必须增加相应允许外部用户访问DMZ区域的访问控制列表,通过对列表的控制允许用户行为, 并对进行很好的监控管理,保证企业信息的安全性。

(2)内部用户对外部网络以及DMZ区域中服务器的访问。 按照ASA自适应安全算法,在系统默认情况下是允许高安全等级接口流向低安全等级接口流量的,外部网络安全级别远没企业内部网络安全级别高,所以在默认情况下这种访问方式是被允许的,不过实际应用过程中,需要限制对外访问流量。

(3)外部用户对内部网络的访问。在系统默认情况下这种情况是不被允许的,是对外部用户非法访问的有效抵御,能有效的保证企业信息的安全,促进企业信息化的安全建设。

2.3强化系统管理

由于任何安全软件都有被攻击或破解的可能性,单纯依靠软件技术来保障企业信息安全是不现实的,只有强化企业内部信息系统的管理才行之有效。所以,企业内部信息管理体制要完善, 尽可能促进管理系统规范性和可靠性的提高,才能为企业内部信息的安全提供更高保障。同时,要进行安全风险评估工作。因为各个信息系统使用的都是不同的技术手段和组成方式,其自身优势及安全漏洞也具有较大的差异,由此在选择企业所需的信息系统时,一定要先做各个系统的安全风险评估工作,信息安全系统的选择要针对企业自身特点,降低信息安全问题出现的概率。最后,就是加强系统管理。在实际生活中信息窃取和系统攻击大多是在网络上完成的,企业必须要强化网络管理工作,以便促进企业的运行更安全政策。

2.4加强企业信息安全管理团队建设

当前,企业信息安全体系的建设中已完全渗透“七分管理, 三分技术”的意识,强化企业员工信息安全知识培训,制定完善合理的信息安全管理制度,是企业信息安全建设顺利实施的关键保障。企业信息安全建设时要另立专门管理信息安全的部门,负责企业内部的信息安全防护工作,加强对企业内部计算机网络系统的维护及常规检查。企业信息安全管理团队的职责主要包括: 工作人员安全操作规范、工作人员守则以及管理制度的制定,再交由上级主管部门审批后监督制度规范的执行;定期组织安全运行和信息网络建设的检查监测,掌握公司全面的第一手安全资料,根据资料研究相关的安全对策和措施;负责常规的信息网络安全管理维护工作;定期制订安全工作总结,且要接受国家相关信息安全职能部门对信息安全的工作指导。

2.5入侵检测系统(IDS)与入侵防护系统(IPS)

IDS即入侵检测系统能够弥补防火墙的缺陷,能实时的提供给网络安全入侵检测,并采取一定的防护手段保护网络。良好的入侵检测系统不但可有助于系统管理员随时了解网络系统的变更,还能提高可靠的网络安全策略制订依据。因此,入侵检测系统的管理应配置简单,随时根据系统构造、网络规模、安全需求改变。IDS必须布置在能够监控局域网和Internet之间所有流量的地方,才能第一时间检测到入侵时,做出及时的响应,比如记录时间、切断网络连接等。

3总结

目前,我国社会经济发展速度很快,推动着企业的飞速发展, 而企业的健康发展离不开信息化建设。但在信息化建设发展进步的背景下,信息安全问题是企业需要高度重视的重要问题。信息安全问题包括企业内部机密信息,是企业生存发展的关键,因此企业要快速健康的发展,必须加大对网络的管理力度,强化对信息系统的管理,加强信息安全系统的建设,界定并管理安全边界, 通过全面的管理实现企业信息化的安全建设。当然企业信息化安全建设并非单一技术问题,而是整个信息系统的建立,以及整个系统在投入运行之后的日常维护和升级,针对企业而言信息化安全建设将是一项长久而艰巨的重要任务。

参考文献

[1]潘爱萍,于连峰,周仕良.浅谈企业信息化建设中的信息安全问题[J].消费电子,2014.

浅析网络信息安全管理的体系建设 篇9

1 信息安全的定义及目标

信息的定义, 从广义上讲, 信息是任何一个事物的运动状态以及运动状态形式的变化, 它是一种客观存在。狭义的信息的含义是指信息接受主体所感觉到并能理解的东西。ISO 13335《信息技术安全管理指南》定义:信息是通过在数据上施加某此约定而赋予这此数据的特殊含义。信息是无形的, 借助于信息媒体以多种形式存在和传播, 同时。信息也是一种重要资产, 具有价值, 需要保护。信息安全的目标是信息资产被泄露意味着保密性受到影响, 被更改意味着完整性受到影响, 被破坏意味着可用性受到影响。而保密性、完整性和可用性三个基本属性是信息安全的最终目标。信息安全的保护对象包括了计算机硬件、软件和数据。就本质而言, 信息安全所针对的均是“信息”这种资源的“安全”, 对信息安全的理解应从信息化背景出发, 最终落实在信息的安全属性上。

2 构建网络信息化安全的意义

能否有效地保护信息资源, 保护信息化进程健康、有序、可持续发展, 直接关乎国家安危, 关乎民族兴亡, 是国家、民族的头等大事。没有信息安全, 就没有真正意义上的政治安全, 就没有稳固的经济安全和军事安全, 更没有完整意义上的国家安全。信息安全是信息技术发展过程之中提出的课题, 在信息化的大背景下被推上了历史舞台。信息安全不是最终目的, 它只是服务于信息化的一种手段, 其针对的是信息化这种战略资源的安全, 其主旨在于为信息化保驾护航。

3 网络信息化的安全属性

信息安全的概念与信息的本质属性有着必然的联系, 它是信息的本质属性所体现的安全意义。说安全属性研究首先要从安全定义讲起, 安全定义分很多的层次, 为什么分层次, 我们随着它的演变来看的, 信息安全最初目标, 叫数据安全, 它关心的是数据自身, 所以是一个狭义的数据安全, 是保护信息自身的安全。

3.1 保密性 (Confidentiality)

在传统信息环境中, 普通人通过邮政系统发信件时, 为了个人隐私要装上信封。可是到了信息化时代, 信息在网上传播时, 如果没有这个“信封”, 那么所有的信息都是“明信片”, 不再有秘密可言, 这便是信息安全中的保密性需求。保密性是指信息不被泄露给非授权的用户、实体或进程, 或被其利用的特性。保密性不但包括信息内容的保密, 还包括信息状态的保密。

3.2 完整性 (Integrality)

完整性是指信息未经授权不能进行更改的特性。即信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性与机密性不同, 机密性要求信息不被泄露给未授权的人, 而完整性则要求信息不致受到各种原因的破坏。

3.3 易用性 (Availability)

易用性是信息可被授权实体访问并按需求使用的特性。在授权用户或实体需要信息服务时, 信息服务应该可以使用, 或者是信息系统部分受损或需要降级使用时, 仍能为授权用户提供有效服务。易用性一般用系统正常使用时间和整个工作时间之比来度量。

4 构建网络信息化安全管理体系

在面向网络信息的安全系统中, 安全管理是应得到高度重视的。这是因为, 据相关部门统计, 在所有的计算机安全事件中, 约有52%是人为因素造成的, 25%是由火灾、水灾等自然灾害引起的, 技术错误占10%, 组织内部人员作案占10%, 仅有3%左右是由外部不法人员攻击造成的。简单归类, 属于管理方面的原因比重高达70%以上, 这正应了人们常说的“三分技术, 七分管理”的笺言。因此, 解决网络与信息安全问题, 不仅应从技术方面着手, 更应加强网络住所的管理工作。

好的网络信息化安全管理体现在以下几个方面:在组织内部建立全面的信息安全管理体系, 强调信息安全是一个管理过程, 而非技术过程;强调信息保密性、完整性、易用性三者在关键流程中运用的平衡;把信息提高到组织资产的高度, 强调对组织信息资产进行价值及影响评估, 对信息资产的脆弱性及其面临的威胁进行分析, 运用风险评估、风险管理手段管理信息安全, 使组织风险降低到可接受的水平;从法律和最好的实践经验角度, 实施全面的控制措施, 使组织信息安全威胁的方方面面置于严密控制之下;强调领导在信息安全管理中的作用;强调信息安全方针在管理体系中的作用;强调对信息技术及工具的实时和有效管理;强调组织运作的连续性及业务连续性的管理;强调信息安全管理水平的不断提高及对流程的策划、实施、检查和改进的过程;信息安全应该是一个以“价值”为基础的过程, 即信息安全管理应是一个有附加价值, 并讲究投入产出比的过程。

5 关注信息化安全服务的综合性、高技术性和对策性特点

信息安全产业有其鲜明的特点, 虽然产生于信息化和信息系统, 依然与通常的IT服务有许多区别。信息化安全的基本特征是服务性的。这种服务性与一般软件的服务性是不同的。一般应用系统或产品的服务主要是维护和培训, 通常服务是非对策性的、非动态的和比较固定的。信息化安全服务是对策性的、动态性的、不断产生新内容的和似乎永远不能成熟等特性。信息化安全服务范畴几乎包括了整个信息化所包括的所有产品和系统, 其服务的综合性和复杂性是显而易见的。信息化安全服务是最高技术的服务, 无论从设计角度和使用的角度都要求深入、熟练和非常专业。我们可以骄傲地说, 信息化安全服务是世界上最伟大的服务业, 也是最困难的服务业。信息化安全服务的复杂性、高成本特性要求信息化安全企业必须在安全服务的远程化和代理化的推进方面做出不懈努力, 不断降低服务成本。

6 结语

网络信息安全不仅仅是一个纯技术层面的问题, 单靠技术因素不足以保证网络中信息的安全。网络信息安全还涉及到法律、管理、标准等多方面的问题。因此, 信息安全是一个相当复杂的问题, 只有协调好这些体系之间的关系, 才能有效保证系统的安全。

参考文献

[1]王宝会, 王大印.计算机信息安全教程[M].电子工业出版社, 2006, 1.

医院网络信息系统的安全管理建设 篇10

关键词：医院信息系统,网络管理,安全管理

1. 前言

随着信息化的不断扩展, 医院网络信息系统 (HIS) 建设已逐步成为各项工作的重要基础设施。由于医院信息系统每天处于不间断的工作之中, 因此发生任何故障都会影响整个医院的医疗和管理工作, 影响医院工作的正常运行。因此, 通过对软硬件系统、网络用户的安全管理和服务器管理建设, 确保网络信息的保密性、完整性和可用性, 确保医院各项工作安全高效运行, 保证医院网络信息安全以及网络硬件及软件系统的正常顺利运行显得尤为重要。

2. 医院中网络信息系统应用的特点

2.1 可靠性高。

医院的工作性质决定了医院网络系统具有高可靠性、数据突发性和不确定性等特点。每天24小时随时可能有病人前来就诊, 从门诊挂号到住院过程中的所有病人信息、医疗信息都需要输人到计算机中, 一旦出现意外, 影响巨大, 因此要求医院的网络系统稳定、可靠。

2.2 安全性高。

病人的住院信息是病人的个人隐私, 医院有责任保护病人的隐私不被泄露, 因此需要很高的安全性;同时这些信息也是医院自身的商业私有信息, 同样需要网络系统高的安全性。

2.3 集成度高。

医院的网络系统包括信息管理系统、数据通讯系统、调度系统, 是一个复杂的巨大网络系统。目前, 医院的网络信息已形成覆盖医生工作站、护士工作站、挂号、门诊收费、住院收费、药房、病案、综合查询、统计等各个环节的综合体系。

2.4 信息量大。

一个大型医院每天产生大量的数据, 医院的信息不仅包含文本信息数据, 还有大量图形、影像信息。这些数据都需要通过网络终端进入计算机, 并进行加工整理, 因此信息传输量很大。

3. 医院网络信息系统的安全管理建设措施

3.1 硬件系统的管理

3.1.1 机房安全条件及要求

1.环境要求。中心机房作为医院信息系统的处理中心, 要对环境条件严格控制, 应注意计算机机房的场地环境、人员、计算机设备及场地的防雷、防火和机房用电安全技术等严格要求。具体做法是:将温度置于25℃左右, 相对湿度为35%-70%, 无人员流动、无尘的半封闭环境, 配备专用空调, 铺设防静电地板、铝合金玻璃隔断、防火墙面处理, 并安装有避雷、抗磁场干扰等装置。

2.电源管理。机房采用两路供电系统, 配有不间断电源12小时延时。

3.为确保服务器稳定可靠、高效运行, 交换机采用双机容错、双机热备的解决方案, 即在主链路发生故障时, 交换机自行切断主链路, 让备用链路进行交换机与网络的信息交换;当主链路被修复后, 网管人员可人为将其切换到主链路。

3.1.2 网络设备管理

网络设备的维护至关重要。中心机房除了主交换机外, 还配备了路由器、交换机、集线器、光纤收发器等设备, 在管理时需定期检测这些设备, 查看指示灯状态是否正常, 并注意做好除垢、防水、防尘、防火和防雷等工作。

3.1.3 终端

终端包括所有接入医院信息网络的计算机, 包括医生站、护士站等所有的调用中心服务器的系统。在管理时, 则采用网管软件限制非法访问网上邻居和其他无关操作, 只允许相关的HIS软件或常用的办公软件可以使用, 卸掉光驱、软驱、屏蔽USB接口, 取消数据共享, 以减少外界与网络间的联系, 防止病毒感染。

3.1.4 网络服务器的管理

网络服务器是整个网络的核心, 因此, 要做好硬件系统方面的安全管理, 则应做好服务器的档案管理。即在管理过程中, 应严格将服务器的随机资料、操作系统、数据库、应用程序安装盘、补丁盘等纳入管理范畴内, 且详细记录清楚服务器的硬件类型、启用时间、网络配置、备份设备等等与服务器运行相关的重要参数。

另外, 为确保医院信息系统的安全稳定运行, 还要求每天进行服务器设备安全检查记录, 即包括:服务器启停记录, 错误日志检查记录, 数据库的使用、扩展、修改、备份情况记录, 服务器性能监视记录等。

3.2 软件系统的管理

3.2.1 操作系统

操作系统是应用程序运行的平台, 一旦系统瘫痪将无法运行应用程序。因此, 对操作系统的管理应做到: (1) 应尽量选择正版的安全漏洞较少的操作系统和数据库系统, 并建立专门的补丁服务器, 以及时对系统和应用程序更新漏洞补丁; (2) 对操作系统和数据库系统进行合理的安全策略配置, 设置进入操作系统的口令, 并定期更换其密码; (3) 应开启审计, 并记录用户的误操作或恶意行为, 以便事后跟踪及管理, 同时也要加强对数据的冗余备份和恢复工作。

3.2.2 应用程序

医院网络信息系统的特点是涉及部门多、系统复杂, 因此为确保医疗数据安全, 医院网络信息系统应为每个操作员都设有工号、口令和用户权限, 使每一个有权限的操作人员只能在允许的操作范围进行正规操作, 且没有权限更改系统和网络配置。这样, 既可以防范操作人员进行越级查阅, 又可以禁止未经授权的用户对数据进行操作。同时, 应严格取消网络共享这一设置, 不允许安装使用其他不正当的程序。

3.3 病毒防治

由于计算机病毒具有种类繁多、变异速度快、传播网络化、隐蔽性强、危害多样化、危害后果日趋严重等特点, 其可冲击内存, 影响计算和响应性能, 修改数据或删除文件, 甚至会使医院整个信息网络瘫痪。为保证医院信息系统的安全, 应采取软件和硬件相结合的病毒防治方案, 安装正版杀毒软件和防火墙, 并经常升级安全补丁和病毒代码库。

对于终端防病毒, 可选用趋势网络版杀毒软件, 对医院网络信息系统实行服务器端集中管理。如可在医院专门设置一台服务器用作防病毒软件的服务器端, 实现对网络中所有计算机的保护和监控。网络管理员可通过集中管理, 向客户端发送病毒警报、强制对远程客户端进行病毒扫描、定期扫描整个网络、强制禁用远端工作站的部分网络端口等。

3.4 信息系统安全策略

3.4.1 建立完善的数据存储和备份机制

采用磁盘镜像工具在服务器上做双硬盘镜像, 使得数据不容易因控制器故障而受到破坏。通过目录自动复制和备份管理工具实现数据的实时或定时备份, 并保证备份服务器和主服务器异地放置, 进一步保证数据的安全及灾难后的及时恢复。这样, 一旦一台服务器出现故障, 可立即启动另一台服务器, 以保证系统的正常运转。

对关键应用和主干设备考虑有适当的冗余, 对数据库中的重要数据提供可靠的备份能力和有效的恢复手段。

3.4.2 信息加密技术

(1) 在保障信息安全的诸多技术中, 密码技术是信息安全的核心和关键技术, 通过数据加密技术, 可在一定程度上提高数据传输的安全性, 保证传输数据的完整性。一般, 网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密是保护网络节点之间的链路信息安全;端点加密是对源端用户到目的端用户的数据提供保护;节点加密是对源节点到目的节点之间的传输链路提供保护。

(2) 数据加密算法

数据加密算法经历了三个阶段, 即古典密码、对称密钥密码 (包括DES和AES) 、公开密钥密码 (包括RSA、背包密码等) 。在网络信息系统中, 最普遍的算法有DES算法、RSA算法和PGP算法等。在此, 重点以RSA算法为例。

RSA算法, 既能用于数据加密, 也能用于数字签名。一般, RSA加解密过程为:

(1) 加密:设m为要传送的明文, 利用公开密钥 (n, e) 加密, c为加密后的密文。则加密公式为:c=m e mod n, (0≤c

(2) 解密:利用秘密密钥 (n, d) 解密。则解密公式为:m=cdmod n, (0≤m

如例1:1) 选取p=11, q=13。则n=p*q=143。

z= (p-1) * (q-1) =10*12=120;

2) 选取E=17 (大于p和q的质数) , 计算其逆, d=17 142mod143=113。

4) 那么公钥PK为 (143, 17) , 私钥SK为 (143, 113) 。

5) 假设小黄要传送机密信息m=85给小李, 小黄已经从小李或者其他公开媒体得到公钥PK (143, 17) , 小黄算出加密值c=memod n=85 17 mod 143=24并发给小李。

6) 小李在收到密文c=24后, 利用自己的私钥SK (143, 113) 计算出明文。m=c d mod n=24 113 mod 143=85。

7) 这样, 小黄和小李就实现了信息加解密。

3.5 网络用户的安全管理

网络用户的安全管理也是网络安全管理中必不可少的一部分, 一般应做到以下几个方面:

3.5.1 制定严格的网络安全管理制度, 如HIS操作规程、工作站管理、中心机房管理、数据备份与数据库维护、网络安全管理规范等, 并督促检查落实情况, 使制度落到实处。

3.5.2 为确保使用人员操作的准确, 对每一个用户都进行计算机知识及规范化录入的岗前培训, 使所有网络用户熟悉入网操作规程, 熟练系统操作。同时, 加强对用户的网络管理教育, 增强其安全意识。

3.5.3 为了确保网络用户的安全管理, 应在确保用户的正常操作的基础上, 限定其访问权限;对于用于远程传输注册的用户, 为防止用户非法侵入网络, 可采用限定登录时数、定期修改登录密码、定期做登录及注销审核等方式, 以确保网络信息系统的安全运行

4. 结束语

综上所述, 医院网络信息系统是医院整个管理体系中密不可分的一部分, 其稳定性和安全性将直接影响到医院的管理水平和质量。在本文中, 主要从硬件系统的管理、软件系统的管理、病毒防治、信息系统安全策略和网络用户的安全管理这5个方面分析了医院网络信息系统的安全管理措施, 以期能确保医院网络的稳定运行。

参考文献

[1]杨霜英, 胡新勇, 杨国斌, 等.大型医院网络信息系统的安全保障策略[J].中国医疗设备, 2009, 24 (10) .

[2]李娜, 卢沙林.军队医院网络信息系统的安全分析[J].计算机与现代化, 2011 (2) .

信息安全管理建设 篇11

关键词:纺织企业 预防型安全管理 安全管理信息系统

0 引言

纺织工业是我国传统、重要的行业，2003年从业人数达到1800万，拥有棉纺、毛纺、印染、丝绸、麻纺、针织、化纤、纺织机械制造等多种工业。其分工复杂，从业人员多而杂，工作环境差，安全生产管理任务繁重，安全生产形势日趋严峻，因此，提高其安全生产管理水平已刻不容缓。目前，纺织企业安全管理停留在宣传、教育、定期安全检查阶段，且多为“事后型”管理。这种传统、被动和滞后管理，很难适应现代安全生产的要求，因此，迫切需要建立先进的、适合我国现有生产条件的安全管理方法，力求把安全管理从传统的事后追踪变为事前预防控制。以系统论为指导思想的企业安全管理信息系统，通过快速和系统地收集安全相关信息而进行安全分析、评价、预测和控制，指导企业安全管理，为预防型安全管理奠定基础。

1 纺织企业安全信息化存在的问题

近年，我国纺织企业的信息化进程加快，据统计，截止2003年底，全国纺织企业已建立12500家企业网站，占到企业的59％，拥有自己局域网的企业仅41％，少数企业开发和应用了企业管理信息系统和ERP系统，中小企业比例相对更低，但专业的纺织企业安全管理信息系统开发应用未见报道，企业的安全管理的信息化相对滞后，部分大型企业管理信息系统中包含安全管理信息子系统，但都停留在表面应用层次上，没有深入到企业的安全管理各个环节。企业的认识不足、缺少资金、信息技术和人才缺乏是存在的三大主要问题。

1.1 企业对安全管理信息化认识不足 通过对部分纺织企业从业人员调查表明，很少人能认识到安全管理信息系统具有高效、准确、系统地处理安全信息的功能，能为领导提供具有价值的辅助安全决策信息，具有明显优于传统管理的高效、动态、系统和准确的优点。

1.2 专业人才缺乏,缺乏系统设计 安全管理信息系统是个专业性管理信息系统，系统的开发、运行和维护都需要相应专业技术和专业人才来支持，企业一般不具备技术能力和人才储备。目前，单一的安全管理信息系统在应用时出现诸多不协调情况，缺乏系统性，如安全教育管理信息系统、危险源安全管理系统等，系统开发作了大量工作，花费了大量的资金，在某个方面取得一定效果，但没有产生系统效益，相反地构筑了一个个“信息孤岛”，未能实现信息的流通和共享，系统的高效和准确性未得到体现。

1.3 安全资源有限,建设投入不足 安全管理信息系统开发和应用是一项涉及面广、周期长、风险大的系统工程，需要投入较大，动用的安全资源多，因此对企业有限的安全资源来说，开发和运行资金保障难以实现。企业基础薄弱，企业信息资源基础不统一，信息采集渠道单一，缺少灵活性，使得信息来源不系统，导致信息流通不畅，使得系统的高效性和准确性难以实现，而且安全信息的采集和录入是涉及到班组等一线员工的基础工作，一线员工对信息处理能力的差异，也影响系统正常运转和功能发挥。

2 企业安全管理信息系统的内涵

系统安全管理是多学科知识的综合运用，涉及到多学科多领域，彻底改变了传统的单因素安全管理的模式，管理方式也由传统的只顾生产效益的安全辅助管理转变为效益、环境、安全与卫生的综合效果管理。系统安全管理从系统建立到系统整个寿命周期全过程的事故预防控制，变传统的被动滞后的安全管理为主动超前的安全管理模式。在事故管理上变事故分析型为隐患管理型，而且其安全管理目标是一个封闭的动态系统，随企业任务的变化不断修正安全目标、安全任务、安全计划，改变了传统的静态管理模式。在系统的全过程控制中，随着生产任务的改变，不断地采取新的控制措施，保证系统安全。

3 纺织企业安全管理信息化的构建

3.1 纺织企业安全管理信息化综述 纺织企业安全管理信息系统是基于纺织企业安全生产管理特点，以安全系统理论、信息技术和网络技术为开发手段，将纺织企业安全生产管理有关信息数字化，通过管理信息系统进行综合分析评价等处理，力求实现安全管理信息化、动态化和高效化，为企业提供更先进的安全管理手段。系统的工作程序为信息收集录入、信息存贮(记忆)、信息传输(信息流)信息加工(信息分析、危险评价和预警判断等)和信息反馈输出(安全状态信息、预警信息和控制措施)5个阶段，将人工安全管理转变为计算机信息管理，具有预防、高效、系统的动态的特点，以适应纺织企业安全管理从“事后型”管理向“预防型”管理的要求。

3.2 纺织企业安全管理信息系统组成 人类活动影响安全，安全状态又影响人类，这是人类与安全之间的物质运动和能量交换。安全管理信息系统不断获取安全状态和人类活动的数据，及时地综合分析加工出决策信息，指导人类的活动，造成新的安全状态，通过样本数据又反馈到安全管理信息系统，如此循环往复，使得人类一安全系统的有序化程度不断提高。安全管理信息系统以大量安全基本信息作为主要数据基础，以安全信息的录入、查询、修改、打印、基于安全信息的安全分析、安全预测及安全评价为主要功能。纺织企业的安全管理工作根据企业产品类型的不同，安全管理的内容、重点有一定的差别。我们依据系统安全的思想，统一划为对人、对物和对环境的管理，结合信息系统的开发和运行要求，将纺织企业安全管理信息系统划分为以下5个功能模块构成：安全基本信息数据库模块，安全数据分析模块，安全预测模块，安全评价模块，安全决策模块。安全信息系统的内部系统主要可分为4大部分：数据系统，评价系统，预测系统和决策系统。

3 结束语

纺织企业是我国经济的重要组成部分。随着我国加入WTO和国家对安全生产要求的提高，要求纺织企业变革安全管理理念，提高安全管理的手段。本文在管理信息系统的基础上构建出的安全管理信息系统，正是这一方面的一个探索。信息化社会的发展必然会导致安全信息管理学在安全科学的领域中占有越来越重要的地位，也必然会导致安全管理信息系统在人类安全系统的管理中发挥越来越重要的作用。这不是一个简单研究项目，而是一个包括科研、设计、建设、教育和软硬件市场等诸多方面的社会性专门事业的历史进程。这就需要我们搞安全管理工作的人员更加努力地不断进行探索，相互探讨，总结经验，健全安全模型，逐步完善系统的功能，使安全管理信息系统更加适用、完善。

参考文献：

[1]王晶禹，张景林，郭艳丽.一种现代化的安全管理方法—安全管理信息系统.中国安全科学学报.1999.9(5)：22—26．

医院信息系统的安全建设与管理 篇12

1 医院信息系统存在的主要安全问题

医院信息系统随着信息化建设的深入, 功能日益完善, 应用系统模块和支持系统运行所需要的硬件设备也越来越多, 网络规模越来越大。来自硬件、网络和软件系统的安全问题众多而且复杂[1]。按安全威胁来源主要分为两类:

1.1 医院内部原因造成的信息系统安全隐患

1.1.1 人为因素

医院工作人员非法使用带有病毒的个人移动存储设备, 因病毒侵入导致医院业务网络遭到攻击, 造成系统瘫痪或者中断;医院员工使用同一台计算机访问医院业务网络和互联网, 使业务网络设备受到来自互联网攻击, 并将这种威胁带入医院业务网络中;医院内部员工利用权限非法访问数据库, 盗取信息系统数据、篡改患者就诊记录, 可能造成医疗纠纷。

1.1.2 系统硬件因素

如服务器、交换机、存储等设备故障造成医院信息系统业务处理运行中断。

1.2 来自医院外部系统安全隐患

1.2.1

院外人员使用未经授权的计算机非法接入医院内部业务网, 对医院信息系统进行病毒攻击、窃取业务数据、篡改医疗信息等。

1.2.2

因互联网的普及, 互联网+“医疗”模式的出现, 医院内部网络与互联网的互联互通不可避免, 而医院因业务需要与省市医保、区域医疗、远程医疗等网络互联, 也给医院信息系统带来来自互联网的安全威胁。

面临复杂的内部和外部环境, 提高医院信息系统的安全性、对医院信息系统进行有效的安全防护, 是保障各大医疗机构信息系统长期稳定运行的一项长期而艰巨的工作[2]。

2 医院信息系统安全建设技术方案

2.1 物理环境安全策略

中心机房是医院信息系统的核心, 存放系统的主要设备, 包括服务器、存储, 核心交换、UPS (不间断电源) 等。因此必需保障机房环境的安全稳定。医院中心机房要采用异地双活, 防潮、防震、防风和防雨, 机房配备门禁和监控设备和报警系统, 对进入机房人员进行鉴别、记录和时实监控, 有违规操作系统自动报警。同时来访人员必需经过审批方能进入, 并有机房管理人员陪同, 并对其活动进行监督;出现机房温湿度超限、消防安全隐患等报警系统能及时报警[3]。

2.2 系统硬件安全策略

硬件安全主要包括服务器、网络设备、存储、客户端电脑等的安全。

2.2.1 系统中的核心交换、服务器、存储、UPS等加冗余, 以提高系统安全等级, 我们在系统集成中就需要考虑这一点。

在关键部位上设备与线路都是冗余的, 服务器要严格控制系统用户访问权限, 定期修改默认帐户口令。

2.2.2

制定安全策略, 严格控制用户对核心信息资源的访问, 严格控制管理员的权限分配。

2.2.3

服务器启用全部安全审计策略, 安装入侵防御系统, 安装服务器版杀毒软件。

2.2.4 安装远程桌面管理软件对客户端主机的光驱、USB口等进行管理和控制, 防止移动存储设备的接入。

内网电脑客户端要安装网络版杀毒软件, 启用账户锁定功能, 操作员离开后在规定时间内退出或锁定。

2.2.5 针对关键重要设备可以统一部署日志审计系统, 集中对网络系统中的交换机和服务器等主机系统运行状态、网络流量、用户行为等进行日志记录和分析。

部署多因子认证系统, 提供两种或两种以上组合的身份鉴别技术, 控制登录网络核心设备和服务器。实现用户身份鉴别, 保证网络和主机安全。

2.3 网络安全策略

2.3.1 网络结构安全, 是网络安全的基础

网络设备的部署方案要根据业务系统的重要性合理配置, 网络采用划分安全域技术, 根据业务系统的重要级别, 划分不同的域, 保障接入网络和核心网络满足业务高峰时段的需要和重要业务系统优先级。保存重要应用系统和数据的域与其他域之间采取技术方法隔离。业务网络采用IP和MAC绑定技术, 防止ARP攻击。

2.3.2 网络安全审计系统

在网络边界配置防火墙, 检测和清除恶意代码和病毒。采用旁路技术, 与其他网络安全设备进行联动, 对网络异常、攻击、和病毒进行分析检测。

2.3.3 网络设备防护

主要是对网络设备的一系列加固, 包括:对登陆网络设备的用户身份鉴别, 管理员登陆地址限制, 口令要具有一定的复杂度, 防止对网络设备进行远程管理时, 鉴别信息在网络传输过程中被窃听。

2.3.4 网络可信接入

通过部署终端安全管理系统, 进行网络准入控制, 监测内部网络中外来主机非法接入。

2.3.5 部署网络监控系统

对网络运行情况, 服务器和数据库运行情况进行实时监控。

2.4 数据安全策略

医院信息系统数据全部都存储在数据库中, 信息系统数据的安全是医院信息系统安全的核心[4]。数据库安全策略主要包括以下几方面。

2.4.1 数据库账户管理

用户登录采用KEY+口令的方式, 口令具备复杂度且定期更换。严格控制用户权限, 管理用户也要做到权限最小化。

2.4.2 部署数据库审计设备

监控数据库所有用户的访问行为和对数据库的使用情况, 对违反数据库安全策略的事件进行记录, 及时发现并对安全事件进行分析, 做到可事后追溯。

2.4.3 数据完整性和保密性

采用消息摘要机制技术来确保完整性校验。在数据传输过程中采用VPN技术保障数据包的完整性、保密性、可用性。

2.4.4 备份与恢复

包括数据的备份与恢复及关键网络设备、线路和服务器等硬件设备的冗余。数据是最重要的数据资源, 可靠的系统就是保证能立即访问准确的信息, 保证医院信息系统数据的完整性、可靠性, 在出现系统故障时, 可以恢复到想要的任意一个历史点的数据。

3 信息系统的安全管理措施

在信息系统安全建设中, 安全技术使用和制定完善的安全方案与策略是一项非常重要的工作, 而采取有效的信息系统的安全管理措施同样不可或缺。只有制定出完善的管理制度并严格执行[5], 才能保证技术方案落实, 达到预期的安全效果。

3.1 建立完善的管理制度

在医院信息化建设工作中, 要制定信息安全方案和安全策略, 明确信息安全建设的总体目标、原则, 建立完整的安全管理制度, 制定管理员和操作员操作规程, 定期对安全管理制度进行审核、修订。

3.2 对安全人员进行管理

3.2.1 人员录用

要严格审核被录用人员的专业资格、资质等, 一经录用, 医院与重要安全岗位人员签定保密协议, 签署岗位安全协议和岗们责任书。录用人员进行信息系统安全知识、岗位操作规程培训, 增强网络安全意识、提高知识技能。严格人员离岗管理, 离岗员工访问权限要及时收回。

3.2.2

医院外部人员访问参观, 应提前申请, 领导批准后由专人全程陪同, 并填写登记表。合作公司人员入场时要与医院签暑数据保密协议。

3.3 建立运维安全管理制度

3.3.1 机房管理制度

机房是信息系统的核心区域, 为保障机房的安全, 必须建立一套完善的机房管理制度, 对机房进行有效安全的管理。机房管理人员至少每天两次检查机房内的空调、UPS、地湿、消防等设备的完好性, 每日检查机房内运行的服务器、存储设备、网络设备和通信设施的运行状态, 并将检查结果记录于《机房巡检记录》, 发生问题应及时处理。

3.3.2 建立资产管理制度

建立资产管理制度, 编制信息系统资产清单, 登记资产名称、管理部门、存放位置等信息;建立资产安全管理制度, 明确信息系统资产管理责任人员或部门, 规范资产的管理和使用。

3.3.3 建立系统安全管理制度

建立系统安全管理制度, 系统管理员要定期检查所有服务器, 并将服务器情况记录在《机房巡检记录》中, 如有异常及时向信息处领导汇报。系统管理员负责每月更换一次操作系统口令, 并及时将更新口令登记。系统管理员要记录操作日志, 内容包括重要的日常操作、运维记录、参数的设置和修改等。系统管理员要每天查看服务器运行情况和数据备份情况是否正常;定期对运行日志和审计数据进行分析, 以便及时发现异常行为。

3.3.4 建立网络安全管理制度

建立网络安全管理制度, 对网络安全配置、日志保存时间、安全策略、系统升级、口令更新周期等作出规定。医院所有网络设备和资源由信息处负责统一配置、管理;定期检查违反规定上网或其他违反网络安全策略的行为;设网络管理员对医院网络进行管理, 定期检查所有网络设备运行情况, 并进行登记。

3.3.5 完善应急预案管理制度

为提高医院信息系统的稳定性和处置突发事件的能力, 保障业务系统的运行的稳定性, 根据医院信息系统实际情况, 要不断对应急预案管理制度进行补充和完善。

3.3.5. 1 成立应急事件处理指挥小组。

由医院信息主管领导任组长, 信息处和各相关部门负责人参加。负责全院突发事件应急方案实施和全院信息系统安全运行管理的组织协调。

3.3.5. 2 整合资源, 集中管理。

应急管理遵循统一管理、分级负责、综合协调、各司其职的原则。根据突发事件的性质、程度与实施救助投入的力量所需, 统一组织协调各有关部门工作力量, 整合相关资源, 形成整体信息系统保障工作合力。

4 总结

随着信息化建设的发展和互联网与医院信息系统的高度融合, 医院数据的安全问题也越来越突出。据来自Essentia Healthy研究人员的报告, 几乎所有的医院都在泄露数据, 很多重要设备都可以被入侵。据Ponemon Institute在2012年发布的一份报告, 通过调查美国的80个健康医疗机构, 发现有75%的机构没有对敏感用户信息的设备做加密, 94%的医疗机构在泄露数据。医院信息系统的安全建设与管理刻不容缓。而医院信息系统安全建设是一个持续改进的过程。信息系统的安全是相对的。对于医院信息系统的建设者来说, 只有不断探索新的技术、加强安全管理, 不断改进安全技术措施、完善安全管理制度, 才能切实做好网络安全工作, 从而保障医院信息化建设更好、更快的发展。

摘要：目的:为了保障医院信息系统的安全运转及医疗数据的安全存储、利用, 提高医院信息系统的安全性和稳定性, 加速互联网+“医疗”模式的推广。方法:本文通过对医院信息系统安全现状的综合分析, 针对信息系统各业务流程、硬件设备、数据存储等存在的安全隐患, 运用先进的安全防护技术, 制定出医院信息系统安全建设方案和策略, 建设完善的安全管理制度。结果:为医院信息系统安全建设和管理提供完整的技术方案。结论:通过对医院信息系统安全建设与管理的研究和探讨, 使医院信息系统安全在日益严峻的形势下, 通过安全保护策略, 实现系统安全稳定的运行, 保障系统数据信息安全性、完整性、高可用性。

关键词：信息系统安全,管理制度,互联网,安全策略,数据安全

参考文献

[1]陈龑, 基于开放环境下医院信息系统安全问题分析[J].计算机光盘软件与应用, 2014 (10) :158.

[2]赵金泉, 浅谈医院信息安全建设[J].网络安全技术与应用.2014 (9) :217-218.

[3]万永慧, 分析如何加强医院信息系统安全管理[J].消费电子, 2014 (16) :153.

[4]潘珩, 浅谈医院信息系统安全风险管理对策[J].医院管理, 2015 (7) :280-281.

[5]张琴, 敬胜男, 勾成果等基于风险管理的医院信息系统安全研究[J].医学信息, 2014 (21) :20.

[6]苏丹, 医院信息系统安全与管理[J], 中国信息界-e医疗, 2013 (5) :58-59.

[7]李春林, 简明, 刘建辉等, 医院信息系统安全网险管理对策研究[J], 医疗卫生装备, 2013 (3) :114-116.